時(shí)間:2023-03-20 16:12:17
導(dǎo)語:在企業(yè)網(wǎng)絡(luò)安全論文的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及數(shù)據(jù)不遭受破壞、更改、泄露,信息系統(tǒng)連續(xù)可靠地運(yùn)行是企業(yè)網(wǎng)絡(luò)安全的基本要求。企業(yè)網(wǎng)絡(luò)安全分為物理安全和邏輯安全,邏輯安全是對(duì)信息的保密性、完整性和可用性的保護(hù)。物理安全是對(duì)計(jì)算機(jī)系統(tǒng)、通信系統(tǒng)、存儲(chǔ)系統(tǒng)和人員采取安全措施以確保信息不會(huì)丟失、泄漏等。目前企業(yè)網(wǎng)絡(luò)中缺乏專門的安全管理人員,網(wǎng)絡(luò)信息化管理制度也不健全,導(dǎo)致了部分人為因素引發(fā)的企業(yè)網(wǎng)絡(luò)安全事故。因此企業(yè)網(wǎng)絡(luò)安全必須從技術(shù)和管理兩個(gè)方面進(jìn)行。
2企業(yè)網(wǎng)絡(luò)安全所面臨的威脅
企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外,還有一部分是管理不善引起的。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個(gè)方面。
2.1缺乏專門的管理人員和相關(guān)的管理制度
俗話說“三分技術(shù),七分管理”,管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn),給企業(yè)網(wǎng)絡(luò)造成安全事故。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員,相關(guān)的網(wǎng)絡(luò)管理制度也不完善,實(shí)際運(yùn)行過程中沒有嚴(yán)格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行。以至于部分企業(yè)選用了最先進(jìn)的網(wǎng)絡(luò)安全設(shè)備,但是其管理員賬號(hào)一直使用默認(rèn)的賬號(hào),密碼使用簡(jiǎn)單的容易被猜中的密碼,甚至就是默認(rèn)的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進(jìn)行操作,給系統(tǒng)留下巨大的安全隱患,導(dǎo)致安全事故發(fā)生。
2.2技術(shù)因素導(dǎo)致的主要安全威脅
企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上,對(duì)技術(shù)的依賴程度非常高,因此不可避免的會(huì)有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題,主要表現(xiàn)在以下幾個(gè)方面。
2.2.1計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計(jì)算機(jī)的程序或存儲(chǔ)介質(zhì)中,當(dāng)條件滿足時(shí)就會(huì)被激活。企業(yè)網(wǎng)絡(luò)中的計(jì)算機(jī)一旦感染病毒,會(huì)迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播,可能導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴(yán)重丟失。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會(huì)被一些別有用心的用戶利用,使軟件執(zhí)行一些被精心設(shè)計(jì)的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機(jī)密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取,從而引發(fā)安全事故。
3企業(yè)網(wǎng)絡(luò)安全的防護(hù)措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護(hù)制度,結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進(jìn)程,統(tǒng)籌規(guī)劃,分步實(shí)施。做好安全風(fēng)險(xiǎn)的評(píng)估、建立信息安全防護(hù)體系、根據(jù)信息安全策略制定管理制度、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴(yán)格的管理制度進(jìn)行規(guī)范。同時(shí)建立安全事件應(yīng)急響應(yīng)機(jī)制。配備專門的網(wǎng)絡(luò)安全管理員,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)。及時(shí)根據(jù)企業(yè)網(wǎng)絡(luò)的動(dòng)向,建立以預(yù)防為主,事后補(bǔ)救為輔的安全策略。細(xì)化安全管理員工作細(xì)則,如日常操作系統(tǒng)維護(hù)、漏洞檢測(cè)及修補(bǔ)、應(yīng)用系統(tǒng)的安全補(bǔ)丁、病毒防治等工作,并建立工作日志。并對(duì)系統(tǒng)記錄文件進(jìn)行存檔管理。良好的日志和存檔管理,可以為預(yù)測(cè)攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術(shù)
就目前企業(yè)網(wǎng)絡(luò)安全的情況來看,網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作,主流的技術(shù)有分布式殺毒技術(shù)、數(shù)字免疫系統(tǒng)技術(shù)、主動(dòng)內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實(shí)際情況,靈活選用,確保殺毒機(jī)制的有效運(yùn)行。
3.3系統(tǒng)漏洞修補(bǔ)
現(xiàn)代軟件規(guī)模越來越大,功能越來越多,其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞,還有可能來自操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補(bǔ)丁。既可以購買專業(yè)的第三方補(bǔ)丁修補(bǔ)系統(tǒng),也可以使用軟件廠商自己提供的系統(tǒng)補(bǔ)丁升級(jí)工具。確保操作系統(tǒng),數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的,管理員還要及時(shí)關(guān)注應(yīng)用系統(tǒng)廠商提供的升級(jí)補(bǔ)丁的信息,確保發(fā)現(xiàn)漏洞的第一時(shí)間更新補(bǔ)丁,將系統(tǒng)漏洞的危害降到最低。
4結(jié)束語
安全評(píng)價(jià)的關(guān)鍵與基礎(chǔ)是選取與確立評(píng)價(jià)的指標(biāo)體系,它對(duì)評(píng)價(jià)的結(jié)果是否符合實(shí)際情況至關(guān)重要。化工企業(yè)安全評(píng)價(jià)指標(biāo)體系應(yīng)盡可能反映化工企業(yè)的主要特征和基本狀況。評(píng)價(jià)過程中指標(biāo)體系的要素組成非常關(guān)鍵,如果選取的要素太多,有可能使評(píng)價(jià)指標(biāo)體系更加龐大和冗雜,從而增加評(píng)價(jià)的困難程度,甚至?xí)挂恍┲匾蛩乇缓雎?如果指標(biāo)因素太少,則難以較完整地反映被評(píng)價(jià)系統(tǒng)的客觀實(shí)際情況。•33•通過查閱研究某大型煉油化工企業(yè)的相關(guān)文獻(xiàn)和資料[4],由人、機(jī)和環(huán)境3個(gè)方面構(gòu)成的系統(tǒng)模型出發(fā),把生產(chǎn)系統(tǒng)所有重要環(huán)節(jié)包含其中,從而建立出化工企業(yè)的安全評(píng)價(jià)指標(biāo)體系如圖1和表1至表4所示。
2化工企業(yè)的遺傳神經(jīng)網(wǎng)絡(luò)安全評(píng)價(jià)模型
2.1遺傳神經(jīng)網(wǎng)絡(luò)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的方法主要有2種:對(duì)神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值進(jìn)行優(yōu)化;對(duì)神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行優(yōu)化[5]。本文在保持神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)不變的情況下,用遺傳算法對(duì)BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值進(jìn)行優(yōu)化。
2.2遺傳神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型遺傳神經(jīng)網(wǎng)絡(luò)優(yōu)化的數(shù)學(xué)模型[6]如下:本文構(gòu)建的遺傳神經(jīng)網(wǎng)絡(luò)模型的運(yùn)行過程如下:(1)初始化BP神經(jīng)網(wǎng)絡(luò)。(2)把BP神經(jīng)網(wǎng)絡(luò)的全部權(quán)值與閾值實(shí)數(shù)編碼,確定其長度l,確定其為遺傳算法的初始種群個(gè)體。(3)設(shè)置遺傳算法的相關(guān)參數(shù)以及終止條件,執(zhí)行遺傳算法;遺傳算法包括對(duì)群體中個(gè)體適應(yīng)度進(jìn)行評(píng)價(jià),執(zhí)行選擇、交叉、變異遺傳操作,進(jìn)化生成新的群體;反復(fù)操作至設(shè)定的進(jìn)化代數(shù),最終取得最佳染色體個(gè)體。(4)把最佳染色體個(gè)體解碼,分解為BP網(wǎng)絡(luò)對(duì)應(yīng)的權(quán)值、閾值,輸入訓(xùn)練樣本,利用BP網(wǎng)絡(luò)進(jìn)行訓(xùn)練。(5)得到訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò),則可輸入實(shí)例樣本進(jìn)行評(píng)價(jià)。
3遺傳神經(jīng)網(wǎng)絡(luò)評(píng)價(jià)模型在化工企業(yè)的應(yīng)用
3.1學(xué)習(xí)樣本的準(zhǔn)備根據(jù)前文所確定的評(píng)價(jià)指標(biāo)體系和對(duì)某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數(shù)據(jù),參考文獻(xiàn)中化工企業(yè)安全評(píng)價(jià)指標(biāo)取值標(biāo)準(zhǔn),進(jìn)行分析和整理,得出11個(gè)實(shí)例樣本,如表5所示。選擇10個(gè)樣本作為遺傳神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本,1個(gè)樣本作為測(cè)試樣本。
3.2BP網(wǎng)絡(luò)結(jié)構(gòu)的確定BP網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般是由網(wǎng)絡(luò)層數(shù)、輸入層節(jié)點(diǎn)數(shù)、隱含層節(jié)點(diǎn)數(shù)、隱含層數(shù)以及輸出層節(jié)點(diǎn)數(shù)等來確定。本文建立的遺傳神經(jīng)網(wǎng)絡(luò)模型是根據(jù)經(jīng)驗(yàn)來確定神經(jīng)網(wǎng)絡(luò)的層數(shù),一般選取BP神經(jīng)網(wǎng)絡(luò)的層數(shù)為3層[7]。通過化工企業(yè)安全評(píng)價(jià)指標(biāo)的分析,得出BP神經(jīng)網(wǎng)絡(luò)輸入層神經(jīng)元數(shù)目為評(píng)價(jià)指標(biāo)的總數(shù)12+6+8+5=31。模型最后輸出的結(jié)果為綜合安全評(píng)價(jià)結(jié)果,因此,神經(jīng)網(wǎng)絡(luò)的輸出層節(jié)點(diǎn)數(shù)確定為1。隱含層中節(jié)點(diǎn)數(shù)的范圍通過經(jīng)驗(yàn)公式來確定,本文在其確定范圍內(nèi)選12。依據(jù)訓(xùn)練樣本的規(guī)模,設(shè)定學(xué)習(xí)率為0.1,最大訓(xùn)練誤差值設(shè)為10-5,循環(huán)學(xué)習(xí)次數(shù)為1000次。網(wǎng)絡(luò)輸出層為1個(gè)節(jié)點(diǎn),即化工企業(yè)的安全評(píng)價(jià)結(jié)果。化工企業(yè)安全等級(jí)一般分為5級(jí)[7],如表6所示。
3.3遺傳算法優(yōu)化遺傳算法中,參數(shù)設(shè)定如下:種群規(guī)模設(shè)為300,交叉概率設(shè)為0.7,進(jìn)化代數(shù)設(shè)為100,變異率設(shè)為0.05。本文運(yùn)用MATLAB軟件中的遺傳算法工具箱gads,在GUI操作界面中輸入以上參數(shù),并輸入適應(yīng)度函數(shù),對(duì)神經(jīng)網(wǎng)絡(luò)的權(quán)閾值進(jìn)行優(yōu)化。經(jīng)過遺傳操作后,運(yùn)行遺傳算法工具箱,則可得出最佳適應(yīng)度曲線圖和最佳個(gè)體圖(圖2),得到最佳適應(yīng)度個(gè)體,將其進(jìn)行解碼,作為該網(wǎng)絡(luò)的初始權(quán)值和閾值賦給BP神經(jīng)網(wǎng)絡(luò)。
3.4GA-BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練在MATLAB界面中編程語言,得到輸出向量和網(wǎng)絡(luò)均方差變化圖。訓(xùn)練結(jié)果與期望輸出見表7,BP網(wǎng)絡(luò)訓(xùn)練過程如圖3所示。從訓(xùn)練結(jié)果可以看出,該網(wǎng)絡(luò)的誤差值不超過10-5,滿足設(shè)定要求。用該網(wǎng)絡(luò)對(duì)實(shí)例樣本進(jìn)行安全評(píng)價(jià),得到結(jié)果為3.9956,對(duì)照安全評(píng)價(jià)輸出結(jié)果等級(jí)表為較安全,與目標(biāo)值吻合。從而訓(xùn)練后的網(wǎng)絡(luò)穩(wěn)定性得到驗(yàn)證,可以用于化工企業(yè)安全評(píng)價(jià)。
4結(jié)論
關(guān)鍵詞:分布式網(wǎng)絡(luò);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理
1 引言
隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用,政府、軍隊(duì)大量的機(jī)密文件和重要數(shù)據(jù),企業(yè)的商業(yè)秘密乃至個(gè)人信息都存儲(chǔ)在計(jì)算機(jī)中,一些不法之徒千方百計(jì)地“闖入”網(wǎng)絡(luò),竊取和破壞機(jī)密材料及個(gè)人信息。據(jù)專家分析,我國80%的網(wǎng)站是不安全的,40%以上的網(wǎng)站可以輕易的被入侵。網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉:存儲(chǔ)在計(jì)算機(jī)中的信息不知不覺被刪除;在數(shù)據(jù)庫中的記錄不知道何時(shí)被修改;正在使用的計(jì)算機(jī)卻不知道何故突然“死機(jī)”等等諸如此類的安全威脅事件數(shù)不勝數(shù)。因此,網(wǎng)絡(luò)信息的安全性具有舉足輕重的作用。
本論文主要針對(duì)分布式網(wǎng)絡(luò)的信息安全展開分析討論,通過對(duì)分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)研究,以期找到可供借鑒的提高分布式網(wǎng)絡(luò)信息安全水平的防范手段或方法,并和廣大同行分享。
2 網(wǎng)絡(luò)安全管理技術(shù)概述
在當(dāng)今這個(gè)信息化社會(huì)中,一方面,硬件平臺(tái),操作系統(tǒng)平臺(tái),應(yīng)用軟件等IT系統(tǒng)已變得越來越復(fù)雜和難以統(tǒng)一管理;另一方面,現(xiàn)代社會(huì)生活對(duì)網(wǎng)絡(luò)的高度依賴,使保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要。這些都使得網(wǎng)絡(luò)管理技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中人們公認(rèn)的關(guān)鍵技術(shù)。
網(wǎng)絡(luò)管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴(yán)重,網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個(gè)重要分支,正受到業(yè)界及用戶的日益深切的廣泛關(guān)注。
目前,在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級(jí)的同時(shí),非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、VPN、防病毒、身份認(rèn)證、數(shù)據(jù)加密、安全審計(jì)等安全防護(hù)和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用,但是這些產(chǎn)品大部分功能分散,各自為戰(zhàn),形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”,各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機(jī)制,不能互相支撐、協(xié)同工作,從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。
從網(wǎng)絡(luò)安全管理員的角度來說,最直接的需求就是在一個(gè)統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運(yùn)行狀態(tài),對(duì)產(chǎn)生的大量日志信息和報(bào)警信息進(jìn)行統(tǒng)一匯總、分析和審計(jì);同時(shí)在一個(gè)界面完成安全產(chǎn)品的升級(jí)、攻擊事件報(bào)警、響應(yīng)等功能。但是,一方面,由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜,異構(gòu)性、差異性非常大,而且各自都具有自己的控制管理平臺(tái)、網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺(tái)的使用及管理方法,并應(yīng)用這些管理控制平臺(tái)去管理網(wǎng)絡(luò)中的對(duì)象(設(shè)備、系統(tǒng)、用戶等),工作復(fù)雜度非常之大。另一方面,應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個(gè)業(yè)務(wù)處理過程中處于不同的工作崗位,其對(duì)應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同,網(wǎng)絡(luò)管理員很難在各個(gè)不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性。
另外,對(duì)大型網(wǎng)絡(luò)而言,管理與安全相關(guān)的事件變得越來越復(fù)雜。網(wǎng)絡(luò)管理員必須將各個(gè)設(shè)備、系統(tǒng)產(chǎn)生的事件、信息關(guān)聯(lián)起來進(jìn)行分析,才能發(fā)現(xiàn)新的或更深層次的安全問題。因此,用戶的網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案—分布式網(wǎng)絡(luò)安全管理平臺(tái)來總體配置、調(diào)控整個(gè)網(wǎng)絡(luò)多層面、分布式的安全系統(tǒng),實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng),從而有效簡(jiǎn)化網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)的安全水平和可控制性、可管理性,降低用戶的整體安全管理開銷。
3 分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)
3.1 分布式網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)分析
隨著Internet技術(shù)的發(fā)展,現(xiàn)在的企業(yè)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大,設(shè)備物理分布變得十分復(fù)雜,許多企業(yè)都設(shè)有專門的網(wǎng)絡(luò)管理部門,來應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)中可能出現(xiàn)的問題,以保證企業(yè)業(yè)務(wù)的正常運(yùn)行。這些網(wǎng)絡(luò)管理部門的工作人員可能會(huì)根據(jù)需要分布在不同的業(yè)務(wù)部門中,甚至不同的城市中,這就導(dǎo)致原有的集中式網(wǎng)絡(luò)設(shè)備平臺(tái)管理已經(jīng)不能滿足企業(yè)的需求。復(fù)合式網(wǎng)絡(luò)安全管理平臺(tái)必須能夠?qū)崿F(xiàn)遠(yuǎn)程、多用戶、分級(jí)式管理,同時(shí)要保證整個(gè)平臺(tái)系統(tǒng)的安全性。
針對(duì)以上需求,本網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)為一種網(wǎng)絡(luò)遠(yuǎn)程管理系統(tǒng),采取服務(wù)器和客戶端的模式。
(1) 分布式網(wǎng)絡(luò)安全管理平臺(tái)服務(wù)器端
分布式網(wǎng)絡(luò)安全管理平臺(tái)的服務(wù)器端是整個(gè)管理系統(tǒng)的核心,它位于要管理的企業(yè)網(wǎng)絡(luò)內(nèi)部的一臺(tái)服務(wù)器上,掌控著所有的網(wǎng)絡(luò)資源,對(duì)被管網(wǎng)絡(luò)資源的操作都是由平臺(tái)服務(wù)器端直接完成。
分布式網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能模塊是相對(duì)獨(dú)立存在的,而服務(wù)器端相當(dāng)于一個(gè)大容器,當(dāng)需要某種管理功能時(shí),就可以通過一定的方法,將管理模塊動(dòng)態(tài)加載到服務(wù)器端上。管理模塊完成管理的具體功能,管理模塊既可以單獨(dú)完成某種管理功能,也可以通過服務(wù)器端提供的服務(wù),協(xié)作完成特定的管理功能。服務(wù)器端還提供了一個(gè)公共的通信接口,通過這個(gè)通信接口,服務(wù)器端上的管理功能模塊就可以實(shí)現(xiàn)與客戶端的交互。
(2) 分布式網(wǎng)絡(luò)安全管理平臺(tái)客戶端
客戶端相當(dāng)于一個(gè)個(gè)企業(yè)網(wǎng)絡(luò)的管理員,這些管理員己經(jīng)被分配給不同的用戶名和密碼,從而對(duì)應(yīng)于不同的平臺(tái)操作權(quán)限。管理員可以通過局域網(wǎng)或者Internet登陸到管理平臺(tái)的服務(wù)器。_服務(wù)器端實(shí)現(xiàn)網(wǎng)絡(luò)安全管理平臺(tái)的各種管理功能。每當(dāng)有用戶登陸到服務(wù)器時(shí),首先服務(wù)器端有一個(gè)用戶鑒別和權(quán)限判斷,通過后,根據(jù)權(quán)限不同的平臺(tái)管理信息被傳送回客戶端,客戶端將這些管理信息顯示出來。如果管理員在客戶端進(jìn)行了某些操作,客戶端會(huì)將這些操作信息發(fā)送到服務(wù)器,服務(wù)器對(duì)用戶和操作進(jìn)行權(quán)限鑒定,通過后,服務(wù)器就調(diào)用相應(yīng)的管理功能模塊來實(shí)現(xiàn)操作,并將結(jié)果返回給客戶端,客戶端進(jìn)行相應(yīng)的顯示。
3.2 分布式網(wǎng)絡(luò)的安全策略管理設(shè)計(jì)
策略管理的目標(biāo)是可以通過集中的方式高效處理大量防火墻的策略配 置問題。隨著網(wǎng)絡(luò)規(guī)模與業(yè)務(wù)模式的不斷增長變化,對(duì)IT基礎(chǔ)設(shè)施的全局統(tǒng)一管理越來越成為企業(yè)IT部門的重要職責(zé);策略的集中管理更有效的描述了全網(wǎng)設(shè)備的基本情況,便于設(shè)備間的協(xié)作、控制,能夠提高問題診斷能力,提高運(yùn)營的可靠性;另一方面,也極大的減輕了管理員的工作強(qiáng)度,使其工作效率大幅度提高。
策略管理并不是系統(tǒng)中孤立的模塊,它與節(jié)點(diǎn)管理、權(quán)限管理有著緊密的聯(lián)系。由于節(jié)點(diǎn)管理將全網(wǎng)劃分為若干管理域,每個(gè)管理域中還有相應(yīng)的下級(jí)組織部門,因此策略管理首先與節(jié)點(diǎn)信息相聯(lián)系,這也就隱含了策略的層級(jí)配置管理。
另外,策略是由某個(gè)具有一定權(quán)限的管理員對(duì)某個(gè)管理域或設(shè)備制訂的,因此策略是否能定制成功需要調(diào)用權(quán)限管理中的功能加以判定,因此隱含了策略的可行性管理。全網(wǎng)策略被統(tǒng)一存儲(chǔ),結(jié)合節(jié)點(diǎn)管理,策略存儲(chǔ)有它自身的結(jié)構(gòu)特點(diǎn),這些屬于策略的存儲(chǔ)管理。
策略按照一定的時(shí)間、順序被部署到具體的設(shè)備上,無論策略是對(duì)管理域定制的,還是對(duì)設(shè)備制訂的,所有相關(guān)的策略最終都要被下發(fā)的設(shè)備中去,下發(fā)的方式能夠根據(jù)實(shí)際網(wǎng)絡(luò)拓?fù)涞淖兓鲞m應(yīng)性調(diào)整,這些屬于策略的管理。
3.3 分布式網(wǎng)絡(luò)信息安全構(gòu)建技術(shù)
(1) 構(gòu)筑入侵檢測(cè)系統(tǒng)(IDS)
不同于防火墻,IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽設(shè)備,沒有跨接在任何鏈路上,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此,對(duì)IDS的部署,唯一的要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。
(2) 構(gòu)筑入侵防御(IPS)
入侵防御是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng),它部署在網(wǎng)絡(luò)的進(jìn)出口處,當(dāng)它檢測(cè)到攻擊企圖后,它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御系統(tǒng)在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄,則攻擊包將無法到達(dá)目標(biāo),從而可以從根本上避免黑客的攻擊。
(3) 采用郵件防病毒服務(wù)器
郵件防病毒服務(wù)器安裝位置一般是郵件服務(wù)器與防火墻之間。郵件防病毒軟件的作用:對(duì)來自INTERNTE的電子郵件進(jìn)行檢測(cè),根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件。
4 結(jié)語
在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天,任何一臺(tái)計(jì)算機(jī)都不可能孤立于網(wǎng)絡(luò)之外,因此對(duì)于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。針對(duì)現(xiàn)在網(wǎng)絡(luò)規(guī)模越來越大的今天,分布式網(wǎng)絡(luò)由于信息傳輸應(yīng)用范圍的不斷擴(kuò)大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點(diǎn)對(duì)分布式網(wǎng)絡(luò)的信息安全管理系統(tǒng)展開了分析討論,相信通過不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對(duì)信息安全的重視,分布式計(jì)算機(jī)網(wǎng)絡(luò)的信息安全是完全可以實(shí)現(xiàn)的。
論文關(guān)鍵詞:網(wǎng)絡(luò):安全技術(shù);管理措施
1前言
隨著企業(yè)科學(xué)管理水平的提高.企業(yè)管理信息化越來越受到企業(yè)的重視.企業(yè)ERP(企業(yè)資源計(jì)劃)系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動(dòng)化系統(tǒng)等先進(jìn)的管理系統(tǒng)都進(jìn)入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國際互聯(lián)網(wǎng)(Internet)聯(lián)接,形成一個(gè)內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺(tái)。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時(shí).也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的種種危險(xiǎn)。如病毒,黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個(gè)重要問題
2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題.影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的,主要表現(xiàn)在以下幾個(gè)方面:
2.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅
2.2內(nèi)網(wǎng)安全最新調(diào)查顯示.在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對(duì)網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密
2.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大,逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全,既要保證信息的及時(shí)共享.又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作
3企業(yè)局域網(wǎng)安全方案
為了更好的解決上述問題.確保網(wǎng)絡(luò)信息的安全,企業(yè)應(yīng)建立完善的安全保障體系該體系應(yīng)包括網(wǎng)絡(luò)安全技術(shù)防護(hù)和網(wǎng)絡(luò)安全管理兩方面網(wǎng)絡(luò)安全技術(shù)防護(hù)主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全.網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理.采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時(shí),加強(qiáng)網(wǎng)絡(luò)安全管理這兩方面相互補(bǔ)充,缺一不可。
3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系
包括入侵檢測(cè)系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護(hù)、防火墻、接入認(rèn)證、電子文檔保護(hù)和網(wǎng)絡(luò)行為監(jiān)控。
1)入侵檢測(cè)系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動(dòng)防御體系.需要同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)首先.在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品.不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.如果數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)中的某些規(guī)則吻合.就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接其次.在重要的主機(jī)上(如W WW服務(wù)器,E—mail服務(wù)器,FTP服務(wù)器)安裝基于主機(jī)的入侵檢測(cè)系統(tǒng).對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審
計(jì)日志進(jìn)行智能分析和判斷.如果其中主體活動(dòng)十分可疑.入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施
2)安全訪問控制系統(tǒng)針對(duì)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略.以保護(hù)系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞.維護(hù)局域網(wǎng)的安全
3)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題的方法是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具.利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式.最大可能地彌補(bǔ)最新的安全漏洞并消除安全隱患.
4)病毒防護(hù)系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計(jì)算機(jī)病毒侵入、檢測(cè)侵入系統(tǒng)的計(jì)算機(jī)病毒、定位已侵入系統(tǒng)的計(jì)算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系.特別是針對(duì)重要的網(wǎng)段和服務(wù)器.要進(jìn)行徹底堵截.
5)防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略.決定哪些內(nèi)部站點(diǎn)允許外界訪問和允許訪問外界.從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個(gè)包過濾防火墻,它只讓與屏蔽子網(wǎng)中的服務(wù)器、E—mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過。其他所有類型的數(shù)據(jù)包都被丟棄.從而把外界Internet對(duì)屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi).
6)接入認(rèn)證系統(tǒng)對(duì)計(jì)算機(jī)終端實(shí)行實(shí)名制度.固定IP、綁定MAC地址.結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實(shí)施實(shí)行機(jī)終端接入準(zhǔn)入制度.未經(jīng)過安全認(rèn)證的計(jì)算機(jī)不能接人企業(yè)局域網(wǎng)絡(luò)
7)電子文檔保護(hù)系統(tǒng)。企業(yè)重要信息整個(gè)生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲(chǔ)過程、信息銷毀過程)得到全程透明加密保護(hù),保證只用合法的用戶才能通過認(rèn)證、授權(quán)訪問涉密文件。非法用戶無法在信息的產(chǎn)生到銷毀過程的任何環(huán)節(jié)竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護(hù)各種主動(dòng)、被動(dòng)泄密事件的發(fā)生。
8)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定.對(duì)內(nèi)網(wǎng)用戶進(jìn)行管理的一種技術(shù)手段.主要用于監(jiān)控企業(yè)內(nèi)部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時(shí)間上網(wǎng)聊天、玩游戲、瀏覽違禁網(wǎng)站等。
3.2企業(yè)局域網(wǎng)安全管理措施
有了先進(jìn)完善的網(wǎng)絡(luò)安全技術(shù)保護(hù)體系.如果日常的安全管理跟不上.同樣也不能保證企業(yè)網(wǎng)絡(luò)的“高枕無憂”:可以說規(guī)劃制定一套完整的安全管理措施是網(wǎng)絡(luò)安全技術(shù)保護(hù)體系的補(bǔ)充.它會(huì)幫助校正企業(yè)網(wǎng)絡(luò)管理上的一些常見但是有威脅性的漏洞。它主要包括以下內(nèi)容: 1)隨著企業(yè)局域網(wǎng)的不斷應(yīng)用.應(yīng)當(dāng)同步規(guī)劃網(wǎng)絡(luò)安全體系的技術(shù)更新同時(shí).為了避免在緊急情況下.預(yù)先制定的安全體系無法發(fā)揮作用時(shí).應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門.事先做好多級(jí)的安全響應(yīng)方案.才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時(shí)將損失降低到最低.并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);2)扎實(shí)做好網(wǎng)絡(luò)安全的基礎(chǔ)防護(hù)工作:①服務(wù)器應(yīng)當(dāng)安裝干凈的操作系統(tǒng).不需要的服務(wù)一律不裝.同時(shí)要重視網(wǎng)絡(luò)終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則.設(shè)置重要文件的訪問權(quán)限.關(guān)閉不必要的端口,專用主機(jī)只開專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級(jí)補(bǔ)丁對(duì)系統(tǒng)進(jìn)行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統(tǒng)數(shù)據(jù)備份計(jì)劃.并嚴(yán)格實(shí)施,確保系統(tǒng)數(shù)據(jù)庫的可靠性和完整性:3)對(duì)各類惡意攻擊要有積極的響應(yīng)措施制定詳盡的入侵應(yīng)急措施以及匯報(bào)制度。發(fā)現(xiàn)入侵跡象.盡力定位入侵者的位置,如有必要。斷開網(wǎng)絡(luò)連接在服務(wù)主機(jī)不能繼續(xù)服務(wù)的情況下.應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機(jī)上; 4)建立完善的日志監(jiān)控措施,加強(qiáng)日志記錄.以報(bào)告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計(jì)算機(jī)安全管理制度、機(jī)房管理制度、管理員網(wǎng)絡(luò)維護(hù)管理制度等.約束普通用戶等網(wǎng)絡(luò)訪問者.督促管理員很好地完成自身的工作,增強(qiáng)大家的網(wǎng)絡(luò)安全意識(shí).防止因粗心大意或不貫徹制度而導(dǎo)致安全事故.尤其要注意制度的監(jiān)督貫徹執(zhí)行.否則就形同虛設(shè)。
關(guān)鍵詞:計(jì)算機(jī)教學(xué)資源網(wǎng)絡(luò);網(wǎng)絡(luò)安全;SSL VPN
中圖分類號(hào):TP258.6文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 03-0000-02
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網(wǎng)計(jì)算機(jī)教學(xué)系統(tǒng)面臨的安全風(fēng)險(xiǎn)分析
隨著國家教育事業(yè)的快速發(fā)展以及IT技術(shù)的迅猛發(fā)展,人們的生產(chǎn)、生活方式發(fā)生了翻天覆地的變化,傳統(tǒng)的教室內(nèi)黑板面授教學(xué)模式已經(jīng)不能完全滿足當(dāng)代的教學(xué)工作,必須有一種新的教學(xué)方式來彌補(bǔ)傳統(tǒng)教學(xué)模式單一的不足,計(jì)算機(jī)教學(xué)應(yīng)運(yùn)而生,特別是計(jì)算機(jī)多媒體教學(xué)。計(jì)算機(jī)教學(xué)方式中,學(xué)習(xí)的人可以隨時(shí)隨地的學(xué)習(xí),不受時(shí)間和空間的限制,并且具有學(xué)習(xí)成本低廉等一系列優(yōu)點(diǎn),因此計(jì)算機(jī)教學(xué)受到越來越多的歡迎。
為方便教師和學(xué)生等對(duì)教學(xué)資源的外部訪問,存儲(chǔ)有教學(xué)資源的網(wǎng)絡(luò)大多與互聯(lián)網(wǎng)相連,難免會(huì)受到來自于網(wǎng)絡(luò)內(nèi)部和外部的攻擊,計(jì)算機(jī)網(wǎng)絡(luò)的大多設(shè)備或軟件為國外生產(chǎn),其中可能存在一些后門程序,操作系統(tǒng)、應(yīng)用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用,計(jì)算機(jī)病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網(wǎng)站的泛濫讓校園網(wǎng)的安全形式不容樂觀。
校園網(wǎng)中,用戶有學(xué)生、教師、外部學(xué)習(xí)者等主體,教學(xué)資源的訪問主體的身份不好控制、資源訪問控制困難,很難讓指定的用戶只能訪問指定的資源,不能訪問其它非授權(quán)訪問資源、用戶對(duì)資源的訪問不具有抗抵賴等問題。
校園網(wǎng)是學(xué)校的門戶,是學(xué)校的形象窗口,是學(xué)校賴以生存的生產(chǎn)資料的一部分,如果遭到惡意攻擊,導(dǎo)致不能正常對(duì)外部提供服務(wù),將對(duì)學(xué)校造成嚴(yán)重?fù)p失。
二、SSL VPN簡(jiǎn)介
VPN(Virtual Private Network虛擬專用網(wǎng)絡(luò))[1]是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)(如internet)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過對(duì)數(shù)據(jù)包進(jìn)行加密和封包,在公共網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上構(gòu)建出安全、可靠的專用隧道,使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶使用VPN技術(shù),不需要建設(shè)自己的專用網(wǎng)絡(luò),節(jié)省投資,使用便捷,VPN技術(shù)因而獲得了廣泛的應(yīng)用。
VPN技術(shù)發(fā)展至今,產(chǎn)生了多個(gè)種類,有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應(yīng)用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標(biāo)簽轉(zhuǎn)發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網(wǎng)絡(luò)(如internet)接入業(yè)務(wù)網(wǎng)絡(luò),在遠(yuǎn)程接入上應(yīng)用廣泛。
SSL是一個(gè)獨(dú)立于平臺(tái)并獨(dú)立于應(yīng)用的協(xié)議,用戶保護(hù)基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中,SSL在傳輸層之上,應(yīng)用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術(shù)幫助用戶使用標(biāo)準(zhǔn)的Web瀏覽器就可以通過公共網(wǎng)絡(luò)平臺(tái)接入所要訪問的遠(yuǎn)程資源。在用戶的計(jì)算機(jī)上,不需要安裝客戶端軟件及進(jìn)行復(fù)雜的配置,大大方便了用戶,僅僅通過一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問遠(yuǎn)程資源。這為企業(yè)及政府提高效率也帶來了方便。
用戶所要訪問的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部,在此情況下,需要部署SSL VPN網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣,介于服務(wù)器與遠(yuǎn)程用戶之間,控制二者的通信。如下圖所示:
SSL VPN網(wǎng)關(guān)除了作為隧道的終點(diǎn),還要執(zhí)行以下三種功能:,應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)[2]。
1.:它將來自遠(yuǎn)端瀏覽器的頁面請(qǐng)求(采用
關(guān)鍵詞:VPN網(wǎng)絡(luò),視頻監(jiān)控系統(tǒng)
背景需求分析
近年來,數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲(chǔ)和檢索便利等優(yōu)點(diǎn)逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng),被廣泛應(yīng)用于監(jiān)控、安防、質(zhì)檢等方面。隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴(kuò)大,視頻監(jiān)控已經(jīng)發(fā)展到了網(wǎng)絡(luò)多媒體監(jiān)控系統(tǒng),即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合,在現(xiàn)場(chǎng)監(jiān)控主機(jī)無人職守情況下,實(shí)現(xiàn)局域網(wǎng)或Internet遠(yuǎn)程監(jiān)控的功能。如此一來,將監(jiān)控信息從監(jiān)控中心釋放出來,從而提高了治理水平和效率。但假如遠(yuǎn)程訪問視頻監(jiān)控服務(wù)技術(shù)功能不足,則無法保證監(jiān)控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術(shù)的出現(xiàn),正好解決了該問題,實(shí)現(xiàn)了遠(yuǎn)程視頻監(jiān)控信息安全便利的傳輸。
經(jīng)調(diào)查發(fā)現(xiàn),實(shí)現(xiàn)VPN遠(yuǎn)程視頻監(jiān)控系統(tǒng)較重視的需求為:
虛擬私有網(wǎng)絡(luò)VPN安全傳輸:完整的VPN網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng),最重要的需求是要讓各分支外點(diǎn)及本地局域網(wǎng)的監(jiān)控視頻能安全、實(shí)時(shí)的傳送到總公司監(jiān)控中心的治理服務(wù)器,統(tǒng)一作企業(yè)安全防護(hù)及報(bào)警。視頻監(jiān)控信息若不作加密處理就直接通過公眾互聯(lián)網(wǎng)進(jìn)行傳送,可能會(huì)造成企業(yè)內(nèi)部機(jī)密外露等問題。因此,需要建置完善的VPN傳輸,不僅可節(jié)約高昂的專線成本,還能得到安全穩(wěn)定的傳輸質(zhì)量。
穩(wěn)定良好的寬帶接入服務(wù):將視頻監(jiān)控信息集成到VPN中,雖然可以確保得到安全穩(wěn)定的聯(lián)機(jī),但VPN線路還是建立在公眾互聯(lián)網(wǎng)上,一但接入的寬帶線路不穩(wěn)定輕易掉線,也連帶影響到VPN的聯(lián)機(jī)質(zhì)量。穩(wěn)定良好的的寬帶接入服務(wù)或于運(yùn)營商掉線斷網(wǎng)時(shí)可以實(shí)時(shí)提供備援的支持是必要的。
帶寬增級(jí)同時(shí)也能節(jié)省成本:多媒體視頻監(jiān)控系統(tǒng)包括視頻、音頻及相關(guān)數(shù)據(jù)的傳送,若要得到實(shí)時(shí)、順暢的傳送質(zhì)量,需要相當(dāng)大的帶寬才可達(dá)成,因此首先就面臨到帶寬的增級(jí)。如此就會(huì)導(dǎo)致線路成本的增加及可能的線路添加,帶來成本及治理上的諸多問題。這時(shí),兼顧成本的考慮下,適當(dāng)?shù)木€路集成整合成為企業(yè)的需求。
網(wǎng)絡(luò)安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業(yè)網(wǎng)絡(luò)安全的潛危機(jī)。一旦寬帶接入受到惡意攻擊影響網(wǎng)絡(luò)正常運(yùn)作,輕則讓監(jiān)控信息傳輸效率大減,嚴(yán)重時(shí)發(fā)生整個(gè)網(wǎng)絡(luò)斷網(wǎng),造成視頻監(jiān)控系統(tǒng)停擺的窘境。若是多購置防火墻,等于是增加成本,因此路由器中需要有適當(dāng)?shù)姆阑饓δ埽赃M(jìn)行網(wǎng)絡(luò)安全的防護(hù)。
內(nèi)部上網(wǎng)行為管控避免影響重要傳輸:多數(shù)員工在上班時(shí)間通過BT等下載音樂電影,或是聊QQ、MSN等實(shí)時(shí)交流工具,不僅影響工作效率,也很大可能會(huì)造成帶寬被占用、影響監(jiān)控信息傳送速度降低影響監(jiān)控實(shí)時(shí)反應(yīng),更嚴(yán)重是可能隨之而來的病毒、蠕蟲和木馬的威脅。有效而可靠的管制內(nèi)網(wǎng)用戶使用特定軟件是很必要的。
方便的配置及治理:當(dāng)今講求效率的時(shí)代,路由器也需要提供簡(jiǎn)易配置好治理的配置接口設(shè)計(jì),讓網(wǎng)管由繁復(fù)工作中解放。另外VPN客戶端大多不配備專業(yè)的網(wǎng)管,很多指令行的路由器給設(shè)置帶來了困擾,而想要對(duì)路由器進(jìn)行任一個(gè)操作,都必須找來專業(yè)的人員,這又為實(shí)時(shí)反應(yīng)帶來了變量。因此路由器的配置,最好使用直觀的配置接口及簡(jiǎn)化的配置設(shè)計(jì),即使不是是專門的網(wǎng)管人員經(jīng)簡(jiǎn)單的培訓(xùn)后也可輕易上手,節(jié)省不必要的時(shí)間浪費(fèi)。
VPN遠(yuǎn)程視頻監(jiān)控應(yīng)用
依據(jù)企業(yè)遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)服務(wù)需求及以上組網(wǎng)分析,具有高度性價(jià)比優(yōu)勢(shì)的多WAN VPN防火墻廠商俠諾科技,為遠(yuǎn)程VPN視頻監(jiān)控系統(tǒng)提出一完整的組網(wǎng)方案。
方案功能特點(diǎn)
多WAN端口接入?yún)R聚帶寬:Qno俠諾多WAN產(chǎn)品支持帶寬匯聚、自動(dòng)線路備援等功能,多WAN口接入方式,讓企業(yè)有更大和彈性配置空間。可支持多線路多ISP接入,不僅可以匯聚帶寬以節(jié)省成本,而且還可以實(shí)現(xiàn)線路備援、數(shù)據(jù)分流、負(fù)載均衡等效果。當(dāng)一條線路掉線,會(huì)自動(dòng)改用另一個(gè)WAN連接端口的線路連接,確保VPN聯(lián)機(jī)不掉線,避免掉線時(shí)造成無形的損失與傷害。
強(qiáng)效防火墻有效防病毒攻擊:VPN防火墻,具備主動(dòng)式封包檢測(cè)功能,只需單向啟動(dòng)各式黑客攻擊、蠕蟲病毒防護(hù)功能,即可簡(jiǎn)易完成配置,有效防止內(nèi)外網(wǎng)惡意攻擊,確保企業(yè)網(wǎng)絡(luò)安全,降低網(wǎng)絡(luò)受攻擊帶來的損失。具有內(nèi)建的防制ARP功能,憑借自動(dòng)檢視封包的機(jī)制,偵測(cè)過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內(nèi)網(wǎng)PC端進(jìn)行IP/MAC綁定,即可達(dá)到防堵ARP無漏洞的效果。論文參考網(wǎng)。
QoS帶寬治理優(yōu)化帶寬使用:視頻監(jiān)控多媒體傳輸需要有穩(wěn)定的帶寬,而少數(shù)BT下載等惡意占用帶寬造成網(wǎng)絡(luò)卡,經(jīng)常會(huì)造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個(gè)時(shí)段采取不同的帶寬治理政策,依據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境、時(shí)段,自由選擇管控方式,達(dá)到帶寬利用率最佳化的目的。該功能包含有傳統(tǒng)QoS帶寬管控及智能SmartQoS治理,可依據(jù)聯(lián)機(jī)數(shù)、要害字、最大或最小帶寬等方式進(jìn)行管控,也可啟動(dòng)動(dòng)態(tài)智能治理,對(duì)于非凡的應(yīng)用或用戶進(jìn)行非凡限制。這個(gè)功能并不禁止特定的應(yīng)用,只是加以限制,從而更彈性的提供帶寬服務(wù)。
輕松實(shí)現(xiàn)了中心管控:同時(shí)治理外點(diǎn)多條VPN接入聯(lián)機(jī),對(duì)于大部分網(wǎng)管來說,是非常棘手的問題,尤其是必須反復(fù)留心查詢各點(diǎn)聯(lián)機(jī)狀況、帶寬使用率、視頻監(jiān)控等信息,更是耗費(fèi)許多時(shí)間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能,可一次看清全部VPN聯(lián)機(jī)的情況,再也不必一一地檢查聯(lián)機(jī)的狀況。若需進(jìn)一步協(xié)助設(shè)定或排解問題,網(wǎng)管也可直接進(jìn)入分點(diǎn)的治理接口查看或進(jìn)行設(shè)定治理,安全又有效率。
簡(jiǎn)易又方便的系統(tǒng)治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設(shè)定參數(shù)與組態(tài)清楚明確、簡(jiǎn)單易懂,輕松完成網(wǎng)絡(luò)設(shè)置。還支持強(qiáng)大的系統(tǒng)日志功能,可通過對(duì)日志治理和查找,即時(shí)監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量,進(jìn)而作對(duì)應(yīng)的配置,確保內(nèi)網(wǎng)運(yùn)作無誤。
支持多VPN協(xié)議外點(diǎn)靈活選擇:Qno俠諾高階產(chǎn)品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機(jī)方式,可滿足外點(diǎn)多種VPN彈性配置需求,實(shí)現(xiàn)總部中心端與各分點(diǎn)建構(gòu)實(shí)時(shí)、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。由此可見,多通道多協(xié)議的特點(diǎn)完全能勝任企業(yè)擴(kuò)展及網(wǎng)絡(luò)視頻布點(diǎn),而且外點(diǎn)可根據(jù)實(shí)際規(guī)劃與應(yīng)用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設(shè)定:俠諾SmartLinkVPN快速聯(lián)機(jī),簡(jiǎn)化20多復(fù)雜設(shè)置步驟,將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動(dòng)完成,用戶只需要輸中心端服務(wù)器IP地址、用戶名、密碼三個(gè)參數(shù),即可完成超快速VPN連機(jī)設(shè)定。
策略路由解決VPN跨網(wǎng)瓶頸:由于國內(nèi)長期存在電信、網(wǎng)通互連不互通的問題,許多企業(yè)建立VPN時(shí)會(huì)發(fā)生跨ISP網(wǎng)絡(luò)時(shí)帶寬不足,導(dǎo)致VPN不穩(wěn)定或易于掉線。俠諾多WAN口的設(shè)計(jì),可搭配策略路由的設(shè)定,讓不同ISP外點(diǎn)可直接連到對(duì)應(yīng)VPN服務(wù)器入口,實(shí)現(xiàn)“電信走電信、網(wǎng)通走網(wǎng)通”,從而有效解決跨網(wǎng)受限問題。
指定路由強(qiáng)化網(wǎng)絡(luò)穩(wěn)定性:另外一方面,多WAN口的設(shè)計(jì),也提供了訪問網(wǎng)絡(luò)快速穩(wěn)定的途徑。支持指定路由功能,可通過協(xié)議綁定,將特定的服務(wù)或應(yīng)用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進(jìn)一步保障網(wǎng)絡(luò)的穩(wěn)定性。也可將VPN綁定特定端口,保證VPN通道的穩(wěn)定流暢。
總結(jié)
通過以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產(chǎn)品多項(xiàng)功能,都體現(xiàn)了俠諾簡(jiǎn)單、安全、快速的“3S”研發(fā)理念和貼近用戶需求的專心,幫助企業(yè)以較少的成本、時(shí)間與精力,達(dá)成高效、快速、安全的運(yùn)營效能。非凡對(duì)于遠(yuǎn)程VPN視頻監(jiān)控服務(wù)來說,在帶寬、安全性穩(wěn)定性等多方面都有較高要求,VPN遠(yuǎn)程視頻監(jiān)控解決方案,可有效保持企業(yè)總部和分支機(jī)構(gòu)間的隧道暢通,進(jìn)而保證其服務(wù)的穩(wěn)定性和可靠度,提高安全監(jiān)控的視頻質(zhì)量,當(dāng)異常事件發(fā)生時(shí),可以在第一時(shí)間進(jìn)行處理。論文參考網(wǎng)。可謂是最省成本、且最方便的解決途徑。
春節(jié)假期,偶然在街上碰到大學(xué)同學(xué)小張。多年不見話題就多了,在了解到本人現(xiàn)在所從事的是網(wǎng)絡(luò)安全技術(shù)方面的工作后,他像是碰到了大救星,一個(gè)勁兒要請(qǐng)客吃飯。原來,他利用這幾年打工的儲(chǔ)蓄獨(dú)立創(chuàng)業(yè),加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網(wǎng)絡(luò)。年前,他便按照要求進(jìn)行了統(tǒng)一購買了VPN設(shè)備,但是由于其設(shè)置和應(yīng)用過于復(fù)雜,對(duì)于作為網(wǎng)絡(luò)“外行”的人來說,實(shí)在是有點(diǎn)難以應(yīng)付。此外,因?yàn)榻鹑谖C(jī)的影響,為了壓縮人力資源成本,他暫時(shí)還沒有聘請(qǐng)專業(yè)網(wǎng)管的計(jì)劃,正為這事上火。論文參考網(wǎng)。
其實(shí),這種問題在國內(nèi)數(shù)萬家中小連鎖企業(yè)的經(jīng)營治理過程中絕不是首例。產(chǎn)生這種矛盾的原因有兩點(diǎn):專業(yè)化的高端設(shè)備滿足了企業(yè)的應(yīng)用需求,但是一般的兼職網(wǎng)管無法應(yīng)付其治理和維護(hù);平民化的低端設(shè)備,使用和治理倒是比較簡(jiǎn)單,卻達(dá)不到企業(yè)信息化治理的全面需求。VPN網(wǎng)絡(luò)是未來企業(yè)發(fā)展的大勢(shì)所趨,但當(dāng)務(wù)之急是為企業(yè)提供最為合適的設(shè)備,即要能兼具安全與簡(jiǎn)便的基本特性。安全無須多說,簡(jiǎn)便性就成了體現(xiàn)產(chǎn)品技術(shù)水平的最大差異化,也同樣彰顯了企業(yè)客戶在應(yīng)用上的突出需求之一。事實(shí)證實(shí),其簡(jiǎn)便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場(chǎng)效果。
作為在SMB寬帶接入和VPN應(yīng)用領(lǐng)域耕耘多年的專業(yè)廠商,俠諾科技每年都會(huì)其創(chuàng)新的產(chǎn)品及應(yīng)用功能。但是無論怎樣創(chuàng)新變化,簡(jiǎn)單、安全、快速的“3S”研發(fā)理念都始終貫穿于其系列產(chǎn)品線。其中,簡(jiǎn)便(即Simple)被放在首位——“俠諾極簡(jiǎn)風(fēng),治理一鍵通”。 俠諾的極簡(jiǎn)風(fēng)格,是要求專心體察用戶的細(xì)致需求,將最復(fù)雜的技術(shù)以最簡(jiǎn)單的方式呈現(xiàn)給用戶,讓企業(yè)的網(wǎng)管員用最少的時(shí)間與精力,達(dá)到較為復(fù)雜的配置與治理需求,幫助企業(yè)有效的增進(jìn)運(yùn)營效能。事實(shí)證實(shí),其簡(jiǎn)便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場(chǎng)效果。
1 移動(dòng)互聯(lián)網(wǎng)的安全現(xiàn)狀
自由開放的移動(dòng)網(wǎng)絡(luò)帶來巨大信息量的同時(shí),也給運(yùn)營商帶來了業(yè)務(wù)運(yùn)營成本的增加,給信息的監(jiān)管帶來了沉重的壓力。同時(shí)使用戶面臨著經(jīng)濟(jì)損失、隱私泄露的威脅和通信方面的障礙。移動(dòng)互聯(lián)網(wǎng)由于智能終端的多樣性,用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時(shí)代很不相同,使得移動(dòng)網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別,移動(dòng)互聯(lián)網(wǎng)的安全威脅要遠(yuǎn)甚于傳統(tǒng)的互聯(lián)網(wǎng)。
⑴移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣,部分業(yè)務(wù)還可以由第三方的終端用戶直接運(yùn)營,特別是移動(dòng)互聯(lián)網(wǎng)引入了眾多手機(jī)銀行、移動(dòng)辦公、移動(dòng)定位和視頻監(jiān)控等業(yè)務(wù),雖然豐富了手機(jī)應(yīng)用,同時(shí)也帶來更多安全隱患。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個(gè)人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題。
⑵移動(dòng)互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò),其核心是IP化,由于IP網(wǎng)絡(luò)本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動(dòng)專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面,存在進(jìn)行非法接入網(wǎng)絡(luò),對(duì)數(shù)據(jù)進(jìn)行機(jī)密性破壞、完整性破壞;進(jìn)行拒絕服務(wù)攻擊,利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負(fù)荷過重等等,還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進(jìn)行攻擊。
⑶隨著通信技術(shù)的進(jìn)步,終端也越來越智能化,內(nèi)存和芯片處理能力也逐漸增強(qiáng),終端上也出現(xiàn)了操作系統(tǒng)并逐步開放。隨著智能終端的出現(xiàn),也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統(tǒng)修改終端中存在的信息,產(chǎn)生病毒和惡意代碼進(jìn)行破壞。
綜上所述,移動(dòng)互聯(lián)網(wǎng)面臨來自三部分安全威脅:業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動(dòng)終端的安全威脅。
2 移動(dòng)互聯(lián)網(wǎng)安全應(yīng)對(duì)策略
2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》第11號(hào)政府令,對(duì)網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求。客戶需求和政策導(dǎo)向成為了移動(dòng)互聯(lián)網(wǎng)安全問題的新挑戰(zhàn),運(yùn)營商需要緊緊圍繞“業(yè)務(wù)”中心,全方位多層次地部署安全策略,并有針對(duì)性地進(jìn)行安全加固,才能打造出綠色、安全、和諧的移動(dòng)互聯(lián)網(wǎng)世界。
2.1 業(yè)務(wù)安全
移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類:第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動(dòng)互聯(lián)網(wǎng)上的復(fù)制;第二類是移動(dòng)通信業(yè)務(wù)在移動(dòng)互聯(lián)網(wǎng)上的移植,第三類是移動(dòng)通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合,適配移動(dòng)互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全:
⑴提升認(rèn)證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實(shí)現(xiàn)對(duì)業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配,能夠?qū)崿F(xiàn)用戶賬號(hào)的分級(jí)管理和分級(jí)授權(quán)。針對(duì)業(yè)務(wù)安全要求較高的應(yīng)用,應(yīng)提供業(yè)務(wù)層的安全認(rèn)證方式,如雙因素身份認(rèn)證,通過動(dòng)態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級(jí),防止機(jī)密數(shù)據(jù)、核心資源被非法訪問。
⑵健全安全審計(jì)能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計(jì)模塊,對(duì)相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫操作等處理行為進(jìn)行分析和記錄,實(shí)施安全設(shè)計(jì)策略,并提供事后行為回放和多種審計(jì)統(tǒng)計(jì)報(bào)表。
⑶加強(qiáng)漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng),定期對(duì)主機(jī)、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進(jìn)行漏洞掃描和安全評(píng)估,確保攔截來自各方的攻擊,保證業(yè)務(wù)系統(tǒng)可靠運(yùn)行。
⑷增強(qiáng)對(duì)于新業(yè)務(wù)的檢查和控制,尤其是針對(duì)于“移動(dòng)商店”這種運(yùn)營模式,應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步,通過SDK和業(yè)務(wù)上線要求等將安全因素植入。
2.2 網(wǎng)絡(luò)安全
移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分:接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動(dòng)通信網(wǎng),由終端設(shè)備、基站、移動(dòng)通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成;后者主要涉及路由器、交換機(jī)和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。
⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動(dòng)互聯(lián)網(wǎng)的接入方式可分為移動(dòng)通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對(duì)移動(dòng)通信接入網(wǎng)安全,3G以及未來LTE技術(shù)的安全保護(hù)機(jī)制有比較全面的考慮,3G網(wǎng)絡(luò)的無線空口接入采用雙向認(rèn)證鑒權(quán),無線空口采用加強(qiáng)型加密機(jī)制,增加抵抗惡意攻擊的安全特性等機(jī)制,大大增強(qiáng)了移動(dòng)互聯(lián)網(wǎng)的接入安全能力。針對(duì)Wi-Fi接入安全,Wi-Fi的標(biāo)準(zhǔn)化組織IEEE使用安全機(jī)制更完善的802.11i標(biāo)準(zhǔn),用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補(bǔ)了原有用戶認(rèn)證協(xié)議的安全缺陷。針對(duì)需重點(diǎn)防護(hù)的用戶,可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò),實(shí)現(xiàn)內(nèi)網(wǎng)的安全接入。
⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1)實(shí)施分域安全管理,根據(jù)風(fēng)險(xiǎn)級(jí)別和業(yè)務(wù)差異劃分安全域,在不同的安全邊界,通過實(shí)施和部署不同的安全策略和安防系統(tǒng)來完成相應(yīng)的安全加固。移動(dòng)互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2)在關(guān)鍵安全域內(nèi)部署人侵檢測(cè)和防御系統(tǒng),監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作,判別非法進(jìn)入網(wǎng)絡(luò)和破壞系統(tǒng)運(yùn)行的惡意行為,提供主動(dòng)化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問等惡意操作時(shí),系統(tǒng)會(huì)及時(shí)作出響應(yīng),包括斷開網(wǎng)絡(luò)連接、記錄用戶標(biāo)識(shí)和報(bào)警等。3)通過協(xié)議識(shí)別,做好流量監(jiān)測(cè)。依據(jù)控制策略控制流量,進(jìn)行深度檢測(cè)識(shí)別配合連接模式識(shí)別,把客戶流量信息捆綁在安全防護(hù)系統(tǒng)上,進(jìn)行數(shù)據(jù)篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4)加強(qiáng)網(wǎng)絡(luò)和設(shè)備管理,在各網(wǎng)絡(luò)節(jié)點(diǎn)安裝防火墻和殺毒系統(tǒng)實(shí)現(xiàn)更嚴(yán)格的訪問控制,以防止非法侵人,針對(duì)關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護(hù)等加固措施。
2.3 終端安全
移動(dòng)互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護(hù)手段、移動(dòng)終端的保密管理、終端的準(zhǔn)入控制等。
⑴加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理。移動(dòng)通信終端生產(chǎn)企業(yè)在申請(qǐng)入網(wǎng)許可時(shí),要對(duì)預(yù)裝應(yīng)用軟件及提供者 進(jìn)行說明,而且生產(chǎn)企業(yè)不得在移動(dòng)終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個(gè)人信息的軟件,也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動(dòng)終端通信功能、造成流量耗費(fèi)、費(fèi)用損失和信息泄露的軟件。
⑵不斷提高移動(dòng)互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測(cè)處置能力,建設(shè)完善相關(guān)技術(shù)平臺(tái)。移動(dòng)通信運(yùn)營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測(cè)處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能,將重要數(shù)據(jù)備份到遠(yuǎn)程專用服務(wù)器,當(dāng)用戶的手機(jī)丟失時(shí)可通過發(fā)送短信或其他手段遠(yuǎn)程鎖定手機(jī)或者遠(yuǎn)程刪除通信錄、手機(jī)內(nèi)存卡文件等資料,從而最大限度避免手機(jī)用戶的隱私泄露。
⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法,由指定研究機(jī)構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞信息,定期官方的智能終端漏洞信息,建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識(shí),鼓勵(lì)安裝移動(dòng)智能終端安全軟件,在終端廠商的指導(dǎo)下及時(shí)升級(jí)操作系統(tǒng)、進(jìn)行安全配置。
3 從產(chǎn)業(yè)鏈角度保障移動(dòng)互聯(lián)網(wǎng)安全
對(duì)于移動(dòng)互聯(lián)網(wǎng)的安全保障,需要從整體產(chǎn)業(yè)鏈的角度來看待,需要立法機(jī)關(guān)、政府相關(guān)監(jiān)管部門、通信運(yùn)營商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價(jià)值鏈各方共同努力來實(shí)現(xiàn)。
⑴立法機(jī)關(guān)要緊跟移動(dòng)互聯(lián)網(wǎng)的發(fā)展趨勢(shì),加快立法調(diào)研工作,在基于實(shí)踐和借鑒他國優(yōu)秀經(jīng)驗(yàn)的基礎(chǔ)上,盡快出臺(tái)國家層面的移動(dòng)互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動(dòng)互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù),明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時(shí),要加大執(zhí)法力度,嚴(yán)專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net厲打擊移動(dòng)互聯(lián)網(wǎng)信息安全違法犯罪行為,保護(hù)這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。
⑵進(jìn)一步加大移動(dòng)互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國家層面建立一個(gè)強(qiáng)有力的移動(dòng)互聯(lián)網(wǎng)監(jiān)管專門機(jī)構(gòu),統(tǒng)籌規(guī)劃,綜合治理,形成“事前綜合防范、事中有效監(jiān)測(cè)、事后及時(shí)溯源”的綜合監(jiān)管和應(yīng)急處置工作體系;要在國家層面建立移動(dòng)互聯(lián)網(wǎng)安全認(rèn)證和準(zhǔn)入制度,形成常態(tài)化的信息安全評(píng)估機(jī)制,進(jìn)行統(tǒng)一規(guī)范的信息安全評(píng)估、審核和認(rèn)證;要建立網(wǎng)絡(luò)運(yùn)營商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度,以經(jīng)濟(jì)手段促進(jìn)其改善和彌補(bǔ)網(wǎng)絡(luò)運(yùn)營模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。
⑶運(yùn)營商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商等廠商,要從移動(dòng)互聯(lián)網(wǎng)整體建設(shè)的各個(gè)層面出發(fā),分析存在的各種安全風(fēng)險(xiǎn),聯(lián)合建立一個(gè)科學(xué)的、全局的、可擴(kuò)展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護(hù)措施,保護(hù)各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全,并對(duì)安全產(chǎn)品進(jìn)行統(tǒng)一的管理,包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng),做到防患于未然。移動(dòng)互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強(qiáng)設(shè)備安全性能研究,利用集成防火墻或其他技術(shù)保障設(shè)備安全。
⑷內(nèi)容提供商要與運(yùn)營商合作,為用戶提供加密級(jí)業(yè)務(wù),并把好內(nèi)容安全之源,采用多種技術(shù)對(duì)不合法內(nèi)容和垃圾信息進(jìn)行過濾。軟件提供商要根據(jù)用戶的需求變化,提供整合的安全技術(shù)產(chǎn)品,要提高軟件技術(shù)研發(fā)水平,由單一功能的產(chǎn)品防護(hù)向集中統(tǒng)一管理的產(chǎn)品類型過渡,不斷提高安全防御技術(shù)。
⑸普通用戶要提高安全防范意識(shí)和技能,加裝手機(jī)防護(hù)軟件并定期更新,對(duì)敏感數(shù)據(jù)采取防護(hù)隔離措施和相關(guān)備份策略,不訪問問題站點(diǎn)、不下載不健康內(nèi)容。
4 結(jié)束語
解決移動(dòng)互聯(lián)網(wǎng)安全問題是一個(gè)復(fù)雜的系統(tǒng)工程,在不斷提高軟、硬件技術(shù)水平的同時(shí),應(yīng)當(dāng)加快互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、法規(guī)建設(shè)步伐,加大對(duì)互聯(lián)網(wǎng)運(yùn)營監(jiān)管力度,全社會(huì)共同參與進(jìn)行綜合防范,移動(dòng)互聯(lián)網(wǎng)的安全才會(huì)有所保障。
[參考文獻(xiàn)]
【論文摘要】國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展,進(jìn)一步帶動(dòng)了工業(yè)化發(fā)展.在電子信息系統(tǒng)建設(shè)的過程中,如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個(gè)企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求,針對(duì)需求提出了相應(yīng)的解決辦法。
1.企業(yè)電子辦公系統(tǒng)中的安全需求
電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠,具體表現(xiàn)在以下幾個(gè)方面:信息的安全保密性,滿足信息在存儲(chǔ)、傳輸過程中的安全保密性需求;系統(tǒng)的安全可靠性,確保整個(gè)電子政務(wù)系統(tǒng)的安全可靠;行為的不可抵賴性,保證在所有業(yè)務(wù)處理過程中,辦公人員行為和系統(tǒng)行為的不可抵賴,以便審計(jì)和監(jiān)督;實(shí)體的可鑒別性,是實(shí)現(xiàn)監(jiān)管及其他方面需求的必要條件;對(duì)象的可授權(quán)性,針對(duì)政務(wù)工作的特點(diǎn),要求具有對(duì)對(duì)象靈活授權(quán)的功能,包括用戶對(duì)用戶的授權(quán)、系統(tǒng)對(duì)用戶的授權(quán)、系統(tǒng)對(duì)系統(tǒng)的授權(quán)等;信息的完整性,保證信息存儲(chǔ)和傳輸過程中不被篡改和破壞。
2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)
針對(duì)安全需求,在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù),包括安全技術(shù)和密碼技術(shù),對(duì)涉及到核心業(yè)務(wù)的網(wǎng),還要采用物理隔離技術(shù)進(jìn)行保護(hù)。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,對(duì)信息系統(tǒng)起著不同的安全保護(hù)作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測(cè);系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議;應(yīng)用層安全技術(shù)主要涉及認(rèn)證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。
從網(wǎng)絡(luò)安全角度上講,它們屬于不同的網(wǎng)絡(luò)安全域,因此,在各級(jí)網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻,并實(shí)施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷,達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點(diǎn)主要是無法防止來自防火墻內(nèi)部的攻擊。
3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)
企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(網(wǎng))。隨著各類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展,許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移,使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢(shì)。互聯(lián)網(wǎng)潛在的不安全因素,造成人們對(duì)內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂,所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性,如采用內(nèi)外網(wǎng)的物理隔離方法,將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開,將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。
3.1隔離技術(shù),雙網(wǎng)機(jī)系統(tǒng)。
3.2隔離技術(shù),基于雙網(wǎng)線的安全隔離卡技術(shù)。
3.3隔離技術(shù),數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。
3.4隔離技術(shù),隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān),使內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題,往往成為網(wǎng)絡(luò)的瓶頸。
3.5隔離技術(shù),安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制,來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問題,并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
4.密碼技術(shù)
密碼技術(shù)是信息交換安全的基礎(chǔ),通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性和用戶身份真實(shí)性等安全機(jī)制,從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。
加密技術(shù)的原理可用下面的公式表示。
加密:E k1(M)一C
解密:D k2(C)一M
其中E為加密函數(shù);M為明文;K為密鑰;D為解密函數(shù);C為密文。按照密鑰的不同形式,密碼技術(shù)可以分為三類:對(duì)稱密碼算法、非對(duì)稱密碼算法和單向散列函數(shù)。
在對(duì)稱密碼算法中,使用單一密鑰來加密和解密數(shù)據(jù)。典型的對(duì)稱密碼算法是DES、IDEA和RC算法。這類算法的特點(diǎn)是計(jì)算量小、加密效率高。但加解密雙方必須對(duì)所用的密鑰保守秘密,為保障較高的安全性,需要經(jīng)常更換密鑰。因此,密鑰的分發(fā)與管理是其最薄弱且風(fēng)險(xiǎn)最大的環(huán)節(jié)。
在非對(duì)稱密碼算法中,使用兩個(gè)密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當(dāng)兩個(gè)用戶進(jìn)行加密通信時(shí),發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù);接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送,比較容易解決密鑰管理問題,消除了在網(wǎng)上交換密鑰所帶來的安全隱患,所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對(duì)稱密碼算法是RSA算法。非對(duì)稱密碼算法的缺點(diǎn)是計(jì)算量大、速度慢,不適合加密長數(shù)據(jù)。
非對(duì)稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時(shí)的不可抵賴性,公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。
單向散列函數(shù)的特點(diǎn)是加密數(shù)據(jù)時(shí)不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法解密還原,只有使用同樣的單向加密算法對(duì)同樣的數(shù)據(jù)進(jìn)行加密,才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時(shí)的完整性,以驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改。
5.公共密鑰基礎(chǔ)設(shè)施(PK 1)
PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理,為上層應(yīng)用提供了完善的密鑰和證書管理機(jī)制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機(jī)制在系統(tǒng)中的實(shí)現(xiàn)。
PKI提供的證書服務(wù)主要有兩個(gè)功能,即證實(shí)用戶身份的功能及保證信息機(jī)密性和完整性的功能。它最主要的組件就是認(rèn)證中心(CA)。CA頒發(fā)的證書可以作為驗(yàn)證用戶身份的標(biāo)識(shí),可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。
在CA頒發(fā)的證書基礎(chǔ)上,可以實(shí)現(xiàn)數(shù)字信封,數(shù)字簽名、抗否認(rèn)等功能,提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。
6.入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)(IDS)可以做到對(duì)網(wǎng)絡(luò)邊界點(diǎn)雕數(shù)據(jù)進(jìn)行檢測(cè),對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè),入侵著的蓄意破壞和篡改,監(jiān)視內(nèi)部吊戶和系統(tǒng)管運(yùn)行狀況,查找非法用戶和合法用戶的越權(quán)操作,又用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)人侵行為自規(guī)律,實(shí)時(shí)對(duì)檢測(cè)到的人侵行為進(jìn)行報(bào)警、阻斷,關(guān)鍵正常事件及異常行為記錄日志,進(jìn)行審計(jì)跟焉管理。
IDS是對(duì)防火墻的非常有必要的附加,而不僅是簡(jiǎn)單的補(bǔ)充。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與防一墻進(jìn)行聯(lián)動(dòng),一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將一防火墻發(fā)送通知報(bào)文,由防火墻來阻斷連接,實(shí)現(xiàn)秀態(tài)的安全防護(hù)體系。
企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提,各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實(shí)施,同時(shí)要加強(qiáng)各種安全管理制度,增強(qiáng)系統(tǒng)使用和系統(tǒng)管理者的安全意識(shí),才能從根本上保證系安全可靠的運(yùn)行。■
【參考文獻(xiàn)】
[1]朱少民.現(xiàn)代辦公自動(dòng)化系統(tǒng)的架框研究,辦公自動(dòng)化技術(shù).
關(guān)鍵詞:路由器網(wǎng)絡(luò)技術(shù),網(wǎng)絡(luò)應(yīng)用
一、引 言
當(dāng)前基于IP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)用戶數(shù)量劇增,網(wǎng)絡(luò)流量也發(fā)展迅速。為了使網(wǎng)絡(luò)狀況更加適應(yīng)用戶的需要,作為網(wǎng)絡(luò)核心器件的路由器的不斷升級(jí)換代也就成為大勢(shì)所趨。下面就從路由器的基本概念和分類入手,對(duì)路由器在網(wǎng)絡(luò)中的應(yīng)用技術(shù)做一個(gè)全面的介紹。
二、路由器的基本概念和分類
國際標(biāo)準(zhǔn)化組織(ISO)制定的開放系統(tǒng)互連參考模型(OSI)把網(wǎng)絡(luò)結(jié)構(gòu)自下而上地分成7個(gè)層次:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層、應(yīng)用層。路由器是工作在OSI模型的第三層網(wǎng)絡(luò)層,路由技術(shù)主要作用有兩點(diǎn):決定最優(yōu)路由和轉(zhuǎn)發(fā)數(shù)據(jù)包。路由表中寫入各種信息,由路由算法計(jì)算出到達(dá)目的地址的最佳路徑,然后由相對(duì)簡(jiǎn)單直接的轉(zhuǎn)發(fā)機(jī)制發(fā)送數(shù)據(jù)包。
(一)路由器的基本功能:
1、存儲(chǔ)、轉(zhuǎn)發(fā)信息及尋找最佳路徑的功能。
2、路由功能。包括數(shù)據(jù)包的路徑?jīng)Q策、負(fù)載平衡、多媒體傳輸?shù)取?/p>
3、智能化網(wǎng)絡(luò)服務(wù)。包括QoS、訪問控制列表、身份認(rèn)證、授權(quán)、計(jì)費(fèi)、鏈路備份、調(diào)試、管理等。
(二)按照路由器的接口、處理能力、吞吐量、提供的協(xié)議等可以把路由器分成高、中、低多種檔次。
1、高端路由器位于WAN(廣域網(wǎng))骨干網(wǎng)的中心或骨干位置,構(gòu)成IP網(wǎng)絡(luò)的核心。
2、中端路由器適合于有分支機(jī)構(gòu)的中小型企業(yè),一般位于路由中心位置上,互連企業(yè)網(wǎng)的各個(gè)分支機(jī)構(gòu),
并作為企業(yè)網(wǎng)的出口,上行接入高端路由器中。中檔路由器邊緣可以接入低端系列路由器。對(duì)于中小
型企業(yè)來說,中端路由器是其網(wǎng)絡(luò)的中心。
3、低端路由器主要針對(duì)接口少,處理能力要求不高等場(chǎng)合。論文參考網(wǎng)。
4、專用路由器:如VPN路由器、加密路由器、語音路由器,通過特殊的附加(軟)硬件實(shí)現(xiàn)特定功能。
三、主要網(wǎng)絡(luò)應(yīng)用
1、提高路由器吞吐量的技術(shù)
路由器的吞吐量是指路由器單位時(shí)間內(nèi)能夠轉(zhuǎn)發(fā)的報(bào)文數(shù),通常用pps(PacketPerSecond)表示。以一個(gè)典型的企業(yè)網(wǎng)為例,一個(gè)派駐機(jī)構(gòu)的上行速率有2000pps就夠了,分支的核心路由設(shè)備必需具有幾萬pps的吞吐能力,而公司總部的路由中心則可能需要幾十萬甚至上百萬pps的處理能力。
目前主要有下面的提高路由器吞吐量的技術(shù): 改造路由表;采用Cache;采用分布式處理;高層交換;硬件(FPGA/ASIC)轉(zhuǎn)發(fā)等。交換式路由器(SwitchRouter)就是利用這些技術(shù)的結(jié)晶。
2、可編程ASIC技術(shù)
ASIC技術(shù)能夠使得路由器的速度提高并降低制造成本。由于設(shè)計(jì)生產(chǎn)的投入相當(dāng)大,ASIC基本上都用于已完全標(biāo)準(zhǔn)化和固化的過程。為了滿足計(jì)算機(jī)網(wǎng)絡(luò)各種結(jié)構(gòu)和協(xié)議的頻繁變化的要求,出現(xiàn)了“可編程ASIC”技術(shù)。實(shí)際應(yīng)用中多數(shù)采用在ASIC芯片中內(nèi)嵌入專門處理通信協(xié)議的CPU,通過改寫微碼,使其具有處理不同協(xié)議的能力。
3、VPN技術(shù)
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)絡(luò),是通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常, VPN 是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。 VPN 可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
VPN 架構(gòu)中采用了多種安全機(jī)制,如隧道技術(shù)(Tunneling )、加解密技術(shù)( Encryption )、密鑰管理技術(shù)、身份認(rèn)證技術(shù)( Authentication )等,通過上述的各項(xiàng)網(wǎng)絡(luò)安全技術(shù),確保資料在公眾網(wǎng)絡(luò)中傳輸時(shí)不被竊取,或是即使被竊取了,對(duì)方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。
4、QoS(QualityofService)服務(wù)質(zhì)量
QoS即服務(wù)質(zhì)量,對(duì)于網(wǎng)絡(luò)業(yè)務(wù),服務(wù)質(zhì)量包括傳輸?shù)膸挕魉偷臅r(shí)延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中可以通過保證傳輸?shù)膸挕⒔档蛡魉偷臅r(shí)延、降低數(shù)據(jù)的丟包率以及時(shí)延抖動(dòng)等措施來提高服務(wù)質(zhì)量。
網(wǎng)絡(luò)資源總是有限的,只要存在搶奪網(wǎng)絡(luò)資源的情況,就會(huì)出現(xiàn)服務(wù)質(zhì)量的要求。服務(wù)質(zhì)量是相對(duì)網(wǎng)絡(luò)業(yè)務(wù)而言的,在保證某類業(yè)務(wù)的服務(wù)質(zhì)量的同時(shí),可能就是在損害其它業(yè)務(wù)的服務(wù)質(zhì)量。例如,在網(wǎng)絡(luò)總帶寬固定的情況下,如果某類業(yè)務(wù)占用的帶寬越多,那么其他業(yè)務(wù)能使用的帶寬就越少,可能會(huì)影響其他業(yè)務(wù)的使用。因此,網(wǎng)絡(luò)管理者需要根據(jù)各種業(yè)務(wù)的特點(diǎn)來對(duì)網(wǎng)絡(luò)資源進(jìn)行合理的規(guī)劃和分配,從而使網(wǎng)絡(luò)資源得到高效利用。
5、MPLS(MultiProtocolLabelSwitch)多協(xié)議標(biāo)記交換
多協(xié)議標(biāo)簽交換(MPLS)是一種用于快速數(shù)據(jù)包交換和路由的體系,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機(jī)制。MPLS 獨(dú)立于第二和第三層協(xié)議,諸如 ATM 和 IP。它提供了一種方式,將 IP 地址映射為簡(jiǎn)單的具有固定長度的標(biāo)簽,用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口,如 IP、ATM、幀中繼、資源預(yù)留協(xié)議(RSVP)、開放最短路徑優(yōu)先(OSPF)等等。
在 MPLS 中,數(shù)據(jù)傳輸發(fā)生在標(biāo)簽交換路徑(LSP)上。論文參考網(wǎng)。LSP 是每一個(gè)沿著從源端到終端的路徑上的結(jié)點(diǎn)的標(biāo)簽序列。現(xiàn)今使用著一些標(biāo)簽分發(fā)協(xié)議,如標(biāo)簽分發(fā)協(xié)議(LDP)、RSVP 或者建于路由協(xié)議之上的一些協(xié)議,如邊界網(wǎng)關(guān)協(xié)議(BGP)及 OSPF。因?yàn)楣潭ㄩL度標(biāo)簽入每一個(gè)包或信元的開始處,并且可被硬件用來在兩個(gè)鏈接間快速交換包,所以使數(shù)據(jù)的快速交換成為可能。
MPLS 主要設(shè)計(jì)來解決網(wǎng)路問題,如網(wǎng)路速度、可擴(kuò)展性、服務(wù)質(zhì)量(QoS)管理以及流量工程,同時(shí)也為下一代 IP 中樞網(wǎng)絡(luò)解決寬帶管理及服務(wù)請(qǐng)求等問題。
6、多播技術(shù)
多播路由的一種常見的思路就是在多播組成員之間構(gòu)造一棵擴(kuò)展分布樹。在一個(gè)特定的“發(fā)送源,目的組”對(duì)上的IP多播流量都是通過這個(gè)擴(kuò)展樹從發(fā)送源傳輸?shù)浇邮苷叩模@個(gè)擴(kuò)展樹連接了該多播組中所有主機(jī)。不同的IP多播路由協(xié)議使用不同的技術(shù)來構(gòu)造這些多播擴(kuò)展樹,一旦這個(gè)樹構(gòu)造完成,所有的多播流量都將通過它來傳播。
根據(jù)網(wǎng)絡(luò)中多播組成員的分布,總的說來IP多播路由協(xié)議可以分為以下兩種基本類型。第一種假設(shè)多播組成員密集地分布在網(wǎng)絡(luò)中,也就是說,網(wǎng)絡(luò)大多數(shù)的子網(wǎng)都至少包含一個(gè)多播組成員,而且網(wǎng)絡(luò)帶寬足夠大,這種被稱作“密集模式”(Dense-Mode)的多播路由協(xié)議依賴于廣播技術(shù)來將數(shù)據(jù)“推”向網(wǎng)絡(luò)中所有的路由器。密集模式路由協(xié)議包括距離向量多播路由協(xié)議(DVMRP:Distance Vector Multicast RoutingProtocol)、多播開放最短路徑優(yōu)先協(xié)議(MOSPF:MulticastOpen Shortest Path First)和密集模式獨(dú)立多播協(xié)議(PIM-DM:Protocol-Independent Multicast-Dense Mode)等。論文參考網(wǎng)。
多播路由的第二種類型則假設(shè)多播組成員在網(wǎng)絡(luò)中是稀疏分散的,并且網(wǎng)絡(luò)不能提供足夠的傳輸帶寬,比如Internet上通過ISDN線路連接分散在許多不同地區(qū)的大量用戶。在這種情況下,廣播就會(huì)浪費(fèi)許多不必要的網(wǎng)絡(luò)帶寬從而可能導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)性能問題。于是稀疏模式多播路由協(xié)議必須依賴于具有路由選擇能力的技術(shù)來建立和維持多播樹。稀疏模式主要有基于核心樹的多播協(xié)議(CBT:Core Based Tree)和稀疏模式獨(dú)立協(xié)議多播(PIM-SM:Protocol-Independent Multicast-SparseMode)。
7、網(wǎng)管系統(tǒng)
網(wǎng)管在網(wǎng)絡(luò)運(yùn)營中起著非常重要的作用。方便、強(qiáng)大的網(wǎng)管可以協(xié)助用戶有效地管理網(wǎng)絡(luò)和降低網(wǎng)絡(luò)維護(hù)費(fèi)用。網(wǎng)管協(xié)議非常多,與路由器產(chǎn)品相關(guān)的網(wǎng)管協(xié)議主要有SNMP、RMON等,其中SNMP最常見。SNMP采用(Agent)工作方式,設(shè)備側(cè)(路由器上)運(yùn)行Agent,網(wǎng)管站運(yùn)行管理軟件。的作用包括收集路由器統(tǒng)計(jì)數(shù)據(jù)(如端口收發(fā)報(bào)文總數(shù)等)和狀態(tài)信息(如端口地址等),回答網(wǎng)管站對(duì)這些信息的查詢;傳達(dá)網(wǎng)管站的設(shè)置命令,如TCP連接復(fù)位、配置端口IP地址等;發(fā)生異常事件時(shí)主動(dòng)向網(wǎng)管站報(bào)告等。
四、結(jié)束語
以上是對(duì)基于路由器的網(wǎng)絡(luò)技術(shù)進(jìn)行了簡(jiǎn)單的介紹。若有不當(dāng)之處,還請(qǐng)廣大讀者進(jìn)行批評(píng)指正。相信隨著上網(wǎng)用戶的越來越多,隨著寬帶網(wǎng)建設(shè)的如火如荼,對(duì)路由器技術(shù)更新的要求會(huì)越來越強(qiáng)烈。我相信,在未來會(huì)有適應(yīng)網(wǎng)絡(luò)發(fā)展要求的新技術(shù)不斷涌現(xiàn),并將得到廣泛的應(yīng)用。
參考文獻(xiàn)
1.謝希仁.《計(jì)算機(jī)網(wǎng)絡(luò)》.電子工業(yè)出版社, 2005年1月
2.銳捷網(wǎng)絡(luò).《網(wǎng)絡(luò)互聯(lián)與實(shí)現(xiàn)》.北京希望電子出版社,2006年11月
3.思科網(wǎng)絡(luò)技術(shù)學(xué)院.《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》.人民郵電出版社,2007年3月