网络安全服务总结篇1
关键词:金融服务;外汇管理;网络安全
中图分类号:F830.92文献标识码:B文章编号:1674-0017-2016(12)-0098-03
一、引言
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
近年来,利用网络漏洞实施网络攻击,造成金融信息泄漏、金融服务中断的事件屡见不鲜。2015年我国金融行业遭受网站仿冒页面10.62万余个,占总量的59%,发生数据外泄事件33起,被盗数据77605972项,遭遇1Gbit/s以上的DDos(分布式拒绝服务)攻击近38万次,金融领域已成为网络安全防护的重点。
基层外汇局承担着辖区外汇管理改革和相关外汇服务的职能,信息化应用和网络规划较早,现所有业务受理、数据监测统计都依托系统和网络开展。近年来,系统经过了多次升级完善,但网络未进行较大改进,已经无法满足新时期网络安全的要求,急需采取措施防范风险。本文通过分析当前基层骨干网络存在的安全问题,研究安全网络应具有的特性,提出安全防控的建议,旨在建立安全可信的网络环境,确保基础网络和关键信息系y的安全运行。考虑到网络自有信息的敏感性,本文对网络产品型号、参数配置等信息进行了屏蔽。
二、基层骨干网络基本情况
(一)基层骨干网络的定义及作用。基层骨干网络是指国家外汇管理局(以下简称“总局”)和各省分局之间,通过租用运营商线路,形成的独立的、专用的网络。区别于公共互联网以及人民银行分行到总行、分行到中心支行的网络,专门承载外汇局各业务系统和内部门户的基础支撑网络。骨干网络涵盖终端、服务器、网络设备和运营商线路等硬件,各类操作系统、数据库、中间件、安全防护等软件,独立ip地址、权限管理和运维应急手册等相关制度。
(二)基层骨干网络的历史和现状。20世纪90年代我国互联网应用初期,分局与总局之间采用拨号上网的方式互联,2000年分局申请了与总局的帧中继专线。
随着网络技术的发展和外汇局信息化要求的提高,2003年底,为了实现骨干网全网提速,支持新兴的网络应用,全面提高网络可用性、稳定性和可靠性,在总局的统一部署下,对分局骨干网络进行了扩容改造。改造后的骨干网继续采用原有的星型拓扑结构,分局增加了1台路由器,通过租用电信运营商2条专用链路,与总局核心路由器直连。制定了分局ip地址管理规范,和总局上联的路由设备及分局服务器使用外汇局网段的ip地址,pC终端部分保留外汇局的ip地址,作为人民银行的一个虚拟网络管理,其余终端使用人民银行的局域网络和网段的ip地址,并通过地址映射访问分局服务器和总局网络。外汇局基层骨干网络雏形基本形成。
2008年为进一步优化网络结构,总局为分局骨干网络新增了2台交换机和1台路由器。将原来与总局连接的2条捆绑2m链路拆分,将其中1条连接到新增的路由器上,重新部署动态路由协议,使得拆分后的2条链路实现热备和负载均衡。2台新增交换机通过堆叠方式互联,并分别与原有的及新增的路由器连接,另一边连接分局内部网络。内部网络方面,分局与辖内中心支局使用人民银行广域网连接,与辖内商业银行使用人民银行金融城域网实现互联。至此基层骨干网络构建完成,一直沿用至今。
三、基层骨干网络安全特性研究
(一)总体来说,安全的网络要遵循以下几个原则。1.平衡分析原则。绝对安全的网络是不存在的,也没有存在的必要。在设计网络时,要综合考虑需求、风险和实现代价这三方面的因素,平衡三者之间的关系,确定最优的方案。
2.网络安全原则。网络安全体系应当包括安全防护、安全监测和安全恢复三个方面,能对各类安全威胁进行及时防护,第一时间发现并阻止对系统造成的攻击和在安全措施失效时及时进行应急处置和内容恢复,减少带来的损失。
3.高可用性原则。网络是基础环境,通过其上运行的各类系统和应用实现价值。因此网络要满足应用提出的稳定性、可靠性和方便性等要求。
4.可发展性原则。整体规划设计要综合考虑网络规模的升级改造,网络结构的优化调整,要求网络能适应规模及安全需求在一定时间和范围的变化,具有可发展性,容易进行调整和升级改造。
安全的基层骨干网络应通过应用当前最新的网络技术和产品,设计合理的网络结构,满足当前外汇业务系统需求并预留足够的可扩展性,在兼顾方便高效的同时,符合网络信息安全的要求。
安全的基层骨干网络要具备以下特性。
1.网络结构合理,功能区域明确,网间边界清晰。
2.采用必要的线路和设备冗余,避免单点故障,提高整体网络的可用性。
3.对网络中的ip地址进行合理规划,采用访问控制和身份认证等手段,防止未经授权的用户和终端接入内部网络。
4.构建运行维护及应急响应等管理机制。
四、基层骨干网络安全防控建议
(一)按功能分区优化网络结构。为了确保合理的网络结构,骨干网络应按照功能划分为三个区域。骨干网络上联区域(以下简称“上联区域”)、分局局域网服务器区域(以下简称“服务器区域”)和分局局域网终端区域(以下简称“终端区域”)。所有区域采用设备冗余和链路冗余的方法,防止发生单点故障。最外层部署核心路由器,一端通过运营商线路和总局网络相连,另一端通过防火墙和里层核心交换机相连接,核心交换机的另一端分别与分局局域网中的服务器区域和终端区域相连。
(二)拆分链路,调整与总局互联方式。总局两地三中心广域网的主体结构,采用光传输线路,分别是生产中心与同城备份中心基于裸光纤的链路、生产中心与灾备中心基于SDH的链路、灾备中心与同城备份中心基于SDH的链路,形成底层数据的光传输环状主干网络。
基层骨干网络与总局的互联方式需要调整,首先由原来租用单一线路运营商的2条SDH专用链路改为租用两家线路运营商各1条SDH专用链路,提高线路可用性。其次调整互联目的地,原来2条线路均接入生产中心,新的骨干网络1条线路接入生产中心,另1条线路连接灾备中心,两条链路互为备份。当连接生产中心的线路出现故障时,分局网络通过连接灾备中心的线路,经过总局环状广域网与生产中心连通。该调整,既保证了与生产中心的链路冗余,又实现了与灾备中心的互联,在满足安全要求的同时,节约了成本。
(三)从管理和技术入手,构建网络安全。安全的网络要拥有合理的网络结构,有效的安全防护策略和完备的日常管理。基层骨干网络主要从结构优化、身份认证、访问控制、杜绝单点故障、安全产品选择和运维保障等方面构建安全的网络。
结构优化:基层骨干网络按照功能进行分区,与人民银行内部网络实现分离,分局终端统一部署在人民银行网段,网络结构清晰明确,便于安全防护。
身份认证:采用固定ip地址对接入网络中的终端进行身份标识,通过maC物理地址绑定的功能实现身份认证,当终端发起上网请求时,首先判断其ip地址和maC物理地址是否匹配,匹配的情况下,终端才被容许接入网络。同时,关闭交换机中不使用的端口,防止其它非法计算机和用户接入网络。
访问控制:对网络中的ip地址进行分组,根据访问需要,制定组与组之间的访问策略,容许满足条件的访问,防止条件外的非法访问,禁止各分局之间的直接访问。同时关闭网络设备的pinG、teLnet、Ftp、Snmp等高危服务,严禁协议数据、业务数据和管理数据以外的数据在网络中传递。
杜绝单点故障:基层骨干网络应采取双机热备模式,即网络中配置双路由器、双通信链路、多交换机和双防火墙。每个节点由原来单一的设备改造为两台同型号设备,分别定位为主备设备,主备设备间要实现互联,主设备发生故障时,备设备要在规定时间内接管主设备的任务,提供不间断的网络服务。
安全产品选择:基层骨干网络在关键设备上均应采用我国自主研发产品取代现有的国外设备。
运维保障:构建运维保障长效机制,从管理的角度实现网络安全。编制《分局信息安全管理办法》、《系统运行维护制度》、《应急预案》、《网络设备用户手册》等文档。内容涵盖网络日常巡检、安全风险评估和应急响应等,具有详细的操作流程和实施步骤,并在日常工作中严格执行。
参考文献
[1]李伟.网络安全实用技术标准教程[m].北京:清华大学出版社,2005。
[2]朱萍.计算机网络信息安全及防护策略研究[J].科技资讯.2016,(2):29-30。
[3]王世伟,曹磊,罗天雨.再论信息安全、网络安全、网络空间安全.中国图书馆学报,2016,(4):4-28。
[4]杨晨.信息时代下计算机网络安全技术初探[J].网络安全技术与应用,2014,(1):108-109。
[5]宋欣蔚.计算机网络可靠性研究[J].信息与电脑:理论版,2016,(6):158-159。
theStudyontheBackbonenetworkofSaFeBranches
BasedontheperspectiveofSecurity
wanGmengyang
(Xi’anBranchpBC,Xi’anShaanxi710075)
网络安全服务总结篇2
关键词:计算机网络安全;网络技术;网络管理
中图分类号:tn71文献标识码:a
1关于网络安全的定义和具体的特点
从根源上说,网络安全是网络中的信息安全,是体系中的软硬件等不扰。不受到不当的更改等,为保证体系的运行顺畅,网路活动一直持续开展。站在使用者的层次上来看,其总是想让那些牵扯到个体以及和商业等的数据在网络中才传递的时候受到精准的维护,防止别的人对其干扰,比如偷听以及改动等等。站在运作者和管控人员的层次上来看,其总是想让所在区域的数据方位以及其他的一些活动受保护,防止存在病毒以及不合法的存取等等的一些现象出现。防止黑客的干扰。
对于网络的安全来讲,结合它的本质的明确,要具备如下的一些具体的特征。第一,机密特征。具体的说是信息不会传递给那些没有受到权限许可的个体。在体系中,所有的层次中多有不一样的机密特征,同时还有具体的应对方法。从物理层来讲,要确保实体不会按照电磁的体系来外泄信息,在运行领域之中,要确保体系结合授权带来服务活动,确保体系在何种时刻都不会被那些没有授权的人运行,不会扰,不会入,同时也不会出现顺序的错乱等等。第二,可用特征,它是说使用者可以访问而且结合规定的次序运行信息,也就是说确保使用者在需求的时候能够访问相关的信息内容。对于物理层次来讲,要确保信息能够在非常差的氛围之中活动。对于运行层次来讲,要确保体系能够为授权者带来活动,确保体系可以有序的运行,此时人不能够否认其信息。而接受人不能够否认获取的信息。
2关于当前的具体状态
由于电脑和通信科技的高速前进,此时信息的保密性等受到人们的普遍关注。网络本身的开放性和共享性等等的一些特征使得其中的信息稳定性受到干扰,同时因为体系中的一些不利现象的存在等,使得网络容易扰,所以是用的方法要能够综合的处理面对的不利现象,以此来确保信息精准合理。目前的体系和协议并非是完整的。
所谓的网络的安全,具体的说是探索和电脑有关的安全事项。实际的讲,其探索了安全相关的内容。任何电脑都不能够脱离人而存在,网络的安全性不但要借助于技术层次的方法,同时还要靠着法规层次中的一些方法。客户/服务器计算模式下的网络安全研究领域,一是oSi安全结构定义的安全服务:鉴别服务、数据机密、数据完整、访问控制服务等;二是oSi安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:oSi结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。
3关于网络安全的应对措施
如今的网络安全是一项非常综合的活动,其是一个整体。它由很多个要素构成,比如应用体系以及防火墙等等,任何独立的组件是不能够保证安全的。(1)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略;(2)防火墙技术。防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提高内部网络的安全。(3)入侵检测技术。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段。实时入侵检测能力之所以重要,是因为它能够同时对付来自内外网络的攻击;(4)安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。如果说放火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然;(5)网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
4关于网络的安全管控活动
安全管控是对全部的电脑网络的应用体系里的多项安全工艺和产品等开展综合化的维护,进而提升整体的防御水平。最开始的时候,人对于其安全的认知只是一种单点模式的,比较不集中的。容纳后的体系都使用不一样的安全装置来获取与之对应的安全功效,现在的安全设备不是很集中,所有的安全活动要单独的开展配置工作,各个管控设备间不存在有效连通特征,不过因为各类科技和产品的组成体系非常的繁琐。假如管控工作者要设置综合的安全策略的话,要对不一样的装置开展单独的维护活动,尤其是在总的安全方法要调节的时候,一般无法综合的分析总体的一致特点。
网络管理的趋势是向分布式、智能化和综合化方向发展。(1)基于web的管理。www以其能简单、有效地获取如文本、图形、声音与视频等不同类型的数据在internet上广为使用;(2)基于CoRBa的管理。公共对象请求体系结构CoRBa是由对象管理小组为开发面向对象的应用程序提供的一个通用框架结构;(3)采用Java技术管理。Java用于异购分布式网络环境的应用程序开发,它提供了一个易移植、安全、高性能、简单、多线程和面向对象的环境,实现“一次编译,到处运行”。将Java技术集成至网络管理,可以有助于克服传统的纯Snmp的一些问题,降低网络管理的复杂性。
参考文献
[1]张世永.网络安全原理与应用[m].北京:科学出版社.
网络安全服务总结篇3
关键词:中小型企业;nat配置方案;路由和远程访问
中图分类号:F49文献标识码:a文章编号:1003-2851(2010)07-0254-01
一、nat的概述
(一)nat的定义和类型。网络地址转换(nat),是一种用于把内部本地地址转换成内部全局地址的技术。nat技术可以把局域网内的ip地址隐藏起来而不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公用internet地址和私有ip地址的使用。
nat有三种类型:静态nat、动态地址nat、网络地址端口转换napt。其中静态nat设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址nat则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。napt则是把内部本地地址映射到外部网络的一个ip地址的不同端口上。
(二)nat技术的基本原理。nat技术能帮助解决令人头痛的ip地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部本地地址,通过nat把内部本地地址翻译成内部全局地址在internet上使用,其具体的做法是把ip包内的地址域用合法的ip地址来替换。nat功能通常被集成到路由器或者单独的nat设备中。
(三)nat技术的特点
1.ip地址是internet上非常宝贵的资源,通常一个机构所能申请到的ip地址数量十分有限,远远不能满足所有局域网用户的上网需求。这时可通过nat技术使用内部全局地址提供多个用户对internet的访问。
2.可使系统管理员自行设置内部网络地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构。
3.使用nat的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。
二、现代中小型企业的nat配置方案
某企业接入电信的aDSL,总服务器一台(2GRam、250G硬盘、两个10/100m网卡,操作系统安装windows2000Server),网线都已经做好,所有机器上用的都是windows2000Server的操作系统。
(一)分析。由于该企业只有一个内部全局地址,所以需要使用nat技术来将内部本地地址转换为内部全局地址。总服务器只需配置网络地址转换(nat)。与总服务器在同一网段内的客户机只需将其网关设置为总服务器的内部本地地址即可。
(二)实施过程
1.配置服务器nat地址转换――给总服务器分配一个内部全局地址221.56.1.10用于连接外网,用于连接内网的内部本地地址为192.168.2.1/24。配置网络地址转换的步骤如下:
(1)首先需要安装两块10/100m网卡,分别配置两个网段地址(内网网卡配192.168.2.1;外网网卡配221.56.1.10)。
(2)启动“路由和远程访问”。通过“开始――程序――管理工具――路由和远程访问”。默认状态下,将本地计算机列为服务器。如果要添加其他服务器,请在控制台目录树中,右键单击“服务器状态”,然后单击“添加服务器”。
(3)右击要启用的服务器(这里是本地服务器),然后单击“配置并启用路由和远程访问”,启动配置向导。
(4)出现欢迎页面后单击下一步。出现选择服务器角色设置页面,选择“网络地址转换(nat)”,接着单击下一步。
(5)在internet连接页面中选择“使用internet连接”,在下面的internet列表中选项“外网连接”,我们将让客户机通过这条连接访问internet,界面如下图。单击下一步继续。如图3所示:(提示:这一点非常重要,一定不能把内网与外网的接口选择错误,否则配置的nat就无法生效了。)
(6)接下来将出现是否启用基本名称和地址启用服务对话框,如果你没有DHCp和DnS服务器就可以选择启用,单击下一步。完成向导后系统将启动路由和远程访问功能并完成初始化工作。
2.客户机的配置。首先确定该客户机与总服务器是连在同一局域网内的。在安装tCp/ip协议并指定它们的网关是192.168.2.1。(注意:如果客户机从动态主机配置协议(DHCp)服务器接收其ip地址,请单击高级,单击ip设置选项卡,单击网关下的添加,键入nat服务器的内部本地地址,单击添加,单击确定。
(三)测试。首先用随便一个客户机pingnat服务器内部本地地址,即ping192.168.2.1。接着用客户机pingnat服务器通过aDSL获取的内部全局地址。最后用服务器ping客户机,如:ping192.168.2.50。当上述pinG均成功连通的话说明我们的nat设置成功,内部网络的计算机都已经被服务器所保护。
三、总结
一台服务器可以轻松的配置成nat服务器,当然前提是必须安装两个网卡。配置了nat的网络在安全性和可靠性方面大大提高。不过nat也存在着缺点,企业利用路由操作系统提供的nat地址转换功能,但这样不能享受服务器提供的Cache服务来提高访问速度。
网络安全服务总结篇4
关键词:信息系统安全措施
1网络系统现状
企业目前的网络现状是:整个企业的业务支撑系统服务器及数据存储设备都集中在总部。总部及所在地13个分支机构,传输线路是光缆;异地分支机构采用软件Vpn实现企业互联。本地网络是点对点的星型结构,总部单核心交换机设备,光缆在同一网管,经常因光缆的原因造成网络中断,线路改造势在必行。异地Vpn网络,用Ciscopix525用作Vpn设备,异地分支机构客户端用Ciscosystemclient4.0.5连结到公司内网。企业业务支撑系统与业务数据地公司信息中心,没有备份与异地备份。针对企业信息系统的现状,迫切需要提高企业信息系统安全与可靠性。
2对策
企业信息系统的安全涉及到网络的可用性、完整性和保密性,信息系统中的资源不受自然和人为的有害因素的威胁和危害。企业信息安全也采用数据加密、身份认证、防火、iDp等技术。
根据集团公司信息系统现状,主要采取以下措施:本地光纤自愈环;核心交换机及出口防火墙冗余、业务支撑数据及系统异地备份,制定严格的数据备份与存档制度,异地Vpn采用ipSecVpn策略,最终实现提高企业信息系统安全的目标。
2.1传输线路改造
传输线路的改造是这次企业信息系统安全升级的前提,只有线路传输系统可靠、稳定,业务运营支撑系统才能正常运转。利用现有的光缆及SDH技术实现了环网自愈,实现了2.5Gpp环,环网除了提供企业内正常的业务运营,利用SDH设备CpoS接口实现e1的绑定,为供集团公司安全生产监控系统、货运地磅系统组成专网,与公司内部所有网络隔离,只有调度室人员及少数分管领导可以使用,数据集中放在企业信息中心。SDH系统的CpoS接口可以根据生产网视频流量及地磅系统业务量的需要分配带宽,改造后的网络传输系统满足了企业对安全生产的实时监控,企业真正把安全放在第一位。
总部中心机房的核心交换机原有1台CiSCo6500,存在单点故障,曾经发生过6500电源故障,导致整个集团公司网络瘫痪,本次安全改造升级中新加1台CiSCo6500交换机,利用CiSCo的HSRp技术做双机,既消除单点故障又实现了负载匀衡。
核心路由器原有一台netSCReeniSG-2000,再增加一台JUnipeRSRX3400,由于设备型号不同不能做双机热备。为了防止设备故障造成的网络故障,我们采用两台设备做相同的功能配置,利用设备端口的冗余,实现故障时手动切换。
2.2服务器升级改造
在这次信息系统的安全升级改造中,对企业集团业务支撑系统的服务器作了重大改造。原系统设备:服务器iBm346,存储netGearReadynaS11002t的容量,升级为两台iBmX3850,再增加一台naS,形成双服务器、双naS的结构。设备分别放置在信息中心机房大楼和总部办公楼,实现了业务支撑应用系统、应用数据的容灾备份。设备的完善很重要,但是规范的制度同样很重要,我们制定的详细磁带及光盘备份策略,制定维护人员巡视制度及进出机房登记制度。科学的管理与网络设计保证企业数据的安全、可靠、可用,保障业务不间断。集中通一的数据管理,保证数据的共享,有利于数据维护、备份。
传输线路、核心交换设备、防火墙及应用系统服务器的冗余,为整个集团公司信息系统安全、可靠的运行提供了有条件与保障。
传输线路及硬件设备冗余是企业信息系统能可靠运行的基础,网络安全则保证企业信息不被攻击,企业信息资源不被非法使用和访问,保护网内流转的数据安全,网络安全我们采用的是“由外到内”及分级的策略。
2.3设置防火墙
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击。企业internet出口防火墙netScreeniSG-2000及JuniperSRX3400关闭所有不允许的端口及服务,配置DmZ区。集团公司对外服务器都放在DmZ区中,如web服务器、mail服务器等对外业务。企业内部业务支撑系统、oa服务器及Ftp服务器直连在核心交换机,双网卡同时与两台6500互连保证业务系统不间断运,防止外网用户的恶意访问。
内部用户按部门、业务不划分,分别划入不同的VLan访问不同的资源与业务。从逻辑上保证不同的用户只能访问相应的企业信息资源,不被授权的用户不能进入该网络。VLan的划分缩小广播域,也避免了广播风暴的产生,提高了交换网络的交换效率,保证网络的稳定,提高网络安全。针对逻辑子网中aRp病毒,我们采用了H3C的交换机实现了ip、maC、端口的三绑定,消除了由aRp引起的网络瘫痪。
企业内部的应用系统,按系统的重要性划分了访问等级,如财务系统的用户我们采用ip、maC绑定及KeY认证,不能访问财务系统的人没办法进入财务网,财务工作人员只能在指定的机器进行了操作;而oa、Ftp给相应的用户分配密码及访问权限,没有进行身份认证。
总部企业网络升级改造完成后,我们对异地Vpn进行升级。Vpn设备:总部Cisco7902,异地Cisco2811,采作ipSecVpn技术实现企业业务数据在虚拟专用网络上的安全传输.原有的Vpn系统作为现有Vpn系统的备用,一旦总部或分支机构硬件设备出现故障,还能保证异地业务正常运行。
网络安全服务总结篇5
关键词:网络管理,集中式网络管理,分布式网络管理,Corba
中图分类号:tp393文献标识码:a文章编号:1007-9599(2012)15-0000-02
1引言
计算机网络的迅猛发展,极大地推动了人类社会的发展,对人们的日常生活、学习、工作等各个方面都产生了巨大影响,计算机网络的应用已经广泛地渗透于全球的每个角落,为用户提供资源共享、交流、监控、通讯及信息传播等服务。但网络的快速发展在不断地发挥其优势和潜力的同时,其庞大的体系和错综复杂的结构也给网络的有效管理带来了极大的挑战。由于人类社会对网络的依赖度越来越大,网络在运行中出现的问题,可能会带来灾难性后果。因此,保证网络健康运行的管理技术,逐渐受到人们的重视。
按照体系的结构划分,可以将网络管理分为集中式网络管理技术和分布式网络管理技术。集中式网络管理技术具有结构简单、操作方便、成本低及透明性好的优点,但存在着大量缺陷:
(1)所有信息都通过中心站(中心网络服务器)对整个网络进行信息收集、分析和处理,容易产生通信瓶颈;
(2)中心站负荷太重,影响运行速度;
(3)各站点操作程序预先设定,功能固定,难以实现大规模扩展。由于网络规模的爆炸性发展,集中式网络管理暴露出的灵活性差、可扩展性差、可靠性差等方面的问题,越来越明显,已经不能满足故障诊断、计费、资源配置及安全管理等功能需求。为了克服集中式网络管理的困境,可以将管理工作分散到整个系统中进行分布处理,再将处理结果汇总,即网络管理工作按照一定的结构分拨给各个管理子站,分布式网络管理应运而生。
2分布式网络管理的体系结构
传统的集中式管理模式,中心站处于网络的中心位置,负责对整个网络进行统一控制和管理,中心站与网元节点进行相关信息交换,定期向网元节点发送查询信息,一旦中心站失效,将引起整个网络瘫痪。这样的体系机构必将导致风险集中。
分布式网络管理将复杂的网络管理任务划分为若干子管理域,网络管理任务由中心服务器转移到一个或多个远程工作站,每个子工作站负责一个域,各子工作站可以进行信息交换。分布式网络管理通常采用层次式管理,通过引入子工作站以达到减轻顶层中心服务器负担的目的,每个子工作站承担一个子网域的管理任务,并构建一个相应的管理信息库。在运行工程中,每个子网域的信息库记录本网内的运行状态和数据信息,在通过通信汇总到中心服务器的信息库中。在这样的体系结构下,中心服务器仅负责各资管理站的协调和控制,消除了通信瓶颈,提高了可靠性,更易于扩展。一个典型的分布式网络管理结构如图1所示。
3分布式网络管理的支撑技术——Corba
Corba是一种面向对象的体系,它为分布式异构网络环境下各类应用系统的集成管理提供了一种通用的技术规范和标准,使用Corba协议来管理不同的被管资源。Corba协议支持一个统一的、开放式的网络管理系统,独立于供应商,任何网络设备、操作系统、编程语言及网络环境下的基于Corba的应用,均能协同工作,并实现大规模扩展。各子工作站通过统一的Corba协议来实现对不同网络设备的故障、性能、安全性及配置的管理功能,然后通过中间件与中心服务器产生连接。
基于Corba的网络管理系统是目前应用最广的分布式网管系统。Corba的核心是一套标准化的协议、语言和接口,是由对象管理组织提出的关于对象技术和软件结构的一种技术性规范,支持易购分布应用程序的互操作及独立于语言和软件平台对象的重用。其特点为:
(1)软件系统采用面向对象的设计方法,对象的内部特征被完整封装,仅保留对象的外部接口;
(2)利用中间件作为事务,提出业务请求,使客户与服务方隔离,客户无需了解服务过程;
(3)使用软件总线技术,任何语言开发的管理软件只要满足接口规范,都可以在系统中实现集成。
Corba系统引入对象请求,即中间件,来接收客户机的服务请求。中间件接到请求后,分配能够实现服务的对象,利用相应处理方法,传递服务参数,待处理结束后返回结果。基于Corba的网络管理系统,为每一个分布于不同节点的对象提供总线及总线服务,此类总线不是通常意义上的硬件总线,而是软件总线,更直观的说是总线机制,只要各对象按照接口标准提出服务要求,并在总线上,就可以实现各对象间的互操作。通常客户可以利用Corba对系统进行管理,实现完整的网络管理系统,并访问被管理的资源,也可定义被管理对象,获得分布式和软件编程的简化,而被管理对象仍使用现有模型,从而可以充分发挥网络管理模型在管理信息定义和通信协议方面的优势。其结构如图2所示。
与集中式管理模式相比,基于Corba技术的分布式网络模型采用一个管理者管理一个局部域的管理模式,分散了网络管理的负荷,也分散了管理的风险,且同级之间可以相互通信,不需要所有任务都必须向上位机通报,降低了网络管理所需的信息流量,避免了网络壅塞。因此,网络管理规模的大小可以按实际需求任意调整,较适合大规模网络系统。但分布式网络管理的结构也存在缺点:很难确定各个管理者的权限,不能严格控制对设备的增删,相对而言安全性难以得到绝对保证。此外,由于Corba定义复杂,不同的供应商对定义的理解差别较大,当系统涉及到多家供应商的时候,接口调试工作比较复杂,且容易出现因为规范理解差别造成的难以发现的问题。
4总结与展望
随着网络规模的爆炸性扩大,网络管理的复杂性越来越大,适合于大规模网络管理的分布式网络管理模式在实践中得到了极大的发展,已被很多网络管理系统所采用,但也存在着安全性不足等缺陷。最近,智能技术逐步被应用于网络管理,不仅用于性能管理、配置管理、安全管理、故障管理和计费管理领域,而且在壅塞监控、容量配给、路由选择以及网络设计等多个方面得到广泛应用。可以预见,未来网络管理会向跨平台、交互化、分布式、智能化、面向对象、灵活性好、可扩展性好和可维护性好的方向发展。
参考文献:
[1]刘芳,赵磊.分布式网络管理技术的研究[J].科技创新导报,2010,5
网络安全服务总结篇6
关键词:安全模型;身份验证;ip;ipSec
0 引言
传统网络安全体系结构的注重点是数据安全,而不是网络基础设施本身的安全。在网络攻击不断泛滥的形势下,有必要将安全保护的对象由通信的数据转向通信的物理设备,没有安全的网络基础设施支撑,安全的网络通信如同空中楼阁。
1 面向报文信息的网络安全模型
目前,讨论的大多数通信模型是一方通过互联网传送报文给另一方,双方协调共同完成信息交换。如需要保护信息传输防止攻击者窃取和破坏信息时,就该在原有的通信模型基础上提供安全服务。目前有两类安全服务模型,即网络传输安全模型和网络访问安全模型。
网络传输安全模型是在数据发送或接收前对其进行安全转换,保证通信双方数据的保密性,避免攻击者窃取报文后直接读取,有时需要可信任第三方负责分发保密信息。网络访问安全模型是利用验证或访问控制等方式控制非授权网络实体非法访问资源。除上述两种安全模型之外,还有一种网络安全模型,旨在提供集成的网络安全,但仅仅是个一般概念上的描述模型,并非成熟实用。
网络传输安全模型,ipSec在tCp/ip网络层协议基础上提供了具体的安全服务框架,主要为数据通信增加安全保护,是网络传输较安全的一个实施方案。
2 安全框架lpSec
国际标准组织(iso)制订的is07498―2提出一个典型的传统网络安全体系结构(nSa),该结构描述了一系列的安全服务以及实现这些安全服务的机制。大多数安全服务可存在于iSo协议模型的任何一层,但其中ip层具有简单透明的优势,而其他协议层实现起来既增大系统开销,又会降低系统效率。于是,1etF工作组于1998年11月制定了全新的ipSec安全体系结构,一系列相关规范文档,推出多种ip层安全服务框架。
ipSec安全体系结构规范州详细描述提供的多种安全服务以及实现安全服务的多种安全机制。安全服务主要包括数据保密、数据完整性验证、数据源验证、访问控制、抗重发攻击等。这些服务通过安全协议eSp(encapsulatingSecuritypayload)和aH(authenticationHeader)实现,它们建立在密码技术之上,可提供多种加密算法和验证算法供用户选择。
无论是加密算法还是验证算法都要使用密钥,因此ipSec提供了密钥交换协议iKe(internetKeyexchange)。iKe是基于iSaKmp密钥交换框架定义的密钥交换协议,它定义了两个协商阶段。阶段一是建立一个iKeSa,可通过两种交换模式实现:一种是主模式交换,一种是自信模式交换。阶段二是建立一个ipSecSa,只能通过快速模式交换实现。其中安全关联Sa(securityassociation)数据库是一个三元组集合,每个三元组称为SaiD即。服务类型可以是验证服务(aH)或者封装安全净荷服务(eSp),Spi是端系统用来标识通信流的一个整数值。iKe协议是一个复杂的协}义,它用于动态地管理密钥,其安全性对ipSec提供的安全性影响至关重要。
2.1ipSec工作原理
无论ipSec以什么方式实现,其工作原理都类似。ipSec工作原理(见图2):当ip数据包进入或离开ipSec结构时,它会根据安全策略数据库(SpD)对该ip包进行相应的处理。当接口接收到一个ip分组(里面包含了ipSec头)后,从该ip包中提取安全参数索引Spi、目的地址、协议号――它们组成一个三元组SaiD,并根据该SaiD检索安全关联数据库SaDB,以找到处理该分组的安全关联Sa;对接收分组进行序列号检查、完整性验证和解密处理,最终恢复明文分组;从明文分组中提取源、目的地址,上层协议,端口号,构造出选择符,将Sa指向的SpD条目所对应的选择符与接收报文构造出的选择符进行比较,如果一致,再比较该SpD条目的安全要求与接收分组的实际安全策略是否相符,若出现不一致的情况,则将分组丢弃,否则继续处理分组。
当一个ip分组被发送时,其源/目的地址、协议号、端口号等元素构成选择符,并作为关键字检索安全策略数据库SpD,由SpD检索输出相应的安全策略有三种:一是丢弃发送报文;二是不进行安全服务处理;三是应用网络层安全服务,返回策略条目相对应的Sa条目指针。如果指针非空,则根据指向的Sa对该ip包进行相应的安全处理;如果指针为空,即SpD中没有建立对应的安全关联Sa,ipSec会通过策略引擎调用密钥协商模块iKe,按照策略要求协商Sa,并将产生的Sa填入SaDB中,并应用于待处理的分组。
2.2ipSec性能分析
我们利用工具CaStSJ(communicationanalysisandSim-ulationt001)对装有集成ipSec功能的netBSD操作系统的两台工作站进行了测试,从端到端tCp包通信的数据吞吐量和单向数据传输时间延迟两个方面来考察ipSec性能。测试分三类:运行未使用ipSec的服务(classl),运行具有ipSec验证功能的服务(class2),运行具有ipSec加密功能的服务(class3)。从试验结果可以明显得出以下两个结论。第一,相同时间内两端的平均数据吞吐量:classl>class2>class3,三类比值大约为15:11:5;第二,单向数据传输平均时间延迟:class3>class2>classl,三类比值大约为7:2:1。
虽然ipSec提供端到端的安全通信,但是,整个网络层安全解决方案是在操作系统内核中集成ipSec,这样必然会影响网络性能。并且,如果使用了ipSec服务,实时通信也会比较难实现。为了减少计算量提高网络性能,一个可行的解决方法是针对不同的数据实施不同的安全保护措施,对于不重要的数据可以不进行安全保护。
从空间复杂度角度分别对aH协议和eSp协议的两种模式(传输模式和隧道模式)进行了比较分析。在传输模式下,ipSecaH协议报头固定字段长度为12Byms,验证数据域(可选)长度12Byms,总共24Bytes。而ipSeceSp协议报头固定字段长度为10Byms,验证数据域(可选)长度12Byms,总共22Byms。在隧道模式下,ipSecaH协议报头固定字段长度为12Byms,还有新ip报头20Bytes,验证数据域(可选)长度12Byms,总共44Byms。而ipSeceSp协议报头固定字段长度为12Byms,还有新ip报头20Bytes,验证数据域(可选)长度12Bytes,总共42Bytes。
另外,从时间复杂度和吞吐量两个角度分别对ipSec中使用的加密算法3DeS和验证算法mD5,SHa-1、HmaC-mD5、HmaC-SHal进行了试验比较。试验结果为,对于同―种指令处理能力,数据吞吐量由大到小的算法依次为:mD5,HmaC-mD5,SHal,HmaC-SHal,3DeS,而HmaC-mD5的执行时间比mD5要长,HmaC-SHal的执行时间比SHal要长。
2.3ipSec数据源验证服务及存在问题
ipSec在网络层提供了多种安全服务,为现有网络以及下一代网络提供了一定的安全保障。其中,源验证服务使得ip报文接收者能确信整个报文未被修改,报文确实是从其所声称的源ip地址主机发送出来的。基于共享密钥实现的验证服务,是由aH协议提供的服务,其作用范围为整个报文,它利用密码技术和验证技术来实现,通过有密钥控制的Hash算法产生的报文摘要提供了基于密钥的报文验证机制,实现了报文完整性验证和数据源验证两方面服务。
上述服务存在一个前提,即主机ip地址已经存在。因为无论报文发送还是接收,需要根据报文选择符检索安全策略数据库SpD,数据库的每个条目是根据真实的源地址和目的地址建立的。但是ipSec数据源验证服务不能保证报文源ip地址的真实可靠性,无法检测子网内ip地址假冒报文,不能抵制ip地址假冒攻击。另外密钥协商过程比较复杂,而且需要用户参与,其透明度不高。
综上所述,ipSec数据源验证存在如下不足。
(1)ipSec需要通过用户密钥协商之后再提供数据源验证服务,而不能提供基于网络实体特征信息的密钥协商过程,对用户而言透明性不好。
(2)利用iKe进行密钥协商前,通信实体之间需要经过身份验证。主要有三种验证方式:预置共享密钥认证、数字签名和公钥系统。第一种方式并不实用,而后两种方式需要可信任第三方参与。整个密钥协商过程比较繁琐,性能不高。
任何一个网络安全解决方案不可能解决所有的安全问题,从上述两个问题可以看出:首先,ipSec着重从用户和信息安全角度保障通信数据的安全,而忽视网络通信实体的安全,不能提供安全的ip地址供接入网络的实体使用。而且目前针对网络设备的攻击屡见不鲜,存在多种基于网络实体的攻击方法,包括基于DnS攻击、基于路由器攻击、基于普通主机攻击和基于各种服务器攻击。其次,由于数据源验证服务基于密钥和ip地址实现,尽管在iKe密钥协商之前通信实体进行互相验证,但所提供的几种身份验证机制并不简单实用。再次,ipSec主要应用于建设Vpn网络,通过公网搭建企业内部网可大大降低成本,但是,由于其复杂性以及用户透明度低,目前ipsec应用于端系统尚不普及。
因此,在上述安全模型基础上应该考虑网络基础设施的安全性,在保证网络通信实体可信的前提下,再进一步提供可靠的安全服务。
3面向基础设施的网络安全模型
为了从根本上解决安全隐患,在源头遏制多种攻击的发生,应该从主机接入开始进行安全的管理和监控,因此一种新型的网络安全模型面向网络基础设施的安全模型被提了出来。所示为在转发设备可信、网络终端设备不可信的假设前提下,面向基础设施(主机)的安全模型。
主机a接入子网1时受到主机接入控制,主要是监测和控制主机a的身份标识和ip地址配置情况。其次,主机a收发报文时受到报文收发控制,主要是监测和控制主机a发送或接收报文过程中出现的异常情况,比如地址假冒或频率超高等。主机a的报文在网络传输过程中受到报文传递控制,主要是监测和控制报文在路由结点之间转发传递的报文完整性和真实性。最后,主机a的报文发送和接收全程受到信息安全控制,主要是端到端通信过程中数据加密,解密以及密钥管理等处理。
该模型假定转发设备是可信的,也就是说转发设备是不在主机接入控制范围内。如果把转发设备看作终端设备,只是比普通主机功能更强大,那么可以把假设前提定为转发设备和网络终端设备均不可信。在这种情况下,这个模型也是适用的,只是任何接入网络的物理设备进入网络时都要受到接入控制。
对于ip假冒,虽然ipSec在其相应前提条件下可以为通信的数据提供良好的源验证服务,但在网络设备的接入和ip地址安全可靠使用等方面没有提供较完善的验证服务,其前提条件较多不太合理,因此并不能提供可靠的数据源验证以监测ip地址假冒行为。在面向基础设施网络模型指导下,实体接入网络时增加安全控制机制,在此基础上通过网络层身份验证机制提供可靠的数据源验证,可以有效检测控制假冒报文。
4新的网络层身份验证机制
ipSec安全框架选择在网络层提供安全服务,其优点是不需要对其他协议层次作任何改动,可以为ip层以上协议提供透明的安全服务。网络发展趋势是everythingoverip,在网络层提供安全服务是最好的选择,可以屏蔽各类通信子网,而且不会影响上层的服务。但网络层所提供的功能必须高效快速,不应严重影响网络性能,否则将得不偿失,安全也就失去了意义。借鉴ipSec在网络层设计安全服务的优点,选择网络层作为设计的基础是合理的。
ip地址作为一个终端实体的身份标识,每个报文中所携带的源ip地址是否合法真实,报文是否为真正的实体所发送,通常可利用数据源身份验证机制解决。
身份验证系统至少应该有两个实体,一个是验证实体,一个是被验证实体。此外,还应该明确验证对象是什么?针对ip假冒问题,这里验证的对象是传输中的报文,如果验证通过说明报文中所声称的实体就是真实的报文发送实体,如果未通过则说明报文是由假冒实体发送的。因此,最初状态安全实体网络开始形成时,应该建立对象之间的验证关系和验证信息,实体和ip地址形成关联,然后利用它们监控网络内实体的报文发送情况,及时发现ip假冒行为。
结合面向网络基础设施安全模型和上述分析,身份验证机制分为三个阶段:
(1)第一个阶段,建立身份验证子网络,即建立实体间的验证关系。
(2)第二个阶段,建立实体身份标识和安全的验证信息,即为所有加入验证子网络的实体建立身份标识并且分配安全的验证信息,以便检测和控制网内实体的通信报文。
(3)第三个阶段,通信过程中检测和控制网内传输的报文,即利用上一个阶段所建立的验证信息检查报文的真伪,确定其是否为真实的实体发出的。
上述三个阶段的身份验证机制可有效解决ipSec存在的一些不足之处。首先,不需要事先存在ip地址,因为在第二个阶段时可以为接入的网络实体配置安全的ip地址。其次,第二个阶段后,验证实体可利用报文发送实体特有的安全验证信息检测接收报文的真实性,提供可靠的数据源验证,有效检测控制ip假冒行为,无需用户过多参与,增加透明度。最后,验证实体和被验证实体间密钥协商过程比较简单,可提高性能。
5结束语
网络安全服务总结篇7
关键词:
安徽省劳动和社会保险管理信息系统是为了满足市场经济条件下,深化改革中劳动和社会保险体制所面临的新问题和新要求,为了适应信息技术飞速发展的新形势以及为劳动和社会保险各项业务工作提供信息技术支持而建设的大型、分布式多媒体综合信息省级计算机网络系统。
该系统由省、地市、县三级组成,采用多层客户/服务器(Client/Server)模式和多用户集中模式,并与web技术相结合。即体现了集中模式的简便、稳定性和可靠性好、容易维护管理的特点,又发挥出客户/服务器模式的配置灵活、界面美观、处理能力强和适应范围广的优势,利用当今广泛流行的internet/intranet网络技术可实现诸如视频点播(VoD)、远程信息共享、电视会议、ip电话、ip/tV等多媒体应用,使用web技术,创建网站,发挥互联网在信息方面的优势,宣传政府形象,劳动保障各项政策业务信息。
一、规划概要
劳动和社会保险管理信息系统是为劳动和社会保险各项业务工作提供技术支持的计算机系统,是国家经济信息系统的重要组成部分,与国家人口、教育、工商、银行、税务、卫生等信息系统相衔接,信息来源于基层单位、劳动者个人、劳动和社会保障部门工作系统及社会经济各信息机构,以网络为依托,实行系统内信息资源共享。以适用、及时的数字和文字信息为基础,以客观科学的分析为手段,为劳动和社会保险工作重大决策和政策制定提供信息支持,为社会、企业和劳动者个人提供信息服务。系统具有以下特点:(1)该信息管理系统是一项庞大复杂的系统工程,工作量大,涉及面广,网络纵向覆盖全省各级劳动和社会保障机构,横向与财税系统、国库、卫生系统、企事业单位联网,是一个典型的广域网络系统。(2)系统设计是按照社会保险与个人帐户相结合的模式,以养老保险为重点,并以此为全省劳动和社会保险管理信息网络主干网络,带动劳动力市场等其他社会保险业务管理信息系统建设。(3)系统采用统一的运行及应用开发平台,以数据库为核心,着重于数据处理。系统前台要求操作简便、界面友好、安全可靠、适应性强、功能规范完整。后台各业务管理系统的“资源数据库”主要分散建在全省各中心城市,并以“扫描”方式进行信息采集,充分考虑数据库中个人帐户管理的安全性、可稽核性问题。(4)系统建设资金投入大,技术难度高,实施周期长,系统中各个业务子系统有的已有用于不同平台的、不同版本软件在各地应用,有的子系统的管理模式已趋于成熟,而有的子系统业务管理模式尚不成熟或需求不明确,暂时无法实施。因此,应根据劳动和社会保险制度改革和事业发展的总目标、总要求制定全省总体规划,分步骤建设,坚持一体化设计思想,以保证各业务子系统为将来形成统一的整体留有良好的接口和充分的余地。系统的上述特点,决定了整个系统建设面临许多难点,需分期、分段实施。就我省劳动和社会保险信息化的现状来看,主要存在的问题有(1)缺乏总体规划和方案设计,各地现有的社会保险信息系统标准不统一,系统不兼容,网络互联困难,信息无法交换,这对垂直性管理要求很强的劳动和社会保险工作是一个很大的制约。(2)各地业务操作规程差别很大,导致数据的表示和处理流程无法形成统一的标准。(3)随着国家统一的劳动和社会保险管理制度及其实施办法的出台,原有以单位为基础的帐户管理方式向管理每个职工个人帐户转变,劳动和社会保险业务量急剧增加,各地现存系统暴露出在功能、容量、安全性、可靠性、统一性等诸多方面不足。(4)在应用系统“软环境”方面,缺少即熟悉社会保险业务知识又具有较强计算机开发应用能力的复合性人才,再加上当今计算机和网络技术迅速不断地发展,因此必须对原有系统进行彻底的改造和重建。
二、系统总体设计
在系统建设过程中,根据劳动和社会保险管理信息量大、存储周期长、安全性和可靠性要求高等,我们遵循以下原则:第一、网络系统必须是透明的,网络的复杂性工作由信息系统管理人员承担,对于使用者来说只需掌握用户应用界面即可。第二、在中心局域网的基础上,利用DDn、X.25、pStn等多种通讯方式实现本地及省网络系统的互联,构成一个强大功能的广域网。同时,横向与政府等相关网络建立异构网连接平台,实现网络中心与建行系统以异种数据库互联方式交换数据,与财税、国库以内部电子邮件方式交换数据。第三、主机系统在充分考虑其先进性、开放性、高可靠性和扩展性的同时,必须具有强大的容错能力,能实现链路容错、双网备份、双路由备份及全链路备份,具备联机切换、联机在线升级和扩充能力,在系统出现故障时,保证系统的正常运行。支持冗余电源系统。第四、要有安全可靠的网络管理平台,以保障系统的安全
保密、稳定可靠。系统应提供密码和权限核查功能,对重要数据的使用、修改提供备份,对日常使用提供操作日志。第五、系统应采用C/S和B/S数据库运行方式,合理地分配前后台数据流向,使系统具有网络数据流量低,网络服务器利用率高,数据共享能力强等特性,能较好解决网络瓶颈的问题。第六、为保证系统数据录入的完整性和正确性,应用软件开发中应采用数据记录的全屏幕编辑方式,系统提供数据效验、完整性检验、数据字段屏蔽、中文提示、有效性存取和有效性引导等多种功能,使系统的可视性强,数据能方便的修改及录入数据错误几率低。基于多层次的网络管理体系是实现本系统高质量网络服务内容的关键。多层次、有效的网络管理可大大节省网络的运营管理开销。我们在劳动和社会保险管理信息系统中采用三层网络结构,即网络硬件的互连环境层,网络软件的增值服务层及多层次网络管理层。具体来讲,网络互连环境指传统意义上的网络互联设备,如交换机、路由器、拨号访问服务器等;软件增值服务包括(QoS)网络服务质量,(Security)安全,(Reliability)高可靠性,(Scalability)可扩展性等内容。多层次的网络管理对一个复杂的网络系统来说是必不可少的,它可以起到监控网络运行状态,统计数据流量,优化网络资源分配,诊断和排除网络故障的作用。内涵三部分:(1)设备管理用于配置、监控及统计拨号服务器,路由器,交换机等网络设备。(2)网络管理用来管理整体网络拓扑,诊断并隔离故障部分,从而增强网络的可靠性。(3)用户服务管理用于管理网上用户的权限及服务的种类,以及记帐功能,提高应用的服务质量。多层次网关系统具有分布式、集成化优点,结合最新的web技术能极大的促进和改善人机交互界面,实现系统网络管理平台的无缝集成,组成完整的端到端的网络管理系统。它是目前社保信息系统建设中较佳的解决方案。
三、网络系统
该网络系统由局域网主干和广域网连接构成,局域网主要采用交换式快速以太网技术和两级树型网络拓扑结构,能提供足够的带宽以适应较高吞吐量的数据处理需要。局域网由省劳动厅局域网、地市劳动局内部网、区县劳动局局域网组成,该三级网络平台主要为各级劳动部门提供各自信息交流的环境。其中
县级网主要用于采集、处理、存储本地区单位和个人的基本信息、基本劳动保障业务信息、统计信息和其他相关数据,并负责向地市网传送基本数据和业务统计报告。
地市网主要用于各地市辖区内劳动保障业务管理状况进行监测,采集、处理、存储县网的综合数据和相关数据,建设劳动保障业务各子系统的资源数据库,对劳动保险业务信息社会化查询提供支持,对省网的控制信息进行响应,并将综合数据和报告传送省网。
省网主要对全省劳动保障业务信息管理状况进行监测,通过对地市网资源数据库的扫描,采集、处理、存储市网的综合数据和相关数据,建立用于宏观决策的综合数据库,全省的综合数据和分析预测报告。
三级系统之间通过广域网络连接起来,每级系统分别处理各自业务信息。同时又相互联系,形成具有很好互联能力、扩展能力便于有效管理的计算机网络系统。省网和地市网的互联采用DDn、X.25做为主干线路,并用pStn做为备份线路,地市网和区县网采用电话专线/拨号线互联,整个网络系统中建立web网站和电子邮件服务器,用于劳动保险信息和省、地市、县三级机构间的电子邮件通讯。
由于本系统保存有全省职工的养老保险、医疗保险、劳动力资源和就业信息等各种重要数据,并且要保证连续数年保存历史数据,因此对系统网络中心的设备配置要求有:(1)省中心总控机房配备两台Compaq alphaServer4100小型机(64位RiSC结构,主频600mHz、4个CpU配备8m高速缓存,内存1GB、硬盘1tB,4路Smp总线),加上一个CompaqStorageworksRa7000外挂硬盘阵列共享数据盘柜构成双机机群系统。中心交换机采用CiscoCatalyst6505,可满足网络骨干/分布层和服务器集合环境中对千兆端口密度、可扩展性、高可用性以及多层交换不断增长的需要。系统软件平台采用Compaq的64bittrue64UniX操作系统,集群软件采用CompaqtruclusteravailableServerSoftware,主机上配有Compaq的内存通道技术以支持oracle的opS数据库,利用opS特性来提高数据库的性能。(2)一类地市主机系统采用两台CompaqDigitalServer7310小型机,主频600mHz、4个CpU,8m高速缓存,共享磁盘柜也采用Ra7000;二类地市采用两台CompaqDigitalServer5305,主频533mHz、2个CpU,4m高速缓存,共享磁盘柜使用Ra3000。一二类地市的主交换设备均采用CiscoCatalyst4003,主机操作系统均采用windowsnt,双机Cluster,软件采用Compaq的ClusterSoftwarefornt;县级主机采用Compaqproliant1600服务器,配有10/100自适应快速以太网卡,两个9.1G热插拔硬盘,采用磁盘镜像作数据容错。交换设备为CiscoCatalyst1912,操作系统采用windowsnt。(3)省网控制中心选用Cisco7204路由器构建广域网,市级选用Cisco3640配置了一块异步拨号模块做网络链路冗余,县级使用pStn拨号方式访问上一层地市网络中心,其它广域网设备有Cisco的piXFirewall防火墙系统和基带modem若干。(4)网络布线为开放式设计的结构化布线系统,采用星型网络拓扑结构,支持语音、数据、图象等数字及模拟传输应用。网络布线设计的信息点留有足够的扩充余地,每个房间布5个信息点,使用五类模块信息插座,所有的接插件是积木式的标准件,支持100mbps快速以太网和atm等多媒体宽带传输技术。
四、应用系统
应用系统从业务内容和使用对象上分为宏观决策、业务管理、基层管理平台三个层次。应用软件所具有的基本功能有:(1)信息:社会保险业务指南、信息公告、社会保险政策法规、国内外劳动快讯、信息导航、抽样调查、为您服务。(2)业务管理:各种保险缴费核定、费用征集、基金调剂、费用记录、待遇审核、待遇支付、基金会计核算。(3)决策支持:统计信息采集和分析,提供政策决策依据,监测政策执行状况,建立预测预警模型。(4)办公事务处理:公文流转、电子邮件、相关政务信息。(5)信息查询:内部查询(自服务系统),对外查询(使用电话、iC卡、触摸屏)个人帐户、单位台帐、基本档案。(6)系统管理:系统用户管理、系统日志管理、编码维护、数据安全维护、网络安全管理。
三个层次之间相互联系、互为依托,形成一个完整的业务处理数据流和有机统一的整体。
在宏观决策这个层次上主要
是基金管理状况进行监控,利用已有的统计性数据、监测数据和政策参数,对基金调剂进行指导,对政策进行敏感性分析,对基金支撑能力进行中长期预测。业务管理这个层次上又分为两部分---事务处理层和管理决策支持层。事务处理层是各级劳动保险机构业务数据的计算机处理层,采集的信息存入资源数据库,是管理决策支持层的基础。其网络规模较大,实时性要求高,软硬件和通讯设备投资较大。管理决策支持层直接服务于各项政策决策者,主要是对资源数据库“扫描”得到的信息进行加工处理,通过统计分析和模拟决策过程的专用模型等方法提供政策监控信息和分析预测报告,为管理决策提供支持,向事务处理层发送有关控制性反馈信息并由之进行响应。
基层管理平台直接面对用人单位、劳动者进行管理、服务和指导,包括参保单位的劳动、人事、工资、社会保险和财务管理等业务内容,是劳动和社会保险管理信息系统的基础。
事务处理层和管理决策支持层通过资源数据库进行衔接,资源数据库是业务信息的数据存放、交换、管理和处理集散地,通过对资源数据库进行网络“扫描”,可以获得准确及时的统计信息,是宏观决策的重要数据来源。
应用系统从构成上分为三层体系结构,即客户端、应用服务器端和数据库服务器端。客户端提供统一的用户界面,完成对用户请求的收集和结果显示;用户服务器处理用户请求,完成同客户之间的通信,建立与数据库服务器的协议连接,减轻客户端的维护工作量,有效降低网络负荷,增强应用程序的执行速度。数据库服务器则为应用服务器提供数据。这就是所谓的三层C/S结构。
应用系统数据库采用oracle数据库,一个能完全透明处理多重数据库和具有可携性和开放性的分布式关系性数据管理系统,支持多种操作系统平台和各种通讯协议,不同平台之间数据库可以相互移植,数据库核心与应用程序和网络环境可相互独立,并为应用程序提供一致的界面。该数据库在联机事务处理方面能提供高强度的系统吞吐量和不间断的连续运行能力。在数据装载、数据查询、数据库读写操作方面性能卓越,其性能监控和管理手段亦属上乘。做为一个面向internet计算环境的数据库,它改变了信息管理和访问方式,通过组合直观的HtmL界面和健壮的、基于浏览器方式的完善HtmL工具集,形成一个面向web信息管理的数据库系统。采用多元化、多层次的管理工具、连接工具及应用开发工具,包括:pL/SQL(数据库语言、api),SQL*net(联网产品),enterprisemanager(数据库管理工具),oracleDesigner(分析、建模的生成工具),oracleDeveloper(面向对象的多媒体应用开发环境),oracleJDeveloper(基于Java的高效开发环境),oracleReports(报表生成工具),oracleDiscoverer(数据库访问、查询和分析工具),oracleexpress(计算引擎和多维数据高速缓存)。oracle还提供基于角色的安全管理,将权限进行组合、动态生成,应用于管理系统的各个职能中去。
网络安全服务总结篇8
关键词:网络结构;子网划分;安全建设
中图分类号:tp393文献标识码:a文章编号:1009-3044(2007)18-31577-02
talkingaboutthenetworkConstructionofUniversityLibraries
LiHong-xia
(LibraryofDezhouUniversity,Dezhou253023,China)
abstract:thispaperdiscusseshoetosetupanefficientandsecuritynetworkofuniversitylibrariesformthefollowingfouraspects:thechoiceofhardwareequipment,thechoiceofnetworkstructure,sub-networkdivisionandsecurityconstruction.
Keywords:networkstructure;sub-networkdivision;securityconstruction
1引言
随着计算机技术的日益发展及在图书馆的广泛应用,尤其是目前图书馆集成管理系统、办公自动化系统和数据库支撑系统等的使用,图书馆中各部门处理的数据量日益增大,数据传递和资源共享等问题也日渐突出,促使图书馆管理从传统的单机单用户应用系统向以网络为中心的分布式多用户应用系统转变。如何应用计算机网络技术建设一个能够满足高校图书馆业务需求的网络环境日渐重要。
2硬件设备选择
高校图书馆的建设离不开网络的建设,而网络的建设同样也离不开硬件的选择,网络硬件主要包括:服务器、交换机、网卡、介质、路由器等。其中服务器和交换机作为网络的核心,尤其重要。
2.1服务器的选择
2.1.1选择原则
(1)产品配置和产品的可靠性、可用性及可扩展性,是建设数字图书馆选择服务器产品的第一要旨。
(2)易管理和易兼容是选择的根本出发点。
(3)价格和服务需要进行综合考虑。
2.1.2服务器的选型
现在服务器市场在系统架构上形成了两大阵营:RiSC和CiSC(ia),其中RiSC架构的服务器价格昂贵,而ia架构服务器以卓越的系统性能、合适的价位赢得了广大用户的青睐。ia架构的服务器从机箱结构上分为塔式和机架式,机架式服务器主要应用于iDC及iSp/iCp等需要大量服务器集中存放、集中管理的场合,塔式服务器主要应用于少量服务器分散存放的情况。考虑数字图书馆的需求特点,建议选择基于ia架构的塔式服务器作为图书馆的主要服务器选型。
2.2交换机的选择
目前的交换机的分类是按工作在oSi/Rm堆栈协议层来分,主要分为第二层、第三层交换机。对于第三层交换机的选择,由于不同用户的网络结构和应用都会有所不同,所以选择第三层交换机的侧重点也就有所不同。对于图书馆用户而言,一般要注意如下几方面:
2.2.1注重满配置时的吞吐量
与任何电子产品一样,选择第三层交换机时,首先要分析各种产品的性能指标,因为其它技术指标用户一般没有能力进行测量,惟有吞吐量是用户可以使用SmartBits和iXia等测试仪表直接测量和验证的指标。
2.2.2性能稳定
第三层交换机多用于骨干和汇聚层,如果性能不稳定,则会波及网络系统的大部分主机,甚至整个网络系统。所以,只有性能稳定的第三层交换机才是网络系统连续、可靠、安全和正常运行的保证。
2.2.3安全可靠
作为网络核心设备的第三层交换机,是黑客攻击的重要对象,这就要求必须将第三层交换机纳入网络安全防护的范围。这里所说的“安全可靠”,包括第三层交换机的软件和硬件。从“安全”上讲,配备支持性能优良、没有安全漏洞防火墙功能的第三层交换机是非常必要的。从“可靠”上看,因客观上任何产品都不能保证其不发生故障,而发生故障时能否迅速切换到一个好设备上是需要关心的问题。另外,在硬件上要考虑冗余能力,如电源、管理模块和端口等重要部件是否支持冗余。
2.2.4功能齐全
产品不但要满足现有需求,还应满足未来一段时间内的需求,从而给用户一个增值空间。
3网络结构选择
在网络交换技术阵营中占主流的技术已经越来越集中于以太网交换和异步传输模块式交换(atm),根据实际情况,高校馆一般需要建设成千兆宽带网,因此采用以太网技术作为主干网络技术。
4子网划分
图书馆的网络系统按照功能通常可以分为服务器系统、流通系统、工作系统、读者服务系统四部分。这些应用需求不同、权限不同的系统如果处于同一个子网中,不但会增加网络的负担,也会大大降低整个网络的安全性。此外,图书馆网络系统的规模通常会超过一个子网可以容纳的范围,因此,恰当划分子网就成为一个必然的选择。常用技术是通过三层核心交换机或路由器实现的虚拟局域网(VLan)。
VLan(VirtualLocalareanetwork)是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLan是在物理网络基础上的一种逻辑子网,建立VLan需要相应的支持VLan技术的网络设备。现在大多数交换机都支持VLan。而实现网络中不同VLan间的相互通信,需要路由的支持,通常可采用路由器,也可采用带有路由模块的三层交换机来完成。
5网络安全建设
制定完备的网络安全策略,实现图书馆网络安全,包括以下几方面:
5.1设备安全
在图书馆网络规划阶段应该充分考虑到网络设备的安全问题,根据网络拓扑结构和网络应用功能来配置服务器、选择服务器的档次及操作系统。为确保安全,图书馆网络必须采用服务系统容错机制,如服务器双工、服务器群集、磁盘双工、磁盘镜像、RaiD磁盘阵列等。
5.2口令安全管理
包括口令的选取、保存、更改周期、定期检查及保密等内容。
5.3加密
保护信息系统的一个主要工具就是给系统加密或给数据加密,但仍保持其可恢复的形式。利用加密软件,一个图书馆可以对电子邮件信息、文件和其他数据加密或编码,这样会使未经授权的用户难以查看数据。为了进一步减少侵扰的风险,也可以对系统所有传输的内容加密,包括登录名和口令等。
5.4身份鉴别
身份鉴别是指系统核实信息用户是否合法身份的过程。当一个用户需求某项信息服务时,必须输入自己的合法口令,然后在系统所规定的使用权限内,得到系统有效服务。设置身份鉴别是防止非法入侵者最基本的一种保护措施。
5.5防火墙技术
“防火墙”是一种形象的说法,它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和internet或其它外部网络之间的访问控制。具体地说,防火墙是设在被保护网络和外部网络之间的一道屏障,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
图书馆网络建设是一个循序渐进的过程,在应用中不断出现问题、解决问题,总结经验,才能把图书馆网络建设成一个高速、安全、稳定的局域网。
参考文献:
[1]杨立琴,赵忠仁.网络规划中网络划分问题[J].江苏煤炭,2000(4).
网络安全服务总结篇9
关键词:局域网;规划建设;安全性
1 引言
随着信息技术的发展,企业信息电子化工作越来越受到重视,进入二十世纪九十年代后,企业信息化工作不再单单满足于个人或单个部门的少量计算机应用,而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作,这就是基于计算机网络技术的局域网,即通常所说的企业内部网络。
通过建立适合企业体制、工作模式等状况的企业内部网络,能在企业内迅速实现高度的信息共享能力,并利用办公自动化(oa)、协同产品开发、供销存管理等各种应用系统,改变旧有的工作模式,从而大大地提高各种工作的能力、效率、质量等。正是因为企业内部网络能够为企业带来如此多的好处,近年来国内很多的企业,在企业网建设方面投入了大量的资金,建立了自己的企业内部网络。
2 局域网建设原则及目标
(1)在局域网建设中应遵循以下的设计原则:
前瞻性:网络应支持数据、图像、声音等各种信息的传输,并且能够适应未来技术的发展和变化,保证10-15年不落后。
灵活性:网络布线系统能够连接不同类型的设备,如微机、终端、服务器等。
开放性:网络布线系统能够支持任何厂家的任意网络产品,支持任意网络拓扑结构。
模块化:模块化设计一方面可以使设计清晰,便于使用、管理和扩充。一方面也加强了网络的安全性。
扩充性:网络应具有良好的可扩展性,容易将设备安装进去。
经济性:网络系统应做到一次性投资,以便将来有更大的要求时,很常年收益,维护费用低,总投资最少。
易管理:网络的设计因充分考虑今后的管理操作。
(2)局域网建设在性能方面主要达到以下几点要求:
高性能的网络系统:速度快,延迟低,无阻塞。
安全、稳定的网络系统:网络系统的各个环节均必须具有高度的安全性和良好的防灾难特性。
可管理性好:性能、故障、配置、安全管理等。
具备良好的可扩充性:能够适应将来铁路运输的发展的需要。
高可靠性:应确保很高的平均无故障时间和尽可能低的平均故障率。
3 局域网的建设
(1)网络拓扑结构选择
局域网拓扑结构是指传输介质将各种网络设备相互连接的方式。构成局域网的拓扑结构有很多种,其中最基本的拓扑结构为总线型、星型、和环型。在星型结构的基础上,经过实践,又演变出树型拓扑结构。根据几种结构的特点,考虑到总线型稳定性差、环型网络扩展性差,同时为降低通信线路的成本,选择了树型拓扑结构与其他几种结构结合使用。
(2)网络分层及组网技术
为减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
在组网技术选择方面,由于千兆以太局域网具有:千兆位以太网使用CSma/CD介质访问控制协议;网络容易升级,可以用较低的成本费用实现网络升级;千兆位以太网可用于多种传输介质;选用千兆位以太网,既能满足视频、多媒体应用的需求,又能兼顾以往的投资,并且有一定的前瞻性,能在一定的时间内保持网络技术的先进性等优点,所以选择组建千兆以太局域网。
(4)网络拓扑设计图
4 局域网网络安全性设计
网络所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
具体的局域网网络防病毒系统设计分为四个部分:
(1)系统中心
系统中心是整个网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时,根据管理控制台的设置,实现对整个防护系统的自动控制。采用一台xSeries206848224C作为防病毒服务器。在服务器操作系统windows2003server上安装瑞星杀毒软件网络版(企业版)。
(2)服务器端
在每台服务器上安装专门为可以应用为网络服务器的操作系统设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务,同时自动向系统中心报告病毒监测情况
5 结束语
企业局域网将所有相关的办公网络构成一个大范围的处理系统,以数据通信网或数据通信电路与远方的局域网或处理中心相连接,从而实现用户共享系统的全部或部分的资源。随着机构改革,业务范围和应用领域逐渐扩大,现代信息技术在企业中的应用前景将更加广阔。
参考文献:
网络安全服务总结篇10
关键词:Vpn技术;应用系统安全;身份认证;鹤煤集团
目前,鹤煤已经建立起一套统一的应用平台,包括oa系统、财务系统、档案管理系统,医保刷卡系统,邮件系统等。单位的信息网络是以信息中心机房为中心,所有应用系统服务器都安装在信息中心机房内的专属服务器区。各分支单位通过内部城域网和互联网线路和总部互联进行正常的办公。为业务的进一步的快速发展奠定坚实的基础。自应用平台运行以来,内部办公人员通过网络可以迅速地获取信息,大大加快了整体的办公效率,信息化效益得到彰显。
1 需求分析
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
随着与联通以及电信的战略合作,一些原来在局域网内部的客户端现在需要通过联通或者电信的网络与中心机房进行互联,仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式,造成整体服务器区安全防护水平降低,若是遭到网络攻击服务器风险大。而如oa等重要系统所跑的数据都采用明文的方式在公网上传输,易遭到信息窃取、篡改等威胁。
目前在鹤煤城域网中,是一个大的局域,需要在原有的大网中对不同安全级别的应用系统进行逻辑隔离、安全加密、权限划分。
2 未采用Vpn技术前存在的问题
2.1 身份认证安全
之前,应用系统采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。
2.2终端访问安全
一旦远程终端通过Vpn接入到了总部的网络,总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙等一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而总部的防护设备又往往不能抵御Vpn隧道中的威胁。
2.3权限划分安全
总部内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。
2.4应用访问审计安全
为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。
3 鹤煤集团SSLVpn解决方案
结合鹤煤实际网络及应用情况,我们采用深信服SSLVpn设备进行安全组网,在核心交换上以旁路方式部署两台Vpn-3050-L3SSLVpn,内部用户和移动用户通过SSLVpn登录总部的网络。在客户端与应用服务器之间通过建立Vpn隧道,实现异地建数据传输的安全保障。通过上述的方案部署,可实现。
3.1 应用平台移动办公
采用SSLVpn对应用进行安全,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSLVpn登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的aeS、RSa、RC4等加密算法对传输数据进行加密,安全性有保障。
3.2 应用系统安全加固
在系统安全加固方面,采用登录SSLVpn身份验证、权限划分、登录应用身份验证的主线进行保障。SSLVpn接入认证方式可采用用户名密码、USBKeY、短信认证、动态令牌、Ca认证、LDap认证、RaDiUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSLVpn后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVpn登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。
由于登录SSLVpn的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
3.3 专网内隧道逻辑隔离,构建统一应用平台
对于已经建立专线组网的分支,将应用系统以SSLVpn资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭,但分支用户登录SSLVpn之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问总部服务器区的数据都将经由SSLVpn进行转发,对于用户权限外的应用,SSLVpn将自动阻断其连接,防止恶意盗链。
4 结束语
鹤煤集团采用SSLVpn对内部应用平台的统一,全面的保障了应用的安全性。结合SSLVpn身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制,保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。
SSLVpn的建立仅依托于浏览器中内置的SSL协议,无须在终端主机上安装任何客户端软件,十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为,对于用户而言易用性高、上手快。
同时,无须安装终端软件、贴合日常使用的访问方式,将大大降低管理员对整套Vpn系统的管理和维护工作量,也更易于整套远程办公平台的推广。