亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        智慧水務(wù)網(wǎng)絡(luò)安全性設(shè)計探析

        2018-06-13 09:55:40李鈺婷
        陜西水利 2018年3期
        關(guān)鍵詞:廣域網(wǎng)辦公區(qū)水務(wù)

        李鈺婷

        當(dāng)今世界,隨著數(shù)據(jù)通信與計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,全球信息化已成為人類發(fā)展的大趨勢。因此國內(nèi)外企業(yè)的生產(chǎn)經(jīng)營管理方式也都隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而朝著信息化、網(wǎng)絡(luò)化方向發(fā)展。企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的建立,極大地提高了對外以及內(nèi)部各部門之間的溝通效率。但近年來網(wǎng)絡(luò)安全威脅日趨嚴(yán)重,不斷演化的網(wǎng)絡(luò)攻擊對企業(yè)造成了極大地?fù)p失(如勒索病毒等)。另外,由于陜西省水務(wù)集團的業(yè)務(wù)涉及關(guān)鍵基礎(chǔ)設(shè)施(如自來水廠等),并且在智慧水務(wù)建設(shè)過程中將采用越來越多的物聯(lián)網(wǎng)設(shè)備,這使得企業(yè)在網(wǎng)絡(luò)安全方面將面臨更為嚴(yán)峻的挑戰(zhàn)。

        本文的研究內(nèi)容正是基于此種大背景下提出來的,通過分析陜西省水務(wù)集團的網(wǎng)絡(luò)安全需求,以企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計及安全部署為重點展開研究,并提出相應(yīng)的網(wǎng)絡(luò)安全設(shè)計方案[1]。

        1 企業(yè)網(wǎng)絡(luò)安全

        從陜西省水務(wù)集團的網(wǎng)絡(luò)結(jié)構(gòu)分析,企業(yè)網(wǎng)絡(luò)層的安全主要涉及Internet連接安全、廣域網(wǎng)連接安全和內(nèi)網(wǎng)系統(tǒng)安全。

        1.1 Internet連接安全防護

        陜西省水務(wù)集團需通過門戶網(wǎng)站向大眾提供業(yè)務(wù)服務(wù)并對企業(yè)進行宣傳,公司內(nèi)部用戶辦公也需通過互聯(lián)網(wǎng)與外界進行電子郵件往來。因此,企業(yè)的Internet出入口連接點,存在遭受來自外部惡意攻擊、病毒傳播的可能性,必須采取措施進行保護,如部署防火墻系統(tǒng)。

        1.2 廣域網(wǎng)連接安全防護

        陜西省水務(wù)集團下屬分公司及三級子公司位于省內(nèi)各市縣,需通過數(shù)字電路專線組成的廣域網(wǎng)與集團總部進行連接。這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng),每一個在地理上屬異地的分支機構(gòu)或部門,其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨立性,因此在網(wǎng)絡(luò)安全管理實施和執(zhí)行上就很容易產(chǎn)生差異,從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。

        1.3 內(nèi)網(wǎng)系統(tǒng)安全防護

        陜西省水務(wù)集團內(nèi)網(wǎng)中的信息系統(tǒng)中存放了大量的企業(yè)數(shù)據(jù)和信息,不同的信息系統(tǒng)開放的用戶范圍及權(quán)限是不同的,因此需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制。同時,企業(yè)網(wǎng)環(huán)境比較復(fù)雜,設(shè)備眾多,網(wǎng)絡(luò)管理人員查找和修補網(wǎng)絡(luò)中的安全隱患有相當(dāng)大的難度。因此,利用先進的技術(shù)、工具進行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查,先于入侵者發(fā)現(xiàn)漏洞并及時彌補,是十分必要的安全防護措施。

        員工進入信息系統(tǒng)時需要輸入用戶名稱和密碼,而單一靜態(tài)密碼容易泄露,很容易被網(wǎng)絡(luò)入侵者猜測或破解。因此在原有用戶名密碼登錄驗證的基礎(chǔ)上,需增加更強大的認(rèn)證手段[2-4]。

        2 網(wǎng)絡(luò)安全方案設(shè)計

        根據(jù)陜西省水務(wù)集團網(wǎng)絡(luò)安全防護的實際需求,制定了相應(yīng)方案解決水務(wù)網(wǎng)絡(luò)安全問題。

        2.1 劃分安全區(qū)域

        根據(jù)企業(yè)業(yè)務(wù)需要,以及網(wǎng)絡(luò)應(yīng)用對安全性的不同級別的要求,可劃分出以下不同的安全區(qū)域:

        (1)DMZ區(qū),包括門戶網(wǎng)站服務(wù)器、郵箱服務(wù)器等需要對外提供服務(wù)的服務(wù)器群。

        (2)廣域網(wǎng)分區(qū),異地的集團分公司、三級公司通過數(shù)字電路專線連接到集團總部網(wǎng)絡(luò),分公司、三級公司的業(yè)務(wù)系統(tǒng)數(shù)據(jù)將通過該分區(qū)進入總部數(shù)據(jù)中心。

        (3)數(shù)據(jù)中心區(qū),該區(qū)域由集團的智慧水務(wù)大數(shù)據(jù)平臺、數(shù)據(jù)備份服務(wù)器等服務(wù)器集群構(gòu)成,承載集團一切業(yè)務(wù)的核心數(shù)據(jù),因此該區(qū)域?qū)Π踩砸笞罡?,對業(yè)務(wù)穩(wěn)定不間斷運行要求也最高。

        (4)內(nèi)部辦公區(qū),該區(qū)域是集團總部內(nèi)部員工辦公計算機所在區(qū)域,該區(qū)域?qū)W(wǎng)絡(luò)運行穩(wěn)定性要求較高。

        2.2 采用防火墻

        采用防火墻解決Internet連接及廣域網(wǎng)連接的安全隱患,隔離各安全區(qū)域。防火墻通常部署在內(nèi)部網(wǎng)與外部網(wǎng)之間,用于控制通過的流量以及對外部網(wǎng)絡(luò)攻擊進行防護,是目前網(wǎng)絡(luò)安全解決方案中應(yīng)用最多的技術(shù)手段。防火墻能夠?qū)?shù)據(jù)包進行過濾,阻斷不符合策略的連接,還可以關(guān)閉不使用的端口以免被攻擊者利用,并且具備非常強的抗攻擊能力。

        2.3 采用入侵檢測(IDS)

        采用入侵檢測設(shè)備,實現(xiàn)對攻擊行為的識別,與防火墻進行配合,可加強對應(yīng)用層的安全防護。入侵檢測技術(shù)能夠識別出對計算機和網(wǎng)絡(luò)資源的惡意使用行為,并對惡意使用行為做出相應(yīng)的處理。入侵檢測的第一步是信息收集,內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集到的信息將被送到檢測引擎,進行模式匹配、統(tǒng)計分析、完整性分析。當(dāng)檢測到惡意使用行為時,將會產(chǎn)生告警,并根據(jù)策略可聯(lián)動防火墻對攻擊行為進行阻斷。

        2.4 病毒防護(Anti Virus)

        病毒防護應(yīng)采用預(yù)防為主,軟件查殺為輔的防治策略。首先要加強網(wǎng)絡(luò)的管理,制定嚴(yán)格的管理制度,對管理員和用戶加強培訓(xùn),提高防毒意識。同時給計算機安裝殺毒軟件,并定期進行病毒庫升級。服務(wù)器可采用裝載防病毒模塊,或者安裝防毒卡的防護方式。

        2.5 采用認(rèn)證服務(wù)器

        可考慮采用RADIUS或TACACS+認(rèn)證方法,兩種認(rèn)證方法都可實現(xiàn)用戶在訪問業(yè)務(wù)系統(tǒng)前,必須通過認(rèn)證服務(wù)器的認(rèn)證與授權(quán)。區(qū)別在于RADIUS采用UDP協(xié)議傳輸,只對客戶端請求包中的密碼加密,而TACACS+采用TCP協(xié)議傳輸,對除了頭部外的整個分組加密。

        2.6 采用安全審計

        為實現(xiàn)攻擊行為及網(wǎng)絡(luò)日常管理的事中跟蹤,事后分析,可采用安全審計技術(shù)。根據(jù)GB/T 20945-2013國標(biāo)定義,“安全審計”指對網(wǎng)絡(luò)或信息系統(tǒng)的事件進行記錄和分析,并針對特定事件采取相應(yīng)比較的動作。安全審計分為監(jiān)測審計和日志審計兩種,前者是監(jiān)測實時數(shù)據(jù),后者是事后審計方式。安全審計的范圍包括了所有與安全相關(guān)的設(shè)備和系統(tǒng)。

        2.7 采用漏洞掃描

        借助漏洞掃描技術(shù)提升內(nèi)網(wǎng)系統(tǒng)安全性。漏洞掃描是一種主動的防范措施,通過對網(wǎng)絡(luò)中的服務(wù)器、路由器、交換機、數(shù)據(jù)庫等設(shè)備進行逐項規(guī)則檢測,或模擬網(wǎng)絡(luò)攻擊,來判定網(wǎng)絡(luò)系統(tǒng)中是否存在安全漏洞。網(wǎng)絡(luò)管理員因此能及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡(luò)風(fēng)險等級,根據(jù)掃描結(jié)果修補相關(guān)安全漏洞,做到防患于未然[5-7]。

        3 網(wǎng)絡(luò)安全方案確定

        結(jié)合陜西省水務(wù)集團的網(wǎng)絡(luò)架構(gòu),劃分安全域,在安全域邊界部署防火墻對Internet連接和廣域網(wǎng)連接進行管控,配合IDS進一步解決應(yīng)用層的安全威脅,采用Radius認(rèn)證、漏洞掃描、病毒防護等技術(shù)共同加強內(nèi)網(wǎng)的安全防護。具體方案見圖1。

        圖1 網(wǎng)絡(luò)安全方案示意圖

        根據(jù)網(wǎng)絡(luò)安全方案設(shè)計,將集團網(wǎng)絡(luò)劃分為數(shù)據(jù)中心區(qū)、內(nèi)部辦公區(qū)、DMZ區(qū)、廣域網(wǎng)區(qū)共四個安全區(qū)域,部署兩臺防火墻對安全區(qū)域進行隔離。防火墻上關(guān)于安全區(qū)域的訪問控制策略應(yīng)配置為:

        <1>內(nèi)部辦公區(qū)可以訪問Internet,廣域網(wǎng)區(qū),DMZ區(qū)。

        <2>Internet不能訪問內(nèi)部辦公區(qū)、數(shù)據(jù)中心區(qū),廣域網(wǎng)區(qū),可以訪問DMZ區(qū)。

        <3>DMZ區(qū)可以訪問Internet,不能訪問內(nèi)部辦公區(qū),數(shù)據(jù)中心區(qū),廣域網(wǎng)區(qū)。

        內(nèi)部辦公區(qū)網(wǎng)絡(luò),應(yīng)按各部門劃分VLAN,起到邏輯隔離作用,避免廣播風(fēng)暴。

        內(nèi)部辦公區(qū)、數(shù)據(jù)中心區(qū)、DMZ區(qū)各部署一臺IDS設(shè)備(配置與防火墻聯(lián)動),對各安全區(qū)域的網(wǎng)絡(luò)信息進行檢測分析,發(fā)現(xiàn)攻擊行為則聯(lián)動防火墻,由防火墻阻斷相關(guān)連接。防火墻、IDS均開啟審計日志。

        在防火墻上配置啟用Radius認(rèn)證服務(wù)器,用戶訪問各業(yè)務(wù)系統(tǒng)時,需先輸入用戶名、密碼,Radius認(rèn)證服務(wù)器認(rèn)證通過后,則授權(quán)用戶繼續(xù)訪問。

        定期對內(nèi)網(wǎng)進行安全性檢測時,可將漏洞掃描設(shè)備以旁路方式接入各安全區(qū)域內(nèi)的交換機上,依次對各網(wǎng)段開展漏洞掃描分析。

        所有新采購的服務(wù)器要求必須安裝防病毒模塊、軟件防火墻,已有的服務(wù)器由系統(tǒng)管理負(fù)責(zé)安裝防病毒模塊、軟件防火墻。集團所有辦公電腦統(tǒng)一安裝企業(yè)版殺毒軟件,由系統(tǒng)管理員負(fù)責(zé)病毒庫更新等日常管理。

        4 結(jié)語

        通過DMZ區(qū)劃分、網(wǎng)絡(luò)邊界防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò)審計、病毒防護等網(wǎng)絡(luò)安全技術(shù)的設(shè)計、部署,將建立起全方位的企業(yè)網(wǎng)安全防護體系,有效阻擋來自外網(wǎng)以及內(nèi)網(wǎng)的攻擊。后續(xù)根據(jù)集團業(yè)務(wù)需求,還可建設(shè)VPN虛擬專用網(wǎng)絡(luò),為遠(yuǎn)程用戶提供到集團內(nèi)網(wǎng)的安全傳輸方式。

        [1]wjessie.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計方案.[OL].2017-03-19.https://max.book118.com/html/2017/0319/96078529.shtm

        [2]江超.面向應(yīng)用層的網(wǎng)絡(luò)安全方案的設(shè)計與實施[D].北京郵電大學(xué),2013.

        [3]趙玉田.某信息技術(shù)企業(yè)計算機網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn) [D].山東大學(xué),2015.

        [4]鄧林.網(wǎng)絡(luò)信息安全防護理論與方法的研究[D].合肥工業(yè)大學(xué),2009.

        [5]曹勝華.集團企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計與實現(xiàn)[D].中南大學(xué),2010.

        [6]曹晶秀.企業(yè)網(wǎng)安全架構(gòu)模型的研究與驗證[D].吉林大學(xué),2008.

        [7]徐波濤.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計與工程實踐 [D].北京郵電大學(xué),2012.

        猜你喜歡
        廣域網(wǎng)辦公區(qū)水務(wù)
        淺析迎澤大街集中辦公區(qū)辦公樓維修改造工程設(shè)計
        喬布斯辦公區(qū)理念的啟示
        華人時刊(2019年2期)2019-03-22 02:23:18
        水務(wù)智慧巡檢的探索與實踐
        電子測試(2018年1期)2018-04-18 11:53:18
        基于NB-IoT的智慧水務(wù)建設(shè)探討
        電子測試(2017年12期)2017-12-18 06:35:53
        水務(wù)工程項目設(shè)計采購施工總承包管理模式探討
        信號設(shè)備中E1廣域網(wǎng)通道連通判斷和故障處理
        電氣化鐵道(2016年6期)2016-05-17 03:42:54
        電動汽車充電站在辦公區(qū)建設(shè)前景分析
        富陽:啟動智能水務(wù)
        杭州(2015年9期)2015-12-21 02:51:50
        廣域網(wǎng)重復(fù)數(shù)據(jù)刪除技術(shù):數(shù)據(jù)中心的“必備”技術(shù)
        電腦與電信(2011年6期)2011-08-08 12:47:58
        別讓網(wǎng)絡(luò)成為企業(yè)前進的“絆腳石”
        人妻少妇精品无码专区二区| 亚洲av一二三四五区在线| 福利视频一二三在线观看| 久久aⅴ人妻少妇嫩草影院| 老熟妇仑乱视频一区二区| 女人被爽到呻吟gif动态图视看| 怡红院免费的全部视频| 亚洲AV永久无码精品导航| 一区二区精品| 91最新免费观看在线| 免费国产h视频在线观看86| 五月天无码| 国产杨幂AV在线播放| 亚洲av偷拍一区二区三区| 蜜桃在线观看免费高清| 中日无码精品一区二区三区| 中文字幕一区二区三区.| 狼人精品剧情av在线观看| 男女做羞羞事的视频网站| 亚洲精品久久区二区三区蜜桃臀| 中文字幕乱码熟女人妻在线 | 最好看的最新高清中文视频 | 公与淑婷厨房猛烈进出| 国产精品综合色区在线观看| 摸进她的内裤里疯狂揉她动图视频 | 中国丰满人妻videoshd| 人妻中文无码久热丝袜| 亚洲AV无码精品色欲av | 人妻中文字幕av有码在线| 亚洲天堂av黄色在线观看| 丰满熟妇人妻av无码区| 国产专区国产av| 超级碰碰人妻中文字幕| 日韩狼人精品在线观看| 羞羞色院99精品全部免| 亚洲av网一区二区三区| 成人欧美一区二区三区在线观看| 人与动牲交av免费| 特黄a级毛片免费视频| 天堂AV无码AV毛片毛| 91麻豆精品激情在线观最新|