導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全運(yùn)維管理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

以Internet、云計(jì)算、物聯(lián)網(wǎng)為代表的信息化浪潮一次次席卷全球，信息技術(shù)的應(yīng)用不斷深入，逐漸覆蓋到日常生產(chǎn)、生活的方方面面。Internet所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了越來(lái)越高的要求。如何保障信息網(wǎng)絡(luò)系統(tǒng)安全已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所必需考慮和解決的重要問(wèn)題。企業(yè)園區(qū)網(wǎng)絡(luò)作為企業(yè)的神經(jīng)中樞，它的安全穩(wěn)定運(yùn)行對(duì)于整個(gè)企業(yè)的日常生產(chǎn)與信息安全都具有重要的意義。

作為企業(yè)園區(qū)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理員，我們必須了解園區(qū)網(wǎng)絡(luò)面臨的多方面的安全威脅，從而制定相應(yīng)的管理措施，以保障網(wǎng)絡(luò)的安全與穩(wěn)定。

1 園區(qū)安全風(fēng)險(xiǎn)分析

1.1 內(nèi)部局域網(wǎng)的安全威脅

在已知的網(wǎng)絡(luò)維護(hù)安全事件中,約70%的攻擊是來(lái)自局域網(wǎng)。首先，局域網(wǎng)中用戶之間經(jīng)常通過(guò)網(wǎng)絡(luò)共享資源，給病毒的傳播提供了便捷；其次，內(nèi)部管理人員有意或者無(wú)意泄漏系統(tǒng)管理員的用戶名、口令、內(nèi)部網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)以及其他一些重要信息等，這有可能加大網(wǎng)絡(luò)安全事件造成的損失。另外，由于局域網(wǎng)內(nèi)的用戶主機(jī)、服務(wù)器等直接或者間接連接到同一臺(tái)網(wǎng)絡(luò)設(shè)備上，局域網(wǎng)的高帶寬也在加快病毒的傳播速度的同時(shí)，加劇病毒對(duì)網(wǎng)絡(luò)的影響程度。

1.2 廣域網(wǎng)、用戶遷移的安全威脅

其他區(qū)域網(wǎng)絡(luò)感染的病毒有可能通過(guò)廣域網(wǎng)傳播到本地區(qū)域網(wǎng)，也可能隨著用戶出差、變換工作地點(diǎn)、同一臺(tái)機(jī)器在不同的網(wǎng)絡(luò)環(huán)境中使用等原因?qū)⒉《編氡镜貐^(qū)域網(wǎng)。

1.3 電子郵件應(yīng)用安全威脅

電子郵件是最為廣泛的網(wǎng)絡(luò)應(yīng)用之一。局域網(wǎng)用戶除了使用企業(yè)內(nèi)部郵箱收發(fā)系統(tǒng)內(nèi)辦公郵件以外，也會(huì)接受一些來(lái)自Internet的不明郵件，這給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)了不安全因素。

1.4 來(lái)自Internet的安全威脅

來(lái)自Internet的安全威脅非常多，園區(qū)網(wǎng)絡(luò)一般只會(huì)開(kāi)啟互聯(lián)網(wǎng)的網(wǎng)頁(yè)瀏覽功能，但網(wǎng)頁(yè)瀏覽也是網(wǎng)絡(luò)系統(tǒng)被入侵的一個(gè)不安全因素，這也是園區(qū)網(wǎng)絡(luò)最主要的病毒來(lái)源之一。瀏覽網(wǎng)頁(yè)、下載資料都可能帶來(lái)病毒程序或者木馬，還有利用假冒手段騙取你的關(guān)鍵信息等手段。

2網(wǎng)絡(luò)管理措施

2.1網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

園區(qū)網(wǎng)絡(luò)的管理應(yīng)從設(shè)計(jì)階段就加以考慮。關(guān)鍵節(jié)點(diǎn)雙機(jī)熱備、關(guān)鍵傳輸鏈路采用多條不同路由、設(shè)備互聯(lián)采用動(dòng)態(tài)路由環(huán)狀連接等，這些冗余架構(gòu)都能從很大程度上增強(qiáng)基礎(chǔ)網(wǎng)絡(luò)的穩(wěn)定性。但我們也需要在網(wǎng)絡(luò)的復(fù)雜性和簡(jiǎn)潔性上做好權(quán)衡，過(guò)于復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)反倒會(huì)給后期的運(yùn)維管理埋下隱患。筆者在長(zhǎng)期的網(wǎng)絡(luò)運(yùn)維管理實(shí)踐中就遇到過(guò)不少這樣的問(wèn)題。個(gè)別局域網(wǎng)系統(tǒng)設(shè)計(jì)考慮非常多，采用雙機(jī)熱備、多鏈路上聯(lián)等多種方式，VRRP、STP也都用上了，以期增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性。結(jié)果在后期運(yùn)維中，由于選用設(shè)備版本不夠穩(wěn)定，經(jīng)常出現(xiàn)莫名其妙的問(wèn)題，反倒降低了整個(gè)系統(tǒng)的可用性。

2.2 網(wǎng)絡(luò)管理文檔的建立

網(wǎng)絡(luò)維護(hù)的絕大部分工作在于平時(shí)細(xì)致的管理和準(zhǔn)備，需要對(duì)網(wǎng)絡(luò)的每一個(gè)細(xì)節(jié)做到了然于胸，當(dāng)故障發(fā)生時(shí)，我們能夠迅速定位到故障點(diǎn)，以最快速度排除故障。為了做好網(wǎng)絡(luò)的管理，我們需要持續(xù)做好網(wǎng)絡(luò)管理文檔的完善工作。如：交換機(jī)端口信息表、ip和mac地址的對(duì)應(yīng)表、網(wǎng)絡(luò)拓?fù)鋱D、故障處理報(bào)告等等，這些信息都會(huì)為我們應(yīng)對(duì)突發(fā)網(wǎng)絡(luò)故障提供幫助。例如：經(jīng)常在園區(qū)內(nèi)泛濫的ARP病毒，由于其影響范圍廣、難以查殺而讓網(wǎng)管人員頗為頭疼。如果我們有ip和mac地址對(duì)應(yīng)表，就能夠非?？斓亩ㄎ徊《驹矗宰羁焖俣忍幚淼艄收?。

2.3 網(wǎng)絡(luò)的日常檢查及性能分析

我們需要經(jīng)常對(duì)核心網(wǎng)絡(luò)、應(yīng)用服務(wù)器進(jìn)行細(xì)致的檢查，分析性能，察看日志，發(fā)現(xiàn)可疑情況及時(shí)處理。這種工作雖然枯燥但卻很重要。每天的重復(fù)勞動(dòng)不一定總能發(fā)現(xiàn)異常，但這是我們發(fā)現(xiàn)問(wèn)題，對(duì)故障進(jìn)行預(yù)判的依據(jù)。例如：一次日常檢查我們發(fā)現(xiàn)某主干交換機(jī)CPU、內(nèi)存使用率偏高，通過(guò)進(jìn)一步分析日志發(fā)現(xiàn)某接口錯(cuò)誤。經(jīng)過(guò)細(xì)致排查，我們發(fā)現(xiàn)接口光纖質(zhì)量不好導(dǎo)致接口報(bào)錯(cuò)，更換光纖后故障排除，避免了問(wèn)題的進(jìn)一步升級(jí)。

2.4 系統(tǒng)及時(shí)升級(jí)、補(bǔ)丁、病毒定義及時(shí)更新

網(wǎng)絡(luò)設(shè)備、服務(wù)器的軟件系統(tǒng)需要及時(shí)升級(jí)，服務(wù)器、客戶端也要及時(shí)打補(bǔ)丁、更新病毒定義，這是我們防患于未然的必要措施。目前國(guó)內(nèi)客戶端使用微軟的用戶比較多，那WSUS就非常重要。防病毒服務(wù)器也必須統(tǒng)一部署，能夠使病毒定義統(tǒng)一更新，避免網(wǎng)內(nèi)有安全短板。

2.5 網(wǎng)絡(luò)管理系統(tǒng)、日志系統(tǒng)、網(wǎng)管工具的使用

通過(guò)使用網(wǎng)絡(luò)管理系統(tǒng)，可以實(shí)現(xiàn)設(shè)備的輪詢、故障的報(bào)警等功能。通過(guò)一些閥值的設(shè)定，系統(tǒng)可以第一時(shí)間將故障預(yù)警信息通過(guò)郵件或者短信發(fā)送給系統(tǒng)管理員或者網(wǎng)管中心，能夠幫助我們實(shí)現(xiàn)對(duì)故障的預(yù)判。并且，網(wǎng)絡(luò)管理系統(tǒng)圖形化、自動(dòng)化的管理方式，也將大大提高我們網(wǎng)絡(luò)管理的效率。

日志系統(tǒng)也非常重要，通過(guò)對(duì)日志系統(tǒng)記錄的設(shè)備運(yùn)行狀態(tài)進(jìn)行分析，能夠幫助我們發(fā)現(xiàn)系統(tǒng)存在的問(wèn)題，為排錯(cuò)、優(yōu)化系統(tǒng)提供依據(jù)。

各種網(wǎng)管工具更是我們做網(wǎng)絡(luò)管理的必要的幫手，比如抓包軟件、可視光源、測(cè)線工具、標(biāo)簽機(jī)、螺絲刀等等，所以網(wǎng)管人員往往都是背著背包的，應(yīng)手的家伙一個(gè)也不能少。

2.6 做好設(shè)備、線纜標(biāo)識(shí)工作

好記性不如爛筆頭，一個(gè)人做過(guò)的事也很容易就忘掉，更何況網(wǎng)絡(luò)管理團(tuán)隊(duì)中有好多人，很多時(shí)候一件事往往追溯不到源頭。所以標(biāo)識(shí)、記錄工作非常重要。如果標(biāo)識(shí)工作不到位，很容易會(huì)發(fā)生設(shè)備、線纜用途無(wú)人知曉，誰(shuí)都不敢動(dòng)的情況。

2.7對(duì)用戶的培訓(xùn)

很多網(wǎng)絡(luò)故障是由人為因素造成的，比如碰掉設(shè)備的電源、辦公室HUB出現(xiàn)環(huán)接等等，通過(guò)適當(dāng)?shù)臅r(shí)機(jī)對(duì)用戶進(jìn)行網(wǎng)絡(luò)知識(shí)的教育，能夠有效地避免類似網(wǎng)絡(luò)故障的發(fā)生，給網(wǎng)絡(luò)管理工作降低工作量和難度。

2.8其他

機(jī)房環(huán)境設(shè)施的運(yùn)維管理，也是對(duì)網(wǎng)絡(luò)的安全與運(yùn)維管理產(chǎn)生重要影響的一個(gè)方面。除此之外，如果有互聯(lián)網(wǎng)出口的，還需要部署防火墻、上網(wǎng)行為管理設(shè)備等，既要做好安全防護(hù)，又要做到有跡可查。

篇2

1.1調(diào)度數(shù)據(jù)網(wǎng)結(jié)構(gòu)

廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)以星型結(jié)構(gòu)組網(wǎng)，依次分為核心層、匯聚層和接入層。核心層為廣西電網(wǎng)公司電力調(diào)度控制中心（以下簡(jiǎn)稱中調(diào)），是整個(gè)調(diào)度數(shù)據(jù)網(wǎng)的核心。匯聚層包括南寧等14個(gè)供電局電力調(diào)度控制中心（以下簡(jiǎn)稱地調(diào)）及其第2匯聚節(jié)點(diǎn)，采用雙歸屬方式連接至核心節(jié)點(diǎn)，其匯聚層網(wǎng)絡(luò)流量向中調(diào)匯集。接入層節(jié)點(diǎn)主要包括廣西電網(wǎng)內(nèi)的500kV、220kV變電站及部分接入電廠。各接入節(jié)點(diǎn)按2點(diǎn)接入原則就近接入地調(diào)匯聚節(jié)點(diǎn)和該地區(qū)第2匯聚節(jié)點(diǎn)，其接入層網(wǎng)絡(luò)流量向匯聚節(jié)點(diǎn)匯集。廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)如圖1所示。圖1廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)

1.2網(wǎng)絡(luò)環(huán)境分析

從業(yè)務(wù)的角度分析，根據(jù)南方電網(wǎng)《二次系統(tǒng)安全防護(hù)總體方案》的要求，廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)在業(yè)務(wù)側(cè)已經(jīng)基本實(shí)現(xiàn)了“橫向隔離、縱向認(rèn)證”。利用MPLSVPN技術(shù)在業(yè)務(wù)側(cè)劃分為安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)，其中，安全I(xiàn)區(qū)是電力生產(chǎn)的實(shí)時(shí)業(yè)務(wù)，縱向上通過(guò)加密裝置進(jìn)行安全認(rèn)證；安全I(xiàn)I區(qū)是電力生產(chǎn)的非實(shí)時(shí)業(yè)務(wù)，縱向上部署了硬件防火墻作安全防護(hù)。在I區(qū)與II區(qū)、II區(qū)與其他網(wǎng)絡(luò)之間部署了電力系統(tǒng)專用的隔離裝置進(jìn)行隔離。從設(shè)備管理的角度分析，廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)還存在網(wǎng)絡(luò)設(shè)備管理區(qū)。網(wǎng)絡(luò)設(shè)備管理區(qū)主要用于管理整個(gè)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)設(shè)備，對(duì)接入到設(shè)備管理區(qū)的網(wǎng)絡(luò)設(shè)備可直接控制。日?？蓪?duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置更改，同時(shí)還可查看網(wǎng)絡(luò)設(shè)備的配置、故障、運(yùn)行情況和網(wǎng)絡(luò)鏈路情況等。業(yè)務(wù)安全方面，調(diào)度數(shù)據(jù)網(wǎng)劃分的2個(gè)安全分區(qū)已具備一定的安全防護(hù)能力，且配置了網(wǎng)絡(luò)安全隔離策略，但缺乏入侵檢測(cè)、行為審計(jì)、流量監(jiān)測(cè)以及鏈路管理等安全防護(hù)手段。調(diào)度數(shù)據(jù)網(wǎng)設(shè)備管理區(qū)是設(shè)備安全管理最重要的環(huán)節(jié)，但也是目前比較薄弱的環(huán)節(jié)，這是因?yàn)閷?duì)接入設(shè)備管理區(qū)的網(wǎng)絡(luò)設(shè)備可以直接進(jìn)行更改配置和重啟等危險(xiǎn)操作。除通過(guò)建立運(yùn)維管理制度進(jìn)行規(guī)范外，還需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè)，統(tǒng)一展示全網(wǎng)設(shè)備的運(yùn)行情況，保證網(wǎng)絡(luò)出現(xiàn)故障或安全事件時(shí)運(yùn)維人員可知、可控和可查。根據(jù)以上分析，調(diào)度數(shù)據(jù)網(wǎng)安全分區(qū)和網(wǎng)絡(luò)設(shè)備管理區(qū)均存在網(wǎng)絡(luò)安全防備不足的問(wèn)題，難以保障調(diào)度數(shù)據(jù)網(wǎng)長(zhǎng)期、安全、穩(wěn)定運(yùn)行。

2廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

調(diào)度數(shù)據(jù)網(wǎng)關(guān)注的網(wǎng)絡(luò)安全課題有：保障調(diào)度數(shù)據(jù)網(wǎng)每臺(tái)網(wǎng)絡(luò)設(shè)備運(yùn)行穩(wěn)定；監(jiān)測(cè)核心鏈路流量傳輸情況；預(yù)防每臺(tái)網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生；快速應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備故障或者網(wǎng)絡(luò)安全事件的發(fā)生；利用收集到的數(shù)據(jù)快速定位到導(dǎo)致網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)風(fēng)險(xiǎn)的源頭；加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)入侵防御體系等。根據(jù)廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的實(shí)際情況，下面列出幾種潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.1網(wǎng)絡(luò)設(shè)備運(yùn)行情況不明

路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備是調(diào)度數(shù)據(jù)網(wǎng)的基礎(chǔ)組成部分，只有這些網(wǎng)絡(luò)設(shè)備穩(wěn)定運(yùn)行，才能保證整個(gè)網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的實(shí)效性和連續(xù)性。目前，尚未實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行全方位監(jiān)測(cè)，設(shè)備發(fā)生故障后，管理員才發(fā)現(xiàn)該設(shè)備出現(xiàn)問(wèn)題，設(shè)備的管理方式很被動(dòng)。在被動(dòng)的管理方式下，管理員難以掌握設(shè)備的CPU利用率、內(nèi)存占用率、雙電源、風(fēng)扇、溫度等日常運(yùn)行指標(biāo)信息，無(wú)法判斷設(shè)備是否運(yùn)行良好，從而難以預(yù)防網(wǎng)絡(luò)設(shè)備故障或網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生。

2.2網(wǎng)絡(luò)設(shè)備故障管理方式不科學(xué)

調(diào)度數(shù)據(jù)網(wǎng)遵循“抓大放小”的原則，對(duì)設(shè)備脫管、鏈路通斷和設(shè)備宕機(jī)等大故障會(huì)進(jìn)行及時(shí)處理，而對(duì)設(shè)備CPU超標(biāo)、內(nèi)存超標(biāo)、端口流量超標(biāo)和溫度超標(biāo)等小故障未進(jìn)行有效管理，這種故障管理方式不夠科學(xué)。網(wǎng)絡(luò)設(shè)備具有數(shù)量龐大、品牌眾多和使用時(shí)間較長(zhǎng)等特點(diǎn)，由于處理設(shè)備大故障需要花費(fèi)較多的人力和物力，因此設(shè)備小故障的監(jiān)測(cè)與處理常被忽視。如果設(shè)備的小故障不加以防范及處理，往往會(huì)導(dǎo)致大故障的發(fā)生，例如：設(shè)備溫度過(guò)高會(huì)導(dǎo)致設(shè)備不停地重啟，進(jìn)而導(dǎo)致業(yè)務(wù)數(shù)據(jù)傳輸時(shí)斷時(shí)續(xù)。不對(duì)設(shè)備大、小故障進(jìn)行全方位管理，很難防范導(dǎo)致故障發(fā)生的潛在問(wèn)題和安全隱患。

2.3網(wǎng)絡(luò)缺乏主動(dòng)的入侵防御

分析廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，無(wú)論是核心層到匯聚層，還是匯聚層到接入層，均缺乏一套積極主動(dòng)的入侵防御技術(shù)體系，僅依靠二次系統(tǒng)安全防護(hù)中的橫向隔離、縱向認(rèn)證來(lái)進(jìn)行安全防護(hù)，難以達(dá)到入侵防御“零安全事件”的最高要求。無(wú)法識(shí)別數(shù)量龐大的業(yè)務(wù)數(shù)據(jù)是否攜帶潛在的安全威脅，如常見(jiàn)的木馬、蠕蟲(chóng)和黑客病毒等。網(wǎng)頁(yè)瀏覽、電子郵件、文件傳輸和網(wǎng)絡(luò)下載是感染病毒最常見(jiàn)的途徑，木馬、蠕蟲(chóng)和黑客病毒等網(wǎng)絡(luò)安全威脅往往隱藏其中。而防火墻（或加密裝置）通常只是業(yè)務(wù)數(shù)據(jù)的第一道防線，起到流量流入、流出過(guò)濾的作用，無(wú)法識(shí)別流量包裹中的網(wǎng)絡(luò)安全威脅，不能起到有效的防御作用。不利用認(rèn)證、預(yù)警、病毒掃描和流量檢查等多元化的手段建立一個(gè)橫縱、有效的入侵防御體系，難以預(yù)防調(diào)度數(shù)據(jù)網(wǎng)潛在的網(wǎng)絡(luò)安全隱患。

2.4整網(wǎng)缺乏網(wǎng)絡(luò)內(nèi)部安全防護(hù)

廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)是獨(dú)立的電力廣域網(wǎng)，與和互聯(lián)網(wǎng)連接的網(wǎng)絡(luò)相比，相對(duì)較安全、干凈，易于管理，但存在網(wǎng)絡(luò)內(nèi)部安全威脅。網(wǎng)絡(luò)內(nèi)部安全威脅大致分為3種：人為惡意攻擊、人為無(wú)意失誤、應(yīng)用系統(tǒng)存在的漏洞。人為惡意攻擊是網(wǎng)絡(luò)安全面臨的最大威脅，即在不影響網(wǎng)絡(luò)的情況下，破壞電網(wǎng)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的有效性和完整性或者通過(guò)截取、竊取、破譯等手段獲取系統(tǒng)重要信息。人為無(wú)意失誤如管理員進(jìn)行了非常規(guī)操作，會(huì)威脅網(wǎng)絡(luò)安全運(yùn)行。而應(yīng)用系統(tǒng)存在的漏洞多為應(yīng)用系統(tǒng)開(kāi)發(fā)人員為了方便而設(shè)置的“后門(mén)”或者系統(tǒng)本身存在的漏洞，會(huì)成為黑客攻擊的首選目標(biāo)。調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)系統(tǒng)既要對(duì)網(wǎng)絡(luò)外部建立入侵防御，還要在網(wǎng)絡(luò)內(nèi)部做好安全威脅防護(hù)。目前，調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)體系未對(duì)網(wǎng)絡(luò)內(nèi)部的正常WEB頁(yè)面訪問(wèn)、非法授權(quán)訪問(wèn)、用戶數(shù)據(jù)訪問(wèn)、系統(tǒng)數(shù)據(jù)庫(kù)操作審計(jì)和網(wǎng)絡(luò)設(shè)備操作審計(jì)等進(jìn)行多種手段的流量監(jiān)測(cè)，當(dāng)網(wǎng)絡(luò)出現(xiàn)內(nèi)部安全威脅時(shí)無(wú)法有效防御和控制，事后也無(wú)據(jù)可查，這是調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部的重大網(wǎng)絡(luò)安全隱患。

2.5網(wǎng)絡(luò)運(yùn)維工作量大

運(yùn)維人員負(fù)責(zé)保障全網(wǎng)的調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、安全運(yùn)行，但整個(gè)調(diào)度數(shù)據(jù)網(wǎng)近400臺(tái)網(wǎng)絡(luò)設(shè)備，運(yùn)維人員要高效、出色地完成電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的運(yùn)維任務(wù)，工作量很大。使用目前的網(wǎng)絡(luò)管理軟件，除每日正常網(wǎng)絡(luò)維護(hù)工作外，需要1個(gè)運(yùn)維人員花費(fèi)2~3天完成每月的定期檢查工作，此外，還需要3~5個(gè)運(yùn)維人員花費(fèi)約1個(gè)月時(shí)間完成每年一次的調(diào)度數(shù)據(jù)網(wǎng)近400多臺(tái)設(shè)備的定檢工作。每月定期檢查內(nèi)容包括檢查中調(diào)到14個(gè)地調(diào)（包括第1、2匯聚節(jié)點(diǎn)）鏈路運(yùn)行情況；查看鏈路峰值比特率、峰值利用率；統(tǒng)計(jì)中調(diào)到各地調(diào)實(shí)時(shí)業(yè)務(wù)和非實(shí)時(shí)業(yè)務(wù)時(shí)延情況。年度設(shè)備檢查包括核心層路由表檢查、物理鏈路狀態(tài)檢查、鏈路性能檢查、設(shè)備日記信息檢查、設(shè)備運(yùn)行狀態(tài)、配置檢查和網(wǎng)絡(luò)路由協(xié)議狀態(tài)檢查等20多項(xiàng)定檢內(nèi)容，這也是網(wǎng)絡(luò)運(yùn)維工作量最大的一項(xiàng)。

2.6網(wǎng)絡(luò)運(yùn)維與網(wǎng)絡(luò)安全缺乏集中管理

為了滿足廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)信息安全建設(shè)工作的需要，專業(yè)的網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)安全系統(tǒng)投入使用。但在系統(tǒng)的應(yīng)用過(guò)程中，發(fā)現(xiàn)網(wǎng)絡(luò)管理系統(tǒng)只負(fù)責(zé)網(wǎng)絡(luò)維護(hù)和設(shè)備故障處理，而網(wǎng)絡(luò)安全系統(tǒng)只負(fù)責(zé)處理網(wǎng)絡(luò)中的安全事件，兩者間并無(wú)聯(lián)系，調(diào)度數(shù)據(jù)網(wǎng)同時(shí)運(yùn)用多套系統(tǒng)反而增加了網(wǎng)絡(luò)管理上的難度。不同的系統(tǒng)無(wú)法通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行集中管理，降低了運(yùn)維工作效率，增加了工作量，是調(diào)度數(shù)據(jù)網(wǎng)安全建設(shè)急需解決的問(wèn)題。

3廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全管理探討

廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的安全防護(hù)遵循“只監(jiān)視、不控制”的原則，要求網(wǎng)絡(luò)可靠、穩(wěn)定、安全運(yùn)行，確保調(diào)度數(shù)據(jù)業(yè)務(wù)穩(wěn)定、不間斷運(yùn)行。為了不影響調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)數(shù)據(jù)正常運(yùn)行，網(wǎng)絡(luò)安全管理平臺(tái)采用旁路部署方式掛在中調(diào)的核心路由器下。廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全管理的目標(biāo)是，通過(guò)采取適當(dāng)?shù)目刂拼胧?，保障基礎(chǔ)網(wǎng)絡(luò)的安全性，確保調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)不發(fā)生安全事件、少發(fā)生安全事件，即使發(fā)生安全事件也能有效降低事件造成的影響并快速應(yīng)急響應(yīng)。通過(guò)建設(shè)集中的網(wǎng)絡(luò)安全管理平臺(tái)，實(shí)現(xiàn)對(duì)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)測(cè)，對(duì)安全事件、設(shè)備故障、入侵行為、網(wǎng)絡(luò)流量和鏈路狀態(tài)等進(jìn)行統(tǒng)一管理、分析和監(jiān)測(cè)，再通過(guò)關(guān)聯(lián)分析技術(shù)，使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)、定位、解決問(wèn)題，有效應(yīng)對(duì)安全事件的發(fā)生。

3.1設(shè)備故障管理

網(wǎng)絡(luò)安全管理平臺(tái)可對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)監(jiān)視，對(duì)設(shè)備故障進(jìn)行統(tǒng)一管理。網(wǎng)絡(luò)安全管理平臺(tái)采用SNMP技術(shù)分地區(qū)獲取網(wǎng)絡(luò)設(shè)備的性能狀態(tài)信息，并寫(xiě)入數(shù)據(jù)庫(kù)由平臺(tái)統(tǒng)一進(jìn)行處理、分析，對(duì)滿足故障條件的信息按地區(qū)進(jìn)行展示和通知，便于管理員及時(shí)、準(zhǔn)確地發(fā)現(xiàn)各地區(qū)的故障情況。同時(shí)，當(dāng)網(wǎng)絡(luò)安全管理平臺(tái)監(jiān)控到設(shè)備持續(xù)故障數(shù)超過(guò)規(guī)定閾值時(shí)，這類故障將上升為安全事件，會(huì)按地區(qū)進(jìn)行展示和通知。網(wǎng)絡(luò)安全管理平臺(tái)故障管理的對(duì)象除網(wǎng)絡(luò)設(shè)備外，還有安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)等多種類型的設(shè)備，管理員可根據(jù)網(wǎng)絡(luò)需要靈活應(yīng)用。

3.2設(shè)備狀態(tài)監(jiān)視

為使設(shè)備自身故障或人為誤操作造成的設(shè)備運(yùn)行異常有據(jù)可依、可查，網(wǎng)絡(luò)安全管理平臺(tái)對(duì)設(shè)備運(yùn)行狀態(tài)了進(jìn)行全程、多維監(jiān)視。

1）設(shè)備系統(tǒng)監(jiān)視。設(shè)備系統(tǒng)日志會(huì)記錄系統(tǒng)中硬、軟件和系統(tǒng)問(wèn)題的信息。網(wǎng)絡(luò)安全管理平臺(tái)可通過(guò)設(shè)備Syslog的外發(fā)方式或Telnet的主動(dòng)獲取方式收集設(shè)備的系統(tǒng)日志。中調(diào)到各地調(diào)匯聚節(jié)點(diǎn)的鏈路帶寬充足，匯聚層以上的設(shè)備采用Syslog外發(fā)方式獲取系統(tǒng)日志。由于中調(diào)到各接入層設(shè)備帶寬一般為4Mbit/s或2Mbit/s，為防止多臺(tái)設(shè)備出現(xiàn)異常時(shí)大量外發(fā)日志占用接入層鏈路帶寬的特殊情況發(fā)生，接入層設(shè)備采用Telnet的主動(dòng)方式獲取系統(tǒng)日志，只有當(dāng)平臺(tái)探測(cè)這條鏈路為空閑時(shí)才允許平臺(tái)執(zhí)行Telnet操作。網(wǎng)絡(luò)安全管理平臺(tái)對(duì)收集到的系統(tǒng)日志進(jìn)行統(tǒng)一處理、分析，可按電網(wǎng)告警級(jí)別與系統(tǒng)日志級(jí)別，對(duì)應(yīng)在各地區(qū)的安全事件或者告警信息中進(jìn)行顯示，顯示內(nèi)容包括設(shè)備自身告警記錄和人為操作記錄的詳細(xì)信息。

2）設(shè)備配置監(jiān)視。網(wǎng)絡(luò)設(shè)備配置分為：運(yùn)行配置，即設(shè)備當(dāng)前運(yùn)行的配置；啟動(dòng)配置，即設(shè)備啟動(dòng)時(shí)加載的配置。網(wǎng)絡(luò)安全管理平臺(tái)可以通過(guò)手動(dòng)獲取或定時(shí)獲取等方式，利用Telnet技術(shù)主動(dòng)連接設(shè)備，獲取當(dāng)前設(shè)備的運(yùn)行配置和啟動(dòng)配置。設(shè)備配置監(jiān)視的主要作用有：對(duì)比當(dāng)前設(shè)備運(yùn)行配置與啟動(dòng)配置是否一致，如配置不一致，說(shuō)明該設(shè)備配置被更改后未進(jìn)行保存；自定義選擇近期設(shè)備運(yùn)行配置或啟動(dòng)配置歷史版本進(jìn)行對(duì)比，由此可掌握近期設(shè)備的運(yùn)行配置或啟動(dòng)配置歷史變化情況；自定義選擇2個(gè)及以上設(shè)備的運(yùn)行配置或啟動(dòng)配置進(jìn)行對(duì)比，由此可發(fā)現(xiàn)各設(shè)備配置的區(qū)別。

3.3入侵防御檢測(cè)

為應(yīng)對(duì)調(diào)度數(shù)據(jù)網(wǎng)的內(nèi)部威脅，防火墻對(duì)流入、流出調(diào)度數(shù)據(jù)流量進(jìn)行過(guò)濾，但這不是防護(hù)入侵行為的有效手段。入侵檢測(cè)防御系統(tǒng)不僅能針對(duì)數(shù)據(jù)流量IP進(jìn)行過(guò)濾，還能對(duì)基于應(yīng)用層出現(xiàn)的木馬、后門(mén)及各種惡意代碼、遠(yuǎn)程惡意控制等進(jìn)行檢測(cè)。入侵檢測(cè)防御系統(tǒng)采用旁路部署的方式，使用流量鏡像技術(shù)將核心路由器上中調(diào)與各地調(diào)間的流量鏡像連接到入侵檢測(cè)系統(tǒng)進(jìn)行統(tǒng)一處理、分析，將分析結(jié)果及已獲取的安全事件傳遞至網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行展示，確保被發(fā)現(xiàn)的入侵檢測(cè)行為能得到有效控制。

3.4流量和鏈路監(jiān)測(cè)

如果不對(duì)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和跟蹤，網(wǎng)絡(luò)安全管理員就無(wú)法掌握中調(diào)到各地調(diào)網(wǎng)絡(luò)流量的情況，為此，引入流量監(jiān)測(cè)系統(tǒng)。該系統(tǒng)采用旁路部署的方式，通過(guò)采集中調(diào)與各地調(diào)間（包括第2匯聚點(diǎn)）的鏡像流量進(jìn)行統(tǒng)一處理、分析和統(tǒng)計(jì)。該系統(tǒng)除了能對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)外，還能對(duì)通道鏈路進(jìn)行監(jiān)測(cè)，降低了廣西電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的安全風(fēng)險(xiǎn)，防患于未然。

1）網(wǎng)絡(luò)流量監(jiān)測(cè)，監(jiān)測(cè)、采集網(wǎng)絡(luò)流量并進(jìn)行處理、分析和統(tǒng)計(jì)，展示最近1h的流量趨勢(shì)，也可基于源IP、目的IP、應(yīng)用協(xié)議和會(huì)話等多維角度展示網(wǎng)絡(luò)流量的排名情況。為滿足網(wǎng)絡(luò)防護(hù)的工作需要，管理員可自定義時(shí)間段、源IP、目的IP和應(yīng)用協(xié)議等條件查看具體網(wǎng)絡(luò)流量的記錄。

2）通道鏈路監(jiān)測(cè)，與網(wǎng)絡(luò)流量監(jiān)測(cè)一樣需要對(duì)采集的網(wǎng)絡(luò)流量進(jìn)行處理、分析和統(tǒng)計(jì)，不同之處在于流量監(jiān)測(cè)系統(tǒng)對(duì)中調(diào)與各地調(diào)間的鏈路比特率進(jìn)行采樣（5min/次），同時(shí)通過(guò)Ping對(duì)應(yīng)地調(diào)網(wǎng)關(guān)的方式計(jì)算出此鏈路的響應(yīng)時(shí)間。系統(tǒng)獲取通道鏈路的比特率和響應(yīng)時(shí)延后，以圖表方式展示指定時(shí)間或1個(gè)月內(nèi)鏈路峰值比特率、鏈路響應(yīng)時(shí)延趨勢(shì)。

3.5設(shè)備一鍵定檢功能

調(diào)度數(shù)據(jù)網(wǎng)需要進(jìn)行每月鏈路定期檢查及設(shè)備年度檢查，以往是靠人工手動(dòng)來(lái)完成大量設(shè)備的數(shù)據(jù)采集、處理、統(tǒng)計(jì)和整理等工作，花費(fèi)時(shí)間長(zhǎng)、投入人力多。而網(wǎng)絡(luò)安全管理平臺(tái)提供了設(shè)備一鍵定檢功能，大大提高了運(yùn)維人員的工作效率。利用網(wǎng)絡(luò)安全管理平臺(tái)，每月鏈路定期檢查實(shí)現(xiàn)了中調(diào)到14個(gè)地調(diào)56條鏈路數(shù)據(jù)實(shí)時(shí)檢查，包括鏈路峰值比特率、峰值利用率、實(shí)時(shí)業(yè)務(wù)時(shí)延和非實(shí)時(shí)業(yè)務(wù)時(shí)延等，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)業(yè)務(wù)采樣，并在安全管理平臺(tái)上以動(dòng)態(tài)圖形展示。數(shù)據(jù)輸出方式簡(jiǎn)單、靈活、易操作，輸出時(shí)間只需幾分鐘。鏈路檢查報(bào)表能按指定時(shí)間段輸出鏈路的檢查結(jié)果。每年設(shè)備定檢實(shí)現(xiàn)了“一次錄入，多年受益”的效果，只需將所有的網(wǎng)絡(luò)設(shè)備錄入到網(wǎng)絡(luò)安全管理平臺(tái)，24h后即可在平臺(tái)中輸出設(shè)備鏈路狀態(tài)檢查、鏈路性能檢查、設(shè)備日志信息檢查、設(shè)備運(yùn)行狀態(tài)、配置檢查、端口資源統(tǒng)計(jì)和網(wǎng)絡(luò)路由協(xié)議運(yùn)行情況檢查等結(jié)果報(bào)表。運(yùn)維人員對(duì)報(bào)表中結(jié)果異常的設(shè)備進(jìn)行核查，核查結(jié)束后關(guān)閉設(shè)備定檢日志源，設(shè)備年檢工作完成。使用網(wǎng)絡(luò)安全管理平臺(tái)，每年全網(wǎng)設(shè)備定檢工作只需幾天時(shí)間就可完成，大大減輕了運(yùn)維人員的工作量。

4結(jié)語(yǔ)

篇3

【關(guān)鍵詞】CA證書(shū)認(rèn)證 體系設(shè)計(jì) 非功能性技術(shù)設(shè)計(jì) 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域 社會(huì)工程學(xué)入侵

目前大部分市區(qū)級(jí)政務(wù)信息網(wǎng)絡(luò)主要著承載政務(wù)辦公數(shù)據(jù)流系統(tǒng)、對(duì)公眾提供業(yè)務(wù)辦理等系統(tǒng)以及基本的互聯(lián)網(wǎng)訪問(wèn)權(quán)限。隨著政務(wù)信息業(yè)務(wù)系統(tǒng)業(yè)務(wù)邏輯日趨復(fù)雜，體量日益龐大，在政務(wù)信息系統(tǒng)的風(fēng)險(xiǎn)控制，安全運(yùn)維成本，科學(xué)管理，方面將迎來(lái)一個(gè)全新的戰(zhàn)場(chǎng)。

當(dāng)前政務(wù)信息系統(tǒng)有或部分有以下問(wèn)題：

區(qū)縣的相關(guān)管理、運(yùn)維人員能力匱乏，網(wǎng)絡(luò)安全知識(shí)相對(duì)較落后，對(duì)全局政務(wù)網(wǎng)的硬件服務(wù)器、存儲(chǔ)、數(shù)據(jù)庫(kù)軟件、應(yīng)用服務(wù)器中間件、相關(guān)政務(wù)信息業(yè)務(wù)系統(tǒng)并沒(méi)有做到了如指掌不能完全駕馭全局運(yùn)維與安全保障。在出現(xiàn)故障時(shí)無(wú)法從業(yè)務(wù)角度快度鎖定故障起源點(diǎn)，無(wú)法對(duì)故障進(jìn)行深度解析并提供完整解決方案并實(shí)施。

區(qū)縣政務(wù)信息系統(tǒng)是沒(méi)有統(tǒng)一的認(rèn)證授權(quán)并各自為政，無(wú)法做到訪問(wèn)控制，沒(méi)有USB-KEY，CA證書(shū)認(rèn)證等技術(shù)融入，病毒非常容相互間在各個(gè)系統(tǒng)中傳遞感染，重要數(shù)據(jù)岌岌可危；區(qū)縣政務(wù)網(wǎng)基本沒(méi)有全網(wǎng)的日志審計(jì)和客戶機(jī)上網(wǎng)行為管理的，各種繁雜的應(yīng)用安全系統(tǒng)設(shè)備產(chǎn)生的安全事件以及網(wǎng)絡(luò)安全行為監(jiān)控各自獨(dú)立，冗余度過(guò)高，沒(méi)有科學(xué)的審計(jì)，有效的整合，出現(xiàn)問(wèn)題業(yè)務(wù)系統(tǒng)管理員根本無(wú)法防御爆炸式連鎖攻擊，安全風(fēng)險(xiǎn)系數(shù)極高。外網(wǎng)辦公接入設(shè)備直接接入業(yè)務(wù)網(wǎng)，沒(méi)有對(duì)過(guò)程數(shù)據(jù)流進(jìn)行監(jiān)察審計(jì)，業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸缺乏近乎透明傳遞，安全隱患非常嚴(yán)重。

政務(wù)信息網(wǎng)絡(luò)發(fā)生故障或者爆發(fā)大規(guī)模病毒攻擊時(shí)，無(wú)法精準(zhǔn)鎖定攻擊源頭，從根源控制攻擊，整個(gè)處理過(guò)程也缺少科學(xué)的提高故障解決手段，缺少應(yīng)急預(yù)案，缺少專家應(yīng)急小組。

這些問(wèn)題必須且毋庸置疑的解決和改善，應(yīng)采用以下技術(shù)和策略：CA證書(shū)認(rèn)證體系設(shè)計(jì)，非功能性技術(shù)設(shè)計(jì)，內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全域，USB-KEY，動(dòng)態(tài)短信密碼，一次性口令等方式，堵著社會(huì)工程學(xué)入侵缺口。

1 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維的實(shí)踐

實(shí)現(xiàn)終端內(nèi)外網(wǎng)統(tǒng)一接入：整合梳理辦公內(nèi)網(wǎng)和Internet網(wǎng)絡(luò)的用戶認(rèn)證、訪問(wèn)授權(quán)、資源權(quán)限等問(wèn)題，徹底不留隱患的有效的解決辦公內(nèi)網(wǎng)的安全接入和Internet網(wǎng)絡(luò)安全接入，徹底清除未授權(quán)終端非法用戶對(duì)政務(wù)信息系統(tǒng)的存在威脅，確保了政務(wù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)在政務(wù)網(wǎng)絡(luò)中安全數(shù)據(jù)流傳輸?shù)目煽啃浴?/p>

完整的用戶行為和關(guān)鍵政務(wù)信息系統(tǒng)數(shù)據(jù)流日志審計(jì)，記錄并保留一個(gè)月以上的用戶上網(wǎng)行為是非常有必要的，在龐大的用戶痕跡日志信息中進(jìn)行初步數(shù)據(jù)挖掘，能發(fā)現(xiàn)潛在的安全隱患，防患于未然，將安全隱患控制牢牢控制，并扼殺。若已發(fā)生安全事故，可迅速定位事故爆發(fā)點(diǎn)，妥善快速解決問(wèn)題，如事故造成嚴(yán)重的財(cái)產(chǎn)損失，可提交公安機(jī)關(guān)進(jìn)行取證。

定期由專業(yè)安全運(yùn)維第三方服務(wù)公司提供專家級(jí)業(yè)務(wù)報(bào)告，為下一步網(wǎng)絡(luò)優(yōu)化提供建議，保障網(wǎng)絡(luò)持續(xù)、健康發(fā)展、安全：對(duì)整個(gè)被監(jiān)控網(wǎng)絡(luò)能夠提供全面安全健康狀態(tài)檢測(cè)報(bào)告。報(bào)告內(nèi)容包含客戶機(jī)非安全訪問(wèn)記錄、并發(fā)數(shù)異常記錄、帶寬控制效果、攻擊發(fā)生統(tǒng)計(jì)等等。

2 政務(wù)信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)維建設(shè)

2.1 政務(wù)信息系統(tǒng)建設(shè)內(nèi)容應(yīng)涵蓋以下方面

建立覆蓋區(qū)縣政務(wù)信息系統(tǒng)所涉及的硬件服務(wù)器設(shè)備、存儲(chǔ)設(shè)備、核心網(wǎng)絡(luò)鏈路拓?fù)?、政?wù)業(yè)務(wù)系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)庫(kù)并發(fā)數(shù)據(jù)鏈路流和中間件異常并況的綜合管理安全運(yùn)維平臺(tái)，包括集中授權(quán)管理中心、面向業(yè)務(wù)的精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)中心，系統(tǒng)應(yīng)具備完整業(yè)務(wù)功能和良好伸縮性。

實(shí)現(xiàn)集中授權(quán)管理中心，建立集中安全管控平臺(tái)：構(gòu)建全網(wǎng)集中的用戶賬號(hào)管理、認(rèn)證管理、授權(quán)管理、日志審計(jì)，為內(nèi)外網(wǎng)用戶提供統(tǒng)一的接入服務(wù)，加強(qiáng)內(nèi)控管理，并且為精確帶寬流量控制系統(tǒng)和業(yè)務(wù)服務(wù)管理中心提供管理控制依據(jù)。

面向業(yè)務(wù)的帶寬流量控制系統(tǒng)：構(gòu)建業(yè)務(wù)網(wǎng)絡(luò)分析、凈化、控制系統(tǒng)，進(jìn)行全面的流量監(jiān)視、凈化和控制，有效提高鏈路的帶寬利用率，保障重點(diǎn)業(yè)務(wù)的網(wǎng)絡(luò)質(zhì)量。

2.2 CA證書(shū)認(rèn)證體系設(shè)計(jì)

為切實(shí)做好政務(wù)信息系統(tǒng)安全認(rèn)證工作，提高各個(gè)區(qū)縣網(wǎng)絡(luò)安全保障水平和對(duì)應(yīng)用系統(tǒng)的防護(hù)能力，建立CA證書(shū)認(rèn)證體系。

遵循“建設(shè)政務(wù)信息系統(tǒng)統(tǒng)一的身份認(rèn)證體系，為構(gòu)建政務(wù)網(wǎng)絡(luò)信任體系奠定基礎(chǔ)，提高應(yīng)用系統(tǒng)安全保障和防護(hù)能力”的目標(biāo)，保證數(shù)據(jù)的完整性和保密性，確保用戶來(lái)源和行為的真實(shí)性和不可否認(rèn)性。

2.3 內(nèi)外網(wǎng)統(tǒng)一安全接入――P2P VSN虛擬安全工作域

建立P2P構(gòu)成的虛擬安全域，確保政務(wù)信息業(yè)務(wù)應(yīng)用環(huán)境的安全性。

通過(guò)集中安全管控平臺(tái)，用戶終端無(wú)論在企業(yè)網(wǎng)內(nèi)或是在互聯(lián)網(wǎng)中，只需要能夠在網(wǎng)絡(luò)層與安全網(wǎng)關(guān)之間可達(dá)、通過(guò)身份認(rèn)證后即可建立P2P VSN虛擬安全工作域，借由端到端的加密隧道與授權(quán)業(yè)務(wù)系統(tǒng)進(jìn)行通信。

2.4 防止社會(huì)工程學(xué)入侵滲透

在以上的技術(shù)應(yīng)用可以阻止90%以上的黑客攻擊，但是有關(guān)信息系統(tǒng)及其網(wǎng)絡(luò)安全的問(wèn)題是矛與盾永無(wú)休止的話題，事實(shí)上，沒(méi)有任何技術(shù)能防范社會(huì)工程學(xué)攻擊。這就是安全方面做薄弱的環(huán)節(jié)：人！

政務(wù)信息所有工作人員都應(yīng)該進(jìn)行定期前言安全知識(shí)培訓(xùn)。

政務(wù)信息系統(tǒng)所有業(yè)務(wù)干系人都應(yīng)懂得基本的安全策略，策略是指導(dǎo)業(yè)務(wù)人員行為保護(hù)政務(wù)信息系統(tǒng)與敏感信息所必須的規(guī)則。

參考文獻(xiàn)

[1]張麗麗.新常態(tài)下推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”建設(shè)研究――以浙江省政務(wù)服務(wù)網(wǎng)為例[J].浙江學(xué)刊，2016（05）.

[2]馮巧玲.IPS在電子政務(wù)系統(tǒng)中的部署與實(shí)現(xiàn)[J].西安文理學(xué)院學(xué)報(bào)（自然科學(xué)版）， 2015（02）.

[3]劉邦凡，關(guān)夢(mèng)穎.電子政務(wù)的信息安全立法[J].電子商務(wù)，2014（01）.

篇4

近日，記者了解到，江蘇移動(dòng)呼叫中心作為一個(gè)典型的電信行業(yè)大型網(wǎng)絡(luò)用戶，正在努力進(jìn)行“撈針”的工作。它試圖在其擁有的大約1000～2000臺(tái)終端、超過(guò)200 臺(tái)服務(wù)器的網(wǎng)絡(luò)中，全面消除異常流量和應(yīng)用層漏洞，保障企業(yè)的網(wǎng)絡(luò)穩(wěn)定和應(yīng)用安全，從而給客戶帶來(lái)更好的用戶體驗(yàn)。

傳統(tǒng)IDS力不從心

據(jù)了解，江蘇移動(dòng)呼叫中心為了保障業(yè)務(wù)的正常運(yùn)營(yíng)，突出網(wǎng)絡(luò)的穩(wěn)定性和安全性需求，投入巨大：所有的鏈路、核心層、匯聚層設(shè)備都是雙冗余設(shè)計(jì)，建立備份中心并在邊界增加多級(jí)防火墻設(shè)備，同時(shí)為了防止病毒在內(nèi)網(wǎng)交叉感染，該中心在客戶端部署了防毒軟件，并購(gòu)置了多臺(tái)IDS （入侵檢測(cè)）設(shè)備來(lái)保護(hù)其辦公網(wǎng)絡(luò)。

然而，這些防護(hù)措施并沒(méi)有減輕該中心IT運(yùn)維人員的工作量，隨著終端和安全設(shè)備數(shù)量的不斷增加，帶來(lái)IT運(yùn)維管理難度的大幅增加。此外，傳統(tǒng)的IDS面對(duì)電信行業(yè)的大型網(wǎng)絡(luò)明顯力不從心。由于無(wú)法滿足數(shù)據(jù)流量巨大、網(wǎng)絡(luò)覆蓋范圍和結(jié)構(gòu)復(fù)雜帶來(lái)的需求， IDS的誤報(bào)和漏報(bào)問(wèn)題開(kāi)始顯現(xiàn)出來(lái)。

“由于我們的網(wǎng)絡(luò)存在著龐大的客戶端和服務(wù)器資源，網(wǎng)內(nèi)高危漏洞監(jiān)測(cè)的工作量極大，ERP、OCS、CRM、BSS、MSS 以及高清視訊等多域環(huán)境隨時(shí)可能遭受到來(lái)自內(nèi)部威脅的攻擊?！苯K移動(dòng)呼叫中心負(fù)責(zé)網(wǎng)絡(luò)安全、不愿透露名字的王先生指出，“內(nèi)網(wǎng)終端威脅不斷變化，因此，傳統(tǒng)的IDS 廠商必須為不同的業(yè)務(wù)平臺(tái)開(kāi)發(fā)不同的程序，這樣這些威脅就可能造成進(jìn)一步惡化。雖然構(gòu)建了銅墻鐵壁的，但內(nèi)部威脅一旦未被發(fā)現(xiàn)并升級(jí)為‘事故’，全副武裝的網(wǎng)絡(luò)也抵擋不住病毒和惡意代碼的攻擊?！?/p>

快速準(zhǔn)確找到漏網(wǎng)之魚(yú)

為了迅速消除網(wǎng)絡(luò)中的安全隱患，防患于未然，江蘇移動(dòng)呼叫中心邀請(qǐng)了數(shù)個(gè)網(wǎng)絡(luò)安全廠商提供解決方案，并加入實(shí)地測(cè)試。據(jù)王先生介紹，在嚴(yán)格的測(cè)試環(huán)境中，一批“串”路的安全設(shè)備由于無(wú)法勝任該中心的大通信量負(fù)載而敗下陣來(lái)，而在隨后的實(shí)際環(huán)境試用中，很多廠商的產(chǎn)品由于無(wú)法做到第一時(shí)間預(yù)警最新的木馬和變種病毒并且無(wú)法構(gòu)建該中心的網(wǎng)絡(luò)安全整體視圖而被淘汰。

“最后，我們根據(jù)綜合測(cè)試結(jié)果選擇了趨勢(shì)科技的威脅發(fā)現(xiàn)設(shè)備TDA 6000，它集成了云安全技術(shù)、旁路設(shè)計(jì)并可檢測(cè)應(yīng)用層潛在威脅，幫助我們將威脅消滅在萌芽，為呼叫中心的業(yè)務(wù)發(fā)展提供了充分的安全保障?！蓖跸壬榻B。

在試用過(guò)程中，王先生和趨勢(shì)科技的工程師一起對(duì)TDA 6000的HTTP訪問(wèn)惡意代碼檢測(cè)、P2P會(huì)話流量管理、蠕蟲(chóng)漏洞掃描等非法流量檢測(cè)功能都做了模擬攻擊測(cè)試，而對(duì)于這些威脅的來(lái)源定位，TDA 基本上可以做到“秒”級(jí)的預(yù)警。

此外，由于它集成了趨勢(shì)科技云安全中的“多協(xié)議關(guān)聯(lián)分析技術(shù)”，可全面支持檢測(cè)2～7層網(wǎng)絡(luò)的惡意威脅。TDA 可通過(guò)“數(shù)據(jù)包”和“會(huì)話”視圖對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)通信數(shù)據(jù)進(jìn)行自動(dòng)關(guān)聯(lián)分析，即從云端數(shù)據(jù)庫(kù)進(jìn)行比較，自動(dòng)將占用網(wǎng)絡(luò)帶寬的應(yīng)用和造成網(wǎng)絡(luò)通信擁塞故障的信息建立威脅關(guān)聯(lián)。

“TDA 的嚴(yán)格控制功能也彌補(bǔ)了江蘇移動(dòng)呼叫中心之前部署防毒軟件的不足。比如 Web病毒、跨站木馬、視頻嵌入惡意軟件、非法流量、DNS劫持等尚未形成交叉感染的潛在威脅，在我們應(yīng)用TDA之后，就可以從海量的數(shù)據(jù)流中迅速找到被防火墻放過(guò)來(lái)的漏網(wǎng)之魚(yú)。”王先生補(bǔ)充說(shuō)。

提升安全評(píng)估和運(yùn)維效率

事實(shí)上，江蘇移動(dòng)呼叫中心對(duì)TDA的應(yīng)用，不僅實(shí)現(xiàn)了全面的威脅偵測(cè)，還同時(shí)簡(jiǎn)化了運(yùn)維管理，減少了運(yùn)維人員的工作量，從而降低了運(yùn)營(yíng)成本。

據(jù)了解，江蘇移動(dòng)呼叫中心的網(wǎng)絡(luò)經(jīng)過(guò)了幾次重大的融合和升級(jí)，擁有較為復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和龐大的終端數(shù)量。王先生介紹，最終部署在該中心核心交換機(jī)上并執(zhí)行網(wǎng)絡(luò)全面覆蓋的TDA，為該中心的網(wǎng)絡(luò)安全評(píng)估和主動(dòng)安全運(yùn)維效率兩個(gè)方面帶來(lái)了極大的提升。

一方面，TDA實(shí)現(xiàn)了動(dòng)態(tài)的網(wǎng)絡(luò)安全評(píng)估，將策略轉(zhuǎn)化為行動(dòng)。在部署TDA 之前，江蘇移動(dòng)呼叫中心已經(jīng)對(duì)外網(wǎng)出口和各級(jí)網(wǎng)關(guān)設(shè)備進(jìn)行了嚴(yán)格的安全評(píng)估工作，在使用TDA 之后，內(nèi)網(wǎng)的安全評(píng)估（主要是威脅評(píng)估）完全交付給TDA 去自動(dòng)執(zhí)行。

首先，TDA 無(wú)須安裝程序便可自動(dòng)對(duì)服務(wù)器和終端進(jìn)行動(dòng)態(tài)的監(jiān)測(cè)，這大幅節(jié)省了運(yùn)維人員為每臺(tái)終端安裝端的工作。其次，TDA可通過(guò)報(bào)表的形式顯示客戶端的即時(shí)通信（IM）、P2P 文件共享（BT）、流媒體以及未授權(quán)服務(wù)如SMTP中繼和DNS欺騙現(xiàn)象，這是其他IPS（入侵防御）和IDS產(chǎn)品無(wú)法相比的。

“對(duì)于我們這種電信行業(yè)的大型網(wǎng)絡(luò)而言，TDA自動(dòng)形成映射全中心安全形勢(shì)的總體視圖的強(qiáng)大能力，讓我們非常受用。在日常工作中，TDA已經(jīng)成為我們網(wǎng)絡(luò)的‘策略執(zhí)行中心’，它不但能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全威脅，還能夠?qū)⑦@些威脅轉(zhuǎn)化為詳細(xì)的處理措施并進(jìn)行落實(shí)?！蓖跸壬f(shuō)。

另一方面，TDA讓安全運(yùn)維變被動(dòng)為主動(dòng)，運(yùn)維水平大幅提升。據(jù)了解，江蘇移動(dòng)呼叫中心一共有十幾位負(fù)責(zé)IT 運(yùn)維的工程師，但要應(yīng)對(duì)數(shù)千臺(tái)客戶終端、200多臺(tái)服務(wù)器的運(yùn)維需求。

在部署 TDA之前，IT 運(yùn)維部門(mén)只能在用戶電話或者郵件通知后才能發(fā)現(xiàn)系統(tǒng)已經(jīng)遭到病毒入侵的蹤跡，這樣的IT運(yùn)維總是處于亡羊補(bǔ)牢的狀態(tài)。Web 病毒、木馬、郵件病毒、個(gè)人主機(jī)漏洞、移動(dòng)設(shè)備交叉感染等時(shí)常搞得IT 部門(mén)無(wú)從應(yīng)對(duì)。

篇5

為了保障安全，大數(shù)據(jù)平臺(tái)依照“安全三同步”原則進(jìn)行建設(shè)，即同步規(guī)劃、同步組織實(shí)施、同步運(yùn)作投產(chǎn)。

奇虎360的大數(shù)據(jù)平臺(tái)安全保障體系框架如圖B-7所示。大數(shù)據(jù)平臺(tái)安全保障體系框架包括“安全職責(zé)劃分”，“安全區(qū)域劃分”，“安全級(jí)別劃分”，“安全監(jiān)測(cè)模塊”，“安全防御模塊”，“業(yè)務(wù)安全與安全運(yùn)維模塊”，“安全響應(yīng)中心模塊”等部分。

安全職責(zé)劃分

安全職責(zé)劃分是整體方案的基礎(chǔ)，所有技術(shù)手段都應(yīng)貼近安全職責(zé)劃分，為其服務(wù)。梳理大數(shù)據(jù)平臺(tái)各方安全責(zé)任邊界，對(duì)整個(gè)活動(dòng)中的安全事件進(jìn)行詳細(xì)的責(zé)任劃分。

安全區(qū)域劃分

大數(shù)據(jù)平臺(tái)環(huán)境相對(duì)復(fù)雜，涉及多類業(yè)務(wù)，多類系統(tǒng)，現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)考慮了分級(jí)問(wèn)題，在此基礎(chǔ)上，需進(jìn)一步細(xì)化安全域的劃分以及不同安全域、不同安全級(jí)別的訪問(wèn)控制設(shè)計(jì)。

安全級(jí)別劃分

按照安全區(qū)域劃分結(jié)果，為每個(gè)區(qū)域制定響應(yīng)的安全等級(jí)，區(qū)域安全等級(jí)與用戶安全等級(jí)、數(shù)據(jù)安全等級(jí)相互對(duì)應(yīng)。通過(guò)安全級(jí)別的劃分確保可信合規(guī)使用資源。

安全監(jiān)測(cè)模塊

其中主要包括大數(shù)據(jù)平臺(tái)安全防御審查系統(tǒng)并提供基于人工或自動(dòng)化的多層次的安全監(jiān)測(cè)服務(wù)。

安全防御模塊

按照統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)的設(shè)計(jì)思路，在充分考慮當(dāng)前網(wǎng)絡(luò)應(yīng)用和實(shí)際環(huán)境的基礎(chǔ)上，對(duì)整體的網(wǎng)絡(luò)劃分為若干個(gè)安全域和安全區(qū)，建設(shè)大數(shù)據(jù)平臺(tái)面向各個(gè)區(qū)域的基礎(chǔ)安全防御系統(tǒng)和大數(shù)據(jù)平臺(tái)自身的防御系統(tǒng)。

業(yè)務(wù)安全與安全運(yùn)維模塊

實(shí)現(xiàn)安全運(yùn)維操作的分級(jí)管理，針對(duì)大數(shù)據(jù)業(yè)務(wù)安全和安全運(yùn)維工作的用戶賦予符合其安全職責(zé)劃分的權(quán)限，實(shí)現(xiàn)業(yè)務(wù)安全和安全運(yùn)維。

篇6

【關(guān)鍵詞】網(wǎng)絡(luò)安全；IPS；構(gòu)建；應(yīng)用

【中圖分類號(hào)】TP393.08

【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】1672—5158（2012）10-0102-01

1、建設(shè)背景

隨著信息化建設(shè)的發(fā)展，網(wǎng)絡(luò)越來(lái)越龐大，承載的應(yīng)用系統(tǒng)也越來(lái)越復(fù)雜，隨之而來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也日益突出。尤其混合威脅的風(fēng)險(xiǎn)，如蠕蟲(chóng)、病毒、木馬、僵尸程序、DDoS攻擊阻塞甚至中斷網(wǎng)絡(luò)，各類P2P應(yīng)用輕易的占據(jù)100％的網(wǎng)絡(luò)上行下行帶寬，同時(shí)，隨之而來(lái)的修復(fù)工作使IT管理人員被迫充當(dāng)“消防隊(duì)員”的角色，消耗了大量寶貴的人力資源；如何構(gòu)建主動(dòng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行流量控制及凈化，實(shí)時(shí)了解網(wǎng)絡(luò)運(yùn)維情況，及時(shí)發(fā)現(xiàn)消除網(wǎng)絡(luò)安全隱患，督促提高用戶安全意識(shí)等問(wèn)題，成為網(wǎng)絡(luò)安全面臨的最大挑戰(zhàn)。

通常在談到網(wǎng)絡(luò)安全時(shí)，首先會(huì)想到“防火墻”，一般采用防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿足安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。

2、部署情況

系統(tǒng)部署情況：在單位內(nèi)網(wǎng)一外網(wǎng)出口及地州廣域網(wǎng)出口處在線部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)。網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)具有防火墻功能提供邊界控制、安全域劃分，防護(hù)來(lái)自其他安全域的攻擊；網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)可以實(shí)時(shí)攔截進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在受保護(hù)網(wǎng)絡(luò)之外，實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)控制細(xì)粒度管理，凈化網(wǎng)絡(luò)流量，保護(hù)內(nèi)網(wǎng)的信息資產(chǎn)及網(wǎng)絡(luò)性能。同時(shí)，考慮網(wǎng)絡(luò)冗余，提高可用性，系統(tǒng)具有BYPASS功能，支持失效開(kāi)放（Fail-open）機(jī)制，當(dāng)出現(xiàn)軟件故障、硬件故障、電源故障時(shí)，系統(tǒng)自動(dòng)切換到直通狀態(tài)以保障網(wǎng)絡(luò)可用性，避免單點(diǎn)故障。

該系統(tǒng)具有4個(gè)100／1000M自適應(yīng)以太網(wǎng)口，可用于2路IPS保護(hù)或1路IPS保護(hù)+2路IDS監(jiān)聽(tīng)，這樣外網(wǎng)廣域網(wǎng)的出口都將得到有效的保護(hù)及監(jiān)控，并且另外2個(gè)空閑網(wǎng)口目前可用于管理通訊。將來(lái)可通過(guò)升級(jí)證書(shū)而不用更新硬件，IPS升級(jí)為6口3路IPS保護(hù)以滿足將來(lái)網(wǎng)絡(luò)擴(kuò)展。在線部署的IPS在鏈路上實(shí)時(shí)捕捉數(shù)據(jù)包，根據(jù)網(wǎng)絡(luò)的自身特點(diǎn)設(shè)置合理有效的訪問(wèn)控制、流量管理、行為管理策略和入侵保護(hù)模式，進(jìn)行入侵行為檢測(cè)、分析和實(shí)時(shí)響應(yīng)，自動(dòng)阻斷攻擊，凈化網(wǎng)絡(luò)流量，消除安全隱患，使用一種產(chǎn)品就達(dá)到多重保護(hù)目的，大大地節(jié)約了投資，并切實(shí)有效地保護(hù)網(wǎng)絡(luò)的安全。

同時(shí)，在安全管控中心服務(wù)器上安裝網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)控制臺(tái)程序，實(shí)現(xiàn)對(duì)IPS等安全系統(tǒng)的集中管理，該系統(tǒng)同時(shí)支持C／S和B／S模式，可以靈活方便的管理部署在內(nèi)網(wǎng)中的網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)。系統(tǒng)支持“集中+分布式”部署管理IPS，保證了今后可在全省范圍實(shí)現(xiàn)既可統(tǒng)一、又可分級(jí)管理的主動(dòng)入侵防護(hù)系統(tǒng)，使系統(tǒng)具有可擴(kuò)展性、可充分利用現(xiàn)有資源、可隨需而變的靈活管理方式。

3、應(yīng)用情況

通過(guò)部署網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)，本單位網(wǎng)絡(luò)安全狀況得到了顯著的提高、網(wǎng)絡(luò)性能得到明顯改善、發(fā)現(xiàn)及加固了網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)、規(guī)范了用戶上網(wǎng)行為、加強(qiáng)了用戶安全意識(shí)，主動(dòng)入侵防護(hù)系統(tǒng)達(dá)到了預(yù)期的應(yīng)用效果。

3.1　在構(gòu)建主動(dòng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)方面

在部署初期，當(dāng)時(shí)IPS系統(tǒng)平均每天可發(fā)現(xiàn)及阻斷各種攻擊事件655次／天。部署半年以后，通過(guò)IPS發(fā)現(xiàn)及整改了各種網(wǎng)絡(luò)安全問(wèn)題規(guī)范了網(wǎng)絡(luò)行為，平均每天可發(fā)現(xiàn)及阻斷各種攻擊事件減少到60次／天。主動(dòng)安全防護(hù)系統(tǒng)的成功構(gòu)建使本單位網(wǎng)絡(luò)攻擊事件減少了10倍。

3.2　在對(duì)網(wǎng)絡(luò)進(jìn)行流量控制及凈化方面

通過(guò)在IPS上設(shè)置阻斷“蠕蟲(chóng)事件”“拒絕服務(wù)類攻擊事件”策略，結(jié)合對(duì)每個(gè)IP限制“P2P類應(yīng)用”分配100kbps帶寬的限流策略，原來(lái)嚴(yán)重影響單位網(wǎng)絡(luò)性能的攻擊流量、P2P應(yīng)用流量得到了有效的阻斷及控制，凈化了網(wǎng)絡(luò)流量，保障了網(wǎng)絡(luò)性能。

3.3　在輔助網(wǎng)絡(luò)運(yùn)維管理方面

通過(guò)IPS系統(tǒng)可實(shí)時(shí)了解當(dāng)前網(wǎng)絡(luò)的流量情況、協(xié)議構(gòu)成、應(yīng)用狀況等，為網(wǎng)絡(luò)運(yùn)維提供參考及決策依據(jù)。

3.4　在及時(shí)發(fā)現(xiàn)消除網(wǎng)絡(luò)安全隱患方面

IPS上線部署后立即發(fā)現(xiàn)了感染“震蕩波”蠕蟲(chóng)病毒的客戶端，為管理員定位了蠕蟲(chóng)病毒源；隨后IPS又發(fā)現(xiàn)了感染“熊貓燒香”病毒的客戶端；管理員依靠IPS阻斷了蠕蟲(chóng)病毒的攻擊及傳播，保護(hù)了網(wǎng)絡(luò)，依據(jù)IPS日志報(bào)警信息定位了染毒客戶端，并進(jìn)一步清除病毒修補(bǔ)客戶端漏洞，消除了網(wǎng)絡(luò)安全隱患。

根據(jù)IPS日志報(bào)警信息，發(fā)現(xiàn)了1臺(tái)網(wǎng)絡(luò)設(shè)備采用明文telnet方式管理并使用了弱口令，管理員及時(shí)整改，將設(shè)備登錄管理方式配置為加密的SSH，配置了訪問(wèn)控制策略賬號(hào)安全策略，并設(shè)置了強(qiáng)壯的口令，大幅提升了網(wǎng)絡(luò)設(shè)備管理的安全性。

根據(jù)IPS日志報(bào)警信息還發(fā)現(xiàn)了，某網(wǎng)管平臺(tái)管理部分網(wǎng)絡(luò)設(shè)備時(shí)使用了SNMP默認(rèn)的public口令，即相應(yīng)的被管理網(wǎng)絡(luò)設(shè)備存在“SNMP默認(rèn)共同體串信息泄露漏洞”，管理員依據(jù)此信息定位了存在“SNMP默認(rèn)共同體串信息泄露漏洞”的網(wǎng)絡(luò)設(shè)備，并根據(jù)IPS知識(shí)庫(kù)建議進(jìn)行了整改，為所有采用SNMP管理的網(wǎng)絡(luò)設(shè)備配置了強(qiáng)壯的口令，并嚴(yán)格限制了SNMP寫(xiě)權(quán)限，消除了網(wǎng)絡(luò)安全隱患，提升了網(wǎng)絡(luò)安全管理水平。

3.5　在督促提高用戶安全意識(shí)方面

IPS系統(tǒng)還幫助管理員發(fā)現(xiàn)了用戶的各種弱口令、空口令，管理員據(jù)此向相關(guān)用戶提出了賬號(hào)、口令安全建議，并對(duì)用戶進(jìn)行了安全培訓(xùn)，有效地督促用戶提高安全意識(shí)，系統(tǒng)上線半年后本單位用戶安全意識(shí)得到了明顯提高，本網(wǎng)用戶使用弱口令、空口令現(xiàn)象基本消除。

篇7

論文關(guān)鍵詞：政府類網(wǎng)站,信息安全,信息公開(kāi)

政務(wù)類網(wǎng)站是政府及其組成部門(mén)憑借其自身特有的信息資源優(yōu)勢(shì)，通過(guò)網(wǎng)站的形式整合其所有資源，以用戶為中心，服務(wù)為導(dǎo)向，并以信息公開(kāi)為基礎(chǔ)、在線辦事和互動(dòng)交流為主要業(yè)務(wù)特征，為民眾提供及時(shí)、便捷、高效、易用的信息服務(wù)的平臺(tái)。

當(dāng)前，在我國(guó)深化改革、擴(kuò)大開(kāi)放、不斷完善社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制以及高科技迅猛發(fā)展的新形勢(shì)下，信息安全工作面臨著極大挑戰(zhàn)。目前政府類網(wǎng)站可能所受到的攻擊包括黑客入侵，內(nèi)部信息泄漏，不良信息的進(jìn)入內(nèi)網(wǎng)等方式。因此采取的網(wǎng)絡(luò)安全措施應(yīng)一方面要保證政府業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，另一方面要保護(hù)運(yùn)行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全。信息安全的需求歸結(jié)起來(lái)為以下幾點(diǎn)：

1．信息的不被篡改：網(wǎng)站是信息的載體。政府類網(wǎng)站是展示政府部門(mén)形象，公布政府新出臺(tái)的政策措施，實(shí)現(xiàn)政府與社會(huì)之間資訊互通的平臺(tái)?？煽康木W(wǎng)絡(luò)安全體系能保證網(wǎng)站的信息安全，防止其被非法篡改，造成惡劣的社會(huì)影響和國(guó)際影響。

2．業(yè)務(wù)系統(tǒng)的可用性：運(yùn)行政府網(wǎng)站的各主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞；

3．?dāng)?shù)據(jù)機(jī)密性：對(duì)于政府內(nèi)部網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來(lái)政府機(jī)構(gòu)以及國(guó)家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

4．訪問(wèn)的可控性：對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問(wèn)必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問(wèn)者的身份，謹(jǐn)慎授權(quán)，并對(duì)任何訪問(wèn)進(jìn)行跟蹤記錄。

5．網(wǎng)絡(luò)操作的可管理性：對(duì)于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審記和日志功能，對(duì)相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。

針對(duì)政務(wù)累網(wǎng)站的安全需求，我們?cè)O(shè)計(jì)了三個(gè)安全框架：

1、基本型安全框架

運(yùn)維代價(jià)分析：基本型的安全框架減少了大量的設(shè)備投入，無(wú)形中增加了很多人工成本。其安全防護(hù)能力只能滿足基本需要。數(shù)據(jù)備份恢復(fù)只能采用了人工的方式，從而使得應(yīng)急響應(yīng)時(shí)間過(guò)長(zhǎng)。整個(gè)體系的容災(zāi)能力較差。

基本型安全框架設(shè)計(jì)：具備了基本的安全防護(hù)體系，安全防護(hù)完全依賴部署在網(wǎng)絡(luò)邊界的防火墻，沒(méi)有網(wǎng)絡(luò)防御縱深，只能防御一般的攻擊，缺乏全方位的防御手段，也沒(méi)有部署遠(yuǎn)程備份系統(tǒng)，系統(tǒng)容災(zāi)能力很差。該框架設(shè)計(jì)較適合缺乏建設(shè)資金投入的小型網(wǎng)站。

2、完整型安全框架

運(yùn)維代價(jià)分析：完整型的安全框架是一個(gè)趨于完善的安全體系，數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化，減少了部分人工值守工作環(huán)節(jié)，具有較好的容災(zāi)能力。完整型的安全框架需要一定的前期資金及設(shè)備投入，增加了部分系統(tǒng)維護(hù)成本，能滿足中型網(wǎng)站的安全需求

完整型安全框架設(shè)計(jì)：具備了較完整的安全防護(hù)體系，防御攻擊能力相比基本型增強(qiáng)了很多，部署了入侵預(yù)警、檢測(cè)和防范系統(tǒng)，部署了全網(wǎng)的病毒防范、遠(yuǎn)程數(shù)據(jù)備份和網(wǎng)站防篡改系統(tǒng)，具備一定層次的網(wǎng)絡(luò)防御縱深，部分服務(wù)器采用了冗余配置，具有較強(qiáng)的容災(zāi)能力。該框架設(shè)計(jì)較適合中型網(wǎng)站，從運(yùn)維代價(jià)分析也是較合理的。

3、完善型安全框架

運(yùn)維代價(jià)分析：完善型的安全框架是一個(gè)相對(duì)完善的安全體系，數(shù)據(jù)備份實(shí)現(xiàn)了自動(dòng)化，減少了大部分人工值守工作環(huán)節(jié)，具有完備的容災(zāi)能力。完善型的安全框架在系統(tǒng)建設(shè)前期就要投入大量的資金及設(shè)備，后期的系統(tǒng)維護(hù)也需要一定的維護(hù)成本投入，能滿足大型網(wǎng)站的安全需求。

完善安全框架設(shè)計(jì)：具備了完整的安全防護(hù)功能的，能全方位、多層次的實(shí)現(xiàn)系統(tǒng)安全保障和完整的數(shù)據(jù)及設(shè)備容災(zāi)。該安全框架建立了全網(wǎng)絡(luò)的入侵預(yù)警、檢測(cè)和防范體系，建立了全方位病毒防范和網(wǎng)站防篡改體系，對(duì)重要應(yīng)用系統(tǒng)的數(shù)據(jù)、關(guān)鍵的網(wǎng)絡(luò)設(shè)備和網(wǎng)站系統(tǒng)的進(jìn)行了冗余備份。完善型框架設(shè)計(jì)同框架設(shè)計(jì)比較，除了對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行冗余部署外，最大的區(qū)別是部署了異地容災(zāi)系統(tǒng)。

參考文獻(xiàn)

篇8

新時(shí)期，由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，促使計(jì)算機(jī)已逐漸成為了互聯(lián)網(wǎng)系統(tǒng)中數(shù)據(jù)傳輸和信息交換的有效載體。伴隨著計(jì)算機(jī)的廣泛應(yīng)用，在其運(yùn)行過(guò)程中暴露出來(lái)的問(wèn)題也日益突出，如人們所廣泛關(guān)注的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題；基于此，本文首先對(duì)現(xiàn)階段計(jì)算機(jī)網(wǎng)絡(luò)所面臨的安全隱患問(wèn)題進(jìn)行了總結(jié)，進(jìn)而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)策略進(jìn)行了詳細(xì)的概述，希望對(duì)后期相關(guān)工作提供一定的借鑒意義。

【關(guān)鍵詞】

計(jì)算機(jī)，網(wǎng)絡(luò)安全；運(yùn)行；維護(hù)策略

隨著計(jì)算機(jī)網(wǎng)絡(luò)及其各個(gè)子系統(tǒng)的不斷上線，給互聯(lián)網(wǎng)運(yùn)行及維護(hù)工作所帶來(lái)的壓力明顯加大，同時(shí)維護(hù)內(nèi)容的強(qiáng)度也相比之前也明顯的增強(qiáng)。切實(shí)做好計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作，確保實(shí)現(xiàn)互聯(lián)網(wǎng)規(guī)范化和有序化及實(shí)現(xiàn)網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行，不斷加快網(wǎng)絡(luò)優(yōu)勢(shì)向經(jīng)濟(jì)效益的快速轉(zhuǎn)換，促使網(wǎng)絡(luò)效能得到最大化的發(fā)揮等問(wèn)題已成為目前我們迫切需要解決的新課題。

1新時(shí)期計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行所存在的安全隱患

“網(wǎng)絡(luò)安全”已成為目前人們廣泛關(guān)注的話題。所謂網(wǎng)絡(luò)安全，就是指計(jì)算機(jī)系統(tǒng)中的硬件設(shè)備、軟件系統(tǒng)以及數(shù)據(jù)等為避免遭受偶然因素或者惡意因素（如網(wǎng)絡(luò)病毒）的破壞而造成數(shù)據(jù)的泄露、系統(tǒng)的癱瘓而采取的保護(hù)性措施，保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行。新時(shí)期，計(jì)算機(jī)得到了更為廣泛的應(yīng)用，與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行維護(hù)過(guò)程中所暴露出來(lái)的問(wèn)題也日益突出。計(jì)算機(jī)運(yùn)行及維護(hù)工作所面臨的安全隱患來(lái)自多個(gè)方面，比如自然災(zāi)害、硬件故障、意外事故、人為操作失誤、網(wǎng)絡(luò)黑客攻擊等。

1.1物理安全威脅物理安全是計(jì)算機(jī)網(wǎng)絡(luò)信息安全最基本保證，具體指在物理層面上對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸和存儲(chǔ)等工作中實(shí)施的安全保護(hù)。物理安全威脅會(huì)直接的影響到計(jì)算機(jī)設(shè)備的正常使用，主要分為了以下幾類：(1)自然災(zāi)害、設(shè)備故障及物理?yè)p壞等；(2)在操作過(guò)程中由于人為失誤造成系統(tǒng)癱瘓（如誤將硬盤(pán)格式化）；(3)痕跡泄露和電磁輻射。

1.2計(jì)算機(jī)用戶的使用缺陷由于計(jì)算機(jī)網(wǎng)絡(luò)用戶在使用網(wǎng)絡(luò)過(guò)程中，缺乏一定的安全常識(shí)，使得惡意攻擊者有機(jī)可趁，嚴(yán)重威脅網(wǎng)絡(luò)運(yùn)行的安全。使用的計(jì)算機(jī)用戶主要涉及使用錯(cuò)誤，系統(tǒng)的備份不完整，密碼容易破解三個(gè)方面內(nèi)容。

1.3惡意程序惡意程序是人們?yōu)榱诉_(dá)到某種目的而刻意創(chuàng)造出來(lái)的。其包括了惡意代碼、特洛伊木馬及計(jì)算機(jī)病毒等。

1.4計(jì)算機(jī)技術(shù)隱患計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)隱患是對(duì)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作影響最大的因素，由于技術(shù)的缺陷將很有可能導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰。計(jì)算機(jī)技術(shù)隱患一般包括了：(1)計(jì)算機(jī)操作系統(tǒng)的安全缺陷；(2)應(yīng)用軟件的實(shí)現(xiàn)缺陷；(3)網(wǎng)絡(luò)協(xié)議的安全缺陷。

2新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)策略分析

2.1建立健全網(wǎng)絡(luò)制度建立健全計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)制度體系并有效地實(shí)施，是推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行的基本條件。在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作中，通過(guò)各項(xiàng)規(guī)章制度的建立和完善，從而構(gòu)建一套有章可依、有章必依、執(zhí)章必嚴(yán)、違章必究的網(wǎng)絡(luò)運(yùn)行體系；另外對(duì)相關(guān)的網(wǎng)絡(luò)維護(hù)人員，要明確其責(zé)任制，同時(shí)還需要對(duì)各項(xiàng)制度進(jìn)行定期的修改和完善，促使其能夠滿足不同時(shí)期的需求。制度是保障，執(zhí)行是根本，在實(shí)際工作中需要認(rèn)真的、嚴(yán)格的按照制度規(guī)定去執(zhí)行，對(duì)計(jì)算機(jī)系統(tǒng)，包括主機(jī)、網(wǎng)絡(luò)、電源等進(jìn)行全面細(xì)微的檢查，同時(shí)做好詳細(xì)的檢查記錄，真正做到問(wèn)題的及時(shí)發(fā)現(xiàn)及時(shí)處理。

2.2以人為本，全面提高運(yùn)維人員的綜合素質(zhì)

2.2.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的生命所在就是運(yùn)維人員的使命感和責(zé)任心作為一個(gè)面向社會(huì)大眾的復(fù)雜龐大的人機(jī)系統(tǒng)---計(jì)算機(jī)網(wǎng)絡(luò)，如果由于操作人員一個(gè)小心就很有可能導(dǎo)致重要數(shù)據(jù)的丟失，同樣一個(gè)很簡(jiǎn)單的指令就可能導(dǎo)致整個(gè)系統(tǒng)的崩潰。因此，切實(shí)提高運(yùn)維人員的責(zé)任心和使命感已成為一個(gè)緊迫的任務(wù)。

2.2.2不斷提高技術(shù)人員的維護(hù)水平新時(shí)期，科學(xué)技術(shù)的不斷發(fā)展，促使技術(shù)更新速度不斷加快，同時(shí)又由于操作規(guī)則的不斷調(diào)整、業(yè)務(wù)需求及業(yè)務(wù)發(fā)展的不斷變化，就需要經(jīng)常性的對(duì)已投入使用的計(jì)算機(jī)系統(tǒng)進(jìn)行必要的修改和調(diào)整，以促使系統(tǒng)的不斷完善，所以，對(duì)系統(tǒng)運(yùn)維人員也提出了新的更高要求，需要相關(guān)人員不斷的去努力提高自身工作能力及專業(yè)技能，以適應(yīng)不同時(shí)期的崗位需求。技術(shù)是基本，人才時(shí)保證，盡管設(shè)備和技術(shù)處于領(lǐng)先水平，但最終還是由人來(lái)操作和管理，只有擁有一支能力過(guò)硬的技術(shù)隊(duì)伍，才能有效地保證系統(tǒng)穩(wěn)定、安全的運(yùn)行。

2.2.3實(shí)現(xiàn)人員的合理分工及綜合利用由于各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)的陸續(xù)上線，在保證人員不變動(dòng)的情況下實(shí)現(xiàn)人員的合理分工及綜合利用就顯得尤為重要。對(duì)于某一具體的工作，如果只是有極少數(shù)的人員懂得維護(hù)，那么就會(huì)存在著人員單點(diǎn)的隱患，這樣一種情況下，如果人員調(diào)崗或者突然離職，那么在短時(shí)間內(nèi)就難以找到一接手系統(tǒng)維護(hù)的員工，直接造成了人員斷層。因此，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)維護(hù)工作中的一些比較重要的崗位，必須要安排至少兩名技術(shù)人員；另外對(duì)所有運(yùn)維人員進(jìn)行充分合理的調(diào)配，促使每個(gè)人的潛力都能得到最大限度的發(fā)揮，同時(shí)對(duì)內(nèi)部崗位實(shí)行人員交叉制，達(dá)到一人多能的目的，有效解決人員單點(diǎn)隱患問(wèn)題。只有實(shí)現(xiàn)了人才的綜合利用，方能確保勞動(dòng)效率的不斷提高。2.3做好安全防范與管理工作做好系統(tǒng)安全管理工作是整個(gè)運(yùn)維過(guò)程中的重要環(huán)節(jié)。對(duì)于計(jì)算網(wǎng)絡(luò)系統(tǒng)的重要密碼務(wù)必要做到由專人管理，對(duì)管理人員還需要進(jìn)行定期的更換，從技術(shù)角度做好安全防范工作；然后，對(duì)計(jì)算機(jī)設(shè)備及系統(tǒng)定期進(jìn)行防火、防水、防蛀、防盜等多項(xiàng)目的安全檢查；作為計(jì)算機(jī)數(shù)據(jù)信息的神經(jīng)中樞系統(tǒng)---計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房，更應(yīng)該積極的將系統(tǒng)安全防范管理工作落實(shí)到實(shí)處。

2.4加強(qiáng)團(tuán)隊(duì)間的團(tuán)結(jié)協(xié)作，充分提高運(yùn)維工作的整體水平在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)維部門(mén)，無(wú)論是技術(shù)骨干還是剛剛?cè)肼毜漠厴I(yè)學(xué)生，都要一視同仁，實(shí)現(xiàn)團(tuán)隊(duì)間的團(tuán)結(jié)協(xié)作，相互幫助、相互促進(jìn)、共同提高。新員工要積極主動(dòng)地向經(jīng)驗(yàn)豐富的來(lái)員工學(xué)習(xí)請(qǐng)教，老員工也要認(rèn)真的去帶好新人。在運(yùn)維部門(mén)，各個(gè)崗位雖然相對(duì)分離卻又彼此聯(lián)系，不管是主機(jī)維護(hù)人員還是網(wǎng)絡(luò)維護(hù)人員，也不管是同一崗位的技術(shù)人員還是不同崗位的技術(shù)人員，都需要不斷地加強(qiáng)彼此之間的交流和溝通，保持大局觀念，塑造團(tuán)結(jié)合作的團(tuán)隊(duì)精神，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行及維護(hù)工作的圓滿完成。

2.5做好資料文檔的歸檔和整理工作對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作來(lái)講，資料文檔的整理及歸檔工作尤為重要。由于計(jì)算機(jī)網(wǎng)絡(luò)工程具有邊建設(shè)邊運(yùn)行的特點(diǎn)，使得其建設(shè)周期也是比較長(zhǎng)的，因此其資料文檔的歸檔整理工作也并非就是一次性能夠完成的，只要網(wǎng)絡(luò)工程未竣工，那么資料文檔的整理工作就會(huì)一直延續(xù)。所以，積極做好資料文檔的整理和歸檔工作在工程一開(kāi)始，就需要做到邊整理、邊歸檔；另外，資料文檔的整理歸檔工作應(yīng)該由專人進(jìn)行全權(quán)管理。

3結(jié)語(yǔ)

新時(shí)期，隨著科學(xué)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)逐漸的滲入到人們生活的各個(gè)領(lǐng)域。由于網(wǎng)絡(luò)安全關(guān)系到了人們的切身利益，做好計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行及維護(hù)工作已成為迫切需要解決的熱點(diǎn)話題。網(wǎng)絡(luò)在不斷地發(fā)展，問(wèn)題也在不斷的更新，人們的意識(shí)也要隨之同步更新。做好計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行及維護(hù)工作，對(duì)于促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、可靠、安全運(yùn)行以及對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)功能向經(jīng)濟(jì)效益的不斷轉(zhuǎn)化具有重要的意義。

參考文獻(xiàn)

[1]羅林.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)硬件的故障維護(hù)策略分析[J].電腦知識(shí)與技術(shù),2014,14:3250-3251.

[2]李華清.計(jì)算機(jī)通信網(wǎng)絡(luò)安全維護(hù)策略分析[J].電子技術(shù)與軟件工程,2014,04:230.

[3]王蒙.現(xiàn)代通信網(wǎng)絡(luò)的運(yùn)行管理與維護(hù)策略分析[J].中國(guó)新通信,2014,16:74.

[4]張軻.新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)通信存在的問(wèn)題及其改進(jìn)策略分析[J].電腦知識(shí)與技術(shù),2015,09:82-83.

[5]繆玲.開(kāi)放式計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房維護(hù)策略的分析[J].信息與電腦(理論版),2015,13:136-138.

[6]王巍.關(guān)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2013,20:126+128.

篇9

【關(guān)鍵詞】校園網(wǎng)故障率降低

目前大多高校采用的是故障“來(lái)電響應(yīng)式”的IT護(hù)維模式，該模式因維護(hù)成本高、響應(yīng)模式被動(dòng)，局限性已顯露無(wú)余。高校的維護(hù)模式主要有學(xué)校自行維護(hù)、第三方專項(xiàng)分散式維護(hù)和第三方整體運(yùn)維。

一、校園網(wǎng)運(yùn)維特點(diǎn)

1.響應(yīng)要求高

校園網(wǎng)用戶群體普遍比較年輕和活躍，對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)并且網(wǎng)絡(luò)體驗(yàn)較深，因此對(duì)網(wǎng)絡(luò)質(zhì)量和服務(wù)品質(zhì)有較高的要求。

2.鏈路層故障比較集中

因設(shè)備間基礎(chǔ)環(huán)境較差、線路老化和標(biāo)識(shí)不清等原因，50%以上的網(wǎng)絡(luò)報(bào)障集中在鏈路層面。

3.網(wǎng)絡(luò)安全和行為管理是重點(diǎn)

校園網(wǎng)用戶群體文化教育程度很高，很多人喜歡嘗試各類技術(shù)探索，如此一來(lái)，規(guī)避潛在的計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)風(fēng)險(xiǎn)，保障校園網(wǎng)信息平臺(tái)系統(tǒng)高效的、安全的運(yùn)行是一項(xiàng)重要的工作。

4.缺少統(tǒng)一的運(yùn)維系統(tǒng)

受限于經(jīng)費(fèi)和意識(shí)等因素，學(xué)校沒(méi)有部署統(tǒng)一的運(yùn)維系統(tǒng)，部分學(xué)校也僅部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)，即便如此，監(jiān)控的層面和顆粒度都遠(yuǎn)遠(yuǎn)不能適應(yīng)服務(wù)要求。

二、運(yùn)維需求

按照運(yùn)維的技術(shù)廣度和深度，校園網(wǎng)運(yùn)維問(wèn)題主要體現(xiàn)在四個(gè)核心需求層面上，即核心層網(wǎng)絡(luò)層面、接入層網(wǎng)絡(luò)層面、應(yīng)用數(shù)據(jù)層面和用戶服務(wù)層面。核心層網(wǎng)絡(luò)層面包括核心網(wǎng)（城域網(wǎng)）網(wǎng)絡(luò)維護(hù)服務(wù)、機(jī)房環(huán)境（含動(dòng)力系統(tǒng)）維護(hù)服務(wù)、服務(wù)器設(shè)備維護(hù)服務(wù)、網(wǎng)絡(luò)安全服務(wù)等；接入層網(wǎng)絡(luò)層面包括鏈路維護(hù)服務(wù)、接入層網(wǎng)絡(luò)維護(hù)服務(wù)。應(yīng)用數(shù)據(jù)層面包括數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和門(mén)戶等；用戶服務(wù)層面在教學(xué)、科研和生活方面提供優(yōu)質(zhì)快捷的網(wǎng)絡(luò)質(zhì)量和網(wǎng)絡(luò)服務(wù)。

除了核心需求之外，校園網(wǎng)運(yùn)維管理中還涉及許多日常的業(yè)務(wù)運(yùn)維需求，譬如決策分析需求：校園網(wǎng)運(yùn)維的量化管理需為高校決策層提供IT投資及管理方面的數(shù)據(jù)支持，同時(shí)也將是校園網(wǎng)運(yùn)維管理人員的績(jī)效考核的重要依據(jù)。因此在決策分析層面，決策層對(duì)校園網(wǎng)運(yùn)維系統(tǒng)的管理需求同樣是非常明確，應(yīng)該可以直觀查看性能報(bào)表、實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行質(zhì)量的考核、作為績(jī)效考核的依據(jù)。

三、現(xiàn)有運(yùn)維模式探討

1、高校自行維護(hù)的模式

采用這種模式的高校主要有暨南大學(xué)、廣東外語(yǔ)外貿(mào)大學(xué)等，上述學(xué)校采用設(shè)備自行維修，維護(hù)工作量最大的鏈路維護(hù)交由學(xué)生團(tuán)隊(duì)，團(tuán)隊(duì)由網(wǎng)絡(luò)中心的教師管理。這種維護(hù)模式的最大益處是可以節(jié)約經(jīng)費(fèi)，但存在服務(wù)不到位、服務(wù)質(zhì)量不高，網(wǎng)絡(luò)中心為從事低技術(shù)含量、重復(fù)性的工作所困擾等問(wèn)題。

2、第三方專項(xiàng)維護(hù)的模式

采用這種模式的高校主要有廣東工業(yè)大學(xué)、廣東中醫(yī)藥大學(xué)和廣東藥學(xué)院等，上述學(xué)校把服務(wù)器設(shè)備的維修維護(hù)、網(wǎng)絡(luò)鏈路的新增維護(hù)、動(dòng)力系統(tǒng)分包給第三方；這種維護(hù)模式的益處是讓學(xué)校的教師有更多的精力從事業(yè)務(wù)系統(tǒng)和關(guān)鍵系統(tǒng)的維護(hù)，花較少的經(jīng)費(fèi)把工作量大而繁瑣、技術(shù)含量較低的鏈路或者專業(yè)的工作交由第三方負(fù)責(zé)。但也存在流程脫節(jié)、服務(wù)不到位等問(wèn)題。

篇10

列車調(diào)度指揮系統(tǒng)用于保障鐵路行車的安全，而安全問(wèn)題又是鐵路行業(yè)的頭等大事，由于鐵路與網(wǎng)絡(luò)的聯(lián)系愈加緊密，保障列車調(diào)度指揮系統(tǒng)安全就尤為重要。其系統(tǒng)網(wǎng)絡(luò)安全主要是中心服務(wù)器安全和網(wǎng)絡(luò)安全。另外列車調(diào)度指揮系統(tǒng)使用以太網(wǎng)來(lái)傳輸各種調(diào)度信息，網(wǎng)絡(luò)內(nèi)部廣泛采用的協(xié)議是TCP/IP協(xié)議，TCP/IP協(xié)議為實(shí)現(xiàn)網(wǎng)絡(luò)信息的共享和傳遞起了舉足輕重的作用，雖然一定程度上可以維護(hù)網(wǎng)絡(luò)安全，但還存在一些安全漏洞：

a.身份認(rèn)證方式的安全性較弱，口令容易被非法竊取。

b.機(jī)密信息和數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改或被非法竊取。

c.信息可抵賴。

例如行車路線、生產(chǎn)計(jì)劃等電子文件一旦被一方所否認(rèn)，另一方?jīng)]有已簽名的記錄作為仲裁的依據(jù)。就以上存在的安全問(wèn)題可總結(jié)出系統(tǒng)網(wǎng)絡(luò)受到的危險(xiǎn)和風(fēng)險(xiǎn)為：網(wǎng)絡(luò)病毒的傳播；地址欺騙；序列號(hào)攻擊；利用端口掃描、拒絕服務(wù)攻擊等惡意攻擊。雖然現(xiàn)在網(wǎng)絡(luò)中存在安全機(jī)制，但沒(méi)有一種安全策略是十全十美的,必須制定災(zāi)難恢復(fù)計(jì)劃以確保一旦硬件和軟件發(fā)生故障、系統(tǒng)受到惡意攻擊時(shí),能夠及時(shí)采取應(yīng)對(duì)措施，及時(shí)將列車調(diào)度指揮系統(tǒng)恢復(fù)正常運(yùn)行，減小損失[3]。

2列車調(diào)度指揮系統(tǒng)網(wǎng)絡(luò)的維護(hù)方案與管理

實(shí)施時(shí)應(yīng)將管理與技術(shù)兩手抓，具體方案和措施如下：首先，管理層面應(yīng)考慮管理制度的建立、管理的組織及運(yùn)行中的維護(hù)。系統(tǒng)安全不可能只從單個(gè)層面或單個(gè)環(huán)節(jié)就可解決，必須全方位多層面配合進(jìn)行，建立統(tǒng)一的安全策略，完善管理制度，堅(jiān)持運(yùn)維。統(tǒng)一的安全策略可以規(guī)范整個(gè)系統(tǒng)的管理流程和管理方法，便于管理的組織和實(shí)施，而只有堅(jiān)持運(yùn)維才能夠保證系統(tǒng)長(zhǎng)期、穩(wěn)定、有效的運(yùn)行。其次，在技術(shù)層面應(yīng)注意物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全及應(yīng)用安全等方面，在使用中，技術(shù)層面的安全問(wèn)題分界模糊，可以交叉實(shí)現(xiàn)，具體可由以下幾方面入手：

a.防火墻。

防火墻技術(shù)是實(shí)現(xiàn)子網(wǎng)邊界安全的重要技術(shù)?？梢詫⒄狭硕喙δ艿姆阑饓ψ鳛楹诵脑O(shè)備在網(wǎng)絡(luò)中取代路由的位置，這樣可以有效防護(hù)來(lái)自網(wǎng)絡(luò)層和應(yīng)用層的威脅，并且還能降低網(wǎng)絡(luò)的復(fù)雜性。

b.網(wǎng)絡(luò)防病毒系統(tǒng)。

列車調(diào)度指揮系統(tǒng)由網(wǎng)絡(luò)服務(wù)器、通信傳輸設(shè)備及車站終端機(jī)等設(shè)備組成。使用統(tǒng)一安全策略的集中安全管理中心對(duì)病毒進(jìn)行統(tǒng)一管理，對(duì)客戶端和服務(wù)器進(jìn)行防病毒保護(hù)，并且使用云安全技術(shù)，利用大量的客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),及時(shí)的獲取木馬、惡意程序的最新信息,并將獲得的信息推送到服務(wù)器端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端，以實(shí)現(xiàn)系統(tǒng)的網(wǎng)絡(luò)安全維護(hù)。

c.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

利用網(wǎng)絡(luò)分段技術(shù)劃分vlan,改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)中生產(chǎn)網(wǎng)、辦公網(wǎng)和廣域網(wǎng)的隔離，確保網(wǎng)絡(luò)資源與非法用戶的隔離,是一項(xiàng)基本的網(wǎng)絡(luò)防護(hù)措施和保護(hù)手段。

d.身份認(rèn)證系統(tǒng)。

目前采用的以靜態(tài)密碼為主的身份認(rèn)證系統(tǒng)存在安全隱患，用戶名及密碼容易被竊取，安全風(fēng)險(xiǎn)很大。使用動(dòng)態(tài)口令可解決此類安全隱患

e.入侵檢測(cè)技術(shù)。

入侵檢測(cè)的主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)，通過(guò)監(jiān)視、限制通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,防止外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn)，隔離內(nèi)部網(wǎng)和外部網(wǎng)，為監(jiān)視局域網(wǎng)安全提供便利。入侵檢測(cè)系統(tǒng)（IDS）是從計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)當(dāng)中收集數(shù)據(jù)信息，再通過(guò)這些收集的信息，分析有入侵特征的網(wǎng)絡(luò)安全系統(tǒng)[4]。IDS不僅能檢測(cè)出系統(tǒng)中違反系統(tǒng)安全規(guī)則或者威脅到系統(tǒng)安全的行為，還可以有效地彌補(bǔ)防火墻的被動(dòng)防御弱點(diǎn)。當(dāng)系統(tǒng)受到攻擊時(shí)采取相應(yīng)的措施進(jìn)行有效的網(wǎng)絡(luò)安全防護(hù)，在被入侵攻擊后，收集入侵攻擊相關(guān)的各種信息，作為防范系統(tǒng)的知識(shí)，添入策略集，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵[5]。

3結(jié)語(yǔ)