網絡安全管理規劃范文
前言:我們精心挑選了數篇優質網絡安全管理規劃文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:網絡管理;網絡安全;規劃;實施
Abstract: The main content of this paper, the computer network management network management planning and implementation of network security system construction, design and the main network security technologies are briefly analyzed and explained.
Key words: network management; network security; planning; implementation
中圖分類號:TN711
一、網絡管理的內容和組成
網絡管理就是指監控、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。總體而言,網絡管理通常會包括配置管理、故障管理、性能管理、安全管理、計費管理五個內容。配置管理是對設備和系統進行各類網絡參數的定義和設置。故障管理是查找并解決因硬件和軟件問題而引起的網絡故障[1]。性能管理是使用特定的管理軟件和設備對系統運行效率進行監測,通過監測數據的統計分析作為網絡系統改進和升級的依據。安全管理則涉及數據私有性管理、授權管理、訪問控制、加密管理和安全日志管理等多個安全內容。計費管理主要記錄用戶對網絡資源的使用情況(流量,時間,空間等),計算用戶占有網絡系統資源的各項費用和總計費用(如上網流量、網吧計時、郵箱計費)用戶額度用完后能自動停止服務。二、做好網絡管理的結構規劃
網絡系統建成后,作為網絡管理員,必須對網絡的特性詳細了解,并做成詳細的結構圖和參數表,以備做好網絡管理的規劃。主要包括以下部分:
勾畫整體網絡結構和組成部分;
勾畫核心設備的網絡結構;
描述以上兩部分的網絡參數。
整體網絡結構是整個網絡各部分、各網段內部和相互之間連接情況的勾畫.包括局域網、園區網、廣域網、互聯網等等。在圖中應詳細的標注設備名稱、型號和網絡參數。如下圖1某企業整體網絡結構示例。
圖1 某企業整體網絡結構示例
核心設備的網絡結構需要勾畫出核心網絡設備(中心交換機、中心路由器)的內部網絡結構,包括VLAN、IP,子網、物理和邏輯組件,以及各組件之間的關聯。
然后是啟用SNMP,包括交換機、路由器以及服務器的SNMP。Windows SNMP服務是作為系統的一個組件添加,在Service管理中可以對SNMP的安全進行設置。
能夠熟練操作和使用網絡管理軟件。網絡管理軟件一般由設備廠商提供或由第三方提供。設備廠商提供的軟件通常專用于該產品系列的配置和管理,不能用于其他廠商產品。第三方網管軟件能實現對多數廠商產品的性能管理或部分配置管理。如HP OpenView, Solarwinds. 網管軟件有Client/Server和Browser/Server兩種結構模式。C/S是傳統的網管配置模式,需要安裝專門的管理軟件才能管理和配置相應的設備。如: Nortel DM設備管理軟件;HP OpenView; 天融信防火墻配置軟件;SolarWinds綜合網管平臺等。B/S是現代的網管配置模式,無須安裝管理軟件,直接使用瀏覽器管理和配置設備。如:Netscreen防火墻;EDIMAX交換機;寬帶路由器等。
重點對Web網管技術做一分析說明。基于Web的網管(Web-Based Management,WBM),包括分布式和集中式管理兩種。分布式只管理單個邏輯設備;集中式WBM是機運行WBM的網管軟件,周期性地輪詢網絡節點和設備[2]。機介于瀏覽器和網絡設備之間,負責將收集到的網絡信息傳送管理員的瀏覽器。集中式這種方式適用于集中管理大中型網絡,如HP OpenView ,CiscoWorks都支持WBM。
遠程控制與管理是網絡管理的重要方式。遠程控制是指在本地計算機上通過遠程控制軟件發送指令給遠程的計算機,使得遠程的計算機能夠完成一系列工作。遠程控制軟件包括:服務端軟件和控制端軟件。工作機制是通過網絡,遠控軟件在兩臺計算機之間建立起一條數據交換通道,控制端只是負責發送指令和顯示遠程計算機執行程序的結果,實際的運行過程均在遠程計算機上完成的。
三、網絡監測是網絡安全管理的前提
網絡監測是網絡管理和網絡安全的重要組成部分。通常利用網絡監測軟件對網絡實時動態掌控。這里介紹幾種常用的網絡監測軟件。MRTG(MultiRouter Traffic Grapher)是基于SNMP的網絡流量統計工具。它耗用的系統資源很小,因此有很多外掛的程序也依附在MRTG下。通過SNMP協議從設備得到其流量信息,并將流量負載以包含JPEG圖形的HTML文檔直觀地顯示。MRTG記錄網絡接口 5分鐘/日/月/年的流量圖形。IPSentry是周期性輪循檢測網絡節點通斷或主機上運行的業務,自動產生HTML格式的檢測結果,并按日期記錄log文件,這些log文件可以被導入到數據庫中,按任意時間段做出網絡統計報表。報警方式主要是當檢測的服務故障時,IPSentry可以通過播放聲音,或 EMAIL, 或撥打電話(短信),或運行其它軟件來提醒管理員。IP Monitor(網絡數據收發/錯誤實時統計)能實時圖形顯示本地IP的TCP、UDP和ICMP協議的接收、發送和錯誤數據報的數目。Hosts Monitor(網絡節點通斷監測)最大的應用就在于它可周期性的ping網絡節點并在故障或恢復的時候通知管理員。SNIFFER 是利用計算機網絡接口截獲數據報文的一種工具。SNIFFER主機的網卡處于promiscuous(混雜模式)的狀態,這樣接收到同一網段(同一個沖突域)的每個信息包。所以也就存在著SNIFFER可以用來捕獲密碼,EMAIL信息,秘密文檔等一些其他沒有加密的信息,這成為黑客們常用奪取其他主機的信息和控制權的方法。Sniffer工作在網絡環境中的底層,Sniffer主機的網卡具備“廣播地址”,它對所有探測到的數據幀都產生一個硬件中斷以便提醒操作系統處理網卡接收到的每個報文。四、網絡安全的規劃和實施網絡安全管理體系包括網絡鑒別、加密、訪問控制、病毒防范以及安全管理五部分內容。具體的的管理目標如圖2所示。
圖2 網絡安全體系
網絡安全管理的目的是阻止非法身份對網絡運行造成破壞,影響網絡正常運行。網絡安全設計流程如圖3所示。
圖3網絡安全設計流程
下面我們對一些主要的網絡安全技術做一簡要說明。網段分離技術是把網絡上相互間沒有直接關系的系統分布在不同的網段,由于各網段間不能直接互訪,從而減少各系統被正面攻擊的機會。
路由安全是一是路由子網的限制,把不需要作信息交換的網段路由屏蔽或刪除掉。二是設置ACL訪問列表控制,實現對IP層、TCP層、UDP層數據包的過濾,避免非法數據包通過。
加密和傳輸。因為多數應用都是采用口令來確保安全,口令需要通過網絡傳輸,并且作為數據存儲在計算機或網絡設備中。如果用戶口令以明文形式傳輸,一旦被網絡偵聽工具(如Sniffer)竊聽,絕大多數的安全防范措施將會失效。
日志分析,完整的日志不僅要包括用戶的各項操作,而且還要包括網絡中數據接收的正確性、有效性及合法性的檢查結果,為日后網絡安全分析提供依據。對日志的分析還可用于預防入侵,提高網絡安全。例如,如果分析結果表明某用戶某日失敗登陸次數很高,就可能是入侵者正在嘗試該用戶的口令。
關閉不必要的應用。任何非法的入侵最終都需要通過被入侵主機上的服務程序來實現,因此,關閉沒有必要運行的服務也是保證主機安全的措施之一。
數據庫安全。修改缺省的連接端口,避免被專門診聽數據庫的工具捕獲口令.如SQLSniffer可以竊聽SQL Server TCP1433端口。避免通過網絡直接使用數據庫超級用戶,一旦它的口令泄露,數據庫就毫無安全可言。對每個應用設置單獨的數據庫帳號和最少夠用的權限才能有效保障數據庫的安全。不要對非授權的網段開放路由,敏感數據庫服務器上最好使用靜態路由設置, 用Route add / delete控制服務器允許連接的網絡IP。
總結:
計算機網絡管理和網絡安全措施是保證網絡系統正常運行的重要保障。網絡系統建成后,必須通過網絡整體結構圖對網絡進行管理和安全規劃并做好具體的實施工作。網絡管理的內容眾多,網絡安全涉及到網絡多個層面的安全保障工作,網管人員必須進行全面考慮,通過科學的管理,有效的管理軟件以及全面的安全措施保障網絡系統的正常運行。參考文獻:
第2篇
關鍵詞:企業網絡規劃;網絡安全;安全管理
隨著互聯網技術的發展,企業網絡規模不斷擴大,企業網的運行安全性更加重要。但是企業網運行中安全時間頻繁出現,嚴重影響企業業務的發展,保障網絡安全已經成為企業迫切需要解決的問題。
1企業網絡規劃和安全管理需求分析
公司網絡系統成立初期以經營業務為主,建網時間長,部分設備陳舊,網絡不安全因素來自本身安全缺陷和認為因素。企業網絡均由單個節點構成,所有的工作站和服務器通過雙絞線聯入交換機。信息中心部署在信息部,形成星狀網絡結構。每層辦公地方設置節點。信息點分布需求方面,每層辦公樓設置節點,與信息面板連接。在網絡規劃中,需要滿足企業網的需求,一方面實現網絡隔離技術限制部門的訪問,另一方面實現防火墻技術配置策略設置規則。同時網絡信息的傳輸要求能夠實時監控。網絡上資源的訪問通過資源具有的IP地址實現,地址劃分應該滿足簡單性原則、連續性原則,地址分配劑量簡單,避免采用復雜掩碼,同一區域需要采用連續分配網絡地址方便管理。
2網絡規劃設計
網絡拓撲結構設計分為核心層、接入層和邊界層,核心層由三層交換機組成,接入層由二層交換機組成,邊界層設計中,需要使用入侵檢測系統和防火墻系統保證安全。公司與下屬公司的信息安全傳輸通過專用網連接VPN實現。IP地址分配。將企業各個部門劃分為獨立的VLAN,并配置相應的網關和網段,為方面增加日后信息點,不劃分子網,采用子網掩碼方式。行政部IP地址172.16.10.0/24,方案所IP地址172.16.11.0/24,建筑所IP地址172.16.12.0/24,結構所IP地址172.16.13.0/24,給水排水所IP地址172.16.21.0/24,暖通所IP地址172.16.16.0/24,電氣所IP地址172.16.17.0/24。核心層和接入層設備配置Vlan,創建核心交換機,制定名字,進入配置模式,制定IP地址,配置STP、ACL、DHCP,并配置聚合鏈路。企業內網都可以訪問互聯網,內網交換機設置中采用防火墻策略,路由器和防火墻建立IPSECVPN隧道,遵守最小介入原則優化和細分安全策略。先進入到防火墻端口,核心層三層交換機連接防火墻s3g,核心二層交換機連接防火墻s3g2,由于核心層承接企業核心業務,因此將接口等級設置為高安全等級,并且將連個接口設置在trust區域中。外來用戶訪問來自外網,屬于非信任區,因此將安全等級設定為低等級。設置防火墻靜態路由器,保證內網服務區能夠通過防火墻訪問外網。配置防火墻策略路由器,根據優先等級設置鏈路,鏈路切換通過探測機制實現。設置防火墻安全策略,將不同區域設定為不同的安全等級和IP地址。配置防火墻VPN,在總部防火墻和下級防火墻建立IPSeeVPN隧道。入侵檢測系統實現信息傳輸監控,并能夠終端隔離有害信息。在建設初期將檢測系統設定為透明橋模式。終端和服務器安全管理系統設置中,設置補丁管理、終端桌面管理、文件審計管理等,防治ATP攻擊,過濾惡意URL,加速補丁修復,管理資產、單點維護,實現移動存儲管理等。
3安全管理分析
利用網絡安全性技術保護網絡系統安全。網絡系統安全管理設計中分析系統安全技術,從硬件設計、非法用戶入侵、網絡安全等角度進行分析。硬件設備安全是保證系統安全可靠的基礎,系統硬件設備組成部門包括工作組交換機、服務器、工作站等,硬件設備的安全性還取決于設備本身的性能。數據中心機房安全設計中,要求根據實際情況進行裝修,設置接地和防雷裝置,并配備UPS。總配線設置中應充分考慮電磁干擾因素,機房溫度適宜,濕度維持在30~50%。在機房設置獨立接地系統,安裝合適接地端子,要求天花板高度在2.5米以上。安全管理做好病毒防護工作。利用全范圍企業防毒產品,集中保護網絡電腦,采用病毒防護技術、程度內核安全技術保護數據。病毒防護方案中實施統一監控和分布式的部署方式,公司根據實際情況制定防病毒策略和計劃,總公司負責全網病毒定義碼、將升級文件分配到相應的服務器。提交被隔離的文件,并進行掃描引擎。通過廣域網集中控制和管理病毒管理服務器,在必要時,直接管理下級公司病毒服務器。針對公司線以后的管理體制和系統架構,設計二級管理中心來復雜病毒防護系統的實施。公司復雜局域網防病毒軟件安裝,制定防病毒策略,監控局域網防病毒狀態,下屬負責自己局域網監控,并作出響應。建立統一分級管理病毒管理體系,用來存儲網絡病毒事件,了解病毒發生地方、過程、事件、危害以及處理等。同時在管理中心成立響應中心和安全事件管理中心,根據網絡可能需求部署安全產品,如入冊檢測系統、防火墻、掃描系統等。同時建立垃圾郵件過濾系統方案,外部發來郵件先經過DNS解析后發送至IMSS,有效查殺郵件傳播病毒。對設計系統進行測試和維護,測試結果顯示網絡規劃能夠確保挽留過安全。在后期維護中主要負責網絡正常運轉。
4結語
綜上所述,文章在分析企業網絡需求基礎上進行網絡規劃,滿足企業網安全需求,實現交互數據交換。企業網絡規劃安全管理中,安全管理最為企業重要組成部分,同樣需要建立管理制度,促使員工遵循使用規則,避免病毒入網。
引用:
[1]關天柱.中小型企業網絡規劃及安全管理的研究[J].電腦知識與技術,2010,06(9X):7197-7198.
[2]甘麗,胡昊.中小企業內網安全管理的研究與實現[J].計算機技術與發展,2013(8):122-124.
第3篇
關鍵詞:網絡安全;地面測發控
中圖分類號:TP311
我國航天研制、發射任務日益增加,信息環境復雜、多樣,導致測發控信息暴露于越來越多、越來越廣的威脅和脆弱性當中,測發控信息資產需要加以適應的保護。同時,測發控網絡系統建立年代較早,其網絡安全性設計與意識遠遠落后。因此,保障網絡正常安全運行并建立測發控網絡安全管理系統是測發控網絡的工作重點,加強網絡安全管理迫在眉睫。
1 測發控網絡安全現狀
目前,網絡安全防護采用“技術30%,管理70%”的布局,偏頗管理和加強人員網絡安全意識的效力,并且技術上僅通過采用殺毒軟件、防火墻以實現網絡安全防護,技術措施單一,缺乏解決深層次網絡安全問題和威脅的能力。現有測發控網絡安全圖如圖1所示。為此,從系統綜合整體的角度去看待、分析,在提供靈活且高效的網絡通訊及信息服務,組成并協調建立地面測發控網絡安全系統已事在必行。
2 新型網絡安全管理系統
2.1 新型網絡安全管理功能
測發控網絡安全的解決是一個綜合性問題,涉及到諸多因素,包括技術、產品和管理等。進行網絡安全體系建設,要綜合考慮、注重實效,在考慮網間安全、防火墻、病毒查殺、入侵檢測,甚至身份認證等系統來解決有關外部黑客入侵、病毒困擾時,也要同時考慮來自內部網絡的可信環境下的非授權網絡行為和授權濫用行為,才可能最大限度的構建和諧、干凈的測發控網絡環境。測發控網絡安全管理系統主要實現以下功能:
(1)對測發控網絡分系統工作站進行集中的安全保護、監控、審計和管理;
(2)防范非法設備接入內網,確保測發控網絡內網安全;
(3)整體規劃測發控網絡與設備的網絡傳輸行為的計算機網絡安全設備;
(4)建立網間防護,保證各分系統與C3I、異地協同網絡之間的網間安全;
(5)安全隔離與信息交換與數據加密,保障測試數據在網絡傳輸過程中可靠完整;
(6)測發控網絡設備與工作站等資產的統一配置、監控、預警、評估、響應,策略、檢測、防護,實現安全資產和安全信息的歸一化等功能。
2.2 測發控網絡安全管理系統組成
立足現有測發控網絡現狀,結合遠期異地協同規劃,測發控網絡安全管理確保在安全、可靠和保密的網絡環境下完成測試任務,幫助各分系統網絡設備使用統一優化、規范管理,并在遠期實現與北京總部的異地協同項目加強網間安全。
測發控網絡安全管理系統
(1)安全防護子系統。安全防護子系統可以對內部終端計算機進行集中的安全保護、監控、審計和管理,可自動向終端計算機分發系統補丁,禁止重要信息通過外設和端口泄漏,防止終端計算機非法外聯,防范非法設備接入內網,有效地管理終端資產等。
安全防護子系統由客戶端模塊、服務器模塊、控制臺三部分組成。客戶端模塊對終端計算機進行監控,需要部署于每臺需要被管理的終端計算機上,用于收集數據信息,并執行來自服務器模塊的指令。服務器模塊存儲終端安全策略、終端計算機信息、漏洞補丁數據等等,并由服務器向終端計算機客戶模塊發送指令。
(2)網間防護子系統。采用安全邊際技術,通過防火墻、防病毒墻、入侵防護等技術,整體規劃測發控網絡或網絡設備的網絡傳輸行為的計算機網絡安全設備,增加子網與網間安全,實時動態保護技術以全面、有效地保護網絡不受侵害,使測發控網絡與異地協同網絡實現數據交換。
(3)數據加密子系統。通過安全隔離與信息交換與數據加密,保障數據在網絡傳輸過程中可靠完整,保護關鍵業務的機密數據安全,同時保障數據在傳輸過程中不被破壞和惡意竊取。網絡加密機制建立可信的安全連接,保證數據的安全傳輸,實現安全通信的虛擬專用線路,提供全面、可靠、安全和多層次的數據保護。
(4)管理配置子系統。以資產設備為中心,通過策略配置、設備監控、審計預警、態勢評估、安全響應的全流程管理,進行安全資產和安全信息的歸一化處理、監控、分析、審計、報警、響應、存儲和報告等功能。管理配置子系統采用三層分布式體系結構,主要由被管對象層、管理中心層、控制臺層組成。
3 結論
新型地面測發控網絡安全管理系統立足現有測發控網絡,解決現有病毒查殺費時費力、網絡設備與存儲介質的管理失控、各分系統應用軟件安裝不受控、IP地址更改隨意等現狀;結合異地協同項目,完善管理配置子系統網間防護子系統,統籌規劃各分系統子網與C3I之間的網絡架構,消除網絡邊際隱患。同時,建立集中安全信息管理系統;加強應用覆蓋范圍。
新型網絡安全管理系統以測發控網絡為基點,重新規劃、提高和完善測試環境,從軟件和硬件上采取控制措施以避免安全漏洞,提高測發控網絡安全水平,在測發控網絡中具有極為重要的意義。
參考文獻:
