前言:中文期刊网精心挑选了网络安全运维管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全运维管理范文1
【关键词】网络;安全等级保护;实施策略
1网络安全等级保护模型的建构
1.1安全计算环境的建构
其中安全计算环境能够实现相关等级系统的有效管理,在信息存储以及处理,安全策略实施过程中,能够对信息系统的重要情况全面掌控。安全计算环境在其有效区域边界安全防护中,实现对外界网络的各种攻击行为有效防护,并能够避免出现非授权访问。针对这一问题,安全计算机环境整体安全防范,也就是针对网络实施有计划有标准的安全性改造,以能够显著提升系统整体性,以免系统本身出现安全漏洞及缺陷等,出现安全风险或者受到攻击问题。另外,安全计算环境安全防护工作主要也就是有效防范和控制系统内部的攻击和非授权访问问题,以免内部人员因为自身操作方式问题出现破坏行为。
1.2安全网络环境的建构
在信息系统中,通过网络能够有效实现不同计算机和计算域,用户和用户域的有效衔接,在不同系统间信息传输过程中网络具有通道作用。网络可以在系统内外应用,部分网络信息流在传输过程中,都会不同程度的经过不稳定网络环境。因此,在实际操作中,网络安全防护工作首先也就需要提高网络设备的整体安全性,针对网络中的各个设备制定定期维护方案,以免出现网络攻击问题,基于此显著提升网络中的信息流总体安全性,在以上基础上进一步提升通信架构的整体性、安全性以及保密性。在网络自身安全保密中,可以采用网络加密技术和本身结合方式,满足网络安全等级保护的不同要求。其中在网络安全域建设中,需要制定相应的网络结构安全范围,并实现网络不同访问操作的有效控制,在实际工作中也需要重视网络的安全审计工作,提高相应边界完整性,以免在网络运行中受到网络入侵和攻击,并可以有效防范出现恶性代码问题,能够对网络设备的安全防护及信息起到有效的保护作用。
1.3安全管理中心的建构
在信息系统中,安全管理中心是重要的安全管理系统,直接影响整个系统的安全管理有效性。安全管理中心作为管理平台,能够实现对系统中不同信息安全机制的整合性管理,对于系统中存在的分散安全机制,安全管理中心可以对其实施系统化管理,实现集中管理有助于显著提升安全防范效果。安全管理中心在应用中,可以系统性统筹管理系统的相关体系域的安全计算域、网络安全域以及安全用户域等,并对其实现统一调度和应用,可以实现对广大用户身份以及授权的管理,实现对用户操作和审计过程的管理,实现对用户访问和控制,也就可以实现系统的整体风险防范,全面掌握通信架构运行情况,显著提升网络安全防护系统的整体效果。
2网络安全等级保护的实施策略
网络安全运维管理范文2
关键词:网络运维;带宽资产;网络流量;课题
中图分类号:TP393.07
对于学校网络系统,信息中心在管理网络机房、服务器、存储装置的目的就是确保信息资产的安全,还有增设部分维护学校网络的设施,如有形资产包括路由器、交换机,由于维持网络的正常连接,而带宽就可作为一种无形资产。因此,学校带宽资产管理对于网络系统运维、信息安全等当面起着十分重要的作用。
1 学校网络运维与信息安全
1.1 学校网络运维管理的概念。所谓网络运维,就是为保障电信网络与业务正常、安全、有效运行,而采取的一系列组织管理活动。网络运维系统所用到的设施有网络中路由器,交换机,服务器,动力系统,存储设备,防火墙等,还包含对网路系统进行实时监测以及自动生成网络拓扑的嵌入式硬件设备。按照无形资产的管理方法,对有限的网络资源卡赞管理和进行有效分配,保证教学、科研和管理工作的需要。
1.2 学校信息安全的重要性。学校信息资源信息作为一种资源,具有普遍性、共享性、增值性、可处理性和多效用性等特点,使其对于需要教学以及多学生进行考试测验等方面发挥着十分重要的意义。学校信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息具备高度安全性。按照国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。因此,就需要采取有效对策来保证学校信息安全。
1.3 网络运维与信息安全的联系。对学校网络进行运行和维护的最终目的就是确保学校信息能够安全可靠地进行资源收集、存储、传输、使用,防范在校学生对不良信息的浏览以及不法分子对学生个人信息的窃取,使得学生在安全、可靠的网络环境中学习,从而取得良好的教学效果。
2 网络运维带宽问题的产生
2.1 带宽概念。带宽(band width)又叫频宽,是指在固定的的时间可传输的资料数量,亦即在传输管道中可以传递数据的能力。在数字设备中,频宽通常以bps表示,即每秒可传输之位数。在模拟设备中,频宽通常以每秒传送周期或赫兹(Hz)来表示。带宽在计算机网络中有两个方面的含义,一是表示频带宽度,即信号所包含的各种不同频率成分所占据的频率范围,频宽对基本输出入系统(BIOS)设备尤其重要,如快速磁盘驱动器会受低频宽的总线所阻碍;二是通信线路所具备的传输数据的能力强弱。总的来说,带宽就是网络信息的传输速率,指的是每秒传输的最大字节数,体现的是网络系统每一秒处理字节的多少,高宽带就说明系统具备高字节处理能力。宽带是总线、内存、显示器、传感器等设施重要参数之一,是网络系统无形资产。
2.2 带宽不足问题的产生。由于互联网给人们生活、工作带来极大的便利,使得我国宽带用户长期持续地增加,这样就造成网络主干系统信息流量的复杂性。网络信息爆炸性的发展更加剧系统流量复杂化趋势,其非线性增长带给主干网络巨大的压力。还有DOS/DDOS恶性攻击、时常出现的大范围网络病毒、网络各种垃圾邮件的频频困扰等网络问题给网络正常运行造成严重阻碍。这部分不正常的网络信息流量既占用大范围的带宽空间,又长久持续地消耗着计算机CPU、内存等网络设施的系统资源。因此,采取有效对策对网络系统流量实施动态监测,并对监控结果开展深刻研究分析,并及时收集、整合、存储信息,生成资料,编制带宽管理方案,借以确保学校网络运维工作的顺利开展。这种处理网络异常信息的需求越来越受到更多网络运行商的青睐,逐步成为信息安全行业中新话题、新热点。
3 带宽资产管理形成的动因
由此可见,带宽不足的问题已经让网络运维进入一个长期困境,将会成为网络疏通、网络安全、信息安全、网络防护等工作的处理难题。由于当前网络运行环境具有脆弱性的特点,这就使得高宽带更能发挥其良好的使用价值。对于网络运行商而言,在不断提高带宽承载能力的同时,还应采取科学有效带宽管理措施,来保证网络系统高效、快捷地运行,这正是现在学校网络运维的新课题。就当前的形势来讲,不少网络监控审计系统选取按照已知的攻击行为特征来研究分析网络安全问题的方法,并不能有效对未知攻击行为作出相应的识别以及监管,使得原有的网络安全设施在网络技术应用日益复杂的今天不可避免地产生局限性。这种局限性主要体现在以下方面:一是原有带宽控制系统的局限性;二是网络线路串联式过滤系统的局限性;三是并联式检测系统的局限性。所以,为破除网络安全装置的局限性,使得网络运维工作持续、高效地运转,就应该应用先进的带宽管理技术。
网络安全运维管理范文3
本文所论述的自动化运维功能为基于IBM Tivoli成熟软件实现的。
【关键词】现代大型企业 运维自动化 软件
1 概述
目前大型数据中心设备数量巨大,且随时间不断递增递增,但维护人员相对比较少,随着机器数量的递增,人员完全无法承担如此大的维护量。从运维管理模式上看,目前大多数健康检查、软件部署、配置管理和变更工作都还由IT维护人员手工运维,随着设备数量的增长、运维标准的提升、配置和运维规范的日益严格,手工运维的模式已经越来越难以实现IT运维方面的高标准要求。
1.1 目前运维现状
目前运维工作主要现状为:
(1)大量手工操作
(2)无业务视角视图
(3)使用着分散的管理工具
(4)且维护、支持的要求和任务日益繁重。
导致问题:
(1)手工错误无法避免,很多故障原因为手工配置变更错误
(2)业务修复时间过长,达不到高可用性要求
(3)人员的工作强度大,但效率低
(4)无统一管理视图,管理的偶然问题多。
1.2 运维自动化的总体需求
1.2.1 目前自动化运维需求分为三大类:
(1)任务自动化:主要包含软件、裸机安装、补丁升级、配置变更、配置比对、操作审计、合规性检查、健康检查和报告。
(2)流程自动化:检修自动化、事件处理自动化、自主修复和纠正、敏捷地满足服务需求。
(3)服务自动化:可实现私有云的搭建并融合云管理和其他IT服务的自动化。
基于IBM Tivoli成熟软件可实现的大部分任务自动化功能和部分流程自动化,从服务器运维自动化、流程自动化和网络运维自动化进行整体的考虑与规划。
2 架构说明
2.1 运维自动化管理软件服务器端由四种组件构成
(1)IBM SmartCloud Control Desk(简称SCCD);
(2)IBM? Tivoli? Netcool? Configuration Manager(简称NCM);
(3)Tivoli Application Dependency DiscoveryManager(简称TADDM);
(4)IBM Endpoint Manager(简称IEM)
其中SCCD为运维管理流程平台,TADDM为配置发现服务器,都不包含客户端;IEM为完成服务器运维自动化的主要软件,在每台纳管的主机、PC服务器或者虚拟机上均需要部署相应的客户端软件;NCM为完成运维自动化的主要软件,在首次使用的时候,需要配置网络设备自动发现脚本,之后NCM将自动发现所有限定的网络中的设备,并使用相应的权限进行运维管理。
2.2 安全管控措施
为实现在统一平台上对底层设备的自动化管理和维护提供保障,所有对自动化运维平台及其所管理的客户端设备的操作,都必须用ACL控制通过运维审计系统进行登录,以保证所有管理的网络及物理设备的安全和稳定等。
3 部署步骤
3.1 运维自动化软件服务器端部署
3.1.1 SCCD服务器的部署
部署内容:
(1)安装配置IBM DB2
(2)安装配置Websphere Application Server Network Deployment
(3)安装配置Tivoli Directory Server
(4)安装配置Smart Cloud Control Desk server
3.1.2 NCM服务器的部署
部署内容:
(1)安装数据库Oracle11g
(2)安装配置Netcool Configuration Manager server
(3)安装配置Netcool Configuration Manager driver
3.1.3 IEM、TADDM及IEM裸机安装服务器的部署
部署内容:
(1)安装配置SQLServer2008
(2)安装配置IBM Endpoint Manager server;
(3)完成IBM Endpoint Manager Fixlet订阅;
(4)安装Tivoli Application Dependency DiscoveryManager
完成以上三个步骤之后,即完成运维自动化软件服务器端的全部安装,所有server正常启动之后,将能为纳管主机、服务器、PC及网络设备等提供全部运维自动化管理软件的各项功能及服务等。
3.2 运维自动化软件客户端部署
3.2.1 IEM客户端安装部署
部署内容:
(1)在PC上安装配置IBM Endpoint Manager client;
(2)在服务器上安装配置IBM Endpoint Manager client;
(3)在虚拟机上安装配置IBM Endpoint Manager client;
(4)在IBM Endpoint Manager console上查看安装配置的client注册到IEM server,并能从navigate tree对所纳管设备进行分组管理等工作;
3.2.2 NCM纳管网络设备的发现和管理:
部署内容:
(1)登录NCM Base Web Portal,设定NCM参数,包括:时区、资源浏览可视化、建立worker server resource、建立资源授权、配置FTP资源、配置server pool size、导入网络设备等;
(2)配置管理网络设备,完成规则检查等。
3.2.3 SCCD统一管理平台配置
部署内容:
(1)建立SCCD调用IEM连接,在SCCD上申请服务和跟踪服务进度,来完成对服务器运维的自动化管理,包括安装软件、补丁更新、巡检等工作;
(2)创建新用户,并赋予新用户事先定义的角色组及角色,由此可以控制使用该用户名的登录所能管理和控制的运维自动化平台内容。
4 结论
本文所述的运维自动化组件,可初步实现服务器和网络设备的任务运维自动化功能,和部分流程自动化功能:
(1)健康检查和报告, 实现服务器、小型机、虚拟机(PC)和网络安全设备的日常巡检功能。
(2)合规性检查,对于服务器、小型机、虚拟机(PC)和网络安全设备的基线要求。
(3)补丁升级,实现所有服务器、小型机、虚拟机(PC)和办公中终端的补丁升级功能。
(4)软件分发和裸机安装,实现包括服务器和办公终端的操作系统、桌面终端、防病毒软件和办公软件的分发和安装功能。
(5)配置变更和比对,实现所有服务器、小型机、虚拟机(PC)和网络安全设备的配置变更和对比。
(6)巡检和补丁分发流程的周期性流程自动化。
网络安全运维管理范文4
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
网络安全运维管理范文5
关键词 灰色模型;残差改进;神经网络
中图分类号:TP393.08 文献标识码:B
文章编号:1671-489X(2014)08-0132-04
Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei, MA Wenlong , HAO Jing
Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP (analytic hierarchy process) is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that, GM (Grey Model) is introduced to comprehensively predict the conditions of the industry’s information security, and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.
Key words grey model; error improvement; artificial neural network
1 引言
随着电力行业信息化建设水平的不断提高,部门之间信息交换愈加频繁,网络安全问题日益突出,为行业信息化工作的深入开展埋下了诸多隐患。并且作为重点行业,用户核心业务及敏感数据的安全保护,生产大区与信息大区分布范围较广但信息交换日益增多,网络结构受地区限制而差异较大,网络结构复杂等诸多因素决定了行业网络安全方面的特殊性。因此,针对行业特点,人们提出许多技术措施和管理手段。
但是由于网络安全涉及多个方面的内容[1-12],无法简单地通过某一方面的数据而反映整体网络安全状况,现有网络安全机制出发点在于可视化的网络管理维护、突发事件的应急管理、风险评定等,这些措施加强了网络安全的管理,但是缺乏对网络安全的主动预测,以便提前遏制可能出现的各类安全问题,消除潜在风险。因此,本文通过综合日常运维工作实际与各项考核指标,提出一种基于残差改进GM(1,1)模型的网络安全预测方法。
2 网络安全预测方法与标准
本文所提出的信息风险预测方法,以灾变灰预测[13-14]为基础,从以往的被动防御方式,如防火墙、入侵检测技术等,转换为主动预测的方式,通过对以往网络安全事件发生的统计分析,包括网络安全事件发生的频率、数量[15]、类型以及威胁程度等多个方面,得出原始序列并指定阈值,构造异常序列与时分布映射,通过对时分布序列的GM(1,1)建模,对异常值时分布作预测,使运维管理人员、网络及软件工程师提前采取相应的防范措施,消除风险[16-18]。
在结合信息系统安全评价考核指标与日常运行维护所反映出的主要问题后,选择出重要的样本类型,具体参看图1,确定权重。
3 网络安全预测模型构建
层次分析法 首先将预测参考指标层次化[16],通过相互比较确定各指标对于安全预测的重要程度,构造判断矩阵,而后考察判断矩阵对应于特征根的特征向量是否在容许的范围内,若通过了一致性检验,则再通过层次总排序来决定各个因素的优先程度,即对于网络安全预测的权重值。
GM(1,1)模型及灾变灰预测 如前所述,使用GM(1,1)灰色预测模型,其基本形式为x(0)(k)+az(1)(k)=b,根据此基本形式,可以列出如下两个矩阵:
Y=(x(0)(2),x(0)(3),x(0)(4),……,x(0)(n))T
网络安全运维管理范文6
关键词:网络空间;安全防护;安全体系;建设
中图分类号:TP309 文献标识码:A
随着信息技术的迅猛发展及推广应用,网络信息已成为各行各业管理控制的神经中枢,近期发现的勒索病毒又一次敲响了网络安全的警钟,因此,网络空间安全体系建设已成为影响单位发展乃至社会稳定的重大课题。
一、网络空间面临的主要安全威胁
近年来,网络空间安全得到高度重视,将其设为一级学科、颁发《中华人民共和国网络安全法》《国家网络空间安全战略》《网络空间国际合作战略》等,这也说明网络空间面临的安全威胁越来越严峻,具体来说,主要包括以下4个方面。
一是安防技术总体滞后。网络空间攻击与防护自从网络诞生以来就一直存在,但安全防护技术总是在出现了新的漏洞、新的攻击方法后,再研究有效的应对之策。目前网络空间安全防护体系基本上是基于已知的攻击手段和常规攻击流程构建的,以被动防御策略为主,通过封堵端口、修补漏洞、边界防护等方法实现,因此,安防技术的滞后性给网络空间安全防护体系的构建带来了技术上的现实威胁。
二是安防设备可控性差。目前我们使用的网络空间软硬件系统、标准规范大多靠国外引进,90%以上的CPU和存储单元、95%以上的系统软件和应用软件、85%以上网络交换元器件都采用国外产品或基于国外开发平台研制。据国家互联网应急中心抽样监测,2016年,中国境内有1699万余台主机被黑客利用作为木马或僵尸网络受控端,境内约1.7万个网站被篡改、8.2万余个网站被植入后门程序,监测到1Gbps以上DDoS攻击事件日均452起。这一系列数字表明,安防设备可控性已成为日益严峻的安全威胁。
三是安防机构机制不全。我国2014年2月成立网络安全和信息化领导小组,积极推动网络安全防护管理体系的构建。即将于2017年6月1日起施行的《中华人民共和国网络安全法》,对国家网信部门、国务院电信主管部门、公安部门和其他有关机关的职责进行了明确,但总体上看,安全保密联管、网络安全联防和信息安全联控的工作机制也还没有完全建立,同时,信息系统重建设轻安全、重使用轻防护等现象在一定程度上还存在。
四是安防责任意识不强。在日常应用中将用户密码设置为简单数字、或者设置与用户名同名,通过即时通信工具发送用户密码,用户密码在某些共享空间中明码存放等现象时常存在;在非密级互联网交流平台谈论敏感信息的事件也经常发生。同时,信息服务提供商的安全意识也不强,2016年12月雅虎先后证实总共超过15亿用户信息遭窃取。因此,无论是普通用户,还是系统设计、运维管理人员,都存在安全意识不强的问题,自以为信息系统的日常使用出不了安全问题。
二、强力推进技术与装备体系自主可控
目前我们的网络信息系统绝大多数是基于国外软硬件产品构建,是否安全难以掌控,必须强力推进自主可控相关工作。
一是加快自主可控安全技术与装备的研发。在研制桌面计算机、服务器、手持式、便携式终端等软硬件装备的基础上,统一规划构建网络空间安全自主可控技术产品规范,研制防火墙、路由器、无线接入、证书分发、入侵检测、舆情监控、防病毒软件、安全操作系统、安全数据库管理系统等软硬件产品,真正构建成体系的网络空间安全自主可控产品体系,实现从被动防护到主动防护、从静态防护到动态防护、从局域防护到全域防护的转变。
二是通过示范试点强力推广应用。信息技术产品具有很高的技术应用创新性与很强的用户体验性,长期处于实验室验证阶段,难以促进产品的优化完善,真正好的信息技术产品都是用出来的,只有投放市场接受用户的体验,才有可能出现这样那样的问题。因此,应将研制出来的产品在一定范围内积极组织示范试点,研发单位动态跟进,不断优化升级,不断修改完善。对于重要的信息系统,应在全自主、高可信的基础上构建更加安全可靠的保底手段。
三是在实际应用中优化完善自主可控技术与装备体系。要实现真正有效的安全防护,仅靠几个产品是不太可能的,而是要从技术研究、装备应用两方面入手构建体系化安全防护。在技术研究方面,应从物理安全、网络安全、主机安全、应用安全、数据安全、安全支撑出发,分等级构建相应的技品、参数配置策略、技术实现方案、应急处置预案等;在装备应用方面,依据信息系统的重要程度及遭到破坏后的影响程度,明确提出装备使用具体要求,使用户在病毒与木马查杀、入侵检测、防火墙、访问控制等系统的使用中,能做到设备与设备之间优化配合、安全策略不断优化,真正发挥自主可控技术与装备的作用。
三、不断强化运维与监管体系集约高效
通过系统监控、用户申报、在线支持等多种技术手段接收、处理各类安全事件,通过风险评估、监察预警、攻击测试、应急响应、安全审计、检查评比、强制整改等方式,不断加强对网络空间安全体系的监督管理。
一是强化制度管理和全员安全教育。运维和监管都离不开制度的约束,在国家立法、行业规章等方面已有一些网络空间安全管理措施规定,但对于一个具体的单位或应用系统,还有必要制定更为详细具体、针对性更强的制度措施,并定期有计划地开展全员安全教育,让全体人员知晓哪些操作能做、哪些不能做,在运维人员自我监督、相互监督的基础上,不断完善专业监管体系。
二是强化内部管控和各项技术手段运用。大多数网络空间安全事件来自于内部,既要依靠各项规章制度管理和约束,又要将各类网络空间安全技术手段和软硬件设备进行有机组合,形成有效的结构化立体安全运维监管体系,使网络空间安全运维监管在技术上做到有效监测、即时发现、主动防御,并具备安全事件追踪能力,才能真正震慑各种内部及外部人员的不安全行为。
三是强化人才培养和网络攻防演习演训。真正要确保网络空间安全运维与安全监管,人才是根本保证,网络空间安全在技术上高新尖的特点,使得人才的价值更为突出。建设高素质的网络空间安全防护队伍,既是社会发展的必然要求,也是网络空间安全的现实需要。因此,国务院学位委员会、教育部于2015年增设网络空间安全一级学科,加快推进网络空间安全高层次人才培养。总的来说,要坚持科学筹划、整体部署、突出重点、集约高效,把握网络空间领域人才成长特点规律,积极创新网络空间安全人才队伍培养模式,优化网络空间安全人才知识能力结构和培养目标,建立良好的网络攻防演习演训机制,努力培养一批会管理、懂技术的高素质网络空间安全专业人才。
参考文献
[1]王伟光.网络空间安全视角下我国信息安全战略理论构建与实现路径分析[J].电子技术与软件工程,2015(3):229-230.
[2]周季礼,黄朝辉.2014我国周边国家网络和信息安全建设大扫描[J].中国信息安全,2015(1):86-98.
[3]徐晓军.军工企业信息安全面临的形势及对策探讨[J].网络安全技术与应用,2015(6):11-12.
