安全网络建设精品(七篇)
时间:2023-09-25 11:40:15
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全网络建设范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
为进一步做好全区食品药品安全监管工作,不断提高公众饮食及用药安全,区人民政府决定进一步加强全区食品药品安全网络建设。现将有关事项通知如下:
一、指导思想
坚持以“三个代表”重要思想为指导,以科学发展观为统领,建立健全规范化的食品药品安全监管网络和供应网络。按照“全区统一领导、地方政府负责、部门协调配合、各方联合行动”的工作方针和“上下联动、条块结合、突出重点、综合治理”的工作思路,充分发挥政府主导作用,整合监管资源,创新食品药品安全监管工作思路、方法和机制,着力构建覆盖广泛、监管有力、运转协调的食品药品安全监管机制。进一步规范全区食品药品市场秩序,确保广大人民群众饮食及用药安全、有效、方便、放心。
二、工作目标
㈠加强全区食品药品安全监管网络建设,建立以区食品药品监管部门为主,镇(街)食品药品协管员,村(居)食品药品信息员为辅的区、镇(街)、村(居)三级食品药品安全监管网络。㈡落实食品药品安全责任,使监管网络覆盖全区所有镇和村,实现全方位监管、无缝隙覆盖、高质量运行。到年底,健全三级食品药品安全监管网络,监管网络要覆盖辖区所有镇(街)和村(居)。
三、工作重点
㈠加强食品药品安全监管网络建设。建立健全以政府为核心、行政监管部门为主体、镇(街)协管队伍为基础、村(居)级信息人员为补充的三级食品药品监管体系。各镇(街)成立领导机构,并在现有镇(街)干部中配备专(兼)职干部,负责食品药品具体协管工作;在每个村(居)确定1名以上信息员,负责收集农村食品药品监管信息,确保领导、人员、职责、工作“四到位”。
㈡提高食品药品监督网络运行质量。食品药品监督管理部门要建立和健全三级食品药品监督网络例会制度、监督报告制度、检查制度、责任追究制度等规章制度和工作程序,做好食品药品协管员、信息员的聘任和调整工作,落实好各项规章制度;要加强对“协管员、信息员”的培训,提高其监督协管能力和水平;健全和完善全区食品药品监管信息报送、举报投诉、快速反应和协同联动机制。
㈢加强药品市场的规范化管理。深入推进药品放心工程。强化药品经营使用单位的监督管理,规范药品采购渠道,改善药品储存条件,确保药房规范化、标准化建设。加强对各类药品和医疗器械的质量监管,杜绝假冒伪劣药品、医疗器械进入市场,打击各类非法游医和走村串户上门兜售伪劣药品、保健品的违法行为。
㈣推进涉药单位诚信体系建设。⒈建立诚信档案。采集相关信息和数据,建立药械经营、使用单位及销售人员数据库。⒉开展诚信活动。在全区各医疗机构、零售药店中开展诚信经营评比活动。⒊加强诚信培训。定期召开例会,对参会的医疗机构和药店负责人进行诚信创建培训,着力增强涉药单位的守法和诚信意识。⒋加强诚信宣传。利用执法检查、发放宣传材料等多种形式,利用网络、报纸等媒介,进一步宣传诚信建设的重要意义,引导各涉药单位强化自律机制。⒌实行诚信检查。将涉药单位诚信体系建设作为药品执法检查的一项重要内容,对失信单位按进行要求整改,并严格回查该单位整改落实情况。
㈤加强对农村食品安全工作的监督管理。深入推进农村食品放心工程,进一步健全食品安全应急救援体系。在农村大力推行家庭自办宴席报告备案制度、农家乐管理办法、食品安全承诺制等工作制度,建立健全家庭自办宴席卫生检测和安全监管机制,充分发挥农村基层组织作用,逐级落实家宴食品安全责任制和责任追究制。加强对农村各类食品销售网点的质量卫生监督,积极开展乡村“食品放心店”创建活动。
㈥广泛深入地开展食品药品安全网络建设宣传活动。各有关部门要积极开展食品药品安全宣传活动,利用各种形式,围绕科学、合理、安全饮食用药等主题,普及食品安全和科学用药、安全用药等知识,经常性地对群众开展宣传教育活动,提高人民群众的食品药品安全意识。
四、工作要求
篇(2)
关键词: 武警;局域网;比较;安全技术
中图分类号:TN919 文献标识码:A 文章编号:1671-7597(2012)0310095-01
武警部队近年来信息化发展迅速,三级网络已经建成,极大提高了部队工作效率。随之而来的是安全保密形势越来越严峻,主要是涉及到与公安警务网互联、与地方民政部门数据交换、与协同作战等的保密问题。为此,笔者对网络隔离下几种数据交换技术进行了比较研究。
1 网络隔离的原因
1)的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问。
2)安全防护技术永远落后于攻击技术,先有了矛,可以刺伤敌人,才有了盾,可以防护被敌人刺伤。攻击技术不断变化升级,门槛降低、漏洞出现周期变短、病毒传播技术成了木马的运载工具,而防护技术好象总是打不完的补丁,目前互联网上的“黑客”已经产业化,有些象网络上的“黑社会”,虽然有时也做些杀富济贫的“义举”,但为了生存,不断专研新型攻击技术也是必然的。在一种新型的攻击出现后,防护技术要迟后一段时间才有应对的办法,这也是网络安全界的目前现状。
因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥”,保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。
关于隔离与数据交换,总结起来有下面几种安全策略:
修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱;
防火墙FW:网络层的过滤;
多重安全网关:从网络层到应用层的过滤,多重关卡策略;
渡船策略:业务协议不直接通过,数据要重组,安全性好;
网闸:协议落地,安全检测依赖于现有的安全技术;
交换网络:建立交换缓冲区,采用防护、监控与审计多方位的安全防护;
人工策略:不做物理连接,人工用移动介质交换数据,安全性最好。[1]
2 数据交换技术
2.1 防火墙
防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,早期的网络安全控制方面基本上是防火墙。国内影响较大的厂商有天融信、启明星辰、联想网御等。
但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。
值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是服务器技术的一种,不让业务访问直接通过是在安全上前进了一步,但目前应用层的绕过NAT技术很普遍,隐藏地址只是相对的。目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,NAT的安全作用就不大了。
2.2 多重安全网关(也称新一代防火墙)[2]
防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。设计成一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。国内推出UTM的厂家很多,如天融信、启明星辰等。
多重安全网关的检查分几个层次:
FW:网络层的ACL;
IPS:防入侵行为;
Av:防病毒入侵;
可扩充功能:自身防DOS攻击、内容过滤、流量整形。
防火墙与多重安全网关都是“架桥”的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过“汽车”业务,从客户应用上来看,没有不同。
2.3 网闸[3]
网闸的设计是“+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有,这个不只是协议,而是数据的“拆卸”,把数据还原成原始的面貌,拆除各种通讯协议添加的“包头包尾”,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些“通讯外衣”,攻击者就很难藏身了。
网闸的安全理念是[4]:
网络隔离-“过河用船不用桥”:用“摆渡方式”来隔离网络。
协议隔离-“禁止采用集装箱运输”:通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用方式支持上层业务。
按国家安全要求是需要网络与非网络互联的时候,要采用网闸隔离,若非网络与互联网连通时,采用单向网闸,若非网络与互联网不连通时,采用双向网闸。
2.4 交换网络[5]
交换网络的模型来源于银行系统的Clark-Wilson模型,主要是通过业务与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单向或双向)。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。
交换网络的核心也是业务,客户业务要经过接入缓冲区的申请,到业务缓冲区的业务,才能进入生产网络。
网闸与交换网络技术都是采用渡船策略,延长数据通讯“里程”,增加安全保障措施。
3 数据交换技术的比较
不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。
参考文献:
[1]周碧英,浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18-19.
[2]潘号良,面向基础设施的网络安全措施探讨[J].软件导刊,2008(3):74-75.
[3]刘爱国、李志梅,电子商务中的网络安全管理[J].商场现代化,2007(499):76-77.
篇(3)
【关键词】办公网;技术网;防火墙;隔离
1.概述
1.1 当前网络状况
随着广播发射电台网络建设的发展,电台的业务需求也呈现多样化,台站网络按照规划一般分为两个网段:办公(OA)网和技术网。在现有的网络中,以一台H3C S5500交换机作为电台办公网的核心交换机,办公网通过H3C S5500上联MSR3020路由器,通过MSR3020接入全局广域网,H3C S5500与MSR3020之间采用Eudemon 200防火墙隔离。
技术网以一台三层交换机H3C S5500为核心,接入采用二层方式连接。改造之前办公网与技术网之间没有添加隔离设备,物理直接相连,通过静态路由协议互通。如图1所示。
图1 网络连接示意图
1.2 办公网与技术网隔离的背景
1.2.1 网络潜在威胁
由于计算机网络的发展,信息系统的不安全因素陡然增加。网络的不安全因素主要表现为下列几个方面:[1]
物理临近攻击。
内部犯罪。
信息泄露。
重放攻击。
篡改和破坏。
恶意程序的攻击。
系统脆弱性攻击。
网络安全隐患是全方位的,软件,硬件,人为等因素都会造成网络的故障,甚至是不可挽回的损失。我们现在需解决的是电台办公网与技术网的隔离问题,也就是说要保证办公网即使出现计算机病毒,恶意代码等也不会波及到技术网。反之技术网的安全威胁也不会波及到办公网。
1.2.2 隔离原因
在改造之前的运行环境中,技术网和办公网之间是通过静态路由互通的,两网之间没有任何的隔离措施。
根据无线电台管理局内网网络建设的要求,办公网和技术网的安全级别是不一样的。技术网主要部署安全播出服务器和控制终端,安全级别要求更高,技术网的网段地址不对外,只在台站内有效;办公网网段是全局广域网的,局机关与台站以及各台站之间都可以互访。因此为了保证网络安全,在办公网和技术网之间须要增加安全隔离措施,以尽量避免或减少病毒、攻击等网络威胁对技术网造成影响。
在两网之间,办公网用户与技术网用户不需要进行数据交换,办公网服务器与技术网服务器分别设有一台应用服务器实现数据库数据同步。因此,安全隔离措施将全部禁止办公网与技术网中其余用户和服务器的数据交换,只允许办公网应用服务器(即办公网通讯服务器,例如IP为10.2.72.149)和技术网应用服务器(即技术网通讯服务器,例如IP为172.1.72.5)之间进行数据传递。
2.隔离方案对比
根据电台办公网与技术网现状和需求,我们提出以下四种网络隔离解决方案:
2.1 物理隔离
物理隔离是一种完全断开物理上连接的方式,使得办公网和技术网相互不连通。在办公网需要提取技术网相关数据时,通过移动存储介质进行传输。这种方式的优点在于只要保证了存储介质和对技术网进行访问的相关人员的安全,就保证了技术网的绝对安全。
但是由于办公网需要读取的不仅仅是数据库中存储的数据,还包括服务器里实时变动的相应数据,所以采取此方式得到的数据都存在相当大的延迟,从某种程度上讲,得到的数据已经“失效”。
2.2 访问控制列表
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过,访问控制列表(Access Control List,ACL)就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分。
优点:此方案不需要添加任何隔离设备。仅需要在核心交换机上设置ACL,只允许指定的办公网服务器访问技术网服务器,禁止其余用户访问,配置灵活,维护方便。
缺点:对病毒和网络攻击的防御作用较小。
2.3 多功能安全网关
在办公网和技术网之间增加多功能安全网关设备,隔离办公网和技术网。
多功能安全网关工作模式为路由模式,采用静态路由方式。增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制列表过滤病毒端口。
优点:功能强大,整合了防病毒、IDS、IPS、防火墙等功能,降低技术复杂度。
缺点:不能有效防范内部攻击,过度集成造成误判率较高,降低了系统的可用性和稳定性。
2.4 防火墙
在办公网和技术网之间增加防火墙设备,隔离办公网和技术网。
防火墙配置路由模式,采用静态路由方式。同时,采用两种隔离规则:
(1)增加包过滤规则,对匹配办公网通讯服务器和技术网通讯服务器的网络流量允许通过,其余流量禁止通过,同时利用访问控制类别过滤病毒端口。
(2)通过NAT方式,对外隐藏技术网应用服务器地址,把该IP地址转换成一个其他地址,转换后办公网中只能看到防火墙转换后的地址,而无法看到原始IP地址,增强了安全性。
优点:性价比高,配置灵活,维护方便,安全性高。
缺点:功能较为单一,不能有效防范内部攻击和未设置策略的攻击漏洞。
2.5 方案对比和选择
为了提供最佳的解决方案,我们需要针对电台网络进行综合的分析,权衡利弊,才能提出一个理想的解决方案。
电台办公网与技术网之间数据流量并不大,办公网用户与办公网用户之间除了特定的应用服务器都没有数据交换的需要。但是数据交换具有偶然性、实时性的要求,除了读取数据库中保存的数据,还需要读中间件服务器中的实时变化的数据。综合考虑办公网与技术网的使用现状、流量、数据交换要求、经济性以及安全特性等因素,以上4种解决方案中我们建议采取第四种解决方案,即采用防火墙作为两网间的隔离设备,以达到安全防护的目的。
主要原因如下:
(1)物理隔离方式因为没有直接的物理连接最为安全,但其提供的数据交换不能够满足对技术网数据提取的要求。
(2)访问控制列表过于简单,只能单纯地过滤数据报,不能对报文作深度的监测分析,没有防病毒、抗攻击能力。
(3)多功能安全网关,具备强大的防火墙功能,安全性较高,但价格昂贵,配置复杂,过度集成造成性能下降,误判率高,增加了配置和维护的复杂性。
(4)防火墙功能强大,传输效率高,安全性较高,可对数据报进行深度的监测分析,具有抗病毒、抗攻击能力。
3.防火墙隔离详细设置
3.1 防火墙工作模式
针对电台站办公网与技术网现状,防火墙采用路由模式工作,因为只有采用这种工作模式才可以利用NAT技术进(下转第169页)(上接第165页)行地址转换,实现隐藏技术网地址的目的。
在路由模式下,防火墙必须设置接口IP地址。它除了具备路由器的数据包转发功能外,同时解析所有通过它的数据包,增强网络安全性。见图2所示。
图2 防火墙隔离示意图
3.2 IP地址和路由协议使用
防火墙采用路由模式时与之连接的接口必须配置IP地址,防火墙采用静态路由协议与办公网和技术网互通。
接口地址表如下:
办公交换机S5500,端口为GE0/0/19,IP地址为10.2.72.17;
防火墙,端口为GE0,IP地址为10.2. 72.18,端口为GE1,IP地址为10.2.72.21;
技术交换机S5500,端口为E1/0/2,IP地址为10.2.72.22。
NAT地址表:内部地址为172.1.72.5;外部地址为10.2.72.120/29
参照接口地址表和NAT的地址表,路由协议配置规则如下:
(1)技术网核心交换机S5500配置静态路由,规则配置为:去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.21。
(2)防火墙配置静态路由,规则配置为:去往目标网络地址172.1.72.5,下一跳地址为10.2.72.22;去往目标网络地址10.2. 72.149,下一跳地址为10.2.72.17。同时,设置NAT地址池将地址为172.1.72.5放置在地址池中,转换成地址为10.2.72.120/29绑定在出方向GE1接口,设置global地址10.2.72.121转换成inside地址172.1.72.5。
(3)办公网核心交换机S5500设置静态路由,规则配置为:去往目标网络地址10.2. 72.120,下一跳地址为10.2.72.18。
3.3 NAT配置
在本防火墙设置中,可以把技术网看作一个内部网络。
NAT就是在技术网中使用内部地址,而当技术网节点要与办公网节点进行通讯时,就在防火墙处将技术网地址替换成一个另外的地址。
通过这种方法,NAT对外屏蔽了技术网网络,所有技术网计算机对于办公网来说是不可见的,而技术网计算机用户通常不会意识到NAT的存在。
在这次改造过程中,我们可在防火墙上配置NAT,针对技术网配置地址转换,技术网应用服务器,IP地址为172.1.72.5,可以看作是内部地址,通过地址转换,转换成IP地址为10.2.72.121的全局地址。
对于办公网来说,办公网只知道技术网应用服务器转换的地址,而不知道真实的地址,这就提高了网络安全性,确保了技术网内服务器的保密性,隐藏了技术网内真实的IP地址。
以上设置能够保证技术网服务器正常访问办公网服务器,同时办公网服务器也能正常访问技术网服务器,而办公网中只知道去往地址的路由,并不会知道技术网服务器的存在,这样就利用防火墙保证了办公网和技术网的安全性和独立性。
4.结论
办公网和技术网隔离的改造完成之后,保障了办公网用户终端安全的使用,技术网应用系统可靠稳定的运行,对电台网络安全建设发挥了巨大的作用,为电台的安全播出工作做出了重要的贡献。
参考文献
篇(4)
【关键词】广州亚运会 800兆数字集群共网 应急联动 TETRA 无线基站
1 概述
美国“9・11”事件后,政府职能部门应急联动和城市的安全管理逐步引起了各国政府部门的关注,随着目前国内经济的持续发展,城市人口和规模的不断扩大,举办各种大型公众活动,迫切需要建立一套适应多用户的公共应急调度指挥系统。广州是中国继北京之后第二个取得亚运会主办权的城市,即将迎来2010年11月12日至27日举行的第16届亚运会,在此背景下,广州市800兆数字集群共网系统应运而生。
2009年9月29日,广州市政府与中国电信广东公司800兆数字集群共网项目举行了合作签约仪式,共网系统将采用“市政府主导,企业运作,政府集中购买”的运作模式,中国电信广东公司负责投资建设,广州市信息化办公室统筹使用,使用期限为2009年9月21日到2025年12月31日,这标志着广州市800兆数字集群共网项目的正式启动。2010年,广州市800兆数字集群共网建成后,首先为广州亚组委成员单位提供高质量的指挥调度服务,同时也将向政府机关、公安、交管、消防、城管、交通运输、水利、电力、防灾抗洪等部门提供日常指挥、调度、应急联动等相关移动通信服务。
2 网络概况
经过公开招标,广州市800兆数字集群共网系统全面选用欧洲宇航安全网络公司(EADS)的数字集群技术和产品,由中国电子科技集团公司第七研究所负责本地化技术服务。广州市800兆数字集群共网系统采用TETRA技术体制组网,使用800兆频段,整个无线网络共建设了195个基站,20个室内覆盖基站,并配置2台车载移动基站,对广州市辖区内进行整体无线网络覆盖,网络覆盖广州市党政军机关、事业单位、外事机构、体育场馆、车站、港口、大型企业、商业、住宅区和高速公路、国道、省道等。
该系统建设内容涵盖:2个EADS TETRA交换机,将亚运保障等重要基站通过环型拓扑同时接入2个交换中心,同时将其余基站通过DXC交叉连接设备分别接入2个交换中心,如图1所示。系统包含80000用户的归属位置寄存器(HLR),并实现了镜像备份,1套网管系统,22套网管终端,1个超级调度台,7个无线虚拟网通信管理调度台,1个配置和数据分配服务器,1个鉴权密钥分发服务器,1个TETRA互连服务器,1套终端编程(烧号)工具,2套DXC数字交叉机等。
随着广州亚运会日期的临近,广州市800兆数字集群共网系统网络建设工作已接近尾声,公安等指挥调度系统的接入工作正在调试中,目前共网系统已通过广州市政府委托第三方组织的验收测试工作,虽然广州市800兆数字集群共网系统处在工程验收后期和试运营同步阶段,但共网系统的运营工作已全面启动。
3 网络建设和运营
与北京和上海相比,广州市800兆数字集群共网系统的建设周期体现了时间紧、任务重两个特点。时间紧方面,北京自2003年开始,到2008年奥运会,约有5年半时间;上海自2006年开始,到2010年世博会,约有4年时间;而在广州,广州市政府与中国电信广东公司于2009年9月签订合同,11月广东公司进行主设备招标工作,到2010年11月亚运会,仅有1年时间。任务重方面,北京首期工程仅建设了90多个基站;上海首期工程仅建设了133个基站;广州在4个月内将建设195个基站,同时需成功建设两台集群应急通信车,距2010年11月亚运会仅有6个月的网络优化和调整时间。
回顾广州市800兆数字集群共网系统的建设过程:2009年11月底主设备采购合同签订后,同时广州市800兆数字集群共网项目建设工作立即启动,2009年12月广州市800兆数字集群共网示范站即开通,2010年4月网络即进入了电信内部组织的网络验收测试阶段。这样,仅仅用了3个月时间,完成了广州市800兆数字集群共网的基本建设工作,创造了集群史上的广州速度,为广州亚运保障提供了有力支持。
自2010年5月11日起,广州市科技和信息化局委托广州广电计量测试技术有限公司和广州市无线电监测计算站分别对共网项目的网络覆盖、系统功能和服务展开测试验收,验收主要内容涵盖了调度业务、数据业务功能、虚拟专网、安全、互联互通等100多项系统功能测试,接续质量指标、传输质量指标等网络性能测试以及制度流程、维护流程、维护驻点、监控客响流程、应急车调度、覆盖测试和亚运保障区域的网络压力测试等内容。目前,广州市800兆数字集群共网系统已正式通过广州市政府验收工作,并于2010年5月28日在广东电信广场召开了启用大会,这标志着广州市800兆数字集群共网系统进入了运营阶段。
截至6月18日,接入网络的正式用户都是公安用户,目前广州市800兆数字集群共网全网话务量比较低,排队率现象也比较少。此外,除了工程尚未完工还不具备运营条件的个别基站外,在网基站运营情况良好。
4 结束语
广州市800兆数字集群共网系统的成功建设和运营将缓解专网系统的网络容量小、频率资源浪费、重复建设等问题,也可以减少专网的维护和运营成本,为企业和社会节约资源。广州市800兆数字集群共网系统将在广州亚运会的通信保指挥调度障中发挥重要作用,日后也会很好地承担起广州市城市应急联动、政府无线政务网的相关职能。广州市政府与中国电信广东公司的共网系统运营模式,也将对珠三角乃至华南地区数字集群共网系统起到示范效应。
参考文献
[1]唐云蜂. 800兆Hz数字集群通信系统规划建设思考[J]. 中国无线电,2008(11).
[2]郑祖辉. 城市应急联动和数字集群通信[J]. 数字通信世界, 2005(12).
篇(5)
论文摘要:随着信息技术的不断发展,学校如何更好的利用内部网络服务成为摆在学校面前的重要课题。本文通过对学校网络建设现状及vpn技术的分析介绍,在如何利用vpn技术为学校搭建网络应用安全通道进行了探索。
随着信息化时代的到来,以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势,正在日益深人人们的生活。同样,由于信息技术的巨大作用,它也被广泛应用于学校的各种活动之中。当然,网络技术同时也存在很多缺点,比如网络安全问题,就成为影响学校信息安全的潜在威胁。因此,学校在利用网络技术的同时,
一定要注意研究和防范其缺点和不足。
i、我国学校网络建设的基本情况和特点
应该说,我国学校网络建设起步时间较晚,但是发展速度十分迅速,笔者总结出我国学校网络建设的基本情况和特点如下:
1.1建设的普遍性
据一项不完全调查显示,目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设,不仅仅指学校的门户网站或者学校主页,而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说,随着网络技术的进一步普及,学校已经意识到建立自身独立的网络系统的巨大意义,能够主动投人人力物力,聘请专业机构针对本学校特点研发、部署网络系统。
1.2应用的广泛性
目前我国学校在创建独立网络体系的同时,非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、ip电话、学校推广等等,极大地丰富了校园网络的应用手段,拓展了应用领域。
1.3安全意识提高
从国内市场主流网络安全技术销售情况可以看出,全社会网络安全意识正在逐步提高,一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范,一方面体现出学校的观念正在逐步改进,另一方面可以看出,我国国内的网络安全市场仍然具备较大的拓展空间。
1.4交流的多样性
学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网,而内部网络是学校独立的网络系统,俗称内网。随着交流的不断增多和办公形式的多样化,越来越多的用户希望能随时通过互联网接人校园网,实现远程办公。而在当今日益繁多的网络技术中,vpn技术由于具备自身独特的优势,可以很好地满足建立学校网络安全通道的需求。
2,vpn技术
2.1基本情况
vpn仅irtualprivatenetwork),即虚拟专用网,被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。vpn主要技术包括隧道技术与安全技术。简言之,通过利用vpn技术,可以在学校内部网络与外网之间建立一个虚拟的安全通道,实现学校充分利用校内网络系统的要求。
2.2独特优势
vpn技术是比较新的网络技术,具有许多以往网络虚拟技术所不具备的优势,具体说来,主要体现如下:
第一,可以最大限度地保证学校网络系统的安全运行。在前文中,笔者谈到学校关心网络安全问题,能否保证学校网络系统运行的稳定和安全,将是这项技术能否被大范围推广和使用的关键。在vpn技术中,学校可以在内部服务器上实现对用户资格的认证,同时,在网络运作过程中。 vpn技术还可以支持点对点加密及各种网络安全加密协议,如ipsecarity,这可以最大程度上保证学校网络系统的安全运行。
第二,可以降低学校网络运行维护的成本。由于vpn设备本身带有路由功能,可以有效地减少学校内部网络与互联网连接时需要的网络配置设备,对一些传统设备,vpn技术也可以很好地实现兼容。在虚拟网络运行过程中,由于其稳定性良好,不需要学校付出大量成本进行维护,因此可以极大地降低学校网络成本。
第三,可以实现学校网络系统功能的提升。学校网络系统应用vpn技术,可以将学校内部的网络设备与外网实现安全互联,同时也可以将学校分支机构的网络设备进行有效连接,主要部门通过对于vpn权限的控制,可以有效地掌控学校网络系统的运行情况,并依托学校网络进行各项活动,从而实现对学校网络功能的进一步扩展。
3、学校如何利用vpn技术
既然vpn技术具有许多优势,非常适合运用于学校网络建设,那么学校应该着手对这项技术的应用进行研究。笔者认为,我国学校运用vpn技术没有固定的模式和套路,应该依据学校自身的情况和特点,制定出相应的使用方案。但是,学校在使用vpn技术的过程中,还是可以找到一些共性的原则。
篇(6)
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王 单位:赛迪智库电子信息产业研究所
篇(7)
由陈嘉庚先生创办的集美大学,经过十年网络建设,终于将这块骨头啃下一大口。这所几万人的高校,在国内熊猫烧香病毒肆虐期间,竟然靠校园网全网安全架构平台的整体效能,抵挡了病毒传播,全校网内没有发生熊猫病毒网内传播。
看起来的确神奇,究竟是一种什么样的技术,在集美的应用中显示出出众的安全防护效果?它又是如何部署应用于复杂的校园网络之中?
下面以集美大学网络为例,详细解析校园网络中,GSN全局安全系统平台的搭建部署秘诀。
GSN全局安全网络
总体而言,GSN由锐捷安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、RG-WALL防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。GSN通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。
当接入网络的用户终端发生安全攻击事件时,安全管理平台(RG-SMP)将针对这一安全事件进行判断,以确认选择调用何种安全策略来处理。
当用户终端接入网络时,锐捷安全客户端(RG-SA)会自动检测终端用户的安全状态,一旦检测到用户系统存在安全漏洞,安全管理平台(RG-SMP)会通过网络自动将受损用户从网络正常区域中隔离开来,被隔离的用户将被自动置于系统修复区域。
当网络中有新的网络访问行为时,该行为的相关信息会被安全客户端(RG-SA)有效捕获,并通过E-MAIL、管理日志等方式通知管理员。同时GSN能及时的捕获到网络的环境变化,一旦检测到网络流量异常,RG-SA安全客户端会自动截取网络流量报文进行分析,从而有效地阻断DDos或未知的网络安全事件。由这个网络访问行为产生的对应安全策略会自动匹配到系统当中。在今后发生同样的网络访问行为时,系统就能自动调用相应的安全策略来处理。
GSN全局安全系统部署
1.GSN系统组成及原理
该方案由六个组件构成。
1) 认证计费管理平台(RG-SAM)――提供用户身份、地址、端口绑定功能,并能提供基于校园网特性的计费策略;
2) 安全策略平台(RG-SMP)――对发现的安全事件进行判断,以确定调用何种安全策略进行处理;
3) 安全修复平台――对于触发安全事件的用户,将其隔离到安全修复平台,自动对其进行修复;
4) 入侵防御系统(IPS)――负责对全网的用户行为进行监控和记录,将网络中存在的网络攻击、异常流量、蠕虫病毒、P2P应用等安全事件通告给安全策略平台;
5) 安全交换机(RG-Switch)――对于安全策略平台下发的策略进行处理,实时对网络用户的安全事件进行阻断或隔离;
6) 安全客户端(SU)――对用户的安全行为进行告警和提示,并能够对安全策略平台下发的补丁、软件自动安装运行。
该方案涉及的安全保障体系:
1) 身份认证――用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台,为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告――用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警――安全策略平台收到用户的安全事件后,将根据预定策略对用户进行告警提示;
6) 自动阻断(隔离)――在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发――被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
2.校园网部署步骤
宿舍网部署
•新建宿舍网的部署――对于新建宿舍网,在接入层部署锐捷安全交换机,配合GSN管理平台,实现了全部的安全管理功能。
•旧宿舍网改造――楼栋汇聚交换机替换为锐捷安全交换机,配合GSN管理平台,在保护原有投资的前提下,实现了最紧迫的安全管理功能。
办公网部署
•办公网部分集中在区域汇聚交换机上进行认证,暂不考虑隔离、阻断功能。这样可最大限度地保护现有投资。
•通过对用户的身份绑定,可获得最基本的网络安全保护功能。旁路IPS检测到的安全事件,将在安全策略平台上进行统一呈现,系统将自动对用户进行告警,管理人员可通过手动方式进行处理和审计。
公共机房部署
•新建机房――新建机房在接入层部署锐捷安全交换机,配合GSN管理平台,可实现全部的安全管理功能。
•原有机房改造――为保护原有投资,在每个机房增加一台汇聚交换机,实现最为紧迫的安全管理功能。
在具体到每一个用户网络的应用环境时,还应针对用户网络体系结构进行具体分析,将可扩展性、网络性能、可管理性等周边因素都列入到考虑范围之内,在GSN架构上进行灵活机动的配置,开发出一个多层防御体系,进一步提升GSN的适应性。同时考虑到对用户已有IT投资利益的保护,用户可以分步实现GSN的整个架构,从网络的核心层、汇聚层或终端层面逐步采用GSN全局安全解决方案,而不影响到网络系统的正常使用。
应用点评:校园网安全需要全局考虑
面对复杂的网络安全行为,智能化是全网安全防护系统的核心。最有效的防御策略是将各种网络安全防御技术智能化联动应用于整个网络中,而不是在单点进行网络安全的防护部署。
集美大学网络中心主任李斌奇介绍,在集美GSN校园网成功实施后,集美校园网络整体实现了全网统一认证和全局安全部署。通过GSN系统,从接入层就对用户和计算机进行安全审计,只有合法用户和健康的计算机才能进入校园网。
