0 前言
政府高度重视在信息安全人才培养等方面的公共服务能力建设,但是,目前在信息安全专业人才实践教学环节,缺乏能支持信息安全各专项技术的综合实训环境。围绕国家加快发展现代服务业和提升国家信息安全保障能力的战略要求,结合学校在网络安全方向及实践教学环境建设的需要,建设面向计算机网络技术等相关专业的多层次、全方位、可扩展的信息安全综合实践教学环境,近年来,我校进行了网络安全实训室建设的实践与探索。
1 网络安全实训室建设的目的和意义
随着计算机网络技术的发展,信息存储容量成倍地增长,信息已经成为客户的重要资产,信息存储成为各项业务运作的基本依赖条件和环境,任何信息的破坏和丢失,都会造成难以挽回的巨大损失,任何存储系统的故障,都会严重影响业务的正常开展和运营。可以说,网络安全技术已渗透到各个领域,其技术人才积累往往是和技术发展相辅相成的,由于安全经验需要时间积累的缘故,目前网络安全管理人员远远满足不了业务发展需求。据计算机世界资讯的相关研究报告称,估计国内网络安全人才缺口将达到30万人以上。
在此背景下,尤其是国家对高等教育提出了“打造精品课程”、“建设国家示范实训基地”以及“大力开展校企合作”的要求,建设网络安全实训室,可以改善专业实验实训教学环境,满足计算机网络技术专业实施开发课程一体化教学需要,突出培养学生对应岗位能力培养,提升专业实验及实训教育水平,培养适应信息技术发展的高端技能型人才。
2 建设思路与建设目标
我校网络安全实训室的建设思路是:以“校企共建、企业化管理、职业化环境、服务于社会”为指导思想,适应高素质技能型专门人才培养的需要,依据计算机网络技术专业岗位能力要求为驱动,设备性能与主流技术同步,建设具有真实职业环境,能承接加工制造业信息化服务项目,集教学、培训、技能鉴定和技术服务等功能于一体的实训室。
我校网络安全实训室建设目标是:在校园网环境下模拟完整的企业网环境,实现商业运营环境中各项业务需求的在校实训,提供多层次、全方位及综合化的信息安全实验与实践环境。一是满足《网络安全技术与实施》、《网络与信息安全技术》、《网络故障分析与排除》、《网络操作系统配置与管理》等课程“教学做一体化”教学需要,使学生通过在此环境下认识整网的运行环境,并且进行各种设备调试,实现各种平台环境下的业务需求,达到实践能力的全面提高,职业能力和就业能力得到提升;二是提供科研开发和测试环境,服务企业;三是支持信息安全社会化培训以及信息咨询、方案优化、产品研发与仿真测试等服务,服务地方经济。
3 网络安全实训室建设实施
网络安全实训室的建设实施按照作用范围和设备的情况,分为两个阶段。第一阶段是搭建基础网络结构。构建网络安全基础结构和服务器存储基础结构,以基础通信网络知识培训为主要目的,在信息安全主流技术上是以网络安全技术为主,实验设备采用全球市场广泛应用的主流通信设备,兼并实用性和先进性,同时满足验证性实验、综合性实验、设计性实验的不同要求。存储功能部分主要由学生终端、存储管理软件客户端、e-Bridge存储管理软件、存储阵列、应用服务器五部分组成。e-Bridge存储管理软件将存储阵列上的磁盘分割成为每4块磁盘一组的磁盘组,每小组学生共用一组磁盘,在这组磁盘上学生可以对其进行配置和操作,学生小组之间互不影响。学生在实验终端启用存储管理软件客户端,图像化界面上进行操作。第二阶段为多元化多业务实验室阶段,构建完善的认证培训体系,服务社会,带动教育、其它行业的信息化建设,成为学校所属区域乃至全国信息化建设的龙头,构建一条实验室的价值链。
网络安全实训室实验系统构架,分为三个层面,即基础理论层面(教材)、子系统级层面(各功能模块设备)和平台层面(实验软件平台);纵向又分为两个层面,功能演示层面和教学实验层面。功能演示和教学实验横穿三个横向层面,即可以针对基础理论知识层面、子系统级层面以及平台层面设计不同复杂度的系统功能演示和教学实验。每个子系统均依照自身的特点,有针对性地选择一个或者多个层面进行教学或培训实验设计,教学实验数量要求有三至六个或者更多。
网络安全实训室共投入资金151万,共有设备123台套,主要设备有:二层网络交换机、三层路由交换机、安全路由设备、边缘防火墙、VPN设备、智能入侵检测系统、文档安全管理软件、信息安全综合实验系统模块服务器、信息安全综合实验系统模块、OceanStor S2600I存储系统、IP-SAN交换机、安全实验管理平台、设备控制台、实验管理网络设备交换机、实验管理防火墙交流主机、拓扑管理器、实验室终端、网络分析系统等。
4 网络安全实训室建设成效
在建设过程中,与思科网络公司、北京神州祥升科技有限公司等企业合作,搭建了真实的小型企业网环境,体现了“校中厂”的理念,同时选择使用率高、起点高、能体现现代网络安全环境的先进设备,使学生在学习过程中不知不觉中地积累到最先进的网络安全经验。
网络安全实训室,能够开设数据网络类、网络安全类、应用类、存储类、网络故障分析与排除类等5种类型的实训。能满足48人同时分组实训,提高学生动手实践能力和就业能力 。近年来该专业的学生在全国职业院校技能大赛、山东省职业院校技能大赛综合布线技术竞赛项目中取得了优异成绩。承办了2013年山东省物联网应用技能大赛。
该实训室在承担课程实训、综合实训以外,还承担了科研、企业培训、认证培训及考试,突出了专业技术输出能力,提升了专业团队的行业美誉度。计算机网络技术专业依托该实训室立项了“山东省信息化战略专项研究课题”等8项省级科研课题,获得了1项山东省计算机应用优秀成果奖一等奖,申报了12项国家专利。举办了一期山东省高等职业院校教师省级培训,组织了两期山东省高职院校物联网应用技术培训,来自全省高职院校的197名师生参加了学习。与企业合作申报了3个国培项目,开发了两个专业培训包。9所省内外职业院校来校学习专业建设经验。
5 结束语
近几年,我们通过建设网络安全实训室,并充分发挥其实训教学、技术应用研发、技能培训与社会服务等方面的能,计算机网络专业办学水平和办学竞争力的得到了提升。
一、课程的定位
Linux网络服务是计算机网络技术专业Linux方向的核心课程,在人才培养方案中起承上启下的作用,具有十分重要的地位,为后续网络安全课程的学习打下良好的理论和专业技术基础。前导课程:Linux系统管理、Windows网络服务,后续课程:Linux网关及安全应用。学习本课程应具有Linux操作基础,具有网络互连经验,有Windows Server 2003服务配置与管理基础,有较强的Linux命令书写能力,有良好的自我学习、独立分析问题能力。
二、课程性质
三年制高职学生在入校第一年就要求学习计算机应用基础课程,其中大部分是非计算机专业学生,他们的思维方式不同于计算机专业学生。因此,根据学生的情况,本课程主要面向三年制大专各专业的学生,选取15个项目,采用任务驱动,运用案例教学法,培养学生分析问题和解决问题的能力。基于学生分组的实践教学,培养学生的团队合作能力和创新能力。
三、课程的目标
方法目标为:培养网络信息获取与表达能力;培养项目文档书写能力;收集开发、展示和利用信息资源的能力;观察问题、分析问题和归纳问题的方法;培养勤于思考的习惯与互助学习的精神。
能力目标为:Linux服务器配置网络参数;部署DHCP及DHCP中继服务器;部署Samba构建局域网文件共享服务器;部署vsftpd服务构建文件共享服务器;部署DNS域名解析服务器;使用LADP部署Web网站服务器;部署电子邮件系统。
素质目标为:胜任Linux网络管理员工作要求;培养网络管理员对网络服务配置管理方面的能力;培养耐心细致、精细化动手操作能力和良好的职业行为;培养合作精神。
四、课程内容
本课程围绕搭建一个综合性的网络服务器展开,学会各种常用服务器的配置与管理。
1.基本网络设置与DHCP安装与配置,为Linux服务器及网络中的其他主机配置IP地址等参数:(1)使用ifconfig、route、ping、netstat等命令查看及设置服务器的地址信息;(2)通过修改网络配置文件的方式设置服务器的地址信息配置DHCP服务器为网络内的主机动态配置IP地址等信息。
2.构建文件服务器,构建适用于局域网及Internet环境的文件服务器:(1)使用Samba构建文件共享服务器;(2)使用vsftpd构建文件传输服务器。
3.构建DNS域名解析服务器:使用bind构建缓存域名服务器;使用bind构建主域名服务器;使用bind构建辅助域名服务器;使用bind构建分离解析的域名服务器。
4.构建Linux、Apache、PHP、MySQL协同服务的企业网站应用平台:安装、配置Apache服务器提供HTTP服务;安装、配置并管理MySQL数据库;安装、配置php动态网页解析环境。
5.构建Postfix、Dovecot、ExtMail等软件协同服务的企业邮件应用平台:安装、配置Postfix服务器提供发信服务;安装、配置Dovecot服务器提供收信服务;安装、配置courier-authlib发信认证服务;安装、配置ExtMail、Extman套件提供Web邮件使用及管理界面;结合MailScanner、SpamAssassin、F-Prot提供邮件内容过滤。
6.优化服务器系统安全:用户账号安全优化;文件和文件系统安全优化;系统引导和登录安全优化。
五、考核方案
合格标准:旷课不超过5节(总课时的10%);平时成绩不低于18分;技能考核不低于60分(折算前);期末考试成绩不低于60分(折算前);总分大于或等于60分;没有不诚信行为。
成绩构成:课程考核由平时考核(过程考核)和期末考核(结果考核)组成,本类课程平时成绩占30分,技能考核占40分,期末成绩占30分。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)10-2375-02
Some Province Electron Government Affairs Special Network Security Brief Analysis
ZHU Dian
(Anhui Province Economic Information Center, Hefei 230001, China)
Abstract: As A provincial electronic government affairs special network ongoing business needs to secure its optimized to improve the security of the whole network, research papers according to the p province electron government affairs special network safety and security optimization needs of e-government proposed the establishment of the province's post-secondary backbone network security systems, traffic detection and analysis as well as the whole network for network monitoring and management programs to address the province electron government affairs special network three kinds of security programs and in-depth description and analysis of the three options.
Key words: E-government network; security optimization; Safe protection system; traffic detection; network monitoring
1 概述
近年来,在省委、省政府的高度重视下,A省电子政务建设在电子政务专网平台、信息资源开发应用和厅局纵向、横向业务拓展等方面都取得了显著的进展。为适应和保障重点业务部门的业务的正常运行,解决大流量、高可靠性业务的运行保障,在分析研究A省电子政务专网上业务需求,研究如何更好地保障各系统在专网上的正常运行,可广泛应用到全省专网的网络传输中,更好地保障专网上各部门横向、纵向各种业务的正常运行,把A省电子政务专网现有的安全可靠性提高一个层次,进一步提高专网的服务质量。
2 A省电子政务专网的现状
随着该省电子政务建设的深入发展,各个党政部门对省电子政务网络的使用需求迅猛增加,并呈现个性化和多样化的需求趋势。多家省直厅局在省电子政务网上开展各相应系统的业务。电子政务网上业务类型正以数据传输、信息为主,向视频、音频和数据传输并重的格局发展,今后网上承载的主要是多媒体信息的交换、传输。各党政部门基于网络的业务系统从传统的信息报送、信息和共享逐渐增加到视频会议、IP电话、在线式双向交互办公系统等实时业务,基于网络的办公系统在各单位的实际工作中发挥愈来愈重要的作用。
该省电子政务网上传输的是党政机关的各种党务、政务信息,对安全性的要求较高。除保证整个网络与互联网等外部网络实行有效的隔离外,在网络内部,根据党政机关传输信息密级的不同,对部分厅局的高密级信息要采取端到端的传输加密,需要构建基于政务网的各种虚拟专网。
全省电子政务网承载着省直几十个厅局横向的信息交换,以及省直厅局到十几个市相应市直党政机关的各种政务信息的纵向传输,涉及到数据、文字、视频、语音等传输流,信息量庞大,并且网络使用时间较为集中,并发流量大。
党务、政务信息的交换处理涉及到政治、经济、军事等各个领域,维系着社会的发展和稳定,要求网络具有高度的稳定性和连续性,以保障电子政务正常可靠地运行。
3 分析该省电子政务专网的安全问题及安全优化需求
该省电子政务专网暂时没有采用安全控制措施,对于整个网络来说很不安全,如果有某些攻击发生,会很快的传递到整个网络中。随着该省电子政务业务的蓬勃发展,业务对网络的依存也越来越大,在日常运维工作中,由于现在设备及技术条件的限制,无法对全网的流量进行分析,及时发现安全事件并进行故障定位,使得网络的带宽控制及流量监控与分析变得日益重要。因此希望对专网进行安全优化,以提高整网的安全性。为了更好地保障电子政务专网的安全运行及网上接入系统的安全,在省级电子政务专网平台及市、县骨干专网上,针对区域不同的网络结构,业务模型,分析研究目前网络存在的安全威胁,并通过建设实施保障省级政务专网及市、县政务专网骨干设备的安全运行,保障省电子政务专网数据中心资源及接入厅局单位系统的安全性,把电子政务专网现有的安全保障整体提高一个水平。
该省电子政务专网完成安全优化后,应实现如下目标:
1) 省电子政务专网的骨干网构建一个完整、全网的安全防护体系。
2) 实现全网的流量分析及控制。妥善分配网络带宽,保证重要网络服务的使用带宽,还需分析网络流量的来源及目的地并检测异常流量,以便能有效掌握网络带宽的使用状况。
3) 建设统一安全管控平台,基于可视的管理界面,对安全事件进行快速定位,及时响应,实现政务专网安全态势的感知。
为实现上述目标应采取积极的安全策略方案。
4 解决该省电子政务专网安全方案
4.1 省电子政务专网骨干网的安全防护
A省电子政务专网由省市县区三级网络结构构成,该网络覆盖了该省各级政务部门,因此骨干网的安全防护体系建设极为重要。该省电子政务专网骨干网络可以通过适当的网络隔离技术对网络系统、硬件环境、软件平台的一体化安全保护。网络隔离的最主要目标是为了限制对网络的不合理访问。该省电子政务专网是一个功能区分明确的网络系统,因此,要在系统内部建立访问控制系统。访问控制主要是不同区域、不同网络、网络资源间的访问进行限制,以及对接入的客户限制可以访问哪些资源。具体实现手段包括应用防火墙和VLAN等进行网络访问控制。
为了确保骨干网络上的安全,需要在接入层对接入的流量进行过滤,确保接入的流量都是安全的。可以采用URPF技术进行反向的路由检查,同时可以在接入层设备上配置防病毒的ACL列表防止病毒的传播。对于省中心的数据中心,可以采用配置专业防火墙,对数据中心中的服务器进行安全防护,设定允许接入每一个服务器的IP地址段,同时开启防攻击保护。
如图1,在该省电子政务专网安全防护规划说明:
1) 在省级数据库中心与核心交换机部署1台千兆线速防火墙,防火墙工作在单机模式下。
2) 在核心交换机与省级安全管理中心部署1台千兆防火墙。
4.2 流量检测与分析技术实现全网的流量分析及控制
网络流量分析和管理产品就是针对网络带宽控制及流量监控分析的所开发的解决方案。它能提供管理者设定各项服务的基本带宽/最大带宽,并能分析网络性能及流量计费、异常流量监控、异常流量警告等功能。可为该省电子政务专网提供高效率、高质量与低成本的网络带宽供应与解决方案,达到高质量的服务,这也是该省电子政务专网建设的关键所在。
网络流量分析和管理产品可确保网络服务质量具有良好的可靠性及性能,能协助该省电子政务专网管理人员迅速查觉各种网络异常情况,快速而正确地将问题解决,并可确保重要的信息、软件及人在网络上的执行效率,让资源分配恰当及弹性化,帮助企业在:带宽投资与管理费用两方面获利,是最佳的网络流量监控与决策分析系统。网络流量检测和分析系统采用旁路方式部署在该省电子政务核心交换机上,通过在核心交换机上的数据流镜像,可以对网络流量进行分析和控制,
4.3 建设统一安全管控平台,基于可视的管理界面,对安全事件进行快速定位,及时响应,部署安全网络监控管理系统。
分别在在该省电子政务专网的综合安全管理区和地市电子政务专网安全管理区部署安全网络监控系统服务器(在综合网络安全管理平台服务器上),同时部署安全网络监控系统控制台(在综合网络安全管理平台控制台主机上)。安全网络监控系统采用统一的管理平台管理该省电子政务专网的各类网络节点,包括网络设备,主机设备,安全设备等,提供了形象,美观和方便的网络拓扑图和节点列表,对该省电子政务专网的网络设施一目了然,非常方便地管理各类设备。
对于该省电子政务专网的IP地址资源,安全网络监控系统提供了IP地址管理,可以方便地查找和确定那些IP地址已经使用或者尚未使用,方便管理员的管理工作。安全网络监控系统采用图形化的IP地址分布显示,管理员可以一目了然地查看IP地址分布状况。
安全网络监控系统提供了保障该省电子政务专网网络运行的网络管理功能,能够替代传统的网络管理系统,同时又提供了安全审计的功能,对防火墙日志和其他设备的syslog进行处理和审计,发现该省电子政务专网的安全隐患和薄弱环节。安全网络监控系统可以提供对全网络运行状态的分析报表,这是进行综合分析的数据报表,可以让管理员了解和评估整个网络系统的运行状态。
本方案中安全网络监控系统的作用如下:
1) 全方位监控的统一管理平台;
2) 快速定位故障;
3) 及时发现网络流量异常;
4) 全面监控主机性能;
5) 主动监控应用服务状态和性能;
6) 审计syslog;
7) 事件关联分析;
8) 全面了解企业信息系统状态。
5 结束语
该省电子政务专网是根据该省电子政务的发展的需要,为提高政府机关的工作效率和质量,增强的科学性和服务性,保障该省电子政务在经济建设中发挥更为积极的作用而提出的。从国家要求和该省电子政务的要求考虑,都必须在该省电子政务专网的建设中充分考虑信息安全保障问题,鉴于此以上分析并介绍了三种解决该省电子政务专网安全方案,以保障该省电子政务专网的安全。
参考文献:
[1] 杨兴寿. 电子政务的安全问题[J]. 现代管理科学, 2003(05).
[2] 朱雪兵. 浅谈电子政务的安全威胁与防范对策[J]. 南通职业大学学报,2003(03).
虚拟专用网是公共数据网的一种类型,可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如Internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。
一、构建RRAS服务
RRAS也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。利用Windows Server 2003内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器UNC名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用。RRAS是Windows Server 2003的默认Windows组件,其初始状态为停用,因此在构建RRAS之前必须将其激活。
二、 配置远程访问服务器
(一)远程访问服务器属性的配置
1. 常规属性设置 在Windows Server 2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台VPN服务器。
2.安全设置 VPN(Virtual Private Network,虚拟专用网络,简称VPN)是通过公用网络如Internet在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记账提供程序。服务器通过一系列的验证方法对远程系统进行身份验证。
3.远程用户IP设置 远程VPN客户必须通过IP地址连接到服务器从而访问企业网络,通过IP设置可以给远程客户机指派IP地址。
(二) 远程访问服务器端口的配置
企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置。
1. 用户拨入的配置 企业远程访问服务器同时也具备域控制器的功能,它是通过“Active Directory 用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能。当远程企业用户拨入到RRAS服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号。
企业的规模各不相同,企业内部节点数量和网络带宽等也不同,当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与Intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
远程访问服务器根据企业自身状况部署的三种不同方式:
(1) 单接口VPN服务器。企业的核心路由器或硬件防火墙负责转发IP数据包到因特网并对外网提供各种服务。
(2) 双接口VPN服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载。
(3)服务器做VPN服务器。企业原先通过服务器构建企业网络,可以在服务器上启用VPN服务器,或者直接采用ISA Server作为服务器,在ISA Server上启用VPN服务器代替原来的防火墙与路由器。
三、构建远程客户机的网络连接
虚拟专用网络VPN客户端能使用“点对点隧道协议”(PPTP)、“第二层隧道协议”(L2TP) 和“IP安全协议(IPSec)”来创建一个通往VPN服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。PPTP是一种常用的VPN协议,它使用支持增强加密方式,非常安全,而且易于进行配置和维护。在microsoft环境中,基于PPTP的VPN客户端部署方便,而且可以通过使用远程访问策略的规则进行PPTP连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。在客户端建立一个基于VPN 的WAN微型端口(PPTP)连接后,就可以通过此连接自动获取一个VPN服务器上分配的IP地址,从而实现客户端与企业内部网络构成同一个局域网。
参考文献:
[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN体系结构[M].人民邮电出版社.
中图分类号: TN711 文献标识码: A 文章编号:
基于Windows的虚拟专用网技术简称VPN技术,可以实现远程计算机用户同企业内部网络用户之间的安全连接,并确保数据的安全传输。而且能够大大的节省购买网络设备的巨额资金,基于Windows的VPN可以跨专用网络或公用网络创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
一、路由环境的构建
Windows路由环境是虚拟专用网技术实现的基础,通过将路由和远程访问配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了VPN技术,但是基本上是基于网络硬件设备的,比如锐捷硬件VPN、路由器等,而利用内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行路由和远程访问的服务器上,客户端可以使用资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用。路由环境是通过RRAS来实现,它是默认组件,其初始状态为停用,因此在构建RRAS之前必须将其激活,只有在管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此服务已经被激活。
二、证书服务的构建
路由和远程访问服务系统安装方法和其它系统有所不同,它作为一项角色服务包含在网络策略和访问服务角色中。而网络策略和访问服务提供网络策略服务器、路由与远程访问、健康注册颁发机构和主机凭据授权协议,这些都有助于企业网络的可靠和安全。
证书服务为安全套接字层隧道协议 VPN访问提供了安全证书,在服务器管理器中,在角色中进行添加角色的配置,并在添加角色向导中进行证书服务的安装, 在选择角色服务窗口中,选择证书颁发机构以及证书颁发机构WEB注册两项,同时,在选择企业内部证书颁发机构WEB注册后弹出的窗口中,进行添加必要的企业内部角色服务,在指定安装类型窗口中,进企业项的安装,在为CA配置加密以及配置CA名称两个界面,设置加密方式安全散列算法,以及密钥长度完成角色及角色服务安装,因为SHA数字签名等密码学应用中重要的工具,被广泛地应用于企业内部电子商务等信息安全领域。SHA是公认的安全加密算法,较之MD5更为安全,至此,在Windows下的证书服务安装完成。
三、虚拟专用网服务端构建
VPN始终是通过公用网络在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记帐提供程序。身份验证方法包括默认的身份验证和RADIUS身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
在企业环境中,为了能访问内部网络的证书吊销列表,证书吊销列表是被CA所签署的,可以使用与签发证书相同的私钥,也可以使用专门的签发私钥。它需要通过一个企业内部防火墙来,此时不但要配置基于SSTP的VPN服务器成为一台NAT服务器,还要通过NAT来,而NAT的功能就是起到转发此流量至内部网络的活动目录证书服务器上,通过在服务器管理器中添加网络策略与访问服务角色,并添加相应的路由和远程访问服务角色,确保具有远程访问服务和路由的两项功能。
在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如对WAN微型端口的数量的更改。在WAN微型端口中,远程访问连接仅入站是为企业用户启用远程访问,请求拨号路由选择连接入站和出站是为企业用户启用请求拨号路由。
(1)添加服务器角色
添加服务器角色主要在企业环境中,为了能访问内部网络的CRL,CRL需要通过一个防火墙来,此时不但要配置基于SSTP的VPN服务器成为一台NAT服务器,还要通过NAT来,而NAT的功能就是起到转发此流量至内部网络的活动目录证书服务器上,具体实施过程如下:
在服务器管理器中添加网络策略与访问服务角色,并添加相应的路由和远程访问服务角色,确保具有远程访问服务和路由的两项功能。
(2)配置虚拟专用网和网络地址转换
配置虚拟专用网和网络地址转换主要在路由和远程访问服务欢迎向导中设置虚拟专用网络和NAT,给VPN连接的外网接口设置可分配的IP地址范围,为VPN客户端提供有效的IP地址,再进行必要的RADIUS服务器的配置至完成VPN服务器的完全安装。
四、虚拟专用网客户端构建
虚拟专用网络客户端能使用点对点隧道协议、第二层隧道协议和IP安全协议来创建一个通往VPN服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。PPTP是一种常用的VPN协议,它使用增强加密方式,因此非常安全,而且易于进行配置和维护。在纯环境和混合环境中,基于PPTP的VPN客户端部署方便,而且可以通过使用远程访问策略的规则进行PPTP连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。
VPN服务器创建成功后,就要解决VPN客户端的安全连接问题。安全连接问题是虚拟专用网的最重要的问题,在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,在WAN微型端口中,远程访问连接仅入站是为企业用户启用远程访问,请求拨号路由选择连接入站和出站是为企业用户启用请求拨号路由。企业远程访问服务器同时也具备域控制器的功能,它是通过用户和计算机来管理和连接企业远程客户的,拨入属性可以允许或禁止远程企业用户连接到企业内部服务器上。
在客户端建立一个基于VPN 的WAN微型端口连接后,就可以通过此连接自动获取一个VPN务器上分配的IP地址,从而实现客户端与企业内部网络构成同一个局域网。当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与企业内部网交换机密的商务信息,从而实现企业网络用户跨因特网的安全、可靠的访问。
五、结论
中图分类号:G712
文献标识码:A
文章编号:1007-3973(2012)007-183-02
1 引言
2010年10月8日,国务院下发《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。设置面向战略性新兴产业的计算机网络技术专业,符合国家的产业政策和教育政策,以其为新兴产业培养高素质技能型人才。
办好计算机网络技术专业,必须遵循认识规律、教育规律和专业规律。本文从认识论、教学方法的角度,探索计算机网络技术专业的内涵建设。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
教学方法,是在教学中为实现一定的教学目的、完成一定的教学任务所采取的教学途径或教学程序,是以解决教学任务为目的的师生间共同进行认识和实践的方法体系。组成方法体系的基本要素是:教师的教、学生的学、信息传输的载体(包括语言、文字、视觉信息以及实践工具等)。
到目前为止,有关计算机网络技术专业的知识体系、课程体系、工程实践和人才培养缤纷凌乱。在此,笔者根据长期从事专业建设的经验及所具备的通信网络领域知识,认为计算机网络技术专业适宜办成“工程实践型”工科专业,并设计了“计算机网络技术”专业的课程体系,以其为各高校信息技术类相关专业的学科建设和课程规划抛砖引玉。
2 计算机网络的技术体系
以Internet为代表的计算机网络将现实世界与信息世界互联整合,代表了未来网络应用的发展趋势。Cisco认为,下一代网络(Next Generation Network)基于IP,支持数据、语音、视频和多媒体的统一通信,充分整合各行各业的应用,亦称为IP-NGN。具体地说,就是把工厂、物流、卖场、家庭、医院、学校、宾馆、银行、电信、政府等社会元素普遍互联,形成一个学习、工作、休闲的网络社区。
计算机网络是一种非常复杂且形式多样的技术体系,在这个体系中,技术构成主要体现在交换路由、综合布线、Web服务和网络安全等四个方面。
2.1 交换路由
交换路由包括多种发展成熟度差异很大的技术。光以太网主要应用于广域网、城域网,千兆以太网应用于局域网,覆盖了从核心层、汇聚层到接入层的各种需求,顺利实现用户的平滑升级。以太网交换机主要通过地址学习,建立端口/MAC地址映射表,实现端口多结点之间的并发传输;路由器根据目的IP地址,更新路由表,实现多个自治网络之间的分组转发。
2.2 综合布线
计算机网络的物理连接主要采用综合布线系统,它具有统一的工业标准和严格的规范,是一个集标准与标准测试于一体的完整系统;它以模块化的组合方式,把多路信号用统一的传输媒介进行综合,将现代建筑的三大子系统有机地连接起来,为现代建筑的系统集成提供了物理介质。
2.3 Web服务
Web服务在电子商务、电子政务、公司业务流程电子化等领域有着广泛的应用,它是指一些在网络上运行的、面向服务的、基于分布式程序的软件模块;它采用HTTP和XML等互联网通用标准,使人们可以在不同的地方通过不同的终端设备访问Web上的数据,如网上银行。
2.4 网络安全
计算机网络互联的根本目的在于数据传输和资源共享。网络安全主要包括两部分,即网络自身的安全性和网络信息的安全性。网络的安全需求主要表现在协议流量控制、防范网络攻击、机密认证授权、系统平台安全、防火墙、网络入侵检测、虚拟专用网、网络安全管理。
计算机网络的各类技术既相互独立又紧密联系。Web服务是应用目的,交换路由实现数据的自由传播,网络安全提供高可信的服务质量,综合布线是数据传播的媒介。通过深入剖析计算机网络的技术体系,从理论到实践全面认识专业建设的目标,改进教学方法,提高学生培养质量。
3 计算机网络技术专业的知识体系
一个完整的专业课程体系应该包含三个方面:专业知识体系、专业课程体系、某一门课程的体系。本文从专业角度出发,故只讨论前两者。
虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
1 构建rras服务
rras也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了vpn技术,但是基本上是基于网络硬件设备的,比如锐捷硬件vpn、路由器等,而利用windows server 2003内置的rras组建vpn网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器unc名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。
rras是windows server 2003的默认windows组件,其初始状态为停用,因此在构建rras之前必须将其激活,只有在rras管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此rras服务已经被激活,激活状态如下图所示:
2 配置远程访问服务器
2.1 远程访问服务器属性的配置
2.1.1 常规属性设置 在windows server 2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台vpn服务器。
2.1.2 安全设置 vpn始终是通过公用网络如internet在vpn客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。rras中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的windows身份验证和radius身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
2.1.3 远程用户ip设置 远程vpn客户必须通过ip地址连接到服务器从而访问企业网络,通过ip设置可以给远程客户机指派ip地址。一般通过两种方法来指派:第一种是利用企业网络内部的dhcp服务器动态的分配ip地址,另一种方法是指定某个范围的静态地址池,其中“启用ip路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。
2.2 远程访问服务器端口的配置 在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对wan微型端口(pptp)和(l2tp)的数量的更改。在wan微型端口(pptp)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。
2.3 用户拨入的配置 企业远程访问服务器同时也具备域控制器的功能,它是通过“active directory 用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业rras服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到rras服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。
由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,当远程客户端通过vpn连接自动获取到一个和企业内网同一网段的ip地址后,就可以像在公司内部一样安全、方便、快速、高效地与intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
参考文献:
[1]ivan pepelnjak jim guichard. mpls和vpn体系结构[m].北京:人民邮电出版社,2004.
[2](美)罗等,刘伟琴,米强译.第二层vpn体系结构[m].北京:人民邮电出版社,2006.
[3]徐祗祥.windows网络服务[m].北京:科学技术文献出版社,2008.
[4]玛尼尔(ruest,d.),尼尔森(ruest,n.).windows server 2003企业部署原理与实践[m].北京:清华大学出版社,2006.远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:
2.3.1 单接口vpn服务器。此时用企业的核心路由器或硬件防火墙负责转发ip数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。
2.3.2 双接口vpn服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口vpn服务器网络中,客户端直接通过vpn服务器访问企业内部网络。
电信中立,互联互通出色
经过多年的积累,世纪互联在基础设施、电信资源、网络运营和技术服务等方面具备了突出的优势。
机房
目前,世纪互联在北京拥有5000平米大型国际A级标准的电信级数据中心机房,在天津及全国有多个骨干机房相连。并且都具备高等级的电力、空调、防火、安全和监控等专业设施,配备了具有多年服务经验的专业服务人员,可以满足不同需求客户多层次的全程应用服务需求。2007年,世纪互联还将陆续推出全接入、同品质、全国化的多点机房布局,以满足客户全国化应用部署需求。机房可用面积超过7000平米。
电信资源
作为首家获信息产业部批准接入的国家互联网交换中心(NAP)的专业IDC公司,世纪互联以其独具的国内唯一一家汇聚部级电信运营商传输及链路资源的优势,成为互联互通最好的链路提供者。拥有中国网通、中国电信、中国移动、中国联通、中国铁通、教育网、中国教育科研网等多家部级电信运营商的交换节点,实现多家运营商互联互通、互为备份,使用户可以不受运营商领地限制,享受多家服务的选择,得到更高的网络品质保证。
由于基础电信运营商之间均保持高带宽的互联互通,对于入驻世纪互联的互联网企业客户,互联互通的品质给其带来的价值在于极大降低了延迟,提高了可靠性,客户享受到的是“一跳连接”及充足带宽的优质服务。
同时,相对于传统企业而言,由于世纪互联汇聚了多家运营商传输及链路资源,为其接入世纪互联的方式提供了多种选择。网络在设计方面采用标准的层次化结构,网络设备之间形成全冗余互联,各机房之间形成环状结构,任意一点的故障不会影响网络运营,为客户提供99.99%的网络联通性保证。
基于这种网络资源方面的优势,世纪互联为客户提供了高可靠性的网络接入服务,在2007年还会推出面向全国部署的全程全线网络接入服务,使客户不仅能够在世纪互联的现有机房获得这种全线全程的网络服务,还可以根据自身的业务需求,随时改变网络接入方式,减小业务损耗,提高投资回报率。
专业运营,网络稳定可靠
在网络运营方面,世纪互联拥有国内唯一成功运行商业数据中心服务超过十年的专业24×7运营团队,可以支持通信、网络、IT和客户服务的各个层面。
2001年,世纪互联在国内通过了英国UKAS和美国RAB双料ISO9002质量体系认证,成为国内第一家通过ISO认证的数据中心。在基础设施和服务方面,世纪互联荣获了“CCID数据中心服务评比”的最高标准―“四星级数据中心”,并率先成为首批国信安办认证的安全服务试点单位之一,以及公共互联网应急处理部级服务试点单位。此外,世纪互联在业内第一个提出了SLA服务标准,现已成为行业服务标准,并为业内运营商所遵循。
在网络安全方面,世纪互联网络内部互联带宽以及世纪互联与外部运营商的互联均是以千兆为单位,某个企业用户的流量变化不会影响到业务的正常开展。带宽耗用大时,独享用户可方便及时的申请和获得扩容。共享用户,其流量在超过了协议规定的范围时,将进行带宽限制,以确保整个网络和其他客户的网络品质。
对于客户遭受攻击的事件,世纪互联有自己的安全服务,利用网络内部部署的“黑洞”设备为用户过滤掉攻击流量,协助用户查找攻击源,并制定屏蔽和黑洞引导,降低客户的损失。通过带宽冗余,以及专业网络安全服务,世纪互联能够为客户提供基于SLA,高达99.99%的网络品质保障,贴身保护用户的业务运行质量和投资。
最佳客户服务,赢得良好口碑
国际标准的基础设施及过硬的服务体系不仅成就了世纪互联专家级数据中心的市场地位,也为之赢得了外交部、中央电视台、KDDI、IBM、HP等国内外用户的青睐,并且积淀了如E龙、TOM、中华网、博客网、智联招聘网等大批优质互联网企业客户。
客户的成功是世纪互联成就的最好证明,2006年,世纪互联荣获中国IT用户满意度调查“数据中心用户服务满意度第一”和“互联网公益企业大奖”。
全程服务,客户放心托付
为了更好地为客户提供一体化电信与IT集成服务,世纪互联深入挖掘市场需求,针对不同行业、不同地区、不同规模客户的需求,结合实践、不断创新,在2007年推出了“全程服务”的全新服务体系。在继续提供单线、双线、全线网络接入、多点机房托管和全国分布式部署等传统IDC服务的同时,还精心为客户提供了满足企业不同成长阶段、不同业务需求、以降低用户成本,提升效益为前提的专业IDC产品与增值服务。
世纪互联的全程服务主要体现在以下几个方面:
世纪互联深入挖掘用户需求,提供全线产品和服务满足客户不同成长阶段的需求。
不管客户是起步阶段还是在高速成长阶段,抑或已经发展成一个非常成熟的企业,世纪互联都有相应的产品和服务为客户提供最适合的服务。
成长型企业由于人员队伍不足、专业经验不足、突发事件多、需求变动大,以及专注成长,力争三甲,优先成功,因此,需要低成本、高质量的互联互通网络资源、灵活的技术支持、快速响应和全方位的技术解决方案。世纪互联提供的全程服务使其专注于业务,快速成长,享受随用随取的贴身服务。
国家政务外网(CEGN)是按照“中办发[2002]17号文件”规定建设的中国电子政务重要基础设施。国家政务外网是政府的业务专网,主要承载政务部门不需要在内网上运行的业务和政务部门面向社会的专业,与政务内网物理隔离,与互联网逻辑隔离,为政务部门的业务系统提供网络、信息、安全等支撑服务,为社会公众提供政务信息服务。
国家政务外网由中央政务外网和地方政务外网组成,主要服务于各级党委、人大、政府、政协、法院和检察院等部门,为各部门的业务应用提供网络承载服务,支持业务网络的互联互通,支持跨地区、跨部门的业务应用、信息共享和业务协同,满足各级政务部门社会管理、公共服务等方面的需要。
一、国家政务外网建设背景
经过十几年的发展,中国政府信息化建设取得了长足进步,各部门以需求为导向,建设了一批管理信息系统,构建了不同规模的网络体系。但是,由于各部门各自建设自己的专网,形成了“上面千根针,下面万条线”的局面,在网络建设上盲目投资和重复投资多有发生,存在网络利用水平低、安全隐患大、互联互通少等诸多问题。
基于此,2002年出台了《关于我国电子政务建设的指导意见》。《意见》提出要“建设和整合统一的电子政务网络”,“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离”,并明确提出建设国家政务外网。
从2002年底开始,国家信息中心就开始积极筹划国家政务外网的立项和申请工作,做了大量细致的调查和预研工作。历经两年多认真准备,2004年9月30日,国家发展和改革委员会发出《国家发展改革委关于国家政务外网(一期工程)项目建议书的批复》(发改高技[2004]2135号)文件,正式批复项目立项,明确了外网一期工程项目的建设目标、建设内容。随后,又对可研报告和初步设计进行了批复,政务外网进入了正式建设阶段。
国家政务外网项目从2005年开始了一系列招投标工作,截至2006年底,网络系统的主体工程基本完成,并于2007年通过了初步验收,初步具备了承载部门业务应用系统的能力。
二、国家政务外网主要建设目标和任务
国家政务外网总体目标是依托统一的国家公用通信传输网络,整合建设政务外网,通过覆盖全国各级政务部门的网络平台和服务体系,支持电子政务业务系统的运行,支持跨部门、跨地区的信息资源共享,支持电子政务业务系统的互联互通和信息交换,促进政府监管能力和服务水平的提高。
政务外网的建设分期、分阶段进行。一期工程主要依托统一的国家公用通信传输网络,连接部分部(委、局、署)和省(自治区、直辖市)级节点,初步建成安全可靠、具备承载运行有关部门业务系统能力的国家政务外网(参见图1),并探索有关网络建设、管理、维护与服务的经验,为下一阶段国家政务外网的建设和完善奠定基础。
具体建设内容如下:
制订政务外网总体规划,开展相关技术标准和管理规范的编制工作;
依托统一的国家电子政务传输网络,构建政务外网网络平台,并实现16个国务院部(委、局、署)和31个省(自治区、直辖市)及新疆生产建设兵团与政务外网的连接;
建设政务外网网管中心和政务外网网站,初步形成政务外网服务体系,保障政务外网正常运行;
初步构建政务外网信息资源目录体系与交换体系,建设政务外网中央数据交换中心原型,满足第一阶段部分部委信息资源分类与交换等服务;
建设政务外网网络安全防护体系,实现与互联网可控的逻辑隔离;
建设政务外网顶层认证中心(根CA)、运营CA、密钥管理中心(KMC),以及两个部委证书审核注册中心(RA),为承载的业务系统提供信任服务。
三、政务外网的功能结构
国家政务外网是架构在基础传输网络之上的IP网络,是能够支持数据、语音、视频应用的多业务网络,初期建设以数据传输为主,其功能结构如图2所示。
国家政务外网的建设,可以用四个统一来概括,即充分利用现有资源,整合构建“统一的网络平台、统一的应用支撑平台、统一的安全保障体系和统一的服务体系”。
⒈网络平台
主要是利用基础传输网络资源,构建互联互通的网络共享环境,实现跨部门、跨地区的政务信息共享和业务协同。主要包括:
政务外网广域骨干网:构建政务外网宽带骨干网,实现中央与32个省级单位的互联;
中央城域网:组建中央城域网,实现中央政府各部门的互联,支持相关政府部门的专网接入;
省市政务外网:按照统一标准规范,由各地根据需要逐步推进。
国家政务外网可为有特殊需要的用户或业务提供专用的虚拟专网服务。各政务部门,可以根据需要,构建本部门纵向虚拟专网或者横向虚拟专网,不同政务部门也可以根据不同业务的需要,构建相关业务的虚拟专网。
国家政务外网能为出差用户或暂时未接入政务外网的用户,提供通过互联网安全接入政务外网或本部门业务专网的服务。
国家政务外网提供基础网络服务,如IP地址注册与分配、域名注册与分配、域名解析、安全电子邮件等服务。
⒉应用支撑平台
国家政务外网建设政务外网数据中心,为政务信息资源的登记、备案和跨部门跨地区的交换提供服务,为有需求的部门和地区提供数据备份和托管服务;
逐步建设统一的政务外网信息资源目录体系、建立数据交换与共享机制,实现国家政务信息资源和国家基础信息资源的目录服务,包括政务外网自身的目录、国家政府部门黄页、Web服务的目录等;
建立和完善政务信息分类标准、登记制度和交换制度,逐步建立完善的信息采集、登记、处理、交换、利用和平台;
建设面向政务工作人员为主要服务对象、以内容管理为基础的政务外网网站。
⒊安全保障体系
政务外网的安全保障体系包括如下三个方面的内容:
网络安全防护体系,包括网络防护与隔离系统、数据认证与加密传输系统(第三层VPN)、防病毒系统等;
网络信任体系,包括PKI/CA系统、权限管理系统和认证授权审计系统;
安全管理体系,包括:建设中央和省两级安全管理中心(SOC);制订《国家政务外网安全标准指南》,用于指导贯彻执行国家已有安全法规标准,同时制订符合政务外网自身特点和要求的有关规定和技术规范。
⒋外网服务体系
建设政务外网管理中心,建设32个省级接入网的政务外网管理中心(二级网管),负责网络运行维护和管理。形成统一的政务外网服务体系,保障外网稳定可靠地运行,提供优质服务。包括以下四个方面的内容:
网络管理:负责各级外网的管理,包括网络信息服务和网络运行服务,分别由网络信息服务中心(NIC)和网络运行管理中心(NOC)承担相关的服务工作;
信息交换:提供政务信息资源和国家基础信息资源的注册登记、信息、交换和共享服务,为有需求的部门和地方提供数据备份和主机托管服务,制定相应的应急恢复策略和方案;
安全管理:组织制定、实施政务外网安全标准,建立健全安全管理制度,提供病毒防护、安全认证、安全评估、安全监控和应急响应等服务;
客户服务:通过整合资源,组建队伍和建设呼叫中心、政务外网网站等,方便快捷地响应各部门和各地方业务应用的需求,处理客户投诉,为客户提供优质服务。
四、政务外网的服务对象
国家政务外网既要作为我国中央和地方各级政府内部的、公用的信息交换平台,又要作为政府面向社会公众提供各种服务的窗口。因此,国家政务外网将服务于中央和地方各级政府的所有部门(参见图3)。
具体而言,国家政务外网分为中央级(一级网)、省(自治区、直辖市)级(二级网)、地(市)级(三级网)和县级四个层次。中央级联接党中央、国务院、全国人大、全国政协、以及中央国家机关各部委。省、地、县三级分别联接相应层级的党委、政府、人大、政协、法院、检察院及委办厅局等。
显然,国家政务外网的建设不可能一次到位,而必须根据需求和效益的原则分期分批地逐步建设、逐步联网。对于地市以下地方政务外网建设可以根据本地实际情况,积极探索采用互联网资源承载政务外网业务应用的途径。
五、政务外网的主要技术特点
⒈基于基础传输网的政务部门公用的高速可靠IP网络
国家政务外网通过租用电信运营商的基础传输线路,采取IPv4技术构建。在北京,租用裸光纤和MSTP线路,组建了中央城域网;广域网则利用IP over SDH技术构建,采用双星结构连接全国32个省级(含新疆生产建设兵团)单位,国家政务外网建有统一的互联网出口。
⒉采取强逻辑隔离技术与互联网进行隔离,形成2+N的业务模式
国家政务外网采取VPN技术手段,建设互联网接入区,隔离互联网与政务外网的数据包,保证政务外网的信息安全。将互联网业务进行封装,确保互联网业务在专用的VPN通道内进行传输。对于需要与互联网连接的为公众服务的业务,通过逻辑隔离等安全防范措施实现与互联网的可控连接。互联网接入区采取了综合的安全防护措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供一定的安全防护。
通过VPN技术,将外网划分为三种业务区域,即公用业务区、互联网接入区和部委专网业务区,三个区域之间路由不可达,并根据不同的区域制定不同的安全策略进行保护,形成了“2+N”的业务模式。
⒊采用互联网注册地址作为网络互联与共享地址
国家政务外网需要统一规划IP地址,确保网络互联互通和信息共享。
由于国家政务外网与互联网逻辑隔离,换言之,一套用户终端,可以采取一定的技术和安全手段,同时访问政务外网和互联网。这在技术上就要求目标地址必须唯一。因此,政务外网必须采用正式注册地址,确保地址的唯一性。
为此,国家政务外网通过CNNIC向互联网管理机构申请了64B的注册IP地址,在分配上,采用注册IP地址和私有地址两类地址双轨制编址方案,政务外网管理中心负责注册地址的申请、分配与管理。注册地址主要用于解决外网公用平台内的网络互联和信息共享,满足骨干层和接入层的网络设备互联地址和管理地址之用;满足各部委、省市连接政务外网的出口转换;满足各部委、省市连入政务外网信息交换服务器的使用;满足有特殊使用需求的部分用户终端。私有地址通过地址翻译(NAT)或其他方法实现互联互通和信息共享。为了有效提高政务外网注册地址资源的利用效率,国家政务外网注册地址遵循按需原则。
⒋与技术体系各异的各省政务网络安全对接,支持网络统一调度和分级管理
国家政务外网由中央政务外网和地方政务外网共同组成。经过20多年的发展,地方各级政府部门电子政务建设已经具备一定基础。随着国家电子政务建设主要任务的确定,各级地方政府也在积极推进当地政务网络的建设。但由于我国幅员辽阔,经济发展情况各异,因而地方政务外网的建设情况差异较大,北京、上海、黑龙江、江西、广东、安徽、浙江等地已经率先建成了电子政务省域网、城域网,覆盖范围较为全面,而部分省市的政务外网尚处在规划期和积极建设期。
由于许多省级网的建设先于国家政务外网建设,建设模式和技术路线各异,呈现了多样性和复杂性。因此,要求国家政务外网与各省政务外网对接时,要综合采取多种技术手段,确保网络互联互通。
⒌全网支持MPLS VPN技术,支持与多种VPN对接,支持移动办公
利用一套覆盖全国的政务外网物理平台,灵活地提供政务外网虚拟专网,构建各部门相对独立的VPN网络,满足各部门独立建网的需要。政务外网虚拟专网以政务外网为其数据流之载体,具备与专网(Private Network - VPN)相似性能的、可安全进行数据包传送的能力,安全和隐私都可以得到相当程度的保护。其主要技术路线是采用政务外网接入路由器上的专用VPN业务端口,形成安全的信息传输通道,与各省不同形式的VPN(如MPLS VPN,GRE Tunnel,VLAN、IPSec VPN、SSL VPN)对接,满足部委或相关业务端到端的需要。如果用户需要更加安全的、内部的网络通道,则需要在VPN两端增加加密机,形成SVPN(安全的VPN)。VPN内的IP地址、域名、网管和安全将由VPN用户自行规划和管理。
国家政务外网设有互联网VPN网关,并提供CA认证服务。可信用户只要能够接入互联网,就可以使用政务外网证书,通过VPN拨号的方式,构建互联网隧道,接入政务外网,甚至可以根据用户身份识别,接入其专用VPN中。
⒍提供公用的信息资源目录服务系统和统一的信息交换平台
网络基础设施是电子政务的物质基础,信息资源是电子政务的内容基础,更好地利用和共享信息资源,是政务外网建设面临的核心问题之一。
国家政务外网遵照国家《政务信息资源目录体系》标准,采用成熟的软件产品和工具,建立了政务外网信息资源目录体系,包括目录服务支撑平台、政务信息资源目录框架及相关元数据库、数据库和目录应用子系统,以逐步提供信息资源目录及其平台支撑服务。
按照国家相关标准,依照数据交换节点分级控制的原则,建设了数据交换原型系统和统一的交换服务中心。在相应节点建立交换子系统后,可提供对部门节点数据资源的交换服务,实现基于信息服务与服务注册的非定向共享交换。针对跨部门跨地区不同的交换应用需求,可采用点对点、点对多点、多点对点等多种数据交换模式,提供点对多点的广播交换、多点对点集中交换,以及数据发送、数据接收、交换服务、数据交换中心的管理服务等功能。
⒎采取综合安全措施和策略,保证网络运行安全可靠
国家政务外网作为主要面向政务部门服务的公用网络,自身的安全性至关重要,是其区别于互联网,能够为政务部门提供安全网络传输的关键要素。政务外网平台将传输和存储大量内部数据或敏感数据,在传输和存储的过程中也需要严格保护。因此在国家政务外网建设过程中,始终坚持“安全与应用并重”的原则,坚持“统一规划、合理投入、与时俱进、确保安全”,一方面制定相应的安全策略,在网络总体架构、IP地址设计、网络互联与接入等环节重视安全体系建设,构建安全防护体系和网络信任体系,建设安全管理平台;另一方面制定相应的规章制度,加强安全管理,保证政务网络平台安全可靠,进一步提升国家政务外网的安全服务能力。
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)文件要求,政务外网开展了安全等级保护定级工作。根据政务外网作为基础网络平台的特性,以及其接入系统的不同业务类型和不同的业务边界,确定等级保护定级工作的定级对象,分别定级,分级保护。
⒏主要传输非信息,支持政务部门业务系统运行
国家政务外网主要满足各级政务部门社会管理、公共服务等方面的需要,主要传输和存储非信息。
国家政务外网作为政务部门公用的基础网络,可以承载运行一些共性、重点和跨部门的应用系统,突出重点,满足共性需求,减少重复建设,如公文流转和网上办公系统、政务电子邮件系统等,以及提供视频会议、IP电话、电子邮件等其他公共网络服务。
六、项目建设成效
根据国家政务外网初步设计的任务要求,一期工程第一阶段接入16个中央部门单位。随着工程的稳步推进,特别是2007年9月,自然资源和地理空间基础数据库以及国务院国家应急平台体系,都要求利用政务外网构建其基础网络传输环境,使得接入部门数量大幅度增加。国务院应急平台要求接入国务院应急办、公安部、外交部等24个中央部门;自然资源和地理空间基础数据库要求接入国土资源部、水利部等10个部门13个节点。包括先期已经完成的国家监察部、人事部、农业部等单位,到2008年6月底,中央城域网预计接入单位将达到45个。接入单位数量增长较快,政务外网应用初见成效。
⒈支撑了国务院应急平台试点
在2008年初全国军民抗击冰雪紧急救灾的战役中,政务外网积极配合国务院应急办,及时开展国家应急平台体系的相关网络接入工作。横向连接了国务院应急办、公安部、外交部等24个部委,纵向连接了北京、上海等35个省、自治区、直辖市、新疆建设兵团、计划单列市的应急机构。目前,国务院应急办正在利用政务外网进行非视频、图像、语音、数据传输业务和应急卫星通信试验。
⒉支撑了监察部业务应用
2006年底,监察部纠风网站系统在政务外网上正式开通。该系统利用政务外网进行了系统纵向业务和横向业务的联系与处理,利用政务外网互联网出口向公众提供了投诉和反馈服务,以及利用政务外网的CA和VPN网关为还未接入政务外网的单位提供访问业务系统的认证服务等。将先进的信息技术和纠风工作相结合,拓宽纠风工作的渠道,在网上受理和办理群众举报、投诉、咨询和建议,为纠风业务开辟了安全的服务通道。
⒊计划承载自然资源和地理空间基础信息库
政务外网作为国家重要基础数据库的网络承载平台,其目标是将自然资源和地理空间基础信息库数据主中心、土地和矿产资源数据分中心等13个数据中心节点接入政务外网,实现国土资源部、水利部等10个部门自然资源和地理空间信息的共享和数据交换,并向其他政府部门提供信息服务。根据业务需求,划分为不同的业务域,即对外服务区(DMZ)和数据加工与存储区。对外服务区主要进行数据,数据加工与存储区则利用政务外网,构建内部安全可靠的虚拟专用网络来实现。
⒋支撑了文化部文化信息资源共享平台
文化部文化信息资源建设管理中心建设的中国优秀文化信息资源共享平台,利用政务外网实现与各省的高速互联、双向传输,提高文化共享工程的资源传输与服务水平,并计划逐步延伸到地、县。文化共享工程对带宽需求较高,每年传输到各省的数据量约30TB。
⒌利用政务外网开展金审工程审计专网应用试点
利用中央和省政务外网,构建国家、省、地、县四级审计专网。在浙江、天津、湖北进行试点,已经成功打通了纵向VPN,实现了跨网、跨域、跨不同厂商硬件设备的VPN互连。
⒍其他业务
政务外网还支持了许多部委和地方的相关业务,如国务院扶贫办业务、中央机构编制办业务、由地方发起的湘粤流动人口计划生育信息的交换和共享系统等。
随着政府职能不断转变,为民服务意识不断深化,公共服务理念逐渐深入人心,可以预期,政务外网在推动政府业务应用方面必将发挥更大的作用。
作者简介:
近年来,随着经济水平的不断提高,信息技术的不断发展,一些单位、企业将办公业务的处理、流转和管理等过程都采用了电子化、信息化,大大提高了办事效率。然而,正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众多潜在的安全隐患。也即在连结信息能力、流通能力迅速提高的同时,基于网络连接的安全问题将日益突出。因此,在网络开放的信息时代为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并预以解决。
一、网络连接上的安全
目前,企业网络办公系统多数采用的是客户机/服务器工作模式,远程用户、公司分支机构、商业伙伴及供应商基本上是通过客户端软件使用调制解调器拨号或网卡连接到服务器,以获取信息资源,通过网络在对身份的认证和信息的传输过程中如不采取有效措施就容易被读取或窃听,入侵者将能以合法的身份进行非法操作,这样就会存在严重的安全隐患。
同时,企业为了完成各分支机构间的数据、话音的传送,需要建立企业专用网络。早期由于网络技术及网络规模的限制,只能租用专线、自购设备、投入大量资金及人员构建自己实实在在的专用网络(PN,PrivateNetwork)。随着数据通信技术的发展,特别是ATM、FrameRelay(简称FR)技术的出现,企业用户可以通过租用面向连接的逻辑通道PVC组建与专线网络性质一样的网络,但是由于在物理层带宽及介质的非独享性,所以叫虚拟专用网络(VPN,VirtualPrivateNetwork)。特别是Internet的兴起,为企业用户提供了更加广泛的网络基础和灵活的网络应用。
VPN(VirtualPrivateNetwork,虚拟专用网络)是一种通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络。它替代了传统的拨号访问,通过一个公用网络(Internet、帧中继、ATM)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,利用公网资源作为企业专网的延续,节省了租用专线的费用。
VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN也可作为电信专线(DDN、FR)备份线路,当专线出现故障时可迅速切换到VPN链路进行数据传输,确保数据无间断性地传输。
进行远程访问时,远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到总公司的防火墙或是交换机上,在实现访问信息资源的同时可节省长途拨号的费用。当一个数据传输通道的两个端点被认为是可信的时候,安全性主要在于加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。
二、Web服务器的安全
Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,Web服务器的安全是不容忽视的。而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。
SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Keypair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。
三、数据库的安全
在办公自动化中,数据库在描述、存储、组织和共享数据中发挥了巨大的作用,它的安全直接关系到系统的有效性、数据和交易的完整性、保密性。但并不是访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。例如:可以用TCP/IP协议从1521和1526端口访问Oracle7.3和8数据库。多数数据库系统还有众所周知的默认帐号和密码,可支持对数据库资源的各级访问。从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协。因此,要保证数据库的完整性,首先应做好备份,同时要有严格的用户身份鉴别,对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,用以跟踪和记录用户对数据库和数据库对象的操作,全方面保障数据库系统的安全。4.网络安全防范
现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:
(1)配置防病毒软件
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(2)利用防火墙
利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(3)Web、Email的安全监测系统
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
(4)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
(5)利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。:
总之,网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。但由于系统中的安全隐患、黑客的攻击手段和技术在不断提高,因此我们对安全的概念要不断的扩展,安全的技术也应不断更新,这就有大量的工作需要我们去研究、开发和探索,以此才能保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]《网络安全理论与应用》杨波北京电子工业出版社2002
