網(wǎng)絡(luò)安全運(yùn)維管理范文
時(shí)間:2024-01-12 17:50:01
導(dǎo)語(yǔ):如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全運(yùn)維管理,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
以Internet、云計(jì)算、物聯(lián)網(wǎng)為代表的信息化浪潮一次次席卷全球,信息技術(shù)的應(yīng)用不斷深入,逐漸覆蓋到日常生產(chǎn)、生活的方方面面。Internet所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí),對(duì)安全提出了越來(lái)越高的要求。如何保障信息網(wǎng)絡(luò)系統(tǒng)安全已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所必需考慮和解決的重要問(wèn)題。企業(yè)園區(qū)網(wǎng)絡(luò)作為企業(yè)的神經(jīng)中樞,它的安全穩(wěn)定運(yùn)行對(duì)于整個(gè)企業(yè)的日常生產(chǎn)與信息安全都具有重要的意義。
作為企業(yè)園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員,我們必須了解園區(qū)網(wǎng)絡(luò)面臨的多方面的安全威脅,從而制定相應(yīng)的管理措施,以保障網(wǎng)絡(luò)的安全與穩(wěn)定。
1 園區(qū)安全風(fēng)險(xiǎn)分析
1.1 內(nèi)部局域網(wǎng)的安全威脅
在已知的網(wǎng)絡(luò)維護(hù)安全事件中,約70%的攻擊是來(lái)自局域網(wǎng)。首先,局域網(wǎng)中用戶之間經(jīng)常通過(guò)網(wǎng)絡(luò)共享資源,給病毒的傳播提供了便捷;其次,內(nèi)部管理人員有意或者無(wú)意泄漏系統(tǒng)管理員的用戶名、口令、內(nèi)部網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)以及其他一些重要信息等,這有可能加大網(wǎng)絡(luò)安全事件造成的損失。另外,由于局域網(wǎng)內(nèi)的用戶主機(jī)、服務(wù)器等直接或者間接連接到同一臺(tái)網(wǎng)絡(luò)設(shè)備上,局域網(wǎng)的高帶寬也在加快病毒的傳播速度的同時(shí),加劇病毒對(duì)網(wǎng)絡(luò)的影響程度。
1.2 廣域網(wǎng)、用戶遷移的安全威脅
其他區(qū)域網(wǎng)絡(luò)感染的病毒有可能通過(guò)廣域網(wǎng)傳播到本地區(qū)域網(wǎng),也可能隨著用戶出差、變換工作地點(diǎn)、同一臺(tái)機(jī)器在不同的網(wǎng)絡(luò)環(huán)境中使用等原因?qū)⒉《編氡镜貐^(qū)域網(wǎng)。
1.3 電子郵件應(yīng)用安全威脅
電子郵件是最為廣泛的網(wǎng)絡(luò)應(yīng)用之一。局域網(wǎng)用戶除了使用企業(yè)內(nèi)部郵箱收發(fā)系統(tǒng)內(nèi)辦公郵件以外,也會(huì)接受一些來(lái)自Internet的不明郵件,這給入侵者提供機(jī)會(huì),給系統(tǒng)帶來(lái)了不安全因素。
1.4 來(lái)自Internet的安全威脅
來(lái)自Internet的安全威脅非常多,園區(qū)網(wǎng)絡(luò)一般只會(huì)開(kāi)啟互聯(lián)網(wǎng)的網(wǎng)頁(yè)瀏覽功能,但網(wǎng)頁(yè)瀏覽也是網(wǎng)絡(luò)系統(tǒng)被入侵的一個(gè)不安全因素,這也是園區(qū)網(wǎng)絡(luò)最主要的病毒來(lái)源之一。瀏覽網(wǎng)頁(yè)、下載資料都可能帶來(lái)病毒程序或者木馬,還有利用假冒手段騙取你的關(guān)鍵信息等手段。
2網(wǎng)絡(luò)管理措施
2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)
園區(qū)網(wǎng)絡(luò)的管理應(yīng)從設(shè)計(jì)階段就加以考慮。關(guān)鍵節(jié)點(diǎn)雙機(jī)熱備、關(guān)鍵傳輸鏈路采用多條不同路由、設(shè)備互聯(lián)采用動(dòng)態(tài)路由環(huán)狀連接等,這些冗余架構(gòu)都能從很大程度上增強(qiáng)基礎(chǔ)網(wǎng)絡(luò)的穩(wěn)定性。但我們也需要在網(wǎng)絡(luò)的復(fù)雜性和簡(jiǎn)潔性上做好權(quán)衡,過(guò)于復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)反倒會(huì)給后期的運(yùn)維管理埋下隱患。筆者在長(zhǎng)期的網(wǎng)絡(luò)運(yùn)維管理實(shí)踐中就遇到過(guò)不少這樣的問(wèn)題。個(gè)別局域網(wǎng)系統(tǒng)設(shè)計(jì)考慮非常多,采用雙機(jī)熱備、多鏈路上聯(lián)等多種方式,VRRP、STP也都用上了,以期增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。結(jié)果在后期運(yùn)維中,由于選用設(shè)備版本不夠穩(wěn)定,經(jīng)常出現(xiàn)莫名其妙的問(wèn)題,反倒降低了整個(gè)系統(tǒng)的可用性。
2.2 網(wǎng)絡(luò)管理文檔的建立
網(wǎng)絡(luò)維護(hù)的絕大部分工作在于平時(shí)細(xì)致的管理和準(zhǔn)備,需要對(duì)網(wǎng)絡(luò)的每一個(gè)細(xì)節(jié)做到了然于胸,當(dāng)故障發(fā)生時(shí),我們能夠迅速定位到故障點(diǎn),以最快速度排除故障。為了做好網(wǎng)絡(luò)的管理,我們需要持續(xù)做好網(wǎng)絡(luò)管理文檔的完善工作。如:交換機(jī)端口信息表、ip和mac地址的對(duì)應(yīng)表、網(wǎng)絡(luò)拓?fù)鋱D、故障處理報(bào)告等等,這些信息都會(huì)為我們應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)故障提供幫助。例如:經(jīng)常在園區(qū)內(nèi)泛濫的ARP病毒,由于其影響范圍廣、難以查殺而讓網(wǎng)管人員頗為頭疼。如果我們有ip和mac地址對(duì)應(yīng)表,就能夠非??斓亩ㄎ徊《驹矗宰羁焖俣忍幚淼艄收?。
2.3 網(wǎng)絡(luò)的日常檢查及性能分析
我們需要經(jīng)常對(duì)核心網(wǎng)絡(luò)、應(yīng)用服務(wù)器進(jìn)行細(xì)致的檢查,分析性能,察看日志,發(fā)現(xiàn)可疑情況及時(shí)處理。這種工作雖然枯燥但卻很重要。每天的重復(fù)勞動(dòng)不一定總能發(fā)現(xiàn)異常,但這是我們發(fā)現(xiàn)問(wèn)題,對(duì)故障進(jìn)行預(yù)判的依據(jù)。例如:一次日常檢查我們發(fā)現(xiàn)某主干交換機(jī)CPU、內(nèi)存使用率偏高,通過(guò)進(jìn)一步分析日志發(fā)現(xiàn)某接口錯(cuò)誤。經(jīng)過(guò)細(xì)致排查,我們發(fā)現(xiàn)接口光纖質(zhì)量不好導(dǎo)致接口報(bào)錯(cuò),更換光纖后故障排除,避免了問(wèn)題的進(jìn)一步升級(jí)。
2.4 系統(tǒng)及時(shí)升級(jí)、補(bǔ)丁、病毒定義及時(shí)更新
網(wǎng)絡(luò)設(shè)備、服務(wù)器的軟件系統(tǒng)需要及時(shí)升級(jí),服務(wù)器、客戶端也要及時(shí)打補(bǔ)丁、更新病毒定義,這是我們防患于未然的必要措施。目前國(guó)內(nèi)客戶端使用微軟的用戶比較多,那WSUS就非常重要。防病毒服務(wù)器也必須統(tǒng)一部署,能夠使病毒定義統(tǒng)一更新,避免網(wǎng)內(nèi)有安全短板。
2.5 網(wǎng)絡(luò)管理系統(tǒng)、日志系統(tǒng)、網(wǎng)管工具的使用
通過(guò)使用網(wǎng)絡(luò)管理系統(tǒng),可以實(shí)現(xiàn)設(shè)備的輪詢、故障的報(bào)警等功能。通過(guò)一些閥值的設(shè)定,系統(tǒng)可以第一時(shí)間將故障預(yù)警信息通過(guò)郵件或者短信發(fā)送給系統(tǒng)管理員或者網(wǎng)管中心,能夠幫助我們實(shí)現(xiàn)對(duì)故障的預(yù)判。并且,網(wǎng)絡(luò)管理系統(tǒng)圖形化、自動(dòng)化的管理方式,也將大大提高我們網(wǎng)絡(luò)管理的效率。
日志系統(tǒng)也非常重要,通過(guò)對(duì)日志系統(tǒng)記錄的設(shè)備運(yùn)行狀態(tài)進(jìn)行分析,能夠幫助我們發(fā)現(xiàn)系統(tǒng)存在的問(wèn)題,為排錯(cuò)、優(yōu)化系統(tǒng)提供依據(jù)。
各種網(wǎng)管工具更是我們做網(wǎng)絡(luò)管理的必要的幫手,比如抓包軟件、可視光源、測(cè)線工具、標(biāo)簽機(jī)、螺絲刀等等,所以網(wǎng)管人員往往都是背著背包的,應(yīng)手的家伙一個(gè)也不能少。
2.6 做好設(shè)備、線纜標(biāo)識(shí)工作
好記性不如爛筆頭,一個(gè)人做過(guò)的事也很容易就忘掉,更何況網(wǎng)絡(luò)管理團(tuán)隊(duì)中有好多人,很多時(shí)候一件事往往追溯不到源頭。所以標(biāo)識(shí)、記錄工作非常重要。如果標(biāo)識(shí)工作不到位,很容易會(huì)發(fā)生設(shè)備、線纜用途無(wú)人知曉,誰(shuí)都不敢動(dòng)的情況。
2.7對(duì)用戶的培訓(xùn)
很多網(wǎng)絡(luò)故障是由人為因素造成的,比如碰掉設(shè)備的電源、辦公室HUB出現(xiàn)環(huán)接等等,通過(guò)適當(dāng)?shù)臅r(shí)機(jī)對(duì)用戶進(jìn)行網(wǎng)絡(luò)知識(shí)的教育,能夠有效地避免類似網(wǎng)絡(luò)故障的發(fā)生,給網(wǎng)絡(luò)管理工作降低工作量和難度。
2.8其他
機(jī)房環(huán)境設(shè)施的運(yùn)維管理,也是對(duì)網(wǎng)絡(luò)的安全與運(yùn)維管理產(chǎn)生重要影響的一個(gè)方面。除此之外,如果有互聯(lián)網(wǎng)出口的,還需要部署防火墻、上網(wǎng)行為管理設(shè)備等,既要做好安全防護(hù),又要做到有跡可查。
篇2
1.1調(diào)度數(shù)據(jù)網(wǎng)結(jié)構(gòu)
廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)以星型結(jié)構(gòu)組網(wǎng),依次分為核心層、匯聚層和接入層。核心層為廣西電網(wǎng)公司電力調(diào)度控制中心(以下簡(jiǎn)稱中調(diào)),是整個(gè)調(diào)度數(shù)據(jù)網(wǎng)的核心。匯聚層包括南寧等14個(gè)供電局電力調(diào)度控制中心(以下簡(jiǎn)稱地調(diào))及其第2匯聚節(jié)點(diǎn),采用雙歸屬方式連接至核心節(jié)點(diǎn),其匯聚層網(wǎng)絡(luò)流量向中調(diào)匯集。接入層節(jié)點(diǎn)主要包括廣西電網(wǎng)內(nèi)的500kV、220kV變電站及部分接入電廠。各接入節(jié)點(diǎn)按2點(diǎn)接入原則就近接入地調(diào)匯聚節(jié)點(diǎn)和該地區(qū)第2匯聚節(jié)點(diǎn),其接入層網(wǎng)絡(luò)流量向匯聚節(jié)點(diǎn)匯集。廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)如圖1所示。圖1廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)
1.2網(wǎng)絡(luò)環(huán)境分析
從業(yè)務(wù)的角度分析,根據(jù)南方電網(wǎng)《二次系統(tǒng)安全防護(hù)總體方案》的要求,廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)在業(yè)務(wù)側(cè)已經(jīng)基本實(shí)現(xiàn)了“橫向隔離、縱向認(rèn)證”。利用MPLSVPN技術(shù)在業(yè)務(wù)側(cè)劃分為安全I(xiàn)區(qū)和安全I(xiàn)I區(qū),其中,安全I(xiàn)區(qū)是電力生產(chǎn)的實(shí)時(shí)業(yè)務(wù),縱向上通過(guò)加密裝置進(jìn)行安全認(rèn)證;安全I(xiàn)I區(qū)是電力生產(chǎn)的非實(shí)時(shí)業(yè)務(wù),縱向上部署了硬件防火墻作安全防護(hù)。在I區(qū)與II區(qū)、II區(qū)與其他網(wǎng)絡(luò)之間部署了電力系統(tǒng)專用的隔離裝置進(jìn)行隔離。從設(shè)備管理的角度分析,廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)還存在網(wǎng)絡(luò)設(shè)備管理區(qū)。網(wǎng)絡(luò)設(shè)備管理區(qū)主要用于管理整個(gè)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)設(shè)備,對(duì)接入到設(shè)備管理區(qū)的網(wǎng)絡(luò)設(shè)備可直接控制。日??蓪?duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置更改,同時(shí)還可查看網(wǎng)絡(luò)設(shè)備的配置、故障、運(yùn)行情況和網(wǎng)絡(luò)鏈路情況等。業(yè)務(wù)安全方面,調(diào)度數(shù)據(jù)網(wǎng)劃分的2個(gè)安全分區(qū)已具備一定的安全防護(hù)能力,且配置了網(wǎng)絡(luò)安全隔離策略,但缺乏入侵檢測(cè)、行為審計(jì)、流量監(jiān)測(cè)以及鏈路管理等安全防護(hù)手段。調(diào)度數(shù)據(jù)網(wǎng)設(shè)備管理區(qū)是設(shè)備安全管理最重要的環(huán)節(jié),但也是目前比較薄弱的環(huán)節(jié),這是因?yàn)閷?duì)接入設(shè)備管理區(qū)的網(wǎng)絡(luò)設(shè)備可以直接進(jìn)行更改配置和重啟等危險(xiǎn)操作。除通過(guò)建立運(yùn)維管理制度進(jìn)行規(guī)范外,還需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè),統(tǒng)一展示全網(wǎng)設(shè)備的運(yùn)行情況,保證網(wǎng)絡(luò)出現(xiàn)故障或安全事件時(shí)運(yùn)維人員可知、可控和可查。根據(jù)以上分析,調(diào)度數(shù)據(jù)網(wǎng)安全分區(qū)和網(wǎng)絡(luò)設(shè)備管理區(qū)均存在網(wǎng)絡(luò)安全防備不足的問(wèn)題,難以保障調(diào)度數(shù)據(jù)網(wǎng)長(zhǎng)期、安全、穩(wěn)定運(yùn)行。
2廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
調(diào)度數(shù)據(jù)網(wǎng)關(guān)注的網(wǎng)絡(luò)安全課題有:保障調(diào)度數(shù)據(jù)網(wǎng)每臺(tái)網(wǎng)絡(luò)設(shè)備運(yùn)行穩(wěn)定;監(jiān)測(cè)核心鏈路流量傳輸情況;預(yù)防每臺(tái)網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生;快速應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備故障或者網(wǎng)絡(luò)安全事件的發(fā)生;利用收集到的數(shù)據(jù)快速定位到導(dǎo)致網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)風(fēng)險(xiǎn)的源頭;加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)入侵防御體系等。根據(jù)廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的實(shí)際情況,下面列出幾種潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
2.1網(wǎng)絡(luò)設(shè)備運(yùn)行情況不明
路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備是調(diào)度數(shù)據(jù)網(wǎng)的基礎(chǔ)組成部分,只有這些網(wǎng)絡(luò)設(shè)備穩(wěn)定運(yùn)行,才能保證整個(gè)網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的實(shí)效性和連續(xù)性。目前,尚未實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全方位監(jiān)測(cè),設(shè)備發(fā)生故障后,管理員才發(fā)現(xiàn)該設(shè)備出現(xiàn)問(wèn)題,設(shè)備的管理方式很被動(dòng)。在被動(dòng)的管理方式下,管理員難以掌握設(shè)備的CPU利用率、內(nèi)存占用率、雙電源、風(fēng)扇、溫度等日常運(yùn)行指標(biāo)信息,無(wú)法判斷設(shè)備是否運(yùn)行良好,從而難以預(yù)防網(wǎng)絡(luò)設(shè)備故障或網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生。
2.2網(wǎng)絡(luò)設(shè)備故障管理方式不科學(xué)
調(diào)度數(shù)據(jù)網(wǎng)遵循“抓大放小”的原則,對(duì)設(shè)備脫管、鏈路通斷和設(shè)備宕機(jī)等大故障會(huì)進(jìn)行及時(shí)處理,而對(duì)設(shè)備CPU超標(biāo)、內(nèi)存超標(biāo)、端口流量超標(biāo)和溫度超標(biāo)等小故障未進(jìn)行有效管理,這種故障管理方式不夠科學(xué)。網(wǎng)絡(luò)設(shè)備具有數(shù)量龐大、品牌眾多和使用時(shí)間較長(zhǎng)等特點(diǎn),由于處理設(shè)備大故障需要花費(fèi)較多的人力和物力,因此設(shè)備小故障的監(jiān)測(cè)與處理常被忽視。如果設(shè)備的小故障不加以防范及處理,往往會(huì)導(dǎo)致大故障的發(fā)生,例如:設(shè)備溫度過(guò)高會(huì)導(dǎo)致設(shè)備不停地重啟,進(jìn)而導(dǎo)致業(yè)務(wù)數(shù)據(jù)傳輸時(shí)斷時(shí)續(xù)。不對(duì)設(shè)備大、小故障進(jìn)行全方位管理,很難防范導(dǎo)致故障發(fā)生的潛在問(wèn)題和安全隱患。
2.3網(wǎng)絡(luò)缺乏主動(dòng)的入侵防御
分析廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu),無(wú)論是核心層到匯聚層,還是匯聚層到接入層,均缺乏一套積極主動(dòng)的入侵防御技術(shù)體系,僅依靠二次系統(tǒng)安全防護(hù)中的橫向隔離、縱向認(rèn)證來(lái)進(jìn)行安全防護(hù),難以達(dá)到入侵防御“零安全事件”的最高要求。無(wú)法識(shí)別數(shù)量龐大的業(yè)務(wù)數(shù)據(jù)是否攜帶潛在的安全威脅,如常見(jiàn)的木馬、蠕蟲(chóng)和黑客病毒等。網(wǎng)頁(yè)瀏覽、電子郵件、文件傳輸和網(wǎng)絡(luò)下載是感染病毒最常見(jiàn)的途徑,木馬、蠕蟲(chóng)和黑客病毒等網(wǎng)絡(luò)安全威脅往往隱藏其中。而防火墻(或加密裝置)通常只是業(yè)務(wù)數(shù)據(jù)的第一道防線,起到流量流入、流出過(guò)濾的作用,無(wú)法識(shí)別流量包裹中的網(wǎng)絡(luò)安全威脅,不能起到有效的防御作用。不利用認(rèn)證、預(yù)警、病毒掃描和流量檢查等多元化的手段建立一個(gè)橫縱、有效的入侵防御體系,難以預(yù)防調(diào)度數(shù)據(jù)網(wǎng)潛在的網(wǎng)絡(luò)安全隱患。
2.4整網(wǎng)缺乏網(wǎng)絡(luò)內(nèi)部安全防護(hù)
廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)是獨(dú)立的電力廣域網(wǎng),與和互聯(lián)網(wǎng)連接的網(wǎng)絡(luò)相比,相對(duì)較安全、干凈,易于管理,但存在網(wǎng)絡(luò)內(nèi)部安全威脅。網(wǎng)絡(luò)內(nèi)部安全威脅大致分為3種:人為惡意攻擊、人為無(wú)意失誤、應(yīng)用系統(tǒng)存在的漏洞。人為惡意攻擊是網(wǎng)絡(luò)安全面臨的最大威脅,即在不影響網(wǎng)絡(luò)的情況下,破壞電網(wǎng)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的有效性和完整性或者通過(guò)截取、竊取、破譯等手段獲取系統(tǒng)重要信息。人為無(wú)意失誤如管理員進(jìn)行了非常規(guī)操作,會(huì)威脅網(wǎng)絡(luò)安全運(yùn)行。而應(yīng)用系統(tǒng)存在的漏洞多為應(yīng)用系統(tǒng)開(kāi)發(fā)人員為了方便而設(shè)置的“后門(mén)”或者系統(tǒng)本身存在的漏洞,會(huì)成為黑客攻擊的首選目標(biāo)。調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)系統(tǒng)既要對(duì)網(wǎng)絡(luò)外部建立入侵防御,還要在網(wǎng)絡(luò)內(nèi)部做好安全威脅防護(hù)。目前,調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)體系未對(duì)網(wǎng)絡(luò)內(nèi)部的正常WEB頁(yè)面訪問(wèn)、非法授權(quán)訪問(wèn)、用戶數(shù)據(jù)訪問(wèn)、系統(tǒng)數(shù)據(jù)庫(kù)操作審計(jì)和網(wǎng)絡(luò)設(shè)備操作審計(jì)等進(jìn)行多種手段的流量監(jiān)測(cè),當(dāng)網(wǎng)絡(luò)出現(xiàn)內(nèi)部安全威脅時(shí)無(wú)法有效防御和控制,事后也無(wú)據(jù)可查,這是調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部的重大網(wǎng)絡(luò)安全隱患。
2.5網(wǎng)絡(luò)運(yùn)維工作量大
運(yùn)維人員負(fù)責(zé)保障全網(wǎng)的調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、安全運(yùn)行,但整個(gè)調(diào)度數(shù)據(jù)網(wǎng)近400臺(tái)網(wǎng)絡(luò)設(shè)備,運(yùn)維人員要高效、出色地完成電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的運(yùn)維任務(wù),工作量很大。使用目前的網(wǎng)絡(luò)管理軟件,除每日正常網(wǎng)絡(luò)維護(hù)工作外,需要1個(gè)運(yùn)維人員花費(fèi)2~3天完成每月的定期檢查工作,此外,還需要3~5個(gè)運(yùn)維人員花費(fèi)約1個(gè)月時(shí)間完成每年一次的調(diào)度數(shù)據(jù)網(wǎng)近400多臺(tái)設(shè)備的定檢工作。每月定期檢查內(nèi)容包括檢查中調(diào)到14個(gè)地調(diào)(包括第1、2匯聚節(jié)點(diǎn))鏈路運(yùn)行情況;查看鏈路峰值比特率、峰值利用率;統(tǒng)計(jì)中調(diào)到各地調(diào)實(shí)時(shí)業(yè)務(wù)和非實(shí)時(shí)業(yè)務(wù)時(shí)延情況。年度設(shè)備檢查包括核心層路由表檢查、物理鏈路狀態(tài)檢查、鏈路性能檢查、設(shè)備日記信息檢查、設(shè)備運(yùn)行狀態(tài)、配置檢查和網(wǎng)絡(luò)路由協(xié)議狀態(tài)檢查等20多項(xiàng)定檢內(nèi)容,這也是網(wǎng)絡(luò)運(yùn)維工作量最大的一項(xiàng)。
2.6網(wǎng)絡(luò)運(yùn)維與網(wǎng)絡(luò)安全缺乏集中管理
為了滿足廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)信息安全建設(shè)工作的需要,專業(yè)的網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)投入使用。但在系統(tǒng)的應(yīng)用過(guò)程中,發(fā)現(xiàn)網(wǎng)絡(luò)管理系統(tǒng)只負(fù)責(zé)網(wǎng)絡(luò)維護(hù)和設(shè)備故障處理,而網(wǎng)絡(luò)安全系統(tǒng)只負(fù)責(zé)處理網(wǎng)絡(luò)中的安全事件,兩者間并無(wú)聯(lián)系,調(diào)度數(shù)據(jù)網(wǎng)同時(shí)運(yùn)用多套系統(tǒng)反而增加了網(wǎng)絡(luò)管理上的難度。不同的系統(tǒng)無(wú)法通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行集中管理,降低了運(yùn)維工作效率,增加了工作量,是調(diào)度數(shù)據(jù)網(wǎng)安全建設(shè)急需解決的問(wèn)題。
3廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全管理探討
廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)遵循“只監(jiān)視、不控制”的原則,要求網(wǎng)絡(luò)可靠、穩(wěn)定、安全運(yùn)行,確保調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、不間斷運(yùn)行。為了不影響調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)數(shù)據(jù)正常運(yùn)行,網(wǎng)絡(luò)安全管理平臺(tái)采用旁路部署方式掛在中調(diào)的核心路由器下。廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全管理的目標(biāo)是,通過(guò)采取適當(dāng)?shù)目刂拼胧?,保障基礎(chǔ)網(wǎng)絡(luò)的安全性,確保調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)不發(fā)生安全事件、少發(fā)生安全事件,即使發(fā)生安全事件也能有效降低事件造成的影響并快速應(yīng)急響應(yīng)。通過(guò)建設(shè)集中的網(wǎng)絡(luò)安全管理平臺(tái),實(shí)現(xiàn)對(duì)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)測(cè),對(duì)安全事件、設(shè)備故障、入侵行為、網(wǎng)絡(luò)流量和鏈路狀態(tài)等進(jìn)行統(tǒng)一管理、分析和監(jiān)測(cè),再通過(guò)關(guān)聯(lián)分析技術(shù),使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)、定位、解決問(wèn)題,有效應(yīng)對(duì)安全事件的發(fā)生。
3.1設(shè)備故障管理
網(wǎng)絡(luò)安全管理平臺(tái)可對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視,對(duì)設(shè)備故障進(jìn)行統(tǒng)一管理。網(wǎng)絡(luò)安全管理平臺(tái)采用SNMP技術(shù)分地區(qū)獲取網(wǎng)絡(luò)設(shè)備的性能狀態(tài)信息,并寫(xiě)入數(shù)據(jù)庫(kù)由平臺(tái)統(tǒng)一進(jìn)行處理、分析,對(duì)滿足故障條件的信息按地區(qū)進(jìn)行展示和通知,便于管理員及時(shí)、準(zhǔn)確地發(fā)現(xiàn)各地區(qū)的故障情況。同時(shí),當(dāng)網(wǎng)絡(luò)安全管理平臺(tái)監(jiān)控到設(shè)備持續(xù)故障數(shù)超過(guò)規(guī)定閾值時(shí),這類故障將上升為安全事件,會(huì)按地區(qū)進(jìn)行展示和通知。網(wǎng)絡(luò)安全管理平臺(tái)故障管理的對(duì)象除網(wǎng)絡(luò)設(shè)備外,還有安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)等多種類型的設(shè)備,管理員可根據(jù)網(wǎng)絡(luò)需要靈活應(yīng)用。
3.2設(shè)備狀態(tài)監(jiān)視
為使設(shè)備自身故障或人為誤操作造成的設(shè)備運(yùn)行異常有據(jù)可依、可查,網(wǎng)絡(luò)安全管理平臺(tái)對(duì)設(shè)備運(yùn)行狀態(tài)了進(jìn)行全程、多維監(jiān)視。
1)設(shè)備系統(tǒng)監(jiān)視。設(shè)備系統(tǒng)日志會(huì)記錄系統(tǒng)中硬、軟件和系統(tǒng)問(wèn)題的信息。網(wǎng)絡(luò)安全管理平臺(tái)可通過(guò)設(shè)備Syslog的外發(fā)方式或Telnet的主動(dòng)獲取方式收集設(shè)備的系統(tǒng)日志。中調(diào)到各地調(diào)匯聚節(jié)點(diǎn)的鏈路帶寬充足,匯聚層以上的設(shè)備采用Syslog外發(fā)方式獲取系統(tǒng)日志。由于中調(diào)到各接入層設(shè)備帶寬一般為4Mbit/s或2Mbit/s,為防止多臺(tái)設(shè)備出現(xiàn)異常時(shí)大量外發(fā)日志占用接入層鏈路帶寬的特殊情況發(fā)生,接入層設(shè)備采用Telnet的主動(dòng)方式獲取系統(tǒng)日志,只有當(dāng)平臺(tái)探測(cè)這條鏈路為空閑時(shí)才允許平臺(tái)執(zhí)行Telnet操作。網(wǎng)絡(luò)安全管理平臺(tái)對(duì)收集到的系統(tǒng)日志進(jìn)行統(tǒng)一處理、分析,可按電網(wǎng)告警級(jí)別與系統(tǒng)日志級(jí)別,對(duì)應(yīng)在各地區(qū)的安全事件或者告警信息中進(jìn)行顯示,顯示內(nèi)容包括設(shè)備自身告警記錄和人為操作記錄的詳細(xì)信息。
2)設(shè)備配置監(jiān)視。網(wǎng)絡(luò)設(shè)備配置分為:運(yùn)行配置,即設(shè)備當(dāng)前運(yùn)行的配置;啟動(dòng)配置,即設(shè)備啟動(dòng)時(shí)加載的配置。網(wǎng)絡(luò)安全管理平臺(tái)可以通過(guò)手動(dòng)獲取或定時(shí)獲取等方式,利用Telnet技術(shù)主動(dòng)連接設(shè)備,獲取當(dāng)前設(shè)備的運(yùn)行配置和啟動(dòng)配置。設(shè)備配置監(jiān)視的主要作用有:對(duì)比當(dāng)前設(shè)備運(yùn)行配置與啟動(dòng)配置是否一致,如配置不一致,說(shuō)明該設(shè)備配置被更改后未進(jìn)行保存;自定義選擇近期設(shè)備運(yùn)行配置或啟動(dòng)配置歷史版本進(jìn)行對(duì)比,由此可掌握近期設(shè)備的運(yùn)行配置或啟動(dòng)配置歷史變化情況;自定義選擇2個(gè)及以上設(shè)備的運(yùn)行配置或啟動(dòng)配置進(jìn)行對(duì)比,由此可發(fā)現(xiàn)各設(shè)備配置的區(qū)別。
3.3入侵防御檢測(cè)
為應(yīng)對(duì)調(diào)度數(shù)據(jù)網(wǎng)的內(nèi)部威脅,防火墻對(duì)流入、流出調(diào)度數(shù)據(jù)流量進(jìn)行過(guò)濾,但這不是防護(hù)入侵行為的有效手段。入侵檢測(cè)防御系統(tǒng)不僅能針對(duì)數(shù)據(jù)流量IP進(jìn)行過(guò)濾,還能對(duì)基于應(yīng)用層出現(xiàn)的木馬、后門(mén)及各種惡意代碼、遠(yuǎn)程惡意控制等進(jìn)行檢測(cè)。入侵檢測(cè)防御系統(tǒng)采用旁路部署的方式,使用流量鏡像技術(shù)將核心路由器上中調(diào)與各地調(diào)間的流量鏡像連接到入侵檢測(cè)系統(tǒng)進(jìn)行統(tǒng)一處理、分析,將分析結(jié)果及已獲取的安全事件傳遞至網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行展示,確保被發(fā)現(xiàn)的入侵檢測(cè)行為能得到有效控制。
3.4流量和鏈路監(jiān)測(cè)
如果不對(duì)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和跟蹤,網(wǎng)絡(luò)安全管理員就無(wú)法掌握中調(diào)到各地調(diào)網(wǎng)絡(luò)流量的情況,為此,引入流量監(jiān)測(cè)系統(tǒng)。該系統(tǒng)采用旁路部署的方式,通過(guò)采集中調(diào)與各地調(diào)間(包括第2匯聚點(diǎn))的鏡像流量進(jìn)行統(tǒng)一處理、分析和統(tǒng)計(jì)。該系統(tǒng)除了能對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)外,還能對(duì)通道鏈路進(jìn)行監(jiān)測(cè),降低了廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的安全風(fēng)險(xiǎn),防患于未然。
1)網(wǎng)絡(luò)流量監(jiān)測(cè),監(jiān)測(cè)、采集網(wǎng)絡(luò)流量并進(jìn)行處理、分析和統(tǒng)計(jì),展示最近1h的流量趨勢(shì),也可基于源IP、目的IP、應(yīng)用協(xié)議和會(huì)話等多維角度展示網(wǎng)絡(luò)流量的排名情況。為滿足網(wǎng)絡(luò)防護(hù)的工作需要,管理員可自定義時(shí)間段、源IP、目的IP和應(yīng)用協(xié)議等條件查看具體網(wǎng)絡(luò)流量的記錄。
2)通道鏈路監(jiān)測(cè),與網(wǎng)絡(luò)流量監(jiān)測(cè)一樣需要對(duì)采集的網(wǎng)絡(luò)流量進(jìn)行處理、分析和統(tǒng)計(jì),不同之處在于流量監(jiān)測(cè)系統(tǒng)對(duì)中調(diào)與各地調(diào)間的鏈路比特率進(jìn)行采樣(5min/次),同時(shí)通過(guò)Ping對(duì)應(yīng)地調(diào)網(wǎng)關(guān)的方式計(jì)算出此鏈路的響應(yīng)時(shí)間。系統(tǒng)獲取通道鏈路的比特率和響應(yīng)時(shí)延后,以圖表方式展示指定時(shí)間或1個(gè)月內(nèi)鏈路峰值比特率、鏈路響應(yīng)時(shí)延趨勢(shì)。
3.5設(shè)備一鍵定檢功能
調(diào)度數(shù)據(jù)網(wǎng)需要進(jìn)行每月鏈路定期檢查及設(shè)備年度檢查,以往是靠人工手動(dòng)來(lái)完成大量設(shè)備的數(shù)據(jù)采集、處理、統(tǒng)計(jì)和整理等工作,花費(fèi)時(shí)間長(zhǎng)、投入人力多。而網(wǎng)絡(luò)安全管理平臺(tái)提供了設(shè)備一鍵定檢功能,大大提高了運(yùn)維人員的工作效率。利用網(wǎng)絡(luò)安全管理平臺(tái),每月鏈路定期檢查實(shí)現(xiàn)了中調(diào)到14個(gè)地調(diào)56條鏈路數(shù)據(jù)實(shí)時(shí)檢查,包括鏈路峰值比特率、峰值利用率、實(shí)時(shí)業(yè)務(wù)時(shí)延和非實(shí)時(shí)業(yè)務(wù)時(shí)延等,實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)業(yè)務(wù)采樣,并在安全管理平臺(tái)上以動(dòng)態(tài)圖形展示。數(shù)據(jù)輸出方式簡(jiǎn)單、靈活、易操作,輸出時(shí)間只需幾分鐘。鏈路檢查報(bào)表能按指定時(shí)間段輸出鏈路的檢查結(jié)果。每年設(shè)備定檢實(shí)現(xiàn)了“一次錄入,多年受益”的效果,只需將所有的網(wǎng)絡(luò)設(shè)備錄入到網(wǎng)絡(luò)安全管理平臺(tái),24h后即可在平臺(tái)中輸出設(shè)備鏈路狀態(tài)檢查、鏈路性能檢查、設(shè)備日志信息檢查、設(shè)備運(yùn)行狀態(tài)、配置檢查、端口資源統(tǒng)計(jì)和網(wǎng)絡(luò)路由協(xié)議運(yùn)行情況檢查等結(jié)果報(bào)表。運(yùn)維人員對(duì)報(bào)表中結(jié)果異常的設(shè)備進(jìn)行核查,核查結(jié)束后關(guān)閉設(shè)備定檢日志源,設(shè)備年檢工作完成。使用網(wǎng)絡(luò)安全管理平臺(tái),每年全網(wǎng)設(shè)備定檢工作只需幾天時(shí)間就可完成,大大減輕了運(yùn)維人員的工作量。
4結(jié)語(yǔ)
篇3
【關(guān)鍵詞】CA證書(shū)認(rèn)證 體系設(shè)計(jì) 非功能性技術(shù)設(shè)計(jì) 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域 社會(huì)工程學(xué)入侵
目前大部分市區(qū)級(jí)政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對(duì)公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問(wèn)權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜,體量日益龐大,在政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)控制,安全運(yùn)維成本,科學(xué)管理,方面將迎來(lái)一個(gè)全新的戰(zhàn)場(chǎng)。
當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問(wèn)題:
區(qū)縣的相關(guān)管理、運(yùn)維人員能力匱乏,網(wǎng)絡(luò)安全知識(shí)相對(duì)較落后,對(duì)全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲(chǔ)、數(shù)據(jù)庫(kù)軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒(méi)有做到了如指掌不能完全駕馭全局運(yùn)維與安全保障。在出現(xiàn)故障時(shí)無(wú)法從業(yè)務(wù)角度快度鎖定故障起源點(diǎn),無(wú)法對(duì)故障進(jìn)行深度解析并提供完整解決方案并實(shí)施。
區(qū)縣政務(wù)信息系統(tǒng)是沒(méi)有統(tǒng)一的認(rèn)證授權(quán)并各自為政,無(wú)法做到訪問(wèn)控制,沒(méi)有USB-KEY,CA證書(shū)認(rèn)證等技術(shù)融入,病毒非常容相互間在各個(gè)系統(tǒng)中傳遞感染,重要數(shù)據(jù)岌岌可危;區(qū)縣政務(wù)網(wǎng)基本沒(méi)有全網(wǎng)的日志審計(jì)和客戶機(jī)上網(wǎng)行為管理的,各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨(dú)立,冗余度過(guò)高,沒(méi)有科學(xué)的審計(jì),有效的整合,出現(xiàn)問(wèn)題業(yè)務(wù)系統(tǒng)管理員根本無(wú)法防御爆炸式連鎖攻擊,安全風(fēng)險(xiǎn)系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng),沒(méi)有對(duì)過(guò)程數(shù)據(jù)流進(jìn)行監(jiān)察審計(jì),業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞,安全隱患非常嚴(yán)重。
政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時(shí),無(wú)法精準(zhǔn)鎖定攻擊源頭,從根源控制攻擊,整個(gè)處理過(guò)程也缺少科學(xué)的提高故障解決手段,缺少應(yīng)急預(yù)案,缺少專家應(yīng)急小組。
這些問(wèn)題必須且毋庸置疑的解決和改善,應(yīng)采用以下技術(shù)和策略:CA證書(shū)認(rèn)證體系設(shè)計(jì),非功能性技術(shù)設(shè)計(jì),內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域,USB-KEY,動(dòng)態(tài)短信密碼,一次性口令等方式,堵著社會(huì)工程學(xué)入侵缺口。
1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維的實(shí)踐
實(shí)現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入:整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶認(rèn)證、訪問(wèn)授權(quán)、資源權(quán)限等問(wèn)題,徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入,徹底清除未授權(quán)終端非法用戶對(duì)政務(wù)信息系統(tǒng)的存在威脅,確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>
完整的用戶行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計(jì),記錄并保留一個(gè)月以上的用戶上網(wǎng)行為是非常有必要的,在龐大的用戶痕跡日志信息中進(jìn)行初步數(shù)據(jù)挖掘,能發(fā)現(xiàn)潛在的安全隱患,防患于未然,將安全隱患控制牢牢控制,并扼殺。若已發(fā)生安全事故,可迅速定位事故爆發(fā)點(diǎn),妥善快速解決問(wèn)題,如事故造成嚴(yán)重的財(cái)產(chǎn)損失,可提交公安機(jī)關(guān)進(jìn)行取證。
定期由專業(yè)安全運(yùn)維第三方服務(wù)公司提供專家級(jí)業(yè)務(wù)報(bào)告,為下一步網(wǎng)絡(luò)優(yōu)化提供建議,保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全:對(duì)整個(gè)被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測(cè)報(bào)告。報(bào)告內(nèi)容包含客戶機(jī)非安全訪問(wèn)記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計(jì)等等。
2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維建設(shè)
2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面
建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲(chǔ)設(shè)備、核心網(wǎng)絡(luò)鏈路拓?fù)?、政?wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫(kù)并發(fā)數(shù)據(jù)鏈路流和中間件異常并況的綜合管理安全運(yùn)維平臺(tái),包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心,系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。
實(shí)現(xiàn)集中授權(quán)管理中心,建立集中安全管控平臺(tái):構(gòu)建全網(wǎng)集中的用戶賬號(hào)管理、認(rèn)證管理、授權(quán)管理、日志審計(jì),為內(nèi)外網(wǎng)用戶提供統(tǒng)一的接入服務(wù),加強(qiáng)內(nèi)控管理,并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。
面向業(yè)務(wù)的帶寬流量控制系統(tǒng):構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng),進(jìn)行全面的流量監(jiān)視、凈化和控制,有效提高鏈路的帶寬利用率,保障重點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。
2.2 CA證書(shū)認(rèn)證體系設(shè)計(jì)
為切實(shí)做好政務(wù)信息系統(tǒng)安全認(rèn)證工作,提高各個(gè)區(qū)縣網(wǎng)絡(luò)安全保障水平和對(duì)應(yīng)用系統(tǒng)的防護(hù)能力,建立CA證書(shū)認(rèn)證體系。
遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認(rèn)證體系,為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ),提高應(yīng)用系統(tǒng)安全保障和防護(hù)能力”的目標(biāo),保證數(shù)據(jù)的完整性和保密性,確保用戶來(lái)源和行為的真實(shí)性和不可否認(rèn)性。
2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全工作域
建立P2P構(gòu)成的虛擬安全域,確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。
通過(guò)集中安全管控平臺(tái),用戶終端無(wú)論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中,只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達(dá)、通過(guò)身份認(rèn)證后即可建立P2P VSN虛擬安全工作域,借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行通信。
2.4 防止社會(huì)工程學(xué)入侵滲透
在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊,但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問(wèn)題是矛與盾永無(wú)休止的話題,事實(shí)上,沒(méi)有任何技術(shù)能防范社會(huì)工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié):人!
政務(wù)信息所有工作人員都應(yīng)該進(jìn)行定期前言安全知識(shí)培訓(xùn)。
政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略,策略是指導(dǎo)業(yè)務(wù)人員行為保護(hù)政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。
參考文獻(xiàn)
[1]張麗麗.新常態(tài)下推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究――以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊,2016(05).
[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實(shí)現(xiàn)[J].西安文理學(xué)院學(xué)報(bào)(自然科學(xué)版), 2015(02).
[3]劉邦凡,關(guān)夢(mèng)穎.電子政務(wù)的信息安全立法[J].電子商務(wù),2014(01).
篇4
近日,記者了解到,江蘇移動(dòng)呼叫中心作為一個(gè)典型的電信行業(yè)大型網(wǎng)絡(luò)用戶,正在努力進(jìn)行“撈針”的工作。它試圖在其擁有的大約1000~2000臺(tái)終端、超過(guò)200 臺(tái)服務(wù)器的網(wǎng)絡(luò)中,全面消除異常流量和應(yīng)用層漏洞,保障企業(yè)的網(wǎng)絡(luò)穩(wěn)定和應(yīng)用安全,從而給客戶帶來(lái)更好的用戶體驗(yàn)。
傳統(tǒng)IDS力不從心
據(jù)了解,江蘇移動(dòng)呼叫中心為了保障業(yè)務(wù)的正常運(yùn)營(yíng),突出網(wǎng)絡(luò)的穩(wěn)定性和安全性需求,投入巨大:所有的鏈路、核心層、匯聚層設(shè)備都是雙冗余設(shè)計(jì),建立備份中心并在邊界增加多級(jí)防火墻設(shè)備,同時(shí)為了防止病毒在內(nèi)網(wǎng)交叉感染,該中心在客戶端部署了防毒軟件,并購(gòu)置了多臺(tái)IDS (入侵檢測(cè))設(shè)備來(lái)保護(hù)其辦公網(wǎng)絡(luò)。
然而,這些防護(hù)措施并沒(méi)有減輕該中心IT運(yùn)維人員的工作量,隨著終端和安全設(shè)備數(shù)量的不斷增加,帶來(lái)IT運(yùn)維管理難度的大幅增加。此外,傳統(tǒng)的IDS面對(duì)電信行業(yè)的大型網(wǎng)絡(luò)明顯力不從心。由于無(wú)法滿足數(shù)據(jù)流量巨大、網(wǎng)絡(luò)覆蓋范圍和結(jié)構(gòu)復(fù)雜帶來(lái)的需求, IDS的誤報(bào)和漏報(bào)問(wèn)題開(kāi)始顯現(xiàn)出來(lái)。
“由于我們的網(wǎng)絡(luò)存在著龐大的客戶端和服務(wù)器資源,網(wǎng)內(nèi)高危漏洞監(jiān)測(cè)的工作量極大,ERP、OCS、CRM、BSS、MSS 以及高清視訊等多域環(huán)境隨時(shí)可能遭受到來(lái)自內(nèi)部威脅的攻擊?!苯K移動(dòng)呼叫中心負(fù)責(zé)網(wǎng)絡(luò)安全、不愿透露名字的王先生指出,“內(nèi)網(wǎng)終端威脅不斷變化,因此,傳統(tǒng)的IDS 廠商必須為不同的業(yè)務(wù)平臺(tái)開(kāi)發(fā)不同的程序,這樣這些威脅就可能造成進(jìn)一步惡化。雖然構(gòu)建了銅墻鐵壁的,但內(nèi)部威脅一旦未被發(fā)現(xiàn)并升級(jí)為‘事故’,全副武裝的網(wǎng)絡(luò)也抵擋不住病毒和惡意代碼的攻擊?!?/p>
快速準(zhǔn)確找到漏網(wǎng)之魚(yú)
為了迅速消除網(wǎng)絡(luò)中的安全隱患,防患于未然,江蘇移動(dòng)呼叫中心邀請(qǐng)了數(shù)個(gè)網(wǎng)絡(luò)安全廠商提供解決方案,并加入實(shí)地測(cè)試。據(jù)王先生介紹,在嚴(yán)格的測(cè)試環(huán)境中,一批“串”路的安全設(shè)備由于無(wú)法勝任該中心的大通信量負(fù)載而敗下陣來(lái),而在隨后的實(shí)際環(huán)境試用中,很多廠商的產(chǎn)品由于無(wú)法做到第一時(shí)間預(yù)警最新的木馬和變種病毒并且無(wú)法構(gòu)建該中心的網(wǎng)絡(luò)安全整體視圖而被淘汰。
“最后,我們根據(jù)綜合測(cè)試結(jié)果選擇了趨勢(shì)科技的威脅發(fā)現(xiàn)設(shè)備TDA 6000,它集成了云安全技術(shù)、旁路設(shè)計(jì)并可檢測(cè)應(yīng)用層潛在威脅,幫助我們將威脅消滅在萌芽,為呼叫中心的業(yè)務(wù)發(fā)展提供了充分的安全保障?!蓖跸壬榻B。
在試用過(guò)程中,王先生和趨勢(shì)科技的工程師一起對(duì)TDA 6000的HTTP訪問(wèn)惡意代碼檢測(cè)、P2P會(huì)話流量管理、蠕蟲(chóng)漏洞掃描等非法流量檢測(cè)功能都做了模擬攻擊測(cè)試,而對(duì)于這些威脅的來(lái)源定位,TDA 基本上可以做到“秒”級(jí)的預(yù)警。
此外,由于它集成了趨勢(shì)科技云安全中的“多協(xié)議關(guān)聯(lián)分析技術(shù)”,可全面支持檢測(cè)2~7層網(wǎng)絡(luò)的惡意威脅。TDA 可通過(guò)“數(shù)據(jù)包”和“會(huì)話”視圖對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)通信數(shù)據(jù)進(jìn)行自動(dòng)關(guān)聯(lián)分析,即從云端數(shù)據(jù)庫(kù)進(jìn)行比較,自動(dòng)將占用網(wǎng)絡(luò)帶寬的應(yīng)用和造成網(wǎng)絡(luò)通信擁塞故障的信息建立威脅關(guān)聯(lián)。
“TDA 的嚴(yán)格控制功能也彌補(bǔ)了江蘇移動(dòng)呼叫中心之前部署防毒軟件的不足。比如 Web病毒、跨站木馬、視頻嵌入惡意軟件、非法流量、DNS劫持等尚未形成交叉感染的潛在威脅,在我們應(yīng)用TDA之后,就可以從海量的數(shù)據(jù)流中迅速找到被防火墻放過(guò)來(lái)的漏網(wǎng)之魚(yú)。”王先生補(bǔ)充說(shuō)。
提升安全評(píng)估和運(yùn)維效率
事實(shí)上,江蘇移動(dòng)呼叫中心對(duì)TDA的應(yīng)用,不僅實(shí)現(xiàn)了全面的威脅偵測(cè),還同時(shí)簡(jiǎn)化了運(yùn)維管理,減少了運(yùn)維人員的工作量,從而降低了運(yùn)營(yíng)成本。
據(jù)了解,江蘇移動(dòng)呼叫中心的網(wǎng)絡(luò)經(jīng)過(guò)了幾次重大的融合和升級(jí),擁有較為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和龐大的終端數(shù)量。王先生介紹,最終部署在該中心核心交換機(jī)上并執(zhí)行網(wǎng)絡(luò)全面覆蓋的TDA,為該中心的網(wǎng)絡(luò)安全評(píng)估和主動(dòng)安全運(yùn)維效率兩個(gè)方面帶來(lái)了極大的提升。
一方面,TDA實(shí)現(xiàn)了動(dòng)態(tài)的網(wǎng)絡(luò)安全評(píng)估,將策略轉(zhuǎn)化為行動(dòng)。在部署TDA 之前,江蘇移動(dòng)呼叫中心已經(jīng)對(duì)外網(wǎng)出口和各級(jí)網(wǎng)關(guān)設(shè)備進(jìn)行了嚴(yán)格的安全評(píng)估工作,在使用TDA 之后,內(nèi)網(wǎng)的安全評(píng)估(主要是威脅評(píng)估)完全交付給TDA 去自動(dòng)執(zhí)行。
首先,TDA 無(wú)須安裝程序便可自動(dòng)對(duì)服務(wù)器和終端進(jìn)行動(dòng)態(tài)的監(jiān)測(cè),這大幅節(jié)省了運(yùn)維人員為每臺(tái)終端安裝端的工作。其次,TDA可通過(guò)報(bào)表的形式顯示客戶端的即時(shí)通信(IM)、P2P 文件共享(BT)、流媒體以及未授權(quán)服務(wù)如SMTP中繼和DNS欺騙現(xiàn)象,這是其他IPS(入侵防御)和IDS產(chǎn)品無(wú)法相比的。
“對(duì)于我們這種電信行業(yè)的大型網(wǎng)絡(luò)而言,TDA自動(dòng)形成映射全中心安全形勢(shì)的總體視圖的強(qiáng)大能力,讓我們非常受用。在日常工作中,TDA已經(jīng)成為我們網(wǎng)絡(luò)的‘策略執(zhí)行中心’,它不但能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全威脅,還能夠?qū)⑦@些威脅轉(zhuǎn)化為詳細(xì)的處理措施并進(jìn)行落實(shí)?!蓖跸壬f(shuō)。
另一方面,TDA讓安全運(yùn)維變被動(dòng)為主動(dòng),運(yùn)維水平大幅提升。據(jù)了解,江蘇移動(dòng)呼叫中心一共有十幾位負(fù)責(zé)IT 運(yùn)維的工程師,但要應(yīng)對(duì)數(shù)千臺(tái)客戶終端、200多臺(tái)服務(wù)器的運(yùn)維需求。
在部署 TDA之前,IT 運(yùn)維部門(mén)只能在用戶電話或者郵件通知后才能發(fā)現(xiàn)系統(tǒng)已經(jīng)遭到病毒入侵的蹤跡,這樣的IT運(yùn)維總是處于亡羊補(bǔ)牢的狀態(tài)。Web 病毒、木馬、郵件病毒、個(gè)人主機(jī)漏洞、移動(dòng)設(shè)備交叉感染等時(shí)常搞得IT 部門(mén)無(wú)從應(yīng)對(duì)。
篇5
為了保障安全,大數(shù)據(jù)平臺(tái)依照“安全三同步”原則進(jìn)行建設(shè),即同步規(guī)劃、同步組織實(shí)施、同步運(yùn)作投產(chǎn)。
奇虎360的大數(shù)據(jù)平臺(tái)安全保障體系框架如圖B-7所示。大數(shù)據(jù)平臺(tái)安全保障體系框架包括“安全職責(zé)劃分”,“安全區(qū)域劃分”,“安全級(jí)別劃分”,“安全監(jiān)測(cè)模塊”,“安全防御模塊”,“業(yè)務(wù)安全與安全運(yùn)維模塊”,“安全響應(yīng)中心模塊”等部分。
安全職責(zé)劃分
安全職責(zé)劃分是整體方案的基礎(chǔ),所有技術(shù)手段都應(yīng)貼近安全職責(zé)劃分,為其服務(wù)。梳理大數(shù)據(jù)平臺(tái)各方安全責(zé)任邊界,對(duì)整個(gè)活動(dòng)中的安全事件進(jìn)行詳細(xì)的責(zé)任劃分。
安全區(qū)域劃分
大數(shù)據(jù)平臺(tái)環(huán)境相對(duì)復(fù)雜,涉及多類業(yè)務(wù),多類系統(tǒng),現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)考慮了分級(jí)問(wèn)題,在此基礎(chǔ)上,需進(jìn)一步細(xì)化安全域的劃分以及不同安全域、不同安全級(jí)別的訪問(wèn)控制設(shè)計(jì)。
安全級(jí)別劃分
按照安全區(qū)域劃分結(jié)果,為每個(gè)區(qū)域制定響應(yīng)的安全等級(jí),區(qū)域安全等級(jí)與用戶安全等級(jí)、數(shù)據(jù)安全等級(jí)相互對(duì)應(yīng)。通過(guò)安全級(jí)別的劃分確保可信合規(guī)使用資源。
安全監(jiān)測(cè)模塊
其中主要包括大數(shù)據(jù)平臺(tái)安全防御審查系統(tǒng)并提供基于人工或自動(dòng)化的多層次的安全監(jiān)測(cè)服務(wù)。
安全防御模塊
按照統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)的設(shè)計(jì)思路,在充分考慮當(dāng)前網(wǎng)絡(luò)應(yīng)用和實(shí)際環(huán)境的基礎(chǔ)上,對(duì)整體的網(wǎng)絡(luò)劃分為若干個(gè)安全域和安全區(qū),建設(shè)大數(shù)據(jù)平臺(tái)面向各個(gè)區(qū)域的基礎(chǔ)安全防御系統(tǒng)和大數(shù)據(jù)平臺(tái)自身的防御系統(tǒng)。
業(yè)務(wù)安全與安全運(yùn)維模塊
實(shí)現(xiàn)安全運(yùn)維操作的分級(jí)管理,針對(duì)大數(shù)據(jù)業(yè)務(wù)安全和安全運(yùn)維工作的用戶賦予符合其安全職責(zé)劃分的權(quán)限,實(shí)現(xiàn)業(yè)務(wù)安全和安全運(yùn)維。
篇6
【關(guān)鍵詞】網(wǎng)絡(luò)安全;IPS;構(gòu)建;應(yīng)用
【中圖分類號(hào)】TP393.08
【文獻(xiàn)標(biāo)識(shí)碼】A
【文章編號(hào)】1672—5158(2012)10-0102-01
1、建設(shè)背景
隨著信息化建設(shè)的發(fā)展,網(wǎng)絡(luò)越來(lái)越龐大,承載的應(yīng)用系統(tǒng)也越來(lái)越復(fù)雜,隨之而來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也日益突出。尤其混合威脅的風(fēng)險(xiǎn),如蠕蟲(chóng)、病毒、木馬、僵尸程序、DDoS攻擊阻塞甚至中斷網(wǎng)絡(luò),各類P2P應(yīng)用輕易的占據(jù)100%的網(wǎng)絡(luò)上行下行帶寬,同時(shí),隨之而來(lái)的修復(fù)工作使IT管理人員被迫充當(dāng)“消防隊(duì)員”的角色,消耗了大量寶貴的人力資源;如何構(gòu)建主動(dòng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng),對(duì)網(wǎng)絡(luò)進(jìn)行流量控制及凈化,實(shí)時(shí)了解網(wǎng)絡(luò)運(yùn)維情況,及時(shí)發(fā)現(xiàn)消除網(wǎng)絡(luò)安全隱患,督促提高用戶安全意識(shí)等問(wèn)題,成為網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)。
通常在談到網(wǎng)絡(luò)安全時(shí),首先會(huì)想到“防火墻”,一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識(shí)的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純的防火墻已經(jīng)無(wú)法滿足安全需要,部署了防火墻的安全保障體系仍需要進(jìn)一步完善。
2、部署情況
系統(tǒng)部署情況:在單位內(nèi)網(wǎng)一外網(wǎng)出口及地州廣域網(wǎng)出口處在線部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)。網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)具有防火墻功能提供邊界控制、安全域劃分,防護(hù)來(lái)自其他安全域的攻擊;網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)可以實(shí)時(shí)攔截進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量中各種類型的惡意攻擊流量,把攻擊防御在受保護(hù)網(wǎng)絡(luò)之外,實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)控制細(xì)粒度管理,凈化網(wǎng)絡(luò)流量,保護(hù)內(nèi)網(wǎng)的信息資產(chǎn)及網(wǎng)絡(luò)性能。同時(shí),考慮網(wǎng)絡(luò)冗余,提高可用性,系統(tǒng)具有BYPASS功能,支持失效開(kāi)放(Fail-open)機(jī)制,當(dāng)出現(xiàn)軟件故障、硬件故障、電源故障時(shí),系統(tǒng)自動(dòng)切換到直通狀態(tài)以保障網(wǎng)絡(luò)可用性,避免單點(diǎn)故障。
該系統(tǒng)具有4個(gè)100/1000M自適應(yīng)以太網(wǎng)口,可用于2路IPS保護(hù)或1路IPS保護(hù)+2路IDS監(jiān)聽(tīng),這樣外網(wǎng)廣域網(wǎng)的出口都將得到有效的保護(hù)及監(jiān)控,并且另外2個(gè)空閑網(wǎng)口目前可用于管理通訊。將來(lái)可通過(guò)升級(jí)證書(shū)而不用更新硬件,IPS升級(jí)為6口3路IPS保護(hù)以滿足將來(lái)網(wǎng)絡(luò)擴(kuò)展。在線部署的IPS在鏈路上實(shí)時(shí)捕捉數(shù)據(jù)包,根據(jù)網(wǎng)絡(luò)的自身特點(diǎn)設(shè)置合理有效的訪問(wèn)控制、流量管理、行為管理策略和入侵保護(hù)模式,進(jìn)行入侵行為檢測(cè)、分析和實(shí)時(shí)響應(yīng),自動(dòng)阻斷攻擊,凈化網(wǎng)絡(luò)流量,消除安全隱患,使用一種產(chǎn)品就達(dá)到多重保護(hù)目的,大大地節(jié)約了投資,并切實(shí)有效地保護(hù)網(wǎng)絡(luò)的安全。
同時(shí),在安全管控中心服務(wù)器上安裝網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)控制臺(tái)程序,實(shí)現(xiàn)對(duì)IPS等安全系統(tǒng)的集中管理,該系統(tǒng)同時(shí)支持C/S和B/S模式,可以靈活方便的管理部署在內(nèi)網(wǎng)中的網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)。系統(tǒng)支持“集中+分布式”部署管理IPS,保證了今后可在全省范圍實(shí)現(xiàn)既可統(tǒng)一、又可分級(jí)管理的主動(dòng)入侵防護(hù)系統(tǒng),使系統(tǒng)具有可擴(kuò)展性、可充分利用現(xiàn)有資源、可隨需而變的靈活管理方式。
3、應(yīng)用情況
通過(guò)部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng),本單位網(wǎng)絡(luò)安全狀況得到了顯著的提高、網(wǎng)絡(luò)性能得到明顯改善、發(fā)現(xiàn)及加固了網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)、規(guī)范了用戶上網(wǎng)行為、加強(qiáng)了用戶安全意識(shí),主動(dòng)入侵防護(hù)系統(tǒng)達(dá)到了預(yù)期的應(yīng)用效果。
3.1 在構(gòu)建主動(dòng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)方面
在部署初期,當(dāng)時(shí)IPS系統(tǒng)平均每天可發(fā)現(xiàn)及阻斷各種攻擊事件655次/天。部署半年以后,通過(guò)IPS發(fā)現(xiàn)及整改了各種網(wǎng)絡(luò)安全問(wèn)題規(guī)范了網(wǎng)絡(luò)行為,平均每天可發(fā)現(xiàn)及阻斷各種攻擊事件減少到60次/天。主動(dòng)安全防護(hù)系統(tǒng)的成功構(gòu)建使本單位網(wǎng)絡(luò)攻擊事件減少了10倍。
3.2 在對(duì)網(wǎng)絡(luò)進(jìn)行流量控制及凈化方面
通過(guò)在IPS上設(shè)置阻斷“蠕蟲(chóng)事件”“拒絕服務(wù)類攻擊事件”策略,結(jié)合對(duì)每個(gè)IP限制“P2P類應(yīng)用”分配100kbps帶寬的限流策略,原來(lái)嚴(yán)重影響單位網(wǎng)絡(luò)性能的攻擊流量、P2P應(yīng)用流量得到了有效的阻斷及控制,凈化了網(wǎng)絡(luò)流量,保障了網(wǎng)絡(luò)性能。
3.3 在輔助網(wǎng)絡(luò)運(yùn)維管理方面
通過(guò)IPS系統(tǒng)可實(shí)時(shí)了解當(dāng)前網(wǎng)絡(luò)的流量情況、協(xié)議構(gòu)成、應(yīng)用狀況等,為網(wǎng)絡(luò)運(yùn)維提供參考及決策依據(jù)。
3.4 在及時(shí)發(fā)現(xiàn)消除網(wǎng)絡(luò)安全隱患方面
IPS上線部署后立即發(fā)現(xiàn)了感染“震蕩波”蠕蟲(chóng)病毒的客戶端,為管理員定位了蠕蟲(chóng)病毒源;隨后IPS又發(fā)現(xiàn)了感染“熊貓燒香”病毒的客戶端;管理員依靠IPS阻斷了蠕蟲(chóng)病毒的攻擊及傳播,保護(hù)了網(wǎng)絡(luò),依據(jù)IPS日志報(bào)警信息定位了染毒客戶端,并進(jìn)一步清除病毒修補(bǔ)客戶端漏洞,消除了網(wǎng)絡(luò)安全隱患。
根據(jù)IPS日志報(bào)警信息,發(fā)現(xiàn)了1臺(tái)網(wǎng)絡(luò)設(shè)備采用明文telnet方式管理并使用了弱口令,管理員及時(shí)整改,將設(shè)備登錄管理方式配置為加密的SSH,配置了訪問(wèn)控制策略賬號(hào)安全策略,并設(shè)置了強(qiáng)壯的口令,大幅提升了網(wǎng)絡(luò)設(shè)備管理的安全性。
根據(jù)IPS日志報(bào)警信息還發(fā)現(xiàn)了,某網(wǎng)管平臺(tái)管理部分網(wǎng)絡(luò)設(shè)備時(shí)使用了SNMP默認(rèn)的public口令,即相應(yīng)的被管理網(wǎng)絡(luò)設(shè)備存在“SNMP默認(rèn)共同體串信息泄露漏洞”,管理員依據(jù)此信息定位了存在“SNMP默認(rèn)共同體串信息泄露漏洞”的網(wǎng)絡(luò)設(shè)備,并根據(jù)IPS知識(shí)庫(kù)建議進(jìn)行了整改,為所有采用SNMP管理的網(wǎng)絡(luò)設(shè)備配置了強(qiáng)壯的口令,并嚴(yán)格限制了SNMP寫(xiě)權(quán)限,消除了網(wǎng)絡(luò)安全隱患,提升了網(wǎng)絡(luò)安全管理水平。
3.5 在督促提高用戶安全意識(shí)方面
IPS系統(tǒng)還幫助管理員發(fā)現(xiàn)了用戶的各種弱口令、空口令,管理員據(jù)此向相關(guān)用戶提出了賬號(hào)、口令安全建議,并對(duì)用戶進(jìn)行了安全培訓(xùn),有效地督促用戶提高安全意識(shí),系統(tǒng)上線半年后本單位用戶安全意識(shí)得到了明顯提高,本網(wǎng)用戶使用弱口令、空口令現(xiàn)象基本消除。
篇7
論文關(guān)鍵詞:政府類網(wǎng)站,信息安全,信息公開(kāi)
政務(wù)類網(wǎng)站是政府及其組成部門(mén)憑借其自身特有的信息資源優(yōu)勢(shì),通過(guò)網(wǎng)站的形式整合其所有資源,以用戶為中心,服務(wù)為導(dǎo)向,并以信息公開(kāi)為基礎(chǔ)、在線辦事和互動(dòng)交流為主要業(yè)務(wù)特征,為民眾提供及時(shí)、便捷、高效、易用的信息服務(wù)的平臺(tái)。
當(dāng)前,在我國(guó)深化改革、擴(kuò)大開(kāi)放、不斷完善社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制以及高科技迅猛發(fā)展的新形勢(shì)下,信息安全工作面臨著極大挑戰(zhàn)。目前政府類網(wǎng)站可能所受到的攻擊包括黑客入侵,內(nèi)部信息泄漏,不良信息的進(jìn)入內(nèi)網(wǎng)等方式。因此采取的網(wǎng)絡(luò)安全措施應(yīng)一方面要保證政府業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全。信息安全的需求歸結(jié)起來(lái)為以下幾點(diǎn):
1.信息的不被篡改:網(wǎng)站是信息的載體。政府類網(wǎng)站是展示政府部門(mén)形象,公布政府新出臺(tái)的政策措施,實(shí)現(xiàn)政府與社會(huì)之間資訊互通的平臺(tái)??煽康木W(wǎng)絡(luò)安全體系能保證網(wǎng)站的信息安全,防止其被非法篡改,造成惡劣的社會(huì)影響和國(guó)際影響。
2.業(yè)務(wù)系統(tǒng)的可用性:運(yùn)行政府網(wǎng)站的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞;
3.?dāng)?shù)據(jù)機(jī)密性:對(duì)于政府內(nèi)部網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。
4.訪問(wèn)的可控性:對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問(wèn)必須得到有效的控制,這要求系統(tǒng)能夠可靠確認(rèn)訪問(wèn)者的身份,謹(jǐn)慎授權(quán),并對(duì)任何訪問(wèn)進(jìn)行跟蹤記錄。
5.網(wǎng)絡(luò)操作的可管理性:對(duì)于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審記和日志功能,對(duì)相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。
針對(duì)政務(wù)累網(wǎng)站的安全需求,我們?cè)O(shè)計(jì)了三個(gè)安全框架:
1、基本型安全框架
運(yùn)維代價(jià)分析:基本型的安全框架減少了大量的設(shè)備投入,無(wú)形中增加了很多人工成本。其安全防護(hù)能力只能滿足基本需要。數(shù)據(jù)備份恢復(fù)只能采用了人工的方式,從而使得應(yīng)急響應(yīng)時(shí)間過(guò)長(zhǎng)。整個(gè)體系的容災(zāi)能力較差。
基本型安全框架設(shè)計(jì):具備了基本的安全防護(hù)體系,安全防護(hù)完全依賴部署在網(wǎng)絡(luò)邊界的防火墻,沒(méi)有網(wǎng)絡(luò)防御縱深,只能防御一般的攻擊,缺乏全方位的防御手段,也沒(méi)有部署遠(yuǎn)程備份系統(tǒng),系統(tǒng)容災(zāi)能力很差。該框架設(shè)計(jì)較適合缺乏建設(shè)資金投入的小型網(wǎng)站。
2、完整型安全框架
運(yùn)維代價(jià)分析:完整型的安全框架是一個(gè)趨于完善的安全體系,數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化,減少了部分人工值守工作環(huán)節(jié),具有較好的容災(zāi)能力。完整型的安全框架需要一定的前期資金及設(shè)備投入,增加了部分系統(tǒng)維護(hù)成本,能滿足中型網(wǎng)站的安全需求
完整型安全框架設(shè)計(jì):具備了較完整的安全防護(hù)體系,防御攻擊能力相比基本型增強(qiáng)了很多,部署了入侵預(yù)警、檢測(cè)和防范系統(tǒng),部署了全網(wǎng)的病毒防范、遠(yuǎn)程數(shù)據(jù)備份和網(wǎng)站防篡改系統(tǒng),具備一定層次的網(wǎng)絡(luò)防御縱深,部分服務(wù)器采用了冗余配置,具有較強(qiáng)的容災(zāi)能力。該框架設(shè)計(jì)較適合中型網(wǎng)站,從運(yùn)維代價(jià)分析也是較合理的。
3、完善型安全框架
運(yùn)維代價(jià)分析:完善型的安全框架是一個(gè)相對(duì)完善的安全體系,數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化,減少了大部分人工值守工作環(huán)節(jié),具有完備的容災(zāi)能力。完善型的安全框架在系統(tǒng)建設(shè)前期就要投入大量的資金及設(shè)備,后期的系統(tǒng)維護(hù)也需要一定的維護(hù)成本投入,能滿足大型網(wǎng)站的安全需求。
完善安全框架設(shè)計(jì):具備了完整的安全防護(hù)功能的,能全方位、多層次的實(shí)現(xiàn)系統(tǒng)安全保障和完整的數(shù)據(jù)及設(shè)備容災(zāi)。該安全框架建立了全網(wǎng)絡(luò)的入侵預(yù)警、檢測(cè)和防范體系,建立了全方位病毒防范和網(wǎng)站防篡改體系,對(duì)重要應(yīng)用系統(tǒng)的數(shù)據(jù)、關(guān)鍵的網(wǎng)絡(luò)設(shè)備和網(wǎng)站系統(tǒng)的進(jìn)行了冗余備份。完善型框架設(shè)計(jì)同框架設(shè)計(jì)比較,除了對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行冗余部署外,最大的區(qū)別是部署了異地容災(zāi)系統(tǒng)。
參考文獻(xiàn)
篇8
新時(shí)期,由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,促使計(jì)算機(jī)已逐漸成為了互聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)傳輸和信息交換的有效載體。伴隨著計(jì)算機(jī)的廣泛應(yīng)用,在其運(yùn)行過(guò)程中暴露出來(lái)的問(wèn)題也日益突出,如人們所廣泛關(guān)注的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題;基于此,本文首先對(duì)現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)所面臨的安全隱患問(wèn)題進(jìn)行了總結(jié),進(jìn)而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)策略進(jìn)行了詳細(xì)的概述,希望對(duì)后期相關(guān)工作提供一定的借鑒意義。
【關(guān)鍵詞】
計(jì)算機(jī),網(wǎng)絡(luò)安全;運(yùn)行;維護(hù)策略
隨著計(jì)算機(jī)網(wǎng)絡(luò)及其各個(gè)子系統(tǒng)的不斷上線,給互聯(lián)網(wǎng)運(yùn)行及維護(hù)工作所帶來(lái)的壓力明顯加大,同時(shí)維護(hù)內(nèi)容的強(qiáng)度也相比之前也明顯的增強(qiáng)。切實(shí)做好計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作,確保實(shí)現(xiàn)互聯(lián)網(wǎng)規(guī)范化和有序化及實(shí)現(xiàn)網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行,不斷加快網(wǎng)絡(luò)優(yōu)勢(shì)向經(jīng)濟(jì)效益的快速轉(zhuǎn)換,促使網(wǎng)絡(luò)效能得到最大化的發(fā)揮等問(wèn)題已成為目前我們迫切需要解決的新課題。
1新時(shí)期計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行所存在的安全隱患
“網(wǎng)絡(luò)安全”已成為目前人們廣泛關(guān)注的話題。所謂網(wǎng)絡(luò)安全,就是指計(jì)算機(jī)系統(tǒng)中的硬件設(shè)備、軟件系統(tǒng)以及數(shù)據(jù)等為避免遭受偶然因素或者惡意因素(如網(wǎng)絡(luò)病毒)的破壞而造成數(shù)據(jù)的泄露、系統(tǒng)的癱瘓而采取的保護(hù)性措施,保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行。新時(shí)期,計(jì)算機(jī)得到了更為廣泛的應(yīng)用,與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行維護(hù)過(guò)程中所暴露出來(lái)的問(wèn)題也日益突出。計(jì)算機(jī)運(yùn)行及維護(hù)工作所面臨的安全隱患來(lái)自多個(gè)方面,比如自然災(zāi)害、硬件故障、意外事故、人為操作失誤、網(wǎng)絡(luò)黑客攻擊等。
1.1物理安全威脅物理安全是計(jì)算機(jī)網(wǎng)絡(luò)信息安全最基本保證,具體指在物理層面上對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸和存儲(chǔ)等工作中實(shí)施的安全保護(hù)。物理安全威脅會(huì)直接的影響到計(jì)算機(jī)設(shè)備的正常使用,主要分為了以下幾類:(1)自然災(zāi)害、設(shè)備故障及物理?yè)p壞等;(2)在操作過(guò)程中由于人為失誤造成系統(tǒng)癱瘓(如誤將硬盤(pán)格式化);(3)痕跡泄露和電磁輻射。
1.2計(jì)算機(jī)用戶的使用缺陷由于計(jì)算機(jī)網(wǎng)絡(luò)用戶在使用網(wǎng)絡(luò)過(guò)程中,缺乏一定的安全常識(shí),使得惡意攻擊者有機(jī)可趁,嚴(yán)重威脅網(wǎng)絡(luò)運(yùn)行的安全。使用的計(jì)算機(jī)用戶主要涉及使用錯(cuò)誤,系統(tǒng)的備份不完整,密碼容易破解三個(gè)方面內(nèi)容。
1.3惡意程序惡意程序是人們?yōu)榱诉_(dá)到某種目的而刻意創(chuàng)造出來(lái)的。其包括了惡意代碼、特洛伊木馬及計(jì)算機(jī)病毒等。
1.4計(jì)算機(jī)技術(shù)隱患計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)隱患是對(duì)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作影響最大的因素,由于技術(shù)的缺陷將很有可能導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰。計(jì)算機(jī)技術(shù)隱患一般包括了:(1)計(jì)算機(jī)操作系統(tǒng)的安全缺陷;(2)應(yīng)用軟件的實(shí)現(xiàn)缺陷;(3)網(wǎng)絡(luò)協(xié)議的安全缺陷。
2新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)策略分析
2.1建立健全網(wǎng)絡(luò)制度建立健全計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)制度體系并有效地實(shí)施,是推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行的基本條件。在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作中,通過(guò)各項(xiàng)規(guī)章制度的建立和完善,從而構(gòu)建一套有章可依、有章必依、執(zhí)章必嚴(yán)、違章必究的網(wǎng)絡(luò)運(yùn)行體系;另外對(duì)相關(guān)的網(wǎng)絡(luò)維護(hù)人員,要明確其責(zé)任制,同時(shí)還需要對(duì)各項(xiàng)制度進(jìn)行定期的修改和完善,促使其能夠滿足不同時(shí)期的需求。制度是保障,執(zhí)行是根本,在實(shí)際工作中需要認(rèn)真的、嚴(yán)格的按照制度規(guī)定去執(zhí)行,對(duì)計(jì)算機(jī)系統(tǒng),包括主機(jī)、網(wǎng)絡(luò)、電源等進(jìn)行全面細(xì)微的檢查,同時(shí)做好詳細(xì)的檢查記錄,真正做到問(wèn)題的及時(shí)發(fā)現(xiàn)及時(shí)處理。
2.2以人為本,全面提高運(yùn)維人員的綜合素質(zhì)
2.2.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的生命所在就是運(yùn)維人員的使命感和責(zé)任心作為一個(gè)面向社會(huì)大眾的復(fù)雜龐大的人機(jī)系統(tǒng)---計(jì)算機(jī)網(wǎng)絡(luò),如果由于操作人員一個(gè)小心就很有可能導(dǎo)致重要數(shù)據(jù)的丟失,同樣一個(gè)很簡(jiǎn)單的指令就可能導(dǎo)致整個(gè)系統(tǒng)的崩潰。因此,切實(shí)提高運(yùn)維人員的責(zé)任心和使命感已成為一個(gè)緊迫的任務(wù)。
2.2.2不斷提高技術(shù)人員的維護(hù)水平新時(shí)期,科學(xué)技術(shù)的不斷發(fā)展,促使技術(shù)更新速度不斷加快,同時(shí)又由于操作規(guī)則的不斷調(diào)整、業(yè)務(wù)需求及業(yè)務(wù)發(fā)展的不斷變化,就需要經(jīng)常性的對(duì)已投入使用的計(jì)算機(jī)系統(tǒng)進(jìn)行必要的修改和調(diào)整,以促使系統(tǒng)的不斷完善,所以,對(duì)系統(tǒng)運(yùn)維人員也提出了新的更高要求,需要相關(guān)人員不斷的去努力提高自身工作能力及專業(yè)技能,以適應(yīng)不同時(shí)期的崗位需求。技術(shù)是基本,人才時(shí)保證,盡管設(shè)備和技術(shù)處于領(lǐng)先水平,但最終還是由人來(lái)操作和管理,只有擁有一支能力過(guò)硬的技術(shù)隊(duì)伍,才能有效地保證系統(tǒng)穩(wěn)定、安全的運(yùn)行。
2.2.3實(shí)現(xiàn)人員的合理分工及綜合利用由于各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)的陸續(xù)上線,在保證人員不變動(dòng)的情況下實(shí)現(xiàn)人員的合理分工及綜合利用就顯得尤為重要。對(duì)于某一具體的工作,如果只是有極少數(shù)的人員懂得維護(hù),那么就會(huì)存在著人員單點(diǎn)的隱患,這樣一種情況下,如果人員調(diào)崗或者突然離職,那么在短時(shí)間內(nèi)就難以找到一接手系統(tǒng)維護(hù)的員工,直接造成了人員斷層。因此,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)維護(hù)工作中的一些比較重要的崗位,必須要安排至少兩名技術(shù)人員;另外對(duì)所有運(yùn)維人員進(jìn)行充分合理的調(diào)配,促使每個(gè)人的潛力都能得到最大限度的發(fā)揮,同時(shí)對(duì)內(nèi)部崗位實(shí)行人員交叉制,達(dá)到一人多能的目的,有效解決人員單點(diǎn)隱患問(wèn)題。只有實(shí)現(xiàn)了人才的綜合利用,方能確保勞動(dòng)效率的不斷提高。2.3做好安全防范與管理工作做好系統(tǒng)安全管理工作是整個(gè)運(yùn)維過(guò)程中的重要環(huán)節(jié)。對(duì)于計(jì)算網(wǎng)絡(luò)系統(tǒng)的重要密碼務(wù)必要做到由專人管理,對(duì)管理人員還需要進(jìn)行定期的更換,從技術(shù)角度做好安全防范工作;然后,對(duì)計(jì)算機(jī)設(shè)備及系統(tǒng)定期進(jìn)行防火、防水、防蛀、防盜等多項(xiàng)目的安全檢查;作為計(jì)算機(jī)數(shù)據(jù)信息的神經(jīng)中樞系統(tǒng)---計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房,更應(yīng)該積極的將系統(tǒng)安全防范管理工作落實(shí)到實(shí)處。
2.4加強(qiáng)團(tuán)隊(duì)間的團(tuán)結(jié)協(xié)作,充分提高運(yùn)維工作的整體水平在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)維部門(mén),無(wú)論是技術(shù)骨干還是剛剛?cè)肼毜漠厴I(yè)學(xué)生,都要一視同仁,實(shí)現(xiàn)團(tuán)隊(duì)間的團(tuán)結(jié)協(xié)作,相互幫助、相互促進(jìn)、共同提高。新員工要積極主動(dòng)地向經(jīng)驗(yàn)豐富的來(lái)員工學(xué)習(xí)請(qǐng)教,老員工也要認(rèn)真的去帶好新人。在運(yùn)維部門(mén),各個(gè)崗位雖然相對(duì)分離卻又彼此聯(lián)系,不管是主機(jī)維護(hù)人員還是網(wǎng)絡(luò)維護(hù)人員,也不管是同一崗位的技術(shù)人員還是不同崗位的技術(shù)人員,都需要不斷地加強(qiáng)彼此之間的交流和溝通,保持大局觀念,塑造團(tuán)結(jié)合作的團(tuán)隊(duì)精神,確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行及維護(hù)工作的圓滿完成。
2.5做好資料文檔的歸檔和整理工作對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作來(lái)講,資料文檔的整理及歸檔工作尤為重要。由于計(jì)算機(jī)網(wǎng)絡(luò)工程具有邊建設(shè)邊運(yùn)行的特點(diǎn),使得其建設(shè)周期也是比較長(zhǎng)的,因此其資料文檔的歸檔整理工作也并非就是一次性能夠完成的,只要網(wǎng)絡(luò)工程未竣工,那么資料文檔的整理工作就會(huì)一直延續(xù)。所以,積極做好資料文檔的整理和歸檔工作在工程一開(kāi)始,就需要做到邊整理、邊歸檔;另外,資料文檔的整理歸檔工作應(yīng)該由專人進(jìn)行全權(quán)管理。
3結(jié)語(yǔ)
新時(shí)期,隨著科學(xué)技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)逐漸的滲入到人們生活的各個(gè)領(lǐng)域。由于網(wǎng)絡(luò)安全關(guān)系到了人們的切身利益,做好計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作已成為迫切需要解決的熱點(diǎn)話題。網(wǎng)絡(luò)在不斷地發(fā)展,問(wèn)題也在不斷的更新,人們的意識(shí)也要隨之同步更新。做好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行及維護(hù)工作,對(duì)于促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、可靠、安全運(yùn)行以及對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)功能向經(jīng)濟(jì)效益的不斷轉(zhuǎn)化具有重要的意義。
參考文獻(xiàn)
[1]羅林.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)硬件的故障維護(hù)策略分析[J].電腦知識(shí)與技術(shù),2014,14:3250-3251.
[2]李華清.計(jì)算機(jī)通信網(wǎng)絡(luò)安全維護(hù)策略分析[J].電子技術(shù)與軟件工程,2014,04:230.
[3]王蒙.現(xiàn)代通信網(wǎng)絡(luò)的運(yùn)行管理與維護(hù)策略分析[J].中國(guó)新通信,2014,16:74.
[4]張軻.新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)通信存在的問(wèn)題及其改進(jìn)策略分析[J].電腦知識(shí)與技術(shù),2015,09:82-83.
[5]繆玲.開(kāi)放式計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房維護(hù)策略的分析[J].信息與電腦(理論版),2015,13:136-138.
[6]王巍.關(guān)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2013,20:126+128.
篇9
【關(guān)鍵詞】校園網(wǎng)故障率降低
目前大多高校采用的是故障“來(lái)電響應(yīng)式”的IT護(hù)維模式,該模式因維護(hù)成本高、響應(yīng)模式被動(dòng),局限性已顯露無(wú)余。高校的維護(hù)模式主要有學(xué)校自行維護(hù)、第三方專項(xiàng)分散式維護(hù)和第三方整體運(yùn)維。
一、校園網(wǎng)運(yùn)維特點(diǎn)
1.響應(yīng)要求高
校園網(wǎng)用戶群體普遍比較年輕和活躍,對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)并且網(wǎng)絡(luò)體驗(yàn)較深,因此對(duì)網(wǎng)絡(luò)質(zhì)量和服務(wù)品質(zhì)有較高的要求。
2.鏈路層故障比較集中
因設(shè)備間基礎(chǔ)環(huán)境較差、線路老化和標(biāo)識(shí)不清等原因,50%以上的網(wǎng)絡(luò)報(bào)障集中在鏈路層面。
3.網(wǎng)絡(luò)安全和行為管理是重點(diǎn)
校園網(wǎng)用戶群體文化教育程度很高,很多人喜歡嘗試各類技術(shù)探索,如此一來(lái),規(guī)避潛在的計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)風(fēng)險(xiǎn),保障校園網(wǎng)信息平臺(tái)系統(tǒng)高效的、安全的運(yùn)行是一項(xiàng)重要的工作。
4.缺少統(tǒng)一的運(yùn)維系統(tǒng)
受限于經(jīng)費(fèi)和意識(shí)等因素,學(xué)校沒(méi)有部署統(tǒng)一的運(yùn)維系統(tǒng),部分學(xué)校也僅部署網(wǎng)絡(luò)監(jiān)控系統(tǒng),即便如此,監(jiān)控的層面和顆粒度都遠(yuǎn)遠(yuǎn)不能適應(yīng)服務(wù)要求。
二、運(yùn)維需求
按照運(yùn)維的技術(shù)廣度和深度,校園網(wǎng)運(yùn)維問(wèn)題主要體現(xiàn)在四個(gè)核心需求層面上,即核心層網(wǎng)絡(luò)層面、接入層網(wǎng)絡(luò)層面、應(yīng)用數(shù)據(jù)層面和用戶服務(wù)層面。核心層網(wǎng)絡(luò)層面包括核心網(wǎng)(城域網(wǎng))網(wǎng)絡(luò)維護(hù)服務(wù)、機(jī)房環(huán)境(含動(dòng)力系統(tǒng))維護(hù)服務(wù)、服務(wù)器設(shè)備維護(hù)服務(wù)、網(wǎng)絡(luò)安全服務(wù)等;接入層網(wǎng)絡(luò)層面包括鏈路維護(hù)服務(wù)、接入層網(wǎng)絡(luò)維護(hù)服務(wù)。應(yīng)用數(shù)據(jù)層面包括數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和門(mén)戶等;用戶服務(wù)層面在教學(xué)、科研和生活方面提供優(yōu)質(zhì)快捷的網(wǎng)絡(luò)質(zhì)量和網(wǎng)絡(luò)服務(wù)。
除了核心需求之外,校園網(wǎng)運(yùn)維管理中還涉及許多日常的業(yè)務(wù)運(yùn)維需求,譬如決策分析需求:校園網(wǎng)運(yùn)維的量化管理需為高校決策層提供IT投資及管理方面的數(shù)據(jù)支持,同時(shí)也將是校園網(wǎng)運(yùn)維管理人員的績(jī)效考核的重要依據(jù)。因此在決策分析層面,決策層對(duì)校園網(wǎng)運(yùn)維系統(tǒng)的管理需求同樣是非常明確,應(yīng)該可以直觀查看性能報(bào)表、實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行質(zhì)量的考核、作為績(jī)效考核的依據(jù)。
三、現(xiàn)有運(yùn)維模式探討
1、高校自行維護(hù)的模式
采用這種模式的高校主要有暨南大學(xué)、廣東外語(yǔ)外貿(mào)大學(xué)等,上述學(xué)校采用設(shè)備自行維修,維護(hù)工作量最大的鏈路維護(hù)交由學(xué)生團(tuán)隊(duì),團(tuán)隊(duì)由網(wǎng)絡(luò)中心的教師管理。這種維護(hù)模式的最大益處是可以節(jié)約經(jīng)費(fèi),但存在服務(wù)不到位、服務(wù)質(zhì)量不高,網(wǎng)絡(luò)中心為從事低技術(shù)含量、重復(fù)性的工作所困擾等問(wèn)題。
2、第三方專項(xiàng)維護(hù)的模式
采用這種模式的高校主要有廣東工業(yè)大學(xué)、廣東中醫(yī)藥大學(xué)和廣東藥學(xué)院等,上述學(xué)校把服務(wù)器設(shè)備的維修維護(hù)、網(wǎng)絡(luò)鏈路的新增維護(hù)、動(dòng)力系統(tǒng)分包給第三方;這種維護(hù)模式的益處是讓學(xué)校的教師有更多的精力從事業(yè)務(wù)系統(tǒng)和關(guān)鍵系統(tǒng)的維護(hù),花較少的經(jīng)費(fèi)把工作量大而繁瑣、技術(shù)含量較低的鏈路或者專業(yè)的工作交由第三方負(fù)責(zé)。但也存在流程脫節(jié)、服務(wù)不到位等問(wèn)題。
篇10
列車調(diào)度指揮系統(tǒng)用于保障鐵路行車的安全,而安全問(wèn)題又是鐵路行業(yè)的頭等大事,由于鐵路與網(wǎng)絡(luò)的聯(lián)系愈加緊密,保障列車調(diào)度指揮系統(tǒng)安全就尤為重要。其系統(tǒng)網(wǎng)絡(luò)安全主要是中心服務(wù)器安全和網(wǎng)絡(luò)安全。另外列車調(diào)度指揮系統(tǒng)使用以太網(wǎng)來(lái)傳輸各種調(diào)度信息,網(wǎng)絡(luò)內(nèi)部廣泛采用的協(xié)議是TCP/IP協(xié)議,TCP/IP協(xié)議為實(shí)現(xiàn)網(wǎng)絡(luò)信息的共享和傳遞起了舉足輕重的作用,雖然一定程度上可以維護(hù)網(wǎng)絡(luò)安全,但還存在一些安全漏洞:
a.身份認(rèn)證方式的安全性較弱,口令容易被非法竊取。
b.機(jī)密信息和數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改或被非法竊取。
c.信息可抵賴。
例如行車路線、生產(chǎn)計(jì)劃等電子文件一旦被一方所否認(rèn),另一方?jīng)]有已簽名的記錄作為仲裁的依據(jù)。就以上存在的安全問(wèn)題可總結(jié)出系統(tǒng)網(wǎng)絡(luò)受到的危險(xiǎn)和風(fēng)險(xiǎn)為:網(wǎng)絡(luò)病毒的傳播;地址欺騙;序列號(hào)攻擊;利用端口掃描、拒絕服務(wù)攻擊等惡意攻擊。雖然現(xiàn)在網(wǎng)絡(luò)中存在安全機(jī)制,但沒(méi)有一種安全策略是十全十美的,必須制定災(zāi)難恢復(fù)計(jì)劃以確保一旦硬件和軟件發(fā)生故障、系統(tǒng)受到惡意攻擊時(shí),能夠及時(shí)采取應(yīng)對(duì)措施,及時(shí)將列車調(diào)度指揮系統(tǒng)恢復(fù)正常運(yùn)行,減小損失[3]。
2列車調(diào)度指揮系統(tǒng)網(wǎng)絡(luò)的維護(hù)方案與管理
實(shí)施時(shí)應(yīng)將管理與技術(shù)兩手抓,具體方案和措施如下:首先,管理層面應(yīng)考慮管理制度的建立、管理的組織及運(yùn)行中的維護(hù)。系統(tǒng)安全不可能只從單個(gè)層面或單個(gè)環(huán)節(jié)就可解決,必須全方位多層面配合進(jìn)行,建立統(tǒng)一的安全策略,完善管理制度,堅(jiān)持運(yùn)維。統(tǒng)一的安全策略可以規(guī)范整個(gè)系統(tǒng)的管理流程和管理方法,便于管理的組織和實(shí)施,而只有堅(jiān)持運(yùn)維才能夠保證系統(tǒng)長(zhǎng)期、穩(wěn)定、有效的運(yùn)行。其次,在技術(shù)層面應(yīng)注意物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全及應(yīng)用安全等方面,在使用中,技術(shù)層面的安全問(wèn)題分界模糊,可以交叉實(shí)現(xiàn),具體可由以下幾方面入手:
a.防火墻。
防火墻技術(shù)是實(shí)現(xiàn)子網(wǎng)邊界安全的重要技術(shù)??梢詫⒄狭硕喙δ艿姆阑饓ψ鳛楹诵脑O(shè)備在網(wǎng)絡(luò)中取代路由的位置,這樣可以有效防護(hù)來(lái)自網(wǎng)絡(luò)層和應(yīng)用層的威脅,并且還能降低網(wǎng)絡(luò)的復(fù)雜性。
b.網(wǎng)絡(luò)防病毒系統(tǒng)。
列車調(diào)度指揮系統(tǒng)由網(wǎng)絡(luò)服務(wù)器、通信傳輸設(shè)備及車站終端機(jī)等設(shè)備組成。使用統(tǒng)一安全策略的集中安全管理中心對(duì)病毒進(jìn)行統(tǒng)一管理,對(duì)客戶端和服務(wù)器進(jìn)行防病毒保護(hù),并且使用云安全技術(shù),利用大量的客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),及時(shí)的獲取木馬、惡意程序的最新信息,并將獲得的信息推送到服務(wù)器端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端,以實(shí)現(xiàn)系統(tǒng)的網(wǎng)絡(luò)安全維護(hù)。
c.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
利用網(wǎng)絡(luò)分段技術(shù)劃分vlan,改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),以實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)中生產(chǎn)網(wǎng)、辦公網(wǎng)和廣域網(wǎng)的隔離,確保網(wǎng)絡(luò)資源與非法用戶的隔離,是一項(xiàng)基本的網(wǎng)絡(luò)防護(hù)措施和保護(hù)手段。
d.身份認(rèn)證系統(tǒng)。
目前采用的以靜態(tài)密碼為主的身份認(rèn)證系統(tǒng)存在安全隱患,用戶名及密碼容易被竊取,安全風(fēng)險(xiǎn)很大。使用動(dòng)態(tài)口令可解決此類安全隱患
e.入侵檢測(cè)技術(shù)。
入侵檢測(cè)的主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn),通過(guò)監(jiān)視、限制通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,防止外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn),隔離內(nèi)部網(wǎng)和外部網(wǎng),為監(jiān)視局域網(wǎng)安全提供便利。入侵檢測(cè)系統(tǒng)(IDS)是從計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)當(dāng)中收集數(shù)據(jù)信息,再通過(guò)這些收集的信息,分析有入侵特征的網(wǎng)絡(luò)安全系統(tǒng)[4]。IDS不僅能檢測(cè)出系統(tǒng)中違反系統(tǒng)安全規(guī)則或者威脅到系統(tǒng)安全的行為,還可以有效地彌補(bǔ)防火墻的被動(dòng)防御弱點(diǎn)。當(dāng)系統(tǒng)受到攻擊時(shí)采取相應(yīng)的措施進(jìn)行有效的網(wǎng)絡(luò)安全防護(hù),在被入侵攻擊后,收集入侵攻擊相關(guān)的各種信息,作為防范系統(tǒng)的知識(shí),添入策略集,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵[5]。
3結(jié)語(yǔ)
熱門(mén)標(biāo)簽
網(wǎng)絡(luò)安全論文 網(wǎng)絡(luò)營(yíng)銷論文 網(wǎng)絡(luò)倫理 網(wǎng)絡(luò)輿論論文 網(wǎng)絡(luò)銀行論文 網(wǎng)絡(luò)輿情論文 網(wǎng)絡(luò)文學(xué)論文 網(wǎng)絡(luò)交往 網(wǎng)絡(luò)輿論 網(wǎng)絡(luò)建設(shè)論文 心理培訓(xùn) 人文科學(xué)概論
相關(guān)文章
2神經(jīng)網(wǎng)絡(luò)在工程造價(jià)中的運(yùn)用
3企業(yè)社會(huì)化網(wǎng)絡(luò)招聘探討
4網(wǎng)絡(luò)時(shí)代對(duì)分課堂對(duì)學(xué)生的影響