时间:2023-05-30 10:18:29
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全规划与设计,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:通信网络;规划设计;安防工程
影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。
1通信网络的保障方式
通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。
2通信网络的安全需求
信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。
3通信网络安全分析
综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。
4结束语
对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。
参考文献:
[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.
[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.
[3]李克.电力光纤通信网络的规划设计问题探讨[J].信息通信,2016,08:217~218.
【关键词】 方案;逻辑结构;拓朴结构;网络安全
1 网络规划方案
1.1 网络设计原则
计算机网络技术的发展非常迅速,在计算机应用领域占有越来越重要的地位。必须认识到,建立计算机网络是一个动态的过程,在这个过程中将不断有新技术产生,有新产品出现。因此,一定要采用最先进的组网技术,选用代表当今世界潮流趋势的计算机公司的网络产品,才能在未来的发展中保持技术领先。该网络设备采购与集成工程要充分体现技术先进性、功能实用性、操作简便性、数据共享性和系统扩展性等特点,同时兼顾投入成本和今后升级费用。具体应达到几点要求。
紧贴用户需求:网络建设的最根本的目的是满足用户的需求,并在未来的网络发展中能够有一定的扩展性。
可靠性:网络设计中网络设备和链路本身具有高可靠性,是网络中一个重要的指标。
层次结构:网络的层次结构的划分,主要是用来区分各层的主要功能,建立合理的网络结构。
实用性:网络设计一定要充分保护网络系统现有资源。同时要根据实际情况,采用新技术和新装备,还需要考虑组网过程要与平台建设及开发同步进行,建立一个实用的网络。
安全性:安全性非常重要,除了系统提供多种安全控制的手段外,网络设计也要提供保障其安全的手段。
1.2 网络逻辑结构设计思想
分层模块化设计的优点。
可扩展性:由于分级模型易于模块化,它对网络设计非常有用。因为每层设备有类似的,明确定义的功能。
设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境。
可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
网络层次的划分:按照当前网络技术和应用的发展,网络中各部分所需要承担的功能的不同,把网络分为三个层次:接入层(Access layer)、汇聚层(Distribution layer)、核心层(Core layer)。
2 详细的网络设计
2.1 整体网络拓朴结构设计
整个网络采用层次化设计,从网络的逻辑结构来看,网络分为三层,即核心层、汇聚层和接入层。
2.2 核心层的设计
以机关大楼二楼的信息中心机房、102工房的指挥调度中心机房、综合楼的一楼配线间为中心组成一个单模双环万兆主干网,核心设备选用3台高档路由器。
2.3 汇聚层的设计
在信息中心机房、指挥调度中心机房、综合楼/科研楼、101工房制丝中控室、102工房卷包中控室、101工房动力中控室分别配置两台交换机,每台交换机各自以万兆方式就近接入核心层路由器,同时两台交换机之间也以万兆线路连接。
2.4 接入层的设计
接入层是网络的最边缘部分,直接连接网络用户终端,为网络提供通信。它的主要目的是允许最终用户连接到网络。采用千兆光纤线路连接本楼汇聚层的交换机,以10/100/1000M电口连接终端,同时考虑到无线系统的部署,接入交换机还要提供无线接入点的接入。
2.5 IP地址规划
2.5.1 IP地址规划的重要性
网络的设计及实现新厂区IP地址的分配,采用动态分配、集中管理办法。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系。
2.5.2 IP地址分配方案
为适应不同规模的网络,可将IP地址分类,称为有类地址。每个32位的IP地址可以分成网络部分和主机部分。每个地址的最高位或起始几位标识地址的类别,共有5类IP地址,分别是A,B,C,D,E类地址。
2.6 VLAN的规划
以太网交换技术的一个主要特征是VLAN,它使用交换机将工作站和服务器聚集到逻辑概念上的组中。在一个VLAN中的设备只能够与同一个VLAN中的设备通信,这样,一个交换式的网络工作起来就像是许多互不相连的单独的LAN一样。
2.7 路由设计规划
路由器使用路由选择协议交换路由选择信息。内部网管协议(IGP)和外部网管协议(EGP)是路由选择协议的两种家族。由于此网络为3级网络系统,骨干网络有一定规模,合适的路由协议将有利于路由快速的收敛,实时反映网络系统中链路和设备的变化,并减少网络上的路由信息传输量,提高网络带宽的利用率。
3 网络安全设计与实现
网络安全包括两个主要方面:首先保护你的网络防止非授权访问;其次,确保你在发生灾难性事件后能够恢复数据。在第一个方面中可以采取建立安全策略来达到此目的。数据恢复是网络安全的第二个方面。
3.1 网络安全的设计
在局域网内部,为对整个网络的安全状况进行有效的评估,建议配置网络安全扫描设备,对包括Internet/Extranet外部网络接口、内部主机在内的整个网络进行扫描,在不断变化的网络中识别并分析安全弱点(Proactive Software),同时快速生成超链接的、定制、可编辑的报告,帮助用户找到网络中的安全薄弱环节,从而调整安全策略,控制风险。
3.2 网络安全的实现
1)在网络中配属防火墙,作为企业广域网和局域网之间的边界控制。Cisco可提供PIX硬件防火墙、IOS路由器防火墙和交换机上的防火墙模块。
2)对所有网络设备的管理必须经过身份识别和监控,Cisco所有的网络设备都支持复杂的AAA功能,支持Radius和TACACS+等多种协议,更可以支持信息的加密传输如SSH和SNMP v3。
3)作为主动的防护手段, IDS入侵探测设备,可与防火墙配合使用,当侦测到入侵时,可动态修改防火墙的策略,关闭入侵者的连接和IP通道。
4)Cisco提供丰富的网络安全管理软件,小到Cisco Works上的一个组件,大到专门的策略管理器,应有尽有。
4 结束语
在整个网络规划与设计中达到了网络设计层次优化、可靠性高、安全系数稳定、服务质量有保证等优势。
关键词:校园网 规划 信息化
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)11-0162-01
近年来,某高职院校适应经济社会发展对应用型高技能人才的需求,主动谋变,科学转型,人才培养质量有了显著提升,同时为了加快发展,于2015年征地800亩,开始建设新校区。新校园的网络设施建设是基础设施建设的重要环节,其规划及设计既要充分考虑与老校网络的互联互通,技术方案、设备选型又要适当超前规划,考虑未来学校的长远规划。
1 现状与需求分析
1.1 校园网络现状
(1)网络核心设备。目前该校的网络核心设备主要是华为NE系列核心交换机组成,有少量采用h3c设备。华为NE系列交换机是具有三层交换功能的高端交换机,性能十分稳定。各网络节点之间用高速光纤接入。服务器以采用IBM刀片服务器为主。
(2)主干线路。目前,该高职院校的校园网主干线路为千兆,主干线路连接主交换机与二级交换机,二级交换是各网络节点与桌面电脑之间,大部分为百兆,拟升级为千兆。
(3)网络覆盖率及上网速度。该高职院校所有建筑单元均已覆盖校园园,百分之百的公用电脑均已入网。学校网络已接入中国教育教研骨干网络。
(4)网络拓扑结构。该院校目前的网络拓扑结构以集中式为主,结构比较合理,但是随着校园网网络用户数量的不断扩大,现有的网络负载量急剧增长,扩容十分必要。具体拓扑结构如图1所示。
1.2 新校园网络建设需求
该高职院校新校区目前在校生10000人,预计2020年要达到15000人的规模。教工用户稳定在2000人左右。新校区按照电工、电子、机械、人文等专业群划分为四个教学功能区,电工与电子专业集群共用实验楼,机械与数控等专业共用一个实验楼。
2 新校区网络设计原则
新校区网络建设与新校区基础设施建设遵循同步设计、有序施工原则。在新校区土建方案中即考虑网络管线设计,确定好核心点和汇聚点的位置、接入接式。网络建设与中心机房建设同步进行,遵循一个数据标准。
3 系统总体方案设计
3.1 网络拓扑结构设计
该院校网络拓扑设计考虑两种方案:
(1)星型结构。以图文信息大楼为中心,两台核心交换设备构成核心层;文科组团、理工组团二、生活区、各建一个汇聚点,学生公寓设置3个汇聚点,以上7个汇聚点用双链路接入核心层构成汇聚层;每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心层图文信息大楼中。
(2)环型结构。以图文信息中心、文科组团、理工组团二、学生公寓四点建立一核心环,用双链路连接保证可靠性,该环构成核心层。在公共教学组团、文科组团、理工组团一、理工组团二、生活区各设置一个汇聚点、学生公寓区设置三个汇聚点,各汇聚点用双链路平均接入核心环结点构成汇聚层,保证负载平衡。每个建筑体接入临近汇聚点,构成接入层。网络中心设在核心环上图文信息大楼中。
经与新校区建设指挥部协商,并征求施工方及专家的意见,确定该高职院校新校区网络设计方案采用两种方案结合的方式进行。即在网络主干布线时采用第二种方案,在二级结点之间采用第二方案。
3.2 新、老校园网络接入
由于该高职院校新、旧校区物理上相隔较远,自成一体。在新校区网络设计时,必须考虑租用第三方运营商线路。本院校租用了电信的万兆级裸光纤,用以新、旧校区高速数据交互的需要。新校区的校园网与中国教育科研网的连接复用老校区的出口。
3.3 网络安全保证
(1)建立电子身份体系。以该校一卡通管理为依托,为该校每一个学生建立一个网络身份证,并与教工用户使用不同的密钥系统。实行“集中授权、统一认证”,保证用户身份的真实性、唯一性和权威性。用户密钥采用硬件、软件加密系统,并引入口令卡技术,确保用户个人的信息安全。
(2)网络安全系统。网络安全系统主要有硬件防护和软件防护组成。该高职院校硬件防护主要是在校心交换上布设了内外网隔离网闸、防火墙,在网络服务器部设入侵检测系统及资源管理系统,实时监测服务器CPU、内存、磁盘阵列的资源负载情况;软件防护主要购买了绿盟病毒防护系统、安捷数据库访问审计系统。从硬件、软件两方面建立了该高职院校的校园网网络安全防护体系。
4 结语
本论文主要结合某高职院校新校区的建筑部局,对该高职院校新校区的网络建设需求进行了分析,并给出了新校区网络拓扑的两种方案,最后采用两种方案融合进行的思路,充分考虑了未来新校区网络建设的发展需求。网络安全是网络规划与设计中需要考虑的重要内容。本论文也给出了该高职院校网络安全保障的建设内容,包括建立电子身份体系、防火墙、入侵检测、病毒防护、VPN等安全系统和网管系统,并给出了该高职院校网络安全的防护结构示意图。本论文的研究对于大学新、老校园的网络建设具有重要的参考意义。
参考文献
[1]周苏,王文.高职院校数字化校园的规划及其网络系统的设计[J].信息化建设,2015.
【关键词】网络;安全;安全;虚拟化;
【中图分类号】G623.58
【文献标识码】A
【文章编号】1672-5158(2012)12-0055-01
引言
数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开,抛开物理安全的考虑,网络是数据中心所有系统的基础平台,网络安全从而成为数据中心安全的基础支持。因此合理的网络安全体系设计、构建安全可靠的数据中心基础网络平台是进行数据中心安全建设的基本内容。
1 数据中心网络安全建设原则
网络是数据传输的载体,数据中心网络安全建设一般要考虑以下三个方面:
(1)合理规划网络的安全区域以及不同区域之间的访问权限,保证针对用户或客户机进行通信提供正确的授权许可,防止非法的访问以及恶性的攻击入侵和破坏;
(2)建立高可靠的网络平台,为数据在网络中传输提供高可用的传输通道,避免数据的丢失,并且提供相关的安全技术防止数据在传输过程中被读取和改变;
(3)提供对网络平台支撑平台自身的安全保护,保证网络平台能够持续的高可靠运行;
综合以上几点,数据中心的网络安全建设可以参考以下原则:
整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题;
多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上;
性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈;
平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡;
可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负担,同时减小因为管理上的疏漏而对系统安全造成的威胁;
适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全要求,而给业务发展带来障碍的情况发生;
高可用原则:安全方案、安全产品也要遵循网络高可用性原则;
技术与管理并重原则:“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性。
投资保护原则:要充分发挥现有设备的潜能,避免投资的浪费。
2 数据中心网络安全体系设计
2.1 模块化功能分区
为了进行合理的网络安全设计,首先要求对数据中心的基础网络,采用模块化的设计方法,根据数据中心服务器上所部署的应用的用户访问特性和应用的核心功能,将数据中心划分为不同的功能区域。
采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域,并针对不同功能区域的安全防护要求来进行相应的网络安全设计。这样的架构设计具有很好的伸缩性,根据未来业务发展的需要,可以非常容易的增加新的区域,而不需要对整个架构进行大的修改,具备更好的可扩展性。因为每个区域的安全功能是根据每个区域的特性进行定义,因此可以在不影响其他应用或者整个区域的情况下单独进行安全部署,对于一次性建设投资或分阶段建设的情况下都可以很好进行网络安全的布局。
2.2 “核心-边缘“安全边界定义
采用模块化的架构设计方法将数据中心分为多个功能区域后,由于不同功能区域之间会有相互通讯的需求,因此整个网络架构形成“核心边缘”的结构特性,以数据中心核心区为中心,其他功能区域与核心区相连,成为数据中心网络的边缘区域。为了更好的保证数据中心的网络性能,数据中心核心区一般只提供高速的数据转发功能,不做安全控制的部署,在这个区域需要重点规划的是核心区的高可靠和高性能保证。
在这种“核心-边缘”的结构特性下,各功能区域同核心区域相连的接口成为该区域的网络安全边界。从业务和安全控制的角度出发,在各功能区域的边界需要采用一定的技术手段(通常部署防火墙硬件设备)定义成独立的安全区域。不同安全区域之间的网络如果需要相互访问,应该遵从有限互通的原则,按照不同功能区域之间安全信任级别的不同,在安全边界上部署不同的访问控制策略,禁止不同区域之间的网络在不采取任何安全访问控制的前提下直接互通。
2.3 “点、线、面”安全布局
安全边界的定义实现了对不同区域之间相互访问的控制,而各个功能区域内根据安全保护等级的要求以及安全访问的特性,需要分别设计各自的网络安全布局。
“点、线、面”安全布局的核心思想是以对不同安全区域被访问主体的访问控制管理为安全防御主线,结合不同区域的安全级别和应用要求,在安全访问“线路”上部署不同的安全“点”设备,并且对整个数据中心区域规划统一的安全事件发现、收集、分析、处理的机制和技术实现,实现安全“面”的统一管理。
2.4 网络的安全虚拟化
业界目前的数据中心交换机在设计上支持丰富类型的安全业务板卡,可以将多种安全设备以板卡的形式安装在网络中的节点交换机上,实现网络的安全虚拟化部署。
采用在数据中心网络节点的交换机上部署安全业务板卡的方式,改变了过去在一条线路上部署多个安全设备(就像糖葫芦串一样)的物理结构,将多个安全设备(N)集成在一台数据中心交换机上,使得整个网络线路得到大大的简化,这种部署方式具有以下技术优势:
大大简化了网络安全区域的拓扑结构;降低了由于安全设备单点故障对数据中心网络可用性的影响,如果某块安全业务板卡出现故障问题,交换机会进行数据转发层面的二层回退,即数据流不再必经通过出现故障的安全板卡进行处理,而是直接由交换机进行正常的数据转发,保证整个业务的不中断;一般独立的安全设备无法提供设备本身的高可靠保证,而这种部署方式,借助网络交换机本身的设备可靠性保障(引擎冗余,电源冗余,风扇冗余等),大大提高了安全设备的可靠性运行保证;由于独立的安全设备无法进行性能升级,随着数据中心网络性能的提升,安全设备往往会成为整个网络性能的瓶颈,采用业务板卡的部署方式,可以在一台交换机上叠加多块安全板卡,通过增加板卡的数量提升安全防护的性能,有效的保护已有投资,并且适应网络的性能发展。
利用安全板卡的虚拟化特性,可以在一块物理板卡上逻辑虚拟出来多个安全板卡的实例,并可以将不同的实例分配给不同的服务器连接线路,并单独设定每个实例的安全配置属性。在配置了安全板卡后,交换机的每一个业务接口都可以看成为安全板卡的业务接口,因此基于这种1:N的虚拟化特性和实现机制可以扩大交换机的安全防范范围,便于更细致的安全分区划分,从而提高网络安全部署的精细度。
【关键词】智慧校园 高校校园网络 网络安全
【中图分类号】G647 【文献标识码】A 【文章编号】1674-4810(2015)04-0049-01
一 智慧校园的现状
1.智慧校园及其特征
浙江大学在2010年信息化“十二五”规划中,曾经提出建设一个令人激动的“智慧校园”,这个智慧校园蓝图描绘的是:无处不在的网络学习、融合创新的网络科研、透明高效的校务治理、丰富多彩的校园文化、方便周到的校园生活。简言之,就是一个安全、稳定、环保、节能的校园。
数字化校园正在慢慢改变着校园传统的教学、学习、生活方式和服务管理模式,智慧校园在此基础上,将更利于师生的发展。总的来说智慧校园具有以下特点:(1)智能化的监控与管理。以校园网络技术为支撑,各个教室及重要的地方均安装摄像头,可将发生的意外情况采集,发送到监控管理终端,最后采集的视频可提供一定的管理凭证。(2)信息服务宽广。众多学校覆盖的校园网或者CMCC,使师生走在哪里都能连上无线,随时随地上网学习、娱乐、工作,丰富了师生的生活。
2.高校智慧校园建设基本状况
目前,国内清华大学、华中理工学院、南京邮电学院、浙江大学等高校已启动了智慧校园的规划与建设。在数字化校园的基础上,通过与地理信息系统、物联网智能安全监控系统进行整合,实施智慧校园的建设,但还有许多高校因缺乏资金技术支撑及实践经验积累、深度挖掘不够等原因,并没有真正开展智慧校园建设。校园地理信息系统、物联网技术智能监控系统在高校的应用也还处于研究探索阶段。
二 校园网络安全问题
1.物理安全问题
物理安全是整个网络系统安全的根本。物理安全的问题主要包括:地震、水灾、火灾、雷击等自然灾害;硬件设施故障;人为操作失误;设备被盗、被毁或超负荷运转;线路盗用等。在建设成数字化校园时,电脑硬盘已经消耗了许多内存空间,再源源不断地输入新的信息,电脑及其他设备超负荷运转,如有时电脑会出现卡机的现象。
2.操作系统问题
操作系统存在的问题:(1)操作者不能及时地发现问题,遇到问题时只能被动处理;(2)使用者没有相应的安全保护意识,随意浏览网页下载东西,高校校园网络主要是为在校大学生提供服务,而学生在上网的时候非常容易出现一些网络潜在威胁。在这样的大背景下,一些携带木马或病毒的资源被学生浏览或下载之后就会在高校校园网络迅速传播,从而威胁到网络的安全。此外,当前大部分高校大学生缺少网络安全防范方面的认知,也是导致高校网络安全问题的关键隐患之一。
3.网络安全问题
第一,过度依赖一些单一的网络安全软件。有些信息可能会在校园网络内部传送中外泄,造成信息丢失,这是由于内部网络的不安全性造成的。这样管理者就不能及时地找到问题根源,从而无法实现内部网络的安全保障。
第二,操作系统漏洞利用、拒绝服务、身份假冒、密码猜测和恶意代码、病毒、黑客、非法入侵、带宽滥用等。
三 校园网络安全设计
1.物理安全设计
防盗、防毁、防电磁干扰、防电磁信息泄漏等,做好一切防护工作。设置机房适当的温度、湿度,做好清洁工作。
2.管理制度设计
设计有:(1)聘请专业人员操作、维护;(2)注重对管理人员的培训,学校可以在教师队伍中培养一批愿意兼职的网络管理人员,可以定期对教师培训;(3)缺乏有效的预警机制。国内互联网非常复杂,高校网络的威胁一直存在。因此,建设有针对性的安全应急策略,才可以在第一时间从容地解决突发的安全状况。与此同时,高校中重要的资料必须进行备份并且加密,防止校园网络遭受攻击丢失重要资料。
3.网络安全设计
首先,操作系统层安全设计。针对各种身份认证、访问控制、系统漏洞等问题,要设置账户级安全口令;对操作系统的安全配置问题、对操作系统的病毒威胁,我们要有主动的安全防护意识。其次,应用层安全设计。应用层安全是指应用系统安全可靠地运行。应用层安全主要包括应用系统访问控制安全、应用系统数据传输安全。最后,网络层安全设计。利用防火墙进行边界隔离与访问控制,利用入侵检测在防火墙边界隔离的基础上,进一步对数据进行全面的检测与分析,发现潜在的攻击行为,从而完善校园网络安全的预警机制。
四 结束语
综上所述,走在探索的道路上,寻求最佳的高校智慧校园网络安全的设计,为智慧校园的建设打下一个良好的基础,或许以后高校拼的就是网络,比的就是网络后台,及时更新网络,加大投资力度,培养管理人员与各级用户的安全保护意识,高校智慧校园网络应用系统的设计要求建立数据中心,完善数据备份,加强日志审计。加强网络安全设计方面的研究,加强防火墙以及一些其他网络安全设备(360,QQ管家)的维护应用。各大高校也要注意相应规章制度的建设,大家一起遵守、一起维护,才能减少不必要的问题产生,为我们带来更多的方便与安全。
参考文献
1.1什么是网络存储
网络存储可以概括为:为了方便用户查阅资料和应用资源,将特定的网络结构与存储设备进行连接,形成的一种可以显著提高存储容量的存储方式。在网络高速发展的时代,对于网络存储的定义可能不单只有这一种。例如用户可以将各种有价值的资料传入网络硬盘中,进行共享,方便他人进行查阅和应用。这种行为也可以称为网络存储。
1.2网络存储的特点
网络存储具有容量大、虚拟化、内容丰富、管理便捷等特点。网络存储虽然具有虚拟性,但是能够方便用户接收不同的信息和资源,用户可以根据自己的需求,通过网络服务器进行数据的传输,快速实现数据分享,提高数据的利用率。网络存储可以将不同国度、不同专业、不同方向、不同用户的数据进行科学的管理,形成一个丰富、全面的数据库。这样既可以解决存储设备面对大量数据的压力,又可以使用户很方便的得到自己需要的资料。对于用户在网络上存储的资源,并非只能在一个特定的终端进行修改和查阅,完全可以在不同的终端上通过账户名和密码登录,就可以方便的进行操作。
2网络存储的安全性研究
2.1网络存储面临的风险
当前网络存储所面临的风险主要来自于用户将数据传输到网络存储器之前,和数据传输的过程中,数据传输完毕后的问题。用户在数据传输到网络存储器之前的风险,主要来自数据本身。不但要确定数据的价值性,同时还需要确定数据的合法性和安全性等。用户在将数据传输到网络存储器的过程中,要确定数据的唯一性和不被破坏的可能性。用户在将数据传输到网络存储器完毕后,一定要确定数据传输的完整性,还有可利用的高价值性。
2.2对于网络安全的影响因素
木马程序的植入、人为操作不当、网络黑客的攻击、网络系统自身的漏洞都会对网络安全构成威胁。木马程序是比较普遍和顽固的一种计算机病毒,它对于计算机和用户的危害特别大。用户在浏览网页或者下载软件的过程中,它会以被携带者的身份进入用户的计算机,然后以特定的方式向计算机系统发出不间断的攻击,导致计算机系统崩溃,重要数据丢失等严重后果。在进行计算机操作的过程中,由于用户的疏忽和大意,可能在网络环境不太安全的情况下进行不当操作,导致信息泄露等风险。网络黑客的攻击,主要是来自两个方面。一方面来自网络存储系统内部,一些用户通过非法手段,盗取别人的保密信息和资料,并对计算机系统等造成破坏;另一方面来自外部的一些不法之徒,他们为了谋取私利,恶意攻击他人的计算机系统,盗取重要文件和信息。在进行网络系统和计算机软件等方面设计的时候,不可避免的会存在一些漏洞,这就给一些不法之徒带来了可乘之机。这些漏洞是防卫系统的薄弱环节,不法之徒对网络存储系统进行攻击,往往通过这些薄弱环节突破防御,进入用户的计算机系统,盗取其信息和资源,给用户带来不可估量的损失。
3从网络安全角度出发进行网络存储设计
3.1设计的目标
从网络安全角度出发,对网络存储重新进行设计。本设计的目标是要提高网络运行的安全系数,确保网络存储器中的数据不被盗取和破坏。为此需要把各种先进的技术应用到该系统中,为网络安全保驾护航。
3.2设计的总规划
从安全角度出发的本次网络存储设计,主要从网络存储安全体系的结构、安全策略、安全管理等几个方面进行规划。网络安全、设备安全、数据安全、系统安全和信息安全等因素,构成了网络存储安全体系。网络安全,主要是指通过采用合理的管理措施和高标准的技术参数,来确保传输数据的全面性、正确性和安全性;设备安全,是指为用户进行数据传输的过程中进行不间断的服务;数据安全,是指保证存储的数据不被盗用和破坏;系统安全,是指在应用网络存储系统的过程中,不会出现系统崩溃的现象;信息安全,是指对将要进入网络存储系统的用户进行身份验证,杜绝非法分子的破坏。网络存储设计的安全策略,主要由技术策略和管理策略两部分组成。从技术层面来考虑,可以引进一些先进的计算机网络技术,对于网络和存储器系统进行保护,建立起安全系数更高的防御系统。网络存储的安全管理,可以采用互相监督、轮换调用、明确分工的原则来实施。安全策略只是进行安全保护的第一步,只有每个部门和单位严格执行各自的权利和职责,为保护网络存储安全尽心尽力,才能保障系统处在安全的环境之中。
3.3设计安全的管理方案
随着人们对于大存储的需求,网络存储备受关注,随之产生的安全问题也受到了关注,因此很多计算机网络安全技术被应用其中。常用的网络存储保护措施主要有身份认证、防火墙保护、杀毒软件的保护等。针对在网络存储中出现的一些不可避免的问题,用户可以对一些重要的数据采取备份、合理划分区域等措施,建立一套行之有效的安全管理方案。安全的管理方案,是指针对当下的网络环境,制定一套可以提高网络和数据安全系数的,行之有效的方法。首先,要确定存储数据的重要程度,制定出不同的等级;其次,对进入系统重地的人员进行严格的检查,避免不法分子进入,以免其对系统进行破坏,造成损失;再次,要针对保护系统建立一套完善的规定,定期进行检测和升级;最后,还要考虑到可能出现的一些突况,针对这些情况建立一套应急方案以备不时之需。
4结语
安全体系模型
针对目前计算机网络中所存在的严重安全问题,各种网络安全应用起到了一定的作用。但对于计算机网络安全问题需要综合考虑网络中所存在的各种安全隐患,建立整体的安全架构,使计算机网络的安全防护成为一个安全体系,具备自防御的功能。根据目前网络的特点,安全体系的设计应突出防范重点、保护重点、策略分布重点。网络安全的建立需要对整体网络进行统一的规划。在各个重点中,以策略为中心的安全模型可以更充分地发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优四个部分对安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面地发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。针对这种模型,具体应用到实际的网络环境中,安全体系架构包含四个模块,分别为企业互联网接入模块、企业园区网模块、企业网互联模块、企业广域网模块。这种结构化的设计,有利于在不同的网络功能模块之间更好地划分安全防范的重点,并具有良好的扩展性,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。
企业应用
根据企业安全的基本模型,对某企业的网络实施以防火墙、入侵监测设备、漏洞扫描设备为安全模块设备,安全策略为核心的企业安全体系的架构。整个架构共包含以下三个部分。
1.企业Internet接入模块
企业Internet接入模块主要是预防Internet攻击的第一道门户,是防范Internet上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略实现最严格的限制与最少的漏洞,同时保证最快的转发速度。
2.企业园区网模块
企业园区网是企业内部网的核心,保护着包括内网用户、重要服务器的安全。企业园区网由一台防火墙、两台互为冗余的主干交换机、企业内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙作为安全防护的中心,其安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分访问的具体范围。
3.企业间互联模块
随着各单位间的合作越来越紧密,信息化建设也是围绕着生产发展的需要而进行不断的调整与适应的。因各个单位都有自己的Internet出口,为了保证互联后的网络安全,在进行设计时需要在各自的接入端安装仅对外开放需要使用端口的防火墙设备。
(一)建设背景
为了突显网络工程专业特色,加大与其它计算机相关专业的区分度,网络工程专业在保持原有网络工程专业特色的基础上,重点突出物联网和网络安全管理两个专业方向,进一步明确定位学校网络工程专业的人才培养目标。网络工程专业是一门实践性非常强的专业。因此,要实现培养目标,除了需要调整改革现有的专业课程体系外,还必须建立相应的实践教学体系和配套的实践教学环境。为此,网络工程专业以中央支持地方高校发展专项资金的实验室建设为契机,在网络工程管理和网络协议分析两个现有实验室的基础上,新建物联网、信息安全、网络攻防、网络测试等专业实验室。这些实验室建成后,网络工程专业实验室支撑的实践教学内容将基本上涵盖物联网、网络安全管理、网络工程设计三大方向的典型实验、课程设计,乃至实习实训、毕业设计等实践环节。届时,网络工程专业将具备实验设施齐全、内容涵盖面广的专业实验环境。这为构建特色鲜明、层次合理的实践教学体系提供良好的实践条件支持。
(二)体系结构
网络工程专业在保持网络工程设计特色的基础上,重点突出物联网和网络安全管理方向。围绕这三大专业方向,以现有的网络工程基础专业实验室和正在建设的物联网和网络安全方向专业实验室为依托,构建出专业特色鲜明的多层次实践教学体系,网络工程专业实践教学体系学科与专业竞赛、自主创新研究等多种形式,并分布在专业基础实践、专业核心实践、专业方向实践、专业综合实践四个教学层次上。从教学层次的角度看,网络工程专业的实践教学环节包括下列内容。专业基础实践主要指电子技术基础、计算技术基础、软件系统基础三方面的实践教学,主要形式是课程实验、课程设计和实习。专业核心实践主要指网络工程专业核心课程的实践教学,主要形式是课程实验和课程设计。专业方向实践主要指物联网、网络安全管理、网络工程设计三大专业方向的实践教学,主要形式是课程实验和课程设计。专业综合实践主要指学生根据自己选择的专业方向而开展的专业综合实践教学,主要形式包括学科与专业竞赛、自主创新研究、实训与实习、毕业设计(论文)等。
二、实践教学内容
以上述实践教学体系为依据,从四个专业实践层次分别阐述网络工程专业的实践教学内容。
(一)专业基础实践
网络工程专业基础实践环节可分为电子技术基础、计算技术基础、软件系统基础三方面的实践教学内容。电子技术基础实践教学内容包括模拟电路实验、数字电路实验、计算机组成原理实验、硬件工艺实习。模拟电路实验是让学生了解放大电路的原理,并能理解相应的实验现象。数字电路实验是加强学生对数字逻辑的理解能力和数字电路的设计能力。计算机组成原理实验是让学生理解计算机硬件结构的实现原理和方法。硬件工艺实习是让学生综合运用数字电路和模拟电路的相关理论知识,使用电路设计软件设计并利用实际电路元器件实现一个具有实际生产意义的电子电路系统。计算技术基础实践教学内容包括程序设计实验、数据结构实验、算法分析与设计实验、程序设计应用课程设计等。程序设计实验是让学生能够运用所学的程序设计语言编写并调试程序,培养学生的程序设计能力和程序调试能力。数据结构实验是让学生运用理论原理知识编程实现线性表、队列、堆栈、二叉树、图等基本数据结构及其访问操作方法,以及常用的排序和查找算法,进而能够解决相关的实际问题。算法分析与设计实验是让学生掌握分治法、动态规划法、贪心法、回溯法、分支界定法等常用经典算法,从而更好地解决实际问题。程序设计应用课程设计是综合运用程序设计语言、数据结构、算法分析与设计,设计并实现一个具有实际生活意义的程序系统。软件系统基础实践教学内容包括操作系统实验、数据库原理实验、软件工程实验、软件系统开发课程设计。操作系统实验是让学生系统地掌握处理机管理、进程管理、存储管理、文件管理和设备管理五大功能的工作原理与实现方法,进而能够模拟实现操作系统部分功能。数据库原理实验是让学生熟练掌握SQL语言的数据定义、数据操纵、完整性控制等功能,基本掌握数据库的设计方法和数据库应用系统的开发方法。软件工程实验是加深学生对软件开发方法的理解,掌握统一建模语言UML和可视化建模工具RationalRose的基本用法。软件系统开发课程设计是让学生在掌握程序设计技术的基础上,综合运用操作系统、数据库原理、软件工程的理论知识与开发技术,设计并实现一个具有实际应用价值的软件系统。
(二)专业核心实践
网络工程专业核心实践环节主要包括计算机网络、网络编程、无线网络、Linux编程等专业核心课程的实践教学内容。计算机网络实验是让学生学习利用Sniffer和Wireshark等常用网络嗅探工具验证TCP/IP协议报文格式和协议交互过程,从而加强学生对网络协议及其工作原理的理解,加深对计算机网络体系结构的认识。网络编程实验是以套接字编程为基础编写TCP/UDP协议通信程序以及数据包捕获程序,编写SMTP/POP3邮件客户端、FTP客户端、Web网站程序等经典网络应用程序。无线网络实验是让学生掌握各种无线网络设备的安装和配置方法,学会无线局域网的规划设计、安装配置与故障排除。Linux编程是让学生掌握LINUX环境下C语言应用程序开发的基本过程,熟悉基本库函数的使用,具有初步的应用程序设计能力。
(三)专业方向实践
网络工程专业方向实践环节可分为物联网、网络安全管理、网络工程设计三个专业方向的实践教学内容。物联网方向实践教学内容包括射频识别实验、无线传感网实验、物联网开发实验、以及物联网方向课程设计。射频识别实验是让学生掌握射频识别技术的读写卡、多卡读、编码调制、防碰撞算法、通信协议、保密通信等基本原理,能够编写相关应用案例程序。无线传感网实验是让学生能够对温度、湿度、光照、压力、红外等典型传感器节点进行数据采集,并利用Zigbee、蓝牙、WIFI等通信模块,开发无线传感器网络应用程序。物联网开发实验是让学生在掌握嵌入式编程的基础上,结合射频识别和无线传感技术,开发物联网应用中的核心功能模块或简单应用程序。物联网方向课程设计是综合运用物联网方向课程的理论知识与开发技术,设计并实现一个具有一定实用价值的物联网应用系统。网络安全管理方向实践教学内容包括网络安全实验、网络管理实验、网络攻防实验、以及网络安全管理方向课程设计。
网络安全实验是让学生掌握网络嗅探器和端口扫描工具的工作原理和实现方法,理解包过滤、网络地址转换等网络安全策略,掌握防火墙和入侵检测系统的安装、配置和使用方法。网络管理实验是让学生理解SNMP网络管理协议的原理和工作过程,掌握SNMP程序的设计与开发方法。网络攻防实验是让学生熟悉网络探测、缓冲区溢出、网络欺骗、拒绝服务、SQL注入等主流攻击技术的实现方法,从而预防和阻止网络攻击。网络安全管理方向课程设计是综合运用网络安全管理方向课程的理论知识与开发技术,设计并实现一个具有某种安全管理功能的实用网络软件或系统。网络工程设计方向实践教学内容包括网络互联技术实验、网络规划与设计实验、网络故障诊断与排除实验、以及网络工程设计方向课程设计。网络互联技术实验是让学生学会网线制作、VLAN配置、交换机配置、静态路由配置、动态路由配置、ACL配置、NAT配置等,为实际网络部署提供基础。网络故障诊断与测试实验是让学生掌握网络故障诊断与测试工具的使用方法,能够对物理层、数据链路层、网络层、以太网、广域网、TCP/IP、服务器等的故障进行诊断与排除。网络规划与设计实验是让学生学会网络规划工具、需求分析、技术选择、网络拓扑设计、网络编址与命名、路由设计、网络性能保障、安全管理设计等各环节技能。网络工程设计方向课程设计是综合运用网络工程设计方向课程的理论知识与开发技术,针对某个实际应用场景,规划并设计一个具有实用价值的网络工程方案。
(四)专业综合实践
专业综合实践主要指学生根据自己选择的专业方向而开展的专业综合实践教学,主要形式包括学科与专业竞赛、自主创新研究、实训与实习、毕业设计(论文)等。学科与专业竞赛是鼓励学生在老师的指导下,利用课余时间和假期,参与学校、企业、省、教育部、乃至全球等各种级别的大学生学科或专业竞赛,以扩大学生的知识面,培养学生理论联系实际和动手操作的能力。目前适合网络工程专业学生参加的竞赛主要有全国大学生数据建模竞赛、全国大学生电子设计竞赛、ACM大学生程序设计竞赛、“挑战杯”大学生系列科技作品竞赛、全国大学生信息安全竞赛。自主创新研究可分为课内自主研究学习和课外科技创新活动。课内自主研究学习是在部分专业课程内,安排学生开展研究性学习与创新环节,激发学生主动学习的积极性,培养学生的自学能力和自主学习研究能力。课外科技创新活动是学生根据自身兴趣和专业特长组成小组,自主选择研究课题,确定研究目标、技术路线和研究计划,利用课余时间和寒暑假在老师的指导下自主开展科技创新活动,以提高学生发现问题、分析问题和解决问题的能力,培养学生的创新意识和创业精神。实训和实习是让学生熟悉或掌握网络相关行业或领域中可能遇到的常用技能,以缩短第一任职岗前培训的时间。该类实践教学内容包括见习环节、实训环节、实习环节等。见习环节是参观一个网络行业相关的企事业单位或部门,见识各类产品和系统的研发过程或应用情况,以增强学生对专业的兴趣和自豪感。实训环节是在校内实验与实训基地,通过与企事业单位的合作,提炼网络设备产品与网络应用系统的典型功能模块,进而设计出一组项目供学生实习训练。
实习环节是与校外企业或培训基地合作,让学生参与到实际的项目研发与实施工作中,从而使学生接触社会,体验未来就业单位的工作环境和实际的项目开发过程。毕业设计(论文)是大学生四年专业知识学习后的一次综合性专业技术实践锻炼机会。毕业设计的周期为14周,主要包括选题、开题、课题研究与指导、撰写毕业论文、毕业论文答辩等环节。毕业设计课题可以由指导老师根据自己的项目课题、研究方向或兴趣好确定,也可以根据学生就业单位的实际工作需要确定。
三、结论
关键词:县级烟草公司;计算机网络; 网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)14-3286-02
根据我国烟草公司的计算机网络安全建设规划与细则,我国各省的县级烟草公司都已经建立了上接省级烟草公司,下接各个基层公司的信息共享和互联通信的计算机网络,在每一级网络节点上都有各个局域网相连,由于考虑到计算机网络结构与应用系统存在的复杂性,计算机网络安全系统的建立于解决网络安全的方案制订问题就显得尤为重要了。
1 网络安全
所谓的计算机网络安全指的是防止信息本身和采集、存贮、加工、传输等信息数据出现偶尔甚至是故意的泄露、破坏和更改,导致计算机网络信息无法控制和辨认,也就是指有效保障计算机内的信息的可控性、可用性以及完整,计算机网络安全主要包括两方面的内容:首先是应确保计算机网络本身的安全,其次是应确保计算机网络内的信息安全。
2 县级烟草公司计算机网络安全面临的主要威胁
1)病毒威胁
电脑病毒具有较强的破坏性、潜伏性、传染性以及隐蔽性,电脑病毒如今已成为网络安全最大的隐患,电脑病毒能够严重威胁电脑内信息的安全,轻者能够影响电脑运行的速度,严重抢占电脑资源,严重的则能够破坏电脑内存贮的数据信息,将电脑内的秘密资料盗取,使得电脑的网络系统彻底瘫痪。当前我国烟草行业的网络建设十分完善,其主干网通过专有线路连接到各个烟草单位,并且所有的经营单位都有本单位内独有的网络出口,所有日常的经营和销售活动都需要依赖于网络平台,并且雄厚的网络资源给病毒侵入与传播带来了极为便利的侵入优势,一旦使烟草公司内的电脑病毒有所蔓延,将会造成无法估计的损失。
2)黑客攻击
所谓的黑客攻击指的是黑客破坏或破解某一项重要程序、网络安全甚至是系统,或者是破坏某网络或系统从而提醒系统用户系统出现安全问题的一种过程,黑客攻击具备高技术和高智能等特点,是一种严重的违法犯罪现象,并且由于各种网络攻击软件的大量出现,使得黑客攻击大量存在于计算机网络内,根据相关数据统计,在我国现已有90%的人担心自己的电脑被黑客攻击,通过这一数据我们能够了解到黑客攻击在我国是较为普遍的现象。由于黑客攻击现象严重,给我国的计算机网络和个人计算机带来极为严重的安全挑战和安全威胁。
3)垃圾邮件
由于计算机技术发展迅猛,网络电子邮件传输的数量也不断增加,根据相关统计结果显示,在我国垃圾邮件的日传输量高达1200亿封,从全球范围内来看,我国计算机用户平均每天都会受到接近20封的垃圾邮件,有绝大多数的邮件都是由病毒计算机发送出来的,一旦查看了这些病毒邮件就会使得病毒侵入计算机,令人防不胜防,因此,企业与个人应了解这些病毒邮件的危害,并且将有效的防护措施做好。
4)内部员工泄密问题
根据公安机关的统计结果显示,大约有70%的泄密案件其犯罪源头都来源于企业内部,由于当前烟草公司的网络安全管理体制不健全或体制贯彻力度不够,致使员工对网络安全的防范意识无法满足公司需求,构成安全系统的投入资金与维护资金存在较大矛盾,致使电脑安全管理方面的安全技术和安全措施无法有效的实施出来。假若相关操作人员有意违规操作,即使公司的安全系统十分强大也无法保证网络运行环境和网络信息的安全。
另外,因为计算机的技术发展与人的认知能力都存在较强的局限性,所以在设计软硬件过程中难免会留下很多技术问题,使得计算机网络安全存在很多不安全的因素。
3 防范措施
1)构建有效的防病毒体系
通过对病毒系统的完善采用主流网络版的病毒防护软件,其中包括客户端和服务器两个部分,服务器采用的是病毒防护系统,下载的是更新的病毒库,系统客户机端主要由计算机统一进行管理,并且其必须可以自动更新病毒库,这样就在很大程度上保证了县级烟草公司的信息安全,从而实现全面的病毒清杀,在硬件角度上,为了阻拦来自外部的病毒,企业应由其出口处设置网络病毒网,从而有效抑制病毒在主干网络上的扩散。根据相关实践经验,我们应将病毒防护体系统一纳入到全局安全体系中进行统一规划和管理,从而以规章体制为基础,用技术手段保障网络安全,营造出可靠、安全的网络运行环境。
2)入侵检测
将防火墙和入侵检测系统连接起来,通过防火墙检测局域网内外的攻击程序,与此同时,监测服务器的主要网络异常现象,防止局域网的内部攻击,预防无意的滥用行为和误用行为,这样有效的扩充了计算机系统的安全防御能力。
3)建立安全信息管理制度,采取访问控制手段
构建行之有效、切合实际的管理体制,规范日常的管理活动,确保计算机运行的效率和流程,在计算机安全管理问题上也同样应该如此,建立健全的管理体制,规范和完善计算机的网络安全程序,网络信息安全的组织结构应实行责任制度,将领导负责体制建立健全,在组织结构上确保计算机安全体制的执行。
访问控制能够决定网络访问的范围,明确使用端口和协议,对访问用户的资源进行有效的管控,采用基于角色的访问审计机制和访问控制体制,通过对网管的控制,为不同单位和不同职位的员工设置差异化的网络访问策略和网络访问权限,从而确保网络访问的有效性和可靠性。强化日常检查体系,对业务实行监控,部署检测入侵系统,将完善的病毒反应系统和安全预警体系建立健全,对计算机内出现的所有入侵行为进行有效的阻断和报警。
4 总结
总而言之,烟草公司电脑网络安全防护是极为系统的一项工程,任何一个单一的预防措施都无法完全保障电脑信息和计算机网络的安全,所以,网络安全防御工作必须要遵循全方位、多角度的防护原理,我们在建立网络安全时应以木桶原理做准绳,采取的安全防护措施一定要较为全面和综合,只有这样才能确保公司网络系统运行的安全性。
参考文献:
[1] 李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].煤炭技术,201 l(9).
[2] 张楠.浅析计算机网络安全的现状及对策[J].才智,2010(8).
关键词:校园网安全配置 学习情境 设计 评价
1 “校园网安全配置”学习情境设计之教学条件分析
学生:通信网络与设备专业,二年级上学期,小班20人;学生之前已经学习了“数据通信网络组建与维护”学习领域中的3个学习情境,已经具备本学习领域交换和路由技术方面的专业知识和操作技能,可以进入下一个学习情境“校园网安全配置”,本学习情境可以设计一个综合性较强的企业网或校园网项目,采用项目教学,任务驱动的方式,使学生在交换、路由技术的基础上,进一步学习网络安全专业知识和操作技能,项目的可持续性强,为学生可持续发展奠定基础。
教师:最好有企业工作经验,或者经过行业培训,有两次以上该课程教学经验。
实训室设施:小班需要4套设备,每组1套(每套包括3台交换机、4台路由器及若干终端)。
2 “校园网安全配置”学习情境设计之学习情境设计目标
在校园网安全配置教学项目中,学生须达到以下能力目标:
(1)能够与组长、小组成员、教师和模拟客户有效的交流,思路清晰、能倾听并准确表达自己的观点。
(2)能够利用已学知识完成网络基础配置。
(3)能够根据用户对网络安全管理的要求,正确配置IP访问控制列表,控制非法用户的访问,并能够利用NAT地址转换技术实现企业内网与外网的连接。
3 “校园网安全配置”学习情境设计之工作任务描述
本项目模拟一个实际的校园网络,如图1所示。包括教学网、行政网、网络中心等几个部分。其中,虚线框内部分模拟校外互联网。RTA 的G0/0使用子接口,其中有一个子接口和ISP在一个VLAN,另外一个和RTB在一个VLAN。校内的主机全部使用私有地址,通过在出口路由器上使用地址转换技术访问公网。请根据以上要求在网络设备上进行实际操作,完成网络搭建、IP地址规划、路由协议、网络安全与冗余等配置任务,并提置文件、测试结果文件、网络地址规划表、设备地址表等文档。
4 “校园网安全配置”学习情境设计之教学过程设计
4.1 教学过程设计
4.2 教学环节详细设计
4.2.1 根据项目需求,完成网络基础配置
(1)学生的子任务
①网络搭建
根据图1的网络拓扑,完成网络搭建工作。
②IP地址规划
校园网内用户使用172.16.0.0/22地址段,其中各个子网内主机数如下:
教学网:360台,行政网:150台,网络中心:100台 。
在满足整个网络需求的情况下,使用VLSM进行地址划分,网络中心安装有一个FTP和一个WWW服务器,为校内用户及公网用户提供FTP下载服务和HTTP访问服务。
③ VLAN划分
参考教师提供的VLAN划分与端口分配表完成校园网的VLAN划分。
④路由设置
在路由器上配置实现学校内部VLAN间路由,要求路由器的子接口号与VLAN编号一致。路由器RTC作为除行政网之外其他子网的网关,并与RTB一起作为行政网的网关。
(2)学生能做什么以及能学什么
4.2.2 网络安全配置
(1)学生的子任务
①访问控制
在适当的路由器上设置ACL,完成访问控制。在满足下述要求的前提下,允许所有网络之间的其他通信。
a禁止所有从网络中心到教学网的主动TCP连接。
b允许内部网络主机主动发起到外部网络的访问连接;禁止外部网络主动发起到内部网络的访问连接,但允许外部网络访问内部的WWW,FTP服务器。
②网络地址转换规划与配置
参考教师提供的公网地址与端口对照表在适当的路由器上配置NAT,要求内网除WWW和FTP服务器外所有地址均NAT转换到RTA的G0/0连接ISP的子接口上。WWW和FTP服务器使用静态NAT实现。
(2)学生能做什么以及能学什么
该环节为学生学习新知识,并利用新知识自主完
5 “校园网安全配置”学习情境设计之评价方案
关键词:无线网络;安全隐患;防范;安全方案
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
随着智能手机以及各种便携式移动终端在校园内的逐渐普及,传统的有线校园网受布线以及空间的限制已经无法完全满足广大师生的需求。因此,搭建成本更低、灵活性、移动性更好的无线网络早已成为各大高校弥补有线网络不足的重要措施。借助开放性的电磁波传输,无线网络在信息传递的速度和质量上给校园带来了革命性的变化。但是,由于无线网络固有的开放性,又大大增加了网络管理人员管理无线网络的难度和增大了外部设备对校园网络的威胁。
一、校园无线网络的安全隐患
由于无线网络的信号难以控制,数据可能出现在预期之外的地方。这增加了网络被入侵的机率。同时因为无线网络依靠的是逻辑链路而不需要提供物理上的连接,所以任何在无线网络广播范围内并获得网络访问权的人都可以监听网络,并通过非法手段获得一些敏感的数据及信息。
类似其他领域的无线网络,校园无线网络也存在着以下几点安全隐患:
(一)不易管理
首先,由于无线网络开发的特殊性,管理人员很难对无线网络进行管理。其次,由于无线网络的便捷性,只要在无线广播范围内,任何地点都具有接入方便的特点,所以,通过布置防火墙等硬件措施并不适合于无线校园网。再者,无线网络协议一直以来都存在着缺憾。IEEE在802.11标准之后,虽然有针对性的提出了一些加密的方法来实现数据的保密性和完整性,但是WEP协议依旧存在着严重的缺陷,对于之后改进的802.11i,虽然大幅度的改善了网络的安全性,但是否还存在问题,任然需要时间来衡量。
(二)信息泄密
对于有线网络,由于其物理空间的界定,在传送数据包时,技术人员可以通过对物理网络的处理以提高传送的安全性。然而,由于无线网络采用无线通信的方式,所以传送的数据包更容易被截获,截获者甚至不需要将窃听设备连入网络便可进行截获,而任何截获数据包的人都对其进行破译、分析,从而导致信息的泄密。
(三)网络资源遭窃
网络资源遭窃就是一般所说的“蹭网”,一旦发生蹭网行为,则大量的网络带宽将会丧失,资源减少,将会影响到网络的性能及传输效率。
(四)存在地址欺骗的隐患
这是基于IEEE802.11协议所产生的问题,由于802.11协议对数据帧没有认证操作,网络中站点的MAC地址容易丢失,所以攻击者可以使用虚假地址的数据帧进行ARP攻击。更严重时,攻击者可以冒充AP进入网络,获得真实的认证信息。
(五)其他安全隐患
无线网络还存在着拒绝服务攻击、Web攻击、DNS欺骗、缓冲区攻击等安全隐患。
校园无线网作为无线网络具有以上的一些安全隐患,但同时校园无线网也存在着另外一些安全问题。
由于安全意识不强、校园无线网布置水平的参差不齐,校园无线网的安全性并不高。甚至,很多的无线接入点都没有考虑到无线接入的安全问题。无线网络接入的认证存在缺陷,MAC地址的认证、共享密钥的认证等基本认证方法并没有完全普及,只有少数高等院校配备了更高级的802.1x认证协议。同时,相比大型无线网络来说,一般校园无线网还需要一套更加统一、细致的安全体系!
二.无线网络问题的传统解决方法
一般来说,无线网络安全问题的传统解决方法有以下几种,它们同时也适用于校园无线网络。
(一)MAC地址过滤
由于MAC地址的唯一性,MAC地址过滤方法成为了解决无线网络问题的常见方法。技术人员可以通过将合法的MAC地址下放到每一个AP中,或者存储在无线控制器中以实现MAC地址过滤的功能。
(二)隐藏SSID并禁止广播
SSID是指用来区分不同网络的标识符,是无线网络用来进行定位服务的一项功能。一台计算机只能和一个SSID网络连接并进行通信。SSID设置在无线接入点AP上。通常来说,为了使接入的终端能获知周围的无线网络,AP会广播SSID。然而,这将大大降低无线网络的安全性。为了提高网络的安全性,AP最好不进行广播,并将SSID映射成一串无规律的长字符串。这样,任何未被授权的移动终端即使通过自动扫描功能感知到无线网络的存在也无法接入。
(三)使用VPN技术
VPN(虚拟专用网络)技术是目前最安全的解决方案。它可以通过隧道和加密技术提高信息的安全性。
(四)数据加密
对传输数据的加密是提高安全性的必要条件。这样,即使在未授权的情况下,数据被截获,也能使损失降低到最小。
(五)其他方法
其他方法如:禁止动态主机配置协议、使用802.1x控制网络接入等都能起到很好的提高安全性的作用。
三、综合性的校园无线网络安全方案
校园无线网络相比一般无线网络来说,虽然具有一般性,但同时也有自己的特殊性。所以,要想提出一个综合性的校园无线网络安全方案,不但需要以上提到的各种无线网络安全技术,还需要做到以下几点:
(一)规划优先
在构建校园无线网络之前需要对设计方案及规划进行充分的考量,这包括网络环境的设计、设备的购买、AP的布置、服务器的管理和技术人员的培训等。对于天线的选用需谨慎,杆状全向天线覆盖范围过大,增大了入侵者入侵校园无线网的可能性。在不同的区域应布置不同类型的天线。而对于AP来说,在配置时,应在满足要求的前提下,尽量使发射功率最低,以降低入侵的可能性。
另外,对技术人员的培训也是至关重要的,技术人员水平的参差不齐会导致校园无线网布置漏洞的出现。对软、硬件技术人员应该分开培训,使其懂得网络的正常管理和故障维修。对工作人员来说,必须提高他们的安全意识和专业水平。
同时,在规划校园无线网络的时候,还要考虑到整个互联网大环境的影响。在设计阶段,可以借助建立小范围模型的方法,模拟可能出现的各种问题,攻击模型,观察所规划的网络的表现,从而得出设计漏洞,进行改进。建模的方法能节约成本,使设计更加完善,提高安全性。
(二)提高校园无线网身份认证的水平
由于校园无线网的特殊性,要想得到一套综合的安全方案,需要在身份认证时,对使用人群进行分类,不同的人群使用不同的认证方法。一般来说,可以分为以下几类:1.固定使用群。一般是指校园内的师生及一些固定的校内工作人员。这类人群需要经常性地接入校园无线网。对于这类人群,安全性要求较高,所以可以使用比较复杂,但是安全系数更高的802.1x进行认证。2.流动使用群。这类用户通常是临时的在校园内生活,他们可能是交流访问的学者或者是受邀而来的宾客,他们只需要在一个特定的时间段接入校园无线网,并非长久性的。所以,对于这类人群,安全性要求显得并没有那么高,可使用简单的Portal认证。
(三)更加统一的校园无线网标准的建立
为了更加方便、系统地管理校园无线网,需要建立更加健全、安全、完善的统一标准。这将避免由于各高校标准不一而带来的漏洞问题。而且,各高校最好能共享无线网络技术,定时进行互相交流与学习,从而避免校园无线网络技术的层次不齐所带来的影响。同时,还需建立更加完善的法律法规,对构成严重网络损害的入侵者进行相应的惩罚,这样才能达到事半功倍的效果。
四、结束语
无线网络技术给校园带来了便捷性,但同时也带来了许多的安全隐患。构建校园无线网络不但需要安全技术的不断改善、实现有线网和无线网的无缝连接,更需要一套更加综合、更加完善的解决方案。只有这样才能保证校园无线网络的安全性,才能真正达到服务校园的目的!
参考文献:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012,01
[2]张洪.浅谈校园无线网络的安全现状与解决方案[J].职教研究,2011,02
[3]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06
[4]陈亮.无线网络安全防范措施探讨.信息与电脑(理论版)[J].2011,03
[5]宋玲.浅议无线网络的安全隐患与防范措施[J].科技信息,2012,10
[6]张丽.无线网络安全的思考[J].硅谷,2012,01
[7]任伟.无线网络安全问题初探[J].信息网络安全,2012,01
[8]吕明化.无线网络在校园网中的应用[J].魅力中国,2009,18
[9]张景文.校园无线网络安全技术分析[J].电脑知识与技术,2010,12
[10]刘宏.无线网络安全缺陷与应对策略分析[J].信息与电脑(理论版),2010,06
前言…………………………………………………………………………………………3
1 Internet与Intranet………………………………………………………………… 4
1.1 Internet概述……………………………………………………………………… 4
1.2 Internet的服务…………………………………………………………………… 4
1.3 什么是Intranet…………………………………………………………………… 4
1.4 建立企业Intranet的必要性……………………………………………………… 5
1.5 Intranet对现代企业的影响……………………………………………………… 7
1.6 利用Internet与Intranet的功能交互实现虚拟企业…………………………… 9
2 信息管理系统(MIS)的方案研究……………………………………………………11
2.1 企业级应用体系结构………………………………………………………………11
2.2 大型机模式…………………………………………………………………………12
2.3 传统的客户机/服务器模式………………………………………………………12
2.4 文件服务器模式……………………………………………………………………13
2.5 浏览器/WEB服务器模式…………………………………………………………13
3 局域网的组建……………………………………………………………………………16
3.1 局域网设计的原则…………………………………………………………………16
3.2 对等网络和基于服务器的网络……………………………………………………16
3.3 网络拓扑……………………………………………………………………………16
3.4 网络协议……………………………………………………………………………18
3.5 专用服务器…………………………………………………………………………19
3.6 网络连接线路和设备………………………………………………………………19
3.7 使用Windows NT组建局域网……………………………………………………19
4 服装企业MIS系统……………………………………………………………………20
4.1 发展服装企业MIS的必要性和迫切性 …………………………………………20
4.2 发展历史和现有产品研究…………………………………………………………20
4.3 服装企业信息管理流程 …………………………………………………………21
5 架构基于Internet/Intranet的服装企业MIS系统………………………………22
5.1 总体方案设计………………………………………………………………………22
5.2 硬件配置……………………………………………………………………………23
5.3 软件配置……………………………………………………………………………24
6 服装MIS系统应用软件的开发(核心)…………………………………………25
6.1 DELPHI5……………………………………………………………………………25
6.2 模块划分和数据流程………………………………………………………………25
6.3 生产管理模块的数据关系和数据库设计…………………………………………26
6.4 计划部分编制………………………………………………………………………29
6.5 实录部分编制………………………………………………………………………36
6.6 生产分析部分编制…………………………………………………………………39
6.7 报警界限部分编制…………………………………………………………………44
6.8 权限设置部分编制…………………………………………………………………44
6.9 用户和数据管理部分编制…………………………………………………………46
6.10 界面风格规划………………………………………………………………………47
7 基于WEB浏览器的远程访问(核心)……………………………………………48
7.1 Web服务程序工作原理 …………………………………………………………48
7.2 多种方法的实验和研究 …………………………………………………………48
7.3 ActiveX的原理……………………………………………………………………49
7.4 Midas编程…………………………………………………………………………50
7.5 计划与实录部分编制………………………………………………………………51
7.6 小组月报浏览部分编制……………………………………………………………52
7.7 其他部分程序编制 ………………………………………………………………54
7.8 使用PWS………………………………………………………………………54
7.9 互连实验……………………………………………………………………………55
8 网络安全………………………………………………………………………………57
8.1 概述…………………………………………………………………………………57
8.2 WEB在安全上的漏洞………………………………………………………………57
8.3 如何在WEB上提高系统安全性和稳定性…………………………………………57
8.4 网络安全方案之一:使用防火墙…………………………………………………58
8.5 网络安全方案之二:局域网自治…………………………………………………59
8.6 网络安全方案之三:入侵检测技术………………………………………………59
8.7 网络安全方案之四:建立防病毒系统……………………………………………60
8.8 网络安全方案之五:使用数字证书………………………………………………60
8.9 其他………………………………………………………………………………61
8.10 网络安全在本局域网中的实施……………………………………………………62
9毕业设计总结…………………………………………………………………………63
9.1 计划与实现…………………………………………………………………………63
9.2 锻炼与提高…………………………………………………………………………63
9.3 发展与展望…………………………………………………………………………64
9.4 致谢………………………………………………………………………………… 64
10 参考书目………………………………………………………………………………… 66
:47000多字
400元
备注:此文版权归本站所有;。
