企业内部网络(精选8篇)
企业内部网络 篇1
0 引言
燃气企业自身的特性,在企业的日常运作中,需要在企业内部运行相关的行业软件,比如燃气工程信息管理系统、燃气管网信息系统等。因此,在内部网络的建设方面,它与其他企业具有很大的不同。这就要求燃气企业在建设内部网络时,根据自身的行业特点,提出整体性好、安全性高的建设方案,从而推动燃气企业的良好发展。
1 企业内部网络概述
企业内部网络,人们一般将其简称为内部网,它指的是只供某个企业内部专门使用的网络。通常情况下,内部网络的主要基础为IP协议或者TCP协议,然后以互联网为核心使用,在企业中建立一个统一的信息数据交换平台。企业内部网络可以提供多种服务,比如网络管理(包括电子邮件、WEB交互等)、企业内部的打印、广域互连等。
企业建立内部网络之后,具有多方面的作用,比如可以有效提升企业信息交换的能力,实现上下级、各个部门之间的数据共享,还能有效提高企业内部的通信能力。据相关部门的统计结果发现,企业内部网络的投资回报率非常之高,可以达到1000%以上。因此,建立企业内部网络意义重大。
2 燃气企业内部网路建设的原则
燃气企业在建设内部网络时,为了保障其应用效果,必须要遵循以下三个方面的原则。
2.1 良好的可靠性
燃气企业建立内部网络后,企业各部门资料的共享、内部相关行业软件的运行都需要借助企业内部网络平台,这就要求其具备良好的可靠性,避免内部网络出现故障导致企业业务中断。因此,在建设企业内部网路时,需要提供良好的数据备份和恢复方案,同时考虑各个交换机之间的冗余链路,比如核心交换机和汇聚交换机等。
2.2 较强的管理性
燃气企业在建设内部网路时,为了保障其运行质量,要确保其设计合理、简单,为后期维护工作的开展提供重要的保障。比如出现网络故障时,可以快速、准确地找到原因,并且采取有效的措施加以解决,确保燃气企业各项业务工作的正常开展。
2.3 较好的弹性
燃气企业是处于不断发展中,随着内部业务的不断扩展,其客户端的数量也会随之增加,这时对企业内部网络就提出了更高的要求。这就要求企业在建设内部网络时,具有一定弹性,比如在设备选型、应用系统建设等方面,均要有一定的弹性,为日后的内部网路扩展提供良好的保障。
3 燃气企业内部网络的架构目标
燃气企业内部网络建设是实现燃气企业向标准化管理方向发展,管理方法向精细化方向发展,实现管理和决策过程更具智慧。网络的架构目标是运用先进的智能感知,网络通讯与射频标签等先进技术,对原有的SCADA系统,GIS系统,CRM系统等,OA系统进行关联,建立健全物联体系,对燃气管网各个要素进行监控与智能提示、预警、操控,减少事故的发生;实现对燃气各种数据(地理、档案、实时数据)的集成,方便数据共享和综合分析,为企业正常运行提供数据支持,为企业决策提供有力的实证支持;对燃气使用的各个流程加强生产与运营的过程控制,对生产调度流程进行优化,提高企业应急处理的能力,进而提高客户的满意度。全面实现燃气企业的智能集成管理。
4 燃气企业内部网络的建设
内部网络的建设是一项复杂的工程,直接关于企业各项工作的开展。因此,在建设企业内部网络时,需要做好以下几个方面的工作。
4.1 确定内部网络的构架
燃气企业建设内部网路之后,需要在内网平台中运行相关的管理系统,保障各个部门之间的数据传递、共享。为了保证各个系统的安全、正常运转,在内部网络的建设中,需要确定其构架。通常情况,主要是通过冗余链路设计来实现具体构架,同时确保各个部门具备自己的共享空间,并且保障只有本部门的职工才可以访问这些共享空间的信息。因此,在燃气企业的内部网络架构中,需要全交换三层网络结构,主要涵盖三个层次,分别是核心层、汇聚层以及接入层。
4.2 不同层次的设计
燃气企业内部网络建设中,确定其构架后,就需要对每个层次进行设计,保障每个层次功能的正常发挥。第一,在核心层的设计。需要在企业中心机房部署2台核心三层交换机,从而有效保证企业内部网络负载的均衡,同时确保其单点失效保护。第二,在汇聚层的设计。主要采用无网关协议二层交换机,主要分布在办公楼的各楼层间。在汇聚层结构的冗余节点备份连接中,应与核心层保持一致,同时一台汇聚交换接对应两个核心交换机,从而有效避免黑洞的产生,并且实现以最快的路由收敛。当一台接入交换机上行链路故障时,所有流量将从另一侧的交换机上行,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于可靠性要求高的网络,也可在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。第三,接入层的设计。它主要指的是各部门办公室接入交换机,主要采用二层交换机,一般分布在各个部门的工作区内,从而有效保障其功能的良好发挥。一台接入层交换机所连接的汇聚层交换机,既可以是单台,同时又可以是多台。桌面客户端一般都是通过网络的连接来接入该层。当接入层的数量增加时,可以在接入层增加交换机,然后与汇聚层的交换机相连,就可以实现扩展。在接入层为企业内网各部门客户端统一安装windows2003操作系统,同时全网采用域管理模式,优点是可以为企业不同的用户配置不同的访问权限,例如,公司主管,网络的访问权限就应较大,可以访问核心部门的共享资源,以确保内网安全。
4.3 内部网络建设设备的选择
核心层:采用两个Cisco Catalyst 4500交换机,提供冗余链路以实现内网负载均衡。
汇聚层:采用两个Cisco Catalyst 3750E交换机,其提供自动配置智能网络服务功能、支持融合网络模式,能够完美处理来自接入层设备的所有通信量,并提供到核心层的上行链路。
接入层:为各部门采用Cisco Catalyst 2940交换机,其可在整个网络范围中提供企业级智能服务、先进的IP路由和以太网供电功能。由于接入层交换机的作用主要是提供终端用户连接到网络,因此,必须具有高端口密度和低成本特性。
4.4 做好 IP 规划和 VLAN 划分
4.4.1 IP 规划
第一,企业要做好内部网络的IP规划,根据企业的硬件设备,比如客户端、交换机、路由器等,根据每一设备的实际情况指定适当的VLAN,为了便于日后的维护和管理,IP地址要易于记忆。第二,为了便于后期的划分,在原有的基础上建立若干个子网,指定IP地址分配策略。第三,建立有效的MAC地址、IP地址、用户名等对应表格,从而有效提升其管理效率。
4.4.2 VLAN 划分
VLAN,指的是虚拟局域网。企业内部网络采用VLAN,具有多方面的优势,比如可以有效提升内网的安全性、进一步简化网络管理、灵活构建虚拟工作组等,从而被广泛应用于内部网络的建设中。
企业在燃气企业内部网络的建设时,需要做好VLAN划分,实现虚拟工作单元之间的数据交换工作,从而有效提升燃气企业内部网络的正常运行。
4.5 网络安全的设计
燃气企业建设内部网络时,必须要保障其网络安全,确保企业各项业务的正常运转,这就要求加强网络安全设计。第一,采用多种安全保密技术。燃气企业要根据自身的实际情况,采用多种安全保密技术,比如加密技术、入侵监测技术、网络防火墙技术等,从而有效提升企业网站的防范能力。第二,建立健全保密制度。燃气气压要在内部,针对员工建立健全保密制度,从而保障企业的稳定、健康、可持续发展。第三,加强日常管理。燃气企业要做好内部控制工作,不断加强日常管理,同时协调好企业内部的固有网段,确保内部网络的安全。
5 结语
综上所述,燃气企业内部网络的建设是一项比较大型的网络工程。在建设的过程中,需要遵循良好的可靠性、较强的管理性、较好的弹性三个方面的原则,然后从确定内部网络的构架、不同层次的设计、做好IP规划和VLAN划分、网络安全的设计四个方面着手,做好燃气企业内部网络的建设工作,保障燃气企业内部网络的良好运行,推动其健康、稳定发展。
企业内部网络 篇2
关键词:信息安全 企业网络安全 安全防护
1 企业内部网络存在的安全问题
绝大多数企业对于网络安全的重视度不够,一般都是通过采购防火墙等设备堵住来自Internet的不安全因素。其中,常用的企业网络安全防范较多时候是通过设置来预防的,主要针对来自网络的病毒和通过系统漏洞的非法入侵检测等方面的不安全因素,这就需要我们除了采用安全措施和相关配置在网络与外部进行连接的端口处进行操作外,还要采取该形式安全因素进行防范以此避免外部可能所带来的安全威胁,但是往往却忽视了内部网络所存在在的安全问题。
为了解决内部网络安全问题,我们除了要提高企业管理人员的网络安全防范意识外,还需要重视企业内部网络安全问题。为了改变现状,可以采取有效的措施对企业内部网络安全进行管理,避免因为网络管理不安全所带来的事故,真正做到避免对企业的重大经济损失和社会的负面影响,确保企业内部网络不受任何非法侵害,这也是现代企业在进行信息化建设过程中最需要解决的问题。
2 内部网络将面对的威胁
随着信息化技术的不断发展,网络建设逐步成为企业内部在进行信息化过程中不可缺少的。而且,由于网络应用程度的不断增加使企业网络面临的安全隐患也不断增加,造成网络的不确定因素。
2.1 内部网络的脆弱。企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,由于部分网络管理人员对于企业内部网络安全防范疏于监管和对防护措施的更新,使得大部分的计算机终端都面临着严重的系统漏洞问题,同时随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2 用户权限的不同。企业内部网络的用户都有自己使用的权限和防止被别人使用的权限。因此,我们需要对用户权限进行统一的控制和管理,不然就会造成不同的应用程序被非法破译和越权操作。也正是设置权限不一,才导致整个内部网络需要多次识别身份认证。同时,对于那些拥有身份认证较弱的用户,极易被攻击,黑客一旦通过基层身份打入内网,就会实现越权操作。很多黑客有机可乘都是因为企业的信息安全部门的服务器管理不到位造成的。
2.3 分散涉密信息。部分企业内部网络的涉密数据储存一般都是分布在不同的计算机终端中的,并不是将这些涉密信息存储到服务器中,这就需要我们有着严格的监督制度进行管理。这样才会有效地对日常办公的涉密数据进行统一管理,不会给盗窃涉密信息的人员制造大量的攻击机会。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里,企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度。
3 企业内部网络安全防范设计方案
3.1 网络安全防范总体设计。企业内部的网络综合的运用就是对入侵检测系统以及漏洞扫描系统等进行防护,以此保证企业内部网络之间的数据通信的绝对安全。这就需要我们根据企业自身的特点,进行内部网络安全的防范方案,就需要我们应用部署硬件加密机。这样除了保证企业内部网络中的所有数据通信能够进行加密处理外,还能保证企业内部网络的安全可靠。
3.2 网络安全体系模型构建。一般来讲,企业内部的防卫能力,从安全策略角度表现为两个方面:一个为总体的安全策略和具体的规划,总体安全策略制定一个组织结构的战略性安全指导方针,并成为这个方针实现分配的必要人力和物力。一般通常采用以下两种方式,即物理隔离和远程访问控制。
物理隔离:所谓的物理隔离,就是我们在网络建设的时候建立在两套相互独立的网络上,另一套用于连接到Internet,在同一时候还能始终只有一个硬盘处于工作状态,这样就能真正到达意义上的物理安全隔离。
远程访问控制:①用户身份识别。在通过对用户身份进行识别时候,就是在确保内部网络安全稳定运行的基础上进行的,也是保证能够正确确定用户身份的辨别。这样能够避免因为客户端用户数量的不确定,而导致的存在不安全和不确定的隐患。因此,对于网络客户端用户的身份识别是重中之重。②用户授权管理。用户在进行授权管理的时候,我们必须要以身份认证为基础,然后对用户所使用的企业内部管理的数据资源为基准进行的,因为每个用户对应着的权限不同,就需要根据不同的权限进行不同的操作。③数据信息保密。企业内部网络信息安全管理中的核心部分就是数据信息的保密工作是否到位,为了确保安全,就需要我们对企业内部网络中的数据通信进行统一的安全管理,以此保证对企业内部网络涉密信息和知识产权信息进行高效率的保护。④实时监控审计。在进行实时监控设计的时候,需要我们对企业内部网络的安全进行实施的监控,以此形成企业内部网络安全的评估报告,为以后出现安全事故的时候提供有效的分析判断依据。
4 安全防护手段的信息技术
4.1 完善管理:企业进行内部网络管理制度的完善工作,主要就是保障网络完全的基础。其中安全管理我们可以从信息化安全技术和设备管理,制定严格的内网安全管理制度、信息化管理人员的组织等方面进行网络安全的有力防范。其中管理的制度化极大程度地影响了整个网络的安全,这样能够在一定程度上降低网络安全漏洞。而各个单位针对自身的安全风险,就需要制定一系列属于自身的安全策略和安全制度来保障自身企业的网络安全。
4.2 网络分段:内部的局域网大部分采用的都是以广播为基础的以太网进行监测的,但是在以太网上任何两个节点之间的通信数据包都可以被任意截取。当黑客只要接入以太网上的任意一个节点的侦听,就可以捕获所有的数据包,然后分解数据包,从而窃取重要的信息。网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式,其中物理分段是指利用中心交换机的访问控制功能和三层交换功能,来实现对局域网的安全控制;逻辑分段是指路由器上的网络分段,主要是IP的分段。
4.3 主动防御型安全产品。硬件防火墙:就是把防护程序做到硬件里面,由硬件来执行这些功能,由此减小CPU的负荷,这样可以确保运转稳定性能。而防火墙程序主要是介于两个网络之间的设备,也是监控两个网络之间的通信能够顺利的进行。我们可以通过防火策略确定,可以较为有效地阻止外来网络病毒的恶意攻击与非法入侵,这也是进行对外网主动防御的最初应用。
IDS入侵检测系统:IDS入侵检测系统主要是为了监测内网的非法访问而开发的一种设备,是依照入侵的检验识别库的规定对其中是否含有的非法访问进行的判断。监控者只要经过监测到的数据,进行网络安全状况的判断,然后以此评估是否进行安全防护的制定。而IDS与硬件防火墙的区别,就是IDS是基于主动防御技术中更高一级的应用。
杀毒软件:在病毒越来越猖狂,破坏力越来越强大的严峻现状下,较为陈旧的固定模式让传统的杀毒软件已经无法实现完全保护计算机安全的重任。因此,杀毒软件制造商才推出集合了主动防御技术的软件,不过他们的主动防御技术只是对网页、注册表、恶意脚本增加了监测功能而已,而这些只是最初级的主动防御应用,距离真正的主动防御也还有一定的差距。
一个可以在信息安全实践中依据建设的蓝图,为每个网络建立一套完善的网络安全体系。网络安全体系是融合技术和管理在内的一个可以全面解决安全问题的体系结构。这样才能较为完善的保障内部网络的安全性。
5 结束语
综上所述,网络信息安全领域研究的热点问题一直都是关于企业内部网络的安全防范问题,该问题也是越来越多的企业开始重视的问题。因此企业工作人员需要提高安全防范意识,避免给企业内部网络带来更多地安全隐患。
参考文献:
[1]杨维永,林为民,陈亚东.Linux系统下高性能加密系统框架研究与优化[J].计算机与现代化,2010(4).
[2]余文峰.浅谈加密机在金融网络中的应用[J].信息安全与通信保密,2009(12).
[3]张朝阳,宋翠平.内部网络安全问题与防范[J].广播电视信息. 2009(02)
作者简介:
机场企业内部网络的安全策略 篇3
关键词:机场企业,内部网络,安全策略,综合研究
随着通讯技术的不断发展, 民航企业也逐渐朝着信息化、综合性的方向发展。为了能够给旅行者带来一个更加舒适的高质量环境, 许多机场企业都建立了完善的网络信息安全系统, 对传统设备进行更新, 以达到促进企业进步的目的。另外, 传统设置方式也使得网络管理中的风险性增加, 由此机场企业网络安全策略的提出势在必行。
1 机场企业内部网络的管理现状
随着经济的不断发展, 机场在人们生活中的应用性越来越广泛。以首都机场为例, 在现有条件下, 其内部总体流程都得到了不同程度的规划。网络信息作为机场企业的核心领域, 只有加强管理与控制才能够实现科学化建设。自从进入2000年以来, 信息化管理在航空领域的体现愈加突出。由于用户数量的增加以及业务的扩展, 单一的管理模式已经不能够满足目前的发展情况。网络业务的弊端主要表现在以下几个方面:
(1) 原有网络处理系统的速度过慢, 信息输送路径已经不能够满足用户数量的增加。
(2) 原有设备出现故障的情况更加频繁, 并且无法在恶劣的网络环境下运行。在整修的过程中, 会极大程度上浪费管理人员的时间。
(3) 现代化的机场企业要求信息的全方面把控, 管理者为了更好的操作, 要对关键业务进行指导。在现有网络的发展下, 视频是一个极其便利的方式。而目前设备无法处理高要求的视频业务。
(4) 传统设备大多以“粗放型”的管理方式运行, 管理者无法从全方面把控用户的信息, 甚至还会发生因网络风险而出现的端口接入失灵情况。第五, 对于机场企业的内部网络安全设备来说, 它需要具有高度专业性的代理商支持。但目前大多数代理商都无法满足这一要求。
2 机场企业内部网络安全策略的综合性研究
2.1 对数据业务网进行防控
对于企业内部的网络管理而言, 数据的完整性与准确性是安全保障的必要前提。机场信息在互联网中呈现出来, 就不可避免的会出现一些安全问题。其中以“病毒和黑客的侵袭”为主, 对机场企业内部信息进行盗取的情况时有发生。为了避免此情况的出现, 需要在网络系统之中安装防火墙进行控制。从结构上来看, 防火墙主要采用的是网络拓扑的形式。它主要是通过网络控制系统使无线通道增加, 根据信息数量的多少来决定输送隧道的类型。如果数据传输量过大, 企业管理者应该采用大型隧道进行输送。反之, 则采用小型隧道进行输送。另外, 管理者可以加强风险的监测与安全性控制。为了使系统运行的安全性提升, 设计人员要对内部网络结构进行重新规划。首先, 按照数据的类型进行等级划分。将数据分为高、中、低三等, 等级越高, 就说明重要性越强。其次, 对数据信息的浏览者进行约束。按照企业机场内部的职务进行管理与划分, 将浏览用户分为VIP用户与普通用户两类。企业的高层人员, 包括各部门的管理者可以对高等级数据进行浏览, 而普通用户只能对中低两个等级的信息进行浏览。这样也能够在一定程度上确保数据的相对安全。另外, 为了防止敏感信息的泄露, 管理人员应该根据数据的不同属性进行分类。将其中性质不同的数据过滤出去, 再将剩余的数据进行加密。同时, 防火墙的设置也是非常必要的。它相当于航空办公中心与数据之间的纽带, 在其内部有着相对独立的操作程序。系统会对程序进行自动检验, 如果数据中携带一定的病毒, 防火墙可以将此部分内容隔绝在系统之外, 保障内部网络的完整性与健全性。
2.2 建立系统专用加密网
不管是在哪种类型的企业之中, 加密网络系统的建立都是必不可少的。从整体内容中来看, 机场企业里涉及到许多用户的真实信息, 如果不采用有效的加密方法, 会为用户带来一定的损失。虚拟加密专用网的建立主要分为以下几个步骤:
2.2.1 内部用户访问器的设置
如果想要对内部用户的信息进行访问, 需要建立双方的同意协约。不仅要求访问者要输入相应的密码, 系统还要对用户的同意书进行查看, 在双重保证的情况下才能够予以访问。
2.2.2 在专用网络上建立加密隧道
加密隧道的建立基础主要是数据安全传输的前提下。专用隧道可以对机场企业的内部信息进行统一管理。当非法用户侵入时, 系统会进行自动预警, 并且对侵入者的IP地址进行跟踪。在位置锁定后进行提示, 其中指示灯会由绿色变为红色, 并且以长时间鸣叫的形式进行防控。
2.2.3 为企业管理者提供网络信息加密授权的方式
系统可以采用数据与地址对应的方法检查内置网络信息的真实性, 内置系统有自我保护的功能。管理者可以对服务系统进行授权, 在专用密码报送的基础限制外部的违规行为。
3 结论
综上所述, 为了防止机场企业内部网络中出现的风险, 实现信息的安全控制与管理, 企业要对数据网进行防控, 建立系统专用的加密设备。在网络系统授权的基础上进行信息读取, 借助数据的集成性避免运行过程中出现的隐患, 为机场企业的稳定发展创造有利条件。
参考文献
[1]马兰.基于SSE的空中交通管理ATM信息安全保障方法的研究[D].南开:天津大学, 2011.
[2]刘小平.航班延误情境下旅客群体性突发事件致因机理及预警机制研究[D].武汉:武汉理工大学, 2013.
[3]鲁迎平.首都机场集团公司网络改造项目中风险管理研究[D].北京:北京工业大学, 2014.
[4]白同舟, 刘雪杰, 李先, 王舒予.城市群大型枢纽机场陆侧交通通道优化建议——以北京首都国际机场为例[A].2016年中国城市交通规划年会论文集[C].中国城市规划学会城市交通规划学术委员会, 2016:13.
企业内部网络 篇4
关键词:云桌面,网络安全,策略管理,企业网
1 引言
近几年来云计算成了热门词汇, 它是在个人计算机、互联网变革之后, 逐渐成为了全球IT战略性新兴产业的重要组成部分, 被看作第三次IT浪潮, 它将给企业和个人带来生产、生活方式和商业模式的根本性改变, 是当前业界关注的热点之一。
在大型企业网络的建设和管理中, 经常面临着计算机硬件和软件系统不定期更新换代的问题, 同时, 在企业内部网络的使用过程中, 日常维护和管理的工作量也很大, 如由于外部病毒的入侵破坏、软件系统的安装与升级、硬件的定期保养、管理与维护等等, 这些因素给企业网络的管理增加了一定的难度, 这些都对网络管理人员提出了更高的技术和专业要求。
针对企业内部网路存在的这些问题, 引入一种新的网络服务模式-桌面云。桌面云构建在企业内部网络环境中, 它可以实现软硬件资源共享, 包括计算机硬件资源 (包括:计算机外部设备、存储介质、服务器等) 和软件资源 (包括:系统软件、办公软件以及各类专业应用软件等) 。通过桌面云这种服务模式, 企业网的所有数据可以存储在云计算中心, 各种应用软件运行在云计算中心, 企业在客户端不再需要购买大量的存储介质和硬件设备, 也不用担心为每个客户端不定期进行软件升级服务, 用户不需要自身考虑文件的安全性, 桌面云有专业的团队在维护和管理, 降低了企业网络建设成本和维护成本。
下面将分别介绍桌面云概念、工作原理、特点、架构设计、资源调度、管理策略及安全设计等工作。
2 桌面云系统简介
2.1 桌面云概念
桌面云是通过瘦客户端或者其他任何与网络相连的设备 (笔记本, 台式机, ipad) 来远程访问专属的用户桌面。
换句话说用户只要具备一个瘦客户端设备, 或其它任何一个可以连接企业网络的设备, 凭借专用的程序, 就可以登录服务器端的个人桌面并访问各种应用, 这种体验和使用传统的个人电脑是完全一样的。
2.2 桌面云的工作原理
将桌面环境以虚拟机的形式运行在服务器上;客户端通过网络连接位于服务器端的虚拟机, 可以随时随地访问桌面环境, 工作原理示意图如图1:
3 桌面云系统的特点
3.1 传统桌面办公
传统桌面办公的软硬件系统以及应用服务均是在本地计算机完成, 包括光盘刻录、邮件发送、FTP传输、文件打印、移动存储以及HTTP通信等。其中传统桌面办公系统的示意图见图2所示:
3.2 桌面云系统办公
桌面云系统办公在本地只需要一个瘦客户端, 其它软硬件系统以及应用服务均是在云服务器端, 由云服务器提供光盘刻录、邮件发送、FTP传输、文件打印、移动存储以及HTTP通信等服务。桌面云系统办公的示意图见图3:
3.3 桌面云系统的特点
结合图2与图3作比较, 可以看到桌面云系统
有如下特点:
(1) 桌面云系统信息是集中监管的, 在客户端本地无数据, 可以保证安全。
(2) 桌面云系统可以节能减排, 一般每个终端能耗小于25W。
(3) 桌面云系统由于采取集中部署, 因而更易于管理。
(4) 桌面云系统在任何连接、任何终端上均可以访问服务器, 更加灵活便捷。
(5) 桌面云系统资源负荷分担, 更稳定可靠, 能够实现自动切换。
(6) 桌面云系统采取集中设置策略, 更易于备份, 同时系统能够自动备份。
4 系统架构设计、调度及策略
4.1 系统架构设计
目前本企业的桌面云系统目前已覆盖了18个二级生产单位以及公司机关部分部门、安全生产指挥中心, 共计2700用户。涉及岗位包含调度岗位、办公岗位和管理岗位。其中系统的架构设计示意图见图4。
4.2 系统资源调度及管理策略
在桌面云系统中, 一般将资源支配过程划分为四个工序:资源申请、资源检测、资源选取、资源监管。
为统一支配系统虚拟资源, 一般采用将每个可用的虚拟资源比作成一个可支配单元 (Unit) , 每个Unit由一个二元数组V (C, M) 确定, 其中C代表CPU的大小, M代表内存的大小。一个服务器最多可以虚拟的单元数为:, 单数据中心可用资源总数为。同时引入分组的概念, 将具有一样应用特点的资源分组, 以避免因集中支配大量无序资源对云计算平台性能的消耗, 即为可支配单元引入新属性F, 每个Unit由一个三元数组V (C, M, F) 决定, 其中F代表资源的核心特性。当客户登入云计算平台, 并输入对应性能要求就算完成了资源申请。云计算平台接到客户资源申请后, 会先通过安装在每台服务器节点上的数据采集模块检测节点负荷信息与云服务器响应时间。
然后采取动态优先级 (Priority) 策略, 选取Priority值最高的节点, 将该节点上与客户特性相匹配的虚拟资源移交给客户。动态优先级策略立把将服务器分组, 给每个组定义不同优先级, 客户请求会分配给优先级最高的服务器组。每组服务器的Priority值由当前节点的负荷情况与服务器响应时间共同决定。动态优先级算法的主旨是客户请求由当前负荷最小且响应最短的节点来负担。Priority=Unittotal×F+LT×μ, 其中H表示客户需求特性权重, XT表示服务器响应时间, a表示时间优先级转换比。当客户请求到达时, Priority值实时更新。
最后云计算平台会跟根据运行在每个节点上的代理 (Agent) 反馈的状态信息对每个服务器节点进行实时监管, 如果某个节点发生故障, 云计算平台会将客户桌面迁移至其他节点。
4.3 系统安全设计及策略
(1) 通过设定网络准入等网络规则, 只允许在虚拟桌面网络中才可以访问内部系统
(2) 与企业现有AD结合, 进行用户安全认证
(3) 员工不允许在虚拟桌面环境中上使用互联网
(4) 只提供最基本系统权限, 用户不允许安装任何应用程序, 只能通过专业技术人员安装。
5 运行情况与应用总结
桌面云系统在公司内部网络已经稳定运行一年多, 系统大大提高了数据安全性, 从运行至今, 没有发生一起数据安全事故;系统显著提升了桌面安全, 使得遭受的恶意攻击明显减少;系统极大提升了工作效率, 得到了企业员工的普遍欢迎, 取得了非常好地应用效果。
参考文献
[1]杨永川.信息安全[M].北京:中国人民公安大学出版社.2007.
基于内部网络安全防范方案的设计 篇5
在调查中我们发现, 当前人们对于内部网络安全认识非常不全面, 认为内部网络的安全威胁主要来自于整个企事业单位的外部, 因此, 负责内部网络安全的相关技术人员主要把精力集中在如何防止企事业单位外部的攻击上, 而在很大程度上忽略了来自于企事业单位内部威胁。
同时在调查中我们发现, 目前国内的一些大中型的企事业单位主要通过购买相应的杀毒软件和设置一定的防火墙来防止外来的威胁的进攻, 但是从技术层面上考虑仅仅通过购买杀毒软件和设置防火墙对于来自企业内部网络的安全威胁作用是非常有限的。其实企业的内部网络是整个网络的重要一部分, 根据相关数据显示, 国外在进行相关的网络建设时, 其整个投资的百分之二十左右都用来完善内网的网络安全工作, 因此, 为了更好地应对当前社会发展的要求, 国内的相关企事业单位必须切实做好单位内部网络安全防范方案的设计工作。
1 企事业单位内网安全问题
随着我国计算机科学技术和网络信息技术的飞速发展, 企业设置相应的内部网络是企业更好适应社会发展的要求, 使整个企业实现信息化必不可少的工具, 同时, 随着内部网络用户各种办公软件以及杀毒软件等相关软件的更新, 使得企业内部网络面临着非常大的威胁。
1.1 内部网络防范措施薄弱
在调查中我们发现, 国内很多企业的内部网络有非常多的漏洞存在, 这往往给一些不法分子留下非常大的可乘之机。此外, 很大一部分的企业内部网络管理人员的管理意识以及管理水平都比较低, 造成企业内部大部分计算机都面临非常大的网络安全威胁, 随着企业内网的进一步发展这种现象会更加严重。
1.2 企业内部网络各个用户使用的权限不同
在各企事业单位内部各个用户使用的权限是不相同, 这在表面是为了用户更好的使用企业内部的网络, 但这同时增加了整个企业内部网络安全管理的难度, 给网络不法分子留下很大可乘之机。
1.3 企业内部网络关于机密信息分散
企业内部的一些机密性数据大多存在于不同的计算机服务终端当中, 没有实现机密信息统一管理、统一储存, 缺乏严格的监管制度, 设置出现为了简化办公步骤而对一些重要的机密材料不加防范的进行随意的传输, 这在很大程度上造成了机密资料的安全问题。
2 企业内部网络的安全防范方案的设计
2.1 企业内部网络安全防范方案的总体设计
为了使企业更好地应对当前内部网络漏洞带来的一系列安全问题, 切实保证企业内部网络安全有效的运行, 笔者提出一整套的内部网络安全防范方案, 其简图如下图1所示:
从图中我们可以看出企业内部网络的安全防范方案的上下部分分别对应企业设置相关机构的下上部分。在具体的方案设计当中, 企业相关的附属下级单位不能与外部网络直接相连, 如果需要与外界的网络相连接, 则需要通过上级相关部门实现对于外部网络的链接。企业单位上不机构与外部网络链接的相关机构文件, 必须通过企业单位的防火墙和相关杀毒软件的安全监测。
在调查中我们发现, 很多单位即使采用了危害入侵检测系统也很难全部保证整个企业内部网络的安全, 因此在本方案中笔者设置了相关的硬件加密工作机的使用, 硬件加密工作机在很大程度上能够实现整个企业内部所有文件的加密处理, 这对于提高整个企业文件的安全性是非常有帮助的。
2.2 内部网络安全体系相关模型的建立
企业内部网络安全措施主要包括:网络安全管理工作、网络安全策略工作、网络产品安全工作、安全网络检测技术以及维护网络安全制度等多个方面。内部网络安全体系模型如下表1所示:
企业内部网络安全体系模型具体的实施包括水平管理和竖直管理两个方面, 水平管理主要是网络安全管理、网络安全技术管理、网络安全策略实施、网络产品安全, 四者之间通过相互配合来实现水平管理模式。竖直管理主要是网络安全管理制度对水平管理相关操作进行相应的规范。企业要想保证网络安全前后一致性必须包含用户身份认证和用户授权管理相一致, 数据信息保密和数据实时审计相一致。这两个相一致相互作用在同一个网络安全平台之上, 才能构成一个安全的、可靠的以及能够实现实时调控的企业内部网络。
3 结束语
随着国家快速的发展, 各个企事业单位进一步向前迈进, 单位内部的网络包含的内容会更加全面, 涉及到企业内部的核心信息的内容会更加多, 整个内部网络的安全卫华工作会更加复杂, 以及一些新技术、新平台的应用会带来更大的维护挑战, 我们作为网络安全维护人员必须紧跟时代的步伐, 不断跟新自身的网络相关知识, 充分借鉴一些先进的内部网络管理技术经验, 运用先进的技术装备, 不断设计出优秀的企业内部网络安全防范方案, 为我国企业内部网络的安全稳定工作不断努力奋斗。
参考文献
[1]郑杰.企业内部网络安全防范的方案的设计与实现[J].科技传播, 2013, 02:207+209.
[2]韩慧莲, 徐力, 龚清勇, 代秀娇.基于企业的计算机网络安全方案的设计与实现[J].华北工学院学报, 2005, 03:187-192.
[3]李俊恒.四川交通院信息网络改建与信息安全建设方案设计[D].四川大学, 2006.
[4]杨旭.乌兰察布市中等职业技术学校校园网络安全解决方案的设计[D].内蒙古大学, 2012.
[5]吴刚山.江苏农林职业技术学院校园网络安全系统建设与实现[D].南京邮电大学, 2012.
企业内部网络 篇6
随着医院各个信息系统的广泛应用, 医院的网络系统建设显得尤为重要。建立一个合理、高效、安全的医院内部网络已经成为医院信息化建设的核心问题[1]。可以说网络总体结构设计、网络路由设计、网络安全设计这三个方面直接影响整个网络的稳定及工作效率, 是医院网络系统集成建设的重中之重。
1 网络总体结构设计
网络的总体结构设计主要由网络层次化设计和网络区域化设计两大部分组成。
1.1 网络层次化设计
目前局域网逻辑结构主要分为三层结构和二层结构[2]。其中, 三层结构模型划分为三个层次, 即核心层、汇聚层、接入层, 如图1所示。
每个层次完成不同的功能。核心层进行不同区域间的连接, 提供网络不同区块间的访问, 提供高速的路由交换服务。汇聚层将接入层设备接入网络, 定义广播域, 进行VLAN间路由, 提供安全措施。接入层提供第二层服务, 为部门、楼层接入设备, 使用交换带宽, 使用低成本、高端口密度的设备。接入层级交换机采用具有VLAN划分能力的产品, 采用基于部门的VLAN划分规则, 既增加了安全性, 又便于管理。实现主干及分支主干为万兆、水平千兆的网络带宽能力, 实现10/100/1000M交换到桌面。
二层结构模型是将三层模型中的核心层和汇聚层合并, 这两层的功能由核心层交换机一起完成。接入层和三层模型中的功能相同。该方案的优势在于造价相对三层路由模式便宜而且实施难度、维护难度较低因为它只偏重于VLAN、Spanning-Tree的管理和维护[3]。当然二层架构组网方案的劣势也是显而易见的, 即:
(1) 病毒或网络故障时往往影响或波及全网。
(2) 网络结构层次化不强, 不利于管理和故障定位。
(3) 不利于网络规模的扩大和功能的变更。
所以在设计大型医院网络层次时应采用三层架构设计, 具体层次架构划分如图2所示。
层次化设计的优点为:
(1) 可扩展性:因为网络可模块化增长而不会遇到业务中断等问题。
(2) 简单性:通过将网络分成许多小单元, 降低了网络的整体复杂性, 使故障排除更容易, 能隔离广播风暴的传播、防止路由循环等潜在的问题。
(3) 设计的灵活性:使网络容易升级到最新的技术, 升级任意层次的网络不会对其他层次造成影响, 无需改变整个环境。
(4) 可管理性:层次结构使单个设备的配置的复杂性大大降低, 更易管理。
1.2 网络区域化设计
根据目前大型医院网络的实际情况及未来发展的需要, 建议网络根据功能和归属的不同, 以及各个区域数据流量的分布情况, 主要分为以下区域:业务服务器区、网管中心区、门诊楼汇聚配线间、病房楼汇聚配线间、行政楼汇聚配线间等。以上各个功能相对独立的汇聚区块相互作用, 形成整体网络系统。各个汇聚区块可独立扩展, 也可方便添加不同汇聚区块, 同时在区块间通过各楼汇聚交换机上的访问控制列表的应用实现各区域间的可控的安全的互访。
2 网络路由设计
目前路由协议主要由距离矢量路由协议和链路状态路由协议构成[4]。距离矢量和链路状态这两种协议具有以下特点, 如表1所示。
所以核心网和各区域网络之间的互连, 建议采用动态路由协议OSPF。OSPF能够在自己的链路状态数据库内表示整个网络, 这极大地减少了收敛时间, 并且支持大型异构网络的互联, 提供了一个异构网络间通过同一种协议交换网络信息的途径, 并且不容易出现错误的路由信息[5]。
2.1 核心网和各区域网络之间的路由设置
核心交换机通过三层路由方式与汇聚交换机相连, 汇聚层与核心层之间起动态路由, 将所有VLAN均终结在汇聚层, 各个安全域之间的通信均通过路由进行转发, 为安全策略的部署提供条件。在核心交换机和各区域汇聚交换机上, 配置OSPF路由协议, 根据目前网段的数量在OSPF协议中进行配置。未来随着网段的不断增加, 可以在汇聚交换机进行汇聚后, 再发布到核心网中, 有效的减少路由条数, 提高网络效率[6]。
2.2 核心网和服务器间的路由设置
核心网通过防火墙模块与各个服务器区连接, 为保证服务器区的安全性和防火墙的性能, 建议在此采用静态路由[7], 即在核心网中通过静态路由把用户所需访问的服务器网段或服务器的具体IP地址指向防火墙。
2.3 核心网和医保防火墙之间的路由设置
在核心网与医保防火墙互联时, 为保证网络的安全可达, 建议采用静态路由, 在核心网通过静态路由指定用户需要访问的网段。
3 网络安全设计规划
网络安全并非是一项技术, 而是一种策略[8]。从实现方式来看, 网络的安全主要通过将用户按照不同的权限分成不同的VLAN组, 不同的VLAN组之间不能随意访问, 通过设置访问控制列表 (ACLs) 来控制不同VLAN组之间的访问, 从而达到安全的要求。其次, 今后可以网络用户的准入、授权和审计, 实现全网用户的统一认证;最后, 全网的防病毒系统也需要进行统一的考虑。
3.1 VLAN技术
VLAN技术能够将一组用户归入到一个广播域当中, 每一个VLAN对应一个广播域;二层交换机由于没有路由功能, 不能在VLAN之间转发帧, 因而处于不同VLAN之间的主机不能进行通信;而三层交换机或者路由器支持VLAN间的路由, 才可以实现VLAN间的通信。VLAN技术除了能够控制全网中的广播, 还可以一定程度上保证第二层数据的安全性。譬如财务科和住院部, 由于职能的差异, 互相之间数据必然是不能共享的, 可以将他们划分到不同的VLAN当中, 这样就不会造成数据的错误传播以及不必要的数据泄漏。
VLAN的划分应该能够统一进行, 相同职能部门或者相同的应用划分到同一个VLAN当中。这样既方便数据的共享, 也有利于数据的安全, 而且由于在同一VLAN内部的数据访问属于第二层, 无需经过三层设备进行转发, 可以减轻设备的负担。
接入交换机上根据接入信息点的种类为每一个端口划分相应的VLAN, 接入交换机到汇聚交换机的连接设置802.1q的VLAN Trunk协议, 这样各个区域网络中的VLAN划分得以统一。
3.2 访问控制技术 (ACL)
利用汇聚层三层交换设备上的ACLs (访问控制列表) 功能, 保护那些安全性较高的主机、服务器以及特定的网段。ACLs是手工配置在路由器或三层交换机上面的一组判定条件, 对于满足条件的数据包, 路由器进行“通过”或者“丢弃”的处理。
4 网络拓扑图及实施方案
基于上述分析大型医院的网络一般会采用三层的构架方案组网。由于医院各个信息系统实时性要求非常高, 业务24小时不间断, 所以在设计网络存储系统时要充分考虑到链路的冗余。主交换机或服务器宕机时备用交换机或服务器马上进行接管, 这样就大大减少了单点故障对医院业务的影响。具体拓扑图如图3所示。
内网核心交换机为两台Catalyst6513, 每台配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置2个4口万兆模块 (WS-X6704-10GE) , 配置一个48口10/100/1000自适应模块 (WS-X6748-GE-TX) 。每台核心交换机通过1个万兆多模模块 (XENPAK-10GB-SR) 互联, 通过1个万兆多模模块 (XENPAK-10GB-SR) 与服务器汇聚交换机 (WS-C3560E-48TD-S) , 通过1个万兆多模模块 (XENPAK-10GB-SR) 连接行政楼楼汇聚交换机Catalyst6509, 每台通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路下联两台门诊汇聚交换机Catalyst6509, 通过1个单模万兆光纤模块 (XENPAK-10GB-LR) , 下联病房楼汇聚交换机Catalyst6509。
因为门诊业务不能中断, 实时性要求比较高所以门诊楼汇聚配线间配置两台Catalyst6509交换机作为门诊楼汇聚交换机, 实现双机冗余配置。每台汇聚交换机配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置2个4口万兆模块 (WS-X6704-10GE) , 配置1个24口千兆光纤模块 (WS-X6724-SFP) 。每台汇聚交换机通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路上联到两台核心交换机Catalyst6513上, 通过2个千兆光纤模块实现互连。同时通过6个多模万兆光纤模块下联各个楼层接入交换机Catalyst3560G-E交换机。24口千兆光纤模块用于连接千兆光口设备及客户机等。
病房楼汇聚配线间配置一台Catalyst6509交换机作为门诊楼汇聚交换机, 配置双电源 (WS-CAC-3000W) 、单引擎 (WS-SUP720-3B) , 同时配置4个4口万兆模块 (WS-X6704-10GE) , 配置1个24口千兆光纤模块 (WS-X6724-SFP) 。汇聚交换机通过2个单模万兆光纤模块 (XENPAK-10GB-LR) , 双链路上联到两台核心交换机Catalyst6513上。同时通过14个多模万兆光纤模块下联各个楼层接入交换机Catalyst3560G-E交换机。24口千兆光纤模块用于连接千兆光口设备及客户机等。
行政楼汇聚配线间设备配置与病房楼大体相同, 根据具体情况模块的数量有所不同。
5 结束语
由于大型医院各个信息系统实时性要求非常高, 业务24小时不间断, 所以要求网络具有稳定、高效、安全等特点。在设计网络结构时应采用三层结构;在选择路由协议时可以考虑使用OSPF, 这种路由协议可以对大型医院网络拓扑结构的变化迅速地作出反应和调整, 收敛期短, 使路由表尽快地稳定;在对网络的安全规划设计方面要做好VLAN和ACLs规划对数据进行访问控制。这样可以保证整个网络持续合理高效的运行, 满足医院对内网的使用需求。
参考文献
[1]邢翰文, 刘宏生, 袁磊.基于SAN架构的医院存储系统[J].中国数字医学, 2008, 3 (18) :48-49.
[2]黄传河.网络规划设计师教程[M].北京:清华大学出版社, 2009.
[3][美]特南鲍姆.计算机网络[M].潘爱民, 译.北京:清华大学出版社, 2004.
[4]雷震甲.网络工程师教程[M].北京:清华大学出版社, 2009.
[5]刘邦桂, 刘冰.OSPF动态路由协议的研究[J].电脑知识与技术, 2010, 6 (12) :3285-3286.
[6]龙芳, 黄永进.基于OPNET仿真的EIGRP和OSPF路由协议性能分析[J].电子技术, 2010, 37 (11) :60-63.
[7]陈陵, 赵勇.医院网络环境对路由协议选择的研究[J].医疗设备信息, 2002, 17 (6) :8-13.
企业内部网络 篇7
互联网将信息交流提升到一个前所未有的层次,企业工作人员在获取、收集和发送信息的速度、数量及多媒体的变现形式都得到极大的便利,同时相关的运作成本却大大降低了。接入互联网使企业工作人员方便地与外界资源进行交流交换,但目前在利用和管理互联网资源方面存在太多的问题,这些问题极大的困扰着企业高层管理人员、人力资源部门和IT(MIS)部门。
结合桥科院的网络信息安全建设需求,本文着重讨论了企业网络监控系统及其基本实现原理,阐述了上网监控设备特别是其WEB网管系统的设计开发,及其对企业员工浏览互联网信息进行监视并规范其使用行为的功能。
1. 桥科院网络应用现状分析
自桥科院2004年搭建局域网以来,企业IT系统规模迅速扩张,对IT管理系统的需求也随之增加。一方面,个人电脑、服务器和移动设备的数量正在随着企业IT应用规模的不断扩大而快速增加;另一方面,各种应用软件和补丁更新换代速度加快,来自企业内、外部的网络攻击也日益猖獗,“IT管理”成为确保企业IT系统正常、稳定和可靠运行不可缺少的一环。IT管理人员面对数量众多的计算机,有限的人手,重复琐碎的工作,不仅要保证这么多计算机的正常运行,还要随时洞察系统可能出现的变化和不安全因素,这是IT管理者不得不面临的严峻挑战。
根据Gartner Group及Forrester Research的研究调查,信息系统管理部门(MIS)接近一半工作时间用于为计算机安装及升级软件,占计算机的总拥有成本极大比重。IT人员为PC做简单的日常维护工作所花的时间占其总工作量的70%~80%。这些工作对MIS(Management Information System)人员来讲是“没有营养”的,但对使用者却又是“十万火急”的,如果没有得到及时有效的处理,MIS不仅会遭到抱怨,甚至会影响企业的生产力。
面对日益复杂和关键的信息系统,目前,我们碰到的问题主要有:
(1)计算机网络处于失控状态,无法即时掌握网络健康状况;
(2)浏览游戏、音乐等娱乐网站,下载大量与工作无关的音乐文件、视频文件;浏览“在线”购物和拍卖网站;浏览相关财经网站,利用公司的资源在线买卖私人股票或浏览相关信息;使用即时信息交流软件如ICQ、QQ、AOL、MSN、Yahoo,导致员工工作效率下降;
(3)计算机软硬件数量无法准确掌握,盘点困难;
(4)计算机硬件设备私下挪用窃取,造成损失;
(5)软件安装浪费人力,应用软件版本不易控制;
(6)应用软件购买后员工真正使用状况如何,无从分析;
(7)疲于应付各种帮助请求,不管问题大小、距离多远都需要到现场解决。
2. 上网监控系统概述
互联网技术确实是一个“神奇”的东西,在不同的人、不同的组织、不同的企业环境中,它带来的影响是充满矛盾的,一方面能提高企业的工作效率、增加企业的竞争力、降低企业运营成本;另一方面,它却能降低企业的工作效率、给企业带来很多威胁和安全隐患。那么,到底应不应该用它呢?答案是肯定的,但是,必须对它实施有效的管理,就象管理其他的企业资源一样,更合理地服务企业。
(1)监控系统架构及其功能。
上网监控系统能对企业员工的浏览及上传下载行为进行监视控制,其具体功能为:
(1)员工上网浏览的网址、网页标题、产生的上下行流量、发生时间;
(2)员工的任一种应用(协议+端口)的访问网址、产生的上下行流量;
(3)员工FTP下载上传的文件名称、文件大小、发生时间;
(4)QQ/MSN/雅虎通等聊天双方的帐号、昵称、聊天内容、传送的文件名称、文件大小以及发生时间;
(5)网络搜索使用的搜索引擎名称、搜索的关键字以及发生时间;
(6)接收或者发送邮件的发送者、接收者、抄送者、邮件标题、邮件内容、附件(名称、大小)以及时间,另外,邮件可以EMAIL文件格式保存在服务器,供事后调阅;BT/EMULE等点对点下载的文件名称、大小、上传数据流量以及发生时间;
(7)上述监视内容的历史查询检索;
(2)系统提供的上网控制方式。
(1)准入控制。对企业内部的指定被控制对象和外部指定地址之间的指定业务进行阻断或者放行的控制;内部的被控制对象可以是部门、员工、IP地址段、MAC地址中的任意一种或者网内的所有上网者;
(2)带宽控制。对企业内部的指定被控制对象的指定业务分配保证带宽,内部的被控制对象可以是部门、员工、IP地址段、MAC地址中的任意一种或者网内的所有上网者;
(3)时间控制。对任意指定员工控制可以(不可以)上网的时间段。
(3)上网监控系统的工作方式。
现有的上网监控系统从工作方式来区分,无外乎以下几种:旁路侦听方式,网关方式,网桥方式。以下分别论述这几种工作方式的特点。
(1)旁路侦听方式。监控系统以旁路侦听方式工作,不需要改变原有网络的任何路由配置工作,对被监控网络没有影响,但是部分功能无法实现,如带宽管理。目前,基于软件的监控系统基本是工作于旁路侦听方式,部分基于硬件的监控产品也可以工作于旁路侦听方式。
(2)网关方式。网关模式是实施监控最全面的一种方式。监控设备作为系统的网关以NAT或路由方式接入系统。其主要原理是通过监控TCP/IP包并分析来实现监控,通过内置的防火墙来控制IP的连接。
(3)网桥方式。透明网桥方式也不需要改变网络中原有交换机和路由器的设置,能够充分发挥上网监控系统的作用。透明网桥利用数据流转发技术,所有企业网外出和进入数据都要经过监控系统转发。在企业网的数据流路线上多出了一个设备但没有增加路由的跳数,对于数据流是透明的。在数据转发的过程中,监控系统分析并提取数据包中的内容,并通过内置的策略管理器来控制用户的所有访问。可工作于透明网桥模式的监控系统基本是硬件监控设备,而基于软件的监控系统大都无法工作于网桥模式。
(4)如何确定被监控者的身份。
上网监控系统是通过分析数据报文从而得知通信的一些细节内容,但是,这些内容应该和谁联系在一起,或者说是谁,企业内的具体哪一台计算机或者是哪一位员工产生了这些通信,这就涉及到如何确定被监控者的身份的问题。
(1)基于IP地址的网络监控。基于IP地址的监控就是以IP地址为依据,并以此IP来确定被监控者的身份;如果用户局域网的IP地址是动态分配的,基于IP地址的网络监控模式就不可取。如果企业内的员工每人使用的计算机是固定的,而每台计算机使用的又是各自独立而固定的IP地址,那么通过IP地址是能够确定一台计算机并进而确定到使用者即员工的。但是,在静态分配IP地址的环境下,用户其实是可以随意轻松地更改自己的IP地址的。基于IP监控有一定的不确定性,必须有一些辅助的手段才能确保它的可信度。
(2)基于MAC地址的网络监控。MAC地址就是在媒体接入层上使用的地址,也就是网卡的物理地址。基于网卡监控就是以网卡MAC为依据,根据网卡MAC地址确定被监控的信息内容的身份。由于每台机器的网卡MAC相对固定,用户不易修改,因此,基于MAC地址的网络监控是可行的。基于MAC的监控对于静态和动态分配IP地址的环境都同样使用。
但是,请注意:如果被监控网络中存在二层路由设备,则计算机的上网数据包经过路由设备后,其MAC地址会变为路由设备的MAC地址,这样上网监控系统就不再能有效地根据MAC地址识别使用者了。这是基于MAC监控的局限性。
在基于MAC的监控模式下,用户更换新的网卡后,网络上就会产生一个新的MAC。此时,虽然计算机还是原来的计算机,使用者还是原来的使用者,但是,更换网卡前后的上网记录可能会形成各自独立的不相干的数据,这一点也是需要加以注意的。某些网卡也提供了用户自行更改MAC地址的功能,就是说,冒充他人MAC地址的可能性也是存在的。假如目标机器A在目标机器B关机的情况下,私下将IP地址更换成目标机器B的,同时将MAC地址也改为目标机器B的,那么上网监控系统是几乎分辨不出这种伪装的。
可见,几种监控模式各有其优缺点,具体使用何种监控模式,需要根据被监控网络的实际配置情况以及用户的使用习惯等进行综合的判断和选择。
3.系统监控的基本实现技术原理
上网监控系统的WEB主要用于对监测结果的检索和回显,虽然也有部分的设备管理工作,但是对界面复杂性、灵活性和实时性的要求并不是非常高,其客户端和服务器既有处于同一个局域网的,也有处于广域网的,网络速度难以得到保证。另外,浏览者比较分散,客户端的类型和版本难以控制,应对客户端的要求尽量小。这样,基于客户端的JavaApplet就不太适用,而基于服务器端的JSP就更容易接受了。
在本系统有两种WEB服务,其一是位于中心服务器,基于Windows操作系统或者Unix操作系统,其二是位于监控设备内部,基于Linux操作系统。为了提高代码的可重用性,当然期望二者使用同一种技术来实现,这就涉及到WEB代码的跨平台和可移植问题。最终WEB服务器端选用了基于Java技术的JSP+JavaBean架构。
JSP(Java Server Pages)是服务器端的语言,那么相应的WEB服务器当然需要能够支持JSP.在上网监控系统的WEB项目中,90%以上的页面是动态页面,因此,将Tomcat作为一个独立的WEB服务器使用,并没有和其他的WEB服务器进行集成。
那么,当用户点击了一个JSP页面的时候,在WEB服务器内部到底有哪些事情发生呢?如图1所示是WEB服务器处理一个典型的JSP页面的过程。
在这种流程中,页面的显示逻辑是由JSP控制的,而事务逻辑主要依靠JavaBean实现。当一个JSP页面第一次被调用时,WEB服务器的JSP引擎将自动启动,对JSP页面进行编译,JSP页面被编译成为具有标准Servlet接口的二进制代码.Class文件。此后,该页面若再次被调用,则WEB服务器将直接调用以前编译好的Class文件,这样提高了执行的效率。如果JSP页面被改动了,JSP引擎会自动地重新编译JSP网页并通过其更新到WEB服务器上去。
Servlet根据页面的功能不同,调用相应的JavaBean完成具体的事务的处理。因此,其典型的事务是和数据库打交道,完成数据库的更新和查询。以查询数据库为例,JavaBean向数据库发出查询命令并从数据库得到查询结果,JavaBean在对查询结果进行某种形式的处理后,返回给Servlet,Servlet根据JSP页面提供的显示逻辑,对页面进行格式和内容的组装,形成标准的HTML页面,返回到浏览者。
4. 桥科院网络控制系统使用情况
通过对该系统的研究,桥科院管理者也认识到网络监管保障工作尤其重要,因此,使用了宝创上网行为管理系统。此网络监控系统从三个方面建立策略对桥科院网络实施监控,具体策略如下:
(1)人员策略。
采用固定IP同MAC地址绑定方式确定被监控员工身份,有效防止员工利用局域网做违法事情,以此响应公安部82号令,为企业避免法律风险。
(2)流量策略。
BT、迅雷等大流量下载允许带宽控制在1M以内,对流媒体等允许带宽也控制在500k以内,以保证网络时时通畅;还能实时了解每位上网员工的网络资源占用情况,对每位员工的带宽资源占用准确控制。
(3)时间策略。
将上网时间分为上班时间和非上班时间,实行不同的策略,控制每位员工上班时间利用互联网做与工作无关的事情,明显提高了员工的工作效率。
5.结论
桥科院作为从事桥梁设计研究的高新技术企业,通过使用该上网行为管理系统后,院内互联网的稳定性、安全性得到明显改善,员工工作效率也有明显提高。桥科院网络管理部门也不断地将最新适用的安全策略应用于网络监管中,将内部网络建设成为高效、通用、安全的绿色和谐网络。
摘要:互联网的高速发展为企业提供了丰富多彩的内容和应用,但不容忽视的是员工对互联网的滥用也困扰着企业的管理者。文章从用户对上网监控功能的需求入手,论述了上网监控系统的主要特点和功能,介绍了系统的工作模式以及网络中的部署方式,叙述了监控系统的具体结构及其JSP基本实现方法,最后介绍了桥科院网络监控系统的使用状况。
关键词:网络监控,WEB网管,JSP
参考文献
[1]中国互联网络信息中心(CNNIC).第23次中国互联网络发展状况统计报告[R/OL][2009-03-12].tech.sina.com.cn/focus/cnnic21/index.shtml.
[2]上海宝创信息科技有限公司.金盾网络行为管理系统白皮书[R/OL](2007-10-16)[2009-03-12].document.e-works.net.cn/pdf/46143.htm.
企业内部网络 篇8
随着计算机网络的日益发展,其重要性及其对社会的影响也越来越大,与此同时,安全问题也成为日益严重的现实问题。如网上信息被泄露、篡改和假冒,黑客入侵,计算机犯罪,病毒蔓延和不良信息传播等严重地危害了网络的信息安全。而网络安全的威胁主要来自两个方面,一是外部网络即Internet,二是内部网络即Intranet。针对外部网络的威胁,大量的防护措施大行其道,特别是网络防火墙及IDS,可以对网络入侵进行有效的监控和防护,防止针对主机的入侵,检测恶意的可执行程序和阻绝网络的滥用。但所谓的“堡垒最容易从内部攻破”,如何建立一个可信并可控的内部网络,成为摆在所有内网用户包括图书馆内网面前的难题。
1 相关概念
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络安全理解为:通过采用各种技术手段和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
传统的网络安全,主要体现在网络传输链路的安全和网络边界的安全,其典型的代表产品包括VPN、防火墙和IDS等。相对于传统的网络安全来说,内网安全则更加关注内部网络信息系统的安全。但由于“内网安全”这四个字所代表的内容本来就太多,各个内网安全厂商又各自为政,只站在自己的角度去下定义,又很难彼此说服,所以还不能为“内网安全”下一个明确的定义。比如明朝万达提出:和终端相关的、和内部网络相关的一系列的问题都把它纳入到内网安全中,比如说桌面管理,它防止由于内部人员没有及时升级病毒库,或者是非法的接入导致内部的网络安全受到破坏,这些大家都称之为内网安全。
2 图书馆内网安全的重要性
图书馆内部网络作为内网的一种类型,其安全性同样甚至更加重要。根据国际权威调查机构Gartner Group的最新统计,超过85%的安全威胁来自于用户内部网络,而只有5%是来自外部黑客的攻击。一名内部员工的非法访问对于网络安全的威胁程度远远超过了技术一流的网上黑客。也就是说,防火墙等一系列措施在对付内部网络安全的主要威胁时束手无策。
随着内网应用的不断发展,在一定意义上,其应用程度远复杂于传统的外部网络,图书馆内网包含了许多外网所没有的应用,如图书馆管理系统、图书借阅系统等,甚至还有财务管理系统、人事管理系统等,这些应用往往非常庞大,很可能会给系统造成更多的漏洞。更为重要的是,其应用对用户来说是非常重要的,一旦出现泄密、破坏的事件,将产生严重后果,这些都使得图书馆内网安全问题变得越来越重要和突出。
3 图书馆内网安全的现状
目前来看,对图书馆内网信息资源常见的攻击有:首先,内部员工的有意攻击,内部员工向网外用户泄露机密,即平常所说的家贼行为;其次,内部员工被“肉鸡”的安全问题,即外部黑手通过内部员工的疏忽或网络系统的漏洞侵入并潜伏,在条件满足时向外进行的信息泄露事件。其他还有诸如自然灾害、计算机被盗等可能会造成的数据泄密或数据丢失等,也会造成一定的网络安全威胁。其中又以内部人员泄密最为可怕,因为他们不同于黑客,他们熟悉自身所处的网络环境,对重要信息的分布了如指掌,而且具有充分的机会和时间窃取机密信息,并且,他们得手以后如果没有高效的手段也可能根本就不会察觉,攻击行为是有企图、有目的,隐秘的,具有直接危害性。
图书馆内部员工的安全威胁分为两个方面,一是有意识的,二是无意识的。有意识的威胁主要有:(1)将资料通过U盘或移动硬盘等从电脑中复制带走;(2)通过互联网将资料通过电子邮件发送到自己的邮箱;(3)将文件打印后带出;(4)将办公用便携式电脑直接带回家中;(5)将自己的笔记本带到公司,连上局域网,窃取资料;(6)趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;(7)内外勾结,将相关权限泄露给非授权用户,使得信息泄密;(8)访问了非法的网站,导致了木马的传播,从而影响了全网的安全等;而无意识的威胁主要有:(1)电脑维修或转手时,硬盘上的资料没有处理,导致泄密;(2)将有关文件设成共享后没有及时取消,导致非相关人员获取资料;(3)移动存储设备共用,导致非相关人员获取资料;(4)没有保密观念,如将电子文档传给了没有阅读权限的阅读者,造成秘密信息公开等。
同时,由于客户端的操作系统不可避免的存在着各种漏洞,易给外部的黑客造成可乘之机,被发现并加以利用,他们会通过各种技术手段穿过网络防火墙,并远程植入恶意软件,达到长期窥探和窃取数据的目的,对整个内网的安全造成极大的威胁。
4 加强图书馆内网安全的措施与手段
正是基于以上现状,使得我们不得不在对图书馆内网管理的时候要假设网内的所有设备和用户都是不可信任的。只有这样,我们才能够全面而细致的考虑到每一个细节。需要更加侧重于研究内网信息系统统一的安全防范体系和终端安全控制技术,图书馆内网安全管理应包含以下几个方面:一是内网的安全管理,防止非法用户的非法使用;二是内网的数据保密,防止从内部网络发起的数据泄密事件的发生;三是确保网内所有终端特别是服务终端的系统安全。同时,还需要建立相关的管理制度。
4.1 技术层面
技术层面需要解决的问题主要是内网的安全管理与内网数据的有效保障。首先需要对用户和设备的身份认证、权限分配和管理以及数据的加密;其次,所有客户终端都要求尽可能安全的接入网络;再次,需要对网络运行的整个过程进行有效的监控和审计。
4.1.1 用户和设备的身份管理
用户身份和设备身份确认是内网安全的基础问题,只有解决这个问题,才能根据管理规则实施内网安全的管理措施。信息网络是现实设备在信息网络中的一个映射模式,所以跟现实社会中一样,要实现有效的管理措施,最根本的条件之一就是必须确定被管理者(包括人和设备)的身份。
用户和设备身份的确认主要是通过认证技术来实现。身份认证是安全系统中的第一道防线,主要是通过数字认证技术,确认合法用户的身份,从而提供相应的服务。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由网络管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”—用户的身份。可见身份认证技术是安全系统中的基础设施,是最基本的安全服务,其它的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。
对计算机终端、外设、数据存储设备这类硬件的身份标识,采用将其硬件组成部分的各种设备参数作为输入,通过某一算法生成得到的字符串作为惟一标识;员工的身份则可采用常规的用户名和密码相结合的方式进行标识,或者再与其他目前流行的认证方式综合使用,目前流行的认证方式有以下几种类型:(1)生物识别认证方法;(2)智能卡识别方法;(3)时间同步动态口令;(4)挑战、应答动态口令。
4.1.2 数据管理
数据保密是内网安全的核心问题。内网安全需要构建一个安全的数据使用环境,具备对数据存储、交换和使用等环节的全程控制能力,从而确保数据保密性,保护用户的数字知识产权。
数据保密技术从技术实现上可以分为文件级和系统级两种,这两种技术各具特点,适用于不同的保护目的、使用环境和数据类型。
文件级的数据保密技术也称文档加密技术,指针对特定类型的文档或者文件,进行数据相关操作的增强、保护和授权管理,从而确保该文件在设定的用户、地点或者时间范围内被使用,实现该文件的保密管理。其必须对特定类型的文件格式和操作进行研究,如研究PDF和Word复制、粘贴和保存等操作的特性,从而针对不同类型的文件制定相应的技术方案。
系统级的数据保密技术不针对具体文件进行加密操作,而是通过对存储系统、网络系统以及辅助授权等手段实现对数据保密的目标。如保证数据在离开了特定的网络后无效,再如可以设定数据的可查阅次数,超过后自动销毁等。
4.1.3 权限管理
权限管理是内网安全的重要组成部分之一,PC、服务器和PC内部的设备等都是单位的信息资源,必须在确认用户身份的基础上,对这些资源的使用进行授权,从而最大可能地控制内网面临的安全风险。授权的基本规则应该是:“谁(用户)”在“什么时间”“什么地方(计算机)”能“干什么(策略)”。
在对重要文件加密的同时,需要根据用户在网内的级别和权限,不同程度地开放给其使用,做到部分用户只拥有对文件操作的部分权限。具体的权限设计依赖于管理者或文件拥有者的设置,这样既达到了防止文件泄密的功能,也达到了公司知识积累和文件的共享。
管理者从使用者下载文档操作开始,控制使用者的读取、存储、复制、输出的权限,从而防止使用者之间非法复制,杜绝使用各种介质、电子邮件或者打印机等方式窃取网内的重要甚至是机密的文档。对于离职、辞职人员,需要及时进行权限回收,使其完全失去使用权。同时,对不同的管理员也需要分配不同的管理权限,使得任何一个独立的管理员都不能拥有完全的管理权限。
授权管理的对象,应该随着硬件设备和软件的发展,以及网络的应用需要而及时的增加或减少。
4.1.4 过程管理
对整个网络运行的全过程进行实时的监控和审计,是内网安全不可或缺的辅助部分。其目的就是通过系统部署,根据授权管理赋予各个内网参与实体的权限,跟踪记录针对这些实体的权限操作,并生成安全事件日志,并可实时查看当前资源的使用情况。能在用户内网中建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端、文件服务器、外设、数据存储设备、文件和员工进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理。借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。
4.1.5 客户系统管理
黑客入侵成功的最大因素是内网服务器和终端主机存在漏洞,从根源上讲,黑客不过是充分利用了操作系统定期发现的漏洞而已。在用户的内网中,想依靠一套毫无缺陷的操作系统达到一劳永逸的目的是不可能的,惟一的办法是不断跟踪操作系统的安全更新状况,并及时应用各种安全补丁进行计算机终端加固,才能让企业的服务器和终端计算机得到最新的安全保障。不但需要对计算机终端进行全天候的安全监侧和自动补丁分发,还需对未及时更新补丁的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”,避免该计算机对内网其他用户造成安全威胁。
当然,给系统打上补丁也并不能完全保证系统的安全,还需要从其他的方面入手,如(1)保证服务器安全,为服务器创建一个或多个DMZ,并将它们所需要访问的资源放置在相应的DMZ中,不允许它们对内网其他资源访问;(2)关掉无用的网络服务;(3)重要资源重点保护;(4)建立安全过客访问,对于过客不必给予其公开访问内网的权限;(5)可靠的用户群体,对网络用户进行系统的培训,以消除人为使用留下的隐患;(6)通过其他诸如IP地址管理、微机接口如USB、光驱管理等,尽可能的减少信息泄密的途径。
4.2 制度管理
一个完整的内控安全系统应是技术手段和管理制度的结合,管理制度可以有效地弥补无法用技术手段解决的安全漏洞。三分技术七分管理,如果没有一套行之有效的管理制度,再好的技术防护也有可能被击破。管理制度应侧重于对员工的网络使用行为进行规范化的约束,做到以下几点:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。
5 结语
图书馆内网安全是一个系统的工程,需要通过各方面的努力,最终形成“制度保障、技术防范”的整体合力,建立内控安全的整体防范体系,从而构建一个安全、高效的图书馆内部网络工作环境。
摘要:随着计算机技术的不断发展,网络技术的应用日益广泛,网络安全成为日益严重的现实问题,而内部网络的安全问题更是愈加凸显,已经严重的威胁并影响着网络的正常使用,必须通过对用户和设备的身份管理、数据管理、权限管理、过程管理、客户系统管理以及制度管理几个方面,将技术与制度的有机结合,以确保图书馆内部网络能够安全、高效的运行。
关键词:网络安全,图书馆,内网安全,管理
参考文献
[1]网络安全的定义.http://www.yesky.com/429/1899429.shtml.
[2]访谈:内网安全2009系列访谈明朝万达篇.http://tech.ccidnet.com/zt/sc_ls01/.
[3]邹翔,王志海,李志涛.内网安全数据保密技术分析与比较[J].信息安全与通信保密.2009.
[4]孙玮,何兴东.内网安全监管审计系统的架构设计.计算机应用.2008.