本站原创
摘要:随着计算机系统功能的日益完善和速度的不断提高,信息网络技术的广泛应用和普及,人们对计算机系统的需求不断扩大,其应用的领域从传统、小型业务逐渐向大型、关键业务系统扩展,系统的组成越来越复杂,规模也越来越大,网络系统的安全日益凸显了其重要性和关键性。
民用机场作为国家航空运输重要组成部分,机场信息化的水平与应用、信息管理和网络的安全,制约着公共怎么写作功能、旅务水平和机场各业务流程,直接关联航班配置平衡、航班数据安全甚至严重影响航空安全。面对日益严峻的航空安全问题,民用机场的网络安全便成为迫切急需解决的问题。本文即是从此目的出发,通过对某机场网络系统安全解决方案的分析与思考,进一步加强机场网络系统的安全。
关键词:计算机技术;网络系统;信息及安全管理
:A文章编号:1007-9599 (2012) 13-0000-02
随着民用机场怎么写作功能的日益完善,和国际化怎么写作水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。
第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。
第2层是怎么写作器层,部署卡巴斯基反病毒Windows怎么写作器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。
第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。
(2)总怎么写作器。在中心选择一台基于NT架构的怎么写作器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT怎么写作器上部署卡巴斯基反病毒Windows怎么写作器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。
(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、怎么写作器端或客户端装有防火墙程序,则必须修改规则开放相关端口。
(3)产品的管理:通过总部的管理工具管理所有安装完毕的反病毒系统,可以远程实时监控其状态或修改设置,可以远程直接执行远程客机上的反病毒相关操作;可以集中观测统一日志、统一分发策略、统一写作升级和其他计划等。
1.防火墙部署方案。防火墙典型的网络部署模式包括路由部署模式和透明部署模式,在本方案中,考虑到防火墙负责边界隔离和区域划分,建议进行路由模式部署。
根据安全区域划分原则,部署防火墙对不同区域之间的网络流量进行控制,高安全级别区域可访问低安全级别区域,低安全级别区域严格受控访问高安全级别区域。防火墙设置为默认拒绝工作方式保证所有数据包,如果没有明确规则全部拒绝以保证安全。配置防火墙全面安全防范能力,包括ARP欺骗攻击、TCP报文标志
2.IPS部署方案。IPS实现2-7层安全防护,在线发现并阻断攻击,在怎么写作器区边缘、互联网边缘、广域网边缘都可以部署IPS。
入侵防护系统 (IPS) 倾向于提供主动防护,预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而非简单地在恶意流量传送或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现此功能,即通过一个网络端口接收来自外部系统的流量,经检查确认其不含异常活动或可疑内容后,再通过另一端口将其传送到内部系统中。这样有问题的数据包及所有来自同一数据流的后续数据包,都能被清除掉。
3.SSL VPN部署方案。本文配置的骨干网外部接口防火墙支持SSL VPN功能,实现无线及驻场单位相关用户终端安全接入到机场网络。在实际组网中,可根据企业实际情况,采用灵活多样的组网方式,用最低的代价实现企业网络接入需求。采用在线部署组网方案和单臂部署组网方案,根据对高可靠性的需要可配置冗余备份设备。
从认识论角度看,人们最先关注系统的功能,然后被动地从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全,法律意识淡薄的普遍现象。系统的安全是相对“不安全”而言的是个动态的更新过程,许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的,所以,对机场网络安全不能存侥幸心理要居安思危,作好安全防范的同时加强网络系统安全才能促进民用机场信息化的建设。
参考文献:
陈忠平,李旎,刘青凤.网络安全.清华大学出版社,2010
赵俊阁.国防工业出版社2010
赵小林,彭祖林,王亚彬.网络安全技术教程.国防工业出版社
民用机场作为国家航空运输重要组成部分,机场信息化的水平与应用、信息管理和网络的安全,制约着公共怎么写作功能、旅务水平和机场各业务流程,直接关联航班配置平衡、航班数据安全甚至严重影响航空安全。面对日益严峻的航空安全问题,民用机场的网络安全便成为迫切急需解决的问题。本文即是从此目的出发,通过对某机场网络系统安全解决方案的分析与思考,进一步加强机场网络系统的安全。
关键词:计算机技术;网络系统;信息及安全管理
:A文章编号:1007-9599 (2012) 13-0000-02
随着民用机场怎么写作功能的日益完善,和国际化怎么写作水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。
一、某机场网络系统的安全风险分析
机场航站区网络系统在现有网络结构及应用模式下,可能存在的主要安全风险有:外部连接网络边界安全攻击的风险机场信息系统有多个外部网络连接,必须能够对这些连接的数据流进行深度的检测和严格的控制,进行精细化管理,才能真正保证这些连接不会引入安全攻击风险,而且也保证单个内部网络风险不会扩散到相连接的其他信息系统网络中。(一)机场内部数据中心遭受攻击的风险
机场网络承载多种复杂应用信息系统,机场各业务强烈依赖这些应用系统,必须有效地保证这些应用系统核心的安全,如应用系统数据的保密性、可靠性、可用性,应用系统访问控制等多个方面。(二)机场多个分支机构安全连接的风险
根据分析,机场网络系统涉及非常多的分支机构的网络连接需求,主要包括未来新建航站楼、各个应用系统网络、移动以及外出人员等,这些分支机构需要一种简单而且方便的网络接入方式,而且必须保证这些接入的安全性。(三)用户接入内部网络安全控制的风险
机场网络接入用户复杂、数量大,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理。二、信息安全方案遵循准则
信息安全方案遵循安全PDCA原则。信息安全管理的本质可看作动态地对信息安全风险的管理,即实现对信息和信息源于:查抄袭率毕业www.udooo.com
系统的风险进行有效管理和控制。信息安全作为一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。三、某机场安全解决方案详细部署
解决以上风险需要端到端信息安全解决方案,是指信息在应用系统计算生成、通信、存储过程中都保证安全性,则该信息系统是端到端安全的。本文主要分析信息系统计算、通信过程的安全,而计算、通信过程安全又大体可以划分为网络边缘7层安全防护及内部终端安全防护两大部分。(一)防病毒软件安全防护解决方案
整个反病毒网络选用经过多年来的不断开发、完善,屡次在国际专业认证中获得多项殊荣的“卡巴斯基反病毒软件”系列产品,为该机场提供最安全的网络反病毒解决方案。1.卡巴斯基安全解决方案
针对机场网络系统的规模及拓朴环境,该方案采用三层防护体系:第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。
第2层是怎么写作器层,部署卡巴斯基反病毒Windows怎么写作器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。
第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。
2.安全解决方案的部署
(1)管理怎么写作器实施部署配置。根据机场网络系统的设计,通过信息中心的FTP怎么写作器,用户访问点击安装链接,安装卡巴斯基桌面反病毒软件。(2)总怎么写作器。在中心选择一台基于NT架构的怎么写作器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT怎么写作器上部署卡巴斯基反病毒Windows怎么写作器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。
3.反病毒软件怎么写作器端、客户端的部署
(1)产品的安装:怎么写作器防护终端和客户端防护终端的安装基本一致,通过光盘、WEB方式、脚本、远程、网上邻居等多种安装方式进行安装。(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、怎么写作器端或客户端装有防火墙程序,则必须修改规则开放相关端口。
(3)产品的管理:通过总部的管理工具管理所有安装完毕的反病毒系统,可以远程实时监控其状态或修改设置,可以远程直接执行远程客机上的反病毒相关操作;可以集中观测统一日志、统一分发策略、统一写作升级和其他计划等。
4.反病毒数据库升级方法
反病毒数据库升级方法可以采用总部怎么写作器端升级、总部客户端升级、内网共享文件夹升级和反病毒专用怎么写作器升级等方式。升级频率等参数可根据实际需要设置。(二)网络边缘深度安全防护解决方案
实现全网的整体安全架构设计,包括在所有网络出口处部署防火墙、IPS设备,对来自外网的访问进行访问控制,对内网、外网怎么写作器实现统一的安全防护,建设一个完整的区域防御体系。1.防火墙部署方案。防火墙典型的网络部署模式包括路由部署模式和透明部署模式,在本方案中,考虑到防火墙负责边界隔离和区域划分,建议进行路由模式部署。
根据安全区域划分原则,部署防火墙对不同区域之间的网络流量进行控制,高安全级别区域可访问低安全级别区域,低安全级别区域严格受控访问高安全级别区域。防火墙设置为默认拒绝工作方式保证所有数据包,如果没有明确规则全部拒绝以保证安全。配置防火墙全面安全防范能力,包括ARP欺骗攻击、TCP报文标志
中专毕业论文www.udooo.com
位不合法攻击、超大ICMP报文攻击、地址/端口扫描的防范,ICMP重定向或不可达报文控制、Tracert报文控制、带路由记录选项IP报文控制等功能。2.IPS部署方案。IPS实现2-7层安全防护,在线发现并阻断攻击,在怎么写作器区边缘、互联网边缘、广域网边缘都可以部署IPS。
入侵防护系统 (IPS) 倾向于提供主动防护,预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而非简单地在恶意流量传送或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现此功能,即通过一个网络端口接收来自外部系统的流量,经检查确认其不含异常活动或可疑内容后,再通过另一端口将其传送到内部系统中。这样有问题的数据包及所有来自同一数据流的后续数据包,都能被清除掉。
3.SSL VPN部署方案。本文配置的骨干网外部接口防火墙支持SSL VPN功能,实现无线及驻场单位相关用户终端安全接入到机场网络。在实际组网中,可根据企业实际情况,采用灵活多样的组网方式,用最低的代价实现企业网络接入需求。采用在线部署组网方案和单臂部署组网方案,根据对高可靠性的需要可配置冗余备份设备。
(三)各业务网内网安全防护解决方案
从用户安全、业务安全和网络安全几个层面对机场网络进行全方位的保护,分别在接入层用户终端部署用户安全方案;用户终端接入层部署网络安全联动交换机;网络安全联动交换机接入用户后,实现用户在本系统内业务数据的访问,因此在本业务系统出口处设置FW实现与其他业务系统的隔离。用户访问数据中心时,需经数据中心进行安全审核后才能实现访问;且数据中心内部署着用于智能终端鉴权的用户认证怎么写作器与安全策略怎么写作器、病毒补丁、系统补丁怎么写作器等安全设备,保障生产网的应用安全。(四)高效安全管理
安全事件统一管理系统能够提供对全网海量的安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能根据不同用户需求提供丰富的自动报告,提供具有说服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使IT及安全管理员脱离繁琐的手工管理工作,极大提高效率,能够集中精力用于更有价值的活动,保障网络安全。从认识论角度看,人们最先关注系统的功能,然后被动地从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全,法律意识淡薄的普遍现象。系统的安全是相对“不安全”而言的是个动态的更新过程,许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的,所以,对机场网络安全不能存侥幸心理要居安思危,作好安全防范的同时加强网络系统安全才能促进民用机场信息化的建设。
参考文献:
陈忠平,李旎,刘青凤.网络安全.清华大学出版社,2010
赵俊阁.国防工业出版社2010
赵小林,彭祖林,王亚彬.网络安全技术教程.国防工业出版社