计算机网络的划分依据范文1
关键词:计算机病毒;网络安全防范
中图分类号:G711 文献标识码:B 文章编号:1674-9324(2012)07-0234-02
由于计算机在社会生活各个领域已经广泛运用,网络病毒攻击与防范技术也处在不断交替更新的发展状态。本文从如何进行计算机系统在网络病毒感染后的基本修复处理、企业网络系统修复应急计划的制定及实施、网络防火墙防病毒与黑客机制、强化企业信息系统管理等几个方面阐述了如何有效地保护计算机系统及企业网络安全,制定出有效的安全防护措施。
一、计算机系统在网络病毒感染后的基本修复处理
防治感染网络病毒主要依靠用户遵守和加强安全操作控制措施,让企业管理者及公司员工从思想上要重视网络病毒和黑客入侵可能造成的危害;同时在安全操作的基础上,使用硬件和软件防病毒工具,利用网络的优势,把防病毒、防黑客入侵纳入到网络安全体系中,形成一套完整的企业网络安全机制,使网络病毒及黑客们无法逾越综合安全保护屏障。
1.企业管理者首先应该对计算机系统被病毒及黑客破坏程度有一个全面、深刻的了解。网络系统管理人员根据系统破坏的程度来决定采用有效的计算机病毒清除技术,制定出对抗网络病毒及黑客的技术方案,从思想上重视黑客入侵而造成的严重后果。
2.进行系统修复前,对携带活动的计算机病毒,应该切断网络并备份重要的数据文件到移动硬盘或者优盘,做好双备份。笔者曾经遇到过多次黑客恶意在计算机系统内留言威胁恐吓及损坏硬盘分区表而造成数据丢失的情况,由于有数据备份,没有造成损失。
3.启动瑞星、金山毒霸等软件,并对整个硬盘进行扫描。
4.发现计算机病毒后,一般应利用防杀计算机病毒软件清除文件中的计算机病毒,重新安装相应的计算机应用程序。但是仅仅依靠这些远远不能阻止病毒及黑客的入侵,还必须制定并实施严密的计算机系统修复应急计划。
二、企业网络系统修复应急计划的制定及实施
企业网络系统修复应急计划包括人员、分工以及系统修复各项具体实施步骤和物质准备。笔者通过在某石油华东责任有限公司常州公司、武进某起重电器厂、常州某汽车有限公司等单位进行计算机系统及网络系统应急修复的工作经历,总结出面对困难,一定要树立坚忍不拔的工作精神和一定能战胜黑客集团的信念。通过在2009年、2010年及2011年与病毒集团的多次交锋,虽然屡败屡战,但最终我和朋友们还是依靠多方面努力,战胜了那些素质极其低下,操作病毒进行疯狂攻击的犯罪团伙,由此,我认识到制定出完善的系统修复应急计划是非常重要的。企业网络系统修复应急计划的制定及实施的主要工作有:
1.对感染病毒的计算机及网络进行隔离。必须要在做完系统的所有安全工作后,才能连接网络。由于公司都是采用的电信的静态IP地址、固定的域名,再加上漏洞太多的SQL软件,造成了黑客们的攻击手段很多,攻击速度非常快,基本达到了一边修复,他们一边在服务器上种植病毒的地步,这些绝非危言耸听,我在硬防火墙及软件防火墙的系统记录里面看得清清楚楚。
2.向政府主管部门汇报计算机病毒疫情。及时向网警汇报系统遭受病毒及黑客攻击的状况。
3.计算机病毒破坏情况估计及制定计算机病毒的对抗策略,实施网络系统恢复计划及数据抢救修复计划。对于企业网络病毒及黑客,依靠反复地调试硬件防火墙、VPN、软件防火墙的各种安全策略、访问控制列表、端口开关、黑白名单等,斩断来自全国各地的动机不良者对企业内部网络中受害的计算机系统内病毒的远程控制。对于病毒,通过瑞星、江民等安全软件来处理,同时修复系统漏洞。对于SQL软件及ERP软件,也只能依靠反复调试硬件防火墙、VPN、软件防火墙,来保护这些脆弱的软件,安装补丁程序也有些帮助。
4.国内专门攻击SQL系统的网络病毒种类太多,破坏SQL系统的技术手段也多而先进。安装有SQL软件的计算机系统,不能暴露在公网。在路由器、防火墙上,非特殊情况,不能打开1433号端口。
三、网络防火墙防病毒与黑客机制
对网络病毒与黑客可能会入侵的网络路径安装网络防火墙,所谓网络防火墙就是园区网络的大门。在企业网络中,网络防火墙扮演了举足轻重的角色,是通往内部网络的门,从互联网络过来的数据包,通过防火墙的端口控制、访问控制列表、访问策略控制等,可以到达DMZ(非军事区网络)部分,电子邮件EMAIL都被扫描侦测。防火墙过滤垃圾邮件。为了确保最大限度的安全,网络防火墙应该设定为不允许外部网络(国际互联网络)直接访问控制内部网络的计算机,针对需要面向外网提供服务的网络服务器,仅仅只在网络防火墙或者VPN的虚拟服务中开放特定的几个端口。例如:http:80、https:443、dns:53、ftp:20,21、pop3:110、smtp:25及ERP软件特定的端口号。在网络防火墙或者VPN的访问控制列表里,也仅仅只开放少数内部网络或网络服务器必须要使用的源地址和源端口、目的地址和目的端口,对于其他的虚拟服务、目的地址和目的端口应该全部“DROP”。
四、强化企业信息系统管理
在很多情况下,计算机病毒及黑客侵入企事业内部网络和企业内部管理混乱有关。
1.网络系统管理人员为减少工作量过多而开放部分用户操作权限,造成计算机病毒有机会泛滥;
2.部分用户未经许可,擅自连接互联网,在上网浏览、收发邮件时带入计算机病毒;
3.公司发现可疑情况未能尽早报告及时处理,造成损失;加强企业信息系统的安全管理,是最有效的防止企业网络病毒及黑客破坏的手段。
基于以上分析,今后一段时期内还可能出现各种各样的网络病毒,而且很有可能出现异常凶猛的恶性网络病毒。如果总是消极等待,则无法从根本上解决这些问题,应该建立综合治理网络病毒的方案。
1.树立灾害意识。美国政府已经将网络病毒定义为“网络恐怖行为”,由CIA负责处理。我国的网络病毒危害也在很早以前就受到政府高度重视,公安部、信息产业部也相继相关法律、制度。只有树立相应的防灾、减灾意识,建立完整的计算机防灾减灾制度,才能从根本上解决网络病毒问题。
2.健全管理制度并落实执行。建立健全针对网络病毒的预防、预报、宣传、奖惩、监督、备份、灾害应急、重建处理的规章制度,并且派专人负责实施,从企业内部杜绝一切漏洞。
参考文献:
[1]武新华.矛与盾——黑客就那么几招[M].北京:机械工业出版社,2010.1.
[2]《黑客防线》编辑部.黑客防线[M].北京:人民邮电出版社,2009.6.
[3]美Susan Young.黑客防范手册[M].北京:机械工业出版社,2006.1.
计算机网络的划分依据范文2
關键词:防火墙防火墙技术包过滤应用
一、引言
随着计算机网络技术的不断更新及发展,使得信息技术得到一定的改革,在信息化时代中,计算机在我国得到了普遍的运用,这使得计算机技术及信息资源可以进行一定的融合,但这也需要一定的防护措施进行安全保障。这种情况下,防火墙技术应然而生,并取得了相当巨大的成果,这是因为防火墙技术可以保障计算机网络安全的正常运行,使得为信息化发展做出巨大贡献。
二、防火墙技术的主要分类
1.包过滤防火墙。包过滤防火墙,主要工作在开放式系统互联网络中的传输层及网络层,它是否允许通过主要是依据各种标志来确定的。只有将数据包满足过滤的条件,才能将其转发到相应地点,而其他数据则会被阻拦及丢弃。
2.应用型防火墙。应用型防火墙,主要工作在开放式系统互联网络中的应用层。它主要是将网络通信流进行完全的阻隔,然后将其应用进行编制专业程序,使其应用层中网络通信流可以受到监控。除了以上两点,防火墙还可以安装应用位置进行划分:有边界防火墙、混合防火墙及个人防火墙;安装性能可以划分为:千兆防火墙及百兆防火墙等等。
三、防火墙技术的优缺点
1.包过滤防火墙的优缺点。(1)优点:包过滤防火墙是可以进行过滤的方式,将整体网络进行协助保护;在数据包进行过滤时,保障对用户的透明度,使得效率得到提升,并且速度较快。(2)缺点:无法将地址欺骗进行彻底的防护,部分应用协议适合将数据进行包过滤。许多正常数据在运行时,无法进行包过滤防火请的保护,使得黑客攻击不能被及时的防范,并且应用层中的协议并不得到支持,使得新的安全威胁不能够被及时处理。
2.应用型防火墙。(1)优点:应用型防火墙可以将内外网的直接通信进行彻底的隔断,这使得当内网进行外网访问时,可以直接转变成向防火墙进行访问,然后在有防火墙向外网访问后传回给内网。这使得所以应用都是由防火墙进行转发的,内网与外网没有直接的管理,使得安全系数有所提升。在应用型防火墙运行时,可以及时将网络协议进行检查,对数据检测的能力也较强,这都大大提升计算机网络的安全。(2)缺点:应用性防火墙,主要是要运用,但速度较慢,并且不对用户进行透明操作,这使得部分应用可能会受到协议的限制,使得部分数据无法进行正常的运行。
四、防火墙技术在计算机网络安全中的应用
综合我国计算机网络安全出现的多种问题进行分析,找寻出防火墙技术在计算机有以下两方面的主要应用:
1.访问策略的应用。访问策略是防火墙技术应用的中心,其在计算机网络安全中占有主导作用。在访问策略中主要是进行计算机配置,在进过一定的计划后,将计算机运行的整体过程进行深化及统计,使其形成一套科学的防护系统。而防火墙主要在计算机实际运用中,进行访问策略的规划,使其保障了计算机网络的安全。一般情况下,流程有以下四个步骤:第一步,防火墙技术先将计算机按照运行信息将其划分为不同单位,在针对单位进行内与外两部分的访问保护规划,使其流通访问中的安全可以得到保障;第二步,在计算机运行时,防火墙技术要通过访问策略将其运行的各项地址进行主动了解,使其清楚计算机网络运行的整体特征,使其更好的将安全保护凡是进行规划;第三步,防火墙技术,要依照计算机对安全的需求度及访问的具体情况进行适当的调整,使其既可以保障安全,又可以不影响数据正常的使用。并且防火墙技术,还可以通过自主进行调节,而调节的具体要求,就要与具体操作环境及内容进行相应的设置,这使得计算机网络安全可以更加人性化。第四步,当防火墙技术在访问策略中运行完成后,可以将漏洞进行及时的更新,然后最为防火墙技术的最新配置,使得防火墙技术在使用中可以得到不断的提升,进而更好的将计算机网络进行安全保护。
2.安全配置的应用。在所用防火墙技术中,安全配置则是整体的重点,其主要将计算机网络安全进行不同模块的划分,划分出可以进行安全防护的模块,并将其作为隔离区进行驻华,这也是进行重点的安全保护。防火墙技术中的隔离区,本是属于单独的局域网内,也可以成为计算机中内部网络的组成部分,但最为主要的是隔离区可以将网络服务器内部中的信息安全得到保护,使得计算机可以在更加稳定剂安全的环境下运行。在运行防火墙技术时,对安全配置的要求较高,这也使得计算机网络安全应用的效率有所提升。
五、结语
计算机网络的划分依据范文3
【关键词】 计算机网络 智能建筑 应用
进入21世纪,人们为了追求高质量的建筑环境,充分运用高速发展的网络信息技术,建造了一个新型的建筑物,它就是智能建筑[1]。在当今社会,智能建筑要与安全、舒适甚至是便利的硬件设备相连接,由此来实现通信和资源的共筑环境,最为重要的就是依靠计算机网络。
一、智能建筑的概况
到目前为止,智能建筑还尚未有严格统一的定义[2]。通常情况来讲,智能建筑的组成一般包括三大基本要素,这三大基本要素分别是楼宇、通信自动化系统和办公自动化系统。也就是我们大家经常说的3A[3],如果想要达到智能化的目的,就需要构建良好的网络平台,所谓的网络平台是两个系统组成的,这两个系统就是高速的主干计算机网络系统以及功能不同的计算机子网络系统。在现阶段,建立网络平台要有最理想的物理基础,结构化综合布线系统就完全可以作为网络平台的物理基础,这个系统可以被认为是智能建筑的一个弱电平台, 网络平台的物理基础能够给建筑物中的智能化系统提供高质量的物理通信媒介。所以,计算机网络系统以及结构化综合布线系统现在成为智能建筑的主要标志,先进的技术是衡量智能建筑高低的非常重要的因素之一。
二、计算机网络系统
计算机网络系统可以借助某一种通信媒介,把位于不同地理位置的许多台计算机进行连接,更好实现了网络资源的通信与共享。计算机网络系统是计算机技术与通信技术结合的高级产物,计算机网络系统具有许多特征,其中最主要的是资源共享以及信息交换。从网络系统在地理位置的分布情况来讲,可以分为很多个网络,众所周知的有城域网络、广域网络、局域网络,但是伴随着现在网络技术的高速发展,这些网络间存在的差别变得越来越小。对于智能建筑,通常是由局域网络组成。在网络中的结点之间存在着数据传输必须依靠的物理媒介,有线传输和无线传输两个物理传输媒体。计算机网络的体系是分层的结构,为了能够让计算机网络系统互相通信并进行信息交换,各个层面上一定要有统一标准的通信协议。
三、智能建筑中的计算机网络系统规划和设计
通过对国内大多数相关在建工程的费用比例进行分析,在智能建筑中,规划和设计性能价格比较高的是将计算机网络在智能建筑中的应用,首先,要对计算机网络在智能建筑中的应用进行准确地定位,充分的研究并考虑建筑物建成后,其是否符合用户构成以及业主的意图等等,进而对其信息的要求以及信息的种类、数据的流量和未来发展作总体的规划。设计出计算机网络系统的组成、拓扑结构以及相关的协议体系结构等网络要素,对其作出合理、高效的的创新。从功能及其结构的角度来讲, 要对智能建筑的局域网络进行合理地区分,主要分成高速、中低速和与外部广域网接口这三个部分。
四、高速主干网络
高速主干网络具有许多功能,其功能主要是在建筑群之间进行沟通,或者建筑物里各个楼层的主机和各个楼层子网的通信进行相互联系。此外,高速主干网络也可以利用虚拟的网络技术,通过具有特殊的高速主干网络规划功能子网络,以达到对智能建筑中功能子网络进行更加灵活高效规划的目的。高速主干网络在规划与设计的时候必须根据实际情况的需求,若想把各个大楼里的中心服务器和各的楼层的水平子网络同共享设备连接起来,就需要利用高速主干网络,构成一个智能建筑网络系统的主架。各个子网络间通过高速主干网传输信息和交换数据。
五、结束语
综上所述,在智能建筑信息化的社会下,由于计算机网络是不可或缺的,计算机网络是智能建筑必备的基础设施。计算机网络相互相接是智能建筑系统集成的必经之路。无论是智能子系统内部的合成,还是智能子系统间的合成,它的本质都是不同的计算机网络的相互连接,在这个过程中最为关键就是解决网络协议的转换问题。在现阶段看来,智能建筑的系统合成是统一在传输控制协议、网际协议以及太网的基础上实现的。
参 考 文 献
[1] 建设部勘察设计司等. 工程设计CAD与智能建筑. 北京电子工业出版社:北京金创杂志社,2013(8),7~10
计算机网络的划分依据范文4
关键词: 基建维修工程管理 计算机 应用
1.前言
目前,在基建维修工程管理工作方面,计算机的应用越来越深入,主要表现在人们在项目计划管理、合同管理、编制施工组织设计(施工方案)、确定定额、编制标底、投标报价、造价控制等全过程,已经摆脱了手工劳动,完全可以借助于计算机这一先进的工具。本文分析了当前在基建维修工程管理中运用计算机技术的状况,并对计算机技术在维修工程管理中的应用提出了一些看法。
2.计算机技术在基建维修工程项目管理工作中应用的必要性
建筑业是国民经济的支柱产业,建筑业的信息化发展必然会影响到整个国民经济和社会信息化的发展。随着改革开放的深入,以及我国综合国力的不断提高,建筑业投资的加大,我国建成大量的工业建筑、民用建筑、市政基础设施,随之维修工作量不断加大,相应地对基建维修工程的管理技术及管理方法和措施的要求也越来越高,这就需要工程维修业改变传统的管理手段及方法,提高管理的技术含量和综合效益,提高企业自身的市场竞争力。大量的信息处理与总控制目标都要求在管理过程中采用标准化、规范化的方法进行,原来大量的个人判断、手工处理已明显不适应发展的要求。因而借助计算机技术,采用计算机辅助施工及计算机辅助工程管理已成为一种快捷有效的手段,是实现工程项目信息化管理的一种重要措施,从而可以提高工程管理工作的效率,提高管理业务的水平。
近几年来,我国建设发展较快,并且正逐步与国际接轨,用信息化带动企业发展是我国21世纪的一项重大战略措施。信息化是以计算机与互联网为生产工具,把企业经济转变为信息经济的一种社会经济过程,它包括基础设施的信息收集自动控制化、信息储存自动化、信息交换网络利用自动化、信息检索工具化、信息管理系统化、信息利用科学化、信息管理工程系统化等。信息技术是企业利用科学方法对经营管理信息进行收集、储存、加工、处理,并辅助决策的技术总称,计算机技术是信息技术主要的、不可缺少的手段。
3.计算机技术在基建维修工程项目管理中的应用
随着我国建设工作的逐步规范化、科学化,计算机应用于基建维修工程管理就成为必然。
(1)办公自动化方面的应用
基建维修项目的文件信息和资料相当多,项目部可以充分利用AutoCAD软件进行文字、图像、语言等处理。项目计划管理、合同管理、施工组织设计、方案和各种日常项目文件均采用计算机编制、修改、排版和打印。项目部的每个管理人员都应经过办公自动化的培训,实现无纸化办公,使文件、资料和报表正规化、标准化,且修改简单,查找方便,管理便捷可靠。项目的计划统计是利用Excel电子表格和建筑工程预算软件相结合,进行工程量的统计、工程报量和成本控制的,这种方式使计划统计和工程报量从繁杂的数字计算中解脱出来。各种报表的格式制作成样本,数据依次保存,Excel自动进行计算,在不同期上报过程中,只需稍作修改即可,不用重复编制,从而动态地反映了施工实际状况,为施工安排提供科学的依据,也为下期基建维修工程计划做好准备工作。
(2)项目管理方面的应用
网络计划技术是对工程的进度进行安排和控制,以保证实现预定目标的科学计划管理技术,它为现代管理提供了科学的方法。网络计划技术计算复杂、画图量大,因而利用工程项目管理软件进行绘图、计算、优化、调整、控制、设计与分析等大为便利。在方案的编制和实施过程中,通过该软件进行网络进度计划的编制,同时以施工进度计划为依据,在考虑留有充分余地的基础上优化资源、支持关键工作、另行编制施工进度控制计划,降低成本、确保施工进度按期进行。
(3)投资控制方面的应用
针对投资控制的敏感性、复杂性和效益性,工程管理过程中的投资控制任务均可由计算机完成。计算机应用主要如下:将工程概算、预算、标底、合同总造价及报价明细表输入计算机,作为投资控制的依据;正确认定和计量工程量,核定月工程进度款,并及时将有关“量”的变更和工程款信息输入计算机;利用计算机对工程投资结构进行优化管理,并对资源投入进行优化分析。
投资控制中编制工程预算的最基本工作是定额的套用,用定额预算软件只需输入定额号和工程量,软件就能够自动检索出子目的名称、单位、单价及人材机消耗量。计算机通过分析处理自动得出下列内容:①工程费用表;②建筑工程造价书;③主要材料分析表;④主要材料汇总表;⑤主要材料差价表;⑥人机材消耗表;⑦人工机械汇总表;⑧次要材料汇总表等。预算软件的运用,能使各项报价准确、合理、快捷,为今后的工程结算、成本管理提供科学的依据。
(4)进度控制方面的应用
利用计算机对工程的网络进行计算、调整和优化,特别是大中型工程,手工操作是无能为力的;对已经审查、确认的施工组织设计和工程进度计划,连同分部分项工程进度计划,一并用网络计划数据形式输入计算机,进行优化和分析,输出网络计划和进度计划,作为管理工程进度的依据,并监督施工单位按此计划落实月进度计划。
(5)质量控制方面的应用
从整体考虑一项工程,按照一定的程序对它进行合理安排,在施工中推广应用信息技术为特征的自动化控制技术,在一些地方已取得较好的效果。通过计算机网络计划所特有的反馈作用,调整和改进施工管理工作才能使施工得以全面达到优质、节省和快速的要求。
利用计算机建立原材料、设备台账,系统地加以统计和分析,发现问题及时解决,并且对原材料进行把关;应用计算机对分部分项工程质量进行评定;利用计算机建立质量信息数据库,方便查阅和调用。
工程管理实践证明,应用计算机网络计划,进行技术组织与施工管理,一般能保证质量、缩短工期、降低成本。
基建维修工程质量管理信息系统,旨在运用先进的信息处理技术,通过对建筑维修工程质量形成全过程的信息采集、存储、加工和分析,为工程质量管理提供依据,实现各参与方之间的信息共享,为工程质量管理部门提供决策依据。该系统的开发和应用所要解决的问题主要包括:完成工程立项、勘察、设计、招投标、合同、施工、竣工验收、交付使用过程中的数据采集和存储;建立完善的工程质量资料信息库。实现工程各类信息的快速查找和更新;实现工程各参与方之间的信息传输和通讯;完成各类工程资料的归类,实现工程资料的输出及打印;通过对历史数据的分析和处理,为工程质量管理提供决策支持。
(6)信息管理方面的应用
应用计算机使管理业务规范化。按工程、施工单位、材料、设备、索赔原因、质量等进行统一编码,并利用这些具有规律性、通用性的编码进行核算、统计和编制报表。可将工作中使用规范化的文件、表格等输入计算机中,查询与调档十分方便。
4.结语
计算机网络的划分依据范文5
关键词:信息安全;等级保护;技术方案
中图分类号:TP393.092
随着采供血业务对信息系统的依赖程度越来越高,信息安全问题日益突现,各采供血机构对信息安全保障工作给予了高度重视,各方面的信息安全保障工作都在逐步推进。《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)指出[1],依据国家信息安全等级保护制度,遵循相关标准规范,全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急能力,做好信息安全等级保护工作,对于促进采供血机构信息化发展,维护公共利益、社会秩序和国家安全具有重要意义。
1 信息安全等级保护概述
1994年国务院147号令《中华人民共和国计算机信息系统保护条例》,规定我国实行“计算机信息安全等级保护制度”[2]。根据147号令的要求,公安部制定了《计算机信息等级划分标准》(GB17859-1999以下简称GB17859),该标准是我国最早的信息安全等级标准。
当前实施的信息安全等级保护制度是由公安部等四部委联合发文《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)及《信息安全等级保护管理办法》(公通字[2007]43号),文件明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划,为信息安全工作提供了规范保障。这些信息安全的有关政策法规主要是从管理角度划分安全等级的要求。
2006年,国家信息安全技术标准化技术委员会以GB17859为基本依据,提出并制定了一系列信息安全国家标准(GB/T20269-2006《信息安全技术 信息系统安全管理要求》等)。这一系列规范性文件体现了从技术角度划分信息安全等级的要求,主要以信息安全的基本要素为单位,对实现不同安全要求的安全技术和机制提出不同的要求。本文主要讨论以GB17859为依据从技术角度探讨信息安全等级保护技术在采供血机构中的实践。
2 等级保护技术方案
信息安全等级保护制度明确了信息安全防护方案,要求确保信息系统安全稳定运行,确保信息内容安全。保证业务数据在生成、存储、传输和使用过程中的安全,重要业务操作行为可审计,保证应用系统可抵御黑客、恶意代码、病毒等造成的攻击与破坏,防范恶意人员对信息系统资源的非法、非授权访问。
2.1 实现要求。三级安全应用平台安全计算环境的安全目标是保护计算环境的终端、重要服务器、乃至上层的应用安全和数据安全,并对入侵事件进行检测/发现、防范/阻止和审计/追查。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络、安全管理中心及四个部分,形成“一个中心”三重保障体系[3]。
图1 三级安全应用平台TCB模型
2.2 安全计算机环境。安全计算机环境是由安全局域通信网络连接的各个安全的计算资源所组成的计算环境,其工作方式包括客户/服务器模式;主机/终端模式;服务器/工作站模式。
2.3 安全区域边界。是安全计算环境通过安全通信网络与外部连接的所有接口的总和,包括防火墙、防病毒网关及入侵检测等共同实现。
2.4 安全通信网络。实现信息系统中各个安全计算机环境之间互相连接的重要设施。包括安全性检测、安全审计病毒防杀、备份与故障恢复以及应急计划与应急反应。
2.5 安全管理中心。针对安全计算机环境、安全区域边界和安全通信网络三个部分的安全机制的集中管理设施。针对安全审计网络管理、防病毒等技术的安全集中管理。
3 采供血机构信息系统等级保护建设
3.1 定级。采供血机构为地市级公益卫生事业单位,信息管理系统受到破坏会严重损害社会秩序,采供血业务停滞会严重损害公共利益,信息泄露则会严重影响公众利益,按信息系统安全等级保护定级指南,确定采供血信息系统安全保护等级为第三级。
3.2 系统分析。采供血信息系统覆盖采供血业务和相关服务过程,包括献血者档案、血液采集、制备、检验和发放等信息记录必须妥善保存并保持可溯性。艾滋病疫情信息根据国家相关法律法规的要求,必须防止泄露,以免产生对国家安全及社会稳定的负面影响。
信息系统核心由两台双机热备服务器、磁盘阵列柜组成,采用硬件VPN、硬件防火墙作为网络安全设备。应用VPN技术将远离采供血机构本部的献血屋、移动采血车及医院输血科使用的业务计算机与站内的服务器联网。
3.3 等级保护建设。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络和安全管理中心四部分。构建“一个中心”管理下的“三重保障体系”,实现拓朴图如下:
图2 采供血机构拓扑图
3.3.1 安全计算环境。系统层主要进行身份认证及用户管理、访问控制、安全审计、审恶意代码防范,补丁升级及系统安全性检测分析。安全计算环境主要依靠在用户终端或是服务器中充分挖掘完善现有windows/Linux操作系统本身固有的安全特性来保证其安全性。在应用系统实现身份鉴别、访问控制、安全审计等安全机制。
3.3.2 安全区域边界。在网络边界处以网关模式部署深信服下一代防火墙AF-1320,电信及联通两条线路都接入其中,达到以下防护目的:(1)区域边界访问控制:逻辑隔离数据、透明并严格进行服务控制,隔离本单位网络和互联网,成为网络之间的边界屏障,单位内部电脑上网,实施相应访问控制策略,设置自主和强制访问控制机制;(2)区域边界包过滤:通过检查数据包源地址、过滤与状态检测提供静态的包过滤和动态包过滤功能;(3)区域边界安全审计:由内置数据中心和独立数据中心记录各类详细事件,并产生统计报表。还可根据管理者定义的风险行为特征自动挖掘并输出风险行为智能报表;(4)完整性保护:保护计算机网络免受非授权人员的骚扰与黑客的入侵,过滤所有内部网和外部网之间的信息交换。该防火墙具有IPS入侵防护,防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;具有网络应用层防护,识别及清杀恶意代码功能。
3.3.3 安全通信网络。当用户跨区域访问时,根据三级标准要求,需要进行数据传输保护。通过部署VPN安全设备构建安全隧道,实施机密性和完整性保护,实现对应用数据的网络传输保护。(1)本单位用采两台深信服VPN网关为跨区域边界的通信双方建立安全的通道。一台为IPsec VPN用于连接采供血机构的分支机构如大型献血屋,另一台为SSL VPN用于小型捐血屋、流动采血车、各医院与采供血机构的数据通信。VPN设备可为采供血机构内部网络与外部网络间信息的安全传输提供加密、身份鉴别、完整性保护及控制等安全机制。另外,VPN安全网关中设计了审计功能来记录、存储和分析安全事件,可为安全管理员提供有关追踪安全事件和入侵行为的有效证据;(2)在防火墙下端部署华为S5700系列三层核心交换机,并在网络中划分VLAN,设置部门应用终端的访问权限,规定哪些部门可以访问哪些服务器等以减少网络中的广播风暴,提高网络效率;(3)在行政办公区域利用深信服上网行为管理(Sinfor-M5000-AC)有效管理与利用互联网资源,合理封堵非业务网络应用。
3.3.4 安全管理中心。信息安全等级保护三级的信息系统,应建立安全管理中心,主要用于监视和记录信息系统中比较重要的服务器、网络设备等环节,以及所有应用系统和主要用户的安全状况。本单位目前安全管理中心由两部分组成,配置赛门铁克赛门铁克SEP12.1,采用分布式的体系结构部署了防病毒系统中心、防病毒服务器端、防病毒客户端、防病毒管理员控制台。防病毒软件与防火墙、VPN及上网行为管理协同完成通信线路、主机、网络设备、应用软件的运行等监测和报警,并形成相关报表。对设备状态、恶意代码、补丁升级及安全审计等相关事项进行集中管理。
4 结束语
按照等级保护的相关规范和技术要求,结合采供血机构具体网络和系统应用,设计三级信息安全等级保护方案并建设,保证采供血机构网络的安全、稳定、通畅,保障了整个采供血业务的正常运转,更好地服务于广大患者。
参考文献:
[1]网神信息技术(北京)股份有限公司[J].信息网络安全,2012(10):28.
[2]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013(01):206.
[3]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与应用[M].北京:电子工业出版社,2011:98-104.
计算机网络的划分依据范文6
关键词: 计算机网络;网络组成;网络功能;网络设备
中图分类号:TP315文献标识码:A文章编号:1671-7597(2012)0110183-01
1 计算机网络的定义
计算机网络就是利用通讯设备和通信线路将地理位置不同的、具有独立功能的多台计算机系统遵循约定的通信协议互连成一个规模大、功能强的网络系统,用功能完善的网络软件(即网络通信协议、信息交换方式和网络操作系统等)来实现交互通信、资源共享、信息交换、综合信息服务、协同工作以及在线处理等功能的系统。
2 计算机网络的分类
1)计算机网络按照地理范围划分为:局域网、城域网、广域网和互联网四种;2)按拓扑结构划分为:总线型、星型、环型、树型和网状网;3)按交换方式划分为:线路交换网、存储转发交换网和混合交换网;4)按传输带宽方式进行划分为:基带网和宽带网;5)按网络中使用的操作系统分为:NetWare网、Windows NT网和Unix网等;6)按传输技术分为:广播网、非广播多路访问网、点到点网。
3 计算机网络系统的构成
计算机网络系统通常由资源子网、通信子网和通信协议三个部分组成。资源子网在计算机网络中直接面向用户;通信子网在计算机网络中负责数据通信、全网络面向应用的数据处理工作。而通信双方必须共同遵守的规则和约定就称为通信协议,它的存在与否是计算机网络与一般计算机互连系统的根本区别。
4 计算机网络的主要功能
资源共享:计算机网络的主要目的是共享资源。共享的资源有:硬件资源、软件资源、数据资源。其中共享数据资源是计算机网络最重要的目的。
数据通信:数据通信是指利用计算机网络实现不同地理位置的计算机之间的数据传送,运用技术手段实现网络间的信息传递。这是计算机网络的最基本的功能,也是实现其他功能的基础。如电子邮件、传真、远程数据交换等。
分布处理:是指当计算机网络中的某个计算机系统负荷过重时,可以将其处理的任务传送到网络中的其它计算机系统中,以提高整个系统的利用率。对于大型的综合性的科学计算和信息处理,通过适当的算法,将任务分散到网络中不同的计算机系统上进行分布式的处理。促进分布式数据处理和分布式数据库的发展。利用网络实现分布处理,建立性能优良、可靠性高的分布式数据库系统。
综合信息服务:在当今的信息化社会中,各行各业每时每刻都要产生大量的信息需要及时的处理,而计算机网络在其中起着十分重要的作用。
5 计算机网络的常用设备
网卡(NIC):插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。
集线器(Hub):是单一总线共享式设备,提供很多网络接口,负责将网络中多个计算机连在一起。所谓共享是指集线器所有端口共用一条数据总线,因此平均每用户(端口)传递的数据量、速率等受活动用户(端口)总数量的限制。
交换机(Switch):也称交换式集线器。它同样具备许多接口,提供多个网络节点互连。但它的性能却较共享集线器大为提高:相当于拥有多条总线,使各端口设备能独立地作数据传递而不受其它设备影响,表现在用户面前即是各端口有独立、固定的带宽。此外,交换机还具备集线器欠缺的功能,如数据过滤、网络分段、广播控制等。
线缆:网络的距离扩展需要通过线缆来实现,不同的网络有不同连接线缆,如光纤、双绞线、同轴电缆等。
公共电话网:即PSTN(Public Swithed Telephone Network),速度9600bps~28.8kbps,经压缩后最高可达115.2kbps,传输介质是普通电话线。
综合业务数字网:即ISDN(Integrated Service Digital Network),是一种拨号连接方式。低速接口为128kbps(高速可达2M),它使用ISDN线路或通过电信局在普通电话线上加装ISDN业务。ISDN为数字传输方式,具有连接迅速、传输可靠等特点,并支持对方号码识别。
专线:即Leased Line,在中国称为DDN,是一种点到点的连接方式,速度一般选择64kbps~2.048Mbps。专线的好处是数据传递有较好的保障,带宽恒定。
X.25网:是一种出现较早且依然应用广泛的广域网方式,速度为9600bps~64kbps;有冗余纠错功能,可 靠性高,但由此带来的副效应是速度慢,延迟大。
异步传输模式:即ATM(Asynchronous Transfer Mode),是一种信元交换网络,最大特点是速率高、延迟小、传输质量有保障。ATM大多采用光纤作为连接介质,速率可高达上千(109bps)。
调制解调器(Modem):作为末端系统和通信系统之间信号转换的设备,是广域网中必不可少的设备之一。分为同步和异步两种,分别用来与路由器的同步和异步串口相连接,同步可用于专线、帧中继、X.25等,异步用于PSTN的连接在计算机网络时代。
6 结语
人们对计算机和互联网的利用必将会渗透到社会生产和生活的各个方面,通过计算机和网络的功能,将会给企业的生产和经营活动的开展以及老百姓的工作和生活带来极大的便利。在互联网的联系和沟通下,各种信息传播的速度将加快,企业和个人对网络信息的依赖程度也将不断加深,信息需求程度相对较大的部门将成为未来社会中创造高附加值的行业。并通过他们带动相关知识产业的进步和发展,甚至带动全社会的经济结构的优化调整,推动社会经济的全面进步。
计算机网络取得今天的发展成就,是人类文明进入到更高阶段的标志,它推动着人类社会向更现代化的方向发展,同时推动了知识经济时代的到来,人们通过计算机网络的连接,打破了原先在时间和空间上的阻隔,在无形中拉近了人与人之间的距离,也在一定程度上扩大了我们生存的空间,网络给我们提供了超乎寻常的方便和成功。但是,网络也给社会带来了更多的挑战,它要求我们要以更高的层次去面对新的生活和环境,同时不断地改变我们的思想和行为,我们要抓住网络时代带给我们机遇,不断努力推动人类社会向更的高阶段发展。
此论文为湖南省十二五课题规划论文。课题批准号:XJK011CZJ010
