導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全運維技術(shù)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；入侵檢測技術(shù)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量，它實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，檢測范圍是整個網(wǎng)絡(luò)，由于網(wǎng)絡(luò)數(shù)據(jù)是規(guī)范的TCP/IP協(xié)議數(shù)據(jù)包，所以基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)比較易于實現(xiàn)[1]。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。

1入侵檢測技術(shù)概述

探測器一般由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成，其功能是按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。配置構(gòu)造器根據(jù)分析引擎的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。分析引擎器是它的一個重要部件，用來分析網(wǎng)絡(luò)數(shù)據(jù)中的異?，F(xiàn)象或可疑跡象，并提取出異常標志。分析引擎器的分析和判斷決定了具有什么樣特征的網(wǎng)絡(luò)數(shù)據(jù)流是非正常的網(wǎng)絡(luò)行為，它常用的4種入侵和攻擊識別技術(shù)包括根據(jù)模式、表達式或字節(jié)匹配；利用出現(xiàn)頻率或穿越閥值；根據(jù)次要事件的相關(guān)性；統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測[2]。

2計算機網(wǎng)絡(luò)安全的現(xiàn)狀

在新系統(tǒng)的設(shè)計中，利用數(shù)據(jù)挖掘技術(shù)從系統(tǒng)日志、系統(tǒng)調(diào)用序列、網(wǎng)絡(luò)流等大量數(shù)據(jù)中提取與安全相關(guān)的系統(tǒng)特征屬性，為了高效地利用特征屬性，采用特征向量集代替特征屬性變量集，設(shè)計中采用遺傳算法選擇其特征子集，以降低入侵檢測系統(tǒng)的負荷。進行數(shù)據(jù)挖掘時，所選用的安全審計數(shù)據(jù)須具備以下特點：

（1）相對于正常的用戶和系統(tǒng)行為，攻擊事件的發(fā)生概率很小[2]。

（2）在正常情況下所選用的安全審計數(shù)據(jù)非常穩(wěn)定。

（3）攻擊事件的發(fā)生會使安全審計數(shù)據(jù)的某些特征變量明顯偏離正常值。

特權(quán)程序一般都具有最高權(quán)限，因此特權(quán)程序一直是攻擊者的主要目標。通過研究發(fā)現(xiàn)，對特權(quán)程序，系統(tǒng)調(diào)用序列較好地滿足了數(shù)據(jù)挖掘?qū)Π踩珜徲嫈?shù)據(jù)提出的要求，是理想的挖掘數(shù)據(jù)源。國外有關(guān)研究機構(gòu)還提供了大量的有關(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)供IDS的研究者下載使用，基本上滿足了完備性的要求。

系統(tǒng)調(diào)用序列檢測的工作主要流程如下：

（1）準備訓(xùn)練數(shù)據(jù)集，該數(shù)據(jù)集中數(shù)據(jù)記錄具有廣泛的代表性，即具有較高的支持度；所有數(shù)據(jù)已經(jīng)被準確標識為正?；虍惓?，采用有關(guān)系統(tǒng)調(diào)用序列的數(shù)據(jù)作為分類器的訓(xùn)練數(shù)據(jù)集。

（2）用RIPPER算法分析訓(xùn)練數(shù)據(jù)集，提取特征屬性，生成規(guī)則。

（3）基于所生成的規(guī)則，用滑動窗口法分析待檢測系統(tǒng)調(diào)用序列[3]。

3入侵檢測系統(tǒng)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用

為進一步提高IDS的性能，減少IDS組件對被保護系統(tǒng)的負荷，所設(shè)計的新人侵檢測系統(tǒng)采用特征向量集代替特征屬性變量集（短序列集），在數(shù)據(jù)挖掘時產(chǎn)生了更簡單、準確的入侵判別規(guī)則集。在此基礎(chǔ)上進一步研究用特征向量子集代替特征向量集，采用遺傳算法優(yōu)化特征向量子集的選擇過程，使IDS的性能得到進一步的提升[3]。

在系統(tǒng)調(diào)用序列數(shù)據(jù)的挖掘過程中使用特征向量法，用特征向量的一位標識一個短序列，用挖掘算法能從特征向量集中找出檢測入侵的規(guī)則來。由于短序列的數(shù)量較大，導(dǎo)致特征向量位數(shù)過大，特征向量集也相應(yīng)過大。為了更高效可行地使用數(shù)據(jù)挖掘算法，采用遺傳算法對特征向量集進行優(yōu)化，尋找特征子集，利于后續(xù)的數(shù)據(jù)挖掘[4]。

該最優(yōu)個體必然是0、1交替的位串，將其所有1所在位置進行分析，可以得到1所在位置代表的短序列集，即為尋找的特征子集。后續(xù)挖掘算法根據(jù)該特征子集中的短序列，對訓(xùn)練數(shù)據(jù)進行分類等挖掘工作。

采用標準交叉算子和變異算子，交叉概率取0.6，變異概率取0.001。遺傳過程中，個體的選擇比較復(fù)雜。因為這里是針對入侵檢測進行的優(yōu)化，所以在選擇個體時，是將該個體代表的入選子集的短序列應(yīng)用到數(shù)據(jù)分類算法（RIPPER），該算法訓(xùn)練數(shù)據(jù)并應(yīng)用規(guī)則得到測試數(shù)據(jù)，根據(jù)檢測的性能來確定上述要選擇的個體的適應(yīng)度值。根據(jù)個體的適應(yīng)度值就可以對其進行選擇，繼續(xù)遺傳優(yōu)化工作。研究表明，個體的適應(yīng)值可以取決于有多少攻擊被正確檢測和正常使用連接被誤判為攻擊，同時考慮個體中置1位的數(shù)目，本系統(tǒng)設(shè)計的適應(yīng)度函數(shù)為[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]為某個個體，a為正確檢測到的攻擊數(shù)目；A為總有攻擊數(shù)目；b為被誤判為攻擊的連接數(shù)；B為總的正常連接數(shù)；m為[xi]中1的個數(shù)；[δm]為m對于該適應(yīng)度函數(shù)的相關(guān)系數(shù)，即高檢出率低誤報率使適應(yīng)度函數(shù)值高，低檢出率高誤報率使適應(yīng)度函數(shù)值低。個體中置l的位數(shù)越少，適應(yīng)度值越大，這是出于尋找最小特征子集的考慮，其影響的強弱由相關(guān)系數(shù)d去控制。

if

{

一個網(wǎng)絡(luò)連接有如下特征：

源IP地址d2.Of.**.**；

目標IP地址c0.a8.a*.**；

源端口號43226；

目標端口號80；

持續(xù)時間482 s；

終止狀態(tài)（由發(fā)起連接的人終止連接）11；

使用協(xié)議（TCP協(xié)議）2；

發(fā)送方發(fā)送了7341B；

接收方接收了37761B；

}

then

{

終止該連接；

}

結(jié)論

總之，入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進行人侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。

參考文獻：

[1]楊嶺. 基于網(wǎng)絡(luò)安全維護的計算機網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J]. 信息系統(tǒng)工程，2015，01：77.

[2]張旭東. 基于混合數(shù)據(jù)挖掘方法的入侵檢測算法研究[J]. 信息安全與技術(shù)，2015，02：31-33.

篇2

【關(guān)鍵詞】廣播電臺；網(wǎng)絡(luò)安全；技術(shù)

1.前言

近幾年來，網(wǎng)絡(luò)信息技術(shù)不斷地發(fā)展，在廣播系統(tǒng)內(nèi)的應(yīng)用不斷深化、普及。廣播電臺節(jié)目的數(shù)字化制作、管理、播出也對網(wǎng)絡(luò)的要求日益增高。網(wǎng)絡(luò)技術(shù)的應(yīng)用節(jié)約了很多勞動力，簡化管理，提供更多的便利，同時也帶來很多的問題，即網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是伴隨網(wǎng)絡(luò)技術(shù)而誕生的，隨著計算機技術(shù)發(fā)展而不斷地演變。如今技術(shù)不斷地發(fā)展，需求也在進一步提高，因此網(wǎng)絡(luò)結(jié)構(gòu)以及設(shè)計理念也將不斷變化。

2.技術(shù)安全設(shè)計

2.1數(shù)據(jù)級的安全 以分布式數(shù)據(jù)庫與文件系統(tǒng)來進行設(shè)計，在制播網(wǎng)絡(luò)的系統(tǒng)中必須按照實際的要求制定正確、合理的數(shù)據(jù)庫系統(tǒng)和文件系統(tǒng)，以便可以緩解數(shù)據(jù)風(fēng)險，降低訪問的壓力。一般來說，核心的數(shù)據(jù)庫以及文件系統(tǒng)都是進行本地備份，也可以進行遠程自動備份，以便順利恢復(fù)功能。另外，還可以選擇分布式以及虛擬化的方式進行儲存，可以有效地管理媒體數(shù)據(jù)的生命周期，確保存儲系統(tǒng)為制播網(wǎng)絡(luò)提供最優(yōu)質(zhì)的保障[1]。

2.2媒體數(shù)據(jù)的安全設(shè)計 通常情況都是采取備份的方式來存儲媒體數(shù)據(jù)，一旦單體存儲出現(xiàn)故障，可以有效避免素材丟失。同時，必須以RAID數(shù)據(jù)來檢測媒體數(shù)據(jù)存儲情況，同時也要設(shè)置訪問以刪除權(quán)限，確保媒體數(shù)據(jù)的安全。

2.3存儲體的安全設(shè)計 對于中心存儲系統(tǒng)來說，其關(guān)鍵設(shè)備的選擇十分重要，通常都會采用冗余配置，比如說雙電源設(shè)備，冗余風(fēng)扇以及可進行雙控的控制器；同時也采用RAID數(shù)據(jù)來保護中心存儲系統(tǒng)；另外還提供熱備與進行校檢的磁盤，以及冷備磁盤，如果發(fā)生故障，可以采用備份磁盤來替代出現(xiàn)故障的磁盤；最后，中心存儲系統(tǒng)需采用近線數(shù)據(jù)流磁帶來進行備份，確保其安全性。

2.4對于服務(wù)器的安全設(shè)計 對于服務(wù)器的安全設(shè)計通常也是通過RAID的方式來實現(xiàn)。其設(shè)計模式是：采用冗余電源及冗余風(fēng)扇來實現(xiàn)；一些重要的服務(wù)器都是進行雙機配置，可進行雙熱備份以及熱倒換；數(shù)據(jù)庫系統(tǒng)的設(shè)計比較關(guān)鍵，一般會采用安全級別更高的操作系統(tǒng)，例如Unix或者Linux；另外，服務(wù)器與交換機之間的連接時通過冗余鏈路來實現(xiàn)，以便緩解單條鏈路的壓力，避免故障的發(fā)生，導(dǎo)致無法訪問服務(wù)器[2]。

2.5對于工作站的安全設(shè)計 通常情況，音頻的工作站點時分散地分布于不相同的交換機上，即便一臺交換機出現(xiàn)故障，也不會影響到整個工作站點，跟不會造成整個網(wǎng)絡(luò)客戶端出現(xiàn)癱瘓現(xiàn)象；此外，有些音頻工作站點存儲于本地硬盤中，一旦網(wǎng)絡(luò)癱瘓，可以通過本地硬盤來提取數(shù)據(jù)，確保節(jié)目順利制播。最后，還要確保所應(yīng)用的軟件具有防御斷電的保護功能，以免斷電等意外造成文件丟失。

2.6對于備份系統(tǒng)的安全設(shè)計 對于備份系統(tǒng)的設(shè)計，則要根據(jù)具體的數(shù)據(jù)來制定，例如投資的多少以及規(guī)模的大小。在廣播電臺的直播系統(tǒng)中，最小備份系統(tǒng)時必不可少的，可以整個應(yīng)用系統(tǒng)的基本運行，確保節(jié)目的安全播出。

2.7系統(tǒng)互聯(lián)的安全設(shè)計 網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計要從兩個方面進行考慮：一是本臺局域網(wǎng)；二是全臺的其他業(yè)務(wù)，確保此設(shè)計方式適合整個網(wǎng)絡(luò)的運行。在設(shè)計過程中，一方面要充分考慮到網(wǎng)絡(luò)系統(tǒng)的物理隔離，另一方面要確保整個網(wǎng)絡(luò)系統(tǒng)擁有一個安全的接口，可以保證廣播電臺的制作網(wǎng)絡(luò)系統(tǒng)能夠順利地連接到采編系統(tǒng)或者外網(wǎng)系統(tǒng)，實現(xiàn)數(shù)據(jù)交換、資源共享。

2.8對于防火墻的管理 防火墻是網(wǎng)絡(luò)安全中不可或缺的組成部分，也是唯一一條可以實現(xiàn)不相同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息自由出入的通道，必須依照設(shè)計的安全措施，嚴格控制網(wǎng)絡(luò)信息的出入，可以有效地去搞整個網(wǎng)絡(luò)以及信息的安全。從實體上來分，防火墻分為兩種：一種是硬件防火墻，具只具備包過濾的功能；另一種是軟件防火墻，既有硬件防火墻的功能，還有其他功能，例如過濾內(nèi)容功能、入侵偵探的功能以及入侵防護的功能等[3]。

3.運維服務(wù)體系的建立

3.1加強各項操作準確性，確保整個流程符合規(guī)范要求 建立健全的運維服務(wù)制度，制定相應(yīng)的流程，運維管理人員必須根據(jù)操作章程進行運維，同時要設(shè)定審核制度，主要有：技術(shù)上的制度以及相應(yīng)的流程、設(shè)備維修的相關(guān)制度、應(yīng)急的處理手段、問題跟蹤制度等，確保運維服務(wù)能夠有效進行，保證整個體系的規(guī)范化以及制度化。

3.2建立嚴格的值班制度 首先要制定出一套嚴格的值班制度，以及懲罰方式，嚴格要求值班人員做好每天的運維記錄，下班之前進行工作總結(jié)，以保證巡檢到達規(guī)范要求。其次要加強對內(nèi)部人員的培訓(xùn)，保證整個網(wǎng)絡(luò)運維的質(zhì)量。

3.3完善網(wǎng)路運維知識體系 完善網(wǎng)絡(luò)運維知識庫，加強運維知識庫的規(guī)范性、制度性，一旦出現(xiàn)問題，可以快速進行檢查，也可以為今后出現(xiàn)類似情況提供參考。

4.網(wǎng)絡(luò)系統(tǒng)的日常維護

4.1強化磁盤的動態(tài)管理，提高網(wǎng)絡(luò)運行速度 一般在網(wǎng)絡(luò)中制作節(jié)目都是由于多部門、多欄目同時進行，造成網(wǎng)絡(luò)運行十分緩慢。因此，必須加強對這些部門及欄目磁盤空間的管理，提高網(wǎng)絡(luò)的運行速度。同時，網(wǎng)絡(luò)系統(tǒng)要設(shè)置有動態(tài)的磁盤的分配功能，可以有效管理各部門使用磁盤的具體情況，實現(xiàn)動態(tài)分配。

4.2嚴格執(zhí)行系統(tǒng)的日志管理 廣播電臺的網(wǎng)絡(luò)系統(tǒng)可以通過日志管理來實現(xiàn)。系統(tǒng)一般都會記錄用戶登陸后的相關(guān)操作，例如登錄的情況、素材的刪除、操作方法、節(jié)目的編制方法以及設(shè)備的使用情況。網(wǎng)絡(luò)管理人員通過日常管理功能，將這些無用的記錄進行刪除。

4.3對于訪問安全的管理設(shè)置 為了確保系統(tǒng)的安全，必須嚴格設(shè)置用戶認證系統(tǒng)以及訪問權(quán)限，限定人員對于系統(tǒng)的使用，確保登陸系統(tǒng)人員的合法性，確保網(wǎng)絡(luò)安全。此軟件分為三層結(jié)構(gòu)，一是數(shù)據(jù)及程序，二是數(shù)據(jù)控制，三是應(yīng)用邏輯。此三層結(jié)構(gòu)獨立管理，以便有效地控制人員對信息的訪問[4]。

5.結(jié)束語

總之，網(wǎng)絡(luò)技術(shù)為廣播電臺提供更加合理、靈活、強大的功能，實現(xiàn)節(jié)目通道的任意調(diào)配，對于信息的掌握與處理更加靈活。然而廣播制播網(wǎng)仍處于起步階段，尚未完善，然在緩慢的發(fā)展，因此必須加強對廣播技術(shù)的研究，實現(xiàn)廣播電臺的持續(xù)發(fā)展。同時要學(xué)會靈活運用網(wǎng)絡(luò)技術(shù)，進而提高廣播電臺的核心競爭力，為廣播電臺開拓更廣的發(fā)展空間。參考文獻

[1]李杰.廣播電臺制播網(wǎng)絡(luò)系統(tǒng)安全設(shè)計探討.廣播電視信息.2010(04).92.

[2]高馨.烏魯木齊人民廣播電臺的技術(shù)改進設(shè)計.電聲技術(shù).2009(01).85.

篇3

關(guān)鍵詞：工控；網(wǎng)絡(luò)安全；安全建設(shè)

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實踐，制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多，隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個國家經(jīng)濟命脈，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù)，并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀，從技術(shù)設(shè)計和管理系統(tǒng)建設(shè)兩個方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡(luò)的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng)，也可以說工業(yè)控制系統(tǒng)是控制技術(shù)（Control）、計算機技術(shù)（Computer）、通信技術(shù)（Communication）、圖形顯示技術(shù)（CRT）和網(wǎng)絡(luò)技術(shù)（Network）相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域，其中超過60%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施（如公路、軌道交通等）都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分，近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標，不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴峻的挑戰(zhàn)。（1）美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務(wù)公司的計算機遭遇震網(wǎng)病毒感染，導(dǎo)致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機，部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網(wǎng)病毒引起的，而這種病毒常被用來定向攻擊基礎(chǔ)（能源）設(shè)施，比如國家電網(wǎng)、水壩、核電站等。（2）烏克蘭電網(wǎng)攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電，調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。（3）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統(tǒng)，造成上千臺服務(wù)器和工作站感染勒索病毒，數(shù)據(jù)全部被加密，售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務(wù)系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等，其中大部分是由于移動接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險。從以上事件可以看出，攻擊者要發(fā)動網(wǎng)絡(luò)攻擊只需發(fā)送一個普通的病毒就可以達到目的，隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn)，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規(guī)范

作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)，正面臨著來自網(wǎng)絡(luò)攻擊等的威脅，為此針對工控網(wǎng)絡(luò)安全，我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護工作。其中有國家標準委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項國家標準[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，該標準以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，分別從技術(shù)防護和管理設(shè)計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設(shè)防護要求。2017年6月，《網(wǎng)絡(luò)安全法》開始實施，網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護和管理等要求，促進了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

軌道交通信號系統(tǒng)（CBTC）是基于通信技術(shù)的列車控制系統(tǒng)，該系統(tǒng)依靠通信技術(shù)實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題：（1）網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高，各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切，根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場，根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng)，各區(qū)域之間沒有做好訪問控制措施，缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。（2）網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強，沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段，等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄，不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時發(fā)現(xiàn)各種異常操作。（3）工作站、服務(wù)器無防護CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設(shè)之初基本不會對工作站和服務(wù)器的操作系統(tǒng)進行升級，操作系統(tǒng)在使用過程中不斷暴露漏洞，而系統(tǒng)漏洞又無法得到及時的修復(fù)，這都會導(dǎo)致工作站和服務(wù)器面臨風(fēng)險。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù)，沒有加強系統(tǒng)的密碼策略。除此之外，運維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件，也可能會開啟操作系統(tǒng)的遠程功能，上線后也不會關(guān)閉此功能，這些操作都會使得系統(tǒng)配置簡單，更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設(shè)備的接入行為進行管控，隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。（4）運維管理不完善單位內(nèi)安全組織機構(gòu)人員職責不完善，缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門，未明確相關(guān)業(yè)務(wù)部門的安全職責和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關(guān)的審計和監(jiān)控措施，當?shù)谌竭\維人員進行設(shè)備維護時，業(yè)務(wù)系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發(fā)生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離，基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后，工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實現(xiàn)，因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系

工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定，從安全層面來看要符合國家級防護的相關(guān)要求，全面規(guī)劃設(shè)計網(wǎng)絡(luò)安全保障體系，使得工控體系符合相關(guān)安全標準，確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護體系，通過管理和技術(shù)實現(xiàn)主被動安全相結(jié)合，有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計不同的項目技術(shù)方案，從技術(shù)角度來識別系統(tǒng)的安全風(fēng)險，依據(jù)系統(tǒng)架構(gòu)來設(shè)計安全加固措施，同時還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系，來確保整體業(yè)務(wù)系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素，我們將軌道交通信號系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個子安全域，根據(jù)CBTC業(yè)務(wù)的重要性、實時性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等，將工控網(wǎng)絡(luò)劃分成不同的安全防護區(qū)域，所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認證管理，使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進行數(shù)據(jù)更新、參數(shù)設(shè)定，在控制設(shè)備及監(jiān)控設(shè)備上運行程序、標識相應(yīng)的數(shù)據(jù)集合等操作，防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為，常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]?？梢岳寐┒磼呙柙O(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用，及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞，提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時發(fā)現(xiàn)識別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設(shè)備和系統(tǒng)的日志審計，主要體現(xiàn)在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護制度要求規(guī)定，重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心，通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理，平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系，形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標告警閾值，觸發(fā)告警并記錄，對各類報警和日志信息進行關(guān)聯(lián)分析和預(yù)警通報。

4.4編制網(wǎng)絡(luò)安全管理制度

設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位，制定總體安全方針，指明組織機構(gòu)的總體目標和工作原則。對于安全管理成員的角色設(shè)計需按三權(quán)分立的原則來規(guī)劃并落實，必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經(jīng)過上層組織機構(gòu)評審和正式，保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負責單位內(nèi)人員的招聘錄用工作，對人員的專業(yè)能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責任書。編制完善的制度規(guī)范，編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設(shè)，制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險管理等方面的規(guī)范要求，對于機房等辦公區(qū)域的人員進出、設(shè)備進出進行記錄和控制，建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為，保存相關(guān)的資產(chǎn)清單，對各種軟硬件資產(chǎn)做好定期維護，對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴格的審批流程。針對漏洞做好風(fēng)險管理，針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施，形成書面記錄和總結(jié)報告。在第三方外包人員管理方面應(yīng)該與外包運維服務(wù)商簽訂第三方運維服務(wù)協(xié)議，協(xié)議中應(yīng)明確外包工作范圍和具體職責。

5結(jié)束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢，近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度，并且制定了相關(guān)的標準、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險，業(yè)務(wù)主管部門還應(yīng)進一步強化網(wǎng)絡(luò)安全意識，開展網(wǎng)絡(luò)安全評估，制定網(wǎng)絡(luò)安全策略，提高工控網(wǎng)絡(luò)安全水平，確保業(yè)務(wù)的安全穩(wěn)定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）.

[2]李俊．工業(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表，2014（9）.

篇4

當前存在的問題主要有兩方面：一是當網(wǎng)站出現(xiàn)故障或者安全隱患時，運維人員往往很難在第一時間發(fā)現(xiàn)問題并做出應(yīng)急處理，嚴重地影響了網(wǎng)站的可用性與品牌形象權(quán)威性。二是傳統(tǒng)的網(wǎng)絡(luò)運維沒有規(guī)范化、體系化，導(dǎo)致難以有效管控安全事件處理進度。

2015 年，CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）通報了涉及政府機構(gòu)和重要信息系統(tǒng)部門的事件型漏洞近 2.4 萬起，約是 2014 年的 2.6 倍，網(wǎng)絡(luò)安全威脅繼續(xù)保持快速增長態(tài)勢。

2014年第一屆世界互聯(lián)網(wǎng)大會和2015年第二屆世界互聯(lián)網(wǎng)大會之后，2016年中國舉辦第三屆世界互聯(lián)網(wǎng)大會和G20峰會，中國正在成為國際黑客關(guān)注的目標，尤其是中國政府網(wǎng)站將成為國際黑客攻擊的重點目標。

因此，為確保中國政府網(wǎng)站的安全、高效、可持續(xù)運作，網(wǎng)站安全保障工作成為各級地方政府的重要任務(wù)之一。

浙江乾冠信息安全研究院CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）通報了涉及政府機構(gòu)和重要信息系統(tǒng)部門的網(wǎng)站進行了摸底排查，目前發(fā)現(xiàn)不少網(wǎng)站存在安全隱患，發(fā)現(xiàn)高危漏洞5個，中危和低危漏洞16個，網(wǎng)站故障率為20%。由此看來，一些政府單位的相關(guān)網(wǎng)站安全性面臨較大威脅，如何徹底排查、修復(fù)網(wǎng)站的安全問題，已成為現(xiàn)如今做好網(wǎng)絡(luò)安全維護工作最重要的部分，建立一套長效的網(wǎng)絡(luò)安全保證體系是當務(wù)之急。

為此乾冠提出部署網(wǎng)絡(luò)安全應(yīng)急移動管理平臺體系的解決方案。該安全保障體系主要由網(wǎng)站監(jiān)測平臺、網(wǎng)站預(yù)警平臺、移動應(yīng)急指揮三部分構(gòu)成。實現(xiàn)“監(jiān)測、預(yù)警、服務(wù)”安全閉環(huán)式管理。

第一步，建立網(wǎng)站遠程監(jiān)測平臺。網(wǎng)站監(jiān)測平臺是一套軟硬件一體化監(jiān)測平臺，已廣泛用于云平臺、網(wǎng)站和金融機構(gòu)，以云計算和數(shù)據(jù)集中化技術(shù)為依托，采用遠程監(jiān)測方式對網(wǎng)站提供7×24小時實施安全監(jiān)測服務(wù)。

第二步，建立網(wǎng)站安全預(yù)警平臺。網(wǎng)站安全預(yù)警平臺是針對網(wǎng)站的漏洞、可用性、篡改、掛馬、暗鏈、壞鏈、DNS劫持、敏感字等進行實時監(jiān)測和預(yù)警，在發(fā)生安全事件時，第一時間獲悉，并依據(jù)應(yīng)急預(yù)案及時作出應(yīng)對策略，最大限度減少網(wǎng)絡(luò)安全事件帶來的損失。

第三步，部署移動應(yīng)急處置平臺。當出現(xiàn)一個安全事件后，為了及時和統(tǒng)一處理，以及跟蹤處理進度，可以由網(wǎng)站監(jiān)測預(yù)警平臺或者由手機App安全軟件生成運維工單，每一個需要處理的故障告警均以運維工單的形式流轉(zhuǎn)，既方便統(tǒng)一指揮和跟蹤處理情況，也便于日后的統(tǒng)一總結(jié)分析。

篇5

關(guān)鍵詞：調(diào)度數(shù)據(jù)網(wǎng)；網(wǎng)絡(luò)安全；工作監(jiān)測

1電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全在線監(jiān)測工作現(xiàn)狀

1.1設(shè)備運行情況不清晰

交換機以及路由器是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的基礎(chǔ)部分，只有保證此類網(wǎng)絡(luò)設(shè)備運行正常才可以促使整個電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的正常運行。但是工作人員往往不能實現(xiàn)對網(wǎng)絡(luò)設(shè)備運行情況的實時監(jiān)控，進而使得工作人員難以在第一時間了解網(wǎng)絡(luò)設(shè)備的運行情況。一旦發(fā)生網(wǎng)絡(luò)設(shè)備的故障，管理人員難以發(fā)現(xiàn)，給后期的設(shè)備維護工作造成了困難。此外，工作人員因為不能了解網(wǎng)絡(luò)設(shè)備的運行狀態(tài)，所以有關(guān)于設(shè)備的溫度、CPU占用率、電源以及內(nèi)存占用率等基礎(chǔ)信息很難準確掌握，從而在日常檢測設(shè)備時無法及時發(fā)現(xiàn)數(shù)據(jù)異常情況，導(dǎo)致后期網(wǎng)絡(luò)設(shè)備出現(xiàn)故障的風(fēng)險。

1.2設(shè)備故障管理不合理

現(xiàn)階段，工作人員在調(diào)度數(shù)據(jù)網(wǎng)時存在“放小抓大”的設(shè)備故障管理現(xiàn)象，即針對于鏈路通斷、網(wǎng)絡(luò)設(shè)備托管等對整個電網(wǎng)運行影響較大的設(shè)備故障第一時間組織人員，查明問題原因并加以解決，而針對于那些CPU內(nèi)存輕微超標、溫度超標、內(nèi)存超標等小故障未加以重視。電網(wǎng)運行過程中，不僅網(wǎng)絡(luò)設(shè)備的數(shù)量龐大，而且使用過程較為復(fù)雜，若對此類設(shè)備的小故障不加以及時控制，后期往往會發(fā)展為大故障。例如，溫度偏高常常被工作人員所忽視，但是溫度過高現(xiàn)象持續(xù)時間過長會使得網(wǎng)絡(luò)設(shè)備出現(xiàn)重啟現(xiàn)象，不僅對數(shù)據(jù)的安全產(chǎn)生不良影響，而且還會影響正常的工作秩序[1]。

1.3網(wǎng)絡(luò)入侵防御不全面

現(xiàn)階段的電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)防御系統(tǒng)不論是其內(nèi)部核心層還是其外部的接入層，都顯得較為被動，缺少完整的網(wǎng)絡(luò)入侵防御系統(tǒng)，僅憑借二次系統(tǒng)安全防護中之中的縱向認證以及橫向隔離不能保證電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)運行過程安全。在電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)實際運行過程中，利用二次系統(tǒng)防護難以及時對業(yè)務(wù)數(shù)據(jù)中存在的潛在威脅進行有效判斷。例如，黑客病毒、木馬以及蠕蟲等。電子郵件、網(wǎng)頁瀏覽、網(wǎng)絡(luò)的不正規(guī)下載等操作都是感染各種病毒的途徑，傳統(tǒng)的防護僅僅是通過防火墻將流入的信息進行及時過濾，只能對數(shù)據(jù)進行基本的識別，難以保證數(shù)據(jù)的安全性。

1.4內(nèi)部安全防護不完善

電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部的安全隱患有如下3種。第一，惡意攻擊行為。惡意攻擊行為往往是人為的，是現(xiàn)如今電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)面臨的最大威脅，即在保證網(wǎng)絡(luò)系統(tǒng)正常運行的前提下，對電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)之中的業(yè)務(wù)系統(tǒng)進行盜竊、截取以及破譯，進而非法獲得數(shù)據(jù)的行為。第二，無意失誤行為。此種行為常常是因為工作人員的不正規(guī)操作手段使得數(shù)據(jù)出現(xiàn)泄露、丟失等現(xiàn)象，影響內(nèi)部電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的正常運行。第三，系統(tǒng)內(nèi)部漏洞。系統(tǒng)內(nèi)部存在的漏洞是部分不法黑客侵入系統(tǒng)的首選目標。電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的內(nèi)部安全防護不僅應(yīng)該做好對外部入侵的防護，而且需保證防護系統(tǒng)內(nèi)部威脅。但是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)還不能對內(nèi)部的非法授權(quán)訪問、WEB頁面訪問以及用戶數(shù)據(jù)訪問中的流量進行及時監(jiān)測，所以難以對內(nèi)部的安全威脅做到有效控制，使得網(wǎng)絡(luò)內(nèi)部運行狀態(tài)難以達到穩(wěn)定狀態(tài)，一旦發(fā)生網(wǎng)絡(luò)安全事故，難以及時找出原因并且加以解決[2]

1.5網(wǎng)絡(luò)運維工作不周密

電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的運維工作是保證電力系統(tǒng)正常運行的關(guān)鍵，運維工作人員主要應(yīng)該保證整個調(diào)度數(shù)據(jù)的準確性，但是調(diào)度數(shù)據(jù)涉及到的網(wǎng)絡(luò)設(shè)備較多，往往難以保證運維工作效率和質(zhì)量達到規(guī)定標準。此外，現(xiàn)如今的網(wǎng)絡(luò)運維工作常常只負責各種網(wǎng)絡(luò)設(shè)備的故障以及維護工作，而對網(wǎng)絡(luò)中出現(xiàn)的安全事件不重視，未及時查明安全事件發(fā)生的原因。這不僅給后期的運維工作無意間增加了難度，而且還增加了工作人員的工作量。

2電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全在線監(jiān)測工作建議

2.1構(gòu)建網(wǎng)絡(luò)安全管理平臺

工作人員應(yīng)該及時在電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)中構(gòu)建網(wǎng)絡(luò)安全管理平臺，利用網(wǎng)絡(luò)安全管理平臺可以實現(xiàn)對運行的所有網(wǎng)絡(luò)設(shè)備的有效管理。網(wǎng)絡(luò)安全管理平臺是利用SNMP技術(shù)對每一個網(wǎng)絡(luò)設(shè)備的運行狀態(tài)信息進行獲取，在獲取后將信息匯總到系統(tǒng)內(nèi)部，通過對數(shù)據(jù)的分析處理，進而將可能存在運行故障的網(wǎng)絡(luò)設(shè)備及時通知給當?shù)氐墓ぷ魅藛T，以便保證工作人員可以及時對故障進行處理。此外，當網(wǎng)絡(luò)安全管理平臺中出現(xiàn)的設(shè)備故障達到一定數(shù)量時，網(wǎng)絡(luò)安全管理平臺會自動將此類現(xiàn)象升級為安全事件，此時管理人員會在特定地區(qū)內(nèi)部進行重點排查，進而保證電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的正常運行。

2.2重視設(shè)備的實時監(jiān)控

為了盡可能減少人為網(wǎng)絡(luò)故障以及設(shè)備自身網(wǎng)絡(luò)故障現(xiàn)象的發(fā)生，管理人員應(yīng)該保證對網(wǎng)絡(luò)設(shè)備可以做到實時監(jiān)控。第一，網(wǎng)絡(luò)設(shè)備系統(tǒng)的實時監(jiān)視。若想做到對網(wǎng)絡(luò)設(shè)備系統(tǒng)的實時監(jiān)視，工作人員應(yīng)該做好設(shè)備的系統(tǒng)日志，將網(wǎng)絡(luò)設(shè)備運行過程中的系統(tǒng)問題以及軟硬件問題進行及時記錄，然后網(wǎng)絡(luò)安全管理平臺會利用Telnet的方式主動對網(wǎng)絡(luò)設(shè)備系統(tǒng)日志中的數(shù)據(jù)進行分析，依據(jù)電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)中的事故警報級別對系統(tǒng)異常信息進行集中顯示，及時幫助工作人員尋找到可能的事故風(fēng)險。第二，做到網(wǎng)絡(luò)設(shè)備配置的實時監(jiān)視。網(wǎng)絡(luò)設(shè)備的配置主要應(yīng)有如下兩種，運行配置以及啟動配置。運行配置指的是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)設(shè)備運行時的配置；啟動配置指的是設(shè)備啟動時需要加載的配置。網(wǎng)絡(luò)安全管理平臺可以采用Telnet及時將各種設(shè)備進行主動連接，對目前的啟動配置以及運行配置的細節(jié)加以分析，進而實現(xiàn)對網(wǎng)絡(luò)設(shè)備配置的實時監(jiān)控。對網(wǎng)絡(luò)設(shè)備配置進行實時監(jiān)控的主要目的在于可以對目前網(wǎng)絡(luò)設(shè)備的啟動配置和運行配置的協(xié)調(diào)程度進行及時分析，如果發(fā)現(xiàn)配置存在差異，說明此配置有被認為更改的現(xiàn)象，由此可以對目前電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)設(shè)備配置進行實時管理[3]。

2.3設(shè)立入侵防御系統(tǒng)

雖然每個市縣公司內(nèi)部為了應(yīng)對電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的內(nèi)部威脅將防火墻中輸入的數(shù)據(jù)流量進行了實時監(jiān)控，但是此種方法只能避免一些較為簡單的病毒數(shù)據(jù)，而對于復(fù)雜的病毒數(shù)據(jù)難以做到及時清除。因此，工作人員應(yīng)該在電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部設(shè)立入侵防御系統(tǒng)。此種防御系統(tǒng)不但可以對流入數(shù)據(jù)的IP地址進行及時過濾，還可以對應(yīng)用層面所產(chǎn)生的各種惡意代碼以及惡意入侵行為進行檢測，進而作出應(yīng)對措施。入侵防御系統(tǒng)一般使用旁路部署的手段，利用流量鏡像技術(shù)將各個地區(qū)內(nèi)部的核心路由器相互聯(lián)系，對其內(nèi)部的流量數(shù)據(jù)進行分析處理，然后將系統(tǒng)得出的結(jié)果傳遞給中心的管理系統(tǒng)進行匯總，以及時檢測到各種異常行為。

2.4及時監(jiān)測流量以及鏈路

為有效保證電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的運行安全，工作人員應(yīng)該及時對網(wǎng)絡(luò)流量以及鏈路進行監(jiān)測。第一，網(wǎng)絡(luò)流量的監(jiān)測。網(wǎng)絡(luò)流量涉及到的數(shù)據(jù)應(yīng)該及時采集，并且通過對數(shù)據(jù)的分析與統(tǒng)計可以顯示出最近幾個小時內(nèi)的流量趨勢。此外，還可以利用目的IP、源IP以及會話等多方面顯示出各個區(qū)域內(nèi)部的網(wǎng)絡(luò)流量的排名情況，為后期的電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)運營和維護提供基礎(chǔ)數(shù)據(jù)支持。第二，鏈路的監(jiān)測。鏈路的監(jiān)測與網(wǎng)絡(luò)流量的監(jiān)測相似，同樣需要對網(wǎng)絡(luò)流量信息進行監(jiān)測與分析，二者的不同之處在于鏈路監(jiān)測需要對內(nèi)部的比特率進行定期采樣，同時還應(yīng)該通過Ping計算出相應(yīng)的鏈路反應(yīng)時間，最后再將一段時間內(nèi)的鏈路反應(yīng)延遲趨勢進行匯總，進而達到對鏈路的實時監(jiān)測。

2.5合理設(shè)計安全管理框架

安全管理框架是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)穩(wěn)定運行的基礎(chǔ)，主要應(yīng)該注意如下3點。第一，具有可行性。安全管理框架應(yīng)該與區(qū)域內(nèi)部的電力行業(yè)的運行實際情況相匹配，在設(shè)計時應(yīng)該保證管理框架符合目前業(yè)務(wù)水平，實現(xiàn)各種資源的高效利用。第二，符合政策標準。電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的管理框架應(yīng)該以我國的電力行業(yè)的相關(guān)法律法規(guī)為基礎(chǔ)，然后依據(jù)當前的行業(yè)發(fā)展需要合理調(diào)整框架內(nèi)容。第三，具備時效性。目前，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的安全管理框架應(yīng)該根據(jù)實際的發(fā)展需求逐步優(yōu)化，保證管理框架可以與時俱進。

3結(jié)論

現(xiàn)階段，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全應(yīng)該引起工作人員的重視。需及時構(gòu)建網(wǎng)絡(luò)安全管理平臺、重視設(shè)備的實時監(jiān)控、設(shè)立入侵防御系統(tǒng)、及時監(jiān)測流量和鏈路以及合理設(shè)計安全管理框架，盡可能保證內(nèi)部電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的穩(wěn)定、高效運行。

參考文獻：

[1]林承勛.淺析電力調(diào)度數(shù)據(jù)網(wǎng)安全防護設(shè)計與實現(xiàn)[J].通訊世界，2019，26（7）：209-210.

篇6

小企業(yè)希望享受大服務(wù)

近年來,為了解決企業(yè)管理人員的技術(shù)水平難以應(yīng)對不斷翻新的網(wǎng)絡(luò)攻擊問題,也為降低網(wǎng)絡(luò)安全管理和運維人員成本,提升工作效率,一些大型企業(yè)開始購買安全服務(wù),并通過安全評估和應(yīng)急響應(yīng)來幫助他們處理各種管理方面的問題。

趨勢科技最新的《網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)需求調(diào)查報告》顯示,85%以上的用戶認為信息安全領(lǐng)域最大的威脅仍是病毒攻擊;75%的用戶更希望能夠在成本可控制下,有選擇性地購買安全服務(wù);92%的企業(yè)用戶除了防毒能力之外,最關(guān)心防毒廠商是否能提供配套的安全服務(wù)體系。

除此以外,大量權(quán)威調(diào)查機構(gòu)的數(shù)據(jù)都表明,絕大多數(shù)的中小企業(yè)對自身和安全廠商都提出了更高的要求。他們希望以更優(yōu)惠的價格得到廠商更多的服務(wù)支持,并享有大型企業(yè)的安全護航服務(wù)。

某國際貨運公司的CIO董先生表示:“安全運維工作的難點,首先是缺乏專業(yè)的人員協(xié)助處理病毒爆發(fā)事件,其次是我們?nèi)狈χ鲃有詸z測的病毒入侵防御手段,而且IT運維人員可能需要同時肩負多個任務(wù)。在這種情況下,IT運維人員很難完成網(wǎng)絡(luò)巡檢和定期的網(wǎng)絡(luò)健康檢查。”

在很多企業(yè)的實際應(yīng)用中,網(wǎng)絡(luò)管理者很難應(yīng)付大規(guī)模的病毒爆發(fā),企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性面臨多種挑戰(zhàn)。

首先,信息安全管理在任何一個IT系統(tǒng)生命周期中的地位是不變的,無論IT運維投入有多艱難,但對于安全管理來講,永遠是“不怕一萬,就怕萬一”。

其次,就如我們所知道的那樣,有效的信息安全管理包括防范、偵測和應(yīng)急響應(yīng)的互相配合。除了部署強而有力的安全保護措施外,企業(yè)還應(yīng)具備安全事故應(yīng)急能力,以備在發(fā)生“疾病”的時候可以激活配套的響應(yīng)程序。

還有,針對“主動式”的運維需求,IT部門在安全問題處理周期中普遍存在明顯的時間滯后現(xiàn)象,所以尋求外界的支持和幫助必不可少。

專家值守服務(wù)可自助選擇

其實企業(yè)級用戶選擇安全外包或是購買服務(wù)早已不是什么新鮮事了,但對中小企業(yè)用戶來講,一旦網(wǎng)絡(luò)癱瘓,卻很難享受到廠商的安全服務(wù)。因為在網(wǎng)絡(luò)安全廠商提供的服務(wù)方案中,通常會對上門服務(wù)收取高額的費用,這讓中小企業(yè)用戶幾乎沒有選擇的權(quán)利。

近日,趨勢科技提出打造企業(yè)安全“一站式服務(wù)”的解決方案,嘗試將專家值守服務(wù)(EOG)以“自助選擇”的形式提供給中小企業(yè)用戶。中小企業(yè)不但可以根據(jù)自身規(guī)模和行業(yè)安全等級評估的方式購買應(yīng)急響應(yīng)和專家服務(wù),靈活的配套方案還可以使企業(yè)選擇的空間更大。

篇7

關(guān)鍵詞：高校網(wǎng)絡(luò);運維管理;網(wǎng)絡(luò)安全;探討

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1006-8937（2016）03-0067-02

高校網(wǎng)絡(luò)建設(shè)對我國的教育工作有積極的意義，能極大的推動教育現(xiàn)代和信息化建設(shè)。所以，現(xiàn)階段已經(jīng)成為高校建設(shè)工作中的重要環(huán)節(jié)?，F(xiàn)代高校的各個工作環(huán)節(jié)，如行政、教學(xué)和科研等工作，也越來越離不開校園網(wǎng)絡(luò)了。然而，在校園網(wǎng)用戶快速增長的情況下，對整個校園網(wǎng)絡(luò)的管理、維護和高效運行等也提出了更高的要求。因此，有關(guān)高校網(wǎng)絡(luò)的建設(shè)、管理和維護工作也愈發(fā)的受到人們的重視。

1 高效網(wǎng)絡(luò)存在的問題

1.1 高校網(wǎng)絡(luò)的特點

高校網(wǎng)絡(luò)建設(shè)的特點主要集中在以下兩個方面：

第一，現(xiàn)代高校因為在校學(xué)生的規(guī)模越來越大，而且更多的是采用信息化教學(xué)的方式開展教學(xué)工作，這勢必要求校園網(wǎng)絡(luò)增加更多的終端節(jié)點來滿足越來越大的用戶需求，而在此基礎(chǔ)上，就必須要增強網(wǎng)絡(luò)數(shù)據(jù)的傳輸能力。因此，對于高校網(wǎng)絡(luò)最基本一大要求就是能夠高效運行[1]。

第二，基于高效運行校園網(wǎng)絡(luò)的前提，應(yīng)該合理提高管理維護的力度，從而為網(wǎng)絡(luò)運行的高效穩(wěn)定和安全提供可靠保障，讓整個網(wǎng)絡(luò)系統(tǒng)更加理想的運轉(zhuǎn)起來。因為目前高校的上網(wǎng)計費是學(xué)生實名認證，所以，在大規(guī)模的學(xué)生用戶群情況下，要想更好地滿足網(wǎng)絡(luò)的需求，并使其更加安全與穩(wěn)定就成為目前亟待解決的問題。由此看來，對高校網(wǎng)絡(luò)建設(shè)的要求除了運行的穩(wěn)定高效以及安全可靠以外，還要求針對校園網(wǎng)絡(luò)的建設(shè)和管理制度更加完善有效。

1.2 高校網(wǎng)絡(luò)發(fā)展現(xiàn)狀

①缺乏網(wǎng)絡(luò)安全意識，校園網(wǎng)絡(luò)管理機制不完善。網(wǎng)絡(luò)安全的問題出現(xiàn)最主要的原因就是管理制度的不完善以及管理工作人員的安全意識比較薄弱。大多數(shù)的網(wǎng)絡(luò)管理工作人員在日常工作中，對網(wǎng)絡(luò)系統(tǒng)安全監(jiān)測以及病毒防治工作嚴重忽視，并且疏于對網(wǎng)絡(luò)設(shè)備定期進行維護工作，從而導(dǎo)致整個網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全隱患，容易受到病毒的感染或者黑客攻擊[2]。由于大部分高校網(wǎng)絡(luò)用戶都不是專業(yè)人員，他們并不具備專業(yè)的計算機知識，對于網(wǎng)絡(luò)信息安全的防范意識、虛假信息鑒別能力和威脅處理能力都相對較弱，所以導(dǎo)致網(wǎng)絡(luò)安全隱患嚴重。在高校網(wǎng)絡(luò)管理制度不完善的情況下，一旦發(fā)生網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)系統(tǒng)不能第一時間做出應(yīng)對以及防范處理，將會導(dǎo)致嚴重的后果。

②技術(shù)水平存在差距和不足。由于高校網(wǎng)絡(luò)的用戶數(shù)量多，因此網(wǎng)絡(luò)信息節(jié)點就比較多，環(huán)境也相對比較復(fù)雜，存在多種多樣的局域網(wǎng)內(nèi)部Web應(yīng)用程序，同時需要明確區(qū)分學(xué)生宿舍網(wǎng)絡(luò)和教學(xué)辦公區(qū)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)拓撲結(jié)構(gòu)在設(shè)計的過程中應(yīng)站在整體的角度上進行規(guī)劃。大部分的高校在校園網(wǎng)絡(luò)初期建設(shè)的時候會受到技術(shù)與資金的限制，所以僅在校園網(wǎng)內(nèi)外部的互聯(lián)網(wǎng)間加設(shè)防火墻，有的還會直接與互聯(lián)網(wǎng)相連，不能及時采取路由策略、監(jiān)控流量措施以及其他相關(guān)安全措施。隨著高校信息化建設(shè)進程的不斷深化，這樣的安全狀況無疑是將校園內(nèi)部網(wǎng)絡(luò)暴露于整個互聯(lián)網(wǎng)的大環(huán)境中，其中存在的巨大安全隱患是不言而喻的。此外就是，技術(shù)水平的不足會降低大量網(wǎng)絡(luò)使用者的上網(wǎng)體驗度，無形中也會增加接入用戶管理的工作難度。

③單一的網(wǎng)路出口鏈路。就目前來說，讓國內(nèi)主要就是包括以下種網(wǎng)絡(luò)運營商，電信、移動、聯(lián)通，但是，實際上并不能及時解決三者互相聯(lián)通的問題。高校在校園網(wǎng)建設(shè)初期，網(wǎng)絡(luò)運行商的數(shù)量僅有一家，所以，對于網(wǎng)絡(luò)用戶來講，很容易出現(xiàn)互聯(lián)網(wǎng)資源無法訪問的情況。更嚴重的就是，只要網(wǎng)絡(luò)的出口鏈路出現(xiàn)了物理性的損壞，就會導(dǎo)致高校全部的網(wǎng)絡(luò)用戶無法訪問互聯(lián)網(wǎng)[3]。

2 高校網(wǎng)絡(luò)運維管理策略

2.1 建立健全完善的校園網(wǎng)絡(luò)管理機制

針對校園網(wǎng)絡(luò)的運行和維護，校方一方面需要建設(shè)完善的校園網(wǎng)管理機制，另一方面應(yīng)該設(shè)立專門負責網(wǎng)絡(luò)管理的部門直接進行管理，建立一整套運行、管理以及反饋機制，將責任落到實處。此外，制定機房管理制度和科學(xué)合理網(wǎng)絡(luò)管理制度，保障日常的網(wǎng)絡(luò)維護整體質(zhì)量，詳細分析安全系統(tǒng)日志，定期檢查和分析，如果發(fā)生安全事故，及時進行處理上報[4]。此外，還需要做好對高校網(wǎng)絡(luò)用戶的安全意識教育和培養(yǎng)，引導(dǎo)用戶養(yǎng)成良好的上網(wǎng)習(xí)慣，提高用戶的安全防范意識，這樣也可以極大的較少校園網(wǎng)絡(luò)的安全隱患。

2.2 依據(jù)相關(guān)技術(shù)手段，增加網(wǎng)絡(luò)利用率

①從整體上規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)。應(yīng)根據(jù)高校整體的結(jié)構(gòu)來對網(wǎng)絡(luò)結(jié)構(gòu)進行規(guī)劃，分成兩個功能區(qū)域，即教學(xué)行政區(qū)域和學(xué)生生活區(qū)域，進而對上述兩區(qū)域進行細化。在各樓棟間應(yīng)劃分VLAN隔離，這樣就需要利用匯聚交換機與中心機房相連，并且應(yīng)在中心機房中合理設(shè)置認證用戶身份、流量控制、上網(wǎng)行為的管理、防火墻等相關(guān)系統(tǒng)，而后合理連接出口網(wǎng)設(shè)備以及互聯(lián)網(wǎng)[5]。

②控制流量以及負載均衡。流量控制與負載均衡最重要實際上是確保應(yīng)用寬帶，并建立網(wǎng)絡(luò)通道，在符合學(xué)校購買運營商寬帶基本規(guī)范的基礎(chǔ)上，對網(wǎng)絡(luò)相配合時間段進行合理設(shè)置，在相應(yīng)網(wǎng)絡(luò)通道中合理的規(guī)劃和設(shè)計控制流量的方式。從整體來看，應(yīng)合理控制P2P、視頻等高帶寬應(yīng)用，而對于單個用戶，則需要對最大寬帶進行限制，同時根據(jù)網(wǎng)絡(luò)的上下行來分別限制，控制網(wǎng)絡(luò)會話數(shù)，避免形成網(wǎng)絡(luò)異?，F(xiàn)象[6]。應(yīng)實現(xiàn)網(wǎng)絡(luò)用戶計費認證在接入層交換機中的處理，有效地提高認證的效率，并且能夠使各建筑匯聚層的交換機負擔減少，進而對接入的網(wǎng)絡(luò)用戶更有效地控制，并為其認證計費提供有力的保障。

③引入多家網(wǎng)絡(luò)運營商，采用策略路由。要更好地增加網(wǎng)路鏈路質(zhì)量以和抗風(fēng)險能力，此時需要合理引進多家網(wǎng)絡(luò)運營商。規(guī)劃網(wǎng)絡(luò)的過程中，保證能夠合理分配各運營商線路寬帶。通過適當應(yīng)用策略路由技術(shù)以及智能DNS技術(shù)，可以在一定程度上訪問高效外部網(wǎng)絡(luò)中，線路智能切換，并且還可以智能識別高校內(nèi)部用戶向互聯(lián)網(wǎng)訪問，從而增加訪問的速度，阻止運營商間出現(xiàn)互聯(lián)。此外，如果某運營商的線路出現(xiàn)了物理性損壞，應(yīng)該及時啟動備用網(wǎng)絡(luò)線路，這樣就能夠使高校和外部互聯(lián)始終保持連接狀態(tài)。

3 結(jié) 語

綜上所述，在教育信息化建設(shè)不斷深入的背景下，校園網(wǎng)的網(wǎng)絡(luò)也會逐漸被高校的日常教學(xué)、科研以及管理工作廣泛應(yīng)用，并且成為其重要的基礎(chǔ)設(shè)施。

而要建立完善有效的高校網(wǎng)絡(luò)安全系統(tǒng)，網(wǎng)絡(luò)運維管理擁有一定效果，就要全面認識到網(wǎng)絡(luò)自身存在的脆弱性特點以及其中潛在的安全隱患。積極制定出高校信息系統(tǒng)的安全管理制度并貫徹落實，同時有機集合身份認真技術(shù)、管理上網(wǎng)行為、控制流量等有關(guān)技術(shù)，確保建設(shè)高校網(wǎng)絡(luò)的時候，可以為信息化提供更好的服務(wù)，以便于完全展示自身價值。

參考文獻：

[1] 周健飛.高校網(wǎng)絡(luò)運維管理與安全討論[J].企業(yè)技術(shù)開發(fā)（下半月），

2014，（7）.

[2] 郭智泉.高校網(wǎng)絡(luò)運維管理平臺建設(shè)探討[J].信息安全與技術(shù)，2013，

（9）.

[3] 王宇，溫占考，吳煒鑫，等.高校網(wǎng)站運維隊伍建設(shè)之道[J].中國教育網(wǎng) 絡(luò)，2015，（7）.

[4] 楊坤.高校網(wǎng)絡(luò)安全管理體系研究[D].大連：大連海事大學(xué)，2010.

篇8

【 關(guān)鍵詞 】 桌面虛擬化；勘察設(shè)計企業(yè)；實施總結(jié)

1 引言

在如今炙手可熱的云計算討論和實踐中，桌面虛擬化作為一種新型業(yè)務(wù)交付模式，完全顛覆了傳統(tǒng)意義上的終端部署和管理概念，各種應(yīng)用或操作系統(tǒng)均能夠以服務(wù)的方式通過網(wǎng)絡(luò)提供給任何終端用戶使用，其集中化和虛擬化的特點不僅僅大大增強內(nèi)部系統(tǒng)及網(wǎng)絡(luò)的安全性，也減少了網(wǎng)絡(luò)運維的復(fù)雜程度和運維成本，其動態(tài)的虛擬化資源提供給用戶使用，支持IT部門在大量增加資源的同時無需顯著增加相應(yīng)的人員進行維護和管理，對打造“綠色IT”和低碳經(jīng)濟建設(shè)具有非常重要的意義。

正是桌面虛擬化技術(shù)具有這些優(yōu)勢，各大企業(yè)紛紛對其躍躍欲試，希望憑借該技術(shù)優(yōu)化IT架構(gòu)和資源利用率，提高運維效率，但桌面虛擬化是否適合所有的企業(yè)？企業(yè)該如何決策？如何規(guī)劃自身的虛擬化建設(shè)之路？本文將重點對勘察設(shè)計企業(yè)部署桌面虛擬化時需要考慮的因素以及對運維模式的改變進行分析和總結(jié)。

2 經(jīng)驗總結(jié)

在制定勘察設(shè)計企業(yè)桌面虛擬化架構(gòu)實施方案時，應(yīng)重點從幾個方面考慮。

2.1 業(yè)務(wù)特點分析

我們大體可按照勘察設(shè)計企業(yè)信息系統(tǒng)中業(yè)務(wù)特點分為幾類。

辦公管理類：主要使用文檔編輯軟件（如MS Office），訪問OA或電子郵件系統(tǒng)進行信息交換。

圖形處理類：主要使用CAD類軟件進行二維圖形處理，或使用3D MAX、CATIA、REVIT類軟件進行三維圖形處理，或進行視頻等非線形圖形處理。

計算類：主要使用有限元分析軟件和流體動力學(xué)軟件進行分析，如使用ANSYS、SAP2000、MIDAS、CFD等軟件對結(jié)構(gòu)、流體等進行有限元分析和處理。

目前桌面虛擬化技術(shù)在政府單位推廣的成功案例較多，因為這類單位應(yīng)用軟件種類較少，各終端所使用的軟件基本相同，所占用的資源主要是CPU、內(nèi)存、硬盤等，這類資源對于服務(wù)器來說是較為容易獲得和分配使用的。

咨詢設(shè)計類公司想要利用目前的技術(shù)實現(xiàn)桌面虛擬化是有很大難度的，主要是由于目前咨詢設(shè)計類公司普遍使用的圖形處理軟件恰恰是服務(wù)器的軟肋，為服務(wù)器加裝圖形處理器（GPU），卻因為顯卡虛擬化技術(shù)尚未成熟，而不能形成虛擬化的資源池供終端使用，且成本偏高，這些都成為桌面虛擬化在咨詢設(shè)計類公司推廣的阻力。

2.2 投資成本分析

據(jù)不完全統(tǒng)計，國內(nèi)普遍采用的設(shè)備更新?lián)Q代的周期一般為5年，約每年更新20%的設(shè)備，按1000臺辦公管理類終端規(guī)模計算，每臺終端主機3000元，每年更新終端設(shè)備投入約需60萬元，5年為300萬元，如果將全部終端虛擬化，按每臺服務(wù)器約負載40客戶端，一次性軟硬件投資約需200萬元，較傳統(tǒng)終端模式節(jié)約成本33.3%，且服務(wù)器、存儲等設(shè)備由于其硬件方面的特性，更新周期普遍超過5年，由此從長期來看虛擬化技術(shù)在軟硬件資本投入方面優(yōu)勢很大。

但受制于前面所述的虛擬化技術(shù)在圖像處理方面的軟肋，如果采用圖形處理器虛擬化技術(shù)，其硬件投入將很大（目前支持多核GPU的硬件成本較高），在勘察設(shè)計企業(yè)對圖形處理桌面采用虛擬化技術(shù)成本將很高。

如果從節(jié)能角度上分析，雖然終端主機的功耗會由傳統(tǒng)模式下的250W以上，下降為采用瘦客戶機的25W左右，但是考慮到因虛擬化而增加的服務(wù)器、存儲設(shè)備以及相應(yīng)的空調(diào)等制冷設(shè)備的能耗，節(jié)能所帶來的資本節(jié)約并不會達到一些宣傳所描述的效果。

通過以上分析，在勘察設(shè)計企業(yè)推行虛擬化技術(shù)，應(yīng)按照終端的業(yè)務(wù)類型進行區(qū)分部署，對于以使用辦公類軟件為主的終端，可采用虛擬桌面架構(gòu)（比如Citrix 的VDI方式）；對于以使用二維、三維圖形處理軟件為主的終端，建議采用無盤工作站或無盤PC機+統(tǒng)一桌面標準化的技術(shù)架構(gòu)，既實現(xiàn)了數(shù)據(jù)的集中，又利用本地終端的計算資源保證了終端用戶的使用體驗。

2.3 對系統(tǒng)運維的要求

在采用虛擬化技術(shù)后，系統(tǒng)運維的方式、管理的方法會產(chǎn)生很多變化，主要集中在幾方面。

1）可靠性要求

在采用桌面虛擬化技術(shù)后，終端的數(shù)據(jù)集中在主機房的存儲設(shè)備內(nèi)，運維的風(fēng)險由分散在各個終端轉(zhuǎn)為相對集中，這其實如同“是否應(yīng)將雞蛋放在一個籃子里”這個命題，分散的雞蛋摔碎的可能性很高，但是將所有雞蛋集中，如果不保護好籃子，可能一次事故就導(dǎo)致所有雞蛋破碎。

所以，采用虛擬化技術(shù)，首先，且至少應(yīng)為虛擬化服務(wù)器配備雙機熱備，雙盤陣熱備，其次，絕不能忽視機房的物理安全建設(shè)，包括防火、防水、UPS電源以及機房空調(diào)。

根據(jù)實際建設(shè)的經(jīng)驗，在這種多服務(wù)器，高散熱量的機房內(nèi)，機房空調(diào)往往成為故障率最高的設(shè)備，而其故障將導(dǎo)致機房溫度迅速升高，設(shè)備在高溫環(huán)境下極有可能損毀，造成無法挽回的損失，因此需要重點關(guān)注機房的通風(fēng)建設(shè)，機房空調(diào)，應(yīng)配備相應(yīng)的應(yīng)急制冷設(shè)備。

2） 運維管理人員要求

首先，虛擬化技術(shù)對于習(xí)慣于傳統(tǒng)運維的人員來說，屬于相對陌生的一項技術(shù)，需要一段時間適應(yīng)其架構(gòu)，運維建設(shè)方法，理解相應(yīng)的底層技術(shù)。因為只有充分掌握其技術(shù)和原理，不僅僅保證了對虛擬設(shè)備的高效運維，更高層面的是可以按照自身信息系統(tǒng)的管理目標，制定切實可行的信息系統(tǒng)管理策略和制度，比如臺賬是信息系統(tǒng)管理的基礎(chǔ)，傳統(tǒng)信息系統(tǒng)賬基本信息會包括設(shè)備責任人、部門、IP地址、MAC地址、物理位置、用途等。

但是對于虛擬化架構(gòu)的信息系統(tǒng)，由于物理終端可能是用戶隨意挑選使用的瘦客戶機，其多采用DHCP方式設(shè)置物理設(shè)備的地址往往不具有實際意義，而其所真正訪問應(yīng)用系統(tǒng)的虛擬主機的IP地址才是網(wǎng)絡(luò)層中的終端地址，通過這個地址的行為才是更需要進行嚴格管理和監(jiān)督的，應(yīng)通過虛擬主機的IP地址與用戶身份綁定技術(shù)保證相關(guān)行為的可審計、可追溯。

因此，對于瘦客戶機類的物理設(shè)備，因重點關(guān)注其準入控制的有效性，可對準入設(shè)備的信息登記和審批流程進行嚴格控制，對其責任人等信息可以忽略，而對于運行于瘦客戶機上的虛擬主機，應(yīng)通過技術(shù)手段使地址與用戶身份綁定。

其次，由于運維模式的轉(zhuǎn)變，新架構(gòu)下運維人員僅需在后臺點擊鼠標即可完成一臺虛擬主機的配置，甚至是所有主機的配置，運維人員的誤操作將有可能導(dǎo)致大量的終端無法使用，所以配置管理在這種架構(gòu)下顯得尤為重要，如有可能配備相關(guān)的運維監(jiān)控系統(tǒng)（如堡壘主機等），并通過合理的備份機制降低數(shù)據(jù)風(fēng)險（在存儲空間允許的條件下盡可能縮短備份周期），將應(yīng)急演練作為運維體系工作中的重要檢驗手段切實執(zhí)行，并通過不斷的完善以提高系統(tǒng)恢復(fù)能力，降低終端宕機時間。

3） 網(wǎng)絡(luò)安全防護要求

從信息防泄漏防護上看，新的架構(gòu)要求運維管理人員把以前集中在終端防護的策略，調(diào)整為集中在應(yīng)用層的訪問控制、權(quán)限劃分以及身份認證方面，因為終端數(shù)據(jù)的集中以及其動態(tài)性是桌面虛擬化的一個特點，信息安全防護策略必須隨之進行優(yōu)化調(diào)整，仍然強調(diào)終端管理勢必造成使用便易性的降低，但并沒有換來安全性的相應(yīng)提高。

因此應(yīng)集中更多的資源在應(yīng)用和集中后的數(shù)據(jù)防護上，從這點上看，傳統(tǒng)的網(wǎng)絡(luò)防護設(shè)備如防火墻、入侵檢測等設(shè)備仍然是網(wǎng)絡(luò)安全防護體系中的必需設(shè)備，不會受到桌面虛擬化技術(shù)的沖擊，應(yīng)該隨時關(guān)注并引進虛擬化的網(wǎng)絡(luò)安全防護產(chǎn)品，以應(yīng)對新模式的挑戰(zhàn)。特別需要注意備份和災(zāi)備恢復(fù)系統(tǒng)，這些系統(tǒng)將成為數(shù)據(jù)安全防護中的重點設(shè)備。

3 結(jié)束語

是否采用桌面虛擬化技術(shù)，企業(yè)應(yīng)充分考慮自身的業(yè)務(wù)特點和成本投資，選擇適合自身業(yè)務(wù)特點的桌面虛擬化架構(gòu)，充分考慮數(shù)據(jù)集中后風(fēng)險由分散變?yōu)榧械母淖?，做好后臺硬件的準備。

在建設(shè)時，應(yīng)先從成熟的業(yè)務(wù)部門開始推廣，逐步摸索其技術(shù)特點，培養(yǎng)運維人員成長，通過打造一支自己的虛擬化運維團隊，建立一套適合自身發(fā)展的信息系統(tǒng)管理模式，完善相應(yīng)的管理策略和制度，在軟、硬件條件相對成熟的條件下，分布實施，全面推廣，才能使用戶切身感受到虛擬化技術(shù)的先進性，運維人員也能從日常繁瑣的維護工作中解放，這樣建立起的虛擬化架構(gòu)信息系統(tǒng)將更加適應(yīng)企業(yè)的發(fā)展，真正成為企業(yè)發(fā)展的助推器。

參考文獻

[1] 劉昌， 馮炎. 桌面虛擬化及其在知識型企業(yè)的應(yīng)用方案. 中國信息界， 2011，（08）.

[2] 王銳.桌面虛擬化技術(shù)的關(guān)鍵技術(shù)研究與應(yīng)用.數(shù)字技術(shù)與應(yīng)用， 2013年02期.

[3] 魯曉衛(wèi)，肖鈞，汪國紅，李振華，嵇筱燾.企業(yè)桌面虛擬化應(yīng)用新方案探究.2012年MIS/S&A學(xué)術(shù)交流會議論文集.

[4] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析.信息網(wǎng)絡(luò)安全，2012，（05）.

[5] 陶玉龍，盧凱，王小平等.面向云服務(wù)的高性能計算柔平臺.信息網(wǎng)絡(luò)安全，2012，（06）.

篇9

[關(guān)鍵詞]安全運維平臺;關(guān)鍵技術(shù)

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-914X（2016）22-0133-01

0 引言

當今實際處于信息技術(shù)迅速普及的時代，各行各業(yè)的業(yè)務(wù)領(lǐng)域都在不斷地擴大，信息化建設(shè)的程度也在逐漸提高。很多企業(yè)在規(guī)模迅速擴張的時候卻忽視了信息化建設(shè)的整體規(guī)劃，導(dǎo)致安全運維工作嚴重滯后于經(jīng)濟發(fā)展工作，給業(yè)務(wù)的持續(xù)性和可靠性帶來危機，本文筆者闡述了安全運維所需的關(guān)鍵技術(shù)：

1 從多元化、異結(jié)構(gòu)的設(shè)備中進行數(shù)據(jù)采集并將其標準化的技術(shù)

（一）數(shù)據(jù)采集

數(shù)據(jù)采集以遵循snmp、syslpg、telnet等網(wǎng)管協(xié)議或者日志文件為前提，并在此基礎(chǔ)上實施風(fēng)險評估、故障分析、安全監(jiān)測和網(wǎng)絡(luò)監(jiān)控等信息收集工作。日常安全運維中通常通過服務(wù)器運行狀態(tài)信息、數(shù)據(jù)轉(zhuǎn)發(fā)、網(wǎng)絡(luò)流量和防火墻的攻擊日志等途徑進行信息的收集。數(shù)據(jù)采集并沒有對采集的內(nèi)容和采集的形式進行規(guī)范化要求，在本質(zhì)上它就是從信息網(wǎng)絡(luò)中獲取信息的過程，只要能夠滿足為某種目的的分析活動持續(xù)、有效、正確地收集信息的目的，我們都可以將之成為數(shù)據(jù)采集。數(shù)據(jù)采集在安全運維管理中的作用可見一斑。舉例來說，監(jiān)控中心的職責就是圖形化展示業(yè)務(wù)系統(tǒng)信息和設(shè)備安全信息并對日志進行審計，所以它需要直接對數(shù)據(jù)進行處理;分析中心則是分析各個安全設(shè)備的警告事件并實施關(guān)聯(lián)分析的場所，數(shù)據(jù)采集對二者都至關(guān)重要。

當前安全運維平臺的數(shù)據(jù)采集存在以下弊端：首先，產(chǎn)品類別紛雜。企業(yè)在數(shù)字化和信息化過程中產(chǎn)生了購買大量產(chǎn)品的需求，而這些產(chǎn)品往往都是不同廠商、不同品牌的，如微軟、華為、思科等，這就導(dǎo)致了功能的重疊和交叉，比如在防火墻、路由器、交換機、數(shù)據(jù)庫和操作系統(tǒng)上存在著一致性的功能;其次，部署地點地理位置懸殊。各個設(shè)備和應(yīng)用系統(tǒng)并不是集成化部署和安排，而是分別部署在不同的機房或者安全域之內(nèi)，客觀上存在著層級關(guān)系，給數(shù)據(jù)采集帶來了難度;再次，事件類型和發(fā)送方式存在差異。各個品牌對事件的描述都有自己的字段和格式，還可能通過不同的協(xié)議方式進行數(shù)據(jù)的發(fā)送，導(dǎo)致了采集來的數(shù)據(jù)適用性和靈活性都受到限制。

針對數(shù)據(jù)采集的上述弊端，筆者認為采取多元化的方法對所有設(shè)備進行數(shù)據(jù)采集是可行之策。以下方法可以考慮其中：基于網(wǎng)絡(luò)的數(shù)據(jù)采集、基于主機的數(shù)據(jù)采集、基于syslog采集設(shè)備的日志信息、基于SNMP trap的數(shù)據(jù)采集、基于文本方式的數(shù)據(jù)采集。多元化的數(shù)據(jù)采集方式能夠提升數(shù)據(jù)的兼容性和適用性，便于進行后續(xù)的分析工作。

（二）事件標準化

時間標準化是一種翻譯機制，它能夠?qū)踩录凑战y(tǒng)一的格式進行處理。事件標準化的過程就是對從不同設(shè)備中采集的事件信息進行規(guī)范化處理，使之能夠被系統(tǒng)識別的過程。數(shù)據(jù)標準化在內(nèi)容上涵蓋了數(shù)據(jù)格式、字段名稱、事件名稱的標準化。我們不難看出，標準化的目的是統(tǒng)一安全事件的格式和信息，從而便于后續(xù)的關(guān)聯(lián)分析。數(shù)據(jù)標準化應(yīng)該盡可能遵循兩個原則：第一，盡可能保持數(shù)據(jù)的完整性，使得原始事件中的所有信息填充到標準化事件記錄中，以使其在服務(wù)器終端中的適用性更高;第二，標準化過程需要預(yù)留一些字段，為以后的信息擴展做出準備。標準化的事件字段應(yīng)該包括事件編號、事件名稱、事件內(nèi)容、事件類型、設(shè)備地址、設(shè)備名稱、設(shè)備類型、威脅級別、原始級別、事件時間、原始時間、協(xié)議、源地址、源子網(wǎng)掩碼、目的地址、目的子網(wǎng)掩碼等內(nèi)容。

另外，數(shù)據(jù)標準化之后、關(guān)聯(lián)分析之前，要進行時間信息補全工作，將分析的精確度和準確度提升到一定高度。在實際安全運維中通常需要做的是事件的威脅級別和資產(chǎn)信息補全工作。

2 多個安全域情境下的地圖動態(tài)報警技術(shù)

（一）劃分安全域

在復(fù)雜和龐大的信息網(wǎng)絡(luò)之中，對資產(chǎn)最理想的管理狀態(tài)是確定一種可以精細化管理的方法，但是精細化管理的代價是管理成本的上升和管理工作復(fù)雜性的增加，并且更容易因為錯誤或者疏忽造成嚴重的安全漏洞。但是從另一個層面來看，如果對所有的防護對象采取同種安全等級防護又會喪失防護重點，導(dǎo)致數(shù)據(jù)保護難以做到有的放矢，風(fēng)險管控能力大大降低。因此，采取分安全域進行防護的方式是相對科學(xué)的一種防護方法，劃分安全域就是將網(wǎng)絡(luò)結(jié)構(gòu)和物理區(qū)域進行分區(qū)管理的過程，每一個安全域在安全級別、安全威脅、安全防護上應(yīng)該具有一致性，這樣所有的資產(chǎn)都能夠劃分到不同級別的安全域之中去，實現(xiàn)針對新安全防護。劃分安全域進行防護在本質(zhì)上是對復(fù)雜環(huán)境分解、使之成為簡單組合的過程，整個復(fù)雜、龐大的網(wǎng)絡(luò)信息能夠分散到不同的安全域中，這樣能夠?qū)崿F(xiàn)全方位、多角度的保護形態(tài)。

在對企業(yè)業(yè)務(wù)系統(tǒng)進行分析之后，安全域可以在大體上劃分為安全用戶域、安全網(wǎng)絡(luò)域、業(yè)務(wù)服務(wù)域、基礎(chǔ)保障域幾類。安全用戶域包含了企業(yè)內(nèi)部系統(tǒng)中的管理維護終端和用戶終端，它們經(jīng)常和業(yè)務(wù)用戶域發(fā)生關(guān)聯(lián)，因此需要在終端桌面安全管理、訪問控制、日志審計上下功夫;安全網(wǎng)絡(luò)域則是指網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲方面的安全域內(nèi)容，對整個系統(tǒng)的網(wǎng)絡(luò)安全性和可用性負責，該域需要做好域間的安全隔離工作并進行邊界保護;業(yè)務(wù)服務(wù)域則是指業(yè)務(wù)服務(wù)器、業(yè)務(wù)數(shù)據(jù)庫等業(yè)務(wù)系統(tǒng)，是整個安全域中的核心子域，需要在防范病毒攻擊、木馬植入、信息篡改和盜取、數(shù)據(jù)丟失方面做好足夠的安全工作;基礎(chǔ)保障域提供的是基礎(chǔ)性的安全服務(wù)，主要涵蓋身份認證、訪問控制、補丁管理和策略管理等內(nèi)容。

（二）動態(tài)地圖報警技術(shù)

通常的安全運維管理在發(fā)生報警事件的時候都是以記錄的形式顯示的，但是這樣做的一大弊端是管理員查看非常不方便，難以快速找到并定位安全事件。所以筆者認為經(jīng)報警事件和地圖技術(shù)結(jié)合是非常有效的一種方法。當安全事件發(fā)生的時候，地圖監(jiān)控動態(tài)地顯示警報信息，并且允許管理員點擊查看該信息。

多個安全域情境下的地圖動態(tài)報警首先需要進行配置工作：劃分安全域、配置地圖、創(chuàng)建資產(chǎn)、標識位置并分配安全域;其次要進行監(jiān)控工作：發(fā)現(xiàn)警報并查看信息;再次要對警報進行管理：通報警告、工單響應(yīng)處理。

參考文獻：

[1] 王雪芳，薛紅榮，基于深層數(shù)據(jù)集成的統(tǒng)一網(wǎng)絡(luò)安全管理關(guān)鍵技術(shù)研宄[J].產(chǎn)業(yè)與科技論壇，2011.

篇10

【關(guān)鍵詞】 安全審計 運維 安全風(fēng)險 身份認證 授權(quán)

1 安徽鴻聯(lián)物流有限公司業(yè)務(wù)系統(tǒng)現(xiàn)狀

隨著網(wǎng)絡(luò)的快速發(fā)展，安徽鴻聯(lián)物流有限公司的業(yè)務(wù)系統(tǒng)日益增加，面對大量的設(shè)備，如何提高網(wǎng)絡(luò)系統(tǒng)的運維效率成為目前的一大難題。目前安徽鴻聯(lián)物流有限公司內(nèi)部日常運維的安全現(xiàn)狀如下。

（1）針對核心服務(wù)器缺乏必要的審計手段，僅能通過監(jiān)控錄像、雙人分段或?qū)Ｈ吮４婷艽a、操作系統(tǒng)日志結(jié)合手工記錄操作日志等管理辦法，無法追溯操作人員在服務(wù)器上的操作過程、了解操作人員行為意圖，并且這樣的管理成本很高，很難做到長期照章執(zhí)行。

（2）對服務(wù)器的維護和管理依賴于操作系統(tǒng)的口令認證，口令具有可被轉(zhuǎn)授、被窺探及易被遺忘等弱點，另外，在實際環(huán)境中還存在經(jīng)常使用Root權(quán)限帳戶而導(dǎo)致授權(quán)不方便等現(xiàn)象，使得管理困難，成本較高。

（3）針對許多外包服務(wù)商、廠商技術(shù)支持人員、項目集成商等在對內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行現(xiàn)場調(diào)試或遠程技術(shù)維護時，無法有效的記錄其操作過程、維護內(nèi)容，極容易泄露核心機密數(shù)據(jù)或遭到潛在的惡意破壞。

隨著應(yīng)用系統(tǒng)的不斷增加，運維系統(tǒng)安全風(fēng)險也會不斷暴露出來。由于設(shè)備和服務(wù)器眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響業(yè)務(wù)的運行效能，并對安徽鴻聯(lián)物流有限公司的聲譽造成重大影響。另外黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或整個單位內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。安徽鴻聯(lián)物流有限公司的支撐系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)都有一套獨立的帳號體系，用戶為了方便登陸，經(jīng)常出現(xiàn)多人共用帳號的情況。多人同時使用一個系統(tǒng)帳號在帶來方便性的同時，導(dǎo)致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關(guān)人員，會使這個帳號的安全無法保證。由于共享帳號是多人共同使用，發(fā)生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復(fù)雜化。

如何提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關(guān)標準要求，越來越成為企事業(yè)單位關(guān)心的問題。

2 安徽鴻聯(lián)物流有限公司業(yè)務(wù)系統(tǒng)運維安全風(fēng)險分析

2.1 傳統(tǒng)的運維模式中人員和賬號的管理帶來的安全隱患

安徽鴻聯(lián)物流有限公司的業(yè)務(wù)支撐系統(tǒng)中有大量的網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)和應(yīng)用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務(wù)系統(tǒng)。各應(yīng)用系統(tǒng)都有一套獨立的帳號體系，用戶為了方便登陸，經(jīng)常出現(xiàn)多人共用帳號的情況。

多人同時使用一個系統(tǒng)帳號在帶來方便性的同時，導(dǎo)致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關(guān)人員，會使這個帳號的安全無法保證。

由于共享帳號是多人共同使用，發(fā)生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復(fù)雜化。

如圖1所示，賬號的共享或一人使用多個賬號會導(dǎo)致整個運維管理過程的復(fù)雜混亂。由于整個運維過程的不定因素太多，使得整個運維過程不可控。不僅僅給運維人員帶來了巨大的麻煩，而且讓管理人員也無法準確的定位責任人，如果公司長期的在這種傳統(tǒng)的運維模式下運維，將會給公司帶來巨大的損失，甚至還無法追究責任，所以我們要建立新的運維模式和運維理念。

2.2 授權(quán)不清晰引發(fā)的問題

再優(yōu)秀的管理者也不可能做完所有的事情，因此，一個優(yōu)秀的管理者必須學(xué)會授權(quán)，并且要避免因授權(quán)不當而帶來的管理混亂。

管理者如何進行授權(quán)，是安徽鴻聯(lián)物流有限公司管理的一個深刻命題。做過管理的人都應(yīng)該知道，授權(quán)在安徽鴻聯(lián)物流有限公司網(wǎng)絡(luò)系統(tǒng)管理中是非常重要的。但是，很多管理者在授權(quán)時，要么顧慮重重，對誰也不放心；要么授權(quán)不當，缺乏監(jiān)督制度，造成管理混亂。 這在IT運維中也存在著類似的問題，所以讓每個運維人員在自己責任范圍內(nèi)正確安全的使用自己的每一個權(quán)限十分重要。

而往往在傳統(tǒng)的運維模式中，授權(quán)是不清晰的，例如：運維人員登錄的某臺服務(wù)器或者某個核心交換機等關(guān)鍵性設(shè)備的時候，他將擁有很大的或者是超越自己權(quán)限范圍的權(quán)限，同時他也可以做一些越權(quán)的操作，比如是重啟或是其他的敏感操作。也許他的操作是惡意或是無意，但是都將引發(fā)不可估量或者無法挽回的后果。

面對以上傳統(tǒng)運維模式中授權(quán)不清晰引發(fā)的問題，我們要足夠的重視，在一個理想的運維模式中，我們需要對運維人員的權(quán)限或者是訪問的權(quán)限進行精確的定位。

2.3 運維人員操作過程的審計

各系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的。每個網(wǎng)絡(luò)設(shè)備，每個主機系統(tǒng)分別進行審計，安全事故發(fā)生后需要排查各系統(tǒng)的日志，但是往往日志找到了，也不能最終定位到行為人。

另外各系統(tǒng)的日志記錄能力各不相同，例如對于Unix系統(tǒng)來說，日志記錄就存在以下問題：

Unix系統(tǒng)中，用戶在服務(wù)器上的操作有一個歷史命令記錄的文件，但是root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經(jīng)變的不可信；無法記錄操作人員、操作時間、操作結(jié)果等。

2.4 缺乏身份認證及識別機制

管理者為了保護重要系統(tǒng)的安全，實施了雙人分段管理密碼、操作系統(tǒng)與數(shù)據(jù)庫管理人員的權(quán)限分離、禁止混崗等策略，但實際工作中難免有工作或賬戶使用交叉情況出現(xiàn)，存在著無法對自然人身份的強制識別和認證風(fēng)險。

2.5 傳統(tǒng)網(wǎng)絡(luò)安全審計系統(tǒng)無法滿足的運維審計和管理要求

2.5.1 無法審計運維加密協(xié)議、遠程桌面內(nèi)容

為了加強信息系統(tǒng)風(fēng)險內(nèi)控管理，一些用戶已部署網(wǎng)絡(luò)安全審計系統(tǒng)，希望達到對運維人員操作行為監(jiān)控的目的。由于傳統(tǒng)網(wǎng)絡(luò)安全審計的技術(shù)實現(xiàn)方式和系統(tǒng)架構(gòu)（主要通過旁路鏡像或分光方式，分析網(wǎng)絡(luò)數(shù)據(jù)包進行審計），導(dǎo)致該系統(tǒng)只能對一些非加密的運維操作協(xié)議進行審計，如telnet；卻無法對維護人員經(jīng)常使用的SSH、RDP等加密協(xié)議、遠程桌面等進行內(nèi)容審計，無法有效解決對運維人員操作行為的監(jiān)管問題。

2.5.2 基于IP的審計，難以準確定位責任人

大多數(shù)網(wǎng)絡(luò)安全審計系統(tǒng)，只能審計到IP地址，難以將IP與具體人員身份準確關(guān)聯(lián)，導(dǎo)致發(fā)生安全事故后，如何追查責任人，反而又成為新的難題。