⑴ 網路安全管理平台有什麼作用及必要性
網路安全管理平台是專門為大中型企業、單位等用戶使用的高性價比的網路安全網關,解決了從網路接入、出口匯聚、用戶認證、負載均衡、行為管理、設備監控、安全告警、日誌審計等一系列現實需求。星鋒航網路安全管理平台可完美解決用戶上網卡頓掉線,區分優先順序保障用戶的上網需求,提高工作效率,保障網路安全不受攻擊,保障內網用戶合法上網。
功能包括:出口匯聚、用戶認證、負載均衡、策略路由、設備監控、分權分域管理、VPN網路監控、安全告警、行為管理、日誌報表
可應用於運營商、高校、大中型企業、機關事業單位等。
⑵ 2019年度網路安全和信息化工作自評報告
2019年度網路安全和信息化工作自評報告一年來,在公司信息中心正確指導支持下,圍繞公司年度網路安全和信息化工作會議精神和工作要求,不忘初心使命,砥礪奮進,努力開創企業信息化高質量發展新局面,卓有成效地在主體責任落實、網路安全、項目管理、創新能力、隊伍建設、數據中心與數據質量、數字化工廠建設等方面開展探索和實踐,均取得了較優成績。現將2019年來的主要工作自評總結匯報如下:
一、嚴格落實信息化工作主體責任
全年針對信息化工作點多面廣,服務性和專業性都很強的特點,緊扣行業和公司信息化發展戰略,“行業典範”、“窗口企業”的目標定位,在大局下思考和行動,切實擔當創新和高質量發展的新使命和新責任,在政治和業務領域活學活用實學精幹中推進各項工作。
一是召開廠黨委會議,4月28日,利用會議和辦公系統傳達學習和部署落實了行業及公司2019年網路安全和信息化領導小組會議、網路安全和信息化工作會精神,研究貫徹落實意見;6月4日,廠黨委會議上,研究部署和下發了本年度網路安全工作,明確了年度網路安全和信息化工作要點,納入2019年度工作目標考核方案,細化分解到月度重點工作任務清單,納入季度和月度工作考核。全年從安全生產管理周例會督辦項目完成情況和月(季)重點工作績效督查情況來看,年度網路安全和信息化工作重點都得到了較好地貫徹和落實。
二是5月上旬制定並經多次討論後,批次下發了《江西中培搏煙工業有限責任公司井岡山卷煙廠網路安全與系統運維考核實施細則》,並於6月份開始實施考核。結合公司對企業年度信息化工作考核要求,全面梳理差距並迎頭整改彌補差額事項。突出IT綜合管理和治理方案,主要關注企業發展後勁、IT工作績效和基礎夯實工作。由於與績效掛勾,增強了全員IT工作績效意識,促進各項考核指標處於較好狀態。從全年的生產管理周工作簡報來看,全年MES系統、制絲管控系統、卷包數采系統、批次系統、能管系統、高架系統運行總體正常,辯搏實現了IT網路信息系統生產保障。批次管理系統各項數據完整,卷包車間數據准確率為99.08%,制配灶祥絲車間數據准確率為100%,成品數據准確率為100%。其它各系統數據完整率也均處優良。
三是全年嚴格執行行業和公司網路安全檢查要求以及企業管理體系文件要求組織開展了節假日期間和日常網路與信息系統安全檢查排查與運維,全面推進了企業IT基礎“1+2+2+N”運維模式文件體系架構和日常運用實踐,確保了系統穩定。全年開展網路信息安全半年度、季度巡檢、月度集中檢查42次,營造了網路安全和數據安全良好生態,保持了網路安全系統及其設備設施、作業活動和作業環境處於正常有效狀態。全年累計處理各類問題或故障53次,整改完成率100%。另外,今年8月如期開展了企業信息安全及計算機信息系統保密工作自查。目前,制度對接和檢查執行的效果顯現。
四是按照《煙草行業應對網路安全攻擊基本防護措施》通知要求對敏感信息、資產狀況、安全加固、實時監測和應急處置共五點開展自查工作,並向信息中心提交自查報告。在對敏感信息方面,及時響應國家或行業通報的網路安全情況,在完善平台技術架構與安全防範網路策略上,針對所負責的網路和系統進行日常系統“查缺補漏”工作。在充分利用IT資源方面,瞄準IT資源清晰、流程順暢和數據管理目標,合理做好IT資源規劃與利用,積極開展IT資產、網路安全、各管控系統潛能作用等專項管理診斷活動,進一步盤活現有資源、滿足崗位需求、奠定IT資產管理規范基礎,集成整合企業資源並形成合力,提升整體抗風險能力。年初、6月6日和9月,先後召開了各運維單位駐廠人員日常工作銜接專題會,日常銜接年度各外來運維單位工作。8月開展了IT基礎專項管理診斷活動。1月和6月的管理體系外部審核和內部審核活動,3月、9月和12月三度組織IT資產(包括軟體、文件)盤點清查整治和廢舊利用和設備報廢工作。在安全加固方面,按照網路安全等級保護制度,舉一反三落實各項基礎設施和管理工作,著重針對已定二級備案的《行業生產經營決策管理系統江西中煙井岡山卷煙廠分支系統》專項申報公司進行等保測評工作。針對辦公網與生產網安全,實施了邏輯隔離工作。日常管理上採取技術手段將工控主機上的不必要USB、光碟機等介面已禁掉,並對工控主機實施嚴格的訪問控制。另外,加強了區域網路管理。在6月和12月先後檢查拆除不合規的網路信息系統。對於生產區域無線網路,只允許PDA終端連接,手機筆記本等移動終端不得連接車間無線網路。各部門兼職網路安全信息員組織本部門檢查排查是否存在私接無線路由器的情況。在實時監測方面,嚴格執行企業網路安全相關制度規范。實時監測防火牆等安全設備運行情況。每日對防火牆等網路安全設備進行實時監測,對發現的疑似攻擊地址立即在防火牆上進行封禁處理。發現異常須及時報告。按照“先封堵再研判”原則先阻斷網路連接,再對攻擊行為進行溯源,並及時向公司信息中心報告有關情況。
五是根據人事變動和企業狀況,重新成立了網路安全與信息化管理工作領導小組,下發了紅頭文件。進一步明確了分管網路安全工作領導班子成員及其組織工作主體責任。實現了內部資源整合。年初信息部門恢復單列部門,又鑒於今年員工1人借調支援商業公司系統開發、2人生育輪休的實際,內部採取輪崗交流與職責整合輪換作業方式組織開展企業信息化工作,促進年輕員工得到很好的鍛煉。
二、突出抓好網路安全杜絕發生網路信息安全事件
全年抓好做好梳理網路安全隱患、檢查治理與落實整改三個環節的工作,做到兩個全覆蓋,即覆蓋所有部門、覆蓋所有系統,確保不留死角不留隱患。由於採取“集中管控、分布防護”兩手抓的方略,在信息系統整體防護的管理上取得了一定的成效,全年未發生一起網路信息安全事故。網路安全工作成效主要體現在:
一是進一步夯實網路安全基礎工作。1月,開展了IT資產及信息網路安全專項管理診斷,瞄準“兩化融合”和現有質量、環境及職業健康安全三標管理體系目標要求,嚴格落實網路安全責任制度,明確每個信息系統業務主管部門和運行維護部門具體職責。進一步優化完善了企業信息化系統運維保障工作機制,深入構建企業網路信息安全運維管理體系。全面梳理建立和實施各管控系統底層操作應用標准文件,使之滿足企業IT運行的各項管理要求。9月通過了市公安部門等保工作檢查與備案。6月6日和12月15日兩度開展了系統賬戶和密碼合規性、網路與信息系統漏洞自查整改活動。在開展排查“弱口令”和“掃漏洞”的網路安全問題整改活動中,全面針對弱口令、漏洞未修復等突出安全隱患進行整改。對未按要求設置密碼的網路和IT伺服器與終端機以及我廠自建信息系統的賬號進行全面清查,對不符合要求的賬戶密碼立即進行整改,將密碼修改為字母、數字、特殊符號等3種以上組合且不少於8位,對存在漏洞的IT系統及時進行了修復。另外,在今年6月行業和吉安市11月開展的兩度網路安全應急演練中,均保持了網路安全和系統穩定,達到了預期效果。
二是編制實施了網路安全及各信息系統應急預案,按要求開展了季度演練與評價。全年按季開展了計算機網路與信息系統應急演練6次,涵蓋中心機房、OA、MES、批次管理和物流系統等運行突發事件的處置和應急狀態處置,均達到預期效果。其中,先後完成了《MES系統制絲工單下發不到制絲管控系統應急演練》、《計算機房精密空調初期起火現場應急演練》、《批次管理系統輔料凍結應急演練方案》、《設備故障導致片煙高架庫無法出庫應急演練》,且各活動記錄齊全。
三是我廠辦公網與生產網設計實行了邏輯隔離,明確了工控機的安全管理措施。同時,以執行和監督執行各項制度規范進一步得到鞏固,全年未發生網路信息安全事件。全年從月(季)績效考核的結果來看,沒有出現由於軟硬體故障,計算機病毒,工作失誤,遭受人為破壞等原因影響本單位信息系統正常運行,也從未造成由於系統數據丟失、泄露、被篡改,以及業務中斷超過4小時,產生不良影響或一定經濟損失,嚴重影響生產和工作的其他情況。
四是根據公司《網路安全責任書》,我廠編制並與各部門簽訂了《網路安全責任書》,並在管理制度文件體系中明確了信息系統業務主管部門和運行維護部門網路安全責任。同時,加強了與建設合作單位的協同管理,任何項目開工前,首先做到了開展安全告知培訓,簽訂相關安全(施工)協議,並按保密要求與本單位信息系統派駐運維人員簽訂《數據保密承諾函》,嚴守保密規定,較好地履行保密責任。
五是嚴格執行《井岡山卷煙廠計算機機房管理規定》等機房系列標准規范體系文件。每日對計算機機房進行日常巡檢,每周對機房主要設備進行周檢,並填寫記錄。對出現的故障進行分析並處理,將分析研判情況進行記錄,並形成月度 工作總結 。在機房管理標准文件中,根據要求,明確網路與機房基礎設施維保的通信聯動應急保障制度。
六是數字化視頻監控系統具有基本安全措施。按要求,監控網與生產網及辦公網實施了邏輯隔離。日常根據各部門實際需求分配攝像頭查看范圍及許可權,並且對分配賬戶均按要求設置了合規密碼,合理發揮了數字化視頻監控系統的作用。
三、嚴格推進項目管理各項工作
密切關注公司四大體系建設、數據中心系統建設和OA系統升級項目應用。以公司信息化規劃為指導開展企業項目年度需求調研、項目申報、方案論證,關鍵技術咨詢等工作。在年度預算項目批復文件下達之後,分解落實實施計劃。一方面,瞄準目標,做好公司各在建重點項目和系統的技術對接,按要求開展實施與優化工作。另一方面,進一步強化企業內部信息技術消化,全面拓展工控安全分析預警、二維碼識別物料、QCD、SPC等信息化技術在安全、質量、成本、考核,在過程式控制制與數據分析預警等方面的應用深度和廣度,進一步夯實企業信息化技術基礎,為生產製造過程大數據挖掘運用,精益生產和智能物聯擴展應用奠定了良好基礎。進一步促進企業在“兩化融合”、“數字化智能工廠”建設架構與開發上繼續發揮作用。通過上半年和下半年兩度召開年度采購項目推進會,梳理了各項目采購流程規劃和節點時間工作控制,有序推進了項目實施工作。截止11月,年度5個項目均按進度計劃如期完成了實施任務。
2019年我廠立項申報的5個項目均符合公司申報項目要求,保留了申報項目論證記錄。按要求每季度的下個月10日前,將項目實施進度上報了信息中心。各項報送資料完整。貫徹落實規劃“回頭看”要求,制定實施了具體 工作計劃 和方案,對近幾年來重要信息化項目進行梳理、評估,有部署、有落實,有記錄,並形成規劃“回頭看”報告。所有信息化項目均按公司檔案管理要求保存完整的過程檔案資料(包括但不限於采購、啟動、需求調研、上線運行、驗收等關鍵環節)及電子檔案資料,並設置兼職管理人員。各個信息化項目均符合公司規定的“一項一卷”要求,保存了信息化項目過程檔案資料及電子檔。信息化項目公開招標項目比例在80%以上。未出現按季度上報信息化工作進展情況漏報遲報現象。
四、積極營造氛圍,促進創新能力提升
全年圍繞積極利用信息系統資源,創新系統應用途徑,有效支撐本單位生產組織、質量管控、庫存管理、降本增效等重點工作,以課題、小改小革等實踐活動和各種業務及學術交流形式帶動創新活力,推進企業精益和創新管理。在各項創新能力提升主題活動實踐中,全年累計產生各項成果20餘項。其中,5個課題成果正在等待公司和江西省各管理協會組織年終評比結果。
5個案例。梳理總結完成了《井岡山卷煙廠網路信息安全運維管理體系建設實踐》、《二維碼技術應用推廣》、《基於檢維修體系的信息化應用》、《基於制絲管控系統的防錯預警機制應用》等案例。其中,有2個於今年4月和10月在公司年度信息化工作會和“創新引領高質量發展”信息化專題交流會上展開了交流研討。
2018年底,上報省企協參評創新課題3個,其中,年初從發布與推廣第二十屆江西省企業管理現代化創新成果通報中獲悉,《基於信息化項目管理的工具運用與實踐》和《精益合作生產批次管理系統的風險分析與應對》均榮獲一等獎,《構建網路安全信息系統““1+2+2+N”運維模式》獲二等獎。本廠取得《精益合作生產批次管理系統的風險分析與應對》創新成果,在廣豐卷煙廠實現部分推廣。
2018年公司精益課題2個。其中,梳理總結完成了2018年公司立項的《二維碼技術應用推廣》精益管理課題成果,並以A3報告進行了驗收申報。全面完成了2018年公司立項的《構建信息系統“1+2+2+N”運維模式》精益管理課題實踐,該成果已經在2月18日公司《關於表彰2018年度精益管理優秀課題、管理診斷優秀案例和企業管理先進個人的決定》中榮獲了公司當年評比二等獎。今年擴展產生了《IT網路安全信息系統“1+2+2+N”運維模式》新成果。
今年注冊QC課題2個。12月9日,召開部門QC活動小組專題會,全面總結了今年兩個課題工作。另外,2018年注冊QC課題4個,完成企業QC課題成果3個,其中,《提高批次管理系統卷包投料掃碼率》QC活動成果榮獲2018年度江西省第三十九次質量管理小組代表大會三等獎,另外兩個QC課題成果榮獲廠優秀獎。
2篇論文發表。於2月27日和5月8日,我廠相繼在《東方煙草報》管理前沿發表了論文《數字化工廠背景下質量管理體系的信息化應用》和《淺談企業信息化工作績效的自主評估》。《數字化工廠背景下質量管理體系的信息化應用》榮獲江西煙草優秀論文。發表在《江西煙草》總第148期論文增刊P49-P51。《抓住機遇有的放矢推進數字化工廠“兩化融合”實踐》榮獲公司產業系統特等獎。最近報送了論文《試論信息化支撐推行企業績效管理的思維方法》參評。
五、培養信息化專業團隊,提升隊伍整體素質
在企業內部,我廠積極營造了學習型團隊良好氛圍。突出實際需求,參與中國CIO高峰論壇,有選擇性的把握學習內容和參與IT企業組織的信息化網路在線研討,日常內部各類IT專業微信群的線上討論。全年參與外派和開展了公司和企業13項調研活動,組織安排了南煙、廣煙等兄弟單位9人來廠的IT交流或跟班學習。接待了安徽阜陽煙廠和江蘇中煙來廠2次針對IT網路、批次管理系統建設和使用情況的經驗交流。全年通過“學習強國”和“中國煙草網路學院”《網路安全培訓》(專題版)兩個網路平台487人達成和超額完成了規定的學習培訓指標任務。全年6名年輕員工參加了國家軟考,通過率100%。全年組織國家網路安全法集中培訓(85人)、公司數據中心(75人)、公司新版OA(85人)、企業網路信息系統用戶安全運維、操作應用、新增IT類標准體系文件培訓與系統演練413人,全員IT培訓率達80%以上,全面拓展信息技術在質量、安全、成本、考核等方面的深度應用和技能水平。
目前部門工作人員有高、中級職稱及取得國家軟考證書的人員比例為100%。在管控系統的維保工作,採取自主維保、外包人員駐場維保及遠程維保相結合的方式。2019年我廠能源管控、物流高架系統基本為本廠人員自主維保,卷包數采(8月24日)、MES(11月23日)等系統在自主維保後繼續採取駐廠運維方式進行系統維保。
通過組織各類內部培訓、系統演練,公司和外部交流,從中親身體驗信息化發展日新月異的變化,為融合技術創新、應用創新、模式創新與優化改善不斷充電。不僅促進了企業信息技術消化、信息技術和應用人才培養工作,而且增強了自身素養和企業形象,逐步實現提供隊伍高質量、高水平的信息化服務。
六、持續保持數據中心與數據質量,上報數據及時准確真實規范
根據行業和公司關於加強行業數據安全防範化解風險隱患有關工作,圍繞落實《2019年網路安全和信息化工作要點》要求,嚴防發生數據安全和公民個人信息泄露事件,六月,我廠根據《網路安全法》《電子商務法》等相關法律法規,組織開展了全面排查法律風險和信息系統數據風險工作,通過翻閱我廠信息化項目合同和現場應用,未發現存在違反《網路安全法》《電子商務法》等相關法律法規關於數據安全和公民個人信息保護規定的問題隱患;未使用移動APP等互聯網應用系統;不存在對外託管信息系統和承載數據。同時,對駐廠運維人員的安全管理措施進行了檢查和風險評估,經過排查,未發現存在擅自讀取、存儲、緩存、和使用數據(包括數據泄露)的問題隱患。對於存在IT與數據安全等3項主要風險隱患採取了管控措施和問題整改,加大了高風險漏洞和弱密碼專項治理情況監管力度,增強大數據環境下防攻擊、防泄露、防竊取的監測預警和應急處置能力,確保網路安全設備設施均處於正常工作狀態並能實現部署該設備設施的設計要求,確保各項管理措施有效落實,促進數據中心日常運維數據高質量保障。全年上報生產經營決策管理系統的數據差錯率為0,上報公司數據中心的數據做到了及時、准確、真實、規范,未出現上報數據不符合要求的情況。
七、推進項目管理與數字化工廠建設
為促進一體協同重點工作成效,今年3至4月,根據《井岡山卷煙廠信息化規劃“回頭看”工作計劃及方案》,採取各系統自查和現場調研相結合的方式,從系統發揮的成效入手,著眼系統性、全局性、整體性等方面對異地技改新廠實施的項目,包括後來實施的批次管理項目,對數字化工廠建設建管用方面所做工作進行回顧和自查及全面梳理、評估。4月10日向公司提交了《井岡山卷煙廠數字化工廠建設和運行情況匯報》。在4月的年度公司信息化工作會、8月的管理診斷、9月的信息化專題調研和11月的公司信息化現場交流會上,均針對SPC管理平台建設、商業營銷移動應用、質檢離線數據採集完善、設備管理信息系統功能完善、MES智能生產製造、PBMS批次管理兩個系統的二期建設和生產經營決策管理系統等保測評等及其相關的技術與方案優化提出了進一步的需求和設想。
全年尤其突出抓好IT基礎制度規范工作,夯實IT基礎管理工作。通過年初的部門調研、8月公司和企業管理診斷、11月的年度 主題教育 巡視、9月公司對企業信息化工作專題調研、1月和12月質量管理體系認證審核、6月企業質量、環境、安全三標管理體系內部審核,年度各項內部、外部開展的檢查和自查自評等活動,針對差距或不足,全年梳理並經制修訂涉及物流、工藝質量、生產、成本、能源、設備等IT基礎標准文件55個,其中新增文件23個。進一步明確了崗位作業標准規范。包括相關方人員管理,規范了IT業務范圍內各項管理的職責和人員合理分工與協作。各管理、技術和作業規范均得到安全有效執行。公司《數字化工廠專項管理診斷情況通報》我廠數字化工廠建設和運行管理亮點體現在:一是數字化工廠運行的制度體系較為完善。建立了管理制度、運維辦法、崗位操作規范等三級制度體系,管理要求層層分解,呈現出規劃性強、職責明確、操作易懂等特點。二是信息化部門與業務部門聯動,建立了完善的生產數據質量保障機制。針對不同生產環節數據,明確了核對的責任崗位、職責要求,做到了生產數據的班清班結,為數據的及時、准確提供了保障。三是將二維碼新技術應用於信息化資產管理,做到了“一掃便知”資產生命周期和使用狀態。
⑶ 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其晌激關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求宴御襪。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155MPOS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。拆搏超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS(Reliability,Availability,Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
⑷ 網路需求分析該怎麼做,有哪幾步
網路規劃與需求分析
需求分析從字面上的意思來理解就是找出"需"和"求"的關系,從當前業務中找出最需要重視的方面,從已經運行的網路中找出最需要改進的地方,滿足客戶提出的各種合理要求,依據客戶要求修改已經成形的方案.
本章重點
2.1需求分析的類型
2.2如何獲得需求
2.3可行性論證
2.4工程招標與投標
2.2.1應用背景分析
應用背景需求分析概括了當前網路應用的技術背景,介紹了行業應用的方向和技術趨勢,說明本企業網路信息化的必然性.
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.1應用背景分析
應用背景需求分析要回答一些為什麼要實施網路集成的問題.
(1) 國外同行業的信息化程度以及取得哪些成效
(2) 國內同行業的信息化趨勢如何
(3) 本企業信息化的目的是什麼
(4) 本企業擬採用的信息化步驟如何
需求分析的類型
P33
2.2.2業務需求
業務需求分析的目標是明確企業的業務類型,應用系統軟體種類,以及它們對網路功能指標(如帶寬,服務質量QoS)的要求.
業務需求是企業建網中首要的環節,是進行網路規劃與設計的基本依據.
需求分析的類型
P33
2.2.2業務需求
通過業務需求分析要為以下方面提供決策依據:
(1) 需實現或改進的企業網路功能有那些
(2) 需要集成的企業應用有哪些
(3) 需要電子郵件服務嗎
(4) 需要Web服務嗎
(5) 需要上網嗎 帶寬是多少
(6) 需要視頻服務嗎
(7) 需要什麼樣的數據共享模式
(8) 需要多大的帶寬范圍
(9) 計劃投入的資金規模是多少
需求分析的類型
P33
2.2.3管理需求
網路的管理是企業建網不可或缺的方面,網路是否按照設計目標提供穩定的服務主要依靠有效的網路管理.高效的管理策略能提高網路的運營效率,建網之初就應該重視這些策略.
需求分析的類型
P34
2.2.3管理需求
網路管理的需求分析要回答以下類似的問題:
是否需要對網路進行遠程管理,遠程管理可以幫助網路管理員利用遠程式控制制軟體管理網路設備,使網管工作更方便,更高效.
誰來負責網路管理;
需要哪些管理功能,如需不需要計費,是否要為網路建立域,選擇什麼樣的域模式等;
需求分析的類型
P34
2.2.3管理需求
選擇哪個供應商的網管軟體,是否有詳細的評估;
選擇哪個供應商的網路設備,其可管理性如何;
需不需要跟蹤和分析處理網路運行信息;
將網管控制台配置在何處
是否採用了易於管理的設備和布線方式
需求分析的類型
P34
2.2.4安全性需求
企業安全性需求分析要明確以下幾點:
企業的敏感性數據的安全級別及其分布情況;
網路用戶的安全級別及其許可權;
可能存在的安全漏洞,這些漏洞對本系統的影響程度如何;
網路設備的安全功能要求;
需求分析的類型
P34
2.2.4安全性需求
網路系統軟體的安全評估;
應用系統安全要求;
採用什麼樣的殺毒軟體;
採用什麼樣的防火牆技術方案;
安全軟體系統的評估;
網路遵循的安全規范和達到的安全級別.
需求分析的類型
P34
2.2.5通信量需求
通信量需求是從網路應用出發,對當前技術條件下可以提供的網路帶寬做出評估.
需求分析的類型
P35
應用類型
基本帶寬需求
備注
PC連接
14.4kb/s~56kb/s
遠程連接,FTP,HTTP,E-mail
文件服務
100kb/s以上
區域網內文件共享,C/S應用,
B/S應用,在線游戲等絕大部分純文本應用
壓縮視頻
256kb/s以上
Mp3,rm等流媒體傳輸
非壓縮視頻
2Mb/s以上
Vod視頻點播,視頻會議等
表2-1 列舉常見應用對通信量的需求
2.2.5通信量需求
未來有沒有對高帶寬服務的要求;
需不需要寬頻接入方式,本地能夠提供的寬頻接入方式有哪些;
哪些用戶經常對網路訪問有特殊的要求 如行政人員經常要訪問OA伺服器,銷售人員經常要訪問ERP資料庫等.
哪些用戶需要經常訪問Internet 如客戶服務人員經常要收發E_mail.
哪些伺服器有較大的連接數
哪些網路設備能提供合適的帶寬且性價比較高.
需要使用什麼樣的傳輸介質.
伺服器和網路應用能夠支持負載均衡嗎
需求分析的類型
P35
2.2.6網路擴展性需求分析
網路的擴展性有兩層含義,其一是指新的部門能夠簡單地接入現有網路;其二是指新的應用能夠無縫地在現有網路上運行.
擴展性分析要明確以下指標:
(1) 企業需求的新增長點有哪些;
(2) 已有的網路設備和計算機資源有哪些
(3) 哪些設備需要淘汰,哪些設備還可以保留
(4) 網路節點和布線的預留比率是多少
(5) 哪些設備便於網路擴展
(6) 主機設備的升級性能
(7) 操作系統平台的升級性能
需求分析的類型
P35
2.2.7網路環境需求
網路環境需求是對企業的地理環境和人文布局進行實地勘察以確定網路規模,地理分劃,以便在拓撲結構設計和結構化綜合布線設計中做出決策.
網路環境需求分析需要明確下列指標:
(1) 園區內的建築群位置;
(2) 建築物內的弱電井位置,配電房位置等;
(3) 各部分辦公區的分布情況;
(4) 各工作區內的信息點數目和布線規模;
需求分析的類型
P36
2.3.1獲得需求信息的方法
1. 實地考察
實地考察是工程設計人員獲得第一手資料採用的最直接的方法,也是必需的步驟;
如何獲得需求
P36
2.3.1獲得需求信息的方法
2. 用戶訪談
用戶訪談要求工程設計人員與招標單位的負責人通過面談,電話交談,電子郵件等通訊方式以一問一答的形式獲得需求信
如何獲得需求
P36
2.3.1獲得需求信息的方法
3.問卷調查
問卷調查通常對數量較多的最終用戶提出,詢問其對將要建設的網路應用的要求.
如何獲得需求
P36
問卷調查的方式可以分為無記名問卷調查和記名問卷調查
2.3.1獲得需求信息的方法
4.向同行咨詢
將你獲得的需求分析中不涉及到商業機密的部分發布到專門討論網路相關技術的論壇或新聞組中,請同行給你參考你制定的設計說明書,這時候,你會發現熱心於你的方案的人們通常會給出許多中肯的建議
如何獲得需求
P36
2.3.2歸納整理需求信息
通過各種途徑獲取的需求信息通常是零散的,無序的,而且並非所有需求信息都是必要的或當前可以實現的,只有對當前系統總體設計有幫助的需求信息才應該保留下來,其他的僅作為參考或以後升級使用.
1.將需求信息用規范的語言表述出來
2.對需求信息列表
如何獲得需求
P38
2.3.2歸納整理需求信息
需求信息也可以用圖表來表示.圖表帶有一定的分析功能,常用的有柱圖,直方圖,折線圖和餅圖.
如何獲得需求
P39
2.4 可行性論證
需求分析所取得的資料經過整理後得到需求分析文檔,但這種需求分析文檔還需要經過論證後才能最終確定下來.參與論證活動的人員除了需求分析工作的負責人外,還要邀請其他部門的負責人,以及招標方的領導和專家.
可行性論證求
P40
2.4.1 可行性論證的目的
可行性論證是就工程的背景,意義,目的,目標,工程的功能,范圍,需求,可選擇的技術方案,設計要點,建設進度,工程組織,監理,經費等方面作出可行性驗證,指出工程建設中選擇軟硬體的依據,降低項目建設的總體風險.
提供正確選擇軟硬體系統的依據
驗證可行性,減少項目建設的總體風險
產生應用系統原型,積累必要的經驗
加強客戶,系統集成商,設備供應商之間的合作關系
降低後期實施的難度,提高客戶服務水平和滿意度
可行性論證求
P40
2.4.1 可行性論證的目的
在編寫可行性論證報告時,主要對下列項目逐條說明:
1.系統建設的目的
2.技術可行性
3.應用可行性
4.人員,資金可行性
5.設備可行性
6.安全可行性
可行性論證求
P40
2.5 工程招標與投標
為了保證網路工程的建設質量,網路建設方應該以公開招標的方式確定承建商.參與投標的承建商拿出各自的標書參與投標,其中標書的主要內容就來自於需求分析報告和可行性論證報告.
工程招投標是一個規范的網路工程必需的環節.
工程招標與投標
P41
2.5.1工程招標流程簡介
1.招標方聘請監理部門工作人員,根據需求分析階段提交的網路系統集成方案,編制網路工程標底;
2. 做好招標工作的前期准備,編制招標文件;
3. 發布招標通告或邀請函,負責對有關網路工程問題進行咨詢;
4. 接受投標單位遞送的標書;
5. 對投標單位資格,企業資質等進行審查.審查內容包括:企業注冊資金,網路系統集成工程案例,技術人員配置,各種網路代理資格屬實情況,各種網路資質證書的屬實情況.
工程招標與投標
P41
2.5.1工程招標流程簡介
6. 邀請計算機專家,網路專家組成評標委員會;
7. 開標,公開招標各方資料,准備評標;
8. 評標,邀請具有評標資質的專家參與評標,對參評方各項條件公平打分,選擇得分最高的系統集成商;
9. 中標,公告中標方,並與中標方簽訂正式工程合同.
工程招標與投標
P41
2.5.2工程招標
計算機網路工程招標的目的,是為了以公開,公平,公正的原則和方式,從眾多系統集成商中,選擇一個有合格資質,並能為用戶提供最佳性能價格比的集成商.
編制招標文件
招標
工程招標與投標
P41
2.5.3工程投標
投標人在索取,購買標書後,應該仔細閱讀標書的投標要求及投標須知.在同意並遵循招標文件的各項規定和要求的前提下,提出自己的投標文件.
編制投標文件
投標
1,遞交投標文件
2,評標
3,中標
4,簽訂合同
工程招標與投標
P41
標書內容
(1)參評方案一覽表
(2)參評方案價格表
(3)系統集成方案
(4)設備配置及參數一覽表
(5)公司有關計算機設備及備件報價一覽表
(6)從業人員及其技術資格一覽表
(7)公司情況一覽表,
(8)公司經營業績一覽表
(9)中標後服務計劃
(10)資格證明文件,及參評方案方認為需要加以說明的其他內容
(11)文檔資料清單
(12)參評方案保證金
⑸ 如何加強網路安全管理技術
一、建立健全網路和信息安全管理制度
各單位要按照網路與信息安全的有關法律、法規規定和工作要求,制定並組織實施本單位網路與信息安全管理規章制度。要明確網路與信息安全工作中的各種責任,規范計算機信息網路系統內部控制及管理制度,切實做好本單位網路與信息安全保障工作。
二、切實加強網路和信息安全管理
各單位要設立計算機信息網路系統應用管理領導小組,負責對計算機信息網路系統建設及應用、管理、維護等工作進行指導、協調、檢查、監督。要建立本單位計算機信息網路系統應用管理崗位責任制,明確主管領導,落實責任部門,各盡其職,常抓不懈,並按照「誰主管誰負責,誰運行誰負責,誰使用誰負責」的原則,切實履行好信息安全保障職責。
三、嚴格執行計算機網路使用管理規定
各單位要提高計算機網路使用安全意識,嚴禁涉密計算機連接互聯網及其他公共信息網路,嚴禁在非涉密計算機上存儲、處理涉密信息,嚴禁在涉密與非涉密計算機之間交叉使用移動存儲介質。辦公內網必須與互聯網及其他公共信息網路實行物理隔離,並強化身份鑒別、訪問控制、安全審計等技術防護措施,有效監控違規操作,嚴防違規下載涉密和敏感信息。通過互聯網電子郵箱、即時通信工具等處理、傳遞、轉發涉密和敏感信息。
四、加強網站、微信公眾平台信息發布審查監管
各單位通過門戶網站、微信公眾平台在互聯網上公開發布信息,要遵循涉密不公開、公開不涉密的原則,按照信息公開條例和有關規定,建立嚴格的審查制度。要對網站上發布的信息進行審核把關,審核內容包括:上網信息有無涉密問題;上網信息目前對外發布是否適宜;信息中的文字、數據、圖表、圖像是否准確等。未經本單位領導許可嚴禁以單位的名義在網上發布信息,嚴禁交流傳播涉密信息。堅持先審查、後公開,一事一審、全面審查。各單位網路信息發布審查工作要有領導分管、部門負責、專人實施。
嚴肅突發、敏感事(案)件的新聞報道紀律,對民族、宗教、軍事、環保、反腐、人權、計劃生育、嚴打活動、暴恐案件、自然災害,涉暴涉恐公捕大會、案件審理、非宗教教職人員、留大胡須、蒙面罩袍等敏感事(案)件的新聞稿件原則上不進行宣傳報道,如確需宣傳報道的,經縣領導同意,上報地區層層審核,經自治區黨委宣傳部審核同意後,方可按照宣傳內容做到統一口徑、統一發布,確保信息發布的時效性和嚴肅性。
五、組織開展網路和信息安全清理檢查
各單位要在近期集中開展一次網路安全清理自查工作。對辦公網路、門戶網站和微信公眾平台的安全威脅和風險進行認真分析,制定並組織實施本單位各種網路與信息安全工作計劃、工作方案,及時按照要求消除信息安全隱患。各單位要加大網路和信息安全監管檢查力度,及時發現問題、堵塞漏洞、消除隱患;要全面清查,嚴格把關,對自查中發現的問題要立即糾正,存在嚴重問題的單位要認真整改。
如何加強網路安全管理
1 制定網路安全管理方面的法律法規和政策
法律法規是一種重要的行為准則,是實現有序管理和社會公平正義的有效途徑。網路與我們的生活日益密不可分,網路環境的治理必須通過法治的方式來加以規范。世界很多國家都先後制定了網路安全管理法律法規,以期規范網路秩序和行為。國家工業和信息化部,針對我國網路通信安全問題,制訂了《通信網路安全防護管理辦法》。明確規定:網路通信機構和單位有責任對網路通信科學有效劃分,根據有可能會對網路單元遭受到的破壞程度,損害到經濟發展和社會制度建設、國家的安危和大眾利益的,有必要針對級別進行分級。電信管理部門可以針對級別劃分情況,組織相關人員進行審核評議。而執行機構,即網路通信單位要根據實際存在的問題對網路單元進行實質有效性分級。針對以上條款我們可以認識到,網路安全的保證前提必須有科學合理的管理制度和辦法。網路機系統相當於一棵大樹,樹的枝幹如果出現問題勢必影響到大樹的生長。下圖是網路域名管理分析系統示意圖。
可以看到,一級域名下面分為若干個支域名,這些支域名通過上一級域名與下一級緊密連接,並且將更低級的域名授予下級域名部門相關的權利。預防一級管理機構因為系統過於寬泛而造成管理的無的放矢。通過逐級管理下放許可權。維護網路安全的有限運轉,保證各個層類都可以在科學規范的網路系統下全面健康發展。
一些發達國家針對網路安全和運轉情況,實施了一系列管理規定,並通過法律來加強網路安全性能,這也說明了各個國家對於網路安全問題的重視。比方說加拿大出台了《消費者權利在電子商務中的規定》以及《網路保密安全法》等。亞洲某些國家也頒布過《電子郵件法》以及其他保護網路安全的法律。日本總務省還重點立法,在無線區域網方面做出了明確規定,嚴禁用戶自行接受破解網路數據和加密信息。還針對違反規定的人員制定了處罰條例措施。用法律武器保護加密信息的安全。十幾年前,日本就頒布了《個人情報法》,嚴禁網路暴力色情情況出現。在網路環境和網路網路安全問題上布防嚴謹,減小青少年犯罪問題的發生。
可以說網路安全的防護網首先就是保護網路信息安全的法律法規,網路安全問題已經成為迫在眉睫的緊要問題,每一個網路使用者都應該與計算機網路和睦相處,不利用網路做違法違規的事情,能夠做到做到自省、自警。
2 採用最先進的網路管理技術
工欲善其事,必先利其器。如果我們要保障安全穩定的網路環境,採用先進的技術的管理工具是必要的。在2011年中國最大軟體開發聯盟網站600萬用戶賬號密碼被盜,全國有名網友交流互動平台人人網500萬用戶賬號密碼被盜等多家網站出現這種網路安全慘案。最主要一個原因就是用戶資料庫依然採用老舊的明文管理方式沒有及時應用新的更加安全的管理用戶賬號方式,這點從CSDN網站用戶賬號被泄露的聲明:「CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對賬號資料庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN賬號管理功能,使用了強加密演算法,賬號資料庫從Windows Server上的SQL Server遷移到了Linux平台的MySQL資料庫,解決了CSDN賬號的各種安全性問題。」通過上面的案例,我們知道保障安全的網路應用避免災難性的損失,採用先進的網路管理與開發技術與平台是及其重要的。同時我們也要研究開發避免網路安全新方法新技術。必須達到人外有人,天外有天的境界,才能在網路安全這場保衛戰中獲得圓滿勝利。保證網路優化環境的正常運轉。
3 選擇優秀的網路管理工具
優良的網路管理工具是網路管理安全有效的根本。先進的網路管理工具能夠推動法律法規在網路管理上的真正實施,保障網路使用者的完全,並有效保證信息監管執行。
一個家庭裡面,父母和孩子離不開溝通,這就如同一個管道一樣,正面的負面都可以通過這個管道進行傳輸。網路系統也是這樣,孩子沉迷與網路的世界,在無良網站上觀看色情表演,以及玩游戲,這些都是需要藉助於網路技術和網路工具屏蔽掉的。還有些釣魚網站以及垃圾郵件和廣告,都需要藉助有效的網路信息系統的安全系統來進行處理。保障網路速度的流暢和安全。網路管理工具和軟體可以擔負起這樣的作用,現在就來看看幾款管理系統模型:
網路需求存在的差異,就對網路軟體系統提出了不同模式和版本的需求,網路使用的過程要求我們必須有一個穩定安全的網路信息系統。
網路環境的變化也給網路安全工具提出了不同的要求,要求通過有效劃分網路安全級別,網路介面必須能夠滿足不同人群的需要,尤其是網路客戶群和單一的網路客戶。在一個單位中,一般小的網路介面就能滿足公司內各個部門的需要,保障內部之間網路的流暢運行即是他們的需求,因此,如何選用一款優質的網路管理軟體和工具非常的有必要。
4 選拔合格的網路管理人員
網路管理如同一輛性能不錯的機車,但是只有技術操作精良的人才能承擔起讓它發揮良好作用的重任。先進的網路管理工具和技術,有些操作者不會用或者不擅長用,思維模式陳舊,這樣只會給網路安全帶來更多的負面效應,不能保證網路安全的穩定性,為安全運轉埋下隱患。
4.1 必須了解網路基礎知識。
總的來說,網路技術是一個計算機網路系統有效運轉的基礎。必須熟知網路計算機基礎知識,網路系統構架,網路維護和管理,內部區域網絡、有效防控網路病毒等基礎操作知識。另外,網路管理者要具備扎實的理論基礎知識和操作技能,在網路的設備、安全、管理以及實地開發應用中,要做到熟練掌握而沒有空白區域。計算機網路的維護運行,還需要網路管理人員有相應的職業資格證書,這也能夠說明管理者達到的水平。在網路需求和網路性能發揮等目標上實施有效管理。
4.2 熟悉網路安全管理條例
網路管理人員必須熟悉國家制定的相關的安全管理辦法,通過法律法規的武器來保護網路安全,作為他們工作的依據和標准,有必要也有能力為維護網路安全盡職盡責。
4.3 工作責任感要強
與普通管理崗位不同的是,網路安全問題可能隨時發生。這就給網路管理人員提出了更高更切實的要求。要具有敏銳的觀察力和快速做出決策的能力,能夠提出有效的應對辦法,把網路安全問題降到最低程度,所以網路管理人員的責任心必須要強。對於出現的問題,能在8小時以內解決,盡量不影響以後時間段的網路運轉。
⑹ 企業對網路安全的需求都有哪些
企業對安全方案的需求
早在20世紀90年代,如果企業和政府機構希望能具有競爭力,他們就必須對市場需求作出強有力的響應。這就引發了依靠互聯網來獲取和共享信息的趨勢。然而,隨著經濟狀況在近年來所發生的轉變,市場的焦點又返回到了基本的原則。目前,企業和政府領導者們都認識到,對未來增長和生產效率產生最大約束的因素就是網路安全性和可用性。
生產效率為什麼如此重要呢?生產效率的提高與營業收入的增長是直接相關的:
如果生產效率增長率為2.5%,那麼營業收入每隔三十年就能翻一番。
如果生產效率增長率為10%,那麼營業收入每隔七年就能翻一番。
近年來的經濟挑戰強調的是進一步提高生產效率進而推動未來增長,而基於互聯網的生產效率工具則取決於網路安全性和可用性。
網路的轉型
在過去,網路大多是封閉式的,因此比較容易確保其安全性。那時的安全性是取決於周邊環境的,因為網路本身是一個靜態的環境。周邊環境是很容易定義的,網路智能是不需要的,而簡單的安全性設備足以承擔封堵安全性漏洞的任務。
然而,網路已經發生了變化,時至今日,確保網路安全性和可用性已經成為更加復雜的任務。市場對於網路支持居家辦公方式、分支機構連通性、無線移動性和新的企業到企業戰略的需求不斷增加,現代的網路周邊環境的封閉性已經被打破。在今天的情況下,用戶每一次連接到網路之後,原有的安全狀況就會發生變化。所以,很多企業頻繁地成為網路犯罪的犧牲品,因為他們的業務不斷增長,目前所使用的針對早期、不很復雜的網路而設計的安全設備都已經無能為力了。
目前市場中所部署的多數安全解決方案都要求客戶將安全功能與聯網戰略分離開來,這樣才能應用不能識別網路的、不是針對與網路服務合作而設計的工具。這就使得此類網路極其脆弱,在現代黑客所發起的狡猾的攻擊面前不堪一擊。
泛濫成災的互聯網攻擊
發動毀滅性網路攻擊並不困難。有很多種攻擊工具都可以很容易地從互聯網上找到和下載。網路攻擊的次數在迅速增多。據聯邦調查局(FBI)統計,70%的安全犯罪都是由內部人員實施的。(然而,近期證據還表明,外部攻擊的次數也在增多。)
考慮到業務的損失和生產效率的下降, 以及排除故障和修復損壞設備所導致的額外開支等方面,對網路安全的破壞可以是毀滅性的。此外,嚴重的安全性攻擊還可導致企業的公眾形象的破壞、法律上的責任、乃至客戶信心的喪失,並進而造成無法估量的成本損失。
隱私權與安全性立法對行業的影響
目前(美國)在醫療保健(HIPAA)、金融服務(GLBA)和零售(在線隱私權法案)等某些行業中,強制實施隱私權和安全性的聯邦法案和相關規定已經作為法律頒布實行。HIPAA就是"醫療保險可移植性與可信度法案",到2003年4月,該法案中所規定的機構都必須遵守隱私權法規。該法案中所包括的機構應該以下列方式開始自己的HIPAA規劃過程:進行網路安全性分析(如思科公司所提供的安全性狀況評估)並進行隱私權與商業策略差距分析(思科公司生態系統合作夥伴可以提供)。
⑺ 如何加強企業網路安全管理
導語:如何加強企業網路安全管理?提供基於WEB的管理方法,管理員可以通過瀏覽器進行系統管理。用戶與計算機設備綁定,同時使用USB-KEY身份認證技術,每個用戶依據配置的策略進行操作,即使“管理員不在場”也不會發生違規操作和竊、泄密事故。
1. 統一操作系統,及時打上補丁,定期掃描計算機網路安全漏洞。
單位聯網計算機的所有操作必須依靠計算機操作系統,而操作系統先天不足的安全性是我們大家共知的,如果操作系統沒有及時打補丁,就有可能帶來病毒感染和被黑 客攻擊。因為網路安全維護是每天必須要做的工作,並不是說網路設備、伺服器配置好了就絕對安全了,操作系統和一些軟體的漏洞是不斷被發現的,比如沖擊波、 震盪波病毒就是利用系統漏洞,所以我們要及時的給操作系統打補丁。及時了解網路安全和病毒的各種最新信息,升級系統、查殺病毒,下載安裝安全補丁,是解決 問題的基本途徑。為此我們下載了操作系統的所有已知的補丁,共享在文件伺服器是上,並通知計算機使用人員,讓他們經常去檢查自己所用計算機的漏洞,並及時 打上相應地補丁. 另外設置好管理員的帳號和許可權,對用戶的使用許可權加強限制,加強密碼設置。
2. 安裝具有防禦功能的防火牆,擋住外來侵犯
單位如果上了互聯網就應該安裝防火牆來對內外通道加強管理。防火牆是在放在內外網之間的一個網路設備,防火牆的主要作用是內外網之間的屏障,其次是判斷來源 IP,將危險或未經授權的IP數據拒之於系統之外,而只讓安全的IP數據通過,最大限度地阻止網路中的黑客來訪問你的網路,更進一步預防了植入、刪除和破 壞等現象。
3. 安裝企業版殺毒軟體,及時更新病毒庫,每天全網掃描病毒,讓病毒無處可存在系統安全性方面有2個主要問題,一是病毒對於網路的威脅,二是黑客對於網路的破壞和侵入。
大多數單位都不注意網路安全管理方面的資金投入,很多人都認為只要在內部網與互聯網之間放一個防火牆就萬事大吉,有些單位甚至無牆而直接連接互聯網,這就給 病毒和黑客的侵入敞開了大門。 我們單位與上面的情況一樣,自2003年來,以“蠕蟲”、“沖擊波”、“震盪波”等病毒的連續性爆發為起點,至2006年的熊貓病毒光臨等諸多事件在我單 位網路中頻繁發生,致使單位的計算機網路系統大面積的癱瘓,導致數據資源丟失。針對種種病毒,我們安裝了企業版殺毒軟體RISING,及時地更新病毒庫, 每天定時查殺區域網內計算機病毒,有效的限制了病毒的蔓延。
4.制定了嚴格的網路管理制度,規范上網行為
大家談到網路安全,首先想到的 是病毒,黑客入侵等罪魁禍首,然而單位內部人員有意無意的上網行為造成的影響,也是不容忽視的因素。單位花巨資建設信息化設施,其目的是提高辦公效率,創 造效益;然而,計算機操作的多樣性、隱蔽性、豐富性和趣味性導致我們的員工的網路行為無法自律,形成了大量的不規范網路行為。因此我們單位制定了嚴格的網 絡安全操作管理制度、明確了職工對網路的安全職責,採取了嚴厲的懲罰手段,對那些違反網路安全操作管理制度的行為採取有效的、徹底的控制,從規范了職工的 上網行為。
5. 購置內網行為管理軟體和網路流量分析軟體,加強網路安全管理
網路管理不是線路接通就行了,要有統一的管理和預防措施。我們 安裝了內網行為管理軟體和網路流量分析軟體兩款軟體,加強對網路交換機、路由器和防火牆和計算機進行監控和管理,做到了網路故障及時定位、立即分析以及馬 上排除。避免了單位網路處在一個開放的狀態,設置了有效的安全預警手段和防範措施。加強了上網的有效監控和日誌,上網用戶的身份必須統一識別,排除存在的 安全隱患。利用時時檢測和掃描軟體區域網所有共享資源進行了安全性檢查,發現並糾正了存在的問題。監控工作范圍內的網路信息內容。通過專人對單位電子郵 件、個人工作期間接收的電子郵件、以及上網訪問資源進行嚴格的監控。
2.1防火牆控制
防火牆技術是一種保護計算機網路安全的一種技術性措施,它是用來阻止非法用戶訪問網路的屏障。它負責的是兩個網路之間執行控制策略的系統,對外部沒有經過允許的用戶進行限制訪問,並且通過建立起的網路通信監控系統上來負責隔離外部網路和內部網路,阻擋外部網路的侵入,並且防止沒有經過授權用戶的惡意攻擊。
2.2 優化網路拓撲結構
在諸多企業當中,在進行企業網路平台的搭建的時候不是按照企業自身的特點出發,而是簡單的對一台交換機的下面連接幾台計算機和交換機。這樣隨著企業規模的不斷擴大,企業的網路的通信量會隨著主機的數量和數據不斷的增長,將會導致網路性能以及網路故障的下降。
因此,企業要根據自身管理的特點和需求,對網路進行科學合理的配置和分析,讓企業的網路硬體投資性價比得到最大化,使應用系統最大的性能。進行網路優化的方式有很多,如:真滴企業各個部門現擁有的網路應用的不同,把網路劃分為不同的Vlan,在交換機上面通過軟體把整個企業的內部網路都劃分為不同大小的子網,使每個子網Vlan都成為一個單獨的'廣播域。進行Vlan劃分的好處主要有:限制特定用戶的訪問范圍,使網路的性能增加;限制廣播組的位置和大小,控制網路內部廣播風暴的發生;對網路的管理能力再加強。劃分Vlan對於網路用戶來說是完全透明的,用戶能和交換式的網路一樣使用,但是對於網路的管理人員又很大的不同。此外,通過設定交換機埠的配置代理以及數據流量和novell伺服器等方式對網路進行優化。
2.3 建立完善的規章制度
一個企業的內部計算機網路安全管理如果沒有制定一個良好的規章制度,會給網路管理工作造成責權不明以及工作的混亂等,影響網路的正常運行。因此,要按照相關的標准來制定出具有合理性、可行性以及全面性的規章制度,這是保證企業內部計算機網路安全的重要基礎,也能夠使網路管理人員依法辦事和依規辦事。在制定製度的時候要依照網路設備的采購、選型以及修養制度和信息系統的使用規范、計算機操作管理制度,以及機房管理制度和使用管理制度等等。雖然目前有很多企業都制定的有自己的計算機網路安全管理制度,但是嚴格執行的企業不多。雖說規章制度的建立並不能夠完全保證企業計算機網路安全的管理,但是正確的實施規章制度才能使其發揮作用。
2.4 加強企業內部計算機網路的管理能力
目前,有很多企業對企業內部計算機網路安全管理的管理方式還是全人工的管理方式。但是面對網路速度慢和網路中計算機病毒泛濫等一些問題,企業的網路管理人員都是忙於處理各種各樣的故障,總是治標不治本,沒有真正找到整體結構的瓶頸。但是通過網路管理軟體來進行管理,就可以使整個網路的監控和管理有條不紊的運行,全面的掌握網路中的系統、流量以及資料庫和每台計算機的運行情況,發現問題及時進行處理,可以快速的對存在的故障進行定位。這樣可以減輕網路管理人員的工作強度,並且提高網路管理工作的效率,還可以加強對網路的監控和管理能力,網路安全、高效的運行。
⑻ 網路安全管理平台一般包含什麼功能,哪家的產品比較完善
網路安全管理平台團腔物簡稱為SOC,每個安全廠商的叫法不一樣。
功圓滲能:資產、事件處理、規則、威脅分析等,基本功能都差不多。
沒有哪家產品比較完善,每家都有優點跟缺點,看您的塌液需求更關注在哪裡,然後來選擇產品,現在基本產品都可以根據甲方需求進行開發的。
⑼ 安全運維管理如何保障企業IT系統正常運轉
在這種極度復雜的情況下,需要的是一個單一的、集成的解決方案,使得企業能夠收集、關聯和管理來自異類源的大量安全事件,實時監控和做出響應,需要的是能夠輕松適應環境增長和變化的解決方案,需要的就是企業完整的安全管理平台解決方案。局敗
但同時也存在另一方面的難題,僅依賴於某些安全產品,不可能有效地保護自己的整體網路安全,信息安全作為一個整體,需要把安全過程中的有關各方如各層次的安全產品、分支機構、運營網路、客戶等納入一個緊密的統一安全管理平台中,才能有效地保障企業的網路安全和保護信息投資,信息安全管理水平的高低不是單一的安全產品的比較,也不是應用安全產品的多少和時間的比較,而是組織的整體的安全管理平台效率間的比較。 完整的IT運維管理系統中必須要包含安全運維管理,通過建立網路安全運維管理系統,將網路安全日常運維管理各業務功能整合在一個統一的平台進行管理。 企業外網的安全運維管理 企業通過Internet網提供Web網站、郵件、FTP、視頻服務等應用,這是目前很多企業網路應用中都必須要解決安全方面的一個共同問題。 防火牆是長期以來保障網路安全最常用的工具,自然也是企業網路安全保護的一項重要措施。採用防火牆技術對於企業來說無疑是最佳的選擇,防火牆設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部配培件的組合。它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網路內部的信息、結構和運行狀況, 以此來實現網路的安全保護。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網路的安全。防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。 對於Web網站安全來說,首先是Web伺服器的安全,一般用來架構web網站的UNIX系統,Linux系統,Windows系統,總的來說UNIX系統的Web站點的安全性較好、其次是Linux系統、目前被黑客和病毒攻擊最多的是Windows,因此在企業經濟條件允許的條件下,架構在AIX、Solaris以及HP-UNIX等UNIX系統平台上web伺服器的安全性是首選。當然無論選擇何種操作系統,系統補丁都要及時安裝,只是Web網站最基本的條件。其次是採用web伺服器軟體的安全如IIS、Apache、Tomcat的安全配置,採用ASP/ASP.NET、PHP和JSP動態技術開發網站程序的安全,後台資料庫系統的安全也是保證網站安全的重要因素。 虛擬專用網(VPN)是通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接,是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於不斷增長的移動用戶的全球網際網路接入,以實現安全連接;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。 通過「安全郵件網關」有效地從網路層到應用層保護郵件伺服器不受各種形式的網路攻擊,同時為郵件用戶提供:屏蔽垃圾郵件、查殺電子郵件病毒(包括附件和壓縮文件)和實現郵件內容過濾(包括各種附件中的內容)等功能。採用基於內容過濾、實現查殺病毒和防範垃圾郵件的產品,大大提高了防範的准確率,垃圾郵件過濾率最高可達98%。 上面是企業外網安全運維管理所採用的安全產品與策略,以及一些安全措施。主要是保證網路和業務應用的正常、安全與穩定的運行,但從實際操作運行來看,特別是從目前的蠕蟲、病毒、木馬、僵屍網路、垃圾郵件等比較猖獗的情況下,通過安全產品和安全策略能抵擋一些,但還是顯得「力不從心」,得不到人們想像的「預期效果」。 企業內網的安全運維管理 這里的內網主要是指企業的內部區域網。隨著企業ERP、OA、CRM等生產和辦公系統的普及,單位的日程運轉對內部信息網路的依賴程度越來越高,內網信息網路已經成了各個單位的生命線,對內網穩定性、可靠性和可控培臘唯性提出高度的要求。內部信息網路由大量的終端、伺服器和網路設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網路的癱瘓,對內網各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。 相對於內網安全概念,傳統意義上的網路安全更加為人所熟知和理解,事實上,從本質來說,傳統網路安全考慮的是防範外網對內網的攻擊,即可以說是外網安全,包括傳統的防火牆、入侵檢察系統和VPN都是基於這種思路設計和考慮的。外網安全的威脅模型假設內部網路都是安全可信的,威脅都來自於外部網路,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網路邊界處的安全控制措施做好,就可以確保整個網路的安全。 而內網安全的威脅模型與外網安全模型相比,更加全面和細致,它即假設內網網路中的任何一個終端、用戶和網路都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何一個節點上。所以,在內網安全的威脅模型下,需要對內部網路中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的內網。由此可見,相比於外網安全,內網安全具有:要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;要求建立更加細粒度的安全控制措施,對計算機終端、伺服器、網路和使用者都進行更加具有針對性的管理等特點。 外網安全主要防範外部入侵或者外部非法流量訪問,技術上也以防火牆、入侵檢測等防禦角度出發的技術為主。內網在安全管理上比外網要細得多,同時技術上內網安全通常採用的是加固技術,比如設置訪問控制、身份管理等。當然造成內網不安全的因素很多,但歸結起來不外乎兩個方面:管理和技術。 由於內網的信息傳輸採用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用可管理的安全交換機,利用網路分段及VLAN的方法從物理上或邏輯上隔離網路資源,以加強內網的安全性。從終端用戶的程序到伺服器應用服務、以及網路安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,並建立和實施有效的用戶口令和訪問控制等制度。為了維護企業內網的安全,必須對重要資料進行備份,對數據的保護來說,選擇功能完善、使用靈活的備份軟體是必不可少的。目前應用中的備份軟體是比較多的,配合各種災難恢復軟體,可以較為全面地保護數據的安全。 在內網考慮防病毒時,防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網路層、郵件客戶端進行實時監控,防止病毒入侵;防病毒軟體應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護。由於內部區域網一般都是通過防火牆實現與互聯網的邏輯隔離,因此通過對防火牆的NAT地址轉換,終端PC機的IP/MAC地址綁定以及安全策略的實現內網安全。區域網內的PC機操作系統、應用軟體以及防病毒、軟體的補丁與升級、正版軟體的使用等也是影響內網安全的重要方面。 採用上網行為管理系統軟體,實現網站訪問限制、網頁內容過濾、即時通工具過濾、IP地址綁定、IP訪問控制等功能,為內網的用戶實現了高度智能化的上網行為管理,全面保障企業關鍵應用的正常運行。應該以動態的方式積極主動應用來自內網安全的挑戰,建立健全的內網安全管理制度及措施是保障內網安全必不可少的措施。 因此,企業內網的安全運維管理需要一個整體一致的內網安全體系,包括身份認證、授權管理、數據保密和監控審計等方面,並且,這些方面應該是緊密結合、相互聯動的統一平台,才能達到構建可信、可控和可管理的安全內網的效果。企業用戶內網安全管理制度、整體一致的內網安全解決方案和體系建設將成為內網安全的主要發展趨勢。 企業網管系統中是否需要安全運維管理 隨著企業網路應用和規模的不斷增加,網路管理工作越來越繁重,網路故障也頻頻出現:不了解網路運行狀況,系統出現瓶頸;當系統出現故障後,不能及時發現、診斷;網路設備眾多,配置管理非常復雜;網路安全受到威脅,現在企業可能會考慮購買網管軟體來加強網路管理,以優化現有網路性能,網管軟體系統已經變成企業不可缺少的一項功能。 目前網管系統開發商針對不同的管理內容開發相應的管理軟體,形成了多個網路管理方面。目前主要的幾個發展方面有:網管系統(NMS)、應用性能管理(APM)、應用性能管理、桌面管理(DMI)、員工行為管理(EAM)、安全管理。當然傳統網路管理模型中的資產管理,故障管理仍然是熱門的管理課題。越來越多的業務將進入網路管理的監控范圍,對於業務的監控的細分化,都將成為今後的網路管理系統完善的重點。 安全運維管理在企業IT 系統中的應用 1、安全管理平台及其應用 企業的網路存在著各種風險,如何保證網路安全有序運行成為用戶最為關心的問題。當企業的網路工程師面對大量的網路數據時,他需要的明確的思路、清晰的條理、實際可操作的依據,征對以上這些困惑,Broada安全管理平台(簡稱Broada SOC)集中對安全威脅進行檢測和響應,使網路工程師能獲取最新的安全信息,通過強大的實時故障處理、安全威脅響功能,進而查看企業IT系統的安全狀況視圖,從而整理出切實有企業有用的數據信息,提高安全管理效率,降低總成本並提高投資回報率。 下圖是Broada S0C系統功能架構圖,通過對防火牆、IDS等設備數據信息採集,能實時收集信息,然後通過事件處理中心,運行其獨特的數據挖掘和關聯技術能力,迅速識別出關鍵事件,自動做出響應,最大化地減少攻擊對網路產生影響;同時強大的知識庫也可以集成各種故障處理事件,網路工程師依據知識庫所提供的幫助就能解決大部分的網路故障問題,有效減少了宕機時間,確保了運行效率,在此基礎上能提供企業安全趨勢分析,使網路工程帥能輕鬆了解各種風險並採取明知決策。 2、桌面安全管理及其應用 目前網路的另一大難題就是,企業網路規模的日益擴大,單純手工操作已無法滿足系統的需要,企業所需要的是能統一對內網所有PC機、伺服器進行操作管理的IT運維平台,於是桌面終端安全管理系統的誕生就顯得相當必要了,它主要實現兩大功能:省去網路工程師大部分手工操作的時間,提高IT服務部門的工作效率;對員工的行為操作做審計規范,從網路參與者方面保障了網路安全。 下圖是Broadaview廣通桌面安全管理軟體的功能示意圖,可以看到目前企業所亟需用到的網路管理功能都一應俱全。軟體分發、補丁管理、遠程維護等功能非常方便網路工程師對整個企業網進行更新維護,同時可以通過事件報警器及時發現故障,幫助員工解決軟硬體難題;桌面安全評估、非法外連監控、IT資產管理則能從安全性上保障企業網的良好運行,能有效防止企業機密外泄、IT資產流失、非法外連導致內網中病毒等情況的出現。 3、安全應用案例 杭州市民卡項目總投資1.2億,是「數字杭州」的重點工程之一;旨在建立高效、便捷的公共服務體系。該系統分為兩大部分:一是市民基礎信息交換平台和基礎信息資源的建設、管理與維護、市民卡的發行和日常管理、市民卡服務網點的管理等工作;二是市民卡的各種應用,如,以社會保障為代表的政府應用;以電子錢包為代表的電子支付應用;以城市交通為代表的公用事業應用等。 整個市民卡項目系統的主要由數據中心、交換平台和服務網路三部分組成。數據中心部分環境已有設備包括小型機、台式PC伺服器、磁帶庫等,此外還包括資料庫管理系統、中間件、備份管理系統等幾部分數據系統。交換平台部分環境主要由消息中間件、部門交換前置機和遍布全市的服務網點系統組成。交換網路鏈路為租用的網通VPN網路。 為了保障整個系統正常、高效和穩定地運行,杭州市信息化辦公室在充分調研了目前市場上可選的網管系統產品的基礎上,通過公開招投標方式嚴格甄選,從穩定性、易用性、靈活性等方面進行了細致的考察,並從研發能力、核心技術、技術支持等方面進行了評估,最終決定採用廣通信達公司的Broadview網路監控平台軟體產品作為「杭州市民卡系統及網路管理系統」的主要支撐系統。 Broadview軟體系統部署在一台PC伺服器上,為杭州市民卡項目提供了一站式全方位的IT管理解決方案。 Broadview網路監控平台可以實時監控網路狀況,掌控PC機伺服器的性能數據,並深入到應用層對資料庫、Web服務、Email服務監測,查看其運行健康度;強大的拓撲功能,能很快發現全網設備,讓網路工程師直觀明確全網的運行支撐資源,然後展現成網路拓撲圖,並能單獨提供每一設備的詳細資料及運行情況,方便監控重要設備的運轉;網路工程師還需要做的一件事情就是向信息中心領導匯報IT投資情況,在Broadview網路監控平台的幫助下,哪台設備出現故障,現用資金用於何種設備都能一一明確,可以說完全能給網路工程師提供IT投資依據,從而在硬體上保障整個杭州市民卡系統的良好運轉。 廣通信達Broadview平台採用面向運維服務的層次化系統架構,結構清晰,可擴展性強。系統具備全面的網路監測和健全的業務管理功能,內置多種監測器,支持主流操作系統的伺服器、多廠家的各種網路設備、存儲系統等。同時Broadview系統採用高度模塊化設計,提供開放的API介面和高效的二次開發服務,方便地滿足了市民卡各種個性化需求。 杭州市民卡網管工程運行以來,網路管理人員通過Broadview網路、業務拓撲圖就可以實時監測市民卡網路運行狀況、業務服務質量,並可通過Email、手機簡訊等多種方式及時接收報警,通過運維平台協同處理告警,大大縮短了發現和解決故障的時間,有效保障了網路的持續、穩定、高效運行,同時也大大降低了市民卡IT系統管理的運維成本。 三分技術,七分管理 總而言之,對於企業安全運維管理來說,三分技術,七分管理,在企業內部建立一套完善的安全管理規章制度,使管理機構依據相應的管理制度和管理流程對日常操作、運行維護、審計監督、文檔管理等進行統一管理,同時加強對工作人員的安全知識和安全操作培訓,建立統一的安全管理體系,幫助企業識別、管理和減少信息通常所面臨的各種威脅,架構企業的安全保障體系。
⑽ 網路安全有哪些需求
計算機網路安全措施 計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,