前言:中文期刊网精心挑选了网络安全运维技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全运维技术范文1
在当今的企业里,信息化进程的脚步已经越来越快。但是随之而来的信息安全问题及信息系统运行维护问题也日益凸显。企业的信息安全保护是靠常规的网络安全设备,诸如防病毒系统、防火墙、入侵检测系统、认证系统等构成了企业安全网络环境的防护屏障。对企业内部的运维环境中,由于日常各类维护的需要,各类操作变更行为直接作用于企业的IT资源,这给企业带来巨大的安全隐患及潜在威胁,所以企业的安全运维管理不仅仅只是对于外部进行信息安全管理,同时也要对企业内部的各种操作变更行为进行安全管理。
【关键词】安全运维 企业内网 作用
1 企业外网的安全运维管理
防火墙是长期以来保障企业外网安全最常用的工具,自然也是企业网络安全保护的一项重要措施。采用防火墙技术对于企业来说无疑是最佳的选择,防火墙设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙总体上分为包过滤、应用级网关和服务器等几大类型。
外网安全安全运维管理主要防范外部入侵或者外部非法流量访问,技术上也以防火墙、入侵检测等防御角度出发的技术为主。内网在安全管理上比外网要细得多,同时技术上内网安全通常采用的是加固技术,比如设置访问控制、身份管理等。当然造成内网不安全的因素很多,但归结起来不外乎两个方面:管理和技术。
2 企业内网的安全运维管理
企业内部局域网安全运维管理对于企业长期稳定运行意义重大,运维不当可能引发诸多安全事故,要想将风险降低到最小,需要加强对用户身份的识别和用户权限方面的管理,要加强用户访问控制,构建实时监控、敏感操作回放等高效的运维环境。
科学技术不断进步的同时,企业办公系统也取得了长足的进步和完善,单位日程运转越来越多地依赖于企业内网信息网络,在一定程度上,内网信息网络就是企业的生命线,直接关系企业的正常运行。但以此同时,企业对内网信息网络的稳定性、可控性和可靠性也提出了更多更高的要求。内部信息网络是一个有机整体,终端、服务器、网络设备都是这个整体的有机组成部分,任何一个部分发生故障都可能对整个网络带来致命打击,因此,现代化企业对终端可控性和可靠性有着严格的要求。
传统的网络安全对于我们来说并不陌生,主要是防备外网的攻击,一般的防范对策就是通过建立入侵检查系统、防火墙、VPN等等。但是这种传统的网络安全预防是基于内网安全可行的假设的基础之上的,这种假定排除了内网出现问题的可能,将威胁全部定位于外网,主要防范内外网边界。外网安全的威胁模型下,我们认为只要防控好内外网边界的网络安全就是维护了整个网络的安全。
内网安全威胁模型相形之下就显得更加全面和细致,这一模型假定内网的终端、网络和用户都存在着不安全的因素,导致网络安全的原因是多方面的,可能来源于外网,也可能来源于内网节点。依照内网安全威胁模型,就必须加强网络安全的精细化管理,对内网涉及的一切节点和参与者展开细致部署和管理,提高内网的可控性。内网安全要求必须制定细致的安全控制措施,必须针对内网的一切终端、用户、服务器和网络展开有效管理,必须建立全面客观和严格的安全体系和信任体系。
3 安全运维管理的管理方法
3.1 物理隔离防御
保证运维整体安全可靠的常用方法就是进行物理隔离防御,这也是最为直观和有效的方法,有助于保证整个运维整体的安全可靠。通常的做法是设置专用的操作室,物理限定访问者环境,建立专门的机房专门用于存放服务器和生产数据库,或者增加门禁等方法加强区域隔离控制。终端设备必须存放于专用的终端操作室,操作室设有准入权限、摄像头,严格监控和认证来访人员,并且做到终端操作室和办公环境的有效隔离。
3.2 逻辑隔离防御
根据企业的风险评估和安全管理目标,考虑到实际的访问需求和应用情况,对于某些安全区域可采用逻辑隔离达到控制目的。逻辑隔离的方式有网段隔离、VLAN隔离技术、加载访问控制列表隔离技术等。本系统的运维管理区中,对HAC和日志服务器两类设备进行逻辑隔离。分配了不同网段的IP地址,可以隔离广播包,避免广播风暴;在设备交换机配置为HAC,日志服务器配置不同网段的IP地址,并分配不同的VLAN号,在VLAN的逻辑接口下加载ACL(访问控制列表),过滤相互间不必要的访问数据包。
3.3 审计管理
审计管理也是加强安全运维管理的重要手段。通过访问控制系统的建设和完善,我们可以将一般性的非法访问拒之门外,但是却对一些利用系统漏洞的非法行为无能为力。审计管理可以很好地补充访问控制系统的不足,及时查找漏洞并加以弥补,从而进一步提高系统内外的安全度。
除了查找漏洞及时弥补,审计管理还会加强对操作人员的约束,减少员工误操作,通过规范化员工操作程序和操作步骤、操作方法来减少事故的发生。审计管理中必须建立完整的审计日志,要严格按照安全总则确定审计日志保存时间和审计地点等。
4 安全管理守则和员工安全意识培训
在员工日常操作方面,需要进一步规范化管理,要建立安全管理守则,将一些员工行为规范化,同时加强员工安全培训,帮助员工树立安全意识,提高企业整体的安全防范意识,从而从思想上和制度上杜绝安全隐患的发生。
企业安全运维管理旨在提供企业系统的可控性和系统服务能力。这需要我们将管理工作落实到细节,苦练基本功,尽量使网络监控更细化、监控更智能化;提高管理、流程的再造、持续地优化内部管理。企业如果要掌控安全运维管理就是建立有效的IT流程管理以及关键指标监控,对基础设施和应用进行监控,并建立端到端响应时间管理,以此为基础,最终建立业务服务管理,通过有效的报告和报表进行分析,才能够可视的了解到IT基础架构和业务服务之间的关系,最终进行系统优化和长期规划。
网络安全运维技术范文2
关键词:网络运维;带宽资产;网络流量;课题
中图分类号:TP393.07
对于学校网络系统,信息中心在管理网络机房、服务器、存储装置的目的就是确保信息资产的安全,还有增设部分维护学校网络的设施,如有形资产包括路由器、交换机,由于维持网络的正常连接,而带宽就可作为一种无形资产。因此,学校带宽资产管理对于网络系统运维、信息安全等当面起着十分重要的作用。
1 学校网络运维与信息安全
1.1 学校网络运维管理的概念。所谓网络运维,就是为保障电信网络与业务正常、安全、有效运行,而采取的一系列组织管理活动。网络运维系统所用到的设施有网络中路由器,交换机,服务器,动力系统,存储设备,防火墙等,还包含对网路系统进行实时监测以及自动生成网络拓扑的嵌入式硬件设备。按照无形资产的管理方法,对有限的网络资源卡赞管理和进行有效分配,保证教学、科研和管理工作的需要。
1.2 学校信息安全的重要性。学校信息资源信息作为一种资源,具有普遍性、共享性、增值性、可处理性和多效用性等特点,使其对于需要教学以及多学生进行考试测验等方面发挥着十分重要的意义。学校信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息具备高度安全性。按照国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。因此,就需要采取有效对策来保证学校信息安全。
1.3 网络运维与信息安全的联系。对学校网络进行运行和维护的最终目的就是确保学校信息能够安全可靠地进行资源收集、存储、传输、使用,防范在校学生对不良信息的浏览以及不法分子对学生个人信息的窃取,使得学生在安全、可靠的网络环境中学习,从而取得良好的教学效果。
2 网络运维带宽问题的产生
2.1 带宽概念。带宽(band width)又叫频宽,是指在固定的的时间可传输的资料数量,亦即在传输管道中可以传递数据的能力。在数字设备中,频宽通常以bps表示,即每秒可传输之位数。在模拟设备中,频宽通常以每秒传送周期或赫兹(Hz)来表示。带宽在计算机网络中有两个方面的含义,一是表示频带宽度,即信号所包含的各种不同频率成分所占据的频率范围,频宽对基本输出入系统(BIOS)设备尤其重要,如快速磁盘驱动器会受低频宽的总线所阻碍;二是通信线路所具备的传输数据的能力强弱。总的来说,带宽就是网络信息的传输速率,指的是每秒传输的最大字节数,体现的是网络系统每一秒处理字节的多少,高宽带就说明系统具备高字节处理能力。宽带是总线、内存、显示器、传感器等设施重要参数之一,是网络系统无形资产。
2.2 带宽不足问题的产生。由于互联网给人们生活、工作带来极大的便利,使得我国宽带用户长期持续地增加,这样就造成网络主干系统信息流量的复杂性。网络信息爆炸性的发展更加剧系统流量复杂化趋势,其非线性增长带给主干网络巨大的压力。还有DOS/DDOS恶性攻击、时常出现的大范围网络病毒、网络各种垃圾邮件的频频困扰等网络问题给网络正常运行造成严重阻碍。这部分不正常的网络信息流量既占用大范围的带宽空间,又长久持续地消耗着计算机CPU、内存等网络设施的系统资源。因此,采取有效对策对网络系统流量实施动态监测,并对监控结果开展深刻研究分析,并及时收集、整合、存储信息,生成资料,编制带宽管理方案,借以确保学校网络运维工作的顺利开展。这种处理网络异常信息的需求越来越受到更多网络运行商的青睐,逐步成为信息安全行业中新话题、新热点。
3 带宽资产管理形成的动因
由此可见,带宽不足的问题已经让网络运维进入一个长期困境,将会成为网络疏通、网络安全、信息安全、网络防护等工作的处理难题。由于当前网络运行环境具有脆弱性的特点,这就使得高宽带更能发挥其良好的使用价值。对于网络运行商而言,在不断提高带宽承载能力的同时,还应采取科学有效带宽管理措施,来保证网络系统高效、快捷地运行,这正是现在学校网络运维的新课题。就当前的形势来讲,不少网络监控审计系统选取按照已知的攻击行为特征来研究分析网络安全问题的方法,并不能有效对未知攻击行为作出相应的识别以及监管,使得原有的网络安全设施在网络技术应用日益复杂的今天不可避免地产生局限性。这种局限性主要体现在以下方面:一是原有带宽控制系统的局限性;二是网络线路串联式过滤系统的局限性;三是并联式检测系统的局限性。所以,为破除网络安全装置的局限性,使得网络运维工作持续、高效地运转,就应该应用先进的带宽管理技术。
网络安全运维技术范文3
近日,记者了解到,江苏移动呼叫中心作为一个典型的电信行业大型网络用户,正在努力进行“捞针”的工作。它试图在其拥有的大约1000~2000台终端、超过200 台服务器的网络中,全面消除异常流量和应用层漏洞,保障企业的网络稳定和应用安全,从而给客户带来更好的用户体验。
传统IDS力不从心
据了解,江苏移动呼叫中心为了保障业务的正常运营,突出网络的稳定性和安全性需求,投入巨大:所有的链路、核心层、汇聚层设备都是双冗余设计,建立备份中心并在边界增加多级防火墙设备,同时为了防止病毒在内网交叉感染,该中心在客户端部署了防毒软件,并购置了多台IDS (入侵检测)设备来保护其办公网络。
然而,这些防护措施并没有减轻该中心IT运维人员的工作量,随着终端和安全设备数量的不断增加,带来IT运维管理难度的大幅增加。此外,传统的IDS面对电信行业的大型网络明显力不从心。由于无法满足数据流量巨大、网络覆盖范围和结构复杂带来的需求, IDS的误报和漏报问题开始显现出来。
“由于我们的网络存在着庞大的客户端和服务器资源,网内高危漏洞监测的工作量极大,ERP、OCS、CRM、BSS、MSS 以及高清视讯等多域环境随时可能遭受到来自内部威胁的攻击。”江苏移动呼叫中心负责网络安全、不愿透露名字的王先生指出,“内网终端威胁不断变化,因此,传统的IDS 厂商必须为不同的业务平台开发不同的程序,这样这些威胁就可能造成进一步恶化。虽然构建了铜墙铁壁的,但内部威胁一旦未被发现并升级为‘事故’,全副武装的网络也抵挡不住病毒和恶意代码的攻击。”
快速准确找到漏网之鱼
为了迅速消除网络中的安全隐患,防患于未然,江苏移动呼叫中心邀请了数个网络安全厂商提供解决方案,并加入实地测试。据王先生介绍,在严格的测试环境中,一批“串”路的安全设备由于无法胜任该中心的大通信量负载而败下阵来,而在随后的实际环境试用中,很多厂商的产品由于无法做到第一时间预警最新的木马和变种病毒并且无法构建该中心的网络安全整体视图而被淘汰。
“最后,我们根据综合测试结果选择了趋势科技的威胁发现设备TDA 6000,它集成了云安全技术、旁路设计并可检测应用层潜在威胁,帮助我们将威胁消灭在萌芽,为呼叫中心的业务发展提供了充分的安全保障。”王先生介绍。
在试用过程中,王先生和趋势科技的工程师一起对TDA 6000的HTTP访问恶意代码检测、P2P会话流量管理、蠕虫漏洞扫描等非法流量检测功能都做了模拟攻击测试,而对于这些威胁的来源定位,TDA 基本上可以做到“秒”级的预警。
此外,由于它集成了趋势科技云安全中的“多协议关联分析技术”,可全面支持检测2~7层网络的恶意威胁。TDA 可通过“数据包”和“会话”视图对网络内的主机通信数据进行自动关联分析,即从云端数据库进行比较,自动将占用网络带宽的应用和造成网络通信拥塞故障的信息建立威胁关联。
“TDA 的严格控制功能也弥补了江苏移动呼叫中心之前部署防毒软件的不足。比如 Web病毒、跨站木马、视频嵌入恶意软件、非法流量、DNS劫持等尚未形成交叉感染的潜在威胁,在我们应用TDA之后,就可以从海量的数据流中迅速找到被防火墙放过来的漏网之鱼。”王先生补充说。
提升安全评估和运维效率
事实上,江苏移动呼叫中心对TDA的应用,不仅实现了全面的威胁侦测,还同时简化了运维管理,减少了运维人员的工作量,从而降低了运营成本。
据了解,江苏移动呼叫中心的网络经过了几次重大的融合和升级,拥有较为复杂的网络结构和庞大的终端数量。王先生介绍,最终部署在该中心核心交换机上并执行网络全面覆盖的TDA,为该中心的网络安全评估和主动安全运维效率两个方面带来了极大的提升。
一方面,TDA实现了动态的网络安全评估,将策略转化为行动。在部署TDA 之前,江苏移动呼叫中心已经对外网出口和各级网关设备进行了严格的安全评估工作,在使用TDA 之后,内网的安全评估(主要是威胁评估)完全交付给TDA 去自动执行。
首先,TDA 无须安装程序便可自动对服务器和终端进行动态的监测,这大幅节省了运维人员为每台终端安装端的工作。其次,TDA可通过报表的形式显示客户端的即时通信(IM)、P2P 文件共享(BT)、流媒体以及未授权服务如SMTP中继和DNS欺骗现象,这是其他IPS(入侵防御)和IDS产品无法相比的。
“对于我们这种电信行业的大型网络而言,TDA自动形成映射全中心安全形势的总体视图的强大能力,让我们非常受用。在日常工作中,TDA已经成为我们网络的‘策略执行中心’,它不但能够及时发现网络环境中的安全威胁,还能够将这些威胁转化为详细的处理措施并进行落实。”王先生说。
另一方面,TDA让安全运维变被动为主动,运维水平大幅提升。据了解,江苏移动呼叫中心一共有十几位负责IT 运维的工程师,但要应对数千台客户终端、200多台服务器的运维需求。
在部署 TDA之前,IT 运维部门只能在用户电话或者邮件通知后才能发现系统已经遭到病毒入侵的踪迹,这样的IT运维总是处于亡羊补牢的状态。Web 病毒、木马、邮件病毒、个人主机漏洞、移动设备交叉感染等时常搞得IT 部门无从应对。
网络安全运维技术范文4
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
网络安全运维技术范文5
随着信息化建设的不断推进,信息化相关制度需要不断修改和完善,2013年我们要继续建立和完善财政信息化建设管理制度,积极落实各项工作制度,强化管理。
二、建立机房安全管理体系
我们根据省市信息化考核要求对我局机房进行改造,特别是安装了气体灭火系统及环境监测软件系统,从硬件配置和软件管理方面加强建设。2013年,我们将进一步加强机房安全管理体系建设,充分发挥环境监测软件系统的功能,强化人员管理,建立起安全高效的机房管理体系。
三、建立完善运维管理体系
信息化技术越来越深入的融入财政管理工作的方方面面,信息化建设在向更深层次发展,不仅要保障日常业务工作的正常运转,更重要的是要做好信息化运维管理工作,从网络、服务器、应用系统、维护等方面需要加强运维管理,做好日常各项工作的运维记录,提升信息化管理水平。
四、加强网络安全管理
加强我县金财专网安全管理,在网络系统中全部部署杀毒软件,对外部接入网络如乡镇财政所、银行等需经过防火墙进入我局内外系统。加强网络安全防范,及时升级杀毒软件及病毒库,加强对安全网关及EPS内网安全管理系统的监测。不断优化我局网络结构,加强网络安全管理。
五、加强网站建设
2013年我局将继续加强外网网站建设,完善网站信息,及时更新内容。同时要加强内网网站建设,网站模块要有组织机构、部门职能、财政业务系统介绍、政策法规、工作动态等栏目。有网站信息流程,网站有专人进行管理。
六、强化培训,提升技术水平
加强专业技术培训,注重将技术培训和实际工作相结合,开展有针对性的培训,强化技术。同时要加强财政业务学习,提升综合业务水平。
七、完善信息整合系统
经过这几年的发展,我局的信息整合工作取得了一定的成绩,在2013年还有几项工作需要完善,要更新数据库,将各项业务的新数据导入2013年数据库;进一步研究需求,完善信息整合系统的查询报表模块;继续完善税源普查系统。
八、加强信息公开
网络安全运维技术范文6
【关键词】电力系统;综合数据网;运维管理
0 概述
电力综合数据网对电力系统高效运作有着不可预见的推动作用,正如电力是国民发展的能源基础行业,电力综合数据网管理也是架构信息化电力系统管理的基础平台。电力综合数据网虽然优点突出,但弊端也是显而易见的。因此,为推动电力系统高效、有序运行,探讨电力综合数据网运维管理成为电动系统设备研究中必不可少的一部分。
1 电力综合数据网的特点
电力综合数据网由两个独立的数据网络构成――电力调度数据网和电力综合业务数据网。电力综合数据网络是为电力行业的信息化管理而服务的传输网络。主要具有以下三方面的特点:
1.1 网络覆盖广
随着电力企业设备管理水平的不断提高,电力企业应用各类信息管理系统进行日常生产管理,而综合数据网作为信息化业务的基础平台,覆盖电力系统所有厂站、营业收费厅、办公楼等生产营业场所。
1.2 设备管理智能化
由于电力综合数据网的设备化管理,管理人员通过设备性能参数的变化及时了解设备运行状态,有故障发生时,系统设备能够及时给出预警信号,方便设备维护人员尽快做出相应的措施。
1.3 网络运维要求高
电力综合数据网对电力系统发展具有重要意义且优点突出,但由于其承载了不同安全等级的信息系统业务,网络安全性对于数据网的运行至关重要,需要采取措施加强网络安全性。此外,综合数据网全网规模庞大,涉及范围大且不易轻易更改,一旦内部人员的操作失误,某一个小范围的变动都有可能引起全网瘫痪。因此,电力综合数据网对网络安全机制、稳定性要求特别高。
2 影响综合数据网运维管理的因素
一个电力企业发展的基本原则是保证电力设备安全高效的运行。在规划管理的基础上,充分运用现有的技术手段,适当配置电力设备,提高设备利用效率是电力企业发展的基本要求。基于以上的现状分析,目前影响电力系统综合数据网运维管理开展的因素主要有以下三方面:
2.1 技术管理手段不强
随着电力企业的发展,综合数据网网络覆盖范围不断扩大,网络设备数量不断增多,网络结构也越来越复杂,各种不同类型的接入设备也越来越多,网络流量不断增大,网络行为也变得越来越复杂,这些因素都导致综合数据网网络运维管理的难度和要求越来越高。而在实际管理过程中,缺乏有效的技术手段支持,仅靠有限的几个管理人员进行管理和维护,管理工作非常繁重且困难。这严重影响电力数据网的既定效率。为了提高电力系统的运作效率,加强电力数据网管理设备配置是必须的。如流量监控设备、网络设备操作审计设备的安装。
2.2 管理人员技术落后
电力综合数据网设备运行维护内容主要包括定期检测、故障处理、日常巡视和设备验收四类工作。要培养出全面的管理人才所需周期长,从事电力综合数据网管理人员需要有较强的专业性及长时间的工作经验。管理人员由于掌握了电力系统中比较复杂、关键的技术,在工作中发挥着比较重要的作用。若人员变动频繁,不能保证管理人员整体业务水平的连续性。
2.3 数据信息分享平台欠缺
由于电力综合业务数据网承载了各类信息化业务,日常运维中,存在PC机、网络设备、安全防护系统、业务系统服务器等诸多维护界面,需要协调与配合的部门较多,网络维护部门应该将运行维护日常工作及任务流程化和自动化,与其他相关系统用户实现部分管理信息共享。如XX电力企业通过统一信息平台,实时最新综合数据网运行情况拓扑图,并提供自助网络测试等功能,进而为综合数据网运行维护提供透明化的整体网络运维管理。
3 综合数据网运维管理的发展前景
随着网络信息的不断发展,电力行业也加强了网络信息化的建设力度。电力综合数据网主要依靠网络设备和网络架构的可靠性,其高效管理以及安全运行是网络系统和业务系统正常运作的关键。目前,由于综合数据网网络系统的结构复杂、规模庞大且承载业务种类多,因此,建设综合管理平台将是综合数据网发展大势所趋的方向。
3.1 加强技术管理手段
加强技术管理手段对提高综合数据网的运维管理效率至关重要。如部署网络流量监控设备能及时观察网络性能的好坏,综合数据网网络流量的有效控制是确保网络稳定、高效运行的基础,尤其是对综合数据网的设备互联端口进行流量监控,能帮助判断网络故障及网络安全等状况。部署网络设备操作审计设备能加强网络设备管理的安全性,可以实现网络设备动态登陆口令,有效减少网络管理人员定期修改全网设备口令工作量,提高工作效率的同时加强了网络系统的安全性,而且还可以对全网网络设备操作行为进行监控和回放,防止恶意修改,协助误操作和故障分析。通过加强各种技术手段,保证综合数据网络设备的正常运行,一方面减少小故障引起连环事故的发生;另一方面减少设备大范围的损坏和维修次数,同时也减少设备维护的费用。
3.2 加强综合数据网运维人员的素质培养
对电力综合数据网运维人员进行培训,让他们具备熟练使用和维护系统的能力。由于电力通信系统装置的不断更新换代,数据网运维人员继续学习也是非常重要的。但由于通信系统工作的特殊性,运维人员工作一般任务繁重,没有足够的时间进行后续培训和学习深造。因此,电力系统相关机构应该做出适当的调整,创造更多的培训和学习机会给运维人员,提高他们的业务水平。特别是有新型设备更换时,应组织一部分运维人员进行专项技术研讨和学习,保证相关人员充分掌握该设备的原理、功能、特点以及运行过程中需要注意的事项等,为设备稳定高效地运行做好充分的理论准备,促进电力企业的发展。
3.3 加强信息共享措施
建设数据信息分享平台,通过信息平台与网络管理系统建立链接,实时综合数据网运行情况拓扑图,各网络节点的用户可以随时登陆查看所在位置的网络运行情况。并在系统中向用户提供IP地址查询、MAC地址查询、网络稳定性测试、网速测试等功能,通过上述措施加强与综合数据网用户的互动,进而为综合数据网运行维护提供透明化的整体网络运维管理。
4 结论与展望
电力综合数据网为实现各类信息管理的高效化,进一步提高电力系统可靠性提供了网络平台,在变电站的运行中具有极其重要的作用。电力综合业务数据网是电力企业必不可少的保障手段,是电力系统运行的关键,该网络系统的完善度、先进性、安全性都直接关系着电力系统的运行。电力综合数据网运维管理并不单单需要理论知识,还需要电力企业针对自身的特色,采用有效的方法、配置适当的电力设备等,及时掌握网络资源分享信息、业务流程、电力设备运用等实用信息,以及设备运行状态、业务部署、数据综合处理等电力设备状态情况,能够大大提升电力综合数据网的管理效率。只要我们正视电力综合数据网运维管理中出现的各种问题,积极拟定改进措施并实施,就能促进电力企业安全生产,并进一步提高供电服务满意度,适应社会对用电可靠性要求日益增高的形势。
【参考文献】
[1]卢江水.调度、变电与配电自动化系统关系的综述[J].北京电力技术,2009(02).
