网络安全技术服务方案篇
.安全层次与需求的对应关系
一个系统的安全层次主要包括物理安全、网络安全、数据安全和应用安全,系统的安全需求主要有网络隔离、抵御非法攻击、数据加密、身份认证、不可抵赖、访问控制、安全审计等。系统的安全层次和需求的对应关系如图所示。
.安全需求分析
电子政务系统的安全性是一个复杂的问题。
目前,
对系统威胁最大的是非法用户的外部攻击,对电子政务的网络和数据的非法渗透、窃取和破坏,因此我们需要优先实现网络层和数据层的安全,在此基础上实现应用层的安全才有意义。
对于物理层和网络层的安全来讲,安全需求的变化不多,主要是新的黑客攻击手段和病毒的产生。电子政务系统的安全需求和风险主要集中在网络安全和应用安全方面,
重点被保护对象是应用服务器和数据库服务器。尽量将应用服务器系统和数据库系统进行网络隔离,
这样,即使应用服务器被破坏,
数据库系统也能保证安全。根据以上分析,下面对电子政务系统的网络安全方面进行技术方案设计。
技术解决方案
.二级安全层方式设计
目前成熟的网络安全的手段很多,
我们采用二级安全层方式来保证网络安全,
其中包括防火墙、防病毒和入侵检测种安全防护措施。总体方案设计如图所示,说明如下:第一安全层的功能包括防火墙、、入侵检测和防病毒网关,
主要用于保护服务器,第二层包括防火墙和入侵检测,用于防护应用服务器和数据库服务器。
负载均衡器在本方案中实现对服务器和应用服务器的负载均衡。方案采用了包括防火墙、防病毒和入侵检测这种重要的安全防护措施,
重点防范非法入侵,黑客攻击和网络病毒攻击,形成多级防护体系,
解决所有主要的网络安全问题。同时,采用负载均衡技术,
全面实施高可靠性解决方案和动态负载均衡,
使整个系统具有极高的可靠性和扩展性,负载均衡器可以硬件和软件两种方式实现,
如果用硬件实现,则性能较高,如果用软件实现,
则性能较低,但经济性好。需要说明的是应用服务器本身必须支持集群技术,该方案中没有隔离应用服务器和数据库服务器,
故性能较高。
.二级安全层方式简化设计
如果我们简化上一个方案,则可以只在重负载设备前使用负载均衡器,
方案图如下所示:
.网络隔离方案
由于网络隔离可以使数据库服务器更安全,实际上就是指逻辑隔离,实现逻辑隔离的方法通常采用技术,
通过划分为不同的子网实现隔离,如果将应用服务器和数据库服务器部署在不同的子网,
则应用服务器和数据库服务器之间必须通过隔离网关进行访问,如图如下:关键是隔离网关具体如何实现,如果使用支持的交换机作隔离网关(也可以使用支持的网卡),
实现网络层交换,有安全隐患,
可能会招致非法用户的网络攻击。
但是性能较高。如果考虑更高等级的安全,
我们可以将隔离网关实现为应用层交换,网络层不通,阻断了网络攻击。但是需要开发应用程序支持应用层交换,工作量较大,
性能也会受到影响。由于前端有二级防火墙保护,被黑客攻破而到达这里的可能性很小,故网络隔离方案可以先实现简单隔离网关,即用硬件实现的隔离网关,
实现对数据库服务器的三级保护。
小结与展望
本文所介绍的基于二级安全层方式的网络安全技术方案,经实际应用后,
能够很好地保障电子政务网络不受攻击并稳定运行。但是,
系统的安全性是一个复杂的问题,
不仅仅是技术问题,
也是一系列安全制度和策略问题等方面的问题,其难点往往不是在技术上,而是在于实施一个完整的安全保障体系。
只有在安全策略、管理制度、用户责任和保密教育等方面不断地改进和完善,建立起完善的信息安全保障体系,才能促进电子政务健康、稳步地发展。
网络安全技术服务方案篇
关键词:虚拟专用网络()发展。概述虚拟专用网络即()。
顾名思义,
虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠(服务提供商)和其它(网络服务提供商),
在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。草案理解基于的为:“使用机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
。在企业中的主要应用.通过专线连接实现广域网的企业,由于增加业务,
带宽已不能满足业务的需要,需要经济可靠的升级方案;大中型企业、集团公司:建立全公司的的远程互联,
构建内部专用网络,实现安全的;.企业的内部用户和分机构分布范围广、距离远,需要扩展企业网,
实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业;
.分支机构、远程用户、合作伙伴多的企业,需要组建企业专用网;四是关键业务多,
对通信线路保密和可性要求高的用户,如银行、证券公司、保险公司等;
五是已有各种远程专线连接,需要增加网络连接备份的单位。。带给企业的好处.可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司有内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,
一个企业的解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。统计结果显示,
企业选用替代传统的拨号网络,可以节省%―%的费用;替代网络互联,
可减少%―%的费用。
.能大大降低网络复杂度,简化网络的设计和管理,在充分保护现有的网络投资的同时,加速连接新的用户和网站,增强内部网络的互联性和扩展性。
.还可以实现网络安全,可以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。
随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。.能增加与用户、商业伙伴和供应商的联系,它可用于不断增长的移动用户的全球因特网接入,
以实现安全连接;可用于实现企业网站之间安全的虚拟专用线路,用于经济有效地连接到商业伙伴的用户的安全外联网。。的实现技术.隧道技术区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,
按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,
用于传输第二层网络协议,它主要应用于构建远程访问;另一种是三层隧道协议,用于传输第三层网络协议,
它主要应用于构建和。.加密技术数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于的、用于的和三次。
虽然强度比较弱,
但是保护免于非专业人士的攻击已经足够了;和三次强度比较高,可用于保护敏感的商业信息。加密技术可以在协议栈的任意层进行,
可以对数据或报文头进行加密。
在网络层中的加密标准是。
网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,
因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,安全粒度达到个人终端系统的标准;而“隧道模式”方案,
安全粒度只达到子网标准。在链路层中,
目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
.技术通过隧道技术和加密技术,
已经能够建立起一个具有安全性、互操作性的。但是该性能上不稳定,管理上不能满足企业的要求,这就要加入技术。实行应该在主机网络中,
即所建立的隧道这一段,
这样才能建立一条性能符合用户要求的隧道。机制具有通信处理机制以及供应和配置机制。网络资源是有限的,
有时用户要求的网络资源得不到满足,管理员基于一定的策略进行机制配置,
通过机制对用户的网络资源分配进行控制以满足应用的需求,
这些机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
。的主要作用
.远程访问
为克服传统远程访问的问题,
推出了基于的远程访问解决方案。如图所示,这种方案充分利用了公共基础设施和,远程用户通过接入,
再穿过连接与相连的企业服务器,
来访问位于服务器后面的内部网络。
一旦接入服务器,就在远程用户与服务器之间建立一条穿越的专用隧道连接。这样,远程客户到当地的连接和服务器到当地的连接都是本地网内通信,虽然不够安全,
但是由于采用加密技术,远程客户到服务器之间的连接是安全的。.远程网络互联
基于的网络互联已成为一种热门的新型技术,它利用专用隧道取代长途线路来降低成本,提高效率。
两端的内部网络通过服务器接入本地网内的,通过建立虚拟的专用连接,如图所示。
特别是宽带网业务的发展,为基于的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
.网络内部安全
与上的应用类似,内部网也有两种应用模式,一种是基于的“远程访问”,另一种是基于的“网络互联”,如图所示。
此外,也被用于两个主机之间的安全连接,如服务器之间的连接。
。结语
网络安全技术服务方案篇
.问题的提出。随着我国经济发展和社会进步,
国民“有闲”[]时间逐步延长,我国已逐步进入“有闲社会”[],同时旅游也逐渐成为社会休闲的主要方式,网络空间中旅游议题也随之聚集。
同时随着网络社会的到来,旅游网络舆情危机事件的发生也常态化,并于近年数量大幅增加[],
旅游网络舆情危机治理的需求日益突现。基于云计算构建以旅游网络舆情信息为中心的舆情收集、分析、处理、利用等基础档案数据,建立旅游网络舆情云档案体系具有深远意义。
.旅游网络舆情云档案的?值。
年李克强提出了“互联网+”行动计划,要求大力推行大数据、云计算、物联网等信息技术在社会诸领域中的应用。
智慧旅游的发展也对旅游网络舆情档案化、信息化提出了要求。同时,以高度复杂性和不确定性为特征的后工业化时代[],
挖掘云档案意义深远。
.。有利于促进旅游网络舆情信息的整合。档案集成管理是档案管理发展到一定水平的标志,
它能使具体管理活动中的各要素整合为统一体,从而实现信息规模效应。当前我国旅游网络舆情信息的整合还处于起步阶段,其资源价值还未充分显现。
云计算等新技术快速发展的背景下,由技术进步助推管理水平提升成为档案管理面对的重要机遇。云档案系统是一个集旅游网络信息的收集、处理、研判、使用及归档于一体的资源整合平台,可以使信息资源的规模效应逐渐呈现。
.。有利于旅游网络舆情档案的技术化、规范化。
档案管理采用了一系列新技术、方法,但对新技术的融合水平还不高,
致使相关业务仍处于分散化的低层次。云档案系统将业务通过云平台来实现,旅游网络舆情通过监测点自动进行收集、研判、预警及归档,提升档案管理的信息化水平和工作的主动性,
实现档案管理的技术化和规范化。
.。有利于旅游网络舆情资源的充分利用。旅游网络舆情是有闲社会中关注民生状况和现实需求的一个重要渠道,同时也是有关部门做出回应的依据和平台,
因此旅游网络舆情档案建设要突出其资源特性,充分挖掘其潜在价值。基于云计算的平台可以有效实现档案的跨资源共享,有效避免档案资源的重复建设,
形成旅游网络舆情的“大数据”,建立以人为本的共建共享系统。[]
旅游网络舆情云档案体系构建困境及路径选择
.云档案体系构建面临的困境。
结合旅游网络舆情档案资源的特点和云档案建设中面临的实际,
在体系构建中存在以下困境:
.。技术贫乏。旅游网络舆情云档案体系主要实现跨平台、跨部门、集约化的档案管理功能,
该系统的构建面临的首要难题是技术瓶颈,档案管理部门很难掌握并利用云计算来构建平台,自己开发软件、搭建服务器是不太现实的。
.。资金枯乏。云平台是建立在大规模服务器基础上的,
硬件投资将是一项巨大的投入,档案部门通常很难承受自主建设的费用,还需开发专门针对旅游网络舆情档案管理的软件平台,由于技术、资金缺乏,此项任务通常很难通过部门内部实现。
.。人员缺乏。平台从设计到维护、管理都需要专业人员进行,当前档案管理部门的人员大多来自于档案学、图书馆学等领域,计算机背景人员稀缺。专门设立机构招聘或培养专门的技术人员产生的成本又较高,
短期解决专业人才稀缺问题很难实现,这将严重影响到档案管理信息化的进程。
.。资源匮乏。平台形成相关领域信息的“大数据”环境,要求必须掌握全面的信息源,
而档案管理部门所掌握的信息源远远不够。信息资源的有限性很难满足云服务海量数据的需求,档案信息资源的匮乏也是云档案体系面临的又一难点。
.模式对于困境的化解。
()是信息技术外包的简称,
是指档案部门将旅游网络云档案平台建设、维护等相关技术服务通过外包的形式全部或部分交给企业,
既体现技术的专业性,也充分注重用户的现实需求,对于破解旅游网络舆情云档案平台建设难题具有积极意义。
第一,
提供专业技术支持。模式可以提供专业化的技术服务,解决档案部门技术缺乏的问题,
目前信息服务外包已经形成较为成熟的运作体系,可以为社会提供专业化服务。
第二,可以有效降低平台建设及运行成本。
自主开发的信息系统后续维护、升级费用较多,摒弃自主开发的方式,
将服务外包给服务商,
只需提出功能要求即可,
支付的成本只有服务费用,实现了成本的最小化。
第三,可以提供专业化人才支持。
信息社会要求信息化专业人才,档案管理部门需培养和开发本部门人才的同时主动利用现成的专业化服务。模式在一定程度上使档案管理部门在现有条件下解决技术人才缺乏的难题。
第四,服务商掌握着海量信息资源。
当前一些成熟的服务商已经具备了一定的硬件和数据规模,其拥有的服务器中掌握了海量的信息资源,为开展档案服务打下了良好的基础。
基于的旅游网络舆情档案管理体系框架
.体系构建的目标。基于的旅游网络舆情档案管理体系是以信息技术外包的方式,
构建跨部门、跨资源、互联共享的旅游网络舆情档案管理平台,其目的在于实现档案管理的系统化、集约化、信息化、智能化、共享化和精准化的“六化”任务。
.。档案流程系统化。档案是一种重要的信息资源,
信息社会中各种电子信息的大量产生和信息系统的使用,使得档案表现为信息化、电子化的新形式,
传统的档案管理流程对于海量的电子档案的管理表现乏力,尤其是基于网络舆论产生的非正式的、非模式化的档案管理,
更是难上加难。因此构建一套上下统一、部门协调、资源整合的档案管理系统,有利于实现档案管理流程系统化。
.。管理平台集约化。
对旅游管理部门而言档案管理更为重要,其不仅是业务流程的收尾,更是改进服务的开始。但传统档案管理模式下各部门间处于分散化、碎片化的状态,
使部门档案融合度不高,基于的旅游网络舆情档案管理体系就是要通过将最难的技术工作外包给技术服务商,外包开发专门的档案管理平台,实现旅游网络舆情档案管理的系统化、一体化、协同化和资源的共享化,从而实现管理平台的集约化。
.。管理手段信息化。随着信息技术的发展和网络的普及,信息化建设成为档案工作的必然要求,尤其是旅游网络舆情档案对信息化水平要求更高。
同时,信息化本身也是档案业务发展、提高档案工作人员素质和档案信息资源开发的需要,基于的档案管理体系正好能够实现这一目标。
.。管理方式智能化。
随着“互联网+”概念的提出及信息技术在档案管理中的应用,智慧档案的概念和实践已经因应而生。
模式下的旅游网络舆情档案管理系统可以将技术开发、维护等外包,而其他功能都由部门根据实际需要设计,
使档案管理流程进行重新设计,通过先进的信息技术对档案进行智能处理,从而提升档案管理智能化水平。
.。档案资源共享化。通过云档案系统设计将所有旅游网络舆情档案存储于云端,而各档案管理部门及外部用户都通过获取相应的权限而获取档案资源,
从而使相关档案信息充分共享、整合,
最大可能地发挥档案信息应用的价值。
.。档案服务精准化。随着大数据在各项工作中的应用,“精准”已经成为管理服务领域的工作要求,
基于云的档案平台在精准服务方面有诸多优势。标准化的数据库、海量的数据有利于情报的深度开发和趋势识别;通过网络直接将服务面向服务对象,
避免服务真空;与商合作,有利于充分利用现有资源,
有效保证档案服务的精准化。
.平台构建的原则。
.。以“混合云”为服务模式。云计算服务供应商以公有云、私有云和混合云三种方式提供服务,
公有云安全性较差,私有云费用较高,混合云结合二者的优点将安全性要求较高的数据置于私有云,同时享受公有云的“大数据”资源。旅游网络舆情档案需要充分利用公有云的数据,
同时也加强安全保障,因此混合云应当成为服务模式。
.。以?槿砑?开发途径。软件开发是该平台构建的主要内容,
其通过的形式进行,
即档案管理部门成立相关机构论证平台的功能,并进一步与信息技术服务商协调,由服务商提供技术支持和维护,用户端的操作由档案管理部门完成,
但供应商承担培训义务,因此在资金短缺、技术人才缺乏的情况下是软件开发的理想途径。
.。以顾客需求为服务导向。档案管理尤其是旅游网络舆情档案主要面向旅游管理部门及旅客,其构建过程要坚持顾客需求为中心的理念,
突破传统档案只为部门服务、归档的认识,切实从用户的角度出发、主动开发档案资源,满足用户需求,为旅游网络舆情治理提供支持。
.。以信息公开为服务方式。数据共享已经成为信息社会的广泛需求,
其是信息增值的直接途径,也是保障公民知情权的基本要求。现代社会旅游已成为民众休闲的主要方式,旅游舆论特别是网络舆论已经成为民众休闲选择的重要依据,旅游档案管理部门有必要也有需要将该信息向网民公开,
在旅游网络舆情档案管理平台构建中,要充分考虑到信息公开的功能设计和顾客要求,以信息公开为最基本的服务方式。
.。以信息安全为平台保障。安全问题是电子档案系统最脆弱的环节,
是其功能正常发挥的前提和保障,
以为基础的旅游网络舆情云将系统置于企业级的安全网络环境中,由专业技术人才进行维护,有效避免了传统档案中各种突发事件造成的档案安全风险,实现档案管理全流程安全保障[]。
.体系的总体框架。基于的旅游网络舆情档案管理系统主要以信息技术服务外包的方式通过与供应商合作,
开发一套基于云计算的旅游网络舆情档案管理平台,结构如图所示,主要包括用户层、业务层、数据层、物理层和管理层个层次,其中用户层由外包商开发,
由档案管理部门获取相应使用和管理权限,
其他几个层次由外包商结合档案管理部门的要求,利用自身资源进行开发,并承担相关的安全维护和技术支持服务。
.。物理层。
物理层在体系中处于底层,属于硬件支持层,
主要是云服务器、交换机、存储器及其他设备所处层次,其是整个体系的核心部分,大型的企业通常拥有大规模的服务器等硬件资源,
其不但可以保证数据运行的质量,同时使网络环境的安全性得到保障,该层次的服务可以通过购买实现。
.。数据层。
数据层是档案管理系统的业务核心,为档案业务的开展提供数据服务。其主要由基础数据库、部门数据库、动态数据库、其他数据库组成。
基础数据库是关于旅游档案的基础信息数据库,由国家旅游局掌握的公共旅游信息为主构成;
部门数据库由特定的档案管理部门独立掌握具有一定部门特性和专业属性以及保密要求的数据库;动态数据库主要基于自动侦测技术,动态地对互联网中的旅游舆情信息进行监测、收集、整理和归档等;其他数据库是为了满足一些其他要求建立的专门数据库,
如统计信息数据库等。
.。业务层。
业务层也即功能层、应用层,它主要表现为开展旅游舆情档案管理的一系列软件、应用,主要由档案管理部门根据旅游网络舆情档案管理的内容提出功能设计要求,由技术服务商开发设计的软件平台,具体可以包括档案采集、档案转移、档案处理、档案存储、档案服务、档案统计等功能。
该层次以物理层和数据层为支撑进行,是业务功能开展的主要层次,
其所有数据都处于数据库中,一些保密性较强的数据库应当置于私有云中。
.。管理层。管理层是对整个云平台中业务层、数据层、物理层进行的支持工作,包括安全管理、服务管理、质量管理、监控管理、使用计量和系统维护等工作,
其主要由服务商的专业技术团队进行的。由于技术管理队伍较为专业,因此档案管理部门无需组织专门的技术队伍,可以节约大量资金和人力成本。
.。用户层。
用户层是档案管理部门与供应商根据合同与系统功能设计提供给用户使用的层次,包括用户权限、浏览器端功能、客户端等。该层次是整个旅游网络舆情档案管理系统的入口和服务的出口,也是档案部门工作人员从事档案管理业务的主要平台,
所有的业务活动都是通过这个平台来实现的。
公众等其他主体获取相关信息的渠道也由此层次设置,并通过接入互联网来实现。
总结与展望
网络安全技术服务方案篇
关键词:军事通信网络;民用通信网络;网络融合;
集成模式;
叠加模式
中图分类号:?文献标识码:文章编号:?()??
引言
走中国特色军民融合式发展路子,
是党在新世纪新阶段提出的重大发展战略,其本质就是要打破军民之间资源利用的界限,在“更广范围、更高层次、更深程度”上把国防和军队建设深深融入经济社会发展之中,实现富国与强军相统一。作为军民融合式发展的重要组成部分,
军事通信军民融合式发展就是要“搭”地方通信发展的快车发展我军通信事业,
“借”地方完善的信息基础设施为部队提供服务。
在推进我军通信建设的进程中,如何利用民用通信网络的技术和资源,
实现军民通信网络融合,是需要研究解决的一个重要课题。本文从技术的角度就军、民通信网络融合的模式问题进行探讨,并针对不同的模式提出可能的网络融合方案。
融合的概念
“融合”是几种不同事物合成一体,
使其比单一事物更有价值或更具效能。网络融合,是指各种网络的技术、业务、市场、终端乃至管理制度和政策方面的融合,对于通信网络而言就是在技术上趋向一致,
在网络层上互联互通,在业务层上互相渗透和交叉,在应用层上使用统一的协议,在经营上互相竞争、互相合作,朝着提供多样化、多媒体化和个性化服务的同一目标发展。
即打破传统的一种通信网络只提供一种业务的局面,构建统一的网络平台为语音、图像、数据、视频等提供承载,
所有业务一律实现化等。随着信息技术的快速发展,网络融合已成为一种发展的必然趋势。比如民用通信网中的电信网、广播电视网、互联网呈现出技术趋同,业务趋同,
结构趋同的现象,从而使得“三网融合”成为大势所趋。“三网融合”将开拓出一个以为基础的新一代网络,进而逐步实现网络资源共享、互联互通和技术创新[?]。
在军事通信领域,
以网络为中心的信息化战争要求各类通信系统之间互联互通,对已建的通信系统按横向一体化标准进行信息化改造,实际上就是实现军事通信网的网络融合。
军事通信网与民用通信网都是国家通信网的组成部分,
在技术体制、发展方向、网际关系等方面具有一致性。
单就技术体制而言,两种网络的网络结构、网络技术等都趋于一致,
如体系构成上均可分为接入层、承载层、控制层和业务层,
网络在技术上都实现了信号数字化、协议化和业务分组化,逐渐向协议的汇聚已成为下一步发展的共同趋向[?
]。
基于技术的网络的最大特点是网络的可分离性,网络融合正是建立在网络可分离的前提下,因而军、民通信网络在网络融合方面也具有一致性。
融合基础
目前有以下几项技术在军、民通信网络融合方面起到重要作用:数字技术、光通信技术、/通信协议、密码技术和软交换技术[,
?]。
数字技术借助一定的设备将图像、文字、声音、视频等各种信息编码成由二进制数字“”,“”组成的数据流在网络中进行传输和交换,数据在网络中都成为统一的/比特流。这一技术使得各类网络有了共同的语言。
光通信技术的发展,为传送各种业务信息提供了必需的带宽和传输质量,光通信的发展使传输成本大幅度下降,使通信成本最终成为与传输距离几乎无关的事,
因而在传输平台上具备了融合的技术条件。/通信协议的最初目的就是实现异构系统的互连互通,/通信协议的普遍采用,使得各种以为基础的业务都能在不同的网络上实现互通,
屏蔽了下层具体的基础网络。而基于技术的网络最大特点是网络的可分离性,即业务与控制分离,
控制与承载分离,这种分离使业务的多样性和综合性得以实现,并提供了一个开放的信息平台,使得无论何种终端、何种接入方式都可以共享同一承载网络。/通信协议是实现网络融合的技术基础和前提。
密码技术是信息安全交换的基础,通过数据加密、消息摘要、数字签名及密钥交换等技术实现了数据机密性、数据完整性、不可否认性和用户身份真实性等安全机制,从而保证了网络环境中信息传输和交换的安全。密码技术是解决网络安全的核心技术,
是实现所有安全服务的重要基础。密码技术可分为三类:对称密码、非对称密码和单向散列函数。
软交换的基本含义是将呼叫控制功能从媒体网关(传输层)中分离出来,通过软件实现原来交换机的控制接续和业务处理等功能,从而实现呼叫传输与呼叫控制的分离,
为控制、交换和软件可编程功能建立分离的平面。软交换是网络呼叫与控制的核心,其核心思想是硬件软件化。软交换技术可以在基于各种不同技术、协议和设备的网络间提供无缝的互操作性,实现目标是在媒体设备和媒体网关的配合下,
通过计算机软件编程的方式来实现对各种媒体流进行协议转换,并基于分组网络的架构实现各类网络的互连,
以提供与电路交换机具有相同功能并便于业务增值和灵活伸缩的设备。
通信技术、密码技术具有很强的渗透性和军民两用性,
其共用性、通用性、替代性的特点为军、民通信网络的融合提供了技术基础。
融合模式
通信网络的融合,根据网络的层次不同,可分为业务融合、控制融合、承载融合、终端融合四类,每种融合均有不同的融合方式。
军事通信网与民用通信网的网络融合,
也必须要解决是在哪个层次上的融合问题。综合考虑军事通信网与民用通信网的一致性与差异性,认为在承载层实现网络融合是现实可行的,即军、民通信网有一个统一的业务承载层。实现军事通信网和民用通信网在承载层的融合,
从技术角度讲有以下两种融合模式。
.集成模式
集成模式,
也称技术集成模式,是指在原有民用通信网络的基础上,不添加任何硬件设备,通过综合运用密码技术、通信技术等多种技术手段实现安全服务,从而使不安全的民用通信网能够传输军事信息的一种融合模式。
模式图如图所示。
,为军网中的两个安全的局域网,在民用不安全网络中通过综合运用密码技术、通信技术等多种手段实现安全服务,
就可以利用不安全网络来传输军事秘密信息。
该模式的主要特点有:
()原有民用通信网络结构不变。集成模式中,对原有的民用通信网络不改变拓扑结构,不添加任何硬件设备,
只对网络进行技术改造,或进行简单的软件配置。
()综合运用多种技术手段。为了在不安全的民用通信网络中安全、可靠地传输军事信息,
必须实现网络的安全服务,包括认证服务、数据机密、数据完整、访问控制服务、不可否认。网络安全中的绝大多数安全服务和安全机制都是建立在密码技术基础之上的,通过现代密码学方法对数据信息进行加密和解密可实现网络安全的目标要求,一个或多个安全机制的运用与实现便构成一种安全策略。
.叠加模式
叠加模式,是指依托现有民用通信网络,通过军队自建配套专用通信设施、网络设备等,
构建方便灵活、安全高效的传输环境,实现军、民通信网络融合的一种模式。
模式图如图所示。
图中、为军网中的两个安全的局域网,为认证、授权、计费服务器,为路由器,为密钥分发中心。通过在民用不安全网络中军队自建配套专用通信设备,
实现在不安全网络环境中传输军事秘密信息的目的。
该模式的主要特点有:
()军队自建专用通信设备。
由于军队和地方追求的效益目标不尽相同,
完全由地方通信网保障军事通信存在一些技术和管理层面的问题:一是在网络控制上,民用网对用户提供平等服务,在突发事件引起网络拥塞时,难以保障军队指挥通信的顺畅;二是在保障范围上,
民用网在边海防等偏远地区覆盖范围小,通信能力弱,对有些政治、军事敏感热点地区甚至存在覆盖盲区;三是军队利用民用网进行指挥通信,
需要加装专用保密设备;四是在组织运用上,部队在遂行作战指挥、反恐维稳和抢险救灾等任务时,
利用野战机动式通信系统,实现指挥调度功能,是军事通信的基本组织运用方式,现有的民用通信网难以提供相应的功能。叠加模式中,
依托地方现有通信网,通过安装军队自建专用通信设备,可以解决上述问题。
()军队用户实行独立管理。叠加模式中,
依托民用通信网就是以民用通信网作为信息交换的传输层,而流程控制、认证授权、密钥分发等均通过军队自建专用通信设施提供,
因而能够实现军队用户的独立管理。
技术集成模式中采取先进的密码技术、通信技术对原有民用通信网进行技术改造,配置简单高效,融合周期短,
因此适用于在应急情况下采用该融合模式。叠加模式中军队自建配套专用通信设备,建设周期长,网络复杂,
但融合后的网络可以为军队作战指挥、处突维稳、抢险救灾行动等提供保障并且可以与军队野战机动通信系统实现融合,因此可以成为网络融合的常态化模式。此模式的典型代表是军队移动通信系统[?]。
融合方案
按照以上两种融合模式,
结合现有军、民通信网络实际情况,可以分别给出两种模式下可能的网络融合方案。
.集成模式的网络融合方案
集成模式的网络融合方案如图所示。
该融合方案的大致工作过程为:
首先在民用不安全网络上部署一台或多台服务器,这些服务器的地址要求是固定的,在这些服务器上部署安全策略管理服务器、地址解析服务器和认证服务器。安全管理员在认证服务器数据库中创建各个帐号信息以供用户登录身份认证,
然后在安全策略服务器上制定安全策略,如建立多少个安全通信组,
各个组的组密钥生成算法和分发协议,以及加密算法等,这些信息可以定义为组的安全联盟。节点用户可以在任何联入不安全网络的主机上登录认证服务器进行身份认证,如果认证成功,
则在地址解析服务器中注册此用户的地址信息。然后认证服务器通过和安全策略服务器通信获取此用户的组联盟信息并发送给节点用户,
以上与服务器的通信都要有机密性和完整性保护。当一个用户需要和组中的其他用户进行通信时,可以向地址解析服务器查询该用户的地址等信息,然后即可以和此用户进行通信,
加密的算法和密钥都从组联盟中获取。
.叠加模式的网络融合方案
叠加模式的网络融合方案如图所示。
假设节点中用户要与节点中的用户进行秘密通信,
首先由用户在本地发起请求,
民网本地判断是军队用户,
把鉴权请求报文发给军队自建的,军队对军队用户进行鉴权,把相应报文发回本地,完成用户的接入。再由民网本地通信设备根据用户的呼叫地址,
建立到用户的通信链路(同样要由军队进行鉴权)。然后由密钥分发中心为本次通话分发密钥,
加密采用一话一密方式。军队用户使用业务时,民网将计费信息转发给军队,在军队中生成并保存计费话单用于结算。
结语
本文在阐述网络融合技术的基础上,
提出了军、民通信网络融合的集成模式和叠加模式两种模式,并针对两种模式分别给出了融合的方案。
对于如何利用民用通信网络的技术和资源,实现军民通信网络融合有一定的参考价值
参考文献
[]王瑞刚。三网技术演进与融合趋势[]。电视技术,,
():?。
[]胡瑜熙,郑毅。三网融合发展现状探讨[]。电讯技术,
,():?。
[]谢水珍。下一代网络[]。电脑知识与技术,():?
。
[]卢美莲,程时端。网络融合的趋势分析和展望[]。中兴通讯技术,,
():?。
[]吴冰冰。“三网融合”技术的主要发展思路[]。电脑知识与技术,():?。
[]冯登国,徐静。网络安全原理与技术[]。版。北京:科学出版社,
。
[]张冬辰,
周吉。军事通信:信息化战争的神经系统[]。版。北京:国防工业出版社,
。
[]刘光斌,
陶晓阳,曲明,等。移动通信系统建设发展研究[]。通信工程,
():?。
网络安全技术服务方案篇
【关键词】网络安全;防火墙;
网络系统
信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而,计算机信息技术也和其他科学技术一样是一把双刃剑。
当大多数人们使用信息技术提高工作效率,为社会创造更多财富的同时,
另外一些人利用信息技术却做着相反的事情。
他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,给社会造成难以估量的巨大损失。
。计算机网络安全
网络安全从其本质上来讲就是网络上的信息安全,
是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可连续、可靠、正常地运行,
网络服务不中断。
.密码学
密码学是一种以秘密的方式编码信息,使只有特定的接收者才可以访问被编码的信息的方法。安全机制常常得益于密码学的应用,如基于网络的用户登录协议。
不过,它们也并不是必须依赖于密码学的应用,
例如系统中对文件的访问控制。反过来,密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现,它们能否正常运作关键取决于是否有一个安全的系统。
比如,
如果系统缺乏访问控制的安全性,攻击者可以修改密码系统的软件算法。
可见,安全性的缺乏会直接影响密码术的效用。
.危险和防护
计算机危险或攻击通常分为三类:秘密攻击、完备性攻击、可得性攻击。
这三类攻击是息息相关的。也就是说,某一类攻击的技术和后果经常作为另一类攻击的辅助手段。比如:一个攻击者通过秘密攻击获知口令,这样就有权访问这个系统,
然后修改系统资源,最终闪闪的红星读后感完成拒绝服务攻击。当遭受攻击时,
系统会出错,但大多数系统由于缺乏安全机制仍认为是安全的。同样地,这些攻击的防护机制之间也是紧密相关的。一般来讲,
防护有一种或多种目的:防止攻击,检测是否遭受攻击或恢复系统。所以说,一种防护机制并不是万能的。
.防护
由于有许多潜在的薄弱环节和无穷尽的攻击,
而每一种攻击又可能包含多种攻击技术,所以确保整个系统的安全很困难。
由于系统的安全性是由它的最薄弱环节决定,因此,
安全范围必须是整个系统性的。在构筑更为有用的防护方面,防火墙()扮演了一个重要角色。但是,防火墙也存在一些不足之处:第一,
防火墙不能滤除和阻止所有的网络灾难。像协议这样的信息可以巧妙地通过防火墙。通常,
防火墙与移动代码作用是相反的。其次,防火墙目前已经成为大企业通信的瓶颈。
.安全模型
安全模型()是人们对访问被保护数据加以控制的方法的一种抽象。像防火墙一样,安全模型也有多种形式和尺寸,
对于不同的应用程序和应用环境,安全模型的要求有很大不同。安全模型用途很广,如驱动和分析计算机系统的设计或形成系统操作的基础,
但是它在使用中会产生许多有趣的问题,对这些安全问题目前已有一定程度的研究。
。网络系统安全的解决方案
网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的的操作系统或者其它任何商用操作系统,目前没有绝对安全的操作系统可以选择,
可选的系统范围很小,
但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,
提高自己的安全意识,积极主动地解决系统中出现的安全问题。
.入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之写春天的作文间提供安全的网络保护,
降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门;入侵者可能就在防火墙内;
由于性能的限制,
防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测
及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,
首先它能够对付来自内部网络的攻击,其次它能够缩短入侵造成危害的时间。
入侵检测系统可分为两类:基于主机、基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,
并且提供对典型应用的监视如服务器应用。基于主机及网络的入侵监控系统通常均可配置为分布式模式:在需要监视的服务器上安装监视模块(),
分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。在需要监视的网络路径上,放置监视模块(),
分别向管理服务器报告及上传证据,提供跨网的入侵监视解决方案。
.安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如文件,
目录和文件权限,共享文件系统,敏感服务,
软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,
并可设定模拟攻击,以测试系统的防御能力。
.伪装技术
伪装技术是近年新发展出来的技术。
使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,
故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。
其次,通过了解入侵者的入侵方法,
完善真正的系统的保护手段。
.网络安全扫描
网络系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,
并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、服务器、防火墙和应用程序的检测,
从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。
这种策略允许管理员侦测和管理安全风险信息,
并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
。结束语
随着网络经济和网络社会时代的到来,网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为重要基础设施的网络的安全性和可靠性将成为社会各界共同关注的焦点。
参考文献
[]张世永。网络安全原理与应用[]。上海:科学出版社,。
网络安全技术服务方案篇
前言
随着我国高等教育体制改革的进一步深化,高校办学规模不断扩大,多校区办学已是普遍的发展状况。
由于校区之间地域上的隔离,
财务处的财务管理系统和学生收费管理系统等业务处理平台都没有统一的数据服务器,造成数据不能实时同步,
教职工差旅费报销、学生缴费等都受校区的限制,给日常财务管理工作带来了极大的不便,
亟需进一步加强财务信息化建设,通过技术手段解决多校区办学模式下的财务系统数据同步问题,
实现统一、有效地进行异地财务的管理,保证异地财务数据的安全和可靠传输。
笔者通过对虚拟专用网(,)相关技术的研究,
结合多校区办学模式下大部分高校的实际情况,提出了将技术应用于高校财务信息化建设的方案。
一、技术
()即虚拟专用网,被定义为通过一个私有的通道在公用网络(通常是因特网)上建立一个安全的连接,
是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它利用开放的公用网络进行信息传输,通过安全隧道、用户认证和访问控制等技术帮助远程用户、分支机构、商业伙伴及供应商同企业的内部网建立可信的安全连接,
并保证数据的安全传输。
(一)安全隧道技术
由于网络中地址资源的短缺,
企业内部大多使用私有地址,从这些地址发出的数据包是不能直接通过传输的,
必须通过网络地址转换为合法地址。常见转换方法如静态地址转换、动态地址转换、端口替换、数据包封装等,通常情况下采用的是数据包封装(隧道)技术。使用隧道传递的数据可以是不同协议的数据包,
隧道协议将这些数据包重新封装在新的包头中发送,
新的数据包头提供了路由信息,从而使封装的数据能通过网络进行传输。
(二)用户认证技术
如果数据包不经过加密就通过不安全的,
即使已经建立了用户认证,
也不完全是安全的。为保护数据在网络传输上的安全性,需利用密码技术对数据进行加密。
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法中强度比较高,可用于保护敏感的财务信息的是的和。
除加密和解密外,
需要核实信息来源的真实性,确认信息发送方的身份,防止非授权用户的非法窃听和恶意篡改信息。
核实发送方身份的过程称为“认证”。认证可通过用户名和口令实现,或者通过“电子证书”或“数字证书”来完成,
即证书和密钥。它包含加密参数,可唯一地用作验证用户或系统身份的工具,提供高级别的网络信息安全传输。
(三)访问控制技术
访问控制技术即传统的防火墙功能,
一个完善的应同时提供完善的网络访问控制功能,由服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限,
通过对访问策略的控制实现用户的细粒度访问控制,以最大限度地保护信息资源。
财务信息的安全历来备受人们重视,
安全就是受到控制的访问。因此,实施安全就是访问控制的过程,密码和防火墙可帮助我们实现对信息读取、写入权限的访问控制。
(四)隧道协议
。(
,点对点隧道协议)是由论坛开发的点到点的安全隧道协议,是的扩展,它增加了一个新的安全级别,支持通过公用网络建立按需的、多协议的虚拟专用网络。
通过启用的传输数据如同在企业的一个局域网内那样安全。此外还可以使用建立专用到的网络。
。(,安全套接字层协议)是公司提出的基于应用的安全协议,
是一种在服务协议()和/之间提供数据连接安全性的协议,
为/连接提供数据加密、服务器认证、可选的客户机认证和消息完整性验证,被视为上浏览器和服务器的安全标准。
。(,
安全协议)是一组应用广泛、开放的协议总称,
它对应用于层的网络数据,提供一套安全的体系结构,包括网络安全协议和、密匙交换协议和用于网络验证及加密的算法等,其中两个使用最普遍的标准是和-,
使用最高到位的密钥,而-通过最高达位密钥提供更强的保护,标准是数据加密标准(),最高支持位密钥,
同时还支持,因此其密码算法具有很高的安全性。规定了如何在对等层之间选择安全协议、确定安全算法和交换密钥,向上提供访问控制、数据源验证、数据加密等网络安全服务。
(五)通信方式和连接方式
在通信中,
主要有两种通信方式:远程访问()和路由器到路由器,后者又包括企业内联()和企业外联()。
连接方式一般可分为两类:
。拨号:为移动用户和远程办公用户提供的对单位内部网的远程访问,通过普通的拨号与公用网络进行链接;然后再通过建立专用网络链接,
输入目标网络地址或域名进行链接。
。专线:此种方式一般情况下企业已通过专线方式与公网建立了链接并有静态地址。
无论何种连接方式都要通过硬件或者软件来实现。基于财务系统的安全性考虑一般选用硬件。
硬件可以是带模块的防火墙、路由器或者专用交换机,如的,
天融信的网络卫士防火墙系列等。
在多种硬件当中适用于高校财务信息化建设需求的性价比高的首选带模块的企业级防火墙。
二、高校财务信息化建设中网络构建实例
下面以笔者所在院校构建财务网络系统为例,
说明技术在多校区办学模式下高校财务信息化建设中的应用。
(一)需求分析
我校目前由三个校区组成,分别是汇东校区、邓关校区和营盘校区,汇东校区为主校区,
邓关校区距离主校区三十几公里,
三个校区均要链接财务服务器收取学生学费,其中汇东主校区和邓关校区要对外报账,财务机房设置在汇东主校区。要实现通过邓关校区和营盘校区的客户机都能实时地连接财务中心机房的服务器,达到所有的账务凭证和收费单据均写入同一数据库当中。
与此同时,
服务器要对外财务信息,学生收费信息要与教务管理系统、学校校园网络计费认证系统实现数据同步,
以达到财务数据安全稳定可靠地传输,财务信息在保证安全的前提下在一定程度上与学校其他业务处理系统资源共享。同时,为最大限度地保障财务数据的安全与完整,
需建立健全完善的数据备份机制。
(二)解决方案
。网络架构解决方案
由于学校校园网络已建成规模,因此财务网络可以通过搭建在校园网络平台基础上在三个校区建立,
这样既可以提高数据传输的稳定性,也可以使整个财务网络受到学校主防火墙的保护,进一步提升系统的安全性,而且还不用租用昂贵的专线以节约开支。具体方案如图所示:
如图基于校园网平台的财务应用方案所示,
在三个校区之间建立财务,策略上允许客户端计算机在一定程度上访问财务服务器,只开放为客户端软件连接财务数据进行财务处理和收费业务处理所必需的服务和端口,
服务器端则可以相对透明地开放访问客户端计算机的权限,以便于系统管理员从服务器端远程控制客户端,解决客户端与服务器的访问故障。由于和的安全性比的安全性要高,
基于财务信息的安全性要求极高,特别是收费系统的数据往往成为计算机专业学生攻击的目标,所以在三个校区之间的链接采用使用协议。尽管财务管理系统和收费管理系统及财务数据服务器都采用的是平台,
可以利用系统分别建立路由,但考虑到财务网络方案的另一个重要因素——稳定性,
因此我们选用了带模块具强大功能的天融信企业级网络卫士防火墙系列。
天融信系列防火墙的配置非常方便,可以基于管理器或基于进行配置,对用户的管理可在高级管理中的网络对象中实现,并可以通过访问策略限制非法用户对系统和网络资源的访问。
对于移动客户端需要安装天融信远程客户端(),不用再像传统的远程网络访问那样,通过长途电话拨号到学校远程接入端口,要想顺利通过客户端软件连接到学校财务系统,需要使用配套的证书管理系统在系列防火墙当中进行证书交换,
以验证客户的身份是否合法,
从而保证财务信息的安全。利用客户端软件可以与财务网络建立一条加密隧道链接,而且这条链接是一条基于的安全链接,所以能对及上层协议提供可靠的、灵活的安全保证,以使客户端安全快速地访问财务网络资源。
我们在三个校区分别安装一台系列防火墙,
通过在防火墙的通信策略中建立基于协议的通信策略的互连。在每台防火墙上定义该校区财务网络的用户并绑定其地址和,在访问策略当中设置为默认情况下禁止对防火墙保护区域的访问,在此基础上再配置允许对相关区域所属资源的访问服务、访问端口及访问权限。
在带宽策略当中设置好各区域的带宽以充分满足关键业务的稳定性不因带宽问题而有所影响。
在管理当中建立好各个防火墙的证书并互相交换证书以启用隧道连接,同时导入客户端的证书以便于用户对财务资源的访问。
。数据存储与备份解决方案
每一位计算机前的使用者都会有这样的经验:一旦在操作过程中敲错了一个键,我们几个小时,
甚至是几天的工作成果便有可能付之东流。据统计,
%以上的数据丢失都是由于人们的错误操作引起的。遗憾的是,这样的错误操作对人类来说是永远无法避免的。
另一方面,随着网络的普遍建立,人们更多的通过网络来传递大量信息。而在网络环境下,
除了人为的错误操作之外,还有各种各样的病毒感染、系统故障、线路故障等,使得数据信息的安全无法得到保障,
我们对网络的大量投资也失去了意义。在这种情况下,数据备份就成为日益重要的措施,通过及时有效的备份,系统管理者就可以高枕无忧了。
在国内,大多数人还没有意识到备份的重要性,
这与西方国家强烈的备份意识差距很大。实际上,我国已有了很多前车之鉴,一些重要的科研机构内曾经不止一次地发生过灾难性的病毒侵入事故,
造成了很大的经济损失。随着国内计算机和网络的不断普及,网络环境已危机四伏,数据随时都有被毁坏的可能,我们必须对系统和数据进行备份!
备份如今已不是一件繁琐的事情,软、硬件产品的不断研究和推出,使得数据备份具有了速度快、可靠性高、自动化强等特点,完全解脱了系统管理员的负担。在投资上,
与兴建网络相比,专用的存储设备和备份软件价格很低,根本不会成为用户的经济负担。
如果每一台服务器或每一个局域网都配置了数据备份设备,并加以合理的利用,
那么无论网络硬件还是软件出了问题,都能够轻松地恢复。
也许您目前还没有发生过大量的灾难性数据丢失事故,但这并不意味着灾难永远不会光临您的网络系统。
而我国网络环境和各种防范设施的不健全,也使得病毒的滋生与传播极为容易,对数据安全造成了极大的威胁。
财务数据的重要性对任何单位来说都是非常重要的,
一旦数据丢失将会对单位的整个业务系统带来不可估量的损失,恢复数据的难度大且代价高昂。因此,我们通过优化存储系统结构以保障财务数据的安全,将数据丢失的风险降到尽可能最低。
具体方案如图所示:
笔者通过如图所示的数据存储与备份系统解决方案,将财务数据存储在磁盘阵列上;然后通过数据备份系统软件定期定时地将财务数据上传到备份服务器上,每个月结账后将财务数据备份到光盘等介质上并建立了完善的数据备份计划和灾难恢复计划,
以确保财务数据的安全完整,保障财务系统的稳定可靠运行。
据考察和了解,目前全国已有个别高校财务信息化建设采用技术,其实施方案与我校财务应用方案有相似之处,
这些高校大多有~个以上的校区,区别在于他们大多采用的是软件技术解决方案,并未采用我校实施的以三台硬件防火墙组建的财务。
同时,为进一步保障财务系统的高可用性,
我们选用了两台企业级的对等服务器组建双机热备份系统,利用双机高可用软件通过心跳线对双机服务器的实时动态侦测使财务系统在主服务器出现故障时能迅速从热备份服务器接管整个系统服务,确保了财务系统的稳定、高效和安全运行。现在我校邓关校区和营盘校区的财务系统都与主校区的财务系统共用一个财务服务器,保证了数据的同步,
财务数据的安全性也得到了极大的保障。
每日结账后,先把财务服务器的数据备份到中间传输主机,再由中间传输主机定时传送到财务服务器,即可实现财务信息查询数据的及时更新。现在我校的教职工和学生不仅在每个校区均可办理财务业务和缴纳费用,
而且可以非常方便地通过及时查询自身的财务报账情况及费用缴纳情况,同时通过计财处主页可以及时财务新闻及财务信息等,
大大提高了学校计财处的工作效率。
硬件技术的应用很好地解决了多校区办学模式下由于地域隔离所导致的财务数据同步问题,并且基于硬件技术建立的财务专网为下一步与学校其他部门的信息系统数据同步奠定了良好的基础,也为与银行系统联网搭建网上银行业务处理平台提供了条件。
三、结语
网络安全技术服务方案篇
【关键词】校园网存储;
技术;
技术;
。引言
随着信息技术的快速发展,
高等学校正在走向信息化。作为地方新升本科院校之一的贺州学院,正在努力构建高速稳定、安全可靠、可管控的数字化校园网,
让信息技术融入到学校的教学科研和行政管理中去,提高教学资源的使用率和办公效率。
由于诸多历史原因,学校起步晚、底子薄,
投入校园网的资金有限,数字化校园网只完成了网络硬件基础设施、部分教学和公共资源管理平台的建设。网络存储在学校信息化发展中是一块短板,因为没有一套安全可靠的存储设备,学校信息数据存在非常大的安全隐患。
笔者结合学校数字化校园网的发展目标、借鉴其他高校的成功实施方案和实践经验,提出了一种基于存储技术的高性能、安全可靠、经济实用的网络存储解决方案。
。校园网存储的特点及存储需求分析
随着学校数字化校园网的加大建设,校园网上网用户数量会快速增加,提供的各种应用服务越来越多,
网络管理复杂程度日益增大,很多应用系统需要海量的存储能力[]。笔者通过认真的调查分析,学校信息数据存储的需求主要包括几个方面:
()学校网站服务器,
包括学校门户、二级学院(部门)等网站,
共计多个;
()校园网万兆认证计费网关,
负责用户的认证、授权和计费,
数据采集、实时控制和执行各种网络和计费策略。
教师和学生的上网账号和密码等信息存放在数据库服务器上,其他数据信息存放在应用自助服务器上。这两台服务器非常重要,一旦数据发生丢失或被篡改,将给师生上网造成很大的影响;
()各种应用系统,如统一信息门户平台、教务管理系统、人事管理系统、财务一卡通系统、网络教学综合平台和网上精品课程系统等,这些系统跟师生的日常教学和学习密切相关。
目前,
校园网存储数据的手段简单落后,学校网站或者应用系统的数据采用人工的操作方式进行不定期备份,备份工具也十分简单,
主要有移动硬盘、盘或者服务器的本地备份,备份数据的完整性和安全性根本得不到保障。特别是财务一卡通、教务管理等系统的数据对安全性、完整性、可靠性、存储速度有非常高的要求,现在采取的存储方式已远远不能满足信息数据备份的要求,必须建立一个高性能、安全可靠的存储平台。
。常见的存储设备和技术分析
伴随着网络的日益发展,网络存储系统在面临着挑战的同时迎来了快速的发展,
常见的网络存储设备有:接口卡与控制卡、独立磁盘冗余阵列()、磁带库、磁盘阵列和光盘库等[]。
在大量的存储备份系统中,各种存储设备的存储特点和应用环境各不相同,
如磁盘阵列用于大容量数据的实时存储;
磁带库用于大容量数据的定期存储;
光盘库则用于大容量数据的查看访问,它的优点是可以按需备份数据,并且数据具有移动性,但它的缺点也十分明显,
需要人工操作,
并且光盘容易损坏,
直接威胁数据的安全。
流行的存储技术有:技术、技术和技术。技术采用直连方式进行数据的存储,它直接通过标准接口技术将外部的存储设备与服务器相连,优点是可以对存储设备的操作从服务器中分离出来,
减少存储的时间。缺点是不能满足大容量数据的存储和访问,对相应服务器的性能和数据存储时间造成很大的影响。技术采用一种专业的数据存储设备将独立分散的信息数据整合为大型集中管理的数据中心,用户可以通过网络对它进行直接访问。
完全支持跨平台文件共享,支持所有的操作系统,安装简便快捷,方便网络管理员集中管理大量的数据,降低维护成本。
技术通过专用高速网将服务器和存储设备进行互连,在服务器和存储设备之间,能提供任意两个端口之间的通信链路,
由于它采用单独的网络,不与局域网共享通信信道,这大大增强了的灵活性、安全性和可扩展性。
未来的数据存储将以技术为主,目前和两种应用环境得到了广泛的应用。
比有相同的地方,也有很多不同之处,最根本的区别是提供的是文件级的服务,而提供的是存储块级的服务。在带宽、存储性能和存储效率等方面,
比更有优势。对用户而言,的性价比比较好,
适合中小型网络的的数据存储,而的性能十分优秀,缺点是价格比较昂贵,但它十分适合大中型网络的数据存储。
。基于存储的设计
根据学校数字化校园网对信息存储的需求和发展目标,
对比各种常见的存储技术,(存储区域网络)技术的优势十分明显,因为它可以有效解决网络带宽不足、大量占用服务器资源等瓶颈问题,所以笔者提出选用技术来部署学校的网络存储系统。
出于建设成本和管理维护等因素考虑,
学校的网络存储系统采用技术更适合,因为它的性价比比更高,安装部署容易简单,只需要普通的千兆网卡、千兆以太网交换机、超五类网线等网络设备即可。
虽然的网络速度比慢,
只有千兆速度,但能满足学校网络存储系统未来几年的需求。
随着万兆以太网技术的日益成熟,可以通过更换服务器的网卡、交换机和通信线路扩展为万兆的存储网络。
目前学校的各种服务器大约有多台,包括、戴尔和惠普等著名厂商的设备,这些服务器运行着学校网站以及各种应用系统,数据容量合计大约是。
笔者提出利用华为赛门铁克存储系统来构建学校的存储网络,提供的数据存储容量是,全部使用硬盘。这套系统支持全组网、组网、/混合组网,在各种路径下都可以实现单路径和多路径组网,
其主机连接数也是非常强大。在采用多路径组网时,在网络层需要部署两台的交换机,每台交换机到每个控制器均有路径连接,
每台主机到每台交换机均有路径连接,
从而避免出现因一个控制器或一个交换机故障而导致业务不可用的情况。其组网图如图所示。
华为赛门铁克存储系统采用了多项高端存储技术,如-双控双活架构、一体化掉电保护技术、主机端口模块化设计技术等。
融合了多项核心专利技术,如磁盘智能预取专利技术、磁盘节能专利技术,达到业界领先水平。采用以上组网方案,科学合理并且性价比高,
学校的网络存储管理手段将实现全部自动化,信息数据将更加安全可靠。
。总结
存储技术是一种高性能、安全可靠、经济实用的网络存储解决方案,它满足了当前以及未来几年学校存储信息数据的需求,为我校的数字化校园网建设将发挥很好的作用。
参考文献
[]罗跃国。基于校园网存储系统的解决方案[]。计算技术与自动化,。
[]施游,
桂阳。网络规划设计师考试辅导教程[]。电子工业出版社,
:。
本文为贺州学院年校级科研项目“关于网络存储技术的研究”(立项号:)成果之一。
网络安全技术服务方案篇
一、充分认识非经营性互联网上网服务单位落实安全保护技术措施的重要性
随着信息网络技术的高速发展和互联网在社会各个领域的广泛应用,政府、企事业单位、社区、学校、图书馆、宾馆酒店、休闲会所等内部建立局域网并接入互联网,提供上网服务的单位越来越多,在传播先进文化、方便人民生活、促进经济社会发展等方面发挥了积极作用,
同时也给互联网接入的管理工作带来了新的问题。由于不落实互联网安全保护技术措施,
少数违法犯罪分子趁虚而入,利用互联网上网服务场所传播色情、、暴力、封建迷信等有害信息的现象屡禁不止,从事网络诈骗、盗窃等违法犯罪的活动逐渐增多,垃圾邮件、计算机病毒和黑客攻击破坏活动时有发生,给社会稳定和公共利益带来不利影响,
广大人民群众反映强烈。各县(区)政府、各有关部门和非经营性互联网上网服务单位要充分认识当前互联网安全面临的严峻形势,
充分认识加强互联网上网安全管理的重要性和必要性,从维护国家安全和社会稳定,构建社会主义和谐社会的大局出发,高度重视非经营性互联网上网服务单位的安全保护工作,建立健全安全管理制度,
强化技术防范措施,堵塞安全漏洞,提高安全防范能力,切实保障全市互联网上网服务健康、有序发展。
二、全面落实互联网安全技术保护措施
根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第号)、《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令第号)《计算机信息网络国际联网安全保护管理办法》(公安部令第号)、《互联网安全保护技术措施规定》(公安部令第号)等法律法规,
全市互联网上网服务单位要坚持安全管理制度和安全防范技术措施相结合、人工防范与技术防范相结合的原则,
在落实防计算机病毒、防网络入侵和攻击破坏等安全技术措施的同时,确保做好以下工作:
。安装并运行互联网上网服务场所安全管理审计系统。各非经营性互联网上网服务单位须在每个互联网出口安装与该网络流量相匹配的安全管理审计系统,并与公安机关信息网络安全报警处置系统联网,
真正实现对各类有害信息和网络违法犯罪案件及时发现、严密防范、有效处置,
确保全市非经营性上网服务场所的网络安全。全市非经营性互联网上网服务单位要一手抓信息系统建设,一手抓信息服务安全,按照“谁主管、谁负责,谁使用、谁负责”的原则,
落实经费投入,认真履行信息网络安全保护的法律责任,
在公安机关的统一组织和指导下,
按照统一的规划和建设标准,建设非经营性上网服务场所安全管理审计系统,建立完善安全保护技术措施,
全力提高我市信息系统的安全防范能力。
。落实备案制度。全市已开通上网服务的宾馆、酒店、酒吧、咖啡屋、茶社、洗浴中心、社区、图书馆、商务会所、学校公共机房等非经营性互联网上网服务场所应于年月日前到市公安局网监支队办理备案手续;
月日后开通上网服务的非经营性互联网上网服务场所,应当在网络正式联通之日起日内办理备案手续。
。加强信息网络安全专业技术人员继续教育工作。为更好地维护我市信息网络安全,提高信息网络安全专业技术人员素质,
按照《省公安厅关于进一步做好信息网络安全专业技术人员继续教育工作的通知》(陕公网监〔〕号)精神,近期将以国家机关、企事业单位、互联网服务和联网使用单位信息网络管理组织负责人、管理和技术人员为重点,对信息网络安全专业技术人员开展继续教育工作。
三、安全管理审计系统建设标准和产品要求
。系统标准。互联网安全管理审计系统必须具有提高互联网上网服务单位局域网内部管理水平的功能,并达到《互联网安全保护技术措施规定》的以下要求:()记录并留存用户登陆和退出时间、主叫号码、账号、互联网地址和域名、系统维护日志;()记录并留存用户注册信息并向公安机关公共信息网络安全报警处置中心上传数据;()在公共信息服务中发现、停止传输违法信息,
并保留相关记录;()具有至少天记录备份功能等。
。产品要求。全市互联网上网服务单位应根据公安部关于信息网络安全报警处置中心统一平台、统一标准、统一接口的要求,
选择经省公安厅评审、测试合格并指定的网络安全技术设备,应用于本单位互联网安全管理审计系统。
四、工作要求
。市公安局具体负责全市互联网上网服务单位安全审计系统建设的组织实施和业务指导,
依法监督检查,确保该项工作顺利实施。
。各非经营性上网服务单位要迅速确定本单位的互联网安全管理审计系统建设工作责任人、联系人,并将联系方式以及互联网接入方式、网络拓扑图、网络流量、终端数量等数据报送市公安局网监支队,做好设备安装的准备工作。
。提供非经营性互联网上网服务的高校、宾馆、酒店、招待所、休闲会所、洗浴中心等单位要于年月底前安装完毕,其它连接互联网的单位要于年月底前全部安装完毕。