前言:中文期刊网精心挑选了网络设备安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络设备安全范文1
关键词 网络设备;加固;电力
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
参考文献
网络设备安全范文2
【关键词】IPSec;ESP;VPN;网络安全设备
0 引言
TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分,但网络上的IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网,网络的安全性尤其重要。
IPSec(Internet Protocol Security)在IP层提供安全服务,使得一个系统可以选择需要的协议,决定为这些服务而使用的算法,选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。因此,采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。
1 IPSec概述
IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范,提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力,保证了IP数据报的高质量性、保密性和可操作性,它为私有信息通过公用网提供了安全保障。通过IKE(IPSec Key Exchange,自动密钥交换)将IPSec协议简化使用和管理,使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN(Virtual Private Network,虚拟专用网)网关具有数据安全性、完整性、成本低等几方面的优势。
使用IPSec协议是用来对IP层传输提供各种安全服务,主要包括两种安全协议,即AH(Authentication Header,验证头)协议和ESP(Encapsulating Security Payload,封装安全载荷)协议。AH协议通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通过使用验证机制,终端系统或网络设备可对用户或应用进行验证,过滤通信流,还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密,为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下,ESP协议安全性更高,与此同时其实现复杂性也较高,本文设计的网络安全设备采用ESP协议。
2 网络安全设备设计
2.1 设备加解密原理
图1 设备加密工作原理
为确保重要数据传输安全可靠,需在通信IP网中增加保密措施,因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能,包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能;硬件模块主要完成数据处理层面的功能,包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能,设备加密工作原理如图1所示。
当设备收到用户IP包时,先判断其是否为保密数据,如果是,则在该IP数据前加入一个ESP头,然后发送到公网。ESP头紧跟在IP头后面,ESP占用IP协议标识值为50。对IP包的处理遵守以下规则:对于要发送到公网的IP包,先加密,后验证;对于从公网上收到的IP包,先验证,后解密。
当设备要发送一个IP包时,它在原IP头前面插入一个ESP头,并将ESP头中的下一个头字段改为4,根据密钥管理协议协商得到的SPI(Security Parameters Index,安全参数索引)值填入到ESP头中,并分配一个序列号,同时根据算法要求插入填充字段,并计算填充长度。在ESP头的前面插入一个新的IP头,源地址为设备的IP地址,目的地址为对端设备的IP地址,并对相应的字段赋值,在做完以上处理后,对IP包加密,并进行验证,将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。
远端设备接收到一个ESP包后,首先检查这个包是否有相关的SA(Security Association,安全关联)存在,如果不存在,则将该包丢弃。如果存在,则进行下一步处理。首先检查序列号,如果序列号无效(一个重复的包),则将该包丢弃。如果有效,则进行下一步处理。根据对应的SA对这个包进行验证,并将验证结果与IP包中的验证字段比较,若不一致,则丢弃,若一致,下面就进行解密,并根据填充内容来判断解密是否正确,因为填充数据可以通过约定事先知道。在验证和解密成功后,就对IP包进行初步地有效性检验,这个IP包的格式与SA要求的工作模式是否一致,若不一致,则丢弃该包,若一致,就准备从ESP包中解出原IP包,删除外面的IP头和ESP头,然后检查这个IP包与SA所要求的地址和端口是否符合,若不符合,则丢弃,若符合,则设备将该IP包转发出去。
2.2 硬件结构设计
网络安全设备采用模块化的设计思路,各硬件功能模块之间采用接插件方式连接,各模块的连接关系如图2所示。
图2 设备硬件结构及连接关系
设备主板是数据处理核心模块,其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统,承载设备嵌入式软件,全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。
接口板包括用户口和网络口两块接口板,通过高(下转第64页)(上接第65页)速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。
IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入,本地控制接入。
3 VPN构建
网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密,可以支持大多数用户业务,对局域网重要数据进行加密保护,通过公共通信网络构建自主安全可控的内部VPN,集成一定的包过滤功能,使各种重要数据安全、透明地通过公共通信环境,是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处,通过对IP数据的加解密,可以保证局域网数据在公共信道上传输的安全性。
与设备相连的内部网受到IPSec保护,这个内部网可连入不安全的公用或专用网络,如卫星通信、海事和专用光纤等。在一个具体的通信中,两个设备建立起一个安全通道,通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网,就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时,源端网络安全设备通过IPSec对数据包进行封装,封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商,收端网络安全设备知道发端所使用的加密算法及解密密钥,因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机,反之亦然。
4 结束语
在设计网络安全设备时采用IPSec协议,使用ESP对传输的数据进行严格的保护,可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取,确保数据传输的安全性。
【参考文献】
[1]蓝集明,陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展,2009,11(19):15-17.
[2]郭旭展.基于IPSec的VPN安全技术研究[J].电脑知识与技术,2009,8(24):52-54.
网络设备安全范文3
-软件传销引出网络传销
据磁县公安局介绍,今年3月19日,磁县一通讯门市经营者张某到该县公安局报案称:2009年6月,李某到其门市,以高利润回报为诱饵,让其销售MDG国际科技集团的麦库软件,通过发展下线进行传销。
依据报案人张某提供的案件线索,警方立即展开侦查,并依法传唤李某。犯罪嫌疑人李某不仅供述了他加入麦库软件传销组织并进行传销活动的犯罪事实,还供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一传销组织——“全国兴村富民互助社”。
经调查,“全国兴村富民互助社”的传销人员遍及全国各地。由于案情重大,磁县公安机关迅速成立了由经侦、刑侦、网监等多部门组成的专案组,同时,将案情上报公安部,因涉及地区、人员较多,该案被公安部列为督办案件。公安部要求全国公安系统协同配合,协助磁县公安局破获此案。
-谁是网络背后黑手
专案组在邯郸市公安局网监支队的配合下,对“全国兴村富民互助社”的网站IP地址进行了监控,锁定了该网站服务器的位置。同时,专案组民警先后到山东潍坊、江苏南通、河南郑州等地查找该服务器。
根据在江苏南通电信机房获取的该网站的一些数据,磁县公安局成功破解了该传销网络系统后台管理的最高权限,直接锁定了这一网络传销组织的骨干人员信息。
获取大量有力证据后,磁县公安局迅速展开抓捕。7月26日,专案组民警在北京朝阳区傲城融富中心将“全国兴村富民互助社”的负责人何某抓捕归案,并查扣了“全国兴村富民互助社”公章、财务章、互助社铜牌、4个省级分社的铜牌等。
据了解,自今年3月该传销网站建成开通后,传销网络迅速膨胀。截至案发,该传销组织已发展社员近7000人,广泛分布于30个省、自治区、直辖市,涉案金额近600万元。
网络传销如何“营利”
据透露,2009年底,“全国兴村富民互助社”负责人何某与郑州儒脉网络公司法人代表黎某,在北京经过洽谈达成合作事宜,由何某出资,黎某按照何某授意的传销模式制作专门的传销网站。
其具体模式为,一般会员通过网站注册和缴纳880元即可成为正式社员,获得VIP1社员资格,同时拥有500元网站积分。VIP1发展4个下线,达到2000积分时,再无偿交给上一级,就可以升级为VIP2社员资格。VIP2再如法炮制捐出2000积分时,即可升级为VIP3社员资格。
“该网站服务器连接某支付平台,最终的返利金额都由电脑程序自动生成,并通过易宝支付平台自动转到社员银行卡上。”办案民警说。
据介绍,该传销组织中最大的理论“亮点”就是“出局制”。该传销组织系统设置中只有取得VIP3的社员才有资格对返利金额进行提现。如果一旦提现,该社员会立即“出局”。如不提现,通过积分的积累,该传销组织承诺最高提现金额为340万元。
-终极优待是场骗局
据介绍,社员达到VIP3级别后,可以免费申领该组织自制的“农联一卡通”,可以办理无息小额贷款及融资,解决“借钱难”、“融资难”的问题。利用“农联一卡通”,社员可实现消费打折、消费积分、消费回馈、消费创富的目的。经查证实,“农联一卡通”只是该传销组织吸纳会员入社的一个诱饵,并无实物。
据办案民警介绍,该网络传销由于使用了隐秘的不公开的手段,利用网站作为传销平台,打着服务三农的旗号,吸引会员,掩人耳目,存在虚拟性、欺骗性、隐蔽性更强的特点,并且属于快区域传播,调查取证难度重重。
网络设备安全范文4
[关键词] 信息安全风险评估 网络互连设备 脆弱性分析
一、引言
随着网络的普及,网络应用不断向深度和广度发展,大量企业网络建成。由于人类对网络的依赖日益增强,所以网络是否安全性已成为企业计算机网络所面临的重大问题。网络安全包括硬件安全和其上的软件的安全。网络硬件主要包括互连设备,比如:交换机、路由器、网关等。现在针对硬件设备主要是进行一些安全方面的配置,例如交换机的VLAN,路由器的ACL配置等等,却忽视了设备本身在工作中存在的脆弱性。本文依据信息安全风险评估步骤的脆弱性和威胁性,通过分析几种比较常用网络互连设备的工作原理发掘其脆弱性。
二、交换机脆弱性分析
交换机在OSL数据链路层MAC子层工作,它可以连接到单独的结点或整个网段的单个网段的单个端口,在它们之间交换数据。并且为每个端口到端口之间提供全部的局域网介质带宽。
1.从设备自身来看
交换机在系统安装,启动和灾难恢复时,是处于不安全状态,有一定的脆弱性。其次它同样也存在物理威胁,一些外在因素的影响可能破坏交换机。
2.从其工作原理来看
交换机接收到一个帧以后,检查MAC帧的目的地址,并和自身内部的交换表进行比较,首先要保证交换表的正确性,否则会导致数据传输错误。如果找到和目的网段相连的端口,然后将该帧发往端口。如果找不到所对应的端口,交换机会向所有的端口发送该帧,并且通过回应帧,建立和端口号相关的MAC地址表,在下次传送数据时就可以查表,不再需要对所有端口进行广播了。这种对不知道目的地址的数据帧采用向所有端口发送数据包的做法,容易出现“溢流”现象。
交换机允许广播帧溢流到整个网络,同样会引起其他不法主机的“窃听”,可以采用VLAN。采用不同的交换方式的交换机可能会存在一定的脆弱性,例如直通式交换机,就无法区分数据流量是善意的还是恶意的,它只是实现快速转发。存储转发式交换机可以解决数据安全性问题,但又可能存在数据包丢失的问题。另外,交换机在转发数据帧时,存在输入端口和输出端口在速度上能否匹配的问题,如果缓冲数量少而冲突数据量大的话,数据帧就会丢失。
3.从外在因素来看
入侵者利用交换机软件或协议的脆弱性进行攻击,比如IP欺骗,TCP连接能被欺骗、截取、操纵,UDP易受IP源路由和拒绝服务的攻击等等,同时也可能存在访问权滥用或者后门等问题。
三、路由器脆弱性分析
由器工作在OSL模型的网络层,它可以用来连接具有相同网络通信结构的网络,也可以连接不同结构的网络。它为数据包提供最佳路径,并且实现子网隔离和抑制广播风暴。
1.从设备自身来看
路由器相当于网络层的中继器。路由器不能真正实现即插即用,需要很多配置。配置文件中一般包括路由器接口地址,登录密码,还有路由表的接口状态,ARP表,日志信息。这些信息如果被攻击者获得,后果不堪设想。比如可以将路由器作为对其他站点扫描或侦察攻击平台,或者修改路由配置等。
2.从其工作原理来看
路由器是在网层上实现多个互连的设备。一个路由器有几个端口,分别可以连接一个网络或一个路由器。其主要任务是接收来自一个网络接口数据包,根据其中所含的目的地址,决定转发到下一个目的地址的端口。由于路由器是一个多端口的设备,因此闲置的并且工作正常的服务器端口很可能被黑客利用,对于不用的端口,应该妥善管理。路由器接收到的数据包以后,首先在转发路由表中查找数据包对应的目的地址,同交换机一样,我们也要求路由表的正确性。虚假的路由信息会使数据发送到错误的地方。若找到了目的地址,就在数据包的帧格式前添加下一个MAC地址,同时IP数据包头的TTL(Time To Live)域也开始减数,并重新计算校验和。当数据包被送到传输端口时,需要按顺序等,以便被传送一输出链路上。如果数据包不是发往直接与路由器相连的网络,该路由器则把这个包转发给另一个离最终目标更近的路由器。
现在,路由器还不具备安全和加密的功能,仅仅只有路由的功能,所以对待各种各样的攻击是脆弱的。
3.从外在因素来看
由于路由器是在网络层实现多个网络互连的设备。因此如果得到路由器的访问控制权的话,任何人都可以通过路由器来对其他的服务器发起拒绝服务攻击,而路由器不会自动生成警报通知用户正受到攻击。并且路由器的访问密码极不安全,可以通过SNIFFER探测到,或在专属公司网页上可以查到。
四、网关脆弱性分析
网关又叫做协议转换器,它用来连接专用网络和公共网络的路由器。网关是将不同协议集的协议进行翻译、转换,网关是最复杂的网络互连设备,它用于连接网络层之上执行不同高层协议的网络,构成异构的互连网,通常工作在OSL模型的第4层和更高层。
1.从设备自身来看
网关是软件和硬件结合的网络互连设备,是最复杂的网络互连设备,不同的网关用于不同的场合,其软件和硬件自身也存在脆弱性。
2.从其工作原理来看
网关除了具有路由器的全部功能之外,还能为互连网络的双方提供高层协议转换服务,即能够连接两个高层协议完全不同的网络环境。当数据包从一个网络环境通过网关进入另一个不同的网络环境时,网关读取信息后,剥去数据中原来的协议栈,然后用目标网络的完整协议对数据重新包装并输出,以适应目标环境的要求[3]。但是用户的特定数据通过网关或位于网关时是脆弱的,并且网关对恶意人员发起的操纵或修改也是脆弱的。
网关是局域网和广域网连接的首选设备,其最常见的用途是在高层协议不相同的网络之间充当“翻译”,即提供协议转换。协议转换是实现网关的关键技术,也是国际互连网的技术难点。
3.从外在因素来看
网关都是针对特定的网络互连环境设计的,不存在通用的网关。有时制造商会留下了可以获得敏感信息的后门。
五、结束语
网络设备安全范文5
【关键词】高速铁路;信号网络;设备维修;管控方案
近年来,随着我国高铁技术的不断成熟,不仅逐渐成为人们出现的主要交通工具,而且还成为我国走向世界的一张重要“名片”,因此,确保高速铁路网络信号设备的安全运行,对于高铁的质量、安全都具有重要的影响。但是,在当前的高铁网络设备建设管理过程中,网络工程的设计施工以及后期的运行、管理等都存在很多问题。故而,本文主要对于高速铁路信号网络设备的维修管理中存在的问题,结合具体的情况,希望建立一套基于SDN的信号系统网络统一安全管控方案,保障高铁网络设备的有效运行。
1高铁信号网络设备的施工管理研究
1.1高铁信号网络设备的施工管理问题
在当前的高铁信号网络设备的施工管理过程中,一直存在很多问题。一方面由于施工阶段,很多配套的设备和设施都不能有效到位;另一方面则是随着施工规模的不断增加,施工队伍和人员素质的参差不齐,从而严重影响整个高铁信号网络设备的施工质量和效果,导致在具体应用过程中,容易存在安全隐患。同时,在高铁信号设备施工的监管时,不能严格对照设计图纸采取“零”故障的监督,而且在工程设计以及后期对接时,没有形成有效的制度化管理,使得施工经常出现混乱局面,导致安全隐患和施工质量等问题。
1.2提升高铁信号网络设备的施工管理措施
为了提升高铁信号网络设备施工的质量,需要采取有效的措施,进行监管和制度化操作。在具体的实施过程中:①要做好相关的配合工作。一方面要做好每一项准备工作,理顺施工程序,落实施工细节,制定好周密的施工方案和安全卡控措施。另一方面就是制定相应的预案,通过对于施工过程中可能存在的问题,进行有效的盯控,一旦出现问题,立即启动预案进行妥善处理。②设计施工人员要积极介入,互相配合完成施工工作。在高铁信号网络设备的施工过程中,需要前期的积极介入,才能有效保障工程的施工质量。因此,一方面需要制定合理的规范操作流程,明确各自的职责,加强对于施工作业的盯控。另一方面就是严格进行工作对接,对于施工阶段内的每一个工作日,每一个施工细节以及器械等都要进行严格的把控,确保器械与电务段签订的协议相符合。③高铁信号网络设备的维修工作,要注意进行有效的协调。在具体的操作过程中,一方面要加强各部门之间的组织协调工作,确保设计单位、施工单位以及生产厂商之间进行有效的协调和沟通,对于施工过程中存在的问题,遇到的困难,都要积极的开展补救措施,从而促进高铁信号网络设备的维修和管理。
2高铁信号网络设备的管理模式研究
2.1高铁信号网络设备的管理现状
一般而言,在高铁信号网络的管理过程中,也存在很多问题。这是由于高铁信号网络主要有CTC系统、信号安全通信数据系统以及检测网络系统等几个部分组成,在信号网络管理中,防火墙、隔离以及病毒扫描等技术比较落后,不能有效协调运用,使得网络防护措施在某些背景下,不能起到很好的防护作用。同时,这些信号网络设备的设计安装,使得系统比较复杂、安全等级不能有效设置以及故障定位维护存在困难等,不能适应当前智能化、信息化的管理需要。因此,针对当前的高铁信号网络设备的管理现状,需要建立一套行之有效的管理模式。
2.2基于SDN的信号网络设备管理模式
作为一种新型的网络构建模式,SDN技术可以将传统网络路由器和交换机的数据控制平面进行分离,然后利用控制器进行数据的传输和转发,从而对于信号网络设备进行有效的管理。目前,我国的高铁信号网络系统是由CTC系统、信号安全网络系统等部分组成,但是在运行过程中,各自具有一定的独立性,而且安全等级也不同,这样就使得管理维护出现很多问题。故而,对于高铁信号网络设备的管理,可以利用SDN架构,建立一套有效的信号系统网络管理模式(如图1),解决高铁信号网络设备的运行管理问题。在具体的操作过程中,主要就是将原有的高铁信号网络系统,进行有效的组合,打造成基于SDN的统一管理模式,然后利用这一管理模式,建立逻辑统一的控制方式,从而保障整个高铁信号网络设备运行的可靠性。基于SDN的管理模式,可以将原来依靠物理隔离网络转变为软件隔离网络,提升整个高铁信号网络设备的管理效率,从而更好的开展资产管理和服务,对于各种访问进行不同级别的安全限制。同时,这种管理模式还可以开展高效的信息跟踪和网络诊断,及时对于存在问题的网络设备进行定位,提升整个高铁信号网络设备的安全运行质量和效果。
3高铁信号网络设备的维修管理研究
对于高铁信号网络设备的维修管理,尤其是对于CTC网络系统以及信息安全网的维修,对于整个高铁的安全运行具有重要影响,因此需要建立可靠的维修管理模式,进行良好的维修保障。在具体的操作过程中:①可以根据不同等级的故障问题,制定相应的维修标准。例如,在对于高铁网络设备的维修过程中,可以设置日常维护、集中检修、周期整修以及大中修等四个等级,还可以在每个等级中制定相应的检修标准,在日常养护中,需要负责检修的技术人员对于信号网络设备进行检查。对于集中检修可以安排技术骨干参与,并且全程跟踪监督。对于周期整修则需要进行相关部门的协调,成立整修监管小组,制定合理的方案和标准,开展工作。最后就是大中修,需要高铁段的主要技术部门负责实施,开展有效的维修工作。②对于高铁信号网络设备的维修管理,还需要加强盯控措施,从而与各级维修工作相配套。在具体的操作过程中:a.建立分级盯控模式,可以结合工区、车间以及电务段开展对于信号网络设备的监控管理。b.建立相应的监控制度,细化各项指标要求,制定相应的应急预案,从而更好的开展高铁信号网络设备的维修工作。③根据基于SDN的信号网络设备管理模式所发出的维修定位和指令,开展相应的维修和监控工作,及时处理存在的各种故障和问题。
4结论
综上所述,高速铁路信号网络设备的施工、管理和维修,对于整个高铁的安全、稳定运行具有至关重要的影响。因此,在具体的施工和操作过程中,要制定合理的模式,严格按照标准和要求进行操作,这样才能促进我国高铁取得更大的进步和发展,提升我国在世界上的良好形象。
参考文献
[1]孟超迁.高铁信号安全数据网升级改造分析研究[J].上海铁道科技,2016(4):87~89.
[2]徐田华,杨连报,胡红利,王小鑫.高速铁路信号系统异构数据融合和智能维护决策[J].西安交通大学学报,2015(1):73~79.
[3]师敬峰.高速铁路信号网络设备维修的实践与思考[J].通讯世界,2015(8):96.
[4]田建兆,杨世武,崔勇,陈海康.高铁牵引电流瞬态干扰对铁路信号的影响分析[J].铁路计算机应用,2016(4):1~5.
[5]李赛飞,闫连山,郭伟,郭进,陈建译,潘炜,方旭明.高速铁路信号系统网络安全与统一管控[J].铁路计算机应用,2016(4):479~485.
网络设备安全范文6
关键词:医院计算机 网络设备 管理维护
中图分类号:TP393.05 文献标识码:A 文章编号:1007-9416(2015)12-0000-00
在现代社会计算机网络得到了大范围的普及,在医疗领域它为其信息化建设也创造了非常好的环境条件,对计算机网络设备的管理与维护是医院整体管理水平提升的关键,也是医院工作效率提高的重要措施之一,管理与维护工作的发展会使计算机网络设备更好的为医院提供服务,也是医院各方面工作顺利进展的基础,避免人力、财力等方面的浪费。
1 医院计算机网络的主要设备
医院计算机网络设备主要有服务器、边际设备、中心机房以及网络布线,一个信息系统是否具有安全性的关键是看其对上层的数据库以及服务器能否为下层计算机提供连续的可靠数据[1]。所以在医院服务器的设置过程中需要进行连续电源的安装,这是保障工作顺利开展的关键,如果医院出现停电问题也可以避免其对数据库信息的损坏,并且在医院计算机网络设备设置中还需要在其内部系统中运用网关,确保了网络数据包的交换进行了保密处理,需要在医院的认可之后才能进行访问。计算机网络机房的选择应该是对湿度、电磁、温度等因素进行综合的考虑,对于其中的主要工作换进需要进行严格的管理,避免雷电、水火等的干扰,还要确保网络布线的安全性与合理性,避免信号干扰问题的产生。
2 医院计算机网络设备管理策略
2.1医院计算机网络设备的除尘管理与网络协议管理
医院中的计算机网络设备通常都是需要频繁运行的,在运行中会产生静电并且吸附大量的灰尘,灰尘聚集之后存在在设备表面会干扰其正常工作[2]。如果除尘不及时就会大大降低计算机网络设备的运行速度,所以医院内的相关管理人员需要随时的确保计算机网络设备的洁净,对机房的整体卫生情况进行定期的清扫管理,确保设备的内部与外部都可以避免受到灰尘的损伤。另外,在局域网的运行中TCP/IP网络协议是必不可少的协议类型,它可以确保不同的网络设备之间达成连接和连通。Netbeu就是通过Microsoft网络进行支持的网络协议之一,其特点就是速度快,在进行TCP/IP这种共同协议的使用中,需要对每一台计算机设备设置静态的TCP地址,有利于工作站的管理与维护。
2.2医院计算机网络设备的工作站的管理
医院的计算机网络设备的管理需要制定专门的规范制度和奖惩规则来进行实施,提高工作人员的专业能力以及对网络信息管理的认识。在开机的时候需要首先将外设电源打开,接下来是主机电源,关机的顺序则是相反的,管理人员应该避免出现直接关机或者非正常关机的操作行为,另外,医院不同部门的计算机用户需要定期的修改登陆密码,做好相关口令的管理,使得用户的使用权限与协调能够得到统一。对医院工作站应该进行“硬保护”,比如将光驱、软驱去掉,将CMOS设密码且屏蔽USB接口,机箱加锁或者封条防对CMOS放电等,可以防止工作站发生人为方面的破坏与入侵。
3 医院计算机网络设备维护策略
在医院计算机网络设备的维护中需要根据其运行环境与基础情况进行维护策略的设计,保证网络设备的安全运行,首先需要做的就是对操作系统的维护[3]。在维护之初需要根据医院内使用的不同的网络系统进行具体的分析,大多数都使用的是Windows系统,可以在维护中对医院网络系统的访问设置权限,这是基础的维护措施,另外需要对操作系统内的病毒库进行定期的更新,这样可以防止不断变化的病毒的侵入。对于医院内的计算机还要进行严格的体检,确保操作体系的安全运行,对于多余的数据端口也要及时的切断,增强医院数据资料的安全性,这样计算机自身的维护能力也会得到增强。此外,还可以建立安全维护制度,根据医院的实际设备使用情况制定相关的安全维护规范,对设备的运行状态进行监督,实现网络设备的科学化维护,比如对医院内的设备进行分组进行维护,对维护人员进行培训,使其能严格的遵守规范制度,不断提升人员的设备故障的维护与排除技能。根据计算机设备的工作状态增强其实际维护情况,对计算机网络设备的维护方法手段进行不断的改善。
4 结语
医院中的计算机网络设备的相关管理与维护工作可以说是医院的一种自我优化,对于其中的信息化发展进程进行不断的完善,使得医院的综合能力得到进步,对于设备的管理与维护是防止重要医疗资料丢失的手段,提高医院自身的科学化管理水平,计算机网络技术的广泛应用对于管理人员的自身素质也提出了更高的需求,网络设备是医疗行业的未来发展趋势。
参考文献
[1]伍毅强.医院计算机网络设备管理及维护策略研究[J].无线互联科技,2014,11:199.
