㈠ Juniper是什麼品牌
中文名是 瞻博
㈡ 網路安全問題
電信系統網路解決方案
第一章 前 言
第二章 網路安全概述
第三章 網路安全解決方案
第四章 典型應用案例
第五章 未來網路安全解決方案發展趨勢
第一章 前 言
當今的網路運營商正在經歷一個令人振奮的信息爆炸時代,網路骨幹帶寬平均每六到九個月就要增加一倍。數據業務作為其中起主導作用的主要業務類型,要求並驅動網路結構開始發生根本性的改變。光互聯網的出現為基於IP技術的網路應用奠定了新的基礎。伴隨網路的普及,信息網路技術的應用、關鍵業務系統擴展,電信部門業務系統安全成為影響網路效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。由於國際形勢的變化,加劇了爆發"網路戰爭"的可能性,保障網路及信息安全直接關繫到國家的經濟安全甚至國家安全。因此如何使信息網路系統不受黑客和間諜的入侵,已成為國家電信基礎網路健康發展所要考慮的重要問題。
在新的電信市場環境中,需求的多元化和信息消費的個性化逐漸成為必然趨勢,這一點在數據通信領域體現得尤為明顯。經過幾年努力,公用數據通信網路在規模上和技術層次上都有了一個飛躍,用戶數持續高速增長,信息業務用戶發展尤為迅猛,全國性大集團性用戶不斷增加,並且開始向企業用戶轉移;政府上網工程進展順利,電子商務已全面啟動,中國電信安全認證體系通過了中國密碼管理委員會和信息產業部舉行的聯合鑒定,並與金融部門開展了有效的合作。電信同時提供Internet接入業務,IP電話業務以及其他業務.該IP承載網承載圖象、語音和數據的統一平台,強調Qos,VPN和計費等,成為新時代的多業務承載網。中國電信數據通信的發展定位於網路服務,實現個性化的服務。事實上,這一類網路功能非常豐富,如儲值卡業務、電子商務認證平台、虛擬專用網等。而這一切都依賴於網路安全的保障,如果沒有安全,個性化服務就根本無從談起。只有電信的基礎平台完善了,功能強化了,安全問題得到保障了,才能夠提供真正個性化的服務。
由於電信部門的特殊性,傳遞重要信息、是整個國民通信系統的基礎。它的安全性是尤其重要的。由於我們的一些技術和國外還有一定差距,國內現有的或正在建設中的網路,採用的網路設備和網路安全產品幾乎全是國外廠家的產品。而只有使用國內自主研製的信息安全產品、具有自主版權的安全產品,才能真正掌握信息戰場上的主動權,才能從根本上防範來自各種非法的惡意攻擊和破壞。現今大多數計算機網路都把安全機制建立在網路層安全機制上,認為網路安全就僅僅是防火牆、加密機等設備。隨著網路的互聯程度的擴大,具體應用的多元化,這種安全機制對於網路環境來講是十分有限的。面對種種威脅,必須採取有力的措施來保證計算機網路的安全。必須對網路的情況做深入的了解,對安全要求做嚴謹的分析,提出一個完善的安全解決方案。本方案根據電信網路的具體網路環境和具體的應用,介紹如何建立一套針對電信部門的完整的網路安全解決方案。
第二章 網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
㈢ 網路安全解決方案,如何寫
1-描述網路安全的重要性
2-當前企業所面臨問題
3-我們軟體能剞劂問題
4-解決問題後預計能帶來收益
5-我們的服務(優勢、成功案例、資質等)
㈣ 建設行業電子政務信息安全問題初探
伴隨著 Internet 的廣泛應用,其中電子政務信息安全保密問題顯得尤為突出。分析建設行業電子政務系中鉛棗統面臨的威脅,制定切實可行的安全防禦策略確保信息網路安全,已成為建設行業電子政務建設中迫切需要研究解決的問題。政務內網、政務外網、公共服務網的網路環境,都是採用 TCP/IP 協議而建立的,該協議以開放和自由為基礎,從協議規劃、服務模式、網路管理等方面均缺乏周密的安全性設計,所以電子政務信息系統本身就存在著先天的安全隱患[1]。對電子政務的安全威脅,包括網上黑客入侵和犯罪、網上病毒泛濫和蔓延、信息間諜的潛入和竊密、網路恐怖集團的攻擊和破壞、內部人員使用盜版光碟,看電影,聽音樂,玩游戲等違法違規操作等,這些問題都會引起網路擁堵,計算機工作站無法使用、網路交換機不工作、與互聯網相連的路由器阻塞、網路系統癱瘓、信息產品失控等嚴重後果。
數據作為系統最終的元素是信息安全保障的根本,對電子政務而言更為重要,它涉及國家機密、部門工作秘密、內部敏感信息和開放服務信息。其主要安全隱患是竊取、篡改、假冒、抵賴、銷毀。政務公開與網路安全本身就是一對矛盾,「政務公開」要求通暢信息網路交流,而「網路安全」則要求嚴格控制信息訪問許可權,這是由於各種信息交流可能直接引起網路的連通,連通則會引起信息安全問題。同時,電子政務系統一般都是涉密系統,黑客很可能因為某種目的滲透到政府部門,很容易通過網路安全防護不嚴密的環節直接攻擊系統漏洞,利用漏洞竊取涉密信息,或篡改、假冒用戶身份,阻塞正常的網路信息服務等。
此外,操作系統也存在來自 Internet 的黑客攻擊;內部工作人員不分網路性質,隨意利用辦公網路終端與 Internet 聯接,加上惡意病毒無規律性的連續侵襲等,這些都形成了目前電子政務安全的主要隱患。
1 建設行業電子政務信息安全問題現狀分析
建設事業主要包括城市建設、村鎮建設和工程建設三大領域;建築業、房地產業、市政公用事業和勘察設計咨詢業四大行業。各級建設行政主管部門大力推進信息技術為核心的科技興省工作要求,按照建設部提出的《建設事業「十五」發展規劃》和《建設事業信息化「十五」計劃》,堅持「統籌規劃,資源共享,應用主導,面向市場,安全可靠,務求實效」的建設行業信息化發展方針,積極組建區域網絡,基本實現了與 Internet 的連接,如江蘇省建設行政主管部門 1996 年就完成了百兆區域網絡、10 兆帶寬信息交換到桌面的建設任務。先後構建了「蘇建設信息網」、「蘇工程建設網」、「蘇建築業網」等電子政務信息平台,開發完成了「蘇省建築企業資質網上申報系統」、「蘇省建設工程監理企業資質管理系統」和 「蘇省建設工程承發包管理信息系統」等。同時,根據網路信息安全保密的要求,制定了計算機信息安全和保密規定,並將網路區分為內外兩個獨立的體系,即內網和外網,其中,內網運行的是機關內部辦公自動化(OA)系統和視頻點播系統。機要部門的涉密信息與省委、省政府政務內網相連,並嚴格實施內、外網物理隔離,以確保涉密信息安全可靠地進行交換。
通過上述分析可以看出,目前建設行業網路信息安全的防護能力仍處於初賣拆級階段,許多應用系統處於低級別的設防狀態。僅網站和郵件系統就曾多次遭到黑客的攻擊或侵入、或被篡改頁面、或資料庫數據被破壞、或遭受尼姆達(Nimda)等一波接一波的病毒攻擊,這些都造成了大量重要數據資料的損壞,部分業務系統的癱瘓。網路中心有時只得被迫關閉伺服器進行系統恢復、殺毒和治理,導致網站系統服務中斷,給用戶造成了很大不便和不良影響。當前建設行業的信息網路安全激搏工作研究,還處在忙於封堵現有信息系統的安全漏洞階段。要徹底解決這些迫在眉睫的問題,歸根結底取決於信息安全策略的制定和技術保障體系的建設。目前,迫切需要從建設行業信息安全體系整體規劃著手,在建立全方位的防護體系的同時,建立一整套完善的網路信息安全管理制度,只有這樣,才能保證建設行業電子政務健康發展,確保涉密信息的安全存儲和交換。建設行業網路信息安全主要存在 4 個方面的隱患:
(1)資料庫伺服器和 Web 伺服器在同一台伺服器上,網站一旦遭受黑客攻擊,作為電子政務的核心-資料庫將遭受滅頂之災。
(2)整個區域網都在一個子網內,沒有實現網段劃分,區域網內部任何一台電腦感染了採用黑客攻擊方式發出的病毒,就會威脅到所有區域網內部的所有的工作站。
(3)盡管網路中心通過防火牆實現了內部區域網與 internet 連接安全區分隔,但由於區域網 internet訪問與外部連接共享同一網路通道,一旦防火牆被攻破,缺乏有效網路安全手段的內部區域網及重要資源將暴露在黑客面前,後果不堪設想。
(4)區域網內互聯網與區域網之間沒有裝備網路入侵偵測系統。對於網路內部和外部用戶的誤操作,資源濫用和惡意行為都不能有效阻止和報警,即使裝有防火牆和殺毒軟體,也不能解決根本問題。只有安裝網路入侵偵測系統和防火牆,才能對信息網路破壞行為進行阻止和報警。
因此,各級建設行政部門要建立高效的電子政務系統,首先需要確保信息網路的安全,沒有安全的網路做保障,要建立一個能為社會公眾提供「高效、便捷、優質」服務的電子政務信息平台就無從談起。
2 建設行業電子政務建設中的信息安全策略
根據國家信息化領導小組提出的「堅持積極防禦、綜合防範」的方針,借鑒浙江等兄弟省市的網路信息安全管理經驗,提出建設行業電子政務網路信息安全工作應當遵循「管理為上、策略聯動、層層設防、立體防護」的原則。
(1)管理為上原則。「三分技術,七分管理」,在電子政務的安全建設中管理的作用至關重要。網路提供多種便捷的應用,幫助人們提高工作的效率,而同時因為許多管理上的原因,使信息網路不安全、不穩定。特別是在電子政務建設過程中網路的安全問題,由於政府工作人員對信息網路安全方面警惕性
不高,這樣就導致了運行效率的低下,浪費了投資,嚴重時會引起泄密事件。
(2)策略聯動原則。管理及技術解決方案的策略聯動是一個最好的途徑。首先,要在一個總體安全及管理的方針下對各部門的安全管理策略進行協調,使這個系統在保證其安全性的時候,又能夠最大限度的保證其運行效率。其次,在產品和技術的層面上又能夠使一種技術與另一種技術相互聯系,取長補短,達到真正的有機結合,實現全面防護和管理。
(3)層層設防原則。在安全管理時要考慮到多層次的問題,包括管理層面和技術層面。管理層面涉及到管理策略和管理方法 2 個方面,一是要制定出一個符合實際需要的策略,並用高效、經濟的方法來實現。二是在黑客破壞或入侵某個系統時採取多種方法,包括搭線竊聽、IP 偽裝、利用網路協議和應用漏洞等。這些地方都需要得到良好地保護,而一個安全方法和安全技術是無法實現全部防護的,所以,需要全面規劃,層層設防。
(4)立體防護原則。在策劃和實施一個網路安全及管理系統的時候,需要站在全局和長遠的角度去設計。要使這個網路安全及管理系統跟隨目前安全與管理發展的潮流,解決目前和將來可能會出現的安全與管理問題,這樣就需要在網路安全及管理系統設計之初就使這個系統是多維的、可擴展的系統,以適應目前的需求和將來的發展。其次,還要對系統進行分割,決定哪些是迫切需要的,需馬上實施;哪些是長遠考慮的,需有步驟有計劃地實施。
3 建設行業電子政務信息安全技術保障體系
電子政務的安全目標是:保護政務信息資源價值不受侵犯,保證信息資產的擁有者面臨最小的風險和獲取最大的安全利益,使電子政務的信息基礎設施、信息應用服務和信息內容為抵禦上述威脅而具有保密性、完整性、真實性、可用性和可控性的能力[3]。鑒於電子政務的信息安全面臨的是一場高技術的對抗,涉及法律、規章、標准、技術、產品服務和基礎設施等諸多領域[4]。結合目前建設行業電子政務網路建設結構特點,提出以下電子政務網路安全技術保障體系。
3.1 物理層安全解決方案
從物理環境角度講,地震、水災、火災、雷擊等環境事故,電源故障,人為操作失誤或錯誤,電磁干擾,線路截獲等,都對信息系統的安全構成威脅,保證計算機信息系統各種設備的物理安全是保障整個網路系統安全的前提。物理層的安全設計應從環境安全、設備安全、線路安全 3 個方面考慮。採取的措施包括:機房屏蔽、電源接地、布線隱蔽、數據傳輸加密和數據安全存儲等。另外,根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須採取網路安全隔離技術,在計算機終端安裝隔離卡,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
更多關於工程/服務/采購類的標書代寫製作,提升中標率,您可以點擊底部官網客服免費咨詢:https://bid.lcyff.com/#/?source=bdzd
㈤ 網路安全技術與解決方案的網路安全解決方案
網路安全解決方案實際是網路安全技術和方法的綜合應用,網路安全需要綜合各方面因素統籌兼顧才能更好地發揮實效。為了更好地解決網路安全工程中實際問題,更加全面、系統、綜合地運用網路安全技術,還需要掌握對「網路安全解決方案」的分析、設計、實施和具體編寫。「網路安全解決方案」涉及到網路安全技術、策略和管理等多方面,具體的構建影響到整個網路系統安全建設的質量和企事業機構網路系統的安危,以及用戶信息安全。視頻拓展
㈥ 誰可以提供網路安全物理隔離卡解決方案
網路安全物理隔離卡解決方案 隨著計算機網路及國際互聯網的應用飛速發展,使我們進入了前所未有的網路信息時代。用一台計算機可知天下事,政府的各部門、各企業均已採用先進的互聯網技術建立自己的內部辦公網。但由於公眾網(INTRENET)的開放性,使得網路安全受到嚴重的威脅。因此保密局規定:內部辦公網路計算機與公眾網(INTERNET)間必需實現物理隔離。基於上述原因,河北省科學院應用數學研究所為實現網路的物理隔離,自主研製推出了網路衛士物理隔離卡產品。
網路衛士產品簡介及產品特點
一、 產品簡介
1、 該產品解決了內外網路之間的物理隔離。以在原有計算機上加裝一塊「網路衛士物理隔離卡」的方式,來實現區域網與互聯網的網路通道隔離。當區域網中任何一台計算機一經接入互聯網,將完全與內部網(涉密網)徹底隔離,可以在互聯網上無拘無束的沖浪,又能保證內網的絕對安全。
2、 本產品是一種通過硬體配以軟體控制,來實現內、外網的切換,操作方便,安全可靠。真正符合國家保密局《計算機信息系統國際連網保密管理》第六條的規定。
3、 功能上等效於兩台獨立的計算機。內、外網兩套系統共享一塊硬碟及計算機中的所有資源,節省了大量的投資與辦公場地。
4、 本產品分為內置式和外置式兩種類型。內置式是直接固定於主板的PCI插槽上,不佔用計算機的資源,與計算機主板之間沒有數據通信,不存在任何兼容性問題;外置式是放置於機箱外部,方便更換、檢查及處理。
5、 支持ADSL撥號上網或是政府網的用戶使用。
6、 獨立研發、專利設計。擁有自主知識產權, 並申報國家專利(專利號:99257640.7)該產品並已通過公安部的安全性能檢測,檢驗報告編號:公計檢(委)字第99046號。頒發了產品批量生產許可證,批准證書編號:XKC30213;該產品也獲得了國家保密局關於涉密信息系統產品檢測認證證書(編號:ISSTEC2003YT0049)。可以確保內部網路及資源不受外界公眾網竊取和攻擊,真正做到簡單、可靠、可信、安全無憂地使用電腦。
二、網路衛士物理隔離卡的主要特點
真正實現物理隔離
全部採用觸點式繼電器,在單片機2051的控制下實現三組繼電器跳轉,保證了內、外網的真正物理隔離。
軟體控制,操作簡單、快捷
只需用滑鼠點擊」網路衛士」控制軟體上相應的按鈕,網路衛士通過串列口發送指令,系統自動關閉計算機,重新開機後到另一個硬碟系統。
安裝簡單,維護方便
網路衛士物理隔離卡的安裝並不復雜,在一台工作站PC上選擇一個PCI插槽插上隔離卡,卡上的控制線和兩個硬碟相連接,具有安裝網卡經驗的人員經過簡單的培訓即可順利安裝、維護。
使用范圍廣泛
本產品適用於政府機關、金融機構、部隊、企業單位、個人等需接入互聯網而又需要保護本地操作系統,及保護本地數據資源的一切個人電腦。
廣泛適用於Win98、win2000、WIN XP等各種操作系統。
產品功能及性能
網路衛士隔離卡是一種功能相對簡單又較為經濟的隔離產品,作為一個優秀的雙硬碟物理隔離產品系列,本產品已具備同類產品中最高的技術和性能。
本產品是PC機的硬體插卡,它插在PCI插槽上,卡上有三個電源介面,分別與主機電源、內網硬碟電源介面及外網硬碟電源介面相連接。內外網硬碟各自安裝獨立的操作系統,分別與內外網相對應。卡上還有內外網路線纜介面用於連接內外網路介面的通斷。在同一時間內只有一個硬碟供電並與相應的網路接通,另外一個硬碟不供電,其對應的網路也切斷,實現內外網路徹底的物理隔離。
純硬體設計,真正實現物理隔離。當網路衛士物理隔離卡處於內網狀態向外網切換時NetGuard 會自動檢測軟盤驅動器是否有軟盤存在,若驅動器中有軟盤存在,則給出警告不能切換並且返回,取出軟盤後方可進行網路切換。這就防止了在內網狀態下軟盤中數據被外網訪問的可能。
隔離卡與計算機通過串列口通訊,控製程序對計算機串列口具有自適應性,可選擇任意一個串列口安裝和使用,更換串列口需要重新配置;
一台計算機實現兩台計算機的功能,兩套系統共享除硬碟以外的所有設備,可節省大量投資和辦公場地。
網路衛士安全隔離解決方案
針對政府部門對於內外網路必須達到物理隔離的要求,我們特提出以下解決方案:在原基礎上安裝第二塊硬碟,通過安裝使用網路衛士隔離卡,使每塊硬碟專用於某個網路,而與另一塊硬碟及網路是完全物理隔離的。
產 品 使 用 指 南
一、 系統要求
1、 在具有一塊硬碟的基礎上再加裝一塊硬碟,這兩塊硬碟需安裝有自己獨立的Win98/2000Professial/WinXP等操作系統,並安裝軟體NetGuard。
2、 進行網路切換時系統要通過串列口(COM1/COM2)發送指令到網路衛士物理隔離卡,因此在系統中,要確定和網路衛士物理隔離卡相連接的串列口COM1或COM2未被佔用。
二、 安裝
1、硬體安裝
(1)關掉電源,打開機箱;
(2)將網路衛士隔離卡插在PCI槽上(只起到對隔離卡的固定作用,不從PCI插槽取電,不佔用系統中斷資源,不影響啟動速度);
(3)把內、外網線,對照卡上網線介面相連接,(內網線為標識為LAN的插槽,外網為標識為INTRNET的插槽,CARD插槽與網卡用藍色網線相連)。
(4)用灰色通訊線將卡上串口與PC機上的通訊串口相連。
(5)內、外網硬碟及PC機電源線與卡上相對應的電源線序連接。
2、軟體安裝
在兩塊不同的硬碟上分別安裝網路衛士切換軟體。
具體安裝方法如下:
●雙擊『我的電腦』裡面的光碟機盤符,找到與當前系統對應的切換軟體文件夾,雙擊里邊的SETUP.EXE文件開始安裝,連續選擇「NEXT」按鈕,最後選擇「FINISH」完成安裝。
●不需要時可從「控制面板」中的「添加/刪除程序」中卸載。
三、 使用說明
在Windows系統桌面上點擊「網路衛士」圖標 即可打開網路衛士切換軟體。只需用滑鼠雙擊選擇要切換到的網路按鈕,系統將自動關閉計算機,重新開機後自動轉換為對應的網路狀態。
網路衛士物理隔離卡與其它網路安全方法的比較
保護網路安全的方法 安全隔離性能 比較結果
1.配置兩台電腦,分別接上內部區域網和公眾網 可靠,符合國家有關網路
安全的規定 1. 使用不方便。
2. 投資成本巨大、浪費資源。
3. 網路設置復雜、維護難度大。
4. 佔用更多的辦公空間。
2.採用代理伺服器和防火牆技術 不可靠、不符合國家有關
網路安全隔離的規定 1. 投資成本大。
2. 即使是我國自主開發的防火牆產品,只要
CPU、操作系統是國外,安全程度亦難以保證。
3.安全隔離專用計算機 可靠、符合國家有關網路
安全隔離的規定 1. 重新購置該計算機,增加投資。
2. 單位現有的計算機造成浪費。
3. 一套機箱內二套設備, 技術上不合理。
4. 兼容機性能不穩定,價格高。
4.網路物理隔離卡 採用符合國家規定的物
理隔離法,安全可靠 1. 在原有設備上引入,不需增加太多投資。
2. 無需重新購買電腦設備,不佔用原有的辦公空間。
3. 純硬體設計,操作使用簡單、安全、可靠。 具體的可以看 http://forum.chinesehonker.org/thread-6486-1-1.html
㈦ 網路安全方案框架編寫時需要注意什麼
總體上說,一份安全解決方案的框架涉及6大方面:
1、概要安全風險分析;
2、實際安全風險分析;
3、網路系統的安全原則;
4、安全產品;
5、風險評估;
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
4、對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
7、方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。
㈧ 網路安全解決方案
企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段