网站原创【摘 要】人类已经进入21世纪,以网络传输技术、多媒体技术为代表的信息技术飞速发展促使社会的各个领域都发生了前所未有的深刻变革.但是由于网络的天然特性决定了可能存在许多网络安全性隐患,这些安全性隐患所造成的后果将有可能造成巨大的经济损失,或者严重的社会问题,所以网络安全性设计也越来越被人们所重视.本文结合多年来的工作经验,从网络安全隔离、防火墙设计、入侵防御系统设计、VLAN安全性设计、病毒防治、集中网络安全管理六个方面提出了政府办公大楼计算机网络安全性设计的一些想法.
【关 键 词】网络;安全性设计;安全隔离;防火墙;入侵防御系统;VLAN
TheDesignofNetworkSecurityforGovernmentOfficeBuildingComputer
LiJian-dong
(Mengzie-governmentManagementCenterYunnanMengzi661199)
【Abstract】Mankindhasenteredthe21stcentury,themultimediatechnologyandworktranissiontechnologyareregardedastherepresentativetopromotetherapiddevelopmentofinformationtechnologyinallareasofsociety.However,theremaybemanyworksecurityrisksduetothenaturalcharacteristicsofthework.Theconsequencesofthesesecurityriskaycausehugeeconomiclosses,orserioussocialproblems.Sotheworksafetydesignisalsomoreandmoreattentionbythepeople.Inthispaper,binedwithmyyearsofworkexperience.Inthispaper,binedwithmyyearsofworkexperience,fromtheworksecurityisolation,firewall,intrusionpreventionsystemdesign,VLANsecuritydesign,virusprevention,centralizedworksecuritymanagementofthesixaspectsofmygovernmentofficebuildingputerworksafetydesignofsomeideas.
【Keywords】work;securitydesign;securityisolation;firewall;intrusionpreventionsystem;VLAN
1引言
在信息化社会中,网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用.社会对网络信息系统的依赖也日益增强.各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中.另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制.以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征.网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题.
然而,伴随着信息产业发展而产生的互联网和网络信息的安全问题,也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题.目前,全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重.面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题.
网络安全问题为什么这么严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,我们可以归纳为四个方面:网络的开放性、自身的脆弱性、攻击的普遍性、管理的困难性.所以进行网络建设时,网络安全性设计是非常重要的.
1网络安全隔离
网络隔离主要分为两类隔离,第一类隔离叫物理隔离,第二类隔离叫逻辑隔离.所谓物理隔离是指使两个网络在物理连线上完全隔离,且没有任何公用的存储信息,保证计算机的数据在网际间不被重用.被隔离的两端永远无法通过隔离部件交换信息.而逻辑隔离则是指被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离.
一般认为物理隔离的安全性要高于逻辑隔离.在网络安全性设计时主要是从系统的重要程度即安全等级考虑划分合理的网络安全隔离方式.
针对政府办公大楼应根据安全等级和上级部门的要求设计网络的隔离方式,如果安全性不是很高的专网,为了节省开销、避免重复投资、方便用户使用等,可以设计为与Inter网逻辑隔离,如果安全性要求很高,或者建设时上级部门要求必须物理隔离的,必须设计为与Inter网物理隔离.比如蒙自市的统计专网、OA专网等,上级部门没有特殊要求,并且安全级别要求不是很高,所以就设计为与Inter网逻辑隔离,通过VLAN技术实现三网的逻辑隔离,共用Inter网的核心交换机、楼层交换机、楼层内部通信线路等.而电子政务专网由于省级要求必须物理隔离,所以就用单独的通信线路、路由器、核心交换机、楼层交换机.3防火墙设计
防火墙是建立在内外网络边界上的过滤封锁机制,它对网络提供怎么写作和访问定义并实现更大的安全策略.防火墙的主要目的是对受保护的网络实现访问控制,它要求所有对网络的访问必须通过防火墙的检查,从而实现所定义的安全策略.利用防火墙的端口映射功能,可以隐蔽内部的真实IP地址,避免通过IP欺骗等方法突破路由进入局域网,限制外部网络用户对内部主机的访问.通过访问控制列表(ACL),可进行包过滤,对经过的网络数据包进行过滤,可以限制哪些数据包可以接收;哪些数据包需要拒绝;可以限制网络流量,提高网络性能.
考虑到政府网站的安全性要求高,在进行安全性设计时应利用防火墙的端口映射功能,把公网IP地址映射成怎么写作器的私网IP地址,并把怎么写作器划入防火墙的DMZ区域,从而达到了隐蔽内部的真实IP地址,避免攻击怎么写作器.考虑到政府工作人员上班时间玩游戏和从事网上娱乐活动,可以利用防火墙的ACL技术,开放有限端口,如仅打开WWW端口、电子邮件端口、FTP端口、DNS端口等.考虑到政府工作人员上班时利用BT等P2P软件下载大量数据而影响整体网速,可以使用ACL技术来限制下载速度,从而达到限制网络流量,提高网络性能的目的.
4入侵防御系统设计
防火墙作为一个网络安全设备,虽然可以阻止一部分攻击,但是对于很多安全问题却是束手无策:
(1)它不能防上来自网络内部的攻击,也就是防外不防内;
(2)由于受到性能上的限制通常它不具备实时监控的能力;
(3)入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敲开的后门;
(4)它只能对第三层(网络层)或第四层(传输层)进行检查,不能检测到应用层的内容.
入侵防御系统(IPS)是一种主动的、积级的入侵防范和阻止系统,它部署在网络的进出口处,当检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断.入侵防御系统拥有数目众多的过滤器,能够防止各种攻击.当发现新的攻击手段后,它会创建一个新的过滤器.如果攻击者利用第二层(数据链路层)―第七层(应用层)的漏洞发起攻击,入侵防御系统能够从数据流中检查出这些攻击并加以阻止.在政府办公大楼计算机网络安全性设计时,可以把入侵防御系统设备设计在防火墙和核心交换机之间,并且把楼层交换机传输的数据包引入到入侵防御系统中,这样它既可以对防火墙安全性的不足进行补充,又可以防止内部病毒的传播和攻击型病毒对网络的影响.
5VLAN安全性设计
VLAN(VirtualLocalAreaNetwork)的中文名为“虚拟局域网”.VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术[7].通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播.在共享网络中,一个物理的网段就是一个广播域.而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段.这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分.这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能.
在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样.同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好地控制不必要的广播风暴的产生.同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性.在政府办公大楼计算机网络安全性设计时应把VLAN考虑进去.在核心交换机上根据需要划分若干个VLAN段和配置VLAN虚接口IP.不同的楼层交换机使用不同的VLAN段,或按照工作职能来划分VLAN段,比如相同职能的部门不管处在哪个楼层交换机都使用同一个VLAN段,而不同职能的部门使用不同的VLAN段.这样既方便管理,又可以控制病毒和ARP攻击的大范围传播.
| 有关论文范文主题研究: | 关于网络安全的论文范文检索 | 大学生适用: | 高校毕业论文、自考论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 16 | 写作解决问题: | 如何写 |
| 毕业论文开题报告: | 文献综述、论文设计 | 职称论文适用: | 期刊发表、职称评中级 |
| 所属大学生专业类别: | 如何写 | 论文题目推荐度: | 最新题目 |
6病毒防治
网络病毒往往令人防不胜防,尽管对网络进行了网络隔离,但移动存储设备互用以及人为等原因,病毒防治依然不可掉以轻心.因此,采用适当的措施防治病毒是进一步提高网络安全的重要手段.为了节省经费的开销,方便使用,方便升级,可以在核心交换机上建设一台装有网络版杀毒软件(如端星杀毒软件网络版)的怎么写作器,而整个政府办公大楼的办公电脑使用杀毒软件的客户端.
7集中网络安全管理
网络安全不能仅仅依靠安全设备,还需要制定一个全方位的安全管理策略,在全网范围内实现统一集中安全管理.可以包括几项措施:
(1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;
(2)任期有限原则,技术人员不定期地轮岗;
(3)职责分离原则,非本岗人员不得掌握用户名、等关键信息;
(4)责任制原则,谁出现安全性问题,产生的后果谁负责;
(5)需要及时升级系统软件补丁,关闭不用的怎么写作和端口等.
8结束语
网络安全是一个综合性的课题,涉及技术、管理等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题.针对不同的网络要求应有不同的设计方案,而安全也只是一个相对的概念.随着计算机技术的不断发展,将会产生变化,只有继续对计算机网络安全体系进行持续深入的研究和探讨,才能更好地实现网络安全.