導語:在網絡安全運維技術的撰寫旅程中�����,學習并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感����,引領您探索更多的創作可能�。
第1篇
【關鍵詞】 醫院信息化建設 IT運維與安全管理
引言:
目前����,隨著信息技術的日新月異和網絡信息系統應用的發展,醫院����、企業網絡技術的應用層次正在從傳統的����、小型業務系統逐漸向大型���、關鍵業務系統擴展�。面對日趨復雜的IT系統,不同背景的運維人員已給企事業信息系統安全運行帶來較大的潛在風險���,如醫院信息系統是醫院日常工作的重要應用,存儲著重要的數據資源�,是醫院正常運行必不可少的組成部分�,所以必須加強安全保障體系的建設�。于是,堡壘機在醫院中的應用�����,為醫院工作的應用提供了安全可靠的運行環境�����。
傳統的網絡安全審計系統給醫院的的運維安全問題帶來了很多風險�,如:賬號管理無秩序��,暗藏巨大隱患;粗放式權限管理的安全性難以保證;設備自身陳舊,無法審計運維加密協議�����、遠程桌面內容等���,從而難以有效定位安全事件�。
以上所面臨的風險嚴重破壞政府、醫院、企業等的信息系統安全��,已經成為其信息系統安全運行的嚴重隱患�,尤其是醫院,將影響其效益。尤其醫院信息系統是一個復雜的系統工程����,涉及人�、技術���、操作等要素��,單靠技術或單靠管理都不可能實現����。
因此在考慮安全保障體系時,必須將各種安全技術與運行管理機制����、人員思想教育與技術培訓�、安全規章制度建設相結合��。
如何有效監控業務系統訪問行為和敏感信息的傳播�,準確掌握網絡系統的安全狀態�����,及時發現違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析����,事后追查取證�����,滿足合規性審計要求,是企事業迫切需要解決的問題,即IT運維安全管理的變革已刻不容緩�����!
堡壘機提供一套先進的運維安全管控與審計解決方案��,它通過網絡數據的采集�、分析�����、識別����,實時動態監測通信內容��、網絡行為和網絡流量�,發現和捕獲各種敏感信息���、違規行為�,實時報警響應,全面記錄網絡系統中的各種會話和事件,實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位,為整體網絡安全策略的制定提供權威可靠的支持。
隨著堡壘機在醫院中的應用,其主要實現了以下功能:
1)賬號管理集中
堡壘機建立于唯一身份標識的全局實名制管理��,支持統一賬號管理策略��,實現與各服務器��、網絡設備等無縫連接��,集中管理主賬號(普通用戶)����、從賬號(目標設備系統賬號)及相關屬性�。
2)訪問控制集中
堡壘機通過集中對應用系統的訪問控制,通過對主機���、服務器、網絡��、數據庫等網絡中所有資源的統一訪問控制��,確保用戶擁有的權限是完成任務所需的最小權限�����,實現集中有序的運維操作管理,防止非法���、越權訪問事件的發生。
3)安全審計集中
基于唯一身份標識�,堡壘機通過對用戶從登錄到退出的全程操作行為審計����,監控用戶對被管理設備的所有敏感的關鍵操作�,提供分級告警,聚焦關鍵事件�,能完成對醫院內網所有網上行為的監控和對安全事件及時預警發現�、準確可查的功能����。
通過此體系監控到的數據能對醫院內部網絡的使用率��、數據流量、應用提供比例���、安全事件記錄�、網絡設備的動作情況、網絡內人員的網上行為記錄�����、網絡整體風險情況等這些情況有較全面的了解�。
信息安全是一個動態的過程,要根據網絡安全的變化不斷調整安全措施��,適應新的網絡環境��,M足新的網絡安全需求�����。
安全管理制度也有一個不斷完善的過程,經過安全事件的處理和安全風險評估��,會發現原有的安全管理制定中存在的不足之處�。根據安全事件處理經驗教訓和安全風險評估的結果,對信息安全管理策略進行修改��,對信息安全管理范圍進行調整�。
參 考 文 獻
[1]趙瑞霞.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用,2010�����,08.
第2篇
[關鍵詞]網絡安全 管理流程 安全體系框架 安全防護策略
中圖分類號:TP 文獻標識碼:A 文章編號:1009-914X(2017)01-0394-01
企業在網絡安全方面的整體需求涵蓋基礎網絡���、系統運行和信息內容安全�、運行維護的多個方面,包括物理安全����、網絡安全��、主機安全、應用安全��、網站安全���、應急管理����、數據安全及備份恢復等內容����,這些方方面面的安全需求,也就要求企業要有一流的安全隊伍�����、合理的安全體系框架以及切實可行的安全防護策略�����。
一��、強化安全隊伍建設和管理要求
企業要做好、做優網絡安全工作,首先要面臨的就是組織機構和人才隊伍建設問題�,因此�,專門的網絡安全組織機構對每個企業來講都是必不可少的�����。在此基礎上�,企業要結合每季度或者每月的網絡安全演練�、安全檢查等工作成果和反饋意見,持續加強網絡安全管理隊伍建設,細化安全管理員和系統管理員的安全責任,進一步明確具體的分工安排及責任人�����,形成清晰的權責體系�。同時,在企業網絡自查工作部署上���,也要形成正式的檢查結果反饋意見,并在網絡安全工作會議上明確檢查的形式����、流程及相關的文件和工作記錄安排�,做到分工明確��、責任到人�,做到規范化����、流程化、痕跡化管理,形成規范的檢查過程和完整的工作記錄�����,從而完成管理流程和要求的塑造��,為企業后續的網絡安全工作提供強勁����、持久的源動力和執行力�����。
二�、搭建科學合理的安全體系框架
一般來講�����,我國有不少企業的網絡安全架構是以策略為核心����,以管理體系��、技術體系和運維體系共同支撐的一個框架,其較為明顯的特點是:上下貫通�、前后協同�、分級分域�、動態管理、積極預防����。
上下貫通����,就是要求企業整個網絡安全工作的引領與落實貫通一致����,即企業整體的網絡安全方針和策略要在實際的工作中得到貫徹實施;前后協同�����,就是要求企業得網絡安全組織機構和人員��,要積極總結實際的工作經驗和成果��,結合企業當前的網絡安全態勢,最新的國際��、國內安全形勢變化���,每年對企業的網絡安全方針和策略進行不斷的修正���,達到前后協同的效果���。分級分域�����,就是要求企業要結合自身的網絡拓撲架構、各個業務系統及辦公系統的安全需求、企業存儲及使用的相關數據重要程度��、各個系統及服務的使用人員等情況���,明確劃分每個員工的系統權限、網絡權限��,對使用人員進行分級管理���,并對相關網絡及安全設備���、服務器等進行分區域管理�,針對不同區域的設備設定不同的安全級別。
動態管理�����,就是要求企業的整體安全策略和方針���、每個階段的安全計劃和工作內容��,都要緊密跟蹤自身的信息化發展變化情況�����,并要在國內突發或重大安全事件的引導下����,適時調整、完善和創新安全管理模式和要求,持續提升��、改進和強化技術防護手段���,保證網絡安全水平與企業的信息化發展水平相適應,與國內的信息安全形勢相契合;積極預防就是要求企業在業務系統的開發全過程�����,包括可研分析�、經濟效益分析����、安全分析���、系統規劃設計�����、開工實施���、上線運行、維護保障等多個環節上要抱有主動的態度��,采取積極的防護措施�,不要等到問題發生了再去想對策���、想辦法��,要盡可能的提前評估潛在的安全隱患��,并著手落實各種預防性措施���,并運用多種監控工具和手段�����,定期感知企業的網絡安全狀態�����,提升網絡安全事故的預警能力和應急處置能力。
三���、落實切實可行的安全防護策略
在安全策略方面����,企業的安全防護策略制定思路可以概括為:依據國家網絡安全戰略的方針政策��、法律法規��、制度����,按照相關行業標準規范要求���,結合自身的安全環境和信息化發展戰略�����,契合最新的安全形勢和安全事件,從總體方針和分項策略兩個方面進行制定并完善網絡安全策略體系,并在后續的工作中,以總方針為指導,逐步建立覆蓋網絡安全各個環節的網絡安全分項策略,作為各項網絡安全工作的開展���、建立目標和原則�。
在網絡安全管理體系方面,企業要將上述安全策略�����、方針所涉及的相關細化目標、步驟、環節形成具體可行的企業管理制度,以制度的形勢固化下來��,并強化對相關企業領導��、安全機構管理人員、業務辦公人員的安全形勢和常識培訓�����,提高企業從上至下的安全防護能力和安全水平;在運維管理體系建設方面,企業要對每個運維操作進行實時化監控��,在不借助第三方監控工具如堡壘機的條件下��,要由專人進行監管����,以防止運維操作帶來的安全隱患,同時�����,企業也要階段性的對各個網絡設備��、業務系統�����、安全設備等進行安全評估�,分析存在的安全漏洞或隱患��,制定合理的解決措施,從而形成日常安全運維����、定期安全評估�、季度安全分析等流程化管理要求和思路��。
在技術防護體系建設方面�,企業可以參照PPDRR模型����,通過“策略����、防護���、檢測�����、響應����、恢復”這五個環節����,不斷進行技術策略及體系的修正,從而搭建一套縱向關聯、橫向支撐的架構體系,完成對主機安全、終端安全、應用安全、網絡安全��、物理安全等各個層面的覆蓋,實現技術體系的完整性和完備性。企業常用的技術防護體系建設可以從以下幾個方面考慮:
(1)區域邊界防護策略:企業可以考慮在各個區域的邊界���、互聯網或者局域網出口部署下一代防火墻、入侵檢測與防御設備(如果條件合適,可以考慮選擇入侵防御設備)�����、上網行為管理��、防病毒網關等網絡安全新技術和新設備���,從而對互聯網出口或者重要區域邊界進行全面的防護,提高內網出入接口的安全保障水平。此外�����,針對有企業生產網的情況,要對生產網與內網進行物理隔離,并對接入生產網的各種終端設備進行防病毒查收����、報備���,防止影響生產安全的各種事件發生,保障企業的財產安全�����。
第3篇
一、網絡維護及建設
1�����、城域網維護建設
1)、在分公司的正確領導及相關部門的大力支持下�,運維部全體人員的勤奮工作�。城域網維護截止11月份���,運維部共處理用戶故障非電子派單電話報修518次,電子派單3687次�����,安裝用戶1869戶����,搬遷用戶288戶�,平移用戶147戶,開通副機用戶152戶�����,提高了網絡覆蓋質量�,更有力的提升了市場競爭力��。
2)新區網絡新建工程立項7項�,實施7項等幾個光節點網絡覆蓋面積,促進了業務發展和業務收入的增加��。
3)、完成城域網建成管道建成4.98千米及配套設施建設����。
4)����、運維部必須及時認真上報當月的《網絡維護月報表》����、《安全隱患月報表》、《電子派單周、月報表》�����、《新裝用戶月報表》的工作。
2�、網絡優化建設
運維部在分公司領導的直接指導下���,實時對城區網優不徹底區域地點進行不間斷的網優及線路改造工作。
3、鄉鎮網絡建設
1)���、根據省、地公司和縣分公司安排,在分公司領導親自帶領下�,年初對全縣所轄區鄉鎮網絡進行了數字電視整轉前的規劃與設計���。
2)、20XX年對全縣所轄區20個鄉鎮中16個鄉鎮的網絡進行優化改造及1個鄉鎮網絡的新建工作���。
3)���、縣鄉聯網鄉鎮有線電視用戶整轉平移3540戶,鄉鎮有線新裝電視用戶1629戶。全縣鄉鎮有線數字電視用戶總數5169戶���。
二、加強技術培訓���,提高隊伍素質
運維部承擔分公司工程建設的主要隊伍,面對工程建設�����、網絡安全干線安全重要任務,要在短時間內保質保量完成���,無論是組織工作�,還是技術工作都存在較多的難題���。為此��,分公司把開展技術培訓作為一項確保工程質量����、進度的重要措施來抓����,采取走出去請進來的方式���,不但多次派員工參加省��、地公司舉行培訓學習���,經常利用部門開會時間組織運維人員進行集中學習培訓,還和鄰近兄弟公司進行面對面經驗和技術的交流,提高了維護人員的技能���。
三、存在問題及不足
1、目前運維部整體須加強思想認識�����、提高工作效率���、提升服務水平�。
2、特別注重安全生產搞好網絡干線巡檢工作�����。
3��、運維部目前極其缺乏新技術�����、新業務的尖端人才��,針對下一步的數字雙向網絡���、數據等新業務�����,加強能承擔新的維護任務技術的培訓及業務學習�����。
4��、加強運維文檔的管理�,提高維護質量����。做好每月必須及時認真上報的各類報表�。
5、隨著城區網絡的進一步擴大���,交通工具的問題不多地制約著運維部的快速反應機制。
四�����、20**年工作計劃
1��、繼續抓好網絡維護質量管理和科技維護水平�,提高網絡運行質量�����。
2����、繼續抓好��、抓實省一二干線巡查工作。
3��、積極配合做好城域網、本地傳輸網�、城區管道及鄉鎮網絡建設服務等工作的準備開工建設及其他工作任務�����。
4���、按計劃搞好網絡新建、小區新建的立項及建設和竣工及驗收工作。
第4篇
關鍵詞 大數據 網絡安全 態勢感知
中圖分類號:TP393.08 文獻標識碼:A
0 引言
對于一個大型網絡��,在網絡安全層面,除了訪問控制、入侵檢測�����、身份識別等基礎技術手段�����,需要安全運維和管理人員能夠及時感知網絡中的異常事件與整體安全態勢��。對于安全運維人員來說,如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題����,從而保障網絡的安全狀態,是他們最關心也是最需要解決的問題�。與此同時,對于安全管理者和高層管理者而言��,如何描述當前網絡安全的整體狀況,如何預測和判斷風險發展的趨勢�,如何指導下一步安全建設與規劃����,則是一道持久的難題�����。
隨著大數據技術的成熟��、應用與推廣���,網絡安全態勢感知技術有了新的發展方向,大數據技 術特有的海量存儲�、并行計算�����、高效查詢等特點��,為大規模網絡安全態勢感知的關鍵技術創造了突破的機遇�。本文將對大規模網絡環境下的安全態勢感知����、大數據技術在安全感知方面的促進做一些探討。
1 基于大數據的網絡安全態勢感知
隨著網絡的發展�,大規模網絡所引發的安全保障的復雜度激增���,主要面臨的問題包括:安全數據量巨大���;安全事件被割裂���,從而難以感知��;安全的整體狀況無法描述。
網絡安全感知能力具體可分為資產感知����、脆弱性感知�����、安全事件感知和異常行為感知4個方面�����。資產感知是指自動化快速發現和收集大規模網絡資產的分布情況�����、更新情況、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見、可見、可利用;安全事件感知是指能夠確定安全事件發生的時間、地點�����、人物��、起因�、經過和結果�����;異常行為感知是指通過異常行為判定風險�,以彌補對不可見脆弱性����、未知安全事件發現的不足,主要面向的是感知未知的攻擊。
隨著Hadoop���、NoSQL等技術的興起,BigData大數據的應用逐漸增多和成熟,而大數據自身擁有Velocity快速處理、Volume大數據量存儲、Variety支持多類數據格式三大特性�����。大數據的這些天生特性����,恰巧可以用于大規模網絡的安全感知���。首先,多類數據格式可以使網絡安全感知獲取更多類型的日志數據���,包括網絡與安全設備的日志、網絡運行情況信息�、業務與應用的日志記錄等��;其次,大數據量存儲與快速處理為高速網絡流量的深度安全分析提供了技術支持����,可以為高智能模型算法提供計算資源���;最后����,在異常行為的識別過程中�,核心是對正常業務行為與異常攻擊行為之間的未識別行為進行離群度分析,大數據使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能。
2目前研究成果
中國移動自2010年起在云計算和大數據方面就開始了積極探索�。中國移動的“大云”系統目前已實現了分布式海量數據倉庫�����、分布式計算框架、云存儲系統、彈性計算系統����、并行數據挖掘工具等關鍵功能���。在“大云”系統的基礎上�����,中國移動的網絡安全感知也具備了一定的技術積累��,進行了大規模網絡安全感知和防御體系的技術研究���,在利用云平臺進行脆弱性發現方面的智能型任務調度算法��、主機和網絡異常行為發現模式等關鍵技術上均有突破,在安全運維中取得了一些顯著的效果��。
3總結
大數據的出現����,擴展了計算和存儲資源,提供了基礎平臺和大數據量處理的技術支撐�����,為安全態勢的分析�����、預測創造了無限可能���。
參考文獻
[1] 龔正虎���,卓瑩.網絡態勢感知研究[J].軟件學報����,2010�,21(7):1605-1619.
[2] 韋勇,連一峰����,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.
第5篇
關鍵詞:堡壘主機�;內控管理�;運維審計��;實踐案例
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1672-3791(2015)05(c)-0000-00
近年來�,筆者所在民航系統內的信息化水平正在逐步從初級應用階段發展至高級應用階段���,而伴隨著這個過程產生的信息化應用與信息安全管理的矛盾也愈發突出[1]�����。筆者所在單位近年來在局域網內先后部署了多項網絡安全和網絡分析產品���,已經形成了較為完善的信息安全防護體系��,主要技術人員也積累了運維經驗���。但信息系統故障等網絡安全問題仍然時有發生�。通過分析故障產生的原因��,發現大部分違規行為竟然來源于一些合法用戶的例行操作�����。傳統意義的安全防護系統可以從技術角度解決一些潛在的安全問題,但對于內部人員操作的管理手段不完善帶來的數據破壞和泄露可能比技術原因造成的損害更為嚴重���。
國家公安部《信息系統安全等級保護基本要求》中明確規定了二級(含)以上的重要信息系統網絡安全、主機安全���、應用安全都需要具備安全審計功能[2],所以��,根據等級保護要求以及本單位的實際情況�,我們迫切需要一種有效的手段來對內部人員的設備維護行為進行控制和審計��,解決信息安全管理中遇到的難題����。難題具體體現在:運維權限分配復雜����、系統密碼管理不足、操作風險難以控制�����、共享賬號安全隱患���、系統資源授權不清晰�����、訪問控制策略不嚴格�����、重要操作無法有效審計等。而以上這些信息安全問題��,通過引入內控堡壘主機并結合管理措施之后基本得到了有效解決���。
1 內控堡壘主機介紹
1.1 什么是內控堡壘主機����?
最早的堡壘主機主要定位于防御外部進攻[3]。通過將其部署在防火墻或路由器之外�����,可以使那些需要面向外部的服務集中于堡壘主機上進行集中保護���,以此來換取內部網絡的安全�。
而隨著信息化應用的日趨復雜��,由被動防御型的堡壘主機發展出來了更加偏重于對內部網絡�、應用和數據進行綜合安全保護的管理控制平臺��,也就是我們所說的內控堡壘主機����。它從網絡內部出發�,通過多種信息安全技術(訪問控制、身份認證�、虛擬化�、協議、操作審計等)實現用戶對內部網絡資源的安全訪問���,同時對用戶的操作過程形成完整的審計記錄。這樣的內控平臺正可以有效地解決我們在日常運維和內控管理中遇到的難題��。
1.2 功能特點
1.2.1 設備的集中管控
內控堡壘主機可以將服務器和網絡設備的信息����,以及用戶信息和訪問權限提前配置在堡壘主機中,這樣便從傳統的分布式管理模式轉變成可控的集中式管理模式���,以此為基礎帶來了設備管理效率和安全穩定性的提升。
1.2.2 操作的集中審計
內控堡壘主機通過協議的方式��,將原來從某臺內網終端直接通過遠程連接對網絡設備和服務器進行操作的不可控的分散管理方式��,轉變成為了用戶必須集中至堡壘主機的統一入口再對有授權的設備進行操作��。而全部操作都通過協議錄制得到記錄,實現了精細化的集中操作審計�����。
總之��,內控堡壘主機結合了傳統的4A 理念,即賬號管理���、認證管理、授權管理�����、安全審計���,與應用技術��,形成了一個完善且可控的遠程接入解決方案�����。一方面,統一身份認證和統一訪問授權使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權管理才可以接入設備�����,滿足了信息安全等級保護的要求��;另一方面���,全面的審計功能讓管理員不但可以完整錄制會話過程���,還可以實時監視遠程訪問會話并及時終止非法操作�����。
2 制定解決方案
2.1 信息安全等級保護要求
根據信息安全等級保護第三級[4]的相關要求制定內控堡壘主機的解決方案���,可以滿足在要求中涉及到的網絡安全��、主機安全��、應用安全、數據安全及備份恢復五項技術方面的要求,以及安全管理機構、人員安全管理���、系統運維管理三項管理方面的要求。根據要求中的內容以及內控堡壘主機針對每一項提供的解決方案,整理如下表1�。
2.2 設計原則
2.2.1 整體安全和全網統一的原則
資源訪問的安全設計需要綜合考慮信息網絡的各個環節和全部實體�����,然后在不同層次上綜合使用多種安全手段,為內部信息網絡和安全業務提供管理和服務。
2.2.2 標準化原則
項目的安全體系設計嚴格遵循了國家標準���,如《信息系統安全等級保護基本要求》。在達到標準要求的同時能夠使企業內部的信息系統在可控范圍內實現安全的互聯互通。
2.2.3 需求��、風險��、成本平衡原則
任何信息系統都無法做到絕對安全�,所以設計時就需要明確性能要求以及側重點,然后從需求出發,在功能���、風險和成本之間進行平衡和折中[5]。
2.2.4 實用、高效����、可擴展原則
無論現狀如何��,隨著技術發展信息系統仍將不斷變化,哪怕在系統實施過程中,系統的結構、配置也會發生變化����。所以系統需要有一定的靈活性來適應這些變化�����,使其符合“有層次�、成體系”的標準,既有利于系統安全,又有利于擴展�。
2.2.5 技術����、管理相結合原則
為了使內控堡壘主機可以發揮其應有的效果���,管理者必須首先根據系統的功能特點來重新梳理和完善現有的運行管理機制和安全規章制度�,同時對技術人員進行思想教育和技術培訓。通過合理的規定和具體培訓����,才能完成系統的應用���。
2.3 設計思路
2.3.1 集中管理模式
管理模式決定了管理的高度���,所以明確管理模式應當是我們要確定首要因素���。根據多年的運維實踐發現��,我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強,這樣導致了人為因素造成的運行故障比例居高不下��,缺少有效的審計手段�。因此迫使我們必須由分散的管理模式轉變為集中的管理模式。集中管理是運維管理思想的必然發展趨勢和唯一選擇[6]���。通常,集中管理包括:集中的資源訪問入口、集中的賬號管理、集中的授權管理、集中的認證管理��、集中的審計管理等等����。
2.3.2 訪問協議
內控堡壘主機通過對各平臺所使用的協議進行來實現對操作行為的審計和監控[7]�。比如SSH、TELNET�����、FTP��、RDP����、VNC等等Windows或Linux平臺上的訪問協議����。
2.3.3 身份授權分離
為避免傳統方式的共享賬號、弱口令賬號等問題導致的安全漏洞����,我們的解決思路是將身份和授權分離����。首先建立用于身份認證的獨立賬號體系����,然后保留各系統賬號但使其由堡壘主機接管并定期更新密碼,使得被管理設備本身的系統賬號僅用于系統授權而剝離其身份認證功能,有效增強了身份認證和系統授權的可靠性�。
2.4 系統構架
我們部署的內控堡壘主機由展現層���、核心服務層��、接口管理層三層結構組成����。
展現層面向用戶����,集成了多種包括匙扣令牌在內的強身份認證方式�,分別對系統管理員和運維用戶提供不同的訪問操作頁面。
核心服務層面向授權和協議���,部署在服務器上。在核心服務層上完成賬號管理����、授權管理及策略設置等操作����。其中的協議包含用戶輸入模塊���、命令捕獲引擎��、策略控制和日志服務��,所以具備對用戶行為進行監視、控制和記錄的功能。
接口管理層面向個信息系統,用于實現審計結合���、賬號同步、認證結合等方面的數據接口工作���。另外它還包含應用服務,以此來實現對B/S�、C/S�、半B/S半C/S系統的單點登錄及審計工作�。
3 內控堡壘主機的實施
系統的實施過程中,我們將堡壘主機及其應用服務器的部署位置單獨剝離開劃分為管理區�,把內部網絡的其他設備如服務器��、網絡設備、數據庫等等劃分為業務區��。在內控堡壘主機部署上架后���,運維人員將集中通過內控堡壘主機對業務區的目標設備進行日常運維操作����。
設備上架后�,我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務器的端口限制。這樣當用戶訪問設備時,堡壘主機才可以完成對TELNET(端口23)、SSH(端口22)�、RDP(端口3389)等協議的訪問具體設備��,并在堡壘主機上完成對設備的單點登錄及會話的完整審計。
4 結語
在信息化水平快速發展的今天��,技術發展與管理模式相輔相成���。信息安全不僅需要先進的設備和嫻熟的技術���,更需要完善的制度和審計手段����。內控堡壘主機的實施切實有效地規范了內外部維護人員對IT基礎設施的維護行為,彌補了操作審計空白���。它通過集中管理的模式,借助于協議、身份授權分離等技術���,極大地減少了維護人員誤操作或惡意操作的概率,縮短了故障定位時間。這次內控堡壘主機的實施完善了筆者所在單位的信息安全保護體系,將有助于提高信息系統運行的安全性和穩定性����。
參考文獻:
[1]潘玉. 新一代堡壘主機[J]. 信息安全與通信保密����,2011�����,05:45.
[2]韓榮杰���,于曉誼. 基于堡壘主機概念的運維審計系統[J]. 信息化建設���,2012�����,01:56-59.
[3]趙瑞霞,王會平. 構建堡壘主機抵御網絡攻擊[J]. 網絡安全技術與應用����,2010�����,08:26-27.
[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008, 信息安全技術信息系統安全等級保護基本要求[S]. 北京:中國標準出版社,2008.
[5]韓海航,王久輝. 大型交通網絡系統安全保障體系研究[J]. 計算機安全���,2007,10:77-80.
[6]吳國良. 面向NGB的網絡與信息管控建設[J]. 廣播與電視技術,2013���,10:28+30-33.
[7]陳旭. IT運維操作管理有效降低企業風險[J]. 高科技與產業化,2010�����,05:116-119.
第6篇
>> 物流信息平臺網絡安全研究 醫院網絡信息安全需求分析 網絡安全管理平臺的研究與實現 網絡安全管理平臺的設計與實現 大數據平臺網絡信息安全若干問題的分析 視頻監控平臺網絡配置管理的設計與實現分析 Symbian平臺網絡開發框架的研究與實現 醫院信息系統的網絡安全建設分析 醫院信息系統的網絡安全與防范 醫院信息系統的網絡安全分析與防范 醫院信息化建設中網絡安全分析與防護 基于醫院信息系統的網絡安全分析與設計 電力信息自動化網絡安全與實現分析 對醫院網絡安全的分析與研究 結合實例談談醫院網絡架構需求分析與實現 通信市場需求下網絡安全技術的開發與實現 針對醫院網絡安全的分析 醫院網絡安全管理策略分析 應急平臺網絡中綜合聯動實現安全防御的研究 醫院網絡安全與管理 常見問題解答 當前所在位置:.
[5] 公安部.關于開展全國重要信息系統安全等級保護定級工作的通知[EB/OL]. [2007?07?24]..
[6] 國家質監局. GB/T 25070?2010 信息安全技術信息系統等級保護安全設計技術要求[S].北京:中國標準出版社���,2010.
[7] 衛生部關于印發《衛生行業信息安全等級保護工作的指導意見[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 關于印送《關于開展信息安全等級保護安全建設整改工作的指導意見》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.
第7篇
關鍵詞:運行維護��;優化原則�;發展要求
前 言:
隨著通信行業3G時代的到來和中國電信業的重新組合�����,中國聯通、中國電信���、中國移動形成“三足鼎立”態勢,各大電信公司從原來較單一的電信業務走向全電信業務運營的公司�,競爭變得更為激烈�,支撐全業務運營的電信運維工作需要進一步整合和優化�。運維系統要提供一個高效率高質量高效益的運維工作來應對、支撐市場��,服務用戶�����,并已經提到通信工作的最重要的議事日程上來����。因此�����,通信行業的運行維護工作優化的指導思想和原則值得各電信運營商研究和探討�����。
一、聯通運維工作優化指導思想
聯通公司運行維護工作優化指導思想是高效率����、高效益����、高質量�����、高標準、高要求�����、高安全性,保證市場和客戶需求的前提下,最大限度地節約資源,創造最大化通信服務收入。以市場和客戶需求為導向,以公司化運營和專業化管理為抓手��,加強網絡規劃�����,優化網絡結構���,加快工程建設�,降低工程造價��,促進深度融合�,推進節能減排�����,實現網絡公司運營管理的新突破����。
二.電信行業運行維護發展要求
電信行業運行維護工作主要考慮四方面工作:運行維護系統的組織架構�、故障處理與網絡優化工作、面向客戶的市場應對工作、成本管控工作等�����,這是運維工作的“四根柱子”�,是運維工作的骨干����,支撐著運維系統的大部分工作。只有運維組織架構合理布局�����,才能發揮運維系統的整體作用��;只有發揮故障處理與網絡優化工作的作用����,才能達到運維應有的效率���;只有以面向客戶的運維系統�����,才能發揮運維體系應有的�����、搶占市場的作用和地位;只有很好地進行成本管控�����,才能充分發揮運維系統的效益作用��;總之��,四項工作部分互相作用,相輔相承,共同構建了運維體系����。
從電信行業運行維護發展要求來看,網絡安全�����、質量可靠是網絡運維的基本要求����、第一要求、強制性要求�。網絡安全�����、質量可靠才能保障業務運行���。隨著市場競爭的加劇和企業自身管理管理要求的提升�,運維工作的要求從單純地保障網絡安全����、質量可靠,向精細運營管理的更深層次轉變�����,自80年代以來�����,運維發展的要求伴隨著電信運營市場化的進程一直處于變中求進的狀態���,總體趨向基本明朗����。80年代�����,運維發展的要求是保障網絡安全、質量可靠��;90年代����,注重運維效益;“十五”期間���,強調運維服務;“十一五”~未來期間���,將向運維提出效益要求,通過現代化運維管理轉型����,在滿足基本要求的基礎上����,降低運維成本�、延伸運維服務范圍、拓展服務能力,提升運維價值�,創造更多效益����。這也是網絡運維者與網絡經營者的基本區別�。在不同的歷史發展階段,運維發展要求見圖2-1。
通過運維體系的構建����,創建運維能力,通過運維能力的提升,滿足運維發展的深層次要求����,這是它們之間的辨證關系��。
三、聯通運行維護工作優化原則
3.1 面向客戶的原則
運維的一切工作都應建立在面向用戶的基礎上,提高服務質量�����,提高用戶感知��,提升用戶滿意度����。電信行業的運維工作主要目的是為了獲取用戶���,創造收入�����,贏得市場�。因此,一切工作都應該是面向客戶,圍繞客戶來開展工作,包括根據客戶需求量身定做提供個性化方案���;根據客戶要求制作服務承諾、服務標準,并在此標準和承諾下提高服務質量,提供專業化服務;制作服務流程��,安全�����、便捷提供服務等���。
3.2 提升效率和效益原則
評價電信行業運維工作水平是否先進,是否科學,已經把運維效率和效益作為最高標準�,提高到最重要的議事日程上來�����;而運維效率和效益提高最終也體現了對市場的占有率和利潤率的提升上。效率體現了公司的管理水平和運作能力,而網絡效益在競爭中體現得更為重要��;因為在電信運營企業中運維網絡資產約占公司資產的90%以上���,運維成本占公司運營成本的40%以上��,因此����,清理和管理好運維資產��,盤活運維資源是提升整個運維效益的重要工作�,而提升運維效益已成為運維工作的主題�,也是公司運營成功與否的最關鍵環節之一。信息技術與專業技術和管理的融合,創造了提升效率和效益的新的巨大空間�。
3.3 長遠規劃與近期維護相結合的原則
維護工作與長遠規劃密切相關����,也影響到近期維護成本����,更是影響到各級領導的業績和政績。長遠規劃要考慮設備長遠的可維護性和可擴容性,因此從評價指標的設立上,要綜合考慮長遠規劃與近期維護的關系�����,在效益最大化的基礎上���,進行決策和取舍�����。運維工作也應充分考慮適當超前規劃、設計���、投資,建設����;考慮維修與更新的性價比和回收期�。
3.4跳出運維做運維原則
做運維工作要比其它職能部門站得更高,看得更遠,要樹立“運維也是一種經營”的理念����,要作“收入-支出=利潤”的回收期的分析,充分評價其價值�,要有一系列的投入產出評價體系����。做好運維工作不僅僅是做好運行與維護工作,而且要站在搶占市場,服務客戶,爭創收入和提高市場占有率,降低成本,利潤最大化的高度去考慮問題.
3.5 人性化管理原則
運維工作是一項長期����,艱苦的、技術含量較高的工作�,處理好干部員工的工作與休息至關重要���。所謂人性化管理��,就是一種在整個企業管理過程中充分注意人性要素��,以充分開掘人的潛能為己任的管理模式。至于其具體內容�����,可以包含很多要素�����,如對人的尊重,充分的物質激勵和精神激勵�����,給人提供各種成長與發展機會��,注重企業與個人的雙贏戰略�,制訂員工的職業生涯規劃���,等等�。 人性化管理是將人性學理論應用于管理,按照人性基本屬性進行管理的管理哲學。因此��,必須對人性有所了解�。
3.6 規模經濟原則
規模經濟是由于生產專業化水平的提高等原因,使企業的單位成本下降,從而形成企業的長期平均成本隨著產量的增加而遞減的經濟。通信業是全程全網,具有規模經濟效應。在運維工作中�����,要有全局觀,規模發展觀,不要故此失彼���,只見樹葉�,不見森林。
通信行業的規模經濟可以實現通信產品規格和服務的統一和標準化;可以通過擴大用戶群��,在減少內部網間費用的結算,而使降低單位成本;可以使運維工作的技術人員的專業化和精簡化,提升技術;有利于新產品開發和利用,拓展市場空間,從而提升企業的競爭力�����。
3.7預防先于搶修的原則
做好運維工作就是做好”防火”工作和”救火”工作二項工作,二項工作同時進行,而且”防火”工作更是應該放到第一位的位置上來��。通過管理規范化、監控集中化����、手段信息化,借助各種工具(如儀器儀表等),了如指掌地掌握各項運行資源和整個網絡結構,通過一張地圖進行通信網絡的運行維護的“指揮作戰”。
結束語
簡而言之,聯通運維工作也要充分體現“一切為了用戶,一切為了收入�����,一切為了利潤”的總原則����。
參考文獻:
【1】季福坤等 數據通信與計算機網絡技術 中國水利水電出版社 2003
第8篇
列車調度指揮系統用于保障鐵路行車的安全,而安全問題又是鐵路行業的頭等大事�����,由于鐵路與網絡的聯系愈加緊密����,保障列車調度指揮系統安全就尤為重要。其系統網絡安全主要是中心服務器安全和網絡安全。另外列車調度指揮系統使用以太網來傳輸各種調度信息�����,網絡內部廣泛采用的協議是TCP/IP協議����,TCP/IP協議為實現網絡信息的共享和傳遞起了舉足輕重的作用,雖然一定程度上可以維護網絡安全,但還存在一些安全漏洞:
a.身份認證方式的安全性較弱,口令容易被非法竊取。
b.機密信息和數據在傳輸過程中有可能被惡意篡改或被非法竊取�����。
c.信息可抵賴�。
例如行車路線、生產計劃等電子文件一旦被一方所否認����,另一方沒有已簽名的記錄作為仲裁的依據�����。就以上存在的安全問題可總結出系統網絡受到的危險和風險為:網絡病毒的傳播;地址欺騙��;序列號攻擊����;利用端口掃描、拒絕服務攻擊等惡意攻擊����。雖然現在網絡中存在安全機制�����,但沒有一種安全策略是十全十美的,必須制定災難恢復計劃以確保一旦硬件和軟件發生故障、系統受到惡意攻擊時,能夠及時采取應對措施,及時將列車調度指揮系統恢復正常運行��,減小損失[3]�����。
2列車調度指揮系統網絡的維護方案與管理
實施時應將管理與技術兩手抓���,具體方案和措施如下:首先�,管理層面應考慮管理制度的建立���、管理的組織及運行中的維護���。系統安全不可能只從單個層面或單個環節就可解決����,必須全方位多層面配合進行��,建立統一的安全策略��,完善管理制度,堅持運維��。統一的安全策略可以規范整個系統的管理流程和管理方法���,便于管理的組織和實施���,而只有堅持運維才能夠保證系統長期��、穩定����、有效的運行�����。其次�����,在技術層面應注意物理安全、網絡安全����、系統安全及應用安全等方面��,在使用中,技術層面的安全問題分界模糊����,可以交叉實現,具體可由以下幾方面入手:
a.防火墻�。
防火墻技術是實現子網邊界安全的重要技術���?�?梢詫⒄狭硕喙δ艿姆阑饓ψ鳛楹诵脑O備在網絡中取代路由的位置�,這樣可以有效防護來自網絡層和應用層的威脅�����,并且還能降低網絡的復雜性����。
b.網絡防病毒系統����。
列車調度指揮系統由網絡服務器、通信傳輸設備及車站終端機等設備組成�����。使用統一安全策略的集中安全管理中心對病毒進行統一管理��,對客戶端和服務器進行防病毒保護����,并且使用云安全技術�,利用大量的客戶端對網絡中軟件行為的異常監測,及時的獲取木馬、惡意程序的最新信息,并將獲得的信息推送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端,以實現系統的網絡安全維護�����。
c.網絡拓撲結構�。
利用網絡分段技術劃分vlan,改變網絡拓撲結構,以實現系統網絡中生產網、辦公網和廣域網的隔離,確保網絡資源與非法用戶的隔離,是一項基本的網絡防護措施和保護手段���。
d.身份認證系統��。
目前采用的以靜態密碼為主的身份認證系統存在安全隱患�����,用戶名及密碼容易被竊取,安全風險很大。使用動態口令可解決此類安全隱患
e.入侵檢測技術��。
入侵檢測的主要功能是控制對網絡的非法訪問��,通過監視��、限制通過網絡的數據流,防止外對內、內對外的非法訪問,隔離內部網和外部網����,為監視局域網安全提供便利�。入侵檢測系統(IDS)是從計算機系統及網絡系統當中收集數據信息���,再通過這些收集的信息�,分析有入侵特征的網絡安全系統[4]。IDS不僅能檢測出系統中違反系統安全規則或者威脅到系統安全的行為����,還可以有效地彌補防火墻的被動防御弱點�。當系統受到攻擊時采取相應的措施進行有效的網絡安全防護�,在被入侵攻擊后,收集入侵攻擊相關的各種信息����,作為防范系統的知識�����,添入策略集,增強系統的防范能力��,避免系統再次受到同類型的入侵[5]�����。
3結語
第9篇
關鍵詞:長慶油田 網絡安全 防范
0 引言
隨著國家信息化建設的快速發展,信息網絡安全問題日益突出���,信息網絡安全面臨嚴峻考驗��。當前互聯網絡結構無序、網絡行為不規范���、通信路徑不確定、IP地址結構無序���、難以實現服務質量保證、網絡安全難以保證��。長慶油田網絡同樣存在以上問題�,可靠性與安全性是長慶油田網絡建設目標。文章以長慶油田網絡為例進行分析說明論文下載�����。
1 長慶油田網絡管理存在的問題
長慶油田公司計算機主干網是以西安為網絡核心�,包括西安、涇渭��、慶陽��、銀川��、烏審旗、延安�、靖邊等7個二級匯聚節點以及咸陽等多個三級節點為架構的高速廣域網絡�����。網絡龐大,存在的問題也很多�,這對日常網絡管理是一份挑戰,由于管理的不完善���,管理存在以下幾個方面問題:
1.1 出現問題才去解決問 我們習慣人工戰術,習慣憑經驗辦事����。網絡維護人員更像是消防員�����,哪里出現險情才去撲救。設備故障的出現主要依靠使用者報告的方式�,網管人員非常被動����,無法做到主動預防����,無法在影響用戶使用之前就預見故障并將其消除在萌芽狀態。因此�����,這種維護模式已經很難保障網絡的平穩運行�,能否平穩影響網絡安全與否。
1.2 突發故障難以快速定位 僅僅依靠人工經驗,難以對故障根源做出快速定位�,影響故障處理����。而且隨著網絡的復雜程度的提高�����,在故障發生時���,難以快速全面的了解設備運行狀況,導致解決故障的時間較長,網絡黑客侵犯可以趁機而來�,帶來網絡管理的風險��。
1.3 無法對全網運行狀況作出分析和評估 在傳統模式下,這些都需要去設備近端檢查,或遠程登錄到設備上查看��,不僅費時費力�,而且對于歷史數據無法進行連續不間斷的監測和保存,不能向決策人員提供完整準確的事實依據,影響了對網絡性能及質量的調優處理����,龐大的網絡系統�����,不能通盤管理,不能保證網絡運行穩定���,安全性時刻面臨問題��。
2 網絡安全防范措施
計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性,為了有效保護網絡安全,應做好防范措施,保證網絡的穩定性����,提高網絡管理的效率��。
2.1 完善告警機制,防患于未然 告警監控是一種手段,設備維護人員�、網絡分析人員需要通過告警信息去分析�、判斷設備出現的問題并盡可能的找出設備存在隱患�,通過對一般告警的處理將嚴重告警發生的概率降下來。告警機制的完善一般從告警信息����、告警通知方式兩方面著手:
2.1.1 在告警信息的配置方面 目前����,長慶油田計算機主干網包括的97臺網絡設備�����、71臺服務器,每臺設備又包含cpu�����、接口狀態�、流量等等性能參數,每一種參數在不同的時間段正常值范圍也不盡相同����。
例如同樣為出口防火墻��,西安與銀川的各項性能閥值的設置也不盡相同,西安的會話數達到25萬����,而銀川的超過20萬就發出同樣的告警�����。再比如,西安電信出口流量在凌晨00:00-6:00只有二���、三十兆的流量是正常的,因為這個時候在線用戶很少,但是如果在晚上8:00-10:00���,流量只有二、三十兆的流量,就要發出告警信息。
因此必須根據監控的對象(設備或鏈路)�����、內容(各項性能指標)以及時間段�,設置不同的觸發值及重置值。
2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕����,所以一方面需要制定相應的運維管理制度和輪班值守職責,另一方面則需要選擇更加人性化的運維管理方式��。維護人員不但需要頁面顯示的告警觸發通知��,也迫切需要在移動辦公狀態或休假狀態第一時間得到預警���,從而做出應有的反應�����,所以我們需要開發出例如聲音、郵件���、短信等多種告警方式。
通過以上兩個方面����,我們可以建成一個完善的故障告警系統���,便于隱患的及時消除���,提高了網絡的穩定性���。
2.2 網絡拓撲的動態化 如果一個個設備檢查起來顯然費時費力����,如果我們能將所有設備的狀態及其連接狀況用一張圖形實時動態的直觀顯示出來,那么無疑會大大縮短故障定位時間(見圖1���,2)。
說明:2009-10-11日17:05�����,慶陽����、延安����、靖邊、銀川四個區域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口�����,以及西峰�、吳起連接慶陽匯聚交換機Z8905-02的千兆光口,以上接口同時發出中斷告警。
因此�,綜合告警信息與全網拓撲圖�,當出現大規模告警的情況下能夠非常高效地找出故障源�,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率�����,提高了網絡的穩定性�。
2.3 全網資源管理的動態化
2.3.1 通過對網管系統的二次開發,實現全網動態資源分析����,他的最重要特點就是動態�,系統通過Polling Engine從設備上自動提取資料數據����,如設備硬件信息、網絡運行數據�、告警信息����、發生事件等�����。定時動態更新,最大限度的保持與現網的一致性��。
2.3.2 通過一個集中的瀏覽器界面上就可以快速�����、充分地了解現有網絡內各種動態和靜態資源的狀況���,徹底轉變了傳統的網絡依賴于文字表格甚至是依賴于維護人員的傳統維護模式����,變個人資料為共享資料��。
2.4 提高安全防范意識 只要我們提高安全意識和責任觀念��,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣,不隨意打開來歷不明的電子郵件及文件�����,不隨便運行陌生人發送的程序;盡量避免下載和安裝不知名的軟件����、游戲程序;不輕易執行附件中的EXE和COM等可執行程序;密碼設置盡可能使用字母數字混排;及時下載安裝系統補丁程序等�����。
總之,影響網絡穩定的因素有很多,本文基于日常網絡安全管理經驗�,從日常網絡管理的角度��,提出一些安全防范措施�����,以期提高網絡穩定性����。
參考文獻
[1]石志國���,計算機網絡安全教程���,北京:清華大學出版社���,2008.
[2]張慶華����,網絡安全與黑客攻防寶典,北京:電子工業出版社����,2007.
