园区网络建设范文

时间:2023-11-23 10:54:28

引言:寻求写作上的突破?我们特意为您精选了4篇园区网络建设范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

园区网络建设

篇1

1.园区网络建设与管理的原则

进入21世纪以来,计算机技术 、网络技术、远程教育已经越来越广泛地参与到教育技术领域的活动中,面对全新的教育技术领域,园区网络建设,应该引入现代化管理机制,建立全新的网络管理模式,以加快园区网络技术与国际网络技术体系的接轨,开拓信息技术领域更广阔的空间。

园区网络建设与管理必须贯彻的原则:

(1)独立设计、自主实施。

(2)统一规划、分步实施、近期目标明确。

(3)坚持先进性、开放性、标准化的原则。

(4)强调应用和服务。

2.园区网络系统目标分析

2.1系统环境分析

园区网络在进行建设之前要充分的进行系统环境分析,应本着节约资源,优化机构设置,同一职能统一管理的原则,尽量统一在一起,避免“多中心”的小而全。

2.2系统目标

园区网络建设的总体目标是:以计算机及其网络为工具,以数据库技术为核心,用计算技术和方法、应用管理工程技术,建成综合性的园区网络系统,达到科学管理的目的,满足最初设计的要求。

(1)提供先进、实用、功能强大的信息处理及信息资源共享的手段。

(2)极大地推进办公手段现代化。

(3)技术要有极高的先进水平。

(4)为园区内的用户上网提供便利的条件。

2.3技术指标

园区网络系统的技术指标应满足以下条件:

(1)新建系统应是规范化和标准化的系统。

(2)新建系统应该满足系统的正确性、一致性、完整性。

(3)新建系统应满足系统的整体性、安全性、保密性。

(4)新建系统的信息应满足可靠性、及时性、准确性。

(5)新建系统应具有可检查性、稳定牲。

(6)新建系统应具有灵活性、可扩充性。

3.园区网络的基本结构设计

3.1要有一个功能强大的信息资源中心(网络管理中心)

信息资源中心也称网管中心,是整个园区网络的枢纽,它由资源服务器、Web服务器、数据库系统及主干交换机等构成。各个子网间与信息资源中心的中心机房连接。中心机房应设置N台服务器为整个网络提供服务,比如主域服务器、数据库服务器、Web服务器、OA服务器和(VOD)视频点播服务器。

应用软件系统共含数个子系统,涵盖园区的办公、教育、行政等所有业务,实现园区所有信息的电子交换与共享,为用户提供大量的网络资源信息,为领导决策提供实时、准确和有力的支持。

园区网络系统应采用三层式结构。WWW是一个非常明显的三层式结构,三层式结构系统正是Intranet的精华所在。

3.2要建设一套完整的园区网络综合系统和子系统平台

系统主要采用VC++实现,教学管理采用ASP实现。音视频的播放采用最合适的压缩比进行编码,网络多播通信延迟应在1秒以内。

3.3要整体规划数据库系统的结构

数据库是计算机信息网络系统的核心,是系统中数据存储的实体,是整个信息系统中信息资源充分应用的基础。数据库系统设计的合理与否,直接影响到系统功能的实现,影响到系统的使用性能。

4.园区网络的安全与管理

由于计算机网络具有开放性、互联性、连接形式的多样性,终端分布的不均匀性等特征,无论是在局域网中还是在广域网中都存在着技术弱点和人为疏忽等形成的潜在威胁,致使网络容易受黑客、恶意软件或病毒的攻击,并呈不断上升的趋势,面对网络安全方面的各种威胁,我们在加快建设网络系统的同时不得不考虑网上信息的安全和保密这一至关重要的问题,网络安全技术应能全方位地处理各种不同的威胁,确保网络信息的保密性、完整性和可用性。网络应该采取适当的控制技术保证安全访问而禁止非法者进入,这些已成为网络建设及安全的重大问题。针对这一情况笔者认为应从以下几个层面注意:

4.1网络级

目前,在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议。TCP/IP结构的开放性、灵活性、易用性、开发性都很好,实施与硬件平台、操作平台无关,互联能力强、网络技术独立、支持多种应用协议。但正是其体系结构的开放性、互操作性的特点,以及该协议在制定时没有考虑安全因素,在安全性方面存在很多隐患,决定了其安全问题的复杂性和安全漏洞的多样性。

TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可以任意改变,因此服务器很难验证某客户机的真实性。例如:IP欺骗,攻击者可以在一定的范围内直接修改节点的IP地址,冒充某节点的IP地址进行攻击就可能收集到网络、网络用户、网络配置等信息,使攻击者方便地拷贝、窃取、破坏数据;路由选择信息协议攻击,RIP协议用来在局部网中动态路由信息,它是为局部网中的节点提供一致路由选择和可达性信息而设计的,但节点对收到的信息不进行真实性检查,因此攻击者可以通过在网上错误路由信息,利用ICMP的重走向信息欺骗路由器或主机,实现对网络的攻击。

网络级的安全控制包括:什么人对什么内容具有访问权;查明任何非法访问或偶然访问的入侵者;保证只有授权许可的通信才可以在客户机和服务器之间建立连接;以及传输当中的数据不能被读取和改变。这些就是通常所说的防火墙和虚拟专用网。

4.2系统级

系统的安全防护就是保证整个系统不受外来的入侵,以免受到损失。目前,常见的操作系统主要有Windows、Netware、Unix、Linux等几大家族,而这些系统各自的安全问题随着不同的版本层出不穷。对操作系统平台采取的安全措施包括:采用较高安全强度的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞;如果有需要,甚至可以把系统内核中可能引起安全性问题的部分除掉:增强网络内部合法用户的安全检查素质,提高管理人员的技术水平。

4.3用户级

动态执行程序破坏浏览器、危害用户系统、窃取用户秘密,最终用户个人信息的滥用,这些都是常见的安全问题。用户级的安全主要通过管理用户帐号实现,在用户获得访问特权时设置用户功能或在他们的访问特权不在有效时限制用户帐号是该级安全控制的关键。这项工作主要依靠管理员来完成,而借助于专业的评估审计工具将会使的管理员更加有的放矢。

4.4应用级

随着计算机应用的发展,应用级的功能不断扩展,其地位越来越显著。基于HTTP、FTP、Telnet、Wais、Mailto、SMTP、POP3等协议的各种应用是大家比较熟悉的。这些应用的协议本身存在着这样或那样的安全问题,具体到某一种协议的应用各不相同。因此由于应用级的安全弱点导致的各种网络攻击令人防不胜防。现在,应用级的安全控制主要是应用程序和服务的口令和授权的管理,这需要借助于专业的数据访问控制工具。

4.5数据级

对于网络来说,数据的安全最为重要,保证数据的安全是网络安全的核心。由于TCP/IP自身的性质决定了其上各种应用的数据在传输的过程中都是在不可信的通道中以文明的形式进行,就导致数据在传输过程中存在极大的安全风险,别有用心的攻击者可以监听网络传输中的文明数据,甚至对其进行修改和破坏。数据级的安全主要是指保持数据的保密性和完整性,这需要借助于专业的数据加密工具:SHTTP,SHEN,SSL等。

【参考文献】

[1]曾志峰,杨义先.网络安全的发展与研究.计算机工程与应用.

篇2

社区教育(Community Education 或 Community Learning & Development)是在社区中利用各种教育资源开展的教育活动,其主旨在于提高社区居民的整体素质和生活质量,使社区居民能更好地参与社区文化、经济与民主建设,促进社会和谐发展。社区教育作为一种继续教育形式,各国都极为重视。美国社区教育与当地劳动力市场的需求紧密结合,不仅培养了社区技术人才,还开设了与居民日常生活相关的课程,以提高居民生活质量。英国将社区教育与远程教育相结合,通过广电网络,面向社区居民提供有关生活常识和了解世界的知识。近年来国内社区数字化学习也蓬勃发展,全国各地方政府在社区建立了多个数字化学习中心。在国家和地方的大力推动下,社区教育的发展也普遍得到了加强。

二、社区教育网络资源

随着互联网技术的不断发展,网络课程资源不断丰富。近年来,大规模开放在线课程热潮MOOCs(Massive Open Online Courses)又不断兴起。2011年, Udacity在线课程平台、Coursera在线免费课程推出; 2012年,MIT和哈佛大学共同eDX平台,平台不仅提供了优质的教学资源,还将资源组合为结构化的正规大学课程,并安排在线授课,提供学习支持服务。在OCW和MOOCs运动的影响下,社区教育资源也在不断网络化。美国的海恩斯社区学院(Hinds Community College)、爱德蒙德社区学院(Edmonds Community College)等,通过数字化学习平台支持社区教育的开展,提供学员在线学习的机会。

受国家终身学习战略和网络教育发展的影响,国内社区数字化学来蓬勃发展,全国各地政府在社区建立了多个数字化学习中心,方便居民上网学习。与此同时,以市、城区政府为主导建立了数十个社区教育网。例如,上海既有上海市社区学习网,也有上海市徐汇区社区学习网;广西也建立了广西社区学习网,为社区教育提供了丰富的政策、社会生活、文化、技术、家庭教育、健康等学习资源,助力广西社区教育的发展。

三、社区教育网络资源建设存在的问题

1.缺乏对社区学习者的需求分析,资源针对性不强

社区教育的人群广泛,且社区的学习需求多样化,但目前对社区人员的学习需求仍然缺乏大量深入的调研分析,对资源内容、资源的组织形式也缺乏深入探讨,使得社区学习资源针对性不强。出现这种情况,一是因为社区教育机构和资源建设单位缺少科学的调研方法;二是因为大规模的科学调研活动需要投入相当的人力、物力以及财力,部分社区教育机构和资源建设单位为了节约成本因而忽视了调研的重要性。

2.缺乏资源的整合优化与共享,资源利用率不高

由于缺乏有效的引导与协调,社区教育资源的整合优化共享面临很大困难,资源利用率并不高。一方面,各级各类教育资源没有得到开放,学校学历教育资源向非学历教育资源的转化应用不多,社会机构、行业内的培训资源也没有实现共享,各社区教育学习平台之间独立运行,因而社区教育资源很难得到整合优化和共享。另一方面,社区学习资源的建设目前趋向于形式化。资源内容制作简单,大多是传统的PPT或是上课、讲座录像,资源的利用率并不高。

3.缺乏有效的学习支持服务,资源学习的持续性弱

目前,大部分社区学习都缺乏有效的学习支持服务,使得资源学习的持续性不够。一方面是因为很多社区学习都是简单地提供学习资源,缺乏教学交互的学习支持服务,没有建立完善的答疑系统,不能形成学习社区;另一方面是由于社区学校的教师因自身网络技能和学科知识限制,不能及r帮助学习者解决问题。因而社区教育资源在应用过程中遇到问题时,社区学习者无法获得有效的帮助和支持,导致学习无法持续下去。

4.缺乏资金保障,资源没有得到更新,平台运行困难

资金是社区教育资源建设的重要保障,目前社区教育在资金方面还没有形成向传统学校教育那样稳定的资金保障机制。大部分地区现有教育政策对社区教育投入所占比例很小,地方也没有建立多元资金投入的长效机制,缺乏资金保障,影响了资源的进一步开发,资源得不到进一步的更新,学习平台的长效运行困难。

四、社区教育网络资源建设的策略

1.资源的建设应切合社区学习者需求,使得资源更具针对性

尽管网络提供了海量的教育资源,但如何建设最符合社区学习者需求的教育资源,以满足不同社区人群的学习需要,这是社区教育资源建设首先要解决的问题。社区教育网络资源的建设应该在社区学习者学习需求调研的基础上展开,调研可以通过问卷、访谈等多种形式来了解社区学习者的不同需求。对社区学习者的学习需求了解,不仅包括对社区学习资源内容的了解,还应包括对学习对象、学习目的、学习方式以及资源呈现形式等多个方面的了解。社区教育的学习对象具有广泛复杂性的特点,学习目的和学习方法又具有多样性和个性,学习资源的内容又有丰富多变性。在切实把握和分析社区学习需求的基础上,再去确定社区教育资源的建设方向,制作出有针对性的社区教育优质资源,尤其是适合当下各类社会人员发展的,能够提高社区人员工作能力和生活品质的优质资源,进而不断完善建设社区教育的品牌资源。所以把握社区学习者的学习需求,才能建设有针对性的学习资源,提高资源的使用效果。

2.依托网络技术,不断整合优化共享社区教育资源

当前,很多地方都在建设自己的社区教育学习平台,但大多平台是基于自身资源的存储模式建设,而社区教育对资源的需求,不管是从资源的数量、质量,还是资源的种类方面,都是任何一个单独的平台所无法承担的。因此我们需要依托网络技术,不断整合优化共享各区域、各层次的教育资源,提高资源的利用率。

一方面,利用各类网络平台。随着互联网的不断推广,人们对网络的依赖性越来越强,越来越多的人参与到网络社交平台、移动交流平台以及专属APP空间等各类平台中,这些平台用户活跃度高、资源种类丰富全面,具有网络社区教育的基本条件,通过改造,可以让社区学习者根据自我需要,选择适合自身的平台及其相关资源进行学习分享,进而整合优化共享社区教育资源。

另一方面,建立社区教育联盟。通过联盟,促进各社区平台互相联通,推动资源的共建共享。目前,国内首家社区教育数字化合作联盟“全国社区教育数字化资源及平台合作联盟”已经建立,该联盟通过引入评优、培训和服务运营等市场机制,促进联盟成员在资源建设、平台运营、业务拓展、师资培训方面的交流,从而推动全国社区教育数字化学习的发展。

3.提供有效的学习支持服务,保障社区资源学习的持续性

社区教育资源的应用所涉及的学习支持服务很多,包括管理上的、平台上的和技术上的支持服务,为社区学习者提供有效的学习支持服务,才能保证社区教育资源学习的持续性。管理角度上的学习支持服务,是社区教育资源建设的基础,它为社区学习者使用社区资源创设环境,并建立了各种制度进行管理,包括对资源的软硬件进行管理,如维护电脑、更新操作软件等,建立社区教育资源使用的日常管理制度等。平台角度上的学习支持服务,是社区教育资源应用的重要过程。包括对社区教育资源的网络学习环境支持,学习者在网络上如何获取资源,如何参与互动,对社区学习者进行答疑解惑,反馈学习结果等过程服务,是学习者持续学习的重要动力。技术角度上的学习支持服务,是解决社区资源应用中技术问题的重要环节。这类学习支持服务主要帮助社区学习者克服技术上的困难,充分使用资源,达到社区教育资源效益的最大化。

4.增加资金投入,多方参与,保障社区学习长效运行

确立稳定的经费保障机制是保障社区学习长效运行的重要手段。一方面,开展社区教育所需的资源都是需要经费的,场地、设备等物力资源需要维修更换,有了及时的经费补贴,才能适时满足社区教育的需求。另一方面,也需要政府、学校和社会的多方参与。社区教育是非营利性的教育,目前主要以政府给予适当的经济补助为主,但只靠政府的投入是远远不够的,需要调动学校、社会各方面的力量共同参与,为社区教育提供一定的资金和服务,从而保证社区学习的长效运行。

综上所述,为加强社区教育网络资源的针对性,提高资源的利用率,保障社区资源学习的持续性,在社区教育网络资源的建设过程中,应切合社区学习者需求针对性建设资源,依托网络技术不断整合优化共享社区教育资源,提供有效的学习支持服务并增加资金投入,多方参与,进而保障社区学习长效运行。

参考文献:

[1]黄 河.城市社区教育资源建设的相关问题与对策[J].继续教育研究,2012(1).

篇3

随着信息时代的到来,计算机技术的飞速发展,特别是计算机网络技术已经影响和改变着我们的生活。学校作为科学技术的传播者,校园网的建设对于提高学校的教学质量,节约教学资源,促进创新性素质教育有着重要的作用。特别是对于存在多个校区的院校,通过校园网连接和管理多个校区,可以使不同学校之间能更快地融合,在管理和教学中,校园网的建设将起到巨大的支撑作用。然而,不同校区存在不同的网络基础,如何在此基础上根据优化原理提出多校区校园网络建设优化策略,对现有网络资源进行整合设计,优化网络性能,是多校区校园网的建设中需要关注的焦点。

一、多校区校园网存在的问题

1.资金不足

学校作为一个非盈利性单位,基础建设资金有限,特别是职业技术学院,它于2005年7月经自治区人民政府批准,在原自治区农牧学校和自治区综合中专学校的基础上合并组建而成。作为一个年轻的学校,其各项建设都在进行中,在校园网建设的投资就显得力不从心,只能“就米下锅”,从而导致校园网在运行一段时间之后,由于设备性能达不到实际网络运行要求而需要更新设备,造成重复投资。

2.网络管理问题

校园网络需要管理复杂的内容,不仅包括网络设备、网络线路、网络协议、网络安全等网络硬件、网络软件,还包括教学资源、行政管理等。目前,职业技术学院网络管理模式还采用人工手动模式,面对如此众多的网络资源,如此繁杂的网络管理内容,使用人工手动模式会导致信息资源、网络链路利用率低,甚至会出现当一条链路出现问题时,无法及时发现并解决问题。

要实现多校区的联网,实现网络对于校园管理和教学科研的支持,多校区大学校园网络的建设就应该不仅在速度、容量上完全满足长时间、多人数上网的需求,使长距离的主分校区实现一致的网络体验;还要实现教育教学自由的集中存储和共享,并完成校园异地FTP下载、VOD点播。

3.网络安全问题

校园网通过各种方式连接到互联网,使老师和学生享受互联网带来的便利的同时也存在着种种不安全因素,如病毒肆虐、黑客攻击等,这些不安全因素会干扰系统正常运行,导致计算机运行速度变慢,有些软件不能正常使用的现象,甚至会出现经常死机数据丢失或损坏,更有甚者会导致网络和服务器瘫痪;校园网络还面对形形、良莠不齐的网络资源,如果没有进行过滤、识别,就会造成大量非法内容或邮件出入,占用大量网络资源,导致网络速度缓慢、网络交通堵塞,影响正常的教学、科研和其他工作。

许多师生对于网络安全问题认识不足,U盘、移动硬盘等移动存储介质由于其便捷性而广泛运用,在网络上随意浏览、下载,这些行为都会给网络安全带来很大的隐患,轻则造成计算机运行速度下降,重则导致网络瘫痪,甚至造成重要资料丢失、泄露等。

4.网络速度慢

多校区院校师生众多,在网络使用的高峰时期网络将承受上千人同时在线的压力,对网络速度无疑是一个挑战。同时,使用网络时间比较集中,一旦用起来速度比较缓慢,就会使人产生烦躁的心理。

5.网络管理制度

多校区网络建设环境复杂,网络管理制度不健全,缺乏统一的标准,易造成管理混乱。网络管理人员专业知识如果不够完善,就会造成学校师生上网身份无法唯一识别,这样就不能有效地规范和约束师生的非法访问行为,缺乏有效的上网监控和日志。

二、优化网络的建议

1.优化网络设计

网络的拓扑结构和综合布线的设计对整个网络速度至关重要。一个好的总体规划和网络设计,不仅追求网络速度与硬件性能,而且应该能够满足网络升级和扩展的未来要求。根据网络设计的可运行性、灵活性、易管理性、可扩展性等基本原则对校园网进行设计,同时在学校校园网络建设初期,最好考虑由长期从事计算机网络研究、组建和管理的技术人员解决技术选择和设备选型问题。

在网络设备的选取中,最好选取知名厂商的网络设备,这样在产品性能、质量、售后方面会有更好的保障。如果在经济条件允许的情况下,就可以通过向Internet服务提供商购买更多的带宽线路,或者提供高一级的高速交换机,这样可以解决大部分的瓶颈问题,但关键是要有效利用现有的带宽。

2.优化网络管理

网络管理员需要经常监听网络数据包,了解网络中所传输的内容。能及时处理网络中出现的突发问题,并限制学院员工和学生使用在线视频点播系统或数据传输软件,如P2P、迅雷、电驴等需要消耗大量带宽资源的软件的使用,以免影响网络传输速度。对于由使用该类软件形成的网络瓶颈,可以利用路由器过滤相应的传输请求,以达到限制该类软件使用的目的,从而在一定程度上节省带宽资源。当然,网络数据传输软件,尽管传统的P2P软件没有占用带宽,但多个局域网的计算机和数据传输时,很少或没有受带宽的影响。在校园网中大量用户集中在节假日和休息的时间,特别放学后这个时刻上网,因此用户可以避开高峰时间。在经济条件允许的情况下,可以通过互联网服务供应商购买更多的带宽,或提供更高的网速,这样可以解决大部分问题。然而,关键是要利用现有的带宽。例如,视频点播,如基于IPTV软件的思科交换技术的使用,可以解决视频网络内部的问题,效果很多。

专业网络管理人员需要不断学习新知识、新技能以适应不断发展的网络管理与维护技术,避免出现由于自身的知识或技能不足而导致网络故障不能及时发现、排除。

3.提高安全防范

在多校区网络建设中,各网络设备的物理安全是首要的安全问题,由于多校区环境下,网络设备使用不统一,在建立全院的网络安全体系时,要避免考虑到失窃、水灾、火灾、人为操作失误等原因造成的一些突发事故,导致网络设备损坏或丢失而致使网络无法运行。

外部网络对于内部的DOS攻击和端口扫描有着非常大的影响,所以,安装一个软件防火墙或购买一个硬件防火墙,就可以解决许多网络安全问题。有三个选项可以实现局域网内的安全:一种是使用新一代的局域网交换机,这种交换机在认证方面优于802.1X,具备对用户和设备基于应用策略的访问控制能力,选用这种方式组网,网络便直接获得了这种能力。如不考虑升级交换机,则考虑具备认证用户和设备能力的安全应用程序,且能够自动设定角色并通过分区和申请提供基于应用策略的访问控制。与此同时,可以利用入侵检测防范系统实时地对整个网络进行监测,对异常行为进行统计分析,识别攻击类型,并向网络管理人员报警。对操作系统进行审计、跟踪管理,识别违反授权的用户活动。

4.健全网络管理制度

网络管理是一个长期的过程,在这个过程中需要不断更新管理方法。多校区校园网建成之后,需要树立全新的管理理念,制定有关网络操作使用规程、网络系统的维护制度、密码管理及应急措施等相关制度,配备专业知识扎实的网络管理人员对网络进行管理与维护。同时还需要在学校中宣传、普及网络安全知识,使全院师生对网络的使用、网络安全有清楚的认识,从而避免由于缺乏相关知识而导致的网络问题。

高校校园网络的优化与提速是一个综合性问题,牵涉整个校园网的综合布线、网络拓扑结构的设计、网络设备的选型与配置、网络维护等方方面面的内容,本文重点对影响校园网络速度的几个主要因素作了分析,并提出了相应的对策,因此具有一定的通用性。

参考文献:

篇4

中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2015)12-0000-00

大力发展信息化至今,大部分网络设备和服务器已到更新换代之际,故障率和安全隐患逐年攀升,同时,网络攻击和病毒侵入带来的网络故障事故层出不穷。网络故障一旦发生,快速定位是解决问题的首要之举,直接关系到故障修复的时间,影响到引发损失的大小,网络应急响应已成为网络安全体系的重要组成部分。

1 影响网络安全的主要因素

影响网络安全的因素有很多,比如病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务等等,园区网作为内部网络一般主要有以下安全隐患:

(1)IP地址滥用。对于实行静态IP地址分配的网络,非法接入、IP地址冒用、IP地址擅自更改,已成为网络管理人员最头痛的问题。另外,如何实现对识别后的违规行为进行快速定位,实现快速隔离阻断控制?如何及时发现、定位以及阻断未经授权情况下擅自接入我们网络的非法主机,及时防止信息泄漏、感染木马及病毒?上述诸多问题,将给运维工作带来极大困难。

(2)违法违规事件。随着个人网络意识和网络技术进步,经常有违规个人发动网络攻击、发表违法言论、窃取网络秘密等违法违规行为,一旦发生上述事件,网络管理人员追踪定位主机位置成为必然。由于IP地址和MAC地址容易冒名顶替,根据一般性安全设备或网站记录的IP地址或MAC地址追查到的结果并不能完全确定,因此完善认证审计系统势在必行。

(3)私接路由。用户利用路由器的MAC克隆和NAT转换模式,为图自己方便在内网中私自接入多台计算机,这种接入方式对外表现为单点普通接入,实际上却有几台甚至十几台设备同时在线,网络管理人员很难检测和监管,尤其是无线路由器的NAT接入,不仅大大扩展了内网的网络边界,而且由于自身的不安全性,容易遭受外来无线攻击和入侵,带来的安全风险之大不可小觑。

(4)病毒攻击。园区网是一个相对封闭网络,但内网蠕虫病毒、ARP攻击仍然活跃,频频导致网络瘫痪,当蠕虫病毒爆发时,虽然有网络安全设备(如IDS等)的不断报警,管理员却无法及时定位感染主机,切断感染途径,唯一能做的就是守在机房搜寻并拔掉交换设备端口指示灯狂闪的下联网线,造成响应处理机制缓慢,处理时间过长,损失也就不可避免。

2 网络应急响应系统构建

网络应急响应系统主要由IP地址管理模块、入网审计模块、NAT设备检测模块、网络设备管理模块和应急响应管理模块。

2.1 IP地址管理模块

该模块能够跨VLAN跨路由自动收集网络内部所有主机的IP地址和其对应的MAC地址,通过IP和MAC的虚拟绑定技术,来实现对网络内部的违规行为进行有效监控。

2.2入网审计模块

该模块能够详细记录每一MAC使用不同IP地址的时段,以及MAC地址在网络的接入点及其接入时间段。可以根据IP地址结合发生时段,定位其该时段对应的MAC地址,同时结合时段,进一步定位到该时段该MAC地址在交换设备的接入端口,提供多种检索方式,便于安全事件关联IP的追踪和还原定位。

2.3 NAT设备检测模块

该模块通过远程扫描方式可以快速报警和定位私自接入的NAT设备,包括NAT私接设备的IP地址、MAC地址和接入的交换设备端口。

2.4网络设备管理模块

该模块提供一个统一的安全管理平台,来兼容主流厂商众多型号的网络交换设备,对其安全运行和管理状态提供统一的控制和管理:

(1)网络设备物理通讯链路的监控,可以自动探测网络设备的链路运行状态,并对离线的重要设备进行报警。

(2)网络设备端口运行状态监控,能够识别设备端口的工作状态,包括设备端口启用状态以及端口关闭状态。

(3)交换机端口运行操作管理,支持对交换设备的端口操作管理,包括端口运行管理操作管理和部分设备端口的安全操作管理。

(4)交换机端口流量监控和管理,支持对交换设备的端口流量监控,并可设定阀值,对异常流量端口进行自动响应管理。

(5)交换机端口下联设备定位,能够自动定位交换设备端口的下联MAC地址和IP地址,自动区分端口是否属于级联口,是应急响应管理的基础。

2.5应急响应管理模块

系统综合地址资源管理技术和交换机端口定位技术,通过阻断违规主机的上联交换机端口来实现对网络内部违规行为的应急响应控制。系统提供手动快速应急和自动应急两种响应管理模式。

(1)手动快速应急响应管理。用户只需要输入IP地址或MAC地址,通过系统提供的查询接口就可以自动完成定位和进一步的隔离控制管理,相对于传统的手动处理模式,定位时间可以缩短一个量级。这个过程也可以通过直接查询报警信息,查询结果也会自动关联其定位信息,直接可以进行定位和隔离控制。

(2)自动应急响应管理。系统提供基于策略的自动应急响应管理机制,策略中可以自定义待响应处理的安全事件,系统在检测到该安全事件后(如非法接入),首先会根据IP自动获取其MAC地址,然后根据MAC地址自动关联其上联交换机端口,并根据响应策略要求决定是否自动关闭其上联端口来进行自动隔离控制,同时提供相应的报警信息。

3结语

该系统能够充分利用现有资源,兼容多家网络厂商设备,无须进行改变网络拓扑和架构,整合完成现有安全技术和自动响应管理技术的衔接。可以实现安全事件源的自动快速定位,自动隔离、阻断控制,响应处理时间可由原先手动响应的小时级缩短为自动响应的分秒级,可大大降低安全风险和损失。系统提供基于策略的应急响应管理机制,根据策略要求可以实现对安全事件的报警、自动关联定位及响应控制,保证了管理的灵活性。

友情链接