導(dǎo)語:在網(wǎng)絡(luò)安全運維技術(shù)的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑����,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能����。
第1篇
【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運維與安全管理
引言:
目前,隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展��,醫(yī)院�����、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的��、小型業(yè)務(wù)系統(tǒng)逐漸向大型����、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。面對日趨復(fù)雜的IT系統(tǒng)�����,不同背景的運維人員已給企事業(yè)信息系統(tǒng)安全運行帶來較大的潛在風(fēng)險�����,如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲著重要的數(shù)據(jù)資源����,是醫(yī)院正常運行必不可少的組成部分��,所以必須加強安全保障體系的建設(shè)��。于是��,堡壘機在醫(yī)院中的應(yīng)用�����,為醫(yī)院工作的應(yīng)用提供了安全可靠的運行環(huán)境��。
傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)給醫(yī)院的的運維安全問題帶來了很多風(fēng)險����,如:賬號管理無秩序,暗藏巨大隱患��;粗放式權(quán)限管理的安全性難以保證�����;設(shè)備自身陳舊,無法審計運維加密協(xié)議�����、遠程桌面內(nèi)容等��,從而難以有效定位安全事件����。
以上所面臨的風(fēng)險嚴重破壞政府、醫(yī)院��、企業(yè)等的信息系統(tǒng)安全����,已經(jīng)成為其信息系統(tǒng)安全運行的嚴重隱患,尤其是醫(yī)院�����,將影響其效益����。尤其醫(yī)院信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程����,涉及人�����、技術(shù)����、操作等要素��,單靠技術(shù)或單靠管理都不可能實現(xiàn)�����。
因此在考慮安全保障體系時�����,必須將各種安全技術(shù)與運行管理機制����、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。
如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播��,準確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)�����,及時發(fā)現(xiàn)違反安全策略的事件并實時告警����、記錄,同時進行安全事件定位分析�����,事后追查取證��,滿足合規(guī)性審計要求����,是企事業(yè)迫切需要解決的問題,即IT運維安全管理的變革已刻不容緩��!
堡壘機提供一套先進的運維安全管控與審計解決方案��,它通過網(wǎng)絡(luò)數(shù)據(jù)的采集����、分析����、識別����,實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量��,發(fā)現(xiàn)和捕獲各種敏感信息��、違規(guī)行為��,實時報警響應(yīng)����,全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件��,實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析�����、評估及安全事件的準確全程跟蹤定位����,為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持����。
隨著堡壘機在醫(yī)院中的應(yīng)用��,其主要實現(xiàn)了以下功能:
1)賬號管理集中
堡壘機建立于唯一身份標識的全局實名制管理����,支持統(tǒng)一賬號管理策略,實現(xiàn)與各服務(wù)器����、網(wǎng)絡(luò)設(shè)備等無縫連接,集中管理主賬號(普通用戶)����、從賬號(目標設(shè)備系統(tǒng)賬號)及相關(guān)屬性。
2)訪問控制集中
堡壘機通過集中對應(yīng)用系統(tǒng)的訪問控制�����,通過對主機�����、服務(wù)器、網(wǎng)絡(luò)��、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制����,確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,實現(xiàn)集中有序的運維操作管理����,防止非法、越權(quán)訪問事件的發(fā)生����。
3)安全審計集中
基于唯一身份標識,堡壘機通過對用戶從登錄到退出的全程操作行為審計�����,監(jiān)控用戶對被管理設(shè)備的所有敏感的關(guān)鍵操作�����,提供分級告警�����,聚焦關(guān)鍵事件�����,能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對安全事件及時預(yù)警發(fā)現(xiàn)�����、準確可查的功能����。
通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量�����、應(yīng)用提供比例����、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況����、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險情況等這些情況有較全面的了解��。
信息安全是一個動態(tài)的過程,要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施��,適應(yīng)新的網(wǎng)絡(luò)環(huán)境�����,M足新的網(wǎng)絡(luò)安全需求����。
安全管理制度也有一個不斷完善的過程,經(jīng)過安全事件的處理和安全風(fēng)險評估����,會發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗教訓(xùn)和安全風(fēng)險評估的結(jié)果�����,對信息安全管理策略進行修改�����,對信息安全管理范圍進行調(diào)整��。
參 考 文 獻
[1]趙瑞霞.構(gòu)建堡壘主機抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2010����,08.
第2篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全 管理流程 安全體系框架 安全防護策略
中圖分類號:TP 文獻標識碼:A 文章編號:1009-914X(2017)01-0394-01
企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運行和信息內(nèi)容安全����、運行維護的多個方面,包括物理安全����、網(wǎng)絡(luò)安全、主機安全��、應(yīng)用安全�����、網(wǎng)站安全����、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容��,這些方方面面的安全需求,也就要求企業(yè)要有一流的安全隊伍�����、合理的安全體系框架以及切實可行的安全防護策略�����。
一��、強化安全隊伍建設(shè)和管理要求
企業(yè)要做好�����、做優(yōu)網(wǎng)絡(luò)安全工作��,首先要面臨的就是組織機構(gòu)和人才隊伍建設(shè)問題����,因此,專門的網(wǎng)絡(luò)安全組織機構(gòu)對每個企業(yè)來講都是必不可少的����。在此基礎(chǔ)上,企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練、安全檢查等工作成果和反饋意見����,持續(xù)加強網(wǎng)絡(luò)安全管理隊伍建設(shè)����,細化安全管理員和系統(tǒng)管理員的安全責(zé)任,進一步明確具體的分工安排及責(zé)任人�����,形成清晰的權(quán)責(zé)體系����。同時,在企業(yè)網(wǎng)絡(luò)自查工作部署上����,也要形成正式的檢查結(jié)果反饋意見,并在網(wǎng)絡(luò)安全工作會議上明確檢查的形式����、流程及相關(guān)的文件和工作記錄安排,做到分工明確����、責(zé)任到人��,做到規(guī)范化��、流程化�����、痕跡化管理�����,形成規(guī)范的檢查過程和完整的工作記錄�����,從而完成管理流程和要求的塑造�����,為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強勁����、持久的源動力和執(zhí)行力����。
二����、搭建科學(xué)合理的安全體系框架
一般來講����,我國有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心����,以管理體系、技術(shù)體系和運維體系共同支撐的一個框架����,其較為明顯的特點是:上下貫通、前后協(xié)同����、分級分域、動態(tài)管理����、積極預(yù)防。
上下貫通����,就是要求企業(yè)整個網(wǎng)絡(luò)安全工作的引領(lǐng)與落實貫通一致��,即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實際的工作中得到貫徹實施��;前后協(xié)同�����,就是要求企業(yè)得網(wǎng)絡(luò)安全組織機構(gòu)和人員����,要積極總結(jié)實際的工作經(jīng)驗和成果��,結(jié)合企業(yè)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢����,最新的國際、國內(nèi)安全形勢變化�����,每年對企業(yè)的網(wǎng)絡(luò)安全方針和策略進行不斷的修正����,達到前后協(xié)同的效果�����。分級分域�����,就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓撲架構(gòu)�����、各個業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲及使用的相關(guān)數(shù)據(jù)重要程度��、各個系統(tǒng)及服務(wù)的使用人員等情況��,明確劃分每個員工的系統(tǒng)權(quán)限��、網(wǎng)絡(luò)權(quán)限��,對使用人員進行分級管理����,并對相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進行分區(qū)域管理�����,針對不同區(qū)域的設(shè)備設(shè)定不同的安全級別。
動態(tài)管理��,就是要求企業(yè)的整體安全策略和方針��、每個階段的安全計劃和工作內(nèi)容��,都要緊密跟蹤自身的信息化發(fā)展變化情況��,并要在國內(nèi)突發(fā)或重大安全事件的引導(dǎo)下��,適時調(diào)整����、完善和創(chuàng)新安全管理模式和要求,持續(xù)提升����、改進和強化技術(shù)防護手段,保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)����,與國內(nèi)的信息安全形勢相契合;積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開發(fā)全過程����,包括可研分析�����、經(jīng)濟效益分析��、安全分析����、系統(tǒng)規(guī)劃設(shè)計��、開工實施��、上線運行����、維護保障等多個環(huán)節(jié)上要抱有主動的態(tài)度����,采取積極的防護措施,不要等到問題發(fā)生了再去想對策����、想辦法�����,要盡可能的提前評估潛在的安全隱患����,并著手落實各種預(yù)防性措施��,并運用多種監(jiān)控工具和手段�����,定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)�����,提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力����。
三、落實切實可行的安全防護策略
在安全策略方面����,企業(yè)的安全防護策略制定思路可以概括為:依據(jù)國家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)、制度��,按照相關(guān)行業(yè)標準規(guī)范要求����,結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略,契合最新的安全形勢和安全事件�����,從總體方針和分項策略兩個方面進行制定并完善網(wǎng)絡(luò)安全策略體系����,并在后續(xù)的工作中,以總方針為指導(dǎo)�����,逐步建立覆蓋網(wǎng)絡(luò)安全各個環(huán)節(jié)的網(wǎng)絡(luò)安全分項策略�����,作為各項網(wǎng)絡(luò)安全工作的開展��、建立目標和原則��。
在網(wǎng)絡(luò)安全管理體系方面��,企業(yè)要將上述安全策略�����、方針所涉及的相關(guān)細化目標�����、步驟�����、環(huán)節(jié)形成具體可行的企業(yè)管理制度��,以制度的形勢固化下來��,并強化對相關(guān)企業(yè)領(lǐng)導(dǎo)��、安全機構(gòu)管理人員��、業(yè)務(wù)辦公人員的安全形勢和常識培訓(xùn)�����,提高企業(yè)從上至下的安全防護能力和安全水平;在運維管理體系建設(shè)方面��,企業(yè)要對每個運維操作進行實時化監(jiān)控��,在不借助第三方監(jiān)控工具如堡壘機的條件下�����,要由專人進行監(jiān)管�����,以防止運維操作帶來的安全隱患�����,同時��,企業(yè)也要階段性的對各個網(wǎng)絡(luò)設(shè)備��、業(yè)務(wù)系統(tǒng)��、安全設(shè)備等進行安全評估����,分析存在的安全漏洞或隱患,制定合理的解決措施�����,從而形成日常安全運維����、定期安全評估、季度安全分析等流程化管理要求和思路�����。
在技術(shù)防護體系建設(shè)方面��,企業(yè)可以參照PPDRR模型��,通過“策略�����、防護�����、檢測����、響應(yīng)�����、恢復(fù)”這五個環(huán)節(jié)����,不斷進行技術(shù)策略及體系的修正��,從而搭建一套縱向關(guān)聯(lián)����、橫向支撐的架構(gòu)體系,完成對主機安全����、終端安全、應(yīng)用安全����、網(wǎng)絡(luò)安全、物理安全等各個層面的覆蓋�����,實現(xiàn)技術(shù)體系的完整性和完備性。企業(yè)常用的技術(shù)防護體系建設(shè)可以從以下幾個方面考慮:
(1)區(qū)域邊界防護策略:企業(yè)可以考慮在各個區(qū)域的邊界�����、互聯(lián)網(wǎng)或者局域網(wǎng)出口部署下一代防火墻����、入侵檢測與防御設(shè)備(如果條件合適�����,可以考慮選擇入侵防御設(shè)備)��、上網(wǎng)行為管理����、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備,從而對互聯(lián)網(wǎng)出口或者重要區(qū)域邊界進行全面的防護��,提高內(nèi)網(wǎng)出入接口的安全保障水平����。此外,針對有企業(yè)生產(chǎn)網(wǎng)的情況��,要對生產(chǎn)網(wǎng)與內(nèi)網(wǎng)進行物理隔離,并對接入生產(chǎn)網(wǎng)的各種終端設(shè)備進行防病毒查收����、報備,防止影響生產(chǎn)安全的各種事件發(fā)生��,保障企業(yè)的財產(chǎn)安全�����。
第3篇
一����、網(wǎng)絡(luò)維護及建設(shè)
1、城域網(wǎng)維護建設(shè)
1)�����、在分公司的正確領(lǐng)導(dǎo)及相關(guān)部門的大力支持下����,運維部全體人員的勤奮工作。城域網(wǎng)維護截止11月份�����,運維部共處理用戶故障非電子派單電話報修518次,電子派單3687次��,安裝用戶1869戶��,搬遷用戶288戶����,平移用戶147戶����,開通副機用戶152戶,提高了網(wǎng)絡(luò)覆蓋質(zhì)量����,更有力的提升了市場競爭力。
2)新區(qū)網(wǎng)絡(luò)新建工程立項7項����,實施7項等幾個光節(jié)點網(wǎng)絡(luò)覆蓋面積,促進了業(yè)務(wù)發(fā)展和業(yè)務(wù)收入的增加����。
3)、完成城域網(wǎng)建成管道建成4.98千米及配套設(shè)施建設(shè)�����。
4)、運維部必須及時認真上報當(dāng)月的《網(wǎng)絡(luò)維護月報表》����、《安全隱患月報表》、《電子派單周����、月報表》、《新裝用戶月報表》的工作����。
2、網(wǎng)絡(luò)優(yōu)化建設(shè)
運維部在分公司領(lǐng)導(dǎo)的直接指導(dǎo)下����,實時對城區(qū)網(wǎng)優(yōu)不徹底區(qū)域地點進行不間斷的網(wǎng)優(yōu)及線路改造工作。
3��、鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)建設(shè)
1)����、根據(jù)省、地公司和縣分公司安排,在分公司領(lǐng)導(dǎo)親自帶領(lǐng)下����,年初對全縣所轄區(qū)鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)進行了數(shù)字電視整轉(zhuǎn)前的規(guī)劃與設(shè)計。
2)����、20XX年對全縣所轄區(qū)20個鄉(xiāng)鎮(zhèn)中16個鄉(xiāng)鎮(zhèn)的網(wǎng)絡(luò)進行優(yōu)化改造及1個鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)的新建工作。
3)�����、縣鄉(xiāng)聯(lián)網(wǎng)鄉(xiāng)鎮(zhèn)有線電視用戶整轉(zhuǎn)平移3540戶�����,鄉(xiāng)鎮(zhèn)有線新裝電視用戶1629戶����。全縣鄉(xiāng)鎮(zhèn)有線數(shù)字電視用戶總數(shù)5169戶����。
二、加強技術(shù)培訓(xùn)��,提高隊伍素質(zhì)
運維部承擔(dān)分公司工程建設(shè)的主要隊伍,面對工程建設(shè)��、網(wǎng)絡(luò)安全干線安全重要任務(wù)��,要在短時間內(nèi)保質(zhì)保量完成�����,無論是組織工作��,還是技術(shù)工作都存在較多的難題��。為此��,分公司把開展技術(shù)培訓(xùn)作為一項確保工程質(zhì)量����、進度的重要措施來抓,采取走出去請進來的方式����,不但多次派員工參加省、地公司舉行培訓(xùn)學(xué)習(xí)��,經(jīng)常利用部門開會時間組織運維人員進行集中學(xué)習(xí)培訓(xùn)��,還和鄰近兄弟公司進行面對面經(jīng)驗和技術(shù)的交流,提高了維護人員的技能�����。
三����、存在問題及不足
1、目前運維部整體須加強思想認識�����、提高工作效率�����、提升服務(wù)水平��。
2��、特別注重安全生產(chǎn)搞好網(wǎng)絡(luò)干線巡檢工作��。
3����、運維部目前極其缺乏新技術(shù)、新業(yè)務(wù)的尖端人才��,針對下一步的數(shù)字雙向網(wǎng)絡(luò)��、數(shù)據(jù)等新業(yè)務(wù)����,加強能承擔(dān)新的維護任務(wù)技術(shù)的培訓(xùn)及業(yè)務(wù)學(xué)習(xí)。
4�����、加強運維文檔的管理��,提高維護質(zhì)量����。做好每月必須及時認真上報的各類報表。
5��、隨著城區(qū)網(wǎng)絡(luò)的進一步擴大��,交通工具的問題不多地制約著運維部的快速反應(yīng)機制����。
四�����、20**年工作計劃
1�����、繼續(xù)抓好網(wǎng)絡(luò)維護質(zhì)量管理和科技維護水平����,提高網(wǎng)絡(luò)運行質(zhì)量�����。
2����、繼續(xù)抓好、抓實省一二干線巡查工作��。
3����、積極配合做好城域網(wǎng)�����、本地傳輸網(wǎng)、城區(qū)管道及鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)建設(shè)服務(wù)等工作的準備開工建設(shè)及其他工作任務(wù)�����。
4��、按計劃搞好網(wǎng)絡(luò)新建��、小區(qū)新建的立項及建設(shè)和竣工及驗收工作����。
第4篇
關(guān)鍵詞 大數(shù)據(jù) 網(wǎng)絡(luò)安全 態(tài)勢感知
中圖分類號:TP393.08 文獻標識碼:A
0 引言
對于一個大型網(wǎng)絡(luò),在網(wǎng)絡(luò)安全層面��,除了訪問控制�����、入侵檢測�����、身份識別等基礎(chǔ)技術(shù)手段�����,需要安全運維和管理人員能夠及時感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢。對于安全運維人員來說����,如何從成千上萬的安全事件和日志中找到最有價值、最需要處理和解決的安全問題��,從而保障網(wǎng)絡(luò)的安全狀態(tài)��,是他們最關(guān)心也是最需要解決的問題�����。與此同時����,對于安全管理者和高層管理者而言,如何描述當(dāng)前網(wǎng)絡(luò)安全的整體狀況����,如何預(yù)測和判斷風(fēng)險發(fā)展的趨勢,如何指導(dǎo)下一步安全建設(shè)與規(guī)劃����,則是一道持久的難題。
隨著大數(shù)據(jù)技術(shù)的成熟����、應(yīng)用與推廣,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)有了新的發(fā)展方向�����,大數(shù)據(jù)技 術(shù)特有的海量存儲����、并行計算、高效查詢等特點��,為大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)創(chuàng)造了突破的機遇����。本文將對大規(guī)模網(wǎng)絡(luò)環(huán)境下的安全態(tài)勢感知、大數(shù)據(jù)技術(shù)在安全感知方面的促進做一些探討�����。
1 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知
隨著網(wǎng)絡(luò)的發(fā)展�����,大規(guī)模網(wǎng)絡(luò)所引發(fā)的安全保障的復(fù)雜度激增,主要面臨的問題包括:安全數(shù)據(jù)量巨大�����;安全事件被割裂����,從而難以感知;安全的整體狀況無法描述��。
網(wǎng)絡(luò)安全感知能力具體可分為資產(chǎn)感知�����、脆弱性感知��、安全事件感知和異常行為感知4個方面����。資產(chǎn)感知是指自動化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況�����、屬性等信息;脆弱性感知則包括3個層面的脆弱性感知能力:不可見��、可見��、可利用�����;安全事件感知是指能夠確定安全事件發(fā)生的時間����、地點����、人物、起因��、經(jīng)過和結(jié)果����;異常行為感知是指通過異常行為判定風(fēng)險,以彌補對不可見脆弱性����、未知安全事件發(fā)現(xiàn)的不足,主要面向的是感知未知的攻擊。
隨著Hadoop��、NoSQL等技術(shù)的興起����,BigData大數(shù)據(jù)的應(yīng)用逐漸增多和成熟,而大數(shù)據(jù)自身擁有Velocity快速處理�����、Volume大數(shù)據(jù)量存儲��、Variety支持多類數(shù)據(jù)格式三大特性�����。大數(shù)據(jù)的這些天生特性�����,恰巧可以用于大規(guī)模網(wǎng)絡(luò)的安全感知�����。首先��,多類數(shù)據(jù)格式可以使網(wǎng)絡(luò)安全感知獲取更多類型的日志數(shù)據(jù),包括網(wǎng)絡(luò)與安全設(shè)備的日志�����、網(wǎng)絡(luò)運行情況信息����、業(yè)務(wù)與應(yīng)用的日志記錄等;其次��,大數(shù)據(jù)量存儲與快速處理為高速網(wǎng)絡(luò)流量的深度安全分析提供了技術(shù)支持�����,可以為高智能模型算法提供計算資源�����;最后����,在異常行為的識別過程中��,核心是對正常業(yè)務(wù)行為與異常攻擊行為之間的未識別行為進行離群度分析����,大數(shù)據(jù)使得在分析過程中采用更小的匹配顆粒與更長的匹配時間成為可能�����。
2目前研究成果
中國移動自2010年起在云計算和大數(shù)據(jù)方面就開始了積極探索����。中國移動的“大云”系統(tǒng)目前已實現(xiàn)了分布式海量數(shù)據(jù)倉庫����、分布式計算框架、云存儲系統(tǒng)��、彈性計算系統(tǒng)��、并行數(shù)據(jù)挖掘工具等關(guān)鍵功能����。在“大云”系統(tǒng)的基礎(chǔ)上,中國移動的網(wǎng)絡(luò)安全感知也具備了一定的技術(shù)積累�����,進行了大規(guī)模網(wǎng)絡(luò)安全感知和防御體系的技術(shù)研究�����,在利用云平臺進行脆弱性發(fā)現(xiàn)方面的智能型任務(wù)調(diào)度算法、主機和網(wǎng)絡(luò)異常行為發(fā)現(xiàn)模式等關(guān)鍵技術(shù)上均有突破��,在安全運維中取得了一些顯著的效果�����。
3總結(jié)
大數(shù)據(jù)的出現(xiàn)�����,擴展了計算和存儲資源����,提供了基礎(chǔ)平臺和大數(shù)據(jù)量處理的技術(shù)支撐����,為安全態(tài)勢的分析、預(yù)測創(chuàng)造了無限可能��。
參考文獻
[1] 龔正虎����,卓瑩.網(wǎng)絡(luò)態(tài)勢感知研究[J].軟件學(xué)報�����,2010����,21(7):1605-1619.
[2] 韋勇��,連一峰��,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展��,2009�����,46(3):353-362.
第5篇
關(guān)鍵詞:堡壘主機�����;內(nèi)控管理�����;運維審計����;實踐案例
中圖分類號: TP393.08 文獻標識碼:A 文章編號:1672-3791(2015)05(c)-0000-00
近年來�����,筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級應(yīng)用階段發(fā)展至高級應(yīng)用階段��,而伴隨著這個過程產(chǎn)生的信息化應(yīng)用與信息安全管理的矛盾也愈發(fā)突出[1]�����。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項網(wǎng)絡(luò)安全和網(wǎng)絡(luò)分析產(chǎn)品��,已經(jīng)形成了較為完善的信息安全防護體系��,主要技術(shù)人員也積累了運維經(jīng)驗�����。但信息系統(tǒng)故障等網(wǎng)絡(luò)安全問題仍然時有發(fā)生。通過分析故障產(chǎn)生的原因�����,發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作����。傳統(tǒng)意義的安全防護系統(tǒng)可以從技術(shù)角度解決一些潛在的安全問題�����,但對于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術(shù)原因造成的損害更為嚴重��。
國家公安部《信息系統(tǒng)安全等級保護基本要求》中明確規(guī)定了二級(含)以上的重要信息系統(tǒng)網(wǎng)絡(luò)安全����、主機安全����、應(yīng)用安全都需要具備安全審計功能[2],所以��,根據(jù)等級保護要求以及本單位的實際情況�����,我們迫切需要一種有效的手段來對內(nèi)部人員的設(shè)備維護行為進行控制和審計�����,解決信息安全管理中遇到的難題����。難題具體體現(xiàn)在:運維權(quán)限分配復(fù)雜����、系統(tǒng)密碼管理不足�����、操作風(fēng)險難以控制����、共享賬號安全隱患、系統(tǒng)資源授權(quán)不清晰��、訪問控制策略不嚴格����、重要操作無法有效審計等。而以上這些信息安全問題��,通過引入內(nèi)控堡壘主機并結(jié)合管理措施之后基本得到了有效解決��。
1 內(nèi)控堡壘主機介紹
1.1 什么是內(nèi)控堡壘主機�����?
最早的堡壘主機主要定位于防御外部進攻[3]�����。通過將其部署在防火墻或路由器之外��,可以使那些需要面向外部的服務(wù)集中于堡壘主機上進行集中保護�����,以此來換取內(nèi)部網(wǎng)絡(luò)的安全�����。
而隨著信息化應(yīng)用的日趨復(fù)雜�����,由被動防御型的堡壘主機發(fā)展出來了更加偏重于對內(nèi)部網(wǎng)絡(luò)��、應(yīng)用和數(shù)據(jù)進行綜合安全保護的管理控制平臺����,也就是我們所說的內(nèi)控堡壘主機。它從網(wǎng)絡(luò)內(nèi)部出發(fā),通過多種信息安全技術(shù)(訪問控制��、身份認證��、虛擬化�����、協(xié)議����、操作審計等)實現(xiàn)用戶對內(nèi)部網(wǎng)絡(luò)資源的安全訪問,同時對用戶的操作過程形成完整的審計記錄����。這樣的內(nèi)控平臺正可以有效地解決我們在日常運維和內(nèi)控管理中遇到的難題。
1.2 功能特點
1.2.1 設(shè)備的集中管控
內(nèi)控堡壘主機可以將服務(wù)器和網(wǎng)絡(luò)設(shè)備的信息�����,以及用戶信息和訪問權(quán)限提前配置在堡壘主機中����,這樣便從傳統(tǒng)的分布式管理模式轉(zhuǎn)變成可控的集中式管理模式,以此為基礎(chǔ)帶來了設(shè)備管理效率和安全穩(wěn)定性的提升����。
1.2.2 操作的集中審計
內(nèi)控堡壘主機通過協(xié)議的方式,將原來從某臺內(nèi)網(wǎng)終端直接通過遠程連接對網(wǎng)絡(luò)設(shè)備和服務(wù)器進行操作的不可控的分散管理方式�����,轉(zhuǎn)變成為了用戶必須集中至堡壘主機的統(tǒng)一入口再對有授權(quán)的設(shè)備進行操作�����。而全部操作都通過協(xié)議錄制得到記錄��,實現(xiàn)了精細化的集中操作審計��。
總之��,內(nèi)控堡壘主機結(jié)合了傳統(tǒng)的4A 理念��,即賬號管理����、認證管理、授權(quán)管理�����、安全審計,與應(yīng)用技術(shù)����,形成了一個完善且可控的遠程接入解決方案。一方面��,統(tǒng)一身份認證和統(tǒng)一訪問授權(quán)使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權(quán)管理才可以接入設(shè)備�����,滿足了信息安全等級保護的要求�����;另一方面��,全面的審計功能讓管理員不但可以完整錄制會話過程����,還可以實時監(jiān)視遠程訪問會話并及時終止非法操作。
2 制定解決方案
2.1 信息安全等級保護要求
根據(jù)信息安全等級保護第三級[4]的相關(guān)要求制定內(nèi)控堡壘主機的解決方案��,可以滿足在要求中涉及到的網(wǎng)絡(luò)安全����、主機安全����、應(yīng)用安全�����、數(shù)據(jù)安全及備份恢復(fù)五項技術(shù)方面的要求��,以及安全管理機構(gòu)�����、人員安全管理�����、系統(tǒng)運維管理三項管理方面的要求�����。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機針對每一項提供的解決方案�����,整理如下表1�����。
2.2 設(shè)計原則
2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則
資源訪問的安全設(shè)計需要綜合考慮信息網(wǎng)絡(luò)的各個環(huán)節(jié)和全部實體����,然后在不同層次上綜合使用多種安全手段,為內(nèi)部信息網(wǎng)絡(luò)和安全業(yè)務(wù)提供管理和服務(wù)����。
2.2.2 標準化原則
項目的安全體系設(shè)計嚴格遵循了國家標準,如《信息系統(tǒng)安全等級保護基本要求》��。在達到標準要求的同時能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實現(xiàn)安全的互聯(lián)互通�����。
2.2.3 需求��、風(fēng)險����、成本平衡原則
任何信息系統(tǒng)都無法做到絕對安全,所以設(shè)計時就需要明確性能要求以及側(cè)重點����,然后從需求出發(fā)��,在功能�����、風(fēng)險和成本之間進行平衡和折中[5]�����。
2.2.4 實用�����、高效、可擴展原則
無論現(xiàn)狀如何�����,隨著技術(shù)發(fā)展信息系統(tǒng)仍將不斷變化�����,哪怕在系統(tǒng)實施過程中��,系統(tǒng)的結(jié)構(gòu)�����、配置也會發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應(yīng)這些變化����,使其符合“有層次、成體系”的標準����,既有利于系統(tǒng)安全,又有利于擴展��。
2.2.5 技術(shù)��、管理相結(jié)合原則
為了使內(nèi)控堡壘主機可以發(fā)揮其應(yīng)有的效果����,管理者必須首先根據(jù)系統(tǒng)的功能特點來重新梳理和完善現(xiàn)有的運行管理機制和安全規(guī)章制度,同時對技術(shù)人員進行思想教育和技術(shù)培訓(xùn)��。通過合理的規(guī)定和具體培訓(xùn)��,才能完成系統(tǒng)的應(yīng)用��。
2.3 設(shè)計思路
2.3.1 集中管理模式
管理模式?jīng)Q定了管理的高度,所以明確管理模式應(yīng)當(dāng)是我們要確定首要因素�����。根據(jù)多年的運維實踐發(fā)現(xiàn)�����,我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強�����,這樣導(dǎo)致了人為因素造成的運行故障比例居高不下����,缺少有效的審計手段��。因此迫使我們必須由分散的管理模式轉(zhuǎn)變?yōu)榧械墓芾砟J?�。集中管理是運維管理思想的必然發(fā)展趨勢和唯一選擇[6]����。通常,集中管理包括:集中的資源訪問入口����、集中的賬號管理����、集中的授權(quán)管理����、集中的認證管理、集中的審計管理等等��。
2.3.2 訪問協(xié)議
內(nèi)控堡壘主機通過對各平臺所使用的協(xié)議進行來實現(xiàn)對操作行為的審計和監(jiān)控[7]����。比如SSH、TELNET�����、FTP��、RDP�����、VNC等等Windows或Linux平臺上的訪問協(xié)議����。
2.3.3 身份授權(quán)分離
為避免傳統(tǒng)方式的共享賬號����、弱口令賬號等問題導(dǎo)致的安全漏洞����,我們的解決思路是將身份和授權(quán)分離。首先建立用于身份認證的獨立賬號體系����,然后保留各系統(tǒng)賬號但使其由堡壘主機接管并定期更新密碼,使得被管理設(shè)備本身的系統(tǒng)賬號僅用于系統(tǒng)授權(quán)而剝離其身份認證功能�����,有效增強了身份認證和系統(tǒng)授權(quán)的可靠性��。
2.4 系統(tǒng)構(gòu)架
我們部署的內(nèi)控堡壘主機由展現(xiàn)層��、核心服務(wù)層��、接口管理層三層結(jié)構(gòu)組成�����。
展現(xiàn)層面向用戶����,集成了多種包括匙扣令牌在內(nèi)的強身份認證方式,分別對系統(tǒng)管理員和運維用戶提供不同的訪問操作頁面��。
核心服務(wù)層面向授權(quán)和協(xié)議��,部署在服務(wù)器上�����。在核心服務(wù)層上完成賬號管理����、授權(quán)管理及策略設(shè)置等操作。其中的協(xié)議包含用戶輸入模塊����、命令捕獲引擎、策略控制和日志服務(wù)��,所以具備對用戶行為進行監(jiān)視��、控制和記錄的功能����。
接口管理層面向個信息系統(tǒng)����,用于實現(xiàn)審計結(jié)合����、賬號同步、認證結(jié)合等方面的數(shù)據(jù)接口工作��。另外它還包含應(yīng)用服務(wù)����,以此來實現(xiàn)對B/S、C/S�����、半B/S半C/S系統(tǒng)的單點登錄及審計工作����。
3 內(nèi)控堡壘主機的實施
系統(tǒng)的實施過程中,我們將堡壘主機及其應(yīng)用服務(wù)器的部署位置單獨剝離開劃分為管理區(qū)�����,把內(nèi)部網(wǎng)絡(luò)的其他設(shè)備如服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、數(shù)據(jù)庫等等劃分為業(yè)務(wù)區(qū)�����。在內(nèi)控堡壘主機部署上架后�����,運維人員將集中通過內(nèi)控堡壘主機對業(yè)務(wù)區(qū)的目標設(shè)備進行日常運維操作����。
設(shè)備上架后,我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務(wù)器的端口限制�����。這樣當(dāng)用戶訪問設(shè)備時��,堡壘主機才可以完成對TELNET(端口23)、SSH(端口22)�����、RDP(端口3389)等協(xié)議的訪問具體設(shè)備�����,并在堡壘主機上完成對設(shè)備的單點登錄及會話的完整審計�����。
4 結(jié)語
在信息化水平快速發(fā)展的今天�����,技術(shù)發(fā)展與管理模式相輔相成����。信息安全不僅需要先進的設(shè)備和嫻熟的技術(shù),更需要完善的制度和審計手段�����。內(nèi)控堡壘主機的實施切實有效地規(guī)范了內(nèi)外部維護人員對IT基礎(chǔ)設(shè)施的維護行為����,彌補了操作審計空白��。它通過集中管理的模式,借助于協(xié)議��、身份授權(quán)分離等技術(shù)��,極大地減少了維護人員誤操作或惡意操作的概率��,縮短了故障定位時間����。這次內(nèi)控堡壘主機的實施完善了筆者所在單位的信息安全保護體系,將有助于提高信息系統(tǒng)運行的安全性和穩(wěn)定性��。
參考文獻:
[1]潘玉. 新一代堡壘主機[J]. 信息安全與通信保密�����,2011��,05:45.
[2]韓榮杰����,于曉誼. 基于堡壘主機概念的運維審計系統(tǒng)[J]. 信息化建設(shè)��,2012����,01:56-59.
[3]趙瑞霞����,王會平. 構(gòu)建堡壘主機抵御網(wǎng)絡(luò)攻擊[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010��,08:26-27.
[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008�����, 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S]. 北京:中國標準出版社����,2008.
[5]韓海航,王久輝. 大型交通網(wǎng)絡(luò)系統(tǒng)安全保障體系研究[J]. 計算機安全�����,2007�����,10:77-80.
[6]吳國良. 面向NGB的網(wǎng)絡(luò)與信息管控建設(shè)[J]. 廣播與電視技術(shù),2013����,10:28+30-33.
[7]陳旭. IT運維操作管理有效降低企業(yè)風(fēng)險[J]. 高科技與產(chǎn)業(yè)化,2010��,05:116-119.
第6篇
>> 物流信息平臺網(wǎng)絡(luò)安全研究 醫(yī)院網(wǎng)絡(luò)信息安全需求分析 網(wǎng)絡(luò)安全管理平臺的研究與實現(xiàn) 網(wǎng)絡(luò)安全管理平臺的設(shè)計與實現(xiàn) 大數(shù)據(jù)平臺網(wǎng)絡(luò)信息安全若干問題的分析 視頻監(jiān)控平臺網(wǎng)絡(luò)配置管理的設(shè)計與實現(xiàn)分析 Symbian平臺網(wǎng)絡(luò)開發(fā)框架的研究與實現(xiàn) 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)分析 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全與防范 醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與防范 醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全分析與防護 基于醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與設(shè)計 電力信息自動化網(wǎng)絡(luò)安全與實現(xiàn)分析 對醫(yī)院網(wǎng)絡(luò)安全的分析與研究 結(jié)合實例談?wù)勧t(yī)院網(wǎng)絡(luò)架構(gòu)需求分析與實現(xiàn) 通信市場需求下網(wǎng)絡(luò)安全技術(shù)的開發(fā)與實現(xiàn) 針對醫(yī)院網(wǎng)絡(luò)安全的分析 醫(yī)院網(wǎng)絡(luò)安全管理策略分析 應(yīng)急平臺網(wǎng)絡(luò)中綜合聯(lián)動實現(xiàn)安全防御的研究 醫(yī)院網(wǎng)絡(luò)安全與管理 常見問題解答 當(dāng)前所在位置:.
[5] 公安部.關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知[EB/OL]. [2007?07?24]..
[6] 國家質(zhì)監(jiān)局. GB/T 25070?2010 信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求[S].北京:中國標準出版社����,2010.
[7] 衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見[EB/OL]. [2011?12?09].http:///mohbgt/s7692/201112/53600.shtml.
[8] 公安部. 關(guān)于印送《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》的函[EB/OL]. [2009?11?09]. http:///gzdt/2009?11/09/content_1460022.htm.
第7篇
關(guān)鍵詞:運行維護����;優(yōu)化原則;發(fā)展要求
前 言:
隨著通信行業(yè)3G時代的到來和中國電信業(yè)的重新組合�����,中國聯(lián)通����、中國電信、中國移動形成“三足鼎立”態(tài)勢����,各大電信公司從原來較單一的電信業(yè)務(wù)走向全電信業(yè)務(wù)運營的公司����,競爭變得更為激烈����,支撐全業(yè)務(wù)運營的電信運維工作需要進一步整合和優(yōu)化。運維系統(tǒng)要提供一個高效率高質(zhì)量高效益的運維工作來應(yīng)對����、支撐市場,服務(wù)用戶��,并已經(jīng)提到通信工作的最重要的議事日程上來����。因此,通信行業(yè)的運行維護工作優(yōu)化的指導(dǎo)思想和原則值得各電信運營商研究和探討����。
一、聯(lián)通運維工作優(yōu)化指導(dǎo)思想
聯(lián)通公司運行維護工作優(yōu)化指導(dǎo)思想是高效率����、高效益、高質(zhì)量、高標準��、高要求�����、高安全性����,保證市場和客戶需求的前提下,最大限度地節(jié)約資源�����,創(chuàng)造最大化通信服務(wù)收入��。以市場和客戶需求為導(dǎo)向�����,以公司化運營和專業(yè)化管理為抓手�����,加強網(wǎng)絡(luò)規(guī)劃��,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)�����,加快工程建設(shè)�����,降低工程造價����,促進深度融合,推進節(jié)能減排����,實現(xiàn)網(wǎng)絡(luò)公司運營管理的新突破。
二.電信行業(yè)運行維護發(fā)展要求
電信行業(yè)運行維護工作主要考慮四方面工作:運行維護系統(tǒng)的組織架構(gòu)����、故障處理與網(wǎng)絡(luò)優(yōu)化工作、面向客戶的市場應(yīng)對工作��、成本管控工作等��,這是運維工作的“四根柱子”����,是運維工作的骨干�����,支撐著運維系統(tǒng)的大部分工作����。只有運維組織架構(gòu)合理布局��,才能發(fā)揮運維系統(tǒng)的整體作用�����;只有發(fā)揮故障處理與網(wǎng)絡(luò)優(yōu)化工作的作用�����,才能達到運維應(yīng)有的效率��;只有以面向客戶的運維系統(tǒng)����,才能發(fā)揮運維體系應(yīng)有的����、搶占市場的作用和地位�����;只有很好地進行成本管控�����,才能充分發(fā)揮運維系統(tǒng)的效益作用��;總之����,四項工作部分互相作用����,相輔相承,共同構(gòu)建了運維體系。
從電信行業(yè)運行維護發(fā)展要求來看��,網(wǎng)絡(luò)安全����、質(zhì)量可靠是網(wǎng)絡(luò)運維的基本要求、第一要求��、強制性要求。網(wǎng)絡(luò)安全�����、質(zhì)量可靠才能保障業(yè)務(wù)運行�����。隨著市場競爭的加劇和企業(yè)自身管理管理要求的提升�����,運維工作的要求從單純地保障網(wǎng)絡(luò)安全�����、質(zhì)量可靠�����,向精細運營管理的更深層次轉(zhuǎn)變����,自80年代以來�����,運維發(fā)展的要求伴隨著電信運營市場化的進程一直處于變中求進的狀態(tài),總體趨向基本明朗�����。80年代��,運維發(fā)展的要求是保障網(wǎng)絡(luò)安全�����、質(zhì)量可靠����;90年代,注重運維效益����;“十五”期間,強調(diào)運維服務(wù)�����;“十一五”~未來期間�����,將向運維提出效益要求,通過現(xiàn)代化運維管理轉(zhuǎn)型����,在滿足基本要求的基礎(chǔ)上,降低運維成本�����、延伸運維服務(wù)范圍��、拓展服務(wù)能力�����,提升運維價值����,創(chuàng)造更多效益。這也是網(wǎng)絡(luò)運維者與網(wǎng)絡(luò)經(jīng)營者的基本區(qū)別��。在不同的歷史發(fā)展階段��,運維發(fā)展要求見圖2-1。
通過運維體系的構(gòu)建����,創(chuàng)建運維能力����,通過運維能力的提升,滿足運維發(fā)展的深層次要求����,這是它們之間的辨證關(guān)系。
三�����、聯(lián)通運行維護工作優(yōu)化原則
3.1 面向客戶的原則
運維的一切工作都應(yīng)建立在面向用戶的基礎(chǔ)上��,提高服務(wù)質(zhì)量��,提高用戶感知����,提升用戶滿意度。電信行業(yè)的運維工作主要目的是為了獲取用戶����,創(chuàng)造收入����,贏得市場��。因此�����,一切工作都應(yīng)該是面向客戶��,圍繞客戶來開展工作����,包括根據(jù)客戶需求量身定做提供個性化方案;根據(jù)客戶要求制作服務(wù)承諾����、服務(wù)標準,并在此標準和承諾下提高服務(wù)質(zhì)量����,提供專業(yè)化服務(wù);制作服務(wù)流程��,安全、便捷提供服務(wù)等��。
3.2 提升效率和效益原則
評價電信行業(yè)運維工作水平是否先進�����,是否科學(xué)��,已經(jīng)把運維效率和效益作為最高標準����,提高到最重要的議事日程上來����;而運維效率和效益提高最終也體現(xiàn)了對市場的占有率和利潤率的提升上。效率體現(xiàn)了公司的管理水平和運作能力�����,而網(wǎng)絡(luò)效益在競爭中體現(xiàn)得更為重要����;因為在電信運營企業(yè)中運維網(wǎng)絡(luò)資產(chǎn)約占公司資產(chǎn)的90%以上,運維成本占公司運營成本的40%以上�����,因此,清理和管理好運維資產(chǎn)�����,盤活運維資源是提升整個運維效益的重要工作��,而提升運維效益已成為運維工作的主題��,也是公司運營成功與否的最關(guān)鍵環(huán)節(jié)之一����。信息技術(shù)與專業(yè)技術(shù)和管理的融合,創(chuàng)造了提升效率和效益的新的巨大空間。
3.3 長遠規(guī)劃與近期維護相結(jié)合的原則
維護工作與長遠規(guī)劃密切相關(guān)��,也影響到近期維護成本�����,更是影響到各級領(lǐng)導(dǎo)的業(yè)績和政績��。長遠規(guī)劃要考慮設(shè)備長遠的可維護性和可擴容性����,因此從評價指標的設(shè)立上��,要綜合考慮長遠規(guī)劃與近期維護的關(guān)系�����,在效益最大化的基礎(chǔ)上�����,進行決策和取舍。運維工作也應(yīng)充分考慮適當(dāng)超前規(guī)劃����、設(shè)計、投資����,建設(shè);考慮維修與更新的性價比和回收期��。
3.4跳出運維做運維原則
做運維工作要比其它職能部門站得更高,看得更遠,要樹立“運維也是一種經(jīng)營”的理念��,要作“收入-支出=利潤”的回收期的分析�����,充分評價其價值,要有一系列的投入產(chǎn)出評價體系��。做好運維工作不僅僅是做好運行與維護工作,而且要站在搶占市場,服務(wù)客戶,爭創(chuàng)收入和提高市場占有率,降低成本,利潤最大化的高度去考慮問題.
3.5 人性化管理原則
運維工作是一項長期��,艱苦的����、技術(shù)含量較高的工作,處理好干部員工的工作與休息至關(guān)重要�����。所謂人性化管理����,就是一種在整個企業(yè)管理過程中充分注意人性要素,以充分開掘人的潛能為己任的管理模式����。至于其具體內(nèi)容,可以包含很多要素����,如對人的尊重,充分的物質(zhì)激勵和精神激勵�����,給人提供各種成長與發(fā)展機會,注重企業(yè)與個人的雙贏戰(zhàn)略��,制訂員工的職業(yè)生涯規(guī)劃�����,等等��。 人性化管理是將人性學(xué)理論應(yīng)用于管理����,按照人性基本屬性進行管理的管理哲學(xué)�����。因此�����,必須對人性有所了解����。
3.6 規(guī)模經(jīng)濟原則
規(guī)模經(jīng)濟是由于生產(chǎn)專業(yè)化水平的提高等原因,使企業(yè)的單位成本下降,從而形成企業(yè)的長期平均成本隨著產(chǎn)量的增加而遞減的經(jīng)濟�����。通信業(yè)是全程全網(wǎng)��,具有規(guī)模經(jīng)濟效應(yīng)�����。在運維工作中����,要有全局觀,規(guī)模發(fā)展觀,不要故此失彼�����,只見樹葉�����,不見森林�����。
通信行業(yè)的規(guī)模經(jīng)濟可以實現(xiàn)通信產(chǎn)品規(guī)格和服務(wù)的統(tǒng)一和標準化;可以通過擴大用戶群,在減少內(nèi)部網(wǎng)間費用的結(jié)算,而使降低單位成本;可以使運維工作的技術(shù)人員的專業(yè)化和精簡化,提升技術(shù);有利于新產(chǎn)品開發(fā)和利用,拓展市場空間,從而提升企業(yè)的競爭力��。
3.7預(yù)防先于搶修的原則
做好運維工作就是做好”防火”工作和”救火”工作二項工作,二項工作同時進行,而且”防火”工作更是應(yīng)該放到第一位的位置上來��。通過管理規(guī)范化����、監(jiān)控集中化、手段信息化,借助各種工具(如儀器儀表等)��,了如指掌地掌握各項運行資源和整個網(wǎng)絡(luò)結(jié)構(gòu),通過一張地圖進行通信網(wǎng)絡(luò)的運行維護的“指揮作戰(zhàn)”��。
結(jié)束語
簡而言之����,聯(lián)通運維工作也要充分體現(xiàn)“一切為了用戶,一切為了收入��,一切為了利潤”的總原則����。
參考文獻:
【1】季福坤等 數(shù)據(jù)通信與計算機網(wǎng)絡(luò)技術(shù) 中國水利水電出版社 2003
第8篇
列車調(diào)度指揮系統(tǒng)用于保障鐵路行車的安全�����,而安全問題又是鐵路行業(yè)的頭等大事�����,由于鐵路與網(wǎng)絡(luò)的聯(lián)系愈加緊密,保障列車調(diào)度指揮系統(tǒng)安全就尤為重要��。其系統(tǒng)網(wǎng)絡(luò)安全主要是中心服務(wù)器安全和網(wǎng)絡(luò)安全����。另外列車調(diào)度指揮系統(tǒng)使用以太網(wǎng)來傳輸各種調(diào)度信息,網(wǎng)絡(luò)內(nèi)部廣泛采用的協(xié)議是TCP/IP協(xié)議����,TCP/IP協(xié)議為實現(xiàn)網(wǎng)絡(luò)信息的共享和傳遞起了舉足輕重的作用,雖然一定程度上可以維護網(wǎng)絡(luò)安全��,但還存在一些安全漏洞:
a.身份認證方式的安全性較弱�����,口令容易被非法竊取��。
b.機密信息和數(shù)據(jù)在傳輸過程中有可能被惡意篡改或被非法竊取��。
c.信息可抵賴����。
例如行車路線��、生產(chǎn)計劃等電子文件一旦被一方所否認����,另一方?jīng)]有已簽名的記錄作為仲裁的依據(jù)����。就以上存在的安全問題可總結(jié)出系統(tǒng)網(wǎng)絡(luò)受到的危險和風(fēng)險為:網(wǎng)絡(luò)病毒的傳播;地址欺騙��;序列號攻擊�����;利用端口掃描��、拒絕服務(wù)攻擊等惡意攻擊��。雖然現(xiàn)在網(wǎng)絡(luò)中存在安全機制�����,但沒有一種安全策略是十全十美的,必須制定災(zāi)難恢復(fù)計劃以確保一旦硬件和軟件發(fā)生故障��、系統(tǒng)受到惡意攻擊時,能夠及時采取應(yīng)對措施�����,及時將列車調(diào)度指揮系統(tǒng)恢復(fù)正常運行����,減小損失[3]。
2列車調(diào)度指揮系統(tǒng)網(wǎng)絡(luò)的維護方案與管理
實施時應(yīng)將管理與技術(shù)兩手抓����,具體方案和措施如下:首先,管理層面應(yīng)考慮管理制度的建立����、管理的組織及運行中的維護。系統(tǒng)安全不可能只從單個層面或單個環(huán)節(jié)就可解決�����,必須全方位多層面配合進行�����,建立統(tǒng)一的安全策略�����,完善管理制度,堅持運維��。統(tǒng)一的安全策略可以規(guī)范整個系統(tǒng)的管理流程和管理方法����,便于管理的組織和實施,而只有堅持運維才能夠保證系統(tǒng)長期�����、穩(wěn)定����、有效的運行。其次�����,在技術(shù)層面應(yīng)注意物理安全�����、網(wǎng)絡(luò)安全�����、系統(tǒng)安全及應(yīng)用安全等方面�����,在使用中��,技術(shù)層面的安全問題分界模糊����,可以交叉實現(xiàn),具體可由以下幾方面入手:
a.防火墻����。
防火墻技術(shù)是實現(xiàn)子網(wǎng)邊界安全的重要技術(shù)?����?梢詫⒄狭硕喙δ艿姆阑饓ψ鳛楹诵脑O(shè)備在網(wǎng)絡(luò)中取代路由的位置����,這樣可以有效防護來自網(wǎng)絡(luò)層和應(yīng)用層的威脅,并且還能降低網(wǎng)絡(luò)的復(fù)雜性��。
b.網(wǎng)絡(luò)防病毒系統(tǒng)。
列車調(diào)度指揮系統(tǒng)由網(wǎng)絡(luò)服務(wù)器��、通信傳輸設(shè)備及車站終端機等設(shè)備組成����。使用統(tǒng)一安全策略的集中安全管理中心對病毒進行統(tǒng)一管理,對客戶端和服務(wù)器進行防病毒保護��,并且使用云安全技術(shù)��,利用大量的客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,及時的獲取木馬�����、惡意程序的最新信息,并將獲得的信息推送到服務(wù)器端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端�����,以實現(xiàn)系統(tǒng)的網(wǎng)絡(luò)安全維護��。
c.網(wǎng)絡(luò)拓撲結(jié)構(gòu)�����。
利用網(wǎng)絡(luò)分段技術(shù)劃分vlan,改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)��,以實現(xiàn)系統(tǒng)網(wǎng)絡(luò)中生產(chǎn)網(wǎng)、辦公網(wǎng)和廣域網(wǎng)的隔離��,確保網(wǎng)絡(luò)資源與非法用戶的隔離,是一項基本的網(wǎng)絡(luò)防護措施和保護手段��。
d.身份認證系統(tǒng)�����。
目前采用的以靜態(tài)密碼為主的身份認證系統(tǒng)存在安全隱患��,用戶名及密碼容易被竊取��,安全風(fēng)險很大����。使用動態(tài)口令可解決此類安全隱患
e.入侵檢測技術(shù)��。
入侵檢測的主要功能是控制對網(wǎng)絡(luò)的非法訪問��,通過監(jiān)視�����、限制通過網(wǎng)絡(luò)的數(shù)據(jù)流,防止外對內(nèi)��、內(nèi)對外的非法訪問,隔離內(nèi)部網(wǎng)和外部網(wǎng)��,為監(jiān)視局域網(wǎng)安全提供便利��。入侵檢測系統(tǒng)(IDS)是從計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)當(dāng)中收集數(shù)據(jù)信息��,再通過這些收集的信息����,分析有入侵特征的網(wǎng)絡(luò)安全系統(tǒng)[4]。IDS不僅能檢測出系統(tǒng)中違反系統(tǒng)安全規(guī)則或者威脅到系統(tǒng)安全的行為�����,還可以有效地彌補防火墻的被動防御弱點��。當(dāng)系統(tǒng)受到攻擊時采取相應(yīng)的措施進行有效的網(wǎng)絡(luò)安全防護��,在被入侵攻擊后�����,收集入侵攻擊相關(guān)的各種信息��,作為防范系統(tǒng)的知識,添入策略集��,增強系統(tǒng)的防范能力����,避免系統(tǒng)再次受到同類型的入侵[5]。
3結(jié)語
第9篇
關(guān)鍵詞:長慶油田 網(wǎng)絡(luò)安全 防范
0 引言
隨著國家信息化建設(shè)的快速發(fā)展��,信息網(wǎng)絡(luò)安全問題日益突出�����,信息網(wǎng)絡(luò)安全面臨嚴峻考驗�����。當(dāng)前互聯(lián)網(wǎng)絡(luò)結(jié)構(gòu)無序����、網(wǎng)絡(luò)行為不規(guī)范�����、通信路徑不確定�����、IP地址結(jié)構(gòu)無序、難以實現(xiàn)服務(wù)質(zhì)量保證��、網(wǎng)絡(luò)安全難以保證�����。長慶油田網(wǎng)絡(luò)同樣存在以上問題�����,可靠性與安全性是長慶油田網(wǎng)絡(luò)建設(shè)目標�����。文章以長慶油田網(wǎng)絡(luò)為例進行分析說明論文下載��。
1 長慶油田網(wǎng)絡(luò)管理存在的問題
長慶油田公司計算機主干網(wǎng)是以西安為網(wǎng)絡(luò)核心�����,包括西安��、涇渭����、慶陽����、銀川�����、烏審旗�����、延安�����、靖邊等7個二級匯聚節(jié)點以及咸陽等多個三級節(jié)點為架構(gòu)的高速廣域網(wǎng)絡(luò)�����。網(wǎng)絡(luò)龐大�����,存在的問題也很多����,這對日常網(wǎng)絡(luò)管理是一份挑戰(zhàn),由于管理的不完善�����,管理存在以下幾個方面問題:
1.1 出現(xiàn)問題才去解決問 我們習(xí)慣人工戰(zhàn)術(shù)��,習(xí)慣憑經(jīng)驗辦事�����。網(wǎng)絡(luò)維護人員更像是消防員����,哪里出現(xiàn)險情才去撲救。設(shè)備故障的出現(xiàn)主要依靠使用者報告的方式��,網(wǎng)管人員非常被動�����,無法做到主動預(yù)防�����,無法在影響用戶使用之前就預(yù)見故障并將其消除在萌芽狀態(tài)。因此�����,這種維護模式已經(jīng)很難保障網(wǎng)絡(luò)的平穩(wěn)運行�����,能否平穩(wěn)影響網(wǎng)絡(luò)安全與否�����。
1.2 突發(fā)故障難以快速定位 僅僅依靠人工經(jīng)驗��,難以對故障根源做出快速定位��,影響故障處理��。而且隨著網(wǎng)絡(luò)的復(fù)雜程度的提高�����,在故障發(fā)生時�����,難以快速全面的了解設(shè)備運行狀況����,導(dǎo)致解決故障的時間較長,網(wǎng)絡(luò)黑客侵犯可以趁機而來��,帶來網(wǎng)絡(luò)管理的風(fēng)險��。
1.3 無法對全網(wǎng)運行狀況作出分析和評估 在傳統(tǒng)模式下�����,這些都需要去設(shè)備近端檢查�����,或遠程登錄到設(shè)備上查看�����,不僅費時費力����,而且對于歷史數(shù)據(jù)無法進行連續(xù)不間斷的監(jiān)測和保存,不能向決策人員提供完整準確的事實依據(jù)�����,影響了對網(wǎng)絡(luò)性能及質(zhì)量的調(diào)優(yōu)處理,龐大的網(wǎng)絡(luò)系統(tǒng)�����,不能通盤管理����,不能保證網(wǎng)絡(luò)運行穩(wěn)定,安全性時刻面臨問題��。
2 網(wǎng)絡(luò)安全防范措施
計算機網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性��,為了有效保護網(wǎng)絡(luò)安全�����,應(yīng)做好防范措施�����,保證網(wǎng)絡(luò)的穩(wěn)定性����,提高網(wǎng)絡(luò)管理的效率。
2.1 完善告警機制����,防患于未然 告警監(jiān)控是一種手段,設(shè)備維護人員��、網(wǎng)絡(luò)分析人員需要通過告警信息去分析��、判斷設(shè)備出現(xiàn)的問題并盡可能的找出設(shè)備存在隱患����,通過對一般告警的處理將嚴重告警發(fā)生的概率降下來。告警機制的完善一般從告警信息����、告警通知方式兩方面著手:
2.1.1 在告警信息的配置方面 目前,長慶油田計算機主干網(wǎng)包括的97臺網(wǎng)絡(luò)設(shè)備��、71臺服務(wù)器�����,每臺設(shè)備又包含cpu����、接口狀態(tài)�����、流量等等性能參數(shù)��,每一種參數(shù)在不同的時間段正常值范圍也不盡相同��。
例如同樣為出口防火墻����,西安與銀川的各項性能閥值的設(shè)置也不盡相同����,西安的會話數(shù)達到25萬,而銀川的超過20萬就發(fā)出同樣的告警��。再比如��,西安電信出口流量在凌晨00:00-6:00只有二����、三十兆的流量是正常的,因為這個時候在線用戶很少����,但是如果在晚上8:00-10:00�����,流量只有二、三十兆的流量�����,就要發(fā)出告警信息�����。
因此必須根據(jù)監(jiān)控的對象(設(shè)備或鏈路)�����、內(nèi)容(各項性能指標)以及時間段�����,設(shè)置不同的觸發(fā)值及重置值��。
2.1.2 告警通知方式的多樣化 任何時間我們都無法保證能全天候死盯著屏幕����,所以一方面需要制定相應(yīng)的運維管理制度和輪班值守職責(zé)����,另一方面則需要選擇更加人性化的運維管理方式�����。維護人員不但需要頁面顯示的告警觸發(fā)通知��,也迫切需要在移動辦公狀態(tài)或休假狀態(tài)第一時間得到預(yù)警�����,從而做出應(yīng)有的反應(yīng)��,所以我們需要開發(fā)出例如聲音�����、郵件����、短信等多種告警方式。
通過以上兩個方面�����,我們可以建成一個完善的故障告警系統(tǒng),便于隱患的及時消除��,提高了網(wǎng)絡(luò)的穩(wěn)定性��。
2.2 網(wǎng)絡(luò)拓撲的動態(tài)化 如果一個個設(shè)備檢查起來顯然費時費力�����,如果我們能將所有設(shè)備的狀態(tài)及其連接狀況用一張圖形實時動態(tài)的直觀顯示出來��,那么無疑會大大縮短故障定位時間(見圖1����,2)����。
說明:2009-10-11日17:05,慶陽����、延安、靖邊��、銀川四個區(qū)域的T1200-02的連接西安的2.5GPOS口,涇渭T1200-01連西安的2.5GPOS口��,以及西峰�����、吳起連接慶陽匯聚交換機Z8905-02的千兆光口����,以上接口同時發(fā)出中斷告警。
因此��,綜合告警信息與全網(wǎng)拓撲圖��,當(dāng)出現(xiàn)大規(guī)模告警的情況下能夠非常高效地找出故障源����,避免了一步步繁瑣的人工排查,從而達到有效提高故障的解決效率�����,提高了網(wǎng)絡(luò)的穩(wěn)定性��。
2.3 全網(wǎng)資源管理的動態(tài)化
2.3.1 通過對網(wǎng)管系統(tǒng)的二次開發(fā)��,實現(xiàn)全網(wǎng)動態(tài)資源分析,他的最重要特點就是動態(tài)����,系統(tǒng)通過Polling Engine從設(shè)備上自動提取資料數(shù)據(jù),如設(shè)備硬件信息��、網(wǎng)絡(luò)運行數(shù)據(jù)����、告警信息、發(fā)生事件等����。定時動態(tài)更新����,最大限度的保持與現(xiàn)網(wǎng)的一致性。
2.3.2 通過一個集中的瀏覽器界面上就可以快速����、充分地了解現(xiàn)有網(wǎng)絡(luò)內(nèi)各種動態(tài)和靜態(tài)資源的狀況,徹底轉(zhuǎn)變了傳統(tǒng)的網(wǎng)絡(luò)依賴于文字表格甚至是依賴于維護人員的傳統(tǒng)維護模式�����,變個人資料為共享資料。
2.4 提高安全防范意識 只要我們提高安全意識和責(zé)任觀念�����,很多網(wǎng)絡(luò)安全問題也是可以防范的��。我們要注意養(yǎng)成良好的上網(wǎng)習(xí)慣�����,不隨意打開來歷不明的電子郵件及文件����,不隨便運行陌生人發(fā)送的程序;盡量避免下載和安裝不知名的軟件、游戲程序;不輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序;密碼設(shè)置盡可能使用字母數(shù)字混排;及時下載安裝系統(tǒng)補丁程序等��。
總之�����,影響網(wǎng)絡(luò)穩(wěn)定的因素有很多�����,本文基于日常網(wǎng)絡(luò)安全管理經(jīng)驗�����,從日常網(wǎng)絡(luò)管理的角度,提出一些安全防范措施����,以期提高網(wǎng)絡(luò)穩(wěn)定性。
參考文獻
[1]石志國�����,計算機網(wǎng)絡(luò)安全教程����,北京:清華大學(xué)出版社,2008.
[2]張慶華����,網(wǎng)絡(luò)安全與黑客攻防寶典��,北京:電子工業(yè)出版社��,2007.
