第一篇:IPv6网络演进整改解决方案
****网络IPv6演进方案
江苏****网络技术有限公司
2018年3月13日
网络安全加固方案
目录 2 概述..........................................................................................................................................3 1.1 2.1 项目背景概述.........................................................................................................................3 IPV6网络演进.........................................................................................................................5
IPv6发展初期阶段.........................................................................................................5 IPv6与IPv4共存阶段....................................................................................................5 IPv6主导阶段.................................................................................................................5 IPv6演进模式.................................................................................................................6 IPv6业务支持.................................................................................................................6 IPv6可管理性.................................................................................................................6 针对不同的网络环境进行建设.....................................................................................6 需求分析..................................................................................................................................3 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 3 3.1 3.2 3.3 3.3.2 3.3.3 3.3.4 3.3.5 需要考虑的问题.....................................................................................................................5
解决方案..................................................................................................................................7
网络建设总体要求.................................................................................................................7 交通电子政务网络划分.........................................................................................................7 方案说明.................................................................................................................................8
组网思路.........................................................................................................................8 IPv6用户的接入方式.....................................................................................................8 业务实现分析.................................................................................................................8 广域网IPv6组网............................................................................................................9 企业分支节点接入.........................................................................................................9 IPv6地址规划.................................................................................................................9 IPv6路由规划...............................................................................................................10 基于真实IPv6源地址的用户标识和认证服务...........................................................12 3.3.1 / 14
网络安全加固方案 概述
1.1 项目背景概述
Internet的成功与发展促进了IP网络的发展,不过IPv4地址已然耗尽,下一代互联网使用IPv6技术已成为互联网发展的必然趋势。2011年2月3日,全球互联网数字分配机构(IANA)正式宣布已无新的IPv4地址分配。而随着物联网、移动互联网等新型应用的快速发展,将会需求大量的地址资源,这势必会对我国互联网持续稳定的发展产生影响,因此解决IPv4地址短缺的问题迫在眉睫。
从技术本质上讲,解决IPv4地址短缺,可以采用两种不同的技术路线,一种是多级NAT(如NAT444)技术,另一种是IPv6技术,这两种技术是完全对立的。从长远来看,NAT技术并不能从根本上解决地址短缺的问题,而且会增加网络结构的复杂性。
2017年11月26日,中办、国办联合印发了《推进互联网协议第六版(IPv6)规模部署的行动计划》(以下简称《计划》)。从该《计划》可以看到,政府横向要求政府机构、中央媒体、中央企业网站完成IPv6的升级改造,纵向从终端、网络到典型应用整个垂直行业要求支持IPv6的演进。这充分反映了国家战略和政府在此次IPv6规模部署行动的决心。
为了满足****区交通运输管理局未来的网络信息系统的建设需要,减少新业务与应用的IT成本,以及物联网及大数据在交通业务方面的应用需求。IPv6网络的部署及演进已是必然趋势,需提前做好相应的技术规划,未雨绸缪。需求分析
目前,在****区交通系统的网络信息系统中,部分业务系统是通过IPV4 NAT技术实现交通局和下辖单位网络的互联互通,与互联网业务的访问也是通过NAT技术实现。拓扑网络如下图: / 14
网络安全加固方案
图2-1****系统网络拓扑图
NAT技术的使用,虽然能解决IPv4地址的紧缺和网络自治区域间的互联互通,但也为网络的使用带来消极影响;NAT是一种救急措施而非最终解决方案。
NAT网络的弊端如下:
破坏的IP 的端到端模型,增加网络复杂性,提高网络运维成本 地址和端口转换需要额外处理,影响网络性能,降低流媒体业务质量
保存连接状态,存在单点失效问题,降低了网络的可靠性 面临非NAT友好应用问题,某些新业务需升级NAT设备
由于IPv4与IPv6协议的不兼容,引入IPv6技术关键在于即要保证原有IPv4业务的应用,同时又要考虑通过IPv6引入减轻IPv4地址不足所面临的压力。因此产生了大量的IPv6演进方案,包括双栈技术、NAT444、DS-Lite、NAT64、IVI、6to4、4over6、6RD、6PE等多种解决方案。具体采用哪种解决方案,需要结合****区交通局网络信息系统的现有情况及今后的业务场景需求,选择对应的IPv6演进策略。没有任何一个技术可以解决所有问题,需要具体问题具体分析。
未来网络的最终模型必然是单栈IPv6网络已成为业界共识,因此在选择IPv6演进方案时,更多的需要考虑所选择的技术架构是需要符合未来的发展趋势,同时也可以避免多次升级所带来的各种问题。受限于应用系统或终端局限等问题,不能在短时间内大规模升级到IPv6,且大量业务仍是基于IPv4的业务应用,因此在未来一段时间内,网络中主要的应用还是基于IPv4的。为加快IPv6的演进,需要加快引进IPv6业务的进度。
目前,****局网络在IPv6部署演进中主要会面临三大挑战:业务、终端与网络边缘。
由于网络边缘设备涉及到相对复杂的网络路由管理、安全、业务感知等功能,且会存在一定数量现网设备不具备软件升级支持IPv6的能力,会面临替换的问题,但相对来讲,在三大挑战中这是最容易解决的。/ 14
网络安全加固方案
对于终端和业务部分而言,终端因涉及到规模庞大、应用软件种类多、总体成本高等原因,是IPv6网络演进的主要困难。没有创新的应用也就难以为IPv6特色业务的开发和规模提供有效平台,整个IPv6演进就难以进入良性循环。
2.1 IPv6网络演进
当前大量的网络是IPv4网络,随着IPv6的部署,很长一段时间是IPv4与IPv6共存的过渡阶段。通常将IPv6的部署划分为以下个阶段:
图2-2 IPv6的部署方案
2.1.1 IPv6发展初期阶段
在IPv6网络部署初期,IPv6站点的规模不大,因此在IPv4网络中形成了一个个“IPv6孤岛”。业务应用上以原有的IPv4应用为主,需要保证IPv6站点与IPv4网络之间的通信,以及IPv6站点之间的互连。
2.1.2 IPv6与IPv4共存阶段
随着IPv6网络规模的扩大,纯IPv6网络与纯IPv4网络并存。基于IPv6的传统业务逐渐开始大量部署,需要保证IPv6与IPv4之间的通信。
2.1.3 IPv6主导阶段
纯IPv6网络最终形成,原有的IPv4网络大部分升级为IPv6,只剩下少数的IPv4站点成为“IPv4孤岛”。此时适用于IPv6的各种新型业务开始成为主流业务。
2.2 需要考虑的问题
在****区交通系统部署IPv6之前,我们首先要考虑部署的总体方针和策略: / 14
网络安全加固方案
2.2.1 IPv6演进模式
在交通网中部署IPv6可以有全双栈模式和隧道模式。全双栈模式组网是最理想的方案,不必为不同类型的用户单独部署网络配置,开销小,管理简单、IPv4和IPv6的逻辑界面清晰。隧道模式属于过渡技术,不是最终的理想方案;隧道两端点设备需要花费额外的系统开销。
2.2.2 IPv6业务支持
如:IPv6的过渡技术有手工隧道方式,自动隧道方式,有基于MPLS VPN技术的6PE方式,有基于网络地址转换技术的NAT-PT等等,IPv6的单播路由协议有OSPFv3,ISISv6,BGP4+等等,IPv6的组播路由协议有PIM-SM,PIM-SSM等等。
2.2.3 IPv6可管理性
在本次网络建设后,应充分考虑网络部署IPv6的可管理及可维护性,要能够满足日常业务的需要和网络安全管理方面的需求。
2.2.4 针对不同的网络环境进行建设
主干网络设备可以考虑直接扩容为全双栈模式,适当兼顾只支持IPv4协议栈的终端;并可根据交通局业务的的实际情况,可以先建设部分双栈网络,其他部分采用隧道模式允许用户IPv6业务,逐步将不支持IPv6的设备进行换代升级。
综上所述,本次部署IPv6网络的时候,建议有条件的网络中采用全双栈部署,完成本次驻地网的大部分改造,其次根据现有交通网内的实际业务应用情况,采用部分过渡技术,在不影响现有IPv4网络主要业务的条件下,使得交通专网中需要部署IPv6网络的地方能够通过隧道技术,接入业务服务区域或CERNET2。/ 14
网络安全加固方案 解决方案
3.1 网络建设总体要求
1、安全保密性
严格遵循国家安全保密法规,从技术、管理角度,加强网络和信息的安全防范,确保涉密信息安全,实现与非专网业务——如因特网业务的严格逻辑隔离,保障三级纵向专网的安全。
2、业务承载灵活性
在保证网络及信息安全保密的同时,还需兼顾业务承载、系统架构和数据交换实际需要,按照“强化业务网”的思路开展网络及应用系统建设。
3、提高资源利用率
按照统筹规划、统一布署、分步实施的原则,从全局出发,打破部门界限,实现三级交通运输系统各部门的互联互通和资源共享,使交通系统已有的各类信息资源发挥出最大效益,避免重复建设,杜绝资源浪费。
3.2 交通电子政务网络划分
根据省政府关于电子政务建设的有关要求,全省交通电子政务网络分为电子政务内网和电子政务外网。
****电子政务网络结构示意图
从上图可以看出,交通电子政务网络逻辑上分为两套网络,即电子政务内网和电子政务外网,物理上分为三套网络,即涉密网、交通业务专网和外网。
电子政务内网与电子政务外网须物理隔离,交通行业业务专网和交通行业外网之间应采用安全等级较高设备(如防火墙、网闸)进行隔离,提高网络之间的安全性。/ 14
网络安全加固方案
3.3 方案说明
由于现有网络为IPv4网络且具备相当的用户规模,如果对全网设备进行升级将面临投资较大、网络重新规划、业务整合等一系列的问题。
针对这种情况,建议采用升级现有IPv4网络的方案。
3.3.1 组网思路
在现有IPv4网络下分散着若干IPv6/IPv4双栈主机,为使这些主机接入到IPv6网络当中且对现网的原有应用的影响最小,可首先将交通网络的核心设备(核心交换机)升级为双栈,网络的其他部分保持不变。核心设备完成升级后,可分别提供至IPv4网络和IPv6网络的出口;IPv6/IPv4双栈主机可以采用ISATAP隧道的方式直接接入核心交换机。对于原有的IPv4用户不造成任何影响,同时实现了IPv6用户的接入(如下图)。核心设备应考虑节点冗余,因此建议逐步完成对所有核心设备的升级。
IPv6用户的接入方式
在节点1下,由于网络中汇聚层依然是原有的IPv4交换机,接入层是原有的IPv4交换机或L2交换机,为完成IPv6用户到核心交换机的连接,可采用ISATAP隧道的方式。
在节点2和节点3下,用户通过双栈方式或IPv6 over IPv4隧道方式完成连接。
业务实现分析
通过升级,原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户可以正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。
在IPv6建设初期,IPv6业务资源相对较少,因此需要考虑纯IPv6用户对于现有IPv4业务资源的访问。同时,IPv4用户也会有访问IPv6业务资源的需求。为实现这两种可能的业务互访的需求,需要考虑如何放置NAT-PT设备。/ 14
网络安全加固方案
3.3.2 广域网IPv6组网
广域网组网侧重于“IPv6孤岛”之间跨越广域网的连接,如,交通局总部与下辖单位、下辖段位之间通过IPv6连接等网络情况,都可适用。
企业分支节点接入
若新建部分IPv6分支,为了实现与分支节点的IPv6连接,可将分支机构作为汇聚节点的路由器设备升级为双栈。这样,原有的IPv4分支与交通局的连接保持不变,新建的IPv6分支节点出口设备采用双栈路由器,可接入到交通局的双栈设备上。
根据实际组网需要,分支与交通局之间可运行OSPFv3路由协议。
3.3.3 IPv6地址规划
IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题,IPv6地址有128位,其中可供分配为网络前缀的空间有64bit。按照最新的IPv6 RFC3513,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确的规定全球可路由前缀和子网ID各自占的bit数,目前APNIC能够申请到的IPv6地址空间为/32的地址。
IPv6的地址使用方式有两类,一类是普通网络申请使用的IP地址,这类地址完全遵从前缀+接口标识符的IP地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示IP地址。
IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的IP地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则: / 14
网络安全加固方案
地址资源应全网统一分配
地址划分应有层次性,便于网络互联,简化路由表 IP地址的规划与划分应该考虑到网络的发展要求 充分合理利用已申请的地址空间,提高地址的利用效率。
IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。IPv6的地址规划时考虑三大类地址:
1、公共服务器地址,如DNS,EMAIL,FTP等。
2、网络设备互联地址和网络设备的LOOPBACK地址。
根据IETF IPv6工作组的建议IPv6网络设备互联地址采用/64的地址块。IPv6网络设备的LOOPBACK地址采用/128的地址。
3、用户终端的业务地址。
此外由于目前网络设备的IPv6 MIB信息的获取和OSPFv3中ROUTER ID等均要求即使是一个纯IPv6网络也必须要求每个网络设备拥有IPv4地址。所以一个纯IPv6网络也必须规划IPv4地址(仅需要网络设备互联地址和网络设备的LOOPBACK地址)。
3.3.4 IPv6路由规划
路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对IPv6的支持功能。从路由协议的应用范围来看,OSPFv3、RIPng和IS-ISv6适用10 / 14
网络安全加固方案
于自治域内部路由,为内部网关协议;BGP4+用来在自治域之间交换网络可达信息,是外部网关协议。 域内路由协议选择
支持IPv6的内部网关协议有:RIPng、OSPFv3、IS-ISv6协议。从路由协议标准化进程看,RIPng和OSPFv3协议已较为成熟,支持IPv6的IS-IS协议标准草案也已经过多次讨论修改,标准正在形成之中,而且IS-ISv6已经在主流厂家的相关设备得到支持。从协议的应用范围的角度,RIPng协议适用于小规模的网络,而OSPF和IS-IS协议可用于较大规模的网络。
对于大规模的IP网络,为了保证网络的可靠性和可扩展性,内部路由协议(IGP)必须使用链路状态路由协议,只能在OSPF与IS-IS之间进行选择,下面对两种路由协议进行简单的对比。
目前在IPv4网络中大量使用的OSPF路由协议版本号为OSPFv2,能够支持IPv6路由信息的OSPF版本称为OSPFv3,能够支持IPv6路由信息交换的ISIS路由协议称为IS-ISv6。OSPFv3:
OSPFv3与OSPFv2相比,虽然在机制和选路算法并没有本质的改变,但新增了一些OSPFv2不具备的功能。OSPFv3只能用来交换IPv6路由信息,ISISv6可以同时交换IPv4路由信息和IPv6路由信息。
OSPF是基于IP层的协议,OSPF v3是为IPv6开发的一套链路状态路由协议。大体与支持IPv4的OSPF v2版本相似。对比OSPF v2,在OSPF v3中有以下区别: / 14
网络安全加固方案
虽然OSPFv3是为IPv6设计的,但是OSPF的Router ID、Area ID和LSA Link State ID依然保持IPv4的32位的格式,而不是指定一个IPv6的地址。所以即使运行OSPF v3也需要为路由器分配IPv4地址。
协议的运行是按照每一条链路(Per-link)进行的,而不是按照每个子网进行的(per-subnet);
把地址域从OSPF包和一些LSA数据包中去除掉,使得成为网络层协议独立的路由协议:
与OSPFv2不同,IPv6的地址不再出现在OSPF包中,而是会在链路状态更新数据包中作为LSA的负载出现;
Router-LSA和Network-LSA也不再包含网络地址,而只是简单的表示拓扑信息; 邻居路由器的识别将一直使用Router ID,而不是像OSPFv2一样在某些使用端口会将端口地址作为标识。
Link-Local地址可以作为OSPF的转发地址。除了Virtual link必须使用Global unicast地址或者使用Site-local地址。
去掉了认证信息。在OSPF v3中不再有认证方面的信息。如果需要加密,可以使用IPv6中定义的IP Authentication Header来实现。
3.3.5 基于真实IPv6源地址的用户标识和认证服务
基于真实IPv6源地址的用户标识和认证服务即保证用户的IPv6地址的使用必须是经过授权的,具体应用与场景相关,可分为路由转发流量和本地接入流量的源地址验证。
1、路由转发流量: / 14
网络安全加固方案
交通局网络内转发,可采用OSPFv3或ISIS等,ISIS可以通过MD5加密,OSPF可以使用IPSEC加密,保证IPv6路由来源的可靠性,然后通过URPF或ACL来检查报文的源地址是否来源于正确的端口。
2、本地接入流量:
此环境下和接入层组网、地址分配方式、接入设备密切相关。接入层典型的组网由客户端(主机Host)、接入设备(NAS)、AAA服务器组成。地址分配包括无状态地址分配(ND,以及扩展的SEND、Privacy Extensions)、有状态地址分配(DHCP)、手工配置等,采用有状态分配地址,组网中要加入DHCP服务器。接入设备NAS有路由器、交换机、AC/AP等,对应的接入链路层包括ADSL、Ethernet、WiFi等,其上都可以直接承载IPv6数据报文。如果二层本身就可以隔离或加密,则部署较简单,只需要在认证环节确保安全、然后将二层信息与IPv6地址进行绑定即可,否则需要考虑后续的每报文的安全性处理。
接入认证协议有802.1x、PPPoE、PORTAL、802.11i、WAPI等,可以将MAC地址、端口与IPv6地址绑定,无线协议是共享端口的,可以将IPv6地址与二层传输密钥绑定。绑定的过程,视地址分配方式而不同,手工配置只能静态绑定,ND/DHCP则可以动态绑定。对于ND协议,其安全性需要提高,可以采用类似ARP的方案来补充:ND源抑制功能、ND防IP报文攻击功能、ND的主动确认、源MAC地址固定的ND攻击检测、ND报文源MAC一致性检查、ND报文限速、授权ND、ND Detection、ND Proxy等。/ 14
第二篇:整改解决方案
征求意见整改情况汇报总结
医院党的群众路线教育实践活动动员大会之后,教育实践活动就进入了第一环节。我院严格按照上级要求坚持医疗与教育实践并重,广泛征求职工对院改进工作作风的意见和建议。突出重点、落实责任、分类指导,做到边学边改,取得较好的效果。医院共梳理了8条意见和建议,现针对存在的问题、一、我院以解决的问题如下:
1、领导干部增强创新、多下基层联系群众的问题
经过院领导班子决定,医院院长、副院长定期到分管科室了解情况,一月不少于2次,同时做好下基层活动记录,对你发现的问题能及时解决的现场解决,对不能解决的上报的医院进一步商讨解决。方案传达后,院长及各位副院长按时下基层,做好活动记录,陆续解决问题20余件。
2、关心职工身体健康,要求定期体检的问题
我院去年给予所有女职工进行了乳腺癌和宫颈癌的健康体检,今年将健康体检的范围扩大到全院职工,进行心电图、彩超、胸透、化验等多项目的体检检查。目前的体检计划已经列出,计划5月份至11月份将完成所有职工的体检检查工作。
3、各科室之间增强协调沟通能力的问题
为进一步加强科室之间的沟通协调能力,医院要求各科室制定相应的实施方案,按照事件处理流程,先期主任、护士长沟通,解决不了的问题上报到主管院长进行协调解决。医院利用每周五院务会时
间,要求所有的科主任、护士长参加会议,在会上可以进行直接有效地沟通,方便快捷的解决问题。
4、及时更新医疗设备的问题
针对医疗的快速发展,医疗的设备更新速度也进入快速更替的时代,对于需要设备更新的科室,由科室提出申请,医院进行核查后,确需更换的,医院按照资金及科室的需要逐步引进。今年以来按照设备更新方案,医院眼科、核磁分别按照程序进行了设备的更换,下一步计划对检验科部分老旧设备进行部分更换。
5、改革效益工资分配方案的问题
医院是差额拨款单位,效益工资是根据医院每月的收入进行核算分发的,进一步改革分配方案,医院前期调研,进一步征求职工的意见,逐步出台分配方案。根据职工的意见和建议,提高了医护人员的夜班待遇、急诊出诊待遇,对节假日出诊人员给予一定的加班奖励。
6、对医院人才培养要有长远计划的问题
医院的发展就是人才的发展和医疗技术的发展,只有医疗技术发展了,患者才能得到更好的就医,彻底的解决病痛。针对医院人才的发展,医教科每年会列出培训计划,分为三部分,一部分为医院内部的学习培训,每周四是医院医师的业务培训,进行“三基三严”的技术掌握,同时我院每年会定期送出一批骨干力量到外院进修学习先进的医疗技术,分为短期培训及长期培训。我院同时与北京友谊医院建立对口支援项目,本着“请进来、送出去”的原则,大幅度提高了我院的医疗技术诊治水平。在今后的工作中,我院会进一步加强人才的培训,掌握先进的医疗技术,更好的为百姓的健康服务。
二、现我院需上级部门协调帮助解决的问题如下:
1、要求进一步扩大党员队伍的问题
医院鼓励基层中青年积极加入党组织,党员的发展一定按照发展程序进行,首先个人提交申请,组织考核列入积极分子考核期满,上报到上级部门审查通过后列为预备党员,预备期满合格后转为正式党员。全市党员发展计划中卫生系统每年核给基层指标只有1名,我院目前职工人数接近500人,面临的困难发展指标少,医院经过争取,每年医院发展党员1名。在群众路线教育实践活动征求意见环节调查中,针对基层提出的此项问题,党办做出了要多发展党员的问题说明,并在今后的工作中,积极向上级部门争取名额,尽可能把培养成熟的党员吸收进入党内,为医院党组织增加新的血液。
2、引进新毕业大学生,形成人才梯队
随着医疗市场的改革,医保制度的进一步完善,医院面对的事越来的越多的患者,随着一批老医护人员的退休,面对的医疗压力也越来越大,虽然近几年从沿线调入一批医护人员,但远远落后与患者的增长,造成医疗人员超负荷工作,针对这一现象,我院已经向市委、市政府汇报,并与人才交流中心、就业局达成协议,逐步引进人才。医教科列出引进人才计划,上报到上级主管部门,同时和就业局沟通,参加就业局组织的招聘会,多渠道吸引高科技人才。
三、结合市委梳理的意见和建议方面存在的问题
群众路线活动开展以来,在市委的指导下,活动按序,有条不紊的进行着,针对市委梳理出的意见和建议结合我院的实际完成整改如下:
1、关于贯彻落实中央八项规定和反对“四风”问题
认真落实中央八项规定和自治区配套规定,院领导带头执行,起到表率作用,利用医院电子屏、宣传栏等积极宣传八项规定及市委的十条禁令,制定相应的规章制度,本着“用制度管人,用制度办事”的原则。坚决执行勤俭节约的光荣传统,对医院的物品使用,有总务科做好消耗记录,每月上报一次,严格杜绝铺张浪费。
2、关于增强服务方面
通过开展“我是谁、为了谁、依靠谁”大讨论活动,进一步增强职工的为人民服务意识,教育广大职工坚定“百姓无小事”的原则,学会换位思考,对待患者像亲人一样热情,增强和患者的沟通能力,减少患者的就诊流程,减少患者就诊等候时间。
3、开展教育实践活动方面
在教育实践活动过程中,坚决杜绝走过场,本着主要领导亲自上手带头下基层的原则,医院要求主要分管领导定期下基层,按时参加学习教育活动,及时书写学习笔记及下基层活动记录。在宣传上多渠道宣传活动的实际意义,通过增设意见箱、发放意见调查表,面对面座谈等形式深入开展活动,切实解决群众迫切需要解决的问题。
4、食品安全医疗卫生等方面
加强“120”基础设施建设,我院对120医护人员进行有计划定期
培训,同时为了进一步方便进入小区接受患者,我院新进购入一台矮架120救护车,解决了目前救护车由于架高无法进入小区大门的问题,加强对乡镇医院的医疗扶持,积极开展对口支援工作,解决了当地居民看病不方便的问题。进一步加强医院党建工作和思想建设,提高党性修养,不断提高思想政治素质,祝好制度化的学习,积极开展谈心活动,出台《医德医风考评实施方案》,增强医务人员责任意识,狠抓医疗质量,务实工作切实提高医疗服务水平。
5、其他方面
我院积极创建无烟单位,医院在显著位置均贴有禁烟的标识,利用宣传栏宣传禁烟知识,严格执行领导干部带头禁烟、医务人员及患者禁烟制度,同时医院成立了戒烟门诊,帮助需要的患者进一步戒烟。以上是我院在征求意见的基础上,查找出来的主要问题、原因分析以及今后努力的方向,请市教育实践活动领导小组进行严格审议,以帮助我们找准问题和原因,找出工作中的差距,使下一步的整改工作做得更好,确保群众路线教育实践活动取得实效。
第三篇:证券公司网络平台解决方案
2002年是中国证券业持续发展和变革的一年,随着证券公司的合并和增资扩股的不断进行,中国证券公司正向集约化、规模化方向发展。作为支撑业务运转的基础平台,证券信息系统同样面临着变革和创新,具体表现为对以总部为核心的集中式交易系统的需求量越来越大。
营业部网络实现了各证券营业部的基本工作职能,它侧重于证券营业部本地局域网建设,其通信服务功能模块只起到了辅助作用,仅对数据量要求不高的Internet访问和少量远程大户提供广域网支持。
利用集中式交易系统,具有相当规模的证券公司将远距离控制多个营业部和为更多远程大户提供服务,相应业务范围和工作模式都会有很大转变,因此需要一个强有力的网络解决方案来支撑证券集中业务。
网络平台的特点
考虑到证券行业数据的重要性,为了保证多项证券业务的顺利进行,保证网络的不间断运行,提供强大的处理能力和良好的可管理性,此网络平台应该具有一下特点:
高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。
技术先进性和实用性--保证满足证券交易系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到证券公司网络应用的现状和未来发展趋势。
高性能--承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为证券公司各项业务开展的瓶颈。
标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。
可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。
证券公司网路平台解决方案介绍 1.广域网络系统设计
图1(以Quidway系列为例)考虑到证券网络的业务数据的重要性,广域网采用双星型广域网络拓扑结构;在广域网线路的方面,建议采用现行成本低、线路状况好的SDH传输网络。其中一个中心是以总部中心机房为中心的星型网络:在中心机房选择Quidway NE16E,NE16E路由器的关键部件都实现冗余备份,支持在线热插拔,具有高稳定性、高可靠性和很强的处理能力,满足中心网络要求;采用通道化155M POS接口通过第一运营商SDH网络接入各个分支机构的主用N×2M,同时通过GE接口上行到网络中心。另外,在中心机房还有一个Quidway R3680模块化路由器配置低速同步串口模块,作为第三拨号备份接入,以保证某些分支机构在非常情况下仍能采用拨号的方式保持与中心网络的连接。
另一个星型网以备份机房为中心:采用与总部中心机房相同的设备要求的设计,选择Quidway NE16E,提供备份中心的高稳定性、高可靠性和高处理能力。同样采用通道化155M POS接口通过第二运营商SDH网络接入各个分支机构的备份N×2M线路;上行为GE光接口。
分支结构/营业点:采用两台Quidway系列路由器,其中R3640模块化作为主用路由器,实现N×2M的接入,主要传输优先级高的交易数据、行情数据等。R3680作为连接备份中心的N×2M接入路由器,同时也作为非常状态下的拨号连接备份路由器;另外R3680也是IP电话系统的语音网关,实现各个分支机构VOIP功能。由于语音数据实时性要求很高,而作为网络核心数据的交易数据、行情数据要求有很高的优先级,因此二者容易发生拥塞,而通过以上分别在两条不同的物理线路上传输,就可以非常好的解决这个问题。出于对网络灾难备份的考虑,主用线路和备份线路必须租用不同运营商的SDH线路。证券公司网络与上海交易所、深圳交易所的连接也由中心机房和备份机房共同完成。中心机房分别通过地面专线和卫星线路与上交所、深交所建立连接,备份中心采用卫星线路与上交所、深交所连接。
2.网络中心系统设计
图2(以Quidway系列为例)在总部中心机房和备份机房分别构建完全相互冗余的数据存储网络(SAN),充分保证数据服务的不间断性。
接入层选择Quidway NE16E,中心机房与备份机房各一台,同时接入各个分支机构;通过NE16E上的GE口分别各自上行到中心机房和备份机房的核心交换机Quidway S8016上,形成交叉连接状,实现冗余备份。在中心机房的R3680路由器作为接入服务器,实现分支节点的拨号接入,FE上行至中心机房核心交换机S8016。S8016定位是企业核心局域网路由交换产品:
交换背板 256G,转发性 能 96M pps;
双主控(MPU),双交换网板(NET); 20个Slots,16个通用I/O槽;
通用分布式接口处理单元(LPU);
双M_BUS高速管理总线互为备份;
支持直流电源两组输入;交流电源 提供最多4+1备份,风扇系统热备份;
完善的冗余、管理、控制特性;
支持华为3Com QuidView网管平台。
核心交换层采用电信级核心路由交换机Quidway S8016,在中心机房与备份机房之间,通过两个千兆接口的捆绑,建立起两个机房之间的高速数据链路,提供数据备份的通道,同时也是数据负载分担的连接桥梁。两台S8016都分别采用GE口连接本地的数据存储网络,两中心数据库为同步数据库。在中心机房,S8016还是总部局域网地核心,通过GE/FE口接入总部各个楼层的汇聚交换机。两个机房存储网络,是证券公司大集中数据仓库,各个分支机构的数据都直接存储在这里,因而数据的交换非常频繁,要求从存储网络到核心交换机的带宽足够宽,保证各种业务的正常运行;对于能够直接实现千兆接入的数据库直接采用千兆接入,对于一些数据交换较少的地方,可以采用百兆接入。同时,作为数据仓库,必须有相当高的安全性,保证数据的可靠,为此在核心交换机S8016与存储网络核心S5516之间加以防火墙。
3.总部局域网络设计
图3(以Quidway系列为例)公司总部各个楼层的接入交换机可以直接连接到中心机房的核心交换机S8016上。
接入层采用Quidway S3026/3526以太网交换机,实现百兆到桌面,S3526可以与S3026一起级联工作;在上行接口带宽方面,对于带宽要求高的工作组可以采用2个GE口捆绑实现高带宽的上行;而对于一些普通工作组上行可以采用GE口或是FE口。通过VLAN划分以及VLAN透传技术,灵活划分不同的工作组。4.电子商务部局域网络设计
图4(以Quidway系列为例)随着互联网络的发展,电子化商务运作将会运用更广泛。电子商务部也将成为非常重要的一个分之机构。
电子商务部采用Quidway S5516以太网交换机作为电子商务部局域网络核心,通过S5516的远距离光接口接入中心机房核心路由器S8016上。
电子商务部内接入采用Quidway S3026/3526实现百兆接入,千兆上行至S5516。通过VLAN划分以及VLAN透传技术,灵活划分不同的工作组。
电子商务部另外一个非常重要的部分就是对外商务区,包括公司WWW服务、其他合作伙伴接入等,由于直接与公网连接,存在很高的安全隐患。在这里,我们建议将对外的路由器直接连至公网,而在对外路由器与内部交换机之间建立双防火墙,建立非军事化区;同时,在双防火墙之间设立一定的代理服务器,外部访问连接的是这些代理服务器,再由代理服务器经过内部防火墙连接公司内部的数据库和服务器。
在这里对外接入路由器选择Quidway R3680,通过百兆口与公司内部网络相连;内部选用S3026作为对外接入交换机,S3026与S5516之间可以采用GE捆绑连接方式。
5.分支机构局域网络设计
图5(以Quidway系列为例)分支机构,在网络核心选择Quidway S5516路由交换机;桌面接入选择S3026以太网交换机,GE口上行至S5516。
采用S3026交换机与广域网路由器R3640、R3680相连,同时提供与外网系统的连接。
对于内网(公司内部网络)与外网(客户交易系统、行情系统等)的连接,选用一台中间服务器,在此服务器上运行加密、数据隔离和代理软件,实现内外网的物理隔离。对于较大规模营业点,可以采用多台中间服务器或是多网卡,实现更高带宽的连接。
在外网中,可以两级汇集设计,S3026接入、S3526汇聚,通过交换机上的VLAN技术隔离各个子系统。
第四篇:金融行业网络解决方案
广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
金融行业解决方案
一、金融行业信息安全概述
金融行业信息化系统经过多年的发展建设,目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展,银行业务系统对信息技术的高度依赖,银行业网络信息安全问题也日益严重,新的安全威胁不断涌现,并且由于其数据的特殊性和重要性,更成为黑客攻击的重要对象,针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求,金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。
二、金融业安全风险及需求分析 广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
金融行业典型网络拓扑如下,通常为一个层次化的互联广域网体系结构: 2、1金融行业风险分析
金融行业网络系统面临的风险复杂多样,既有来自外部的,也有来自内部的。可以概括为以下三个大的方面:
·组织方面的风险。缺乏统一的安全规划和安全职责部门;
·技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品,但是目前安全技术的采用是不足的,存在大量这样、那样的风险和漏洞;
·管理方面的风险。安全管理有待提高,安全意识培训、安全策略和业务连续性计划都需要完善和加强; 具体风险分析如下:
·缺乏对内部用户的行为控制和行为监管,表现在对内部人员的过分信任,没有可靠的管理手段往往是出现内部高科技犯罪的开始。
·虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理手段,广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
无法对系统的安全状况进行量化的分析和科学的管理,结果往往是事与愿违。
·缺乏专业的安全组织结构和明确的管理流程(如应急响应流程)。
·业务系统操作人员安全管理薄弱,口令系统混乱,安全性差。
·部分同城清算、联行系统保护脆弱,可能被攻破和渗透。
·开放的TCP/IP协议的的先天设计缺陷,易于遭受IP欺骗攻击和各种拒绝服务攻击。
·操作系统和应用软件系统存在大量安全漏洞。
·蠕虫、病毒、垃圾邮件、间谍软件带来的数据破坏和泄露风险。
·大量的、分散的安全资源的整合和集中管理问题,以及海量安全事件和告警需要的大量人力资源处理带来的管理和成本风险。2、2金融行业需求分析
综合分析金融行业所面临的各种安全风险,安氏领信建议金融行业建设一个包括安全组织体系、安全管理体系和安全技术体系的全面安全保障体系,包含贯穿始终的安全策略、风险评估、安全管理,以及终端用户行为监管;而在技术层面上需要考虑综合采取多种保护措施,保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。总体来讲,金融行业的信息安全需求包括如下几个方面:
·策略安全,包括信息安全的范围、等级、政策、标准、规章制度、流程等等。
·系统安全,包括自动补丁管理、系统弱点评估、系统加固、系统入侵检测和响应、主机访问控制、网络准入控制和强制认证等等。
·网络安全,包括网络漏洞扫描、网络入侵检测和响应、路由器访问控制列表(ACL)、AAAA、防火墙、VLAN、QoS等等。广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
·数据和内容安全,包括网络和网关防病毒、通信加密、内容过滤、防垃圾邮件等等。
·安全运行中心,覆盖资产管理、威胁管理、风险管理、问题管理、知识库管理等等方面,起到信息安全支撑性基础设施的作用。
三、安氏领信为银行构筑全面安全保障体系
建设目标:满足金融行业的机密性、完整性、可用性、可控性、不可否认性等安全需求; 建设原则:扩展性、前瞻性、先进性、整体性、标准性、主动性、投资保护、法律法规符合性原则; 建设内容:
1、安全管理和组织体系
2、安全技术体系
3、终端用户行为监管体系
4、安全运行中心建设 3、1安全管理和组织体系建设
安全管理体系通过建立健全安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和网络安全管理实现对网络的多层保护,减小网络受到攻击的可能性,防范网络安全事件的发生,提高对安全事件的反应处理能力,并在网络安全事件发生时尽量减少事件造成的损失。
安全组织体系主要包括组织的建立、组织和人员的管理制度、日常管理的运作流程、以及人员的筛选、教育培训等等。广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486 3、2安全技术体系建设
安全技术体系的核心是构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品,加强对风险的控制和管理,将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域,在这些领域上综合实现预警、保护、检测、响应、恢复等多个安全环节,从而为网络及信息系统提供全方位、多层次的防护。即使在攻击者成功地破坏了某个保护机制的情况下,其它保护机制依然能够提供附加的保护,达到进不来、看不懂、改不了、拿不走、打不垮的效果。网络边界防御体系
边界防护采用的主要产品和技术包括: ·访问控制
·入侵检测/入侵防御 ·通信加密(VPN) ·网关防病毒 ·流量整形 ·反垃圾邮件 ·内容过滤 终端安全管理体系
终端安全管理体系采用的主要产品和技术包括:
·终端资产管理,实时了解终端资产信息以及资产信息变动情况 ·自动补丁管理,自动打补丁,修补系统漏洞,主动防御未知威胁; ·主机访问控制,对进出终端的流量进行严格的访问控制; 广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
·主机入侵防护,检测来自于网络内部和外部的入侵和攻击; 3、3终端用户行为监管体系建设
国际权威研究机构的调查表明,内部发生的安全事件占全部安全事件的70%甚至更多,包括无意识的误操作,以及恶意的监听、嗅探、扫描等等行为,都给信息安全带来极大风险。由于金融行业的特殊性,对内部人员的行为控制和行为监管尤为重要,因此我们建议金融用户建设终端用户的行为监管控制体系,以规范和检查终端用户的行为与法律法规、内部策略和流程的符合程度,确保没有违规事件发生。终端用户行为监管体系采用的主要技术和产品包括:
·安全状态完整性检查和自动修复,对终端用户的安全策略符合性进行检查,对符合安全策略的用户可以接入网络进行后继的访问操作,对不符合安全策略的用户(例如没有安装最新的系统补丁、没有升级病毒特征库)则可以进行自动修复,以提升其安全级别;
·网络准入控制和强制认证,确保用户终端在接入网络之前达到了目标网络安全策略规定的安全级别,不会在访问网络资源时引入潜在的安全风险;
·外设使用控制,对用户终端的外设使用进行控制,避免因使用外设可能引起的病毒感染以及数据泄漏的风险;
·终端用户行为审计,对终端用户的行为进行控制和审计,实时了解终端运行状况和安全状况; 3、4安全运行中心建设
传统的安全管理方式是将分散在各地、不同种类系统就近分别管理,这样导致安全信息互不相通,安全策略难以保持一致。这种传统的管理运行方式是许许多多安全隐患形成的根源。安全运行中心是针对传统管理方式的一种重大变革。它广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
将关键设备的运行管理权利集中到一起,通过高度密集的管理产品和手段,将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。安全运行中心使全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整,使得全网的整体安全状况和风险情况以定性或定量的形式及时展现出来,给企业管理者和客户提供信心。
我们建议金融网络系统建设安全运行中心(SOC),作为金融网络的一种支撑性基础设施,实现风险的集中管理和实时呈现,将信息安全管理融入企业的业务体系和运营流程之中,实现信息安全从成本中心到利润中心的转变,为企业的运营提供强有力的安全保障。
安全运行中心主要包括三个部分:安全风险管理中心、安全维护中心和安全知识中心,具体实现了以下的用户功能模块: ·风险查看
·资产管理 ·脆弱性管理 ·安全事件管理 ·安全任务单管理 ·安全预警管理 ·安全设备管理 ·安全评价管理 ·报表管理 ·策略管理 ·系统管理 广东安氏领信总代理
UTM 防火墙 WEB盾 IPS IDS 教学沙盘 广州市南软数码信息系统有限公司
TEL38080599 企鹅号: 425432486
·安全知识管理
安全运行中心建议管理范围包括:
·所有的基于IP的网络设备和应用系统的安全:包括金融网络系统中包含的各个信息系统、相关的路由器、交换机等网络设备,以及重要的服务器和主机。 ·所有安全产品组成的安全体系的实时管理和监控都应当受到集中安全管理平台的管理,管理对象包括防火墙,入侵检测系统,防病毒网关,终端安全管理系统、认证授权系统等等。
·所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全运行中心中,保证及时安全时间的发现、分析和响应。
·负责协同管理阶层,制定和实施金融网络系统的安全目标和策略,支持日常安全配置和维护。
安全运行中心在技术方面,主要需要完成以下几个功能: ·基于资产的风险管理 ·集中的安全策略管理 ·集中的安全配置管理
·帮助实现全网实时各种安全事件的检测、相关分析和可视化
·作为全网安全体系的中枢,发挥宝贵的“专家智慧”资源,统一指挥各种安全事件下的响应和恢复
第五篇:校园网络管理解决方案
校园网络管理解决方案
来源:egkc
一﹑校园网络行为管理的必要性
目前,中国的大中专院校通过各种形式的网络接入方式都实现了与互联网的连接,无形中把一个充满着智慧和诱惑的世界在师生们的面前伸展开了。在校园网络的使用中存在着以下问题:
首先,互联网上有许多宣传反动言论、色情、恐怖暴力以及封建迷信的站点。由于利益的驱动许多极易毒害人们尤其是青少年思想的内容在互联网上大量出现,在这种情况下,互联网不但不能带来文明和进步,反而会带来丑恶和败落。由于青少年思想还不成熟,加上判断力的缺乏,很容易误入歧途。而一旦出现问题,往往因为没有做好上网的历史记录而无法追查下去,给学校带来了许多不必要的麻烦。
其次,有关统计资料显示,上网人群中大约有三分之一上班时间是在网上浏览与学习无关的信息,包括网络在线游戏、网上炒股、网上看球赛和各种各样的网上沙龙。现实中的许多娱乐是要付费的,而在网络上大量流传免费的游戏和歌曲影视等,缺乏自制的青少年很容易沉溺于网络世界之中而无法自拔,日益普遍的“网络成瘾症”就是很好的说明。这些行为将导致工作与学习效率低下,是与校园上网的初衷相违背的。
最后,大多数校园还无法提供能够满足全部师生上网需要的带宽资源。举例来说,少数高校的宿舍提供了10兆乃至100兆的外部网络接口,大多数学校则还不具备这样的条件。目前,BT等下载工具在青少年尤其是在校学生中广泛流传,一个局域网如果只有10兆的带宽,同时有5个人进行BT下载,其他人基本上连打开页面都会很困难。这对于许多师生来说不仅仅是不公平,更主要的是浪费了资源降低了工作效率。
综上所述,互联网作为新文化,它给人们带来了资源和便利,也带来了糟粕和荒废时间的工具。在充分发挥校园网在学校教育中作用的同时,应该减少其带来的不利因素,使师生都能放心共享网上教育资源,提高教育教学质量。
二、校园网络行为管理解决方案
1.受各类有害信息影响的解决方案
聚生网管具有以下针对性的解决办法:
www.xiexiebang.comet以及eMule(电骡)、edonkey(电驴)、百度下吧、PP点点通、卡盟等下载都无法逃脱聚生网管的监控与管理。
三、针对校园网络管理,聚生网管的其他优点
在第二小节里我们已经了解到校园网络的结构以及特点,最主要的就是网络类型、接入类型都非常复杂,接入用户类型也非常复杂,针对这些特点,聚生网管具有以下优点:
1.单机安装,全网监控网管系统只需要安装在局域网的任意一台电脑上就可以控制整个局域网的所有主机,不必在客户端进行安装,这样可以避免抵触情绪的产生以及由此带来的种种麻烦。
主流监控软件必须通过代理服务器、智能交换机或者加装HUB进行旁路设置才能保证软件的正常运行。而网管软件对网络环境没有任何要求,安装部署软件时不需要对原有环境做任何改动,不需要购买任何软硬件设备,极大降低了进行网络结构改动的不确定性和花费。
2.任意主机的流量控制功能。
网管系统可以实时显示局域网内任意主机的公网流量,包括数值和柱状图两种显示方式,从而能够使得管理员能够很明了的查看局域网任意主机的流量,管理员可以对每个主机分配相同的流量,又可以为单个主机设置不同的流量,系统还可以对新加入的主机自动启用通用的主机流量大小。
流量日志分为静态日志和动态日志。静态日志可以查询某一时刻某个主机或全部主机的流量大小,每个月、每个主机的流量大小(包括数值和图表);可以实时显示所有主机的流量大小(包括图表和数值);可以实时显示某个主机或者任意主机的流速大小(包括图表和数值);可以实时显示任意主机或者全部主机的流量大小,包括某个主机日流量大小、月流量大小、月流量走势图、所有主机日流量大小(包括数值和图表)。通过翔实的流量查询系统,管理员可以对局域网所有主机公网流量有一个总体的了解和控制,为后续的管理积累丰富的历史数据。