安全运维范文
时间:2023-03-23 23:02:55
导语:如何才能写好一篇安全运维,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:校园网络;安全运维;网络安全
随着高校信息化建设的全面深入和快速推进,基础网络设施和信息应用系统日趋完备,形成了规模大、结构复杂、系统多、应用全面的网络与信息系统架构。信息化建设项目多、任务重,在高效率、高质量完成建设任务的同时,需要保证网络运维和信息安全运维的效果和效率,为师生提供良好的用户体验,这就对网络运维提出了更高的要求和标准。网络业务日益繁多、复杂多变,各种网络问题层出不穷,如黑客攻击、计算机病毒泛滥,高校园网络运维体系面临新的问题,能否适应新变化就显得非常重要。建立校园网运维体系、解决校园网面临的问题对保证高校正常的教学、科研、管理等工作有着重要意义。
1校园网络安全运维体系架构
随着信息化在高校的发展,硬件平台、应用软件、操作系统越来越复杂,难以集中管理,加之师生对网络的高度依赖性,使得保障网络的可靠性和安全性成为重中之重。具备故障管理、配置管理、变更管理、性能管理、安全管理等功能的网络管理技术为当前网络安全技术中的关键技术。高校校园网络中网络安全设备、业务系统数量众多、结构复杂,且管理控制平台多样,网络管理员需要掌握不同平台的管理及使用方法,去管理网络中的各种设备和系统,复杂度高;网络管理员对应用系统的使用权限不同,难以在不同的业务应用系统中保持控制策略和用户权限的全局一致性,管理网络安全事件日趋复杂化。只有对所有安全设备、业务系统发生的安全事件及其运行状态信息进行关联分析,才能有效发现新的、更深层次的安全隐患。安全管理技术主要包括安全事件采集、安全事件管理、安全设备监控三大模块。安全事件釆集,用于采集网络中所有安全设备及业务应用系统等的安全日志及运行状态,这些信息将为后续的关联分析提供数据源,是安全管理的基础。安全事件管理将采集得到的数据源进行关联分析、风险评估等处理,通过分析可能的安全威胁,提交安全对象的安全报告。安全设备监控,是通过监控各关键网络设备的运行状态信息,及时发现安全问题并第一时间进行处理。
2校园网络安全运维平台的组成
校园网络安全运维平台由监控中心、安全分析中心、运维中心组成,为保证高校校园网络的安全提供了科学合理的方法,有效保障了校园网络的安全和稳定。监控中心,通过事件采集器收集监控对象日志信息及安全事件,经过标准化、信息过滤和关联分析后,标记安全事件级别同时存入数据库。安全分析中心,通过资产识别、威胁识别、脆弱性识别、评价风险、风险计算等过程,评估校园网络综合资产的重要性、脆弱性以及面临的威胁,为管理员进行决策提供依据;采用事件关联分析算法,寻找海量事件相互关联事件,提取出真正有价值的少量安全事件威胁,包括业务连续性威胁、数据安全威胁、攻击威胁。运维中心,通过安全预警管理接收业务系统防护平台产生的自动安全预警信息或人工预警信息,再进行分级处理,并按规定的通知模板将预警信息传达给相关人员,并运用系统安全策略进行准确的预警,其中系统安全策略由告警的触发条件、分析规则、风险策略、设施管策略、存储策略等组成。
3安全运维的内容
3.1安全巡检
定期对校园网络安全设备的日志进行深入分析和审计,包括对防火墙、IDS、防病毒系统、动态口令认证、日志分析系统等的运行状态、运行事件、日志和关键配置文件进行收集、分析,并形成相应的安全建议。安全巡检内容如下:(1)制订安全设备巡检计划和巡检规范;(2)定期对网络安全设备进行巡检;(3)分析和解决在巡检中发现的问题;(4)提交巡检报告。
3.2漏洞扫描
通过漏洞扫描可以全面、准确发现校园网络中各系统存在的安全隐患及可能被攻击的方式,掌握信息系统的安全现状,为进一步保证建设校园网络的安全提供了数据参考和实际的依据,具有指导校园网络安全建设的作用。对信息系统进行标准的安全探测是漏洞扫描采用的主要技术手段,通过安全探测可以发现网络和系统潜在的安全隐患和薄弱环节。通过漏洞扫描设备、安全评估工具以扫描的方式对整个校园网中的信息系统、网络设备和安全设备进行安全扫描,从校园内网和校园外网络两个不同的网络环境来探测校园网络结构、网络设备部署、服务器主机配置、数据库管理员账号/口令等校园网络对象目标存在的漏洞、安全风险和潜在的威胁。漏洞扫描有利于发现系统层、网络层、应用层的安全问题。(1)系统层安全。各网络设备、安全设备、服务器的操作系统,主要存在操作系统自身的漏洞、风险和威胁,主要包括用户名、密码管理、访问权限分配和控制、系统漏洞等,以及操作系统的安全配置不够完善,存在被攻击的可能。(2)网络层安全。网络信息是网络层的主要安全问题,包括身份认证,控制不同身份对网络资源的访问、传输过程中的信息数据保密性与完整性、校外网络远程接入、入侵检测的发现及处理手段等。(3)应用层安全。应用软件和数据的安全性是应用层安全考虑的主要方面,主要有:学工系统、门户网站、教务系统、数据库系统、Web应用服务、电子邮件系统、防火墙及WAF系统及其他网络应用服务系统等。扫描流程如图1所示:
3.3安全加固
针对巡检、漏洞扫描、安全评估过程中发现的各种安全隐患、系统漏洞,通过补丁升级、漏洞修复、进行更加严格的安全配置、校园网络系统架构优化与调整、安全策略升级与完善等方式及时对系统进行安全加固,范围可覆盖资产梳理、终端检查、物理检查、管理体系优化、人工检查、漏洞扫描结果加固、渗透测试结果加固(涉及数据库加固),提高校园网络的安全性、抗攻击和防病毒入侵能力,降低网络安全事件发生的可能性。采用基本安全配置定期检测和优化,提高各系统、设备的密码复杂度及修改密码,系统漏洞检测、修复处理,访问控制策略完善配置,安全的远程接入方式,开启文件系统的审计策略,开启系统日志记录并定期进行分析,定期升级操作系统及更新安装补丁等手段对校园网络进行安全加固。加固完成后,定期对校园网络的安全性进行评估,确保校园网络中各业务系统、网络设备、安全设备具有较高的安全性和抗攻击能力。加固流程如图2所示:
4结语
科学合理成体系的校园网络安全运维能有效缓解校园网络面临的风险问题,将网络安全事件从传统的事后处理逐渐转变为事前防范,能极大提高网络运维和安全管理水平,增强校园网络的安全性,提供更好的用户体验,从而实现安全、稳定、抗风险能力强的校园网络环境。
参考文献
[1]庄天天.安全运维平台关键技术的研究与实现[D].北京:北京邮电大学,2013.
[2]吴京伟.大学校园网络运维体系研究[D].合肥:合肥工业大学,2009.
[3]张先哲.信息系统安全运维管理平台建设研究[J].软件工程师,2015(5):38-39.
篇2
各管理人员岗位安全职责
红河南源供水有限公司
一、组织机构设置
运维部经理
综合管理员
技术负责人
安全负责人
运维部副经理
维护班
运行班
二、岗位明细表
序号
姓名
岗位
备注
1
陈家祥
运维部经理
2
郭富兴
技术负责人
3
尹正彪
运维部副经理
4
黄文祥
安全负责人
5
蒋买艳
综合管理员
6
武文刚
维护班班长
7
田茂才
维护班班长
8
杨天贵
维护人员
9
王正祥
维护人员
10
梁小雨
运行值长
11
赵正雄
运行值长
12
吴碧如
运行值长
13
太树明
运行值长
14
周成宇
值班员
15
周贤
值班员
16
陈开瑞
值班员
17
孟晨
值班员
18
白雅婷
值班员
19
杨映文
值班员
20
袁嘉诚
值班员
21
彭美丽
值班员
序号
姓名
岗位
备注
1
周丽兵
运行值长
2
孟筱涵
运行值长
3
罗正红
运行值长
4
官勇
运行值长
5
许忠
值班员
6
吴祥云
值班员
7
赵俊飞
值班员
8
杨吕
值班员
9
王顺革
值班员
10
顾少忠
值班员
11
李维春
值班员
12
普庆保
值班员
二、各管理人员岗位安全职责
运维部经理安全职责
(1)运维部经理是本项目安全生产第一责任人,对所承担的运营项目施工安全负全责,负责整个项目的安全生产工作。坚持生产管理过程中计划、布置、检查、总结、评比安全生产工作,认真贯彻国家安全生产方针、政策和法律法规。
(2)结合项目特点,对安全生产责任目标进行分解,建立项目安全生产管理体系,明确项目管理人员安全职责。
(3)负责配备符合国家和部门规定数量的现场专职安全管理人员;负责落实项目的安全责任制和建立健全项目安全管理规章制度和操作规程。
(4)组织编制安全生产资金使用计划并组织实施;严格落实安全生产资金保障制度,不得挪作他用。
(5)落实特种作业人员管理制度,落实特种作业人员操作规程,外来施工队进入项目点施工时应该严格执行作业票制度。
(6)督促作业人员遵守安全生产的强制性标准、规章制度和操作规程,正确佩戴和使用防护用品,正确使用机械设备,并保证长期在施工现场监督管理。
(7)运营项目实行总承包的,运维部经理定期组织考核分包单位安全生产管理情况。
(8)与运维部管理人员签订安全生产责任书,明确安全生产目标,并定期组织考核。
(9)组织编制落实《施工组织设计》、《专项方案》、《安全生产标准化策划书》、《安全技术措施》及各类交底。
(10)组织有关人员开展重大危险源的辨识及制定管控措施。
(11)组织开展运维部“四个一”活动,定期或不定期组织有关人,员对施工现场进行安全隐患排查,及时消除施工作业环境中的安全隐患;落实政府监督管理部门、上级机关和公司安全管理部门提出的安全隐患整改要求,在隐患整改报告上签字。
(12)在施工现场时间不得少于当月日历天数的80%;在起重机械安装、拆卸,模板支架搭设等危险性较大分部分项工程施工期间现场值守。
(13)组织对新入场、转岗员工的从业人员进行三级安全教育培训和考核。组织对施工管理人员、专职安全员进行职能、技能、岗位教育培训考核并如实记录安全生产教育和培训情况。组织审核建筑施工特种作业人员操作资格证书,未经安全教育和无证人员不得上岗。
(14)组织对使用的建筑起重机械办理产权备案、安装(拆卸)告知、安装验收、使用登记;组织对进人现场前的安全防护用品、机械设备、施工机具及配件查验,并报相关单位监测检验,合格后才可投入使用,并设置专人管理,组织定期检查、维修、保养并建立资料档案.
(15)组织并落实对施工现场实行时闭围挡,将施工现场的办公、生活区分开设置,并保持安全距离且办公、生活区的选址符合安全要求,按规定设置置明显的安全警示标志及消防器材。
(16)组织落实对施玉现场“三宝、四口、临边’”等部位采取有效的安全防护措施,并根据不同施工阶段和周围环境及季节、气候变化,采取相应的安全技术措施。
(17)落实配备应急救援物资,组织运维部及施工作业人员开展应急救援演练并记录评价,发生事故时,应当按规定及时、如实报告并开展现场救援。
(18)组织工作面移交(基础、安装、消防、水电、装饰装修)时,应采用书面形式。
(19)组织实施安全生产月活动等安全生产相关活动。
(20)严禁使用国家明令淘汰、禁止使用的危及施工安全的工艺、设备、材料。
(21)认真执行安全事故上报和应急管理制度,发生事故后,按照有关法律、法规的规定,及时如实地报告安全生产事故,及时组织救援工作,防止事故的扩大和蔓延。同时应保护事故现场,积极配合事故调理处理工作。
(22)积极推进、落实公司要求的班组互联互保制、班前十五分钟安全大讲台等各项工作。
(23)每月至少组织一次专题安全教育培训学习。
(24)根据项目特点组织开展各种不同种类、不同时期的专项治理行动。
(25)参加各级行业主管部门及集团、公司组织的安全培训和会议(须运维部经理参加的)并传达至运维部。
运维部副经理安全职责
(1)在运维部经理领导下,具体组织项目施工;在项目运营过程组织实现安全、环境与卫生职业健康目标和指标的控制要求;协助运维部经理生产管理过程中计划布置、检查、总结、评比安全工作。
(2)
坚持“安全第一”的原则,调节施工进度与安全生产方面的矛盾:严格执行安全技术规程、规范、标准。
(3)执行运维部安全生产领导带班制度,全面掌握运维部的安全生产情况。执行运维部安全检查制度,运维部经理不在项目期间,定期或不定期组织有关人员对生产运维现场进行安全检查,对查出的安全隐患和问题按“三定一落实”及时组织整改并加以落实解决。
(4)协助运维部经理组织各种安全教育培训考核工作。
(5)按照运维部安全标准化管理的要求,严格执行各项规定,确保对进入项目现场的物资、机械设备、监测装置得到有效实施管理和控制。协助运维部经理组织对使用新技术新工艺新设备新材料使用前的安全教育培训。
(6)协助运维部经理组织落实不同施工阶段和周围环境及季节、气候变化,采取相应的安全施工措施。
(7)
负责制定各项管理制度及安全操作规程并组织落实。
(8)工程项目实行总承包的,协助运维部经理定期考核分包企业安全生产管理情况。
(9)在运维生产过程中,生产与安全发生矛盾时,必须服从安全,暂停施工,在安全整改和落实安全措施后,方才能再施工。
(10)施工过程中,发现违章现象或冒险作业,阻止和纠正,必要时暂停施工,汇报运维部经理。及时采取措施,防患于未然。
(11)负责本项目发生的紧急情况和事故的应急准备和响应:负责对事故、事件,不件合实施纠正和预防措施。
(12)参加各级行业主管部门及集团、公司组织的安全培训和会议,并传达至项目部。
(13)根据业主方的生产作业计划,对运维部的安全生产工作进行统一安排和总体协调指挥。
安全负责人安全职责
(1)对运维部安全生产工作负具体监督管理检查责任。负责日常安全监督检查工作:及时制止“三违”行为,对各种违章行为有处罚权:遇重大险情或事故隐患,有权贵令先停产,及时组织人员撤离危险区域,并报告运维部经理。
(2)调查、分析、监控运营项目存在的各类重大危险源以及环境因素变化,提出符合实际的整改措施和监控措施。发现重大安全隐患时,应立即向运维部经理和分公司安全总监报告,并可以直接向公司安环部直接报告。
(3)参加由上级部门、公司、直管部等有关部门组织的季度检、月检和其它各项安全检查,对施工现场存在的安全隐患和内业资料存在的问题提出相应的整改措施,督促相关责任人予以整改,组织复查验收并回复。
(4)参与运营项目的各项安全检查工作,如实做好检查、验收记录。督促材料管理员、机械操作员等相关责任人定期对设备、机械进行维护保养工作。
(5)监督安全技术交底制度的落实,督促核查特种作业人员持证上岗情况。
(6)督促运维部领导,定期不定期进行安全生产思想教育和组织职工学习安全生产制度、标准、要求及安全技术操作规程。
(7)协助编制《安全生产标准化工地策划书》,组织编制运营项目《生产安全事故应急救援预案),协助运维部经理开展应急救报演练工作,并对演练情况进行分析总结,提出改进意见和建议。
(8)参与编制《施工组织设计》和《专项方案》的安全保证措施,提出安全技术措施意见,保证其可行性与针对性。接受技术负责人对方案的安全技术交底,协同技术负责人落实方案交底的安全保证措施落实到位。
(9)工程应用新技术、新工艺、新材料、新设备时,协助技术负责人编制相应的安全技术措施,提出可行性意见和建议,并采取相应的安全保障措施。
(10)督促运维部经理开展项目“四个一”
活动,负责制定、落实安全生产工作计划,监督、指导相关责任人的工作开展。
(11)协助运维部经理制定工程项目网格化管理办法,协助运维部经理定期对责任人进行考核评价。
(12)协助运维部经理落实安全生产资金保障制度及编制安全生产资金投入使用计划,监督制度和计划的实施,并督促内业管理和成本核算员做好相关台账。
(13)督促并协同班组长、劳务队伍开展安全生产活动,掌握安全生产情况,提出改进意见和措施。
(14)监督班组长每天开展班前安全活动、班中检查、班后活动,并将活动开展情况形成文字记录、照片或影像资料,及时上传微信群并归档。
(15)建立安全内业台账,收集、整理安全管理内业资料并审核内业资料的及时性、真实性、合规性。如实记录工程项目安全生产管理日志,落实相关单位办理安全备案工作,按时按量完成运营项目安全管理信息化报送工作。
(16)监督设备材料员对运营项目安全防护用品的发放工作,监督安全防护用品的验收以及检验。监督劳动保护用品的验收、保管、发放。
(17)监运营程项目的安全保卫工作。
(18)落实运营项目施工现场的消防安全管理工作。
(19)督促运维部经理每日点评安全日记。
(20)督促运维部组织对新入场和转场、转岗员工进行入场三级安全生产教育:对特种作业人员的持证作业情况的检查监督;
(21)做好施工现场安全生产日常检查,并做好安全检查记录。
(22)督促运维部及时购买工伤保险、意外伤害保险。
(23)参与各有关部门组织的安全检查,如实汇报本运维部的安全生产情况。发现隐患及时采取纠正措施及监督落实,发现重大隐患,行使停工权利,对整改复查是否合格进行验证。
(24)督促分包队伍按照公司管理制度要求配备管理人员,并执行公司管理制度要求。
综合管理员安全职责
(1)负责检查、验收项目使用的所有机械设备,并收集、查验设备资料和操作人员的证件,协助做好特殊工种的安全教育和陪送取证工作。
(2)定期对库房设备材料、劳保用品进行盘点工作,并制定设备管理制度及危险品管理制度、建立劳保发放台账等。
(3)督促设备维修保养人员按期对设备进行维修保养,做好设备运行维护保养记录,对各种机械设备组织定期检查,加强施工过程中对设备的日常巡检、专项检查工作并整理好验收资料。
(4)遵守国家及上级有关防火制度,配备符合规定的防火和消防设施,保持良好性能。
(5)定期对各类消防器材、工具、设施进行检查,确保其符合规范。
(6)切实做好安全保密和防盗工作,防止资料失窃。
(7)负责做好食堂、所属库房和办公区域、住宿区域环境卫生及安全管理,协助开展办公、住宿区域安全隐患排查治理及卫生防疫监督检查,防火灾和食物中毒。
(8)负责制定运维部安全生产培训计划,并组织具体推进整体培训工作。
(9)负责督促指导分包队伍依法为劳务人员办理工伤保险和为从事危险作业的人员办理意外伤害险,并将相关材料证明归档存留。
(10)组织做好新工人的体检工作,根据职业禁忌要求,对有害工种执行定期轮换、定期脱岗的规定。
(11)
负责建立和管理部门员工信息,收集使用于本项目部的地方性法律法规。并做好台账记录。
(12)
参加事故方面的调查,认真分析事故原因,
提出处理意见,制定防范措施。
(13)
协助运维部负责人贯彻上级有关安全生产指示精神,及时转发宣贯上级和有关部门的安全生产文件、资料。
(14)
建立车辆使用管理制度,做好车辆的维护保养,确保安全行驶。
技术负责人安全职责
(1)对承包项目工程生产经营中的安全生产、文明施工、环境、职业健康安全、卫生等方面的工作负技术责任。
(2)贯彻、落实安全生产方针、政策,严格执行安全技术规程、规范、标准。结合运维部特点,主持运维部的安全技术交底。
(3)
经常检查所辖班组(包括外包组)作业环境及各种设备、设施的安全状况,发现问题及时纠正解决。对重点、特殊部位施工,必须进行安全技术交底、落实安全措施,并监督其执行,严禁违章指挥。
(4)定期和不定期组织所辖班组(包括外包队)学习安全操作规程,开展安全教育活动,接受安全部门或安全管理人员的安全监督检查,及时解决提出的不安全问题。
(5)运维部应用新材料、新工艺、新技术要及时上报,经批准确定后方可实施,同时要组织上岗人员的安全技术培训、教育,认真执行相应的安全技术措施与安全操作环节,预防施工中火灾、触电或其新工艺实施中可能造成的事故。
(6)发现设备、设施不正常运行情况及时采取措施,严格控制符合标准要求的防护设备、设施投入使用。
(7)参加安全生产检查,对施工中存在的不安全因素,从技术方面提出整改意见和办法予以消除。
篇3
以Internet、云计算、物联网为代表的信息化浪潮一次次席卷全球,信息技术的应用不断深入,逐渐覆盖到日常生产、生活的方方面面。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了越来越高的要求。如何保障信息网络系统安全已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。企业园区网络作为企业的神经中枢,它的安全稳定运行对于整个企业的日常生产与信息安全都具有重要的意义。
作为企业园区网络的网络管理员,我们必须了解园区网络面临的多方面的安全威胁,从而制定相应的管理措施,以保障网络的安全与稳定。
1 园区安全风险分析
1.1 内部局域网的安全威胁
在已知的网络维护安全事件中,约70%的攻击是来自局域网。首先,局域网中用户之间经常通过网络共享资源,给病毒的传播提供了便捷;其次,内部管理人员有意或者无意泄漏系统管理员的用户名、口令、内部网的网络结构以及其他一些重要信息等,这有可能加大网络安全事件造成的损失。另外,由于局域网内的用户主机、服务器等直接或者间接连接到同一台网络设备上,局域网的高带宽也在加快病毒的传播速度的同时,加剧病毒对网络的影响程度。
1.2 广域网、用户迁移的安全威胁
其他区域网络感染的病毒有可能通过广域网传播到本地区域网,也可能随着用户出差、变换工作地点、同一台机器在不同的网络环境中使用等原因将病毒带入本地区域网。
1.3 电子邮件应用安全威胁
电子邮件是最为广泛的网络应用之一。局域网用户除了使用企业内部邮箱收发系统内办公邮件以外,也会接受一些来自Internet的不明邮件,这给入侵者提供机会,给系统带来了不安全因素。
1.4 来自Internet的安全威胁
来自Internet的安全威胁非常多,园区网络一般只会开启互联网的网页浏览功能,但网页浏览也是网络系统被入侵的一个不安全因素,这也是园区网络最主要的病毒来源之一。浏览网页、下载资料都可能带来病毒程序或者木马,还有利用假冒手段骗取你的关键信息等手段。
2网络管理措施
2.1网络拓扑设计
园区网络的管理应从设计阶段就加以考虑。关键节点双机热备、关键传输链路采用多条不同路由、设备互联采用动态路由环状连接等,这些冗余架构都能从很大程度上增强基础网络的稳定性。但我们也需要在网络的复杂性和简洁性上做好权衡,过于复杂的网络结构反倒会给后期的运维管理埋下隐患。笔者在长期的网络运维管理实践中就遇到过不少这样的问题。个别局域网系统设计考虑非常多,采用双机热备、多链路上联等多种方式,VRRP、STP也都用上了,以期增强网络的稳定性。结果在后期运维中,由于选用设备版本不够稳定,经常出现莫名其妙的问题,反倒降低了整个系统的可用性。
2.2 网络管理文档的建立
网络维护的绝大部分工作在于平时细致的管理和准备,需要对网络的每一个细节做到了然于胸,当故障发生时,我们能够迅速定位到故障点,以最快速度排除故障。为了做好网络的管理,我们需要持续做好网络管理文档的完善工作。如:交换机端口信息表、ip和mac地址的对应表、网络拓扑图、故障处理报告等等,这些信息都会为我们应对突发网络故障提供帮助。例如:经常在园区内泛滥的ARP病毒,由于其影响范围广、难以查杀而让网管人员颇为头疼。如果我们有ip和mac地址对应表,就能够非常快的定位病毒源,以最快速度处理掉故障。
2.3 网络的日常检查及性能分析
我们需要经常对核心网络、应用服务器进行细致的检查,分析性能,察看日志,发现可疑情况及时处理。这种工作虽然枯燥但却很重要。每天的重复劳动不一定总能发现异常,但这是我们发现问题,对故障进行预判的依据。例如:一次日常检查我们发现某主干交换机CPU、内存使用率偏高,通过进一步分析日志发现某接口错误。经过细致排查,我们发现接口光纤质量不好导致接口报错,更换光纤后故障排除,避免了问题的进一步升级。
2.4 系统及时升级、补丁、病毒定义及时更新
网络设备、服务器的软件系统需要及时升级,服务器、客户端也要及时打补丁、更新病毒定义,这是我们防患于未然的必要措施。目前国内客户端使用微软的用户比较多,那WSUS就非常重要。防病毒服务器也必须统一部署,能够使病毒定义统一更新,避免网内有安全短板。
2.5 网络管理系统、日志系统、网管工具的使用
通过使用网络管理系统,可以实现设备的轮询、故障的报警等功能。通过一些阀值的设定,系统可以第一时间将故障预警信息通过邮件或者短信发送给系统管理员或者网管中心,能够帮助我们实现对故障的预判。并且,网络管理系统图形化、自动化的管理方式,也将大大提高我们网络管理的效率。
日志系统也非常重要,通过对日志系统记录的设备运行状态进行分析,能够帮助我们发现系统存在的问题,为排错、优化系统提供依据。
各种网管工具更是我们做网络管理的必要的帮手,比如抓包软件、可视光源、测线工具、标签机、螺丝刀等等,所以网管人员往往都是背着背包的,应手的家伙一个也不能少。
2.6 做好设备、线缆标识工作
好记性不如烂笔头,一个人做过的事也很容易就忘掉,更何况网络管理团队中有好多人,很多时候一件事往往追溯不到源头。所以标识、记录工作非常重要。如果标识工作不到位,很容易会发生设备、线缆用途无人知晓,谁都不敢动的情况。
2.7对用户的培训
很多网络故障是由人为因素造成的,比如碰掉设备的电源、办公室HUB出现环接等等,通过适当的时机对用户进行网络知识的教育,能够有效地避免类似网络故障的发生,给网络管理工作降低工作量和难度。
2.8其他
机房环境设施的运维管理,也是对网络的安全与运维管理产生重要影响的一个方面。除此之外,如果有互联网出口的,还需要部署防火墙、上网行为管理设备等,既要做好安全防护,又要做到有迹可查。
篇4
关键词: 网络安全;网络管理;平台的保护
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)19-4533-02
1 概述
随着信息技术的迅猛发展,医院信息化建设已渗透到医疗、护理、科研、教学、后勤保障等各个环节之中,成为体现医院管理水平和核心竞争力的重要内容之一。六安市人民医院作为皖西地区学科门类齐全的现代化综合性医院,尤其近几年,六安市人民医院大力推进改革与创新,更加深切认识到数字化医院建设的重要意义,积极探索数字化医院发展的新战略。
数字化医院的发展,造成网络上的PC数量不断增多,管理问题越来越突出,这些问题包括:
1)如何保障数量众多的桌面PC能够正常运行,不至影响工作的正常开展?
2)如何对数量众多的桌面PC进行软件、硬件资产进行有效的管理?
3)如何防范外来电脑直接连接进入内部网络系统,影响网络、数据的安全?
4)如何对数量众多的网络端口进行管理,防止非法接入?
5)新型病毒的快速传播、方式不断更新的黑客技术让IT安全管理任务越来越繁重,如何减轻压力,提高管理效率?
2 问题分析
1)软件平台的保护
需要对桌面PC设备的软件、驱动程序进行全面的监控管理;软件的即时分发、更新,安全和病毒补丁的正常发放和安装。
2)硬件平台的保护
虽然已经把软驱、光驱拆除,但仍然无法杜绝外来的U盘或移动硬盘或其他非法笔记本电脑拷备东西,从而防止其侵害整个网络;要求监控非法设备入侵,同时实施报警和日志记录,还要可以在必要的时候终止端口;
对于没有按照医院的IT安全管理制度来执行的PC使用者,可以抓屏来起到威慑的作用,虽然该操作不要求实时进行,但一旦需要可以通过技术手段来实施;另外,如果有些新手使用电脑,不会安装相关软件等,维护人员可以不用到现场,远程监控、帮助操作即可。
医院办公网上运行着有很多PC机,这些机器如笔记本电脑等有些是从院外拿进来用的,很可能在外面就被病毒感染或黑客程序驻留,一旦拿进医院内部使用会对整个系统造成严重威胁。
Windows操作系统需要不停地打补丁以应付安全漏洞,防病毒软件需要不断升级以应付各种变种病毒,系统管理员任务繁重。如若员工PC未及时更新最新的程序,其在访问Internet网时便很容易遭到各种攻击,进一步会波及到整个办公网上的其它PC机。
另外,在院内经常有一些外来人员,这些人员的电脑也连接到网络中。一旦发生安全事件或者地址冲突事件,很难快速定位出这些地址所在的信息点以及其人员。
经过深入的分析调查,我们发现,在医院内部实际上有5类用户:
1)信息管理科用户
精通操作系统和数据库的各项操作,计算机水平较高,负责管理系统运作。本类用户关注系统的功能、易用性、稳定性;能够远程技术支持,以提高效率和管理水平。
2)普通客户端用户
计算机水平高低不一,关注系统的稳定性和资源占用情况,安装使用简单;在软件升级或给系统打补丁的时候,需要别人协助。
3)精通电脑技术用户
这一部分用户可能对系统有潜在的威胁,例如攻击网络中服务器操作系统,窃取数据库密码等等。因此系统在通信上采用加密,系统登录认证外,还要做好底层的防护工作,如服务器操作系统关闭不必要端口、服务等,经常更新补丁漏洞等。
4)领导层用户
特殊的群体,即使他们的机器没有符合指定的规则,也不能禁止上网。这些用户需要信息管理科维护人员在系统运行时做好事先设置。
5)外来用户
没有安装软件但需要访问本院的系统资源,或非法入侵,或合法接入。信息管理科维护人员需要能够监控到此类用户,并且在必要的时候能够及时关闭端口,以免给整个系统带来危害。
综上所述,针对这样一个特殊的网络环境和用户分类,我们应该有怎样的解决方案呢?
3 解决方案
针对以上情况,一种比较好的办法是在访问办公网的PC机上必须已经安装了最新软件与补丁,保障自身有一定的病毒/黑客防御能力。要保证办公网上的PC机只有安装了规定软件与补丁后才能访问Internet网。另外,通过自动获得交换机端口与员工电脑的对应关系,使得信息管理科IT维护人员能清楚员工电脑的运行情况,在出现病毒和蓄意网络攻击时能快速定位并解除隐患,确保内部网的安全。综合上面的需求我院采购了“IT安全运维管理系统”,实现了如下管理功能:
1)完善的安全接入控制机制
提供的安全接入控制方式有:通知客户端用户、通知系统管理员、禁止登录Windows域、禁止PC机通过防火墙访问Internet、将PC机隔离到独立的VLAN中、禁止PC机接入网络等,系统管理员可以根据不同情况采取不同的安全接入控制方法。
2)设备及时、自动发现
很多桌面管理软件只能发现安装了自身客户端的PC机,而不能发现未安装客户端的PC机。可以发现任何接入网络的设备,不管是否安装了客户端。对设备发现具有及时性,一旦外来机器、移动电脑接入网络,就能被及时发现并通知系统管理员。即使PC机安装了个人防火墙,只要其接入网络,就能够被发现并定位。
3)完整的配置信息
要不仅能采集到PC机固定的软硬件配置信息,而且能进一步获取PC机的网络连接信息、客户端用户信息。管理不是孤零零的设备管理,而是结合人、组织架构的管理。
4)安全补丁、漏洞自动提醒
能够自动从厂商的网站下载操作系统、应用软件的安全补丁列表,并提醒没有安装补丁的接入设备的用户。
5)灵活方便的软件和补丁分发
系统管理员可指定分发软件的服务器;同时可依据部门、IP地址范围、操作系统、软件版本等内容指定接受分发的接入设备。
6)集中式管理任务和管理策略设定
管理维护人员可以通过集中式管理控制台,对所有的桌面PC进行安全设置、管理策略设置或者分发管理任务。
7)Agent部署简单、管理简单
客户端可以通过Web方式安装,通过和用户的内部网站联动强制桌面PC安装Agent,除去系统管理员手工逐台机器安装的麻烦,方便实施。Agent一旦安装之后,用户不能卸载、中止、删除Agent,除非经过管理员许可。管理员可以集中统一安装、卸载这些Agent。系统提供了简体中文、繁体中文和英文三种语言。系统安装只需要通过Setup就可以完成,全部管理任务通过IE浏览器操作即可完成,提供所有操作的在线帮助。
8)超级自动拓扑发现功能 ,支持level 2/3层网络拓扑自动发现功能
多种超级发现手段,支持CDP等厂商专用协议,设备和拓扑发现快速、准确 资产管理自动发现组织内所有PC机的软硬件配置信息、PC机网络连接信息和运行状态信息,建立资产基线; 自动维护软硬件配置变更历史信息; 提供网络交换机端口连接信息、CPU、内存、硬盘、安装的软件等配置信息报表。
9)软件分发
在不对客户端用户造成负担的前提下,确保安全和病毒补丁的正常发放和安装; 可以设置多个软件分发服务器,客户端可以从多个服务器获取软件; 灵活的软件分发策略,支持手工、自动方式安装软件,可以设置分发范围与安装条件。
10)报表功能
支持设备接入事件、配置变更事件、长期未运行设备事件、网络交换机端口信息、CPU配置信息表、硬盘配置信息表、内存配置信息表、磁盘配置信息表、安装软件信息表等报表
11)远程监控
实时监控客户端画面; 可以选择远程控制或者只监视不控制,满足各种场合的需要; 对领导的电脑,如果要进行远程控制,控制之前必须获得领导的授权; 可以同时监控多台客户端画面。
4 结束语
总之,网络安全对于医院来说重要性不言而喻:如果一旦业务部门的电脑中了病毒或蠕虫,网络中断几个小时,将会给单位带来直接的经济损失和不利的社会效益,并会给病人就诊、医生工作带来极大的不便,所以我们一定要重视医卫行业的网络安全问题!
参考文献:
篇5
关键词:信息中心;安全维护;工作实践
中图分类号:TP335 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 太平湾发电厂网络概况
我厂企业网络覆盖了丹东综合办公及生活基地(丹东综合办公楼、泰鑫办公楼、多经办公楼、谊江佳园和新世纪花园两个生活区等)、太平湾电站(副厂房、水调楼、综合楼、基地管理处办公楼及生活区其它办公场所)、长甸电站(厂房、通讯楼、综合楼等)的“两站三地”,网络核心及汇聚设备集中在丹东综合办公楼、太站副厂房、长站通讯楼等三个网络机房内,联网信息点总数约1500个,是东北电网公司系统中网络覆盖面积最大、联网用户最多、网络结构最复杂的局域网,也是业务应用系统最多、实用化程度最高、日常维护工作量最大的单位。
2 信息中心日常安维工作现状
我厂在2001年就已建成了自己的信息中心负责信息工作,近几年,随着计算机网络应用的日益广泛,厂信息系统不断充实、完善,信息中心工作量日益增加,但信息中心负责日常安全运维的工作人员却相对较少。据我粗略统计,全厂仅日常计算机维护工作每天就不少于20台·次,如果再发生一些新病毒爆发、电源不稳定、应用软件升级、硬件换代、上级检查等临时事件,那么整个信息中心的技术人员都要连续多日甚至数周加班加点逐个终端进行调整。而且,由于我厂信息化工作进程的持续推进,无纸化办公的最终实现,厂信息系统的重要性得到了更大提高,已经从企业运行管理的辅手段变为核心手段。同时,各类黑客手段迅猛发展、新的网络病毒不断出现,对信息系统的攻击变得更加隐蔽,攻击工具的学习应用变得更加简单,新的攻击技术的应用变得更加迅速,攻击危害变得更加复杂。信息中心的工作量、工作强度与日俱增,技术人员疲于应付日常安维,很难有时间进行网络架构、应用系统优化改造的研究与规划。
现实环境督促信息中心进一步提高工作效率。为此,我经过深入的调查研究,与厂有关领导、产品供应商和信息中心同事共同对简化日常安维工作进行了初步实践。
3 对简化信息中心日常安维工作的分析与实践
3.1 信息中心日常安维工作内容与工作量分析
3.1.1 服务器安全维护,工作量比较小;
3.1.2 网络设备安全维护,工作量比较大;
3.1.3 终端安全维护,这方面工作量极大,占信息中心日常工作量80%以上。
通过以上分析,可以看到信息中心绝大多数的工作时间都消耗在了终端维护上,如果我们能通过适当的技术和设备手段,将尽量多的终端维护工作集中在网关节点上,那么网络终端的安全维护工作量就必然大大降低,信息中心的日常工作内容就能得到极大简化,工作效率就会进一步提高。
3.2 对简化信息中心日常安维工作的实践
根据以上分析结果,信息中心以大幅度提升工作效率为目标,以各类安全功能与安全运维向单一网关设备集中为原则,对简化日常安维工作进行了积极实践,其中主要包括:
3.2.1 强制要求安装终端管理软件
终端管理软件的安装在以下五方面简化了安维工作:
一是其他安全软件的部署简化。一些需要在一定范围内安装的软件,原来需要一台台计算机去部署,现在可通过终端管理软件直接推送并安装。
二是及时进行补丁升级,降低病毒事件发生频率。原来由于员工个人电脑知识参差不齐,使操作系统补丁无法及时升级,频繁引发病毒事件,现统一进行补丁推送,可大幅度减少此类事件。
三是远程维护减少了去现场时间。很多计算机问题都是非常简单的,大量时间都消耗在去现场的路上。通过远程维护,节约了去现场的时间,而且终端管理软件提供了丰富的统计与报表功能,有利于及时发现共性问题,提前制定解决方案。
四是带宽控制限制网络滥用。当一台电脑中病毒或进行P2P下载时,会严重占用全网资源,安装终端管理软件前,我们采用通过对程序特征识别来阻断的方式解决这一问题,实现起来既复杂准确率又低,并且容易造成员工反感。安装软件后,通过带宽限制,很好的预先解决了这个问题。
五是安全基线应用。通过评估,我们预先制定了各部门的安全基线规则,不满足安全基线的计算机将被内网管理程序断开,有效避免了高危主机的问题向全网泛滥。
3.2.2.通过准入控制杜绝部署漏洞
网络与终端的双重限制简化了安维工作,但是推广中又发现了一些不足,如:部分员工计算机出现问题时,自己重装系统,经常不安装终端管理软件客户端;个别员工认为终端管理软件破坏了自己的正常使用习惯和隐私,不愿安装或私自卸载管理软件;外来人员临时将自己未安装终端管理软件的便携电脑连入我厂网络。目前,这些问题我们已经可以通过交换机终端准入来解决。
一是网络准入。对于没有安装终端管理客户端的机器,通过交换机的硬件端口的起、宕,进行控制。通过802.1X协议和EOU协议,可以有效的在交换机上进行控制,使没有安装终端管理客户端的机器被禁止连入网络。
二是应用准入。网络准入对于既不支持802.1X协议又不支持EOU协议的交换机无法起到有效的作用,这时可通过对应用的访问限制进行准入控制。即:在运行应用和访问应用的必经之路上部署准入组件,使未安装客户端的计算机在访问这些应用时,会被准入组件检查到并阻断。
三是客户端准入。一台未安装客户端的机器,如不能连接到任何应用服务器,那么他就只能访问网内的其他计算机了,这时,如果其他计算机安装了内网管理客户端,那么也会阻断没安装客户端的计算机的访问。
通过以上方法,可以确保未安装客户端的计算机无法在网内行动,其不安全的因素也就不会影响网络其他部分。
3.2.3 大规模部署的简化
一套有效的手段,会在更广的范围进行部署,另一方面,如果有大范围计算机更新的时候,也需要重新部署,这时部署客户端软件对人员消耗极大,因此就需要从全网的角度对内网管理软进行改进:在准入组件上增加客户端自动下载安装功能,这样没有安装客户端的员工在使用时都会得到提示:“需要安装客户端”,只要点击“同意”,即可自动下载安装,不需技术人员安装。
此部分的难点在于:此功能暂时只能在提供WEB服务的应用系统上实现,而且对于一般员工,开机后并不是一定要使用某个内部应用,这样,最佳的方式是将升级的准入组件与客户端程序部署在网关设备上,而对于网关厂商来说,更改硬件系统成本巨大,今后我们将继续与合作厂商沟通、协商,早日进行硬件改造,满足以上要求。
4 简化信息中心日常安维工作的影响
应用新的安全技术与流程,简化日常安维工作,极大的提高了信息中心的工作效率,使得技术人员能将更多精力放在整体架构设计、系统优化和新技术的学习上来,对全厂网络系统的建设和发展有着长远的意义。同时,我们也明白信息技术迅猛发展,信息化进程不断深入,今后我们还要继续不断学习,不断进步,让信息系统在企业管理中发挥更大的作用。
参考文献:
[1]彭丽叶,王乃迁,刘振生.浅谈企业级信息中心机房监控系统的建设[J].计算机光盘软件与应用,2010(6).
[2]李纯华.烟草行业信息安全系统建设策略[J].魅力中国,2009(29).
[3]信息与网络安全研究新进展.全国计算机安全学术交流会论文集.第二十二卷[C].合肥:中国科技大学出版社,2007.
篇6
关键词:输电线路;安全性原则;运维要点;分析
引言
从2006年开始我国电网的装机容量每年以10亿兆瓦左右的速度投入运行,2011年底我国有装机容量达到106亿兆瓦,2013年预计将达到123兆瓦,要将如此庞大的电能输送和分配出去,与之配套输电线路也以超常速度进行建设,据载,1949年我国的输电线路只有6500千米,1996年达到56561千米,2011年全国220千伏及以上的输电线路就就达到48.03万千米,实现了跨越式发展,电网输送能力大大增强,供电可靠性进一步提高,保证输电线路的安全稳定运行成为电网企业重中之重。
1 规划合理是输电线路安全稳定运行的前提
我国幅员辽阔,能源分布不均,经济发展不均,能源资源大部分分布在西部地区,东部沿海地区经济发达,电力负荷增长迅速,为了满足负荷发展的需要,随着超高压、特高压电网的相继建成,远距离、大容量电能的输送,全国七大跨省大区电网企业和五个独立省网之间互联,至十二五未,全国将建成三纵三横、特高压骨干网架的全国统一的联合电网。为保证电网的安全稳定运行,作为联合电网下的局部,在了解国家大规划的前提下,合理规划布局本企业的下网节点;分析研究本地区的自然环境条件、资源状况和输电线路的特点、总结长期实践的经验,为规划部门合理规划提供参考,避免出现因规划问题影响本地区输电线路安全稳定运行而进行网架改造。
2 优化设计是输电线路安全稳定运行的基础
设计是将规划落实为具体方案、安全措施、工艺标准、技术要求的一种产品,优化设计是根据客户的实际情况而设计出的精品,重点关注以下几点。
熟悉本地区的自然环境条件、资源状况和输电线路的特点、总结长期实践的经验,在可研阶段,重点对咨询公司在输电线路项目新建的必要性进行描述时,是否反映了本地区网络供电现状,如超负荷或是单线供电可靠性不足;是否从规划上考虑了裕度;在输电线路项目新建的可行性进行描述时,推荐的路径方案是否得到沿线重要跨越设施业主的书面同意,否则是运行维护单位非常严重的隐患;在技术及造型中,重点对推荐方案路径是否有多雷区段、重污区段、重冰区段、外力破坏区段等进行明确,以确保设计根据线路经过区进行差异化优化设计,为输电线路的安全稳定运行打好基础。如是35千伏线路一定建议采用全线架空地线防雷,随着经济发展,供电的安全性、稳定性、可靠性要求越来越高;杆塔造型中,要尽量建议不用混凝土电杆,随着混凝土电杆运输和施工费用的增加,很多情况下,采用混凝土电杆的经济效益已不明显,运行方面又存在占地面积大、影响耕作和拉线下把易被盗极易造成倒杆等缺点。
随着外部环境的日益复杂,根据目前工程建设管理的要求,可研报告的深度已可能达到初步设计的深度,初步设计已几乎完成断面图测试完成,运维部门要重点关注新建线路经过多雷区段是否对减小了防雷保护角、是否要求降低杆塔接地电阻、高塔、大跨越塔是否采取了增加线路避雷器或可控避雷针等;重冰区段是否提高了防冰设防标准;经过主城区、建筑物密集等地区的新建架空线路与地、建筑物的距离是否在规定的线路保护范围区安全距离基础上再增加2-3米等裕度;经过森林区或树竹密集地区的新建线路是通道进行砍伐或高跨,建议线路呼称高高度适当提高,原则上应采用跨越的方式,在易被盗区段,角钢塔下层横担以下应全部采用防盗螺栓;跨越通航江河、高速公路、电气化铁路的新建架空输电线路段两端直线塔绝缘子串悬挂点是否采用独立双挂点型式等。
3 施工优良是输电线路安全稳定运行的保证
线路施工过程即是线路设计产品的实物化过程,施工单位只有按照施工图设计、相关规范等标准流程严格施工,才能成为优良的产品,作为运维方,为保证将来线路的安全稳定运行,重点把握以下几点内容。
施工单位“四措一案”中跨越本单位下级输电线路的方案和措施,确保不因施工造成本单位线路安全故障。
隐蔽(基础)工程施工运维人员一定要进行现场质量监督抽查,基础工程一旦施工完成,要想再进行检查、核实相当困难,虽然现在工程管理要求留影图片,但不是全过程摄像,基础工程最易发生偷工减料事项,某省公司就曾发生过因基础偷工减料造成倒塔断线事故;目前杆塔基础施工管理比较重视,杆塔接地装置施工还存在较大问题,影响线路的防雷和线路的安全稳定运行,现场实地验收地网敷设的深度未能完全按施工图设计深度及规定要求的深度进行施工;放射线长度相当数量不能达到设计提出的最小长度;地网的焊接搭接长度与记录或规范要求不符,普遍存在虚焊及单面施焊;没有一个施工单位的施工记录反映了地网的实施走向、焊点位置和长度,为日后地网的维修造成困难。
杆塔工程重点关注如有代用材是否得到结构工程师或现场工代和监理的同意;塔材是否齐全和坚固;防盗帽的安装是否按设计的高度进行安装等。
架线工程、附件工程重点要关注线材的接续位置和质量;重要交叉跨越实测距离要满足规程、规范要求的最小距离;设计是否有重要交跨遗漏而又影响线路安全运行的问题;架空地线及OPGW光纤与塔身的联接良好;接地电阻在规程要求值以下;该采用独立双挂点的金具串是否采用;金具串的锁、栓齐全,规格合适等,线路竣工验收必要的安全警示牌对线路外力破坏的预防会起到相当重要的作用。
4 防范外部破坏是确保输电线路安全稳定运行的重点
4.1 随着社会经济的迅速发展、安控技术的提高和电网管理的加强,从规划、设计、施工管理,输电线路的硬件设施得到了改善,影响输电线路跳闸的第一因素有从雷击转移至外力破坏的趋势,输电线路遭外部破坏的几个主要原因,大体可以归纳为以下几个方面:(1)近年来我国城乡经济发展较快,城市拓展,使位于城郊或城乡结合部的输电线路遭受塔吊的侵害,造成碰线跳闸。(2)开发区建设平场,放炮金属引爆线飞向导线,造成线路跳闸;挖土机及运土车辆安全措施或安全意识不够造成车辆误碰导线而造成线路接地跳闸。(3)国家重大项目建设施工承包单位,吊车安全措施不当等造成线路跳闸,如成渝客运专线建设曾多次造成沿线输电线路跳闸。(4)城乡结合部线路杆塔拉线下把及拉线棒被锯、塔材被盗造成输电线路倒杆、断线安全隐患。(5)本地区政府主导的大面积速生桉栽种,对线路的安全运行造成非常大的隐患。其通常生长在海拔500米以下的地区。生长速度最快可达10米/年,生长高度最高可达40米。2010-2011年度,重庆的长寿、璧山、永川等地区都发生过因为速生桉树生长过快引发的输电架空线路发生的对树放电事故。(6)另外农田使用的塑料薄膜、简易彩钢板屋顶及养鸡场的围网等,遇有大风天气时,被风吹落到导线上,造成相间短路等。
4.2 针对人的异常活动造成输电线路外部破坏的重点,应采取以下措施加以防范。
加大电力设施保护工作力度。加强与政府相关职能部门的建委、园区、开发区管委会等的有效沟通,了解其城市拓展、开发平场地块项目的具体情况,并向其宣传保护电力设施的重要性和安全注意事项;根据在政府相关部门了解的安全隐患情况及线路巡视中发现的安全隐患情况,直接与相关项目的实施单位宣传施工过程中如何防止影响电力线路安全的措施及注意事项,将事故隐患消灭在蓝牙状态;电力设施安全保卫部门积极主动与当地公安机关汇报,沟通信息,配合公安机关严厉打击破坏电力设施的犯罪行为,以创造一个良好的电力设施运行环境;单位要与当地宣传单位联合宣传防止破坏电力设施的教育工作;单位及线路运维人员要与线路沿线的乡镇政府联系、沟通,引导线路沿线村、社在线路保护区内种植低、矮经济作物;运维人员要掌握重点,根据季节特点和所在线路实际情况,调整巡线次数,及时做好防范措施。防止和遏止输电线路外部破坏的发生,是一项提高输电线路安全稳定运行的可为、长期而艰巨的工作,是运工作的重点。
5 加强管理是实现输电线路安全稳定运行的关键
管理是一个企业的生命,加强管理同样是实现输电线路安全稳定运行的关键,只有输电线路的安全稳定运行,才能保证输电线路的输电能力,才能提高企业的经济效益。
输电线路点多、面广、架空输电线路一直暴露在野外,经受日晒雨淋,其要安全稳定运行,保证或恢复其出力,首先是要掌握线路的健康状态,线路状态管理工作是线路基础管理工程的重要内容,通过对线路状态的实时、常态化管理,夯实生产管理基础;并从线路重要性如线路重要程度、用户重要程度、产生故障的严重程度、失效的风险与后果、线路故障概率等和线路的环境因素如污秽等级、雷电活动情况、覆冰情况、气象环境、设备所处社会环境等三个层面出发统计、综合考虑和分析,对设备检修要求进行全面评估,确定检修的优先次序和维护策略建议,最终对电网的规划、建设、设备制造、运维控制和大修技改五个方面产生影响,以达到保证或恢复线路出力,保证线路的安全稳定运行。
按架空送电线路运行规程规定的周期完成对输电线路的标准化巡视,从巡视的记录中,按线路本体及附属设施上分基础、杆塔、导地线(含OPGW)、绝缘子、金具、接地装置和安全标志按线路进行统计,以形成该线路的健康状态数据,通过评估,上级备案后,确定线路的巡视周期、检修优先次序和维护检修策略,替代按周期进行检修策略,有序、有重点、有目的的安排检修,减少了检修次数,提高了检修质量,节约了检修成本,效益得到了增长,提升了管理。
从巡视的记录中,从线路的环境因素分重污区、多雷区、重冰区、舞动区、强风区、鸟害区、外力破坏区、通道整治区、采空区、地质灾害区等建立专档,并根据线路的环境变化不断修正,通过评估,上级备案后,分区、分季、分段调整巡视周期,改变按固定周期正常巡视模式,达到了节省运行人力资源的目的,提升线路管理。
通过对已有运行线路的运行、维护状态情况反馈相关部门,建议或影响电网的规划、设计、建设、设备制造、运维控制和大修技改,完善管理链条、优化业务体系,最终达到跨环节的线路资产全寿命周期管理。
6 结束语
输电线路是电能运输的载体,其安全性是第一位的,不能只从运维本身加强管理,要从规划、设计、施工、运维到报废多方面加强协作、管理,才能保证架空输电线路的安全稳定出力,才能保证社会的经济发展,为客户提供稳定、优质的电能商品。
参考文献
[1]国家电网公司.Q/GDW 248-2008.输变电工程建设标准强制性条文实施管理规程[S].
[2]GB 50545-2010.110kv~750kv架空输电线路设计规范[S].
[3]GB 50061-1997.66kv 及以下架空电力线路设计规范[S].
篇7
借鉴国外增值业务的发展模式,一方面合作运营模式受到全球普遍关注和认同,另一方面安全增值业务也得到了广泛的开展。加拿大贝尔、日本NTT、美国AT&T、英国电信、韩国电信都开展了针对企业和终端用户的安全增值业务,特别是英国电信推出了针对企业和团体的安全服务,其服务项目有20项之多,包括了DDoS的流量清洗、邮件加密、URL过滤、以及安全评估和加密的多种服务。
城域网安全增值方案
近几年城域网得到了飞速的发展,城域网的接入形式也从有线的网络向无线网络发展,城域网络上承载的业务也有单一的上网和专线业务向VoIP、IPTV融合的多业务网络发展。城域网也称为本地网,以中国电信网络为例,其骨干网ChinaNet已经延伸到300多个城市,CN2网络也扩展到200多个城市,所以本地城域网络将会被两张网络承载。ChinaNet将承载普通Internet上网业务,而CN2网络将承载VPN、VoIP、IPTV等对服务质量要求比较高的业务。
城域网的用户分类及业务
大客户(包括政府、大型企业):租用电信的网络访问Internet,或租用专线建立内部的专网;建立了自己服务器中心,提供企业内部的网站、邮件等业务;利用网络专线建立开展企业内部的VoIP或视频会议系统。
网吧、话吧:租用线路开展经营性业务。
机场、酒店等:给客户提供增值服务,同时也是基础性的服务。
中小企业:租用线路上网。
个人用户:目前主要的业务是宽带上网,未来在VoIP、IPTV业务上会有很大的发展。
城域网常见攻击种类型
针对大客户服务器及路由器的DDOS攻击;
针对核心业务设备的攻击,如对VoIP的软交换设备、IPTV中的组播服务器、其中的中间服务器(如点播系统)的攻击;
针对中小企业终端、服务器、邮件系统等的攻击;
针对个人用户终端的木马、病毒攻击
由此可以看出,由于城域网有各种网络的接入点,诸如BAS接入、交换机接入、AR接入、PE-CE接入等等;而且接入的客户也各种各样,如企业大客户、网吧运营用户、普通接入用户等;接入的业务也多种多样,如宽带接入、VoIP接入、IPTV接入等等。所以应当首先在各个接入网关解决安全问题,除了在路由交换设备上面完成相关访问控制以外,我们也应当部署专门的安全网关设备,如防火墙、UTM、病毒网关、垃圾邮件网关等等。同时,城域网出口也是安全部署的重点,由于城域网是由地市公司进行负责维护,所以城域网入口就是防护骨干有害流量进入的重点,部署DDOS防护系统、DPI检测系统是维护城域网安全的基础。
IDC安全增值方案
从近年来IDC业务的开展情况来看,原有靠出租带宽和机柜的业务方式,已经显得老套,满足不了日益复杂的网络应用和系统应用的需求,也难以说服高端用户,并从高端用户那里帮助电信获取更多的利润。同时,IDC同行业竞争也日趋白热化,从目前IDC业内对于业务发展的普遍认识来看,为了巩固现有客户,满足其他中小型客户的需求,并不断引入高端优质客户,已经普遍认可要为客户量身订制多元化的服务,以传统业务之外的增值业务来留住和发展客户。
与此同时,随着近年来恶性和重大安全事件的相继发生,网络安全已经成为摆在人们面前的一个日益严峻的话题。在IDC的托管用户群体中,很多用户对IT的依赖正变得越来越大,如电子商务、门户网站、行业性网站、网络游戏、对外贸易等行业用户,托管系统的安全性、稳定性、可靠性成为客户运维人员首要关心的问题;而电信作为服务器托管的提供商,加之电信在网民心目中一贯具有的ISP提供商的形象,不可避免地具有为客户提供干净、安全的网络空间,保持客户业务系统正常、安全运转的责任。另一方面,电信的IDC运维人员在日常工作过程中,也经常接到例如密码被篡改、系统入侵等安全方面的投诉,这些投诉和处理的结果也直接关系到电信IDC在托管客户心目中的形象和客户的去留。
综合以上两方面来看,从安全的角度入手,为IDC托管客户提供全面而细致的安全增值服务,肯定可以满足相当多客户的安全需求,解决客户日常头痛的安全问题,提高电信的客户满意度。特别是在目前IDC安全增值服务还没有十分成熟的情况下,谁走在了前列,谁能第一时间为客户打造安全、合理、有效的安全服务,谁将能率先留住客户的心。
IDC托管用户分类
传统大客户(政府、大企业):具备基础维护能力,希望获得专业技术服务;重视安全,资金充裕。
互联网企业(网游、视频服务、电子商务、二级IDC):业务开展对IDC环境的依赖度高;具备相对完备的技术力量;重视安全,在安全建设上愿意投资。
中小企业:技术力量较弱,对运营商比较依赖;希望花最少的钱享受较为专业的服务。
IDC安全问题分类
安全对抗类:网络链路中断(ARP攻击)、主机数据存储灾难;带宽消耗型DDoS攻击;应用型DDoS攻击(DNS、网游、视频)、Web应用攻击(SQL注入、网页篡改)、恶意代码(网站挂马、病毒攻击)、僵尸召唤(成为BotNet的一部分)、垃圾邮件、新兴应用攻击(视频、VOIP)、内容欺诈(Phishing)。
安全合规类:根据行业/企业的差异性;非法内容。
安全管理类:业务流量分布统计;设备/应用日志分析。
链接典型运营商IDC安全应用项目
安全漏洞通告:对安全漏洞信息进行实时的跟踪和整理,定期提供给用户,便于用户提前制定应对策略,真正做到未雨绸缪。邮件形式定期发给用户,用户也可以通过自服务平台查询安全漏洞历史信息。
系统扫描:定期对用户服务器操作系统进行漏洞扫描,查找系统漏洞,并将扫描结果以检查报告形式提交用户。
系统加固:对于系统扫描/安全评估中发现的系统漏洞和薄弱环节进行修补操作,提供加固报告。
篇8
【关键词】企业云 安全 防护 攻击
1 企业云安全面临的威胁
一个存储海量企业用户数据的云存储系统,存在着巨大的非法攻击诱惑,一旦攻击者通过某种手段攻击企业云数据系统,将带来不可估量的经济损失。目前,企业云安全所存在着普遍性的安全威胁主要包括以下几个方面:
1.1 数据丢失和泄露
数据安全是企业用户关注的重点问题,由于数据泄漏会给企业带来巨额损失,因此,一般会采取相应措施来保证数据的安全性。目前对于企业云数据,一方面攻击者会通过木马程序或其他恶意程序来控制客户端,进而获取和窜改企业数据。另一方面,因为云服务供应商隔离措施或安全策略的不当,也有可能导致数据丢失或信息篡改。
1.2 网络攻击
在云环境中,应用程序基本上是在网络上进行的,这就间接催生了网络攻击频繁性和危害性,网络攻击主要有以下两种类型。第一种是账户劫持。在云环境中,攻击者利用钓鱼网站或软件漏洞来攻击企业用户,进而获取用户账号及密码信息,这样就可以使用被窃取的账号密码登陆云计算系统,窃取或窜改企业用户云中的各类机密性数据,给企业带来巨大的损失。第二种是拒绝服务攻击。通过应用层DDOS攻击等方式阻止企业用户对云服务的正常访问,这样就会导致正常操作浪费大量的系统资源,如内存、硬盘空间和网络带宽等,降低云计算服务器的反应速度,也使企业用户由于资源的大量消耗而蒙受经济损失。这种攻击能够实现很大程度上是由于企业用户数据中心没有做好针对性的安全防范措施。
1.3 技术漏洞
由于云技术发展历程较短,其共享的平台组件及应用程序还存在着一些安全漏洞,这比其它安全问题更为危险和致命,严重情况下会导致整个云计算系统瘫痪。另外,云计算资源的虚拟化特征会给传统安全策略在整个虚拟网络的全面应用造成阻碍,虚拟化会增加认证的困难,恶意代码和病毒更容易传播,安全问题产生的机率也就更大。
2 企业云安全防护方案
基于上述企业云安全面临的威胁的主要威胁,可以通过以下综合性的安全防护技术措施来提高企业云安全性能。
2.1 云平台物理安全
物理安全是云计算系统的第一道安全防线,首先是环境安全的保障。温度、湿度等环境因素会影响云计算系统的稳定运行,因此,减少环境风险是企业云安全防护的基本前提。云服务提供商要通过各项措施来保证运维环境的安全性,除了安设一些必不可缺的设备外,如温度和湿度控制器、自动灭火系统等。还应配备支持特定环境的设备,如不间断电源等,以应对各种突变的自然环境。其次是设备的维护。为了保证设备的长期不间断运行,需要定期维护设备,并详细记录维护过程中所遇到的各种疑似故障及实际故障。最后是网络设备的配置。云计算系统整体设备性能的提高是安全防护的关键,特别是网络设备。应配置多台交换设备,网络设备与网络链路应有冗余备份。某一设备发生故障时应具备自动恢复功能,且企业网络应具有访问控制、安全检测、监控、报警、故障处理等功能。主机设备的核心应采用多机负载模式,某个主机若存在故障,其它主机仍能正常运行,同样服务器设备电源、风扇等也应采用冗余配置。
2.2 云平台访问控制
首先是网络安全访问控制。云平台和企业用户之间采用路由控制方式,通过安全访问路径的构建提高网络安全。避免在网络边界处安置重要网段,应对二者进行有效隔离。且利用防火墙、IPS、ACL等技术在重要业务网段边界进行隔离。具体而言主要可以采取以下措施来控制云平台网络:限制管理终端访问网络设备;设置安全的访问控制,过滤蠕虫的常用端口;关闭不使用的端口;关闭不必要服务,如FTP、TFTP服务等;修改BANNER提示,避免默认BANNER信息泄露系统平台及其他信息。其次是边界防护。清晰界定和综合防护系统边界,科学划分系统内部区域,加强便捷访问控制,增加访问控制配置,并使用防火墙等访问控制设备对高安全等级区域进行边界防护。最后是防火墙安全访问控制。在防火墙上配置常见病毒和攻击端口的ACL过滤控制策略,防止发生病毒或蠕虫扩散,影响核心设备正常工作。
2.3 云安全数据库及配置安全
对于云数据库,应采用C2以上安全控制标准及多层次安全控制原则。操作系统软件应能根据任务合理地分配系统资源,避免由于资源枯竭而停机。软件系统应具备良好的容错能力,保证某一进程故障的出现不会影响其它进程的运行,且能自动进行升级,并具备自动恢复功能,使系统在故障情况下能快速自动恢复。
2.4 云安全监控
云安全监控的目的是确保云平台的可用性,是安全防护过程中不可或缺的。首先是日志监控。通过监控系统的输出日志来监控相关事件。其次是性能监控。通过监控网络、系统以及应用等内容,保证云计算平台的稳定运行,一旦平台发生了故障,能迅速报警。
2.5 云安全审计
云安全审计包括日志收集、数据库审计、网络审计等。云服务提供商需要部署网络和数据审计措施,对网页内容、邮件内容等敏感信息进行审计;完善地记录其日志信息,建立良好的审核机制,并合理地整理相应的目志记录,增强违规事件发生之后的审查能力。
3 结语
企业云安全面临的威胁是复杂多样的,必须针对各类安全问题采取有效性的安全防护策略,进而保证企业的各类数据信息安全,同时也能促进云计算机系统在企业的推广和应用。
参考文献
[1]聂亚伟.企业网络安全解决方案研究与设计[D].邯郸:河北工程大学,2014.
作者简介
李常福(1973-),男,河南省信阳市人。大学本科学历。中级职称。主要研究方向为信息安全及云计算。
篇9
【关键词】校园网络;运营管理;网络建设
【Abstract】With the advent of the information age, it is convenient for users to interact and manage the information. A new digital campus safety management program Ruijie proposed for its excellent performance and safety by the major colleges and universities favor, and have been put into use. Based on the research of network construction, this paper mainly introduces and summarizes the characteristics of the security operation management scheme, and analyzes the performance advantage of this management program on the current campus network construction.
【Key words】Campus network; Operation management; Network construction
0 前言
随着计算机互联网的发展和应用,国内外各大高校的校园网络建设成为高校网络建设的重点,目标是要实现高校业务的全面信息化。校园网络信息化建设不仅计算机网络技术难题,更包含网络硬件设施、信息资源、教学环境等内容[1]。校园网建设的设计原则应充分考虑其实用性、安全性、可靠性、先进性、可扩展性、以及经济性[2],方便全校师生这一庞大群体用户的使用。
随着高校的数字化网络校园建设的全面展开,各种网络应用系统开始广泛应用于教学、科研等方面[3]。数字化校园的最终目标是要达到一种信息集成、应用集成以及社会集成的统一应用门户。
1 方案简介
锐捷网络多年来扎根于中国的教育事业,了解中国教育的现状,提出了很多校园网络的建设和管理方案。
其作为国内教育行业信息化建设的领导者,根据国内高校数字化校园网络建设发展趋势和方向,提出了一种“五位一体数字校园安全运营管理”的管理方案[4],满足全校师生用户的教学工作、科研事务、管理用户等实际应用需求,为用户提供了一个安全可靠的网络平台。同时该方案已在国内各大高校成功建设和投入使用,实现测试效果优良。
该方案是基于准入和准出、802.1x和Web、校内和校外、有线和无线、IPv4和IPv6这五项方面的内容进行设计与研究,分别实现此五项内容的一体化。该方案中五项内容一体化之间相辅相成,共同构建以实现校园网的统一认证运营管理,保证校内网络用户的安全管理和使用。
2 方案实现内容分析
2.1 准入和准出一体化
准入过程用于验证身份,验证所接入网络的用户、主机以及网络的信息标识,确保网络用户合法、真实,保证内部网络的安全性。
准出过程用于区分权限,针对用户的访问校外、网络使用流量、带宽占用等网络用户权限规范[5]。根据校园网络的准出过程,时长、流量、带宽等权限区分做到相互立。以及规范用户的校外使用和校内使用的计费策略等[6]。
准入和准出一体化实现了用户、主机以及网络等信息的自动绑定,确保使用网络的用户身份的合法性,同时根据用户身份权限,规范相应用户的访问控制、带宽和收费标准,便捷了对网络用户管理的同时,也提高了用户体验水平。此外,准入和准出一体化使用户只用一个帐号信息就可以在内网或外网进行访问使用。
2.2 802.1x和Web一体化
802.1x和Web一体化为用户提供了两种网络认证方式。其中一种是基于802.1x的认证客户端认证方式,另一种是基于浏览器Web端认证方式,两种方式适用于的高校中师生的使用情况,方便学区内用户的使用。
802.1x和Web一体化可以实现交换机同时支持802.1x准入和Web准入,部署更加灵活。另一方面,统一认证计费管理平台,也为用户提供丰富的接入认证方式和管理控制。在认证通过时,802.1x准入和Web准入都可以动态绑定用户所使用的IP地址、主机MAC和端口,支持真实源地址保障[5],安全性高,减少投资成本,便于管理。
2.3 有线和无线一体化
有线和无线一体化在校园网建设中具备减少投资成本、降低管理难度等优势。认证过程中均可以采用802.1x和Web认证方式;实现对同一个账号可设置有线包月和无线计时长等多种形式的计费策略,不仅有利于管理,同时使用户方便连接使用。基于无线客户端的认证方式包含有线802.1x认证方式的某些特性,具备防、在线交流等常用功能,其安全性更高、便于日常用户的管理。
2.4 校内和校外一体化
数字化校园建设逐步落实和应用,使得校外的用户通过VPN访问和使用校园网络的需求量,在校园网实际应用中逐步增多。VPN网关能够支持IPSec VPN的客户端认证的同时也支持SSL VPN的Web端认证。
校内和校外一体化采用一种通过验证身份,所达到网络资源访问管理的目的。运维管理人员和网络用户都可以使用一套身份认证就能够使用校园网络资源,大大降低了网络使用中的运维管理复杂度,提高了网络使用效率,提升了用户的上网使用体验,便捷高校的教学以及管理工作。
2.5 IPv4和IPv6一体化
对于支持双栈协议主机的网络认证分为宽松模式、兼容模式以及宽松模式。严格模式下用户可以通过IPv4进行认证而不能将IPv6的报文利用网络转发。而在兼容模式和宽松模式中,对用户的IPv6报文利用网络实现转发的规则较为宽松。
IPv4和IPv6一体化支持用户端主机纯IPv6认证以及IPv4/IPv6的双栈认证方式,支持NAS和RADIUS Server间纯IPv6通信和IPv4/IPv6双栈通信;实现认证后自动获取用户IP信息,统计用户使用情况,方便用户安全管理和计费管理等,使校园网络管理具备减少投资成本和网络用户的管理难度、改进用户网络使用体验和网络安全审计等优势。
3 总结
信息化校园网络建设需要考虑几万师生使用的强大数据流量,锐捷网络“五位一体校园网安全运营管理解决方案”能够满足师生日常的使用,处理好网络中广大师生的各项日常教学任务以及科学研究等工作任务。
利用校园网络的建设,将为开展信息化校园提供满足广大师生需求的通信能力、计算能力以及存储能力。在高校中,建设一个安全可靠、可控制管理的五位一体化校园网络,能够做到主动的网络管理,为广大高校师生提供一个安全便捷的上网环境和更多优质服务。
【参考文献】
[1]施敏,李明,万国平.网络管理员之局域网组建与维护超级技巧1000例[M]. 电子工业出版社,2007.
[2]廖常武,汪刚,黄瑛,等.校园网组建[M].清华大学出版社,2005.
[3]王楠,乔爱玲.高校数字化校园规划体系结构与流程[J].中国电化教育,2008(1):16-20.
[4]谭伟.结缘教育执着前行――锐捷网络服务教育十年[J].中国教育网络,2009(6):51-52.
篇10
1新形势下电网运行维护的安全生产工作存在的问题
1.1外力因素的影响外力因素的影响是来自多方面的,其中比较突出的影响就是恶劣天气的影响,经常会发生雷击和刮风等造成的跳闸,据相关数据显示近几年发生的雷击跳闸最多带到15起,大风引起的电网线路不同期摆动11起,鸟害达3起,覆冰造成的线路电网运行故障达13起,这些自然灾害为电网运行维护和安全生产工作带来了严峻考验。另外随着现代科学技术的发展,在各项生产建设中,大型机械和设备的广泛应用,增加了对电力破坏的风险。线路通道面临的风险对输电线路的安全运行工作带来了极大的难度。
1.2停电风险的影响在电网运行中,由于输电线路的复杂性和多样性,在其运行过程中一旦发生故障就要面临着维修,在维护的过程中,每一项运维工作和每一次操作都有可能存在停电的潜在风险,对人们的生产生活造成严重影响,在新形势下,对电网运行维护的安全生产工作的要求不断提高,因此,做好安全生产工作是新形势下一个重要的研究课题。
2新形势下加强电网运行维护的安全生产工作的对策
2.1强化对安全生产工作的管理新形势下保障电网运行维护的安全生产工作一项基础工作就是台帐。台帐的完整和准确直接关系到安全生产工作的各个环节和方方面面,因此,要对其进行完善和规范,对安全生产的基础资料进行夯实,同时生产管理系统PMS还要对安全生产工作进行实时动态更新。另外对电网的运输设备的日常运行也需要加强管理,充分发挥PMS平台的效用,利用PMS提供的信息,对电网的纵向与横向进行对比分析,在事故障碍、技术监督、运行数据中及时发现电网运行维护的安全生产中的问题,采取针对性的解决方案和措施。落实电网的运行维护策略,为电网的安全生产提供保障,推动新形势下电网的安全快速发展。
2.2电网运行中实行状态化管理新形势下加强电网运行维护的安全生产工作还需要不断创新电网输电设备的运行维护方式,通过新的运行维护方法进一步提高电网运行维护的效率。创新带电作业项目的技术手段,结合新形势下的先进技术,适当的发展直流带电、特高压带电作业,加大SF6气体组分和GIS在线局放设备的投入和应用,保障GIS设备对电网运行维护故障的监测能力,避免因GIS设备出现故障而对其进行抢修工作严重影响电网的运行的状况。另外在电网运行中实行状态化管理,是保证电网安全运行的基础保障,是确保电网运行维护安全生产的保障。因此,需要相关工作人员抓住目前国网公司在跨区直流、特高压输电线路运行维护管理的契机,对其运行状态进行高效的学习和掌握,深化电网输电设备的运行维护中的状态化管理,对电网线路的动态进行定期检查和巡视或进行周期性的检测,制定科学的电网运行维护故障的措施,做到精细化的运行维护管理,解决影响电网运行维护安全生产工作中的问题,保障电网的安全运行。
2.3制定完善制度加强班组管理新形势下加强电网运行维护的安全生产工作对班组的管理,首先通过对电网运行维护进行安全性评价,综合分析评判在生存过程中各项管理制度的贯彻执行情况,对安全生产管理上的事故隐患和薄弱环境进行及时发现、及时处理。其次班组是安全生产工作中重要主体,加强对其管理,选用责任感和事业心较强的,综合素质较高的工作人员作为班组成员,加强工作人员的安全意识。最后加强班组的执行力度,一线班组的执行力直接影响电网的安全生产,关系到电网安全生产目标的实现、工作的推进、任务的落实、工序的控制、计划的实施,因此要加强对班组的管理,强化其安全生产工作的执行力,进而提高电网运行维护安全生产工作的执行效率。
2.4加强对管理过程的控制新形势下加强电网运行维护的安全生产工作对作业过程的管理,首先要制定完善的生产计划,在开始各项生产任务之前,安排最佳的安全生产作业的方法和方式,制定标准化作业流程,对各关键工序的接口进行明确。其次在安全生产工作过程中落实考核制度,实现对安全生产的协调、控制、监督、实施、组织、计划等全过程管理。最后在全过程管理过程中,对各项生产任务进行分析和总结,及时掌握各项信息,采取有效的改进对策。
3结论
