前言:中文期刊网精心挑选了网络安全保障机制方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全保障机制方案范文1
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
网络安全保障机制方案范文2
11月18日,工信部通信保障局召集中国三大电信运营商、国家计算机网络应急技术处理协调中心(CNCERT)、中国互联网信息中心(CNNIC)等中国通信保障部门,以及中国银行、证券、电力、民航、铁路等重要行业的信息化代表50余人,召开了工信部成立以来第一次通信行业与重要信息系统网络安全座谈会。工信部通信保障局王秀军局长、熊四皓副局长参加了这次会议,并指出了对中国的重要行业应用系统提供通信保障的重要意义。王秀军局长表示,今年是通信产业进行整合的重要一年,三大全业务运营商成立后,保障重要信息系统的通信安全是其义不容辞的责任。网络安全保障是战略性的重要任务,近年来不断出现的安全事件,给社会带来了不良影响,如何提高防护水平,保障通信网络的正常运行,在新时代对此提出了新的要求。尤其是要保障中国的“8+2”重要行业信息系统,更是重中之重,这些系统关系到国家安全、社会稳定和人民群众的切身利益,因此,运营商和重要系统应该深入交流、了解对方的需求,以进一步深化网络安全保障服务。这是举办这次座谈会的意义。也表明了工信部通信保障局加强对中国重要信息系统通信保障的决心和信心。
奥运通信保障经验
值得借鉴
奥运期前,工信部专门发文,要求加强通信保障,重要系统与通信保障部门通力合作,很好地实现了安全性,没有任何一个系统出现重大安全事故。与会的通信保障单位和用户单位一致认为,奥运期间的通信保障经验值得未来进一步推广和借鉴。
中国电信在奥运期间提供了国际海缆的重点防护工作,保障了全球网民通过互联网观看奥运赛事的顺畅中; 而在国内,增加了2000G的带宽,并通过呼叫中心、灾备应急服务等,为中航信等重要系统提供应急通信车保障服务,保证了通信安全。
中国移动的TD-SCDMA 3G网络首次在奥运期间全面服务奥运,让人们首次体验了通过手机观看奥运赛事的方便。同时,中国移动首次在全球海拔最高的珠穆朗玛峰上建立基站,并与重要信息系统保持密切沟通,提供了测试、评估、反垃圾邮件等多项安全服务。
中国联通在奥运期间投入了15亿元的资金建立了高品质的专网,为金融等重要行业提供电路备份等专业服务,为搜弧提供流量清洗服务,同时为重要系统抵挡住了无数次海外针对这些系统的DDoS攻击,有效保障了系统访问的安全性。
CNNIC则再次强调.cn域名的重要性,号召重要系统采用更安全的.cn域名建立网站,并建立了域名解析的异地灾备中心,以便为中国的重要系统更好地服务。
而用户单位自己的努力,也为奥运期间的安全做出了不小的努力。国家电网公司在奥运期间阻止了海外9000个攻击。中国建设银行在奥运期间,与CNCERT、CNNIC深入合作,及时发现了许多假冒网站,并从域名上进行封堵。
这些通信保障单位一致认为,在奥运期间,行业用户与保障部门的深入合作,是保障系统安全的关键。
用户亟需解决的关键问题
那么,重要行业对电信部门的通信保障是否满意,有无特殊的需求呢?与会重要行业的用户也发表了自己的看法。总结起来,有如下几点共同的需求,需要运营商和有关支撑单位帮助解决。
如何防范DDoS攻击?DDoS攻击目前已经成为信息系统面临的最顽强的敌人,一旦出现,就将引起网络的缓慢,甚至堵塞,目前几乎没有什么好的方法可以解决。与会代表一致认为,预防并阻止DDoS攻击,依靠用户自己的力量几乎是无法完成的,需要运营商深度介入。中国人民银行科技司的代表认为,金融系统依靠自己的力量无法防范DDoS攻击,必须依靠运营商的帮助,共同解决; 国家电网公司的代表认为,希望DDoS攻击发生时,运营商能帮助分析攻击的源头,以进一步防范; 中国建设银行的用户代表认为,需要服务商能对DDoS攻击及时进行响应,以减少损失。
如何应对新技术带来的风险?3G等移动通信技术的高速发展,以及移动办公将为行业带来的方便性,让移动办公应用不久之后可能在重要系统中广泛采用。但如何保障移动办公后信息系统的安全性,是用户和电信服务商同时面临的挑战。中航信代表认为,3G技术将导致用户体验的根本性改变,一直站在技术最前沿的行业用户毫无疑问会采用这种最新的技术,但最大的担心是安全性问题,希望服务商能给出一个满意的方案。
如何保证安全服务的质量?行业用户全部认可了通信服务的重要性,也愿意为服务买单。但如何确保服务的质量,是他们最为关心的。中航信代表与中国工商银行的代表都提出,希望与运营商签署一个通信等级保护协议(SLA),对不同的系统采用不同的安全等级,并在全国范围内得到同样一致的服务。
如何建立一个稳定的应急响应合作机制?对安全问题的应急响应需要用户和通信保障部门的共同配合,并在短时期内进行响应。但在这响应的过程中,都需要哪些部门参与?各个参与的部门分别承担哪些责任?响应的流程是什么?这些问题目前使很多行业用户感到困惑,亟需用户和通信保障部门共同研究出一个长期的流程。
期待长效合作机制
以上这些需求,在奥运期间得到了很好的满足,因此,重要系统在奥运期间运行稳定,但如何将这种合作的模式固定下来,建立一个长效的合作机制,是重要行业用户最为关心的问题。比如,网络出了问题究竟应该找谁帮助解决?政府与政府部门之间、政府与用户之间、用户与通信保障部门之间、通信保障部门相互之间应该如何通力合作,形成一个有机的整体?
中国联通的代表表示,奥运之后,联通已经将奥运期间成功的业务、产品和服务流程固化下来,还将建立新的服务公司,通过不断与大客户交流,专门为大客户提供安全服务。
中国电信的代表表示,奥运期间也发现了一些系统中存在安全隐患,希望行业客户能反思整体网络架构的安全性,通过建立新的网络架构,整体提高系统的安全性。而中国电信研究院的代表也表示,目前电信研究院正在研究新的整体安全架构以及新的应急保障通信方案,以期从体系架构上,整体提高用户网络的安全性。
网络安全保障机制方案范文3
目前ICS广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠ICS来实现自动化作业,ICS安全已是国家安全战略的重要组成部分。
近年来,国内工业企业屡屡发生由于工控安全导致的事故,有的是因为感染电脑病毒,有的是因为TCP/IP协议栈存在明显缺陷,有的是由于操作间员工违规操作带入病毒。比如,2011年某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度的中断。又如,2014年某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件,带入病毒在控制网扩散。还有一个案例是,江苏某地级市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
ICS安全事故频发,引起了相关各方和国家高层的重视。2014年12月,工控系统信息安全国家标准GB/T30976-2014首次,基本满足工业控制系统的用户、系统集成商、设备生产商等各方面的使用。国家标准的,极大地促进了工控系统信息安全的发展。
我国ICS网络安全发展现状
据工信部电子科学技术情报研究所数据显示,2012年,中国工业控制系统信息安全市场已达到11亿元,未来5年仍将保持年均15%的增长速度。而据工控网的预测,中国工业网络安全市场有望在2015年达到超过20亿元的规模,并以每年超过30%的复合增长率发展。
从行业来看,油气、石化、化工、电力、冶金、烟草为核心应用行业,其他行业规模相对较小。石化行业在工控安全方面走在所有行业的前列。从2009年开始,石化行业开始部署加拿大多芬诺公司的工控防火墙,主要用在OPC防护场景。燕山石化、齐鲁石化及大庆石化等多家国内大型石化企业都有较多部署。电力行业的网络安全主要基于《电力二次系统安全防护规定》、《电力二次系统安全防护评估管理办法》、《电力行业工控信息安全监督管理暂行规定》以及配套文件等电力工控信息安全各项规定和要求,其对于真正意义上的工控安全的项目实施,基本还处于探索阶段。目前实际的动作是在全网排查整改某品牌PLC、工业交换机的信息安全风险,并开展其它工控设备信息安全漏洞的检测排查工作,对发现的安全漏洞进行上报处理。冶金行业目前已开始进行工控安全的实地部署,由于冶金行业大量采用了西门子、罗克韦尔、ABB、TEMIC(东芝三菱)、Yaskawa(日本安川)等国外品牌的PLC,因此冶金行业对于PLC的安全防护非常重视。
工控安全厂商分析
工控安全厂商作为市场中最主要的、最活跃的推动力量,在工控安全市场中扮演着非常重要的角色。其中以有工控背景的信息安全厂商为主,传统的IT类信息安全供应商介入速度加快。
力控华康, 脱胎于力控集团,借助多年积淀的工业领域行业经验,以及工控行业监控软件和工业协议分析处理技术,成功研发出适用于工业控制系统的工业隔离网关pSafetyLink、工业通信网关pFieldComm和工业防火墙HC-ISG等系列产品,受到市场的广泛认可。
海天炜业,即青岛多芬诺,作为从2009年即在中国市场推广工业防火墙的行业先驱,在多年的市场积累中,彻底脱胎换骨,从一家传统的自动化系统维保公司成功转型为一家专业的工控网络安全解决方案提供者;尤其是在2014年4月22日的新一代自研“Guard”工业防火墙,受到行业一致好评。
中科网威,作为参与过中国多项网络安全国标编写的厂商,凭借多年对用户需求的潜心研究,推出了拥有软硬件完全自主知识产权自主品牌“ANYSEC”,ANYSEC系列产品包括IPSEC/SSL VPN、流控管理、上网行为管理、中科网警、联动数字平台等多功能的IT安全网关产品,获得广大用户的一致好评。
三零卫士,是中国电子科技集团公司电子第三十研究所下属企业,在2014年成功推出了自研的工控防火墙,同时也推出了自己的“固隔监”整体工控安全防护体系,得到了行业内外的广泛关注。
ICS存在网络安全问题的根源及安全防护
研究发现,我国ICS存在网络安全问题的根源主要是以下几点:
第一,缺乏完整有效的安全策略与管理流程。经研究发现,ICS以可用性为第一位,追求系统的稳定可靠运行是管理人员关注的重点,而把安全性放在次要的地位。这是很多ICS存在的普遍现象。缺乏完整有效的安全策略与管理流程是当前我国ICS的最大难题。很多ICS实施了安全防御措施,但由于管理或操作上的失误,如移动存储介质的使用等,仍然会造成安全事故。
第二,工控平台比较脆弱。目前,多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。而且,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是,工业控制系统的补丁管理效果始终无法令人满意。同时,工业系统补丁动辄半年的补丁周期,也让攻击者有较多的时间来利用已存在的漏洞发起攻击。
第三,ICS网络比较脆弱。通过以太网技术的引入让ICS变得智能,也让工业控制网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前ICS网络的脆弱性体现在:边界安全策略缺失、系统安全防制机制缺失、管理制度缺失、网络配置规范缺失、监控与应急响应制度缺失、网络通信保障机制缺失、无线网络接入认证机制缺失、基础设施可用性保障机制缺失等。
为解决网络安全问题,我们建议:
第一,加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对性的解决方案和安全保护措施。
第二,尽可能采用安全的通信协议及规范,并提供协议异常性检测能力。
第三,建立针对ICS的违规操作、越权访问等行为的有效监管。
第四,建立完善的ICS安全保障体系,加强安全运维与管理。
网络安全保障机制方案范文4
2010年,309医院采用IEEE802.11n标准的无线网络解决方案,结合309医院现有网络和主要应用需求打造了一个高速率、高覆盖、高安全、有线无线一体化、易扩容的无线医疗网络,为309医院的移动医疗建设打下了坚实的基础。
无线网络为移动医疗奠基
309医院的移动医疗应用主要包括无线体征监护和无线移动临床医、护工作站。无线体征监护能够实时向主治医生同步病人的心电监护等生命体征信息,在出现异常情况时,主治医生可以在第一时间掌握病人病情及病人当前生命体征信息。而且,大规模的无线体征监护应用可以大幅降低患者的医疗费用,使病人可以在普通病房里享受到ICU(重症监护病房)的监护环境。309医院还在全国率先推行iPad移动医生、护士工作站。医生通过iPad无线访问医院HIS服务器,随时调取病人的电子病历。在移动查房过程中,医生还可以通过无线医疗网络调用PACS影像。
目前,309医院日均影像数据量约为19G。每日平均调阅影像数据量为45GB,每天向WEB转发的数据约10GB。每小时峰值阅片量为6.3GB。这就要求无线网络建设不单要稳定,而且需要高可靠的带宽支持。医生通过手持终端进行数据录入调取必须保证百分百精确、稳定、高效、安全,因为这些都关乎广大医患病人的生命安危。因此,无线网络建设是移动医疗的基础建设,稳定的网络环境才能够让移动医疗众多应用系统发挥作用,它是移动手持终端完成工作的依托。
无线网络成功的六大元素
■高性能、高带宽
309医院采用的无线网络产品,它的射频芯片是采用业内最高的性能芯片方案,支持3X3MIMO技术,采用双频技术,支持600Mbps的速率,实现802.11n高性能业务应用。同时,通过本地转发,智能无线交换网络将大量数据转发、加密和策略实施的任务从无线交换机转移到无线智能接入点,进而极大地减少了无线交换机的工作负担,智能无线交换网络可以高速处理相当于802.11a/g12倍的吞吐量,有效满足了无线移动临床医、护工作站对高带宽的要求。
针对移动终端的特殊性,309医院无线网络方案实现了安全和易用性完美结合,既满足了无线终端安全接入,又实现了终端零配置的解决方案,提高了医护工作者无线易用性。
■高稳定
无线控制器是无线网络的核心,通过无线控制的N+1备份来提高无线网络的稳定性、可靠性。无线控制器采用的冗余备份技术是在虚拟化架构下开发出来的。当主控制器异常宕机时,备份控制器和主控制器之间的心跳检测机制可以快速检测到主设备的状态,并及时通知AP进行主备用CAPWAP隧道的切换,这一过程的切换时间将保持在毫秒级别,用户的业务不会出现任何中断。
■高覆盖
在309医院,需要护士携带终端ipad到病人床旁录入病人体征、执行医嘱等工作。这就对无线网络信号质量提出了更高的要求。针对病房墙体结构对无线信号衰减的问题,309医院信息中心无线网络解决方案采用了放装AP布置和 “微室分”方案结合的覆盖方式,既充分满足了病房内无线信号质量,也有效避免了同频干扰等问题,保障了医护业务的连续性。■安全易用
为了满足医院特殊无线体征监护的需求,该方案根据体征采集仪器无线特性而定制了无线AP与心电监护间私有协议的开发,更好实现了医疗设备简单、安全的无线接入,并通过DTLS加密算法实现完整的数据安全保障机制。采用国际标准协议CAPWAP进行加密通信,既实现了与有线网络的隔离,又保证了RG-WS5708与AP之间实时通信的保密性;划分多个ESSID,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等;通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络;通过多种认证方式(MAC、WEB、802.1X)实确保只有合法的用户才能进入网络;通过支持全局网络安全解决方案(GSN),灵活实现对进入网络的用户划分访问权限。此外,通过用户完整性检查将对网络安全有威胁的用户隔离到安全区域,避免个别用户的行为导致整网断网,从而保护全网的安全。
■有线无线一体化管理
采用基于Web的RG-SNC管理系统,为网管人员提供了易用性极强的管理平台。RG-SNC可对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理,信息中心对全网设备信息和状态可随时全盘掌握。RG-SNC可自动创建系列无线接入点配置文件,统一远程配置AP的射频功率、无线信道分配等参数,并可实时与设备保持配置信息的同步与更新。
■专业的无线实施团队
网络安全保障机制方案范文5
一、目标任务
根据市委组织部、市人力资源和社会保障局总体部署安排,使用统一的软件和系统建设标准,本着“实用、安全、节俭”的原则,基本建成市口岸管理委员会公务员管理信息系统数据库,逐步实现公务员“进、管、出”各环节的信息化管理,为准确把握公务员队伍实际状况和发展趋势、科学制定干部提拔任用方案等工作提供数据服务和决策支持,提高公务员管理的科学化水平。
二、工作原则
(一)统一标准。依照市委组织部、市入力资源和社会保障局具体要求,使用统一的公务员管理信息系统软件,严格界定公务员管理信息系统入库人员范围即市口岸管理委员会机关已参加公务员登记人员和试用期内的新录用公务员,公务员身份的认定,以《公务员登记表》或《省录用公务员审批表》为准。
(二)确保安全。依法、合理地确定信息安全保密级别,严格遵守市委组织部、市人力资源和社会保障局《关于严肃公务员管理信息系统建设过程中工作纪律的通知》(连委组通〔2013〕82号)相关规定,制定信息采集、审核、录入以及公务员管理信息系统的使用、维护、管理等工作制度,做好网络稳定及安全保障工作。
三、任务分工
(一)以机关各处室为基础信息源,由各处室负责人组织本部门符合条件的公务员按时完成信息采集、报送工作。
(二)由局办公室负责信息汇总、公务员管理信息系统建设等工作,并按要求向上级部门报送数据信息。
(三)由局科技信息处负责公务员管理信息系统建设的网络安全、硬件设备安装及网络设施建设等工作。
四、进度安排
市口岸管理委员会公务员管理信息系统建设工作从2013年8月启动,2013年底基本建成,分三个阶段进行。
(一)安排部署阶段(2013年8月中旬)
8月14日前,成立市口岸管理委员会公务员管理信息系统建设领导小组,召开市口岸管理委员会公务员管理信息系统建设工作部署会议并印发工作实施方案,明确公务员管理信息系统建设工作的目标任务和具体安排。
(二)数据库建设阶段(2013年8月中旬至2013年9月上旬)
以局机关各处室为信息报送单位,组织符合采集标准的全体公务员填写《省公务员信息采集表》,完成信息校核、录入和建设数据库等工作,同时建立健全符合市口岸管理委员会实际的长效管理规章制度,保证数据准确、更新及时、安全保密。
(三)公务员管理信息系统建设阶段(2013年底至2013年底)
以前期建设的数据库为基础,按照“以用促建”的原则,采用集中式管理与分布式应用相结合的方法,利用数据同步技术实施信息动态更新维护,确保数据库信息的时效性,不断增强对公务员信息进行综合分析和全面利用的能力。
五、保障措施
(一)建立专兼结合工作队伍。由局办公室牵头、局科技信息处配合,建立一支专兼职结合、与工作任务相适应的公务员管理信息系统建设工作人员队伍,同时明确专职人员负责信息的日常维护、更新和管理等工作。
(二)建立长效管理规章制度。局办公室要明确信息采集、录入、审核、维护等工作的责任人,对信息采集、软件应用、实际操作中出现的问题,及时召开会议研究解决,同时按秘密级管理公务员信息库,在维护和应用管理中出现泄密等问题,要追究有关人员责任。
网络安全保障机制方案范文6
关键词 网络存储;FTP;防火墙;SAN
传统的收缴电子作业、电子资料的方法通常采用FTP站点的方式,但是该方法没有安全保障机制,且无法进行数据备份和恢复,当发生数据丢失或泄漏时,会造成无法弥补的严重后果,鉴于上述问题,本文以SAN的典型拓扑结构为基础结合FTP、防火墙技术设计实现了一套安全存储结构系统,通过SAN、FTP以及防火墙技术的结合,在一定程度上避免由于数据丢失或泄漏造成的损失[1]。
1 相关研究
计算机硬件技术的飞速发展,目前,许多领域都已经应用普及了网络存储设备,并且仍然在不断地影响渗透到更多新的领域。网络存储主要的应用领域包括以下几个方面[2]。
1.1 社会信息服务
随着计算机网络技术的不断发展,社会信息服务层出不穷,例如邮件服务、电商服务、 Web网站服务、网络游戏服务、在线点播服务、数字图书馆服务以及网络硬盘服务等。这些网络信息服务目前面临的最大问题就是用户和用户数据的快速增长问题,而网络存储技术可以为此提供很好的解决方案。
1.2 大规模计算
随着计算机应用的普及,企业内部的数据处理可以被外包(Outsourcing), 即租用DCT机房进行数据存储和管理, 外包可以在很大程度上降低企业运营成本。这就形成了新的企业模式ASP (Application Service Provider),其业务就是为其他企业提供数据计算存储服务和管理服务。
1.3 高性能计算
高性能计算己经从传统的科学计算扩展到数学建模、人工智能、天气预报、地质勘探、航空航天、,生物工程、历史考古等众多领域,这些领域对数据存储和管理有着很大的需求,这些需求不局限于存储容量,在存储带宽和安全上也有很高的要求。
2 系统架构设计
针对于黑客入侵、内部人员泄密、管理员权限的滥用等原因,特提出基于SAN的加密方案设计与实现,由此通过安全存储技术的应用结合防火墙建立一条专属通道。在很大程度上能够有效地防止数据丢失或泄密带来的损失。而数据加密是保证数据安全的最基本、最有效的技术,利用数据加密技术,通过密钥将重要的数据信息从明文形式转换为一种无序的,无法理解的密文形式,然后再在线路上进行传输,接收方收到加密后的数据后,利用解密密钥对密文进行解密得到未加密的原文[3]。迄今为止,人们已经提出了很多种加密的算法,常见的有DES,RSA,IDEA,ECC等。这些算法可以分为两类:对称密钥加密体系和非对称密钥加密体系(如图1所示)。
单纯的SAN存储网络体系,在存储性能方面可以满足用户的要求,但是在数据安全和泄漏等方面还存在着很大的缺陷,从而对存储数据信息的安全产生很大的隐患[4]。本文将防火墙技术和FTP技术应用到存储系统中,确保对数据访问和存储的安全性。针对基于SAN 的安全网络存储结构我们采用以下设计方案:采用两层防火墙结构。这样设计首先为了保护SAN 中重要的数据,其次很少有黑客能够意识到有第二道防火墙的存在。当第一道防火墙被突破后, 第二道防火墙仍能对数据进行保护,同时内部防火墙也可以阻止内部用户对服务器的攻击。设计方案中还考虑了内外部用户之分。在把他们都视为不受信赖客户的同时在安全策略上采取不同的策略。我们把内部用户也视为不安全对象加以防范可以进一步增强系统的安全(如图2所示)。
3 小结
计算机网络的发展越来越迅速,计算机网络的用户以及涉及的用户数据也越来越多,对于网络数据的安全要求也越来越高,,本文分析了目前网络存储的现状,对现有的数据存储方面的不足,以及存储数据安全性方面的不足,提出了基于防火墙和FTP的SAN存储系统,并予以实现,从而解决了文件存储安全性方面的不足。
参考文献
[1] 蔡皖东.基于SAN的高可用性网络存储解决方案.小型微型计算机系统.2010. 22(3):283-287
[2] 贾连兴、王洪海、李晨辉.美军网络存储应用研究.华中科技大学学报.2011. 33(9):22-25