期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
网络安全总体规划模板(10篇)
网络安全总体规划例1
中图分类号:TP311.13 文献标识码:A 文章编号:1007-9599(2013)01-0146-02
1 引言
我国金融电子化经过“六五”时期的准备和“七五”时期的基础建设,从无到有,获得了长足的发展。经过20多年的努力,我国已建成金融数据通信网络的基本框架并已开始运行各类金融业务。中国人民银行建设的全国金融卫星通信网是金融系统信息的主干线,目前已建成1个中央卫星地面站和几百个远程地面卫星小站。中国人民银行已在175个城市建立了同城资金清算系统,并陆续建成并运行了十几个以中心城市为依托的区域网。我国各专业银行和商业银行均建立了从总行到基层行的基于分组交换网、电传电报、电话专线等多种通信方式的系统内全国远程通信网络系统。电子化营业网点发展迅速,金融电子化已从大城市扩展到中小城市、县和乡镇。现代化支付系统、新型电子化服务等均取得了较大的进展。
然而,限于技术条件,我国金融电子化还有很长的路要走。具体到银行计算机网络领域,当前还面临四个方面的问题:一是网络架构问题,网络架构难以适应业务融合发展的趋势;二是网络安全问题,缺乏总体的安全策略、关键区域的安全防护措施不够、多层面的协同安全防控不够;三是网络管理问题,网络管理手段不够先进、管理体系尚不健全;四是网络服务问题,对服务融合、应用承载变化等支持不够。
新一代银行计算机网络系统规划原则,应从全局、长远的角度出发,充分考虑网络的安全性、易用性、可靠性、扩展性和经济性等因素,要符合“更安全、更高效、更集约、更方便”的绿色智能发展趋势。
2 新一代银行计算机网络架构规划
2.1 网络架构总体规划
新一代银行计算机网络应建设以总行为核心的树型网络结构;将目前分离的各网进行融合;各类服务集中上收到总行和一级分行;提升一级骨干网的链路带宽及综合利用率;提升全行网络的安全性、可靠性。在网络路由规划方面,应充分考虑各地的情况,因地制宜地采用OSPF路由协议、BGP路由协议或静态路由协议。
2.2 数据中心局域网规划
新一代银行数据中心局域网应遵循水平分区、垂直分层的原则进行建设。水平分区是将承载相似业务、具有相似安全级别的网络设备归集为一个网络分区,便于实施安全策略和最优数据交互。分区是根据安全性、可扩展性原则进行的,包括主机区、开放平台区、开发测试区、运行管理区、Internet区、Extranet区、用户接入区、城域/广域区等,各分区均支持系统和业务的平滑、灵活扩展。由于每个分区内部仍然有不同业务,可继续通过VLAN和IP地址再细分,进而实现不同安全细微差别控制和传输保障。垂直分层是将不同网络功能界定清楚,独立成为一个层面,包括核心层、分布层、接入层。其中核心层与分布层紧耦合,高效可靠;分布层与接入层松耦合,可以很好的支撑虚拟化资源池技术。
2.3 广域网规划
新一代银行广域网规划,核心网可概括为高速转发、业务分离、降低耦合、控制风险;一级骨干网可概括为就近接入、提高效率、缩短距离、节省投资;二、三级广域网可概括为层次化、扁平化、按需配置、带宽动态扩展多业务承载。
3 新一代银行计算机网络安全规划
3.1 信息安全体系架构
信息安全体系架构,从技术维度上讲,包括安全技术体系,具体有应用安全、系统安全、网络安全、物理安全。从管理维度上讲,包括安全组织与制度体系,具体有安全流程相关制度、安全策略相关制度、人员安全、安全培训、安全组织与职责等。从运行维度上讲,包括安全运行体系, 具体有安全运维服务机制、长期安全监督检查机制、安全运行学习改进机制等。
具体到新一代银行计算机网络安全体系,依据国家信息安全等级保护的标准、银监会和人民银行的监管要求以及行业特点,应从以下方面进行规划:安全域划分、网络访问控制、防火墙、访问控制列表、防拒绝服务攻击系统、虚拟专用网、网络设备自身安全、身份鉴别、特权用户权限分离、边界完整检查/入网检测、网络入侵检测系统、网络入侵防御系统、异常流量监测和网络审计系统等。
3.2 网络安全策略
新一代银行计算机网络安全策略,概括讲主要包括四个方面:一是网络安全域的划分,根据信息资产的安全属性及安全防护需求的不同,划分成不同的安全层次(即安全域),安全域内可以根据安全等级再划分安全子域;二是网络安全技术部署,根据要保护的信息资产重要性,在各个安全域中部署多方面的网络安全防护措施,实现多方面协同防护、纵深防护;三是网络安全管理,对整个安全防护体系的所有安全措施实施有效的监控管理;四是多层面协同工作,与其他技术条线协同工作,共建网络安全体系,实现对信息资产的全方位的安全防护。
4 新一代银行计算机网络管理规划
新一代银行计算机网络管理体系,应具备网络管理平台(包括网络性能管理、业务影响管理、网络事件管理等);网络服务平台(包括服务支持流程、服务提供流程等);网络操作自动化平台(包括网络操作管控、网络配置管控、网络授权管控等);网络运行质量分析平台(包括服务水平、网络可用性、网络连续性、网络容量规划等)。
5 新一代银行计算机网络服务规划
新一代银行计算机网络服务体系,应具备IP地址管理(包括IP地址管理规划等);应用交付(包括内容分发平台和应用等);网络应用规划(包括视频、语音、监控系统;无线网接入;Internet接入等)。其中,互联网与内部网有互联的应用系统(如网上银行),应用须在DMZ区落地;高安全等级接入用户(如境外机构接入),须增加VPN加密隧道等安全措施;外网邮件系统与内网严格物理隔离;严格执行网络准入策略,做好联网终端与信息点绑定等管理工作,保证联网终端的安全性。
6 结论
篇幅所限,本文仅阐述新一代银行计算机网络系统的宏观规划,具体的实施细节就不赘述了。在“科技创新、精细管理、持续改进、科学发展”的基础上,新一代银行计算机网络系统规划将为我国金融电子化的长期可持续发展打下坚实的基础,为我国银行业信息化建设作出新的贡献。
参考文献:
[1]黄杜英等.银行计算机系统[M].清华大学出版社.2011(2).
[2]帅青红.银行信息系统管理概论[M].中国金融出版社.2010(7).
网络安全总体规划例2
安全可靠性是网路工程规划的必要原则,其考虑的方面有网络节点、网络拓扑、系统安全体系、通信线路等,如计算机网络安全性控制形式多样化或分布多层次化;把防火墙设在广域网或局域网的互联点,以此发挥抵御外部攻击等作用。
1.2整体最优性原则
计算机网络工程规划设计通常应反复论证网络技术的匹配度、本地网与主干网的衔接度、网络操作系统与数据传输的合理选择等,由此实现计算机网络功能的完善性。同时应结合有限合理性原则就设备的安全经济性、先进可靠性等予以评价,由此实现计算机网络的整体最优性。
2计算机网络工程规划设计方法
2.1可行性与需求性分析
计算机网络工程规划设计的可靠性分析通常包括:明确网络系统目标、网络用户目标、网络系统集成要求、网络工程建设的技术需求和成本需求等。计算机网络工程规划设计的需求性分析通常包括环境需求分析、设备需求分析、功能需求分析,其中环境需求分析包括外部环境与内部环境分析。所谓外部环境分析,它要求对无线环境、网络穿越区域及干扰环境等因素予以考虑;内部环境分析要求对网络用户现有机构分布情况、网络设备间的位置等予以考虑。设备需求分析要求立足于业务需求,同时就新旧系统的兼容问题予以考虑,其考虑的方面包括个人计算机、电源、网络布线、主机与服务器、路由器与交换机、网络操作系统、网络设备等。功能需求分析要求就图形、文本、视频等网络应用和数据类型予以考虑。此外,功能需求设备分析还应该考虑到网络使用高峰期、网络总数据量、流量分布情况、网络安全可靠性等方面。
2.2网络分层拓扑结构
计算机网络工程分层拓扑结构通常应结合网络用户实际需要从分布层、核心层、接入层等予以规划设计。其中核心层应结合信息流量、地理距离、数据负载等需求分析予以选定。主干网主要连接建筑群,其传输介质为光缆,此时应考虑到计算机网络工程的先进性、易用性和可扩展性。计算机网络工程内分布层的规划设计通常由网络信息流的具体特点而定,其中若分布层选择堆叠体,其能够满足全局信息负载轻和本地信息流密集的情况,而分布层的级联形式仅能满足全网信息流较平均的情况。计算机网络工程接入层的规划设计通常受制于布线系统的成本和实现,针对某些不集中的远程用户接入,采取PSTN市话网络的远程拨号访问方式具有简便性和经济性。
2.3网络设备的选型
计算机网络工程建设涉及到的设备包括集线器、网桥、网卡、交换机、路由器、网关、工作站、服务器、网络打印机、存储驱动器、网络管理系统、通信介质、应用系统和网络操作系统等,计算机网络工程规划设计必须对上述各个网络设备的用途、功能、性价比等予以综合考虑,由此选择出综合性能最优的网络设备。
网络安全总体规划例3
台站设置中心机房作为局域网的主节点和核心交换区,其他办公地点和机房作为分支节点。
主节点负责本节点内的数据交换和路由,也要负责分支节点之间的数据交换和路由。各分支节点的网络设备只负责分支内的数据交换。
根据无线局全局业务需求,无线局局域网需要支持虚拟网络的划分、针对IP地址实施的访问控制列表等安全要求。
台站局域网IP规划应考虑的问题
台站局域网建设都或多或少存在网络安全、地域限制、网络扩容、网络负荷等问题,如何确定一个有效的网络结构是网络成功的关键所在。
在建设网络的过程中,一些网络的IP地址和虚拟网(VLAN)规划较简单,没有认真仔细去研究、探讨一个科学合理的规划方案,没有去进一步的优化,造成网络总体性能得不到改善,却费很大的精力在硬件上找故障,忽略了影响网络的“软”因素。实际上分配网络IP地址是网络规划、建设中最困难的问题之一。糟糕的地址分配几乎可以导致所有大规模网络的崩溃,因为每次网络拓朴结构改变所需工作量以及将此种改变传输给网络的路径数量直接制约了路由的稳定性。相反,好的IP地址分配和VLAN划分可以加强网络安全,可以取消一定的物理限制,灵活管理,易于控制广播和分布通信量,减轻网络负荷,改善网络总体性能。因此,IP地址和虚拟网(VLAN)规划是我们网络建设中十分关键、必须重视的工作,有必要对IP地址和虚拟网(VLAN)进行必要的研究。
IP 地址规划时往往考虑网络管理,一般将网络划分多个子网。因此,在进行网络IP规划和分配时首先确定子网段划分,然后确定子网掩码、网关。
①IP地址规划策略有:按行政划分、按地域划分、按拓朴结构划分。在具体划分时,我们必须考虑三种策略。
一般是在地域和拓朴结构方面人手,并以单位或部门的业务性质、需求和规模考虑,可以将工作性质、情况相似或紧密联系的部门划分在一个子网,其大小与该单位或部门使用计算机的规模有关。考虑网络的安全、管理等因素常常将网络划分一个或多个VLAN,当然要求交换机等设备支持VLAN,如果将有关设备划到一个或多个虚拟网内,并进行安全设置,将极大的保证网络的安全和可管理性。
②子网掩码(Subnet Mask) :子网掩码实际是设计一个IP地址来确定子网及其大小。
③网关(WinGate) 传统的网关是指不同协议在网络间组织传输的一个系统,现在指相同的路由设备。不同的子网或虚拟网之间数据交换需要通过网关来指定路由,该路由常在路由器或带路由功能的交换机上的路由表中,保证了网络或子网相互通信,可设定一个IP地址来标识特定的网关。
IP地址和VLAN规划
台站局域网应用实例
根据IP地址和VLAN的规划原理,我们对台站局域网具体进行了IP地址和VLAN规划及其分配。在规划中我们强调网络总体性能、稳定性、易管理性。
首先,要绘制一张网络图,它体现网络拓朴结构情况,包含连接不同位置的各种网络设备:服务器、路由器、交换机、重要的计算机等及其设备之间的连接结构;然后,根据实际情况划分VLAN,要用相应的网络地址标识各子网;最后,进行各VLAN的IP地址分配。另外,还要考虑各VLAN及整个网络均要保留一定的IP地址以供扩展。
台站局域网可以分为办公网和技术网2个部分。在台站核心交换区部署台站的广域网设备、办公网/技术网核心交换机以及技术网防火墙等核心设备。
网络整体构思:台站网络为星型拓朴结构的全交换式以太网,网络中心与各建筑楼光纤相连接。中心路由交换机华为S6503、3552F,都具有支持VLAN Trunk的第三层交换和强有力VLAN功能;接入交换机华为S3026C运行在二层模式下,完全支持VLAN和VLAN Trunk,所有三层交换在核心交换机上进行;路由器与S6503相连作为边缘路由而连接。
台站网络的拓扑结构图如下:
台站局域网按照统一IP地址管理规则进行IP地址管理和分配,遵循IP地址编址的基本原则:唯一性、连续性,可扩充性和可管理性。
根据台站实际业务状况,网络系统VLAN的划分取决于应用系统和各机关或部门的职责分工。根据目前的网络状况并考虑到将来的扩展,设计VLAN划分方案如下:
设计OA网地址段和VLAN共计255个,使用10.1.x.0/24-10.254.x.0/24网段(根据局广域网规划, X为本台区域号)。各项业务VLAN编号使用1001-1254,部署在办公网核心交换机上。
OA网IP地址规划如下表所示:
设计技术网地址段和VLAN共计255个,使用172.1.x.0/24-172.254.x.0/24网段(根据局广域网规划, X为本台区域号),各项业务VLAN编号使用1001-1254,部署在技术网核心交换机上。
技术网IP地址规划如下表所示:
①IP地址和VLAN划分按照网络拓扑图和实际情况,分别把OA网和技术网划分若干VLAN(如本页上表所示),在VLAN划分时可将网络设备如服务器、交换机等划分成特定的设备VLAN,并进行诸如限制TELNET访问等安全策略配置,能有力的保证网络的安全。我们按照设备放置的不同位置灵活配置跨交换机S3026的VLAN1200,增强了网络配置的灵活性和管理性。按目前和近期发展该VLAN已经够用。
②各VLAN 之间虽不能直接通信,但我们充分利用支持VLAN Trunk的第三层路由交换机S6503(OA网)、S3552F(技术网)和支持VLAN的第二层交换机S3026C,实现VLAN之间通信,节约投资,提高了网络配置的灵活性。
③设备IP地址分配对网络设备的安全、灵活配置和管理是十分重要的,在OA网VLAN2中进行路由设备IP地址的分配子网掩码为30bit,容纳主机2个,相对于路由器的串口(SERIAL)IP 地址一般要与相应广域网的路由器的串口IP地址在同一个VLAN中。
④实验和运行
网络安全总体规划例4
我在某集团公司总部的网络中心工作,原办公区网是2000年建成并投入使用的。随着公司经营生产的规模不断扩大,用户数量和应用量,都一直处于不断增长中,无论是网络规模、网络结构、设备档次,都无法满足现阶段的需求。在这个项目中,作为网络中心的负责人和技术骨干,我主要承担了网络整体规划与设计工作,并组织参与整个工程的招标、建设、监督、验收等工作。
在本次项目实施中,我们主要考虑以下几个关键因素:技术上可以平滑升级并具有一定的扩展性;公司核心网应具备稳定、高速、安全的特点;保护原有的投资、将原办公区网络设备降级使用,将其用到新网络的汇聚层和接入层,最大化现有投资的性价比。
一、结构化布线的方案
新办公区有三栋8层的办公大楼,分别是:主办公大楼、试验检测中心大楼、综合大楼。三栋大楼之间以8芯光缆实现互连。该网络工程要求办公楼内不的每台计算机都能够访问Internet,同时要求总部网与16个分公司实现VPN网络互联。我们在大楼进行结构化布线工程,以利于今后信息点的扩展。中心机房设在主办公楼四楼,采用集中走线的方式,网络主干采用8芯多模光纤1Gbps带宽,分支使用超五类非屏蔽双绞线,100Mbps带宽,双绞线的最长长度控制在90米之内,符合布线要求。根据实际需求,每间办公室布有3~4个信息点。
二、网络的层次结构方案
基于对原公司网的管理、应用方面的认识,同是参考主流技术和公司的需求,我们规划采用标准三层网络架构,以千兆以太网技术构建新办公区网络的核心层和汇聚层,接入层则采用10Mbps/100Mbps自适应技术。千兆以太网(IEEE802.3z)技术可以保证和公司原有百兆以太网兼容,满足了现有网络应用的需求,并在技术上保持一定的先进性,并具备进一步发展的灵活性和扩展性。三层网络架构使得网络结构变得更加清晰,功能设计完备,同核心层提供充分的可达性和数据的高速交换;汇聚层可以隔离网络拓扑变化,隐藏核心层和接入层的细节,提供路由汇聚;接入层可以具体的实施相应的接入控制策略。
我们在内外网边界处放置一台Amaranten F1800千兆企业级防火墙,同它进行内外网访问控制及地址转换。内网核心层采用两台Cisco6509三层交换机,两台Cisco6509之间又用链路聚合技术实现负载均衡,并互为备用,构成一个具有强大交换能力和冗余备份的核心层网络。核心交换机置于办公主楼两中心机房,汇聚层交换机置于各楼宇设备间,采用Cisco C3750,核心层和汇聚层交接机形成路由环路,用OSPF协议实现各子网之间的路由计算。接入层则采用了Cisco2950可堆叠交换机,具有较高的端口密度和接入控制能力。
三、IP地址规划、VLAN分布、路由规划
IP地址的分配应能体现公司的组织机构情况,节约和有效利用IP地址。我公司网络用到时25个C类地址段,因为16个分公司的用户数都没超过200人,我们给每一个分公司分配一个C类的地址段,分公司再根据其内部具体情况可以进一步划分子网。公司总部用到9个C类地址段,IP地址分配按区域逐层分配,以汇聚层交换机可汇聚为原则。服务器及网络管理等设备采用静态IP地址,其他办公人员的计算机采用动态IP地址方式,这样的IP分配方式便于管理,减少IP冲突,最大限度利用了IP地址。电信ISP给我公司分配了16个公网IP地址,这些地址用作内外网地址映射和对外的服务器地址。
VLAN(虚拟局域网)的合理布局有利于抑制广播流量,提高网络安全性。将公司的财务部、人力部、工程部、经营部和其他部门分别划分到不同的VLAN,采用基于交换机端口方式的VLAN划分,并为服务器组、网络管理、内部数据存储服务划分门的VLAN。VLAN之间通过核心交换机Cisco 6509实现不同VLAN之间的通信。
路由的规划既要基于IP地址分配和网络的分层,又要实现稳定的核心和高速的交换。在良好的IP地址分配策略、VLSM和VLAN配置下,路由表中的条目可达到最少,路由稳定、高效。我们在内部网络采用OSPF协议,实现各子网互访,在边界处进行内部网络路由重分布。
四、远程VPN访问的接入设计
为了实现总部与分公司网络的VPN互联,我们采用Juniper SA4000企业级VPN设备,用来验证和接入外网用户。SA4000是SSL VPN,它使大中型企业能够通过任何标准Web浏览器提供经济高效的远程接入。SA4000产品无需更改用户基础设施,提供丰富的接入权限管理功能,实现用户透明接入和资源共享。
五、网络安全设计
处于全网内外边界处的Amaranten F1800千兆企业级防火墙负责NAT和内外网之间的安全策略实施。FTP文件传输服务器、Mail服务器、Web服务器入DMZ区域中,公司内部数据存储服务器放入内部网,保证各种级别数据的安全,并在核心交换机Cisco 6509上设置相关的过滤机制来加强计算机安全性。
内网的应用的安全技术包括:服务器区访问控制、安全补丁服务器、网络版病毒服务器、主机系统安全、以及建立建全网络安全管理制度,并严格监督、执行。
六、网络管理
在网络管理方面,我们采用了基于HP OpenView IT管理方案, 以此为架构,并在它的基础上,对某些功能进行二次开发,形成的方案是包括网络、设备、计算机系统、数据库、应用程序等多个管理工具的统一监控平台,把网络系统平台由被动管理转向主动管理,被动处理故障变为主动故障预警,使得制度通过网络管理平台得以具体体现,管理平台使制度被来格执行。
新办公区的网络按照规划实施,建成后各项技术指标验收合格,自投入运行以来,工作状态良好,满足了日常工作各方面的需求。
网络安全总体规划例5
计算机网络不仅对人们的生活产生了重大影响,也日益影响着企业科技的创新和生产力的提高。企业信息技术的发展能够更好地提高企业的生产效率和管理水平。这不仅影响着大中型企业,对我国工业企业中占相当比重小企业同样重要。本文选择小企业网络规划与设计进行研究,是因为小企业用户的局域网结构相对简单,主机数量少,易于进行规划设计,且投入成本低、易于普及。
当今阶段,中国市场经济处于转型期,竞争日益激烈,小企业要想生存并更好地发展,必须改变小企业单一、机械的运作模式,追求高效的管理和沟通方法来增强竞争力。而建设小企业自己的网络无疑是顺应社会发展潮流提高小企业运作效率的作法。
一、小企业网络规划需求分析
小企业主机数量较少,易于满足团体信息化的需求。小企业网络规划与设计中只需一个主干网来负责各个子网和应用服务的连接,就能为信息交换提供有效的高速通道。根据企业提出需求,进行分析,最终将采取以下方案解决企业需求。
二、小企业网络规划与设计
2.1网络需求
申请一个10M及以上的带宽,就可以满足小企业内部计算机访问Internet的需求。申请1个公网IP:分配给Internet接入路由器的串行借口;购买一台路由器以实现企业内部网络连接到Internet;考虑在日后小企业的发展,计算机数量可能会有所增加,因此交换机接口可以预留3到5个;将各部门划分在不同的VLAN。单个节点构成的网络通常就能满足小企业的网络需求。小企业网络工作站数量少且接入比较集中,因此核心网络设备选择100M的以太交换机就可以了。
2.2小企业网络拓扑结构设计
根据小企业用户少、计算机数量少的特点,在企业网络规划与设计中采用总线型拓扑结构。总线型结构具有费用低、布线要求简单、扩充容易、数据段用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点,因此适合处于发展期的小企业网络规划使用。
总线型拓扑结构图如图1。
2.3应用到的VLAN规划技术
一个VLAN可以在一个交换机实现,就可以满足小企业网络规划使用。在小企业网络规划中,VLAN根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。用来为局域网解决冲突域、广播域、带宽问题。因此使用VLAN技术,结合网络层的交换设备搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问。
小企I的VLAN采取端口划分即可,把同一个部门办公室的端口全部划分进同一个VLAN,具有很好地灵活性和安全性。之后企业有了新的发展,需要进行部门扩充只要在交换机上进行配置就可以了。
2.4网络PDS系统设计
1、布线系统总体结构设计。根据小企业的建筑数量(假设为两栋),选用十二芯单模光纤从总机房连接到其他撞建筑或楼层的设备间,采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。布线时要考虑价廉、合理、美观、标准。尽量进行夹墙内、地板下、天花板上或者采用架空线槽布线。网络设备要放在一楼机房内。机房内要配备火警报警装置、防尘地板和空调。
2、工作区子系统设计。工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式跳线采用统一标准,如统一采用EIA/ TIA 568B标准等,以使系统具有更好的兼容性
3、管理子系统设计。单个节点的子系统设计在配线间完成。通过各种规格的配线架(线槽)实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,可以设置一个共用的子配线间,这样便于维修、管理。
4、干线子系统设计。干线子系统设计采用电缆从主设备间连接各治理子系统。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。
5、设备间子系统设计。设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共系统(通讯系统,计算机系统等)设备的各种不同设备互连起来。使用多芯单模室内多模光纤将其连接。
6、建筑群子系统设计。建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。
三、施工管理
3.1施工前准备
施工前,企业应认真审核合同,合同签订后,一切照文件实行。
3.2设备及材料
企业应对工程中所用到的所有设备及材料严格把关。选择质量可靠、性能良好的设备及材料、严格按合同进货。
3.3施工过程管理
根据企业的情况,安排好施工进度,并加强对施工人员的管理,保证施工现场的卫生 ,保证不影响到企业工作人员的正常工作 。
3.4施工完成后质量的检查和验收
施工完成后,企业派出有关人员进行全面的质量检查,进行系统的总验收。完全达到双方签订的合同要求后,进行工程的总移交。如在合同范围内,不达到要求的地方一定返工,直到达到要求为止。
四、结束语
在小企业网络规划与设计中,一套可行设计方案就能够满足小企业团体的信息交流和传递,也使外面的客户能够很容易的了解企业。本文在进行小企业网络规划与设计的时候,按照计算机网络设计的原则,采用层次化模型方法,将网络的结构分层为核心层和接入层,设置一个总机房在一楼或者核心层。
采用总线型网络拓扑结构,简单、方便、价廉,在功能性、实用性、安全性等方面完全符合小企业网络的工作需求,并具有一定的可扩展性,达到了小企业网络规划与设计的预期目标。
参 考 文 献
网络安全总体规划例6
要做企业信息安全总体架构规划,首先要了解企业的信息安全需求。抛开需求做规划,难免会掉进前面所讲的两种误区中。因此,做规划要从需求入手。
企业信息安全总体架构规划模型(图1)以企业信息安全的需求(保密性、完整性、可用性)为出发点,以应用安全、数据安全、主机安全、网络安全、桌面安全、物理安全为关注重点,层层剖析、全面挖掘企业的信息安全需求,是一种将管理、技术和人员三者有机结合的企业信息安全保障体系。该模型均衡考虑了企业在保密性(C)、完整性(I)和可用性(A)三方面的安全需求。
企业信息安全总体架构规划模型虽然清晰地指出了规划的要点、重点和思路,但是按照此模型还是不知道如何去做,具体实施应参照一定的方法论进行。企业信息安全总体架构规划方法论(图2)融合了以管理和技术为核心的全面分析方法,以安全需求为焦点,从管理现状、技术现状和人员状况三个维度,综合采用调查问卷、人员访谈、现场察看、资料分析、技术检测等多种手段,全面深入地挖掘需求。在明确需求的前提下,借鉴同类企业成功经验并均衡考虑CIA(保密性、完整性、可用性),规划符合企业实情的信息安全保障体系。
在企业信息安全总体架构规划方法论中,重点工作的描述如下:
调查问卷
针对企业情况,信息主管应参照ISO27001/ISO13335等标准,制定相应的调查问卷,通过它全面了解企业的安全要求、安全状况、IT环境,以及企业信息系统的应用情况和已经采取的安全控制手段。
人员访谈
应选定关键领导和关键岗位,进行人员访谈,全面了解信息系统的安全需求,层层剖析、深入了解企业信息系统各层面的安全现状,包括应用状况、数据存储及数据库、主机及操作系统、网络拓扑及网络管理、数据中心及桌面管理等。
现场查看
为了确保获取信息的全面性和准确性,实地考察是非常必要的。现场查看主要有两方面。一方面是了解现有技术措施的情况,例如设备使用状况、技术应用状况等; 另一方面是物理环境察看,例如机房、办公室、其他重要区域、门禁、监控等。
资料分析
收集企业的相关资料进行分析,重点包括信息系统的部署架构、网络架构、安全制度、运维管理、IT运行报告和IT审计报告。
技术检测
采取技术手段进行漏洞检测和分析,包括渗透测试、漏洞扫描、本地检查和手工检查等。充分发掘网络方面的漏洞、主机及操作系统漏洞、数据库方面的漏洞、应用方面的漏洞等。
CIA均衡考虑
网络安全总体规划例7
经过近20年的建设,上海已建成5条线总长约112km(运营里程123km,因含共线运营部分)的轨道交通网络基本框架。为适应城市经济快速发展的需要,实现轨道交通跨越式发展的建设目标,上海计划在近期内建成轨道交通基本网络。目前,上海轨道交通正处于网络化建设的快速发展时期。
1上海城市轨道交通网络化建设概述
上海市根据城市性质、规模、布局以及城市交通现状和交通发展战略,借鉴国际大城市的经验,完成了上海市轨道交通网络总体规划。规划的上海轨道交通网络由17条线路组成,其中市域快速轨道线4条,市区地铁线8条,市区轻轨线5条,总长约810km,其中中心城内(外环线内)长度约480km。上述轨道交通远景网络建成后,上海将形成以公共交通为主体、轨道交通为骨干的城市综合交通体系,轨道交通客流将占公交客流的50%左右。
2005年7月,国家发展和改革委员会批复并原则同意了上海市城市快速轨道交通近期建设规划确定的建设目标,即在2005—2012年间新建10个快速轨道交通项目(含既有线延长线),线路全长389km。按照上述发展思路和发展要求,至“十一五”期末,上海轨道交通网络总规模将超过400km,形成“中心区十字加环、中心城三横六纵、区八向辐射”的网络型态,届时轨道交通客流占公交客流的30%以上。
2 网络化技术特征分析
对城市轨道交通网络的认识可以从规划、建设、运营多角度来看。网络规划是描绘网络,是网络建设的指导;网络建设是编织网络,是网络形成的过程;网络运营是运转网路,是网络建设的最终目标。
网络规划是在城市总体规划和城市发展对交通需求的基础上编制的。网络规划指导网络建设,网络建设服务网络运营,网络运营服务社会;同时,网络运营会带动、促进和引导城市的进一步发展,而城市的进一步发展要求网络规划的不断优化和调整,形成了网络规划-建设-运营-城市发展的良性循环(如图1)。因此,网络规划的稳定是相对的。目前上海轨道交通网络的规划已经确定,正处于网络化建设时期。建设中如何体现为运营服务、运营为社会服务的宗旨,必须要对网络化的技术特征进行分析。
2.1 网络化的本质
网络化的本质体现在轨道交通网络的开放性、可扩展性和网络发展的持续性。
轨道交通网络的开放性表现在轨道交通网络与其他交通体系的有机衔接、相互支持、融合和一体化;同时,也体现在构成网络专业系统的技术接口的标准化、模块化和公开化。
轨道交通网络的扩展性表现在网络稳定是相对的,发展是绝对的(城市的发展以及其他因素变化),整个网络应具有可调整和可扩展的弹性特征;同时,网络系统技术具有可升级和可拓展的特征。
轨道交通网络的持续性表现在网络建设和运营应集约化和节约能源,网络的建设和运营成本的合理性和可经营性,网络发展应形成持久良性循环。
2.2 网络化的核心
轨道交通网络化的核心是要保证整个网络的安全、可靠和高效的运营。
网络的安全性表现在要保证乘客乘车的安全,保证车辆运行的安全,保证网络系统运转安全。
网络的可靠性表现在要保证整个网络整体运转平衡和网络运转系统的稳态。
网络的高效体现在网络管理的界面分明、层次清晰,网络管理的体系系统科学、流程固化,网络信息的交互准确、传递及时,以及网络整体运转的高效、成本合理。
2.3 网络化的支撑
1)管理体系
网络化的管理支撑围绕网络运营协调中心和应急指挥中心,需要建立从运营协调中心到线路控制中心再到车站自上而下完整固化的网络化运营管理流程。
2)技术体系
网络化的技术体系是指支撑整个网络安全、可靠、高效运转的技术支撑系统,主要包括供电系统,通信系统(包括传输系统、同步系统、交换系统、无线系统、电视监控系统、乘客信息导向系统等),信号系统,票务系统,命名与编码体系,综合信息平台,车辆与车辆基地,联络通道等。
3 网络化建设的要求
根据以上对网络化技术特征的分析,要实现轨道交通网络的安全、可靠、高效运转,必须加快建设网络层面的管理支持体系和技术支撑体系。
3.1 网络化建设的解决方案
围绕网络化的核心和技术支撑,轨道交通网络化建设需要在管理体系、技术基础平台、网络互联互通以及网络的资源整合与共享等方面提出解决方案(见图2)。 1) 管理体系
通过建设网络运营协调中心、网络应急中心、网络清分中心,构建轨道交通网络运营的高效运作管理体系。
① 整个网络确立“两层集中管理、三级分散控制”的网络运营管理业务架构,即建立网络管理层和线路管理层两个集中管理层,线路控制级、车站控制级和现场控制级三级分散控制体系。
② 网络运营协调中心负责网络各种运营状态下的运营指挥协调,建立列车运营管理信息、乘客信息、设备信息以及管理信息的平台;同时建立一套自上向下、各种运营状态下的、覆盖所有岗位的、固化的运营管理流程。网络应急中心负责紧急情况下网络运营的指挥协调,同时建立各种紧急状态下的应急预案。
③ 网络运营协调中心和网络应急中心实现网络监控与应急处置体系的集中与统一,实现网络运营信息的汇集共享,实现与其他交通信息的及时准确互通,实现与市应急中心和相关部门的同步快速联动,从而保障网络运转的安全、平衡、稳态。
④ 清分中心与上海市公共交通卡清算系统完全兼容,并实现联网结算。系统具备每天1600万人次的数据处理容量,具有实现5min内在线客流监督统计功能,能实现网络24h内票款的清算到账;可以适应多票种、多方案票价体系,以及适应复杂网络、多因素、综合优选的精确清分算法;同时系统采用模块化(插件式)设计,拓展性强、灵活性高,可适应网络持续发展和管理方式变化的要求。
2) 技术支撑基础平台
通过建立传输、交换、无线等网络支持系统,构筑网络运作基础平台。
网络传输采用层叠式传输网络结构,能适应不同时期、不同制式、技术升级等网络建设发展要求;无线系统采用数字集群技术,适应无线技术发展方向,同时具有与公务网互通的特性;交换系统适应轨道交通分组、分类用户管理的特点,网络采用交换机异地互备方式,系统可靠性高。
3) 网络互联互通
通过协调制式、统一标准、规划通道,最大程度实现网络互联互通。
互联互通首先是网络信号制式统一。整个网络统一采用基于通信的列车控制(cbtc)制式,为不同线路、不同信号供货商提供的cbtc系统之间的车辆的联通联运奠定基础;对当前集中建设时期,可以实现延伸线不同信号供货商提供的cbtc设备与既有线cbtc系统之间兼容,即实现延伸线不同信号供货商提供的车载设备、轨旁设备与既有线cbtc系统设备的兼容,并构成一个完整、统一的cbtc系统。
网络统一的无线系统、交换系统以及信息传输系统为整个网络实现互联互通创造了条件。
网络联络通道是实现网络互连互通的物理条件。上海轨道交通网络设联络通道29条,其中城轨23条,国铁6条。这些通道可以实现网络各线之间及与国铁的联络,同时各线的联络通道为网络车辆的统一调配和维修资源共享创造条件,与国铁的联络为网络提供了车辆和大型设备的运输通道。
4) 资源整合与共享
在互联互通基础上,通过网络统筹、系统整合,实现资源利用高度共享与集约化。
网络供电系统、控制中心与车辆基地的共享整合原则是:局部服从整体,近期结合远期,分期分步实施;共享后要确保功能,力求先进,实施的可操作性强。
①共享前网络需建设50个主变电站,整合后整个网络只需要建设39个,减少11个110kv受电点,少占22个公用电网110kv间隔,节约土地约1.3hm2,节省投资约15亿元。
②整合后全网络设8个控制中心和1个运营协调中心,分别设在:新闸路(1、2号线)、宝兴路(3、4号线)、颛桥(5号线)、民生路(6、18号线)、新村路(7、16号线)、中山北路(8、10、12号线)、虹梅路(9、15号线)、隆德路(11、13号线)、上海西站(14、17号线、兼运营协调中心)。
③全网络共设车辆基地32处,其中:7个车辆段,25处定修段(场)。整合后车辆基地7处。共享后节省土地约200hm2,同时可以实现设施和人力资源的相对集中,提高设施的利用率,为检修和管理的专业化和社会化创造条件。
3.2 网络化建设基本要求
轨道交通网络化建设的基本要求是:网络建设标准化、系统配置人性化、网络功能最优化、资源利用集约化、综合维修专业化、网络成本合理化、网络管理信息化以及网络效率最大化。
1) 网络建设标准化
网络建设标准化可以提高建设速度、控制建设质量、减低建设风险、方便运营维护、控制建设投资。
2) 系统配置人性化
系统配置人性化旨在改善网络系统环境,赋予网络文化内涵,提升网络服务质量,降低运营劳动强度。
3) 网络功能最优化
网络功能最优化是网络建设的基本目标和要求,网络功能要保证系统运转安全、保持系统平衡、维持系统稳态、提高运转效率。
4) 资源利用集约化
资源利用集约化可以有效利用城市土地资源,综合利用网络设施资源,集约利用管理维护资源,保证网络运营的可经营性。
5) 综合维修专业化
综合维修专业化、社会化可以集约利用维修资源,实现综合维修社会化,提高维修维护质量,降低运营维修成本。
6) 网络成本合理化
网络成本合理化重点着眼降低网络的全寿命周期成本,形成网络运营的良性循环发展。
7) 网络管理信息化
网络管理信息化能够保障网络信息交互传递及时准确,提高网络运营管理效率,确保网络运转安全高效。
8) 网络效率最大化
网络效率最大化主要是实现网络的最大运能,通过实现网络互联互通、高效管理以及合理运营,充分发挥网络效益。
4 结语
网络安全总体规划例8
1.2网络安全。网络安全其从应用的角度包含设备安全、信息安全、软件安全。网络攻击者通过以计算机网络为基础的入侵达到窃取重要信息的目的,同时,也有部分计算机高手为达到某种目的,通过使用计算机网络攻击竞争对手的服务器,进而造成网络企业无法正常运营。本文所讨论的网络安全即是为了防范信息丢失或服务器攻击所采取的措施。
1.3智能规划。智能规划是一个动作序列,是一个智能体agent在初始状态(initialstate)下经过执行动作1,动作2,……,动作n这样的一系列动作,最后到达目标状态(goalstate),该一系列动作,我们也称为是这个动作的序列所构成的整体叫做一个规划。每一个规划问题(planningproblem)都要涉及到以下四个集合:一个操作的集合operators、一个对象的集合objects、一个初始条件集合initialconditions和一个目标集合goals,其中初始条件集合和目标集合的每个元素都是一个命题。
1.4规划识别。规划识别是人工智能一个重要的研究领域,是多学科交叉的一个研究领域,涉及到了知识表达、知识推理、非单调逻辑和情景演算等。规划识别问题是指从观察到的某一智能体的动作或动作效果出发,推导出该智能体的目标/规划的过程。
1.5入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
1.6应对规划。应对规划是将规划识别和智能规划进行融合,实现识别与应对同时进行,针对敌方系统实施的敌意规划,采取一个动作序列来阻止、破坏敌意规划的执行,进而使我方系统不受到破坏或者将所受损失降到最小,这样的动作序列就称为应对规划(counterplan)。在作者蔡增玉的《基于应对规划的入侵防护系统设计与研究》一文中对应对规划赋予的定义是:为Agent根据敌对Agent的动作,利用规划识别技术发现敌对Agent的目标和将来的动作,并采取适当的响应措施阻止敌对Agent目标的实现,整个过程称为应对规划.在网络安全领域,敌对Agent通常是指网络的入侵者。
2识别及应对模型
对于计算机网络安全的研究较多,但是,将智能规划与规划识别技术应用于该领域的研究却并不多见。本文在前期的理论研究的基础上,提出了开放环境下网络安全规划问题的识别与应对模型,进而得到了解决网络安全问题的新的方法。具体模型如图1所示。该模型的具体执行过程是根据针对服务器端或客户端产生的人为攻击,通过入侵检测的方法,检测到该动作后,对这一动作进行识别,并在此动作中提取该动作所导致的系统变化,将变化的结果作为当前系统工作的初始状态,将此状态传递至应对规划器,此规划器中以此状态为初始状态展开应对规划的求解过程,应对规划器均以系统安全为目标状态,并按照规划器得到的规划步骤,触发相关软硬件设备,逐步执行规划中的每个操作,使服务器端及客户端达到安全状态。该模型的核心在于攻击动作的识别及应对规划的产生。动作的识别主要依靠规划识别器,应对规划的产生则依靠应对规划器,将这两个部分进行组合,并应用到网络安全的问题中,进而对人为攻击计算机网络的安全问题有了解决的方法。
网络安全总体规划例9
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照ISO/IEC27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3IT治理方面
整个证券业处于高度信息化的背景下,IT治理已直接影响到行业各公司实现战略目标的可能性,良好的IT治理有助于增强公司灵活性和创新能力,规避IT风险。通过建立IT治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理IT问题,自我评估IT管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lT治理理念引入到我国证券行业,当前我国证券业企业的IT治理存在的问题:一是IT资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是IT治理缺乏明确的概念描述和参数指标;是lT治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5IT人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业IT队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有IT人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的IT治理工作指引中“IT工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的IT队伍肩负着信息系统安全、平稳、高效运行的重任,IT队伍建设是行业信息安全IT作的根本保障。但是,IT人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业IT治理工作
2.2.1提高IT治理意识
中国证券业协会要进一步加强IT治理理念的教育宣传工作,特别是对会员单位高层领导的IT治理培训,将IT治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的IT治理意识,提高他们IT治理的积极性。
2.2.2通过设立IT治理试点形成以点带面的示范效应
根据IT治理模型的不同特点,建议证券公司在决策层使用CISR模型,通过成立lT治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以COBIT模型、ITFL模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lT试点单位,进行IT治理模型选择、剪裁以及组合的实践探索,形成一批成功实施IT治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
网络安全总体规划例10
目前,关于校园网络建设的讨论和探讨很多,但针对校园网中体育馆这个特殊对象的网络建设的研究却很少。而当代的体育馆建设又处于上升期,因此,我们有必要针对院校体育馆的网络建设研究进行下分析。
1.校园网建设基本理论
1.1 校园网建设的总原则
校园网的建设不同于其他局域网的建设,它受限于院校的个体能力和需求,总的而言,总原则不外如下几条:
1)实用性与先进性:校园网的建设首先要符合院校本身的财力、物力与人力,不能超出财政预算,也不能不为现有技术人员所掌握;同时,校园网的建设又要保持一定的前瞻性,要适量地应用最新技术,尤其是最新网络技术。
2)稳定性与可扩性:校园网的建设,同任何网络一样,必须稳定可靠,而不能出现经常性宕机、网络攻击等非稳定现象;同时,校园网的建设,又要保持一定的弹性,有利于在网络建设之后能进行适度更新与再建设。
3)可维护性与可管理性:建好的新校园网,要能为现有网络管理人员所用。[1]
1.2 校园网建设的总流程
校园网的建设流程,和任何网络工程一样,都包括可行性研究与计划、需求分析、系统设计、系统集成、系统测试与运行及维护等活动,期间,分别产生可行性研究报告、需求说明书、设计文档、项目书、测试报告等工程文档。[2]
2.高职院校体育馆的网络建设
参照校园网建设的基本理论,我们以某化工学院的体育馆网络建设为实例,进行具体说明。
2.1 建设背景
化工学院新建体育场馆,需要对场馆进行网络规划。在数字化时代的今天,如何在校园网的基础上营造多姿多彩的数字化氛围,这是作为院校网络管理者必须考虑的问题。
2.1.1 建设目标
具体为:网络需要具备主干千兆,百兆到桌面的能力;具备安全防御能力——接入层设备具备ARP防御功能;
有设备到终端的线路采用六类线缆铺设;接入层设备到汇聚设备之间通过光纤线路连接。
2.1.2 设计原则
体育场馆的网络建设要实现内部全方位的数据共享,应用三层交换,提供全面的QoS保障服务,网络安全可靠,从而实现场馆内智能化的网络应用。所选用设备必须具备高性能、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。所有信息点全部使用6类布线系统。主干线路使用光纤,在满足实用的前提下做到线路冗余。
具体而言,化工学院体育场馆网络建设遵循以下基本原则:
1)高带宽:体育场馆内部新建网络为简洁的二层结构,即接入到汇聚,整个网络构架比较简单。为了保障全网的高速转发,新建网络的组网设计的无瓶颈性,在方案设计的阶段就要充分考虑到,同时要求汇聚交换机具有高性能、高带宽的特性,整网汇聚交换要求能够提供无瓶颈的数据交换。
2)高可靠:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品;合理设计网络架构,制订可靠的网络备份策略,最大限度地支持系统的正常运行。
3)技术先进和实用:在保证满足网络使用需求的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。
4)可扩充:考虑到未来用户数量和业务种类发展的不确定性,要求学校核心机房增加的汇聚交换机具有强大的扩展功能,高效的。网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
5)标准开放:技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠交换传送的需要;开放的接口,支持良好的维护和管理手段。
6)安全可靠:网络结构拓扑方便、灵活。要求支持动态地移动、加入及变化,根据不同客户组成逻辑网段,故要求有虚拟LAN的功能。具有灵活可控的安全管理手段,保证关键数据不被非法窃取、篡改或泄漏,并能满足安全防护规范的要求;安全的远程访问能力(Internet)。
2.2 整体设计
2.2.1 总体设计目标
我们在设计体育场馆网络系统时要综合考虑多种因素,包括未来的扩展、安全理念、应用类型等,同时为了保证网络的稳定,关键设备应当适度超前,满足未来几年的信息增长需求。综合布线系统应采用标准的布线规范,开放式的体系、灵活的模块化结构。系统应能适应于目前的应用,又能面向未来的先进技术;能方便的扩容、变更以适应不断发展的需要,从而保证了用户投资的长远利益和合理性。[3]
2.2.2 网络需求分析
针对本次体育场馆新建网络,本方案的总体设计思想是按照校园网的应用需求,力求为体育场馆的网络使用人员提供一个安全、先进、灵活,高带宽、高可靠性的多业务的网络平台。使得能够基于这个平台,实现外部Internet的快速访问,实现内部网络的连通,并为今后的发展打下良好的基础。[4]
1)骨干层设备需求分析:在网络中骨干设备担负着连接低层设备的工作,同时通过骨干设备的连接,形成一套完整的网络。对于网络的骨干设备同时需要对网络的接入层提供不同的网络层的路由规划和信息转发的功能,同时还需要保证不同级别的网络QoS。设备必须支持对不同部门的规划,如实现全网统一VLAN的规划等。对每个部门分配不同的VLAN并且针对不同VLAN实现不同的安全和控制的策略等。同时需要通过完全的三层策略来进行VLAN的终结和三层数据的交换工作,不建议全网全部采用统一网络协议进行规划,建议采用二层和三层协议相结合的方式共同实现网络的规划工作。
2)接入层需求分析:网络的接入是对用户直接进行数据透传的层次,但是由于网络的特殊性,本次的接入层主要是对一个局域网进行接入。对接入层概念就有了更新的解释。
对本次的接入层的主要需求的分析如下:
A.接入层用户数量大,直接产生大量的数据报文,通过三层的数据承载上来,同时造成碰撞域和冲突域,使网络瓶颈产生于网络的低层,直接影响接入质量。
B.接入层用户数量大,而所应用的数据种类繁多,多种网络业务流量的产生,包括组播业务的产生,对所接入的网络设备要求很高,使整个接入层产生了一个业务接入瓶颈。
C.网络的访问终结于共享数据的特定位置,因为接入层用户需要通过网络最终访问位于网络另一端的共享服务器,而多个用户同时访问远端的同一台服务器或者存在访问网络的其他节点的服务器,就需要这几个用户争抢网络带宽,使接入层瓶颈提升到核心层,造成核心层资源的浪费。并且根据网络流量的分析得出用户的访问方向是不规则的,网络一定会出现闲置的带宽的现象,如何规划路由将非常重要。
D.网络流量和网络流向是宽带网络的一个新瓶颈。对于宽带网络接入,接入层网络的通常是以新2/8原则来划分的,其中有20%的流量是在接入层交换机的内部进行交换的,而80%的网络流量是通过上联出口访问其他的网络设备。这里,就涉及到网络产生流量后,网络流向的问题,网络流向直接造成网络对于流量和流向所产生的网络瓶颈。
E.网络用户是局域网用户,实际接入的用户就是一个网络,那么对于不同网络之间的互访的安全性控制更是由为重要,同时各个不同的部门对本部门内部流通的部分文件是要求要有绝对的安全性的,对其他部门的用户的访问是分为很多的不同的级别的。同时对于关键性的资料,可能会采取完全隔离的做法实现对数据的保密性。
2.3 网络整体解决方案
在学校的核心机房中增加一台S7500E路由交换机,此台设备的增加主要从学校网络长远规划考虑,目前学校机房现有两台核心设备双机热备,新增一台设备,用来汇聚其它楼宇的线路。分担一部分核心的端口占用及负载。此设备可提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全。体育场馆内部的汇聚交换机选用一款三层多光口的千兆交换机,利用其高效、稳定、可靠的性能保障整个场馆网络畅通。所有信息点全部使用六类线铺设,接入层设备建议采用百兆二层交换机,通过802.1x、Guest VLAN、防ARP欺骗、防蠕虫病毒、防MAC地址攻击、智能绑定(一键绑定)、DHCP Snooping、ACL等一系列安全特性保证网络稳定的运行。
具体的网络拓扑结构图如图1。[5]
3.总结
通过此体育馆的网络建设,我们发现,在过程与方法上,体育馆的网络建设,基本可以采用校园网的建设流程与方法,并且,其骨干层必须在校园网整体建设的基础上进行。但是,体育馆的网络建设,也有它的独特性,比如它的接入层相对简单而又密集等。
参考文献
[1]陈永清.校园网络建设方案与策略[J].电脑知识与技术,2005(15).
[2]田丰,王自强.网络工程与实训[J].北京:冶金工业出版社,2007.
[3]胡同宇,曹哲新,邓涛.高校校园网建设现状与趋势[J].金华职业技术学院学报,2004(3).
