搭建安全的综合数据通信网
通信施工工程概述(3篇)
第1篇随着信息技术的飞速发展,通信网络已成为现代社会不可或缺的基础设施。
通信施工工程作为通信网络建设的重要环节,承担着将通信网络连接到千家万户的重任。
本文将对通信施工工程进行概述,从工程内容、施工流程、施工技术等方面进行详细介绍。
一、工程内容通信施工工程主要包括以下几个方面:1. 通信线路施工:包括架空光缆、直埋光缆、管道光缆、海底光缆等。
通信线路施工是通信网络建设的基础,负责将通信信号传输到各个用户。
2. 通信设备安装:包括交换机、路由器、基站等设备的安装与调试。
通信设备安装是通信网络的核心,负责处理、转发和交换通信信号。
3. 通信系统调试:包括通信设备、线路和网络的调试与优化。
通信系统调试是确保通信网络稳定运行的关键环节。
4. 通信网络安全保障:包括通信网络的安全防护、数据加密、入侵检测等。
通信网络安全保障是保障通信网络稳定运行的重要手段。
二、施工流程通信施工工程一般分为以下几个阶段:1. 工程设计:根据通信网络需求,进行通信线路、设备和网络的规划设计。
2. 材料采购:根据工程设计,采购所需的光缆、设备、工具等材料。
3. 施工准备:进行施工现场的勘察、施工方案制定、人员培训等。
4. 施工实施:按照施工方案,进行通信线路、设备和网络的施工。
5. 调试与优化:对通信网络进行调试与优化,确保网络稳定运行。
6. 工程验收:对通信施工工程进行验收,确保工程质量符合标准。
三、施工技术1. 光缆敷设技术:包括架空光缆、直埋光缆、管道光缆等敷设技术。
光缆敷设技术要求施工人员具备较高的技术水平,确保光缆敷设质量。
2. 设备安装与调试技术:包括通信设备、基站等设备的安装与调试技术。
设备安装与调试技术要求施工人员熟悉设备性能,确保设备正常运行。
3. 网络优化技术:包括通信网络参数调整、故障排除等技术。
网络优化技术要求施工人员具备较强的故障排查和处理能力。
4. 安全保障技术:包括通信网络安全防护、数据加密、入侵检测等技术。
部队通信工作中的网络安全防护研究
技术Special TechnologyI G I T C W 专题1 部队通信工作与网络安全防护相关概述部队通信作为贯穿于部队生活与战争过程中一切方面的通信方式,其涉及的内容极为广泛,从广义角度可以将部队通信划分为正常情况下的通信与战争时期的通讯两种。
部队通信作为伴随部队一同产生的信息传递方式,其借助的信息传递方式十分多样化,其中大致包括无线电通信、有线电通信、光通信、运动通信、简易信号通信、现代网络通信等。
随着现代信息技术的不断完善,互联网与大数据的联系更加充分,利用网络进行信息传递已经成为当下重要的通信方式。
虽然现阶段利用网络信息传递方便快捷,不受到过多因素的限制,但是一些不法分子同样会利用相应的技术来对部队信息进行盗取,因此网络安全防护同样十分关键。
2 影响部队通信中网络安全的问题随着信息技术与互联网的普及,部队大部分已经采用网络方式进行各种信息与数据的传递,但是在实际信息传递的过程仍然存在一定的缺陷导致整体网络存在漏洞,容易被黑客等不法分子入侵并窃取信息。
首先便是当下部队中利用网络进行信息传递的工作人员并没有充分掌握先进的网络安全知识与技术,只能够解决日常工作中通信的简单问题,无法及时应对黑客对信息的窃取问题。
同时当下部队同样缺少走在网络安全防护领域尖端的专业信息工作人员。
其次便是当下部队通信运用的网络系统缺少严密且强大的防火墙系统,没有对部队内部的各种信息进行加密处理,信息定期整理与删减同样存在障碍。
此外,当下部队通信的工作人员在日常通信时缺少专业的监督与管理制度,日常、工作、军事演练、机密信息交流等均缺少更加规范与系统的监督与规范。
当下这种较为随意的通信状态实质上为黑客窃取信息提供更加的脆弱易攻的大环境。
因此为充分确保部队内部的信息安全,工作人员需要采取相应的措施来对自身的网络系统进行加固。
3 提升部队通信工作网络安全防护质量的措施3.1 革新网络安全知识与技术,引入专业网络安全工作者部队通信工作中的网络安全防护研究刘会芳1,张 瑾1,燕雯霞2(1.武警山西省总队参谋部通信大队,山西 太原 030012;2.武警山西省总队参谋部综合信息保障中心,山西 太原 030012)摘要:部队作为国家安全的重要基石,其需要信息传输、物品供给、技术保障等多方面的全面整合来充分实现其关键职能,而通信工作作为部队与各单位之间、部队内部之间的重要信息传递方式,更需要相关工作人员着重关注其安全性与隐蔽性,防止出现信息泄露等危险情况。
电信网络维护操作手册
电信网络维护操作手册第一章:概述 (2)1.1 网络维护概述 (2)1.2 维护工作流程 (3)第二章:网络设备维护 (3)2.1 交换设备维护 (3)2.2 路由器设备维护 (4)2.3 光纤通信设备维护 (4)第三章:网络监控与管理 (4)3.1 网络监控技术 (4)3.2 网络管理工具 (5)3.3 网络功能优化 (5)第四章:网络安全防护 (6)4.1 防火墙配置与维护 (6)4.1.1 防火墙概述 (6)4.1.2 防火墙类型 (6)4.1.3 防火墙配置 (6)4.1.4 防火墙维护 (6)4.2 入侵检测与防护 (7)4.2.1 入侵检测概述 (7)4.2.2 入侵检测技术 (7)4.2.3 入侵防护系统 (7)4.2.4 入侵检测与防护配置 (7)4.3 网络病毒防护 (7)4.3.1 网络病毒概述 (7)4.3.2 网络病毒防护技术 (7)4.3.3 网络病毒防护配置 (8)第五章:故障处理与排查 (8)5.1 常见网络故障 (8)5.1.1 路由器故障 (8)5.1.2 交换机故障 (8)5.1.3 网络层故障 (8)5.1.4 硬件故障 (8)5.1.5 软件故障 (8)5.2 故障排查方法 (8)5.2.1 物理层排查 (8)5.2.2 数据链路层排查 (8)5.2.3 网络层排查 (8)5.2.4 传输层排查 (9)5.2.5 应用层排查 (9)5.3 故障处理流程 (9)3.1 确认故障现象 (9)3.2 分析故障原因 (9)3.3 制定排查计划 (9)3.4 执行排查计划 (9)3.5 解决故障 (9)3.6 验证故障解决 (9)3.7 记录故障处理过程 (9)第六章:网络设备升级与优化 (9)6.1 设备升级流程 (9)6.2 设备优化策略 (10)6.3 版本兼容性测试 (10)第七章:网络布线与施工 (11)7.1 网络布线标准 (11)7.2 网络施工流程 (11)7.3 网络布线验收 (12)第八章:数据备份与恢复 (12)8.1 数据备份策略 (12)8.2 数据恢复方法 (13)8.3 备份设备维护 (13)第九章:网络功能测试 (13)9.1 网络功能指标 (13)9.2 测试工具与方法 (14)9.3 测试结果分析 (14)第十章:网络设备故障预防 (15)10.1 设备故障预防措施 (15)10.2 预防性维护计划 (15)10.3 设备保养与维护 (16)第十一章:网络项目管理 (16)11.1 项目管理流程 (16)11.2 项目实施与监控 (17)11.3 项目验收与评估 (17)第十二章:网络维护团队建设与培训 (18)12.1 团队管理策略 (18)12.2 员工培训计划 (18)12.3 维护团队协作与沟通 (19)第一章:概述1.1 网络维护概述网络维护是指在计算机网络运行过程中,对网络设备、系统、应用程序等进行监控、维护、优化和故障排除的一系列工作。
通信维护工程综合服务方案
通信维护工程综合服务方案一、背景介绍随着信息化时代的到来,通信网络已经成为现代社会的重要基础设施。
通信网络的稳定运行对于国家的经济发展、社会管理、科技创新等各个领域起着至关重要的作用。
因此,通信维护工程的质量和服务水平对于保障通信网络的稳定运行至关重要。
为了提高通信维护工程的综合服务水平,本方案旨在提出一套完善的综合服务方案,以满足不同客户的需求。
二、服务内容1. 硬件设备维护(1)对通信设备进行定期巡检,包括检查设备的外观、电源、接口等,确保设备正常运行。
(2)及时清洁设备,定期更换滤网等消耗品,保证设备的正常散热和运行。
(3)按照设备的维护手册对设备进行定期维护,包括检查、清洗、更换部件等,延长设备的使用寿命。
2. 系统软件维护(1)对通信系统的软件进行定期升级,确保系统具有最新的功能和安全性。
(2)定期检查系统的运行日志,分析系统的性能,及时发现并解决潜在问题。
(3)为用户提供定制化的软件维护服务,根据用户的需求进行软件定制和定期维护。
3. 网络安全维护(1)对通信网络进行定期安全检查,确保网络的安全性和稳定性。
(2)为用户提供网络安全监控服务,及时发现网络攻击和异常行为,保障网络的安全。
(3)为用户制定完善的网络安全策略,提供专业的网络安全培训和咨询服务。
4. 运维服务(1)为用户提供全天候的运维服务,确保通信设备和系统的稳定运行。
(2)建立全国范围的服务网络,实现远程监控和故障排除,避免因时间和地域的限制造成的延误。
(3)为用户提供定制化的运维服务,包括人员培训、设备更新、系统升级等。
5. 数据备份和恢复(1)为用户提供定制化的数据备份方案,确保用户的数据安全和可靠性。
(2)定期检查数据备份的完整性和有效性,及时发现并解决备份问题。
(3)在数据损失或灾难发生时,提供快速的数据恢复服务,减少用户的损失。
6. 技术支持(1)为用户提供专业的技术支持服务,包括技术咨询、问题解答、系统优化等。
网络安全综合试卷
网络安全综合试卷一、是非题(每题1分。
正确的在括号内划√,错的划×,填入其它符号按错论。
)()1.城域网采用LAN技术。
()2.TCP/IP体系有7个层次,ISO/OSI体系有4个层次。
()3.ARP协议的作用是将物理地址转化为IP地址。
()4. 在差分曼彻斯特编码技术中,不需要增加额外的同步时钟。
()5.从理论上说,局域网的拓扑结构应当是指它的物理拓扑结构。
()6. 在10Mb/s共享型以太网系统中,站点越多,带宽越窄。
()7.ADSL技术的缺点是离交换机越近,速度下降越快。
()8. TCP连接的数据传送是单向的。
()9. 匿名传送是FTP的最大特点。
()10. 网络管理首先必须有网络地址,一般可采用实名制地址。
()11.网络安全应具有以下四个方面的特征:保密性.完整性.可用性.可查性。
()12.最小特权.纵深防御是网络安全原则之一。
()13.安全管理从范畴上讲,涉及物理安全策略.访问控制策略.信息加密策略和网络安全管理策略。
()14.用户的密码一般应设置为16位以上。
()15.开放性是UNIX系统的一大特点。
()16.密码保管不善属于操作失误的安全隐患。
()17.防止主机丢失属于系统管理员的安全管理范畴。
()18.我们通常使用SMTP协议用来接收E-MAIL。
()19.在堡垒主机上建立内部DNS服务器以供外界访问,可以增强DNS服务器的安全性。
()20.TCP FIN属于典型的端口扫描类型。
()21.为了防御网络监听,最常用的方法是采用物理传输。
()22.NIS的实现是基于HTTP实现的。
()23.文件共享漏洞主要是使用NetBIOS协议。
()44.使用最新版本的网页浏览器软件可以防御黑客攻击。
()25.WIN2000系统给NTFS格式下的文件加密,当系统被删除,重新安装后,原加密的文件就不能打开了。
()26.通过使用SOCKS5代理服务器可以隐藏QQ的真实IP。
()27.一但中了IE窗口炸弹马上按下主机面板上的Reset键,重起计算机。
综合布线设计方案
综合布线设计方案目录一、概述 (3)1.1项目背景 (3)1.2 项目概况 (4)二、需求分析和设计原则 (4)2.1需求与分析 (4)2.2 设计原则 (4)三、总体设计 (5)3.1设计依据 (5)设计标准 (5)设计及安装规范 (5)环境要求 (6)布线装置及线缆的工作环境 (6)布线装置及线缆的大气环境 (6)设计目标 (6)目标 (6)原则 (6)指标 (7)测试 (8)3.2综合布线系统简介 (9)五大子系统简介 (10)工作区子系统 (11)水平子系统 (11)垂直子系统 (12)管理间子系统 (12)设备间子系统 (13)四、系统设计方案 (13)4.1 综合布线系统设计 (13)系统特点综述 (13)工作区设计说明 (14)水平系统设计说明 (15)管理系统设计说明 (16)一、概述1.1项目背景我们会根据实地项目楼层分布情况和各种信息点的布局安排,设计和建设好综合布线系统;以单模光缆连接到校园网中,实现教学楼内全部无线覆盖,构建一个先进实用的计算机校园网平台;建设一个多网合一、全数字多媒体教学综合应用系统。
1.2 项目概况在规划和设计时我们充分考虑了计算机信息网络系统、语音通信系统及各智能子系统对综合布线系统的要求,力求把综合布线系统建设成一个可靠、开放、高带宽、可扩展、并满足未来发展的布线系统。
二、需求分析和设计原则2.1需求与分析(1)需求:布线要美观,能抗干扰。
分析:我们全部采用暗装布线,干扰强烈的地方全部采用屏蔽双绞线。
(2)需求:未来升级扩展容易。
分析:我们的设备插槽和信息点布置方面预留了充足的扩展空间,未来升级扩展非常方便。
(3)需求:每间教室信息点要连接到桌面。
分析:我们在多媒体教室的信息点模块采用桌面型模块,能保证每张桌子都能连接。
2.2 设计原则(1)先进性:在兼顾技术、资金、性能的条件下,采用最先进的产品,使综合布线系统及网络系统达到设计要求,并且最大可能地发挥其先进性。
港口数字无线通信系统建设方案
港口数字无线通信系统建设方案1项目概述港区目前使用的无线对讲系统为模拟常规系统,在实际使用过程中存在信号覆盖不全、语音通话质量不高、安全保密性不足等问题,且随着使用规模的扩大,已经难以申请到新的频点,既不能满足港区不断扩大的业务需求,也为港区的安全生产带来隐患,为此,迫切需要对无线对接系统进行升级改造,一方面满足不断增长的港区作业调度需要,另一方面也为港区安全管理、综合指挥调度、应急处置等提供技术支撑手段。
无线集群系统的发展已经从模拟常规、模拟集群发展到了数字集群时代,在国内公共安全行业、交通运输行业等无线通信需求旺盛的行业已经大规模建设了数字集群专网,事实证明数字集群专网的可管理性、安全保密性、数据业务支撑能力、可指挥调度能力等为这些行业的通信调度、应急指挥都带来了新的转变,提升了集群通信效率、指挥调度效率,也提升了机构的安全管控能力与应急处突能力。
2PDT数字集群概述⏹国内集群通信发展现状在中国,国际上主流的数字集群通信标准经过多年的发展,仍未得到我国国内市场全面认可,不能完全满足国内专业行业用户的需求,主要局限体现在以下几方面:➢MPT模拟集群系统已具规模,用户需求一种平滑过渡的方案,保证模拟向数字转换过程中设备正常使用,保护前期投资;➢各地区经济发展很不平衡,要建成最有效的大范围调度管理通信网,用户无法采用组网难度大、组网成本高的技术;➢由于成本和技术的原因,用户无法大量采用需要专利授权的系统设备;➢为更好地保护涉及国家机密、国家安全的通信,用户急需一款由国家开发并制定的加密技术体制方案;➢各地区分批采购的设备必须有统一的互联标准,确保不同供应商之间的设备能够互联互通。
为了更好地解决上述问题,开发一种适用于中国的数字通信标准变得十分必要和紧迫。
⏹新一代数字集群标准—PDT2008年由公安部牵头,成立了PDT数字集群标准研究中心,引进了标准工作组、产业联盟等工作机制,共同制定符合我国专业用户需求的标准并推动其产品化、产业化。
数字化技术在消防通信中的应用研究
数字化技术在消防通信中的应用研究作者:王健宇胡赫来源:《中国新通信》2023年第17期摘要:面对复杂的消防通信需求,消防部门应根据当前形势的发展要求,合理引入先进的数字化技术,构建全新的消防通信系统。
新系统可利用5G通信技术、计算机技术等数字化手段,通过无线通信传输音视频信号,更好地满足消防通信指挥工作的实际需求。
减少各种重大灾害造成的损失,推动消防通信向数字化、智能化方向发展。
关键词:数字化技术;消防通信;应用城市消防作为城市现代化建设的重要组成部分,需要充分关注消防通信规划。
通过利用有线和无线等通信技术和手段,构建现代化、数字化的消防通信指挥系统。
在数字化技术的支持下,开展包括灾情报警、现场指挥、消防信息综合管理、训练模拟等多项工作。
加强消防通信的数字化基础设施,实现消防通信信息资源的共享和利用,以满足消防通信安全方面的需求。
一、当前消防通信指挥存在的问题分析(一)通信指挥基础设施设备不够齐全目前,消防队伍在基础设施装置方面存在明显不足。
通常采用对讲机、卫星电话、短波收音机等传统设备进行通信。
但这些设备存在兼容性问题,容易受地面密集建筑物和构筑物的干扰,无法快速而准确地定位作业地点以及了解具体状况。
此外,数据传输也受到较大的阻碍。
这些消防设备基于不同的通信协议,技术标准也不够统一,因此无法进行纵向扩展和综合应用。
这导致在地理信息集成、可视化指挥、大数据分析等方面存在缺失,并且无法满足灭火救援现场消防指挥的需求。
(二)消防应急指挥能力不足消防通信是确保快速准确救援的重要前提。
如果现场情况复杂易变,会给消防救援人员带来极大的威胁。
为了解决这个问题,需要建立准确高效的现场消防应急指挥系统。
但目前的消防应急指挥能力还存在不足,无法综合判定现场处置行动的时机和救援方式。
消防通信传输不及时,无法提供消防应急指挥方案所需的数据支持。
对于现场形势的变化和突发状况缺乏科学综合的分析,导致消防应急指挥混乱无序。
塔河油田电力调度SDH光通信网络建设
塔河油田电力调度SDH光通信网络建设摘要塔河油田电力调度通信网是随着油田勘探开发的持续推进以及电力系统的规模化建设而逐步建立和完善的。
随着油田电力生产信息、调度专网应用日益深化,以及新疆地区防恐维稳要求建立覆盖全油田视频专网,促使塔河油田电力调度SDH光通信网络要具有更高的数据传输能力,以适应塔河油田电网智能化、信息化建设。
文章介绍了电力调度SDH光通信网发展建议,为塔河电网发展提供了网络支撑。
关键词电力通信;SDH;光通信;网络建设前言近年来,随着通信技术高速发展,光传输技术[1]逐渐成熟,其中,SDH 应用较为广泛。
SDH全称同步数字体系(Synchronous Digital Hierarchy),它是指由一些SDH网络单元组成的、在光纤线路或其他传输媒体上进行同步信息的传输、复用、分插和交叉连接的网络。
塔河油田电力调度通信网是随着油田勘探开发的持续推进以及电力系统的规模化建设而逐步建立和完善的。
电力通信网的发展离不开油田高效、持续、规模性开发建设,并为其提供可靠、稳定的电源供给保障。
1 塔河电网概况目前,塔河电网现有发电厂3座,总装机容量161MW;变电站20座,其中110kV变电站5座,35 kV变电站15座;149个高压配电室双电源用户,电力线路总长达3700多公里。
2 电力调度通信网络现状电力通信[2]是为了保证电力系统的安全稳定运行应运而生的,要求具有很高的可靠性。
光纤通信是以光波为载体,以光导纤维为传输媒质。
它具有传输的信息量大、距离远、质量高、抗干扰性强等优点,是集调度数据、视频监控、故障录波、IP电话为一体的综合传输系统。
塔河油田电力调度SDH光通信网络始建于2005年,经过多年的发展,全网共有通信节点30余个,全网共有通信主缆30条,通信小缆36条,总长608.3km。
形成覆盖塔河油田全部变电站、油气联络站等重要节点,承载电力调度中心变电站自动化、视频监控、智能抄表等重要生产信息,电力调度传输网始的坚强稳健对油田安全生产至关重要。
防范中间人攻击的有效方法
防范中间人攻击的有效方法介绍中间人攻击是指黑客通过某种方式插入自己作为信息传递中的中间人,并窃取、篡改、劫持通信流量的攻击方式。
这种攻击方式危害巨大,但是我们可以采取一些有效的方法来防范中间人攻击。
本文将详细探讨一些有效的防范中间人攻击的方法。
加密通信1.使用加密协议:使用加密协议如HTTPS、SSL/TLS等,确保通信过程中数据的机密性和完整性。
这样即使中间人成功截取到通信数据,也无法解密其中的内容。
2.确认证书有效性:在与服务器建立连接时,要验证服务器的证书是否合法、有效。
可以使用信任的证书颁发机构的证书进行验证,避免受到中间人篡改证书的攻击。
安全网络环境搭建1.使用虚拟专用网络(VPN):通过使用VPN,将通信隧道加密起来,从而防止中间人在数据传输过程中进行窃听、篡改等攻击。
2.避免使用公共无线网络:公共无线网络是中间人攻击的高发地,因为黑客可以轻易地插入自己作为中间人,并窃取通信数据。
如果必须使用公共无线网络,可以使用VPN来建立安全的通信隧道。
安全编码和认证授权1.输入验证:预防中间人攻击的一种常见方法是对用户的输入进行验证。
通过对用户输入进行过滤和检查,可以避免一些攻击,如跨站脚本(XSS)和跨站请求伪造(CSRF)等。
2.用户认证和授权:在用户登录和访问敏感信息时,进行严格的认证和授权控制。
使用强密码策略、多因素身份验证等措施,确保用户的身份和权限。
安全域名解析1.使用DNSSEC:DNSSEC是一种用于验证域名解析结果的安全扩展。
通过使用DNSSEC,可以保证域名解析结果的真实性和完整性,防止中间人攻击通过篡改DNS解析结果进行的攻击。
2.设置受信任的DNS服务器:确保使用受信任的DNS服务器进行域名解析,避免中间人劫持DNS解析流量,返回虚假的解析结果。
安全更新和漏洞修复1.及时更新软件和系统:保持软件和系统最新的版本可以及时修复已知的漏洞,避免中间人攻击利用已知漏洞进行攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
搭建安全的综合数据通信网(DCN网) http://www.enet.com.cn/security/ 2007年01月16日10:16 来源:计算机世界 作者:梁世红 字号:小 | 大 【文章摘要】综合数据通信网(DCN网)在企业信息化中的重要程度正不断提高,但要解决随之而来的安全问 题,还需满足三大前提条件。随着企业信息化程度的不断提高,采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网 (DCN网),逐步成为企业应用趋势。目前,省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、 168系统、九七系统、智能网记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。 综合数据通信网(DCN网)在企业信息化中的重要程度正不断提高,但要解决随之而来的安全问题,还需满足三大前提条件。
随着企业信息化程度的不断提高,采用IP技术构建覆盖全国的、技术先进、功能齐全、面向企业内部应用提供服务的综合数据通信网(DCN网),逐步成为企业应用趋势。
目前,省内DCN网络的应用主要包括长途网管系统、七号信令系统、电路调度系统、传输综合网管、本地网管系统、168系统、九七系统、智能网 记费、资源管理系统、客服系统、联机计费采集系统、IP综合网管系统、交换接入网综合网管系统、新九七系统等。而随着信息化系统整合,Internet和 合作伙伴等也会接入到网络中,随着DCN网络信息资产价值的提高,其重要性和安全问题日益显现出来。整体而言,DCN网络正面临着恶意软件攻击、内部员工 误用、黑客入侵破坏等安全威胁,要建立安全的DCN网,必须满足一些前提条件。
安全需求具有明显特点 DCN网络分为两层结构:省干核心层和地市汇聚层。全省共设置了1个省中心节点、若干个地市中心节点。
DCN网络存在的安全问题主要集中在以下几个方面:组网方式随意性很强;网络区域之间边界不清晰,互通控制管理难度大、效果差,攻击容易扩 散;安全防护手段部署原则不明确,已有设备也没有很好地发挥作用;网络资源比较分散,关键数据分散管理,部分通信资源无法共享;扩展性差,网络层次不清 晰,会导致扩展性问题;非均匀的网络分布。
作为内部支撑业务的“数据通信网”,DCN网络与其他网络的安全需求相比存在着明显的特点。
可用性,可控性需求。作为内部承载网络,DCN网络的可用性需求是最重要的安全需求,由于DCN网络的特点,公共网络那种以扩大资源(带宽、 设备处理能力)为主的处理方式很明显不适合DCN网络的具体情况。例如,病毒泛滥,蠕虫传播的情况,由于端接入点不可控,采取很具体的控制手段往往是通过 增加资源首先保证可用的方式来解决。但对于DCN网络,由于全网所有节点都在可控范围内,可以方便地采用技术手段和管理手段实现更精细,更有效的可用性管 理。
可操作性需求。DCN网络覆盖面广,承载业务系统繁多,情况千差万别,要搞好这个系统的安全建设工作,可操作性是目前需要考虑的一个重要问题,没有可操作性,任何建设方案,建设思路都将流于形式。
面临三大安全威胁 DCN网络中的主要威胁除了物理攻击破坏外,主要包括恶意软件攻击、内部员工误用、黑客入侵破坏等三大类,具体描述如下。
1.物理攻击和破坏 物理攻击和破坏主要针对DCN的基础平台而言,对基础平台内重要的网络设备、通信链路进行的攻击和破坏,威胁的形式表现为物理临近攻击。威胁 的主体包括DCN内部和外部的破坏者,破坏网络设备使之无法正常提供服务;侵占网络链路资源,使DCN网络有限的带宽资源被无目的地浪费等。
2.病毒、蠕虫和恶意代码 这种威胁主要针对DCN的应用。随着计算机技术的发展和网络互联范围的扩大,计算机病毒制造技术也在不断地翻新和发展,传播方式也有了很大的 变化。病毒的发作具有高发性、变异性、破坏力强等特点,在短短的时间内可以迅速传播、蔓延,导致计算机网络瘫痪,造成DCN网重要数据的丢失。
与此同时,还出现了许多具有攻击性的黑客程序和其他破坏程序。这些有害的程序都是利用计算机网络的技术进行传播和破坏,使传统的病毒防范技术难以防范,大规模蠕虫病毒对网络资源造成很大的侵占,使系统无法正常支撑业务的运作,严重的将导致整个系统的崩溃。
防范的主要目标是:能够掌握DCN网络、数据中心的资产信息和运行状态,每月提供全省病毒攻击相关安全事件统计数据报告;能够对省属DCN网 络、信息系统的漏洞和威胁进行评估,明确当前省属DCN网络和信息系统存在的风险和被病毒攻击的可能性,并及时做好加固工作;能够对省属DCN关键节点网 络流量进行监控,对病毒等造成的流量异常进行及时响应,快速定位并隔离病毒源头;能够通过对网络设备和安全设备的日志和告警事件的关联分析,在病毒爆发初 期快速定位并隔离病毒源头;能够在接收到安全通告12小时内向各地市发布安全通告;在病毒爆发时,能够快速定位接入局域网接入位置,提高安全响应时间。
3.垃圾邮件 电子邮件的兴起,实现了方便的信息交互和沟通,也为各种攻击提供了新的传播手段。典型的基于电子邮件的攻击就是垃圾邮件,这些垃圾邮件利用邮 箱内的地址簿,自我进行复制和传播,从而在网络内形成大量的邮件风暴,而阻碍了正常邮件的发送,甚至引起网络阻塞,影响其他正常业务数据的交互。
4.内部员工误用、滥用和误操作 内部员工在使用计算机过程中的一些不当行为,很容易使DCN网遭到外来的攻击和破坏。比如,下载一些带有病毒的文件,造成病毒的传播;对业务 系统进行误操作,造成业务系统宕机;被植入木马,从而形成跳板去攻击DCN其他网络资源;对数据滥用,造成重要的信息外泄,使重要机密数据被窃取。
一般地,内部员工误用、滥用资源和对设备的误操作,无论是无意的还是有意的,都将给攻击者可乘之机。这种行为会给DCN网带来一些明显的后 果:DCN网机密泄漏和关键数据丢失;误操作导致计算机系统瘫痪、影响业务正常运行;误用和滥用导致业务的不稳定、被攻击的可能性增大。
针对此类行为的关键策略是采取集中认证和访问控制、行为审计等措施进行防范,能够建立省中心网络集中认证授权(AAA)管理系统,统一用户的账号口令管理、统一认证,并能够对关键网络设备的访问和操作进行审计等。
5.蓄意破坏 指一些有组织、有预谋的破坏行为。包括采取物理临近攻击,进入DCN网络而获得商业秘密,使机密数据被窃取;针对DCN网络重要网络设备、重 要业务服务器进行暴力攻击,影响关键业务的持续运行;针对DCN网络对外提供服务的设备进行拒绝服务攻击,中断其正常服务的提供,对业务的正常开展造成威 胁等。
可以采取的措施主要包括:能够在省属DCN关键链路和关键节点有相应冗余措施;能够对省属关键网络设备的访问和操作进行审计;出现安全事件和故障能够快速定位。
6.黑客攻击和非法入侵 指外部黑客对DCN网络进行的强制攻击行为,攻击者往往利用DCN网络的弱点,获取访问权限,并利用访问权限获得对DCN信息资产的控制,从而进行进一步的攻击行为,破坏系统的机密性、完整性和可用性,造成系统的崩溃。
防范攻击的目标为:掌握DCN网络、数据中心的资产信息和运行状态,提供遭受入侵攻击和安全事件相关统计数据报告;对DCN资产的漏洞和威胁 进行评估,明确当前DCN存在的风险和被攻击的可能性,并及时做好加固工作;对省公司与集团总部数据中心接口、Internet 出入口处、合作伙伴接入点进行监控,对内部黑客攻击和非常入侵等造成的流量异常进行及时响应,能够快速定位攻击源,及时切断攻击行为;对网络的攻击行为进 行记录和审计;能获得最新的漏洞报告,并能在全网发布。 满足三大前提条件
保证网络安全必须有一定的前提条件,主要包括边界整合和安全域划分、出口规划及控制、业务层面的隔离三个方面。
1.边界整合和安全域划分 DCN网的边界包括外部边界和内部系统之间的边界。外部边界包括与Internet的接口、上下区域之间的接口,内部边界是指各业务系统之间的边界。
在省层面,与外界的接口原则上由省的统一节点管理,并设置严格的安全控制策略。所有对外接口原则上设置在省公司,在地市公司层面,和其他网络 没有连接。在CE层实现MPLS VPN控制。在PE层实现Internet的出入口,在业务网的互联区采用边界防火墙进行隔离。
2.DCN网的Internet出口规划及控制 DCN网络根据业务发展的需要应该进行Internet接口的整合,统一DCN网的互联网出口。在确定Internet接入的情况下,在Internet接口处部署防火墙设备。
而在Internet出口处部署防火墙必须能够做到:采用状态检测的机制实现;对常见应用采用代理机制,防止反向连接的木马攻击程序;防火墙 本身应能实现HA和Load Balance;在DCN网接入Internet接口处,除了采用防火墙这种通用的、常见的措施外,还应采用IPS(入侵防御)技术/产品和防火墙配合使 用。
3.DCN承载业务层面的隔离措施 BSS、OSS和MSS在纵向(集团-省公司-地市公司)、跨DCN骨干网的传输上采用MPLS VPN方式针对不同业务系统进行封包,确保在不同的VPN通道中传输不同业务系统。
如果BSS、OSS和MSS系统在横向上同处一个本地网中,则采用路由控制配合其他安全方式来进行安全防护。
4.VPN实现隔离 各地市节点的路由器用作PE(即SPE),组成一个逻辑PE节点(HoPE)。在DCN网络上形成多个这样的逻辑PE,逻辑PE之间通过 MP-BGP协议交换VPN路由信息,省中心两台核心路由器设置VPN路由反射器(VRR)。逻辑PE内部,SPE和UPE之间运行扩展的MP-BGP协 议,交换本地VPN路由信息。