序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了七篇安全網(wǎng)絡(luò)策略范文，愿它們成為您寫作過(guò)程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

網(wǎng)絡(luò)安全通信是實(shí)現(xiàn)信息系統(tǒng)互聯(lián)互通的主要手段，因此建立多級(jí)安全網(wǎng)絡(luò)通信模型是實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)安全互聯(lián)的重要保障。當(dāng)前，雖然正對(duì)多級(jí)安全模型的研究已經(jīng)取得了一定的效果，但是依舊不能夠滿足多級(jí)安全網(wǎng)絡(luò)通信的實(shí)際需求，存在著靈活性較差、客體信息聚合推導(dǎo)泄密、傳輸信息泄密干擾等問(wèn)題。因此，實(shí)現(xiàn)多級(jí)安全網(wǎng)絡(luò)信息系統(tǒng)間的安全互聯(lián)互通的關(guān)鍵是支持具有多級(jí)安全屬性的網(wǎng)絡(luò)通信安全機(jī)制。

二、安全標(biāo)記綁定技術(shù)

在網(wǎng)絡(luò)信息系統(tǒng)中，安全標(biāo)記是強(qiáng)制訪問(wèn)控制實(shí)施的基礎(chǔ)。實(shí)現(xiàn)安全標(biāo)記與課堂之間的綁定是多級(jí)安全網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)據(jù)安全共享的關(guān)鍵。實(shí)現(xiàn)安全標(biāo)記與客體的綁定包括信息客體、進(jìn)程等，當(dāng)前的安全標(biāo)記與客體的綁定并不能夠滿足多級(jí)安全控制的需要，需要對(duì)存在的問(wèn)題進(jìn)行分析，在此基礎(chǔ)上提出基于數(shù)據(jù)樹統(tǒng)一化描述的安全標(biāo)志與課堂的綁定方式，從而實(shí)現(xiàn)了綁定的統(tǒng)一性，確保了安全標(biāo)記的安全性，為實(shí)施更為細(xì)粒度的訪問(wèn)控制提供了保障。

三、信息客體聚合推導(dǎo)控制方法

多級(jí)安全網(wǎng)絡(luò)中存在著客體信息聚合導(dǎo)致了信息泄密問(wèn)題。需要對(duì)客體之間的關(guān)系進(jìn)行分析，通過(guò)多級(jí)安全網(wǎng)絡(luò)信息課堂聚合推導(dǎo)控制方法實(shí)現(xiàn)對(duì)多級(jí)安全網(wǎng)絡(luò)訪問(wèn)控制策略的制定。通過(guò)對(duì)關(guān)聯(lián)客體與相似客體的角度研究了客體聚合推導(dǎo)控制。信息客體聚合推導(dǎo)控制方法包括兩個(gè)方面，一方面是基于屬性關(guān)聯(lián)的客體聚合信息級(jí)別推演方法，另一方面是基于聚類分析的客體聚合信息級(jí)別推演方法。通過(guò)這兩種方式實(shí)現(xiàn)多級(jí)安全網(wǎng)絡(luò)防護(hù)基本原則的改變，對(duì)多級(jí)安全網(wǎng)絡(luò)中主體對(duì)客體的訪問(wèn)進(jìn)行有效的控制，降低或者消除泄密的風(fēng)險(xiǎn)。

四、通信協(xié)議簇設(shè)計(jì)

通信的基礎(chǔ)就是協(xié)議，只有通過(guò)安全協(xié)議才能夠?qū)崿F(xiàn)安全互聯(lián)。在多級(jí)安全網(wǎng)絡(luò)中，存在著通信關(guān)系比較復(fù)雜的現(xiàn)象，其靈活性較差。尤其是在實(shí)現(xiàn)了信息系統(tǒng)互聯(lián)之后，容易引起攻擊者興趣的往往是具有了一定安全級(jí)別的信息。在對(duì)多級(jí)安全網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析了基礎(chǔ)上，對(duì)多級(jí)安全網(wǎng)絡(luò)的通信協(xié)議簇進(jìn)行了設(shè)計(jì)，產(chǎn)生了MLN-SCP，這種通信協(xié)議簇包括兩個(gè)方面，一方面是多級(jí)安全通道建立協(xié)議ML-STEP，主要的作用是建立多級(jí)安全通道，對(duì)通道的秘鑰材料進(jìn)行協(xié)商，從而確保數(shù)據(jù)傳輸過(guò)程中的安全，另一方面是多級(jí)安全網(wǎng)絡(luò)傳輸協(xié)議MLN-STP，主要的作用是通過(guò)安全通道模式與UDP封裝通道模式實(shí)現(xiàn)數(shù)據(jù)的安全封裝與安全標(biāo)記的攜帶，對(duì)通道內(nèi)數(shù)據(jù)傳輸?shù)陌踩M(jìn)行保障。通信協(xié)議簇MLN-SCP更加適合與多級(jí)安全網(wǎng)絡(luò)信息系統(tǒng)之間的安全互聯(lián)。

五、總結(jié)

篇(2)

關(guān)鍵詞：信息安全 網(wǎng)絡(luò)風(fēng)險(xiǎn) 防御模式

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）02（a）-0033-01

作為企業(yè)的第一戰(zhàn)略資源，信息有著舉足輕重的作用。如果企業(yè)想要順利完成其工作，就要保證信息資源的安全。與資產(chǎn)天生相對(duì)的矛盾產(chǎn)物的另一個(gè)就是風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隨著資產(chǎn)的價(jià)值正比例變化。而與傳統(tǒng)資產(chǎn)不同的信息資源，也面臨著新的不可知的風(fēng)險(xiǎn)。為了緩和平衡這一對(duì)新矛盾出現(xiàn)了信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御，它大大降低了風(fēng)險(xiǎn)，使信息以及相關(guān)資源能夠在可接受的風(fēng)險(xiǎn)范圍內(nèi)得到安全保證。若風(fēng)險(xiǎn)防御不到位，所存在的安全風(fēng)險(xiǎn)不僅僅影響系統(tǒng)的正常運(yùn)行，而且可能危害到企業(yè)的安全。因此，在選擇風(fēng)險(xiǎn)防御策略時(shí)，要選擇能夠在風(fēng)險(xiǎn)防御具體實(shí)施過(guò)程下，找到合適的風(fēng)險(xiǎn)防御實(shí)施點(diǎn)來(lái)實(shí)施的新技術(shù)的風(fēng)險(xiǎn)防御，這樣可以幫助風(fēng)險(xiǎn)管理過(guò)程有效完成，保護(hù)企業(yè)完成任務(wù)。

1 信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)管理包括：信息安全網(wǎng)絡(luò)需求分析、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)防御

信息安全網(wǎng)絡(luò)需求分析包括遠(yuǎn)程接入域、企業(yè)互聯(lián)域、服務(wù)域、內(nèi)網(wǎng)支撐域。不同的區(qū)域有不同的安全需求，在遠(yuǎn)程接入域主要考慮信息安全3A的安全需求；在互聯(lián)域重要考慮BLP、biba模型的分析、建立、部署；在服務(wù)域重點(diǎn)考慮信息安全的CIA安全需求；在內(nèi)網(wǎng)支撐域重點(diǎn)考慮人的安全、流程的安全、物理安全等安全需求。在信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御過(guò)程中，信息安全的需求的確立過(guò)程是一次信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御主循環(huán)的起始，為風(fēng)險(xiǎn)評(píng)估提供輸入。

風(fēng)險(xiǎn)評(píng)估，就是風(fēng)險(xiǎn)和風(fēng)險(xiǎn)影響的識(shí)別和評(píng)估，還有建議如何降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理過(guò)程的第三步才是風(fēng)險(xiǎn)防御，風(fēng)險(xiǎn)評(píng)估時(shí)，關(guān)于對(duì)安全控制實(shí)施優(yōu)先級(jí)的排序、評(píng)價(jià)、實(shí)現(xiàn)的建議，都屬于風(fēng)險(xiǎn)防御，這些控制將會(huì)降低風(fēng)險(xiǎn)。

2 新技術(shù)下的網(wǎng)絡(luò)風(fēng)險(xiǎn)模式研究

2.1 風(fēng)險(xiǎn)防御模式

包括選擇風(fēng)險(xiǎn)防御措施、選擇風(fēng)險(xiǎn)防御策略、實(shí)施風(fēng)險(xiǎn)防御三個(gè)過(guò)程。實(shí)施風(fēng)險(xiǎn)防御的過(guò)程包括對(duì)過(guò)程進(jìn)行優(yōu)先級(jí)排序、評(píng)價(jià)建議的安全控制類別、選擇風(fēng)險(xiǎn)防御控制、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃、實(shí)現(xiàn)被選擇的安全控制，最后還要進(jìn)行殘余風(fēng)險(xiǎn)分析。

2.2 風(fēng)險(xiǎn)防御措施

（1）風(fēng)險(xiǎn)規(guī)避：通過(guò)消除風(fēng)險(xiǎn)的原因或后果（如當(dāng)識(shí)別出風(fēng)險(xiǎn)時(shí)放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng)）來(lái)規(guī)避風(fēng)險(xiǎn)。（2）風(fēng)險(xiǎn)降低：通過(guò)實(shí)現(xiàn)安全控制來(lái)限制風(fēng)險(xiǎn)，這些安全控制可將由于系統(tǒng)弱點(diǎn)被威脅破壞而帶來(lái)的不利影響最小化（如使用支持、預(yù)防、檢測(cè)類的安全控制）。（3）風(fēng)險(xiǎn)計(jì)劃：制定一套風(fēng)險(xiǎn)減緩計(jì)劃來(lái)管理風(fēng)險(xiǎn)，在該計(jì)劃中對(duì)安全控制進(jìn)行優(yōu)先排序、實(shí)現(xiàn)和維護(hù)。（4）風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)使用其他措施補(bǔ)償損失，從而轉(zhuǎn)移風(fēng)險(xiǎn)，如購(gòu)買保險(xiǎn)。

企業(yè)的目標(biāo)和使命是企業(yè)選擇風(fēng)險(xiǎn)防御措施的首要考慮因素。想要解決所有風(fēng)險(xiǎn)是不可能的，因此可以將嚴(yán)重危害影響目標(biāo)的各種威脅或者弱點(diǎn)進(jìn)行排序。選擇不同廠商的安全產(chǎn)品中最合適的技術(shù)，再配合有效地風(fēng)險(xiǎn)防御措施和非技術(shù)類的管理措施是最好的方法。

2.3 風(fēng)險(xiǎn)防御策略

通過(guò)對(duì)實(shí)踐經(jīng)驗(yàn)的總結(jié)，對(duì)由于故意的人為威脅所帶來(lái)的風(fēng)險(xiǎn)做出防御，采取行動(dòng)來(lái)提供指導(dǎo)，從而保護(hù)我們的企業(yè)信息安全。

（1）當(dāng)存在系統(tǒng)漏洞時(shí)，實(shí)現(xiàn)保證技術(shù)來(lái)降低弱點(diǎn)被攻擊的可能性。（2）當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí)，運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生。（3）當(dāng)攻擊者的成本比攻擊得到更多收益時(shí)，運(yùn)用保護(hù)措施，通過(guò)提高攻擊者成本來(lái)降低攻擊者的攻擊動(dòng)機(jī)（如使用系統(tǒng)控制，限制系統(tǒng)用戶可以訪問(wèn)或做些什么，這些措施能夠大大降低攻擊所得）。（4）當(dāng)損失巨大時(shí)，運(yùn)用設(shè)計(jì)原則、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來(lái)限制攻擊的程度，從而降低可能的損失。

2.4 風(fēng)險(xiǎn)防御模式的實(shí)施

在實(shí)施風(fēng)險(xiǎn)防御措施時(shí)，要遵循以下規(guī)則：找出最大的風(fēng)險(xiǎn)，將其風(fēng)險(xiǎn)減緩到最小風(fēng)險(xiǎn)，同時(shí)要使對(duì)其他目標(biāo)的影響減到最小化。下面是以某企業(yè)信息網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例在新技術(shù)下的信息安全風(fēng)險(xiǎn)防御模式的研究過(guò)程。

2.4.1 風(fēng)險(xiǎn)評(píng)估

對(duì)信息網(wǎng)絡(luò)進(jìn)行屬性分析，風(fēng)險(xiǎn)評(píng)估后，得到如下結(jié)果：數(shù)據(jù)庫(kù)系統(tǒng)安全狀況為中風(fēng)險(xiǎn)等級(jí)。在檢查的30個(gè)項(xiàng)目中，共有8個(gè)項(xiàng)目存在安全漏洞。其中：3個(gè)項(xiàng)目為高風(fēng)險(xiǎn)、1個(gè)項(xiàng)目為中風(fēng)險(xiǎn)、4個(gè)項(xiàng)目為低風(fēng)險(xiǎn)等級(jí)。

2.4.2 風(fēng)險(xiǎn)防御具體措施

根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告和承受能力來(lái)決定風(fēng)險(xiǎn)防御具體措施。確定風(fēng)險(xiǎn)防御實(shí)施點(diǎn)，該網(wǎng)站的設(shè)計(jì)存在漏洞并且該漏洞可能被利用。實(shí)施步驟如以下幾點(diǎn)。

（1）確立風(fēng)險(xiǎn)級(jí)別，對(duì)評(píng)估結(jié)果中的8個(gè)項(xiàng)目漏洞進(jìn)行優(yōu)先級(jí)排序。

（2）評(píng)價(jià)建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫(kù)被建立后，針對(duì)評(píng)估報(bào)告中的安全控制建議進(jìn)行分析，得出要采取的防御策略。

（3）對(duì)相應(yīng)的若干種防御策略進(jìn)行成本收益分析，得出每種防御策略的成本和收益。

（4）選擇安全控制。對(duì)漏洞分別選擇相應(yīng)的防御策略。

（5）責(zé)任分配，輸出負(fù)責(zé)人清單。

（6）制定完整的漏洞修復(fù)計(jì)劃。

（7）實(shí)施選擇好的防御策略，對(duì)SQL注入漏洞、XSS跨站腳本漏洞、頁(yè)面存在源代碼泄露、網(wǎng)站頁(yè)面權(quán)限漏洞（w—寫權(quán)限）、網(wǎng)站存在ddos攻擊這幾個(gè)漏洞進(jìn)行一一修復(fù)。

3 結(jié)語(yǔ)

風(fēng)險(xiǎn)管理過(guò)程持續(xù)改進(jìn)。通過(guò)對(duì)信息安全的風(fēng)險(xiǎn)的計(jì)劃、識(shí)別、定量分析、應(yīng)對(duì)角度進(jìn)行全方面的安全風(fēng)險(xiǎn)評(píng)估；在風(fēng)險(xiǎn)評(píng)估過(guò)程中，注重安全需求分析，通過(guò)滲透測(cè)試、文檔評(píng)審、漏洞掃描等手工和自動(dòng)化過(guò)程充分識(shí)別風(fēng)險(xiǎn)；通過(guò)蒙特卡羅、決策樹模型準(zhǔn)確定義風(fēng)險(xiǎn)，使風(fēng)險(xiǎn)評(píng)估盡可能的準(zhǔn)確；在專家評(píng)審會(huì)議上，通過(guò)頭腦風(fēng)暴、DELPHI等評(píng)審方法，針對(duì)不同的優(yōu)先級(jí)別的風(fēng)險(xiǎn)采用不同的應(yīng)對(duì)措施，并本著PDR模型的方式在企業(yè)內(nèi)部建立縱身的安全風(fēng)險(xiǎn)控制系統(tǒng)，為企業(yè)保駕護(hù)航。

參考文獻(xiàn)

[1] 孫強(qiáng)，陳偉.信息安全管理：全球最佳實(shí)踐與實(shí)施指南[M].北京：清華大學(xué)出版社，2007.

篇(3)

廣播電視網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，業(yè)務(wù)相關(guān)技術(shù)網(wǎng)絡(luò)由相對(duì)簡(jiǎn)單、封閉逐漸向復(fù)雜、無(wú)邊界化發(fā)展，導(dǎo)致面臨的安全風(fēng)險(xiǎn)和威脅越發(fā)突出。行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力與其重要地位相比，仍然較為薄弱，難以有效應(yīng)對(duì)高強(qiáng)度的網(wǎng)絡(luò)攻擊。云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)的發(fā)展應(yīng)用，伴隨著新的安全風(fēng)險(xiǎn)，尚缺乏有效的應(yīng)對(duì)手段。OTT業(yè)務(wù)屬于廣電網(wǎng)絡(luò)的增值業(yè)務(wù)，為了保證各類OTT業(yè)務(wù)安全穩(wěn)定的運(yùn)行，在進(jìn)行網(wǎng)絡(luò)與安全規(guī)劃的時(shí)候，既要提高網(wǎng)絡(luò)的可靠性，又要保證OTT業(yè)務(wù)的安全性。

本文探討了通過(guò)采用VRRP+HRP等技術(shù)，再通過(guò)路由規(guī)劃，可以實(shí)現(xiàn)業(yè)務(wù)上的圖1 整體網(wǎng)絡(luò)拓?fù)鋱D“主-主”模式，在滿足OTT業(yè)務(wù)可靠性的同時(shí)，滿足業(yè)務(wù)的安全性要求。同時(shí)，還要考慮廣電網(wǎng)絡(luò)的IPv6 升級(jí)改造，即符合廣電網(wǎng)絡(luò)IPv6 規(guī)模部署和推進(jìn)的整體規(guī)劃，還要充分結(jié)合業(yè)務(wù)發(fā)展和用戶終端的升級(jí)情況等因素，進(jìn)行綜合決策。整體拓?fù)鋱D設(shè)計(jì)如圖1 所示?？煽啃栽O(shè)計(jì)規(guī)劃可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及網(wǎng)絡(luò)保持業(yè)務(wù)不中斷的能力，主要包括設(shè)備級(jí)可靠性、網(wǎng)絡(luò)級(jí)可靠性和業(yè)務(wù)級(jí)可靠性三個(gè)層次。其中，業(yè)務(wù)級(jí)可靠性更多的是從業(yè)務(wù)管理的層面來(lái)要求的，要求業(yè)務(wù)不中斷。整體網(wǎng)絡(luò)可靠性在99.999%以上。在進(jìn)行OTT網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃時(shí)通常采用星型結(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計(jì)，一般考慮如下原則：將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層；每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)；將網(wǎng)絡(luò)中不同的OTT業(yè)務(wù)劃分為不同的模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問(wèn)題定位；關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)、關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)、關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。安全性設(shè)計(jì)規(guī)劃OTT網(wǎng)絡(luò)應(yīng)具備有效的安全控制，按業(yè)務(wù)和權(quán)限進(jìn)行分區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離。因此，OTT平臺(tái)在搭建過(guò)程中，需要兩臺(tái)數(shù)據(jù)中心級(jí)的安全網(wǎng)關(guān)，所有部件均采用全冗余技術(shù)，比如主控板、業(yè)務(wù)板及電源等，同時(shí)要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN冗余、業(yè)務(wù)板負(fù)載均衡、雙主控主備倒換技術(shù)的能力，從而能夠提供高級(jí)別的安全防護(hù)能力和業(yè)務(wù)擴(kuò)展能力。

作為安全網(wǎng)關(guān)，優(yōu)異的地址轉(zhuǎn)換性能和VPN性能也是對(duì)OTT業(yè)務(wù)的強(qiáng)大支撐。比如基于IP的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語(yǔ)音多媒體等業(yè)務(wù)流量的多通道協(xié)議NAT轉(zhuǎn)換、無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換、域內(nèi)NAT以及雙向NAT等，以滿足各種NAT應(yīng)用場(chǎng)景。隨著OTT業(yè)務(wù)更多在公共網(wǎng)絡(luò)上的傳輸，擁有最佳的VPN性能能滿足大量業(yè)務(wù)的加密傳輸要求。比如支持4over6 、6over4 的VPN技術(shù)，以保證網(wǎng)絡(luò)從IPv4-IPv6 演進(jìn)過(guò)程中VPN傳輸需求。安全網(wǎng)關(guān)如何抵抗外部威脅，提高網(wǎng)絡(luò)安全，還體現(xiàn)在入侵防御功能上，可以對(duì)系統(tǒng)漏洞、未授權(quán)自動(dòng)下載、欺騙類應(yīng)用軟件、廣告類軟件、異常協(xié)議、P2P異常等多種威脅進(jìn)行防護(hù)。安全網(wǎng)關(guān)還要求能實(shí)時(shí)捕獲最新的攻擊、蠕蟲及木馬等威脅，為網(wǎng)絡(luò)提供強(qiáng)大的防御能力。為滿足網(wǎng)絡(luò)向IPv6 的平滑演進(jìn)，保證業(yè)務(wù)的穩(wěn)定運(yùn)行，安全網(wǎng)關(guān)需要支持隨著IPv4 地址的枯竭，網(wǎng)絡(luò)能向IPv6 平滑演進(jìn)，并確保業(yè)務(wù)穩(wěn)定運(yùn)行。安全網(wǎng)關(guān)還要具有NAT44 、NAT64 等多種過(guò)渡功能，為未來(lái)的網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)過(guò)渡提供高效、靈活和放心的解決辦法。IPv6 設(shè)計(jì)規(guī)劃根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實(shí)施指南(2018)》下達(dá)的廣播電視媒體網(wǎng)站IPv6 改造實(shí)施的總體目標(biāo)，確定過(guò)渡技術(shù)的選擇和各網(wǎng)絡(luò)設(shè)備對(duì)過(guò)渡技術(shù)的支持情況，規(guī)劃原則：在不影響現(xiàn)網(wǎng)業(yè)務(wù)的基礎(chǔ)上完成用戶發(fā)展指標(biāo)，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)；IPv6 改造順序應(yīng)按照“承載環(huán)境先行，業(yè)務(wù)接入隨后，網(wǎng)管安全支撐按需”的原則進(jìn)行；IP承載網(wǎng)是提供IPv6 端到端連接的根本，需要先行改造支持IPv6 ；業(yè)務(wù)網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關(guān)鍵，應(yīng)在承載具備條件的基礎(chǔ)上逐步改造，支持IPv4/IPv6 雙棧方式；網(wǎng)管系統(tǒng)、支撐平臺(tái)等應(yīng)根據(jù)網(wǎng)絡(luò)、業(yè)務(wù)的升級(jí)步驟按需改造，相關(guān)接口仍采用IPv4 協(xié)議，接口內(nèi)部相關(guān)字段支持IPv6 地址；從IPv4-only向IPv6-only演進(jìn)還需要遵循兩個(gè)原則：首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(wù)(IPv4/1Pv6)的正常運(yùn)行”。IPv4 設(shè)備上部署IPv6 協(xié)議或者雙棧設(shè)備關(guān)閉IPv4 協(xié)議和服務(wù)時(shí)，用戶應(yīng)該感知不到基礎(chǔ)網(wǎng)絡(luò)升級(jí)到IPv4/IPv6 雙?；蛘邚碾p棧到IPv6-only的變化。次要原則是“兼容現(xiàn)有終端設(shè)備，不能強(qiáng)制用戶升級(jí)或者更換自己的終端設(shè)備，如PC、平板電腦和機(jī)頂盒等”。

對(duì)于OTT業(yè)務(wù)網(wǎng)絡(luò)，可以建設(shè)為IPv4 和IPv6 雙棧網(wǎng)絡(luò)，或者建設(shè)IPv6-only網(wǎng)絡(luò)。如果直接規(guī)劃或建設(shè)成IPv6-only網(wǎng)絡(luò)，那么針對(duì)目前IPv4 流量占比相對(duì)較高的情形，就需要考慮IPv4 網(wǎng)絡(luò)和IPv6 網(wǎng)絡(luò)互通場(chǎng)景，考慮IPv4 客戶訪問(wèn)IPv6 服務(wù)場(chǎng)景，IPV6 的客戶訪問(wèn)IPv4 服務(wù)場(chǎng)景，通過(guò)IPv4 網(wǎng)絡(luò)連接兩個(gè)IPv6-only網(wǎng)絡(luò)場(chǎng)景等。對(duì)于現(xiàn)有的OTT業(yè)務(wù)網(wǎng)絡(luò)，不可能對(duì)所有不支持IPv6 的設(shè)備進(jìn)行更換，所以對(duì)支持IPv6 的設(shè)備直接開啟IPv6 功能，同時(shí)運(yùn)行IPv4 和IPv6 協(xié)議棧，實(shí)現(xiàn)雙棧。OTT業(yè)務(wù)系統(tǒng)在廣電城域網(wǎng)中實(shí)際部署的過(guò)程中，為了保證業(yè)務(wù)系統(tǒng)的穩(wěn)定性、安全性以及未來(lái)IPv6 升級(jí)改造中的擴(kuò)展性，可以通過(guò)在OTT業(yè)務(wù)的互聯(lián)網(wǎng)出口處部署兩臺(tái)高性能的安全網(wǎng)關(guān)。這兩臺(tái)安全網(wǎng)關(guān)可以通過(guò)“主-主”或者“主-備”的模式運(yùn)行，將不同的OTT業(yè)務(wù)通過(guò)劃分不同的DMZ區(qū)進(jìn)行隔離，然后根據(jù)不同OTT業(yè)務(wù)實(shí)際的運(yùn)行流量，在安全網(wǎng)關(guān)上進(jìn)行系統(tǒng)資源的重新分配，其中包括CPU、內(nèi)存等。在DMZ區(qū)之間、Intranet區(qū)、Extranet區(qū)等不同的安全區(qū)之間，通過(guò)安全網(wǎng)關(guān)的安全策略進(jìn)行訪問(wèn)控制，精確到協(xié)議和端口號(hào)，嚴(yán)格控制合法流量的流入和流出。通過(guò)安全網(wǎng)關(guān)的NAT功能，實(shí)現(xiàn)私網(wǎng)地址向公網(wǎng)地址，公網(wǎng)地址向私網(wǎng)地址的互相訪問(wèn)。同時(shí)，要求安全網(wǎng)關(guān)已經(jīng)實(shí)際配置IPv6 功能，給未來(lái)的NAT46 、NAT64 等業(yè)務(wù)留下充足的擴(kuò)展空間。

篇(4)

信息社會(huì)中，傳統(tǒng)的防火墻一般只能完成3～4層網(wǎng)絡(luò)的訪問(wèn)控制，已經(jīng)不能滿足用戶的需求。

首先，對(duì)于DHCP(Dynamic HostConfiguration Protocol，動(dòng)態(tài)主機(jī)地址分配協(xié)議)用戶，計(jì)算機(jī)的IP地址是動(dòng)態(tài)變化的，防火墻無(wú)法準(zhǔn)確控制。其次，如果多個(gè)用戶經(jīng)NAT(Network AddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)訪問(wèn)服務(wù)器應(yīng)用，由于服務(wù)器前的防火墻只能看到轉(zhuǎn)換后的IP地址，因此也無(wú)法完成訪問(wèn)控制。再次，當(dāng)用戶計(jì)算機(jī)處于不安全狀態(tài)，如未安裝防病毒軟件或病毒庫(kù)未及時(shí)更新時(shí)，防火墻應(yīng)該禁止此類用戶訪問(wèn)關(guān)鍵服務(wù)器或接入公司內(nèi)部網(wǎng)絡(luò)，但目前的防火墻還不能支持此類控制。最后，傳統(tǒng)防火墻日志一般只記錄基于IP地址的連接行為和簡(jiǎn)單的流量信息，不能具體到用戶名，也無(wú)法記錄用戶上網(wǎng)后的關(guān)鍵行為，這使日志無(wú)法在事故追查、分析等方面發(fā)揮作用，形同虛設(shè)。

綜上所述，用戶需要一個(gè)更加完善的網(wǎng)關(guān)安全解決方案，可以對(duì)網(wǎng)絡(luò)用戶進(jìn)行全面的認(rèn)證鑒權(quán)、訪問(wèn)控制、安全審計(jì)和帳號(hào)管理，基于用戶的這些需求，聯(lián)想網(wǎng)御傾力打造了基于4A(Authentication，Authorization，Audit，Administration，認(rèn)證、授權(quán)、審計(jì)、管理)安全網(wǎng)關(guān)系統(tǒng)的解決方案。

以某省移動(dòng)為例，該省移動(dòng)共計(jì)使用了118臺(tái)4A安全網(wǎng)關(guān)，每個(gè)網(wǎng)關(guān)同時(shí)在線用戶達(dá)到上千名，通過(guò)密碼進(jìn)行認(rèn)證，同時(shí)，系統(tǒng)中還部署了用戶監(jiān)控與管理平臺(tái)，這套解決方案的實(shí)施，更加嚴(yán)格地控制和審計(jì)了營(yíng)業(yè)廳、代辦點(diǎn)工作人員接入電信內(nèi)部網(wǎng)絡(luò)的行為，比傳統(tǒng)的防火墻設(shè)備提供了更高的安全性保障，加強(qiáng)了網(wǎng)絡(luò)管理，保障了信息安全，提高了工作效率。

整個(gè)網(wǎng)關(guān)系統(tǒng)由客戶端軟件及USBKEY、4A安全網(wǎng)關(guān)、認(rèn)證服務(wù)器及用戶監(jiān)控與管理系統(tǒng)四部分組成，4A安全網(wǎng)關(guān)是系統(tǒng)的核心，能對(duì)用戶進(jìn)行強(qiáng)制認(rèn)證、訪問(wèn)控制和安全審計(jì)，用戶只有經(jīng)過(guò)認(rèn)證才能通過(guò)。同時(shí)，系統(tǒng)能基于用戶名、時(shí)間等要素，對(duì)用戶上網(wǎng)后的應(yīng)用進(jìn)行內(nèi)容審計(jì)和流量控制，還可以對(duì)用戶進(jìn)行集中管理。整個(gè)系統(tǒng)構(gòu)成如下：

認(rèn)證客戶端軟件及USB KEY

這是系統(tǒng)的認(rèn)證前端。系統(tǒng)的認(rèn)證客戶端軟件支持密碼、證書、Secure-ID等多種認(rèn)證方式，從證書認(rèn)證方式而言，還可支持文件證書和硬件KEY證書兩種，Secure ID也可支持硬件KEY、手機(jī)K－java、手機(jī)短信等多種接收方式。系統(tǒng)的客戶端軟件負(fù)責(zé)向認(rèn)證防火墻或認(rèn)證服務(wù)器提交用戶認(rèn)證信息，同時(shí)檢查PC主機(jī)的安全配置，包括補(bǔ)丁升級(jí)和病毒更新是否及時(shí)，并可將關(guān)鍵信息提交給4A安全網(wǎng)關(guān)。

4A安全網(wǎng)關(guān)

這是系統(tǒng)的安全控制和審計(jì)策略執(zhí)行單元。4A安全網(wǎng)關(guān)可以對(duì)本地用戶進(jìn)行認(rèn)證，或?qū)⒄J(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器，在終端沒(méi)有安裝客戶端的情況下，瀏覽器能自動(dòng)彈出WEB認(rèn)證窗口。4A安全網(wǎng)關(guān)能完成對(duì)認(rèn)證用戶的訪問(wèn)控制，包括地址、端口、域名、帶寬、流量、應(yīng)用內(nèi)容等，除此之外，還能審計(jì)用戶的訪問(wèn)內(nèi)容，如URL、下載文件等，并將相關(guān)信息發(fā)送給用戶監(jiān)控與管理系統(tǒng)。

認(rèn)證服務(wù)器

篇(5)

關(guān)鍵詞:電子政務(wù)網(wǎng);安全優(yōu)化;安全防護(hù)體系;流量檢測(cè);網(wǎng)絡(luò)監(jiān)控

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)10-2375-02

Some Province Electron Government Affairs Special Network Security Brief Analysis

ZHU Dian

(Anhui Province Economic Information Center, Hefei 230001, China)

Abstract: As A provincial electronic government affairs special network ongoing business needs to secure its optimized to improve the security of the whole network, research papers according to the p province electron government affairs special network safety and security optimization needs of e-government proposed the establishment of the province's post-secondary backbone network security systems, traffic detection and analysis as well as the whole network for network monitoring and management programs to address the province electron government affairs special network three kinds of security programs and in-depth description and analysis of the three options.

Key words: E-government network; security optimization; Safe protection system; traffic detection; network monitoring

1 概述

近年來(lái),在省委、省政府的高度重視下,A省電子政務(wù)建設(shè)在電子政務(wù)專網(wǎng)平臺(tái)、信息資源開發(fā)應(yīng)用和廳局縱向、橫向業(yè)務(wù)拓展等方面都取得了顯著的進(jìn)展。為適應(yīng)和保障重點(diǎn)業(yè)務(wù)部門的業(yè)務(wù)的正常運(yùn)行,解決大流量、高可靠性業(yè)務(wù)的運(yùn)行保障,在分析研究A省電子政務(wù)專網(wǎng)上業(yè)務(wù)需求,研究如何更好地保障各系統(tǒng)在專網(wǎng)上的正常運(yùn)行,可廣泛應(yīng)用到全省專網(wǎng)的網(wǎng)絡(luò)傳輸中,更好地保障專網(wǎng)上各部門橫向、縱向各種業(yè)務(wù)的正常運(yùn)行,把A省電子政務(wù)專網(wǎng)現(xiàn)有的安全可靠性提高一個(gè)層次,進(jìn)一步提高專網(wǎng)的服務(wù)質(zhì)量。

2 A省電子政務(wù)專網(wǎng)的現(xiàn)狀

隨著該省電子政務(wù)建設(shè)的深入發(fā)展,各個(gè)黨政部門對(duì)省電子政務(wù)網(wǎng)絡(luò)的使用需求迅猛增加,并呈現(xiàn)個(gè)性化和多樣化的需求趨勢(shì)。多家省直廳局在省電子政務(wù)網(wǎng)上開展各相應(yīng)系統(tǒng)的業(yè)務(wù)。電子政務(wù)網(wǎng)上業(yè)務(wù)類型正以數(shù)據(jù)傳輸、信息為主,向視頻、音頻和數(shù)據(jù)傳輸并重的格局發(fā)展,今后網(wǎng)上承載的主要是多媒體信息的交換、傳輸。各黨政部門基于網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)從傳統(tǒng)的信息報(bào)送、信息和共享逐漸增加到視頻會(huì)議、IP電話、在線式雙向交互辦公系統(tǒng)等實(shí)時(shí)業(yè)務(wù),基于網(wǎng)絡(luò)的辦公系統(tǒng)在各單位的實(shí)際工作中發(fā)揮愈來(lái)愈重要的作用。

該省電子政務(wù)網(wǎng)上傳輸?shù)氖屈h政機(jī)關(guān)的各種黨務(wù)、政務(wù)信息,對(duì)安全性的要求較高。除保證整個(gè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)實(shí)行有效的隔離外,在網(wǎng)絡(luò)內(nèi)部,根據(jù)黨政機(jī)關(guān)傳輸信息密級(jí)的不同,對(duì)部分廳局的高密級(jí)信息要采取端到端的傳輸加密,需要構(gòu)建基于政務(wù)網(wǎng)的各種虛擬專網(wǎng)。

全省電子政務(wù)網(wǎng)承載著省直幾十個(gè)廳局橫向的信息交換,以及省直廳局到十幾個(gè)市相應(yīng)市直黨政機(jī)關(guān)的各種政務(wù)信息的縱向傳輸,涉及到數(shù)據(jù)、文字、視頻、語(yǔ)音等傳輸流,信息量龐大,并且網(wǎng)絡(luò)使用時(shí)間較為集中,并發(fā)流量大。

黨務(wù)、政務(wù)信息的交換處理涉及到政治、經(jīng)濟(jì)、軍事等各個(gè)領(lǐng)域,維系著社會(huì)的發(fā)展和穩(wěn)定,要求網(wǎng)絡(luò)具有高度的穩(wěn)定性和連續(xù)性,以保障電子政務(wù)正?？煽康剡\(yùn)行。

3 分析該省電子政務(wù)專網(wǎng)的安全問(wèn)題及安全優(yōu)化需求

該省電子政務(wù)專網(wǎng)暫時(shí)沒(méi)有采用安全控制措施,對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)很不安全,如果有某些攻擊發(fā)生,會(huì)很快的傳遞到整個(gè)網(wǎng)絡(luò)中。隨著該省電子政務(wù)業(yè)務(wù)的蓬勃發(fā)展,業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依存也越來(lái)越大,在日常運(yùn)維工作中,由于現(xiàn)在設(shè)備及技術(shù)條件的限制,無(wú)法對(duì)全網(wǎng)的流量進(jìn)行分析,及時(shí)發(fā)現(xiàn)安全事件并進(jìn)行故障定位,使得網(wǎng)絡(luò)的帶寬控制及流量監(jiān)控與分析變得日益重要。因此希望對(duì)專網(wǎng)進(jìn)行安全優(yōu)化,以提高整網(wǎng)的安全性。為了更好地保障電子政務(wù)專網(wǎng)的安全運(yùn)行及網(wǎng)上接入系統(tǒng)的安全,在省級(jí)電子政務(wù)專網(wǎng)平臺(tái)及市、縣骨干專網(wǎng)上,針對(duì)區(qū)域不同的網(wǎng)絡(luò)結(jié)構(gòu),業(yè)務(wù)模型,分析研究目前網(wǎng)絡(luò)存在的安全威脅,并通過(guò)建設(shè)實(shí)施保障省級(jí)政務(wù)專網(wǎng)及市、縣政務(wù)專網(wǎng)骨干設(shè)備的安全運(yùn)行,保障省電子政務(wù)專網(wǎng)數(shù)據(jù)中心資源及接入廳局單位系統(tǒng)的安全性,把電子政務(wù)專網(wǎng)現(xiàn)有的安全保障整體提高一個(gè)水平。

該省電子政務(wù)專網(wǎng)完成安全優(yōu)化后,應(yīng)實(shí)現(xiàn)如下目標(biāo):

1) 省電子政務(wù)專網(wǎng)的骨干網(wǎng)構(gòu)建一個(gè)完整、全網(wǎng)的安全防護(hù)體系。

2) 實(shí)現(xiàn)全網(wǎng)的流量分析及控制。妥善分配網(wǎng)絡(luò)帶寬,保證重要網(wǎng)絡(luò)服務(wù)的使用帶寬,還需分析網(wǎng)絡(luò)流量的來(lái)源及目的地并檢測(cè)異常流量,以便能有效掌握網(wǎng)絡(luò)帶寬的使用狀況。

3) 建設(shè)統(tǒng)一安全管控平臺(tái),基于可視的管理界面,對(duì)安全事件進(jìn)行快速定位,及時(shí)響應(yīng),實(shí)現(xiàn)政務(wù)專網(wǎng)安全態(tài)勢(shì)的感知。

為實(shí)現(xiàn)上述目標(biāo)應(yīng)采取積極的安全策略方案。

4 解決該省電子政務(wù)專網(wǎng)安全方案

4.1 省電子政務(wù)專網(wǎng)骨干網(wǎng)的安全防護(hù)

A省電子政務(wù)專網(wǎng)由省市縣區(qū)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)成,該網(wǎng)絡(luò)覆蓋了該省各級(jí)政務(wù)部門,因此骨干網(wǎng)的安全防護(hù)體系建設(shè)極為重要。該省電子政務(wù)專網(wǎng)骨干網(wǎng)絡(luò)可以通過(guò)適當(dāng)?shù)木W(wǎng)絡(luò)隔離技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)、硬件環(huán)境、軟件平臺(tái)的一體化安全保護(hù)。網(wǎng)絡(luò)隔離的最主要目標(biāo)是為了限制對(duì)網(wǎng)絡(luò)的不合理訪問(wèn)。該省電子政務(wù)專網(wǎng)是一個(gè)功能區(qū)分明確的網(wǎng)絡(luò)系統(tǒng),因此,要在系統(tǒng)內(nèi)部建立訪問(wèn)控制系統(tǒng)。訪問(wèn)控制主要是不同區(qū)域、不同網(wǎng)絡(luò)、網(wǎng)絡(luò)資源間的訪問(wèn)進(jìn)行限制,以及對(duì)接入的客戶限制可以訪問(wèn)哪些資源。具體實(shí)現(xiàn)手段包括應(yīng)用防火墻和VLAN等進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制。

為了確保骨干網(wǎng)絡(luò)上的安全,需要在接入層對(duì)接入的流量進(jìn)行過(guò)濾,確保接入的流量都是安全的?？梢圆捎肬RPF技術(shù)進(jìn)行反向的路由檢查,同時(shí)可以在接入層設(shè)備上配置防病毒的ACL列表防止病毒的傳播。對(duì)于省中心的數(shù)據(jù)中心,可以采用配置專業(yè)防火墻,對(duì)數(shù)據(jù)中心中的服務(wù)器進(jìn)行安全防護(hù),設(shè)定允許接入每一個(gè)服務(wù)器的IP地址段,同時(shí)開啟防攻擊保護(hù)。

如圖1,在該省電子政務(wù)專網(wǎng)安全防護(hù)規(guī)劃說(shuō)明:

1) 在省級(jí)數(shù)據(jù)庫(kù)中心與核心交換機(jī)部署1臺(tái)千兆線速防火墻,防火墻工作在單機(jī)模式下。

2) 在核心交換機(jī)與省級(jí)安全管理中心部署1臺(tái)千兆防火墻。

4.2 流量檢測(cè)與分析技術(shù)實(shí)現(xiàn)全網(wǎng)的流量分析及控制

網(wǎng)絡(luò)流量分析和管理產(chǎn)品就是針對(duì)網(wǎng)絡(luò)帶寬控制及流量監(jiān)控分析的所開發(fā)的解決方案。它能提供管理者設(shè)定各項(xiàng)服務(wù)的基本帶寬/最大帶寬,并能分析網(wǎng)絡(luò)性能及流量計(jì)費(fèi)、異常流量監(jiān)控、異常流量警告等功能。可為該省電子政務(wù)專網(wǎng)提供高效率、高質(zhì)量與低成本的網(wǎng)絡(luò)帶寬供應(yīng)與解決方案,達(dá)到高質(zhì)量的服務(wù),這也是該省電子政務(wù)專網(wǎng)建設(shè)的關(guān)鍵所在。

網(wǎng)絡(luò)流量分析和管理產(chǎn)品可確保網(wǎng)絡(luò)服務(wù)質(zhì)量具有良好的可靠性及性能,能協(xié)助該省電子政務(wù)專網(wǎng)管理人員迅速查覺各種網(wǎng)絡(luò)異常情況,快速而正確地將問(wèn)題解決,并可確保重要的信息、軟件及人在網(wǎng)絡(luò)上的執(zhí)行效率,讓資源分配恰當(dāng)及彈性化,幫助企業(yè)在:帶寬投資與管理費(fèi)用兩方面獲利,是最佳的網(wǎng)絡(luò)流量監(jiān)控與決策分析系統(tǒng)。網(wǎng)絡(luò)流量檢測(cè)和分析系統(tǒng)采用旁路方式部署在該省電子政務(wù)核心交換機(jī)上,通過(guò)在核心交換機(jī)上的數(shù)據(jù)流鏡像,可以對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和控制,

4.3 建設(shè)統(tǒng)一安全管控平臺(tái),基于可視的管理界面,對(duì)安全事件進(jìn)行快速定位,及時(shí)響應(yīng),部署安全網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)。

分別在在該省電子政務(wù)專網(wǎng)的綜合安全管理區(qū)和地市電子政務(wù)專網(wǎng)安全管理區(qū)部署安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)服務(wù)器(在綜合網(wǎng)絡(luò)安全管理平臺(tái)服務(wù)器上),同時(shí)部署安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)控制臺(tái)(在綜合網(wǎng)絡(luò)安全管理平臺(tái)控制臺(tái)主機(jī)上)。安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)采用統(tǒng)一的管理平臺(tái)管理該省電子政務(wù)專網(wǎng)的各類網(wǎng)絡(luò)節(jié)點(diǎn),包括網(wǎng)絡(luò)設(shè)備,主機(jī)設(shè)備,安全設(shè)備等,提供了形象,美觀和方便的網(wǎng)絡(luò)拓?fù)鋱D和節(jié)點(diǎn)列表,對(duì)該省電子政務(wù)專網(wǎng)的網(wǎng)絡(luò)設(shè)施一目了然,非常方便地管理各類設(shè)備。

對(duì)于該省電子政務(wù)專網(wǎng)的IP地址資源,安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)提供了IP地址管理,可以方便地查找和確定那些IP地址已經(jīng)使用或者尚未使用,方便管理員的管理工作。安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)采用圖形化的IP地址分布顯示,管理員可以一目了然地查看IP地址分布狀況。

安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)提供了保障該省電子政務(wù)專網(wǎng)網(wǎng)絡(luò)運(yùn)行的網(wǎng)絡(luò)管理功能,能夠替代傳統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng),同時(shí)又提供了安全審計(jì)的功能,對(duì)防火墻日志和其他設(shè)備的syslog進(jìn)行處理和審計(jì),發(fā)現(xiàn)該省電子政務(wù)專網(wǎng)的安全隱患和薄弱環(huán)節(jié)。安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以提供對(duì)全網(wǎng)絡(luò)運(yùn)行狀態(tài)的分析報(bào)表,這是進(jìn)行綜合分析的數(shù)據(jù)報(bào)表,可以讓管理員了解和評(píng)估整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)。

本方案中安全網(wǎng)絡(luò)監(jiān)控系統(tǒng)的作用如下:

1) 全方位監(jiān)控的統(tǒng)一管理平臺(tái);

2) 快速定位故障;

3) 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常;

4) 全面監(jiān)控主機(jī)性能;

5) 主動(dòng)監(jiān)控應(yīng)用服務(wù)狀態(tài)和性能;

6) 審計(jì)syslog;

7) 事件關(guān)聯(lián)分析;

8) 全面了解企業(yè)信息系統(tǒng)狀態(tài)。

5 結(jié)束語(yǔ)

該省電子政務(wù)專網(wǎng)是根據(jù)該省電子政務(wù)的發(fā)展的需要,為提高政府機(jī)關(guān)的工作效率和質(zhì)量,增強(qiáng)的科學(xué)性和服務(wù)性,保障該省電子政務(wù)在經(jīng)濟(jì)建設(shè)中發(fā)揮更為積極的作用而提出的。從國(guó)家要求和該省電子政務(wù)的要求考慮,都必須在該省電子政務(wù)專網(wǎng)的建設(shè)中充分考慮信息安全保障問(wèn)題,鑒于此以上分析并介紹了三種解決該省電子政務(wù)專網(wǎng)安全方案,以保障該省電子政務(wù)專網(wǎng)的安全。

參考文獻(xiàn):

[1] 楊興壽. 電子政務(wù)的安全問(wèn)題[J]. 現(xiàn)代管理科學(xué), 2003(05).

[2] 朱雪兵. 淺談電子政務(wù)的安全威脅與防范對(duì)策[J]. 南通職業(yè)大學(xué)學(xué)報(bào),2003(03).

[3] 張嶸. 流量分析技術(shù)在電子政務(wù)網(wǎng)絡(luò)中的應(yīng)用[D]. 上海交通大學(xué),2007.

篇(6)

防火墻技術(shù)

防火墻用于隔離非信任網(wǎng)絡(luò)和信任網(wǎng)絡(luò)，防火墻技術(shù)主要集中在安全檢查點(diǎn)上，強(qiáng)制性檢查對(duì)應(yīng)的網(wǎng)絡(luò)安全策略，限制一些重要信息的訪問(wèn)和存儲(chǔ)。電力企業(yè)生產(chǎn)經(jīng)營(yíng)、運(yùn)行調(diào)度、分散控制等環(huán)節(jié)，均需對(duì)信息進(jìn)行調(diào)用、整合和共享，必須控制和過(guò)濾不同網(wǎng)段之間的訪問(wèn)行為，對(duì)那些破壞和攻擊行為進(jìn)行阻斷，按照不同的權(quán)限合理享用信息資源。從電力企業(yè)網(wǎng)絡(luò)安全防護(hù)總體結(jié)構(gòu)（見圖1）可以看出，防火墻技術(shù)是電力企業(yè)使用最廣泛的信息網(wǎng)絡(luò)安全技術(shù)手段。

病毒防護(hù)技術(shù)

電力企業(yè)需要構(gòu)建和完善全方位的病毒防御體系，其中包括內(nèi)網(wǎng)網(wǎng)絡(luò)安全和外網(wǎng)邊界網(wǎng)絡(luò)安全，以防御來(lái)自外網(wǎng)和內(nèi)網(wǎng)的病毒安全威脅，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)的整體安全性，保護(hù)企業(yè)信息系統(tǒng)和數(shù)據(jù)的安全與穩(wěn)定。通常需在互聯(lián)網(wǎng)及廣域網(wǎng)邊界處部署硬件防病毒安全網(wǎng)關(guān)，實(shí)時(shí)抵御來(lái)自外網(wǎng)的病毒入侵；同時(shí)在網(wǎng)絡(luò)客戶端安裝防病毒軟件，防堵病毒對(duì)客戶端計(jì)算機(jī)的攻擊，保護(hù)用戶數(shù)據(jù)安全。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

網(wǎng)絡(luò)準(zhǔn)入控制主要是通過(guò)身份認(rèn)證和安全策略檢查，對(duì)未通過(guò)身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，以防范不安全網(wǎng)絡(luò)終端接入帶來(lái)的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)能在用戶進(jìn)入網(wǎng)絡(luò)前，對(duì)有線、無(wú)線和遠(yuǎn)程用戶及其機(jī)器進(jìn)行驗(yàn)證、授權(quán)，阻止未授權(quán)計(jì)算機(jī)越權(quán)訪問(wèn)網(wǎng)絡(luò)資源。對(duì)沒(méi)有安裝網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的主機(jī)，采取安全隔離措施，使其無(wú)法成功接入內(nèi)部網(wǎng)絡(luò)。對(duì)客戶端主機(jī)進(jìn)行安全合規(guī)檢查，強(qiáng)制更新病毒特征庫(kù)及操作系統(tǒng)補(bǔ)丁。

虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)利用交換機(jī)和路由器功能，配置網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)，允許網(wǎng)絡(luò)管理員任意地將一個(gè)局域網(wǎng)內(nèi)的任何數(shù)量網(wǎng)段聚合成一個(gè)用戶組，就好像它們是一個(gè)單獨(dú)的局域網(wǎng)。虛擬局域網(wǎng)能提高網(wǎng)絡(luò)管理的效率，將網(wǎng)絡(luò)廣播流量限制在軟定義的邊界內(nèi)，且由于相同VLAN內(nèi)主機(jī)間傳送數(shù)據(jù)不會(huì)影響到其他VLAN上的主機(jī)，減少了數(shù)據(jù)竊聽的可能性，極大地增強(qiáng)了網(wǎng)絡(luò)安全性。

篇(7)

中小學(xué)校園網(wǎng)建設(shè)原則

高速校園網(wǎng)

校園網(wǎng)絡(luò)是所有應(yīng)用的基礎(chǔ)平臺(tái)，為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，要求全網(wǎng)無(wú)帶寬瓶頸，保證各種應(yīng)用軟件的帶寬需求。

高穩(wěn)定可靠性

校園網(wǎng)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無(wú)故障時(shí)間以及故障恢復(fù)時(shí)間，要保持在一個(gè)可容忍的許可范圍之內(nèi)。不但要考慮設(shè)備本身的冗余、容錯(cuò)能力，還要從網(wǎng)絡(luò)架構(gòu)的合理設(shè)計(jì)上，保障網(wǎng)絡(luò)的穩(wěn)定可靠運(yùn)行。

高安全

制定統(tǒng)一的安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性，構(gòu)建全局安全網(wǎng)絡(luò)。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。

輕松使用易管理

對(duì)于網(wǎng)絡(luò)的配置管理簡(jiǎn)單方便，對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源，選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備、端口的管理、流量統(tǒng)計(jì)分析，以及提供故障的自動(dòng)報(bào)警。

良好可擴(kuò)充性

高性價(jià)比，滿足目前需要，通過(guò)靈活性和模塊化的方式平滑升級(jí)網(wǎng)絡(luò)功能和擴(kuò)展網(wǎng)絡(luò)規(guī)模，滿足不斷增長(zhǎng)的教學(xué)和管理的網(wǎng)絡(luò)需求。

x網(wǎng)絡(luò)中小學(xué)校園網(wǎng)解決方案

由于中小學(xué)涵蓋面比較廣泛，在網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中不能拿一個(gè)固定模式去定義。我們根據(jù)具體學(xué)校規(guī)模大小、多少分別給出一個(gè)相應(yīng)實(shí)際的解決方案。

（一） 普教大型中小學(xué)校園網(wǎng)解決方案

（二） 普教大中型中小學(xué)校園網(wǎng)解決方案

（三） 普教中型中小學(xué)校園網(wǎng)解決方案

（四） 普教小型中小學(xué)校園網(wǎng)解決方案

高速校園網(wǎng)設(shè)計(jì)

百兆/千兆到桌面、骨干千兆、核心萬(wàn)兆鏈路冗余、高性能接入、匯聚、核心及出口設(shè)備，保證全網(wǎng)線速轉(zhuǎn)發(fā)。rg-s8600系列高密度多業(yè)務(wù)ipv6核心路由交換機(jī)提供3.2t/1.6t背板帶寬，并支持將來(lái)更高帶寬的擴(kuò)展能力，高達(dá)1190mpps/595mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高密度端口的高速無(wú)阻塞數(shù)據(jù)交換。

高穩(wěn)定可靠性設(shè)計(jì)

方案從設(shè)備本身、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和安全防護(hù)三個(gè)方面確保了網(wǎng)絡(luò)的高度穩(wěn)定可靠運(yùn)行。核心設(shè)備本身都提供了關(guān)鍵部件冗余，以及rg-s8600獨(dú)特的“三平面分離”+“三平面保護(hù)”設(shè)計(jì)，很好的保障了核心設(shè)備的穩(wěn)定性；在網(wǎng)絡(luò)架構(gòu)上也進(jìn)行了全面的冗余設(shè)計(jì)，確保單點(diǎn)故障不影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)；全局安全網(wǎng)絡(luò)設(shè)計(jì)，保證網(wǎng)絡(luò)不受病毒和網(wǎng)絡(luò)攻擊影響，進(jìn)一步提升了網(wǎng)絡(luò)的穩(wěn)定可靠性。

高安全設(shè)計(jì)

全局安全網(wǎng)絡(luò)設(shè)計(jì)，接入、匯聚、核心以及出口設(shè)備都提供了全面的安全防護(hù)能力，保證全網(wǎng)免受病毒和網(wǎng)絡(luò)攻擊的侵襲。特別是核心采用的rg-s8600提供了業(yè)界第一個(gè)完善的設(shè)備級(jí)安全防護(hù)體系，全面整合各種安全技術(shù)，并且采用純硬件方式實(shí)現(xiàn)，保證了在不影響整機(jī)性能的情況下提供全面的安全防護(hù)能力，再加上獨(dú)特的cpp技術(shù)，很好的保障了關(guān)鍵部件的安全穩(wěn)定、設(shè)備管理安全和接入安全。

輕松使用易管理設(shè)計(jì)

方案采用了x網(wǎng)絡(luò)starview網(wǎng)絡(luò)管理平臺(tái)，可以實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備、端口的管理、流量統(tǒng)計(jì)分析，以及提供故障的自動(dòng)報(bào)警。

良好可擴(kuò)充性設(shè)計(jì)