时间:2023-09-20 16:56:55
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全处置方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
按照文件要求,市委网信办对照工作职责,认真排查梳理了我市网络安全风险点,逐项建立完善工作机制,现汇报如下:
1.网络安全风险研判工作:制定了《网络安全事件应急预案》,明确了由于人为原因、软硬件缺陷或故障、自然灾害等对网络和信息系统或其数据造成危害引发负面影响的事件的分析和处理。
2.网络安全风险决策评估机制:成立了网络安全和信息化领导小组,对全市网络安全工作统筹指挥。制定了《网络安全和信息化委员会工作规则》,明确网络安全工作职责和工作制度。
3.网络安全风险防控协同机制:组建了网络安全专家小组,努力应对新形势下网络安全错综复杂的局面,提高网络安全保障水平。实施网络安全事件应急处置联席会制度,对全市网络安全事件的进行预防和应急处理。
4. 网络安全风险防控责任机制:下发了《贯彻落实<党委(党组)网络安全工作责任制实施办法>责任分工方案》,明确责任主体和责任分工,提高网络风险防范防控意识和能力。
试点示范是在2015年工作基础上,将工作覆盖对象拓展至互联网企业和网络安全企业,包括各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,各互联网域名注册管理和服务机构,各互联网企业,各网络安全企业有关单位。其目的在于继续引导企业加大网络安全投入,加强网络安全技术手段建设,全面提升网络安全态势感知能力,促进先进技术和经验在行业的推广应用,增强企业防范和应对网络安全威胁的能力,切实提升电信和互联网行业网络安全防御能力。
试点示范申报项目应为支撑企业自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。对于入选的试点示范项目,工业和信息化部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。
试点示范重点引导重点领域,包括:
(一)网络安全威胁监测预警、态势感知与技术处置。具备网络攻击监测、漏洞挖掘、威胁情报收集或工业互联网安全监测等能力,对安全威胁进行综合分析,实现及早预警、态势感知、攻击溯源和精确应对,降低系统安全风险、净化公共互联网网络环境。
(二)数据安全和用户信息保护。具备防泄漏、防窃密、防篡改、数据脱敏、审计及备份等技术能力,实现企业数据资源和用户信息在收集、处理、共享和合作等过程中的安全保护,能够不断提升企业数据资源和用户信息保障水平。
(三)抗拒绝服务攻击。具备抵御拒绝服务攻击和精确识别异常流量的能力,能对突发性大规模网络层、应用层拒绝服务攻击进行及时、有效、准确的监测处置。
(四)域名系统安全。实现域名解析服务的应急灾难备份,有效防御针对域名系统的大流量网络攻击、域名投毒以及域名劫持攻击,提供连续可靠的域名解析服务或自主域名安全解析服务。
(五)企业内部集中化安全管理。具备全局化的企业内部管理功能,实现网络和信息系统资产与安全风险的关联管理,能够对企业的内部系统全生命周期的安全策略实现可控、可信、可视的统一精细化管理。
(六)新技术新业务网络安全。具备云计算、大数据、移动互联网、物联网、车联网、移动支付等新技术新业务的安全防护能力,能对以上各类业务场景提供特定可行有效的安全保护手段和解决方案。
(七)防范打击通讯信息诈骗。一是具备监测拦截功能;二是能够实现对防范打击通讯信息诈骗重点业务的管理。
(八)其他。其他应用效果突出、创新性显著、示范价值较高的网络安全项目。
关键词:数字城管 系统 安全设计
中图分类号:TU984.2 文献标识码:A 文章编号:1007-9416(2015)09-0000-00
1 需求背景分析
数字城管系统涉及部门众多,按照“资源整合、部门共建”的原则,协同工作系统要与电子政务网(共享内网资源)、社会管理创新网(共享监督员资源)、公安网(共享视频资源)、各处置部门(共享系统资源)的网络互联互通。局域网如果不采用有效的边界防护措施,可能会遭受网络攻击与入侵,造成系统服务中断,其后果是极其严重的。以计算机病毒为例,一旦中毒造成服务中断,导致城市管理案件无法及时上报、处置、核查,特别是造成评价系统数据失去公正性,其严重程度不言而喻。
2 多层面接入设计
数字化城市管理信息系统应用跨越政务专网、外部有线网、无线网,用户类型众多,整个平台将不可避免面临各种安全威胁与隐患。各级指挥中心、监督中心、城管基层部门、专业处置部门以及社会用户都通过不同网络路径进行访问,针对不同层面接入需要设计不同解决方案满足不同需求。针对城管队员巡查、监督员、专业部门处置人员等移动人员的远程VPDN安全接入方案,解决网络安全接入和传输;针对专业处置部门、公众服务区等不同安全区域的边界防护解决方案,解决安全接入问题,通常涉及到漏洞扫描和入侵检测,数据包过滤和病毒防范;针对数据中心的数据保护解决方案,以保证可靠性、安全、可管理;针对城管系统内部上网用户的行为监管解决方案,通常涉及到包括用户身份统一认证,用户访问授权控制和行为审计。
3 VPDN技术
VPDN(Virtual Private Dial-Newtork)技术向终端提供以拨号方式接入运营商宽带互联网,利用运营商宽带互联网公共网络资源建立虚拟链路,适应了数字城管网格化管理的需求(人员分散、地点分散),同时满足了无线数据安全接入、保密传输要求,确保“城管通”用户以安全方式访问数字城管内部数据资源。
VPDN组网使用两类关键网元:LAC和LNS LAC:L2TP Access Concentrator,L2TP访问集中器,主要用于通过PSTN/Internet网络为用户提供接入服务。LNS:L2TP Network Server,L2TP网络服务器,用于处理L2TP协议的服务器端设备。基于宽带城域网、虚拟通道由运营商核心网络设备提供、对使用者透明、两次认证、动态分配私网地址与互联网隔离,LAC和LNS通信通道存在于专网内,并采用专用隧道加密技术通信,安全性很高。
4 安全传输技术
移动接入终端通常有Android、IOS、Symbian等不同操作系统,Web Service技术的出现,使得不同机器、不同操作系统之间的分布式数据传输互联变成现实,其大量应用于网络客户端与服务器的联系。但是WebService本身是不安全的,为保证服务器与客户端传输的安全性,必须要满足三个方面的需求,即:保密性、不可篡改、不可抵赖。WS-Security (Web服务安全) 是一种提供在Web服务上应用安全的方法的网络传输协议,其最初是由IBM, 微软, VeriSign和Forum Systems开发的,协议包含了关于如何在Web服务消息上保证完整性和机密性的规约。WS-Security 描述通过消息完整性、消息机密性和单独消息认证提供 保护质量对 SOAP消息传递的增强,这些机制可以用于提供多种安全性模型和加密技术。加密数据时,可以选择使用对称加密(DES)或不对称加密(RSA)。通常的做法是,首先对要发送的数据做单向加密,获取数据的特征码(如MD5摘要);对特征码用发送方的私钥(非对称)进行加密生成S1;然后对S1和数据进行对称加密生成S2;最后将S2和对称加密的密码使用接收方的公钥进行加密。信息传输完整性通过消息摘要实现,信息的保密性通过对称加密算法实现,再将对称密码加密后发送到接收方,信息的不可抵赖利用电子签名来实现。
5 安全边界防护体系
在网络边界上,最容易受到的攻击方式通常有下面几种:信息泄露、黑客攻击、病毒侵扰、木马入侵、网络攻击,,那么如何防护边界安全呢?首先在最容易入侵的关键入口处设立安全关卡,例如古代城墙下面的城门,将城内与城外进行物理隔离,对所有进出的人员进行安全监控;其次,为了安全起见,在城墙外面再开出一条护城河,在河上架起吊桥,让入侵者的行为暴露在光天化日之下,无处遁形。最后,对于闯过前两道关卡混进到城内的危险份子,采取在城内建立一套行之有效的监控体系。比如古代的联防制度,部署视频监控等。一旦发现入侵者异样行为,立即处置。常用的安全边界防护技术有以下几种:(1)防火墙技术。防火墙的作用就相当于网络的“城门”,它是网络的必经通道,所有的数据包都从此处经过,是第一道关口,所以其在网络的边界安全设计中充当排头兵。它的设计原理来自包过滤与应用技术,它有一个访问控制列表(用户自定义)ACL,控制网络的第三层和第四层,只有符合ACL规则的数据包才能够通过。防火墙的缺点也是显而易见的,即只在网络层工作,不能对应用层进行有效识别,对隐藏在应用程序中的病毒、木马完全没有办法。(2)多重安全网关技术。当一道防火墙不能够满足需要时,通常的做法就是多加上几道安全网关,按照不同功能进行细化,如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的iptables。多重安全网关的安全性比普通一道防火墙要好许多,可以对付常见的入侵与病毒。(3)网闸技术。当用户需要更高强度的安全性时,如果采用物理隔离卡,需要在内网和外网之间来回频繁切换,使用起来很不方便,而防火墙自身的安全又很难保证,此时网闸技术应运而生,它的设计思路类似于“不同时连接”。即同一时间不连接两个网络,由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,通过中间的缓冲区来转接业务数据,从而实现内外网络的数据互通。普通防火墙是作用在于保证网络层安全的边界安全,而网闸重点是保护内部网络的安全,各有侧重不同。
6 结语
随着数字城管安全防护技术的不断发展,在攻击者与防护者持续的博弈中,新的理念不断涌现,网络安全攻与守的局面一直会延续下去。
[关键词]医院;信息化;系统;安全建设;重要性
doi:10.3969/j.issn.1673 - 0194.2016.18.108
[中图分类号]R197.324 [文献标识码]A [文章编号]1673-0194(2016)18-0-02
医院信息化系统安全防护措施的建设对保证医院系统的安全性和稳定性具有重要的意义,其网络安全管理水平直接关系到医院中各个医疗部门的正常运作。一旦出现信息安全问题,将会导致网络瘫痪、大量数据丢失,为医院的正常运行和患者带来难以弥补的损失。因此,医院应建立健全信息化系统安全防护体系,制定相关的安全防护措施,从而建立高效、安全、稳定的医院信息化体系。
1 医院信息化系统建设的基本手段
1.1 建立完善的网络安全管理制度
建立完善的网络安全管理制度是医院信息化系统建设的基本制度保障,科学的网络安全管理制度能够保障网络运营的安全性及稳定性。为此,医院应根据自身需求,对网络系统进行科学管理,制定与各部门相关的网络安全执行规定。同时,对医院人员进行定期网络安全知识培训,使医护人员能够科学地利用信息化网络,促进医疗服务水平的提高。通过培训提升网络意识以及制定安全管理制度两方面展开工作,从制度上及意识上提升网络安全的执行效率,提高人们的安全意识。另外,落实网络安全责任制,将医院的各个环节网络安全工作责任落实到人,促进团队到个人的监督工作,通过层层问责、层层监督的形式,实现网络安全管理,与此同时,也能够实现网络安全人人有责,提升医护人员网络安全的责任心,使之能够更加用心地维护网络安全、科学使用网络,避免由于个人操作失误、人为破坏及意外泄露等原因造成网络安全问题。
1.2 加强人员管理与制度管理
医院的信息化系统与网络安全管理制度归根结底是人在使用,因此在进行网络安全建设过程中最重要的是对人的管理。第一,对人员素质及人员品质进行考核,促进人员集体意识及服务意识的加强,摒弃个人利己主义,以防止由于利益、职位等因素造成医院数据及信息的泄露。第二,在对人员素质品质进行考核的基础上要有针对地进行网络安全培训,提升网络操作的科学性,通过培训给予医护工作者正确的网络使用指引,引导医护工作者充分利用信息系统提供医疗服务的同时能够自觉维护网络安全。第三,针对一些重要的部门以及人员信息应进行网络隔离监管。由于某些部门数据的重要性以及文件的机密性,信息一旦泄露将会造成不可估量的损失,因此针对一些重要的部门以及人员信息应进行网络隔离监管,使重要数据以及医院机密文件得以保持其机密性,防止黑客攻击或网络漏洞造成的数据泄露,使医院的重要信息包括患者病例以及医院人事档案等外泄。通过以上三点具体措施来促进人对制度进行科学管理,同时也实现制度对人的行为的监督制约作用。以此促进二者协调可持续发展。
1.3 完善网络应急管理措施及事故处置方案
完善的网络安全应急措施以及事故处置方案,能够在网络安全灾难发生后切实减少网络瘫痪时间,及时恢复系统及数据,降低事故损失。为此,完善的网络应急管理措施应包括:网络监督维护工作、数据档案备份工作及事故应急处理工作。网络监督维护工作主要是指对网络安全系统的漏洞进行及时排查、修复,对可能存在的风险予以规避,避免由于监督疏忽造成的病毒侵入等问题。数据档案备份工作是指利用备份软件进行有层次有部门的数据备份工作,使医院系统数据有一个较完整的备份,一旦发生网络安全问题,可以及时恢复数据,尽可能地减少数据丢失问题。而事故应急处理工作是对网络安全事故第一时间做出反应,以减小事故损失及社会影响为基本着眼点,采取应急措施等一系列事故应急方案,保障事故的影响降低到最小.
2 医院信息化系统安全建设的重要性
2.1 促进医院系统的正常运行以及数字化管理
由于网络信息化实现了电子化病例与地域医疗系统等信息化手段的结合,为医疗工作提供了大量的医疗信息,保证了医疗手段的先进性以及获取病患信息的及时性。目前,医院各个繁杂的项目都极其依赖于网络的功能性,因此医院网络必须保证其安全覆盖24小时安全运营。故而医院网络系统的安全性对医院能否正常运行具有重要的影响作用,同时对病患得到及时高效的就医具有重要作用。可以说,医院系统安全建设是保证医院网络安全运行的前提及数字化管理的重要手段。在目前医疗系统的不断推进过程中,医院的信息网络具有较强的开放性,在给患者带来便利的同时,在一定程度上为医院的网络安全带来隐患。医院进行信息化系统安全建设时要做好实时监督,并化解医院信息网络中存在的风险,最大限度使医院各个系统避免网络攻击带来的侵害,且规避网络泄露对医院造成的经济损失和社会影响,确保医疗系统的正常运行,保证医院各项工作的顺利开展。
2.2 优化工作环境,提高医护工作效率
安全的网络信息系统能够促进系统的有序进行,优化医院的就医环境,提高医护的工作效率及病患的就医体验。应用信息系统,患者可以通过网络挂号、预约,医护人员通过信息化系统查看患者的病例以及检查结果,形成电子病历,同时针对外地客户通过互联网能够及时地获取病患病史及医治信息,优化患者看病的程序,减少患者等待时间,实现医疗模式的规范化,为患者提供更加优质的医疗服务。另外,针对敏感性部门以及管理层人员的网络,采取子网分离的安全隔离措施能够有效地排除不允许访问用户的访问请求,减少信息泄露的可能,提高重要数据和机密文件的安全性和保密性,使各部门处于安全有序的信息化系统环境中,提升医护人员的工作效率,促进现代医疗机构管理水平的全面提升。
2.3 优化经费管理,提高经济效益
安全的信息化系统能够有效防止人为恶意入侵,降低人为更改系统内数据的可能性,保证系统内数据的真实有效性。通过信息化系统,能够清晰地查看医院的医疗经费和物资管理,实现经费的合理利用,减少医院不必要的开支,提高经济效益。同时,针对于病患的医药费,患者可以通过医院各角落的终端实现药品划价,使医患就医实现公平透明化,解决患者的就医疑问。通过安全的信息化系统管理,能够优化财政系统,减少医疗经费管理漏洞,提高患者就医费用的透明度,保护医患双方利益。
2.4 能够提高医护人员网络安全意识
医院信息化系统安全的建设能够促使医院实现科学的网络安全管理制度,提高医院工作人员的网络安全意识,以使工作人员在进行医疗系统使用时,注重安全细节,减少不当的网络利用行为,例如:不在网络终端机上使用U盘、光驱等外界存储,不在终端机上拷贝等以防止病毒的偶然入侵以及数据信息的泄露。与此同时,建立网络安全信息要求各个系统的使用者建立难度系数较高的口令,以提高系统的安全性。
2.5 提升应对病毒的能力
目前,由于信息科技手段的不断提高,计算机病毒水平也不断复杂化,建立安全的信息化系统能够有效地预防病毒的侵入,通过杀毒软件部署及时修复系统漏洞,减少系统的缺陷性,使病毒无处可侵。与此同时,实现网络系统安全化能够实现网络安全管理者对客户端应用程序进行管控,提升病毒应对能力、病毒检测及病毒修复能力,有效的病毒应对能力,能够提升网络系统的安全性。而安全的网络系统能够不断提升病毒应对能力,两者相互作用能促进医院信息系统处于优化循环中。
3 结 语
医院信息化系统安全建设能够行之有效地为患者提供透明化的服务,使之账目透明,用药透明及管理透明,提高患者对医院消费的了解程度,减少医患纠纷。基于安全的网络信息系统下的医院能够利用数字化管理提升管理工作简洁性真心落实医院“以人为本”的管理理念,促进管理的有序进行,推动现代医院管理制度的完善。
主要参考文献
企业信息系统网络安全面临的主要威胁:①操作系统的安全性;②防火墙的安全性;③来自内部网用户的安全威胁;④采用的TCP/IP协议族软件,本身缺乏安全性;⑤应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少;⑥网络设施本身和运行环境因素的影响,网络规划、运行管理上的不完善带来的威胁。
2网络信息安全方案实施
通过对化工企业网络信息安全现状的分析与研究,我们制定如下企业信息安全策略。庆阳石化的计算机网络主干采用千兆以太网络光纤技术,实现数据中心核心交换机与管控中心、中央控制室、生活区汇聚层交换机间的高带宽连接;厂区各区域接入层交换机与汇聚层交换机间采用千兆以太网光纤实现高速连接;接入层采用千兆以太网双绞线技术,实现千兆到桌面。各业务服务器全部采用千兆以太网络光纤或双绞线技术,实现与核心交换机的1000M连接。同时为保护办公网络及本地内网间数据安全,需设置区域网络隔离控制及公网访问安全控制。
2.1防火墙的实施方案
从网络整体安全性出发,运用2台CISCOpix535的防火墙,其中一台主要对业务网和企业内网进行隔离,另一台则对Internet和企业内网之间进行隔离,其中DNS、邮件等则是针对外服务器连接在防火墙的DMZ区以及内网与外网之间进行隔离。
2.2网络安全漏洞管理方案
当前企业网络中的服务器主要有WWW,邮件,域以及存储等,除此之外,其中还有十分重要的数据库服务器。对管理工作人员而言,他们无法确切了解服务器系统及整个网络安全缺陷或漏洞,更没有办法对其进行解决。因此,必须依靠漏洞扫描的方法对其进行定期的扫描、分析以及评估等,对于过程中存在的部分问题及漏洞及时向安全系统发送报告,使其及时对安全漏洞进行风险评估,从而在第一时间内进行解决,增强企业网络的安全性。
2.3防病毒方案
当前企业主要运用的是Symantec防病毒软件,主要是对网络内的服务器及内部的计算机设备进行全面性病毒防护。同时,在网络中心设置病毒防护管理中心,使局域网内的全部计算机处在一个防病毒的区域之中。此外,还可以运用防病毒管理域的服务器针对整个领域进行病毒防范,制定统一的反病毒策略,设置场扫描任务调度系统,使其进行自动检查与病毒防范。
2.4访问控制管理
必须实行有效的用户口令及访问限制制度,一次来确保网络的安全性,致使唯独合法用户进行合法资源的访问设置。与此同时,还需要在内网的系统管理过程中严格管理全部设备口令(口令之中最好有大写字母,字符以及数字等),切记不可在不同的系统上采用统一性的口令,否则将会出现严重的故障问题。实施有效的用户口令和访问控制,确保只有合法用户才能访问系统资源。
3企业网络信息安全管理
3.1完善网络信息安全管理机制
在当前企业网络运营过程中,必须确保其信息安全管理的规范化。只有将企业网络与信息管理的安全性纳入生产管理体系,才能使企业网络得以正常运行。此外,还必须加强建设网络和信息安全保证体系中的安全决策指挥、安全管理技术、安全管理制度以及安全教育培训等多个系统,并实施行企业行政正职负责制,进一步明确各个部门的责任等。
3.2建立人员安全的管理制度
必须了解企业内部人员录取、岗位分配、考核以及培训等管理内容,提高工作人员的信息安全意识,才能确保企业内部信息安全体系的有效进行,为企业未来的发展奠定基础。
3.3建立系统运维管理制度
明确环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、事件处置、应急预案等管理内容。
3.4建立系统建设管理制度
关键词:网络安全;信息安全;计算机安全;信息管理
随着交通行业的科技信息化发展,交通行业各应用系统及计算机遭受病毒攻击、垃圾邮件泛滥等问题威胁着行业信息安全。由于缺乏安全意识,出现了数据丢失、信息被盗等安全问题,给整个行业造成重大损失。保证行业内计算机及网络信息系统的安全运行,不受病毒、黑客的侵扰极为重要。
1交通行业计算机信息安全存在的问题
现阶段,交通行业内的计算机用户群体复杂,存在的信息安全问题也很复杂。主要存在以下几个方面的问题。(1)计算机软硬件核心技术大多依赖进口目前,中国的软硬件核心技术欠缺,例如美国的CPU芯片、美国微软公司的WINDOWS操作系统、美国微软公司的日常办公通用软件OPFICE、各大数据库等软硬件大多依赖国外。国外的系统固然会不定期更新,但肯定会存在大量的安全漏洞,留下隐藏性病毒、后门等隐患。这些漏洞使得计算机的安全性能大大降低,同时使网络处于极脆弱的状态。(2)缺乏安全有效的防护措施很多计算机用户不设置系统登录密码,即便是设置了密码但是密码策略低,有的甚至设置成电话号码、连续数字等。用户虽然安装了杀毒软件,但缺乏安全意识,有的用户的杀毒软件根本没有升级病毒库,相当于是在裸机的状态下使用,一旦感染病毒,再加上黑客攻击,很可能直接造成网络瘫痪,从而导致存储在计算机中的大量敏感文件和工作文件信息被窃取,极易造成泄密事件。(3)重要数据缺少备份行业用户的操作水平不高或者操作习惯不好,会导致经常误删一些重要文件。此外,各种自然灾害、病毒、黑客攻击、计算机硬件设备损坏等都会导致文件及数据遭遇毁灭性的损坏。如果用户未对重要数据进行备份,一旦文件遭到破坏将很难恢复,对个人甚至国家都会造成严重后果,所以数据备份不容忽视。(4)电子邮箱密码设置过于简单某些单位的电子邮箱没有相关管理制度,网络管理者在分配邮箱的时候一般会设置一个较简单的默认密码,用户在使用过程中很少有修改密码的习惯。完全把邮箱变成一个网络存储空间使用,往来邮件长时间不清理。一旦电子邮箱被黑客攻破,后果不堪设想。(5)计算机网络信息安全缺乏严格的管理制度行业内大部分单位虽然有信息安全管理制度,也明确了岗位职责及规范,但在实际工作中却并未严格按照规范执行,有很多制度一成不变,已经跟不上时代的发展,与现阶段国家的相关规定也存在很大差距,导致极大的信息安全隐患。此外,对于特定的账户密码和管理员权限没有监管,缺乏安全保障制度和预防措施。(6)对于计算机信息安全事故缺乏有效的应对措施防患于未然极其重要。一些行业内单位对于信息安全缺少防范措施,一旦出现重大网络安全故障后,缺乏快速补救的措施和应急方案,不能及时排除安全故障和隐患,势必会给单位和个人造成重大损失。(7)计算机信息使用和管理人员安全意识淡薄有的计算机信息使用和管理人员在日常生活和工作中缺乏安全保密意识,不能严格执行交通运输部保密办的“计算机不上网,上网计算机不”的保密要求,往往把U盘混用,接收资料也不杀毒处理,操作系统、杀毒软件不及时升级,这些行为都会导致计算机感染病毒。外出时,个人手机和笔记本电脑经常会连接到各种无线网络中,这对行业信息安全都有极大的风险。
2交通行业计算机信息安全管理对策
(1)推广国内自主研发的核心设备和技术的应用按照国家相关要求和规范进行网络信息安全和计算机信息化设备的采购和配置。涉及到重要的信息,尽量使用国内自主研发的经过国家保密局、安全局、公安部评测通过的计算机网络安全设备。(2)对内部网络及系统进行分级保护对行业内的计算机信息网络,一定要按照国家有关要求和交通运输部保密办的要求,进行分级保护管理。对单位内网络中的所有网络终端进行系统加固,安装安全登录、主机审计、身份认证、主机监控、黑白名单、违规外联、补丁分发、文件分发系统。对网络内的终端计算机实行关闭刻录、USB使用功能,禁止使用无线及蓝牙等外设设备,采用红黑电源插座。计算机只可进数据,严禁出数据。出数据必须要逐级审批,方可开通权限进行刻录和打印。对网络线路加装线路保护仪,网络设备和系统要放置在屏蔽机房和屏蔽机柜内。(3)对内部非的网络和政务外网进行等级保护按照国家有关要求和标准规范,进行等级保护测评。全面安装计算机安全登录终端、主机审计和监控系统。对等级级别高的网路和系统要间隔不长时间再次测评。《中华人民共和国网络安全法》现已实施,为了避免在国家重大活动信息安全保障中出现信息安全责任事故,尽量使用软硬件设备关闭单位大楼内的无线信号。(4)安装防病毒软件、防火墙、入侵检测系统对行业内的网络计算机,要逐台安装防病毒软件和木马查杀软件,要求对病毒进行定时或实时的扫描及漏洞检测。对文件、邮件、内存、网页进行全面实时监控,一旦发现异常情况,及时定位处理。要使用补丁分发系统及时针对系统和常用软件漏洞进行分发安装。网络层一定要软硬结合,使用防火墙和入侵检测系统,对安全策略及过滤规则按照最高等级设置,以防御外部恶意攻击。对网络中的IP地址加装ACK地址管理系统。为了安全起见,全部设置静态IP地址,然后与MAC地址绑定,这样可以有效预防IP地址欺骗。同时利用上网行为管理系统,屏蔽非法访问的不良行为,禁止把内部敏感信息和数据传播至公共网络。使用网络监控和预警平台对网络进行监测,及时有效地保护网络安全。(5)完善行业计算机网络安全管理体系为了加强网络安全管理,将信息安全管理工作落到实处,必须对网络中的每个管理环节进行监管,实现网络信息安全的最终目标。为了提前发现网络风险,将风险降至最小,避免黑客利用漏洞破坏网络信息安全,必须从顶层设计入手,针对网络信息安全制定全面的管理体系和网络信息风险评估体系,这对建设安全的网络环境十分重要,可以对网络信息起到监管作用,更加有利于网络信息安全管理。(6)提高思想认识,加强制度落实信息安全管理工作的首要基础是通过加强思想教育、制度学习和落实,提高全员的网络安全意识。认真学习各类信息安全法规和保密教材,尤其是要深入学习《中华人民共和国网络安全法》,强化安全保密观念,提高安全保密意识和素质,增强网络安全保密知识,改善网络安全保密环境。(7)制定严格的信息安全管理制度为了维护行业信息安全,每个行业单位应结合实际情况,完善内部网络信息安全管理制度,确保信息处理、存储、传播的安全。对于的计算机应安排专人负责。文件应单独保存在介质中。对于机房、计算机软硬件、信息系统建设与运维、邮件服务器系统,也应制定不同的安全策略和管理制度,并在实际工作中严格执行落实。(8)制定网络安全应急管理措施为了能够及时快速地处置网络安全事故,行业各单位需结合实际情况,制定本单位网络安全应急管理措施,明确岗位职责和处置权限,并定期开展安全应急预演,提高技术人员的应急处理能力。网络安全事故突发应急处置过程中,一旦发现问题要及时上报,规定报送流程、时间要求等,采取措施降低损害。每次的处理都要记录并保存,以便追溯。按照应急处置程序,一旦发生信息安全事件,要立即向有关部门报告。(9)重视网络信息安全人才的培养各单位应重视网络信息安全人才的培养,建立一支信息安全管理技术过硬的团队。每年制定不同的年度培训计划,通过每季度不少于一次的专业培训来提高网络信息安全人才的专业技术能力。
3结语
总之,交通运输行业对计算机及各种网络的依赖性越来越强,遭受各种病毒侵扰、黑客攻击也是不可避免的。交通行业计算机及网络信息安全问题,必须引起各单位高度重视。人人都应从自我做起,提高个人的信息安全意识,养成良好的计算机使用习惯。只有完善制度、严格落实执行、提高监管力度,才能从根本上解决网络信息安全问题,建立稳定、和谐、安全的网络信息环境。
作者:郭俊杰 单位:中国交通通信信息中心
参考文献:
[1]赵辉,樊杰,徐京渝.分布式行业电子政务网络信息安全问题及对策[J].中国交通信息化,2013(2):36-38.
[2]李治国.浅析计算机网络信息安全存在的问题及对策[J].计算机光盘软件与应用,2012(21):47-48.
【关键词】企事业;网络现状;安全管理;体系构建
1 引言
企事业单位网络,作为在互联网上业务延伸的平台,它的功能和效果越来越受到各单位的重视。在各类单位系统建设中,安全无不被提高到战略高度对待。各单位或从技术手段出发,采用各类信息安全技术来保障网络安全,或是辅之以信息安全的制度保障,从技术加管理的角度来落实安全措施。但是由于开发和管理单位网络时,在技术人员、意识、监督上的缺陷,造成软件与管理上存在一定程度的漏洞,给单位的网络安全带来了影响,甚至影响了工作的开展。
1.1 实例分析
某市一企业2007年为了方便业务对象的手续办理和咨询,自建了互联网服务器,开设网上办理手续的网站,网站主要服务为业务手续所需表格的下载、申请审批的预约、申请审批进程的查询、程序规范的宣传和注意事项、疑问解答等,有需要的客户在家就可了解该项手续的办理,获取申请表格、了解审批的进程。该网站采用access+asp,服务器操作系统使用windows2003,web服务使用操作系统自带的IIS,系统安全措施采用kill6.0杀毒软件。该站源代码采用动易网站管理系统,是网上下载的一个免费源代码程序,委托电脑公司根据实际业务需要经过修改而成。因该企业对网络制作与管理不熟悉,也为了管理的方便,所以在管理上,超级管理员帐号由委托的电脑公司网络制作人员掌握,出现网络或服务器的问题则由该电脑公司派员进行维护,业务操作的帐号则由该企业人员掌握。开始筹划并建立伊始,该企业对网络的安全管理比较重视,特地咨询技术人员制定了安全管理制度,确定每日检查的事项,以及应急处理的方案。但由于该企业人员都只会业务操作,对安全管理这块没有概念,对此也不知如何监督管理,故日常的服务器检查等都未开展,全靠电脑公司进行。由于服务器属于该企业,故放置在办公室,电脑公司维护人员通过在服务器安装serve-u软件开通了ftp功能,以及安装Remote Administrator可以进行远程控制,使网络的一些代码更改上的操作和一些简单的系统问题可以进行远程维护,服务器的系统登录密码该企业和电脑公司都掌握。
电脑公司在技术上有优势,如果能按照安全管理制度做好日常维护管理,包给电脑公司进行网络和服务器的维护这也是一个很适合该企业现状的安全管理方案,但电脑公司技术员由于责任心问题未认真进行日常检查维护,只是在该企业提出修改时进行一下网络代码的修改,或者系统局部问题的处理,在2007年初服务器的操作系统安装完毕,系统补丁打全、杀毒软件kill的病毒库升级后,就没有再次更新。由于网络数据没有及时备份,导致了业务信息全部丢失,无法及时进行应急恢复,给企业造成了很大的损失。
1.2 分析问题存在原因
发生这次攻击并不是黑客的技术有多么的高超,仔细分析一下造成目前状况的主要原因,其实很明显:
(1)缺乏熟悉计算机技术的人员
该企业原有工作人员不熟悉计算机技术,水平仅停留在网络的业务信息基本操作上,对网络的安全管理一无所知。虽然网络创建伊始制定了安全管理制度,确定每日检查的事项,以及应急处理的方案,但是由于技术水平的限制,无法监督贯彻制度中的规定。
(2)存在重创建轻安防的意识
在网络安全问题上该企业还存在认知盲区和制约因素,网络是新生事物,很多人一接触就忙着用于学习、工作等,对网络信息的安全性无暇顾及,对网络信息不安全的事实认识不足,造成安全意识淡薄。
(3)维护外包但监督未及时跟进
应该来说,该企业针对自身缺少技术人员的情况,将网络和服务器包给电脑公司进行维护这个方案还是可行的,但问题出在外包后没有将监督及时跟进,没有对电脑公司的维护工作作出严格的监督,完全靠电脑公司技术人员发挥主观能动性来进行维护,还是存在很大风险的。
2 网络安全管理体系构建思路
2.1 技术保障体系中
技术研发:重新构建该网络源代码,或者在原先基础上,可以购买收费版的动易系统,获得开发商技术支持,可以有效防范代码漏洞的危险。
防护系统:采用在杀毒性能强、用户界面友好、升级方便的杀毒软件,比如卡巴斯基杀毒软件;采用防火墙,可以采用软件防火墙(如天网,设置好详尽的安全规则,屏蔽不用的端口)甚至硬件防火墙(如firebox),防止外部网络用户以非法手段通过外部网络非法访问服务器。
2.2 运行管理体系中
行政管理:在该企业内部建立安全组织机构,如电子商务网络安全管理小组,由该企业的经理直接管辖,提升对安全管理的认识层次、制定完善的安全措施,协调管理和监督方面的事宜。
2.3 社会服务体系中
安全管理____随着社会发展,安全管理外包服务越来越显出其重要性,可以由MSSP(安全服务提供商)提供信息安全咨询、安全技术管理、数据安全分析、安全管理评估等服务,使安全管理工作专业化。
应急响应____制定应急处置预案,进行演练
教育培训____信息安全教育和培训是该电子商务网络的管理人员目前急需的,是对电子商务网络进行有效管理、应用和维护系统安全的重要基础。
2.4 基础设施体系中
标准建设____参加计算机信息系统等级保护申报等。
3 体系构建存在问题的解决方法
3.1 增强单位工作人员安防忧患意识
该企业可以组织开展多层次、多方位的信息网络安全培训和技术学习,提高基本的计算机技术能力和对网络安全的认识,形成网络信息安全的概念,从而增强内部工作人员安全防范意识和防范能力,这是避免网络安全事件发生的有效途径。只要安防意识提高,就能带动提高查找管理漏洞的能力和加强学习、弥补漏洞的动力。
3.2 配备与电子商务网络相适应的技术力量
单位网络的信息安全管理不是一成不变的,它应该是一个动态的过程,但又是一个必须“长抓不懈”的系统工程。随着安全攻击和防范技术的发展,网络的安全策略也要因时因势分阶段调整,只有时刻保持住这种动态的平衡,才能使网络的安全立于不败之地,而前提是有相适应的技术力量,因为人是网络最终使用者,也是在网络整个生命周期中,如规划设计、建设实施、运行维护等过程中的参与者和管理者,人的因素是保证网络正常工作不可缺少的重要部分。
3.3 依托中介进行管理,完善监督机制
该企业将网络和服务器的创建和维护包给电脑公司进行,按照安全管理制度做好日常维护管理,这也是一个很适合该企业现状的安全管理方案,但电脑公司的技术员由于责任心的问题,未认真进行日常的检查维护,而该企业工作人员由于技术水平问题以及安全防范上的意识问题,没有对照安全管理制度对该电脑公司进行有效的督促。
4 结论
网络是依赖于计算机和网络技术而存在的,因此它的安全与否主要取决于服务器和网络安全与否,即系统自身的安全隐患和信息安全隐患。我们只有在包括技术人员、意识、监督等在内的多方面措施支撑下,积极查漏补缺,防止和修补好单位网络这个木桶出现的某一块缺损木板,才能使这个木桶不因我们僵化静止的观念而漏水,使企事业单位网络能发挥出它的积极作用。
参考文献:
[1]张莉.计算机网络应用基础[M],中国农业出版社,2005.
[2]褚峻.构建电子政务安全管理体系研究[J] .档案学通讯,2003(3).
近年来,杭州市电梯数量增长迅猛,2011年底杭州市已注册在用乘客电梯4.8万部,2012年上半年又新增乘客电梯、自动扶梯近5000台。但是全市电梯维保行业从业人员的数量却没有相应增长。根据《特种设备安全监察条例》和相关电梯的安全技术规范,电梯维保工作对相关人员的综合要求相对较高,需要维保人员既能够熟悉电梯专业知识,又要能够和物管人员、小区业主等人协调沟通,同时电梯维保工作具有一定的危险性,所以一个合格的维保人员培养的过程很长。但是维保人员的工资却不高,愿意从事这个行业的人并不多,熟练的维保工人非常匮乏。所以,如何改变电梯行业依靠劳动力数量的发展方式,如何通过提高从业人员专业水平和应用科技手段提升电梯企业管理水平已经迫在眉睫。
杭州市自2010年10月开通电梯应急特服电话96333以来,在杭州市特种设备应急救援指挥平台的基础上,逐步建立、完善了覆盖主城区的基于物联网的电梯运行安全远程监控系统,实现了依靠科技手段实现电梯巡检和诊断,依托大品牌制造单位和维保单位,确保涉及民生的公共安全。
电梯应急救援指挥系统
杭州市电梯应急救援指挥体系,通过电梯运行安全物联网,采用电梯运行安全参数和音视频远程传输技术,对电梯运行进行实时监控,实时监测到的数据用作电梯制造、维保单位对电梯实施保养修理的决策依据。如监测到数据显示电梯处于安全隐患状态,系统会自动预警,提示电梯维保单位及时处理;监测到电梯故障困人,系统将自动向特种设备应急处置中心和电梯维保单位报警,以此大大提高电梯困人救援的效率。
杭州市电梯应急救援指挥体系的核心是“电梯运行安全物联网”,集成相关多项技术,包括传感技术用于电梯乘客和电梯状态检测;射频识别技术用于电梯基本信息识别,电梯维保人员考勤;网络传输技术用于电梯状态参数、音视频流的远程传输;音视频解压缩用于电梯实时图像监控的录制和传输;GPS以及电信运营商基站定位技术用于维保人员和电梯被困人员的准确定位等等。
系统应用及功能
电梯运行安全物联网规模示范网体系下分为两个子系统:一是电梯运行安全参数采集系统;二是电梯音视频图像采集、电梯运行状态显示及媒体平台综合系统。
电梯运行安全参数采集系统对电梯运行状态进行实时监控,电梯运行安全监测数据接入电梯应急处置平台。遇到电梯困人能够报警,能够对电梯故障进行统计分析,向电梯维保单位预警。
依托杭州城域网和信息化大平台,参照公交移动电视模式,在电梯轿厢内设置移动电视,一是用来显示电梯运行参数,二是作为媒体信息平台,三是作为政府公益宣传平台;四是在电梯困人时播放安抚和自救指导片。移动电视平台由政府指定单位统一运营,通过对电视的运营来弥补监控系统运营费用的不足,从而推动全市电梯物联网产品、技术、应用的有序发展。系统总体架构如图1所示。
系统软件平台采用微软.Net架构、Oracle和MS SQL Server数据库开发。前段硬件设备采用采用ARM+DSP和实时Linux架构,其处理器和存储等硬件资源满足电梯故障参数、音视频信息、各类传感器信息的接入、处理和传输。设备针对电梯行业的特殊性开发专用通信接口,完成了电梯故障参数的接入,针对不同电梯品牌的故障参数,将其归一到统一的故障参数定义标准中,供后台系统使用。除了对电梯自身状态的检测,安全网关还实现了对电梯周边环境的监测,包括电梯井温湿度、机房温湿度等。所有监测数据和视音频信息通过设备中内嵌的3G设备或者以太网传输到监控中心。
系统设计理念
终端设备功能
电梯端监控终端采用AC220V/DC12V给系统供电,并采用后备电池备用供电回路。日常记录电梯运行状况及统计,检测电梯故障及困人等事故,通过3G、Wifi或者有线网络传输数据,实现电梯定位,提供视频对话功能;同时提供预留I/O接口方便后续升级和功能扩展。终端系统图如图2所示。
终端采用工业AC220V/DC12V模块,抗干扰能力强,使用范围宽,达到国家电磁认证,通用性强,技术成熟,性价比比较高,能够达到电梯仪表电源方面的标准。采用铅酸电池及充电管理,在停电时候,能够迅速切换提供后备电源,同时铅酸电池在撞击和高温时,不会爆炸和起火,避免火灾、爆炸隐患。采用3G无线通讯模块,无线传输视频、音频及通讯数据。利用SD卡,保存运行参数、媒体视频、政府公益宣传视频、困人安抚指导视频和音频数据、求救记录,人员状况及其他状况记录等。设计人体红外感应功能,针对高温天气下困人环境的人体的热感应功能。
数据传输系统
电梯安全网关支持了多种网络传输制式,包括中国电信EVDO网络、中国联通WCDMA、中国移动TDS-CDMA等3G网络;也可以采用有线网络以及有线和wifi融合等方式;系统同时向下兼容2G网络环境,可在3G网络信号未能覆盖的区域平滑切换到2G网络模式工作。
电梯安全网关能根据无线网络视频传输的特殊环境进行优化,调整网络传输协议,并对视频编码方案进行优化,做到根据网络带宽变化自动调节视频图像的码流和图像质量。系统网络拓扑图如图3所示。
软件管理平台
系统的软件部分主要分为3个子系统:电梯安全运行监控及报警系统、流媒体系统、存储系统。电梯安全运行监控及报警系统用于监控电梯的运行、发生故障的报警,分为处置中心、电梯维保单位、电梯使用单位3级、多点平台,由于电梯维保单位监控电梯存在隐私权的问题,而电梯使用单位又无法保证使用平台全天候正常使用,故而原则上所有的运行数据、故障时的音视频数据全部保存于处置中心,另2级平台只可以查询处置中心授权的信息、数据。当电梯发生紧急情况时,处置中心第一时间通过电梯安全运行监控及报警系统对故障现场情况进行监视,视现场情况确定处理方案。流媒体系统用于当电梯发生紧急情况时,处置中心与被困乘客进行双向音视频交流时对音视频数据进行处理。存储系统嵌入于电梯安全运行监控及报警系统和流媒体系统内,对电梯平时运行数据、紧急情况时的音视频数据进行存储。
网络安全
网络安全包括物理的和逻辑的网络安全。系统可根据不同区域内安全等级的不同采取相应的安全策略,采用防火墙、路由器、前置机等措施隔离内外网数据流实现事前管理,并通过入侵检测软件、系统日志分析等实现事后管理。
采用数据加密。对关键敏感信息(如用户口令,数据交换文本等)都进行加密处理,将加密后的密文在网络中传输,并由接收方解密后分析原始数据。对于用户口令等信息,直接将密文在数据库中存储,保证了数据库存储层的安全性。
采取日志及安全审计。通过详细记录用户的操作过程,生成用户操作的日志文件。安全审计信息是电子举证的重要手段,能够用于追查网络攻击和泄密行为。另外,通过数据库管理系统本身的审计功能,在SQL语句层面上记录数据库变化的过程,辅助追踪其他方式的数据库越权操作行为。
数据存储及备份。系统采用了大容量基于SAN结构的磁盘阵列系统,所有数据集中统一存储。对于系统运行过程中产生的大量数据,选用备份管理软件进行定期数据备份。另外,通过市政府的远程灾备系统进行数据备份。
应用成效
要构建“和谐浙江,品质杭州”,就要建立并逐步完善城市电梯的安全保障体系,控制在用电梯的故障率,电梯出现故障后能对人员实施及时救援。在杭州公共场所、住宅等使用的电梯上配置电梯安全运行监控装置,依靠物联网技术,可以实现对电梯故障的实时监控。通过一年半的运行,杭州市实现了随时掌握电梯困人信息,及时第一发出指令,有效实施救援,大大提高了政府监管部门对电梯应急处置的效率。
杭州市电梯应救援指挥体系的建设,基本实现了“智慧杭州、智慧城市”的几大特性:
先进性——采用了先进的概念、技术和方法,结合面向对象的设计思路,综合数据集成的先进技术,应用流行管理理论,为用户提供直观易用的控制、故障应对、救援综合解决方案。
易维护性——提供了灵活的组织机构、用户权限、数据备份/恢复、数据追踪、数据整合、应用回退等管理工具,采用模块式组合,极大地方便了系统维护工作。
适用性——提供了可靠合理的功能和输入/输出接口,适用于不同的环境。系统可以根据不同型号的电梯进行灵活的选择配置,将不同品牌、型号的电梯集成在一个系统内。
集成性——充分考虑到信息、功能、系统集成的需要。将远程通话、远程电梯控制、远程视频控制、故障分析、远程控制等系统相连接、集成到一套系统中。
安全性——系统完全独立,自备电源不与其他系统有任何交叉,运行可靠、安全,从应用角度对系统安全和数据安全进行保护;视频监视系统在电梯正常时不起作用,当电梯故障或控制室发出指令时才可进行视频控制并同步录像,保障乘客隐私。
这些网络攻击不仅仅发生在电脑上,还出现在其它设备上。很多移动设备频遭攻击,甚至汽车也被入侵,直接威胁到司乘人员和公众的生命安全。为了抵御这些威胁,安全厂商正在竭尽全力,与之较量。这是一场没有硝烟的战役,战场就在我们身边,而且战场范围还在扩大,这给公众带来了更多的困扰和风险。
2015年第二季度,安全厂商了新一期安全报告,就如何抵御这些威胁进行了分析探讨。思科等安全厂商提出了新的解决方法,诀窍就是“快”。缩短检测时间,快速处理,这样才能抵御变幻莫测的攻击行为。
吹响战斗的号角
近日,思科了2015年年中安全报告。在该报告中,我们可以看到Angler Exploit Kit成为了常见威胁类型的代表。由于数字经济和万物互联(IoE)为攻击者创造了新的攻击途径和盈利机会,此类威胁将会给企业带来严峻挑战。
此调研发现,Angler是当前最复杂、应用最广泛的漏洞利用工具包。此外,攻击者可利用它通过域名阴影(Angler的技术之一,大部分域名阴影活动的缔造者)逃避检测。
针对Adobe Flash漏洞的工具,集成在Angler和Nuclear工具包内,呈上升趋势。导致这一现象的原因是缺少自动执行的更新补丁,消费者因此未能及时更新。在2015年上半年,通用漏洞披露网站(CVE)的系统报告显示,2014年全年Adobe Flash Player漏洞数量增加了66%。按照这样的速度,2015年CVE报告的Flash漏洞数量将创下空前纪录。
除了漏洞危机,勒索软件(ransomware)也逐渐演变,成为黑客的攻击武器。黑客对勒索软件的操作已经非常熟练。为使支付交易躲避执法机关的检查,勒索通常采用更为隐秘的无实体付款方式。
当然,还有来自于变异恶意软件的威胁。这些软件的创造者对规避安全措施有着深刻的理解。作为其逃避战术的一部分,攻击者会快速改变电子邮件的内容、用户、附件,或者推出新的活动,迫使传统杀毒系统重新检测它们。
思科全球高级副总裁兼首席安全官John N. Stewart表示:“企业不能只是简单地接受‘妥协是不可避免的’这种局面。技术行业必须终结这个游戏,提供可靠的弹性产品和服务,同时安全行业必须提供大幅改进且显著简化的功能,以检测、预防攻击,以及从攻击中恢复。在这一方面,我们始终处于行业发展的最前沿。客户经常告诉我们,业务战略和安全战略是他们面临的两个最重要的问题,他们希望与我们建立可信赖的合作伙伴关系。信任与安全密切相关,同时透明度至关重要。因此,技术领先只是成功的一半,我们致力于同时提供行业领先的安全功能和跨所有产品线值得信赖的解决方案。”
DDoS威胁波及面广
吹响战斗号角的不仅仅是思科一家厂商。还有很多安全厂商都在研究新的网络威胁机制,积极应对。卡巴斯基实验室的2015年第二季度DDoS情报统计数据显示,在遭遇僵尸网络攻击的资源中,四分之三均位于中国、美国、韩国、加拿大、俄罗斯、法国、越南、克罗地亚、德国等九个国家。同上一季度相比,这一数据有所下降。2015年第一季度,十分之九的受害者位于排名前九位的国家。本季度,美国和中国位居前两位,究其原因可能是这两个国家的网络托管服务较为便宜。第二季度,遭受DDoS攻击的国家从76个上升到79个。排行榜中排名的变化,以及越来越多的国家遭受这类攻击的危害,均表明没有任何国家能够从DDoS攻击中幸免。
卡巴斯基实验室卡巴斯基DDoS保护总监Evgeny Vigovsky对此表示:“社交工程技巧的滥用、新型互联网访问设备的出现、软件漏洞和对于反恶意软件保护重要性的低估,都造成了僵尸程序的泛滥,增加了DDoS攻击的数量。所以,不管企业在哪里,规模和类型如何,都面临遭遇攻击的风险。2015年第二季度,卡巴斯基实验室所保护的DDoS攻击受害者包括政府机构、金融机构、大众媒体甚至教育机构。”
在发动攻击技术方面,网络罪犯开始更多地开发利用网络设备创建僵尸网络的技术,例如利用路由器和调制解调器。这些变化会对未来僵尸网络造成的DDoS攻击数量增长造成影响。
由于现在几乎没有公司不使用在线资源(电子邮件、网络服务和网站等),通过DDoS攻击服务器,将给企业造成严重的商业风险和经济损失。因此,卡巴斯基实验室建议所有企业都要事先确保自己服务的安全。在为企业IT基础设施选择抵御DDoS攻击的解决方案时,最好选择市场上知名的供应商。
新设备带来新风险
趋势科技监测显示,近两周全球出现了许多新型的网络安全风险,以往仅存于iOS设备的Hacking Team间谍软件已经蔓延至Android设备。此外,汽车所面临的网络安全风险也变成现实,克莱斯勒甚至为此召回了140万辆汽车。这些网络安全风险提醒用户,需要加强对网络安全动态的关注,并部署具有前瞻性的网络安全防护系统。
iOS设备在前一段时间面临Hacking Team间谍软件的风险,现在已经继续延伸到Android设备,手机是其中的重灾区。RCSAndroid(远程控制系统Android)程序代码被认为是到目前为止已知的Android恶意软件中开发最专业且成熟的一个,可以窃听用户的通话。
除了以上这些威胁外,危险可能随时随地直接降临到司机身上。美国两名资深网络安全专家日前公开示范,他们可利用网络让行驶中的车辆熄火。美国科技媒体《连线》的编辑驾驶了一部配备有 UConnect 通信娱乐系统的 Jeep Cherokee,并开上了高速公路,两名黑客利用笔记本电脑,控制了车辆的空调、音响及雨刷,最后甚至直接将车辆熄火。
受此影响,菲亚特-克莱斯勒(Fiat Chrysler)7月24日宣布召回140万辆配备某些无线触控面板的汽车,将软件进行升级以防范可能的网络攻击。这是美国首例因黑客入侵疑虑的车辆召回,并且显示汽车业积极推进万物互联(IoE,Internet of Everything)所面临的风险。
实现快速全面检测至关重要
在不断变化的攻击面前,是否能及时全面地检测对安全厂商来说是非常重要的。下面记者以其中的一个Flash 0-Day漏洞样本为例(见图1)简单介绍一下该漏洞的攻击机制和检测机制。该漏洞是Flash动态脚本字节数组释放后重用漏洞(Action Script Byte Array Buffer Use After Free),经测试(某浏览器在安装了最新flash插件后完美弹出计算器的效果,见图2、3),该0-Day若被利用,便可引发挂马风暴。
某些安全厂商的APT检测产品可以在不升级的情况下准确检测出该漏洞样本,并且准确检测出利用这些0-Day漏洞的攻击行为(见图4)。
随着业务数字化和万物互联的不断发展,恶意软件和威胁变得更加普遍,这给预估检测时间(TTD,time to detection)长达100至200天的安全行业带来了严峻挑战。这些新威胁凸显了企事业单位和大众对缩短检测时间的需求。
那么企业该如何防御不断变化的安全威胁呢?安全厂商必须谨慎开发集成的安全解决方案,帮助企业发挥主动性,协调正确的人员、流程和技术。思科为用户提供了以下几点建议:
首先,采取集成的威胁防御。用户面临单点产品解决方案带来的严峻挑战,需要考虑嵌入拥有无处不在的安全功能、能够在任意控制点执行的集成威胁防御架构。
其次,以全面的服务填补安全空白。鉴于安全行业面临着日益碎片化、动态多变的威胁局面,同时还需考虑如何应对技能娴熟人才缺口不断扩大等问题,企业必须投资购买有效、可持续且可信的安全解决方案和专业服务。
再次,制订全球网络安全治理框架。全球网络治理并非用于处理新出现的威胁环境和地缘政治挑战。边界问题涉及政府如何收集有关公民和企业的数据并在辖区间共享,由于全球协作非常有限,这一问题已成为实现统一网络治理的重大障碍。要在全球范围保持业务创新和经济增长,一个涵盖多方利益相关者的协作网络治理框架将必不可少。
最后,向供应商提出明确需求。用户应要求其技术供应商详细说明并展示其涵盖在产品中的安全功能,以确保其成为可信赖的供应商。用户必须在产品开发的各个环节贯彻这一理念,包括从供应链到其产品部署的生命周期的各个阶段。他们必须要求供应商将其声明记录在合同中,并要求更出色的安全性。
思科安全业务事业部首席工程师Jason Brvenik认为:“黑客无所顾忌,气焰嚣张,攻击手法变化多端。我们一次又一次地见识了全国性攻击。恶意软件、漏洞利用工具包和勒索软件带给我们很多危害。纯粹的防御已经证明无效,而我们又难以接受长达数百天检测时间。‘当你受到威胁时会做什么’这一问题要求企业投资购买集成的技术,确保所有技术能够将检测和修复时间缩短至数小时;然后他们应该要求其供应商帮助他们将这一指标降至数分钟。”
齐心合力治理网络威胁
网络安全不是个人问题,需要公众共同努力,携手治理。近期由国家互联网应急中心(CNCERT)和中国互联网协会网络与信息安全工作委员会牵头,展开互联网网络安全威胁治理行动。在治理行动的第一周(2015年8月1日~8月9日)里,已经取得了明显成果。
随着全球信息化程度的加深,CDN已经成为互联网上向用户提供服务的重要系统之一,一方面由于CDN位于内容源站和终端用户之间的特殊物理位置,能够抵御一部分对源站的安全攻击,从而提高源站的安全性;另外一方面,随着CDN越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站,并经常承担奥运会、国庆等重大活动,保障CDN自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDN出现业务中断、数据被篡改等安全问题,可能对用户使用互联网服务造成大范围严重影响,甚至可能影响社会稳定。
标准工作开展背景
一直以来,国际国内缺乏专门的标准明确CDN应满足的安全要求,今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会(CCSA:ChinaCommunications StandardsAssociation)立项,“电信网安全防护标准起草组”讨论了征求意见稿,相信CDN安全的标准化工作,能对促进CDN服务商规范安全地提供服务,从整体上提高CDN行业的安全防护水平提供指导。
美英等国家从20世纪70年代就开始研究等级保护、风险评估的相关内容,制订了彩虹系列、BS7799、ISO27001等具有世界影响力的安全标准。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,这些发达国家越来越重视通信网络安全,并上升到国家安全高度。我国也越来越重视网络与信息安全保障,相继了中办【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发【2006】11号《2006―2020年国家信息化发展战略》等文件指导基础信息网络和重要信息系统的安全保障体系建设。
近五年通信网络安全防护工作取得很大成效,指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固,提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性,也促进了通信行业安全服务产业的快速发展。
随着通信网络安全防护工作逐步深入规范开展,2011年工业和信息化部组织开展了增值运营企业的安全防护试点,率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。
2011年,“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准,工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草,目前这两项标准的征求意见稿已经在CCSA讨论通过。
根据《通信网络安全防护管理办法》,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDN系统应该满足的安全等级保护要求,级别越高,CDN需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDN进行安全符合性评测的方法、内容、评价原则等,有助于深入检查企业是否落实了安全防护要求。
CDN安全防护内容
CDN位于内容源站与终端用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率,改善互联网络的拥塞状况,进而提升服务质量。通常CDN内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成,CDN外部与内容源站以及终端用户相连。CDN是基于开放互联网的重叠网,与承载网松耦合。
CDN主要是为互联网上的各种业务应用提供内容分发服务,以显著提高互联网用户的访问速度,所以保障CDN分发的数据内容安全和CDN业务系统安全至关重要,保障CDN的基础设施安全、管理安全,有效实施灾难备份及恢复等也是CDN安全防护应该考虑的重要内容。因此CDN的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。
(1)CDN数据内容安全
为保障CDN分发的数据内容安全,需要确保CDN与源站数据内容一致,并进行版权保护,记录管理员的操作维护并定期审计,一旦发现不良信息能够及时清除,同时提供防御来自互联网的网络攻击并对源站进行保护的能力。
数据一致性:CDN企业提供对内容污染的防御能力,识别和丢弃污染的内容,保障重要数据内容的一致性和完整性;保证CDN平台内部传输数据的一致性;防止分发的内容被非法引用(即防盗链)。
版权保护:按照源站要求提供内容鉴权、用户鉴权、IP地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
安全审计:记录管理员(含源站管理员和CDN系统内部管理员)对CDN系统的管理操作,留存日志记录并定期审计。
不良信息清除:一旦发现CDN系统内部含不良信息,应在内容源站或主管部门要求时间内,完成全网服务器屏蔽或清除不良信息。
防攻击和源站保护:引入CDN后不应降低内容源站的安全水平,同时CDN在一定程度上提供对内容源站的抗攻击保护。
(2)CDN业务系统安全
为保障CDN的业务系统安全,需要从结构安全、访问控制、入侵防范等方面进行安全保护,另外鉴于请求路由系统(即DNS系统)在CDN系统中的重要性以及目前DNS系统存在脆弱性,需要保障请求路由系统的安全。
结构安全:CDN企业在节点部署时应考虑防范安全攻击,如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。
访问控制:对管理员操作维护进行身份认证并进行最小权限分配,从IP地址等方面限制访问。
入侵防范:关闭不必要的端口和服务,CDN能够抵御一定的安全攻击并快速恢复。
请求路由系统安全:部署多个内部DNS节点进行冗余备份,并对DNS进行安全配置。
(3)CDN基础设施安全
保障CDN的基础设施安全,可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。
主机安全:企业对CDN的操作系统和数据库的访问进行访问控制,记录操作并定期进行安全审计;操作系统遵循最小授权原则,及时更新补丁,防止入侵;对服务器的CPU、硬盘、内存等使用情况进行监控,及时处置告警信息。
物理环境安全:机房应选择合适的地理位置,对机房访问应进行控制,防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施,并确保电力持续供应。
网络及安全设备防护:IP承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。
(4)CDN管理安全
规范有效的管理对于保障信息系统的安全具有重要作用,可从机构、人员、制度等方面进行保障,同时应将安全管理措施贯穿系统建设、系统运维全过程。
机构:通过加强岗位设置、人员配备、授权审批、沟通合作等形成强有力的安全管理机构。
人员:在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。
制度:对重要的安全工作制订管理制度,确保制度贯彻执行,根据安全形势的变化和管理需要及时修订完善安全制度。
安全建设:在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理,分析安全需求、落实安全措施。CDN企业在新建、改建、扩建CDN时,应当同步建设安全保障设施,并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用,需纳入建设项目概算。
安全运维:在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理,提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。
(5)灾难备份及恢复
可通过配置足够的冗余系统、设备及链路,备份数据,提高人员和技术支持能力、运行维护管理能力,制订完善的灾难恢复预案,提高CDN企业的抗灾难和有效恢复CDN的能力。
冗余系统、设备及链路:运营管理系统、请求路由系统等核心系统应具备冗余能力,在多个省份备份,发生故障后能及时切换;CDN设备的处理能力应有足够的冗余度;核心系统间的链路应有冗余备份。
备份数据:系统配置数据、源站托管数据等关键数据应定期同步备份。
人员和技术支持能力:应为用户提供7×24小时技术支持,员工应经过培训并通过考核才能上岗。
运行维护管理能力:运维人员应能及时发现系统异常事件,在规定事件内上报企业管理人员、客服人员,做好对客户的解释工作。
灾难恢复预案:应根据可能发生的系统故障情况制订详细的灾难恢复预案,组织对预案的教育、培训和演练。
CDN标准展望
2011年制订的CDN标准还只是一个尝试,目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求和检测要求,随着后续CDN安全防护工作的深入开展、CDN面临的安全风险不断变化,CDN安全防护标准还会不断修订完善。
【关键词】云平台 系统安全 轨道交通 AFC系统
1 国内轨道交通AFC发展现状
在地铁大系统中,自动售检票系统(AFC系统)以其高度的智能化设计,扮演着售票员、检票员、会计、统计、审计等角色,以数据收集和控制系统实现了票务管理的高度自动化。随着电子技术的高速发展,自动收费系统理念和技术也发生了巨大变化,一卡通、微信支付宝,电子钱包等便利手段的应用愈来愈普及,为广大乘客带来极大便利。
随着微信支付,支付宝支付、银联支付等网上支付兴起,AFC系统也在积极探索寻求新的发展途径。
传统的AFC系统是封闭的,也是安全的。传统的AFC系统难以快速、安全地接入外部互联网,云平台很好地补充传统AFC系统业务场景的不足,支撑网上支付的云平台网络安全问题必然成为了城市轨道交通业务扩展的首要面临的问题。
2 云平台系统安全的必要性
2.1 云平台的主要功能
云平台承担线网互联网票务管理职能,实现线网互联网终端统一管理、互联网车票统一发行和管理、乘客移动端服务界面管理、支付系统对接管理等功能。
2.2 云平台的现状
云平台部署在AFC网络内,依赖现有的物理网络,互联网售取票机直接连接云平台。云平台通过网络运营商提供的服务连接外部互联网,实现与不同支付平台以及移动端的连接。
2.3 现阶段云平台的架构
如图1所示,云平台作为传统AFC系统的补充,作为城市轨道交通运营公司统一的对外接口,实现与第三方支付平台、商业银行等支付机构的对接,为运营公司提供广泛的中间业务支持,也可以对互联网售票机进行票务管理。
2.4 现阶段云平台的安全隐患风险分析
云平台是城市轨道交通的重要业务网络,其网络环境的安全性直接影响到市民的日常生活及公共安全。云平台受到破坏后,会对社会秩序和公共利益造成特别严重损害,甚至在敏感地^对国家安全造成严重损害。
3 云平台系统安全在AFC系统应用的可行性
强化云平台系统安全建设,按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室和相关国家部门关于信息系统在物理、网络安全运行、主机安全、应用安全、备份及容灾等技术方面和管理等方面的总体要求,科学合理评估系统风险,合理确定安全保护等级,在此基础上科学规划设计一整套完整的安全体系建设方案。
(1)为云平台系统提供安全的网络环境;
(2)保障的现有AFC系统的安全性和独立性;
(3)增强了云平台对抗攻击和病毒的能力,同时具有主动安全防御能力,在现有复杂的安全形势下加强了生产网络的安全性,保障业务的稳定性;
(4)按照立体式的安全体系设计,做到对风险可预防,可控制;
(5)满足国家和行业对网络安全建设的要求,符合相关等保标准要求。
4 云平台系统安全技术应用方案研究
4.1 云平台系统安全设计原则
(1)实用性和先进性原则;
(2)高性能原则;
(3)可靠性原则;
(4)安全性原则;
(5)可扩展性原则;
(6)可管理性原则;
(7)前瞻性原则;
(8)等级标准性原则。
4.2 云平台系统技术架构
云平台系统安全模型是整体的、动态的,该模型对于安全环境的理解与传统的安全模式有很多不同,要真正实现一个系统的安全,就需要建立一个从检测、防御、预测到恢复的一套全方位的安全技术体系。
4.3 云平台系统安全规划
4.3.1 网络边界安全
针对常见的SQL注入、缓冲区溢出、暴力破解等黑客入侵攻击行为进行有效的防护。通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
4.3.2 应用主机安全
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;应能够对重要程序完整性进行检测。
4.3.3 数据存储安全
部署安全审计系统,对存在的数据库操作行为进行审计。审计的内容包含操作的人员,操作的时间,操作的内容等,当内部出现数据库安全事件时可以通过数据库审计系统定位到相应的责任人,做到有据可查。
4.3.4 安全态势感知
在大规模网络环境中,收集安全运行的各类要素,采集各类安全状态信息、汇聚各类安全事件和网络攻击,基于大数据计算技术,监控、识别、感知安全威胁、异常流量与攻击源等,分析预判未来一段时间内的安全影响趋势,感知风险威胁,预知安全隐患并协同处置。
4.3.5 《网络安全等级保护管理办法》
云平台系统设计、建设和运营需要满足国家和行业对网络安全建设的要求,符合等保三级及以上要求。
云平台作为轨道交通的重要业务系统,需要加强系统安全建设,贯彻落实总书记2016年4月19日《在网络安全和信息化工作座谈会上的讲话》精神,建立“威胁识别、精准监管、整体协同、预警响应”的安全态势感知体系,推动轨道交通行业信息系统安全技术发展,协同构建国家自主可控的信息安全保障体系。
作者单位
工作目标:应对疫情期间各项通信保障工作, 确保疫情期间网络安全平稳运行,坚持以“零重大网络事故、零重大安全事件”为保障目标。
一、人员:做好网络条线自有、合作方人员防护和管理
1.确保自有人员100%接种疫苗:各中心、各分公司要梳理自有员工的疫苗接种情况,对于未接种疫苗的员工应督促接种,实现100%接种。
2.加强驻场人员检查:对常驻各生产楼、生产基地的设备厂商、维护单位、合作单位的人员,应督促其接种疫苗,加强检查其行程码等信息。
3.外出维护人员加强防护:对于外出从事具体维护工作的综合代维单位、装维单位人员要严格按照当地分公司及社区要求,做好维护人员疫苗100%接种和定期核酸检测工作加强防护教育,外出作业务必做好口罩、消毒等措施。
4.高风险地区归来人员加强管理:对于从中高风险地区归来的自有、合作方人员,要严格依据当地社区的要求开展相应的人员上报、落地核算和封闭政策,并禁止进入各网络维护作业区。
二、物资:做好各类防护物资的储备,做好各类通信保障类的物资储备
防护物资
1. 各生产基地、分公司、合作方驻点、代维单位驻点要加大口罩、消毒水等防疫物资的储备,具备两个月的消耗能力。
2. 各代维单位、装维单位要对维护车辆、工具、仪器仪表进行盘点、检查,确保正常。
3. 网管中心、各分公司要对油料供应、链路出口负荷、制定应急预案,确保应急期间网络运维工作正常开展。
4. 各分公司对外出维护作业积极与相关部门建立对接机制,确保关键时期能够正常维护作业。
通信保障物资
1.家客专业:各分公司开展仪表、终端、尾纤、皮线光缆、OLT备件、车辆等物资的盘点,适当适量提前下沉至市场网格、农村驻点。同时要充分考虑疫情形势对物流的影响,积极协同市场、政企、采购部门做好各类物资、终端的供货催办,储备至少2个月的装维物资余量,装维人员做好随时下沉驻地装维的准备。
2.无线、传输、集客、动力等专业:盘点各类备品备件、维护材料,应储备2个月备品备件和维护材料的余量。
三、落实值班制度
各单位加强“疫情”期间各专业安全责任落实工作、检查设备运行质量、专业维护人员7×24小时值班、专家7×24小时技术支援、并要求技术骨干保证24小时开机及第二联系方式畅通,确保供电系统运行质量安全。
四、各专业通信保障要求
(一)家客专业
1.开展预检预修预扩容。结合网络安全生产“大起底、大排查、大整治”工作要求,持续加快推进家宽网络安全隐患整治,按需开展PON网管巡检、线路资源维修、OLT扩容、后备电源整治等工作,确保关键网络指标管理到位。
2.强化网络质量保障。加强流量监控,高度关注OLT上行受限、OLT机房停电、线路性能劣化等影响家客上网质量问题,严格执行“即办即装、即报即修”服务要求,保障服务质量不得出现大量滞留工单。
(二)集客专业
1.落实责任:请各分公司将重保电路分配专职维护人员,针对重保专线提前排查专线告警、性能隐患并完成整改,重要隐患问题不能在近期完成整改的,请在保障期间做好盯防,避免出现故障与投诉,并做好相关仪表检修、备品备件储备和现场维护队伍调度预案。
2.加强巡检:请各分公司及时完成省内保障专线现场巡检工作,排除故障隐患并将重要专线保障巡检及隐患情况上报至区公司。
3.熟悉预案:请各分公司完善集客专线保障方案及应急预案,确保保障人员熟悉预案,遵循“先抢通、后抢修”的原则,保证预案有效快速实施。
4.落实值班:请各分公司在重保期间安排值班人员(电话值班),确保值班期间手机24小时畅通,保证专线故障能够及时处理。
(三)传输专业
一干及二干保障要求
1.请客响中心组织各分公司做好一干和二干光缆线路巡检,适当增加频次,尽早发现隐患并处理。需要迁改优化的段落及严重隐患整治段落需要加快整治进度。做好设备和网管系统的运行情况检查,及时整改巡检问题,提前做好隐患板件的更换。完成巡检后反馈巡检情况。
2.请客响中心组织各分公司制定好光缆、设备、网管等保障方案和应急预案,并提前完成预案演练。针对故障高发、性能劣化等重点段落应重点、多次演练。确保备品备件充足,确保备用波道可用。
3.请客响中心定期分析4G、5G回传业务在核心设备上的流量超限情况,提前预警并做好传输带宽扩容。
本地网及城域网传输保障要求
1.做好隐患排查:请客响中心组织各分公司共同做好隐患排查、线路巡检、倒换演练,全面梳理排查全网故障情况,尽快完成故障修复;针对性能劣化、同路由隐患(物理同路由、逻辑同路由、主备共节点等)、倒换失效等可能引发业务中断的隐患,尽快完成整改优化及应急预案。
2.PTN/SPN方面:客响中心负责清理现网隧道/伪线连通性和倒换告警,关注流量变化,及时优化调整拥塞链路和端口,做好L3VPN倒换测试,确保主备节点路由一致性。
3.OTN/SOTN方面:客响中心负责关注主光和单波光功率、光信噪比和波长漂移情况,及时清理误码;组织分公司做好OLP和SNCP倒换,确保放大器和OUT单盘处于正常工作状态。
4.同步网方面:客响中心组织分公司做好天线接收机和馈线的现场巡检,使用仪表做好输出时间/时钟信号的精度测量,对传输网进行必要的时间补偿。
5.线路方面:各分公司做好线路巡检,对沿线可能进行施工的段落安排三盯人员进行盯防,对光缆挂高和埋深不足隐患进行整治优化;联合设备专业对环网和重要业务用纤同路由问题进行清理整治。
(四)动力专业
1.安全供电全面检查:要求各单位立即对本地区的枢纽楼、汇聚机房、基站等重要通信节点的高、低压变供电设备、变压器、继电保护系统、开关电源、UPS、蓄电池、机房空调系统、动力环境集中监控系统、应急发电机组、电力廊道及竖井、储油罐和ATS、等设备进行安全供电全面检查,发现问题及时上报及时解决处理。
2.开展动环系统健康巡检:要求各单位完成动环系统健康巡检工作并及时完成隐患处理,尤其针对超期服役动环设备(包括基站、汇聚机房)进行隐患排查,对存在隐患设备提前部署、重点保护和盯防,及时处理现网隐患,确保设备稳定运行。
3.梳理动环告警监控能力:要求核心机楼动环重要告警100%上传至本省集中故障管理系统;实现动环告警的关联关系、呈现和派单,提升告警故障处理效率;确保市电停电、油机启动、蓄电池放电、蓄电池电压过低等关键动环告警100%上报至故障管理系统。重点对汇聚机房动环监控进行排查,在动环监控未开通前不予入网,对无动环监控设备立即进行整改。
4.完成动环应急保障预案:各单位重点针对故障应急处理完善应急预案,加强核心机楼动环管理,全面梳理完善应急预案,对每栋核心机楼做到“一楼一层一案”,梳理动环供电路由和承载业务对应关系,根据各楼层动环设备负荷情况及业务级别制定分级应急保障预案,落实到专人负责;“疫情”期间开展应急演练,操作记录留档,对应急操作中出现的问题闭环跟踪解决,并针对性更新应急预案。
5.开展对全疆33栋核心机楼及数据中心、9电缆竖井进行隐患排查:各单位针对每个竖井制定维护作业计划并明确责任人,重点排查整治竖井内线缆是否存在密集排布、温度过高、线缆老化、跨楼层长距离布放、外部环境恶劣、竖井防火封堵等隐患情况,消除隐患,避免发生事故。
6.动力配套加强检查:各单位加强核心枢纽楼发电机组及基站维护用油机的日常保养工作,重点针对储油容器安装设置情况进行认真检查,确保枢纽楼内油机及供电系统运行质量安全。
(五)互联网专业
1.加强设备日常巡检:加强日常告警和性能监控,加大对承载网、DNS、Radius、CDN等系统完成日常巡检频次和巡检深度,确保软硬件各项关键指标正常。
2.开展隐患排查并及时整改:请网管中心组织各分公司全面梳理排查承载网隐患,针对链路负荷过高、同路由同电源、倒换失败等可能引发业务中断的隐患,尽快完成整改优化。针对单节点、同机房等暂无法解决的网络隐患,应制定对应的应急保障预案,确保预案完善、有效、可执行。
3.完善应急预案,确保预案可实施性:全面梳理完善应急预案,针对链路中断、板卡故障等场景做好应急处置方案、确保业务不中断。梳理关键备品备件清单,确保备品备件可用,并合理安排备品备件存放地点,保证设备在出现硬件故障时,能够及时处理更换。网管中心组织分公司做好设备级、链路级、板卡级的倒换工作并及时修订完善应急预案。
(六)核心网专业
1.加强S1-U/SGi接口利用率均衡保障。提高全疆所有SAEGW设备均衡度,在8月份完成剩余8个地市的大轮询改造工作,通过调整DNS权重,实现每台设备的S1-U带宽利用率均衡。降低SGi接口峰值利用率,调整部分业务割接至新增两台WLFW09H3C/WLFW011H3C设备,实现SGi带宽利用率<80%。
2.加强业务容量的监控。重点关注MME、SAEGW 、IMS 、HSS、信令网等设备容量负荷,做好应急措施,熟练掌握各项应急预案操作脚本,保证疫情保障期间网络安全运行以及业务正常使用。
3、做好备品备件管理。梳理核心网关键备品备件清单,确保所有备品备件可用,并合理安排备品备件存放地点,保证设备在出现硬件故障时,能够及时处理更换,确保备品备件2小时内能够调度到位。
(七)业务平台(电视)
1.加快推进扩容工作:加快推进互联网电视平台七期扩容工程因机房条件不具备等问题遗留塔城、伊犁节点尽快上线。完成内容库替换,计划于于8月20日上线。
2.开展系统健康巡检:对互联网电视业务系统、端到端安全播出网络隐患进行重点巡检。对发现的隐患进行整改,无法整改的要制定应急保障措施。
3.组织进行应急演练:针对互联网电视各种故障场景,要制定详细的演练方案,包括故障场景、演练时间、具体操作等。测试应急预案、应急措施、上下游单位协调联动、网络安全防护的时效性,提升安全播出应急处置能力。
