网络专线安全精品(七篇)
网络专线安全篇(1)
原有的单一通信技术,无线通信的产生方式和传输技术在逐步的完善,相应的,信息的传播安全和传播途径的可信度受到了大家的关注。国家电力企业将通信公司的2G/3G/4G无线移动网络和电力信息通信相结合,取长补短,组建了具有广泛性,高效能,严格保密特点的电力无线虚拟专网,为智能化通信网络在语音、数据、图像、视频等多媒体方面提供技术支持。
1电力无线虚拟专网组成结构
国家电力企业信息内网工作信息的传送途径主要以电力无线虚拟专网为主要途径,电网组成是各级电网单位与通信公司相结合的集中接入的方式,如有想要加入到国家电网内部信息网络的客户,客户信息网络会通过最终客户端连入通信公司的无线网络,再通过信息公司的相应传送途径进行包装,到达客户端后进行解析工作,然后,安装信息安全装置才能加入企业的信息内网。
2电力无线虚拟专网的安全防范措施
国家电网无线网络连接的共同途径为电力无线虚拟专网,它存在很多的安全隐患,包括信息传送的安全隐患和信息范围的安全隐患,从在网络信息安全和传送范围两个方面入手大力保护,可减少信息传送过程中出现的安全隐患。电力无线虚拟专网网络起于通信公司无线基站止于电力安全防护设备,供电厂的主要工作是减少电力侧网络设备、电力侧安全防护设备及客户端的运行问题,确保客户终端可以流畅应用,通信公司主要工作是减少无线基站、运营商IP承载网、专线的运行问题,使其规律的工作。此篇文章主演探究电力无线虚拟专网电力网络侧、电力网络边界侧信息安全防范措施。
3电力无线虚拟专网数据保护要点
国家电网公司电力无线虚拟专网主要覆盖信息内网业务,根据信息内网的安全防护要求,针对业务应用数据的重要程度,结合国家电网公司终端实际使用情况及成本效益综合考虑,电力无线虚拟专网可采用安全防护架构。信息安全防护方案将电力无线虚拟专网分为三个区域:电力无线虚拟专网域、网络边界域和内网域。专网域采用租用运营商的专用传输通道承载无线终端数据;网络边界域采用防火墙和IDS等安全设备进行访问控制和网络攻击检测,采用公司专用的安全接入设备实现终端到边界的加密传输、终端合法性认证和数据隔离交换等安全功能。
4电力无线虚拟专网信息安全防护措施
根据电力无线虚拟专网安全防护架构、安全区域划分以及安全责任分界面的划分等方面考虑,分别从电力企业侧与运营商侧阐述信息安全防护措施。
4.1电力企业侧信息安全防范方法
电力企业在网络信息安全范围和信息内网域采用信息安全防范方法,以完成网络信息安全范围、信息内网域的安全防范。4.1.1安全范围规划:电力无线虚拟专网边界对安全范围进行严格规划,使网络使用范围明了,对每个安全范围都应用合适的安全防范方法,并且,对已经到达的网络信息加以系统的安全保障措施,更好的提升浏览监控、危险检测、输送监管和客户端认证等应用的使用性能。4.1.2访问控制:在边界接入设备上针对源地址制定访问控制,禁止不同APN业务互访;使用防火墙制定严格的访问策略实现专网域至网络边界域的访问控制。4.1.3安全隔离:采用电力企业专用安全接入设备实现网络边界域与内网域之间的数据安全交换,阻止非法网络连接穿透网络边界访问信息内网。4.1.4安全防御及入侵检测:在边界部署防火墙及入侵检测系统,实现抗DOS攻击、防恶意代码等功能,即时监视网络行为和网络攻击检测。4.1.5安全审计:对边界安全设备进行日志记录及审计,为评估网络安全性及网络安全加固提供依据。4.1.6隧道加密传输:在无线终端与电力企业专用安全接入设备之间建立安全加密传输通道传输业务数据,保障业务数据的安全传输。4.1.7接入控制:建立身份认证系统对接入网络用户进行强认证,禁止非法用户接入;信息内网业务系统采取有效措施对接入电力无线虚拟专网的终端硬件特征进行认证。
4.2通信公司隐患预防方法
通信公司使用隐患预防方法,以完成无线信息专网系统的网络安全连接保护、专用途径分类等专网域安全防护。4.2.1网络信息安全连接保护:客户端应用特定的APN接入,同时通信公司进行电力无线虚拟专业网络合法SIM卡授权,通过授权后的合法SIM卡可以获得访问权,但不可以浏览互联网和其他网络。4.2.2APN访问监管:相同的APN内客户端不可以相互访问,相反的,不同的APN内客户端允许互访。4.2.3特定通道及分离:在GGSN上电力无线虚拟专网用户应用VRF技术与其他用户路由分离;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司网络中输送电力无线虚拟专网信息以完成专网专用的目的,使其更好的与其他网络传播途径区别。
5结束语
网络专线安全篇(2)
其实无线网络也同样分为局域网和广域网,但是无论哪一种网络环境,都面临着同样的安全隐患,其中无线局域网是目前应用最为广泛的,同时也是很多企业和个人家庭广泛使用的,因为组网简单,成本相对较低,同时使用非常灵活,深受企事业单位的青睐。无线网络主要是利用电磁波来传递信号,相对于有限网络的数据传输来说,无线网络的信号更为开放,通过专业的信号窃听器就能够轻易地截获无线信号,同时对这些信号进行破解,自然就能够获得相应的核心数据机密。因此无线网络的安全防护要比有线网络的防护难度更高,需要采用更加丰富的、更加先进的安全防护技巧,才有可能提升无线网络的安全能力。无线网络组网技术现在相对成熟,相关的电子产品的兼容性也能够得到保证,现在最令IT人员困惑的就是如何提升无线网络的安全属性,如果使用有线网络构建局域网,那么还可以通过增设防火墙等硬件来防止外部网络的病毒攻击,但是有线网络则很容易让专业的黑客人员绕过防火墙,直接切入到服务器或者数据库。目前无线网络具体的常见安全隐患主要体现在下面几个方面:
1.1病毒攻击
这是和传统的有限互联网一样,因为移动互联网仅仅是互联网使用媒介的不同,但是其所有的应用环境是一样的,病毒入侵依然是无线网络最大的安全威胁,而且病毒威胁还因为是无线网络,而变得更容易绕过现有的防护体系来攻击工作站,让用户防不胜防,而且目前病毒的入侵方式种类繁多,很多病毒都伪装成不同的可执行文件,甚至是图片,只要用户点击这些文件和图片,就会激发其中的病毒,导致计算机被病毒接管,成为一个名符其实的“肉鸡”。而且病毒种类的不同会给用户带来不一样的灾难,其中有些病毒比如蠕虫病毒,就能够通过不断的自我复制来让整个无线网络系统瘫痪,还有就是ARP病毒,同样能起到这样的作用。
1.2数据窃听
这是目前较为常见的安全隐患,就像上文中提到的通过复制手机卡等方式来窃听同一个手机号的数据信息,而且这种应用几乎已经泛滥成灾,这是利用了无线信号的广泛性和公开性原理。虽然现在无线信号也进行了不同程度的加密,但是解密技术也在不断的提升,所以这种开放式的数据传输,本身就容易受到攻击,导致严重的安全隐患。
1.3篡改传输数据
一旦病毒入侵到无线网络系统,就会利用网络系统中的工作站来伪造网关的信息来欺骗计算机主机,从而对相关目标主机进行数据修改,或者将某些输入密码和账号的信息导入到黑客指定的目标地址中,从而获得用户的机密信息。这种篡改往往是非常隐秘的,用户很难分辨,就类似现在互联网上广泛存在的钓鱼网站,通过利用用户的信任来让用户就范,从而谋取暴利。
2常见无线网络安全措施分析
2.1技术方面地方防范措施
无线网络安全防范措施主要还是以技术防范为主,安全管理措施为辅的,其中技术方面的防范主要从下面几个方面进行:
(1)对无线网络中的各个主机加装杀毒软件以及软件防火墙。虽然网络信号能够被窃取,但是想要入侵计算机,那还需要过计算机本身的防御系统这一关,因此提升个人计算机本身的健壮属性,将计算机操作系统的安全漏洞全部堵好,同时还要安装最新的杀毒软件,这样能够防范最新的病毒和黑客的攻击方式。
(2)进行MAC地址过滤。这是有线网络中常用的安全方法措施,防止一些计算机病毒伪装成主机信任的工作站来窃取相关的信息。现在这种方式也同样可以拿到无线网络环境中使用,因为无线AP以及无线路由器都有相关的MAC地址过滤功能,通过设置可以访问无线网络系统的MAC地址来杜绝其他的计算机连接到这个无线网络,同时也能够杜绝病毒切入到无线网络环境里。
(3)隐藏SSID。因为SSID是用来区分不同的无线网络信号,实际上就类似于有线网络中的VLAN,一种虚拟局域网。同一个SSID代表了同一个局域网,一旦连接到这个SSID网络就不能够和另一个SSID网络进行通信,所以SSID更多的是作为一个不同网络服务的标识。目前,无线网络的SSID最多有32个字符构成,无线网络终端必须要提供有效的SSID,才能够让无线网络用户通过无线网卡或者其他的设备比如智能手机扫描到SSID,然后连接到SSID,才能够最终接入到无线网络中。一般而言,无线AP和无线路由器会广播SSID,而现在各种计算机操作系统基本上都提供了自动搜索无线SSID的功能,这就进一步增大了无线网络安全问题。因此针对这个问题,可以通过设置长度相对较长的字符,同时对SSID字符进行隐藏,这样计算机操作系统就不能够直接扫描。因为SSID长度比较长,而且还是数字和字母的组合,这样用户就不容易猜解到这个SSID,当然现在很多无线网络设备也增设了无线网络访问密码,而且密码长度最长能够设置到64个,因此设置较为复杂的密码也是较为理想的安全防范措施。
2.2安全管理方面的措施
无线网络安全技术方面虽然重要,但是如果忽视对无线网络环境的安全管理,那也是很容易造成无线安全问题的泛滥,但是目前虽然不少企业也能够制定较为详细的安全管理细则,但是在执行过程中,往往会雷声大雨点小,造成安全漏洞实时产生。其中安全管理上的措施主要从规范计算机使用人员的安全习惯,比如要定期对计算机进行安全扫描,及时打好计算机操作系统的补丁,同时还要防止计算机使用人员访问一些不良网站,或者是搜索引擎标示出来的危险网站。对于莫名的电子邮件提高警惕,提升邮件系统的安全级别,过滤掉一些可疑的邮件病毒等,同时要加强IT人员对服务器的维护,定期进行全盘杀毒,对重要数据进行备份,从而降低无线网络系统崩溃后,数据丢失的危险。
3无线网络安全措施应用
无线网络的安全措施有很多,但是如果把每一个安全措施都使用到,安全管理都严格执行,那么无线网络的便捷性和易用性就会遭到严重的破坏,因此在实际使用的无线网络安全防护措施就必须要考虑到对使用人员的方便属性以及易用性,因此在对无线安全防护措施的应用方面就要均衡地考虑无线网络的安全性和方便性。
(1)目前,无线网络采用的加密模式主要是WAP加密模式,因此对于密码的设置一定要相当地严谨,很多用户和企业要么不设置WAP密码,要么设置的时候过分简单,12345678,是目前不少无线AP的常用设置,这显然起不到安全防护的作用。而目前SSID隐藏似乎并不起到真正的安全防护作用,因为现在只要使用专用的软件就能够轻易地扫描到附近存在的SSID账号,因此在对这个安全措施的使用上,应该充分考虑到用户使用的便捷性,将SSID字符设置为更容易理解的字符,这样方便用户的接入,而WAP密码则能够阻挡那些没有经过授权的入侵者。
(2)在对无线安全防范措施的选择上,可以采用Portal+802.1x这2种认证方式相结合的方式来提升无线网络安全的防范能力,通过强制Portal认证方法不需要用户额外安装客户端软件,用户只需要通过WEB浏览器就能够浏览互联网,这种方式显然更加方便快捷,但相对来说安全属性要差一点。不过如果企业对于安全防护要求非常严密,那么可以通过加装专业的无线网络入侵检测的硬件设备来实现主动式防御,目前这种硬件设备价格相对较高,对于一般应用的企业来说,没有必要购买,但是对于特殊行业来说,则有必要购买。因为这种硬件设备融入了智能入侵检测功能,从很大的程度上实现了主动的防御,有效地提升无线网络的安全属性。
(3)在MAC地址过滤方面的使用,通常采用的方式有2种,1种是指定的MAC地址不能够访问无线网络;另1种是指定的MAC地址能够访问网络,没有在AP中设置的MAC地址就不能够访问。目前较为主流的安全控制是选择指定的MAC地址能够访问网络,不在指定的MAC地址就不能够访问,但是这里也造成一个问题,那就是当企业有外来用户需要连入无线网络,此时就存在着连接不上的问题,需要专业的IT人员进行设置,当然现在很多企业也能够理解这一点,但是却或多或少地降低了无线网络使用的便捷性。
4结语
网络专线安全篇(3)
关键词:VPN、虚拟专用网、远程用户、安全连接
信息时代的今天,以Internet为主体的信息高速公路迅速铺开,网络技术迅猛发展,网络的规模越来越大。从局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明网络技术迅猛发展的同时,也面临着对网络建设的挑战。各种网络安全技术和产品应运而生,其中虚拟专用网(VPN)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势。
一 .VPN特点
VPN全称Virtual Private Network,虚拟专用网络,企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全要素:保证数据真实性、保证数据完整性、保证数据的机密性、提供动态密钥交换功能和集中安全管理服务、提供安全防护措施和访问控制等。VPN即能有效解决这些安全问题,是因为VPN有以下几方面特点:
(一)成本低。通过公用网来建立VPN与建立专线方式相比,可以节省大量的费用开支。荆州电信运营商一条城区内2M专线价格为800至1000元/月,夸城区则为1500元/月,VPN的最大吸引力是价格。放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,故VPN价格更低廉。
(二)网络架构弹性大。VPN 较专线式的架构有弹性,当有必要将网络扩充或是变更网络架构时, VPN可以轻易的达到目的,VPN硬件平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的 VPN 架构中,同时具有对未来广域网络频宽扩充及连接更新架构的特性。
(三)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。
(四)管理方便。VPN 使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。
二.VPN的应用
VPN 可以有三大应用,分别为Access(远程访问虚拟专网)、 Intranet(企业内部虚拟专网) 及 Extranet(扩展的企业内部虚拟专网) 。
(一)Access VPN与传统的远程访问网络相对应。在该方式下远端用户不再是如传统的远程网络访问那样,而是拨号接入到用户本地的ISP ,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号接入到用户本地的ISP,就可以和公司的VPN网关建立私有的隧道连接,例如荆州海事局服务器出现故障,维护人员只需要在任何地方通过VPN连接,进行远程调试服务器设备。
(二)Intranet VPN与企业内部的Intranet 相对应。在VPN技术出现以前,公司两异地机构的局域网想要互联一般会采用租用专线的方式,虽然该方式也采用隧道等技术,在一端将数据封装后通过专线传输到目的方解封装,然后发往最终目的地。利用VPN特性可以在 Internet上组建世界范围内的Intranet VPN。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
(三)Extranet VPN与企业网和相关合作伙伴的企业网所构成的Extranet相对应。此种类型与上种无本质区别,但由于是不同公司的网络相互通信,所以要更多地考虑设备的互联,地址的协调,安全策略的协商等问题。利用 VPN 技术可以组建安全的 Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
三.VPN基本原理
VPN原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,一个完整的VPN系统一般包括以下三个单元:
(一)VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。
(二)VPN客户端。一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
(三)VPN数据通道。一条建立在公用网络上的数据连接。
四.使用VPN的优点
(一) 降低费用。首先远程用户可以通过向当地的ISP申请账户登陆到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。
(二)增强安全性。VPN通过使用点到点协议用户级身份验证的方法进行验证,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔,所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。 (三)高度灵活性。用户不论是在家中、在出差途中、或是在其他任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。既不受地域限制,也不受接入方式限制。
(四)IP地址安全。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到VPN使用的协议。因此,利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问是一个非常理想的企业网远程宽带访问解决方案。
五、VPN的前景展望
由于Internet最初的设计不保证网络服务质量QoS,所以现有的VPN解决方案必须和一些QoS解决方案结合在一起,才能给用户提供高性能的虚拟专用网络。随着QoS在技术上越来越成熟,VPN技术可以通过QoS保证来获得越来越好的Internet服务,享受到和真正的专用网络一样的应用。
六、总结
VPN在理解和应用方面都是高度复杂的技术,甚至确定其是否适用于本公司也一件复杂的事件,但在大多数情况下VPN的各种实现方法都可以应用于每个公司。即使不需要使用加密数据,也可节省开支。此外,在未来几年里,客户和厂商很可能会使用VPN,从而使电子商务重又获得生机,毕竟全球化、信息化、电子化是大势所趋,VPN是计算机网络的新技术,它将使Internet成为一种商业工具,并为Intranet及Extranet的应用带来良好的前景。
参考文献:
[1]杨小平等.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3]王达,等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
网络专线安全篇(4)
【关键词】客运专线;CTC网络安全防御系统;功能研究
1引言
CTC又名分散自律调度系统,该系统的功能主要是确保列车安全正常地行驶,调度生产业务系统。这一系统具有2大特点,即独立成网及封闭运行,并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点,按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准,客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。
2防火墙及入侵检测系统
CTC的安全防御系统中,防火墙和入侵检测系统属于基本安全设施,这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包,对链接状态进行检查,并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦,以确保内部网络设备及系统不会遭受非法攻击,从而影响访问。此外,可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常,会话遭到威胁或攻击后,防火墙可以很快地阻断非法链接。通过入侵行为的特点,入侵系统可以及时地对每一个数据包进行认真检查,如果数据包对系统存在攻击性,入侵检测系统必须及时断开这一链接,并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息,同时,为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构,CTC中心和沿线的各个车站数量庞大,并且有着海量的数据流量,业务连接安全性要求很高,CTC中心和沿线车站的各个接口都安置了4台中心防火墙,每网段安置2台;CTC中心和其他系统接口各安置2台防火墙,采用透明模式进行接入。客运专线CTC系统防火墙详见图1。
3安全漏洞评估
安全漏洞的评估系统是一个漏洞及风险评估的有效工具,主要用来对网络的安全漏洞进行发现、报告以及挖掘,主要作用是对目标网络设备安全漏洞实行检测,并提出具体检测报告以及安全可行的漏洞解决方案,使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞,避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统,基于全面以及多角度的网络关键服务器漏洞分析的评估基础,确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟,并提交相应的风险评估报告,提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患,对此必须实行相应的整改,最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测,并且汇总漏洞威胁时间,结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分,分别对主机及网络漏洞进行扫描。主机漏洞评估EVP,针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS,在网络漏洞基础上的评估扫描器采用黑客入侵观点,自动对网上系统和服务实行扫描,对一般性的入侵和具体入侵场景实行真实模拟,最重要的是测试网络基础设施的安全漏洞,会提供相应的修补漏洞意见,扫描图形视图的完整显示过程,扫描相应漏洞而且对漏洞的出现原因进行查找,提供具有实际执行可行性的管理报告,针对多个系统实施扫描。
4反病毒网络系统
根据病毒具有的特征以及多层保护需求,客运专线CTC系统必须要统一、集中监控、多面防护,正对整体以及全面反病毒系统实现积极有效的安排,并融合各层面,覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器,二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端,并且对网络内存的所有病毒实行统管理、分析,监控、查杀[2]。以整体反病毒解决方案为依据,网络反病毒系统的部署具体要从下面几项开展,多操作系统的服务器、反病毒软件、集中监管的多个系统。
5动态口令
身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证,每一系统和设备都具备自身的专属密码,管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用,因此,出于使用便利,会将设备密码设置为统一密码,系统内各种网络设备和服务器的密码基本上人人都知道;另外,静态口令极易被人猜出、截获、破解,黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令,导致CTC面临极大的隐患。在CTC系统网络中,对CTC系统中心设置相应的动态口令,随后客户端认证请求会自动地分配到认证服务器,该模式充分降低了服务器的工作负荷,提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备,对安全事件进行统一响应,并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证,有效解决了静态口令存在的多种问题,提升了系统的安全性。客运专线CTC系统运用动态口令后,实现了对整个网络、运用和主机等的统一覆盖,实现了安全的身份认证控制访问组件,统一身份认证和授权统一,同时还提供了集中身份认证等,通过授权严格对多个访问资源权限实施限制。
6结语
目前,客运专线CTC中心网络运用安全,正处于建立知识信息安全系统和确保信息化的重要阶段,在这一进程的后期阶段还要满足国家等级保护政策需求,对纵深防护体系进行深入研究,确保铁路运输生产业务顺利开展,充分实现铁路信息化运行,将铁路运行的安全性实现提升。
【参考文献】
【1】戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(4):66-68.
网络专线安全篇(5)
关键词:网络设备;SSID;AP;无线网络控制器;VLAN
一无线网络技术简介
无线网络的飞速发展给人们的工作和生活带来了极大的便利。(一)灵活以及廉价。(二)没线缆约束。
二无线网络安全隐患分析
非授权的用户若获得了无线网络的访问权限,将会破坏系统数据,消耗网络带宽,降低网络的性能。
三无线网络安全措施分析
(一)转向企业级加密用户们使用PSK模式进行登录,对每一个用户和会话都是唯一的。(二)确保物理上的安全性一定要保证你的接入点AP远离公众可以接触的地方,最起码应该将其挂到墙上或天花板上。(三)装入侵检测和入侵防御系统这两种系统通常靠一个软件来工作,并且使用户的无线网卡来嗅探无线信号并查找问题。(四)构建无线使用策略正如需要其它网络设备的使用指南一样,你也应当有一套针对无线访问的使用策略。
四东莞市某职业院校无线网络安全技术应用方案
学校对无线网络的需求特征分析上,安全因素被放在了首位。(一)校园无线网络安全问题的提出在当今使用中,大多数校园的无线局域网主要是依靠WEP方式对数据进行加密。其次,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以接入网络。另外,黑客还可能会使用MAC欺骗技术入侵网络。下面根据东莞市某职业院校无线网络应用的需求和要达到的目标,整体规划设计出一套适用于东莞市某职业院校的无线安全应用方案。(二)东莞市某职业院校无线网络安全技术应用方案概述该解决方案采用了WPA安全架构的设计,还应用了基于英特尔架构的无线网络控制器和支持多SSID的AP。(三)东莞市某职业院校无线网络安全技术应用方案实施下面以东莞市某职业院校的校园无线网项目为例,详细地阐述应用方案。(1)无线网络呈现的问题分析与应用解决方案由于存在不同地点的校区,学校的教职员工不得不在不同的校区来回,同时教学场所也经常在各校区之间变换,这让校园网络出现了难题:①如何让校园网络覆盖两个不同位置的校区?②如何提供无缝的网络连接?③如何保证网络安全通畅?④如何提高教学和学习效率?针对学校面临的以上难题,对无线网络应用方案确定如下:⑤无线网络信号覆盖两个不同的校区。⑥提供无缝的网络漫游。⑦保障无线网络安全性。⑧提供不同的接入认证方式。(2)无线网络技术应用方案的确定为了构建一个统一的、易接入的、稳定安全的校园无线网络环境,现决定采用以下解决方案:①全面采用笔记本电脑作为无线终端。②采用符合802.11标准的产品,架构采用WPA标准。③采用具有多SSID和VLAN特性的AP进行基础覆盖。④采用无线网络接入控制器。⑤采用无线网络管理系统。(3)无线网络安全技术应用的实施该方案使得整个校园无线网络具有高度可扩展性和可升级性,提出了校园无线网络的整体应用方案。如图4.1所示:在无线网络方案中,各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①对于在校内的学生和教师用户,将采用符合WPA安全架构的802.1x标准认证的接入方式,通过的用户将获得一个唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成唯一的加密密钥。在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发,从而使通过认证的内部用户访问整个网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全。②对于用WEB方式认证的校外来访用户,连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直接利用浏览器就可以通过充当RNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以无线网络控制器(RNC)作为其网关设备,L3分布层交换机无须对该SSID所代表的VLAN进行路由转发。如果这些用户需要访问校园内部网络,可以通过在这一无线网络控制器(RNC)设备上启用用户级的策略路由来实现。(四)校园无线网络安全技术应用方案总结(1)安全性高这套无线局域网系统支持符合WPA安全架构的802.1x认证方式,借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。(2)支持多SSID和VLAN划分CiscoAironet1200系列AP支持多SSID,每个都可以映射到有线网络的一个VLAN,将符合802.1q标准的VLAN延伸到无线网络上。(3)利用策略路由进行访问控制在方案中,将校园无线用户分成两类,一是教师用户,一是学生用户。为了让学生能通过网络与其它院校的师生进行交流,但同时又不想Internet上的垃圾信息和不良网站干扰学生的生活,那么可以设置学生用户的下一跳路由到CERNET,而教师用户的下一跳则是路由到Internet出口,从而实现了不同无线用户群体的访问需求。(4)流量控制保证用户带宽通过RNC的流量控制功能将不同用户的带宽按不同需要进行管理,保证某些重要用户的带宽畅通,有效防止了带宽过量占用的拒绝服务攻击。(5)AP管理和用户管理通过RNC的AP管理功能,可以把其所连的AP作为一个网络单元进行管理,结合网管系统还可以将RNC作为SNMP(简单网络管理协议),对这些AP进行管理。无线网络管理员可以通过“Web3.教学管理制度与考核制度教学管理工作由院校双方共同承担,遵照共同制定的人才培养方案和教学计划开展教学,学徒制工作小组定期巡视现场教学,了解教学基本情况,收集意见和建议。考核制度上实行理论课程考核、专业核心课程考核和毕业考核。理论课程的教学主要在学校完成,由学校组织笔试+实践考核;专业核心课程主要在合作医院完成,由现代学徒制工作小组组织临床实践+技能考核;毕业考核采用综合专业理论笔试+专业核心能力鉴定+病案报告考核,由现代学徒制工作小组组织实施。学生只有通过以上考核才能获取康复治疗技术专业专科毕业证。4.现代学徒制实施存在的问题现代学徒制教育是高职院校发展的基本趋势,是推动我国职业教育发展的有力武器,但目前我国现代学徒制成功应用到卫生职业教育的模式还很少,离医教结合、工学交替模式还有很大的差距,主要表现在以下几个问题:(1)法律体制不健全。合理、完善、有效的职业教育法律法规是保障学徒制推行的基本前提,卫计委和教育行政部门应当充分发挥宏观调控和管理功能,修订和完善相关法律法规,在政策、经费上给予充足的保障,充分调动医院、卫生行业的积极性,使医院在人才培养意识上具有社会责任感和使命感。(2)行业学会支持力度不够。行业协会应对职业教育充分发挥其引导和管理作用,一方面积极鼓励医院参与到职业教育中来,在科研、继续教育、职称晋升等方面给予医院兼职教师相关优惠政策。另一方面在人才培养规格上引导学校和医院结合康复治疗师的岗位需求与国际标准接轨,不断更新修订康复治疗技术专业标准、教学内容和执业资格考试标准。(3)双导师师资力量薄弱。学校导师应定期到医院临床实践予以相关的考核和激励机制,提高学校导师实践教学能力;医院导师应有计划的进行职业教育教学理念的学习、教学方法执教能力的培训,使其具备先进的职业教育教学理念和教育教学方法。现代学徒制能让康复治疗技术专业实现符合现代职业教育理念的产教融合,是目前所提倡的工学结合教学模式的载体和有效实现形式,更是当前发达国家职业教育的主导模式。高等院校和相关医院深度合作、双导师联合传授技能,符合行业发展规律,有利于加速卫生事业的发展、服务当地区域经济转型升级。
参考文献
[1]赵蕾.现代学徒制对高职高专院校人才培养模式的影响及应用研究[J].职业教育,2015(9):37.
[2]关晶,石伟平.西方现代学徒制的特征及启示[J].职业技术教育,2011(31)32:77-79.
网络专线安全篇(6)
关键词:认识论 教学方法 技术体系 知识体系 课程体系
中图分类号:G712
文献标识码:A
文章编号:1007-3973(2012)007-183-02
1 引言
2010年10月8日,国务院下发《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。设置面向战略性新兴产业的计算机网络技术专业,符合国家的产业政策和教育政策,以其为新兴产业培养高素质技能型人才。
办好计算机网络技术专业,必须遵循认识规律、教育规律和专业规律。本文从认识论、教学方法的角度,探索计算机网络技术专业的内涵建设。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
教学方法,是在教学中为实现一定的教学目的、完成一定的教学任务所采取的教学途径或教学程序,是以解决教学任务为目的的师生间共同进行认识和实践的方法体系。组成方法体系的基本要素是:教师的教、学生的学、信息传输的载体(包括语言、文字、视觉信息以及实践工具等)。
到目前为止,有关计算机网络技术专业的知识体系、课程体系、工程实践和人才培养缤纷凌乱。在此,笔者根据长期从事专业建设的经验及所具备的通信网络领域知识,认为计算机网络技术专业适宜办成“工程实践型”工科专业,并设计了“计算机网络技术”专业的课程体系,以其为各高校信息技术类相关专业的学科建设和课程规划抛砖引玉。
2 计算机网络的技术体系
以Internet为代表的计算机网络将现实世界与信息世界互联整合,代表了未来网络应用的发展趋势。Cisco认为,下一代网络(Next Generation Network)基于IP,支持数据、语音、视频和多媒体的统一通信,充分整合各行各业的应用,亦称为IP-NGN。具体地说,就是把工厂、物流、卖场、家庭、医院、学校、宾馆、银行、电信、政府等社会元素普遍互联,形成一个学习、工作、休闲的网络社区。
计算机网络是一种非常复杂且形式多样的技术体系,在这个体系中,技术构成主要体现在交换路由、综合布线、Web服务和网络安全等四个方面。
2.1 交换路由
交换路由包括多种发展成熟度差异很大的技术。光以太网主要应用于广域网、城域网,千兆以太网应用于局域网,覆盖了从核心层、汇聚层到接入层的各种需求,顺利实现用户的平滑升级。以太网交换机主要通过地址学习,建立端口/MAC地址映射表,实现端口多结点之间的并发传输;路由器根据目的IP地址,更新路由表,实现多个自治网络之间的分组转发。
2.2 综合布线
计算机网络的物理连接主要采用综合布线系统,它具有统一的工业标准和严格的规范,是一个集标准与标准测试于一体的完整系统;它以模块化的组合方式,把多路信号用统一的传输媒介进行综合,将现代建筑的三大子系统有机地连接起来,为现代建筑的系统集成提供了物理介质。
2.3 Web服务
Web服务在电子商务、电子政务、公司业务流程电子化等领域有着广泛的应用,它是指一些在网络上运行的、面向服务的、基于分布式程序的软件模块;它采用HTTP和XML等互联网通用标准,使人们可以在不同的地方通过不同的终端设备访问Web上的数据,如网上银行。
2.4 网络安全
计算机网络互联的根本目的在于数据传输和资源共享。网络安全主要包括两部分,即网络自身的安全性和网络信息的安全性。网络的安全需求主要表现在协议流量控制、防范网络攻击、机密认证授权、系统平台安全、防火墙、网络入侵检测、虚拟专用网、网络安全管理。
计算机网络的各类技术既相互独立又紧密联系。Web服务是应用目的,交换路由实现数据的自由传播,网络安全提供高可信的服务质量,综合布线是数据传播的媒介。通过深入剖析计算机网络的技术体系,从理论到实践全面认识专业建设的目标,改进教学方法,提高学生培养质量。
3 计算机网络技术专业的知识体系
一个完整的专业课程体系应该包含三个方面:专业知识体系、专业课程体系、某一门课程的体系。本文从专业角度出发,故只讨论前两者。
从实用性角度而言,计算机网络的交换路由部分一定是基础通信网,起计算机接入和远距离传输作用。起信息处理作用的是数据处理中心,即Web服务部分,网络安全部分防御企业网遭受非法入侵和Web服务的非授权访问。综合布线部分实现交换机、路由器、服务器、安全设备的物理连接。因此,计算机网络技术的专业课程必然涉及到三个大类:信息传输——数据通信、网络协议、网络设备;信息处理——计算机系统、云计算等;信息安全——密码技术及协议、网络安全;网络工程——布线方法、工程方法。涉及到的学科有:计算机、通信、电子、信息安全,专业知识跨度较大,超过一般的电气信息类或电子类专业。
网络专线安全篇(7)
何谓VPN
VPN(virtual private network,虚拟专用网络)即是指在公众网络(例如Internet)上所建立的企业网络,并且此企业网络拥有与专业网络相同的安全、管理及功能等特点,它代替了传统的拨号访问,利用Internet公网资源作为企业专网的延续,节省昂贵的长途费用。VPN乃是原有专线式企业专用广域网络的替代方案,VPN并非改变原有广域网络的一些特性,如多重协议的支持、高可靠性及高扩充度,而是在更为符合成本效益的基础上来达到这些特性。VPN这种新技术有很多优点,给企业带来了无限的商机和发展机遇。
良好的安全性――端到端的安全保障:VPN架构中采用了多种安全机制,在VPN中传输的数据本身已是加密数据,再经过网络加密,提供了双重的安全保证。
覆盖范围广泛,不受地理位置的限制:Internet几乎无处不在,企业各个分支机构无论在何处,只要接在Internet网上,就可以利用VPN实现对关键性的数据进行安全的传输。
可扩展性强:VPN方式的企业网络与专线方式的相比,在网络架构上有较大的弹性,当有必要将网络扩充或是变更网络架构时,VPN可以轻易地达到目的。
VPN在石油系统的应用
中国石油集团的油库营业点遍布全国各地,分布区域广泛,营业点偏离市中心。业务需要进行购销存等数据业务交换,此外,部分营业点对语音、监控、视频业务也有需要。
售油系统网络要安全稳定地工作,需要满足以下条件:数据传输的安全性、可靠性;覆盖区域的广泛性;网络的可扩展性、灵活性和可维护性;增值业务的可扩展性;系统的经济性。
以往多采用租用电信服务商的长途DDN线路方式来组建网络,此方式可以满足其中的安全性和可靠性。如果每个营业点都与省公司通过长途DDN来进行通信的话,覆盖区域、增值业务的扩展、网络的扩展和经济性方面都存在明显的问题,尤其是以后的相应长途月租费相当可观。
而现在可以采用租用电信服务商的本地DDN、ADSL、无线等接入方式,利用VPN技术来实现网络;使用VPN技术在保证同样的传输质量下只需要支付本地月租费,大大降低了费用,而且以上所有的条件都可以满足。
VPN的结构
可以将中国石油集团的销售系统分为三级系统,以总部为中心,作为第一级节点,各个省公司作为二级节点,各个油库营业点作为三级节点。所有节点通过租用当地电信服务商的宽带上网线路连接到Internet网络上,在每个节点添加VPN设备,通过VPN设备建立虚拟的安全通道。
总部(一级节点)只和各省公司(二级节点)之间建立一级VPN通道。省公司(二级节点)与下属油库营业点(三级节点)之间建立二级VPN通道,组成一个树形结构的虚拟网络,同级节点没有直接的VPN通道,通信时需要经过上级节点中转。
VPN支持的业务
石油购销存系统在虚拟网中的运行
在VPN虚拟网中,总部、省公司、下属油库营业点就像在一个大的企业专网中,数据的安全性可以得到很好的保证,购销存系统作为内部数据交换的应用,能够很好地运行。利用VPN可实现企业系统资源的整合,如材料、机械、设备管理等就可以实现统一管理。
系统资源的整合、远程管理和远程办公
利用VPN技术,技术人员还可实现设备的远程维护,而公司领导及出差人员无论在任何地方、任何时候,均可以通过网络手段阅读公司文件、处理相关问题,提高了工作效率,节约了办公成本。
远程视频会议、远程监控
大型企业如何有效管理这些遍布全国各地、分布区域广泛的分支机构,传达总部精神,开会无疑是一个很好的办法,但是空间上的阻隔使面对面的会议无法实现。而通过在VPN网络上增加摄像头、视频电话、视频服务器等设备搭建远程视频会议系统,就可以很好地解决这个问题。
在VPN网络上,还可根据工作需要,增加视频监控设备对部分工作地点进行远程监控管理。
VPN的接入方式
支持VPN功能的接入方式很多,利用G.SHDSL实现的本地DDN接入方式、ADSL方式、无线网桥方式、GPRS、WCDMA 1X等方式接入到Internet网络之后建立相应的VPN通道。
