時間:2023-09-14 17:44:14
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全管理保障方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
電視臺給予網絡安全相當高的重視程度,是因為電視節目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網絡信息極其關鍵,它掌控電視臺的存亡。要使電視節目安全播出,電視臺網絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質量的提高往往會依靠計算機技術,然而,計算機技術的網絡風險極大,信息容易外泄或遭受竊取。隨著時代的發展,電視臺網絡安全遇到了極大的挑戰和機遇,提高網絡的安全性義不容緩,網絡安全建設是一個龐大的建設。
2電視臺網絡安全的重要性以及網絡安全的問題
2.1電視臺網絡安全的重要性。在廣播電視臺的發展中,互聯網與信息技術是必不可少的。然而,互聯網的快速發展以及信息技術的迅速提升使之出現了網絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網絡安全高度重視,了解其重要性。第一,電視臺網絡安全是數據信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網絡安全為基礎,提高互聯網應用能力也以網絡安全為保障。第三,網絡安全的穩定,電視臺的信息與數據才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網絡安全,推動電視臺與廣播的發展。2.2電視臺網絡安全的問題。電視臺網絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網絡硬件系統中占有重要地位的信息系統硬件在保護網絡安全和信息安全的過程中起到了主要的作用。然而,現如今大多數信息系統硬件的安全系數較低,存在著極大的安全隱患。一些只為了追求網絡信息的數量,而忽略了信息建設是否安全,導致許多地方的網絡技術沒有人監管,而給病毒有了可乘之機,使得病毒在網絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網絡安全受到嚴峻的挑戰。其次,物理運行環境的好壞也影響著網絡安全的問題。如果計算機在惡劣的物理環境下運行,比如在發生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發生故障。
3電視臺網絡安全解決對策
3.1加強網絡安全技術。第一,設置防火墻。防火墻是保障網絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網絡,能提高電視臺網絡防御能力,確保電視臺信息數據得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據當地電視臺的實際情況安裝相適應的防毒軟件,能有效地加強網絡的安全性,防止病毒入侵摧毀網絡系統設備。第三,使用密碼技術。在如今信息傳輸和數據通信的時代下,密碼技術是不可缺少的。密碼技術能有效地防御信息外泄,保護網絡的安全。密碼技術對數據信息進行加密,運用信息解密和加密數據的方法來保障數據信息的安全。因此,廣播電視臺應對密碼技術重視起來,引進密碼技術并靈活地使用密碼技術于處理電視臺信息數據的過程中。3.2進行網絡安全檢測。在發送網絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監察以保障網絡系統的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數據來源范圍大,而這就會導致電視臺網絡安全受到威脅。為了數據信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環境中,加強電視臺的網絡安全。3.3建立虛擬專有網絡。擁有優越的技術,促進虛擬專有網絡的發展。虛擬專有網絡在電視臺網絡安全發展中起到了一個重要的作用。現實網絡在虛擬專有網絡的掩護和保護之下,能夠有效地提高電視臺網絡的安全性,減少網絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網絡安全的管理工作非常重要,強大的安全管理能極大提高網絡的安全性。物理層面的安全管理是物理層面的網絡安全問題的必經之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網絡安全需求,使電視臺網絡安全得到提升。管理水平的高低也給廣播電視臺網絡安全帶來不同的影響。因此,建立一支高素質、懂技術、善于管理的員工隊伍是極其重要的。對外引進人才,對內加強崗位、員工培訓,適當激勵員工發展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網絡安全不僅僅只是為了宣傳系統,還為造福百姓而努力著。但改造有線電視網絡安全以及整體轉換數字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環境。轉換數字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經濟上一并支持,才能有利于電視臺網絡安全的發展。
4總結
總而言之,新時代電視臺的網絡安全不容忽視。由于網絡信息數量增長迅速和快速的信息傳播速度,電視臺網絡安全受到威脅是不可避免的。電視臺的節目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網絡安全的重要性和嚴峻性,加強網絡安全技術,采取相關的網絡安全解決對策,推動新時代電視臺網絡安全的發展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業務網絡網間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術解決方案研究[J].網絡安全技術與應用,2015(4):138-139.
[4]程琦.計算機網絡信息安全影響因素與防范解析[J].網絡安全技術與應用,2016(2):6.
信息安全問題與互聯網的發展相伴相生,在網絡時代,我們一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要應對信息泄露的風險。在醫院的內部管理中,信息化建設已經成為一股不可逆轉的發展趨勢,因此,醫院要想利用互聯網提高管理效率,優化醫療衛生服務,就應該正視網絡體系構建中存在的安全問題,并構建嚴密可行的管理措施,防范網絡安全風險,讓醫療信息、管理信息能夠更好地服務于患者,確保醫院的有效運行。
2醫院網絡安全體系構建中存在的問題
雖然網絡體系的構建是醫院信息化管理的必要環節,但是其在安全風險防范方面卻依舊漏洞百出,使得醫院的網絡安全體系建設形同虛設,難以充分發揮其風險控制與防范的實際效果。具體來講,醫院網絡安全體系構建中存在的問題如下:第一,醫院內部系統對數據的收集與應用效果并不理想,目前多數醫院對于網絡系統的建設還處于起步階段,許多數據的收集并不完整,例如電子病歷的形成尚處于“模板+標簽”階段,缺乏專業化處理,影響了數據傳輸與共享效果,各部門之間的信息溝通不暢,“信息孤島”的狀況沒有被完全打破。第二,網絡安全規劃缺乏投入,對信息安全的預期投入嚴重不足,雖然信息安全問題是醫院網絡信息系統構建的關鍵,但是從整體上來看,相關部門對于信息安全體系的構建并不積極,例如在硬件投入中缺乏預算支持,使得硬件設備一旦出現損毀就會造成大量醫療衛生信息的丟失;對軟件技術的應用不到位,防火墻、加密系統的建立存在漏洞;各部門對于安全系統的認識存在偏見,在某一科室出現網絡安全問題的時候則相互推諉,缺乏有效的追責與監督。第三,網絡安全體系構建與實現的方案缺乏有效的落實,任何網絡安全問題在沒有爆發前往往都顯得不那么重要,醫院在網絡安全體系建設中也存在這種僥幸,對安全規劃的設計頭頭是道,但是到了具體的落實階段卻又推三阻四,影響了網絡安全體系建設工作的實效性。
3醫院網絡安全體系構建與實現的相關對策
醫院網絡安全體系的構建與實現需要從硬件設備、軟件系統、組織管理者三個方面入手。
3.1硬件設備安全的構建與實現
根據信息化管理的技術需要,醫院的硬件設備安全管理主要包括以下內容:第一,網絡布線。對于醫院的信息化建設而言,網絡布線不僅影響著系統的信息傳遞速度,更關系著信息溝通的安全,因此,相關技術人員應采取內外網物理斷開的方法,對醫院網絡系統進行科學布線;考慮到信息安全,對于各樓宇的主干線可以采用光纖和備份光纖相結合的方式;在連接客戶端的時候,應做好屏蔽處理,及時排除干擾源,保證信號強度,以及信息數據傳遞的有效性和完整性。第二,根據《電子信息系統機房設計規范》做好對機房的設計,如根據“電子信息系統機房的耐火等級不能低于2級”等規定做好防火安全管理;根據“主機房氣流組織、風口及送回風溫差”的相關數據做好防潮工作等,確保主機房能夠充分發揮信息存儲與傳輸的功能。第三,服務器、交換機的數據安全,在醫院網絡安全系統構建中,技術人員應對關鍵設備的基本性能以及冗余做好分析,并確保系統能時刻運行。為避免停電故障造成信息丟失,醫院的服務器應采用不間斷電源,并在出現安全故障的時候,自動接入另一個服務器完成信息備份,從而做好“雙保險”,提高網絡系統運行的持續性和安全性。
3.2軟件安全系統的構建與實現
在網絡安全系統構建中,系統軟件可以通過與硬件設備的交互作用,實現對系統的控制與調度,并連接網絡,實現信息的傳輸與存儲。因此,醫院在網絡安全系統構建與實現中,應該不斷完善軟件系統,從而確保信息數據的安全。醫院在軟件安全系統的構建與實現上可以從以下幾個方面入手:第一,設置安全口令。軟件系統的登錄應控制開放程度,利用安全口令對訪問者的身份進行確定,在使用軟件系統的過程中,口令的設置也應該提高安全系數,避免使用缺省值,保證長度不少于八位,且內容包含字母和數字及至少包含兩個特殊字符。此外,為進一步確保軟件系統的安全,相關部門的操作人員應對安全口令進行定期更換,提高被破譯的難度。第二,安裝殺毒軟件。在醫院的網絡系統建設中,內外網的完全物理隔離是不可能的,只要存在接入外網的機會,病毒就會見縫插針對網絡系統進行攻擊。針對此,醫院在網絡安全系統構建中應該要求客戶機及服務器安裝殺毒軟件,利用軟件對病毒進行甄別與抵御,及時檢測違規操作,并對高風險行為做出提示,控制病毒對網絡系統的威脅。第三,應用防火墻。目前一些軟件公司在技術研發中,對防火墻的設計更加嚴謹,醫院在網絡安全系統建設中,應利用方便、快捷的防火墻進行定期掃描,及時檢測出危險信息,控制惡意腳本在目標計算機上的執行過程,避免外網攻擊的入侵,以及信息的泄露。第四,加強對工作站的安全管理。各個工作站在使用系統的過程中,都應該利用賬號、用戶權限、網絡訪問以及文件訪問等實行嚴格管理程序規范進行安全控制,嚴格監控光驅、軟驅,USB接口等外來信息的接入,提高安全管理效果。
3.3組織機構的構建與實現
在醫院的網絡安全保障系統建設中,工作人員是落實安全措施、執行安全方案的主體。再高端的硬件設備、再完善的軟件系統都需要人的操作來發揮作用。因此,醫院在網絡安全保障體系的建設中,應該將人的因素納入其中,并確定、尊重其主體地位,利用安全管理制度,提高工作人員構建網絡安全保障體系的能力。具體來講:第一,建立一支強有力的安全管理小組,體現組織管理效果,并在管理小組內部做好明確分工,確保一旦出現安全問題能夠迅速做出反應。第二,完善安全制度建設,對于醫院網絡安全管理人員而言,制度建設是規范其安全行為,提高安全方案執行效果的關鍵,因此醫院應該從多方面做出安全規定,明確管理細則,推動安全管理人員工作的有序開展。第三,規范內部人員網絡操作,根據信息安全問題的調查顯示,操作者的不規范操作是造成病毒入侵,信息泄露的主要問題。因此,在組織管理中,醫院應對內部人員的違規操作進行嚴格控制。第四,做好應急預案的制定與演練,對出現的信息安全問題應做好各部門的聯動,提高應急能力,及時止損。
4結束語
總之,進入到互聯網時代,信息化已經成為醫院內部管理創新的基本思路,信息化的實現需要網路系統的支持,但是在網絡系統構建的過程中,無處不在的安全問題使得醫院的信息化建設舉步維艱。針對此,醫院應該從網絡安全系統的建設要點出發,增加對硬件設備的投入,做好軟件系統的技術應用,加強組織管理建設,進而完成醫院的網絡安全體系構建與實現。
參考文獻:
[1]張寶偉.醫院網絡安全體系構建及實現方式分析[J].網絡安全技術與應用,2018.
一、學校網絡與信息安全工作情況
本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(含網站)日常安全管理
學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3、信息系統(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。
2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。
網絡安全已成為全球IT界共同關注的重點問題之一。在中國,其已經顯現出了強勁的增長勢頭。2006年安全整體解決方案將成為用戶的突出需求,單純的網絡安全硬件產品已經不能滿足用戶需求,而整體安全解決方案將成為用戶的首選,這是市場發展的大勢所趨。
東軟以軟件與解決方案起家,其核心產品線網絡安全產品也是行業的領軍品牌。今年東軟推出“安全魔方---因需而變 因御而安”的新理念。同時了NetEye SOC(安全運維平臺)、NetEye IPS(入侵防御系統)和Ntars(異常流量分析與響應系統)等3款網絡安全管理新產品。面對高端用戶,每個行業的特點不同,系統數據的安全保障需求也不同。因此,定制安全管理產品已經成為了一種趨勢。
“安全魔方”之管理三維度
東軟推出的網絡安全“安全魔方”整體解決方案,構建了三個管理維度。首先是技術與產品維度,東軟網絡安全產品分為網關類(G類)包括:防火墻、UTM、IPS、WAP等產品。管理類(M類)包含有SOC、VDS、IDS、ESM等產品。組件類(C類)包含有硬件加密卡、NP芯片、ASIC芯片三大類,共14種核心產品。同時,先后設計出了NSF、NEL、NSKB、ICA、FPGA等信息安全產品中的核心部件與關鍵技術。融合東軟在金融、電信、電力、政府等行業深厚的信息技術服務經驗以及對客戶信息系統的應用和安全風險的深入理解。可為客戶提供巨大的安全增值服務。同時可以滿足高端用戶定制化開發的安全產品的需求。在過程與方法維度,從行業應用、知識應用、過程管理和方法學上全面展示出東軟的技術優勢;而在服務與支持維度則是更多的調用了東軟自身的資源,從客戶層面、業務層面、實施層面、支持層面可以全面及時的為客戶提供更為便捷的、務實高效的服務。從而為東軟的用戶提供從咨詢規劃、風險評估到安全加固、知識培訓、安全通告、漏洞測試、應急響應的全方位服務,同時也有效的將眾多合作伙伴的服務產品結合進來加強東軟的綜合服務能力。
“安全魔方”之防護三層面
東軟推出的網絡安全“安全魔方”整體解決方案,構建了三個層面的防護方案。東軟認為安全項目建設的主要目標是有效的把企業當前安全管理思路融入到各個業務系統操作層面中去。將安全管理的目標利用可量化實現的技術手段來實現,建立一套務實的信息安全保障體系。從網絡的整體防護方法手段的特點分析,我們可以將網絡整體解決方案分為三個層面的防護方案:核心骨干層,信息匯聚層,分支機構層。
就拿核心骨干層面的威脅來說,今天對于大型網絡的骨干關鍵節點的 DDoS 攻擊比任何以往更加具有惡意性、破壞性和針對性。由惡意用戶、蠕蟲病毒和敲詐勒索者針對特定攻擊目標而發起的這些攻擊,能輕松繞過并突破最普通的防御機制。DDoS 攻擊是由看起來合法的網絡會話請求、極大量的僵尸來源、蠕蟲病毒和假冒IP地址等構成的,這些攻擊可導致骨干網絡癱瘓并使其不能開展業務。這種威脅是無時不在的尤其每當大規模的蠕蟲病毒爆發時,大量下屬的接入用戶都是非常危險的病毒擴散源,所有產生的病毒流量最后都會匯總到骨干網絡中,如果不能及時針對這些攻擊行為進行有效的識別和阻斷,大量的帶寬和設備資源都會被占用浪費掉,嚴重的時候會導致骨干網絡服務質量的嚴重下降。
很多用戶都已經意識到在骨干網絡中添加網關型訪問控制設備進行大量的信息過濾與阻斷是不明智的,因為這些安全設備會消耗大量寶貴帶寬資源。同時傳統的入侵檢測設備在骨干網絡中的實際功效也發揮有限。我們認為骨干網絡防護最核心的關鍵步驟就是能夠不間斷的分析網絡中的信息流量,及時發現流量中的各種異常狀況。當異常流量針對骨干網絡帶寬的可用性威脅到一定程度后,可以及時產生相關的報警信息,統計出異常流量的產生來源IP地址、端口、通訊行為特征等,最后通過部署在骨干路由設備中的高性能硬件防火墻進行有效阻斷。
東軟此次主要是推出一套整體為用戶提供解決方案的理念。而在東軟安全的三維管理和三層防護的相互變化融合中,面對不同網絡需求,還的確有了點因需而變, 因御而安的魔力味道。
為不斷深化網絡安全責任,防范網絡安全風險,近期,市審計局結合業務工作制定切實可行的強化網絡安全工作措施,全面開展網絡安全自查工作。
一、統一組織、加強領導。
局黨組高度重視網絡安全工作,在局黨組例會上專題討論此項工作,明確由局信息中心牽頭負責,并要求以此次自查工作為契機,查漏補缺,全面提升單位審計網絡的安全管理水平。
二、強化學習、部署落實。
局信息中心召集各股室股長進行研判,討論網絡安全檢查工作方案和相關要求,并結合我局實際,安排制定檢查方案;同時加強溝通聯系,確保自查方案和標準不走樣、不變形。
三、全面檢查、加強整改。
各股室認真對照檢查方案和相關標準,從組織領導體系、安全制度建設、計算機存儲和網絡設備資產管理、機房安全防護、網絡接入安全驗證等方面進行逐項檢查。針對自查中發現的問題,強化整改,切實提高網絡安全保障能力和防護水平。
校園網安全系統的建設是一個龐大而復雜的工程,不可能在短時間內完成,也不能有一個完整而周全的解決方案。我們只能是想方設法使學校的網絡更加安全,盡量減少因為網絡安全帶來的損失。在WPDRRC模型中,連接的依次是預警(Warning)、保護(Protect)、檢測(Detect)、響應(Respond)、恢復(Restore)、反擊(Counterattack)六個環節,內層是人、策略、技術三個逐步擴展的同心六邊形(如上圖)。將安全策略變為安全現實,人是核心,策略是橋梁,技術是保證。下面,我們主要從技術保障、安全策略、人員素質等三個方面,談談對學校網絡安全系統建設的一些建議和做法。
第一道關――硬件技術保障是防線
通過添加硬件防火墻或者“計算機+軟件”式的防火墻,在內部網與外部網之間、專用網與公用網之間構造起第一道保護屏障,最大限度地阻止網絡中的黑客入侵網絡。防火墻對通過的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口,而且還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。防火墻是一個安全策略的檢查站,所有進出的信息都必須通過防火墻,使可疑的訪問被拒絕于門外。
現在筆者所在區域大部分學校都采用“海蜘蛛”作為路由器,目前使用的是“海蜘蛛”V6.1.0,此版特別適用于校園等對網絡應用高要求的環境。專門解決校園網電腦中毒、相互攻擊、上網緩慢等現象。此設備能夠輕松實現以下功能。
用戶安全管理:支持各種防火墻策略。提供DNS/IP/網址/關鍵字過濾功能。支持“PPPoE認證+Web認證+驗證碼”的三重防護,有效地防止ARP、DoS類攻擊。
安全隔離每個用戶:采用一戶一線,杜絕用戶間互相攻擊的現象,即使個別電腦中毒也不會對周圍用戶產生任何影響。
智能QoS功能:能對P2P下載、在線視頻等高帶寬應用采用智能化QoS流量控制,有效防止了這些應用對其他用戶網絡的影響。方便對小區內用戶提供高質量的網絡服務。
長期穩定運行:路由系統基于linux內核,能在長時間不間斷的情況下穩定運作。
完善的備份支持:支持定時關機重啟,遠程備份路由配置文件,簡化了管理員的工作任務。
日常網絡的監管采用《傲科天藍藍安全設備》,可以輕松實現:日志審計、信息過濾、行為管理、內容監控、P2P下載控制、流量管理、策略管理、數據安全管理等功能。
通過采用各種防火墻技術和網絡監管設備的防護,為校園網的安全建立起第一道安全防線,為學校網絡安全提供有力的技術保障。當然,各所學校的具體情況和網絡規模有所不同,采用的校園網安全系統也應有所差別,不可能按照同樣的方法,但是可以采用同樣的模式。
第二道關――網絡安全策略是橋梁
校園網使用者或者說接入點越來越多,隨之而來的網絡安全問題也會越來越多,合理的、優化的網絡安全策略可以有效地降低安全風險,在技術上實現網絡系統的安全管理,制定有關網絡安全管理的規章制度,確保網絡系統安全、可靠地運行。網絡安全策略主要涉及以下幾個方面。
物理安全策略:主要包括機房網絡和辦公網絡的物理隔離、機房環境的建設、防火防盜、電磁干擾、非法用戶入侵等。
訪問控制策略:主要包括重要數據的加密、服務器密碼的安全性、密碼定期更新、用戶權限的控制、對于目錄的訪問權限、敏感數據的控制、用戶驗證機制等。
VLAN劃分策略:當學校網絡規模較大時,建議對學校的網絡進行合理地劃分VLAN,劃分可以按照基于端口、基于MAC地址、基于網絡層協議、根據IP組播、按策略、按用戶定義、非用戶授權劃分VLAN等多種劃分方式。劃分VLAN的目的主要是避免用戶之間的相互干擾,根據學校用戶的特點,可以根據學科進行劃分、根據課程表進行劃分,可以有效地隔離用戶干擾和進行流量控制。
網絡安全管理策略:為保障校園網的正常運行,規范各項操作,通過建立各項規章制度、規范用戶操作、安全等級管理、管理范圍、有關人員的操作流程、機房管理制度、定期維護制度及應急預案等措施,以起到明確職責,責任到人、有理有據、保障有力,將網絡安全的風險降到最低,從內部管理上防范網絡安全事故的發生。
第三道關――人員素質提升是核心
人員素質的提升對校園網的安全起著非常關鍵的作用,我們這里講的人員主要包括兩個方面:一是網絡管理人員,簡單來講就是學校的網管員;二是網絡使用人員,主要是指教師,還包括使用校園網的學生。
網絡管理員技術水平的高低對于保障學校網絡的安全運行起著至關重要的作用,但由于現在很多學校的網管員都是兼職的,沒有接受過專門的培訓,水平參差不齊,短時間內很難提升。網管員要通過多種途徑,學習和掌握足夠的信息安全知識,充分理解相關的安全技術、操作系統和應用軟件的安全性能,不斷跟蹤安全新聞動態、安全技術發展,養成良好的信息安全習慣,成為學校網絡安全管理的主力軍。
對于普通網絡用戶來說,網絡安全威脅來自兩個方面:一方面是被動的,來自病毒、木馬、惡意腳本和插件以及黑客的攻擊等;另一方面卻是主動的,比如瀏覽掛有木馬的非法網站、釣魚網站、含有病毒的垃圾郵件、含有非法鏈接的聊天信息等。根據調查顯示,由于自己無意識地點擊惡意網站而導致中毒木馬的竟然占到了絕大部分。半年內有40.5%的用戶沒有遭遇過病毒和木馬的攻擊,這部分網絡用戶有一個共同點:普遍具有良好的網絡安全意識。由此可見,教師網絡安全意識的提升是整個學校網絡安全系統的核心所在。教師網絡安全意識的提升需要經常組織相關的網絡安全知識的培訓,使得某些網絡安全隱患被消除在萌芽狀態。
移動網絡信息的安全管理涉及到的內容比較多,在移動網絡對人們的工作生活帶來方便的同時,一些網絡信息安全問題也逐漸的突出。構建完善化的移動網絡信息的安全體系,保障移動網絡信息的安全性,是當前移動網絡企業發展的重要目標。通過從理論層面加強移動網絡信息安全的管理研究,就能有助于從理論層面提供移動網絡信息安全的支持。
1 移動網絡信息安全管理的特征體現以及主要內容
1.1 移動網絡信息安全管理的特征體現分析
移動網絡信息的安全管理過程中,有著鮮明特征體現,其中在網絡信息安全管理的動態化特征山比較突出。在信息網絡的不斷發展過程中,對信息安全管理的動態化實施就比較重要。由于網絡的更新換代比較快,這就必須在信息安全管理上形成動態化的管理。
移動網絡信息安全管理的相對化特征上也比較突出,對移動網絡的信息安全管理沒有絕對可靠的安全管理措施。通過相應的方法手段應用,能有助于對移動網絡的信息安全管理的效率提高,在保障性方面能加強,但是不能完善保障信息的安全性。所以在信息安全管理的相對性特征上比較突出。
另外,移動網絡信息的安全管理天然化以及周期性的特征上也比較突出。移動網絡的系統應用中并不是完美的,在受到多方面因素的影響下,就會存在著自然災害以及錯誤操作的因素影響,這就對信息安全的管理有著很大威脅。需要對移動網絡系統做好更新管理的準備,保障管理工作能夠順利進行。在對系統建設的工作實施上有著周期化特征。
1.2 移動網絡信息安全管理的主要內容分析
加強對移動網絡信息的安全管理,就要能充分重視其內容的良好保證,在信息的安全保障上主要涉及到管理方法以及技術應用和法律規范這三個內容。在對移動網絡信息的安全管理中,需要員工在信息安全的意識上能加強,在信息安全管理的水平上要能有效提高,在對風險抵御的能力上不斷加強。將移動網絡信息安全管理的基礎性工作能得以有效加強,在服務水平上能有效提高。然后在對移動網絡信息安全的管理體系方面進行有效優化,在信息安全管理能力上進行有效提高,對風險評估的工作能妥善實施,這些都是網絡信息安全管理的重要內容。
2 移動網絡信息安全管理問題和應對策略
2.1 移動網絡信息安全管理問題分析
移動網絡信息安全管理工作中,會遇到各種各樣的問題,網絡的自主核心技術的缺乏,就會帶來黑客的攻擊問題。我國在移動網絡的建設過程中,由于在自主核心技術方面比較缺乏,在網絡應用的軟硬件等都是進口的,所以在系統中就會存在著一些漏洞。黑客會利用這些系統漏洞對網絡發起攻擊,在信息安全方面受到很大的威脅。
再者,移動網絡的開放性特征,也使得在具體的網絡應用過程中,在網系的滲透攻擊問題比較突出。在網絡技術標準以及平臺的應用下,由于網絡滲透因素的影響,就比較容易出現黑客攻擊以及惡意軟件的攻擊等問題,這就對移動網絡信息的安全性帶來很大威脅。具體的移動網絡物理管理和環境的安全管理工作上沒有明確職責,在運營管理方面沒有加強,對網絡訪問控制方面沒有加強。以及在網絡系統的開發維護方面還存在著諸多安全風險。
2.2 移動網絡信息安全管理優化策略
加強移動網絡信息安全管理,就要能充分重視從技術層面進行加強和完善。移動網絡企業要走自力更生和研發的道路,在移動網絡的核心技術以及系統的研發進程上要能加強。對移動網絡信息的安全隱患方面要能及時性的消除,將移動網絡安全防護的能力有效提高。還要能充分重視對移動網絡安全風險的評估妥善實施,構建有效完善的信息系統安全風險評估制度,對潛在的安全威脅加強防御。
再者,對移動網絡安全監測預警機制要完善建立。保障移動網絡信息的安全性,就要能注重對移動網絡信息流量以及用戶操作和軟硬件設備的實時監測。在出現異常的情況下能夠及時性的警報。在具體的措施實施上來看,就要能充分重視漏洞掃描技術的應用,對移動網絡系統中的軟硬件漏洞及時性查找,結合實際的問題來探究針對性的解決方案。對病毒的監測技術加以應用,這就需要對殺毒軟件以及防毒軟件進行安裝,對網絡病毒及時性的查殺。
將入侵檢測技術應用在移動網絡信息安全管理中去。加強對入侵檢測技術的應用,對可能存在安全隱患的文件進行掃描,及時性的防治安全文件和病毒的侵害。在內容檢查工作上也要能有效實施,這就需要在網絡信息流的內容上能及時性查殺,對發生泄密以及竊密等問題及時性的報警等。這樣對移動網絡信息的安全性保障也有著積極作用。
另外,為能保障移動網絡信息的安全性,就要充分注重移動網絡應急機制的完善建立,對網絡災難恢復方案完善制定。在網絡遭到了攻擊后,能夠及時性的分析原因,采取針對性的方法加以應對。這就需要能夠部署IPS入侵防護系統進行應用,以及對運用蜜罐技術對移動網絡信息安全進行保障。
3 結語
總而言之,對移動網絡信息的安全性得以保障,就要充分注重多方面技術的應用以及管理方法的靈活應用。只有充分重視移動網絡信息安全防護體系的構建,對實際的網絡信息安全才能有效保障。通過此次的理論研究,希望能有助于從理論層面對移動網絡信息安全保障提供支持。
作者簡介
IM和P2P淪為黑客攻擊管道
從終端來看,垃圾郵件,蠕蟲病毒,間諜軟件,針對即時通訊和P2P應用安全事件正成為終端安全隱患的主要來源。
FaceTime通訊公司最新的調查報告說,微軟的MSN網絡仍然是被攻擊得最多的即時通訊網絡,2004年和2005年都是如此,而被攻擊數量下降得最快的網絡是美國在線的AIM 網絡。即時通訊威脅對于企業的IT人員來說是一種非常大的挑戰,因為它們利用了實時通訊的管道以及全球各地的即時通訊網絡進行繁殖,它們的傳播速度比電子郵件攻擊快很多。
根據披露,2005年11月有一個國際黑客組織已經利用即時通訊軟件病毒控制了1.7萬臺個人電腦組成僵尸網絡為商業目的攻擊行為做準備。
我們也已知道,即時消息和P2P 應用在帶來方便性、實時性、新業務商機的同時,也給最終用戶、企業網絡和電信網絡帶來多方位的安全威脅。通常來說,這些安全威脅包括:邊界安全措施失效;難以控制文件數據的共享和流動,帶來病毒、木馬、蠕蟲等;容易導致知識產權損失、泄密等;由于大量使用非標準、不公開協議,使用動態、隨即、非固定的端口;難以檢測、過濾和管理;隱藏于HTTP管道中的各種潛在的隱秘通道。
我們也可以看到在復雜的網絡環境下一些有代表性的P2P網絡安全產品,提供基于包過濾特性提供針對P2P傳輸的防護,在保障安全的同時還可阻止并記錄國際上幾乎所有的P2P封殺機構(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對計算機進行探測連接,從而避免隱私外泄,可以自動下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機構對機器的掃描。
目前業界一些致力于IM/P2P的專業廠商也推出了針對保護用戶免受IM與P2P的安全威脅,將檢測和分析通過IM傳播的病毒與蠕蟲、通過IM發送的垃圾郵件“SPIM”、惡意代碼等的整體方案。
針對IM的安全管理,比如IM監控,P2P的監控等,正在成為網關級防御,針對IM和P2P,垃圾郵件監控、管理和控制等等需求和話題正在不斷催生出相關應用的針對性安全解決方案。
UTM:潮流趨勢所至
在企業級領域,由于信息基礎設施的不斷增加和應用的不斷擴展,企業公共出口的網絡安全基礎設施的布局已經發展到一定階段,隨著縱深防御概念逐漸深入,威脅已經從外部轉向內部。從產品來看,UTM(一體化的威脅管理)正在成為新的增長點。在混合攻擊肆虐的時代,單一功能的防火墻遠不能滿足業務的需要,而對于集成多種安全功能的UTM設備來說,以其基于應用協議層防御、超低誤報率檢測、高可靠高性能平臺、統一組件化管理的優勢將得到越來越多的青睞。
由于UTM設備是串聯接入的安全設備,因此UTM設備本身的性能和可靠性要求非常高,同時,UTM時代的產品形態,實際上是結合了原有的多種產品、技術精華,在統一的產品管理平臺下,集成防火墻、VPN、網關防病毒、IPS、防拒絕服務攻擊等眾多產品功能于一體,實現多種的防御功能。
鑒此,安全廠商與網絡廠商合作,共同開發和研制UTM設備將是今后發展的必然趨勢。
威脅由外轉內
對于內網安全,已經進入到內網合規性管理的階段。目前,內網安全的需求有兩大趨勢,一是終端的合規性管理,即終端安全策略、文件策略和系統補丁的統一管理;二是內網的業務行為審計,即從傳統的安全審計或網絡審計,向對業務行為審計的發展,這兩個方面都是非常重要的。
從現狀來看,根據美國洋基集團(Yankee Group)一項針對北美和西歐六百家公司的調查顯示,2005年的安全問題有六成源自內部,高于前一年的四成。該集團表示:“威脅已從外部轉向內部”。每年企業界動輒投資上千萬防毒防黑,但企業防御失效的另一個容易被忽略的問題是:來自員工、廠商或其它合法使用系統者的內部濫用。在漏洞攻擊愈來愈快速的今日,有可能因為一個訪客攜入的計算機而癱瘓幾千萬IT設備。
中小企業面臨的三大安全威脅是病毒攻擊、垃圾郵件、網絡攻擊,因而有很多廠商推出了針對中小企業的集成式套裝產品。對內網終端設備的管理,通過基于網絡的控制臺使管理員能夠從產品分發、運行監控、組件升級、配置修改、統一殺毒、應急響應等全過程,實施集中式的管理,強制部署的安全策略,有助于避免企業用戶無心過錯導致的安全漏洞。而新型病毒與黑客技術結合得越來越緊密,與此相對應,防病毒軟件與防火墻、IDS等技術配合得越來越緊密。只有多種技術相互補充配合,才可以有效對付混合威脅。
大型企業有一定的信息化基礎,對于內網安全來說,企業用戶需要實施整體的安全管理策略。 內網安全管理系統需要將安全網管、內網審計與內網監控有機地結合在一起,以解決企業內部專用網絡的安全管理、安全控制和行為監視為目標,采用主動的安全管理和安全控制的方式。將內部網絡的安全隱患以技術的手段進行有效的控制,全面保護網絡、系統、應用和數據。運用多種技術手段,從源頭上阻止了敏感信息泄漏事件的發生。
對于大型企業來說,選用的產品需要能夠自動發現關鍵業務資產,并確定威脅企業IT環境完整性的安全漏洞。通過采集實時的技術庫,并且將它們與基于風險的任務列表(帶有補救指導)中已驗證的漏洞相關聯,并且幫助企業確定哪些漏洞將影響哪些資產。最終為企業提供一份即時的關于關鍵性業務資產的風險評估。對于企業內網來說,行之有效的安全管理是各種規模企業所企盼的,固若金湯的城池,往往在內部安全威脅面前形同虛設。“內憂”勝于“外患”,企業不僅需要鑄造抵抗外部風險的縱深防御體系,同樣需要著重管理,打造安全和諧的內部環境。
關鍵詞:網絡安全;入侵防御系統;應急平臺;安全防御
中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2011)22-5412-03
Research on Achieving Comprehensive Security and Defense in Emergency Platform Network
PENG Yun-feng
(Anhui Economic Information Center, Hefei 230001, China)
Abstract: This dissertation, based on the network topological structure of emergency platform and network security development trends, from the overall situation, the overall and equipment of joint Angle to solve the problem of network security, according to the unified security strategy, with the safety as the core, puts forward a comprehensive network security defense linkage Model, and gives out the emergency platform comprehensive interaction system network security solutions.
Key words: internet security; intrusion prevention system; emergency platform; security defense
省政府應急平臺是一個涉及圖像、數據、語音等信息的復雜系統平臺,既涉及到各種硬件通信設施、服務器、終端設備的安全,又涉及到各種系統軟件、通用應用軟件和自行開發的應用程序的安全;既涉及各種信息安全技術本身,也涉及保障這些安全技術順利實施的各種安全管理。因此一個可靠穩定的支撐網絡平臺是應急平臺穩定運行的前提和保障,也可以說直接影響著突發公共事件處置的效果和效率。
1 綜合聯動實現網絡安全防御
1.1 應急平臺網絡拓撲分析
省級應急平臺的計算機網絡系統分為省政府應急平臺局域網和連接各市、縣應急平臺的廣域網。省政府應急平臺局域網采用以太網技術進行建設,連接各市、縣應急平臺的廣域網依托全省電子政務網絡資源進行建設,實現與各市、縣政府及省直各專項部門應急平臺的連接,并通過接入到電子政務外網的地面工作站實現與移動應急平臺的連接,主要功能是滿足省應急平臺體系綜合應用系統、視頻會議系統、圖像接入系統、IP語音系統和移動應急平臺等業務的承載要求。省級應急平臺局域網核心采用兩臺高端交換機,用于連接應急平臺服務器組、內部辦公網及應急指揮中心,同時用于各市、縣政府和省直各專項部門應急平臺的訪問連接,接入層采用星形雙歸結構,用于接入應急平臺服務器組及業務辦公網絡等,以保證系統的穩定性。省級應急平臺網絡拓撲結構如圖1所示。
通過對上圖的分析可以得知,由于應急平臺服務器組部署在交換機的后端,應急平臺業務及應急指揮、辦公等縱向業務數據流都要經過兩臺核心交換機轉發,所以通過這兩臺核心交換機的負載較重,流量也比較復雜,數據流中包含各類攻擊、病毒等的可能性也最大,對安全性要求較高。應急平臺內部各處室、應急指揮中心通過應急平臺網絡訪問互聯網,目前僅采用防火墻進行隔離,由于互聯網是一個面向大眾的、開放的網絡,對于信息的保密和系統的安全考慮的并不完備,互聯網上充斥著各種攻擊、病毒,防火墻并不能保證應急平臺網絡的安全,所以這條路徑上也可最可能包含各種攻擊數據。
1.2 實施綜合聯動的必要性
隨著繁雜的網絡應用和多樣的攻擊入侵,應急平臺網絡所面臨的安全威脅越來越復雜,安全問題日益突出,使得孤立的安全設備難以有效應付,需要從系統全局,從整體和設備聯動的角度去解決網絡安全問題,依據統一的安全策略,以安全管理為核心,形成完整的系統安全防護體系。
建立一個整體的網絡安全防護體系的關鍵,在于要求各網絡安全設備之間具有較高的協同性,即聯動性。聯動技術體現了智能化網絡安全管理的潮流,能夠有機整合各種網絡安全技術,全面地保護網絡的安全,提高工作的效率。聯動的概念最初是由防火墻廠商CheckPoint提出來的,CheckPoint提出了OPSEC開放接口,并與其它廠商密切合作,實現了CheckPoint防火墻和身份認證、內容安全、入侵檢測等產品的互動。
1.3 以安全為核心劃分區域
針對應急平臺現有網絡的實際情況,劃分出不同的安全分區,如圖2所示。
詳細分區情況描述如下:
1)DMZ區。DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”,它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。該區域主要包括應急平臺對社會或其它部門提供服務的服務器群,如網站、郵件服務器等。該區域對安全級別要求比較高。
2)數據中心區。由應急平臺業務服務器群構成,是應急平臺一切業務應用活動的基礎。這個區域的安全性要求最高,對業務連續性要求也最高。要求不能隨便進行任何可能影響業務的操作,包括為服務器打補丁,管理起來也最為復雜。
3)內部辦公區。內部辦公計算機構成的安全區域。安全性和業務持續性要求最低,管理難度大,最容易遭受蠕蟲的威脅。
4)遠程接入區。該區域主要指移動辦公人員、移動應急指揮平臺等通過外部互聯網實現訪問應急平臺業務應用系統功能的區域。
5)廣域網接入區。在之前的網絡建設中,省級政府應急平臺是通過省電子政務外網實現與市、縣政府和省直各專項部門應急平臺的連接。廣域網接入區就是通過專線連接省直各專項部門、市、縣政府應急平臺網絡的區域,這一安全區域內部沒有具體的應用系統,主要實現網絡互聯的功能,定義這一安全區域是為了方便網絡管理。
1.4 綜合聯動方案設計
目前,已經商用的比較成熟的聯動系統,是通過網絡入侵檢測系統(IDS,Intrusion Detection Systems)和防火墻的聯動來實現入侵防御。IDS檢測到某種攻擊后,會通知防火墻立刻做出相關策略的動態修改,對攻擊源進行相應的封堵,例如阻斷源端口、源IP等,從而達到整體安全控制的效果。防火墻與IDS聯動的設計,充分體現了網絡安全深度防御的思想。但這種方式也有不足,最重要的問題在于,防火墻和入侵檢測產品的互動沒有一個被廣泛認可的通用標準,大多數安全廠商各行其道,限制了技術的發展和用戶選擇產品的范圍。
因此,本文提出了綜合的系統聯動方案。針對應急平臺網絡拓撲結構的特點,在綜合聯動方案中加入了入侵防御系統(IPS,Intrusion Prevention System)、防火墻、安全管理中心軟件、EAD(Endpoint Admission Defense,端點準入防御)軟件、網絡版防病毒軟件、網管軟件、SSL VPN接入網關等軟硬件設備,提出如下綜合聯動部署方案,如圖3所示。
綜合聯動方案配置如表1所示。
具體的部署策略如下:
1)應急平臺網絡的互聯網出口處部署防火墻和IPS。防火墻對來自外部的訪問進行控制,并對來自外部網絡的2~4層的網絡攻擊進行防護。IPS利用不同的規則,既對外部網絡的2~7層的攻擊進行防護,又可以對內部流量進行監控,限制P2P、BT等業務,保證了應急平臺骨干業務網絡正常運行。
2)兩臺核心交換機旁路部署SSL VPN設備,并做雙機熱備,在保證應急平臺網絡安全的同時,滿足移動辦公的需要。同時對移動終端訪問應急平臺數據時通過加裝數字證書進行身份認證,保證移動終端訪問的安全性。
3)重要的應急平臺服務器組前端部署IPS和防火墻。IPS防護針對操作系統漏洞進行的攻擊,并防護來自內部網絡2~7層的攻擊。防火墻對應急平臺服務器組虛擬出DMZ區和內部受信區域,對不同單位的訪問進行控制,并防護來自內部網絡2~4層的攻擊。
4)DMZ區部署網絡版防病毒軟件和EAD系統。網絡版防病毒服務器安裝在內部網辦公PC和服務器群上,該軟件可定期及時更新病毒庫,保護服務器群及內部網辦公電腦免受病毒的攻擊。EAD通過集中部署,實現對用戶終端的安全狀態評估和訪問權限的動態控制,從而加強了應急平臺中網絡終端的主動防御能力,控制病毒、蠕蟲的蔓延。
5)安全管理軟件和網管軟件對應急平臺進行集中管理。管理人員可以通過網管軟件對網絡安全和服務器設備進行管理和控制,對設備的配置進行更新和修改,降低管理難度和成本。通過安全管理中心軟件收集網絡、安全以及服務器等設備的安全事件和日志,如攻擊事件記錄、日志等。
1.5 系統聯動分析
通過上述軟硬件的部署,可以實現省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統的聯動。該安全聯動方案由安全管理平臺、安全防護設備和EAD軟件三部分組成,安全管理平臺指安全管理中心系統和智能網管系統,安全防護設備指防火墻、入侵防御系統等。各終端用戶通過EAD軟件接入并由安全管理平臺進行身份認證和終端安全狀態評估,確保每一個接入端點的安全,預防內網病毒、蠕蟲的泛濫。系統聯動如圖4所示。
位于內部辦公區的終端安裝端點準入系統,當某個用戶試圖非法訪問內部服務器時,部署在服務器組前的防火墻設備會阻斷非法訪問連接;當某個用戶感染的病毒向服務器區傳播或用戶機器上的木馬對服務器區進行攻擊時,部署在服務器前的IPS設備可以將病毒和攻擊阻斷,防火墻和IPS會將該用戶的非法訪問和攻擊事件實時發給安全管理中心,安全管理中心根據定義好的策略,將重要的安全事件信息通過告警方式發給智能網管中心,智能網管中心上的端點準入管理組件分析安全管理中心發過來的告警信息,確認非法訪問和攻擊的用戶,然后,通過端點準入管理組件對惡意用戶進行告警或強迫下線,控制攻擊來源,避免威脅的再次發生,并且為用戶提供整網安全審計報告。
2 結束語
本文研究了省級應急平臺的網絡拓撲結構,分析了網絡所可能面臨的安全風險,根據應急平臺網絡的特點,基于綜合聯動的網絡安全策略,可以實現省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統的聯動,預防內網病毒、蠕蟲的泛濫,最大限度地保證應急平臺網絡的安全和業務系統的正常運行。
參考文獻:
[1] 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.
[2] 卿斯漢,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報.2004(7):19-29.
[3] 黃金蓮,高會生.入侵防護系統IPS探討[J].網絡安全技術與應用,2005(8).
[4] 劉世翔.網絡入侵檢測系統的研究和實現[D].長春:吉林大學,2004.
[5] 周海剛,肖軍模.網絡主動防御體系結構[J].電信科學,2003(1).
[6] 聶林等.入侵防御系統的研究與分析[J].計算機應用研究.2005(9):131-136.
[7] 林延福.入侵防御系統技術研究與設計[D].西安:西安電子科技大學,2005.
一、學校信息化建設現狀分析
現階段各高校及中小學都基本普及了校園網絡,其中大部分也已開始進行信息系統的建設,以校園一卡通系統、校園安全監控系統、科研管理數據庫等為主。 還有一部分開始推行普及整個校園的身份認證系統,提供賬號支持師生設備上網。學校的教學和管理工作對信息系統的依賴性也越來越強。
隨著網絡規模的不斷擴大以及對信息系統建設的深入和完善,數據大量產生并持續快速增長,信息系統數據庫的規模也在不斷擴大,隨著其承載的信息量的不斷增加,這些信息的安全性也就凸顯出來,系統保護和數據防災就變得愈發重要。
二、威脅學校信息系統數據安全的因素
網絡故障、病毒侵害、非法訪問、軟件設計缺陷、數據庫破壞、拒絕服務攻擊、系統物理故障、使用人員人為失誤、信息泄密、自然災害等,都可對系統數據可用性、完整性和保密性的進行破壞,從而對信息系統構成威脅,由此而造成的安全后果是難以估量的。
三、學校信息安全管理體系的構建
學校信息系統應用是多方面的,一旦投入使用,就會產生大量的數據,面對來自多方面的威脅,稍有不慎就會造成災難性后果。所以,建立完善的信息安全管理體系,即Information Security Management System(簡稱ISMS),勢在必行。
1. 構建學校ISMS的方法和目的
針對信息安全在不同網絡層次上(物理層、網絡層、數據鏈路層、應用層、用戶終端層等)的需要,參照國際標準ISO/IEC27001信息安全管理體系(ISMS),明確信息安全的方針和目標,建立完整的信息安全管理制度和流程,制定完善的安全策略,強化安全技術的應用,采取行之有效的安全防范措施,保證信息系統的安全穩定運行。
2. 安全策略與防范措施
(1)強化安全技術
從安全技術實施上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果,完善安全策略,制定防范措施和完整的解決方案。
采用冗余技術 。學校信息網絡是運行整個學校業務系統的基礎,更是數據處理及轉發中心,首先需要通過增加設備及鏈路的冗余來提高其可靠性,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
部署網絡安全設備。在Internet出口處部署主動入侵防御設備(IPS)及流控設備,開啟實時防御和安全過濾,優化網絡帶寬,構建可視、可控、高效的網絡。通過防火墻與IPS的緊密配合,抵御來自校園網內外的各種惡意攻擊和病毒傳播,確保校園核心業務和核心資源的安全,真正實現校園網絡與應用的安全保障。
加強用戶終端管理。制定統一且便于管理的終端管理方案,強制準入制度,對特定區域、數據及設備設定訪問權限,保證整個網絡的安全性和可管理性。根據物理位置、功能區域、業務應用或者管理策略等分VLAN,對需要接入網絡的用戶與設備進行實名認證,并保證用戶帳號的唯一性。同時,部署上網行為管理設備,對校內終端用戶的網上行為進行有效監管,降低因終端用戶的違法網絡行為帶來的安全及法規風險。
強化數據安全。建立統一的數據存儲中心,增加負載均衡設備及同步磁盤陣列,提高數據庫服務器業務連續性及應用服務器負載能力,并針對整個信息系統進行統一定時的D2D2T備份,并結合重復數據刪除等技術,提高數據備份效率和數據保留周期。
(2)完善安全管理制度
隨著計算機信息技術的高速發展,人們工作、生活越來越離不開網絡,網絡是企業辦公的重要信息載體和傳輸渠道。網絡的普及不但提高了人們的工作效率,微信等通訊工具使人們通訊和交流變得越來越簡單,各種云端存儲使海量信息儲存成為現實。
2石油行業信息網絡安全管理存在的安全隱患
無論是反病毒還是反入侵,或者對其他安全威脅的防范,其目的主要都是保護數據的安全———避免公司內部重要數據的被盜或丟失、無意識泄密、違反制度的泄密、主動泄密等行為。
2.1外部非法接入。
包括客戶、訪客、合作商、合作伙伴等在不經過部門信息中心允許情況下與油田公司網絡的連接,而這些電腦在很多時候是游離于企業安全體系的有效管理之外的。
2.2局域網病毒、惡意軟件的泛濫。
公司內部員工對電腦的了解甚少,沒有良好的防范意識,造成病毒、惡意軟件在局域網內廣泛傳播以至于影響到網絡系統的正常運行。
2.3資產管理失控。
網絡用戶存在不確定性,每個資產硬件配件(cpu、硬盤、內存等)隨意拆卸組裝,隨意更換計算機系統,應用軟件安裝混亂,外設(U盤、移動硬盤等)無節制使用。
2.4網絡資源濫用。
IP未經允許被占用,違規使用,瘋狂下載電影占用網絡帶寬和流量,上班時間聊天、游戲等行為,影響網絡的穩定,降低了運行效率。
3常用技術防范措施與應用缺陷
3.1防火墻技術。
目前,防火墻技術已經成為網絡中必不可少的環節,通過防火墻技術,實現局域網與互聯網的邏輯隔離,使用有效的安全設置一定程度上保障了企業局域網的安全。
3.2計算機病毒防護技術。
即通過建立SYMANTEC網絡防病毒軟件系統,為企業內部員工提供有效的桌面安全防護技術手段,提高了計算機終端防病毒與查殺病毒的能力。
3.3入侵檢測系統。
入侵檢測幫助辦公計算機系統應對網絡攻擊,提高了系統安全管理員的管理能力,保持了信息安全基礎結構的完整性。從網絡中的各個關鍵點收集和分析信息,確認網絡中是否存在違反安全策略的行為和遭到網絡攻擊的可疑跡象。
3.4應用網絡分析器檢測網絡運行狀況。
部署如Sniffer等掃描工具,通過其對網絡中某臺主機或整個網絡的數據進行檢測、分析、診斷、將網絡中的故障、安全、性能問題形象地展現出來。為監視網絡的狀態、數據流動情況等提供了有效的管理手段。
3.5交換機安全管理配置策略。
綜合評估石油企業網絡,在節點設備部署上以可控設備為主,通常的可控設備都具備遵循標準協議的網絡安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略,有效提高了對企業網絡的管理。
3.6部署內網安全管理系統。
目前,企業局域網的安全威脅70%來自于內部員工的計算機。針對計算機終端桌面存在的問題,目前出現的主流產品是內網安全管理系統。其采取C/S架構,實現對網絡終端的強制性管理方法。后臺管理中心采取B/S結構,實現與管理終端交互式管控。
4多種技術措施聯動,保障網絡與信息安全
4.1網絡邊界管理
①防火墻。通過包過濾技術來實現允許或阻隔訪問與被訪問的對象,對通過內容進行過濾以保護用戶有效合法獲取網絡信息;通過防火墻上的NAT技術實現內外地址動態轉換,使需要保護的內部網絡主機地址映射成防火墻上的為數不多的互聯網IP地址。②入侵檢測系統。入侵檢測作為防火墻的合理補充,幫助辦公計算機系統應對網絡攻擊,提高了系統安全管理員的管理能力,保持了信息安全基礎結構的完整性。③防病毒系統。應用防病毒技術,建立全面的網絡防病毒體系;在網絡中心或匯聚中心選擇部署諸如Symantec等防病毒服務器,按照分級方式,實行服務器到終端機強制管理方式,實現逐級升級病毒定義文件,制定定期病毒庫升級與掃描策略,提高計算機終端防病毒與查殺病毒的能力。
4.2安全桌面管理。
桌面安全管理產品能夠解決網絡安全管理工作中遇到的常見問題。在網絡安全管理中提高了對計算機終端的控制能力,企業桌面安全管理系統包括區域配置管理、安全策略、補丁分發、數據查詢、終端管理、運維監控、報表管理、報警管理、級聯總控、系統維護等。
4.3網絡信息管理。
對于網絡信息要按等級采取相應必要的隔離手段:①建立專網,達到專網專用;②信息通過技術手段進行加密管理;③信息與互聯網隔離。
4.4網絡安全管理防范體系。
根據防范網絡安全攻擊的需求、對應安全機制需要的安全服務等因素以及需要達到的安全目標,參照“系統安全工程能力成熟模型”和信息安全管理標準等國際標準。
5結束語
論文關鍵詞:金融信息系統;災備中心;網絡;生產中心;安全
0、引言
隨著我國金融體制改革的不斷深入和金融業的快速發展以及全球經濟一體化進程的加快.我國商業銀行逐步完成數據集中與新一代綜合業務系統的推廣.業務自動化處理程度與管理水平進一步提高。從長遠發展以及確保其安全、連續、穩定運行等方面考慮.建設金融信息系統災備中心以保證數據安全和業務連續性是非常必要的.有利于各銀行增強抵御金融風險能力、提高金融服務水平、增強國際競爭力。而建設先進、可靠、穩定的網絡是業務系統運行的基礎,也是為系統提供必要的安全保障。
本文從工程建設的角度.并結合在金融信息系統災備中心網絡運行維護的實際經驗,對數據集中程度高、分支機構多的金融單位災難備份中心網絡建設提出了一套切實可行的技術方案。
1、建設目標
金融信息系統災備中心網絡建設目標是構建能夠適應金融業務和應用發展要求的高可靠、高性能、可靈活擴展、安全可控的網絡公用基礎設施。災備中心網絡的服務模型如圖1所示。
災備中心網絡建成后。作為系統的備用網絡節點,可為業務系統在以災備中心為輔的運行提供通信服務.同時還應具備與生產中心、災備中心共同為業務系統的連續性提供保障的能力。
災備中心網絡結構能夠滿足接替生產中心運行的網絡需要.且具備災難備份保障功能.建設生產中心和災備中心之間互連的高速數據通道,可用于備份數據的傳輸,輔以網絡切換功能,保障業務運行的連續性.提高整個系統的可用性。
構建面向應用和系統的服務網絡.為金融信息系統中的各應用系統提供統一的基礎網絡服務平臺。
根據業務類型、功能要求、安全等級等因素。進行安全域、功能化、層次化和模塊化分區,從而構建出滿足業務系統要求、且具有一定先進性的數據中心。
構建完善的災備中心網絡安全體系:利用主動防御與被動防范相結合的安全技術。形成從網絡邊界、內部網絡到系統的多層面的整體縱深防御體系,具備信息加密、入侵檢測與防范、病毒防護、訪問控制、身份認證和安全審計等功能。
部署統一集中的網絡管理中心和安全管理中心.能對整個金融信息系統網絡和安全狀況進行統一的管理和監控。
2、設計原則
(1)高可用性
統一的、標準化的網絡架構;結構化、模塊化的設計方式:通過高可靠的網絡部署(包括鏈路和設備的冗余,盡量避免單點故障)以提高網絡的可用性;采取功能、對象、風險、控制的層次性劃分,降低網絡故障的影響區域,提高整體網絡可用性;選用成熟穩定的網絡設備和網絡技術。
(2)高安全性
災備中心系統結構設計必須根據不同應用系統特點和業務數據敏感度實施不同的安全防護措施.確保數據中心各類業務系統的信息安全。
遵循中國人民銀行安全規范:制定和實施貫穿整個災備中心網絡的統一安全策略:具備對災備中心內的服務器、存儲設備和用戶提供相應的安全防護和控制的能力:網絡基礎設施自身具備安全防護能力。
(3)高靈活性、高可擴展性
近年來。我國金融信息系統的建設呈現出”數量越來越多、規模越來越大、系統結構越來越復雜、數據安全性要求越來越高、運行責任越來越重大”的特點。因此。災備中心網絡的總體結構設計要具有靈活的擴展性.既要滿足今后新系統上線運行的要求。也要滿足每個業務系統處理能力的擴展性的要求。
具備網絡容量的擴展能力。能滿足服務器數量、用戶數量和數據流量的增長需求;具備適應上層應用模式變化的能力,既滿足現有的應用模式.又能滿足多層次的應用模式對網絡服務和網絡結構的要求;能適應安全策略的變化,可靈活劃分安全等級,部署安全措施;符合世界技術發展趨勢,能向未來可能采用的技術架構平穩過渡。
(4)便于運行維護和管理
強大的網絡管理平臺;提供帶外管理網絡支持,特別為緊急情況下提供增強的管理渠道;相對統一的設備類型和型號;充足完備的網絡分析工具;充分考慮災備中心運維管理流程的需要。
(5)先進性
采用先進的高性能網絡產品和相關技術.以滿足災備中心未來5年業務快速發展的需求。
3、解決方案
(1)網絡體系結構
根據災備中心不同的服務功能.災備中心網絡在功能上分為核心交換區、生產區、管理區、MIS服務區、內聯接人區、外聯接人區、開發,測試區和Internet接人區等區域。災備中心網絡體系結構如圖2所示。
(2)災備中心網絡邏輯結構
災備中心網絡的邏輯層次有三層:核心層、分布層和接入層。核心層的主要功能是負責各個分布層數據的高速轉發:分布層的主要功能是為接人層提供網絡服務:接入層的功能是向最終用戶和設備提供接入。分布層和接入層可以根據應用、管理功能和安全要求劃分為若干模塊。
各個層次的功能是:
核心層是災備中心內部高速的三層交換骨干.該層不進行終端系統的連接.不實施影響高速交換性能的安全訪問控制策略。
分布層作為接入層和核心層的分界層.該層完成的功能包括:區內VLAN問的路由;區內I王’地址或路由區域的匯聚:實施安全訪問控制策略。
接人層提供Layer2的網絡接入.通過VLAN定義實現接入的隔離。該層具有的主要特點是:根據實際使用情況規劃接入端口容量。并具有一定的擴展性;不同功能分區的接人層相對獨立;不同類型的接人層應各自分開,連接到對應功能區的分布層:為實施QoS。對數據包進行分類和標記。
各層之間的連接:
上述每一個層次結構內部需要采用冗余的架構來保障該層功能的穩定可靠。
在相鄰層次之間.同樣需要采用冗余的連接(物理連接或協議)來保障各層次結構之間的穩定可靠。
網絡擴展時.核心層和分布層的架構保持不變,接入層可以隨接人需要擴展。
物理實現時.分布層和接人層設備可以合并。
(3)災備中心信息安全體系設計
災備中心信息安全體系的建設目標是以信息安全標準為依據.建立一套具有統一安全策略、縱深防御能力、監控和審計功能的信息系統平臺.具有可持續建設能力的業務系統支撐平臺和具有高效率的網絡通訊平臺。信息安全體系的建設在確保網絡通訊暢通的同時最大限度地保護核心業務系統的安全。通過技術、人員、管理等方面的綜合建設、保障最終使災備中心的信息系統達到保密性、完整性、可用性、可控性、抗抵賴性的要求。災備中心網絡的信息安全體系結構如圖4所示。
為達到信息安全建設的總體目標.災備中心信息安全體系分為七個方面:信息系統安全技術和安全服務;基于安全域的縱深防御體系;安全管理體系;安全法規;信息安全技術保障;信息安全策略和審計:信息系統基礎設施。七個方面的內容可劃分為”四個層面。兩個支撐。一個確保”。
第一個層面為信息安全技術和安全服務。在這個層面上描述災備中心信息安全建設中采用的安全技術手段和實現方法.以及這些技術提供了鑒別、加密、訪問控制、完整性、抗抵賴等信息安全服務。從技術實現的角度落實信息安全要求。確保災備中心信息安全。
第二個層面為基于安全域的縱深防御體系。在這個層面上主要從系統設計的層次描述了貫徹信息安全要求的設計、規劃理念.從網絡邊界安全到內部局域網網絡安全以及計算機系統的安全綜合考慮。統籌規劃。在網絡和計算機等相關系統的設計過程中充分考慮信息安全的總體要求。
第三個層面為安全管理。在這個層面上要認真樹立信息安全理論中”三分技術。七分管理”科學管理理念,建立符合災備中心實際的協調、高效、可行的管理制度。把人員管理放在首位。加強以人員教育為主要手段的社會工程學管理。鞏固信息安全。同時制定風險管理、安全評估、應急響應和災難恢復等相關制度。
第四個層面為安全法規和制度。在這個層面上要以國家的有關信息安全的法律、法規、標準為依據.指導災備中心的信息安全建設.同時落實中國人民銀行關于信息安全建設的相關要求。在這個層面還體現了各級領導、信息安全管理部門在信息安全建設中的主導地位和重要作用。信息安全建設要依靠標準、法規、制度,政策,依靠領導關心、指導、協調,依靠所有部門齊心協力、齊抓共管.依靠全體員工同心同德。群策群力才能確保成效。
以上四個層面由低到高描述了信息安全建設的基本思路。
除了四個層面的內容外.信息安全保障、信息安全策略和審計起到支撐作用,保障信息系統建設和穩定運行。信息安全保障主要從技術、人員、工程、管理的角度建立有效的信息安全保障技術和保障制度。依靠準則和標準建設災備中心的信息系統工程:依靠人員借助技術手段對災備中心龐大、復雜的信息系統進行操作、運行和維護。為災備中心的信息安全系統以及各個業務系統提供強有力的技術支持:依靠制度和技術手段對信息安全事件進行有效地發現、分析和處理。信息安全策略和審計主要起到統一規劃。加強審計、監督的作用。利用審計手段明確責任,定位責任.鞏固信息安全建設。在信息安全的建設和規劃中落實”職責分離.最小授權”的信息安全原則。
最終.確保災備中心整個信息系統的安全、穩定、高效的運行。實現信息安全建設的目標。
4可行性分析
方案分析主要包括網絡可靠性分析、網絡安全性分析和網絡擴展性分析等方面
(1)網絡可靠性分析
災備中心網絡的可靠性應能滿足業務穩定運行的要求.具體分析如下:
線路的可靠性
災備中心網絡的線路主要包括:災備中心網絡內部連接;災備中心網絡的內聯和外聯接口等。其中:災備中心網絡由局域網交換機構成.基本上功能相似的一個或一組交換機均與骨干交換機保持2個連接.避免線路的單點故障。內聯區提供的廣域網接口.針對每個分支行提供2條不同電信運營商的電路.外聯接口同樣為外聯機構提供2條不同電信運營商提供的電路。如采用光纖接入方式的ATM電路,每條ATM電路的可用率為99.9%.因此總體廣域網線路的可用率大于99.96%。
網絡設備的可靠性
災備中心網絡設備采用中高檔設備.關鍵設備不僅配置冗余電源,還配有冗余的處理模塊、冗余的總線等。設備自身具有很高的可靠性。同時,對生產區等關鍵區域,還采取l:1熱備份,進一步提高了整個網絡的可靠性.應完全能夠滿足業務系統對可靠性的要求。
(2)網絡安全性分析
為保障災備中心業務系統的安全.采取了多種網絡安全措施。部署了多種網絡安全產品。采取了相應的網絡安全管理技術手段。主要有:在外聯區采用防火墻進行安全隔離.對進出災備中心的訪問進行控制。內部各區域之問也部署防火墻.對內部區域問的數據流向和訪問進行較有效的控制:每個區域均部署IDS、漏洞掃描系統,作為主動防御的技術措施,對系統漏洞、數據和訪問進行監控:敏感數據采取加密措施.可防止泄密的產生;建立統一的防病毒系統,盡可能將病毒維護減少到可接受的水平;部署認證系統。對用戶權限進行必要的管理:建設網絡安全監控和安全分析系統.綜合監控和分析各種安全設備產生的日志等信息。可比較全面地對網絡安全進行管理;集中的審計系統,以從網絡、系統和安全等三個層面。對操作行為進行跟蹤和記錄。減少違規行為產生的危害。這些安全措施。可建立主動和被動相結合的縱深防御體系.對業務系統的安全運行起到積極的保障作用。
(3)網絡擴展性分析
網絡擴展性主要體現在:
通信容量的擴展
按照方案的配置。連接各分支行和外聯機構的接口。可滿足每個分支行及外聯機構以2條ATM電路接入的要求.平均每條ATM電路的速率不低于2Mbps,在業務量增加后,如總計業務量不超過155Mbps,可逐步擴容PVC帶寬滿足業務需求。如總計業務量超過155Mbps,可根據需要。增加ATM接口的數量。
支持業務系統的擴展
災備中心網絡采用了以安全域進行分區、在分區內按系統類型進一步劃分子區的設計思想。新的業務系統按其安全等級可部署在相應的安全域(區)內,系統(如前置、服務器等)在連接到子區內.基本上不需要改變數據中心網絡的結構。因此在這種思想下設計的數據中心具有較強的業務擴展能力。
5、結束語
