前言:中文期刊网精心挑选了网络安全设备范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全设备范文1
【关键词】广播电视事业 信息化 数字化和网络化
1 误报率
1.1 误报率的定义和计算方法
误报指在该网络安全设备报警规则事件集合(记为:C)中,用某一A事件去触发报警时,实际发生了B事件报警或未发生报警。误报率指在C规则集中,由于算法或事件定义的原因而导致该网络安全设备误报产生的概率。
误报率比较通用的计算方法是以设备规则集为出发点,对规则集的事件进行加权处理,公式表示为C(N)=C1*a1+c2*a2......+Cn*an(Ci表示某事件,ai表示权值,N表示事件数),误报事件B(M)=b1*w1+b2*w2......Bm*Wm(bj表示误报事件,bj表示权值,M表示误报事件数),因此:
误报率=*100% (1-1)
但是目前行业没有一个统一的权值标准,因此:
简化的误报率= (1-2)
(M五保事件数,N事件总数)。
1.2 误报率的测试方法
1.2.1 测试方法
因网络安全设备事件规则集合较多,各种组合之间覆盖到往往不现实,一般采用抽样的方式,即随机挑选事件库中的部分事件(一般为100条),采用攻击工具真实触发这些事件,或者以抓包工具对捕获的包进行回放,分析出报警结果,从而得出该设备的误报率。
1.2.2 测试工具
常见的测试工具包括思博伦ThreatEX、DSQLTools、x-scan、桂林老兵、IE文件服务器、DDOS、冰河等工具;同时可用tcpreplay、Sniffer、Wireshark等抓包工具,去http://网站下载.pcap包进行回放,特别可对最新恶意程序误报进行检测。
1.2.3 测试环境
以网络安全产品端口镜像为例的拓扑如图1所示。
为了保障测试期间的准确,测试期间该网络尽量独立部署。
1.2.4 测试步骤
――按照图1将设备全部部署好;
――在攻击机上启动测试工具,或用tcpreplay i 网卡 M 流量 l 次数 包名进行发送;
――检查误报后,用公式1-2进行计算误报率。
2 漏报率
2.1 漏报率的定义和计算方法
漏报是指对于真实发生的网络攻击事件网络安全设备没有预警;漏报率是指对于真实存在的网络攻击,网络安全设备存在漏报的概率。导致漏报的因素很多,主要包括特征库未及时更新、网络流量等。漏报率的计算,是以真实发生的网络攻击事件数量为基准,计算网络安全设备漏报的事件数量所占的比率。
2.2 漏报率的测试方法
2.2.1 测试方法
能否检测最新的网络攻击事件是衡量一个网络安全产品的研发和维护支持能力的重要指标,因此可到http://网站下载最新的.pcap包进行回放测试;同时在不同的网络流量背景下,用攻击工具或抓包工具多次回放同一事件,分析网络安全设备的报警数量,从而计算漏报率。
2.2.2 测试工具
网络安全设备漏报率的测试工具包括:Unicode、发包工具SmartBits、嗅探抓包工具Sniffer等。
2.2.3 测试环境
测试环境跟误报率测试基本相同,只是在交换机连接一台网络发包工具SmartBits(进行不同流量下的测试)。
2.2.4 测试步骤
在测试期间分别使用最新包进行发送和Smartbits进行0,25%,50%,99%的网络加压,最后计算:
漏报率=
(N未检测出的包,M总发包数)。
3 结束语
网络安全设备的关键在于发现入侵行为,然后根据事先的预警规则进行及时、准确的处理,使我们的信息系统更加安全。误报率和漏报率的直接影响到网络安全设备应用的效果,科学认识误报率和漏报率的测试方法和流程,有助于我们提高检测水平,同时也可对使用开发单位进行有效的指导。
参考文献
[1]盛骤,谢式千,潘承毅.概率论和数理统计[M].北京:高等教育出版社,2000.
[2]陈庆章,赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社,2006.
[3]季永炜.ARP攻击与实现原理解析.电脑知识与技术,2012.
作者简介
季永炜(1982-),男,浙江省诸暨县人。大学本科学历。现为浙江省电子信息产品检验所工程师。
网络安全设备范文2
【关键词】思科设备;网络一体化安全体系
目前社会已经进入信息时代,互联网在全球范围内得到广泛的应用,具有很强的开放性和传播性,为黑客的非法入侵提供了条件,对企业的网络带来了越来越多的安全隐患。企业应该利用先进的网络技术和设备,特别是思科设备,构建网络一体化安全体系,为企业的网络安全提供技术支撑。
一、企业面临的网络安全隐患分析
在企业的网络体系中,造成安全隐患的因素一般都是外界的非法入侵和攻击,但是其风险归根到底还在于企业的网络安全体系存在漏洞,为攻击者提供了机会,而且企业的管理人员对网络安全重视不足,目前企业面临的网络安全隐患具体包括以下几点:
(一)系统漏洞隐患
网络上产生的病毒和黑客的侵入都是通过网络协议实现的,网络协议对安全技术要求较少,所以攻击者便有机会入侵企业网络系统。目前我国大部分企业的网络系统都是基于IP协议建设的,设置较为简单,没有重视网络安全,黑客很容易通过该协议找到系统漏洞,对企业的整个网络系统造成威胁,破坏了系统的稳定性和可靠性。而且近年来针对系统漏洞的病毒多种多样,企业很难对其进行把控。企业必须加强对网络系统的防御,升级网络设备,采用具有防病毒功能的设备,降低非法入侵的风险。
(二)网络拥堵
造成网络拥堵的原因是企业网络系统的用户对网络资源的需求远远大于网络系统的固有容量,形成了持续的网络过载状况。基于互联网体系的网络资源共享中,如果没有对资源的使用进行请求许可设置,多个IP分组同时到达一个路由器,并经同一输出端口转发,就会发现网络拥堵现象。所以,必须利用先进的新型路由器设备,提高路由器端口的传输速度,有效缓解网络拥堵现象。
(三)网络安全知识缺乏
基层企业员工的网络安全知识十分匮乏,网络安全意识较低,导致个人信息和企业机密的泄漏,如果被不法分子利用,就会对企业造成巨大危害,十分不利于企业的竞争和发展。企业要增强员工的网络安全知识,让员工管理好自己的登录密码,对自己的文件资料负责,设置访问权限,在于互联网信息链接时,确保没有受到病毒或木马的攻击,运行安全的程序和软件,在获取互联网资源时时刻保持高度警惕,防止病毒入侵,加强对防病毒软件的使用。
(四)网络安全管理体系不健全
目前我国大部分企业都没有建立完善的网络安全管理体系,缺乏强制的网络安全管理制度。保证企业的网络系统运行安全和企业机密不被窃取,除了加大对网络系统的建设投入,更新网络设备之外,还需要加强对网络安全的管理。企业要制定规范的网络安全管理制度,加强对企业网络系统使用和安全管理的培训,将技术手段与管理手段相结合,为企业构建安全稳定的网络环境提供制度保障。
二、基于思科设备的网络一体化安全体系的构建
思科设备是世界先进的网络专业设备,能够针对企业的网络安全隐患,构建一体化的安全体系,为企业网络安全困境提供良好的解决方案。具体措施包括以下几个方面:
(一)完整的网络安全架构
思科设备在网络产品方面具有雄厚的技术积累和实践应用,能够构建一个完整的网络安全架构,并能针对企业网络系统的特性和实际运用状况对其进行划分,将企业网络系统细分为便于分析的不同模块。首先,将原先复杂的企业网络系统架构分为紧密联系的部分,包括企业园区网、企业边缘和服务供应商边缘,这是新的网络架构的基本层次,在这个层次的基础之上,又将这三大块进一步细分为若干功能模块,这些特定的功能模块有其具体的功能和安全需求。例如,可以将企业园区网进一步细化,分为核心模块、构建模块、管理模块、服务器模块和边缘模块,每个模块都有自己特定的目标和功能。其中核心模块能够将企业的信息迅速从一个网络传输至另一个网络空间,并能进行信息数据的交换,其安全功能是对分组窃听风险的有效缓解;管理模块保证企业网络安全系统和网络主机及设备的安全运行,对网络安全进行管理,能够利用防火墙有效阻止未经企业授权的访问,减少数据穿过网络时可能受到的攻击,同时能够降低电子欺诈、分组窃听和窃取信任关系进行攻击的频率;构建模块可以对构建交换机提供不同层次的服务,对路由器的访问和交换机的服务质量进行控制,该模块能够对未授权的访问进行三层过滤,并能过滤电子欺诈,对分组窃听进行限制,从而实现安全功能。
(二)制定完善的网络安全方案和策略
利用思科设备和技术,企业要制定旨在创造网络安全环境的网络安全计划,提出具体有效的网络安全方案和策略,为构建一体化的网络安全体系提供保障。其中包括以下两个方面:
1.路由器安全策略
路由器的企业网络系统的核心组成部分,路由器的配置对网络的安全运行具有很大影响,所以只能容许经过授权的主机登录路由器。要对路由器进行全局配置,设置标准的访问控制程序,并将其应用到所有虚接口上,确保授权主机的远程登录且能够对路由器配置进行修改和完善。
2.交换机安全策略
首先,要为交换机配置私有的IP地址,阻止非本企业的主机对交换机的访问。同时,将企业内部所有的交换机放在同一个虚拟网之中;其次,对允许访问交换机的主机进行配置,即只允许企业内特定的主机对交换机所在的虚拟网进行访问,而企业其他的主机也不能访问虚拟网和交换机;再次,对允许远程登录交换机的主机进行配置,限制允许访问的主机远程登录交换机,而且只有经过企业授权的主机才能对配置的参数进行修改,在对交换机进行全局配置之后,设置标准的访问程序。
总结:
综上所述,掌握世界先进技术的思科设备,能够为企业的网络安全提供保障,促进企业一体化网络安全体系的构建。企业的管理人员和网络技术人员还需要对维护企业网络安全的技术和措施加以进一步研究和探索,为企业的网络的安全和稳定运行提供支持,保证企业内部信息和机密的安全,以促进企业的全面发展。
参考文献:
网络安全设备范文3
-软件传销引出网络传销
据磁县公安局介绍,今年3月19日,磁县一通讯门市经营者张某到该县公安局报案称:2009年6月,李某到其门市,以高利润回报为诱饵,让其销售MDG国际科技集团的麦库软件,通过发展下线进行传销。
依据报案人张某提供的案件线索,警方立即展开侦查,并依法传唤李某。犯罪嫌疑人李某不仅供述了他加入麦库软件传销组织并进行传销活动的犯罪事实,还供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一传销组织——“全国兴村富民互助社”。
经调查,“全国兴村富民互助社”的传销人员遍及全国各地。由于案情重大,磁县公安机关迅速成立了由经侦、刑侦、网监等多部门组成的专案组,同时,将案情上报公安部,因涉及地区、人员较多,该案被公安部列为督办案件。公安部要求全国公安系统协同配合,协助磁县公安局破获此案。
-谁是网络背后黑手
专案组在邯郸市公安局网监支队的配合下,对“全国兴村富民互助社”的网站IP地址进行了监控,锁定了该网站服务器的位置。同时,专案组民警先后到山东潍坊、江苏南通、河南郑州等地查找该服务器。
根据在江苏南通电信机房获取的该网站的一些数据,磁县公安局成功破解了该传销网络系统后台管理的最高权限,直接锁定了这一网络传销组织的骨干人员信息。
获取大量有力证据后,磁县公安局迅速展开抓捕。7月26日,专案组民警在北京朝阳区傲城融富中心将“全国兴村富民互助社”的负责人何某抓捕归案,并查扣了“全国兴村富民互助社”公章、财务章、互助社铜牌、4个省级分社的铜牌等。
据了解,自今年3月该传销网站建成开通后,传销网络迅速膨胀。截至案发,该传销组织已发展社员近7000人,广泛分布于30个省、自治区、直辖市,涉案金额近600万元。
网络传销如何“营利”
据透露,2009年底,“全国兴村富民互助社”负责人何某与郑州儒脉网络公司法人代表黎某,在北京经过洽谈达成合作事宜,由何某出资,黎某按照何某授意的传销模式制作专门的传销网站。
其具体模式为,一般会员通过网站注册和缴纳880元即可成为正式社员,获得VIP1社员资格,同时拥有500元网站积分。VIP1发展4个下线,达到2000积分时,再无偿交给上一级,就可以升级为VIP2社员资格。VIP2再如法炮制捐出2000积分时,即可升级为VIP3社员资格。
“该网站服务器连接某支付平台,最终的返利金额都由电脑程序自动生成,并通过易宝支付平台自动转到社员银行卡上。”办案民警说。
据介绍,该传销组织中最大的理论“亮点”就是“出局制”。该传销组织系统设置中只有取得VIP3的社员才有资格对返利金额进行提现。如果一旦提现,该社员会立即“出局”。如不提现,通过积分的积累,该传销组织承诺最高提现金额为340万元。
-终极优待是场骗局
据介绍,社员达到VIP3级别后,可以免费申领该组织自制的“农联一卡通”,可以办理无息小额贷款及融资,解决“借钱难”、“融资难”的问题。利用“农联一卡通”,社员可实现消费打折、消费积分、消费回馈、消费创富的目的。经查证实,“农联一卡通”只是该传销组织吸纳会员入社的一个诱饵,并无实物。
据办案民警介绍,该网络传销由于使用了隐秘的不公开的手段,利用网站作为传销平台,打着服务三农的旗号,吸引会员,掩人耳目,存在虚拟性、欺骗性、隐蔽性更强的特点,并且属于快区域传播,调查取证难度重重。
网络安全设备范文4
[摘 要]C£程测量》是港口工程等专业的一门重要专业基础课程,集“测、算、绘”于一体,具有技术含量高、实践操作性强等特点。基于此特点,尝试采用“教、学、做”一体化教学模式来培养学生的职业技能。
[
关键词 ]工程测量;教学傲一体化;教学改革
中图分类号:G642.3 文献标识码:《 文章编号:1671-0568(2014)35-0061-02
基金项目:本文系广州航海高等专科学校教改项目“面向现代测绘新技术的(工程测量)教学改革的探讨” (编号:2012C06)的科研成果。
高职高专人才培养模式改革是一项系统工程,探索“教、学、做”一体化的教学模式,是促进高职高专教育教学质量不断提高的重要措施,其实质是教学过程的实践性,内涵是教学与生产劳动、与社会实践相结合的学习模式。以此带动课程建设、专业调整、教学内容和教学方法的改革。 《工程测量》是港口工程、道路桥梁、建工等工程类专业的一门重要专业技术基础课,其课程教学随着专业的发展而发展,它具有应用广泛、实践性强、技术革新快、与工程结合紧密等特点。著名教育家陶行知先生早就提出“教学做合一”的教学法,他认为“行动(实践)是一切创造性的开始,行动一思想一新价值的产生是创造的基本模式。-根据这一思想,我们对测量课堂教学模式进行了一次尝试性改革,在课堂教学中引入了“做”的环节,把测量仪器操作作为课堂教学的基础,将测量理论教学与实验教学有机结合在一起,让学生在当测量员的过程中学习测量理论,在当测量员的过程中学测量,以便克服理论教学与实验教学分开进行的缺憾。
一、具体实施
1.构建任务驱动的“教学做”合一教学模式。工程测量是一门实践性很强的课程,要求学生具有较强的专业技能。为了适应这种要求,我们尝试采用任务驱动的“教、学、做”一体化教学模式来培养学生的职业技能。例如,测量中水准仪、全站仪、gps等仪器的操作技能,这些技能都需要学生通过反复训练才能掌握,用一般的教学模式很难达到预期的效果,使用任务驱动的“教、学、做”一体化教学模式则解决了这个难题。具体做法是:给定一个教学项目,分阶段实施教学,使学生从理论到实操全面掌握本次项目所设计的专业技能。我们以水准仪的认识使用为例来讲解实施过程:第一阶段,在一体化教室里教师提出让学生自己操作仪器去了解仪器的各个零部件、螺旋的作用。第二阶段,首先组织学生分组轮流动手操作仪器,通过操作仪器自己去观察、思考、记录。然后分组展开讨论,并推荐代表来回答任务的问题。最后,教师点评各组的答案并作出总结。通过各个零部件的作用,提出各个螺旋的名称和使用方法,教师边操作仪器边进行讲解。第三阶段,学生到实训场地去练习操作仪器。通过提出任务和问题,激发了学生的学习兴趣和求知欲;通过学生小组合作学习和探索,以及讨论、发现、总结,达到首脑并用,做起来,学起来,真正做到了“教、学、做”合一。
2.建立“教学做”一体化教室。教育家陶行知先生指出:教学做是一件事,不是三件事。要在做中教,在做中学。教师是任务的提出者,学生则是实践任务的指导者。建立一体化教室,不仅要有多媒体,还要有多套课堂需要的仪器等设备。在课堂教学中,仪器就在学生身边,教师边教边做,学生边学边做,边做边学。教师在做中教,学生在做中学,大大调动了学生的学习积极性和主动性。
3.开放实验室。有限的课堂时间,不能满足学生提升测量能力的目标。可向系里申请开放实验室,在没有课的平日、节假日等向学生的免费借仪器。给学生很充沛的练习时间,既提升了学生的测量水平,又增强了学生的学习兴趣。可鼓励高年级学生去指导低年级学生。高年级学生已经拥有一些测量经验,且测量速度也较快。还可组织高年级学生对低年级学生进行答疑,或者做现场演示。这样教师的工作相对轻松,学生的积极性也被激发出来,同时加强了学生的沟通能力。
4.以证代考的考核模式。为了在课程教学改革中取得实效,促进学生真正学有所得,学有所用。在考核环节中尝试“以证代考”,对通过考证的学生视同通过期末考试,给予相应的期末成绩。通过测绘行业特有工种职业鉴定站,对学生进行“工程测量”职业技能鉴定。学生通过理论与实操的考核,可取得相应级别的证书,该证书全国认可。
5.通过竞赛让学生真正做起来。从每次实训任务后的小组竞赛,到每年一次系里的技能竞赛,再到省里市里的技能竞赛,都鼓励学生积极参与,从而激发学生的学习热情,让学生掌握实际操作技能。
二、教学效果
“教、学、做”一体化教学模式的探究,是高职高专院校深化教学改革的重要内容,是推进素质教育的重要途径,是培养技术应用型人才的基本途径。打破了过去在教学中实践过分依赖于理论的状况,将理论与实践密切结合起来,在教学中边讲边练、讲练结合,使理论在实践中得以消化。通过“教、学、做”一体化教学的实施,取得了一定的效果。
1.明显提高了学生的学习积极性,加深了专业认识,培养了吃苦耐劳的精神,增强了学生的团队意识,培养了毕业后融人社会的能力。从学生成绩来看,平均成绩高出往年10分左右,特别是实操能力大大提高。
2.一体化教学要求教师不仅要有深厚的基础理论和广博的专业知识,还应有一定的生产实践、科学研究能力。面对现代快速发展的测绘科学技术,要求教师注重调整知识结构,拓宽知识面,学习新技术,掌握新方法。特别是在实际工程方面,要提高学生的工程意识,必须教师先行。为了适应、提高教学质量,教师不得不向“双师型”教师转变。这对“双师型”教师队伍的培养起到很好的效果。
三、存在的问题
1.教师队伍素质还有待提高。一体化教学对教师的素质提出了更高的要求,在整个教学过程中,教师要既能讲授理论知识,又能指导学生实践,每位教师都必须具有“双师”素质,目前学校教师队伍素质还没达到要求,应加快对“双师”队伍的培养。通过参加培训,到生产单位进行学习锻炼,与企业技术人员合作等形式,加快师资队伍的培养。另外,也可外聘一些生产单位的专家等来充实师资,促进学习提高。
2.教学设备还需完善。一体化教学要有良好的教学设施,与教学方法,手段同等重要,相辅相成。随着招生规模的扩大,现有的仪器设备不能满足教学要求,许多老仪器需要更换淘汰,新的现代化设备不足,需要购置。
3.实训基地还需完善。实训教学基地是实训教学的基础和保障,一个固定的校内基地能提供系统的测量实训场所,与生产单位联合组织的校外实训基地能使学生深入工程实践。根据工程测量的连续性,在校园建立了闭合导线、闭合水准路线实训场;水准仪训练场、经纬仪训练场、全站仪训练场、GPS训练场等,提供学生实验和实习。另外,系里还与工程施工单位签订校企合作协议,学生可以到施工单位进行顶岗实习等。随着学生人数的增加,再加上校区的搬迁等原因,校内外实训基地都有待完善。
网络安全设备范文5
关键词:网络安全系统;割接。
中图分类号:TN711 文献标识码:A 文章编号:
南宁铁路局新建行车调度指挥中心工程,是南宁铁路局新建立起来对网络结构、网络规模以及网络性能的优化与升级的综合工程,工程要求从既有中心迁移至新中心实现无缝切割,即在迁移同时须保证指挥中心对控制的200多个车站近3000公里线路指挥安全,并要求割接过程中数据实时更新,在割接同时实现系统升级。铁路行车行车指挥系统是保证行车安全和运输效率的重要设备,网络安全系统的特殊性和重要性,在工程的实施过程中,应该充分考虑搬迁过程中对在用网络造成的实际影响,充分考虑到网络安全系统搬迁过程中可能出现的各种情况,须对系统结构及系统功能认真分析、周密制定方案,将网络安全系统迁移工作对用户的影响降至最小。
南宁局在用的行车指挥系统网络安全设备包括:中心防火墙系统、中心网络反病毒系统、网络漏洞评估系统、身份认证系统。
1 工作内容概述
网络安全系统搬迁工程的主要任务是将原有中心至车站防火墙系统从原先的路由模式的防火墙网络结构切换到新中心透明模式的防火墙网络结构;把局间和TD结合部的防火墙搬迁到新中心,系统结构不变。同时在新中心添加新的网络安全子系统。
2实施阶段
本次搬迁割接分五个阶段实施:
2.1 新机房设备准备阶段:主要完成各服务器软件安装,防火墙策略调试;
2.2新机房设备联调阶段:主要配合完成整个安全系统的联调联试;
2.3新机房和老机房联调联试阶段:主要完成机房网络联通,部分设备试用;
2.4车站网络通道切割阶段: 主要完成车站网络防火墙系统从老机房同步割接到新机房;
2.5 对部、局间防火墙系统切割阶段:主要完成TD结合部、局间防火墙设备从老机房搬迁到新机房;
3中心至车站防火墙割接
3.1系统分析及割接准备
充分利用新增加的安全设备建立一个新的网络安全结构。新中心网络结构与旧的网络结构并不是相对独立的关系,相反,新中心网络与旧网络之间存在一定的关系,通过充分的准备与良好的控制将旧的网络安全设备逐步地向新的网络中过渡,从而达到平滑过渡的目的。将老机房4台中心至车站防火墙节点分时分阶段地进行,保证车站与中心网络的联接不会中断,应用业务所得到的网络服务不受影响。但是,由于存在一个新旧网络并存的阶段,因此需要考虑较多的因素,避免出现网络服务中断的现象。
割接准备工作的目的是应用新增的网络安全设备,按要求建立一个新的网络安全模型,该网络安全模型通过和旧的网络安全结构连接,并且通过路由设置,使的新、旧网络安全模型两个部分可以互相通信,这样,当我们在将老机房网络的安全设备从旧网络转接至新网络时,可以做到平滑过渡。
割接前应完成的工作:所有新设备的上架;所有网线的布放;相应设备与联接的标识与标注,以便于在网络能够正确、迅速地恢复。
3. 2具体的工作步骤
3.2.1根据南宁局网络的实际情况,采用新的临时IP地址段作为搬迁工程的网络地址,这样在新旧网络并存时不会存在IP地址冲突的问题。
3.2.2要点断开老机房A网中的防火墙的线路,同时联接新机房A网的中心防火墙。
3.2.3测试双网之间的联通性。若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
3.2.4分别测试新机房中通过新增网络安全设备与车站之间的联通性,保证新网络安全设备接到旧网络中时不会造成网络服务中断。
3.2.5观察防火墙工作情况,并测试车站网络通过新链路的通讯能力。至此,一个新旧网络并存的网络安全结构模型已经完成。在该模型中,所有的服务器仍然联接于旧网络结构中,但新的网络安全设备也可以正常地与其它所有网络设备联通。
3.2.6 要点断开老机房B网中的防火墙的线路,同时联接新机房B网的中心防火墙。
3.2.7 测试双网之间的联通性。若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
3.2.8分别测试新机房中通过新增网络安全设备与车站之间的联通性,保证新网络安全设备接到旧网络中时不会造成网络服务中断。
3.2.9观察防火墙工作情况,并测试车站网络通过新链路的通讯能力。至此,一个新的网络安全结构已经建成,新机房网络与老机房网络之间光纤联接, 保证过渡期间的局域网络链路的畅通。
3.3 具体割接过程
将老机房4台中心至车站防火墙节点分时进行,而不会影响网络服务。采用老机房4台中心至车站防火墙采取互为备份的方法,即在A网防火墙割接时,所有的网络安全服务由B网提供,反之亦然。这样可以在短时间内中断某一个节点的网络安全联接而不会造成的影响。具体过程如下:
3.3.1首先选取某一个网络节点,如A网进行割接工作。
3.3.2网络安全数据与安全服务的切换
在进行实际割接工作之前,需要将老机房所有的网络安全数据、用户数据以及网络安全配置备份,以便在割接中断时,可以很快地将网络恢复至原有状态。同时,还需要将老机房所提供的网络安全服务备份至新机房。
3.3.3 在A网防火墙完成割接并正常使用后用同样的方法割接B网防火墙。
3 .3.4 测试、观察网络,如果发现问题要及时恢复网络原状。
4TD结合部、局间防火墙系统割接方案
4.1系统分析及割接准备
充分利用旧的安全设备建立一个相同的网络安全结构。该网络结构与旧的网络结构是相对独立的关系,将老机房原有局域网一次割接到新的网络安全结构中。此时,相应局域网设备的相关配置不需要更改,经过微调与完善,最后成为本次工程最后的网络状况。
割接准备工作的目的是应用利旧的网络安全设备,建立一个独立于原有网络的安全网络模型,该网络安全模型和原有模型结构一致。割接前应完成的工作:所有设备到位,包括通信前置机、接口服务器等;所有网线布放;相应设备与联接的标识与标注,以便于在网络能够正确、迅速地恢复。
4.2具体的工作步骤如下
4.2.1按照原有拓扑结构搭建好安全网络模型;
4.2.2按照原防火墙的配置把新的防火墙配置好;
4.2.3测试联通性及其配置;发现问题立即排查。至此,一个新的安全网络安全结构已经建成,该网络与原网络之间没有联接, 是一个相对独立的网络。
4.3具体割接步骤
在具体割接工作实施过程中,采用由旧设备到新设备的方法,即先割接老机房防火墙,然后再接入新机房防火墙的方法。具体过程如下:
4.3.1出口链路的联接。要点断开老机房原出口路由器与对部、邻局防火墙间的互联链路,将其改接至新机房路由器上,配置两路由器的端口参数与路由协议。观察路由器与铁道部防火墙之间的联接状况,观察防火墙的工作状态和应用业务的状态。
4.3.2原有网络设备的联接改变。出口链路的联接结束时,用户可以通过防火墙系统和对部、邻局网络通信。网络联通性测试与与用户访问测试同步进行,若测试某一方面不成功,迅速查找原因,如在短时间内不能发现原因,则按恢复方案将网络恢复为原来状态。
5 网络恢复过程
在网络割接过程中,如果由于某些原因造成割接工作不能继续时,需要迅速地将网络联接恢复为原有状态,保证用户所需要的业务不受影响。
为了能使网络恢复工作能够迅速、顺利地进行,在进行网络割接工作之前需要做好网络设备联接与相对位置标识。网络割接过程有很大一部分是通过网络设备的联接位置来完成的,做好标识能够有助于网络设备联接位置的改变。
网络安全设备范文6
【关键词】职业院校;软件定义网络技术;信息化系统;网络安全管理
职业院校信息化系统建设中,网络信息安全管理是非常重要的一项工作,一旦网络信息安全管理出现问题,职业院校将面临巨大的损失[1]。因此,在职业院校信息化系统建设规模、广度不断提升的大背景下,职业院校信息化网络安全管理工作的重要性将不断得到提升,对网络安全管理工作的要求也随之提高[2]。同时,因为信息化技术的高速发展,网络安全管理工作复杂度进一步提升,也加剧了网络安全管理工作难度,一些传统的网络安全管理手段已经不再适用。软件定义网络技术(SoftwareDefinedNetwork,SDN)是一种可以有效保障网络安全的新型技术,目前在网络安全管理领域应用较为广泛,适宜应用于职业院校信息化网络安全管理之中。据此,本文在研究当前职业院校网络信息管理系统建设现状的基础上,结合大数据、云服务以及5G网络技术的特征,详细探讨了软件定义网络技术为依托的新型安全管理系统在职业院校信息化网络安全管理中的应用。
1软件定义网络安全技术及其应用
1.1SDN概念
SDN,是一种以软件定义的方式对网络中节点间通信转发进行管理的技术统称,其是指为一种可用于控制与转发分离并直接进行编程的网络架构。在传统网络设备架构体系中,通常可分为3层,即应用、控制与转发[3]。通常控制功能被集成于服务器之上,其上层为应用层,而下层为转发层,在网络系统架构中需要抽象为逻辑实体。而基于传统网络设备架构体系基础上,斯坦福大学的CleanSlate项目对原本架构进行了改进,从而形成了一种可以免于互联网技术架构影响的新型网络架构。
1.2SDN应用优势
传统模式的网络管理设备采购成本较高,应用范围难以兼顾各类网络服务需求。而且需要按照不同业务应用需求,配置不同类型网络协议的设备,耗费大量人力和物力,且运营、维护成本也较为昂贵。而SDN作为一种新型网络构架模式,最突出的运行特点是能够将数据平面层与控制平面层进行分离,改变了传统网络构架模式的局限性。SDN技术利用开放的OpenFlow协议,采用标准化交换机,突破了传统模式下的分布式管理机制的限制,对网络设备的管理控制权进行了系统性优化,分离传统网络设备中的控制层与数据层,使控制层和基础设施层之间能够实现网络流交互,运行不受限于业务类型,便于实施集中管理。这种模式不仅大大提高设备管理灵活性,操作高效便捷,而且能够达到有效节省运行成本的目的。具体来说,SDN技术支持下的管理系统将构架体系分为控制层、基础设施层以及应用层3类系统分支。其中,控制层是SDN架构中的核心组成部分,充当人脑的作用,支配其他两个体系,主控运行。控制层主要设备是控制器,控制所有资源,主要工作为制定访问和控制策略、网络拓扑维护以及设备状态监控等,常见的控制器有OpenDaylight、ONOS等。以SDN交换机为核心设备的基础设施层则只执行决策,负责数据转发处理。应用层则包括各类业务应用系统,针对各类用户需求提出请求。
1.3SDN应用现状
软件定义网络作为新型网络架构目前在网络安全管理中应用非常广泛,目前因应用其进行防御的软件有很多,较为常见的包括防火墙、杀毒软件与包过滤[4]。防火墙在应用软件定义网络技术主要是设置拦截数据的启发式规则,帮助防火墙识别木马病毒等不满足规则要求的数据,并对这些数据进行拦截。杀毒软件是目前较为典型的将软件定义网络技术应用于安全管理的工具,常见的杀毒软件有360安全卫士、腾讯管家等,在杀毒软件中应用软件定义网络技术主要是对数据流中的病毒基金特征进行高效识别,并及时清除潜在的网络安全隐患。包过滤同时结合了作为新一代网络安全防护技术,是当前倍受认可的网络架构模式,具备较高的可编程软件防御技术与硬件防御技术,采取枚举与迭代的规则,对数据包进行深度的穿透式检测,对数据包中的所有协议字段内容进行检测,可有效满足大流量网络应用需求。SDN系统目前正在呈现出向应用导向型转变的发展趋势,以用户需求为驱动力,逐步实现网络虚拟环境的开放性和自动化服务目标。
2职业院校信息化系统建设现状及面临的安全问题
2.1职业院校信息化系统建设现状
第三次IT革命的到来,社会信息化发展再次出现了较大变化,云计算也从此成了一种主流的信息化服务模式。云模型主要分为3种服务模式以及4种部署模型,可以帮助物理服务器大大提高其处理业务效率的能力,其性能远超于单一用户对硬件性能的要求[5]。在云服务模式的快速发展下,基于云服务的系统架构逐渐得到普及。“十四五”规划开启以后,信息化建设已成为各个领域发展的关键词,职业院校也不例外。职业院校信息化规模与日俱增,信息数据成比例提升,更需要云计算技术快速处理信息,通过虚拟化手段将物理服务器虚拟为多台虚拟机,从而帮助云计算提供运行载体,以达到快速处理信息数据的目的[6]。但随之而来的便是网络安全管理问题,大量数据一旦出现问题,便直接造成严重的损失。高职院校信息技术的规模不断扩大,使得商业信息系统也越来越集中。同时,云计算技术的普及使得大量网络计算资源集中到一起,逐渐处于高度整合的状态。此基础上,高职网络信息管理系统结合了物理设备和虚拟网络于一体的网络环境,安全管理复杂性不断增加。传统的网络安全管理方法很难快速、高效地解决安全隐患,同时也难以有效部署网络安全设备位置。这就进一步要求高职院校提高对信息系统的安全管理意识,严格执行网络数据安全审计工作,构建以学生、教师等用户为导向的新型安全网络环境。
2.2职业院校信息化系统面临的安全问题
新型网络环境主要利用虚拟化技术构建网络架构系统,应用在高职院校信息系统当中,可对学校网络的私有云形态和仅适用于服务器虚拟化技术的网络环境进行有效优化。但在这样的网络环境中,业务系统通常不只是存在于虚拟化环境当中。信息系统技术的限制导致系统无法实现向虚拟化平台的快速迁移,从而导致实际应用环境中出现两种网络形态,一个是混合的虚拟化网络,另外一个则是传统物理网络环境。这种复杂的信息系统使得日常安全管理工作的难度有所增加,出现一些性能方面的问题。在职业院校信息化网络安全管理中,系统面临的安全问题主要分别为业务信息监测、网络边界界定、安全设备接入以及设备监测负载4个方面。2.2.1业务信息监测方面首先,关于业务信息监测方面。职业院校在实施网络安全管理工作时,需要明确业务系统间的通信关系,同时以此为基础进行实时的信息监测。然而因为职业院校信息化系统在发展中呈现出明显的高度集中化特征,业务主机完全集中于私有云的环境之中,导致职业院校在实施网络安全管理工作时很难对相应的信息流进行监测,无法根据信息流找到与之对应的主机,而且缺乏合适的监测点,从而造成监测数据难以整合与分析的问题。2.2.2网络边界界定方面在网络边界界定方面,由于云计算的集成,职业院校信息化系统不再应用物理服务器,而是多个虚拟机。而虚拟机的漂移特性导致在网络边界上无法以传统物理网络边界准确、及时地进行界定。尽管虚拟机的业务系统仍然从逻辑构成上与传统物理服务器相似,然而在物理拓扑位置上却存在差异,甚至物理拓扑位置并非固定的,有可能会因为资源调配而出现改变,而传统网络安全管理主要是对网络边界进行防护,很显然传统网络安全管理手段对虚拟机为服务器的新型信息化系统是无效的。2.2.3安全设备接入方面针对安全设备接入方面,以虚拟机作为服务器的新型信息化系统因为不存在网络边界,因此需要通过在虚拟机上进行抓包的方式以确保安全监控的全面覆盖。2.2.4设备监测负载方面我国职业院校在转向新型网络架构系统模式后,受到网络设备更新不及时、新系统网络边界模糊等因素的影响,不可避免地出现安全设备监测负载量超值、噪音数据超量的问题。传统的网络运行模式对于网络流量的监控需要依赖于交换机,利用交换机捕获数据包,然后再通过安全设备对其进行检测和安全性分析。而在虚拟化的网络环境中,网络边界模糊,容易出现安全监控盲区。因此,为了保证安全监控活动涉及各个网络流,通常要捕获所有物理交换机或虚拟交换机上的数据包。这种情况下,被监控业务的通信流量被抓包的同时,大量干扰数据也会被系统捕获,造成监测功能载荷量超过系统标准值,安全检测和防御安全设备容易因接收量过大而存在过多噪音数据,进而影响计算机系统的响应速度和信息处理性能。同时,过量的噪声数据也会降低系统安全检测的准确性,产生不准确的误报警示,增加人工工作量,降低信息安全系统的运行效率。
3软件定义网络技术在职业院校信息化网络安全管理中的应用
为应对职业院校信息化系统建设中存在的各类问题,本次研究中提出了一种基于软件定义(SDN)网络技术安全管理系统。本文主要从系统架构、业务安全管理流程、安全设备接入和网络流检测几个方面对应用于职业院校的网络安全管理系统进行全面阐述。3.1系统架构本文提出的SDN新型职业院校信息化网络安全管理系统,在系统架构上采用集中式的闭环管理架构,在全景式拓扑与业务关联技术基础上对职业院校信息安全网络环境进行了系统性审查、信息流管理与安全管理。为了更好地实现全景式系统拓扑,并尽可能地提高细粒度的网络安全能力,需要借助SDN架构对职业院校网络安全环境进行重新定义,实际操作中需要保证职业院校内所有的网络软件和硬件交换机都能够开启对OpenFlow协议的支持。校内的安全管理系统通过对软件定义网络的调试与控制能够获取网络控制器的所有网络拓扑信息内容,并且根据职业院校网络安全管理的实际需求能够实现业务系统操作之间的信息流交换与多频次转发。同时,在云技术支持下,职业院校传统网络安全管理系统具有了虚拟化处理能力,此时需要保证传统的物流交换机与虚拟交换机时刻开启并支持OpenFlow协议。职业院校传统的物理网络结构仍需要以物理局域网进行安全检测以达到边界安全防护的目的,而虚拟局域网的应用方式可以在虚拟环境中借助虚拟机的方式拓展传统物理局域网的规模,不断提高职业院校的系统架构安全性与稳定性。3.2业务安全管理流程为了满足职业院校对业务处理系统的安全管理需要,本文提出了结合业务流可信表的方式加强业务模型与系统网络流之间的安全管控效率,在职业院校信息化网络安全管理系统中通过管配接口,可以保证系统安全管理员完成逻辑边界的构建工作,不断形成职业院校安全管理边界模型。系统内业务流以可信表的方式进行管理控制则在系统层面提供了以软件方式进行业务流程信息访问的便捷途径,其中包含业务系统内部主机之间的访问可信,系统中不同业务之间的相互访问可信等具有明显差异化的访问规则。系统中与业务安全管理流程相关的互访关系的构建是在SDN控制流表生成规则基础上构建的,当系统确认职业院校业务互访关系为可信状态时,则不会对业务流进行检测。3.3安全设备接入在基于SDN技术的职业院校网络安全管理系统中,在完成所有业务流安全管理流程工作后,需要由安全防护与专业检测工作对安全设备进行再次检测,之后系统中的安全设备需要直接接入到职业院校的网络环境中,安全设备自接入时起便由职业院校的安全管理系统进行统一调配管理。安全管理系统正常启动后,会率先通过管控与SDN技术管控获取全部的网络拓扑信息,并将拓扑信息内容进行可视化展示,帮助用户在可视化数据信息基础上完成业务系统逻辑边界的建模处理,并确定虚拟机应具体属于哪个业务系统内。在此基础上已经完成业务系统逻辑边界构建的能够自由地在业务流可信表中进行可信互访,在满足制定互信互访关系后业务系统环境下的主机便可进行可信互访,完成业务内容的交换与浏览。3.4网络流监测监测是信息网络安全管理系统内部不可或缺的重要部分,SDN技术可实现业务逻辑与网络流量控制的关联。基于SDN的网络安全管理系统能够利用业务流信任表,将业务和网络流进行连接,完成关联工作后,系统即可通过交换机的网络流,对每个网络流量进行系统性的监控和审核,具有全面、及时的优点。其中,针对符合业务流可信表定义监测条件的网络流,系统可以直接实现转发处理,以此降低系统与设备的安全负载压力。针对不符合监测要求的外部主机访问请求,系统对利用SDN功能自动转发到相关的安全设备上进行深层次分析与检测。其中需要考虑到系统的数据库服务器和web服务器的是否存在可信关系,如果认为二者之间的连接关系是可信的,则可以直接将其中的网络流进行转发处理。除此,SDN系统还可实时对业务流关系展开跟踪,分析数据安全性,提供了安全跟踪和预警功能,针对不受信任访问或病毒入侵的情况,系统可及时提供报警提示,进一步加强了整个系统的安全管理筛查和防入侵性能。
4结语
综上所述,尽管5G通信已经开始普及和应用,但IP网络在未来几年仍将占领市场,基于此趋势,SDN技术的研究仍具有重要意义。本次研究中,笔者首先对软件定义网络技术的的概念进行了定义,并以其应用优势为前提,对应用现状进行了阐述,同时指出了网络环境信息化发展的大背景下职业院校信息体系建设所面临的主要安全问题,根据职业院校业务网络环境建设情况与业务发展情况展开了较为全面、系统的分析。在此基础之上,本文提出了一种运用软件定义网络技术的安全管理系统机构,其中运用业务可问关系构建了业务系统之间的安全管理新模式,尝试为职业院校的网络安全管理工作提供了一种新的发展思路,为日后我国职业院校网络信息安全体系的可持续发展提供有价值的参考。
【参考文献】
[1]李可欣,王兴伟,易波,等.智能软件定义网络[J].软件学报,2021,32(1):118-136.
[2]李建华.能源关键基础设施网络安全威胁与防御技术综述[J].电子与信息学报,2020,42(9):2065-2081.
[3]叶福玲,张栋,林为伟.基于软件定义网络的安全攻防虚拟仿真实战平台[J].实验技术与管理,2018,35(11):125-129.
[4]刘世文,马多耀,雷程,等.基于网络安全态势感知的主动防御技术研究[J].计算机工程与科学,2018,40(6):1054-1061.
[5]王涛,陈鸿昶,程国振.软件定义网络及安全防御技术研究[J].通信学报,2017,38(11):133-160.
