第一篇:提升電力系統現有網絡安全防御體系的解決方案
提升電力系統現有網絡安全防御體系的解決方案
摘要:對電力系統現有的網絡安全防御技術進行了分析,得出當前的安全防御技術雖能夠解決絕大部分已知的惡意代碼攻擊,但卻處于對新型的和未知的惡意代碼攻擊無法識別的被動防御的狀態,并提出將現有的安全防御體系提升為主動防御體系,實現差異化、縱深防御的解決方案。
關鍵詞:未知攻擊;同質化;被動防御;主動防御;防御體系 solution to upgrade the existing power system network security defense system li yongkang1,zhou junpeng2,chen yunfeng1(1.department of technology information,panzhihua electric power bureau,sichuan electric power corporation,panzhihua 617000,china;2.department of technology,chengdu chinatech huichuang technology co.,ltd,chengdu 610041,china)abstract:analyzed technologies of the existing power system network security defense,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code,it proposed to upgrade the existing security defense system for the active defense system,to achieve the solution of differentiation and defense in depth.keywords:unknown attack;homogenization;passive defense;active defense;defense system
一、前言
(一)電力行業簡介
電力系統是由發電、輸電、變電、配電、用電設備及相應的輔助系統組成的電能生產、輸送、分配、使用的統一整體。由輸電、變電、配電設備及相應的輔助系統組成的聯系發電與用電的統一整體稱為電力網。
電力工業是國民經濟發展中最重要的基礎能源產業,是關系國計民生的基礎產業。電力行業對促進國民經濟的發展和社會進步起到重要作用,與社會經濟和社會發展有著十分密切的關系,它不僅是關系國家經濟安全的戰略大問題,而且與人們的日常生活、社會穩定密切相關。隨著我國經濟的發展,對電的需求量不斷擴大,電力銷售市場的擴大又刺激了整個電力生產的發展。
(二)電力行業信息化it系統架構
電力行業it系統按照“sg186”體系部署,整體化分為一體化企業級平臺、八大業務應用系統和六個保障系統,形成“縱向貫通、橫向集成”的龐大信息網絡。八大業務應用分為建設財務(資金)管理、營銷管理、安全生產管理、協同辦公管理、人力資源管理、物資管理、項目管理、綜合管理等。六個保障體系為信息化安全防護體系、標準規范體系、管理調控體系、評價考核體系、技術研究體系和人才隊伍體系。
二、當前電力系統網絡防御技術分析
(一)電力網絡行為與內容的安全情況。電力網絡行為與內容的安全主要是指建立在行為可信性、有效性、完整性和對電力資源管理與控制行為方面,面對的威脅應當屬于是戰略性質的,即電力系統威脅不僅要考慮一般的信息犯罪問題,更主要是要考慮敵對勢力與恐怖組織對電力相關信息、通信與調度的攻擊,甚至要考慮戰爭與災害的威脅。
(二)電力網絡系統安全情況。對于電力行業主要考慮以下系統:各類發電企業、輸電網、配電網、電力調度系統、電力通信系統(微波、電力載波、有線、電力線含光纖)、電力信息系統等。這里主要考慮到電力調度數據網(spdnet)、電力通信網與電力信息網幾個方面的安全問題。電力系統的安全建設以資源可用和資源控制的安全為中心,必須保障電力系統暢通的24小時服務。
目前,大多數規模較大的發電企業和很多省市的電力公司在網絡安全建設方面已經做了很多工作,通過防火墻、入侵檢測系統、vpn設備等關鍵的安全產品的部署和實施已經初步地建立起了基礎性的網絡安全防護系統,并取得一定的效果,應當說是有自主特色的。
(三)電力信息內網安全防護體系。電力信息內網屬于電力網絡的管理信息大區中,信息內網定位為內部業務應用系統承載網絡和內部辦公網絡,部署了大量的應用服務器和數據庫服務器、以及不需要外聯的辦公主機。
電力信息內網對外連接包括:通過公用信息網與上下級電力公司的信息內網相連接;通過vpn連接互聯網,以保障移動辦公終端的接入;通過邏輯強隔離設備與信息外網相連接;通過正/反向隔離裝置與生產控制大區相連。電力信息內網部署有以下安全防護手段:
防火墻系統。信息內網內部不同安全區域之間部署防火墻,增強區域隔離和訪問控制力度,嚴格防范越權訪問、病毒擴散等內部威脅;
信息內網出口處部署防火墻系統,實現網絡邊界防護,同時保護web服務器域;
vpn系統。信息內網出口處部署vpn系統,為移動辦公、營銷系統遠程訪問等提供接入防護,客戶端應當采取硬件證書的方式進行接入認證;
為了統一管理和維護,電力的移動辦公統一入口設在信息內網的vpn網關處;
入侵檢測系統。信息內網核心交換機和重要網段部署入侵檢測系統,實現對網絡流量的動態監視、記錄和管理、對異常事件進行告警等;
日志審計系統。信息內網部署一套日志審計系統,采用分級部署方式,實現全省信息內網安全事件的集中收集和審計問題; 主機管理系統。電力信息內網統一部署主機管理系統,實現主機設備的統一管理和防護;防病毒系統。電力公司信息內網部署一套防病毒系統,采用分級部署方式,控管中心設在電力公司本部,地
市供電公司分別安裝二級控管中心和防病毒服務器,接收控管中心的統一管理。安全管理分區。電力信息內網依據業務系統保護等級,分為生產控制區(ⅰ、ⅱ區)、管理信息區(ⅲ區)和外部信息網,各分區進行相應等級的安全防護。
(四)目前防御系統的防御弱點
病毒檢測掃描類技術的防御弱點。從病毒到惡意代碼(木馬、蠕蟲、病毒、惡意腳本、shellcode、流氓間諜軟件),無論是種類還是數量都是海量增長,來自海量惡意代碼的海量攻擊使得基于以字符串crc效驗、散列函數值等特征碼檢測為主;采用加密變形的啟發式算法、仿真技術檢測為輔的病毒檢測技術已無法有效檢測每天如潮水般增長的惡意代碼。以超級病毒特征庫、超級白名單庫、超級惡意url庫、自動化分析流程為主要特點的云安全技術在一定程度上改善互聯網用戶安全的同時,存在分析時延、病毒特征庫更新時延、惡意url搜索時間間隔等問題,同時海量提交的文件帶來的極大分析壓力使得分析失誤的概率大大增加,從而給用戶帶來極大的風險,對于物理隔離的專網、內網也無法使用云安全技術。該類產品的最大弱點是對未知惡意代碼缺乏有效的監控和辨識能力。入侵檢測防御類技術的防御弱點。入侵檢測技術經過多年發展,ids、ips、utm、應用防火墻、防毒墻等產品能應對大部分已知攻擊,對網絡安全起到了非常大的作用,但也存在辨識技術上的防御弱點。以基于規則描述的特征組合檢查為主,協議異常檢測、統計異常檢測為輔的入侵檢測引擎無法有效識別隱藏在合法應用流量中的攻
擊流量、基于未知漏洞的攻擊流量、加密變形的攻擊流量,更無法截斷潛伏在這些流量中的有經驗黑客的深度攻擊。
由ids(監控報警子系統)+安全工程師(辨識和決策)+防火墻(處理子系統)構成的防御系統,嚴重依賴安全工程師的經驗和分析水平。對未知攻擊流量和隱藏在應用流量中的惡意流量缺乏辨識能力,使得試圖在網絡層完全阻擋入侵攻擊、惡意代碼的傳播是不現實的。其它非防御類安全產品的弱點。加密技術類安全產品可以解決泄密問題,卻無法阻御攻擊者和惡意代碼對加密信息的破壞。行為管理類安全產品能管理用戶的行為,卻無法阻擋有意者的惡意攻擊行為,對惡意代碼和黑客攻擊的后臺行為,更無法察覺和控制。身份認證類安全產品能解決身份可信問題,卻無法保證合法者偽造的惡意攻擊和對惡意代碼的滲透和傳播。防火墻類產品的訪問控制能力更適合作為處理控制手段,而不是攻擊和惡意代碼的識別工具,更無法解除流量中的威脅,桌面級的防火墻更是帶來網絡管理上的不方便。漏洞掃描類安全產品能發現存在的漏洞風險,卻沒有防御攻擊的手段。主機安全產品,偏重于主機使用者的行為控制,它本身不能防御惡意代碼的攻擊和破壞。以上安全類產品由于解決的主要問題是在安全的其它方面,從防御組成來看,本身缺乏防御能力,更需要安全防御系統來保護這類安全資產。
(五)當前電力防御體系總結分析
當前由防火墻、入侵檢測系統、殺毒軟件組成的防御體系已經不
能阻擋每天如潮水般增長的惡意代碼,其技術壁壘也逐漸顯露,其被動性的原因主要有以下幾點:1.惡意樣本和攻擊的海量增長。據國內安全廠商江民科技對近年來惡意代碼數量的統計,2011年上半年全年共增加病毒特征代碼48萬余條。
2010年上半年及2011年上半年新增病毒特征數量示意圖[1]圖1 2.對抗傳統防御體系的特征碼免殺技術、網絡攻擊逃避技術近年來不斷持續發展和傳播。攻擊方由以前那種單一作戰已經逐漸演變為一個集團利益團體甚至國家利益的團體,在經濟、政治利益的驅使下,免殺、逃逸技術發展迅速。3.對攻擊和威脅的識別能力不足,對未知攻擊和威脅無法識別。要防御攻擊帶來的威脅,首先要解決對攻擊和威脅的識別,傳統的特征碼識別技術對未知的攻擊和威脅無法識別。4.同質化技術構成的防御體系容易導致技術一點被破、全局皆破。隨著電力系統在信息化建設方面的不斷加大,信息安全問題也逐漸凸顯,病毒、蠕蟲、木馬等惡意代碼在網絡中肆意傳播,嚴重威脅著電力系統的正常運行。而現有的防御體系則主要以協議過濾、特征簽名包和特征碼比對技術為主構建的傳統的防御體系,能夠有效的防御已知的惡意代碼攻擊(已有的特征簽名包和特征碼),但對于多變的未知的惡意代碼攻擊卻顯得無能為力。因此,需要一種技術能夠實時有效的防止未知的惡意代碼攻擊,從而提升整個網絡的安全防御體系。傳統的防御手段所采用的技術是導致其被動性的根源,面對當下如此嚴峻的安全形勢,亟需構建一個實時主動的網絡防御體系。
三、構建主動防御體系
(一)防御系統的構成標準
在網絡信息對抗中,一個完善防御系統的防御鏈必須由監控、辨識決策、處理三大子系統。防御系統的抗攻擊、反入侵能力高低取決于監控能力強弱、辨識決策是否足夠智慧、處理子系統是否完善有效、三個子系統的自動化聯動程度四個方面,其中最核心的是辨識決策技術。
目前的安全產品,能有效構建防御系統主要是以病毒檢測掃描類技術和入侵檢測防御類技術為主,但這兩類技術都存在防御弱點。
(二)構建電力系統主動防御體系
在構建主動防御體系之前,不防先回顧一下防御系統產生的原因:有了信任與欺騙的斗爭,于是便產生了可信任體系;出現了攻與防的斗爭,也就有了防御體系。那如何構建一個防御體系,不防借鑒歷史戰爭,其無非分為三種:事前防御、事中防御和事后防御。于是建立如下的主動防御體系: 主動防御中心圖2 從圖中可以看出,防御體系的強弱取決于攻擊事件正在進行時防御系統的防御能力,也就是事中防御。而從傳統的防御體系可以看出,無論是漏洞檢測技術、網絡準入技術、特征碼掃描技術都偏向于事前防御,在事中實時防御上,特別是事中主機防御上存在嚴重不足。因此,要提升整體網絡的防御能力,必須加入主機事中防御的技術。
四、主機主動防御技術的實現
在主機層面要做到事中防御,必須摒棄傳統的特征碼比對技術,做到“敵動我動”的實時防御。經過業界專家的研究,提出了基于行為檢測的主動防御技術。即不依賴于程序的特征,而是根據程序所表現出來的行為來預先判斷其合法性。這在理論上是可行的。給出主動防御的概念:在監控、分析、偵測等環節中采用主動感知未知威脅行為識別、行為智能處理、行為防御加固等主動性技術來進行防御。
(一)惡意程序行為的提取
惡意代碼一般的行為包括注冊表操作、文件操作、進程的行為和網絡行為等;在windows操作系統上,可執行文件基本上都是通過api的調用來執行,以上任何行為都要通過導出函數或者系統調用接口[3]。可通過對惡意代碼行為進行搜集和數據挖掘,建立如下的行為算法模型: 行為算法模型表1 格式1 行為 行為描述 危險等級
格式2 行為序列 行為描述 危險等級 ? 說
明 1.格式1適用于單個行為的規則建模;
2.格式2適用于由多個行為組成的行為序列的規則建模;
3.m表示函數的參數個數,n表示行為序列包含的行為個數; 4.四個危險等級:低、中、較高、極高,代表不同級別的惡意程序;
5.“參數取值特征”表示對應的函數調用行為表現出惡意性時的參數的具體取值。
6.“參數0”表示只識別函數的調用行為,不對調用參數進行分析; 7.若“參數取值特征”為“null”,表示對應參數的值等于null; 若“參數取值特征值”為“null”與“參數0”配合使用,表示不需要分析對應的實參。
(二)深層監控實現
主機層面的防御又可分為六個方面:內核子系統、服務子系統、應用子系統、通信子系統、文件及資源子系統、賬號及認證子系統。每個子系統又按照p2dr(policy、protection、detection and response)模型組成一個完整的、動態的安全威脅相應循環[4]。任何攻擊無非是攻擊操作系統以上的單個或者多個方面,因此通過對六大子系統實時監控,最終達到對主機威脅行為識別。識別技術是辨識和處理的前提。主動防御引擎模型圖3
(三)辨識技術的實現
操作系統向外提供豐富的系統api接口,方便上層應用程序對系統資源的訪問,開發各類功能軟件,程序行為指程序或代碼對操作系統資源如文件系統、注冊表、內存、內核、網絡、服務、進程等的訪問操作。惡意代碼行為特點:非授權性和破壞性,主要表現為惡意代碼對系統資源的非授權訪問或篡改,如信息竊取、建立后門、實施破壞等行為。了解程序行為和惡意代碼的行為后,通過對惡意代碼的行為分析,并將惡意代碼必經的攻擊點進行記錄和分類,豐富到行為庫中,形成一套行為算法庫,通過行為算法庫來判別程序的合法性。其他子系統的行為引擎,也可建立相應的模型。識別技術是關鍵。
(四)強大的處理能力.在判斷程序的危害性后,可通過取得操作系統底層權限,對惡意代碼進行處理,對無法及時處理的可通過隔離,重啟后刪除。采用系統級主動防御技術,在異常監控技術上將監控范圍擴大到操作系統上的六大子系統,包括內核系統、應用系統、通訊系統、文件及資源系統、賬號及權限系統,采用分布式監控技術實現對全系統的監控。在辨識決策技術上是以程序行為算法庫分析判定、智能專家系統、程序可信性計算等技術為基礎,采用動態行為跟蹤技術,依據惡意程序行為特征算法庫,判定程序的性質和邏輯,預先判斷程序的危害行為和風險,實現對惡意代碼和惡意行為的自主識別、判斷。在管理上平臺可設計靈活的組網方式,實現多級連接、分權管理,也可通過同入侵檢測系統ids、訪問控制中心等聯動,獲得全網安全態勢,預警和應急處理全網安全事件,組成主動防御控制中心。
五、結論
當前日益嚴峻的安全形勢下,惡意代碼泛濫,針對傳統的防御方式已形成了一條集生產木馬、銷售、傳播等一體的黑色產業鏈,其利益集團也由個體利益、團體經濟利益逐漸演變成政治利益,甚至于國家之間的利益。因此,在防御手段上必須不斷的推陳出新,建立基于差異化的防御技術平臺,才能有效的防范已知的和未知的惡意代碼攻擊。
基于行為分析的主動防御技術的實現,彌補了傳統的防御方式無法查殺未知惡意代碼的弊端,提升了整個網絡安全的防御體系,使原被動滯后的防御體系成得實時主動,是未來主機防御技術的方向。主機主動防御技術采用程序行為分析技術,能主動防御病毒、木馬、間諜軟件、惡意腳本的攻擊及入侵,特別是對未知、新型、變種、加密、加殼等惡意代碼的防御效果顯著,其應用,將在智能電力網絡受信息安全威脅的電力行業帶來了一場革命。參考文獻:
[1]江民科技.2011年上半年網絡安全信息報告[n].江民科技網,2011,8:12;2011,9:23 http://.[2]b51.628-2009.成都中科慧創科技有限公司.網絡體系式主動防御系統[s].[3]陳培,高維.惡意代碼行為獲取的研究與實現[d].計算機科學,2009,1-3
[4]黃家林,張征帆.主動防御系統及應用研究[j].網絡安全技術與應用,2007
第二篇:電子政務網絡安全解決方案
電子政務網絡安全解決方案
電子政務網絡安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如行政部門業務系統、金融業務系統、政府機關商務系統等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
網絡規劃
各級網絡
利用現有線路及網絡進行完善擴充,建成互聯互通、標準統一、結構簡單、功能完善、安全可靠、高速實用、先進穩定的級別分明卻又統一的網絡。數據中心
建設集中的數據中心,對所有的信息資源、空間、信用等數據進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網絡總體結構
政府機構從事的行業性質是跟國家緊密聯系的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全,有必要對其網絡進行專門安全設計。
所謂電子政務就是政府機構運用現代計算機技術和網絡技術,將其管理和服務的職能轉移到網絡上完成,同時實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,向全社會提供高效、優質、規范、透明和全方位的管理與服務。
實現電子政務的意義在于突破了傳統的工業時代“一站式”的政府辦公模式,建立了適應網絡時代的“一網式”和“一表式”的新模式,開辟了推動社會信息化的新途徑,創造了政府實施產業政策的新手段。電子政務的出現有利于政府轉變職能,提高運作效率。
圖示:原有電子政務網絡情況
電子政務網絡的應用系統和網絡連接方式多樣,由于網絡本身及應用系統的復雜性,無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。非法進入的攻擊者可能竊聽網絡上的信息、竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名;更有甚者,攻擊者可以刪除數據庫內容、摧毀網絡節點等等。
因此在電子政務網絡的建設中,構建網絡安全系統以確保網絡信息的安全可靠是非常必要的。
物理安全風險分析
網絡物理安全是整個網絡系統安全的前提。物理安全的風險主要有: ◆地震、水災、火災等環境事故造成整個系統毀滅;
◆電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失; ◆設備被盜、被毀造成數據丟失或信息泄漏; ◆電磁輻射可能造成數據信息被竊取或偷閱;
◆報警系統的設計不足可能造成原本可以防止但實際發生了的事故。鏈路傳輸風險分析
網絡安全不僅是入侵者到政府機關內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全威脅。因此,對于政府這樣帶有重要信息傳輸的網絡,數據在鏈路上傳輸必須加密。并通過數字簽名及認證技術來保障數據在網上傳輸的真實性、機密性、可靠性及完整性。
遠程辦公安全接入 目前,政府網絡應用環境紛亂復雜,既有內部的應用如:內部OA系統、文件共享、Email等應用服務,又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網絡內部資源?
虛擬專用網技術(VPN,Virtual PrivateNetwork)是指在公共網絡中建立專用網絡,數據通過安全的“加密通道”在公共網絡中傳播。政府機關只需要租用本地的數據專線,連接上本地的公眾信息網,那么各地的機構就可以互相傳遞信息。使用VPN有節約成本、擴展性強、便于管理和實現全面控制等好處。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的,是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。根據國家有關規定,政府網絡可以通過現有公有平臺搭建自己的內部網絡,但必須通過認證和加密技術,保證數據傳輸的安全性。
單獨的VPN網關的主要功能是IPSec數據包的加密/解密處理和身份認證,但它沒有很強的訪問控制功能,例如狀態包過濾、網絡內容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下,防火墻無法對VPN的數據流量進行任何訪問控制,由此帶來安全性、性能、管理上的一系列問題。因此,在防火墻安全網關上集成VPN是當前安全產品的發展趨勢,能提供一個靈活、高效、完整的安全方案。
集成VPN的防火墻安全網關的優點是,它可以保證加密的流量在解密后,同樣需要經過嚴格的訪問控制策略的檢查,保護VPN網關免受DDoS攻擊和入侵威脅;提供更好的處理性能,簡化網絡管理的任務,快速適應動態、變化的網絡環境。因此,當前VPN技術已經成為安全網關產品的組成部分。
政府機關Intranet網絡建設的VPN連接方案,利用IPsec安全協議的VPN和加密能力,實現兩個或多個政府機關之間跨越因特網的政府機關內部網絡連接,實現了安全的政府機關內部的數據通信。通過防火墻內部策略控制體系,對VPN的數據可以進行有效的控制和管理,使政府機關的內部網絡通信具有良好的擴展性和管理性。
圖示:政府機關Intranet網VPN解決方案
如上圖示,原始的數據經過加密封裝在另外一個IP通道內,通道頭部地址就是防火墻外部端口的IP地址,以實現在公網鏈路上的傳輸。利用高強度的、動態變換的密鑰來保證數據的安全,168位的3DES算法更提供了業界最高級別的安全防御體系,使政府機關的內部數據可以無憂地在公網上傳輸,以達到政府機關內部網絡安全擴展的目的。
網絡結構的安全風險分析
(一)來自與公網互聯的安全威脅
如果政府內部網絡與Internet公網有互連。基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全威脅。因為,每天黑客都在試圖闖入Internet節點,假如我們的網絡不保持警惕,可能連黑客怎么闖入的都不知道,甚至會成為黑客入侵其他網絡的跳板。政府行業內部網絡中其辦公系統及各人主機上都有涉密信息。
假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。對于政府行業網絡系統,國家也有規定是不能與互聯網直接或間接與相連。
內部網絡與系統外部網互聯安全威脅
如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易遭到來自外部網絡不懷好意的入侵者的攻擊。如:
入侵者通過Sniffer等程序來探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。
入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。
惡意攻擊:入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
(三)內部局域網的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部員工編些具有破壞力的程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網絡安全構成很大的威脅。
系統的安全風險分析
所謂系統安全通常是指網絡操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door(后門)。而且系統本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。
如果進行安全配置,比如,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那么入侵者要成功進行內部網是不容易,這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。
應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。
(一)資源共享
政府網絡系統內部必有自動化辦公系統。而辦公網絡應用通常是共享網絡資源,比如文件、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密,因為缺少必要的訪問控制策略。
電子郵件系統
電子郵件為網系統用戶提供電子郵件應用。內部網用戶可通過拔號或其它方式進行電子郵件發送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,給系統帶來不安全因素。
病毒侵害
自從1983年世界上第一個計算機病毒出現以來,在20多年的時間里,計算機病毒已到了無孔不入的地步,有些甚至給我們造成了巨大的破壞。
隨著網絡的普及和網速的提高,計算機之間的遠程控制越來越方便,傳輸文件也變得非常快捷,正因為如此,病毒與黑客程序(木馬病毒)結合以后的危害更為嚴重,病毒的發作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性,按照制作者的要求侵蝕固定的內容。
由于網絡的普及,使得編寫病毒的知識越來越容易獲得。同時,各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成破壞性的病毒。
網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
數據信息
數據安全對政府行業來說尤其重要,數據在廣域網線路上傳輸,很難保證在傳輸過程中不被非法竊取,篡改。現今很多先進技術,黑客或一些工業間諜會通過一些手段,設法在線路上做些手腳,獲得在網上傳輸的數據信息。也就造成的泄密。這對政府行業用戶來說,是決不允許的。
管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。
機房重地卻是任何都可以進進出出,來去自由。存有惡意的入侵者便有機會得到入侵的條件。
內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。
管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外,還得依靠安全管理來實現。
防火墻系統設計方案
(一)防火墻系統
1、在各網絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網絡隔離、劃分不同安全域,進行訪問控制的功能。通過防火墻的多網口結構設計,控制授權合法用戶可以訪問到授權服務,而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列,可以根據各局內部網的規模大小選擇適合自己的產品。
2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統,超越了傳統防火墻中的基于統計異常的入侵檢測功能,實現了可擴展的攻擊檢測庫,真正實現了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊,可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式,通知管理員調整控制規則,為整個網絡提供動態的網絡保護。
3、利用曙光天羅防火墻自帶的VPN功能,實現多級VPN系統。防火墻VPN模塊支持兩種用戶模式:遠程訪問虛擬網(撥號VPN)和政府機關內部虛擬網(網關對網關VPN)。如上圖所示,在省地市三級網絡出口處安裝曙光天羅防火墻,利用防火墻的VPN模塊,實現他們之間分層次的政府機關內部虛擬網(網關對網關VPN);而對于一些規模比較小的區線或移動用戶,通過安裝VPN客戶端,實現遠程訪問虛擬網(撥號VPN),整個構成一個安全的虛擬內部局域網,保障電子政務網絡的數據安全傳輸。
(二)防火墻的VPN功能
VPN是平衡Internet的適用性和價格優勢的最有前途的新興通信手段之一。利用共享的IP網建立VPN連接,可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。
也是至關重要的一點,它可以使移動用戶和一些小型的分支機構的網絡開銷減少達50%或更多;
政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET,所以VPN的可擴展性大大優于傳統構建政府機關INTRANET的技術手段,如點對點專線或長途撥號;
VPN不僅可以大幅度削減傳輸數據的開銷,同時可以削減傳輸話音的開銷;
VPN創造了多種伴隨著Web發展而出現的新的商業機會,包括:進行全球電子商務,可以在減少銷售成本的同時增加銷售量;實現外連網,可以使用戶獲得關鍵的信息,更加貼近世界;可以訪問全球任何角落的電子通勤人員和移動用戶。
在當今全球激烈競爭的環境下,最先實現VPN的政府機關將在競爭獲得優勢已經是不爭的事實,許多政府機關也開始紛紛利用經濟有效的VPN來傳送話音業務,并從中受益:
◆ 減少用于相關的調制解調器和終端服務設備的資金及費用,簡化網絡; ◆ 實現本地撥號接入的功能來取代遠距離接入,這樣能顯著降低遠距離通信的費用; ◆ 遠端驗證撥入用戶服務基于標準,基于策略功能的安全服務;
◆ 將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業務上來; ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監控,可以優化網絡資源;
◆ 極大的可擴展性,簡便地對加入網絡的新用戶進行調度。用戶不需改變網絡的原來架構,只須安裝客戶端軟件并且設置此軟件的一些參數即可。同時也支持傳統的應用,可以從小的政府機關擴展到最大的政府機關;
◆ 更大的網絡靈活性,可以管理和發布不同類型的數據進入同一Internet連接。VPN代表了當今網絡發展演化的最高形式,它綜合了傳統數據網絡的性能優點(安全和QoS)和共享數據網絡結構的優點(簡單和低成本),必將成為未來傳輸完全匯聚業務的主要工具。
用戶可以通過硬件和軟件的方式來實現VPN功能,一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻,就可以讓地方聯到總部的內部局域網了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩定性,因一個最大的優點是既可以抵御外部的攻擊又可以提高自身網絡的安全性。
防火墻對服務器的保護
網絡中應用的服務器,信息量大、處理能力強,往往是攻擊的主要對象。另外,服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口,因此,在實施方案時要對服務器的安全進行一系列安全保護。
如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務,就會面臨著“黑客”各種方式的攻擊,安全級別很低。因此當安裝防火墻后,所有訪問服務器的請求都要經過防火墻安全規則的詳細檢測。只有訪問服務器的請求符合防火墻安全規則后,才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊,外界只能接觸到防火墻上的特定服務,從而防止了絕大部分外界攻擊。
(四)防火墻對內網的保護
網絡內部的環境比較復雜,而且各子網的分布地域廣闊,網絡用戶、設備接入的可控性比較差,因此,內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發自內部用戶,如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性,我們必須要對它進行詳盡的分析,盡可能防護到網絡的每一節點。
對于一般的網絡應用,內部用戶可以直接接觸到網絡內部幾乎所有的服務,網絡服務器對于內部用戶缺乏基本的安全防范,特別是在內部網絡上,大部分的主機沒有進行基本的安全防范處理,整個系統的安全性容易受到內部用戶攻擊的威脅,安全等級不高。根據國際上流行的處理方法,我們把內部用戶跨網段的訪問分為兩大類:其一,是內部網絡用戶之間的訪問,即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次,是內部網絡用戶對內部服務器的訪問,這一類應用主要發生在內部用戶的業務處理時。一般內部用戶對于網絡安全防范的意識不高,如果內部人員發起攻擊,內部網絡主機將無法避免地遭到損害,特別是針對于NETBIOS文件共享協議,已經有很多的漏洞在網上公開報道,如果網絡主機保護不完善,就可能被內部用戶利用“黑客”工具造成嚴重破壞。
由于網絡環境的復雜化和網絡應用的多樣化日益明顯,對于內部網絡除了必要的防攻擊設置外還必須防止內部用戶的欺騙行為,比如IP地址欺騙、網絡連接的欺騙等。由于物理層上的原因,內部用戶接觸網絡服務的機會、方法很多,如果沒有專門的安全防護,“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊(CRACK),對于內部網絡的用戶,防范攻擊的難度較大。我們主要從以下幾個方面考慮:
1)內部網絡風險分析:由于內部攻擊發生的比較頻繁,因此我們首先要分析內部網絡的安全隱患,把可能發生的不安定因素找出來進行專門的安全處理;
2)內部用戶網絡和網絡的隔離:把內部比較重要的數據服務器放在專門的區域,加上獨立的控制體系,對于內部網的訪問同樣要進行相應的安全控制;
3)內部網絡安全保護:結合物理層和鏈路層的特點,在物理層和鏈路層的接口處實施安全控制,實施IP/MAC綁定。
IDS詳述
IDS(入侵檢測系統)對于關心網絡安全防護的人們來說已不再是一個陌生的名詞,在許多行業的計算機網絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統外,有近15%的安全項目會涉及到IDS系統,而且這些項目一般都對安全等級的要求非常高,對數據信息的保密性也有特別的要求。
IDS系統
要想高效使用IDS首先要對它進行合理部署。通常IDS監控保護的基本單位是一個網段,單個網段的最小組成元素是各臺主機,政府機關對各主機、各網段的安全性要求程度一般都不相同,所以確定IDS的保護對象是合理使用IDS的關鍵。
在優先保護的網段中部署IDS系統,并配置合適的檢測策略,如在防火墻之內部署IDS則可把安全策略配置得緊一些,即使用最大化的檢測策略,而在防火墻之外部署則可采用較為寬松的策略,因為經過防火墻過濾后,內部網絡的安全狀況相對比較簡單,而外部的情況則較為復雜,誤報的可能性也較大。另外,在一定的情況下有些內部信任的主機也可能會觸發IDS的檢測引擎,從而形成報警,而對于用戶來說,這些報警事件是沒有什么參考價值的,所以需要在檢測范圍中排除這些主機的IP地址;通常IDS系統中都有一個過濾器(FILTER)模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項,可以允許用戶加入所有他們所信任的主機IP地址。
目前大多數的IDS系統主要采用基于包特征的檢測技術來組建,它們的基本原理是對網絡上的所有數據包進行復制并檢測,然后與內部的攻擊特征數據庫(規則庫)進行匹配比較,如果相符即產生報警或響應。這種檢測方式雖然比異常統計檢測技術要更加精確,但會給IDS帶來較大的負載,所以需要對檢測策略作進一步的調整和優化。具體做法是根據政府機關自身網絡的業務應用情況,選擇最適合的檢測策略(可根據操作系統、應用服務或部署位置等),并對所選的策略進行修改,選擇具有參考價值的檢測規則,而去除一些無關緊要的選項,如對于全部是Windows的應用環境,則完全可以把UNIX的規則去掉。有些IDS除了提供攻擊特征檢測規則的定制功能外,還提供了對端口掃描檢測規則的自定義,如在KIDS中就可定義端口掃描的監控范圍、信任主機地址排除和掃描模式等參數,這些參數的合理配置都能將IDS的檢測能力優化到最理想的狀態。
IDS監控
IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應,因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷,如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監控時,不但需要查看它的報警提示,而且需要參考它所提供的實時狀態信息。因為在網絡中發生異常行為時,網絡中的許多狀態信息一般都與正常情況下的狀態不一樣。如主機正遭到拒絕服務攻擊時(DoS或DDoS),網絡中的數據流量便可能會急速上升,這時可以從包流量或字節流量等實時的狀態圖表中發現這樣的異常情況。所以參考IDS所顯示的狀態信息也是非常重要的。實時狀態信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協議的包或字節流量等。IDS的最重要價值之一是它能提供事后統計分析,所有安全事件或審計事件的信息都將被記錄在數據庫中,可以從各個角度來對這些事件進行分析歸類,以總結出被保護網絡的安全狀態的現狀和趨勢,及時發現網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。
電子政務整體網絡安全解決方案
電子政務系統中存在大量敏感數據和應用,因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統,確保數據和應用萬無一失。
各局的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接,可以通過電子政務網絡進行相互訪問,服務器就有可能收到攻擊。因此,必須在各局之間相互進行隔離防護。
如下圖,我們在各局路由器后安裝曙光TLFW千兆防火墻,以有三千用戶在同時上Internet網計算,千兆防火墻的并發連接超過600,000,完全可以滿足整個網絡的需求,穩定性上也滿足要求。同時,將局內網與其他區域邏輯隔離開來,在數據中心內,根據不同的服務器對安全性的不同需求,將它們分等級劃分為不同的區域,并通過詳細的包過濾規則制定,將這些服務器徹底保護起來,保證它們之間不能跨級別訪問,這樣實現分級的安全性。
通過安裝防火墻,可以實現下列的安全目標:
1)利用防火墻將內部網絡、Internet外部網絡進行有效隔離,避免與外部網絡直接通信;
2)利用防火墻建立網絡各終端和服務器的安全保護措施,保證系統安全;
3)利用防火墻對來自非內部網的服務請求進行控制,使非法訪問在到達主機前被拒絕; 4)利用防火墻使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;
5)利用防火墻全面監視對服務器的訪問,及時發現和阻止非法操作;
6)利用防火墻及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線; 7)根據需要設置流量控制規則,實現網絡流量控制,并設置基于時間段的訪問控制。下圖是電子政務網絡安全解決方案設計拓撲圖:
圖示:電子政務網絡安全總體拓撲
根據以上的分析,在整個政府網絡安全體系中,除了負責邊界安全的防火墻設備以外,還選擇了入侵檢測系統進行共同防范,達到整個系統的高安全性。
同時因為用戶有撥號VPN的需求,而曙光的天羅防火墻自身具備了VPN的功能,可以滿足遠程連接用戶的安全要求。
具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產品特色。易于安裝和使用,網絡性能和透明性好,擁有自行設計的全中文化WWW管理界面,通過直觀、易用的界面來管理強大、復雜的系統功能。
可根據系統管理者設定的安全規則(Security Rules)把守網絡的大門,提供強大的訪問控制、網絡地址轉換(Network Address Translation)、帶寬控制、P2P協議過濾等功能。
根據電子政務的實際需要,充分利用了曙光天羅防火墻的各功能模塊,實現了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協同工作,再加上NIDS網絡入侵檢測系統的重點防護,構建了一個整合的動態安全門戶,以比較經濟實惠的方式,實現了對電子政務網絡的整體安全防護。
第三篇:電力系統中計算機網絡安全
電力系統中計算機網絡安全
來源:www.tmdps.cn
O.前言
汁算機網絡在電力系統中的應用越來越廣泛.可以在電力系統自動化、監控、保護、電力企業物資管理、電費收繳、電量調節等各方面進行集成管理,發揮著越來越重要的作用.而且國家電力數據通信網把各級電網企業連接起來,實現了電網企業間信息系統互聯互通、資源共享。但是值得我們注意的是.電力系統中計算機網絡安全問題也就顯得越來越突出。電力信息或電力系統實時數據的傳輸已經超出了目前遠動系統的范疇。常規遠動系統必將被融合計算機、保護、控制、網絡、通信等技術于一體的網絡化電力信息傳輸系統所代替.并終將打破現行的專業分工,引起遠動系統設計的一場革命攻擊事件造成的影響日益嚴重,發生的頻率也日益增加 眾所周知.計算機網絡具備信道共用性、分布廣域性、資源共享性、體系結構開放性的特點.因此.也不可避免地會存在著系統的脆弱性.使其面臨嚴重的安全問題.而幾乎所有的攻擊者都是利用現有計算機網絡系統中的安全漏洞來進行活動2006年4月29日.國家電網公司提出了在全系統實施“SG186工程”的規劃.它的出臺對整個電力行業產生了巨大的影響 “SG186工程”的六大保障體系中,首當其沖的就是“安全防護體系”.這充分說明信息網絡安全在電網信息化過程中的重要性
1.計算機網絡安全的重要性
計算機安全一般包含信息安全和物理安全兩方面.信息安全也就是網絡安全,能夠有效保護網絡信息的可用性、完整性和保密性。計算機網絡的威脅主要有計算機病毒、黑客的攻擊等,其中黑客對于計算機網絡的攻擊方法已經大大超過了計算機病毒的種類.而且許多攻擊都是致命的。因此.加強計算機網絡安全保護尤為重要 只有針對這些網絡威脅采取必要的保護措施.才能確保計算機網絡信息的可靠性、安全性和保密性。絕大多數計算機網絡安全入侵事件都是因為沒有及時補上系統漏洞、系統安全措施不完善造成的.一旦網絡軟件“后門”洞開,黑客就可以很容易地進入到別人的系統,造成的后果可想而知。
根據美國FBI(美國聯邦調查局1的調查.美國每年因為網絡安全造成的經濟損失超過170億美元.75%的公司報告財政損失是由于計算機系統的安全問題造成的,平均每天會有1.5萬個網頁受到病毒感染或者遭受黑客攻擊 也就是說.每5秒鐘就會有一個網頁成為黑客們的“盤中餐”。在中國國內.互聯網的安全問題形勢也非常嚴重 據國家計算機網絡應急技術處理協調中心2007年的評估數據顯示.在全球的620萬臺“僵尸”電腦中.約有360萬臺在中國.占58%以上 同時.感染了“特洛伊”病毒的電腦數量仍在穩步上升
2.如何有效保障電力系統中計算機網絡安全
2.1完善防火墻技術防火墻的英文名為“FireWall”.它是目前一種最重要的網絡防護設備。從專業角度講,防火墻是位于兩個(或多個)網絡間。實施網絡之間訪問控制的一組組件集合 將大力加強和規范信息網絡安全工作.提高信息網絡整體安全防護水平,實現信息網絡安全的可控、能控、在控.按照國家電網的要求.對接入信息內網辦公地計算機進行安全自杏.對存安全隱患的計算機要求及時整改 網絡安全是安全生產管理體系的重要組成部分.電力窗口將按規定、有步驟的開展信息網絡安全維護工作.保證信息系統安全好局面 再次強調在工作時間計算機終端不得使用與工作無關的相應軟件.將納入月度責任制考核
2.2防病毒技術隨著互聯網技術和信息技術的不斷發展,計算機病毒對計算機系統構成了極大的威脅,同時,病毒也變得越來越高級、越來越復雜 目前市面上普遍使用的防病毒軟件一般可以分為單機防病毒軟件和網絡防病毒軟件兩大類 單機防病毒軟件一般是分析掃描本地和本地工作站鏈接的資源.通過快速檢測來達到清除計算機病毒的目的 而網絡防病毒軟件則不是側重于單臺電腦的防病毒處理.而是主要注重于網絡防病毒.一旦病毒從網絡向其它資源傳染.那么該軟件就會歷盡檢測,并及時加以刪除 例如金山毒霸網絡版V7.0具備提前被系統加載特性.可以在病毒模塊還沒有加載或被保護的時候刪除被保護的病毒文件或攔截禁止病毒的保護模塊:精確打擊.定點清除頑固惡意軟件和木馬.解決能查不能殺的難題從而完成正常殺毒任務 金山毒霸網絡版V7.0實現了集中式配置、部署、策略管理和報告.并支持管理員對網絡安全進行實時審核.以確定哪些節點易于受到病毒的攻擊.以及在出現緊急病毒情況時采取何種應急處理措施 網絡管理員可以通過邏輯分組的方式管理客戶端和服務器的反病毒相關工作.并可以創建、部署和鎖定安全策略和設置.從而使得網絡系統保持最新狀態和良好的配置 金山毒霸網絡版v7.O采用分布式的漏洞掃描及修復技術。管理員通過管理節點獲取客戶機主動智能上報的漏洞信息.再精確部署漏洞修復程序:其通過Proxy(代理)下載修復程序的方式.極大地降低了網絡對外帶寬的占用。全網漏洞掃描及修復過程無需人工參與,且能夠在客戶機用戶未登錄或以受限用戶登錄情況下進行
2.3建立完善的計算機網絡安全防范制度負責電力系統中計算機信息網絡管理的值班人員要明確分工.落實責任。當班人員因故不能值班或者離開值班崗位者.應找本中心人員替代,在替代人員到崗后方可離崗。值班人員必須嚴守操作規程.密切注視系統運行情況,發現問題,及時上報:同時.在征得領導同意后.迅速果斷地采取相應的措施.如硬件故障.則通知硬件維護人員.并與之相配合做好故障處理工作 所有工作人員不得將中心任何一臺計算機或服務器的IP地址及密碼公開,防止外來人員進入。同時.制定《中心機房管理制度》、《門戶網站管理規定》、《專線網通信平臺運行管理制度》、《局域網管理制度》,《網絡保密管理制度》、《全程同步錄音錄像系統管理規定》等管理規定.明確工作責任和使用程序 設立多道防火墻,經常更換密碼,防止外來有害信息進入。安全負責人應隨時了解網絡運行情況、信息發布情況,定期或不定期的檢查網上傳輸的運作情況。經常了解用戶使用情況。針對出現的問題.及時解決。各部門要切實增強保密意識.加強對計算機等涉密載體的管理,做到認識到位、組織到位、工作到位,確保萬無一失。另外,按照“誰上網、誰負責”的原則.每臺計算機均設置系統登錄密碼.嚴格規定訪問權限.工作中臨時離開計算機或會見客人時,必須將計算機置于鎖定狀態.局域網內計算機不得通過任何途徑接人互聯網,嚴格實行內外網物理隔離。
【參考文獻】
[1]郝玉潔,常征.網絡安全與防火墻技術.北京:電子科技大學學報社科版2002,1(4):24~28.
[2]蔡忠閩、孫國基等.入侵檢測系統評估環境的設計與實現系統.仿真學報2002,3(14).
[3]Bace Rebecca.Intrusion Detection.Macmillan Technical Publishing.2000.
[4]劉永華.基于Agent的分布式入侵檢測系統.濰坊學院學報2006,3(6—2)
[5]蔡洪民,伍乃駭,滕少華.局域網絡安全掃描系統的設計與實現.微計算機應用.2005.1:45—48.
第四篇:電力系統中心監控解決方案
目 錄
一、需求分析....................................................................................................................................1
二、設計原則....................................................................................................................................2
三、設計依據....................................................................................................................................3
四、設備選型....................................................................................................................................3
1、矩陣主機......................................................................................................................................3
2、控制軟件......................................................................................................................................5
3、云臺、解碼器...............................................................................................................................6
4、攝像機..........................................................................................................................................6
5、網絡分控計算機............................................................................................................................7
五、系統拓撲結構.............................................................................................錯誤!未定義書簽。
某市電力系統監控方案
一、需求分析
某市供電局共有幾十個變電所,其中大部份變電所實行了無人值守,為了保證變電所的安全,同時,也為了提高服務質量、增強管理意識,對所有的變電所實行了監控。我們對變電所設計配置矩陣硬錄集成系統,當地監控的同時實現遠程監控。
所有的變電所都設計32路左右攝像頭,分別安裝在各個重要設備及機房內外。其中有些地方還裝了解碼器用來控制云臺鏡頭,另外,設計報警地址發生器可以接入多路報警量及控制量,我們在重要的出入口和設備處安裝了紅外/微波雙鑒報警器,在變電站四周圍墻墻頭設計安裝紅外對射報警器均接入報警地址發生器,在每個房間,安裝了雙鑒報警探測傳感器,有些房間,通過聯動裝置,可以控制照明設備。解碼器通過TD總線與監控主機相連,在某些設備的房間,還安裝了監聽器。
所有的變電所的監控主機通過供電局的內部網聯接到市供電局監控中心,市供電局為每個變電所提供了2M的帶寬,所以可以保證每個變電所可以切換上傳1到4路音視頻圖像。
監控主機接受各種視頻、音頻及報警數據,在有人值守的變電所,可以通過切換操作在顯示器上觀看到每路視頻的圖像及報警。通過設置,可以進行錄像、自動切換,對于室內攝像頭,可以設置動態檢測錄像,即視頻變化即產生錄像,不變化不錄像。對于無人值守的變電所,可以通過遠程設置,實現同樣的功能。監控主機可以將報警信息和音視頻錄像保存在本地硬盤,當本地硬盤滿時,可以設置自動清除過期的錄像,同時,監控
主機還作為網絡服務器,接受監控中心的數據和音視頻請求。根據監控中心的請求,將視頻和數據傳送到指定的地點。
在網絡監控中心,我們設立專門的計算機對各變電所進行監控,監控中心可以輪流對各變電所的視頻及數據進行巡視,當變電所有報警發生時,變電所監控主機會主動將報警上傳,報警信息將存入監控中心數據庫,相對應的視頻圖像即自動切換到當前畫面。同時,會有聲音提示,工作人員進行判斷,如果需要進行維護,則可以立即打印出派工單,并通知相關人員。在供電局監控中心,除了網絡監控主機,還可以在網絡別的節點,如局長室對各變電所進行巡視,以了解變電所的情況。大大方便了管理。
二、設計原則
1、先進性、實用性、經濟性及合法性
本系統設計時充分考慮設備和技術的先進性,系統采用先進技術,時整個系統達到先進性;所有集成設備均選購目前同類產品中先進的產品,保證幾年內不落后、不被淘汰;在保證系統的先進性的同時還應考慮系統的實用性,即所選設備是成熟的系統,所有的功能都是實用的;并考慮系統的經濟性,選擇性能價格比高的產品。所有設備都是經國家有關部門批準生長和通過質量檢測的產品。
2、良好的擴充性
考慮到工程的實際情況,在進行系統設計時,我們充分考慮了系統增容的可擴充性:系統設計均采用模塊化結構,所有設備管理主機均可擴容,以后系統增容時,只需直接將管理設備與系統進行連接,不需對線路進行改造;系統主機均采用大容量產品,為將來的擴充保留充分的冗余空間和設備接口。
3、系統安全可靠性
凡設計到業主經濟利益的系統,穩定可靠性是至關重要的。系統的產品涉及到經濟利益,我們設計選型時作了慎重考慮,選用的設備都是經過大量用戶使用并且相當成熟的產品。使系統具有更強的安全性和穩定性。
4、系統超前性
整個系統的先進性,取決于設計者是否具有超前意識,掌握這一行業的最新技術以及邊緣科學在此領域的應用,同時必須了解和預見到今后幾年社會發展對閉路監控及報警系統方面提出的要求。因此,不僅要求設計嚴密、布局合理,能與技術、新產品接軌,而且所選擇的設備應在系統實施若干年后,亦能保持其功能完善、齊全,不至于落后。
5、系統的可操作性
設備齊全、功能完善、綜合管理、便于維護、操作簡便且易于掌握。系統的設計,要求在操作人員與設備
之間建立起友好的界面,使操作者無論對系統的設置還是日常運行,通過鍵盤進行簡單的操作即可完成,即使對沒有接觸過此類設備的操作者,只需稍加培訓,即能掌握一般操作。
6、系統的安全性
雷電發生時將產生強大的沖擊電流,如果不采取有效防御措施,極容易造成被雷電擊壞。對系統的防雷擊方面,我們設計采取:所有設備額外供電,配備專用UPS電源,防止雷擊發生時超高壓強電流通過強電系統破壞弱電系統;所有設施保證良好接地,當強電流通過時可以分散電流,室外可安裝避雷針。
三、設計依據
系統配置是根據業主提供的要求及國家或行業批準發布的相關產品/系統標準而設計的。GBJ16-83《建筑電氣設計技術規范》 GA/T 75-94《安全防范工程程序與要求》 GA/T 70-94《安全防范工程費用概算編制辦法》 GA/T 70-94《安全防范系統通用圖形符號》
GB50198-94《民用閉路監視電視系統工程技術規范》 GBJ232-82《電氣裝置安裝工程施工及驗收規范》 GBJ300-86《建筑安裝工程質量檢驗評定統一標準》 GBJ57-83《建筑物防雷設計規范》
GBJ303-88《建筑電氣安裝工程質量檢驗評定標準》
HYD41-01-1999《電子工程建設概預算編制辦法 電子設備安裝工程費用定額》及《電子工程建設預算定額》
GA16796-97《安全防范報警設備安全要求和實驗方法》
四、設備選型
根據用戶對電視監控系統的具體要求,綜合我公司以往所做工程的經驗,特別鄭重推薦使用以下電視監控系列產品。
1、矩陣主機
數碼科技有限公司生產的TC-8632-8II型矩陣主機
? 系統支持32路音視頻同步輸入,8路音視頻同步輸出。
? 系統支持一級主控設備(可選主控鍵盤或主控計算機),15級分控設備(可選分控鍵盤、分控計算機或紅外分控等)。? 系統可接入32路報警探測區。
? 主控設備全面享有對所有監控現場云臺、鏡頭、快球、雨刷、燈光、電源的控制。
? 經授權后,分控設備可有限享有對某些監控現場云臺、鏡頭、快球、雨刷、燈光、電源的控制。? 矩陣主機與主、分控設備及解碼器之間采用RS-485通訊方式,布線簡單,擴展性強。? 系統支持主控鍵盤或主控計算機兩種主控設備,但同時只允許接入其中一種。
? 主控設備選用主控計算機時,可通過主控軟件用鼠標實現快球的全功能控制,同時系統提供了軟件鎖定功能,視頻滿屏功能,并可附有電子地圖、硬盤錄像、語音控制、視頻報警四大功能模塊可供用戶選配。主控軟件具備普通切換和便捷控制等多種方便靈活的切換方式,并提供布/撤防狀態、燈光、電源、雨刷、廣播、自動等狀態的任意多點組合控制和查詢。? 主分控鍵盤可通過搖桿控制快球或云臺方向及編程參數選擇,同時具備鍵盤鎖定功能。? 紅外分控具備分控鍵盤的主要功能,操作更為靈活。
? 分控設備(分控鍵盤、分控計算機)均需授權,這種授權規定了鍵盤——監視器、鍵盤——攝像機、監視器——攝像機的訪問權限。
? 系統支持萬能切換功能,通過編程可設定監視器——攝像機的順序切換權限及駐留時間,切換時音視頻同步切換,每個監視器可存儲多達120點的切換序列。
? 每路視頻輸出上都有字幕疊加,屏幕顯示包括時間、日期、監視器編號、攝像機編號及8個任意標識字符,黑邊框字幕保證光照變化時的字幕效果。系統提供可視化字幕調整方式,可在屏幕的任意位置疊加字幕信息。
? 報警方式可選并行報警或串行報警,各報警點輸入可任選斷路報警或短路報警方式,以防止人為破壞。
? 可手動、定時自動開關每個報警點的信號檢測,各點布/撤防狀態可在編程中查詢。消警方式可選自動消警、延時消警和手動消警。
? 系統具備強大的報警聯動功能,報警后報警點現場電源接通、燈光打開,主機蜂鳴器鳴響,報警開關啟動。
? 報警后,報警點音視頻信息將按照系統編程設定的參數在授權監視器上切換,視頻上疊加“報警”提示字樣,每個監視器可存儲多達120點的報警切換序列。? 報警記錄查詢。可查詢最近256個報警點的報警時間。? 開關機時間查詢。可查詢最近256次開關機的時間。
? 多級密碼保護。系統啟動、鍵盤鎖定、報警布/撤防、調用預置景點均需輸入密碼。工作溫度:-10℃-+55℃ 工作電壓: AC220V/50Hz(±10%)功耗: 20W 音頻輸入: 32路(兩線制/三線制)
音頻輸出: 16路(750mV/600Ω)頻率響應: 150Hz ~ 15KHz 音頻通道隔離度: >40dB 視頻通道隔離度: >56dB 視頻信噪比: >56dB 視頻通道帶寬: 15MHz(±3dB)視頻輸入阻抗: 75Ω 1Vpp 視頻輸出阻抗: 75Ω 1Vpp 外形尺寸: 482mm*344mm*88mm(長*寬*高)
2、控制軟件
系統采用矩陣硬錄集成控制軟件,應用于由的TC8632-8II矩陣和TC2808AV-M4硬錄主機組成的多媒體監控系統,它將先進的多媒體技術利用在傳統的監控系統中,不但大大簡化了硬件設備和器材,而且使得處理和控制更加精確、可靠。同時它具備Windows環境下應用軟件的諸多功能,可以方便的完成預置編程、錄像、圖像抓拍打印、電子地圖、視頻報警,遠程監控的支持等多媒體功能。
? 支持網絡和互聯
? 分為服務器端計算機軟件和網絡分控端計算機軟件兩部分 ? 界面友好,完全中文化,易于使用 ? 按鍵圖標會意化設計,操作簡單直觀 ? 具有可管理性,存檔、查詢方便 ? 周到的軟件選項,滿足用戶的各種需求
? 字幕與影像分離。提高畫面清晰度,并有多種字幕顯示,隨心所欲,盡如人意 ? 兼容中西文Windows2000操作系統 ? 分控計算機軟件不限節點數,可隨意配置 ? 安裝簡單,硬盤占用量小,升級容易
? 采用多級電子密碼進行系統操作,實現安全管理
? 編輯方便、發送快捷的漢字傳送功能。漢字錄入方便。字符傳送快捷。漢字隨時修改、隨時發送,無次數限制。
? 圖標會意化按鍵設計,功能明確,使用便捷,關鍵時刻不致手忙腳亂,不需專業培訓即可操作。
? 工作狀態指示明確,采用指示型按鍵,使按鍵狀態一目了然。
? 將一些常用功能設置為按鍵(象編程、話筒、燈光以及雨刷等按鍵),方便監控系統操作。? 抓拍圖像以通用格式存儲,方便進一步處理和打印。? 畫面質量可調,并在下次啟動系統時,保留此設置。? 操作簡單但功能強大的菜單選項。
? 通過選擇“串口設置”菜單,完成串口、波特率等參數的設定。
? 通過選擇“編程”鍵的選擇,完成組切時間、字幕選擇、分控設定、時間設定等參數的設定。? 通過對“察看狀態”菜單的選擇,可快速完成對現場電源、燈光、自動掃描處于何種工作狀態的察看。
? 實時多媒體報警。獨具一格的報警聯動模塊,保證布防后警情發生時主控計算機監視器畫面的及時切換,直至撤防。? 可選配電子地圖功能。? 報警畫面可存至計算機硬盤。
? 可實現報警資料的長期存儲,便于查詢。?
3、云臺、解碼器
設計使用TC-2209A型室外全球解碼器一體化云臺和TC-2207A型室內全球解碼器一體化云臺。全球云臺, 內置解碼器。
轉動角度:水平:358°,垂直:0°~ 90° 轉動速度:水平:12°/秒,垂直: 6°/秒 電 壓: 24VAC 輸入 ?
4、攝像機
選用HONYWELL(GC-755A1型)攝像機。
像素:625電視線(PAL)掃描系統:2:1隔行掃描 水平掃描頻率:15.625KHz 垂直掃描頻率:50KHz 圖像傳感器:1/4″彩色CCD高清晰數碼攝像機 總像素:795(H)x596(V)470K
有效像素:752(H)x582(V)440K 信噪比:超過49dB 水平分辨率:480電視線 視頻輸出:1.0Vp-p,75Ω
鏡頭:20倍光學變倍(F1.6,f=3.9-85.8)自動變焦
數字放大比率:10倍(總放大比率:220倍),2~10倍可變 變倍速度:5秒
鏡頭觀察角度:水平:47°(w)/3°(T)最低照度:0.001Lux 同步方式:內方式 背光補償:ON/OFF 彩色/黑白:ON/OFF 焦點模式:自動/手動 白平衡:自動/半自動 模糊控制:手動 銳化控制:手動
快門速度:1/50~1/10000sec 電源: DC12±0.5V 功耗:4.2W/350mA 尺寸:60mm×60.4mm×103mm 重量:345g ?
5、網絡分控計算機
網絡分控計算機采用配置: CPU:PIII 1G以上 內存:256M以上
顯卡:Geforce顯卡MX200以上 網卡:10M/100M PCI網卡
軟件平臺:Windows 2000 Professional
第五篇:企業網絡安全解決方案畢業論文
婁底職業技術學院網絡專業畢業設計
宏錦網絡有限公司 企業網絡安全解決方案
摘 要
近幾年來,Internet技術日趨成熟,已經開始了從以提供和保證網絡聯通性為主要目標的第一代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網絡互聯技術迅速的大規模使用。眾所周知,作為全球使用范圍最大的信息網,Internet自身協議的開放性極大地方便了各種計算機連網,拓寬了共享資源。但是,由于在早期網絡協議設計上對安全問題的忽視,以及在管理和使用上的無政府狀態,逐漸使Internet自身安全受到嚴重威脅,與它有關的安全事故屢有發生。網絡安全的威脅主要表現在:非授權訪問,冒充合法用戶,破壞數據完整性,干擾系統正常運行,利用網絡傳播病毒,線路竊聽等方面。因此本論文為企業(宏錦企業網絡)構架網絡安全體系,主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術,來實現企業的網絡安全。
關鍵詞: 網絡,安全,VPN,防火墻,防病毒
I
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
目 錄
緒 論....................................................................................................................................................................1 第一章 企業網絡安全概述...................................................................................................................................2 1.1 企業網絡的主要安全隱患.......................................................................................................................2
1.2 企業網絡的安全誤區...............................................................................................................................2 第二章 企業網絡安全現狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業網絡安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業網絡結構.............................................................................................................................................5 第三章 企業網絡安全解決實施...........................................................................................................................6 3.1 宏錦網絡企業物理安全.............................................................................................................................6 3.2宏錦企業網絡VLAN劃分............................................................................................................................7 3.4 宏錦企業網絡防火墻配置.........................................................................................................................9 3.4 宏錦企業網絡VPN配置...........................................................................................................................12 3.5 宏錦企業網絡防病毒措施.......................................................................................................................13 第四章 宏錦企業的網絡管理.............................................................................................................................16 4.1宏錦企業網絡管理的問題........................................................................................................................16 4.2 宏錦企業網絡管理實施...........................................................................................................................16 總 結..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻...............................................................................................................................................................20
III
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
緒 論
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。
網絡安全問題伴隨著網絡的產生而產生,可以說,有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件,目前主要是通過網絡進行的,而且幾乎每時每刻都在發生,遍及全球。除此之外,像惡意軟件入侵、攻擊,用戶的非法訪問和操作,用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害,相信我們每個計算機用戶都或多或少地親身體驗過一些:輕則使電腦系統運行不正常,重則使整個計算機系統中的磁盤數據全部覆滅,甚至導致磁盤、計算機等硬件的損壞。
為了防范這些網絡安全事故的發生,每個計算機用戶,特別是企業網絡用戶,必須采取足夠的安全防范措施,甚至可以說要在利益均衡情況下不惜一切代價。但要注意,企業網絡安全策略的實施是一項系統工程,它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅,又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視,不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的,而許多安全措施都是相輔相成的。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第一章 企業網絡安全概述
1.1 企業網絡的主要安全隱患
現在網絡安全系統所要防范的不再僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問,同時企業網絡安全隱患的來源有內、外網之分,很多情況下內部網絡安全威脅要遠遠大于外部網絡,因為內部中實施入侵和攻擊更加容易,企業網絡安全威脅的主要來源主要包括。
1)病毒、木馬和惡意軟件的入侵。2)網絡黑客的攻擊。
3)重要文件或郵件的非法竊取、訪問與操作。4)關鍵部門的非法訪問和敏感信息外泄。5)外網的非法入侵。
6)備份數據和存儲媒體的損壞、丟失。
針對這些安全隱患,所采取的安全策略可以通過安裝專業的網絡版病毒防護系統,同時也要加強內部網絡的安全管理,配置好防火墻過濾策略和系統本身的各項安全措施,及時安裝系統安全補丁,有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統,甚至配置網絡安全隔離系統,對內、外網絡進行安全隔離;加強內部網絡的安全管理,嚴格實行“最小權限”原則,為各個用戶配置好恰當的用戶權限;同時對一些敏感數據進行加密保護,對數據還可以進行數字簽名措施;根據企業實際需要配置好相應的數據策略,并按策略認真執行。
1.2 企業網絡的安全誤區
(一)安裝防火墻就安全了
防火墻主要工作都是控制存取與過濾封包,所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效,可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻,或是將應用層的攻擊程序隱藏在正常的封包內,便力不從心了,許多防火墻只是工作在網絡層。
防火墻的原理是“防外不防內”,對內部網絡的訪問不進行任何阻撓,而事實上,企業網絡安全事件絕大部分還是源于企業內部。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
(二)安裝了最新的殺毒軟件就不怕病毒了
安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒,但這并不能保證就沒有病毒入侵了,因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。
(三)在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效
網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡,管理非常方便,對于單機版是不可能做到的。
(四)只要不上網就不會中毒
雖然不少病毒是通過網頁傳播的,但像QQ聊天接發郵件同樣是病毒傳播的主要途徑,而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著,就要防范病毒。
(五)文件設置只讀就可以避免感染病毒
設置只讀只是調用系統的幾個命令,而病毒或黑客程序也可以做到這一點,設置只讀并不能有效防毒,不過在局域網中為了共享安全,放置誤刪除,還是比較有用的。
(六)網絡安全主要來自外部
基于內部的網絡攻擊更加容易,不需要借助于其他的網絡連接方式,就可以直接在內部網絡中實施攻擊。所以,加強內部網絡安全管理,特別是用戶帳戶管理,如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第二章 企業網絡安全現狀分析
2.1 公司背景
宏錦網絡有限公司是一家有100名員工的中小型網絡公司,主要以手機應用開發為主營項目的軟件企業。公司有一個局域網,約100臺計算機,服務器的操作系統是 Windows Server 2003,客戶機的操作系統是 Windows XP,在工作組的模式下一人一機辦公。公司對網絡的依賴性很強,主要業務都要涉及互聯網以及內部網絡。隨著公司的發展現有的網絡安全已經不能滿足公司的需要,因此構建健全的網絡安全體系是當前的重中之重。
2.2 企業網絡安全需求
宏錦網絡有限公司根據業務發展需求,建設一個小型的企業網,有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和業務部門,需要他們之間相互隔離。同時由于考慮到Inteneter的安全性,以及網絡安全等一些因素,如DDoS、ARP等。因此本企業的網絡安全構架要求如下:
(1)根據公司現有的網絡設備組網規劃(2)保護網絡系統的可用性(3)保護網絡系統服務的連續性
(4)防范網絡資源的非法訪問及非授權訪問(5)防范入侵者的惡意攻擊與破壞
(6)保護企業信息通過網上傳輸過程中的機密性、完整性(7)防范病毒的侵害(8)實現網絡的安全管理。
2.3 需求分析
通過了解宏錦網絡公司的需求與現狀,為實現宏錦網絡公司的網絡安全建設實施網絡系統改造,提高企業網絡系統運行的穩定性,保證企業各種設計信息的安全性,避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護,記錄用戶對客戶端計算機中關鍵目錄和文件的操作,使企業有手段對用戶在客戶端計算機的使用
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
情況進行追蹤,防范外來計算機的侵入而造成破壞。通過網絡的改造,使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要
(1)構建良好的環境確保企業物理設備的安全(2)劃分VLAN控制內網安全(3)安裝防火墻體系
(4)建立VPN(虛擬專用網絡)確保數據安全(5)安裝防病毒服務器(6)加強企業對網絡資源的管理
2.4 企業網絡結構
宏錦網絡公司網絡拓撲圖,如圖2-1所示:
圖2-1 企業網絡結構
由于宏錦網絡公司是直接從電信接入IP為58.192.65.62 255.255.255.0,直接經由防火墻分為DMZ區域和普通區域。防火墻上做NAT轉換,分別給客戶機端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區端口地址為10.1.1.1 255.255.255.0。DMZ內主要有各類的服務器,地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區的接口地址為10.1.2.1 255.255.255.0。內網主要由3層交換機作為核心交換機,下面有兩臺2層交換機做接入。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第三章 企業網絡安全解決實施
3.1 宏錦網絡企業物理安全
宏錦企業網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提,物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。
針對宏錦網絡企業的物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面: 1)保證機房環境安全
信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮:a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質
屏蔽式雙絞線的抗干擾能力更強,且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地(最好多處接地),對于干擾嚴重的區域應使用屏蔽式雙絞線,并將其放在金屬管內以增強抗干擾能力。
光纖是超長距離和高容量傳輸系統最有效的途徑,從傳輸特性等分析,無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好,不易被竊聽或被截獲數據、傳輸的誤碼率很低,可靠性高,體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量,能夠有效地阻止竊聽。3)保證供電安全可靠
計算機和網絡主干設備對交流電源的質量要求十分嚴格,對交流電的電壓和頻率,對電源波形的正弦性,對三相電源的對稱性,對供電的連續性、可靠性穩定性和抗干擾性等各項指標,都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求,又要滿足網絡應用的要求,必須做到保證網絡系統運行的可靠性,保證設備的設計壽命保證信息安全保證機房人員的工作環境。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
3.2宏錦企業網絡VLAN劃分
VLAN技術能有效隔離局域網,防止網內的攻擊,所以宏錦網絡有限公司網絡中按部門進行了VLAN劃分,劃分為以下兩個VLAN:
財務部門 VLAN 10
交換機S1接入交換機(神州數碼DCS-3950)業務部門 VLAN 20
交換機S2接入交換機(神州數碼DCS-3950)核心交換機 VLAN間路由 核心交換機S3(神州數碼DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業網絡防火墻配置
宏錦企業網絡中使用的是神州數碼的DCFW-1800S UTM,里面包含了防火墻和VPN等功能。以下為配置過程:
在防火墻NAT策略下面,新增NAT。如圖3-1:
圖3-1 新增企業防火墻策略示意圖
源域:untrust; 源地址對象:any; 目的域:trust; 目的地址對象:any;
在全局安全策略設置里面如圖3-2和圖3-3所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-2企業防火墻策略配置示意圖
圖 3-3 企業防火墻策略配置示意圖
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-4企業防火墻策略配置示意圖
可以設置全局下面訪問策略,以及域內和域間的訪問策略。這里我們設置,內部網絡為信任區域(trust),Inteneter為不信任區域(untrust),服務器區域為DMZ區域。動作包括permit允許,拒絕deny,以及其他的特定的服務。這里允許內部訪問外部和DMZ區域,而DMZ和Inteneter不允許訪問內部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。
在網絡接口處如圖3-5所示:
圖3-5 網絡接口處配置示意圖
要配置3個以太網接口為up,安全區域分別為eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外網的eth0工作模式為路由模式,其余接DMZ和內部的都為NAT模式。如圖3-6所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-6 以太網接口配置示意圖
同時為他們配好相應的網絡地址,eth0為58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏錦企業網絡VPN配置
宏錦企業網絡的VPN功能主要也是通過上面的防火墻實現的。如圖3-7,圖3-8所示:
圖3-7 PPTP協議示意圖
圖3-8 PPTP示意圖
這里我們使用PPTP協議來實現VPN,首先是新增PPTP地址池,范圍為192.168.20.150-192.168.20.240 如圖3-9所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-9 PPTP協議實現VPN示意圖
在PPTP設置里面,選擇Chap加密認證,加密方式mppe-128。DNS分別為61.177.7.1,MTU為500。
3.5 宏錦企業網絡防病毒措施
針對宏錦企業網絡的現狀,在綜合考慮了公司對防病毒系統的性能要求、成本和安全性以后,我選用江民殺毒軟件KV網絡版來在內網中進行防病毒系統的建立。產品特點: KV網絡版是為各種簡單或復雜網絡環境設計的計算機病毒網絡防護系統,即適用于包含若干臺主機的單一網段網絡,也適用于包含各種WEB服務器、郵件服務器、應用服務器,以及分布在不同城市,包含數十萬臺主機的超大型網絡。KV網絡版具有以下顯著特點:
(1)先進的體系結構(2)超強的殺毒能力(3)完備的遠程控制(4)方便的分級、分組管理
宏錦企業網絡KV網絡版的主控制中心部署在DMZ服務器區,子控制中心部署在3層交換機的一臺服務器上。
網絡拓撲結構如圖3-10所示:
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-10 主控制中心部署圖
子控制中心與主控制中心關系: 控制中心負責整個KV網絡版的管理與控制,是整個KV網絡版的核心,在部署KV網絡時,必須首先安裝。除了對網絡中的計算機進行日常的管理與控制外,它還實時地記錄著KV網絡版防護體系內每臺計算機上的病毒監控、查殺病毒和升級等信息。在1個網段內僅允許安裝1臺控制中心。根據控制中心所處的網段的不同,可以將控制中心劃分為主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念:每個控制中心對于它的下級的網段來說都是主控制中心,對于它的上級的網段來說又是子控制中心,這種控制結構可以根據網絡的需要無限的延伸下去。
為宏錦企業網絡安裝好KV網絡版殺毒軟件后,為期配置軟件的安全策略。對宏錦企業客戶端計算機的KV軟件實現更為完善的遠程控制功能,利用KV軟件控制中心的“策略設置”功能組來實現。在此功能中可以針對單一客戶端、邏輯組、全網進行具有針對性的安全策略設置。在“策略設置”下拉菜單中,我們可以找到“掃描設置”、“反垃圾郵件”、“網址過濾”等與平時安全應用密切相關的各項應用配置選項,如圖3-11所示。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖3-11 “策略設置”命令菜單
為宏錦企業網絡KV網絡版殺毒軟件配置“掃描設置”,掃描設置可對當前選擇的任意組或者任意節點的客戶端進行更加細化的掃描設置。宏錦企業可以自己設定適合于自己網絡環境的掃描方案,針對不同的策略對不同的客戶端進行分發不同的掃描命令。可以下發以下命令到節點計算機:掃描目標,定時掃描,分類掃描,不掃描文件夾,掃描報告,簡單而實用的設置頁大大的增加了網絡管理的易用性。其中掃描目標的設置界面如圖3-12所示。
圖3-12 掃描目標配置
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
第四章 宏錦企業的網絡管理
4.1宏錦企業網絡管理的問題
(1)計算機軟、硬件數量無法確實掌握,盤點困難;(2)單位的計算機數量越來越多,無法集中管理;
(3)無法有效防止員工私裝軟件,造成非法版權使用威脅;(4)硬件設備私下挪用、竊取,造成財產損失;(5)使用者計算機IP隨易變更,造成故障頻傳;(6)軟件單機安裝浪費人力,應用軟件版本不易控制;(7)重要資料遭非法拷貝,資料外泄,無法監督;(8)設備故障或資源不足,無法事先得到預警;
(9)應用軟件購買后,員工真正使用狀況如何,無從分析; 居高不下的信息化資源成本,不知如何改善。
4.2 宏錦企業網絡管理實施
針對宏錦企業網絡的需求,給企業安裝SmartIPVIew管理軟件實現宏錦企業網絡對公司內部的設備以及IP網絡資源管理。實施步驟安裝SmartIPVIew管理軟件,運行軟件添加宏錦企業的IP網段如圖4-1.火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
圖4-1 添加企業IP網段
單擊確認,添加宏錦企業內部IP網段便于企業管理企業內部用戶。對宏錦企業網絡內部設備的管理如下圖4-2所示。
圖4-2 添加網絡設備
如圖4-2添加宏錦企業的網絡設備,以實現企業對內部網絡設備的監控和方便管理能有效的提高辦公效率。
SmartIPVIew管理軟件獨創的IP地址資源管理技術,通過保護IP地址資源的安全使用,以及對IP地址資源的回收再利用,使有限的IP地址資源得到合理合法的使用,從而可以保證整個網絡資源的有效利用和安全。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
總 結
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
本論文從企業角度描述了網絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中的服務,數據以及系統免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網絡安全問題的解決,可以使讀者有對網絡安全技術的更深刻的了解。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
致 謝
在這幾個多月的畢業設計中,我真誠的感謝老師的指導,在老師的幫助下我才順利的完成畢業設計。
做畢業實際就需要把平時學到的東西在復習一遍,因為平時上課還有課后自己的學習,都主要在基于理論方面的,雖然也做很多實驗,但當把畢業設計當作一個實際的工程來做的時候就會發現很多的問題,這就需要老師的指導了,特別是老師讓我們在實訓機房里面,直接就各個硬件進行操作,這樣我們就不會空談就會做的更深層次。
所以很感謝老師的幫助,讓我更好的將理論和實踐相結合,最后完成了此次畢業設計,同時也為以后工作做了很好的準備。
火龍果?整理 uml.org.cn 婁底職業技術學院網絡專業畢業設計
參考文獻
[ 1 ] 王達.網管員必讀—網絡安全.北京:機械工業出版社,2009. [ 2 ] 黃傳河.網絡規劃設計師教程.北京:機械工業出版社,2009. [ 3 ] 張千里,陳光英.網絡安全新技術.北京:人民郵電出版社,2003 [ 4 ] 王衛紅,李曉明.計算機網絡與互聯網.北京:機械工業出版社,2009. [ 5 ] 易建勛.計算機網絡技術.北京:人民郵電出版社,2007.[ 6 ] 揚衛東.網絡系統集成與工程設計,2007.[ 7 ] 張千里,陳光英.網絡安全新技術.北京:人民郵電出版社,2003 [ 8 ] 徐超汗.計算機網絡安全實用技術,電子工業出版社,2005年3月 [ 9 ] 萬博公司技術部.網絡系統集成行業使用方案,海洋出版社,2006年 [10 ] 高永強,郭世澤.網絡安全技術與應用大典.北京:人民郵電出版社,2003
火龍果?整理 uml.org.cn
點擊咨詢 