网络安全运维管理范文10篇-欧洲杯买球平台
时间:2023-11-26 15:18:24
网络安全运维管理范文篇1
关键词:安全管理;技术防御;运维保障;风险控制;人才保障
1背景描述
从国家层面看,中央网络安全和信息化领导小组于2014年2月27日成立,《网络安全法》于2017年6月1日起正式开始实施,标志着网络安全已上升到国家战略高度,步入法制阶段;从技术发展看,以云计算、大数据、物联网、移动应用、智能制造为核心的“新it”浪潮风起云涌,服务化、智能化、自适应、随需而变是其主要特征,全新的信息安全技术正在颠覆传统安全技术,给我们带来了巨大挑战。
2体系建设
福建中烟深刻理解网络安全建设工作的重要性,积极响应国家和烟草行业号召,贯彻行业“分级分域、整体保护、积极预防、动态管理”的网络安全总体策略,从“安全管理、技术防御、运维保障、风险控制、人才保障”五大体系建设着手,大力发展网络安全,建成了一支高素质的网络安全保障队伍和一套多区域纵深防护的网络安全架构,同时还具备国际先进的安全管理体系,有效减少了网络安全风险,保护福建中烟信息资产的机密性、完整性、可用性,确保信息系统安全可靠运行,为公司业务正常开展提供了有力的保障。2.1安全管理体系建设方面。一是组织有保障:成立了信息安全工作领导小组,明确公司党组对全省网络安全工作负主体责任,领导班子主要负责人是第一责任人,统一组织开展公司的信息安全工作。设置了专职安全管理员岗位,为信息安全工作提供了组织保障。二是制度有保障:根据《烟草行业信息安全管理制度建设基本要求》,结合公司实际工作情况,从总体方针文件、机构人员、物理安全、网络安全、设备安全、开发安全和运维安全方面,制订了《信息安全策略》、《信息安全工作管理办法》等共40多个标准化文件,基本完成信息安全管理体系建设,通过了iso27001信息安全管理体系认证,并深化推进体系运行。三是机制有保障:按照国家和行业等级保护要求,开展等级保护工作,形成定级、备案、测评和整改工作机制。同时,按照行业“三全”工作要求,将“三全”工作法贯彻到日常工作中,形成长效机制,夯实了安全管理基础。2.2技术防御体系建设方面。一是形成分级分域网络架构。根据行业“三全”工作和“分级分域”保护要求,参照等级保护和iatf标准,梳理和分析网络中各应用系统数据流,将信息网络划分为核心计算域、网络边界域、网络设施域和支撑设施域四个区域,每个区域又进一步划分为小的区域,进一步调整优化了网络结构。二是建成多层技术防护体系。根据行业“防入侵、防篡改、防窃密、防瘫痪、防病毒”五防要求,完善核心交换区域和服务器区、用户接入区、互联网接入区、下属单位接入区以及外部单位接入区等各个安全区域的防护措施。三是突出重点保障业务安全。针对公司邮件应用,部署了邮件安全网关设备,对垃圾、钓鱼和病毒等邮件进行过滤和防护;针对web应用,部署了web应用防火墙设备,防范xss、sql注入等网站攻击行为,保护web网站不受非法攻击和篡改;针对应用系统远程接入访问安全问题,部署了sslvpn设备,确保移动办公人员和出差人员安全地接入公司内网。四是部署备份保障数据安全。部署了emc数据备份系统,根据业务系统的数据备份要求,规划备份空间,制定备份策略,实现了数据自动备份。在完成本地备份的基础上,完成异地备份和恢复测试,达到预期效果。五是强化终端安全管理。加强域名和移动app管理,建立终端运行环境标准,强化终端安全管理和数据防泄露管理,提高整体安全防护水平。2.3运维保障体系建设方面。一是监控预警能力提升。完成安全运维一体化管控平台建设,配置操作系统、应用和网络设备等监控,分析归并安全设备日志,从应用系统、网络拓扑、机房监控、链路监控和安全事件五个维度对信息系统情况进行监控展示,全面掌握信息系统运行状态,保障信息系统持续稳定运行。二是常态检查分析深入。深入贯彻落实“日查、月分、季评”工作要求,每天对安全设备进行巡检,每月对信息系统运行情况进行分析,每季度开展安全健康检查,发现潜在的问题,提出安全加固建议。三是运维服务管理规范。在安全运维一体化管控平台上固化了故障申告、事件管理、变更管理等it服务和运维流程,提高it服务和运维效率,提升了用户服务满意度;部署了运维审计系统,进一步加强了第三方运维人员权限控制和运维操作审计;主要应用系统、网络和安全设备均制订了运维操作手册,实现了it服务和运维操作流程规范化、自动化和痕迹化,进一步提高了运维管理水平。四是应急保障措施有力。全面分析可能影响信息系统安全稳定持续运行的因素和事件,制订信息系统应急预案,每季度根据应急预案制订演练方案,开展不同科目的应急演练,并对演练工作进行总结,分析、研判和解决存在的问题,持续完善应急预案和演练方案,进一步锻炼了应急保障队伍,提升了应急保障能力。2.4风险防控体系建设方面。一是深入贯彻风险管理理念。运用科学的方法手段,从“五防”着手,重新评估已有安全技术管理措施的有效性。每年至少组织一次全面的风险评估,全面识别网络与信息系统面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,建立网络与业务系统安全风险管理模型,制定有针对性的主动抵御威胁的防护对策和整改措施,最大限度地保障网络、业务信息系统和数据安全。二是组织开展新建系统上线前安全评估、源代码安全审计、基线配置核查、网站安全监测、等保测评和安全加固工作,提高整体预判能力。2.5人才保障体系建设方面。一是重视人才培养。组织安全管理员参加并通过cisp认证培训,每年开展面向网络安全技术人员的专业培训和面向全员的网络安全意识普及培训。二是积极探索学习实践最新安全技术应用。密切跟踪云大物移等新技术的应用带来的新风险,开展基础制造云平台和工业互联网平台的网络安全保障体系研究;开展基于全网数据流量分析及应用层安全检测的网络安全态势感知技术方案研究与设计;密切跟踪主动安全与拟态安全等新兴安全防御思维下产生的新型安全产品,加强对外学习交流。
3结语
回首过去,我们始终不断进取,勇于挑战,向网络安全建设投入了大量的辛勤与汗水。而如今,我们的付出也终于有了收获,在2016年度及2018年度,福建中烟被评为福建省网络安全先进单位,我们的网络安全管理体系也在2018年10月成功通过了中国国家质量检验局的iso27001安全管理体系认证,评审老师更是对我们的工作给出了高度的评价和赞扬。但我们深知网络安全防范是个不断迭代的过程,未来还会有更多全新的挑战在等待我们,需要我们不断砥砺前行!
参考文献:
[1]史献芝.论新时代网络安全治理体系建设[j].行政论坛,2019,26(1):46-50.
网络安全运维管理范文篇2
关键词:局域网;网络安全;要点
互联网技术的应用给现代社会发展起到了重要的促进作用,但是在实际运行中由于多方面因素的影响,使得网络运行中常会出现安全防护问题,造成数据损坏或丢失,以此给企业带来较大经济损失,甚至会造成严重的后果。因此在局域网建设和运行中,必须依赖于一定的安全防护对策,强化网络安全防护水平,以此确保信息防护安全,保障企事业单位工作正常运转。
1项目概述
1.1项目背景。近年来,随着博物馆信息化建设步伐的加快,上海中国航海博物馆(下简称“中海博”)基于各业务信息系统的大数据交换和共享的需求也日益增长。博物馆网络信息安全防范需要综合计算机网络信息管理各个层面、各个环节的不同要素,围绕“做好内部网络环境的治理、阻止外界入侵”,不断加强对网络信息安全方面的研究,并制定出科学的防护策略,进而使其防护手段能够全面适应当前博物馆计算机网络技术的发展需求。现阶段信息安全形势严峻,网络攻击、信息泄露、勒索病毒等安全威胁层出不穷。特别是一些境外敌对势力,常常在重大节日或关键会议期间,对国内的机关和企事业单位发起集中攻击[1]。同时行业各监管单位也对下属机构开展相关的安全检查工作,以帮助发现自身安全问题,督促整改。中海博在建设信息化平台的过程中,始终对信息和网络安全保持高度重视,积极开展信息系统安全工作,保证核心业务系统基本的安全。但是随着行业安全形势变得越来越严峻,监管要求的加强,《信息安全技术网络安全等级保护基本要求》(以下简称:等保2.0)的提出,以及新业务对互联网的开放程度加强。目前整体业务系统依然不能满足要求,需要进一步完善和加固。1.2项目实施的必要性。网络安全管理对于我国信息安全具有重要的保障作用,在博物馆等大型公共场所运行中,必须强化对这方面工作的重视程度。中海博除内部工作人员使用的办公网络外,还有包括电子消费系统、藏品管理系统等业务系统以及展厅内大量终端、wifi基站等都需要使用网络系统进行接入。如果网络系统受到攻击,必然会对日常工作造成极为严重影响[2]。中海博虽已建立了基础网络系统,也具备了防火墙等最为基础的信息安全设备。但随着智慧博物馆的建设,无线网络的加入、日渐增多的应用层业务系统,以及因为观众的诉求和需要,内外网融合等情况,也产生了较大的网络安全隐患。网络的安全性会直接影响到博物馆整个信息化系统的安全性,所以,提供安全的网络运行环境至关重要。
2项目建设内容
2.1完善安全防御体系。通过安全建设保障单位业务系统安全、稳定、高效运行;通过统一的安全规划,对单位进行安全区域的划分,对每个区域包括:核心业务区、安全管理区、安全运维区、核心交换区、dmz区域、终端接入区和业务出口区域等进行安全隔离,并部署适当的防御手段,主要包括设置防火墙、waf等措施。门户网站、对外票务系统等外部业务系统需要重点保护,根据业务的特点部署具有针对性的防护手段,如b/s架构的应用对应web应用防火墙和网页防篡改等技术手段,7×24小时的实时网站监测服务,针对外部系统的高可用、可靠性进行监测,确保重要业务系统具有更高的安全等级和抗攻击能力。对单位主机进行全面的管控和病毒防护,使用桌面管控和杀毒软件实现全面的恶意代码防范[3]。在网络的关键节点部署网络防病毒,阻断病毒数据在区域间的传播。2.2完善安全审计体系。建立信息安全审计系统是按一定规则,在不同层次获取并分析各种记录、日志、报告等信息资源,以如实反映系统安全情况和那里发生的所有事件,试图从网络或基于网络向主机系统应用系统或直接向主机系统、应用系统发起外部的、内部的、内外串联的与滥用特权的入侵和攻击,都将在安全审计系统中留下他的活动记录,如果安全审计系统能够同时和实时告警与连接阻断功能相结合或互动,就会组成一个及时响应、防审结合的纵深防御体系,将被动事后审计与实时主动防御结合起来,更有效地阻止入侵和攻击,避免系统因此而产生不应有的损失。对于单位审计体系目前规划主要审计主体为业务服务器和核心网络、安全设备。具体涉及日志审计、运维审计、数据库审计三个方面。2.3完善安全管理体系。除了技术措施外,建立健全安全管理体系也是极为重要的方面,这不但是等级保护标准中的要求,也是安全防护体系中不可或缺的重要组成部分。安全管理体系主要包括:安全管理制度;安全管理机构;安全管理人员;安全建设管理;安全运维管理。根据等级保护的要求在上述方面建立一系列的管理制度与操作规范,并明确执行。2.4通过等保测评。通过一系列的安全加固手段,使中海博网络达到等保2.0要求,确保网络和信息系统安全稳固。
3方案设计
3.1中海博局域网概述。中海博作为部级的航海博物馆,信息化网络是所有网络安全的重要体现,中海博内网主要涵盖保障博物馆管理和运营业务正常开展的平台,如办公oa系统,馆藏系统,电子消费系统,图书馆系统,内部邮件系统,固定资产系统,财务管理系统,物资关系系统,数据库系统,环境监控系统,域控系统。中海博外网主要涵盖馆内对外服务资源的对外服务,如官方网站信息,网上订票、信息查询及讲解预约等业务。3.2中海博局域网网络安全风险分析。如果在网络系统运行中使用内外网合并的形式,将会给工作人员的日常工作带来较大便利,同时也会同步带来安全防护问题,由于内网系统不再处于封闭式的状态,博物馆的管理和业务信息等将会直接出现被泄露或者入侵风险,这些风险不仅包括信息和数据层面,还包过设备设施的物理层和系统运行层面。由于博物馆系统数据的特殊性,如果一旦出现数据信息泄露或者应用层等被破坏的情形,其所造成的社会效益损失将无法估量。3.3中海博局域网方案逻辑拓扑结构。3.4中海博局域网设计概述。中海博局域网总体规划方案根据等保2.0建设标准,将整体拓扑结构规划为核心业务区、安全管理区、安全运维区、核心交换区、dmz区域、终端接入区和业务出口区,七个区域。各个区域之间采用必要的安全手段进行安全隔离。总体的网络设计如下:核心业务区:作为核心业务的部署环境,该区域部署单位最核心的应用和数据,如:馆藏、检索、票务、域控和内部邮箱等系统。需要部署高级别的安全防御。安全管理区:专门部署安全设备和统一管理安全策略的区域,本次涉及的数据库审计、日志审计、网页防篡改服务器端,以及原有的ibms、环境监控机建议部署在此区域进行统一的管理和控制。安全运维区域:安全运维区域作为唯一的运维通道,专门部署仅做运维操作的终端以及堡垒机等必要的运维工具。网络设备、安全设备、服务器、数据库等资产的运维工作全部通过此区域终端对接堡垒机进行操作。核心交换区:网络核心层,主要做业务交换,需要保证设备和线路的冗余架构。dmz区域:对外业务区,部署需要开放互联网或者需要连接互联网的对外业务,包括邮件系统、网站、域名服务器、业务前置机等。终端接入区:主要部署包括内部办公人员网络在内的接入网。业务出口区:互联网边界,互联网业务的区域。中海博局域网整体访问逻辑根据实际业务类型进行设置,在逻辑设置中主要有如下几个方面要求:对于内部用户,主要是通过核心交换机,通过防火墙、ids的安全过滤访问核心业务。核心业务原则上不对外开放和访问,需要和互联网对接的业务在dmz区域部署前置机,开放前置机对外。内部业务通过防火墙开放权限,和前置机对接。核心业务必须要访问互联网的,通过防火墙单独开放权限。安全产品仅对运维区域开放,接入区无法访问。所有设备管理权限仅对运维区堡垒机开放,堡垒机仅允许区域内运维终端登录。在区域隔离设计方面是在核心业务区域边界部署2台下一代防火墙(目前已有1台,存在单点故障问题,且需要明确相应的安全模块完整),实现核心业务区域边界的网络访问控制。并通过核心业务防火墙隔离核心交换区、安全管理区和安全运维区。对于核心交换机区、出口区域、dmz区域通过原有防火墙进行隔离,建议完善防病毒模块。3.5中海博局域网方案安全管理方案。信息技术部根据等保2.0对网络信息安全的要求,从安全责任制、技术防范措施、操作管理规程、应急预案和信息安全报告制度等方面建立相应的制度,做到有法可依,有法必依。根据测评年度要求,定期对信息系统进行等级保护测评,对网络信息安全相关制度每年进行适当修订。加强对全体馆员的网络安全教育,通过定期培训技能和法律知识培训,普及基本的操作技能,通过网络安全主题宣传,印刷网络安全彩页知识宣传页分发到各部门,召集员工收看网络安全宣传视频,各部门落实专人为网络安全员,每年定期培训,针对网络个人信息保护、密码安全、公共wifi安全、数据安全、移动介质安全、防范勒索软件等相关网络安全知识进行讲解,通过定期的安全意识考核,采用线上答题、访谈、抽查等方式进行安全意识考核,对不达标或者存在重大安全意识问题的员工进行针对性的安全培训。以此帮助员工增强网络安全意识,提升网络安全风险防范能力,降低内外网融合后的风险。
4结束语
局域网安全建设已经成为网络信息系统管理的重要方面,对于管理机构的要求也不断提升,在实际运行过程中,各个部门的人员都需要根据自身情况积极参与进来,通过技能培训提升自身网络技术应用水平,切实加强对网络安全技术的重视程度,以此为局域网安全运行奠定坚实的基础。
参考文献:
[1]宋晨媛.计算机局域网网络的安全建设核心探索[j].计算机产品与流通,2018(12):33.
[2]李章平.虚拟局域网的建设与安全策略研究[j].南方农机,2018,49(1):138,141.
网络安全运维管理范文篇3
1电子政务运维主要工作内容
电子政务运行维护是指电子政务系统建设完成并交付使用后,为保证系统能够安全、稳定、高效运行,对系统的运行环境、业务功能、内容信息、系统安全等进行管理和维护的工作,重点包括以下几方面运维内容。1.1运行环境维护。指对网络系统运行环境的管理和维护,是保障整体电子政务系统能够安全、稳定运行的基础。主要包括对电子政务机房机柜、电力系统、空调设备、通信线路等基础物理支撑环境的维护;对网络设备、存储设备、主机设备等的策略配置、故障诊断等网络环境的运维;对防火墙、主机系统、存储系统、备份恢复等系统的升级管理;对局域网内计算机故障诊断、板卡更换、配置修改等运维。1.2系统功能运维。指根据业务需求的变化对系统的功能进行升级改造,是电子政务运维管理的关键内容。功能运维能力是体现电子政务业务发展水平的重要因素,要求运维人员既要熟悉机关业务,又要熟悉信息化系统的管理。主要包括系统功能增减、流程优化、版本升级等功能开发;bug修复、需求变更等维护性开发;人员权限变更、数据的校正和修改、日志的管理等;系统在进行建设及规划过程中的安全设计和管理;对应用系统进行功能调研等。1.3系统内容运维。指系统投入使用后,对系统运行过程中产生和使用的数据、图像、语音、视频等信息进行管理和维护,针对系统内容的运维、使用和管理是建设系统的最终目的。主要包括对数据版本控制、占用磁盘空间、存储位置、存储系统等维护;对不同业务系统之间的信息交换进行管理维护;管理和维护单位内外网站、大屏、触摸屏系统上的信息,以及信息系统;对数据库和数据仓库系统、音视频系统、应用系统等进行数据备份,并检查备份数据的有效性等。1.4系统安全运维。指为确保系统安全运行,防止发生安全事件,对系统的物理安全、网络安全,以及安全管理进行的维护工作。主要包括对防火墙进行故障诊断和问题排除,对服务器、核心路由器、交换机等关键网络设备进行安全检查;制定、配置和更改访问策略,以及设定、调整安全级别;及时更新杀毒代码和引擎,对服务器和客户端开展关键更新;定期对ips/ids、安全网关和安全审计等网络安全设备进行跟踪,发现问题后及时修补漏洞;对数据备份和恢复措施进行网络安全管理。
2新一代信息技术发展特点
新一代信息技术发展的特点是,以云计算、大数据、移动互联网等为代表的新型技术快速发展,引起能源、电力、通信、交通等几乎所有重要行业发生深刻变革,并由此引发更为复杂、更为受关注的网络安全问题。2.1云计算。各国政府对云计算技术保持高度关注,并持续支持云计算在电子政务领域的应用,一方面希望减少在基础设施方面的投入,降低运行维护的成本;另一方面希望通过云计算技术带动信息产业的整体发展,力图在新一轮发展中保持领先。建设以云计算为基础的,以全方位业务协同、信息资源共享及信息安全保障为目标的新一代电子政务基础设施已经成为当前国家以及各地政府的共识。我国政府大力支持云计算发展,特别在电子政务领域中的应用。《国务院关于促进云计算创新发展培育信息产业新业态的意见》(以下简称《意见》)中明确指出,云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态,是信息化发展的重大变革和必然趋势,进一步坚定了各政府部门应用云计算加强电子政务建设的信心和决心。2.2大数据。“智慧来自大数据”,电子政务建设必须充分发挥大数据优势,建立在大量数据分析基础上的政府决策,能够提高决策的科学化、精准化水平,可以进一步提升电子政务价值,是建设智慧政府的基础。例如在城市管理方面,利用大数据分析能够使城市管理更加智能化,其他诸多产业通过大数据分析能够发现创新升级机会点,进而在竞争中获得先发优势。近年来,大数据受到社会各界广泛关注,我国政府大力支持大数据发展。2016年12月,工业和信息化部正式印发《大数据产业发展规划(2016-2020年)》,强调实施国家大数据战略,推动大数据产业持续发展,是党中央、国务院作出的重大战略部署,为加快推动大数据产业健康快速发展提供了政策依据。2.3移动互联。随着我国“互联网 政务服务”的持续深入和移动互联网的快速发展,政务app发展空间巨大。一是很多省、市相关政府部门逐步开通政务app,覆盖范围越来越广;二是政务app的设计形式和服务内容不断改进,功能越来越完善;但当前政务app发展还存在缺乏顶层规划指导,重复建设、各自为政现象日渐加剧等问题。因此,下一阶段应加强政务app规划顶层设计,采取集中模式建设移动政务应用,进一步突出app的功能性和集成性特点,大力发展一站式的移动政务门户,同时注重app的后期运营和用户体验效果,提高政务app的生命力。2.4网络安全重要性提升。电子政务网络安全管理是做好运维工作的基础。随着信息通信技术的高速发展,工业互联网、5g技术、人工智能、物联网等技术和应用的融合升级,“互联网 政务服务”进一步深化,网络安全的重要性进一步得到提升,对安全运维工作提出了更高要求。另外,网络安全管理体系历来存在重技术轻管理问题,对于系统的安全管理,过于盲目相信先进技术,存在忽视网络安全运维管理人员意识和责任等问题。
3新一代信息技术下电子政务运维管理特点
新一代信息技术在发展过程中,以云计算、大数据和移动互联网等新兴技术为基础,通过不断推出丰富的服务形式和内容,创新服务模式,持续为客户创造价值。随着新一代信息技术的快速发展,电子政务向政府各部门不断深化,电子政务运维管理工作也发生翻天覆地的变化,必然要求不断适应新技术发展需要,从粗放管理走向科学管理。如果说过去20年信息产业的重点是生产和销售计算机、通信和电视设备,信息化的主要工作是推进数字化。那么未来的新一代信息技术产业的重点是网络化和智能化,将更加关注数据和信息内容本身,更加关注网络安全,从制造加工回归到“数字”、“网络”、“智能”产业本身的轨道。下面笔者结合在实际工作中的研究和实践,就新一代信息通信技术下,做好电子政务运维工作需要重点考虑的几个问题进行总结。3.1合理分配软硬件部分运维经费传统的电子政务以购买硬件设备为主,应用系统主要包括邮件系统和办公系统,软硬件经费使用存在着“二八现象”,即80%经费用于购买硬件,20%经费用于购买软件,维护工作分布。也存在“二八现象”,大部分人员负责硬件的维修维护,只有少部分人员负责软件系统的运维,这是电子政务运行发展的初级阶段,无复杂应用系统。新一代信息技术下电子政务发展呈现的特点是,云计算、虚拟化技术的发展,单位需要购买的硬件数量更少,硬件更集中,硬件性能更高;软件和应用系统的数量更多,需要的资金也更多。在云计算模式中,海量的应用和服务请求数据资源存放在云端,用户可以在不同场合、任意时间访问云平台,按所提出的需求获取信息,实现不同终端、设备间数据与应用共享。庞大的计算机集群具备超高的计算能力和存储能力,通过使用基于海量数据的数据挖掘等技术,深入挖掘网络中的数据资源,并将挖掘结果形成形式多样的报告进行反馈。因此在云计算、大数据等新一代信息技术下,电子政务运维经费也需要按照“二八现象”进行分配,即软件和应用系统维护占80%,硬件维护占20%。3.2更加注重内容运维和数据分析。云计算的快速发展,促使大量应用系统进行集中开展运营、运行维护,重点业务领域的跨部门协同,系统版本的不断更新,功能的不断丰富,需要有一大批经验丰富、软件技术过硬的运维人员参与其中。大数据的发展,积累了海量的数据,通过数据挖掘手段,从有噪音的、模糊的、随机的实际应用数据中,抽取隐含在其中、有潜在使用价值的信息和知识。这些都对运维人员能力提出更高要求,要求必需掌握大量云计算、大数据等知识,并具备从大量的政务数据和信息中挖掘知识的能力,掌握从海量数据中获取知识所必须的工具和技能,熟练使用数据存储、抽取、清洗、转换、加载和呈现等数据仓库和商业智能工具,具备业务的深入分析和预测建模能力。3.3网络安全保障能力要求更高以云计算、大数据和移动互联网为代表的新一代信息技术发展,使得电子政务系统复杂程度成倍增长,对网络安全运维和管理工作提出更高要求,下面针对物理安全、数据保护、安全管理和管理制度等方面分别进行简要说明。(1)物理安全。云计算要求将大量的应用和数据集中在数据中心,而用户客户端只有信息显示功能,因此新一代信息技术下电子政务运维工作对数据中心机房的安全要求要明显高于传统,对客户端几乎不需要运维。(2)访问控制。在云计算、大数据模式下,对访问控制的策略管理、运行维护工作需要更加精细,更加准确。(3)数据保护。数据的集中存放,对数据保护的要求提出了新的挑战,不仅要考虑数据库本身的安全性能要求,还要考虑数据的失泄密风险,这需要将传统的数据保护概念进行升级。数据的修改、删除、更新等对安全审计日志也提出新的要求。(4)通信保密。不仅要保证现有有线网络的安全通信,随着无线通信、移动互联网的普及和发展,对通信安全保密提出了新的挑战,需要运维人员安排更多的时间去考虑这方面工作。(5)备份恢复。数据和应用的大集中、备份的中心性进一步凸显,建设一个备份中心远远不能保证安全,应该考虑建设2个以上备份中心,其中至少应该建设一个500千米以外的异地备份中心。(6)安全管理规章制度。管理制度的完善也需要适应新一代信息技术发展的需要,包括机房管理制度、保密制度、安全制度、防火防范制度、防病毒制度、应急保障制度等系列制度,都应根据新一代信息技术的特点进行优化完善。
参考文献
[1]中央办公厅国务院办公厅关于印发<2006-2020年国家信息化发展战略>的通知.中发办[2006]11号,2006-03-15.
[2]中共中央关于制定国民经济和社会发展第十三个五年规划的建议.2015年10月29日中国共产党第十八届中央委员会第五次全体会议通过.
[3]国务院关于印发“十三五”国家战略性新兴产业发展规划的通知.国发[2016]67号,2016-11-14.
[4]工业和信息化部关于印发大数据产业发展规划(2016-2020年)的通知.工信部规[2016]412号,2016-12-18.
网络安全运维管理范文篇4
关键词:管理运维;计算机网络;工作环境
1背景
当今社会,计算机广泛应用于各个领域,并且已经成为人们日常生活中不可缺少的一部分。对于计算机网络来说,对计算机网络进行合理化的维护,可以在减轻人工负担的同时大大地提高工作效率,保证计算机服务器和各个软件系统避免收到木马病毒的攻击。而近几年来,计算机的管理运维已经受到人们的广泛关注。本文从网络维护管理的意义下手,针对在网络管理运维过程中存在的网络环境良莠不齐和相关人员缺乏专业能力的现状,提出了加强网络信息加密处理能力、加强基础架构、构建防火墙体系和加强内部管理制度建设的策略。
2网络维护管理的意义
2.1保障计算机安全。二十一世纪,网络科技如雨后春笋般一样迅速崛起,像洪水拍击海岸势不可挡,走进千家万户。目前,大家的重要信息一般都是储存在计算机中,一旦网络系统受到木马和病毒的攻击,可能就会对自己的生命财产造成巨大的损失。在计算机网络防护体系不健全的今天,自己的小隐私、小秘密,如果不稍加注意,很可能就会通过计算机散发出去。在利用计算机网上冲浪时,不浏览、不观看不健康的视频和小说,及时抹去自己的上网痕迹,可以有效地避免个人信息在网络环境中泄露。而计算机网络管理运维的意义就是不让储存在计算机中的信息泄露出去。2.2确保计算机设备的安全运行。计算机网络维护主要是由硬件维护和软件维护两部分组成,它们在网络系统工作中占有着举足轻重的地位。计算机网络的安全运行,离不开软件和硬件的协调合作。比如,现在的汽车组装行业,计算机网络系统的配置,在减轻人工负担的同时也大大地提高了工作效率,然而在这样便利的条件下也会出现问题,其主要的原因是一般都是人为操作不当而引起的网络安全问题。为了保证网络系统工作的正常运行,这就需要对计算机网络进行合理化的维护,保证服务器和各个软件系统避免收到木马病毒的攻击。
3网络管理运维的现状
3.1网络环境良莠不齐。随着网络技术的快速发展,网络规模的不断增大,人们获取信息的方式更加多样化、便利化。放眼当下,在计算机网络时代和全球信息化的背景条件下,网络管理和网络安全性成为人们关注的焦点。一旦计算机网络系统崩溃,将对企业、单位、公司的各种信息资源,以及对个人造成巨大的损失。而目前,网络黑客和木马病毒也是威胁网络安全的主要因素,这种病毒一般具有极其隐蔽的特点和来势猛的特点,如果这种情况不能够及时处理掉,将会对计算机内部数据库信息造成巨大的损失,从而影响着企业、单位和公司的正常运行。如果没有一个高效的网络管理系统,广大用户就很难获得自身所需的服务,也很难保证网络安全的稳定性及运维的正常性。3.2相关人员缺乏专业能力。计算机的网络管理运维,不单单是要依靠着一个高效的网络管理系统,而在网络的高效管理下,相关工作人员在其后的默默努力与付出。针对国内网络管理的形势来说,有相当一部分工作人员缺乏专业的计算机操作能力,而工作人员的计算机水平以及自身的操作能力直接影响着网络管理运维的效果。为了保证网络运行维护工作的正常开展,提高工作人员的职业素质已经成为重中之重。工作人员的网络系统运维意识淡薄,如果不能够对他们进行管理知识的普及,就会影响着网络的正常运行。例如,操作人员对重要信息的保护意识较差,从而使一些不法分子有了可乘之机。又比方说,在计算机日常维护中,系统出现的安全漏洞工作人员没有及时修复,这样也不能保证信息的安全性。
4计算机网络管理工作的策略
4.1加强网络信息加密处理能力。为了保证网络信息的安全性,就必须加强网络信息加密的加密处理能力,拥有一套完整的信息加密技术,从而实现信息技术的完整性和隐蔽性。信息加密以软件保护为主,通过改变信息的负载,来达到信息的机密性。它是一种有效的安全防护措施,其原理是通过密码算术对网络信息进行转化,将文字转化成不能够直接读取的暗文,从而阻止不法分子获取和理解原始数据,避免给不法分子可乘之机。目前世界上最流行的几种加密体制和加密算法有:rsa算法和ccep算法等。传统过程中,基本的信息加密一般都是通过邮政邮件来完成,而且有着耗时长、安全度低的弊端。电子信息加密技术的出现打破了这种局面,除特定收信人以外的任何人都是不可读取的,实现了信息的保密性。4.2加强基础架构。计算机运维的网络架构,在不同的时期,有着不同的差别。计算机网络的运维,就是对在计算机刚兴起的时期里,网络内容少和运营商观念淡薄等问题进行解决。以用户为中心,为用户提供网络服务是计算机网络运维的主要理念。目前,国内在网络运维方面的需求量很大,而且国外的运维服务费用又很高,以至于市场上出现了很多山寨软件,这些软件并不能为网络运维提供较好的服务。计算机网络的运维就是对网络进行实时监测,在网络出现状况时,能够及时被解决。网络系统及时发现并分析什么原因引起的问题,然后再由工作人员去解决处理。如果问题是由网络黑客和木马病毒引起的,就要指派技术人员去应对。而目前国内的网络管理运维都是按照这个模式来处理的,所以加强网络基础的架构是非常有必要的。4.3构建防火墙体系。防火墙,又叫防护墙,是网络上一个通用的术语,主要由软件和硬件设备两部分组成。它是系统的第一道防线,其作用是为了防止不法分子的进入,避免网络系统受到攻击。在网络中,防火墙作为一种隔离技术,可以自动识别内部人员和网络用户。计算机网络应用的加强,对防火墙技术提出了一个更高的要求。随着计算机网络的普及,这要求着防火墙能够高效快速的处理网络数据。由于现在大量使用企业计算机网络技术,所以防火墙这种基本的安全防护手段用得比较多。防火墙对现代的企业计算机网络安全发展形成一种辅助性服务作用,能够避免企业计算机网络上的一些较大疏漏。针对当前形势,网络环境需要一种复合性的防火墙体系,通过构建内部软件防火墙和外部硬件防火墙,将所有不法用户过滤出去,才能够真正意义上实现网络环境的安全。4.4对网络系统进行合理配置,给内部网络按部门或功能区划分vlanvlan形成之前局域网往往被定义为一个独立的广播域,主要是通过交换机、hub等设备连接起所有节点所形成的一个网络。vlan技术是允许网络管理运维者将一个物理的lan分化为不同的多个广播域,简单而言就是将一个整体网络划分为多个子网络。在政府、公司企业中,可以针对每个部门将其划分为一个独立的vlan,这样的方式直接性的隔绝了每一个网络之间的数据传递性。假设某一个部门的网络在这个时候遭受病毒,该病毒的大多数文件都遭受了破坏和盗窃,但是该病毒并不会影响其他部门,这样就很大程度保护了文件的安全性。除此之外,采用vlan可以限制广播域的代销,借助冗余链路负载分担网络的流量,从而很大程度降低网络管理运维的复杂性和成本,而且对于持有更多保密资料的人员来说,更需要使用vlan技术,使这些人员的计算机安全性得到更好的保障。4.5加强内部管理制度建设。在网络科技盛行的今天,及时找出威胁网络环境安全的因素,并做好预防工作,可以为计算机网络管理奠定一个良好的基础。只有加强内部管理制度建设,才能保证有秩序的正常运行。比如,网络系统的安全工作由信息处理中心指定专人解决,各个办公室的计算机配置自己专用的网络,新进人员都需要进行计算机网络相关的安全培训,培养他们正确的网络安全意识,工作人员不得在电脑上玩游戏和安装一些来历不明的软件。计算机网络的操作人员要自觉遵守相关制度,不得使用自己的机器做违反公司规定的活动,定期给计算机杀毒,对于不能够处理的信息要及时地做出报告。只有将这些方法全部结合起来,才能为广大用户提供良好的上网体验。
5结束语
总而言之,在计算机网络运维管理的过程中,相关人员要及时意识到维护管理的重要性,将自身管理运维能力重视起来,并以积极乐观的态度去应对计算机网络中存在的安全隐患和问题,并及时找到解决问题的方法,为广大用户提供更好的上网体验。
参考文献:
[1]张学军.浅谈计算机网络管理与维护的思考[j].商业文化:上半月,2011(11):397.
[2]吕迎春.计算机网络维护工作的若干思考[j].电脑知识与技术,2011(17):4051-4052.
[3]丁宝星.浅析计算机网络维护工作和管理[j].网络安全技术与应用,2014(5):143,145.
网络安全运维管理范文篇5
综合网管平台是一个网管运维指挥调度平台,集多种功能于一体,主要包括参数监控、声光报警系统和专家诊断等。在综合网管平台中,多个子系统包含其中,各个子系统需要独立运行与建设[1]。(一)机房环境动力监控子系统所监控的是机房中的全部动力设备和环境状态,主要包括变电箱、图像和空调等。(二)传输设备监控子系统做监控的是机房中的传输设备与野外设备的指标和运行状态。(三)机箱监控子系统中,应用gsm无线网络等传输方法,对野外落地箱和光站的开闭状态进行监控[2]。(四)反向信道监控子系统实时监测hfc网络回传信道。(五)a平台监测子系统实时监测hfc和所有射频信号,从中获得电平与信噪比等信息,在其超出规定的门限时,主动报警。(六)b平台监测子系统实时监测所有b平台设备通讯,从中获得吞吐量等信息,在其超出规定门限时,主动报警。(七)gps车辆调度子系统实时监控全部工程抢修车,在出现网络故障需要维护的时候,对距离进行查看,在较短时间中抢修最近车辆。(八)其它监测子系统中,以业务发展情况为依据,综合平台能够管理的系统包括交互式机顶盒与数字电视前端等。
二、建立有线电视传输网络监控平台的重要性
当下,三网融合,网络技术迅猛发展,朝着宽带化和数字化等方向发展。以较快速度推动新一代广电基础网络改进。各种增值业务飞速发展与兴盛,主要包括互联网接入和数字电视等。在广电方面,正朝着电信级运营商不断发展,必须将市场、客户和服务作为重要对象。因为历史原因和技术原因,广电始终对支撑网建设比较忽视,相较于电信网络运营企业,其运维水平与管理水平比较低[3]。目前,广电基础网与业务网建设均取得长足进步,在此条件下,广电运营网络中,支撑网成为其短项,无法对网络安全和多种增值业务发展等的需求。所以,需要将更多精力投入在支撑网建设中,将网络安全和快速运维作为中心,完成具备较强可靠性的网络监控平台的构建,从而为广电网络运营商提供重要竞争力(如图1)。(一)在网络安全方面,传输网络监控平台有其重要价值。针对广电而言,安全是其首要工作。主要原因是,当前社会最为直接和重要的媒体是电视,其受众范围广,并且带给受众人群最强感官刺激,所以相较于其他运营商,广电具备一定特殊职能,那便是网络安全。同网络安全相关的因素较多,主要包括自然灾害和意外事故等。人工值守等传统方法无法对这种类型的问题进行根本解决与处理,在全新的形势之下,需要突出网络安全的多种特征,主要包括科学化和制度化,充分应用各种先进技术手段,比如人防结合等,从根本上解决网络安全问题。网络安全这一难题始终存在,主要原因是不能够预测即将出现的危机,只能够提前得知涉及安全的隐患所存,在安全事故发生的时候,相关人员可以采取有效措施。在网络安全方面,可以将其分成两个层次,分别为网络基础设备的破坏和网络传输信号的入侵,这两种层次有着较强关联性。对于第一层次而言,可能具有蓄意性质,例如光设备和光纤投到等,也有可能是无意破坏,包括无意割断光纤导致停播等。在日常网络运营过程中,破坏网络基础设施的现象经常出现,在智能化工具出现之后,不只可以对故障发生进行预测,由此对其进行提前维护,而且在发生突发事件之后,能够在较短时间中组织抢修。将非法入侵网络信号这种行为归属于政治破坏,当下网络插播方面的非法信号入侵比较常见。目前,卫视信号实现换星,自此之后,攻击难度加大,所以将关注点转向了有线网络,近年来时常发生非法闯入无人值守机房等事件。所以在网络安全方面,监控机房和野外设备是一项至关重要的工作。通过建立有线电视传输网络监控平台,可以实现全面监控的目的,同时在同一平台上,实现不同类型网元的统一监控功能的集成。在该平台中,可以充分应用短信报警系统等多种方式,实现这些方式和小区保安与gps车辆调度等的联动,由此以较快速度从整体上提升广电网络安全指数和应急处理能力。(二)在网络运维方面,有线电视传输。网络平台也有着较大价值网络运维有其重要目的,主要是实现网络服务质量的提升。目前,人民群众抛弃广电选择电信,其主要原因是iptv自身具备较强互动性,电信营销手段较为突出,并且相较于广电,电信网络具备更大优势,电信网络提供重要保障,在此条件下,电信能够在网络中开展更多更加优质的业务。与其它网络相比,广电基础网络具备较多优势,不过在业务方面非常落后,主要原因是广电网络支撑维护系统较为薄弱,是广电的短项。所以,目前三网实现了融合,在此背景之下,今后广电要在市场中占据重要位置,主要是建设基础网络,并且为网络建设提供重要支撑。从有线电视传输网络监控平台方面来说,其最终目的是实现以上支撑网的多种功能。举例来说,在网络上具备骨干光纤网,这都是具有冗余备份的,如果破坏了主路光纤,可以自动启用备份路由。若是尚未开展支撑网络建设,当主路遭受破坏之后,相关工作人员可能不会发现,如果备份路由也遭受了破坏,有极大可能发生重大播出事故。在完成支撑网络平台建设之后,若是发生了主路故障,在三十分钟之内就可以完成修复,主要原因是为网络提供支撑作用的监控平台可以提供明确的故障原因与发生地。举例来说,在某个小区中,一个光站带500户,在较长年限中光站始终处于运行状态,某一天,该光站内部朝着接收模块性能劣化,在较大程度上降低接收光功率,已经降至-5dbm导致所有住户无法收看电视。在完成支撑网络平台构建之后,若是模块接收光功率降至-3dbm,系统会自动报警,并且在第一时间实现模块更换,用户无法收看电视的情况便不会出现。该例子只是电视信号传输的例子,当双向数据业务开展之后,用户正在炒股,网络突然断开,人们尚不清楚,在用户投诉之后才能检查和修理,要完成这一系列操作可以已经过去了两个小时。在这段时间中,股票市场将发生较多变化,有可能给股民造成不可挽回的损失。对于人民群众而言,所选择的网络服务提供商一定是最好的,从而体现出网络快速运维的价值。
三、结束语
综上所述,有线电视传输网络监控平台对网络传输和网络运维有其重要价值,将网络安全监控和运维指挥调度集为一体,已经实现了全网络监控的目的,从广电网络到分中心机房到人民群众终端,与此同时,从该系统可以看到整个网络的整体状态,由此判断接下来网络即将发生的变化和故障,从根本上实现电视网全网可以管理和控制的要求。
参考文献:
[1]史少华.基于有线电视网络的城市视频监控传输系统建设[j].数字通信世界,2014(11):31-33.
[2]张立新,孙国超.浅谈建立有线电视传输网络监控平台的重要性[j].有线电视技术,2010,17(11):90-91 93.
网络安全运维管理范文篇6
一、基本情况
(一)网络和信息安全管理。体系建设情况安全管理制度建设层面上,市局不断加快网络和系统安全制度建设步伐,多次组织召开专题会议,研究部署安全制度建设工作,先后出台了《互联网上网管理规定》、《电脑及办公网络使用管理办法》、《晋中市财政局计算机系统安全与磁介质保密管理规定》、《晋中市财政局信息系统管理风险内部控制办法》和《晋中市财政局信息中心内控操作规程》等多项制度规范,补齐了网安制度建设的短板。网络和信息安全领导机构层面上,市局领导高度重视网络和门户网站等信息系统安全防护工作,成立了专门的网络安全工作领导小组。领导小组下设办公室(简称“局信安办”)。领导组及其下属办公室工作职责明确,责任落实到位。(二)等级保护与风险评估。情况2016年以来,市局按照上级部门的要求和局领导的安排,围绕网安等保工作精准发力,结合业务调整现实情况,共计定级、备案4个三级系统(国库集中支付、非税收入、部门预算、大平台)和3个二级系统(oa及档案系统、内网网站),委托第三方安全测评公司累计测评3次,发现并整改问题241项,四年来共计投入等保经费78万元。今年上半年共计投入等保经费26.7万,分别对国库集中支付系统、大平台、部门预算三个系统组织了等保测评。(三)财政专网管理及信息。安全防护情况一是各网络分别架构于不同的路由器、交换机和布线通道,连接互联网pc还进行了mac/ip捆绑,严格实行了不同网络间的物理隔离,业务网络终端不能上互联网,只能在业务专网环境下运行使用;二是强化杀毒软件部署。按省财政厅要求,2017年对内网全部pc机安装了趋势杀毒软件,共计部署完成122台内网pc端,淘汰了市局之前使用的瑞星杀毒。市局外网pc机安装了360和瑞星等杀毒软件。另外,通过应用管理引擎,限制工作用计算机对不良网站的访问。对移动存储设备及时杀毒;三是部署终端管理软件。在2011年市局就部署了莱恩塞克终端管理系统,2017年对连接城域网的200多家预算单位进行了扩容升级。通过管理平台既可以实时监测内网、城域网上的pc机非法外联情况,又可以通过平台对违规外联的终端及时断开与内网的连接,消除网络安全隐患;四是加强运维巡检。在日常运维过程中,通过登录日志审计系统、安全管理平台查看、分析日志,排查安全隐患。
二、主要存在问题
(一)网络安全意识不强,。管理制度落实不到位一是u盘等移动存储介质管理缺位,不按规定事先杀毒,在内网机上随意插拔滥用,增加了内网机感染病毒风险;二是个别县局单位网络、安全设备弱口令问题突出,长期不更新,设备密码泄露风险大;三是市局尤其是县级单位管理制度不完善、落实不到位问题突出,尚未形成完备的制度管理体系。(二)技术力量薄弱,应急能力不足。一是市县两级信息化管理人才短缺严重。全市现有信息中心工作人员20名,专职人员占比仅为1/3,其余全部为兼职;二是现有技术人员基础能力较差,人员配备参差不齐,难以满足财政信息化建设能力需要;三是县级财政信息化管理体制尚不完善,2/3的县局单位缺少专业的信息化管理机构;四是市局尤其是各县专业技术人员编制少、水平低,不少县级财政信息中心存在一人多岗的情况,缺少一支专业可靠的应急技术队伍。面临网络安全事件应急能力不足、经验缺乏、应急预案缺失,学习培训工作有待进一步加强。(三)网安建设经费不足,安全保障水平不高。信息化建设经费投入不足、安全建设经费占比低已成为制约县级财政网络安全建设的重要瓶颈,主要体现在以下几方面:一是各县等保工作普遍“缺位”。按照公安部门和省厅3号文件要求,各县应全面实施落实等保制度,保证等保工作落地实施。目前,全市仅市局和介休2家单位组织了等保测评,其余各县均未推广等保工作。二是网络边界防护能力不足。全市仅市局、介休、昔阳3家单位按省厅指导意见在横向城域网上部署了防火墙、入侵防御系统、防毒墙,其余单位城域网边界仅部署有防火墙,种类比较单一,不具备多层次安全防护能力。此外,仅市局、介休2家单位符合信息安全等保中设备冗余部署要求。
三、工作建议
网络安全运维管理范文篇7
关键词:云架构;数据平台;网络安全;vpc;acl;安全组;vpn
民航空管行业长久以来一直注重网络安全的建设与保障。随着云计算、大数据、物联网、人工智能等新技术的出现与发展,网络安全已经不在限于对网络传输层面的保障,数据安全的重要性日益凸显。西北空管局按照高质量发展的要求,大力推进“强安全、强效率、强智慧、强协同”的现代化空管体系建设。为了做好“强智慧”的相关内容,西北空管局数字化转型团队通过不断的尝试与探索,设计了基于云架构的数据运行平台。设计不仅包括数据平台涉及的组件选型、性能等技术指标,数据治理和业务架构等业务指标,网络安全及数据安全也是其中的重要部分。基于云的数据平台在技术上是先进可行的,也是未来发展的方向,但是在云架构下如何保障业务数据的安全稳定是需要面对的全新问题。通过研究云上相关安全组件和安全服务,提供云架构下网络安全与数据安全的建设保障思路。
1西北空管局专属云架构设计
西北空管局的生产业务数据先引接至数据转发平台,该数据转发平台采用在linux系统上搭建开源ngnix程序的方式,实现数据转发功能。经转发平台后数据通过ipsecvpn专线上云至elb组件,加强数据负载均衡能力,提高数据可靠性及连续性。之后,数据接入部署在cce容器中的数据解析程序,将原始业务数据解析成json格式数据。根据前端业务场景对数据需求的不同,通过kafka、flink、数据集成平台分别进行转发。部分json数据直接通过数据集成平台提供数据服务,全量数据通过flink进行入库操作,根据时效性需求分别存入实时性数据库(tp场景)和分析性数据库(ap场景),tp场景选取postgres数据库搭建,ap场景选取gausedb数据库搭建。前端应用程序部署在云服务器上,根据需要从ap或tp数据库获取数据,对外提供服务.同时,西北空管局还涉及一部分不依赖于业务数据的系统,这类系统大多为政务类独立系统,根据西北空管局数字化转型顶层规划,这类系统需逐步迁移至云上,不再采用传统独立服务器部署的方式。对于这类系统,在云上单独租用了部分云主机,以系统为单位划分,将各个系统的核心软件程序,数据库,app部署在指定分配的云主机上。西北空管局专属云架构如图1所示。
2基于云架构的网络安全能力
在西北空管局基于云的数据平台架构下,涉及网络安全的组件与服务包括云上vpc,安全组,子网,网络acl,主机安全,vpn等。针对这些安全组件和服务,根据其能力和涉及范围的不同,结合数据平台技术架构,划定不同的应用范围与场景。各安全组件与服务能力如下:vpc是云上自定义的逻辑隔离网络空间,为云服务器、云容器、云数据库等资源构建隔离的、可以自主配置和管理的虚拟网络环境。通过vpc,用户可以自由定义网段划分、ip地址和路由策略,有更高的灵活性和安全性。安全组是一种对云上ecs云主机,数据库,高阶服务访问控制的安全策略设置,是针对同一个子网内的安全策略。安全组可以设置云上组件的入方向及出方向规则,入方向规则指从外部访问安全组规则下的云组件,出方向规则指从云组件访问外部的规则。配置出入方向规则时,可以通过安全组对协议与端口进行控制,协议中可选全部放通,全部tcp,全部udp,自定义tcp,自定义udp,icmp,gre等协议类型;端口类型根据选择的协议类型进行匹配或者在自定义模式下根据所用端口自行填写。同时,也可对允许通信的源地址进行控制,包括单独地址、地址段,安全组内互通等。每条安全组策略均可设置权重,以此控制多条策略生效的优先级。网络acl是一个子网级别的安全控制手段,通过制定子网出入方向规则,控制相应数据与访问。网络acl与安全组类似,分为出入方向规则,对出入方向的流量均可以进行控制,两者均可以选择配置策略和协议。但在实际操作方面,因为安全组是子网内组件的控制手段,网络acl是子网间的控制手段,二者配置存在差异。安全组配置以控制的组件为主体,网络acl配置以两端子网为主体。所以网络acl需要配置源端的地址、端口和目的端的地址、端口。安全组配置和网络acl两者结合使用,可以覆盖子网之间及子网内部组件的所有访问控制策略,更加精细、全面的控制云上访问和组件互通。主机安全服务是针对ecs云主机的安全防护服务。通过在ecs云主机中安装部署agent后,获取主机运行状态,识别管理ecs上的信息资产,监测入侵及攻击行为,检查ecs主机漏洞等,并且将主机安全状态呈现在可视化界面上,通过监控看板进行分析决策。主机安全服务主要能力有资产管理,漏洞管理,入侵检测。资产管理功能,主动检测主机中端口开放、进程运行、web目录和自启动服务情况,并记录这些情况的变化日志。漏洞管理功能,检测linux、windows的系统漏洞,针对系统存在漏洞及时告警并对漏洞严重程度进行分级,提醒运维人员进行安装补丁的工作。入侵检测功能,针对暴力破解,网络嗅探,d-dos攻击及时发现并作出自动封禁ip,加入黑名单等措施。主机安全服务属于应用层的防护手段,针对单独ecs云主机进行全面加固,阻止常见攻击,发现安全漏洞,完善安全管理。vpn主要用于在公用网络上建立专用网络,进行加密通讯。主流的vpn技术包括ipsecvpn与sslvpn。在认证方式上,ipsecvpn采用数字凭证或密钥认证,而sslvpn只能采用数字凭证。在安全性上,ipsecvpn是在两个子网之间打通加密隧道,两端需要有固定的设备,配置完成后两个子网间可以任意进行访问,sslvpn是通过客户端认证方式打通两个网络,只需要安全客户端且掌握用户名与密码就可以建立连接,属于应用层的安全加密。基于两种vpn的特性不同,一般对接两个子网且需要两端持续建立连接,如数据传输场景,可以选择ipsecvpn。而远程登录,远程开发,远程运维场景下,不需要长时间保持连接,对建立vpn的灵活性要求较高,可选用sslvpn。
3基于云的网络安全设计
西北空管局在云上划分多个vpc,主要将业务数据涉及的组件和服务与非业务系统所在ecs云主机进行隔离,非业务系统之间以系统为单位,每个系统划分一个vpc实现系统间隔离。利用vpc的划分,在系统级别将业务进行分隔,vpc之间不能互相通信,实现传统系统中的物理隔离能力。子网是一种逻辑上的隔离,针对业务数据vpc,在内部根据技术能力的不同进行子网的划分,按照组件的功能划分三个子网,数据解析子网,数据交互子网,数据治理子网。而针对非业务系统所在vpc中,大多数非业务系统采用后端数据库加前端服务的架构,利用子网的能力将其数据库与和前端服务进行划分。在子网之间使用安全组进行访问控制,为同一个vpc内具有相同安全保护需求且互相信任的组件提供访问策略。同时,通过acl访问控制策略控制进行进一步规则设定,控制与子网关联的出方向/入方向数据流。因为该数据平台涉及众多业务生产数据,主要为了实现数据在云上的解析、存储与服务,所以安全组和acl访问控制进行配置时大多数是点对点之间的通信,因此vpc内部、子网之间多采用白名单的方式进行控制,即只允许指定的ip访问指定组件。在提供数据服务时,各系统应用放置在ecs云主机上,如涉及的用户为内部特定部门,也可采用白名单方式进行控制;若系统应用涉及app或需通过互联网进行访问,则存在被外部网络攻击的风险,需通过主机安全服务,进行安全防护。基于云的数据平台存在两个对接外部网络的部分,一是数据上云过程中的入口,另一个为数据服务时的出口。针对这两个关键的出入口,需要利用vpn加密能力保障其安全传输。在业务数据上云过程中,为了安全对接生产网络和云上网络,采用ipsecvpn对数据进行加密,保证数据的安全性和完整性。在对云上的组件的运维的过程中,西北空管局对登录账号的权限设置和划分,局内运维人员根据运维内容的不同分配不同的iam子账号,对第三方用户严禁给予管理账号,使其无法通过web的方式直接登录西北空管局专属云,降低账号密码泄露风险。同时,考虑到第三方需要在数据平台上进行上层应用的开发开发与部分云上组件的运维,需要为其建立一条专属的通道,保障网络的安全。基于这种户用对接云上网络的方式,选择搭建sslvpn对接云上,通过客户端方式实现远程登录和运维。安全设计如图2所示。图2西北空管局云架构下的安全设计
4结束语
针对西北空管局基于云的数据平台设计,需要重点关注云上的网络安全。从原生系统引接数据上云阶段开始,到数据解析入库,再到数据应用与数据服务,需要在全数据流过程中做好网络安全的防护与配置。西北空管局通过合理划分vpc保障云上资源的虚拟网络隔离,在vpc内部根据组件功能不同进行子网划分,不同子网之间利用安全组配置,acl访问控制及路由配置等方式做好访问的控制和权限的划分。针对云上ecs主机本身的安全,购置云上主机安全服务,对暴力破解,d-dos攻击等常见的网络入侵进行专项的防护并利用主机安全服务相关功能定制监控服务,实时检测ecs主机安全状态。在业务数据上云过程中,采用ipsecvpn加密技术,保障公共网络传输上的数据安全。对数据开发及云上组件的远程运维通过sslvpn确保远程登录的安全性。通过采取以上安全手段,构建基于云架构的数据平台网络安全体系,全方位对数据平套进行网络安全防护工作,从而在各个层面实现数据的安全。
参考文献:
[1]马艳夕.云计算平台中网络安全的关键技术分析[j].电脑知识与技术,2021,17(15):58-59.
[2]陈琰.大数据云计算下网络安全管理的具体方法探讨[j].中小企业管理与科技(下旬刊),2021(04):9-10.
[3]田江林.云安全体系架构及关键技术[j].电子技术与软件工程,2021(01):243-244.
[4]毛乐琦.虚拟专用网络技术在计算机网络信息安全中的应用[j].电子技术与软件工程,2021(09):237-238.
[5]颜雪峰,翟雅萌,武渊博.基于sslvpn技术的信息平台搭建[j].铁道通信信号,2021,57(01):62-64.
网络安全运维管理范文篇8
关键词:智慧校园;信息安全;体系建设
1概述
教育部《教育信息化2.0行动计划》的为高校智慧校园的建设指明了新方向、新目标,提出了新要求、新任务,高校的管理、教学、科研以及产业对接等工作的信息化程度也越来越高。随着校园信息化程度的逐步提高,信息安全也成为一个不可忽视的问题。在信息化2.0背景下,教育部印发的《2020年教育信息化和网络安全工作要点》中提出“加强教育信息化和网络安全工作统筹部署”,并要求“开展教育系统关键信息基础设施认定和检查,落实教育新系统关键信息基础设施安全防护,组织开展教育系统应急演练,建立覆盖数据全生命周期的安全管理机制”[1]。
2智慧校园信息安全的现状
信息安全是智慧校园正常运转的重要保障,主要通过硬件设施、网络安全技术以及制度体系等的综合运用实现信息化管理系统运行的安全性、保密性、稳定性、可靠性以及完整性[2]。智慧校园建设所涉及的基础设施、应用服务、管理体系以及辐射服务越来越综合,产生的数据量越来越大,这些都加剧了智慧校园系统的风险性,如何做好信息安全保障是一个亟需解决的问题。从整体看,随着教育信息化建设的深入,校园信息安全建设对管理、运维等的协同性要求越来越迫切,相关人员的信息化素养亟需提升。从现状分析,重建设、轻管理、偏设施以及轻安全等情况依然比较普遍,从制度层面看对信息安全的管理缺失、基础建设支持不到位。此外,管理层对专门的信息安全技术人员队伍建设重视程度不够,大多由网络中心负责运维的人员兼管,这些人员对信息系统的技术掌握不全面,也没有得到必要、全面的技能提升培养[3]。
3智慧校园信息安全的解决策略—以智慧天软为例
3.1组织和经费保障方面的措施
在项目实施过程中,建立主要负责同志既“挂帅”又“出征”的决策领导机制,成立由学院网络安全与信息化工作领导小组成员组成的智慧天软领导小组。领导小组下设办公室,通常设在学院网信办,负责全面推进智慧天软建设。学院资金安排专项预算,统筹学院财力、申请市级部门专项经费支持并争取合作区域政府支持,在信息服务整合、基础设施建设以及信息安全建设方面安排专项资金预算予以保障。同时,在人员编制和培训上给予经费倾斜。
3.2构建完善的信息安全体系
智慧天软技术框架如图1所示。智慧天软技术框架体系采用物联网、大数据、云平台以及网络基建等现代技术将感知层和技术层进行隔离,利用先进的全光网络技术建设了数据网、物联网以及业务专网等相互隔离的基础网络,建立分层次、有重点的差异化基础安全防护体系,实现底层安全。将安全管理从设备分析迁移到云端分析,结合自建和厂商的分布式云端防护应对信息系统外部攻击和内部应用快速变化带来的威胁。将管理对象从以技术为核心转变为以数据为核心,重点关注信息数据的安全性,通过对数据的溯源分析实现对漏洞、威胁的感知和预警,逐步提升防御能力。
3.3内培外引全面提升信息安全专兼职队伍水平
从信息安全涉及的内容看,单一设置科级机构和安全员专职岗位是不能彻底解决安全问题。智慧天软项目在解决具体安全问题方面的做法是:①从机构调整入手,在信息化部门设立多层次的信息安全专职人员岗位,全方位、多角度实现协同安全防护;②从岗位职责来看,明确专职人员工作职责,细分科室主任的信息安全管理职责;③从业务系统管理和使用角度,明确管理、使用及运维的界线,确立责任人和工作职责;④从运维和服务角度,积极探索形式多样的合作模式,与安全服务企业密切合作,内外协同;⑤从经费保障角度,在年度预算中为信息安全人员的培养和安全服务提供专项经费支持。
3.4智慧天软信息安全的风险评估
随着智慧天软建设的不断推进,系统集成度越来越高,系统之间联系越来越紧密。在给学院工作带来更多便利的同时,系统受到攻击的可能性也会随之增加,系统受攻击的风险加大,数据泄露风险同时加大。在进行风险评估时,主要从物理安全性、网络安全性、设备安全性、应用安全性以及数据信息安全性等层面进行评估,根据评估情况实施综合管理。智慧天软信息安全体系建设思路独特、可行且有效。为降低安全风险,探索购买服务,依托成熟软件产品提供信息管理服务;同时,通过统一的运维平台专兼职队伍,为信息化系统开发和建设提供服务。
3.5智慧天软信息安全的综合治理
智慧天软建设从规划初期就被定位为一项长期任务,区别于新校园建设,项目本身立足于探索老旧校园全面智能化、智慧化提升改造。项目基于基础设施、基础应用能力以及管理与服务等多角度、多维度建设,从软硬件资产清查入手,摸清家底、挖掘风险,制定一套完善可行的建设方案,全程将信息安全治理作为重中之重。(1)网络层安全。采用先进的全光网络技术,建设扁平化网络架构,去除分布式的汇聚层,实现数据网、物联网以及业务专网等多网平行部署。在传输层实现分割,提升了整网的高安全、高可靠、低延时,降低了建设成本和运维费用。全面升级部署ipv6,加快部署升级支持ipv6的相关设备和业务终端,实现快速有效的网络管理和内外攻击防护。同时,全面推进实名认证,建立安全实时溯源机制[4-5]。(2)感知层安全。根据对资产和职责的梳理,明确感知层涵盖范围,通过建设前置边缘物联网关和专有线路搭建一套相对隔离的物联网专网,实现对网络状态的实时监控,为整网安全提供保障[6]。针对老旧校园改造的情况,采取顶层设计、平台优先以及分步实施的策略,通过引入先进物联网技术,搭建一个模块化、可扩展且易操作的物联网服务平台,实现了即改即接的整体目标。(3)支撑层安全。引入中台建设,将业务、技术以及数据支撑的相关平台下沉。通过建设统一的数据交换与数据集成平台,实现业务api接口统一部署、统一管理以及受控调用等的支撑能力整合。数据调用实现统一安全隧道传输,提升了保障服务安全和数据安全的整体能力。(4)业务层安全。在业务系统支撑整合的基础上,建设统一的校园管理底座和业务服务底座,在业务层隔离,在数据层实现受控的安全可信调用,最终达到建设一个融合统一的管理服务平台的目标[7]。面向服务方面,推进业务流程化和微服务化,缩短业务系统上线时间,降低开发风险,提高用户体验,提升服务效率。面向用户方面,建立内外网安全受控的实名访问机制,搭建vpn和云桥两条安全访问通道,满足分类访问控制和安全冗余要求[8]。(5)基础设施提升安全保障。改造数据中心的基础设施,整体按照等级保护三级对基础设施的要求进行规划建设,实现从基础设施角度保障整体安全的目标。实施信息系统安全提升改造,实施边界安全、安全审计以及防病毒等长期安全保障策略,部署相应的安全产品,建立综合立体的纵深防护体系。(6)运维服务提升安全保障。建设综合运维服务平台,实现运维服务的信息化与智能化。加强专兼职运维服务团队建设,突出安全岗位设置,通过安全保障产品的使用加强与服务企业的合作,制定长期、持续的培训计划,逐步增加专职人员、减少外包运维人员,提升专兼职队伍的稳定性。(7)保障安全做到制度先行。参照《中华人民共和国网络安全法》和《信息安全技术网络安全等级保护基本要求和定级指南》等国家标准和文件,制定服务学院的制度,做到有据可依、依章办事。
4结语
对于智慧校园的建设和运行来说,完善的信息安全体系建设是高校非常重要的一项工作。它保证了学校教育信息化的推进和发展,保证了师生能够享受到最便捷、最安全且最稳定的服务,体现了一所高校的综合治理水平。
参考文献
[1]教育部办公厅.教育部印发《2020年教育信息化和网络安全工作要点》[eb/ol].(2020-02-26)[2021-05-16].
[2]夏冰.网络安全法和网络安全等级保护2.0[m].北京:电子工业出版社,2017:24-27.
[3]菅锐.高校智慧校园建设现状及存在的问题分析[j].电脑知识与技术,2020,16(33):46-47.
[4]田由辉.教育信息化2.0背景下智慧校园的网络信息安全治理研究[j].信息技术与信息化,2020(10):184-187.
[5]黄俊.智慧校园一体化信息安全综合服务体系建设研究[j].网络安全技术与应用,2020(10):99-100.
[6]李新峰.信息化背景下智慧校园建设及相关技术设计探讨[j].淮南职业技术学院学报,2020,20(3):143-145.
[7]王绍永.智慧校园信息化运行支撑平台的建设[j].信息通信,2020(10):139-141.
网络安全运维管理范文篇9
关键词:电子政务;边界安全;安全体系
随着我省电子政务网络的快速发展,各级政府部门的工作逐步走向信息化和网络化,为了满足人民群众的办事需求,电子政务网络的建设和发展逐步深入,承载的业务系统也越来越多,网络安全问题日益突出。各级政府网站和业务系统网页被恶意篡改、sql数据库被注入、ddos攻击等安全事件频发,网络安全受到了极大的挑战。面对黑客的猖狂攻击,防护网络边界安全刻不容缓。
1电子政务网络现状及边界安全需求分析
目前多数政府部门未建立起统一且具有指导性的安全策略,没有站在全局高度提供信息安全工作的方针或指导意见,安全管理未引起足够重视,前景堪忧。大部分政府部门没有明确网络安全责任部门,制度建设不完善,人员的安全意识薄弱,运维人员往往身兼管理和审计职责,安全管理责任边界不清晰。尽管现有的电子政务网络中通常都按照要求部署了一定的网络边界安全防护系统和设备,如防火墙、漏洞扫描、入侵检测、防毒墙等,但是这些设备往往都没有配置切实有效的安全防护策略,导致其形同虚设;而且在日常运维中缺少流量分析和总结,无法做到安全预警和态势感知,不能形成协同防护的合力。
2电子政务网络边界安全防护体系
通过分析以上电子政务网络的安全策略、安全管理、安全技术、日常运维等四个方面的现状,以及存在的电子政务网络边界安全问题,根据国家的电子政务网络安全建设总体要求,在实践中可以通过统一的安全策略,从管理、技术和运维等多个维度进行全流程的防护,构建全面、立体、多维的网络边界安全防护体系。网络安全策略通常是由网络管理人员在授权的基础之上,根据网络与信息系统面临的风险及安全目标,基于身份、规则、角色等角度制定的安全防护策略。在实施过程中,坚持最小权限原则、三权分立原则、多级防护原则等。电子政务网络安全防范和保护的主要策略是访问控制策略,通过各种访问控制策略相互配合,真正发挥协同保护作用,确保电子政务网络资源不被非授权访问和使用。网络安全管理体系要紧紧围绕电子政务网络的应用场景和业务特点,按照信息系统生命周期理论,建立信息系统规划、开发、操作等各个阶段的制度、流程和规范。安全技术体系是所有安全策略的技术措施综合。常用的安全技术包括身份认证、vpn、防火墙、入侵检测、漏洞扫描、网闸、防毒墙等一系列防护技术。在执行整体安全防护策略的同时,综合运用各类安全防护技术和工具,并利用其日志及分析数据做系统加固,使系统整体处于低风险状态。安全运维体系是贯彻和落实安全管理体系各项规章制度,将各项规章制度在执行层面体系化、规范化和流程化;主要包括信息安全事件监测和处理、安全设备管理和运维、安全工具的管理和维护、网络安全培训和应急演练,信息系统的定级备案、风险评估、安全整改等。
3电子政务网络边界安全实现方法
为保障电子政务网络边界安全,要严格按照国家对电子政务网络安全防护的要求,根据电子政务网络传输的信息重要程度,分类分网进行数据通信,通过网络的物理隔离或逻辑隔离,实现防止网络攻击以及信息泄露的目标;并在此基础上,针对性地采取以下安全防护技术和措施。3.1身份认证技术。在计算机网络中,为了保证以数字身份进行操作的操作者的物理身份与数字身份相对应,而产生的一种解决方法。作为防护网络安全的第一道关口,身份认证有着重要的作用。身份认证系统通常由认证服务器、认证客户端和认证设备组成,主要通过单向或双向两类认证协议和认证系统软硬件实现,此外,为了提高认证的可靠性,通常采用双因子认证机制。身份认证技术往往涉及三个方面:认证、授权和审计;用户在做任何动作之前必须要识别动作执行者的真实身份,防止攻击者假冒合法用户来获取访问权限;在确认用户的身份之后,授权该用户对权限范围内的文件和数据进行操作;并在完成操作后要留下记录,以便审计、核查。3.2vpn技术。vpn技术,也即虚拟专用网技术,是指在公用网络上(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。vpn技术为远程用户和网络提供低成本和安全连接的能力,通过对vpn服务器和客户机之间的通讯数据进行加密,可以让外部人员安全地远程访问内部资源,在实际应用中vpn技术发挥越来越重要的作用。在远程访问vpn中,通常采用两种基于网络加密的协议类型。一种是ipsecvpn,用户通过vpn隧道进行身份验证并连接到远程网络后,就可以限制访问;ipsecvpn需要安装客户端软件;一种是sslvpn,通过采用ssl协议(一种基于web应用的安全协议)来实现远程接入;sslvpn技术可以免于安装客户端,具有部署简单、网络适应强、维护成本低等特点。由于ipsecvpn只能基于ip级进行限制,访问控制粒度不够精细,许多安全运维部门已逐步迁移到sslvpn,管理员可以将用户访问控制粒度限制在应用程序级。3.3防火墙技术。防火墙技术需要利用访问控制策略,搭建网络通信监控系统,对网络数据流进行监控及分析,从而实现对网络内部资源的保护。防火墙技术通过拦截所需保护网络的向外传输信息来达到不被外部共计的目的。这需要管理员在安全控制策略的基础上执行包过滤准则,并根据需要进行增加、修改及删除。通过防火墙技术可以实现多种功能:阻止可能出现的非法操作,对服务器进行全面监管;通过mac地址与ip进行绑定,在不影响访问网络的正常需要基础上,将用户的访问权限控制在最低范围;还可以通过防火墙收集到各类试探攻击的日志和统计数据。3.4入侵检测技术。入侵检测技术是在各电子政务的网络关键节点处监控并收集信息,分析其是否属于入侵行为以及是否违反了网络安全策略。该技术最大的优势是能够在提供安全监测,攻击识别、反攻击的同时,不影响网络的性能;通过将攻击过程进行记录、断开网络连接、紧急告警、对攻击源进行分析并追踪等措施实施有效地对系统进行保护。该系统通常被安装在数据较敏感的网络边界上,当监控到数据流发生异常时,该系统可根据安全策略迅速做出反应。3.5漏洞扫描技术。漏洞扫描技术基于漏洞数据库,通过对网络的扫描进行安全脆弱性检测,它和防火墙、入侵检测系统相互配合,可以有效提高网络的安全性。漏洞扫描技术可以帮助网络管理员及时了解网络的安全设置,发现安全漏洞,以及客观地评估当前网络存在的风险。网络管理员能够根据扫描的结果,及时修复安全漏洞和错误配置,防患于未然。相比较防火墙技术和入侵检测技术,漏洞扫描是一种主动的网络安全防护技术,可以有效避免网络攻击行为。3.6网闸技术。网闸技术在电子政务网络中,主要部署于电子政务外网和部委纵向专网的连接边界,实现不同网络之间的业务流转。它的设计是基于“不同时连接”,通过建立缓冲区使业务数据通过“摆渡”的方式实现交换,大大降低了跨网入侵的可能性。网闸技术的应用使得其摆渡的数据清晰可见,可以及时发现病毒与潜在的入侵,保障了网络边界的安全。但同时由于网闸为了支持复杂多样的业务数据,通常要开放各种通信协议,因此会降低安全检查的效果和力度。3.7防毒墙技术防毒墙技术针对http、https、smtp、pop3、ftp、imap等常见应用协议的内容检查,实现病毒、木马、后门、蠕虫等恶意软件的扫描和双向实时检测过滤。可对web上网、邮件、网络游戏、网络炒股、ftp、p2p、即时通讯等常见网络应用进行管控,配合细粒度的策略,实现电子政务网络业务安全保障。
4结论
随着电子政务网络业务不断深化和发展,电子政务网络边界安全所面临的问题日趋严峻,在具体的设计和建设中,要短期目标和长期目标相结合,局部设计和全局规划相结合,尽量做到统一标准、统一规划、统筹安排,避免重复建设,在服务于业务需求的同时,保证边界安全防护系统具有实用性、先进性、可靠性、扩展性、易用性、规范性。同时,要用动态的、创新的、与时俱进的眼光来认识网络安全,定期进行安全风险评估和整改,加强日常的安全学习和运维管理。
参考文献:
[1]冉艳,胡学钢.构建市级电子政务安全平台[j].计算机技术与发展,2007,17(8):140-157.
[2]任金强,罗红斌,李素明.国家电子政务外网信任体系建设初探[j].信息网络安全,2007(8):56-58.
网络安全运维管理范文篇10
关键词:环保专网;网络安全:管理运维
一、加强网络安全保障体系建设
在网络安全保障体系建设中首先要梳理资产了解网络现状,能发现问题,预防风险并能跟踪审计,从技术层面和管理层面进行建设。技术层面主要考虑的是:物理支撑环境、网络和通信、主机环境安全、应用系统、数据备份;管理层面:安全管理制度、运维安全管理。安全策略:检查防火墙策略是否开启了严格访问控制(最小化授权),检查ips/waf/防毒墙/、邮件网关策略是否防护了相关设备;安全检测:检查ids系统/apt设备检测记录、分析内部威胁情况,检查准入系统,各终端是否接入平台,是否有违规接入和非法外联,检查边界防护设备日志(fw/ips/av/waf/邮件网关),分析是否有外部攻击行为;安全审计:检查设备是否开启日志功能,并接入日志审计系统,关联分析,检查各设备是否接入it运维管理系统,检查各设备是否通过堡垒机进行运维,分析上网行为系统和流量回溯系统,审核用户行为和服务器访问状况;设备防护:检查设备是否开启身份鉴别,检查设备是否限制了管理地址,检查设备是否开启了密码策略和账号锁定策略,检查设备是否采用加密管理,检查设备是否建立了分级账户。网络结构安全:是否采用了弹性网络架构(ha、虚拟化、双链路)、是否开启了网络优化(dhcp、bpdu、禁用无关协议)、绘制真实拓扑结构,分区分域设计、是否制定了网络规划。访问控制:各区域边界是否部署应用级防火墙、网站边界是否有抗dos攻击系统、外部访问是否进行vpn加密传输、内外网互通是否部署网闸。安全审计:是否部署网络回溯系统、是否部署上网行为管理、是否部署it运维管理、是否部署堡垒机、是否日志审计系统。边界完整性检查:是否部署网络准入系统、是否部署终端准入系统,非法外联检测。入侵防范:网络边界是否部署ips(防火墙模块)、是否在关键网络部署ids、是否部署未知威胁检测apt系统。恶意代码防范:是否部署防毒墙、网站边界是否部署waf、网页防篡改、邮件系统是否部署邮件防护网关(垃圾/恶意邮件)。
二、在日常网络管理工作中需要注意的地方
(一)网络安全自查。首先要对基层设施如机房设备记录表、检查机房制度清单表、出入机房登记表进行检查。还应该对网络安全保障体系自查,如核心设备是否冗余部署、各网络边界是否部署了应用级防火墙、是否部署上网行为管理硬件设备、是否部署终端安全管理系统、是否部署安全网闸等。我们还要做好终端的准入控制,包括身份鉴别和健康状态检查,关闭无用的交换机端口,对于无线接入网络要做到无线ap和核心交换机之间的安全隔离,也就是部署应用级防火墙。(二)系统弱口令的问题。通过专业设备进行系统弱口令扫描,杜绝弱口令的问题,尤其是系统在建设期内程序员为了方便管理设置的弱口令,在系统正式上线后是否还没进行更改。(三)系统漏洞问题。为什么我们会受到攻击,是因为我们本身存在漏洞,有可以被利用的点。如近期爆发的勒索病毒,国内多行业遭受勒索攻击,看似安全的内网或专网平台,依然受到攻击,表明多数行业的服务器及终端存在着安全漏洞。因此需要定期进行漏洞扫描,及时掌握系统漏洞,并进行修补。这个可以算是事先的安全防护。漏洞扫描主要分为两类,一类是系统漏洞扫描,主要针对系统平台和数据库、中间件等,包括发现系统平台存在的安全漏洞、安全配置问题、中间件系统安全漏洞、检查系统存在的弱口令和收集系统不必要开放的帐号、服务、端口等等。另一类是web应用漏洞扫描,主要针对web应用平台,包括定位应用系统的漏洞,网页挂马检测和sql注入攻击检测等等。
三、端口开放问题
对于当前环保系统网络建设情况而言说,通过内部进行的攻击比较多,目前部署的防火墙多为边界式防火墙,它只能防护外界的非授权访问,对于单位内部不适用。主机防火墙可以在很大程度上防御来自单位网内部的攻击,主要用来保护主机(个人pc、服务器等),主机防火墙的目的是严格控制主机上开放的端口,只准访问经过授权的端口,主要是防护内部的流量。尤其是单位网站系统建议只开启80端口。
参考文献:
[1]葛玮谢坚刘斌.基于终端的计算机网络防御体系技术小析《江西电力职业技术学院学报》
[2]吴鑫.终端安全准入控制技术的比较研究《信息安全与通信保密》
[3]王琦.社会主义学院无线网络建设探析《湖北省社会主义学院学报》
- 上一篇:
- 下一篇:
网络安全运维管理
2023-11-26 15:18:24
相关文章
未成年人网络保护条例 2023-11-14 09:57:32
神经网络在工程造价中的运用 2023-02-15 09:20:44
企业社会化网络招聘探讨 2023-01-29 09:10:47
网络时代对分课堂对学生的影响 2022-12-22 08:48:56
高校共青团网络意识形态阵地建设 2022-11-21 09:31:05
群智感知网络中高效数据收集策略 2022-11-11 09:38:31