网络安全计划篇1
关键词:城域网;网络安全
前言
随着现今城域网的普遍使用,城域网方面出现的问题也越来越多,为了保证网络能够安全正常的使用,需要各部门对网络安全问题加以重视。根据网络功能的差别,可将城域网分为核心层、汇聚层和接入层这三个层次。根据业务不同,可将城域网分为接入业务、宽带上网业务及Vpn业务这三种业务方式。而本文就是针对各层次出现的不同问题,进行分析讨论,并提出相关建议。
1城域网的概念分析
根据网络功能的不同,可将城域网分为核心层、汇聚层及接入层这三个层面,同时因为各层的功能不一样,所以各层网络安全问题均不一样。核心层存在的目的就是对网络数据进行快速转换,促使核心设备正常操作;汇聚层的主要工作就是保护整个网络的安全运行,并利用合理有效的方案管理网络,是整个城域网中的重中之重;而接入层则是通过对接入业务、宽带上网业务和Vpn业务进行接入,以降低网络使用者对网络造成的危害。利用有效的监控手段调整网络安全,以达到网络优化的目的。
2网络安全规划设计对城域网发展的作用
2.1核心层的网络安全
城域网中的核心层,是决定网络数据能否正常快速交换的重要层次,且这一层次与多个汇聚层相连接,通过该层次与多个汇聚层进行连接,以达到网络数据间的高效转换,所以为了确保网路的正常运行,对该层次进行网络保护是比不可少的部分,增加该层的保护功能。核心层的网络安全主要考虑的问题是防止病毒入侵设备,而降低设备的操作性能,因此则需要对路由器这一网络互连、数据转发及网络的管理器进行正确操作,以确保网络使用更安全。因此则需要做到以下两点措施。第一点是在路由器之间的协议添加认证功能。就目前而言,动态路由器是核心层与汇聚层连接之间采取最多的连接设备,现常用的动态路由器主要分为oSpF、iS-iS、BGp这三种。而动态路由器的缺点是路由器动态设置会随着网络的拓展而改变,会对路由表进行自动更新,如果相同设置的路由器设备加入网络,该路由器会自动更改为网络上的路由设置,这样的行为可能导致网络信息的外漏,严重的时候,会阻碍网络上的路由表正常运行,导致网络崩溃。为了有效解决相关问题的出现,则需要在路由器设置中添加身份认证,只有通过身份上的认证,同区域的路由器才能互相分享路由表上的信息,以此保护网络安全。第二点则是遵循最小化服务的原则,关闭网路设备上不需要的服务。对此则需要做到以下几点:(1)保证远程访问管理的安全,在路由器信息进行加密保护,防止外界恶意访问的攻击;(2)端口限制访问,通过使用aCL端口进行访问限制,在设备接口上添加数据访问限制,增加网络信息过滤系统,减少网络病毒带来的路由器资源耗损,防止网络病毒入侵,促使网络系统崩溃;(3)增强对网络系统的检查控制,目前采用最多的是SnmpV3协议进行网络信息加密保护,在利用aCL控制Snmp访问,只允许访问设备信息,禁止复制设备信息,以有效检查控制网络运行情况;(4)禁止使用路由器不需要的服务,路由器主要分为软件和硬件的转发方式,转件转发的路由器是通过CpU软件技术进行网络数据转发的,也就是利用核心技术进行的数据转发,而硬件转发的路由器时通过网络上的硬件处理器进行数据转发的,所以使用正确的路由器服务,减少不需要的服务,促进路由器高速运行。
2.2汇聚层的网络安全
汇聚层是保护网络安全运行的重要层次,通过合理有效的方式管理网络,可以作为城域网中的管理层。为保证汇聚层能安全正常的操作,从接入网设备和各种类型用户这两方面进行分析,需要做到以下几点。第一点是接入网设备的安全,利用aCL控制接入网设备的访问,增加对汇聚层端口的检查控制,以达到对连接汇聚层的接入网设备的控制,确保接入网设备的安全。第二点是宽带小区设备的安全,为确保宽带小区网络设备的正常安全运行,需要采取以下几点措施:(1)调整BaS的部署方案,将BaS边缘化,对VLan设置下的用户数量加以控制,降低网络危害的出现,优化网络系统,从宽带接入服务器中体现出QinQ技术的特征,减少汇聚层中虚拟局域网的传播,因此BaS需要采用双上行的方式保护网络安全;(2)利用BaS+aaa验证服务器检验网络用户的身份,防止账号被盗情况的出现,帮助网络用户准确定位;(3)绑定pppoe拨号用户对VLan、端口及用户账号的设置,以防非原有用户对原有网络用的账号和密码进行盗取使用,同时也可以对上网用户位置进行准确定位;(4)为了防止用户账号出现非法共享和漫游资费的情况,需要宽带接入服务器和个人用户账号在radius设备中进行圈定;(5)依据BaS的内存和实际情况决定保留流量数据的多少,并控制使用BaS设备的用户数量,以保证网络安全正常的运行。第三点是从宽带专线用户方面,采取相关安全措施,对此可以做到以下几点:(1)控制用户端口连接的数量,以防止外界危害的入侵;(2)圈定使用用户的基本信息,确定网络用户的位置,阻止非法网页的入侵;(3)设置aCL设备的控制列表信息,通过对外界网页进行多层次的过滤,减少对网络设备的危害,并阻止危害网页消息的出现,确保网络更安全。
2.3接入层的网络安全
通过对接入业务、宽带上网业务和Vpn业务进行接入,以降低网络使用者对网络造成的危害。其主要连接方式是XDSL、Lan和wLan这三种,从用户的网络安全进行分析,得出以下两点措施。一方面是阻止侧用户端口的接入,利用物理隔离和逻辑隔离这两种方式进行网络隔离。其物理隔离主要使用的是单主板安全隔离计算机和隔离卡技术这两种隔离方式,以确保内部网络不直接或间接与公共网络进行连接,以此达到真正隔离的目的;而逻辑隔离则是采用虚拟局域网、访问控制、虚拟专用网、端口绑定等手段进行个人网络和公共网络间的有效隔离。通过以上两种隔离手段,有效保护个人网络账号信息的安全,以防外界用户对原用户的干扰。另一方面则是对用户宽带的流量加以控制,利用完整的软件应用能力和充足的流量管理经验,以达到完善用户网络的目的,促使接入层网络更安全。
3网络安全规划设计实行策略
根据城域网中各层次的特点,从不同方面分析城域网运行过程中出现的问题,采取不同的优化措施,制定合理有效的优化策略,严格管理控制网络数据和信息传送,促进城域网安全稳定的发展,并利用有效的控制手段优化网络信息,以确保网络正常安全的运行。除此之外,还需要网络用户对个人路由器信息进行认真设置,使用更高级的账号登录密码,防止网络病毒的入侵,导致自身网络系统瘫痪,使用正确的路由器服务,有利于网络安全平稳的运行。
4总结
综上所述,根据城域网各层次出现的网络安全均不同和网络所承接业务的不同,我们应采取合适解决问题的安全技术方案,改善城域网在各阶段的不足之处。在网络安全技术实行过程中,需要全面考虑到网络各方面的应用,制定合理有效的安全技术方案,利用合理的安全防护技术,改善城域网网络规划设计中出现的不足之处,只有确保城域网的整体安全,才能达到全面完善网络系统,从而促进城域网健康稳定的发展的目的。
参考文献:
[1]龚俭,陆晟,王倩.计算机网络安全导论(第1版)[m].东南大学出版社,2000.
[2]李逢天.网络运营中的网络安全问题及解决思路[J].电信技术,2002.
[3]杨建红.计算机网络安全与对策[J].长沙铁道学院学报(社会科学版),2005.
[4]刘建伟.企业网络安全问题探讨[J].甘肃科技,2006.
网络安全计划篇2
1、提高认识,健全广播电视安全播出系统
广电为党和政府的喉舌,是政府与人民群众联系的桥梁,做好安全播出具有十分重要的意义,为保证其播出的安全性,使其不受非法信号的攻击和破坏,除了现有的电脑多画面、多通道实时监测系统外,还要进一步完善广播电视安全播出的应急预案。
2、构建覆盖全市广播电视公共服务体系,确保全市人民文化需求
有线电视网可同时传输模拟和数字电视信号,因数字电视图像清晰,在网络传输占用的频带资源少,同时数字化是有线电视发展的方向,因此要推广数字电视,加快其数字化的进程,到2011年实现有线电视和地面广播电视数字化。
结合我国新一轮村村通工作实际,今后要继续在大荆、城北等偏远山区的采用有线电视联网、卫星小前端及无线广播电视转播等方法,争取在二零零九年使全市广大老百姓能够收听、收看到多套电视节目。
3、完善和建设好多种业务平台
(1)广播电视承载平台。该平台原则上传输传统的电视节目,包括模拟电视信号、数字电视信号。在传播信号的同时,要健全保证其安全、可靠运行的机制。
(2)数据业务支撑平台。有线电视网络利用自身的光缆网
络资源,可建设数据业务的支撑平台,为社会提供数据业务服务。
(3)iptV服务运营平台。iptV电视业务是新一代的数字电视业务,具有“互动性”和“按需观看”的技术特征,有直播、点播、时移、卡拉oK等功能,可提供消息服务、信息浏览等等业务。因此要建设好iptV这一增值业务平台。
4、进一步加强网络建设,为新业务的开展提供网络基础
要在数字化的条件下,精心规划有线电视网络的建设。要进一步加大投入,对现有单向的有线网络进行改造,逐步建成双向网,使广播电视网络成为真正的现代信息高速公路。
(1)加强网络技术标准化和施工规范化的建设。有线电视网络近几年得到了一定的发展,市区网络部和乡镇站有线电视改网进行得如火如荼,但是由于乐清目前还没有形成改网的技术标准和施工规范,每个地方对改网的要求和想法也不同,从而改网达到的效果也不同,因此网络质量很难得到保证,很容易产生重复投资。为了网络建设有统一技术标准、线路施工规范,20*年6月出台了台网络技术标准化、施工规范化建设标准,使工程的建设有了依据,网络的可靠性、安全性同时也有了保障。
(2)巩固现有的网络基础,加强网络改造力度。台总前端
到各个分前端的干线传输网尽量取消二次转发,距离较远可采用1550nm波长光缆,在网络中建设多个片区环形网,利用网络自愈功能增强可靠性。用户接入网HFC光缆到楼或路边,并留有足够的纤芯,在有条件的村和小区有线电视网络进行了750m双向网改造。
5、利用网络资源,充分开展多种业务
网络的价值只有在业务的开展中体现出来,没有好的业务,网络改造也就没意义,我们要以双向网改造为契机,健全和发展好多种网络业务。
(1)开展专业数据业务。利用光网络资源为各行业提供专用数据网业务,采用SDH技术进一步提升网络性能。
(2)开展iptV和互联网业务。日趋成熟的iptV技术成为宽带应用竞争的焦点和热点,传统电信运营商借助iptV技术切入被广电垄断的电视业务。没有发展就没有出路,广电要想在今后的竞争中不被淘汰出局,必须要利用网络资源优势,20*年我台着手网络双向化改造,利用Gepon技术发展基于HFC的iptV,为有线电视用户提供视频、语音、宽带等多种双向数据服务,真正实现多种业务融合。
6、建立内部技术服务保障体系
(1)建立广播电视资源共享系统。推动台内各数字孤岛的互联互通、资源共享。加强内容资源管理系统建设,把以存储为目的,转变为开发应用多种业务,不断满足多种播出平台和多种接收终端的不同需求,以适应数字网络融合发展的新趋势。
(2)用户管理系统。为网络覆盖范围内的所有用户建立一个详细的用户信息,授权相应的服务和建立对应的帐号系统。以用户帐务为核心,利用计算机与软件技术,对收费状况给出开通指令,对欠费状况给关闭指令。随着iptV的进一步发展,可实行按时间段和流量收取服务费。在全市范围内建一个客户呼叫中心,可快捷处理客户的投诉及要求,统计并分类记载期间的客户要求,利用电脑互联网技术向各个乡镇站分发的投诉和报修要求,可监督检查客户投诉的执行情况,提高服务质量。
(3)设备管理系统。网络中的多数设备如调制器、HFC光设备、放大器、分支分配器及今后的Gepon技术的设备等等,它们的工作状况直接影响到传输的质量,只有通过良好的HFC网络管理系统,确保传输通道的物理指标,在机房内监视和操控传输设备,确切知道故障的发生时间及地点,可以降低传输网络故障所引起的停播率,减少传输网络瘫痪“面积”。
网络安全计划篇3
关键词:计算机网络规划;设计原则;实现方式
计算机网络的连接方式主要是由网络设备和通信电缆组成的,伴随着新型设备的开发和广泛利用,在使用过程中,我们发现计算机网络中由于结构不同,会造成性能的不同差异,网络规划问题逐渐引起我们的注意。好的规划对于网络的发展来说至关重要,无论是对原有的计算机系统进行升级,还是新建网络系统,都要充分考虑网络规划问题。要做好网络规划问题,我们要了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划。
1网络规划设计的原则
1.1目标原则
用户的需求是我们工作的目标,用户满意不满意是衡量我们工作质量好坏的尺度。网络规划的设计要充分考虑用户的近期目标和长远目标,明确不同阶段的建设目标,根据实际情况确定协议集、计算模式、体系结构和网络上最多站点数目等,对整个网络系统的数据量、数据流量和流向有个清晰的估计。
1.2先进性、安全可靠性、开放性和实用性相结合的原则
⑴网络规划的先进性。网络系统的先进性是网络规划设计人员首先要考虑的原则,采用先进的组网技术,能够使所建网络在长时间内保持先进性,在以后相当长的一段时间内可以不被淘汰,既节省了资金又能适应网络规划中长期的发展。
⑵网络规划的安全可靠性。安全和可靠是组网非常重要的因素。为了保证组网的安全性,网络规划者应当从系统的安全性、拓扑结构、网络节点和通信线路等多方面考虑,保证整个系统的安全性和保密性,在多层次上以多种方式实现安全控制。
⑶开放互联性。要保证计算机有良好的通信互联能力,就必须采用当前最新的符合国际标准通信的通信协议和设备,支持开放的技术、系统组件和用户接口。
⑷经济实用性。组网的重要原则之一就是要考虑系统的性价比,考虑它的经济实用性。我们应当充分利用所投入的资金,根据用户的需求,在满足系统性能和可预见期内不失先进性的前提下,选择性价比最高、最经济实用性的网络规划方式。
1.3功能最完善、整体性能最佳原则
网络系统在规划时应当对主干网络和本地网的连接、技术的匹配、数据传输和网络操作系统的选择仔细论证,保证网络系统功能最完善。
2计算机网络规划的方法和实现方案
2.1需求分析
⑴环境需求。计算机网络规划需要考虑环境需求的因素,它既包括内部环境,也包括外部环境。
⑵设备需求。对于设备需求,我们应当从业务需求出发,考虑与原有系统的兼容问题,以及设备电源、个人计算机、主机和服务器、防火墙等网络设备。
⑶功能需求。功能需求要求我们考虑用户主要的网络应用和网络所传输的数据量,同时,分析网络总数据量和网络应用高峰的分布,关注网络应用的安全性和可靠性。
2.2可行性分析
可行性分析主要是根据用户目标、网络系统的目标和网络系统的集成要求,判断在现有的资金和技术环境下是否可行,能否达到系统目标的要求。
2.3网络总体设计
网络设计的任务是制定网络系统总体实施方案,主要是根据需求分析中提出的技术规范和种种性能要求以及设备选型和经费预算。总体规划设计的内容包括传输方式和传输速率;网络系统体系结构和拓扑结构;网络系统的基本结构和类型;功能和服务项目。
2.4网络分层拓扑结构
实现网络规划的重要一步就是做好网络分层拓扑结构,包括对核心层、分布层和接入层的选择和设计。对于核心层,考虑的因素包括地理距离、信息流量和数据负载等,主要做法通过千兆以太网来实现;分布层主要是根据网络信息流的特点,在整个设计中确定分布层是否需要,采用级联还是堆叠;接入层主要考虑布线系统费用和实现上的限制等因素,对于零散的远程用户接入,可以采用市话网络进行远程拨号访问。
2.5网络设备的选型和比较
构成计算机网络的设备比较复杂,包括网卡、网桥、网关、路由器、集线器、服务器、工作站、网络打印机、网络操作系统、管理系统以及应用软件、存储器等。在网络规划设计时,我们要充分考虑到这些问题,选择一种性价比最高、功能最全、最经济实用的规划设计方案。
综上所述,我们应当重视网络规划设计,在网络规划设计中,我们要遵循“强调总体规划、重视具体规划,利用分层规划,合理布线”的原则,设计时要综合考虑各方面的因素,在充分比较和反复论证的基础上,根据用户的要求选择一种性价比最高、功能最全、最经济实用的最佳方案。同时,了解和掌握网络规划的设计原则,明确设计思路,采取切实可行的措施做好网络规划,以最大努力建立一个功能完善、安全可靠、性能稳定的网络系统。
[参考文献]
网络安全计划篇4
1.1开放环境。目前,在网络安全领域及智能规划领域中,都没有对开放环境予以明确的定义,而对于开放环境下的问题研究却很多。在本论文中所研究的开放环境指的是,在计算机网络对应用者开放使用的条件下,硬件系统能够保障网络的正常运行,操作系统及软件能够为管理员及普通用户提供各个角色所需要的功能,即软硬件系统能够为应用者提供服务。
1.2网络安全。网络安全其从应用的角度包含设备安全、信息安全、软件安全。网络攻击者通过以计算机网络为基础的入侵达到窃取重要信息的目的,同时,也有部分计算机高手为达到某种目的,通过使用计算机网络攻击竞争对手的服务器,进而造成网络企业无法正常运营。本文所讨论的网络安全即是为了防范信息丢失或服务器攻击所采取的措施。
1.3智能规划。智能规划是一个动作序列,是一个智能体agent在初始状态(initialstate)下经过执行动作1,动作2,……,动作n这样的一系列动作,最后到达目标状态(goalstate),该一系列动作,我们也称为是这个动作的序列所构成的整体叫做一个规划。每一个规划问题(planningproblem)都要涉及到以下四个集合:一个操作的集合operators、一个对象的集合objects、一个初始条件集合initialconditions和一个目标集合goals,其中初始条件集合和目标集合的每个元素都是一个命题。
1.4规划识别。规划识别是人工智能一个重要的研究领域,是多学科交叉的一个研究领域,涉及到了知识表达、知识推理、非单调逻辑和情景演算等。规划识别问题是指从观察到的某一智能体的动作或动作效果出发,推导出该智能体的目标/规划的过程。
1.5入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1.6应对规划。应对规划是将规划识别和智能规划进行融合,实现识别与应对同时进行,针对敌方系统实施的敌意规划,采取一个动作序列来阻止、破坏敌意规划的执行,进而使我方系统不受到破坏或者将所受损失降到最小,这样的动作序列就称为应对规划(counterplan)。在作者蔡增玉的《基于应对规划的入侵防护系统设计与研究》一文中对应对规划赋予的定义是:为agent根据敌对agent的动作,利用规划识别技术发现敌对agent的目标和将来的动作,并采取适当的响应措施阻止敌对agent目标的实现,整个过程称为应对规划.在网络安全领域,敌对agent通常是指网络的入侵者。
2识别及应对模型
对于计算机网络安全的研究较多,但是,将智能规划与规划识别技术应用于该领域的研究却并不多见。本文在前期的理论研究的基础上,提出了开放环境下网络安全规划问题的识别与应对模型,进而得到了解决网络安全问题的新的方法。具体模型如图1所示。该模型的具体执行过程是根据针对服务器端或客户端产生的人为攻击,通过入侵检测的方法,检测到该动作后,对这一动作进行识别,并在此动作中提取该动作所导致的系统变化,将变化的结果作为当前系统工作的初始状态,将此状态传递至应对规划器,此规划器中以此状态为初始状态展开应对规划的求解过程,应对规划器均以系统安全为目标状态,并按照规划器得到的规划步骤,触发相关软硬件设备,逐步执行规划中的每个操作,使服务器端及客户端达到安全状态。该模型的核心在于攻击动作的识别及应对规划的产生。动作的识别主要依靠规划识别器,应对规划的产生则依靠应对规划器,将这两个部分进行组合,并应用到网络安全的问题中,进而对人为攻击计算机网络的安全问题有了解决的方法。
3总结
网络安全计划篇5
当前,新型互联网体系结构研究受到世界各国普遍重视,已成为信息网络领域最重要和最迫切的研究问题。美国FinD(FutureinternetDesign,未来互联网设计)计划针对不同角度对未来网络需求,支持新型体系架构、路由机制、无线传感网络和光纤网络等50多个项目的研究。美国Geni(Globalenvironmentfornetworkinnovations,全球网络创新环境)计划在2008年提出了SDn及openFlow技术,现已成为新型网络研究的热点。美国naSa启动SCan(SpaceCommunicationsandnavigation,空间通讯与导航)计划,通过实现深空网、近地网和空间网互联互通进而打造下一代空间网络。美国Fia(Futureinternetarchitecture,未来互联网体系结构)计划资助nDn、mobilityFirst、neBULa、Xia、Choicenet五个主要项目,从不同方面研究新型互联网体系。2012年,美国启动USiGnite计划(点燃计划),进一步完善信息网络与应用的基础研究。2015年,美国陆军启动了win-t项目,研发自组织、自愈合的新型综合军用网络。同时,美国的商业公司启动oneweb项目和o3b项目,开始超大规模卫星组网以及互联网接入服务研究。在亚洲,日韩等国也相继启动了新型互联网研究。日本于2006年启动了aKaRi(微光计划)项目,设计全新的互联网体系架构。2010年,日本启动nwGn(newGenerationnetwork,新一代互联网)研究与发展计划,目标是覆盖新一代网络研究各领域的核心技术成果。2008年,韩国设立FiF(FutureinternetForum,未来互联网论坛),以针对未来互联网的关键技术开展研究,积极探讨新型网络体系与机制。在欧盟,德国启动了G-Lab计划,研究未来互联网的新应用以及相应的新技术。2014年,欧盟Fp-7计划陆续启动了一系列H2020项目,比如:2014年的H2020-iCt项目关注信息通信技术,2015年的H2020-VitaL项目关注新型天地一体化网络,2016年的H2020-SeC项目关注网络安全,2017年进一步设立H2020-Fi项目关注未来网络架构。
二、我国研究现状
从“十一五”开始,我国973计划和863计划相继启动了一系列项目。“十一五”期间,973计划的“一体化可信网络与普适服务体系基础研究”项目,创造性地提出并设计了以“四种标识”和“三种映射”为特征的未来互联网新体系机理与架构,改进了互联网的安全性、移动性、路由可扩展性,以及可控可管性等能力;“多域协同宽带无线通信基础研究”项目,主要探索从根本上提高频谱资源利用率,力争实现宽带无线通信技术体系及核心关键技术的创新;“可测可控可管的ip网的基础研究”项目主要探究现有ip网的可测可控可管性;“新一代互联网体系结构和协议基础研究”项目,从互联网基本组成、工作原理和实现机理上,进行新一代互联网体系结构与协议和算法设计的研究;“认知无线网络基础理论与关键技术研究”项目,围绕认知无线网络体系结构的适变性、无线网络多域环境的认知性,以及认知无线网络管理与控制的自主性三大科学问题展开研究;“信息服务的模型与基础研究”项目,在信息服务的表达性和适配性两个关键科学问题的研究上形成重要创新成果,改变了传统信息服务研究的特定性和表观性,为互联网信息处理的本征研究奠定了重要理论基础。“十二五”期间,973计划继续支持了“面向服务的未来互联网体系结构与机制研究”和“可重构信息通信基础网络体系研究”。前者以面向服务为核心的设计理念,以服务内容命名驱动路由和数据传输,在体系结构和核心机理层面进行针对性的研究;后者侧重于构建一个功能可动态重构的基础物理网络,为不同业务构建满足其需求的逻辑承载网,以解决目前网络层“静态、僵化”导致的功能瓶颈。2013年,支持了“智能协同宽带无线网络理论基础研究”和“智慧协同网络理论基础研究”两个项目。前者重点研究了宽带无线网络资源的智能协同理论与机制;后者研发了全新的网络体系架构以及相关理论机制,创建了以三层(智慧服务层、资源适配层和网络组件层)、两域(实体域、行为域)为典型特征的智慧协同标识网络体系模型与总体架构。同期,863计划则在未来一体化标识网络关键技术和示范方面进行支持。2008年支持了目标导向类课题“身份与位置分离的新型路由关键技术与实验系统”,研究身份与位置标识分离的新型路由寻址体系结构及解决方案。2010年启动了“三网融合演进技术与系统研究”重大项目,将“面向三网融合的创新网络体系结构”列为重要研究内容。2015年立项的“未来一体化标识网络关键技术和示范”项目主要探究了一体化标识网络的关键技术,并进行了一系列实验验证。进入“十三五”,国家重点研发计划在2016年支持了“天地一体化网络信息安全保障技术”和“网络空间拟态防御技术机制研究”两个项目。前者主要从物理层、运行层、数据层3个层面分析天地一体化信息网络面临的威胁,并对抗干扰、安全接入、安全传输等安全保障技术进行研究;后者主要从拟态防御的科学问题和理论框架等方面对网络空间的安全问题进行探究。2017年,支持了“地址驱动的网络安全管控体系结构及其机理研究”项目。该项目以ipv6为基础,从源地址认证的角度入手,力图提高现有ipv6网络的安全性。此外,2013年2月,国务院8号文件将“未来网络试验基础设施(Ceni)”项目列入“国家重大科技基础设施建设中长期规划”;2016年12月,国家发改委立项支持“国家发展改革委关于未来网络试验设施(简称Ceni项目)重大科技基础设施项目”。虽然我国持续开展相关领域研究,但总体来讲,我国互联网技术相对于发达国家自主创新能力依然不足,互联网核心技术长期受西方发达国家主导和控制,对我国网络空间主权造成了重大威胁,使得信息化和网络安全方面的任务和挑战日益复杂多元。特别是在“互联网+”的大背景下,随着我国智能制造、高铁等核心技术的对外输出,迫切需要新型自主安全可控的网络体系与系统,需要在智慧协同网络的理论研究和技术方面的持续深入研究,为我国核心支柱产业提供安全保障和技术支撑。
网络安全计划篇6
关键词:计算机网络规划设计
什么是计算机网络,表面意思就是将多台计算机相连接,进而实现计算机与计算机之间的交流。其实,计算机网络的真正意思是指,由多台相对独立的计算机个体通过通信线路进行连接,并且必须遵守相关的通信协议,由专门的网络管理软件进行管理,最终达到各计算机之间的资源共享和数据传递的目的。随着信息技术的发展,信息时代已经全面到来,彻底颠覆了人们传统的生活观念和方式,借助计算机网络,人们在相隔千里之外也能进行商业合作与交流,网络促进了经济的繁荣,推动了社会的发展。同时,现代社会对于网络的依赖程度已经达到了无法分割的地步,因此,对于计算机网络的研究成为现代人们最为重视的项目之一。根据不同的用户群体的体验方式,计算机网络规划与设计应该更加具有针对性,提高用户的体验感,带给人们更多的便捷,以及优雅的生活态度。
1.计算机网络的发展及分类
其实,计算机网络之所以能够达到今天的先进程度,同样经历了漫长的发展阶段,总的来说,一共分为三个阶段。首先是一九六八年至一九八六的aRpanet阶段,一共历经十八年,这个阶段是网络的初始状态,主要用于研究和试验。其次,是一九八六年至一九九五年的nSF网路阶段,这个阶段是计算机网络发展中最重要的,很多互联网的核心问题得以攻克,并提出了开放式系统互联参考模型。最后是从一九九五年发展至今的第三阶段,也是互联网在全球迅速扩张的阶段,在之后的时间里计算机网络就像搭乘了快速动车一样迅速在全球得到普及,将全世界紧密的联系在一起。
要对计算机网络进行规划设计,前提是必须对网络分类有足够的认识和了解。本文介绍两种最常规的分类方式。第一种是按地域分类,根据网络的地理位置和范围,可以将其划分为局域网、城域网和广域网。局域网范围最小,同时也是最重要的,是城域网和广域网的基础。第二种是根据网络拓扑结构进行分类,比如根据拓扑结构可以分为环形网络、星形网络和总线型网络。
2.计算机网络规划与设计重点问题
计算机网络规划设计是一个繁杂的过程,需要注意的问题非常多,以下为笔者认为最重要的问题,故而重点提出和大家进行讨论。
第一,安全问题。众所周知,网络安全一直是网络用户最为关切的问题,我们在现实生活中也会经常提到网络诈骗、病毒等字眼,作为关乎所有网络用户切身利益的安全问题应该如何解决呢?因此,我们应该将安全问题作为网络规划中的首要问题进行讨论。社区网络作为提供网络接入服务的管理平台,在保证用户的高速接入的同时,要确保通信的安全性。对于社区用户的内部通信的安全性上,在网络设计时可以考虑使用宽带以太网VCn交换机,各个端口的数据流借助VCn交换机加以隔离,从而保证各用户的数据安全,此方案关键在于借助硬件保证网络的安全性,因此对整体网络的稳定没有太大影响。至于内部用户在社区外访问社区网络时的安全性,就要借助虚拟私有网络来实现,也就是说,在社区网与公网之间,由pptp或L2tp提供Vpn隧道,由ipSec对网络传输数据进行加密封装,从而实现网络通信的安全性。
第二,认证与计费。丰富的网络服务,需要完善的网络管理,这就建立在高速的物理网络基础之上,以及借助于强大的后台系统,总体算下来投入成本过高。为了降低成本投入,可以在城域网中心集中计费管理,不但解决了成本问题,还促进了网络运营商之间的竞争。
第三,组播。拓扑结构对组播multicast提供两方面的支持,即路由网络以及二层交换网络。其中,路由网络要支持moSpF、DVmRp或者pim;后者主要借助iGmpSnooping标准协议才能实现。
第四,网络管理。一般而言,网络系统的稳定运行是需要维护和管理的,如果缺乏有效的管理,网络环境将变得混乱,严重影响网络的正常运转。这是,就需要专业的网络管理软件大显身手,管理软件能够对网络进行实时监控,主要起到三个方面的作用。第一,保证网络安全。网络系统的运行需要遵守相关的网络协议,只有在协议框架内的活动才是正常合法的,反之,一旦有人试图破坏协议进行一些违法活动,网络管理软件将在第一时间发现,并发出警报,迅速锁定。第二,网络管理软件会将网络的运行情况记录下来,在分配网络资源时可以将记录作为重要的参考依据。第三,根据对流量数据的统计,可以知道网络用户应该承担的费用。
3.不同密度用户的网络规划与设计方案
下面,笔者将利用局域网中的太网技术,根据小区用户的密度规划网络方案。什么是小区用户的密度?这里的密度其实是指小区内的住房密度。每个用户家里都接入一个RJ45信息插座,直接连到社区网络,用户立马能够体验到100m的网络速率。注意,我们应该重视本方案中的一些实际问题,首先,我们采用的是传统的太网技术,必须加强安全性的考虑。其次,社区网络接入提供的各种网络服务,需要进行运营管理,用户的计费问题需要解决。最后,社区网络的基础设备需要长期进行维护和管理。
将网络交换机直接连到中心交换机上,是低密度社区用户的最佳选择。如果社区密度较高,可以将VCn10/100m交换机作为边缘交换机,采用10/100m到户。
总之,我们应该深刻了解计算机网络对我们的重要意义,不断优化网络规划与设计,为人们的生活带来便利,为企业的发展提供保障,充分发挥计算机网络的功能和作用。
参考文献:
[1]杨民东,杨伟鲁.面对知识经济挑战的计算机教育问题[J].生产力研究,2008(6).
[2]郭善渡.计算机教学与创造教育[J].课程·教材·教法,2009(5).
[3]许金普,徐鹏民,孙晓梅,马德新.“计算机网络技术”课程建设与教学改革研究[J].现代教育技术,2008(7).
[4]赵国福.浅议计算机网络安全[J].中国新技术新产品,2009,4(7):23-23.
网络安全计划篇7
关键词:校园网;网络搭建;网络安全;设计。
一、基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100mbps)、fddi、千兆以太网(1000mbps)和atm(155mbps/622mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;fddi也是一种成熟的组网技术,但技术复杂、造价高,难以升级;atm技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于atm网,它的有效带宽比622mbps的atm还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用vlan技术和计算机网络物理隔离来实现。vlan(virtuallocalareanetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
ieee于1999年颁布了用以标准化vlan实现方案的802.1q协议标准草案。vlan技术允许网络管理者将一个物理的lan逻辑地划分成不同的广播域(或称虚拟lan,即vlan),每一个vlan都包含一组有着相同需求的计算机工作站,与物理上形成的lan有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个vlan内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理lan网段。一个vlan内部的广播和单播流量都不会转发到其它vlan中,即使是两台计算机有着同样的网段,但是它们却没有相同的vlan号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。vlan是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了vlan头,用vlanid把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分vlan的方式是最常用的一种方式。许多vlan厂商都利用交换机的端口来划分vlan成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网aaa,同一交换机的6,7,8端口组成虚拟网bbb。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口vlan技术允许跨越多个交换机的多个不同端口划分vlan,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在internet上,并且借助internet上的信息往来,尤其是email进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于tcp/ip体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(nat),ids,vpn,应用等功能,保护内部局域网安全接入internet或者公共网络,解决内部计算机信息网络出入口的安全问题。
网络安全计划篇8
关键词:交换机;网络安全
中图分类号:tp393.08
在oSi互联网模型中,网络被划分成七个层次,从底向上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。一般情况下,其中后四层都与计算机操作系统和各类应用软件相关,而前三层则与硬件网络设备有关,大部分企业都会注意软件方面的网络安全问题和防护手段而忽略硬件方面的防护,比如说防护墙技术、杀毒软件等技术在企业中应用非常广泛。而类似交换机的端口控制和路由器的路由控制等技术在一些中小企业里却应用很少。
1交换机的安全技术
交换机是数据链路层设备,在交换机上进行安全配置,使其成为安全性加强的交换机,具有抗攻击性,比普通交换机(不进行任何设置)具有更高的智能型和安全保护功能。在系统安全方面,交换机在网络由核心到边缘的整体架构上实现了安全机制,即通过特定技术,如风暴控制、流控制、保护端口、VLan、Rmon等对网络管理信息进行传输控制。
1.1基于端口的传输控制
一般地,交换机都具有基于端口的传输控制功能,能够实现风暴控制、端口保护和端口安全等。交换机的基于端口的传输控制主要表现在以下几个方面:
(1)风暴控制
当端口接收到大量的广播、单播或多播包时,就会发生广播风暴,并且转发这些数据包将导致网络速度变慢或超时。因此,借助于对端口的广播风暴控制,在某些数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常,从而有效地避免硬件损坏或链路故障导致的网络瘫痪。默认状态下,在交换机中,广播、多播和单播风暴控制是被禁用的,这就需要人为的去开启。
(2)流控制
在千兆端口启用流控制后,可以在拥塞期间暂停与其他终端的连接。也就是说,当端口处于拥塞状态,无法接收到数据流时,将通知其他端口暂停发送,直到恢复正常状态。例如,本地一台交换机发现任何终端拥塞时,它将发送一个暂停帧,以通知其连接伙伴或远端拥塞设备。当这些设备收到暂停帧后,将停止发送数据包,以防止在拥塞期内丢失。但流控制只适用于交换机的1000Base-t、1000Base-SX和GBiC端口。
(3)保护端口和端口阻塞
保护端口可以确保同一交换机上的端口之间不进行通信。因为保护端口不向其他保护端口转发任何单播、多播和广播包传输,要实现保护端口间的传输,都必须通过第三层设备转发。然而,保护端口与非保护端口间的传输不受任何影响。
在交换机的默认操作中,未知目标maC地址的广播数据包将被允许从端口向外传输,但如果未知的单播和多播通信被转发到保护端口,将导致安全问题。此时,可以采用阻塞端口的方式,防止未知的单播和多播通信在端口间转发。
(4)端口安全
借助端口安全设置,可以只允许指定的maC地址或指定数量的maC地址访问某个端口,从而避免未经授权的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
(5)传输速率限制
网络传输速率变慢主要由于某些用户对网络流量的滥用。当使用mRtG等流量监控软件检测到流量来源于某个端口时,可以在核心交换机,汇聚交换机,甚至接入交换机上,对相应的端口做必要的处理,限制其传输带宽,从而限制每个用户所允许的最大流量,以便使其他网络用户能够恢复正常的网络应用服务。
(6)maC地址更新与绑定ip
影响网络安全的因素很多,ip地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于ip的,比如流量统计,账号控制等都将ip地址作为标识用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,那么网络上传输的数据就可能被破坏,甚至盗用,造成无法弥补的损失。
针对目前aRp病毒肆虐,利用aRp进行欺骗的网络问题也日渐严重。在防范过程中除了可以通过划分VLan来抑制问题的扩散外,还可以将ip地址与maC地址进行绑定以达到最佳的防范效果。
1.2VLan
VLan(VirtualLocalareanetwork)的意思是“虚拟局域网”。是一种将局域网设备从逻辑上划分为一个个网段,从而实现虚拟工作组的新兴数据交换技术,是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLan头,用VLaniD把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形象虚拟工作组,动态管理网络,根据VLan技术在交换机上的实现方法,可以大致划分为4类。
(1)基于端口的VLan
利用交换机的端口来划分VLan,使被设定的端口都在同一个广播域中,这样划分的VLan也称为静态VLan技术(因为端口划分VLan将交换机的端口与VLan进行了相应的绑定。)
基于端口的VLan划分是最简单、有效地VLan划分方法,它按照局域网交换机端口来定义VLan成员。VLan从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。
(2)基于maC地址的VLan
根据maC地址所划分的VLan,称为动态VLan技术。这种划分VLan的方法是根据每个计算机的maC地址来划分,即对每个maC地址的计算机都配置它属于哪个VLan。
利用这种划分VLan方法的最大优点是当用户物理位置移动时,即从一个交换机到其他交换机时,VLan不用重新配置,可以认为这种根据maC地址的划分方法是基于用户的VLan。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置非常烦恼。并且这种划分的方法也导致交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLan组的成员,这样就无法限制广播包。
(3)基于ip组播的VLan
组播作为一点对多点的通信,是节省网络带宽的有效方法之一。它能够使一个或多个发送者数据帧发送给一个组地址,而不是单台计算机。一个VLan就是一个逻辑的组播域,即ip组播实际上也是一种VLan的定义。
基于组播的VLan技术,是动态地把那些需要同时通信的端口定义到一个VLan中,并在VLan中用广播的方法解决点对多点通信的问题,扩大了广播网。从实际意义上讲,具有更大的灵活性,而且也很容易通过路由器进行扩展,但因为效率较低,所以这种方法不适合局域网。
(4)基于策略的VLan
基于策略的VLan技术也称为基于规则的VLan技术。这是最灵活的VLan划分方法,具有自动配置的能力,能够把相关的用户连在一起。网络管理员只需在网管软件中规定好划分VLan的规则,那么当一个站点加入到网络中时,将会遵循该规则,并被自动地加入到正确的VLan中。
使用这种划分VLan的方法,整个网络可以非常方便地通过路由扩展网络的规模。有的产品还支持一个端口分别加入到不同的VLan中,在交换机与HUB共存的环境中显得很重要。自动配置VLan时,交换机中软件自动检查进入交换机端口的广播信息的ip源地址,然后软件自动将这个端口分配给一个由ip子网映射的其他VLan。
1.3配置Rmon
Rmon是ietF(internetengineeringtaskForce,互联网工程任务组)标准的监控规范,该规范能够以网络管理者身份交换对网络的监控数据。用户可以配置并使用交换机上的Rmon功能,来监控所有相连接网络中交换机间数据流的流动情况,从而更好地保护设备及网络的安全。
Rmon(Remotenetworkmonitoring)远端网络监控,最初的设计师用来解决从一个中心点管理各局域分网和远程站点的问题。Rmon规范是由Snmp(Simplenetworkmanagementprotocol,简单网络管理协议)中的miB(managementinformationBase管理信息库)扩展而来。Rmon中,网络监视数据包含了一组统计数据和性能指标,它们在不同的监视器和控制台系统之间相互交换。结果数据可用来监控网络利用率,以用于网络规划,性能优化和协助网络错误诊断。
Rmon监控系统由探测器(或监视器)和管理站两部分构成。Rmon在RmonmiB中存储网络信息,它们被直接植入网络设备,也可以是计算机上运行的一个程序。只能看到流经它们的流量,所以在每个被监控的Lan段或wan链接点都要设置Rmon,网络工作站用Snmp获取Rmon数据信息。
一般情况下,交换机支持Rmon中的第1、2、3、9组(统计组、历史组、警报组、事件组)的内容。
(1)统计组
统计组是Rmon中的第1组,用于统计被监控的每个子网的基本统计信息。
(2)历史组
历史组是Rmon中的第2组,它定期地收集统计网络值的记录并为日后的处理把统计存储起来。
(3)警报组
警报组是Rmon中的第3组,以指定的时间间隔监控一个特定的miB对象,当这个miB对象的值超过一个设定的上限值或低于一个设定的下限值时,就会触发一个警报。
(4)事件组
事件组是Rmon中的第9组,决定当由于警报而产生事件时,处理行为将产生一个日志记录表项或一个Snmptrap。
2结束语
合理的配置、选择合适的交换机所具备的端口传输控制、VLan和Rmon等网络安全技术能够有效地增加计算机网络的安全性能。所以我们一定要做到统筹兼顾,不仅要重视操作系统以及应用软件层面的安全技术手段,也要合理使用网络设备的安全技术,这样才能更全面、更全方位的切实维护计算机网络安全。
参考文献:
[1]平,李旎,刘青风.网络安全[m].清华大学出版社,2012,2.
[2]贾铁军,常艳.网络安全实用技术[m].清华大学出版社,2011,8.
网络安全计划篇9
强化工作统筹和综合协调,成立国家层面的领导和协调机构成为各国网络安全战略部署的重要内容,并以此为网络安全战略的实施推进奠定基础、提供组织保障。美国网络安全职能部门众多,相互间职责交叉、信息不通、无法形成工作合力的问题曾非常突出,“9•11”事件也曾经暴露过这些问题。为加强网络安全工作的统筹和综合协调,美国在总统办公厅设立网络安全办公室,全权负责国家网络安全事务,包括监督联邦部门、机构信息安全政策实施情况,协调信息安全政策和程序与相关的信息资源管理政策和程序的关系,加强公私部门与有关机构和行业合作的信息共享和政策协调,在遭受针对信息技术的大规模攻击情况下协调由各机构管理的信息基础设施的防御,审核批准各机构信息技术保护预算等。该办公室设在总统办公厅,直接受命于总统,将网络安全事务的协调层级提升至国家最高级,极大地提高了网络安全工作力度和效率。网络安全办公室主任为国家网络安全协调官,由总统任命,作为总统国家安全委员会成员,出席国家经济咨询会议。国家网络安全办公室向美国国家安全委员会和国家经济委员会汇报工作,并通过这两个委员会直接影响美国国家安全和经济发展决策。英、日等国与美国相似,将网络安全协调机构设在首脑办事机构。英国组建网络安全办公室,设在内阁办公厅,全权负责网络安全战略的实施推进,为各政府部门的网络安全问题提供战略指导和协调,并通过跨政府的方案推动网络安全战略的执行。日本在内阁官房成立国家信息安全中心,承担日本网络安全工作的领导与协调职能,主要负责应对部级的网络安全事件并组织应急响应,制定网络安全标准,培养网络安全人才,并向内阁大臣报告工作,同时负责与外国相关机构就网络安全事宜开展合作。日本还成立了信息安全政策委员会,作为it战略指挥部的分支机构,承担日本信息安全战略规划的统筹谋划和制定实施职责。德国采取委员会制,成立了国家网络安全委员会,负责从政治和战略高度统筹网络安全工作,协调联邦层面的网络安全管理,为公共和私营部门制定网络安全政策并进行工作协调。委员会成员包括联邦总理以及外交部、内政部、国防部、经济与技术部、司法部、财政部、教研部及部分联邦州代表,特定情况下,联邦其他部门、产业界和学术界相关人员也会被邀请参加。此外,荷兰成立网络安全委员会和国家网络安全中心,以统筹网络安全各项工作,强化公私合作。欧盟成立了欧洲网络安全局,作为欧洲网络安全问题的协调、管理和咨询中心,负责搜集分析网络威胁信息、向欧盟委员会和各成员国提供分析结果、提高网络和信息系统的安全性、增强欧盟成员国和欧盟机构的能力、在欧洲建立网络安全文化以及推动区域数字化经济发展等。
二、加强国家关键基础设施防护
各国普遍将保护国家关键信息基础设施作为网络安全各项措施中的首要选项,给予最高优先级,积极采取措施加强防护。美国不仅专门出台维护国家关键基础设施安全的总统令,而且早在2003年的《国家网络空间安全战略》中就提出一系列保护措施,包括由联邦政府向负责关键基础设施管理和运营的私营企业共享网络安全信息,由美国国家标准与技术研究院(niSt)制定自愿性的关键基础设施网络安全框架,鼓励引导私营企业参加关键基础设施网络安全项目,确定最易受网络攻击的关键基础设施清单,制定关键基础设施安全研发计划等。俄罗斯高度重视保障国家关键基础设施安全,部署了若干具体措施,包括研发能够防范网络攻击的标准软件和设备,实施国产化替代;建设风险防范的技术评估系统和方法手段;对关键基础设施和重要信息系统中使用的软硬件进行统一登记备案;建立关键基础设施使用的标准软件库等。英国提出通过政府部门与国家关键基础设施所有者和运营部门合作,确保关键数据和信息系统的持久安全和可恢复,降低关键基础设施的脆弱性。德国认为关键信息基础设施是所有关键基础设施的核心,要求公共和私营部门应建立更紧密的战略和组织基础,以进一步加强信息共享,同时扩展关键基础设施保护执行计划确立的合作范围,并通过立法强化关键基础设施保护执行计划的约束力。法国在国家关键基础设施领域采取公私合营,以加强网络威胁分析,确保对国家正常运转至关重要的关键基础设施达到必要的防御强度。日本组建并促进关键基础设施保护委员会发挥作用,制定国家关键基础设施防护策略,促进关键基础设施安全标准的制定、应用和改进,通过加强各领域网络安全威胁分析和组织实施跨部门应急演练,增强关键基础设施的信息安全措施,制定业务持续性计划,加强关键基础设施保护国际合作等。印度提出制定关键信息基础设施保护计划,组建国家关键信息基础设施保护中心以统筹协调关键信息基础设施保护。欧盟委员会要求促进成员国政府和关键基础设施所有者、运营商的合作,及时发现关键基础设施的系统漏洞,鼓励开发具有恢复力的系统。为解决各成员国关键基础设施互联互通带来的安全隐患,欧盟了《关键信息基础设施保护战略》,针对存在的突出问题,提出了准备和预防、监测和响应、减灾和恢复以及内外合作等方面的行动措施;《欧洲关键基础设施保护计划新措施———让欧洲关键基础设施更安全》,提出采取预防、准备和响应等方面的具体措施,选取若干欧洲关键基础设施进行试点,以测试和提升关键基础设施的恢复力。
三、保障政府网络信息系统安全
由于政府网络信息系统中往往存储传输大量的国家秘密信息或内部工作信息,直接涉及国家安全和政府日常运作,因而成为各国政府重点保护的对象。美国将联邦部门网络安全需求与预算和资金规划挂钩,政府机构在联邦资金规划中要考虑网络安全问题并报告每项网络信息技术投资的安全成本,要求持续地对联邦网络系统中的威胁和脆弱性进行评估,对联邦网络系统用户权限进行认证和维护,保护联邦政府无线局域网,改进联邦政府外包和采购的安全性,鼓励州和地方政府建立信息技术安全程序,进行信息安全实践等。英国由网络安全和信息保障办公室负责领导提高政府部门网络安全认识工作,明确网络环境下应转变哪些观念和行为并进行宣传,以促进网络安全保障和业务工作的融合,使政府政策制定的各个方面充分考虑网络安全的因素。同时,调查政府部门在网络安全技能和专业知识方面的需求,以有针对性地开展提升计划。德国认为政府部门应在数据安全方面作出表率,提出为联邦机构建设一个公共、统一、安全的网络基础设施(联邦网络),作为语音和数据通讯的基础;要求所有联邦机构积极参与和高效推进网络信息系统安全保障,合理部署和调配资源;确保联邦政府网络安全方面的投资;联邦规划委员会将进一步加强联邦部门间的合作,特别是与计算机应急响应小组的合作。法国要求将高度可信的安全产品应用于政府机构,以保护国家机密信息。俄罗斯为确保政府网络信息系统安全,要求联邦政府各部门在2015年前从使用私有软件转为使用免费或开源软件(如Linux),停止使用微软产品,并建设国家开源软件库。日本部署加强政府部门信息安全基础设施,强化各政府机构首席信息安全官职能,增强政府安全行动协调小组搜集和分析网络安全信息的能力,持续改善政府机构信息系统的信息安全措施,在政府电子政务系统中推广使用密码技术,根据新的安全环境变化审查《中央政府计算机信息系统信息安全措施标准》,促进地方政府等落实信息安全措施。澳大利亚强化政府部门网络信息系统防护,将政府部门互联网接入口数量缩减至最低,以最大限度保障效率、可靠和安全;制定集约化的信息技术产品、服务采购和管理措施,建立政府基本网络安全标准;对政府《防卫安全手册》进行审查,对其中的安全政策和标准进行更新;还部署实施“onSecure”计划,由国防通信处和政府信息管理办公室合作开展,向政府各部门通报网络安全威胁及解决办法。加拿大要求增强政府机构发现、阻止和抵御网络攻击的能力,部署了缩减联邦政府互联网接入口数量,强化确保供应链安全的相关程序以及提高联邦政府雇员的网络安全意识等具体措施。新西兰在通信安全局设立国家网络安全中心,改进政府机构内部网络安全行为模式,以保障政府网络信息系统和信息安全。
四、增强应急响应和恢复能力
网络安全事件的突发性、破坏性强,影响范围广,往往在极短的时间内造成难以挽回的损失。因此,各国都普遍将增强网络安全的应急响应和恢复能力作为一项重要战略举措,以在重大网络安全事件发生后,第一时间作出反应加强应对,并通过迅速恢复将造成的损失降至最低。英国提出建设安全、可靠、可恢复的系统以加强应对各种网络攻击的准备和防护,提高快速反应能力,同时持续增强政府通信总部和国防部监测和防御网络威胁的自主能力,组建网络事件应急响应小组,负责协调部级别的网络安全事件处理。德国组建了国家网络响应中心,由来自联邦刑警局、联邦警察局、联邦情报局、国防军、海关以及关键基础设施运营部门等人员组成,向国家网络安全委员会提交例行和特殊报告,在即将或已经发生网络安全危机的情况下,中心将直接向内政部部长指挥的危机管理部门报告并采取措施。法国提出增强对网络攻击的监测能力并应用于政府网络,及时发出预警信息,并在法国国家网络和信息安全局(anSSi)内设置专门机构,进行网络威胁的实时监测和危机管理,提升必须的应急响应能力。俄罗斯提出建设国家防范网络攻击和网络威胁预警系统,成立网络安全事故响应中心,制定实施危机应对计划,消除国家范围内将要或已经出现的网络威胁,增强网络安全应急响应能力。日本通过组织政府部门进行重大网络突发事件应急演练,确保能够应对大规模网络攻击并采取有效的初期反制措施,同时,加强网络安全事件的信息搜集、分析和信息共享系统建设,特别是加强内阁官房与相关政府机构间的信息共享系统建设等。荷兰国家信息通信技术应急计划,组织开展网络安全演习,以提高应对网络攻击的响应能力。澳大利亚提出制定应对网络突发事件国家计划,采取措施增强连续、实时的网络风险监控能力,包括在国防部组建国家网络安全作战中心,保持全天候网络监测能力,协同应对部级网络安全事件;成立国家计算机应急响应小组,加强政府和私营部门的信息共享和协同应对网络威胁的能力。印度提出组建国家计算机应急响应小组,以协调网络安全应急响应和危机管理事务。欧盟设定统一的网络安全最低要求,要求各成员国组建国家网络安全主管部门和计算机安全应急响应小组;建立网络安全预防、检测、缓解和响应机制,以实现各国网络安全主管部门间的信息共享和相互援助;组织各成员国参加及有美国等国际合作伙伴参加的网络安全演习,提高应对网络事件的能力;根据网络安全事件的性质、级别和影响的不同,进行不同的应急响应。
五、加快技术研发和应用
网络安全保障对网络信息技术实力的高度依赖使得各国对技术研发和应用都给予高度重视,采取战略性举措提升技术的自主能力。英国要求各职能部门长期跟踪网络安全产业基础的健康发展,确保相关研究和开发工作能够突出重点,协调和利用取得最好效果;通过嘉奖网络安全研究领域一流大学以及组织“网络空间安全挑战”活动等支持科研创新。德国提出深化信息技术安全和关键基础设施保护方面的研究,加强德国在战略信息技术领域核心竞争力方面的技术自主和盈利能力,并在可能范围内与合作伙伴及盟友共享相关资源。在技术应用方面,坚持多样性,在核心安全区域使用经国际标准认证的组件以保障网络安全。法国认为网络安全取决于技术和能力,提出发展科学、技术、工业等方面的能力,以保持法国在网络安全方面的自,并要求通过政府与工业合作伙伴联合组建网络防御科研中心,进行密码和信息安全技术等方面的研究。日本要求提升本国网络安全产业国际竞争力,解决严重依赖国外技术、产品和服务问题,研发更具创新性的网络安全技术,提高网络攻击监测和分析能力,日本防卫省2010年度预算中包含总额约70亿日元(约合7525万美元)的“应对网络攻击”项目,投入巨资建设“防卫信息通信平台”和“计算机系统通用平台”。欧盟启动“地平线2020”项目计划,支持技术创新,解决从研发到应用的转化问题;建立欧盟与成员国研究机构的协作机制,鼓励成员国在相关领域扩大投资;要求各会员国制定更有力的政府采购方案,促进应用更加安全可靠的网络安全产品和服务;跟踪网络犯罪和网络安全发展的新趋势、新需求,开发相应的数字取证工具和技术;鼓励政府、企业与保险业合作,降低企业投资网络安全领域的风险等。俄罗斯把确保技术独立性列入长期发展计划和重要科研课题,自主研制了高安全等级操作系统,并在关键部门积极推广自主研制的技术设备;明确网络安全领域前沿科学技术研究重点并在开展应用和理论研究以及试验设计工作中提供国家支持;向国内网络安全设备生产商提供减免税费、推广等国家支持;推进国家规划的网络安全技术设备研发;制定系统措施推广使用国产软硬件等。澳大利亚将网络安全科技研发纳入国家安全科学创新战略,通过开展部级网络安全项目研究,对网络安全研发活动提供专项资金支持,同时制定年度研发重点,对各方面的科研工作进行引导。印度提出对应短期、中期、长期目标分别设立研发项目,开展网络安全前沿技术研究,促进科研成果转化应用,加强产学研的结合等措施。
六、开展公私合作和国际合作
网络安全问题的复杂性、广泛性决定了开展合作的必要性和重要性,加强政府部门与私营机构之间以及国与国之间的网络安全合作,共享信息,协调联动应对网络威胁,已经成为各国网络安全战略中必不可少的重要举措,一些国家甚至将合作作为整个网络安全战略的核心。英国政府通过建立与企业间的网络安全信息共享合作机制,由政府通信总部等职能部门和金融、国防、能源、电信、医药等行业百余家企业开展合作,机制内的成员单位将能够及时接收网络攻击预警、攻击方式手段和应对措施等信息;由网络安全和信息保障办公室负责英国与国际伙伴和国际组织之间的合作,推动建立网络空间行为国际准则,设立网络能力建设基金,用于支持开展国际间网络安全合作,为其他国家提供网络安全方面的建议和指南,对网络空间国际规则制定施加影响。德国提出建立高效合作以确保欧洲和世界范围的网络安全,支持欧盟内部保护关键信息基础设施的相关措施,加强德国网络安全政策与联合国、欧洲安全与合作组织、欧盟委员会、经济合作与发展组织以及北约等相关国际组织政策的协调互动,将德国保护关键基础设施的标准作为统一标准提出,供北约其他成员国参考。法国认为保障网络安全与各国职能部门间的信息交流密切相关,提出建立更广泛的伙伴关系以共享信息资源,在打击网络犯罪方面加强合作,同时在盟国内组建一个小范围互信合作联盟以进行深度合作。日本提出建立各国网络安全主管部门信息共享和应急协调机制,推进网络空间国际合作全球框架建设;推动网络空间国际规则制定,积极参加各类多边框架下的网络空间政策制定和能力建设磋商,传播日本的网络安全基本原则和政策等具体主张;加强日美、亚太区域、日欧等合作,深化日美伙伴关系,强化两国政府部门间网络安全对话、联合演习和信息共享等方面的合作,深化日本与东盟在网络空间人才建设、技术研发、信息共享和关键基础设施保护等方面的合作等。澳大利亚提出加强政府部门与产业界合作以提高关键基础设施、网络、产品和服务的安全性和可恢复性,包括实行敏感信息共享,协同进行网络安全行动,联合开发网络安全技术和标准以及组织网络安全培训等;积极参与国际网络安全事务,与主要盟国及具有相同出发点国家协定双边和多边协议,加强网络安全合作等。
七、提高国民网络安全意识和技能
各国将提高国民网络安全意识和技能作为提升国家网络安全保障能力和水平的重要基础,部署实施部级的行动计划,广泛开展各类宣传和培训。美国2003年起部署开展了全国性的网络安全意识提升活动,由国土安全部负责领导提高家庭用户和小型企业、大型机构等的网络安全意识,制定提高中小学生网络安全意识计划。英国积极采取措施帮助公众应对网络安全威胁,包括通过社交媒体病毒和网络威胁警告;鼓励、支持并且发展各种层面的网络安全教育、提高公民最为必要的技能;和互联网服务供应商达成协议,使其能够为网络用户发现网络威胁及保护自身不受网络威胁影响提供支持。法国提出加强面向公众的宣传,使公民加深对网络攻击危害后果的认识,更深入地理解网络安全问题并采取防御措施,国家网络和信息安全局将倡导和广泛开展面向公民和企业的网络安全交流活动。日本通过推进各类宣传活动促进公民网络安全意识提升,自2010年2月起,将每年2月定为“信息安全月”,制定综合国民网络安全意识启发方案,并组建信息安全保密支援服务局,向国民提供信息安全相关咨询服务,促进个人信息保护。俄罗斯提出组织综合信息运动,以提高公民、组织等对网络威胁的认识和应对方法的掌握,普及通俗易懂的网络安全技术、措施和方法;开展服务公众的国家互联网门户网站推广运动,提供网络威胁、网络安全问题及应对措施等相关信息。澳大利亚开展教育培训以提高国民网络安全意识和技能,包括在中小学开展网络安全教育,每年与网络运营企业、社区等合作举办网络安全周活动,通过建设权威的网络安全信息网站为公众提供网络威胁信息及解决方法等。新西兰提出由政府与网络安全公司及非政府组织开展合作,帮助网络用户获得网络安全信息和建议,提升网络安全意识。捷克加强政府部门与新闻媒体的合作以传播网络安全知识,提升公民网络安全意识。印度提出开展网络安全教育培训项目,建设国家网络安全培训基础设施,启动全国性网络安全意识增强项目。
八、加强人才培养
网络空间的竞争和较量日益成为人才的竞争和较量,各国网络安全战略中普遍就培养网络安全人才作出战略部署。美国提出增强联邦网络安全教育培训计划的有效性,鼓励开展更多的网络安全教育和培训项目,《国家网络空间安全教育计划》,实施网络安全职业培训计划,制定国家网络安全专业人员资格认证标准和指南并开展认证。英国要求将网络安全纳入各级立法和教育工作主流活动中,启动了一系列人才培养和认证计划,在大学培养网络安全人才,对指定培养的博士进行资助,对网络安全和信息保障方面的专家开展认证,以提高其技能;军方还发起“网络空间预备役”计划,旨在招募和培养网络安全方面的高端人才。德国认为从事网络安全相关工作人员的素质和能力是政府应优先考虑和解决的问题,将加强联邦当局内部人才交流和网络安全技能培训。日本提出通过加强网络安全专业高等教育、产学合作以及职业资格认证,培养高素质网络安全人才。俄罗斯提出制定网络安全专业人员培养和进修教育标准,在各级教育机构开设信息安全课程,修订信息技术和信息安全领域国家公务人员职业技能标准,定期开展考核等措施,以加强网络安全人才培养。荷兰提出由政府与职业团体和教育部门在网络安全和信息通信技术领域开展合作,研究建立网络安全专业人才资格认证制度等。新西兰通过政府与教育科研机构、培训机构开展合作,开展网络安全资格认证、培训等培养网络安全人才。捷克将网络安全纳入公务员教育计划,并通过评估分析各领域的需求,将网络安全融入国家各层次教育培训中。
九、国外经验对我国网络安全建设的启示
网络安全计划篇10
关键词:虚拟局域网;VLan图书馆
中图分类号:G250.72文献标识码:a文章编号:1007-9599(2011)05-0000-01
VirtualLantechnologyapplicationResearchintheUniversityLibrarynetworkSystem
ZhouJun
(nanjinginstituteofRailwaytechnologyLibrarytechnology,nanjing210015,China)
abstract:astheimprovementdegreeofdigitallibraries,digitallibraryconstructionhasbecomethefocusoftheuniversitybuilding.theuseofvirtualLantechnology,cangreatlyimprovethelibrarynetworkflexibility,efficiencyandsafety.
Keywords:VirtualLan;VLanLibrary
一、图书馆网络系统建设需求分析
(一)图书馆网络需求分析
高校图书馆内的网络不仅要满足常规办公等数据量的传输,还要满足大量读者同时在线进行的资源下载、视屏、音频在线欣赏等对时间响应极为敏感的流媒体的使用。因此,对网络的带宽及响应性的要求很高。因此图书馆需采用“千兆入馆,百兆到桌面”的交换式千兆以太网为主干,同时,要求可在图书馆内部局域网中虚拟局域网技术来划分逻辑子网和物理子网,合理地处理逻辑子网间的连接、划分和安全性设计,并且这种VLan的划分可以在实际应用中灵活更改及管理,这是保障图书馆网络可靠、稳定工作的关键。因此,图书馆的核心交换机,必须能够具有逻辑子网和物理子网的划分功能,并具有良好的三层交换或是路由能力。
(二)网络系统设计建设的目标。一般网络系统的技术目标可以包括可用性、适应性、易用性、可扩展性、可管理性、安全性和性能的高效性。1.可用性。2.适应性。3.易用性。4.可扩展性。5.可管理性。6.安全性。7.高效性。
二、南京铁道职业技术学院图书馆网路设计技术及方案
(一)虚拟局域网技术。虚拟局域网,英文名为“VLan,是一种在逻辑上讲局域网设备划分成若干网段,以实现虚拟的工作组功能的数据交换技术。其只能运用在路由器和具有VLan协议部分路由器功能的三层交换机上。一个VLan组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。(二)虚拟局域网的优点。1.通过将网络划分成多个网段,可以减少参与广播的网络设备数量,以减少广播风暴的产生;同时,通过对网段的划分,可将具有相对重要的设备和数据与其余本分分隔,从而提高整个网络的安全性。2.将网络按需划分后,可相对减少网络中不必要的数据流量,网络通信带宽的利用率极大提高,减少了许多高成本的网络设备的使用。在提升网络通信性能的同时节约了成本。3.VLan技术不受物理地址的限制,通过对整个网络内不同功能及性能需求的划分,能将不同地点、网络的用户虚拟在一个网络环境中,相似网络需求的设备将共享一个VLan,为使用者提供了如同本地局域网一样的使用体验,也为网络管理带来了方便,同时也很容易确定升级网络服务的影响范围。(三)VLan在图书馆网络中的实现。1.组建VLan的条件及划分方法。虚拟局域网技术是建立在实际的物理网络基础上的一种逻辑子网,在建立是需要有支持相关技术的网络设备。网络中的数据在不同的VLan网段间通信时,需要进行路由来实现数据的准确转发,因此,建立VLan网络需要使用路由器,或是支持VLan协议的具有路由功能的第三层交换机设备来完成。虚拟局域网在交换机上的实现方法,可分为三种:(1)基于端口划分VLan(静态)。目前定义VLan最广泛的方法,ieee802.1Q规定了依据以太网交换机的端口来划分VLan的国际标准。基于端口的划分的VLan定义VLan成员时非常简单,但是如一个用户从原先的VLan端口中移动到了其他交换机上,这个用户需在VaLn中重新定义。(2)基于maC地址划分VLan(动态)。依据每个主机网卡的物理地址来划分,因此通常是基于用户的VLan。基于maC地址划分VLan当用户物理地址移动时,VLan不用重新配置。缺点:初始化时需对所有的用户进行配置,其工作的繁杂程度依据网段内所有主机的数量而定。并且每个交换机的端口上都可能连接有多个所属不同VLan的成员,无法对广播包进行有效限制,因此交换机的执行效率会相对降低。(3)基于协议划分VLan(动态)。根据每个主机的网络层地址或协议类型划分的。优点:用户的物理位置改变了,不需要重新配置所属的VLan,而且可以根据协议类型来划分VLan;此外,基于协议划分VLan不需要附加的帧标签来识别所属的VLan,这样可以减少网络的通信量。其缺点是效率低。2.图书馆网络VLan的具体划分策略。南京铁道职业技术学院图书馆根据新馆建筑内的网络结构和具体部门和功能划分的需求,采用基于端口的VLan划分方式,把图书馆网络划分为五个VLan,当然在今后的实际使用中还可以进行灵活的调整:(1)图书馆文献服务系统。本院图书馆文献服务系统使用的是江苏汇文软件公司的汇文文献服务系统,是图书馆信息化办公的核心,此系统能实现图书馆几乎所有的业务工作,如图书借还、图书编目加工、数据统计等。其系统与数据库的安全性是整个图书馆的数据安全的关键所在。因此,首先将此系统及数据库划分在一个VLan中,在图书馆内部使用内部局域网ip地址,以实现系统数据与外网的分隔,提高VLan内部的数据安全性。(2)其他应用服务器。本院图书馆内除汇文文献服务系统外还有多个应用服务系统,如web服务器、资源检索系统服务器、电子资源数据库等服务器设备,这些服务器对数据的安全性要求高,但需具有图书馆局域网外真实的校园网或公网ip地址,以提供读者在图书馆甚至是校园网外阅读使用。因此将其划分在一个VLan段内,实行统一的管理策略和安全防御策略。(3)电子阅览室计算机终端。本馆电子阅览室设有400台计算机终端。电子阅览室内的终端设备只需设备馆内局域网ip地址,并需通关网段划分,实现计算机终端的网段内统一管理,因此电子阅览室计算机需划分为一个独立的VLan,在此网段内,可实现电子阅览室管理软件的使用、计算机终端设备的统一管理。同时,由于VLan的划分可以有效的防止“广播风暴”的产生,在方便管理的同时也很好的提高的网络内的数据传输效率和安全性。