前言：中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)安全運(yùn)維管理范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

網(wǎng)絡(luò)安全運(yùn)維管理范文1

【關(guān)鍵詞】網(wǎng)絡(luò)；安全等級保護(hù)；實施策略

1網(wǎng)絡(luò)安全等級保護(hù)模型的建構(gòu)

1.1安全計算環(huán)境的建構(gòu)

其中安全計算環(huán)境能夠?qū)崿F(xiàn)相關(guān)等級系統(tǒng)的有效管理，在信息存儲以及處理，安全策略實施過程中，能夠?qū)π畔⑾到y(tǒng)的重要情況全面掌控。安全計算環(huán)境在其有效區(qū)域邊界安全防護(hù)中，實現(xiàn)對外界網(wǎng)絡(luò)的各種攻擊行為有效防護(hù)，并能夠避免出現(xiàn)非授權(quán)訪問。針對這一問題，安全計算機(jī)環(huán)境整體安全防范，也就是針對網(wǎng)絡(luò)實施有計劃有標(biāo)準(zhǔn)的安全性改造，以能夠顯著提升系統(tǒng)整體性，以免系統(tǒng)本身出現(xiàn)安全漏洞及缺陷等，出現(xiàn)安全風(fēng)險或者受到攻擊問題。另外，安全計算環(huán)境安全防護(hù)工作主要也就是有效防范和控制系統(tǒng)內(nèi)部的攻擊和非授權(quán)訪問問題，以免內(nèi)部人員因為自身操作方式問題出現(xiàn)破壞行為。

1.2安全網(wǎng)絡(luò)環(huán)境的建構(gòu)

在信息系統(tǒng)中，通過網(wǎng)絡(luò)能夠有效實現(xiàn)不同計算機(jī)和計算域，用戶和用戶域的有效銜接，在不同系統(tǒng)間信息傳輸過程中網(wǎng)絡(luò)具有通道作用。網(wǎng)絡(luò)可以在系統(tǒng)內(nèi)外應(yīng)用，部分網(wǎng)絡(luò)信息流在傳輸過程中，都會不同程度的經(jīng)過不穩(wěn)定網(wǎng)絡(luò)環(huán)境。因此，在實際操作中，網(wǎng)絡(luò)安全防護(hù)工作首先也就需要提高網(wǎng)絡(luò)設(shè)備的整體安全性，針對網(wǎng)絡(luò)中的各個設(shè)備制定定期維護(hù)方案，以免出現(xiàn)網(wǎng)絡(luò)攻擊問題，基于此顯著提升網(wǎng)絡(luò)中的信息流總體安全性，在以上基礎(chǔ)上進(jìn)一步提升通信架構(gòu)的整體性、安全性以及保密性。在網(wǎng)絡(luò)自身安全保密中，可以采用網(wǎng)絡(luò)加密技術(shù)和本身結(jié)合方式，滿足網(wǎng)絡(luò)安全等級保護(hù)的不同要求。其中在網(wǎng)絡(luò)安全域建設(shè)中，需要制定相應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)安全范圍，并實現(xiàn)網(wǎng)絡(luò)不同訪問操作的有效控制，在實際工作中也需要重視網(wǎng)絡(luò)的安全審計工作，提高相應(yīng)邊界完整性，以免在網(wǎng)絡(luò)運(yùn)行中受到網(wǎng)絡(luò)入侵和攻擊，并可以有效防范出現(xiàn)惡性代碼問題，能夠?qū)W(wǎng)絡(luò)設(shè)備的安全防護(hù)及信息起到有效的保護(hù)作用。

1.3安全管理中心的建構(gòu)

在信息系統(tǒng)中，安全管理中心是重要的安全管理系統(tǒng)，直接影響整個系統(tǒng)的安全管理有效性。安全管理中心作為管理平臺，能夠?qū)崿F(xiàn)對系統(tǒng)中不同信息安全機(jī)制的整合性管理，對于系統(tǒng)中存在的分散安全機(jī)制，安全管理中心可以對其實施系統(tǒng)化管理，實現(xiàn)集中管理有助于顯著提升安全防范效果。安全管理中心在應(yīng)用中，可以系統(tǒng)性統(tǒng)籌管理系統(tǒng)的相關(guān)體系域的安全計算域、網(wǎng)絡(luò)安全域以及安全用戶域等，并對其實現(xiàn)統(tǒng)一調(diào)度和應(yīng)用，可以實現(xiàn)對廣大用戶身份以及授權(quán)的管理，實現(xiàn)對用戶操作和審計過程的管理，實現(xiàn)對用戶訪問和控制，也就可以實現(xiàn)系統(tǒng)的整體風(fēng)險防范，全面掌握通信架構(gòu)運(yùn)行情況，顯著提升網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的整體效果。

2網(wǎng)絡(luò)安全等級保護(hù)的實施策略

網(wǎng)絡(luò)安全運(yùn)維管理范文2

關(guān)鍵詞：網(wǎng)絡(luò)運(yùn)維；帶寬資產(chǎn)；網(wǎng)絡(luò)流量；課題

中圖分類號：TP393.07

對于學(xué)校網(wǎng)絡(luò)系統(tǒng)，信息中心在管理網(wǎng)絡(luò)機(jī)房、服務(wù)器、存儲裝置的目的就是確保信息資產(chǎn)的安全，還有增設(shè)部分維護(hù)學(xué)校網(wǎng)絡(luò)的設(shè)施，如有形資產(chǎn)包括路由器、交換機(jī)，由于維持網(wǎng)絡(luò)的正常連接，而帶寬就可作為一種無形資產(chǎn)。因此，學(xué)校帶寬資產(chǎn)管理對于網(wǎng)絡(luò)系統(tǒng)運(yùn)維、信息安全等當(dāng)面起著十分重要的作用。

1 學(xué)校網(wǎng)絡(luò)運(yùn)維與信息安全

1.1 學(xué)校網(wǎng)絡(luò)運(yùn)維管理的概念。所謂網(wǎng)絡(luò)運(yùn)維，就是為保障電信網(wǎng)絡(luò)與業(yè)務(wù)正常、安全、有效運(yùn)行，而采取的一系列組織管理活動。網(wǎng)絡(luò)運(yùn)維系統(tǒng)所用到的設(shè)施有網(wǎng)絡(luò)中路由器，交換機(jī)，服務(wù)器，動力系統(tǒng)，存儲設(shè)備，防火墻等，還包含對網(wǎng)路系統(tǒng)進(jìn)行實時監(jiān)測以及自動生成網(wǎng)絡(luò)拓?fù)涞那度胧接布O(shè)備。按照無形資產(chǎn)的管理方法，對有限的網(wǎng)絡(luò)資源卡贊管理和進(jìn)行有效分配，保證教學(xué)、科研和管理工作的需要。

1.2 學(xué)校信息安全的重要性。學(xué)校信息資源信息作為一種資源，具有普遍性、共享性、增值性、可處理性和多效用性等特點(diǎn)，使其對于需要教學(xué)以及多學(xué)生進(jìn)行考試測驗等方面發(fā)揮著十分重要的意義。學(xué)校信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息具備高度安全性。按照國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。因此，就需要采取有效對策來保證學(xué)校信息安全。

1.3 網(wǎng)絡(luò)運(yùn)維與信息安全的聯(lián)系。對學(xué)校網(wǎng)絡(luò)進(jìn)行運(yùn)行和維護(hù)的最終目的就是確保學(xué)校信息能夠安全可靠地進(jìn)行資源收集、存儲、傳輸、使用，防范在校學(xué)生對不良信息的瀏覽以及不法分子對學(xué)生個人信息的竊取，使得學(xué)生在安全、可靠的網(wǎng)絡(luò)環(huán)境中學(xué)習(xí)，從而取得良好的教學(xué)效果。

2 網(wǎng)絡(luò)運(yùn)維帶寬問題的產(chǎn)生

2.1 帶寬概念。帶寬（band width）又叫頻寬，是指在固定的的時間可傳輸?shù)馁Y料數(shù)量，亦即在傳輸管道中可以傳遞數(shù)據(jù)的能力。在數(shù)字設(shè)備中，頻寬通常以bps表示，即每秒可傳輸之位數(shù)。在模擬設(shè)備中，頻寬通常以每秒傳送周期或赫茲（Hz）來表示。帶寬在計算機(jī)網(wǎng)絡(luò)中有兩個方面的含義，一是表示頻帶寬度，即信號所包含的各種不同頻率成分所占據(jù)的頻率范圍，頻寬對基本輸出入系統(tǒng)（BIOS）設(shè)備尤其重要，如快速磁盤驅(qū)動器會受低頻寬的總線所阻礙；二是通信線路所具備的傳輸數(shù)據(jù)的能力強(qiáng)弱。總的來說，帶寬就是網(wǎng)絡(luò)信息的傳輸速率，指的是每秒傳輸?shù)淖畲笞止?jié)數(shù)，體現(xiàn)的是網(wǎng)絡(luò)系統(tǒng)每一秒處理字節(jié)的多少，高寬帶就說明系統(tǒng)具備高字節(jié)處理能力。寬帶是總線、內(nèi)存、顯示器、傳感器等設(shè)施重要參數(shù)之一，是網(wǎng)絡(luò)系統(tǒng)無形資產(chǎn)。

2.2 帶寬不足問題的產(chǎn)生。由于互聯(lián)網(wǎng)給人們生活、工作帶來極大的便利，使得我國寬帶用戶長期持續(xù)地增加，這樣就造成網(wǎng)絡(luò)主干系統(tǒng)信息流量的復(fù)雜性。網(wǎng)絡(luò)信息爆炸性的發(fā)展更加劇系統(tǒng)流量復(fù)雜化趨勢，其非線性增長帶給主干網(wǎng)絡(luò)巨大的壓力。還有DOS/DDOS惡性攻擊、時常出現(xiàn)的大范圍網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)各種垃圾郵件的頻頻困擾等網(wǎng)絡(luò)問題給網(wǎng)絡(luò)正常運(yùn)行造成嚴(yán)重阻礙。這部分不正常的網(wǎng)絡(luò)信息流量既占用大范圍的帶寬空間，又長久持續(xù)地消耗著計算機(jī)CPU、內(nèi)存等網(wǎng)絡(luò)設(shè)施的系統(tǒng)資源。因此，采取有效對策對網(wǎng)絡(luò)系統(tǒng)流量實施動態(tài)監(jiān)測，并對監(jiān)控結(jié)果開展深刻研究分析，并及時收集、整合、存儲信息，生成資料，編制帶寬管理方案，借以確保學(xué)校網(wǎng)絡(luò)運(yùn)維工作的順利開展。這種處理網(wǎng)絡(luò)異常信息的需求越來越受到更多網(wǎng)絡(luò)運(yùn)行商的青睞，逐步成為信息安全行業(yè)中新話題、新熱點(diǎn)。

3 帶寬資產(chǎn)管理形成的動因

由此可見，帶寬不足的問題已經(jīng)讓網(wǎng)絡(luò)運(yùn)維進(jìn)入一個長期困境，將會成為網(wǎng)絡(luò)疏通、網(wǎng)絡(luò)安全、信息安全、網(wǎng)絡(luò)防護(hù)等工作的處理難題。由于當(dāng)前網(wǎng)絡(luò)運(yùn)行環(huán)境具有脆弱性的特點(diǎn)，這就使得高寬帶更能發(fā)揮其良好的使用價值。對于網(wǎng)絡(luò)運(yùn)行商而言，在不斷提高帶寬承載能力的同時，還應(yīng)采取科學(xué)有效帶寬管理措施，來保證網(wǎng)絡(luò)系統(tǒng)高效、快捷地運(yùn)行，這正是現(xiàn)在學(xué)校網(wǎng)絡(luò)運(yùn)維的新課題。就當(dāng)前的形勢來講，不少網(wǎng)絡(luò)監(jiān)控審計系統(tǒng)選取按照已知的攻擊行為特征來研究分析網(wǎng)絡(luò)安全問題的方法，并不能有效對未知攻擊行為作出相應(yīng)的識別以及監(jiān)管，使得原有的網(wǎng)絡(luò)安全設(shè)施在網(wǎng)絡(luò)技術(shù)應(yīng)用日益復(fù)雜的今天不可避免地產(chǎn)生局限性。這種局限性主要體現(xiàn)在以下方面：一是原有帶寬控制系統(tǒng)的局限性；二是網(wǎng)絡(luò)線路串聯(lián)式過濾系統(tǒng)的局限性；三是并聯(lián)式檢測系統(tǒng)的局限性。所以，為破除網(wǎng)絡(luò)安全裝置的局限性，使得網(wǎng)絡(luò)運(yùn)維工作持續(xù)、高效地運(yùn)轉(zhuǎn)，就應(yīng)該應(yīng)用先進(jìn)的帶寬管理技術(shù)。

網(wǎng)絡(luò)安全運(yùn)維管理范文3

本文所論述的自動化運(yùn)維功能為基于IBM Tivoli成熟軟件實現(xiàn)的。

【關(guān)鍵詞】現(xiàn)代大型企業(yè) 運(yùn)維自動化 軟件

1 概述

目前大型數(shù)據(jù)中心設(shè)備數(shù)量巨大，且隨時間不斷遞增遞增，但維護(hù)人員相對比較少，隨著機(jī)器數(shù)量的遞增，人員完全無法承擔(dān)如此大的維護(hù)量。從運(yùn)維管理模式上看，目前大多數(shù)健康檢查、軟件部署、配置管理和變更工作都還由IT維護(hù)人員手工運(yùn)維，隨著設(shè)備數(shù)量的增長、運(yùn)維標(biāo)準(zhǔn)的提升、配置和運(yùn)維規(guī)范的日益嚴(yán)格，手工運(yùn)維的模式已經(jīng)越來越難以實現(xiàn)IT運(yùn)維方面的高標(biāo)準(zhǔn)要求。

1.1 目前運(yùn)維現(xiàn)狀

目前運(yùn)維工作主要現(xiàn)狀為：

（1）大量手工操作

（2）無業(yè)務(wù)視角視圖

（3）使用著分散的管理工具

（4）且維護(hù)、支持的要求和任務(wù)日益繁重。

導(dǎo)致問題：

（1）手工錯誤無法避免，很多故障原因為手工配置變更錯誤

（2）業(yè)務(wù)修復(fù)時間過長，達(dá)不到高可用性要求

（3）人員的工作強(qiáng)度大，但效率低

（4）無統(tǒng)一管理視圖，管理的偶然問題多。

1.2 運(yùn)維自動化的總體需求

1.2.1 目前自動化運(yùn)維需求分為三大類：

（1）任務(wù)自動化：主要包含軟件、裸機(jī)安裝、補(bǔ)丁升級、配置變更、配置比對、操作審計、合規(guī)性檢查、健康檢查和報告。

（2）流程自動化：檢修自動化、事件處理自動化、自主修復(fù)和糾正、敏捷地滿足服務(wù)需求。

（3）服務(wù)自動化：可實現(xiàn)私有云的搭建并融合云管理和其他IT服務(wù)的自動化。

基于IBM Tivoli成熟軟件可實現(xiàn)的大部分任務(wù)自動化功能和部分流程自動化，從服務(wù)器運(yùn)維自動化、流程自動化和網(wǎng)絡(luò)運(yùn)維自動化進(jìn)行整體的考慮與規(guī)劃。

2 架構(gòu)說明

2.1 運(yùn)維自動化管理軟件服務(wù)器端由四種組件構(gòu)成

（1）IBM SmartCloud Control Desk（簡稱SCCD）；

（2）IBM? Tivoli? Netcool? Configuration Manager（簡稱NCM）；

（3）Tivoli Application Dependency DiscoveryManager（簡稱TADDM）；

（4）IBM Endpoint Manager（簡稱IEM）

其中SCCD為運(yùn)維管理流程平臺，TADDM為配置發(fā)現(xiàn)服務(wù)器，都不包含客戶端；IEM為完成服務(wù)器運(yùn)維自動化的主要軟件，在每臺納管的主機(jī)、PC服務(wù)器或者虛擬機(jī)上均需要部署相應(yīng)的客戶端軟件；NCM為完成運(yùn)維自動化的主要軟件，在首次使用的時候，需要配置網(wǎng)絡(luò)設(shè)備自動發(fā)現(xiàn)腳本，之后NCM將自動發(fā)現(xiàn)所有限定的網(wǎng)絡(luò)中的設(shè)備，并使用相應(yīng)的權(quán)限進(jìn)行運(yùn)維管理。

2.2 安全管控措施

為實現(xiàn)在統(tǒng)一平臺上對底層設(shè)備的自動化管理和維護(hù)提供保障，所有對自動化運(yùn)維平臺及其所管理的客戶端設(shè)備的操作，都必須用ACL控制通過運(yùn)維審計系統(tǒng)進(jìn)行登錄，以保證所有管理的網(wǎng)絡(luò)及物理設(shè)備的安全和穩(wěn)定等。

3 部署步驟

3.1 運(yùn)維自動化軟件服務(wù)器端部署

3.1.1 SCCD服務(wù)器的部署

部署內(nèi)容：

（1）安裝配置IBM DB2

（2）安裝配置Websphere Application Server Network Deployment

（3）安裝配置Tivoli Directory Server

（4）安裝配置Smart Cloud Control Desk server

3.1.2 NCM服務(wù)器的部署

部署內(nèi)容：

（1）安裝數(shù)據(jù)庫Oracle11g

（2）安裝配置Netcool Configuration Manager server

（3）安裝配置Netcool Configuration Manager driver

3.1.3 IEM、TADDM及IEM裸機(jī)安裝服務(wù)器的部署

部署內(nèi)容：

（1）安裝配置SQLServer2008

（2）安裝配置IBM Endpoint Manager server；

（3）完成IBM Endpoint Manager Fixlet訂閱；

（4）安裝Tivoli Application Dependency DiscoveryManager

完成以上三個步驟之后，即完成運(yùn)維自動化軟件服務(wù)器端的全部安裝，所有server正常啟動之后，將能為納管主機(jī)、服務(wù)器、PC及網(wǎng)絡(luò)設(shè)備等提供全部運(yùn)維自動化管理軟件的各項功能及服務(wù)等。

3.2 運(yùn)維自動化軟件客戶端部署

3.2.1 IEM客戶端安裝部署

部署內(nèi)容：

（1）在PC上安裝配置IBM Endpoint Manager client；

（2）在服務(wù)器上安裝配置IBM Endpoint Manager client；

（3）在虛擬機(jī)上安裝配置IBM Endpoint Manager client；

（4）在IBM Endpoint Manager console上查看安裝配置的client注冊到IEM server，并能從navigate tree對所納管設(shè)備進(jìn)行分組管理等工作；

3.2.2 NCM納管網(wǎng)絡(luò)設(shè)備的發(fā)現(xiàn)和管理：

部署內(nèi)容：

（1）登錄NCM Base Web Portal，設(shè)定NCM參數(shù)，包括：時區(qū)、資源瀏覽可視化、建立worker server resource、建立資源授權(quán)、配置FTP資源、配置server pool size、導(dǎo)入網(wǎng)絡(luò)設(shè)備等；

（2）配置管理網(wǎng)絡(luò)設(shè)備，完成規(guī)則檢查等。

3.2.3 SCCD統(tǒng)一管理平臺配置

部署內(nèi)容：

（1）建立SCCD調(diào)用IEM連接，在SCCD上申請服務(wù)和跟蹤服務(wù)進(jìn)度，來完成對服務(wù)器運(yùn)維的自動化管理，包括安裝軟件、補(bǔ)丁更新、巡檢等工作；

（2）創(chuàng)建新用戶，并賦予新用戶事先定義的角色組及角色，由此可以控制使用該用戶名的登錄所能管理和控制的運(yùn)維自動化平臺內(nèi)容。

4 結(jié)論

本文所述的運(yùn)維自動化組件，可初步實現(xiàn)服務(wù)器和網(wǎng)絡(luò)設(shè)備的任務(wù)運(yùn)維自動化功能，和部分流程自動化功能：

（1）健康檢查和報告， 實現(xiàn)服務(wù)器、小型機(jī)、虛擬機(jī)（PC）和網(wǎng)絡(luò)安全設(shè)備的日常巡檢功能。

（2）合規(guī)性檢查，對于服務(wù)器、小型機(jī)、虛擬機(jī)（PC）和網(wǎng)絡(luò)安全設(shè)備的基線要求。

（3）補(bǔ)丁升級，實現(xiàn)所有服務(wù)器、小型機(jī)、虛擬機(jī)（PC）和辦公中終端的補(bǔ)丁升級功能。

（4）軟件分發(fā)和裸機(jī)安裝，實現(xiàn)包括服務(wù)器和辦公終端的操作系統(tǒng)、桌面終端、防病毒軟件和辦公軟件的分發(fā)和安裝功能。

（5）配置變更和比對，實現(xiàn)所有服務(wù)器、小型機(jī)、虛擬機(jī)（PC）和網(wǎng)絡(luò)安全設(shè)備的配置變更和對比。

（6）巡檢和補(bǔ)丁分發(fā)流程的周期性流程自動化。

網(wǎng)絡(luò)安全運(yùn)維管理范文4

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護(hù)堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護(hù)能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進(jìn)行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護(hù)能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護(hù)國家利益，促進(jìn)貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標(biāo)和思路

 

貴州廣電網(wǎng)絡(luò)目前運(yùn)營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點(diǎn)播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護(hù)制度的認(rèn)識，我們認(rèn)為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護(hù)、檢測、響應(yīng)、恢復(fù)四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計目標(biāo)

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進(jìn)行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護(hù)意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細(xì)則文件亟需補(bǔ)充，安全管理人員亟需培訓(xùn)。因此，本次規(guī)劃重點(diǎn)在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進(jìn)行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進(jìn)行了重點(diǎn)分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進(jìn)行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計要符合國家有關(guān)標(biāo)準(zhǔn)、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護(hù)技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務(wù)的正常運(yùn)行，不能為了安全而妨礙業(yè)務(wù)，同時設(shè)計的安全措施要可以落地實現(xiàn)。

 

1.3設(shè)計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護(hù)工作的實施意見》(公通字[2004]66號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護(hù)基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進(jìn)行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險管理

 

風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進(jìn)行保障的。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標(biāo)準(zhǔn)。

 

風(fēng)險管理是靜態(tài)的防護(hù)策略，是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護(hù)需求，設(shè)計防護(hù)的措施，具體的措施是打補(bǔ)丁，還是調(diào)整管理流程，或者是增加、增強(qiáng)某種安全措施，要根據(jù)用戶對風(fēng)險的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實現(xiàn)對它們的保護(hù)等，策略是模型的核心，所有的防護(hù)、檢測和響應(yīng)都是依據(jù)安全策略實施的。

 

檢測(Detection)、防護(hù)(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具(如防火墻、身份認(rèn)證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài)，在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進(jìn)行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運(yùn)行，不會進(jìn)入任何非預(yù)期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

 

邊界防護(hù)體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運(yùn)維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護(hù)業(yè)務(wù)運(yùn)行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認(rèn)證系統(tǒng)、補(bǔ)丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機(jī)房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運(yùn)維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進(jìn)一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護(hù)體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護(hù)的重點(diǎn)，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠(yuǎn)程運(yùn)維工作，與遠(yuǎn)程辦公實施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠(yuǎn)程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點(diǎn)業(yè)務(wù)系統(tǒng)的終端，如運(yùn)維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補(bǔ)丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點(diǎn)有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠(yuǎn)程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡(luò)用戶行為進(jìn)行詳細(xì)記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補(bǔ)牢，可以彌補(bǔ)入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運(yùn)維審計(堡壘機(jī))、曰志審計以及網(wǎng)絡(luò)行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

 

1.運(yùn)維與安全管理的統(tǒng)一：業(yè)務(wù)運(yùn)維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運(yùn)維與應(yīng)急指揮統(tǒng)一：隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運(yùn)維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務(wù)，同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一：安全運(yùn)維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運(yùn)維人員服務(wù)的質(zhì)量。因此對安全運(yùn)維平臺的行為記錄就可以為運(yùn)維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

 

1.身份認(rèn)證系統(tǒng)：獨(dú)立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運(yùn)維提供身份認(rèn)證服務(wù)。

 

2.補(bǔ)丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補(bǔ)丁進(jìn)行管理，對于通過測試的補(bǔ)丁、重要的補(bǔ)丁，提供主動推送，或強(qiáng)制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解，對于不能打補(bǔ)丁的系統(tǒng)，要確認(rèn)有其他安全策略進(jìn)行防護(hù)。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運(yùn)行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達(dá)到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機(jī)房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標(biāo)準(zhǔn)依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中二級、三級安全防護(hù)能力為標(biāo)準(zhǔn)，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進(jìn)行設(shè)計。

 

3.2安全管理體系的建設(shè)目標(biāo)

 

通過有效的進(jìn)行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實現(xiàn)的目標(biāo)是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持，實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標(biāo)準(zhǔn)體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當(dāng)以以下思想作為指導(dǎo)：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進(jìn)行信息安全管理的指導(dǎo)原則，信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標(biāo)準(zhǔn)，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機(jī)構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進(jìn)行建設(shè)和加強(qiáng)。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應(yīng)和滿足實際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機(jī)構(gòu)、安全管理制度、安全標(biāo)準(zhǔn)規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施，制定嚴(yán)格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化，達(dá)到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運(yùn)維3.5.1安全風(fēng)險評估

 

安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風(fēng)險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進(jìn)機(jī)會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機(jī)本地?zé)醾洹?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計劃

 

通過建立應(yīng)急相應(yīng)機(jī)構(gòu)，制定應(yīng)急響應(yīng)預(yù)案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復(fù)應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運(yùn)行是依靠在各級黨政機(jī)構(gòu)工作的人員來具體實施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強(qiáng)人事安全管理。

 

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當(dāng)。3.7技術(shù)安全管理

 

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運(yùn)營為目標(biāo)，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時還要符合國家與廣電總局關(guān)于等級保護(hù)的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運(yùn)維管理:信息安全管理規(guī)范、日常安全運(yùn)維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達(dá)標(biāo)階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系：網(wǎng)絡(luò)審計、運(yùn)維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù)：建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù)，建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實安全管理細(xì)則文件制定

 

12.落實安全運(yùn)維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程，建設(shè)安全運(yùn)維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進(jìn)階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護(hù)體系

 

3.提升整體防護(hù)能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練，協(xié)調(diào)改進(jìn)管理與技術(shù)措施

 

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進(jìn)運(yùn)維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

 

9.提高運(yùn)維效率，開拓運(yùn)維增值模式

 

5結(jié)東語

網(wǎng)絡(luò)安全運(yùn)維管理范文5

關(guān)鍵詞 灰色模型；殘差改進(jìn)；神經(jīng)網(wǎng)絡(luò)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：B

文章編號：1671-489X（2014）08-0132-04

Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei， MA Wenlong ， HAO Jing

Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP （analytic hierarchy process） is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that， GM （Grey Model） is introduced to comprehensively predict the conditions of the industry’s information security， and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.

Key words grey model； error improvement； artificial neural network

1 引言

隨著電力行業(yè)信息化建設(shè)水平的不斷提高，部門之間信息交換愈加頻繁，網(wǎng)絡(luò)安全問題日益突出，為行業(yè)信息化工作的深入開展埋下了諸多隱患。并且作為重點(diǎn)行業(yè)，用戶核心業(yè)務(wù)及敏感數(shù)據(jù)的安全保護(hù)，生產(chǎn)大區(qū)與信息大區(qū)分布范圍較廣但信息交換日益增多，網(wǎng)絡(luò)結(jié)構(gòu)受地區(qū)限制而差異較大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜等諸多因素決定了行業(yè)網(wǎng)絡(luò)安全方面的特殊性。因此，針對行業(yè)特點(diǎn)，人們提出許多技術(shù)措施和管理手段。

但是由于網(wǎng)絡(luò)安全涉及多個方面的內(nèi)容[1-12]，無法簡單地通過某一方面的數(shù)據(jù)而反映整體網(wǎng)絡(luò)安全狀況，現(xiàn)有網(wǎng)絡(luò)安全機(jī)制出發(fā)點(diǎn)在于可視化的網(wǎng)絡(luò)管理維護(hù)、突發(fā)事件的應(yīng)急管理、風(fēng)險評定等，這些措施加強(qiáng)了網(wǎng)絡(luò)安全的管理，但是缺乏對網(wǎng)絡(luò)安全的主動預(yù)測，以便提前遏制可能出現(xiàn)的各類安全問題，消除潛在風(fēng)險。因此，本文通過綜合日常運(yùn)維工作實際與各項考核指標(biāo)，提出一種基于殘差改進(jìn)GM（1，1）模型的網(wǎng)絡(luò)安全預(yù)測方法。

2 網(wǎng)絡(luò)安全預(yù)測方法與標(biāo)準(zhǔn)

本文所提出的信息風(fēng)險預(yù)測方法，以災(zāi)變灰預(yù)測[13-14]為基礎(chǔ)，從以往的被動防御方式，如防火墻、入侵檢測技術(shù)等，轉(zhuǎn)換為主動預(yù)測的方式，通過對以往網(wǎng)絡(luò)安全事件發(fā)生的統(tǒng)計分析，包括網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量[15]、類型以及威脅程度等多個方面，得出原始序列并指定閾值，構(gòu)造異常序列與時分布映射，通過對時分布序列的GM（1，1）建模，對異常值時分布作預(yù)測，使運(yùn)維管理人員、網(wǎng)絡(luò)及軟件工程師提前采取相應(yīng)的防范措施，消除風(fēng)險[16-18]。

在結(jié)合信息系統(tǒng)安全評價考核指標(biāo)與日常運(yùn)行維護(hù)所反映出的主要問題后，選擇出重要的樣本類型，具體參看圖1，確定權(quán)重。

3 網(wǎng)絡(luò)安全預(yù)測模型構(gòu)建

層次分析法 首先將預(yù)測參考指標(biāo)層次化[16]，通過相互比較確定各指標(biāo)對于安全預(yù)測的重要程度，構(gòu)造判斷矩陣，而后考察判斷矩陣對應(yīng)于特征根的特征向量是否在容許的范圍內(nèi)，若通過了一致性檢驗，則再通過層次總排序來決定各個因素的優(yōu)先程度，即對于網(wǎng)絡(luò)安全預(yù)測的權(quán)重值。

GM（1，1）模型及災(zāi)變灰預(yù)測 如前所述，使用GM（1，1）灰色預(yù)測模型，其基本形式為x（0）（k）+az（1）（k）=b，根據(jù)此基本形式，可以列出如下兩個矩陣：

Y=（x（0）（2），x（0）（3），x（0）（4），……，x（0）（n））T

網(wǎng)絡(luò)安全運(yùn)維管理范文6

關(guān)鍵詞：網(wǎng)絡(luò)空間；安全防護(hù)；安全體系；建設(shè)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A

隨著信息技術(shù)的迅猛發(fā)展及推廣應(yīng)用，網(wǎng)絡(luò)信息已成為各行各業(yè)管理控制的神經(jīng)中樞，近期發(fā)現(xiàn)的勒索病毒又一次敲響了網(wǎng)絡(luò)安全的警鐘，因此，網(wǎng)絡(luò)空間安全體系建設(shè)已成為影響單位發(fā)展乃至社會穩(wěn)定的重大課題。

一、網(wǎng)絡(luò)空間面臨的主要安全威脅

近年來，網(wǎng)絡(luò)空間安全得到高度重視，將其設(shè)為一級學(xué)科、頒發(fā)《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》等，這也說明網(wǎng)絡(luò)空間面臨的安全威脅越來越嚴(yán)峻，具體來說，主要包括以下4個方面。

一是安防技術(shù)總體滯后。網(wǎng)絡(luò)空間攻擊與防護(hù)自從網(wǎng)絡(luò)誕生以來就一直存在，但安全防護(hù)技術(shù)總是在出現(xiàn)了新的漏洞、新的攻擊方法后，再研究有效的應(yīng)對之策。目前網(wǎng)絡(luò)空間安全防護(hù)體系基本上是基于已知的攻擊手段和常規(guī)攻擊流程構(gòu)建的，以被動防御策略為主，通過封堵端口、修補(bǔ)漏洞、邊界防護(hù)等方法實現(xiàn)，因此，安防技術(shù)的滯后性給網(wǎng)絡(luò)空間安全防護(hù)體系的構(gòu)建帶來了技術(shù)上的現(xiàn)實威脅。

二是安防設(shè)備可控性差。目前我們使用的網(wǎng)絡(luò)空間軟硬件系統(tǒng)、標(biāo)準(zhǔn)規(guī)范大多靠國外引進(jìn)，90%以上的CPU和存儲單元、95%以上的系統(tǒng)軟件和應(yīng)用軟件、85%以上網(wǎng)絡(luò)交換元器件都采用國外產(chǎn)品或基于國外開發(fā)平臺研制。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心抽樣監(jiān)測，2016年，中國境內(nèi)有1699萬余臺主機(jī)被黑客利用作為木馬或僵尸網(wǎng)絡(luò)受控端，境內(nèi)約1.7萬個網(wǎng)站被篡改、8.2萬余個網(wǎng)站被植入后門程序，監(jiān)測到1Gbps以上DDoS攻擊事件日均452起。這一系列數(shù)字表明，安防設(shè)備可控性已成為日益嚴(yán)峻的安全威脅。

三是安防機(jī)構(gòu)機(jī)制不全。我國2014年2月成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，積極推動網(wǎng)絡(luò)安全防護(hù)管理體系的構(gòu)建。即將于2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》，對國家網(wǎng)信部門、國務(wù)院電信主管部門、公安部門和其他有關(guān)機(jī)關(guān)的職責(zé)進(jìn)行了明確，但總體上看，安全保密聯(lián)管、網(wǎng)絡(luò)安全聯(lián)防和信息安全聯(lián)控的工作機(jī)制也還沒有完全建立，同時，信息系統(tǒng)重建設(shè)輕安全、重使用輕防護(hù)等現(xiàn)象在一定程度上還存在。

四是安防責(zé)任意識不強(qiáng)。在日常應(yīng)用中將用戶密碼設(shè)置為簡單數(shù)字、或者設(shè)置與用戶名同名，通過即時通信工具發(fā)送用戶密碼，用戶密碼在某些共享空間中明碼存放等現(xiàn)象時常存在；在非密級互聯(lián)網(wǎng)交流平臺談?wù)撁舾行畔⒌氖录步?jīng)常發(fā)生。同時，信息服務(wù)提供商的安全意識也不強(qiáng)，2016年12月雅虎先后證實總共超過15億用戶信息遭竊取。因此，無論是普通用戶，還是系統(tǒng)設(shè)計、運(yùn)維管理人員，都存在安全意識不強(qiáng)的問題，自以為信息系統(tǒng)的日常使用出不了安全問題。

二、強(qiáng)力推進(jìn)技術(shù)與裝備體系自主可控

目前我們的網(wǎng)絡(luò)信息系統(tǒng)絕大多數(shù)是基于國外軟硬件產(chǎn)品構(gòu)建，是否安全難以掌控，必須強(qiáng)力推進(jìn)自主可控相關(guān)工作。

一是加快自主可控安全技術(shù)與裝備的研發(fā)。在研制桌面計算機(jī)、服務(wù)器、手持式、便攜式終端等軟硬件裝備的基礎(chǔ)上，統(tǒng)一規(guī)劃構(gòu)建網(wǎng)絡(luò)空間安全自主可控技術(shù)產(chǎn)品規(guī)范，研制防火墻、路由器、無線接入、證書分發(fā)、入侵檢測、輿情監(jiān)控、防病毒軟件、安全操作系統(tǒng)、安全數(shù)據(jù)庫管理系統(tǒng)等軟硬件產(chǎn)品，真正構(gòu)建成體系的網(wǎng)絡(luò)空間安全自主可控產(chǎn)品體系，實現(xiàn)從被動防護(hù)到主動防護(hù)、從靜態(tài)防護(hù)到動態(tài)防護(hù)、從局域防護(hù)到全域防護(hù)的轉(zhuǎn)變。

二是通過示范試點(diǎn)強(qiáng)力推廣應(yīng)用。信息技術(shù)產(chǎn)品具有很高的技術(shù)應(yīng)用創(chuàng)新性與很強(qiáng)的用戶體驗性，長期處于實驗室驗證階段，難以促進(jìn)產(chǎn)品的優(yōu)化完善，真正好的信息技術(shù)產(chǎn)品都是用出來的，只有投放市場接受用戶的體驗，才有可能出現(xiàn)這樣那樣的問題。因此，應(yīng)將研制出來的產(chǎn)品在一定范圍內(nèi)積極組織示范試點(diǎn)，研發(fā)單位動態(tài)跟進(jìn)，不斷優(yōu)化升級，不斷修改完善。對于重要的信息系統(tǒng)，應(yīng)在全自主、高可信的基礎(chǔ)上構(gòu)建更加安全可靠的保底手段。

三是在實際應(yīng)用中優(yōu)化完善自主可控技術(shù)與裝備體系。要實現(xiàn)真正有效的安全防護(hù)，僅靠幾個產(chǎn)品是不太可能的，而是要從技術(shù)研究、裝備應(yīng)用兩方面入手構(gòu)建體系化安全防護(hù)。在技術(shù)研究方面，應(yīng)從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全支撐出發(fā)，分等級構(gòu)建相應(yīng)的技品、參數(shù)配置策略、技術(shù)實現(xiàn)方案、應(yīng)急處置預(yù)案等；在裝備應(yīng)用方面，依據(jù)信息系統(tǒng)的重要程度及遭到破壞后的影響程度，明確提出裝備使用具體要求，使用戶在病毒與木馬查殺、入侵檢測、防火墻、訪問控制等系統(tǒng)的使用中，能做到設(shè)備與設(shè)備之間優(yōu)化配合、安全策略不斷優(yōu)化，真正發(fā)揮自主可控技術(shù)與裝備的作用。

三、不斷強(qiáng)化運(yùn)維與監(jiān)管體系集約高效

通過系統(tǒng)監(jiān)控、用戶申報、在線支持等多種技術(shù)手段接收、處理各類安全事件，通過風(fēng)險評估、監(jiān)察預(yù)警、攻擊測試、應(yīng)急響應(yīng)、安全審計、檢查評比、強(qiáng)制整改等方式，不斷加強(qiáng)對網(wǎng)絡(luò)空間安全體系的監(jiān)督管理。

一是強(qiáng)化制度管理和全員安全教育。運(yùn)維和監(jiān)管都離不開制度的約束，在國家立法、行業(yè)規(guī)章等方面已有一些網(wǎng)絡(luò)空間安全管理措施規(guī)定，但對于一個具體的單位或應(yīng)用系統(tǒng)，還有必要制定更為詳細(xì)具體、針對性更強(qiáng)的制度措施，并定期有計劃地開展全員安全教育，讓全體人員知曉哪些操作能做、哪些不能做，在運(yùn)維人員自我監(jiān)督、相互監(jiān)督的基礎(chǔ)上，不斷完善專業(yè)監(jiān)管體系。

二是強(qiáng)化內(nèi)部管控和各項技術(shù)手段運(yùn)用。大多數(shù)網(wǎng)絡(luò)空間安全事件來自于內(nèi)部，既要依靠各項規(guī)章制度管理和約束，又要將各類網(wǎng)絡(luò)空間安全技術(shù)手段和軟硬件設(shè)備進(jìn)行有機(jī)組合，形成有效的結(jié)構(gòu)化立體安全運(yùn)維監(jiān)管體系，使網(wǎng)絡(luò)空間安全運(yùn)維監(jiān)管在技術(shù)上做到有效監(jiān)測、即時發(fā)現(xiàn)、主動防御，并具備安全事件追蹤能力，才能真正震懾各種內(nèi)部及外部人員的不安全行為。

三是強(qiáng)化人才培養(yǎng)和網(wǎng)絡(luò)攻防演習(xí)演訓(xùn)。真正要確保網(wǎng)絡(luò)空間安全運(yùn)維與安全監(jiān)管，人才是根本保證，網(wǎng)絡(luò)空間安全在技術(shù)上高新尖的特點(diǎn)，使得人才的價值更為突出。建設(shè)高素質(zhì)的網(wǎng)絡(luò)空間安全防護(hù)隊伍，既是社會發(fā)展的必然要求，也是網(wǎng)絡(luò)空間安全的現(xiàn)實需要。因此，國務(wù)院學(xué)位委員會、教育部于2015年增設(shè)網(wǎng)絡(luò)空間安全一級學(xué)科，加快推進(jìn)網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)。總的來說，要堅持科學(xué)籌劃、整體部署、突出重點(diǎn)、集約高效，把握網(wǎng)絡(luò)空間領(lǐng)域人才成長特點(diǎn)規(guī)律，積極創(chuàng)新網(wǎng)絡(luò)空間安全人才隊伍培養(yǎng)模式，優(yōu)化網(wǎng)絡(luò)空間安全人才知識能力結(jié)構(gòu)和培養(yǎng)目標(biāo)，建立良好的網(wǎng)絡(luò)攻防演習(xí)演訓(xùn)機(jī)制，努力培養(yǎng)一批會管理、懂技術(shù)的高素質(zhì)網(wǎng)絡(luò)空間安全專業(yè)人才。

參考文獻(xiàn)

[1]王偉光.網(wǎng)絡(luò)空間安全視角下我國信息安全戰(zhàn)略理論構(gòu)建與實現(xiàn)路徑分析[J].電子技術(shù)與軟件工程，2015（3）：229-230.

[2]周季禮，黃朝輝.2014我國周邊國家網(wǎng)絡(luò)和信息安全建設(shè)大掃描[J].中國信息安全，2015（1）：86-98.

[3]徐曉軍.軍工企業(yè)信息安全面臨的形勢及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（6）：11-12.