第一篇:提升电力系统现有网络安全防御体系的解决方案
提升电力系统现有网络安全防御体系的解决方案
摘要:对电力系统现有的网络安全防御技术进行了分析,得出当前的安全防御技术虽能够解决绝大部分已知的恶意代码攻击,但却处于对新型的和未知的恶意代码攻击无法识别的被动防御的状态,并提出将现有的安全防御体系提升为主动防御体系,实现差异化、纵深防御的解决方案。
关键词:未知攻击;同质化;被动防御;主动防御;防御体系 solution to upgrade the existing power system network security defense system li yongkang1,zhou junpeng2,chen yunfeng1(1.department of technology information,panzhihua electric power bureau,sichuan electric power corporation,panzhihua 617000,china;2.department of technology,chengdu chinatech huichuang technology co.,ltd,chengdu 610041,china)abstract:analyzed technologies of the existing power system network security defense,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code,it proposed to upgrade the existing security defense system for the active defense system,to achieve the solution of differentiation and defense in depth.keywords:unknown attack;homogenization;passive defense;active defense;defense system
一、前言
(一)电力行业简介
电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。
电力工业是国民经济发展中最重要的基础能源产业,是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力销售市场的扩大又刺激了整个电力生产的发展。
(二)电力行业信息化it系统架构
电力行业it系统按照“sg186”体系部署,整体化分为一体化企业级平台、八大业务应用系统和六个保障系统,形成“纵向贯通、横向集成”的庞大信息网络。八大业务应用分为建设财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等。六个保障体系为信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
二、当前电力系统网络防御技术分析
(一)电力网络行为与内容的安全情况。电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面,面对的威胁应当属于是战略性质的,即电力系统威胁不仅要考虑一般的信息犯罪问题,更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击,甚至要考虑战争与灾害的威胁。
(二)电力网络系统安全情况。对于电力行业主要考虑以下系统:各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微波、电力载波、有线、电力线含光纤)、电力信息系统等。这里主要考虑到电力调度数据网(spdnet)、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心,必须保障电力系统畅通的24小时服务。
目前,大多数规模较大的发电企业和很多省市的电力公司在网络安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、vpn设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统,并取得一定的效果,应当说是有自主特色的。
(三)电力信息内网安全防护体系。电力信息内网属于电力网络的管理信息大区中,信息内网定位为内部业务应用系统承载网络和内部办公网络,部署了大量的应用服务器和数据库服务器、以及不需要外联的办公主机。
电力信息内网对外连接包括:通过公用信息网与上下级电力公司的信息内网相连接;通过vpn连接互联网,以保障移动办公终端的接入;通过逻辑强隔离设备与信息外网相连接;通过正/反向隔离装置与生产控制大区相连。电力信息内网部署有以下安全防护手段:
防火墙系统。信息内网内部不同安全区域之间部署防火墙,增强区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威胁;
信息内网出口处部署防火墙系统,实现网络边界防护,同时保护web服务器域;
vpn系统。信息内网出口处部署vpn系统,为移动办公、营销系统远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接入认证;
为了统一管理和维护,电力的移动办公统一入口设在信息内网的vpn网关处;
入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系统,实现对网络流量的动态监视、记录和管理、对异常事件进行告警等;
日志审计系统。信息内网部署一套日志审计系统,采用分级部署方式,实现全省信息内网安全事件的集中收集和审计问题; 主机管理系统。电力信息内网统一部署主机管理系统,实现主机设备的统一管理和防护;防病毒系统。电力公司信息内网部署一套防病毒系统,采用分级部署方式,控管中心设在电力公司本部,地
市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心的统一管理。安全管理分区。电力信息内网依据业务系统保护等级,分为生产控制区(ⅰ、ⅱ区)、管理信息区(ⅲ区)和外部信息网,各分区进行相应等级的安全防护。
(四)目前防御系统的防御弱点
病毒检测扫描类技术的防御弱点。从病毒到恶意代码(木马、蠕虫、病毒、恶意脚本、shellcode、流氓间谍软件),无论是种类还是数量都是海量增长,来自海量恶意代码的海量攻击使得基于以字符串crc效验、散列函数值等特征码检测为主;采用加密变形的启发式算法、仿真技术检测为辅的病毒检测技术已无法有效检测每天如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超级恶意url库、自动化分析流程为主要特点的云安全技术在一定程度上改善互联网用户安全的同时,存在分析时延、病毒特征库更新时延、恶意url搜索时间间隔等问题,同时海量提交的文件带来的极大分析压力使得分析失误的概率大大增加,从而给用户带来极大的风险,对于物理隔离的专网、内网也无法使用云安全技术。该类产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入侵检测防御类技术的防御弱点。入侵检测技术经过多年发展,ids、ips、utm、应用防火墙、防毒墙等产品能应对大部分已知攻击,对网络安全起到了非常大的作用,但也存在辨识技术上的防御弱点。以基于规则描述的特征组合检查为主,协议异常检测、统计异常检测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻
击流量、基于未知漏洞的攻击流量、加密变形的攻击流量,更无法截断潜伏在这些流量中的有经验黑客的深度攻击。
由ids(监控报警子系统)+安全工程师(辨识和决策)+防火墙(处理子系统)构成的防御系统,严重依赖安全工程师的经验和分析水平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能力,使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现实的。其它非防御类安全产品的弱点。加密技术类安全产品可以解决泄密问题,却无法阻御攻击者和恶意代码对加密信息的破坏。行为管理类安全产品能管理用户的行为,却无法阻挡有意者的恶意攻击行为,对恶意代码和黑客攻击的后台行为,更无法察觉和控制。身份认证类安全产品能解决身份可信问题,却无法保证合法者伪造的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制能力更适合作为处理控制手段,而不是攻击和恶意代码的识别工具,更无法解除流量中的威胁,桌面级的防火墙更是带来网络管理上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险,却没有防御攻击的手段。主机安全产品,偏重于主机使用者的行为控制,它本身不能防御恶意代码的攻击和破坏。以上安全类产品由于解决的主要问题是在安全的其它方面,从防御组成来看,本身缺乏防御能力,更需要安全防御系统来保护这类安全资产。
(五)当前电力防御体系总结分析
当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不
能阻挡每天如潮水般增长的恶意代码,其技术壁垒也逐渐显露,其被动性的原因主要有以下几点:1.恶意样本和攻击的海量增长。据国内安全厂商江民科技对近年来恶意代码数量的统计,2011年上半年全年共增加病毒特征代码48万余条。
2010年上半年及2011年上半年新增病毒特征数量示意图[1]图1 2.对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变为一个集团利益团体甚至国家利益的团体,在经济、政治利益的驱使下,免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足,对未知攻击和威胁无法识别。要防御攻击带来的威胁,首先要解决对攻击和威胁的识别,传统的特征码识别技术对未知的攻击和威胁无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、全局皆破。随着电力系统在信息化建设方面的不断加大,信息安全问题也逐渐凸显,病毒、蠕虫、木马等恶意代码在网络中肆意传播,严重威胁着电力系统的正常运行。而现有的防御体系则主要以协议过滤、特征签名包和特征码比对技术为主构建的传统的防御体系,能够有效的防御已知的恶意代码攻击(已有的特征签名包和特征码),但对于多变的未知的恶意代码攻击却显得无能为力。因此,需要一种技术能够实时有效的防止未知的恶意代码攻击,从而提升整个网络的安全防御体系。传统的防御手段所采用的技术是导致其被动性的根源,面对当下如此严峻的安全形势,亟需构建一个实时主动的网络防御体系。
三、构建主动防御体系
(一)防御系统的构成标准
在网络信息对抗中,一个完善防御系统的防御链必须由监控、辨识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善有效、三个子系统的自动化联动程度四个方面,其中最核心的是辨识决策技术。
目前的安全产品,能有效构建防御系统主要是以病毒检测扫描类技术和入侵检测防御类技术为主,但这两类技术都存在防御弱点。
(二)构建电力系统主动防御体系
在构建主动防御体系之前,不防先回顾一下防御系统产生的原因:有了信任与欺骗的斗争,于是便产生了可信任体系;出现了攻与防的斗争,也就有了防御体系。那如何构建一个防御体系,不防借鉴历史战争,其无非分为三种:事前防御、事中防御和事后防御。于是建立如下的主动防御体系: 主动防御中心图2 从图中可以看出,防御体系的强弱取决于攻击事件正在进行时防御系统的防御能力,也就是事中防御。而从传统的防御体系可以看出,无论是漏洞检测技术、网络准入技术、特征码扫描技术都偏向于事前防御,在事中实时防御上,特别是事中主机防御上存在严重不足。因此,要提升整体网络的防御能力,必须加入主机事中防御的技术。
四、主机主动防御技术的实现
在主机层面要做到事中防御,必须摒弃传统的特征码比对技术,做到“敌动我动”的实时防御。经过业界专家的研究,提出了基于行为检测的主动防御技术。即不依赖于程序的特征,而是根据程序所表现出来的行为来预先判断其合法性。这在理论上是可行的。给出主动防御的概念:在监控、分析、侦测等环节中采用主动感知未知威胁行为识别、行为智能处理、行为防御加固等主动性技术来进行防御。
(一)恶意程序行为的提取
恶意代码一般的行为包括注册表操作、文件操作、进程的行为和网络行为等;在windows操作系统上,可执行文件基本上都是通过api的调用来执行,以上任何行为都要通过导出函数或者系统调用接口[3]。可通过对恶意代码行为进行搜集和数据挖掘,建立如下的行为算法模型: 行为算法模型表1 格式1 行为 行为描述 危险等级
格式2 行为序列 行为描述 危险等级 „ 说
明 1.格式1适用于单个行为的规则建模;
2.格式2适用于由多个行为组成的行为序列的规则建模;
3.m表示函数的参数个数,n表示行为序列包含的行为个数; 4.四个危险等级:低、中、较高、极高,代表不同级别的恶意程序;
5.“参数取值特征”表示对应的函数调用行为表现出恶意性时的参数的具体取值。
6.“参数0”表示只识别函数的调用行为,不对调用参数进行分析; 7.若“参数取值特征”为“null”,表示对应参数的值等于null; 若“参数取值特征值”为“null”与“参数0”配合使用,表示不需要分析对应的实参。
(二)深层监控实现
主机层面的防御又可分为六个方面:内核子系统、服务子系统、应用子系统、通信子系统、文件及资源子系统、账号及认证子系统。每个子系统又按照p2dr(policy、protection、detection and response)模型组成一个完整的、动态的安全威胁相应循环[4]。任何攻击无非是攻击操作系统以上的单个或者多个方面,因此通过对六大子系统实时监控,最终达到对主机威胁行为识别。识别技术是辨识和处理的前提。主动防御引擎模型图3
(三)辨识技术的实现
操作系统向外提供丰富的系统api接口,方便上层应用程序对系统资源的访问,开发各类功能软件,程序行为指程序或代码对操作系统资源如文件系统、注册表、内存、内核、网络、服务、进程等的访问操作。恶意代码行为特点:非授权性和破坏性,主要表现为恶意代码对系统资源的非授权访问或篡改,如信息窃取、建立后门、实施破坏等行为。了解程序行为和恶意代码的行为后,通过对恶意代码的行为分析,并将恶意代码必经的攻击点进行记录和分类,丰富到行为库中,形成一套行为算法库,通过行为算法库来判别程序的合法性。其他子系统的行为引擎,也可建立相应的模型。识别技术是关键。
(四)强大的处理能力.在判断程序的危害性后,可通过取得操作系统底层权限,对恶意代码进行处理,对无法及时处理的可通过隔离,重启后删除。采用系统级主动防御技术,在异常监控技术上将监控范围扩大到操作系统上的六大子系统,包括内核系统、应用系统、通讯系统、文件及资源系统、账号及权限系统,采用分布式监控技术实现对全系统的监控。在辨识决策技术上是以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础,采用动态行为跟踪技术,依据恶意程序行为特征算法库,判定程序的性质和逻辑,预先判断程序的危害行为和风险,实现对恶意代码和恶意行为的自主识别、判断。在管理上平台可设计灵活的组网方式,实现多级连接、分权管理,也可通过同入侵检测系统ids、访问控制中心等联动,获得全网安全态势,预警和应急处理全网安全事件,组成主动防御控制中心。
五、结论
当前日益严峻的安全形势下,恶意代码泛滥,针对传统的防御方式已形成了一条集生产木马、销售、传播等一体的黑色产业链,其利益集团也由个体利益、团体经济利益逐渐演变成政治利益,甚至于国家之间的利益。因此,在防御手段上必须不断的推陈出新,建立基于差异化的防御技术平台,才能有效的防范已知的和未知的恶意代码攻击。
基于行为分析的主动防御技术的实现,弥补了传统的防御方式无法查杀未知恶意代码的弊端,提升了整个网络安全的防御体系,使原被动滞后的防御体系成得实时主动,是未来主机防御技术的方向。主机主动防御技术采用程序行为分析技术,能主动防御病毒、木马、间谍软件、恶意脚本的攻击及入侵,特别是对未知、新型、变种、加密、加壳等恶意代码的防御效果显著,其应用,将在智能电力网络受信息安全威胁的电力行业带来了一场革命。参考文献:
[1]江民科技.2011年上半年网络安全信息报告[n].江民科技网,2011,8:12;2011,9:23 http://.[2]b51.628-2009.成都中科慧创科技有限公司.网络体系式主动防御系统[s].[3]陈培,高维.恶意代码行为获取的研究与实现[d].计算机科学,2009,1-3
[4]黄家林,张征帆.主动防御系统及应用研究[j].网络安全技术与应用,2007
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:电力系统中计算机网络安全
电力系统中计算机网络安全
来源:www.xiexiebang.com
O.前言
汁算机网络在电力系统中的应用越来越广泛.可以在电力系统自动化、监控、保护、电力企业物资管理、电费收缴、电量调节等各方面进行集成管理,发挥着越来越重要的作用.而且国家电力数据通信网把各级电网企业连接起来,实现了电网企业间信息系统互联互通、资源共享。但是值得我们注意的是.电力系统中计算机网络安全问题也就显得越来越突出。电力信息或电力系统实时数据的传输已经超出了目前远动系统的范畴。常规远动系统必将被融合计算机、保护、控制、网络、通信等技术于一体的网络化电力信息传输系统所代替.并终将打破现行的专业分工,引起远动系统设计的一场革命攻击事件造成的影响日益严重,发生的频率也日益增加 众所周知.计算机网络具备信道共用性、分布广域性、资源共享性、体系结构开放性的特点.因此.也不可避免地会存在着系统的脆弱性.使其面临严重的安全问题.而几乎所有的攻击者都是利用现有计算机网络系统中的安全漏洞来进行活动2006年4月29日.国家电网公司提出了在全系统实施“SG186工程”的规划.它的出台对整个电力行业产生了巨大的影响 “SG186工程”的六大保障体系中,首当其冲的就是“安全防护体系”.这充分说明信息网络安全在电网信息化过程中的重要性
1.计算机网络安全的重要性
计算机安全一般包含信息安全和物理安全两方面.信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类.而且许多攻击都是致命的。因此.加强计算机网络安全保护尤为重要 只有针对这些网络威胁采取必要的保护措施.才能确保计算机网络信息的可靠性、安全性和保密性。绝大多数计算机网络安全入侵事件都是因为没有及时补上系统漏洞、系统安全措施不完善造成的.一旦网络软件“后门”洞开,黑客就可以很容易地进入到别人的系统,造成的后果可想而知。
根据美国FBI(美国联邦调查局1的调查.美国每年因为网络安全造成的经济损失超过170亿美元.75%的公司报告财政损失是由于计算机系统的安全问题造成的,平均每天会有1.5万个网页受到病毒感染或者遭受黑客攻击 也就是说.每5秒钟就会有一个网页成为黑客们的“盘中餐”。在中国国内.互联网的安全问题形势也非常严重 据国家计算机网络应急技术处理协调中心2007年的评估数据显示.在全球的620万台“僵尸”电脑中.约有360万台在中国.占58%以上 同时.感染了“特洛伊”病毒的电脑数量仍在稳步上升
2.如何有效保障电力系统中计算机网络安全
2.1完善防火墙技术防火墙的英文名为“FireWall”.它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间。实施网络之间访问控制的一组组件集合 将大力加强和规范信息网络安全工作.提高信息网络整体安全防护水平,实现信息网络安全的可控、能控、在控.按照国家电网的要求.对接入信息内网办公地计算机进行安全自杏.对存安全隐患的计算机要求及时整改 网络安全是安全生产管理体系的重要组成部分.电力窗口将按规定、有步骤的开展信息网络安全维护工作.保证信息系统安全好局面 再次强调在工作时间计算机终端不得使用与工作无关的相应软件.将纳入月度责任制考核
2.2防病毒技术随着互联网技术和信息技术的不断发展,计算机病毒对计算机系统构成了极大的威胁,同时,病毒也变得越来越高级、越来越复杂 目前市面上普遍使用的防病毒软件一般可以分为单机防病毒软件和网络防病毒软件两大类 单机防病毒软件一般是分析扫描本地和本地工作站链接的资源.通过快速检测来达到清除计算机病毒的目的 而网络防病毒软件则不是侧重于单台电脑的防病毒处理.而是主要注重于网络防病毒.一旦病毒从网络向其它资源传染.那么该软件就会历尽检测,并及时加以删除 例如金山毒霸网络版V7.0具备提前被系统加载特性.可以在病毒模块还没有加载或被保护的时候删除被保护的病毒文件或拦截禁止病毒的保护模块:精确打击.定点清除顽固恶意软件和木马.解决能查不能杀的难题从而完成正常杀毒任务 金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告.并支持管理员对网络安全进行实时审核.以确定哪些节点易于受到病毒的攻击.以及在出现紧急病毒情况时采取何种应急处理措施 网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作.并可以创建、部署和锁定安全策略和设置.从而使得网络系统保持最新状态和良好的配置 金山毒霸网络版v7.O采用分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息.再精确部署漏洞修复程序:其通过Proxy(代理)下载修复程序的方式.极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与,且能够在客户机用户未登录或以受限用户登录情况下进行
2.3建立完善的计算机网络安全防范制度负责电力系统中计算机信息网络管理的值班人员要明确分工.落实责任。当班人员因故不能值班或者离开值班岗位者.应找本中心人员替代,在替代人员到岗后方可离岗。值班人员必须严守操作规程.密切注视系统运行情况,发现问题,及时上报:同时.在征得领导同意后.迅速果断地采取相应的措施.如硬件故障.则通知硬件维护人员.并与之相配合做好故障处理工作 所有工作人员不得将中心任何一台计算机或服务器的IP地址及密码公开,防止外来人员进入。同时.制定《中心机房管理制度》、《门户网站管理规定》、《专线网通信平台运行管理制度》、《局域网管理制度》,《网络保密管理制度》、《全程同步录音录像系统管理规定》等管理规定.明确工作责任和使用程序 设立多道防火墙,经常更换密码,防止外来有害信息进入。安全负责人应随时了解网络运行情况、信息发布情况,定期或不定期的检查网上传输的运作情况。经常了解用户使用情况。针对出现的问题.及时解决。各部门要切实增强保密意识.加强对计算机等涉密载体的管理,做到认识到位、组织到位、工作到位,确保万无一失。另外,按照“谁上网、谁负责”的原则.每台计算机均设置系统登录密码.严格规定访问权限.工作中临时离开计算机或会见客人时,必须将计算机置于锁定状态.局域网内计算机不得通过任何途径接人互联网,严格实行内外网物理隔离。
【参考文献】
[1]郝玉洁,常征.网络安全与防火墙技术.北京:电子科技大学学报社科版2002,1(4):24~28.
[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报2002,3(14).
[3]Bace Rebecca.Intrusion Detection.Macmillan Technical Publishing.2000.
[4]刘永华.基于Agent的分布式入侵检测系统.潍坊学院学报2006,3(6—2)
[5]蔡洪民,伍乃骇,滕少华.局域网络安全扫描系统的设计与实现.微计算机应用.2005.1:45—48.
第四篇:电力系统中心监控解决方案
目 录
一、需求分析....................................................................................................................................1
二、设计原则....................................................................................................................................2
三、设计依据....................................................................................................................................3
四、设备选型....................................................................................................................................3
1、矩阵主机......................................................................................................................................3
2、控制软件......................................................................................................................................5
3、云台、解码器...............................................................................................................................6
4、摄像机..........................................................................................................................................6
5、网络分控计算机............................................................................................................................7
五、系统拓扑结构.............................................................................................错误!未定义书签。
某市电力系统监控方案
一、需求分析
某市供电局共有几十个变电所,其中大部份变电所实行了无人值守,为了保证变电所的安全,同时,也为了提高服务质量、增强管理意识,对所有的变电所实行了监控。我们对变电所设计配置矩阵硬录集成系统,当地监控的同时实现远程监控。
所有的变电所都设计32路左右摄像头,分别安装在各个重要设备及机房内外。其中有些地方还装了解码器用来控制云台镜头,另外,设计报警地址发生器可以接入多路报警量及控制量,我们在重要的出入口和设备处安装了红外/微波双鉴报警器,在变电站四周围墙墙头设计安装红外对射报警器均接入报警地址发生器,在每个房间,安装了双鉴报警探测传感器,有些房间,通过联动装置,可以控制照明设备。解码器通过TD总线与监控主机相连,在某些设备的房间,还安装了监听器。
所有的变电所的监控主机通过供电局的内部网联接到市供电局监控中心,市供电局为每个变电所提供了2M的带宽,所以可以保证每个变电所可以切换上传1到4路音视频图像。
监控主机接受各种视频、音频及报警数据,在有人值守的变电所,可以通过切换操作在显示器上观看到每路视频的图像及报警。通过设置,可以进行录像、自动切换,对于室内摄像头,可以设置动态检测录像,即视频变化即产生录像,不变化不录像。对于无人值守的变电所,可以通过远程设置,实现同样的功能。监控主机可以将报警信息和音视频录像保存在本地硬盘,当本地硬盘满时,可以设置自动清除过期的录像,同时,监控
主机还作为网络服务器,接受监控中心的数据和音视频请求。根据监控中心的请求,将视频和数据传送到指定的地点。
在网络监控中心,我们设立专门的计算机对各变电所进行监控,监控中心可以轮流对各变电所的视频及数据进行巡视,当变电所有报警发生时,变电所监控主机会主动将报警上传,报警信息将存入监控中心数据库,相对应的视频图像即自动切换到当前画面。同时,会有声音提示,工作人员进行判断,如果需要进行维护,则可以立即打印出派工单,并通知相关人员。在供电局监控中心,除了网络监控主机,还可以在网络别的节点,如局长室对各变电所进行巡视,以了解变电所的情况。大大方便了管理。
二、设计原则
1、先进性、实用性、经济性及合法性
本系统设计时充分考虑设备和技术的先进性,系统采用先进技术,时整个系统达到先进性;所有集成设备均选购目前同类产品中先进的产品,保证几年内不落后、不被淘汰;在保证系统的先进性的同时还应考虑系统的实用性,即所选设备是成熟的系统,所有的功能都是实用的;并考虑系统的经济性,选择性能价格比高的产品。所有设备都是经国家有关部门批准生长和通过质量检测的产品。
2、良好的扩充性
考虑到工程的实际情况,在进行系统设计时,我们充分考虑了系统增容的可扩充性:系统设计均采用模块化结构,所有设备管理主机均可扩容,以后系统增容时,只需直接将管理设备与系统进行连接,不需对线路进行改造;系统主机均采用大容量产品,为将来的扩充保留充分的冗余空间和设备接口。
3、系统安全可靠性
凡设计到业主经济利益的系统,稳定可靠性是至关重要的。系统的产品涉及到经济利益,我们设计选型时作了慎重考虑,选用的设备都是经过大量用户使用并且相当成熟的产品。使系统具有更强的安全性和稳定性。
4、系统超前性
整个系统的先进性,取决于设计者是否具有超前意识,掌握这一行业的最新技术以及边缘科学在此领域的应用,同时必须了解和预见到今后几年社会发展对闭路监控及报警系统方面提出的要求。因此,不仅要求设计严密、布局合理,能与技术、新产品接轨,而且所选择的设备应在系统实施若干年后,亦能保持其功能完善、齐全,不至于落后。
5、系统的可操作性
设备齐全、功能完善、综合管理、便于维护、操作简便且易于掌握。系统的设计,要求在操作人员与设备
之间建立起友好的界面,使操作者无论对系统的设置还是日常运行,通过键盘进行简单的操作即可完成,即使对没有接触过此类设备的操作者,只需稍加培训,即能掌握一般操作。
6、系统的安全性
雷电发生时将产生强大的冲击电流,如果不采取有效防御措施,极容易造成被雷电击坏。对系统的防雷击方面,我们设计采取:所有设备额外供电,配备专用UPS电源,防止雷击发生时超高压强电流通过强电系统破坏弱电系统;所有设施保证良好接地,当强电流通过时可以分散电流,室外可安装避雷针。
三、设计依据
系统配置是根据业主提供的要求及国家或行业批准发布的相关产品/系统标准而设计的。GBJ16-83《建筑电气设计技术规范》 GA/T 75-94《安全防范工程程序与要求》 GA/T 70-94《安全防范工程费用概算编制办法》 GA/T 70-94《安全防范系统通用图形符号》
GB50198-94《民用闭路监视电视系统工程技术规范》 GBJ232-82《电气装置安装工程施工及验收规范》 GBJ300-86《建筑安装工程质量检验评定统一标准》 GBJ57-83《建筑物防雷设计规范》
GBJ303-88《建筑电气安装工程质量检验评定标准》
HYD41-01-1999《电子工程建设概预算编制办法 电子设备安装工程费用定额》及《电子工程建设预算定额》
GA16796-97《安全防范报警设备安全要求和实验方法》
四、设备选型
根据用户对电视监控系统的具体要求,综合我公司以往所做工程的经验,特别郑重推荐使用以下电视监控系列产品。
1、矩阵主机
数码科技有限公司生产的TC-8632-8II型矩阵主机
系统支持32路音视频同步输入,8路音视频同步输出。
系统支持一级主控设备(可选主控键盘或主控计算机),15级分控设备(可选分控键盘、分控计算机或红外分控等)。 系统可接入32路报警探测区。
主控设备全面享有对所有监控现场云台、镜头、快球、雨刷、灯光、电源的控制。
经授权后,分控设备可有限享有对某些监控现场云台、镜头、快球、雨刷、灯光、电源的控制。 矩阵主机与主、分控设备及解码器之间采用RS-485通讯方式,布线简单,扩展性强。 系统支持主控键盘或主控计算机两种主控设备,但同时只允许接入其中一种。
主控设备选用主控计算机时,可通过主控软件用鼠标实现快球的全功能控制,同时系统提供了软件锁定功能,视频满屏功能,并可附有电子地图、硬盘录像、语音控制、视频报警四大功能模块可供用户选配。主控软件具备普通切换和便捷控制等多种方便灵活的切换方式,并提供布/撤防状态、灯光、电源、雨刷、广播、自动等状态的任意多点组合控制和查询。 主分控键盘可通过摇杆控制快球或云台方向及编程参数选择,同时具备键盘锁定功能。 红外分控具备分控键盘的主要功能,操作更为灵活。
分控设备(分控键盘、分控计算机)均需授权,这种授权规定了键盘——监视器、键盘——摄像机、监视器——摄像机的访问权限。
系统支持万能切换功能,通过编程可设定监视器——摄像机的顺序切换权限及驻留时间,切换时音视频同步切换,每个监视器可存储多达120点的切换序列。
每路视频输出上都有字幕叠加,屏幕显示包括时间、日期、监视器编号、摄像机编号及8个任意标识字符,黑边框字幕保证光照变化时的字幕效果。系统提供可视化字幕调整方式,可在屏幕的任意位置叠加字幕信息。
报警方式可选并行报警或串行报警,各报警点输入可任选断路报警或短路报警方式,以防止人为破坏。
可手动、定时自动开关每个报警点的信号检测,各点布/撤防状态可在编程中查询。消警方式可选自动消警、延时消警和手动消警。
系统具备强大的报警联动功能,报警后报警点现场电源接通、灯光打开,主机蜂鸣器鸣响,报警开关启动。
报警后,报警点音视频信息将按照系统编程设定的参数在授权监视器上切换,视频上叠加“报警”提示字样,每个监视器可存储多达120点的报警切换序列。 报警记录查询。可查询最近256个报警点的报警时间。 开关机时间查询。可查询最近256次开关机的时间。
多级密码保护。系统启动、键盘锁定、报警布/撤防、调用预置景点均需输入密码。工作温度:-10℃-+55℃ 工作电压: AC220V/50Hz(±10%)功耗: 20W 音频输入: 32路(两线制/三线制)
音频输出: 16路(750mV/600Ω)频率响应: 150Hz ~ 15KHz 音频通道隔离度: >40dB 视频通道隔离度: >56dB 视频信噪比: >56dB 视频通道带宽: 15MHz(±3dB)视频输入阻抗: 75Ω 1Vpp 视频输出阻抗: 75Ω 1Vpp 外形尺寸: 482mm*344mm*88mm(长*宽*高)
2、控制软件
系统采用矩阵硬录集成控制软件,应用于由的TC8632-8II矩阵和TC2808AV-M4硬录主机组成的多媒体监控系统,它将先进的多媒体技术利用在传统的监控系统中,不但大大简化了硬件设备和器材,而且使得处理和控制更加精确、可靠。同时它具备Windows环境下应用软件的诸多功能,可以方便的完成预置编程、录像、图像抓拍打印、电子地图、视频报警,远程监控的支持等多媒体功能。
支持网络和互联
分为服务器端计算机软件和网络分控端计算机软件两部分 界面友好,完全中文化,易于使用 按键图标会意化设计,操作简单直观 具有可管理性,存档、查询方便 周到的软件选项,满足用户的各种需求
字幕与影像分离。提高画面清晰度,并有多种字幕显示,随心所欲,尽如人意 兼容中西文Windows2000操作系统 分控计算机软件不限节点数,可随意配置 安装简单,硬盘占用量小,升级容易
采用多级电子密码进行系统操作,实现安全管理
编辑方便、发送快捷的汉字传送功能。汉字录入方便。字符传送快捷。汉字随时修改、随时发送,无次数限制。
图标会意化按键设计,功能明确,使用便捷,关键时刻不致手忙脚乱,不需专业培训即可操作。
工作状态指示明确,采用指示型按键,使按键状态一目了然。
将一些常用功能设置为按键(象编程、话筒、灯光以及雨刷等按键),方便监控系统操作。 抓拍图像以通用格式存储,方便进一步处理和打印。 画面质量可调,并在下次启动系统时,保留此设置。 操作简单但功能强大的菜单选项。
通过选择“串口设置”菜单,完成串口、波特率等参数的设定。
通过选择“编程”键的选择,完成组切时间、字幕选择、分控设定、时间设定等参数的设定。 通过对“察看状态”菜单的选择,可快速完成对现场电源、灯光、自动扫描处于何种工作状态的察看。
实时多媒体报警。独具一格的报警联动模块,保证布防后警情发生时主控计算机监视器画面的及时切换,直至撤防。 可选配电子地图功能。 报警画面可存至计算机硬盘。
可实现报警资料的长期存储,便于查询。
3、云台、解码器
设计使用TC-2209A型室外全球解码器一体化云台和TC-2207A型室内全球解码器一体化云台。全球云台, 内置解码器。
转动角度:水平:358°,垂直:0°~ 90° 转动速度:水平:12°/秒,垂直: 6°/秒 电 压: 24VAC 输入
4、摄像机
选用HONYWELL(GC-755A1型)摄像机。
像素:625电视线(PAL)扫描系统:2:1隔行扫描 水平扫描频率:15.625KHz 垂直扫描频率:50KHz 图像传感器:1/4″彩色CCD高清晰数码摄像机 总像素:795(H)x596(V)470K
有效像素:752(H)x582(V)440K 信噪比:超过49dB 水平分辨率:480电视线 视频输出:1.0Vp-p,75Ω
镜头:20倍光学变倍(F1.6,f=3.9-85.8)自动变焦
数字放大比率:10倍(总放大比率:220倍),2~10倍可变 变倍速度:5秒
镜头观察角度:水平:47°(w)/3°(T)最低照度:0.001Lux 同步方式:内方式 背光补偿:ON/OFF 彩色/黑白:ON/OFF 焦点模式:自动/手动 白平衡:自动/半自动 模糊控制:手动 锐化控制:手动
快门速度:1/50~1/10000sec 电源: DC12±0.5V 功耗:4.2W/350mA 尺寸:60mm×60.4mm×103mm 重量:345g
5、网络分控计算机
网络分控计算机采用配置: CPU:PIII 1G以上 内存:256M以上
显卡:Geforce显卡MX200以上 网卡:10M/100M PCI网卡
软件平台:Windows 2000 Professional
第五篇:企业网络安全解决方案毕业论文
娄底职业技术学院网络专业毕业设计
宏锦网络有限公司 企业网络安全解决方案
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业(宏锦企业网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词: 网络,安全,VPN,防火墙,防病毒
I
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
目 录
绪 论....................................................................................................................................................................1 第一章 企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2
1.2 企业网络的安全误区...............................................................................................................................2 第二章 企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章 企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章 宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总 结..................................................................................................................................................................18 致 谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20
III
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
绪 论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第二章 企业网络安全现状分析
2.1 公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
宏锦网络公司网络拓扑图,如图2-1所示:
图2-1 企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器,地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第三章 企业网络安全解决实施
3.1 宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
3.2宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门 VLAN 10
交换机S1接入交换机(神州数码DCS-3950)业务部门 VLAN 20
交换机S2接入交换机(神州数码DCS-3950)核心交换机 VLAN间路由 核心交换机S3(神州数码DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和VPN等功能。以下为配置过程:
在防火墙NAT策略下面,新增NAT。如图3-1:
图3-1 新增企业防火墙策略示意图
源域:untrust; 源地址对象:any; 目的域:trust; 目的地址对象:any;
在全局安全策略设置里面如图3-2和图3-3所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-2企业防火墙策略配置示意图
图 3-3 企业防火墙策略配置示意图
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。
在网络接口处如图3-5所示:
图3-5 网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。如图3-6所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-6 以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏锦企业网络VPN配置
宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:
图3-7 PPTP协议示意图
图3-8 PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240 如图3-9所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-9 PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。DNS分别为61.177.7.1,MTU为500。
3.5 宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。KV网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图3-10所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-10 主控制中心部署图
子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图3-11所示。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-11 “策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。
图3-12 扫描目标配置
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第四章 宏锦企业的网络管理
4.1宏锦企业网络管理的问题
(1)计算机软、硬件数量无法确实掌握,盘点困难;(2)单位的计算机数量越来越多,无法集中管理;
(3)无法有效防止员工私装软件,造成非法版权使用威胁;(4)硬件设备私下挪用、窃取,造成财产损失;(5)使用者计算机IP随易变更,造成故障频传;(6)软件单机安装浪费人力,应用软件版本不易控制;(7)重要资料遭非法拷贝,资料外泄,无法监督;(8)设备故障或资源不足,无法事先得到预警;
(9)应用软件购买后,员工真正使用状况如何,无从分析; 居高不下的信息化资源成本,不知如何改善。
4.2 宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图4-1 添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。
图4-2 添加网络设备
如图4-2添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
致 谢
在这几个多月的毕业设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成毕业设计。
做毕业实际就需要把平时学到的东西在复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次毕业设计,同时也为以后工作做了很好的准备。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
参考文献
[ 1 ] 王达.网管员必读—网络安全.北京:机械工业出版社,2009. [ 2 ] 黄传河.网络规划设计师教程.北京:机械工业出版社,2009. [ 3 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 4 ] 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009. [ 5 ] 易建勋.计算机网络技术.北京:人民邮电出版社,2007.[ 6 ] 扬卫东.网络系统集成与工程设计,2007.[ 7 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 8 ] 徐超汗.计算机网络安全实用技术,电子工业出版社,2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社,2006年 [10 ] 高永强,郭世泽.网络安全技术与应用大典.北京:人民邮电出版社,2003
火龙果整理 uml.org.cn
点击咨询 