時間:2023-03-20 16:12:17
導(dǎo)語:在企業(yè)網(wǎng)絡(luò)安全論文的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
保護企業(yè)網(wǎng)絡(luò)系統(tǒng)的軟件、硬件及數(shù)據(jù)不遭受破壞、更改、泄露,信息系統(tǒng)連續(xù)可靠地運行是企業(yè)網(wǎng)絡(luò)安全的基本要求。企業(yè)網(wǎng)絡(luò)安全分為物理安全和邏輯安全,邏輯安全是對信息的保密性、完整性和可用性的保護。物理安全是對計算機系統(tǒng)、通信系統(tǒng)、存儲系統(tǒng)和人員采取安全措施以確保信息不會丟失、泄漏等。目前企業(yè)網(wǎng)絡(luò)中缺乏專門的安全管理人員,網(wǎng)絡(luò)信息化管理制度也不健全,導(dǎo)致了部分人為因素引發(fā)的企業(yè)網(wǎng)絡(luò)安全事故。因此企業(yè)網(wǎng)絡(luò)安全必須從技術(shù)和管理兩個方面進行。
2企業(yè)網(wǎng)絡(luò)安全所面臨的威脅
企業(yè)網(wǎng)絡(luò)安全所面臨的威脅除了技術(shù)方面的因素外,還有一部分是管理不善引起的。企業(yè)網(wǎng)絡(luò)安全面臨的威脅主要來自以下兩個方面。
2.1缺乏專門的管理人員和相關(guān)的管理制度
俗話說“三分技術(shù),七分管理”,管理是企業(yè)信息化中重要的組成部分。企業(yè)信息化過程中缺乏專門的管理人員和完善的管理制度,都可能引起企業(yè)網(wǎng)絡(luò)安全的風(fēng)險,給企業(yè)網(wǎng)絡(luò)造成安全事故。由于大部分企業(yè)沒有專門的網(wǎng)絡(luò)安全管理人員,相關(guān)的網(wǎng)絡(luò)管理制度也不完善,實際運行過程中沒有嚴格要求按照企業(yè)的網(wǎng)絡(luò)安全管理制度執(zhí)行。以至于部分企業(yè)選用了最先進的網(wǎng)絡(luò)安全設(shè)備,但是其管理員賬號一直使用默認的賬號,密碼使用簡單的容易被猜中的密碼,甚至就是默認的密碼。由于沒有按照企業(yè)信息化安全管理制度中密碼管理的相關(guān)條款進行操作,給系統(tǒng)留下巨大的安全隱患,導(dǎo)致安全事故發(fā)生。
2.2技術(shù)因素導(dǎo)致的主要安全威脅
企業(yè)網(wǎng)絡(luò)應(yīng)用是架構(gòu)在現(xiàn)有的網(wǎng)絡(luò)信息技術(shù)基礎(chǔ)之上,對技術(shù)的依賴程度非常高,因此不可避免的會有網(wǎng)絡(luò)信息技術(shù)的缺陷引發(fā)相關(guān)的安全問題,主要表現(xiàn)在以下幾個方面。
2.2.1計算機病毒
計算機病毒是一組具有特殊的破壞功能的程序代碼或指令。它可以潛伏在計算機的程序或存儲介質(zhì)中,當條件滿足時就會被激活。企業(yè)網(wǎng)絡(luò)中的計算機一旦感染病毒,會迅速通過網(wǎng)絡(luò)在企業(yè)內(nèi)部傳播,可能導(dǎo)致整個企業(yè)網(wǎng)絡(luò)癱瘓或者數(shù)據(jù)嚴重丟失。
2.2.2軟件系統(tǒng)漏洞
軟件的安全漏洞會被一些別有用心的用戶利用,使軟件執(zhí)行一些被精心設(shè)計的惡意代碼。一旦軟件中的安全漏洞被利用,就可能引起機密數(shù)據(jù)泄露或系統(tǒng)控制權(quán)被獲取,從而引發(fā)安全事故。
3企業(yè)網(wǎng)絡(luò)安全的防護措施
3.1配備良好的管理制度和專門的管理人員
企業(yè)信息化管理部門要建立完整的企業(yè)信息安全防護制度,結(jié)合企業(yè)自身的信息系統(tǒng)建設(shè)和應(yīng)用的進程,統(tǒng)籌規(guī)劃,分步實施。做好安全風(fēng)險的評估、建立信息安全防護體系、根據(jù)信息安全策略制定管理制度、提高安全管理水平。企業(yè)內(nèi)部的用戶行為約束必須通過嚴格的管理制度進行規(guī)范。同時建立安全事件應(yīng)急響應(yīng)機制。配備專門的網(wǎng)絡(luò)安全管理員,負責(zé)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全事務(wù)。及時根據(jù)企業(yè)網(wǎng)絡(luò)的動向,建立以預(yù)防為主,事后補救為輔的安全策略。細化安全管理員工作細則,如日常操作系統(tǒng)維護、漏洞檢測及修補、應(yīng)用系統(tǒng)的安全補丁、病毒防治等工作,并建立工作日志。并對系統(tǒng)記錄文件進行存檔管理。良好的日志和存檔管理,可以為預(yù)測攻擊,定位攻擊,以及遭受攻擊后追查攻擊者提供有力的支持。
3.2防病毒技術(shù)
就目前企業(yè)網(wǎng)絡(luò)安全的情況來看,網(wǎng)絡(luò)安全管理員主要是做好網(wǎng)絡(luò)防病毒的工作,主流的技術(shù)有分布式殺毒技術(shù)、數(shù)字免疫系統(tǒng)技術(shù)、主動內(nèi)核技術(shù)等幾種。企業(yè)需要根據(jù)自身的實際情況,靈活選用,確保殺毒機制的有效運行。
3.3系統(tǒng)漏洞修補
現(xiàn)代軟件規(guī)模越來越大,功能越來越多,其中隱藏的系統(tǒng)漏洞也可能越來越多。不僅僅是應(yīng)用軟件本身的漏洞,還有可能來自操作系統(tǒng),數(shù)據(jù)庫系統(tǒng)等底層的系統(tǒng)軟件的漏洞引發(fā)的系列問題。因此解決系統(tǒng)漏洞的根本途徑是不斷地更新的系統(tǒng)的補丁。既可以購買專業(yè)的第三方補丁修補系統(tǒng),也可以使用軟件廠商自己提供的系統(tǒng)補丁升級工具。確保操作系統(tǒng),數(shù)據(jù)系統(tǒng)等底層的系統(tǒng)軟件是最新的,管理員還要及時關(guān)注應(yīng)用系統(tǒng)廠商提供的升級補丁的信息,確保發(fā)現(xiàn)漏洞的第一時間更新補丁,將系統(tǒng)漏洞的危害降到最低。
4結(jié)束語
安全評價的關(guān)鍵與基礎(chǔ)是選取與確立評價的指標體系,它對評價的結(jié)果是否符合實際情況至關(guān)重要?;て髽I(yè)安全評價指標體系應(yīng)盡可能反映化工企業(yè)的主要特征和基本狀況。評價過程中指標體系的要素組成非常關(guān)鍵,如果選取的要素太多,有可能使評價指標體系更加龐大和冗雜,從而增加評價的困難程度,甚至?xí)挂恍┲匾蛩乇缓雎?如果指標因素太少,則難以較完整地反映被評價系統(tǒng)的客觀實際情況。•33•通過查閱研究某大型煉油化工企業(yè)的相關(guān)文獻和資料[4],由人、機和環(huán)境3個方面構(gòu)成的系統(tǒng)模型出發(fā),把生產(chǎn)系統(tǒng)所有重要環(huán)節(jié)包含其中,從而建立出化工企業(yè)的安全評價指標體系如圖1和表1至表4所示。
2化工企業(yè)的遺傳神經(jīng)網(wǎng)絡(luò)安全評價模型
2.1遺傳神經(jīng)網(wǎng)絡(luò)遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的方法主要有2種:對神經(jīng)網(wǎng)絡(luò)的初始權(quán)值和閾值進行優(yōu)化;對神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)進行優(yōu)化[5]。本文在保持神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)不變的情況下,用遺傳算法對BP神經(jīng)網(wǎng)絡(luò)初始權(quán)值和閾值進行優(yōu)化。
2.2遺傳神經(jīng)網(wǎng)絡(luò)評價模型遺傳神經(jīng)網(wǎng)絡(luò)優(yōu)化的數(shù)學(xué)模型[6]如下:本文構(gòu)建的遺傳神經(jīng)網(wǎng)絡(luò)模型的運行過程如下:(1)初始化BP神經(jīng)網(wǎng)絡(luò)。(2)把BP神經(jīng)網(wǎng)絡(luò)的全部權(quán)值與閾值實數(shù)編碼,確定其長度l,確定其為遺傳算法的初始種群個體。(3)設(shè)置遺傳算法的相關(guān)參數(shù)以及終止條件,執(zhí)行遺傳算法;遺傳算法包括對群體中個體適應(yīng)度進行評價,執(zhí)行選擇、交叉、變異遺傳操作,進化生成新的群體;反復(fù)操作至設(shè)定的進化代數(shù),最終取得最佳染色體個體。(4)把最佳染色體個體解碼,分解為BP網(wǎng)絡(luò)對應(yīng)的權(quán)值、閾值,輸入訓(xùn)練樣本,利用BP網(wǎng)絡(luò)進行訓(xùn)練。(5)得到訓(xùn)練好的BP神經(jīng)網(wǎng)絡(luò),則可輸入實例樣本進行評價。
3遺傳神經(jīng)網(wǎng)絡(luò)評價模型在化工企業(yè)的應(yīng)用
3.1學(xué)習(xí)樣本的準備根據(jù)前文所確定的評價指標體系和對某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數(shù)據(jù),參考文獻中化工企業(yè)安全評價指標取值標準,進行分析和整理,得出11個實例樣本,如表5所示。選擇10個樣本作為遺傳神經(jīng)網(wǎng)絡(luò)的訓(xùn)練樣本,1個樣本作為測試樣本。
3.2BP網(wǎng)絡(luò)結(jié)構(gòu)的確定BP網(wǎng)絡(luò)拓撲結(jié)構(gòu)一般是由網(wǎng)絡(luò)層數(shù)、輸入層節(jié)點數(shù)、隱含層節(jié)點數(shù)、隱含層數(shù)以及輸出層節(jié)點數(shù)等來確定。本文建立的遺傳神經(jīng)網(wǎng)絡(luò)模型是根據(jù)經(jīng)驗來確定神經(jīng)網(wǎng)絡(luò)的層數(shù),一般選取BP神經(jīng)網(wǎng)絡(luò)的層數(shù)為3層[7]。通過化工企業(yè)安全評價指標的分析,得出BP神經(jīng)網(wǎng)絡(luò)輸入層神經(jīng)元數(shù)目為評價指標的總數(shù)12+6+8+5=31。模型最后輸出的結(jié)果為綜合安全評價結(jié)果,因此,神經(jīng)網(wǎng)絡(luò)的輸出層節(jié)點數(shù)確定為1。隱含層中節(jié)點數(shù)的范圍通過經(jīng)驗公式來確定,本文在其確定范圍內(nèi)選12。依據(jù)訓(xùn)練樣本的規(guī)模,設(shè)定學(xué)習(xí)率為0.1,最大訓(xùn)練誤差值設(shè)為10-5,循環(huán)學(xué)習(xí)次數(shù)為1000次。網(wǎng)絡(luò)輸出層為1個節(jié)點,即化工企業(yè)的安全評價結(jié)果?;て髽I(yè)安全等級一般分為5級[7],如表6所示。
3.3遺傳算法優(yōu)化遺傳算法中,參數(shù)設(shè)定如下:種群規(guī)模設(shè)為300,交叉概率設(shè)為0.7,進化代數(shù)設(shè)為100,變異率設(shè)為0.05。本文運用MATLAB軟件中的遺傳算法工具箱gads,在GUI操作界面中輸入以上參數(shù),并輸入適應(yīng)度函數(shù),對神經(jīng)網(wǎng)絡(luò)的權(quán)閾值進行優(yōu)化。經(jīng)過遺傳操作后,運行遺傳算法工具箱,則可得出最佳適應(yīng)度曲線圖和最佳個體圖(圖2),得到最佳適應(yīng)度個體,將其進行解碼,作為該網(wǎng)絡(luò)的初始權(quán)值和閾值賦給BP神經(jīng)網(wǎng)絡(luò)。
3.4GA-BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練在MATLAB界面中編程語言,得到輸出向量和網(wǎng)絡(luò)均方差變化圖。訓(xùn)練結(jié)果與期望輸出見表7,BP網(wǎng)絡(luò)訓(xùn)練過程如圖3所示。從訓(xùn)練結(jié)果可以看出,該網(wǎng)絡(luò)的誤差值不超過10-5,滿足設(shè)定要求。用該網(wǎng)絡(luò)對實例樣本進行安全評價,得到結(jié)果為3.9956,對照安全評價輸出結(jié)果等級表為較安全,與目標值吻合。從而訓(xùn)練后的網(wǎng)絡(luò)穩(wěn)定性得到驗證,可以用于化工企業(yè)安全評價。
4結(jié)論
關(guān)鍵詞:分布式網(wǎng)絡(luò);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理
1 引言
隨著網(wǎng)絡(luò)的廣泛普及和應(yīng)用,政府、軍隊大量的機密文件和重要數(shù)據(jù),企業(yè)的商業(yè)秘密乃至個人信息都存儲在計算機中,一些不法之徒千方百計地“闖入”網(wǎng)絡(luò),竊取和破壞機密材料及個人信息。據(jù)專家分析,我國80%的網(wǎng)站是不安全的,40%以上的網(wǎng)站可以輕易的被入侵。網(wǎng)絡(luò)給人們生活帶來不愉快和尷尬的事例舉不勝舉:存儲在計算機中的信息不知不覺被刪除;在數(shù)據(jù)庫中的記錄不知道何時被修改;正在使用的計算機卻不知道何故突然“死機”等等諸如此類的安全威脅事件數(shù)不勝數(shù)。因此,網(wǎng)絡(luò)信息的安全性具有舉足輕重的作用。
本論文主要針對分布式網(wǎng)絡(luò)的信息安全展開分析討論,通過對分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計研究,以期找到可供借鑒的提高分布式網(wǎng)絡(luò)信息安全水平的防范手段或方法,并和廣大同行分享。
2 網(wǎng)絡(luò)安全管理技術(shù)概述
在當今這個信息化社會中,一方面,硬件平臺,操作系統(tǒng)平臺,應(yīng)用軟件等IT系統(tǒng)已變得越來越復(fù)雜和難以統(tǒng)一管理;另一方面,現(xiàn)代社會生活對網(wǎng)絡(luò)的高度依賴,使保障網(wǎng)絡(luò)的通暢、可靠就顯得尤其重要。這些都使得網(wǎng)絡(luò)管理技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中人們公認的關(guān)鍵技術(shù)。
網(wǎng)絡(luò)管理從功能上講一般包括配置管理、性能管理、安全管理、故障管理等。由于網(wǎng)絡(luò)安全對網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于更復(fù)雜、更嚴重,網(wǎng)絡(luò)安全管理還逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個重要分支,正受到業(yè)界及用戶的日益深切的廣泛關(guān)注。
目前,在網(wǎng)絡(luò)應(yīng)用的深入和技術(shù)頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、VPN、防病毒、身份認證、數(shù)據(jù)加密、安全審計等安全防護和管理系統(tǒng)在網(wǎng)絡(luò)中得到了廣泛應(yīng)用。雖然這些安全產(chǎn)品能夠在特定方面發(fā)揮一定的作用,但是這些產(chǎn)品大部分功能分散,各自為戰(zhàn),形成了相互沒有關(guān)聯(lián)的、隔離的“安全孤島”,各種安全產(chǎn)品彼此之間沒有有效的統(tǒng)一管理調(diào)度機制,不能互相支撐、協(xié)同工作,從而使安全產(chǎn)品的應(yīng)用效能無法得到充分的發(fā)揮。
從網(wǎng)絡(luò)安全管理員的角度來說,最直接的需求就是在一個統(tǒng)一的界面中監(jiān)視網(wǎng)絡(luò)中各種安全設(shè)備的運行狀態(tài),對產(chǎn)生的大量日志信息和報警信息進行統(tǒng)一匯總、分析和審計;同時在一個界面完成安全產(chǎn)品的升級、攻擊事件報警、響應(yīng)等功能。但是,一方面,由于現(xiàn)今網(wǎng)絡(luò)中的設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)數(shù)量眾多、構(gòu)成復(fù)雜,異構(gòu)性、差異性非常大,而且各自都具有自己的控制管理平臺、網(wǎng)絡(luò)管理員需要學(xué)習(xí)、了解不同平臺的使用及管理方法,并應(yīng)用這些管理控制平臺去管理網(wǎng)絡(luò)中的對象(設(shè)備、系統(tǒng)、用戶等),工作復(fù)雜度非常之大。另一方面,應(yīng)用系統(tǒng)是為業(yè)務(wù)服務(wù)的;企業(yè)內(nèi)的員工在整個業(yè)務(wù)處理過程中處于不同的工作崗位,其對應(yīng)用系統(tǒng)的使用權(quán)限也不盡相同,網(wǎng)絡(luò)管理員很難在各個不同的系統(tǒng)中保持用戶權(quán)限和控制策略的全局一致性。
另外,對大型網(wǎng)絡(luò)而言,管理與安全相關(guān)的事件變得越來越復(fù)雜。網(wǎng)絡(luò)管理員必須將各個設(shè)備、系統(tǒng)產(chǎn)生的事件、信息關(guān)聯(lián)起來進行分析,才能發(fā)現(xiàn)新的或更深層次的安全問題。因此,用戶的網(wǎng)絡(luò)管理需要建立一種新型的整體網(wǎng)絡(luò)安全管理解決方案—分布式網(wǎng)絡(luò)安全管理平臺來總體配置、調(diào)控整個網(wǎng)絡(luò)多層面、分布式的安全系統(tǒng),實現(xiàn)對各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計及多種安全功能模塊之間的互動,從而有效簡化網(wǎng)絡(luò)安全管理工作,提升網(wǎng)絡(luò)的安全水平和可控制性、可管理性,降低用戶的整體安全管理開銷。
3 分布式網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計
3.1 分布式網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)分析
隨著Internet技術(shù)的發(fā)展,現(xiàn)在的企業(yè)網(wǎng)絡(luò)規(guī)模在不斷擴大,設(shè)備物理分布變得十分復(fù)雜,許多企業(yè)都設(shè)有專門的網(wǎng)絡(luò)管理部門,來應(yīng)對企業(yè)網(wǎng)絡(luò)中可能出現(xiàn)的問題,以保證企業(yè)業(yè)務(wù)的正常運行。這些網(wǎng)絡(luò)管理部門的工作人員可能會根據(jù)需要分布在不同的業(yè)務(wù)部門中,甚至不同的城市中,這就導(dǎo)致原有的集中式網(wǎng)絡(luò)設(shè)備平臺管理已經(jīng)不能滿足企業(yè)的需求。復(fù)合式網(wǎng)絡(luò)安全管理平臺必須能夠?qū)崿F(xiàn)遠程、多用戶、分級式管理,同時要保證整個平臺系統(tǒng)的安全性。
針對以上需求,本網(wǎng)絡(luò)安全管理平臺設(shè)計為一種網(wǎng)絡(luò)遠程管理系統(tǒng),采取服務(wù)器和客戶端的模式。
(1) 分布式網(wǎng)絡(luò)安全管理平臺服務(wù)器端
分布式網(wǎng)絡(luò)安全管理平臺的服務(wù)器端是整個管理系統(tǒng)的核心,它位于要管理的企業(yè)網(wǎng)絡(luò)內(nèi)部的一臺服務(wù)器上,掌控著所有的網(wǎng)絡(luò)資源,對被管網(wǎng)絡(luò)資源的操作都是由平臺服務(wù)器端直接完成。
分布式網(wǎng)絡(luò)安全管理平臺的各種管理功能模塊是相對獨立存在的,而服務(wù)器端相當于一個大容器,當需要某種管理功能時,就可以通過一定的方法,將管理模塊動態(tài)加載到服務(wù)器端上。管理模塊完成管理的具體功能,管理模塊既可以單獨完成某種管理功能,也可以通過服務(wù)器端提供的服務(wù),協(xié)作完成特定的管理功能。服務(wù)器端還提供了一個公共的通信接口,通過這個通信接口,服務(wù)器端上的管理功能模塊就可以實現(xiàn)與客戶端的交互。
(2) 分布式網(wǎng)絡(luò)安全管理平臺客戶端
客戶端相當于一個個企業(yè)網(wǎng)絡(luò)的管理員,這些管理員己經(jīng)被分配給不同的用戶名和密碼,從而對應(yīng)于不同的平臺操作權(quán)限。管理員可以通過局域網(wǎng)或者Internet登陸到管理平臺的服務(wù)器。_服務(wù)器端實現(xiàn)網(wǎng)絡(luò)安全管理平臺的各種管理功能。每當有用戶登陸到服務(wù)器時,首先服務(wù)器端有一個用戶鑒別和權(quán)限判斷,通過后,根據(jù)權(quán)限不同的平臺管理信息被傳送回客戶端,客戶端將這些管理信息顯示出來。如果管理員在客戶端進行了某些操作,客戶端會將這些操作信息發(fā)送到服務(wù)器,服務(wù)器對用戶和操作進行權(quán)限鑒定,通過后,服務(wù)器就調(diào)用相應(yīng)的管理功能模塊來實現(xiàn)操作,并將結(jié)果返回給客戶端,客戶端進行相應(yīng)的顯示。
3.2 分布式網(wǎng)絡(luò)的安全策略管理設(shè)計
策略管理的目標是可以通過集中的方式高效處理大量防火墻的策略配 置問題。隨著網(wǎng)絡(luò)規(guī)模與業(yè)務(wù)模式的不斷增長變化,對IT基礎(chǔ)設(shè)施的全局統(tǒng)一管理越來越成為企業(yè)IT部門的重要職責(zé);策略的集中管理更有效的描述了全網(wǎng)設(shè)備的基本情況,便于設(shè)備間的協(xié)作、控制,能夠提高問題診斷能力,提高運營的可靠性;另一方面,也極大的減輕了管理員的工作強度,使其工作效率大幅度提高。
策略管理并不是系統(tǒng)中孤立的模塊,它與節(jié)點管理、權(quán)限管理有著緊密的聯(lián)系。由于節(jié)點管理將全網(wǎng)劃分為若干管理域,每個管理域中還有相應(yīng)的下級組織部門,因此策略管理首先與節(jié)點信息相聯(lián)系,這也就隱含了策略的層級配置管理。
另外,策略是由某個具有一定權(quán)限的管理員對某個管理域或設(shè)備制訂的,因此策略是否能定制成功需要調(diào)用權(quán)限管理中的功能加以判定,因此隱含了策略的可行性管理。全網(wǎng)策略被統(tǒng)一存儲,結(jié)合節(jié)點管理,策略存儲有它自身的結(jié)構(gòu)特點,這些屬于策略的存儲管理。
策略按照一定的時間、順序被部署到具體的設(shè)備上,無論策略是對管理域定制的,還是對設(shè)備制訂的,所有相關(guān)的策略最終都要被下發(fā)的設(shè)備中去,下發(fā)的方式能夠根據(jù)實際網(wǎng)絡(luò)拓撲的變化而做適應(yīng)性調(diào)整,這些屬于策略的管理。
3.3 分布式網(wǎng)絡(luò)信息安全構(gòu)建技術(shù)
(1) 構(gòu)筑入侵檢測系統(tǒng)(IDS)
不同于防火墻,IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備,沒有跨接在任何鏈路上,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應(yīng)當掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。
(2) 構(gòu)筑入侵防御(IPS)
入侵防御是一種主動的、積極的入侵防范、阻止系統(tǒng),它部署在網(wǎng)絡(luò)的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御系統(tǒng)在網(wǎng)絡(luò)邊界檢查到攻擊包的同時將其直接拋棄,則攻擊包將無法到達目標,從而可以從根本上避免黑客的攻擊。
(3) 采用郵件防病毒服務(wù)器
郵件防病毒服務(wù)器安裝位置一般是郵件服務(wù)器與防火墻之間。郵件防病毒軟件的作用:對來自INTERNTE的電子郵件進行檢測,根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件。
4 結(jié)語
在網(wǎng)絡(luò)技術(shù)十分發(fā)達的今天,任何一臺計算機都不可能孤立于網(wǎng)絡(luò)之外,因此對于網(wǎng)絡(luò)中的信息的安全防范就顯得十分重要。針對現(xiàn)在網(wǎng)絡(luò)規(guī)模越來越大的今天,分布式網(wǎng)絡(luò)由于信息傳輸應(yīng)用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對分布式網(wǎng)絡(luò)的信息安全管理系統(tǒng)展開了分析討論,相信通過不斷發(fā)展的網(wǎng)絡(luò)硬件安全技術(shù)和軟件加密技術(shù),再加上政府對信息安全的重視,分布式計算機網(wǎng)絡(luò)的信息安全是完全可以實現(xiàn)的。
論文關(guān)鍵詞:網(wǎng)絡(luò):安全技術(shù);管理措施
1前言
隨著企業(yè)科學(xué)管理水平的提高.企業(yè)管理信息化越來越受到企業(yè)的重視.企業(yè)ERP(企業(yè)資源計劃)系統(tǒng)、企業(yè)電子郵局系統(tǒng)和OA辦公自動化系統(tǒng)等先進的管理系統(tǒng)都進入企業(yè)并成為企業(yè)重要的綜合管理系統(tǒng)。企業(yè)局域網(wǎng)與國際互聯(lián)網(wǎng)(Internet)聯(lián)接,形成一個內(nèi)、外部信息共享的網(wǎng)絡(luò)平臺。這種連接方式使得企業(yè)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時.也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的種種危險。如病毒,黑客、垃圾郵件、流氓軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊如何更有效地保護企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為我們必須解決的一個重要問題
2網(wǎng)絡(luò)安全及影響網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)安全一直都是困擾企業(yè)用戶的一道難題.影響企業(yè)局域網(wǎng)的穩(wěn)定性和安全性的因素是多方面的,主要表現(xiàn)在以下幾個方面:
2.1外網(wǎng)安全。駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅
2.2內(nèi)網(wǎng)安全最新調(diào)查顯示.在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)對網(wǎng)絡(luò)的不正當使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)局域網(wǎng)絡(luò)資源、并引入病毒和間諜.或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密
2.3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大,逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享.又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作
3企業(yè)局域網(wǎng)安全方案
為了更好的解決上述問題.確保網(wǎng)絡(luò)信息的安全,企業(yè)應(yīng)建立完善的安全保障體系該體系應(yīng)包括網(wǎng)絡(luò)安全技術(shù)防護和網(wǎng)絡(luò)安全管理兩方面網(wǎng)絡(luò)安全技術(shù)防護主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要數(shù)據(jù)信息安全.網(wǎng)絡(luò)安全管理則側(cè)重于內(nèi)部人員操作使用的管理.采用網(wǎng)絡(luò)安全技術(shù)構(gòu)筑防御體系的同時,加強網(wǎng)絡(luò)安全管理這兩方面相互補充,缺一不可。
3.1企業(yè)的網(wǎng)絡(luò)安全技術(shù)防護體系
包括入侵檢測系統(tǒng)、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網(wǎng)絡(luò)行為監(jiān)控。
1)入侵檢測系統(tǒng)。在企業(yè)局域網(wǎng)中構(gòu)建一套完整立體的主動防御體系.需要同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)首先.在校園網(wǎng)比較重要的網(wǎng)段中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品.不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包.如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合.就會發(fā)出警報或者直接切斷網(wǎng)絡(luò)的連接其次.在重要的主機上(如W WW服務(wù)器,E—mail服務(wù)器,FTP服務(wù)器)安裝基于主機的入侵檢測系統(tǒng).對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審
計日志進行智能分析和判斷.如果其中主體活動十分可疑.入侵檢測系統(tǒng)就會采取相應(yīng)措施
2)安全訪問控制系統(tǒng)針對企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的安全威脅。必須建立整體的、卓有成效的安全策略.尤其是在訪問控制的管理與技術(shù)方面需要制定相應(yīng)的策略.以保護系統(tǒng)內(nèi)的各種資源不遭到自然與人為的破壞.維護局域網(wǎng)的安全
3)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題的方法是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具.利用優(yōu)化系統(tǒng)配置和打補丁等各種方式.最大可能地彌補最新的安全漏洞并消除安全隱患.
4)病毒防護系統(tǒng)。企業(yè)局域網(wǎng)防病毒工作主要包括預(yù)防計算機病毒侵入、檢測侵入系統(tǒng)的計算機病毒、定位已侵入系統(tǒng)的計算機病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。校園網(wǎng)需建立統(tǒng)一集中的病毒防范體系.特別是針對重要的網(wǎng)段和服務(wù)器.要進行徹底堵截.
5)防火墻系統(tǒng)。防火墻在企業(yè)局域網(wǎng)與Internet之間執(zhí)行訪問控制策略.決定哪些內(nèi)部站點允許外界訪問和允許訪問外界.從而保護內(nèi)部網(wǎng)免受非法用戶的入侵在外部路由器上設(shè)置一個包過濾防火墻,它只讓與屏蔽子網(wǎng)中的服務(wù)器、E—mail服務(wù)器、信息服務(wù)器有關(guān)的數(shù)據(jù)包通過。其他所有類型的數(shù)據(jù)包都被丟棄.從而把外界Internet對屏蔽子網(wǎng)的訪問限制在特定的服務(wù)器的范圍內(nèi).
6)接入認證系統(tǒng)對計算機終端實行實名制度.固定IP、綁定MAC地址.結(jié)合企業(yè)門戶、辦公系統(tǒng)等管理業(yè)務(wù)系統(tǒng)的實施實行機終端接入準入制度.未經(jīng)過安全認證的計算機不能接人企業(yè)局域網(wǎng)絡(luò)
7)電子文檔保護系統(tǒng)。企業(yè)重要信息整個生命周期(信息過程、信息操作過程、信息傳輸過程、信息存儲過程、信息銷毀過程)得到全程透明加密保護,保證只用合法的用戶才能通過認證、授權(quán)訪問涉密文件。非法用戶無法在信息的產(chǎn)生到銷毀過程的任何環(huán)節(jié)竊取、拷貝、打印、另存、涉密文件,阻斷一切可能的泄密路徑.有效防護各種主動、被動泄密事件的發(fā)生。
8)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)網(wǎng)絡(luò)行為監(jiān)控是指系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)安全要求和企業(yè)的有關(guān)行政管理規(guī)定.對內(nèi)網(wǎng)用戶進行管理的一種技術(shù)手段.主要用于監(jiān)控企業(yè)內(nèi)部敏感文件訪問情況和敏感文件操作情況以及禁止工作人員在上班時間上網(wǎng)聊天、玩游戲、瀏覽違禁網(wǎng)站等。
3.2企業(yè)局域網(wǎng)安全管理措施
有了先進完善的網(wǎng)絡(luò)安全技術(shù)保護體系.如果日常的安全管理跟不上.同樣也不能保證企業(yè)網(wǎng)絡(luò)的“高枕無憂”:可以說規(guī)劃制定一套完整的安全管理措施是網(wǎng)絡(luò)安全技術(shù)保護體系的補充.它會幫助校正企業(yè)網(wǎng)絡(luò)管理上的一些常見但是有威脅性的漏洞。它主要包括以下內(nèi)容: 1)隨著企業(yè)局域網(wǎng)的不斷應(yīng)用.應(yīng)當同步規(guī)劃網(wǎng)絡(luò)安全體系的技術(shù)更新同時.為了避免在緊急情況下.預(yù)先制定的安全體系無法發(fā)揮作用時.應(yīng)考慮采用何種應(yīng)急方案的問題應(yīng)急方案應(yīng)該事先制訂并貫徹到企業(yè)各部門.事先做好多級的安全響應(yīng)方案.才能在企業(yè)網(wǎng)絡(luò)遇到毀滅性破壞時將損失降低到最低.并能盡快恢復(fù)網(wǎng)絡(luò)到正常狀態(tài);2)扎實做好網(wǎng)絡(luò)安全的基礎(chǔ)防護工作:①服務(wù)器應(yīng)當安裝干凈的操作系統(tǒng).不需要的服務(wù)一律不裝.同時要重視網(wǎng)絡(luò)終端的安全配置.防止它們成為黑客和病毒的跳板:②遵循“用戶權(quán)限最小化”的網(wǎng)絡(luò)配置原則.設(shè)置重要文件的訪問權(quán)限.關(guān)閉不必要的端口,專用主機只開專用功能等;③下載安裝最新的操作系統(tǒng)、應(yīng)用軟件和升級補丁對系統(tǒng)進行完整性檢查.定期檢查用戶的脆弱口令.并通知用戶盡快修改:④制定完整的系統(tǒng)數(shù)據(jù)備份計劃.并嚴格實施,確保系統(tǒng)數(shù)據(jù)庫的可靠性和完整性:3)對各類惡意攻擊要有積極的響應(yīng)措施制定詳盡的入侵應(yīng)急措施以及匯報制度。發(fā)現(xiàn)入侵跡象.盡力定位入侵者的位置,如有必要。斷開網(wǎng)絡(luò)連接在服務(wù)主機不能繼續(xù)服務(wù)的情況下.應(yīng)該有能力從備份磁盤中恢復(fù)服務(wù)到備份主機上; 4)建立完善的日志監(jiān)控措施,加強日志記錄.以報告網(wǎng)絡(luò)的異常以及跟蹤入侵者的蹤跡;(5)制定并貫徹安全管理制度。如制定計算機安全管理制度、機房管理制度、管理員網(wǎng)絡(luò)維護管理制度等.約束普通用戶等網(wǎng)絡(luò)訪問者.督促管理員很好地完成自身的工作,增強大家的網(wǎng)絡(luò)安全意識.防止因粗心大意或不貫徹制度而導(dǎo)致安全事故.尤其要注意制度的監(jiān)督貫徹執(zhí)行.否則就形同虛設(shè)。
關(guān)鍵詞:計算機教學(xué)資源網(wǎng)絡(luò);網(wǎng)絡(luò)安全;SSL VPN
中圖分類號:TP258.6文獻標識碼:A文章編號:1007-9599 (2012) 03-0000-02
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網(wǎng)計算機教學(xué)系統(tǒng)面臨的安全風(fēng)險分析
隨著國家教育事業(yè)的快速發(fā)展以及IT技術(shù)的迅猛發(fā)展,人們的生產(chǎn)、生活方式發(fā)生了翻天覆地的變化,傳統(tǒng)的教室內(nèi)黑板面授教學(xué)模式已經(jīng)不能完全滿足當代的教學(xué)工作,必須有一種新的教學(xué)方式來彌補傳統(tǒng)教學(xué)模式單一的不足,計算機教學(xué)應(yīng)運而生,特別是計算機多媒體教學(xué)。計算機教學(xué)方式中,學(xué)習(xí)的人可以隨時隨地的學(xué)習(xí),不受時間和空間的限制,并且具有學(xué)習(xí)成本低廉等一系列優(yōu)點,因此計算機教學(xué)受到越來越多的歡迎。
為方便教師和學(xué)生等對教學(xué)資源的外部訪問,存儲有教學(xué)資源的網(wǎng)絡(luò)大多與互聯(lián)網(wǎng)相連,難免會受到來自于網(wǎng)絡(luò)內(nèi)部和外部的攻擊,計算機網(wǎng)絡(luò)的大多設(shè)備或軟件為國外生產(chǎn),其中可能存在一些后門程序,操作系統(tǒng)、應(yīng)用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用,計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網(wǎng)站的泛濫讓校園網(wǎng)的安全形式不容樂觀。
校園網(wǎng)中,用戶有學(xué)生、教師、外部學(xué)習(xí)者等主體,教學(xué)資源的訪問主體的身份不好控制、資源訪問控制困難,很難讓指定的用戶只能訪問指定的資源,不能訪問其它非授權(quán)訪問資源、用戶對資源的訪問不具有抗抵賴等問題。
校園網(wǎng)是學(xué)校的門戶,是學(xué)校的形象窗口,是學(xué)校賴以生存的生產(chǎn)資料的一部分,如果遭到惡意攻擊,導(dǎo)致不能正常對外部提供服務(wù),將對學(xué)校造成嚴重損失。
二、SSL VPN簡介
VPN(Virtual Private Network虛擬專用網(wǎng)絡(luò))[1]是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺(如internet)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過對數(shù)據(jù)包進行加密和封包,在公共網(wǎng)絡(luò)基礎(chǔ)平臺上構(gòu)建出安全、可靠的專用隧道,使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶使用VPN技術(shù),不需要建設(shè)自己的專用網(wǎng)絡(luò),節(jié)省投資,使用便捷,VPN技術(shù)因而獲得了廣泛的應(yīng)用。
VPN技術(shù)發(fā)展至今,產(chǎn)生了多個種類,有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應(yīng)用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標簽轉(zhuǎn)發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網(wǎng)絡(luò)(如internet)接入業(yè)務(wù)網(wǎng)絡(luò),在遠程接入上應(yīng)用廣泛。
SSL是一個獨立于平臺并獨立于應(yīng)用的協(xié)議,用戶保護基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中,SSL在傳輸層之上,應(yīng)用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術(shù)幫助用戶使用標準的Web瀏覽器就可以通過公共網(wǎng)絡(luò)平臺接入所要訪問的遠程資源。在用戶的計算機上,不需要安裝客戶端軟件及進行復(fù)雜的配置,大大方便了用戶,僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業(yè)及政府提高效率也帶來了方便。
用戶所要訪問的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部,在此情況下,需要部署SSL VPN網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣,介于服務(wù)器與遠程用戶之間,控制二者的通信。如下圖所示:
SSL VPN網(wǎng)關(guān)除了作為隧道的終點,還要執(zhí)行以下三種功能:,應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)[2]。
1.:它將來自遠端瀏覽器的頁面請求(采用
關(guān)鍵詞:VPN網(wǎng)絡(luò),視頻監(jiān)控系統(tǒng)
背景需求分析
近年來,數(shù)字視頻監(jiān)控系統(tǒng)以其控制靈活、信息容量大、存儲和檢索便利等優(yōu)點逐步取代了傳統(tǒng)的模擬視頻監(jiān)控系統(tǒng),被廣泛應(yīng)用于監(jiān)控、安防、質(zhì)檢等方面。隨著計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展、普及和網(wǎng)絡(luò)帶寬的迅速擴大,視頻監(jiān)控已經(jīng)發(fā)展到了網(wǎng)絡(luò)多媒體監(jiān)控系統(tǒng),即將數(shù)字視頻監(jiān)控技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合,在現(xiàn)場監(jiān)控主機無人職守情況下,實現(xiàn)局域網(wǎng)或Internet遠程監(jiān)控的功能。如此一來,將監(jiān)控信息從監(jiān)控中心釋放出來,從而提高了治理水平和效率。但假如遠程訪問視頻監(jiān)控服務(wù)技術(shù)功能不足,則無法保證監(jiān)控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術(shù)的出現(xiàn),正好解決了該問題,實現(xiàn)了遠程視頻監(jiān)控信息安全便利的傳輸。
經(jīng)調(diào)查發(fā)現(xiàn),實現(xiàn)VPN遠程視頻監(jiān)控系統(tǒng)較重視的需求為:
虛擬私有網(wǎng)絡(luò)VPN安全傳輸:完整的VPN網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng),最重要的需求是要讓各分支外點及本地局域網(wǎng)的監(jiān)控視頻能安全、實時的傳送到總公司監(jiān)控中心的治理服務(wù)器,統(tǒng)一作企業(yè)安全防護及報警。視頻監(jiān)控信息若不作加密處理就直接通過公眾互聯(lián)網(wǎng)進行傳送,可能會造成企業(yè)內(nèi)部機密外露等問題。因此,需要建置完善的VPN傳輸,不僅可節(jié)約高昂的專線成本,還能得到安全穩(wěn)定的傳輸質(zhì)量。
穩(wěn)定良好的寬帶接入服務(wù):將視頻監(jiān)控信息集成到VPN中,雖然可以確保得到安全穩(wěn)定的聯(lián)機,但VPN線路還是建立在公眾互聯(lián)網(wǎng)上,一但接入的寬帶線路不穩(wěn)定輕易掉線,也連帶影響到VPN的聯(lián)機質(zhì)量。穩(wěn)定良好的的寬帶接入服務(wù)或于運營商掉線斷網(wǎng)時可以實時提供備援的支持是必要的。
帶寬增級同時也能節(jié)省成本:多媒體視頻監(jiān)控系統(tǒng)包括視頻、音頻及相關(guān)數(shù)據(jù)的傳送,若要得到實時、順暢的傳送質(zhì)量,需要相當大的帶寬才可達成,因此首先就面臨到帶寬的增級。如此就會導(dǎo)致線路成本的增加及可能的線路添加,帶來成本及治理上的諸多問題。這時,兼顧成本的考慮下,適當?shù)木€路集成整合成為企業(yè)的需求。
網(wǎng)絡(luò)安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業(yè)網(wǎng)絡(luò)安全的潛危機。一旦寬帶接入受到惡意攻擊影響網(wǎng)絡(luò)正常運作,輕則讓監(jiān)控信息傳輸效率大減,嚴重時發(fā)生整個網(wǎng)絡(luò)斷網(wǎng),造成視頻監(jiān)控系統(tǒng)停擺的窘境。若是多購置防火墻,等于是增加成本,因此路由器中需要有適當?shù)姆阑饓δ?,以進行網(wǎng)絡(luò)安全的防護。
內(nèi)部上網(wǎng)行為管控避免影響重要傳輸:多數(shù)員工在上班時間通過BT等下載音樂電影,或是聊QQ、MSN等實時交流工具,不僅影響工作效率,也很大可能會造成帶寬被占用、影響監(jiān)控信息傳送速度降低影響監(jiān)控實時反應(yīng),更嚴重是可能隨之而來的病毒、蠕蟲和木馬的威脅。有效而可靠的管制內(nèi)網(wǎng)用戶使用特定軟件是很必要的。
方便的配置及治理:當今講求效率的時代,路由器也需要提供簡易配置好治理的配置接口設(shè)計,讓網(wǎng)管由繁復(fù)工作中解放。另外VPN客戶端大多不配備專業(yè)的網(wǎng)管,很多指令行的路由器給設(shè)置帶來了困擾,而想要對路由器進行任一個操作,都必須找來專業(yè)的人員,這又為實時反應(yīng)帶來了變量。因此路由器的配置,最好使用直觀的配置接口及簡化的配置設(shè)計,即使不是是專門的網(wǎng)管人員經(jīng)簡單的培訓(xùn)后也可輕易上手,節(jié)省不必要的時間浪費。
VPN遠程視頻監(jiān)控應(yīng)用
依據(jù)企業(yè)遠程VPN視頻監(jiān)控系統(tǒng)服務(wù)需求及以上組網(wǎng)分析,具有高度性價比優(yōu)勢的多WAN VPN防火墻廠商俠諾科技,為遠程VPN視頻監(jiān)控系統(tǒng)提出一完整的組網(wǎng)方案。
方案功能特點
多WAN端口接入?yún)R聚帶寬:Qno俠諾多WAN產(chǎn)品支持帶寬匯聚、自動線路備援等功能,多WAN口接入方式,讓企業(yè)有更大和彈性配置空間??芍С侄嗑€路多ISP接入,不僅可以匯聚帶寬以節(jié)省成本,而且還可以實現(xiàn)線路備援、數(shù)據(jù)分流、負載均衡等效果。當一條線路掉線,會自動改用另一個WAN連接端口的線路連接,確保VPN聯(lián)機不掉線,避免掉線時造成無形的損失與傷害。
強效防火墻有效防病毒攻擊:VPN防火墻,具備主動式封包檢測功能,只需單向啟動各式黑客攻擊、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內(nèi)外網(wǎng)惡意攻擊,確保企業(yè)網(wǎng)絡(luò)安全,降低網(wǎng)絡(luò)受攻擊帶來的損失。具有內(nèi)建的防制ARP功能,憑借自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線??纱钆銲P /MAC雙向綁定,在路由器端以內(nèi)網(wǎng)PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。論文參考網(wǎng)。
QoS帶寬治理優(yōu)化帶寬使用:視頻監(jiān)控多媒體傳輸需要有穩(wěn)定的帶寬,而少數(shù)BT下載等惡意占用帶寬造成網(wǎng)絡(luò)卡,經(jīng)常會造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個時段采取不同的帶寬治理政策,依據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境、時段,自由選擇管控方式,達到帶寬利用率最佳化的目的。該功能包含有傳統(tǒng)QoS帶寬管控及智能SmartQoS治理,可依據(jù)聯(lián)機數(shù)、要害字、最大或最小帶寬等方式進行管控,也可啟動動態(tài)智能治理,對于非凡的應(yīng)用或用戶進行非凡限制。這個功能并不禁止特定的應(yīng)用,只是加以限制,從而更彈性的提供帶寬服務(wù)。
輕松實現(xiàn)了中心管控:同時治理外點多條VPN接入聯(lián)機,對于大部分網(wǎng)管來說,是非常棘手的問題,尤其是必須反復(fù)留心查詢各點聯(lián)機狀況、帶寬使用率、視頻監(jiān)控等信息,更是耗費許多時間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能,可一次看清全部VPN聯(lián)機的情況,再也不必一一地檢查聯(lián)機的狀況。若需進一步協(xié)助設(shè)定或排解問題,網(wǎng)管也可直接進入分點的治理接口查看或進行設(shè)定治理,安全又有效率。
簡易又方便的系統(tǒng)治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設(shè)定參數(shù)與組態(tài)清楚明確、簡單易懂,輕松完成網(wǎng)絡(luò)設(shè)置。還支持強大的系統(tǒng)日志功能,可通過對日志治理和查找,即時監(jiān)控系統(tǒng)狀態(tài)及內(nèi)外流量,進而作對應(yīng)的配置,確保內(nèi)網(wǎng)運作無誤。
支持多VPN協(xié)議外點靈活選擇:Qno俠諾高階產(chǎn)品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機方式,可滿足外點多種VPN彈性配置需求,實現(xiàn)總部中心端與各分點建構(gòu)實時、穩(wěn)定、安全的互連VPN網(wǎng)絡(luò)系統(tǒng)。由此可見,多通道多協(xié)議的特點完全能勝任企業(yè)擴展及網(wǎng)絡(luò)視頻布點,而且外點可根據(jù)實際規(guī)劃與應(yīng)用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設(shè)定:俠諾SmartLinkVPN快速聯(lián)機,簡化20多復(fù)雜設(shè)置步驟,將大部份的設(shè)定參數(shù)的工作交由VPN網(wǎng)關(guān)自動完成,用戶只需要輸中心端服務(wù)器IP地址、用戶名、密碼三個參數(shù),即可完成超快速VPN連機設(shè)定。
策略路由解決VPN跨網(wǎng)瓶頸:由于國內(nèi)長期存在電信、網(wǎng)通互連不互通的問題,許多企業(yè)建立VPN時會發(fā)生跨ISP網(wǎng)絡(luò)時帶寬不足,導(dǎo)致VPN不穩(wěn)定或易于掉線。俠諾多WAN口的設(shè)計,可搭配策略路由的設(shè)定,讓不同ISP外點可直接連到對應(yīng)VPN服務(wù)器入口,實現(xiàn)“電信走電信、網(wǎng)通走網(wǎng)通”,從而有效解決跨網(wǎng)受限問題。
指定路由強化網(wǎng)絡(luò)穩(wěn)定性:另外一方面,多WAN口的設(shè)計,也提供了訪問網(wǎng)絡(luò)快速穩(wěn)定的途徑。支持指定路由功能,可通過協(xié)議綁定,將特定的服務(wù)或應(yīng)用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進一步保障網(wǎng)絡(luò)的穩(wěn)定性。也可將VPN綁定特定端口,保證VPN通道的穩(wěn)定流暢。
總結(jié)
通過以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產(chǎn)品多項功能,都體現(xiàn)了俠諾簡單、安全、快速的“3S”研發(fā)理念和貼近用戶需求的專心,幫助企業(yè)以較少的成本、時間與精力,達成高效、快速、安全的運營效能。非凡對于遠程VPN視頻監(jiān)控服務(wù)來說,在帶寬、安全性穩(wěn)定性等多方面都有較高要求,VPN遠程視頻監(jiān)控解決方案,可有效保持企業(yè)總部和分支機構(gòu)間的隧道暢通,進而保證其服務(wù)的穩(wěn)定性和可靠度,提高安全監(jiān)控的視頻質(zhì)量,當異常事件發(fā)生時,可以在第一時間進行處理。論文參考網(wǎng)。可謂是最省成本、且最方便的解決途徑。
春節(jié)假期,偶然在街上碰到大學(xué)同學(xué)小張。多年不見話題就多了,在了解到本人現(xiàn)在所從事的是網(wǎng)絡(luò)安全技術(shù)方面的工作后,他像是碰到了大救星,一個勁兒要請客吃飯。原來,他利用這幾年打工的儲蓄獨立創(chuàng)業(yè),加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網(wǎng)絡(luò)。年前,他便按照要求進行了統(tǒng)一購買了VPN設(shè)備,但是由于其設(shè)置和應(yīng)用過于復(fù)雜,對于作為網(wǎng)絡(luò)“外行”的人來說,實在是有點難以應(yīng)付。此外,因為金融危機的影響,為了壓縮人力資源成本,他暫時還沒有聘請專業(yè)網(wǎng)管的計劃,正為這事上火。論文參考網(wǎng)。
其實,這種問題在國內(nèi)數(shù)萬家中小連鎖企業(yè)的經(jīng)營治理過程中絕不是首例。產(chǎn)生這種矛盾的原因有兩點:專業(yè)化的高端設(shè)備滿足了企業(yè)的應(yīng)用需求,但是一般的兼職網(wǎng)管無法應(yīng)付其治理和維護;平民化的低端設(shè)備,使用和治理倒是比較簡單,卻達不到企業(yè)信息化治理的全面需求。VPN網(wǎng)絡(luò)是未來企業(yè)發(fā)展的大勢所趨,但當務(wù)之急是為企業(yè)提供最為合適的設(shè)備,即要能兼具安全與簡便的基本特性。安全無須多說,簡便性就成了體現(xiàn)產(chǎn)品技術(shù)水平的最大差異化,也同樣彰顯了企業(yè)客戶在應(yīng)用上的突出需求之一。事實證實,其簡便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場效果。
作為在SMB寬帶接入和VPN應(yīng)用領(lǐng)域耕耘多年的專業(yè)廠商,俠諾科技每年都會其創(chuàng)新的產(chǎn)品及應(yīng)用功能。但是無論怎樣創(chuàng)新變化,簡單、安全、快速的“3S”研發(fā)理念都始終貫穿于其系列產(chǎn)品線。其中,簡便(即Simple)被放在首位——“俠諾極簡風(fēng),治理一鍵通”。 俠諾的極簡風(fēng)格,是要求專心體察用戶的細致需求,將最復(fù)雜的技術(shù)以最簡單的方式呈現(xiàn)給用戶,讓企業(yè)的網(wǎng)管員用最少的時間與精力,達到較為復(fù)雜的配置與治理需求,幫助企業(yè)有效的增進運營效能。事實證實,其簡便的應(yīng)用特性非常貼近中小企業(yè)的需求現(xiàn)狀,得到了較好的市場效果。
1 移動互聯(lián)網(wǎng)的安全現(xiàn)狀
自由開放的移動網(wǎng)絡(luò)帶來巨大信息量的同時,也給運營商帶來了業(yè)務(wù)運營成本的增加,給信息的監(jiān)管帶來了沉重的壓力。同時使用戶面臨著經(jīng)濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯(lián)網(wǎng)由于智能終端的多樣性,用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時代很不相同,使得移動網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別,移動互聯(lián)網(wǎng)的安全威脅要遠甚于傳統(tǒng)的互聯(lián)網(wǎng)。
⑴移動互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣,部分業(yè)務(wù)還可以由第三方的終端用戶直接運營,特別是移動互聯(lián)網(wǎng)引入了眾多手機銀行、移動辦公、移動定位和視頻監(jiān)控等業(yè)務(wù),雖然豐富了手機應(yīng)用,同時也帶來更多安全隱患。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題。
⑵移動互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò),其核心是IP化,由于IP網(wǎng)絡(luò)本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面,存在進行非法接入網(wǎng)絡(luò),對數(shù)據(jù)進行機密性破壞、完整性破壞;進行拒絕服務(wù)攻擊,利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負荷過重等等,還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進行攻擊。
⑶隨著通信技術(shù)的進步,終端也越來越智能化,內(nèi)存和芯片處理能力也逐漸增強,終端上也出現(xiàn)了操作系統(tǒng)并逐步開放。隨著智能終端的出現(xiàn),也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統(tǒng)修改終端中存在的信息,產(chǎn)生病毒和惡意代碼進行破壞。
綜上所述,移動互聯(lián)網(wǎng)面臨來自三部分安全威脅:業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動終端的安全威脅。
2 移動互聯(lián)網(wǎng)安全應(yīng)對策略
2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護管理辦法》第11號政府令,對網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求??蛻粜枨蠛驼邔?dǎo)向成為了移動互聯(lián)網(wǎng)安全問題的新挑戰(zhàn),運營商需要緊緊圍繞“業(yè)務(wù)”中心,全方位多層次地部署安全策略,并有針對性地進行安全加固,才能打造出綠色、安全、和諧的移動互聯(lián)網(wǎng)世界。
2.1 業(yè)務(wù)安全
移動互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類:第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動互聯(lián)網(wǎng)上的復(fù)制;第二類是移動通信業(yè)務(wù)在移動互聯(lián)網(wǎng)上的移植,第三類是移動通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合,適配移動互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全:
⑴提升認證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實現(xiàn)對業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配,能夠?qū)崿F(xiàn)用戶賬號的分級管理和分級授權(quán)。針對業(yè)務(wù)安全要求較高的應(yīng)用,應(yīng)提供業(yè)務(wù)層的安全認證方式,如雙因素身份認證,通過動態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級,防止機密數(shù)據(jù)、核心資源被非法訪問。
⑵健全安全審計能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計模塊,對相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫操作等處理行為進行分析和記錄,實施安全設(shè)計策略,并提供事后行為回放和多種審計統(tǒng)計報表。
⑶加強漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng),定期對主機、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業(yè)務(wù)系統(tǒng)可靠運行。
⑷增強對于新業(yè)務(wù)的檢查和控制,尤其是針對于“移動商店”這種運營模式,應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步,通過SDK和業(yè)務(wù)上線要求等將安全因素植入。
2.2 網(wǎng)絡(luò)安全
移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分:接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動通信網(wǎng),由終端設(shè)備、基站、移動通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成;后者主要涉及路由器、交換機和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。
⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動互聯(lián)網(wǎng)的接入方式可分為移動通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對移動通信接入網(wǎng)安全,3G以及未來LTE技術(shù)的安全保護機制有比較全面的考慮,3G網(wǎng)絡(luò)的無線空口接入采用雙向認證鑒權(quán),無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯(lián)網(wǎng)的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協(xié)議的安全缺陷。針對需重點防護的用戶,可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò),實現(xiàn)內(nèi)網(wǎng)的安全接入。
⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1)實施分域安全管理,根據(jù)風(fēng)險級別和業(yè)務(wù)差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統(tǒng)來完成相應(yīng)的安全加固。移動互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2)在關(guān)鍵安全域內(nèi)部署人侵檢測和防御系統(tǒng),監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作,判別非法進入網(wǎng)絡(luò)和破壞系統(tǒng)運行的惡意行為,提供主動化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問等惡意操作時,系統(tǒng)會及時作出響應(yīng),包括斷開網(wǎng)絡(luò)連接、記錄用戶標識和報警等。3)通過協(xié)議識別,做好流量監(jiān)測。依據(jù)控制策略控制流量,進行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護系統(tǒng)上,進行數(shù)據(jù)篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4)加強網(wǎng)絡(luò)和設(shè)備管理,在各網(wǎng)絡(luò)節(jié)點安裝防火墻和殺毒系統(tǒng)實現(xiàn)更嚴格的訪問控制,以防止非法侵人,針對關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護等加固措施。
2.3 終端安全
移動互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護手段、移動終端的保密管理、終端的準入控制等。
⑴加強移動智能終端進網(wǎng)管理。移動通信終端生產(chǎn)企業(yè)在申請入網(wǎng)許可時,要對預(yù)裝應(yīng)用軟件及提供者 進行說明,而且生產(chǎn)企業(yè)不得在移動終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個人信息的軟件,也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。
⑵不斷提高移動互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測處置能力,建設(shè)完善相關(guān)技術(shù)平臺。移動通信運營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能,將重要數(shù)據(jù)備份到遠程專用服務(wù)器,當用戶的手機丟失時可通過發(fā)送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內(nèi)存卡文件等資料,從而最大限度避免手機用戶的隱私泄露。
⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法,由指定研究機構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞信息,定期官方的智能終端漏洞信息,建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導(dǎo)下及時升級操作系統(tǒng)、進行安全配置。
3 從產(chǎn)業(yè)鏈角度保障移動互聯(lián)網(wǎng)安全
對于移動互聯(lián)網(wǎng)的安全保障,需要從整體產(chǎn)業(yè)鏈的角度來看待,需要立法機關(guān)、政府相關(guān)監(jiān)管部門、通信運營商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價值鏈各方共同努力來實現(xiàn)。
⑴立法機關(guān)要緊跟移動互聯(lián)網(wǎng)的發(fā)展趨勢,加快立法調(diào)研工作,在基于實踐和借鑒他國優(yōu)秀經(jīng)驗的基礎(chǔ)上,盡快出臺國家層面的移動互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù),明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時,要加大執(zhí)法力度,嚴專業(yè)提供論文寫作和寫作論文的服務(wù),歡迎光臨dylw.net厲打擊移動互聯(lián)網(wǎng)信息安全違法犯罪行為,保護這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。
⑵進一步加大移動互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國家層面建立一個強有力的移動互聯(lián)網(wǎng)監(jiān)管專門機構(gòu),統(tǒng)籌規(guī)劃,綜合治理,形成“事前綜合防范、事中有效監(jiān)測、事后及時溯源”的綜合監(jiān)管和應(yīng)急處置工作體系;要在國家層面建立移動互聯(lián)網(wǎng)安全認證和準入制度,形成常態(tài)化的信息安全評估機制,進行統(tǒng)一規(guī)范的信息安全評估、審核和認證;要建立網(wǎng)絡(luò)運營商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度,以經(jīng)濟手段促進其改善和彌補網(wǎng)絡(luò)運營模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。
⑶運營商、網(wǎng)絡(luò)安全供應(yīng)商、手機制造商等廠商,要從移動互聯(lián)網(wǎng)整體建設(shè)的各個層面出發(fā),分析存在的各種安全風(fēng)險,聯(lián)合建立一個科學(xué)的、全局的、可擴展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護措施,保護各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全,并對安全產(chǎn)品進行統(tǒng)一的管理,包括配置各相關(guān)安全產(chǎn)品的安全策略、維護相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng),做到防患于未然。移動互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強設(shè)備安全性能研究,利用集成防火墻或其他技術(shù)保障設(shè)備安全。
⑷內(nèi)容提供商要與運營商合作,為用戶提供加密級業(yè)務(wù),并把好內(nèi)容安全之源,采用多種技術(shù)對不合法內(nèi)容和垃圾信息進行過濾。軟件提供商要根據(jù)用戶的需求變化,提供整合的安全技術(shù)產(chǎn)品,要提高軟件技術(shù)研發(fā)水平,由單一功能的產(chǎn)品防護向集中統(tǒng)一管理的產(chǎn)品類型過渡,不斷提高安全防御技術(shù)。
⑸普通用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新,對敏感數(shù)據(jù)采取防護隔離措施和相關(guān)備份策略,不訪問問題站點、不下載不健康內(nèi)容。
4 結(jié)束語
解決移動互聯(lián)網(wǎng)安全問題是一個復(fù)雜的系統(tǒng)工程,在不斷提高軟、硬件技術(shù)水平的同時,應(yīng)當加快互聯(lián)網(wǎng)相關(guān)標準、法規(guī)建設(shè)步伐,加大對互聯(lián)網(wǎng)運營監(jiān)管力度,全社會共同參與進行綜合防范,移動互聯(lián)網(wǎng)的安全才會有所保障。
[參考文獻]
【論文摘要】國民經(jīng)濟和社會信息化的發(fā)展,進一步帶動了工業(yè)化發(fā)展.在電子信息系統(tǒng)建設(shè)的過程中,如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求,針對需求提出了相應(yīng)的解決辦法。
1.企業(yè)電子辦公系統(tǒng)中的安全需求
電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠,具體表現(xiàn)在以下幾個方面:信息的安全保密性,滿足信息在存儲、傳輸過程中的安全保密性需求;系統(tǒng)的安全可靠性,確保整個電子政務(wù)系統(tǒng)的安全可靠;行為的不可抵賴性,保證在所有業(yè)務(wù)處理過程中,辦公人員行為和系統(tǒng)行為的不可抵賴,以便審計和監(jiān)督;實體的可鑒別性,是實現(xiàn)監(jiān)管及其他方面需求的必要條件;對象的可授權(quán)性,針對政務(wù)工作的特點,要求具有對對象靈活授權(quán)的功能,包括用戶對用戶的授權(quán)、系統(tǒng)對用戶的授權(quán)、系統(tǒng)對系統(tǒng)的授權(quán)等;信息的完整性,保證信息存儲和傳輸過程中不被篡改和破壞。
2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)
針對安全需求,在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù),包括安全技術(shù)和密碼技術(shù),對涉及到核心業(yè)務(wù)的網(wǎng),還要采用物理隔離技術(shù)進行保護。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,對信息系統(tǒng)起著不同的安全保護作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測;系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議;應(yīng)用層安全技術(shù)主要涉及認證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。
從網(wǎng)絡(luò)安全角度上講,它們屬于不同的網(wǎng)絡(luò)安全域,因此,在各級網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻,并實施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過,同時將安全策略不允許的用戶和數(shù)據(jù)包隔斷,達到保護高安全等級的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點主要是無法防止來自防火墻內(nèi)部的攻擊。
3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)
企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(網(wǎng))。隨著各類機構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展,許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移,使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢。互聯(lián)網(wǎng)潛在的不安全因素,造成人們對內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂,所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性,如采用內(nèi)外網(wǎng)的物理隔離方法,將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開,將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。
3.1隔離技術(shù),雙網(wǎng)機系統(tǒng)。
3.2隔離技術(shù),基于雙網(wǎng)線的安全隔離卡技術(shù)。
3.3隔離技術(shù),數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。
3.4隔離技術(shù),隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān),使內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題,往往成為網(wǎng)絡(luò)的瓶頸。
3.5隔離技術(shù),安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機制,來實現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問題,并且在網(wǎng)絡(luò)隔離的同時實現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當前隔離技術(shù)的發(fā)展方向。
4.密碼技術(shù)
密碼技術(shù)是信息交換安全的基礎(chǔ),通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實現(xiàn)了數(shù)據(jù)機密性、數(shù)據(jù)完整性、不可否認性和用戶身份真實性等安全機制,從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。
加密技術(shù)的原理可用下面的公式表示。
加密:E k1(M)一C
解密:D k2(C)一M
其中E為加密函數(shù);M為明文;K為密鑰;D為解密函數(shù);C為密文。按照密鑰的不同形式,密碼技術(shù)可以分為三類:對稱密碼算法、非對稱密碼算法和單向散列函數(shù)。
在對稱密碼算法中,使用單一密鑰來加密和解密數(shù)據(jù)。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點是計算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密,為保障較高的安全性,需要經(jīng)常更換密鑰。因此,密鑰的分發(fā)與管理是其最薄弱且風(fēng)險最大的環(huán)節(jié)。
在非對稱密碼算法中,使用兩個密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當兩個用戶進行加密通信時,發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù);接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送,比較容易解決密鑰管理問題,消除了在網(wǎng)上交換密鑰所帶來的安全隱患,所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點是計算量大、速度慢,不適合加密長數(shù)據(jù)。
非對稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時的不可抵賴性,公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。
單向散列函數(shù)的特點是加密數(shù)據(jù)時不需要密鑰,并且經(jīng)過加密的數(shù)據(jù)無法解密還原,只有使用同樣的單向加密算法對同樣的數(shù)據(jù)進行加密,才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時的完整性,以驗證數(shù)據(jù)在傳輸過程中是否被篡改。
5.公共密鑰基礎(chǔ)設(shè)施(PK 1)
PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理,為上層應(yīng)用提供了完善的密鑰和證書管理機制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機制在系統(tǒng)中的實現(xiàn)。
PKI提供的證書服務(wù)主要有兩個功能,即證實用戶身份的功能及保證信息機密性和完整性的功能。它最主要的組件就是認證中心(CA)。CA頒發(fā)的證書可以作為驗證用戶身份的標識,可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。
在CA頒發(fā)的證書基礎(chǔ)上,可以實現(xiàn)數(shù)字信封,數(shù)字簽名、抗否認等功能,提供數(shù)據(jù)機密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。
6.入侵檢測技術(shù)
入侵檢測系統(tǒng)(IDS)可以做到對網(wǎng)絡(luò)邊界點雕數(shù)據(jù)進行檢測,對服務(wù)器的數(shù)據(jù)流量進行檢測,入侵著的蓄意破壞和篡改,監(jiān)視內(nèi)部吊戶和系統(tǒng)管運行狀況,查找非法用戶和合法用戶的越權(quán)操作,又用戶的非正?;顒舆M行統(tǒng)計分析,發(fā)現(xiàn)人侵行為自規(guī)律,實時對檢測到的人侵行為進行報警、阻斷,關(guān)鍵正常事件及異常行為記錄日志,進行審計跟焉管理。
IDS是對防火墻的非常有必要的附加,而不僅是簡單的補充。網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與防一墻進行聯(lián)動,一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將一防火墻發(fā)送通知報文,由防火墻來阻斷連接,實現(xiàn)秀態(tài)的安全防護體系。
企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提,各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實施,同時要加強各種安全管理制度,增強系統(tǒng)使用和系統(tǒng)管理者的安全意識,才能從根本上保證系安全可靠的運行。■
【參考文獻】
[1]朱少民.現(xiàn)代辦公自動化系統(tǒng)的架框研究,辦公自動化技術(shù).
關(guān)鍵詞:路由器網(wǎng)絡(luò)技術(shù),網(wǎng)絡(luò)應(yīng)用
一、引 言
當前基于IP協(xié)議的計算機網(wǎng)絡(luò)用戶數(shù)量劇增,網(wǎng)絡(luò)流量也發(fā)展迅速。為了使網(wǎng)絡(luò)狀況更加適應(yīng)用戶的需要,作為網(wǎng)絡(luò)核心器件的路由器的不斷升級換代也就成為大勢所趨。下面就從路由器的基本概念和分類入手,對路由器在網(wǎng)絡(luò)中的應(yīng)用技術(shù)做一個全面的介紹。
二、路由器的基本概念和分類
國際標準化組織(ISO)制定的開放系統(tǒng)互連參考模型(OSI)把網(wǎng)絡(luò)結(jié)構(gòu)自下而上地分成7個層次:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層。路由器是工作在OSI模型的第三層網(wǎng)絡(luò)層,路由技術(shù)主要作用有兩點:決定最優(yōu)路由和轉(zhuǎn)發(fā)數(shù)據(jù)包。路由表中寫入各種信息,由路由算法計算出到達目的地址的最佳路徑,然后由相對簡單直接的轉(zhuǎn)發(fā)機制發(fā)送數(shù)據(jù)包。
(一)路由器的基本功能:
1、存儲、轉(zhuǎn)發(fā)信息及尋找最佳路徑的功能。
2、路由功能。包括數(shù)據(jù)包的路徑?jīng)Q策、負載平衡、多媒體傳輸?shù)取?/p>
3、智能化網(wǎng)絡(luò)服務(wù)。包括QoS、訪問控制列表、身份認證、授權(quán)、計費、鏈路備份、調(diào)試、管理等。
(二)按照路由器的接口、處理能力、吞吐量、提供的協(xié)議等可以把路由器分成高、中、低多種檔次。
1、高端路由器位于WAN(廣域網(wǎng))骨干網(wǎng)的中心或骨干位置,構(gòu)成IP網(wǎng)絡(luò)的核心。
2、中端路由器適合于有分支機構(gòu)的中小型企業(yè),一般位于路由中心位置上,互連企業(yè)網(wǎng)的各個分支機構(gòu),
并作為企業(yè)網(wǎng)的出口,上行接入高端路由器中。中檔路由器邊緣可以接入低端系列路由器。對于中小
型企業(yè)來說,中端路由器是其網(wǎng)絡(luò)的中心。
3、低端路由器主要針對接口少,處理能力要求不高等場合。論文參考網(wǎng)。
4、專用路由器:如VPN路由器、加密路由器、語音路由器,通過特殊的附加(軟)硬件實現(xiàn)特定功能。
三、主要網(wǎng)絡(luò)應(yīng)用
1、提高路由器吞吐量的技術(shù)
路由器的吞吐量是指路由器單位時間內(nèi)能夠轉(zhuǎn)發(fā)的報文數(shù),通常用pps(PacketPerSecond)表示。以一個典型的企業(yè)網(wǎng)為例,一個派駐機構(gòu)的上行速率有2000pps就夠了,分支的核心路由設(shè)備必需具有幾萬pps的吞吐能力,而公司總部的路由中心則可能需要幾十萬甚至上百萬pps的處理能力。
目前主要有下面的提高路由器吞吐量的技術(shù): 改造路由表;采用Cache;采用分布式處理;高層交換;硬件(FPGA/ASIC)轉(zhuǎn)發(fā)等。交換式路由器(SwitchRouter)就是利用這些技術(shù)的結(jié)晶。
2、可編程ASIC技術(shù)
ASIC技術(shù)能夠使得路由器的速度提高并降低制造成本。由于設(shè)計生產(chǎn)的投入相當大,ASIC基本上都用于已完全標準化和固化的過程。為了滿足計算機網(wǎng)絡(luò)各種結(jié)構(gòu)和協(xié)議的頻繁變化的要求,出現(xiàn)了“可編程ASIC”技術(shù)。實際應(yīng)用中多數(shù)采用在ASIC芯片中內(nèi)嵌入專門處理通信協(xié)議的CPU,通過改寫微碼,使其具有處理不同協(xié)議的能力。
3、VPN技術(shù)
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)絡(luò),是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常, VPN 是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。 VPN 可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。
VPN 架構(gòu)中采用了多種安全機制,如隧道技術(shù)(Tunneling )、加解密技術(shù)( Encryption )、密鑰管理技術(shù)、身份認證技術(shù)( Authentication )等,通過上述的各項網(wǎng)絡(luò)安全技術(shù),確保資料在公眾網(wǎng)絡(luò)中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。
4、QoS(QualityofService)服務(wù)質(zhì)量
QoS即服務(wù)質(zhì)量,對于網(wǎng)絡(luò)業(yè)務(wù),服務(wù)質(zhì)量包括傳輸?shù)膸?、傳送的時延、數(shù)據(jù)的丟包率等。在網(wǎng)絡(luò)中可以通過保證傳輸?shù)膸?、降低傳送的時延、降低數(shù)據(jù)的丟包率以及時延抖動等措施來提高服務(wù)質(zhì)量。
網(wǎng)絡(luò)資源總是有限的,只要存在搶奪網(wǎng)絡(luò)資源的情況,就會出現(xiàn)服務(wù)質(zhì)量的要求。服務(wù)質(zhì)量是相對網(wǎng)絡(luò)業(yè)務(wù)而言的,在保證某類業(yè)務(wù)的服務(wù)質(zhì)量的同時,可能就是在損害其它業(yè)務(wù)的服務(wù)質(zhì)量。例如,在網(wǎng)絡(luò)總帶寬固定的情況下,如果某類業(yè)務(wù)占用的帶寬越多,那么其他業(yè)務(wù)能使用的帶寬就越少,可能會影響其他業(yè)務(wù)的使用。因此,網(wǎng)絡(luò)管理者需要根據(jù)各種業(yè)務(wù)的特點來對網(wǎng)絡(luò)資源進行合理的規(guī)劃和分配,從而使網(wǎng)絡(luò)資源得到高效利用。
5、MPLS(MultiProtocolLabelSwitch)多協(xié)議標記交換
多協(xié)議標簽交換(MPLS)是一種用于快速數(shù)據(jù)包交換和路由的體系,它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。MPLS 獨立于第二和第三層協(xié)議,諸如 ATM 和 IP。它提供了一種方式,將 IP 地址映射為簡單的具有固定長度的標簽,用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口,如 IP、ATM、幀中繼、資源預(yù)留協(xié)議(RSVP)、開放最短路徑優(yōu)先(OSPF)等等。
在 MPLS 中,數(shù)據(jù)傳輸發(fā)生在標簽交換路徑(LSP)上。論文參考網(wǎng)。LSP 是每一個沿著從源端到終端的路徑上的結(jié)點的標簽序列?,F(xiàn)今使用著一些標簽分發(fā)協(xié)議,如標簽分發(fā)協(xié)議(LDP)、RSVP 或者建于路由協(xié)議之上的一些協(xié)議,如邊界網(wǎng)關(guān)協(xié)議(BGP)及 OSPF。因為固定長度標簽入每一個包或信元的開始處,并且可被硬件用來在兩個鏈接間快速交換包,所以使數(shù)據(jù)的快速交換成為可能。
MPLS 主要設(shè)計來解決網(wǎng)路問題,如網(wǎng)路速度、可擴展性、服務(wù)質(zhì)量(QoS)管理以及流量工程,同時也為下一代 IP 中樞網(wǎng)絡(luò)解決寬帶管理及服務(wù)請求等問題。
6、多播技術(shù)
多播路由的一種常見的思路就是在多播組成員之間構(gòu)造一棵擴展分布樹。在一個特定的“發(fā)送源,目的組”對上的IP多播流量都是通過這個擴展樹從發(fā)送源傳輸?shù)浇邮苷叩?,這個擴展樹連接了該多播組中所有主機。不同的IP多播路由協(xié)議使用不同的技術(shù)來構(gòu)造這些多播擴展樹,一旦這個樹構(gòu)造完成,所有的多播流量都將通過它來傳播。
根據(jù)網(wǎng)絡(luò)中多播組成員的分布,總的說來IP多播路由協(xié)議可以分為以下兩種基本類型。第一種假設(shè)多播組成員密集地分布在網(wǎng)絡(luò)中,也就是說,網(wǎng)絡(luò)大多數(shù)的子網(wǎng)都至少包含一個多播組成員,而且網(wǎng)絡(luò)帶寬足夠大,這種被稱作“密集模式”(Dense-Mode)的多播路由協(xié)議依賴于廣播技術(shù)來將數(shù)據(jù)“推”向網(wǎng)絡(luò)中所有的路由器。密集模式路由協(xié)議包括距離向量多播路由協(xié)議(DVMRP:Distance Vector Multicast RoutingProtocol)、多播開放最短路徑優(yōu)先協(xié)議(MOSPF:MulticastOpen Shortest Path First)和密集模式獨立多播協(xié)議(PIM-DM:Protocol-Independent Multicast-Dense Mode)等。論文參考網(wǎng)。
多播路由的第二種類型則假設(shè)多播組成員在網(wǎng)絡(luò)中是稀疏分散的,并且網(wǎng)絡(luò)不能提供足夠的傳輸帶寬,比如Internet上通過ISDN線路連接分散在許多不同地區(qū)的大量用戶。在這種情況下,廣播就會浪費許多不必要的網(wǎng)絡(luò)帶寬從而可能導(dǎo)致嚴重的網(wǎng)絡(luò)性能問題。于是稀疏模式多播路由協(xié)議必須依賴于具有路由選擇能力的技術(shù)來建立和維持多播樹。稀疏模式主要有基于核心樹的多播協(xié)議(CBT:Core Based Tree)和稀疏模式獨立協(xié)議多播(PIM-SM:Protocol-Independent Multicast-SparseMode)。
7、網(wǎng)管系統(tǒng)
網(wǎng)管在網(wǎng)絡(luò)運營中起著非常重要的作用。方便、強大的網(wǎng)管可以協(xié)助用戶有效地管理網(wǎng)絡(luò)和降低網(wǎng)絡(luò)維護費用。網(wǎng)管協(xié)議非常多,與路由器產(chǎn)品相關(guān)的網(wǎng)管協(xié)議主要有SNMP、RMON等,其中SNMP最常見。SNMP采用(Agent)工作方式,設(shè)備側(cè)(路由器上)運行Agent,網(wǎng)管站運行管理軟件。的作用包括收集路由器統(tǒng)計數(shù)據(jù)(如端口收發(fā)報文總數(shù)等)和狀態(tài)信息(如端口地址等),回答網(wǎng)管站對這些信息的查詢;傳達網(wǎng)管站的設(shè)置命令,如TCP連接復(fù)位、配置端口IP地址等;發(fā)生異常事件時主動向網(wǎng)管站報告等。
四、結(jié)束語
以上是對基于路由器的網(wǎng)絡(luò)技術(shù)進行了簡單的介紹。若有不當之處,還請廣大讀者進行批評指正。相信隨著上網(wǎng)用戶的越來越多,隨著寬帶網(wǎng)建設(shè)的如火如荼,對路由器技術(shù)更新的要求會越來越強烈。我相信,在未來會有適應(yīng)網(wǎng)絡(luò)發(fā)展要求的新技術(shù)不斷涌現(xiàn),并將得到廣泛的應(yīng)用。
參考文獻
1.謝希仁.《計算機網(wǎng)絡(luò)》.電子工業(yè)出版社, 2005年1月
2.銳捷網(wǎng)絡(luò).《網(wǎng)絡(luò)互聯(lián)與實現(xiàn)》.北京希望電子出版社,2006年11月
3.思科網(wǎng)絡(luò)技術(shù)學(xué)院.《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程》.人民郵電出版社,2007年3月