前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全運(yùn)維技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。
全:全局掌控 靈活側(cè)重
對于日漸復(fù)雜的現(xiàn)代IT系統(tǒng)而言,全局化的統(tǒng)一掌控是良好運(yùn)維管理的基礎(chǔ)。銳捷網(wǎng)絡(luò)綜合運(yùn)維中心解決方案將RG-RIIL、RG-BDS、RG-WMS三大核心組件整合起來統(tǒng)一展現(xiàn),在一個(gè)平臺(tái)實(shí)現(xiàn)完美的全局掌控。既可以整體掌握業(yè)務(wù)健康水平,完成對網(wǎng)絡(luò)、安全、網(wǎng)站綜合運(yùn)維展示和監(jiān)控,呈現(xiàn)信息化建設(shè)業(yè)績,又能夠從業(yè)務(wù)視角洞察IT變化。由于各大組件均可獨(dú)立作為平臺(tái)運(yùn)行,方便從不同維度、不同側(cè)重點(diǎn)關(guān)注運(yùn)維業(yè)務(wù),靈活地為相關(guān)部門提供適合的解決方案。
銳捷綜合運(yùn)維中心隨時(shí)從健康度、繁忙度、安全度等多維度完整評(píng)估業(yè)務(wù)運(yùn)行情況,將全網(wǎng)運(yùn)行的流量、資產(chǎn)的日志,以及來自外網(wǎng)的攻擊,通過不同的功能模塊進(jìn)行威脅分析,準(zhǔn)確定位業(yè)務(wù)風(fēng)險(xiǎn)和異常原因。此外,通過一張全網(wǎng)拓?fù)洌轿粩?shù)據(jù)化呈現(xiàn)當(dāng)前網(wǎng)絡(luò)運(yùn)行狀態(tài),讓每一點(diǎn)異常變化,都能一覽無遺。
安:安全為核 鎖定風(fēng)險(xiǎn)
隨著IT系統(tǒng)安全管理理論與技術(shù)的不斷發(fā)展,需要企業(yè)運(yùn)維部門從安全的角度去管理整個(gè)網(wǎng)絡(luò)和系統(tǒng),而傳統(tǒng)的網(wǎng)絡(luò)運(yùn)維中心在這方面缺少技術(shù)支撐。銳捷綜合運(yùn)維中心的推出,將整個(gè)IT系統(tǒng)的安全運(yùn)維,放到了最核心的位置。雖然很多企業(yè)此前已經(jīng)部署了不少安全設(shè)備,但往往沒有真正地發(fā)揮出應(yīng)有的價(jià)值。很大原因就在于缺乏好的工具對安全日志進(jìn)行充分挖掘與利用。銳捷此次推出的綜合運(yùn)維中心,通過基于大數(shù)據(jù)技術(shù)的安全日志分析平臺(tái)RG-BDS,可以兼容市場大多數(shù)品牌的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)系統(tǒng)、中間件等,將巨大的異構(gòu)安全信息統(tǒng)一收集,結(jié)合日志模型庫執(zhí)行標(biāo)準(zhǔn)化編譯,經(jīng)過大數(shù)據(jù)多樣的綜合關(guān)聯(lián)分析和機(jī)器學(xué)習(xí),篩選出對客戶真正有價(jià)值的安全信息。它幫助客戶快速定位網(wǎng)絡(luò)安全問題,利用工單系統(tǒng)和銳捷安全知識(shí)庫,快速處理問題并責(zé)任到人,讓網(wǎng)絡(luò)安全事件完整閉環(huán),幫助客戶實(shí)現(xiàn)網(wǎng)絡(luò)安全極簡運(yùn)營。此外,借助專業(yè)的RG-WMS系列網(wǎng)站監(jiān)控預(yù)警平臺(tái),運(yùn)維中心能夠7×24小時(shí)主動(dòng)及時(shí)地監(jiān)控網(wǎng)站安全問題,對WEB系統(tǒng)進(jìn)行深入的漏洞發(fā)現(xiàn),并提供專業(yè)的修補(bǔ)意見,降低安全風(fēng)險(xiǎn),防患于未然。當(dāng)突發(fā)攻擊事件時(shí),除了提供及時(shí)告警信息,還可以配合銳捷安全設(shè)備及時(shí)響應(yīng)與處理。
關(guān)鍵詞:動(dòng)力與環(huán)境設(shè)備 網(wǎng)絡(luò)安全 運(yùn)維成本
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2012)07-0171-01
1、引言
隨著通信行業(yè)市場化的演進(jìn),各通信運(yùn)營商都更看重企業(yè)效益。網(wǎng)絡(luò)運(yùn)維成本重要方面的動(dòng)力環(huán)境設(shè)備運(yùn)維支出,已經(jīng)成為各級(jí)領(lǐng)導(dǎo)關(guān)注的重點(diǎn)。如何在保障通信的前提下降低運(yùn)維成本是擺在動(dòng)力運(yùn)維專業(yè)人員面前的課題。
2、動(dòng)力與環(huán)境系統(tǒng)面臨的尷尬
動(dòng)力系統(tǒng)為專業(yè)設(shè)備提供合乎標(biāo)準(zhǔn)的電源,環(huán)境系統(tǒng)為各個(gè)專業(yè)設(shè)備提供合適的運(yùn)行環(huán)境,不論是動(dòng)力系統(tǒng)還是環(huán)境系統(tǒng)對整個(gè)網(wǎng)絡(luò)的安全運(yùn)行都起著至關(guān)重要的作用。目前情況下,建設(shè)項(xiàng)目設(shè)計(jì)中,忽略原有電源附負(fù)載情況、只建設(shè)業(yè)務(wù)網(wǎng)絡(luò),不考慮環(huán)境系統(tǒng)或者環(huán)境監(jiān)控系統(tǒng)的情況時(shí)有發(fā)生。設(shè)備數(shù)量不斷擴(kuò)張,運(yùn)維成本卻在逐漸緊縮;人員緊張,維護(hù)量大,救火式維護(hù)仍然存在。
3、尋找網(wǎng)絡(luò)安全與運(yùn)維成本的天平
在節(jié)能降耗、向網(wǎng)絡(luò)要效益的今天,在網(wǎng)絡(luò)不斷擴(kuò)張、人員不斷優(yōu)化的今天,如何把握網(wǎng)絡(luò)安全與運(yùn)維成本的平衡,是動(dòng)力專業(yè)關(guān)注的重點(diǎn)。
3.1 安全問題與措施
作為通信網(wǎng)絡(luò)設(shè)備動(dòng)力保障的電源系統(tǒng)安全問題以及作為環(huán)境調(diào)節(jié)的空調(diào)系統(tǒng)安全問題來自于系統(tǒng)內(nèi)和系統(tǒng)外,在工程規(guī)劃設(shè)計(jì)建設(shè)階段安全問題考慮是否周詳是非常重要;基于安全和成本之間的矛盾需要在規(guī)劃建設(shè)階段充分考慮找到一個(gè)平衡控制點(diǎn),既要在產(chǎn)品品牌質(zhì)量、系統(tǒng)備份、安全隱患和維護(hù)風(fēng)險(xiǎn)上權(quán)衡,又要在前期投資、后期維護(hù)成本上權(quán)衡。在運(yùn)行維護(hù)階段發(fā)現(xiàn)并改正缺陷(或者說是網(wǎng)絡(luò)安全問題)的成本是設(shè)計(jì)階段的100倍以上影響電源系統(tǒng)和空調(diào)系統(tǒng)安全的系統(tǒng)外因素包括:(1)由于工程規(guī)劃設(shè)計(jì)的疏忽遺留給系統(tǒng)的缺陷;(2)產(chǎn)品廠家QC保證出現(xiàn)紕漏;(3)國家電力電網(wǎng)可靠穩(wěn)定性能;(4)雷電氣候的干擾;(5)外部氣溫的高低;(6)機(jī)房運(yùn)行環(huán)境的影響等。
在實(shí)際運(yùn)行中電源系統(tǒng)和空調(diào)系統(tǒng)在系統(tǒng)內(nèi)容易出現(xiàn)的會(huì)造成后果嚴(yán)重的安全問題可以枚舉如下:(1)開關(guān)電源出現(xiàn)模塊通信不良,導(dǎo)致模塊閉鎖沒有輸出。這種安全問題容易發(fā)生在綜合局機(jī)房中,并將造成核心通信設(shè)備如掉電的特大事故;(2)由于避雷器件不穩(wěn)定,出現(xiàn)避雷器燒毀故障,出現(xiàn)明火。(3)電源模塊對地短路擊穿鐵板,引起明火的嚴(yán)重故障,由于控制電路不完善,空開不能及時(shí)分?jǐn)?,此類故障對于無人值守的基站來說是重大安全隱患,隨時(shí)都有可能引起基站火災(zāi)。(4)開關(guān)電源的性能和參數(shù)的設(shè)置直接影響到蓄電池的壽命。(5)電池內(nèi)熱部散熱不及時(shí)導(dǎo)致熱失控,此時(shí)電池的溫度會(huì)發(fā)生累積,電池溫度不斷上升,導(dǎo)致電池槽等變形,電池性能下降,壽命縮短。(6)電池體內(nèi)質(zhì)量問題導(dǎo)致電池容量不足。(7)電池自然失水、老化也是電池壽命降低的一個(gè)主要原因。(8)發(fā)電機(jī)維護(hù)不良,造成停電時(shí)無法啟動(dòng)。通過對開關(guān)電源參數(shù)設(shè)置的優(yōu)化,改善機(jī)房溫度以及建立科學(xué)維護(hù)管理模式和有效的發(fā)電調(diào)度指揮系統(tǒng)和流程,延長蓄電池的使用壽命,盡可能減少基站中斷,確保網(wǎng)絡(luò)的安全穩(wěn)定,同時(shí)也大大節(jié)約基站運(yùn)維成本。
3.2 動(dòng)力運(yùn)維成本管控
對于通信機(jī)房來說,主要的負(fù)載是業(yè)務(wù)網(wǎng)絡(luò)設(shè)備。動(dòng)力部門為之配置通信電源、高低壓配電柜、電力變壓器、柴油發(fā)電機(jī)組、蓄電池、空調(diào)、連接線等,這些設(shè)備成本與維護(hù)費(fèi)用可認(rèn)為是動(dòng)力運(yùn)維部門的投入,為業(yè)務(wù)網(wǎng)絡(luò)設(shè)備提供的電量就是動(dòng)力維護(hù)部門的貢獻(xiàn)。動(dòng)力運(yùn)維成本是為保障供電所購買的設(shè)備成本、安裝及及維護(hù)費(fèi)用,產(chǎn)出為千瓦時(shí),因而可以計(jì)算出每有效電度成本:
X=C/p
式中:X:每有效電度成本,單位是“元/KWH”,比值越高,產(chǎn)出一度有效電度成本越高;C:成本,包括購買并安裝設(shè)備的成本、電費(fèi)、維修費(fèi)、人員工時(shí)費(fèi)、資源占用費(fèi)用等;
p:動(dòng)力部門輸出的千瓦時(shí),亦即下游部門的凈收益。
多局站每有效電度成本計(jì)算方法:
X=ΣCi/Σpi
其中成本C中的電費(fèi)為繳納給電力部門的電費(fèi),不僅僅包含動(dòng)力設(shè)備輸出的千瓦時(shí),還包含損耗。計(jì)量時(shí)可參考下面的公式:
P1=p+Q
式中:P1:電力公司計(jì)量的耗電量,單位為度;p:動(dòng)力運(yùn)維部門輸出的有效電度,亦即下游部門的凈收益,單位為KWH;Q:電能變換設(shè)備的損耗+空調(diào)耗能+線路損耗+電池自放電損耗+其它損耗。
在p相同的情況下,P1越小,說明動(dòng)力系統(tǒng)效率越高。由此可以得到動(dòng)力系統(tǒng)效率指標(biāo):η=p/P1×100%
式中,η是動(dòng)力系統(tǒng)效率。
3.3 平衡點(diǎn)的選擇
【關(guān)鍵詞】廣播電臺(tái);網(wǎng)絡(luò)安全;防護(hù)技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展,廣播電臺(tái)網(wǎng)逐漸發(fā)展成為在信息上相通相連的整體型網(wǎng)絡(luò)。在信息互通的互聯(lián)網(wǎng)模式下,網(wǎng)絡(luò)連接的信息安全問題逐漸嚴(yán)重,網(wǎng)絡(luò)問題不斷涌現(xiàn),影響廣播電臺(tái)的正常運(yùn)行。因此,需要技術(shù)人員對網(wǎng)絡(luò)安全防護(hù)技術(shù)深入研究,保證廣播電臺(tái)網(wǎng)絡(luò)的安全。
一、網(wǎng)絡(luò)面臨的安全問題
網(wǎng)絡(luò)系統(tǒng)面臨的安全問題主要體現(xiàn)在,數(shù)據(jù)遭受到的非法的竊取、篡改改、刪除;另一個(gè)就是對計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)備的攻擊,使之絮亂、癱瘓甚至設(shè)備得到損壞。
首先,網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備本身也存在一定的安全隱患。常用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是一種混合型的結(jié)構(gòu),是總線型、集星型等幾種拓?fù)浣Y(jié)構(gòu)綜合而來的。在拓?fù)浣Y(jié)構(gòu)中每個(gè)節(jié)點(diǎn)使用的網(wǎng)絡(luò)設(shè)施如集線器、路由器、交換機(jī)等都存在著不同程度的安全隱患,再加上技術(shù)本身的限制條件,網(wǎng)絡(luò)設(shè)備的安全隱患等,這些都為網(wǎng)絡(luò)安全帶來隱患。
其次,操作系統(tǒng)所帶來的不安全性。操作系統(tǒng)是建立在計(jì)算機(jī)硬件結(jié)構(gòu)接口的基礎(chǔ)上為用戶使用的軟件。計(jì)算機(jī)上的各種應(yīng)用都需要在操作系統(tǒng)上運(yùn)行,操作系統(tǒng)為應(yīng)用軟件提供運(yùn)行平臺(tái),一個(gè)好測操作系統(tǒng)能夠很好的保障軟件信息的保密性、完整性和可靠性。而網(wǎng)絡(luò)系統(tǒng)的安全性與網(wǎng)絡(luò)當(dāng)中各計(jì)算機(jī)主機(jī)系統(tǒng)的安全性是密切相關(guān)的。操作系統(tǒng)如果存在一些缺陷和漏洞,就容易成為黑客攻擊的突破口。因此,操作系統(tǒng)是否安全是計(jì)算機(jī)網(wǎng)絡(luò)整體安全的基礎(chǔ)。
第三,計(jì)算機(jī)病毒泛濫。每個(gè)人在使用電腦的時(shí)候,都會(huì)受到病毒的威脅。它可以影響到計(jì)算機(jī)的性能,也可使計(jì)算機(jī)系統(tǒng)崩潰,導(dǎo)致數(shù)據(jù)的丟失。因?yàn)樗梢越柚谟?jì)算機(jī)自身資源進(jìn)行惡性復(fù)制,嚴(yán)重影響計(jì)算機(jī)軟硬件的正常運(yùn)行,破壞計(jì)算機(jī)數(shù)據(jù)。在目前狀況下,特別市一些電子郵件病毒,它不僅可以毀壞郵箱,而且還可以在計(jì)算機(jī)中安裝木馬病毒或者破壞程序,導(dǎo)致計(jì)算機(jī)中的資料泄露丟失等。
第四,黑客對計(jì)算機(jī)網(wǎng)絡(luò)的攻擊。黑客已經(jīng)成為危害網(wǎng)絡(luò)安全的最重要的因素之一。計(jì)算機(jī)網(wǎng)絡(luò)中所謂的黑客,就是用自己所學(xué)習(xí)的計(jì)算機(jī)方面的知識(shí),專門對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞,甚至是竊取商業(yè)、政治、軍事秘密、竊取金錢、轉(zhuǎn)移資金等利用計(jì)算機(jī)網(wǎng)絡(luò)犯罪的一類人。即是通過自己編寫或者其他的病毒工具檢測網(wǎng)絡(luò)系統(tǒng)中的漏洞,隨之進(jìn)行對網(wǎng)絡(luò)發(fā)動(dòng)攻擊,黑客的這種行為對計(jì)算機(jī)網(wǎng)絡(luò)的安全造成了很大的威脅。
二、安全架構(gòu)
1 硬件安全設(shè)備IDC機(jī)房的安全措施:①將在IDC機(jī)房托管的設(shè)備部署在電信的防火墻之下,根據(jù)應(yīng)用要求,將不需要的端口全部封閉。②同時(shí)增加了天融信公司生產(chǎn)的TopGate UTM設(shè)備,該設(shè)備具有防火墻功能,IPS入侵檢測和防御功能,Web內(nèi)容過濾服務(wù),實(shí)時(shí)的網(wǎng)絡(luò)入侵檢測和阻斷功能。幫助用戶抵御惡意的或可疑的網(wǎng)絡(luò)行為。IPS模塊是集訪問控制、透明、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報(bào)文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備,為用戶提供完整的立體式網(wǎng)絡(luò)安全,防護(hù)。TopGate UTM的網(wǎng)絡(luò)入侵檢測和阻斷功能能夠檢測已知的DOS、DDOS攻擊,以及絕大多數(shù)操作系統(tǒng)和應(yīng)用協(xié)議的漏洞,TopGate UTM處理所有的網(wǎng)頁內(nèi)容,阻擋不適當(dāng)?shù)膬?nèi)容和惡意腳本。
臺(tái)內(nèi)安全設(shè)備:①臺(tái)內(nèi)設(shè)備在入口處部署硬件防病毒網(wǎng)關(guān),IPS入侵檢測和防御設(shè)備,雙機(jī)防火墻。防病毒網(wǎng)關(guān)可以有效針對HTTP,SMTP,POP3,IMAP,F(xiàn)TP等協(xié)議的過濾,IPS集訪問控制、透明、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報(bào)文完整性分析為一體的網(wǎng)絡(luò)安全設(shè)備,為內(nèi)網(wǎng)系統(tǒng)提供完整的立體式網(wǎng)絡(luò)安全防護(hù)。②網(wǎng)站后臺(tái)管理服務(wù)器部署在臺(tái)內(nèi)的服務(wù)器區(qū)安全域中,在服務(wù)器區(qū)邊界部署雙機(jī)防火墻,IPS入侵檢測和防御設(shè)備??梢杂行п槍W(wǎng)站的服務(wù)器定制特殊的策略,關(guān)閉無需使用的端口。安全域的劃分更加增強(qiáng)了服務(wù)器區(qū)域的安全可靠性,并且也防范了由臺(tái)內(nèi)所產(chǎn)生的任何攻擊。
2 安全軟件①所有服務(wù)器均安裝正版卡巴斯基服務(wù)器版殺毒軟件,每天定時(shí)更新病毒庫,所有服務(wù)器保持實(shí)時(shí)更新官方系統(tǒng)補(bǔ)丁和漏洞,所有服務(wù)器還加裝360安全衛(wèi)士,提高針對木馬攻擊和被掛馬的安全性。②對服務(wù)器部署了網(wǎng)頁防篡改軟件,實(shí)時(shí)自動(dòng)比對網(wǎng)頁的內(nèi)容有無變化,根據(jù)自己獨(dú)立的網(wǎng)頁比對策略,如果發(fā)現(xiàn)網(wǎng)頁內(nèi)容被非法篡改,可立即自動(dòng)恢復(fù)成正常頁面。既減輕了人員對網(wǎng)頁的監(jiān)控工作量,也最大限度的避免了由于人為因素導(dǎo)致問題被忽略的現(xiàn)象出現(xiàn)。
三、運(yùn)維服務(wù)體系的建立
1加強(qiáng)各項(xiàng)操作準(zhǔn)確性,確保整個(gè)流程符合規(guī)范要求 建立健全的運(yùn)維服務(wù)制度,制定相應(yīng)的流程,運(yùn)維管理人員必須根據(jù)操作章程進(jìn)行運(yùn)維,同時(shí)要設(shè)定審核制度,主要有:技術(shù)上的制度以及相應(yīng)的流程、設(shè)備維修的相關(guān)制度、應(yīng)急的處理手段、問題跟蹤制度等,確保運(yùn)維服務(wù)能夠有效進(jìn)行,保證整個(gè)體系的規(guī)范化以及制度化。
2建立嚴(yán)格的值班制度 首先要制定出一套嚴(yán)格的值班制度,以及懲罰方式,嚴(yán)格要求值班人員做好每天的運(yùn)維記錄,下班之前進(jìn)行工作總結(jié),以保證巡檢到達(dá)規(guī)范要求。其次要加強(qiáng)對內(nèi)部人員的培訓(xùn),保證整個(gè)網(wǎng)絡(luò)運(yùn)維的質(zhì)量。
3完善網(wǎng)路運(yùn)維知識(shí)體系 完善網(wǎng)絡(luò)運(yùn)維知識(shí)庫,加強(qiáng)運(yùn)維知識(shí)庫的規(guī)范性、制度性,一旦出現(xiàn)問題,可以快速進(jìn)行檢查,也可以為今后出現(xiàn)類似情況提供參考。
四、網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)
1強(qiáng)化磁盤的動(dòng)態(tài)管理,提高網(wǎng)絡(luò)運(yùn)行速度 一般在網(wǎng)絡(luò)中制作節(jié)目都是由于多部門、多欄目同時(shí)進(jìn)行,造成網(wǎng)絡(luò)運(yùn)行十分緩慢。因此,必須加強(qiáng)對這些部門及欄目磁盤空間的管理,提高網(wǎng)絡(luò)的運(yùn)行速度。同時(shí),網(wǎng)絡(luò)系統(tǒng)要設(shè)置有動(dòng)態(tài)的磁盤的分配功能,可以有效管理各部門使用磁盤的具體情況,實(shí)現(xiàn)動(dòng)態(tài)分配。
2嚴(yán)格執(zhí)行系統(tǒng)的日志管理 廣播電臺(tái)的網(wǎng)絡(luò)系統(tǒng)可以通過日志管理來實(shí)現(xiàn)。系統(tǒng)一般都會(huì)記錄用戶登陸后的相關(guān)操作,例如登錄的情況、素材的刪除、操作方法、節(jié)目的編制方法以及設(shè)備的使用情況。網(wǎng)絡(luò)管理人員通過日常管理功能,將這些無用的記錄進(jìn)行刪除。
3對于訪問安全的管理設(shè)置 為了確保系統(tǒng)的安全,必須嚴(yán)格設(shè)置用戶認(rèn)證系統(tǒng)以及訪問權(quán)限,限定人員對于系統(tǒng)的使用,確保登陸系統(tǒng)人員的合法性,確保網(wǎng)絡(luò)安全。此軟件分為三層結(jié)構(gòu),一是數(shù)據(jù)及程序,二是數(shù)據(jù)控制,三是應(yīng)用邏輯。此三層結(jié)構(gòu)獨(dú)立管理,以便有效地控制人員對信息的訪問。
五、結(jié)束語
網(wǎng)絡(luò)技術(shù)為廣播電臺(tái)提供更加合靈活、強(qiáng)大的功能,對于信息的掌握與處理更加靈活,實(shí)現(xiàn)節(jié)目通道的任意調(diào)配。然而廣播制播網(wǎng)仍處于起步階段,尚未完善,然在緩慢的發(fā)展,因此必須加強(qiáng)對廣播技術(shù)的研究,實(shí)現(xiàn)廣播電臺(tái)的持續(xù)發(fā)展。同時(shí)要學(xué)會(huì)靈活運(yùn)用網(wǎng)絡(luò)技術(shù),進(jìn)而提高廣播電臺(tái)的核心競爭力,為廣播電臺(tái)開拓更廣的發(fā)展空間。
參考文獻(xiàn):
[1]段文輝.對廣播電臺(tái)局域網(wǎng)信息安全策略的幾點(diǎn)思考.新聞天地(下半月刊).2010(06).52.
[關(guān)鍵詞]中國電信IMS 網(wǎng)絡(luò)運(yùn)維 綜合能力 提升對策
中圖分類號(hào):TN919.8 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)13-0306-01
隨著網(wǎng)絡(luò)融合的深入推進(jìn),中國電信未來將擁有龐大復(fù)雜的IMS融合網(wǎng)絡(luò)。當(dāng)前IMS網(wǎng)絡(luò)發(fā)展機(jī)遇與挑戰(zhàn)并存,鑒于IMS與傳統(tǒng)網(wǎng)絡(luò)的巨大差異性,中國電信運(yùn)營商應(yīng)充分認(rèn)清當(dāng)前IMS網(wǎng)絡(luò)運(yùn)營問題和挑戰(zhàn),以便有的放矢地加以應(yīng)對,更好地促進(jìn)IMS網(wǎng)絡(luò)運(yùn)維能力、運(yùn)營水平的整體提升。
一、中國電信IMS網(wǎng)絡(luò)運(yùn)營面臨的問題
1.IMS技術(shù)層面問題
從IMS技術(shù)層面來看,IMS網(wǎng)絡(luò)徹底IP化內(nèi)核的技術(shù)特征,會(huì)增加網(wǎng)絡(luò)和業(yè)務(wù)的運(yùn)營風(fēng)險(xiǎn)與維護(hù)難度,給網(wǎng)絡(luò)運(yùn)營帶來更大挑戰(zhàn)。IMS技術(shù)對運(yùn)營挑戰(zhàn)主要包括以下方面:第一,IMS網(wǎng)絡(luò)架構(gòu)較軟交換而言更復(fù)雜,運(yùn)營難度增加。IMS網(wǎng)絡(luò)涉及多個(gè)專業(yè)設(shè)備,且設(shè)備種類更多、網(wǎng)元間接口更復(fù)雜,如增加了IMS-SIP Diameter等協(xié)議,為故障定位、服務(wù)質(zhì)量保障帶來挑戰(zhàn)。第二,IMS是基于全I(xiàn)P網(wǎng)內(nèi)核的網(wǎng)絡(luò)技術(shù),帶來新挑戰(zhàn)。IMS網(wǎng)絡(luò)實(shí)現(xiàn)了端到端信令與媒體全面扁平化,即除了媒體流實(shí)現(xiàn)扁平化外, 網(wǎng)元間通過域名查找DNS做到端到端無連接狀態(tài)的信令路由尋址,這種動(dòng)念尋址鏈路較傳統(tǒng)靜態(tài)鏈而言, 更完美, 但也帶來互通、安全、維護(hù)等風(fēng)險(xiǎn),對網(wǎng)絡(luò)方案提出更高的技術(shù)要求。第三,IMS網(wǎng)元容量大,接入客戶類更多,設(shè)備故障對業(yè)務(wù)影響更大,這就要求故障發(fā)現(xiàn)更快,切換更快,但技術(shù)、設(shè)備代價(jià)也更大,因此對網(wǎng)絡(luò)容災(zāi)安仝技術(shù)提出更高要求。第四,智能終端風(fēng)暴的挑戰(zhàn)。終端智能化、多元化、個(gè)性化趨勢加快,各類軟硬終端、智能手機(jī)層出不窮,由于IMS支持終端漫游,接入方式多樣化,如 EV-DO、Wi-Fi、ADSL及PON等,網(wǎng)絡(luò)接入互通兼容性問題比較突出,故障定位難度加大,若終端通過非信任域IP接入也給核心網(wǎng)絡(luò)引入一定風(fēng)險(xiǎn),因此,對網(wǎng)絡(luò)安全、運(yùn)維能力提出新要求。第五,端到端的QoS服務(wù)能力不足。目前雖有規(guī)范,但技術(shù)還不夠成熟,端到端QoS保證體系不完善,寬帶業(yè)務(wù)和窄帶業(yè)務(wù)在資費(fèi)模式、業(yè)務(wù)模式,甚至商業(yè)模式上都有所不同,為新型寬帶業(yè)務(wù)的運(yùn)營帶來挑戰(zhàn)。
2.IMS網(wǎng)絡(luò)層面問題
IMS網(wǎng)絡(luò)運(yùn)營時(shí),在IMS應(yīng)用模式、網(wǎng)絡(luò)業(yè)務(wù)實(shí)現(xiàn)方案、技術(shù)規(guī)范方面尚待研究和優(yōu)化; 在運(yùn)行質(zhì)量指標(biāo)、網(wǎng)絡(luò)互通、業(yè)務(wù)實(shí)現(xiàn)、可靠性、接入維護(hù)、 管理能力、支撐系統(tǒng)、維護(hù)隊(duì)伍建設(shè)方面帶來挑戰(zhàn)。日前影響IMS網(wǎng)絡(luò)運(yùn)行質(zhì)量的原因主要包括以下方面:一是IMS技術(shù)在網(wǎng)絡(luò)組織、應(yīng)用方案、運(yùn)維功能上還需要通過運(yùn)營不斷驗(yàn)證、優(yōu)化完善;網(wǎng)絡(luò)運(yùn)行質(zhì)量指標(biāo)體系有待研究建立與試驗(yàn),目前部分統(tǒng)計(jì)能力還不具備,尤其是端對端的業(yè)務(wù)質(zhì)量評(píng)估指標(biāo),為網(wǎng)絡(luò)質(zhì)革優(yōu)化帶來挑戰(zhàn);統(tǒng)一接入及新型智能終端帶來新的維護(hù)能力需求、方式的挑戰(zhàn)。二是網(wǎng)絡(luò)跨網(wǎng)絡(luò)、跨機(jī)型、跨域、跨平臺(tái)的互通能力與穩(wěn)定性有待提升,對網(wǎng)絡(luò)服務(wù)質(zhì)量帶來影響;跨網(wǎng)絡(luò)體制的融合業(yè)務(wù)實(shí)現(xiàn)方案有待研究優(yōu)化,對業(yè)務(wù)開放帶來挑戰(zhàn);設(shè)備網(wǎng)管系統(tǒng)能力有待規(guī)范統(tǒng)一,維護(hù)能力有待提升。三是配套支撐系統(tǒng)有待升級(jí)改造支持與IMS網(wǎng)絡(luò)銜接,可能會(huì)影響業(yè)務(wù)受理、開放;維護(hù)隊(duì)伍IMS維護(hù)技能與維護(hù)經(jīng)驗(yàn)不足的挑戰(zhàn)。
3.IMS安全運(yùn)營層面問題
IMS安全運(yùn)營是網(wǎng)絡(luò)運(yùn)營的重要基礎(chǔ)。目前IMS組網(wǎng)方式、安全機(jī)制還不完善,例如,存在較多薄弱安全風(fēng)險(xiǎn),S-CSCF間缺少容災(zāi)倒回能力,S-CSCF負(fù)荷均衡機(jī)制欠缺,網(wǎng)絡(luò)中斷SIP用戶恢復(fù)耗時(shí)長,且依賴終端重注冊,IMS還不具備對業(yè)務(wù)平臺(tái)、DNS或關(guān)鍵網(wǎng)元的Bypass功能,用戶賬號(hào)密碼存系統(tǒng)沒加密,維護(hù)手段不足等。因此,需要提出IMS可靠性提升關(guān)鍵技術(shù)和運(yùn)維管理手段措施,形成相關(guān)規(guī)范和指導(dǎo)方案,這就對運(yùn)維監(jiān)控、防癱、應(yīng)急維護(hù)能力提出更高要求。
二、中國電信IMS網(wǎng)絡(luò)運(yùn)維綜合能力提升對策
1.IMS網(wǎng)絡(luò)集約化運(yùn)營能力的提升策略
目前中國電信IMS網(wǎng)絡(luò)運(yùn)營剛開始,急需盡早建立合理、規(guī)范的集約化運(yùn)營體制,提升高效運(yùn)營能力。具體包括:
(1)加強(qiáng)集約化運(yùn)維體制的建設(shè)。通過有序推進(jìn)IMS集約化運(yùn)營試點(diǎn)工作,不斷完善相關(guān)維護(hù)制度、維護(hù)方式,明確維護(hù)職責(zé)和分界面,研究形成測試規(guī)范、運(yùn)行質(zhì)量指標(biāo)、日常維護(hù)計(jì)劃、數(shù)據(jù)配置規(guī)范、應(yīng)急預(yù)案等滿足常規(guī)運(yùn)營需要。
(2)強(qiáng)化集約化維護(hù)管理。對廠商統(tǒng)一網(wǎng)管能力提升,針對設(shè)備種類多的問題,需要制定相應(yīng)網(wǎng)管規(guī)范,將配套數(shù)通設(shè)備、IT設(shè)備納入廠商網(wǎng)管統(tǒng)一管理,同時(shí)實(shí)現(xiàn)標(biāo)準(zhǔn)化北向接口與綜合網(wǎng)管系統(tǒng)的對接;系統(tǒng)性推進(jìn)配套支撐系統(tǒng)與IMS銜接的改造升級(jí),包括綜合網(wǎng)管系統(tǒng)、信令監(jiān)測系統(tǒng)、10000申訴處理系統(tǒng)、計(jì)費(fèi)系統(tǒng)、業(yè)務(wù)受理支撐系統(tǒng)等。
(3) 實(shí)現(xiàn)IMS網(wǎng)絡(luò)與業(yè)務(wù)的統(tǒng)一。針對融合業(yè)務(wù)實(shí)現(xiàn)復(fù)雜的問題,要形成統(tǒng)一解決方案、配置方案;鑒于網(wǎng)絡(luò)互通的復(fù)雜性,研究制定規(guī)范和指導(dǎo)原則,加強(qiáng)網(wǎng)絡(luò)聯(lián)調(diào)、業(yè)務(wù)互通、貫穿測試,在上線前盡量消除主要問題隱患。
(4)增強(qiáng)網(wǎng)絡(luò)運(yùn)維技術(shù)手段。如針對終端的深度分析管理平臺(tái)、IP網(wǎng)業(yè)務(wù)流監(jiān)測系統(tǒng)、業(yè)務(wù)質(zhì)量自動(dòng)撥測系統(tǒng)及時(shí)發(fā)現(xiàn)問題,控制影響范同,及早消除故障。
(5)規(guī)范集約化故障處理流程。對跨專業(yè)、跨網(wǎng)絡(luò)、跨域、漫游時(shí)故障要及時(shí)發(fā)現(xiàn)、快速定位和應(yīng)急疏通要求更高,應(yīng)重視做好日常定時(shí)撥測、安全防護(hù)、例行維護(hù)、應(yīng)急預(yù)案等。
(6)加強(qiáng)維護(hù)專家隊(duì)伍建設(shè),除了熟練掌握IMS等融合核心網(wǎng)絡(luò)維護(hù)技術(shù)和經(jīng)驗(yàn)技巧外,還應(yīng)提升在IP網(wǎng)絡(luò)、綜合接入、新流程和融合網(wǎng)絡(luò)業(yè)務(wù)等方面維護(hù)技能和經(jīng)驗(yàn)。
2.IMS網(wǎng)絡(luò)安全性與可靠性的提升策略
IMS網(wǎng)絡(luò)安全性及可靠性的提升,可從組網(wǎng)建設(shè)、網(wǎng)絡(luò)技術(shù)、維護(hù)管理等方面加以綜合考慮。
(1) IMS容災(zāi)組網(wǎng)技術(shù)方案。組網(wǎng)時(shí)應(yīng)根據(jù)IMS安全的薄弱環(huán)節(jié),對核心網(wǎng)元的安全等級(jí)進(jìn)行劃分,對HSS、S/I/P-CSCF、DNS等重要性最高的A類網(wǎng)元選擇Pool或1+1互備等組網(wǎng)方式,支持容災(zāi)數(shù)據(jù)實(shí)時(shí)或準(zhǔn)實(shí)時(shí)同步;對MGCF、AGCF和大型BAC等B類網(wǎng)元采用雙歸屬或負(fù)荷分擔(dān)方式組網(wǎng);域內(nèi)采用有心跳檢測的靜態(tài)鏈路,當(dāng)域內(nèi)網(wǎng)元出現(xiàn)故障時(shí),可快速告警和路由切換;域間通過軟交換網(wǎng)、傳統(tǒng)長途網(wǎng)做好動(dòng)態(tài)鏈路失效的迂回保護(hù)。
(2)IMS快速旁路Bypass應(yīng)急恢復(fù)技術(shù)。針對A類網(wǎng)元癱瘓,研究試驗(yàn)DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass機(jī)制和維護(hù)規(guī)范,使得網(wǎng)元癱瘓后業(yè)務(wù)不受影響或影響最小,另外還應(yīng)提升維護(hù)人員網(wǎng)絡(luò)防癱、應(yīng)急恢復(fù)能力和維護(hù)水平。
(3)IP安全防護(hù)與漏洞封堵。針對業(yè)務(wù)開放與IP化系統(tǒng)的安全漏洞問題,應(yīng)通過安全掃描等手段,發(fā)現(xiàn)和封堵系統(tǒng)漏洞,服務(wù)端口最小化;在網(wǎng)絡(luò)邊緣層配置防火墻功能阻隔非信任區(qū)域的風(fēng)險(xiǎn)。
(4)用戶信息安全加密技術(shù)。賬號(hào)密碼等用戶關(guān)鍵信息錄入、傳送、存儲(chǔ)、維護(hù)全流程采用加密算法進(jìn)行加密。
總之,IMS網(wǎng)絡(luò)作為未來統(tǒng)一核心網(wǎng)絡(luò),其運(yùn)營質(zhì)量問題將關(guān)系整個(gè)電信網(wǎng)絡(luò)、業(yè)務(wù)運(yùn)營的質(zhì)量,應(yīng)引起足夠重視,并充分研究IMS網(wǎng)絡(luò)運(yùn)營的關(guān)鍵問題,提出解決對策,實(shí)現(xiàn)IMS網(wǎng)絡(luò)規(guī)范、高效、安全的運(yùn)營目標(biāo)。
參考文獻(xiàn)
關(guān)鍵詞:安全;電子政務(wù)外網(wǎng)平臺(tái);電子政務(wù)外網(wǎng)云平臺(tái);保障體系;傳統(tǒng)架構(gòu);云計(jì)算
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):2095-1302(2016)11-0-03
0 引 言
隨著電子政務(wù)外網(wǎng)的發(fā)展,各省市電子政務(wù)外網(wǎng)平臺(tái)的建設(shè)均已成熟,多數(shù)省市電子政務(wù)外網(wǎng)平臺(tái)建設(shè)之初采用的是物理機(jī)傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展,云計(jì)算技術(shù)應(yīng)運(yùn)而生,電子政務(wù)云平臺(tái)的建設(shè)風(fēng)生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計(jì)算環(huán)境下,電子政務(wù)外網(wǎng)平臺(tái)面臨的風(fēng)險(xiǎn)越來越多,本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺(tái)的安全如何建設(shè)進(jìn)行分析,提出相應(yīng)的解決方案。
1 建設(shè)方案
電子政務(wù)外網(wǎng)平臺(tái)的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層特性,應(yīng)用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認(rèn)證、安全存儲(chǔ)等安全技術(shù),構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺(tái)安全建設(shè)可從分析確定定級(jí)對象及安全等級(jí)、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運(yùn)維保障、安全制度保障、云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)安全保障幾方面考慮。
1.1 分析確定定級(jí)對象及安全等級(jí)
信息系統(tǒng)安全等級(jí)共分為五級(jí),根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008)》,結(jié)合國家相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范,分析確定定級(jí)對象及安全等級(jí)。本文以構(gòu)建信息系統(tǒng)安全等級(jí)第三級(jí)標(biāo)準(zhǔn)安全建設(shè)進(jìn)行探討。
1.2 構(gòu)建安全保障體系
電子政務(wù)外網(wǎng)平臺(tái)安全保障可從安全技術(shù)保障、安全運(yùn)維保障、安全制度保障三個(gè)方面著手考慮,根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)基本要求(GB/T 22239-2008)》進(jìn)行建設(shè)。物理機(jī)傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺(tái)安全保障體系架構(gòu)如圖1所示。
1.3 明確安全邊界
1.3.1 安全邊界劃分原則
安全邊界劃分原則[1]如下所示:
(1)以保障電子政務(wù)外網(wǎng)平臺(tái)信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)流的安全為根本出發(fā)點(diǎn),保障平臺(tái)安全;
(2)每個(gè)安全域的信息資產(chǎn)價(jià)值相近,具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等;
(3)根據(jù)“信息安全等保”要求,網(wǎng)絡(luò)規(guī)劃時(shí)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段;
(4)根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實(shí)施指南》,部署數(shù)據(jù)安全交換隔離系統(tǒng),保障數(shù)據(jù)交換安全;
(5)對接入邊界進(jìn)行安全防護(hù)。
1.3.2 安全邊界劃分
電子政務(wù)外網(wǎng)平臺(tái)可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運(yùn)維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。
(1)DMZ區(qū)
DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng),包括門戶網(wǎng)站、郵件服務(wù)等,應(yīng)根據(jù)實(shí)際需求部署相應(yīng)的安全策略。
(2)內(nèi)部數(shù)據(jù)中心
內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng),可根據(jù)實(shí)際需求分為多個(gè)邏輯區(qū)域,如辦公業(yè)務(wù)區(qū)、測試區(qū)等,應(yīng)根據(jù)實(shí)際需求部署相應(yīng)安全策略。
(3)互聯(lián)網(wǎng)出口區(qū)
互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺(tái)互聯(lián)網(wǎng)接入邊界,與運(yùn)營商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域,易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進(jìn)行攻擊,可在該區(qū)部署相應(yīng)的防火墻策略,并結(jié)合入侵防御、安全審計(jì)等技術(shù)提供立體的、全面的、有效的安全防護(hù),允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務(wù)外網(wǎng)。
(4)安全及運(yùn)維管理區(qū)
提供安全管理運(yùn)維服務(wù),保障電子政務(wù)外網(wǎng)平臺(tái)的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運(yùn)維服務(wù),保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運(yùn)行。
(5)邊界接入?yún)^(qū)
根據(jù)國家相關(guān)規(guī)范,對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時(shí),應(yīng)在訪問邊界部署防火墻、入侵防御系統(tǒng),與“政務(wù)云”實(shí)現(xiàn)物理邏輯隔離,進(jìn)行安全防護(hù)。
1.4 安全技術(shù)保障
采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺(tái)技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行考慮,可通過部署相應(yīng)產(chǎn)品或配置服務(wù)進(jìn)行安全保障。
1.4.1 物理安全
物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面。該部分主要體現(xiàn)為機(jī)房及弱電的建設(shè)標(biāo)準(zhǔn)、規(guī)范,技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級(jí)保護(hù)要求。
1.4.2 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等,具體包括結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)七個(gè)方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)劃分安全域,根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。
(2)通過合理部署IPS、防火墻對網(wǎng)絡(luò)進(jìn)行邊界隔離和訪問控制,并實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)測,即時(shí)中斷、調(diào)整或隔離一些不正常或具有傷害性的網(wǎng)絡(luò)行為。
(3)部署防DDoS攻擊設(shè)備,及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進(jìn)行攔截,保證正常流量通過。
(4)可在互聯(lián)網(wǎng)出口處部署鏈路負(fù)載均衡設(shè)備,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。
(5)采用上網(wǎng)行為管理、流量控制等設(shè)備,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控管理,實(shí)現(xiàn)員工對終端計(jì)算機(jī)的管理和控制,規(guī)范員工上網(wǎng)行為,提高工作效率,實(shí)現(xiàn)流量控制和帶寬管理,優(yōu)化網(wǎng)絡(luò)。
(6)對關(guān)鍵設(shè)備采用冗余設(shè)計(jì),并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級(jí)。
(7)采用安全審計(jì)技術(shù),按照一定的安全策略,利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息,檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng),從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。
1.4.3 主機(jī)、應(yīng)用安全
主機(jī)安全主要包括訪問控制、安全審計(jì)、剩余信息保護(hù)、惡意代碼防護(hù)等幾個(gè)方面。應(yīng)用安全主要包括身份鑒別、訪問控制、安全審計(jì)、抗抵賴性等幾方面,關(guān)鍵安全技術(shù)保障措施如下所示:
(1)惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進(jìn)行傳播,可部署惡意代碼監(jiān)測、病毒防護(hù)系統(tǒng)及漏洞掃描等系統(tǒng),通過主動(dòng)防御可有效阻止病毒的傳播,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用及數(shù)據(jù)庫漏洞并修復(fù),保障電子政務(wù)外網(wǎng)平臺(tái)安全。
(2)利用身份認(rèn)證技術(shù)及訪問控制策略等技術(shù)保障主機(jī)應(yīng)用安全,不允許非預(yù)期客戶訪問。
(3)運(yùn)用審計(jì)技術(shù)保障主機(jī)應(yīng)用安全,實(shí)時(shí)收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng),以便進(jìn)行集中報(bào)警、記錄、分析、處理。
(4)采用應(yīng)用負(fù)載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實(shí)現(xiàn)資源的優(yōu)化控制。
(5)可部署Web應(yīng)用防火墻、網(wǎng)頁防篡改等系統(tǒng),做到事前主動(dòng)防御,智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞,保障系統(tǒng)業(yè)務(wù)的正常運(yùn)營,全方位保護(hù)Web應(yīng)用安全。
1.4.4 數(shù)據(jù)安全
數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù),關(guān)鍵安全技術(shù)保障措施如下所示:
(1)可對不同類型業(yè)務(wù)數(shù)據(jù)進(jìn)行物理上或邏輯上隔離,并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級(jí)的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。
(2)采用雙因素認(rèn)證進(jìn)行數(shù)據(jù)訪問控制,不允許非預(yù)期客戶訪問,對違規(guī)操作實(shí)時(shí)審計(jì)報(bào)警。
(3)采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密,防止越權(quán)訪問機(jī)密信息或惡意篡改。
(4)采用數(shù)據(jù)庫冗余部署,防范數(shù)據(jù)丟失風(fēng)險(xiǎn),為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行提供保障,可考慮建設(shè)同城或異地容災(zāi)。
(5)部署數(shù)據(jù)庫審計(jì)設(shè)備可在不影響被保護(hù)數(shù)據(jù)庫性能的情況下,對數(shù)據(jù)庫的操作實(shí)現(xiàn)跟蹤記錄、定位,實(shí)現(xiàn)數(shù)據(jù)庫的在線監(jiān)控,為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行提供了有力保障。
1.5 安全運(yùn)維保障
安全運(yùn)維保障可通過安全管理平臺(tái),建立與安全工作相配套的集中管理手段,提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運(yùn)維流程處理等服務(wù),可使管理人員快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行狀況,整體反映電子政務(wù)外網(wǎng)平臺(tái)安全問題,體現(xiàn)安全投資的價(jià)值,提高安全運(yùn)維管理水平。安全運(yùn)維管理平臺(tái)需考慮與安全各專項(xiàng)系統(tǒng)、網(wǎng)管系統(tǒng)和運(yùn)管系統(tǒng)之間以及上下級(jí)系統(tǒng)之間的接口。
1.6 安全制度保障
面對形形的安全解決方案,“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護(hù),而無嚴(yán)格的安全管理相配合,則難以保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。系統(tǒng)必須有嚴(yán)密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮,建立完善的應(yīng)急體制。
1.7 云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)的安全保障
云技術(shù)是基于云計(jì)算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺(tái)技術(shù)、應(yīng)用技術(shù)等的總稱,可以組成資源池,按需所用,靈活便利。隨著時(shí)代的發(fā)展,云計(jì)算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計(jì)算平臺(tái)重要支撐技術(shù)是采用虛擬化實(shí)現(xiàn)資源的邏輯抽象和統(tǒng)一表示,因此在云計(jì)算環(huán)境下進(jìn)行電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系建設(shè),僅僅采用傳統(tǒng)的安全技術(shù)是不夠的,除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障,運(yùn)維安全保障,安全制度保障需求之外,還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險(xiǎn)。云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系如圖3所示。
1.8 虛擬化安全
當(dāng)前,云計(jì)算虛擬化安全技術(shù)還不成熟,對虛擬化的安全防護(hù)和保障技術(shù)測評(píng)則成為云環(huán)境等級(jí)保護(hù)的一大難題,主要涉及的安全包括虛擬機(jī)逃逸防范、虛擬機(jī)通信風(fēng)險(xiǎn)、虛擬機(jī)管理平臺(tái)安全等方面??刹扇∪缦掳踩U洗胧2]:
(1)將可信計(jì)算技術(shù)與虛擬化技術(shù)相結(jié)合,構(gòu)建可信的虛擬化平臺(tái),形成完整的信任鏈;
(2)可建設(shè)分級(jí)訪問控制機(jī)制,根據(jù)分層分級(jí)原則制定訪問控制策略,實(shí)現(xiàn)對平臺(tái)中所有虛擬機(jī)的監(jiān)控管理,為數(shù)據(jù)的安全使用和訪問建立一道屏障;
(3)可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實(shí)現(xiàn)虛擬機(jī)間的安全隔離。
2 SDS安全保障技術(shù)簡介
軟件定義安全(Software Defined Security,SDS)是從軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)延伸而來,將安全資源進(jìn)行池化,通過軟件進(jìn)行統(tǒng)一調(diào)度,以完成相應(yīng)的安全功能,實(shí)現(xiàn)靈活的安全防護(hù)。簡單來說,傳統(tǒng)的安全設(shè)備是單一防護(hù)軟件架構(gòu)在一臺(tái)硬件設(shè)備之上,通常串接或旁掛于網(wǎng)絡(luò)中,不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化,對不同廠家的安全設(shè)備進(jìn)行統(tǒng)一管理的復(fù)雜度也較高,需單獨(dú)的物理安裝空間。而SDS可以將其看作一個(gè)軟件,靈活調(diào)配安全設(shè)備資源,實(shí)現(xiàn)靈活的網(wǎng)絡(luò)安全防護(hù)框架,方便調(diào)整。
3 結(jié) 語
在大數(shù)據(jù)時(shí)代下,SDS是順應(yīng)時(shí)展趨勢、簡化安全管理的訴求,但由于SDS應(yīng)用尚未完全成熟,仍需經(jīng)過實(shí)踐的檢驗(yàn)。
參考文獻(xiàn)
關(guān)鍵詞:高校計(jì)算機(jī);網(wǎng)絡(luò)運(yùn)維;發(fā)展趨勢
科學(xué)技術(shù)和信息技術(shù)的飛躍發(fā)展,是大數(shù)據(jù)時(shí)代下社會(huì)最為突出的發(fā)展變化。大數(shù)據(jù)時(shí)代下高校對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行了較為廣泛的應(yīng)用,校園網(wǎng)絡(luò)的全覆蓋推動(dòng)了學(xué)生學(xué)習(xí)、教師教學(xué)、學(xué)校日常管理工作效率的提高。計(jì)算機(jī)網(wǎng)絡(luò)作為現(xiàn)階段高校全體成員廣泛運(yùn)用的手段,是現(xiàn)代化教育事業(yè)背景下高?,F(xiàn)代化教學(xué)和管理工作發(fā)展的基本條件之一。隨著高校計(jì)算機(jī)網(wǎng)絡(luò)在高校教育教學(xué)、日常管理中地位的日益提高,高校領(lǐng)導(dǎo)層和相關(guān)技術(shù)人員也越來越重視計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維的工作。高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維是保障校園網(wǎng)行之有效、正常運(yùn)營的后盾和支持力量,是影響高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行發(fā)展效果的主導(dǎo)因素。針對現(xiàn)階段高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中存在的問題,技術(shù)人員應(yīng)當(dāng)進(jìn)行全面的分析和處理,及時(shí)提出針對性解決策略。本文將探究加強(qiáng)高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維的具體策略并分析高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維事業(yè)的發(fā)展趨勢,以期推進(jìn)高校計(jì)算機(jī)網(wǎng)絡(luò)更加平穩(wěn)、安全、高效、科學(xué)的運(yùn)行和發(fā)展。
1現(xiàn)階段我國高校校園網(wǎng)絡(luò)運(yùn)維的基本情況
我國當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維旨在實(shí)現(xiàn)高效信息化教育教學(xué)和日常管理。就目前我國高校校園網(wǎng)絡(luò)建設(shè)的情況來看,我國高等學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的普及情況較為良好。經(jīng)過一段時(shí)間的發(fā)展,高校校園網(wǎng)絡(luò)建設(shè)已經(jīng)初具成效,取得了一定的進(jìn)步成果。與此同時(shí),高校對于計(jì)算機(jī)網(wǎng)絡(luò)資源的需求日益旺盛。然而我國現(xiàn)階段高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維仍然存在不完善、不科學(xué)的部分,不適應(yīng)高校校園網(wǎng)的發(fā)展需要。校園網(wǎng)規(guī)模較大、管理較為復(fù)雜,為了提升校園計(jì)算機(jī)網(wǎng)絡(luò)性能和運(yùn)營效果,高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維工作面臨著較為嚴(yán)峻的工作形式和承擔(dān)著較大的工作壓力?,F(xiàn)階段我國校園網(wǎng)絡(luò)以傳統(tǒng)的三層網(wǎng)絡(luò)架構(gòu)為主,這一結(jié)構(gòu)的突出缺陷在于,伴隨著我國高校學(xué)院、實(shí)驗(yàn)室等局域網(wǎng)絡(luò)的發(fā)展和數(shù)量的增加,高校校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)會(huì)更加的復(fù)雜,因而導(dǎo)致高校校園網(wǎng)絡(luò)預(yù)備管理工作存在障礙,復(fù)雜、繁多的網(wǎng)絡(luò)環(huán)路以及網(wǎng)絡(luò)風(fēng)暴等會(huì)對高校教學(xué)工作、日常管理工作造成嚴(yán)重的影響,阻礙日常管理工作和教學(xué)工作的順利進(jìn)行。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下校園網(wǎng)絡(luò)安全管理工作難度較大。校園無線網(wǎng)為校園內(nèi)學(xué)生、教育工作者創(chuàng)造了使用無線網(wǎng)的便利條件。現(xiàn)階段高校計(jì)算機(jī)網(wǎng)絡(luò)管理人員面臨著復(fù)雜的工作情況和較高的工作要求。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)給計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維造成了較為明顯的障礙,技術(shù)人員對校園網(wǎng)絡(luò)用戶訪問的控制、認(rèn)證管理缺失。許多高校計(jì)算機(jī)網(wǎng)絡(luò)管理只能發(fā)揮保持計(jì)算機(jī)網(wǎng)絡(luò)正常通信運(yùn)營的功能,不能對校園網(wǎng)用戶的入網(wǎng)行為進(jìn)行管理控制。綜上所述,當(dāng)前我國高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維中存在較為突出的問題。要求相關(guān)技術(shù)人員盡快簡化網(wǎng)絡(luò)結(jié)構(gòu),加強(qiáng)對用戶上網(wǎng)認(rèn)證和訪問的管控工作,針對網(wǎng)絡(luò)安全,應(yīng)當(dāng)盡快建立科學(xué)、高效的網(wǎng)絡(luò)安全管理體系。
2高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維中常見的故障問題與解決方式
(1)硬件故障及其處理方法計(jì)算機(jī)設(shè)備、硬件、線路故障是高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維中常見的故障問題,硬件故障直接導(dǎo)致了互聯(lián)網(wǎng)的工作終端。解決這類問題,需要運(yùn)維人員仔細(xì)地觀察設(shè)備指示燈和檢驗(yàn)線路是否存在接觸不良,還要考慮到設(shè)備運(yùn)行溫度的因素,有些設(shè)備會(huì)因?yàn)闇囟冗^高而停止工作,這時(shí)設(shè)備的指示燈顯示正常但卻不能發(fā)揮作用,可以通過斷電后重啟的方式解決故障問題。(2)不正確的防火墻設(shè)置防火墻設(shè)置不正確將會(huì)給高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維造成安全隱患,運(yùn)維人員需要根據(jù)防火墻的設(shè)置規(guī)則進(jìn)行調(diào)整,看是否存在被禁止網(wǎng)絡(luò)模塊和正常程序應(yīng)用,結(jié)合防火墻日志記錄,分析和找出不能上網(wǎng)的問題所在。(3)網(wǎng)絡(luò)風(fēng)暴網(wǎng)絡(luò)風(fēng)暴產(chǎn)生的原因較多,網(wǎng)卡損壞、網(wǎng)絡(luò)設(shè)備、病毒、網(wǎng)絡(luò)環(huán)路連接失當(dāng)都是造成網(wǎng)絡(luò)風(fēng)暴的原因。由于造成網(wǎng)絡(luò)風(fēng)暴的影響因素較多,網(wǎng)絡(luò)風(fēng)暴也有不同的類型,運(yùn)維人員在解決網(wǎng)絡(luò)風(fēng)暴問題時(shí)需要根據(jù)具體的類型和影響因素選擇最科學(xué)的手段和方法。
3加強(qiáng)高校計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)的具體策略
現(xiàn)階段我國高校計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)的規(guī)模和范圍不斷地?cái)U(kuò)大,運(yùn)維工作復(fù)雜程度、難度也在不斷地提高。如何在保證計(jì)算機(jī)網(wǎng)絡(luò)功能正常的同時(shí)優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維工作是現(xiàn)階段運(yùn)維工作人員工作的重難點(diǎn)。相較于其他單位的網(wǎng)絡(luò)信息中心,高校在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維中投入的資金較少,缺少配套的人力資源和設(shè)備技術(shù)?,F(xiàn)階段高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維人員的綜合素質(zhì)、專業(yè)能力都有待增強(qiáng),在網(wǎng)絡(luò)技術(shù)、設(shè)備的更新上存在缺陷,這也是造成現(xiàn)階段高校計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)維效果不佳、效率不高的重要原因,上述問題都要求我國高校盡快創(chuàng)新和調(diào)整計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)的工作策略。(1)調(diào)整底層網(wǎng)絡(luò)架構(gòu)將傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變?yōu)槎泳W(wǎng)絡(luò)架構(gòu),堅(jiān)持以匯聚和接入層壓縮為核心。傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)中的DPHC、匯聚的路由等調(diào)整到核心層,在網(wǎng)絡(luò)架構(gòu)的核心層應(yīng)當(dāng)配置路由和完善IP,進(jìn)一步完善DNS地址下發(fā)業(yè)務(wù)、網(wǎng)關(guān)等,核心與接入交換機(jī)應(yīng)當(dāng)部署好流量控制、放環(huán)路設(shè)置等安全策略,還需要對網(wǎng)絡(luò)設(shè)備進(jìn)行全部監(jiān)管,精準(zhǔn)管控,校園內(nèi)各局域網(wǎng)、系統(tǒng)、線纜、安全設(shè)備等需要進(jìn)行清晰的標(biāo)識(shí)和進(jìn)行合理、規(guī)范的部署。(2)做好相關(guān)系統(tǒng)認(rèn)證為了更好檢測網(wǎng)絡(luò)流量狀態(tài)和把握網(wǎng)絡(luò)運(yùn)營的基本情況,以及做好對用戶接入網(wǎng)絡(luò)、認(rèn)證等相關(guān)的管理控制,運(yùn)維人員需要部署相關(guān)系統(tǒng)的關(guān)聯(lián)認(rèn)證,其中包括SAM計(jì)費(fèi)系統(tǒng)、RITL網(wǎng)關(guān)系統(tǒng)等等,做好關(guān)聯(lián)系統(tǒng)認(rèn)證,更好的預(yù)防非法接入和進(jìn)行監(jiān)管控制,致力于運(yùn)維效率和效果的提升。(3)健全和完善相應(yīng)的規(guī)章制度為了更好對高校各部門、學(xué)院的信息系統(tǒng)、終端接入設(shè)備進(jìn)行管理和控制,學(xué)校應(yīng)當(dāng)及安全相關(guān)的規(guī)章制度,私建網(wǎng)絡(luò)、個(gè)人終端設(shè)備此等需要信息中心批準(zhǔn)和工作人員的協(xié)助,方能與校園網(wǎng)絡(luò)進(jìn)行連接,高校應(yīng)當(dāng)加強(qiáng)對信息中心部門工作運(yùn)維人員綜合素質(zhì)的培養(yǎng),積極組織培訓(xùn)和進(jìn)修活動(dòng),積極聘請外部專業(yè)高技術(shù)人才進(jìn)行培訓(xùn)。
關(guān)鍵詞:區(qū)域衛(wèi)生平臺(tái);信息安全;設(shè)計(jì)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0076-02
一、引言
根據(jù)區(qū)域衛(wèi)生信息平臺(tái)的應(yīng)用安全需要,整個(gè)平臺(tái)的網(wǎng)絡(luò)架構(gòu)應(yīng)由區(qū)域衛(wèi)生信息平臺(tái)統(tǒng)一負(fù)責(zé)設(shè)計(jì)和規(guī)范。相關(guān)的接入設(shè)備設(shè)置標(biāo)準(zhǔn)和運(yùn)維要求應(yīng)由區(qū)域衛(wèi)生信息平臺(tái)統(tǒng)一制定管理規(guī)范要求。各接入單位和運(yùn)維單位應(yīng)依據(jù)區(qū)域衛(wèi)生信息平臺(tái)統(tǒng)一制定的管理規(guī)范要求,對各自所使用和管理的各類設(shè)備、應(yīng)用系統(tǒng)、運(yùn)維工具制定相應(yīng)的使用、管理規(guī)范確保整個(gè)系統(tǒng)的安全運(yùn)行。
二、網(wǎng)絡(luò)安全
網(wǎng)絡(luò)系統(tǒng)安全也是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定的根本性保障,無法保障系統(tǒng)安全的網(wǎng)絡(luò)是無法實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性的,然而,根據(jù)公安部的統(tǒng)計(jì),網(wǎng)絡(luò)系統(tǒng)的安全事件,有70%是由內(nèi)部的使用者造成的,因此,一個(gè)能夠輕松使用內(nèi)部網(wǎng)絡(luò)系統(tǒng)的用戶,其有意或無意造成的網(wǎng)絡(luò)安全影響會(huì)比一個(gè)外部的黑客造成的影響還要大。
目前,網(wǎng)絡(luò)系統(tǒng)中蠕蟲病毒、掃描攻擊、DDOS等攻擊越來越普遍,而這些攻擊將直接導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓和中斷,給醫(yī)院的正常業(yè)務(wù)開展造成非常嚴(yán)重的影響。例如:單臺(tái)主機(jī)在進(jìn)行掃描攻擊的時(shí)候,可以瞬間將門診收費(fèi)的主干網(wǎng)絡(luò)設(shè)備的系統(tǒng)資源占滿,造成門診收費(fèi)等系統(tǒng)無法正常通信,嚴(yán)重時(shí)還將造成全網(wǎng)主干系統(tǒng)數(shù)據(jù)傳輸緩慢或中斷。因此,病毒是目前比較嚴(yán)重的問題,尤其是網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊型病毒,防范十分困難。
(一)網(wǎng)絡(luò)接入方案。規(guī)范所涉及的網(wǎng)絡(luò)建設(shè)涉及到市區(qū)兩級(jí)網(wǎng)絡(luò)的規(guī)范聯(lián)接、協(xié)調(diào)管理等內(nèi)容,所以在網(wǎng)絡(luò)接入方案規(guī)范要求方面,將相關(guān)內(nèi)容拆分成以下兩部分。
(二)區(qū)縣網(wǎng)絡(luò)接入方案。區(qū)縣網(wǎng)絡(luò)接入方案應(yīng)由區(qū)縣衛(wèi)生信息平臺(tái)根據(jù)本區(qū)域網(wǎng)絡(luò)建設(shè)的實(shí)際情況進(jìn)行方案選擇,可提供的建議主要有三種:
1.利用VPN相關(guān)技術(shù)依托Internet網(wǎng)絡(luò)構(gòu)建區(qū)域衛(wèi)生信息專網(wǎng)。
2.基于本區(qū)域的政務(wù)專網(wǎng)構(gòu)建衛(wèi)生信息專網(wǎng)。
3.自行建設(shè)本區(qū)域的衛(wèi)生信息專網(wǎng)。
由于各種網(wǎng)絡(luò)接入方案在安全技術(shù)和管理權(quán)限上存在較大的差異,因此各區(qū)域網(wǎng)絡(luò)建設(shè)單位可根據(jù)各自所選用的網(wǎng)絡(luò)接入技術(shù)方案,制定符合自身需要的網(wǎng)絡(luò)安全管理規(guī)范。
(三)市級(jí)網(wǎng)絡(luò)接入方案。市級(jí)網(wǎng)絡(luò)接入方案主要針對對象有兩類:(1)各區(qū)縣衛(wèi)生信息平臺(tái);(2)市級(jí)所屬各醫(yī)療衛(wèi)生單位。市級(jí)網(wǎng)絡(luò)接入方案的制定應(yīng)根據(jù)市級(jí)區(qū)域衛(wèi)生信息平臺(tái)相關(guān)建設(shè)要求,結(jié)合各類接入單位的實(shí)際網(wǎng)絡(luò)建設(shè)情況、業(yè)務(wù)狀況、安全要求進(jìn)行規(guī)劃建設(shè)。同時(shí)各區(qū)縣衛(wèi)生信息平臺(tái)和市級(jí)所屬各醫(yī)療衛(wèi)生單位,應(yīng)依照市級(jí)網(wǎng)絡(luò)接入方案的相關(guān)要求,配合市級(jí)衛(wèi)生信息網(wǎng)絡(luò)建設(shè)對自身應(yīng)用網(wǎng)絡(luò)進(jìn)行改造。
(四)前置設(shè)備管理。前置設(shè)備指部署在區(qū)域衛(wèi)生信息平臺(tái)之外,各接入單位本地的各類設(shè)備,主要包括前置服務(wù)器設(shè)備(服務(wù)器)、網(wǎng)絡(luò)接入設(shè)備(交換機(jī))、網(wǎng)絡(luò)安全設(shè)備(防火墻)。前置服務(wù)器設(shè)備(服務(wù)器)的管理配置權(quán)限均有中心負(fù)責(zé),各接入單位有權(quán)使用該設(shè)備,并在該設(shè)備上部署同中心進(jìn)行數(shù)據(jù)交換所需要的各類應(yīng)用功能(部署前需要向中心相關(guān)管理人員進(jìn)行說明)。網(wǎng)絡(luò)接入設(shè)備(交換機(jī))、網(wǎng)絡(luò)安全設(shè)備(防火墻)的管理配置權(quán)限存在以下兩種狀況:網(wǎng)絡(luò)接入設(shè)備和網(wǎng)絡(luò)安全設(shè)備被置于中心可見范圍內(nèi),且相關(guān)的設(shè)置依照中心原定技術(shù)方案進(jìn)行配置。在此情況下由中心負(fù)責(zé)對上述設(shè)備的管理,由接入單位配合中心進(jìn)行維護(hù);由于接入單位自身網(wǎng)絡(luò)建設(shè)要求,網(wǎng)絡(luò)接入設(shè)備和網(wǎng)絡(luò)安全設(shè)備被置于中心不可見范圍內(nèi)。在此情況下上述設(shè)備的管理和維護(hù)則由接入單位自行按照中心相關(guān)要求進(jìn)行。
三、應(yīng)用安全
(一)CA數(shù)字簽名集成。出于對整個(gè)區(qū)域衛(wèi)生信息平臺(tái)的應(yīng)用安全考慮,要求接入單位在各自的數(shù)據(jù)上傳接口中依照區(qū)域衛(wèi)生信息平臺(tái)所提供的相關(guān)技術(shù)資料,將數(shù)字簽名功能集成進(jìn)文檔注冊功能中。前置設(shè)備在接收文檔注冊申請時(shí),首先會(huì)驗(yàn)證文檔簽名。簽名通過后還會(huì)驗(yàn)證XML結(jié)構(gòu)和部分信息是否符合接口描述要求,如通過后返回機(jī)構(gòu)文檔注冊程序成功標(biāo)志表明此文檔順利提交,否則返回失敗及失敗原因,接入機(jī)構(gòu)文檔注冊程序接收到錯(cuò)誤信息后,根據(jù)錯(cuò)誤信息代碼及描述,對文檔或數(shù)據(jù)重新處理后再次提交,直到成功。
(二)數(shù)據(jù)安全。區(qū)域衛(wèi)生信息平臺(tái)應(yīng)該統(tǒng)一負(fù)責(zé)整個(gè)系統(tǒng)的數(shù)據(jù)安全,依據(jù)此要求結(jié)合各類信息的實(shí)際存儲(chǔ)位置、管理負(fù)責(zé)單位的差異,規(guī)范將數(shù)據(jù)管理工作拆分成前置端數(shù)據(jù)管理和中心端數(shù)據(jù)管理兩大部分。
(三)前置端數(shù)據(jù)管理。前置端數(shù)據(jù)管理工作主要由區(qū)域衛(wèi)生信息平臺(tái)的日常運(yùn)維人員負(fù)責(zé),并由接入單位相關(guān)責(zé)任人提供相應(yīng)的配合。主要應(yīng)實(shí)現(xiàn)以下工作內(nèi)容:對前置設(shè)備中的各類數(shù)據(jù),制定全備份和增量備份相結(jié)合的備份策略,確保數(shù)據(jù)存儲(chǔ)的安全性;對前置設(shè)備中的數(shù)據(jù)庫定時(shí)進(jìn)行數(shù)據(jù)索引重整、數(shù)據(jù)庫日志截?cái)?確保數(shù)據(jù)庫運(yùn)行的穩(wěn)定高效;對前置設(shè)備中的各類應(yīng)用日志進(jìn)行定期清理;對前置設(shè)備的存儲(chǔ)空間進(jìn)行監(jiān)測,并定期進(jìn)行歷史數(shù)據(jù)清理。
(四)中心端數(shù)據(jù)管理。中心端數(shù)據(jù)管理工作主要由數(shù)據(jù)中心相關(guān)管理單位負(fù)責(zé),主要應(yīng)實(shí)現(xiàn)以下工作內(nèi)容:制定中心端數(shù)據(jù)的備份策略(包括物理備份和邏輯備份),并根據(jù)用戶要求進(jìn)行相應(yīng)的數(shù)據(jù)恢復(fù)演練工作;監(jiān)測中心端數(shù)據(jù)存儲(chǔ)空間和日志空間的使用情況,在監(jiān)測結(jié)果超出警戒閥值的狀況下,將相關(guān)信息反饋給用戶管理部門,確保相關(guān)問題能在第一時(shí)間被發(fā)現(xiàn)并被及時(shí)解決監(jiān)測中心端相應(yīng)設(shè)備的運(yùn)行狀況(CPU、內(nèi)存等),并定時(shí)將監(jiān)測結(jié)果反饋給用戶管理部門。避免由于各類硬件設(shè)備問題或設(shè)備資源不足,而導(dǎo)致的系統(tǒng)故障、數(shù)據(jù)丟失狀況的發(fā)生。
四、結(jié)論
本通過對區(qū)域衛(wèi)生平臺(tái)的信息安全的探索、研究和應(yīng)用,提高平臺(tái)的安全水平,和資源的綜合利用,促進(jìn)信息數(shù)據(jù)的完整性,培養(yǎng)實(shí)踐創(chuàng)新人才具有積極的作用。實(shí)踐表明,該設(shè)計(jì)對其區(qū)域衛(wèi)生平臺(tái)的設(shè)計(jì)具有一定的參考價(jià)值。
參考文獻(xiàn):
[1]蔡小芳,張永勝.在Web服務(wù)安全中XML加密與簽名的應(yīng)用[J].計(jì)算機(jī)安全,2006,7
[2]胡雋.構(gòu)建區(qū)域衛(wèi)生信息網(wǎng)進(jìn)一步整合各級(jí)醫(yī)院信息資源[J].社區(qū)醫(yī)學(xué)雜志,2010,5
終端成為重要攻擊目標(biāo),安全防護(hù)不容忽視。在由云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)重構(gòu)的IT環(huán)境中,大量信息數(shù)據(jù)被放置到云端,傳統(tǒng)的防火墻邊界已經(jīng)不復(fù)存在,因此有人認(rèn)為終端安全已經(jīng)無關(guān)緊要。然而對于多數(shù)企業(yè)來說,PC、手機(jī)、平板電腦等終端設(shè)備仍然是企業(yè)數(shù)據(jù)存放和周轉(zhuǎn)的重要節(jié)點(diǎn),如果終端安全無法得到保障,這些數(shù)據(jù)也將面臨嚴(yán)重的威脅。
亞信安全產(chǎn)品經(jīng)理何莉表示:“從網(wǎng)絡(luò)安全防護(hù)實(shí)踐來看,針對終端的安全攻擊對企業(yè)的整體業(yè)務(wù)和數(shù)據(jù)安全造成了很大威脅。網(wǎng)絡(luò)攻擊者不僅可以通過入侵終端設(shè)備來竊取機(jī)密的企業(yè)信息,還有可能以終端設(shè)備作為‘跳板’發(fā)動(dòng)APT攻擊,將定制化的惡意軟件散播到企業(yè)網(wǎng)絡(luò)之中,伺機(jī)執(zhí)行破壞網(wǎng)絡(luò)、竊取數(shù)據(jù)等高威脅的行動(dòng)?!?/p>
提升終端安全防護(hù)能力和聯(lián)動(dòng)防御成為重心之一。要提升終端安全防護(hù)能力,就必須不斷改進(jìn)安全防御技術(shù),以組成更高效、更堅(jiān)不可摧的防御體系。此外,隨著終端安全威脅的復(fù)雜化,企業(yè)最好能夠綜合使用多種技術(shù),而不是單個(gè)技術(shù)來化解威脅,這就要求企業(yè)將不同安全產(chǎn)品功能與信息進(jìn)行整合,這樣有利于對安全威脅情勢進(jìn)行全面準(zhǔn)確地洞察,實(shí)現(xiàn)安全威脅的聯(lián)動(dòng)防御。
除了強(qiáng)化對安全威脅的治理,將不同終端安全產(chǎn)品進(jìn)行融合,還能顯著降低企業(yè)的安全運(yùn)維難度。很多企業(yè)部署了多種終端安全產(chǎn)品來應(yīng)對不同威脅,這樣雖然可以提高安全防護(hù)能力的覆蓋范圍,但是不同產(chǎn)品有著不同的技術(shù)架構(gòu)和管理方式,會(huì)大大增加安全運(yùn)維的難度,還有可能產(chǎn)生產(chǎn)品兼容性題。如果能夠?qū)崿F(xiàn)融合管理,將顯著提升安全運(yùn)維的效率,減少安全防御的漏洞。
對于終端安全的防護(hù),亞信安全有終端安全管控系統(tǒng)和防毒墻網(wǎng)絡(luò)版OfficeScan兩款產(chǎn)品。其中,亞信安全終端安全管控系統(tǒng)以安全管控為核心、以運(yùn)維管控為重點(diǎn),可幫助企業(yè)打造全方位終端安全管理體系;亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan則以防范具體網(wǎng)絡(luò)安全威脅為重心,具備針對未來而設(shè)計(jì)的彈性架構(gòu),可以提供惡意軟件防護(hù)、數(shù)據(jù)保護(hù)、郵件安全等安全防護(hù)功能。
關(guān)鍵詞:現(xiàn)代學(xué)徒制;課程體系;校企合作;信息安全
在現(xiàn)代學(xué)徒制試點(diǎn)工作開展的過程中,校企雙方需要共同開展專業(yè)建設(shè),其重點(diǎn)在于企業(yè)能夠深入?yún)⑴c到專業(yè)學(xué)生培養(yǎng)的全生命周期中。課程體系是一個(gè)專業(yè)的核心,現(xiàn)代學(xué)徒制的專業(yè)課程體系建設(shè)就需要校企雙方來共同開發(fā)。在信息安全領(lǐng)域中,企業(yè)適合高職學(xué)生就業(yè)的崗位主要集中在網(wǎng)絡(luò)安全服務(wù)、安全運(yùn)維等領(lǐng)域。因此,高職信息安全與管理專業(yè)的課程體系就需要圍繞著這些崗位,由校企雙方來共同開發(fā)。
一、高職信息安全專業(yè)課程現(xiàn)狀
傳統(tǒng)的高職信息安全與管理專業(yè)中,雖然其人才培養(yǎng)方案和課程體系的建設(shè)也是由專業(yè)帶頭人及骨干教師經(jīng)過調(diào)研企業(yè)崗位之后得出的,但是由于是學(xué)院教師單方面來構(gòu)建的課程體系。因此,在傳統(tǒng)的高職信息安全專業(yè)課程體系中會(huì)出現(xiàn)以下問題:(一)學(xué)科體系氛圍較濃。由于傳統(tǒng)的高職信息安全專業(yè)課程體系是由專業(yè)教師單方面完成的,在課程體系中難免會(huì)出現(xiàn)學(xué)科體系的影子。隨著專業(yè)的持續(xù)開辦,雖然專業(yè)帶頭人對人才培養(yǎng)方案進(jìn)行了多輪修改,但是其中學(xué)科體系的氛圍還是會(huì)比較濃。例如,在傳統(tǒng)的專業(yè)課程體系中,會(huì)體現(xiàn)C語言、計(jì)算機(jī)組成原理等課程。這些課程很明顯帶有傳統(tǒng)學(xué)科體系下注重抽象理論知識(shí)學(xué)習(xí)的身影,因此還是不太適合于高職學(xué)生的學(xué)習(xí)。(二)課程體系不能完全體現(xiàn)出崗位需求。隨著時(shí)代的不斷發(fā)展與進(jìn)步,許多新興的事物出現(xiàn)在人們面前,在專業(yè)課程體系中也會(huì)出現(xiàn)許多新知識(shí)、新技能。例如,在課程體系中增加了云計(jì)算方面的課程,并且加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備調(diào)試等方面的課程。雖然,這是為了讓學(xué)生能夠拓展自身的視野,提升了學(xué)生的專業(yè)技術(shù)技能,在今后的就業(yè)競爭中處于優(yōu)勢地位。但是,這樣的安排不但沒有突出網(wǎng)絡(luò)安全服務(wù)于網(wǎng)絡(luò)安全運(yùn)維等信息安全領(lǐng)域的崗位群技能需求,而且還占用了大量的課程時(shí)間,影響了網(wǎng)絡(luò)安全專業(yè)課程的課時(shí)安排。因此,這樣的課程體系不能完全體現(xiàn)出專業(yè)特色與崗位需求,不能完全達(dá)到企業(yè)對口崗位的技術(shù)技能需求。
二、現(xiàn)代學(xué)徒制信息安全與管理專業(yè)課程體系建設(shè)
為了能夠更好地滿足信息安全領(lǐng)域的企業(yè)相關(guān)崗位的技術(shù)技能需求,讓專業(yè)課程體系能夠更加突出專業(yè)崗位技能培養(yǎng),這就需要校企雙方共同制定專業(yè)課程體系。建立現(xiàn)代學(xué)徒制試點(diǎn)專業(yè)的專業(yè)課程體系,需要校企雙方從分析崗位技能需求入手,共同開發(fā)專業(yè)教學(xué)標(biāo)準(zhǔn),形成專業(yè)課程標(biāo)準(zhǔn)。(一)信息安全與管理專業(yè)典型工作任務(wù)職業(yè)能力分析。通過對企業(yè)的調(diào)研與交流,明確了信息安全與管理專業(yè)的培養(yǎng)目標(biāo)為:培養(yǎng)與我國社會(huì)主義現(xiàn)代化建設(shè)要求相適應(yīng),德、智、體、美全面發(fā)展,面向網(wǎng)絡(luò)與信息安全企業(yè),在網(wǎng)絡(luò)與信息安全領(lǐng)域的技術(shù)服務(wù)和技術(shù)管理崗位,能夠從事滲透測試、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全工程集成等職業(yè)崗位群工作,具備網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及專業(yè)標(biāo)準(zhǔn)、滲透測試技術(shù)、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)與取證技術(shù)、網(wǎng)絡(luò)安全工程規(guī)劃設(shè)計(jì)與實(shí)施等專業(yè)知識(shí)和技能,具備良好的職業(yè)素養(yǎng)和解決實(shí)際問題的能力,具備較強(qiáng)的溝通、團(tuán)隊(duì)協(xié)作和組織協(xié)調(diào)能力的高素質(zhì)技術(shù)技能人才。因此,該專業(yè)學(xué)生畢業(yè)后主要在網(wǎng)絡(luò)與信息安全企業(yè)從事網(wǎng)絡(luò)安全滲透測試、網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全工程的設(shè)計(jì)與實(shí)施以及信息安全產(chǎn)品的銷售等工作。在崗位的確定上,我們首先將企業(yè)的崗位群劃分為:初始崗位群和發(fā)展崗位群。在初始崗位群中包含:專業(yè)技術(shù)崗位和銷售管理崗位。具體的崗位劃分如圖1所示。確定了該專業(yè)的崗位群后,校企雙方要針對崗位群確定典型崗位工作任務(wù),從八個(gè)崗位中,我們確定了30個(gè)典型工作任務(wù),再分別對每個(gè)典型工作任務(wù)進(jìn)行深入分析,確定出相應(yīng)的110條職業(yè)能力,如表1所示。(二)信息安全與管理專業(yè)課程體系的建立。根據(jù)對信息安全與管理專業(yè)典型工作任務(wù)和職業(yè)能力分析的結(jié)果,我們對職業(yè)能力進(jìn)行歸納,從而設(shè)計(jì)出該專業(yè)的課程體系結(jié)構(gòu)。該專業(yè)的課程體系結(jié)構(gòu)突出了校企合作辦學(xué)的特色,凸顯現(xiàn)代學(xué)徒制人才培養(yǎng)模式的特點(diǎn)。課程體系結(jié)構(gòu)共分為五大部分,包括:公共基礎(chǔ)課程、職業(yè)技術(shù)課程、學(xué)徒崗位課程、技能訓(xùn)練課程以及職業(yè)拓展過程,如圖2。在課程體系結(jié)構(gòu)中,公共基礎(chǔ)課程由學(xué)院負(fù)責(zé)課程標(biāo)準(zhǔn)的制定及課程授課;職業(yè)技術(shù)課程涉及該專業(yè)的職業(yè)能力中的核心部分,因此由校企雙方共同制定課程標(biāo)準(zhǔn),授課地點(diǎn)為校內(nèi),教學(xué)方式為教學(xué)做一體,由校企雙導(dǎo)師團(tuán)隊(duì)共同承擔(dān)課程教學(xué);技術(shù)技能訓(xùn)練課程為職業(yè)技術(shù)課程的延伸,對職業(yè)技術(shù)課程中涉及的職業(yè)能力進(jìn)行強(qiáng)化訓(xùn)練,因此該課程授課地點(diǎn)為校內(nèi),教學(xué)方式為實(shí)踐教學(xué),由校企雙導(dǎo)師團(tuán)隊(duì)共同承擔(dān)課程教學(xué);學(xué)徒崗位課程是整個(gè)課程體系中的關(guān)鍵部分,授課地點(diǎn)為企業(yè),教學(xué)方式為企業(yè)崗位實(shí)踐,由校企雙導(dǎo)師團(tuán)隊(duì)共同承擔(dān)課程教學(xué);職業(yè)拓展課程是學(xué)徒崗位課程的延伸,課程以各企業(yè)的實(shí)際發(fā)展方向和工作崗位特點(diǎn)來選擇,教學(xué)方式為企業(yè)崗位實(shí)踐,由校企雙導(dǎo)師團(tuán)隊(duì)承擔(dān)課程教學(xué)。(三)信息安全與管理專業(yè)課程標(biāo)準(zhǔn)的制定。確定好專業(yè)的課程體系結(jié)構(gòu)之后,校企雙方要共同制定每一門課程的課程標(biāo)準(zhǔn)。課程標(biāo)準(zhǔn)中包含課程的基本信息、課程定位、課程設(shè)計(jì)思路、課程目標(biāo)、課程內(nèi)容和要求、實(shí)施要求及建議等六個(gè)部分。在基本信息中,要講課程的名稱、類型、學(xué)分等基本信息填寫齊全;在課程定位中,主要講課程與工作崗位典型工作任務(wù)相對應(yīng),并確定每門課程所包含的職業(yè)能力;在課程目標(biāo)中,將課程的總體目標(biāo)、具體目標(biāo)描述清楚;在課程內(nèi)容和要求中,將課程內(nèi)容、學(xué)習(xí)目標(biāo)、主要內(nèi)容及參考學(xué)時(shí)標(biāo)識(shí)清楚,為今后的教學(xué)工作打好基礎(chǔ);在實(shí)施要求及建議中,對師資、考核、教材等方面做了詳細(xì)的要求,對具體教學(xué)過程也做了相關(guān)的建議。
三、總結(jié)
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫