网络安全运维管理范文

时间:2024-01-12 17:50:01

导语:如何才能写好一篇网络安全运维管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全运维管理

篇1

以Internet、云计算、物联网为代表的信息化浪潮一次次席卷全球,信息技术的应用不断深入,逐渐覆盖到日常生产、生活的方方面面。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了越来越高的要求。如何保障信息网络系统安全已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。企业园区网络作为企业的神经中枢,它的安全稳定运行对于整个企业的日常生产与信息安全都具有重要的意义。

作为企业园区网络的网络管理员,我们必须了解园区网络面临的多方面的安全威胁,从而制定相应的管理措施,以保障网络的安全与稳定。

1 园区安全风险分析

1.1 内部局域网的安全威胁

在已知的网络维护安全事件中,约70%的攻击是来自局域网。首先,局域网中用户之间经常通过网络共享资源,给病毒的传播提供了便捷;其次,内部管理人员有意或者无意泄漏系统管理员的用户名、口令、内部网的网络结构以及其他一些重要信息等,这有可能加大网络安全事件造成的损失。另外,由于局域网内的用户主机、服务器等直接或者间接连接到同一台网络设备上,局域网的高带宽也在加快病毒的传播速度的同时,加剧病毒对网络的影响程度。

1.2 广域网、用户迁移的安全威胁

其他区域网络感染的病毒有可能通过广域网传播到本地区域网,也可能随着用户出差、变换工作地点、同一台机器在不同的网络环境中使用等原因将病毒带入本地区域网。

1.3 电子邮件应用安全威胁

电子邮件是最为广泛的网络应用之一。局域网用户除了使用企业内部邮箱收发系统内办公邮件以外,也会接受一些来自Internet的不明邮件,这给入侵者提供机会,给系统带来了不安全因素。

1.4 来自Internet的安全威胁

来自Internet的安全威胁非常多,园区网络一般只会开启互联网的网页浏览功能,但网页浏览也是网络系统被入侵的一个不安全因素,这也是园区网络最主要的病毒来源之一。浏览网页、下载资料都可能带来病毒程序或者木马,还有利用假冒手段骗取你的关键信息等手段。

2网络管理措施

2.1网络拓扑设计

园区网络的管理应从设计阶段就加以考虑。关键节点双机热备、关键传输链路采用多条不同路由、设备互联采用动态路由环状连接等,这些冗余架构都能从很大程度上增强基础网络的稳定性。但我们也需要在网络的复杂性和简洁性上做好权衡,过于复杂的网络结构反倒会给后期的运维管理埋下隐患。笔者在长期的网络运维管理实践中就遇到过不少这样的问题。个别局域网系统设计考虑非常多,采用双机热备、多链路上联等多种方式,VRRP、STP也都用上了,以期增强网络的稳定性。结果在后期运维中,由于选用设备版本不够稳定,经常出现莫名其妙的问题,反倒降低了整个系统的可用性。

2.2 网络管理文档的建立

网络维护的绝大部分工作在于平时细致的管理和准备,需要对网络的每一个细节做到了然于胸,当故障发生时,我们能够迅速定位到故障点,以最快速度排除故障。为了做好网络的管理,我们需要持续做好网络管理文档的完善工作。如:交换机端口信息表、ip和mac地址的对应表、网络拓扑图、故障处理报告等等,这些信息都会为我们应对突发网络故障提供帮助。例如:经常在园区内泛滥的ARP病毒,由于其影响范围广、难以查杀而让网管人员颇为头疼。如果我们有ip和mac地址对应表,就能够非常快的定位病毒源,以最快速度处理掉故障。

2.3 网络的日常检查及性能分析

我们需要经常对核心网络、应用服务器进行细致的检查,分析性能,察看日志,发现可疑情况及时处理。这种工作虽然枯燥但却很重要。每天的重复劳动不一定总能发现异常,但这是我们发现问题,对故障进行预判的依据。例如:一次日常检查我们发现某主干交换机CPU、内存使用率偏高,通过进一步分析日志发现某接口错误。经过细致排查,我们发现接口光纤质量不好导致接口报错,更换光纤后故障排除,避免了问题的进一步升级。

2.4 系统及时升级、补丁、病毒定义及时更新

网络设备、服务器的软件系统需要及时升级,服务器、客户端也要及时打补丁、更新病毒定义,这是我们防患于未然的必要措施。目前国内客户端使用微软的用户比较多,那WSUS就非常重要。防病毒服务器也必须统一部署,能够使病毒定义统一更新,避免网内有安全短板。

2.5 网络管理系统、日志系统、网管工具的使用

通过使用网络管理系统,可以实现设备的轮询、故障的报警等功能。通过一些阀值的设定,系统可以第一时间将故障预警信息通过邮件或者短信发送给系统管理员或者网管中心,能够帮助我们实现对故障的预判。并且,网络管理系统图形化、自动化的管理方式,也将大大提高我们网络管理的效率。

日志系统也非常重要,通过对日志系统记录的设备运行状态进行分析,能够帮助我们发现系统存在的问题,为排错、优化系统提供依据。

各种网管工具更是我们做网络管理的必要的帮手,比如抓包软件、可视光源、测线工具、标签机、螺丝刀等等,所以网管人员往往都是背着背包的,应手的家伙一个也不能少。

2.6 做好设备、线缆标识工作

好记性不如烂笔头,一个人做过的事也很容易就忘掉,更何况网络管理团队中有好多人,很多时候一件事往往追溯不到源头。所以标识、记录工作非常重要。如果标识工作不到位,很容易会发生设备、线缆用途无人知晓,谁都不敢动的情况。

2.7对用户的培训

很多网络故障是由人为因素造成的,比如碰掉设备的电源、办公室HUB出现环接等等,通过适当的时机对用户进行网络知识的教育,能够有效地避免类似网络故障的发生,给网络管理工作降低工作量和难度。

2.8其他

机房环境设施的运维管理,也是对网络的安全与运维管理产生重要影响的一个方面。除此之外,如果有互联网出口的,还需要部署防火墙、上网行为管理设备等,既要做好安全防护,又要做到有迹可查。

篇2

1.1调度数据网结构

广西电网调度数据网络以星型结构组网,依次分为核心层、汇聚层和接入层。核心层为广西电网公司电力调度控制中心(以下简称中调),是整个调度数据网的核心。汇聚层包括南宁等14个供电局电力调度控制中心(以下简称地调)及其第2汇聚节点,采用双归属方式连接至核心节点,其汇聚层网络流量向中调汇集。接入层节点主要包括广西电网内的500kV、220kV变电站及部分接入电厂。各接入节点按2点接入原则就近接入地调汇聚节点和该地区第2汇聚节点,其接入层网络流量向汇聚节点汇集。广西电网调度数据网络如图1所示。图1广西电网调度数据网络

1.2网络环境分析

从业务的角度分析,根据南方电网《二次系统安全防护总体方案》的要求,广西电网调度数据网在业务侧已经基本实现了“横向隔离、纵向认证”。利用MPLSVPN技术在业务侧划分为安全I区和安全II区,其中,安全I区是电力生产的实时业务,纵向上通过加密装置进行安全认证;安全II区是电力生产的非实时业务,纵向上部署了硬件防火墙作安全防护。在I区与II区、II区与其他网络之间部署了电力系统专用的隔离装置进行隔离。从设备管理的角度分析,广西电网调度数据网还存在网络设备管理区。网络设备管理区主要用于管理整个调度数据网的网络设备,对接入到设备管理区的网络设备可直接控制。日常可对网络设备进行配置更改,同时还可查看网络设备的配置、故障、运行情况和网络链路情况等。业务安全方面,调度数据网划分的2个安全分区已具备一定的安全防护能力,且配置了网络安全隔离策略,但缺乏入侵检测、行为审计、流量监测以及链路管理等安全防护手段。调度数据网设备管理区是设备安全管理最重要的环节,但也是目前比较薄弱的环节,这是因为对接入设备管理区的网络设备可以直接进行更改配置和重启等危险操作。除通过建立运维管理制度进行规范外,还需要对网络设备进行实时监测,统一展示全网设备的运行情况,保证网络出现故障或安全事件时运维人员可知、可控和可查。根据以上分析,调度数据网安全分区和网络设备管理区均存在网络安全防备不足的问题,难以保障调度数据网长期、安全、稳定运行。

2广西电网调度数据网网络安全风险分析

调度数据网关注的网络安全课题有:保障调度数据网每台网络设备运行稳定;监测核心链路流量传输情况;预防每台网络设备故障和网络安全风险的发生;快速应对网络设备故障或者网络安全事件的发生;利用收集到的数据快速定位到导致网络设备故障和网络风险的源头;加强调度数据网入侵防御体系等。根据广西电网调度数据网的实际情况,下面列出几种潜在的网络安全风险。

2.1网络设备运行情况不明

路由器和交换机等网络设备是调度数据网的基础组成部分,只有这些网络设备稳定运行,才能保证整个网络数据业务的实效性和连续性。目前,尚未实现对网络设备进行全方位监测,设备发生故障后,管理员才发现该设备出现问题,设备的管理方式很被动。在被动的管理方式下,管理员难以掌握设备的CPU利用率、内存占用率、双电源、风扇、温度等日常运行指标信息,无法判断设备是否运行良好,从而难以预防网络设备故障或网络安全风险的发生。

2.2网络设备故障管理方式不科学

调度数据网遵循“抓大放小”的原则,对设备脱管、链路通断和设备宕机等大故障会进行及时处理,而对设备CPU超标、内存超标、端口流量超标和温度超标等小故障未进行有效管理,这种故障管理方式不够科学。网络设备具有数量庞大、品牌众多和使用时间较长等特点,由于处理设备大故障需要花费较多的人力和物力,因此设备小故障的监测与处理常被忽视。如果设备的小故障不加以防范及处理,往往会导致大故障的发生,例如:设备温度过高会导致设备不停地重启,进而导致业务数据传输时断时续。不对设备大、小故障进行全方位管理,很难防范导致故障发生的潜在问题和安全隐患。

2.3网络缺乏主动的入侵防御

分析广西电网调度数据网网络结构,无论是核心层到汇聚层,还是汇聚层到接入层,均缺乏一套积极主动的入侵防御技术体系,仅依靠二次系统安全防护中的横向隔离、纵向认证来进行安全防护,难以达到入侵防御“零安全事件”的最高要求。无法识别数量庞大的业务数据是否携带潜在的安全威胁,如常见的木马、蠕虫和黑客病毒等。网页浏览、电子邮件、文件传输和网络下载是感染病毒最常见的途径,木马、蠕虫和黑客病毒等网络安全威胁往往隐藏其中。而防火墙(或加密装置)通常只是业务数据的第一道防线,起到流量流入、流出过滤的作用,无法识别流量包裹中的网络安全威胁,不能起到有效的防御作用。不利用认证、预警、病毒扫描和流量检查等多元化的手段建立一个横纵、有效的入侵防御体系,难以预防调度数据网潜在的网络安全隐患。

2.4整网缺乏网络内部安全防护

广西电网调度数据网是独立的电力广域网,与和互联网连接的网络相比,相对较安全、干净,易于管理,但存在网络内部安全威胁。网络内部安全威胁大致分为3种:人为恶意攻击、人为无意失误、应用系统存在的漏洞。人为恶意攻击是网络安全面临的最大威胁,即在不影响网络的情况下,破坏电网业务系统和数据的有效性和完整性或者通过截取、窃取、破译等手段获取系统重要信息。人为无意失误如管理员进行了非常规操作,会威胁网络安全运行。而应用系统存在的漏洞多为应用系统开发人员为了方便而设置的“后门”或者系统本身存在的漏洞,会成为黑客攻击的首选目标。调度数据网的安全防护系统既要对网络外部建立入侵防御,还要在网络内部做好安全威胁防护。目前,调度数据网络安全防护体系未对网络内部的正常WEB页面访问、非法授权访问、用户数据访问、系统数据库操作审计和网络设备操作审计等进行多种手段的流量监测,当网络出现内部安全威胁时无法有效防御和控制,事后也无据可查,这是调度数据网内部的重大网络安全隐患。

2.5网络运维工作量大

运维人员负责保障全网的调度数据业务稳定、安全运行,但整个调度数据网近400台网络设备,运维人员要高效、出色地完成电网调度数据网的运维任务,工作量很大。使用目前的网络管理软件,除每日正常网络维护工作外,需要1个运维人员花费2~3天完成每月的定期检查工作,此外,还需要3~5个运维人员花费约1个月时间完成每年一次的调度数据网近400多台设备的定检工作。每月定期检查内容包括检查中调到14个地调(包括第1、2汇聚节点)链路运行情况;查看链路峰值比特率、峰值利用率;统计中调到各地调实时业务和非实时业务时延情况。年度设备检查包括核心层路由表检查、物理链路状态检查、链路性能检查、设备日记信息检查、设备运行状态、配置检查和网络路由协议状态检查等20多项定检内容,这也是网络运维工作量最大的一项。

2.6网络运维与网络安全缺乏集中管理

为了满足广西电网调度数据网信息安全建设工作的需要,专业的网络管理系统和网络安全系统投入使用。但在系统的应用过程中,发现网络管理系统只负责网络维护和设备故障处理,而网络安全系统只负责处理网络中的安全事件,两者间并无联系,调度数据网同时运用多套系统反而增加了网络管理上的难度。不同的系统无法通过网络安全管理平台进行集中管理,降低了运维工作效率,增加了工作量,是调度数据网安全建设急需解决的问题。

3广西电网调度数据网网络安全管理探讨

广西电网调度数据网的安全防护遵循“只监视、不控制”的原则,要求网络可靠、稳定、安全运行,确保调度数据业务稳定、不间断运行。为了不影响调度数据网业务数据正常运行,网络安全管理平台采用旁路部署方式挂在中调的核心路由器下。广西电网调度数据网网络安全管理的目标是,通过采取适当的控制措施,保障基础网络的安全性,确保调度数据网网络不发生安全事件、少发生安全事件,即使发生安全事件也能有效降低事件造成的影响并快速应急响应。通过建设集中的网络安全管理平台,实现对调度数据网网络设备状态的监测,对安全事件、设备故障、入侵行为、网络流量和链路状态等进行统一管理、分析和监测,再通过关联分析技术,使系统管理人员能够迅速发现、定位、解决问题,有效应对安全事件的发生。

3.1设备故障管理

网络安全管理平台可对所有网络设备进行实时监视,对设备故障进行统一管理。网络安全管理平台采用SNMP技术分地区获取网络设备的性能状态信息,并写入数据库由平台统一进行处理、分析,对满足故障条件的信息按地区进行展示和通知,便于管理员及时、准确地发现各地区的故障情况。同时,当网络安全管理平台监控到设备持续故障数超过规定阈值时,这类故障将上升为安全事件,会按地区进行展示和通知。网络安全管理平台故障管理的对象除网络设备外,还有安全设备、主机系统、应用系统等多种类型的设备,管理员可根据网络需要灵活应用。

3.2设备状态监视

为使设备自身故障或人为误操作造成的设备运行异常有据可依、可查,网络安全管理平台对设备运行状态了进行全程、多维监视。

1)设备系统监视。设备系统日志会记录系统中硬、软件和系统问题的信息。网络安全管理平台可通过设备Syslog的外发方式或Telnet的主动获取方式收集设备的系统日志。中调到各地调汇聚节点的链路带宽充足,汇聚层以上的设备采用Syslog外发方式获取系统日志。由于中调到各接入层设备带宽一般为4Mbit/s或2Mbit/s,为防止多台设备出现异常时大量外发日志占用接入层链路带宽的特殊情况发生,接入层设备采用Telnet的主动方式获取系统日志,只有当平台探测这条链路为空闲时才允许平台执行Telnet操作。网络安全管理平台对收集到的系统日志进行统一处理、分析,可按电网告警级别与系统日志级别,对应在各地区的安全事件或者告警信息中进行显示,显示内容包括设备自身告警记录和人为操作记录的详细信息。

2)设备配置监视。网络设备配置分为:运行配置,即设备当前运行的配置;启动配置,即设备启动时加载的配置。网络安全管理平台可以通过手动获取或定时获取等方式,利用Telnet技术主动连接设备,获取当前设备的运行配置和启动配置。设备配置监视的主要作用有:对比当前设备运行配置与启动配置是否一致,如配置不一致,说明该设备配置被更改后未进行保存;自定义选择近期设备运行配置或启动配置历史版本进行对比,由此可掌握近期设备的运行配置或启动配置历史变化情况;自定义选择2个及以上设备的运行配置或启动配置进行对比,由此可发现各设备配置的区别。

3.3入侵防御检测

为应对调度数据网的内部威胁,防火墙对流入、流出调度数据流量进行过滤,但这不是防护入侵行为的有效手段。入侵检测防御系统不仅能针对数据流量IP进行过滤,还能对基于应用层出现的木马、后门及各种恶意代码、远程恶意控制等进行检测。入侵检测防御系统采用旁路部署的方式,使用流量镜像技术将核心路由器上中调与各地调间的流量镜像连接到入侵检测系统进行统一处理、分析,将分析结果及已获取的安全事件传递至网络安全管理平台进行展示,确保被发现的入侵检测行为能得到有效控制。

3.4流量和链路监测

如果不对调度数据网的网络流量进行监测和跟踪,网络安全管理员就无法掌握中调到各地调网络流量的情况,为此,引入流量监测系统。该系统采用旁路部署的方式,通过采集中调与各地调间(包括第2汇聚点)的镜像流量进行统一处理、分析和统计。该系统除了能对网络流量进行监测外,还能对通道链路进行监测,降低了广西电网调度数据网的安全风险,防患于未然。

1)网络流量监测,监测、采集网络流量并进行处理、分析和统计,展示最近1h的流量趋势,也可基于源IP、目的IP、应用协议和会话等多维角度展示网络流量的排名情况。为满足网络防护的工作需要,管理员可自定义时间段、源IP、目的IP和应用协议等条件查看具体网络流量的记录。

2)通道链路监测,与网络流量监测一样需要对采集的网络流量进行处理、分析和统计,不同之处在于流量监测系统对中调与各地调间的链路比特率进行采样(5min/次),同时通过Ping对应地调网关的方式计算出此链路的响应时间。系统获取通道链路的比特率和响应时延后,以图表方式展示指定时间或1个月内链路峰值比特率、链路响应时延趋势。

3.5设备一键定检功能

调度数据网需要进行每月链路定期检查及设备年度检查,以往是靠人工手动来完成大量设备的数据采集、处理、统计和整理等工作,花费时间长、投入人力多。而网络安全管理平台提供了设备一键定检功能,大大提高了运维人员的工作效率。利用网络安全管理平台,每月链路定期检查实现了中调到14个地调56条链路数据实时检查,包括链路峰值比特率、峰值利用率、实时业务时延和非实时业务时延等,实现数据实时业务采样,并在安全管理平台上以动态图形展示。数据输出方式简单、灵活、易操作,输出时间只需几分钟。链路检查报表能按指定时间段输出链路的检查结果。每年设备定检实现了“一次录入,多年受益”的效果,只需将所有的网络设备录入到网络安全管理平台,24h后即可在平台中输出设备链路状态检查、链路性能检查、设备日志信息检查、设备运行状态、配置检查、端口资源统计和网络路由协议运行情况检查等结果报表。运维人员对报表中结果异常的设备进行核查,核查结束后关闭设备定检日志源,设备年检工作完成。使用网络安全管理平台,每年全网设备定检工作只需几天时间就可完成,大大减轻了运维人员的工作量。

4结语

篇3

【关键词】CA证书认证 体系设计 非功能性技术设计 内外网统一安全接入――P2P VSN虚拟安全域 社会工程学入侵

目前大部分市区级政务信息网络主要着承载政务办公数据流系统、对公众提供业务办理等系统以及基本的互联网访问权限。随着政务信息业务系统业务逻辑日趋复杂,体量日益庞大,在政务信息系统的风险控制,安全运维成本,科学管理,方面将迎来一个全新的战场。

当前政务信息系统有或部分有以下问题:

区县的相关管理、运维人员能力匮乏,网络安全知识相对较落后,对全局政务网的硬件服务器、存储、数据库软件、应用服务器中间件、相关政务信息业务系统并没有做到了如指掌不能完全驾驭全局运维与安全保障。在出现故障时无法从业务角度快度锁定故障起源点,无法对故障进行深度解析并提供完整解决方案并实施。

区县政务信息系统是没有统一的认证授权并各自为政,无法做到访问控制,没有USB-KEY,CA证书认证等技术融入,病毒非常容相互间在各个系统中传递感染,重要数据岌岌可危;区县政务网基本没有全网的日志审计和客户机上网行为管理的,各种繁杂的应用安全系统设备产生的安全事件以及网络安全行为监控各自独立,冗余度过高,没有科学的审计,有效的整合,出现问题业务系统管理员根本无法防御爆炸式连锁攻击,安全风险系数极高。外网办公接入设备直接接入业务网,没有对过程数据流进行监察审计,业务数据在网络中的传输缺乏近乎透明传递,安全隐患非常严重。

政务信息网络发生故障或者爆发大规模病毒攻击时,无法精准锁定攻击源头,从根源控制攻击,整个处理过程也缺少科学的提高故障解决手段,缺少应急预案,缺少专家应急小组。

这些问题必须且毋庸置疑的解决和改善,应采用以下技术和策略:CA证书认证体系设计,非功能性技术设计,内外网统一安全接入――P2P VSN虚拟安全域,USB-KEY,动态短信密码,一次性口令等方式,堵着社会工程学入侵缺口。

1 政务信息系统及网络安全运维的实践

实现终端内外网统一接入:整合梳理办公内网和Internet网络的用户认证、访问授权、资源权限等问题,彻底不留隐患的有效的解决办公内网的安全接入和Internet网络安全接入,彻底清除未授权终端非法用户对政务信息系统的存在威胁,确保了政务业务系统的数据在政务网络中安全数据流传输的可靠性。

完整的用户行为和关键政务信息系统数据流日志审计,记录并保留一个月以上的用户上网行为是非常有必要的,在庞大的用户痕迹日志信息中进行初步数据挖掘,能发现潜在的安全隐患,防患于未然,将安全隐患控制牢牢控制,并扼杀。若已发生安全事故,可迅速定位事故爆发点,妥善快速解决问题,如事故造成严重的财产损失,可提交公安机关进行取证。

定期由专业安全运维第三方服务公司提供专家级业务报告,为下一步网络优化提供建议,保障网络持续、健康发展、安全:对整个被监控网络能够提供全面安全健康状态检测报告。报告内容包含客户机非安全访问记录、并发数异常记录、带宽控制效果、攻击发生统计等等。

2 政务信息系统及网络安全运维建设

2.1 政务信息系统建设内容应涵盖以下方面

建立覆盖区县政务信息系统所涉及的硬件服务器设备、存储设备、核心网络链路拓扑、政务业务系统结构、数据库并发数据链路流和中间件异常并况的综合管理安全运维平台,包括集中授权管理中心、面向业务的精确带宽流量控制系统和业务服务中心,系统应具备完整业务功能和良好伸缩性。

实现集中授权管理中心,建立集中安全管控平台:构建全网集中的用户账号管理、认证管理、授权管理、日志审计,为内外网用户提供统一的接入服务,加强内控管理,并且为精确带宽流量控制系统和业务服务管理中心提供管理控制依据。

面向业务的带宽流量控制系统:构建业务网络分析、净化、控制系统,进行全面的流量监视、净化和控制,有效提高链路的带宽利用率,保障重点业务的网络质量。

2.2 CA证书认证体系设计

为切实做好政务信息系统安全认证工作,提高各个区县网络安全保障水平和对应用系统的防护能力,建立CA证书认证体系。

遵循“建设政务信息系统统一的身份认证体系,为构建政务网络信任体系奠定基础,提高应用系统安全保障和防护能力”的目标,保证数据的完整性和保密性,确保用户来源和行为的真实性和不可否认性。

2.3 内外网统一安全接入――P2P VSN虚拟安全工作域

建立P2P构成的虚拟安全域,确保政务信息业务应用环境的安全性。

通过集中安全管控平台,用户终端无论在企业网内或是在互联网中,只需要能够在网络层与安全网关之间可达、通过身份认证后即可建立P2P VSN虚拟安全工作域,借由端到端的加密隧道与授权业务系统进行通信。

2.4 防止社会工程学入侵渗透

在以上的技术应用可以阻止90%以上的黑客攻击,但是有关信息系统及其网络安全的问题是矛与盾永无休止的话题,事实上,没有任何技术能防范社会工程学攻击。这就是安全方面做薄弱的环节:人!

政务信息所有工作人员都应该进行定期前言安全知识培训。

政务信息系统所有业务干系人都应懂得基本的安全策略,策略是指导业务人员行为保护政务信息系统与敏感信息所必须的规则。

参考文献

[1]张丽丽.新常态下推进“互联网+政务服务”建设研究――以浙江省政务服务网为例[J].浙江学刊,2016(05).

[2]冯巧玲.IPS在电子政务系统中的部署与实现[J].西安文理学院学报(自然科学版), 2015(02).

[3]刘邦凡,关梦颖.电子政务的信息安全立法[J].电子商务,2014(01).

篇4

近日,记者了解到,江苏移动呼叫中心作为一个典型的电信行业大型网络用户,正在努力进行“捞针”的工作。它试图在其拥有的大约1000~2000台终端、超过200 台服务器的网络中,全面消除异常流量和应用层漏洞,保障企业的网络稳定和应用安全,从而给客户带来更好的用户体验。

传统IDS力不从心

据了解,江苏移动呼叫中心为了保障业务的正常运营,突出网络的稳定性和安全性需求,投入巨大:所有的链路、核心层、汇聚层设备都是双冗余设计,建立备份中心并在边界增加多级防火墙设备,同时为了防止病毒在内网交叉感染,该中心在客户端部署了防毒软件,并购置了多台IDS (入侵检测)设备来保护其办公网络。

然而,这些防护措施并没有减轻该中心IT运维人员的工作量,随着终端和安全设备数量的不断增加,带来IT运维管理难度的大幅增加。此外,传统的IDS面对电信行业的大型网络明显力不从心。由于无法满足数据流量巨大、网络覆盖范围和结构复杂带来的需求, IDS的误报和漏报问题开始显现出来。

“由于我们的网络存在着庞大的客户端和服务器资源,网内高危漏洞监测的工作量极大,ERP、OCS、CRM、BSS、MSS 以及高清视讯等多域环境随时可能遭受到来自内部威胁的攻击。”江苏移动呼叫中心负责网络安全、不愿透露名字的王先生指出,“内网终端威胁不断变化,因此,传统的IDS 厂商必须为不同的业务平台开发不同的程序,这样这些威胁就可能造成进一步恶化。虽然构建了铜墙铁壁的,但内部威胁一旦未被发现并升级为‘事故’,全副武装的网络也抵挡不住病毒和恶意代码的攻击。”

快速准确找到漏网之鱼

为了迅速消除网络中的安全隐患,防患于未然,江苏移动呼叫中心邀请了数个网络安全厂商提供解决方案,并加入实地测试。据王先生介绍,在严格的测试环境中,一批“串”路的安全设备由于无法胜任该中心的大通信量负载而败下阵来,而在随后的实际环境试用中,很多厂商的产品由于无法做到第一时间预警最新的木马和变种病毒并且无法构建该中心的网络安全整体视图而被淘汰。

“最后,我们根据综合测试结果选择了趋势科技的威胁发现设备TDA 6000,它集成了云安全技术、旁路设计并可检测应用层潜在威胁,帮助我们将威胁消灭在萌芽,为呼叫中心的业务发展提供了充分的安全保障。”王先生介绍。

在试用过程中,王先生和趋势科技的工程师一起对TDA 6000的HTTP访问恶意代码检测、P2P会话流量管理、蠕虫漏洞扫描等非法流量检测功能都做了模拟攻击测试,而对于这些威胁的来源定位,TDA 基本上可以做到“秒”级的预警。

此外,由于它集成了趋势科技云安全中的“多协议关联分析技术”,可全面支持检测2~7层网络的恶意威胁。TDA 可通过“数据包”和“会话”视图对网络内的主机通信数据进行自动关联分析,即从云端数据库进行比较,自动将占用网络带宽的应用和造成网络通信拥塞故障的信息建立威胁关联。

“TDA 的严格控制功能也弥补了江苏移动呼叫中心之前部署防毒软件的不足。比如 Web病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS劫持等尚未形成交叉感染的潜在威胁,在我们应用TDA之后,就可以从海量的数据流中迅速找到被防火墙放过来的漏网之鱼。”王先生补充说。

提升安全评估和运维效率

事实上,江苏移动呼叫中心对TDA的应用,不仅实现了全面的威胁侦测,还同时简化了运维管理,减少了运维人员的工作量,从而降低了运营成本。

据了解,江苏移动呼叫中心的网络经过了几次重大的融合和升级,拥有较为复杂的网络结构和庞大的终端数量。王先生介绍,最终部署在该中心核心交换机上并执行网络全面覆盖的TDA,为该中心的网络安全评估和主动安全运维效率两个方面带来了极大的提升。

一方面,TDA实现了动态的网络安全评估,将策略转化为行动。在部署TDA 之前,江苏移动呼叫中心已经对外网出口和各级网关设备进行了严格的安全评估工作,在使用TDA 之后,内网的安全评估(主要是威胁评估)完全交付给TDA 去自动执行。

首先,TDA 无须安装程序便可自动对服务器和终端进行动态的监测,这大幅节省了运维人员为每台终端安装端的工作。其次,TDA可通过报表的形式显示客户端的即时通信(IM)、P2P 文件共享(BT)、流媒体以及未授权服务如SMTP中继和DNS欺骗现象,这是其他IPS(入侵防御)和IDS产品无法相比的。

“对于我们这种电信行业的大型网络而言,TDA自动形成映射全中心安全形势的总体视图的强大能力,让我们非常受用。在日常工作中,TDA已经成为我们网络的‘策略执行中心’,它不但能够及时发现网络环境中的安全威胁,还能够将这些威胁转化为详细的处理措施并进行落实。”王先生说。

另一方面,TDA让安全运维变被动为主动,运维水平大幅提升。据了解,江苏移动呼叫中心一共有十几位负责IT 运维的工程师,但要应对数千台客户终端、200多台服务器的运维需求。

在部署 TDA之前,IT 运维部门只能在用户电话或者邮件通知后才能发现系统已经遭到病毒入侵的踪迹,这样的IT运维总是处于亡羊补牢的状态。Web 病毒、木马、邮件病毒、个人主机漏洞、移动设备交叉感染等时常搞得IT 部门无从应对。

篇5

为了保障安全,大数据平台依照“安全三同步”原则进行建设,即同步规划、同步组织实施、同步运作投产。

奇虎360的大数据平台安全保障体系框架如图B-7所示。大数据平台安全保障体系框架包括“安全职责划分”,“安全区域划分”,“安全级别划分”,“安全监测模块”,“安全防御模块”,“业务安全与安全运维模块”,“安全响应中心模块”等部分。

安全职责划分

安全职责划分是整体方案的基础,所有技术手段都应贴近安全职责划分,为其服务。梳理大数据平台各方安全责任边界,对整个活动中的安全事件进行详细的责任划分。

安全区域划分

大数据平台环境相对复杂,涉及多类业务,多类系统,现有网络结构已经考虑了分级问题,在此基础上,需进一步细化安全域的划分以及不同安全域、不同安全级别的访问控制设计。

安全级别划分

按照安全区域划分结果,为每个区域制定响应的安全等级,区域安全等级与用户安全等级、数据安全等级相互对应。通过安全级别的划分确保可信合规使用资源。

安全监测模块

其中主要包括大数据平台安全防御审查系统并提供基于人工或自动化的多层次的安全监测服务。

安全防御模块

按照统一规划、统一标准的设计思路,在充分考虑当前网络应用和实际环境的基础上,对整体的网络划分为若干个安全域和安全区,建设大数据平台面向各个区域的基础安全防御系统和大数据平台自身的防御系统。

业务安全与安全运维模块

实现安全运维操作的分级管理,针对大数据业务安全和安全运维工作的用户赋予符合其安全职责划分的权限,实现业务安全和安全运维。

篇6

【关键词】网络安全;IPS;构建;应用

【中图分类号】TP393.08

【文献标识码】A

【文章编号】1672—5158(2012)10-0102-01

1、建设背景

随着信息化建设的发展,网络越来越庞大,承载的应用系统也越来越复杂,随之而来的网络安全风险也日益突出。尤其混合威胁的风险,如蠕虫、病毒、木马、僵尸程序、DDoS攻击阻塞甚至中断网络,各类P2P应用轻易的占据100%的网络上行下行带宽,同时,随之而来的修复工作使IT管理人员被迫充当“消防队员”的角色,消耗了大量宝贵的人力资源;如何构建主动的网络安全防护系统,对网络进行流量控制及净化,实时了解网络运维情况,及时发现消除网络安全隐患,督促提高用户安全意识等问题,成为网络安全面临的最大挑战。

通常在谈到网络安全时,首先会想到“防火墙”,一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足安全需要,部署了防火墙的安全保障体系仍需要进一步完善。

2、部署情况

系统部署情况:在单位内网一外网出口及地州广域网出口处在线部署网络入侵保护系统。网络入侵保护系统具有防火墙功能提供边界控制、安全域划分,防护来自其他安全域的攻击;网络入侵保护系统可以实时拦截进出网络的数据流量中各种类型的恶意攻击流量,把攻击防御在受保护网络之外,实现内网访问控制细粒度管理,净化网络流量,保护内网的信息资产及网络性能。同时,考虑网络冗余,提高可用性,系统具有BYPASS功能,支持失效开放(Fail-open)机制,当出现软件故障、硬件故障、电源故障时,系统自动切换到直通状态以保障网络可用性,避免单点故障。

该系统具有4个100/1000M自适应以太网口,可用于2路IPS保护或1路IPS保护+2路IDS监听,这样外网广域网的出口都将得到有效的保护及监控,并且另外2个空闲网口目前可用于管理通讯。将来可通过升级证书而不用更新硬件,IPS升级为6口3路IPS保护以满足将来网络扩展。在线部署的IPS在链路上实时捕捉数据包,根据网络的自身特点设置合理有效的访问控制、流量管理、行为管理策略和入侵保护模式,进行入侵行为检测、分析和实时响应,自动阻断攻击,净化网络流量,消除安全隐患,使用一种产品就达到多重保护目的,大大地节约了投资,并切实有效地保护网络的安全。

同时,在安全管控中心服务器上安装网络入侵保护系统控制台程序,实现对IPS等安全系统的集中管理,该系统同时支持C/S和B/S模式,可以灵活方便的管理部署在内网中的网络入侵保护系统。系统支持“集中+分布式”部署管理IPS,保证了今后可在全省范围实现既可统一、又可分级管理的主动入侵防护系统,使系统具有可扩展性、可充分利用现有资源、可随需而变的灵活管理方式。

3、应用情况

通过部署网络入侵保护系统,本单位网络安全状况得到了显著的提高、网络性能得到明显改善、发现及加固了网络安全的薄弱环节、规范了用户上网行为、加强了用户安全意识,主动入侵防护系统达到了预期的应用效果。

3.1 在构建主动的网络安全防护系统方面

在部署初期,当时IPS系统平均每天可发现及阻断各种攻击事件655次/天。部署半年以后,通过IPS发现及整改了各种网络安全问题规范了网络行为,平均每天可发现及阻断各种攻击事件减少到60次/天。主动安全防护系统的成功构建使本单位网络攻击事件减少了10倍。

3.2 在对网络进行流量控制及净化方面

通过在IPS上设置阻断“蠕虫事件”“拒绝服务类攻击事件”策略,结合对每个IP限制“P2P类应用”分配100kbps带宽的限流策略,原来严重影响单位网络性能的攻击流量、P2P应用流量得到了有效的阻断及控制,净化了网络流量,保障了网络性能。

3.3 在辅助网络运维管理方面

通过IPS系统可实时了解当前网络的流量情况、协议构成、应用状况等,为网络运维提供参考及决策依据。

3.4 在及时发现消除网络安全隐患方面

IPS上线部署后立即发现了感染“震荡波”蠕虫病毒的客户端,为管理员定位了蠕虫病毒源;随后IPS又发现了感染“熊猫烧香”病毒的客户端;管理员依靠IPS阻断了蠕虫病毒的攻击及传播,保护了网络,依据IPS日志报警信息定位了染毒客户端,并进一步清除病毒修补客户端漏洞,消除了网络安全隐患。

根据IPS日志报警信息,发现了1台网络设备采用明文telnet方式管理并使用了弱口令,管理员及时整改,将设备登录管理方式配置为加密的SSH,配置了访问控制策略账号安全策略,并设置了强壮的口令,大幅提升了网络设备管理的安全性。

根据IPS日志报警信息还发现了,某网管平台管理部分网络设备时使用了SNMP默认的public口令,即相应的被管理网络设备存在“SNMP默认共同体串信息泄露漏洞”,管理员依据此信息定位了存在“SNMP默认共同体串信息泄露漏洞”的网络设备,并根据IPS知识库建议进行了整改,为所有采用SNMP管理的网络设备配置了强壮的口令,并严格限制了SNMP写权限,消除了网络安全隐患,提升了网络安全管理水平。

3.5 在督促提高用户安全意识方面

IPS系统还帮助管理员发现了用户的各种弱口令、空口令,管理员据此向相关用户提出了账号、口令安全建议,并对用户进行了安全培训,有效地督促用户提高安全意识,系统上线半年后本单位用户安全意识得到了明显提高,本网用户使用弱口令、空口令现象基本消除。

篇7

论文关键词:政府类网站,信息安全,信息公开

政务类网站是政府及其组成部门凭借其自身特有的信息资源优势,通过网站的形式整合其所有资源,以用户为中心,服务为导向,并以信息公开为基础、在线办事和互动交流为主要业务特征,为民众提供及时、便捷、高效、易用的信息服务的平台。

当前,在我国深化改革、扩大开放、不断完善社会主义市场经济体制以及高科技迅猛发展的新形势下,信息安全工作面临着极大挑战。目前政府类网站可能所受到的攻击包括黑客入侵,内部信息泄漏,不良信息的进入内网等方式。因此采取的网络安全措施应一方面要保证政府业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全。信息安全的需求归结起来为以下几点:

1.信息的不被篡改:网站是信息的载体。政府类网站是展示政府部门形象,公布政府新出台的政策措施,实现政府与社会之间资讯互通的平台。可靠的网络安全体系能保证网站的信息安全,防止其被非法篡改,造成恶劣的社会影响和国际影响。

2.业务系统的可用性:运行政府网站的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;

3.数据机密性:对于政府内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。

5.网络操作的可管理性:对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。

针对政务累网站的安全需求,我们设计了三个安全框架:

1、基本型安全框架

运维代价分析:基本型的安全框架减少了大量的设备投入,无形中增加了很多人工成本。其安全防护能力只能满足基本需要。数据备份恢复只能采用了人工的方式,从而使得应急响应时间过长。整个体系的容灾能力较差。

基本型安全框架设计:具备了基本的安全防护体系,安全防护完全依赖部署在网络边界的防火墙,没有网络防御纵深,只能防御一般的攻击,缺乏全方位的防御手段,也没有部署远程备份系统,系统容灾能力很差。该框架设计较适合缺乏建设资金投入的小型网站。

2、完整型安全框架

运维代价分析:完整型的安全框架是一个趋于完善的安全体系,数据备份实现了自动化,减少了部分人工值守工作环节,具有较好的容灾能力。完整型的安全框架需要一定的前期资金及设备投入,增加了部分系统维护成本,能满足中型网站的安全需求

完整型安全框架设计:具备了较完整的安全防护体系,防御攻击能力相比基本型增强了很多,部署了入侵预警、检测和防范系统,部署了全网的病毒防范、远程数据备份和网站防篡改系统,具备一定层次的网络防御纵深,部分服务器采用了冗余配置,具有较强的容灾能力。该框架设计较适合中型网站,从运维代价分析也是较合理的。

3、完善型安全框架

运维代价分析:完善型的安全框架是一个相对完善的安全体系,数据备份实现了自动化,减少了大部分人工值守工作环节,具有完备的容灾能力。完善型的安全框架在系统建设前期就要投入大量的资金及设备,后期的系统维护也需要一定的维护成本投入,能满足大型网站的安全需求。

完善安全框架设计:具备了完整的安全防护功能的,能全方位、多层次的实现系统安全保障和完整的数据及设备容灾。该安全框架建立了全网络的入侵预警、检测和防范体系,建立了全方位病毒防范和网站防篡改体系,对重要应用系统的数据、关键的网络设备和网站系统的进行了冗余备份。完善型框架设计同框架设计比较,除了对核心网络设备进行冗余部署外,最大的区别是部署了异地容灾系统。

参考文献

篇8

新时期,由于计算机网络技术的迅猛发展,促使计算机已逐渐成为了互联网系统中数据传输和信息交换的有效载体。伴随着计算机的广泛应用,在其运行过程中暴露出来的问题也日益突出,如人们所广泛关注的计算机网络安全问题;基于此,本文首先对现阶段计算机网络所面临的安全隐患问题进行了总结,进而对计算机网络运行及维护策略进行了详细的概述,希望对后期相关工作提供一定的借鉴意义。

【关键词】

计算机,网络安全;运行;维护策略

随着计算机网络及其各个子系统的不断上线,给互联网运行及维护工作所带来的压力明显加大,同时维护内容的强度也相比之前也明显的增强。切实做好计算机网络运行及维护工作,确保实现互联网规范化和有序化及实现网络的安全、稳定、高效运行,不断加快网络优势向经济效益的快速转换,促使网络效能得到最大化的发挥等问题已成为目前我们迫切需要解决的新课题。

1新时期计算机网络运行所存在的安全隐患

“网络安全”已成为目前人们广泛关注的话题。所谓网络安全,就是指计算机系统中的硬件设备、软件系统以及数据等为避免遭受偶然因素或者恶意因素(如网络病毒)的破坏而造成数据的泄露、系统的瘫痪而采取的保护性措施,保证计算机网络系统的安全、稳定运行。新时期,计算机得到了更为广泛的应用,与此同时计算机网络在运行维护过程中所暴露出来的问题也日益突出。计算机运行及维护工作所面临的安全隐患来自多个方面,比如自然灾害、硬件故障、意外事故、人为操作失误、网络黑客攻击等。

1.1物理安全威胁物理安全是计算机网络信息安全最基本保证,具体指在物理层面上对网络数据传输和存储等工作中实施的安全保护。物理安全威胁会直接的影响到计算机设备的正常使用,主要分为了以下几类:(1)自然灾害、设备故障及物理损坏等;(2)在操作过程中由于人为失误造成系统瘫痪(如误将硬盘格式化);(3)痕迹泄露和电磁辐射。

1.2计算机用户的使用缺陷由于计算机网络用户在使用网络过程中,缺乏一定的安全常识,使得恶意攻击者有机可趁,严重威胁网络运行的安全。使用的计算机用户主要涉及使用错误,系统的备份不完整,密码容易破解三个方面内容。

1.3恶意程序恶意程序是人们为了达到某种目的而刻意创造出来的。其包括了恶意代码、特洛伊木马及计算机病毒等。

1.4计算机技术隐患计算机网络技术隐患是对网络运行及维护工作影响最大的因素,由于技术的缺陷将很有可能导致整个网络的崩溃。计算机技术隐患一般包括了:(1)计算机操作系统的安全缺陷;(2)应用软件的实现缺陷;(3)网络协议的安全缺陷。

2新形势下计算机网络运行及维护策略分析

2.1建立健全网络制度建立健全计算机网络系统制度体系并有效地实施,是推动计算机网络系统安全、稳定运行的基本条件。在计算机网络运行及维护工作中,通过各项规章制度的建立和完善,从而构建一套有章可依、有章必依、执章必严、违章必究的网络运行体系;另外对相关的网络维护人员,要明确其责任制,同时还需要对各项制度进行定期的修改和完善,促使其能够满足不同时期的需求。制度是保障,执行是根本,在实际工作中需要认真的、严格的按照制度规定去执行,对计算机系统,包括主机、网络、电源等进行全面细微的检查,同时做好详细的检查记录,真正做到问题的及时发现及时处理。

2.2以人为本,全面提高运维人员的综合素质

2.2.1计算机网络系统的生命所在就是运维人员的使命感和责任心作为一个面向社会大众的复杂庞大的人机系统---计算机网络,如果由于操作人员一个小心就很有可能导致重要数据的丢失,同样一个很简单的指令就可能导致整个系统的崩溃。因此,切实提高运维人员的责任心和使命感已成为一个紧迫的任务。

2.2.2不断提高技术人员的维护水平新时期,科学技术的不断发展,促使技术更新速度不断加快,同时又由于操作规则的不断调整、业务需求及业务发展的不断变化,就需要经常性的对已投入使用的计算机系统进行必要的修改和调整,以促使系统的不断完善,所以,对系统运维人员也提出了新的更高要求,需要相关人员不断的去努力提高自身工作能力及专业技能,以适应不同时期的岗位需求。技术是基本,人才时保证,尽管设备和技术处于领先水平,但最终还是由人来操作和管理,只有拥有一支能力过硬的技术队伍,才能有效地保证系统稳定、安全的运行。

2.2.3实现人员的合理分工及综合利用由于各种网络应用系统的陆续上线,在保证人员不变动的情况下实现人员的合理分工及综合利用就显得尤为重要。对于某一具体的工作,如果只是有极少数的人员懂得维护,那么就会存在着人员单点的隐患,这样一种情况下,如果人员调岗或者突然离职,那么在短时间内就难以找到一接手系统维护的员工,直接造成了人员断层。因此,对于计算机网络系统维护工作中的一些比较重要的岗位,必须要安排至少两名技术人员;另外对所有运维人员进行充分合理的调配,促使每个人的潜力都能得到最大限度的发挥,同时对内部岗位实行人员交叉制,达到一人多能的目的,有效解决人员单点隐患问题。只有实现了人才的综合利用,方能确保劳动效率的不断提高。2.3做好安全防范与管理工作做好系统安全管理工作是整个运维过程中的重要环节。对于计算网络系统的重要密码务必要做到由专人管理,对管理人员还需要进行定期的更换,从技术角度做好安全防范工作;然后,对计算机设备及系统定期进行防火、防水、防蛀、防盗等多项目的安全检查;作为计算机数据信息的神经中枢系统---计算机网络机房,更应该积极的将系统安全防范管理工作落实到实处。

2.4加强团队间的团结协作,充分提高运维工作的整体水平在计算机网络系统运维部门,无论是技术骨干还是刚刚入职的毕业学生,都要一视同仁,实现团队间的团结协作,相互帮助、相互促进、共同提高。新员工要积极主动地向经验丰富的来员工学习请教,老员工也要认真的去带好新人。在运维部门,各个岗位虽然相对分离却又彼此联系,不管是主机维护人员还是网络维护人员,也不管是同一岗位的技术人员还是不同岗位的技术人员,都需要不断地加强彼此之间的交流和沟通,保持大局观念,塑造团结合作的团队精神,确保计算机网络系统运行及维护工作的圆满完成。

2.5做好资料文档的归档和整理工作对于计算机网络运行及维护工作来讲,资料文档的整理及归档工作尤为重要。由于计算机网络工程具有边建设边运行的特点,使得其建设周期也是比较长的,因此其资料文档的归档整理工作也并非就是一次性能够完成的,只要网络工程未竣工,那么资料文档的整理工作就会一直延续。所以,积极做好资料文档的整理和归档工作在工程一开始,就需要做到边整理、边归档;另外,资料文档的整理归档工作应该由专人进行全权管理。

3结语

新时期,随着科学技术的不断发展,计算机网络技术已经逐渐的渗入到人们生活的各个领域。由于网络安全关系到了人们的切身利益,做好计算机网络运行及维护工作已成为迫切需要解决的热点话题。网络在不断地发展,问题也在不断的更新,人们的意识也要随之同步更新。做好计算机网络系统的运行及维护工作,对于促进计算机网络系统的稳定、可靠、安全运行以及对计算机网络系统功能向经济效益的不断转化具有重要的意义。

参考文献

[1]罗林.关于计算机网络硬件的故障维护策略分析[J].电脑知识与技术,2014,14:3250-3251.

[2]李华清.计算机通信网络安全维护策略分析[J].电子技术与软件工程,2014,04:230.

[3]王蒙.现代通信网络的运行管理与维护策略分析[J].中国新通信,2014,16:74.

[4]张轲.新形势下计算机网络通信存在的问题及其改进策略分析[J].电脑知识与技术,2015,09:82-83.

[5]缪玲.开放式计算机网络机房维护策略的分析[J].信息与电脑(理论版),2015,13:136-138.

[6]王巍.关于医院计算机网络安全管理工作的维护策略分析[J].计算机光盘软件与应用,2013,20:126+128.

篇9

【关键词】校园网故障率降低

目前大多高校采用的是故障“来电响应式”的IT护维模式,该模式因维护成本高、响应模式被动,局限性已显露无余。高校的维护模式主要有学校自行维护、第三方专项分散式维护和第三方整体运维。

一、校园网运维特点

1.响应要求高

校园网用户群体普遍比较年轻和活跃,对网络的依赖性很强并且网络体验较深,因此对网络质量和服务品质有较高的要求。

2.链路层故障比较集中

因设备间基础环境较差、线路老化和标识不清等原因,50%以上的网络报障集中在链路层面。

3.网络安全和行为管理是重点

校园网用户群体文化教育程度很高,很多人喜欢尝试各类技术探索,如此一来,规避潜在的计算机网络业务风险,保障校园网信息平台系统高效的、安全的运行是一项重要的工作。

4.缺少统一的运维系统

受限于经费和意识等因素,学校没有部署统一的运维系统,部分学校也仅部署网络监控系统,即便如此,监控的层面和颗粒度都远远不能适应服务要求。

二、运维需求

按照运维的技术广度和深度,校园网运维问题主要体现在四个核心需求层面上,即核心层网络层面、接入层网络层面、应用数据层面和用户服务层面。核心层网络层面包括核心网(城域网)网络维护服务、机房环境(含动力系统)维护服务、服务器设备维护服务、网络安全服务等;接入层网络层面包括链路维护服务、接入层网络维护服务。应用数据层面包括数据库系统、应用系统和门户等;用户服务层面在教学、科研和生活方面提供优质快捷的网络质量和网络服务。

除了核心需求之外,校园网运维管理中还涉及许多日常的业务运维需求,譬如决策分析需求:校园网运维的量化管理需为高校决策层提供IT投资及管理方面的数据支持,同时也将是校园网运维管理人员的绩效考核的重要依据。因此在决策分析层面,决策层对校园网运维系统的管理需求同样是非常明确,应该可以直观查看性能报表、实现对网络运行质量的考核、作为绩效考核的依据。

三、现有运维模式探讨

1、高校自行维护的模式

采用这种模式的高校主要有暨南大学、广东外语外贸大学等,上述学校采用设备自行维修,维护工作量最大的链路维护交由学生团队,团队由网络中心的教师管理。这种维护模式的最大益处是可以节约经费,但存在服务不到位、服务质量不高,网络中心为从事低技术含量、重复性的工作所困扰等问题。

2、第三方专项维护的模式

采用这种模式的高校主要有广东工业大学、广东中医药大学和广东药学院等,上述学校把服务器设备的维修维护、网络链路的新增维护、动力系统分包给第三方;这种维护模式的益处是让学校的教师有更多的精力从事业务系统和关键系统的维护,花较少的经费把工作量大而繁琐、技术含量较低的链路或者专业的工作交由第三方负责。但也存在流程脱节、服务不到位等问题。

篇10

列车调度指挥系统用于保障铁路行车的安全,而安全问题又是铁路行业的头等大事,由于铁路与网络的联系愈加紧密,保障列车调度指挥系统安全就尤为重要。其系统网络安全主要是中心服务器安全和网络安全。另外列车调度指挥系统使用以太网来传输各种调度信息,网络内部广泛采用的协议是TCP/IP协议,TCP/IP协议为实现网络信息的共享和传递起了举足轻重的作用,虽然一定程度上可以维护网络安全,但还存在一些安全漏洞:

a.身份认证方式的安全性较弱,口令容易被非法窃取。

b.机密信息和数据在传输过程中有可能被恶意篡改或被非法窃取。

c.信息可抵赖。

例如行车路线、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录作为仲裁的依据。就以上存在的安全问题可总结出系统网络受到的危险和风险为:网络病毒的传播;地址欺骗;序列号攻击;利用端口扫描、拒绝服务攻击等恶意攻击。虽然现在网络中存在安全机制,但没有一种安全策略是十全十美的,必须制定灾难恢复计划以确保一旦硬件和软件发生故障、系统受到恶意攻击时,能够及时采取应对措施,及时将列车调度指挥系统恢复正常运行,减小损失[3]。

2列车调度指挥系统网络的维护方案与管理

实施时应将管理与技术两手抓,具体方案和措施如下:首先,管理层面应考虑管理制度的建立、管理的组织及运行中的维护。系统安全不可能只从单个层面或单个环节就可解决,必须全方位多层面配合进行,建立统一的安全策略,完善管理制度,坚持运维。统一的安全策略可以规范整个系统的管理流程和管理方法,便于管理的组织和实施,而只有坚持运维才能够保证系统长期、稳定、有效的运行。其次,在技术层面应注意物理安全、网络安全、系统安全及应用安全等方面,在使用中,技术层面的安全问题分界模糊,可以交叉实现,具体可由以下几方面入手:

a.防火墙。

防火墙技术是实现子网边界安全的重要技术。可以将整合了多功能的防火墙作为核心设备在网络中取代路由的位置,这样可以有效防护来自网络层和应用层的威胁,并且还能降低网络的复杂性。

b.网络防病毒系统。

列车调度指挥系统由网络服务器、通信传输设备及车站终端机等设备组成。使用统一安全策略的集中安全管理中心对病毒进行统一管理,对客户端和服务器进行防病毒保护,并且使用云安全技术,利用大量的客户端对网络中软件行为的异常监测,及时的获取木马、恶意程序的最新信息,并将获得的信息推送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,以实现系统的网络安全维护。

c.网络拓扑结构。

利用网络分段技术划分vlan,改变网络拓扑结构,以实现系统网络中生产网、办公网和广域网的隔离,确保网络资源与非法用户的隔离,是一项基本的网络防护措施和保护手段。

d.身份认证系统。

目前采用的以静态密码为主的身份认证系统存在安全隐患,用户名及密码容易被窃取,安全风险很大。使用动态口令可解决此类安全隐患

e.入侵检测技术。

入侵检测的主要功能是控制对网络的非法访问,通过监视、限制通过网络的数据流,防止外对内、内对外的非法访问,隔离内部网和外部网,为监视局域网安全提供便利。入侵检测系统(IDS)是从计算机系统及网络系统当中收集数据信息,再通过这些收集的信息,分析有入侵特征的网络安全系统[4]。IDS不仅能检测出系统中违反系统安全规则或者威胁到系统安全的行为,还可以有效地弥补防火墙的被动防御弱点。当系统受到攻击时采取相应的措施进行有效的网络安全防护,在被入侵攻击后,收集入侵攻击相关的各种信息,作为防范系统的知识,添入策略集,增强系统的防范能力,避免系统再次受到同类型的入侵[5]。

3结语