网络安全等保解决方案范文
时间:2023-11-10 18:16:01
导语:如何才能写好一篇网络安全等保解决方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
《白皮书》指出,新一轮人类发展进程将迎来“生活自动化”,一个全新的互联互通世界将由此诞生。数百亿计的智能对象、机器人、传感器等,将实现实时交互,我们的工作、生活将更加便捷。在仪式上,诺基亚通信中国与上海贝尔联合管理团队总裁王建亚介绍了《白皮书》的主要内容,并分享了诺基亚在5G、大宽带、物联网、智慧网络、网络安全领域的现状与发展态势以及最新成果。
物联网:下一个推动世界的“重要生产力”
作为未来社会的重要支撑技术,《白皮书》利用较大篇幅对物联网进行了详细阐述。根据贝尔实验室2016年的最新预测,物联网连接设备将从2014年的16亿增长到2020年的200亿到460亿,这其中还不包括可穿戴设备。此外,在可见的未来,通过蜂窝网通信的物联网设备将达到16亿到46亿。
目前,业界已经将物联网看做是继通信网之后的另一个万亿级市场。《白皮书》认为,作为下一代移动生态系统,物联网将是蜂窝网络进一步发展的主要驱动力。移动物联网中将涌现大量业务,可应用于工业、农业、物流、交通、电网、环保、安防、医疗、家居等各个行业。
5G:无极之网
移动网络如今已经成为很多人工作生活中不可或缺的技术。《白皮书》认为,未来需求的多样性是前所未有,身处5G组成的强大的可编程世界之中,每一个人、每一件物、每一个行业,社会的方方面面都会由此受到深远的影响。提供超10Gbps的速度,确保近乎零的实时响应,海量连接万事万物,成为了5G最大的驱动力和特色。要实现物联网,5G将会起到至关重要的作用。为此,《白皮书》给5G下了一个重要定义,5G是提供极速带宽、安全可靠、实时互联和连接万物的无极之网。
王建亚介绍道,诺基亚和上海贝尔基于强大的全球和本地研发能力,正不断引领5G技术创新,积极投身标准制定,可提供接近可商用的5G网络解决方案,并可基于现有产品提供5G初体验。在本次展会上,诺基亚和上海贝尔展示了众多5G技术内容,包括无人驾驶汽车、工业机器人等具有高带宽、多连接、低时延的应用,以及毫米波、微基站、高阶MIMO、移动边缘计算 (MEC)等领先5G技术。同时,全新的5G就绪的商用AirScale无线接入产品也在本次展会上亮相。
大宽带:新兴业务的无缝体验
诺基亚贝尔实验室的研究结果显示,网络流量爆炸性增长的两大驱动力来自于视频、云和数据中心。从2013年到2017年,视频流量、云和数据中心的流量将分别增长720%和440%。同时,到2017年,骨干网流量将增长320%,而城域网流量增长则达到560%,是骨干网的2倍多。由此,《白皮书》得出结论,“从接入、汇聚到核心,每个节点无阻塞的高通路是未来新兴业务完美体验的基本保障”。
基于这样的特征,诺基亚和上海贝尔利用旗下无线解决方案、IP全业务接入平台、超高速光传送实践、下一代IP核心路由器平台等产品和方案,全力保障数据连接的高速、可靠与稳定。另外,随着云计算、虚拟化的发展,诺基亚和上海贝尔还提出了“软边缘,硬核心”这一针对未来网络的建设框架。通过引入SDN和NFV,在网络的边缘通过NFV灵活部署各种功能,成为“软边缘”;网络的转发设备主要通过高速硬件满足性能要求,称为“硬核心”,“硬核心”将充分利用硬件的高性能和SDN可编程性,以达到高效运营。
智慧的网络:自主可控制
针对目前运营商所面对的“剪刀差”现象,《白皮书》重点指出,现有网络的根本性问题主要在于其缺乏智能特性。缺少智能化,也就意味着导致了网络能力的缺失,现有网络提供的控制能力相对薄弱。此外,网元种类的日益繁多,又导致了显著的CAPEX和OPEX增长。
《白皮书》表示,对网元的控制和识别应该是自动化的,而且是业务驱动的,这意味着,我们需要一个无需更多人工介入的可编程的自主网络。在本次展会上,诺基亚和上海贝尔从智慧的连接、智慧的平台、智慧的应用等多方面的维度,展示Nuage SDN的云化之道,行业化应用等诸多方案。
网络安全:社会基石
随着社交网络、移动互联网、云计算、物联网等新技术与新应用不断涌现,网络已全面渗入到全球发展进程之中,其影响逐渐从经济社会领域扩展到政治、外交、安全等领域。网络安全和信息安全问题已成为事关国家安全和国家关键基础设施的重大问题。《白皮书》由此认为,网络安全不再是单点的安全,而是整个信息网的安全,需要从多个层面和多个角度进行立体防护。
篇2
面对变化的市场环境,英国电信强调了对三个领域的关注:ICT减少碳排放、云服务以及安全。
ICT减少碳排放
英国电信作为一个老牌的电信运营商,之所以对节能减排关注,Larry Stone表示,目前在欧洲企业、政客和大众之间的这种信任或者这种连接性越来越弱,英国电信需要关注股东所关心的那些问题,减排以及碳的排放等环保问题是我们股东所关心的问题。
其次,对于英国电信而言,利用ICT技术帮助其降本增效。数据显示,2015到2016年财年,英国在此方面的收入达到了40亿英镑,每年的年增长率达到了16%。“是属于我们增长最快的领域之一,”Larry Stone表示。
除此之外,降低能耗业务的开展使得英国电信得以跨界发展,探索新的业务模式和新的业务增长点。ICT改变着传统的物流、交通、医疗等商业模式,带来了经济效益的提升。正如Larry Stone所言:除了电信领域,还有在交通领域、能源领域等等这样的一些跨界的新的合作伙伴来给我们带来新的业务模式和新的业务增长点,来适应现在所说的行业数字化或者是物联网等。
具体到减少碳排放的措施。在减少自身的能源消耗方面,英国电信采取了四方面措施:第一,采用先进的电力消耗系统,减少能源使用量;第二,更多地使用再生能源;第三,保证给客户使用的网络设备遵循最高的能效标准;第四,与合作伙伴携手,寻找能效更高的设备和建网及维护方式。
在带动其他行业减少能源消耗方面,英国电信除了面向个人市场提供业务之外,还积极拓展云计算、智慧连接、安全、呼叫中心等业务,并与其他行业充分结合,提升其数字化程度,最终实现能源消耗的大幅度降低。
云中云战略
除了能源领域,云服务领域也是目前英国电信重点发力的方向。“现在数字化的进程和云的发展使得客户对于电信运营商的期待也有了一些改变。” BT全球服务首席战略官Maria Pecorari表示,“对于我们主要的客户也就是跨国企业而言,他们希望能够在不同的云服务提供商之中来进行选择以满足他们不同的需求。”
在云服务领域,英国电信推出的云中云战略,即新一代云服务,令世界各地的企业可以轻松安全地与他们所需的应用程序和数据保持连接,不必再受限于其服务器托管的所在地。这项服务将帮助客户进行IT资源的整合和协调,这些资源的服务器托管可以是在自己的私有云端、英国电信的全球云平台或是基于其他领先云服务提供商的平台。
据介绍,该服务基于英国电信全球网络基础设施的优势。这些服务所依赖的创新技术是由英国电信及其合作伙伴在多元化基础设施管理、服务管理、全球网络优化、应用性能加速和安全等领域所开发的。
英国电信面向未来的服务交付模式需要多样化的服务以及行业领域解决方案的支持,而这些服务和解决方案的交付需要以英国电信的全球网络设施为基础。这些服务由客户通过一种单一的用户友好服务目录实现管理,所使用的是英国电信的全新云管理系统。它们包括:将IT基础设施和应用程序作为“一项服务”提供给英国电信全球网络的客户;云服务和非云服务的无缝提供和集成;私营、共有和混合云服务的集成,以支持客户的所有IT需求;把来自英国电信以及来自世界级合作伙伴的最好云服务集中到一起,供客户自由选择;利用来自其他供应商的可靠技术,通过全球网络优化、应用程序性能加速以及管理能力,顺利实现云端过渡;应用不仅支持云端部署,还支持全新云服务的开发;基于BT Assure产品组合,保证客户数据的可控性和安全性;通过BT咨询系统的专业服务意见,快速过渡到以云技术为基础的经济模式。
安全服务管理
在英国电信的产品线中,除了能源、云计算,安全产品是增长非常快的产品。据悉,目前英国电信的安全业务收入增长是24%。
篇3
本周观点:①本周四(6月1日)起《网络安全法》将正式实施,具有极大里程碑意义。法案将针对通信、电子政务、能源、金融、交通、教育等关键信息基础设施的安全防护进行重点强调,在网络安全等级保护制度的基础上,实行重点保护。并明确对于网络运营者的责任界定和加大相关监管处罚力度。法案的实施有望直接促进行业客户对于网络安全的投入力度,信息安全行业内企业迎来重大利好。重点推荐启明星辰、绿盟科技、北信源、任子行和卫士通。②日前,人机大战在乌镇落下帷幕,最终柯洁以3盘皆负输掉比赛。人类再次败给人工智能,结果也在意料之中。赛后柯洁表示“我只能猜出AlphaGo一半的棋,另一半我猜不到,我和它差距实在太大。我也一直在改变,但也只是小小改变,围棋人工智能则是改变全世界。”其实,围棋比赛仅为Deepmind应用的冰川一角,目前深度学习已在医疗、工业制造、视频识别和语音合成等领域深入拓展,随着人工智能技术的加速成熟,各个行业对于人工智能技术的融合和应用有望提速。5月25日,工信部副司长李冠宇在论坛上表示,工信部将会同相关部门共同策划部署人工智能的重大国家战略,引导社会围绕重点领域加大投入。同时强调“中国制造2025”将把人工智能纳入智能制造的重点任务和主攻方向,引导智能制造重大需求和人工智能技术成果相结合。在政策和资金支持下,我国人工智能领域发展有望提速。针对人工智能应用方向上,我们认为在目前弱人工智能的阶段下,人工智能技术或将在工业制造方面获得率先突破和大规模应用。智能制造方面重点推荐科大智能,其他智能语音和视频识别方面继续推荐科大讯飞、海康威视和东方网力。
投资策略:长期看好信息安全、消费金融和人工智能板块投资机会。
1)信息安全:信息安全行业作为计算机行业中最具成长性的细分领域之一,未来在国家强力政策推动及下游党政军、工控、金融、电信等领域订单快速提升的双重作用下,正逐步进入成长提速期,且政策推动的催化剂持续发酵。前期《网络安全法》已正式通过并将于2017年6月1日开始实施,同时2016年12月27日正式的《国家网络空间安全战略》则进一步提升了网络安全的战略高度,政策驱动叠加用户重视程度提高使得信息安全企业迎来爆发,2017年或成为行业业绩整体向上重要拐点。其中工控等保制度今年上半年有望正式落地,预计将有效刺激工控安全需求明后年爆发式增长。我们重点推荐启明星辰(信息安全综合解决方案龙头步入成长快车道)、卫士通(加密龙头欲乘风起航)、立思辰(内容及数据安全领域新贵)。
2)人工智能:近年来人工智能发展飞速,诸如AlphaGo、Master和Libratus等人工智能机器人不断在各个领域击败人类,引发人们高度关注。目前人工智能技术已进入产业化快速发展阶段,不仅在智力竞赛领域,与此同时无人驾驶、工业机器人、语音识别和图像识别等也已逐步迈入大规模应用阶段,投资机会正逐步显现,重点推荐科大讯飞(人工智能稀缺标的,语音识别技术领导者),关注科大智能、海康威视、科大智能、四维图新、思创医惠、佳都科技、远方光电、东方网力、中科创达;
篇4
关键词:信息安全;等级保护;等级测评;实践教学;综合实训
DOIDOI:10.11907/rjdk.161717
中图分类号:G434
文献标识码:A文章编号文章编号:16727800(2016)009017303
基金项目基金项目:贵州省科技厅社发攻关项目(黔科合SY字2012-3050号);贵州大学自然科学青年基金项目(贵大自青合字2010-026号);贵州大学教育教学改革研究项目(JG2013097)
作者简介作者简介:张文勇(1973-),男,贵州台江人,硕士,贵州大学计算机科学与技术学院讲师,研究方向为网络与信息安全;李维华(1961-),男,贵州贵阳人,贵州大学计算机科学与技术学院高级实验师,研究方向为网络与信息安全;唐作其(1980-),男,贵州兴义人,硕士,贵州大学计算机科学与技术学院副教授,研究方向为信息安全保障体系。
0引言
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识,更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式,学生具备良好的理论基础,但在实践教学中由于各课程的衔接和关联较少,尽管部分学校开设了信息安全实训或信息安全攻防实践等课程,但基本都是做一些单元实验,仅局限于某一方面的技能训练,没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看,绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作,少数毕业生从事信息安全产品研发,或继续硕士博士深造,从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好,但实际操作技能、综合分析能力欠缺。为了解决目前这种状况,笔者根据长期从事信息安全等级保护项目实施工作实践,提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容。
1信息安全等级保护对学生能力培养的作用
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段,信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善,信息安全等级保护测评人员的技术要求涵盖多个方面,包括物理环境、主机、操作系统、应用安全、安全设备等,因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求,主要体现在以下4个方面:①培养学生了解国家关于非信息系统保护的基本方针、政策、标准;②培养学生掌握各种基本信息安全技术操作技能,熟悉各种信息系统构成对象的基本操作,为将来快速融入到信息安全保护实践工作奠定基础;③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力;④培养学生建立信息安全等级保护的基本意识,在工作实践中自觉按国家信息安全等级保护要求开展工作,有利于促进国家信息安全等级保护政策实施。
2实训教学知识体系
信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据,GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御,纵深防御”的理念,遵循了“技术和管理并重”的基本原则,而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作,GB/T 28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议,等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[610]。信息安全等级保护知识体系庞大,不可能兼顾所有方面,因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则;在实训教学知识体系的构成中重点以《信息安全等级保护基本要求》和《信息安全等级保护测评过程指南》为基础,包括基本理论培训、基本技能实训、安全管理培训、能力提高实训四大模块;在实际操作中将重点放在基本技能实训和能力提高实训上。各实训模块构成及关系如图1所示。
3实训教学实施
教学实施依据实训教学知识体系进行,教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。
3.1基本理论教学
该环节采用集中课堂教学方式,讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重,讲解重点包括:①信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读;②信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。
理论教学在突出重点的同时,兼顾全局,让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。
3.2基本技能实训
基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先,应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统,并编写好对应的信息安全等级保护现场测评指导书;然后,指导学生在模拟系统上进行现场测评实训,实训过程按信息安全等级保护现场测评指导书要求进行,实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。
(1)网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练,要求学生理解网络设备和安全设备的安全功能及安全设置,掌握设备的运行状态和信息数据采集方法。
(2)主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练,包括操作系统、数据库系统、中间件等,要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训,学生应具备系统软件安全配置核查和运行状态信息采集能力。
(3)应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练,要求学生理解应用软件的安全功能设计要求,掌握应用软件的安全配置核查和安全功能验证方法。
(4) 数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练,让学生了解磁盘冗余阵列的验证方法;通过训练学生在操作系统和数据库管理系统上配置计划备份任务,使其理解系统软件的数据备份安全功能,掌握系统软件的备份操作计划配置和验证方法。
(5)自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描,获取信息系统主要软硬件的漏洞,并验证系统的脆弱性。本部分获取的原始数据作为(1)、(2)、(3)部分的补充,通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。
3.3能力提高实训
在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训,本模块主要培训学生对原始数据的分析、整理,并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目,各项目之间的关系流程如图2所示。
(1)通过基本技能实训获取到原始数据后,根据信息安全等级保护测评过程要求整理、分析原始数据,开展单元测评,并给出各单元层面内控制点中检查项的符合性,分析并给出单元测评结果,按信息安全等级保护报告模板编写单元测评报告。
(2)在完成单元测评后,由于单元测评参照的信息相对独立,未考虑原始数据间的关联性,而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果,因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性,这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用,应从整体角度对信息系统安全的状态进行修正。
(3)风险分析结果是制订信息安全系统防护措施的重要依据,风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算,并编写风险分析报告。
(4)确定信息系统存在的风险后,接着应分析引起信息系统风险的因素,对不可接受风险因素或不能满足等级保护要求的安全防护项提出完整的问题处置和整改建议。问题处置和整改建议环节要求信息安全工程技术人员具备扎实理论知识的同时还具备相当丰富的实践经验,工程技术人员必须熟悉信息安全的各种防护技术和目前市场上相关的信息安全软硬件安全产品。因此,本实训项目主要是训练并提高学生综合运用信息安全技术解决实际问题的能力。
4结语
在信息安全专业的实践教学中引入信息安全等级保护内容,实训教学知识体系完全参照信息安全等级保护要求来构建,信息安全等级保护知识体系完善,保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能,通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险,并编制符合信息安全等级保护要求的安全防护方案,提高学生综合运用信息安全技术解决实际问题的能力,较好地满足了社会对信息安全人才的需求,深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎,为学生毕业后尽快适应工作要求奠定了基础。
由于实验环境的限制,所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足:①实训教学体系未涉及虚拟化、云计算、物联网安全实训,而这些是当前发展较快且正被广泛运用的信息技术;②由于渗透测试对测试环境搭建和学生基本技能要求较高,因而实训教学体系中并未涉及渗透测试项目;③信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容,可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈,而在实训中难以模拟一个完整的安全管理体系实际案例,所以在实训中安全管理部分更多地是采用课堂教学讲解,没有操作实训。 这些在后续教学实践工作中都有待改进。
参考文献参考文献:
[1]杨冬晓,严晓浪,于慧敏.信息类特色专业建设的若干实践[J].中国电子教育,2010(1):3945.
[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育,2015(23):3033.
[3]张胜生,吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集,2012:8385.
[4]李琳,陈东方,李涛,等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014,10(35):85148515.
[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究,2015(2):64.
[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2015.
[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(中级) [M].北京:电子工业出版社,2015.
[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(初级) [M].北京:电子工业出版社,2015.
篇5
【 关键词 】 信息安全等级保护;等级测评;物联网;云计算
Research of Effect of Internet of Things and Cloud Computing to Classified Evaluation
Zhao Liang
(Sinopec Shandong Dongying Oil Company ShandongJinan 257000)
【 Abstract 】 Classified Protection of Information Security is the basic system and strategy of national information security work. And Classified Evaluation is an important method of testing and evaluating the level of Information Security Protection. The appearance of new technologies, such as cloud computing, Internet of Things, tri-networks integration, brings new challenge to the Classified Evaluation technology. This paper introduced the influences upon Classified Evaluation from new technology development, represented by cloud computing and Internet of Things, in order to promote the development of test method research, and provide theoretical basis to further research.
【 Keywords 】 classified protection of information security; multilevel security database; cloud computing; internet of things
1 引言
社会信息化技术和国民经济的飞速发展,使得信息系统与网络的基础性与全面性作用逐渐增强,而由此带来的信息安全问题也变得突出,并逐渐成为关系国家安全的重大战略问题。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,而等级测评作为检验和评价信息系统安全保护水平的重要方法,是信息安全等级保护实施过程中的重要环节。近几年,越来越多的研究者致力于等级测评技术、方法和工具的研究与开发,并取得了一定的成果。但越来越多网络新技术的出现,在开拓等级保护与等级测评应用领域的同时,也对传统等级测评技术带来了一定的挑战。本文分别介绍了物联网和云计算两种新的技术应用,并探讨了其对等级测评技术产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。
2 安全等级保护与等级测评
信息安全等级保护是指根据应用业务重要程度及其实际安全需求,通过制定统一的信息安全等级保护管理规范和技术标准,对信息安全实行等级化保护和等级化管理,以保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护是帮助用户分析、评定信息系统的等级,在后期的工作中根据不同的等级进行不同级别的安全防护,
在我国的信息安全等级保护制度中,等级保护工作主要分为五个环节:定级、备案、建设整改、等级测评和监督检查。
等级测评是指第三方等级测评机构根据等级保护的管理规范和技术标准要求,针对已经实施了安全等级保护的信息系统进行的符合性测评活动,以确保信息系统的安全性保护措施符合对应等级的基本安全要求,是信息安全等级保护工作的重要环节,既可以在信息系统安全建设完成后进行,也可以在信息系统的运行维护过程中进行。《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》作为等级测评的基础性标准,目前主要基于其进行符合性判定。
3 物联网技术与等级测评
3.1 物联网技术简介
物联网(Internet of Things, IOT),顾名思义,就是“物物相连的网络”,是指通过各种信息传感设备(如传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术),实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学等各种需要的信息,与互联网结合形成的一个巨大网络。物联网作为新一代信息技术的重要组成部分,其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。
物联网被称为继计算机、互联网之后,世界信息产业的第三次浪潮。业内专家认为,物联网不仅可以大大提高经济效益,有效节约成本,还可以为全球经济的复苏提供技术动力支持。目前,美国、欧盟、韩国等都在加大力度深入研究物联网。我国也正在高度关注、重视物联网的研究,工业和信息化部会同有关部门,在新一代信息技术方面正在开展研究,以形成支持新一代信息技术发展的政策措施。
与传统的互联网相比,物联网有其明显的特征:(1)它是各种感知技术的广泛应用;(2)以互联网为基础;(3)其本身具有智能处理的能力,能对物体实施智能控制。物联网用途广泛,主要应用领域有智能家居、智能医疗、智能环保、智能交通、智能农业。
3.2 物联网对等级测评技术的影响
物联网技术的推广和应用,一方面将显著提高经济和社会运行效率,另一方面也对国家、社会、企业、公民的信息安全和隐私保护问题提出了严峻的挑战,其开放性的特点与信息安全理念背道而驰,对信息安全等级测评的工作方法及测评范围产生了较大的影响。主要体现在几个方面。
(1) 信号易扰:虽然物联网能够智能化的处理一些突发事件,不需要人为干涉,但传感设备都是安装在物品上的,且其信号很容易收到干扰,因此很可能导致物品的损失。此外,如果国家某些重要机构如金融机构依赖物联网,也存在信号扰导致重要信息丢失的隐患。这样如何评估物联网技术的安全性及稳定性成为等级测评中的难题。
(2) 针对性入侵技术:物联网与互联网的关系,使得互联网上的安全隐患同样也会对物联网造成危害。物联网上传播的黑客、病毒和恶意软件等进行的恶意操作会侵害物品,进一步侵犯用户的隐私权。尤其是对一些敏感物品如银行卡、身份证等物品的恶意掌控,将造成不堪设想的后果。因此,在对物联网进行安全保护以及等级测评过程中,不仅要考虑到物联网无线网络的防恶意入侵能力,更要考虑互联网传统的入侵技术。
(3) 通讯安全:物联网与3G手机的结合,在很大程度上方便了人们的生活。然而,移动通讯设备本身存在的安全问题也会对物联网造成影响。移动通信设备存在许多安全漏洞,黑客很有可能通过移动设备的漏洞窃取物联网内部的各种信息,从而带来安全隐患。而且移动设备的便携性也使得其很容易丢失,若被不法分子获得,则很容易造成用户敏感信息的泄露。因此,在对物联网进行等级测评的过程中,还要考虑到通信终端及通信过程的保密性。
总之,在考虑物联网的等级保护与等级测评过程中,要以构建物联网安全体系框架为目标,在充分理解物联网的结构、技术和应用模式的基础上,深入分析物联网设备、网络、信息和管理等各层面面临的安全威胁和风险,梳理物联网安全的主要问题,明确物联网安全需求(“物”的真实性、“联”的完整性、“网”的健壮性),并针对各项安全需求,研究保障物联网安全的关键技术(低能耗密码算法设计技术、海量信息标识技术、物联网设备管理技术、物联网密钥管理技术、动态安全策略控制技术、物联网安全等级保护技术、传感设备物理安全防护技术),提出物联网安全目标以及技术体系、承载装备体系、标准规范体系和管理体系框架,给出物联网安全体系顶层设计思路、建设任务和应对措施,为全面建设物联网安全体系奠定必要的基础。
4 计算与等级测评
4.1 云计算技术简介
作为一种新兴的共享基础架构的网络应用模式,云计算(Cloud Computing)越来越受到研究者的关注。云计算的概念最早由IBM提出,是传统计算机技术和网络技术发展融合的产物,旨在通过网络把多个成本相对较低的计算机实体整合成一个具有强大计算能力的系统,并借助各种商业模式把强大的计算能力分布给终端用户。其核心思想是使用大规模的数据中心和功能强劲的服务器运行网络应用程序、提供网络服务,使得任何一个用户都能轻松访问应用程序。这种特殊的应用模式,使得云计算具有大规模、服务虚拟化、通用性、高可靠性、高扩展性等特点。
云计算作为一种新的概念和应用模式,研究尚未成熟,还存在若干制约其发展的问题,包括服务的可靠性、标准化问题、安全性问题、数据传输瓶颈以及信誉和法律危机。其中云安全问题是目前发展云计算首要解决的问题之一。
4.2 云计算对等级测评技术的影响
云计算平台在为用户提供服务的同时,仍不可避免的面临严峻的安全考验。由于其用户、信息资源的高度集中,带来的安全事件后果与风险较传统应用高出很多。据IDC在2009年底的一项调查报告显示,当前云计算面临的三大市场挑战分别为安全性、稳定性和性能表现。由此可见,解决云计算的安全问题尤为迫切。云计算面临的安全问题及其对等级保护和等级测评造成的影响主要有几个方面。
(1) 身份与权限控制:大数用户对于云计算缺乏信心,其中一个很大原因是对于云模式下的使用和管理权限有顾虑。在复杂、虚拟的环境下,如何有效保证数据与应用依然清晰可控,这既是用户的问题,也是云服务提供商的问题。因此,身份与权限控制解决方案成为云安全的核心问题之一,同样的,传统等级测评中针对身份认证和权限控制的相关技术与方法也不适用于这种虚拟、复杂的应用环境,需要开发专用的测试技术;
(3)计算层并行计算的干扰:计算层的主要功能是为整个云计算提供高效、灵活、高强度的计算服务,但也面临一定的问题,主要有计算性能的不可靠性,即资源竞争造成的性能干扰,云计算主要采用并行计算间性能隔离机制来解决此问题。因此在等级测评中,需要开发新的测试技术和方法来评估并行计算间的干扰问题。
云计算给我们带来创新和变革的同时,对安全问题与等级测评技术也提出了更高的要求。在云计算环境下,无论是使用云服务的用户,还是云服务提供商,安全问题都是第一大问题。研究适用于云计算应用的等级测评技术,将极大的推动云计算领域的发展。
5 结束语
随着各行各业对信息安全等级保护工作的关注和重视,等级保护和等级测评工作已逐渐成为制度化、规范化的研究课题。许多新技术如云计算、物联网、三网融合等的推广应用在带来机遇的同时,也给等级保护乃至整个信息安全带来了新的挑战。本文分别介绍了物联网和云计算两种新的技术应用,并探讨了其对等级测评技术产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。
参考文献
[1] 公通字[2004]66号 关于信息安全等级保护工作的实施意见.
[2] GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求.
[3] 杨磊,郭志博. 信息安全等级保护的等级测评. 中国人民公安大学学报(自然科学版),No. 1 2007.
[4] 刘忠宝. 物联网技术应用与研究. 信息与电脑,2010年第10期.
[5] 郝文江,武捷. 物联网技术安全问题探析. 实践探究,2010.
[6] 王斐. 浅谈信息化的新浪潮――云计算. 科技创新导报,2010 No.30
[7] Jon Brodkin. Gartner: Seven cloud-computing Security risks[EB/OL]. 2008,07.http:///d/.
[8] 陈丹伟,黄秀丽,任勋益. 云计算及安全分析. 计算机技术与发展,2010 第2期.
[9] 任伟.物联网安全架构与技术路线研究.信息网络安全,2012.5.
篇6
【关键词】呼伦贝尔调度数据网 建设
一、总则
(一)设计依据
1.受呼伦贝尔供电公司委托开展地区电力调度数据网完善及增加二次安全防护设备工程设计。
2.《国家电网调度数据网接入网技术规范》
3.《国家电网调度数据网第二平面网络(SPDnet-2)总体技术方案》
4.《全国电力二次系统安全防护总体方案》
5.《国家电网公司2011年新建变电站补充规定》
6.国家及行业的相关设计规程、标准等。
(二)设计范围
1.本工程主要完成呼伦贝尔地调接入网的建设,建设范围包括呼伦贝尔地调核心节点、以及呼伦贝尔地区35kV-220kV变电站。
2.本工程设计内容包括呼伦贝尔地调接入网网络拓扑结构、业务需求、应用系统接入方式、网络管理和网络安全措施,相应的设备配置和工程概算。
(三)设计原则
1.本工程设计水平年为2011年,展望2015年。
2.调度组织关系按蒙东地区电网相关规定。
3.在专用通道上,调度数据网以SDH方式使用独立的网络设备组网实现了与电力企业其他数据网的安全隔离。
4.调度数据网由实时子网和非实时子网组成,他们分别连接控制区和非控制区
二、 呼伦贝尔地调电力调度数据网网络业务及技术体制
(一)数据网络业务 呼伦贝尔电力调度数据网承载的业务主要有以下两类:
1.安全Ⅰ区业务
* EMS与RTU或变电站自动化系统的实时数据通信
* EMS之间的实时数据交换
* 广域相量测量系统(WAMS)数据采集
* 实时电力市场辅助控制信息
* 电力系统动态测量及控制数据
* 稳定控制系统
* 五防系统(集控站)
2.安全Ⅱ区业务
* 发电及联络线交换计划、联络线考核
* 调度操作票、检修票等
* 电能量计量计费信息
* 故障录波、保护和安全自动装置有关管理数据
* GPS变电站统一时钟系统数据
* 节能发电调度系统数据
(二)数据网组网技术体制
呼伦贝尔地区电力调度数据网为了统一管理、统一防护,采用IP over SDH技术体制,实现了调度数据网安全策略的完整性和统一性,网络业务的单一性与可控性,技术体制的简单性、一致性。
三、呼伦贝尔地区电力调度数据网网络拓扑
(一)网络拓扑原则
* 满足调度业务实时性、可靠性需求
* 基于电力通信传输网络
* 有利于网络分区的实现
* 便于网络管理、建设和运行
(二)网络结构
根据网络规模,电力调度数据网分为核心层、汇聚层和接入层,其中核心层一般只完成数据交换,是网络业务的交汇中心;而汇聚层位于接入层和核心层之间,可以完成业务的分发和汇聚;接入层可以实现访问控制和质量保护,它主要是将用户业务接入网络。
(三)路由分区及节点设置
呼伦贝尔地调接入网节点设置如下:
核心节点:呼伦贝尔地调
接入节点:呼伦贝尔地区35kV-220kV厂站
(四)骨干网网络拓扑
呼伦贝尔地调接入网网络拓扑如图1所示。
图1 呼伦贝尔地调接入网网络拓扑
(五) 路由协议
呼伦贝尔地调调度数据网内部的路由协议采用OSPF协议(开放最短路径优先协议)。子域与省调数据网采用多进程OSPF协议,并支持BGP协议。
四、传输电路链路配置
(一) 配置原则
呼伦贝尔地区电网调度数据网是基于IP技术的数据网络,其特点是无连接服务及动态路由,对电路的带宽及质量要求较高。
骨干层各骨干节点之间互联通信电路要满足N-1原则,网络传输主路由小于“三跳”。
接入层各接入节点应按就近接入的原则接入骨干网。
(二) 骨干层传输电路链路配置方案
电力调度数据网内部各个骨干节点之间网络通道全部采用光纤。呼伦贝尔地调接入网通道组织如图2所示。
图2 呼伦贝尔地调接入网通道组织
五、调度数据网IP地址分配
(一)网络地址编码及分配应该与网络拓扑(分区)及地址管理体制相结合,这样可以有效的保证地址的唯一性。按照地址功能要求,网络IP地址将分为三部分:
1. 路由设备标志地址
2 .广域网地址
3 .局域网地址
其中,路由设备标志地址和广域网地址为网络内部地址,他们主要用于路由生成和网络管理,局域网地址则用于系统接入。
(二)网络IP地址分配原则如下:
1.IP地址的规划与划分应该满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2.采用VLSM(可变长子网掩码),保证IP地址的利用效率;
3.为了减少网络中信息广播的数量,减小路由器路由表的大小,加快路由器的收敛速度,我们可以采用CIDR(无类别编址)技术;
4.采用结构化的地址空间分配方法,充分考虑地址结构的清晰和路由聚合的可实施性;
5.根据不同业务类型的需要来决定地址空间的大小
六、 网络安全防护
随着计算机网络技术的迅猛发展,网络安全形势也日益严峻和复杂,各种网络安全事件不断发生,从技术、管理和法律等多方面采取综合措施保障网络安全已是世界上各国计算机技术人员的共同目标。
本章将着重从技术上对接入呼伦贝尔地区电网调度数据网各应用系统的安全防护问题及所涉及和可采取的对策加以论述和分析。
(一)安全防护的基本原则
1.系统性原则
2.简单性原则
3.实时、连续、安全相统一的原则
4.需求、风险、代价相平衡的原则
5.实用与先进相结合的原则
6.方便与安全相统一的原则
7.全面防护、突出重点(实时闭环控制部分)的原则
8.分层分区、强化边界的原则
9.整体规划、分步实施的原则
10.责任到人,分级管理,联合防护的原则
(二)安全防护的策略
1.分区防护、突出重点。所有系统都必须置于相应的安全区内,对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
2.安全区隔离:通过使用不同强度的安全隔离设备可以让各安全区中的业务系统得到保护。
3.网络隔离
4.纵向防护。采用认证、加密等手段实现数据的远方安全传输。
(三)安全防护的目标及措施
1.安全防护的目标
为了防止一次系统事故或大面积停电及二次系统的奔溃或瘫痪,安全防护的目标是提高服务质量、抵御病毒、黑客、恶意代码等对系统造成的破坏,尤其是能够抵御集团式攻击。
2.安全防护的措施
根据上述的安全防护目标,安全防护措施主要可以从提高服务质量和提高抗攻击能力两个方面考虑。
(1)提高服务质量的措施
由于呼伦贝尔地区电网调度数据网采用IP技术,骨干网的路由协议为动态路由协议,因此IP包从源端到目的端的路径、带宽和流量是不可控的,也就是说IP技术无法提供端到端的服务保障。为了确保IP网络的服务质量,目前许多组织和网络设备生产厂家都提出各自的解决方案,归纳起来主要有以下几种:
① 虚拟局域网(VLAN)
虚拟局域网就是通过对交换机的连接参数进行设置,将网络上的连接设备进行逻辑分组,这样可以减少不必要的通信量,提高网络的性能。虚拟局域网不提供安全控制。
② 多协议标记交换(MPLS)
多协议标记交换就是在IP包头中增加4字节(32位)的标记,标记交换路由器只在标记定义的路径上转发IP包,这样就大量减少了地址查找和路径计算的工作,从而提高网络的处理能力并降低转发延时,多协议标记交换能够提供一定的安全控制。
③ 业务区分服务
业务区分服务就是对不同业务的IP包的优先级进行设定,然后由具有业务区分功能的路由器根据IP包的优先级来进行拥塞管理和信息流量控制。同样,业务区分服务也不提供安全控制。
(2)提高网络抗攻击能力的措施
目前网络攻击的类型主要包括:
① 窃听报文-攻击者从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
② IP地址欺骗-攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
③ 源路由攻击-攻击者通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
④ 端口扫描-通过探测防火墙的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个荡掉或无法正常运行。
⑤ 拒绝服务攻击-攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。
⑥ 应用层攻击-有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
(3) 针对上述“黑客”的攻击手段,本设计建议采取如下措施来提高各应用系统的抗攻击能力。
① 加密技术
采用对称密钥和公开密钥的方法,实现对信息加密以及设备和人员身份的认证。信息经过加密后由于黑客没有密钥,加密信息成为毫无用处的乱码,使黑客无法冒充运行人员对电力系统的设备进行控制操作。加密技术具有很强的抗抵赖性,能够为各种进行过的操作提供行为证据,这就为各种事故的分析带来了便利。
目前对称加密技术所采用的算法最具代表性的是DES算法,此算法采用标准的算术运算和逻辑运算,将明文分成64位的分组进行操作,经16轮完全相同的运算后形成密文。对称加密技术可用于电力系统关口电量等信息的加密。
对于公开密钥使用最广泛、最著名的是RSA算法,它的密钥由公开密钥和私有密钥组成。通过公开密钥和私有密钥对明文的模运算进行加密,通过私有密钥和公开密钥对密文的模运算进行解密。公开密钥密钥技术可用于电力系统的身份认证、控制操作认证、电力市场交易申报加密等。
②入侵检测
入侵检测系统就是指对妨碍系统资源的完整性、机密性和实用性的一系列违反安全策略的行为进行实时检测并提出报告的系统。也就是说入侵检测系统不仅具有接入控制功能,而且可以使针对于网络或系统的入侵行为得到实时的监控,从而检测到非法入侵。
入侵检测系统一般可以分为主机基础检测系统、多重主机检测系统和网络基础检测系统。
主机基础检测系统通过使用在单一主机收集到的检测数据来进行入侵的判断。检测数据是指通过程序的进程来采集的原来用户和现在用户的CPU消耗量、I/O消耗量、进程所使用的文件及使用的系统信息。
多重主机基础检测系统是指使用从几个主机收集到的检测数据来进行入侵判定的系统,也就是说把上面在单一主机收集到的检测数据从几个地方集中到一个系统中,对入侵进行判定。
网络基础检测系统是指收集网络信息数据,对入侵进行判定,它能够通过对普通网络数据包的过滤,收集到资料后,通过这些资料对入侵进行判定。
由于呼伦贝尔地调各应用系统安全防护的重点在于整个网络的安全性上,因此入侵检测系统应考虑配置网络基础检测系统,并应考虑与防火墙的联动机制。
③安全审计
安全审计系统包括以下主要功能:
-生成安全策略,确定和保持系统中用户的责任并审查用户的访问模式。
-发现试图绕过保护机制的访问及访问权限由低级向高级的转移。
-阻止系统的不正当使用。
-对系统问题区进行检测和损失评估。
-提供有效的灾难恢复。
④防火墙
防火墙是一种计算机硬件和软件的组合,它能够在内部和外部网络之间建立起一个安全网关,从而保护内部网络免受非法用户的侵犯。防火墙的产品种类大体可分为两大类:一类为网络级防火墙,另一类为应用级防火墙。网络级防火墙是工作在网络层和传输层的防火墙。应用级防火墙除具有网络级防火墙的功能外,还具备对信息内容过滤的功能,拒绝含有敏感字样或信息的访问,以确保网络的安全。两种级别防火墙相比,应用级防火墙具有更高的安全性,但网络级防火墙具有更高的通信处理速率。因此在选用防火墙时,应从安全性和实时性两个方面来综合考虑。
⑤物理隔离
采用专用的安全隔离装置,对不希望通过网络访问方式通信的两个网络从物理层上进行隔离。隔离装置由正向和反向传输两个部分组成,正向和反向部分的两个网卡分别与两个网络互连并建立TCP连接,在内部两个网卡之间通过非网络方式连接并只允许数据的单项传输,从而阻断了两个网络直接建立TCP连接。在隔离装置的反向部分中,还具有身份认证的功能。
⑥病毒检测
计算机病毒从其危害程度上可分为两大类:一类为良性病毒或称为恶作剧病毒(如小球病毒),这类病毒并不对计算机系统构成损害,但却对程序的进程造成影响,尤其对于实时系统其危害程度是不容忽视的。另一类为恶性病毒(如CIH病毒),这类病毒会对计算机系统带来严重的危害,甚至会带来灾难性的后果。病毒检测是预防计算机病毒的有效措施,它通过对运行中的计算机系统的实时检测,随时发现病毒并进行消毒,从而保证计算机网络的安全。
(四)安全区的划分及隔离要求
1.安全区的划分
根据地调业务系统的数据流程、安全要求和目前状况可以把整个应用系统划分为I实时控制区、II非控制生产区、III生产管理区、IV管理信息区四个安全区。不同的安全区决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
2.安全区横向及纵向隔离要求
(1)横向隔离
安全区I、II不得与安全区III、IV之间直接联系,安全区I、II与安全区III、IV之间采用经有关部门认定核准的专用安全隔离设备进行物理隔离,全隔离装置分为正向型和反向型两种,正向型用于安全区I/II到安全区III的单向数据传递;反向型用于安全区III到安全区I/II的单向数据传递,仅允许纯数据的单向安全传输。
(2)纵向隔离
-安全区I、II均接入电力调度数据网,两个安全区分别通过实时VPN和非实时VPN实现逻辑隔离。IP认证加密装置使用的认证密钥应由省调统一颁发和管理。
-在不具备签发电力调度系统内部数字证书的条件时,安全区Ⅰ、Ⅱ不得开通远程拨号服务。
-安全区III经防火墙接入电力数据通信网,使用电力数据通信网划分出的调度VPN通信。
-传统的基于专线通道的通信不涉及网络安全问题,本设计不予考虑。
-本设计对于安全区IV不做要求。
3.安全区内部安全防护要求
(1)对安全区Ⅰ及安全区Ⅱ的要求:
禁止安全区Ⅰ、Ⅱ内部的E-mail服务。禁止安全区Ⅰ的Web服务。允许安全区Ⅱ内部及纵向Web服务。安全区Ⅰ、Ⅱ的重要业务(如SCADA)应该采用认证加密机制。安全区Ⅰ、Ⅱ内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。在不具备签发电力调度系统内部数字证书的条件时,对安全区Ⅰ、Ⅱ不开通本地拨号访问服务。安全区Ⅰ、Ⅱ应该部署安全审计措施,边界上应部署入侵检测系统。安全区Ⅰ、Ⅱ必须采取防恶意代码措施。
(2)对安全区Ⅲ要求:
安全区Ⅲ允许开通E-mail、Web服务。
安全区III内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。
对安全区Ⅲ拨号访问服务必须配置具有IPsec VPN客户端接入功能的防火墙,并设置必要的安全策略对接入的用户访问的范围和资源做出明确的限制。
安全区Ⅲ必须采取防恶意代码措施。
(3)本方案对安全区Ⅳ不做详细要求。
(五)调度数据网安全防护实施方案
根据以上安全防护要求,呼伦贝尔地区电网调度数据网应采取以下安全防护措施:
1.网段划分
呼伦贝尔地区电网调度数据网划分为逻辑隔离的实时子网和非实时子网,实时子网主要用于接入控制区(安全区I)的业务,包括能量管理系统(EMS)、电力数据采集和监控系统(集控中心监控系统、变电所RTU或综自等);非实时子网主要用于接入非控制区(安全区II)的业务,包括电能量计量系统等。
2.本期呼伦贝尔地调接入网I区和II区采用IP纵向加密认证装置。
七、应用系统接入方式
(一)应用系统接入原则
1.调度端(县调除外)应用系统统一接入骨干网,应用系统间采用域内MPLS-VPN互联。
2.厂站端应用系统接入相应接入网,调度端到厂站通信采用跨域MP-EBGP方式互联,保证仅跨越一个域。
3.调度端采用双机双卡分别接入双网。
4.厂站端应采用双机双卡分别接入双网,对于扩卡有问题的老系统,采用双机单卡方式,双机分别接入双网。
5.双机应为负载均衡方式。
6.对于不支持网络方式的应用系统,可选用串口方式进行过渡。
7.对于流量较大的新应用功能,原则上接入调度数据网第二平面。
8.按电力二次系统安全防护要求,应用系统应配置安全防护设施。
(二) 应用系统接入方式
呼伦贝尔地调应用系统接入方式如图3所示,220kV厂站应用系统接入方式如图4所示,35kV-110kV厂站应用系统接入方式如图5所示。
图3 呼伦贝尔地调应用系统接入方式
图4 220kV厂站应用系统接入方式
图5 35kV-110kV厂站应用系统接入方式
八、结束语
呼伦贝尔电力调度数据网本着"统一规划设计、统一技术体制、统一路由策略、统一组织实施"的原则而组建,本工程主要完成呼伦贝尔调度数据网的建设,在今后的建设中我们还需不断将其优化和完善。
参考文献:
[1]郭建平(导师:赵洪山;董国防).华北电力大学(河北)硕士论文.电网调度网络安全防护体系结构及关键技术研究.2008(05).
[2]周宁(导师:朱庆生;何建军).重庆大学硕士论文.重庆电网二次系统安全防护体系结构及关键技术研究.2005(10)
篇7
【关键词】 大数据时代 数据中心 云计算
前言:
随着数据中心业务量的逐渐增加,国际科学联合会成立了相关的数据组织,也就是世界数据中心。世界数据中心将全世界范围内的数据中心统一起来进行研究与管理,将全球各个国家和地区的数据中心按照地域关系划分为四个数据中心群,分别是美国数据中心群、前苏联数据中心群、欧洲与日本数据中心群、中国数据中心群。但是,数据中心在不同地区的发展水平差异很大,亚太地区,数据中心市场仍然保持快速的增长,具有极大的发展空间。对此,我国要顺应市场潮流,不断丰富数据中心的业务类型,攻克数据中心发展路上的技术难关。
一、数据中心的发展历程
数据中心的发展历史并不长,是人类社会进入21世纪以后刚刚出现的新生事物。但是,其短短的十几年发展历程仍然可以划分为三个阶段:
第一阶段是数据中心的外包业务时期。在这一阶段,数据中心刚刚产生,业务范围比较狭窄,提供的服务大部分属于场地、电源、带宽等资源的出租服务和维护服务等,服务所面向的客户群体主要是一些大型的企业和特殊行业。这一阶段一直持续到2007年。在2007年到2008年期间,数据中心市场上发生了剧烈的变化,数据中心的服务商数量骤减,从一千多家减少到三百多家。大量的中小型企业为了生存下去,自发进行整合,合并为大型企业继续经营发展[1]。也有少数几家数据中心的服务商经历过市场动荡的考验之后,开始将眼光放得长远,积极准备海外上市。从此,各个数据中心企业开始摆脱服务上的同质性,积极打造自身独特品牌,为不同的行业提供不同类型的服务,数据中心市场的划分越来越精细,数据中心的发展进入了第二阶段。
进入第二阶段之后,数据中心的业务范围得到了拓展,除了在基础资源的出租服务和维护服务上,也产生了一些增值业务,数据中心的服务模式也变成了“基础资源出租业务+增值业务”的服务模式[2]。在这一时期,由于用户对各种互联网设备的安装、维护要求大大提高,增值业务所占据的收入比例也大大增加。增值业务的种类包括网站托管、服务器托管、应用托管、网络加速、网络安全方案、负载均衡、虚拟专用网等。
在第三阶段,数据中心的概念被进一步拓展,功能更加多样化。这一阶段的数据中心,以虚拟化、综合化、大型化为主要特征[3]。云计算服务的产生,导致数据中心存储处理数据的能力大大增强,计算能力更加突出,设备维护管理更加全面。受到云计算服务模式的影响,数据中心的服务理念也随时发生变化,采用高性能的基础架构,按照客户的需求来提供基础业务和增值业务,提高数据资源的使用效率。这种服务模式对数据中心的组网模式、运营管理和产品开发能力都提出了更高的要求。
目前,数据中心正处于第二阶段向第三阶段转型的过渡阶段[4]。数据中心企业一方面致力于数据中心的升级,开发新的业务类型,另一方面也在提高数据中心储存信息和处理信息的能力,构建既有稳定性又有高工作效率的数据中心结构。
二、全球数据中心的发展现状
据世界数据中心的调查统计显示,从2010年起,全球数据中心的市场规模一年比一年庞大,已经从2010年的20亿美元提高到了2015年的44.6亿美元,平均每年增长幅度达到了14.3%[5]。其中美国、西欧和中国为市场增长做出了巨大的贡献。但是,我国的数据中心总量比较少,远远比不上美国和西欧。大型数据中心数量占据数据中心总量的比例也极低,还不到千分之一,占全球大型数据中心总量的4%。这说明我国的数据中心建设仍有待进一步加强。
虽然从全球范围内来看,数据中心市场保持着稳步增长,但是各个地区的发展水平并不均衡。在西欧和美国市场,传统的数据中心业务市场已经基本饱和,发展速度明显放缓。这些地区的数据中心企业,正在致力于建设新的大型数据中心,拓展新的数据服务空间,寻求新的发展道路。而在亚太地区,数据中心市场仍然保持着高速增长,中国、印度等几个国家的市场地位也有了显著的提高[6]。
这是多方面原因所促成的,首先是由于亚太地区近年来的经济飞速发展,为数据中心市场的发展创造了良好的环境条件。其次,亚太地区的许多大型企业观念发生了转变,放弃了自行建设企业数据中心,开始接受数据中心企业的外包服务和增值服务。最后,一些自然灾害多发的地区,比如日本,企业纷纷开始认识到在不同地区的数据中心备份企业数据信息的重要性。
三、数据中心的发展趋势
3.1高速以太网
随着信息技术的发展,10G以太网已经基本发展成熟,并且已经广泛应用到数据中心当中。10G以太网的发展和应用,为40G以太网和100G以太网打下了良好的基础,以太网正在向着高速化的趋势发展[7]。目前,10G以太网的性能还能够满足服务器虚拟化、云计算、光纤整合的要求。但是,随着社会的发展,网络数据的传输速率要求也会越来越高,以太网的传输速度也必须随时增加。
根据科学研究人员的调查统计结果,可以看出:全球W络服务器的数据输出量每两年就会增加一倍,而通信行业的通信量每一年半就会增加一倍。这种形式迫使以太网的运营速度必须尽快提高,这是困扰着全球各家数据中心企业的主要问题。
3.2绿色数据中心
由于信息时代的信息数据量出现了爆炸性的增长,数据中心的规模也随之进行扩大,从而引发了一系列的后果,比如服务器数量大大增加,服务器的运行负担加重,消耗的电力能源增加,对供电行业的要求更苛刻。据我国用电管理部门的调查统计,在过去的十年中,提供给数据中心服务器的电量增长了十倍,数据中心的运营成本当中,有一半都是由能源消耗所造成的。
所以,新时代的数据中心必须向着绿色、节能、环保的方向发展,努力降低数据中心的能源消耗水平。只有能源消耗水平下降了,数据中心的运营成本降低了,数据中心才能具备更强的竞争力,占据更大的市场份额,实现社会效益与经济效益的全面增长。
3.3虚拟化
虚拟化是建立在云计算技术应用的基础之上的。在传统的数据中心当中,数据的搜集、整合、处理和展示等工作是由服务器来进行的,而虚拟化就是让这一过程脱离空间位置的束缚,从具体的服务器当中转移到虚拟的系统环境当中。换言之,数据中心的虚拟化,就是要将底层的计算资源、存储资源和网络资源抽调出来,方便上层进行调用[8]。虚拟化的发展趋势主要是为了改善目前电信业、互联网行业和信息行业当中服务器规模越来越大,数量越来越多,硬件成本越来越高,管理工作越来越烦琐的现象。通过数据中心的虚拟化,服务器的数量将会大大减少,硬件花费的成本大大减低,管理工作的难度也会变小,有利于企业增加资金周转的效率,节省工作人员的精力。
在具有这些优点的同时,虚拟化的发展趋势也会对数据中心的性能造成一定的负面影响,比如访问虚拟化软件的时候延迟会变长,存储和接入的速度也会变慢,对用户的体验造成一定的负面影响。这些负面影响有多大,该如何消除这些影响,则是数据中心企业在发展过程中必须考虑的问题。
3.4信息安全
数据量的爆炸型增长和数据中心的规模扩大,既提高了数据中心在网络当中占据的地位,也凸显了信息安全问题。在未来的信息时代,数据中心面临着一系列的网络安全威胁,除了传统的互联网安全风险,比如计算机病毒、网络攻击、木马程序,还有一些云计算技术应用所带来的风险,比如IaaS服务系统的延迟、PaaS服务系统存在的漏洞[9]。随着信息资源在人类生活中地位的提高,信息安全的重要性也凸显了出来。数据中心的信息安全维护,是一项系统性的工程,需要从物理区域的划分、网络隔离与信息过滤、服务监测、设备加固、用户身份的认证和审核多个角度入手。
四、新时代数据中心需要突破的技术要点
4.1集装箱数据中心建设方式
从整体角度进行分析,数据中心的建设方式在现阶段已经开始朝着模块化的方向开始发展,现阶段的技术代表主要是集装箱整体的信息数据中心。整体的集装箱数据中心整体的外部与货物运输的集装箱整体相似度较高。同时,每一个集装箱整体自身也是一个独立的机房,配备有专业独立的供电网络和相关设备。只要外部连通供电系统,就可以实现整体网络的正常使用。
集装箱的整体数据中心可以放置在中央处理系统上,具有整体的运输成本较低的优势,而且还可以有效实现空间资源的节约,整体高效率制冷,能量消耗有效降低。因为具有多种优势和突出特色,集装箱数据中心的建设方式开始被更多的使用者接受[10]。
4.2下一代数据中心对网络的要求
在数量众多的大型数据处理中心网络的内部,也就是简化形势下的网络内部结构提升,可以有效带动整体网络使用性能的提升。此外,还可以凸显出虚拟化使用技术自身优势和便捷。可以实现多重数据的交叉应用和关联处理。数据中心的数据信息集群以及网络流量之间的沟通都属于对传统树形组合结构的巨大功能性挑战。下一代数据中心对网络的要求已经伴随着网络使用的范围扩大和整体使用主体的拓展实现整体使用效率的提高。数据中心的整体使用效果也伴随着现代科技和信息处理技术的升级实现快速发展。无论是国内还是国外,都需要关注和重视新技术的革新,明确使用者对下一代数据中心和对网络的要求。
4.3数据中心的安全解决方案
近些年来,伴随着数据信息整体的爆炸性增长和整体信息处理数据中心的大型化进步,数据中心已经不断凸显出整体网络的使用地位,由此,数据中心的应用安全性也必然受到关注,数据中心很容易收到来自病毒和黑客的攻击,尤其在云计算的应用推广,整体使用的不稳定和不安全因素也在不断增加,所以更需要对网络数据中心进行加密处理,增加整体的网络安全性,做好分区划分,从整体的数据中心系统维护多方面考量,统筹整体应用发展。避免数据中心收到来自外界不安全因素的影响。
五、结论
数据中心经过了几十年的发展,目前正位于第二阶段向第三阶段的过渡时期。目前的全球数据中心市场当中,美国市场与西欧市场已经基本饱和,而亚太地区尚有广阔的发展空间。
我国的数据中心企业必须要认识到数据中心的发展特点,顺应数据中心的发展趋势,从高速以太网、绿色数据中心、虚拟化、信息安全等角度入手,对数据中心发展过程中的技术难点进行突破,增强企业自身的竞争力,拓展数据中心的业务类型,创造更多的经济效益与社会效益,在竞争激烈市场当中占据一席之地。
参 考 文 献
[1]张涛,李巍,廖谦.数据中心安全域划分及防护发展趋势[J].电力信息与通信技术,2015,01:112-115.
[2]刘术文.数据中心管理现状及发展趋势[J].中小企业管理与科技(上旬刊),2015,09:50.
[3]冷迪.企业数据中心超融合架构的特点和发展趋势研究[J].科技创新与应用,2015,35:37-38.
[4]覃建国.大型数据中心机房基础设施的发展趋势[J].电信工程技术与标准化,2015,11:1-6.
[5]李丹,陈贵海,任丰原等.数据中心网络的研究进展与趋势[J].计算机学报,2014,02:259-274.
[6]袁景凌,钟珞,杨光等.绿色数据中心不完备能耗大数据填补及分类算法研究[J].计算机学报,2015,12:2499-2516.
[7]于庆友.模块化数据中心在能源行业的发展趋势[J].智能建筑,2015,10:32.
[8]陈荣君.浅析省级电力公司数据中心网络架构演变与发展趋势[J].今日科技,2016,02:54-56.
篇8
[关键词] 电子商务系统 风险 防范
关于电子商务系统的风险与防范问题,已经有了很多话题,但绝大多数是从网络和交易两方面,且总是从技术角度进行讨论,然而,电子商务产生风险的原因是多方面的,不仅仅只有网络和交易两方面,其防范也不仅只是技术手段,下面就此展开讨论。
一、物理环境的风险及防范
电子商务系统的物理环境风险是指系统的外部环境所造成的风险,包括意外事故和自然灾害两方面:
意外事故如设备被盗,突然的断电、温度、湿度、电磁场的变化等、操作人员因玩笑、打闹的误动作而导致的设备损毁的风险;自然灾害如水灾、火灾、地震等不可抗拒力造成的风险。
物理环境所造成的风险对电子商务系统而言轻则直接造成业务交易的中断,给企业带来不可估量的损失,重则给电子商务系统带来毁灭性的打击。
对意外事故产生的风险应是可避免的,如安装机房环境的报警系统、采用自动切换的备份电源,以避免外界突然断电造成的交易中断,使用空调保证机房的温度和湿度,对机房进行电磁屏蔽,从制度上规范系统操作人员的行为,坚决制止其在操作空间的玩笑和打闹行为。
对自然灾害造成的风险虽无法避免,但利用远程(异地)备份数据和恢复机制,则可将损失降至最低。因此,为抵御电子商务系统的灭顶之灾,投入一些成本,建立远程(异地)备份数据和恢复机制,则是非常必要的。
二、系统硬件的风险及防范
系统硬件处于电子商务系统的底层,其风险主要来自构成系统设备存在的安全缺陷和硬件的质量。一般质量问题容易引起人们的重视,质量不好的设备谁也不会买,但硬件自身存在的安全缺陷往往容易被忽视,这类风险的隐蔽较大,但产生的风险却是最大的。上世纪末,我国就曾对某型号的CPU因存在安全隐患,而不得进入政府办公系统,做出过明确的规定。然而人们在购买系统硬件设备时,往往会花很多精力做诸如经济、技术上的论证,反复地考虑设备的性能价格比,却较少甚至不做有关安全论证。根本意识不到系统硬件缺陷带来的风险,这是很不可取的。
到目前为止,对我们而言,系统硬件最大的缺陷是其制造的核心技术,众所周知,构成我国信息基础设施的网络、硬件等产品几乎都是建立在以美国为首的少数几个发达国家的核心信息技术之上。由此而产生的风险是不言而喻的。
系统硬件风险的防范应从宏观和微观两方面进行:在宏观上,国家组织力量在关键的硬件制造技术上攻关,利用好国内外两个资源,需要以我为主,以创新的思想,超越固有的约束,研制具有中国特色的关键芯片,从根本上杜绝系统硬件产生的风险;在微观上,要建立系统硬件的风险意识,尽管到目前为止,系统硬件的安全不尽人意,但至少要知道风险的存在,同时应该清楚系统中哪些是存在风险的关键设备,一旦风险产生,应有规避风险的措施和办法,如监控系统的出入口上的数据流量,一旦出现数据流量异常,即刻切断系统的出入口或关闭设备,这总是做得到的。
三、系统软件的风险及防范
系统软件主要是指计算机操作系统软件和数据库管理系统软件,其风险主要来自这两个软件的安全漏洞。
操作系统软件处于硬件和上层应用的中间环节,可以提供对网络系统、数据库、应用软件、用户的认证管理等,提供全方位的保护。没有操作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。由于操作系统是唯一紧靠硬件的基本软件,其安全职能是其他软件安全职能的根基, 缺乏这个安全的根基,构筑在其上的应用系统以及安全系统,如PKI、加密解密技术的安全性是得不到根本保障,因此,操作系统也与系统硬件一样是电子商务系统的安全基础之一。
数据库作为信息的聚集体,是电子商务系统的核心部件,从中可以寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息,风险防范至关重要。
由于数据库的安全在很大程度上依赖于数据库管理系统,而数据库管理系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户是难以察觉的。
长期以来,我们在构建电子商务系统时,尽管在规划阶段也会考虑安全问题,但基本上不考虑操作系统和数据库管理系统的安全,对其只进行性能上的选择,这使得电子商务的信息安全体系在基础上就先天不足,请注意,我国广泛应用的主流操作系统和数据库管理系统都是从国外引进直接使用的产品。这些系统安全性是很差的。众所周知Windows中存在着的漏洞和陷门,就不断引起世界性的“冲击波”和“震荡波”,存在极大风险。
对系统软件产生的风险,可从以下方面进行防范:
第一仍需国家组织力量攻关,从操作系统的内核编程技术入手,以密码技术为核心,构建具有中国特色的,拥有完全自主知识产权的安全操作系统,从操作系统的根本上解决安全问题。
第二在安全操作系统的研制尚未完成时,可对现有的操作系统进行安全加固,只要在它的外部加入一些加固模块,就能够起到很好的安全防范作用,例如采用设计安全隔离层?――中间件的方式,增强其安全性,基于应用对象,实施安全封装、主动服务。
第三对数据库文件进行加密处理,是数据风险防范的有效方法,可以从操作系统层面、数据库管理系统内核层面和数据库管理系统外层这三个层面分别对数据库的数据加密,这使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。
四、电子商务软件的风险与防范
电子商务软件的风险来自系统自身程序的缺陷。这种缺陷主要来自两方面:一是在设计程序的时候,考虑的都是程序的功能和性能,基本没有考虑安全问题;二是不影响程序功能和性能的编程错误,这种错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些错误被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。由于设计时就没考虑这些风险,程序测试就自然无此项目,而访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现这些问题的错误。
电子商务系统软件风险的防范,应在电子商务系统规划阶段就予以充分考虑,对软件如何防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制的措施、过程、运行的风险管理、审计跟踪、备份与恢复、应急等方面都应有具体的措施和内容。只有这样,才能产生相关的程序测试用例,以验证程序的安全性。
由于大多数软件测试假定用户将以某种“随机”或“有用”的方式工作,检查程序在“一般”情况下或者在某些最大值下如何工作。与此相反,安全性缺陷通常只出现在使用极其古怪的值的情况时,传统的测试完全不会检查这样的值。因此,进行安全测试时,必须突破传统测试的框架,尽可能的找出足够多的安全测试数据,进行测试,以保电子商务软件自身的安全。
五、外来入侵的风险及防范
外来入侵是指计算机遭到攻击,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏。
黑客在本文是指未经许可,闯入他人计算机系统进行破坏的人,黑客们的攻击行动是无时无刻不在进行的,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录,设置后门,给ERP系统带来灾难性的后果。
计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,可以攻击计算机的磁盘、COMS,扰乱屏幕显示,干扰计算机键盘和打印机的正常工作,以致使计算机的硬件失灵,软件瘫痪,数据破坏,系统崩溃,造成无法挽回的损失。
值得高度关注的是:随着各种应用工具在计算机网络上的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。而计算机病毒问世十几年来,各种新型病毒及其变种迅速增加,并利用计算机网络这一通道迅速传播;这就使防范外来入侵的难度大大增加。但是,既然是外来入侵,就必须要有外来的通道,这个通道就是开放的计算机网络,在此设防,抵御外来入侵事半功倍。目前常用的技术有:
1.防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。防火墙技术主要有三种:数据包过滤器(packet filter)、(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。
2.入侵检测。入侵检测(IDS―Instrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年,Derothy Denning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。入侵检测采用的分析技术可分为三大类:签名、统计和数据完整性分析法。
3.使用防病毒软件构造全网统一的防病毒体系。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子 邮件等)等。
需提请注意的是:在购置实现以上安全技术的产品时,一定要检验其合法性,必须是经过国家有关管理部门的认可或认证的安全产品;同时要掌握产品的正确使用方法;还要有一套严格的管理制度,规范对安全产品的操作。这三点如不能同时做到,轻则使这些产品起不到应有的作用,重则会使电子商务系统无法正常运行,而给企业带来损失。
六、内部管理的风险及防范
内部管理的风险主要表现为:一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,错误地进入数据库、删除数据等等;对于已经离职的员工,没有及时地改变系统地口令并删除他们的记录,使他们无法再进入系统;当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
缺乏约束机制,责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等是引起电子商务系统安全风险的根源。这就要求必须从管理上健全相应的规章制度来规范和约束员工的行为;根据工作的重要程度,确定该系统的安全等级;根据确定的安全等级,确定安全管理的范围;制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对人员进行识别、登记管理。制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录;制订应急措施,要制定系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小;建立人员雇用和解聘制度,对工作调动和离职人员要及时调整响应的授权;对系统的访问活动进行多层次的记录,及时发现非法入侵行为。
七、结语
以上从六个层面讨论了电子商务系统存在的风险及防范的办法,需要强调的是,每个层面都只是风险防范其中的一个环节,还需要各个环节的配合,才能达到电子商务系统安全的最佳状态。更重要的是,在我们的头脑中,要“预装”好风险防范的意识,只有这样,才能有严格的规章制度,使各种安全技术和产品得到有效的应用,保证电子商务系统的安全。
参考文献:
[1]程中东:广域环境下的企业信息系统安全管理分析[J].网络安全技术与应用,2007.4
[2]宋红吴建军岳俊梅:计算机安全技术[M].北京:中国铁道出版社,2003.2
篇9
1发展现状
以互联网、云计算、大数据等为代表的信息技术突飞猛进,以及新媒体业态的不断出新,促使传统广电的生产、传播、、接收格局发生了根本性变化,转型成为必然。我们要统筹传统及新媒体监管,从根本上抓住监管的主动权。
1.1内容大数据化国内广播与电视机构合并的背后,意味着视听资源的大数据整合。基于突破带宽瓶颈的NGB网络,借助云理念的NGB数据资源载体(IDC),可实现广电视听海量数据的统一整合、整理、分发、监管及挖潜,实现资源的全程全网、互联互通、数据共享,在“内容为王”的时代占得先机,对监管工作提出了严峻挑战。
1.2媒体格局变化中央37号文确定的四级办广电的格局,随着自媒体时代的到来,也已发生了根本性变化。全媒体化的视听节目内容,可在NGB体系下采用多种媒体手段、媒介形态传播,用户可用电视、电脑、手机、PAD等多种终端完成信息的跨屏融合接收及互动(OTT),满足4A(任何时间、地点、终端获得任何信息)需求,完成由看电视到用电视的转变。自媒体、“微化”环境中,普通民众已直接参与到媒体的生产、等过程中。生产社会化、传输网络化、接收终端智能化、媒体渗透社会化的产业新格局,已经形成。
1.3新业态涌现广电总局2013年1号文已将网络广播电视台提升到与电台、电视台同等重要的地位,鼓励电台、电视台与宽带互联网、移动通信网等新兴媒体结合;新媒体业态已经且正在不断出新,迫切要求我们将面向公众的媒体逐步纳入监管。
1.4事业发展趋势2011年9月19日,国家广播电影电视总局监管中心正式挂牌。总局监管中心的统一监管平台已整合完成,统一行使行业监测、行政监管职能,对全国广电监管未来的项目建设工作具有示范指导作用,形成合力的监测数据资源也将更有权威性,更具共享、挖潜价值。
2转型需求
在“技术进步、事业发展、体制支持、政策激励”的综合机遇面前,广电监管的转型成为必然。
2.1资源整合需求广电现行的技术监管体系,已不能完全满足未来监管的发展性需求。各省广电守土有责,更需守土尽责,但尚未形成全业务监管体系且各自为战。总局监管中心已初步建成了集“技术监测、内容监管、信息安全、指挥调度”四位一体的广电监管统一平台体系,逐步实现监管资源的整合是大势所趋。
2.2全业务监管需求当前,媒体业态的不断出新且不少已发展成主流业态,迫切要求我们将所有面向公众及NGB体系下的媒体业态纳入依法监管,完善广电统筹传统及新媒体监管的格局。
2.3NGB内容监管需求基于接收终端智能化优势,跨屏多媒体业务(OTTTV)已经淡化了地域和介质,用户在智能终端点播的节目可在其他大屏幕上播放,而通过智能终端实现交流互动。尤其在自媒体、“微化”环境中,普通民众直接参与生产、的文字及视听信息内容,不能简单依赖个体遵循道德、法律底线,必须在相关法律法规的有力约束下,借助可靠技术措施,实现基于NGB开放平台的全内容可管可控。
2.4版权监管等需求NGB传播体系下,要求我们积极统筹技术及管理层面的措施,制定实施有效的解决方案,确保版权、知识产权、个人隐私不受侵犯,确保结算支付平台等环节信息安全。
2.5广播内容监管需求广播具有覆盖效果好、频道专业化发展趋势好、接收方便及终端智能化趋势等优势,数字广播、互联网广播等新广播也方兴未艾,有稳定的收听群体并深得听众青睐。总局及多个省都设置了收听收看中心,可行使面向广播内容的监管职能,但针对广播广告及内容的智能监管,尚存在提升空间,迫切要求我们采取行之有效的措施,填补广播监管的空白。
3针对措施
基本国情决定了广电的职责和使命,新闻出版、广电的整合已将全媒体纳入统一监管体制下,我们应认清形势、看到责任,做一些经验总结和前瞻性思考。
3.1监管平台技术体系省级广电监测均已实现网络化,与总局监管平网整合的技术条件已经具备,等待的只是政策层面的发展性需求。国家、省、市、县四级贯通的平台体系,在业务流程、设备构成的复杂度及通信协议差异性等方面,有诸多问题亟待研究。依托总局平台体系将全国广电监管资源纳入统一框架,需借助云计算、大数据等前沿技术理念,整合业务流程,采用统一网络及安全管理、统一接口标准、统一通信协议、完善的脚本技术等措施,集中处理/存储/监管,建成集“技术监测、内容监管、信息安全、指挥调度”四位一体的全国广电监管统一平台体系。
3.2全业务监管CMMB、IPTV、互联网电视集成播控及技术监管平台,由广电建设和运营管理,CMMB已被纳入安播体系。统筹传统及新媒体业态监管,将CMMB、IPTV、OTTTV、网络广播电视、网络视听节目、车载/船载/楼宇/户外大屏电视、数字广播/电视等面向公众传播的媒体业态纳入监管,最终完成广电监管统筹传统与新媒体、全业务可管可控的体系建设目标。
3.3NGB内容监管广电的先天优势是内容。NGB体系下的内容监管,需要我们从国家政策、法律依据源头找抓手,确保可管可控,可硬性要求所有视听节目资源统一在广电的IDC上部署,经审核后方可通过CDN(内容分发网络)分发到边缘节点服务器。在统一的平台上,实现对版权、内容的有效监管,确保版权、知识产权、个人隐私不受侵犯,确保结算支付平台等各个环节网络安全、信息安全等。牵住内容监管等问题的牛鼻子,就能引领NGB朝着利于国计民生的道路上稳步前行。
3.4广播内容监管针对广播语音内容的智能识别监管,必须在相关法律法规约束及政策支持下,加大投入,利用语音识别等前沿技术,实施面向广播全业态内容的有效监管。减轻收听收看工作的劳动强度,填补广播内容智能监管的空白,规范广播内容低俗化现象,规范诸如虚假药品、保健品广告等存在的乱象,为民生大计,净化广播的“天空”。
3.5技术应用探索(1)依托统一平台,实现公文派发、业务处理、论坛交流、文件资料查询、文字及视/音频即时通信等功能,省去电话线、复印纸。网络化、无纸化办公,可简化办公流程、时效性强、节约事业费用、绿色环保,在安播及预警平台的基础上完善办公通讯的长效机制。(2)配备移动值班终端,实现值班记录电子化。设备巡机、故障处理情况,可随时拍照、语音/文字说明、电子归档,文档格式、规范可设,可提供多模态值班记录表,便于查询。(3)监管信息的利用。监管平台的信息资源,比如全国直播、跨地域点播、收视率调查、信息服务等业务信息,以及面向网络的微博、博客、论坛和网页的舆情信息等,在引导社会舆论、宣扬正能量等功能上,在利于民生和社会安定、利于产业发展等问题上,将发挥重要的作用。也可面向演播室,提供全媒体互动播报、舆论热点分析、新闻线索获取等服务。(4)广电系免费客服电话。公开收集意见和建议,倾听、汇集民声,及时协调处理日常问题,改进、提高节目内容和服务质量,更好地满足百姓对广电多元化、高质量的要求。(5)完善移动监测车配备。广电监管当前乃至今后几年的工作重心是系统建设,所以重系统建设轻移动监测仍将是普遍现象。配置完备的移动监测车,是可移动的“监测中心”,是广电监管不可或缺的技术手段。在弥补固定监测不足的同时,促进我们维护空中电波秩序,改进广电传输覆盖效果,实现对不同播出形态的内容传播、机构运营、传输效果等全面有效的监管。
4总结
篇10
现代经济组织降低了对个人威权领导者的依赖,但并没有避开固有的兴衰周期,美国学者Ichak Adizes认为12年一个轮回,大多数企业会耗完自己的生命力,杉杉集团的郑永刚也说过,中国企业的平均生命周期只有5-8年。
但考察中美两国的互联网公司,真正的巨头往往拥有横跨20年的长寿基因,1995年的亚马逊,1998年的谷歌,1998年的腾讯,1999年的阿里,2000年的百度,在新陈代谢更快的互联网时代始终不曾显露疲态,在高低起伏的动荡中,不断输出着深入骨髓的统治力。
过去20年里,BAT最擅长的就是对关键资源的支配,这一方面是C端对用户的全方位触达,另一方面是针对B端的流量、数据和技术输出。
但并不是所有人都心悦诚服,王健林就不承认所谓的互联网思维,杨元庆认为互联网不是颠覆性创新,只是一种渠道,马云总结未来的“五新”战略,宗庆后直言全是“胡说八道”,娃哈哈掌门人唯一肯做恕词的是新技术。
技术是调性还是能力?
对普通大众来说,互联网曾经就是新技术的代名词。但纯粹从研发投入来说,去年全球排名第一的是大众汽车,紧随其后的是谷歌、微软、三星、英特尔、华为和苹果,传统科技公司碾压了互联网公司。
三星电子去年的研发投入155亿美元,华为做到了120亿美元的水平,但前者给人的印象就是强大到无孔不入的营销文化,后者则是任正非的中国式管理思维,两家公司的关键词都有技术,但一定不是多数人的首选。
再看BAT的研发投入,阿里去年36.28亿美元,占总营收的13%,腾讯25.85亿,占总营收7%,百度19.87亿,占总营收16%,BA两家全都超过了华为10%的研发占比,这也符合百度靠技术,阿里玩运营、腾讯做产品的普遍认知。
互联网与科技公司对技术的认知不在一个次元,后者因为庞大的硬件和B端产品,需要保持高昂的基础研发费用,前者强调学以致用,技术必须融入并服务现实生活。
共同点是强烈的危机感,大家都习惯用最熟悉的方式面对变化,腾讯在QQ基础上内部孵化微信,算是抢到移动互联网的门票,阿里由电商而金融,提前完成商业模式的闭环,百度由搜索广告发展出算法和大数据,从深度学习向人工智能进阶。
物联网的快速崛起将原本不在一个次元的科技公司和互联网巨头拉进了同一条赛道,因为流量正从个人终端转向家庭终端。从可穿戴设备到家用电器,从汽车到房屋,终端设备的在线化、物联化已经趋势,手环、智能音箱等越来越多的爆款出现,去年小米米家平台上的智能设备就达到8500万台,百度DuerOS平台的设备激活量甚至达到1.4亿。
技术的重要性被提高到前所未有的程度,但控制权究竟掌握在手机这样的超级终端还是AI进化的其他黑科技,没人能够明确预判。
所以科技公司和互联网公司都在变,二者之间的界限也越来越模糊。任正非透露华为研发的成功率不足50%,在谈到消费者BG时他特别强调抵制非必要的冗余投入,研发必须准确清晰,直击痛点。反倒是互联网公司的基础研发投入不断提高,去年准备隐退的马云就砸下1000亿成立达摩院,腾讯从2005年来的3次内部架构调整,真正保留并发展的就是工程技术事业群(TEG)。
对于技术回归更乐见的是百度,这不仅源于对自身技术公司的身份认同,更来源于其在人工智能上的抢跑。李彦宏早就宣布,百度不是互联网公司,而是一家人工智能科技公司,百度研究院今年1月进行了全面升级,新增“商业智能实验室”和“机器人与自动驾驶实验室”,在泛AI领域策动产业链生态的决心尽显。
高瓴资本之前有一份2018年互联网趋势报告,从资本的角度梳理出最有希望竞争也最激烈的三个领域,分别是在线娱乐,即短视频,游戏;新零售为代表的业态升级;还有就是移动支付、广告和共享(分享)经济。
支持这些行业发展所需要的技术能力,就是未来的竞争制高点,也是BAT和TMD等小巨头激烈竞争的战场,但这又是一种完全不同的竞争。
首先,马云“五新“战略唯一被宗庆后认可的新技术有很多具体方向,诸如云计算、大数据、物联网、人工智能、虚拟现实、增强现实、网络安全等等,有些是手段,有些是载体,有些是工具,有些本身就是生产力,真正在应用层面拥有广泛的用户触点,又可以作为底层支撑的只有AI。
其次,当年BAT开宗立派,讲究越顶截流,走自己的路也让别人无路可走,与传统行业多少有思维代差,但AI落地需要多维应用场景的催化,所以必然要争取更多的线下支点,原来的与天下为敌就要一变而为与人为善。
目前做AI开放平台最卖力的是百度和腾讯,二者所处的境遇,推出的背景,内部的定位和输出的能力都有一定差异。
腾讯为什么忌惮今日头条?因为在线娱乐本质上就是个流量生意,而且与社交密切相关,看起来一切都是腾讯最擅长的,似乎那些后起之秀都要攀这根高枝才能有所作为,唯有自带流量的今日头条例外,而且自我进化速度极快,所以腾讯才紧张,腾讯AI的所有方向都是为了强化有效支配和运用流量的能力。
马化腾的三百计划(100亿流量、100亿资金和100亿产业资源)取名内容开放平台,聚焦了内外所有流量产品,显然是想用AI驱动的一体化生态Pk头条,“保300亿争500亿”的广告KPI摆明了是预谋截断头条变现的商业流水。
百度这一步比腾讯跑得要早,而且一开始就是两个方向同时发力。
李彦宏2013年就启动了AI研究,去年4月BAT三巨头在深圳聚谈时马化腾也承认,“其实robin人工智能走的更前啦,腾讯还是落后不少”,走技术研究到AI输出再到场景共建这条路节奏显然慢了几拍。
这一点腾讯与阿里不同,阿里先是失去了对滴滴的控制,接着又有不听招呼的ofo,再就是反目成仇的美团,线下扩张遭到沉重打击,但阿里电商和金融基本盘对实体经济的渗透要比腾讯深入,所以不怕京东,也未必怕拼多多。
腾讯的战略只能左右开弓,用内容平台制止头条系对短视频等流量产品的侵蚀,用AI对付坚持走技术路线的百度,抢先覆盖智能硬件和无人车等大产业,还有一个隐藏的第二战场,就是精准内容分发影响特定人群,对手还是百度和今日头条。
李彦宏瞄准的另一个方向是内容分发,百度在PC时代积累的商业变现模式在移动时代需要合适的承接,feed流被证明是成功的,何况百度还有AR和VR广告,作为付费竞价广告的补充顺理成章。在很多线下场景中,如果百度能够整合服务资源,那么就有可能缩短从入口到信息获取,再到支付以及评价反馈的路径,意义不言而喻。
百度本来就是一个基于用户主动行为的平台,通过用户找什么,买什么,去过哪里这些信息更容易判断真实意图,技术的价值就在于进一步提升这种能力。
如果拉一张AI技术的详单,百度、腾讯在算法、数据和算力的技术积累和储备各有优势,百度胜在提前抢跑。
第一,因为做搜索广告有积累,AR和VR的实际应用更早,在化妆品行业也有实际案例,已实现产业化的DuerOS也比去年底推出的腾讯AI助手叮当要成熟。
第二,AI硬件现在既多且滥,已有的两个消费爆点机器人和智能音箱都属于过渡性产品,尝鲜的意义远大于实际价值,智能音箱今年会有1200万左右的出货,但不足以替代原来的蓝牙音箱。百度和腾讯只是探路,大家都在等待成熟的解决方案。
第三,依靠AI进军汽车产业百度比腾讯也比其他互联网公司更早,2015年7月就推出了Carlife,同年车联网升级为智能汽车事业部,与自动驾驶事业部平行发展,腾讯的无人车还在PPT里,百度与江淮、北汽和奇瑞合作的量产车明年就要上路了。
落地支点也不断增加,百度去年实现了60家车企、150款车型和30万辆新车的装机,此前筹划的与神州优车的合作也最终达成,百度几乎完成了深度学习、智能驾驶、高精地图、智能语音等所有相关技术的产业化集成。
腾讯直到去年底成都的全球合作伙伴大会才给出AI产业化的路线图,具体来说就是从高精度地图出发,结合场景数据,利用仿真平台,带动自动驾驶的感知、预测、决策等方面的算法,腾讯的动作一向不慢,但一切还需要时间。
- 上一篇:幼儿园幼儿心理健康教育
- 下一篇:行为科学的概念
相关期刊
精品范文
10网络监督管理办法