前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全應(yīng)急機制預(yù)案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵字 訪問控制;銀行網(wǎng)絡(luò)安全;虛擬局域網(wǎng);訪問控制列表
1 引言
隨著計算機網(wǎng)絡(luò)在銀行各項業(yè)務(wù)的應(yīng)用中不斷普及,各大商業(yè)銀行已把網(wǎng)絡(luò)安全放在了金融電子化建設(shè)中的一個極其重要的位置上,網(wǎng)絡(luò)安全已成為構(gòu)建銀行計算機網(wǎng)絡(luò)體系進程中必須首先需要考慮和解決的問題。在目前國內(nèi)各主要商業(yè)銀行進行金融電子化建設(shè)的過程中,訪問控制是保證計算機網(wǎng)絡(luò)安全最重要的核心策略之一,同時它也是維護網(wǎng)絡(luò)安全、保護網(wǎng)絡(luò)資源的一個重要手段,其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問。因此,加強以訪問控制為核心的銀行計算機網(wǎng)絡(luò)安全,保證銀行的資金安全以及提高銀行風(fēng)險防范能力已成為當(dāng)前各大銀行亟待解決的問題。
2 訪問控制的解決方案
目前訪問控制的解決方案主要有以下幾種:MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。
2.1 MAC地址過濾法
MAC地址是網(wǎng)絡(luò)設(shè)備在全球的惟一編號,它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標(biāo)識某個網(wǎng)絡(luò)設(shè)備,是目前網(wǎng)絡(luò)數(shù)據(jù)交換的基礎(chǔ)。
2.2 VLAN隔離法
VLAN(虛擬局域網(wǎng))技術(shù)是為了避免當(dāng)一個網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備數(shù)量增加到一定程度后,眾多的網(wǎng)絡(luò)廣播報文消耗大量的網(wǎng)絡(luò)帶寬,使得真正的數(shù)據(jù)傳遞受到很大的影響,確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法。
2.3 基于IP地址的訪問控制列表法
訪問控制列表在路由器和三層交換機中被廣泛采用,它是一種基于包過濾的流向控制技術(shù)。標(biāo)準(zhǔn)訪問控制列表通過把源地址、目的地址以及端口號作為數(shù)據(jù)包檢查的基本元素,并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過,還是不允許通過。
2.4 防火墻控制法
防火墻技術(shù)首先將網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)與外網(wǎng),它通過分析每一項內(nèi)網(wǎng)與外網(wǎng)通信應(yīng)用的協(xié)議構(gòu)成,得出主機IP地址及IP上聯(lián)端口號,從而規(guī)劃出業(yè)務(wù)流,對相應(yīng)的業(yè)務(wù)流進行控制。防火墻技術(shù)在最大限度上限制了源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號的訪問權(quán)限,從而限制了每一業(yè)務(wù)流的通斷。
3 訪問控制在銀行網(wǎng)絡(luò)安全體系中的應(yīng)用
銀行網(wǎng)絡(luò)安全體系是根據(jù)具體業(yè)務(wù)對網(wǎng)絡(luò)安全的需求,以訪問控制為核心而構(gòu)建起來的,其中心思想就是“不同的部門及人員根據(jù)其所從事的工作有不同的網(wǎng)絡(luò)使用權(quán)限”。
當(dāng)下,我國很多銀行網(wǎng)絡(luò)安全體系中都運用到了訪問控制技術(shù),它成為了銀行金融網(wǎng)絡(luò)的一大保護屏障,也是銀行網(wǎng)絡(luò)安全體系的重要構(gòu)成。本文主要從訪問控制技術(shù)的角度來談?wù)勩y行要如何保護金融網(wǎng)絡(luò)安全,以期提出有益的建議。
【關(guān)鍵詞】銀行 網(wǎng)絡(luò)安全 訪問控制技術(shù)
計算機網(wǎng)絡(luò)的普及已經(jīng)深入到我們社會生活的各個角落,在銀行金融業(yè)務(wù)中,如何解決銀行網(wǎng)絡(luò)安全是銀行十分重視的問題。在這種背景下,訪問控制技術(shù)誕生了,并成為了銀行金融電子化及網(wǎng)絡(luò)安全保護的重要措施。
1 訪問控制概念及原理
1.1 訪問控制的概念
所謂訪問控制,就是一種允許或者限制范圍能力和范圍的方法,它是利用某種顯式的途徑來實現(xiàn),并且可以防御非法的資源使用行為。對于非法用戶的入侵行為,訪問控制可以限制其訪問重要資源,如果合法用戶因為失誤造成的破壞,訪問限制也可以進行阻止,這樣就能夠讓銀行金融網(wǎng)絡(luò)受到良好的控制,被合法使用。用戶要想訪問系統(tǒng)資源,必須在自己的權(quán)限范圍內(nèi),禁止越權(quán)訪問。訪問控制技術(shù)不等于身份認(rèn)證,不過卻是以身份認(rèn)證為前提的。
1.2 訪問控制的原理
我們可以運用路由器上的訪問列表對數(shù)據(jù)包過濾。網(wǎng)絡(luò)數(shù)據(jù)包傳遞由訪問列表控制,并對虛擬終端線路通信量進行限制,也可以對路由進行控制。路由器產(chǎn)生的數(shù)據(jù)包并不是因為包過濾功能引起的,數(shù)據(jù)包到達一個端口之際,路由器會針對這種數(shù)據(jù)能不能以路由或者橋接的方法送出去進行查驗。要是無法發(fā)送出去,路由器就會把這個數(shù)據(jù)包丟棄,反之,那么路由器會對這個數(shù)據(jù)包進行檢查,以符合端口定義的包過濾規(guī)則為檢查依據(jù),要是不符合包過濾的要求就會禁止數(shù)據(jù)包通過,路由器也會將之丟棄。多條規(guī)則構(gòu)成了單個訪問列表,數(shù)據(jù)包的允許或禁止通過需要遵循輸入規(guī)則。號碼是訪問列表的標(biāo)志,相同的訪問列表需要一樣的號碼,列表中每個語句都是如此。訪問列表的正在應(yīng)用類型代表了號碼的使用范圍。
2 訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用
銀行金融網(wǎng)絡(luò)信息的整個系統(tǒng)都可以運用訪問控制技術(shù),例如:
2.1 應(yīng)用系統(tǒng)層
數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)等軟件是應(yīng)用系統(tǒng)的基礎(chǔ)構(gòu)架,它能夠讓具有不同需求的客戶在應(yīng)用需求方面獲得滿意的軟件程序的幫助。要開發(fā)應(yīng)用系統(tǒng),必須先有效地分析、規(guī)劃訪問控制措施。訪問控制措施必須運用到銀行信息系統(tǒng)里的關(guān)鍵綜合業(yè)務(wù)系統(tǒng)以及別的應(yīng)用系統(tǒng)中。各級柜員、管理者、自助設(shè)備等是綜合業(yè)務(wù)系統(tǒng)的主體,而相關(guān)的交易、操作則是客體。針對綜合業(yè)務(wù)系統(tǒng)里的安全管理環(huán)節(jié),應(yīng)該定義訪問控制措施的規(guī)則。不管是交易還是操作,只有根據(jù)規(guī)則來進行,主體才有權(quán)進行合理的訪問與執(zhí)行。
2.2 網(wǎng)絡(luò)層
路由器和三層交換機中會大量運用到訪問控制列表,主客體分別為源地址、端口號與目的地址,對控制列表的訪問則是按照相關(guān)的保護規(guī)則來進行,如果數(shù)據(jù)包滿足保護規(guī)則要求,則允許通過,反之則被阻止。在MAC地址過濾中,待訪問目標(biāo)是客體,而MAC地址則是主體。保護規(guī)則都是根據(jù)定義MAC地址過濾列表來進行的,只有符合該規(guī)則的MAC地址數(shù)據(jù)包才能得以通過。另外,還有一種常見的訪問控制技術(shù),那就是防火墻技術(shù)。網(wǎng)絡(luò)有內(nèi)網(wǎng)和外網(wǎng)之分,源端口號、源IP地址是主體,而目的端口號與IP地址是客體,以保護規(guī)則定義的方式讓遵循規(guī)則的數(shù)據(jù)包得以通過。
2.3 數(shù)據(jù)庫管理系統(tǒng)層
銀行金融網(wǎng)絡(luò)系統(tǒng)中,操作系統(tǒng)固然頭等重要,然而數(shù)據(jù)庫管理系統(tǒng)的重要性也是不言而喻的,它是應(yīng)用系統(tǒng)不可或缺的組成部分。在數(shù)據(jù)庫管理系統(tǒng)中,十分重要的一個安全措施就是訪問控制。用戶安全管理是數(shù)據(jù)庫管理的集中體現(xiàn)。系統(tǒng)對通過身份認(rèn)證的登錄信息會將之當(dāng)做主體,而數(shù)據(jù)庫管理系統(tǒng)中的文件、字段、數(shù)據(jù)庫、表以及系統(tǒng)操作則是客體,而字段與表會存在一些增刪、查詢、和修改方面的操作,而數(shù)據(jù)庫則存在恢復(fù)、備份等方面的操作。用戶的存取、訪問規(guī)則是用戶對數(shù)據(jù)庫存取控制的執(zhí)行依據(jù)。存取矩陣也能夠表示訪問控制規(guī)則。列在該矩陣中代表著系統(tǒng)客體是數(shù)據(jù)庫、字段以及表等等,而陣列各單元代表主體對客體或者不同主體的存取方法是增刪、查詢、修改等操作。
從操作系統(tǒng)的訪問控制安全角度講,訪問控制措施在數(shù)據(jù)庫管理系統(tǒng)中作用重大。數(shù)據(jù)庫管理系統(tǒng)成為了不少應(yīng)用系統(tǒng)的的設(shè)計依據(jù),系統(tǒng)的關(guān)鍵部分是數(shù)據(jù),其權(quán)限被用戶掌握以后,就能夠不經(jīng)過應(yīng)用系統(tǒng),直接通過操作數(shù)據(jù)庫的記錄,實現(xiàn)犯罪目的。所以,科技部門必須細(xì)致地分析設(shè)計數(shù)據(jù)庫系統(tǒng)的訪問控制措施,嚴(yán)格分析數(shù)據(jù)庫管理系統(tǒng)中主體的最小權(quán)限,然后據(jù)此對存取矩陣進行設(shè)定。
通常數(shù)據(jù)庫管理系統(tǒng)權(quán)限是應(yīng)用系統(tǒng)最終用戶無法獲得的,這樣一來也不能直接操作數(shù)據(jù)庫管理系統(tǒng),要最大限度地不讓內(nèi)部和外包開發(fā)用戶對數(shù)據(jù)庫管理系統(tǒng)進行直接登錄操作。以嚴(yán)格的管控措施減少直接操作授權(quán)。假如必須直接登錄操作,那么要針對部分表的部分字段來操作,不能授予內(nèi)部或者外包開發(fā)用戶全部權(quán)限。同時,針對查詢權(quán)限的授予,可以一定程度上降低要求,但要控制好增刪與修改操作。例如,一個用戶需要進行客戶存款信息查詢,那么他被授權(quán)查詢姓名Name、住址Address 、存款余額Deposit3個字段的信息表User,不過只允許修改Address字段,但是嚴(yán)禁執(zhí)行插入或者刪除操作。
在不少情形下,個人征信系統(tǒng)、反洗錢系統(tǒng)等應(yīng)用系統(tǒng)都是主體。要創(chuàng)建對應(yīng)的用戶,則需參照應(yīng)用系統(tǒng)對數(shù)據(jù)庫管理系統(tǒng)的最小授權(quán)來進行。在個人征信系統(tǒng)中,外包開發(fā)用戶要規(guī)劃系統(tǒng),那么需要同科技部門溝通,對應(yīng)用系統(tǒng)的最小授權(quán)集合進行制訂??蛻糍J款信息數(shù)據(jù)表中的一些字段或許或會出現(xiàn)在個人征信系統(tǒng)中,那么存款信息之類的數(shù)據(jù)庫表就不應(yīng)該被訪問,可以允許查詢。分析訪問控制措施,可以極大地減少因為內(nèi)部和外包開發(fā)員的過渡授權(quán)而產(chǎn)生的金融安全風(fēng)險。
2.4 操作系統(tǒng)層
有著訪問控制措施的常用操作系統(tǒng)主要注重對用戶進行安全管理。用戶的身份認(rèn)證關(guān)系到訪問控制權(quán)限,也是訪問控制執(zhí)行的依據(jù)。身份認(rèn)證的方法有很多種,比如口令與指紋、身份卡與口令以及USB鑰匙等等。系統(tǒng)會禁止缺乏正確身份認(rèn)證的用戶,如果認(rèn)證成功,那么登錄身份信息將被系統(tǒng)當(dāng)做主體。而系統(tǒng)設(shè)備、文件、操作、進程則是客體,一般會出現(xiàn)讀寫、運行和刪除及修改等行為。對于用戶的識別和存取訪問規(guī)則是由用戶對信息存取控制的來確定。系統(tǒng)對不同的用戶會授予不一樣的存取權(quán)限,比如寫入或者讀取被允許。存取矩陣模型一般被用來表示訪問控制規(guī)則,大型矩陣陣列則可以用來表示系統(tǒng)的安全情況。行在這種矩陣中代表系統(tǒng)主體,系統(tǒng)的客體則用列表示。主體對客體或者不同主體的存取是以陣列單元的填入數(shù)值來描述。數(shù)據(jù)庫管理系統(tǒng)以及操作系統(tǒng)都能夠使用這種模型。
要想對內(nèi)部與外包開發(fā)人員進行有效限制,就需要合理配置訪問控制措施,這樣才能讓他們不會故意越權(quán)操作系統(tǒng)。如果配置不佳,就會讓內(nèi)部和外包開發(fā)員有過多的權(quán)限,不利于銀行金融網(wǎng)絡(luò)的安全??萍疾块T必須細(xì)致地分析設(shè)計操作系統(tǒng)的訪問控制措施,嚴(yán)格分析文件系統(tǒng)中用戶的最小權(quán)限,然后據(jù)此對存取矩陣進行設(shè)定。
2.5 防火墻
訪問控制技術(shù)在銀行金融網(wǎng)絡(luò)防火墻中也有廣泛的運用。從網(wǎng)絡(luò)防火墻技術(shù)上來講,網(wǎng)絡(luò)具有內(nèi)外網(wǎng)之分,該項技術(shù)可用于對所有的內(nèi)外和外網(wǎng)通信應(yīng)用協(xié)議的分析,由此查找出主機的IP地址和IP上聯(lián)端口號,并對業(yè)務(wù)流進行有效的規(guī)劃,進而合理控制對應(yīng)的業(yè)務(wù)流。源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號中的訪問權(quán)限都可以利用防火墻技術(shù)來進行最大化的限制,能夠?qū)I(yè)務(wù)流的通斷進行限制,以保證銀行的金融業(yè)務(wù)安全。
3 結(jié)語
總的來說,訪問控制措施必須符合相關(guān)的要求,即制定嚴(yán)格、遵循最小特權(quán)、職責(zé)分離與多人負(fù)責(zé),這樣才能讓金融網(wǎng)絡(luò)變得更加安全,對非法用戶的阻止是很有效的。特別是當(dāng)前銀行經(jīng)常出現(xiàn)的內(nèi)部與外包開發(fā)人員越權(quán)操作系統(tǒng)的案件,所以銀行必須科學(xué)而合理地使用訪問控制技術(shù),以保證銀行金融網(wǎng)絡(luò)的安全。
參考文獻
[1]戚文靜,劉學(xué).網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:中國水利水電出版社,2005.
[2]蔣茜,張帆.訪問控制技術(shù)在銀行網(wǎng)絡(luò)安全中的應(yīng)用[J].重慶工學(xué)院學(xué)報(自然科學(xué)).2008,22(12):153-154.
[3]王鐵剛.淺談“訪問控制”技術(shù)在銀行網(wǎng)絡(luò)安全中的運用[J].計算機光盤軟件與應(yīng)用,2012(20):127-128.
1總則
1.1編制目的
為保障XX市醫(yī)療保障局網(wǎng)絡(luò)和信息安全,提高應(yīng)對網(wǎng)絡(luò)安全事件的能力,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害,進一步完善網(wǎng)絡(luò)安全事件應(yīng)急處置機制,制定本預(yù)案。
1.2編制依據(jù)
《中華人民共和國網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《信息安全技術(shù)信息安全事件分類分級指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《應(yīng)急預(yù)案編制導(dǎo)則》(GBA29639-2013)、《信息技術(shù)服務(wù)運行維護第3部分:應(yīng)急響應(yīng)規(guī)范》(GBA28827.3-2012)等相關(guān)規(guī)定。
1.3工作原則
強化監(jiān)測,主動防御。強化網(wǎng)絡(luò)和信息安全防護意識,加強日常安全檢測,積極主動防御,做到安全風(fēng)險早發(fā)現(xiàn)。
明確分工,落實責(zé)任。加強網(wǎng)絡(luò)和信息安全組織體系建設(shè),明確網(wǎng)絡(luò)安全應(yīng)急工作權(quán)責(zé),健全安全信息通報機制,做到安全風(fēng)險早通報。
快速響應(yīng),有效處置。加強日常監(jiān)管和運維,強化人力、物資、技術(shù)等基礎(chǔ)資源儲備,增強應(yīng)急響應(yīng)能力,做到安全問題早處置。
1.4適用范圍
本預(yù)案適用于市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件應(yīng)急工作。
2事件分級與監(jiān)測預(yù)警
2.1事件分類
網(wǎng)絡(luò)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他網(wǎng)絡(luò)安全事件。
(1)有害程序事件。包括:計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。
(2)網(wǎng)絡(luò)攻擊事件。包括:拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。
(3)信息破壞事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。
(4)信息內(nèi)容安全事件。指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息,組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。
(5)設(shè)備設(shè)施故障。包括:軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。
(6)災(zāi)害性事件。指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)安全事件。
(7)其他事件。指除以上所列事件之外的網(wǎng)絡(luò)安全事件。
2.2事件分級
按照事件性質(zhì)、嚴(yán)重程度、可控性和影響范圍等因素,將市醫(yī)療保障局網(wǎng)絡(luò)和信息安全事件劃分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別對應(yīng)特別重大、重大、較大和一般安全應(yīng)急事件。
(1)Ⅰ級(特別重大)。局網(wǎng)絡(luò)和信息系統(tǒng)發(fā)生全局性癱瘓,事態(tài)發(fā)展超出控制能力,產(chǎn)生特別嚴(yán)重的社會影響或損害的安全事件。
(2)Ⅱ級(重大)。局網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生大規(guī)模癱瘓,對社會造成嚴(yán)重?fù)p害,需要局各科室(單位)協(xié)同處置應(yīng)對的安全事件。
(3)Ⅲ級(較大)。局部分網(wǎng)絡(luò)和信息系統(tǒng)癱瘓,對社會造成一定損害,事態(tài)發(fā)展在掌控之中的安全事件。
(4)Ⅳ級(一般)。局網(wǎng)絡(luò)與信息系統(tǒng)受到一定程度的損壞,對社會不構(gòu)成影響的安全事件。
2.3預(yù)警監(jiān)測
有關(guān)科室(單位)應(yīng)加強日常預(yù)警和監(jiān)測,必要時應(yīng)啟動應(yīng)急預(yù)案,同時向局網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組(以下簡稱“領(lǐng)導(dǎo)小組”)通報情況。收到或發(fā)現(xiàn)預(yù)警信息,須及時進行技術(shù)分析、研判,根據(jù)問題的性質(zhì)、危害程度,提出安全預(yù)警級別。
(1)對發(fā)生或可能發(fā)生的Ⅳ級安全事件,及時消除隱患避免產(chǎn)生更為嚴(yán)重的后果。
(2)對發(fā)生或可能發(fā)生的Ⅲ級安全事件,迅速組織技術(shù)力量,研判風(fēng)險,消除影響,并將處置情況和結(jié)果報領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(3)對發(fā)生和可能發(fā)生的Ⅱ級安全事件,應(yīng)迅速啟動應(yīng)急預(yù)案,召開應(yīng)急工作會議,研究確定事件等級,研判事件產(chǎn)生的影響和發(fā)展趨勢,組織技術(shù)力量進行應(yīng)急處置,并將處置情況報領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組預(yù)警信息。
(4)對于發(fā)生和可能發(fā)生的Ⅰ級安全事件,迅速啟動應(yīng)急預(yù)案,由領(lǐng)導(dǎo)小組向省醫(yī)療保障局、市委網(wǎng)絡(luò)安全和信息化委員會辦公室、市公安局通報,并在省級有關(guān)部門的指揮下開展應(yīng)急處置工作,預(yù)警信息由省級有關(guān)部門。
3應(yīng)急處置
3.1網(wǎng)頁被篡改時處置流程
(1)網(wǎng)頁由主辦網(wǎng)站的科室(單位)負(fù)責(zé)隨時密切監(jiān)視顯示內(nèi)容。
(2)發(fā)現(xiàn)非法篡改時,通知技術(shù)單位派專人處理,并作好必要記錄,確認(rèn)清除非法信息后,重新恢復(fù)網(wǎng)站訪問。
(3)保存有關(guān)記錄及日志,排查非法信息來源。
(4)向領(lǐng)導(dǎo)小組匯報處理情況。
(5)情節(jié)嚴(yán)重時向公安部門報警。
3.2遭受攻擊時處置流程
(1)發(fā)現(xiàn)網(wǎng)絡(luò)被攻擊時,立即將被攻擊的服務(wù)器等設(shè)備斷網(wǎng)隔離,并及時向領(lǐng)導(dǎo)小組通報情況。
(2)進行系統(tǒng)恢復(fù)或重建。
(3)保持日志記錄,排查攻擊來源和攻擊路徑。
(4)如果不能自行處理或?qū)賴?yán)重事件的,應(yīng)保留記錄資料并立即向公安部門報警。
3.3病毒感染處置流程
(1)發(fā)現(xiàn)計算機被感染上病毒后,將該機從網(wǎng)絡(luò)上隔離。
(2)對該設(shè)備的硬盤進行數(shù)據(jù)備份。
(3)啟用殺病毒軟件對該機器進行殺毒處理工作。
(4)必要時重新安裝操作系統(tǒng)。
3.4軟件系統(tǒng)遭受攻擊時處置流程
(1)重要的軟件系統(tǒng)應(yīng)做異地存儲備份。
(2)遭受攻擊時,應(yīng)及時采取相應(yīng)措施減少或降低損害,必要時關(guān)停服務(wù),斷網(wǎng)隔離,并立即向領(lǐng)導(dǎo)小組報告。
(3)網(wǎng)絡(luò)安全人員排查問題,確保安全后重新部署系統(tǒng)。
(4)檢查日志等資料,確定攻擊來源。
(5)情況嚴(yán)重時,應(yīng)保留記錄資料并立即向公安部門報警。
3.5數(shù)據(jù)庫安全緊急處置流程
(1)主要數(shù)據(jù)庫系統(tǒng)應(yīng)做雙機熱備,并存于異地。
(2)發(fā)生數(shù)據(jù)庫崩潰時,立即啟動備用系統(tǒng)。
(3)在備用系統(tǒng)運行的同時,盡快對故障系統(tǒng)進行修復(fù)。
(4)若兩主備系統(tǒng)同時崩潰,應(yīng)立即向領(lǐng)導(dǎo)小組報告,并向軟硬件廠商請求支援。
(5)系統(tǒng)恢復(fù)后,排查原因,出具調(diào)查報告。
3.6網(wǎng)絡(luò)中斷處置流程
(1)網(wǎng)絡(luò)中斷后,立即安排人員排查原因,尋找故障點。
(2)如屬線路故障,重新修復(fù)線路。
(3)如是路由器、交換機配置問題,應(yīng)迅速重新導(dǎo)入備份配置。
(4)如是路由器、交換機等網(wǎng)絡(luò)設(shè)備硬件故障,應(yīng)立即使用備用設(shè)備,并調(diào)試通暢。
(5)如故障節(jié)點屬電信部門管轄范圍,立即與電信維護部門聯(lián)系,要求修復(fù)。
3.7發(fā)生火災(zāi)處置流程
(1)首先確保人員安全,其次確保核心信息資產(chǎn)的安全,條件允許的情況下再確保一般信息資產(chǎn)的安全。
(2)及時疏散無關(guān)人員,撥打119報警電話。
(3)現(xiàn)場緊急切斷電源,啟動滅火裝置。
(4)向領(lǐng)導(dǎo)小組報告火災(zāi)情況。
4調(diào)查與評估
(1)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,由相關(guān)科室(單位)自行組織調(diào)查的,科室(單位)對事件產(chǎn)生的原因、影響以及責(zé)任認(rèn)定進行調(diào)查,調(diào)查報告報領(lǐng)導(dǎo)小組。
(2)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對按照規(guī)定需要成立調(diào)查組的事件,由領(lǐng)導(dǎo)小組組織成立調(diào)查組,對事件產(chǎn)生的原因、影響及責(zé)任認(rèn)定進行調(diào)查。
(3)網(wǎng)絡(luò)和信息安全事件應(yīng)急處置結(jié)束后,對產(chǎn)生社會影響且由省級有關(guān)部門進行調(diào)查的,按照省級有關(guān)部門的要求配合進行事件調(diào)查。
5附則
關(guān)鍵詞:高校;網(wǎng)絡(luò)安全建設(shè);思考
1引言
網(wǎng)絡(luò)安全,指的是計算機網(wǎng)絡(luò)系統(tǒng)的安全,不僅包括網(wǎng)絡(luò)系統(tǒng)正常運行的硬件、軟件環(huán)境安全,也包括網(wǎng)絡(luò)傳輸?shù)馁Y源、數(shù)據(jù)等信息安全[1]。網(wǎng)絡(luò)安全不僅關(guān)系到我們每一個公民,更是事關(guān)國家安全的重要問題。高校作為培養(yǎng)當(dāng)代大學(xué)生的主要陣地,在網(wǎng)絡(luò)安全建設(shè)及教育方面更是肩負(fù)著重要的責(zé)任。面對信息泄露等校園網(wǎng)絡(luò)安全問題以及日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢,如何保障高校網(wǎng)絡(luò)安全建設(shè)的穩(wěn)步推進,已經(jīng)成為重中之重。
2網(wǎng)絡(luò)安全建設(shè)存在的問題
高校網(wǎng)絡(luò)安全建設(shè)存在一些問題,主要有以下幾點。(1)網(wǎng)絡(luò)安全專業(yè)人員不足目前高校已基本上實現(xiàn)校園網(wǎng)絡(luò)全覆蓋。有成千上萬的網(wǎng)絡(luò)計算機,但與之配套的網(wǎng)絡(luò)安全管理員卻嚴(yán)重不足,甚至沒有專職的網(wǎng)絡(luò)安全管理員[2]。而且大部分網(wǎng)絡(luò)安全管理人員沒有接受過系統(tǒng)化的崗前培訓(xùn),安全責(zé)任意識單薄,專業(yè)素養(yǎng)不夠高,網(wǎng)絡(luò)安全專業(yè)人員及其技能都存在嚴(yán)重不足。(2)師生網(wǎng)絡(luò)安全意識不強高校網(wǎng)絡(luò)的使用主體為本校師生,群體龐大,且大部分高校未開展系統(tǒng)、全面、全覆蓋的網(wǎng)絡(luò)安全主題教育,導(dǎo)致用戶群體網(wǎng)絡(luò)安全防范意識不強。部分教師在使用計算機時對病毒防護、密碼保護、漏洞修復(fù)等基礎(chǔ)網(wǎng)絡(luò)安全操作無意識,使得計算機很容易被入侵而造成數(shù)據(jù)及資源丟失[3]。一些學(xué)生在面對復(fù)雜的網(wǎng)絡(luò)環(huán)境時,由于獵奇心理及感情用事,可能會采用一些諸如“翻墻”等威脅高校網(wǎng)絡(luò)安全的行為或者網(wǎng)絡(luò)暴力等激進行為。(3)網(wǎng)絡(luò)安全防護體系不完善截止到目前,很多高校尚未認(rèn)識到加強網(wǎng)絡(luò)安全管理的重要性,缺乏一套完善的網(wǎng)絡(luò)安全防護體系。領(lǐng)導(dǎo)重視不夠,未形成專門的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組;資金投入不足,無法購買各類網(wǎng)絡(luò)安全防護設(shè)備;管理制度不完善,無應(yīng)急預(yù)案等;技術(shù)防護手段不足,缺少各類必須的技術(shù)防護手段;網(wǎng)絡(luò)安全人員不足,未設(shè)置網(wǎng)絡(luò)安全技術(shù)專崗等。這些都是當(dāng)前高校網(wǎng)絡(luò)安全面臨的突出問題。
3加強高校網(wǎng)絡(luò)安全建設(shè)的對策
3.1網(wǎng)絡(luò)安全防護體系
高校網(wǎng)絡(luò)安全建設(shè)應(yīng)以人員組織為基礎(chǔ),以管理制度為依據(jù),以技術(shù)防護為手段,三管齊下,切實保障好高校的網(wǎng)絡(luò)及信息安全。
3.1.1人員組織體系自上而下,建立起管理決策層、組織協(xié)調(diào)層、落實執(zhí)行層的三層架構(gòu)人員組織體系。管理決策層統(tǒng)一領(lǐng)導(dǎo)網(wǎng)絡(luò)安全工作,研究制定網(wǎng)絡(luò)安全發(fā)展規(guī)劃,決策網(wǎng)絡(luò)安全建設(shè)中的重大事項等。組織協(xié)調(diào)層統(tǒng)一協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全建設(shè)工作,負(fù)責(zé)網(wǎng)絡(luò)安全及運行保障項目的建設(shè)、改造、升級、維護等方面,負(fù)責(zé)制度與人員隊伍建設(shè)等。落實執(zhí)行層負(fù)責(zé)具體工作的落地執(zhí)行。
3.1.2管理規(guī)范體系規(guī)范化是制度化的最高形式,是一種非常有效和嚴(yán)謹(jǐn)?shù)墓芾矸绞?。完善的管理?guī)范體系是保障網(wǎng)絡(luò)安全的法律基礎(chǔ),是通過建立標(biāo)準(zhǔn)規(guī)范來約束用戶行為的制度。其實現(xiàn)的過程就是規(guī)范管理的過程。管理規(guī)范體系包括網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理規(guī)范、應(yīng)急響應(yīng)機制、網(wǎng)絡(luò)安全通報制度等方面的內(nèi)容。(1)網(wǎng)絡(luò)安全責(zé)任制按照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則,明確網(wǎng)絡(luò)安全工作責(zé)任主體,各部門應(yīng)有專人專崗負(fù)責(zé)網(wǎng)絡(luò)安全具體工作,細(xì)化網(wǎng)絡(luò)安全各關(guān)鍵崗位安全管理責(zé)任,簽訂安全責(zé)任書,建立安全責(zé)任體系,形成網(wǎng)絡(luò)安全工作長效機制。(2)網(wǎng)絡(luò)安全管理規(guī)范建立健全網(wǎng)絡(luò)安全管理制度,明確信息系統(tǒng)管理、數(shù)據(jù)管理、信息管理、網(wǎng)站、微信、微博和移動應(yīng)用管理、電子郵件管理、交互式欄目管理等的管理規(guī)范,使所有的網(wǎng)絡(luò)安全活動都有規(guī)范可依,有制度約束。(3)應(yīng)急響應(yīng)機制制定完善網(wǎng)絡(luò)安全應(yīng)急預(yù)案、明確應(yīng)急處置流程、處置權(quán)限、落實應(yīng)急技術(shù)支撐隊伍,強化技能訓(xùn)練,強化技能訓(xùn)練。至少一年兩次開展網(wǎng)絡(luò)應(yīng)急演練。通過模擬網(wǎng)絡(luò)安全事故現(xiàn)場環(huán)境,提高應(yīng)急處置能力。(4)網(wǎng)絡(luò)安全通報制度定期開展安全檢查,全面、細(xì)致地排查安全隱患,并定期對檢查結(jié)果進行通報,督促相關(guān)部門落實整改。如通過《網(wǎng)絡(luò)安全簡報》、《信息化簡報》等手段,通報各業(yè)務(wù)系統(tǒng)漏洞掃描、數(shù)據(jù)備份、日志審計、數(shù)據(jù)庫審計等各項安全指標(biāo),督促相關(guān)部門做好網(wǎng)絡(luò)安全責(zé)任落實。
3.1.3技術(shù)防護體系網(wǎng)絡(luò)安全及運行保障是一項系統(tǒng)工程,對系統(tǒng)的過程要素、組織結(jié)構(gòu)和結(jié)構(gòu)功能進行分析,主要分為預(yù)警層次、檢測層次、保護層次、響應(yīng)層次四個層級。預(yù)警層次主要是發(fā)現(xiàn)問題、記錄問題和預(yù)警問題。檢測層次主要是發(fā)現(xiàn)服務(wù)器存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞,形成完整的安全風(fēng)險報告,幫助安全人員查漏補缺,防范風(fēng)險于未然[4]。保護層次是對網(wǎng)絡(luò)運行的實時保護,包括拒絕服務(wù)、入侵檢測、流量分析、數(shù)據(jù)防泄露等。響應(yīng)層次是對安全事件進行及時的響應(yīng),包括數(shù)據(jù)庫審計、安全監(jiān)管、安全服務(wù)等。
3.2網(wǎng)絡(luò)安全宣傳教育
維護高校網(wǎng)絡(luò)安全是全校師生共同的責(zé)任,維護網(wǎng)絡(luò)安全不僅需要學(xué)校的防護體系,更需要廣大師生的共同參與,網(wǎng)絡(luò)安全這道防線才能筑得牢固。因此,在制定完善的網(wǎng)絡(luò)安全防護體系的基礎(chǔ)上,更要通過定期的安全培訓(xùn)、知識講座和學(xué)術(shù)交流,使全校師生不斷增強網(wǎng)絡(luò)安全意識,掌握網(wǎng)絡(luò)安全知識,并有效提升各類網(wǎng)絡(luò)安全事件的風(fēng)險防范能力,進一步營造一個安全、健康、文明、和諧的網(wǎng)絡(luò)環(huán)境。
4結(jié)束語
高校網(wǎng)絡(luò)安全體系的建設(shè)是一個數(shù)據(jù)龐大、層次復(fù)雜、多點防御的工程,涉及到人員組織體系、管理規(guī)范體系、技術(shù)防護體系等多個層面。其建設(shè)的完成不是一蹴而就的,需要從全局進行總體規(guī)劃,分步實施,才能實現(xiàn)高校網(wǎng)絡(luò)安全管理的最終目標(biāo)[5]。
參考文獻
[1]王喬平.淺談對網(wǎng)絡(luò)安全的認(rèn)識.信息系統(tǒng)工程,2019(07):78
[2]李佳霖.高校網(wǎng)絡(luò)安全管理的現(xiàn)狀及對策.通訊世界,2019,26(05):17-18
[3]文理卓,李東宸,鄭憲,董石.淺析高校網(wǎng)絡(luò)安全管理及對策探討.中國管理信息化,2019,22(14):153-154
[4]梁藝軍.高校Web網(wǎng)站安全防護策略.中國教育網(wǎng)絡(luò),2015(02):57-58
關(guān)鍵詞:供電局;計算機信息系統(tǒng)網(wǎng)絡(luò)安全;優(yōu)化
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2015)35-0008-02
隨著供電局信息化管理進程的不斷加快,在電力行業(yè)的日常業(yè)務(wù)中各種信息管理系統(tǒng)如資產(chǎn)、營銷、財務(wù)、人資、協(xié)同辦公、綜合管理等被廣泛應(yīng)用,這些系統(tǒng)具有及時性、便捷化等優(yōu)勢,逐漸發(fā)展成為供電局的發(fā)展方向。但高技術(shù)和高信息化的作用下也伴隨著高風(fēng)險的存在。隨著供電局電力業(yè)務(wù)對計算機的依賴越來越深,一旦計算機信息系統(tǒng)出現(xiàn)任何的故障和問題,就影響供電局電力系統(tǒng)的安全運行,會造成不可估計的經(jīng)濟損失。因此對供電局計算機信息系統(tǒng)網(wǎng)絡(luò)安全的優(yōu)化對于保障供電局信息化業(yè)務(wù)安全、穩(wěn)定運行顯得十分的重要。
1現(xiàn)狀分析
汕頭潮陽供電局的信息系統(tǒng)經(jīng)過歷年的發(fā)展,已經(jīng)初具一定的規(guī)模,也是廣東電網(wǎng)汕頭供電局信息系統(tǒng)的重要組成部分。潮陽供電局承載著資產(chǎn)、營銷、財務(wù)、人資、協(xié)同辦公、綜合管理等多項重要的業(yè)務(wù),因此保障信息網(wǎng)絡(luò)的安全穩(wěn)定運行,對于供電局的安全生產(chǎn)和經(jīng)營管理起著十分重要的作用。本文試從汕頭潮陽供電局的信息系統(tǒng)網(wǎng)絡(luò)安全等各個方面的問題進行分析。
1.1信息網(wǎng)絡(luò)支持系統(tǒng)分析
隨著汕頭潮陽供電局信息化經(jīng)營管理的不斷發(fā)展,信息化管理企業(yè)在其功能上實現(xiàn)了很大的改變,總體的布局滿足了信息管理的功能和建設(shè)的原則。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,在供電局的日常業(yè)務(wù)和經(jīng)營管理中已經(jīng)對計算機信息系統(tǒng)越來越依賴,但網(wǎng)絡(luò)以及服務(wù)器設(shè)備經(jīng)過長時間的使用存在著很大的安全隱患,具體表現(xiàn)為機房設(shè)備落后、系統(tǒng)數(shù)據(jù)存儲不可靠等問題日益突出。另一方面設(shè)備的供電電源存在著安全隱患。一旦電源出現(xiàn)故障,就會造成信息系統(tǒng)數(shù)據(jù)傳輸中斷,且沒有后背的電源用于供電,造成了計算機網(wǎng)絡(luò)設(shè)備的停止運行,信息系統(tǒng)的安全得不到有效地保障。因此需要改造這些網(wǎng)絡(luò)設(shè)備的單向供電線路,提供可靠的設(shè)備供電電源和后備電源,保障信息系統(tǒng)的安全運行。
1.2計算機信息系統(tǒng)網(wǎng)絡(luò)的分析
計算機信息系統(tǒng)的網(wǎng)絡(luò)安全管理部分缺少核心設(shè)備,造成網(wǎng)絡(luò)系統(tǒng)對風(fēng)險的抵御能力降低。供電局的計算機網(wǎng)絡(luò)設(shè)備一般將匯聚交換機作為核心,并且與各分局的網(wǎng)絡(luò)設(shè)備相互連接構(gòu)成大型的局域網(wǎng)絡(luò)用于信息系統(tǒng)的連接。但交換機在多年的運行過程中安全性和穩(wěn)定性大大降低,且與分局之間的連接沒有采取有效的保護措施網(wǎng)絡(luò)防護設(shè)備,如果網(wǎng)絡(luò)傳輸線路一旦發(fā)生故障,網(wǎng)絡(luò)核心設(shè)備主要集中在市級供電局,導(dǎo)致下屬其他的分局信息系統(tǒng)無法正常的運行。供電局的內(nèi)部信息一般情況只存在市級局層面信息設(shè)備中,抵御外部風(fēng)險的能力較低。供電局內(nèi)部和外部的信息傳輸只依賴于一個廣域網(wǎng)上,且在同一個信息系統(tǒng)中運行,且需要完成多項的業(yè)務(wù)操作,因此需要對網(wǎng)絡(luò)層面?zhèn)鬏斣O(shè)備的性能和接口的要求十分的高。如果一旦內(nèi)部的網(wǎng)絡(luò)被黑客或者病毒攻擊,就有可能導(dǎo)致計算機信息系統(tǒng)的癱瘓,造成供電局信息系統(tǒng)數(shù)據(jù)的丟失和利益受損。
1.3信息系統(tǒng)網(wǎng)絡(luò)的管理分析
供電局的信息系統(tǒng)網(wǎng)絡(luò)在運行的過程中需要加強實時的防護的監(jiān)測,并且要實時分析網(wǎng)絡(luò)系統(tǒng)的風(fēng)險,及時地采取有效的技術(shù)措施抵御各種網(wǎng)絡(luò)風(fēng)暴攻擊,提高系統(tǒng)運行的穩(wěn)定性和可靠性。供電局的信息系統(tǒng)網(wǎng)絡(luò)建成后需要制定相應(yīng)的管理辦法,將管理的內(nèi)容落到實處,按照相關(guān)的要求來進行操作,從而將信息系統(tǒng)網(wǎng)絡(luò)安全的風(fēng)險降到最低。
2供電局信息系統(tǒng)網(wǎng)絡(luò)的優(yōu)化方案
2.1安全防護建設(shè)
在供電局的日常經(jīng)營管理過程中將信息系統(tǒng)劃分為三個主要的部分:信息外網(wǎng)、信息內(nèi)網(wǎng)和生產(chǎn)經(jīng)營數(shù)據(jù)存儲區(qū)域,加強對這三個部分的保護,提升三個部分的安全等級和防御措施。將供電局的信息系統(tǒng)網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),信息內(nèi)網(wǎng)用于支持日常的業(yè)務(wù),提供客戶終端的對各業(yè)務(wù)系統(tǒng)的運行和操作。外網(wǎng)主要與網(wǎng)絡(luò)連接用于業(yè)務(wù)的辦理,同時也用于用戶的互聯(lián)網(wǎng)訪問。信息外網(wǎng)和內(nèi)網(wǎng)相互隔離開來,使用獨立的服務(wù)器和主機運行,防止出現(xiàn)故障導(dǎo)致供電局網(wǎng)絡(luò)的癱瘓。實現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)安全分區(qū)和專網(wǎng)專用等措施,實現(xiàn)網(wǎng)絡(luò)的縱向和橫向的隔離,信息管理實現(xiàn)分區(qū)域管理,提高安全防御的策略。分區(qū)域防護的基礎(chǔ)上對每層網(wǎng)絡(luò)加強防護,劃分信息外網(wǎng)和內(nèi)網(wǎng)范圍內(nèi)的設(shè)備,加強對設(shè)備的多層維護,層層遞進,提高安全系數(shù)。生產(chǎn)經(jīng)營數(shù)據(jù)存儲區(qū)域主要采取異地容災(zāi)措施,信息系統(tǒng)運行產(chǎn)生的數(shù)據(jù)主要存儲于更高管理層面的市級局與省公司,避免由于網(wǎng)絡(luò)癱瘓或不可估量的各種網(wǎng)絡(luò)風(fēng)暴攻擊而造成系統(tǒng)數(shù)據(jù)丟失。
2.2優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)
供電局信息系統(tǒng)網(wǎng)絡(luò)可以采用骨干級路由交換機,在每臺交換機上提供兩套電源設(shè)備,一套主要的電源設(shè)備,另一套用于設(shè)備故障后的備用電源,另外應(yīng)配備相應(yīng)的機箱風(fēng)扇。在交換機上設(shè)置相應(yīng)的管理模塊,不但可以進行冗余備份,還可以進行冗余負(fù)載。核心交換機之間配備交換模塊,并且通過冗余協(xié)議進行連接,實現(xiàn)網(wǎng)絡(luò)層面的冗余。優(yōu)化配置各級的虛擬局域網(wǎng),并且選擇合適的路由器作為達到負(fù)載均衡。這樣如果設(shè)備出現(xiàn)任何的故障,可以由另一臺路由器承擔(dān)業(yè)務(wù)職能。對于接入層到骨干層的連接,采用兩條千兆以上的以太網(wǎng)進行連接,并且配備相應(yīng)的接口,連接兩臺核心交換機,一條作為主要的鏈路,一條作為備用的鏈路,如果主鏈路發(fā)生故障,可以切換到備用的鏈路上,存放網(wǎng)絡(luò)核心交換設(shè)備和匯聚交換設(shè)備需配備恒溫網(wǎng)絡(luò)專用機房,提高網(wǎng)絡(luò)運行的穩(wěn)定性。
2.3建立內(nèi)外網(wǎng)訪問管理審批機制
隨著信息建設(shè)與應(yīng)用的推廣,供電企業(yè)實現(xiàn)了生產(chǎn)與經(jīng)營的信息化管理,信息支撐環(huán)境也在不斷的升級和改造,網(wǎng)絡(luò)信息系統(tǒng)更加凸顯便捷化和快速化的特性,企業(yè)員工日常對信息網(wǎng)絡(luò)的使用需求日益迫切。因此需要加強對用戶訪問信息系統(tǒng)網(wǎng)絡(luò)的管理和監(jiān)控也是不可欠缺的組成部分,信息系統(tǒng)管理員通過一系列行之有效的系統(tǒng)權(quán)限訪問管理審批流程,從而保障了信息系統(tǒng)的安全高效運行。網(wǎng)絡(luò)管理機制可以利用和優(yōu)化信息系統(tǒng)資源,能夠?qū)╇娋值臉I(yè)務(wù)和服務(wù)進行直接的監(jiān)控和管理。在網(wǎng)絡(luò)發(fā)生故障時可以提高信息系統(tǒng)管理的速度,從而及時的解決問題。網(wǎng)絡(luò)管理機制可以提高網(wǎng)絡(luò)的安全運行,保障設(shè)備和業(yè)務(wù)的穩(wěn)定性,分析匯總網(wǎng)絡(luò)的信息網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài),然后把這些數(shù)據(jù)用于系統(tǒng)的維護和管理中。
3建立信息管理的應(yīng)急機制
為了進一步提高網(wǎng)絡(luò)信息系統(tǒng)的安全性和穩(wěn)定性,需要建立相應(yīng)的信息管理應(yīng)急機制,提高網(wǎng)絡(luò)與信息系統(tǒng)的應(yīng)急防災(zāi)和災(zāi)難恢復(fù)能力。針對當(dāng)前的網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用環(huán)境,建立相應(yīng)的應(yīng)急機制,針對計算機病毒和黑客攻擊所造成的網(wǎng)絡(luò)癱瘓,建立相應(yīng)的應(yīng)對預(yù)案和故障處理措施,保障信息系統(tǒng)的安全穩(wěn)定運行和應(yīng)急防災(zāi)能力。應(yīng)急預(yù)案的制定要根據(jù)信息系統(tǒng)上線后的狀態(tài)制定,并且對應(yīng)急預(yù)案進行實時演練和動態(tài)評估,保障預(yù)案的可靠性。每年對信息網(wǎng)絡(luò)技術(shù)人員進行專業(yè)的培訓(xùn),提高技術(shù)人員對信息系統(tǒng)網(wǎng)絡(luò)應(yīng)急預(yù)案的管理水平,加強對信息系統(tǒng)技術(shù)的人員的技術(shù)培訓(xùn),從而為信息網(wǎng)絡(luò)系統(tǒng)的運行提供可靠的技術(shù)支撐。
4強化信息系統(tǒng)用戶的管理和訪問
信息網(wǎng)絡(luò)系統(tǒng)的安全要對交換機、防火墻等進行綜合的管理,對一些重要性的設(shè)備訪問權(quán)限提高訪問用戶的級別,用戶的訪問設(shè)置一定的權(quán)限,沒有授權(quán)的用戶不能隨意的更改信息和訪問數(shù)據(jù),提高網(wǎng)絡(luò)訪問的安全性,防患于未然。5總結(jié)供電局的信息網(wǎng)絡(luò)安全是一項長期而復(fù)雜的工程,需要根據(jù)供電局現(xiàn)有的網(wǎng)絡(luò)運行環(huán)境和信息系統(tǒng)環(huán)境,加強安全和防護技術(shù),采取有效的措施和預(yù)案計劃將信息系統(tǒng)網(wǎng)絡(luò)的運行風(fēng)險降到最低,從而使信息系統(tǒng)為供電局的生產(chǎn)經(jīng)營管理發(fā)揮更加優(yōu)質(zhì)、便捷的服務(wù),助力智能電網(wǎng)企業(yè)更好更快的發(fā)展。
參考文獻:
[1]劉育權(quán),華煌圣,李力,王莉,劉金生.多層次的廣域保護控制體系架構(gòu)研究與實踐[J].電力系統(tǒng)保護與控制,2015(5):112-122.
[2]苗英愷.提高計算機通信網(wǎng)絡(luò)可靠性的分析與研究[J].計算機與網(wǎng)絡(luò),2013(17):71-73.
(一)基本情況
1.防雷安全監(jiān)管責(zé)任按要求落實。我局制定了《涿州市氣象局安全生產(chǎn)責(zé)任清單》,明確了防雷安全監(jiān)管責(zé)任,并將防雷安全工作納入安全生產(chǎn)責(zé)任制和地方政府考核評價指標(biāo)體系中。
2.嚴(yán)格?;菲髽I(yè)防雷安全監(jiān)管。建立健全涿州市防雷安全重點單位信息庫,不定期對本市危化品企業(yè)進行防雷安全隱患排查,對存在安全隱患的企業(yè)要求限期整改。
3.建立防雷安全聯(lián)合檢查機制。我局與應(yīng)急管理局開展部門間合作,明確對防雷安全責(zé)任主體的監(jiān)管要求,開展聯(lián)合行政執(zhí)法檢查,實施協(xié)同監(jiān)管。
4.建立防雷管理經(jīng)常性工作機制。與應(yīng)急管理局建立部門聯(lián)合協(xié)調(diào)監(jiān)管防雷安全重點企業(yè),特別是?;菲髽I(yè),實現(xiàn)信息共通、共享。
5.按計劃開展防雷安全日常監(jiān)督執(zhí)法。以“深化安全生產(chǎn)大排查大整治攻堅行動”為契機開展防雷安全檢查,全面排查涿州市?;髽I(yè)、易燃易爆場所,做到零容忍、全覆蓋。
6.積極提升雷電監(jiān)測預(yù)警能力。汛期前后,加強雷雨天氣氣象會商,提高雷電天氣的預(yù)報預(yù)警準(zhǔn)確度,完善雷電實時監(jiān)測和短臨預(yù)警業(yè)務(wù)系統(tǒng),暢通與防雷安全重點單位之間信息交流,確保及時發(fā)送和接受雷電預(yù)警信息、雷電災(zāi)害信息等內(nèi)容,實現(xiàn)信息互聯(lián)互通。
(二)自查出的問題和整改措施
問題一:雷電監(jiān)測預(yù)警能力不足
整改措施:
繼續(xù)提高預(yù)警預(yù)報系統(tǒng)現(xiàn)代化水平。
(完成時限:2019年底 責(zé)任人:張雷)
問題二:部門聯(lián)合檢查力度不足
整改措施:
加強部門聯(lián)合,增加執(zhí)法檢查力度。
(完成時限:2019年底 責(zé)任人:張雷)
二、人影作業(yè)安全管理方面
(一)基本情況
1.嚴(yán)格責(zé)任落實。我局已建立了《安全責(zé)任清單》《人工影響天氣安全作業(yè)實施細(xì)則》《高炮使用維護保養(yǎng)制度》《人影作業(yè)安全事故處理流程》等,按照各項制度積極執(zhí)行,確保責(zé)任落實到位。
2.加強人影作業(yè)安全標(biāo)準(zhǔn)化建設(shè)。我局于2011年對蘭家營作業(yè)點進行標(biāo)準(zhǔn)化建設(shè)并備案;繪制了安全射界圖并及時更新;每年年初多渠道人影作業(yè)公告保障人影工作的順利開展;嚴(yán)格按照要求進行彈藥運輸和存儲;每次作業(yè)都按照要求進行空域申請,在規(guī)定時間和范圍開展人影作業(yè)。
3.加強人員隊伍建設(shè)。人影作業(yè)事項已外托給保定市天雙信息技術(shù)有限公司。人影作業(yè)點購置了安全帽、作業(yè)服、雨鞋等防護設(shè)備。
4.做好人影設(shè)備管理。每年3-4月對人影作業(yè)設(shè)備進行年檢,定期維護保養(yǎng);彈藥購置使用符合《中國氣象局辦公室關(guān)于不達標(biāo)人工影響天氣作業(yè)炮彈火箭彈退出使用工作的通知》(氣辦發(fā)〔2018〕16號)規(guī)定情況;故障彈藥和過期彈藥按要求處理。
5.做好應(yīng)急預(yù)案管理。制定了安全事故應(yīng)急預(yù)案。
6.積極開展人影隱患排查。定期開展安全隱患排查,發(fā)現(xiàn)隱患及時整改,確保安全作業(yè)。
(二)自查出的問題和整改措施
問題一:因作業(yè)時間緊急和作業(yè)環(huán)境差等原因,空域申請沒有完全按要求留痕。
整改措施:
嚴(yán)格按照要求,制作涿州市空域申請登記本,注明空域申請人、允許作業(yè)時間、空域批準(zhǔn)人等,每次作業(yè)及時做好記錄備案。
(完成時限:2019年底 責(zé)任人:人影作業(yè)負(fù)責(zé)人)
問題二:沒有及時與地方安全管理部門聯(lián)合開展人影安全督查。
整改措施:及時與地方安全管理部門聯(lián)系,適時聯(lián)合開展人影安全督導(dǎo)檢查。
(完成時限:2019年底 責(zé)任人:張雷)
三、網(wǎng)絡(luò)安全管理方面
(一)基本情況
1.嚴(yán)格落實網(wǎng)絡(luò)安全責(zé)任制。建立網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組,黨支部領(lǐng)導(dǎo)班子主要負(fù)責(zé)人張雷同志作為第一責(zé)任人,紀(jì)檢書記周丹為副組長,其他辦公室工作人員為成員。按照《涿州市氣象局網(wǎng)絡(luò)信息安全責(zé)任制》內(nèi)容要求,把網(wǎng)絡(luò)安全納入重要議事日程。做好網(wǎng)絡(luò)安全工作財政預(yù)算支持,做好網(wǎng)絡(luò)安全設(shè)備保障,加強對網(wǎng)絡(luò)信息安全的保障力度,堅持統(tǒng)籌協(xié)調(diào)開展網(wǎng)絡(luò)安全檢查,定期在局內(nèi)組織召開網(wǎng)絡(luò)安全宣傳教育培訓(xùn)。
2.積極落實網(wǎng)絡(luò)安全等級保護工作。按《信息安全等級保護管理辦法》開展網(wǎng)絡(luò)信息定級、備案、測評、整改,新建信息系統(tǒng)開展網(wǎng)絡(luò)安全定級,開展網(wǎng)絡(luò)安全建設(shè)。
3.加強網(wǎng)絡(luò)安全技術(shù)防護。做好氣象信息系統(tǒng)、政府網(wǎng)站、手機服務(wù)端和顯示屏的網(wǎng)絡(luò)安全技術(shù)防護工作,加強網(wǎng)絡(luò)安全監(jiān)視。
4.健全網(wǎng)絡(luò)安全管理制度。按照保定市網(wǎng)絡(luò)安全管理要求,規(guī)范氣象數(shù)據(jù)使用和擴散范圍,建立了《涿州市氣象局網(wǎng)絡(luò)安全管理制度》。
(二)自查出的問題和整改措施
問題一:網(wǎng)絡(luò)安全管理人員能力不足
整改措施:
加強網(wǎng)絡(luò)安全管理人員素質(zhì)的培訓(xùn),提升網(wǎng)絡(luò)安全管理水平。
(完成時限:2019年底 責(zé)任人:張雷)
四、制氫用氫安全管理方面
我局不涉及此項工作。
五、內(nèi)部安全日常管理方面
(一)基本情況
1.建立內(nèi)部安全生產(chǎn)管理機構(gòu)。成立局內(nèi)安全生產(chǎn)管理小組,張雷局長任組長,紀(jì)檢書記周丹同志為副組長,王新同志、張萌同志、鄭文文同志為成員,明確安全生產(chǎn)管理職責(zé),確保責(zé)任落實到人。
2.嚴(yán)格執(zhí)行內(nèi)部安全生產(chǎn)管理制度。根據(jù)保定市氣象局內(nèi)部安全生產(chǎn)檢查要求,認(rèn)真開展內(nèi)部安全檢查,每周按要求上報《氣象局內(nèi)部安全生產(chǎn)檢查表》。
3.細(xì)化安全生產(chǎn)責(zé)任落實。根據(jù)《涿州市氣象局安全生產(chǎn)責(zé)任書》,明確安全生產(chǎn)責(zé)任,明確張雷局長作為第一責(zé)任人,責(zé)任細(xì)化到崗、落實細(xì)化到人。
4.做好安全生產(chǎn)工作部署。由主要負(fù)責(zé)人張雷局長主持召開安全生產(chǎn)工作部署會,制定和落實安全工作督查。
5.認(rèn)真排查安全隱患。組織全局職工學(xué)習(xí)消防安全知識,重點部位配備消防滅火器,并保證人人會用。完善了車輛管理制度,專車專人負(fù)責(zé),定時定點維修,駕駛?cè)藛T嚴(yán)格遵守交通法律法規(guī),堅決杜絕了公車私用和違章駕駛、酒后駕駛、疲勞駕駛。加強用水用電安全管理,節(jié)約用電用水,嚴(yán)查電源、插座、用電設(shè)施,謹(jǐn)防設(shè)備漏電,確保用電安全。為加強內(nèi)部安全管理,我局組織開展消防安全應(yīng)急演練。通過演練,全體干部職工進一步增強了安全意識,進一步提高了應(yīng)對突發(fā)事件快速反應(yīng)能力。
要想把應(yīng)急預(yù)案從書本上走到實踐中去,就一定要通過應(yīng)急預(yù)案的演練來實現(xiàn),這樣可以對于檢驗應(yīng)急預(yù)案編制的可操作性和科學(xué)性進行有效檢驗,也能不斷地完善電力系統(tǒng)中的網(wǎng)絡(luò)信息化預(yù)案,能更為有效提高預(yù)案減災(zāi)功能。通過有效編寫演練方案,能夠把應(yīng)急預(yù)案的指導(dǎo)性進行實踐化,體現(xiàn)出來演練的實戰(zhàn)性和可操作性。1)在應(yīng)急預(yù)案中,指導(dǎo)性的描述往往應(yīng)用在事件的相關(guān)的處置方式、性質(zhì)、發(fā)生規(guī)模方面,更為豐富的信息則需要提供給演練,這樣才能提高救援恢復(fù)行動的針對性。為了更為有效的開展針對性的工作,編制演練方案過程中,則需要考慮哪些設(shè)備需要進行配置,哪些地方的業(yè)務(wù)則會受到影響,哪些人員和部門會受到網(wǎng)絡(luò)中斷的影響,哪些需要進行調(diào)試程序等方面。2)為了更好落實各種應(yīng)急救援恢復(fù)任務(wù),以及保證其實施質(zhì)量,具體化一定要體現(xiàn)在執(zhí)行演練的過程中,明確應(yīng)急響應(yīng)程序的可操作化。進行量化相關(guān)的反應(yīng)程序,比如,包括工具箱、水晶頭是否到位,多模淡抹光模塊型號是否正確、筆記本及調(diào)試線是否夠用、備件備品是否齊全、備份數(shù)據(jù)是否完整,這些相關(guān)的細(xì)節(jié)問題都應(yīng)該在事前進行相應(yīng)的縝密設(shè)計。3)步驟流程化。通過對于演練各個程序的銜接機型優(yōu)化,合理有序地組合演練各個環(huán)節(jié)的響應(yīng)程序,通過演練程序流程表的編制來實現(xiàn)。這樣能夠有效提高應(yīng)急反應(yīng)反應(yīng)效率,并且提高演練的流暢性。同時,應(yīng)急演練的進展也可以被參與人員所更加了解。
2預(yù)防為主的基礎(chǔ)上進行監(jiān)控的進一步加強
預(yù)防為主的思想肆意一定要在單位的各個環(huán)節(jié)中進行強調(diào),在準(zhǔn)備應(yīng)急預(yù)案和實戰(zhàn)演練的基礎(chǔ)上,還應(yīng)該充分做好相關(guān)的信息網(wǎng)絡(luò)系統(tǒng)突發(fā)事件的機制準(zhǔn)備、思想準(zhǔn)備和工作準(zhǔn)備,使得防范意識不斷提高,同時,也應(yīng)提高信息安全綜合保障水平。通過對于信息安全隱患進行一定的日常監(jiān)測,能夠?qū)τ谥卮笮畔踩话l(fā)事件進行有效防范和及時發(fā)現(xiàn),為了盡量使得損失最小化,則應(yīng)該通過及時的可控措施來有效控制事件影響范圍。公司的日常工作已經(jīng)建立起有效長效機制,主要包括信息系統(tǒng)安全保障重點措施、信息安全隱患排查和治理、信息安全風(fēng)險評估以及信息安全等級保護方面。在相關(guān)的檢查結(jié)果基礎(chǔ)上,對于應(yīng)用系統(tǒng)安全管理、信息設(shè)備安全使用、信息機房值班等問題進行進一步加強管理,嚴(yán)格要求并執(zhí)行國家電網(wǎng)公司信息規(guī)定,對于內(nèi)外網(wǎng)計算機和外設(shè)管理需要進一步加強,只有這樣,才能有效使得監(jiān)測防控能力不斷增強,使得信息系統(tǒng)安全得以保障。
3保障措施分析與思考
在信息安全管理中,除了要保障一定的技術(shù)先進性,更為重要的則體現(xiàn)在管理方面。在實際工作中,我們一定要充分考慮到這一點,不斷加強“人防、制防、技防、物防”工作,對于信息安全統(tǒng)一管理進一步加強。
3.1應(yīng)急隊伍建設(shè)問題思考在信息安全管理方面,有安全工作小組和網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組,前者主要是由信息技術(shù)人員骨干、各部門信息員組成,后者則是各部門的主要負(fù)責(zé)人組成。通過這樣的分工,就可以從決策、監(jiān)督和具體執(zhí)行三個層面,立體化對于網(wǎng)絡(luò)信息安全提供有力保障。另外,還應(yīng)該對于信息安全專業(yè)人才培養(yǎng)進行重視,相關(guān)的信息安全技術(shù)培訓(xùn)可以定期或者不定期展開,相應(yīng)的信息安全應(yīng)急處理知識就能夠讓不同崗位的人員進行掌握。
3.2需要有一定的制度保障只有通過嚴(yán)格的管理制度才能有效保障良好的網(wǎng)絡(luò)信息安全,本公司在此方面制定了相應(yīng)的21管理標(biāo)準(zhǔn)、10個制度,以及一系列的規(guī)范。這樣能夠保障網(wǎng)絡(luò)信息安全工作能夠有章可循,有案可稽。對于不同工作職責(zé)的小組來說,應(yīng)該劃分具體的安全工作的執(zhí)行情況,為了更好能夠保障網(wǎng)絡(luò)基礎(chǔ)、系統(tǒng)運行維護以及開發(fā)建設(shè)等方面的安全,應(yīng)該做好相關(guān)的分工合作、整體統(tǒng)一、分級處理等問題。
3.3做好技術(shù)保障工作為了保障網(wǎng)絡(luò)信息安全,這里采用相關(guān)的較為先進的技術(shù)工具和手段,包括:1)更新專業(yè)的防病毒軟件,有效防治計算機病毒影響;2)旁路監(jiān)聽技術(shù)的設(shè)備進行過濾處理,能有效限制訪問不良網(wǎng)絡(luò)信息;3)使用雙層FWSM防火墻防護托管服務(wù)器群;4)定期對于系統(tǒng)進行漏洞掃描;5)建立異地數(shù)據(jù)的容災(zāi)方案以及數(shù)據(jù)備份方案,還有相關(guān)的NTP服務(wù)器、LogServer日志記錄等。
4結(jié)束語
目前,國內(nèi)電信事業(yè)發(fā)展迅猛,數(shù)字化、高速率的通信網(wǎng)已經(jīng)覆蓋全國。民航通信網(wǎng)采用開放模式,以自建、合建、租用等方式,與電信運營商骨干網(wǎng)建設(shè)融于一體。在使用上利用終端加密、多路由使用、交換組網(wǎng)等方式開發(fā)新的接口協(xié)議和網(wǎng)中網(wǎng)軟件,做到開放而不公開,以最少的經(jīng)費投入達成通信網(wǎng)建設(shè)工程的最快發(fā)展。與此同時,對原有通信工程應(yīng)充分挖掘潛力、改制創(chuàng)新,建成多手段、全頻域的柵格狀通信網(wǎng)。隨著通信網(wǎng)絡(luò)的發(fā)展,信息共享和開放程度更高,網(wǎng)絡(luò)可靠性和安全性問題也更加突出。這主要體現(xiàn)在:網(wǎng)絡(luò)結(jié)構(gòu)的變化促使信息源更具有開放性,使網(wǎng)絡(luò)安全防衛(wèi)措施的實施面臨重重阻力。資源的共享和分布增加了網(wǎng)絡(luò)受攻擊的可能性。信息源不再是高度集中、絕對封閉的唯一源頭,信息流的多渠道交叉反饋,使對信息的監(jiān)控難度加大,因此,必須加強對網(wǎng)絡(luò)安全管理和信息安全技術(shù)的研究,建立完善的網(wǎng)絡(luò)安全管理體系,加強網(wǎng)絡(luò)管理系統(tǒng)的技術(shù)改造,確保民航通信網(wǎng)的安全和高效運行。
二、注重效能,更新維護手段
一是組建通信設(shè)備維護管理中心,變單一維護為層次維護。由通信設(shè)備維護管理中心負(fù)責(zé)網(wǎng)絡(luò)運行監(jiān)控、網(wǎng)絡(luò)組織調(diào)整、設(shè)備預(yù)檢測試、故障設(shè)備維修及技術(shù)改造,并為一線臺站提供技術(shù)支援。二是利用光纜巡檢系統(tǒng),改革傳統(tǒng)線路巡檢方式,該系統(tǒng)為計算機管理,對完成線路維護任務(wù)情況進行量化評定,為線路維護建立直觀有效的管理模式。三是突出新裝備的科學(xué)管理。與市電信運營商和設(shè)備廠家合建備品備件管理資料數(shù)據(jù)庫,確定配備儲存標(biāo)準(zhǔn),為一線臺站提供有力的物質(zhì)保障。四是構(gòu)筑集中監(jiān)控平臺,實行網(wǎng)絡(luò)監(jiān)管,變被動式經(jīng)驗維護為主動式科學(xué)維護。建立以各級通信網(wǎng)絡(luò)技術(shù)管理中心為龍頭的運行管理機制,是由網(wǎng)管中心在通信網(wǎng)絡(luò)運行管理中所處的地位和作用決定的。實踐證明,現(xiàn)代化的通信網(wǎng)絡(luò)必須依靠現(xiàn)代化的手段來管理,必須運用現(xiàn)代管理理論和先進的網(wǎng)絡(luò)管理技術(shù),加強網(wǎng)管系統(tǒng)建設(shè),全面推進網(wǎng)絡(luò)管理機制的創(chuàng)新。
三、講求效益,進一步深化維護制度改革
目前,民航通信設(shè)備的可靠性達到一定程度,主要通信設(shè)備都能達到平均開機近萬小時無自然故障的水平,并且大都具備自動診斷功能,機房環(huán)境也日趨穩(wěn)定,這些優(yōu)勢為實現(xiàn)集中維護和遠程控管提供了可能。二是推行大機房工作方式。在加強機房維護人員一專多能訓(xùn)練的基礎(chǔ)上,明確應(yīng)急預(yù)案,保證緊急或突發(fā)事件時,相關(guān)電路暢通無阻。完善遠程網(wǎng)絡(luò)監(jiān)控技術(shù)。要求遠程網(wǎng)絡(luò)監(jiān)控技術(shù)即要互相兼容,還要功能強大。重點是完善遠程網(wǎng)絡(luò)故障管理技術(shù),要能定期對監(jiān)控的網(wǎng)絡(luò)生成網(wǎng)絡(luò)運行質(zhì)量報告、告警監(jiān)測、故障定位、故障修正、測試及障礙管理等功能集。對網(wǎng)絡(luò)出現(xiàn)的損傷和設(shè)備運行障礙,要能及時作出反應(yīng),使監(jiān)控指揮人員能夠采取諸如緊急調(diào)度、搶修及遠程技術(shù)支援等措施,以確保網(wǎng)絡(luò)高效、安全運行。
關(guān)鍵詞:華為業(yè)務(wù)區(qū) 3G移動核心網(wǎng) 網(wǎng)絡(luò)安全策略
中圖分類號:TP3 文獻標(biāo)識碼:A 文章編號:1672-3791(2012)09(c)-0008-01
安全策略即是在一個特定的環(huán)境里,為保證提供一定級別的安全性所必須遵守的規(guī)則。對于一個設(shè)備集中、網(wǎng)元眾多的網(wǎng)絡(luò),必須把網(wǎng)絡(luò)的安全性放在首位。而實現(xiàn)網(wǎng)絡(luò)安全管理,不但要靠先進的技術(shù),也得靠嚴(yán)格的管理制度,既要在各個方面遵守網(wǎng)絡(luò)安全策略,包括組網(wǎng)安全策略、路由安全策略、網(wǎng)絡(luò)預(yù)警安全策略、維護管理安全策略等。本文將以某地華為業(yè)務(wù)區(qū)為例,對核心網(wǎng)網(wǎng)絡(luò)安全策略進行探討。
1 組網(wǎng)安全策略
1.1 設(shè)備設(shè)置策略
WCDMA核心網(wǎng)設(shè)備在網(wǎng)絡(luò)實體上分為MSC Server和MGW,實現(xiàn)了控制與承載的分離。所以,在選擇設(shè)備放置地點時,完全可以考慮把MSC Server放置在中心城市或維護技術(shù)水平高的地市。在經(jīng)濟不發(fā)達地區(qū)可以只設(shè)置MGW來和RNC互通?;谶@樣的考慮,在建網(wǎng)初期,華為業(yè)務(wù)區(qū)MSC Server設(shè)置就以“統(tǒng)一規(guī)劃,集中放置、區(qū)域管理”為原則,制定了以省會城市、區(qū)域中心城市為中心的網(wǎng)絡(luò)格局。這樣對整個網(wǎng)絡(luò)的維護管理具備較好的安全保障性,再根據(jù)地市的業(yè)務(wù)量情況設(shè)置本地網(wǎng)MGW。
1.2 組網(wǎng)方式
華為業(yè)務(wù)區(qū)采用組網(wǎng)模式為,MSC Server與匯接局、關(guān)口局、BSC、RNC、HLR、信令轉(zhuǎn)接點之間的信令鏈路均通過MGW轉(zhuǎn)接。這種模式邏輯結(jié)構(gòu)清晰,尤其是因為MSC Server與其他網(wǎng)元無連接,所以當(dāng)MSC Server故障,需要進行主備切換時,其他周邊網(wǎng)元無需進行任何設(shè)置更改,方便快捷,對整個網(wǎng)絡(luò)的影響面小,網(wǎng)絡(luò)的安全性強。
1.3 容災(zāi)備份策略
R4組網(wǎng)模式下,MSC Server的集中設(shè)置,使得MSC Server容量必須足夠大,可以管理多個本地網(wǎng)。因此,當(dāng)一個MSC Server故障就會造成很大的影響,網(wǎng)絡(luò)安全性問題尤為凸現(xiàn)。針對這個問題,引入了MSC Server的容災(zāi)備份機制,即讓一個MGW在MSC Server發(fā)生故障時,可以注冊到另外一個MSC Server下。華為業(yè)務(wù)區(qū)采取了N+1雙歸屬備份的方式。在備份MSC Server中,我們“克隆”其他主用MSC Server的數(shù)據(jù)。一旦出現(xiàn)某個MSC Server無法正常工作的情況,備用MSC Server會啟用接管機制,完全接管主用故障Server的數(shù)據(jù)及用戶,從而保障網(wǎng)絡(luò)運行不中斷,用戶感知不受影響。
2 路由安全策略
路由的設(shè)置對于整個交換網(wǎng)絡(luò)來說都是確保網(wǎng)絡(luò)安全性的重中之重。
2.1 長途話務(wù)路由
根據(jù)華為業(yè)務(wù)區(qū)網(wǎng)絡(luò)實際,華為業(yè)務(wù)區(qū)出局長途話務(wù)路由均采用負(fù)荷分擔(dān)或主備方式送入長途網(wǎng)。例如:對于異地中國聯(lián)通、中國移動PLMN話務(wù),采用負(fù)荷分擔(dān)方式送入長途話務(wù)網(wǎng)1和軟交換匯接網(wǎng)等。所以,即使至某個局向發(fā)生故障,也不會影響用戶的正常使用。
2.2 本地話務(wù)路由
對于本地業(yè)務(wù),本地網(wǎng)MSC Server至每個HLR均設(shè)置了以HSTP為備用的第二信令路由,即使至HLR中斷也可保證話務(wù)尋址不受影響;到每個本地網(wǎng)直聯(lián)端局都設(shè)置了以長途話務(wù)網(wǎng)1為備份的第二路由,保障網(wǎng)內(nèi)話務(wù)的安全。
對于本地異網(wǎng)話務(wù),在話務(wù)量大的本地網(wǎng)設(shè)置雙關(guān)口局,保障業(yè)務(wù)本地網(wǎng)間話務(wù)安全。在話務(wù)量較小的本地網(wǎng)發(fā)生緊急情況時,采用人工疏導(dǎo)的方式,全力保障業(yè)務(wù)不中斷。
2.3 CE路由安全策略
隨著WCDMA網(wǎng)絡(luò)的建設(shè),項目配套CE大量的運用到了網(wǎng)絡(luò)組網(wǎng)中,主要用于承載無線和核心網(wǎng)部分業(yè)務(wù)。華為業(yè)務(wù)區(qū)CE采用雙平面路由器負(fù)荷分擔(dān)+無交換機方式組網(wǎng),路由器之間使用OSPF協(xié)議尋址,各本地網(wǎng)均設(shè)有一對CE路由器。由于采用了“雙平面 雙備份”的組網(wǎng)方式與保護機制,網(wǎng)絡(luò)結(jié)構(gòu)做到了動態(tài)的主備倒換。當(dāng)CE發(fā)生故障時,可實現(xiàn)路由自動保護,節(jié)點間的倒換能做到用戶無感知切換。
3 網(wǎng)絡(luò)預(yù)警安全策略
網(wǎng)絡(luò)預(yù)警安全策略是在網(wǎng)絡(luò)故障發(fā)生前發(fā)現(xiàn)異常情況,從而能夠采取有效措施,最大程度的降低因故障對網(wǎng)絡(luò)造成的影響。華為業(yè)務(wù)區(qū)根據(jù)網(wǎng)元的重要程度、告警影響程度將網(wǎng)元預(yù)警分為三級。紅色預(yù)警是網(wǎng)絡(luò)中可能引發(fā)重要等級以上故障或存在潛在重大安全影響的異常狀況。橙色預(yù)警是可能引發(fā)一般故障或存在潛在安全影響的異常狀況。黃色預(yù)警是可能引發(fā)輕微故障的異常狀況。各級預(yù)警中所包含的指標(biāo)主要分為設(shè)備自身引起的預(yù)警,如設(shè)備出現(xiàn)帶有模塊的高級別的重新啟動等;由于網(wǎng)絡(luò)負(fù)荷引起的預(yù)警,如系統(tǒng)的處理能力達到閥值、話路、信令負(fù)荷達到閥值等;由于網(wǎng)絡(luò)故障引起的預(yù)警,如局間主用路由不可達等;由于網(wǎng)絡(luò)質(zhì)量、話務(wù)情況明顯變化引起的預(yù)警等。重點對關(guān)鍵指標(biāo)進行監(jiān)測,及時對現(xiàn)網(wǎng)設(shè)備、系統(tǒng)網(wǎng)絡(luò)預(yù)警是降低故障隱患,保障網(wǎng)絡(luò)平穩(wěn)安全運行的保障。
4 維護管理安全策略
嚴(yán)格的維護管理制度是確保安全策略落實的基礎(chǔ)。
4.1 例行備份制度
制定完備數(shù)據(jù)備份制度,以離線備份為原則,定期將bam服務(wù)器上的自動備份內(nèi)容存儲在獨立介質(zhì)存儲器上,每逢重大節(jié)假日和重大割接錢均做到專門備份。對于備份數(shù)據(jù)的存儲做到專人負(fù)責(zé),專門地點存放,一旦設(shè)備發(fā)生問題,可以做到快速數(shù)據(jù)恢復(fù),縮短故障歷時。
4.2 健康檢查制度
核心網(wǎng)網(wǎng)元是通信網(wǎng)絡(luò)的核心,因此對設(shè)備運行情況應(yīng)進行定期健康檢查,發(fā)現(xiàn)問題及時整治,保證交換機安全無隱患運行。特別要對容災(zāi)備份Server進行數(shù)據(jù)的核對,華為設(shè)備提供了主備Server數(shù)據(jù)一致性檢查功能。通過此功能,用戶可以檢查雙歸屬對網(wǎng)元數(shù)據(jù)是否一致,以確保系統(tǒng)發(fā)生雙歸屬倒換后,一個MSC Server能夠接管另一個MSC Server上的部分或全部數(shù)據(jù)。
4.3 應(yīng)急保障制度
制定完備的應(yīng)急保障制度,各地制定詳盡的應(yīng)急預(yù)案;明確應(yīng)急小組成員,責(zé)任到人;定期舉辦應(yīng)急演練,模擬可能出現(xiàn)的故障情況。確保一旦緊急情況發(fā)生做到有的放矢,從容應(yīng)對,有章可循,責(zé)任分明,最大可能的縮短故障歷時,保障通信順暢。