时间:2023-12-01 10:11:43
导语:在网络安全运维技术的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】 医院信息化建设 IT运维与安全管理
引言:
目前,随着信息技术的日新月异和网络信息系统应用的发展,医院、企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。面对日趋复杂的IT系统,不同背景的运维人员已给企事业信息系统安全运行带来较大的潜在风险,如医院信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须加强安全保障体系的建设。于是,堡垒机在医院中的应用,为医院工作的应用提供了安全可靠的运行环境。
传统的网络安全审计系统给医院的的运维安全问题带来了很多风险,如:账号管理无秩序,暗藏巨大隐患;粗放式权限管理的安全性难以保证;设备自身陈旧,无法审计运维加密协议、远程桌面内容等,从而难以有效定位安全事件。
以上所面临的风险严重破坏政府、医院、企业等的信息系统安全,已经成为其信息系统安全运行的严重隐患,尤其是医院,将影响其效益。尤其医院信息系统是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
如何有效监控业务系统访问行为和敏感信息的传播,准确掌握网络系统的安全状态,及时发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求,是企事业迫切需要解决的问题,即IT运维安全管理的变革已刻不容缓!
堡垒机提供一套先进的运维安全管控与审计解决方案,它通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
随着堡垒机在医院中的应用,其主要实现了以下功能:
1)账号管理集中
堡垒机建立于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接,集中管理主账号(普通用户)、从账号(目标设备系统账号)及相关属性。
2)访问控制集中
堡垒机通过集中对应用系统的访问控制,通过对主机、服务器、网络、数据库等网络中所有资源的统一访问控制,确保用户拥有的权限是完成任务所需的最小权限,实现集中有序的运维操作管理,防止非法、越权访问事件的发生。
3)安全审计集中
基于唯一身份标识,堡垒机通过对用户从登录到退出的全程操作行为审计,监控用户对被管理设备的所有敏感的关键操作,提供分级告警,聚焦关键事件,能完成对医院内网所有网上行为的监控和对安全事件及时预警发现、准确可查的功能。
通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等这些情况有较全面的了解。
信息安全是一个动态的过程,要根据网络安全的变化不断调整安全措施,适应新的网络环境,M足新的网络安全需求。
安全管理制度也有一个不断完善的过程,经过安全事件的处理和安全风险评估,会发现原有的安全管理制定中存在的不足之处。根据安全事件处理经验教训和安全风险评估的结果,对信息安全管理策略进行修改,对信息安全管理范围进行调整。
参 考 文 献
[1]赵瑞霞.构建堡垒主机抵御网络攻击[J].网络安全技术与应用,2010,08.
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
一、网络维护及建设
1、城域网维护建设
1)、在分公司的正确领导及相关部门的大力支持下,运维部全体人员的勤奋工作。城域网维护截止11月份,运维部共处理用户故障非电子派单电话报修518次,电子派单3687次,安装用户1869户,搬迁用户288户,平移用户147户,开通副机用户152户,提高了网络覆盖质量,更有力的提升了市场竞争力。
2)新区网络新建工程立项7项,实施7项等几个光节点网络覆盖面积,促进了业务发展和业务收入的增加。
3)、完成城域网建成管道建成4.98千米及配套设施建设。
4)、运维部必须及时认真上报当月的《网络维护月报表》、《安全隐患月报表》、《电子派单周、月报表》、《新装用户月报表》的工作。
2、网络优化建设
运维部在分公司领导的直接指导下,实时对城区网优不彻底区域地点进行不间断的网优及线路改造工作。
3、乡镇网络建设
1)、根据省、地公司和县分公司安排,在分公司领导亲自带领下,年初对全县所辖区乡镇网络进行了数字电视整转前的规划与设计。
2)、20XX年对全县所辖区20个乡镇中16个乡镇的网络进行优化改造及1个乡镇网络的新建工作。
3)、县乡联网乡镇有线电视用户整转平移3540户,乡镇有线新装电视用户1629户。全县乡镇有线数字电视用户总数5169户。
二、加强技术培训,提高队伍素质
运维部承担分公司工程建设的主要队伍,面对工程建设、网络安全干线安全重要任务,要在短时间内保质保量完成,无论是组织工作,还是技术工作都存在较多的难题。为此,分公司把开展技术培训作为一项确保工程质量、进度的重要措施来抓,采取走出去请进来的方式,不但多次派员工参加省、地公司举行培训学习,经常利用部门开会时间组织运维人员进行集中学习培训,还和邻近兄弟公司进行面对面经验和技术的交流,提高了维护人员的技能。
三、存在问题及不足
1、目前运维部整体须加强思想认识、提高工作效率、提升服务水平。
2、特别注重安全生产搞好网络干线巡检工作。
3、运维部目前极其缺乏新技术、新业务的尖端人才,针对下一步的数字双向网络、数据等新业务,加强能承担新的维护任务技术的培训及业务学习。
4、加强运维文档的管理,提高维护质量。做好每月必须及时认真上报的各类报表。
5、随着城区网络的进一步扩大,交通工具的问题不多地制约着运维部的快速反应机制。
四、20**年工作计划
1、继续抓好网络维护质量管理和科技维护水平,提高网络运行质量。
2、继续抓好、抓实省一二干线巡查工作。
3、积极配合做好城域网、本地传输网、城区管道及乡镇网络建设服务等工作的准备开工建设及其他工作任务。
4、按计划搞好网络新建、小区新建的立项及建设和竣工及验收工作。
关键词 大数据 网络安全 态势感知
中图分类号:TP393.08 文献标识码:A
0 引言
对于一个大型网络,在网络安全层面,除了访问控制、入侵检测、身份识别等基础技术手段,需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。对于安全运维人员来说,如何从成千上万的安全事件和日志中找到最有价值、最需要处理和解决的安全问题,从而保障网络的安全状态,是他们最关心也是最需要解决的问题。与此同时,对于安全管理者和高层管理者而言,如何描述当前网络安全的整体状况,如何预测和判断风险发展的趋势,如何指导下一步安全建设与规划,则是一道持久的难题。
随着大数据技术的成熟、应用与推广,网络安全态势感知技术有了新的发展方向,大数据技 术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据技术在安全感知方面的促进做一些探讨。
1 基于大数据的网络安全态势感知
随着网络的发展,大规模网络所引发的安全保障的复杂度激增,主要面临的问题包括:安全数据量巨大;安全事件被割裂,从而难以感知;安全的整体状况无法描述。
网络安全感知能力具体可分为资产感知、脆弱性感知、安全事件感知和异常行为感知4个方面。资产感知是指自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息;脆弱性感知则包括3个层面的脆弱性感知能力:不可见、可见、可利用;安全事件感知是指能够确定安全事件发生的时间、地点、人物、起因、经过和结果;异常行为感知是指通过异常行为判定风险,以弥补对不可见脆弱性、未知安全事件发现的不足,主要面向的是感知未知的攻击。
随着Hadoop、NoSQL等技术的兴起,BigData大数据的应用逐渐增多和成熟,而大数据自身拥有Velocity快速处理、Volume大数据量存储、Variety支持多类数据格式三大特性。大数据的这些天生特性,恰巧可以用于大规模网络的安全感知。首先,多类数据格式可以使网络安全感知获取更多类型的日志数据,包括网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等;其次,大数据量存储与快速处理为高速网络流量的深度安全分析提供了技术支持,可以为高智能模型算法提供计算资源;最后,在异常行为的识别过程中,核心是对正常业务行为与异常攻击行为之间的未识别行为进行离群度分析,大数据使得在分析过程中采用更小的匹配颗粒与更长的匹配时间成为可能。
2目前研究成果
中国移动自2010年起在云计算和大数据方面就开始了积极探索。中国移动的“大云”系统目前已实现了分布式海量数据仓库、分布式计算框架、云存储系统、弹性计算系统、并行数据挖掘工具等关键功能。在“大云”系统的基础上,中国移动的网络安全感知也具备了一定的技术积累,进行了大规模网络安全感知和防御体系的技术研究,在利用云平台进行脆弱性发现方面的智能型任务调度算法、主机和网络异常行为发现模式等关键技术上均有突破,在安全运维中取得了一些显著的效果。
3总结
大数据的出现,扩展了计算和存储资源,提供了基础平台和大数据量处理的技术支撑,为安全态势的分析、预测创造了无限可能。
参考文献
[1] 龚正虎,卓莹.网络态势感知研究[J].软件学报,2010,21(7):1605-1619.
[2] 韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009,46(3):353-362.
关键词:堡垒主机;内控管理;运维审计;实践案例
中图分类号: TP393.08 文献标识码:A 文章编号:1672-3791(2015)05(c)-0000-00
近年来,笔者所在民航系统内的信息化水平正在逐步从初级应用阶段发展至高级应用阶段,而伴随着这个过程产生的信息化应用与信息安全管理的矛盾也愈发突出[1]。笔者所在单位近年来在局域网内先后部署了多项网络安全和网络分析产品,已经形成了较为完善的信息安全防护体系,主要技术人员也积累了运维经验。但信息系统故障等网络安全问题仍然时有发生。通过分析故障产生的原因,发现大部分违规行为竟然来源于一些合法用户的例行操作。传统意义的安全防护系统可以从技术角度解决一些潜在的安全问题,但对于内部人员操作的管理手段不完善带来的数据破坏和泄露可能比技术原因造成的损害更为严重。
国家公安部《信息系统安全等级保护基本要求》中明确规定了二级(含)以上的重要信息系统网络安全、主机安全、应用安全都需要具备安全审计功能[2],所以,根据等级保护要求以及本单位的实际情况,我们迫切需要一种有效的手段来对内部人员的设备维护行为进行控制和审计,解决信息安全管理中遇到的难题。难题具体体现在:运维权限分配复杂、系统密码管理不足、操作风险难以控制、共享账号安全隐患、系统资源授权不清晰、访问控制策略不严格、重要操作无法有效审计等。而以上这些信息安全问题,通过引入内控堡垒主机并结合管理措施之后基本得到了有效解决。
1 内控堡垒主机介绍
1.1 什么是内控堡垒主机?
最早的堡垒主机主要定位于防御外部进攻[3]。通过将其部署在防火墙或路由器之外,可以使那些需要面向外部的服务集中于堡垒主机上进行集中保护,以此来换取内部网络的安全。
而随着信息化应用的日趋复杂,由被动防御型的堡垒主机发展出来了更加偏重于对内部网络、应用和数据进行综合安全保护的管理控制平台,也就是我们所说的内控堡垒主机。它从网络内部出发,通过多种信息安全技术(访问控制、身份认证、虚拟化、协议、操作审计等)实现用户对内部网络资源的安全访问,同时对用户的操作过程形成完整的审计记录。这样的内控平台正可以有效地解决我们在日常运维和内控管理中遇到的难题。
1.2 功能特点
1.2.1 设备的集中管控
内控堡垒主机可以将服务器和网络设备的信息,以及用户信息和访问权限提前配置在堡垒主机中,这样便从传统的分布式管理模式转变成可控的集中式管理模式,以此为基础带来了设备管理效率和安全稳定性的提升。
1.2.2 操作的集中审计
内控堡垒主机通过协议的方式,将原来从某台内网终端直接通过远程连接对网络设备和服务器进行操作的不可控的分散管理方式,转变成为了用户必须集中至堡垒主机的统一入口再对有授权的设备进行操作。而全部操作都通过协议录制得到记录,实现了精细化的集中操作审计。
总之,内控堡垒主机结合了传统的4A 理念,即账号管理、认证管理、授权管理、安全审计,与应用技术,形成了一个完善且可控的远程接入解决方案。一方面,统一身份认证和统一访问授权使得远程接入用户需要通过多种身份认证手段以及基于角色的授权管理才可以接入设备,满足了信息安全等级保护的要求;另一方面,全面的审计功能让管理员不但可以完整录制会话过程,还可以实时监视远程访问会话并及时终止非法操作。
2 制定解决方案
2.1 信息安全等级保护要求
根据信息安全等级保护第三级[4]的相关要求制定内控堡垒主机的解决方案,可以满足在要求中涉及到的网络安全、主机安全、应用安全、数据安全及备份恢复五项技术方面的要求,以及安全管理机构、人员安全管理、系统运维管理三项管理方面的要求。根据要求中的内容以及内控堡垒主机针对每一项提供的解决方案,整理如下表1。
2.2 设计原则
2.2.1 整体安全和全网统一的原则
资源访问的安全设计需要综合考虑信息网络的各个环节和全部实体,然后在不同层次上综合使用多种安全手段,为内部信息网络和安全业务提供管理和服务。
2.2.2 标准化原则
项目的安全体系设计严格遵循了国家标准,如《信息系统安全等级保护基本要求》。在达到标准要求的同时能够使企业内部的信息系统在可控范围内实现安全的互联互通。
2.2.3 需求、风险、成本平衡原则
任何信息系统都无法做到绝对安全,所以设计时就需要明确性能要求以及侧重点,然后从需求出发,在功能、风险和成本之间进行平衡和折中[5]。
2.2.4 实用、高效、可扩展原则
无论现状如何,随着技术发展信息系统仍将不断变化,哪怕在系统实施过程中,系统的结构、配置也会发生变化。所以系统需要有一定的灵活性来适应这些变化,使其符合“有层次、成体系”的标准,既有利于系统安全,又有利于扩展。
2.2.5 技术、管理相结合原则
为了使内控堡垒主机可以发挥其应有的效果,管理者必须首先根据系统的功能特点来重新梳理和完善现有的运行管理机制和安全规章制度,同时对技术人员进行思想教育和技术培训。通过合理的规定和具体培训,才能完成系统的应用。
2.3 设计思路
2.3.1 集中管理模式
管理模式决定了管理的高度,所以明确管理模式应当是我们要确定首要因素。根据多年的运维实践发现,我们对维护人员及其操作的管理手段并未伴随着信息化进程的推进而得到加强,这样导致了人为因素造成的运行故障比例居高不下,缺少有效的审计手段。因此迫使我们必须由分散的管理模式转变为集中的管理模式。集中管理是运维管理思想的必然发展趋势和唯一选择[6]。通常,集中管理包括:集中的资源访问入口、集中的账号管理、集中的授权管理、集中的认证管理、集中的审计管理等等。
2.3.2 访问协议
内控堡垒主机通过对各平台所使用的协议进行来实现对操作行为的审计和监控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平台上的访问协议。
2.3.3 身份授权分离
为避免传统方式的共享账号、弱口令账号等问题导致的安全漏洞,我们的解决思路是将身份和授权分离。首先建立用于身份认证的独立账号体系,然后保留各系统账号但使其由堡垒主机接管并定期更新密码,使得被管理设备本身的系统账号仅用于系统授权而剥离其身份认证功能,有效增强了身份认证和系统授权的可靠性。
2.4 系统构架
我们部署的内控堡垒主机由展现层、核心服务层、接口管理层三层结构组成。
展现层面向用户,集成了多种包括匙扣令牌在内的强身份认证方式,分别对系统管理员和运维用户提供不同的访问操作页面。
核心服务层面向授权和协议,部署在服务器上。在核心服务层上完成账号管理、授权管理及策略设置等操作。其中的协议包含用户输入模块、命令捕获引擎、策略控制和日志服务,所以具备对用户行为进行监视、控制和记录的功能。
接口管理层面向个信息系统,用于实现审计结合、账号同步、认证结合等方面的数据接口工作。另外它还包含应用服务,以此来实现对B/S、C/S、半B/S半C/S系统的单点登录及审计工作。
3 内控堡垒主机的实施
系统的实施过程中,我们将堡垒主机及其应用服务器的部署位置单独剥离开划分为管理区,把内部网络的其他设备如服务器、网络设备、数据库等等划分为业务区。在内控堡垒主机部署上架后,运维人员将集中通过内控堡垒主机对业务区的目标设备进行日常运维操作。
设备上架后,我们需要通过防火墙策略配置解除客户端到堡垒主机及堡垒主机到目标服务器的端口限制。这样当用户访问设备时,堡垒主机才可以完成对TELNET(端口23)、SSH(端口22)、RDP(端口3389)等协议的访问具体设备,并在堡垒主机上完成对设备的单点登录及会话的完整审计。
4 结语
在信息化水平快速发展的今天,技术发展与管理模式相辅相成。信息安全不仅需要先进的设备和娴熟的技术,更需要完善的制度和审计手段。内控堡垒主机的实施切实有效地规范了内外部维护人员对IT基础设施的维护行为,弥补了操作审计空白。它通过集中管理的模式,借助于协议、身份授权分离等技术,极大地减少了维护人员误操作或恶意操作的概率,缩短了故障定位时间。这次内控堡垒主机的实施完善了笔者所在单位的信息安全保护体系,将有助于提高信息系统运行的安全性和稳定性。
参考文献:
[1]潘玉. 新一代堡垒主机[J]. 信息安全与通信保密,2011,05:45.
[2]韩荣杰,于晓谊. 基于堡垒主机概念的运维审计系统[J]. 信息化建设,2012,01:56-59.
[3]赵瑞霞,王会平. 构建堡垒主机抵御网络攻击[J]. 网络安全技术与应用,2010,08:26-27.
[4] 公安部信息安全等级保护评估中心. GB/T 22239-2008, 信息安全技术信息系统安全等级保护基本要求[S]. 北京:中国标准出版社,2008.
[5]韩海航,王久辉. 大型交通网络系统安全保障体系研究[J]. 计算机安全,2007,10:77-80.
[6]吴国良. 面向NGB的网络与信息管控建设[J]. 广播与电视技术,2013,10:28+30-33.
[7]陈旭. IT运维操作管理有效降低企业风险[J]. 高科技与产业化,2010,05:116-119.
>> 物流信息平台网络安全研究 医院网络信息安全需求分析 网络安全管理平台的研究与实现 网络安全管理平台的设计与实现 大数据平台网络信息安全若干问题的分析 视频监控平台网络配置管理的设计与实现分析 Symbian平台网络开发框架的研究与实现 医院信息系统的网络安全建设分析 医院信息系统的网络安全与防范 医院信息系统的网络安全分析与防范 医院信息化建设中网络安全分析与防护 基于医院信息系统的网络安全分析与设计 电力信息自动化网络安全与实现分析 对医院网络安全的分析与研究 结合实例谈谈医院网络架构需求分析与实现 通信市场需求下网络安全技术的开发与实现 针对医院网络安全的分析 医院网络安全管理策略分析 应急平台网络中综合联动实现安全防御的研究 医院网络安全与管理 常见问题解答 当前所在位置:.
[5] 公安部.关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL]. [2007?07?24]..
[6] 国家质监局. GB/T 25070?2010 信息安全技术信息系统等级保护安全设计技术要求[S].北京:中国标准出版社,2010.
[7] 卫生部关于印发《卫生行业信息安全等级保护工作的指导意见[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.
关键词:运行维护;优化原则;发展要求
前 言:
随着通信行业3G时代的到来和中国电信业的重新组合,中国联通、中国电信、中国移动形成“三足鼎立”态势,各大电信公司从原来较单一的电信业务走向全电信业务运营的公司,竞争变得更为激烈,支撑全业务运营的电信运维工作需要进一步整合和优化。运维系统要提供一个高效率高质量高效益的运维工作来应对、支撑市场,服务用户,并已经提到通信工作的最重要的议事日程上来。因此,通信行业的运行维护工作优化的指导思想和原则值得各电信运营商研究和探讨。
一、联通运维工作优化指导思想
联通公司运行维护工作优化指导思想是高效率、高效益、高质量、高标准、高要求、高安全性,保证市场和客户需求的前提下,最大限度地节约资源,创造最大化通信服务收入。以市场和客户需求为导向,以公司化运营和专业化管理为抓手,加强网络规划,优化网络结构,加快工程建设,降低工程造价,促进深度融合,推进节能减排,实现网络公司运营管理的新突破。
二.电信行业运行维护发展要求
电信行业运行维护工作主要考虑四方面工作:运行维护系统的组织架构、故障处理与网络优化工作、面向客户的市场应对工作、成本管控工作等,这是运维工作的“四根柱子”,是运维工作的骨干,支撑着运维系统的大部分工作。只有运维组织架构合理布局,才能发挥运维系统的整体作用;只有发挥故障处理与网络优化工作的作用,才能达到运维应有的效率;只有以面向客户的运维系统,才能发挥运维体系应有的、抢占市场的作用和地位;只有很好地进行成本管控,才能充分发挥运维系统的效益作用;总之,四项工作部分互相作用,相辅相承,共同构建了运维体系。
从电信行业运行维护发展要求来看,网络安全、质量可靠是网络运维的基本要求、第一要求、强制性要求。网络安全、质量可靠才能保障业务运行。随着市场竞争的加剧和企业自身管理管理要求的提升,运维工作的要求从单纯地保障网络安全、质量可靠,向精细运营管理的更深层次转变,自80年代以来,运维发展的要求伴随着电信运营市场化的进程一直处于变中求进的状态,总体趋向基本明朗。80年代,运维发展的要求是保障网络安全、质量可靠;90年代,注重运维效益;“十五”期间,强调运维服务;“十一五”~未来期间,将向运维提出效益要求,通过现代化运维管理转型,在满足基本要求的基础上,降低运维成本、延伸运维服务范围、拓展服务能力,提升运维价值,创造更多效益。这也是网络运维者与网络经营者的基本区别。在不同的历史发展阶段,运维发展要求见图2-1。
通过运维体系的构建,创建运维能力,通过运维能力的提升,满足运维发展的深层次要求,这是它们之间的辨证关系。
三、联通运行维护工作优化原则
3.1 面向客户的原则
运维的一切工作都应建立在面向用户的基础上,提高服务质量,提高用户感知,提升用户满意度。电信行业的运维工作主要目的是为了获取用户,创造收入,赢得市场。因此,一切工作都应该是面向客户,围绕客户来开展工作,包括根据客户需求量身定做提供个性化方案;根据客户要求制作服务承诺、服务标准,并在此标准和承诺下提高服务质量,提供专业化服务;制作服务流程,安全、便捷提供服务等。
3.2 提升效率和效益原则
评价电信行业运维工作水平是否先进,是否科学,已经把运维效率和效益作为最高标准,提高到最重要的议事日程上来;而运维效率和效益提高最终也体现了对市场的占有率和利润率的提升上。效率体现了公司的管理水平和运作能力,而网络效益在竞争中体现得更为重要;因为在电信运营企业中运维网络资产约占公司资产的90%以上,运维成本占公司运营成本的40%以上,因此,清理和管理好运维资产,盘活运维资源是提升整个运维效益的重要工作,而提升运维效益已成为运维工作的主题,也是公司运营成功与否的最关键环节之一。信息技术与专业技术和管理的融合,创造了提升效率和效益的新的巨大空间。
3.3 长远规划与近期维护相结合的原则
维护工作与长远规划密切相关,也影响到近期维护成本,更是影响到各级领导的业绩和政绩。长远规划要考虑设备长远的可维护性和可扩容性,因此从评价指标的设立上,要综合考虑长远规划与近期维护的关系,在效益最大化的基础上,进行决策和取舍。运维工作也应充分考虑适当超前规划、设计、投资,建设;考虑维修与更新的性价比和回收期。
3.4跳出运维做运维原则
做运维工作要比其它职能部门站得更高,看得更远,要树立“运维也是一种经营”的理念,要作“收入-支出=利润”的回收期的分析,充分评价其价值,要有一系列的投入产出评价体系。做好运维工作不仅仅是做好运行与维护工作,而且要站在抢占市场,服务客户,争创收入和提高市场占有率,降低成本,利润最大化的高度去考虑问题.
3.5 人性化管理原则
运维工作是一项长期,艰苦的、技术含量较高的工作,处理好干部员工的工作与休息至关重要。所谓人性化管理,就是一种在整个企业管理过程中充分注意人性要素,以充分开掘人的潜能为己任的管理模式。至于其具体内容,可以包含很多要素,如对人的尊重,充分的物质激励和精神激励,给人提供各种成长与发展机会,注重企业与个人的双赢战略,制订员工的职业生涯规划,等等。 人性化管理是将人性学理论应用于管理,按照人性基本属性进行管理的管理哲学。因此,必须对人性有所了解。
3.6 规模经济原则
规模经济是由于生产专业化水平的提高等原因,使企业的单位成本下降,从而形成企业的长期平均成本随着产量的增加而递减的经济。通信业是全程全网,具有规模经济效应。在运维工作中,要有全局观,规模发展观,不要故此失彼,只见树叶,不见森林。
通信行业的规模经济可以实现通信产品规格和服务的统一和标准化;可以通过扩大用户群,在减少内部网间费用的结算,而使降低单位成本;可以使运维工作的技术人员的专业化和精简化,提升技术;有利于新产品开发和利用,拓展市场空间,从而提升企业的竞争力。
3.7预防先于抢修的原则
做好运维工作就是做好”防火”工作和”救火”工作二项工作,二项工作同时进行,而且”防火”工作更是应该放到第一位的位置上来。通过管理规范化、监控集中化、手段信息化,借助各种工具(如仪器仪表等),了如指掌地掌握各项运行资源和整个网络结构,通过一张地图进行通信网络的运行维护的“指挥作战”。
结束语
简而言之,联通运维工作也要充分体现“一切为了用户,一切为了收入,一切为了利润”的总原则。
参考文献:
【1】季福坤等 数据通信与计算机网络技术 中国水利水电出版社 2003
列车调度指挥系统用于保障铁路行车的安全,而安全问题又是铁路行业的头等大事,由于铁路与网络的联系愈加紧密,保障列车调度指挥系统安全就尤为重要。其系统网络安全主要是中心服务器安全和网络安全。另外列车调度指挥系统使用以太网来传输各种调度信息,网络内部广泛采用的协议是TCP/IP协议,TCP/IP协议为实现网络信息的共享和传递起了举足轻重的作用,虽然一定程度上可以维护网络安全,但还存在一些安全漏洞:
a.身份认证方式的安全性较弱,口令容易被非法窃取。
b.机密信息和数据在传输过程中有可能被恶意篡改或被非法窃取。
c.信息可抵赖。
例如行车路线、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录作为仲裁的依据。就以上存在的安全问题可总结出系统网络受到的危险和风险为:网络病毒的传播;地址欺骗;序列号攻击;利用端口扫描、拒绝服务攻击等恶意攻击。虽然现在网络中存在安全机制,但没有一种安全策略是十全十美的,必须制定灾难恢复计划以确保一旦硬件和软件发生故障、系统受到恶意攻击时,能够及时采取应对措施,及时将列车调度指挥系统恢复正常运行,减小损失[3]。
2列车调度指挥系统网络的维护方案与管理
实施时应将管理与技术两手抓,具体方案和措施如下:首先,管理层面应考虑管理制度的建立、管理的组织及运行中的维护。系统安全不可能只从单个层面或单个环节就可解决,必须全方位多层面配合进行,建立统一的安全策略,完善管理制度,坚持运维。统一的安全策略可以规范整个系统的管理流程和管理方法,便于管理的组织和实施,而只有坚持运维才能够保证系统长期、稳定、有效的运行。其次,在技术层面应注意物理安全、网络安全、系统安全及应用安全等方面,在使用中,技术层面的安全问题分界模糊,可以交叉实现,具体可由以下几方面入手:
a.防火墙。
防火墙技术是实现子网边界安全的重要技术。可以将整合了多功能的防火墙作为核心设备在网络中取代路由的位置,这样可以有效防护来自网络层和应用层的威胁,并且还能降低网络的复杂性。
b.网络防病毒系统。
列车调度指挥系统由网络服务器、通信传输设备及车站终端机等设备组成。使用统一安全策略的集中安全管理中心对病毒进行统一管理,对客户端和服务器进行防病毒保护,并且使用云安全技术,利用大量的客户端对网络中软件行为的异常监测,及时的获取木马、恶意程序的最新信息,并将获得的信息推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,以实现系统的网络安全维护。
c.网络拓扑结构。
利用网络分段技术划分vlan,改变网络拓扑结构,以实现系统网络中生产网、办公网和广域网的隔离,确保网络资源与非法用户的隔离,是一项基本的网络防护措施和保护手段。
d.身份认证系统。
目前采用的以静态密码为主的身份认证系统存在安全隐患,用户名及密码容易被窃取,安全风险很大。使用动态口令可解决此类安全隐患
e.入侵检测技术。
入侵检测的主要功能是控制对网络的非法访问,通过监视、限制通过网络的数据流,防止外对内、内对外的非法访问,隔离内部网和外部网,为监视局域网安全提供便利。入侵检测系统(IDS)是从计算机系统及网络系统当中收集数据信息,再通过这些收集的信息,分析有入侵特征的网络安全系统[4]。IDS不仅能检测出系统中违反系统安全规则或者威胁到系统安全的行为,还可以有效地弥补防火墙的被动防御弱点。当系统受到攻击时采取相应的措施进行有效的网络安全防护,在被入侵攻击后,收集入侵攻击相关的各种信息,作为防范系统的知识,添入策略集,增强系统的防范能力,避免系统再次受到同类型的入侵[5]。
3结语
关键词:长庆油田 网络安全 防范
0 引言
随着国家信息化建设的快速发展,信息网络安全问题日益突出,信息网络安全面临严峻考验。当前互联网络结构无序、网络行为不规范、通信路径不确定、IP地址结构无序、难以实现服务质量保证、网络安全难以保证。长庆油田网络同样存在以上问题,可靠性与安全性是长庆油田网络建设目标。文章以长庆油田网络为例进行分析说明论文下载。
1 长庆油田网络管理存在的问题
长庆油田公司计算机主干网是以西安为网络核心,包括西安、泾渭、庆阳、银川、乌审旗、延安、靖边等7个二级汇聚节点以及咸阳等多个三级节点为架构的高速广域网络。网络庞大,存在的问题也很多,这对日常网络管理是一份挑战,由于管理的不完善,管理存在以下几个方面问题:
1.1 出现问题才去解决问 我们习惯人工战术,习惯凭经验办事。网络维护人员更像是消防员,哪里出现险情才去扑救。设备故障的出现主要依靠使用者报告的方式,网管人员非常被动,无法做到主动预防,无法在影响用户使用之前就预见故障并将其消除在萌芽状态。因此,这种维护模式已经很难保障网络的平稳运行,能否平稳影响网络安全与否。
1.2 突发故障难以快速定位 仅仅依靠人工经验,难以对故障根源做出快速定位,影响故障处理。而且随着网络的复杂程度的提高,在故障发生时,难以快速全面的了解设备运行状况,导致解决故障的时间较长,网络黑客侵犯可以趁机而来,带来网络管理的风险。
1.3 无法对全网运行状况作出分析和评估 在传统模式下,这些都需要去设备近端检查,或远程登录到设备上查看,不仅费时费力,而且对于历史数据无法进行连续不间断的监测和保存,不能向决策人员提供完整准确的事实依据,影响了对网络性能及质量的调优处理,庞大的网络系统,不能通盘管理,不能保证网络运行稳定,安全性时刻面临问题。
2 网络安全防范措施
计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性,为了有效保护网络安全,应做好防范措施,保证网络的稳定性,提高网络管理的效率。
2.1 完善告警机制,防患于未然 告警监控是一种手段,设备维护人员、网络分析人员需要通过告警信息去分析、判断设备出现的问题并尽可能的找出设备存在隐患,通过对一般告警的处理将严重告警发生的概率降下来。告警机制的完善一般从告警信息、告警通知方式两方面着手:
2.1.1 在告警信息的配置方面 目前,长庆油田计算机主干网包括的97台网络设备、71台服务器,每台设备又包含cpu、接口状态、流量等等性能参数,每一种参数在不同的时间段正常值范围也不尽相同。
例如同样为出口防火墙,西安与银川的各项性能阀值的设置也不尽相同,西安的会话数达到25万,而银川的超过20万就发出同样的告警。再比如,西安电信出口流量在凌晨00:00-6:00只有二、三十兆的流量是正常的,因为这个时候在线用户很少,但是如果在晚上8:00-10:00,流量只有二、三十兆的流量,就要发出告警信息。
因此必须根据监控的对象(设备或链路)、内容(各项性能指标)以及时间段,设置不同的触发值及重置值。
2.1.2 告警通知方式的多样化 任何时间我们都无法保证能全天候死盯着屏幕,所以一方面需要制定相应的运维管理制度和轮班值守职责,另一方面则需要选择更加人性化的运维管理方式。维护人员不但需要页面显示的告警触发通知,也迫切需要在移动办公状态或休假状态第一时间得到预警,从而做出应有的反应,所以我们需要开发出例如声音、邮件、短信等多种告警方式。
通过以上两个方面,我们可以建成一个完善的故障告警系统,便于隐患的及时消除,提高了网络的稳定性。
2.2 网络拓扑的动态化 如果一个个设备检查起来显然费时费力,如果我们能将所有设备的状态及其连接状况用一张图形实时动态的直观显示出来,那么无疑会大大缩短故障定位时间(见图1,2)。
说明:2009-10-11日17:05,庆阳、延安、靖边、银川四个区域的T1200-02的连接西安的2.5GPOS口,泾渭T1200-01连西安的2.5GPOS口,以及西峰、吴起连接庆阳汇聚交换机Z8905-02的千兆光口,以上接口同时发出中断告警。
因此,综合告警信息与全网拓扑图,当出现大规模告警的情况下能够非常高效地找出故障源,避免了一步步繁琐的人工排查,从而达到有效提高故障的解决效率,提高了网络的稳定性。
2.3 全网资源管理的动态化
2.3.1 通过对网管系统的二次开发,实现全网动态资源分析,他的最重要特点就是动态,系统通过Polling Engine从设备上自动提取资料数据,如设备硬件信息、网络运行数据、告警信息、发生事件等。定时动态更新,最大限度的保持与现网的一致性。
2.3.2 通过一个集中的浏览器界面上就可以快速、充分地了解现有网络内各种动态和静态资源的状况,彻底转变了传统的网络依赖于文字表格甚至是依赖于维护人员的传统维护模式,变个人资料为共享资料。
2.4 提高安全防范意识 只要我们提高安全意识和责任观念,很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯,不随意打开来历不明的电子邮件及文件,不随便运行陌生人发送的程序;尽量避免下载和安装不知名的软件、游戏程序;不轻易执行附件中的EXE和COM等可执行程序;密码设置尽可能使用字母数字混排;及时下载安装系统补丁程序等。
总之,影响网络稳定的因素有很多,本文基于日常网络安全管理经验,从日常网络管理的角度,提出一些安全防范措施,以期提高网络稳定性。
参考文献
[1]石志国,计算机网络安全教程,北京:清华大学出版社,2008.
[2]张庆华,网络安全与黑客攻防宝典,北京:电子工业出版社,2007.
购物车(0)