交通部网络安全汇总十篇
交通部网络安全篇(1)
中图分类号:TU712
文献标识码:B
文章编号:1008-0422(2013)06-0113-02
1 概述
设计行业信息化是世界经济和社会发展的趋势。近十年来设计行业随着国家经济的发展、业务规模及人员规模的快速增长,随之产生的管理需求不断增加,而依靠传统管理模式已无法满足需求。在“十二五”期间,国内建筑行业将加强信息基础设施建设,提高企业信息系统安全水平;同时项目管理软件等应用系统的普及率不断提高,逐步建立企业级的共享网络以及完善相关的信息化标准成了设计院必备的信息化要求。本文以上海浦东建筑设计研究院有限公司为案例,探讨设计院网络规划及管理方法。
上海浦东建筑设计研究院有限公司现已成为集建筑、市政、园林设计三位一体的综合设计企业。公司设有十个设计部门,六个行政部门。由于公司业务需要及公司发展需求,目前在全国各地设有八个分公司及两个办事处。
根据企业信息化建设目标和总体规划,原有的网络架构不能满足企业管理和信息化发展现状,例如单一VLAN的地址已经不够分配,缺乏有效的安全策略,主干网带宽只有百兆,随着设计专业软件的网络需求增加,越来越多的业务需要使用互联网络,因此需进行全面的网络规划和改造。
2 现状需求分析
由于现有网络结构为单一的树状结构,容易出现单点故障而引起所有网络节点的正常运行;层次结构不清晰,导致无法集中管理设备,造成维护极为不便;设备较老、品牌较杂、设备兼容性较差,网络传输较慢,存在数据丢包现象;使用了大量的专业设计软件网络版,客户端和服务端的访问量与日俱增;设备无法控制网络流量,客户端访问互联网非常拥挤;无法有效避免ARP等局域网攻击;客户端操作系统补丁安装不完全,杀毒软件安装不统一。
所以整体改造分为两个主要方面:
(1)内部网络设备方面的改造:将现有的内网互联百兆主干网升级为千兆传输,在网络出口核心连接广域网处升级路由防火墙,更换现有的核心、楼层交换设备,按部门划分VLAN,实现流量监控。
(2)广域网及系统服务方面的改造:构建VPN实现与分公司互通,部署网络行为管理,系统补丁分发,广域网带宽升级,建立企业统一通信邮箱,建立数据备份机制等。
3 规划基本原则
基于对以上需求的深入理解,网络建设应遵循以下基本原则。
3.1 网络设备应首先满足网络中数据交换的要求,网络主干的通讯链路带宽能够满足应用对网络的性能要求。
通常网络的负载流量主要是从边缘设备到核心的数据交换。改善办公网络整体数据交换性能,应该是首先扩充主干交换机的交换性能,增加边缘设备到核心数据的通讯带宽,以改善整个网络的瓶颈,使得应用软件的性能和效率得到提高。除了考虑满足网络规模所要求的主干设备数据交换处理能力,以及边缘设备到核心的链路带宽外,对楼层交换机也有较高的性能要求。
网络设备的选择,尤其是网络核心设备,应该选择可以配置冗余部件,可以冗余备份,设备损坏部件的更换可以进行在线操作,这样可以使影响的时间降低到最小,以保证网络可以在任何时间、任何地点提供信息访问服务。与此同时,网络设备还要求采用主流技术、开放的标准协议,能够支持不同厂家、不同系列产品之间的相互无缝连接与通讯,减少设备互连的兼容问题以及网络维护的费用。
在满足现有规模的网络用户需求的同时,考虑到业务发展、规模的扩大,主干设备的选择应该具备强大的背板带宽,足够的负载容量。对于交换机来说,核心交换引擎应该在可以满足最大配置下,无阻塞地进行端口数据包交换,模块的扩充不影响交换性能。
3.2 通过将网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。
根据网络中工作组管理功能的划分可以突破共享网络中的地理位置限制,大大提高网络规划和重组的管理功能。在同一个VLAN中客户端不论它们实际与哪个交换机连接,它们之间的通讯象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。用户可以自由地在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
因此,划分VLAN既可以增加网络的灵活性,也可以有效地阻止VLAN内的大量非法广播,还能隔离VLAN之间的通讯,控制资源的访问权限,提高网络的安全性。同时在网络设备上应该可以进行基于协议、基于MAC地址、基于端口、基于IP地址的包过滤控制功能。
3.3 有效控制网络的访问。
合理的网络安全控制可以使应用环境中的信息资源得到有效保护。在进行安全方案设计时,应考虑网络物理是否安全、网络平台是否安全、系统是否安全、应用是否安全、管理是否安全的风险,对应采取相应的安全措施。这些风险与这个局域网的结构、系统应用、网络服务器等因素密切相关。
关键的应用服务器、主干网络设备,应该只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。使网络可以任意连接,又可以控制第二层、第三层控制网络的访问。同时,对连接用户身份的认证也是保障网络安全要考虑的重要内容。
4 网络改造规划设计
4.1 网络拓扑结构(图1)
整个网络安全设计分成内部网络和外部网络,通过一个防火墙隔离开来。防火墙上设置入侵监测和DOS攻击防护等安全防护特性,保证内部用户透明使用网络资源和拒绝外部非法未授权用户的探测和攻击。防火墙上设置VPN功能,用户可以通过使用IPSEC加密的安全通道连接到公司的防火墙,访问公司内部的网络。
此次网络改造主要针对网络交换机层,改造中需要更换一台核心交换机、一台汇聚交换机、若干台分布在各楼层的接入层设备。核心交换机采用H3C 5500-26C,设备具有24个千兆接口和4个SFP接口;汇聚交换机采用H3C 5100-16P,设备具有16个千兆接口及4个SFP接口;接入层交换机采用H3C3100-26TP-SI,具有24个10/100接口和2个千兆接口。
除了一台核心三层交换机,因核心机房还有若干应用服务器,为保证服务器高速连接到网络中,缓解核心交换机转发压力,设计通过一台5100-16P-SI交换机连接服务器组,与核心交换机的连接通过两路以太网线捆绑互联,保证设备间的高速、稳定通信。
楼层接入交换机通过布放的超五类以太网线与核心交换机连接,其连接方式同样使用两路以太网线捆绑,以使接人层交换机快速、稳定地与核心交换机互联,达到冗余备份、负载均衡。
此次改造所有以太网交换机互联均通过千兆接口。
4.2 VLAN规划
由于内部网络是由多个部门组成,按照应用部门之间需求进行统一通信控制,为了达到这种通信的要求,需要利用核心交换机对局域网进行VLAN划分,从而达到部门之间通信的安全性。
网络结构及功能初步规划包括以下几个方面:设备连接规划(千兆链路汇聚);VLAN规划(业务VLAN、管理VLAN);IP地址规划(设备管理IP、业务IP);DHCP服务器规划(多VLAN DHCP规划);接入层设备静态MAC+端口绑定(防止ARP欺骗);设备命名、管理服务、管理账号规划;内部路由设计;访问控制规划(VLAN间安全、业务安全)。
公司内部部门较多,按照设计必须每个VLAN对应一个网段地址,为节约地址、达到地址的唯一性、可扩展性,采用了C类地址;DHCP服务由核心交换机实现地址动态分配。
由于涉及到多VLAN的环境,将会导致局域网计算机在网上邻居看不到其他VLAN内的计算机,为解决设计部门间互访的要求,需将网络系统模式提升为AD模式,同时架设WINS服务。
工作在网络第二层的VLAN技术能将一组用户归纳到一个广播域当中,从而限制广播流量,提高带宽利用率。同时缺省情况下不同VLAN之间用户是不能相互访问的。通讯通过三层设备转发,这就便于实施访问控制,提高数据的安全性。
在网络用户VLAN规划方面,根据用户所属的部门,以及具体的网络应用权限来划分出设计部门,财务及管理部门,其他行政部门,机房设备等VLAN。
具体VLAN分配原则制定后,根据VLAN内用户分布情况,在交换机上安排相应的网络端口,在不同交换机之间,如果需要交换同一VLAN的数据和信息,则在交换机互联的端口上设置其工作在Trunk模式下,使其能转发带有802.1Q标签的不同VLAN的数据包。
4.3 安全管理规划
结合实际情况,内网安全规划通过以下方法来预防及控制:按照部门或楼层等划分相应的VLAN,控制广播及病毒泛滥;对设备设置管理用户及密码,并定期更改;及时更新系统补丁和防病毒软件;通过IP+MAC+端口绑定未防止ARP攻击;通过利用防火墙对客户端进行访问策略限制,保证网络资源合理应用。
局域网内部路由,主要是为防火墙与内网多个网段之间建立通信,因为内网涉及多个网段,所以需要在三层交换机上面设置一条缺省路由到防火墙内网接口,同时在防火墙上需要设置一条聚合路由指向三层交换机。
内网客户端访问外网将通过在防火墙上实现访问控制。防火墙将按照实际应用需求设置开放相应的服务策略。通过核心三层交换机和防火墙,定义相关的访问控制列表及策略。
在网络设备配置中,利用三层设备的ACL(访问控制列表)功能,保护那些对网络安全要求较高的主机、服务器以及特定的网段(例如财务)。ACL是手工配置在网络设备上面的一组判断条件,对于满足条件的数据包,设备进行“转发”或者“丢弃”的处理。ACL的主要作用是实施对网段的访问控制,针对数据包的源地址和目的网络地址的组合,通过在网络设备上配置访问控制过滤功能,提供网络管理人员对网络资源进行有效安全管理的技术。
预防网络中ARP病毒攻击,通过在接入层交换机上配置静态MAC+端口绑定,预先设定接入层交换机端口连接到哪台终端,以及终端网卡硬件MAC地址。
交通部网络安全篇(2)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
交通部网络安全篇(3)
从国内交通运输经济的发展现状来看,随着各地生产力水平以及交通技术水平的不断提高,各地区交通运输经济发展的物质条件逐渐得到改善。尽管如此,交通布局、管理、资金以及技术等因素仍然出现受限的情况,为了使各地区交通运输经济能够实现持续化、高质量发展,相关部门人员需要充分地发挥网络通信系统的技术优势,并且构建符合时展需求的交通运输安全体系,以此来防范经济发展过程中的风险问题。
1基于网络通信系统的交通运输经济发展意义
1.1有利于市场经济的快速增长
从广义的角度来看,交通运输经济是国内市场经济的重要组成部分,而在市场经济发展过程中,交通运输经济为其他行业经济的发展提供了前提条件,具有一定的促进作用。首先,从市场经济发展的调节角度来看,交通运输的普及使市场贸易发展突破了地区、时间以及经济等因素的限制,提高了货物流通以及货物贸易的便利性。这样一来,社会民众对市场贸易的需求量则会大大提高,从而为地区经济的发展构建了坚实的市场基础。其次,交通运输能够满足国家对货运以及客运运输的要求,且随着网络通信系统的升级及技术水平的提高,交通运输工作的管理质量也有所提高。在此发展背景下,交通运输经济的发展快于社会经济发展的速度,并对社会经济的发展产生一定的促进作用。
1.2有利于为社会的秩序化发展提供保障
在实现建设现代化强国总目标的过程中,交通运输行业的发展为社会稳定以及国家政治经济的发展提供了充足的动力,解决了影响社会发展的难题,使社会的秩序化发展得到保障。而在部分特殊时期中,交通运输的重要性便更加显著。以2021年的河南水灾为例,在自然灾害的威胁下,当地的生产业、工业等行业均受到一定的影响,并且对当地的经济发展造成巨大的创伤。但在灾害发生的后续阶段,各地区通过交通运输为灾区提供物资资源,使当地的灾害问题得到有效的缓解,为社会秩序的恢复提供了服务保障。
1.3有利于协调各地区的生产力布局以及资源配置
从我国资源发展的现状来看,整体资源储备较为丰富,但资源的分布缺乏平衡性。且受到地理位置以及其他因素的影响,部分地区的资源无法得到有效的开发,使当地的经济发展受到一定的制约。而在这样的发展背景下,交通运输行业为区域经济的发展提供了新的发展路径。例如,部分地区将交通运输作为依托,开辟出公路、水路以及空运等多种资源运输方式,使地区的经济及资源能够得到合理的布局与有效的协调。又如,在交通运输的支持下,西部地区的油气资源能够流通至中原及华东等地区,使国内中西部地区的油气资源能够得到有效的配置,从而提高地区的经济水平及资源利用率。
2影响交通运输经济发展的主要问题
2.1缺乏维护经济发展安全的资源及手段
从交通运输经济的发展现状来看,尽管信息技术以及网络通信技术为交通运输的发展提供了充足的技术条件,但在部分地区的交通运输发展过程中,地区内缺乏充足的资源以及工作手段,使交通运输经济的发展面临安全问题。首先,从资金方面来看,部分地区的交通运输发展缺乏充足的资金作为支持,导致交通运输部门缺乏充足的人才、设备以及材料等资源,使当地交通运输安全系统的构建受到制约与影响。其次,由于部门缺乏有效的风险防控手段,导致在实际的工作过程中,网络通信系统的信息安全问题无法得到有效的解决。例如,部分部门欠缺数据管理的保密技术,且其信息系统的通道开放性较高,这样一来,交通运输信息数据的储备容易出现信息遗失、数据泄露等风险,使交通运输的管控工作受到一定的制约。
2.2交通运输服务存在滞后性问题
在实施交通运输管理的过程中,交通运输服务的滞后性往往使工作过程出现管理缺陷,继而引发一系列的管理安全问题,使区域内交通运输的正常运行受到一定影响。在交通运输服务方面,随着科学技术水平的提高以及地区交通基础的巩固,社会群众对地区内交通运输的服务及功能有了新的要求。由于相关部门的交通运输管理工作受到资金以及成本控制的影响,导致地区内的交通运输在服务管理方面存在服务效率低、网络流通慢等问题,使部门内无法构建有效的个性化安全服务。其次,在交通运输网设计方面,尽管网络通信系统能够在一定程度上保持交通运输网的正常运行,但在人为因素的影响下,地区内的交通运输网布局缺乏合理性。例如,部分三线城市的交通运输网的分布缺乏均衡性,使城市内部分区域的交通运输秩序受到影响,限制了当地物流交通运输的速度及效率,最终造成交通运输的安全问题。
2.3缺乏全面的安全管理体制作为保障
从当前国内交通运输管理体制的发展现状来看,其体制内容以及结构存在诸多缺陷,以至于工作人员无法在管理体制的指导下参与交通运输网络通信系统的管理工作,使网络通信的安全受到一定影响。首先,从管理体制内容方面来看,交通运输管理体制普遍存在重复性较高的问题,如不同管理部门出现责任缺乏协调性的现象,导致交通管理部门对同一领域中的同一对象产生重复性的建设管理,使交通运输的网络通信出现安全与经济技术分离的现象。其次,从管理体制的功能来看,由于地区内交通运输管理部门出现独立化管理的问题,导致部门人员各为其政,使交通运输网络的建立无法切实做到优势互补,使网络通信系统的未来安全受到一定影响。
3实现交通运输经济发展安全化的有效策略
3.1实现技术升级以及设备更新
3.1.1运用智能交通系统进行交通运输管理为了提高交通运输管理工作的整体效率,并且提高交通运输网络通信系统的安全防护能力,相关部门需要借助智能交通系统进行交通运输的管控工作,实现交通运输网络安全管理的秩序化、高效化发展。首先,从智能交通系统的功能属性来看,智能交通系统ITS具有指挥调度、信号控制、交通监管以及配置管理的功能。因此,在实际的交通管理工作中,部门需要扩大智能交通系统在地区内交通路线的普及范围。这样一来,相关部门便能够借助智能交通系统收集实时的交通运输信息,减少恶意信息对交通运输网络通信系统安全造成的影响。其次,相关部门需要运用智能交通系统的功能加快地区物流信息化发展。例如,借助营运车辆运行管理系统CVO,对目标车辆进行监控、信息收集与信息管理,实现车辆管控工作的一体化发展,并且在提高交通运输管理效率的同时,减少交通信息处理的安全问题。3.1.2运用信息加密技术进行网络通信的安全防护在交通运输的网络通信管理工作中,解决数据安全问题是实现网络交通管理持续化发展的重要任务。因此,相关部门需要充分利用网络通信系统的技术优势,并且以避免出现破解可行性为目的,构建出安全化的网络数据保密空间。例如,为了防止病毒侵入网络服务系统,工作人员需要对网络通信系统的服务器进行改造,并且借助ActiveX病毒控制扫描软件来防止系统安装不安全控件。在此基础上,工作人员可以通过加密技术来提高系统数据信息的隐私性。例如,借助IPSEC的加密通信框架或者数字签名,使网络通信系统内部构建保护隐私的密钥系统,数据的安全性能够得到有效的保障,并且有利于防止不法分子侵入系统的内部网络。其次,在未来的发展过程中,交通运输管理部门可以将量子信息技术作为通信安全的技术保障,例如,从现有的信息技术水平来看,高级加密标准的加密算法能够与量子保密通信相结合,并且使交通运输的通信速率大幅度提高,在此基础上,相关部门可以将抗量子计算密码(PQC)与其相结合,构建出能够满通运输网络通信安全需求的身份认证系统,降低人为因素对网络通信系统安全造成的影响,并体现加密技术的安全防护功能。
3.2构建全面的工作体系
3.2.1优化算法及数据体系的构建在科学技术的指导下,交通运输管理中的通信设备以及控制设备性能得到有效的增强,而在此基础上,相关部门需要针对交通运输网络通信系统的算法体系进行有效的优化,以此来提高部门对各类设备的信息获取及储存的控制精度。首先,为了提高对交通路网容量以及流量的控制力度,相关部门需要结合交通运输的设备功能,完善其相对应的算法管理体系。例如,针对交通路网以及相应路段的容量与流量,判断路网的交通通行能力,继而建立能够基于当前交通路网改建需求的接续网络,为交通的正常运行奠定基础。其次,在数据体系的构建过程中,工作人员需要对交通运输过程中所涵盖的各类数据进行全面的统计,如交通参与者的信息及属性数据、交通运输环境数据、交通运输过程数据。在此基础上,工作人员需要对此类数据进行合理利用与有效保护,为安全防范制度的落实奠定基础。3.2.2建设安全防范工作目标为了将交通运输网络通信的安全工作落到实处,为交通运输经济发展奠定基础,交通运输部门应明确安全防范工作的具体目标,并根据不同时期的工作目标制定有效的发展战略,采取有效的工作方法。首先,在技术方面,相关部门需要在交通运输发展体系的指导下,积极探索有利于交通运输经济发展的新技术。以山东十四五交通运输发展规划为例,为了加快跨境物流体系的建设速度,并且赋予地区交通以及旅游融合新的发展动力,相关部门通过加强智能高速管控技术的研究力度、全面普及多模式公交的协同运营技术,为地区交通运输经济的发展开辟新的篇章。其次,地区相关部门应当基于现有的感知传输体系,开创全新的交通运载服务体系。例如,可以借助遥感以及通信等基础的信息服务系统,为社会的交通运输提供全新的出行服务,其中包括:通过导航系统来增强运输车辆的公路设施状态感知、借助交通监控系统来增强对运输货物的危险状态感知。
3.3为网络通信安全提供针对化安全保障
在维护网络通信安全的过程中,相关部门需要针对网络通信系统的多项需求及功能设置安全保障。首先,在连接网络的维护方面,相关部门需要运用安全系统以及防火程序来解决设施漏洞问题,并且提高防入侵的检测能力。例如,相关部门可以将虚拟网络技术应用于内部网络的防护当中,其原因在于,虚拟网络技术能够基于区域内的局域网进行网络通信限制,并且加强网络之间的访问控制力度。当外部用户通过非法手段进入交通运输的网络通信系统时,系统能够根据一定的安全策略实施网络检查,继而揭示网络运行状态,达到保护内部网络的效果。其次,相关部门需要针对网络通信系统的信息数据设置安全保障,而在此过程中,工作人员需要将病毒的防护作为核心工作,并借助病毒过滤软件删除系统中存在的信息病毒。在此基础上,相关部门需要借助网络病毒监控软件来对网络通信系统的数据库进行实时监测,以此为后续的病毒筛查提供信息保障。最后,由于In-ternet属于公用网络,因此,工作人员需要构建网络通信系统的运行安全保障功能,维护系统的运行安全。例如,借助RSA系统进行身份认证的监控与保护,并将交通运输的通信管理放置于私用网络当中,避免系统受到公用网络的攻击。
3.4促进信息技术与交通运输管理的深度融合
在信息技术时代的发展背景下,5G通信技术、互联网技术、云服务技术等为交通运输途径的创新提供了技术保障。而在未来的发展过程中,交通运输管理部门应当继续深入挖掘新时代技术的使用优势,实现技术与交通运输发展的有机结合。首先,为了实现各地区交通运输的继续发展,交通运输部门应当结合网络通信技术来优化道路设施功能。以北斗导航系统的智能化应用工程为例,在网络通信系统与VDES等系统的互通下,地面网络与卫星网络能够在一定程度上实现资源的互通与联系,这样一来,相关部门便能够借助网络通信系统来为交通运输提供服务,如路网监测、智能化行车、路线调度等。其次,在城市交通运输的监控管理当中,相关部门应当不断地开发新的交通感知技术,并将传感设备投入正式的道路,以此来加快相关路段的交通基础设施勘察、管理与建设,增强地区的交通能力,为交通运输经济的发展提供良好的环境。
4结语
总的来说,交通运输经济的发展能够从社会、经济、地区沟通等多个方面影响社会生活,而发展交通运输经济则是社会发展过程中不可忽略的重要任务。对此,在未来的发展过程中,政府及相关部门需要发挥自身的领导职能,并且通过分析交通运输经济的发展态势,总结出导致交通运输经济发展滞后的主要因素,并做出针对性的解决对策,为国内交通运输经济的持续发展奠定基础。
参考文献:
[1]王高爽.城市交通指挥系统下的专网通信研究[J].科技风,2015(29):106.
[2]杜金祥.交通运输网络通信系统的安全防范探索[J].产业与科技论坛,2014(21):64-65.
交通部网络安全篇(4)
信息中心(通信公司)成立于1989年,是油田范围内唯一一家经营通信服务的公司。上世纪90年代末,网络技术的开始在油田发展,信息中心开始搭建公司内部使用的局域网络,由于当时技术的局限性,对网络的扩展性和延伸性未进行很好的规划。随着信息化时代的来临,中心的各项业务流程及应用服务都逐渐移植到网络服务上。在中心内部逐渐形成了运行生产报表汇总的生产运行网,运行电信业务营收及业务办理的计费网,与集团公司进行公文收发的信息网,还有大部分计算机还要外部互联网进行联系,满足工作学习的需要。由于不同的需求跨越不同的网段,占用不同的物理链路,且各个部门的需求又不尽相同,所以造成公司内部网络异常混乱,各类应用无法畅通的运行。不但加大了对网络的维护的难度,而且网络的安全性也无从保障。
二、现有网络改造
改造后网络系统采用星型结构,以宽带机房为中心,连接应用服务器群,机关楼,中心机房大楼、还有地处各个矿区的通信站,综合服务公司。涉及联网的机器约有300余台,20余个部门。网络出口部署中网黑客愁防火墙,3个百兆端口分别连接到互联网、信息网和内部网,利用防火墙的NAT功能,抵御来自互联网的网络攻击,管理,限制内部用户的互联网访问。核心层采用Cisco3548-EMI三层交换机,该交换机能够实现数据保的路由及数据快速转发交换。接入层采用Cisco2948二层交换机,实现各终端的接入。全网按照部门和物理位置划分出了20个VLAN,利用Cisco3548实现三层交换,有效的抑制了广播风暴的影响。各接入层交换机与Cisco3548之间采用TRUNK方式连接,不同交换机的端口可以规划到相同的Vlan中。
三、网络规划整体规划与设计
1.Vlan划分:按照公司不同部门位置和地域的情况,结合管理需要,划分为16个VLAN,每个VLAN的电脑可以进行交换数据,不通VLAN内的电脑通过Cisco3548三层交换机进行数据交换,这样可以有效的降低网络内的广播风暴,减少病毒传播。
2.计费数据中心的构成:将计费核心数据库用CiscoPix525防火墙隔离,通过防火墙的端口重定功能开放营收客户端的访问功能。保证核心数据库的安全稳定。
3.各单位的网络接入:南部通信站和团泊洼站通过E1/Ethernet协议转换器接入到内部核心交换机。港东站、港西站、幸福里站通过传输网络的Ethernet接口接入到内部核心交换机。中心西院通过光收发器接入到内部网络核心交换机。
4.IP地址规划:鉴于中心内部网络规模中等,所以启用B类保留地址,172.16.0.0/16,按照不同VLAN分配不同网段。
四、网络安全规划与建设
中心内部网络承载各种不同功能的应用系统,如办公自动化系统、营收管理系统、监控保安系统等。网络中存在的病毒与黑客等信息安全威胁,都会影响到各类系统得稳定使用。因此制定防毒反黑、安全隔离等网络安全策略,是内部网络建设不可或缺的部分。根据中心内部网络的安全需求,通过防火墙把整个网络分为内部网络、DMZ区,外部网络(包括公网与信息网)实现内部网络与外部网络之间的安全隔离。首先,利用防火墙的网络级包过滤进行反黑与有效的安全隔离。其中,运用防火墙的多极过滤、动态过滤技术、通过数据包监测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。运用NAT技术,一方面节约有限的公网地址,另一方面也隐藏了内部网的IP地址,有效的保护内部网络不受外部的攻击。另外,防火墙具有基于WEB的全中文图形用户界面,允许通过HTTPS加密方式进行防火墙的配置和管理,包括安全策略的执行。本方案采用赛门铁克的网络版杀毒软件,作为一个符合网络版杀毒软件新标准的产品,赛门铁克网络版杀毒软件通过可移动集中控制管理带来的高效率,不但增强了防病毒的安全性,更让整个网络的管理更轻松,无需投入巨大人力、物力财力的防病毒安全解决方案。
交通部网络安全篇(5)
1 引言
校园网是指利用网络设备、适宜的组网技术与协议、通信介质以及各类系统软件和应用管理软件,将校园内各种终端设备和计算机有机地集成在一起,并用于教学、科研、学校管理等方面工作的计算机局域网络系统。最近几年来,随着网络技术的高速发展和高等教育改革的逐年加快现代高等教育正在朝网络教学、远程教学、教育资源共享的方向发展。校园网显现了以下关键特征,促使许多高校在对校园网及其信息应用进行不断的升级改造和完善,文章将以长沙通信职业技术学院校园网的升级做为实例探讨了校园网改造的设计与实现这一课题。
2 校园网升级改造的设计与实现
2.1 长沙通信职业技术学院校园网的现状
长沙通信职业技术学院托隶属电信企业的优势,很早就组建了校园网,期间对一些关键网络设备和技术进行了更换和提升,近年来,随着学院发展速度的不断加快,建筑楼宇的不断增多以及信息化的需求加大,原有校园网在运行中暴露出许多问题,主要表现在:
1、网络覆盖:覆盖范围不够。随着新培训大楼和体育馆的建成及的实验楼的改造,原有规模的校园网设备的端口数严重缺乏,不能满足现有需求。
2、网络性能:性能不稳定。原有网络带宽和主交换机交换能力及服务器的配置均己经不能满足学院多媒体教学和开展远程教育等业务流量的需求。
3、网络管理:管理难度大。随着入网用户的增加,网络设备的维护和网络用户的管理难度越来越大。
4、网络安全:安全体系差。没有一套完备的网络安全体系;原有防火墙性能较差,大大限制了外网访问速度。
5、与外网互联方面。出口带宽较低,而且是单条专线接入互联网,远远不能满足需求,教育科研网与公众网间互联不尽人意,网络性能不太稳定。
2.2 升级改造的方案设计
2.2.1 网络拓扑结构
校园网一般采用三层层次模型,将整个网络划分成不同的层次,各个层次各司其职。网络由三个层次组成:接入层、汇聚层、核心层。
接入层的功能:可以是直接连接桌面PC,也可以是建筑物楼内的交换机,做为网络接入安全控制和QOS策略实现的边缘点,可以实现接入用户的802.1x认证。
汇聚层的功能:承上启下,提供负载平衡、快速收敛和扩展性;完成路由选择,汇聚接入层设备的流量,高速无阻塞地转发给核心层设备。
核心层的功能:提供负载平衡、快速收敛和扩展性;连接各汇聚设备;完成数据流的高速转发。
2.2.2 网络管理系统的总体设计
在校园网升级改造项目中,网络管理系统依照“技术管理为主,行政管理为辅”的方式,在行政上,通过委派有网管经验的网管工作人员,专职负责校园网设备的配置和管理,信息定期收集统计和分析,性能和安全性监控。在技术层面上,选用一款专业的网络管理软件,安装在网管中心,通过提升整个的校园网的管理水平。
2.2.3 校园网安全系统设计
合适的安全产品选型和部署、完善的系统加固处理、良好的安全管理培训及快速的安全事件响应,才是安全有保障的解决之道。因此,要想很好地实现网络安全管理,需要从以下两个方面着手:1、部署合适的安全产品和防御系;2、网络安全管理措施。
2.3 升级改造的实现
2.3.1 网络拓扑结构
根据单位现有的设备,以及以上这些设计要求,长沙通信职业技术学院的网络结构分为三级:
第一级是网络中心。网络中心选址在学校地域的中心建筑(实验大楼),布置了校园网的核心设备,如路由器、交换机、服务器(WWW服务器、电子邮件服务器、拨号服务器、域名服务器等),并预留了将来与本部以外的几个园区的通信接口。
第二级是建筑群的主干结点。校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第二层,它向上与网络中心的主干交换机相连,向下与各楼层的集线器相连。学校校园网主干带宽全部为1000Mbps。
第三级是建筑物楼内的交换机。三级节点主要是指直接与服务器和工作站连接的局域网设备,即以太网或快速以太网交换机。
网络中心设施是华三公司的H3C-7510交换机。H3C-7510交换机具有良好的虚拟网络支持能力,可以跨越各个建筑物的地理限制,在全校范围内建立必要的虚拟网络,从而为网络的应用、管理和维护带来极大的便利。网络中心用的各种服务器都可直接连接到中心的H3C-7510交换机的快速以太网端口上,以解决可能会出现的瓶颈问题。
各建筑物楼内配置H3C-E126交换机,用于按地域将连续IP地址划分子网,建立虚拟局域网。各系或部门的服务器可直接挂在H3C-E126交换机上。所有这些H3C-E126交换机都连在第二级的主干节点H3C-E3610交换机上。
2.3.2 网络管理系统部署
校园网的管理对保证网络平稳运行至关重要。校园网的管理分行政手段管理和技术手段管理。
1、建立一支高水平的网络安全管理队伍
要真正实现网络安全,各种制度、策略和技术措施只是前提条件,日常的管理和维护工作才是重点。要维护大规模网络的安全,需要有一批经验丰富的专门的网络安全管理人员,让他们在有关信息安全部门的领导下做好重要系统的管理和监控、协助建设各类网络设施和系统、协助配置各类系统和设备、协助应用部门查杀计算机病毒、协助信息安全部门处理各种安全事件、在信息安全部门的授权下检查解决各类系统的安全漏洞和弱点等工作。
2、布署稳定实用的网络管理系统软件
交通部网络安全篇(6)
中图分类号:TP393.1
近些年,网络环境越来越纷乱复杂,人们在正常的网络交流与信息资源传输过程中往往容易遭受以黑客为组织的恶意干扰及攻击。同时,由于传统防火墙的网络安全技术只局限于保障内部网络免受外网计算机的恶意攻击,而无法阻止黑客使用Cain、Dsniff等系统技术或工具对局域网流量传送的恶意破坏与攻击,所以网络上一度产生了严重的信任危机。为此,人们对网络安全提出了更高的要求,因交换机是整个网络中的核心部分,所以解决网络安全问题需要着重从交换机方面寻找突破,进而提出相关策略以提高网络的安全性。
1 交换机
交换机作为一种设备其具有信息交换的功能,在通信系统中广泛使用。而在计算机网络系统中引用交换机,其是对共享工作模式的升级,发挥着转发数据的重要作用。因此,在考虑网络安全性、保密性、完整性的时候,交换机需要满足三大点:(1)设置用户的权限控制及网络信息区分,以达到访问与存取的安全性;(2)减少交换机在转发数据过程中的干扰性,并确保安全与高效速率;(3)结合其他网络安全设备,以提高交换机在监控与阻止方面的功能性。
2 基于交换机技术的网络安全策略
2.1 划分VLAN以提高网络安全
VLAN,即虚拟局域网,是一种较为新型的技术,相当于一组逻辑上的设备与用户,或是一个广播域,常常被设置在OSI参考模型的第2层和第3层,VLAN技术具有更高灵活性的特点。因其不存在物理位置的局限,所以设备与用户之间的通信仿佛在同一个网段中进行,通常在第3层路由器中完成,相关的功能与应用都能得到满足。通常的网络大多是以太网,其安全性不高,且常出现广播问题,所以为了提高网络的安全性,在以太网帧的基础上划分虚拟局域网(VLAN),增加VLAN头,将用户划分成小数量的工作组(通过使用VLAN ID来实现),每个工作组就相当于一个虚拟局域网,但需要对不同工作组间的用户实行二层互访限制。划分VLAN,就能够对广播范围进行限制,在相同网段中VLAN内部的广播与单播流量不会因受到恶意攻击而向其他VLAN转发,这是因为VLAN隔离了广播风暴,由于没有相同的VLAN号,所以不同VLAN之间的通讯也被隔离,需要通过路由来实现通讯。在此基础上,通过构成虚拟工作组以实现对网络的动态管理,并达到流量及设备投资的控制,网络安全性也相应提高。
2.2 利用NetFlow来增强网络安全性
在局域网的运作中,其会因遭受大范围的分布式拒绝服务攻击(网络中的异常与可疑行为,如传播中的蠕虫病毒攻击)而影响正常运作,或是发生网络瘫痪。为了增强网络的安全性,将NetFlow引用到Cisco路由器以及某些高端交换机上,以实现对网络上拒绝服务攻击、蠕虫病毒等的探测,从而降低网络使用过程中的危险性。其中,探测器(监听网络数据)、采集器(收集探测器的传输数据)、报告系统(对采集器中的数据进行易读报告转换)是构成Netflow系统的三大元素,在这三个部分的共同作用下NetFlow具有强大的功能性。由于网络中的交换机分布密集,因而在交换机上使用NetFlow,并结合其他流量监控管理软件,以实现对异常流量的监控,包括监控异常流量的种类、大小、源头、流向(目的地址)、端口、危害等。如此,网络后台技术人员就可以借助NetFlow提供的信息来发现异常现象,进而快速解决异常问题,以增强网络安全性。
2.3 利用IEEE 802.1x加强安全认证
使用物理连接端口是传统局域网的特点,但这一特点也是潜在安全隐患的所在,未经授权的网络设备或用户可以通过物理连接端口实现对局域网的连接,从而进入局域网络进行恶意破坏或攻击。因此,为了加强局域网环境中的安全认证,可以利用IEEE 802.1x来解决局域网内的潜在安全隐患,由于802.1x协议可以和局域网实现无缝融合,所以在二层智能交换机中集成使用802.1x,根据交换局域网架构的物理属性对用户进行接入安全审核,并实现对局域网端口的设备认证。802.1x允许访问端口的动态配置,同时设置了相同的安全策略在端口级别中,并提供多级别的用户访问控制,802.1Xsupplicant(恳请者)相当于网络系统中请求认证服务的用户与设备,其利用网络接入设备向认证服务器申请认证请求。在802.1x的局域网端口中,设置了MAC锁定,以保障网络中的数据都由可信任的MAC地址所发送,同时802.1x实现了逻辑网络的全面覆盖,所以网络环境中的整体风险相对减少。
2.4 设置访问控制列表
在网络安全体系中,访问控制是其中的一个重要部分,其主要负责保护网络资源,避免非法用户对资源的使用及访问,因此网络安全技术人员需要设置相应的网络访问控制列表,积极使用访问控制技术(如网络权限控制、属性控制、入网访问控制等)来辅助防火墙,以提高网络的安全功能性。结合防火墙的安全功能,网络安全技术人员可以利用访问控制列表ACL来加强网络的安全过滤功能、安全防范功能。如网络安全技术人员可以采用源/目标VLAN、MAC地址、TCP/UDP端口、源/目标交换槽、源/目标IP等访问控制过滤方法,以及制定相应的网络安全策略,通过访问控制列表ACL来加强网络的安全屏蔽。同时,利用ACL设置相应的控制规范,对特殊的用户或数据进行限制,进而保障网络的安全。
2.5 加强交换机的端口安全
网络的端口安全措施也是保障内网安全的一个途径,其原理是以MAC地址为凭证,将交换机端口与MAC地址进行绑定,进而实现对端口网络流量的控制与管理,以达到加强交换机端口安全的目的。绑定交换机端口与MAC地址之后,在access或者Trunk状态下确定端口模式以及端口指定的MAC地址,所以在网络使用与访问过程中一旦主机的MAC地址不同于交换机上的已定地址不符时,那么交换机就会down掉有关的端口,以保障网络的安全。此外,利用MAC地址对端口流量进行控制,一个TRUNK口通过的MAC地址不能超过一百个,超过就会丢失主机中的数据帧。
3 结语
在当前的网络信息社会环境中,人们对网络的使用依赖性越来越大,所以网络安全备受人们的重视。由于交换机在网络中占据着重要的份量,因而基于交换机技术来提出相应的网络安全策略,通过划分VLAN、利用NetFlow与IEEE 802.1x、设置访问控制列表、加强交换机的端口安全等策略来提高网络的安全性。如此,以树立人们对网络安全的信任,让人们放心、安全的使用网络。
参考文献:
[1]王东洋.基于虚拟设备的虚拟交换机设计[J].软件,2012(1):42-45.
交通部网络安全篇(7)
企业内部网络是企业中十分重要的基础设施,可以实现企业内部相关部门及下属单位的数据共享、互联互通,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求。本文从内部网络的建设原则、建设内容着手,阐述如何建立企业内部网络,着重讨论了网络平台的建设。
1建设原则
企业内部网络建设应遵循以下原则:统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。
统一规划:明确内部网络在规划期内的规模,确定总体需求,既能满足企业当前需求,又充分考虑将来整个网络系统的投资保护和对新应用的支持。
高可用性:要求关键网络设备具有单点失效保护,能够实现故障预警、报警,以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下,内部网络可以继续工作,不影响业务处理。
高性能:内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
高扩展性:由于内部网络是一个长期使用重要的基础设施。日后随着企业规模扩大和业务量的增长,对内部网络性能的需求可能会超出预期,当内部网络的处理能力不够时,要求可以在原有网络架构的基础上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口,选择广泛应用的网络标准协议,能够与各级下属单位网络、ISP网络以及其他相关网络实现可靠的互联。
高安全性:具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。
高可维护性:维护便捷简单,尽量减少设备宕机检修时间,特别是减少进行故障修复、网络扩展和变更时的宕机时间,能够提供友好、全面的监控工具,减少网络管理的漏洞风险,增强网络管理维护性能。
2建设内容
企业内部网络建设主要内容包括:网络平台、IP地址划分、中心机房网络分区、桌面安全管理、网络安全、网络管理及运维。
2.1网络平台
企业内部网络平台建设通常有两种架构:二层架构和三层架构。二层架构包括:核心层、汇聚层。三层架构包括:核心层、汇聚层和接入层。由于技术进步,目前用于组网的交换机基本上具有三层交换功能,因此不用过多考虑二层交换和三层交换之间路由的问题。
核心层通常部署两台核心交换机,实现负载均衡和单点失效保护,核心交换机通常部署在企业中心机房。
汇聚层通常指楼层交换机,通常部署在楼层弱电间,每个汇聚交换机同时接入到两个核心交换机,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络,亦可以在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。二层架构中该层具有接入和汇聚双重作用,桌面客户端通过楼层布线或者网线接入该层。
三层架构中的接入层通常是指办公室接入交换机,通常部署在工作区配线架或者弱电间,每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络,亦可以在接入层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。
两种架构的差别主要在于二层架构中没有接入层,其汇聚层具有接入和汇聚双重作用。
2.1.1二层架构的优缺点
2.1.1.1优点
可用性高。汇聚层(也是接入层)直接双上联核心,减少中间环节。传输路径短,数据流从一个区域到另一个区域,路径只需经过“接入核心接入”,数据就可以传输到对端,优化了网络路径。
性能高。汇聚层(也是接入层)直接与核心交换机相连,带宽的收敛比小,实际分配给每一个终端的带宽大,保证时延最小。
2.1.1.2缺点
扩展性弱。当用户的数量增加时,需要在汇聚层增加交换机接入核心交换机,或者通过在汇聚层增加交换机,使用堆叠方式或级联方式实现。
交通部网络安全篇(8)
近日,在接受《通信产业报》记者采访时,国家计算机网络应急技术协调处理中心副总工程师杜跃进指出:目前,传统意义上的互联网安全和电信网安全界限已经越来越模糊,电信网络安全的挑战更多地来自于用户端。
运营商要对用户数据安全负责?
杜跃进指出,与传统思路相比,电信网络安全需要同时注重交换网络安全和用户数据安全。
交换网络的安全问题源自于电信网络向NGN的演进。他指出,网络安全应采取新的技术手段,以保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了IP网作为承载网,网络安全问题尤其突出。
而用户数据安全问题的产生则要归因于网络功能的增强。杜跃进认为,由于基于NGN的多媒体、交互式业务不断增长,用户的隐私保护问题对于电信运营商和互联网服务商来说将是无法回避的,电信运营商和互联网服务商有责任采取多种技术手段,保护用户的账户信息和通信信息的安全。他指出,这些安全保障的实施有两大要点:首先,软交换网须采用必需的安全认证策略保证用户账户信息的安全;同时,无论是用户的账户信息还是用户的通信信息的安全均需要IP网的安全策略作为保证。
交换网络方面的安全新挑战容易理解,但用户数据安全的提法无疑扩大了传统电信网安全保障的责任范围,电信运营商对此持保留意见。中国电信网络资源管理处处长叶薇表示:“尽管用户数据安全问题较为迫切,但目前其尚不在运营商网络安全维护的责任之内,只有当国家政策作出相关要求,或者大规模病毒泛滥严重影响承载网络可用性的情况下,电信运营商才会在网络节点上采用应对手段,进行流量清洗和净化。”
来自用户终端的威胁
尽管用户数据安全的责任归属难以界定,但叶薇承认,电信运营商并不能超然事外。她指出,DDOS、垃圾流量、蠕虫,是当前网络交换和网络应用的三大杀手,而三者滋生的温床都是用户端的僵尸网络集群。其中,DDOS攻击能产生大量非法不可控流量,通过消耗网络资源,造成网络设备性能下降,数据包转发异常,导致网络可用性下降,堪称当前电信运营商核心网面临的最为严酷的安全挑战。
最近一份赛门铁克的网络安全监测报告指出,位于中国的僵尸网络计算机终端数量已经位居全球第二,占全球僵尸网络计算机总量的9%。今年11月底,在中国移动举办的移动互联网研讨会上,来自绿盟科技的演讲者韩永刚也提到,据绿盟科技监测统计,中国目前已经有三百多万个IP地址被僵尸网络所控制。
这使得交换网络安全和用户数据安全正在面对的威胁越来越趋于专业化和多元化。韩永刚举例说:“今年10月,中国电信某城域网就面对了一次僵尸集群发动的DDOS攻击,其网络承受的攻击量从3G增长到5G、6G,电信运营商和安全厂商忙于应付,在之后的调查中发现攻击来源的IP都是僵尸计算机,幕后真凶也无从查起。”
对此,中国电信网络资源管理处高级业务主管王新峰认为:用户终端沦为僵尸网络,其引发的蠕虫病毒、DDOS攻击、垃圾流量工作机理各不相同。“目前中国电信已经开始着手解决,以不同的方法应对。”他说。
王新峰举例表示:垃圾流量主要是由P2P应用、垃圾邮件等业务带来的,这些流量不受运营商控制,其主要问题是占有大量带宽资源,但不能为运营商带来利润。垃圾流量可以采用DPI设备进口控制,在核心网边缘部署DPI设备,将垃圾流量进行整型限流处理,以防对核心网造成不良影响。
而对DDOS攻击已经有成熟的解决方案。王新峰告诉记者:电信运营商应在核心网部署流量清洗中心实施DDOS防御,通过在核心网的国际出口、互联互通出口、省网出口、城域网出口等网络数据的关键出入口部署流量清洗中心,检测进出网络的数据,一旦发现可疑流量,则利用流量牵引技术将这部分流量引流到流量清洗中心,在流量清洗中心将攻击流量过滤,最终将清洁流量回注到网络中。
健全安全保障机制
此外,除了采用多种技术保障交换网络和用户数据的安全外,健全的安全策略和管理机制也将扮演越来越重要的角色。事实上,在2005年由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办的的“2005年中国电信业网络与信息安全研讨会”上,六大电信运营商就曾承诺,其不仅要在技术上不断强化网络安全,更要进一步完善网络信息安全责任制度,健全网络信息安全保障措施,不断提高管理水平。
记者了解到,在网络信息安全方面,电信运营商都设置了相关的应对机制,并分别采取了专门项目小组的形式或各部门设置技术专员的形式。以中国联通为例,其在数据与固定通信业务部和互联网与电子商务业务部均有网络信息安全相关的工作人员。中国联通集团运行维护部传输及配套维护处经理民指出,中国联通一直非常重视交换网络与用户数据安全,同时,联通在信息内容的安全性和健康性方面也严守国家相关规定,坚持以应用及其信息内容的安全、健康为中心,构建绿色网络。而中国电信方面,王新峰表示,网络运行维护事业部的分支部门对网络安全各个层面负责进行监管。
链接电信网络安全新变化
(1)应用安全提上议事日程
过去:强调网络的可靠性和可用性,不强调网上应用的安全;
现在:不仅要强调业务的可用性和可控性,还要强调承载网的可靠性和生存性,而且要保证信息传递的完整性、机密性和不可否认性。
(2)承载网与信令网同等重要
过去:对信令网的安全要求高,一般为独立的信令网,信令网的安全可靠保证了网络的安全;
现在:强调网络融合,信令网与传输网用同一张网进行承载,承载网的安全变得非常重要。
(3)IP技术疏于监控黑客行为
过去:传输采用TDM的专线,用户之间采用面向连接的通道进行通信,其他用户很难插入偷听;
现在:采用IP技术进行通信,由于IP的无连接性,及不对源地址进行认证的特性,黑客容易截取通话,盗用账号,电话骚扰。
交通部网络安全篇(9)
企业内部网络是企业中十分重要的基础设施,可以实现企业内部相关部门及下属单位的数据共享、互联互通,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求。本文从内部网络的建设原则、建设内容着手,阐述如何建立企业内部网络,着重讨论了网络平台的建设。
1建设原则
企业内部网络建设应遵循以下原则:统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。
统一规划:明确内部网络在规划期内的规模,确定总体需求,既能满足企业当前需求,又充分考虑将来整个网络系统的投资保护和对新应用的支持。
高可用性:要求关键网络设备具有单点失效保护,能够实现故障预警、报警,以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下,内部网络可以继续工作,不影响业务处理。
高性能:内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
高扩展性:由于内部网络是一个长期使用重要的基础设施。日后随着企业规模扩大和业务量的增长,对内部网络性能的需求可能会超出预期,当内部网络的处理能力不够时,要求可以在原有网络架构的基础上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口,选择广泛应用的网络标准协议,能够与各级下属单位网络、isp网络以及其他相关网络实现可靠的互联。
高安全性:具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。
高可维护性:维护便捷简单,尽量减少设备宕机检修时间,特别是减少进行故障修复、网络扩展和变更时的宕机时间,能够提供友好、全面的监控工具,减少网络管理的漏洞风险,增强网络管理维护性能。
2建设内容
企业内部网络建设主要内容包括:网络平台、ip地址划分、中心机房网络分区、桌面安全管理、网络安全、网络管理及运维。
2.1网络平台
企业内部网络平台建设通常有两种架构:二层架构和三层架构。二层架构包括:核心层、汇聚层。三层架构包括:核心层、汇聚层和接入层。由于技术进步,目前用于组网的交换机基本上具有三层交换功能,因此不用过多考虑二层交换和三层交换之间路由的问题。
核心层通常部署两台核心交换机,实现负载均衡和单点失效保护,核心交换机通常部署在企业中心机房。
汇聚层通常指楼层交换机,通常部署在楼层弱电间,每个汇聚交换机同时接入到两个核心交换机,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络,亦可以在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。二层架构中该层具有接入和汇聚双重作用,桌面客户端通过楼层布线或者网线接入该层。
三层架构中的接入层通常是指办公室接入交换机,通常部署在工作区配线架或者弱电间,每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络,亦可以在接入层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。
两种架构的差别主要在于二层架构中没有接入层,其汇聚层具有接入和汇聚双重作用。
2.1.1二层架构的优缺点
2.1.1.1优点
可用性高。汇聚层(也是接入层)直接双上联核心,减少中间环节。传输路径短,数据流从一个区域到另一个区域,路径只需经过“接入核心接入”,数据就可以传输到对端,优化了网络路径。
性能高。汇聚层(也是接入层)直接与核心交换机相连,带宽的收敛比小,实际分配给每一个终端的带宽大,保证时延最小。
2.1.1.2缺点
扩展性弱。当用户的数量增加时,需要在汇聚层增加交换机接入核心交换机,或者通过在汇聚层增加交换机,使用堆叠方式或级联方式实现。
安全性低。安全策略只可以分布在汇聚层交换机和核心交换机上。
可维护性低。网络变更往往影响到核心交换机。
2.1.2三层架构的优缺点
2.1.2.1优点
可扩展性强。当用户的数量增加时,可通过在接入层增加交换机,直接与汇聚层交换机相连提供扩展,扩展变更仅影响限定在此区域的汇聚层交换机,不会影响核心交换机。
安全性高。安全策略可以分布在接入交换机、汇聚层交换机和核心交换机上。
可维护性高。网络变更对核心交换机影响小,除了新增汇聚层交换机,需要对核心交换机进行配置外,一般只影响到汇聚层交换机。汇聚层交换机故障,只会影响汇聚区域内的接入,其他汇聚区域不受影响。
2.1.2.2缺点
可用性低。数据传输路径变长,数据流从一个区域到另一个区域,需要经过“接入汇聚核心汇聚接入”,才能将数据传输到对端,增加了路径的物理长度。
性能低。带宽相应降低,虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽,但仍会出现当区域之间的数据互通时,汇聚层到核心层带宽争用的问题。
2.1.3综合分析
综上所述,两种架构优缺点对比见表1。
表1仅为二层架构与三层架构之间的相对对比,不是对两种架构性质的绝对分析。实际应用中,二层架构更加适用于楼宇等接入密度较高的内部网络建设,三层架构更加适用于物理范围广、接入密度低的内部网络建设。
二层架构和三层架构并不冲突,可以同时运用于一个内部网络建设中,如对于接入密度较高的区域,客户端直接接入汇聚层; 对于接入密度较低的区域,客户端接入接入层。
2.2ip地址划分
由于企业有若干个部门和若干个下属单位,将来组织结构也可能有变化,有必要对ip地址进行划分,来建立若干个子网,制定灵活、可扩展、安全的ip地址分配策略,以便于网络管理和增强网络安全性。
2.3中心机房网络分区
中心机房是一个十分重要的区域,需要对中心机房进行网络区域划分,以增强网络的安全性。通常划分几大区域:核心交换区、internet访问接入区、广域网互联区、dmz区、服务器区等。
2.4桌面安全管理
内部网络绝大多数攻击来自于企业内部,所以桌面安全管理十分重要。桌面安全管理包括:安全接入控制、安全策略管理、资产管理、软件分发、补丁管理、员工行为管理。
2.5网络安全
内部网络既要满足内部办公的需要,又要满足与因特网实现数据交换的需要。特别是,保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络安全相对复杂,网络安全建设主要包括但不限于:
(1) 接入交换机的安全。包括:端口安全控制、端口流量控制、广播抑制、防范dhcp攻击、防范arp欺骗/中间人攻击技术、配置vlan acl等。
(2) 网络设备自身的安全。网络设备某些缺省设置会导致安全漏洞,变更这些设置。
(3) 防火墙策略。制定精细的防火墙安全策略,不同端口根据区域不同划分不同的安全级别。
(4) 入侵监测/防御系统。使用先进的、专用的入侵监测/防御设备,实现主动监测和防御,并及时将相关信息传送到网管区域,能对用户常用的通讯内容进行审计。
2.6网络管理及运维系统
交通部网络安全篇(10)
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110070-01
一、引言
当今社会已经进入到信息化时代,随着我国市场经济和电子商务的迅速发展,网络交易已经渗透到金融、证券、物流市场等各个领域。网络交易安全作为人们进行网上购物和网上支付的关键环节,直接影响到电子商务和相关产业的发展。因此,及时分析网络交易中存在的漏洞和隐患并进行安全防范就变得尤为重要。
二、网络交易存在的漏洞和隐患
(一)人为因素隐患。随着互联网的迅速发展普及,我国的网民人数已经跃居世界第一位,互联网已经逐步渗透到人们工作、生活的方方面面。然而,互联网就象一把双刃剑,在方便消费者的同时,也带来很多安全隐患。部分网民尤其是广大青少年,由于相关专业知识缺乏,社会经验不足,疏于防范,网上购物被骗时有发生,致使个人蒙受了经济和精神损失。部分网民法律和安全意识比较淡薄,在网上购物受骗之后,也没有及时报警,致使某些非法网站有恃无恐,一直长期存在。网民个人相关知识的缺乏、法律和安全意识不强是网络交易存在安全隐患的一个重要因素。
(二)技术隐患。计算机病毒,各种木马程序,通过互联网或者系统漏洞进入用户的计算机系统并泄露用户信息。各种钓鱼网站和密码破解软件给网民使用的网上银行帐号带来隐患。一些不法分子利用自身掌握的计算机知识创建虚假电子商务网站对消费者实施欺诈。尤其是很多不法网站使用服务器进行网站管理,不断改变其服务器IP地址,这些都给网络交易安全带来技术上的隐患。
(三)不法网站带来的隐患。在各种电子商务网站中,不法网站也隐匿其中,有的甚至大行其道,而且形式多样。有的网络店铺没有进行备案,只是购买了域名地址,存在无照经营行为;有的网络店铺虽然进行了备案,但从事超越其营业范围的经营活动;有的网络店铺存在网络虚假广告。一些不法网站往往以低价吸引消费者。由于网络交易存在一定的虚拟性,买家很难通过其网页的外观或域名地址判断网站的真实性,从而给进行网上交易特别是买家带来安全隐患。
(四)制度漏洞带来的隐患。当前,由于大多数网络店铺门槛低、投资小,立法不健全,给了一些不法分子骗取不义之财的机会。在网络监管方面,存在一些采用不真实的材料进行备案或没有进行备案的非法网站。金融方面,虽然我国在办理和使用银行帐户时采用了实名制,但在实施过程中存在漏洞。很多不法分子就利用法律和制度漏洞来办理网络店铺、银行帐号、联系方式实施诈骗活动。由于该类不法网站地址、银行帐号和联系方式的不可靠性,工商部门在处理相关纠纷时,很难确定卖家主体。银行部门也无法及时对此类店铺银行帐号进行冻结。网络监管部门接到买家投诉时,往往采取封掉不法网站的IP和域名地址。而部分不法网站经营者往往使用服务,或通过很小代价又重新获得新IP地址和域名地址,将网站页面和部分内容进行更换,继续欺骗消费者。我国公安机关受地域管辖权的限制,而网络交易存在虚拟性和地域的不确定性,及时破获此类案件也比较困难。因此,相关法律和监管制度的缺陷,不能从根本上杜绝此类网络交易给买家带来的安全隐患和损失。
三、网络交易安全相关防范措施
(一)加强安全教育与宣传,提高网民安全防范意识。由于电子商务的迅猛发展,国家相关部门应加强网络交易方面的安全教育和宣传,网民也应该提高自身安全防范意识。在网上购物时,应尽量选择一些信誉比较好,专业性的电子商务网站,以免上当被骗。购买物品之前,要对商家的信誉进行仔细辨别。包括商家经营地址、联系方式、网上评价等。一般不法商家网络店铺资料不全或比较模糊,而在自身的购物网站上发表一些虚假的评论信息。这时网民可以通过百度,搜搜,google等搜索网站来查询该商家的相关资料,以利于进行辨别。可以通过比较不同的网上商户,切勿贪图便宜而上当受骗。网上购物付款时,最好是货到付款,检查没有质量问题后支付。或者通过使用支付宝,百付宝、网络购物支付卡等第三方支付来完成交易,避免给买家带来财产损失。买家完成交易后,应当保存相关交易记录信息。如发生质量问题进行退换货时,这些记录会非常有用。
(二)加强对计算机病毒的防范措施。很多网民缺乏计算机安全的相关知识,防病毒意识也比较淡漠。随着计算机病毒的肆虐,有的钓鱼网站使用了木马程序或者病毒变种,如“网银大盗”、“灰鸽子”等,冒充合法站点,盗取用户的个人资料、银行帐号和密码、交易号、交易金额等信息资料。这样网民在进行网上交易时,会带来巨大的财产损失。因此网民需要掌握一些必要的计算机安全和防病毒知识,选择安装正版防杀病毒、防杀木马软件,并进行及时更新升级。应定期对计算机进行全面杀毒,确保计算机终端安全。进行网上交易时,应该安装个人防火墙软件,提高安全级别。要从正规机构的网站下载网上交易软件,尽量避免在网吧等不安全地方的计算机上进行网上交易。这样才能有效地防止计算机病毒的危害。
(三)选择合理的网络交易交付手段。网民在网上完成交易进行支付时,一般有汇现金、转帐支付、信用卡支付、通过第三方中介进行支付等支付方式。在进行网上交易时,如果对方是知名网站,如航空公司,知名公司专业销售网站并进行确认后,买家可选择通过网上银行或通过邮局汇现金来进行支付。而信誉度不高的网店,买家应尽量避免直接汇现金或通过转帐支付,而应该选择支付宝、财富通等第三方支付平台进行支付,避免付款后不见货,给买家本人带来财产损失。
(四)健全相关法律制度,加强对不法网站的整顿和打击力度。对于层出不穷的网络交易纠纷和案件,应健全相关法律法规,加强电信、银行、工商、公安、网络监管等部门的协调。对网络店铺的建立和运营,应有权威的认定。不仅对网络店铺的银行帐号、联系方式、网络地址、经营地点等信息,有详细的备案,还要完善网上店铺的信用评价体系,尽快建立网络交易监管体系,规范网络交易行为。同时,建立专门的网络警察,对网络交易纠纷和出现的不法行为进行查处和侦破。加强对不法网站和网络店铺的整顿和打击力度,对于从事网络诈骗的网店,应及时进行暴光,维护消费者合法权益。
四、总结和展望
总之,网络交易安全是人们进行网上购物和网上支付的重要保证。随着人们对网络交易安全的重视、网络交易支付手段的完善和国家相关法律制度的不断健全,网络交易会更加规范,电子商务和相关产业会更加欣欣向荣,蓬勃发展。
参考文献:
[1]卓翔,网络犯罪若干问题研究,中国政法大学,2004-05-01.
