网站防护解决方案(精编5篇)
【导言】此例“网站防护解决方案(精编5篇)”的范文资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
网站防护解决方案1
随着基于Web环境下的应用越来越普遍,企业在信息化进程中将多种应用架设在Web平台上。这些应用的功能和性能都不断完善和提高,然而对安全却没有足够重视。黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上,接踵而至的却是Web安全威胁的凸显。根据Gartner的调查显示,目前成功的攻击案例中有75%发生在应用层而菲网络层面上。同时,数据也显示,三分之二的Web站点缺乏有效的应用防护。
此时就出现了应用防火墙。它位于Web客户端和Web服务器之间,这些防火墙会在Web服务器前的应用层对HTTP流量进行检查。这些设备可以检测一个链接,分析用户对应用程序发出的命令。然后就可以分析出哪些是已知攻击,哪些是标准应用的演变。
用户对Web应用安全关注升温
梭子鱼中国区总经理何平在接受ZDNet采访时表示,目前用户对Web应用安全的关注度逐渐升温主要源于面临的三个问题。
第一种,地址转移。比如某公司说DNS域名地址解析被篡改了,就意味着应用方面做得再安全也没用,这个网站已经被转接到另外一个服务器去了。
第二种,拒绝服务攻击。通过密集性访问占用服务带宽资源,使得正常用户应用无法进行。
第三种,针对企业的Web网站后台数据库的窃取、更改和破坏。主要的攻击手段是SQL注入和跨站脚本攻击,套取访问用户的用户名、密码等信息以及后台数据窃取和破坏。
Web应用面临的主要攻击和威胁,后两种居多。因为DNS被篡改这种方式有难度且偏少,后两者难度小一点但是很频繁。
谁更适合防护Web安全应用?
Web应用防火墙(Web Application Firewall,WAF)与IPS、防火墙、UTM等安全设备最大的不同在哪里?何平认为,从技术层面讲,IPS是深度的包检测的产品,属于高级的网络防火墙。IPS所保护的不仅仅是Web应用,IPS的检测是标准化的,这就导致一个问题,它对单纯的Web应用,包括SQL注入的检查不是很专业,所以Web应用防火墙和IPS相比,它是更专业的基于Web防护的系统。
UTM是在网络防火墙基础上加上了部分的应用过滤功能。它可以阻挡一些非法网站的访问。但是UTM、传统防火墙或IPS。它们大部分功能还是在网络层,具有部分的应用层功能。而且,它们并不是针对Web应用,比如IPS,对后台很多种应用都可以进行防护,但是这个防护为粗略检查,比如说两个数据包先后被访问,这两个数据包利用时间差的关系,结合到一起能产生破坏力,这是IPS无法解决的问题。
何平强调,“虽然IPS和Web应用防火墙的部署点都是在数据中心前端,但Web应用防火墙的部署应在物理和逻辑上更靠近Web服务器,用以检查代码合成的用意,从而阻断非法的数据包访问。防火墙和UTM更多强调内网安全,它们检查企业内外网之间的通信以规范对外访问和保护内网安全。”
认识Web应用防火墙
1 功能
Web应用防火墙从功能角度来说有三个部分。
(1)网站隐身。禁止用户获取Web服务器、应用服务器、数据库服务器的版本信息或提供不真实信息。很多攻击者的手段很简单,第一先搞清楚Web服务器版本和应用服务器的版本是什么,第二去找这个版本有哪些漏洞。第三去找利用这些漏洞,网上有哪些现成的工具,这是很常规的黑客攻击手法。
(2)安全检查。简单地说,就是避免非法用户访问。避免用户采用非法命令访问。
(3)应用加速。Web应用防火墙本身是功能和性能统一化的产品,功能很强意味着安全检查做得很好。安全性很高会带来一些代价,就是时间延迟的代价,Web应用防火墙通过这种应用加速把这种延迟的代价进行回补、弥补、再进行加速。
也就是说,Web应用防火墙在整个用户眼里是透明的,但是它做了两个工作,又检查又加速。
2 价值
Web应用防火墙最大的价值不单纯在于它的安全防护,它的价值是一种应用交互的平台。打个比方。企业要上一套ERP系统,基于Web平台的,BS架构的。本来是希望找一个软件供应商三个月做完,需要具备所有功能。开发商所考虑的问题是功能性需求,如果开发商把安全性因素都考虑进来,开发周期至少会延长50%,甚至100%。所以对整个软件交付的周期和成本会非常高。但是有了Web应用防火墙就不一样了,开发商只要把功能做好就行了,因为Web应用防火墙可以帮助企业完成安全性的工作,这样交付周期会提高很多。
同时,系统上线以后可能存在一些功能需求变更,增加新功能要打补丁,就会有新的漏洞出现,意味着要面临新的安全威胁。这个时候Web应用防火墙功能又体现出来,也就是说,Web应用防火墙最核心的价值有两块,第一是缩短用户的应用交付时间,二是为用户的应用运维提供一个最低成本的方案。
3 行业属性
Web应用防火墙行业属性非常明显,更适合大型企业,或者是政府机构。针对的客户群有两种,第一种针对经济效益以及机密数据的要求比较高。比如说移动、电信等用户。另外是针对政府和军队,如果说网站被攻击了,可能带来的不是经济上的,而是政治上的影响。
何平告诉我们,目前在中国市场上,对Web应用防火墙需求比较明确的客户,包含政府、军队、上市公司,以及银行和电信。另外,高校应用也比较多。教育系统都含有比较敏感的信息,所以教育行业Web应用防火墙部署也很普遍。
拯救你的Web应用
企业选择Web应用防火墙应关注Web应用防火墙本身的功能,及它的可配置性。选择一款功能强大的Web应用安全产品,又可以根据需求开启企业所需的功能是比较适合的。因为企业的应用是变化的。今天的应用仅仅是上一个ERP系统。明天上SCM,后天上CRM,而且可能这三个产品是不同供应商提供的,它的安全级别也不一样。所以Web应用防火墙产品只有功能很强大、可配置,才能适应企业不同的需求变更。
软件WAF VS硬件WAF――Web应用防火墙在产品的表现形式,一种是纯软件的Web应用防火墙,装到服务器上,放在网关起到过滤作用。但是何平建议,“用户最好选择硬件的系统,硬件是一种专用的网关设备,服务器毕竟是计算平台,不是网络平台。”
有些用户可以选择纯软件的产品,比如企业已经部署好虚拟化平台的,企业的OA系统、ERP系统,已经完全基于虚拟化平台部署的,这时候选择Web应用防火墙可以考虑买一个虚拟化版本的平台。这样相当于开一个虚拟化机器一样,计算平台和网络平台可以充分利用,只是应用它的功能而已。
Web应用安全策略――对于企业系统应用的用户访问量不是很大,比如系统大概一千多个用户,但是应用很关键,都涉及到企业机密的这些东西,这时候部署Web应用防火墙肯定足够了。因为这种访问 量的带宽要求并不高,因为用户数量有限。
但是对用户可能同时在线有几十万,上百万,比如零售、银行这样的网站,这种情况下单纯部署Web应用防火墙的话,相当于用牛刀杀鸡。这种安全性威胁并不大,但是量非常大,最好是在前端部署IPS,后端再加Web应用防火墙。
方案配置――一个产品的方案配置通常是通过三个阶段来完成的。第一个阶段,上了Web应用防火墙之后,首先针对后台应用进行扫描,以确定应用存在哪些漏洞。然后生成第一个版本的配置数据,比如如果发现用户校验有问题。那就加强这一块的防护级别,这是第一阶段。第二阶段,听取用户的需求,因为不同的行业,黑客所感兴趣的东西不一样,采用的手段也不一样。把受攻击手段最多的那一块进行优化加强。第三,Web应用防火墙本身是一个技术平台,它是一个基于Web的技术解决方案,针对不同行业防护策略也有差别。防护策略的差别是通过原来最早的自动扫描,加上用户需求,加上Web攻击的属性三者来决定的。
Web应用安全产品走向哪里?
随着对Web应用安全的更加细分,何平认为未来会出现比Web应用防火墙现有的功能需要更细分的一个产品,所以Web应用防火墙可能会演化为两种。
第一种是被替代,Web威胁可能越来越细分了,一细分就需要单独的系统去管理。
还有一种,功能会越来越强大,这种功能强大不是单纯的本身功能,而是说从一个产品变成一个平台,它会结合很多第三方的资源和专利技术,为用户提供更有针对性的、可定制化的安全解决方案。
梭子鱼的Web应用安全产品已经从原来单纯对整个Web隐身、检查和加速的基础上,增加了一些和第三方的接口,目前大概支持至少十几个不同厂商的更细分的Web安全解决方案。比如和IBM的网站漏洞扫描系统的接口,和RSA的令牌接口等,也就意味着Web防火墙从一个单纯性产品变成一个安全平台了,这种演化的目的是应对更加细致的安全需求。
另外,也有一些共性的趋势。比如虚拟化,因为大型企业虚拟化的平台部署越来越多,整个Web应用防火墙的解决方案,虚拟化部署的比例会提高。
还有,与云安全技术的结合,以前的Web应用防火墙更多的是本地计算,比如说零日攻击,解决问题的同时把这个信息上传到全球的云系统里面去。当另外一台设备发现同样的性能代码的时候。它能扫描以前的阻断方式是什么。Web应用防火墙归纳起来有三个趋势,一个是功能平台化,第二是部署的虚拟化。第三是防护的云化。
博观而约取,厚积而薄发。以上5篇网站防护解决方案就是山草香小编为您分享的网站防护的范文模板,感谢您的查阅。
网站防护解决方案2
关键词:电子政务;安全需求;安全设计;解决方案
一、系统安全需求分析
社区服务信息系统主要包括三个组成部分:(1)以信息、信息反馈、社区服务为目的的对外网站平台;(2)以内部业务数据整合,科室、居委会协同办公为目的的内部业务办公平台,实现机关办公、公文流转自动化,提高各街道办事处、机关的工作效率;(3)建立信息资源数据库,构成信息交换中心,实现社区信息共享与交流。
安全策略指的是采用某种方式来描述用户对安全的要求。目前,对信息系统的安全要求主要包括以下几个方面:(1)机密性:防止信息泄漏给未授权的用户。 (2)完整性:防止未授权用户对信息的修改,保证真实的信息从真实的信息源完整地到达真实的信宿。(3)可用性:防止由于计算机病毒或其它人为因素造成的系统拒绝服务,或为他人可用。(4)可审计性:指对信息系统的访问实施监控和管理,防止用户对访问过某信息或执行过某一操作以否认。(5)防抵赖性:防止通信的双方否认自身的操作。
吉安市社区服务中心内部的办公自动化系统用于部门之间、上下级之间等的公文流转。安全需求涉及社区内部网络办公信息的机密性;机关不同部门之间交换信息的机密性;内部网络信息通讯的完整性、不可否认性;防止内部信息对外泄漏,机关内部网络资源的权限访问控制及可用性等许多方面。社区内网的安全需求大致可归纳为以下几点:(1)具有保密性质的数据必须经过加密才能在内网传送;(2)政务数据具有不可抵赖性,要引入签名和认证机制;(3)对系统角色进行划分,不同级别具有不同的访问权限。
社区外网的网站一般是通过政府网站对外界各种信息,包括政策、法规和条例等,这些信息是严肃的、权威的,不能被入侵者篡改、歪曲。因此,必须保证政务网站是安全的,不能够被入侵者攻击和破坏。为了防止来自互联网的越权访问、病毒入侵、恶意攻击等,需要采取逻辑隔离、病毒防范以及入侵检测、访问控制等安全措施。社区服务中心内网与外网存在物理连接的安全隐患,如外网对内网的越权访问,访问者的恶意攻击及病毒入侵等。所以要在内、外网之间实施物理隔离。
二、系统安全设计与实施
社区政务的安全一方面要求考虑政府内部网络的安全,另一方面要求考虑面向公众服务网络的安全。这就必须解决好信息共享与保密性、完整性的关系、开放性与保护隐私的关系、互联性与局部隔离的关系。基于前述对电子政务所面临的网络信息安全需求分析,提出了社区政务网络信息安全解决方案,主要从物理安全、网络安全、系统安全、应用安全和安全管理五个方面给出了相应的安全措施。
1.系统安全体系结构设计。系统安全从低到高分为四个层次:物理级安全、网络级安全、系统级安全和应用级安全。其中:(1)物理级安全。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏。(2)网络级安全。主要是防止网络入侵者通过网络攻击对整个政务体系造成破坏,主要指的是基于网络层的安全保护措施。常用的防范措施包括防火墙、物理隔离、入侵检测、脆弱性扫描及评估、病毒防护等。(3)系统级安全。主要包括备份恢复、主机保护、安全审计等。(4)应用级安全。 这一层对应的是为用户提供最终的应用服务,包括政务办公系统、业务系统以及对外的网站等。常用方法包括身份认证、权限管理、数据完整性、数据传输、抗抵赖等。当然,整个系统必须置于安全管理制度之下。
2.关键技术实施。安全技术的实施主要从物理、网络、应用及系统安全四个方面进行。在实施过程中,我们应遵循动态部署的原则,一方面满足目前系统的安全需求,另一方面也要保证本系统安全需求动态发展。(1)内外网的物理隔离方案。社区服务中心内网系统是用于各职能部门实现办公自动化和资源共享的网络平台。为了防范外网对内网的越权访问或恶意攻击,内外网之间必须实施物理隔离,考虑到时目前内网数据流量不大,我们解决内外网隔离的有效方式是内外网各设置单独的服务器,采取定时人工转接数据,并采取相应技术保证数据在转接过程的一致性。待交换数据量大时,再采取隔离闸等方案实现无缝连接。(2) 网络级安全解决方案。①边界防护:在内网系统和政府专网的接口及外网和互联网接口的边界路由器和交换机之间设置防火墙,配置其相应的网络访问规则,使内、外网的安全保护合理化。②防杀病毒:社区网络中心采取一个多方位的防病毒系统,如网关防毒、邮件和群件防毒、服务器和终端防毒,杜绝病毒入侵。(3) 内网的应用系统是整个社区政务的核心部分,因此,在应用程序中采用相应的安全技术保护系统的安全是十分心要的。①用户身份认证实现:用户登录内网系统需输入用户名和口令,口令采用消息摘要算法进行加密保护;内网的公文流转采用数字签名技术保障信息交互双方身份的确认。②角色分配和授权的安全实现:服务器对不同级别的用户自动配置他所具有权力及可执行的操作,明确用户的工作范围和对资源的访问权限,防止内部人员的恶意攻击。(4)数据备份。进行数据备份的主要目的是为了使系统尽快从灾难中恢复的正常运转,采用的备份设备为磁带库,可以实现连续备份、自动搜索磁带,也可以实现智能恢复、实时监控和统计。采用的备份策略为每周一至周六进行一次增量备份或差分备份,周日进行全备份,月底再进行一次全备份,年底再进行一次全备份。
电子政务是一项复杂的系统工程,其安全建设要求统一考虑,长远规划,建立长效管理机制,保证系统的先进性和可扩展性。在技术上要求适应动态变化,建立自适应的安全保障体系。同时,要求有相关法律保障,并同时加强安全管理。
作者单位:井冈山大学信息科学与传媒学院
参考文献:
[1]梁军。 算机网络与信息安全[M].北京:北京邮电大学出版社,
网站防护解决方案3
关键词:雷击感应电压;通信基站;电源设备
引言
各种各样的通信网络已完全覆盖了世界的每一个角落,通信基站的安全运行是各个运营商关注的焦点。但是,由于历史原因、运营商的运营机制以及技术力量的多方面限制,确保通信基站安全运行所付出的代价是惨重的。我国三大运营商中,每一个运营商在一个省(直辖市)内的基站数量大致在数千(5000到10000)个左右。这些通信基站大部分分布在偏远的地带,基本处于无人值守的状态。所处的地理环境、气候环境、人文环境以及电力环境极其复杂甚至是恶劣。所以保证其安全运行是每一个运营商头疼的问题。据不完全统计,通信基站的安全运行维护费用占据了运营商运营费用的50%以上。近几年,随着通信基站数量的不断增加,其运行维护费用还在节节攀高。通信基站一旦建成,其工作寿命会长达20年甚至更久。因此通信基站的安全运行自其建成之期就一直存在,且随着工作年限越久,所需要的维护成本就越高。有关通信基站设备安全运行的理论研究可以说充斥通信学术领域,各研究机构分别提出了各种理论完善的解决方案和实现模型。但对于工程实际中的故障原因还没完全了解,因此诸多理论方案虽然完美,但基本上是束之高阁,没有被用于工程实际之中。
1 安全防护关键问题分析
雷击电压防护分析
根据我国现有通信基站设备防雷规范(GB50343、YD5068-98规范标准),通信基站内所有设备的防雷措施针对的防雷感应电压区起始间是3000V以上。对于3000V以下至500V的这一雷击感应电压区间,通信基站内的所有设备几乎都没有任何防护措施。而恰恰就是在这一区间所发生的通信基站设备毁损情况,占了通信基站设备故障量的70%以上。这也就是说,当前通信基站设备的毁损情况大都是在防雷系统安好的条件下发生的现象。
目前通信基站的防雷措施几乎全部是针对直击雷设计的。如避雷针,浪涌保护器等。对于二次雷击基本上没有有效的防护措施。而实际工程中,本项目发现,造成通信基站设备雷击灾害的主要原因恰恰是二次雷击的感应效应所引起的超限电压。
相邻两通信基站之间因接地电阻的不同引起的地电位反击是造成通信基站设备故障的关键原因之一。从理论上讲,要彻底解决这个问题的办法是将相邻通信基站的接地网实行等电位连接。但是,由于历史的原因,同一处地点、院落,往往是几家通信运营商的基站和铁塔共存。这涉及到多个运营商之间的利益协调,因此无法顺畅实现这一方案。
电网异常情况分析
农村电网的复杂多变的恶劣情况是通信基站设备故障发生的关键原因之一。农村电网复杂多变主要表现为:电压异常波动;断相;动力线中的中性线断路。原因是:
其一、农村电网普遍存在着线路老化,线损大、电压不稳定、管理不完善等突出问题。用电高峰期间,供电部门为了弥补线路老化和线损大等问题,往往采用提高供电周率和电压的方式加大供电能力,这样就形成了在供电的近段电压持续维持增高的情况。如遇用电突然下降,供电部门往往来不及调整,便造成供电电压的猛升,有时甚至高达20%-30%。
其二、用电高峰期,农电供应部门为了保证某一处的电力供应,往往采用断掉一相、甚至两相线路的方式。由于通信基站电源设备大多采用三相交流。单个电源模块的用电基本单相220V交流,电源设备正常工作时,电源模块的使用排列为由A\B\C\的三相交流线路的平均分担。例如某一基站的直流供电电流为60A,使用额定30A的电源模块三个,每个模块平均分担的电流约20A左右,余量超过30%,足以应付一般的停电后在开机充电的情况。但是在一相断路的情况下,三个模块就剩下两个,这两个模块的供电电流就由原来的20A,变成30A,达到模块电流的使用极限。实际上由于受使用年限和多次维修的影响,有相当多的电源模块的技术性能早已大幅下降,不足以维持正常的使用,这时如果发生停电再启动的情况,两个模块所承担的实际负载电流将会大幅度增大,在这种情况下电源模块的损坏就再所难免了。如果此刻有两相线路断相,三块模块的60A电流,将全部由一块模块承担,这种情况下的电源模块必定要烧坏。
其三、三相动力线中的中性线断路的情况会更加糟糕,它会使原来加在各模块间的220V的相电压,突然大幅度升高(特定情况下最高可升至380V左右)。而中性线断相的情况在农村电网的发生概率始终居高不下。表1记录了石家庄某通信基站所用农村电网电压异常波动和电网断相情况。
目前通信基站的开关电源系统均有设计有过压、过流、欠压保护功能。然而这些保护功能仅仅是在输入电压发生情况时,例如发生二次感应雷击效应、过压、欠压、等危害情况,开关电源系统停止对基站二次供电设备48V的直流输出(此时通信基站主设备的供电自动转为备用蓄电池供电)。输入到开关电源系统的危害输入电压并没有得到有效消除,因此仍处基站的开关电源于上电工作状态,这样的情况下基站开关电源系统本身被击毁可能性非常大。
通信基站开关电源系统故障发生示意图如图1所示。
备用电源防护分析
当前绝大多数通信基站的交流供电系统均采用常开型动合式接触器或空气开关进行动力电源的断合控制,当通信电源因异常输入电压执行保护后,通信设备的供电转为蓄电池供电。一旦蓄电池能量耗尽,常开型动合式接触器或空气开关断开。此时,即使是交流供电恢复正常,也无法为后面的通信主设备提供48V直流电源。必须需要人工现场干预。这必然使通信基站停滞正常工作的时间延长,严重影响通信服务质量。
当基站遭遇频繁停电、长时间断电或其他异常原因所导致的通信基站交流电源系统停止直流48V输出后,对基站设备的供电实际上已经转入备用电池组供电。由于基站至今尚不能根据供电状况的变化,对正在运行的设备进行功耗及负荷调整。基站内通信设备在正常下的高耗电状况并未得到相应的改变。由此不仅不能维持较长时间的电池供电,还极易造成蓄电池长时间的过量放电,加速蓄电池的损坏。
综上所述,文章通过大量的资料检索和对三大运营商部分通信基站的多年勘测、实验以及技术改造后总结出以下几点:
(1)通信基站中的BTS主设备系统、传输系统、天馈线系统等设施的软、硬件故障的发生概率要比基站内的开关电源系统小得多,这主要是由于这些设备所采取的供电来自基站开关电源系统输出的二次直流48V供电。自身的运行状态和外界输入的交流动力电源完全是隔离的。因此雷击、异常电压波动、断相等现象,都不会直接影响到这些设备的正常工作。通信基站设备中,最容易发生安全故障的系统是其开关电源系统。
(2)通信基站设备主要的故障原因之一是由于雷击强感应电压引起,特别是二次雷击感应电压引起。
(3)原因之二是由于农村电网复杂多变的情况导致,如农村电网电压随机异常波动、农村电网断相。
(4)原因之三是各运营商通信基站之间的相互作用导致。主要是地电位反击引起的通信基站设备故障。
2 智能防护系统设计
系统原理
针对上述几点总结,文章提出的解决方案是:以通信基站交流电源系统安全运行为核心,以输入电压异常波动为触发信号,主动拦截因二次雷击、地电位反击以及交流电压波动或断相给通信基站主设备可能带来的损毁。通过动环监控网络(上行链路)与通信设备监控网络(0时隙)实现远程管理和自动控制。文章提出的解决方案以及与原通信基站系统、网管中心之间的关系如图2所示。由图2可知,文章的解决方案包括两部分:基站端和监控端。核心部分是基站端。
基站端系统完成对通信基站设备安全运行的防护工作。其中:(1)主控系统完成基站端整体系统的统一控制,接收来自其他子系统传递的数据信息,执行动合式断导器的断开与闭合。当系统交流输入电压因某种原因(二次雷击感应电压、地电位反击、电网异常波动、断相等)发生异常且超过安全阈值时,主系统将切断其380V交流输出,通信设备的供电转为蓄电池供电。从而实现对通信基站设备的安全防护。(2)欠压断相检测系统实现:交流输入电压的欠压分析;交流输入电网的断相分析;交流输入电网中性线断开分析。(3)数据智能处理系统的主要功能是:分析决断哪些系统状态、参数数据需要传递到网管中心;记录每次异常发生的情况,并对历史数据进行分析,得出所处通信基站异常情况发生的潜在规律,便于通信基站维护部门能根据规律更好的主动的开展维护工作;根据异常具体情况,弹性式设置对通信基站设备实行保护的持续时间长短。(4)电压超限检测系统实现对交流输入电压超限异常的检测分析。观察电压超限持续时间和超限幅度,从而判断引起超限的原因,并将检测分析结果传给数据智能处理系统。(5)保护定时系统的功能是一个定时器。本系统对于定时器的定时精度要求很低,精度能在1分钟左右即可。但对于定时器的可靠性要求很高,因此定时控制电路采用3级锁扣式结连方式,即使一级定时电路偶然失效,还会有两级控制最终将电路恢复。(6)网络接口系统负责本系统基站端和监控端的数据传输。
本系统监控端的主要功能如下:(1)接收来自基站端传输过来的状态数据,并存储。(2)下传指令修正通信基站设备的耗电负荷参数。(3)对本系统基站端实现开关机。(4)向网管中心上报异常信息。
有关解决方案说明以下几点:(1)本系统基站端是与通信基站空调系统呈并联关系。也就是说通信基站空调系统并不在保护范围之内。主要原因是:a.空调系统若在本系统的保护范围之内,当处于保护状态时,空调系统也将停止工作,若保护时间过长,将导致基站机房温湿度超出规定范围,可能导致或加速通信设备的损坏;b.通信基站空调系统交流输入直接取自配电盘,只要架空电力线在进入机房之前的外部防雷设计规范,那么空调系统遭受雷击感应电压的袭击概率是很小的;c.空调系统在启动时瞬间负载过大,对本系统自身安全不利。(2)本项目解决方案的基站端系统由蓄电池组供电。为了减小对蓄电池的影响,本系统的工作耗能和静态耗能都要较低方可。(3)基站端的主控系统在保护状态结束时,会通过闭合动合式断导器恢复对通信设备的交流供电。如果在保护状态结束之前,蓄电池能量耗尽,此时本系统基站端失去工作电压。但由于我们采用常闭式动合断导器控制方式,当本系统基站端失去工作电压时,常闭式动合断导器自动闭合,无须人工干预。(4) 本系统基站端通过动环监控网络实现与监控端系统连接,通过通信设备监控信道(0时隙)实现对通信设备耗电负荷参数的自动修正。(5)基站端系统由于处于强干扰环境下,因此从设计上必须采用高冗余电路指标设计,所有关键技术标准和元器件性能标准,在正常额定标准的基础上再提高一到两个数量级,确保稳定性和可靠性。
硬件系统
主控系统完成基站端整体系统的统一控制,接收来自其他子系统传递的数据信息,执行动合式断导器的断开与闭合。当系统交流输入电压因某种原因(二次雷击感应电压、地电位反击、电网异常波动、断相等)发生异常且超过安全阈值时,主系统将切断其380V交流输出,通信设备的供电转为蓄电池供电。从而实现对通信基站设备的安全防护。
主控系统的基本功能框图以及与其他子系统的关系如图3所示。
数据智能处理系统的主要功能是:分析决断哪些系统状态、参数数据需要传递到网管中心;记录每次异常发生的情况,并对历史数据进行分析,得出所处通信基站异常情况发生的潜在规律,便于通信基站维护部门能根据规律更好的主动的开展维护工作;根据异常具体情况,弹性式设置对通信基站设备实行保护的持续时间长短。其基本功能框图如图4所示。
由图4可以看出,数据智能处理系统以数据库为核心,由规律学习模块实现对数据的智能分析,找出本基站故障发生的规律。数据更新模块实现数据的添加、查寻、删减等基本操作。状态设置模块完成对保护定时的弹性设置。数据选择模块完成选择性上传数据的功能。
保护定时系统的功能是一个定时器。本系统对于定时器的定时精度要求很低,精度能在1分钟左右即可。但对于定时器的可靠性要求很高,因此定时控制电路采用三级锁扣式结连方式,即使一级定时电路偶然失效,还会有两级控制最终将电路恢复。
软件系统
软件系统分为两大部分:一是基站端固化在嵌入式设备里的软件系统;二是运行于网络监控中心监控终端电脑上的监控软件。下面分这两部分分别叙述其大致的构架。
基站端系统有两种状态:工作状态和待机状态。在待机状态下,除主控系统的部分电路和网络接口子系统在工作以外,其余所有电路均没有工作。动合式断导器处于常闭状态,交流电源直接进入到通信基站交流电源系统。在待机状态下,主控系统还负责接收来自网络中心的开机命令。一旦接收到网络或来自开关按钮的开机命令,系统则从待机状态转入工作状态。工作状态下所有子系统均在工作。此时各个子系统的工作流程如图6所示。数据智能处理子系统负责对各种状态信息、异常信息进行分析、存储和判断。其工作的主要流程如下(图6)。
本系统监控端是运行于网络中心监控终端电脑上的网络然间,该软件与原有的动力环境监控软件配合使用。主要完成以下几个功能:接收来自基站端的异常信息和状态信息;重要异常产生报警和进一步上报;数据存储和界面显示;通过动环监控网络给本系统基站端发送开关机指令;通过通信设备监控信道(0时隙)给通信设备发送负荷修正指令。
3 结束语
文章设计了一种通信基站电源设备的智能防护系统,文中对基站电源设备产生故障的原因进行了分析,并提出了系统解决方案。该系统在通信基站和电力系统的电源防护系统中具有广泛的应用前景。
参考文献
[1]张亚丽,徐忠宇。移动通信基站电源故障分析[J].信息化纵横,2009,3(60):28-32.
网站防护解决方案4
显然,安全领域已经注意到软件部署方式的最新变化,并找到了解决问题的办法。日前,Imperva对外公布了一系列最新举措来应对市场的最新变化,包括收购新兴云安全网关公司Skyfence、与云计算网络应用安全公司Incapsula达成协议收购其剩余股份,同时,Imperva还了为亚马逊AWS提供的SecureSphere网络应用防火墙。Imperva是专注与数据中心安全的解决方案供应商,其WAF(网络应用防火墙)在市场颇有知名度。
“经过这一系列动作,Imperva将把我们在应用安全领域的解决方案能力扩展到云平台上,从而为客户提供全面的安全防护。”Imperva亚太及日本区副总裁Stree 在接受记者采访时表示。
据Stree介绍,新兴云网络Skyfence可以为导入到SaaS应用中的数据提供实时监控和保护,包括执行安全策略、保护敏感数据不受内外部的威胁,并确保运行符合标准。Skyfence采用特有的网络流量分析和动态用户指纹技术来记录正常的用户行为,并检测可能由黑客或者内部威胁所引起的异常。而Incapsula则能通过应用程序的全球云交付网络为网站和网络应用程序提供安全保障,包括DDoS防护、负载均衡技术和故障解决方案等。
面向AWS的SecureSphere网络应用防火墙类似于Incapsula,主要针对在AWS上运行的生产应用,为之提供企业级的网络应用防火墙,可直接运行在AWS。本质上,面向AWS的SecureSphere网络防火墙是一种SaaS应用,企业采用订阅的方式,按需部署和使用,利用它企业用户可以直接将其数据中心基础架构连同原有的针对本地应用的安全管控一起移至云端。
目前NGFW(下一代防火墙)被炒得很热,甚至有说法认为NGFW要替代WAF,Stree对此并不认同。他说,尽管与NGFW相比WAF似乎受关注的程度要低一些,但这不代表其重要性要低于NGFW,NGFW不可能替代WAF,因为到目前位置WAF还是唯一能够检测入站网络流量的技术。
网站防护解决方案5
民用机场作为国家航空运输重要组成部分,机场信息化的水平与应用、信息管理和网络的安全,制约着公共服务功能、旅客服务水平和机场各业务流程,直接关联航班配置平衡、航班数据安全甚至严重影响航空安全。面对日益严峻的航空安全问题,民用机场的网络安全便成为迫切急需解决的问题。本文即是从此目的出发,通过对某机场网络系统安全解决方案的分析与思考,进一步加强机场网络系统的安全。
关键词:计算机技术;网络系统;信息及安全管理
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
随着民用机场服务功能的日益完善,和国际化服务水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。
一、某机场网络系统的安全风险分析
机场航站区网络系统在现有网络结构及应用模式下,可能存在的主要安全风险有:外部连接网络边界安全攻击的风险机场信息系统有多个外部网络连接,必须能够对这些连接的数据流进行深度的检测和严格的控制,进行精细化管理,才能真正保证这些连接不会引入安全攻击风险,而且也保证单个内部网络风险不会扩散到相连接的其他信息系统网络中。
(一)机场内部数据中心遭受攻击的风险
机场网络承载多种复杂应用信息系统,机场各业务强烈依赖这些应用系统,必须有效地保证这些应用系统核心的安全,如应用系统数据的保密性、可靠性、可用性,应用系统访问控制等多个方面。
(二)机场多个分支机构安全连接的风险
根据分析,机场网络系统涉及非常多的分支机构的网络连接需求,主要包括未来新建航站楼、各个应用系统网络、移动以及外出人员等,这些分支机构需要一种简单而且方便的网络接入方式,而且必须保证这些接入的安全性。
(三)用户接入内部网络安全控制的风险
机场网络接入用户复杂、数量大,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理。
二、信息安全方案遵循准则
信息安全方案遵循安全PDCA原则。信息安全管理的本质可看作动态地对信息安全风险的管理,即实现对信息和信息系统的风险进行有效管理和控制。信息安全作为一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
三、某机场安全解决方案详细部署
解决以上风险需要端到端信息安全解决方案,是指信息在应用系统计算生成、通信、存储过程中都保证安全性,则该信息系统是端到端安全的。本文主要分析信息系统计算、通信过程的安全,而计算、通信过程安全又大体可以划分为网络边缘7层安全防护及内部终端安全防护两大部分。
(一)防病毒软件安全防护解决方案
整个反病毒网络选用经过多年来的不断开发、完善,屡次在国际专业认证中获得多项殊荣的“卡巴斯基反病毒软件”系列产品,为该机场提供最安全的网络反病毒解决方案。
1.卡巴斯基安全解决方案
针对机场网络系统的规模及拓朴环境,该方案采用三层防护体系:
第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。
第2层是服务器层,部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。
第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。
2.安全解决方案的部署
(1)管理服务器实施部署配置。根据机场网络系统的设计,通过信息中心的FTP服务器,用户访问点击安装链接,安装卡巴斯基桌面反病毒软件。
(2)总服务器。在中心选择一台基于NT架构的服务器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT服务器上部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。
3.反病毒软件服务器端、客户端的部署
(1)产品的安装:服务器防护终端和客户端防护终端的安装基本一致,通过光盘、WEB方式、脚本、远程、网上邻居等多种安装方式进行安装。
(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、服务器端或客户端装有防火墙程序,则必须修改规则开放相关端口。
(3)产品的管理:通过总部的管理工具管理所有安装完毕的反病毒系统,可以远程实时监控其状态或修改设置,可以远程直接执行远程客机上的反病毒相关操作;可以集中观测统一日志、统一分发策略、统一定制升级和其他计划等。