前言:中文期刊网精心挑选了网络设备维保范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络设备维保范文1
【关键词】 民用通信设备 设备管理 维护措施 维保模式
引言:地铁作为当代交通的主要交通工具,其民用通信设备的重要性相对较高,需要将其对应通信设备的维护管理等工作充分提高,保证其硬件设备设施的有效性。加强设备维护、保养工作,从而提高作业效率。设备维护、保养等工作对整体管理工作而言,是提高服务等级的重要部分,需要加强维保模式的优化管理,提高整体经济效益。
一、地铁民用通信设备及维保模式分析
1.1民用通信系统概述
相比于传统通信系统而言,地铁民用通信系统差异较大。一般该系统与专用体系是分别工作,自身独立性较高,其运行稳定性对地铁通行的影响相对较少;为了保证民用系统的合理性、经济性,一般是多厂商共同管理,对应设备匹配效果、优化能力有待提高。增加了后期改造的难度,对系统维护的负面影响十分明显。此外,民用系统的用户较多,对服务性能和后期质量保证等工作而言,其负面效应报道较多。对应系统运营商的技术含量、监控等级需要进行全面合理分析。系统故障状况下,需要及时做出应对反应,提高运营商的服务质量,避免客户满意度过低等状况的发生。
1.2维保方式概述
国内地铁运行中,维护管理方法属于计划模式,分工全面、专业细化,但是已经无法充分满足当下地铁通信设备管理要求。原因在于:维保机构数量增加,导致管理层人员过多,造成管理混乱、效率低下;对应人力资源的成本增加,引起相关作业员工的薪资有限,降低了工作积极性;同时,相关作业人员的专业能力有限,由于地F民用通信投资较大,技术新且发展快,是一个复杂而庞大的系统,涉及通信领域很多专业。对地铁公司而言,在使用、维护、维修和改造等方面的能力是有限的,因地铁维护人员在实际维护维修、故障诊断和排除中往往依靠设备供货商,由于对设备的各系统关联程度把握不足,会影响设备维修的时效性和可靠性。
二、地铁民用通信网络设备的维护
2.1以地铁通信网络设备基础信息的分析为基础,确定维护工作重点
为了确保地铁通信网络设备维护工作的有效开展、避免设备故障对地铁列车运行的影响,在现代地铁通信网络设备维护前应强化对通信网络设备基础信息的分析。以地铁通信系统设备说明书等文件的分析为基础,结合实际使用过程中环境、使用频率、设备运行工况等内容,确定地铁通信网络设备维护工作的重点。 根据地铁通信设备及线路的实际使用情况、设备的基础信息,确保地铁通信网络设备维护方案的科学性,提高维护工作效率。
2.2建立健全地铁通信网络设备维护管理体系,促进维护工作的开展
建立完善的通信设备管理维护体系是提高维护工作质量与效率的基础,随着我国地铁通信网络的快速发展,地铁通信网络设备维护需求逐渐递增,因此,必须加强各地区地铁民用通信网络设备维护管理体系的优化与完善。针对本地区实际情况,建立符合本地区地铁通信网络的安全管理办法,规范通信设备维护作业,监督和规范维护人员的操作流程,从而提高维护管理工作的实效性。
2.3建立预防性维护机制,提高地铁通信网络设备维护能力
在现代设备养护管理中,预防性养护管理机制能够降低设备故障发生率、保障生产运行活动的开展。 这一理论在地铁通信网络设备维护中的应用能够保障地铁通信系统的安全与稳定、降低地铁通信网络设备故障率。 根据预防性维护理论应用需求,现代地铁运营管理机构应在通信网络设备基础情况调研下强化设备常见故障的分析。根据地铁通信网络设备运行环境下易损部件的实际应用情况,确定预防性维护工作内容。以实际情况为出发点、确定预防性维护周期,避免零部件损坏对通信网络系统的硬性,保障地铁通信系统的稳定运行。
2.4强化维修工作现场技术监督,保障地铁通信网络设备维护质量
现代地铁民用通信设备维护中技术监督是关键问题,通过有效的技术监督能够加强维修人员的责任意识与操作规范性,因此,应建立科学完善的现场技术监督管理体系。选派专业技术人员作为现场监督指导,能够及时发现现场维修过程出现的问题,并及时指导改正,避免不规范操作带来的故障以及严重后果。同时,也能够加强维修人员的安全防范意识,保障维修、维护工作质量,规范作业流程,提高地铁通信网络设备的安全运行。
参 考 文 献
[1]夏建军.地铁民用通信设备管理维保模式探讨[J].河南科技,2013,9:88.
网络设备维保范文2
本文重点描述了根据公安部出台的《信息安全技术信息系统安全保护定级指南》的要求,在医院信息系统等级防护中应用堡垒机去解决与保护域内计算机系统资源实现身份鉴别认证,并提供有效可回溯的安全审计方式,让医院信息系统获得最大的保障和管理应用效果。
关键词:
信息系统;安全;堡垒机
1、现状与要求
近年国家对企业的信息安全越来越重视,公安部及信息部等出台了《信息安全技术信息系统安全保护定级指南》(以下简称《指南》),卫生部也出台了《卫生行业信息安全等级保护工作的指导意见》对在建及已经运营的医院信息系统进行检查,要求重要信息系统其安全保护等级按照不低于三级进行建设。在《指南》中,要求信息系统必须建立及保存运维访问的各种操作日志。《定指南》将系统划分物理、网络、主机、应用和数据安全及备份等几大安全领域,其中几大领域均涉及到了数据以及操作审计、操作人员身份鉴别等安全问题。
2、医疗信息安全领域存在的问题
医院信息系统主要划分为his,pacs,Lis等几大子系统,其主要目标是支持医院的行政与管理运作,减轻各事务处理人员劳动强度,辅助医院高层对医院运作进行管理决策,提高医院工作效率,从而使医院能够获得良好的社会与经济效益。在对日常各系统的运维过程中,不同公司的维保人员有可能通过互联网络,在外地甚至在家对医院的业务系统进行升级与维护,操作方式基本分散无序,普遍存在由于管理人员登陆帐号管理不规范、运维权限划分不清晰、认证流程简单、缺乏对运维过程的监控、无法控制运维的时间段等等问题,容易导致其运维行为可能存在误操作、违规操作甚至恶意操作等现象,造成系统服务异常或宕机,病人数据信息被泄露或破坏。因此,进一步加强对拥有信息系统高级管理权限的运维操作人员的行为管理与监控,也是医院信息安全发展的必然趋势。
3、堡垒机在信息安全领域的应用
堡垒机,提供了在特定网络环境下,为确保域内服务器、路由器等设备的安全运行,使用协议等方式,接管对终端目标设备的访问界面,对其访问行为进行安全审计与翻译,集中管理、监控记录运维过程的一种设备,确保域内网络与数据不受破坏。堡垒机扮演了对信息系统和网络、数据看门者的角色,所有对网络关键设备、服务器以及数据库的访问,都要经过这个看门者的安全检查。符合安全规定条件在命令和操作才可以从大门通过,这个看门人可以对这些命令和操作进行登记记录,而某些非法访问、恶意攻击以及不合法命令则被阻隔于大门之外。因此,在提高医院信息安全防护等级的过程中,使用堡垒机不仅可以实现用户的身份鉴别、单点登陆、多因素安全认证,还可以将服务器、网络路由设备、数据库等资源的操作进行详细的记录并录像,提供有效的安全审计查询。堡垒机作为医院信息系统等级保护安全体系中的一个环节,可以很方便地做到事中监控,事后找出问题根源。医疗单位要选择一款好的堡垒机,要注意其生产厂家必须能在IT运维管理领域里,可以深刻感知医疗安全行业和国家的合规性规范及高安全性、高可用性和高可靠性需求,不断创新发展,致力从事智能的自动化运维管理。医院在选择堡垒机厂商时要注意厂商是否具备快速响应能力及行业内口碑等,多了解其产品的行业经验,注意了解厂商的是否有医院信息安全领域的服务经验及良好的服务质量,并建议选购前要做好堡垒机设备与医院信息系统的兼容性测试,选择良好的堡垒机厂商可以让医院医疗信息行业运维管理工作增值,这样才能让医院医疗信息系统获得最大的保障和应用效果。
4、堡垒机所应具备功能:
4.1单点登录
堡垒机可通过保护域内的安全设备、数据库、网络设备等对堡垒机专用帐号的授权,支持针对一系列授权帐号的密码定期变换,规范及简化密码管理流程。被授权的维护人员无需再记忆各种不同系统的密码,即可通过堡垒机安全便捷地登录被保护域内设备。
4.2帐号管理
针对保护域内的网络设备、服务器及其他安全设备的各种帐号进行统一管理,监控授权访问资源帐号的整个生命周期。可以根据运维人员的不同身份设计不同帐号角色,满足审计及运维操作管理要求。
4.3身份认证
由堡垒机提供统一的认证入口,支持包括动态与静态口令、硬件密钥、生物指纹认证等多种认证模式对用户认证。并要求可订制接口,支持第三方认证服务;有效提高保护域内设备的安全型及可靠性。
4.4资源授权
针对访问域内网络设备、服务器、数据库等根据ip协议类型、行为等多种要素进行授权操作
4.5访问控制
保垒机能支持对不同用户制定不同策略,有针对性地进行细粒度的访问控制,有效禁止非法及越权访问,最大限度地保护用户资源的安全。
4.6操作审计
堡垒机能支持针对命令字符操作、图形界面操作、文件传输操作等的多种行为的审计与录像全程记录,支持通过实时界面监控、对违规事件进行事中阻截。并能支持对指令信息的关键字搜索,精确定位录像回放位置等功能。
5.堡垒机在医院医疗信息系统安全的主要作用:
5.1从医院来看:
通过堡垒机细粒度的安全管控策略,保证医疗信息系统的服务器、网络设备、数据库、安全设备等安全可靠运行,并可以在一定保障数据的隐私性与安全性,降低人为安全损失,保障医疗信息系统的运营效益。
5.2从信息系统管理员来看
可以将保护域内系统所有的运维账号在堡垒机这个安全平台上管理,让管理更简单有序,确保用户拥有的权限是恰当的,只拥有完成任务所需的最小权限。
5.3权限控制:
通过堡垒机可以通过字符与图形界面直观方便的监控各种韵维访问行为,及时发现与阻隔违规操作、权限滥用等。
5.4以普通用户来看:
系统运维只需要记住一个自己的运维账号和口令,登录一次,就可以访问个资源,大大降低工作复杂性,提高了效率。
作者:胡名坚 周春华 黄慧勇 单位:佛山市第一人民医院计算机中心
参考文献:
网络设备维保范文3
P键词:医院信息系统;三级等保;信息安全
1 引言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的医院建立了依赖于网络的业务信息系统,比如HIS、OA、财务系统等等,它们提供了日常办公所需的业务,便利了工作。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。
医院信息系统是医院实现办公电子化、网络化、无纸化的重要平台,同时也是开展日常工作的重要平台。然而,近年来,随着网络信息安全的快速发展,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客恶意攻击、蠕虫病毒、木马等,有可能会给医院的信息网络和核心系统造成严重的破坏。所以,建设一个全面、安全的信息系统已刻不容缓。
2 系统现状安全分析
医院信息系统现状拓扑图如上图1所示,从整个网络拓扑图可以看出,现阶段医院主要有两个网络出口,包括连接医保专网及连接互联网,互联网区域主要提供给外端用户通过VPN连接接入到内部服务器。在安全防护方面,除了在医保专网的出口边界区域部署有防火墙外,其他地方都没有部署有相应的安全防护措施,主要表现在以下几点:
1)网络出口边界区域缺少相应的入侵防护系统,无法对来自外部的蠕虫、木马、病毒、恶意软件及僵尸网络进行安全防护;
2)在互联网边界区域缺乏相应的防病毒系统,无法对来自互联网的恶意代码攻击、病毒等进行检测和拦截;
3)在内部网络中缺乏相应的安全审计系统,无法对内部的网络行为、服务器访问操作行为等进行审计和日志记录;
4)在Web类服务器前端缺少相应的Web安全防护设备,无法对针对Web服务器的SQL注入、跨站脚本(XSS)、跨站伪造攻击等进行安全防护,同时缺乏相应的网页防篡改系统;
网络内部缺乏漏洞扫描设备,无法对内部服务器系统进行漏洞扫描及漏洞管理;
5)在内部网络缺乏相应的运维审计系统,无法针对内部服务器、数据库、网络设备及安全设备进行统一的安全运维;内部重要服务器上没有安装防病毒系统,无法对服务器进行安全防护,容易遭受病毒的攻击。
3 建设思路
3.1 建设方法
信息安全体系框架是实施安全建设的灵魂和核心,它提供了构建和管理信息系统安全性的理论指南、流程、工具和指标。定义了全面风险管理和安全措施部署的设计路线和方针。使信息系统安全建设在标准化和完备的设计依据中进行,使建设过程具体而可控。从而维护信息价值从输入端至输出端的可信性和可控性;形成完备的事前监控预警、事中防御控制、事后审查追溯的防护机制。呈现持续改进的安全运行管理闭环。
医院信息系统的信息安全建设会同时依据国家/行业政策标准的指导,因而需要结合现实的业务特点与管理情况,构建各类别各层面信息系统的差异化、本地化保护能力,并通过制订运行管理策略,形成面向当前安全措施及关键系统的运行配置、未知风险的预警与控制情况。
适度化的安全建设思想能够将上述的方法论贯穿于信息资产的运行周期中,使各阶段、各层面的安全机制相互补足而形成体系,避免了安全建设的重复实施和过度投资。
3.2 方案效果
在等级保护要求中,医院信息系统安全提出网络访问控制、网络入侵防护、恶意代码防范(防病毒)、安全审计、漏洞管理、运维审计、安全集中管理等需求。本次信息系统安全建设需要完成以下目标:
1)边界安全防护
在医院专网互联区边界处部署防火墙,对内部服务器进行基础安全防护,实现边界的网络安全访问控制,保证服务器的安全。(利旧)
2)恶意代码防护
在医院互联网边界处部署绿盟NF防病毒系统(NF),对来自外网的病毒文件进行安全拦截,保证内部服务器的安全,实现内部网络的恶意代码防护。
3)网络入侵防护
在医院服务器前端部署绿盟入侵防护系统(NIPS),对来自外网、专网及内部用户的木马、病毒、蠕虫以及各类网络攻击行为等进行拦截,保证内部服务器的安全。
4)Web安全防护
在服务器区如果部署有Web类服务器系统(OA办公系统等),需要在服务器前段部署Web应用防护系统(WAF),对来自互联网的针对Web应用的攻击进行安全防护,如SQL注入、跨站脚本、恶意扫描等攻击进行阻断防护,同时,在服务器上部署防篡改软件系统,对文件进行 安全保护。
5)安全审计系统
在医院核心交换机处旁路部署安全审计系统(SAS),通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规网络行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,做到出现问题时有源可溯。
6)运维安全管理
在运维管理区部署安全运维堡垒主机(SAS-H),对日常所有网络设备以及服务器等的运维进行详细的记录,保障系统运维的安全性。
7)系统安全管理
在医院运维区处部署漏洞扫描系统,可以利用漏洞扫描系统对网络中的系统、网络设备等进行扫描,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给出专业、有效的漏洞防护建议,让攻击者无机可乘。
在医院内部服务器及主机部署防病毒软件,可以有效地对内部终端和服务器等进行病毒防护,保证系统不会因为受病毒感染而造成系统宕机、数据受损等严重事件。
8)集中安全管理
在运维管理区部署安全管理平台(ESPC),对所有的安全设备进行统一管理,实现整个信息系统安全状态的在线分析、在线监控、在管理,提高安全管理效率。
3.3 项目效益
安全技术设施足以保障系统的核心区域,关键信息安全管理制度初步形成,并借助外力形成一定的安全支撑能力,整体信息系统安全和稳定得到保证。
通过完善安全运维管理支撑体系,保证运维的安全、稳定,使得医院信息系统自身具有较高的安全运维能力。
信息系统符合三级等保标准关键要点的要求,确保信息系统通过等级保护测评(覆盖等级保护基本80%以上要素,整个信息系统基本符合等级保护要求)。
4 总结
信息安全没有绝对性,从技术复杂度来说,单一防护模式很容易被突破,只有实施多层防护,才能消除单点隐患。通过建立“一个中心下的三重防护体系”才能增加突破难度,降低安全风险;做到全可达、全可控、全可查。层层防护旨在实现非法破坏“进不来”,即使进来也“拿不走”,即使拿走也“读不懂”,即使有恶意行为也“跑不了”。
医院信息系统的安全管理是一个不断变化的管理过程,随着时间的推移,管理理念、信息技术以及医院信息化程度的不断变化,医院信息系统安全管理的发展思路也应该要与时俱进的不断变化,要根据阶段性的信息安全目标不断的对安全管理体系加以校验和调整,以保证医院信息安全管理体系始终适应和满足实际情况的发展需要,只有做到这样的管理模式,才能够建设更健康的、合理的、有效地使医院信息系统更安全。
参考文献:
[1] 迪普科技助力新疆医疗系统[J]. 数字通信世界,2014(4).
网络设备维保范文4
在国外,随着诸如Iso27001,萨班斯法案等信息安全标准和法规的颁布,国外的信息安全审计己经企业,得到了广泛的应用。而在我国,信息安全审计主要来源于企业信息安全管理的需求、企业内控的要求并且获得了一定规模的应用。而随着计算机信息安全等级保护的推进,信息安全审计必然越来越受到政府、企事业单位的重视。目前市场上存在着各种各样的信息安全审计系统,其功能不一,部署使用力一式也不相同。如何在等保建设中更好的应用审计系统,木文在以下内容中给出了分析和建议。
1信息安全审计的意义和目的
计算机信息安全是要保证计算机信息系统中信息的机密性、完整性、可控性、可用性和不可否认性(抗抵赖),简称五性。安全审计是这五性的重要保障之一,它对计算机信息系统中的所有IT资源(包括数据库、主机、操作系统、安全设备、网络行为等)进行安全审计,提供给系统管理员作为系统维护以及安全防范的依据。安全审计如同银行的CCAV监控系统,任何人进出银行,柜台操作都进行如实录像记录,一旦有异常事件可以快速的查阅进出记录和行为记录,确定问题所在,以便采取相应的处理措施。
信息系统的安全审计工作更为复杂,通过统一收集信息系统中的设备、系统、终端、应用的登录、操作日志以及其它各种网络行为,例如互联网访问,FTP传输、电子邮件等记录,通过综合关联分析从各类记录中进行多层而、多视角的跟踪、分析和处理,发现异常事件,及时采取相应措施。
通过以上分析可以看到信息安全审计在信息安全管理体系中是不可缺失的部分。它的作用主要如下:
(1)对正在发生的各类信息事件进行监控、记录和告警;
(2)为安全主管提供审计记录和分析决策,及时针对异常行为采取措施;
(3)通过安全审计记录,可以对于发生的信息系统破坏行为提供有效的法律追究证据;
(4)有效的安全审计策略和安全审计防护措施可以对潜在的攻击者起到震慑和警告的作用。
2等级保护中安全审计问题
2.1等级保护中的安全审计要求
等级保护是我国目前在非涉密系统信息安全防护一个有效的政策依据。等级保护测评中对网络,主机,数据库和应用都有相应的安全审计要求。
2.1.1各安全域通用要求
(1)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;
(2)应保护审计进程,避免受到未预期的中断;
(3)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
2.1.2网络设备和网络安全设备特殊要求
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。
2.1.3主机和数据安全审计特殊要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等;
(3)应能够根据记录数据进行分析,并生成审计报表。
2.2等级保护中存在的安全审计问题
在实际测评中由于企业对安全审计不够重视导致存在诸多安全隐患,不但影响了测评结果也给企业带来了安全风险。
2.2.1网络设备和安全设备存在的问题
(1)未开启安全审计功能,或只设置了相应的日志服务器但没专人定期对日志分析、记录;
(2)记录内容较简单,只包含用户登录行为,而对设备运行情况、网络告警信息、流量信息都未记录;
(3)只是简单的对日志进行保存,并未能运用这些数据做分析统计并从中发现问题;
(4)对审计记录的保存未做过优化或定期检查,没有专人进行维护,不能确保审计记录不会被修改或删除。
2.2.2主机和数据库存在的问题
(1) LINUX系列主机安全审计功能一般都未启,而对于WINDOWS系列的主机安全审计功能均是系统默认设置。
(2)主机开启了审计服务但审计对象只包含了操作系统用户,而对数据库用户和其他系统的用户并未进行审计。
(3)只是简单对日志进行保存,并没有专人对这些数据统进行计分析统计。
(4)对审计日志的记录的内容采取了系统默认保存方法,对日志存储位置、存储最大值以及达到最大值后的处理都未设置。
(5)对审计进程和审计日志均没有专人去做维护检查,不能保证审计系统的安全运行,审计日志不被非法修改。
2.3等级保护中安全审计的重要性
从保测评的结果看来,不少企业对安全审计不够重视,信息安全建设主要集中于传统的信息安全基础设施,如部署防火墙,IPS等。目前企业的信息安全管理主要依托于这类网关型安全设备上,忽略了事中监控和事后审计溯源的安全管理。从实际测评中发现造成这一系列问题的主要原因是未能认识信息安全审计的重要性,对信息安全审计所需的各类资源投入不足。有效安全审计手段的缺失不仅使企业信息安全等级保护不足,而且也使企业自身信息安全管理体系存在短板,导致企业存在以下安全风险:
(1)内部风险:由内部员工违规操作导致的安全风险和网络的非法接入带来的风险。
(2)第二力一维护:企业系统由第二力一维护所带来的风险。
(3)系统日志:单纯的分析业务系统或者数据库系统的日志,都无法对整个访问过程是否存在风险进行判断。
4信息安全审计系统在等级保护建设中的应用
等级保护建设中提出了很多具体的安全审计要求。不少企业不知从何处着手开展工作。信息安全审计系统种类繁多、针对性强,在等级保护建设过程应该根据等级保护的具体要求并结合这些审计系统的特点,有针对性的进行建设才能最终满足等级保护要求,提高企业安全水平。
4.1等保三级系统中网络设备和网络安全设备的安全审计
4.1.1等级保护基木要求
(1)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
(2)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
(3)应能够根据记录数据进行分析,并生成审计报表;
(4)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
4.1.2可采用的审计系统
按照等级保护二级系统中对网络设备和网络安全设备的安全审计基本要求,可采用网络审计系统。
4.1.3符合度分析
网络审计系统通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全而记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位。
4.2等保三级系统中主机和数据库的安全审计
4.2.1等级保护基木要求
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和}重要系统命令的使用等系统内重要的安全相关事件;
(3) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
(4)应能够根据记录数据进行分析,并生成审计报表;
(5)应保护审计进程,避免受到未预期的中断;
4.2.2可采用的审计系统
按照等级保护二级系统中对主机和数据库的安全审计基本要求,可采用终端审计系统、运维审计系统、数据库审计系统。
5总结
网络设备维保范文5
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3信息系统安全等级测评的内容
3.1信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
3.2测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1测试目的工具测试
是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6结语
网络设备维保范文6
一、关系维护过程中应注意的原则
(1)把握每一次机会。驻场团队人员与客户的每一次交往,都是决定客户关系管理成败与否的重要环节,处理好与客户的每一次交往,能有效地巩固、延长与客户的合作关系。要重视每一个岗位、每一次与客户的往来,并根据不同的情形采用不同的关系策略。
(2)实效、高效、个性化。驻场团队管理人员要充分了解客户的需求、个性特征及偏好,选择出适合客户自身特点的最有效的内容、方式、时间和频率,在驻场维保过程中进行实质性的客户关系维护,并充分利用系统的支持,避免高成本、结果不明确、低效的关系维护方式。
(3)计划和规范。需要有计划地、规范地进行客户关系维护,避免工作的随意性和重复性。定期保持与客户的联络、收集客户情况,及时掌握客户需求变化。
(4)及时反馈记录。与客户的每一次交往信息都是单位的重要资产,客户关系管理人员应该规范、及时、真实、有效地记录客户信息,建立、更新完整的客户满意度反馈表。
二、客户关系维护流程规范
驻场团队需根据自身实际情况制定相适应的客户关系维护目标、策略及实施方案。对于不同时期开展的不同形式的维保工作,单位应采取相应的技术支持配合行动。在客户维护工作的执行过程中进行监控和及时的反馈,修正不足之处及时查漏补缺。具体工作步骤如下:
1、客户群体特征分析、分类。驻场团队应根据客户所需要的服务需求特征等维度对客户进行分层、分类,为有明确目标的维保服务工作提供依据。驻场团队管理人员应针对不同客户需求,采用相对应的操作。
2、制定行动计划。驻场团队管理人员应根据客户需求类别的不同,将客户需求分类,对客户指向性、临时性、随机性需求选择相对应方案来进行维保工作,每日的维保工作做好记录。
3、计划的执行和控制。根据事先拟定的计划进行客户关系维护活动,事先预估各项事务所需要的时间、人力、设备等,以保证驻场团队的效率和效果;驻场团队管理人员于每日下班前记录当日工作计划的完成情况;定期检查时间长跨度大的维保工作,跟进维保工作计划执行的力度和进展情况,并根据计划执行的效果对客户关系维护计划方案进行调整。
4、反馈与评估。驻场团队根据预先设定的计划,对日常工作进行评估,及时反馈相关信息,总结经验,分析问题,并及时采取解决措施。
(三)日常维护
