導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電信；網(wǎng)絡(luò)安全；技術(shù)防護(hù)

從20世紀(jì)90年代至今，我國(guó)電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動(dòng)網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來(lái)越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運(yùn)行。加強(qiáng)電信網(wǎng)絡(luò)的安全防護(hù)工作，是一項(xiàng)重要的工作。筆者結(jié)合工作實(shí)際，就電信網(wǎng)絡(luò)安全及防護(hù)工作做了一些思考。

一、電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。

電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái)，也就是SOC平臺(tái)，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作，來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控，完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問(wèn)題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易，對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

二、電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問(wèn)題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來(lái)新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營(yíng)商控制，電信用戶無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送，一旦出現(xiàn)不法行為，無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶的身份需要費(fèi)一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來(lái)不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

目前，我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備，電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來(lái)由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題，不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。

2.4相關(guān)法規(guī)尚不完善，落實(shí)保障措施缺乏力度

當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái)，《信息安全法》還處于研究過(guò)程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場(chǎng)份額和投資回報(bào)，把經(jīng)濟(jì)效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。

三、電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考

強(qiáng)化電信網(wǎng)絡(luò)安全，應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí)，首先需要對(duì)關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點(diǎn)，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮：控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn)；劃分并隔離不同安全域；防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí)，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個(gè)完善的安全體系，包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御，系統(tǒng)訪問(wèn)控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

3.4主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺(tái)上部署中央管理控制臺(tái)，對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

3.5系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描

系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。

參考文獻(xiàn)：

篇2

關(guān)鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問(wèn)題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題，而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說(shuō)明。

2 信息系統(tǒng)現(xiàn)狀

2.1 信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。

2)應(yīng)用系統(tǒng)

經(jīng)過(guò)多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2 信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3 風(fēng)險(xiǎn)與需求分析

3.1 風(fēng)險(xiǎn)分析

通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2 需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4 設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1 標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2 系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3 規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4 保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5 多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6 分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5 設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。

5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4 桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5 身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6 方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7 結(jié)論

篇3

醫(yī)院網(wǎng)絡(luò)信息安全與醫(yī)療衛(wèi)生服務(wù)質(zhì)量、效率息息相關(guān)，因此做好網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)有助于確保醫(yī)療信息安全與信息服務(wù)平臺(tái)應(yīng)用，對(duì)于進(jìn)一步提升醫(yī)療服務(wù)質(zhì)量至關(guān)重要。文章分析了我國(guó)醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀，并對(duì)醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用進(jìn)行了探討，希望能為醫(yī)療信息服務(wù)改革與創(chuàng)新提供參考。

關(guān)鍵詞：

醫(yī)院；信息安全；防護(hù)體系；設(shè)計(jì)

醫(yī)院作為提供醫(yī)療衛(wèi)生服務(wù)的主體，本身的發(fā)展關(guān)鍵在于做好綜合管理，信息平臺(tái)作為進(jìn)行醫(yī)療服務(wù)、醫(yī)學(xué)研究、教學(xué)、對(duì)外交流宣傳等工作的主要陣地，建設(shè)與服務(wù)情況直接關(guān)系到醫(yī)院工作質(zhì)量與效率，因此建立完善的信息安全防護(hù)體系不僅可有效保障信息平臺(tái)運(yùn)作的有效性，同時(shí)也可及時(shí)消除信息服務(wù)過(guò)程中出現(xiàn)的各類故障與問(wèn)題，確保醫(yī)院工作順利進(jìn)行。

1我國(guó)醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀分析

（1）安全需求。醫(yī)院信息網(wǎng)絡(luò)安全防護(hù)涉及計(jì)算機(jī)、通信安全、信息安全、密碼、信息論、數(shù)論等多種專業(yè)知識(shí)與技術(shù)，計(jì)算機(jī)信息系統(tǒng)平臺(tái)的防護(hù)要做好到不因偶然或者故意的外界因素影響系統(tǒng)運(yùn)行，保障信息的安全，減少信息丟失、受損、更改、泄露等，確保信息提供服務(wù)醫(yī)療工作的延續(xù)性、長(zhǎng)期性、可用性與高效性，提升系統(tǒng)運(yùn)行安全性與可靠性。結(jié)合我國(guó)信息安全防護(hù)規(guī)范與醫(yī)院醫(yī)療信息工作防護(hù)需求來(lái)看，技術(shù)層面上醫(yī)院網(wǎng)絡(luò)信息安全主要分為三個(gè)層次，一是硬件設(shè)施安全，包括計(jì)算機(jī)、網(wǎng)絡(luò)交換機(jī)、機(jī)房、線路、電源等物理設(shè)備在內(nèi)的設(shè)備安全，二是數(shù)據(jù)或應(yīng)用安全，即軟件安全，保證信息系統(tǒng)相關(guān)軟件、程序、數(shù)據(jù)庫(kù)等操作的訪問(wèn)安全，三是網(wǎng)絡(luò)與系統(tǒng)安全，即包括網(wǎng)絡(luò)通信、信息交換、信息應(yīng)用、信息備份、計(jì)算機(jī)系統(tǒng)等在內(nèi)的系統(tǒng)平臺(tái)免受系統(tǒng)入侵、攻擊等影響。

（2）安全防護(hù)現(xiàn)狀。目前國(guó)內(nèi)經(jīng)濟(jì)發(fā)達(dá)地區(qū)的二級(jí)醫(yī)院與三級(jí)醫(yī)院基本上已經(jīng)建立起了HIS系統(tǒng)與局域網(wǎng)，通過(guò)與因特網(wǎng)連接構(gòu)建服務(wù)院內(nèi)醫(yī)療工作的信息平臺(tái)，信息網(wǎng)絡(luò)運(yùn)行遵照內(nèi)外網(wǎng)物理隔離形式，因此相對(duì)而言運(yùn)行風(fēng)險(xiǎn)減小，在安全防護(hù)方面投入比例相對(duì)較低，不過(guò)面對(duì)越來(lái)越進(jìn)步的醫(yī)療需求，實(shí)現(xiàn)內(nèi)外網(wǎng)合一成為必然，有助于構(gòu)建更為高效的醫(yī)療信息共享模式、預(yù)防傳染疾病、建立大范圍醫(yī)療服務(wù)體系等，但是內(nèi)外網(wǎng)合一將會(huì)面臨更多的安全風(fēng)險(xiǎn)與漏洞，因此加強(qiáng)安全防護(hù)體系建設(shè)迫在眉睫，是保證醫(yī)療信息安全與高效管理的必然舉措。醫(yī)院信息安全防護(hù)體系的建設(shè)面臨著來(lái)自安全管理、硬件軟件等多方面的風(fēng)險(xiǎn)，目前防護(hù)體系建設(shè)主要是通過(guò)升級(jí)硬件、軟件防護(hù)確保信息安全，通過(guò)加強(qiáng)人員管理與安全管理降低安全風(fēng)險(xiǎn)威脅，對(duì)于醫(yī)院醫(yī)療系統(tǒng)而言，隨著越來(lái)越多的信息化醫(yī)療設(shè)備、儀器、就醫(yī)人員等介入信息平臺(tái)，安全防護(hù)體系建設(shè)所面臨的風(fēng)險(xiǎn)與需求也將會(huì)越來(lái)越大，因此針對(duì)醫(yī)療信息安全需求做好防護(hù)體系的建設(shè)與推廣應(yīng)用是目前進(jìn)步發(fā)展的關(guān)鍵。

（3）信息安全建設(shè)問(wèn)題。當(dāng)前醫(yī)院網(wǎng)絡(luò)信息安全問(wèn)題已經(jīng)成為困擾信息系統(tǒng)平臺(tái)運(yùn)行、應(yīng)用的瓶頸，為了應(yīng)對(duì)信息網(wǎng)絡(luò)時(shí)代頻繁的網(wǎng)絡(luò)攻擊與信息安全威脅，殺毒軟件、防火墻、入侵檢測(cè)技術(shù)、信息備份技術(shù)、數(shù)據(jù)庫(kù)安全技術(shù)等廣泛應(yīng)用于醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)。上述技術(shù)雖然在確保網(wǎng)絡(luò)信息安全方面發(fā)揮了一定作用，但是同時(shí)也存在不足之處，就目前來(lái)看，我國(guó)醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系還存在不少問(wèn)題。醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)使用的硬件、軟件產(chǎn)品因不屬于同一企業(yè)，在整合、規(guī)劃、管理中容易存在漏洞導(dǎo)致重復(fù)建設(shè)或者潛在安全風(fēng)險(xiǎn)等問(wèn)題，影響信息系統(tǒng)安全。信息平臺(tái)的構(gòu)造與使用專業(yè)性要求較高，并且設(shè)備、軟件需進(jìn)行專業(yè)整合，院內(nèi)桌面終端的分散與多邊、醫(yī)護(hù)人員水平高低、使用情況等都直接增加了信息安全防護(hù)的難度。目前醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的建設(shè)與應(yīng)用缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)與規(guī)范，不利于信息技術(shù)的整合和信息平臺(tái)潛力的挖掘，一定程度上增加安全防護(hù)系統(tǒng)構(gòu)建與應(yīng)用的難度。網(wǎng)絡(luò)信息技術(shù)的發(fā)展與安全防護(hù)本身處于此消彼長(zhǎng)的態(tài)勢(shì)，在制定安全防護(hù)策略、構(gòu)建防護(hù)體系時(shí)必須做好與時(shí)俱進(jìn)，最大限度的在降低經(jīng)濟(jì)成本的同時(shí)提升技術(shù)應(yīng)用效率與效益。

2醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用

（1）硬件設(shè)施建設(shè)。醫(yī)院安全防護(hù)系統(tǒng)硬件設(shè)施建設(shè)關(guān)鍵要做好核心服務(wù)器、交換機(jī)、應(yīng)用計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等建設(shè)，硬件建設(shè)優(yōu)劣直接決定信息服務(wù)效果與質(zhì)量，是確保醫(yī)院信息平臺(tái)順利運(yùn)行的關(guān)鍵物質(zhì)基礎(chǔ)，因此為提升防護(hù)穩(wěn)定性與可靠性，加強(qiáng)硬件設(shè)施建設(shè)勢(shì)在必行。硬件設(shè)施建設(shè)要從設(shè)備型號(hào)、性能等入手，配合網(wǎng)絡(luò)布局規(guī)劃、服務(wù)需求制定最佳建設(shè)方案。以機(jī)房設(shè)計(jì)為例，作為安全防護(hù)信息系統(tǒng)的神經(jīng)中樞，醫(yī)院至少要建立兩個(gè)A級(jí)標(biāo)準(zhǔn)機(jī)房作為主機(jī)房與備用機(jī)房，并對(duì)監(jiān)控間、設(shè)備間、空調(diào)電源間做好設(shè)計(jì)，比如空調(diào)電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設(shè)，并留有充足的后續(xù)設(shè)備空間，另外要著重做好消防安全工作。監(jiān)控間要應(yīng)用專業(yè)的設(shè)備環(huán)境監(jiān)控系統(tǒng)及時(shí)掌握主機(jī)房環(huán)境變化，以便在意外發(fā)生時(shí)做到準(zhǔn)確應(yīng)對(duì)。硬件配備方面為滿足醫(yī)院工作網(wǎng)絡(luò)信息安全防護(hù)需求，要配備優(yōu)質(zhì)的設(shè)備以保證數(shù)據(jù)訪問(wèn)效率，利用HIS服務(wù)器、PACS服務(wù)器等為實(shí)現(xiàn)辦公自動(dòng)化、電子病歷、信息安全管理提供強(qiáng)勁動(dòng)力；應(yīng)用混合光纖磁盤陣列、近線存儲(chǔ)等完成海量數(shù)據(jù)的存儲(chǔ)、交換與備份，并采用核心交換機(jī)、光纖寬帶等構(gòu)件高性能網(wǎng)絡(luò)平臺(tái)，并在醫(yī)院內(nèi)部配備優(yōu)質(zhì)計(jì)算機(jī)服務(wù)終端。網(wǎng)絡(luò)布局方面，根據(jù)醫(yī)院性質(zhì)做好軍網(wǎng)、醫(yī)保專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)的聯(lián)合建設(shè)，內(nèi)網(wǎng)建設(shè)是關(guān)鍵部分，要著重加強(qiáng)安全防護(hù)建設(shè)，并留有網(wǎng)站備份與未來(lái)拓展空間，為醫(yī)院信息安全管理提供支持與保障。

（2）網(wǎng)絡(luò)系統(tǒng)安全建設(shè)。醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全威脅主要來(lái)自于外部攻擊入侵或者網(wǎng)絡(luò)本身缺陷所導(dǎo)致的運(yùn)行失誤、效率下降、系統(tǒng)崩潰等問(wèn)題，攻擊入侵包括木馬病毒攻擊、系統(tǒng)漏洞等，因此要著重做好網(wǎng)絡(luò)安全防護(hù)與系統(tǒng)安全防護(hù)。網(wǎng)絡(luò)安全防護(hù)要根據(jù)醫(yī)院網(wǎng)絡(luò)性質(zhì)做好內(nèi)外網(wǎng)融合與統(tǒng)一，保證專網(wǎng)、軍網(wǎng)等介入內(nèi)網(wǎng)時(shí)受到物理防火墻、網(wǎng)閘的有效保護(hù)，屏蔽內(nèi)網(wǎng)信息、運(yùn)行情況及結(jié)構(gòu)，有效預(yù)防、制止非法入侵及破壞行為，并且為了提升防護(hù)效果，要盡量配合網(wǎng)絡(luò)運(yùn)行監(jiān)控系統(tǒng)以達(dá)到理想防護(hù)效果。系統(tǒng)安全防護(hù)需要建立完善的病毒防護(hù)體系，處理好系統(tǒng)終端計(jì)算機(jī)內(nèi)的病毒、木馬等，建立有效權(quán)限制度以達(dá)到保護(hù)信息、防護(hù)內(nèi)外入侵等行為，可通過(guò)采購(gòu)企業(yè)版病毒防護(hù)軟件定期更新病毒庫(kù)達(dá)到自動(dòng)殺毒維護(hù)安全效果；系統(tǒng)內(nèi)部防護(hù)安全與計(jì)算機(jī)個(gè)人網(wǎng)絡(luò)終端關(guān)系密切，因此要在院內(nèi)移動(dòng)終端上增加桌面控制軟件以實(shí)施全面安全管理，通過(guò)系統(tǒng)補(bǔ)丁分發(fā)、端口訪問(wèn)、安全準(zhǔn)入等機(jī)制實(shí)現(xiàn)防護(hù)。

（3）數(shù)據(jù)應(yīng)用安全。數(shù)據(jù)應(yīng)用安全關(guān)鍵要做好數(shù)據(jù)存儲(chǔ)、訪問(wèn)、應(yīng)用安全及信息系統(tǒng)軟件運(yùn)行安全。數(shù)據(jù)存儲(chǔ)安全與系統(tǒng)環(huán)境、硬件設(shè)備、數(shù)據(jù)庫(kù)安全密切相關(guān)，因系統(tǒng)漏洞、硬件損毀、數(shù)據(jù)庫(kù)錯(cuò)誤等造成數(shù)據(jù)毀壞要通過(guò)采取備份、恢復(fù)、數(shù)據(jù)容錯(cuò)等舉措解決。為保證數(shù)據(jù)安全性與完整性，要建立數(shù)據(jù)庫(kù)本機(jī)與多機(jī)備份機(jī)制，尤其是核心數(shù)據(jù)庫(kù)要分別建立主、備用服務(wù)器，一旦其中之一發(fā)生意外立即采取補(bǔ)救措施實(shí)現(xiàn)自動(dòng)切換，尤其是電子病歷要進(jìn)行專業(yè)備份及歸檔，確保數(shù)據(jù)完整性與可用性。數(shù)據(jù)訪問(wèn)安全問(wèn)題主要以非法用戶訪問(wèn)、非法篡改數(shù)據(jù)為主要表現(xiàn)，要完善醫(yī)院內(nèi)部訪問(wèn)權(quán)限與身份準(zhǔn)入系統(tǒng)，實(shí)現(xiàn)統(tǒng)一授權(quán)管理，以減少信息丟失、錯(cuò)誤等情況。要對(duì)數(shù)據(jù)庫(kù)安全環(huán)境建設(shè)、應(yīng)用軟件環(huán)境建設(shè)倍加關(guān)注，如lP±IE址的設(shè)置、數(shù)據(jù)庫(kù)配置、環(huán)境變量設(shè)置等，實(shí)現(xiàn)統(tǒng)一運(yùn)行環(huán)境與地址綁定，降低安全運(yùn)行風(fēng)險(xiǎn)。

（4）安全管理制度。醫(yī)院內(nèi)部要做好信息安全管理制度的完善與執(zhí)行，根據(jù)國(guó)家政策、行業(yè)法規(guī)、院內(nèi)需求積極完善系統(tǒng)及數(shù)據(jù)應(yīng)用，確保網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)始終維持良性運(yùn)行狀態(tài)，為醫(yī)院安全建設(shè)奠定基石。要加強(qiáng)網(wǎng)絡(luò)安全值班制度建設(shè)，配備專業(yè)人員監(jiān)督網(wǎng)絡(luò)系統(tǒng)運(yùn)行，并配備專業(yè)監(jiān)控系統(tǒng)及時(shí)處理各類問(wèn)題與意外，對(duì)于問(wèn)題嚴(yán)重者要及時(shí)通報(bào)技術(shù)科室進(jìn)行維修養(yǎng)護(hù)，確保醫(yī)院信息系統(tǒng)始終處于24小時(shí)監(jiān)控維護(hù)下。值班管理中，要做好系統(tǒng)運(yùn)行情況記錄，并進(jìn)行數(shù)據(jù)備份，確保值班日記連貫、完整，為安全管理提供幫助。院內(nèi)用戶管理是安全管理另一重點(diǎn)，權(quán)限管理中要嚴(yán)格管理員權(quán)限準(zhǔn)入機(jī)制，做好院內(nèi)計(jì)算機(jī)終端設(shè)備的改造，做好院內(nèi)工作人員專業(yè)培訓(xùn)，以便實(shí)現(xiàn)用戶合法、合規(guī)訪問(wèn)系統(tǒng)，減少系統(tǒng)運(yùn)行與訪問(wèn)風(fēng)險(xiǎn)，保證信息數(shù)據(jù)的安全性。

（5）應(yīng)用實(shí)踐。為了確保醫(yī)院網(wǎng)絡(luò)安全信息防護(hù)系統(tǒng)得到有效運(yùn)行，在實(shí)際運(yùn)營(yíng)中要增加相應(yīng)的運(yùn)維管理系統(tǒng)與安全防護(hù)系統(tǒng)達(dá)到理想防護(hù)效果。比如在主機(jī)房設(shè)置機(jī)房動(dòng)力與環(huán)境監(jiān)控系統(tǒng)，對(duì)機(jī)房準(zhǔn)入權(quán)限、電源供應(yīng)、通風(fēng)、控溫、消防等情況進(jìn)行監(jiān)控，確保機(jī)房始終維持在理想的恒溫、恒濕現(xiàn)狀，電壓、電流、頻率滿足需求，并將變化做好數(shù)據(jù)記錄監(jiān)控，為機(jī)房高效管理提供保障；在醫(yī)院內(nèi)網(wǎng)設(shè)置專門的安全防護(hù)系統(tǒng)，以規(guī)范約束院內(nèi)終端用戶操作與應(yīng)用，避免非法訪問(wèn)與數(shù)據(jù)篡改，該系統(tǒng)與院內(nèi)身份認(rèn)證系統(tǒng)合作，通過(guò)靈活的安全策略實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶、終端計(jì)算機(jī)的安全管理，充分踐行事前預(yù)防、事中控制、事后審計(jì)的原則，實(shí)現(xiàn)安全行為管理；針對(duì)電子病歷管理，要建立專門的VERITAS存儲(chǔ)管理系統(tǒng)對(duì)病例數(shù)據(jù)進(jìn)行存儲(chǔ)、備份與恢復(fù)，并根據(jù)備份策略做好病程文件的保護(hù)與恢復(fù)，以確保醫(yī)療工作的順利進(jìn)行。

3結(jié)語(yǔ)

綜上所述，醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)與應(yīng)用有助于降低醫(yī)院信息安全風(fēng)險(xiǎn)，提升信息系統(tǒng)可靠性、可用性與安全性，對(duì)于提升醫(yī)院醫(yī)療服務(wù)質(zhì)量與效果有積極意義，可有效減少院內(nèi)信息系統(tǒng)安全故障、降低安全運(yùn)行風(fēng)險(xiǎn)，提升系統(tǒng)運(yùn)行服務(wù)質(zhì)量，對(duì)于國(guó)內(nèi)醫(yī)療改革進(jìn)步、創(chuàng)新有重要實(shí)用價(jià)值。

參考文獻(xiàn)：

[1]胡祎.醫(yī)院信息網(wǎng)絡(luò)建設(shè)中的安全技術(shù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(10):59

[2]劉夏娥.醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全體系構(gòu)造[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2013(1):51

篇4

關(guān)鍵詞：網(wǎng)絡(luò)；信息系統(tǒng)；網(wǎng)絡(luò)規(guī)劃

中圖分類號(hào)：TN711 文獻(xiàn)標(biāo)識(shí)碼：A

前言：在當(dāng)前市場(chǎng)化、信息化高度發(fā)展的今天，企業(yè)只有具備了強(qiáng)有力的信息、信息檢索和信息管理系統(tǒng)，才能使企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中，充分掌握和利用信息，才能提高企業(yè)駕馭市場(chǎng)的能力，提高企業(yè)的核心競(jìng)爭(zhēng)力。企業(yè)的信息化是當(dāng)今世界經(jīng)濟(jì)和社會(huì)發(fā)展的大趨勢(shì)，信息網(wǎng)絡(luò)作為信息建設(shè)的核心，因而加大企業(yè)信息系統(tǒng)建設(shè)的網(wǎng)絡(luò)規(guī)劃勢(shì)在必行。1、網(wǎng)絡(luò)規(guī)劃原則

通常企業(yè)涉及地域范圍較廣，信息化需求比較全面，數(shù)據(jù)量巨大，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，對(duì)帶寬和安全性要求也比較高。此類信息網(wǎng)絡(luò)的規(guī)劃應(yīng)遵循以下基本原則:

長(zhǎng)遠(yuǎn)性和現(xiàn)實(shí)性相結(jié)合。既要兼顧企業(yè)的目前狀況與長(zhǎng)遠(yuǎn)發(fā)展等因素，放眼未來(lái)、統(tǒng)籌規(guī)劃，又要具有可付諸實(shí)施的現(xiàn)實(shí)可行性。

全面性和針對(duì)性相結(jié)合。既要著眼全局、不能遺漏，又要突出重點(diǎn)，方案和計(jì)劃具有較強(qiáng)的針對(duì)性。

整體性和階段性相結(jié)合。既要制定整體發(fā)展規(guī)劃、目標(biāo)架構(gòu)等戰(zhàn)略性指導(dǎo)和實(shí)施策略文檔，又要制定出體系實(shí)施的階段性目標(biāo)，分期分批實(shí)施。

先進(jìn)性和實(shí)用性相結(jié)合。在信息網(wǎng)絡(luò)規(guī)劃方案、目標(biāo)和要求、規(guī)定和制度、產(chǎn)品和技術(shù)、人員和知識(shí)等各方面，既要有先進(jìn)性，又要有實(shí)用性。

開放性和可靠性相結(jié)合。應(yīng)采用最新且成熟的系統(tǒng)軟硬件等技術(shù)和產(chǎn)品。其各項(xiàng)技術(shù)應(yīng)保證具有開放性、可移植性和可擴(kuò)展性，同時(shí)，具有可靠性和穩(wěn)定性。

完整性和經(jīng)濟(jì)性相結(jié)合。既要考慮采用的產(chǎn)品和技術(shù)在整體上具有完整性和一致性，又要盡量保護(hù)企業(yè)已有的軟硬件投資，使得總體上具有更好的經(jīng)濟(jì)性。

易用性和管理性相結(jié)合。既要充分考慮系統(tǒng)的易用性，確保系統(tǒng)好用、可用與易用，又要考慮可管理性和可維護(hù)性。

安全性和合規(guī)性相結(jié)合。既要采用相關(guān)安全標(biāo)準(zhǔn)和等級(jí)保護(hù)要求，更要符合企業(yè)有關(guān)信息安全的管理制度、國(guó)家有關(guān)法令、SOX法案的有關(guān)要求。

總體來(lái)說(shuō)，“技術(shù)可行，經(jīng)濟(jì)合理”是企業(yè)信息網(wǎng)絡(luò)規(guī)劃的最重要原則，不追求最新的技術(shù)，也不追求最低的成本。

2、系統(tǒng)安全體系設(shè)計(jì)要點(diǎn)

第一步要對(duì)網(wǎng)絡(luò)做出一個(gè)比較全面的對(duì)于安全體系建設(shè)的規(guī)劃，然后根據(jù)實(shí)際的應(yīng)用狀況，先建立一個(gè)“防護(hù)—檢測(cè)—響應(yīng)”的基礎(chǔ)安全防護(hù)體系，保證基本的、應(yīng)有的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來(lái)基礎(chǔ)防護(hù)體系之上，根據(jù)實(shí)際應(yīng)用需求，從物理安全方面、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多角度建立安全防護(hù)體系，在時(shí)機(jī)成熟時(shí)建立數(shù)字認(rèn)證體系和災(zāi)難備份系統(tǒng)，同時(shí)建立健全相應(yīng)的安全管理制度，確保整個(gè)系統(tǒng)的安全可靠。

3、舉例說(shuō)明

下面結(jié)合某央企信息網(wǎng)絡(luò)規(guī)劃為案例具體分析企業(yè)信息系統(tǒng)建設(shè)的網(wǎng)絡(luò)規(guī)劃

3.1 背景介紹

該企業(yè)涉及建筑施工、機(jī)械制造、物流、房地產(chǎn)、酒店等多個(gè)行業(yè)，總公司設(shè)多個(gè)集團(tuán)公司，其中有多個(gè)集團(tuán)公司在全國(guó)多個(gè)省份都有各自的分支結(jié)構(gòu)，部分集團(tuán)公司在海外還有分支結(jié)構(gòu)。機(jī)構(gòu)組織的復(fù)雜性必然造成了網(wǎng)絡(luò)結(jié)構(gòu)的異常復(fù)雜。該企業(yè)信息化建設(shè)起步較晚，沒(méi)有形成統(tǒng)一的規(guī)劃，因此各下屬公司都根據(jù)自身需要不同程度地建設(shè)了自己的骨干網(wǎng)和局域網(wǎng)。本次規(guī)劃站在整個(gè)企業(yè)的角度，進(jìn)行統(tǒng)一的、全系統(tǒng)的信息網(wǎng)絡(luò)規(guī)劃。

3.2編制范圍

該規(guī)劃涵蓋該企業(yè)在全球的全部機(jī)構(gòu)，實(shí)現(xiàn)一張覆蓋全球的大網(wǎng)，統(tǒng)籌規(guī)劃企業(yè)全球各機(jī)構(gòu)的語(yǔ)音、視頻、數(shù)據(jù)等業(yè)務(wù)通信需求，包括骨干網(wǎng)和局域網(wǎng)。

3.3現(xiàn)狀分析

首先制定了詳細(xì)的訪談提綱和調(diào)研表格，涉及硬件、軟件、帶寬等網(wǎng)絡(luò)資源情況、應(yīng)用系統(tǒng)情況、網(wǎng)絡(luò)資費(fèi)情況等。經(jīng)過(guò)對(duì)總部各部門訪談和對(duì)各下屬單位的詳細(xì)調(diào)研，總結(jié)并分析出存在的主要問(wèn)題:通過(guò)公眾互聯(lián)網(wǎng)傳送企業(yè)內(nèi)部信息存在極大的安全隱患，亟需建設(shè)企業(yè)專網(wǎng);網(wǎng)絡(luò)層面沒(méi)有有效的安全隔離手段，安全性需要提高;系統(tǒng)沒(méi)有進(jìn)行IP地址統(tǒng)一規(guī)劃，不利于公司后續(xù)的統(tǒng)一管理;各下屬單位內(nèi)部局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全性需要進(jìn)一步優(yōu)化，網(wǎng)絡(luò)帶寬不一，租賃費(fèi)用不一，且接入運(yùn)營(yíng)商也不統(tǒng)一;網(wǎng)絡(luò)運(yùn)維力量薄弱，整體網(wǎng)絡(luò)運(yùn)維水平和規(guī)范性不高。

3.4需求分析

結(jié)合該企業(yè)信息化總體規(guī)劃，梳理各應(yīng)用系統(tǒng)帶寬和局向需求。該企業(yè)將建立“覆蓋全面、功能完善”的應(yīng)用體系，總體應(yīng)用架構(gòu)貫通全系統(tǒng)組織體系，覆蓋公司全部六大業(yè)務(wù)板塊，整體搭建“五縱四橫”九大應(yīng)用平臺(tái)，規(guī)劃期涉及29個(gè)系統(tǒng)的建設(shè)，范圍涉及總部至各下屬單位及各分支機(jī)構(gòu)的多個(gè)方向，同時(shí)也包括海外節(jié)點(diǎn)。

本項(xiàng)目采用自下而上的方法對(duì)骨干網(wǎng)的流量流向需求進(jìn)行分析與估算，首先按照各板塊集團(tuán)公司的維度分別計(jì)算單應(yīng)用系統(tǒng)的網(wǎng)絡(luò)流量流向需求，然后對(duì)單應(yīng)用系統(tǒng)的網(wǎng)絡(luò)流量流向需求進(jìn)行匯總疊加，得到各集團(tuán)公司和三級(jí)單位的總體流量流向需求，具體計(jì)算方法如下:節(jié)點(diǎn)問(wèn)流量一藝應(yīng)用的單用戶帶寬峰值并發(fā)用戶數(shù)。針對(duì)每個(gè)單位計(jì)算其需要訪問(wèn)的所有骨干網(wǎng)應(yīng)用系統(tǒng)流量需求，匯總疊加該單位所有應(yīng)用系統(tǒng)的流量流向需求后，形成其應(yīng)用系統(tǒng)網(wǎng)絡(luò)流量流向需求。

對(duì)于網(wǎng)絡(luò)安全，結(jié)合行業(yè)標(biāo)準(zhǔn)、國(guó)資委對(duì)央企的網(wǎng)絡(luò)安全要求以及企業(yè)自身的信息化規(guī)劃，梳理企業(yè)信息系統(tǒng)對(duì)網(wǎng)絡(luò)安全的具體要求。即要求企業(yè)辦公網(wǎng)絡(luò)與外網(wǎng)要進(jìn)行必要的隔離措施，確保業(yè)務(wù)數(shù)據(jù)的安全性。對(duì)于網(wǎng)絡(luò)線路、網(wǎng)絡(luò)設(shè)備以及機(jī)房等設(shè)施要做到全部具備冗余備份，確保網(wǎng)絡(luò)安全可靠廠

3.5 建設(shè)目標(biāo)

該企業(yè)的網(wǎng)絡(luò)建設(shè)要匹配企業(yè)各級(jí)機(jī)構(gòu)和海外業(yè)務(wù)發(fā)展戰(zhàn)略，滿足企業(yè)未來(lái) 3 到 5 年業(yè)務(wù)高速發(fā)展需要"適應(yīng)企業(yè)集團(tuán)化管理的要求，網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源共享，優(yōu)化資源配置，提高效率，降低成本。滿足內(nèi)外部監(jiān)管要求，遵從對(duì)上市公司的國(guó)際和業(yè)界法規(guī)，規(guī)范集團(tuán)機(jī)構(gòu)內(nèi)部問(wèn)信息共享、信息保護(hù)機(jī)制。

要充分利用各種組網(wǎng)技術(shù)的優(yōu)點(diǎn)，為企業(yè)建設(shè)完善的企業(yè)基礎(chǔ)網(wǎng)絡(luò)，從而滿足各級(jí)機(jī)構(gòu)、施工現(xiàn)場(chǎng)、移動(dòng)辦公人員乃至海外分支機(jī)構(gòu)日益增長(zhǎng)的IT應(yīng)用訪問(wèn)需求。在網(wǎng)絡(luò)建設(shè)過(guò)程中，骨干網(wǎng)核心層網(wǎng)絡(luò)要采用雙鏈路平行連接結(jié)構(gòu)并實(shí)行流量負(fù)荷分擔(dān)，保障網(wǎng)絡(luò)的安全性。

3.6規(guī)劃方案

該企業(yè)信息化網(wǎng)絡(luò)由局域網(wǎng)、骨干網(wǎng)和互聯(lián)網(wǎng)接入組成 。各單位分別建設(shè)高帶寬、安全可靠的局域網(wǎng)，分別租用數(shù)據(jù)專線連接互聯(lián)網(wǎng)。企業(yè)骨干網(wǎng)的建設(shè)既要保證網(wǎng)絡(luò)的高帶寬，更要保證網(wǎng)絡(luò)的安全性和可靠性，因此通過(guò)租用運(yùn)營(yíng)商SDH專線方式，建設(shè)覆蓋三級(jí)以上機(jī)構(gòu)的高質(zhì)量SDH專網(wǎng)，近期先通過(guò)租用運(yùn)營(yíng)商數(shù)據(jù)專線方式組建企業(yè)VPN虛擬專網(wǎng)，同時(shí)進(jìn)行全網(wǎng)IP地址規(guī)劃。

3.7行動(dòng)路線

按照企業(yè)信息化總體規(guī)劃，結(jié)合各應(yīng)用系統(tǒng)部署進(jìn)度，將網(wǎng)絡(luò)規(guī)劃各環(huán)節(jié)按重要程度分步驟進(jìn)行安排，具體時(shí)間進(jìn)度如下：

結(jié)語(yǔ)

企業(yè)信息網(wǎng)絡(luò)規(guī)劃是企業(yè)信息化的重要前提，“技術(shù)可行、經(jīng)濟(jì)合理”是企業(yè)信息網(wǎng)絡(luò)規(guī)劃的大原則，企業(yè)對(duì)網(wǎng)絡(luò)現(xiàn)狀的分析和應(yīng)用系統(tǒng)的需求梳理是規(guī)劃的前提，技術(shù)方案的研究和建設(shè)方案的編制是規(guī)劃的核心，風(fēng)險(xiǎn)應(yīng)對(duì)舉措和行動(dòng)路線的制定是規(guī)劃的落腳點(diǎn)，投資估算和分析是規(guī)劃可實(shí)施的保障。在網(wǎng)絡(luò)的廣泛應(yīng)用中，傳播者和接收者已經(jīng)沒(méi)有了嚴(yán)格界限，因而網(wǎng)絡(luò)傳播問(wèn)題也隨著網(wǎng)絡(luò)和技術(shù)的發(fā)展產(chǎn)生新的問(wèn)題，所以關(guān)于網(wǎng)絡(luò)傳播問(wèn)題的研究不是一蹴而就的，而是一個(gè)必須持續(xù)研究并且不斷更新的過(guò)程。

參考文獻(xiàn)

[1]羅皓菱.網(wǎng)絡(luò)時(shí)代的麥哲倫—博客現(xiàn)象分析[J].文化研究，2005.5:36－40

篇5

IP寬帶城域網(wǎng)（MAN，Metropolitan Area Network）的概念是由計(jì)算機(jī)網(wǎng)深化而來(lái)，指介于廣域網(wǎng)和局域網(wǎng)之間，在城市及郊區(qū)范圍內(nèi)實(shí)現(xiàn)信息傳輸與交換的一種網(wǎng)絡(luò)。這里所說(shuō)的IP城域網(wǎng)，是指覆蓋城市范圍、為全市各類用戶提供寬帶（通常是指2Mbit/s以上）接入的數(shù)字通信網(wǎng)絡(luò)。本文重點(diǎn)分析了IP寬帶城域網(wǎng)規(guī)劃建設(shè)過(guò)程中涉及的帶寬、帶寬管理、服務(wù)質(zhì)量、冗余備份、安全與控制、IP統(tǒng)計(jì)與計(jì)費(fèi)、多種業(yè)務(wù)的傳輸平臺(tái)等七大要素。

【關(guān)鍵詞】IP；城域網(wǎng)；規(guī)劃；建設(shè)

1 帶寬（Bandwidth）

寬帶IP城域網(wǎng)要求比傳統(tǒng)網(wǎng)絡(luò)更高的帶寬，過(guò)去在寬帶接入速率上大多使用56K/64K/128Kbps，近年以來(lái)，按照國(guó)家工信部提出實(shí)施寬帶提速整體的部署，現(xiàn)在寬帶接入速率上多使用4M/10M/100Mbps。隨著IPTV、視頻點(diǎn)播（VOD）遠(yuǎn)程監(jiān)控監(jiān)測(cè)、交互式游戲等新型業(yè)務(wù)的出現(xiàn)，也推動(dòng)了在接入層上對(duì)帶寬提速的要求。因此，寬帶IP城域網(wǎng)的建設(shè)需要滿足既有的帶寬處理能力的同時(shí)，也需要兼顧未來(lái)帶寬需求的擴(kuò)充能力，這樣才能保證網(wǎng)絡(luò)在優(yōu)化升級(jí)時(shí)實(shí)現(xiàn)業(yè)務(wù)的平滑過(guò)渡，從而延長(zhǎng)設(shè)備的投資使用年限，達(dá)到保障投資收益的目標(biāo)。

總體來(lái)說(shuō)，在IP寬帶城域網(wǎng)規(guī)劃與建設(shè)中，應(yīng)當(dāng)充分考慮到網(wǎng)絡(luò)所處的地域特點(diǎn)、承載傳輸?shù)木W(wǎng)絡(luò)特點(diǎn)，充分提高網(wǎng)絡(luò)帶寬。

2 帶寬管理（Bandwidth Management）

目前，如何提高帶寬已經(jīng)成為制約IP城域網(wǎng)發(fā)展的主要問(wèn)題。一味進(jìn)行帶寬的擴(kuò)容不是解決這一瓶頸的最佳途徑，研究如何有效地對(duì)帶寬進(jìn)行管理和使用是一個(gè)很好出發(fā)點(diǎn)，比如嘗試使用OSPF（Open Shortest Path First開放式最短路徑優(yōu)先）或BGP4協(xié)議（（Border Gateway Protocol Version 4 邊界網(wǎng)關(guān)協(xié)議-版本4）中的負(fù)載分流、MPLS（Multi-Protocol Label Switching 多協(xié)議標(biāo)簽交換）協(xié)議中的流量工程以及接入網(wǎng)中的限定速率等方式進(jìn)行帶寬管理。電信運(yùn)營(yíng)商可以根據(jù)用戶入網(wǎng)時(shí)選擇的帶寬進(jìn)行帶寬分配和限定，依據(jù)用戶數(shù)量和物理區(qū)域進(jìn)行流量的動(dòng)態(tài)分配，都可以起到提高帶寬的作用。

因此，在IP寬帶城域網(wǎng)規(guī)劃與建設(shè)中必須考慮到以上協(xié)議和工具的使用，對(duì)帶寬進(jìn)行管理，才能保證網(wǎng)絡(luò)帶寬資源得到合理使用。

3 服務(wù)質(zhì)量（QoS）

隨著網(wǎng)絡(luò)的不斷升級(jí)，用戶對(duì)于網(wǎng)絡(luò)質(zhì)量的要求越來(lái)越高，這些需求不僅包括非實(shí)時(shí)業(yè)務(wù)，也有要求QoS保障的實(shí)時(shí)業(yè)務(wù)。QoS通常由時(shí)延、抖動(dòng)、丟包率這3個(gè)基本指標(biāo)確定，在不同的網(wǎng)絡(luò)層次間應(yīng)當(dāng)使用不同的方式實(shí)現(xiàn)對(duì)QoS服務(wù)的保證。

IP寬帶城域網(wǎng)三層網(wǎng)絡(luò)以基于流量控制、業(yè)務(wù)分類、隊(duì)列調(diào)度、標(biāo)記等機(jī)制提供突發(fā)擁塞時(shí)QoS 保證，完成對(duì)接入用戶的分類和三層QoS 標(biāo)記，并實(shí)現(xiàn)用戶上行流量的限速和用戶下行流量的整形限速。SR（服務(wù)器） BRAS（寬帶遠(yuǎn)程接入服務(wù)器）和核心路由器可以提供一個(gè)嚴(yán)格優(yōu)先隊(duì)列和若干輪循隊(duì)列，通過(guò)隊(duì)列優(yōu)先，可以保證IPTV、NGN語(yǔ)音流量的優(yōu)先權(quán)，若沒(méi)有此類流量，其他流量就可以共享這部分帶寬。隊(duì)列調(diào)度機(jī)制再配合WRED 丟棄機(jī)制，實(shí)現(xiàn)基于QoS 等級(jí)的IP 包轉(zhuǎn)發(fā)。

IP城域網(wǎng)二層網(wǎng)絡(luò)以基于802.1P 為主的QoS 技術(shù)提供突發(fā)擁塞時(shí)的QoS 保證。在DSLAM、ONU等接入設(shè)備上根據(jù)VLAN劃分，完成不同用戶或業(yè)務(wù)的分類和標(biāo)記，實(shí)現(xiàn)對(duì)Xdsl、LAN、PON等接入用戶上行流量的限速。

總而言之，在IP寬帶城域網(wǎng)規(guī)劃與建設(shè)時(shí)，在有限的資源下，應(yīng)當(dāng)做到使用不同分類方法將用戶分成不同的服務(wù)等級(jí)，不同等級(jí)的用戶享用不同的資源。即使是同一用戶，也應(yīng)當(dāng)根據(jù)業(yè)務(wù)不同而有不同的服務(wù)等級(jí)，從而實(shí)現(xiàn)按不同的用戶或者業(yè)務(wù)提供不同的QoS保證。

4 冗余備份（Redundancy）

IP寬帶城域網(wǎng)逐漸成為各種不同業(yè)務(wù)的承載平臺(tái)，建設(shè)過(guò)程中對(duì)它的可靠性也就要求更高，因此寬帶IP城域網(wǎng)必須具有電信級(jí)的冗余配置，包括設(shè)備、部件的（風(fēng)扇、電源、軟件、模塊）冗余、線路冗余，以及二層的擴(kuò)展樹或快速擴(kuò)展樹、二層的熱備份協(xié)議、或路由備份。在城域網(wǎng)的各個(gè)地方配置相應(yīng)的冗余備份可大大提高網(wǎng)絡(luò)的可靠性。

IP寬帶城域網(wǎng)規(guī)劃與建設(shè)中要特別考慮到城域網(wǎng)核心設(shè)備和匯聚設(shè)備的冗余備份，比如核心路由器、匯聚交換機(jī)以及寬帶接入服務(wù)器，同時(shí)傳輸通道的冗余備份在條件允許的情況下也必須考慮。

5 安全與控制（Security & Control）

IP寬帶城域網(wǎng)建設(shè)時(shí)要求網(wǎng)絡(luò)及路由器設(shè)備有充分的安全措施，以保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性，即保障城域網(wǎng)能夠正常運(yùn)行，網(wǎng)絡(luò)上的數(shù)據(jù)信息能夠完整、有效的進(jìn)行傳輸，網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變。

在網(wǎng)絡(luò)安全領(lǐng)域，管理是核心，技術(shù)是工具和手段，技術(shù)必須同管理相結(jié)合才能形成行之有效的安全保障。雖然嚴(yán)格的安全管理會(huì)犧牲使用的方便性和設(shè)備的性能，但是也不能因此就放松安全管理。如果沒(méi)有安全管理作為保障，再先進(jìn)的技術(shù)和產(chǎn)品也不能充分發(fā)揮其作用，無(wú)法有效保證電信運(yùn)營(yíng)商自身網(wǎng)絡(luò)系統(tǒng)的整體安全。

因此寬帶IP城域網(wǎng)安全體系的建設(shè)主要包括三個(gè)要素：安全策略、安全管理和安全技術(shù)。其中，安全策略是電信運(yùn)營(yíng)商整個(gè)安全體系建設(shè)的核心；安全管理和安全技術(shù)是實(shí)現(xiàn)整個(gè)系統(tǒng)安全的互為補(bǔ)充的重要手段。

安全策略：包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是安全的最核心問(wèn)題，是整個(gè)安全建設(shè)的依據(jù)；安全管理：主要是人員、組織和流程的管理，是實(shí)現(xiàn)電信運(yùn)營(yíng)商網(wǎng)絡(luò)安全的落實(shí)手段；安全技術(shù)：包含采用先進(jìn)的方法、工具、產(chǎn)品和服務(wù)等，是實(shí)現(xiàn)電信運(yùn)營(yíng)商網(wǎng)絡(luò)安全的有力保證。

一個(gè)完善的網(wǎng)絡(luò)安全整體解決方案不僅僅包含各種安全產(chǎn)品和技術(shù)，更重要的就是要建立一個(gè)一致的網(wǎng)絡(luò)安全體系，也就是建立基于整體安全策略體系的安全管理體系和安全技術(shù)體系。IP寬帶城域網(wǎng)規(guī)劃與建設(shè)別要注意對(duì)核心設(shè)備的安全控制，比如設(shè)定訪問(wèn)控制列表以及黑洞路由等多種手段，開局時(shí)應(yīng)讓設(shè)備提供商的開局工程師幫助共同配置安全策略。

6 IP統(tǒng)計(jì)與計(jì)費(fèi)功能（IP Statistics & IP Billing）

IP的統(tǒng)計(jì)及計(jì)費(fèi)功能是實(shí)現(xiàn)網(wǎng)絡(luò)可運(yùn)營(yíng)的前提，可分為不同的層次，可利用SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）中的管理信息庫(kù)MIB來(lái)實(shí)現(xiàn)，也可利用基于取樣技術(shù)的擴(kuò)展RMON（遠(yuǎn)程監(jiān)控）來(lái)實(shí)現(xiàn)，或者更進(jìn)一步用Netflow（Cisco公司創(chuàng)造的可以提供網(wǎng)絡(luò)流量的會(huì)話級(jí)視圖的一種軟件）的技術(shù)基于數(shù)據(jù)流的方式來(lái)采集統(tǒng)計(jì)資料與計(jì)費(fèi)，IP城域網(wǎng)中有此功能后，就可以對(duì)用戶實(shí)現(xiàn)按流量、按時(shí)長(zhǎng)等多種計(jì)費(fèi)方式。建設(shè)規(guī)劃中各地可以根據(jù)各地不同的情況進(jìn)行不同的規(guī)劃，例如，鐵通河南分公司只在鄭州配備了IP統(tǒng)計(jì)及計(jì)費(fèi)服務(wù)器和相關(guān)軟件，各地市只需從省公司得到一個(gè)用戶名和密碼，就可以使用這個(gè)系統(tǒng)對(duì)本地的IP進(jìn)行統(tǒng)計(jì)和計(jì)費(fèi)，這在用戶數(shù)量不是非常龐大的情況下，不失為一種理想的選擇，既能實(shí)現(xiàn)對(duì)IP的統(tǒng)計(jì)與計(jì)費(fèi)功能，又能為各地市節(jié)約投資。

7多種業(yè)務(wù)的傳輸平臺(tái)（Multi-Services）

隨著研究的不斷深入，無(wú)論是電信運(yùn)營(yíng)商、設(shè)備制造商都投入了極大的熱情，這也使得寬帶IP城域網(wǎng)的概念已經(jīng)突破了傳統(tǒng)的以城域界定的含義，而更多地強(qiáng)調(diào)網(wǎng)絡(luò)的融合與應(yīng)用，網(wǎng)絡(luò)的發(fā)展也越來(lái)越需要能夠融合多種多樣的業(yè)務(wù)，在滿足數(shù)據(jù)、語(yǔ)音、圖像傳輸?shù)耐瑫r(shí)確保良好的QoS性能。寬帶IP城域網(wǎng)的建設(shè)必須可以提供傳統(tǒng)的DDN數(shù)據(jù)服務(wù)，寬窄帶接入、虛擬專線、IP電話等各種不同的業(yè)務(wù)。業(yè)務(wù)的多樣化還應(yīng)依靠本地網(wǎng)絡(luò)架構(gòu)來(lái)實(shí)現(xiàn)，因此必須考慮到業(yè)務(wù)接口的多樣化，例如要支持XDSL接入、光纖接入、無(wú)線接入等多種方式，只有實(shí)現(xiàn)了接入方式的靈活性，才能實(shí)現(xiàn)業(yè)務(wù)的多樣化，而業(yè)務(wù)的多樣化是衡量一個(gè)網(wǎng)絡(luò)是否具有較強(qiáng)競(jìng)爭(zhēng)力的重要指標(biāo)，可以說(shuō)是電信運(yùn)營(yíng)商賴以生存的重要基礎(chǔ)。

一個(gè)完整的城域網(wǎng)必須是一個(gè)兼顧上述各種特色的IP端對(duì)端解決方案，同時(shí)也必須強(qiáng)調(diào)網(wǎng)絡(luò)的性能，只有功能和性能同時(shí)達(dá)到寬帶的要求，才能提供完整業(yè)務(wù)，為用戶提供優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)：

篇6

關(guān)鍵詞 IMS；移動(dòng)核心網(wǎng)；現(xiàn)狀及問(wèn)題；方向；方案；保障機(jī)制

中圖分類號(hào)：TN915 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671—7597（2013）042-039-01

IP多媒體子系統(tǒng)（IMS），旨在建立一個(gè)與接入無(wú)關(guān)、基于開放的SIP/IP協(xié)議及支持多種多媒體業(yè)務(wù)類型的平臺(tái)來(lái)提供豐富的業(yè)務(wù)。它將蜂窩移動(dòng)通信網(wǎng)絡(luò)技術(shù)、傳統(tǒng)固定網(wǎng)絡(luò)技術(shù)和互聯(lián)網(wǎng)技術(shù)有機(jī)結(jié)合起來(lái)，為未來(lái)的基于全I(xiàn)P網(wǎng)絡(luò)多媒體應(yīng)用提供了一個(gè)通用的業(yè)務(wù)智能平臺(tái)，也為未來(lái)網(wǎng)絡(luò)發(fā)展過(guò)程中的網(wǎng)絡(luò)融合提供了技術(shù)基礎(chǔ)。IMS的諸多特點(diǎn)使得其一經(jīng)提出就成為業(yè)界的研究熱點(diǎn)，是業(yè)界普遍認(rèn)同的解決未來(lái)網(wǎng)絡(luò)融合的理想方案和發(fā)展方向，但對(duì)于IMS將來(lái)如何提供統(tǒng)一的業(yè)務(wù)平臺(tái)實(shí)現(xiàn)全業(yè)務(wù)運(yùn)營(yíng)，IMS的標(biāo)準(zhǔn)化及安全等問(wèn)題仍需要進(jìn)一步的研究和探討。

1 現(xiàn)狀及問(wèn)題分析

IMS是一種新興的多媒體技術(shù)，它可以滿足終端客戶對(duì)多媒體業(yè)務(wù)所提出的更加多樣、更加新穎的需求。IMS被公認(rèn)為網(wǎng)絡(luò)的一種核心技術(shù)，它是解決固網(wǎng)與移動(dòng)互相融合，引入數(shù)據(jù)、視頻、語(yǔ)音三重融合以及其他一些差異化業(yè)務(wù)的一種重要方式。但是，由于世界各國(guó)的IMS大都處于較為初級(jí)的階段，其應(yīng)用的方式方法也還處于探索當(dāng)中，所以在IMS技術(shù)中仍存在著一些這樣那樣的問(wèn)題和不足。這些問(wèn)題主要表現(xiàn)在以下幾個(gè)方面：①IMS技術(shù)的發(fā)展還不夠穩(wěn)定，不夠成熟；②各種網(wǎng)絡(luò)與IMS的互相融合，必然會(huì)使其功能變得更加復(fù)雜；③IMS的安全機(jī)制還不夠健全，有待進(jìn)一步的完善；④到目前為止，IMS技術(shù)大多是屬于實(shí)驗(yàn)階段，其綜合用途尚待開發(fā)；⑤IMS技術(shù)的開發(fā)速度還可以加快，以滿足網(wǎng)建規(guī)模日漸擴(kuò)大的需求。只有有效解決了以上的種種現(xiàn)實(shí)存在的問(wèn)題，才能明確IMS的發(fā)展方向，找準(zhǔn)IMS的建設(shè)方案，使IMS得到更加科學(xué)有效的發(fā)展。由于該項(xiàng)技術(shù)的這一系列特點(diǎn)，直接影響著當(dāng)代移動(dòng)網(wǎng)，要想實(shí)現(xiàn)TMS與移動(dòng)核心網(wǎng)兩者的融合共贏，就必須把該方面的建設(shè)納入戰(zhàn)略地位，實(shí)現(xiàn)有機(jī)突破。

2 移動(dòng)核心網(wǎng)建設(shè)方向及建議

2.1 安全建設(shè)

安全建設(shè)是移動(dòng)通信網(wǎng)絡(luò)建設(shè)的核心任務(wù)之一，主要是兩個(gè)方面：①客戶個(gè)人信息的安全問(wèn)題。②網(wǎng)絡(luò)穩(wěn)定性問(wèn)題。即對(duì)客戶在網(wǎng)絡(luò)上保存或者提交的相關(guān)個(gè)人信息予以加密或者其他保護(hù)，包括客戶的人身信息、賬戶信息、個(gè)人隱私、財(cái)務(wù)狀況等，以及其他一些客戶不愿意透露的信息。同時(shí)，確保網(wǎng)絡(luò)在既定時(shí)間能夠穩(wěn)定地為客戶提供服務(wù)，并努力確保這種服務(wù)狀態(tài)的持續(xù)性?？梢酝ㄟ^(guò)優(yōu)化軟硬件設(shè)施引入，或者是通過(guò)自主研發(fā)程序等，擴(kuò)大防火墻功能（萬(wàn)兆防火墻、超萬(wàn)兆防火墻），加強(qiáng)隔離設(shè)施和保密服務(wù)的實(shí)用性和智能性，能夠有選擇地進(jìn)行保護(hù)或者自主保護(hù)。此外，要落實(shí)客戶的實(shí)名制認(rèn)證機(jī)制，確保各種信息的真實(shí)性。在網(wǎng)絡(luò)方面，應(yīng)當(dāng)加強(qiáng)日常維護(hù)及運(yùn)行監(jiān)管力度，及時(shí)參考防火墻、移動(dòng)核心網(wǎng)等的承載能力、性能等，對(duì)異常狀況采取及時(shí)隔離維護(hù)措施。此外，加強(qiáng)研發(fā)力度，爭(zhēng)取在網(wǎng)絡(luò)接入和數(shù)據(jù)傳輸過(guò)程中提高安全性能。

2.2 客戶服務(wù)平臺(tái)建設(shè)

客戶服務(wù)平臺(tái)，是指移動(dòng)核心網(wǎng)下專門為客戶提供服務(wù)或者指導(dǎo)的虛擬平臺(tái)。該平臺(tái)的建設(shè)必須考慮如下方面：①努力使移動(dòng)核心網(wǎng)與IMS融合，參照IMS的綜合功能，科學(xué)地對(duì)平臺(tái)功能和效果進(jìn)行完善，實(shí)現(xiàn)網(wǎng)絡(luò)多媒體服務(wù)。②為客戶預(yù)留自主管理平臺(tái)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，客戶期望在成為受眾的時(shí)候，有同時(shí)能夠成為信息的者或傳播者，為滿足客戶的此等愿望，同實(shí)現(xiàn)個(gè)性化的移動(dòng)核心網(wǎng)絡(luò)建設(shè)，因此必須為客戶預(yù)留一定的自主管理空間，構(gòu)建類似于QQ空間、博客等一類的終端平臺(tái)。③創(chuàng)建大范圍的資源共享平臺(tái)。當(dāng)代網(wǎng)絡(luò)的特點(diǎn)之一便是資源的共享，因此需要加大技術(shù)和資金投入力度，拓展核心網(wǎng)的存儲(chǔ)、轉(zhuǎn)換等功能，構(gòu)建一個(gè)核心資源庫(kù)存中心，并建立相關(guān)的檢索功能，確保資源的有效放送，此外還可以建立以客戶端為資源站點(diǎn)的輻射式資源庫(kù)，確保資源共享的靈活性和可變性。

2.3 動(dòng)態(tài)監(jiān)管體系建設(shè)

一方面，應(yīng)當(dāng)樹立起對(duì)移動(dòng)通信相關(guān)的責(zé)任心，努力思考如何加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，除了上述提及的實(shí)名制問(wèn)題之外，還可以與國(guó)家相關(guān)部門取得聯(lián)系，例如公安機(jī)關(guān)，實(shí)現(xiàn)公安部分與企業(yè)聯(lián)防監(jiān)管，深入、及時(shí)地打擊網(wǎng)絡(luò)不良行為。另一方面，需要加強(qiáng)網(wǎng)絡(luò)運(yùn)行監(jiān)督管理體系建設(shè)，通過(guò)管理數(shù)據(jù)反饋、客戶、信息量的自動(dòng)量化統(tǒng)計(jì)分析等，科學(xué)計(jì)算出網(wǎng)絡(luò)當(dāng)前的負(fù)載數(shù)，并能夠根據(jù)數(shù)據(jù)進(jìn)行預(yù)測(cè)，自動(dòng)采取相應(yīng)的風(fēng)險(xiǎn)或故障規(guī)避措施。

3 保障機(jī)制的構(gòu)建

3.1 人才及技術(shù)保障

人才和技術(shù)的保障是各種生產(chǎn)發(fā)展的一項(xiàng)重要保障，IMS技術(shù)的發(fā)展，同樣也離不開人才和技術(shù)的保障，因此，培養(yǎng)和鍛煉IMS技術(shù)人才是發(fā)展IMS技術(shù)的當(dāng)務(wù)之急，有關(guān)的各界人士必須加以關(guān)注與重視。國(guó)家應(yīng)該加大對(duì)移動(dòng)網(wǎng)絡(luò)技術(shù)的投資力度，重視高校的信息技術(shù)專業(yè)以及職業(yè)技術(shù)學(xué)校對(duì)IMS技術(shù)人才的培養(yǎng)；有關(guān)院校可以采用校企合作的教學(xué)培養(yǎng)模式，為學(xué)生提供更多的技術(shù)實(shí)踐機(jī)會(huì)，讓他們?cè)趯?shí)踐中鍛煉和成長(zhǎng)。只有培養(yǎng)出一代又一代的新型技術(shù)人才，IMS才能得到快速有效的發(fā)展和進(jìn)步。

3.2 資源保障

資源保障也是IMS技術(shù)發(fā)展和進(jìn)步的過(guò)程中不可或缺的一項(xiàng)重要保障，如果沒(méi)有資源的投入，IMS技術(shù)的研究和開發(fā)就無(wú)法進(jìn)行，把IMS作為移動(dòng)的核心網(wǎng)也就無(wú)從談起。所以，要對(duì)IMS的研究和實(shí)驗(yàn)投入更多的相關(guān)資源。在前面所提到的校企合作就是擴(kuò)大資源的一種可行方式，在學(xué)校資金和資源相對(duì)欠缺的情況下，與各大企業(yè)進(jìn)行通力合作，就能給IMS技術(shù)的開發(fā)和研究提供更多更先進(jìn)的信息和資源，然后在學(xué)校的教育和培養(yǎng)之下，就會(huì)有更多的技術(shù)型人才誕生，在無(wú)形當(dāng)中對(duì)IMS的發(fā)展和進(jìn)步起到了推動(dòng)作用。

4 總結(jié)

以IMS為基準(zhǔn)的移動(dòng)核心網(wǎng)仍舊有較大的發(fā)展空間，當(dāng)代通信行業(yè)人員應(yīng)當(dāng)站在科學(xué)、求實(shí)的立場(chǎng)，以服務(wù)社會(huì)為宗旨，努力以技術(shù)為依托，尋求內(nèi)部突破。IMS的融入，使傳統(tǒng)的移動(dòng)通信網(wǎng)絡(luò)運(yùn)營(yíng)獲得了較大的改觀，但是隨之而來(lái)的問(wèn)題也同樣亟需人們考量，重點(diǎn)主要在于安全保障相關(guān)以及核心服務(wù)體系的構(gòu)建。整體看來(lái)，我國(guó)移動(dòng)通信行業(yè)的發(fā)展仍舊相當(dāng)樂(lè)觀。

參考文獻(xiàn)

[1]彭明亮.關(guān)于移動(dòng)核心網(wǎng)的發(fā)展與演進(jìn)的探討研究[J].信息與電腦（理論版），2011（10）.

[2]李冶文，李威.移動(dòng)核心網(wǎng)引入IMS后的維護(hù)管理探討[J].電信技術(shù)，2009（08）.

[3]魏武，IMS業(yè)務(wù)平臺(tái)規(guī)劃策略研究[D].北京郵電大學(xué)，2012.

篇7

關(guān)鍵詞 二次系統(tǒng)；網(wǎng)絡(luò)；安全防護(hù)；預(yù)案

中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2010）33-0228-02

Region Scheduling Data Network Security Assessment and Emergency System

CAO Jianfeng

AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.

KeyWordSecondary system；networking；security

0 引言

電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力系統(tǒng)生產(chǎn)、經(jīng)營(yíng)和服務(wù)相關(guān)，而且與電網(wǎng)調(diào)度、與控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。電力生產(chǎn)直接關(guān)系到國(guó)計(jì)民生，其安全問(wèn)題一直是國(guó)家有關(guān)部門關(guān)注的重點(diǎn)之一。

隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來(lái)越多。電力系統(tǒng)一次設(shè)備的改善，其可控性已滿足閉環(huán)的要求。隨著變電集控所模式的建立、變電站減人增效，大量采用遠(yuǎn)方控制，這對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面，Internet技術(shù)和因特網(wǎng)已得到廣泛使用，使得病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計(jì)、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題重視不夠，構(gòu)成了對(duì)電網(wǎng)安全運(yùn)行的嚴(yán)重隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用“搭接”的手段對(duì)傳輸?shù)碾娏刂菩畔⑦M(jìn)行“竊聽”和“篡改”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的威脅。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問(wèn)題。

1福州地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全評(píng)估概述

1.1 概況

福州地調(diào)二次系統(tǒng)安全評(píng)估包括：二次系統(tǒng)資產(chǎn)評(píng)估、網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評(píng)估、節(jié)點(diǎn)間通信關(guān)系分析、二次系統(tǒng)威脅評(píng)估、現(xiàn)有防護(hù)措施評(píng)估、主機(jī)安全性評(píng)估、網(wǎng)絡(luò)系統(tǒng)評(píng)估、安全管理評(píng)估、業(yè)務(wù)系統(tǒng)安全評(píng)估、二次系統(tǒng)風(fēng)險(xiǎn)計(jì)算和分析、安全建議等評(píng)估內(nèi)容，評(píng)估之后針對(duì)系統(tǒng)的薄弱點(diǎn)進(jìn)行安全加固，并制定《福州局電力調(diào)度自動(dòng)化系統(tǒng)應(yīng)急預(yù)案體系》，提高調(diào)度自動(dòng)化系統(tǒng)運(yùn)行的可靠性，安全性，有效預(yù)防和正確、快速處置電力調(diào)度自動(dòng)化系統(tǒng)癱瘓事件，不斷提高福州電網(wǎng)預(yù)防和控制調(diào)度自動(dòng)化事件的能力，最大限度地減少其影響和損失，保障電網(wǎng)的安全運(yùn)行。安全評(píng)估的實(shí)施基本流程如圖1所示。

1.2 網(wǎng)絡(luò)安全評(píng)估的過(guò)程

1.2.1資產(chǎn)調(diào)查

資產(chǎn)調(diào)查作為信息收集的一個(gè)關(guān)鍵步驟，是開始安全評(píng)估工作的第一步，也是安全加固工作的基礎(chǔ)，其主要目的是準(zhǔn)確全面的獲得被評(píng)估系統(tǒng)的信息資產(chǎn)清單。

因此，在進(jìn)行評(píng)估項(xiàng)目實(shí)施時(shí)，我們很重視資產(chǎn)調(diào)查的過(guò)程和方法，以期收集到準(zhǔn)確、全面的信息資產(chǎn)清單。對(duì)于每一個(gè)資產(chǎn)來(lái)說(shuō)，都需要比較準(zhǔn)確的收集各項(xiàng)屬性，因此我們計(jì)劃整個(gè)資產(chǎn)調(diào)查過(guò)程如下，以確保我們的資產(chǎn)調(diào)查目標(biāo)的實(shí)現(xiàn)。

1.2.2采用了正向測(cè)試與逆向滲透相結(jié)合的漏洞深度檢測(cè)方法

在本項(xiàng)目中，安全掃描主要是通過(guò)評(píng)估工具以本地掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)角度來(lái)查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶賬號(hào)/口令等安全對(duì)象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。應(yīng)用正向測(cè)試與逆向滲透相結(jié)合的漏洞深度檢測(cè)方法，對(duì)電力二次系統(tǒng)主機(jī)信息安全進(jìn)行分析。

1.2.3采用了遠(yuǎn)程漏洞掃描與本地主機(jī)自動(dòng)化腳本檢測(cè)相結(jié)合的脆弱性獲取方法

滲透測(cè)試主要依據(jù)安全專家已經(jīng)掌握的安全漏洞，模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。所有的測(cè)試將在授權(quán)和監(jiān)督下進(jìn)行。滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)機(jī)能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。

1.2.險(xiǎn)計(jì)算和分析

信息安全風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)計(jì)算部分主要以業(yè)務(wù)系統(tǒng)作為風(fēng)險(xiǎn)計(jì)算和分析的對(duì)象，以福州電業(yè)局本部為例，本次對(duì)福州電業(yè)局SCADA系統(tǒng)、電能量采集系統(tǒng)、OMS系統(tǒng)和DMIS網(wǎng)站共4個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了評(píng)估和測(cè)試，各個(gè)業(yè)務(wù)系統(tǒng)的信息資產(chǎn)價(jià)值、威脅發(fā)生可能性和脆弱性嚴(yán)重程度的進(jìn)行賦值，并通過(guò)風(fēng)險(xiǎn)計(jì)算，得出風(fēng)險(xiǎn)計(jì)算結(jié)果，確定各個(gè)系統(tǒng)的危險(xiǎn)程度，找到業(yè)務(wù)系統(tǒng)的安全薄弱點(diǎn)。

1.2.5安全建議

根據(jù)計(jì)算出來(lái)的安全結(jié)果，通過(guò)管理和技術(shù)等兩方面來(lái)加強(qiáng)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全性，對(duì)訪問(wèn)重要設(shè)備的用戶應(yīng)遵循一定規(guī)章制度，對(duì)網(wǎng)絡(luò)配置的更改、權(quán)限的分配要及時(shí)進(jìn)行記錄備份歸檔。

對(duì)重要業(yè)務(wù)系統(tǒng)和服務(wù)器進(jìn)行定期的漏洞病毒掃描，對(duì)掃描結(jié)果進(jìn)行分析記錄并歸檔。對(duì)新系統(tǒng)上線前應(yīng)進(jìn)行掃描和加固，對(duì)掃描的日志及時(shí)進(jìn)行安全審計(jì)并歸檔。

對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)運(yùn)行日志、業(yè)務(wù)系統(tǒng)運(yùn)行日志進(jìn)行定期的安全審計(jì)并提交安全審計(jì)記錄和報(bào)告，對(duì)報(bào)告中的非法行為應(yīng)及時(shí)報(bào)告并處理。

對(duì)于網(wǎng)絡(luò)設(shè)備和安全設(shè)備的配置日志應(yīng)另存儲(chǔ)在日志服務(wù)器中，而非存儲(chǔ)在本地路由器或是交換機(jī)上，并定期的進(jìn)行備份歸檔。對(duì)于日志的種類應(yīng)當(dāng)包括所有用戶對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的查看、更改等。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

2地區(qū)電網(wǎng)自動(dòng)化系統(tǒng)整體應(yīng)急預(yù)案體系建設(shè)

2.1應(yīng)急預(yù)案體系的出現(xiàn)

現(xiàn)階段地區(qū)調(diào)度自動(dòng)化各系統(tǒng)聯(lián)系緊密，單個(gè)系統(tǒng)的故障將連鎖影響多個(gè)其他系統(tǒng)運(yùn)行，電力調(diào)度數(shù)據(jù)網(wǎng)建設(shè)向縣調(diào)及110kV變電站延伸，接入系統(tǒng)種類日趨復(fù)雜，二次安全防護(hù)木桶效應(yīng)日趨明顯。由于系統(tǒng)風(fēng)險(xiǎn)主要來(lái)自于病毒及相關(guān)聯(lián)系統(tǒng)的故障，故障類型復(fù)雜并存在觸發(fā)或并況，應(yīng)急預(yù)案的思路逐步擺脫了自動(dòng)化單個(gè)系統(tǒng)預(yù)案的思路，慢慢向以自動(dòng)化二次整體應(yīng)急預(yù)案體系進(jìn)行轉(zhuǎn)變。該思路面對(duì)系統(tǒng)出現(xiàn)嚴(yán)重故障時(shí)，整體地考慮恢復(fù)手段及措施，隔離故障區(qū)域，屏蔽受影響系統(tǒng)的部分功能，將日常人工或自動(dòng)備份的硬件及軟件快速導(dǎo)入故障設(shè)備，恢復(fù)系統(tǒng)。在日常備份及演練過(guò)程中，綜合考慮各系統(tǒng)間的互補(bǔ)能力和約束條件，并切合地調(diào)實(shí)際，高效率低成本地實(shí)現(xiàn)該預(yù)案體系。該體系重視系統(tǒng)整體恢復(fù)的效率和日常投入成本的二維標(biāo)準(zhǔn)，兼收并蓄各種技術(shù)手段和管理手段的優(yōu)勢(shì)。

2.2 應(yīng)急預(yù)案體系的特點(diǎn)

該預(yù)案體系適應(yīng)自動(dòng)化系統(tǒng)日益聯(lián)系緊密的特點(diǎn)，擺脫之前針對(duì)某一系統(tǒng)制定預(yù)案的思路，采用“整體考慮，互為備用,分散管理,集中恢復(fù)”總體思路，避免出現(xiàn)系統(tǒng)孤島，綜合考慮，兼顧各個(gè)系統(tǒng)及全面事故預(yù)想，具有兼容性強(qiáng)，各子系統(tǒng)預(yù)案操作性強(qiáng)，入門要求低，恢復(fù)手段有效快速，投資成本低，日常維護(hù)工作量少，實(shí)用化推廣價(jià)值高的特點(diǎn)。

預(yù)案體系總體框架圖各子預(yù)案關(guān)聯(lián)關(guān)系圖

2.3 預(yù)案體系各個(gè)子預(yù)案之間的關(guān)系

2.3.1共存關(guān)系

各預(yù)案體系間存在互相引用，互為補(bǔ)充關(guān)系。簡(jiǎn)化了對(duì)預(yù)案編寫的復(fù)雜程度，將復(fù)雜的系統(tǒng)問(wèn)題轉(zhuǎn)化成為多個(gè)專項(xiàng)問(wèn)題來(lái)解決。

集控系統(tǒng)資源成為EMS預(yù)案中的備用設(shè)備，將整體自動(dòng)化系統(tǒng)一體化考慮，互為備用，充分利用資源，降低預(yù)案成本。

2.3.2互斥關(guān)系

預(yù)案體系中的電源子預(yù)案和其他預(yù)案間存在互斥關(guān)系，當(dāng)涉及到整體電源異常時(shí)，就要考慮犧牲小系統(tǒng)，保全大系統(tǒng)的整體

3 結(jié)論

本項(xiàng)目對(duì)地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全防御體系開展了專題研究與實(shí)踐，研究結(jié)果有效提高了地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)的安全防御能力，對(duì)網(wǎng)省調(diào)度中心乃地市電業(yè)局的二次系統(tǒng)安全建設(shè)都起到了重要的指導(dǎo)意義。項(xiàng)目根據(jù)研究結(jié)果構(gòu)建了調(diào)度自動(dòng)化應(yīng)急預(yù)案體系以及與之相配套開發(fā)的快速備份恢復(fù)系統(tǒng)，投資少，效益高，為電網(wǎng)的安全可靠運(yùn)行提供堅(jiān)強(qiáng)的技術(shù)支撐。該項(xiàng)目的開展促進(jìn)了調(diào)度中心對(duì)現(xiàn)有二次系統(tǒng)安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)有了深入的了解 ，確保調(diào)度中心對(duì)二次系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)采取相應(yīng)的網(wǎng)絡(luò)安全手段和部署選用必要的安全產(chǎn)品 ，對(duì)今后全省乃至全國(guó)地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全建設(shè)具有重要的指導(dǎo)意義。

參考文獻(xiàn)

[1]張王俊，唐躍中，顧立新.上海電網(wǎng)調(diào)度二次系統(tǒng)安全防護(hù)策略分析.電網(wǎng)技術(shù)，2004(18).

[2]王治華.安全運(yùn)營(yíng)中心及其在調(diào)度中心二次系統(tǒng)中的應(yīng)用.電力系統(tǒng)自動(dòng)化，2007(22).

[3]陳文斌.電力二次系統(tǒng)網(wǎng)絡(luò)與信息安全技術(shù)研究.電工技術(shù)，2008(11).

[4]民，辛耀中，向力，盧長(zhǎng)燕，鄒國(guó)輝，彭清卿.調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù).電力系統(tǒng)自動(dòng)化，2001(21).

[5]葛?；?，盧瀟，周振宇.網(wǎng)絡(luò)安全管理平臺(tái)中的數(shù)據(jù)融合技術(shù) .電力系統(tǒng)自動(dòng)化，2004(24).

[6]胡炎，辛耀中.韓英鐸 二次系統(tǒng)安全體系結(jié)構(gòu)化設(shè)計(jì)方法.電工技術(shù)，2003(21).

[7]程碧祥，電力調(diào)度自動(dòng)化系統(tǒng)中物理隔離技術(shù)的研究與應(yīng)用.電工技術(shù)，2008(1).

篇8

關(guān)鍵詞OA系統(tǒng)；J2EE架構(gòu)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）12-0154-01

縣政府OA系統(tǒng)的建設(shè)以實(shí)現(xiàn)縣四套班子、縣直屬各部門、鎮(zhèn)政府、村委會(huì)內(nèi)部辦公穩(wěn)定、兼容、自動(dòng)化為主要目標(biāo)，為其各基層單位實(shí)現(xiàn)信息交互。OA系統(tǒng)主要將信息傳輸、流程互動(dòng)、公文派發(fā)管理以及行政相關(guān)管理等內(nèi)部各種日常辦公事務(wù)實(shí)現(xiàn)電子化管理。

1承載部署

縣政府OA系統(tǒng)的接入范圍包括：縣四套領(lǐng)導(dǎo)班子，縣委辦公室，縣政府辦公室，縣人大常委會(huì)，縣政協(xié)委員會(huì)，縣機(jī)關(guān)單位，區(qū)/縣局，區(qū)/縣總工會(huì)，區(qū)/縣團(tuán)委，區(qū)/縣婦聯(lián)，區(qū)/縣殘聯(lián)，鎮(zhèn)政府，村委會(huì)。

2組網(wǎng)方案

考慮到縣政府OA系統(tǒng)接入信息點(diǎn)較少，為節(jié)省開支，充分利用運(yùn)營(yíng)商的網(wǎng)絡(luò)優(yōu)勢(shì)，各接入點(diǎn)采用VPDN撥號(hào)方式接入系統(tǒng)。網(wǎng)絡(luò)拓?fù)淙鐖D1。

圖1網(wǎng)絡(luò)拓?fù)鋱D

縣政府OA系統(tǒng)將利用汕頭電信寬帶城域網(wǎng)組建，接入方式采用VPDN撥號(hào)接入，從安全性考慮，可將上網(wǎng)賬號(hào)與寬帶接入端口進(jìn)行綁定，確保賬號(hào)不被濫用。

3OA框架

3.1 系統(tǒng)體系架構(gòu)

政府OA系統(tǒng)，基于J2EE分布式結(jié)構(gòu)，開放式接口架構(gòu)。利用XML技術(shù)進(jìn)行數(shù)據(jù)的存儲(chǔ)，B/S訪問(wèn)模式，傳輸和定義簡(jiǎn)易，可適應(yīng)跨平臺(tái)運(yùn)行，具備組件化、模塊化、對(duì)象化的特點(diǎn)，有效地利用和保護(hù)了政府原有投資的軟、硬件及信息資源，并能適應(yīng)新技術(shù)發(fā)展及應(yīng)用，具備功能擴(kuò)展和二次開發(fā)的潛能。該設(shè)計(jì)留有數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的標(biāo)準(zhǔn)接口，便于實(shí)現(xiàn)各相關(guān)政府部門利用現(xiàn)有通訊網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。具有良好的可塑性和高擴(kuò)展性。使用關(guān)系型數(shù)據(jù)庫(kù)（如：MS SQL Server）存儲(chǔ)數(shù)據(jù)，實(shí)現(xiàn)強(qiáng)大的數(shù)據(jù)源互連技術(shù)，實(shí)現(xiàn)同一數(shù)據(jù)源與其他業(yè)務(wù)系統(tǒng)的接入及集成。

3.2 系統(tǒng)應(yīng)用框架

體系架構(gòu)的上層為用戶客戶端軟件，集中了各方面的應(yīng)用層級(jí)，如portel接入、政府門戶公告、市民辦事網(wǎng)上大廳等。接入的信息通過(guò)應(yīng)用系統(tǒng)進(jìn)入業(yè)務(wù)邏輯層，在統(tǒng)一的業(yè)務(wù)標(biāo)準(zhǔn)、數(shù)據(jù)格式及技術(shù)規(guī)范下，客戶可以自定義業(yè)務(wù)邏輯及控制流程。保證數(shù)據(jù)的流轉(zhuǎn)。同時(shí)生成系統(tǒng)的結(jié)果數(shù)據(jù)集下級(jí)流轉(zhuǎn)數(shù)據(jù)。在數(shù)據(jù)核心層，進(jìn)行數(shù)據(jù)的存儲(chǔ)、調(diào)用，包含各種統(tǒng)一接口。形成文檔日記等。

3.3 關(guān)鍵技術(shù)

根據(jù)這樣的架構(gòu)關(guān)系中，上下級(jí)數(shù)據(jù)交互加入了數(shù)據(jù)訪問(wèn)管理，通過(guò)加入中間件，不同數(shù)據(jù)表之間在邏輯上實(shí)現(xiàn)了自己的數(shù)據(jù)自成體系，通過(guò)外殼與上級(jí)數(shù)據(jù)發(fā)生交互，這樣可將接口數(shù)據(jù)統(tǒng)一管理，作為決策數(shù)據(jù)管理。業(yè)務(wù)層數(shù)據(jù)也具有自己的表單。利用MS數(shù)據(jù)庫(kù)設(shè)計(jì)上的便利性。一次性可以完成原始數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的分層體現(xiàn)。可協(xié)助管理層實(shí)現(xiàn)相關(guān)的管理決策職能。后臺(tái)運(yùn)行的數(shù)據(jù)掃描系統(tǒng)則承擔(dān)著對(duì)核心模塊數(shù)據(jù)交換的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）的漏洞監(jiān)測(cè)。確保數(shù)據(jù)的安全性。這種關(guān)系可稱作電子政務(wù)的因子模塊。在現(xiàn)有組織架構(gòu)上，因子模塊課靈活構(gòu)建各部門之間的日常公務(wù)派轉(zhuǎn)、資源綜合利用、管理規(guī)范操作及業(yè)務(wù)靈活定制。

3.4 網(wǎng)絡(luò)安全設(shè)計(jì)

依據(jù)電子政務(wù)OA建設(shè)的相關(guān)精神，電子政務(wù)網(wǎng)定位在非級(jí)別，需要通過(guò)在網(wǎng)絡(luò)互連結(jié)構(gòu)設(shè)計(jì)、信息技術(shù)加密、信息安全、可容災(zāi)備份等方面采取技術(shù)措施，使之承載的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、應(yīng)用支撐平臺(tái)和應(yīng)用系統(tǒng)達(dá)到國(guó)標(biāo)要求。針對(duì)不同的安全層面，利用電信運(yùn)營(yíng)商部署多重安全策略和安全設(shè)施：

1）在互聯(lián)網(wǎng)區(qū)，采用數(shù)據(jù)保密、內(nèi)、外網(wǎng)邊界的安全防護(hù)措施，據(jù)內(nèi)、外網(wǎng)不同邊界的不同屬性分別進(jìn)行了防護(hù)，采用了防火墻、VPN網(wǎng)關(guān)、入侵防護(hù)系統(tǒng)、防病毒網(wǎng)關(guān)、異常流量管理等設(shè)備實(shí)現(xiàn)。網(wǎng)絡(luò)安全上完成安全域的劃分與隔離、部署邏輯隔離設(shè)備、檢測(cè)入侵行為、抵抗各類攻擊。

2）在應(yīng)用安全方面，采用了雙因素身份認(rèn)證、安全評(píng)估、網(wǎng)絡(luò)安全審計(jì)、Web頁(yè)面防護(hù)、數(shù)據(jù)統(tǒng)一備份等措施。

3）在運(yùn)行維護(hù)安全管理規(guī)范方面，采用互聯(lián)網(wǎng)數(shù)據(jù)中心運(yùn)維管理規(guī)范。

3.5 該設(shè)計(jì)特色

系統(tǒng)通過(guò)瀏覽器登錄，通用易懂，具備以下特點(diǎn)。

1）周全的提醒功能，提供新到待辦事宜、催辦事宜、即將超時(shí)事宜、已超時(shí)事宜、會(huì)議通知和新到郵件的自動(dòng)提醒功能，將公文、郵件的信息發(fā)送到手機(jī)、小靈通中進(jìn)行提醒。

2）強(qiáng)大的全文本搜索引擎，實(shí)現(xiàn)對(duì)過(guò)往公文情況根據(jù)部門、時(shí)期、項(xiàng)目進(jìn)行查詢，使用統(tǒng)一歸檔界面進(jìn)行數(shù)據(jù)存儲(chǔ)，提高查詢速度。

3）具有系統(tǒng)操作日志記錄功能，對(duì)后臺(tái)系統(tǒng)管理、流程異常處理及正常狀態(tài)公文流轉(zhuǎn)處理等系統(tǒng)安全或權(quán)限變動(dòng)的功能模塊實(shí)現(xiàn)軌跡操作備案，系統(tǒng)管理員可輕松實(shí)現(xiàn)系統(tǒng)安全管理或系統(tǒng)故障維護(hù)。

4結(jié)束語(yǔ)

在系統(tǒng)功能模塊方面，系統(tǒng)功能以即插即用的組件為應(yīng)用形式，主要分為公文管理、業(yè)務(wù)管理、人力管理、后勤管理、采購(gòu)管理、應(yīng)用管理、個(gè)人事務(wù)及檔案管理等幾部分，可涵蓋政府日常辦公事務(wù)處理的各部事宜。

參考文獻(xiàn)

[1]李正濤.OA系統(tǒng)發(fā)展歷程與趨勢(shì)[J].辦公自動(dòng)化，2008（08）.

篇9

突發(fā)公共事件按影響范圍可分為國(guó)家級(jí)、地區(qū)級(jí)、行業(yè)級(jí)和社區(qū)級(jí)。突發(fā)公共事件具有不確定性、突發(fā)性和破壞性等基本特征。隨著信息化、工業(yè)化進(jìn)程的不斷推進(jìn)和城市的數(shù)量及規(guī)模的迅速擴(kuò)大，突發(fā)公共事件又表現(xiàn)出連動(dòng)性、并發(fā)性和綜合性等特點(diǎn)，從而顯著地放大了破壞力，增加了應(yīng)對(duì)的難度。建立健全突發(fā)公共事件的應(yīng)急體系已成為一個(gè)世界性的課題，受到了各國(guó)政府的高度重視。網(wǎng)絡(luò)和信息安全的策略制定經(jīng)歷了由“靜”到“動(dòng)”的轉(zhuǎn)變，安全應(yīng)急響應(yīng)機(jī)制正是信息安全保護(hù)向動(dòng)態(tài)轉(zhuǎn)換的標(biāo)志。直接推動(dòng)此機(jī)制建立的是20世紀(jì)80年代末期發(fā)生在西方的兩起重大信息安全事件。其一是“莫里斯蠕蟲”入侵互聯(lián)網(wǎng)。在短短12小時(shí)內(nèi)，6200臺(tái)工作站和小型機(jī)陷入癱瘓或半癱瘓狀態(tài)，不計(jì)其數(shù)的數(shù)據(jù)和資料毀于一夜之間，造成一場(chǎng)損失近億美元的大劫難。其二是美國(guó)和西德聯(lián)手破獲了前蘇聯(lián)收買西德大學(xué)生黑客，滲入歐美十余個(gè)國(guó)家的計(jì)算機(jī)，獲取了大量敏感信息的計(jì)算機(jī)間諜案。因此，建立一種全新的安全防護(hù)及管理機(jī)制以應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全狀況成為共識(shí)。于是，1989年，世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組——美國(guó)計(jì)算機(jī)緊急事件響應(yīng)小組及其協(xié)調(diào)中心（簡(jiǎn)稱CERT/CC）建立，由美國(guó)國(guó)防部資助，信息安全進(jìn)入了以動(dòng)態(tài)防護(hù)機(jī)制為主的時(shí)代。在互聯(lián)網(wǎng)不斷發(fā)展、虛擬社會(huì)逐漸成型的當(dāng)下，政府進(jìn)行治理模式的轉(zhuǎn)型迫在眉睫，對(duì)國(guó)家網(wǎng)絡(luò)安全應(yīng)急體系的建設(shè)與完善提出了更高更新的要求。

二、中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系存在的問(wèn)題

(一)整體網(wǎng)絡(luò)安全應(yīng)急響應(yīng)組織和應(yīng)急體系不完備

中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系主要分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、公共基礎(chǔ)設(shè)施信息系統(tǒng)、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急幾個(gè)部分，其應(yīng)急管理部門是由國(guó)務(wù)院應(yīng)急管理辦公室、國(guó)家互聯(lián)網(wǎng)信息管理辦公室、工業(yè)和信息化部、公安部、國(guó)家保密局（機(jī)要局）、國(guó)家安全部、總參三部等部門共同組成，其應(yīng)急響應(yīng)分別由這些不同部門來(lái)指導(dǎo)、協(xié)調(diào)和督促管理，其中，國(guó)務(wù)院應(yīng)急辦只是在形式上對(duì)其他部門進(jìn)行應(yīng)急協(xié)調(diào)，沒(méi)有統(tǒng)一的頂層領(lǐng)導(dǎo)體系，形成職責(zé)不清和應(yīng)急響應(yīng)不及時(shí)的格局，對(duì)于同時(shí)涉及跨網(wǎng)絡(luò)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、公共基礎(chǔ)設(shè)施信息系統(tǒng)、網(wǎng)絡(luò)內(nèi)容管理等方面的應(yīng)急響應(yīng)難以形成統(tǒng)一應(yīng)對(duì)措施。地方網(wǎng)絡(luò)安全應(yīng)急部門機(jī)構(gòu)的設(shè)置更是五花八門，有的地方設(shè)有專門的應(yīng)急辦，有的地方設(shè)在經(jīng)信局、科技局、政府辦、信息中心、公安局、安全廳等不同部門，沒(méi)有統(tǒng)一的管理機(jī)構(gòu)，從上到下的整體應(yīng)急響應(yīng)效率較差。

（二）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)研判能力不足

當(dāng)前，網(wǎng)絡(luò)信息安全態(tài)勢(shì)處于一個(gè)新的形勢(shì)之下，從信息技術(shù)發(fā)展的角度來(lái)說(shuō)，隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的大規(guī)模應(yīng)用，業(yè)務(wù)與信息技術(shù)的融合程度不斷提高，網(wǎng)絡(luò)和信息安全的風(fēng)險(xiǎn)點(diǎn)不斷增加；從信息安全威脅的角度來(lái)說(shuō)，隨著高級(jí)持續(xù)性威脅的案例層出不窮，攻擊者已經(jīng)從攻擊信息系統(tǒng)本身，轉(zhuǎn)向攻擊其背后的業(yè)務(wù)目標(biāo)和政治目標(biāo)。網(wǎng)絡(luò)安全應(yīng)急作為網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)應(yīng)對(duì)的重要過(guò)程和方法，不同于其他常規(guī)行業(yè)應(yīng)急，我們當(dāng)前還是局限于傳統(tǒng)的應(yīng)急角度，沒(méi)有將防御和應(yīng)急救助結(jié)合起來(lái)，對(duì)中國(guó)各類信息系統(tǒng)的運(yùn)行狀態(tài)、網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)攻擊目的等方面的形勢(shì)研判能力不足。對(duì)中國(guó)目前面臨的網(wǎng)絡(luò)和信息安全威脅缺少精準(zhǔn)案例和證據(jù)，首先是數(shù)量不清，很多部門對(duì)有沒(méi)有受到攻擊不清楚，國(guó)家多大范圍的網(wǎng)絡(luò)和信息產(chǎn)業(yè)受到威脅不清楚；其次是問(wèn)題不清楚，到底入侵滲透到什么程度不清楚，對(duì)于真正的攻擊源頭不清楚。

（三）重大網(wǎng)絡(luò)安全應(yīng)急預(yù)案不完備

在網(wǎng)絡(luò)安全應(yīng)急預(yù)案制定方面，國(guó)務(wù)院應(yīng)急管理辦公室已經(jīng)制定涉及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的國(guó)家通信保障應(yīng)急預(yù)案，國(guó)家互聯(lián)網(wǎng)信息管理辦公室對(duì)于網(wǎng)絡(luò)輿情的應(yīng)急也有一定的預(yù)案，有些部門和地方也都不同程度制定了一些網(wǎng)絡(luò)安全應(yīng)急預(yù)案。不過(guò)，各地、各部門的工作不平衡，預(yù)案操作性較差，存在一些缺陷。對(duì)于涉及到國(guó)家安全、民生和經(jīng)濟(jì)等重大基礎(chǔ)設(shè)施信息系統(tǒng)的安全應(yīng)急沒(méi)有整體完備的預(yù)案。

（四）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)措施缺乏

中國(guó)的網(wǎng)絡(luò)安全技術(shù)裝備市場(chǎng)大部分被國(guó)外公司占據(jù)，從網(wǎng)絡(luò)設(shè)備到網(wǎng)絡(luò)之上的軟硬件設(shè)備，大多采用國(guó)外裝備和技術(shù)，一旦發(fā)生涉及國(guó)家利益的突發(fā)事件，在國(guó)外技術(shù)裝備被攻擊的情況下，我們很難找到可替代的應(yīng)急設(shè)備。例如，2014年4月8日微軟停止了對(duì)WindowsXP的服務(wù)，據(jù)不完全統(tǒng)計(jì)，中國(guó)當(dāng)前使用WindowsXP的用戶占到70%－80%份額，這些用戶有半數(shù)沒(méi)有升級(jí)到更高操作系統(tǒng)的打算，針對(duì)這種情況，我們到目前還沒(méi)有具體的應(yīng)急措施。如果一旦出現(xiàn)更嚴(yán)重的國(guó)際爭(zhēng)端甚至發(fā)生戰(zhàn)爭(zhēng)，我們受制于人的這些網(wǎng)絡(luò)技術(shù)裝備難以采取必要的應(yīng)急措施。

（五）核心信息技術(shù)裝備的自主化水平較低

網(wǎng)絡(luò)信息安全與核心信息技術(shù)裝備的自主化息息相關(guān)，核心信息技術(shù)裝備的自主化是網(wǎng)絡(luò)安全應(yīng)急體系的戰(zhàn)略性產(chǎn)業(yè)基礎(chǔ)。目前，雖然中國(guó)的信息技術(shù)產(chǎn)業(yè)規(guī)模不斷擴(kuò)大，產(chǎn)業(yè)體系逐漸完善，但是整體來(lái)看，國(guó)產(chǎn)核心信息技術(shù)裝備的市場(chǎng)占有率不高，與國(guó)外的技術(shù)差距也比較大。在市場(chǎng)占有率方面，國(guó)內(nèi)浪潮、曙光、華為和聯(lián)想等高性能服務(wù)器企業(yè)的整體市場(chǎng)占有率不足三分之一；雖有服務(wù)器和客戶端相關(guān)的研發(fā)產(chǎn)品，但并未走向市場(chǎng)化。國(guó)內(nèi)計(jì)算機(jī)、通信和消費(fèi)電子等主要應(yīng)用領(lǐng)域的芯片企業(yè)的市場(chǎng)占有率低。在技術(shù)差距方面，中國(guó)高性能計(jì)算機(jī)的關(guān)鍵元器件特別是中央處理器芯片目前仍依賴國(guó)外廠商，數(shù)據(jù)庫(kù)的發(fā)展水平和成熟度與國(guó)際標(biāo)準(zhǔn)也存在較大差距。由于市場(chǎng)占有率、技術(shù)差距等因素，直接導(dǎo)致了中國(guó)自主可控的安全技術(shù)裝備不足，存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)和情報(bào)監(jiān)控風(fēng)險(xiǎn)。目前，國(guó)外企業(yè)已廣泛參與了中國(guó)所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)，涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等重要行業(yè)，長(zhǎng)此以往，中國(guó)的社會(huì)、經(jīng)濟(jì)、軍事等方面將存在嚴(yán)重的戰(zhàn)略風(fēng)險(xiǎn)。有數(shù)據(jù)顯示，中國(guó)主要金融機(jī)構(gòu)的信息化設(shè)備國(guó)產(chǎn)化率不足2%，面向復(fù)雜業(yè)務(wù)處理的中高端服務(wù)器幾乎全部采用了國(guó)外產(chǎn)品。如大中型主機(jī)、高端服務(wù)器產(chǎn)品基本上以IBM、HP、SUN為主，而這樣的選擇也直接導(dǎo)致了處理器、部件甚至操作系統(tǒng)和應(yīng)用軟件相互之間并不兼容，用戶一旦采用某廠家的小型機(jī)后，就很難擺脫高額投資與服務(wù)追加的惡性循環(huán)，更為嚴(yán)重的是它直接導(dǎo)致了被境外控制的威脅，對(duì)設(shè)備帶有的“漏洞”和“后門”抵抗力、免疫力減弱。不能預(yù)先檢測(cè)到間諜軟件和隱蔽通道，就無(wú)法有效遏制數(shù)據(jù)竊取。據(jù)統(tǒng)計(jì)，2013年前8個(gè)月，境外有2.2萬(wàn)個(gè)IP地址通過(guò)植入后門對(duì)中國(guó)境內(nèi)4.6萬(wàn)個(gè)網(wǎng)絡(luò)實(shí)施控制。中國(guó)關(guān)鍵信息系統(tǒng)對(duì)國(guó)外主機(jī)的長(zhǎng)期依賴，使得信息安全不可控的問(wèn)題日益突出。WindowsXP停止服務(wù)的事件也是沖擊國(guó)內(nèi)2億用戶的重要信息安全事件。對(duì)國(guó)外信息產(chǎn)品的嚴(yán)重依賴導(dǎo)致中國(guó)信息化建設(shè)的安全底數(shù)不清，國(guó)外壟斷信息產(chǎn)品對(duì)中國(guó)而言是一個(gè)“黑盒子”，無(wú)法準(zhǔn)確判斷其安全隱患的嚴(yán)重程度。

三、加強(qiáng)中國(guó)網(wǎng)絡(luò)安全應(yīng)急體系建設(shè)的建議

（一）建設(shè)完備網(wǎng)絡(luò)安全應(yīng)急體系

網(wǎng)絡(luò)安全應(yīng)急體系關(guān)系國(guó)計(jì)民生，這個(gè)系統(tǒng)性的體系是否完備、運(yùn)轉(zhuǎn)是否得當(dāng)，會(huì)對(duì)網(wǎng)絡(luò)安全應(yīng)急工作產(chǎn)生重大直接影響。因而，理順網(wǎng)絡(luò)安全應(yīng)急機(jī)制、清晰地明確權(quán)責(zé)是統(tǒng)籌完善網(wǎng)絡(luò)安全應(yīng)急體系的首要工作?？梢詮膬蓚€(gè)層面進(jìn)行頂層設(shè)計(jì)：一是成立網(wǎng)絡(luò)安全應(yīng)急中心，由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)。該中心作為中央政府應(yīng)對(duì)特別重大突發(fā)公共事件的應(yīng)急指揮機(jī)構(gòu)，統(tǒng)一指導(dǎo)、協(xié)調(diào)和督促網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施信息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)容管理應(yīng)急等網(wǎng)絡(luò)安全應(yīng)急工作，建立不同網(wǎng)絡(luò)、系統(tǒng)、部門之間應(yīng)急處理的聯(lián)動(dòng)機(jī)制。如果在短時(shí)間內(nèi)難以實(shí)現(xiàn)，可以考慮另行成立相關(guān)的指揮協(xié)調(diào)機(jī)構(gòu)，由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)，也可以在一定程度上發(fā)揮有效的作用。二是把仍然分散在各部門的網(wǎng)絡(luò)安全應(yīng)急管理職能適當(dāng)加以整合。同時(shí)，根據(jù)突發(fā)公共事件分類的特點(diǎn)及管理的重點(diǎn)，從中央到地方統(tǒng)一網(wǎng)絡(luò)安全應(yīng)急管理機(jī)構(gòu)。將不同業(yè)務(wù)部門所涉及到的不同類型的網(wǎng)絡(luò)安全應(yīng)急機(jī)制與系統(tǒng)有機(jī)地統(tǒng)籌、結(jié)合在一個(gè)子體系中，以提升網(wǎng)絡(luò)安全應(yīng)急體系與系統(tǒng)的應(yīng)急指揮、協(xié)同部署的效率與效能。

（二）加快網(wǎng)絡(luò)應(yīng)急法制建設(shè)

當(dāng)前，國(guó)家對(duì)于自然災(zāi)害類、事故災(zāi)難類、公共衛(wèi)生事件類、社會(huì)安全事件類應(yīng)急管理已制訂了相關(guān)的法律法規(guī)和制度條例，來(lái)保障此類事件發(fā)生時(shí)的有效應(yīng)急管理，而對(duì)于網(wǎng)絡(luò)安全應(yīng)急尚缺少相應(yīng)的法律法規(guī)和制度條例。相關(guān)管理部門應(yīng)該盡快出臺(tái)有關(guān)業(yè)務(wù)流程和相關(guān)業(yè)務(wù)標(biāo)準(zhǔn)，進(jìn)一步加強(qiáng)有關(guān)信息安全的標(biāo)準(zhǔn)規(guī)范、管理辦法，并進(jìn)一步細(xì)化相關(guān)配套措施。與此同時(shí)，全國(guó)立法機(jī)關(guān)也應(yīng)該從戰(zhàn)略全局的高度，盡量加快有關(guān)國(guó)家網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全應(yīng)急體系與應(yīng)急機(jī)制的相關(guān)法律法規(guī)的規(guī)劃、制定工作，將網(wǎng)絡(luò)應(yīng)急工作全面納入系統(tǒng)化的法制建設(shè)軌道中來(lái)。

（三）健全應(yīng)急情報(bào)共享機(jī)制

任何應(yīng)急響應(yīng)的效果主要取決于兩個(gè)環(huán)節(jié)。一是未雨綢繆，即在事件發(fā)生前的充分準(zhǔn)備，包括風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)，以安全通告的方式進(jìn)行的預(yù)警及各種防范措施等；二是亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，以期把事件造成的損失降到最低。在這里，措施的執(zhí)行者可能是人，也可能是系統(tǒng)。這些措施包括：系統(tǒng)備份、病毒檢測(cè)、后門檢測(cè)、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。可見,對(duì)相關(guān)信息的及時(shí)掌控是預(yù)警和采取科學(xué)性措施的關(guān)鍵，必須建立應(yīng)急情報(bào)共享機(jī)制。通過(guò)可信的信息共享，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息情報(bào)的及時(shí)、有效溝通，能夠?yàn)榫W(wǎng)絡(luò)安全應(yīng)急提供充足的預(yù)警、決策、反應(yīng)時(shí)間。在條件允許的情況下，可以考慮由中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組直接領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全應(yīng)急中心負(fù)責(zé)協(xié)調(diào)關(guān)鍵基礎(chǔ)設(shè)施擁有者和經(jīng)營(yíng)者，保障在業(yè)務(wù)連續(xù)性、危害管理、信息系統(tǒng)攻擊、網(wǎng)絡(luò)犯罪、保護(hù)關(guān)鍵場(chǎng)所免受破壞等方面的信息共享，并與中國(guó)情報(bào)分析相關(guān)部門建立密切聯(lián)系，共享網(wǎng)絡(luò)威脅情報(bào)，提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)研判能力。要充分利用目前相關(guān)政府部門推進(jìn)電子政務(wù)業(yè)務(wù)協(xié)同、信息共享這一有利契機(jī)，在做好頂層設(shè)計(jì)的前提下，積極推進(jìn)社會(huì)各方在網(wǎng)絡(luò)安全方面的共建、共享。建立有效的應(yīng)急管理機(jī)構(gòu)，保證政令暢通。建立完善的預(yù)警檢測(cè)、通報(bào)機(jī)制，分析安全信息，警報(bào)信息和制訂預(yù)警預(yù)案，做到有備無(wú)患。

（四）強(qiáng)化網(wǎng)絡(luò)安全應(yīng)急演練

應(yīng)急預(yù)案最早始于軍隊(duì)，是將平時(shí)制定和執(zhí)行決策的科學(xué)性、嚴(yán)謹(jǐn)性與戰(zhàn)時(shí)的靈活性結(jié)合起來(lái)的一種有效形式。應(yīng)急預(yù)案基于對(duì)潛在危險(xiǎn)源可能導(dǎo)致的突發(fā)公共事件的預(yù)測(cè)，將應(yīng)對(duì)的全過(guò)程進(jìn)行全方位的合理規(guī)劃，落實(shí)應(yīng)對(duì)過(guò)程中預(yù)測(cè)、預(yù)警、報(bào)警、接警、處置、結(jié)束、善后和災(zāi)后重建等相關(guān)環(huán)節(jié)的責(zé)任部門和具體職責(zé)，是實(shí)現(xiàn)“反應(yīng)及時(shí)、措施果斷”的有效途徑。由于應(yīng)急預(yù)案是在平時(shí)研制的，時(shí)間上比較從容，因此可以采用科學(xué)的方法，并在較大的范圍內(nèi)征求意見、深入論證，從而提高其科學(xué)性、可行性、有效性。通過(guò)應(yīng)急預(yù)案的研制，可以增強(qiáng)政府及有關(guān)部門的風(fēng)險(xiǎn)意識(shí)，加強(qiáng)對(duì)危險(xiǎn)源的分析，研究和制定有針對(duì)性的防范措施；也有利于對(duì)應(yīng)急資源的需求和現(xiàn)狀進(jìn)行系統(tǒng)評(píng)估與論證，提高應(yīng)急資源的使用效率?；诰W(wǎng)絡(luò)安全的應(yīng)急演練工作需要各有關(guān)單位根據(jù)各自的網(wǎng)絡(luò)安全應(yīng)急預(yù)案定期組織應(yīng)急演練，網(wǎng)絡(luò)安全應(yīng)急中心應(yīng)根據(jù)重大網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期組織網(wǎng)絡(luò)基礎(chǔ)營(yíng)運(yùn)部門、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）和相關(guān)網(wǎng)絡(luò)應(yīng)急部門開展網(wǎng)絡(luò)安全事件演練，以網(wǎng)絡(luò)安全保障為場(chǎng)景，采用實(shí)戰(zhàn)方式，通過(guò)演練有效檢驗(yàn)各單位的網(wǎng)絡(luò)安全應(yīng)急工作水平，及時(shí)發(fā)現(xiàn)和改進(jìn)存在的問(wèn)題和不足，提高網(wǎng)絡(luò)安全保障能力?？梢钥紤]建立由網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)部門、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）、中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）和相關(guān)網(wǎng)絡(luò)應(yīng)急的一級(jí)部門以及涉及安全保密的科研機(jī)構(gòu)、民族企業(yè)共同參與的“網(wǎng)絡(luò)安全應(yīng)急演練”聯(lián)盟，在應(yīng)急演練方面形成國(guó)家級(jí)的權(quán)威標(biāo)準(zhǔn)，定期進(jìn)行不同業(yè)務(wù)部門的網(wǎng)絡(luò)安全應(yīng)急演練與評(píng)測(cè)，以“應(yīng)急演練”的方式促進(jìn)網(wǎng)絡(luò)安全應(yīng)急工作的發(fā)展完善。

（五）加強(qiáng)人才隊(duì)伍的建設(shè)和培訓(xùn)

網(wǎng)絡(luò)屬于高新技術(shù)領(lǐng)域，不斷加強(qiáng)能力建設(shè)是有效提升網(wǎng)絡(luò)安全應(yīng)急管理的關(guān)鍵。要牢固樹立人才是第一資源的觀念，加快網(wǎng)絡(luò)信息安全人才培養(yǎng)和隊(duì)伍建設(shè)的步伐，建立健全合理的選人、用人機(jī)制和高效的人才培訓(xùn)機(jī)制，以及廣泛的人才交流機(jī)制。要發(fā)揮科學(xué)研究部門和高等院校的優(yōu)勢(shì)，積極支持網(wǎng)絡(luò)安全學(xué)科專業(yè)和培訓(xùn)機(jī)構(gòu)建設(shè)，努力培養(yǎng)一支管理能力強(qiáng)、業(yè)務(wù)水平高、技術(shù)素質(zhì)過(guò)硬的復(fù)合型人才隊(duì)伍，為加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急管理提供堅(jiān)實(shí)的人才保障和智力支持。同時(shí)，要密切跟蹤網(wǎng)絡(luò)信息安全領(lǐng)域新技術(shù)、新應(yīng)用的發(fā)展，加強(qiáng)相關(guān)技術(shù)特別是關(guān)鍵核心技術(shù)的攻關(guān)力度，著力開展新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問(wèn)題的研究，推動(dòng)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)的發(fā)展，以有效應(yīng)對(duì)網(wǎng)絡(luò)信息安全面臨的各種挑戰(zhàn)。同時(shí)，應(yīng)不斷提高網(wǎng)絡(luò)安全應(yīng)急人才隊(duì)伍素質(zhì)，定期組織對(duì)網(wǎng)絡(luò)安全應(yīng)急人員的能力培訓(xùn)，強(qiáng)化和補(bǔ)充新的網(wǎng)絡(luò)安全威脅知識(shí)，進(jìn)一步加強(qiáng)對(duì)有關(guān)網(wǎng)絡(luò)安全應(yīng)急一線工作人員、科研人員的有關(guān)政治素養(yǎng)和技術(shù)業(yè)務(wù)培訓(xùn)。網(wǎng)絡(luò)安全應(yīng)急工作與互聯(lián)網(wǎng)技術(shù)密切相關(guān)，新技術(shù)新思想的發(fā)展日新月異，相關(guān)領(lǐng)域一線的工作人員與科研人員只有不斷地學(xué)習(xí)新知識(shí)、探索新問(wèn)題、發(fā)現(xiàn)新矛盾、尋求新方法，才能有力地促進(jìn)網(wǎng)絡(luò)安全應(yīng)急工作的不斷發(fā)展；只有培養(yǎng)和儲(chǔ)備足夠的網(wǎng)絡(luò)安全應(yīng)急專業(yè)人才，我們的網(wǎng)絡(luò)安全最后一道屏障才能得到保障。

（六）加速基礎(chǔ)技術(shù)與相關(guān)標(biāo)準(zhǔn)的研究

與網(wǎng)絡(luò)安全應(yīng)急相關(guān)的業(yè)務(wù)部門、科研機(jī)構(gòu)、民族企業(yè)等有關(guān)單位應(yīng)進(jìn)一步組織有關(guān)專家和科研力量，開展面向全局、著眼未來(lái)的網(wǎng)絡(luò)安全應(yīng)急運(yùn)作機(jī)制、網(wǎng)絡(luò)安全應(yīng)急處理技術(shù)、網(wǎng)絡(luò)安全預(yù)警和控制等研究，組織參加相關(guān)培訓(xùn)，推廣和普及新的網(wǎng)絡(luò)安全應(yīng)急技術(shù)。在充分研究論證的基礎(chǔ)上，盡快制定具有高度概括性與實(shí)際可操作性，又能在短時(shí)間內(nèi)部署測(cè)試的，能夠與不同地方、不同業(yè)務(wù)部門相適應(yīng)的網(wǎng)絡(luò)安全應(yīng)急相關(guān)標(biāo)準(zhǔn)，建立包括技術(shù)標(biāo)準(zhǔn)、業(yè)務(wù)標(biāo)準(zhǔn)、流程標(biāo)準(zhǔn)、配套設(shè)施標(biāo)準(zhǔn)在內(nèi)的網(wǎng)絡(luò)安全應(yīng)急標(biāo)準(zhǔn)體系。

(七)加快核心信息技術(shù)裝備國(guó)產(chǎn)化逐步替代的步伐

為實(shí)現(xiàn)核心信息技術(shù)裝備國(guó)產(chǎn)化逐步替代的良好局面，需要有短期和長(zhǎng)期目標(biāo)。在短期內(nèi)，確保中國(guó)網(wǎng)絡(luò)空間和數(shù)據(jù)信息運(yùn)行的安全可靠；從長(zhǎng)期看，要確保中國(guó)網(wǎng)絡(luò)和信息的自主可控和網(wǎng)絡(luò)空間的長(zhǎng)治久安。為實(shí)現(xiàn)自主可控的長(zhǎng)期目標(biāo)，在信息技術(shù)產(chǎn)業(yè)自主創(chuàng)新方面肩負(fù)重大責(zé)任，事關(guān)國(guó)家信息安全的大事應(yīng)該由國(guó)家來(lái)推動(dòng)。在過(guò)去的幾年中，政府在推動(dòng)使用國(guó)產(chǎn)信息產(chǎn)品方面的力度很大，希望國(guó)家今后更加注重基礎(chǔ)研究和核心產(chǎn)品的研發(fā)，有效匯聚國(guó)家重要資源，在影響產(chǎn)業(yè)發(fā)展的安全芯片、操作系統(tǒng)、應(yīng)用軟件、安全終端等核心技術(shù)和關(guān)鍵產(chǎn)品上加大科研資源和優(yōu)勢(shì)要素的投入，實(shí)現(xiàn)信息安全中關(guān)鍵技術(shù)和產(chǎn)品的技術(shù)突破。整合國(guó)家科研資源，通過(guò)多部委合作，加強(qiáng)安全芯片、安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)等基礎(chǔ)信息安全技術(shù)的攻關(guān)。促進(jìn)上下游應(yīng)用產(chǎn)品的開發(fā)，完善自主技術(shù)產(chǎn)品應(yīng)用環(huán)境，提高相關(guān)技術(shù)產(chǎn)品的可用性。為實(shí)現(xiàn)安全可靠的短期目標(biāo)，可依托高校、研究機(jī)構(gòu)、民族企業(yè)和特定行業(yè)用戶打造自主創(chuàng)新的大平臺(tái)，加大核心信息技術(shù)的投入，在嚴(yán)格管理的同時(shí)相互搭橋，推動(dòng)研究成果的轉(zhuǎn)化速度。當(dāng)今世界大項(xiàng)目的運(yùn)作多采用“團(tuán)隊(duì)制”，信息安全技術(shù)攻關(guān)和成果向產(chǎn)品的轉(zhuǎn)化應(yīng)進(jìn)行機(jī)制創(chuàng)新。為實(shí)現(xiàn)以上目標(biāo)，需要從科技攻關(guān)、重點(diǎn)企業(yè)培育和政府采購(gòu)等方面下大力氣。一是調(diào)動(dòng)各方積極性和主動(dòng)性，依托核高基重大專項(xiàng)，及時(shí)跟蹤新興信息技術(shù)發(fā)展趨勢(shì)，引入風(fēng)險(xiǎn)投資機(jī)制，建立廣泛的政產(chǎn)學(xué)研用結(jié)合的創(chuàng)新體系；二是重點(diǎn)培育若干具有較強(qiáng)信息安全實(shí)力的企業(yè)，專門為政府、軍隊(duì)等提供整體架構(gòu)設(shè)計(jì)和集成解決方案，形成解決國(guó)家級(jí)信息安全問(wèn)題的承包商；三是加快立法，促進(jìn)政府采購(gòu)自主產(chǎn)品工作有序開展。在一些涉及國(guó)計(jì)民生的信息樞紐和關(guān)鍵網(wǎng)絡(luò)系統(tǒng)的采購(gòu)中，禁止具有重大安全隱患的公司介入。軍事國(guó)防、政府辦公、海關(guān)、金融等重要的部門或行業(yè)在采購(gòu)網(wǎng)絡(luò)信息安全設(shè)備時(shí)，要堅(jiān)持采用自主可控產(chǎn)品優(yōu)先原則。

（八）開展網(wǎng)絡(luò)安全應(yīng)急多方合作

篇10

隨著全球信息化程度的加深，CDN已經(jīng)成為互聯(lián)網(wǎng)上向用戶提供服務(wù)的重要系統(tǒng)之一，一方面由于CDN位于內(nèi)容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對(duì)源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來(lái)越多地服務(wù)于重要國(guó)家部門、金融機(jī)構(gòu)、網(wǎng)絡(luò)媒體、商業(yè)大型網(wǎng)站，并經(jīng)常承擔(dān)奧運(yùn)會(huì)、國(guó)慶等重大活動(dòng)，保障CDN自身的安全性、確保源站信息內(nèi)容安全準(zhǔn)確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務(wù)中斷、數(shù)據(jù)被篡改等安全問(wèn)題，可能對(duì)用戶使用互聯(lián)網(wǎng)服務(wù)造成大范圍嚴(yán)重影響，甚至可能影響社會(huì)穩(wěn)定。

標(biāo)準(zhǔn)工作開展背景

一直以來(lái)，國(guó)際國(guó)內(nèi)缺乏專門的標(biāo)準(zhǔn)明確CDN應(yīng)滿足的安全要求，今年《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA：ChinaCommunications StandardsAssociation）立項(xiàng)，“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”討論了征求意見稿，相信CDN安全的標(biāo)準(zhǔn)化工作，能對(duì)促進(jìn)CDN服務(wù)商規(guī)范安全地提供服務(wù)，從整體上提高CDN行業(yè)的安全防護(hù)水平提供指導(dǎo)。

美英等國(guó)家從20世紀(jì)70年代就開始研究等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的相關(guān)內(nèi)容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標(biāo)準(zhǔn)。隨著通信網(wǎng)絡(luò)在國(guó)家政治、經(jīng)濟(jì)和社會(huì)發(fā)展過(guò)程中的基礎(chǔ)性和全局性作用與日俱增，這些發(fā)達(dá)國(guó)家越來(lái)越重視通信網(wǎng)絡(luò)安全，并上升到國(guó)家安全高度。我國(guó)也越來(lái)越重視網(wǎng)絡(luò)與信息安全保障，相繼了中辦【2003】27號(hào)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)【2006】11號(hào)《2006―2020年國(guó)家信息化發(fā)展戰(zhàn)略》等文件指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保障體系建設(shè)。

近五年通信網(wǎng)絡(luò)安全防護(hù)工作取得很大成效，指導(dǎo)通信網(wǎng)絡(luò)從業(yè)務(wù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備安全、物理環(huán)境安全、管理安全等各方面加固，提高了通信網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性、基礎(chǔ)電信運(yùn)營(yíng)企業(yè)安全管理的規(guī)范性，也促進(jìn)了通信行業(yè)安全服務(wù)產(chǎn)業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡(luò)安全防護(hù)工作逐步深入規(guī)范開展，2011年工業(yè)和信息化部組織開展了增值運(yùn)營(yíng)企業(yè)的安全防護(hù)試點(diǎn)，率先對(duì)新浪、騰訊、百度、阿里巴巴、萬(wàn)網(wǎng)、空中信使運(yùn)營(yíng)管理的網(wǎng)絡(luò)單元進(jìn)行定級(jí)備案、安全符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。

2011年，“電信網(wǎng)安全防護(hù)標(biāo)準(zhǔn)起草組”組織研究起草《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》等8項(xiàng)安全防護(hù)標(biāo)準(zhǔn)，工業(yè)和信息化部電信研究院、藍(lán)汛、網(wǎng)宿、清華大學(xué)、中國(guó)移動(dòng)、中國(guó)電信、華為、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)等單位研究人員參與了標(biāo)準(zhǔn)的起草，目前這兩項(xiàng)標(biāo)準(zhǔn)的征求意見稿已經(jīng)在CCSA討論通過(guò)。

根據(jù)《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》，按照各通信網(wǎng)絡(luò)單元遭到破壞后可能對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公眾利益的危害程度，由低到高可劃分為一級(jí)、二級(jí)、三級(jí)、四級(jí)、五級(jí)。因此《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》明確了一級(jí)至五級(jí)CDN系統(tǒng)應(yīng)該滿足的安全等級(jí)保護(hù)要求，級(jí)別越高，CDN需滿足的安全要求越多或越嚴(yán)格。《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》明確了對(duì)CDN進(jìn)行安全符合性評(píng)測(cè)的方法、內(nèi)容、評(píng)價(jià)原則等，有助于深入檢查企業(yè)是否落實(shí)了安全防護(hù)要求。

CDN安全防護(hù)內(nèi)容

CDN位于內(nèi)容源站與終端用戶之間，主要通過(guò)內(nèi)容的分布式存儲(chǔ)和就近服務(wù)提高內(nèi)容分發(fā)的效率，改善互聯(lián)網(wǎng)絡(luò)的擁塞狀況，進(jìn)而提升服務(wù)質(zhì)量。通常CDN內(nèi)部由請(qǐng)求路由系統(tǒng)、邊緣服務(wù)器、運(yùn)營(yíng)管理系統(tǒng)、監(jiān)控系統(tǒng)組成，CDN外部與內(nèi)容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng)，與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務(wù)應(yīng)用提供內(nèi)容分發(fā)服務(wù)，以顯著提高互聯(lián)網(wǎng)用戶的訪問(wèn)速度，所以保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全和CDN業(yè)務(wù)系統(tǒng)安全至關(guān)重要，保障CDN的基礎(chǔ)設(shè)施安全、管理安全，有效實(shí)施災(zāi)難備份及恢復(fù)等也是CDN安全防護(hù)應(yīng)該考慮的重要內(nèi)容。因此CDN的安全防護(hù)可從數(shù)據(jù)內(nèi)容安全、業(yè)務(wù)系統(tǒng)安全、基礎(chǔ)設(shè)施安全、管理安全、災(zāi)難備份及恢復(fù)幾方面考慮。

（1）CDN數(shù)據(jù)內(nèi)容安全

為保障CDN分發(fā)的數(shù)據(jù)內(nèi)容安全，需要確保CDN與源站數(shù)據(jù)內(nèi)容一致，并進(jìn)行版權(quán)保護(hù)，記錄管理員的操作維護(hù)并定期審計(jì)，一旦發(fā)現(xiàn)不良信息能夠及時(shí)清除，同時(shí)提供防御來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊并對(duì)源站進(jìn)行保護(hù)的能力。

數(shù)據(jù)一致性：CDN企業(yè)提供對(duì)內(nèi)容污染的防御能力，識(shí)別和丟棄污染的內(nèi)容，保障重要數(shù)據(jù)內(nèi)容的一致性和完整性；保證CDN平臺(tái)內(nèi)部傳輸數(shù)據(jù)的一致性；防止分發(fā)的內(nèi)容被非法引用（即防盜鏈）。

版權(quán)保護(hù)：按照源站要求提供內(nèi)容鑒權(quán)、用戶鑒權(quán)、IP地址鑒權(quán)、終端鑒別以及組合鑒權(quán)等方式對(duì)源站內(nèi)容進(jìn)行版權(quán)保護(hù)。

安全審計(jì)：記錄管理員（含源站管理員和CDN系統(tǒng)內(nèi)部管理員）對(duì)CDN系統(tǒng)的管理操作，留存日志記錄并定期審計(jì)。

不良信息清除：一旦發(fā)現(xiàn)CDN系統(tǒng)內(nèi)部含不良信息，應(yīng)在內(nèi)容源站或主管部門要求時(shí)間內(nèi)，完成全網(wǎng)服務(wù)器屏蔽或清除不良信息。

防攻擊和源站保護(hù)：引入CDN后不應(yīng)降低內(nèi)容源站的安全水平，同時(shí)CDN在一定程度上提供對(duì)內(nèi)容源站的抗攻擊保護(hù)。

（2）CDN業(yè)務(wù)系統(tǒng)安全

為保障CDN的業(yè)務(wù)系統(tǒng)安全，需要從結(jié)構(gòu)安全、訪問(wèn)控制、入侵防范等方面進(jìn)行安全保護(hù)，另外鑒于請(qǐng)求路由系統(tǒng)（即DNS系統(tǒng)）在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性，需要保障請(qǐng)求路由系統(tǒng)的安全。

結(jié)構(gòu)安全：CDN企業(yè)在節(jié)點(diǎn)部署時(shí)應(yīng)考慮防范安全攻擊，如為服務(wù)器單節(jié)點(diǎn)服務(wù)能力留出足夠的冗余度、配置實(shí)時(shí)備份節(jié)點(diǎn)等。

訪問(wèn)控制：對(duì)管理員操作維護(hù)進(jìn)行身份認(rèn)證并進(jìn)行最小權(quán)限分配，從IP地址等方面限制訪問(wèn)。

入侵防范：關(guān)閉不必要的端口和服務(wù)，CDN能夠抵御一定的安全攻擊并快速恢復(fù)。

請(qǐng)求路由系統(tǒng)安全：部署多個(gè)內(nèi)部DNS節(jié)點(diǎn)進(jìn)行冗余備份，并對(duì)DNS進(jìn)行安全配置。

（3）CDN基礎(chǔ)設(shè)施安全

保障CDN的基礎(chǔ)設(shè)施安全，可從主機(jī)安全、物理環(huán)境安全、網(wǎng)絡(luò)及安全設(shè)備防護(hù)等方面進(jìn)行保護(hù)。

主機(jī)安全：企業(yè)對(duì)CDN的操作系統(tǒng)和數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行訪問(wèn)控制，記錄操作并定期進(jìn)行安全審計(jì)；操作系統(tǒng)遵循最小授權(quán)原則，及時(shí)更新補(bǔ)丁，防止入侵；對(duì)服務(wù)器的CPU、硬盤、內(nèi)存等使用情況進(jìn)行監(jiān)控，及時(shí)處置告警信息。

物理環(huán)境安全：機(jī)房應(yīng)選擇合適的地理位置，對(duì)機(jī)房訪問(wèn)應(yīng)進(jìn)行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護(hù)等方面均應(yīng)采取一定的防護(hù)措施，并確保電力持續(xù)供應(yīng)。

網(wǎng)絡(luò)及安全設(shè)備防護(hù)：IP承載網(wǎng)需要從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)保護(hù)與恢復(fù)、網(wǎng)絡(luò)攻擊防范等方面進(jìn)行保護(hù)。

（4）CDN管理安全

規(guī)范有效的管理對(duì)于保障信息系統(tǒng)的安全具有重要作用，可從機(jī)構(gòu)、人員、制度等方面進(jìn)行保障，同時(shí)應(yīng)將安全管理措施貫穿系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維全過(guò)程。

機(jī)構(gòu)：通過(guò)加強(qiáng)崗位設(shè)置、人員配備、授權(quán)審批、溝通合作等形成強(qiáng)有力的安全管理機(jī)構(gòu)。

人員：在人員錄用、離崗、考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)等環(huán)節(jié)加強(qiáng)對(duì)人員的管理。

制度：對(duì)重要的安全工作制訂管理制度，確保制度貫徹執(zhí)行，根據(jù)安全形勢(shì)的變化和管理需要及時(shí)修訂完善安全制度。

安全建設(shè)：在系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購(gòu)、系統(tǒng)研發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、選擇安全服務(wù)商等環(huán)節(jié)進(jìn)行安全管理，分析安全需求、落實(shí)安全措施。CDN企業(yè)在新建、改建、擴(kuò)建CDN時(shí)，應(yīng)當(dāng)同步建設(shè)安全保障設(shè)施，并與主體工程同時(shí)驗(yàn)收和投入運(yùn)行。安全保障設(shè)施的新建、改建、擴(kuò)建費(fèi)用，需納入建設(shè)項(xiàng)目概算。

安全運(yùn)維：在系統(tǒng)運(yùn)行維護(hù)過(guò)程中對(duì)物理環(huán)境、介質(zhì)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、安全監(jiān)測(cè)、密碼、備份與恢復(fù)等加強(qiáng)安全管理，提高對(duì)惡意代碼防范、安全事件處置、應(yīng)急預(yù)案制訂與演練的管理。

（5）災(zāi)難備份及恢復(fù)

可通過(guò)配置足夠的冗余系統(tǒng)、設(shè)備及鏈路，備份數(shù)據(jù)，提高人員和技術(shù)支持能力、運(yùn)行維護(hù)管理能力，制訂完善的災(zāi)難恢復(fù)預(yù)案，提高CDN企業(yè)的抗災(zāi)難和有效恢復(fù)CDN的能力。

冗余系統(tǒng)、設(shè)備及鏈路：運(yùn)營(yíng)管理系統(tǒng)、請(qǐng)求路由系統(tǒng)等核心系統(tǒng)應(yīng)具備冗余能力，在多個(gè)省份備份，發(fā)生故障后能及時(shí)切換；CDN設(shè)備的處理能力應(yīng)有足夠的冗余度；核心系統(tǒng)間的鏈路應(yīng)有冗余備份。

備份數(shù)據(jù)：系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關(guān)鍵數(shù)據(jù)應(yīng)定期同步備份。

人員和技術(shù)支持能力：應(yīng)為用戶提供7×24小時(shí)技術(shù)支持，員工應(yīng)經(jīng)過(guò)培訓(xùn)并通過(guò)考核才能上崗。

運(yùn)行維護(hù)管理能力：運(yùn)維人員應(yīng)能及時(shí)發(fā)現(xiàn)系統(tǒng)異常事件，在規(guī)定事件內(nèi)上報(bào)企業(yè)管理人員、客服人員，做好對(duì)客戶的解釋工作。

災(zāi)難恢復(fù)預(yù)案：應(yīng)根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細(xì)的災(zāi)難恢復(fù)預(yù)案，組織對(duì)預(yù)案的教育、培訓(xùn)和演練。

CDN標(biāo)準(zhǔn)展望

2011年制訂的CDN標(biāo)準(zhǔn)還只是一個(gè)嘗試，目前《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)要求》和《互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò)安全防護(hù)檢測(cè)要求》僅對(duì)作為第三方對(duì)外提供互聯(lián)網(wǎng)內(nèi)容分發(fā)服務(wù)的CDN提出安全防護(hù)要求和檢測(cè)要求，隨著后續(xù)CDN安全防護(hù)工作的深入開展、CDN面臨的安全風(fēng)險(xiǎn)不斷變化，CDN安全防護(hù)標(biāo)準(zhǔn)還會(huì)不斷修訂完善。