網絡安全運維管理范文

時間:2024-01-12 17:50:01

導語:如何才能寫好一篇網絡安全運維管理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全運維管理

篇1

以Internet、云計算、物聯網為代表的信息化浪潮一次次席卷全球,信息技術的應用不斷深入,逐漸覆蓋到日常生產、生活的方方面面。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了越來越高的要求。如何保障信息網絡系統安全已成為政府機構、企事業單位信息化健康發展所必需考慮和解決的重要問題。企業園區網絡作為企業的神經中樞,它的安全穩定運行對于整個企業的日常生產與信息安全都具有重要的意義。

作為企業園區網絡的網絡管理員,我們必須了解園區網絡面臨的多方面的安全威脅,從而制定相應的管理措施,以保障網絡的安全與穩定。

1 園區安全風險分析

1.1 內部局域網的安全威脅

在已知的網絡維護安全事件中,約70%的攻擊是來自局域網。首先,局域網中用戶之間經常通過網絡共享資源,給病毒的傳播提供了便捷;其次,內部管理人員有意或者無意泄漏系統管理員的用戶名、口令、內部網的網絡結構以及其他一些重要信息等,這有可能加大網絡安全事件造成的損失。另外,由于局域網內的用戶主機、服務器等直接或者間接連接到同一臺網絡設備上,局域網的高帶寬也在加快病毒的傳播速度的同時,加劇病毒對網絡的影響程度。

1.2 廣域網、用戶遷移的安全威脅

其他區域網絡感染的病毒有可能通過廣域網傳播到本地區域網,也可能隨著用戶出差、變換工作地點、同一臺機器在不同的網絡環境中使用等原因將病毒帶入本地區域網。

1.3 電子郵件應用安全威脅

電子郵件是最為廣泛的網絡應用之一。局域網用戶除了使用企業內部郵箱收發系統內辦公郵件以外,也會接受一些來自Internet的不明郵件,這給入侵者提供機會,給系統帶來了不安全因素。

1.4 來自Internet的安全威脅

來自Internet的安全威脅非常多,園區網絡一般只會開啟互聯網的網頁瀏覽功能,但網頁瀏覽也是網絡系統被入侵的一個不安全因素,這也是園區網絡最主要的病毒來源之一。瀏覽網頁、下載資料都可能帶來病毒程序或者木馬,還有利用假冒手段騙取你的關鍵信息等手段。

2網絡管理措施

2.1網絡拓撲設計

園區網絡的管理應從設計階段就加以考慮。關鍵節點雙機熱備、關鍵傳輸鏈路采用多條不同路由、設備互聯采用動態路由環狀連接等,這些冗余架構都能從很大程度上增強基礎網絡的穩定性。但我們也需要在網絡的復雜性和簡潔性上做好權衡,過于復雜的網絡結構反倒會給后期的運維管理埋下隱患。筆者在長期的網絡運維管理實踐中就遇到過不少這樣的問題。個別局域網系統設計考慮非常多,采用雙機熱備、多鏈路上聯等多種方式,VRRP、STP也都用上了,以期增強網絡的穩定性。結果在后期運維中,由于選用設備版本不夠穩定,經常出現莫名其妙的問題,反倒降低了整個系統的可用性。

2.2 網絡管理文檔的建立

網絡維護的絕大部分工作在于平時細致的管理和準備,需要對網絡的每一個細節做到了然于胸,當故障發生時,我們能夠迅速定位到故障點,以最快速度排除故障。為了做好網絡的管理,我們需要持續做好網絡管理文檔的完善工作。如:交換機端口信息表、ip和mac地址的對應表、網絡拓撲圖、故障處理報告等等,這些信息都會為我們應對突發網絡故障提供幫助。例如:經常在園區內泛濫的ARP病毒,由于其影響范圍廣、難以查殺而讓網管人員頗為頭疼。如果我們有ip和mac地址對應表,就能夠非常快的定位病毒源,以最快速度處理掉故障。

2.3 網絡的日常檢查及性能分析

我們需要經常對核心網絡、應用服務器進行細致的檢查,分析性能,察看日志,發現可疑情況及時處理。這種工作雖然枯燥但卻很重要。每天的重復勞動不一定總能發現異常,但這是我們發現問題,對故障進行預判的依據。例如:一次日常檢查我們發現某主干交換機CPU、內存使用率偏高,通過進一步分析日志發現某接口錯誤。經過細致排查,我們發現接口光纖質量不好導致接口報錯,更換光纖后故障排除,避免了問題的進一步升級。

2.4 系統及時升級、補丁、病毒定義及時更新

網絡設備、服務器的軟件系統需要及時升級,服務器、客戶端也要及時打補丁、更新病毒定義,這是我們防患于未然的必要措施。目前國內客戶端使用微軟的用戶比較多,那WSUS就非常重要。防病毒服務器也必須統一部署,能夠使病毒定義統一更新,避免網內有安全短板。

2.5 網絡管理系統、日志系統、網管工具的使用

通過使用網絡管理系統,可以實現設備的輪詢、故障的報警等功能。通過一些閥值的設定,系統可以第一時間將故障預警信息通過郵件或者短信發送給系統管理員或者網管中心,能夠幫助我們實現對故障的預判。并且,網絡管理系統圖形化、自動化的管理方式,也將大大提高我們網絡管理的效率。

日志系統也非常重要,通過對日志系統記錄的設備運行狀態進行分析,能夠幫助我們發現系統存在的問題,為排錯、優化系統提供依據。

各種網管工具更是我們做網絡管理的必要的幫手,比如抓包軟件、可視光源、測線工具、標簽機、螺絲刀等等,所以網管人員往往都是背著背包的,應手的家伙一個也不能少。

2.6 做好設備、線纜標識工作

好記性不如爛筆頭,一個人做過的事也很容易就忘掉,更何況網絡管理團隊中有好多人,很多時候一件事往往追溯不到源頭。所以標識、記錄工作非常重要。如果標識工作不到位,很容易會發生設備、線纜用途無人知曉,誰都不敢動的情況。

2.7對用戶的培訓

很多網絡故障是由人為因素造成的,比如碰掉設備的電源、辦公室HUB出現環接等等,通過適當的時機對用戶進行網絡知識的教育,能夠有效地避免類似網絡故障的發生,給網絡管理工作降低工作量和難度。

2.8其他

機房環境設施的運維管理,也是對網絡的安全與運維管理產生重要影響的一個方面。除此之外,如果有互聯網出口的,還需要部署防火墻、上網行為管理設備等,既要做好安全防護,又要做到有跡可查。

篇2

1.1調度數據網結構

廣西電網調度數據網絡以星型結構組網,依次分為核心層、匯聚層和接入層。核心層為廣西電網公司電力調度控制中心(以下簡稱中調),是整個調度數據網的核心。匯聚層包括南寧等14個供電局電力調度控制中心(以下簡稱地調)及其第2匯聚節點,采用雙歸屬方式連接至核心節點,其匯聚層網絡流量向中調匯集。接入層節點主要包括廣西電網內的500kV、220kV變電站及部分接入電廠。各接入節點按2點接入原則就近接入地調匯聚節點和該地區第2匯聚節點,其接入層網絡流量向匯聚節點匯集。廣西電網調度數據網絡如圖1所示。圖1廣西電網調度數據網絡

1.2網絡環境分析

從業務的角度分析,根據南方電網《二次系統安全防護總體方案》的要求,廣西電網調度數據網在業務側已經基本實現了“橫向隔離、縱向認證”。利用MPLSVPN技術在業務側劃分為安全I區和安全II區,其中,安全I區是電力生產的實時業務,縱向上通過加密裝置進行安全認證;安全II區是電力生產的非實時業務,縱向上部署了硬件防火墻作安全防護。在I區與II區、II區與其他網絡之間部署了電力系統專用的隔離裝置進行隔離。從設備管理的角度分析,廣西電網調度數據網還存在網絡設備管理區。網絡設備管理區主要用于管理整個調度數據網的網絡設備,對接入到設備管理區的網絡設備可直接控制。日常可對網絡設備進行配置更改,同時還可查看網絡設備的配置、故障、運行情況和網絡鏈路情況等。業務安全方面,調度數據網劃分的2個安全分區已具備一定的安全防護能力,且配置了網絡安全隔離策略,但缺乏入侵檢測、行為審計、流量監測以及鏈路管理等安全防護手段。調度數據網設備管理區是設備安全管理最重要的環節,但也是目前比較薄弱的環節,這是因為對接入設備管理區的網絡設備可以直接進行更改配置和重啟等危險操作。除通過建立運維管理制度進行規范外,還需要對網絡設備進行實時監測,統一展示全網設備的運行情況,保證網絡出現故障或安全事件時運維人員可知、可控和可查。根據以上分析,調度數據網安全分區和網絡設備管理區均存在網絡安全防備不足的問題,難以保障調度數據網長期、安全、穩定運行。

2廣西電網調度數據網網絡安全風險分析

調度數據網關注的網絡安全課題有:保障調度數據網每臺網絡設備運行穩定;監測核心鏈路流量傳輸情況;預防每臺網絡設備故障和網絡安全風險的發生;快速應對網絡設備故障或者網絡安全事件的發生;利用收集到的數據快速定位到導致網絡設備故障和網絡風險的源頭;加強調度數據網入侵防御體系等。根據廣西電網調度數據網的實際情況,下面列出幾種潛在的網絡安全風險。

2.1網絡設備運行情況不明

路由器和交換機等網絡設備是調度數據網的基礎組成部分,只有這些網絡設備穩定運行,才能保證整個網絡數據業務的實效性和連續性。目前,尚未實現對網絡設備進行全方位監測,設備發生故障后,管理員才發現該設備出現問題,設備的管理方式很被動。在被動的管理方式下,管理員難以掌握設備的CPU利用率、內存占用率、雙電源、風扇、溫度等日常運行指標信息,無法判斷設備是否運行良好,從而難以預防網絡設備故障或網絡安全風險的發生。

2.2網絡設備故障管理方式不科學

調度數據網遵循“抓大放小”的原則,對設備脫管、鏈路通斷和設備宕機等大故障會進行及時處理,而對設備CPU超標、內存超標、端口流量超標和溫度超標等小故障未進行有效管理,這種故障管理方式不夠科學。網絡設備具有數量龐大、品牌眾多和使用時間較長等特點,由于處理設備大故障需要花費較多的人力和物力,因此設備小故障的監測與處理常被忽視。如果設備的小故障不加以防范及處理,往往會導致大故障的發生,例如:設備溫度過高會導致設備不停地重啟,進而導致業務數據傳輸時斷時續。不對設備大、小故障進行全方位管理,很難防范導致故障發生的潛在問題和安全隱患。

2.3網絡缺乏主動的入侵防御

分析廣西電網調度數據網網絡結構,無論是核心層到匯聚層,還是匯聚層到接入層,均缺乏一套積極主動的入侵防御技術體系,僅依靠二次系統安全防護中的橫向隔離、縱向認證來進行安全防護,難以達到入侵防御“零安全事件”的最高要求。無法識別數量龐大的業務數據是否攜帶潛在的安全威脅,如常見的木馬、蠕蟲和黑客病毒等。網頁瀏覽、電子郵件、文件傳輸和網絡下載是感染病毒最常見的途徑,木馬、蠕蟲和黑客病毒等網絡安全威脅往往隱藏其中。而防火墻(或加密裝置)通常只是業務數據的第一道防線,起到流量流入、流出過濾的作用,無法識別流量包裹中的網絡安全威脅,不能起到有效的防御作用。不利用認證、預警、病毒掃描和流量檢查等多元化的手段建立一個橫縱、有效的入侵防御體系,難以預防調度數據網潛在的網絡安全隱患。

2.4整網缺乏網絡內部安全防護

廣西電網調度數據網是獨立的電力廣域網,與和互聯網連接的網絡相比,相對較安全、干凈,易于管理,但存在網絡內部安全威脅。網絡內部安全威脅大致分為3種:人為惡意攻擊、人為無意失誤、應用系統存在的漏洞。人為惡意攻擊是網絡安全面臨的最大威脅,即在不影響網絡的情況下,破壞電網業務系統和數據的有效性和完整性或者通過截取、竊取、破譯等手段獲取系統重要信息。人為無意失誤如管理員進行了非常規操作,會威脅網絡安全運行。而應用系統存在的漏洞多為應用系統開發人員為了方便而設置的“后門”或者系統本身存在的漏洞,會成為黑客攻擊的首選目標。調度數據網的安全防護系統既要對網絡外部建立入侵防御,還要在網絡內部做好安全威脅防護。目前,調度數據網絡安全防護體系未對網絡內部的正常WEB頁面訪問、非法授權訪問、用戶數據訪問、系統數據庫操作審計和網絡設備操作審計等進行多種手段的流量監測,當網絡出現內部安全威脅時無法有效防御和控制,事后也無據可查,這是調度數據網內部的重大網絡安全隱患。

2.5網絡運維工作量大

運維人員負責保障全網的調度數據業務穩定、安全運行,但整個調度數據網近400臺網絡設備,運維人員要高效、出色地完成電網調度數據網的運維任務,工作量很大。使用目前的網絡管理軟件,除每日正常網絡維護工作外,需要1個運維人員花費2~3天完成每月的定期檢查工作,此外,還需要3~5個運維人員花費約1個月時間完成每年一次的調度數據網近400多臺設備的定檢工作。每月定期檢查內容包括檢查中調到14個地調(包括第1、2匯聚節點)鏈路運行情況;查看鏈路峰值比特率、峰值利用率;統計中調到各地調實時業務和非實時業務時延情況。年度設備檢查包括核心層路由表檢查、物理鏈路狀態檢查、鏈路性能檢查、設備日記信息檢查、設備運行狀態、配置檢查和網絡路由協議狀態檢查等20多項定檢內容,這也是網絡運維工作量最大的一項。

2.6網絡運維與網絡安全缺乏集中管理

為了滿足廣西電網調度數據網信息安全建設工作的需要,專業的網絡管理系統和網絡安全系統投入使用。但在系統的應用過程中,發現網絡管理系統只負責網絡維護和設備故障處理,而網絡安全系統只負責處理網絡中的安全事件,兩者間并無聯系,調度數據網同時運用多套系統反而增加了網絡管理上的難度。不同的系統無法通過網絡安全管理平臺進行集中管理,降低了運維工作效率,增加了工作量,是調度數據網安全建設急需解決的問題。

3廣西電網調度數據網網絡安全管理探討

廣西電網調度數據網的安全防護遵循“只監視、不控制”的原則,要求網絡可靠、穩定、安全運行,確保調度數據業務穩定、不間斷運行。為了不影響調度數據網業務數據正常運行,網絡安全管理平臺采用旁路部署方式掛在中調的核心路由器下。廣西電網調度數據網網絡安全管理的目標是,通過采取適當的控制措施,保障基礎網絡的安全性,確保調度數據網網絡不發生安全事件、少發生安全事件,即使發生安全事件也能有效降低事件造成的影響并快速應急響應。通過建設集中的網絡安全管理平臺,實現對調度數據網網絡設備狀態的監測,對安全事件、設備故障、入侵行為、網絡流量和鏈路狀態等進行統一管理、分析和監測,再通過關聯分析技術,使系統管理人員能夠迅速發現、定位、解決問題,有效應對安全事件的發生。

3.1設備故障管理

網絡安全管理平臺可對所有網絡設備進行實時監視,對設備故障進行統一管理。網絡安全管理平臺采用SNMP技術分地區獲取網絡設備的性能狀態信息,并寫入數據庫由平臺統一進行處理、分析,對滿足故障條件的信息按地區進行展示和通知,便于管理員及時、準確地發現各地區的故障情況。同時,當網絡安全管理平臺監控到設備持續故障數超過規定閾值時,這類故障將上升為安全事件,會按地區進行展示和通知。網絡安全管理平臺故障管理的對象除網絡設備外,還有安全設備、主機系統、應用系統等多種類型的設備,管理員可根據網絡需要靈活應用。

3.2設備狀態監視

為使設備自身故障或人為誤操作造成的設備運行異常有據可依、可查,網絡安全管理平臺對設備運行狀態了進行全程、多維監視。

1)設備系統監視。設備系統日志會記錄系統中硬、軟件和系統問題的信息。網絡安全管理平臺可通過設備Syslog的外發方式或Telnet的主動獲取方式收集設備的系統日志。中調到各地調匯聚節點的鏈路帶寬充足,匯聚層以上的設備采用Syslog外發方式獲取系統日志。由于中調到各接入層設備帶寬一般為4Mbit/s或2Mbit/s,為防止多臺設備出現異常時大量外發日志占用接入層鏈路帶寬的特殊情況發生,接入層設備采用Telnet的主動方式獲取系統日志,只有當平臺探測這條鏈路為空閑時才允許平臺執行Telnet操作。網絡安全管理平臺對收集到的系統日志進行統一處理、分析,可按電網告警級別與系統日志級別,對應在各地區的安全事件或者告警信息中進行顯示,顯示內容包括設備自身告警記錄和人為操作記錄的詳細信息。

2)設備配置監視。網絡設備配置分為:運行配置,即設備當前運行的配置;啟動配置,即設備啟動時加載的配置。網絡安全管理平臺可以通過手動獲取或定時獲取等方式,利用Telnet技術主動連接設備,獲取當前設備的運行配置和啟動配置。設備配置監視的主要作用有:對比當前設備運行配置與啟動配置是否一致,如配置不一致,說明該設備配置被更改后未進行保存;自定義選擇近期設備運行配置或啟動配置歷史版本進行對比,由此可掌握近期設備的運行配置或啟動配置歷史變化情況;自定義選擇2個及以上設備的運行配置或啟動配置進行對比,由此可發現各設備配置的區別。

3.3入侵防御檢測

為應對調度數據網的內部威脅,防火墻對流入、流出調度數據流量進行過濾,但這不是防護入侵行為的有效手段。入侵檢測防御系統不僅能針對數據流量IP進行過濾,還能對基于應用層出現的木馬、后門及各種惡意代碼、遠程惡意控制等進行檢測。入侵檢測防御系統采用旁路部署的方式,使用流量鏡像技術將核心路由器上中調與各地調間的流量鏡像連接到入侵檢測系統進行統一處理、分析,將分析結果及已獲取的安全事件傳遞至網絡安全管理平臺進行展示,確保被發現的入侵檢測行為能得到有效控制。

3.4流量和鏈路監測

如果不對調度數據網的網絡流量進行監測和跟蹤,網絡安全管理員就無法掌握中調到各地調網絡流量的情況,為此,引入流量監測系統。該系統采用旁路部署的方式,通過采集中調與各地調間(包括第2匯聚點)的鏡像流量進行統一處理、分析和統計。該系統除了能對網絡流量進行監測外,還能對通道鏈路進行監測,降低了廣西電網調度數據網的安全風險,防患于未然。

1)網絡流量監測,監測、采集網絡流量并進行處理、分析和統計,展示最近1h的流量趨勢,也可基于源IP、目的IP、應用協議和會話等多維角度展示網絡流量的排名情況。為滿足網絡防護的工作需要,管理員可自定義時間段、源IP、目的IP和應用協議等條件查看具體網絡流量的記錄。

2)通道鏈路監測,與網絡流量監測一樣需要對采集的網絡流量進行處理、分析和統計,不同之處在于流量監測系統對中調與各地調間的鏈路比特率進行采樣(5min/次),同時通過Ping對應地調網關的方式計算出此鏈路的響應時間。系統獲取通道鏈路的比特率和響應時延后,以圖表方式展示指定時間或1個月內鏈路峰值比特率、鏈路響應時延趨勢。

3.5設備一鍵定檢功能

調度數據網需要進行每月鏈路定期檢查及設備年度檢查,以往是靠人工手動來完成大量設備的數據采集、處理、統計和整理等工作,花費時間長、投入人力多。而網絡安全管理平臺提供了設備一鍵定檢功能,大大提高了運維人員的工作效率。利用網絡安全管理平臺,每月鏈路定期檢查實現了中調到14個地調56條鏈路數據實時檢查,包括鏈路峰值比特率、峰值利用率、實時業務時延和非實時業務時延等,實現數據實時業務采樣,并在安全管理平臺上以動態圖形展示。數據輸出方式簡單、靈活、易操作,輸出時間只需幾分鐘。鏈路檢查報表能按指定時間段輸出鏈路的檢查結果。每年設備定檢實現了“一次錄入,多年受益”的效果,只需將所有的網絡設備錄入到網絡安全管理平臺,24h后即可在平臺中輸出設備鏈路狀態檢查、鏈路性能檢查、設備日志信息檢查、設備運行狀態、配置檢查、端口資源統計和網絡路由協議運行情況檢查等結果報表。運維人員對報表中結果異常的設備進行核查,核查結束后關閉設備定檢日志源,設備年檢工作完成。使用網絡安全管理平臺,每年全網設備定檢工作只需幾天時間就可完成,大大減輕了運維人員的工作量。

4結語

篇3

【關鍵詞】CA證書認證 體系設計 非功能性技術設計 內外網統一安全接入――P2P VSN虛擬安全域 社會工程學入侵

目前大部分市區級政務信息網絡主要著承載政務辦公數據流系統、對公眾提供業務辦理等系統以及基本的互聯網訪問權限。隨著政務信息業務系統業務邏輯日趨復雜,體量日益龐大,在政務信息系統的風險控制,安全運維成本,科學管理,方面將迎來一個全新的戰場。

當前政務信息系統有或部分有以下問題:

區縣的相關管理、運維人員能力匱乏,網絡安全知識相對較落后,對全局政務網的硬件服務器、存儲、數據庫軟件、應用服務器中間件、相關政務信息業務系統并沒有做到了如指掌不能完全駕馭全局運維與安全保障。在出現故障時無法從業務角度快度鎖定故障起源點,無法對故障進行深度解析并提供完整解決方案并實施。

區縣政務信息系統是沒有統一的認證授權并各自為政,無法做到訪問控制,沒有USB-KEY,CA證書認證等技術融入,病毒非常容相互間在各個系統中傳遞感染,重要數據岌岌可危;區縣政務網基本沒有全網的日志審計和客戶機上網行為管理的,各種繁雜的應用安全系統設備產生的安全事件以及網絡安全行為監控各自獨立,冗余度過高,沒有科學的審計,有效的整合,出現問題業務系統管理員根本無法防御爆炸式連鎖攻擊,安全風險系數極高。外網辦公接入設備直接接入業務網,沒有對過程數據流進行監察審計,業務數據在網絡中的傳輸缺乏近乎透明傳遞,安全隱患非常嚴重。

政務信息網絡發生故障或者爆發大規模病毒攻擊時,無法精準鎖定攻擊源頭,從根源控制攻擊,整個處理過程也缺少科學的提高故障解決手段,缺少應急預案,缺少專家應急小組。

這些問題必須且毋庸置疑的解決和改善,應采用以下技術和策略:CA證書認證體系設計,非功能性技術設計,內外網統一安全接入――P2P VSN虛擬安全域,USB-KEY,動態短信密碼,一次性口令等方式,堵著社會工程學入侵缺口。

1 政務信息系統及網絡安全運維的實踐

實現終端內外網統一接入:整合梳理辦公內網和Internet網絡的用戶認證、訪問授權、資源權限等問題,徹底不留隱患的有效的解決辦公內網的安全接入和Internet網絡安全接入,徹底清除未授權終端非法用戶對政務信息系統的存在威脅,確保了政務業務系統的數據在政務網絡中安全數據流傳輸的可靠性。

完整的用戶行為和關鍵政務信息系統數據流日志審計,記錄并保留一個月以上的用戶上網行為是非常有必要的,在龐大的用戶痕跡日志信息中進行初步數據挖掘,能發現潛在的安全隱患,防患于未然,將安全隱患控制牢牢控制,并扼殺。若已發生安全事故,可迅速定位事故爆發點,妥善快速解決問題,如事故造成嚴重的財產損失,可提交公安機關進行取證。

定期由專業安全運維第三方服務公司提供專家級業務報告,為下一步網絡優化提供建議,保障網絡持續、健康發展、安全:對整個被監控網絡能夠提供全面安全健康狀態檢測報告。報告內容包含客戶機非安全訪問記錄、并發數異常記錄、帶寬控制效果、攻擊發生統計等等。

2 政務信息系統及網絡安全運維建設

2.1 政務信息系統建設內容應涵蓋以下方面

建立覆蓋區縣政務信息系統所涉及的硬件服務器設備、存儲設備、核心網絡鏈路拓撲、政務業務系統結構、數據庫并發數據鏈路流和中間件異常并況的綜合管理安全運維平臺,包括集中授權管理中心、面向業務的精確帶寬流量控制系統和業務服務中心,系統應具備完整業務功能和良好伸縮性。

實現集中授權管理中心,建立集中安全管控平臺:構建全網集中的用戶賬號管理、認證管理、授權管理、日志審計,為內外網用戶提供統一的接入服務,加強內控管理,并且為精確帶寬流量控制系統和業務服務管理中心提供管理控制依據。

面向業務的帶寬流量控制系統:構建業務網絡分析、凈化、控制系統,進行全面的流量監視、凈化和控制,有效提高鏈路的帶寬利用率,保障重點業務的網絡質量。

2.2 CA證書認證體系設計

為切實做好政務信息系統安全認證工作,提高各個區縣網絡安全保障水平和對應用系統的防護能力,建立CA證書認證體系。

遵循“建設政務信息系統統一的身份認證體系,為構建政務網絡信任體系奠定基礎,提高應用系統安全保障和防護能力”的目標,保證數據的完整性和保密性,確保用戶來源和行為的真實性和不可否認性。

2.3 內外網統一安全接入――P2P VSN虛擬安全工作域

建立P2P構成的虛擬安全域,確保政務信息業務應用環境的安全性。

通過集中安全管控平臺,用戶終端無論在企業網內或是在互聯網中,只需要能夠在網絡層與安全網關之間可達、通過身份認證后即可建立P2P VSN虛擬安全工作域,借由端到端的加密隧道與授權業務系統進行通信。

2.4 防止社會工程學入侵滲透

在以上的技術應用可以阻止90%以上的黑客攻擊,但是有關信息系統及其網絡安全的問題是矛與盾永無休止的話題,事實上,沒有任何技術能防范社會工程學攻擊。這就是安全方面做薄弱的環節:人!

政務信息所有工作人員都應該進行定期前言安全知識培訓。

政務信息系統所有業務干系人都應懂得基本的安全策略,策略是指導業務人員行為保護政務信息系統與敏感信息所必須的規則。

參考文獻

[1]張麗麗.新常態下推進“互聯網+政務服務”建設研究――以浙江省政務服務網為例[J].浙江學刊,2016(05).

[2]馮巧玲.IPS在電子政務系統中的部署與實現[J].西安文理學院學報(自然科學版), 2015(02).

[3]劉邦凡,關夢穎.電子政務的信息安全立法[J].電子商務,2014(01).

篇4

近日,記者了解到,江蘇移動呼叫中心作為一個典型的電信行業大型網絡用戶,正在努力進行“撈針”的工作。它試圖在其擁有的大約1000~2000臺終端、超過200 臺服務器的網絡中,全面消除異常流量和應用層漏洞,保障企業的網絡穩定和應用安全,從而給客戶帶來更好的用戶體驗。

傳統IDS力不從心

據了解,江蘇移動呼叫中心為了保障業務的正常運營,突出網絡的穩定性和安全性需求,投入巨大:所有的鏈路、核心層、匯聚層設備都是雙冗余設計,建立備份中心并在邊界增加多級防火墻設備,同時為了防止病毒在內網交叉感染,該中心在客戶端部署了防毒軟件,并購置了多臺IDS (入侵檢測)設備來保護其辦公網絡。

然而,這些防護措施并沒有減輕該中心IT運維人員的工作量,隨著終端和安全設備數量的不斷增加,帶來IT運維管理難度的大幅增加。此外,傳統的IDS面對電信行業的大型網絡明顯力不從心。由于無法滿足數據流量巨大、網絡覆蓋范圍和結構復雜帶來的需求, IDS的誤報和漏報問題開始顯現出來。

“由于我們的網絡存在著龐大的客戶端和服務器資源,網內高危漏洞監測的工作量極大,ERP、OCS、CRM、BSS、MSS 以及高清視訊等多域環境隨時可能遭受到來自內部威脅的攻擊。”江蘇移動呼叫中心負責網絡安全、不愿透露名字的王先生指出,“內網終端威脅不斷變化,因此,傳統的IDS 廠商必須為不同的業務平臺開發不同的程序,這樣這些威脅就可能造成進一步惡化。雖然構建了銅墻鐵壁的,但內部威脅一旦未被發現并升級為‘事故’,全副武裝的網絡也抵擋不住病毒和惡意代碼的攻擊。”

快速準確找到漏網之魚

為了迅速消除網絡中的安全隱患,防患于未然,江蘇移動呼叫中心邀請了數個網絡安全廠商提供解決方案,并加入實地測試。據王先生介紹,在嚴格的測試環境中,一批“串”路的安全設備由于無法勝任該中心的大通信量負載而敗下陣來,而在隨后的實際環境試用中,很多廠商的產品由于無法做到第一時間預警最新的木馬和變種病毒并且無法構建該中心的網絡安全整體視圖而被淘汰。

“最后,我們根據綜合測試結果選擇了趨勢科技的威脅發現設備TDA 6000,它集成了云安全技術、旁路設計并可檢測應用層潛在威脅,幫助我們將威脅消滅在萌芽,為呼叫中心的業務發展提供了充分的安全保障。”王先生介紹。

在試用過程中,王先生和趨勢科技的工程師一起對TDA 6000的HTTP訪問惡意代碼檢測、P2P會話流量管理、蠕蟲漏洞掃描等非法流量檢測功能都做了模擬攻擊測試,而對于這些威脅的來源定位,TDA 基本上可以做到“秒”級的預警。

此外,由于它集成了趨勢科技云安全中的“多協議關聯分析技術”,可全面支持檢測2~7層網絡的惡意威脅。TDA 可通過“數據包”和“會話”視圖對網絡內的主機通信數據進行自動關聯分析,即從云端數據庫進行比較,自動將占用網絡帶寬的應用和造成網絡通信擁塞故障的信息建立威脅關聯。

“TDA 的嚴格控制功能也彌補了江蘇移動呼叫中心之前部署防毒軟件的不足。比如 Web病毒、跨站木馬、視頻嵌入惡意軟件、非法流量、DNS劫持等尚未形成交叉感染的潛在威脅,在我們應用TDA之后,就可以從海量的數據流中迅速找到被防火墻放過來的漏網之魚。”王先生補充說。

提升安全評估和運維效率

事實上,江蘇移動呼叫中心對TDA的應用,不僅實現了全面的威脅偵測,還同時簡化了運維管理,減少了運維人員的工作量,從而降低了運營成本。

據了解,江蘇移動呼叫中心的網絡經過了幾次重大的融合和升級,擁有較為復雜的網絡結構和龐大的終端數量。王先生介紹,最終部署在該中心核心交換機上并執行網絡全面覆蓋的TDA,為該中心的網絡安全評估和主動安全運維效率兩個方面帶來了極大的提升。

一方面,TDA實現了動態的網絡安全評估,將策略轉化為行動。在部署TDA 之前,江蘇移動呼叫中心已經對外網出口和各級網關設備進行了嚴格的安全評估工作,在使用TDA 之后,內網的安全評估(主要是威脅評估)完全交付給TDA 去自動執行。

首先,TDA 無須安裝程序便可自動對服務器和終端進行動態的監測,這大幅節省了運維人員為每臺終端安裝端的工作。其次,TDA可通過報表的形式顯示客戶端的即時通信(IM)、P2P 文件共享(BT)、流媒體以及未授權服務如SMTP中繼和DNS欺騙現象,這是其他IPS(入侵防御)和IDS產品無法相比的。

“對于我們這種電信行業的大型網絡而言,TDA自動形成映射全中心安全形勢的總體視圖的強大能力,讓我們非常受用。在日常工作中,TDA已經成為我們網絡的‘策略執行中心’,它不但能夠及時發現網絡環境中的安全威脅,還能夠將這些威脅轉化為詳細的處理措施并進行落實。”王先生說。

另一方面,TDA讓安全運維變被動為主動,運維水平大幅提升。據了解,江蘇移動呼叫中心一共有十幾位負責IT 運維的工程師,但要應對數千臺客戶終端、200多臺服務器的運維需求。

在部署 TDA之前,IT 運維部門只能在用戶電話或者郵件通知后才能發現系統已經遭到病毒入侵的蹤跡,這樣的IT運維總是處于亡羊補牢的狀態。Web 病毒、木馬、郵件病毒、個人主機漏洞、移動設備交叉感染等時常搞得IT 部門無從應對。

篇5

為了保障安全,大數據平臺依照“安全三同步”原則進行建設,即同步規劃、同步組織實施、同步運作投產。

奇虎360的大數據平臺安全保障體系框架如圖B-7所示。大數據平臺安全保障體系框架包括“安全職責劃分”,“安全區域劃分”,“安全級別劃分”,“安全監測模塊”,“安全防御模塊”,“業務安全與安全運維模塊”,“安全響應中心模塊”等部分。

安全職責劃分

安全職責劃分是整體方案的基礎,所有技術手段都應貼近安全職責劃分,為其服務。梳理大數據平臺各方安全責任邊界,對整個活動中的安全事件進行詳細的責任劃分。

安全區域劃分

大數據平臺環境相對復雜,涉及多類業務,多類系統,現有網絡結構已經考慮了分級問題,在此基礎上,需進一步細化安全域的劃分以及不同安全域、不同安全級別的訪問控制設計。

安全級別劃分

按照安全區域劃分結果,為每個區域制定響應的安全等級,區域安全等級與用戶安全等級、數據安全等級相互對應。通過安全級別的劃分確保可信合規使用資源。

安全監測模塊

其中主要包括大數據平臺安全防御審查系統并提供基于人工或自動化的多層次的安全監測服務。

安全防御模塊

按照統一規劃、統一標準的設計思路,在充分考慮當前網絡應用和實際環境的基礎上,對整體的網絡劃分為若干個安全域和安全區,建設大數據平臺面向各個區域的基礎安全防御系統和大數據平臺自身的防御系統。

業務安全與安全運維模塊

實現安全運維操作的分級管理,針對大數據業務安全和安全運維工作的用戶賦予符合其安全職責劃分的權限,實現業務安全和安全運維。

篇6

【關鍵詞】網絡安全;IPS;構建;應用

【中圖分類號】TP393.08

【文獻標識碼】A

【文章編號】1672—5158(2012)10-0102-01

1、建設背景

隨著信息化建設的發展,網絡越來越龐大,承載的應用系統也越來越復雜,隨之而來的網絡安全風險也日益突出。尤其混合威脅的風險,如蠕蟲、病毒、木馬、僵尸程序、DDoS攻擊阻塞甚至中斷網絡,各類P2P應用輕易的占據100%的網絡上行下行帶寬,同時,隨之而來的修復工作使IT管理人員被迫充當“消防隊員”的角色,消耗了大量寶貴的人力資源;如何構建主動的網絡安全防護系統,對網絡進行流量控制及凈化,實時了解網絡運維情況,及時發現消除網絡安全隱患,督促提高用戶安全意識等問題,成為網絡安全面臨的最大挑戰。

通常在談到網絡安全時,首先會想到“防火墻”,一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,單純的防火墻已經無法滿足安全需要,部署了防火墻的安全保障體系仍需要進一步完善。

2、部署情況

系統部署情況:在單位內網一外網出口及地州廣域網出口處在線部署網絡入侵保護系統。網絡入侵保護系統具有防火墻功能提供邊界控制、安全域劃分,防護來自其他安全域的攻擊;網絡入侵保護系統可以實時攔截進出網絡的數據流量中各種類型的惡意攻擊流量,把攻擊防御在受保護網絡之外,實現內網訪問控制細粒度管理,凈化網絡流量,保護內網的信息資產及網絡性能。同時,考慮網絡冗余,提高可用性,系統具有BYPASS功能,支持失效開放(Fail-open)機制,當出現軟件故障、硬件故障、電源故障時,系統自動切換到直通狀態以保障網絡可用性,避免單點故障。

該系統具有4個100/1000M自適應以太網口,可用于2路IPS保護或1路IPS保護+2路IDS監聽,這樣外網廣域網的出口都將得到有效的保護及監控,并且另外2個空閑網口目前可用于管理通訊。將來可通過升級證書而不用更新硬件,IPS升級為6口3路IPS保護以滿足將來網絡擴展。在線部署的IPS在鏈路上實時捕捉數據包,根據網絡的自身特點設置合理有效的訪問控制、流量管理、行為管理策略和入侵保護模式,進行入侵行為檢測、分析和實時響應,自動阻斷攻擊,凈化網絡流量,消除安全隱患,使用一種產品就達到多重保護目的,大大地節約了投資,并切實有效地保護網絡的安全。

同時,在安全管控中心服務器上安裝網絡入侵保護系統控制臺程序,實現對IPS等安全系統的集中管理,該系統同時支持C/S和B/S模式,可以靈活方便的管理部署在內網中的網絡入侵保護系統。系統支持“集中+分布式”部署管理IPS,保證了今后可在全省范圍實現既可統一、又可分級管理的主動入侵防護系統,使系統具有可擴展性、可充分利用現有資源、可隨需而變的靈活管理方式。

3、應用情況

通過部署網絡入侵保護系統,本單位網絡安全狀況得到了顯著的提高、網絡性能得到明顯改善、發現及加固了網絡安全的薄弱環節、規范了用戶上網行為、加強了用戶安全意識,主動入侵防護系統達到了預期的應用效果。

3.1 在構建主動的網絡安全防護系統方面

在部署初期,當時IPS系統平均每天可發現及阻斷各種攻擊事件655次/天。部署半年以后,通過IPS發現及整改了各種網絡安全問題規范了網絡行為,平均每天可發現及阻斷各種攻擊事件減少到60次/天。主動安全防護系統的成功構建使本單位網絡攻擊事件減少了10倍。

3.2 在對網絡進行流量控制及凈化方面

通過在IPS上設置阻斷“蠕蟲事件”“拒絕服務類攻擊事件”策略,結合對每個IP限制“P2P類應用”分配100kbps帶寬的限流策略,原來嚴重影響單位網絡性能的攻擊流量、P2P應用流量得到了有效的阻斷及控制,凈化了網絡流量,保障了網絡性能。

3.3 在輔助網絡運維管理方面

通過IPS系統可實時了解當前網絡的流量情況、協議構成、應用狀況等,為網絡運維提供參考及決策依據。

3.4 在及時發現消除網絡安全隱患方面

IPS上線部署后立即發現了感染“震蕩波”蠕蟲病毒的客戶端,為管理員定位了蠕蟲病毒源;隨后IPS又發現了感染“熊貓燒香”病毒的客戶端;管理員依靠IPS阻斷了蠕蟲病毒的攻擊及傳播,保護了網絡,依據IPS日志報警信息定位了染毒客戶端,并進一步清除病毒修補客戶端漏洞,消除了網絡安全隱患。

根據IPS日志報警信息,發現了1臺網絡設備采用明文telnet方式管理并使用了弱口令,管理員及時整改,將設備登錄管理方式配置為加密的SSH,配置了訪問控制策略賬號安全策略,并設置了強壯的口令,大幅提升了網絡設備管理的安全性。

根據IPS日志報警信息還發現了,某網管平臺管理部分網絡設備時使用了SNMP默認的public口令,即相應的被管理網絡設備存在“SNMP默認共同體串信息泄露漏洞”,管理員依據此信息定位了存在“SNMP默認共同體串信息泄露漏洞”的網絡設備,并根據IPS知識庫建議進行了整改,為所有采用SNMP管理的網絡設備配置了強壯的口令,并嚴格限制了SNMP寫權限,消除了網絡安全隱患,提升了網絡安全管理水平。

3.5 在督促提高用戶安全意識方面

IPS系統還幫助管理員發現了用戶的各種弱口令、空口令,管理員據此向相關用戶提出了賬號、口令安全建議,并對用戶進行了安全培訓,有效地督促用戶提高安全意識,系統上線半年后本單位用戶安全意識得到了明顯提高,本網用戶使用弱口令、空口令現象基本消除。

篇7

論文關鍵詞:政府類網站,信息安全,信息公開

政務類網站是政府及其組成部門憑借其自身特有的信息資源優勢,通過網站的形式整合其所有資源,以用戶為中心,服務為導向,并以信息公開為基礎、在線辦事和互動交流為主要業務特征,為民眾提供及時、便捷、高效、易用的信息服務的平臺。

當前,在我國深化改革、擴大開放、不斷完善社會主義市場經濟體制以及高科技迅猛發展的新形勢下,信息安全工作面臨著極大挑戰。目前政府類網站可能所受到的攻擊包括黑客入侵,內部信息泄漏,不良信息的進入內網等方式。因此采取的網絡安全措施應一方面要保證政府業務與辦公系統和網絡的穩定運行,另一方面要保護運行在內部網上的敏感數據與信息的安全。信息安全的需求歸結起來為以下幾點:

1.信息的不被篡改:網站是信息的載體。政府類網站是展示政府部門形象,公布政府新出臺的政策措施,實現政府與社會之間資訊互通的平臺。可靠的網絡安全體系能保證網站的信息安全,防止其被非法篡改,造成惡劣的社會影響和國際影響。

2.業務系統的可用性:運行政府網站的各主機、數據庫、應用服務器系統的安全運行同樣十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞;

3.數據機密性:對于政府內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

4.訪問的可控性:對關鍵網絡、系統和數據的訪問必須得到有效的控制,這要求系統能夠可靠確認訪問者的身份,謹慎授權,并對任何訪問進行跟蹤記錄。

5.網絡操作的可管理性:對于網絡安全系統應具備審記和日志功能,對相關重要操作提供可靠而方便的可管理和維護功能。

針對政務累網站的安全需求,我們設計了三個安全框架:

1、基本型安全框架

運維代價分析:基本型的安全框架減少了大量的設備投入,無形中增加了很多人工成本。其安全防護能力只能滿足基本需要。數據備份恢復只能采用了人工的方式,從而使得應急響應時間過長。整個體系的容災能力較差。

基本型安全框架設計:具備了基本的安全防護體系,安全防護完全依賴部署在網絡邊界的防火墻,沒有網絡防御縱深,只能防御一般的攻擊,缺乏全方位的防御手段,也沒有部署遠程備份系統,系統容災能力很差。該框架設計較適合缺乏建設資金投入的小型網站。

2、完整型安全框架

運維代價分析:完整型的安全框架是一個趨于完善的安全體系,數據備份實現了自動化,減少了部分人工值守工作環節,具有較好的容災能力。完整型的安全框架需要一定的前期資金及設備投入,增加了部分系統維護成本,能滿足中型網站的安全需求

完整型安全框架設計:具備了較完整的安全防護體系,防御攻擊能力相比基本型增強了很多,部署了入侵預警、檢測和防范系統,部署了全網的病毒防范、遠程數據備份和網站防篡改系統,具備一定層次的網絡防御縱深,部分服務器采用了冗余配置,具有較強的容災能力。該框架設計較適合中型網站,從運維代價分析也是較合理的。

3、完善型安全框架

運維代價分析:完善型的安全框架是一個相對完善的安全體系,數據備份實現了自動化,減少了大部分人工值守工作環節,具有完備的容災能力。完善型的安全框架在系統建設前期就要投入大量的資金及設備,后期的系統維護也需要一定的維護成本投入,能滿足大型網站的安全需求。

完善安全框架設計:具備了完整的安全防護功能的,能全方位、多層次的實現系統安全保障和完整的數據及設備容災。該安全框架建立了全網絡的入侵預警、檢測和防范體系,建立了全方位病毒防范和網站防篡改體系,對重要應用系統的數據、關鍵的網絡設備和網站系統的進行了冗余備份。完善型框架設計同框架設計比較,除了對核心網絡設備進行冗余部署外,最大的區別是部署了異地容災系統。

參考文獻

篇8

新時期,由于計算機網絡技術的迅猛發展,促使計算機已逐漸成為了互聯網系統中數據傳輸和信息交換的有效載體。伴隨著計算機的廣泛應用,在其運行過程中暴露出來的問題也日益突出,如人們所廣泛關注的計算機網絡安全問題;基于此,本文首先對現階段計算機網絡所面臨的安全隱患問題進行了總結,進而對計算機網絡運行及維護策略進行了詳細的概述,希望對后期相關工作提供一定的借鑒意義。

【關鍵詞】

計算機,網絡安全;運行;維護策略

隨著計算機網絡及其各個子系統的不斷上線,給互聯網運行及維護工作所帶來的壓力明顯加大,同時維護內容的強度也相比之前也明顯的增強。切實做好計算機網絡運行及維護工作,確保實現互聯網規范化和有序化及實現網絡的安全、穩定、高效運行,不斷加快網絡優勢向經濟效益的快速轉換,促使網絡效能得到最大化的發揮等問題已成為目前我們迫切需要解決的新課題。

1新時期計算機網絡運行所存在的安全隱患

“網絡安全”已成為目前人們廣泛關注的話題。所謂網絡安全,就是指計算機系統中的硬件設備、軟件系統以及數據等為避免遭受偶然因素或者惡意因素(如網絡病毒)的破壞而造成數據的泄露、系統的癱瘓而采取的保護性措施,保證計算機網絡系統的安全、穩定運行。新時期,計算機得到了更為廣泛的應用,與此同時計算機網絡在運行維護過程中所暴露出來的問題也日益突出。計算機運行及維護工作所面臨的安全隱患來自多個方面,比如自然災害、硬件故障、意外事故、人為操作失誤、網絡黑客攻擊等。

1.1物理安全威脅物理安全是計算機網絡信息安全最基本保證,具體指在物理層面上對網絡數據傳輸和存儲等工作中實施的安全保護。物理安全威脅會直接的影響到計算機設備的正常使用,主要分為了以下幾類:(1)自然災害、設備故障及物理損壞等;(2)在操作過程中由于人為失誤造成系統癱瘓(如誤將硬盤格式化);(3)痕跡泄露和電磁輻射。

1.2計算機用戶的使用缺陷由于計算機網絡用戶在使用網絡過程中,缺乏一定的安全常識,使得惡意攻擊者有機可趁,嚴重威脅網絡運行的安全。使用的計算機用戶主要涉及使用錯誤,系統的備份不完整,密碼容易破解三個方面內容。

1.3惡意程序惡意程序是人們為了達到某種目的而刻意創造出來的。其包括了惡意代碼、特洛伊木馬及計算機病毒等。

1.4計算機技術隱患計算機網絡技術隱患是對網絡運行及維護工作影響最大的因素,由于技術的缺陷將很有可能導致整個網絡的崩潰。計算機技術隱患一般包括了:(1)計算機操作系統的安全缺陷;(2)應用軟件的實現缺陷;(3)網絡協議的安全缺陷。

2新形勢下計算機網絡運行及維護策略分析

2.1建立健全網絡制度建立健全計算機網絡系統制度體系并有效地實施,是推動計算機網絡系統安全、穩定運行的基本條件。在計算機網絡運行及維護工作中,通過各項規章制度的建立和完善,從而構建一套有章可依、有章必依、執章必嚴、違章必究的網絡運行體系;另外對相關的網絡維護人員,要明確其責任制,同時還需要對各項制度進行定期的修改和完善,促使其能夠滿足不同時期的需求。制度是保障,執行是根本,在實際工作中需要認真的、嚴格的按照制度規定去執行,對計算機系統,包括主機、網絡、電源等進行全面細微的檢查,同時做好詳細的檢查記錄,真正做到問題的及時發現及時處理。

2.2以人為本,全面提高運維人員的綜合素質

2.2.1計算機網絡系統的生命所在就是運維人員的使命感和責任心作為一個面向社會大眾的復雜龐大的人機系統---計算機網絡,如果由于操作人員一個小心就很有可能導致重要數據的丟失,同樣一個很簡單的指令就可能導致整個系統的崩潰。因此,切實提高運維人員的責任心和使命感已成為一個緊迫的任務。

2.2.2不斷提高技術人員的維護水平新時期,科學技術的不斷發展,促使技術更新速度不斷加快,同時又由于操作規則的不斷調整、業務需求及業務發展的不斷變化,就需要經常性的對已投入使用的計算機系統進行必要的修改和調整,以促使系統的不斷完善,所以,對系統運維人員也提出了新的更高要求,需要相關人員不斷的去努力提高自身工作能力及專業技能,以適應不同時期的崗位需求。技術是基本,人才時保證,盡管設備和技術處于領先水平,但最終還是由人來操作和管理,只有擁有一支能力過硬的技術隊伍,才能有效地保證系統穩定、安全的運行。

2.2.3實現人員的合理分工及綜合利用由于各種網絡應用系統的陸續上線,在保證人員不變動的情況下實現人員的合理分工及綜合利用就顯得尤為重要。對于某一具體的工作,如果只是有極少數的人員懂得維護,那么就會存在著人員單點的隱患,這樣一種情況下,如果人員調崗或者突然離職,那么在短時間內就難以找到一接手系統維護的員工,直接造成了人員斷層。因此,對于計算機網絡系統維護工作中的一些比較重要的崗位,必須要安排至少兩名技術人員;另外對所有運維人員進行充分合理的調配,促使每個人的潛力都能得到最大限度的發揮,同時對內部崗位實行人員交叉制,達到一人多能的目的,有效解決人員單點隱患問題。只有實現了人才的綜合利用,方能確保勞動效率的不斷提高。2.3做好安全防范與管理工作做好系統安全管理工作是整個運維過程中的重要環節。對于計算網絡系統的重要密碼務必要做到由專人管理,對管理人員還需要進行定期的更換,從技術角度做好安全防范工作;然后,對計算機設備及系統定期進行防火、防水、防蛀、防盜等多項目的安全檢查;作為計算機數據信息的神經中樞系統---計算機網絡機房,更應該積極的將系統安全防范管理工作落實到實處。

2.4加強團隊間的團結協作,充分提高運維工作的整體水平在計算機網絡系統運維部門,無論是技術骨干還是剛剛入職的畢業學生,都要一視同仁,實現團隊間的團結協作,相互幫助、相互促進、共同提高。新員工要積極主動地向經驗豐富的來員工學習請教,老員工也要認真的去帶好新人。在運維部門,各個崗位雖然相對分離卻又彼此聯系,不管是主機維護人員還是網絡維護人員,也不管是同一崗位的技術人員還是不同崗位的技術人員,都需要不斷地加強彼此之間的交流和溝通,保持大局觀念,塑造團結合作的團隊精神,確保計算機網絡系統運行及維護工作的圓滿完成。

2.5做好資料文檔的歸檔和整理工作對于計算機網絡運行及維護工作來講,資料文檔的整理及歸檔工作尤為重要。由于計算機網絡工程具有邊建設邊運行的特點,使得其建設周期也是比較長的,因此其資料文檔的歸檔整理工作也并非就是一次性能夠完成的,只要網絡工程未竣工,那么資料文檔的整理工作就會一直延續。所以,積極做好資料文檔的整理和歸檔工作在工程一開始,就需要做到邊整理、邊歸檔;另外,資料文檔的整理歸檔工作應該由專人進行全權管理。

3結語

新時期,隨著科學技術的不斷發展,計算機網絡技術已經逐漸的滲入到人們生活的各個領域。由于網絡安全關系到了人們的切身利益,做好計算機網絡運行及維護工作已成為迫切需要解決的熱點話題。網絡在不斷地發展,問題也在不斷的更新,人們的意識也要隨之同步更新。做好計算機網絡系統的運行及維護工作,對于促進計算機網絡系統的穩定、可靠、安全運行以及對計算機網絡系統功能向經濟效益的不斷轉化具有重要的意義。

參考文獻

[1]羅林.關于計算機網絡硬件的故障維護策略分析[J].電腦知識與技術,2014,14:3250-3251.

[2]李華清.計算機通信網絡安全維護策略分析[J].電子技術與軟件工程,2014,04:230.

[3]王蒙.現代通信網絡的運行管理與維護策略分析[J].中國新通信,2014,16:74.

[4]張軻.新形勢下計算機網絡通信存在的問題及其改進策略分析[J].電腦知識與技術,2015,09:82-83.

[5]繆玲.開放式計算機網絡機房維護策略的分析[J].信息與電腦(理論版),2015,13:136-138.

[6]王巍.關于醫院計算機網絡安全管理工作的維護策略分析[J].計算機光盤軟件與應用,2013,20:126+128.

篇9

【關鍵詞】校園網故障率降低

目前大多高校采用的是故障“來電響應式”的IT護維模式,該模式因維護成本高、響應模式被動,局限性已顯露無余。高校的維護模式主要有學校自行維護、第三方專項分散式維護和第三方整體運維。

一、校園網運維特點

1.響應要求高

校園網用戶群體普遍比較年輕和活躍,對網絡的依賴性很強并且網絡體驗較深,因此對網絡質量和服務品質有較高的要求。

2.鏈路層故障比較集中

因設備間基礎環境較差、線路老化和標識不清等原因,50%以上的網絡報障集中在鏈路層面。

3.網絡安全和行為管理是重點

校園網用戶群體文化教育程度很高,很多人喜歡嘗試各類技術探索,如此一來,規避潛在的計算機網絡業務風險,保障校園網信息平臺系統高效的、安全的運行是一項重要的工作。

4.缺少統一的運維系統

受限于經費和意識等因素,學校沒有部署統一的運維系統,部分學校也僅部署網絡監控系統,即便如此,監控的層面和顆粒度都遠遠不能適應服務要求。

二、運維需求

按照運維的技術廣度和深度,校園網運維問題主要體現在四個核心需求層面上,即核心層網絡層面、接入層網絡層面、應用數據層面和用戶服務層面。核心層網絡層面包括核心網(城域網)網絡維護服務、機房環境(含動力系統)維護服務、服務器設備維護服務、網絡安全服務等;接入層網絡層面包括鏈路維護服務、接入層網絡維護服務。應用數據層面包括數據庫系統、應用系統和門戶等;用戶服務層面在教學、科研和生活方面提供優質快捷的網絡質量和網絡服務。

除了核心需求之外,校園網運維管理中還涉及許多日常的業務運維需求,譬如決策分析需求:校園網運維的量化管理需為高校決策層提供IT投資及管理方面的數據支持,同時也將是校園網運維管理人員的績效考核的重要依據。因此在決策分析層面,決策層對校園網運維系統的管理需求同樣是非常明確,應該可以直觀查看性能報表、實現對網絡運行質量的考核、作為績效考核的依據。

三、現有運維模式探討

1、高校自行維護的模式

采用這種模式的高校主要有暨南大學、廣東外語外貿大學等,上述學校采用設備自行維修,維護工作量最大的鏈路維護交由學生團隊,團隊由網絡中心的教師管理。這種維護模式的最大益處是可以節約經費,但存在服務不到位、服務質量不高,網絡中心為從事低技術含量、重復性的工作所困擾等問題。

2、第三方專項維護的模式

采用這種模式的高校主要有廣東工業大學、廣東中醫藥大學和廣東藥學院等,上述學校把服務器設備的維修維護、網絡鏈路的新增維護、動力系統分包給第三方;這種維護模式的益處是讓學校的教師有更多的精力從事業務系統和關鍵系統的維護,花較少的經費把工作量大而繁瑣、技術含量較低的鏈路或者專業的工作交由第三方負責。但也存在流程脫節、服務不到位等問題。

篇10

列車調度指揮系統用于保障鐵路行車的安全,而安全問題又是鐵路行業的頭等大事,由于鐵路與網絡的聯系愈加緊密,保障列車調度指揮系統安全就尤為重要。其系統網絡安全主要是中心服務器安全和網絡安全。另外列車調度指揮系統使用以太網來傳輸各種調度信息,網絡內部廣泛采用的協議是TCP/IP協議,TCP/IP協議為實現網絡信息的共享和傳遞起了舉足輕重的作用,雖然一定程度上可以維護網絡安全,但還存在一些安全漏洞:

a.身份認證方式的安全性較弱,口令容易被非法竊取。

b.機密信息和數據在傳輸過程中有可能被惡意篡改或被非法竊取。

c.信息可抵賴。

例如行車路線、生產計劃等電子文件一旦被一方所否認,另一方沒有已簽名的記錄作為仲裁的依據。就以上存在的安全問題可總結出系統網絡受到的危險和風險為:網絡病毒的傳播;地址欺騙;序列號攻擊;利用端口掃描、拒絕服務攻擊等惡意攻擊。雖然現在網絡中存在安全機制,但沒有一種安全策略是十全十美的,必須制定災難恢復計劃以確保一旦硬件和軟件發生故障、系統受到惡意攻擊時,能夠及時采取應對措施,及時將列車調度指揮系統恢復正常運行,減小損失[3]。

2列車調度指揮系統網絡的維護方案與管理

實施時應將管理與技術兩手抓,具體方案和措施如下:首先,管理層面應考慮管理制度的建立、管理的組織及運行中的維護。系統安全不可能只從單個層面或單個環節就可解決,必須全方位多層面配合進行,建立統一的安全策略,完善管理制度,堅持運維。統一的安全策略可以規范整個系統的管理流程和管理方法,便于管理的組織和實施,而只有堅持運維才能夠保證系統長期、穩定、有效的運行。其次,在技術層面應注意物理安全、網絡安全、系統安全及應用安全等方面,在使用中,技術層面的安全問題分界模糊,可以交叉實現,具體可由以下幾方面入手:

a.防火墻。

防火墻技術是實現子網邊界安全的重要技術。可以將整合了多功能的防火墻作為核心設備在網絡中取代路由的位置,這樣可以有效防護來自網絡層和應用層的威脅,并且還能降低網絡的復雜性。

b.網絡防病毒系統。

列車調度指揮系統由網絡服務器、通信傳輸設備及車站終端機等設備組成。使用統一安全策略的集中安全管理中心對病毒進行統一管理,對客戶端和服務器進行防病毒保護,并且使用云安全技術,利用大量的客戶端對網絡中軟件行為的異常監測,及時的獲取木馬、惡意程序的最新信息,并將獲得的信息推送到服務器端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端,以實現系統的網絡安全維護。

c.網絡拓撲結構。

利用網絡分段技術劃分vlan,改變網絡拓撲結構,以實現系統網絡中生產網、辦公網和廣域網的隔離,確保網絡資源與非法用戶的隔離,是一項基本的網絡防護措施和保護手段。

d.身份認證系統。

目前采用的以靜態密碼為主的身份認證系統存在安全隱患,用戶名及密碼容易被竊取,安全風險很大。使用動態口令可解決此類安全隱患

e.入侵檢測技術。

入侵檢測的主要功能是控制對網絡的非法訪問,通過監視、限制通過網絡的數據流,防止外對內、內對外的非法訪問,隔離內部網和外部網,為監視局域網安全提供便利。入侵檢測系統(IDS)是從計算機系統及網絡系統當中收集數據信息,再通過這些收集的信息,分析有入侵特征的網絡安全系統[4]。IDS不僅能檢測出系統中違反系統安全規則或者威脅到系統安全的行為,還可以有效地彌補防火墻的被動防御弱點。當系統受到攻擊時采取相應的措施進行有效的網絡安全防護,在被入侵攻擊后,收集入侵攻擊相關的各種信息,作為防范系統的知識,添入策略集,增強系統的防范能力,避免系統再次受到同類型的入侵[5]。

3結語