时间:2023-09-14 17:42:05
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全的应急预案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、网络安全责任工作责任制落实情况方面。加强领导,成立了网络安全工作领导小组。为进一步加强全局信息网络系统安全管理工作,我局成立了以陈敏局长为组长、分管领导倪彬副局长为副组长、办公室人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:局长为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。
二、网络安全制度建设情况。为确保计算机网络安全,实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等保障制度。同时,信息安全工作领导小组具有畅通的24小时联系渠道,可以确保能及时发现、处置、上报有害信息。
三、自查工作组织开展和问题整改情况。在接到通知后,我局立刻安排专人对局网络全面自查,进一步加强我局网络安全,并对部分需要计算机设备进行了升级,为主要计算机配备了UPS,每台终端机都安装了防病毒软件,硬件的运行环境符合要求;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
四、今年5月以后我局再无使用“向日葵控控”等远程控制工具。
五、网络安全能力建设情况。为保证网络及各种设备安全有效地运行,减少病毒侵入,就网络安全及信息系统安全的相关知识对有关人员进行了培训。期间,各计算机使用人员及管理人员对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复,学习到了实用的网络安全防范技巧,促进了计算机使用人员对网络信息安全的认识力度。
六、网络安全应急预案制修订和应急演练开展情况。利用此次检查契机,制定切合我局网络安区应急预案,并每月月初月末进行一次网络排查、杀毒应急演练。
七、存在的问题和意见建议。1、存在的主要问题:一是由于本单位计算机网络方面的专业技术人员较少,网络安全方面可投入的力量有限。二是规章制度体系初步建立,可能还不够完善,未能覆盖到网络与信息系统安全的所有方面。2、整改措施:一是要继续加强对本单位工作人员的安全意识教育,提高做好安全工作的主动性和自觉性。二是安排专人,密切监测,随时随地解决可能发生的信息系统安全事故。
八、下一步工作计划。通过本次网络安全自查工作,我局发现在网络管理过程中的一些薄弱环节,比如:我局职工网络安全意识不够强;专业技术也有带欠缺;管理制度也不够完善。在以后的工作中,我们将进一步加强安全意识教育和专业技能训练,定期对员工进行培训,注重人防与技防结合,并制定一套完善的网络安全管理制度,确实做好我局网络安全工作。
一、严格执行网络安全制度,压实网络安全责任
****制定了《国家统计局**调查**网络信息安全管理办法》《国家统计局**调查**网络安全应急预案》,明确**长为第一责任人,信息管理员为管理责任人,计算机使用人为直接责任人,严格执行网络安全责任制,压实网络安全责任。
****对网络安全工作提出明确要求,要求全体干部职工在使用计算机及其设备时严格贯彻《应急预案》要求,及时截图、拍照、断网并通知信息管理员,在发生网络安全事件(故)时****信息管理员第一时间上报总**,便于后续检查处理。
二、高度重视网络安全工作,加强检查组织领导
****高度重视2019年网络安全检查工作,在接到通知后及时召开**委会扩大会议研究网络信息安全工作,会上全文学习了总**《关于开展全省调查**系统2019年网络安全检查工作的通知》,成立了以**长为组长,办公室负责人、保密人员及信息网络管理员为组员的网络安全检查工作领导小组,压实网络安全检查责任,为网络安全自查工作提供了组织保障。
三、全面开展网络安全自查,开展“三大安全”排查
****根据《通知》要求严格开展自查工作,严格落实工作责任,加强日常监督检查,重点抓好“三大安全”排查。
(一)网络安全排查。
****对全**个人IP地址重新梳理、登记,检查全**人员开机密码是否符合网络信息安全工作要求,并提醒要定期修改开机密码以保障信息安全;检查是否安装并使用电脑安全客户端、北信源、Office等正版软件,是否及时更新系统补丁和防病毒软件病毒库,是否使用专杀软件进行全盘扫描、查杀病毒,是否及时删除死链、坏链,是否关停不再使用的各类主机和应用,是否关闭不必要的服务和端口。目前****全体工作人员个人办公计算机均满足上述要求,不存在因漏洞导致被入侵利用、传播病毒和木马的问题。
****内网网站及微信公众号设定专人专职管理,对的信息进行严格审核,层层把关,定期维护单位内网并更新网站内容,确保信息更新及时,无安全隐患。
****VPN遵循专人管理、专人使用原则,根据总**要求填写并及时寄送《VPN账号申请表》,建立了VPN使用台账,坚持先申请后使用,确保VPN使用安全可靠。
(二)硬件安全排查。
经过排查,****在用计算机共19台,每台计算机均按要求做到了系统补丁到位,杀毒软件、安全终端软件安装到位,远程控制端口关闭到位,安全密码设置到位确保网络安全防线扎实牢靠。
经过排查,****坚持规范化管理办公相关硬件设备,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品。
在设备维护方面,****和一家专业可靠的设备维护公司签订了设备维护协议,公司来人对设备进行维护时,信息网络专员全程陪同,进一步规范了设备的维护和管理。
(三)应用安全排查。
****对计算机及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面强化信息安全教育、提高员工计算机技能,通过在**内开展网络安全知识宣传,使全体人员意识到网络信息安全的重要性,要求全体职工自觉做到一是来历不明的邮件不点击,可疑的网站不访问,非正规软件不安装,使用U盘光盘传输文件时务必先杀毒;二是严禁在内外网之间、家用与办公用之间进行复制和交换与工作无关的文件、程序和游戏;三是下班离开单位前务必关闭终端计算机;四是各专业数据上报平台由各专业人员修改初始密码并自行保管;五是禁止将工作文件放到互联网网盘、云盘,上传到QQ、微信等群中,并杜绝上传涉及业务、数据等敏感信息,切实做到“涉密不上网,上网不涉密”。
四、针对自查及时整改,持续推进网络安全工作
****在自查过程中发现管理方面存在一些薄弱环节,下一步将从以下两个方面进行整改。
(一)针对机房环境不够整洁问题,****要求专职人员限期整改,将机房内无关物品挪出,并做好防鼠、防火、防水等安全工作,确保机房环境干净整洁、安全有序。
关键词 二次系统;网络;安全防护;预案
中图分类号TP39 文献标识码A 文章编号 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力系统生产、经营和服务相关,而且与电网调度、与控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。
随着通信技术和网络技术的发展,接入电力调度数据网的电力控制系统越来越多。电力系统一次设备的改善,其可控性已满足闭环的要求。随着变电集控所模式的建立、变电站减人增效,大量采用远方控制,这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术和因特网已得到广泛使用,使得病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
1福州地区电网二次系统网络安全评估概述
1.1 概况
福州地调二次系统安全评估包括:二次系统资产评估、网络与业务构架评估、节点间通信关系分析、二次系统威胁评估、现有防护措施评估、主机安全性评估、网络系统评估、安全管理评估、业务系统安全评估、二次系统风险计算和分析、安全建议等评估内容,评估之后针对系统的薄弱点进行安全加固,并制定《福州局电力调度自动化系统应急预案体系》,提高调度自动化系统运行的可靠性,安全性,有效预防和正确、快速处置电力调度自动化系统瘫痪事件,不断提高福州电网预防和控制调度自动化事件的能力,最大限度地减少其影响和损失,保障电网的安全运行。安全评估的实施基本流程如图1所示。
1.2 网络安全评估的过程
1.2.1资产调查
资产调查作为信息收集的一个关键步骤,是开始安全评估工作的第一步,也是安全加固工作的基础,其主要目的是准确全面的获得被评估系统的信息资产清单。
因此,在进行评估项目实施时,我们很重视资产调查的过程和方法,以期收集到准确、全面的信息资产清单。对于每一个资产来说,都需要比较准确的收集各项属性,因此我们计划整个资产调查过程如下,以确保我们的资产调查目标的实现。
1.2.2采用了正向测试与逆向渗透相结合的漏洞深度检测方法
在本项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。应用正向测试与逆向渗透相结合的漏洞深度检测方法,对电力二次系统主机信息安全进行分析。
1.2.3采用了远程漏洞扫描与本地主机自动化脚本检测相结合的脆弱性获取方法
渗透测试主要依据安全专家已经掌握的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的测试将在授权和监督下进行。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业机能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
1.2.险计算和分析
信息安全风险评估的风险计算部分主要以业务系统作为风险计算和分析的对象,以福州电业局本部为例,本次对福州电业局SCADA系统、电能量采集系统、OMS系统和DMIS网站共4个业务系统进行了评估和测试,各个业务系统的信息资产价值、威胁发生可能性和脆弱性严重程度的进行赋值,并通过风险计算,得出风险计算结果,确定各个系统的危险程度,找到业务系统的安全薄弱点。
1.2.5安全建议
根据计算出来的安全结果,通过管理和技术等两方面来加强网络设备和安全设备的安全性,对访问重要设备的用户应遵循一定规章制度,对网络配置的更改、权限的分配要及时进行记录备份归档。
对重要业务系统和服务器进行定期的漏洞病毒扫描,对扫描结果进行分析记录并归档。对新系统上线前应进行扫描和加固,对扫描的日志及时进行安全审计并归档。
对网络运行日志、操作系统运行日志、数据库运行日志、业务系统运行日志进行定期的安全审计并提交安全审计记录和报告,对报告中的非法行为应及时报告并处理。
对于网络设备和安全设备的配置日志应另存储在日志服务器中,而非存储在本地路由器或是交换机上,并定期的进行备份归档。对于日志的种类应当包括所有用户对网络设备和安全设备的查看、更改等。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2地区电网自动化系统整体应急预案体系建设
2.1应急预案体系的出现
现阶段地区调度自动化各系统联系紧密,单个系统的故障将连锁影响多个其他系统运行,电力调度数据网建设向县调及110kV变电站延伸,接入系统种类日趋复杂,二次安全防护木桶效应日趋明显。由于系统风险主要来自于病毒及相关联系统的故障,故障类型复杂并存在触发或并况,应急预案的思路逐步摆脱了自动化单个系统预案的思路,慢慢向以自动化二次整体应急预案体系进行转变。该思路面对系统出现严重故障时,整体地考虑恢复手段及措施,隔离故障区域,屏蔽受影响系统的部分功能,将日常人工或自动备份的硬件及软件快速导入故障设备,恢复系统。在日常备份及演练过程中,综合考虑各系统间的互补能力和约束条件,并切合地调实际,高效率低成本地实现该预案体系。该体系重视系统整体恢复的效率和日常投入成本的二维标准,兼收并蓄各种技术手段和管理手段的优势。
2.2 应急预案体系的特点
该预案体系适应自动化系统日益联系紧密的特点,摆脱之前针对某一系统制定预案的思路,采用“整体考虑,互为备用,分散管理,集中恢复”总体思路,避免出现系统孤岛,综合考虑,兼顾各个系统及全面事故预想,具有兼容性强,各子系统预案操作性强,入门要求低,恢复手段有效快速,投资成本低,日常维护工作量少,实用化推广价值高的特点。
预案体系总体框架图各子预案关联关系图
2.3 预案体系各个子预案之间的关系
2.3.1共存关系
各预案体系间存在互相引用,互为补充关系。简化了对预案编写的复杂程度,将复杂的系统问题转化成为多个专项问题来解决。
集控系统资源成为EMS预案中的备用设备,将整体自动化系统一体化考虑,互为备用,充分利用资源,降低预案成本。
2.3.2互斥关系
预案体系中的电源子预案和其他预案间存在互斥关系,当涉及到整体电源异常时,就要考虑牺牲小系统,保全大系统的整体
3 结论
本项目对地区电网二次系统网络安全防御体系开展了专题研究与实践,研究结果有效提高了地区电网二次系统网络的安全防御能力,对网省调度中心乃地市电业局的二次系统安全建设都起到了重要的指导意义。项目根据研究结果构建了调度自动化应急预案体系以及与之相配套开发的快速备份恢复系统,投资少,效益高,为电网的安全可靠运行提供坚强的技术支撑。该项目的开展促进了调度中心对现有二次系统安全现状和存在的各种安全风险有了深入的了解 ,确保调度中心对二次系统中存在的各种安全风险采取相应的网络安全手段和部署选用必要的安全产品 ,对今后全省乃至全国地区电网二次系统网络安全建设具有重要的指导意义。
参考文献
[1]张王俊,唐跃中,顾立新.上海电网调度二次系统安全防护策略分析.电网技术,2004(18).
[2]王治华.安全运营中心及其在调度中心二次系统中的应用.电力系统自动化,2007(22).
[3]陈文斌.电力二次系统网络与信息安全技术研究.电工技术,2008(11).
[4]民,辛耀中,向力,卢长燕,邹国辉,彭清卿.调度自动化系统及数据网络的安全防护.电力系统自动化,2001(21).
[5]葛海慧,卢潇,周振宇.网络安全管理平台中的数据融合技术 .电力系统自动化,2004(24).
[6]胡炎,辛耀中.韩英铎 二次系统安全体系结构化设计方法.电工技术,2003(21).
[7]程碧祥,电力调度自动化系统中物理隔离技术的研究与应用.电工技术,2008(1).
关键词:数字化;校园网;网络风险;安全管理
社会要发展,人类要进步,必须依靠教育;而人类要实现真正的数字化目标,也必须依赖于教育的信息化发展。现代信息技术在教育领域的广泛应用,促进了教育理念、教育手段和教育方式的变革。 “数字化校园建设”是时展的必然结果,是数字时代学校建设与发展的必然选择,是学校校园文化、育人环境构建与发展的必然选择。
一、数字化校园的建设
首先我们要了解几个概念:数字化,是指利用计算机信息处理技术把声、光、电、磁等信号转换成数字信号,或把语音、文字、图象等信息转变为数字信息,用于传输与处理的过程,体现出智能化、个性化、网络化三个方面的特征。数字化校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(设备、教室等)、资源(图书、课件、素材)到活动(教、学、管理、服务、娱乐)的全部数字化,从而在传统校园的基础上构建一个数字空间,拓展现实校园的时间和空间维度,扩展传统校园的功能,最终实现教育过程的全面信息化。数字化校园将把学校中的管理和教学带入一个全新的网络信息化时代,是以数字化的方式来体现我们的工作、学习、交流与管理,是一种全新的生活、学习和管理模式。
一、高校数字化校园的基础构架
1、校园计算机网络平台的建设
校园网及分布于不同物理位置的数字化设备,是开展数字化教学的重要基础设施。必须建设一个宽带、高速、可靠、安全的,有线和无线相结合的,遍布校园各个角落的多媒体网络平台,建设一批实施数字化教学的网络教室、多媒体教室和用于自学、自主实验的电子阅览室、DIY实验室等。
2、知识库和信息库的建设
包括课件库、辅助资源库、电子图书馆等,把有特色的成熟的课件、教案、教学实践等资源集成为课件库,把教学背景资料、史料、案例、教学参考资料集成为辅助资源库,把图书馆建设成检索方便、涵盖全面的电子图书馆。这是数字化校园丰富的、赖以生存的资源基础。
3、应用系统的建设
应用系统是教育教学的行为体现,完成教学资源的调度,为学习者创设学习情景,提供学习服务,为教师提供方便的教学环境和引导环境,为管者提供高效的管理环境。适于不同的需求,应用系统应涵盖传统意义上的管理信息系统、办公自动化系统、网上教学系统等,如基于 web的公共信息系统和电子公文流转系统、教育信息管理系统、开放资源管理系统、基于用户的网络和桌面管理系统、电子身认证系统等。
二、高校数字化校园建设的网络环境
1、无线局域网络(Wireless Local Area Networks,WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency,RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化,便利走天下”的理想境界。
2、3G即三代移动通信技术(3rd-generation,3G),是指支持高速数据传输的蜂窝移动通讯技术。3G的典型特征是能够同时提供语音及数据的高速无线移动服务,速率一般在几百kbps以上。
三、高校数字化校园建设的方向
1、完善数字化校园运行服务体系
为了数字化校园的稳定运行,信息主管部门应做好用户服务、技术支持、应用管理和系统管理四个方面的工作。用户服务指直接为最终用户提供问题解答、操作指导、密码修改等服务;技术支持指为学校各部门提供软、硬件系统运行过程中的技术指导与服务;应用管理指为保证信息系统的稳定、高效运行而相应应用系统进行的安装、配置、优化、监视等运行维护工作;系统管理指设计、安装、配置、优化、监视网络、服务器及数据库等基础软件系统,以及电子邮件、Web主页、FTP等基本网络服务系统的运行维护。
2、提高网络的安全性与可靠性
运行畅通、安全稳定、可控可管的网络是现代高校校园网络的目标,也是数字化校园运行的有力保障。高校应推行校园网“三全机制”,即全网认证、全网监控、全网防毒,有效监管和记录网络用户的上网行为并有针对性的制定用户管理策略;建立校园网络应急预案,包括校园网络安全应急预案、重要服务器和核心设备故障应急预案、数据中心异常应急预案等,以应对数字化校园运行过程中出现的异常状况;做好数据备份工作,包括异地备份、双机备份、多介质备份等,以保证数据完整性和安全性;建立校园网络安全日志管理系统。
3、云计算在校园网中的作用
云计算应用于校园网需要其提供IT基础架构,而不需购买昂贵的硬件设备。可以在信息传输的基础设施的建设上实现覆盖全面化、性能最优化、规模最大化、费用最低化,同时还能满足教育网络所需的实用性、稳定性、安全技术先进性等多方面需求。
二、高校数字化校园的安全管理
高校校园网作为数字化校园的重要基础,担当着学校教学、科研、管理和对外交流等重要任务,为学校的教育、教学、生活提供了极大的方便,如何使校园网免受黑客的入侵、病毒的侵袭和其他不良意图的攻击等风险,已经成为高校需要解决的重大问题,安全管理已是高校数字化校园建设后期的重要任务。
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校必须建立一套校园网络安全管理模式,制定有详细的安全管理制度,确定安全管理等级和安全管理范围;制订有关网络操作使用规章制度;制定网络系统的维护制度和应急措施等;构建安全管理平台,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,实现校园网的安全管理。
(一)、物理安全对策
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致的破坏。它主要包括两个方面:
1、环境安全。对系统所在环境的安全保护,如区域保护和灾难保护;
2、设备安全。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
(二)、逻辑安全对策
尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用程序;对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用,并及时给系统打补丁,系统内部的相互调用不对外公开。
在应用系统安全上,应用服务器尽量不要开放一些不常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如TELNET、RLOGIN等服务;加强登录身份认证,确保用户使用的合法性,严格限制登录者的操作权限;充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
三、安全管理对策
1、领导高度重视
对网络安全而言,领导重视更重要。网络安全管理是一个动态的系统工程,仅靠技术老师的工作职能无法完成。
2、随需求确定安全管理
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。应该遵照国家和学校有关信息安全的技术标准和管理规范,针对学校专项应用,对数据管理和系统流程的各个环节进行安全评估,确定使用的安全技术,设定安全应用等级,明确人员职责,制定安全分步实施方案,达到安全和应用的科学平衡。
3、建立严格制度的文档
网络建设方案;机房管理制度;各类人员职责分工;安全保密规定;网络安全方案;安全策略文档;口令管理制度;系统操作规程;应急响应方案;用户授权管理;安全防护记录;定期对系统运行、用户操作等进行安全评估,提交网络安全报告以及全面建立计算机网络各类文档,堵塞安全管理漏洞。
三、结束语
高校数字化校园是一个动态发展过程,数字化校园的建设也是一个不断发展的过程,需要我们不停的努力探索;校园网络安全及技术防范任重而道远,网络安全防范体系的建立不可能一劳永逸。对网络安全的防范策略也要不断改进,保证网络安全防范体系的良性发展,确保高校数字化校园朝着健康、安全、高速的方向发展。
参考文献
[1]万里鹏等.中国高校数字化校园建设与思考[J].情报科学.
根据州综合行政执法局《关于开展网络安全自查自检工作的通知》的要求,积极安排部署,结合检查内容及相关要求,成立专门的领导小组,由局长任组长、下设办公室,做到分工明确,责任到人,对局所有的计算机及网络安全情况进行自查,确保网络安全自查工作顺利实施。
二、网络安全等级保护工作开展情况
按照县级网络安全主管部门的工作要求将网络安全保护工作纳入日常工作中,要求网络安全负责人员以高度的责任感负责日常网络安全检查工作,任何个人不得在办公电脑上使用违反网络安全的软件,一旦发现将交由相关部门处理。但是暂未将网络安全等级保护纳入年度考核,行业网络安全工作经费未纳入年度预算。
三、关键信息基础设施安全保护工作开展情况
因单位新成立,目前正建立健全单位的基本规章制度,关于行业信息基础设施安全保护工作方面的行业标准规范、基础设施认定规则、保障机制将会纳入下一步的工作计划当中,尽快建立健全基础设施保护机制。
四、网络与信息安全信息通报工作开展情况
网络安全作为当前比较具有危险性的工作,加强网络安全检测是一项非常重要的工作,局长作为第一责任将会定期检查单位日常网络使用情况,以有则改之,无则加勉的态度要求网络使用者提高网络使用的警惕性,局办公室将会根据网络安全使用的情况进行通报批评,个人根据自己的出现的问题进行检讨,不断提高网络使用者的网络安全意识。
五、网络安全防护类平台建设工作开展情况
由于单位的能力和水平还未建设网络安全防护类平台建设。
六、当前网络安全方面存在的突出问题
(一)网络安全基础设施保护不规范。经自查发现:未制定出台关键信息基础设施保护行业规范,未建立关键信息基础设施安全保障机制,对本单位信息基础设施安全保护工作自查意识不强。
(二)网络安全制度不健全。自查发现:未制定网络安全考评、本行业网络安全与信息安全通报、未出台网络安全保护政策、管理办法、管理规定等规范性文件。
【关键词】基层气象;信息网络;保障工作;措施
现代化台站规划的实施对气象信息网络工作提出了更高的要求,目前,全面建设现代化监测设备已经得到了有效落实,信息网络通信特别是计算机信息网络通信在气象工作中占有重要地位,气象业务信息以及资料的上传是各级基层气象单位的主要任务,也是保障基层气象信息网络通信工作顺利进行的前提。
1.建立健全基层气象信息网络保障管理制度
网络通信系统运行质量的好坏直接反映出基层气象信息网络通信能力的高低,主要表现为气象业务的各种信息能否得到快速、准确、安全的传输。为了保证基层信息网络通讯系统能够顺利地运行,一方面在具备满足现代信息通信发展需求的先进设备的同时采取定岗定编的形式对所有工作人员进行管理,另一方面还需要制定一套较为科学的、系统的、满足实际需求的管理制度。基层信息网络通信设备能否实现可持续稳步发展和运行,基层网络通信系统质量能否得到高效的提升,在一定程度上取决于基层网络维护人员是否能够将管理和维护工作落实到位。要想使基层信息网络信息通信系统运行的整体质量实现稳步增长,则需要做好以下两点:第一、完善机房的管理制度、按制度办事、对系统和相关设备进行定期检测或维护、安排值班表、确保重要信息数据的安全并进行备份、针对平常、汛期以及应急时期制定不同的工作预案和要求。第二、对问题设置系统性的保障机制,包括发现-提出-研究-解决问题。为了有效提高基层业务人员的技术水平和业务能力,保障基层信息网络工作的顺利进行,需要对他们定期组织开展一些专题研讨、技术座谈、业务培训。
2.严格按照信息网络技术规范开展基层气象通信保障工作
建设信息网络通信系统需要足够的资金支持,为了避免出现信息网络通讯设备的人为损坏、增加其使用寿命并保证业务工作的正常运行,需要正确、科学地培养相关人员对网络维护的管理意识。因此,正确的保障意识可以让网络工作人员对设备的运行环境、周期、使用期限以及技术要求等信息进行有效掌握,从而制定出切合实际的、科学的维护管理方案,保证信息技术科学、规范地执行到位。第一、明确信息网络通信系统的日常管理和维护工作,在出现紧急或异常情况时确保工作人员能够规范操作、冷静处理问题。减少故障隐患的产生、杜绝各种事故的发生。在进行系统检查和维护时遵守“一查、二看、三处理”的工作原则。“查”主要是查看设备的各项指示是否有异常情况和故障警告,并提前做好应急处理。工作人员进入机房时首先要进行嗅觉观察,看是否能够闻到糊焦味,确保设备运转过程中没有线路老化和过热的问题。“看”是通过肉眼观察设备指示灯和线路是否正常运行,确保空调温度以及湿度无异常。“处理”对异常情况进行综合分析,找出发生警报的主要原因,并采取相应的挽救措施,最后对问题的发生和解决进行总结,做好相关记录,保存档案以备日后维修工作的参考。第二、对工作人员制定严格的检修维护制度,根据要求执行并完成“日检测、周维护、月分析”任务,另外,对于机组出现的问题组织定期讨论会,信息网络保障人员可以结合自身的经历和情况对业务情况进行汇报、分析和交流,包括系统出现的各种现象、隐患、原因以及所应该采取的有效措施,总结出设备维护的注意事项和解决方法,从而提高信息网络保障人员的故障处理能力。
3.建立健全基层气象行业的信息网络应急预案体系
随着基层气象通信保障应急预案的颁布和实施,信息网络管理部门和相关运营部门及组织之间协调配合、快速响应,使得基层气息行业的信息网络安全得到了一定的保障。但是,为了顺应现阶段基层气象业务的快速发展,还需要对以下三点工作做出进一步完善:工作机制、信息上报/通报制度、监测预警手段,以及定期制定日常的工作的讨论会议等。应急指挥调度平台在一定程度上可以提高工作人员的应急指挥调度效率,加强对各种信息、数据以及资料的集中管理,有助于信息网络安全应急管理工作的稳步运行。另外,在安全方面对网管系统完善的基础上还需要建立一定的监测系统,以便提高网络的监测和控制能力,将运营和责任落实到位。为了完善预案并加强预案的落实,组织一定的应急演练是十分有必要的,只有这样才能将理论和实践联系起来,实现共同进步。
4.提高信息网络保障人员的素质和业务能力
网络保障人员出色的工作能力和业务水平是实现信息通讯保障工作和信息通讯系统高质量运行的基本前提。对工作人员进行各种类型的专业技能培训,能够打破自学的局限性,有效提高了网络保障人员的素质和业务能力。一方面加强网络保障人员对基本气象科技技能的培训。对于新成员一定要事先进行基本气象技能培训并使其掌握各类气象保障应用系统的使用方法,为了普及信息化应用知识可以将这些知识纳入到培训的必修课程中。另一方面多形式多样化地进行各类活动、培训和比赛的开展,或者借助网络或视屏会议举办专题讲座、技术培训、讨论交流、业务测试等对岗位人员进行针对性地培养,网络保障人员不仅可以对技术自我钻研,而且能够实现互动的最终目的。业务能力的提高有利于基层气象信息网络通信保障工作的发展,是基层单位气象工作实现可持续发展的源泉。对问题进行全方位探讨,从而达到提高网络业务技能
5.结束语
总而言之,为了顺应现阶段基层气象信息网络工作的广泛开展,应注重建立健全科学的气象网络安全保障管理制度,严格按照标准的技术规范开展信息网络业务工作,进一步建立健全基层气象行业的信息网络应急预案体系,并着力提高基层气象信息网络保障人员的素质及业务能力,确保各类气象业务信息资料的及时上传和更新。
【参考文献】
[1]唐雅茜,陈平,朱海波.巧谈气象信息网络故障维护[J].企业科技与发展,2008,(22).
Talking about Industrial Internet Security Service Cloud Construction
郭宾、雷濛、朱奕辉
(杭州木链物联网科技有限公司,杭州余杭 311100)
摘要
本文基于对工业互联网安全的调研结果,梳理了工业互联网安全的发展现状及面临的四个安全问题,创造性地提出工业互联网安全服务云的概念,旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时,深入探讨了安全服务云的五个发展方向,为工业互联网安全发展提供一个新的思路。
Abstract
Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.
关键字:态势感知;工业互联网安全;云服务
Key words:NSSA;Industrial Internet Security;Cloud services
一、前言
工业互联网是智能制造发展的基础,可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施,为工业智能化提供支撑。然而近年来工业互联网安全威胁和风险日益突出,各种网络安全事件日益频发,高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
二、工业互联网安全现状
在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程,为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通,但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。
目前工业互联网安全问题主要体现在以下四个方面:
(1)安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。
(2)平台结构复杂,问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。
(3)终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题,可能存在大量安全漏洞;大部分核心设备以国外设备为主;重要工业设备日常运维和设备维修严重依赖国外厂商,存在远程操控的风险。
(4)数据本质安全得不到保障。通过工业数据的分析和应用,对生产进行降本增效是目前的主流思路,但数据来源涉及各个网络层级和业务环节,导致数据存在的范围和边界发生了根本变化,给数据安全带来巨大挑战。
三、安全服务云建设需求分析
基于上述现状,本文提出互联网安全服务云的概念,积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统,持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力,提高企业抗网络安全威胁风险能力,设计需求主要来自企业和监管部门两方面。
企业端:
(1)现阶段主流的安全产品以单兵作战为主,只能对区域的流量信息进行分析处理,对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据,从同类企业数据中进行发掘和分析攻击线索,极大提升未知威胁和APT攻击的检出效率。
(2)传统安全防御体系的重要思想是防御,处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展,这样的防御思路已逐渐不能满足要求,需要通过引入威胁情报和规则链技术,提升企业积极防御的能力。
(3)传统安全防护设备进行监测时一般使用通用规则,这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术,基于企业用户的业务环境构建威胁检测和响应模型,及时发现企业内部的业务安全风险。
监管部门:
(1)工业互联网安全法规陆续,监管部门存在网络监管的刚性要求,需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合,输出各个层面的统计分析结果,实现全方位的网络安全态势感知,协助企业信息部门看清业务与网络安全的关系。
(2)利用数据采集、数据流检测、威胁情报等技术手段,分析和发现攻击行为、流量异常等安全威胁,可以综合判断安全态势,弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。
(3)需要建立研究成果、威胁情报、漏洞等最新安全信息推送机制。监管单位一般建有完善的安全知识库,推送机制有助于知识库发挥最大功效,帮助企业运维人员安全意识和技能素养,增强企业安全工业互联网防护。
四、 安全服务云发展方向
(1) 强化核心信息基础设施网络安全态势监测能力建设
对信息基础设施网络安全防护措施进行改造升级,采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施;实现对网络管理对象的全面纳管和实时监测,建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。
(2) 强化网络安全威胁信息通报能力建设
对关键信息化基础设施、传输网络和信息应用进行统计和梳理,建立健全备案登记制度,明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统,建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。
(3)强化网络安全隐患分析预判能力建设
在实时采集网络运行状态监测记录,全面收集网络安全威胁情报基础上,利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析,及时发现已知安全威胁,确定安全事件的攻击阶段、攻击路线与影响范围,为应急处置提供科学的决策依据。通过基于机器学习构建的网络安全风险评估模型,预测网络安全未知隐患发生的可能性、影响范围和危害程度,有效强化技术威慑与主动防御能力。
(3) 强化网络安全攻击应急处置能力建设
建立健全网络安全事件应急预案,按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施;建立健全网络安全攻击事件应急处置工作平台和技术手段,发生网络安全事件,能够立即启动网络安全事件应急预案,快速组织应急响应专业技术人员,对网络安全攻击阶段进行精准评估,对网络安全来源进行快速研判,采取技术措施和其他必要措施及时消除安全隐患,防止危害扩大,并按照有关法律、行政法规的规定进行上报。
(4) 强化网络安全事件留存取证能力建设
在落实《网络安全法》相关规定基础上,对系统采集的关键信息基础设施、网络和业务应用安全运行状态监测记录、操作日志和流量数据进行全量留存,建立网络安全数据检索和关联查询平台。支持在发生涉及违法违规网络安全事件时配合相关部门进行调查取证;对重要应用系统和数据库进行定期容灾备份和统一归档存储;支持在发生重大网络安全事件时能够快速进行系统恢复,减少可能的数据丢失风险和损失。
(5) 强化网络安全服务能力建设
围绕企业安全能力提升各环节将面临的需求,提供全方位的安全服务。通过安全咨询切入,帮助企业了解安全相关的政策要求;通过风险评估帮助企业梳理清晰安全现状,并进行有针对性的安全建设对现有问题进行整改;通过渗透测试对建设后的安全防护能力进行准确评估;通过提供安全运维和漏洞扫描服务,协助企业开展日常网络安全工作;通过应急演练提高企业人员安全技能;通过安全培训提高企业人员整体安全意识和技能水平。
五、 结语
为切实保障工业互联网建设稳步推进,提高企业工业互联网安全防护能力,在充分调研企业工业互联网安全现状和需求后,发现普遍存在“数据采不上、状态看不到、建设成本高、安全服务少,安全隐患多”等典型问题,工业互联网安全工作难以开展。
本文提出的工业互联网安全服务云概念,可以整合区域内工业企业共性需求,改变传统一个单位建立一套态势感知平台的模式,充分发挥工业互联网的共享特性,将区域内的企业看作一个整体,每个企业作为一个节点,通过部署多维探针设备,监测并汇总数据后由监管单位进行统一态势感知分析,提升整个区域内的安全态势感知水平。通过与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同企业开展工业信息安全治理工作,实现信息的安全、可靠、及时共享,形成快速高效、各方联动的信息通报预警体系。
[1] 工业互联网产业联盟(AII). 工业互联网体系架构[R]. 北京:工业互联网产业联盟, 2016
[2] 工业和信息化部.工业和信息化部贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》的行动计划(2015-2018)
关键词:信息系统,网络安全,对策措施
1.建立一套较完善的、操作性强的管理制度
根据实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,制定详细的安全管理制度,保证信息系统安全风险规避管理有章可循,有法可依,促使每个系统管理人员和使用人员将系统安全风险规避管理形成一种习惯。制定系统安全奖惩制度,对于违反制度者视情节轻重给予相应的经济惩罚或行政处分,情节特别恶劣的可提起法律诉讼,对违规制度者进行举报的人员给予适当的奖励。院内每人都有义务和责任举报任何系统不安全现象和行为。
安全管理制度包括中心机房安全管理制度、子系统使用人员安全管理制度、系统设备安全管理制度、网络安全管理制度、病毒防范安全管理制度、安全管理登记制度、应答制度、考核制度等。做好设备的运行情况记录,检查记录,日常维护记录及用户的监控记录等。
2.制定详细而周密的应急预案
充分考虑各种系统故障,设计与各管理岗位相符的系统安全风险规避管理常规处理预案和紧急处理预案,根据安全事件的严重程度适时采用,以保证正常的服务和秩序,提高应对突发事件的能力。在信息系统出现故障时,将系统中断时间、故障损失和社会影响降到最低。由分管院长、相应科室及计算机中心组成故障排除小组,当灾难发生时应用应急预案进行恢复。应定期进行应急预案的演练,查找问题,加以整改,提高其针对性和实用性。
应急预案包括服务器、硬件、软件、网络等方面的系统安全风险应急措施、具体的协调部门及相应的工作、常用的应急电话等。应急预案须明显张贴,使应急操作人员方便地看到。
3.建立系统安全监控体系
设立安全管理人员,对那些给信息系统安全带来严重隐患的行为和人员进行重点管理和监督。建立数据质量监控体系和数据操作员、职能科室、部门领导三个层次的数据质量监控层,对信息系统数据安全具有重要意义。建立信息系统数据质量考评和反馈制度。建立合理的系统安全风险规避管理的组织结构,成立信息系统安全领导小组,在硬件、软件、数据、网络等各个方面合理配置系统安全管理人员,选择适当学历和专业的人员担任并让其明确各自的责任,根据实际情况,制定合理的管理制度和使用方法。论文参考网。系统安全管理人员在工作上要求责任心强,业务熟悉。系统安全培训工作也是保证系统正常运行的关键。应合理配备技术人员,保证维护力量。同时,专业人员应对每个操作人员进行培训,使其熟悉操作规程,熟练系统操作。目前员工的安全意识相对淡薄,在实际工作中,存在利用业务系统登录口令过于简单的漏洞,私自访问不安全网站,下载并安装与工作无关的软件,私自接入不安全设备等问题,这些都给信息系统造成了极大的安全隐患和威胁。因此,要下大力气做好员工信息系统安全知识的宣传教育和培训工作,使员工自觉遵守信息管理的各项规定,增强其系统安全意识,保证信息系统安全。对系统安全培训不太重视的,今后应丰富培训内容和方式,注重培训时间和频率的选择,适当增加培训投入,做好相关方面的改进以提高培训效果,加强系统安全风险规避管理。领导转变观念,充分认识到系统安全风险规避管理的重要性,根据的实际情况每年编制合理的系统安全预算,避免投入的盲目性。加大对重要设备如服务器等的投入,提高其可靠性,防止因设备档次低而引起的可靠性问题,避免设备的核心部件为伪劣品最终导致系统不能正常运行。
4.建立健全风险评估和检测机制
可采取与专业安全服务公司建立长期合作的策略实现安全风险评估机制的建立,加强多部门之间的安全信息沟通与共享,积极利用其在安全风险评估技术、方法等方面的优势,结合信息系统安全实际,建立符合信息安全要求的风险评估与管理机制,不断研究和发现信息系统存在的漏洞、缺陷以及面临的风险与威胁,并积极寻找相应的补救方法,力求做到防范于未然。
应制定安全检测计划和方案并组织实施,组成专门的检测小组,在领导和系统运行维护部门的积极配合下,对系统的基础设施、网络结构、信息保护、安全管理以及应急预案等方面进行认真测试与核查。
做好硬件设备的预防性维护。论文参考网。定期对主机、显示器、打印机等设备内部除尘,更换老化的零部件。定期运行磁盘碎片整理程序、磁盘清理程序,优化硬盘设置,优化每个工作站子系统,确保系统运行环境的安全。
5.加强系统重要信息和文档的管理
完整的系统文档是分析故障、排除故障的基础,是系统正常运行的保证,因此,应加强系统文档的管理。论文参考网。系统文档包括计算机资料、驱动软件、系统软件、应用软件安装盘、应用软件安装说明书、程序使用说明书、源程序代码及详细说明、各计算机的IP地址、计算机名、服务器配置说明书。
6.完善系统功能,提高应用程序级的安全性
根据各级操作员的操作范围,合理设置系统软件的权限,慎重考虑系统功能,如在财务收费报表中及时反映收费票据号码,退费、退药票据号码,以便核查,禁止票据重打功能。
根据备份原则,不能只有一个人能进行系统管理或数据库管理。严格限制超级用户数,系统超级用户只能由系统管理人员掌握,并定期更换口令。系统管理员严格按照“审批单”为各工作站子系统用户分配适当的权限。严禁帐号及密码外借他人,防止非法用户入侵系统。
7. 强化信息系统安全技术保障
硬件方面的信息系统安全技术主要包括:物理隔离。对内部信息系统和外部互联网实行物理隔离;同时,对内部局域网中的医疗网络系统和办公网络系统进行物理分割,封闭医疗网络系统中所有对外的接口;保证存有重要数据的子系统只能使用内网而不能使用外网。建立一套完整的数据备份策略,预防硬盘损坏等风险,保证服务器长期可靠地运行。数据安全是整个信息系统安全的核心,数据备份是保证数据安全避免损失的最佳途径。不同的数据备份方法如双机热备份、异地备份、磁带备份等有各自的优缺点,应根据的实际情况适当采用。
软件方面的信息系统安全技术主要包括:选择符合系统安全要求的操作系统并及时更新。客户端安装远程监控软件,帮助系统管理员实时监控和记录系统各个终端的运行情况,防止非法用户侵入系统。同时,强化行为管理,对各种网络和操作行为进行实时监控和分类管理,规定行为的范围和期限,及时发现并去掉一些设备共享或文件夹共享,尽可能地制止一切与信息管理无关的现象和行为,减少网络的安全隐患。购置网络版杀毒软件,在服务器及每个客户端都安装相应的防病毒软件,定时更新病毒库,周期性地对系统中的程序进行检查,利用病毒防火墙对系统进行实时监控。选择和使用更为安全的数据库系统,并严格规范使用制度及方式。采用适宜技术与设备保证链路安全。强化桌面系统安全管理。
参考文献:
[1]刘臣. 略论信息系统建设[J]现代管理, 2007, (05) .
[2]李华才. 信息化建设存在的问题与发展对策[J]华北国防医药, 2002, (02) .
[3]袁永林. 军队卫生信息化的建设与发展[J]解放军管理杂志, 2003, (01) .
20__年在公司“效益质量年”的定位目标指导下,紧紧围绕公司“加强管理、保证质量,降低成本、提高效益,深化改革、强化支撑”的网络运维方针,确保网络运行质量,加强了基础管理、网络优化、大客户支撑以及安全生产等方面工作力度,积极开展降本增效活动,取得了一定的成绩,现对全年工作总结如下。一、加强基础管理工作我班组负责全区的网络的维护、技术支持工作,为了更好的在数据网络中开展各项数据业务和增值业务,我班组在中心的领导下严格落实省公司精细化管理的要求,按照“共识、细化、落实”的六字方针,坚持严格基础管理工作,一年来,我班组坚持不断完善客户的资料工作、各种网络设备以及大客户的应急预案等各项基础管理工作,特别是随着三标一体以及内控工作的深入开展,更是要求我班组对担负的各项工作必须有记录,包括资料统计、障碍统计、网络分析统计等,并且按照部门的各项规章制度和管理办法,优化了各项工作流程,努力做到细化到人、优化到事、强化考核,确保提高员工工作效率,从管理中创造效益。
具体工作有:
1、按照维护规程严格执行各项维护作业计划,结合内控,加大了对作业计划、各种日志、记录表格、安检记录等各项维护作业计划和巡检的检查力度,保证内控审查可以顺利通过,并根据实际工作需要不断完善和更新相应的表格。
2、完善了对数据网络各种统计维护资料并及时更新,保证基础资料的准确性、完整性和及时性,安排专人制作了数据网络资料库程序并对该资料库进行不断完善和更新,特别对于光纤专线客户和V客户的资料管理,对涉及到的所有信息都在资料库中均有详细的体现。对全区的IP地址进行及时的备案并不断完善IP地址管理系统,这些都为今年的全区IP地址优化工作打下了坚实的基础。
3、为了更好地开展业务,理顺流程,制定并完善了FTTX业务、基础数据业务、V业务、数据设备维护等各种流程和基础数据网、IP城域网的分析作业指导书,并结合内控和三标一体工作的要求对以上规范进行完善,并按照省运维文件的要求及时更新和调整各种数据网络设备的应急预案,强化细化了应急预案的执行功效。
4、为了提高班组员工的综合素质,我班组加强了对员工业务、技术、安全、保密、形势教育等各方面的培训,今年累计进行培训32次,内容涵盖业务、设备、维护经验及本专业最新技术等,并组织培训效果测试11次,取得了良好的效果,特别针对新员工,我班组制定了专门的培训计划并按照计划进行实施,有力的提高全班员工的维护素质。
5、在公司及部门领导下,积极参于公司举办的数据专业维护规程及宽带ADSL技能竞赛,我中心取得了第一的优异成绩,并且选派两名技术骨干参加省公司组织的华为宽带ADSL技能大赛,取得了全省三等奖的好成绩。
6、配合网运部组织开展了多次对各县公司及营销中心的维护知识培训,其中包括城域网交换机的培训、ATM设备IP化改造的培训等技术培训,还安排专人去县局进行现场讲解,取得了良好的效果,提高了县公司维护人员的综合素质,为交换机权限下放打下了坚实的基础。
7、为了达到内控的要求,我班组通过对__*地区市内97个模块局进行巡检并在数据设备上粘贴了资产标签,满足了内控的要求。
二、强化维护手段,积极开展将本增效活动,积极优化网络,发挥网络最大效益
一年来,我中心维护工作未发生重大故障,各项考核指标均达标。其中省内考核互联网时延≤40ms,实际为≤10ms;本地IP客户考核接入认证平均响应时间≤8s,实际为≤3s;基础数据网用户电路考核故障修复及时率≥99,实际为100;数据设备考核故障修复及时率≥96,实际为100;大客户业务考核响应及时率≥99,实际为100;考核电路开通及时率100,实际为100;重大障碍上报及时率为100,圆满地完成了上半年的各项维护指标。
1、通过充分利用现有的城域网网管,我中心加强了对网络流量、设备利用率、日志及网络安全的监控及分析,分析范围由原来城域网几台设备扩大到整个城域网汇聚层以上设备,并新增了对ATM网络流量的分析。结合网络分析情况,及时地对网络进行优化和调整,三月份新增城域网出口GE中继一条,通过流量调整,缓解了城域网出口流量激增所带来的压力。由于宽带Bras汇聚Ip上行设备的LPUK板卡和LPUH板卡接入客户不同,__*地区局下挂各县宽带客户较多,__*地区局下挂各县宽带客户较少,通过将容量较大的LPUK板卡调整到__*地区局,并将武安IP上行的宽带客户及时的调整到__*地区BRAS,缓解了由于__*宽带客户激增带来的板卡利用率过高问题,保证了__*方向宽带业务的发展,随后又对__*地区Bras资源进行了适当均衡,使得全区Bras的资源得到了充分的利用。六月份对城域网核心层设备__*地区局7609新增加一条至__*地区方向的GE中继,充分缓解了西部流量大的问题,通过安排专人对网络中的各种设备定期观察,及时地发现网络中的安全隐患并给予解决,极大的保证了业务的顺利开展。
2、配合网运部做好宽带MA5300绑定用户端口工作,截至目前全区主要县市MA5300节点已实现用户帐号及端口绑定。为了实现OE 绑定测试,对全区MA5300设备的命名重新规范并进行命名更改,同时我中心__*根据端口绑定工作的需要发明了小程序,使得帐号绑定可以实现批量操作,将几十个人几天的工作量压缩到了一个人几个小时就可以完成,从人力成本上起到了将本增效的作用。
3、对__*地区路华为S8016交换机、华为S8512交换机及核心层7609路由器进行了升级打补丁操作,解决了由于客户网络攻击及版本不稳定而可能造成系统瞬断的隐患。并对华为UA5000宽带设备进行统一升级,保证软件版本的同一性。
4、在全省率先开展了华为UA5000和MA5300宽带设备帐号和端口的绑定测试工作,并初步测试成功。由于我中心测试工作进展较早,所以省公司指定我公司和沧州分公司作为试点单位对各型号的BRAS和DSLAM进行测试,测试成功后将在全省进行推广,通过测试为我公司下一步的宽带账号和端口绑定工作打下了坚实的基础。
5、完成了城域网设备具备MPLSV条件的MPLS的部署。通过此次部署,我公司今后可以开展跨域的V业务,对市场部门开展新的业务起了有力的支撑。
8、实施了I P地址回收工作,
三、面向用户、面向市场,做好业务支撑
我班组按照部门一贯倡导的“维护就是经营”的大经营观念,整个维护工作紧紧围绕以效益中心,加强对客户、对市场的支撑力度,全力作好后台支撑工作。
2、逐步建立了金银牌大客户电路资料台帐,并结合金牌大客户使用数据电路的实际情况分别为其制作了客户电路应急预案。为了实现大客户等级化我中心安排对大客户电路用不同颜色的插塞来进行识别;为了体现对大客户单位的差异化服务,我班组定期对金牌大客户进行巡检,并按月制作大客户单位的网络运行报告。
3、在省公司网管中心指导配合下完成了对宽带VPDN技术的测试工作,并对__*地区市体彩大客户利用该技术进行组网工作,涉及体彩客户约300余户。
4、全年为几十个大客户制作了大客户电路接入方案,并到各个大客户提供支撑数十次。配合大客户服务部积极对教育局校校通客户内网故障进行技术支持,并完成了多个校校通客户V改IP专线的工作,尤其是对于__*地区区电教站,我中心前后对该客户进行了10余次技术支持。
5、面对福彩窄带V客户不断增长的情况,我部积极协调设备维护中心,新增了窄带A8010接入服务器至__*地区、__*地区汇接局中继4条,满足了客户数量增长的需求。
6、为了及时了解县公司以及各营销中心宽带维护情况,我中心安排专人到中华南营销中心、__*地区、__*地区、__*地区等县分公司进行现场测试,并深入到客户家中进行了解,掌握了全区客户反映比较突出的问题并制定了相应的措施,取得了很好的效果。
7、全年网络维护班组受理各类客户技术咨询上千次,受理县市营销人员技术问题达3000余次,强有力的支撑了前台维护人员,由于机房人员服务水平高、服务态度热情,深受广泛的好评。为了保证增值业务的顺利开展,班组在部门安排下多次派专人到各县分公司和营销中心进行现场技术培训,通过多次的培训,有力的支持了各营销单位业务的顺利开展。
四、抓紧安全生产,强化安全意识
一年来,我班组认真贯彻公司对安全生产工作的一系列指示精神,牢牢把握安全生产工作原则,坚持“安全第一、预防为主”的方针,认真落实各项安全措施,积极开展安全隐患整改,广泛开展安全教育工作。
1、全年圆满地完成了__*地区局、__*地区局、__*地区局数据设备的安全整治工作,并配合完成了市内模块局的整治工作,达到了安全生产的标准。
2、加大对员工的安全教育培训,在职工中树立“安全第一”的观念。组织员工进行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育达40余次,安全知识答题8次,配合部门进行消防演练4次,并根据根据班组的情况坚持每周一次安全培训和每周一次安全检查的制度。通过采取检查、培训及实际演练相结合的办法,全面提高了员工的安全素质、安全意识和应变能力。在上半年生产楼电梯间着火事件中,我中心5名员工发现后按照消防要求及时向上级汇报并安全的将火扑灭,为公司挽回了损失。
4、加强了机房安全防火、防汛工作。始终把安全防火、防汛当作安全工作的重中之重,开展了经常性的安全检查,要求班组员工熟练“四懂、四会”,熟练掌握初期火灾扑救、防毒面具佩戴、消防水带连接、灭火器等操作。
5、加强网络设备巡检,通过充分发挥IDS和扫描等网络安全系统在漏洞扫描、入侵检测等方面的作用,完善各项网络安全管理制度,细化日常维护、权限管理、检测分析和安全防范流程,有力地抵制了外界对网络的各类攻击。
第二部分:20__年工作思路
20__年我班组以内控工作为契机,不断完善基础管理制度,通过加强网络安全检测,健全综合分析、安全管理、故障分析等制度,强化维护支撑和服务,优化网络结构,强化网络质量,提高网络运行效率,提高维护效益,不断加强安全生产管理工作,深入开展员工培训教育,提高员工综合素质,积极开展将本增效活动,不断提高维护水平,保证各项生产指标。
1、结合内控工作和三标一体工作的开展,继续按照维护规程严格执行各项维护作业计划,加强基础管理,完善部门管理制度,优化管理流程,简化管理环节,努力实现部门维护工作效率最大化和效益的最大化,确保顺利通过各项审查。
2、持续深入开展各种形势的教育学习活动,为员工发展创造良好环境,鼓励员工勤于思考,敢于创新,深入开展学习型班组,加强维护队伍建设,提高维护人员的素质。
3、继续科学管理网络资源,提高网络资源的利用率,做好资源分析预警工作,充分利用网络的资源,使网络资源的效益尽量最大化。继续深入开展将本增效工作,从管理和技术入手,对现有设备进行优化和改造,有效地开展将本增效工作。
4、进一步完善各项应急预案,提高应急预案的可操作性。加强安全教育和应急演练,强化员工应急意识,提高全员应急操作能力。
5、积极配合计划建设部工程建设。配合完成港湾设备替换工作和中华路机房搬迁工作。结合各项工程的建设,优化城域网的网络结构,提高网络健壮性,进一步完善城域网、基础数据网等网络的网络监控工作,加强网络运行状况的分析,为业务发展提供有力支撑,继续不断对网络进行优化调整,使网络发挥最大效益,圆满完成各项维护指标。
6、积极发挥网络安全系统在漏洞扫描、入侵检测等方面的作用,不断完善各项网络安全管理制度,细化日常维护、权限管理、监测分析及安全防范流程,预防外界对网络的各类攻击。
7、坚持以人为本,继续作好安全生产工作,抓好行风建设,提供优质服务,为经营发展保驾护航。
关键词:网络安全;校园网;计算机病毒;防火墙
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Campus Network Security and Defense Technology
Yao Weiguo,Zhang We
(Nanchang Institute of Technology,Nanchang330000,China)
Abstract:The concept of security from the network,analyzes the current campus network security risks,and then make the campus network management,technical and emergency response of specific measures and several commonly used network security technology to ensure the campus network system To safe operation.
Keywords:Network security;Campus network;Computer virus;Firewall
计算机网络安全是计算机安全概念在网络环境下的扩展,深入了解计算机系统安全的基本概念,是进一步了解计算机网络安全的基础。国际标准化组织为计算机安全做了如下定义:为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、更改和泄露。
一、目前校园网络中的主要安全隐患
(一)网络系统自身的漏洞的威胁。网络设备和计算机软件不可能是十全十美的,在设计和开发的过程中,不可避免会出现一些缺陷和漏洞,漏洞包括许多方面:如操作系统的安全漏洞、数据库及应用软件的安全漏洞、TCP/IP协议的安全漏洞、网络软件和服务的安全漏洞等。另外,编程人员为自己方便而在软件中留有“后门”,这些漏洞、缺陷以及“后门”恰恰是黑客进行攻击的首选目标。
(二)机房软件系统的漏洞问题。目前,高校网络机房使用的操作系统软件大多使用徽软件的Windows操作系统,主要有Windows 2003 Server、Windows xp、linux等,这些系统自身有漏洞,虽然推出了一些针对性的补丁程序,但也不可避免地容易遭到病毒或人为因素的破坏,其存在的系统漏洞已成为网络攻击的一大目标。在高校计算机房接入Internet后,使得用户的信息库实际上如同向外界敞开了一扇大门,入侵者可以在受害人毫无察觉的情况下侵入信息系统,进行偷窥、复制、更改或者删除计算机信息,给教学带来很大的影响。
(三)计算机病毒肆虐。由于计算机实验室上机的人数多,学生可以携带磁盘进出计算机机房,还要上网,所以计算机很容易感染上病毒。当其中一台计算机中病毒后就会成为病毒传染的源头,以各种方式传染其它计算机,轻则破坏文件,影响系统正常运行,重则破坏磁盘数据、删除文件,感染整个机房,甚至造成机房计算机和计算机网络系统瘫痪、数据和文件丢失,导致系统崩溃。
(四)安全保障制度落实不到位。没有严格执行用户的标识与鉴别制度及账号认证制度对主要信息进行加密,对登录数据库服务器的用户的权限没有进行严格的限制,同时没有随时清除不需要的系统和账户和不需要的网络服务等,不能有效地防范病毒对系统和网络的攻击。
二、防范技术及措施
对于不同的计算机网络安全威胁,我们该如何防范呢?笔者认为,建设相对较好的防范体系必须从管理、技术及应急方案等方面入手。
(一)管理层面。
1.建设完整的防范制度和防范策略。针对一个校园网制定安全保密制度、校园网用户接入互联网安全使用手册,对大型移动存储设备和U盘的使用进行严格要求或控制,比如说有些实验室只允许邮件收发文件,不允许采用上述设备。对重要数据严格执行时时备份制度。
2.每周上报安全检查和运行机制报告。建立周上报机制,通过对网络中运行的设备、流量、故障率等报告分析,得出网络设备及软件运行是否正常,发现问题主导原因,针对性的优化设置,增强运行能力。
3.加强网络安全培训,提高用户安全防范意识。所有用户进行定期网络安全的培训,提高用户自身防范能力。对网络中心或机要中心的主负责人签订保密协议,进行专业化、强化实践能力的培训。密码实行多元化管理体制,定期更换并做记要日志备案。
4.建立有效的网络安全防范、病毒防治体系和系统恢复方案。校园网的管理部门要严密注意国家计算机病毒应急处理中心的病毒疫情,及时做好预防工作,避免大规模疫情暴发,同时对各级网络及服务器系统做好系统恢复应急预案,当病毒爆发时,可尽快恢复系统,将损失降到最低。
(二)技术层面。
1.优化网络方案设计。对网络拓扑图进行优化设计,按实际情况合理的划分成若干个子网。每个子网对应固定的交换机端口,区域的计算机只能在相应的位置范围内使用。
2.建立一卡通制度。所有用户进行实名制(职工号)入网登记,通过数据加密、身份验证等来核实通信对方的真实身份等。设置入网时限,如在设定的时间内无流量,自动断开网络。对有问题的PC机,可以迅速确定位置并解决问题。
3.采用硬件、软件网络防火墙技术、入侵防御系统及核心交换机上的访问控制规则。建立硬件、软件网络防火墙,入侵防御系统Symantec防病毒系统及核心交换机上配置访问机制。
4.建立垃圾邮件过滤器、对三大服务器(Web服务器,邮件服务器,Ftp服务器)进行加固,对IP访问限制。
5.外部设备使用的安全方法。对使用外来移动盘及打开电子邮件和互联网文件之前先做病毒检查,确认无毒后再使用或打开。对移动设备打开时,最好使用Windows资源管理器的方式打开,切记不可双击打开。
三、结束语
网络安全是一个综合性的课题,涉及到技术、管理、使用等许多方面。网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。但任何网络安全和数据保护的防范措施都是有一定的限度,网络安全只是相对的,没有一劳永逸的网络安全体系。在信息网络化的时代,不断有新的安全问题出现,不断有新的解决方案,网络安全作为一个产业也将随着新技术发展而不断发展。
参考文献:
[1]韩筱卿.计算机病毒分析与防范大全(第2版)[M].北京:电子工业出版社,2008
信息安全是一个复杂的系统工程,涉及到了系统软件、硬件、环境以及人员等各种因素.本文以赤峰学院为研究对象,详细讨论了一般高校信息安全风险点,及网络安全技术在解决校园网络安全问题中的应用,并提出了综合利用各种网络安全技术保障校园网络安全的具体措施.
关键词:
校园网络;网络安全;安全技术
当前互联网发展迅速,高校的校园网建设也随之快速发展,一方面有力推进我国高校现代化建设进程,另一方面有效促进了高校教学、办公、科研和学术交流等方面的发展.但是这也使得办公系统、教务管理系统、信息门户、校园一卡通系统等内网服务都直接暴露在开放式的网络环境之下运行,这无疑给黑客提供攻击机会,造成病毒入侵、信息泄露等不良后果.在高校校园网中,参与人员情况十分复杂,不仅有校园内部的老师和同学,还有一些外来办事及培训访学人员,这种参与人员成分的复杂性决定了校园网络管理的难度增大.当然,由于校园网络其本身种种特殊性,除了上面提到的互联网和校园网内部人员的威胁之外,还有其本身体系结构的网络安全问题值得警惕.这对建立校园网络的工作人员提出了较高要求,需要进行充分的调研与考量,采取正确的设计与布置模式,建立一个安全合理有效的校园网络.本文所讲正是根据自己几年来在校园网络的运行与维护的工作经验总结而来,以校园网络的配置和网络体系设计为基础,对校园网络的运行风险进行分析,并对相应的安全保护措施进行详细研究.在分析校园网络的运行风险时,不仅考虑到校园网络本身的体系结构安全问题,也要考虑到网络配置时的软硬件安全、技术安全、使用和管理安全等等,在这些方面都需要制定详细的安全保护规则,在实际操作中严格遵守,使校园网络的安全性得到保障,最终建立一个真正让人放心使用的安全校园网络.
1校园网安全面临的风险分析
1.1硬件安全
众所周知,信息系统的运行之初就是要建立一个合格标准的机房———系统核心硬件的所在地,所以,机房要严格按照国家相关标准进行建设,包括机房本身的防火防水防盗等问题,机房所在楼板的承受力问题,机房位置选择问题等等,只有这样才能保证机房内设施不受侵害,对其安全性进行充分的考虑,确保信息系统的平稳安全运行.另一方面,信息系统运行的硬件设备还对周围环境有着较高要求,例如湿度、温度、空气颗粒物浓度、周围磁场强度等等,所以要对机房配备专门的管理人员监测环境问题,保证一个合理有效的硬件运行环境.
1.2系统及数据库安全
对于校园网络来说,由于资金有限,很多服务器或者相关系统硬件都会被延期使用,一旦硬件没有得到及时更新,过度使用,就会导致其稳定性不可预估,例如发生断电时,这些非法关机形式的发生,都会使得相关数据或者运行系统发生异常,从而导致进一步的不可预测性的异常工作形态发生.
1.3网络安全
赤峰学院的网络建设已经告一段落,有线网方面,光纤直通各个楼宇办公室及宿舍楼区域的弱电井,千兆入户;无线网方面,已经实现包括教学区、宿舍、运动场、食堂等位置的全校覆盖.但是,随着网络速度的不断提高,网络覆盖范围的不断扩大,网络内容和资源的不断丰富,也伴随着网络安全问题显得日益突出,需要我们给予高度重视.
a、漏洞注入威胁
无论是网络系统也好,还是各种软件的形成,其都是由相关代码编写人员进行开发,这无可避免的会产生一些漏洞问题,这些漏洞的存在就是一种潜在的安全威胁,没有及时地修补漏洞,就会有可能导致安全问题.而且这种威胁一旦发生,就会从某一台主机,通过网络,对网络内其他主机产生安全威胁,这会是一个连锁反应,情况进一步恶化,会直接造成整个网络的瘫痪.近些年来,在操作系统上,Linux和Win-dows都在不断地各种网络漏洞补丁,如校园网内的绝大部分主机系统都是Windows系统,因此,如果Windows系统漏洞被发现而没有及时更新漏洞补丁进行修复,很有可能被不法分子进行攻击,最终影响到整个校园网络的安全.
b、DDOS攻击(DistributedDenialofService)).
DDOS攻击,即分布式拒绝服务攻击,它是指通过借助一系列工具或手段,把许多个计算机联合起来构成一个平台,针对一个或者多个目标发动DOS攻击.DOS攻击最基本的方式就是发送合法的服务请求,以便占用目标主机的大量的服务资源,目标主机的资源一旦被大量占用,其他正常用户将无法正常访问该主机.DOS攻击必须占有大量的带宽,这样的话,对于攻击者本身很难实现这一目标,于是攻击者就通过其他攻击手段先把很多主机变成“肉鸡”,再通过这些“肉鸡”一起对目标发起攻击,最终使得目标主机无法正常工作乃至处于瘫痪的状态.
c、ARP攻击(Addressresolutionprotocolspoofing).
ARP协议(地址解析协议),就是根据目标IP地址,转换为相应的MAC物理地址.我们所谈的校园网络,更多的主机是基于MAC地址进行传输的,这样就造成了ARP协议就更多地发挥着使两台主机之间进行通信的作用.黑客正是利用了这一原理,一方面,可以通过实时监测,拦截窃听如A主机某一节点信息,获得相应的IP地址和MAC地址,然后就可以伪装A主机,给其他主机信息,为自己获得有用信息.另一方面,黑客还可以完全伪造一个MAC地址和IP地址信息,使其在局域网内传播,在网络上会产生网络风暴效应,使网络通信变得异常堵塞,也很有可能造成网络的失效或者瘫痪.
d、病毒、木马
高校的办公电脑分为几类:专属电脑、多媒体教室教学电脑、还有学工办、教学办等非专用的办公电脑.这些电脑在使用的过程中,由于很多人员并没有专业的计算机基础知识,或者电脑安全意识并不高,导致U盘使用、非法网站下载等可能导致病毒攻击的行为偶有发生,再加之电脑系统的杀毒软件等防护措施并没有及时更新与使用,最终这些主机很容易被黑客利用,成为“肉鸡”,进而使得校园网络安全出现问题.
1.4人员管理
a、安全管理安全管理是一项十分重要的内容.在所有安全措施的发生有效影响之前,安全管理就是这一切的前提.一个健全的安全体系是需要建立十分详尽并且能被严格执行的安全规范,安全体系在建设过程中,人、设备、技术都是必须要考量的因素,这些安全规范或者规则要在所有安全设备部署和具体施工过程中进行约束,所以安全管理不仅是一种表面行为上的规范,也是对人、技术、设备、架构等等的一种深层次要求.
b、安全意识在高校的校园网络里,主体使用人员就是学生和教职人员,这个群体的计算机应用水平有高有低,更多的人是缺乏计算机网络安全意识的.例如,某些老师和学生往往在使用计算机网络时,设置一些十分简单易破解的密码,这就是一种缺乏安全意识的表现,黑客很容易抓住这一点,通过某些破解方法获得密码,进而获取计算机中对他们有用的信息,可能会进一步产生盗用银行卡、诈骗、透漏个人重要信息等等不法行为;另外,当前计算机网络快速发展,计算机病毒等木马程序也在呈现出多方式、多渠道的攻击模式,如U盘传播、移动端传播、局域网内传播等等,这些问题一旦发生,就会产生一些不良后果.因此,我们需要提高用户的网络安全意识,增强其网络使用规范,并让用户学习一些基本的网络安全知识,这都是当代网络管理人员需要注意的问题.
2校园网安全的防护措施
2.1硬件防护
(1)防火墙
我校于2012年校园网络建成后在出口处用功能和安全性更高的华为下一代防火墙(华为USG5500)代替原来的防火墙(华为Eudemon),同时在出口链路上加装了入侵检测设备(华为NIP5100),以防止外网对内网及数据中心的入侵攻击,将替代下来的防火墙部署在数据中心服务器存储和内网之间,这样加强出口链路安全的同时,也进一步提升了内网的数据安全.
(2)流量控制设备
我校使用锐捷ACE流量控制设备,ACE可以有效防止各种关键应用(如ERP、CRM、OA系统、视频会议系统等)受到其它网络应用(P2P等)的冲击,导致这些关键业务的应用得不到保障.同时,通过对网络异常流量和网络攻击进行预先防护,大大提高了网络的可靠性和稳定性.
(3)行为审计
校园网络配置行为审计设备.可以针对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析.用户所有访问的网页地址都会被系统监控、追踪及记录,如果是设定为合法地址的访问则不做限制,如果是非法地址则会被禁止或发出警告,而且每一次对访问行为的监控都是具体到每一个人的.
(4)防毒墙
计算机病毒的日益猖狂,尽管许多企业已经具有了一定的安全防范意识,并且部署了网络版杀毒软件和硬件防火墙,但是在面对诸如SQLSlammer等新的蠕虫病毒时,仍然显得力不从心.我校针对上网人数多,使用网络人员能力参差不齐,网络蠕虫病毒传播广泛,控制吃力的情况,主干网络配置防毒墙,用来解决对诸如SQLSlammer等新的蠕虫病毒.
(5)DDOS防护
DDOS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的.而我校校园网络配置DDOS防护设备,可解决通过使网络过载来干扰甚至阻断正常的网络通讯;通过向服务器提交大量请求,使服务器超负荷;阻断某一用户访问服务器;阻断某服务与特定系统或个人的通讯等情况.
(6)UPS不间断电源
我校中心机房、图书馆机房及灾备机房都配备UPS不间断电源,在学校断电时为机房内的服务器供电,延长服务器工作时间,同时能够防止服务器因为断电导致的物理故障、数据丢失问题.
2.2VPN的管理
VPN是在公用网络上建立专用网络,进行加密通讯,而我校的数字化应用系统及数字图书馆资源等重要的信息系统均使用深信服公司的专业的SSLVPN设备为所有供教职工、学生提供校外访问.我校对对校内应用系统和资源都作了内网IP地址的锁定,保证了网络访问的安全控制,进一步提高校内信息系统的安全指数.同时,针对不同的厂商及使用者的身份,区分访问权限,做到严格控制VPN的使用人员,保证只有操作相关业务系统的人员才可获得相应权限.比如:在校教职工使用工号及密码登陆后只可以访问基础资源及业务系统,不能访问服务器等敏感网段;工程师需要通过实名制注册,并使用真实手机号码接受随机验证码及管理员指定的用户名和密码(复杂密码)进行访问,并且不同的厂商只能访问跟自己业务相关的网段(目前正在建设中);其他使用人员需要严格遵守申请流程就行审批.
2.3软件防护
(1)校园网认证系统
我校使用专业的校园网认证系统,该系统能够对接入校园网络的所有用户进行访问控制管理,同时,我校教职工用工号登陆,学生用学号进行登录,校外人员需要提供有效证件并且获得相关部门的统一方可获得由网络中心统一发放的上网账号,我校的网络认证系统配有日志服务器,能够对用户的上网行为实时记录,并且保存用户上网行为日志90天以上.
(2)机房服务器安全
赤峰学院机房的服务器使用两套虚拟化软件(华为Fu-sionComputeV100R005C00SPC300和曙光虚拟化软件)动态分配部署,用虚拟计算、虚拟存储、虚拟网络等技术,完成计算资源、存储资源、网络资源的虚拟化;同时通过统一的接口,对这些虚拟资源进行集中调度和管理.系统通过获取异常日志和程序堆栈,缩短问题定位时间,快速解决异常问题.支持自动化健康检查.系统通过自动化的健康状态检查,及时发现故障并预警,确保虚拟机可运营管理.
(3)存储(数据)安全
我校的存储设备用专业的软件做RAID6,做完RAID6,在存储中任意一个硬盘故障时,仍可读出数据,在数据重构时,将数据经计算后重新置入新硬盘中从而保证了数据安全.同时,华为虚拟化软件具备快照功能,可以记录某一时间点的系统情况,并且可以手动恢复到快照的时间点,保证系统的运行安全.
(4)运维系统
我校使用校园网络运维管理系统,能够实时监控机房的温度湿度,工作人员可进行水灾、火灾的防控,同时,可以对校园网各个设备的运行情况进行实时监控,可随时查看某一线路的带宽、设备在线情况等.如遇问题可在一时间收到短信通知,将风险降到最低.
3校园网络安全管理策略
3.1信息系统定级备案
我校坚持严格执行备案制度的原则,分别于赤峰市宣传部、联通公司、电信公司做了网站备案,严格管理,校内一切网络资源只限于教职工和学生工作学习使用,坚决禁止一切商务等盈利用途.赤峰学院主页及二级网站使用统一建站系统CMS,使用统一建站系统能有效管理网站访问者的登陆权限,使内网数据库不受攻击,并且前端静态页面显示,同时,服务器安装了正版的网页防篡改软件一套,能够定期升级版本,确保了信息的安全.
3.2信息安全事件应急处置
制定健全的应急预案,如:《赤峰学院校园网络信息安全应急预案》、《数据中心机房突发事件应急预案》、《信息技术安全事件的应急报告与处置流程》等,周末及节假日有相关的值班人员每天对应用系统及机房进行检监测,以保证紧急事件紧急处理.
4小结
校园网络安全建设是一个不断推进、不断深入、不断完善的动态过程.需要清楚当前学校的网络情况及风险点,面对多种多样的安全威胁,从安全技术手段的角度出发,确保校园网络安全体系满足防护、检测、响应模式,从而降低安全风险,实现校园网络稳定可靠运行.
作者:吉岚 辛欣 单位:内蒙古广播电视大学 赤峰学院网络与信息管理处
参考文献:
〔1〕齐菊红,李春霞.校园网网络安全分析[J].兰州文理学院学报(自然科学版),2014,28(1):69-74.
〔2〕李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,18(3):91-93.
〔3〕胡光民,柯立新.校园网络安全与准入身份认证[J].上海海洋大学学报,2010,19(2):271-274.
信息化是社会发展的必然趋势,是经济全球化的内在需求,信息技术的普及应用改变了人们的思维方式和生活习惯,给整个社会带来一场深刻的革命。随着信息化社会建设步伐的不断加快,消防部队的信息化建设也要保持与时俱进,紧跟时代步伐。如今,消防部队计算机网络建设和应用虽然已经取得一定实践成果,但网络建设中的数据管理以及安全防范技术还不够成熟,计算机网络系统仍存在诸多安全隐患。而消防部队是一个程度较高的部门,保证信息系统的安全性至关重要,所以分析消防部队计算机网络安全隐患,并采用针对性安全防护措施,保证系统数据安全,保证系统免受恶意攻击是目前面临的重大问题。
1消防部队计算机网络的安全隐患
(1)人为因素方面存在的安全隐患
计算机网络技术的普及应用给官兵日常工作带来了极大的方便,只要用一台电脑就可以进行日常办公。然而,消防部队官兵网络安全意识淡薄,缺乏安全知识,或打开网页浏览网络信息后不能及时关闭网页,导致重要信息泄露;或数字证书使用后不能及时从电脑上取下,埋下安全隐患;或使用U盘、移动硬盘等移动数码存储介质时没有进行杀毒处理,极易导致系统感染病毒或造成系统信息泄露;或不注意对杀毒软件进行更新、升级,无法保证杀毒软件的监控功能和查杀功能。另外,消防部队官兵大部分不属于计算机专业,接触计算机网络项目少,缺乏网络安全维护知识,对网络安全防护操作不了解,在系统应用过程中容易出现一机两用、信息泄密、感染病毒等现象。消防部队官兵网络系统安全意识淡薄、安全防护知识缺乏为消防部队的网络系统埋下了极大的安全隐患。
(2)网络基础设施建设以及技术方面存在的安全隐患
由于受投入资金的限制,消防部分的网络信息化建设明显不完善,尤其是调度指挥网的建设以及各种专用网的建设均无法满足现实需求,即没有做到专网专机专用,在网络安全隔离方面也没有设置网闸、硬件防火墙等安全防护设施,而且仅仅采用双网卡接入方式实现部分网络的接入,使网络系统的安全性得不到保障。另外,部分网络为了调试方便,几乎在电脑硬件上不设置任何防护措施,使电脑端口呈开发状态,这样极易给一些不法人员以可乘之机吗,对系统实施恶意攻击,最终导致网络系统瘫痪。在网络安全防护技术应用方面,在安全防护技术方面的投入不足,杀毒软件等安全防护软件不能及时更新、升级,系统漏洞较多,容易受到攻击及病毒感染,甚至造成不同网络的病毒交叉感染,最终系统瘫痪。
(3)数据存储存方面存在的安全隐患
随着系统数量的不断增加,数据的存储问题越来越突出,如何保证数据的完整性、安全性使目前要解决的重要问题。导致系统数据丢失的因素有很多,网络硬件故障、系统管理不善或者自然灾害等情况均可以导致数据丢失。消防部队网络系统数据存储存在的安全风险主要体现在以下几个方面:①操作系统和数据库系统的安全防护能力不高,当系统造成恶意攻击时可导致系统崩溃,进而造成数据丢失;②系统的硬件由于兼容性的限制而无法实现数据的有效备份,一旦计算机硬盘发生故障即可导致存储数据丢失;③系统数据缺乏完善的保密机制,导致数据泄露现象频发。
2消防部队计算机网络安全隐患的应对策略
2.1加强硬件防护
硬件是实现信息化建设的基础设施,是解决网络安全问题的关键所在。首先要加强机房建设,健全机房设备,建立高效的、适用的供电系统、UPS系统、防雷系统等,机房交换机设备、路由器设备要保证具有较好的稳定性性和较高的运行速度,以确保网络通信畅通。机房服务器的运行指标要满足一定要求,保证服务器稳定、高效运行。网闸、硬件防火墙的等设备要符合公安要求,以便实现不同网络之间的对接,这对保证网络的安全运行非常重要。另外,在数据存储方面,一定要加强移动存储介质应用的管理,移动存储介质在对接公安网时要进行杀毒,存储介质在确定不含机密文件的情况下才能插入如联网。网络建设中各种硬件设备一旦发生故障要及时维修或者更换。
2.2加强软件防护
消防部队的网络建设需要安装正版的系统软件,一方面保证系统的性能,另一方面保证系统的安全。在数据库的管理和应用中,需要由专业的计算机网络管理人员进行数据库操作,在设计数据库的过程中要考虑到各数据之间的关系,并正确配置,对数据库的用户数量进行一定限制,明确不同用户的职责范围和使用权限,对于一些机密数据要进行加密处理。为了保证数据的完整性和有效性,要做好数据库数据备份工作,制定完善的数据备份策略。严格遵守软件的开发要求,有必要时需要关闭影响网络安全的服务,以确保系统的安全运行。加强网络安全技术应用,安装杀毒软件,设置防火墙,定期检查和修复系统漏洞,同时注意对杀毒软件的更新。目前应用较广泛的计算机网络安全防范技术有加密技术、防火墙、病毒防护技术、入侵检测技术等。①加密技术是进行网络安全防护的核心技术,经过多样的研究和开发,现代加密技术基本已经实现了数据保密性、数据完整性、数据真实性以及数据可控性的完美结合,在当前的网络信息安全管理中发挥着重要作用。②防火墙是阻挡网络外部风险的重要措施,是一种用于加强网络之间安全访问控制,阻止外部网络用户以非法手段进入内部网络,是一种非常有效的安全策略。根据所采用技术的不同,防火墙可分为多个类型,包括过滤性防火墙、型防火墙、监测型防火墙等等。③病毒是网络安全的最大隐患之一,采用有效的防病毒技术可以防止病毒对计算机系统造成破坏。当前的防病毒技术主要有病毒预防技术、病毒检测技术以及病毒消除技术等。
2.3加强管理
(1)建立健全的网络安全防范机制
其一,制定物理隔离相关规定,并加强执行力度,以消除一机两用的现象;其二,规范网络安全管理和维护,局域网内需安装网络版防病毒软件以及其他安全防护软件,并进行及时更新、升级,以便最大程度消除安全隐患。其三,针对网络病毒制定有效的应急预案,以应对大规模的病毒发作,提高系统运行性能和应急能力。
(2)对主机本身进行安全加固
服务器是网络系统中的关键部分,一定因为服务器问题引发安全问题或者导致系统瘫痪将会造成不可估量的损伤,所以网络系统的安全防护必须要重视对服务器的管理,对重点服务器进行安全加固。服务器加固的方法有多种,常见的有增打补丁、或利用安全扫描技术对系统服务器进行扫描分析,以便找出系统中潜在的安全隐患,并及时消除。另外,对重要的、安全级别较高的系统建立应急预案,同时建立数据安全策略。
(3)制定详细的管理措施
为了进一步加强安全管理,消防部队应根据实际需求制定比较详细的管理细节,同时对计算机系统进行安全风险评估,通过对系统的定期分析了解系统各个层次的安全状况以及潜在的风险,信息安全评估内容包括物理安全、网络安全、系统安全、软件安全、数据安全、应用安全、管理安全等等多个方面,其中尤其要重视软件的安全,详细分析各种安全要素,以保证系统软件的安全应用。
(4)制定完善的访问控制策略
有效的控制访问策略是提高系统安全抵抗能力,缺乏系统数据安全性的重要手段。网络系统的安全控制管理一方面要建立认证系统,为确保系统数据信息的安全性必须要加强访问权限管理。另一方面可以充分应用IP限制技术、或者与MAC绑定技术加强系统访问控制管理。
(5)提高全员的安全意识,加强安全知识学习
随着网络系统的普及应用,提高安全意识是保证网络系统安全性的关键所在。其一,必须要从思想上认识到网络安全防护的重要性,杜绝使用未经杀毒处理、或者其他来历不明的软件,不随便查看、阅读、下载网络上来历不明的邮件或者文件;其二,用户应增强安全防护意识,对计算机系统要设置密码,不使用影响系统完全的服务,取消完全共享,并定期对系统和相关软件进行杀毒,增打补丁。其三,对全体官兵进行网络安全知识教育和普及,并落实网络安全责任,培养高素质的计算机网络安全维护人才。
3结论
网络安全防护是一个比较复杂的、需要长期坚持的任务,随着计算机技术的快速发展,计算机病毒、网络攻击等威胁系统安全的技术也不断升级、更新,让人防不慎防范。在网络安全问题逐渐多样化、复杂化的趋势性,网络安全防护也需要从多方面加强防护措施,建立多层次的、立体的防护体系,全方位维护网络系统的安全。
作者:李哲强 单位:呼伦贝尔市公安消防支队司令部
引用:
[1]唐镇.基层消防部队网络和信息安全问题及管理对策[J].网络安全技术与应用,2015.
[2]郭浩.当前消防部队网络信息安全问题及措施分析[J].信息安全与技术,2013.
[3]刘霄.消防部队网络安全问题及对策[J].信息与电脑(理论版),2014.
