网络安全加固建设汇总十篇
网络安全加固建设篇(1)
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
网络安全加固建设篇(2)
随着通信技术的飞速发展,运营商所提供的基本业务在速率和数量上也都在飞速的膨胀。传输网络作为电信网的基础网络,承载着CN2、IP、TV等核心业务,也是固网业务、移动业务、大客户业务依赖的重要载体。其质量和运行安全对于承载的各种通信业务起着至关重要的作用。
传输网络从基本原理上看,是由传输设备和网络节点构成的。从物理形态上看,是由传输媒介和传输设备组成的,直现来看就是“地图+光缆+设备”。所以,传输网络的安全加固必须从网络结构、传输设备、光缆线路三大要素对传输网的安全问题进行分析和探讨。
一、网络结构的安全优化
通信网都是采用分层、分区、分割的概念进行规划,传输网从垂直方向分成很多独立的传输层网络,从国家角度分为一级干线、二级干线、本地网传输。一、二级干线统称长途传输网,本地传输网又分成核心层、汇聚层、接入层三层。
网络的拓扑就是网络的结构,即网络节点和传输线路的几何排列,他反映了物理上的连接性,从形状上看,无论一、二级干线、还是本地网传输网,都是以线型、树型、环型、星型、网格型五种来呈现。
1.1一级干线的网络结构优化
在网络结构上,全国一级干线1998年已经基本建成了以DWDM、SDH为主“八纵八横”网络。在物理拓扑上各大运营商不再局限于“八纵八横”基本框架,不断补点、布点。目前除受地理条件所限,进藏光缆是兰西拉、滇藏“两条腿”外,北京至各省的物理路由不再只是两条腿,A省与B省省会之间都有了独立的2条物理路径,同时途经各省的一级干线也在数条或十几条以上光缆。顶层也将部级互联网骨干直联点由3个增至12个。
原有“环保护”的SDH网络逐步由拥有ASON光智能交换技术的Mesh网络所取代,增强了业务的多种保护和恢复方式,能够有效抵御网络多节点故障。运营商已经或计划建成ASON网络第2平面,确保大客户业务、核心网业务的可靠安全。
1.2二级干线的网络结构优化
1、“两心两点三维”结构。我国西部省大部分都是省会城市A、B两个传输枢纽楼(A、B节点),地市公司1个或2个传输枢纽楼。省与市之间相连多以线型或环型相连。省市之间只有两条完全独立或接近独立的物理路径相连,这样的网络现状存在着很大的安全隐患。必须建设至少“两心两点三维”的传输二干网络。以省会城市A、B两个传输枢纽节点为两心(或以省会城市A-D四个枢纽节点为四心);每个本地网建设两个枢纽节点为两点,建立每个节点至少具有独立“三维”上联“两心”的物理传输连接关系。确保业务具有双节点双归属三路由,逐步消灭本地网单节点状态。
2、“环型+星型”主环辐射状结构。以省会城市为中心,在现有省内地理环境的南环、北环二干光缆线路为主的基础上,利用一干现有空余资源或本地网光缆资源建立省会到各地市城市的“骨干状辐射网络”(双平面),打通第三或第四物理路由,完成骨干层Mesh结构组建。同时督促数据专业落实CN2、IP网双局址多路由的改造,尽快实现地市节点到省汇聚节点的三路由及四上联,有效降低本地网业务上联风险。
1.3本地传输网结构优化
1、本地网传输网络,以市公司中心局为核心,建设市到县的环网、骨干网络。每个县必须具备“二维”物理传输连接 。以两不同方向,或地埋、架空立体“二维”的方式实现市与县之间的双路由。对于资源条件具备的,可实现第三路由。 2、对于需要完成保护关系组网,可采取大迂回大跨度组网。突破地域限制,解决假环问题。如陕西通过四川、甘肃分别完成镇巴、略阳的灾备设计。3、对于移动业务配套传输系统,可创造条件地“组环”或跨县组环,提高基站“断站率”指标。全国平均成环率只有70%,还需进一步创造条件地去完善。接入层涉及站点数多,结构也复杂,是网络优化中工作量最大的层面。接入层网络的优化主要考虑以下:(1)环路上节点数量的调整,每个环的节点不应太多,在光纤资源允许的时,建议环上的节点数不应超过10个。(2)环上节点的选择,要兼顾话务分担和提高覆盖质量。(3)将区城内拥有或规划了较多数据业务的节点安排在同一子环。
二、传输设备的升级优化
传输技术和设备经历了PDH、SDH、DWDM、ASON、OTN发展以来,建立了以DWDM、SDH、ASON为主要技术的传输骨干网络,接入层也建立了MSAP、PTN、IP RAN等新技术网络。
在技术上,作为传统物理层的传输组网,也要不断适应新一代承载网络的分组化、业务化、带宽大颗粒化、动态化的组网需求。所以,新技术的快速商用,传输设备的升级换代为网络安全提供了“新天地”。3G传输网由DWDM+OTN+MSTP组网,逐步向ROADM+DWDM+OTN+PTN组网。而新上的4G传输网直接部署了OTN+IP RAN技术。在一干、二干层以采用ROADM+DWDM为主,实现ROADM光层调度+OTN电层调度组合解决方案。在本地网接入层以OTN+PTN或OTN+IP RAN为主。依节能减排需要,逐步淘汰多厂家SDH系统,完善一、二干ASON第一平面,建设ASON第二平面做为大客户业务的承载平台。实实在在将ASON做成Mesh网。提高网络自愈能力,保证客户感知。在省内较大本地网,根据实际业务需求建设本地ASON网络,或扩大省干ASON 网络的覆盖范围,考虑向地市汇聚层扩展。在长距离传输通信中,建议采用成熟的“新码型、高功率、大跨距”传输系统,减少中继站数量和维护成本。随着IP业务发展规模,加快部署100G WDM技术;为保障核心业务安全,尝试在一、二干组网上应用OTN技术。
在日常维护工作中不断完善省级、本地网《传输软件版本应用策略》,加强软件版本的统一升级管理,预防传输设备软件缺陷,保证网络安全。
三、光缆线路的安全加固
3.1单节点隐患
节点失效造成的影响绝不能忽视,因此一定要尽量实现光缆出入局双路由或三路由。最后1KM一直是困扰我们的难题,对存在光缆出入局单路由一定要下决心进行改造。特别是省、市中心枢纽楼。
3.2同路由隐患
线路维护部门要从传输、交换、数据承载网等组网架构上,对光缆三同问题(同路由、沟、杆路)进一步排查。发现问题及时整改。设备维护部门要经常性、周期性地组织预防性维护,对组网安全风险和性能安全隐患早发现、早上报、早解决。要从通路组织、业务保护关系上,结合长长中继业务安全研究,排查同路由隐患。在长长中继业务开放上,DWDM下挂的SDH、DXC、ASON业务尽可能走同一方向光缆。
3.3资源相互利用
注重光缆网的共建共享,节省投资。在一、二干建设上,长途光缆网建设应加强省际、省内长途光缆网的统一规划和资源综合利用,提高传输资源的使用效率。并建设OLP,利用二级干线光缆保护一级干线光缆,反之亦然;也可用一级干线的通路或波道保护二级干线的核心业务。利用本地网光缆进行OLP保护一级、二级干线光缆,用干线光缆或通道保护本地网核心业务。
传输网络作为基础网络是各大运营商多业务和融合业务发展的基石,应充分顺应业务和技术发展趋势,按照全IP架构的演进思路,加快新技术的引入、旧网络的退出,加快网络结构的优化调整和安全加固,减少并消灭网络安全隐患,才是保障所有承载业务安全的重要前提。
网络安全加固建设篇(3)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4030-02
Enhance Wireless LAN Security
LIU Zhi-biao
(Fuyang Airport, Fuyang 236000, China)
Abstract: Setting up reasonable wireless network parameters and upgrade communication equipment firmware, It is to enhance the wireless network security foundation. Papers parsing the firmware upgrade, SSID Settings and encryption protocol application modes,As to promote wireless LAN security.
Key words: wireless lAN; SSID; WEP protocol; WPA protocol
无线网络不同于传统的有线局域网,只要在它的信号覆盖范围内,任何终端都可能接入该网络,因此无线网络的安全问题令人担忧。如何保障无线网络资源不被窃取和利用,需要如下几方面的改进和设置,就能增强无线网络安全。
1 升级无线路由器
无线路由器作为无线网络的核心通信设备,它所存在的安全隐患是最为致命的,设备中可能存在很多Bug,很容易被黑客利用,因此需要升级无线路由器的固件,修复它存在的问题和安全隐患。
1.1 固件版本
以“TP-LINK”无线路由器为例,运行Internet Explorer浏览器,在地址栏中输入“192.168.1.1/”后回车, “192.168.1.1”为该无线路由器的IP地址,然后输入管理员账号名和密码后,就登录到无线路由器管理界面。
依次展开“系统工具软件升级”项目,在右侧的“软件升级”框中,可以清楚的看到产品型号和固件版本。
知道了无线路由器设备的型号和固件版本后,就能下载该设备所需要的固件升级文件。建议从该设备的官方网站中下载,确保升级文件的完整性。
1.2 配置TFTP 服务器
“TP-LINK”无线路由器的升级需要“TFTP 服务器”的支持,固件文件程序包中已经包含该程序。解压固件文件包后运行“Tftpd32.exe”程序,简单配置TFTP 服务器。点击“Current Directory”栏中的“Browse”按钮, 指定好固件文件所在的目录,然后在“Server interface”下拉列表框中指定TFTP 服务器的IP地址,这个IP地址就是进行固件升级操作的电脑的IP地址。
完成TFTP 服务器的设置后,再次登录到无线路由器管理界面,在“软件升级”框中的“文 件 名:”栏中输入升级文件的名字,接着在“TFTP 服务器 IP:”栏中输入TFTP 服务器的IP地址。
最后点击“升级”按钮,开始进行固件升级,整个升级过程大约需要20秒钟,完成后自动重新启动无线路由器,这样就完成了无线路由器的固件升级。
完成无线路由器的固件升级后,可以修复无线设备所存在的安全隐患和漏洞,这样就确保了无线网络的安全。
2 增强SSID安全性
SSID是用来标识一个无线局域网的,它的全称是服务集标识符。要接入一个无线局域网,首先要知道该网络的SSID才行,因此SSID就为无线局域网提供了最低级别的安全访问控制功能,虽然它的安全控制功能有限,但复杂的SSID值可以增强无线局域网安全性。
登录到无线路由器管理界面,然后依次展开“无线设置基本设置”选项,进入到基本设置框体,找到“SSID号”输入栏,对SSID值进行修改,输入一个健壮的SSID值,如“DNZS2011-Net”,包含了大小写字符、数字和特殊符号“-”;此外一定要取消“允许SSID广播”前的钩选,否则为SSID设置再健壮的字符串值都会功亏一篑,最后点击“保存”按钮,重新启动无线路由器即可。
3 WEP加密提升安全性能
SSID安全功能较弱,有先天的不足,为进一步加强无线安全, 可以使用无线加密协议WEP。
3.1 设置WEP
首先登录到无线路由器管理界面,依次展开“无线设置基本设置”,在基本设置框体中,首先要选中“开启安全设置”选项。
接着在“安全类型”框中选择“WEP”选项,然后还要进行身份验证方式选择,这里提供了三个选项:自动选择、开放系统和共享密匙,为了安全起见,建议选择“共享密匙”项目。
下面指定WEP密匙的格式,这里提供了“16进制”和“ASCII码”两种方式,为了方便输入密匙,在“密钥格式选择”框中选择“ASCII码”。还要设置密匙的长度,在“密匙类型”框中进行选择,提供了64位、128位和152位,当然密匙长度越长越安全,根据需要自行选择,接着在“密匙”框中设置好WEP加密密匙,最后点击“保存”按钮,重新启动无线路由器就完成了WEP参数设置。
3.2 修改客户端
启用WEP加密方式后,还要修改客户端的无线网络参数设置。
右键点击系统托盘中的无线网卡图标,选择“状态”选项,点击“属性”,切换到“无线网络配置”标签页,在“首选网络”框中找到无线网络项目,点击“属性”,切换到“关联”标签页。
接着在“网络验证”框中选择“共享式”项目,“数据加密”框中选择“WEP”,然后在“网络密匙”栏中输入WEP密匙,最后点击“确定”按钮,就能再次接入无线网络了,并且无线网络就更加安全。
4 使用WPA加密协议
WEP加密协议增加了无线局域网的安全,但高明的黑客只要截获一定数量的数据包后,还是可以进行暴力破解的。要更近一步增强无线网络安全性,建议使用WPA加密协议。
4.1 设置WPA加密
在IE浏览器中,登录到无线路由器管理界面,依次展开“无线设置?基本设置”,在基本设置框体中要记得选中“开启安全设置”选项。
然后在“安全类型”框中选择“WPA-PSK/WPA2-PSK”选项,接着设置“安全选项”参数,提供了三种选择方式:自动选择、WPA-PSK和WPA2-PSK,这里选择“WPA-PSK”;下面设置加密方法,通常有两种:TKIP、AES,这里选择“TKIP”;然后还要设置“PSK密码”,要注意,该密码最短为8个字符,完成PSK密码设置,点击“保存”按钮,重新启动无线路由器后,以上设置就会生效。
4.2 修改客户端
应用了加密协议WPA-PSK后,客户端也必须修改。
右键点击托盘中的网卡图标,选择“状态”,点击“属性”,切换到“无线网络配置”标签页,在“首选网络”框中选中你的无线网络项目,点击“属性”,切换到“关联”标签页,下面根据无线局域网要求进行修改。
在“网络验证”栏中选择“WPA-PSK”,然后还要将“数据加密”项目修改为“TKIP”,接着还要在“网络密匙”栏中两次输入无线局域网的PSK密码,这个PSK密码和无线路由器的一定要相同才行;最后点击“确定”按钮,这样你的客户机就可以重新接入无线局域网。
了解以上四种安全应用方式后,根据需要进行选择,能极大的增强无线网络的安全性,防止不速之客的来访和黑客的攻击。
参考文献:
[1] 段水福.无线局域网(WLAN)设计与实现[M].杭州:浙江大学出版社,2009.
[2] 张健.无线局域网维护和测试[M].上海:上海交通大学出版社,2006.
网络安全加固建设篇(4)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)23-0030-01
随着互联网用户的增加,技术的发展,导致网络不安全的因素越来越复杂,网络面临前所未有的安全威胁,社会对能快速解决网络安全问题的人才需要增加。因此培养维护网络与信息安全的人才成为了高职院校的大事件。本文针对网络用户如何防范最常见的网络攻击角度出发,为学生精心设计教学内容。
1 课程特点
学习网络与信息安全课程,需要学生有一定的硬件平台、软件系统、TCP/IP协议等知识为基础。本课程在高职教学中主要有如下一些突出特点。
1)内容丰富。网络与信息安全技术课程内容包含:网络与信息安全的基本概念,加密与解密技术,数字签名和认证技术,神州数码硬件防火墙及ISA server2006软件防火墙技术,snort入侵检测技术,端口扫描和嗅探技术,网络流量监控及分析技术等,可见本课程内容丰富。
2)基础课程要扎实。网络与信息安全技术课程是计算机网络技术专业的专业课,前面的基础课程有:网络基础、windows系统操作系统、神州数码交换机及路由器设备配置等,这些课程知识需要学生在学习本课程之前掌握。
3) 恶意攻击方法层出不穷。随着网络与信息安全技术的广泛应用,由于各种原因,网络攻击手段越来越复杂,与防范技术不断较量。因此,网络与信息安全课程教学内容也需要不断地更新。
4)突出实用性。学习本课程的最终目的是能解决网络与信息安全问题,它包含的实践内容有:windows操作系统的安全加固、sniffer的使用、X-Scan扫描系统漏洞、用PGP加密软件发送邮件、使用snort入侵检测软件对网络进行实时监视、用ISA防火墙软件设置网络过滤规则等等。
2 网络与信息安全技术课程教学设计与研究
本课程教学内容多,本文以windows server 2008操作系统加固为例,介绍本课程的教学过程。目前许多公司正在使用外置安全硬件的方式来加固它们的网络。这意味着,它们使用防火墙和入侵保护系统在它们的网络周围建立起了一道铜墙铁壁,保护它们自然免受互联网上恶意攻击者的入侵。但是,如果一个攻击者能够攻破的防线,从而获得对内部网络的访问,这个时候就需要我们保护网络当作的最后一道防线--windows server 2008操作系统加固。
1) 教学目标设计
目前各大公司和企业单位主流服务器都是安全了windows server 2008操作系统,如何加固它,保护内部数据不被窃取或者破坏,成为了我们教学最重要的目标。
2) 教学内容设计
①系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固操作系统,整体提高服务器的安全性。
②IIS手工加固:手工加固IIS可以有效地提高web站点的安全器安全加固,合理分配用户权限,配置相应的安全策略,有效地防止IIS用户溢出提权。
③系统应用程序加固,提供应用程序的安全性,例如SQL的安全配置以及服务器应用软件的安全加固。
3) 教学操作实践
实践环境是一个局域网机房,所有主机互联。假定你是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号)的维护,该服务器可能存在着各种问题和漏洞。给学生1个小时的时间对服务器进行加固,加固后将会有很多黑客对这台服务器进行猛烈地攻击,学生进入分组对抗环节。
在这个分组对抗的环节里,各位学生需要继续保护服务器免受各类黑客的攻击,可以继续加固服务器,也可以选择攻击其他组的保护服务器。如果某个学生的服务器攻击后死机那么实践结束。
4) 考核方式的设计。
本课程安排形成性考核包括了学生的期末笔试部分、出勤、平时表现占50%,而每次课的实践环节占50%,突出动手实践操作。动手解决实际问题才能真正反映学生的真实工作技能。
3 结束语
本课程是计算机网络技术专业的专业核心课程,课程内容多且复杂。本文提出了以为windows server 2008操作系统安全加固为例,介绍了本课程的教学目标、内容、实践环节的设计,突出学以致用的原则,注重培养学生网络安全防范的能力。
参考文献:
[1] 王海洲.计算机网络技术实验课程教学改革[J].中国信息技术教育,2013(9).
网络安全加固建设篇(5)
一、引言
IMS以固网PSTN网改作为起步,通过IMS网络替换现网中的老,旧PSTN端局设备,不仅可以很好的实现节能减排,降低运营成本,同时还能最大程度的保持现有的网络业务,运营模式,并能灵活方便的开发新的业务应用,另外,IMS网络还具有面向固定移动融合的特点,可以为今后的固移融合奠定网络基础,做到投资保护。通过IMS核心网中边缘节点与接入网的融合方案探讨,对于PSTN网改起到一定推进作用。本文主要阐述PSTN语音业务通过接入网上联P-CSCF、AGCF网元的布局方案。
二、固定接入网概述
2.1IMS总体架构
IMS网络的基础架构主要分为三层:用户接入层、会话控制层和应用层。从网络分层的角度看,IMS的目标网络可以划分为业务层、核心层、承载层和接入层四个层次。
固网领域IMS接入终端分为固定接入和互联网接入两种。固定接入终端采用PON、IAD、AG、PBX接入方式,含H.248协议和SIP协议两种终端。互联网接入终端采用SIP协议,含软、硬终端和IAD。
IMS实施后,使用H.248协议的固网用户通过接入网关控制功能(AGCF)接入IMS网络。AGCF兼做协议转换功能,接入H.323标准的IP用户交换机(IP PBX)、综合业务接入设备(IAD)。SIP协议(非IMS标准)的IP PBX、IAD。新发展的Internet用户,使用符合3GPP标准的软终端,包括Win PC、Mac PC、WinCE、iPhone、Android等多个版本,通过会话边界控制器(SBC)接入呼叫会话控制功能(P-CSCF)。
利用IMS进行固网接入的总体架构如图1所示:
2.2IMS总体接入方案
原有PSTN固网用户主要通过基于PON承载方式、IP上行的AG接入方式和传统的DSLAM接入方式三种方式进行改造。对于可信任的接入网元,比如FTTC的MDU设备放置在模块局或交接间,AG设备放置在局方可管理和可控的环境下,只提供给最终用户线路,属于运营商可信任的接入设备,所以用户设备可以通过H.248协议连接到IMS网元AGCF中,SIP协议的终端设备接入IMS网元P-CSCF中。对于不可信任接入网元,比如FTTH的ONT设备,这种设备主要放置在用户家中,话机等设备通过ONT设备直接连接到核心网络中,属于不可控的环境,家庭用户可以对终端设备进行相关操作,属于运营商不可信任的网元,所以接入设备通过H.248/SIP协议首先接入SBC设备中进行私网穿越,由SBC设备连接AGCF或P-CSCF。
三、固定接入网演进方案
3.1AG接入方案
AG主要面向有一定规模的企业用户或居住密度大的用户以及老旧小区用户。接入方式包括:POTS、ISDN、音频专线、DDN专线等窄带接入,提供的业务主要是面向POTS终端的基本业务与补充业务。
AG需支持Session timer功能,可选支持SIP option心跳机制。Session timer时长可配置,默认15分钟。
AG接入IMS有两种模式:(1)上行出H.248接口通过AGCF接入IMS核心网;(2)上行出SIP口通过P-CSCF接入IMS核心网。
对于现网已部署的AG设备可以按照以上两种模式接入IMS。
AG接入组网如图2所示:
3.2xPON接入方案
用于FTTx接入的xPON设备除了作为宽带承载的应用方式以外,还可接入语音设备为用户提供语音及多媒体业务。PON接入的语音设备主要包括ONU内置的IAD、SIP Phone以及PC软终端等,接入IMS的协议主要有IMS SIP和H.248两种:(1)xPON内置的SIP IAD或接入SIP Phone以及PC软终端通过软件升级的方式,支持IMS SIP协议,通过P-CSCF接入IMS核心网;(2)xPON的内置IAD上行H.248接口保持不变,通过AGCF接入IMS核心网。
下面是两种接入方式的比较:
通过以上比较,IMS SIP接入方式符合IMS的标准要求,既支持原有的PSTN补充业务,又能为用户提供多媒体业务,代表未来的发展方向,因此建议对于新发展的FTTH用户尽量采用IMS SIP协议接入IMS,对于FTTB用户可以继续采用H.248协议接入IMS。考虑IMS网络的安全性,以上两种方式都必须通过SBC接入IMS,如图3所示:
3.3NGN向IMS演进方案
(1)固网NGN向IMS的演进有以下2种方式。方式一:升级法。将现有固网NGN系统直接向IMS架构演进:将固网NGN系统网元全部升级为IMS的网元,并补充相关IMS设备。将固网NGN网络直接升级为IMS网络,通过IMS网络开放业务。具体为固网软交换系统SS可以演进为AGCF。固网软交换设备需要通过软件升级,配置AGCF功能;单板利旧,同时按需扩容单板,以处理新增的SIP消息流量。升级后的IMS网络既可以处理窄带语音业务,也可以处理多媒体业务。方式二:叠加法。叠加方式是在现有固网NGN网络边叠加一个完整的IMS网络,现有固网NGN和新建IMS两个网络在一段时期内共存,并各自独立发展用户。当IMS系统逐渐成熟后,可以将用户逐渐从固网NGN网络向IMS网络迁移。本方式下新建的IMS网络与原固网NGN网络完全独立,两个网络之间可以通过TDM或者SIP协议互通。采用方式一,由于现阶段IMS系统的成熟性还有待进一步验证,因此对商用固网NGN网络的升级改造具有一定的风险。因此方案不建议采纳。方式二中新建一套IMS系统,进行新业务需求的试商用,试商用成功后,将现有固网NGN网络用户向IMS系统进行牵移。在演进过程中,采取“分步走”的策略,保证技术平滑演进,并对现网业务影响最小。因此推荐采用方式二。(2)固网NGN向IMS演进步骤。采取“分步走”的策略,演进步骤如下。步骤1:(1)新建IMS网络,与现有PSTN网络和软交换网络实现互通,实现网改终端的接入;(2)增加业务平台服务器,实现多媒体业务、智能网业务等功能。原有固网NGN系统与新建IMS系统的业务分工为:原固网NGN负责现有语音业务的处理,新建IMS负责网改用户的语音接入。步骤2:待PSTN用户通过网改基本割接到IMS网络后,将现网中的软交换机升级为IMS网络中的AGCF或MGCF,将用户数据割接至HSS,将业务逻辑割接至应用服务器,并逐步实现统一计费、统一网管。该步骤是在新建IMS技术成熟的前提下,将现有业务割接至IMS系统,从而实现固网NGN系统向IMS的演进。(3)结论。通过上述的演进方式分析可知,固网NGN网络从技术上尚不具备直接向IMS网络演进的条件。不过可以通过“分布演进”的方式,逐步实现固网NGN向IMS网络演进。同时在网络演进融合过程中要特别注意两点:第一,IMS演进应减小对现有网络的影响,尤其是当固网NGN网络已经承载了业务时;第二,IMS网络应循序渐进,当新建IMS网络运行稳定,且固网NGN网络向IMS演进技术成熟后,再进行融合。从长远来看,未来的网络将实现IMS网络作为核心。
四、结束语
在PSTN网改的趋势下,我们应立足PSTN现网实际情况,配合“光进铜退”接入网改造的策略,制定切实可行的接入方案,高效和安全的接入原有PSTN网络用户,满足今后传统语音业务和多媒体业务的发展。
参考文献
网络安全加固建设篇(6)
随着信息技术的不断发展与应用,信息安全的内涵在不断延伸,从最初的信息保密发展到信息的机密性、完整性、可用性、可控性和不可否认性,对信息系统提出了“保护、检测、反应、恢复”的保障安全策略。信息安全技术涉及面广,包括如物理安全、网络安全、数据安全、信息基础设施安全等多个方面。
一、实验室建设原则
信息安全实验室需要符合信息安全最新技术发展的总体趋势,建设时应该考虑以下原则:
(一)以满足岗位任职需要为原则,重点突出实用性
职业教育院校的学生来自于不同岗位不同层次,他们的学习目标更加注重岗位实践能力的提升。因此,信息安全实验室的软硬件环境建设、实验内容安排,实验结果评定都应该更加以岗位任职技能提高为导向,重点突出满足实际任职的实用需要。
(二)以紧跟信息技术发展趋势为原则,重点突出先进性
信息技术发展日新月异,信息安全领域的硬件设备、软件技术都在不断更新和提高。因此,在进行实验室建设的时候,应选择实现原理与技术相对先进的实验设备和建设方案, 以保证实践内容的先进性。
(三)以遵循设计架构科学灵活为原则,重点突出可扩展性
在进行实验室建设规划设计的时候,应充分考虑当前需求与技术发展之间的关系,遵循系统架构灵活可扩充的基本原则,使实验室提供的实验平台能够及时升级与更新,以适应不断发展的新技术与新方法。
(四)以保证实验系统行为可控为原则,重点突出安全性
信息安全实验室的部分实验具有一定的攻击性和破坏性,所以在进行实验室总体规划时,应通过采取合理的设计方案、采用有效的技术措施、制定完善的规章制度,以保证实验过程中的行为不会对实验室内部以及外部网络造成破坏和干扰,充分确保信息安全实验室数据与环境的安全性。
二、实验室建设规划
(一)实验室总体规划
针对职业教育院校学习特点,结合实用性、先进性等相关建设原则,信息安全实验室主要从网络信息安全、通信信息安全、涉密实体安全等方面来进行建设。
1.网络信息安全实验平台
网络信息安全作为信息安全的重要环节,是当前实现信息安全保密的关键。通过搭建网络信息安全实验平台,可以完成包括远程控制、病毒防护、漏洞检测、木马攻击、防火墙应用等实验,使学生进一步了解和掌握网络信息安全隐患和相关的防护技术。
2.通信信息安全实验平台
通信信息安全主要包括固定电话系统和移动通信系统的安全防护。通过通信信息安全实验平台,能够完成固定电话模拟窃听,移动通信信息截获,手机通话模拟监听等实验,进一步提高学生信息安全意识。
3.涉密实体安全实验平台
涉密实体安全防护主要包括固定设施、涉密文档、涉密设备的安全防护。搭建涉密实体安全实验平台,能够完成模拟涉密文档防复印、涉密存储介质数据安全等实验。
(二)实验室环境设计
1.实验室平面布局
考虑实验室建设的可扩展性和安全性,将实验室从整体布局上划分为两个区域:实验区和演示区。实验区主要供学生进行网络信息安全保密的相关实验活动;演示区主要进行通信信息安全实验和涉密实体安全实验的相关演示活动。
2.实验室逻辑结构
实验室结构主要可分为3个部分:网络信息安全实验区、通信信息安全实验演示区和涉密实体安全实验演示区。
(1)在网络信息安全实验区部署学生实验用机。以5人以内为单位分为多个实验小组。为了更好的进行不同操作系统环境下的安全实验,每台学生用机配置windows、linux双系统。部署一台教师用机和一部投影仪,主要用来给学生进行网络信息安全实验、安全攻防的集中演示。
(2)通信信息安全实验演示区主要设置通信信息安全实验台,包括手机、固定电话监控设备、移动通信信息截获装置等。
(3)涉密实体安全实验演示区主要设置涉密实体安全实验台,主要包括实验存储介质、防复印设备等。
三、主要实验项目设计
根据信息安全实验室建设的三大平台,设计出不同方向不同层次的实验项目,有助于充分发挥实验室的最大效能。
(一)网络信息安全实验
实验一:交换机端口安全。从网络管理的安全性考虑,对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址来实现严格控制对该端口的输入。通过该实验使学生理解交换机端口的安全性,并掌握其配置方法。
实验二:网络扫描。使用网络端口扫描器,了解目标主机开放的端口和服务程序,从而获取系统的有用信息,发现网络系统的安全漏洞。通过网络端口扫描实验,增强学生在网络安全方面的防护意识。
实验三:口令设置与破解。使学生了解口令破解的工作原理,验证弱口令存在容易被破解的隐患。
实验四:木马的功能和危害。采用教师演示和学生亲自操作的形式,体验木马的远程控制功能,认识木马的窃密危害。如文件的下载、上传、远程屏幕控制,远程音视频监控等。
实验五:木马的植入。了解和体验木马的植入手段。
实验六:网络传输信息的泄露。通过嗅探获取网络传输数据中的重要信息,了解网络数据传输中被窃听的风险。
实验七:网络传输信息的篡改。通过篡改网络传输的信息,验证网络通信过程中存在的数据被篡改的风险。
实验八:ARP欺骗实验。了解ARP欺骗类型和手段,掌握防范ARP地址欺骗的方法和措施。
(二)通信信息安全实验
实验一: 模拟手机通话防监听。通过教学专用的手机通信监控设备,模拟监听手机的通话内容,验证手机等信息终端存在的失泄密隐患
实验二:模拟固定电话防窃听。通过教学专用的固定电话通信监控设备,模拟监听固定电话通内容,验证固定电话存在的失泄密隐患。
(三)涉密实体安全实验
实验一:存储介质的安全风险。磁盘文件删除和高级格式化后,对磁盘进行数据恢复,验证存储介质的安全风险。
实验二:涉密文档的安全风险。通过防复印技术处理涉密文档实验,使学生具备对涉密文档的防护技能。
网络安全加固建设篇(7)
如今,人们对于基础工程建设的需求越来越多,这就对建筑工程的施工质量以及结构设计提出了新的要求。就我国目前建筑工程项目设计而言,由于大部分的建筑工程都需要的大跨度的结构设计,特别是在一些建设规模较大的建筑工程项目中,建筑设计人员要采用更多科学合理的设计形式来满足大跨度结构的设计要求。因此,斜拉网络杂交结构正是这一发展过程中的产物,并逐渐受到了建筑行业的青睐。这种空间结构体系具有较强的实用性,大大增强了建筑物的可靠度。下面,本文就对斜拉网络杂交结构设计中的若干问题进行初探,具体分析了斜拉网络杂交结构的特点以及布置形式,总结出一些自身的观点。
1 结构布置
斜拉网络杂交结构设计通常是由不同构件共同组成的。因此,本文具体归纳了斜拉网络杂交结构布置中主要的组成部分。
1.1 斜拉索
一般情况下,如果塔柱是处于网络覆盖区域的话,这时的斜拉索就可以向塔里周围投放不同形式的布索。而一旦塔柱超出网络覆盖区域内时,就只能投放塔体与网格之间的一侧布索上,并且,在这一过程中,还需要坚实可靠的锚索。其次,当斜拉索直接固定在网格节点位置时,最好采用多向布索形式,还要在平面投影上摆出多样的形态变化。此外,一旦斜拉索处于构架中间位置时,也是比较常用多向布索方案。笔者通过对一些优秀的斜拉网络杂交结构设计成品得知,,扇式布索兼有放射式布索和竖琴式布索具备很好的安全性,能够达到理想的使用效果,是当前斜拉网络杂交结构设计中常用的一种索型。
1.2 塔柱和网格
为了节省更多的施工成本,可以从塔柱和斜拉索方面入手,根据以往成功的例子来看,两层塔柱的高度必须与塔柱之间保持一定的距离,斜拉索的水平角度应该超出25°,而塔柱尺寸的大小则是根据实际的施工情况而决定,斜拉网络杂交结构的高度要要小于其他普通的网络结构。
2 结构分析
斜拉网格结构的静力分析建立在组合结构有限元的基础上,对于塔柱和网格分别离散为空间梁元和空间杆元,而斜拉索则等代为弹性模量随张力大小而变化的受拉二力杆件。根据空间杆元和梁元刚度矩阵建立网格和塔柱的总体刚度方程,在此基础上建立斜拉索、网格、塔柱间的变形协调关系,并通过迭代求解。
2.1 塔柱的简化计算
塔柱的计算模型犹如弹性地基上的连续梁,斜拉索、网格和塔柱两两铰接,塔柱的底端固接。当斜拉索预张拉对网格结构施加预应力时,根据索张拉方式,斜拉网格结构有二阶段受力、三阶段受力或五阶段受力等,一般分为初始加载、张拉斜拉索和继续加载三个阶段。根据斜拉网格结构的不同受力阶段分别建立相应的总刚方程,从而求得各阶段的结构内力,每阶段末结构内力为前面各阶段所得内力的叠加。
2.2 预应力设计方法
在斜拉网络杂交结构实际应用过程中,其所承受的预应力是因为斜拉索在张拉作用下而产生的,这样的预应力可以将拉索更加紧实,以便于更好的与网格之间的相互配合,不仅大大增加了斜拉索的刚性,还有效减轻了网络杆件内部的压力,起到了非常理想的保护作用,从很大程度上节省了一定的施工成本,避免了安全质量风险的发生,极大的保障了斜拉网络杂交结构的结实性。由此,我们可以看出,在对斜拉网络杂交结构的预应力进行设计时,要采用更多经济实用的计算方法,从而进一步提高工程项目的经济效益。那么,本文具体归纳了在预应力设计中应该着重注意的两点问题:
2.2.1 预应力损失
一般来讲,在斜拉网格结构中,预应力的损失可以分为局部与整体两方面。其中局部损失主要有摩擦损失和锚固损失等,而整体损失则主要有张拉损失、松弛损失等。摩擦损失是指张拉设备在使用过程中所造成的损失;由于斜拉网格结构是一种后张预应力结构体系,因而在钢束的使用中发生滑移或变形的情况时,就会形成锚固损失。预应力钢材的应力松弛是指钢材受到一定的张拉力以后,在长度保持不变的条件下,钢材应力随时间增长而降低的现象。
2.2.2 张拉控制应力的确定
预应力钢结构多为体外张拉,拉索的防锈措施更为严格,设计时,应该考虑更大的安全系数。结构中拉索的内力在施工和使用过程中不断变化,为了保证结构的安全和刚度,对预应力钢结构中张拉控制应力的确定主要考虑结构受荷后索中的内力残值,使其在某一范围之内。
3 节点构造
3.1 拉索与网格结构的连接
斜拉索的张拉端一般位于该节点,其设计要便于张拉和以后的换索。斜拉索一般与网格结构的上弦节点相连,可在球节点上焊接一段带耳板的钢管,用销子将耳板与拉索帽连接;索也可穿过球体直接锚固于网格结构球节点上,索穿过球体引起球的承载力的降低,可在球内焊接一段钢管予以加强。
3.2 拉索与塔柱的连接
拉索与塔柱连接处一般作为拉索的固定端。拉索固定于柱顶时,一般在柱顶设置钢箱或其他形式的锚座,两侧拉索的水平力在锚座上平衡。拉索不在柱顶时,可直接锚固于柱身。当塔柱为钢柱时,可在钢柱上焊接耳板,拉索帽通过销子就可与塔柱连接。
3.3 网格与塔柱的连接
通常来说,将塔柱与网格连接在一起主要是为了凸显两个优势,一是提高了网格结构的弹性,即使在受到外力挤压的作用下,也不会对网格结构造成较大的影响。二是可以将塔柱上端受到的压力分担给柱中一部分,在网格具备较强的弹性支撑的基础下,进一步增强了塔柱结构的牢固性。
结束语
综上所述,可以得知,斜拉网络杂交结构设计对于大跨度的建筑工程项目建设有着重要的影响。这种网络结构形式不仅能够实现安全生产的目的,还能为工程项目带来一定的景观效益,极大的保障了建筑物结构的安全稳定系。因此,我国建筑行业要高度重视斜拉网络杂交结构设计问题,加强对斜拉网络杂交结构的优化设计,并大力推广和应用斜拉网络杂交结构设计形式。虽然我国目前的斜拉网络杂交结构设计中还存在一些问题,还需要相关技术人员进一步的完善,从而促进斜拉网络杂交结构的蓬勃发展。
参考文献
网络安全加固建设篇(8)
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2013) 10-0087-01
随着网络IP化进程的不断深入,全业务发展逐渐IP化。首先是固话语音从TDM网络开始IP化也就是我们说的NGN语音,专线业务从ATM/TDM专线逐渐开始发展为IP/MPLSVPN专线;再次,有线电视也从铜线Cable转向IP,也就是我们说的IPTV;另外随着IPRAN的演进,移动业务也在从传输网络向IP化转变。可见,业务都在朝everythingoverIP的方向发展,IP网络要承载的业务种类越来越多,应用越来越丰富,带宽需求越来越大。
一、业务需求驱动
(一)互联网业务
目前最主要的业务之一。据CNNIC测算,截至2013年4月底,中国网民数量达到5.81亿,互联网普及率为43.4%,互联网业务成为最丰富最活跃的业务。
(二)VoIP语音业务
原有固网TDM语音逐渐IP化,变成VoIP语音,整个VoIP的业务数量在移动手机的冲击下在缩减,带宽比较固定,相对于互联网业务流向可控。
(三)IPTV业务
随着三网融合的政策落地,原有的Cable电视走向IP网络,承载线路由铜线开始IP化,IPTV是一个大带宽、业务量还没有完全发展起来的业务。
(四)视频监控业务
作为新的安全城市的一部分,视频监控成为一个全国性的IP网络业务,固定可靠的业务属性是其最大的特点。
(五)VPN专线业务
政企互联网专线业务最大的特点是继承了以往SDH专线、ATM专线的高可靠高安全的专有线路特征,用户对业务质量要求远远高于成本的考虑,注定为其提供的网络要具备“专”的特点。
(六)移动承载业务
移动承载业务逐渐从传输过渡到IPRAN承载网络,大量的IPRAN接入在城域需要一张安全可靠的IP城域网。
二、IP城域网二平面的必要性
从业务需求和技术选择来看,既然所有业务都打上了IP化的烙印,那统一的IP城域网自然能承载所有IP业务。当前主要业务包括:个人宽带、IPTV、互联网专线、语音、移动业务IP化等,用一张网络承载是否可行?在业务属性、带宽需求、网络安全和维护方面是否都适合一张IP网络承载?
首先,各类业务在属性、安全可靠性要求、用户使用习惯等方面存在差异。业务按属性分为开放型和封闭型两大类。其中个人用户上网是城域网历史最久、用户最多、流量最大的业务属于开放型业务,网络病毒和攻击也不断对网络形成威胁。另一类如VOIP、VPN专线等属于封闭型的,是用户到运营商自营的,业务系统位置和特点都比较明确,流量处于可管可控可规划的范畴。
当然,这里还有一个例外,移动互联网存在一定的变数,目前处于发展初期,在商业模式还没有达到足够大的规模的时期,对网络安全隐患还没有显现出来,还处于一个安全的阶段,将它划分为第二类。
其次,我们再来对带宽做个分析,目前每个宽带用户的带宽在2M-4M左右,远远大于目前其他业务的带宽,虽然IPTV的带宽冲击非常大,但由于用户数的关系和国家政策的考虑,整体来看还不能和宽带用户形成对比。移动互联网呈现巨大的潜在能量,完全释放后将形成一个大的带宽组成,并在一定程度上会减少固定宽带的流量,但受限于终端屏幕尺寸和移动接入带宽,在流媒体方面带宽力量仍小于固定宽带上电脑带来的带宽,从而也限制了移动互联网的带宽。所以整体来看,原有的固定互联网带宽仍然是带宽的主体,其他业务带宽总和仍小于互联网带宽。但是,从现网情况来看,当前城域网平面,核心基本应用了业界最高性能的集群设备,以目前的网络性能,核心趋向饱和,不宜再大量接入业务和扩容设备,采用另外一个平面来承载非互联网业务带宽是一个符合网络演进趋势的必然选择。
再次,维护层面来看,维护的难度加大,大量业务接入,各有不同的业务属性,势必要采用不同的IP、组播、VPN、QOS技术,对网络维护形成相当大的压力,维护成本加大,业务品质难以得到保证。
最后,在成本方面,采用一张网和两张网,在业务网关侧,基本都要根据业务分设,所以成本没有太大变化,在核心侧,是各设两台核心设备还是公用的区别,根据目前投资分析来看,设备机框的本身价格相对于业务单板来说很低,所以成本只是略有增加。
当然,也有建设多张网的选择,但建设多张网承载业务,必然导致成本上升而运营利润下降,甚至成本超过收益,不是发展方向。
总结下来,统一一张网承载,将面临业务属性混乱,高品质业务诉求难以得到保障;带宽压力凸显,核心设备能力成为问题;而维护难度要降低;在成本方面,两张网带来的硬件增加成本甚至低于一张网带来的维护增加成本。所以二平面的建设是一个合适的解决方案。
三、二平面建设模式的选择
网络安全加固建设篇(9)
美国国防部2013财年的信息技术预算需求大约为370亿美元,比2012财年的预算略微减少。这些资金被投资到6000多个遍布全球的军事基地,支持3个部、40多个局以及战场上的独特需求与任务。下面详细介绍美军2013财年信息技术和网络安全建设的五大发展重点。
五大发展重点
从《美军2013财年信息技术与网络安全项目的预算需求》可以发现,美军2013财年信息技术和网络安全建设的重点放在联合信息环境、数据中心、企业化服务、网络安全和加固网络等五个方面。
联合信息环境
联合信息环境是一个单一、安全、可靠、高效和灵活的指挥、控制、通信和计算机计划,可被联合部队的任务合作伙伴在几乎所有军事行动、梯队和环境中广泛使用。美军2013财年联合信息环境建设的目标主要有两个:一是使国防部更有效、更安全、更好地弥补弱点,更好地应对网络威胁;二是简化、集成信息系统,实现信息系统的标准化、自动化,减少国防部信息技术基础设施的相关费用。
国防部的信息主管正在指挥着联合信息环境相关计划的实施,也同联合参谋部、各军种及国防部其他部门互相合作,以更快速地全面实现国防部信息技术现代化。国防部正在使用情报委员会的信息技术现代化手段来辅助联合信息环境计划。一个由来自国防部专家组成的小组正在构思实现途径,制定实现计划与项目时间表,并进行经费预算。在2013财年,美军强调项目必须集成网络安全,从操作系统的配置到系统进入控制,到全方位防御系统,到网络入侵探测与诊断。
美军将继续通过国防信息系统局的Forge.mil与RACE软件开发环境,以及通过与研发平台匹配的集成测试与安全评估能力,加速平台的研发、质量控制、网络安全评估。
数据中心
美军非常重视信息技术标准建设,目前国防部的信息主管在军种与国防信息局的配合下为数据中心建立设计的标准,坚持非保密网络、保密网络、物理隔绝网络、加密隔绝网络都执行同样标准。这种标准网络建设,再加之更多的信息服务,使国防部数据中心的数量相应减少。
美军2013财年重点将现有数据中心合并为三类数据中心:第一类为核心数据中心,用于国防部各部门都可以使用的信息服务与应用,以及用于国防部与工业部门、公众交互的对外服务与应用;第二类为地区性数据中心,主要用于满足终端用户的信息服务与应用需求;第三类为部署在战场前方的前方数据中心,此类数据中心很灵活,可以存放地区性与全局性的服务与信息,适合各种任务情况,速度更快,网络可靠性更好。
这些数据中心的服务器将普遍高度虚拟化,这样可以更灵活地加入新的信息服务,提供最大的使用效率。
企业化服务
目前,国防部的信息主管正在同五角大楼的高层领导一起合作,以确保对信息技术投资进行企业化管理,使一些信息中心灵活地交付信息能力与解决方案。
此外,在实施企业化方案的过程中,美军也在不断解决有时出现的框架结构等方面的问题。例如,国防信息主管办公室为国防部起草了“云计算”战略,并将与军事部门、国防信息系统局以及其他部门与生产厂家一起合作来实施该战略,以更好地优化未来的信息基础设施与应用。
网络安全
2013财年信息技术与网络安全项目预算中,大约34亿美元用于国防网络安全,与2012财年基本相当,主要用以消除信息、信息系统与网络已知的脆弱性,使国防部与国家更好地应对网络威胁。
美军2013财年制定了网络安全工作的五个重要目标:第一个目标是当面对强敌发起网络战的时候,国防部信息基础设施用户,包括国防部的合作伙伴,拥有可靠的关键信息与信息基础设施;第二个目标是确保与任务需要的任何伙伴之间实现快速、安全的信息共享,而且信息足够丰富,对于执行任务是有效的;第三个目标是保护美军重要、保密的信息;第四个目标是确保任务指挥官可以随时进入网络空间;第五个目标是确保国防部采用的技术具有灵活性。
重构国防部的网络是联合信息环境的核心支柱之一,以使国防部拥有一个统一的、满足不同安全需求的联合网络体系。目前,美军正在制定这种联合信息环境要素的工程技术细节与体系结构细节。这将提供更加统一的网络防御,并将使网络司令部可以通过计算机掌握全局,防止黑客入侵在网络中蔓延,提高联合作战的互操作性与相互依赖性。
加固网络
加固网络主要有以下内容。
可靠的兼容性评估解决方案美军在2012年购买了一种名为“可靠的兼容性评估解决方案”的商业工具,使用这种工具可以扫描计算机的漏洞,然后做出报告并进行修复。这种工具正在进行最终测试,将于2013年夏天部署,预计各部门将在未来18个月部署与应用。
基于主机的安全系统
目前,美军国防部在每一台与非保密网络、保密网络连接的电脑上安装“基于主机的安全系统”工具。这种工具可以发现并报告漏洞,防止某些类型的网络入侵,探测到其他入侵并作出反应,提高了国防部网络加固、态势感知、网络入侵探测、诊断与反应能力。2013财年申请的网络安全资金继续用于部署与保障新的“基于主机的安全系统”,以更好地加固计算机,提供持续自动监督计算机配置的能力,更好地改善国防部人员与设备身份管理能力。
公钥基础设施身份识别
美军网络加固工作的另一个关键部分是去除网络匿名。美军计划在国防部非保密网络中使用公钥基础设施身份识别,2012年美军完成向50万人公钥基础设施身份识别,2013年3月份美军将使用这些身份证。这不仅可以帮助美军改善信息使用责任制,也可以与政府各部门合作,使跨部门共享更加安全信息。
值得信任国防系统/供应链风险管理 美军认识到尽管先进的商业技术可以为国防部带来众多好处,但是也为国外恶意分子通过插入恶意程序来获取、改变数据,截取、阻止通信并危及供应链安全提供了机会。为了应对这些风险,国防部正在使值得信任国防系统/供应链风险管理制度化,同时国防部也正在与其他部门合作研究管理关键基础设施中防范供应链风险的方法。
国防工业基地网络安全与信息确保项目 由国防部信息主管监督的国防工业基地网络安全与信息确保项目是国防部另一个重要成果。该项目为政府一工业部门的合作伙伴关系提供网络安全方面的标准,也为网络安全提供一种系统方法,包括政府间保密威胁信息的共享、工业部门数据的共享、抢救与修复策略的共享、网络入侵损害评估。尽管不能彻底消除威胁,但是这一项目增强了每个国防工业基地参与者消除风险的能力,进一步保护了在国防工业基地保密网络上存储或传输信息的安全。
美军在项目进程中积累的经验
信息技术采办的标准化为美军节约大量经费
为了解决由于国防部“烟囱式”信息体系(“烟囱式”信息体系是指数据直接从各个数据源被直接抓取到目的地,中间不留任何缝隙)而产生的问题,美军重点改革国防部3个核心过程:提需求、预算与采办。
国防部信息主管办公室与主管军官的办公室紧密合作制定一种灵活、快捷的采办程序,美军通过企业化软件计划,10年期间总共节省了30亿美元。美军的信息体系战略与路线图强调了将购买硬件、软件与服务作为提高效率的主要手段。通过共享国防部中各个组织的购买协议,美军大大减少了中介的数量,进一步优化、理顺了信息技术采购过程。可以说,正是由于美军注重信息技术与设备从需求、预算到采办的全程合作与规范,才大大缩减了经费开支。
智能网络入侵监测系统将提高美军的网络防御能力
美军明确提出要通过“可靠的兼容性评估解决方案”、“基于主机的安全系统”等5项工作来提高其加固网络、态势感知、网络入侵探测、诊断与反应能力。美军计划未来几年逐步从“可靠的兼容性评估解决方案”与“基于主机的安全系统”来收集关于国防部每台计算机的配置信息,并使用这些信息自动生成可供各级指挥官使用的任务风险数值。指挥官可以使用这些信息与风险数值来修复漏洞,更好地了解到底哪些任务存在漏洞。这些智能入侵监测系统的应用将会大大缩短美军监测网络入侵的时间,提高美军应对网络入侵的反应效率。
网络安全加固建设篇(10)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
