网络安全防护方案【优选】
为了确保事情或工作科学有序进行,常常需要预先制定方案,方案是书面计划,是具体行动实施办法细则,步骤等。方案要怎么制定呢?以下是小编帮大家整理的网络安全防护方案,欢迎大家分享。
网络安全防护方案1
1、引言
随着时代的发展,社会的进步。卫星通信的应用领域不断拓展。通过此类通信技术可实现基于卫星的无线通信功能。如北斗卫星通信系统,为我们提供了基于北斗卫星的短信息通信及经纬度定位功能。如亚洲卫星通信公司提供的卫星通信服务,为我们提供了基于数据链路的网络信息数据传输。还如G S卫星通信系统,可以实现为我们进行车载导航的功能。总之,卫星通信应用已经深入到我们生活的方方面面,深刻变革者我们的通信方式,提高了我们的生活质量。
众所周知,卫星通信网络是建立在无线通信基础之上的。无线通信具有一定的'不稳定性,其原因在于,无线通信信道的通信质量容易受到外界环境的干扰。如城市楼房、障碍物造成的阴影通信衰减、还如无线信号经过多重反射等情况造成的多路径信号衰减,还有受到的恶意无线信号同频干扰,以及基于开放无线环境的病毒入侵。
在此无线通信环境下,卫星通信网络机房的安全性建设成为社会研究热点。为了进一步深化此项研究,我们提出了一种卫星通信网络机房体系的构建。文中给出了卫星通信网络机房安全威胁因素,并有针对性的给出了安全防护体系构建策略,本文方法能够为卫星通信网络机房信息化建设职能部门提供智力支持。
2、安全防护体系总体架构概述
本文构建的卫星通信网络机房安全防护体系分为三个分系统,一是无线干扰测试系统;二是功率自适应分配系统;三是网络入侵检测与处理系统。这三个系统通过主干网络交换机接入卫星通信网络机房,实现机房的安全防护功能。
3、安全防护体系详细设计
3.1 无线干扰测试系统设计
无线干扰测试系统的功能是对无线空域内的无线信号进行感知,对测试到的同频干扰向用户进行报知。
此系统的主体软件采用广州思谋信息科技有限公司开发和研制的无线通信网络测试软件,著作权号为20xxSR233189。此软件采用基于TDD的上下行同频互逆原理,利用反向覆盖测试替代传统前向覆盖测试。实现了较为先进的无线网络信号感知与测试功能。
网络管理员通过此软件反馈出来的信息,如果发现有同频干扰信号,则可以向卫星资源授权单位及无线电管委会进行申诉,排除此非法干扰,保障信号安全、稳定。
3.2 功率自适应分配系统设计
功率自适应分配系统的功能是通过对信道质量的判断,自动调节信号源的发射功率,提高系统的传输质量。
此系统的主体软件采用广州思谋信息科技有限公司的无线通信网格优化软件,著作权号为20xxSR233184。此软件采用C#语言编写,软件规模较小,具有较强的灵活性、适用性及可维护性。实现了无线通信频率信道质量检测,并能实现功率的自适应调整。
自适应调整过程为:当信道质量较低,无线通信BER参数值升高时,提高无线发射功率,当信道质量较好,发射功率过大时,可以降低功率,减小对邻近频率的用户影响。
3.3 网络入侵检测与处理系统
网络入侵检测与处理系统的硬件组成包括网络防火墙、入侵检测设备、杀毒软件、网络端口安全防护软件等。
此部分的操作流程为:通过网络防火墙及网络端口安全防护软件,对网络访问地址进行黑白名单的设置,开放特定的网络端口,允许特定的I 地址对网络设备进行访问和通信,对不确定网络地址进行屏蔽,并放入黑名单中。同时开启入侵检测设备,对网络内的不安定因素进行控制;另外,定期进行系统杀毒,对潜在的病毒进行查杀,增强系统的安全防护能力。
网络安全防护方案2
1、网络现状及防护需求
福建省莆田电业局已构建了信息网络,已经稳定运行有财务管理、安全生产管理、协同办公、电力营销、ERP等应用系统。随着国家电网公司“SG186”工程的信息化建设的推进工作,网络和信息系统情况复杂,迫切需要进行信息安全全面建设。
根据国家《信息安全技术信息系统安全等级保护实施指南》(GB/T22240-2008)、国家《信息安全技术信息系统安全等级保护基本要求》(GB/T-22239-2008)、《国家电网公司“SG186”工程安全防护总体方案》、《国家电网公司“SG186”工程信息系统安全等级保护基本要求》、《国家电网公司“SG186”工程信息系统安全等级保护验收测评要求(试行)》等文件要求,按照统筹资源,重点保护,适度安全的原则,依据等级保护定级结果,采用“二级系统统一成域,三级系统独立分域”的方法,对信息网络系统进行分级分域。
2、安全防护建设目标
通过项目的实施,按照“层层递进,纵深防御”的思想,从边界、网络、主机、应用四个层次进行安全防护等级保护设计和施工,使莆田电业局信息系统符合国家和国家电网公司的网络与信息系统等级保护建设要求。
3、实施方法
信息系统分级分域安全防护建设一般分三个阶段:
第一阶段:合理进行安全域划分和初步规划,针对重要信息进行防护。主要表现在针对业务安全要求比较高的信息系统如ERP、财务系统域进行防护,以及针对互联网出口的应用层防护。
第二阶段:针对当前信息网络状态,按照等级保护要求进行等级化评估、安全评估和合理定级,全面获取当前安全现状以及企业信息化建设的特殊需求。在评估基础上,全面从等级保护要求及企业信息化建设的安全需求出发,合理进行安全方案设计。
第三阶段:根据设计方案,全面开展等级化改造,包括技术措施和管理措施的完善,建立完整的信息安全体系,并且根据相关要求进行运行维护。
4、分级分域安全防护方解决方案
信息网络系统分级分域安全防护建设应当按照国家标准和国家电网公司“SG186”工程相关规定的要求完成,通过项目建设实施保障莆田电业局信息化管理系统的安全运营。
4.1 分级分域设计方案及安全等级建设要求
莆田电业局信息网络主要分为两个部分:信息内网和信息外网,两个网络之间通过强制隔离设备进行隔离。
信息内网分级分域及安全等级建设要求:
4.1.1二级系统域
二级系统域是指协同办公系统、财务管理系统、安全生产管理系统、人力资源管理系统、企业门户、ERP等信息系统
安全建设等级:基于信息系统的整合,所有二级系统统一部署于二级系统域,并根据国家安全等级保护标准和国家电网公司“SG186”工程信息系统安全等级保护基本要求等规范要求,按照安全防护等级二级进行建设。
4.1.2内网桌面终端域
信息内网桌面终端是用于内网业务操作及内网业务办公处理,通过对桌面办公终端按业务部门或访问类型进一步进行VLAN区域细分,实现不同的业务访问需求指定访问控制及其他防护措施,由于桌面终端的安全防护与应用系统不同,将其划分为独立区域进行安全防护。
安全建设等级:按照安全等级二级进行安全建设;
信息外网分级分域及安全等级建设要求:
4.1.3外网应用系统域
需与互联网进行数据交换的系统统一部署为外网系统域。
安全建设等级:按照安全等级二级进行安全建设;
4.1.4外网桌面终端域
外网桌面终端用于外网业务办公及互联网访问,对外网桌面办公终端按业务部门或访问类型进行区域细分,针对不同业务访问需求进行访问控制及其他防护措施。
安全建设等级:按照安全等级二级进行安全建设;
4.2 安全防护部署方案
4.2.1防火墙等级保护部署方案
目前网络中主要使用防火墙来保证基础安全。它监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
项目在四个域与核心交换机的连接点分别部署了启明星辰天清汉马USG-FW-4000D防火墙(见图1),并进行了相应的配置。
防火墙典型的网络部署模式包括路由模式和透明模式,本项目中,考虑到防火墙负责转发各个区域的用户访问,采取透明模式部署。
根据企业安全区域的划分,部署防火墙对不同区域之间的网络流量进行控制,基本原则为:高安全级别区域可以访问低安全级别区域,低安全级别严格受控访问高安全级别区域,进行如下基本配置策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of death、udp flood等拒绝服务攻击进行防范;
配置防火墙全面安全防范能力,包括arp欺骗攻击的防范,提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等。
4.2.2入侵防护系统等级保护部署方案
在传统的安全解决方案中,防火墙和入侵检测系统已经无法满足高危网络的安全需求,互联网上流行的蠕虫、P2P、木马等安全威胁日益滋长,必须有相应的技术手段和解决方案来解决对应用层的安全威胁。以入侵防御系统为代表的应用层安全设备作为防火墙的重要补充,很好地解决了应用层防御的.问题,并且变革了管理员构建网络防御的方式。通过部署IPS,可以在线检测并直接阻断恶意流量。项目在外网系统部署1台启明星辰天清NIPS3060入侵防护系统。
4.2.3服务器换机等级保护部署方案
服务器交换机采用华为QuidwayS9306高端多业务路由交换机,该产品基于华为公司自主知识产权的Comware V5操作系统,融合了MPLS、IPv6、网络安全等多种业务,提供不间断转发、优雅重启、环网保护等多种可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低企业的总拥有成本。
项目配置两台华为QuidwayS9306交换机分别用作内网二级系统域和外网应用系统域,配置冗余电源、双引擎、2块48端口千兆电口板、1块48端口SFP千兆光口板卡,保证了服务器换机的安全可靠。
4.2.4终端汇聚交换机等级保护部署方案
终端汇聚交换机采用华为Quidway LS-S5328C交换机,实现信息内外网桌面终端域的安全接入。
华为QuidwayLS-S5300系列交换机是华为公司最新开发的增强型IPv6万兆以太网交换机,具备业界盒式交换机最先进的硬件处理能力和丰富的业务特性。支持最多4个万兆扩展接口;支持IPv4/IPv6硬件双栈及线速转发;出色的安全性、可靠性和多业务支持能力使其成为网络汇聚和城域网边缘设备的第一选择。
配置2台桌面终端汇聚交换机分别部署在信息内网和信息外网的桌面终端域接口上。
5、网络安全成果分析
福建省莆田电业局信息网络系统分级分域安全防护建设项目从边界、网络、主机、应用四个层次进行了安全防护等级保护设计及工程实施,对原有网络、安全设备进行了调整,实现了安全域的划分,实现了对关键业务的安全防护,达到了国家和国家电网公司的网络与信息系统等级保护建设要求,并通过了国家电网公司等级测评验收。
网络安全防护方案3
广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。
目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。
如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。
20xx年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的.正常运行,还包括存储在医院应用系统中的各种数据的安全性和可靠性得到保障。
此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。
作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。
解决之道冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。
针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。
实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。
对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。
冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。
【网络安全防护方案】相关文章:
网络安全防护方案07-08
计算机网络安全的防护与发展10-07
计算机通信网络安全与防护论文10-09
浅议网络安全计算机通信技术防护10-26
基础越冬防护方案03-15
基坑防护施工方案10-07
电力信息通信系统网络安全防护研究论文10-09
计算机通信网络安全防护策略04-01