时间:2023-09-18 17:33:09
虚拟专用网络技术在计算机网络信息系统中应用的过程中,主要是借助保证远程用户移机远程访问服务器保证企业内部网络有着安全的连接环境,可以有效节约一些电话费用有效节约,节省成本,同时可实现保证数据信息的安全性和可靠性利用,实现资源的高效共享。
【关键词】计算机网络信息系统 虚拟专用网络技术 应用
近些年来,随着时代经济的飞速发展以及科技的进步,计算机的应用越来越普遍,对于人们的日常生活以及国民经济的发展有着至关重要的作用。当前计算机网络信息系统的安全逐渐受到重视,对于如何保证计算机网络信息系统的安全性始终是人们关注的焦点之一。本文主要提出了一种虚拟专用网络技术,首先分析了虚拟专用网络技术的主要特征,最后探讨总结了虚拟专用网络技术在计算机网络信息系统的具体应用。
1 虚拟专用网络技术的特征
虚拟专用网络技术作为当前虚拟企业内部的一种专线,是对企业网络连接进行保密,并提供安全可靠性的技术,当前在各个远程办公室中有着广泛的应用。这种虚拟专用网络技术主要是在Internet上进行连接,并将同一地方的不同内部网之间的一种通讯线路加以提供,进而将网络信息的安全性能显著提高,简化性能相对较高。对于传统模式内的资金使用情况有着一定的基础优化作用,通过将专用线路设置加以缩减,进而将难度较大的专业线路铺设问题加以解决。
虚拟专用网络技术应用的过程中,通过将企业和信息载体层面费用支出减少,这种虚拟专用网络技术的设备有着简单性的特点,扩展性能相对较好,在某种程度上可以为企业的发展提供一定的核心竞争力,虚拟专用网络技术在当前信息化时代中同样也有着至关重要的作用,发展空间相对来说尤为广阔,保证企业有着规范化和安全性的财务管理以及信息管理。
虚拟专用网络技术主要是借助于隧道技术、密钥管理技术以及加解密技术,通过借助于设备身份认证技术对网络的安全加以保护,是一种点对点的连接技术。通过借助于某一通道,实现隧道中数据包的传输,并在隧道的协议规范中,在PPP里将第二层隧道的不同协议封装进去,使得整个数据包在隧道协议中。第三层隧道的协议主要是IPSec和VTP,借助于RFC文档,将一个安全的协议加以提供,对服务中的密钥进行保证,将IP层中的安全保障实现。这种加解密技术相对来说有着一定的成熟性,虚拟专用网络技术的利用,更是使得网络信息系统有着一定的稳定性和安全性、可靠性。
2 计算机网络信息系统中虚拟专用网络技术的应用
2.1 对路由器和远程访问服务的创建
计算网络信息系统中的路由器和远程访问主要是系统重要的组成部分,通过合理的配置路由功能和远程访问功能,对服务器的合理配置加以保证,这种设置过程中,是对企业内部网络用户资源共享的一种实现,同时也是企业内部网络用户数据交换的一种实现。虚拟专用网络技术中的远程技术,通过对不同厂商的路由器以及硬件进行合理的寻则,并在服务器类的系统设置过程中,对虚拟专用网络加以创建,实现便捷式的管理,对企业内网的各种服务模式加以运用,借助于路由器的一些远程访问服务器,仅仅需要在客户端就可以将Windows资源管理器对驱动连接加以创建,并将其在打印机上进行连接,在远程访问的过程中对驱动器号进行支持,以至于企业内部的外部用户在对应用程序使用时,就可以直接的加以采用。
2.2 远程访问服务在系统中的应用
远程访问服务器工作的过程中,就要在计算机网络信息系统中合理的配置远程访问服务器,设置常规属性的过程中,就要借助于路由器对企业网络和因特网进行创建,借助于远程访问服务器的复选框对服务器的角色进行设置,将其作为一台虚拟专用网的服务器。安全设计的过程中,就要保证虚拟专用网络在实际的应用中,在某种程度上将服务器和虚拟网络客户端之间的逻辑连接实现。
网络隐私安全保障的过程中,通过对链接数据信息进行不同程度上的加密处理,并在实际的远程访问中,对安全信息进行一定的身份验证和不同程度上的记账处理,借助于程序默认的一种身份验证,进而实现对远程系统身份的一种验证。
远程用户IP地址设置的过程中,就要保证虚拟专用网络的用户借助于设置的IP地址,在服务器中实现企业网络的一种综合性的访问。企业内部网络DHCP服务器中IP地址指派的过程中,就要做好某一范围内静态地址的直接指定,将IP路由器启用,对远程用户访问的成功加以确保,关于虚拟专用网络技术在企业网和远程用户之间的应用过程如图1所示。
远程访问的过程中,网络的相关设备就要保证创建点和其他点之间有着一定的端口软件和相关的硬件,在对单点之间的信道支撑的过程中,就要做好路由器以及远程访问控制台的直接选择,通过监视和管理不同的端口,在实际需要的情况下,实现对端口配置的合理设置和更改,一旦远程访问服务器端口在实际的设置完成之后,就要做好对用户拨入的合理配置,加强计算机企业远程用户的监督管理。
在远程用户拨入的过程中,只要保证有着准确性的账户,在某种程度上可以实现企业网络的一种创建和连接,这种远程控制中,可以将一些电话费用有效节约,并保证企业的各个规模有着全面的发展,对企业的实际需求加以满足,从根本上保证企业有着安全性和可靠性的数据信息。
3 Y语
虚拟专用网络技术是一种新型的网络技术,本文在对虚拟专用网路技术在计算机网络信息系统中的应用研究分析的过程中,主要是合理的配置路由功能和远程访问功能,对虚拟专用网络加以创建,实现便捷式的管理,对企业内网的各种服务模式加以运用,借助于路由器的一些远程访问服务器,对路由器对企业网络和因特网进行创建,借助于远程访问服务器的复选框对服务器的角色进行设置,将其作为一台虚拟专用网的服务器,实现了对网络信息传输安全的保证,并较好地保证了信息传输的准确性。
参考文献
[1]邢占臣.虚拟专用网技术的发展现状及展望[J].科学之友,2011(30):147-148.
[2]马妮娜,程春.虚拟专用网路技术在计算机网络信息中的实现[J].大观,2014(08):157.
关键词:虚拟专用网路技术;计算机网络系统;应用
中图分类号:C35 文献标识码: A
引言
随着互联网技术的快速发展,网络安全问题更加严峻,企业的安全访问和资源共享关系着整个企业的实际利益,虚拟专用网是基于因特网形成的一条安全访问通道,并根据数据包加密盒签名等相关措施确保公共数据网络的安全性,从而便于企业远程用户直接访问内部网络。虚拟专用网络采用专用网或公用网建立可靠的点对点连接,在很大程度上节省企业用户费用并确保网络环境的安全性和高效性。
一、虚拟专用网络技术的特点
虚拟专用网络(VirtualPrivateNetwork,VPN)被称作虚拟的企业内部的专线,简称VPI技术。虚拟专用网因为公网的连接和加密势,并且技术上安全可靠,在不少的企业远程办公里被应用广泛。VPI\技术是连接在Internet上的,但是位于不是同一地方多个内部网之间的特有通讯的线路。虚拟专用网络技术就是采用不同方式来提高网络信息安全性能的技术,具有较高的简化性能,可以优化传统模式内的资金使用情况,缩减专用线路的设置,在一定层面上解决了难度较高的专业线路铺设问题。创建虚拟专用网络技术可以减轻企业和信息载体等相关层面的费用支出,且该设备比较简单、对设备要求较低,同时具有较好的扩展性能,成为企业创建核心竞争力的软实力。虚拟专用网络技术自身携带的优势在目前信息化时挥着不可替代的作用,具有比较广阔的发展空间。以上特点在企业财务管理、信息管理及高校电子图书馆管理过程中发挥着重要作用。
目前,VPN主要使用隧道技术以及加解密技术和密钥管理技术。通过设备身份认证技术认证来保证网络的安全。隧道技术是VPN的前提技术,相当于点对点的连接技术。在网形成一条通道把数据包在这条隧道中进行传输。隧道主要是由隧道协议完成的。有二、三层的隧道协议。第二层隧道是将不同的协议封装进PPP里,再将整个数据包进入隧道协议里。第二层的隧道协议主要有L2F和PPTP以及L2TP。第三层隧道协议是VTP和IPSec等。采用RFC文档进行组成提供了一个安全的协议选择,保证了服务中的密钥,实现了IP层中的安全保障。加解密技术在数据通信是比较成熟技术VPN能直接地利用。现行的密钥管理技术主要是SKIP和ISAKMP/OAKLEY两种。
二、VPN技术在企业中的应用
引入虚拟专用网技术,解决了企业之间通过英特网传输信息容易泄露,导致企业蒙受经济损失的问题,利用网络信息化的技术发展,实现企业管理和运行的最优化。
1、虚拟专用网的技术优势
虚拟专用网通过英特网不同用户使用而建立的一条专用线路,这样的线路是通过特殊加密后的一条物理线路。企业使用虚拟专用网实现与外界良好的沟通交流,通过远程终端设备与企业之间的合作交流方便快捷,保证传输数据的可信度与稳定性。这样的技术有着明显的优势,概括如下。
1.1企业使用虚拟专用网进行组网的时候,不需要担负昂贵的费用,这个网络也不需要专门的维护,英特网只承担本地接入费用,分支网是不需要再计算费用的。利用虚拟专用网减少了专用线路的组建费用,而且在距离很远的情况下,这样的网络连接的优势会更加明显。
1.2以往企业要进行网络分支的建设时,要考虑的因素有很多,例如网络的容量、建设新的路线、相关连接设备,还要考虑设备的升级等方面,但是虚拟专用网恰好解决了这样的问题,只要企业建立一个这样的网络,在建立其他的网络连接时,只需要出示账号授权或是增加一台硬件设施就可以实现网络的共享。
1.3应用虚拟专用网,企业把网络的访问权限交给运营商管理,但是用户的访问或是验证都要经过企业网络的同意才可以使用,使得企业将所有的掌控权握在自己的手里,资源和信息得到了有效的安全管理。
1.4虚拟专用网(VPN)最大的优势就是安全性,网络传输重要的就是信息的保密,虚拟专用网通过数字证书认证用户身份,根据级数的不同,采取不同的保护措施,正因为虚拟专用网是经过加密的,因此在传输数据时,用户只能看到IP地址,这样的网络保护,为远程信息的传输大大增加了安全保障性。
2、在系统内创建路由器和远程访问服务
路由器和远程访问时服务器类操作系统中比较重要的一种服务,主要通过路由和远程访问功能实施配置,确保服务器配置形成比较合适展开远程访问的服务器,该设置可以确保企业网络的外部员工及流动人员快速连接企业的内部网络,确保远程用户可以如企业内部网络上的用户一样实现资源共享和交换数据。这同基于网络设备的远程技术有些差距,基于网络设备的网络创建选用虚拟专用网技术是选择不同厂商的路由器、硬件VPN等,而采用服务器类的系统设置的路由器和远程访问创建虚拟专用网络便于管理。采用远程访问和路由器连接起来的用户能运用企业内网的各种服务模式。例如:在路由器和远程访问服务器上,客户端可以采用Windows资源管理器来创建驱动连接和连接在打印机之上。因远程访问可以完全支持驱动器号,所以连接在企业内部的外部用户很多应用程序不需要加以修改就可以采用。
3、在系统中应用远程访问服务
远程访问服务器在操作系统中实现的基础是要对远程访问服务器的属性进行合理配置,从常规属性设置来说,在企业操作系统内的路由器和远程服务,可以让该服务器当做一个路由器或远程访问服务器。如果作为路由器,该路由器可以为企业网络和因特网创建一座桥梁,由此可以采用选中远程访问服务器复选框变换该服务器的角色,让其组成一台虚拟专用网服务器。关于高虚拟专用网服务器的安全设计,虚拟专用网络作为公用网络在在虚拟网络客户端与服务器之间创建逻辑连接。为保障网络隐私完全,要对经过该链接的数据信息实施加密。路由器和远程访问中的安全信息可以划分为身份验证和记账程序。身份验证法可采用程序默认的Windows身份验证和RADIUS验证,服务器在采用相关的验证办法对远程系统展开身份验证。设置远程用户的IP地址,远程VPN用户采用IP地址连接在服务器进而对企业网络进行访问采用IP设置可以为远程用户指定IP地址。通常采用下列两种方法进行指派IP地址,一种是采用企业内部网络DHCP服务器进行IP地址的指派,另一种是对某个范围内的静态地址进行指定,启用IP路由器可以确保远程用户访问至此远程访是否成功的关键。其中VPN技术在企业网和远程用户中应用的结构图如下图1所示:
在企业远程访问时,网络设备必须创建点与点连接所运用的端口软件或硬件,端口则是支撑单点对点连接的信道,在路由器和远程访问控制台内对不同端口进行监视和管理,同时可以对不同端口配置可以加以更改。远程访问服务器端口设置完成之后,随之对用户的拨入进行配置,企业远程服务器也具有域控制器的功效,它采用活动目录用户和计算机对企业远程用户进行管理它所管理的对象属性内会存入拨入选择卡,拨入属性可以对远程客户用户发出禁止或允许命令,确定其是否可以连接在内部服务器之上。回拨选项能对远程用户拨入完成多数不同功能,如果用户拨号至企业路由器和远程访问服务器之后,只需账户准确就可以与企业网络创建连接,反之选择不回拨二如果远程用户拨至路由器和远程服务器之后,所输入的账户正确,服务器会让用户输入回拨号码,之后挂断电话同时让服务器对用户实施拨号,为远程用户节约一定的电话费用。必须注意,因各个企业的规模有所不同,因此企业内部各个节点数量及网络带宽也不等,远程访问服务器可以依照企业的实际情况选取单接口、双接口或服务器作为VPN服务器,确保选择的模式可以最大程度满足企业的实际需求,保障企业数据信息的安全性、可靠性。
结束语
综上所述,采用路由器和远程访问服务实现虚拟专用网络技术不仅可以便于远程用户与企业内部网络创建安全的连接环境,也在节省成本的基础上确保企业网络实现高效资源共享及信息传递的效果。文中以企业虚拟专用网络技术为研究对象,提出路由器和远程访问实现企业网络安全的优势。
参考文献
[1]郑振谦,王伟.简析计算机网络安全中虚拟网络技术的作用效果[J].价值工程,2014,35:196-197.
关键词:县级气象台站;网络布局;网络结构;网络安全;佛山市三水区
中图分类号:P409 文献标识码:A 文章编号:1674-0432(2011)-06-0198-2
本文通过对佛山市三水区气象局的网络现状进行分析和探讨,从网络布局、网络结构和网络安全方面探讨了县级台站网络存在的问题,提出合理的改进方案,以完善县级台站的网络建设。
1 现状与存在问题
1.1 网络布局方面
网络布局主要是指机房里的网络设备、服务器等设备如何放置,它们又与网络布线如何相处?
佛山市三水区气象局配备有独立宽敞的计算机网络机房,具有防静电、防火、防盗、防雷、保湿、保温功能。机房配备了5个标准计算机机柜,根据功能将其划分为网络机柜、服务器机柜以及综合布线柜,但是不是配备专业的网络机柜、服务器机柜以及综合布线柜。中心交换机采用千兆的网络设备,低一级的交换机或路由器采用百兆的网络设备。网络布线采用专门的通道,没有与电源线,空调线等具有辐射的线路混合。网络布线采用的是六类屏蔽双绞线,保证网络性能得到最大的提升。机房配置在业务大楼二楼,保证了网络设备在局内网络节点的中央位置,节约了网络布线的成本,并提高了网络的整体性能,提高网络传输质量。
1.2 网络结构方面
1.2.1 现状 三水区气象局目前网络结构较为单一,内部局域网共有一个网段,外接网点有气象系统同城互连光纤的省局内网(后文简称省局内网),本地电信ADSL宽带,电信光纤,移动光纤宽带,三水本地政府内部网(后文简称政府内网)。移动光纤宽带配有独立IP,主要用于能见度监测系统的资料采集和管理。电信光纤宽带只要用于视频监控的图像传输和控制。
1.2.2 突出问题 一方面,原来的网络结构设计存在较大的缺陷,测报、预报资料上行和下行通过省局内网,而其他办公电脑访问因特网也是通过省局内网,再转到因特网,共用了一条网络通道,一旦办公电脑访问因特网时候占用了较大的网络带宽,将会影响省局内网运行的测报、预报资料的上行和下行。另一方面,但随着新型台站的继续建设,局内的气象现代化项目越来越多。2005年来三水区气象局先后建设完成了大气电场监测系统、33个均匀分布我区的WP3103型自动气象监测站组成的中尺度自动气象监测系统、7个监测点组成的天气实景监测系统、6个监测点组成的大雾、灰霾天气监测系统;并且现在正在建设的有40个LED屏的无线预警信息系统,及两个水体监测系统。每个项目自身的特点,占用的网络资源较多,并且要求配置独立的网络通道,例如天气实景监测采用光纤内部网,大雾、灰霾监测系统通过中国移动GPRS无线传输到中国移动的宽带,再通过独立IP进行端口转换进入内部局域网。越来越多项目系统加入原来的网络结构,造成了原有的网络负载过大,导致了管理上的混乱
2 存在问题的解决实践与思考
2.1 网络布局方面
局内虽然配备了标准的网络机房,但实际中,网络布线还是相对保守,升级麻烦,而且不是采用专门的网络机柜、服务器机柜以及综合布线柜,故在以后的装修设计中应该考虑保留光纤通讯接口,并采用专业的网络机柜、服务器机柜以及综合布线柜,网络设备也应该预留更大的升级空间。
2.2 网络结构方面
根据实际功能需求,现将单位的网络通过中心交换机的Vlan划分,分为8个相互独立的子网段,各个子网相互独立,根据需求有选择通讯,并且各子网之间设有专业的防火墙,见图1。
具体子网划分如下:
(1)全局通讯网,Vlan620,ip段为192.168.62.0/24,用于负责全局的网络通讯,在上面配置同城互连专用网关移动宽度网关,电信宽带网关,地方政府专网网关等等。
(2)全局服务网,Vlan610,ip段为192.168.61.0/24,用于管理各个服务器系统,例如文件服务器,WINS服务器,DHCP服务器,全局业务系统服务器,等等。
(3)气象业务网,Vlan560,ip段为192.168.56.0/24,用于管理气象台相关业务的网络,独立管理预报和测报的网络允许,保证预报测报的独立性和安全性。
(4)防雷业务网,Vlan580,ip段为192.168.58.0/24,用于管理防雷业务相关的网络,配置防雷业务系统专业服务器。
(5)办公室网,Vlan590,ip段为192.168.59.0/24,用于管理办公室相关的网络,保证办公室业务的独立性。
(6)财务子网,Vlan600,ip段为192.168.60.0/24,因为财务的独立性和安全性要求更高,故财务要单列出来,并有相应的专业防火墙保护。
(7)VPN专网,Vlan570,ip段为192.168.57.0/24,因为气象业务的需要,需要设置专门的VPN通道,考虑到VPN的安全性,需要独立配置一个子网。
(8)视频实景监控子网,Vlan630,ip段为192.168.63.0/24,因为视频实景监控系统采用的是专门的光纤通讯,通讯数据量大,业务特殊,因此需要独立的网。
2.3 网络安全方面
根据县级站的实际情况,网络的安全将按照实际的重要性进行优先级别划分,气象观测资料上行是县级站的重点保护对象,故网络的安全设计首先考虑保证气象资料的上行。其次气象资料的下行和预报业务是气象台的日常工作重心,故将测报的资料上行和预报的业务或分为同一子网,并设置有专业的防火墙,在网络通道上采取多种通讯方式,优先考虑的是采用同城互连的网络进行传输,一旦此线路受到网络攻击瘫痪或者出现线路故障,将转本地电信宽带或者移动宽带进行联网,一旦基于网线的网络出现故障无法通讯,将采用电话拨号方式进行联网,保证气象资料的上行和下行。
3 小结
三水区气象局的网络结构经过升级后,有效解决了众多网络系统之间的的通讯问题,并保证了全局的网络通讯安全,但实际操作中依然有部分问题需要解决。
(1)县级台站设备落后,网络升级难。
(2)技术人员跟不上,气象业务工作的飞速发展,网络的发展更是日新月异,县级站技术人才储备有限,很多网络上的新问题无法解决,需要省市级专家的大力支持。
(3)现在每个县级台站的网络结构和网络安全设计比较混乱,没有统一的标准。
(4)网络维护人员没有相应的技术培训,平时应付日常工作可以,但是一旦出现新的网络故障和新型网络攻击,将无法应对,建议每年定期集中对县级站的网络人员进行专业培训。
(5)应该制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。
参考文献
[1] 夏妍.计算机网络的发展及应用研究.科技信息(科学教研),2008(22).
[2] 陈经光.计算机网络安全及防范技术.淮北职业技术学院学报,2009(01).
[3] 马玉珊.浅谈计算机网络安全.电脑知识与技术,2008
工信部保〔2014〕368号
各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:
近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求
认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
二、工作重点
(一)深化网络基础设施和业务系统安全防护。认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。合理划分网络和系统的安全域,理清网络边界,加强边界防护。加强网站安全防护和企业办公、维护终端的安全管理。完善域名系统安全防护措施,优化系统架构,增强带宽保障。加强公共递归域名解析系统的域名数据应急备份。加强网络和系统上线前的风险评估。加强软硬件版本管理和补丁管理,强化漏洞信息的跟踪、验证和风险研判及通报,及时采取有效补救措施。
(二)提升突发网络安全事件应急响应能力。认真落实工业和信息化部《公共互联网网络安全应急预案》,制定和完善本单位网络安全应急预案。健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露等突发网络安全事件的应急协同配合机制。加强应急预案演练,定期评估和修订应急预案,确保应急预案的科学性、实用性、可操作性。提高突发网络安全事件监测预警能力,加强预警信息和预警处置,对可能造成全局性影响的要及时报通信主管部门。严格落实突发网络安全事件报告制度。建设网络安全应急指挥调度系统,提高应急响应效率。根据有关部门的需求,做好重大活动和特殊时期对其他行业重要信息系统、政府网站和重点新闻网站等的网络安全支援保障。
(三)维护公共互联网网络安全环境。认真落实工业和信息化部《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》,建立健全钓鱼网站监测与处置机制。在与用户签订的业务服务合同中明确用户维护网络安全环境的责任和义务。加强木马病毒样本库、移动恶意程序样本库、漏洞库、恶意网址库等建设,促进行业内网络安全威胁信息共享。加强对黑客地下产业利益链条的深入分析和源头治理,积极配合相关执法部门打击网络违法犯罪。基础电信企业在业务推广和用户办理业务时,要加强对用户网络安全知识和技能的宣传辅导,积极拓展面向用户的网络安全增值服务。
(四)推进安全可控关键软硬件应用。推动建立国家网络安全审查制度,落实电信和互联网行业网络安全审查工作要求。根据《通信工程建设项目招标投标管理办法》(工业和信息化部令第27号)的有关要求,在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。加强关键软硬件采购前的网络安全检测评估,通过合同明确供应商的网络安全责任和义务,要求供应商签署网络安全承诺书。加大重要业务应用系统的自主研发力度,开展业务应用程序源代码安全检测。
(五)强化网络数据和用户个人信息保护。认真落实《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),严格规范用户个人信息的收集、存储、使用和销毁等行为,落实各个环节的安全责任,完善相关管理制度和技术手段。落实数据安全和用户个人信息安全防护标准要求,完善网络数据和用户信息的防窃密、防篡改和数据备份等安全防护措施。强化对内部人员、合作伙伴的授权管理和审计,加大违规行为惩罚力度。发生大规模用户个人信息泄露事件后要立即向通信主管部门报告,并及时采取有效补救措施。
(六)加强移动应用商店和应用程序安全管理。加强移动应用商店、移动应用程序的安全管理,督促应用商店建立健全移动应用程序开发者真实身份信息验证、应用程序安全检测、恶意程序下架、恶意程序黑名单、用户监督举报等制度。建立健全移动应用程序第三方安全检测机制。推动建立移动应用程序开发者第三方数字证书签名和应用商店、智能终端的签名验证和用户提示机制。完善移动恶意程序举报受理和黑名单共享机制。加强社会宣传,引导用户从正规应用商店下载安装移动应用程序、安装终端安全防护软件。
(七)加强新技术新业务网络安全管理。加强对云计算、大数据、物联网、移动互联网、下一代互联网等新技术新业务网络安全问题的跟踪研究,对涉及提供公共电信和互联网服务的基础设施和业务系统要纳入通信网络安全防护管理体系,加快推进相关网络安全防护标准研制,完善和落实相应的网络安全防护措施。积极开展新技术新业务网络安全防护技术的试点示范。加强新业务网络安全风险评估和网络安全防护检查。
(八)强化网络安全技术能力和手段建设。深入开展网络安全监测预警、漏洞挖掘、恶意代码分析、检测评估和溯源取证技术研究,加强高级可持续攻击应对技术研究。建立和完善入侵检测与防御、防病毒、防拒绝服务攻击、异常流量监测、网页防篡改、域名安全、漏洞扫描、集中账号管理、数据加密、安全审计等网络安全防护技术手段。健全基于网络侧的木马病毒、移动恶意程序等监测与处置手段。积极研究利用云计算、大数据等新技术提高网络安全监测预警能力。促进企业技术手段与通信主管部门技术手段对接,制定接口标准规范,实现监测数据共享。加强与网络安全服务企业的合作,防范服务过程中的风险,在依托安全服务单位开展网络安全集成建设和风险评估等工作时,应当选用通过有关行业组织网络安全服务能力评定的单位。
三、保障措施
(一)加强网络安全监管。通信主管部门要切实履行电信和互联网行业网络安全监管职责,不断健全网络安全监管体系,积极推动关键信息基础设施保护、网络数据保护等网络安全相关立法,进一步完善网络安全防护标准和有关工作机制;要加大对基础电信企业的网络安全监督检查和考核力度,加强对互联网域名注册管理和服务机构以及增值电信企业的网络安全监管,推动建立电信和互联网行业网络安全认证体系。国家计算机网络应急技术处理协调中心和工业和信息化部电信研究院等要加大网络安全技术、资金和人员投入,大力提升对通信主管部门网络安全监管的支撑能力。
(二)充分发挥行业组织和专业机构的作用。充分发挥行业组织支撑政府、服务行业的桥梁纽带作用,大力开展电信和互联网行业网络安全自律工作。支持相关行业组织和专业机构开展面向行业的网络安全法规、政策、标准宣贯和知识技能培训、竞赛,促进网络安全管理和技术交流;开展网络安全服务能力评定,促进和规范网络安全服务市场健康发展;建立健全网络安全社会监督举报机制,发动全社会力量参与维护公共互联网网络安全环境;开展面向社会公众的网络安全宣传教育活动,提高用户的网络安全风险意识和自我保护能力。
(三)落实企业主体责任。相关企业要从维护国家安全、促进经济社会发展、保障用户利益的高度,充分认识做好网络安全工作的重要性、紧迫性,切实加强组织领导,落实安全责任,健全网络安全管理体系。基础电信企业主要领导要对网络安全工作负总责,明确一名主管领导具体负责、统一协调企业内部网络安全各项工作;要加强集团公司、省级公司网络安全管理专职部门建设,加强专职人员配备,强化专职部门的网络安全管理职能,切实加大企业内部网络安全工作的统筹协调、监督检查、责任考核和责任追究力度。互联网域名注册管理和服务机构、增值电信企业要结合实际健全内部网络安全管理体系,配备网络安全管理专职部门和人员,保证网络安全责任落实到位。
关键词:网络安全;实验室建设;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7570-02
Network Safety Laboratory Construction of Study
LIU Qing-jie1, GAO Huan-zhi2, WANG Xiao-ying1, BAI Ling1
(1.Institute of Disaster Prevention Science and Technology, Beijing 065201, China; 2.General Research Institute for Nonferrous Metals, Beijing 100088, China)
Abstract: The network safety is current Gao Xiao4 laboratory teaching importance one of the courses, is also Gao Xiao4 development qualified information safety talented person of importance category.This text combine Gao Xiao4's teaching circumstance, carried on investigate to the problem of the safety teaching of the construction information laboratory and put forward a contribute to Gao Xiao4 an information safety teaching laboratory construction of project.
Key words: Network safety; laboratory construction; information safety
随着计算机网络技术的普及,电子政务和电子商务得到越来越广泛的应用。这样,网络安全的问题随之产生,病毒感染与“黑客”攻击成为计算机网络安全的重要课题。加强计算机网络建设成为电子商务增值业务的关键。为适应这一形势,2000 年教育部批准在高校中建立信息安全本科专业,培养社会急需的信息安全专门人才。而目前大多数高校的信息安全课程偏重于理论教学,而相应的实验教学环节滞后。所以建设一个满足信息安全专业教学要求的综合实验室是高校信息安全专业建设和培养合格的信息安全人才具有重要的意义。
1 网络安全实验室建设的背景
尽管近几年来,国家和各企事业单位对信息安全的问题越来越重视,并且投入大量的人力和财力来加强网络的安全,但我国的计算机网络安全的形势还是相当严峻。2001年1-6月份,我国互联网上多次爆发大范围蠕虫传播事件,影响最大的微软视窗LSASSL漏洞的“震荡波”系列蠕虫,感染用户数量达到数以百万计。此外木马程序带来的危害愈加严重,据抽样监测统计,我国有大量计算机中被放置木马程序,所开放的后门一旦被人恶意利用后果将十分严重。
根据国家计算机网络应急技术处理协调中心(CNCERT /CC )的权威统计结果,2005 年,CNCERT / CC 及其各省分中心共接受来自国内外的网络安全事件报告总计达到12 万件,与2004 年相比,数量增加一倍以上。同时,与2003 年相比,2004年和2005 年安全事件报告的数量的增长更加明显。
企业商业业内部网络的安全问题是企业信息化首先需要解决的一个关键的问题。每个企业商业都需要专门的信息安全人员来制订合适的安全策略,并用各种安全技术来实施安全策略,保证内部网络的安全和各种网络服务的可靠提供。信息化建设需要大量的信息安全人员来保驾护航,为企业商业信息化建设培养网络安全基本理论和技术技能的专门人才迫在眉睫。
高校作为我国培养专门技术人才的最重要机构,原有的网络技术和网络安全方面的实验教学已经跟不上新设立的信息安全专业的建设和发展的要求。新的形势要求高等院校建专业教学要求的综合实验室,要在网络安全实验室的硬件上进行改造,还要实验教学上做出更大的调整,设计出一批更适合学生教学要求的实验项目。
2 网络安全实验室建设的要求
网络安全涉及到国际和国家信息安全标准、密码学理论、各种信息安全基本理论和技术等等,涵盖的范围非常广泛。不同层次的学生和不同专业方向的学生,对其掌握信息安全理论与技术的要求不同。网络方向的本科生应该掌握较为完整的网络安全的理论和技术,具备基本的网络安全管理的实际技能。网络安全实验室也应该能够满足研究生在网络安全方向的实验教学的需求。
网络信息技术日新月异,相关领域的理论和技术发展很快。实验室提供的信息安全实验平台应该能够及时升级、更新,以适应技术的发展。在建设信息安全实验室时,要遵循良好的可扩充性原则。实验室的设备能够方便的通过软硬件升级的方式,保证实验室跟上信息安全技术发展的趋势。
网络安全技术是基于网络通讯协议构建的。目前基于IFv4 的仲网络正在向下一代的网络层协议工Pv6 转变和过渡。除了提供几乎无穷的工Pv6 地址之外,工Pv6 的安全性也得到了极大的改善。因此在设备的采购和实验室建设的过程中,应该充分考虑到对未来工Pv6 协议的兼容性。信息安全实验室除了提供本科生信息安全相关课程教育的实验环境以外,还应该结合学生将来就业的需求,在设备的采购过程中既考虑到技术上的先进性,又考虑到设备的实用性。
3 建立网络安全实验实验的探讨
根据网络安全实验室的设计原则,实验室分成十个小组,每个小组可以容纳4 ―6 人做实验。每个实验小组组成一个子网,各实验小组子网间通过一台三层交换机分割。实验室还有一个由各种基本的网络服务器组成的专门为各子网提供服务的服务器子网,该子网也通过三层交换机与其他实验小组子网相连。各实验小组可以获得服务器子网的服务,也可以模拟访问、攻击服务器子网。
实验小组子网主要由一台高性能PC 机和4 ―6 台学生用PC 机组成。高性能PC 机的Windows 操作系统上安装由北京艾克斯特工业自动化技术有限公司开发的的商用防火墙软件“清网”防火墙软件。该防火墙软件具有强大的数据包过滤、VPN ( Virtual Private Network )、NAT ( Network Address Trallsitioll )入侵检测、安全审计等功能。高性能PC 机的Linux 操作系统上安装各种基于Linux 的网络安全工具。源码公开的Limix 操作系统具有很强的网络互联功能,同时Limix 操作系统还提供许多使用性很强的网络安全工具,如lptables FreeS / WAN 虚拟专用网(vPN )软件、ClamAN 病毒扫描引擎等。基于这些网络安全工具的实验项目和安全工具源代码的分析对学生掌握网络安全的基本理论和基本技能具有较大的促进作用。
首先基本实验能够满足计算机本科生网络安全实验教学的要求。通过基本实验,学生能够掌握保障网络安全的一些基本技术的使用方法,其中最主要的是防火墙数据包过滤功能和NAT 功能的配置。具体掌握L inux 操作系统下防火墙和NAT 功能的配置,W indows 操作系统下“清网”防火墙数据包过滤和NAT 功能的配置。
防火墙基本实验:每个小组可以通过配置自己网络中安装的“清网”防火墙和Limix 防火墙来访问、攻击服务器网络中的网络应用服务器。通过配置防火墙过滤规则和攻击用PC 机上的各种攻击工具,理解防火墙在网络中的地位、作用和工作机理、熟悉防火墙的各种配置手段。网络地址转换(NAT )基本实验:每个小组可以通过配置自己网络中安装了“清网”模块和Linux NAT 模块的PC 机,理解NAT 的工作机理、熟悉NAT 的各种配置手段。
其次在掌握以上基本实验的基础上,对网络方向的本科生还要求其掌握高级的信息安全技术及其相应的实验。这些技术包括v 洲技术及其配置、数字证书发放的实验、通过数字证书进行身份认证的实验、入侵检测实验、安全审计实验、病毒防治实验、网络扫描实验等等。
数字证书发实验:通过服务器网络中的以证书服务器,为各个实验小组中的成员在线或离线发放数字证书。让学生掌握公钥密码体制中公钥和私钥生成、公钥的安全传送、私钥的存放、数字证书的申请和存放等技术,加深对基于FKI 的数字证书技术整体框架的理解。基于数字证书的身份认证实验:各小组的成员以发放的数字证书为凭证,访问服务器网络中的网络服务。服务器在提供网络服务之前,要先通过小组成员的数字证书进行身份认证,只有合法的用户才能获得相关的服务。入侵检测实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的入侵检测模块和Limix 操作系统下的Snort 的入侵检测工具进行入侵检测方面的实验。通过实验,加深对入侵检测技术的理解和实际入侵检测软件的使用。安全审计实验:利用各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的安全审计模块进行安全审计方面的实验。通过实验,加深对安全审计技术的理解和具体安全审计软件的使用。虚拟专网(VPN )实验:两个小组利用图3 所示的实验环境,通过配置各小组网络中作为防火墙的PC 机上安装的“清网”防火墙软件的V洲模块或Linux 下的FreeS / WAN VPN 模块,进行两个网络间通过v 洲技术进行安全连接的实验。通过实验,加深对基于IPsec 协议的V洲技术的理解和具体软件的使用。
再次实验室也能给高年级学生及研究生进行网络安全方面的创新实验提供相应的环境,如进行Linux 网络源代码分析、Linux 防火墙设计与实现、敏感信息过滤系统设计、IPSeC 协议的设计与实现、病毒扫描引擎设计与实现、工Pv6 环境下的网络安全问题的研究等。因为实验室所有的PC 机上都安装Linux 操作系统,Linux 操作系统平台上有很多基于开放源码的与信息安全相关的软件。学生可以改进这些软件,根据研究结果增加相应的功能模块,这些改进的软件可以在本实验室平台的PC 机上安装,验证软件功能改进的效果等。从而为学生的创新实验提供很好的平台。
随着计算机网络的发展,网络应用中面临着截获、中断、篡改和伪造等威胁,漏洞攻击、黑客大战、拒绝服务、网络钓鱼、间谍软件等都让网络安全威胁变得无处不在。安全威胁的日益严重决定着用户的需求,高等学校培养网络安全方面的专业技术人才已迫在眉捷。网络安全是一门实践性很强的学科,建设一个满足信息安全专业教学要求的实验室是培养合格的信息安全人才的关键之一。本文论述了网络安全实验室建设的必要性,提出了建设过程中应遵循的基本原则,讨论了建设网络安全实验室的具体方案,并给出了网络安全实验项目的参考方案,这些对高校网络安全教学实验室的建设具有较大的参考价值。
参考文献:
[1] 魏立伟,姚跃华,弼成.信息类专业实验室建设的思路与实践[J].中国科技信息,2005(1).
蔓延全球的金融危机迫使运营商不得不降低成本,削减网络开支,但日常的工作还必须正常运转,如何寻求其间的平衡点,Infoblox亚太区销售总监罗启明日前携其最新的核心网络服务设备给业界带来了答案。
“作为最早开始核心网络服务设备开发的厂商,Infoblox能够提供专用的域名解析、IP地址分配与管理、认证与授权、配置和网络时间同步协议。该设备平台集成、分发并管理驱动着IP网络和应用的服务与数据,保证了企业的网络运作和安全,在节省资源的同时保证业务稳步成长。核心网络服务把网络、用户、设备、应用以及策略结合在一起”,罗启明在接受《通信产业报》记者采访时表示。
目前,保持业务正常运转的网络设备包括各种网络安全产品、不同功能与性能的路由器和交换机,但是缺乏针对DNS,DHCP,IPAM进行管理的产品。其实,以往在核心网络服务中存在非常大的漏洞,会对业务运作产生极大影响。核心网络服务对于所有的网络和应用都是必不可少的,没有核心网络服务,基于IP的网络和应用就无法工作。IP网络和应用越来越依赖于核心网络服务以及它们之间的信息交换。许多现代应用――包括ERP、CRM,以及所有基于web的应用――都非常需要DNS服务。核心网络服务的重要性与日俱增,原因是基于IP的设备不断增长――如RFID读卡器、VoIP手机、无线设备等――而且人们对移动性、集中性、安全性和兼容性方面有了新的要求。以往大多数企业使用MicrosoftorUnix来管理DNS,DHCP,但这种免费系统无法提供安全,稳定,高性能的核心网络服务。
对此,罗启明说,Infoblox能够提供业界唯一的、专为设备级核心网络服务而设计的平台,产品可以将原有的基础设施升级到标准的、安全的专用设备平台。以此来简化IP资源的管理、降低开支、提供高可用性和灾难恢复。提及该平台最大特点,罗启明说,平台支持VoIP、无线认证等先进的应用,在此基础上还能够帮助运营商建立身份驱动网络。
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
