电网网络安全方案篇1
关键词:广播电视网;媒体;传输;网络安全
在广播电视系统中所传输的信息种类很多,以媒体的种类来区分可分为视频、音频、图片、数据等介质;从视频网站中的各类应用来看,有电视节目直播、视频点播、多媒体信息查询、节目回看、大数据查询以及其他媒体形式的专题等;从传输手段看有网络、无线发射、有线电视、微波传输、卫星传输等,形成“天地一体,星网结合”的立体传输网络,打通了传输方式全覆盖,实现信息、介质传输的多渠道输出,为用户多渠道获取媒资信息提供了方便。广播电视网络具有高带宽、高速率,多用途,终端传输不对称等良好特性,而广播电视信息中的大视频,多语言等媒体信息在传输中需要较高质量的传输媒介。目前,安徽广电视频网站在传输媒资信息时,直播还无法做到所有频道的全覆盖,点播所有栏目、所有期数无法全留存,遇到节假日或者特别直播时,网络出现卡顿、无法打开等现象,视频网站受到攻击风险激增,用户人数、业务在增加,所以需要对安徽广播电视台视频网站网络安全面临的风险进行评估并逐步解决。
1安徽广播电视台视频网站网络安全面临的系统安全风险
从整体来看,安徽广播电视台视频网站网络系统高安全风险主要出现在以下三个层面:
1.1网络层面
由于网络系统访问控制策略设计的不合理或缺乏一些严格的网络安全产品(如防火墙、iDS、防病毒、业务监控网关等),导致外部互联网上的黑客或病毒可以趁隙入侵或破坏,影响整个广电服务的资讯提供质量。视频网站网络安全影响广播电视媒体正常传播,所以,在网络层面必须制定策略确保网络安全,网络安全威胁一直威胁着安徽台视频网络的安全传输,一旦发生网络病毒大肆攻击,威胁着网络安全,影响千家万户对广播电视媒体的正常使用。确保网络层面安全关系重大,把控好网络层安全,保证视频网站的正常传输。
1.2系统层面
由于网络设备和服务器操作系统的安全漏洞频繁出现,利用这些漏洞的入侵工具和病毒(蠕虫)等攻击手段也随之产生,导致安徽广播电视台视频网站存在随时被黑客入侵或蠕虫爆发的可能。系统层面的威胁可能是存在于系统根上,也有可能存在于外界的入侵。对于系统根上的基因自带的漏洞需要及时弥补漏洞,补丁,短板需要及时堵住;对于来自外界的入侵需要做到严加防范与系统监管。
1.3管理层面
安全事件发生的主要原因往往是安全管理问题,缺乏有效的安全管理制度、安全制度执行与监督不力、没有统一的安全策略、没有严格的机房管理制度等,一系列不严格措施均可能导致内部人员工作松懈,为外部黑客的攻击创造了条件,甚至内部人员恶意的窃听、破坏、偷窃信息等。管理层面的疏忽成为现如今发生网络安全威胁的重要原因。安全管理制度的制定与有效的执行是防范安全事件发生的有效办法。做到日查、登记备案、应急演习都能够有效防范安全事件的发生。制定有效的安全管理制度、有效的执行、良好的机房管理环境、强大的维保队伍需要在管理层面下功夫,做到管理层面的不疏忽、不懈怠,及时高效保障网络安全。针对安全风险出现的三个层面的剖析,经过前期对广电整体网络拓扑的分析,目前安徽台视频网站的网络安全风险主要存在于如下几方面:(1)网络出口现有安全设备的抗攻击性能难以满足安全需求,一旦发生大规模的网络攻击(如各种DDoS攻击等)时容易出现流量拥塞甚至瘫痪,导致业务不可用;(2)安徽省广电ip承载网互联网出口缺乏针对应用层攻击的检测及防御能力,此类攻击的典型特点是以小搏大,即使很小流量的攻击,也会造成业务不可用;(3)视频网站接入互联网,需要超强的辨别识别能力,必须时刻了解跑在网络上的各种业务带宽的使用情况以及流量情况,只有这样才能传输大量数据内容,特别是媒体信息,才能保证老百姓网络环境正常,保证各种业务的正常开展以及良好的用户体验;(4)因为无限制的p2p、在线视频等新兴业务对广电网络带来的电信业务收入、带宽利用等威胁,所以,视频网站网络必须对使用的业务所需的网络环境进行控制和管理,只用做到良好监管,有序分布使用,才能确保广播电视网络的服务质量。根据对安徽省广电系统信息安全风险分析和需求分析,在国家对信息安全各种政策的要求下,保证现有各类业务信息正常运行的前提下,以现代信息安全保障体系为理论基础,运用最新的安全保护技术、国家标准、网络安全技术规范为架构,为保障广播电视网网络安全提出以下解决方案。
2整体安全解决方案
根据安徽广电系统高可靠性和高安全性要求,对广电互联网出口进行综合安全防护,需要部署六套系统:
2.1部署一套DDoS防护系统
拒绝服务攻击DoS是当前internet最流行的攻击手段,拒绝服务攻击是通过制造大量非法流量,占用大量系统服务资源以达到耗尽带宽为目的,使正常网络业务无法正常开展的一种攻击手段。拒绝服务攻击具有攻击方式简单粗暴,迅速达到目的,而且很难防范与源头追踪等特点。所以,在现如今的在网络上开展的如电子商务、电子政务、电子银行等一系列网络服务,都有可能通过这种攻击方式使业务无法正常开展,给国家、公司、人民造成巨大损失,耗费大量人力、物力、财力。所以,需要严加防范这种网络攻击。DDoS即分布式拒绝服务[1],攻击指借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。所以,需要在现有广电网络与互联网连接的边界处部署一套可支持多种类DDoS攻击的准确识别和控制系统,不仅可以做到对攻击的准确识别,还可以提高对蠕虫病毒流量的识别能力,从而提高系统的安全防范能力。该DDoS防御系统包括三部分,监测及分析中心,控制及清洗中心和安全管理中心,三个中心互联互动,可实现自动检测,识别攻击自动或手动引流清洗,统计分析报表定期生成。
2.2部署一套业务监控系统通过Dpi技术[2]对网络流量进行深入协议分析,把控好网络流量对于业务区分以及业务所需要的网络流量的质量控制。并且,通过对业务流量统计数据进行深入挖掘,更深入地了解网络使用情况,如用户使用宽带的习惯、方式等。业务监控系统的部署对于业务流量的分配调动起到了及时的监视作用,有了一套业务监控系统可以为现有的网络环境提供优化改造意见,也可以为开辟新业务以及增值业务提供指导意见。所以,需要部署一套业务监看系统。
2.3部署一套互联网缓存系统
对于广电网络传输的视频、图片、音频等大数据量内容,保证用户使用的流畅度与所有业务的质量,使网络“不卡”业务“不顿”,特别是缓存系统中的调度子系统运用了负载均衡、热点内容搜索管理调度以及缓存记录搜索等技术,能够引导请求用户和已经缓存过的数据设备发生数据交换,增加已缓存数据设备使用率。另外,无限制的p2p、在线视频等新兴业务对当前带宽超负荷使用等威胁。所以,需要一个高速、优质的网络服务。做到网络的优质、高速需要部署一套互联网缓存系统,采用分析定向、自动缓存、精确调度和速度搜索等技术,将占用总出口带宽60%~80%的p2p流量、在线视频以及大文件下载流量本地化,进而达到节省出口带宽、降低网间结算费用、提高网络利用效率、降低网络运营成本,最终实现广电网优质高速,提升用户使用的流畅度以及所有业务的高质量开展。
2.4部署一套日志管理系统
在信息管理系统中,日志是指对计算机设备运行中重要活动或事件的完整记录和描述,它能够记录信息系统内发生的动作和行为,向外界展示信息系统运作的完整轨迹和本质。帮助网管实现日志统一管理,系统能够采集、过滤、归并、分析、存储、监控并上报成专业的防火墙会话日志,并支持发送告警和输出报表。形成完整的上报日志对系统内发生任何行为做到有迹可查、有迹可循、有事可报,这对于解决系统问题以及业务起到非常重要的作用。并且,以报表的形式可以做到问题的溯源以及备案,为后续问题的查证与追责提供重要依据。本次部署的日志管理系统可以针对网络出口处的防火墙和服务器防火墙进行统一的日志分析,以检测当前网络中的最新攻击类型。
2.5部署一套安全管理平台
随着广电信息化深入,网络规模逐渐扩大,所使用的网络及安全设备逐渐增多,如何更好更方便地对网络及安全设备进行管理,是每个使用者优先考虑的问题。然而,网络设备的管理又存在设备类型复杂、管理信息多样性等问题,如何更好地解决这些问题,网络管理就显得尤为重要。统一安全网管系统[3]要支持全系列安全设备和主流网络设备的网络拓扑管理、故障排查管理、网元管理、设备性能管理、集中策略配置管理、Vpn管理等一系列功能。安全管理平台需要能够直观展现网络架构,帮助管理员快速定位网络故障,提升管理能力,提高工作效率,降低维护成本,为用户提供一个对全网设备高效管理的平台。
2.6在网络出口位置部署一套功能强大的防火墙
现网络出口位置的网络防火墙暂时能够满足当前用户数的安全需求,但随着用户数量的不断增加,现有的网络防火墙性能逐渐达不到需求,所以,需要考虑布置新型防火墙。布置新型防护墙的性能需求有强大的入侵防御功能、反病毒功能、强大的Gtp保护功能、iDS联动等主要功能。(1)强大的入侵防御功能需求:传统的ipS策略[4]是通过分析现有系统的漏洞以及对已有攻击方式引发的攻击事件进行特征提取,进而制定防御规则。比如:防范有针对性的操作系统漏洞攻击、针对邮箱服务器漏洞攻击、文件服务器攻击、浏览器漏洞攻击等。对当下大多数的木马、蠕虫、间谍软件等能够进行很好的防御与检测。针对现有的防火墙功能缺陷需要ipS能够识别运行于非知名端口的常用数据流类型以及对于特定介质流量减少误报。(2)反病毒功能:反病毒功能指支持邮件传输协议Smtp、pop3,网页协议Http的传输数据扫描中做到病毒的删除操作或者向用户发送通过。但现防火墙对10种以上、多层压缩文件、对病毒进行加壳操作的压缩文件进行扫描时发现病毒能力较弱。所以,需要部署新防火墙具有对病毒具有脱壳操作能力,并且对文件类别具有智能识别功能。(3)强大的Gtp保护功能[5]:部署在Gn、Gp和Gi接口进行Gtp安全防范功能需要有支持R97Gtp、R99Gtp、Gtp协议、报文分析控制能力以及按照规则对报文进行过滤的能力;在路由模式和透明模式两种工作模式下工作;能够解决Gtp隧道的限制、能够检测Gtp隧道信息、Gtp隧道双机热备功能;支持分片缓存功能等。(4)iDS联动[6]是指iDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为,通过下发指令的方式通知统一安全网关,由统一安全网关对攻击报文进行丢弃或其他处理。运用iDS联动的方式来防范恶意攻击,是将恶意攻击分为入侵检测和攻击处理两个过程分量后进行处理,充分发挥各设备的优势,改善系统性能。通过和iDS设备联动,统一安全网关可以提供一种高可靠的主动防御模型和安全解决方案。用户优先配置好静态的安全性能配置信息,通过iDS设备可以动态发现安全隐患,通过统一安全网关设备修改安全策略,起到实时、动态的修改防御策略,保证整网的安全。要有灵活的联动接口协议,可以和很多iDS设备互通,方便支持各种iDS设备和统一安全网关联合工作。
3结语
为应对众多网络不安全因素,本文提出的解决方案包含外网出口、入侵检测和日志审计,同时提供了统一的安全管理中心各模块,可以有效解决当前视频网站面临的问题。在广电行业产业化改造的历史机遇面前,建立一个高起点、高技术含量、多功能、智能化并具有良好扩展性的综合信息平台至关重要。让安徽电视台视频网络信息高速、优质地通往千家万户,让广电网络能够高效传递信息,成为百姓获取信息咨询、丰富文化知识的良好载体,成为国家信息基础建设以及现代化信息服务的重要组成部分。
参考文献:
[1]于跃.基于安全路由联盟DD0S攻击防御机制[D].保定:河北大学,2018.
[2]李婷婷.Dpi技术在广电ip化检测系统中的应用[J].广播与电视技术,2019(9):124-127.
[3]翟纲.基于Snmpv3的安全网管技术研究[D].成都:西南交通大学,2003.
[4]谭菲菲.入侵防御系统(ipS)专利技术分析[J].网络安全技术与应用,2018(8):121-122.
[5]李俊凤.基于enp-2611的Gtp防火墙的设计与实现[J].湖南邮电职业技术学院学报,2016(3):42-44,75.
电网网络安全方案篇2
关键词:信息安全,安全政策,安全体系,安全设施
中图分类号:tn915.08文献标识码:a文章编号:
武汉职业技术学院是国家教育部批准独立设置、湖北省人民政府主办、湖北省教育厅直属的全日制普通高等学校。学校坐拥“武汉·中国光谷”的中心地利,抢占了高职教育发展的战略高地,开创了区域化、国际化、现代化高职办学的成功范例。学校整体办学条件、办学实力、办学水平跃居湖北省高职院校前列,成为湖北高职教育的著名品牌、中部高职教育的改革先锋,并作为国家重点示范性院校在全国高职教育领域产生了重要影响。
1.武汉职业技术学院电子政务系统网络系统现状
高校电子政务系统的应用和主要服务对象是老师与学生,师生拥有电脑的比例以及使用电脑的频率比较大,上网浏览存在安全隐患的网站,接收陌生文件等网络应用会导致校园网内病毒泛滥;观看网络视频,严重占据网络速度与流量,甚至阻塞网络运行;同时师生人数较多,每个用户对网络安全的认识也不尽相同。经过调查、分析、研究,该校电子政务系统存在以下的安全隐患:
1.校园网直接与因特网相连,校园网内、外部网络攻击情况严重;
2.用户数量大,使用频率高:该校大部分教学工作、科研工作及日常行政办公等都是以网络为应用平台。如果在节点没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失与损坏、网络被攻击、系统瘫痪等严重后果;
3.缺乏统一管理:前期的网络建设投资很大,随着学校的逐步发展以及校园环境的变迁,使得网络统一管理的问题越发突出;
4.网管中心负荷量大:大部分的网络管理工作都是由网络中心来完成的,由于人员少,校园网络的维护与运营、使用网络的规章制度以及相关费用的收取等等工作进行比较缓慢。
所以,一个科学的网络安全系统对校园网的正常运行起着至关重要的作用。
2.武汉职业技术学院电子政务系统安全实施
2.1防火墙的实施
根据武汉职业技术学院的具体校园网网络背景,防火墙设备选用两台千兆防火墙:eX-520。选用的防火墙产品具有2个千兆光纤端口,2个百兆端口。
对于防火墙的部署,是基于以下几点来考虑和设计的:
1、两个千兆光纤端口分别接:DmZ区(DmZ区一般是对外提供www、DnS、email、Ftp、BBS等服务的特殊小型网络);武汉职业技术学院内部校园网。
2、一个百兆网口,用于连接整个校园网或者电子政务系统的上级信息网。剩余的其他端口,可根据具体网络应用需要连接其他网段或局域网子网。
3、防火墙设备的安全策略配置与实施:
解决网络边界点安全,保护内部网络;根据ip地址、协议类型、端口等实现数据包过滤功能以及地址转换;
保证内部安全服务器网络(DmZ区)的安全;
实现ip与maC地址绑定,避免出现ip地址欺骗或者乱用网络资源;
开启黑白名单功能,实现URL过滤,过滤不健康网站;
具有自身保护能力,可防范对防火墙的常见攻击;
启动入侵检测及告警功能;
学生访问不良信息网站后的日志记录,做到有据可查;
多种应用协议的支持。
防火墙部署示意图
2.2网络分段技术在学院网络安全方案中的应用
为了确保不同部门、不同职权等级的人员相对的信息安全,将网络划分为若干个子网是很有必要的,它是对内部局域网采取的重要安全措施。
网络分段的目的就是将非法用户与敏感的网络资源相互隔离,网络分段可分为物理分段与逻辑分段两种方式,也可以综合应用物理分段与逻辑分段两种方法来实现对局域网的安全控制。
1.以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(通常成为单播数据包)还是会被同一台集线器上的其他用户所侦听。
因此,应该以交换式集线器代替共享式集线器,使单播数据包(Unicastpacket)仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcastpacket)和多播包。但是一般情况下广播包和多播包内的关键信息,要远远少于单播包。
2.虚拟网VLan的划分
虚拟局域网技术(VLan)将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段,以便单位内部的数据共享和管理。
校园的主干部分(及核心层与汇聚层之间)运行动态路由协议,每个汇聚层交换机作为第三层设备将会成为广播流量的边界,从而也中断了VLan跨过主干网络,可以说每个汇聚点都是一个VLan管理的域,不同的VLan管理域之间的VLan从命名上或VLaniD号的分配上都没有任何关系。而在每个Vtp域中,VLan1专门用于交换机之间控制面板流量的传输,而不承载用户数据,也不作为管理VLan,并在trunk上清除了VLan1的用户流量以减小VLan1生成树的直径。
电网网络安全方案篇3
全国广播电视和网络视听安全播出保障专项工作的通知》的通知文件要求。结合行业实际,特制定本方案。
一、主要任务
(一)开展安全播出大检查。严格执行广播电视三审、重播重审要求,压实监管责任,压紧压实主管主办、属地管理责任、推进广播电视和网络视听领域一个标准、一体管理,把关口,保安全,开展安全
播出工作自查、检查、抽查和问题整改工作。
(二)规范行业管理秩序。全面加强广播电视播出,节目制作,网络传送的监督管理,加大对试听节目网站、iptV集成播控平台、有线电视视频点播平台的监管力度。规范广告播出秩序,以医疗药品类
广告监播为重点,针对虚假广告宣传,违规广告等问题进行严格查处整治,规范iptV业务发展,完善网络视听新媒体监管系统建设,改进完善iptV监管系统。加大对网络有害试听节目和非法传播行为打
击力度,严防境外有害电视节目在境内传播。维护无线传输覆盖秩序,持续清理、查处擅自升功、加扰、无规划播出等违规行为,持续开展打击治理“黑广播”专项行动
(三)强化行业安全保障。实施“安全播出”工程,推动智慧运维,确保安全播出安全,网络安全、设施安全。做好重大节日,重要活动重要保障期的广播电视和网络安全播出,网络安全安全生产设施
保护工作。
(四)提升行业依法行政水平。全面推进法制政府建设,强化事中事后监管,深入推进“互联网加监管”持续深化“放管服”改革、优化营商环境,开展“减证便民”行动,深化“证照分离”改革任务
落实,提升政府服务能力。推行行政执法“三项制度”,有效规范文化市场综合执法机构的行政处罚、行政检查、行政许可等行为。持续开展《省广播电视设施保护条例》宣传工作。
(五)加强应急管理。健全应急管理各项工作制度,督导企事业单位完善应急预案,针对性的开展安全播出应急演练,测试各单位应急预案、应急措施、加强应急培训,提升安全播出应急处置能力。
二、组织机构
成立县文广旅局迎接新中国共产党成立100周年安全播出保障专项工作领导小组,统一协调部署我县广电行业安全保障工作。
三、工作要求
(一)加强领导,落实责任。融媒体中心主任为广播电视台系统安全工作第一责任人,副主任为安全生产具体责任人,各部门负责人为本部门安全工作第一责任人。传媒分公司经理任传媒分公司安全工
作第一责任人,副经理为安全生产具体责任人,各部门负责人为本部门安全工作第一责任人。
(二)结合实际制定和完善安全生产和安全播出应急预案。适时组织开展培训、演练、全面提高应急处置能力。统筹做好疫情防控和安全保障各项工作,加强宣传发动、营造良好氛围、强化责任意识。
(三)自查自纠,督促检查。各部门按照本方案要求,结合自身实际开展自查,发现问题要及时纠正并将真实情况上报局领导。
(四)突出重点,保障安全。各部门要结合实际情况,全面推进安全播出保障专项工作,要突出重点,健全机制、完善制度、细化预案,排查隐患、堵塞漏洞、解决问题。对重点部位:广播电视播出、
传输、制作机房;无线发射、微波站机房;动力发电、空调机房;演播室、档案室、监控室、库房等进行排查整治。重要安全消防设施和关键岗位进行专项检查,并注重日常检查,做到不留死角,全面
电网网络安全方案篇4
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了pstn网络的安全、ip/internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原
2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。www.lw881.com但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(spanport),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
电网网络安全方案篇5
随着越来越多传统的安全产品和安全技术被广泛应用,网络安全级别也得到了相应提升。但是,新型安全事件日益增多,因此造成的经济损失也呈上升之势。其中,很重要的一个原因是传统的安全产品侧重于边界接口的防御和终端安全的防护,而缺乏对网络内部的整体安全管理。另外,私接设备、私改ip、私搭乱建对网络安全管理也是一种困扰。
北京艾科网信科技有限公司(以下简称艾科网信)提供创新的iD网络安全管理系统可彻底解决上述安全难题。
在此严峻的网络安全形势下,艾科网信董事长宁辉表示:“8年前,我本着对网络安全事业的热忱与一行人员创立艾科网信。多年来,艾科网信为各领域提供了大量的网络安全解决方案。作为国内一家专业的网络安全服务提供商,艾科网信将竭尽所能,为中国的网络安全事业尽一份力,致力为用户提供更加优质的网络安全系统。”
艾科网信成立于2007年,秉承“诚信、合作、共赢”的企业宗旨,着力于“创新更安全”的研究方向,结合中国实际的网络情况和安全态势,创新地提出了实名制网络管理解决方案,实现了用户、ip、终端的有机关联,为管理和审计提供了新的模式。艾科网信还提出了“内网规范管理”的理念,以实名管理为基础,实现按人、按角色规划安全策略,结合信息技术等级保护的相关技术标准,开创性地研发出实名制准入控制系统。在“震网”事件之后,针对网络和工业控制系统的可视化技术成了艾科网信发展的重点。艾科网信把接入网络中的所有设备均纳入管理员的管理视野,并能准确地告知管理员这些设备的位置,哪些设备有异常等,在第一时间为管理员有效地洞悉网络整体安全情况提供相关的数据和视图。
电网网络安全方案篇6
根据电力输送功率的强弱电力应用可以分为强电与弱电两类。强电一般指建筑及建筑群用电交流220V50Hz及以上的点。他可以向我们提供电力能源,将电能转换为其他能源,例如冰箱用电,照明用电,动能用电等等。在常用的弱电系统中,语音通信系统以及计算机网络系统的功能及其依靠的硬件设备各有不同,但是信息点的布置原则、网络拓扑结构相同,正因为如此可以使用相同的传输方式和接插件,从而可将两个不同系统的布线集合成一个布线系统。如此,两个不同布线系统可以互为媒介,信息点的功能可以转换,从而使系统都具有更大的机动性。随着数字信号处理理论和应用技术以及计算机技术、通信技术等的不断发展,未来在弱点工程中网络接入控制方案一定会发展成为包含更多不同功能弱电系统的布线平台。
关键词:
弱电工程网络接入控制方案
中图分类号:G250.72文献标识码:a
引言:
对于智能化建筑弱电工程中的网络接入方案本文进行了如下论述。太高的价格是许多网络接入控制解决方案的主要缺点以至于不能部署和管理。弱电工程要求的技术含量高、建设周期持续时间长且具有复杂的过程,隶属于建设、治安、邮政、广电、消防、电力等行业的管理范畴。
由于弱电行业的技术规范标准大相径庭,在弱电系统建设过程中有许多环节过程存在弊病,不尽如人意的地方普遍存在于资质管理与市场准入方面,市场中充斥着各种不合格集成商、工程承包商和供应商,与弱电工程相关问题较多。综合布线网络访问控制基于硬件的网络访问控制或动态网络访问控制,所有可以提高网络安全选择正确解决方案的速度。经理需要计划好他们网络接入控制部署的目标,其中包括理想的安全水平和管理水平网络接入控制厂商infoexpress公司首席执行官首席技术官和共同创始人StaceyLum介绍了it经理需要理解怎样的知识才能明确适合自己工作环境类型的最佳网络接入控制选择。
没有争议的网络访问控制可以改善安全网络访问控制,可以快速判断不应该访问用户的审批系统和保证防火墙设置保持最新的杀毒软件和补丁级别。一个新的国家在使用正确的、网络访问控制创建一个没有通信流,没有病毒感染与许多其他风险相关的网络安全的突破它很诱人?其实许多网络接入控制解方案都太过于高价从而导致不能部署和管理我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。
正文:
网络接入控制主要有的四种类型,他们分别是:基于硬件的网络接入控制;基于的软件网络接入控制;无的软件网络接入控制;动态网络接入控制。无论你选择哪一种网络访问控制解决方案,您需要考虑您的部署网络访问控制目标,如安全性和管理水平,根据你的业务和其他因素的网络规模。
(1).网络接入控制与位置分散的网络
许多部署管理和运营都是一个大型网络的考虑对象,例如:位于交换机上游的基于硬
件的网络接入控制解决方案产生一个潜在的单个故障点,如果解决方案的速度跟不上目前高的网络干线的速度,这些解决问题的方案就是毁灭性的。此外,网络访问控制解决方案对于地理在高度分散或网络可能的高度分割段多存在不理想的解决方案,不仅是需要在每个这个地方有一个设备,这些方法提供的网络可见性的网络通信也很可怜的。
当你不能看到或不能阻止大子网入侵者在沟通,相信你使用网络的访问控制更大的安全是毫无意义的选择代替方法。网络访问控制基于硬件显然并不便宜,或者不是万能药,但是,基于硬件的网络访问控制可以提供一个高水平的安全,因为他们是网络通信的重点,可以发现在网上操作的安全漏洞在地理上分散的网络方法基于软件、管理的挑战依然存在。但是,无的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这意味着重要的安全特性以换取可管理性动态网络访问控制只能使用系统的一部分作为一个安全的实施者,动态网络访问控制可以帮助你使用分布式网络的力量来保护自己。
2.确保中小型企业的安全
中小企业几乎没有特别的弱电工程人员和专家来配置一个复杂和带外的方法,如网络配置,并在出现问题故障排除时正确此外,由于资源的限制,中小型企业经常把它团队专注于它发展的商业计划,这正是基于软件的网络接入控制要做的事情:在团队同时也能减少安全及提高安全性的网络管理负担,事实上,对于中小企业,在方面的防御机构是很多事情说,例如:在端点可以实现更高级别的审查,以提高安全现实,可由现有的中断,特别是当最小的解决方案应用于网络通信,因为是运行在后台,发送到服务器定期发送更新,因此,如果你是it资源有限的中小企业,这个窍门就是找到最容易管理的最节省成本的基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
3.超高度的安全水平
不管你的企业和网络的大小,你需要使用安全水平的理想来权衡成本和可管理性,这是一个常见的现象,由于内部文化,或是否容忍风险限制很严格的企业管理行业因素,决定企业应该采取更高级别的安全,或选择管理方便,比如:如果安全是唯一考虑,基于硬件的解决方案可能是最好的选择没有网络访问控制远离安装和维护的需求,但是,它也付出了代价无的方法不能提供一种一致的方法来全面评估端点的状态此外,由于通过检查网络通讯可以确定身份,用户可能会欺骗这个系统动态网络接入系统也许会提供管理性和安全之间的正确的平衡。
4.控制网络接入控制的成本
无论你是一个制造商或地理上分散的零售金融服务公司,管理每个地方网络访问控制的设备很快就会变得非常昂贵,试想,每一个网络考虑访问控制系统基于硬件需要约20000美元,此外,该设备还需要安装和配置设备第一次专家支付机票和工时费然后,和正在进行的维护和更新的成本负担,在某些情况下,根据建筑的性质,如果你不做出重大和风险来修改网络配置、远程管理可能没有意识到如果你想降低成本,基于软件的网络访问控制解决方案可能是一个可行的选择。
5.协调各方工作
把网络接入控制依据你的需求作为一个全面的it安全解决方案的重要分支分进行实施也许是最佳的选择。许多大型基础设施制造商必须配合安全厂商为了使用最好的安全技术,提供他们的服务,如你看到的,在你使用网络访问控制你有许多事情要考虑。我们希望这篇文章可以帮助您简化选择,无论你选择什么类型的解决方案,你最终将会被部署到执行方案的决策,这是你需要的部署策略的网络访问控制当最好是分阶段实施,意味着逐渐部署网络访问控制设备,逐步满足需求的一个特定的或安全的保证一个特定的网站或安全的保证一个网段。当你越来越熟悉网络访问控制解决方案,您可以部署解决方案在企业刚开始的时候,你必须计划一个合理的时间来监控其工作情况,提供管理员和一些时间来让他们知道网络访问控制系统,此外,网络的影响使任何强制函数之前,你要确保你有一个很好的补救策略。
结语:
虽然由于一些网络访问控制解决方案布置得不够好,导致网络访问控制面临着市场上在一些程度的抗性,调查网络访问控制曾经重要的网络访问控制解决方案,情况最近不仅取得了一些进展,但解决方案最终失败。解决方案的许多问题是由于没有全面思考复杂的解决控制,选择了错误的解决方案,太进入阶段的部署在匆忙或试图非常快速度的事情太多了,你知道怎么把事情做一个更好的工作。
电网网络安全方案篇7
“烽火网络在整个生态系统中定位于行业信息通信网络产品和综合解决方案专家,以客户为导向、诚信敬业、持续创新、增量发展,专注于提供最佳行业iCt方案,为客户和合作伙伴创造最大价值。”烽火网络副总经理兼接入产品线总经理熊中柱表示。
云光共享拥抱广电新时代
近年来,国家出台了“三网融合”战略和nGB建设的计划,加快了广电运营商“三网融合”的步伐。随着“三网融合”的推进和业务的开展,原有的技术支撑体系已经不能满足需求,而云计算技术恰好可以承担这份重任。云计算技术给广电行业带来了新的技术上的思维方式和设计理念,以更好地迎接三网融合的新时代。
与此同时,FttH技术已成为广电网络建设的必然选择,尽管初期投资成本较eoC等技术略高,但它在运维成本、网络性能及长期演进等方面均具有更多优势。随着光产业链的成熟,pon光网络设备及相关全光元件成本的大幅下降和oDn施工效率的提升,FttH已成为具有广电网络全业务承载能力的接入网解决方案之一。
2011年,烽火科技制定广电市场整体战略,正式由烽火网络统筹运营广电市场,随即产品及整体方案全面进入广电市场,结合电信多年经验积累以及针对广电特点的创新,已迅速实施到广电20多个省的网络建设中。目前,烽火在网络建设、业务发展、运维管理方面均完全适应和匹配广电特征。
“我们已经从发展业务、拓展应用入手,逐步发力数据中心、云计算、智能家庭等领域,真正融入广电市场。”熊中柱表示,为推动行业拥抱未来、协助客户为技术变革做好准备,烽火网络在本届展览会上重点展示了云数据中心及融合接入解决方案。
烽火fCloud云计算管理平台是自主研发的新一代云数据中心核心管理系统。通过该平台可将数据中心内所有物理服务器、虚拟机、存储设备和网络设备等资源充分地进行整合,按照需求形成一个或多个资源池。各业务系统按需分配资源、弹性扩展、流程化和自动化地实现各项资源的申请、使用和到期回收,满足数据中心为大量用户多种业务的发展需要。
解读多重市场优势
自“棱镜门”事件以来,网络安全已经上升到国家战略高度,广电系统作为国家政治、政策宣传主要通道,安全性尤为重要。广电网络必须严格执行专网专用,严格隔离。
烽火网络目前能提供从骨干网络到接入网络安全可靠的专网解决方案。在骨干、城域网络,烽火otn、mStp设备能够提供类似物理隔离专线通道解决方案,保障线路传输信息的安全性;在接入网络,其pon设备通过隔离技术和加密手段保障数据传输安全性。除了核心层面管控外,网络安全还需要机顶盒、家庭网关等终端设备的配合,烽火网络从全网层面进行严格的业务规划、管道隔离,以实现最大限度地保障能力。
烽火网络是广电行业中少有的拥有全网整体解决方案实力的厂商,其广电FttH方案在全国多地的双向网改中均有应用试点。
熊中柱介绍说,到目前为止,烽火网络的C-HpaV终端出货量已经超过100万端;pon+eoC产品覆盖国内十几个省份并成功进入国际市场,处于业内领先地位;C-DoCSiS系列解决方案也成功应用于若干广电市场。烽火网络正积极发挥在光领域的优势结合广电实际需求,布局广电FttH产品及解决方案,为后续开展智慧家庭、ott等多元化的新业务奠定基础。
创造最大价值
身处时代的变局,烽火网络除了强大的技术支持能力、创新的产品和综合解决方案,最关键的是能为行业客户和合作伙伴带来实实在在的价值。
熊中柱表示,烽火网络与行业客户之间是一种合作共赢的合作模式,形成“以网络为基础、以安全为保障、以应用为导向”的指导思想,为行业客户的信息化提供最佳方案。同时,可以根据客户需求提供专业咨询服务、定制化服务,创新开展各种形式的合作、联盟及资本运作,提供因地制宜的运营方案,实现行业业务快速发展。
得益于这样的发展原则,这家公司目前在电力、石油、广电、金融、教育、医院、铁路、高速公路等行业客户中已经拥有数百家合作单位。
2014年,烽火网络在电力行业获得了第一个国家电网二级干线,实现otn省干工程零的突破;配电系统集成产品首次通过公共招标平台中标重大项目。在广电市场上,独家中标北京歌华有线云平台及高清视频推流传输网otn项目;三网融合FttH型onU产品率先在广电获得订单;C-DoCSiS接入新品在广电市场逐步实现规模应用。
作为一个拥有未来无限空间的市场,行业网也吸引了各界的目光。除了思科、惠普等老牌巨头,华为、中兴等厂商也将之视为未来增长的引擎,纷纷加大投资。
对此,熊中柱坦言,越来越多厂家的进入,让整个行业网市场竞争更为激烈。但竞争能够让企业更有动力,行业内的良性竞争也能够推动整个行业向好的方向前进,这对客户、对设备厂家都是一件好事。
“三个转变”取得可喜进展
烽火网络在全面转向行业网市场之初,曾提出在保持整体销售规模快速增长的同时实施“三个转变”战略规划。
电网网络安全方案篇8
那么,什么是人事档案材料在内部网络中录入、整理、分类、保管运行的安全问题,在计算机科学中,网络安全问题,就是防止未授权的使用者访问带有保密的人事档案材料和未授权而试图破坏或更改人事档案材料的行为,网络安全就是一个系统保护人事档案材料和系统资源相应的机密性和完整性的能力,系统资源.即指CpU、硬盘、程序以及其他信息。具体讲包括敏感的人事档案材料的泄露、黑客侵扰、网络资源非法使用以及计算机病毒等。
内部网络安全与人事档案材料运行风险分析
内部网络(局域网)的开发应用,给内部人事部门在处理各类人事档案材料带来无尽的好处与便捷,随着内部网络应用的扩大,网络安全风险也变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能传播到其他系统和主机引起大范围的瘫痪和损失,直接影响人事档案材料在内部网络运行中的安全。内部网络的安全问题主要有:
(一)内部网络物理安全问题。内部网络物理安全是整个网络系统安全的前提,物理安全存在风险主要有:火灾、水灾、地震等环境事故,造成整个系统毁灭;电源故障,造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁等,造成系统毁灭或人事档案材料泄漏;不正常的机房温湿度环境,造成服务器、路由器、交换机等局域网核心设备出现故障,甚至烧毁等。上述各种情况的发生,都将使人事档案材料在录入、整理、传递、存储等问题上存在安全问题。
(二)内部网络结构的安全问题。加强内部网络结构安全,防范黑客和病毒的攻击,是人事档案材料在内部网络运行中的安全保障,网络结构安全风险主要有:一是来自因特网的安全威胁,对于内部局域网络系统,就人事档案材料的录入、传递、整理、存档等,人事部门都制定相关规章,明确规定网内用户不得与互联网直接或间接相连,确保人事档案信材料在内部网络运行中的安全。尽管这样,但从技术角度看,用户计算机大多具备通过拨号方式连接因特网的能力;从管理角度看,也无法保证所有用户都能自觉严格执行有关管理规定。二是内部局域网络安全受到威胁,导致人事档案材料丢失和泄密,据有关数据统计表明,发生网络安全攻击事件中约70%是来自内部网络的病毒侵犯。三是内部网络设备的安全隐患,也影响人事档案材料在网络运行中的安全。网络设备包含路由器、交扳机、防火墙等。它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备使用的可靠性、安全性不佳;四是从系统的安全风险分析来看:内部局域网操作系统主要有win98、win2k、winXp、win2KServer等,不管是什么操作系统,都有其BackDoor和Bug,这些“后门”和安全漏洞都存在着重大安全隐患,但是,系统的安全程度与计算机的安全配置以及与系统的应用面有很大关系,操作系统如果没有采用相应安全配置,则掌握一般攻击技术的人都可能入侵得手。因此.必须正确评估自己的网络安全,并根据网络风险大小作出相应的安全解决方案。
(三)内部网络系统应用安全问题。系统应用安全涉及很多方面,系统应用是动态的、不断变化的,应用的安全性也是动态的,这就需要我们对不同的系统应用检测安全漏洞必须采取相应的安全措施,降低系统应用的安全风险:一是资源共享。网络系统内部通常是共享网络资源,比如文件共享、打印机共享等,由此,可能存在少数同志有意无意把硬盘中重要的人事档案材料共享目录长期暴露在网络邻居上,而被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密;二是电子邮件系统。电子邮件系统为网内用户提供电子邮件应用,网内用户可以通过outlook或lotus进行电子邮件收、发送,这就存在接收或传播一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件.没有警惕性,给侵入者提供机会,给系统带来不安全因素;三是病毒侵害。网络是病毒传播最快的途径之一,病毒程序可以通过网上下载,使用盗版光盘或软盘发送电子邮件,造成人为的病毒感染,病毒程序完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,由于病毒入侵,机器死机等不安全因素,造成人事档案材料和人事机密文件泄漏和丢失;四是人事档案材料范围广、数量大、密级高,有些信息还必须在计算机上处理,因此,人事档案材料在网络上运行的安全问题对人事部门尤其重要。
加强内部网络安全性的对策
(一)树立良好的网络安全意识。增强计算机人员的安全防范意识,定期开展提高网络安全防范意识的培训,加强经常性的安全防范意识宣传教育,全面提高网络安全防范意识。目前不重视网络安全问题在个别单位和一定范围内还是存在,其原因也是多方面的,但主要还是思想认识问题。各单位主要责任人的安全意识对网络整体安全具有决定意义,领导干部应将网络安全意识、责任意识和保密意识联系起来,要把网络安全纳入到谁主管,谁负责;谁使用,谁负责的安全管理体制之中,同时要普及网络安全技术知识,用实际案例不断进行网络安全教育,不断强化重视网络安全的氛围。
(二)打牢过硬的网络技术防范能力。网络安全实质上也是一个综合性问题,技术手段同时也要与有效的管理相配合,充分发挥最大功效:一是做好物理安全防范。保证机房安全和各种设备的物理安全,是保障整个网络系统安全的前提。按照《电子计算机机房设计规范要求》,做好机房的各项防护工作,配备高性能、可靠性强的不间断电源,配置好空调设备保障机房的温湿度环境设备性能,可靠的消防器材,以预防各种火灾隐患,按照“三铁”要求和一定的报警设备,保障机房设备免受被盗被毁,实施机房专人值班和管理,落实各项规定和相关责任等等。二是做好网络结构安全防范。实行网络分段管理,网络分段是控制网络病毒传播的一种基本手段,也是保证网络安全的一项重要措施。网络结构安全主要指网络拓补结构是否合理,防止单独操作影响整个系统,在内部进行网络分段管理的基础上,采取逻辑分段的方式,投入具有三层交换功能的交换机,对局内用户较多的网段,以业务处室为单位再细分同段名,非法用户与敏感的网络资源相互隔离,从而防止可能的非法网络操作,以加强对网络用户的安全管理和网络安全责任的划分。三是做好系统安全防范。强化操作系统的安全防范措施,采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些不常用却存在安全隐患的应用、对一些保存有用户信息及口令的关键文件使用权限进行严格限制,并加强口令的使用管理(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令)并及时给系统打补丁,系统内部相互调用人事档案材料不对外公开。四是做好应用安全防范。由于在网络环境下计算机病毒有不可估量的威胁性和破坏力,因此,计算机病毒的防范也是网络安全建设中应该考虑的重要环节之一、做好病毒的技术预防和检测工作,网内所有计算机安装实时更新病毒特征码软件,对网络服务器和工作站中的文件及电子邮件等进行频繁地扫描和监测,一旦发现与病毒代码库中相匹配的病毒代码,及时采取相应处理措施进行清除或删除,防止病毒进入网络进行传播扩散。
电网网络安全方案篇9
【关键词】电子档案;管理;保护;问题;策略
在信息时代下,现代科技得到了广泛运用。电子档案管理技术能够对大量档案文件进行收集整理,因此在社会的工作实践中得到了日益广泛的运用。同时,社会对电子档案技术的操作性与安全性提出了更高的要求。为适应社会发展需要,提高电子档案管理的效果,本文对电子档案在管理与保护过程中存在的问题进行分析,并探讨应对策略。
一、电子档案管理与保护中存在的问题
电子档案即以计算机的磁盘为载体,对实体的档案信息进行数据化处理并储存在计算机网络中,通过将虚拟数据可转换为网络用户能够认知的文字、符号、图像等档案信息,为用户提供信息服务。由于电子档案技术依赖于一定的内外部条件,因此具有一定的不稳定性。现阶段的电子档案管理与保护存在以下问题[1]。首先,计算机、磁盘以及内外部网络空间作为电子档案信息传输的主要载体,其检修与维护工作重视性不足;其次,电子档案的安全性需要健全的安全机制进行保障,在电子档案的使用过程中,可能在防火墙、电子印章、数字证书等方面产生部分漏洞,形成安全隐患;最后,电子档案的正常传输依赖于信息管理与维护人员的技术水平,部分技术人员的技能难以满足电子档案的需求,影响了电子档案的维护与运行。
二、电子档案管理保护问题的应对策略
(一)注重软硬件设施维护,保障档案系统运行
电子档案存储技术是新型的信息科学技术,其作业能力的发挥依赖于软硬件设备的正常运行,因此,对软硬件设施进行检修与维护具有重要意义。电子档案系统的软硬件设施包括电子计算机、磁盘、光盘,以及内部的局域网和外部的公用网络空间,在使用过程中存在有机器老旧、故障以及网络平台的恶意攻击等威胁。因此,在实际工作中需重视对设施的定期检修和维护,同时注重设备和技术的革新,以保障系统的正常运作。
硬件设施的检修包括对计算机内部组成零件的检测、更换,以及对光盘、磁盘等电子数据存储载体的质量保护,检修工作可以通过以下方式开展:第一,招聘专业的设备检修人员与网络环境安全工程师,该类技术人员均经过专业的检修知识以及检修技能的学习,对计算机的组成原理、磁盘光盘的维护以及网络环境的监测具备一定的了解程度与丰富的操作经验,能够有效执行对软硬件设施的检修[2]。第二,信息科学技术的快速发展,使得软硬件设施的革新速度不断加快,因此,档案管理系统应注重软硬件设施的更新换代,及时淘汰系统中的老旧硬件设备,同时关注先进的网络安全应用技术,不断提升软件环境的兼容性与革新度。通过软硬件设施的双重维护,保障档案系统的正常运行。
(二)健全安全防御机制,提升档案信息安全
档案信息的传输依赖于内部的局域网与外部的公共网络空间的数据交换,在传输过程中,面临着计算机黑客以及电脑病毒带来的安全隐患,对信息的保密性造成威胁。因此,安全防御体系的建立健全具有重要意义。网络的安全及防御机制的主要内容包括对局域网的安全维护、对网络病毒的防范、对tCp/ip协议的管理,涉及到各服务点的防火墙维护以及虚拟内部网的划分[3]。通过对网络安全防御机制的完善,提升电子档案系统的安全性能。
电子档案完善的安全防御措施包括身份认证措施、信息加密措施、访问控制管理措施等,身份认证措施包括数字信封、数字签名等安全管理认证技术,可以有效保证电子档案的信息传输的准确性和终端定位的安全性。信息加密措施包括对称密钥与非对称密钥,两种加密系统配合使用,将电子档案进行加密、解密处理,降低信息内容的泄露威胁。访问控制管理措施包括网络权限和入网访问,能够有效避免电子档案资源遭到非常规性使用。除对安全加密技术的采用,还可使用网络入侵的检测防御设备,实时监测电子档案系统的网段中出现的外部入侵或内部破坏行为,对其进行及时的警报或拦截,以弥补部分网络防火墙软件在网段边界保护上存在的漏洞,保障电子档案信息传输的安全性和保密性。
(三)强化人员技术培训,提升档案管理效率
传统的档案文件以纸质材料为主要载体,对管理人员的信息技术水平要求较低,现代档案管理方式的革新,使得档案内容由实体文字、图片转换为字节、比特等虚拟数据形式,在管理工作中涉及到对各类机器、设备的操作以及对网络环境的基本配置方式的掌握[4]。部分工作人员由于缺乏计算机信息知识培训,在实际作业中不能按要求完成电子数据的复制、刻录和存盘操作,并且作业流程缺乏规范性,易造成对设备的人为损害,影响档案管理的效率。
对电子档案管理人员的能力培训可通过以下途径:第一,在管理人员内部开设培训课程,根据其计算机技术基础的掌握程度进行分班教学,目的在于提升基础较弱学员的计算机基本操作原理,强化基础较强学员的理论知识梳理,教学内容包括电子档案管理软件(如超易、智信等)理论知识介绍,以及相关设备的规范操作方法,通过教学全方面提升管理人员整体的技术水平。第二,通过向管理人员叙述实际工作中的电子档案安全保护案例,直观地介绍由于操作失误或技术能力缺失所导致的安全隐患,为用户隐私及和社会安全机制带来的威胁,从而提升管理人员的安全防范意识。
三、结语
社会的快速发展造成了档案文件的大量产生,电子档案技术的运用也日益广泛深入。随着科学技术的不断进步,电子档案系统在安全方面的发展将日益完善、健全。在电子档案的使用过程中应始终注重对系统设施的维护、对防御机制建设以及对人员技能的培训。通过全面的保障策略,促进电子档案技术的长效发展。
参考文献
[1]包晶飞.试论电子档案管理面临的问题及解决策略[J].民营科技,2014,15(01):101.
[2]丹.关于电子档案整理与保护的探讨[J].黑龙江史志,2014,24(05):109.
电网网络安全方案篇10
论文关键词:海洋数字档案信息安全网络应用
在社会信息化的大环境下,数字化建设已成为评价一个国家信息基础水平的重要标志。海洋档案的管理作为社会信息资源系统的一个重要组成部分,也正面临着数字化时代的挑战。随着电子文件的大量出现,档案理论界对于电子文件是否应该转化为档案材料也从争论转为接受,这一革新要求我们改变原有对文件档案的理解,顺应技术发展趋势,更好地进行海洋档案管理工作。
1、海洋数字档案的概念和特点
在1996年第十三届国际档案大会上,美国的《档案与博物信息》编辑D.比尔曼以《虚拟档案》为题,第一次提出了与物理档案(physicalarchive)和实态档案库(physicalrepositoriesofarchives)相对应的虚拟档案(Virtualarchives)。国际档案理事会对数字档案的定义是:通常以代码形式记录于载体,如磁盘、磁带或穿孔卡带之上的文件档案,它的内容只能通过机器来利用,并根据来源原则来组织安排。以此类推,海洋数字档案就是以代码数字形式记录于载体,如磁盘、磁带或穿孔卡带之上的海洋方面的文件档案。数字档案改变了传统的档案载体形式与档案工作意识。数字档案的载体与传统档案的载体有很大区别,包括存贮电子文件、信件、图纸、报表所形成的软盘、光盘、硬盘和磁带等。数字档案中的信息资料不以传统的笔墨纸张等直观的形象出现,而是通过二进制代码以数字形式存贮,成为肉眼不可直接识读的记录符号。档案信息传输平台数字化,当档案信息在完成数字化后以数字形式存在时,数字网络系统就将成为其主要的传输平台,为档案信息的快速流动提供可能,通常是以网站方式提供相关档案服务。海洋数字档案也有着与其他数字档案相同的特性。
2、网络环境下海洋数字档案的安全隐患
在数字化的过程中,由于受载体的转换条件、存贮介质的稳定性和技术操作等因素的影响,容易造成海洋信息的丢失或删改,却不易被察觉。
海洋电子文件的信息共享带来了一些不安全因素。以计算机为载体的电子文件,不同于以纸张为载体的纸质档案,它可以不受时间、地点和人员的限制随意阅读,并且信息容量巨大,传输快捷,这种电子文件的共享性和易用性是其网络化运作环境决定的,是一种进步和发展。同时,也给海洋电子文件带来了不安全和泄密因素。
目前的档案保护规程主要针对纸质载体制成材料的耐久性、保存环境等方面来进行,缺乏对电子档案长时间可靠保存的经验与技术。实践证明纸质载体的档案在一定的保护条件下可保存达上千年,而电子文件的物理载体寿命却远不如纸质档案,磁性载体档案的寿命最多只有十多年,光盘载体的寿命也不超过i00年。另外,纸张的损坏很容易被发现,但电子文件载体的损坏只能由设备检验。此外,由于信息技术的快速发展,信息保存的格式和载体都在发生变化,使得早期数字档案难于“阅读”,例如现在面对一个保存在5英寸软盘上的wordstar格式的文件,恐怕大多数读者都会束手无策,而这只不过是20多年前主流格式与存储载体。
由于网络技术本身的安全隐患导致泄密。internet/intranet技术本身就不是一种很安全的信息传输方式,网络上的任何信息都是经过重重网站分段传送至目的地,任何中介站点均可以拦截、读取、破坏甚至篡改信息。随着互联网的发展,互联网攻击手段也越来越多,攻击工具的破坏力越来越强,而安全技术是一种在对抗中被动发展的技术,它总是滞后的,这样就导致了网络的脆弱性。此外,网络硬件也是经常被忽视的但风险极大的泄密途径,主要方式有电磁泄露、非法终端、搭线窃取·后门程序等。
管理人员不足,技术水平有限。据有关资料显示,90%以上的档案管理人员没有受过正规的计算机安全培训,他们缺乏计算机与网络的相关知识,缺乏对档案信息网络的安全意识。
3、网络环境下实现海洋数字档案安全的对策
如前所述,随着网络信息技术的迅猛发展和广泛应用,数字档案及海洋数字档案的安全保密问题日益突出,为严防密从网泄,确保电子文档安全,应在管理、网络安全和信息安全3方面采取有效的安全技术与措施。
3.1管理方面
加大人才培养力度,提高管理人员的技术水平。海洋档案信息数字化是信息时展的必然趋势,海洋档案管理人员要充分认识网络中的档案信息,不能认为只要把电脑管好了,信息没有丢失,就是做好保密工作了。海洋档案管理人员自身要增强责任感、使命感和危机感,树立高度自觉的档案信息安全防范意识。海洋档案管理人员要更新知识、技能,努力学习掌握档案现代化管理、计算机和网络安全等方面的技术,加快从传统型档案管理人员向现代化档案管理人员的转化。同时,海洋档案行政管理部门要采取相应措施,从政策、待遇等方面培养和激励专业技术人才。要通过在职教育、短期培训和学历教育等多种渠道和方式,提高和更新在职人员的知识水平和专业技能,充分调动海洋档案管理人员的积极性、主动性和创造性,为推进海洋档案信息化建设作贡献。
制定安全管理制度。在海洋数字档案安全管理中,除了采用相应的安全技术措施之外,更重要的是海洋档案管理部门还应当根据相关法律、法规,结合本单位实际,制定、完善一些制度。如,确定本单位档案信息的安全管理等级和安全管理范围,制定档案网络操作使用规程,用户身份认证制度,电子文件的接收、保管、检索、查询和网络安全等制度,使安全管理具有可操作性,形成海洋数字档案信息的安全保障体系。
3.2网络安全方面
硬件设备安全。涉及海洋电子文档的计算机应做到专人专用,使用的移动储存设备也应做到专用,不可混用。对于网络设备应该尽量使用通过保密检测的设备,不要盲目追求新产品、新技术,以减少泄密渠道。
操作系统安全。安全的操作系统是网络安全的重要基础,因为所有的基本应用和安全措施(如病毒防治、人侵检测、设置防火墙和安全岛)都依赖操作系统提供的底层支持。充分考虑海洋数字档案操作系统的安全性是我国的国情所决定的,因为许多核心技术我国并不掌握,无法保证国外操作系统产品不存在后门程序。在海洋数字档案管理用操作系统方面要考虑以下两点:①采用的产品要具有自主知识产权,且源代码对政府公开;②定期利用漏洞扫描工具检测系统漏洞和配置情况,以便及时发现问题。操作系统的安全主要通过增强身份标志与验证、细化自主访问控制、用户职责划分、强制访问控制、审计跟踪和安全管理等方面的措施来实现,这些措施都可以对基本安全功能提供强有力的支持。
安装杀毒软件。防病毒必须从网络整体考虑,主动防御,改变被动劣势,要树立“预防为主,防治结合”的观念。从方便管理人员的工作着手,使其能够管理网络上的所有机器,如利用定时查毒功能,对客户进行扫描,检查病毒情况;利用在线报警功能,监测网络上的每一台机器,出现故障或病毒侵人时,网络管理人员都能及时知道,并作出反应。
内外网隔离。在内外部网之间,设置防火墙(包括分组过滤与应用)实现内外网的隔离与访问控制是保护内部网安全最主要的同时也是最有效、最经济的措施之一。无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
在必须使用公众网络时采用虚拟专用网络(Vpn)技术。Vpn能够利用internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。在互联网上传输数据时,Vpn可提供保密和数据加密。如果某机关档案系统设有两个或更多分支机构,或者希望用户远程访问档案网络,这种方法尤其有用。
3.3信息安全方面
海洋数据备份恢复系统。备份数据可以防止磁盘驱动器出现故障、电源断电、感染病毒和发生其他事故时丢失数据。一旦发生了数据丢失,如果按照备份规程进行了备份,那么就可以恢复数据。海洋数据备份最可靠的办法是完全备份和增量备份相结合,例如我们可以每周执行一次完全备份,每天执行一次增量备份。除此之外,还应该选择不同的数据存储介质,并将备份介质存放于不同的安全地点。
载体保护。海洋数字档案的记录载体由于它的磁性、光学性和磁光性,易受磁场、光线、温度和湿度等环境影响。海洋数字档案存储介质应存放在无强磁场干扰、避光、防尘、无腐蚀性气体的环境里,诸如温湿度的控制,存放载体的柜、架及库房应达到相关标准的要求。加强工作人员责任心,提高操作能力避免不正确操作。例如,使用标识笔作标注时,会带来盘面的污损拿取时手法不正确,留下指纹中的油脂、盐分、微生物等长期依附其上,会腐蚀盘带。
数字签名技术。主要包括数字签署技术和验证技术,以解决伪造、抵赖和冒充等问题,在存储和流通过程中,保证了数字档案的原始性、真实性。目前常用的数字签名技术有光笔签名、电子签名、电子印章、数字指纹、数字水印、数字时间截和数字证书等。
信息加密。加密技术可以确保电子文件内容的非公开性,是保证电子文件机密性的重要方法,其目的是采取某种数字方法经信息伪装起来,使非法入侵者无法了解信息的真实含义。通常多采用“双密钥码”法。加密通信者各拥有一对密钥,任何发方可以使用收方的公开密钥加密明文后向收方发文,收方只用自己知道的解密密钥解密获得明文。由于加密和解密使用不同的密钥,因此第三者很难从截获的密文中解出原文来,这对于传输中的电子文档具有很好的保密和保护效果。
双套归档制。实行“双套制”保存海洋电子档案,既在保存海洋电子档案的同时也保存对应的纸质档案,这也是在技术水平尚欠成熟的条件下解决海洋电子档案原始性、真实性问题的一种可行办法。
海洋数字档案的销毁。目前,数字档案销毁现状不容乐观,销毁随意性较大、方法不规范,为信息保密工作留下了隐患。数字档案的销毁可分为信息销毁和载体销毁两大部分。数字档案的信息销毁即逻辑删除是通过软件系统改变载体的状态,将数字档案数据从记录载体上彻底消除的一种方法,对于非保密性的数字档案可用逻辑删除的办法;数字档案的载体销毁是将数字档案的载体连同信息一起销毁的方法,主要适用于载体、一次写人不可更改的记录载体及受损伤不可修复的载体,此方法销毁比较彻底,不会留下失泄密后患。对应销毁的在网络上处于流转状态的电子文件、电子档案,属于非保密性的可做清除处理;对属于保密范围内的,要做彻底清除处理,连信息的微量信号也一点不能留,以防泄密。