网络安全服务总结(6篇)

网络安全服务总结篇1

关键词：局域网；规划建设；安全性

1引言

随着信息技术的发展，企业信息电子化工作越来越受到重视，进入二十世纪九十年代后，企业信息化工作不再单单满足于个人或单个部门的少量计算机应用，而逐步过渡到多部门、整个企业甚至跨企业跨地域的大量计算机的协同工作，这就是基于计算机网络技术的局域网，即通常所说的企业内部网络。

通过建立适合企业体制、工作模式等状况的企业内部网络，能在企业内迅速实现高度的信息共享能力，并利用办公自动化(OA)、协同产品开发、供销存管理等各种应用系统，改变旧有的工作模式，从而大大地提高各种工作的能力、效率、质量等。正是因为企业内部网络能够为企业带来如此多的好处，近年来国内很多的企业，在企业网建设方面投入了大量的资金，建立了自己的企业内部网络。

2局域网建设原则及目标

(1)在局域网建设中应遵循以下的设计原则：

前瞻性：网络应支持数据、图像、声音等各种信息的传输，并且能够适应未来技术的发展和变化，保证10-15年不落后。

灵活性：网络布线系统能够连接不同类型的设备，如微机、终端、服务器等。

开放性：网络布线系统能够支持任何厂家的任意网络产品，支持任意网络拓扑结构。

模块化：模块化设计一方面可以使设计清晰，便于使用、管理和扩充。一方面也加强了网络的安全性。

扩充性：网络应具有良好的可扩展性，容易将设备安装进去。

经济性：网络系统应做到一次性投资，以便将来有更大的要求时，很常年收益，维护费用低，总投资最少。

易管理：网络的设计因充分考虑今后的管理操作。

(2)局域网建设在性能方面主要达到以下几点要求：

高性能的网络系统：速度快，延迟低，无阻塞。

安全、稳定的网络系统：网络系统的各个环节均必须具有高度的安全性和良好的防灾难特性。

可管理性好：性能、故障、配置、安全管理等。

具备良好的可扩充性：能够适应将来铁路运输的发展的需要。

高可靠性：应确保很高的平均无故障时间和尽可能低的平均故障率。

3局域网的建设

(1)网络拓扑结构选择

局域网拓扑结构是指传输介质将各种网络设备相互连接的方式。构成局域网的拓扑结构有很多种，其中最基本的拓扑结构为总线型、星型、和环型。在星型结构的基础上，经过实践，又演变出树型拓扑结构。根据几种结构的特点，考虑到总线型稳定性差、环型网络扩展性差，同时为降低通信线路的成本，选择了树型拓扑结构与其他几种结构结合使用。

(2)网络分层及组网技术

为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。

在组网技术选择方面，由于千兆以太局域网具有：千兆位以太网使用CSMA/CD介质访问控制协议；网络容易升级，可以用较低的成本费用实现网络升级；千兆位以太网可用于多种传输介质；选用千兆位以太网，既能满足视频、多媒体应用的需求，又能兼顾以往的投资，并且有一定的前瞻性，能在一定的时间内保持网络技术的先进性等优点，所以选择组建千兆以太局域网。

(4)网络拓扑设计图

4局域网网络安全性设计

网络所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。

具体的局域网网络防病毒系统设计分为四个部分：

(1)系统中心

系统中心是整个网络防病毒系统的信息管理和病毒防护的自动控制核心。它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。同时，根据管理控制台的设置，实现对整个防护系统的自动控制。采用一台xSeries206848224C作为防病毒服务器。在服务器操作系统Windows2003server上安装瑞星杀毒软件网络版(企业版)。

(2)服务器端

在每台服务器上安装专门为可以应用为网络服务器的操作系统设计的防病毒子系统。它承担着对当前服务器上病毒的实时监控、检测和清除任务，同时自动向系统中心报告病毒监测情况

5结束语

企业局域网将所有相关的办公网络构成一个大范围的处理系统，以数据通信网或数据通信电路与远方的局域网或处理中心相连接，从而实现用户共享系统的全部或部分的资源。随着机构改革，业务范围和应用领域逐渐扩大，现代信息技术在企业中的应用前景将更加广阔。

参考文献：

网络安全服务总结篇2

关键词：

安徽省劳动和社会保险管理信息系统是为了满足市场经济条件下，深化改革中劳动和社会保险体制所面临的新问题和新要求，为了适应信息技术飞速发展的新形势以及为劳动和社会保险各项业务工作提供信息技术支持而建设的大型、分布式多媒体综合信息省级计算机网络系统。

该系统由省、地市、县三级组成，采用多层客户/服务器（Client/Server）模式和多用户集中模式，并与Web技术相结合。即体现了集中模式的简便、稳定性和可靠性好、容易维护管理的特点，又发挥出客户/服务器模式的配置灵活、界面美观、处理能力强和适应范围广的优势，利用当今广泛流行的Internet/Intranet网络技术可实现诸如视频点播（VOD）、远程信息共享、电视会议、IP电话、IP/TV等多媒体应用，使用Web技术，创建网站，发挥互联网在信息方面的优势，宣传政府形象，劳动保障各项政策业务信息。

一、规划概要

劳动和社会保险管理信息系统是为劳动和社会保险各项业务工作提供技术支持的计算机系统，是国家经济信息系统的重要组成部分，与国家人口、教育、工商、银行、税务、卫生等信息系统相衔接，信息来源于基层单位、劳动者个人、劳动和社会保障部门工作系统及社会经济各信息机构，以网络为依托，实行系统内信息资源共享。以适用、及时的数字和文字信息为基础，以客观科学的分析为手段，为劳动和社会保险工作重大决策和政策制定提供信息支持，为社会、企业和劳动者个人提供信息服务。系统具有以下特点：（1）该信息管理系统是一项庞大复杂的系统工程，工作量大，涉及面广，网络纵向覆盖全省各级劳动和社会保障机构，横向与财税系统、国库、卫生系统、企事业单位联网，是一个典型的广域网络系统。（2）系统设计是按照社会保险与个人帐户相结合的模式，以养老保险为重点，并以此为全省劳动和社会保险管理信息网络主干网络，带动劳动力市场等其他社会保险业务管理信息系统建设。（3）系统采用统一的运行及应用开发平台，以数据库为核心，着重于数据处理。系统前台要求操作简便、界面友好、安全可靠、适应性强、功能规范完整。后台各业务管理系统的“资源数据库”主要分散建在全省各中心城市，并以“扫描”方式进行信息采集，充分考虑数据库中个人帐户管理的安全性、可稽核性问题。（4）系统建设资金投入大，技术难度高，实施周期长，系统中各个业务子系统有的已有用于不同平台的、不同版本软件在各地应用，有的子系统的管理模式已趋于成熟，而有的子系统业务管理模式尚不成熟或需求不明确，暂时无法实施。因此，应根据劳动和社会保险制度改革和事业发展的总目标、总要求制定全省总体规划，分步骤建设，坚持一体化设计思想，以保证各业务子系统为将来形成统一的整体留有良好的接口和充分的余地。系统的上述特点，决定了整个系统建设面临许多难点，需分期、分段实施。就我省劳动和社会保险信息化的现状来看，主要存在的问题有（1）缺乏总体规划和方案设计，各地现有的社会保险信息系统标准不统一，系统不兼容，网络互联困难，信息无法交换，这对垂直性管理要求很强的劳动和社会保险工作是一个很大的制约。（2）各地业务操作规程差别很大，导致数据的表示和处理流程无法形成统一的标准。（3）随着国家统一的劳动和社会保险管理制度及其实施办法的出台，原有以单位为基础的帐户管理方式向管理每个职工个人帐户转变，劳动和社会保险业务量急剧增加，各地现存系统暴露出在功能、容量、安全性、可靠性、统一性等诸多方面不足。（4）在应用系统“软环境”方面，缺少即熟悉社会保险业务知识又具有较强计算机开发应用能力的复合性人才，再加上当今计算机和网络技术迅速不断地发展，因此必须对原有系统进行彻底的改造和重建。

二、系统总体设计

在系统建设过程中，根据劳动和社会保险管理信息量大、存储周期长、安全性和可靠性要求高等，我们遵循以下原则：第一、网络系统必须是透明的，网络的复杂性工作由信息系统管理人员承担，对于使用者来说只需掌握用户应用界面即可。第二、在中心局域网的基础上，利用DDN、X.25、PSTN等多种通讯方式实现本地及省网络系统的互联，构成一个强大功能的广域网。同时，横向与政府等相关网络建立异构网连接平台，实现网络中心与建行系统以异种数据库互联方式交换数据，与财税、国库以内部电子邮件方式交换数据。第三、主机系统在充分考虑其先进性、开放性、高可靠性和扩展性的同时，必须具有强大的容错能力，能实现链路容错、双网备份、双路由备份及全链路备份，具备联机切换、联机在线升级和扩充能力，在系统出现故障时，保证系统的正常运行。支持冗余电源系统。第四、要有安全可靠的网络管理平台，以保障系统的安全

保密、稳定可靠。系统应提供密码和权限核查功能，对重要数据的使用、修改提供备份，对日常使用提供操作日志。第五、系统应采用C/S和B/S数据库运行方式，合理地分配前后台数据流向，使系统具有网络数据流量低，网络服务器利用率高，数据共享能力强等特性，能较好解决网络瓶颈的问题。第六、为保证系统数据录入的完整性和正确性，应用软件开发中应采用数据记录的全屏幕编辑方式，系统提供数据效验、完整性检验、数据字段屏蔽、中文提示、有效性存取和有效性引导等多种功能，使系统的可视性强，数据能方便的修改及录入数据错误几率低。基于多层次的网络管理体系是实现本系统高质量网络服务内容的关键。多层次、有效的网络管理可大大节省网络的运营管理开销。我们在劳动和社会保险管理信息系统中采用三层网络结构，即网络硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。具体来讲，网络互连环境指传统意义上的网络互联设备，如交换机、路由器、拨号访问服务器等；软件增值服务包括（QoS）网络服务质量，（Security）安全，（Reliability）高可靠性，（Scalability）可扩展性等内容。多层次的网络管理对一个复杂的网络系统来说是必不可少的，它可以起到监控网络运行状态，统计数据流量，优化网络资源分配，诊断和排除网络故障的作用。内涵三部分：（1）设备管理用于配置、监控及统计拨号服务器，路由器，交换机等网络设备。（2）网络管理用来管理整体网络拓扑，诊断并隔离故障部分，从而增强网络的可靠性。（3）用户服务管理用于管理网上用户的权限及服务的种类，以及记帐功能，提高应用的服务质量。多层次网关系统具有分布式、集成化优点，结合最新的Web技术能极大的促进和改善人机交互界面，实现系统网络管理平台的无缝集成，组成完整的端到端的网络管理系统。它是目前社保信息系统建设中较佳的解决方案。

三、网络系统

该网络系统由局域网主干和广域网连接构成，局域网主要采用交换式快速以太网技术和两级树型网络拓扑结构，能提供足够的带宽以适应较高吞吐量的数据处理需要。局域网由省劳动厅局域网、地市劳动局内部网、区县劳动局局域网组成，该三级网络平台主要为各级劳动部门提供各自信息交流的环境。其中

县级网主要用于采集、处理、存储本地区单位和个人的基本信息、基本劳动保障业务信息、统计信息和其他相关数据，并负责向地市网传送基本数据和业务统计报告。

地市网主要用于各地市辖区内劳动保障业务管理状况进行监测，采集、处理、存储县网的综合数据和相关数据，建设劳动保障业务各子系统的资源数据库，对劳动保险业务信息社会化查询提供支持，对省网的控制信息进行响应，并将综合数据和报告传送省网。

省网主要对全省劳动保障业务信息管理状况进行监测，通过对地市网资源数据库的扫描，采集、处理、存储市网的综合数据和相关数据，建立用于宏观决策的综合数据库，全省的综合数据和分析预测报告。

三级系统之间通过广域网络连接起来，每级系统分别处理各自业务信息。同时又相互联系，形成具有很好互联能力、扩展能力便于有效管理的计算机网络系统。省网和地市网的互联采用DDN、X.25做为主干线路，并用PSTN做为备份线路，地市网和区县网采用电话专线/拨号线互联，整个网络系统中建立Web网站和电子邮件服务器，用于劳动保险信息和省、地市、县三级机构间的电子邮件通讯。

由于本系统保存有全省职工的养老保险、医疗保险、劳动力资源和就业信息等各种重要数据，并且要保证连续数年保存历史数据，因此对系统网络中心的设备配置要求有：（1）省中心总控机房配备两台CompaqAlphaServer4100小型机（64位RISC结构，主频600MHz、4个CPU配备8M高速缓存，内存1GB、硬盘1TB，4路SMP总线），加上一个CompaqStorageWorksRA7000外挂硬盘阵列共享数据盘柜构成双机机群系统。中心交换机采用CiscoCatalyst6505，可满足网络骨干/分布层和服务器集合环境中对千兆端口密度、可扩展性、高可用性以及多层交换不断增长的需要。系统软件平台采用Compaq的64bitTrue64UNIX操作系统，集群软件采用CompaqTruclusterAvailableServerSoftware，主机上配有Compaq的内存通道技术以支持Oracle的OPS数据库，利用OPS特性来提高数据库的性能。（2）一类地市主机系统采用两台CompaqDigitalServer7310小型机，主频600MHz、4个CPU，8M高速缓存，共享磁盘柜也采用RA7000；二类地市采用两台CompaqDigitalServer5305，主频533MHz、2个CPU，4M高速缓存，共享磁盘柜使用RA3000。一二类地市的主交换设备均采用CiscoCatalyst4003，主机操作系统均采用WindowsNT，双机Cluster，软件采用Compaq的ClusterSoftwareforNT；县级主机采用CompaqProliant1600服务器，配有10/100自适应快速以太网卡，两个9.1G热插拔硬盘，采用磁盘镜像作数据容错。交换设备为CiscoCatalyst1912，操作系统采用WindowsNT。（3）省网控制中心选用Cisco7204路由器构建广域网，市级选用Cisco3640配置了一块异步拨号模块做网络链路冗余，县级使用PSTN拨号方式访问上一层地市网络中心，其它广域网设备有Cisco的PIXFireWall防火墙系统和基带Modem若干。（4）网络布线为开放式设计的结构化布线系统，采用星型网络拓扑结构，支持语音、数据、图象等数字及模拟传输应用。网络布线设计的信息点留有足够的扩充余地，每个房间布5个信息点，使用五类模块信息插座，所有的接插件是积木式的标准件，支持100Mbps快速以太网和ATM等多媒体宽带传输技术。

四、应用系统

应用系统从业务内容和使用对象上分为宏观决策、业务管理、基层管理平台三个层次。应用软件所具有的基本功能有：（1）信息：社会保险业务指南、信息公告、社会保险政策法规、国内外劳动快讯、信息导航、抽样调查、为您服务。（2）业务管理：各种保险缴费核定、费用征集、基金调剂、费用记录、待遇审核、待遇支付、基金会计核算。（3）决策支持：统计信息采集和分析，提供政策决策依据，监测政策执行状况，建立预测预警模型。（4）办公事务处理：公文流转、电子邮件、相关政务信息。（5）信息查询：内部查询（自服务系统），对外查询（使用电话、IC卡、触摸屏）个人帐户、单位台帐、基本档案。（6）系统管理：系统用户管理、系统日志管理、编码维护、数据安全维护、网络安全管理。

三个层次之间相互联系、互为依托，形成一个完整的业务处理数据流和有机统一的整体。

在宏观决策这个层次上主要

是基金管理状况进行监控，利用已有的统计性数据、监测数据和政策参数，对基金调剂进行指导，对政策进行敏感性分析，对基金支撑能力进行中长期预测。业务管理这个层次上又分为两部分---事务处理层和管理决策支持层。事务处理层是各级劳动保险机构业务数据的计算机处理层，采集的信息存入资源数据库，是管理决策支持层的基础。其网络规模较大，实时性要求高，软硬件和通讯设备投资较大。管理决策支持层直接服务于各项政策决策者，主要是对资源数据库“扫描”得到的信息进行加工处理，通过统计分析和模拟决策过程的专用模型等方法提供政策监控信息和分析预测报告，为管理决策提供支持，向事务处理层发送有关控制性反馈信息并由之进行响应。

基层管理平台直接面对用人单位、劳动者进行管理、服务和指导，包括参保单位的劳动、人事、工资、社会保险和财务管理等业务内容，是劳动和社会保险管理信息系统的基础。

事务处理层和管理决策支持层通过资源数据库进行衔接，资源数据库是业务信息的数据存放、交换、管理和处理集散地，通过对资源数据库进行网络“扫描”，可以获得准确及时的统计信息，是宏观决策的重要数据来源。

应用系统从构成上分为三层体系结构，即客户端、应用服务器端和数据库服务器端。客户端提供统一的用户界面，完成对用户请求的收集和结果显示；用户服务器处理用户请求，完成同客户之间的通信，建立与数据库服务器的协议连接，减轻客户端的维护工作量，有效降低网络负荷，增强应用程序的执行速度。数据库服务器则为应用服务器提供数据。这就是所谓的三层C/S结构。

应用系统数据库采用Oracle数据库，一个能完全透明处理多重数据库和具有可携性和开放性的分布式关系性数据管理系统，支持多种操作系统平台和各种通讯协议，不同平台之间数据库可以相互移植，数据库核心与应用程序和网络环境可相互独立，并为应用程序提供一致的界面。该数据库在联机事务处理方面能提供高强度的系统吞吐量和不间断的连续运行能力。在数据装载、数据查询、数据库读写操作方面性能卓越，其性能监控和管理手段亦属上乘。做为一个面向Internet计算环境的数据库，它改变了信息管理和访问方式，通过组合直观的HTML界面和健壮的、基于浏览器方式的完善HTML工具集，形成一个面向Web信息管理的数据库系统。采用多元化、多层次的管理工具、连接工具及应用开发工具，包括：PL/SQL（数据库语言、API），SQL*Net（联网产品），EnterpriseManager（数据库管理工具），OracleDesigner（分析、建模的生成工具），OracleDeveloper（面向对象的多媒体应用开发环境），OracleJDeveloper（基于Java的高效开发环境），OracleReports（报表生成工具），OracleDiscoverer（数据库访问、查询和分析工具），OracleExpress（计算引擎和多维数据高速缓存）。Oracle还提供基于角色的安全管理，将权限进行组合、动态生成，应用于管理系统的各个职能中去。

网络安全服务总结篇3

关键词：安全模型；身份验证；IP；IPSec

0引言

传统网络安全体系结构的注重点是数据安全，而不是网络基础设施本身的安全。在网络攻击不断泛滥的形势下，有必要将安全保护的对象由通信的数据转向通信的物理设备，没有安全的网络基础设施支撑，安全的网络通信如同空中楼阁。

1面向报文信息的网络安全模型

目前，讨论的大多数通信模型是一方通过互联网传送报文给另一方，双方协调共同完成信息交换。如需要保护信息传输防止攻击者窃取和破坏信息时，就该在原有的通信模型基础上提供安全服务。目前有两类安全服务模型，即网络传输安全模型和网络访问安全模型。

网络传输安全模型是在数据发送或接收前对其进行安全转换，保证通信双方数据的保密性，避免攻击者窃取报文后直接读取，有时需要可信任第三方负责分发保密信息。网络访问安全模型是利用验证或访问控制等方式控制非授权网络实体非法访问资源。除上述两种安全模型之外，还有一种网络安全模型，旨在提供集成的网络安全，但仅仅是个一般概念上的描述模型，并非成熟实用。

网络传输安全模型，IPSec在TCP／IP网络层协议基础上提供了具体的安全服务框架，主要为数据通信增加安全保护，是网络传输较安全的一个实施方案。

2安全框架lPSec

国际标准组织(Iso)制订的Is07498―2提出一个典型的传统网络安全体系结构(NSA)，该结构描述了一系列的安全服务以及实现这些安全服务的机制。大多数安全服务可存在于ISO协议模型的任何一层，但其中IP层具有简单透明的优势，而其他协议层实现起来既增大系统开销，又会降低系统效率。于是，1ETF工作组于1998年11月制定了全新的IPSec安全体系结构，一系列相关规范文档，推出多种IP层安全服务框架。

IPSec安全体系结构规范州详细描述提供的多种安全服务以及实现安全服务的多种安全机制。安全服务主要包括数据保密、数据完整性验证、数据源验证、访问控制、抗重发攻击等。这些服务通过安全协议ESP(EncapsulatingSecurityPayload)和AH(AuthenticationHeader)实现，它们建立在密码技术之上，可提供多种加密算法和验证算法供用户选择。

无论是加密算法还是验证算法都要使用密钥，因此IPSec提供了密钥交换协议IKE(InternetKeyExchange)。IKE是基于ISAKMP密钥交换框架定义的密钥交换协议，它定义了两个协商阶段。阶段一是建立一个IKESA，可通过两种交换模式实现：一种是主模式交换，一种是自信模式交换。阶段二是建立一个IPSecSA，只能通过快速模式交换实现。其中安全关联SA(securityAssociation)数据库是一个三元组集合，每个三元组称为SAID即。服务类型可以是验证服务(AH)或者封装安全净荷服务(ESP)，SPI是端系统用来标识通信流的一个整数值。IKE协议是一个复杂的协}义，它用于动态地管理密钥，其安全性对IPSec提供的安全性影响至关重要。

2．1IPSec工作原理

无论IPSec以什么方式实现，其工作原理都类似。IPSec工作原理(见图2)：当IP数据包进入或离开IPSec结构时，它会根据安全策略数据库(SPD)对该IP包进行相应的处理。当接口接收到一个IP分组(里面包含了IPSec头)后，从该IP包中提取安全参数索引SPI、目的地址、协议号――它们组成一个三元组SAID，并根据该SAID检索安全关联数据库SADB，以找到处理该分组的安全关联SA；对接收分组进行序列号检查、完整性验证和解密处理，最终恢复明文分组；从明文分组中提取源、目的地址，上层协议，端口号，构造出选择符，将SA指向的SPD条目所对应的选择符与接收报文构造出的选择符进行比较，如果一致，再比较该SPD条目的安全要求与接收分组的实际安全策略是否相符，若出现不一致的情况，则将分组丢弃，否则继续处理分组。

当一个IP分组被发送时，其源／目的地址、协议号、端口号等元素构成选择符，并作为关键字检索安全策略数据库SPD，由SPD检索输出相应的安全策略有三种：一是丢弃发送报文；二是不进行安全服务处理；三是应用网络层安全服务，返回策略条目相对应的SA条目指针。如果指针非空，则根据指向的SA对该IP包进行相应的安全处理；如果指针为空，即SPD中没有建立对应的安全关联SA，IPSec会通过策略引擎调用密钥协商模块IKE，按照策略要求协商SA，并将产生的SA填入SADB中，并应用于待处理的分组。

2．2IPSec性能分析

我们利用工具CASTSJ(communicationAnalysisandSim-ulationT001)对装有集成IPSec功能的NETBSD操作系统的两台工作站进行了测试，从端到端TCP包通信的数据吞吐量和单向数据传输时间延迟两个方面来考察IPSec性能。测试分三类：运行未使用IPSec的服务(classl)，运行具有IPSec验证功能的服务(class2)，运行具有IPSec加密功能的服务(class3)。从试验结果可以明显得出以下两个结论。第一，相同时间内两端的平均数据吞吐量：classl＞class2＞class3，三类比值大约为15:11：5；第二，单向数据传输平均时间延迟：class3＞class2＞classl，三类比值大约为7:2:1。

虽然IPSec提供端到端的安全通信，但是，整个网络层安全解决方案是在操作系统内核中集成IPSec，这样必然会影响网络性能。并且，如果使用了IPSec服务，实时通信也会比较难实现。为了减少计算量提高网络性能，一个可行的解决方法是针对不同的数据实施不同的安全保护措施，对于不重要的数据可以不进行安全保护。

从空间复杂度角度分别对AH协议和ESP协议的两种模式(传输模式和隧道模式)进行了比较分析。在传输模式下，IPSecAH协议报头固定字段长度为12Byms，验证数据域(可选)长度12Byms，总共24Bytes。而IPSecESP协议报头固定字段长度为10Byms，验证数据域(可选)长度12Byms，总共22Byms。在隧道模式下，IPSecAH协议报头固定字段长度为12Byms，还有新IP报头20Bytes，验证数据域(可选)长度12Byms，总共44Byms。而IPSecESP协议报头固定字段长度为12Byms，还有新IP报头20Bytes，验证数据域(可选)长度12Bytes，总共42Bytes。

另外，从时间复杂度和吞吐量两个角度分别对IPSec中使用的加密算法3DES和验证算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl进行了试验比较。试验结果为，对于同―种指令处理能力，数据吞吐量由大到小的算法依次为：MD5,HMAC-MD5，SHAl，HMAC-SHAl，3DES，而HMAC-MD5的执行时间比MD5要长,HMAC-SHAl的执行时间比SHAl要长。

2．3IPSec数据源验证服务及存在问题

IPSec在网络层提供了多种安全服务，为现有网络以及下一代网络提供了一定的安全保障。其中，源验证服务使得IP报文接收者能确信整个报文未被修改，报文确实是从其所声称的源IP地址主机发送出来的。基于共享密钥实现的验证服务，是由AH协议提供的服务，其作用范围为整个报文，它利用密码技术和验证技术来实现，通过有密钥控制的Hash算法产生的报文摘要提供了基于密钥的报文验证机制，实现了报文完整性验证和数据源验证两方面服务。

上述服务存在一个前提，即主机IP地址已经存在。因为无论报文发送还是接收，需要根据报文选择符检索安全策略数据库SPD，数据库的每个条目是根据真实的源地址和目的地址建立的。但是IPSec数据源验证服务不能保证报文源IP地址的真实可靠性，无法检测子网内IP地址假冒报文，不能抵制IP地址假冒攻击。另外密钥协商过程比较复杂，而且需要用户参与，其透明度不高。

综上所述，IPSec数据源验证存在如下不足。

(1)IPSec需要通过用户密钥协商之后再提供数据源验证服务，而不能提供基于网络实体特征信息的密钥协商过程，对用户而言透明性不好。

(2)利用IKE进行密钥协商前，通信实体之间需要经过身份验证。主要有三种验证方式：预置共享密钥认证、数字签名和公钥系统。第一种方式并不实用，而后两种方式需要可信任第三方参与。整个密钥协商过程比较繁琐，性能不高。

任何一个网络安全解决方案不可能解决所有的安全问题，从上述两个问题可以看出：首先，IPSec着重从用户和信息安全角度保障通信数据的安全，而忽视网络通信实体的安全，不能提供安全的IP地址供接入网络的实体使用。而且目前针对网络设备的攻击屡见不鲜，存在多种基于网络实体的攻击方法，包括基于DNS攻击、基于路由器攻击、基于普通主机攻击和基于各种服务器攻击。其次，由于数据源验证服务基于密钥和IP地址实现，尽管在IKE密钥协商之前通信实体进行互相验证，但所提供的几种身份验证机制并不简单实用。再次，IPSec主要应用于建设VPN网络，通过公网搭建企业内部网可大大降低成本，但是，由于其复杂性以及用户透明度低，目前IPsec应用于端系统尚不普及。

因此，在上述安全模型基础上应该考虑网络基础设施的安全性，在保证网络通信实体可信的前提下，再进一步提供可靠的安全服务。

3面向基础设施的网络安全模型

为了从根本上解决安全隐患，在源头遏制多种攻击的发生，应该从主机接入开始进行安全的管理和监控，因此一种新型的网络安全模型面向网络基础设施的安全模型被提了出来。所示为在转发设备可信、网络终端设备不可信的假设前提下，面向基础设施(主机)的安全模型。

主机A接入子网1时受到主机接入控制，主要是监测和控制主机A的身份标识和IP地址配置情况。其次，主机A收发报文时受到报文收发控制，主要是监测和控制主机A发送或接收报文过程中出现的异常情况，比如地址假冒或频率超高等。主机A的报文在网络传输过程中受到报文传递控制，主要是监测和控制报文在路由结点之间转发传递的报文完整性和真实性。最后，主机A的报文发送和接收全程受到信息安全控制，主要是端到端通信过程中数据加密，解密以及密钥管理等处理。

该模型假定转发设备是可信的，也就是说转发设备是不在主机接入控制范围内。如果把转发设备看作终端设备，只是比普通主机功能更强大，那么可以把假设前提定为转发设备和网络终端设备均不可信。在这种情况下，这个模型也是适用的，只是任何接入网络的物理设备进入网络时都要受到接入控制。

对于IP假冒，虽然IPSec在其相应前提条件下可以为通信的数据提供良好的源验证服务，但在网络设备的接入和IP地址安全可靠使用等方面没有提供较完善的验证服务，其前提条件较多不太合理，因此并不能提供可靠的数据源验证以监测IP地址假冒行为。在面向基础设施网络模型指导下，实体接入网络时增加安全控制机制，在此基础上通过网络层身份验证机制提供可靠的数据源验证，可以有效检测控制假冒报文。

4新的网络层身份验证机制

IPSec安全框架选择在网络层提供安全服务，其优点是不需要对其他协议层次作任何改动，可以为IP层以上协议提供透明的安全服务。网络发展趋势是EverythingOverIP，在网络层提供安全服务是最好的选择，可以屏蔽各类通信子网，而且不会影响上层的服务。但网络层所提供的功能必须高效快速，不应严重影响网络性能，否则将得不偿失，安全也就失去了意义。借鉴IPSec在网络层设计安全服务的优点，选择网络层作为设计的基础是合理的。

IP地址作为一个终端实体的身份标识，每个报文中所携带的源IP地址是否合法真实，报文是否为真正的实体所发送，通常可利用数据源身份验证机制解决。

身份验证系统至少应该有两个实体，一个是验证实体，一个是被验证实体。此外，还应该明确验证对象是什么?针对IP假冒问题，这里验证的对象是传输中的报文，如果验证通过说明报文中所声称的实体就是真实的报文发送实体，如果未通过则说明报文是由假冒实体发送的。因此，最初状态安全实体网络开始形成时，应该建立对象之间的验证关系和验证信息，实体和IP地址形成关联，然后利用它们监控网络内实体的报文发送情况，及时发现IP假冒行为。

结合面向网络基础设施安全模型和上述分析，身份验证机制分为三个阶段：

(1)第一个阶段，建立身份验证子网络，即建立实体间的验证关系。

(2)第二个阶段，建立实体身份标识和安全的验证信息，即为所有加入验证子网络的实体建立身份标识并且分配安全的验证信息，以便检测和控制网内实体的通信报文。

(3)第三个阶段，通信过程中检测和控制网内传输的报文，即利用上一个阶段所建立的验证信息检查报文的真伪，确定其是否为真实的实体发出的。

上述三个阶段的身份验证机制可有效解决IPSec存在的一些不足之处。首先，不需要事先存在IP地址，因为在第二个阶段时可以为接入的网络实体配置安全的IP地址。其次，第二个阶段后，验证实体可利用报文发送实体特有的安全验证信息检测接收报文的真实性，提供可靠的数据源验证，有效检测控制IP假冒行为，无需用户过多参与，增加透明度。最后，验证实体和被验证实体间密钥协商过程比较简单，可提高性能。

5结束语

网络安全服务总结篇4

关键词：VPN技术；应用系统安全；身份认证；鹤煤集团

目前，鹤煤已经建立起一套统一的应用平台，包括OA系统、财务系统、档案管理系统，医保刷卡系统，邮件系统等。单位的信息网络是以信息中心机房为中心，所有应用系统服务器都安装在信息中心机房内的专属服务器区。各分支单位通过内部城域网和互联网线路和总部互联进行正常的办公。为业务的进一步的快速发展奠定坚实的基础。自应用平台运行以来，内部办公人员通过网络可以迅速地获取信息，大大加快了整体的办公效率，信息化效益得到彰显。

1需求分析

网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。

随着与联通以及电信的战略合作，一些原来在局域网内部的客户端现在需要通过联通或者电信的网络与中心机房进行互联，仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式，造成整体服务器区安全防护水平降低，若是遭到网络攻击服务器风险大。而如OA等重要系统所跑的数据都采用明文的方式在公网上传输，易遭到信息窃取、篡改等威胁。

目前在鹤煤城域网中，是一个大的局域，需要在原有的大网中对不同安全级别的应用系统进行逻辑隔离、安全加密、权限划分。

2未采用VPN技术前存在的问题

2.1身份认证安全

之前，应用系统采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。

2.2终端访问安全

一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。

2.3权限划分安全

总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。

2.4应用访问审计安全

为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。

3鹤煤集团SSLVPN解决方案

结合鹤煤实际网络及应用情况，我们采用深信服SSLVPN设备进行安全组网，在核心交换上以旁路方式部署两台VPN-3050-L3SSLVPN，内部用户和移动用户通过SSLVPN登录总部的网络。在客户端与应用服务器之间通过建立VPN隧道，实现异地建数据传输的安全保障。通过上述的方案部署，可实现。

3.1应用平台移动办公

采用SSLVPN对应用进行安全，避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时，可直接通过浏览器打开网页完成SSLVPN登录及安全隧道的建立，如同登录网银、邮箱一般符合日常的网络使用习惯，容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一，现今网上银行基本都采用SSL协议进行数据传输保护，对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密，安全性有保障。

3.2应用系统安全加固

在系统安全加固方面，采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合，多重组合软硬结合确保接入身份的确定性。在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。

由于登录SSLVPN的身份已通过多重认证的确认，而后又进行指定应用账号访问，即可保障登录应用系统的人员的身份。

3.3专网内隧道逻辑隔离，构建统一应用平台

对于已经建立专线组网的分支，将应用系统以SSLVPN资源的方式进行，进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭，但分支用户登录SSLVPN之后，在其资源列表界面将会显示该用户权限下可访问的应用系统，用户可直接点击其上的链接进行快速访问。同时，可针对这些应用系统进行单点登录设置，点击链接即可自动通过应用本身的认证，可直接进行操作。由于所有访问总部服务器区的数据都将经由SSLVPN进行转发，对于用户权限外的应用，SSLVPN将自动阻断其连接，防止恶意盗链。

4结束语

鹤煤集团采用SSLVPN对内部应用平台的统一，全面的保障了应用的安全性。结合SSLVPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。

SSLVPN的建立仅依托于浏览器中内置的SSL协议，无须在终端主机上安装任何客户端软件，十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为，对于用户而言易用性高、上手快。

同时，无须安装终端软件、贴合日常使用的访问方式，将大大降低管理员对整套VPN系统的管理和维护工作量，也更易于整套远程办公平台的推广。

网络安全服务总结篇5

[关键词]局域网网络维护

引言

局域网的定义从直观来说，网络就是相互连接的独立自主的计算机的集合，计算机通过网线、同轴电缆、光纤或无线的方式连接起来，使资源得以共享，每台计算机是独立自主的，相互之间没有从属关系。按地理位置分类，我们将计算机网络分为局域网(LAN)、城域网(MAN)和广域网(WAN)。网络覆盖的地理范围是网络分类的一个非常重要的度量参数，因为不同规模的网络将采用不同的技术。所谓的局域网(LocalAreaNetwork，简称LAN)，是指范围在几十米到几千米内办公楼群或校园内的计算机相互连接所构成的计算机网络。一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看，计算机局域网被广泛应用于校园、工厂及企事业单位的个人计算机或工作站的组网方面。

一、局域网的特点及其拓展结构

1局域网是一个通信网络，它仅提供通信功能。局域网包含了物理层和数据链路层的功能，所以连到局域网的数据通信设备必须加上高层协议和网络软件才能组成计算机网络。局域网连接的是数据通信设备，包括PC、工作站、服务器等大、中小型计算机，终端设备和各种计算机设备。由于局域网传输距离有限，网络覆盖的范围小，因而具有以下主要特点：局域网覆盖的地理范围计较小；数据传输率高（可到10000Mbps）；传输延时小；误码率低；价格便宜；一般是某一单位组织所拥有

2按拓扑结构分类网络的拓扑结构是指网络中通信线路和站点（计算机或设备）的相互连接的几何形式。按照拓扑结构的不同，常见的计算机网络拓扑结构有：总线型拓扑结构、星型拓扑结构、环型拓扑结构等。

①总线型拓扑结构总线型结构是指各工作站和服务器均连接在一条总线上，各工作站地位平等，无中心节点控制，公用总线上的信息多以基带形式串行传递，其传递方向总是从发送信息的节点开始向两端扩散，如同广播电台发射的信息一样，因此又称广播式计算机网络。各节点在接收信息时都进行地址检查，看是否与自己的工作站地址相符，相符则接收网上的信息。

②星型拓扑结构星型结构是指各工作站以星型方式连接成网。网络有中央节点，其他节点(工作站、服务器)都与中央节点直接相连，这种结构以中央节点为中心，因此又称为集中式网络。

③环型拓扑结构环型结构由网络中若干节点通过点到点的链路首尾相连形成一个闭合的环，这种结构使公共传输电缆组成环型连接，数据在环路中沿着一个方向在各个节点间传输，信息从一个节点传到另一个节点。信号通过每台计算机，计算机的作用就像一个中继器，增强该信号，并将该信号发到下一个计算机上。

二、局域网中ping的测试

在网络的维护过程中，Ping是一款使用最频繁的工具命令，它内置于Windows系统的TCP/IP协议中，无需单独安装Ping命令功能强大，通过它可以检测网络之间的连通性，或检测网络传输的不稳定性。利用ping测试局域网连接在局域网内，计算机之间的相互连接联通情况可通过ping局域网内其它计算机或服务器计算机名或IP地址便可测试同一网络(或VLAN)的连接是否正常。具体有如下情形:1检测IP地址和子网掩码设置是否正确通过ping局域网内的计算机名或IP地址，如果没有ping通，应着手检查本机的IP地址和子网掩码的设置是否正确，检查IP地址是否设置为同一网段内的IP地址，子网掩码设置合理、相一致。2检测网络连接是否正确如果局域网内计算机的IP地址和子网掩码设置正确，利用ping命令ping局域内的计算机名或IP地址仍不能成功，应着手对局域内的网络设备如交换机或Hub和通信传输介质―网线、接头等逐段检查、测试和排除。

三、计算机局域网中病的的防范

防御计算机病毒应该从两个方面着手，首先应该加强内部网络管理人员以及使用人员的安全意识，使他们能养成正确上网、安全上网的好习惯。再者，应该加强技术上的防范措施，如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下。

1.设置权限及口令，很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。在选择口令应注意，必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果，因为系统本身不会把口令泄露出去。但在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很安全的方法。

2.软件的安装采用集中管理在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其他安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。

3.实时杀毒，多层防御当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统安全的。所以网络防毒一定要从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。

四、局域网未来发展趋势

未来的局域网将集成包括一整套服务器程序、客户程序、防火墙、开发工具、升级工具等，给学校、企业等局域网转移提供一个全面解决方案。局域网将进一步加强和E-mail、群件的结合，将Web技术带入E-mail和群件，从信息为主的应用转向信息交流与协作。局域网将提供一个日益牢固的安全防卫、保障体系，局域网也是一个开放的信息平台，可以随时集成新的应用。

五、结束语

总之，局域网计算机系统和网络的安全工作不是一朝一夕的工作，而是一项长期的工作，同时要加大投入引进先进技术，建立严密的安全防范体系，并在制度上确保该体系功能的实现。

参考文献：

网络安全服务总结篇6

关键词:中小型企业;NAT配置方案;路由和远程访问

中图分类号:F49文献标识码:A文章编号:1003-2851(2010)07-0254-01

一、NAT的概述

(一)NAT的定义和类型。网络地址转换(NAT),是一种用于把内部本地地址转换成内部全局地址的技术。NAT技术可以把局域网内的IP地址隐藏起来而不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公用Internet地址和私有IP地址的使用。

NAT有三种类型:静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部本地地址映射到外部网络的一个IP地址的不同端口上。

(二)NAT技术的基本原理。NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部本地地址,通过NAT把内部本地地址翻译成内部全局地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器或者单独的NAT设备中。

(三)NAT技术的特点

1.IP地址是Internet上非常宝贵的资源,通常一个机构所能申请到的IP地址数量十分有限,远远不能满足所有局域网用户的上网需求。这时可通过NAT技术使用内部全局地址提供多个用户对Internet的访问。

2.可使系统管理员自行设置内部网络地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构。

3.使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。

二、现代中小型企业的NAT配置方案

某企业接入电信的ADSL,总服务器一台(2GRAM、250G硬盘、两个10/100M网卡,操作系统安装Windows2000Server),网线都已经做好,所有机器上用的都是windows2000Server的操作系统。

(一)分析。由于该企业只有一个内部全局地址,所以需要使用NAT技术来将内部本地地址转换为内部全局地址。总服务器只需配置网络地址转换(NAT)。与总服务器在同一网段内的客户机只需将其网关设置为总服务器的内部本地地址即可。

(二)实施过程

1.配置服务器NAT地址转换――给总服务器分配一个内部全局地址221.56.1.10用于连接外网,用于连接内网的内部本地地址为192.168.2.1/24。配置网络地址转换的步骤如下:

(1)首先需要安装两块10/100M网卡,分别配置两个网段地址(内网网卡配192.168.2.1;外网网卡配221.56.1.10)。

(2)启动“路由和远程访问”。通过“开始――程序――管理工具――路由和远程访问”。默认状态下,将本地计算机列为服务器。如果要添加其他服务器,请在控制台目录树中,右键单击“服务器状态”,然后单击“添加服务器”。

(3)右击要启用的服务器(这里是本地服务器),然后单击“配置并启用路由和远程访问”,启动配置向导。

(4)出现欢迎页面后单击下一步。出现选择服务器角色设置页面,选择“网络地址转换(NAT)”,接着单击下一步。

(5)在Internet连接页面中选择“使用Internet连接”,在下面的Internet列表中选项“外网连接”,我们将让客户机通过这条连接访问Internet,界面如下图。单击下一步继续。如图3所示:(提示:这一点非常重要,一定不能把内网与外网的接口选择错误,否则配置的NAT就无法生效了。)

(6)接下来将出现是否启用基本名称和地址启用服务对话框,如果你没有DHCP和DNS服务器就可以选择启用,单击下一步。完成向导后系统将启动路由和远程访问功能并完成初始化工作。

2.客户机的配置。首先确定该客户机与总服务器是连在同一局域网内的。在安装TCP/IP协议并指定它们的网关是192.168.2.1。(注意:如果客户机从动态主机配置协议(DHCP)服务器接收其IP地址,请单击高级,单击IP设置选项卡,单击网关下的添加,键入NAT服务器的内部本地地址,单击添加,单击确定。

(三)测试。首先用随便一个客户机PingNAT服务器内部本地地址,即ping192.168.2.1。接着用客户机PingNAT服务器通过ADSL获取的内部全局地址。最后用服务器Ping客户机,如:ping192.168.2.50。当上述PING均成功连通的话说明我们的NAT设置成功,内部网络的计算机都已经被服务器所保护。

三、总结

一台服务器可以轻松的配置成NAT服务器,当然前提是必须安装两个网卡。配置了NAT的网络在安全性和可靠性方面大大提高。不过NAT也存在着缺点,企业利用路由操作系统提供的NAT地址转换功能,但这样不能享受服务器提供的Cache服务来提高访问速度。