网络安全设备范文
时间:2023-12-06 13:11:48
网络安全设备篇1
【关键词】校园网 网络硬件设备 安全维护
随着计算机的广泛应用成为信息化社会不可或缺的组成部分,网络在校园建设和教育中的作用也越来越明显,包括校内的科研教学任务,大数据的存储和管理,对内和对外的信息传播,老师和学生之间的交流,高校之间的信息流动和学术活动等,都需要依托于校园网络的建设。网络硬件设备是校园网络建设中花销最大,铺设范围最广,消耗人员和物力最多的部分。例如,校园内部办公网络的服务器系统,实验室、图书馆和阅览室的公共用计算机,会议室和办公室的多媒体设备,连接校内网络的路由器,网卡,集线器等,都属于校园网络硬件设备。硬件设备是校园网络的基础,最为直观的直接决定了校园网络建设的等级和情况。良好的硬件设备可以提高校园网络应用的广泛程度,更加有利于信息之间的交流和传播,有利于学校教学、科研、办公工作发展。但是,由于硬件设备具有开放性、对外在环境要求高、共享性的特点,而且,硬件设备需要接触很多人,所以可能出现一系列的安全问题。因此,维护校园网络硬件设备的安全十分必要。
1 校园网络硬件设备
校园网络的硬件主要包括校园内部事物办公和交流的服务器和交换机,图书馆和阅览室的公共用查询信息资料的电脑,实验室、会议室、机房和办公室的多媒体设备,连接校内网络的路由器,集线器、工作站、各种连接线等。这些硬件设备的特点是分散广,接触的人和信息繁多、储存环境复杂,并且这些硬件设备的置备和更换都需要投资一定的财力,管理和维消耗一定的人力资源。因此,需要对其安全维护工作进行详细的讨论和部署,采取有效的防护和解决措施。
2 校园网络硬件设备安全存在的隐患
物理安全,即设备硬件自身的安全。它是网络安全的基础,直接关系到对软件的承载能力。影响校园网络硬件设备安全的隐患主要有以下几点:
2.1 环境影响
硬件设备对其所处的自然环境具有一定要求,周遭环境温度应该保持在10摄氏度~40摄氏度,较为干燥,通风效果好,干净,噪声和电磁干扰小,此外,应远离火源和水源,避免接触食物等残渣碎片。任何一点环境要求的不满足都会对硬件设备的使用寿命产生影响,造成损伤。
2.2 设备性能
一些基本硬件设备本身由于配置的原因,可能存在一些漏洞;计算机等设备由于品牌和价格的不同,也存在质量和性能的差异。由于校园网络硬件设备使用流量大,品质不好的设备可能最早出现设备老化等安全问题。
2.3 人为因素
校园硬件设备分布较为广泛,用户众多,所以可能有人为破坏或者使用不当的情况出现,结果造成设备的损坏。此外,硬件设备出现小问题时,没有及时发现存在的漏洞并进行修正,也有可能导致其提前报废。
3 校园网络硬件设备安全维护的措施
针对上述问题,需要制定和采取相应的措施,对校园网络硬件设备的安全加以维护。可以保证其使用年限,使硬件设备的利用率最大化。维护工作可以从设备的选择,管理制度,用户教育,环境控制等方面着手展开。
3.1 设备选择
对于校园网络硬件设备,应该选择有品质保证的厂家生产的正规产品。要求效率高,内存大,适应商业办公用途或者公用,产品具有一定普遍性,操作明确,适合群体用户使用。此外,设备公司对设备应该有保修和维护年限,当设备出现问题,有相应的零部件予以替换,有专业的技术维修师给以调整或者技术指导,不会出现“一次性”的问题。
3.2 用户教育
校园网络硬件设备的使用者多是在校学生、老师和教职工家属,人群比较集中。学校可以对其进行集中教育和安全培训,包括硬件设备的正常使用流程,简单问题的维修和检查,硬件设备的简单清理。此外,还可进行一些思想教育,例如,不随意人为破坏硬件设施,养成使用后主动检查和关闭系统,整理设备配件,保持环境清洁等良好习惯。这样,使每个使用设备的人都能够成为它的保护者。
3.3 管理制度
完善的管理制度是硬件设备安全维护工作的重要保证。
(1)首先,针对设备,需要进行设备的登记和管理:校园网络硬件设备属于学校的固定资产,要对学校收纳和购买的设备进行详细的记录,包括型号,尺寸,收纳时间,存放地点,维修保质期,监管人,适用人群等。
(2)其次,针对用户,需要进行用户管理:有专职工作人员负责用户信息的管理,例如,需出示学生证或者教师证才可以使用设备,并记录下使用时间段;对某些需求量较高的设备需提前预约;当硬件设备连续工作时间过长,应给与适当的断电保护。
(3) 最后,还需要明确的维护和赔偿损失条例:加强校园公共网络硬件设备的监控,对于由于不正当操作行为或者恶意破坏而造成的设备损伤,应该要求使用者给以一定额度的现金赔偿和合适的惩罚措施。 一套完善的安全管理方案可以保障硬件设备安全维护工作的顺利进行。
4 结语
校园网络硬件设备的安全维护是校园网络建设的硬件保证,对于校园网络建设对的作用至关重要。因此详细的了解安全维护工作存在的隐患和隐患来源,针对这些隐患来源采取相应的防护手段,维护措施,补救工作是每一个学校都应该重视的问题。良好的硬件设备条件和环境条件、充分的使用者培训、完善的规章制度和赔偿措施、明确的管理人员和合理的监控系统共同作用,一定能够圆满完成校园网络硬件设备的安全维护工作,建立可靠安全的、快捷高效的、全面开放的校园网络环境。
参考文献
[1]吴诚.浅谈校园网络的安全维护[J].新西部(下半月刊),2007,(05):220-221.
[2]唐海波.高校校园网安全分析及策略[J].电脑知识与技术,2008,(15):1029-1030.
[3]魏鹏.校园网络服务器的安全维护浅析[J].中国科技信息,2011(12):93-94.
[4]罗来俊.高校校园网安全隐患及应对策略[J].南昌高专学报,2006(06):110-111.
[5]李敏.浅议校园网络运行管理与安全问题[J].济宁师范专科学校学报,2006(06):29-30.
作者简介
黄政宇(1986-),男,广东省中山市人。硕士学历。现为中山职业技术学院助理工程师。 主要研究方向为计算机软件、硬件、网络。
作者单位
网络安全设备篇2
关键词:计算机网路安全 硬件系统 硬件维护 安全策略
网络安全在网络中有着保障合法用户正常使用真实有效网络资源的重要作用,它可以有效避免远程控制、病毒侵犯等网络安全威胁,给网络用户提供更加安全有效的的网络信息资源。然而由于大型网络系统中由多种网络协议支持,如TCP/IP、IPX/SPX等,而这些网络协议并非网络系统中专门为安全通讯而设计。因此,网络运行中可能存在以下两种网络安全威胁:(1)网络中的设备安全威胁;(2)网络中信息的安全威胁。其硬件性能维护是前提,硬件设备作为保障网络安全的前提基础,唯有加强对其的维护措施,才能从根本上为单位的正常运行提供一个良好的网络环境。
1.硬件系统对网络安全的影响分析
计算机网络安全运行中,硬件设备包括路由器、交换机、硬件防火墙等。计算机网络中各硬件设备只有通过相应的安全设置,才能维持网络的安全。要想确保网络硬件设备能够安全有序运行,其所处的工作环境是否优良也很重要,若网络运行环境不稳定也会给网络的安全运行留下隐患。此处所说的环境因素主要有空气的湿度、空气的温度、空气的尘埃、电磁波等,这些环境因素都会给硬件设备带来一定的影响,进而影响到网络的安全。
计算机网络运行过程中,一旦硬件设备所环境温度过高,很容易引起设备技术参数偏离问题出现,甚至造成逻辑出错,内部电源烧坏电气元件等问题。而运行环境温度过低,则会造成水汽凝聚或结露等问题,进而造成腐蚀生锈等问题,使得计算机热敏期间出现损坏,致使网络硬件无法正常工作。除此之外,网络运行中,网络硬件所处的环境中若有过多的尘埃,则会造成绝缘电阻减小等问题,使得机器出现一些错误动作,若此时空气再遇潮湿问题,很容易造成网络元器件间相互放电等障碍,甚至引发火灾事故。另外,静电、电磁波、辐射等都会给网络系统造成一定的干扰,轻者造成网络设备出现一些误操作,重者则会出现一些信息混乱传输的现象,甚至造成整个网络硬件设备瘫痪。网络电缆、光纤等传输介质的安装和选择不当,同样会影响网络的正常运行。因此,合理的选择隔离技术,也是用户安全策略的一块基石。
2.通过维护硬件来保障网络安全运行
2.1 通过路由器来确保内网的安全
路由器根据IP地址来智能化地路由数据包,比集线器更具安全性。通过恰当的对路由器进行设置,边缘路由器可以将最顽固的坏分子几乎全部挡在网络之外。可通过以下设置来实现路由器的安全保护功能:
(1)关闭路由器HTTP设置和SNMP。路由器可允许通过WEB界面进行配置,然而这种方式带给管理员方便的同时,也给整个单位内部网络带来了安全隐患。
HTTP协议中没有一次性口令或用于验证口令的相关规定,因此HTTP使用的身份识别协议就如同向整个网络发送一个未加密的口令。这种未加密的口令对于你从远程位置设置你的路由器十分方便,但别人也照样可以如此“方便”。因此,这就给整个网络安全运行留下很大的隐患。
(2)网络中的薄弱口令予以更新。相关统计数据显示,80%的网络安全事故均是由网络上路由器默认口令这一薄弱环节引起。因此必须通过对口令予以更新,将该环节引起的安全事故消灭于萌芽状态。
(3)保持路由器的物理安全。路由器根据IP地址智能化地路数据包,而集线器则向所有节点播出数据,从网络嗅探角度来讲,路由器更安全。确保物理访问网络设置是安全的,以防未经允许的嗅探设备放在你的本地子网中。
(4)禁止IP定向广播。
(5)包过滤。
(6)将ICMP(互联网控制消息协议)ping请求进行封锁。
(7)永远禁用一些不必要的服务,无论是服务器、路由器还是工作站等。
(8)将CDP服务关闭。通常情况下,系统会默认将路由器发现协议启动,作为一种独立的媒体协议,它可以运行在该路由器制造的所有设备之上。其功能为获取相邻设备协议地质同时发现这些设备平台,但同时也存在一定缺陷,即它可以对所有发出的设备请求进行应答,能发现临近路由设备、软件版本及型号,对路由器安全带来了严重威胁,同时给系统产生了额外的负担,因此应尽量关闭该项服务。
2.2 利用硬件加速方法提高网络安全性能
商用、家用或校园中的网络传输中充满了大量重要的数据流,且这些数据流被尽可能的高效的在网络各节点之间进行传输。然而网络中也有一些不可小觑的大量垃圾数据流伴随着重要数据流的传输,消耗着节点机器和网络带宽。除消耗网络带宽,这些垃圾数据还会消耗掉大量宝贵时间去处理这些问题。已成为制约现代网络发展的重要“瓶颈”问题(如接入链路等)。通过利用目标硬件加速方法,则可将其性能等级从每秒数百兆比特提升至每秒数吉比特。另外,它还可以释放通用CPU周期,使之更好的执行其它需要更多灵活性的功能。
3.小结
网络系统的安全保护涉及各种软件系统支持,以及硬件环境的支持等,确保各项安全措施相辅相成,以此来确保网络的安全有效运行。硬件安全维护作为网络安全的基础和前提,其维护工作对网络安全的支持作用显得十分重要。
参考文献:
[1]张剑.浅谈计算机局域网硬件维护与网络安全[J].计算机光盘软件与应用, 2011(22)
[2]戴丽娟、罗文武.局域网硬件维护与网络安全维护策略[J].数字技术与应用, 2011(2)
网络安全设备篇3
【关键词】网络安全;实践教学;课程改革;工作过程
近年来,我国的高职高专在教学改革方面的研究得到了迅速的发展,为了培养出高素质技能型专门人才,培养学生的学习能力、实践能力、创造能力、就业能力和创业能力、学会交流沟通和团队协作能力,各高职院校的专任教师也在研究适合本专业课程的课程建设模式和教学模式。
1.“网络设备的安全配置和管理”课程介绍
“网络设备的安全配置和管理”是一门理论实践一体化、符合网络技术领域职业岗位任职要求的学习领域课程。本学习领域根据网络管理员岗位必须具备的综合职业能力出发,以完整的工作过程为行动体系,加强校企合作,以企业实际的工作任务为教学原型,主要培养学生网络设备安全配置和安全防护能力,并为就业做好充分准备。
2.现行“网络设备的安全配置和管理”课程教学中存在的问题
在高职网络安全课程的教学中,传统教学模式难以满足职业岗位需求,不能适应就业需要,主要有以下几个原因:
2.1 培养定位模糊,岗位需求不明确
传统教学模式更多考虑知识体系的结构与完整性,较少考虑学生毕业后的职业岗位需求。学生在学习的过程中不知道自己学习的知识未来有哪些用途,不知道在什么样的情况下会需要这些知识,难以形成职业带入感,在学习的过程中不能与教师形成共鸣,学生和教师都难以达到最佳状态。学生知识学习了很多,但分散、刻板,空有知识却不知如何运用,实践运用能力不强,难以满足职业岗位需求。
2.2 理论多实践少,知识分散,缺乏针对性
“网络设备的安全配置和管理”课程不同于《计算机网络技术》,该课程要求更多的实践课时比例、更多的针对实际工作的实践教学情境。而传统教学模式下由于重知识、轻实践,且实践内容多为知识验证性实验,难以满足实践能力的培养需求,也不能调动学生学习积极性,教学效果较差。
2.3 教学内容更新缓慢,难以适应网络发展需要
网络技术发展迅速,新技术、新规范层出不穷,网络安全新问题也不断出现,如何及时更新网络安全课程的教学内容,调整实践教学环节,使学生快速适应网络安全新状态,也是“网络设备的安全配置和管理”课程教学中面临的重要问题。以教科书为知识传授蓝本的传统教学模式显然难以满足实际需求。
3.基于工作过程的“网络设备的安全配置和管理”的教学改革与实践
经过两年的教学经验积累,针对过去教学中存在的各种问题,本校启动“网络设备的安全配置和管理”课程的实践教学改革与探索研究。经过广泛的调研与分析,明确了研究方向,确立了“网络设备的安全配置和管理”的课程改革与研究思路。经过几年的研究与实践,形成了以下几个方面的研究成果。
3.1 明确课程定位,适应职业岗位需求
新的研究思路改变了课程分析的方向,由过去面向知识结构体系的完整性转变为面向学生就业后的职业岗位需求。通过大量的社会调查与认真分析,明确了新的课程定位:“网络设备的安全配置和管理”课程是计算机相关专业的核心课程,主要培养学生网络安全意识,掌握网络安全知识,发现、研究和解决具有网络安全问题的能力,使学生胜任网络安全管理员的职业岗位需求。
3.2 课程内容编排与教学方法改革
在课程内容的编排上,要考虑到学生的认知水平,由浅入深的安排课程内容,实现能力的递进。能力的递进不是根据流程的先后关系确定的,而是按工作任务的难易程度确定的,例如先安排网络硬件设备还是传输媒体与流程关系不大,主要是要考虑哪个项目需要的知识和技能是相对简单一些,就把哪个项目安排在前面。如本课程就将网络传输媒体任务安排在最前面,这样有利于提高学生后期学习的积极性和主动性。
课程设计的学习任务必须能够满足多方面的要求,所以每个学习任务都应以典型案例为载体进行设计的活动来进行,以工作任务为中心整合理论与实践,实现理论与实践的一体化。教学过程中,通过校企合作,校内校外实训基地建设等多种途径,采取工学结合的培养模式,充分利用校内校外实训基地和学校网络对外服务中心,让学生亲临真实工作环境,参与或者分组独立完成对外服务的实际网络项目,提高学生的技能水平和团队合作精神。
3.3 课程学习考核方法
打破单一的试卷考核方式,学生学习成绩的考核采取三结合的方式进行,第一是理论知识的考核,此阶段的考核安排在课程学习完后,以笔试形式进行考核,占总成绩的20%。第二是项目技能的考核,在课程的学习过程中同时进行考核,占总成绩的40%;第三是综合技能的考核,在课程学习完后,通过为期一个月的实训,包括岗位素质、团队协作、专业技能、实习报告的撰写等考核点,此阶段占总成绩的40%;三项成绩之和为学生本门课程的学期总成绩。学生每个阶段都必须达到该阶段的及格分,如理论考核,必须达到相应分数,否则必须进行重新学习和考试,以致达到规定的教学要求,学生本门课程才算合格。课程的第一部分的考核采取教考分离,项目技能考核由课任老师考核,综合技能的考核由教师团队集体考核,最终达到考试的公平性和全面性。
综合实习项目完成后,教师完成实习报告的批改后,举行至少一天的学生实习体会交流、教师评论和答疑,这样不但解决了学生在实习中存在的问题和潜在的问题,同时对教师以后的教学改革指明了方向。最终使学生的组网和用网的能力能真正达到教学要求。
4.结语
“网络设备的安全配置和管理”课程教学改革和实践促进了信息技术服务业专业工学结合人才培养。以课程建设为主线,通过深度校企合作,对专业教师队伍、校内实训基地建设、课程教学内容、方法和手段提出了新的要求,需要不断突破和创新。
参考文献
[1]李栋学.工学结合的动因分析及其有效实施[J].中国职业技术教育,2011(9).
[2]李小峰.“工学结合”的相关表述及其历史渊源[J].职业教育研究,2013(6).
[3]孙宁玲.高职院校师资队伍建设方案研究[J].教育与职业,2012(11).
[4]及风云,张培成.对高职教育“双师型”教师队伍建设的思考[J].职业时空,2012(6).
[5]李小林,李华香.合作教学模式在高校计算机教学中的应用[J].中国成人教育,2010(12).
网络安全设备篇4
城域网设备安全管理
一是城域网中的所有网络设备具备防范口令探测攻击的能力,以防止非法用户使用暴力猜测方式获得网络设备的口令信息。二是城域网所有网络设备上不必要的端口和服务应当关闭,在所有的网络设备上可以提供SSH和FTPS服务。为确保设备配置文件的安全,针对网络设备的升级操作应在本地进行,不建议对网络设备采用远程FTP方式进行升级操作。三是城域网中的网络设备应该具有登录受限功能,依靠ACL等方式只允许特定的IP地址登陆网络设备,在受信范围以外的IP地址应无法登录网络设备。四是城域数据网中所有的接入设备都必须支持SSH功能。五是网络设备针对远程网络管理的需要,应当执行严格的身份认证与权限管理策略,并加强口令的安全管理。可对网络设备的访问权限进行分级控制,例如普通权限只能查看网络设备的状态而不能改变网络设备的配置。
城域网安全策略部署
1.网络协议的安全保证。协议安全重点关注城域数据网网元间所运行网络协议本身的安全。城域网网络设备应采用安全的网络协议进行通信,利用必要的安全防护技术保证网络设备本身的安全。一是在城域网中所使用的路由协议必须带有验证功能,对于邻居关系、路由信息等的协议交互均需要提供必要的验证手段,防止路由欺骗。路由器之间需要提供路由认证功能。路由认证(RoutingAuthentication),就是运行于不同网络设备的相同动态路由协议之间,对相互传递的路由刷新报文进行确认,以便使得设备能够接受真正而安全的路由刷新报文,所有的路由器设备应当采用密文方式的MD5或者SHA-1路由认证。二是如使用SNMP进行网管配置,须选择功能强大的共用字符串(community),并建议使用提供消息加密功能的SNMP。如不通过SNMP对设备进行远程配置,应将其配置成只读。
2.访问控制能力。一是对于城域网中的网络设备,需要启用访问控制功能(ACL),其中业务接入控制设备启用针对IP层和传输层的访问控制功能,包括基于IP层及传输层包过滤规则的控制、基于MAC等二层信息的控制、基于用户名密码的接入控制;汇聚设备启用针对MAC地址的访问控制功能。二是对城域网中的路由器、交换机等网络设备应当正确配置,并启动设备本身自带的安全功能。城域网网络设备,必须配置合理的安全访问规则,利用规则合理拒绝不应该进入城域数据网以及对网络设备自身访问的报文。三是在策略安全部署的时候,必须遵从最小化策略集的原则。最小化策略集原则指的是,针对必要的网络访问设置安全规则,而禁止未定义的访问。
3.接入安全。一是用户网络接入城域网可以采用静态路由或者带认证的动态路由方式。在通过路由协议接入的情况下,可以采用恰当的路由过滤功能。在业务接入控制设备上配置严格的访问控制策略以限制用户侧设备访问城域数据网业务接入控制设备,并且仅允许用户侧设备和业务接入控制设备之间进行路由交换,不允许用户侧设备对业务接入控制设备进行其他的任何访问。二是业务接入控制设备有防范针对自身的网络入侵和DoS(拒绝服务)攻击的能力;三是业务接入控制设备可对非法的突发流量进行带宽限制;四是业务接入控制设备可反向路径检查;五是业务接入控制设备可对流量数据的采集、分析和监测能力。
网络安全设备篇5
【关键词】计算机网络;安全管理;分布式;多层次
Brief Discussion on the Computer Network Security Management
Yu Min
(Communication Construction Group(Ltd.)in Yixing,Yixing,214203)
Abstract:This paper presents a novel distributed multi-tiered platform design for network security management by analyzing related problems of safety management of computer networks,the system effectively improved manageability and safety reliability of internet security and decreased difficulties in system management.
Key words:Computer Network;Safety Management;Distribution;Multi-level
一个网络安全管理平台,可以实现网络安全管理及安全事件监控,也可以保障网络及应用不间断稳定运行。通过统一的平台进行安全管理已经成为当前最为有效的安全管理模式。文中主要从网络安全管理的范畴和技术方面进行探讨,然后提出了一种新的分布式多层次的网络安全管理平台的设计。
1.提出网络安全管理平台
面对层出不穷的网络安全问题及单个网络安全产品的局限性,很多机构和部门都购置了各种网络安全产品,如防火墙、VNP网关、网络防病毒软件等。利用这些安全产品实现对网络安全的管理,并且在不同的侧面保护着网络系统。然而这些产品大部分功能分散,各自为战,形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制,不能互相支撑、协同工作,从而使安全产品的应用效能无法得到充分的发挥,这给安全管理带来很大的不便。要解决这些问题,就有必要研究新的网络安全管理技术,能够在一个统一的安全管理平台下对各种网络安全产品实施统一配置、统一策略、统一日志和统一报告,以便动态分析评估网络状况,因此,本文提出了一种新的网络安全管理平台的设计。
2.网络安全管理平台的总体设计
网络安全管理平台的出发点:(1)根据内部网络安全管理的特点,从网络用户的基础信息管理入手,融合多种网络管理和网络安全管理的技术,将网络安全管理与用户管理紧密结合,突破仅仅依靠安全产品管理网络的局限;(2)以用户为核心开发管理平台,较好地融入不同厂家的技术和产品;(3)根据管理需要开发管理平台,更贴近用户的管理需求,提高平台的可用性。
2.1 平台总体设计
网络安全管理平台中,用户需要一个完整的网络监控解决方案,通过采集网络信息、设备信息等,能够对网络设备、通信线路、网络状态、安全状况等进行监视和控制,并对它们进行充分的管理和起到网络安全稳定的作用。
通过统一的监控管理系统,将分散在各地区、不同网络上面的各种设备有机的结成一个整体。监控管理系统是全局的网络状态为核心,实时地集中收集设备状态信息、并进行相关性分析,为网络和设备提供真正有用控制,监控管理系统还提供多种预警和响应机制,及时控制和处理事件。
基于以上功能和技术的需求,文中设计了一个灵活的可扩充的网络安全管理平台。该系统的设计目标是:底层通信和数据交换协议采用SNMPv3,系统用分层架构实现,实现3层乃至多层架构。能提供多种访问方式和开发接口。体系间的信息交流进行加密传输(SSL),并使用访问控制措施,以实现系统的自身安全。
2.2 平台总体规划
由于安全设备管理和本身处理的特点,在系统结构的设计上,采取了分散处理、分散存储、统一管理、统一审计的分布式结构。系统设计的特点之一是采用级联结构,可以无限级联,适应从简单到复杂的网络结构。
设备指包括被管理和监控的网络安全设备,以及路由器等普通网络设备。事件服务器是网络安全管理平台的基础设备,承担了系统结构中的“分散处理、分散存储”的功能。作为基础设备,事件服务器可以独立运行,拥有事件管理的全部基本功能。
每个事件服务器最多只能有一个上级的事件管理中心。管理中心服务器承担系统结构中的统一管理、统一审计作用。事件管理中心支持级联。每个管理中心最多只能有一个上级管理中心。
2.3 平台软件设计
(1)事件管理中心。管理系统以事件管理中心为核心。事件管理中心通过事件服务器接收设备发出的事件,对事件进行实时分析,并写入管理系统数据库。同时,事件管理中心还接收并处理控制台的请求,管理设备组织结构,处理监控数据。此外,事件管理中心还处理系统自身的身份及权限等。
(2)管理中心控制台。事件管理中心控制台是用户操作网络安全管理平台的界面。一套网络安全管理平台系统可以有多个管理控制台,系统管理控制台模块组提供对网络安全管理平台自身系统的管理与维护,包括用户与权限管理、事件服务器管理、系统日志管理等部分;设备管理控制台模块组提供对设备组织结构的管理、设备地图等功能;系统监控控制台模块组提供对所管理设备的运行状态、事件(日志)的实时监视。
(3)审计服务器。审计服务器是一个单独的子系统,实现对存储在管理系统数据库中的设备事件的查询、统计分析,生成报表,并将结果通过Web Server发送给审计终端。审计终端就是一个浏览器。事件管理中心和所有事件服务器各带一个审计服务器。
(4)事件服务器。事件服务器通过事件适配器接收设备发出的事件,对事件进行实时分析,并写入事件服务器数据库。同时,事件服务器还接收并处理控制台的请求,管理设备组织结构,处理监控数据。
(5)事件适配器。事件适配器直接与安全设备(控制台)连接,将事件服务器的控制命令转发给控制台,并将设备的日志和属性参数等,传送给事件服务器。事件适配器必须与安全设备(控制台)安装在同一台计算机。
(6)事件服务器控制台。事件服务器控制台是管理中心控制台的简化,是事件服务器用户操作事件服务器的界面,用户的操作通过控制台反映给事件服务器,并将处理的结果返回给控制台并显示出来。
2.4 平台模块设计
(1)安全设备监控。
安全设备监控主要是以网络设备的安全信息为管理对象。网络安全管理平台对来自网络安全设备的安全信息分类进行处理:对设备实时状态信息(如CPU,网口的状态参数)进行显示;对网络安全事件和设备工作日志进行识别、归一化、保存等数据管理工作;并同时对这些安全事件进行实时分析和统计,从中发现更多和更深入的安全信息。
(2)安全管理
安全管理主要是以网络安全设备为管理对象。所管理的安全设备加入网络安全管理平台中或删除,在系统中的设备可以被配置和监控。并为用户提供多种表现这些设备在网络中的组织关系,位置信息的功能,以及用网络安全管理平台组建用户的安全管理组织网络的功能。此外还有为了安全信息审计的需要,提供的用户主机组织管理功能。
(3)安全策略
安全策略主要是提供集中的方式处理网络安全设备的策略配置问题,为用户提供统一的策略配置界面,用户可在该界面中进行策略个性化配置、策略模板应用和策略部署。
(4)安全审计
安全审计主要是以存储在系统数据库中网络安全事件和安全设备日志为处理对象。可以对这些安全信息根据各种条件进行查询,为用户提供各种网络安全统计信息。
(5)系统管理
作为安全管理平台,网络安全管理平台自身的安全也是很重要的问题。网络安全管理平台具有完善的自身用户管理,以及用户权限的管理。网络安全管理平台能够对系统本身的各种参数和安全性进行配置和控制。网络安全管理平台还可以记录并审计自身的工作日志。
3.结语
文中讨论了网络安全管理的范畴和技术,然后提出了一种新的分布式多层次的网络安全管理平台的设计。该平台从网络的整体安全出发,通过对网络中各个网络设备的集中监控,集中配置,以及通过集中收集、格式归一化和关联存储等功能来管理网络中的安全信息,进而实现实时监测网络中的安全状态,动态调整网络安全策略,综合审计网络安全信息,有效提升了用户网络安全的可管理性和安全水平。该平台具有广泛的实用性,可以在各级网络的管理部门安装,节省大量的经费。
参考文献:
[1]邢戈,张玉清,冯登国.网络安全管理平台研究[J].计算机工程,2004,30(10):129-131.
[2]孙强.基于定量安全风险评估模型的网络安全管理平台[J].微电子学与计算机,2010,
27(5):70-73.
[3]谢玉峰,梁铁柱,郑连清.网络安全综合管理平台的设计与实现[J].通信技术,2009,42(4):
139-141.
[4]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001
[5]董守玲,张凌.网络安全管理平台的设计与实现[J].华东理工大学学报(自然科学版),2007(06).
网络安全设备篇6
论文关键词:金融信息系统;灾备中心;网络;生产中心;安全
0、引言
随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。
本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。
1、建设目标
金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。
灾备中心网络建成后。wWW.133229.cOM作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。
灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。
构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。
根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。
构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。
部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。
2、设计原则
(1)高可用性
统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。
(2)高安全性
灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。
遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。
(3)高灵活性、高可扩展性
近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。
具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。
(4)便于运行维护和管理
强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。
(5)先进性
采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。
3、解决方案
(1)网络体系结构
根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、mis服务区、内联接人区、外联接人区、开发,测试区和internet接人区等区域。灾备中心网络体系结构如图2所示。
(2)灾备中心网络逻辑结构
灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。
各个层次的功能是:
核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。
分布层作为接入层和核心层的分界层.该层完成的功能包括:区内vlan问的路由;区内i王’地址或路由区域的汇聚:实施安全访问控制策略。
接人层提供layer2的网络接入.通过vlan定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施qos。对数据包进行分类和标记。
各层之间的连接:
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。
物理实现时.分布层和接人层设备可以合并。
(3)灾备中心信息安全体系设计
灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。
为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。
第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。
第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。
以上四个层面由低到高描述了信息安全建设的基本思路。
除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。
最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。
4可行性分析
方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面
(1)网络可靠性分析
灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:
线路的可靠性
灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的atm电路,每条atm电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。
网络设备的可靠性
灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。
(2)网络安全性分析
为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署ids、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。
(3)网络扩展性分析
网络扩展性主要体现在:
通信容量的扩展
按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条atm电路接入的要求.平均每条atm电路的速率不低于2mbps,在业务量增加后,如总计业务量不超过155mbps,可逐步扩容pvc带宽满足业务需求。如总计业务量超过155mbps,可根据需要。增加atm接口的数量。
支持业务系统的扩展
灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。
5、结束语
以上所介绍的解决方案对金融信息系统灾备中心网络建设具有很强的借鉴意义。特别是统一的、标准化的网络架构设计恩想、网络安全体系和综合网络管理中心的架构可以满足金融行业对信息安全和运行维护的要求。
网络安全设备篇7
由于历史原因,导致现时该校的网络设备型号各异。就品牌而言,目前就有几种:思科、神码、TP-LINK等。现在使用的操作系统也有不同,有一些现在使用的是WIN7,而有一些在使用XP或WIN2003或其它,这么多种型号的设备及操作系统,就要求我们的校园网一定要有极强的灵活性,能够灵活地面对各种设备及操作系统。同时因为现在移动办公的重要性越来越突出,所以我们的校园网也要求能灵活地适应各种移动办公的需要。
2实用性要强
校园网面向的用户决定了校园网必须具备很强的实用性。只有一个便于管理、维护的实用性网络,才可减少网络用户运用网络的难度,从而降低人为操作引起的网络故障,并可使更多的人发挥校园网的各种功能。根据该校的实际情况,建网时应考虑充分利用智能化校园网系统的功能,在先进性和可靠性及高性价比的前提下,通过优化设计和管理达到经济性的目标。不降低智能化校园网系统的功能与技术先进性,以满足信息时代的需要。
3校园网络管理策略
随着计算机多媒体和网络技术的不断发展与普及,,校园网的稳定安全和网络瓶颈等问题给校园网的管理增添了更大的难度。因此,必须有一套系统地分析和管理校园网的思路与对策。以下将从该校校园网的具体需求出发,针对设备、用户、管理者自身提高以及安全等四个方面谈一下相关的校园网管理策略。
3.1设备管理策略
设备安全是校园网网络运行安全的首要环节。所以,网络设备管理一定要综合统筹规划。要加强网络管理员对网络设备的管理,而网络设备是整个网络管理中的重点,以下就从设备购置、设备配置以及设备维护三个方面进行说明。首先在设备购置的时候,一定要利用目前成熟的技术和产品,并在此基础上考虑超前性,保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。为了使设备能进行灵活配置并且能降低以后的维护工作量和维护费用,尽量统一配置设备的规格和型号,这样设备之间的兼容性相对较好,以后在更换设备的时候,可以避免设备不兼容的现象发生。在设备购置时还要考虑如何避免大面积出现老化的问题,这就要求学校在采购或更换网络设备的时候一定要避免一次性购买大量同种设备。其次在设备配置过程中要求网络管理员通过配置网络设备,例如:交换机、路由器等,在校园网中实现VLAN的划分、端口监控、控制网络流量以及防止外部攻击等功能。另外,管理员在配置网络设备的过程中尽量通过命令行来进行配置而不是通过WEB界面来管理网络设备,这样能提高网络设备管理的安全性。最后在设备的维护过程中,要建立一套完善的《网络设备检测维护制度》,并要求网络管理人员严格按照《网络设备检测维护制度》定期对网络设备的硬件和软件系统进行检测和维护,在检测和维护过程员一旦发现问题,一定要及时处理,并将检测、维护及处理的相关记录通过纸质和电子存档,同时要严格保证网络设备运行的工作环境。
3.2用户管理策略
在网络管理中,要注重对用户的管理,通过用户管理可以规定用户使用校园网的方式,控制和统计用户使用校园网的过程,确保用户能正常使用校园网。目前,用户管理主要有两种技术:一是地址绑定技术,通过给每台接入校园网的计算机分配一个固定的IP地址,把这个IP地址和合法用户的计算机网卡的MAC地址绑定后,实现用户与IP地址逻辑绑定,同时通过网络交换机端口与用户信息点的物理绑定完成全法用户的地址绑定。二是用户认证技术,每个校园网用户需要申请一个帐号,同时对这些帐号进行分级分权限管理,并授予用户一定的访问与操作权限、分配不同级别的资源给不同的用户;当用户离岗、离职时应及时变更或删除用户及权限,保证网络信息系统安全。做为校园网管理,考虑到其的灵活性和方便性,建议最好采用用户认证技术,当然对一些特殊的人员和部门也可以采用地址绑定技术。
3.3安全管理策略
校园网的安全威胁既有来自校内的,也有来自校外的。目前校园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普通存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网和互联网之间放一个硬件防墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。所以对于校园网来说,如何构筑一个相对安全可靠的校园网络安全体系,也变得越来越突出了,而要构筑一个相对安全可靠的校园网络体系,要从两个方面着手:一是采用先进的技术手段;二是不断改进和完善管理方法。
3.4管理员自身提升策略
不断提升网络管理人员的能力是网络管理的根本之道,现在的网络管理对管理员也提出了新的要求,要求他们不但要设备的维护能力还要具备一定网络管理能力,这就对网络管理员的技术水平有了较高的要求。另外,由于计算机网络技术的更新日新月异,网络管理员要不断地学习先进的知识和技术才能应对越来越复杂的校园网需求。这就要求管理员在平时工作的过程中一定要加强自身专业水平的提升,不断研究新的网络技术,真正做到“活到老,学到老”。最后,学校也要定期派相关的管理人员进行有针对性的培训。
4网络管理具体实施措施
4.1安装查杀病毒服务器
校园网络安装查杀病毒服务器,其目的在于:要在整个局域网内杜绝病毒的感染、传播和发作。为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。该校目前采用的是金山毒霸网络版7.0,该软件采用了业界主流的B/S开发模式,由控管中心、服务器端和客户机端三个相互关联的子系统组成了防病毒体系,并且具有强大的病毒查杀能力、双向过滤邮件病毒、实时监测病毒、快速可定制的安装部署、可移动的Web管理平台等功能,能够有效拦截和清除泛滥的各种网络病毒。目前该杀毒软件已在该校园使用了近三年时间了,教师和学生对该软件的反映都比较好。
4.2采用VLAN技术
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。划分VLAN后,由于广播域的缩小,网络中广播包所消耗的带宽减少,有助于控制广播风暴的产生、减少设备投资、简化网络管理、提高网络的性能和安全性。该校目前的VLAN的划分大致是按功能区进行划分的,学校共划分了15个VLAN,并对每一个VLAN的流量进行了控制。该校在进行VLAN划分的时候采用的是基于端口划分的VLAN。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
4.3安装硬件防火墙
互联网攻击者威胁着校园网络中基础设施和数据资源的安全。而多数网络地址必须转换成可在互联网上路由的地址,防火墙即是执行此功能的逻辑地点。目前,防火墙安全性已成为每个互联网边缘部署的必要组成部分,因为它在保护信息的同时也可满足企业对安全可靠的网络的需求,同时还能够通过执行策略来保持员工的工作效率。目前该校校园网使用的是CiscoASA5525-X防火墙,该防火墙设计采用了单个互联网连接,在同一对提供防火墙功能的CiscoASA中集成了远程接入VPN功能。防火墙拓扑图如图2所示。
4.4安装入侵检测系统
入侵检测系统(IDS)是防火墙的合理补充,帮助系统对付网络攻击。它扩展了网络管理员的安全管理能力,提高了信息安全基础结构的完整性。目前该校网络管理中安装了“萨客嘶入侵检测系统v1.0”,该系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。它具有以下主要功能:入侵检测及防御功能、行为审计功能、流量统计功能、策略自定义功能、警报响应功能、IP碎片重组、TCP状态跟踪及流重组等。目前该软件在该校的网络安全防护中发挥着重要作用。
4.5定期进行漏洞扫描
随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。在进行漏洞扫描是要注意两个方面,一是定期安装各操作系统的补丁程序,在这一点上,该校的做法是,一旦有操作系统的补丁程序更新,首先在学校中心机房的服务器上安装,并把该补丁程序上传到学校的FTP服务器上;然后再通过该校的OA软件,告知教师和各实训室的管理人员安装最新补丁程序。另一方面,在学校中心机房的服务器上安装漏洞扫描程序,要求网络管理员每天都要运行漏洞扫描程序。该校现在使用的漏洞扫描程序是ShadowSecurityScannerv7.347。
4.6服务器数据备份
大家都知道,网络中心的数据备份是非常必要和重要的,因为通过数据备份可以保障网络中心数据的安全,防止网络中心数据的丢失。在该校的校园络管理中数据备份主要从以下两个方面来进行:一是通过制定数据备份规则和程序,在该校园网络管理中,为数据备份制定了一套详细的备份规则和程序,具体包括了:什么时间进行备份(每隔一个星期)、什么内容需要备份(全部数据备份)、谁负责进行备份(网络管理员)、谁可以访问备份内容(网络管理员以及相应有权限的人员)等等。二是通过一些技术手段,现在常用的技术手段有磁盘阵列(RAID)、硬盘保护卡以及一些数据备份软件(Ghost)。现在中心机房主要是采用的是磁盘阵列来实现数据备份,教师机主要是通过Ghost软件来实现数据备份,而各实训机房的计算机是通过硬盘保护卡+Ghost软件来实现数据备份。正是因为严格遵循数据备份的规则和程序,再加上灵活地利用各种先进的数据备份的技术,该校网络中心从未出现过丢失数据的现象。
4.7用户管理方法
为加强校园网管理,完善校园网运行和使用规范,确保校园网安全和稳定运行,为学校的教学、科研、管理、服务营造良好的校园网应用环境,维护校园网用户的合法权益,并结合国家有关法律法规和学校相关规定,该校采用了以下用户管理方法,主要是从用户账号分类和上网认证方式两方面进行管理的。
4.8加强网络安全管理学习
一个安全稳定的校园网一定离不开一套完整的网络安全管理机制,而该校在加强网络安全管理工作主要是从以下三个方面进行:首先,加强网络安全知识的培训和普及,网络管理员联合计算机专业的教师不定期在学校内部的宣传栏刊登一些有关网络安全知识,并定期举办计算机知识讲座;其次,健全完善并严格执行校园网络的安全管理制度和相应管理人员的考核机制,及定期组织网络管理人员学习《计算机信息网络国际互联网安全保护管理办法》,提高管理人员的维护网络安全的警惕性和自觉性;最后,加强学生的法制教育和德育教育,作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解相应的法律法规,做一个遵纪守法的好青年。
网络安全设备篇8
关键词:医院网络;信息安全;防护策略
网络信息安全已深入社会各行各业,对行业、企业的正常运行起着关键的作用。医院网络信息安全是保障医院正常运行的关键,挂号、诊疗、结账等各阶段都与医院信息系统有着密切的关系。一般情况下,医院网络信息安全涉及硬件安全、软件安全、数据安全及终端安全,其中硬件指各窗口、诊室的计算机硬件设备,软件安全指各计算机上所使用的应用软件,数据安全指用于支撑业务系统运行的数据,终端安全指医院内的各类自助终端设备。为了保障医院网络信息安全,需要安排专业人员对院内各计算机、数据库及终端进行检查与维护,防止黑客与病毒的入侵,为医院各类应用系统安全稳定运行提供保障。
1医院网络信息安全防护现状
1.1硬件防护现状
目前针对硬件的防护比较少,而硬件问题又是诱发医院网络安全的关键部位,如交换机、路由器、计算机硬件等。数据中心机房会采用备用设备以防故障而影响网络的使用,但到各诊室、终端等用户端时由于缺少专人的检查与维护,可能会出现用户端硬件设备而导致的业务服务不能正常使用,如接入层交换机、计算机等。
1.2软件防护现状
随着网络应用的普及,医院办公不仅在内部传递医疗诊治信息,在开放式的网络环境下,软件的安全问题也显得尤为重要,如软件后门、软件漏洞能导致医疗信息的泄漏,网络上下载的安装文件存在不安全因素等,都会影响医院办公系统、应用系统的中断或数据破坏,进而影响医院的正常运行。目前,医院个人计算机的软件安全多数局限于安装相应的防护软件,难以从根本上防止软件安全问题。
1.3数据安全防护现状
信息系统最关键、最核心的位置在数据库,加强数据库的安全防护工作应在所有防护之上,目前,很多医院采用大中型数据库管理工具进行数据管理,如Oracle、SQLServer、Sybase等,由于医院网络信息系统建设较早,数据库安全机制的管控并不严格,包含大量的隐私信息未经过加密而存储在数据表中,如若出现泄漏将会造成严重的后果。
1.4终端安全防护现状
终端安全与人为安全也是影响网络信息安全的因素,主要包含有院内自助终端安全、人为因素等,自助终端设备需要屏蔽非法设备、磁条卡等未经许可的信息源。而人为因素对网络信息安全的破坏,如断电、环境影响等也需要在制度上进行合理的规范。目前由于医院人员编制压力、技术压力很难完全实现终端与人为因素的控制。
2医院网络信息安全防护策略
2.1网络信息安全防护框架设计
网络信息安全防护框架设计是在建设网络时进行安全体系架构设计,主要从数据中心安全、网络出入口安全、终端安全等三个方面进行设计。数据中心服务器与数据库采用企业版系统安全防护软件,并完成數据库的安全与角色控制同时进行数据库备份,增加备用线路和服务器,同时设计不间断电源为服务器提供断电应急方案。网络出入口配置防火墙、访问控制策略、入侵防御与检测设备等,并在各设备上进行安全配置,实现网络出入口的安全管理。终端安全上对各诊室、护理站及自助终端设备安装企业版防护软件并进行安全数据库持续更新策略,加强各终端设备的端口管控,禁用非常用的硬件端口。另外,在网络数据传输链路上避免强磁场、热量的影响,挂壁式交换设备上端口不允许私拉乱接,避免网络内产生回路而影响网络的正常使用。
2.2监控与安防系统
为了有效实现对院内网络及网络设备进行有效的监控,需要配置网络信息安全监控与安防设备,通过主动或被动的方式发现网络内异常的设备、服务器资源监控、数据包异常、非授权登录等情况。通过对数据中心机房温度、湿度、电压电流等物理环境的监控,在出现异常时通过告警信息推送到值班工作人员的手机上,实现无人值守的工作形态。
2.3软件与数据库防护
针对院内各计算机上使用的软件安全问题及数据库使用安全问题,可在各诊室、护士站等计算机上安装企业版安全防护软件并配置即时升级服务,如诺顿安全软件、360安全卫士等。尤其在数据库服务器上需要进行防病毒防护,避免木马等病毒在服务器上安装后门程序盗取服务器上的个人隐私数据。
2.4完善网络接入制度
医院网络信息的业务不断扩大、信息终端增多,进入医院的人也越来越多,医院网络信息终端承载量和相关业务活动的用户量非常大,这也增加了网络信息安全管理的复杂程度。一般情况下需要建立院内网络接入准入制度,使用临时账户或身份验证等方式来有效管理进入医院的临时人员入网行为。
2.5建立网络使用规章制度
网络使用问题也是影响网络信息安全的因素,在接入院内的各终端的操作需要符合安全管理规定,保障公司网络系统正常、安全、可靠的运行,发挥医院内利用网络办公的优势。网络使用规章制度包含医护人员网络使用制度、临时人员网络使用规章制度及管理人员网络使用规章制度,所有的关于设备配置、进入中心机房等重要的地点都需要经过领导的授权,防止未经许可的人员接触网络设备。
3总结
综上所述,本文对医院网络信息安全防护现状进行了总结,主要有硬件防护、软件防护、数据安全防护、终端安全防护等,并根据医院现状提出了以下几点网络安全防护策略:总体框架设计、软件与数据库防护、网络接入制度、网络使用规章制度等。目的是全面保障医院网络体系的安全,推动医院信息化建设不断向前发展。
参考文献:
[1]庄一峰.构建医院网络信息安全体系的实践[J].电子技术与软件工程,2017(20):213.
[2]黄伟森.中小型医院信息网络安全策略分析[J].科技与创新,2017(20):6263.
[3]刘璘.医院网络与信息安全策略研究[J].电脑编程技巧与维护,2017(13):8284.
[4]俞波,朱全,杭铸.医院网络信息安全问题与安全防护方案分析[J].信息系统工程,2017(03):68.
[5]崔曜.医院网络和信息安全的问题和对策[J].通讯世界,2017(04):4849.