网络安全基础运维范文

导语：如何才能写好一篇网络安全基础运维，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

【关键词】网络；安全等级保护；实施策略

1网络安全等级保护模型的建构

1.1安全计算环境的建构

其中安全计算环境能够实现相关等级系统的有效管理，在信息存储以及处理，安全策略实施过程中，能够对信息系统的重要情况全面掌控。安全计算环境在其有效区域边界安全防护中，实现对外界网络的各种攻击行为有效防护，并能够避免出现非授权访问。针对这一问题，安全计算机环境整体安全防范，也就是针对网络实施有计划有标准的安全性改造，以能够显著提升系统整体性，以免系统本身出现安全漏洞及缺陷等，出现安全风险或者受到攻击问题。另外，安全计算环境安全防护工作主要也就是有效防范和控制系统内部的攻击和非授权访问问题，以免内部人员因为自身操作方式问题出现破坏行为。

1.2安全网络环境的建构

在信息系统中，通过网络能够有效实现不同计算机和计算域，用户和用户域的有效衔接，在不同系统间信息传输过程中网络具有通道作用。网络可以在系统内外应用，部分网络信息流在传输过程中，都会不同程度的经过不稳定网络环境。因此，在实际操作中，网络安全防护工作首先也就需要提高网络设备的整体安全性，针对网络中的各个设备制定定期维护方案，以免出现网络攻击问题，基于此显著提升网络中的信息流总体安全性，在以上基础上进一步提升通信架构的整体性、安全性以及保密性。在网络自身安全保密中，可以采用网络加密技术和本身结合方式，满足网络安全等级保护的不同要求。其中在网络安全域建设中，需要制定相应的网络结构安全范围，并实现网络不同访问操作的有效控制，在实际工作中也需要重视网络的安全审计工作，提高相应边界完整性，以免在网络运行中受到网络入侵和攻击，并可以有效防范出现恶性代码问题，能够对网络设备的安全防护及信息起到有效的保护作用。

1.3安全管理中心的建构

在信息系统中，安全管理中心是重要的安全管理系统，直接影响整个系统的安全管理有效性。安全管理中心作为管理平台，能够实现对系统中不同信息安全机制的整合性管理，对于系统中存在的分散安全机制，安全管理中心可以对其实施系统化管理，实现集中管理有助于显著提升安全防范效果。安全管理中心在应用中，可以系统性统筹管理系统的相关体系域的安全计算域、网络安全域以及安全用户域等，并对其实现统一调度和应用，可以实现对广大用户身份以及授权的管理，实现对用户操作和审计过程的管理，实现对用户访问和控制，也就可以实现系统的整体风险防范，全面掌握通信架构运行情况，显著提升网络安全防护系统的整体效果。

2网络安全等级保护的实施策略

篇2

 

为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针，需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进贵州广电网络信息化的深入发展。

 

1安全规划的目标和思路

 

贵州广电网络目前运营并管理着两张网络：办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公，重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台，其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。

 

基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识，我们认为，信息安全体系是贵州广电网络信息系统建设的重要组成部分，是贵州广电网络业务开展的重要安全屏障，它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面，包括保护、检测、响应、恢复四个方面，通过技术保障和管理制度建立起来的可靠有效的安全体系。

 

1.1设计目标

 

贵州广电网络就安全域划分已经进行的初步规划，在安全域整改中初见成效，然而，安全系统建设不仅需要建立重要资源的安全边界，而且需要明确边界上的安全策略，提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱，管理细则文件亟需补充，安全管理人员亟需培训。因此，本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理，针对业务系统中安全措施进行了重点分析，综合贵州广电网络未来业务发展的方向，进行未来五年的信息安全建设规划。

 

1.2设计原则

 

1.2.1合规性原则

 

安全设计要符合国家有关标准、法规要求，符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的，包括对信息数据保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等)，从而针对不同级别的安全对象，提供全面、可选的安全技术和安全体制，以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。

 

1.2.2技管结合原则

 

信息安全保障体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

 

1.2.3实用原则

 

安全是为了保障业务的正常运行，不能为了安全而妨碍业务，同时设计的安全措施要可以落地实现。

 

1.3设计依据

 

1.3.1“原则”符合法规要求

 

依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。

 

2011《广播电视播出相关信息系统等级保护基本要求》，对贵州省广播电视相关信息系统安全建设进行规划。

 

1.3.2“策略”符合风险管理

 

风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。

 

风险管理是静态的防护策略，是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞，包括技术上的、管理上的，分析面临的威胁，从而确定防护需求，设计防护的措施，具体的措施是打补丁，还是调整管理流程，或者是增加、增强某种安全措施，要根据用户对风险的可接受程度，这样就可以与安全建设的成本之间做一个平衡。

 

1.3.3“措施”符合P2DR模型

 

美国ISS公司(IntemetSecuritySystem，INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分，是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢，根据风险分析产生的安全策略描述了系统中哪些资源要得到保护，以及如何实现对它们的保护等，策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。

 

检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整至“最安全”和“风险最低”的状态，在安全策略的指导下保证信息系统的安全[3]。

 

1.4安全规划体系架构

 

在进行了规划“原则”、“策略”、“措施”探讨的基础上，我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。

 

“一个中心”，以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保业务系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保业务系统的安全。

 

“两种手段”，是安全技术与安全管理两种手段，其中安全技术手段是安全保障的基础，安全管理手段是安全技术手段真正发挥效益的关键，管理措施的正确实施同时需要有技术手段来监管和验证，两者相辅相成，缺一不可。

 

2安全保陳方案规划

 

2.1总体设计

 

贵州广电网络的安全体系作为信息安全的技术支撑措施，分为五个方面：

 

边界防护体系：安全域划分，边界访问控制策略的部署，主要是业务核心资源的边界，运维人员的访问通道。

 

行为审计体系：通过身份鉴别、授权管理、访问控制、行为曰志等手段，保证用户行为的合规性。

 

安全监控体系：监控网络中的异常，维护业务运行的安全基线，包括安全事件与设备故障，也包括系统漏洞与升级管理。

 

公共安全辅助：作为整个网络信息安全的基础服务系统，包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

 

IT基础设施：提供智能化、弹能力的基础设施，主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

 

2.2安全域划分

 

划分安全域的方法是首先区分网络功能区域，服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中，按照不同的安全需求区分不同的业务与用户，进一步划分子区域;最后，根据每个业务应用系统，梳理其用户到服务器与数据库的网络访问路径，通过的域边界或网络边界越少越好。

 

Z3边界防护体系规划

 

边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界，边界上部署访问控制措施，是防止非授权的“外部”用户访问“里面”的资源，因此分析业务的访问流向，是访问控制策略设计的依据。

 

2.3.1边界措施选择

 

在边界上我们建议四种安全措施：

 

1.网络边界：与外部网络的边界是安全防护的重点，我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测，采用防火墙(FW)部署访问控制策略，采用入侵防御系统(IPS)部署对黑客入侵的检测，采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作，与远程办公实施，在网络边界上部署VPN网关，对远程访问用户身份鉴别后，分配内网地址，给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

 

3.业务流边界：安全需求等级相同的业务应用采用VLAN隔离，采用路由访问限制策略;不同部门的接入域也采用VLAN隔离，防止二层广播，通知可以在发现安全事件时，开启不同子域的安全隔离。

 

4.终端边界：重点业务系统的终端，如运维终端，采用终端安全系统，保证终端上系统的安全，如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

 

2.3.2策略更新管理

 

边界是提高入侵者的攻击“门槛”的，部署安全策略重点有两个方面：一是有针对性。允许什么，不允许什么，是明确的;二是动态性。就是策略的定期变化，如访问者的口令、允许远程访问的端口等，变化的周期越短，给入侵者留下的攻击窗口越小。

 

2.4行为审计体系规划

 

行为审计是指对网络用户行为进行详细记录，直接的好处是可以为事后安全事件取证提供直接证据，间接的好处乇两方面：对业务操作的日志记录，可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作，最大程度地减小损失;对系统操作的日志记录，可以分析攻击者的行为轨迹，从而判断安全防御系统的漏洞所在，亡羊补牢，可以弥补入侵者下次入侵的危害。

 

行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

 

2.5安全监控体系规划

 

监控体系不仅是网络安全态势展示平台，也是安全事件应急处理的指挥平台。为了管理工作上的方便，在安全监控体系上做到几方面的统一：

 

1.运维与安全管理的统一：业务运维与安全同平台管理，提高安全事件的应急处理速度。

 

2.曰常安全运维与应急指挥统一：随时了解网络上的设备、系统、流量、业务等状态变化，不仅是日常运维发现异常的平台，而且作为安全事件应急指挥的调度平台，随时了解安全事件波及的范围、影响的业务，同时确定安全措施执行的效果。

 

3.管理与考核的统一：安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位，在安全事件的定位、跟踪、处理过程中，就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

 

安全监控措施主要包括安全态势监控以及安全管理平台，2.6公共安全辅助系统

 

作为整个网络信息安全的基础服务系统，需要建设公共安全辅助系统：

 

1.身份认证系统：独立于所有业务系统之外，为业务、运维提供身份认证服务。

 

2.补丁管理系统：对所有系统、应用的补丁进行管理，对于通过测试的补丁、重要的补丁，提供主动推送，或强制执行的技术手段，保证网络安全基线。

 

3.漏洞扫描系统：对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解，对于不能打补丁的系统，要确认有其他安全策略进行防护。漏洞扫描分为两个方面，一是系统本身的漏洞，二是安全域边界部署了安全措施之后，实际用户所能访问到的漏洞(渗透性测试服务)。

 

2.7IT基础设施规划

 

IT基础设施是所有网络业务系统服务的基础，具备一个优秀的基础架构，不仅可以快速、灵活地支撑各种业务系统的有效运行，而且可以极大地提高基础IT资源的利用率，节省资金投入，达到环保的要求。

 

IT基础设施的优化主要体现在三个方面：智能机房、服务器虚拟化、存储虚拟化。

 

3安全筐理体系规划

 

在系统安全的各项建设内容中，安全管理体系的建设是关键和基础，建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

 

3_1安全管理标准依据

 

以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准，对贵州广电网络安全管理体系的建设进行设计。

 

3.2安全管理体系的建设目标

 

通过有效的进行贵州广电网络的安全管理体系建设，最终要实现的目标是：采取集中控制模式，建立起贵州广电网络完整的安全管理体系并加以实施与保持，实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式，从而在管理上确保全方位、多层次、快速有效的网络安全防护。

 

3.3安全管理建设指导思想

 

各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议，要真正构建符合贵州广电网络自身状况的信息安全管理体系，在建设过程中应当以以下思想作为指导：“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础，信息安全管理是信息安全的关键，人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则，信息安全管理体系是实现信息安全管理最为有效的手段。”

 

3.4安全管理体系的建设具体内容

 

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准，结合目前贵州广电网络安全管理体系的现状，对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时，由于信息安全是一个动态的系统工程，所以，贵州广电网络还必须对信息安全管理措施不断的加以校验和调整，以使管理体系始终适应和满足实际情况的需要，使贵州广电网络的信息资产得到有效、经济、合理的保护。

 

贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

 

通过组建完整的信息网络安全管理机构，设置安全管理人员，规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施，制定严格的安全管理制度，合理地协调法律、技术和管理三种因素，实现对系统安全管理的科学化、系统化、法制化和规范化，达到保障贵州广电网络信息系统安全的目的。

 

3.5曰常安全运维3.5.1安全风险评估

 

安全风险评估是建立主动防御安全体系的重要和关键环节，这环的工作做好了可以减少大量的安全威胁，提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础，是组织平衡安全风险和安全投入的依据，也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

 

3.5.2网络管理与安全管理

 

网络管理与安全管理的主要措施包括：出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

 

3.5.3备份与容灾管理

 

贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

 

3.5.4应急响应计划

 

通过建立应急相应机构，制定应急响应预案，通过建立专家资源库、厂商资源库等人力资源措施，通过对应急响应有线网络ICATV预案不低于一年两次的演练，可以在发生紧急事件时，做到规范化操作，更快的恢复应用和数据，并最大可能的减少损失

 

3.6安全人员管理

 

信息系统的运行是依靠在各级党政机构工作的人员来具体实施的，他们既是信息系统安全的主体，也是系统安全管理的对象。所以，要确保信息系统的安全，首先应加强人事安全管理。

 

安全人员应包括：系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

 

其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

 

主要措施包括：软件管理、设备管理、备份管理以及技术文档管理。

 

4安全规划分期建设路线

 

信息安全保障重要的是过程，而不一定是结果，重要的是安全意识的提高，而不一定是安全措施的多少。因此，信息安全建设也应该从保障业务运营为目标，提高用户自身的安全意识为思路，根据业务应用的模式与规模逐步、分阶段建设，同时还要符合国家与广电总局关于等级保护的技术与管理要求。

 

4.1主要的工作内容

 

根据安全保障方案规划的设计，贵州广电网络的信息安全建设分为如下几个方面的内容：

 

1.网络优化改造:主要是安全域的划分，网络结构的改造。

 

2.安全措施部署:边界隔离措施部署，行为审计系统部署、安全监控体系部署。

 

3.基础设施改造：主要是数据大集中、服务器虚拟化、存储虚拟化。

 

4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

 

4.2分期建设规划

 

4_2.1达标阶段(2015-2017)

 

1.等保建设

 

2.信任体系：网络审计、运维审计、日志审计

 

3.身份鉴别(一次口令)

 

4.监控平台：入侵检测、流量监测、木马监测

 

5.安全管理平台建设

 

6.等保测评通过(2级3级系统)

 

7.安全服务：建立定期模式

 

8.渗透性测试服务(外部+内部)

 

9.安全加固服务，建立服务器安全底线

 

10.信息安全管理

 

11.落实安全管理细则文件制定

 

12.落实安全运维与应急处理流程

 

13.完善IT服务流程，建设安全运维管理平台

 

14.定期安全演练与培训

 

4.2.2持续改进阶段(2018〜2019)

 

1.等保建设

 

2.完善信息安全防护体系

 

3.提升整体防护能力

 

4.深度安全服务

 

5.有针对性安全演练，协调改进管理与技术措施

 

6.源代码安全审计服务(新上线业务)

 

7.信息安全管理

 

8.持续改进运维与应急流程与制度，提高应急反应能力

 

9.提高运维效率，开拓运维增值模式

 

5结東语

篇3

关键词：电力信息网；安全防护；终端安全

中图分类号：TP309 文献标识码：A 文章编号：1671-2064（2017）10-0135-02

电力信息网终端作为信息网的重要组成部分，直接承载了各类生产应用开放的业务功能，给业务用户带来了便捷的同时也面临着许多不容忽视的安全威胁；信息内网终端由于病毒感染、移动介质的非法使用、内外网互联等行为给整个电力信息网带来了极大的安全隐患[1]。国网合肥供电公司在开展终端自动化运维工作的基础上，同时积极开展将终端安全防护纳入终端自动化运维工作范围，自主研发终端自动运维安全检测工具来实现终端的安全优化，通过此工具的应用，有效的管理终端设备，提高工作效率，同时实时监控终端，提高信息内外网的安全性。该工具目前在合肥公司已全面应用，应用情况良好。

1 电力信息网终端安全防护现状

合肥供电公司按照国网公司信息安全规范要求[2]对信息网进行了信双网隔离改造，目前信息网包括信息内网和信息外网。其中信息外网主要包括办公桌面终端，方便专业管理人员接入互联网，由省电力公司进行安全防护管理；信息内网包括市公司本部的局域网、变电站及营业厅使用的广域网及县公司网络，并按照信息安全“分区、分级、分域”的防护规范要求，将信息内网安全域划分为网络边界、网络环境、信息主机及应用环境4个层次，各系统、网络设备、终端划分至相应安全区域进行防护。公司现有信息终端2800余台以办公用台式机为主，同时包括网络打印机、网络摄像头、硬盘录像机、缴费终端等其他类型。根据国网公司终端信息安全管理规范要求，针对办公终端均已安装北信源桌面管控终端（VRV客户端）、趋势防病毒客户端及保密终端，并定期进行补丁升级。

随着信息安全要求的不断提升，电力信息网终端防护方法及技术也不断提升，目前已形成基础系统配置审计、终端行为审计及终端安全辅助支撑三级的主、被动结合的防护机制[3]。

（1）基础系统配置审计：通过VRV客户端定期对终端操作系统的Guest用户、登录口令强度、口令过期策略、系统补丁安装情况进行检测，提示终端操作系统存在的安全风险；并由省电科院定期开展终端漏洞扫描工作，针对MS08-77、MS12-020等高危漏洞进行扫描并提示整改[6]。

（2）终端行为审计：通过VRV客户端对终端用户的违规内外网互联、使用非安全移动存储设备，使用趋势防病毒客户端对终端病毒感染情况进行审计并提示终端用户行为存在的安全风险。

（3）终端安全辅助支撑：为增加终端使用人员的信息安全意识，通过设置统一的安全警示屏保、公司内网网站定期宣传、办公场所信息安全事故展等多种方式开展终端安全宣传工作，进一步提升人员信息安全意识[3]。

在使用信息网终端时，部分员工的无意识行为和安全意识不足，给信息网安全带来了一定的安全隐患[8]，主要表现在以下几个方面：

1）终端范围广，环境复杂，用户多，终端安全管理难度较大，同时对于终端设备的随意接入使用，并不及时安装监控软件或私自关闭关键进程（如：趋势，VRV等），给内外网的安全到来安全风险，也不便于管理人员有效的管理以及对终端的安全进行监控。

2）无线WIFI的热点的滥用，为黑客利用终端攻击企业局域网提供了便利的条件。

3）K端漏洞补丁的不及时安装，会直接导致黑客入侵电脑，获取终端管理员权限，植入密码病毒或者机密信息等。

4）存在多个系统账户和弱口令，可能导致终端被黑客入侵或者被他人识别登录，造成文件丢失、信息外泄等安全隐患。

5）终端服务的监控准确性差、安全控制策略经常无法生效，以致用户可以私自启用某些不安全的服务，造成信息安全隐患。

6）安装指定的屏保并合规设备屏保，保证终端无人使用状态下，能迅速保护终端安全，防止他人使用造成信息外泄。

2 电力信息网终端安全防护提升方法

2.1 安全防护方法设计

为应对信息网终端运行潜在的各类安全风险，合肥公司开展了各类有效的措施加强安全防护，例如要求用户终端在接入电力信息网前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个信息网络构成威胁，并通过VRV终端定期推送补丁，消除终端系统存在的高危漏洞。但由于信息网的网络安全状态是非稳定的，信息网中的接入设包含信息终端的状态随着时间迁移、变迁到非安全状态，从而给信息网带来新的安全隐患。为此，结合合肥公司目前在运的终端自动化运维终端工具，在工具中集成终端运行数据的采集功能；当在信息网中收集的网络及用户终端的状态信息越多，越能够准确地判断出终端给信息网带来的安全风险，并及时给出应对措施，控制网络安全风险。

终端运维工具与终端安全安全防护关联的核心功能包括：（1）以客户端安装的方式在终端运行实时监控并自动修复存在的安全隐患，如无法修复安全隐患时，终端将被隔离，只访问指定的服务器。（2）以网页的方式实现上传漏洞补丁和指定屏保、监控的信息结果进行展示并信息导出等功能。具体功能如下：

（1）客户端直接对终端设备的进程、服务、账户、口令、趋势、VRV进行监控，通过网络适配器对网卡、无线WIFI进行监控，同时通过对已配置监控的漏洞补丁、屏保进行监视，将此监控的结果进行保存、反馈，并同时对存在的安全危害项进行修复完善。

（2）管理人员通过网站页面展示信息，能够准确了解终端的运行情况，实时查看终端是否符合国网公司的各项信息安全规章制度，同时也可及时发现具体的违规终端信息并及时处理。

（3）安全检查管理：安全检查管理通过以列表的形式将所有终端的监控信息结果进行展示，可通过IP、MAC、检测项等关键字进行筛选显示。展示信息包括：所属部门、使用人、IP地址、MAC地址、趋势是否安装、VRV是否安装、漏洞补丁是否安装、是否单账户、口令是否合格等信息。同时也提供检测信息导出Excel文档功能。

2.2 安全防护工具应用

工具在客户端上定期依据审计项目对终端安全状态进行检测，并上传至后台系统，安全项目检测界面见图1。检测结束后若不满足终端安全防护要求，客户端工具通过调用系统防火墙，限制终端的网络接入，只允许客户端接入特定的漏洞服务器，防止终端给信息网带来的潜在的安全风险。

3 结语

在分析电力信息网终端运行安全风险的基础上，合肥公司自助研发了终端安全风险监测与防护工具，通过工具应用，能够有效的对终端设备进行有效的监控和分析，并及时有效的修复安全检测项以及将分析的总体结果通过管理端进行详细展示，有效地提高工作效率，降低了网络安全风险，提高了电力信息内网的安全性，具有一定额推广价值。

参考文献

[1]张羽.基于IP接入实现桌面终端安全准入控制管理[J].电力信息化，2009.10.

篇4

关键词 灰色模型；残差改进；神经网络

中图分类号：TP393.08 文献标识码：B

文章编号：1671-489X（2014）08-0132-04

Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei， MA Wenlong ， HAO Jing

Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP （analytic hierarchy process） is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that， GM （Grey Model） is introduced to comprehensively predict the conditions of the industry’s information security， and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.

Key words grey model； error improvement； artificial neural network

1 引言

随着电力行业信息化建设水平的不断提高，部门之间信息交换愈加频繁，网络安全问题日益突出，为行业信息化工作的深入开展埋下了诸多隐患。并且作为重点行业，用户核心业务及敏感数据的安全保护，生产大区与信息大区分布范围较广但信息交换日益增多，网络结构受地区限制而差异较大，网络结构复杂等诸多因素决定了行业网络安全方面的特殊性。因此，针对行业特点，人们提出许多技术措施和管理手段。

但是由于网络安全涉及多个方面的内容[1-12]，无法简单地通过某一方面的数据而反映整体网络安全状况，现有网络安全机制出发点在于可视化的网络管理维护、突发事件的应急管理、风险评定等，这些措施加强了网络安全的管理，但是缺乏对网络安全的主动预测，以便提前遏制可能出现的各类安全问题，消除潜在风险。因此，本文通过综合日常运维工作实际与各项考核指标，提出一种基于残差改进GM（1，1）模型的网络安全预测方法。

2 网络安全预测方法与标准

本文所提出的信息风险预测方法，以灾变灰预测[13-14]为基础，从以往的被动防御方式，如防火墙、入侵检测技术等，转换为主动预测的方式，通过对以往网络安全事件发生的统计分析，包括网络安全事件发生的频率、数量[15]、类型以及威胁程度等多个方面，得出原始序列并指定阈值，构造异常序列与时分布映射，通过对时分布序列的GM（1，1）建模，对异常值时分布作预测，使运维管理人员、网络及软件工程师提前采取相应的防范措施，消除风险[16-18]。

在结合信息系统安全评价考核指标与日常运行维护所反映出的主要问题后，选择出重要的样本类型，具体参看图1，确定权重。

3 网络安全预测模型构建

层次分析法 首先将预测参考指标层次化[16]，通过相互比较确定各指标对于安全预测的重要程度，构造判断矩阵，而后考察判断矩阵对应于特征根的特征向量是否在容许的范围内，若通过了一致性检验，则再通过层次总排序来决定各个因素的优先程度，即对于网络安全预测的权重值。

GM（1，1）模型及灾变灰预测 如前所述，使用GM（1，1）灰色预测模型，其基本形式为x（0）（k）+az（1）（k）=b，根据此基本形式，可以列出如下两个矩阵：

Y=（x（0）（2），x（0）（3），x（0）（4），……，x（0）（n））T

篇5

【关键词】无线校园网;运维管理;安全审计

1.概述

当前高校的有线网络[1]已日趋完善，但随着科技的发展，广大师生对无线网络的需求日益增强，伴随着无线网络技术的不断发展，高校无线校园网逐渐也必然成为一种重要的基础设施。如何建设一个高可用、高安全、高稳定、易使用、易管理、易扩展的无线校园网络与基础设施平台，通过支持802.11N标准，实现无线网络的无缝、高速覆盖，为网络资源的充分利用和共享提供强有力的保障，为学校的全面信息化奠定坚实的基础。网络基础设施完善，基本形成覆盖全校的高速无线网络。在网络规模、技术水平、性能、稳定性和安全性方面[2][3]，为学校各类应用系统和公共资源服务提供一个高速、安全、可靠的无线基础平台。

2.高校无线校园网规划与建设

2.1 无线校园网拓扑结构

南京理工大学校园无线网覆盖的建设目标是充分利用有线校园网IPv4/IPv6[4]的资源，建设具有良好的稳定性、可扩展性和可管理性的无线网络平台，为教学、科研、管理提供稳定、可靠、安全的无线网络环境。

此次校园部分区域无线网络的逻辑拓扑图如图1所示。

该逻辑拓扑图将整个校园网分为有线校园网络和无线校园网络，无线和有线采用的独立组网的方式。对于整个校园网不仅方便网络的管理和扩展，而且两张独立的网络之间可以相互的冗余热备。

整个无线网络从下到上分成了终端层、接入层和核心层三大部分。其中终端层即为需要接入网线网络的终端产品，包括使用无线网卡的笔记本电脑、平板电脑、智能手机等。这一层次是用户直接接触的层次，也最直接的影响了用户对无线网络的使用体验。终端层往上为接入层，包括了提供无线网络覆盖的无线AP和AP直连的接入交换机。网络的最上层为核心层，包括了核心交换机和无线控制器。当然，前提是我们已经默认了校园网的无线毋庸置疑的要采用瘦AP架构。在实际网络建设中，为了提高用户的使用体验，同时简化管理员的管理工作，每个层面都有需要注意的问题。除了以上拓扑结构上的三个层次外，我们还要考虑到网络建成后的无线校园网运维管理[5]问题。

2.2 无线网络的运维管理

一个好的网络，不仅要能为用户提供良好的使用体验，还要使管理员能够方便的管理和维护。因此，按照前几节的思路将网络建设好的基础上，还要充分考虑到网络建成后的运维管理问题。

对于规模庞大的无线网络来说，管理是一件非常重要且繁琐的事情。从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑。无线网是一个整体系统，无线接入点之间必须互协调工作，单独改变一个无线接入点的参数和配置，可能会会引起无线接入点之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题，集中控制和管理显得非常必要。因此，我们需要一个可采用基于Web（支持IPv6）的网络管理系统，为网管人员提供易用较强的管理平台。网管系统应能够对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可随时全盘掌握。通过整体拓扑监视、多视图唯独的监视和分组管理，可将客户的大规模部署无线网络设备进行集中化的控管。

2.3 无线网络的安全审计管理

随着校园网络技术的不断发展以及网络基础设施的完善，用户接入方式及终端类型的多样性和互联网应用越来越广。信息系统的快速发展和网络安全管理问题的矛盾日益凸现。因此如何有效监控网络资源的使用和敏感信息的传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，也是学校网络运维单位迫切需要解决的问题。

3.结束语

可以说，无线网络以全新的形态，全移动式的网络访问模式，正在逐步改变着校园里人们的工作与生活习惯。正是由于校园无线网络的出现，一大批新兴的网络应用模式将会如雨后春笋般逐渐在校园开花结果。以不断提高教学、科研、工作、生活品质和效率为目标，大力发展校园无线网络，对于新时代的高校信息化发展来说，具有重要的战略意义。

参考文献

[1]张军征.校园网络规划与架设[J].电子工业出版社， 2009.

[2]姚琳，王雷.无线网络安全技术[M].清华大学出版社，2013.

[3]任伟.无线网络安全[M].电子工业出版社，2011.

[4]伍孝金.IPv6技术与应用[M].清华大学出版社，2010.

篇6

――获奖感言

山西中网信息产业有限公司（以下简称山西中网），成立于2002年4月6日，位于太原高新技术产业开发区高新动力港。山西中网是一家集信息安全综合服务（包括信息安全产品的研发和生产）、信息系统集成、IT运维管理、计算机网络应用为一身的高新技术企业及双软企业。山西中网是山西首家商用密码产品生产定点单位及省内首家信息安全综合提供商。山西中网拥有覆盖全省乃至全国的渠道体系。山西中网拥有国内一流的信息安全产品和安全服务体系，其网络安全技术及研发水平在国内保持领先。

山西中网下设四大事业部：项目发展事业部、产品发展事业部、运维发展事业部、市场运营事业部，主要从事涉及国家秘密的计算机信息系统集成项目、含密类的信息安全产品的研发，为用户提供全方位的网络IT运维服务，同时拥有专业的团队进行市场推广及销售渠道的建立。

山西中网始终坚持走专业化发展的道路，“以技术为先导，以服务为保证”，与国内众多知名企业建立了良好的合作伙伴关系，形成了相互合作、共同发展的坚实基础。山西中网一直秉承以“诚信为本”的经营原则，与客户建立了融洽、互信的合作基础，树立了良好的企业形象。

山西中网拥有一支优秀的研发及市场营销团队, 汇聚了国内一流的信息安全行业人才，多年来一直从事网络和信息安全技术方向的研究开发，对网络协议和安全技术有着深入的了解和研究。同时山西中网于2011年发起并成立了山西信息安全研究院，并与山西各大科研院所建立起产、学、研合作模式，增强了公司的资源整合能力和科研力量。

山西中网拥有多项具有自主知识产权的核心产品――含密类的信息安全产品“中网网络安全审计系统”、行业定制的信息安全产品“中网互联网敏感信息检查平台”及“中网IT安全运维管理系统”、“中网网络运维监测平台”、“中网计量管理检定测试校准系统”、“中网Web内容管理系统”等。

篇7

网络管理数据库（1）网络实体的边缘：在建立企业级NMDB（networkmanagementdatabase）之前，首先结合网络管理特点确定网络的边缘。作者基于目前主流数据中心网络架构、从网络管理实际出发，给出狭义网络实体边缘的概念：定义1（网络边缘）从主机A的网络端口Pha到主机B的网络端口Phb之间的链路和节点是网络实体的组成部分。如图2所示。将实体网络的边缘确定在网络接口卡有如下几方面的优势：①便于将网络的使用和网络的管理更确切地区分开；②便于将网络实体、连接实体、网络进程、主机区分开；③便于筛选网元、管理进程等对象，有利于快速建库；④结合了top－down和bottom－up两种设计范型的优势。（2）NMDB的要素：根据网络管理现状设计网络管理数据库的要素。私有网络NMDB中的要素包含以下几点：1）配置数据库（CMDB）：这里的CMDB与ITIL规范中所提及的CMDB不完全是一个概念，它具体包含两个要素：①实体网络．实体网络形式地表示为一节点非空的无向图，用二元组标示为Ne＝＜L，N＞。②流量网络．流量网络形式地表示为一节点非空的有向图，用二元组标示为Nd＝＜L，N＞。其中L为通信线路，是一组由不同类型、不同用途的线路组成的链路集合。N为网元，是通信链路上网络节点的集合。实体网络中包含的要素为通信线路信息和网络节点信息，这些信息具有资产属性；流量网络中包含的要素为链路信息、交换信息、策略信息、路由信息等。CMDB是NMDB的核心组成部分，可通过监控平台实时获取。2）故障数据库（FMDB）：FMDB的构建依托CMDB和测量技术手段。测量与基线创建：网络测量是对网络的连接性、路由关系、传输时延、丢包率、流量参数等指标进行量化、提取、分析和验证的一类行为的总称。FMDB建库过程当中最为重要的一个环节是建立网络管理基线。定义2（网络基线）网络基线是在CMDB基础上结合业务的量化指标，是衡量网络波动情况的基准。网络基线与网络波动情况是构建FMDB的两个要素，从以下几方面创建：①链路信息．MAC地址、终端与网络设备的互联关系、VLAN信息、IP接口信息、用户标识等。②路由信息．子网地址、互联地址、路由协议、逐跳关系、路由策略等。③指标信息．端口类型指标、传输与传播延迟指标、转发时延指标、容量指标、报文丢失指标、流量指标、CPU与内存统计值等。比较与案例方法：网络测量得出的网络性能等指标须进行计算、归并、比较，从而获得当前活动行为模式与正常行为发生的偏离量［10］。计算机网络中引起故障的原因是多样的，按照导致网络故障的原因可以将网络异常分为3类：链路故障、性能故障、安全故障。3）安全数据库（SMDB）：网络安全是私有网络管理的重要方面。

目前，网络安全体系大都采用以防御为中心的技术对策，私有网络安全管理涉及面广泛，总体上分为：制度、工作流、技术。技术方面，网络安全策略是私有网络防御体系最主要的依据，因此SMDB的建立包含：网络周长集合：网络周长是指从外部网络接收数据包的网络元素的集合。周长控制技术是用于区分内部网络和外部网络的依据，它是Ne二元组中的N。建立网络周长集合的目的是实现网络任意节点的行为控制，从而实现面向信息资产分类管理、跟踪管理，自动记录设备配置和设备变化以及销毁的全生命周期管理。安全策略集合：①顶层网络安全策略。包含网络安全策略总则、网络安全组织策略、网络安全技术策略。②底层网络安全策略。包含顶层策略向安全网关、IDS、网络审计、防火墙、认证系统等设备的映射过程。网络管理系统模型上文通过将网络管理抽象为各种数据，为设计网络管理系统奠定了基础。在此，我们提出企业网络管理系统功能模型，如图3所示。整个模型分为4个层次，分别为资源层、网络管理层、运维管理层、管理与决策层。①资源层包含与网络元素相关的网元、链路、物理位置、应用资源等。②网络管理层包含网络配置、网络故障、网络安全等；这里之所以没有将计费管理和性能管理作为重点进行论述，一方面是基于局域网本身的应用价值和局域网建设的初衷，另一方面是考虑了测量技术本身的系统性、专业性和私有网络性能测量实施的成本代价。③运维管理层是基于网络管理的服务体验，是在流程控制下的网络行为及其运维支持的跟踪记录过程。④管理与决策包含一些量化的服务指标，包括网络资源的利用率、KPI指标、服务成本等。网络管理系统的实现（1）MIB和OID：MIB（managementinformationbase）包含可被进程查询的所有参数。MIB库中的所有对象均采用“授权”命名格式，这些对象标识符（objectidenti－fier，OID）以整数方式构成树形结构，树上的每个节点只有唯一标示，MIB中所有被管理的对象都以1．3．6．1．2．1开始，而私有企业标示从1．3．6．1．4．1开始［11－12］。（2）SMI：SMI（structureofmanagementinformation）是一套描述SNMP如何访问信息的标准，它采用name、syntax和encoding这3种格式定义的数据项。SMI是MIB的数据类型结构，这些数据的类型结构包括：整数型、字符串、对象标识、计数器类、向量类型等。（3）SNMP：SNMP（simplenetworkmanagementpro－tocol）负责在管理进程和进程之间交互信息，SNMPv2采用如下报文格式保证通信双方的信息交换［14］：get－request、get－next－request、set－request、get－response、get－bulk－request、inform－request、trap。（4）管理进程1）开发工具：管理进程和管理界面的设计是网络管理系统实现的关键。目前实现网络管理协议的开发包和开发平台有很多：NET－SNMP（C版本）、SNMP＋＋（C＋＋版本）、SNMP4J（SNMP＋＋的Java版本）、SNMPJ（NET－SNMP的Java版本）。

ObjectSNMP通过映射列表实现了Java－Object到SNMP－MIB的映射关系，并通过网关API提交数据对象。虽然ObjectSNMP组件的源码不是那么轻易得到，但是ObjectSNMP所显示的开发思路对本文的设计具有一定的启发作用。本文的流程控制平台采用PB开发，而实时监控则是一种基于Java的应用平台。2）被管对象配置：每种网元启动SNMP功能的方式都不尽相同，但在SNMP配置过程当中管理主机地址、通配符、读写方式是必选项，网络设备的配置脚本一般是：snmp｛community“FgdBjn2＃％MYMKa＆”｛authorizationread－write；｝trap－groupname｛targets｛192．168．100．1；｝｝｝对于安装了Windows、Linux、UNIX、Solaris等操作系统的服务器有些本身包含了支持SNMP的组件，但是这些网元的管理监控效果多数情况下取决于自身设备开放程度以及所支撑应用平台的架构。实验与分析为了体现本文的设计思路，在作者所处的网络环境中部署了两台服务器：一台为IBM3650、另一台为HPDL380，分别用于系统的实时监控、流程处理与基线配置。在IBM3650服务器上所有被监控设备的配置数据均可以通过Agent函数获得并提交给监控平台；右边是实时监控平台。在图4中一台SNMP设备被加入到实时网管平台中，在下一次轮询时，该设备的端口、VLAN号、网关及变更数据会被保存下来，并通过作业调度将数据同步到左侧的基线数据当中，这时有用户在左侧的平台中通过表单申请变更手工基线数据10301220109为10301220116，一旦流程被送到“管理员”，管理员会根据10301220116找到对应的网络地址10．13．4．121（网关为10．13．4．126，显示在右侧监控平台），并将地址写入对应的空格内，完成流程步骤2后，表单中的数据将实时刷新网络资源的利用状态，从而保证数据的一致性；因此，哪些未经审批的变动也会形成报警数据。

作者：翟永 王颖 单位：南京电子技术研究所 江苏省水文水资源勘测局

篇8

一、贯彻落实疫情防控工作要求

（一）提高政治站位。高度重视疫情防控工作，及时传达贯彻中央及人社部、省委省政府、省人社厅、市委市政府及局党组关于疫情防控工作的部署要求，进一步抓细抓实抓紧各项工作，统筹做好疫情防控和复工复产。

（二）做好信息支撑。切实保障各类应用系统安全稳定运行，通过网站、移动应用、12333等渠道，确保人社各项政策的宣传、落地。加强视频会议的联调测试、技术保障、运行管理和设备维护工作，保障疫情防控期间紧急任务的有效传达落实。

（三）抓住发展机遇。深入分析疫情防控给信息化发展提出的要求及带来的机遇，进一步发挥优势，推进经办大厅、网上服务、移动应用、自助终端、12333等服务方式的有序衔接，加快实现线上线下服务联动。

二、加快社会保障卡应用建设

（一）完成发行任务。大力推进电子社保卡签发工作，确保完成2020年发卡和电子社保卡签发目标任务。稳步推进第三代社会保障卡发行工作，制定发行计划和工作方案，做好国产密钥服务系统建设，确保第二代社会保障卡向第三代社会保障卡平稳过渡。

（二）提升服务能力。完成省政务服务网、皖事通上社会保障卡服务事项的对接，实现社会保障卡网上申领、邮寄发卡、即时补换、线上启用等服务的一网通办。继续协调合作银行推进“一站式”服务网点建设，快速发卡网点覆盖所有县区和县区全部合作银行，每个县区至少设立2个快速发卡网点。开展“清卡行动”，摸清超期未发、死亡未注销等卡片数量，建立回收处理机制，确保应发尽发、应销尽销。

（三）加大应用拓展。开展人社领域待遇用卡专项提升行动，加大各类就业补贴、农民工工资等待遇进卡覆盖面，拓展社会保障卡在职业培训、人事考试等领域应用。推进全市惠民惠农财政补贴资金通过社会保障卡发放。贯通实体卡与电子社保卡应用，依托电子社保卡集成人社各类“线上”应用，推进社会保险“线上”缴费，完善养老保险待遇资格“线上”认证，加大医院门诊和住院电子社保卡扫码支付结算宣传，推进电子社保卡与“安康码”互联互通互认。

三、深入推进信息化项目建设

（一）做好“省集中”建设。按照省厅统一部署，做好智慧就业、社会保险、劳动监察、人事人才、基金财务等“省集中”信息系统推广实施，配合做好社会保险数据整理、数据上报、需求调研、开发测试、数据转换、系统切换、风险防控及使用操作等方面工作，提高信息系统建设成效。

（二）完善公共服务平台建设。继续拓展网上服务、移动应用、自助终端、12333咨询服务电话等多渠道便捷服务，整合统一全市人社“线上”服务平台建设及公共服务应用接口标准，加大信息化协同和数据共享，加强与省政务服务网、皖事通、省人社公共服务平台等系统对接，积极推进各类业务“网上办”和“掌上办”。

（三）加强软硬件平台运维。继续完善社保核心平台系统，完成电子社保卡扫码登录及疫情防控期间各项政策落地系统改造工作。加强数据中心机房规范化管理，做好软硬件设备和环境设备运维，完善信息化固定资产台账，确保各类软硬件基础平台稳定运行。

四、稳步提升公共服务水平

（一）深入推进“互联网+人社”建设。强化上下联动，部门协作，落实2020年“互联网+人社”重点任务计划。着力完善一体化应用服务建设，探索“大数据”信息资源开发，切实增强基层服务平台建设，优化服务方式，提升服务效能，努力提升人社公共服务能力。

（二）提升12333电话服务能力。推进12333电话咨询服务事业发展，举办好2020年“全国12333统一咨询日”活动。推动12333电话咨询业务购买第三方服务建设，确保综合接通率达到80%以上。加快12333电话查询和业务办理功能建设，探索12333智能服务应用。强化业务政策培训，充实完善知识库内容，努力提升12333电话咨询服务水平。

五、不断强化网络安全保障

（一）提高网络安全意识。进一步提高站位，落实网络安全主体责任，增强维护网络安全的责任感和使命感，切实履行“守土有责、守土担责、守土尽责”的网络信息安全担当。加强网络安全宣传，定期开展网络安全相关法律法规集中学习。

（二）提升安全保障能力。完成网络安全等级保护测评和整改，加快推进县区业务专网安全等级保护工作。加强数据库审计和运维管理及网络安全监测技术手段，做好业务终端准入控制和操作人员权限管理，提高基础安全防护能力，防范安全事件发生。

（三）完善安全通报机制。建立完善市县（区）两级网络安全通报反馈、应急处置机制，形成“通报、整改、督查、反馈”闭环，上下联动，共同提高安全应急处置能力。

六、继续加强网信基础建设

（一）加强宏观规划。对标“十三五”人社网信目标任务，逐一清点落实。谋划“十四五”期间人社网信工作思路，开展“十四五”人社信息化课题研究。

（二）加强工作宣传。将宣传工作放在重要位置抓实抓好，以社会保障卡宣传工作为重点，把宣传工作贯穿到卡服务的每个环节，提高群众的知晓度和认同感。

篇9

传统IDS的不足

IDS的核心是检测技术,并且已经成为网络安全产品的核心技术之一。IDS从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。

可以说,IDS入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

虽然IDS在不断进步,但传统的IDS也存在一些不足。比如:使用IDS以后误判率较高,攻击日志会出现很多,而网络管理员花了大量时间查找原因,却可能没有发现任何攻击。这些误报逐渐导致网络管理员不再关心IDS的报告。

此外,有些企业虽然部署了IDS设备,但是防御效果不明显。很多用户发现仍然会发生数据失窃、主机被控之类的攻击。

而从用户的角度而言,任何一个稍微复杂的大型网络系统,如果它运用了传统的入侵检测类产品IDS,那么这个系统的IT运维人员往往需要精通对事件的分析技术,并投入大量精力进行威胁排序、威胁定位、威胁处理与统计报告等很多工作。显然,在这种情况下,运维压力会非常大。

尤其是当前网络环境复杂多变,在大量事件中,传统IDS往往不能够清晰地反映安全事件的威胁级别,更不用说给IT运维人员提供处理意见和建议了。基于这样的原因,很多用户对IDS技术和产品还不太满意。

目前用户对于传统IDS的使用通常有几点经验:首先是定期更新厂家的攻击特征库,其次是对IDS日志进行统计分析,第三就是在攻击发生以后,通过IDS日志寻找可疑的日志信息,从而分析出攻击的来源和攻击造成的影响。

不过要做到后面两点,需要IDS提供相应的日志事件管理软件,并且配有专业分析人员。对于很多用户来,这样势必会增加IDS的运维成本。目前在国际上,比较领先的做法是融入智能分析系统,并且让IDS展示出的攻击事件有重点、分级别地呈现在用户面前,解决目前众多用户的问题。

智能分析与可视化

所谓智能分析系统,是指根据众多安全专家的经验与知识设计的一整套威胁事件智能分析的方法和算法,实现了IDS智能化的威胁检测。换句话说,如果IDS具备了智能分析系统,就意味着IDS具备安全专家长期实战积累下来的知识和经验,这将极大减少IT运维人员的工作量。

若想更深入了解智能分析系统,我们不妨先来看一看安全专家处理IDS报警事件的四个步骤:

1.确认需要关注的事件:从众多事件日志中排除一些无威胁事件,找出重点关注事件。

2.事件分析:通过分析重点关注事件,排除误报的可能。

3.事件处理:通过分析后的安全威胁事件,有针对性地进行修复或系统加固,并适当地改变IDS安全策略。

4.统计汇报:量化事件产生的数据,提交报告辅助宏观决策。

如果将上面专家处理步骤标准化、智能化,开发出一套行之有效的可执行程序,使其变成智能分析系统,那么可以想象,加入智能分析系统的IDS将如虎添翼,从海量事件中自动找出重点安全事件,同时极大地解放IT运维人员的生产力。

智能分析系统的核心就是将原有专家处理告警的四个步骤标准化、程序化。从威胁能力、发生频率、流行程度以及用户关注度等不同维度分析事件所带来的影响,从真正意义上解决目前很多IDS用户的困扰,能够在海量事件中,找出重点威胁事件,这是结合了专家知识库后的智能分析系统核心价值所在。

此外,通过智能分析系统,将威胁事件可视化,再进行辅助处理,对于用户来说也是一件令人兴奋的事情。因为将威胁可视化可以为IT运维人员提供宏观信息,并能迅速直观发现重点关注事件。

目前,国内已经开发出了相应的智能分析系统――天阗威胁检测与智能分析系统。该系统使得威胁检测的结果具有更强的可读性,从而使得威胁检测变得可视化,网络信息安全的运维也相应变得简单。

篇10

在整体建设过程中，信息通信公司针对整体网络布局、办公环境需求及未来信息网络的发展趋势，拓展思路、转变理念，编制了综合布线系统建设方案，将原有的现状满足、需求维稳调整为现有的信息节点冗余、内外网隔离的布线方式，同时根据综合布线整体模式的改革，接入层系统的布线及网络建设也随之实现了相应的转变，确保了公司信息网络基础建设的安全与稳定。接入层网络设备及所有终端应用是公司信息网络整体结构中最为庞杂最难以管控的一部分，因此确保接入网络系统建设的合理性，提升接入网络系统运行的稳定性，保障接入网络系统使用的安全性是信息运维管理的重要组成部分，所以在提升施工技术标准和工艺水平的同时，提高运维管理能力以及应对网络故障的响应处置能力显得尤为重要。

2专业管理的主要流程说明

2.1布线思路拓展、杜绝违规外联

信息通信公司抓住“三集五大”体系建设契机，针对吉安供电公司原有的网络整体情况、信息网络资源现状及需求，对公司所有办公场所的综合布线系统开展了全面的摸底调研，并就综合布线系统建设方案进行研讨，同时根据双网硬性隔离相关制度的要求，经过测试最终确立了以房间单开间为单位，每单位四点网络节点，双面板双色线缆敷设、双色标识标示的整体网络布线建设模式，以双网平行应用杜绝非法外联为施工前提，以信息安全应用及满足网络发展为建设标准，以提升管理效率与管理手段为运维重点，全面推广此种模式的综合布线体系建设。公司“三集五大”体系建设及机构调整新模式下的信息网络综合布线体系是在布线初期采购双色线缆进行全面敷设，以白色套标线缆设定为信息内网应用，蓝色套标线缆为信息外网来进行统一部署。为了方便信息网络用户办公应用，信息运维人员积极开展隐患排查与故障处理，对信息面板进行双色标识，并以左侧白色端口设定为信息内网、右侧蓝色端口设定为信息外网，使用户在使用时确保就近原则；以及同一面板同一用户，便于网络用户个人使用。这既便于网路管理人员的日常维护，又为综合布线体系建立以及未来信息网络工程施工确立了实施标准，更可以直观的给信息网络的每个用户提供信息内、外网的接入点描述，区分内、外网网络端口，同时也可以减少小型交换设备以及临时敷设的明线线缆的使用数量，减少网络中间节点，降低终端网络故障发生几率与运维人员的工作压力。设计制作网络面板专用的固定挡板，凡未经信息通信公司运维人员的许可，是无法使用墙壁面板接口联入公司信息网络的。配合IP地址管控以及终端设备管理等制度措施以及其他网络安全技术手段，公司也将绝对杜绝私自接入信息网络或破坏墙壁面板的网络用户存在，以此在起到约束作用的同时，也在另一方面提升了网络用户的安全意识。以上关于信息网络综合布线工作的开展不仅可以简化信息网络运维人员的管理与工作压力，而且大幅度减少了违规外联的发生几率，使信息网络应用安全性得到显著的提高。

2.2调整接入网络搭建、提升运行稳定

随着综合布线系统施工思路的转变，接入层网络系统建立及理线配线模式也伴随发生变化。原有的接入层网络系统搭建，仅仅是将所有办公场所的节点进行汇聚后实施理线、配线，最后将接入系统投入使用。工程竣工初期，接入层线缆布置规范，结构分配合理，但随着业务应用和故障处理的增加，接入层网络理线配线系统将变得混乱且难以梳理，久而久之不仅增加了用户联网的不稳定和运维人员故障处理的难度，同时也会为双网硬件隔离、杜绝违规外联带来了极大的安全隐患。因此，抓住“三集五大”体系建设与逐步完善的契机，信息通信分公司在解决节点线缆内外网隔离配置期间，将接入层配线理线系统中各个办公场所内外网网络节点统一进行分离，实现一一对应，交换设备采用分列部署的运行模式建立，实现内外剥离。功能描述：节点分离，是指每块面板下的内、外网网络线缆分别配线于内网网络区与外网网络区，并分别接入理线架中，同时废除原有的配线架设备，减少故障点，实现线缆的内外网分离；一一对应，是指上架的每条内外网网络线缆均出自于同一个面板下的不同的内外网网络模块，依次部署，便于标识制作，档案整理，且利于运维人员故障梳理。接入层理线配线系统传统模式的转变，不仅使接入层网络设备与配线区部署更加趋于合理，同时也美观且一目了然，而更为主要的优势在于此种模式将在综合布线以及接入层网络搭建初期实现了信息内外网网络隔离，减少因网络用户意识淡薄或误操作所造成的安全责任事故或安全隐患。同时，此项工作的开展不仅为公司未来的信息网络接入工程提供了极有价值的施工标准模板，而且还为公司信息网络安全提供了有效的保障，减少了运维检修的难度，提高了运维检修的工作效率。

3结语