網絡安全運維管理范文10篇

摘要：面對日趨嚴峻的網絡安全形勢，福建中煙勇于挑戰，主動作為，從五大體系建設方面著手，建成了一支高素質的網絡安全保障隊伍和一套多區域縱深防護的網絡安全架構，并具備國際先進的安全管理體系，為公司業務正常開展提供了有力保障。

關鍵詞：安全管理；技術防御；運維保障；風險控制；人才保障

1背景描述

從國家層面看，中央網絡安全和信息化領導小組于2014年2月27日成立，《網絡安全法》于2017年6月1日起正式開始實施，標志著網絡安全已上升到國家戰略高度，步入法制階段；從技術發展看，以云計算、大數據、物聯網、移動應用、智能制造為核心的“新IT”浪潮風起云涌，服務化、智能化、自適應、隨需而變是其主要特征，全新的信息安全技術正在顛覆傳統安全技術，給我們帶來了巨大挑戰。

2體系建設

福建中煙深刻理解網絡安全建設工作的重要性，積極響應國家和煙草行業號召，貫徹行業“分級分域、整體保護、積極預防、動態管理”的網絡安全總體策略，從“安全管理、技術防御、運維保障、風險控制、人才保障”五大體系建設著手，大力發展網絡安全，建成了一支高素質的網絡安全保障隊伍和一套多區域縱深防護的網絡安全架構，同時還具備國際先進的安全管理體系，有效減少了網絡安全風險，保護福建中煙信息資產的機密性、完整性、可用性，確保信息系統安全可靠運行，為公司業務正常開展提供了有力的保障。2.1安全管理體系建設方面。一是組織有保障：成立了信息安全工作領導小組，明確公司黨組對全省網絡安全工作負主體責任，領導班子主要負責人是第一責任人，統一組織開展公司的信息安全工作。設置了專職安全管理員崗位，為信息安全工作提供了組織保障。二是制度有保障：根據《煙草行業信息安全管理制度建設基本要求》，結合公司實際工作情況，從總體方針文件、機構人員、物理安全、網絡安全、設備安全、開發安全和運維安全方面，制訂了《信息安全策略》、《信息安全工作管理辦法》等共40多個標準化文件，基本完成信息安全管理體系建設，通過了ISO27001信息安全管理體系認證，并深化推進體系運行。三是機制有保障：按照國家和行業等級保護要求，開展等級保護工作，形成定級、備案、測評和整改工作機制。同時，按照行業“三全”工作要求，將“三全”工作法貫徹到日常工作中，形成長效機制，夯實了安全管理基礎。2.2技術防御體系建設方面。一是形成分級分域網絡架構。根據行業“三全”工作和“分級分域”保護要求，參照等級保護和IATF標準，梳理和分析網絡中各應用系統數據流，將信息網絡劃分為核心計算域、網絡邊界域、網絡設施域和支撐設施域四個區域，每個區域又進一步劃分為小的區域，進一步調整優化了網絡結構。二是建成多層技術防護體系。根據行業“防入侵、防篡改、防竊密、防癱瘓、防病毒”五防要求，完善核心交換區域和服務器區、用戶接入區、互聯網接入區、下屬單位接入區以及外部單位接入區等各個安全區域的防護措施。三是突出重點保障業務安全。針對公司郵件應用，部署了郵件安全網關設備，對垃圾、釣魚和病毒等郵件進行過濾和防護；針對WEB應用，部署了WEB應用防火墻設備，防范XSS、SQL注入等網站攻擊行為，保護WEB網站不受非法攻擊和篡改；針對應用系統遠程接入訪問安全問題，部署了SSLVPN設備，確保移動辦公人員和出差人員安全地接入公司內網。四是部署備份保障數據安全。部署了EMC數據備份系統，根據業務系統的數據備份要求，規劃備份空間，制定備份策略，實現了數據自動備份。在完成本地備份的基礎上，完成異地備份和恢復測試，達到預期效果。五是強化終端安全管理。加強域名和移動APP管理，建立終端運行環境標準，強化終端安全管理和數據防泄露管理，提高整體安全防護水平。2.3運維保障體系建設方面。一是監控預警能力提升。完成安全運維一體化管控平臺建設，配置操作系統、應用和網絡設備等監控，分析歸并安全設備日志，從應用系統、網絡拓撲、機房監控、鏈路監控和安全事件五個維度對信息系統情況進行監控展示，全面掌握信息系統運行狀態，保障信息系統持續穩定運行。二是常態檢查分析深入。深入貫徹落實“日查、月分、季評”工作要求，每天對安全設備進行巡檢，每月對信息系統運行情況進行分析，每季度開展安全健康檢查，發現潛在的問題，提出安全加固建議。三是運維服務管理規范。在安全運維一體化管控平臺上固化了故障申告、事件管理、變更管理等IT服務和運維流程，提高IT服務和運維效率，提升了用戶服務滿意度；部署了運維審計系統，進一步加強了第三方運維人員權限控制和運維操作審計；主要應用系統、網絡和安全設備均制訂了運維操作手冊，實現了IT服務和運維操作流程規范化、自動化和痕跡化，進一步提高了運維管理水平。四是應急保障措施有力。全面分析可能影響信息系統安全穩定持續運行的因素和事件，制訂信息系統應急預案，每季度根據應急預案制訂演練方案，開展不同科目的應急演練，并對演練工作進行總結，分析、研判和解決存在的問題，持續完善應急預案和演練方案，進一步鍛煉了應急保障隊伍，提升了應急保障能力。2.4風險防控體系建設方面。一是深入貫徹風險管理理念。運用科學的方法手段，從“五防”著手，重新評估已有安全技術管理措施的有效性。每年至少組織一次全面的風險評估，全面識別網絡與信息系統面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，建立網絡與業務系統安全風險管理模型，制定有針對性的主動抵御威脅的防護對策和整改措施，最大限度地保障網絡、業務信息系統和數據安全。二是組織開展新建系統上線前安全評估、源代碼安全審計、基線配置核查、網站安全監測、等保測評和安全加固工作，提高整體預判能力。2.5人才保障體系建設方面。一是重視人才培養。組織安全管理員參加并通過CISP認證培訓，每年開展面向網絡安全技術人員的專業培訓和面向全員的網絡安全意識普及培訓。二是積極探索學習實踐最新安全技術應用。密切跟蹤云大物移等新技術的應用帶來的新風險，開展基礎制造云平臺和工業互聯網平臺的網絡安全保障體系研究；開展基于全網數據流量分析及應用層安全檢測的網絡安全態勢感知技術方案研究與設計；密切跟蹤主動安全與擬態安全等新興安全防御思維下產生的新型安全產品，加強對外學習交流。

電子政務指政府部門充分利用現代信息通信技術，實現內部辦公、行政管理和公共服務等工作的在線辦理，同時通過對工作流程的優化重組，達到對內提高管理效能，對外提供便捷、優質和透明的服務效果。黨的報告指出，我們黨要全面增強執政本領，要善于結合實際創造性推動工作，善于運用互聯網技術和信息化手段開展工作。按照黨中央、國務院要求部署，政府部門應積極探索，大力發展互聯網+政務服務，通過電子政務技術，改進政務服務能力、提高透明度、降低腐敗風險點、減少機關運行成本，進一步強化服務型、高效型政府機關建設。近年來，我國投入了大量資金支持信息化建設，電子政務系統經過長期建設、疊代演進，取得了顯著的成效，大量政府核心業務越來越依賴信息化手段實現，政府信息公開、社會管理、公共服務和機關內部辦公等業務對信息化依存度大幅增加，提出加快建設以“互聯網+服務”模式為基礎公共服務體系，是構建集約、高效、便捷、智能新型政府的必然要求。與此同時，為保證政務系統安全、穩定運行而逐步形成的電子政務運行維護體系，經過多年的實踐和發展，相關制度、機制、規范和技術越來越成熟，基本能夠滿足當前運維需要，但隨著云計算、大數據、移動互聯網等新一代信息通信技術快速發展，電子政務技術難度、系統復雜性和安全性要求越來越高，對政府電子政務運行維護工作也提出了新的挑戰。筆者作為政府信息化部門開展電子政務建設、運維工作的一員，結合自身在國家部委和省（市）政府單位電子政務建設、運維管理體系的研究、實踐經驗，針對新一代信息技術發展下我國電子政務運維工作思考和建議進行總結。

1電子政務運維主要工作內容

電子政務運行維護是指電子政務系統建設完成并交付使用后，為保證系統能夠安全、穩定、高效運行，對系統的運行環境、業務功能、內容信息、系統安全等進行管理和維護的工作，重點包括以下幾方面運維內容。1.1運行環境維護。指對網絡系統運行環境的管理和維護，是保障整體電子政務系統能夠安全、穩定運行的基礎。主要包括對電子政務機房機柜、電力系統、空調設備、通信線路等基礎物理支撐環境的維護；對網絡設備、存儲設備、主機設備等的策略配置、故障診斷等網絡環境的運維；對防火墻、主機系統、存儲系統、備份恢復等系統的升級管理；對局域網內計算機故障診斷、板卡更換、配置修改等運維。1.2系統功能運維。指根據業務需求的變化對系統的功能進行升級改造，是電子政務運維管理的關鍵內容。功能運維能力是體現電子政務業務發展水平的重要因素，要求運維人員既要熟悉機關業務，又要熟悉信息化系統的管理。主要包括系統功能增減、流程優化、版本升級等功能開發；bug修復、需求變更等維護性開發；人員權限變更、數據的校正和修改、日志的管理等；系統在進行建設及規劃過程中的安全設計和管理；對應用系統進行功能調研等。1.3系統內容運維。指系統投入使用后，對系統運行過程中產生和使用的數據、圖像、語音、視頻等信息進行管理和維護，針對系統內容的運維、使用和管理是建設系統的最終目的。主要包括對數據版本控制、占用磁盤空間、存儲位置、存儲系統等維護；對不同業務系統之間的信息交換進行管理維護；管理和維護單位內外網站、大屏、觸摸屏系統上的信息，以及信息系統；對數據庫和數據倉庫系統、音視頻系統、應用系統等進行數據備份，并檢查備份數據的有效性等。1.4系統安全運維。指為確保系統安全運行，防止發生安全事件，對系統的物理安全、網絡安全，以及安全管理進行的維護工作。主要包括對防火墻進行故障診斷和問題排除，對服務器、核心路由器、交換機等關鍵網絡設備進行安全檢查；制定、配置和更改訪問策略，以及設定、調整安全級別；及時更新殺毒代碼和引擎，對服務器和客戶端開展關鍵更新；定期對IPS/IDS、安全網關和安全審計等網絡安全設備進行跟蹤，發現問題后及時修補漏洞；對數據備份和恢復措施進行網絡安全管理。

2新一代信息技術發展特點

新一代信息技術發展的特點是，以云計算、大數據、移動互聯網等為代表的新型技術快速發展，引起能源、電力、通信、交通等幾乎所有重要行業發生深刻變革，并由此引發更為復雜、更為受關注的網絡安全問題。2.1云計算。各國政府對云計算技術保持高度關注，并持續支持云計算在電子政務領域的應用，一方面希望減少在基礎設施方面的投入，降低運行維護的成本；另一方面希望通過云計算技術帶動信息產業的整體發展，力圖在新一輪發展中保持領先。建設以云計算為基礎的，以全方位業務協同、信息資源共享及信息安全保障為目標的新一代電子政務基礎設施已經成為當前國家以及各地政府的共識。我國政府大力支持云計算發展，特別在電子政務領域中的應用。《國務院關于促進云計算創新發展培育信息產業新業態的意見》（以下簡稱《意見》）中明確指出，云計算是推動信息技術能力實現按需供給、促進信息技術和數據資源充分利用的全新業態，是信息化發展的重大變革和必然趨勢，進一步堅定了各政府部門應用云計算加強電子政務建設的信心和決心。2.2大數據。“智慧來自大數據”，電子政務建設必須充分發揮大數據優勢，建立在大量數據分析基礎上的政府決策，能夠提高決策的科學化、精準化水平，可以進一步提升電子政務價值，是建設智慧政府的基礎。例如在城市管理方面，利用大數據分析能夠使城市管理更加智能化，其他諸多產業通過大數據分析能夠發現創新升級機會點，進而在競爭中獲得先發優勢。近年來，大數據受到社會各界廣泛關注，我國政府大力支持大數據發展。2016年12月，工業和信息化部正式印發《大數據產業發展規劃（2016-2020年）》，強調實施國家大數據戰略，推動大數據產業持續發展，是黨中央、國務院作出的重大戰略部署，為加快推動大數據產業健康快速發展提供了政策依據。2.3移動互聯。隨著我國“互聯網+政務服務”的持續深入和移動互聯網的快速發展，政務APP發展空間巨大。一是很多省、市相關政府部門逐步開通政務APP，覆蓋范圍越來越廣；二是政務APP的設計形式和服務內容不斷改進，功能越來越完善；但當前政務APP發展還存在缺乏頂層規劃指導，重復建設、各自為政現象日漸加劇等問題。因此，下一階段應加強政務APP規劃頂層設計，采取集中模式建設移動政務應用，進一步突出APP的功能性和集成性特點，大力發展一站式的移動政務門戶，同時注重APP的后期運營和用戶體驗效果，提高政務APP的生命力。2.4網絡安全重要性提升。電子政務網絡安全管理是做好運維工作的基礎。隨著信息通信技術的高速發展，工業互聯網、5G技術、人工智能、物聯網等技術和應用的融合升級，“互聯網+政務服務”進一步深化，網絡安全的重要性進一步得到提升，對安全運維工作提出了更高要求。另外，網絡安全管理體系歷來存在重技術輕管理問題，對于系統的安全管理，過于盲目相信先進技術，存在忽視網絡安全運維管理人員意識和責任等問題。

3新一代信息技術下電子政務運維管理特點

摘要：局域網在社會生產生活管理中所起到的作用不斷得以提升，但是由于網絡系統運行的特殊性，使得局域網安全管理的重要性也不斷提高。本文以上海中國航海博物館為例，在闡述項目背景和項目實施必要性的基礎上，對項目建設內容進行深入分析，對中海博局域網網絡安全建設方案內容進行分析，以期為同類型局域網安全建設和管理提供理論指導。

關鍵詞：局域網；網絡安全；要點

互聯網技術的應用給現代社會發展起到了重要的促進作用，但是在實際運行中由于多方面因素的影響，使得網絡運行中常會出現安全防護問題，造成數據損壞或丟失，以此給企業帶來較大經濟損失，甚至會造成嚴重的后果。因此在局域網建設和運行中，必須依賴于一定的安全防護對策，強化網絡安全防護水平，以此確保信息防護安全，保障企事業單位工作正常運轉。

1項目概述

1.1項目背景。近年來，隨著博物館信息化建設步伐的加快，上海中國航海博物館（下簡稱“中海博”）基于各業務信息系統的大數據交換和共享的需求也日益增長。博物館網絡信息安全防范需要綜合計算機網絡信息管理各個層面、各個環節的不同要素，圍繞“做好內部網絡環境的治理、阻止外界入侵”，不斷加強對網絡信息安全方面的研究，并制定出科學的防護策略，進而使其防護手段能夠全面適應當前博物館計算機網絡技術的發展需求。現階段信息安全形勢嚴峻，網絡攻擊、信息泄露、勒索病毒等安全威脅層出不窮。特別是一些境外敵對勢力，常常在重大節日或關鍵會議期間，對國內的機關和企事業單位發起集中攻擊[1]。同時行業各監管單位也對下屬機構開展相關的安全檢查工作，以幫助發現自身安全問題，督促整改。中海博在建設信息化平臺的過程中，始終對信息和網絡安全保持高度重視，積極開展信息系統安全工作，保證核心業務系統基本的安全。但是隨著行業安全形勢變得越來越嚴峻，監管要求的加強，《信息安全技術網絡安全等級保護基本要求》（以下簡稱：等保2.0）的提出，以及新業務對互聯網的開放程度加強。目前整體業務系統依然不能滿足要求，需要進一步完善和加固。1.2項目實施的必要性。網絡安全管理對于我國信息安全具有重要的保障作用，在博物館等大型公共場所運行中，必須強化對這方面工作的重視程度。中海博除內部工作人員使用的辦公網絡外，還有包括電子消費系統、藏品管理系統等業務系統以及展廳內大量終端、WiFi基站等都需要使用網絡系統進行接入。如果網絡系統受到攻擊，必然會對日常工作造成極為嚴重影響[2]。中海博雖已建立了基礎網絡系統，也具備了防火墻等最為基礎的信息安全設備。但隨著智慧博物館的建設，無線網絡的加入、日漸增多的應用層業務系統，以及因為觀眾的訴求和需要，內外網融合等情況，也產生了較大的網絡安全隱患。網絡的安全性會直接影響到博物館整個信息化系統的安全性，所以，提供安全的網絡運行環境至關重要。

2項目建設內容

摘要：在網絡技術盛行的今天，網絡的出現為人們的生產生活帶來了極大的便利，并且已經滲透到日常生活的方方面面中去。計算機網絡作為信息傳播和接收的載體，其利用價值非常高，加強網絡管理的運維對于保證計算機的安全和計算機設備的安全運行有著重大意義。該文主要討論了計算機網絡維護和管理的意義，同時總結了計算機管理運維方面的策略，以便于計算機網絡運維工作的正常開展。

關鍵詞：管理運維；計算機網絡；工作環境

1背景

當今社會，計算機廣泛應用于各個領域，并且已經成為人們日常生活中不可缺少的一部分。對于計算機網絡來說，對計算機網絡進行合理化的維護，可以在減輕人工負擔的同時大大地提高工作效率，保證計算機服務器和各個軟件系統避免收到木馬病毒的攻擊。而近幾年來，計算機的管理運維已經受到人們的廣泛關注。本文從網絡維護管理的意義下手，針對在網絡管理運維過程中存在的網絡環境良莠不齊和相關人員缺乏專業能力的現狀，提出了加強網絡信息加密處理能力、加強基礎架構、構建防火墻體系和加強內部管理制度建設的策略。

2網絡維護管理的意義

2.1保障計算機安全。二十一世紀，網絡科技如雨后春筍般一樣迅速崛起，像洪水拍擊海岸勢不可擋，走進千家萬戶。目前，大家的重要信息一般都是儲存在計算機中，一旦網絡系統受到木馬和病毒的攻擊，可能就會對自己的生命財產造成巨大的損失。在計算機網絡防護體系不健全的今天，自己的小隱私、小秘密，如果不稍加注意，很可能就會通過計算機散發出去。在利用計算機網上沖浪時，不瀏覽、不觀看不健康的視頻和小說，及時抹去自己的上網痕跡，可以有效地避免個人信息在網絡環境中泄露。而計算機網絡管理運維的意義就是不讓儲存在計算機中的信息泄露出去。2.2確保計算機設備的安全運行。計算機網絡維護主要是由硬件維護和軟件維護兩部分組成，它們在網絡系統工作中占有著舉足輕重的地位。計算機網絡的安全運行，離不開軟件和硬件的協調合作。比如，現在的汽車組裝行業，計算機網絡系統的配置，在減輕人工負擔的同時也大大地提高了工作效率，然而在這樣便利的條件下也會出現問題，其主要的原因是一般都是人為操作不當而引起的網絡安全問題。為了保證網絡系統工作的正常運行，這就需要對計算機網絡進行合理化的維護，保證服務器和各個軟件系統避免收到木馬病毒的攻擊。

晉中市財政局圍繞財政網絡和信息安全建設，全力打造財政軟硬件支撐平臺，2017年至2019年三年期間，市局累計投入信息化建設資金3175.3萬元，全部用于網絡、系統維保及基礎環境軟硬件建設。

一、基本情況

（一）網絡和信息安全管理。體系建設情況安全管理制度建設層面上，市局不斷加快網絡和系統安全制度建設步伐，多次組織召開專題會議，研究部署安全制度建設工作，先后出臺了《互聯網上網管理規定》、《電腦及辦公網絡使用管理辦法》、《晉中市財政局計算機系統安全與磁介質保密管理規定》、《晉中市財政局信息系統管理風險內部控制辦法》和《晉中市財政局信息中心內控操作規程》等多項制度規范，補齊了網安制度建設的短板。網絡和信息安全領導機構層面上，市局領導高度重視網絡和門戶網站等信息系統安全防護工作，成立了專門的網絡安全工作領導小組。領導小組下設辦公室（簡稱“局信安辦”）。領導組及其下屬辦公室工作職責明確，責任落實到位。（二）等級保護與風險評估。情況2016年以來，市局按照上級部門的要求和局領導的安排，圍繞網安等保工作精準發力，結合業務調整現實情況，共計定級、備案4個三級系統（國庫集中支付、非稅收入、部門預算、大平臺）和3個二級系統（OA及檔案系統、內網網站），委托第三方安全測評公司累計測評3次，發現并整改問題241項，四年來共計投入等保經費78萬元。今年上半年共計投入等保經費26.7萬，分別對國庫集中支付系統、大平臺、部門預算三個系統組織了等保測評。（三）財政專網管理及信息。安全防護情況一是各網絡分別架構于不同的路由器、交換機和布線通道，連接互聯網PC還進行了MAC/IP捆綁，嚴格實行了不同網絡間的物理隔離，業務網絡終端不能上互聯網，只能在業務專網環境下運行使用；二是強化殺毒軟件部署。按省財政廳要求，2017年對內網全部PC機安裝了趨勢殺毒軟件，共計部署完成122臺內網PC端，淘汰了市局之前使用的瑞星殺毒。市局外網PC機安裝了360和瑞星等殺毒軟件。另外，通過應用管理引擎，限制工作用計算機對不良網站的訪問。對移動存儲設備及時殺毒；三是部署終端管理軟件。在2011年市局就部署了萊恩塞克終端管理系統，2017年對連接城域網的200多家預算單位進行了擴容升級。通過管理平臺既可以實時監測內網、城域網上的PC機非法外聯情況，又可以通過平臺對違規外聯的終端及時斷開與內網的連接，消除網絡安全隱患；四是加強運維巡檢。在日常運維過程中，通過登錄日志審計系統、安全管理平臺查看、分析日志，排查安全隱患。

二、主要存在問題

（一）網絡安全意識不強，。管理制度落實不到位一是U盤等移動存儲介質管理缺位，不按規定事先殺毒，在內網機上隨意插拔濫用，增加了內網機感染病毒風險；二是個別縣局單位網絡、安全設備弱口令問題突出，長期不更新，設備密碼泄露風險大；三是市局尤其是縣級單位管理制度不完善、落實不到位問題突出，尚未形成完備的制度管理體系。（二）技術力量薄弱，應急能力不足。一是市縣兩級信息化管理人才短缺嚴重。全市現有信息中心工作人員20名，專職人員占比僅為1/3，其余全部為兼職；二是現有技術人員基礎能力較差，人員配備參差不齊，難以滿足財政信息化建設能力需要；三是縣級財政信息化管理體制尚不完善，2/3的縣局單位缺少專業的信息化管理機構；四是市局尤其是各縣專業技術人員編制少、水平低，不少縣級財政信息中心存在一人多崗的情況，缺少一支專業可靠的應急技術隊伍。面臨網絡安全事件應急能力不足、經驗缺乏、應急預案缺失，學習培訓工作有待進一步加強。（三）網安建設經費不足，安全保障水平不高。信息化建設經費投入不足、安全建設經費占比低已成為制約縣級財政網絡安全建設的重要瓶頸，主要體現在以下幾方面：一是各縣等保工作普遍“缺位”。按照公安部門和省廳3號文件要求，各縣應全面實施落實等保制度，保證等保工作落地實施。目前，全市僅市局和介休2家單位組織了等保測評，其余各縣均未推廣等保工作。二是網絡邊界防護能力不足。全市僅市局、介休、昔陽3家單位按省廳指導意見在橫向城域網上部署了防火墻、入侵防御系統、防毒墻，其余單位城域網邊界僅部署有防火墻，種類比較單一，不具備多層次安全防護能力。此外，僅市局、介休2家單位符合信息安全等保中設備冗余部署要求。

三、工作建議

一、平臺架構與功能

綜合網管平臺是一個網管運維指揮調度平臺，集多種功能于一體，主要包括參數監控、聲光報警系統和專家診斷等。在綜合網管平臺中，多個子系統包含其中，各個子系統需要獨立運行與建設[1]。(一)機房環境動力監控子系統所監控的是機房中的全部動力設備和環境狀態，主要包括變電箱、圖像和空調等。(二)傳輸設備監控子系統做監控的是機房中的傳輸設備與野外設備的指標和運行狀態。(三)機箱監控子系統中，應用GSM無線網絡等傳輸方法，對野外落地箱和光站的開閉狀態進行監控[2]。(四)反向信道監控子系統實時監測HFC網絡回傳信道。(五)A平臺監測子系統實時監測HFC和所有射頻信號，從中獲得電平與信噪比等信息，在其超出規定的門限時，主動報警。(六)B平臺監測子系統實時監測所有B平臺設備通訊，從中獲得吞吐量等信息，在其超出規定門限時，主動報警。(七)GPS車輛調度子系統實時監控全部工程搶修車，在出現網絡故障需要維護的時候，對距離進行查看，在較短時間中搶修最近車輛。(八)其它監測子系統中，以業務發展情況為依據，綜合平臺能夠管理的系統包括交互式機頂盒與數字電視前端等。

二、建立有線電視傳輸網絡監控平臺的重要性

當下，三網融合，網絡技術迅猛發展，朝著寬帶化和數字化等方向發展。以較快速度推動新一代廣電基礎網絡改進。各種增值業務飛速發展與興盛，主要包括互聯網接入和數字電視等。在廣電方面，正朝著電信級運營商不斷發展，必須將市場、客戶和服務作為重要對象。因為歷史原因和技術原因，廣電始終對支撐網建設比較忽視，相較于電信網絡運營企業，其運維水平與管理水平比較低[3]。目前，廣電基礎網與業務網建設均取得長足進步，在此條件下，廣電運營網絡中，支撐網成為其短項，無法對網絡安全和多種增值業務發展等的需求。所以，需要將更多精力投入在支撐網建設中，將網絡安全和快速運維作為中心，完成具備較強可靠性的網絡監控平臺的構建，從而為廣電網絡運營商提供重要競爭力(如圖1)。(一)在網絡安全方面，傳輸網絡監控平臺有其重要價值。針對廣電而言，安全是其首要工作。主要原因是，當前社會最為直接和重要的媒體是電視，其受眾范圍廣，并且帶給受眾人群最強感官刺激，所以相較于其他運營商，廣電具備一定特殊職能，那便是網絡安全。同網絡安全相關的因素較多，主要包括自然災害和意外事故等。人工值守等傳統方法無法對這種類型的問題進行根本解決與處理，在全新的形勢之下，需要突出網絡安全的多種特征，主要包括科學化和制度化，充分應用各種先進技術手段，比如人防結合等，從根本上解決網絡安全問題。網絡安全這一難題始終存在，主要原因是不能夠預測即將出現的危機，只能夠提前得知涉及安全的隱患所存，在安全事故發生的時候，相關人員可以采取有效措施。在網絡安全方面，可以將其分成兩個層次，分別為網絡基礎設備的破壞和網絡傳輸信號的入侵，這兩種層次有著較強關聯性。對于第一層次而言，可能具有蓄意性質，例如光設備和光纖投到等，也有可能是無意破壞，包括無意割斷光纖導致停播等。在日常網絡運營過程中，破壞網絡基礎設施的現象經常出現，在智能化工具出現之后，不只可以對故障發生進行預測，由此對其進行提前維護，而且在發生突發事件之后，能夠在較短時間中組織搶修。將非法入侵網絡信號這種行為歸屬于政治破壞，當下網絡插播方面的非法信號入侵比較常見。目前，衛視信號實現換星，自此之后，攻擊難度加大，所以將關注點轉向了有線網絡，近年來時常發生非法闖入無人值守機房等事件。所以在網絡安全方面，監控機房和野外設備是一項至關重要的工作。通過建立有線電視傳輸網絡監控平臺，可以實現全面監控的目的，同時在同一平臺上，實現不同類型網元的統一監控功能的集成。在該平臺中，可以充分應用短信報警系統等多種方式，實現這些方式和小區保安與GPS車輛調度等的聯動，由此以較快速度從整體上提升廣電網絡安全指數和應急處理能力。(二)在網絡運維方面，有線電視傳輸。網絡平臺也有著較大價值網絡運維有其重要目的，主要是實現網絡服務質量的提升。目前，人民群眾拋棄廣電選擇電信，其主要原因是IPTV自身具備較強互動性，電信營銷手段較為突出，并且相較于廣電，電信網絡具備更大優勢，電信網絡提供重要保障，在此條件下，電信能夠在網絡中開展更多更加優質的業務。與其它網絡相比，廣電基礎網絡具備較多優勢，不過在業務方面非常落后，主要原因是廣電網絡支撐維護系統較為薄弱，是廣電的短項。所以，目前三網實現了融合，在此背景之下，今后廣電要在市場中占據重要位置，主要是建設基礎網絡，并且為網絡建設提供重要支撐。從有線電視傳輸網絡監控平臺方面來說，其最終目的是實現以上支撐網的多種功能。舉例來說，在網絡上具備骨干光纖網，這都是具有冗余備份的，如果破壞了主路光纖，可以自動啟用備份路由。若是尚未開展支撐網絡建設，當主路遭受破壞之后，相關工作人員可能不會發現，如果備份路由也遭受了破壞，有極大可能發生重大播出事故。在完成支撐網絡平臺建設之后，若是發生了主路故障，在三十分鐘之內就可以完成修復，主要原因是為網絡提供支撐作用的監控平臺可以提供明確的故障原因與發生地。舉例來說，在某個小區中，一個光站帶500戶，在較長年限中光站始終處于運行狀態，某一天，該光站內部朝著接收模塊性能劣化，在較大程度上降低接收光功率，已經降至-5dBm導致所有住戶無法收看電視。在完成支撐網絡平臺構建之后，若是模塊接收光功率降至-3dBm，系統會自動報警，并且在第一時間實現模塊更換，用戶無法收看電視的情況便不會出現。該例子只是電視信號傳輸的例子，當雙向數據業務開展之后，用戶正在炒股，網絡突然斷開，人們尚不清楚，在用戶投訴之后才能檢查和修理，要完成這一系列操作可以已經過去了兩個小時。在這段時間中，股票市場將發生較多變化，有可能給股民造成不可挽回的損失。對于人民群眾而言，所選擇的網絡服務提供商一定是最好的，從而體現出網絡快速運維的價值。

三、結束語

綜上所述，有線電視傳輸網絡監控平臺對網絡傳輸和網絡運維有其重要價值，將網絡安全監控和運維指揮調度集為一體，已經實現了全網絡監控的目的，從廣電網絡到分中心機房到人民群眾終端，與此同時，從該系統可以看到整個網絡的整體狀態，由此判斷接下來網絡即將發生的變化和故障，從根本上實現電視網全網可以管理和控制的要求。

摘要：目前覆蓋全國的部-省-市-縣四級環保機構的業務專網已是環保系統重要的網絡支撐，視頻會議、電子公文傳輸、污染源自動監控等重要應用系統運行于該網絡。要加強網絡的日常監控，出現斷網或擁塞等情況應及時處理，保障網絡暢通。重視網絡與信息安全，認真排查網絡安全隱患，防止因各種軟硬件故障、病毒侵襲破壞等原因導致系統崩潰和網絡癱瘓。如何更好的保障環保專網及業務系統的穩定運維，應該從技術層面和管理層面去管理網絡，其中技術層面有物理支持環境安全、網絡和通信、主機環境安全、應用系統、數據備份等；管理層面分為安全管理制度和運維安全管理。

關鍵詞：環保專網；網絡安全：管理運維

一、加強網絡安全保障體系建設

在網絡安全保障體系建設中首先要梳理資產了解網絡現狀，能發現問題，預防風險并能跟蹤審計，從技術層面和管理層面進行建設。技術層面主要考慮的是：物理支撐環境、網絡和通信、主機環境安全、應用系統、數據備份；管理層面：安全管理制度、運維安全管理。安全策略：檢查防火墻策略是否開啟了嚴格訪問控制（最小化授權），檢查IPS/WAF/防毒墻/、郵件網關策略是否防護了相關設備；安全檢測：檢查IDS系統/APT設備檢測記錄、分析內部威脅情況，檢查準入系統，各終端是否接入平臺，是否有違規接入和非法外聯，檢查邊界防護設備日志（FW/IPS/AV/WAF/郵件網關），分析是否有外部攻擊行為；安全審計：檢查設備是否開啟日志功能，并接入日志審計系統，關聯分析，檢查各設備是否接入IT運維管理系統，檢查各設備是否通過堡壘機進行運維，分析上網行為系統和流量回溯系統，審核用戶行為和服務器訪問狀況；設備防護：檢查設備是否開啟身份鑒別，檢查設備是否限制了管理地址，檢查設備是否開啟了密碼策略和賬號鎖定策略，檢查設備是否采用加密管理，檢查設備是否建立了分級賬戶。網絡結構安全：是否采用了彈性網絡架構（HA、虛擬化、雙鏈路）、是否開啟了網絡優化（DHCP、BPDU、禁用無關協議）、繪制真實拓撲結構，分區分域設計、是否制定了網絡規劃。訪問控制：各區域邊界是否部署應用級防火墻、網站邊界是否有抗DOS攻擊系統、外部訪問是否進行VPN加密傳輸、內外網互通是否部署網閘。安全審計：是否部署網絡回溯系統、是否部署上網行為管理、是否部署IT運維管理、是否部署堡壘機、是否日志審計系統。邊界完整性檢查：是否部署網絡準入系統、是否部署終端準入系統，非法外聯檢測。入侵防范：網絡邊界是否部署IPS（防火墻模塊）、是否在關鍵網絡部署IDS、是否部署未知威脅檢測APT系統。惡意代碼防范：是否部署防毒墻、網站邊界是否部署WAF、網頁防篡改、郵件系統是否部署郵件防護網關（垃圾/惡意郵件）。

二、在日常網絡管理工作中需要注意的地方

（一）網絡安全自查。首先要對基層設施如機房設備記錄表、檢查機房制度清單表、出入機房登記表進行檢查。還應該對網絡安全保障體系自查，如核心設備是否冗余部署、各網絡邊界是否部署了應用級防火墻、是否部署上網行為管理硬件設備、是否部署終端安全管理系統、是否部署安全網閘等。我們還要做好終端的準入控制，包括身份鑒別和健康狀態檢查，關閉無用的交換機端口，對于無線接入網絡要做到無線AP和核心交換機之間的安全隔離，也就是部署應用級防火墻。（二）系統弱口令的問題。通過專業設備進行系統弱口令掃描，杜絕弱口令的問題，尤其是系統在建設期內程序員為了方便管理設置的弱口令，在系統正式上線后是否還沒進行更改。（三）系統漏洞問題。為什么我們會受到攻擊，是因為我們本身存在漏洞，有可以被利用的點。如近期爆發的勒索病毒，國內多行業遭受勒索攻擊，看似安全的內網或專網平臺，依然受到攻擊，表明多數行業的服務器及終端存在著安全漏洞。因此需要定期進行漏洞掃描，及時掌握系統漏洞，并進行修補。這個可以算是事先的安全防護。漏洞掃描主要分為兩類，一類是系統漏洞掃描，主要針對系統平臺和數據庫、中間件等，包括發現系統平臺存在的安全漏洞、安全配置問題、中間件系統安全漏洞、檢查系統存在的弱口令和收集系統不必要開放的帳號、服務、端口等等。另一類是WEB應用漏洞掃描，主要針對WEB應用平臺，包括定位應用系統的漏洞，網頁掛馬檢測和SQL注入攻擊檢測等等。

摘要：分析了自動化運維安全管控現狀，介紹了堡壘機的基本功能，并按相關要求在電力監控仿真培訓系統中部署了堡壘機，提出了堡壘機“一個目標、三種角色”的培訓方案，開發了堡壘機培訓項目，以提高自動化運維安全管控水平。

關鍵詞：自動化運維；安全管控；堡壘機；培訓

電力行業關系到國計民生，電力監控系統的安全問題至關重要，如果維護人員違規操作導致信息安全事件，會造成難以挽回的損失和影響。堡壘機在特定的網絡環境中，通過不同方式進行網絡活動分析處理，確保網絡安全穩定。堡壘機的安全穩定運行與企業數據安全有著直接聯系。堡壘機從最早的跳板機發展為目前的第三代堡壘機，可接管終端計算機對網絡和服務器的訪問，并可融合多種用戶使用要求，其支持的協議也逐漸增加，例如FTP協議、數據庫協議、Web應用協議、網管協議等。目前電力運維堡壘機的建設工作陸續開展，但現場工作人員對堡壘機功能和使用方法的了解有待加強。本文在調度自動化仿真系統中部署堡壘機，并對學員開展堡壘機相關培訓。堡壘機可在不改變業務系統原有架構的情況下實現對內部違規操作風險的有效控制，從而提升學員的職業素養，預防內部信息安全事件的發生。

1自動化運維安全管控現狀

傳統運維模式下，運維人員主要通過KVM（Key?boardVideoMouse，簡稱KVM）或直連信息設備進行變更、配置、備份與維護等操作，存在一定安全風險［1］。

1.1賬號及授權管理混亂

摘要：目的：基于西北空管局數據平臺的架構，探索云架構下的網絡安全設計。方法：利用虛擬私有云（VirtualPrivateCloud，以下簡稱VPC）與子網的劃分，安全組與網絡ACL（訪問控制列表）的配置，虛擬專用網絡（VPN）隧道的搭建，主機安全服務，在數據上云，數據解析入庫，數據應用服務，遠程運維全流程進行安全防護。結果：云上數據及業務安全得到了有效保障。結論：通過云安全組件和安全策略配置，可以實現云架構下的網絡安全。

關鍵詞：云架構；數據平臺；網絡安全；VPC；ACL；安全組；VPN

民航空管行業長久以來一直注重網絡安全的建設與保障。隨著云計算、大數據、物聯網、人工智能等新技術的出現與發展，網絡安全已經不在限于對網絡傳輸層面的保障，數據安全的重要性日益凸顯。西北空管局按照高質量發展的要求，大力推進“強安全、強效率、強智慧、強協同”的現代化空管體系建設。為了做好“強智慧”的相關內容，西北空管局數字化轉型團隊通過不斷的嘗試與探索，設計了基于云架構的數據運行平臺。設計不僅包括數據平臺涉及的組件選型、性能等技術指標，數據治理和業務架構等業務指標，網絡安全及數據安全也是其中的重要部分。基于云的數據平臺在技術上是先進可行的，也是未來發展的方向，但是在云架構下如何保障業務數據的安全穩定是需要面對的全新問題。通過研究云上相關安全組件和安全服務，提供云架構下網絡安全與數據安全的建設保障思路。

1西北空管局專屬云架構設計

西北空管局的生產業務數據先引接至數據代理轉發平臺，該數據代理轉發平臺采用在Linux系統上搭建開源Ngnix代理程序的方式，實現數據轉發代理功能。經轉發平臺代理后數據通過IPSecVPN專線上云至ELB組件，加強數據負載均衡能力，提高數據可靠性及連續性。之后，數據接入部署在CCE容器中的數據解析程序，將原始業務數據解析成JSON格式數據。根據前端業務場景對數據需求的不同，通過KAFKA、Flink、數據集成平臺分別進行轉發。部分JSON數據直接通過數據集成平臺提供數據服務，全量數據通過Flink進行入庫操作，根據時效性需求分別存入實時性數據庫（TP場景）和分析性數據庫（AP場景），TP場景選取Postgres數據庫搭建，AP場景選取GauseDB數據庫搭建。前端應用程序部署在云服務器上，根據需要從AP或TP數據庫獲取數據，對外提供服務.同時，西北空管局還涉及一部分不依賴于業務數據的系統，這類系統大多為政務類獨立系統，根據西北空管局數字化轉型頂層規劃，這類系統需逐步遷移至云上，不再采用傳統獨立服務器部署的方式。對于這類系統，在云上單獨租用了部分云主機，以系統為單位劃分，將各個系統的核心軟件程序，數據庫，APP部署在指定分配的云主機上。西北空管局專屬云架構如圖1所示。

2基于云架構的網絡安全能力

摘要：從傳統校園到數字校園再到智慧校園，教育信息化的發展突飛猛進，尤其是教育部《教育信息化2.0行動計劃》和《2020年教育信息化和網絡安全工作要點》對信息化和網絡安全提出了明確的建設目標。智慧校園的正常運轉，信息安全是一個尤為重要的保障因素,校園中的人、財、物、事所產生的數據對校園的穩定、教育教學工作的正常開展都會產生巨大的影響。筆者主要對智慧校園信息安全體系建設的內容和策略進行探索和實踐。

關鍵詞：智慧校園；信息安全；體系建設

1概述

教育部《教育信息化2.0行動計劃》的為高校智慧校園的建設指明了新方向、新目標，提出了新要求、新任務，高校的管理、教學、科研以及產業對接等工作的信息化程度也越來越高。隨著校園信息化程度的逐步提高，信息安全也成為一個不可忽視的問題。在信息化2.0背景下，教育部印發的《2020年教育信息化和網絡安全工作要點》中提出“加強教育信息化和網絡安全工作統籌部署”，并要求“開展教育系統關鍵信息基礎設施認定和檢查，落實教育新系統關鍵信息基礎設施安全防護，組織開展教育系統應急演練，建立覆蓋數據全生命周期的安全管理機制”[1]。

2智慧校園信息安全的現狀

信息安全是智慧校園正常運轉的重要保障，主要通過硬件設施、網絡安全技術以及制度體系等的綜合運用實現信息化管理系統運行的安全性、保密性、穩定性、可靠性以及完整性[2]。智慧校園建設所涉及的基礎設施、應用服務、管理體系以及輻射服務越來越綜合，產生的數據量越來越大，這些都加劇了智慧校園系統的風險性，如何做好信息安全保障是一個亟需解決的問題。從整體看，隨著教育信息化建設的深入，校園信息安全建設對管理、運維等的協同性要求越來越迫切，相關人員的信息化素養亟需提升。從現狀分析，重建設、輕管理、偏設施以及輕安全等情況依然比較普遍，從制度層面看對信息安全的管理缺失、基礎建設支持不到位。此外，管理層對專門的信息安全技術人員隊伍建設重視程度不夠，大多由網絡中心負責運維的人員兼管，這些人員對信息系統的技術掌握不全面，也沒有得到必要、全面的技能提升培養[3]。