摘要:

我在行政事业单位信息技术部门工作,我单位与2008年建成网络,并先后在内部网络上建设了OA系统,个人征信系统,2010 年建设支付结算等重要的资金类业务系统。这些系统均以网络为支撑,采取多类型客户机/服务器模式运行,并且各系统对于安全性要求不同,安全可靠性不同的应用运行在统一个网上,给黑客、病毒攻击提供了方便之门,给我单位的网络造成了极大的威胁。作为信息技术中心网络部的负责人我在经过各方面的协调下,在得到领导的大力支持下,并获得了一定额度的资金的前提条件下,充分利用成熟技术,对我单位及其我省的网络进行了全方面细致的规划,使得改造后的网络大大提高的它的安全性。

本文将阐述就我在网络安全方面采取的方法和策略。主要有网络边界防火墙技术、入侵检测技术、防病毒技术、交换机技术、集中网络管理。由于资金投入不足,我的单位的网络还存在一些问题和不足,并且提出改进的办法。

正文

我在行政事业单位信息技术中心工作,我单位与2008年建成向上连接到垂管局,向下连接到各基层处的网络。随着信息技术的不断发展,我单位的信息化建设程度不断提高,建设以办公自动化系统(0A)为中心,附带电子邮件、即时消息系统、公文传输、门户网站等办公系统,同时我单位又是央行的基层单位,负责解决本省各家金融机构跨行资

金清算实时清算的问题,建设一套加快资金运转的系统,同城清算系统,还有总行推行的全国支付清算系统,是为全国跨省、跨行进行资金实时清算的系统。随着业务需求的不断增加,银行信息系统对网络的依赖程度越来越高,网络的安全问题不断的暴露出来。网络安全遵循木桶原则,也就是网络的安全性决定于最低的那块木板。不同的业务系统运行在同一个网络上,网络安全程度就可想而知了,这就会为黑客、病毒攻击提供了方便之门。

我作为网络部的负责人,系统安全一直是困扰我的一个话题。特别是随着办公自动化系统,同城清算系统,大、小额支付系统、个人征信系统、企业征信系统的上线,网络安全问题显得尤为突出,到了非解决不可的时候。与2008年我与相关部门沟通、交流,并且得到了领导的理解和大力的支持。在一定的资金支持下, 我在网络安全可以容忍的程度上和建设成本上之间作出了取舍。充分使用现有的成熟的技术,并且极大的发挥管理的功效,提高了我省网络的安全,为业务系统的安全、稳定运行保驾护航。我采用了以下技术和策略提高网络的安全性。

1利用交换机技术的vlan技术依据业务需求划分的办公虚拟子网、清算系统虚拟子网、征信虚拟子网等;2在边界架设防火墙,进行访问控制、端口限制。3多角度的防止病毒入侵。4制定网络安全管理办法,建立集中网络安全管理。

一、网络安全隔离

为了达到各业务系统不互相干扰,最好的办法是对网络进行隔离,隔离有两种方式,一种是物理隔离,一种是逻辑隔离。物理隔离是最安全的网络隔离方式,但是他的建设成本非常大,不仅要在网络设备、终端设备上进行重复投资,而且还要在网络线路上花费较大的投资。而逻辑隔离可以减少成本投入,但是它的安全级别就会降低。所以综合考虑我采用逻辑隔离的方式进行网络隔离,正对不同业务的不同需求和各业务的性质,划分不同的虚拟子网。

我在分行的机关的局域网部署了两台cisco6509交换机作为局域网的核心设备,并利用交换机技术-VLAN技术,根据目前的业务系统的需求,划分了不同的虚拟子网进行网络隔离。为OA系统的服务器及其所以的客户端划分了OA 虚拟子网,由于客户端的数量较多,我设置了两个OA虚拟子网,使用了两个C类的地址;为征信类系统的及其客户端划分zhengxin 虚拟子网,因使用该系统的人数较少,使用了一个C类地址的前60个地址;为资金类业务系统划分了zijin虚拟子网。并且利用交换机的访问控制技术严格控制访问的权限。最终这几个虚拟子网不能相互访问,达到提高网络安全性,保护重要业务系统。

二、多角度的防病毒体系

随着技术的更新、发展,系统漏洞似乎永远也补不完全,病毒已到了无处不在,无时不在的处境。严重影响网络安全和系统安全,小则可以毁掉一个系统, 大则使得网络瘫痪、

机密信息泄漏、重要业务系统不能提高正常服务,在社会中造成不良影响。因而首先经过测试、调研在我省系统内部建立一套企业版的 symantec防病毒系统,取代单机版的防病毒软件,而且能够保证实时更新病毒代码,这就提高了网络杀毒能力。其次,防病毒软件是被动肯定无力防范,而且不能防止针对系统漏洞的攻击。我采用了两种策略提高主动防范的能力。

1。我依靠成熟的广域网路由器上建立-个策略禁止访问常见病毒攻击端口,并且把它应用到广域网出口上,防止病毒入侵。实践证明在查看策略表时会发现有较多的被拦截的数据

包。

  1. 在核心交换机上,依据业务数据的数据流流向建立了一系列的访问控制列表,就是把应该或必须访问的客户端对服务器的访问放开,其它客户端一概被策略拒绝访问。

3由于我省大多数计算机是windows系列的操作系统,所以综合考虑在网络上建设一套landesk补丁分发系统,解决为windows自动安全补丁程序的问题。进-步提高的计算机安全性,当然也提高了网络的安全性。

三、在网络边界采取安全访问控制机制

我单位作为中央银行的基层单位要通过与各家金融机构、企业、事业单位和相关政府提供金融服务,所以在建网初期使用-台cisco3662 的路由器与各家机构互联,并且通过NAT

进行地址转换来提供服务。但是随着个人征信系统、企业征信系统,和大、小额现代化支付等系统的正式。上线,这种简单的网络构架已不能满足网络的安全性需求。此次工程中购置了两台cisco7304路由器和两台中软华泰2000型防火墙建设金融同城市网络,就是我行通过此网络为各家机构提供的金融服务。经过详细的调查研究,我行对外提供服务系统都是通过防火墙进行地址转换,转换为虚地址提供访问,同时其他机构数据通过防火墙时要进行双向地址的端口映射,也就是说只有规定的IP 地址能够访问指定的那个IP地址的指定的端口,其它IP地址或者端口不能被访问。事实证明该策略恰当有效,保证了系统安全。

四、集中网络安全管理

由于我省县级机构较多,而且没有统一的管理平台,所以在网络安全管理上较混乱,管理不善其本身就有增加非常多的人为安全隐患。我组织了全省的网络管理人员一起认真学习

了相关的网络安全管理制度、成功的企业网络管理案例等后,仔细讨论研究拟定了适合我省的网络安全管理制度。当然,只是依靠制度,没有先进的技术是不能把网络管理起来的。所以在全省统一建立-一套网络管理平台,统一监控平台。 把网络系统平台由原先的被动管理转向主动管理,被动处理故障转变为主动故障预警。使得制度通过网络管理平台得以具体体现,管理平台使得制度被严格的执行起来。

总之在工程实施完成后网络的安全性得到很大的提升,得到了各方面的认可。但是同时也发现了一些不足之处需要改进。

一、在核心交换机中部署的业务系统的访问控制列表,只是具体到了IP 级控制,没有具体到端口,这就为合法访问的IP地址提供了非法攻击的可能。

二、在接入层交换机中对于重要的业务系统服务器采取MAC地址+IP地址+交换机端口进行绑定。可以有效的阻止ARP等病毒的攻击。

三、在部署了入侵检系统后,因该考虑使用与防火墙联动起来,阻拦外部入侵。

四、在各单位的网络出口上也要部署防火墙系统,并且与入侵检测系统联动,可以有效制止来自内部的非法入侵行为。

论计算机网络的安全性设计-1相关推荐

  1. 系统架构师论文-论计算机网络的安全性设计(证券网络交易系统)

    论计算机网络的安全性设计 -证券网络交易系统 [摘要] 我在一家证券公司信息技术部门工作,我公司在97-98年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统.办公系统,并开 ...

  2. 安全性和保密性设计---系统的安全性设计

    系统的安全性设计 要设计一个安全的系统,除了要了解一些前面讲到的常用的保护手段和技术措施外,还要对系统中可能出现的安全问题或存在的安全隐患有充分的认识,这样才能对系统的安全作有针对性的设计和强化,即& ...

  3. 南通大学计算机网络及应用,南通大学《计算机网络》课程设计资料.pdf

    南 通 大 学 课 设 计 报 告 课程名称 : _____ 课题名称 : 课设二 学 号 : ___ 姓 名 : 梁博生 ________ 班 级 : 网工 131________ 计算机科学与技术 ...

  4. java接口安全怎么处理_Restful API 接口安全性设计

    1.API接口设计规范 2.安全性设计 a.白名单限制 仅接受特定系统的请求响应,调用方的IP地址需要在本系统中报备,否则无法调用 b.合法身份合法性验证 Basic Authentication : ...

  5. 安全性设计之-ip白名单设计

    安全性设计之-ip白名单设计 最近一直在做系统的接口开发,接口对于安全性有一定的要求,采用了一定的安全措施,各种加解密,证书手段也采用了.做了这些常见的安全措施之后,考虑到限制非法ip的访问,决定采用 ...

  6. 小学了解计算机网络微课设计,基于微课的计算机网络课程教学设计研究

    施春 摘 要:伴随互联网不断发展,信息技术的应用范围不断扩大.各学科在教学中开始广泛应用信息化技术,其中微课技术便是一种非常常见且适用的教学方法.由于微课的应用优势明显,因此在计算机网络课程教学设计中 ...

  7. FPGA的安全性设计的重要性

    01.FPGA 如今,FPGA早已超越了原本作为原型设计工具的范畴,逐渐用于生产应用中,尤其是消费电子和汽车电子等领域,据GartnerDataquest市场研究公司指出,FPGA器件在汽车应用中的使 ...

  8. 计算机网络设计一个网络游戏,计算机网络编程课程设计-- 猜数游戏.doc

    软 件 学 院 课程设计报告书 课程名称 计算机网络编程课程设计 设计题目 猜数游戏 专业班级 学 号 姓 名 指导教师 2011 年 12 月 目录 1 设计时间1 2 设计目的1 3 设计任务1 ...

  9. 密码模块安全性设计技术沙龙在北京成功举办

    2019年5月10日,密码模块安全性设计技术沙龙在望京华彩商业中心智选假日酒店顺利举办,本次沙龙由北京商用密码行业协会(以下简称协会)主办,北京三未信安科技发展有限公司承办.沙龙以"密码模块 ...

最新文章

  1. 山东理工大计算机专业学什么科目,2020年山东理工大学计算机科学与技术学院880数据结构硕士研究生入学考试科目大纲...
  2. 洛谷4139 bzoj 3884 上帝与集合的正确用法
  3. 如何在win7(xp)home version下安装 rose 32 bit
  4. Linux系统下xampp集成环境安装
  5. 前腾讯AI Lab主任张潼加盟创新工场,出任港科大创新工场联合实验室主任
  6. 【java学习之路】(javaWeb【后端】篇)005.会话
  7. 解读《关于促进大数据发展的行动纲要》
  8. 神书《笛卡儿几何》读后感
  9. 获取苹果设备的UDID
  10. python做桌面宠物_如何从零开始制作智能桌宠?
  11. 投影仪家用推荐最新?投影仪什么牌子性价比比较高
  12. bh1750采集流程图_基于BH1750的光照度检测)报告方案.doc
  13. 大学物理实验长度的测量实验报告_大学物理实验长度测量法实验报告完整版
  14. Flutter中的多选按钮组件Checkbox
  15. 【Android实现返回主页,禁止返回上一层等功能】
  16. uniapp微信小程序实现按住说话功能
  17. STM32 堆栈大小的设置及分析
  18. OKUSD发行首度披露!基于OKChain,合规是首要关注点
  19. linux 文件和打印机共享文件夹,能实现Windows和Linux系统之间文件和打印机共享的Linux服务是( )...
  20. 为什么大电容用于低频通路,小电容用于高频电路

热门文章

  1. 关于 4K 电视的一些知识
  2. 如何用python求解方程组_用Python的Numpy求解线性方程组
  3. 山西民生养老认证显示服务器异常,民生山西养老认证
  4. 安装oracle 10g XE后的提示
  5. 毫无表情的扑克脸——德扑10大基本攻守策略
  6. [读书笔记]Spring中BeanFactory和ApplicationContext的联系和区别
  7. oc代码混淆_iOS 代码混淆
  8. Java入门part6--继承和多态
  9. STM32学习之智能灯的实现 (STM32F103C8)
  10. 基于SSM快递取件管理系统