网络安全运维管理范文10篇

摘要：面对日趋严峻的网络安全形势，福建中烟勇于挑战，主动作为，从五大体系建设方面着手，建成了一支高素质的网络安全保障队伍和一套多区域纵深防护的网络安全架构，并具备国际先进的安全管理体系，为公司业务正常开展提供了有力保障。

关键词：安全管理；技术防御；运维保障；风险控制；人才保障

1背景描述

从国家层面看，中央网络安全和信息化领导小组于2014年2月27日成立，《网络安全法》于2017年6月1日起正式开始实施，标志着网络安全已上升到国家战略高度，步入法制阶段；从技术发展看，以云计算、大数据、物联网、移动应用、智能制造为核心的“新IT”浪潮风起云涌，服务化、智能化、自适应、随需而变是其主要特征，全新的信息安全技术正在颠覆传统安全技术，给我们带来了巨大挑战。

2体系建设

福建中烟深刻理解网络安全建设工作的重要性，积极响应国家和烟草行业号召，贯彻行业“分级分域、整体保护、积极预防、动态管理”的网络安全总体策略，从“安全管理、技术防御、运维保障、风险控制、人才保障”五大体系建设着手，大力发展网络安全，建成了一支高素质的网络安全保障队伍和一套多区域纵深防护的网络安全架构，同时还具备国际先进的安全管理体系，有效减少了网络安全风险，保护福建中烟信息资产的机密性、完整性、可用性，确保信息系统安全可靠运行，为公司业务正常开展提供了有力的保障。2.1安全管理体系建设方面。一是组织有保障：成立了信息安全工作领导小组，明确公司党组对全省网络安全工作负主体责任，领导班子主要负责人是第一责任人，统一组织开展公司的信息安全工作。设置了专职安全管理员岗位，为信息安全工作提供了组织保障。二是制度有保障：根据《烟草行业信息安全管理制度建设基本要求》，结合公司实际工作情况，从总体方针文件、机构人员、物理安全、网络安全、设备安全、开发安全和运维安全方面，制订了《信息安全策略》、《信息安全工作管理办法》等共40多个标准化文件，基本完成信息安全管理体系建设，通过了ISO27001信息安全管理体系认证，并深化推进体系运行。三是机制有保障：按照国家和行业等级保护要求，开展等级保护工作，形成定级、备案、测评和整改工作机制。同时，按照行业“三全”工作要求，将“三全”工作法贯彻到日常工作中，形成长效机制，夯实了安全管理基础。2.2技术防御体系建设方面。一是形成分级分域网络架构。根据行业“三全”工作和“分级分域”保护要求，参照等级保护和IATF标准，梳理和分析网络中各应用系统数据流，将信息网络划分为核心计算域、网络边界域、网络设施域和支撑设施域四个区域，每个区域又进一步划分为小的区域，进一步调整优化了网络结构。二是建成多层技术防护体系。根据行业“防入侵、防篡改、防窃密、防瘫痪、防病毒”五防要求，完善核心交换区域和服务器区、用户接入区、互联网接入区、下属单位接入区以及外部单位接入区等各个安全区域的防护措施。三是突出重点保障业务安全。针对公司邮件应用，部署了邮件安全网关设备，对垃圾、钓鱼和病毒等邮件进行过滤和防护；针对WEB应用，部署了WEB应用防火墙设备，防范XSS、SQL注入等网站攻击行为，保护WEB网站不受非法攻击和篡改；针对应用系统远程接入访问安全问题，部署了SSLVPN设备，确保移动办公人员和出差人员安全地接入公司内网。四是部署备份保障数据安全。部署了EMC数据备份系统，根据业务系统的数据备份要求，规划备份空间，制定备份策略，实现了数据自动备份。在完成本地备份的基础上，完成异地备份和恢复测试，达到预期效果。五是强化终端安全管理。加强域名和移动APP管理，建立终端运行环境标准，强化终端安全管理和数据防泄露管理，提高整体安全防护水平。2.3运维保障体系建设方面。一是监控预警能力提升。完成安全运维一体化管控平台建设，配置操作系统、应用和网络设备等监控，分析归并安全设备日志，从应用系统、网络拓扑、机房监控、链路监控和安全事件五个维度对信息系统情况进行监控展示，全面掌握信息系统运行状态，保障信息系统持续稳定运行。二是常态检查分析深入。深入贯彻落实“日查、月分、季评”工作要求，每天对安全设备进行巡检，每月对信息系统运行情况进行分析，每季度开展安全健康检查，发现潜在的问题，提出安全加固建议。三是运维服务管理规范。在安全运维一体化管控平台上固化了故障申告、事件管理、变更管理等IT服务和运维流程，提高IT服务和运维效率，提升了用户服务满意度；部署了运维审计系统，进一步加强了第三方运维人员权限控制和运维操作审计；主要应用系统、网络和安全设备均制订了运维操作手册，实现了IT服务和运维操作流程规范化、自动化和痕迹化，进一步提高了运维管理水平。四是应急保障措施有力。全面分析可能影响信息系统安全稳定持续运行的因素和事件，制订信息系统应急预案，每季度根据应急预案制订演练方案，开展不同科目的应急演练，并对演练工作进行总结，分析、研判和解决存在的问题，持续完善应急预案和演练方案，进一步锻炼了应急保障队伍，提升了应急保障能力。2.4风险防控体系建设方面。一是深入贯彻风险管理理念。运用科学的方法手段，从“五防”着手，重新评估已有安全技术管理措施的有效性。每年至少组织一次全面的风险评估，全面识别网络与信息系统面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，建立网络与业务系统安全风险管理模型，制定有针对性的主动抵御威胁的防护对策和整改措施，最大限度地保障网络、业务信息系统和数据安全。二是组织开展新建系统上线前安全评估、源代码安全审计、基线配置核查、网站安全监测、等保测评和安全加固工作，提高整体预判能力。2.5人才保障体系建设方面。一是重视人才培养。组织安全管理员参加并通过CISP认证培训，每年开展面向网络安全技术人员的专业培训和面向全员的网络安全意识普及培训。二是积极探索学习实践最新安全技术应用。密切跟踪云大物移等新技术的应用带来的新风险，开展基础制造云平台和工业互联网平台的网络安全保障体系研究；开展基于全网数据流量分析及应用层安全检测的网络安全态势感知技术方案研究与设计；密切跟踪主动安全与拟态安全等新兴安全防御思维下产生的新型安全产品，加强对外学习交流。

电子政务指政府部门充分利用现代信息通信技术，实现内部办公、行政管理和公共服务等工作的在线办理，同时通过对工作流程的优化重组，达到对内提高管理效能，对外提供便捷、优质和透明的服务效果。党的报告指出，我们党要全面增强执政本领，要善于结合实际创造性推动工作，善于运用互联网技术和信息化手段开展工作。按照党中央、国务院要求部署，政府部门应积极探索，大力发展互联网+政务服务，通过电子政务技术，改进政务服务能力、提高透明度、降低腐败风险点、减少机关运行成本，进一步强化服务型、高效型政府机关建设。近年来，我国投入了大量资金支持信息化建设，电子政务系统经过长期建设、叠代演进，取得了显著的成效，大量政府核心业务越来越依赖信息化手段实现，政府信息公开、社会管理、公共服务和机关内部办公等业务对信息化依存度大幅增加，提出加快建设以“互联网+服务”模式为基础公共服务体系，是构建集约、高效、便捷、智能新型政府的必然要求。与此同时，为保证政务系统安全、稳定运行而逐步形成的电子政务运行维护体系，经过多年的实践和发展，相关制度、机制、规范和技术越来越成熟，基本能够满足当前运维需要，但随着云计算、大数据、移动互联网等新一代信息通信技术快速发展，电子政务技术难度、系统复杂性和安全性要求越来越高，对政府电子政务运行维护工作也提出了新的挑战。笔者作为政府信息化部门开展电子政务建设、运维工作的一员，结合自身在国家部委和省（市）政府单位电子政务建设、运维管理体系的研究、实践经验，针对新一代信息技术发展下我国电子政务运维工作思考和建议进行总结。

1电子政务运维主要工作内容

电子政务运行维护是指电子政务系统建设完成并交付使用后，为保证系统能够安全、稳定、高效运行，对系统的运行环境、业务功能、内容信息、系统安全等进行管理和维护的工作，重点包括以下几方面运维内容。1.1运行环境维护。指对网络系统运行环境的管理和维护，是保障整体电子政务系统能够安全、稳定运行的基础。主要包括对电子政务机房机柜、电力系统、空调设备、通信线路等基础物理支撑环境的维护；对网络设备、存储设备、主机设备等的策略配置、故障诊断等网络环境的运维；对防火墙、主机系统、存储系统、备份恢复等系统的升级管理；对局域网内计算机故障诊断、板卡更换、配置修改等运维。1.2系统功能运维。指根据业务需求的变化对系统的功能进行升级改造，是电子政务运维管理的关键内容。功能运维能力是体现电子政务业务发展水平的重要因素，要求运维人员既要熟悉机关业务，又要熟悉信息化系统的管理。主要包括系统功能增减、流程优化、版本升级等功能开发；bug修复、需求变更等维护性开发；人员权限变更、数据的校正和修改、日志的管理等；系统在进行建设及规划过程中的安全设计和管理；对应用系统进行功能调研等。1.3系统内容运维。指系统投入使用后，对系统运行过程中产生和使用的数据、图像、语音、视频等信息进行管理和维护，针对系统内容的运维、使用和管理是建设系统的最终目的。主要包括对数据版本控制、占用磁盘空间、存储位置、存储系统等维护；对不同业务系统之间的信息交换进行管理维护；管理和维护单位内外网站、大屏、触摸屏系统上的信息，以及信息系统；对数据库和数据仓库系统、音视频系统、应用系统等进行数据备份，并检查备份数据的有效性等。1.4系统安全运维。指为确保系统安全运行，防止发生安全事件，对系统的物理安全、网络安全，以及安全管理进行的维护工作。主要包括对防火墙进行故障诊断和问题排除，对服务器、核心路由器、交换机等关键网络设备进行安全检查；制定、配置和更改访问策略，以及设定、调整安全级别；及时更新杀毒代码和引擎，对服务器和客户端开展关键更新；定期对IPS/IDS、安全网关和安全审计等网络安全设备进行跟踪，发现问题后及时修补漏洞；对数据备份和恢复措施进行网络安全管理。

2新一代信息技术发展特点

新一代信息技术发展的特点是，以云计算、大数据、移动互联网等为代表的新型技术快速发展，引起能源、电力、通信、交通等几乎所有重要行业发生深刻变革，并由此引发更为复杂、更为受关注的网络安全问题。2.1云计算。各国政府对云计算技术保持高度关注，并持续支持云计算在电子政务领域的应用，一方面希望减少在基础设施方面的投入，降低运行维护的成本；另一方面希望通过云计算技术带动信息产业的整体发展，力图在新一轮发展中保持领先。建设以云计算为基础的，以全方位业务协同、信息资源共享及信息安全保障为目标的新一代电子政务基础设施已经成为当前国家以及各地政府的共识。我国政府大力支持云计算发展，特别在电子政务领域中的应用。《国务院关于促进云计算创新发展培育信息产业新业态的意见》（以下简称《意见》）中明确指出，云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态，是信息化发展的重大变革和必然趋势，进一步坚定了各政府部门应用云计算加强电子政务建设的信心和决心。2.2大数据。“智慧来自大数据”，电子政务建设必须充分发挥大数据优势，建立在大量数据分析基础上的政府决策，能够提高决策的科学化、精准化水平，可以进一步提升电子政务价值，是建设智慧政府的基础。例如在城市管理方面，利用大数据分析能够使城市管理更加智能化，其他诸多产业通过大数据分析能够发现创新升级机会点，进而在竞争中获得先发优势。近年来，大数据受到社会各界广泛关注，我国政府大力支持大数据发展。2016年12月，工业和信息化部正式印发《大数据产业发展规划（2016-2020年）》，强调实施国家大数据战略，推动大数据产业持续发展，是党中央、国务院作出的重大战略部署，为加快推动大数据产业健康快速发展提供了政策依据。2.3移动互联。随着我国“互联网+政务服务”的持续深入和移动互联网的快速发展，政务APP发展空间巨大。一是很多省、市相关政府部门逐步开通政务APP，覆盖范围越来越广；二是政务APP的设计形式和服务内容不断改进，功能越来越完善；但当前政务APP发展还存在缺乏顶层规划指导，重复建设、各自为政现象日渐加剧等问题。因此，下一阶段应加强政务APP规划顶层设计，采取集中模式建设移动政务应用，进一步突出APP的功能性和集成性特点，大力发展一站式的移动政务门户，同时注重APP的后期运营和用户体验效果，提高政务APP的生命力。2.4网络安全重要性提升。电子政务网络安全管理是做好运维工作的基础。随着信息通信技术的高速发展，工业互联网、5G技术、人工智能、物联网等技术和应用的融合升级，“互联网+政务服务”进一步深化，网络安全的重要性进一步得到提升，对安全运维工作提出了更高要求。另外，网络安全管理体系历来存在重技术轻管理问题，对于系统的安全管理，过于盲目相信先进技术，存在忽视网络安全运维管理人员意识和责任等问题。

3新一代信息技术下电子政务运维管理特点

摘要：局域网在社会生产生活管理中所起到的作用不断得以提升，但是由于网络系统运行的特殊性，使得局域网安全管理的重要性也不断提高。本文以上海中国航海博物馆为例，在阐述项目背景和项目实施必要性的基础上，对项目建设内容进行深入分析，对中海博局域网网络安全建设方案内容进行分析，以期为同类型局域网安全建设和管理提供理论指导。

关键词：局域网；网络安全；要点

互联网技术的应用给现代社会发展起到了重要的促进作用，但是在实际运行中由于多方面因素的影响，使得网络运行中常会出现安全防护问题，造成数据损坏或丢失，以此给企业带来较大经济损失，甚至会造成严重的后果。因此在局域网建设和运行中，必须依赖于一定的安全防护对策，强化网络安全防护水平，以此确保信息防护安全，保障企事业单位工作正常运转。

1项目概述

1.1项目背景。近年来，随着博物馆信息化建设步伐的加快，上海中国航海博物馆（下简称“中海博”）基于各业务信息系统的大数据交换和共享的需求也日益增长。博物馆网络信息安全防范需要综合计算机网络信息管理各个层面、各个环节的不同要素，围绕“做好内部网络环境的治理、阻止外界入侵”，不断加强对网络信息安全方面的研究，并制定出科学的防护策略，进而使其防护手段能够全面适应当前博物馆计算机网络技术的发展需求。现阶段信息安全形势严峻，网络攻击、信息泄露、勒索病毒等安全威胁层出不穷。特别是一些境外敌对势力，常常在重大节日或关键会议期间，对国内的机关和企事业单位发起集中攻击[1]。同时行业各监管单位也对下属机构开展相关的安全检查工作，以帮助发现自身安全问题，督促整改。中海博在建设信息化平台的过程中，始终对信息和网络安全保持高度重视，积极开展信息系统安全工作，保证核心业务系统基本的安全。但是随着行业安全形势变得越来越严峻，监管要求的加强，《信息安全技术网络安全等级保护基本要求》（以下简称：等保2.0）的提出，以及新业务对互联网的开放程度加强。目前整体业务系统依然不能满足要求，需要进一步完善和加固。1.2项目实施的必要性。网络安全管理对于我国信息安全具有重要的保障作用，在博物馆等大型公共场所运行中，必须强化对这方面工作的重视程度。中海博除内部工作人员使用的办公网络外，还有包括电子消费系统、藏品管理系统等业务系统以及展厅内大量终端、WiFi基站等都需要使用网络系统进行接入。如果网络系统受到攻击，必然会对日常工作造成极为严重影响[2]。中海博虽已建立了基础网络系统，也具备了防火墙等最为基础的信息安全设备。但随着智慧博物馆的建设，无线网络的加入、日渐增多的应用层业务系统，以及因为观众的诉求和需要，内外网融合等情况，也产生了较大的网络安全隐患。网络的安全性会直接影响到博物馆整个信息化系统的安全性，所以，提供安全的网络运行环境至关重要。

2项目建设内容

摘要：在网络技术盛行的今天，网络的出现为人们的生产生活带来了极大的便利，并且已经渗透到日常生活的方方面面中去。计算机网络作为信息传播和接收的载体，其利用价值非常高，加强网络管理的运维对于保证计算机的安全和计算机设备的安全运行有着重大意义。该文主要讨论了计算机网络维护和管理的意义，同时总结了计算机管理运维方面的策略，以便于计算机网络运维工作的正常开展。

关键词：管理运维；计算机网络；工作环境

1背景

当今社会，计算机广泛应用于各个领域，并且已经成为人们日常生活中不可缺少的一部分。对于计算机网络来说，对计算机网络进行合理化的维护，可以在减轻人工负担的同时大大地提高工作效率，保证计算机服务器和各个软件系统避免收到木马病毒的攻击。而近几年来，计算机的管理运维已经受到人们的广泛关注。本文从网络维护管理的意义下手，针对在网络管理运维过程中存在的网络环境良莠不齐和相关人员缺乏专业能力的现状，提出了加强网络信息加密处理能力、加强基础架构、构建防火墙体系和加强内部管理制度建设的策略。

2网络维护管理的意义

2.1保障计算机安全。二十一世纪，网络科技如雨后春笋般一样迅速崛起，像洪水拍击海岸势不可挡，走进千家万户。目前，大家的重要信息一般都是储存在计算机中，一旦网络系统受到木马和病毒的攻击，可能就会对自己的生命财产造成巨大的损失。在计算机网络防护体系不健全的今天，自己的小隐私、小秘密，如果不稍加注意，很可能就会通过计算机散发出去。在利用计算机网上冲浪时，不浏览、不观看不健康的视频和小说，及时抹去自己的上网痕迹，可以有效地避免个人信息在网络环境中泄露。而计算机网络管理运维的意义就是不让储存在计算机中的信息泄露出去。2.2确保计算机设备的安全运行。计算机网络维护主要是由硬件维护和软件维护两部分组成，它们在网络系统工作中占有着举足轻重的地位。计算机网络的安全运行，离不开软件和硬件的协调合作。比如，现在的汽车组装行业，计算机网络系统的配置，在减轻人工负担的同时也大大地提高了工作效率，然而在这样便利的条件下也会出现问题，其主要的原因是一般都是人为操作不当而引起的网络安全问题。为了保证网络系统工作的正常运行，这就需要对计算机网络进行合理化的维护，保证服务器和各个软件系统避免收到木马病毒的攻击。

晋中市财政局围绕财政网络和信息安全建设，全力打造财政软硬件支撑平台，2017年至2019年三年期间，市局累计投入信息化建设资金3175.3万元，全部用于网络、系统维保及基础环境软硬件建设。

一、基本情况

（一）网络和信息安全管理。体系建设情况安全管理制度建设层面上，市局不断加快网络和系统安全制度建设步伐，多次组织召开专题会议，研究部署安全制度建设工作，先后出台了《互联网上网管理规定》、《电脑及办公网络使用管理办法》、《晋中市财政局计算机系统安全与磁介质保密管理规定》、《晋中市财政局信息系统管理风险内部控制办法》和《晋中市财政局信息中心内控操作规程》等多项制度规范，补齐了网安制度建设的短板。网络和信息安全领导机构层面上，市局领导高度重视网络和门户网站等信息系统安全防护工作，成立了专门的网络安全工作领导小组。领导小组下设办公室（简称“局信安办”）。领导组及其下属办公室工作职责明确，责任落实到位。（二）等级保护与风险评估。情况2016年以来，市局按照上级部门的要求和局领导的安排，围绕网安等保工作精准发力，结合业务调整现实情况，共计定级、备案4个三级系统（国库集中支付、非税收入、部门预算、大平台）和3个二级系统（OA及档案系统、内网网站），委托第三方安全测评公司累计测评3次，发现并整改问题241项，四年来共计投入等保经费78万元。今年上半年共计投入等保经费26.7万，分别对国库集中支付系统、大平台、部门预算三个系统组织了等保测评。（三）财政专网管理及信息。安全防护情况一是各网络分别架构于不同的路由器、交换机和布线通道，连接互联网PC还进行了MAC/IP捆绑，严格实行了不同网络间的物理隔离，业务网络终端不能上互联网，只能在业务专网环境下运行使用；二是强化杀毒软件部署。按省财政厅要求，2017年对内网全部PC机安装了趋势杀毒软件，共计部署完成122台内网PC端，淘汰了市局之前使用的瑞星杀毒。市局外网PC机安装了360和瑞星等杀毒软件。另外，通过应用管理引擎，限制工作用计算机对不良网站的访问。对移动存储设备及时杀毒；三是部署终端管理软件。在2011年市局就部署了莱恩塞克终端管理系统，2017年对连接城域网的200多家预算单位进行了扩容升级。通过管理平台既可以实时监测内网、城域网上的PC机非法外联情况，又可以通过平台对违规外联的终端及时断开与内网的连接，消除网络安全隐患；四是加强运维巡检。在日常运维过程中，通过登录日志审计系统、安全管理平台查看、分析日志，排查安全隐患。

二、主要存在问题

（一）网络安全意识不强，。管理制度落实不到位一是U盘等移动存储介质管理缺位，不按规定事先杀毒，在内网机上随意插拔滥用，增加了内网机感染病毒风险；二是个别县局单位网络、安全设备弱口令问题突出，长期不更新，设备密码泄露风险大；三是市局尤其是县级单位管理制度不完善、落实不到位问题突出，尚未形成完备的制度管理体系。（二）技术力量薄弱，应急能力不足。一是市县两级信息化管理人才短缺严重。全市现有信息中心工作人员20名，专职人员占比仅为1/3，其余全部为兼职；二是现有技术人员基础能力较差，人员配备参差不齐，难以满足财政信息化建设能力需要；三是县级财政信息化管理体制尚不完善，2/3的县局单位缺少专业的信息化管理机构；四是市局尤其是各县专业技术人员编制少、水平低，不少县级财政信息中心存在一人多岗的情况，缺少一支专业可靠的应急技术队伍。面临网络安全事件应急能力不足、经验缺乏、应急预案缺失，学习培训工作有待进一步加强。（三）网安建设经费不足，安全保障水平不高。信息化建设经费投入不足、安全建设经费占比低已成为制约县级财政网络安全建设的重要瓶颈，主要体现在以下几方面：一是各县等保工作普遍“缺位”。按照公安部门和省厅3号文件要求，各县应全面实施落实等保制度，保证等保工作落地实施。目前，全市仅市局和介休2家单位组织了等保测评，其余各县均未推广等保工作。二是网络边界防护能力不足。全市仅市局、介休、昔阳3家单位按省厅指导意见在横向城域网上部署了防火墙、入侵防御系统、防毒墙，其余单位城域网边界仅部署有防火墙，种类比较单一，不具备多层次安全防护能力。此外，仅市局、介休2家单位符合信息安全等保中设备冗余部署要求。

三、工作建议

一、平台架构与功能

综合网管平台是一个网管运维指挥调度平台，集多种功能于一体，主要包括参数监控、声光报警系统和专家诊断等。在综合网管平台中，多个子系统包含其中，各个子系统需要独立运行与建设[1]。(一)机房环境动力监控子系统所监控的是机房中的全部动力设备和环境状态，主要包括变电箱、图像和空调等。(二)传输设备监控子系统做监控的是机房中的传输设备与野外设备的指标和运行状态。(三)机箱监控子系统中，应用GSM无线网络等传输方法，对野外落地箱和光站的开闭状态进行监控[2]。(四)反向信道监控子系统实时监测HFC网络回传信道。(五)A平台监测子系统实时监测HFC和所有射频信号，从中获得电平与信噪比等信息，在其超出规定的门限时，主动报警。(六)B平台监测子系统实时监测所有B平台设备通讯，从中获得吞吐量等信息，在其超出规定门限时，主动报警。(七)GPS车辆调度子系统实时监控全部工程抢修车，在出现网络故障需要维护的时候，对距离进行查看，在较短时间中抢修最近车辆。(八)其它监测子系统中，以业务发展情况为依据，综合平台能够管理的系统包括交互式机顶盒与数字电视前端等。

二、建立有线电视传输网络监控平台的重要性

当下，三网融合，网络技术迅猛发展，朝着宽带化和数字化等方向发展。以较快速度推动新一代广电基础网络改进。各种增值业务飞速发展与兴盛，主要包括互联网接入和数字电视等。在广电方面，正朝着电信级运营商不断发展，必须将市场、客户和服务作为重要对象。因为历史原因和技术原因，广电始终对支撑网建设比较忽视，相较于电信网络运营企业，其运维水平与管理水平比较低[3]。目前，广电基础网与业务网建设均取得长足进步，在此条件下，广电运营网络中，支撑网成为其短项，无法对网络安全和多种增值业务发展等的需求。所以，需要将更多精力投入在支撑网建设中，将网络安全和快速运维作为中心，完成具备较强可靠性的网络监控平台的构建，从而为广电网络运营商提供重要竞争力(如图1)。(一)在网络安全方面，传输网络监控平台有其重要价值。针对广电而言，安全是其首要工作。主要原因是，当前社会最为直接和重要的媒体是电视，其受众范围广，并且带给受众人群最强感官刺激，所以相较于其他运营商，广电具备一定特殊职能，那便是网络安全。同网络安全相关的因素较多，主要包括自然灾害和意外事故等。人工值守等传统方法无法对这种类型的问题进行根本解决与处理，在全新的形势之下，需要突出网络安全的多种特征，主要包括科学化和制度化，充分应用各种先进技术手段，比如人防结合等，从根本上解决网络安全问题。网络安全这一难题始终存在，主要原因是不能够预测即将出现的危机，只能够提前得知涉及安全的隐患所存，在安全事故发生的时候，相关人员可以采取有效措施。在网络安全方面，可以将其分成两个层次，分别为网络基础设备的破坏和网络传输信号的入侵，这两种层次有着较强关联性。对于第一层次而言，可能具有蓄意性质，例如光设备和光纤投到等，也有可能是无意破坏，包括无意割断光纤导致停播等。在日常网络运营过程中，破坏网络基础设施的现象经常出现，在智能化工具出现之后，不只可以对故障发生进行预测，由此对其进行提前维护，而且在发生突发事件之后，能够在较短时间中组织抢修。将非法入侵网络信号这种行为归属于政治破坏，当下网络插播方面的非法信号入侵比较常见。目前，卫视信号实现换星，自此之后，攻击难度加大，所以将关注点转向了有线网络，近年来时常发生非法闯入无人值守机房等事件。所以在网络安全方面，监控机房和野外设备是一项至关重要的工作。通过建立有线电视传输网络监控平台，可以实现全面监控的目的，同时在同一平台上，实现不同类型网元的统一监控功能的集成。在该平台中，可以充分应用短信报警系统等多种方式，实现这些方式和小区保安与GPS车辆调度等的联动，由此以较快速度从整体上提升广电网络安全指数和应急处理能力。(二)在网络运维方面，有线电视传输。网络平台也有着较大价值网络运维有其重要目的，主要是实现网络服务质量的提升。目前，人民群众抛弃广电选择电信，其主要原因是IPTV自身具备较强互动性，电信营销手段较为突出，并且相较于广电，电信网络具备更大优势，电信网络提供重要保障，在此条件下，电信能够在网络中开展更多更加优质的业务。与其它网络相比，广电基础网络具备较多优势，不过在业务方面非常落后，主要原因是广电网络支撑维护系统较为薄弱，是广电的短项。所以，目前三网实现了融合，在此背景之下，今后广电要在市场中占据重要位置，主要是建设基础网络，并且为网络建设提供重要支撑。从有线电视传输网络监控平台方面来说，其最终目的是实现以上支撑网的多种功能。举例来说，在网络上具备骨干光纤网，这都是具有冗余备份的，如果破坏了主路光纤，可以自动启用备份路由。若是尚未开展支撑网络建设，当主路遭受破坏之后，相关工作人员可能不会发现，如果备份路由也遭受了破坏，有极大可能发生重大播出事故。在完成支撑网络平台建设之后，若是发生了主路故障，在三十分钟之内就可以完成修复，主要原因是为网络提供支撑作用的监控平台可以提供明确的故障原因与发生地。举例来说，在某个小区中，一个光站带500户，在较长年限中光站始终处于运行状态，某一天，该光站内部朝着接收模块性能劣化，在较大程度上降低接收光功率，已经降至-5dBm导致所有住户无法收看电视。在完成支撑网络平台构建之后，若是模块接收光功率降至-3dBm，系统会自动报警，并且在第一时间实现模块更换，用户无法收看电视的情况便不会出现。该例子只是电视信号传输的例子，当双向数据业务开展之后，用户正在炒股，网络突然断开，人们尚不清楚，在用户投诉之后才能检查和修理，要完成这一系列操作可以已经过去了两个小时。在这段时间中，股票市场将发生较多变化，有可能给股民造成不可挽回的损失。对于人民群众而言，所选择的网络服务提供商一定是最好的，从而体现出网络快速运维的价值。

三、结束语

综上所述，有线电视传输网络监控平台对网络传输和网络运维有其重要价值，将网络安全监控和运维指挥调度集为一体，已经实现了全网络监控的目的，从广电网络到分中心机房到人民群众终端，与此同时，从该系统可以看到整个网络的整体状态，由此判断接下来网络即将发生的变化和故障，从根本上实现电视网全网可以管理和控制的要求。

摘要：目前覆盖全国的部-省-市-县四级环保机构的业务专网已是环保系统重要的网络支撑，视频会议、电子公文传输、污染源自动监控等重要应用系统运行于该网络。要加强网络的日常监控，出现断网或拥塞等情况应及时处理，保障网络畅通。重视网络与信息安全，认真排查网络安全隐患，防止因各种软硬件故障、病毒侵袭破坏等原因导致系统崩溃和网络瘫痪。如何更好的保障环保专网及业务系统的稳定运维，应该从技术层面和管理层面去管理网络，其中技术层面有物理支持环境安全、网络和通信、主机环境安全、应用系统、数据备份等；管理层面分为安全管理制度和运维安全管理。

关键词：环保专网；网络安全：管理运维

一、加强网络安全保障体系建设

在网络安全保障体系建设中首先要梳理资产了解网络现状，能发现问题，预防风险并能跟踪审计，从技术层面和管理层面进行建设。技术层面主要考虑的是：物理支撑环境、网络和通信、主机环境安全、应用系统、数据备份；管理层面：安全管理制度、运维安全管理。安全策略：检查防火墙策略是否开启了严格访问控制（最小化授权），检查IPS/WAF/防毒墙/、邮件网关策略是否防护了相关设备；安全检测：检查IDS系统/APT设备检测记录、分析内部威胁情况，检查准入系统，各终端是否接入平台，是否有违规接入和非法外联，检查边界防护设备日志（FW/IPS/AV/WAF/邮件网关），分析是否有外部攻击行为；安全审计：检查设备是否开启日志功能，并接入日志审计系统，关联分析，检查各设备是否接入IT运维管理系统，检查各设备是否通过堡垒机进行运维，分析上网行为系统和流量回溯系统，审核用户行为和服务器访问状况；设备防护：检查设备是否开启身份鉴别，检查设备是否限制了管理地址，检查设备是否开启了密码策略和账号锁定策略，检查设备是否采用加密管理，检查设备是否建立了分级账户。网络结构安全：是否采用了弹性网络架构（HA、虚拟化、双链路）、是否开启了网络优化（DHCP、BPDU、禁用无关协议）、绘制真实拓扑结构，分区分域设计、是否制定了网络规划。访问控制：各区域边界是否部署应用级防火墙、网站边界是否有抗DOS攻击系统、外部访问是否进行VPN加密传输、内外网互通是否部署网闸。安全审计：是否部署网络回溯系统、是否部署上网行为管理、是否部署IT运维管理、是否部署堡垒机、是否日志审计系统。边界完整性检查：是否部署网络准入系统、是否部署终端准入系统，非法外联检测。入侵防范：网络边界是否部署IPS（防火墙模块）、是否在关键网络部署IDS、是否部署未知威胁检测APT系统。恶意代码防范：是否部署防毒墙、网站边界是否部署WAF、网页防篡改、邮件系统是否部署邮件防护网关（垃圾/恶意邮件）。

二、在日常网络管理工作中需要注意的地方

（一）网络安全自查。首先要对基层设施如机房设备记录表、检查机房制度清单表、出入机房登记表进行检查。还应该对网络安全保障体系自查，如核心设备是否冗余部署、各网络边界是否部署了应用级防火墙、是否部署上网行为管理硬件设备、是否部署终端安全管理系统、是否部署安全网闸等。我们还要做好终端的准入控制，包括身份鉴别和健康状态检查，关闭无用的交换机端口，对于无线接入网络要做到无线AP和核心交换机之间的安全隔离，也就是部署应用级防火墙。（二）系统弱口令的问题。通过专业设备进行系统弱口令扫描，杜绝弱口令的问题，尤其是系统在建设期内程序员为了方便管理设置的弱口令，在系统正式上线后是否还没进行更改。（三）系统漏洞问题。为什么我们会受到攻击，是因为我们本身存在漏洞，有可以被利用的点。如近期爆发的勒索病毒，国内多行业遭受勒索攻击，看似安全的内网或专网平台，依然受到攻击，表明多数行业的服务器及终端存在着安全漏洞。因此需要定期进行漏洞扫描，及时掌握系统漏洞，并进行修补。这个可以算是事先的安全防护。漏洞扫描主要分为两类，一类是系统漏洞扫描，主要针对系统平台和数据库、中间件等，包括发现系统平台存在的安全漏洞、安全配置问题、中间件系统安全漏洞、检查系统存在的弱口令和收集系统不必要开放的帐号、服务、端口等等。另一类是WEB应用漏洞扫描，主要针对WEB应用平台，包括定位应用系统的漏洞，网页挂马检测和SQL注入攻击检测等等。

摘要：分析了自动化运维安全管控现状，介绍了堡垒机的基本功能，并按相关要求在电力监控仿真培训系统中部署了堡垒机，提出了堡垒机“一个目标、三种角色”的培训方案，开发了堡垒机培训项目，以提高自动化运维安全管控水平。

关键词：自动化运维；安全管控；堡垒机；培训

电力行业关系到国计民生，电力监控系统的安全问题至关重要，如果维护人员违规操作导致信息安全事件，会造成难以挽回的损失和影响。堡垒机在特定的网络环境中，通过不同方式进行网络活动分析处理，确保网络安全稳定。堡垒机的安全稳定运行与企业数据安全有着直接联系。堡垒机从最早的跳板机发展为目前的第三代堡垒机，可接管终端计算机对网络和服务器的访问，并可融合多种用户使用要求，其支持的协议也逐渐增加，例如FTP协议、数据库协议、Web应用协议、网管协议等。目前电力运维堡垒机的建设工作陆续开展，但现场工作人员对堡垒机功能和使用方法的了解有待加强。本文在调度自动化仿真系统中部署堡垒机，并对学员开展堡垒机相关培训。堡垒机可在不改变业务系统原有架构的情况下实现对内部违规操作风险的有效控制，从而提升学员的职业素养，预防内部信息安全事件的发生。

1自动化运维安全管控现状

传统运维模式下，运维人员主要通过KVM（Key⁃boardVideoMouse，简称KVM）或直连信息设备进行变更、配置、备份与维护等操作，存在一定安全风险［1］。

1.1账号及授权管理混乱

摘要：目的：基于西北空管局数据平台的架构，探索云架构下的网络安全设计。方法：利用虚拟私有云（VirtualPrivateCloud，以下简称VPC）与子网的划分，安全组与网络ACL（访问控制列表）的配置，虚拟专用网络（VPN）隧道的搭建，主机安全服务，在数据上云，数据解析入库，数据应用服务，远程运维全流程进行安全防护。结果：云上数据及业务安全得到了有效保障。结论：通过云安全组件和安全策略配置，可以实现云架构下的网络安全。

关键词：云架构；数据平台；网络安全；VPC；ACL；安全组；VPN

民航空管行业长久以来一直注重网络安全的建设与保障。随着云计算、大数据、物联网、人工智能等新技术的出现与发展，网络安全已经不在限于对网络传输层面的保障，数据安全的重要性日益凸显。西北空管局按照高质量发展的要求，大力推进“强安全、强效率、强智慧、强协同”的现代化空管体系建设。为了做好“强智慧”的相关内容，西北空管局数字化转型团队通过不断的尝试与探索，设计了基于云架构的数据运行平台。设计不仅包括数据平台涉及的组件选型、性能等技术指标，数据治理和业务架构等业务指标，网络安全及数据安全也是其中的重要部分。基于云的数据平台在技术上是先进可行的，也是未来发展的方向，但是在云架构下如何保障业务数据的安全稳定是需要面对的全新问题。通过研究云上相关安全组件和安全服务，提供云架构下网络安全与数据安全的建设保障思路。

1西北空管局专属云架构设计

西北空管局的生产业务数据先引接至数据代理转发平台，该数据代理转发平台采用在Linux系统上搭建开源Ngnix代理程序的方式，实现数据转发代理功能。经转发平台代理后数据通过IPSecVPN专线上云至ELB组件，加强数据负载均衡能力，提高数据可靠性及连续性。之后，数据接入部署在CCE容器中的数据解析程序，将原始业务数据解析成JSON格式数据。根据前端业务场景对数据需求的不同，通过KAFKA、Flink、数据集成平台分别进行转发。部分JSON数据直接通过数据集成平台提供数据服务，全量数据通过Flink进行入库操作，根据时效性需求分别存入实时性数据库（TP场景）和分析性数据库（AP场景），TP场景选取Postgres数据库搭建，AP场景选取GauseDB数据库搭建。前端应用程序部署在云服务器上，根据需要从AP或TP数据库获取数据，对外提供服务.同时，西北空管局还涉及一部分不依赖于业务数据的系统，这类系统大多为政务类独立系统，根据西北空管局数字化转型顶层规划，这类系统需逐步迁移至云上，不再采用传统独立服务器部署的方式。对于这类系统，在云上单独租用了部分云主机，以系统为单位划分，将各个系统的核心软件程序，数据库，APP部署在指定分配的云主机上。西北空管局专属云架构如图1所示。

2基于云架构的网络安全能力

摘要：从传统校园到数字校园再到智慧校园，教育信息化的发展突飞猛进，尤其是教育部《教育信息化2.0行动计划》和《2020年教育信息化和网络安全工作要点》对信息化和网络安全提出了明确的建设目标。智慧校园的正常运转，信息安全是一个尤为重要的保障因素,校园中的人、财、物、事所产生的数据对校园的稳定、教育教学工作的正常开展都会产生巨大的影响。笔者主要对智慧校园信息安全体系建设的内容和策略进行探索和实践。

关键词：智慧校园；信息安全；体系建设

1概述

教育部《教育信息化2.0行动计划》的为高校智慧校园的建设指明了新方向、新目标，提出了新要求、新任务，高校的管理、教学、科研以及产业对接等工作的信息化程度也越来越高。随着校园信息化程度的逐步提高，信息安全也成为一个不可忽视的问题。在信息化2.0背景下，教育部印发的《2020年教育信息化和网络安全工作要点》中提出“加强教育信息化和网络安全工作统筹部署”，并要求“开展教育系统关键信息基础设施认定和检查，落实教育新系统关键信息基础设施安全防护，组织开展教育系统应急演练，建立覆盖数据全生命周期的安全管理机制”[1]。

2智慧校园信息安全的现状

信息安全是智慧校园正常运转的重要保障，主要通过硬件设施、网络安全技术以及制度体系等的综合运用实现信息化管理系统运行的安全性、保密性、稳定性、可靠性以及完整性[2]。智慧校园建设所涉及的基础设施、应用服务、管理体系以及辐射服务越来越综合，产生的数据量越来越大，这些都加剧了智慧校园系统的风险性，如何做好信息安全保障是一个亟需解决的问题。从整体看，随着教育信息化建设的深入，校园信息安全建设对管理、运维等的协同性要求越来越迫切，相关人员的信息化素养亟需提升。从现状分析，重建设、轻管理、偏设施以及轻安全等情况依然比较普遍，从制度层面看对信息安全的管理缺失、基础建设支持不到位。此外，管理层对专门的信息安全技术人员队伍建设重视程度不够，大多由网络中心负责运维的人员兼管，这些人员对信息系统的技术掌握不全面，也没有得到必要、全面的技能提升培养[3]。