前言:中文期刊网精心挑选了网络安全等保解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全等保解决方案范文1
三晋系一网
山西省电子政务外网工程是我国电子政务应用的试点工程,此工程需构建省直城域网、省到市传输网,实现60个省直厅局与省政务外网的连接,贯通政府业务部门中央到省的安全保障信息通道,真可谓是“三晋系一网”。由于涉及国家政务信息化安全,因此其要求非常“苛刻”,一些中小服务器厂商根本不敢问津,曙光作为服务器行业的领军品牌,对电子政务平台搭建有丰厚的经验和技术,挑起大梁,责无旁贷。山西省电子政务外网一期工程为建设覆盖全省各级政务部门的网络平台、应用支撑平台、信息交换平台、安全保障体系和服务体系,实现各级政务部门的互联互通、信息共享、数据交换和业务互动。为省电子政务综合门户网站和各级政务部门网站提供网络安全支撑;为各个业务应用系统的运行提供支撑;为实现跨部门、跨地区的信息资源共享创造条件,促进业务系统的互联互通和信息共享,提高政府的监管能力、服务质量与政务信息化水平。曙光高端四路服务器可以大幅度提RAS特性的高级内存RAS功能、集成SAS RAID、热插拔PCI I/O槽,以及强大的管理特性和内部扩展特性。其极好的扩展特性和可靠性的高性能服务器,非常适用于山西电子政务一期工程对服务器性能、可扩展性及可靠性的苛刻要求。其在系统散热、能耗利用率和计算密度间达到了平衡,也满足了山西省电子政务外网建设体现节能环保的精神。
山西省政府一直把电子政务工程当作重中之重,无论从工程规模还是担负的工作上来说,“三晋系一网”毫不过份。而曙光凭借其服务器,有实力有底气攀登山西省电子政务工程这一“险峰”。
九大性能需求,十分安全保障
由于山西省电子政务一期工程的特殊性,曙光满足其九大性能需求:其一实用性,采用曙光成熟的服务器技术,以整体服务器解决方案供应商的角色,提出切实可行的系统工程解决方案。其二先进性,曙光所提供的技术在国内具有的先进性,并以其创新精神,为新技术的应用提供了兼容性极强的产品。其三可扩展性,曙光服务器具有升级和扩展能力,提出的系统解决方案满足该系统业务发展的需要,方便扩大网络覆盖范围和网络容量;系统中配置的设备便于维护和扩充,并具有支持多种物理接口的能力;提供的设备和软件可轻松升级和扩展。其四开放性,曙光服务器遵循国际标准,支持多种网络协议,实现系统间互连。其五经济性,系统的配置充分考虑性价比,定制最优化的技术方案。其六可维护性,曙光的系统具有简单、方便的维护和管理手段及流量统计等功能,并减少了维护和管理环节。其七可靠性与其八可用性,曙光服务器以其可靠性和可用性在各行业赢得不少口碑,山西省电子政务一期工程采用的曙光高端四路服务器仍然延续了曙光服务器的优良传统。其九系统安全性,山西省电子政务外网的网络为与国际互联网逻辑隔离,曙光服务器设计了具有不同级别的安全运行管理措施,具有防止非法访问、记录全部登录过程、提供安全日志的功能。
除了满足九大性能需求外,曙光天阔I840r-H服务器还担负着网络安全重托:保障政务外网与互联网的逻辑隔离;保护政务外网不因拒绝服务攻击而瘫痪;保护政务外网不因病毒和恶意代码而导致瘫痪和信息泄露;保护安全域间数据传输的安全;为山西省政务畅通提供稳定的服务和十分安全保障。
为了提高系统运行维护管理水平,减少人员频繁进出机房,减少键盘、鼠标显示器的数量,体现节能和环保的要求,曙光配备了高性能的KVM机房设备。通过KVM设备使机房所有的设备都可以到网络/环境监控中心进行管理和配置,实现远程监控。综合考虑KVM系统需求,拓扑结构如下:
政务维通途
网络安全等保解决方案范文2
【 关键词 】 工业控制系统;基础设施安全;安全隔离网关;边界防护
1 引言
“两化”融合的推进和以太网技术在工业控制系统中的大量应用,引发的病毒和木马对工业控制系统的攻击事件频发,直接影响公共基础设施的安全,其造成的损失可能非常巨大,甚至不可估量。而在工业控制系统中,工控网络管理和维护存在着特殊性,不同设备厂家使用不同的通信协议/规约,不同的行业对系统网络层次设计要求也各不相同,直接导致商用IT网络的安全技术无法适应工业控制系统。
2 国内工控安全现状
2.1 信息化建设的趋势
过去10年间,世界范围内的过程控制系统(DCS/PLC/PCS/RTU等)及SCADA系统广泛采用信息技术,Windows、Ethernet、现场总线技术、OPC 等技术的应用使工业设备接口越来越开放,企业信息化让控制系统及SCADA系统等不再与外界隔离。但是,越来越多的案例表明,来自商业网络、因特网、移动U盘、维修人员笔记本电脑接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全,对基础设备造成破坏。
2.2 以太网及协议的普及
目前,市场上具有以太网接口和TCP/IP协议的工控设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷,促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中,应用较为广泛的工业以太网之一是德国西门子公司研发的PROFINET工业以太网。
施耐德电气公司推出了一系列完整、以TCP/IP 以太网为基础、对用户高度友好的服务,专门用于工业控制领域。自1979 年以来, Modbus 就已成为工业领域串行链路协议方面的事实标准。它已经在数以百万计的自动化设备中作为通信协议得到了应用。Modbus 已经得到了国际标准IEC 61158 的认可,同时也成为了“中国国家标准”。通过Modbus 消息可以在TCP/IP 以太网和互联网上交换自动化数据,以及其它各种应用( 文件交换、网页、电子邮件等等)。
如今,在同一个网络上,无需任何接口就可以有机地融合信息技术与自动化已成为现实。
2.3 国产化程度
随着工业控制系统、网络、协议的不断发展和升级,不同厂商对于以太网技术也在加速推广,而国内80%以上的控制系统由国外品牌和厂商所占据,核心的技术和元件均掌握在他人手里,这给国内的工业网络安全形势,造成了极大的威胁和隐患。
目前,在国内工控领域应用比较多的是通用网闸产品和工业安全隔离网关产品,用于工控企业控制网和办公网的物理隔离和边界防护。由于国内重要控制系统有超过80%的系统都使用的是国外产品和技术,这些技术和产品的漏洞不可控,将给控制系统留下巨大的安全隐患。而国内通用IT网络与工业控制网络存在巨大差异,通用IT的安全解决方案无法真正满足工控领域的需求,工业控制系统的安全威胁,一触即发。
2.4 软、硬件的漏洞
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞,但这些漏洞可能被黑客或恶意软件利用。
由于早期的工业控制都是相对独立的网络环境,在产品设计和网络部署时,只考虑了功能性和稳定性,对安全没有考虑。经过测试,很多支持以太网的控制器都存在比较严重的漏洞和安全隐患。
2.5 病毒攻击的发展
国外典型工业控制系统入侵事件。
* 2007 年,攻击者入侵加拿大的一个水利SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机。
* 2008 年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4 节车厢脱轨。
* 2010 年,“网络超级武器”Stuxnet 病毒通过针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营。
* 2011 年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。
* 2011年,Stuxnet 变种 Duqu, 有关“Duqu”病毒的消息是在10月出现的。 “Duqu”病毒似乎专为收集数据而来,其目的是使未来发动网络袭击变得更加容易。这种新病毒的目的不是破坏工业控制系统,而是获得远距离的进入能力。
* 2012年,肆虐中东的计算机病毒“火焰”日前现身美国网络空间,甚至攻破了微软公司的安全系统。
3 工控安全与通用IT安全的区别
3.1 协议区别
比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。
黑客可以很轻松的获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。
3.2 成本及影响对照(如图1所示)
4 工控安全防御方法建议
4.1 白名单机制
白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。
“白名单”安全机制是一种安全管理规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份,未经授权的行为将被拒绝。
4.2 物理隔离
网络物理隔离类技术诞生较早,最初是用来解决网络与非网络之间的安全数据交换问题。后来,网络物理隔离由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门,其主要功能支持:文件数据交换、http访问、www服务、ftp访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业控制领域,网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能,因此更适合于控制网络与办公网络,以及控制网络各独立子系统之间的隔离。其主要特点有几种:
* 独立的运算单元和存储单元,各自运行独立的操作系统和应用系统;
* 安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议;
* 工业通信协议,OPC/MODBUS/60870-5-104/等;
* 与信息层上传数据时,可实现断线缓存、续传;
* 实时数据交换,延时时间小于1ms;
* 访问控制;
* 身份认证;
* 安全审计与日志管理。
4.3 工业协议深度解析
商用防火墙是根据办公网络安全要求设计的一种防火墙,它可以对办公网络中传输使用的大部分通用网络协议(如http、ftp等)进行完全包过滤,能给办公网络提供有效的保护。但是,对于工业网络上使用的工业通信协议(如Modbus、OPC等应用层协议)的网络包,商用防火墙只能做网络层和传输层的浅层包过滤,它无法对网络包中应用层数据进行深层检查,因此,商用防火墙有一定的局限性,无法满足工业网络的要求。因此,自动化行业内迫切需要一款专用于工业网络的工业防火墙,可以针对工业通信协议进行有效的过滤检查,以保证工业控制系统的运行安全。
4.4 漏洞扫描
工信部在“451”号文以后,开展了全国各地的工控系统安全调研活动,对文中所涉及到的各行业发放了调查问卷。在实际工作中,我们了解到,各地工信部、委和央企信息中心在落实工作的过程中,缺少对工控系统的了解和培训,不敢轻易对工控系统进行调查、检测等操作。因此针对工控领域的第三方的权限设备和技术,将有效解决该问题。
4.5 云管理服务平台
构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基线建设,兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。
安全管理私有云服务平台的建立要求包括:
* 方便地对整个系统里所有安全设备模块、控制器和工作站,进行部署、监控和管理;
* 规则辅助生成,指导用户方便快捷地从权限、授权管理报告中,创建防火墙的规则;
* 自动阻止并报告任何与系统流量不匹配的规则;
* 接收、处理和记录由安全模块所上传的报警信息;
* 全网流量收集识别能力;
* 基于白名单的终端应用控制能力;
* 实时ICS 协议与内容识别能力;
* 异常行为的仿真能力;
* 可视化配置、组态;
* 安全事件搜索、跟踪和预处理能力。
5 结束语
随着以太网技术在工业控制网络的应用,以及国家对“两化”整合的继续推进,未来的工业控制系统将会融合更多的先进的信息安全技术,如可信计算、云安全等,信息安全成为关系政治稳定、经济发展的重要因素,本文介绍了在工业控制系统安全中采用的技术手段和策略,与此同时,还需不断加强对工业控制领域的整体安全部署,完善和提供整体的安全解决方案。
参考文献
[1] DRAFT Guide to Industrial Control Systems (ICS) Security.
[2] 王聪.工业网络安全(Security).来源:e-works, 2012-3-8.
[3] 工业以太网在实际应用中安全对策解决方案.来源: ducuimei.
[4] 施耐德Connexium工业以太网产品目录及参数.
[5] 2011年我国互联网网络安全态势综述 CNVD.
[6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议. 信息网络安全,2012.8.
[7] 刘威,李冬,孙波.工业控制系统安全分析.信息网络安全,2012.8.
[8] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究.信息网络安全,2012.5.
网络安全等保解决方案范文3
【关键词】云计算 威邦 分布式系统 云安全
1 引言
云计算已经不可逆转地成为IT变革的大趋势[1]。海量信息、低存储成本和节能环保驱动的云计算被称为第四次IT产业浪潮,国家“十二五”规划将云计算列入重点关注项目。
杰赛科技早在2008年就将云计算作为公司战略产品重点发展并组建研发团队。从2010年第一个版本至今,杰赛科技旗下威邦云产品已形成桌面云、云操作系统、云存储、云终端、云安全和SaaS服务产品系列,是目前国内外具备最完整自主知识产权产品链的云产品综合提供商之一。
本文以威邦云操作系统为基础,阐述一个安全、高效的云操作系统的设计理念和设计模式。下面将从架构和功能组合、桌面云技术、平台的安全特征以及标准和专利战略等方面分别进行说明。
2 架构和功能组合
威邦云帮助客户建立统一的数据中心,将计算、存储、网络资源统一管理,按需分配,并降低维护费用和整体能耗。
威邦云操作系统采用节点管理、集群管理、云控制器三层分布式架构,在提供高性能计算的基础上,具有灵活的系统扩展性,使系统规模随用户需求增长而增长。威邦云操作系统架构(见图1)在Vebula Linux Server之上,采用KVM提供处理器底层虚拟化技术,结合DataBase、MessageQueue形成物理资源管理接口层。在此之上,构建计算资源管理、存储管理、网络管理模块,向上提供统一的资源管理调度功能。在基础平台之上,威邦云构建用户管理、平台管理、终端管理、工作流管理、计费管理、监控管理、权限管理模块,提供云平台管理功能。
威邦云在功能组件之上,提供基于Web的桌面管理和平台管理系统,用户使用图形化的管理界面进行云管理和维护。
围绕云平台,威邦云不断完善功能组合。威邦云监控产品实时获取物理和虚拟节点性能数据,通过图表展示云系统整体运行状态,发生错误自动报警,并为客户不断优化的系统配置提供数据支持;网络模块不断完善,发展出细粒度的IP管理、流量管理、安全组策略、子网划分功能;软件自动部署提供强大的虚拟机软件管理功能,实现静默软件安装、用户行为控制、软件黑白名单设置等功能。
威邦的核心对外提供标准的API(Application Programming Interface,应用程序编程接口),使得客户使用威邦的核心可以定制出符合各自需求的业务系统。威邦在业务系统层面也完成了很多模块,并提供API,客户可以直接根据这些API来定义业务流程。
3 桌面云技术
桌面云为用户提供与传统PC难以区别的虚拟桌面。如何提高VDI(Virtual Desktop Infrastructure,虚拟桌面基础架构)协议的性能是各大桌面云供应商增强虚拟桌面整体性能的关键。重要的云供应商纷纷推出自有的VDI协议,如微软的RemoteFX、VMware的PCoIP、Citrix的ICA/HDX。
威邦桌面云系统成功攻克了虚拟化管理系统、云终端、桌面传输协议、云安全等领域的大部分关键技术,研制的Vebula-Fit云终端桌面传输协议使云桌面的各项性能指标达到国际国内的领先水平,不仅支持Windows、Linux各主流版本,还支持多种USB设备,如USB Key、U盾、移动硬盘、U盘等。由于采用独特的动态调整压缩算法,更实现了用户操作零延迟、媒体流畅播放等较好的用户体验。同时,平台还在不断优化协议实现时的压缩算法,借助软硬件的能力的提升,不断改进用户桌面使用的体验。
4 平台的安全特征
云安全的问题一直是云计算平台获得广泛应用的一个瓶颈[2-3]。威邦云平台在提供安全的云环境上做了很大的努力。平台实现了完整的证书体系,是实现模块之间信息交流的认证,这种方式可以屏蔽不受信任的资源在系统之内。系统使用加密的镜像保护用户数据安全,在网络中隔离不同用户的网络通道。同时,整个平台有一个独立的用户认证和授权模块,实现用户的单点登录和统一管理。云平台定义统一完整的日志系统,用于整个系统的安全审计。
5 完善的整体解决方案
威邦云不仅提供了云平台,更提供了从硬件到软件、从计算到存储的一整套服务器虚拟化和桌面虚拟化解决方案,如图2所示。云终端形成了高低搭配的产品系列;存储支持NAS、IP-SAN和FC-SAN,提供了集中和分布的各种存储解决方案[4];同时,网络可以提供用户的定制,实现完整的IP管理和流量管理[5]。一体式云机柜可为用户提供一站式快速部署。
威邦云解决方案已成功服务政府、教育、企业、工厂等多个行业客户,受到客户的广泛认同。
6 专利组合和标准
云计算技术是一种新的架构和模式,传统的生态已经打破,新的生态正在形成。将逐渐成熟的技术纳入标准,是整个云计算生态发展的关键。
威邦云作为自主知识产权的云系列产品,从诞生第一天开始就直面国际IT巨头的竞争。杰赛不断加大研发投入,特别重视关键技术积累,通过专利组合不断提升综合竞争力、构建产权保护。威邦云针对认证登录、安全接入、资源调度、网络隔离、动态迁移等多个关键技术点提交专利申请,截至2012年已有33项专利被受理,其中21项被公示。
同时,威邦云也力求突破。杰赛威邦云研发团队已完成制定技术和应用标准2项,《基于云计算的电子政务信息安全指南》、《基于云计算的信息系统安全测评基本要求》为我国电子政务云实施过程中的安全性提供了有力的标准支持;提交的国际标准提案《云计算技术目录》引起国际广泛关注。
7 未来之路
云操作系统是一个面向大规模资源的分布式系统,其未来必然会随着应用的日益深入、技术的发展而不断变化。在将来的工作中,Vebula云平台会提供更强的安全特征来实现对用户隐私的保护。同时,在网络层,新的基于SDN(Software Defined Networking,软件定义网络)架构也正在开发中,未来的网络会具备更完善的自主性,并增加更多的网络安全特征。
参考文献:
[1] Armbrust M, Fox A, Griffith R, et al. A View of Cloud Computing[J]. Communications of the ACM, 2010,53(5).
[2] Sean Carlin, Kevin Curran. Cloud Computing Security[J]. International Journal of Ambient Computing and Intelligence, 2011,3(1).
[3] Jon Brodkin. Gartner: Seven cloud-computing security risks[EB/OL]. (2008-07-02) [2012-02-16]. http:///d/security-central/gartner-seven-cloud-computing-security-risks-853.
网络安全等保解决方案范文4
Abstract: Aiming at the network security architecture, make a research and analysis; based on expounding the network security architecture, introduce the content of network security architecture design, and ensure the network security, so as to provide a more stable service for people.
关键词: 网络安全;结构体系;设计要点
Key words: network security;structural system;design points
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2017)03-0080-02
0 引言
信息技术的快速发展,使计算机网络的连接形式变得更加多样化,而网络本身又具有开放性和互联性,终端的分布具有不均匀性,在这样的背景之下,计算机网络在具体运行过程中容易遭受黑客攻击,不仅会影响用于在具体应用过程中的安全性,而且会导致用户的信息发生泄漏,并且会伴随着较为严重的经济损失,因此构建网络安全体系势在必行。
1 网络安全体系结构
一般来说,网络安全体系设计过程分为以下四步:①网络安全策略定义。②网络安全需求分析。③网络安全设计。④网络安全实现。设计模型图如图1所示。
从现代网络的具体应用情况来看,从高级安全需求分析渗入到具体执行上,两者之间存在的一定差距[1]。从高级策略不断发展,最终形成了一个结构和功能复杂的系统,部分组件可能会呈现出不一定特性,将会引起错误的执行需要的安全策略,引起危险的失误和安全漏洞。
1.1 安全策略定义
详细的描述安全策略定义,该过程中的最终目的是能够为网络的正常使用提供有效的支持,同时需要相关研究人员注意的是,在分析网络安全系统过程中,应当与其领域的科学结合,从而使其适应性能够得到进一步提高。例如,操作安全、人员安全、物理安全、社会机制等多项内容。该过程通常依据对企业中存在的风险进行分析,并且需要将高级安全策略和控制作为整个操作的主要依据,最后通过自然语言描述控制文档和网络安全,这也就是我们常说的高级安全策略。
1.2 安全需求分析
安全需求分析是网络安全体系结构设计的第二步,其是上一步高级安全策略形式内容的具体描述。通过大量的实践可以发现,通过形式化完成对高级安全策略的具体描述可以具有诸多优点,主要体现在以下几个方面:通过分析可以全面细致的完成对冲突的检查,同时也可以将高级策略中的模糊描述消除[2]。曾有学者提出,通过行形式化方法对高级安全策略进行处理,并且取得了不错的效果。
2 网络安全设计的具体内容
2.1 设计的目标
现代网络的快速发展与应用,一方面使人们的生活和工作变得更加便利,另一方面也增加了安全隐患,人们在生活与工作中利用网络的同时必须加强对安全问题的思考。随着人们网络安全意识的不断提升,人们在应用网络中,加强了对网络安全设计的研究与分析。
2.2 体系结构设计
安全体系的构建要依据安全需求的具体情况而定,只有这样才能使最终所设计的系统与实际情况相符。在设计过程中,依据OSI模型中各个层之间存在的依赖性,安全方面的需求,从逻辑角度出发,科学的将安全内容细致的分到不同层中。具体内容如下:
①物理层:该层在信息安全上存在的问题主要集中在,物理通量受到非法窃停和干扰等,从而会对物理层的性能造成不良影响。
②链路层:该层的主要作用是确保通过链路层所传送的信息,在传送过程中不会受到外界的截取。在具体操作过程中采用方式为划分局域网、远程网等手段[3]。
③网络层:该层的作用是避免网络服务被非法人员使用,通过网络层的有效控制,使得只有授权的客户才能够享受到相应的服务,通过该方式可以确保网络路由的正确性,提供了网络层的安全性,有效地避免了数据被监听。操作系统,保证资料和访问控制的安全性,同时在操作过程中,要对系统中涉及到的内容进行审计,审计工作要依据相关的标准进行,确保最终审计结果的合理性,有效地避免安全问题的发生。
④应用平台与应用系统。前者指的是应用软件服务,目前比较常见的有数据库、电子邮件服务器等,通过分析不难发现,应用平台中的系统的结构复杂,应用相对说比较繁琐,为了提高应用平台的安全性,通过需要通过多种技术完成,比较常见的技术有SSL;后者的作用就是为用户服务,系统的安全与设计实现两者之间的联系十分紧密。通过科学的方式应用系统,能够为应用平台提供全服务得到相应的保护。
2.3 安全策略的设计与实现
安全策略的设计与实现是网络安全体系结构设计过程中的第一步,该过程的主要目的是确定科学的安全策略。但是,在具体应用中,受各方面因素的影响,计算机网络配置与部门两项内容在具体操作过程中会发生改变,而这种改变通常都是不可控和不可预知的,这也就直接导致了安全需求也会发生改变,并且该变化通常都比较明显,会引起一系列的变化。由此可以判断,网络安全自身并不是静止不变的,因此要不断调整和完善安全策略内容。企业在具体运用过程中要想获取理想的经济收益,就必须要确保具有一个科学的安全策略,并且要按照规范的要求执行。安全策略在企业中的应用,需要能够全面、清楚识别存在风险的资源,并且要依据企业和其所处的具体环境给出合理的环节威胁的具体方法。该策略的核心问题是对系统中的哪一个用户可以访问哪一种资源进行定义,从而避免资源被非法访问而引发安全问题[4]。需要注意的是,需要做好对审计跟踪用户进行定义,同时需要帮助用户对出现的伤害进行识别,并且要及时做出相应的响应,避免危害进一步扩大,造成更大的影响。
安全策略管理要需要包含所有的安全组件。例如,路由器、访问列表、防火墙等,从而构建网络安全策略管理实现的实现模型。目前,网络安全策略管理实现的模型以IETF安全体系框架中的RFC275策略管理为基础,该模型策略管理的应用十分广泛,在整个网络中都所有分布。现阶段,适合所有用户的有网络安全层以及服务网络安全层。策略管理包括的功能有以下几点:策略实现点、策略决定点、策略仓库。网络策略中的每一项信息点都应被存储在策略仓库中,完成对计算机以及网络用户各项内容的研究与分析,各项内容的执行都应当在仓库内完成,确保执行结果的合理性。
策略服务器与策略决定点两者都是对网络进行抽象,成为策略控制信息,再将信息传递给策略执行点。策略实现点接受PAPs中的策略,作为网络或安全设备。公共开放策略服务以TCP作为基础协议进行应答,从而完成PEPs和PDP两者之间策略信息的交换。
3 网络安全的实现
网络安全体系结构中,安全管理运的工作站和服务器上,对网络辅助级和网络及的上的安全,通过对应用级的安全管理来实现。在网络操作者中存在一些身份较为特殊的用户,这些用户的认证主体和授权程序都更为严格。因此,管理人员在具体操作过程中具有更大的功能权限和访问授权,因此为了确保一切操作的安全性,他们的行为和访问等操作都必须要安全,从而确保网络的性能、配置以及存活能力都能够达到要求标准。通过大量实践经验可以发现,企业的网络管理系统的开放性和集中性越高,安全管理的需求也就越急迫[5]。安全网络管理是一个整体方法,网络安全体系结构包含多个领域。在具体操作过程中,记录安全行为对用户以及管理员在网络结构的各项行为都有着严格的要求。
为了确保操作的合理性,网络操作者认证需要在集中管理和执行口令的基础上完成,确保没有获得授权的用户无法访问系统,通过这一方式有效地避免了非法访问的出现。网络操作者授权通过已经认证的身份对用户的访问权限进行认证,判断得到授权的用户可以在系统中的对哪些内容进行访问,实现何种功能。网络管理事物加密起到的作用就是保护网络管理数据的机密性,避免数据被非法人员盗取,通过加密能够对外部和内部都提供高度保护,从而确保网络体系结构的安全。操作者安全远程访问:对IPsec进行合理应用,提供一个VPN,这是一种强制性的解决方案,通过该方案可以为远程操作者提供科学的加密和认证。利用防火墙和VLANs将网络分离开,在管理上要分开进行。在应用通过入侵检测系统锁构成的管理服务器,通过提出管理员存在的不安因素(例如,在运行过程中,服务其妥协和拒绝服务袭击),完成对网络的保护操作。
网络安全体系实现的实例如下:某企业为了确保企业中网络安全采取了以下措施:①构建防火墙。在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信,全面掌握企业网络情况。②采用身份验证技术。针对企业中的不同用户设定了不同的访问权限,并且定期对用户的权限进行检查,避免非法访问。③入侵检测技术。④口令管理。每个用户设置口令,定义口令存活期。⑤病毒防护安装杀毒软件,及时查杀服务器和终端;限制共享目录及读写权限;限制网上下载和盗版软件使用。⑤系统管理,及时下载安装系统补丁;设置开机口令;设置屏保口令;删除不用账户。该企业通过以上方式,构建了网络安全体系,确保了企业中网络的安全性。
4 结束语
网络安全体系结构的设计与实现对用户使用网络的安全性会产生直接影响,同时也会对计算机网络安全的健康发展造成影响。在提出网络安全系统设计框架基础上,对网络安全的设计问题进行详细划分,提出了安全体系结构模型和策略管理执行模型的设计与实现。最后合理地将安全体系结构、安全策略管理的实现与网络机制结合,确保了高级安全策略向网络安全机制的合理过渡,推动了网络的健康发展。同时,本文也为网络安全体系结构的设计与实现指明了方向。
参考文献:
[1]梁树军,李玉华,尚展垒.基于访问控制技术的网络安全体系结构研究与设计[J].网络安全技术与应用,2016(05):23-24.
[2]姜.金保工程信息网络安全保障体系设计与实现[J]. 数字技术与应用,2016(05):201.
[3]罗旬,严承华.无线Mesh网络安全体系研究与设计[J].信息网络安全,2015(06):61-66.
网络安全等保解决方案范文5
近年来,杭州市电梯数量增长迅猛,2011年底杭州市已注册在用乘客电梯4.8万部,2012年上半年又新增乘客电梯、自动扶梯近5000台。但是全市电梯维保行业从业人员的数量却没有相应增长。根据《特种设备安全监察条例》和相关电梯的安全技术规范,电梯维保工作对相关人员的综合要求相对较高,需要维保人员既能够熟悉电梯专业知识,又要能够和物管人员、小区业主等人协调沟通,同时电梯维保工作具有一定的危险性,所以一个合格的维保人员培养的过程很长。但是维保人员的工资却不高,愿意从事这个行业的人并不多,熟练的维保工人非常匮乏。所以,如何改变电梯行业依靠劳动力数量的发展方式,如何通过提高从业人员专业水平和应用科技手段提升电梯企业管理水平已经迫在眉睫。
杭州市自2010年10月开通电梯应急特服电话96333以来,在杭州市特种设备应急救援指挥平台的基础上,逐步建立、完善了覆盖主城区的基于物联网的电梯运行安全远程监控系统,实现了依靠科技手段实现电梯巡检和诊断,依托大品牌制造单位和维保单位,确保涉及民生的公共安全。
电梯应急救援指挥系统
杭州市电梯应急救援指挥体系,通过电梯运行安全物联网,采用电梯运行安全参数和音视频远程传输技术,对电梯运行进行实时监控,实时监测到的数据用作电梯制造、维保单位对电梯实施保养修理的决策依据。如监测到数据显示电梯处于安全隐患状态,系统会自动预警,提示电梯维保单位及时处理;监测到电梯故障困人,系统将自动向特种设备应急处置中心和电梯维保单位报警,以此大大提高电梯困人救援的效率。
杭州市电梯应急救援指挥体系的核心是“电梯运行安全物联网”,集成相关多项技术,包括传感技术用于电梯乘客和电梯状态检测;射频识别技术用于电梯基本信息识别,电梯维保人员考勤;网络传输技术用于电梯状态参数、音视频流的远程传输;音视频解压缩用于电梯实时图像监控的录制和传输;GPS以及电信运营商基站定位技术用于维保人员和电梯被困人员的准确定位等等。
系统应用及功能
电梯运行安全物联网规模示范网体系下分为两个子系统:一是电梯运行安全参数采集系统;二是电梯音视频图像采集、电梯运行状态显示及媒体平台综合系统。
电梯运行安全参数采集系统对电梯运行状态进行实时监控,电梯运行安全监测数据接入电梯应急处置平台。遇到电梯困人能够报警,能够对电梯故障进行统计分析,向电梯维保单位预警。
依托杭州城域网和信息化大平台,参照公交移动电视模式,在电梯轿厢内设置移动电视,一是用来显示电梯运行参数,二是作为媒体信息平台,三是作为政府公益宣传平台;四是在电梯困人时播放安抚和自救指导片。移动电视平台由政府指定单位统一运营,通过对电视的运营来弥补监控系统运营费用的不足,从而推动全市电梯物联网产品、技术、应用的有序发展。系统总体架构如图1所示。
系统软件平台采用微软.Net架构、Oracle和MS SQL Server数据库开发。前段硬件设备采用采用ARM+DSP和实时Linux架构,其处理器和存储等硬件资源满足电梯故障参数、音视频信息、各类传感器信息的接入、处理和传输。设备针对电梯行业的特殊性开发专用通信接口,完成了电梯故障参数的接入,针对不同电梯品牌的故障参数,将其归一到统一的故障参数定义标准中,供后台系统使用。除了对电梯自身状态的检测,安全网关还实现了对电梯周边环境的监测,包括电梯井温湿度、机房温湿度等。所有监测数据和视音频信息通过设备中内嵌的3G设备或者以太网传输到监控中心。
系统设计理念
终端设备功能
电梯端监控终端采用AC220V/DC12V给系统供电,并采用后备电池备用供电回路。日常记录电梯运行状况及统计,检测电梯故障及困人等事故,通过3G、Wifi或者有线网络传输数据,实现电梯定位,提供视频对话功能;同时提供预留I/O接口方便后续升级和功能扩展。终端系统图如图2所示。
终端采用工业AC220V/DC12V模块,抗干扰能力强,使用范围宽,达到国家电磁认证,通用性强,技术成熟,性价比比较高,能够达到电梯仪表电源方面的标准。采用铅酸电池及充电管理,在停电时候,能够迅速切换提供后备电源,同时铅酸电池在撞击和高温时,不会爆炸和起火,避免火灾、爆炸隐患。采用3G无线通讯模块,无线传输视频、音频及通讯数据。利用SD卡,保存运行参数、媒体视频、政府公益宣传视频、困人安抚指导视频和音频数据、求救记录,人员状况及其他状况记录等。设计人体红外感应功能,针对高温天气下困人环境的人体的热感应功能。
数据传输系统
电梯安全网关支持了多种网络传输制式,包括中国电信EVDO网络、中国联通WCDMA、中国移动TDS-CDMA等3G网络;也可以采用有线网络以及有线和wifi融合等方式;系统同时向下兼容2G网络环境,可在3G网络信号未能覆盖的区域平滑切换到2G网络模式工作。
电梯安全网关能根据无线网络视频传输的特殊环境进行优化,调整网络传输协议,并对视频编码方案进行优化,做到根据网络带宽变化自动调节视频图像的码流和图像质量。系统网络拓扑图如图3所示。
软件管理平台
系统的软件部分主要分为3个子系统:电梯安全运行监控及报警系统、流媒体系统、存储系统。电梯安全运行监控及报警系统用于监控电梯的运行、发生故障的报警,分为处置中心、电梯维保单位、电梯使用单位3级、多点平台,由于电梯维保单位监控电梯存在隐私权的问题,而电梯使用单位又无法保证使用平台全天候正常使用,故而原则上所有的运行数据、故障时的音视频数据全部保存于处置中心,另2级平台只可以查询处置中心授权的信息、数据。当电梯发生紧急情况时,处置中心第一时间通过电梯安全运行监控及报警系统对故障现场情况进行监视,视现场情况确定处理方案。流媒体系统用于当电梯发生紧急情况时,处置中心与被困乘客进行双向音视频交流时对音视频数据进行处理。存储系统嵌入于电梯安全运行监控及报警系统和流媒体系统内,对电梯平时运行数据、紧急情况时的音视频数据进行存储。
网络安全
网络安全包括物理的和逻辑的网络安全。系统可根据不同区域内安全等级的不同采取相应的安全策略,采用防火墙、路由器、前置机等措施隔离内外网数据流实现事前管理,并通过入侵检测软件、系统日志分析等实现事后管理。
采用数据加密。对关键敏感信息(如用户口令,数据交换文本等)都进行加密处理,将加密后的密文在网络中传输,并由接收方解密后分析原始数据。对于用户口令等信息,直接将密文在数据库中存储,保证了数据库存储层的安全性。
采取日志及安全审计。通过详细记录用户的操作过程,生成用户操作的日志文件。安全审计信息是电子举证的重要手段,能够用于追查网络攻击和泄密行为。另外,通过数据库管理系统本身的审计功能,在SQL语句层面上记录数据库变化的过程,辅助追踪其他方式的数据库越权操作行为。
数据存储及备份。系统采用了大容量基于SAN结构的磁盘阵列系统,所有数据集中统一存储。对于系统运行过程中产生的大量数据,选用备份管理软件进行定期数据备份。另外,通过市政府的远程灾备系统进行数据备份。
应用成效
要构建“和谐浙江,品质杭州”,就要建立并逐步完善城市电梯的安全保障体系,控制在用电梯的故障率,电梯出现故障后能对人员实施及时救援。在杭州公共场所、住宅等使用的电梯上配置电梯安全运行监控装置,依靠物联网技术,可以实现对电梯故障的实时监控。通过一年半的运行,杭州市实现了随时掌握电梯困人信息,及时第一发出指令,有效实施救援,大大提高了政府监管部门对电梯应急处置的效率。
杭州市电梯应救援指挥体系的建设,基本实现了“智慧杭州、智慧城市”的几大特性:
先进性——采用了先进的概念、技术和方法,结合面向对象的设计思路,综合数据集成的先进技术,应用流行管理理论,为用户提供直观易用的控制、故障应对、救援综合解决方案。
易维护性——提供了灵活的组织机构、用户权限、数据备份/恢复、数据追踪、数据整合、应用回退等管理工具,采用模块式组合,极大地方便了系统维护工作。
适用性——提供了可靠合理的功能和输入/输出接口,适用于不同的环境。系统可以根据不同型号的电梯进行灵活的选择配置,将不同品牌、型号的电梯集成在一个系统内。
集成性——充分考虑到信息、功能、系统集成的需要。将远程通话、远程电梯控制、远程视频控制、故障分析、远程控制等系统相连接、集成到一套系统中。
安全性——系统完全独立,自备电源不与其他系统有任何交叉,运行可靠、安全,从应用角度对系统安全和数据安全进行保护;视频监视系统在电梯正常时不起作用,当电梯故障或控制室发出指令时才可进行视频控制并同步录像,保障乘客隐私。
网络安全等保解决方案范文6
【关键词】综合数据网;运维管理;研究
0.概述
当前,电力能源在人类的生活中占有着重要的地位,电力供电需求也越来越大,导致用电方面的矛盾相对凸显。变电站作为整个电网输配电调度体系中最重要的环节,同样面临着调度智能化及信息化不断提升需求,为了保证变电站的调度及信息系统的正常运行及维护电网的正常工作,大多数电网企业均依托信息化手段建设了变电站综合数据网,有效的保证变电站电力资源的高效调度。在目前的现实应用中,变电站综合数据网管理也是架构信息化电力系统管理的基础平台。任何一个系统,都具有其优点,也存在一定的缺点,对于变电站综合数据网而言,同样存在一定的问题需要进行及时的发现并维护,才能保证系统的高效运行。为了有效的推动电力系统的运行,加强变电站综合数据网的运行维护管理,是电力系统设备管理研究中必不可少的重要部分。
在某电网供电局的变电站运行体系中,综合数据网作为变电站各类应用系统正常运行的网络基础,承载着该局下辖的100多座变电站的生产管理系统、办公自动化系统、软交换系统、变电站各类在线监测系统、图像监控系统等应用系统的业务流量;每个变电站都配备了综合数据网网络交换机,用于接入并传输各变电站应用系统流量,这些变电站的综合数据网流量均汇聚至供电局变电站综合数据网的核心设备,这些变电站综合数据网在运的交换机设备均已过保。如变电站综合数据网出现故障,必须及时检查处理,消除缺陷。为确保该供电局变电站综合数据网络的正常可靠运行,必须对变电站网络开展维保,本文将以该局情况为例,对电网企业变电站综合数据网运维管理中存在的问题进行探讨。
1.电力综合数据网的特点
电力综合数据网主要由电力调度数据网和电力综合业务数据网两个独立的数据网络构成。在电力行业的信息化管理服务中,电力综合数据网络是主要的传输网络。它包含着以下几个方面的特点:
1.1网络覆盖广
在信息化时代,对于电力企业而言,设备管理水平对相关的信息技术和信息管理系统完善的依赖变得越来越强。综合数据网作为信息化系统的基础,能够及时将电力系统内各厂站、收费厅和变电站等生产营业场所的数据进行传输,保证系统实现真正的信息化,其网络覆盖面将会越来越广。
1.2设备管理智能化
在电力综合数据网中,对设备管理实现了智能化。在智能化条件下,设备管理人员只需要观察相关设备的性能参数的变化,就能对设备的情况进行有效的掌握,当设备发生故障时,系统也会自动的给出预警信息并进行相应的处置,使得设备管理人员能及时对故障采取排除措施。
1.3网络运维要求高
对于该局而言,在电力综合数据网中,网络的安全性要求较高,必须要采取加强网络安全性的措施,对网络潜在的安全隐患及时发现并消除,提高网络的稳定性、可靠性和安全性,这就需要运维人员做好相应变电站和供电所现场设备巡检与运维工作;保证网络设备24小时不间断的稳定运行,实现生产MIS业务不中断。同时要求对网络故障及时响应,保障人员及备件能及时到位,保证网络系统出现故障时,能在最短时间内得到恢复。如此高的要求也是变电站系统综合数据网网络运维的主要特点之一。
2.影响综合数据网运维管理的因素
在电力企业的发展中,根本的原则是要保证电力设备能够安全高效的运行。对于供电局变电站综合数据网络管理而言,只有实现对综合数据网的高效运维管理,才能有效的保证电力设备的安全高效运行。运维管理主要是在规划管理的基础上,结合现有的电力和网络信息技术手段,对网络设备进行适当的配置,提高设备的生产利用水平,这样才能促进企业的发展。结合目前供电局变电站的运行情况,对影响综合数据网运维管理工作水平的因素进行分析,主要有如下几个方面的制约:
2.1技术管理手段不强
目前,由于电力企业的变电站综合数据网网络覆盖的范围都是以单个站点为单位,网络设备的数量与日增多,网络结构也越来越复杂。
此供电局所辖100多座变电站的本地局域网分别通过地区泰科、华为光环网和租用运营商2M链路的方式接入到供电局局域网,在供电局大楼传输机房落地后,汇入供电局变电站网络汇聚层交换机。变电站所使用的综合数据网交换机并没有统一设备类型,并且承载流量的传输网络也不是同一种技术和设备,随着变电站接入的设备及业务类型不断增多,使得综合数据网承载的网络流量不断增大,整个网络不断复杂化。以上因素都会导致综合数据网的网络运维管理难度直线上升。而实际上由于缺乏有效的技术手段做支撑,仅仅依靠有限的管理人员进行运维管理,使得管理水平没有达到相应的高度,导致运维管理效果较低。
2.2管理人员技术力量不足
在该局的电力综合数据网络运行维护中,需要针对该局所辖的变电站、集控站的生产MIS接入交换机进行分片区巡视检查工作,确保设备及系统运行正常。主要工作包括:
(1)对设备进行日常硬件检查。
(2)查看设备日志,发现设备潜在问题,并及时解决。
(3)记录设备CPU和设备内存利用率,以及时发现设备或网络潜在的问题。
(4)检查设备端口可用性和设备指示灯的正常性。
(5)检测设备运行状况,及时解决因设备故障而导致的业务中断。
(6)检查MIS生产业务的可用性,确保业务运行正常。
(7)检查设备的上行链路状态,保证上行链路可用。
(8)检查设备基本配置是否完整可靠并备份。
(9)确保设备安全,及时发现、处理设备故障和隐患,保障现场生产的稳步运行。
(10)网络系统运行中如发现问题及时做相应处理,保证网络系统的正常稳定运行。
以上工作都是电网企业变电站综合数据网运维管理工作的内容,要想将如此繁多的运行维护内容做好,不仅需要具备全面的管理人才,而且还需要大量拥有相关知识的技术人员才能实现。但是在实际的运维工作中,由于人员的流动性较大,专业素养水平高的运维管理人员和水平高的技术人员几乎不存在,导致在运维工作的开展中,运维人员数量不足、管理人员素质不高和运维人员技术水平并不牢固,导致运维管理工作并没有取得重要发展,更谈不上运维工作水平有效提升,运维工作没有得到很好的开展。
2.3数据信息分享平台欠缺
在信息化管理中,最重要的就是工作人员对于电网运行数据信息要及时掌握,因此,需要实现数据信息的分享,才能保证彼此能够高效协作,更好的完成整个电力综合数据网络的管理。在电力企业综合数据网日常运维工作中,需要通过建设统一信息平台,实时最新综合数据网运行情况拓扑图,并提供自助网络测试等功能,进而为综合数据网运行维护提供有效的信息数据,进而形成透明化的整体网络运维管理,促进综合数据网的运维与管理,但现阶段并没有功能完善的数据信息分项平台。
3.综合数据网运维管理的发展前景
3.1加强技术管理手段
在变电站综合数据网运维管理工作的发展中,通过技术手段的改善,提升综合数据网的运维管理效率,是一个十分重要的步骤。如部署网络流量监控设备能及时观察网络性能的好坏,对综合数据网网络流量进行有效控制,确保网络稳定、高效的运行。尤其是对综合数据网的设备互联端口进行流量监控,能帮助判断网络故障及网络安全等状况,进而使得运维工作人员及时采取有效的技术手段进行管控,保证整个电力数据网络正常工作,促进网络管理水平的提升。
3.2加强综合数据网运维人员的素质培养
结合平时在综合数据网运维工作中出现的人员技术力量不足的问题,可以采取相关的拓展培训课程,依据运维工作的实际需要对运维人员进行培训,具体的培训内容应从网络基础、数据结构、数据分析以及电力专业知识等方面入手,使他们首先能认清电力供应正常的重要性,加强自己思想方面的重视。其次,应积极学习专业知识,提升使用和维护系统的能力,积极提升他们的实际工作水平,使他们能很快适应日益更新的电力通信系统,促进综合数据网运维管理工作水平的提升。
3.3加强信息共享措施
在综合数据网运维工作中,积极利用其它方面的信息,整合数据信息系统,建设专门的数据信息的分享平台,实时的综合数据网运行情况的拓扑图,使得这些数据信息能够保证电力的正常运行,同时,也能促进相关的运维人员对网络进行有效的维护。
4.总结
对于变电站而言,综合数据网运维工作水平的效率,对于变电站的电力供应和调节工作有着决定作用。因此,相关运维人员应积极认识运维工作的重要性,采取有效的措施提升综合数据网运维工作水平,促进电力信息化水平的进一步提升。
【参考文献】
[1]谷明英,张雁,魏明海.陕西电力通信网运维管理模型研究[J].电力系统通信,2012,05:70-75.