构建网络安全保障体系篇1
3.3校园网络安全测试
校园网络系统的安全保障体系对于这一系统本身来说,是极具个体的特性的,在对校园网络进行安全维护时,相关工作人员可以将其与校园网络的特点进行有效融合,并利用目前的校园网络安全技术,构建健全的校园网络安全体系,对校园网络的健康发展有着极重要的意义。
4、加强校园网络安全性的相关措施分析
4.1网络环境安全采取的措施
网络环境安全主要是由网络保护交换机、路由器及打印机各种服务器组合而成,能够有效避免通信线路遭到人为破坏、自然灾害破坏及遭到网络攻击等行为,从而保证校园网络能在一个拥有良好状态的环境下进行工作,从而妥善保管网络数据资料,防止不良人员进入到校园网络机房内进行破坏。
4.2网络设施安全方面的措施
由于目前的系统软件中经常藏有木马病毒,极容易造成相关用户的个人信息曝光,并且校园网络硬件设备的质量好坏也会形成网络故障甚至瘫痪,致使大多数工作人员无法对其合理解决。因此校园网络在进行设备的选择时要尤其注意。
4.3校园网络隔离措施
由于大多数的校园局域网都是以广播的形式为主,因此攻击者会根据广播中播报的信息,对其进行破解分析。由此可知,为有效加强校园网络信息的安全性,网络的隔离措施可以最大限度的减少数据信息的传播程度,进而将网络信息进行有效隔离,将安全隐患降到最低。
4.4选择合适的网络软件
相关的杀毒软件和防火墙都是保障校园网络安全运行的重要措施。因此在对校园网络进行安全漏洞方面的扫描时要选择较合适的应用软件,如360、金山毒霸等,并且使用的软件一定要是正版,尤其需要注意的一点就是要定期对其进行更新扫描。
4.5构建健全的校园网络规章制度
若想有效保证校园网络运行的安全性,就要构建合理的校园网络规章制度,并且要加强校园的网络管理工作,推动校园网络的广泛应用和发展,从而为更好的进行教学、科研工作提供保障。因此在进行校园网络的安全管理时,要以我国最新规定的校园网络相关法律为依据,并与校园网络的实际应用情况相结合,制定严格的校园网络管理体系,引起相关工作人员的关注和重视,从而促进校园网络的安全、可靠运行。
5、结束语
在校园网络的运行中构建较系统、全面的安全保障体系是极其重要的,不但能够保证校园网络系统的正常运行,还能真正实现网络资源共享,从而为校园教学、科研等工作提供良好的保障。因此相关工作人员在进行校园网络安全保障体系体系的构建时,对校园网络情况深入了解,进而有效解决校园网络存在的安全隐患问题,并在有效技术的使用时,制定完善的网络安全管理策略,从而提高安全工作人员的综合素质,为校园网络运行的安全性提供保障。
参考文献
[1]罗国富,王乙明.校园网络安全防范体系研究与应用[J].现代教育技术,2012,22(9):53-56.
构建网络安全保障体系篇2
论文关键词:网络信息;信息安全;信息传播;保障体系
随着网络信息资源越来越丰富,垃圾信息和不健康信息也在迅速增加,计算机病毒、垃圾邮件、网络攻击、系统漏洞、网络窃密、网络违法犯罪、著作权保护等问题日渐突出,而监管体制机制又相对落后。如何让优秀的、积极的、先进的信息占领网络传播阵地,如何构建网络信息传播保障体系,是世界各国都面临的紧迫课题。然而,国内外对此问题的研究还比较少,不够完善。本文在分析了构建网络信息传播保障体系应遵循的原则的基础上,结合分析研究实际情况,提出并系统地分析了网络信息传播保障体系的结构框架及其工作流程图。
1构建网络信息传播保障体系遵循的原则
1.1实用性原则
构建网络信息传播保障体系的最终目的是“用”,应本着旨在破解网络信息传播存在的难题的目的,向此目标努力,尽可能发挥体系的重要作用,注重体系实施的实际效用。因此,要运用系统工程的观点、方法,结合实际情况,分析网络信息传播存在的问题,制定具体措施。
1.2平衡性原则
网络信息传播具有的强大的威力和威胁就是信息的自由性。所以,在构建网络信息传播保障体系的过程中,应考虑在管理和控制网络信息的传播时要保持信息的“自由”与“平衡”,即尽量保持信息“自由”与“管理”的平衡。
1.3多层性、多样性原则
任何安全保护措施都不是绝对安全的,都可能被攻破,所以网络信息传播保障不应只依赖一种安全机制,应建立多层安全机制、多种防御体系,各防御层及体系相互补充保护,相互支撑以达到尽可能安全的目的。
1.4整体性、综合性原则
一个保障体系包括个人、设备、软件等环节,它们在网络信息传播安全中的地位和影响作用,只有从系统的整体角度去看待和分析,才可能获得有效、可行的措施。
而且网络信息传播保障体系又是一个复杂的系统工程,需要各种保障方法和工作程序的综合协调一致。为了实现网络信息传播全方位保障,建立网络信息传播保障体系必须考虑技术保障、管理保障、法律保障、人才保障、主观认知保障的综合作用,同时,通过全社会的共同努力,实现与提升信息安全防护与保障能力。
1.5协调性、协同性原则
网络信息传播保障体系构建的重要前提和基础是网络信息开放共享,而在信息的开放共享和保密的法律法规不健全的情况下,如果将部分信息公开披露,既缺乏相应的法律依据,同时又会带来一系列实际问题。因此在网络信息传播保障体系构建的过程中,要注意解决网络信息的披露与保密之间的矛盾,坚持网络信息开放共享和保密相协调的原则。
网络信息传播保障体系的构建不是哪一个体单独努力就能完成的,它是一个复杂的社会系统工程,需要政府、企业、社会团体、个人及司法等多方协调配合、全方位努力。网络信息传播保障体系构建的过程中坚持政府、企业、个人分工合作、协同作战是个非常重要的原则,必须明确各自的地位和作用。
2网络信息传播保障体系结构框架及工作流程图
构建网络信息传播保障体系是一个巨大复杂的系统工程,不仅仅是购买技术或开发信息安全技术的问题,而是一个体系建设过程,这个体系主要包括检测体系,安全防护体系和管理体系,主要内容有政策、法律法规建设、管理、技术、产品、人才培训、资金保障、领导重视、人们的认知观念等内容。在构建保障体系的过程中,认知是前提,技术是基础,管理是生命线,法律是保证,还要需要政策、资金、人才的支持。网络信息传播保障体系结构框架见图1。
网络信息传播保障体系个各体系之间、体系的各个组成部分之间是如何相互配合协调工作的呢?本文根据申农通信系统模型原理,借鉴国内外对信息安全保障体系模型的研究成果,提出网络信息传播保障体系工作流程图,见图2。
3网络信息传播保障体系结构框架及工作流程图分析
下面分别从检测体系、安全防护体系和管理体系三个方面,依照网络信息传播保障体系工作流程的顺序,结合网络信息传播保障体系结构框架中各个要素,对网络信息传播保障体系结构框架及工作流程图进行分析阐述。
3.1检测体系
检测中心数据库主要存储两大类信息记录:黑客、病毒等的入侵记录,网络信息传播保障体系的安全策略。
3.1.1黑客、病毒等的入侵记录
构建网络信息传播保障体系首先要对网络信息传播进行风险分析与评估,遵守相关的规章制度、合同、法律等安全标准,将历史性和新出现的黑客人侵记录以及病毒、垃圾信息等记录形成相应的安全策略,并存储于检测中心的数据库中。从信源发出的网络信息进入保障体系时,首先要通过监测体系得检测,如果该信息与检测中心数据库中的某信息特征匹配,则予以拦截;反之,数据库中无此相似记录,则要通过保障体系的安全防护体系的进一步检测防护。
3.1.2安全策略的规划
网络信息传播是一个动态的循环的过程,所以安全策略的制定注定是一个循序渐进、不断完善的过程。因为不可能制定一个安全策略就能够永远符合、完全适应某个网络环境和信息系统的需求,所以设计时要充分考虑其动态性和可操作性。
3.2安全防护技术体系
安全防护体系对网络信息进行检测,如果发现为异常的信息则给予拦截,反之则再由管理体系进行检测。安全防护技术体系主要应用信息安全技术对网络信息进行防护。
(1)基于pki/pmi的信任体系和授权体系:公钥基础设施技术(pki)以公开密钥技术为基础,以数据及密性、完整性、身份认证和行为的不可否认为安全目的。
(2)访问控制机制:包括防止非法用户的非法访问和合法用户的非授权访问2个方面。
(3)防火墙:防火墙系统主要目标是控制人、出一个网络的权限,它迫使所有的连接都通过防火墙,以便接受检查。
(4)入侵检测系统:对透过防火墙的攻击进行实时检测并及时做出相应的反应。
(5)安全审计系统:网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
(6)网络病毒防治体系:针对网络上病毒、蠕虫、木马和恶意代码的危害性大并且传播迅速的现状,网络信息传播保障体系应采用相应的整改措施。
随着现代信息技术的不断发展进步,安全防护技术体系也会随之更新,它是网络信息进入网络信息传播保障体系的一个重要“门槛”。
3.3管理体系
检测体系和安全防护体系均采用必要的信息安全技术对网络信息给予硬性的安全防护,管理体系则在人的参与下对网络信息进行管理,对于技术不能发现和拦截的网络信息,则通过人为手段进行防护。根据信息的接受者的反馈,如果得到他们的满意,达到了预期的目标,则网络信息安全保障体系取得实效;反之,则通过事故响应及补救机制给予补救,并修改网络信息传播保障体系。
3.3.1法律法规制度体系
政策、法律法规等的建立规范必须建立在支持和鼓励网络信息传播健康发展的前提下,通过立法和监督,打击和淘汰违规网络信息传播者,创建的良好的信息法制环境,做到有法可依,有法必依,更好地维护网络信息传播的发展。
(1)网络信息传播立法。如今,网络立法应更加注重于对网络信息安全即对网络信息传播行为的规范。网络信息传播立法,在网络有害信息的责任认定问题及可操作性等立法质量上,尚存在有待改进的地方。如何发挥网络媒体传播优势,使公民的言论自由得以充分实现,同时又不至危害国家、社会和个人的合法权益,应该是网络信息传播立法的根本所在。
在立法原则上,我国的网络立法与其他国家一样,就是承认现行的传统法律原则都适应于网络传播环境。“互联网立法的前提就是承认现行的传统的法律原则都应该适用于互联网空间。互联网没有也不可能改变现实社会基本制度以及受这个制度保护的基本社会关系。互联网上的虚拟世界是从现实世界生成的,并且无时不在对现实世界发生影响,所以虚拟世界说到底还是现实世界的一部分,虚拟世界里的关系无非是现实世界的社会关系的延伸,仍然要受现实世界中现行法律的规范和调整”。
网络信息传播法制的主要内容:“从事互联网信息服务实行许可备案制度;开办互联网电子公告服务实行专项申请、备案制度;互联网站从事登载新闻业务实行审批制度;网络信息传播禁载内容;网络服务提供者的义务、责任等”。
(2)网络信息传播规章制度。网站信息安全的管理,除了采用必要的技术措施以外,还需要建立健全管理制度,落实信息安全管理责任。网络信息传播安全管理规范包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(3)网络道德规范。网络道德规范体系,对思想境界不同的个体,设立层次不同的规范,结合网络的特点对传统道德规范进行适当改造再植入网络空间,如诚信规范、公平规范、平等规范等都可以经过改造后成为网络信息传播中重要的道德规范。如诚信规范的建立,传播及使用网络信息就有了一把诚信评判的标尺,使得我们可以更好的对网络信息活动参加者的诚信程度进行评价和判断。同时,也就树立了开展网络信息活动的行为准则,促使人们在网络信息活动过程中更好的遵守网络信息活动规则,可以有效减少诚信缺失现象的发生。另外,网络道德规范还必须推陈出新,适应网络的发展。
3.3.2网络“把关”体系
任何网络信息传播活动都是一个信息搜集、加工、的过程,这个过程离不开人的劳动,无法由某一技术或者程序自动完成。而传播活动中只要有人的参与,就一定会有人为因素的影响,网络“把关入”作用也就不可能消失。因此作为传播者个人或者组织机构的“把关人”作用也始终存在于网络信息传播过程之中。
网络中的把关体系主要从宏观层面的把关和微观层面的把关进行。
(1)宏观层面的把关。宏观层面的把关,仍是政府的直接把关。网站进行信息传播,实际是获得了网络行政主管部门给予的权利。例如,对于恶意网站要用技术手段对其“封杀”。
(2)微观层面的把关。微观层面的把关,即一个网站的把关以及受众的把关。对信息内容的把关,主要工作有:①分析传播内容短期或中长期的发展趋势;②研究传播内容是否符合有关法规和政策;研究传媒借助传播内容实现的宣传策略、宣传方法以及某一方使用的宣传战术;③了解和解决科技、文化等特殊信息在传播中的问题和困难,兼及受传者的类型和数量等。
3.3.3事故响应及补救机制
安全的相对性注定了事故的发生是不可避免的,因而建立一个事故响应小组,建立数据备份、制定不同的紧急响应计划和操作流程,能够对发生的事故再第一时间作处理,努力将损失降到最低点。
当黑客、病毒或垃圾信息等成功传播到信宿或对系统造成破坏时,此时网络信息传播保障体系的补救机制将采取补救措施,补救措施包括:使用杀毒软件查杀病毒,使用备份系统对丢失或损害的数据进行恢复,或使用临时的动态站点替代当前被破坏的信息系统等。之后,再将这些病毒、垃圾信息、系统漏洞和脆弱点等形成分析报告,反馈给检测中心数据库,进行必要的总结回顾,修改安全策略,更新网络信息传播保障体系。补救机制是整个保障体系中一个不可忽视的环节,是减小损失和实现持续发展的重要措施。
构建网络安全保障体系篇3
论文关键词:金融信息系统;灾备中心;网络;生产中心;安全
0、引言
随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。
本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。
1、建设目标
金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。
灾备中心网络建成后。作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。
灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。
构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。
根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。
构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。
部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。
2、设计原则
(1)高可用性
统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。
(2)高安全性
灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。
遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。
(3)高灵活性、高可扩展性
近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。
具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。
(4)便于运行维护和管理
强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。
(5)先进性
采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。
3、解决方案
(1)网络体系结构
根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、mis服务区、内联接人区、外联接人区、开发,测试区和internet接人区等区域。灾备中心网络体系结构如图2所示。
(2)灾备中心网络逻辑结构
灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。
各个层次的功能是:
核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。
分布层作为接入层和核心层的分界层.该层完成的功能包括:区内vlan问的路由;区内i王’地址或路由区域的汇聚:实施安全访问控制策略。
接人层提供layer2的网络接入.通过vlan定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施qos。对数据包进行分类和标记。
各层之间的连接:
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。
物理实现时.分布层和接人层设备可以合并。
(3)灾备中心信息安全体系设计
灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。
为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。
第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。
第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。
以上四个层面由低到高描述了信息安全建设的基本思路。
除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。
最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。
4可行性分析
方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面
(1)网络可靠性分析
灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:
线路的可靠性
灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的atm电路,每条atm电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。
网络设备的可靠性
灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。
(2)网络安全性分析
为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署ids、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。
(3)网络扩展性分析
网络扩展性主要体现在:
通信容量的扩展
按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条atm电路接入的要求.平均每条atm电路的速率不低于2mbps,在业务量增加后,如总计业务量不超过155mbps,可逐步扩容pvc带宽满足业务需求。如总计业务量超过155mbps,可根据需要。增加atm接口的数量。
支持业务系统的扩展
灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。
5、结束语
构建网络安全保障体系篇4
党的十以来,以同志为总书记的党中央高度重视网络空间安全保障工作,提出了一系列新思想、新观点和新论断。在今年4月19日召开的网络安全和信息化工作座谈会上,站在党和国家发展全局,从做好网络空间内容治理,增强我国核心技术自主研发能力,认清安全与发展辩证关系,努力实现“两个一百年”奋斗目标的战略高度作出重要指示,阐述了当前和今后一个时期我国网络空间安全保障工作的主要目标和重点方向,是中国网络安全和信息化大战略的一个重要里程碑。
在此背景下,必须充分认识网络空间安全保障工作对于维护我国亿万公民网络空间权益、保证国家安全和社会稳定的迫切性和极端重要性,努力做好网络空间安全保障体系建设工作。
安全保障须标准先行
网络安全标准作为构建网络空间安全保障体系的重要组成部分,是国家网络安全政策法规实施的有效保障,是进行网络安全管理的重要手段,是开展网络安全防范的重要工具,是促进信息化发展的重要技术支撑,是做好网络空间安全保障工作的重中之重,发挥着基础性、全局性、根本性、规范性、引领性作用。在中共中央网络安全和信息化领导小组办公室、国家标准化管理委员会等主管部门的领导下,目前我国已经初步建立了网络安全标准化工作体系和标准体系,全国信息安全标准化技术委员会从战略全局高度、网络安全博弈制高点、国际话语权主导、推动企业走出去等方面不断推动着我国网络安全标准化工作进程,组织申报网络安全国家标准325项,制定国家标准166项,提出国际标准提案9项,为维护我国网络空间安全,保障企业和个人合法权益发挥了重要作用。
标准研制工作是关键
为落实讲话精神,构建更为科学完善的网络空间安全保障体系,围绕关键信息基础设施安全保护、云计算服务安全、保障新型智慧城市建设安全、数据安全和个人信息保护、智能制造信息安全等热点技术领域,应进一步加强网络安全国家标准研制工作。
一是切实做好关键信息基础设施安全保护。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络空间安全保障工作的重中之重,必须深入研究,采取有效措施,建立关键信息基础设施网络安全标准体系,指导关键信息基础设施识别认定、安全保护框架、风险管理等重点标准研制,切实做好国家关键信息基础设施安全防护。
二是不断加强云计算服务安全保障。以云计算服务为代表的新一代信息技术与我国传统行业和应用结合密切,在深入开展信息化建设,全面发展新技术、新业务的同时,必须时刻警惕网络安全风险的蔓延,切实分析研判云计算服务的网络安全问题,制定支撑党政部门云计算服务网络安全管理的相关标准,开展云计算服务网络安全审查工作,形成针对云计算服务安全的持续监督能力。
三是有效保障新型智慧城市建设安全。随着“创新、协调、绿色、开放、共享”发展理念的不断深入,新型智慧城市成为国家治理体系和治理能力现代化的重要组成,在打破信息壁垒,构建信息资源共享体系的同时,必须加强网络安全管理工作,落实网络安全责任,开展新型智慧城市网络安全体系框架、网络安全评估等关键标准研制,做好新型智慧城市网络风险评估,全面推进新型智慧城市建设。
四是大力发展数据安全和个人信息保护。“网络安全为人民,网络安全靠人民”,在网络安全工作中要体现“为民”“惠民”的宗旨。为民做好网络空间安全保障工作,必须加快推进数据安全和个人信息安全保护标准化工作,依法加强对大数据的管理,建立健全大数据安全标准体系,做好《信息技术产品供应方行为安全准则》等国家标准的宣贯培训,通过试点示范,提升我国个人信息安全保护标准的可操作性,建立一个清朗、安全的网络空间。
构建网络安全保障体系篇5
关键词:计算机;网络安全;防御技术
信息技术的产业化发展已经成为世界发展的趋势,也是市场竞争的热点,我国正处于信息高速发展的时期,信息资源是社会发展最大的财富。计算机网络的推广与应用,对社会的整体发展来说,既是机遇也是挑战。它像一把双刃剑,不仅推动了社会的发展与进步,其本身存在的网络安全问题也促成了进一步建构网络安全体系的重大难题。由此可见,在网络安全管理方面,一方面,要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用;另一方面,要树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。
一、计算机网络安全的特征分析
(一)真实性与可靠性
网络安全的真实性主要是针对用户而言的,是指授权用户身份信息的真实性。真实性主要是为了避免网络环境中冒名顶替制造虚假信息的现象发生,因此,对网络用户的实体身份信息进行鉴别是真实性需要解决的重要问题。网络安全的可靠性是指网络系统在特定的条件和时间内完成特定任务、功能的特征,这是计算机网络系统安全最基本的要求,也是建构计算机网络安全防御技术结构的基本目标。
(二)保密性与完整性
保密性与完整性是计算机网络信息安全保护的重要任务,是保障计算机网络安全的重要途径。保密性是指在计算机网络运行过程中保证机密信息不被泄露给非授权用户的过程,保证只有网络授权用户才能接收、使用信息,并确保在这个过程中,信息不会被窃取和非法共享等。完整性是指在计算机网络运行过程中保证重要信息不被恶意篡改的过程,保证网络信息在存储、传输过程中不被改变、破坏或丢失。完整性要求保持网络信息的正确生成、正确存储和正确传输,它是面对网络信息的整体而言的。保密性与完整性相辅相成,共同保护计算机网络信息的安全。保密性要求网络信息不被泄露给未授权使用的人,而完整性则要求网络信息不受到其他外界因素的干扰和破坏。
(三)可控性与占有性
网络安全的可控性主要是指对网络信息传播、运行的控制能力,它对计算机网络安全起到十分重要的把关作用。可控性要求杜绝不良信息通过网络发散、传播,避免造成不良的影响,危害网络环境的持续、稳定运行。网络信息安全的占有性是指授权用户有权利享受网络信息服务,即网络信息可被授权用户访问、存储、使用的特性。占有性是计算机网络信息安全系统面向授权用户的特殊性能,一方面,计算机网络系统的基本功能就是向授权用户提供信息服务;另一方面,网络用户的需求是多种多样的、随时随地的。因此,网络信息安全的占有性是相对于计算机网络功能而言的、要求人性化服务的重要特征。
二、计算机网络安全存在的隐患
网络本身具有很强的开放性和共享性,这为网络黑客恶意破坏信息安全提高了良好的契机。网络信息的安全防护要求杜绝不良信息通过网络发散、传播,避免造成不良的影响,危害网络环境的持续稳定运行。计算机网络的普及应用为人们提供了极大的便利,与此同时,信息化带给人们的网络安全威胁也日益严重。比如网络数据的窃取、网络黑客入侵、网络病毒等不安全因素严重威胁着网络信息安全,不利于计算机网络积极健康地发展。网络信息具有很高的复杂性,增加了网络安全管理的难度,这也是网络安全管理过程中亟待攻克的难题。计算机网络安全管理人员对整个计算机网络的安全性起着至关重要的作用,目前我国的计算机网络管理者在安全管理意识上存在一定的缺陷,对计算机网络的安全管理不够完善。计算机网络结构逐渐复杂化,其对网络安全管理人员的综合素质的要求也越来越高,如果网络安全管理人员的安全管理意识不高、安全管理操作不当、安全设置不合理,都会对计算机网络的整体安全产生不可忽视的影响。网络信息的高密度聚集性是计算机网络安全面临威胁的主要特征,高密度的信息往往更具有社会价值,同时也具有更大的风险,因此其安全性更易遭到威胁。计算机网络安全是一项系统的工程,因此要把计算机网络安全防护作为一个整体来看待。一方面,我国的计算机网络缺乏核心软件技术,整个信息网十分脆弱,具有易窃听、易打击的特点。核心软件技术的缺乏在很大程度上降低了我国计算机网络的安全性能。另一方面,我国的计算机网络结构不安全,网络安全性能低、网络安全系统缺乏稳定性,不规范、不合理、不安全的网络系统设置大大降低了计算机网络的安全性能。
三、构建计算机网络安全防御体系的决策分析
信息技术的高速发展与应用,使得人们对于网络安全的关注度日益提高,信息技术在不断发展,网络安全的内涵也在不断延伸,因此,在网络安全管理方面要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用。网络安全防御,不仅仅要保证信息的完整性、保密性、真实性以及可控性等这些基础因素,还要转换思维,结合不同的安全保护因素,建构一个更权威、更有效、更严谨的综合网络保护屏障,大大减少恶意的网络信息攻击。构建合理高效的计算机网络安全防御体系应从以下六个方面着手,有效保障计算机网络安全运行。
(一)科学预警
计算机网络安全防御技术的目的在于“防患于未然”,在保护计算机网络安全的过程中具有预见性的重要意义。科学预警是实施网络安全防护的首要前提,它能通过对整个网络环境以及网络安全性的分析判断为网络信息安全保护提供精确、科学的评估和预测。精确的网络安全预警大大降低了网络信息安全的风险性,提高了计算机网络安全保护的效率,确保了网络安全防护工作的顺利施行。预警是建构计算机网络安全防御技术结构的首要环节,它的作用意义重大。
(二)安全防护
计算机网络安全防护是提高计算机网络安全性能、防范恶意入侵的积极防御手段,它主要是通过建立一种机制来检查系统的安全设置,通过弥补安全漏洞来降低网络信息的风险。计算机网络安全防护是一种手段,它的目的是确保整个计算机网络安全防御技术结构中的每一个组成部分之间都能顺利完成相互间的配合,顺利完成网络安全保护的终极任务,确保网络安全防护工作的顺利施行。
(三)积极检测
检测是保证及时发现网络入侵行为的重要手段,是为响应提供可能的关键环节。它是通过对检测系统实施隐蔽技术,以防止入侵者发现防护措施并且破坏监测系统的一种主动反击行为,它能够为系统响应提供有效的时间,减少损失。有效检测可采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,并且设立安全监控中心,便于掌握整个网络的安全运行状态,这是有效防止入侵的根本途径,也是建构一个更权威、更有效、更严谨的综合网络保护屏障的根本措施。
(四)及时响应
响应是指在网络安全防护过程中,发现恶意破坏行为之后,及时反击入侵,避免更大程度破坏行为发生的防护措施。在发现不利于网络安全的入侵行为后,及时作出准确的响应是必不可少的,它是减少网络信息损失、保障各方面利益的重要保护屏障。现如今运用最好的系统响应包括有:实时响应阻断系统、攻击源跟踪系统、取证系统和反击系统。通过运用这些辅助工具来确保响应的准确实施,有效预防黑客入侵,提高网络安全系数,为网络安全提供可靠保障。
(五)有效恢复
任何严密的防御技术都很难做到万无一失,因此,恢复在网络安全防范体系中就显得至关重要。恢复是一种事后弥补行为,它通过使用完善的备份机制以及高端的技术手段确保重要信息的可恢复性,避免重要的信息丢失,损害经济利益。有效恢复借助自动恢复系统、快速恢复系统来控制恶意破坏行为,将网络信息的风险规避至最低,保护计算机网络的安全运行。
(六)适时反击
反击,是网络安全防御过程中必不可少的防护手段,它主要是依据高端技术搜索网络黑客等犯罪分子的作案线索和证据,以便于依法查办犯罪分子,打击网络恐怖主义的犯罪行为。在虚拟的网络数字化空间中,网络用户身份的真实性是亟待证实的,在网络环境中查找犯罪人无疑像大海捞针,因此需要大力发展相应的取证、举证、起诉、打击等技术,运用相关的数字化设备进行数据修复等一系列的求证分析活动。适时反击是计算机网络安全的权威性手段,是为了重重打击网络入侵分子的破坏行为的一种惩处措施,这一措施有利于大大减少恶意的网络信息攻击,树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。
四、总结
互联网信息的快速发展,使得信息化程度成为衡量一个国家综合发展能力的重要标志,也成为了各个国家在世界市场竞争中的重要技术工具。计算机网络安全是保证网民信息安全的关键,网络安全防御技术作为计算机网络安全的重中之重,是保障计算机网络应用各个领域利益的重要环节。在网络安全管理方面,一方面,要以更加严谨、合理的安全防御技术为基础保障,确保计算机网络的安全应用;另一方面,要树立计算机网络安全防御系统的权威性、科学性和严谨性,为计算机网络安全运行提供可靠的技术保障。本文主要研究分析了计算机网络安全防御技术结构,旨在立足于网络发展的整体,保证网络系统各个环节的安全,为建立可靠有效的计算机网络安全体系奠定坚实的理论基础。
参考文献:
[1]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015,21:33-35.
[2]朱玉林.计算机网络安全现状与防御技术研究[J].信息安全与技术,2013,01:27-28+56.
[3]吴亚洲.计算机网络技术的应用及安全防御探究[J].电脑编程技巧与维护,2015,01:93-94.
[4]汤勇峰.计算机网络安全的现状和防御技术[J].电子技术与软件工程,2014,23:223.
[5]欧阳心成.对我国计算机网络安全现状与防御技术的研究[J].通讯世界,2015,22:55.
构建网络安全保障体系篇6
论文摘要:针对金融网络与信息系统的安全需求,构建了包括物理安全、系统安全、网络安全、应用安全和安全管理的金融网络与信息系统安全保障体系的总体架构,详细描述了安全保障系统的构成,提出了应采取的安全保障措施。
随着网络技术的发展和应用需求的牵引,网络规模和应用范围不断扩大,网络安全风险变得更加严重和复杂。凡是涉及到保障银行正常营业的所有问题,如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等,都与金融信息系统的安全有关,都要采取相应的安全风险防范措施。目前,针对互联网的应用还缺乏有效的安全措施和手段,这严重限制了银行系统通过互联网对外提供服务的范围和种类,迫切需要构建更加科学合理的金融信息系统安全保障体系。
1金融信息系统安全保障体系总体架构
金融信息系统安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理,其总体架构见图1.
2安全保障系统构成
下面从物理安全、系统安全、网络安全、应用安全和安全管理等方面来描述金融信息系统安全保障系统的构成.
2.1物理安全
物理安全是保障整个网络与信息系统安全的前提。www.133229.com物理安全主要涉及环境安全、设备安全和介质安全。环境安全主要是指防雷、防水、防火、防电磁辐射等内容;设备安全主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质安全指存储数据信息的介质安全。
2.2系统安全
1)网络结构安全主要指网络拓扑结构是否合理、线路是否有冗余。
2)操作系统安全指应采用安全性较高的网络操作系统,关闭不常用却存在安全隐患的应用,对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制。
3)应用系统安全应用服务器尽量关闭不经常使用的协议及协议端口号,加强登录身份认证,严格限制登录者的操作权限,将其完成的操作限制在合法的范围内。
4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施,在系统运行时,应采取必要的技术手段对网络及主机设备配置、金融业务系统等进行备份,在故障或灾难发生时,迅速恢复系统到最新状态。
2.3网络安全
1)隔离与访间控制机制该机制可根据不同用户安全级别或不同部门的安全需求,利用3层交换机来划分虚拟子网(vlan);在不同业务系统之间划分mplsvpn,实现受控互访、隔离和信息共享;在网络中配备防火墙,实现网络内外或网络内部不同安全域之间的隔离与访问控制。
2)通信保密通过采取数据链路层和网络层加密等措施,实现对网络中重要信息传送的保护。
3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应,从而防止针对网络的攻击与犯罪行为。
4)网络安全扫描系统通过对网络中所有部件进行扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,提出补救措施等。
2.4应用安全
1)访问控制根据金融信息系统建设的需要,采取自主访问控制或强制访问控制机制,对用户和资源分配不同的授权级,以控制用户对资源的访问。
2)身份识别和验证涉及到收集验证数据、安全传输数据、查证当前用户是否仍是目前使用系统的用户等。
3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时,应采取磁盘镜像、磁盘阵列、磁带库等技术手段,对数据信息进行备份,并在故障或灾难发生时,采取适当的恢复策略,修复系统中被破坏的或不正确的数据,使之恢复到一致性状态。
4)pk/ca认证系统通过建立该系统,实现网络访问的身份认证和访问控制,同时还可实现网络文件传输的保密性、真实性、完整性和文件的抗抵赖性。
2.5安全管理
金融信息系统是一个包括横向、纵向连接的多级网络,运行着多个业务系统。为实现对金融信息系统的安全管理,应设置安全管理中心,对安全事件、设备故障信息等进行集中分析和处置,并在此基础士实施统一规划、集中管理、严格规章、明确责任和动态监控,确保金融信息系统安全可靠运行。
3安全保障措施
3.1设置安全保障策略
1)总体安全策略在金融信息系统安全保障体系构建中,应遵循以下总体安全策略圈:①未经允许的访问都要严格禁止;②允许的访问都要经过认证、授权才能进行;③重要信息在网上传输要经过加密措施。
2)网络边界安全策略和联动策略在金融信息系统网络和internet之间设置防火墙,以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用mplsvpn技术进行vpn划分,实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等,既可以单独运行,还可以通过联动策略,一旦发现非法人侵,人侵检测系统会通知相应的安全产品实施联动保护,有效地确保金融信息系统网络的安全。
3.2部署安全技术和安全产品
为确保金融信息系统的安全可靠运行,遵循安全保障体系总体架构和安全保障策略,应在金融信息系统中部署相应的安全技术和安全产品。
1)划分安全域根据金融信息系统的功能及业务特征,按照等级保护思想,将其划分为省网络管理中心局域网、省级城域网接入单位的接人网络等安全区域,对不同安全域实施等级保护,既方便了用户使用,又加强了安全防护。
2)防火墙技术防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵人,通过监测、限制、更改跨越防火墙的数据流,尽可能对外部屏蔽网络内部的信息、结构和运行状况,以此实现网络的安全保护。
3)mplsvpn技术由于金融信息系统承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务。因此,应采用mplsvpn技术,按照业务系统和业务类型进行纵向vpn和横向vpn划分,实现不同业务系统之间的安全隔离及全网对不同业务系统的统一管理。
4)人侵检测系统在金融信息系统中设置人侵检测系统,对系统的网络安全状态进行定期的检查,对人侵事件进行报警并记录,并通过完整的安全策略,利用人侵检测系统与防火墙的有效互动,对网络系统实施全方位保护。
5)防病毒系统在网络中对所有可能造成危害的病毒源或通道配置对应的防病毒软件。该系统提供集中式的管理,将反病毒程序的安装、执行、预约扫描、更新升级、病毒码分发和共享等日常的管理维护工作化繁为简,对病毒进行实时监控,使网络免遭病毒的人侵和危害。
6)违规外联监控系统通过该系统对非法连接国际互联网行为进行监测,对网络系统内的主机拨号、双网卡、服务器等多种上网行为进行集中统一管理。违规外联监控系统根据监控策略,可对非法连接进行切断或报警,同时记录、存储、查询相关信息。
7)安全评估系统该系统对工作站、服务器、交换机、数据库应用等各种对象可能存在的安全漏洞进行逐项检查,根据扫描结果向系统提供安全性分析报告。安全扫描技术与防火墙、人侵检测系统互相配合与联动,能够提供安全性更高的网络。
8)数据备份与恢复在金融信息系统中网络数据存储管理服务器、带有大容量存储设备(磁带库、光盘库)的备份服务器、其他需要进行数据备份管理的服务器上,构建数据存储备份与恢复系统,以防备数据信息丢失,保证灾难恢复系统的可靠性。
构建网络安全保障体系篇7
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/t22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及Gat671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的api,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照iSo/ieC27037:2012、iSo/ieC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
构建网络安全保障体系篇8
关键词:卫星网络;地面网络;天地一体;通信保障系统
根据现阶段的情况来看,通信保障系统主要分为两类,一类是日常的警务通信,例如交通指挥、治安巡逻等;另一种就是应急通信,比如重大的灾害救助、大型事件的安全保卫工作。通过深入分析现代社会的发展要求,国家提出了构建天地一体的通信保障系统,就是要把卫星网络和地面网络进行相互连结、相互补充,充分发挥其自身的优势,所构建的通信保障平台既能满足与日常,也能满足于应急的需求。
1发展我国应急通信的重要性
发展我国的应急通信保障系统,有助于维护国家和社会的稳定,是让国家经济发展的重要条件,让人民安居乐业的基础保证,也是全面建设社会主义和谐社会时必须要解决的问题[1]。我国每年都会发生很多起重大的公共事件,重大公共安全事件主要包括自然灾害、事故灾难、公共卫生、社会安全事件等,这些重大事件给国家蒙受了巨大的经济损失和人员伤亡,为了减少安全事件所带来的损失,更加应该重视通信保障系统的建设。
2卫星通信系统的分类
2.1卫星地面站
卫星通信系统的发展还离不开地面站的部署,在地面上建立超短波电台、无线集群系统等内容,可以在交通不发达的地区实现交通通信的覆盖[2]。
2.2应急通信车,包括动中通和静中通
应急通信车的应用,可以让卫星网络展现出更大的优势,通信车的设施齐全,使用方便,在车体内也可以满足卫星网络覆盖范围内的通信能力,而且机动能力性更强,可以用于通信体系中的指挥调度。
2.3空中转信平台
由于我国地大物博,各种地形情况都会遇到,在一些地质地貌破坏严重的地区,就要利用直升机等设施,进行空中中转,以此来实现卫星网络和地面上的通信,保障地面上的通信保障网络系统能和卫星网络进行有效地沟通。
3天地一体的通信保障体系的构建方案
3.1系统构建思路
天地一体的通信保障体系,顾名思义,就是这个系统要由空间段和地面段组成,空间段是卫星网络,而地面段则是卫星的地面站和通信车。将卫星网络和地面网络进行有机结合,能让地面网络最大化辅助卫星网络的工作,使通信保障更完善。
3.2系统的组成
天地一体的通信保障体系是由宽带卫星和地面站以及通信指挥车共同构成的。在这两类中,宽带卫星是一种能将语音、数据、图像等数据综合处理的通信方式,视频的采集和回传、视频会议是通信保障系统的重要内容,宽带卫星能为这些内容提供数据支持[3]。而地面站和通信指挥车则可以不受地形环境的影响,更好地追踪卫星网络的移动轨道和基本情况,有效地和卫星网络进行沟通,实现语音、数据、图像、视频之间的传递。
3.3系统的特点
天地一体的通信保障系统的,强调了地面网络的能动作用,在具体地实施中补充了卫星网络的多种通信方式,而通信车也提供了更多的供电方式,人们可以在地面上更好地观察到卫星网络在天体中的运行状况,便于开展视频会议,同时,地面上指挥车和地面站上的设备能够实现远程监控的作用,为通信保障的指挥决策提供一个更加准确的依据。
4天地一体的通信保障体系的作用
天地一体的通信保障体系,更加重视地面上网络通信的重要性,是现代通信中的一种重要的手段,在国际上也得到了广泛的运用。当国家中发生了重大安全事件,天地一体的通信保障体系可以突破时间和空间上的限制,卫星网络和地面网络相互合作、补充,共同发挥出难以替代的作用。
同时,天地一体通信保障体系的建立还满足了以下的要求:能够在任意地点建立起综合数据的互相沟通、具有双向的通信能力,将数据传输透明化、一体化,还具有对商业机密传输过程中的加密功能[4]。
5结论
现代科学技术的不断发展,对通信保障体系提出了更高的要求,要求通信保障体系实现全时空、全方位的天地一体化,在实际的通信指挥中实现多种并存的通信手段,融合了多媒体性能的传输能力和处理能力。这样一体化的通信保障体系已经在我国得到了越来越广泛的运用,在今后的发展中,还应该更加努力,去深入开展卫星通信系统和地面网络信息系统地建立,实现二者的协调发展,让我国的空间技术水平更加提高。
[参考文献]
[1]何家富,冯艺芝.构建卫星网络与地面网络天地一体的通信保障系统[J].数字通信世界,2014,(01):13-16.
[2]位莅,宫钦.一种基于多维度可定制的场景化通信保障系统[J].电信工程技术与标准化,2009,(06):20-23.
构建网络安全保障体系篇9
电脑网络信息的高速发展,为各行各业工作效率的提高提供了巨大的方便,在某种程度上甚至可以说,不少行业和部门离开网络信息系统就无http://法开展工作。但网络侵权问题也随之而来,而受害最深的单位莫过于金融会计等行业,其一旦受到侵权,往往就会造成巨大的经济损失。如何建立起金融会计信息网络系统安全体系,已成为一个急需解决的重大问题。多年以来,人们往往依靠加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等来保障信息系统的安全。但实践证明,只有这些还是不够的,还有不少多变的复杂的安全威胁和安全隐患让你防不胜防。据统计,我国公安机关自2000年至2009年,共破获利用网络犯罪案件16700余起,缉捕犯罪嫌疑人19300余人,涉案总价值近95亿元。有统计报告称,将受侵权案件进行归类,发现属于管理方面的原因比重高达60%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证。在提高安全管理技术手段的同时,还要从制度和管理机制上提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。加强金融信息系统的内部安全管理措施,层层建立起组织管理系统,制定和完善内控的各项规章制度,不断改进和加强程序的操作与管理技术,是做好金融会计信息系统安全管理的根本。
一、金融会计网络信息系统面临的挑战
目前,网络信息和技术的广泛使用,给金融会计网络信息系统带来了多方面的风险和隐患,金融会计网络信息系统正面临十分严峻的形势和挑战。
(一)金融行业的管理落后于金融网络系统发展的需求
目前,我国金融业的网络信息安全管理工作还存有不少漏洞,从领导决策、内部安全制度管理到网络技术的安全管理,都还需要直一步加强。曾有金融界专家根据我国金融网络信息安全管理不佳的现状指出:“信息资产风险监管是金融监管体系的核心理念。”这里说的信息风险资产是指在网络信息化进程中,信息资产的设计、规划、服务、运用、监管以及操作等过程中产生的业务风险。从目前我国整体形势来看,金融会计系统的安全管理制度都已比较完善,但从上级机构对下级机构的监管和指导上还处于一个较低级的阶段。因为往往缺乏完整的认识,缺乏统一的监管目标,缺乏上下级之间监管的运作机制,从而造成上下级监管不到位,就不同程度地消弱了网络信息安全管理的实际效果。
(二)核心设备和技术依赖国外,造成安全隐患
目前,我国的网络信息系统所使用的操作系统、芯片、数据库等大多数还是由外国生产和提供,其中有些人为设置的软件陷井和系统漏洞,往往就会使我们防不胜防。有人在调查中发现,外国人生产设计的操作系统和数据库及一些重要网络系统中使用的信息技术产品等,都不可避免地存在着一些安全上的漏洞。这些漏洞其中有的是疏忽造成的,但也有的是有意设置的。在网络运行中,这些安全上的漏洞就有可能被人利用实施入侵,被人破坏设备程序或从中窃取机密信息和数据,实施经济犯罪。
(三)境内外网络违法犯罪活动呈快速发展趋势,金融会计网络信息系统安全将面临严峻的网络技术挑战
金融会计网络信息系统和其它重要信息系统正成为国内外不法分子进行攻击和破坏的重点目标,他们都是利用自己高尖端的网络信息系统技术进行犯罪活动,只要我们一时的疏忽和松懈,就会让坏人有机可乘,给国家和集体的财产造成很大的损失。目前,从全国的形势来看,不法份子正在利用其所拥有的高科技,在整个金融界无孔不入地从事破坏活动,已有不少金融会计信息系统受到他们的攻击,并给我们的金融业造成了巨大的危害,所以说,我国目前金融会计网络信息安全的形势十分严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心95%都遭到过境内外黑客的攻击和侵入,其中以银行、金融和证券机构为其攻击的重点。
二、应对措施
(一)加强金融网络信息系统安全管理的行业监管和制度建设
目前,随着我国社会经济的快速发展,网络信息安全工作也已受到国家有关部门的高度重视。尤其是近几年以来,党和政府开始把金融信息系统安全工作提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,同时,各级政府还专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称cncert/cc)、中国信息安全产品测评认证中心(简称cnitsec)等,初步建成了国家信息安全组织保障体系,为金融会计系统网络信息的安全管理打下了一个良好的基础。具体到一个行业和部门就更应自己对加强信息系统安全管理重大意义的认识,在国家高度重视并建立防护机构的基础上,建立起自己的信息安全管理组织,联系本行业、本部门的工作实际,科学认真地制定出确保金融信息系统的安全管理措施。管理措施主要应包括领导责任、安全管理人员的职责划定以及工作人员技术管理、操作程序上的具体要求和防护策略。同时应要求将各种安全策略规范化和实用化,加强其可操作性,以保证安全管理人员在工作中具有明确的依据或参
转贴于http://
照,并便其形成一种人人都严格实施的工作制度。
为了进一步从根本上强化金融网络信息系统的安全管理,还应建立起跨部门的金融行业安全协调机制以及关键时期的安保工作机制,加强信息安全的检测和准入制度,层层建立起信息资产风险评估体系,切实提高信息系统安全管理水平,保证金融业的长期稳定和发展。上层金融机构要切实加强对下属中、小金融机构的监管,并加强具体指导和提供各项服务。加强对下属金融机构的业务、技术培训,提高其安全防范意识和防范技能,帮助中小金融机构规避各种风险,实现持续发展。各金融系统还应自上而下地成立行业网络信息安全领导小组,并随之建立起一系列的信息安全的报告制度、通报制度和联席会议制度,真正建立健全运转灵活的、反应灵敏的信息安全应急协调机制,及时消除隐患,快速有效地应对各类突发事件,从根本上降低和消除各类重大事故的发生,保障金融业健康有序的发展。
(二)强化网络信息的安全机制建设
在网络信息机构、制度建设的基础上,必须加强行业、部门内部的安全机制建设。这就是说,机构和制度的建立固然重要,但更为重要的是机构和制度的运作是否能够形成一个科学有效的内部管理机制,没有形成一个科学有效的管理机制,机构和制度都将形同虚设。安全机制建设的内容应包括:一是层层建立岗位安全责任制,在防患于未然的前提下,一旦发生问题,责任十分明确,谁也无法推诿,以此增强每一个领导者和每一个工作人员的责任意识;二是可进行安全区域划分,重点加强重要地区和部位的防御力量。从人力到有针对性的安全设备部署和设置,都要向重要部位实施强化,以改进和加强对重要区域的分割防护;三是增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,发现问题http://及时向主管领导报告或立即报警,力争将隐患和问题消灭在萌芽状态,以此来保证和提高自身的动态防御能力;四是完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。五是要强化“突发”与“应急”意识。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。六是要扩大应急预案本身的覆盖范围。应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进金融部门做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
(三)组建网络信息安全专业组织
因金融会计网络系统安全问题事关重大,在已解决上述有关问题的前提下,组建起一支精干而专业的网络信息安全的专业组织是大有必要的。专业安全保障人员应专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑等方面的工作。在此基础上,要根据可能发生的安全问题,制定出关键设施或部位的应急预案,让每一个人都牢记在心,防患于未然;同时还要对专业安全人员进行有目的的业务和技能培训,让其真正具备应急预案中所规定的专业安全保卫人员的思想素质和各项防范技能,随时准备应对可能发生的突出事件。如上所述,多管齐下,多渠道实施综合防范,真正建立起网络信息系统的安全保障体系,实现对金融机构信息安全风险的及时、动态、全面、连续的监管,同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,所以我们就必须充分认识到金融业信息安全对整体业务和金融体系,乃至体系的影响,牢固树立风险防范意识,把不断提高信息科技能力作为风险管理的重要手段。
(四)积极应对挑战,建成安全防范体系
构建网络安全保障体系篇10
关键词:政务外网运维服务体系
随着国家电子政务外网(以下简称“政务外网”)工程建设的不断深入,接入用户不断增多,网络承载业务陆续开通,对政务外网运维服务能力的要求也越来越高。运维服务的好坏,将直接关系到政务外网能否发挥预期效益、能否获得持续发展。
一、统一运维体系的提出
政务外网是服务于党委、人大、政府、政协、法院和检察院等部门的政务公用网络,逐步覆盖中央、省、地、县四级政务部门,主要满足各级政务部门社会管理、公共服务等方面的需要,为我国各级政务部门的非电子政务业务系统提供承载服务。
当前,政务外网建设与我国行政体制同构,采用了“分级建设、分级管理”的模式。作为公共网络,政务外网承载的业务应用具有端到端的特点。以某个中央部委发起的纵向业务应用来说,其范围包括中央部委和各省与之对应的厅局,跨越了中央和省两级政务外网。
对于业务应用来说,它并不关心网络是如何组成的,也不关心两级网络是如何维护的,它关心的是数据通信的高速畅通,故障出现时的快速响应等。换言之,政务外网为业务应用提供的应该是统一的、端到端的服务。
业务应用的特点决定了政务外网必须要构建统一运维体系,为承载业务提供统一的、端到端的服务,保障业务应用的高效、顺畅和稳定运转。
二、政务外网的运维服务内容
“运维”是运行维护的简称,包括运行和维护两方面内容,对于运行管理来说,主要是面向网络承载的业务,侧重监视、控制、调度;对于维护管理来说,主要是面向网络设备(路由器、交换机、服务器等),侧重软硬件的维护、测试、管理。政务外网必须在面向业务和面向网络两个层面开展各项维护服务工作。
从工作内容角度衡量,当前政务外网必须开展运行监控、设备维护、配置管理、故障管理、变更管理、资源管理、信息管理、安全管理、业务开通、故障响应等项工作(参见图1),才能保证全网的稳定运行及对已承载的业务提供有力支撑。
运行监控:包括对链路、设备状态的实时监测,网络流量的实时监控,安全事件的实时监控及面向部委业务应用的实时监控等。
设备维护:包括设备的定期检测、保养,数据备份,配置检查,主备功能的倒换测试等。
配置维护:管理网络的配置参数,按要求完成路由、访问控制、策略控制、设备端口等数据的配置、修改和删除。
故障管理:包括制定故障管理办法,建立故障资料库,故障发生时快速定位故障,调度全网进行解决,控制故障的影响等。
资源管理:包括资源数据库的建立,定期进行资源数据的整理、核对、统计等,备品备件的使用管理,资源使用的请求响应等。
安全管理:包括安全策略的制订与变更,安全配置检查,安全事件响应,安全日志的分析、审计,以及定期的安全预警等工作。
变更管理:指设备、资源、配置的变更管理工作,以及业务的割接管理工作,包括制定变更管理办法、提出变更申请、变更的审核与实施,以及变更的响应等。
信息管理:通过网络运行情况的统计和分析,为领导、其他相关部门提供准确的网络运行数据。
故障响应:实时响应客户网络故障申告,全程跟踪、协调处理并反馈信息;对故障处理信息进行统计和分析,向客户提供故障处理报告、网络运行分析报告。
业务开通:按照相关接口部门(如工程技术部门、客户服务部门等),制定的网络、业务开通方案,完成具体的设备配置、尾纤跳接、开通测试等工作。
三、统一运维体系的基本框架
政务外网必须建立统一运维体系,其核心主要体现在上级运维机构对下级运维机构的统一调度上。为了实现统一调度,必须在组织建设、制度规范建设、流程建设和技术支撑平台建设等四个方面,从上到下、从中央到地方实现统一(参见图2)。
⒈统一组织体系
中央和地方各级政务外网都需要设立相应的运维机构,根据各自的职责范围,做好本级政务外网的运维保障工作。
参照电信运营网络在运维管理方面的具体实践,结合政务外网的实际需求,按照管理一条线、维护一条线以及客户故障响应一条线的原则,中央级政务外网运维机构划分为运行管理、运行维护和客户故障响应三部分,它们各司其职,共同完成政务外网的运维工作。
管理线内,可设置综合管理、技术管理、安全管理、资源管理等职能;维护线内,可设置网络监控、设备维护等岗位,其中设备维护岗位可以按专业进一步划分为网络设备维护、服务器和存储设备维护、应用维护、基础安全维护、Ca系统维护等,响应线内设置客户故障响应职能。
为了实现中央对地方的统一调度,地方运维机构的设置必须和中央保持相对一致。根据中央运维机构的设置要求,地方运维机构需要按照运行管理、运行维护以及客户故障响应三条线来设置相应的职能,以便接口中央的相关调度工作,通过中央与地方的密切配合,共同完成各项维护工作(参见图3)。
⒉统一制度规范
政务外网内必须建立起一套适用于全网的、规范全网维护工作并要求全网各级运维机构共同遵守的制度规范,从根本上保证维护工作有序、高效开展,提高管理效率,并防患于未然。
统一的制度规范包括规章制度、技术规范两类。规章制度用于规范全网运维管理工作的职责分工、工作要求等;技术规范用于对设备维护提出操作规范,对网络运行提出质量规范,对运维支撑系统提出功能性规范、接口规范和数据格式规范等。
通过建立全网统一的制度规范,并在实际工作中严格执行,同时实施监督与考核,才能保证各项维护工作有章可循,全网一致,最终保证全网网络运行稳定、业务服务高效。
对于中央运维机构制订的各项制度规范,凡是对地方运维工作提出明确要求的,各省级政务外网运维机构都应当严格遵循并贯彻执行(参见图4)。
⒊统一业务流程
全网范围内必须建立起面向网络维护、面向业务保障的标准工作流程,以流程的方式固化标准工作内容、工作要求和工作范围。
业务流程既包括运维机构的内部日常工作流程,也包括各级运维机构之间的业务协同流程。对于业务协同流程,要求各级运维机构、人员共同遵守,全网范围内都要做到统一。
中央和地方的业务协同内容主要包括两个方面:业务开通和故障处理。业务开通主要指中央部委用户利用政务外网开展全国性的业务,需要依托中央骨干网和各省级政务外网,建立联结中央部委和省内有关厅局用户的业务网络。一般来说,此类业务开通协作由工程建设/技术部门牵头,相关部门配合,应视为工程建设任务。因此,和运维相关的协同内容主要指中央和地方在故障处理方面的协同,统一业务流程也主要指的是统一故障处理协同流程。
中央和地方在故障处理协同方面需要遵循两条原则:首问负责原则和属地受理原则。原则上,用户应当向故障发生地或用户所在地的运维机构申告故障,第一个受理客户故障申告的运维机构或人员,有责任协调故障处理,全程跟踪故障处理的进展状态,并及时向客户反馈。
在上述原则的基础上,需要从故障受理、判断、处理、测试、反馈5个阶段分别进行协同,配合完成故障处理(参见图5)。流程要点如下:
①地方必须设置服务响应岗位和网络监控岗位,在故障处理协同中,作为中央网络监控和地方网络监控协同的接口;
②在故障受理时,中央和地方均可以受理客户申告,遵循首问负责和属地受理的原则,谁受理谁负责;
③在故障处理过程中,中央指导地方,相互沟通协调并遵循先抢通后修复原则进行故障的处理。
⒋统一运维支撑平台
运维支撑平台作为政务外网统一运维体系中重要的it支撑工具,从技术方面减轻了维护人员和管理人员的压力,有力地支撑了政务外网运维工作的顺利开展。通过建立起全网统一的运维支撑平台,以电子化的手段实现全网范围内的统一指挥、统一调度、统一维护,从而实现横纵一体化的运维支撑体系。
运维支撑平台分为两级三个子系统:中央级运维支撑系统包括监控管理子系统、电子运维子系统和资源管理子系统,与此相对应,省级运维支撑系统也应当包括上述三个子系统,在满足中央统一规范要求的前提下,各省也可以结合自身条件进行扩展(参见图6)。
⑴监控管理子系统
实现全网拓扑和故障、性能告警的监控,并且将网络运行状态和故障、性能告警信息与业务应用进行有效的关联,重点显示和分析对业务应用的影响范围和影响程度。网络运行监控要实现“下看一级”,即中央监控子系统能够动态监控省级政务外网的运行状态,中央运维人员能够实时发现和中央部委业务运行有关的省网的告警信息。
⑵资源管理子系统
资源是指需要独立进行分配、维护和监控,且具有配置、性能和故障等信息的物理或逻辑对象。资源管理子系统主要用于管理政务外网的相关资源,提供相关资源的配置信息,掌握各种资源的配备及使用情况,对资源进行统一规范管理,逐步做到对资源的动态管理,发挥资源的最大效益。通过电子化手段,实现政务外网资源数据的规范化管理,实现中央和各省的资源数据动态统一与共享,满足网络运维统一调度管理的要求。
⑶电子运维子系统
电子运维子系统通过电子化的流程管理和工单管理,实现日常运维工作的流程化、自动化、规范化,保证运维管理的有效性和一致性,从而有效提高生产效率,保留业务痕迹,为业务统计、考核、监督提供基础数据。
三个子系统在横向和纵向上都通过相应的接口,实现数据交换功能:
在横向上,监控管理子系统可将告警信息送到电子运维子系统中,形成事件提交运维管理人员处理,通过与资源管理子系统的数据共享,实现告警、性能、拓扑等监控信息与网上承载业务信息的关联。
在纵向上,中央监控管理子系统与省级监控管理子系统通过告警数据的交换,支撑全程全网的统一监控功能。中央资源管理子系统与各省资源管理子系统能够通过资源数据的交换,实现信息共享。中央电子运维子系统和各省电子运维子系统通过各类工单的传递,支撑并实现“中央-省级”故障处理的业务协同。
四、结束语
政务外网作为中国第一个部级政务网络平台,不同于任何一个政务部门的内部专网,具有“公共”的属性,如何管理好这样的公共网络,使其发挥最大效益,是一个非常重要的课题,国内没有先例可循。笔者对构建政务外网统一运维体系所需要考虑的组织体系、制度规范、业务流程、支撑平台等问题进行了初步探讨,以期抛砖引玉。相信随着我国电子政务建设不断深入发展,政务外网作为国家重要的基础网络平台,必将发挥越来越重要的作用。
作者简介:
徐春学,男,汉族,1977年生,江西瑞昌人,国家信息中心公共技术服务部副处长,政务外网工程办运行组副组长;主要研究方向为电子政务、it服务管理。