对网络安全工作的建议范文
时间:2024-01-16 17:44:33
对网络安全工作的建议篇1
关键词:Radius;AAA;中小型企业
中图分类号:TN915.09
1 课题背景
随着计算机网络的快速发展,网络运营商建立起庞大的网络脉络,为用户提供各种网络资源和网络服务。网络运营商在提供网络资源的过程中,不仅要保障自己的经济利益,还要解决会出现的网络安全问题。如何解决对众多用户网络安全访问控制?如何对接入用户行为进行授权和审计?这些问题的出现便给网络运营商提出了严峻的挑战。
为了解决这些出现的问题,网络运营商便开发出一个提供网络安全的AAA系统,AAA提供了认证、授权、计费三种安全功能的系统框架,是网络安全的一种管理机制。目前,业内广泛使用RADIUS作为实现AAA功能的协议。
2 AAA和Radius协议简介
AAA(Authentication、Authorization、Accounting)是认证、授权、计费系统的简称,用来完成对用户合法性的鉴别、权限的分配、话单的采集、费用的结算等功能。AAA系统以其大容量、高可靠性、支持大型数据库,支持多种设备、可以运行在多种操作系统平台之上,这些特点迅速使其成为多种业务的认证授权计费系统。
AAA系统管理通常采用集中式的管理结构,由一个AAA服务器统一管理接入网中的所有用户。其可以通过多种协议(如RADIUS协议、TACACS+协议)来实现。目前在实际应用中设备支持主要基于RADIUS协议来实现AAA,其核心模块RADIUS服务器与网络接入服务器之间的通信采用RADIUS协议。
RADIUS(Remote Authentication Dial-In User Service)远程认证拨号用户服务,是AAA系统应用中的重要协议之一,能保护网络不受未授权访问的干扰,是一种在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息的协议。RADIUS协议中定义了三层管理模型:用户到NAS,NAS到RADIUS服务器,构成了一个以RADIUS为中心的认证管理体制。
3 RADIUS协议在中小型企业AAA系统的应用
3.1 中小型企业网中存在的认证问题
(1)随着企业用户数量的急剧增加和对业务多样性要求的提高,如何对员工进行网络安全访问控制和管理,已经成为突出的网络安全问题。
(2)由于传统企业的认证方式对网络中的用户数据包繁琐的处理造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈又会带来网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。
3.2 解决方案
4 结束语
本课题通过搭建基于802.1X接入标准和RADIUS服务器的中小型企业AAA系统实验环境,在员工客户端采用IEEE802.1X标准作为接入认证客户端,采用RADIUS服务器来实现认证、授权和审计功能。利用RADIUS协议在NAS和RADIUS服务器之间作为承载认证、授权和计费,以及配置信息。通过802.1X接入标准和RADIUS协议组建中小型企业AAA系统,实现中小型企业客户端接入企业内部网络的安全管理。
参考文献:
[1]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2007(01):14-35.
[2]孟敏.基于RADIUS协议的校园网AAA系统研究[J].计算机技术与发展,2009.
[3]李斌祥.采用RADIUS协议的AAA系统的研究[J].重庆邮电学院学报(自然科学版),2006.
[4]隆晓波.RADIUS服务器的实现[J].重庆邮电学院学报(自然科学版),2008.
[5]韦乃文.基于RADIUS协议的宽带接入认证技术研究[J].盐城工学院学报(自然科学版),2003.
作者简介:黄新华(1985.08-),男,福建泉州人,助教,本科,从事计算机网络方面研究。
对网络安全工作的建议篇2
计算机网络起源于二十世纪六十年代,最早是由美国国防部高级研究计划署(ARPA)进行的。ARPA投资推进计算机网络的研究研发,1969年建成了著名的Internet的前身ARPANET,后来随着计算机技术的不断发展,形成了以ARPANET为主干的Internet雏形,直至今日互联网的诞生。在当今的网络环境下,物理安全、网络结构安全、系统安全、管理安全等都会对网络安全造成影响。因此,为了维护网络环境的安全,网络安全技术是必不可少的。随着国家网络信息化的不断建设与发展,各个企业都根据自己公司的需要,建成了符合公司要求的企业网,使企业员工可以很方便的访问企业的通信资源、处理器资源、存贮器资源、信息资源等。但是建立企业网就不得不面对复杂恶劣的网络环境,因为网络安全技术的不成熟,使不少企业的网络信息资源丢失或被篡改,给企业带来了不小的损失。因此,影响网络安全的因素成了企业建立企业网不得不解决的重大难题,网络安全技术也被越来越多的企业重视[1]。
2影响网络安全的因素
2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。
2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;b.通讯部分的脆弱性,通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。
3国内企业网络安全的现状
随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源,各大企业都积极的组建和发展自己的企业网。伴随着网络的发展,各种各样的网络安全问题相继而生,网络安全隐患日益突出,引起了社会各界的广泛关注。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全[3]。
4网络安全技术在企业网的应用措施
4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。
4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生,用户需要定期对计算机进行系统检查与修复,可以到微软官网上下载适合系统的补丁进行修复[4]。
4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。
4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接,进而带入了一些恶意软件,使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。此外,企业网络用户还要坚决抵制恶意网站,拒绝恶意请求,确保网络的安全应用。
5结束语
为了计算机网络安全技术在企业网能够安全有效的应用,企业应该加强培养企业网络用户的网络安全意识,有效的实施在物理环境、操作系统、网络配置以及网络上的安全应用措施。
对网络安全工作的建议篇3
【关键词】计算机网络安全 虚拟网络技术 应用
信息时代的到来,使人们对计算机网络的依赖程度越来越大。同时,各种网络安全事件频发,黑客攻击、病毒感染、隐私信息泄露等一定程度上影响网络正常秩序,给受害人造成了不可估量的损失,因此,有必要对计算机网络安全中虚拟网络技术进行探讨,构建安全、稳定的网络环境,更好的为人们的生产生活服务。
1 计算机网络安全中虚拟网络技术
为保证计算机网络安全,确保生产工作的顺利进行,人们构建了多种形式的虚拟网,一定程度上提高计算机网络安全性,较为常见的网络有虚拟局域网(VLAN)与虚拟专用网(VPN),其中VLAN根据工作需要将网络节点划分成多个逻辑工作组,有效避免了广播风暴的传播,提高网络传输质量与效率。最重要的是不同虚拟网络之间无法直接通信,进一步提高了网络安全性。VPN是一种利用加密、隧道技术在Internet建立的私人数据网络,因其融合了访问控制、用户认证以及安全隧道,使得网络安全性大大提高。考虑到人们对VLAN相关技术比较熟悉这里不再赘述,接下来将重点探讨VPN虚拟网络技术。
1.1 隧道技术
所谓隧道技术指源局域网信息发送到公网之前,将传输信息作为负载进行封装处理,而后在信息接收端将负载解封便可获得相关信息。采用隧道技术进行信息传输时,为提高信息成功传输机率及信息的安全性,需遵守一定的传输协议,即,隧道协议。隧道协议包括三部分:PPTP协议、L2TP协议以及IPSec协议,为VPN中信息的安全传输提供了重要保障。
1.2 加密技术
VPN中信息加密操作主要有IPSec协议实现,运用一种端对端的加密模式,即,信息传输之前根据协议中的机密规则对信息进行加密,确保在整个网络中信息以密文的形式传输。需要说明的是,该协议对传输信息的加密以数据包为单位,不仅增强了加密灵活性,而且使得数据包在公共网络环境中的安全性得以提升,一定程度上网络攻击的防范效果。另外,在应用该协议的同时,融合物理层保护、边界保护以及用户访问控制,可为数据传输提供更深层次的安全防护。
1.3 认证技术
为保证数据信息在公共网络中安全传输,VPN还需认证技术的支持。VPN中认证功能主要通过AH、ESP以及IKE协议实现,其中AH协议对认证采用的方法进行定义,负责对数据源的认真以及保证数据源的完整性。该协议工作时将身份验证报头,添加到每个数据包之上,报头中包含有带密钥的hash散列,并在数据包中进行计算,只要信息被修改可导致散列无效,因此,一定程度上保护信息的完整性;ESP协议对可选认证与加密应用方法进行定义。该协议的加密服务是可选的,通常情况下,只对IP包有效荷载部分进行加密,而不加密整个数据包,它可以单独使用,也可与AH一起使用。该协议的的加密部分,主要包括ESP报尾、数据以及上层传输协议信息;IKE协议负责交换密钥,给通信双方构建验证后的密钥以及安全参数。
2 虚拟网络技术的应用
2.1 需求介绍
某公司总部接入Internet的方式为宽带接入,带宽为100M。公司在郑州、洛阳、平顶山、信阳、焦作等均设立分公司,接入Internet的方式为拨号、宽带或ADSL。分公司与公司总部需进行业务信息的传输。其中在郑州、洛阳两地配有性能优越的服务器,为其他分公司提供数据信息服务,而位于郑州的总部需对传输的信息进行分发。
随着公司业务的不断扩大,现有网络已很难满足信息传输需要,尤其一些重要信息,对传输安全性的要求较高。同时,由于该公司采用电信提供的专线进行组网,专线租用费用以及通信费用耗费严重,一定程度上了增加了公司的经济负担。另外,电信提供的传输平台在信息传输安全方面多有欠缺,信息传输期间窃取、篡改以及监听的可能性非之大,一旦被不法分子获得传输信息,将会给公司造成不可估量的损失。
2.2 需求目标
针对公司信息传输实际以及业务开展情况,公司急需安全、稳定、高效的传输网络,在提高自身信息化水平的同时,建立一个全省级的信息服务网络,为信息安全传输创造良好条件。
2.3 方案介绍
为实现公司信息传输目标,为分公司与总公司信息传输提供安全、稳定的保障拟组建VPN网络具体实现方案为:
首先,在公司总部安全一个性能良好的VPN服务器,为移动用户、核心分支以及其他分支与中心实现连接的VPN硬件安全网关,并将总部的VPN硬件网络的安全隧道设置为200个。其次,各分支根据信息传输要求,通过安装VPN客户端增强软件,建立安全隧道。再次,在核心分支两端分别安装VPN网关,完成安全隧道的构建,将VPN安全网络可连接的安全隧道设置为500个。而对于移动用户而言,只需要安装VPN客户端软件,便可实现与内网的通信。
2.4 运营结果
根据公司对信息传输的需要应用虚拟网络技术组间VPN网络,满足了公司总部与分公司间的信息传输需求,尤其在传输信息加密以及信息认证方面获得了预期的目标,信息传输的安全性得以大大提高。而且减少了在网络自费方面的投入,为公司效益的增加奠定了坚实的基础。
3 总结
人们在享受计算机网络给生产、生活带来便利的同时,还应注重网络安全方面的考虑,尤其应注重应用虚拟网络技术实现计算机网络安全的提高,为信息的传输、共享奠定基础,以营造良好的网络秩序,为我国网络技术的进一步发展与应用创造良好的环境。
参考文献
[1]任科.计算机网络安全中虚拟网络技术的应用研究[J].电子技术与软件工程,2015,08:219.
[2]潘林.计算机网络安全中虚拟网络技术的作用[J].网络安全技术与应用,2015,06:31+33.
对网络安全工作的建议篇4
一、引言
为了严格控制会议经费,越来越多的单位开始建设自己的视频会议系统,采用网络视频的方式召开工作会议,有三点明显的优势:一是成本节约,极大地节约了直接、间接会务、参会人员的经济与时间成本,如会务管理时只需预留视频会议系统、网络带宽、会议室等资源,而无需像传统会务考虑参会人员的各类保障问题;二是覆盖人员更广,能够覆盖更广泛的参会人群,理论上分会场只要网络可达且具备权限即可接入参会而不受场地限制;三是会议随时可安排,如数万人参加的会议,传统会议要耗费数月时间去组织协调,而网络视频会议则随时可以举办。
不过采用网络视频会议系统也带来了新问题,主要有:一是稳定性问题,由于网络、设备设施的故障,存在分会场、主会场掉线,会议全体或部分中断的情况,影响正常会务进程;二是安全性问题,会面临网络黑客入侵窃听等隐患。由于网络视频会议通常参会人员较多,出现问题后带来的负面后果也会比较严重,因此如何确保网络视频会议系统安全稳定运行变得十分重要,这也是本文着重讨论的问题。
二、教育部网络高清视频会议系统介绍
教育部网络高清视频会议系统作为教育信息化的重要应用,既是教育系统转变工作方式、改进会风、提高会议质量和工作效率的重要手段,也是教育系统应急指挥的重要平台。教育部作为国家主管教育工作的部委,非常重视网络视频会议系统的建设,早在2006年便开始使用一套纯软件的网络视频会议系统,其优点是建设成本较低,缺点是系统稳定性差,操作繁琐。随着技术进步以及老系统故障频繁,教育部于2010年开始启动了网络高清视频会议系统建设工作,于2011年4月建成并投入使用。
目前投入使用的教育部网络高清视频会议系统覆盖范围广,共有112个分会场节点。系统在设计时采用基于H.323协议标准的硬件MCU设备和硬件视频会议终端设备组网,设计标准是达到1080P的高清视频效果。
教育部网络高清视频会议系统由教育部主会场进行统一集中管理和控制。设备配备方面:主会场配备了两台MCU(一主一备)、录播服务器、会议管理系统、音视频设备等,每个分会场部署一台视频会议终端、音视频设备等;网络方面:为确保信息安全,由教育科研网提供逻辑独立的专网保障,主会场两条100Mbps双活接入、所有分会场至少10Mbps接入,每个会场的IP独立,各会场之间网络双向可达,但域外不可达,专网只限于网络视频会议系统使用。
教育部网络高清视频会议系统拓扑如图1所示。
作为备份和应急手段,除高清视频会议主系统之外,还建立起一套基于WEB的实时录播/直播系统,称之为备用系统,每次会议召开时两套系统同时运转,当某分会场无法访问主系统时,可以通过WEB在专网上收听收看备用系统直播。
自2011年建成到目前运转已接近五年,在实际运维过程中也发生过多次问题,这些问题集中体现在:
(1)核心设备不稳定。由于分会场较多,对于资源消耗较大,导致在实际运行时MCU设备本身存在运行不稳定、故障率偏高。
(2)会议协同调度难度较大。由于分会场数量庞大,协调与保障难度极大,以会前点名为例,完成上百个单位的会前点名需要耗费数小时。
(3)分会场保障能力不一。分会场保障能力各不相同,有些高校技术力量强,问题较少,有些省厅保障人员薄弱,问题多发;再加上分会场技术保障人员有一点流动性,经常面临接续的难题。
(4)终端设备返修率较高。每次开会都会有数个分会场视频会议终端设备出现硬件故障,影响参会。
(5)缺乏完善的监控与定位手段。出现问题之后难以在第一时间定位其产生的原因,一些重大问题发生时,经常出现瞬间主会场技术支持热线被打爆的局面。
三、保障思路与工作模式
经过认真梳理分析上面的问题,我们认为教育部网络高清视频会议系统参会级别较高,规模大,组网方式特殊,各个分会场环境条件多样,系统运行维护的难度和复杂性都比较大,在运维保障时不能头疼医头、脚疼医脚,必须形成一套体系化的运维保障模式,依托现有系统与手段,通过体系化去应对问题、缓解问题、解决问题。
整个体系化运维管理包括组织管理、人员保障、网络环境保障、设备设施保障、系统安全保障等多个方面。
下面具体谈一下我们采用的保障思路和工作模式:
(一)组织管理
1.由教育部办公厅、教育部教育管理信息中心、CERNET网络中心共同建立运行保障工作小组,对视频会议召开、系统运行、主干网络保障等进行统筹协调和管理。
2.建立规章制度,规范操作流程。建立起覆盖会务全生命周期的分阶段保障机制,制订了相应的应急预案,明确岗位职责并制定了相关管理制度。
主要包括:
(1)预备测试阶段,每次正式会议之前进行系统测试,测试工作完全按照第二天开会进行针对性模拟,会安排所有分会场的点名,主备MCU切换、主备链路热切换。
(2)会前准备阶段,会议开始前半小时所有单位上线,进行会前各项技术准备工作。
(3)会中调度阶段,对分会场进行轮询,对存在问题的分会场进行针对性记录、处置与隔离。
(4)会后总结阶段,每次会后要求分会场提交电子反馈单,并对反馈单进行统计分析,同时对每次会议的音视频材料进行及时归档。
每次会议后会统计存在的问题,由于组织大型视频会议需要各方配合,对不配合的分会场也会通过统计数据去进行针对性批评、通报等。
建立起日常巡检、单点联调测试工作机制,对于主会场核心设备设施进行例行巡检,对于分会场单点不定期或者应其要求进行单点联调测试,每年会定期安排工作人员去各分会场巡检与调研,协调解决发现的问题。
建立完善的沟通机制,教育部主会场设立了固定电话、移动电话,建立了视频会议专用即时通讯群,使教育部主会场和各分会场会议管理人员能够及时交流和沟通。特别是利用即时通讯手段,在会议召开期间,分会场可以随时向主会场反馈出现的问题,主会场管理人员也会将主会场的情况通报给各分会场。
3.人员保障。运维保障涉及视频会议系统管理、网络中心、行政管理等多个部门,涵盖视频会议核心设备、网络设备、音视频设备等,需要配备不同专业的人员。将视频会议进行岗位分工、阶段分工、工作流程化、标准化,集中体现为重新梳理视频会议各岗位,如主会场设立了视频会议操作岗、录播系统操作岗、音频操作岗、视频与摄像操作岗、接线与在线问题处理岗、主会场网络操作岗、机房保障岗、主干教育科研网协调岗、技术总协调岗,其中技术总协调员采用A、B角,人员岗位相互之间可轮换替补,一人兼多岗,组成一支五至八人保障团队。根据会议的规模、重要程度,灵活安排工作保障人员,最低五人,最高八人。
团队内部加强重要的技术文档管理,对业务技能进行定期培训;对分会场保障团队进行电话或网络指导,并借助于互动交流群,鼓励分会场之间相互解答、相互协同。
(二)设备设施保障
教育部网络高清视频会议系统涉及网络、视频会议专用设备、会场音视频设备等方面,任何一个环节出现问题,都会对视频会议的召开效果造成严重影响。
网络是视频会议系统的重要基础设施之一,网络的好坏直接影响到视频会议召开的效果,甚至能决定会议的成败。网络环境保障是视频会议系统保障的重要环节。教育部网络高清视频会议系统运行于中国教育和科研计算机网(CERNET),CERNET主干网通过网络带宽预留、优先级服务等措施,为教育部网络高清视频会议系统提供网络通信保障。
各分会场单位就近接入CERNET主干节点。视频会议会场使用独立的接入层网络设备,配置为独立网段,不与其他应用共享。会场网络以尽量少的跳数,如果条件允许,最好直接连接到本单位CERNET网络出口。在单位内部网络的各个环节采取有效措施,为视频会议系统预留10Mbps以上的有效网络带宽。加强网络安全管理,防止网络攻击,采用安全控制策略,从网络方面保证系统的整体安全。
对关键设备设施采取多重备份措施,包括对视频会议核心设备、光缆链路、网络设备进行冗余热备;建设录播系统、基于PSTN的普通电话会议等备份系统,一旦视频会议主用设备、主干光纤链路出现问题,利用备份系统保障会议的顺利进行。
对主系统进行经常性压力、功能测试,并详细记录每一次故障发生的原因以及应对措施,经过多年积累基本掌握主系统的实际能力,避免了系统手册上认为没有问题,但实际上会造成不可预见局面的操作。
(三)应急处理
在视频会议召开期间,时常会遇到突发事件。一旦出现故障,应在第一时间判断出故障的性质、发生的部位及影响的范围,分清是网络问题、视频会议设备问题,还是会场音视频设备的问题非常关键。
为了智能定位问题,自主研发了覆盖全体会场的网络监测系统,通过图形化方式即时定位问题,如对于一个分会场有可能是终端设备故障,也有可能是出口网关故障,也有可能是终端设备达到出口网关这一段网络故障,通过研发的监测系统能够三段式同步监测,通过不同的颜色标识可以定位故障发生的区域,如图2所示。
在制度层面建立了基本的应急保障预案,根据问题的级别进行预案响应。在日常测试时对预案进行定期演练,包括:模拟链路中断,进行热切换;模拟设备故障,进行主备切换等。
四、总结
经过上述体系化保障,有效提升了系统的整体稳定性,对转变作风、提升效益做出一定贡献,较好地保障了重要会议,取得了非常好的效果。如:部分重要会议突破场地空间限制,参会总人数可达数万人,能够将指示精神更准确传达至具体执行人员;某单位使用本系统进行出国留学行前培训,传统方法是分片对上万学生进行培训,耗费数月时间及几十万经费,采用本系统后,只需一天时间,节省了大量的时间与经济成本。
对网络安全工作的建议篇5
关键词:医院网络;信息管理;建议及规划
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)02-0244-02
医院信息化程度的衡量标志,使越来越多的医院为了顺应发展需要,建设医院信息系统以提升医院管理水平和服务水平。我院近年来全面地使作了医院信息系统,建立了内部的网络。从发展趋势看在完成医院管理信息系统的建设后(H IS)的发展将转向临床信息系统。由于医疗业务的拓展加大了医生工作站配置,内部网络使用的快速增长,造成医院内部网络规模的急剧膨胀,如何做好医院信息化建设用规划是医院网络建设中不可忽视的首要问题,特别是 在医疗体制改革的今天,医院信息管理系统正从“面向医院事务管理”向“临床医疗信息一体化”管理[2]。做好医院内部建议及规划,才能逐步实现真正意义上的医院信息管理。
1 医院内部网络的现状及威胁网络安全的因素
1)软件漏洞。每一个操作系统或局域网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机一旦连接入网,将成为众矢之的,处于危险的境地。目前,被广泛使用的网络操作系统主要是unix、linux、windows等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染[3]。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
2)缺乏隔离机制。一旦有一台计算机被病毒木马所感染,其它的也就都陷入了非常危险的境地。网关是内外网通信的必经之路,是外网联入内网的咽喉。使用网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过网关,进而才能访问到internet,这样操作者便可以比较方便地在服务器上对网络内部的计算机访问外部网络进行限制。
3) 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏医院网络资源、使医院网络服务效率急剧下降、甚至造成医院网络系统的瘫痪或造成了医院内部网络管理的混乱及重要医疗信息的丢失。 这些不安全的隐患都严重地破坏了医院信息管理秩序, 严重可造成医疗纠纷。
4) 网络入侵。在医院内部中个别医务人员的行为(非正常途径访问或内部破坏)而造成医疗信息的销毁或篡改,改变程序设置或窃取机密数据等引起系统混乱等。
5)网络硬件设备受损。医院内部网络建设及计算机使用遍及全院各科,电脑安置在医护办公室等公共区域,大都是不能上锁的地方的设施,管理起来非常困难,有可能被人有意或无意地损坏,也可能会造成医院网络全部或部分瘫痪的严重后果。
6)医院网络是一个比较特殊的网络环境,医疗电子病历使用,向病房临床医生实现了医生日常工作的各种需求功能,如:填写首页、下达医嘱、书写病历、开申请单、查询报告单、查询体温单、病历检索等。但较多医务对电子病历的使用未够熟练,医院网络制规章制度还不够完善,不能够有效的规范和约束其使用行为,使得医院网络的监管更是难上加难。
2 医院网络管理的建议与规划
2.1 技术层面
1) 防火墙(fire wall)技术。根据使用科室的医疗工作及信息管理需要,采取不同的防火墙所采用的技术和对数据的处理方式,该文建议可采用以下三种基本类型:包过滤型,型和监测型:
2) 数据加密技术。为了能有效管理医疗服务信息数据,以及保证医疗服务过程中数据的存储和传输过程中的保密性,加密技术是最基本的出是最关健管理技术。通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。目前医院网络使用“公钥”密码,因此,医疗服务信息可以伪造、修改,若产生医疗纠纷,将无法裁决谁是谁非。 建议使用“session key”加密技术。目前被广泛采用。“公钥”和“私钥”并用,防止伪造和欺骗。
2.2 日常管理层面
1) 建全医院网络管理制度。包括内部网络系统管理员和医务人员的计算机操作技术素质和职业道德修养。严格做好开机查毒,及时备份数据[4],这是一种简单有效的方法。同时,加强对医务人员对医院网络管理教育。充分认识到患者的诊疗信息保密问题的重要性、紧迫性,并真正了解所有网络设备的性能,掌握防止泄密的知识和防范措施。建议信息科做好医务人员岗前培训(电子病历书写、检验查询等系统应用),通过考核 合格后上岗。
2) 医院信息数据库的备份与恢复。建议重点培训各科网络管理员,对本科的医疗服务数据库进行备份,和数据丢失恢复重要操作流程,使能及时有效维护医疗数据的完整性。防止不必要意外和医疗纠纷的发生。
3) 加强医务人员及时对操作系统、数据库及服务系统进行漏洞修补和安全加固。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的可移动磁盘和程序,不随意下载网络可疑信息。在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在医院内部网络中,限制只能由服务器才允许执行的文件。
2.3 物理安全层面
保证计算机局域网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件,主要包括以下内容:
1)计算机系统的环境条件。计算机系统选择一个合适的安装场所十分重要,它直接影响到系统的安全性和可靠性。包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要严格按要求和标准。
2) 内部网络机房场地环境。建议选择计算机网络机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3) 机房的安全防护。目前医院在用的网络机房设置欠合理,未授权的工作人员可随时进入机房,容易有机会破坏篡改重要数据,重要数据的安全防护无保障。建议重新扩大机房的同时,针对环境的物理灾害和防止未授权的个人或团体破坏篡改重要数据、盗窃网络设施、非法暴力入侵等而采取的上锁加密等安全措施和对策。
3 体会
1)做好医院局网络建设及规划,能否保证网络正常运转,支撑管理好医院网络的一个重要举措。在系统建设之初必须做好长远规划,必须做好建设上评估,充分评估医院网络使用中可能出现的问题,制定相应的应急序案及管理措施。目前我院重新规划了医生工作站系统,专门配备2台服务器。中心交换机配有冗余电源,配置3层路由模块以及千兆以太网交换模块。配备大型UPS不间断电源,保证能为主服务器和核心交换机供电6h以上。主服务器所有数据均备份存储在硬盘中。安装杀病毒软件与防火墙,医院局域网与外界实现物理隔绝。在医生工作站上线应用时,为了医院局内部网络的安全稳定,便于医生工作站实时上线应用,建议专门指定助理工程师负责网络中心管理和数据库的在线维护,定时巡查网络中心机房,及时发现和排除网络故障。征得使用科室的配合,在医院新扩建门诊大楼时医疗用房极其紧张的情况下,专门辟出一个房间作为门诊医生工作站的维护点。每天对医生工作站维护人员随叫随到,实现应急支援,保证医生工作站设备故障能够得到及时处置。
2) 加强了应用保障。针对医生工作站上线应用时,医务人员使用者基本素质存在的明显差异,对系统软件的熟悉程度、微机操作技能和上线应用态度也不可能整齐划一。加强应用保障,给临床医生讲清应用医生工作站的道理和必要性,因为他(她)们习惯手工操作, 对电子病历等知之甚少,需要改变传统的工作模式,短期内会与固有思维产生激烈碰撞,部分人员容易产生对立情绪。不能正确认识和看待,在医生工作站上线应用时就难以形成共识,从而影响上线应用质量等问题。坚持从正面引导,明确目标责任制,加强了培训工作,使用医生工作站可以实现病人信息共享以提高工作效率,提高医生工作站内部网络安全应用的自觉性。同时医生工作站软件研发,征求意见及时修改完善相应程序并有效的应用指导,保证医院内内部网络应用更之科学、合理、安全运作。
总之,医院内部网络建设及规划是管理工作,医院发展的重要课题,涉及医务服务、医疗技术开发、医疗设备的合理使用和管理等诸多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施等。对于医院内部,不管是网络管理员还是一般人员或是医务人员,改善医院内部内部网络建设现状,提高医院网络安全责任意识,加强网络安全技术的掌握,从而对医院网络管理,医疗信息管理。医疗业务发展都有着深远的意义。
参考文献:
[1] 郝德坤,宋志.门诊医生工作站的临床应用[J].中国误诊学杂志,2012(1).
[2] 汤若木,孙震.医院门诊信息系统的安全保障研究[J].中国现代医学杂志,2003,13(6):43.
[3] 张晓燕,温浩杰,苏斌,等.医院门诊医生工作站应用与维护[J].医疗卫生装备,2011,12(3):16.
对网络安全工作的建议篇6
关键词:信息网络安全;信息网络技术;控制
中图分类号:TP393.08
1 信息网络安全的含义
信号传输进行有效保护,维持信息网络在中不受到外界的恶意干扰,有效保证信息网络软件和网络中程序的正常运行。保障信息网络的安全,不仅能够维持网络长期稳定的工作,还能高效保证网络中数据域信号的安全与完整。在信息网络中,特别重视对信息与数据的有效处理,因此,安全保护数据的与信号的完整性和保密性,能够有效防止其受到病毒入侵,以及被恶意篡改或毁坏。在数据安全的基础上,通过对数据的分析处理,使市场的发展以数据形式更为直观的表现出来,以此为基础使管理者做出更为客观的判断。从网络管理者角度分析,信息网络的安全能够有效促进网络的建设与进一步完善,在为广大客户提供有效服务的同时,获取一定收益。而就用户而言,信息安全网络为其提供了广阔的平台,更为高效的满足了用户的数据与信息的需求。信息网络的安全控制,不仅是新时代信息网络发展的要求,更是网络建设进程中的标志性进步。
2 信息网络安全控制的必要性
2.1 信息网络的构建为资源的共享提供了广阔的平台,大量的网络也为人们的生活和社会建设提供了更多便利,信息网络逐渐深入到社会发展中的各个领域中。伴随着信息网络建设和网络的普及,越来越多的社会企业开始将信息网络到企业的实际运营中,通过建立企业局域网以实现企业数据资料的有效管理,并通过网络有效提高企业的运营效率。而在信息网络技术发展的同时,更多的网络漏洞也逐渐暴漏出来,使得数据容易被盗取甚至破坏。为有效提升网络的安全性和稳定性,建立网络的安全管理机制是十分必要的。
2.2 网络建设规模的逐渐扩大和网络水平的不断提高,对网络的安全控制提出了更高要求。由于信息网络系统运行过程中,容易出现网络软件破损等问题,网络性能也需要定期加以控制,因此,在信息网络安全控制中应对网络软件管理和网络性能及时加以检测。网络软件作为网络层次性构建中的重要组成部分,是否具有良好的完整性将直接影响其在网络环境中的。一旦网络软件出现破损,就会造成软件与网络环境的不兼容,网络软件无法运行,会直接对网络的安全产生影响,因此,保证网络软件的完整性能够有效保障网络的安全。从另一个角度讲,网络性能也在一定程度上影响着信息网络的安全控制。在网络的数据传递过程中,一旦网络性能出现问题,就会直接影响数据传输效率,极易导致传输过程中数据的丢失与破坏,因此,有效控制网络性能也是保障网络的必要手段。
3 网络安全控制现状
3.1 缺乏建立防范措施
在信息网络中,由于网络数据的多样性和数据组成形式的不同,会导致网络中的数据库及其管理出现漏洞,造成网络程序的运行存在缺陷。网络中数据漏洞与程序缺陷的存在,使得信息网络安全面临数据盗取的威胁。分析缺陷出现的原因,能够得出缺乏在网络中建立起防范措施是其中一大重要因素。防范措施的缺少,使得网络中程序设计的漏洞无法得到及时填补,造成在程序运行过程中,漏洞不断恶化,使得网络数据面临威胁,进而影响到网络的安全。
3.2 网络操作不当
信息网络的表现形式有很多,包括企业局域网络的建立,商业网络信息管理和网络数据交换等,在网络的不同表现形式中网络操作的要求也不尽相同。而在网络系统的多种形式中,由于网络操作人员的操作技术不成熟而出现操作不当,也会在网络中形成安全漏洞。在安全漏洞上继续开展网络会造成漏洞进一步扩大,对网络安全构成威胁。信息网络的操作不当通常是由于操作人员缺乏必要的安全意识,加之操作技术掌握不牢固,也是形成漏洞的原因之一。
3.3 网络病毒入侵
网络在为数据交流搭设平台的同时,也为病毒的入侵提供了机会。由于网络具有公共性,在信息网络中,资源能够得到有效共享,也造成了网络病毒的扩散。从病毒入侵网络的方式角度讲,能够将病毒入侵方式分为很多种。普遍存在的是通过病毒进行密码破解,这种情况通常发生在网络中的企业网络管理和商业性的数据网络交流。密码破解是指通过在指定的网络中植入密码文件病毒,通过网络程序的运行带动病毒密码文件运行,再通过病毒中的密码破译工具进行密码破解,达到数据盗取的目的。其次是通过病毒进行网络的非法入侵。网络黑客通过制造病毒,使其直接对网络漏洞进行访问,通过漏洞进行数据的盗取,破坏。
4 信息网络安全控制技术分析
4.1 防火墙技术
防火墙技术是目前应用最为广泛的网络安全控制技术。防火墙技术是通过在网络之间建立起更为深入的网络访问控制关系,以防止外部网络用户通过非法途径入侵到内部网络,防止内部网络中的数据受到侵害。防火墙的建立是通过对多个网络传输中的数据进行检测处理,并以此决定数据能够经过协议允许而作进一步的传输,被检测的数据在传输过程中仍继续受到防火墙的监视,以保证传输的数据在对网络数据安全构成威胁时立刻对其进行处理。从网络安全体系中的层次角度分析,防火墙以其最为基础的网络安全防护形式处于防护层的最底层,这也使得防火墙技术具有网络安全防护技术的性质。防火墙作为网络安全控制部件,同时具备网络硬件和软件的共同特征,既能够对网络数据传输过程中的数据传输边界进行界定并开展有效控制,也能在对网络数据资源开展保护,进而实现对了信息网络数据的有效控制。就防火墙设立的不同技术内容分析,防火墙能够划分为网路地址转换型,包过滤型,检测型和型四种类型,由于不同类型的防火墙采用不用的数据处理技术,因此在网络防火墙的实际应用中应根据实际需求进行选择应用。
4.2 数据加密技术
数据加密技术是通过数据置换或数据变换等方法对数据内容进行变形,进而达到数据保护的目的。数据在经过变形后,会经过网络中的数据传输途径进行传输或储存。由于传输的信息经过精密的数据加工,并且对应的数据也需要特定的数据码进行翻译,所以利用数据加密技术能够保证网络数据传输过程中的安全性。伴随着当下信息网络技术和数据信息技术的突飞猛进,数据加密技术进一步提升了对数据完整性的保障和数据身份的鉴定。为实现数据的完整性,数据加密技术子添加了数字签名程序,通过签名对数据内容进行标记,并同数据内容一起发送出去。在接收端接收到数据后,首先要将数据签名与对应的数据进行比较,进而判定数据内容是否完整,以此实现数据完整性的有效控制。
4.3 安全隔离技术
从信息网络数据传输中的风险角度分析,信息网络安全面临的威胁主要来源于网络中的物理部分,协议部分和实际应用部分。就网络安全威胁中的物理部分分析,网络数据传输线路的破坏以及信息设备中网络数据传输元件的损坏,都是来源于信息网络物理部分的安全威胁。信息网络中协议部分的安全威胁则包括网络中邮件地址的伪装,病毒粉碎后碎片对系统的攻击以及带有病毒的软件装载造成网络数据破坏等,由于网络中的协议能够对病毒会黑客起到有效的防御作用,因此协议部分的安全威胁主要表现为协议漏洞,及时对网络协议进行漏洞修补变能够有效避免网络中病毒的入侵。实际应用部分中的安全风险主要来源于网页中恶意的数据代码,带有病毒程序的恶意邮件等,由于信息网络中实际应用部分中存在的病毒攻击途径较多,因此网络数据在实际应用部分所面临的威胁也最大。为有效提升网络环境中数据传输的安全性,安全隔离技术被广泛应用于信息网络数据传输过程中。安全隔离技术是指通过在网络数据传输途径中建立起安全隔离通道。通过在数据传输过程中使用专用的数据传输通道和特定的数据安全协议,以保证数据在交换过程中与外界网络环境相隔离,以有效避免网络环境中病毒数据和黑客的数据侵略。数据隔离通道还能够在通道的内外实现安全的数据交换,这也使得安全隔离技术能够在更为广阔的领域中加以应用。
4.4 入侵检测技术
网络入侵检测技术的实质是利用网络中的硬件和软件对网络系统中传输到数据进行实时监控,通过将数据与病毒数据的特征进行对比,以此判定数据的特性,一旦发现数据存在病毒数据的特性,便立刻对该数据进行处理,以有效保证网络系统中数据的安全性。在对病毒数据处理的过程中,通常采用的处理方式是按照信息用户定义的处理方式对病毒数据进行处理。入侵检测技术最为鲜明的特点是利用数据检测技术对网络系统中的数据进行检测,通过对病毒数据作出及时的处理以有效避免病毒数据带来的网络威胁。在入侵检测技术的应用中,数据检测程序通常布置在信息网络设备的数据接收端口,对网络系统中的数据流直接进行监控,为进一步提升入侵检测系统对病毒数据的检测效率,通常会在病毒检测程序中设立网络数据协议,以协议的形式对网络中病毒和黑客等侵略行为进行有效识别,并通过网络系统进行对应处理。为保证入侵检测系统能够高效识别病毒数据,应及时更新系统中的病毒数据库,保证数据库中的病毒数据信息能够与当下的病毒特征形成对应关系,以此保证网络数据中的病毒识别程序能够对新型的病毒数据加以识别,进而提升入侵检测系统的病毒识别能力,提高对于病毒的及时防控能力,进而保障网络安全。
5 结束语
为适应社会对信息安全的需求,建立起有效的网络安全体制十分必要,通过加强完善信息网络安全控制方法,将虚拟网络安全和数据安全管理进行有机结合,从而实现对信息网络安全的有效控制。基于目前我国信息网络技术基础,开展对网络数据安全控制的研究,进而实现对信息网络安全的充分控制,并为我国日后的信息网络安全技术奠定坚实的发展基础,实现我国信息化建设的宏伟目标。
参考文献:
[1]刘天光.信息网络安全技术浅析[J].北京:电子工业出版社,2011.
[2]冯东国.浅析信息网络系统工程建设中存在的问题及解决方案[J].信息系统工程,2012.
[3]张咏梅.信息通信网络数据安全讨论[M].北京:清华大学出版社,2011.
[4]李天顺.浅析信息网络安全技术在当下网络发展中应用的必要性[M].北京电力学院出报社,2008.
[5]张茂辉.伦入侵检测技术在网络安全中的作用[J].四川理工学院学报,2009.
[6]于文林.信息与信息网络安全技术研究[J].信息技术周刊,2011.
[7]陈阳.浅析信息网络安全防范策略[J].信息技术周刊,2012.
作者简介:陈锦(1979.10-),男,贵州瓮安人,助教,研究方向:计算机科学与技术。
对网络安全工作的建议篇7
多机协同作战的前提是实现无人机群自主测控通信一体化,也就是必须组建具有较强通信能力、信息感知能力和抗毁性强的无人机网络。该网络必然是一个动态性很强的网络,网络的拓扑结构快速变化,不断会有节点加入或离开网络。因此,移动自组织网络(AdHoc,简称AdHoc网络)是非常适合于建立无人机网络的技术[1]。
1无人机自组网的概念与特点
无人机自组织网络也称作无人机AdHoc网络,是由无人机担当网络节点组成的具有任意性、临时性和自治性网络拓扑的动态自组织网络系统。作为网络节点,每架无人机都配备AdHoc通信模块,既具有路由功能,又具有报文转发功能,可以通过无线连接构成任意的网络拓扑。每架无人机在该网络中兼具作战节点和中继节点两种功能:作为作战节点,可在地面控制站或其它无人机的指令控制下执行作战意图;作为中继节点,可根据网络的路由策略和路由表参与路由维护和分组转发工作[2]。在无人机AdHoc网络中,由于无线传输范围有限,无人机间的路由有时需要多个网段(跳)组成。如图1(左)所示,无人机节点C和地面控制站(GroundControlStation,GCS)无法直接通信,但可以通过节点B和地面站以CBGCS路由进行通信,或通过节点D、A和地面站以CDAGCS路由进行通信。但由于无人机飞行的不确定性,节点C的快速移动使其处于节点D的通信范围之外,此时,网络拓扑将会发生变化,如图1(右)所示,路由CDAGCS也随网络拓扑变化而不可用。无人机AdHoc网络除具有独立组网、自组织、动态拓扑、无约束移动、多跳路由等一般AdHoc网络本身的技术特点以外,还具有以下作战使用特点。
1)抗毁能力强。无人机AdHoc网络可以在不需要任何其它预置网络设施的情况下,能够在任何时刻、任何地方快速展开并自动组网,可以动态改变网络结构,即使某个节点的无人机受到攻击,也可以自动重构网络拓扑,不会影响其它节点,并克服了单机工作时易受攻击而影响作战成功率的弱点,其网络的分布式特征、节点的冗余性使得该网络的健壮性和抗毁性突出。
2)智能化高。无人机AdHoc网络具有高效的路由协议算法,能够及时感知网络变化,自动配置或重构网络,保证数据链路的实时连通,具有高度的自治性和自适应能力。另外,无人机自组网可以实现信息共享,能够将所接收的信息进行处理,并自主决策,实现作战任务智能化。
3)功能多样。无人机自组网后就具有所有终端的功能,各无人机优势互补、分工协作,形成有机整体,获得比单机更好的作战效能,而且还可以获得很多组网后的增值功能,这也就意味着无人机的功能有了更大的扩展,所以应用范围也得到了拓宽。
2国外无人机自组网研究情况
很久以来,国际上包括美国在内各国无人机使用主体上一直采用后方中心与单个无人机直接通信的控制模式。随着技术的发展和需求的变化,各国开始意识到未来无人机的工作模式会逐步从“单机———后方中心”模式转向“机群———后方中心”模式[3]。近年来,美国和欧洲已经正式把无人机的发展列入到“网络中心战”的系统框架中。美国国防部2005年的《无人飞行器系统发展路线图,2005~2030》中就勾画出了未来无人驾驶系统(UAS)的通信网络与全球信息栅格之间的关系,指出无人机作为一个信息节点必将连接未来的全球信息栅格。该文件还指出,未来无人机将以AdHoc网络拓扑进行通信自组网,而全球鹰和捕食者无人机自身就应具备支持AdHoc网络的能力,并提到了自组网设计,以及相关的宽带路由器、跨层通信协议、高性能网关等方面的问题[4]。目前,国外无人机自组网研究尚处于初级阶段。例如,美国Colorado大学基于AdHoc网络研究了无人机组网技术;JohnsHopkins大学提出了基于AdHoc扩展的无人机群通信体系结构[5]。另外,DanielLihuiGu等人将无人机作为路由器节点在分级AdHoc网络中负责路由信息的采集和分发,并通过改进AdHoc分级状态路由协议HSR,解决了AdHoc网络中可用带宽随着节点增多而逐渐减小的问题。LiZhihua等人提出用无人机作为中继节点,结合AODV和DTN路由协议,解决了在高度分散的AdHoc网络中数据的远距离传输问题。TariqSamad等人提出建立无人机AdHoc网络将在城市网络中心战中更好地发挥无人机的优势,可使得战场信息的捕获和传输更加及时[6-7]。BROWNTX等人则进行了无人机自组网的试验,通过在无人机上加装自组网设备进行了语音传输实验,验证了在能够接受的传输质量和相同的吞吐量条件下无人机自组网可以延伸的通信距离[8]。但是,由于战场环境的复杂性和无人机的特点,目前国外无人机自组网研究还只是集中于网络体系结构、通信协议、网络管理、拓扑控制、安全管理等技术理论方面,距离实际应用还有待时日,国际上还未见具体应用的报道。目前通用性较好的数据链,如美国的CDL和TCDL、英国的HIDL等,都还只是支持点对点组网模式或广播模式,还不符合“网络中心战”的概念和接入“全球信息栅格的设想”。
3无人机自组网的关键技术
无人机AdHoc网络作为AdHoc网络的一个应用领域,其网络参考模型[9]应具有相同结构,如图2所示。但是,无人机AdHoc网络是适应无人机特点和无人机作战环境而组建的自组织网络,有其自身的独特性,在媒体接入控制、路由建立与维护、服务质量保证和网络安全管理等各个方面都有不同于一般AdHoc网络的特殊要求,是一个涉及路由协议、MAC协议、服务质量、安全协议等多个关键技术的一个复杂网络通信系统。
3.1路由协议
开发良好的路由协议是建立无人机AdHoc网络的首要问题,同时也是研究的热点和难点问题。无人机高速飞行使得无人机AdHoc网络的拓扑始终高速动态变化,一般的AdHoc网络路由协议不能完全适用于无人机网络。因此,根据无人机特点设计快速、准确、高效、扩展性好、自适应能力强的路由算法成为无人机自组网的一个至关重要的研究课题。目前,根据发现路由的驱动模式的不同,一般AdHoc网络路由协议分为先验式路由协议、反应式路由协议和混合式路由协议[10]。先验式路由协议能够及时更新路由表,准确反应网络的拓扑结构,具有获取路由时延小的优点,非常适合有实时要求的应用。但是,由于先验式路由中节点之间要不断交互路由信息,当网络规模较大、移动速度较快时,会消耗大量的带宽和节点能量,同时也浪费了一些资源来建立和重建那些根本没有被使用的路由。当网络规模和移动性增加到一定程度(超过某个阈值)时,大部分先验式路由方案都不适用。目前已经提出的具有代表性的先验式路由协议有DSDV、WRP、OLSR、CGSR、FSR、GSR协议等。反应式路由协议是一种需要时才查找路由的路由选择方式,可按需建立拓扑结构和路由表,具有降低开销和节省网络资源的优点。但是存在初始路由延迟大、有“广播风暴”和单向链路问题,不适合高速移动的源和目的节点的通信。典型的反应式路由协议有DSR、AODV、TORA、ABR、SSR协议等。单纯的先验式或反应式路由协议都不能完全解决路由问题,结合两者优点的混合式路由协议理具有实用意义。这种协议既可以减少路由开销,也能有效改善时延特性,如ZRP协议。但是,混合式路由协议也面临诸多困难,如簇的选择和维护、先验式和反应式路由协议的合理选择以及网络工作的大流量等问题。
3.2MAC协议
由于无人机网络节点的移动性、链路的易变性和缺乏中心协调性,使得无人机网络媒体接入控制(MAC)协议的设计极富挑战。设计低时延、低能耗、高信道利用率、较好公平性并支持实时业务的MAC协议也成为无人机自组网的关键问题和研究热点。MAC协议的核心问题是如何协调多个用户共用一个信道实现高效可靠传输,它直接影响到网络的吞吐量和端到端延时等系统性能。针对不同的信道接入方式,目前,AdHoc网络的MAC协议一般分为以下三类:基于竞争机制的MAC协议、基于调度机制的MAC协议和混合类MAC协议[11]。竞争类MAC协议采用竞争的方式来接入无线信道,若竞争信道失败,则根据所采用的退避算法来修改其下次竞争接入信道的时间或概率,其性能主要由所采用的竞争机制决定。目前己经有大量基于竞争机制的MAC协议提出,其中比较典型的有基于单信道的ALOHA、CSMA、MACA、MACAW、IEEE802.11DCF、FAMA等和基于多信道的DBTMA、DCMA、多信道CS-MA、DCA-PC等。调度类MAC协议就是将无线信道资源按照频域、时域和码域的方式划分,以一定的调度机制分配给网络中的节点使用。目前基于调度机制的MAC协议一般都依赖于基于时分结构的AdHoc网络系统,例如STDMA、TSMA、USAP、USAP-MA、TRA-MA、TDMA-W、DMAC等等。为了解决竞争类与调度类MAC协议在不同网络环境下应用受限的问题,有学者提出混合的接入策略,称为混合类MAC协议,例如PTDMA、混合TD-MA/CSMA、ADAPT、Z-MAC、Funneling-MAC等协议。由于AdHoc网络本身不依赖于网络基础设施,而且节点出入网络频繁,所以在实际中竞争机制的接入方式成为首选方式。但是在某些特殊情况下,比如要求QoS或者节省能量,采用调度机制和混合机制的MAC协议将会得到较好的效果。
3.3服务质量
实现高速可靠的数据链是支撑无人机网络各种复杂业务的一个根本,服务质量控制也成为无人机自组网的一个关键技术。然而,因为AdHoc网络的特性,使得传统的服务质量控制算法和协议无法正常工作。因此,设计适用于无人机AdHoc网络拓扑结构高动态变化,并且网络资源严格受限的高效、低复杂度的QoS控制机制也是无人机自组网的一个重要研究内容。AdHoc网络的多跳性、拓扑易变性、控制分布性和带宽受限性等特点,使得实现服务质量(QoS)保证[12]需要网络中各节点上的各个协议层相互协作,共同完成,如图3所示。目前AdHoc网络的服务质量控制机制包括:系统QoS模式、QoS信令协议、QoS-MAC访问控制、QoS路由算法等[13]。系统QoS模式定义了网络中为用户提供的各种业务的质量标准和等级,标志最终应该达到的系统设计目标。QoS信令协议是业务服务质量的控制中心,包括当前网络无线资源信息的收集、计算、分配、预留和释放,各个用户间业务请求的应答、调度等功能。QoS-MAC访问控制则根据高层协议确定的数据传输任务,完成相邻节点间的最终数据传递。QoS路由算法负责在网络中搜索满足信令系统给出的服务质量要求的从源节点到目的节点的路径。QoS信令协议、QoS-MAC访问控制、QoS路由算法相互配合以实现网络QoS模式中定义的服务质量控制保障。
3.4安全协议
由于不依赖固定基础设施,AdHoc网络相对于传统网络更易受各种安全威胁和攻击,这使得安全问题在AdHoc网络中更受关注。无人机自组网本身受限的网络资源、动态变化的网络条件,以及战场环境的复杂性,使得安全机制的设计和实现非常困难,安全协议的设计就更显得尤其重要。传统的安全机制,例如认证协议、数字签名和加密,在实现AdHoc网络的安全目标时依然具有重要的作用。但是,AdHoc网络还有适合其自身特点的安全策略,主要包括安全路由、密钥管理、访问控制和认证机制等[14]。安全路由是对现有基本路由协议的安全扩展,主要是采用了加密机制、认证机制、入侵检测机制等一些传统的安全方法,并进行相应的调整,以适应AdHoc网络环境。密钥管理用于解决密钥的产生、分配、存储、销毁等问题,是AdHoc网络安全技术的关键内容。访问控制用于限制系统内用户的行为和操作,包括用户能做什么和系统程序根据用户的行为应该做什么两个方面,防止非法用户进入系统和合法用户对系统资源的非法使用。认证是指对节点身份的合法性或者消息来源可靠性的验证,是各种安全策略所依托的最基本的安全服务。无人机自组网只有综合运用这些安全策略,才能提高网络的安全性和可靠性。
4无人机自组网面临的问题
4.1高速移动需要更好的网络协议
尽管国际上对AdHoc网络技术的研究已经开展多年,但是通常研究的AdHoc网络节点移动速率较慢,移动速率在5m/s~15m/s。但是,无人机的飞行速度每秒可达几十米,甚至上百米,和一般节点移动速度可能有数量级上的差别,这对网络性能提出了极大的考验[15]。由于节点高速移动,会造成网络拓扑变化频繁,势必会导致更多的分组丢失或错误和网络路由的重新选择,将会大大增加网络开销,加剧网络阻塞,影响数据传输时延,也会给媒体访问控制和路由算法设计带来更大的挑战。无人机自组网必须设计时延低、公平性好、信道利用率高的媒体访问控制协议和开销低、自适应性强、可靠性高的路由算法,以解决无人机高速移动带来的诸多问题。
4.2安全管理需要更好的安全策略
安全性对于网络来说是一个非常敏感的问题,无人机将来作为网络中心战的重要一环,其安全问题更是受到特别关注。无人机面临的作战环境非常复杂,除了要克服无线链路和移动拓扑等固有的安全弱点之外,还要防止诸如被动窃听、主动入侵、信息假冒等各种信息窃取和攻击。这就要求无人机自组网必须研究与设计适用性好、安全性强的分布式安全策略和方法。但是网络安全作为网络正常运行的一种保障,不应该也不允许占用节点大量的资源,不能因为增加了安全措施,降低了网络性能,影响了网络的正常运行。因此,无人机自组网在解决安全问题的同时,还必须做好安全机制与网络通信性能之间的平衡。
4.3信息处理需要更强的机载处理能力
无人机自组网的无线传输带宽有限,另外还要考虑无线信道竞争时所产生的信号衰落、碰撞、阻塞、干扰等因素,使得链路带宽更加受限、链路容量时变性强。如果对于大量的包含很多冗余的无人机信息不进行预处理,会直接会影响信息传输效率。但是,由于受技术和机载环境的限制,无人机机载平台的处理能力相对有限,不能对信息进行预处理,这不仅增大了系统通信负荷,降低了工作效率,还会增加信号在发送过程中被探测的概率[16]。因此,无人机自组网还必须解决好网络带宽有限和机载预处理能力相对不足之间的矛盾。
5结束语
对网络安全工作的建议篇8
贴近IPv6前沿、开拓万兆带宽的应用已逐渐在一些先行实验网上稳步前行。
武汉光电国家实验室(Wuhan National Laboratory for Optoelectronics )是科技部批准建设的五个国家实验室之一,得到了上至国家部委、下到地方省市的大力支持。
锐捷网络也积极参与到武汉光电国家实验室的科研网络建设。目前,IPv6网络已正式投入到科研工作中。
网络整体结构
整体网络采用三层架构,分为普通办公区、重点科研部门两大部分。普通办公区采用Cisco 6509交换机作单核心;采用锐捷RG-S3550-24/RG-S3550-12G千兆三层交换机作汇聚骨干,上联Cisco 6509;采用锐捷RG-S2126G/RG-S2150G两款功能强大的安全二层交换机作接入,千兆上联到汇聚骨干。重点科研部门则采用锐捷RG-S6806E多业务万兆交换机作核心,双万兆10GBASE LR链路捆绑互联,IPv4/IPv6双出口线路分别与华中科技大学Cernet和Cernet2节点对接互通。
办公区内部使用IPv4私有地址,出口处进行NAT转换。重点科研部分使用IPv4公有地址作办公,使用IPv6全球可聚合单播地址作科研。
需求描述
建设前期,光电国家实验室信息化网络面临的一般状况主要是:网络规模较大,用户数多;用户将进行各种实验测试,网络应用复杂;网络安全隐患大。而其面临的特殊状况则是:海量实验存储数据如何高速转发;如何保证网络安全和信息保护;如何保证对下一代网络新技术的充分支持。
因此,从客户的需求考虑,建成后的网络应该满足以下两种类别的要求:一、从基本层面上,锐捷网络需提供:高性能的数据转发、设备协议支持丰富、具有常见安全防范能力;二、从高级层面,锐捷网络还需要提供:高级别的网络安全功能、IPv6等下一代网络技术(协议)的支持、海量存储数据的高速传输。
详细实施情况
该项目从2005年8月开始破土动工,历时7个月的精心打磨,于2006年3月份正式完工(中间经历了长时间的土建工程整改延误时间)。建成后的网络,完全满足了客户两个层面的不同需求:
一、高速数据传输:实验室的普通办公区完全实现千兆骨干,百兆到桌面的高带宽接入。在关键科研部门,高端核心RG-S6806E交换机提供了两条万兆的骨干线路,以及可扩展1.6T的背板,使海量的实验数据传输达到线速转发的可能。
二、丰富的协议支持:对动态路由的成熟支持;对各种交换技术的支持;对多种应用协议的支持;并提供完善的QoS支持。
三、超高级别安全功能:分别针对不同的应用和不同的网络通信环境,采取不同的措施,从管理环节、攻击防范环节、病毒防范及用户隔离环节都充分保障用户的网络安全。