網絡安全防護方案【優選】
為了確保事情或工作科學有序進行,常常需要預先制定方案,方案是書面計劃,是具體行動實施辦法細則,步驟等。方案要怎么制定呢?以下是小編幫大家整理的網絡安全防護方案,歡迎大家分享。
網絡安全防護方案1
1、引言
隨著時代的發展,社會的進步。衛星通信的應用領域不斷拓展。通過此類通信技術可實現基于衛星的無線通信功能。如北斗衛星通信系統,為我們提供了基于北斗衛星的短信息通信及經緯度定位功能。如亞洲衛星通信公司提供的衛星通信服務,為我們提供了基于數據鏈路的網絡信息數據傳輸。還如G S衛星通信系統,可以實現為我們進行車載導航的功能。總之,衛星通信應用已經深入到我們生活的方方面面,深刻變革者我們的通信方式,提高了我們的生活質量。
眾所周知,衛星通信網絡是建立在無線通信基礎之上的。無線通信具有一定的'不穩定性,其原因在于,無線通信信道的通信質量容易受到外界環境的干擾。如城市樓房、障礙物造成的陰影通信衰減、還如無線信號經過多重反射等情況造成的多路徑信號衰減,還有受到的惡意無線信號同頻干擾,以及基于開放無線環境的病毒入侵。
在此無線通信環境下,衛星通信網絡機房的安全性建設成為社會研究熱點。為了進一步深化此項研究,我們提出了一種衛星通信網絡機房體系的構建。文中給出了衛星通信網絡機房安全威脅因素,并有針對性的給出了安全防護體系構建策略,本文方法能夠為衛星通信網絡機房信息化建設職能部門提供智力支持。
2、安全防護體系總體架構概述
本文構建的衛星通信網絡機房安全防護體系分為三個分系統,一是無線干擾測試系統;二是功率自適應分配系統;三是網絡入侵檢測與處理系統。這三個系統通過主干網絡交換機接入衛星通信網絡機房,實現機房的安全防護功能。
3、安全防護體系詳細設計
3.1 無線干擾測試系統設計
無線干擾測試系統的功能是對無線空域內的無線信號進行感知,對測試到的同頻干擾向用戶進行報知。
此系統的主體軟件采用廣州思謀信息科技有限公司開發和研制的無線通信網絡測試軟件,著作權號為20xxSR233189。此軟件采用基于TDD的上下行同頻互逆原理,利用反向覆蓋測試替代傳統前向覆蓋測試。實現了較為先進的無線網絡信號感知與測試功能。
網絡管理員通過此軟件反饋出來的信息,如果發現有同頻干擾信號,則可以向衛星資源授權單位及無線電管委會進行申訴,排除此非法干擾,保障信號安全、穩定。
3.2 功率自適應分配系統設計
功率自適應分配系統的功能是通過對信道質量的判斷,自動調節信號源的發射功率,提高系統的傳輸質量。
此系統的主體軟件采用廣州思謀信息科技有限公司的無線通信網格優化軟件,著作權號為20xxSR233184。此軟件采用C#語言編寫,軟件規模較小,具有較強的靈活性、適用性及可維護性。實現了無線通信頻率信道質量檢測,并能實現功率的自適應調整。
自適應調整過程為:當信道質量較低,無線通信BER參數值升高時,提高無線發射功率,當信道質量較好,發射功率過大時,可以降低功率,減小對鄰近頻率的用戶影響。
3.3 網絡入侵檢測與處理系統
網絡入侵檢測與處理系統的硬件組成包括網絡防火墻、入侵檢測設備、殺毒軟件、網絡端口安全防護軟件等。
此部分的操作流程為:通過網絡防火墻及網絡端口安全防護軟件,對網絡訪問地址進行黑白名單的設置,開放特定的網絡端口,允許特定的I 地址對網絡設備進行訪問和通信,對不確定網絡地址進行屏蔽,并放入黑名單中。同時開啟入侵檢測設備,對網絡內的不安定因素進行控制;另外,定期進行系統殺毒,對潛在的病毒進行查殺,增強系統的安全防護能力。
網絡安全防護方案2
1、網絡現狀及防護需求
福建省莆田電業局已構建了信息網絡,已經穩定運行有財務管理、安全生產管理、協同辦公、電力營銷、ERP等應用系統。隨著國家電網公司“SG186”工程的信息化建設的推進工作,網絡和信息系統情況復雜,迫切需要進行信息安全全面建設。
根據國家《信息安全技術信息系統安全等級保護實施指南》(GB/T22240-2008)、國家《信息安全技術信息系統安全等級保護基本要求》(GB/T-22239-2008)、《國家電網公司“SG186”工程安全防護總體方案》、《國家電網公司“SG186”工程信息系統安全等級保護基本要求》、《國家電網公司“SG186”工程信息系統安全等級保護驗收測評要求(試行)》等文件要求,按照統籌資源,重點保護,適度安全的原則,依據等級保護定級結果,采用“二級系統統一成域,三級系統獨立分域”的方法,對信息網絡系統進行分級分域。
2、安全防護建設目標
通過項目的實施,按照“層層遞進,縱深防御”的思想,從邊界、網絡、主機、應用四個層次進行安全防護等級保護設計和施工,使莆田電業局信息系統符合國家和國家電網公司的網絡與信息系統等級保護建設要求。
3、實施方法
信息系統分級分域安全防護建設一般分三個階段:
第一階段:合理進行安全域劃分和初步規劃,針對重要信息進行防護。主要表現在針對業務安全要求比較高的信息系統如ERP、財務系統域進行防護,以及針對互聯網出口的應用層防護。
第二階段:針對當前信息網絡狀態,按照等級保護要求進行等級化評估、安全評估和合理定級,全面獲取當前安全現狀以及企業信息化建設的特殊需求。在評估基礎上,全面從等級保護要求及企業信息化建設的安全需求出發,合理進行安全方案設計。
第三階段:根據設計方案,全面開展等級化改造,包括技術措施和管理措施的完善,建立完整的信息安全體系,并且根據相關要求進行運行維護。
4、分級分域安全防護方解決方案
信息網絡系統分級分域安全防護建設應當按照國家標準和國家電網公司“SG186”工程相關規定的要求完成,通過項目建設實施保障莆田電業局信息化管理系統的安全運營。
4.1 分級分域設計方案及安全等級建設要求
莆田電業局信息網絡主要分為兩個部分:信息內網和信息外網,兩個網絡之間通過強制隔離設備進行隔離。
信息內網分級分域及安全等級建設要求:
4.1.1二級系統域
二級系統域是指協同辦公系統、財務管理系統、安全生產管理系統、人力資源管理系統、企業門戶、ERP等信息系統
安全建設等級:基于信息系統的整合,所有二級系統統一部署于二級系統域,并根據國家安全等級保護標準和國家電網公司“SG186”工程信息系統安全等級保護基本要求等規范要求,按照安全防護等級二級進行建設。
4.1.2內網桌面終端域
信息內網桌面終端是用于內網業務操作及內網業務辦公處理,通過對桌面辦公終端按業務部門或訪問類型進一步進行VLAN區域細分,實現不同的業務訪問需求指定訪問控制及其他防護措施,由于桌面終端的安全防護與應用系統不同,將其劃分為獨立區域進行安全防護。
安全建設等級:按照安全等級二級進行安全建設;
信息外網分級分域及安全等級建設要求:
4.1.3外網應用系統域
需與互聯網進行數據交換的系統統一部署為外網系統域。
安全建設等級:按照安全等級二級進行安全建設;
4.1.4外網桌面終端域
外網桌面終端用于外網業務辦公及互聯網訪問,對外網桌面辦公終端按業務部門或訪問類型進行區域細分,針對不同業務訪問需求進行訪問控制及其他防護措施。
安全建設等級:按照安全等級二級進行安全建設;
4.2 安全防護部署方案
4.2.1防火墻等級保護部署方案
目前網絡中主要使用防火墻來保證基礎安全。它監控可信任網絡和不可信任網絡之間的訪問通道,以防止外部網絡的危險蔓延到內部網絡上。
項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1),并進行了相應的配置。
防火墻典型的網絡部署模式包括路由模式和透明模式,本項目中,考慮到防火墻負責轉發各個區域的用戶訪問,采取透明模式部署。
根據企業安全區域的劃分,部署防火墻對不同區域之間的網絡流量進行控制,基本原則為:高安全級別區域可以訪問低安全級別區域,低安全級別嚴格受控訪問高安全級別區域,進行如下基本配置策略:
防火墻設置為默認拒絕工作方式,保證所有的數據包,如果沒有明確的規則允許通過,全部拒絕以保證安全;
配置防火墻防DOS/DDOS功能,對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范;
配置防火墻全面安全防范能力,包括arp欺騙攻擊的防范,提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。
4.2.2入侵防護系統等級保護部署方案
在傳統的安全解決方案中,防火墻和入侵檢測系統已經無法滿足高危網絡的安全需求,互聯網上流行的蠕蟲、P2P、木馬等安全威脅日益滋長,必須有相應的技術手段和解決方案來解決對應用層的安全威脅。以入侵防御系統為代表的應用層安全設備作為防火墻的重要補充,很好地解決了應用層防御的.問題,并且變革了管理員構建網絡防御的方式。通過部署IPS,可以在線檢測并直接阻斷惡意流量。項目在外網系統部署1臺啟明星辰天清NIPS3060入侵防護系統。
4.2.3服務器換機等級保護部署方案
服務器交換機采用華為QuidwayS9306高端多業務路由交換機,該產品基于華為公司自主知識產權的Comware V5操作系統,融合了MPLS、IPv6、網絡安全等多種業務,提供不間斷轉發、優雅重啟、環網保護等多種可靠技術,在提高用戶生產效率的同時,保證了網絡最大正常運行時間,從而降低企業的總擁有成本。
項目配置兩臺華為QuidwayS9306交換機分別用作內網二級系統域和外網應用系統域,配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡,保證了服務器換機的安全可靠。
4.2.4終端匯聚交換機等級保護部署方案
終端匯聚交換機采用華為Quidway LS-S5328C交換機,實現信息內外網桌面終端域的安全接入。
華為QuidwayLS-S5300系列交換機是華為公司最新開發的增強型IPv6萬兆以太網交換機,具備業界盒式交換機最先進的硬件處理能力和豐富的業務特性。支持最多4個萬兆擴展接口;支持IPv4/IPv6硬件雙棧及線速轉發;出色的安全性、可靠性和多業務支持能力使其成為網絡匯聚和城域網邊緣設備的第一選擇。
配置2臺桌面終端匯聚交換機分別部署在信息內網和信息外網的桌面終端域接口上。
5、網絡安全成果分析
福建省莆田電業局信息網絡系統分級分域安全防護建設項目從邊界、網絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施,對原有網絡、安全設備進行了調整,實現了安全域的劃分,實現了對關鍵業務的安全防護,達到了國家和國家電網公司的網絡與信息系統等級保護建設要求,并通過了國家電網公司等級測評驗收。
網絡安全防護方案3
廣州某醫院擁有專業技術人員1100余人、床位850張、專業學科43個,現已發展成為集醫療、教學、科研、預防、保健、康復功能于一體的、面向海內外開放的綜合性現代化醫院。隨著信息化的發展,該醫院的醫療系統也進入了數字化和信息化時代,大型的數字化醫療設備、各種醫院管理信息系統和醫療臨床信息系統在醫院中得到應用。數字化醫療建設,不但使醫院的工作流程發生了變化,同時也對醫院信息化建設提出了更高的要求。
目前,該醫院已應用了HIS、EMR、LIS、PACS等信息系統,涵蓋了醫院日常工作流程,比如掛號、診療、化驗、劃價、收費等,同時也覆蓋醫院各個角落,如病房、藥房、醫療設備等。隨著電子病歷、遠程醫療的不斷發展,病人在就醫過程中的信息將越來越多地以數字化的方式保存在醫院的醫療信息系統中。
如何保證這些醫療數據的安全性、有效性,是醫院信息系統所面臨的、不可回避的問題。
20xx年底,該醫院新大樓建成,華僑醫院的信息網絡改造項目也同步啟動。這次改造不僅要提高網絡與信息系統基礎設施建設,而且還將信息系統安全建設納入其中。該醫院的信息安全主管人員清醒地認識到:醫院信息系統的正常運行,不僅包含網絡、主機設備的.正常運行,還包括存儲在醫院應用系統中的各種數據的安全性和可靠性得到保障。
此前,該醫院的信息系統已部署了防火墻、入侵檢測系統和網絡防病毒系統等安全產品。為了此次新大樓的網絡安全改造建設,醫院邀請產品供應商和業界優秀的公司共同探討新信息系統的安全建設方案。該醫院希望其安全建設方案能夠實現以下功能:既要考慮現有系統的安全、有效運行,又要兼顧華僑醫院未來五年的信息化發展。
作為該醫院原有信息安全產品供應商,北京冠群金辰軟件有限公司(簡稱冠群金辰)也參與了新信息系統的安全建設,并提出針對該醫院的安全解決方案建議。
解決之道冠群金辰認為,該醫院現有信息安全系統中的防火墻、防毒墻、IDS和防病毒的防護架構可以保留,但隨著醫院新大樓投入使用,網絡中的終端節點會增多,網絡流量將大幅增長,所以,需要對現有防火墻、IDS等系統進行升級,提升現有防護系統的處理能力,以適應網絡提速的要求,保障正常的網絡業務運行;同時,針對網絡中新增的客戶端節點,繼續部署防病毒系統和終端安全管理系統,以應對越來越復雜的終端安全防護問題。
針對目前醫院網站服務器保護的安全盲點,冠群金辰提出了針對Web網站安全建議:使用專業的網站防護系統采用層次化的Web主動防護技術,對醫院網站服務器進行有效防護。
實際上,冠群金辰為該醫院提出的網絡安全整體解決方案涵蓋了從邊界、網絡到主機,多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設備將非法訪問、病毒、入侵攻擊等阻擋在網絡外部。在網絡層面,該解決方案對網絡中的流量進行檢測,查找正在發生或將要發生的網絡攻擊,并及時采取措施,比如報警、阻斷、記錄等。
對于網絡安全中常見的病毒、信息泄露等安全威脅,該方案中的防病毒軟件和終端安全管理系統為主機系統提供了基本的安全保障。
冠群金辰為此方案提供了KILL系列安全產品,即KILL防火墻、KILL入侵檢測系統、KILL上網行為管理系統、KILL防毒墻、KILL網絡防病毒系統、KILL終端安全管理系統和KILL Web安全網關,為該醫院的網絡構筑了一個多層次的安全防護體系。從網絡訪問控制、流量控制、入侵攻擊、病毒查殺、終端準入和Web防護等方面,該方案對該醫院的網絡提供全面的安全保護。
【網絡安全防護方案】相關文章:
網絡安全防護方案07-08
計算機網絡安全的防護與發展10-07
計算機通信網絡安全與防護論文10-09
淺議網絡安全計算機通信技術防護10-26
基礎越冬防護方案03-15
基坑防護施工方案10-07
電力信息通信系統網絡安全防護研究論文10-09
計算機通信網絡安全防護策略04-01