论网络系统的安全设计
网络的安全性及其实施方法是网络规划中的关键任务之一,为了保障网络的安全性和信息的安全性,各种网络安全技术和安全产品得到了广泛使用。
请围绕"网络系统的安全设计"论题,依次对以下三个方面进行论述。
(1)简述你参与设计的网络安全系统以及你所担任的主要工作。
(2)详细论述你采用的保障网络安全和信息安全的技术和方法,并着重说明你所采用的软件、硬件安全产品以及管理措施的综合解决方案。
(3)分析和评估你所采用的网络安全措施的效果及其特色,以及相关的改进措施。
参考答案: 【摘要】
我在一家证券公司信息技术部分工作,我公司在2002年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因为将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
【正文】
我在一家证券公司工作,公司在2002年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务的实时高效,公司已于2005年已经将中心至各营业部的通信链路由初建时的主链路64kb/s的DDN作为备链路33.3kPSTN,扩建成主链路2Mb/s光缆作为主链路和256kb/s的DDN作为备份链路,实现了通信线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。改造前,应用系统在用户认证及加密传输方面采取了相应措施。如集中交易在进行身份确认后信息采用了Blowfish128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身份验证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装软件防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
作为公司信息技术中心运维部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及外出办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:
(1)将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。
(2)在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。
(3)运用多版本的防病毒软件对系统交叉杀毒。
(4)制定公司网络安全管理办法,进行网络安全集中管理。1.网络安全隔离
为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离和逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对我公司的网络系统的应用特点把公司证券交易系统、业务公司系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISC07206,营业部是两台CISC02612,一条通信链路是联通2Mb/s光缆,一条是电信256KDDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的划分采用VLAN技术,并将中心端和营业商的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网;另一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据安全交换。2.网络边界安全控制
网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
(1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通信链路,为了保证交易网不受互联网影响,在互联网与专线之间安装了NETSCREEN防火墙,并进行了以下控制:
①只允许股民访问网上交易相应地址的相应端口。
②只允许信息技术中心的维护地址PING、TELNET委托机和路由器。
③只允许行情发送机向行情主站上传行情的端口。
④其他服务及端口全部禁止。
(2)办公子网与互联网之间:采用东大NETEYE硬件防火墙,并进行了以下控制:
①允许中心上网的地址访问互联网的任何地址和任何端口。
②允许股民访问网上交易备份地址8002端口。
③允许短信息访问公司邮件110、25端口,访问电信SP的8001端口。
④其他的端口都禁止。3.病毒防治
网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的熊猫卫士网络病毒软件,同时购置单机版瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。4.集中网络安全管理
网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制定了公司网络安全管理办法,主要措施如下:
(1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
(2)任期有限原则,技术人员不定期地轮岗。
(3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
(4)营业网点进行网络改造方案必须经过中心网络安全小组审批后方可实施。
(5)跨网互访需绑定IP及MAC地址,增加互相访问时须经过中心批准并进行存取控制设置后方可运行。
(6)及时升级系统软件补丁,关闭不用的服务和端口等。
保障网络安全性与网络服务效率永远是一对矛盾。在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。例如,我在互联网和交易网之间设置了防火墙后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通信机的办法来消除交易延时问题。
在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在Internet的入口处部署了防火墙,有效阻档了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的访问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
(1)在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
(2)中心与营业部之间的通信,采用通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
(3)建立由入侵监测系统、网络扫描系统、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。
第2题:[单选题]体现医学道德审慎作用的是
A.体现了医务人员对病人、集体和社会所负的道德责任
B.主要包括情感、责任感和事业感
C.促使医务人员关怀、体贴病人,并于病痛危难之时全力救护
D.促使医务人员在任何情况下,都能坚守医学道德原则和规范要求,抵制不正之风
E.促使医务人员养成良好的医护作风,提高责任感
参考答案:E
医务人员在行为之前的周密思考及行为之中的小心谨慎,能够促进医务人员养成良好的医护作风,提高责任感,避免因疏忽大意而造成的医疗差错事故。促进医务人员以高度负责的精神对待病人,以医学道德的原则、规范严格要求自己。
第3题: [单项选择]与老年人细胞活力降低无关的因素是()。
A. 细胞外钾离子的变化
B. 促进蛋白质合成的激素分泌减少
C. 体内分解代谢大于合成代谢
D. 自由基在体内的堆积
E. 过氧化脂质在体内的堆积
参考答案:A
第4题:[单选题]‐30145稳压二极管是运行在()区()
A.反向截止
B.反向击穿
C.反向截止和击穿的过渡
D.正向导通
参考答案:B
第5题: [单项选择]由远到近,其特定穴所属分别是:
A. 原穴 络穴 输穴 经穴
B. 井穴 荥穴 输穴 经穴
C. 原穴 络穴 经穴 郄穴
D. 郄穴 经穴 络穴 原穴
E. 络穴 郄穴 八脉交会穴 输穴
参考答案:C
第6题: [单项选择]MPLSOAM报文中,FFD的最小发送频率可以设置为()
A. 3.33ms;
B. 10ms;
C. 20ms;
D. 30ms。
参考答案:A
第7题:[多选题]3.420.第420题违约用电客户,拒绝接受处理时,供电企业应()处理。
A.按国家规定程序和公司规定的审批权限,经批准同意后可终止供电
B.情节严重的可依法起诉,追究责任
C.责令客户追交欠费和违约使用电费
D.直接当场停电
参考答案:ABC
违约用电的处理
第8题: [单项选择]
下列说法正确的是:()
Ⅰ、船长对船舶的安全负总的责任
Ⅱ、值班的驾驶员在值班期间,特别是在关系到避免碰撞和搁浅时,负责船舶的安全航行
Ⅲ、轮机长不必船长商量有关安排轮机值班的问题,可自行安排轮机值班
A. Ⅰ
B. Ⅰ、Ⅱ
C. Ⅰ、Ⅱ、Ⅲ
D. Ⅱ、Ⅲ
参考答案:B
第9题:[单选题]油料火灾不宜用( )灭火。
A.干粉
B.沙子
C.水
参考答案:C
第10题:[单选题] 属于可燃性建筑材料是( )( 易 )
A. 木材
B. 砼
C. 钢材
D. 砖
参考答案:A
第11题: [单项选择]下列哪一种穿着方式是英国人所忌讳的()。
A. 参加宴会时穿西装打领带
B. 夏天穿西装打领带
C. 打有条纹的领带
D. 参加宴会穿礼服、高跟鞋
参考答案:C
第12题:[单选题]《安全生产法》规定,任何单位或者()对事故隐患或者安全生产违法行为,均有权向负有安全生产监督管理职责的部门报告或者举报。
A. 职工
B. 个人
C. 管理人员
参考答案:B
第13题:[简答题]新增章节,暂无试题,最近更新
参考答案:
第14题:[不定项选择题]车辆段/停车场内正常调车作业应使用______调车,原则上不得利用转换轨进行 调车。特殊情况下需占用转换轨时,必须经行调同意。
A.牵出线
B.联络线
C.洗车线
D.试车线
参考答案:A
第15题:[单选题]电容器组的过流保护反映电容器的( )故障。
A.内部
B.外部短路
C.接地
D.高温
参考答案:A
第16题: [单项选择]对于工程范围不很明确,条款不清楚或很不公正,或技术规范要求过于苛刻的招标文件,投标者采用的投标策略是( ),
A. 根据招标项目的不同特点采用不同报价
B. 可供选择项目的报价
C. 多方案报价
D. 增加建议方案
参考答案:C
第17题: [单项选择]1,1/16,( ),1/256,1/625
A. 1/27
B. 1/81
C. 1/100
D. 1/121
参考答案:B
第18题:[判断题]Pa.B、0.7
A.正确
B.错误
参考答案:B
第19题:[单选题]在火力发电厂中,锅炉是生产蒸汽的设备。锅炉的容量叫蒸发量。蒸发量的单位是(____)。
A.公斤/时
B.吨/时
C.千克/时
D.立方米/时
参考答案:B
第20题:[判断题]伤员脱离电源后,当发现触电者呼吸微弱或停止时,应立即通畅触电者的气道以促进触电者呼吸或便于抢救。
A.正确
B.错误
参考答案:A
第21题:[判断题]有限空间作业申请人由作业负责人担任或由有限空间作业单位的管理人员担任。
A.正确
B.错误
参考答案:A
第22题:[单选题]以下哪项是保证野战医院“反应快、开得动、展得开、救得好、送得快” 的物质基础( )
A.战备思想落实
B.战备训练
C.制定战备预案
D.战备物资管理
参考答案:D
第23题:[单选题](44807)在各种类型道岔中,( )使用最广泛,大约占总数的90%以上
A.单开道岔
B.道岔
C.交分道岔
D.交叉渡线
参考答案:A
第24题:[单选题]光伏发电站并网点电压1.1p.u.≤UT≤1.2p.u.时,下列选项正确的是( )
A.负荷低电压穿越的要求
B.应正常运行
C.应至少持续运行10s
D.应至少持续运行0.5s
参考答案:C
第25题:[多选题]《铁路旅客运输管理规则》第74条规定,遇有押运人员,要检查()在押运人员登记簿上登记。
A.A、包裹票
B.B、车票
C.C、行李票
D.D、站台票
参考答案:AB
第26题:[单选题]细支气管不完全阻塞所致的阻塞性通气障 碍可造成
A.肺不张
B.支气管扩张
C.肺气肿
D.肺纤维化
E.气胸
参考答案:C
第27题:[单选题]气管切开的部位多在
A.第4-5气管软骨环
B.第1-2
C.第3-4
D.第1气管
E.环状软骨
参考答案:C
第28题:[单选题]计算凸轮机构从动杆行程的基础是( )。
A.基圆
B.转角
C.轮廓曲线
D.从动杆长度
参考答案:A
第29题: [单项选择]固定电话用户在使用三方通话前必须先开通下面哪项服务?()
A. 来电显示
B. 呼叫转移
C. 呼叫等待
D. 遇忙回叫
参考答案:C
第30题:[多选题]生产经营单位不得因从业人员对本单位安全生产工作提出批评、检举、控告或者()()而降低其工资、福利等待遇或者解除与其订立的劳动合同。
A.拒绝违章指挥
B.不遵守劳动纪律
C.不服从安排
D.强令冒险作业
参考答案:AD
第31题:[单选题]项目负责人每月带班生产时间不得少于本月施工时间的( ).
A.60%
B.70%
C.80%
D.90%
参考答案:C
第32题:[多选题]废弃的涉密文件,下列处理方法不正确的是()?
A.丢垃圾桶
B.撕碎后丢垃圾桶
C.涂抹后丢垃圾桶
D.彻底粉碎
参考答案:ABC
第33题:[简答题]高空作业人员作业时必须将安全带系在安全牢靠的地方。
参考答案:1
第34题:[判断题]采掘过程中煤尘的产生量要大于运输和转载过程中煤尘的产生量。 ( )
A.正确
B.错误
参考答案:A
