時間:2023-09-20 16:56:55
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全處置方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
按照文件要求,市委網信辦對照工作職責,認真排查梳理了我市網絡安全風險點,逐項建立完善工作機制,現匯報如下:
1.網絡安全風險研判工作:制定了《網絡安全事件應急預案》,明確了由于人為原因、軟硬件缺陷或故障、自然災害等對網絡和信息系統或其數據造成危害引發負面影響的事件的分析和處理。
2.網絡安全風險決策評估機制:成立了網絡安全和信息化領導小組,對全市網絡安全工作統籌指揮。制定了《網絡安全和信息化委員會工作規則》,明確網絡安全工作職責和工作制度。
3.網絡安全風險防控協同機制:組建了網絡安全專家小組,努力應對新形勢下網絡安全錯綜復雜的局面,提高網絡安全保障水平。實施網絡安全事件應急處置聯席會制度,對全市網絡安全事件的進行預防和應急處理。
4. 網絡安全風險防控責任機制:下發了《貫徹落實<黨委(黨組)網絡安全工作責任制實施辦法>責任分工方案》,明確責任主體和責任分工,提高網絡風險防范防控意識和能力。
試點示范是在2015年工作基礎上,將工作覆蓋對象拓展至互聯網企業和網絡安全企業,包括各省、自治區、直轄市通信管理局,中國電信集團公司、中國移動通信集團公司、中國聯合網絡通信集團有限公司,各互聯網域名注冊管理和服務機構,各互聯網企業,各網絡安全企業有關單位。其目的在于繼續引導企業加大網絡安全投入,加強網絡安全技術手段建設,全面提升網絡安全態勢感知能力,促進先進技術和經驗在行業的推廣應用,增強企業防范和應對網絡安全威脅的能力,切實提升電信和互聯網行業網絡安全防御能力。
試點示范申報項目應為支撐企業自身網絡安全工作或為客戶提供安全服務的已建成并投入運行的網絡安全系統(平臺)。對于入選的試點示范項目,工業和信息化部將在其申請國家專項資金、科技評獎等方面,按照有關政策予以支持。
試點示范重點引導重點領域,包括:
(一)網絡安全威脅監測預警、態勢感知與技術處置。具備網絡攻擊監測、漏洞挖掘、威脅情報收集或工業互聯網安全監測等能力,對安全威脅進行綜合分析,實現及早預警、態勢感知、攻擊溯源和精確應對,降低系統安全風險、凈化公共互聯網網絡環境。
(二)數據安全和用戶信息保護。具備防泄漏、防竊密、防篡改、數據脫敏、審計及備份等技術能力,實現企業數據資源和用戶信息在收集、處理、共享和合作等過程中的安全保護,能夠不斷提升企業數據資源和用戶信息保障水平。
(三)抗拒絕服務攻擊。具備抵御拒絕服務攻擊和精確識別異常流量的能力,能對突發性大規模網絡層、應用層拒絕服務攻擊進行及時、有效、準確的監測處置。
(四)域名系統安全。實現域名解析服務的應急災難備份,有效防御針對域名系統的大流量網絡攻擊、域名投毒以及域名劫持攻擊,提供連續可靠的域名解析服務或自主域名安全解析服務。
(五)企業內部集中化安全管理。具備全局化的企業內部管理功能,實現網絡和信息系統資產與安全風險的關聯管理,能夠對企業的內部系統全生命周期的安全策略實現可控、可信、可視的統一精細化管理。
(六)新技術新業務網絡安全。具備云計算、大數據、移動互聯網、物聯網、車聯網、移動支付等新技術新業務的安全防護能力,能對以上各類業務場景提供特定可行有效的安全保護手段和解決方案。
(七)防范打擊通訊信息詐騙。一是具備監測攔截功能;二是能夠實現對防范打擊通訊信息詐騙重點業務的管理。
(八)其他。其他應用效果突出、創新性顯著、示范價值較高的網絡安全項目。
關鍵詞:數字城管 系統 安全設計
中圖分類號:TU984.2 文獻標識碼:A 文章編號:1007-9416(2015)09-0000-00
1 需求背景分析
數字城管系統涉及部門眾多,按照“資源整合、部門共建”的原則,協同工作系統要與電子政務網(共享內網資源)、社會管理創新網(共享監督員資源)、公安網(共享視頻資源)、各處置部門(共享系統資源)的網絡互聯互通。局域網如果不采用有效的邊界防護措施,可能會遭受網絡攻擊與入侵,造成系統服務中斷,其后果是極其嚴重的。以計算機病毒為例,一旦中毒造成服務中斷,導致城市管理案件無法及時上報、處置、核查,特別是造成評價系統數據失去公正性,其嚴重程度不言而喻。
2 多層面接入設計
數字化城市管理信息系統應用跨越政務專網、外部有線網、無線網,用戶類型眾多,整個平臺將不可避免面臨各種安全威脅與隱患。各級指揮中心、監督中心、城管基層部門、專業處置部門以及社會用戶都通過不同網絡路徑進行訪問,針對不同層面接入需要設計不同解決方案滿足不同需求。針對城管隊員巡查、監督員、專業部門處置人員等移動人員的遠程VPDN安全接入方案,解決網絡安全接入和傳輸;針對專業處置部門、公眾服務區等不同安全區域的邊界防護解決方案,解決安全接入問題,通常涉及到漏洞掃描和入侵檢測,數據包過濾和病毒防范;針對數據中心的數據保護解決方案,以保證可靠性、安全、可管理;針對城管系統內部上網用戶的行為監管解決方案,通常涉及到包括用戶身份統一認證,用戶訪問授權控制和行為審計。
3 VPDN技術
VPDN(Virtual Private Dial-Newtork)技術向終端提供以撥號方式接入運營商寬帶互聯網,利用運營商寬帶互聯網公共網絡資源建立虛擬鏈路,適應了數字城管網格化管理的需求(人員分散、地點分散),同時滿足了無線數據安全接入、保密傳輸要求,確保“城管通”用戶以安全方式訪問數字城管內部數據資源。
VPDN組網使用兩類關鍵網元:LAC和LNS LAC:L2TP Access Concentrator,L2TP訪問集中器,主要用于通過PSTN/Internet網絡為用戶提供接入服務。LNS:L2TP Network Server,L2TP網絡服務器,用于處理L2TP協議的服務器端設備。基于寬帶城域網、虛擬通道由運營商核心網絡設備提供、對使用者透明、兩次認證、動態分配私網地址與互聯網隔離,LAC和LNS通信通道存在于專網內,并采用專用隧道加密技術通信,安全性很高。
4 安全傳輸技術
移動接入終端通常有Android、IOS、Symbian等不同操作系統,Web Service技術的出現,使得不同機器、不同操作系統之間的分布式數據傳輸互聯變成現實,其大量應用于網絡客戶端與服務器的聯系。但是WebService本身是不安全的,為保證服務器與客戶端傳輸的安全性,必須要滿足三個方面的需求,即:保密性、不可篡改、不可抵賴。WS-Security (Web服務安全) 是一種提供在Web服務上應用安全的方法的網絡傳輸協議,其最初是由IBM, 微軟, VeriSign和Forum Systems開發的,協議包含了關于如何在Web服務消息上保證完整性和機密性的規約。WS-Security 描述通過消息完整性、消息機密性和單獨消息認證提供 保護質量對 SOAP消息傳遞的增強,這些機制可以用于提供多種安全性模型和加密技術。加密數據時,可以選擇使用對稱加密(DES)或不對稱加密(RSA)。通常的做法是,首先對要發送的數據做單向加密,獲取數據的特征碼(如MD5摘要);對特征碼用發送方的私鑰(非對稱)進行加密生成S1;然后對S1和數據進行對稱加密生成S2;最后將S2和對稱加密的密碼使用接收方的公鑰進行加密。信息傳輸完整性通過消息摘要實現,信息的保密性通過對稱加密算法實現,再將對稱密碼加密后發送到接收方,信息的不可抵賴利用電子簽名來實現。
5 安全邊界防護體系
在網絡邊界上,最容易受到的攻擊方式通常有下面幾種:信息泄露、黑客攻擊、病毒侵擾、木馬入侵、網絡攻擊,,那么如何防護邊界安全呢?首先在最容易入侵的關鍵入口處設立安全關卡,例如古代城墻下面的城門,將城內與城外進行物理隔離,對所有進出的人員進行安全監控;其次,為了安全起見,在城墻外面再開出一條護城河,在河上架起吊橋,讓入侵者的行為暴露在光天化日之下,無處遁形。最后,對于闖過前兩道關卡混進到城內的危險份子,采取在城內建立一套行之有效的監控體系。比如古代的聯防制度,部署視頻監控等。一旦發現入侵者異樣行為,立即處置。常用的安全邊界防護技術有以下幾種:(1)防火墻技術。防火墻的作用就相當于網絡的“城門”,它是網絡的必經通道,所有的數據包都從此處經過,是第一道關口,所以其在網絡的邊界安全設計中充當排頭兵。它的設計原理來自包過濾與應用技術,它有一個訪問控制列表(用戶自定義)ACL,控制網絡的第三層和第四層,只有符合ACL規則的數據包才能夠通過。防火墻的缺點也是顯而易見的,即只在網絡層工作,不能對應用層進行有效識別,對隱藏在應用程序中的病毒、木馬完全沒有辦法。(2)多重安全網關技術。當一道防火墻不能夠滿足需要時,通常的做法就是多加上幾道安全網關,按照不同功能進行細化,如用于應用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的iptables。多重安全網關的安全性比普通一道防火墻要好許多,可以對付常見的入侵與病毒。(3)網閘技術。當用戶需要更高強度的安全性時,如果采用物理隔離卡,需要在內網和外網之間來回頻繁切換,使用起來很不方便,而防火墻自身的安全又很難保證,此時網閘技術應運而生,它的設計思路類似于“不同時連接”。即同一時間不連接兩個網絡,由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,通過中間的緩沖區來轉接業務數據,從而實現內外網絡的數據互通。普通防火墻是作用在于保證網絡層安全的邊界安全,而網閘重點是保護內部網絡的安全,各有側重不同。
6 結語
隨著數字城管安全防護技術的不斷發展,在攻擊者與防護者持續的博弈中,新的理念不斷涌現,網絡安全攻與守的局面一直會延續下去。
[關鍵詞]醫院;信息化;系統;安全建設;重要性
doi:10.3969/j.issn.1673 - 0194.2016.18.108
[中圖分類號]R197.324 [文獻標識碼]A [文章編號]1673-0194(2016)18-0-02
醫院信息化系統安全防護措施的建設對保證醫院系統的安全性和穩定性具有重要的意義,其網絡安全管理水平直接關系到醫院中各個醫療部門的正常運作。一旦出現信息安全問題,將會導致網絡癱瘓、大量數據丟失,為醫院的正常運行和患者帶來難以彌補的損失。因此,醫院應建立健全信息化系統安全防護體系,制定相關的安全防護措施,從而建立高效、安全、穩定的醫院信息化體系。
1 醫院信息化系統建設的基本手段
1.1 建立完善的網絡安全管理制度
建立完善的網絡安全管理制度是醫院信息化系統建設的基本制度保障,科學的網絡安全管理制度能夠保障網絡運營的安全性及穩定性。為此,醫院應根據自身需求,對網絡系統進行科學管理,制定與各部門相關的網絡安全執行規定。同時,對醫院人員進行定期網絡安全知識培訓,使醫護人員能夠科學地利用信息化網絡,促進醫療服務水平的提高。通過培訓提升網絡意識以及制定安全管理制度兩方面展開工作,從制度上及意識上提升網絡安全的執行效率,提高人們的安全意識。另外,落實網絡安全責任制,將醫院的各個環節網絡安全工作責任落實到人,促進團隊到個人的監督工作,通過層層問責、層層監督的形式,實現網絡安全管理,與此同時,也能夠實現網絡安全人人有責,提升醫護人員網絡安全的責任心,使之能夠更加用心地維護網絡安全、科學使用網絡,避免由于個人操作失誤、人為破壞及意外泄露等原因造成網絡安全問題。
1.2 加強人員管理與制度管理
醫院的信息化系統與網絡安全管理制度歸根結底是人在使用,因此在進行網絡安全建設過程中最重要的是對人的管理。第一,對人員素質及人員品質進行考核,促進人員集體意識及服務意識的加強,摒棄個人利己主義,以防止由于利益、職位等因素造成醫院數據及信息的泄露。第二,在對人員素質品質進行考核的基礎上要有針對地進行網絡安全培訓,提升網絡操作的科學性,通過培訓給予醫護工作者正確的網絡使用指引,引導醫護工作者充分利用信息系統提供醫療服務的同時能夠自覺維護網絡安全。第三,針對一些重要的部門以及人員信息應進行網絡隔離監管。由于某些部門數據的重要性以及文件的機密性,信息一旦泄露將會造成不可估量的損失,因此針對一些重要的部門以及人員信息應進行網絡隔離監管,使重要數據以及醫院機密文件得以保持其機密性,防止黑客攻擊或網絡漏洞造成的數據泄露,使醫院的重要信息包括患者病例以及醫院人事檔案等外泄。通過以上三點具體措施來促進人對制度進行科學管理,同時也實現制度對人的行為的監督制約作用。以此促進二者協調可持續發展。
1.3 完善網絡應急管理措施及事故處置方案
完善的網絡安全應急措施以及事故處置方案,能夠在網絡安全災難發生后切實減少網絡癱瘓時間,及時恢復系統及數據,降低事故損失。為此,完善的網絡應急管理措施應包括:網絡監督維護工作、數據檔案備份工作及事故應急處理工作。網絡監督維護工作主要是指對網絡安全系統的漏洞進行及時排查、修復,對可能存在的風險予以規避,避免由于監督疏忽造成的病毒侵入等問題。數據檔案備份工作是指利用備份軟件進行有層次有部門的數據備份工作,使醫院系統數據有一個較完整的備份,一旦發生網絡安全問題,可以及時恢復數據,盡可能地減少數據丟失問題。而事故應急處理工作是對網絡安全事故第一時間做出反應,以減小事故損失及社會影響為基本著眼點,采取應急措施等一系列事故應急方案,保障事故的影響降低到最小.
2 醫院信息化系統安全建設的重要性
2.1 促進醫院系統的正常運行以及數字化管理
由于網絡信息化實現了電子化病例與地域醫療系統等信息化手段的結合,為醫療工作提供了大量的醫療信息,保證了醫療手段的先進性以及獲取病患信息的及時性。目前,醫院各個繁雜的項目都極其依賴于網絡的功能性,因此醫院網絡必須保證其安全覆蓋24小時安全運營。故而醫院網絡系統的安全性對醫院能否正常運行具有重要的影響作用,同時對病患得到及時高效的就醫具有重要作用。可以說,醫院系統安全建設是保證醫院網絡安全運行的前提及數字化管理的重要手段。在目前醫療系統的不斷推進過程中,醫院的信息網絡具有較強的開放性,在給患者帶來便利的同時,在一定程度上為醫院的網絡安全帶來隱患。醫院進行信息化系統安全建設時要做好實時監督,并化解醫院信息網絡中存在的風險,最大限度使醫院各個系統避免網絡攻擊帶來的侵害,且規避網絡泄露對醫院造成的經濟損失和社會影響,確保醫療系統的正常運行,保證醫院各項工作的順利開展。
2.2 優化工作環境,提高醫護工作效率
安全的網絡信息系統能夠促進系統的有序進行,優化醫院的就醫環境,提高醫護的工作效率及病患的就醫體驗。應用信息系統,患者可以通過網絡掛號、預約,醫護人員通過信息化系統查看患者的病例以及檢查結果,形成電子病歷,同時針對外地客戶通過互聯網能夠及時地獲取病患病史及醫治信息,優化患者看病的程序,減少患者等待時間,實現醫療模式的規范化,為患者提供更加優質的醫療服務。另外,針對敏感性部門以及管理層人員的網絡,采取子網分離的安全隔離措施能夠有效地排除不允許訪問用戶的訪問請求,減少信息泄露的可能,提高重要數據和機密文件的安全性和保密性,使各部門處于安全有序的信息化系統環境中,提升醫護人員的工作效率,促進現代醫療機構管理水平的全面提升。
2.3 優化經費管理,提高經濟效益
安全的信息化系統能夠有效防止人為惡意入侵,降低人為更改系統內數據的可能性,保證系統內數據的真實有效性。通過信息化系統,能夠清晰地查看醫院的醫療經費和物資管理,實現經費的合理利用,減少醫院不必要的開支,提高經濟效益。同時,針對于病患的醫藥費,患者可以通過醫院各角落的終端實現藥品劃價,使醫患就醫實現公平透明化,解決患者的就醫疑問。通過安全的信息化系統管理,能夠優化財政系統,減少醫療經費管理漏洞,提高患者就醫費用的透明度,保護醫患雙方利益。
2.4 能夠提高醫護人員網絡安全意識
醫院信息化系統安全的建設能夠促使醫院實現科學的網絡安全管理制度,提高醫院工作人員的網絡安全意識,以使工作人員在進行醫療系統使用時,注重安全細節,減少不當的網絡利用行為,例如:不在網絡終端機上使用U盤、光驅等外界存儲,不在終端機上拷貝等以防止病毒的偶然入侵以及數據信息的泄露。與此同時,建立網絡安全信息要求各個系統的使用者建立難度系數較高的口令,以提高系統的安全性。
2.5 提升應對病毒的能力
目前,由于信息科技手段的不斷提高,計算機病毒水平也不斷復雜化,建立安全的信息化系統能夠有效地預防病毒的侵入,通過殺毒軟件部署及時修復系統漏洞,減少系統的缺陷性,使病毒無處可侵。與此同時,實現網絡系統安全化能夠實現網絡安全管理者對客戶端應用程序進行管控,提升病毒應對能力、病毒檢測及病毒修復能力,有效的病毒應對能力,能夠提升網絡系統的安全性。而安全的網絡系統能夠不斷提升病毒應對能力,兩者相互作用能促進醫院信息系統處于優化循環中。
3 結 語
醫院信息化系統安全建設能夠行之有效地為患者提供透明化的服務,使之賬目透明,用藥透明及管理透明,提高患者對醫院消費的了解程度,減少醫患糾紛。基于安全的網絡信息系統下的醫院能夠利用數字化管理提升管理工作簡潔性真心落實醫院“以人為本”的管理理念,促進管理的有序進行,推動現代醫院管理制度的完善。
主要參考文獻
企業信息系統網絡安全面臨的主要威脅:①操作系統的安全性;②防火墻的安全性;③來自內部網用戶的安全威脅;④采用的TCP/IP協議族軟件,本身缺乏安全性;⑤應用服務的安全,許多應用服務系統在訪問控制及安全通訊方面考慮較少;⑥網絡設施本身和運行環境因素的影響,網絡規劃、運行管理上的不完善帶來的威脅。
2網絡信息安全方案實施
通過對化工企業網絡信息安全現狀的分析與研究,我們制定如下企業信息安全策略。慶陽石化的計算機網絡主干采用千兆以太網絡光纖技術,實現數據中心核心交換機與管控中心、中央控制室、生活區匯聚層交換機間的高帶寬連接;廠區各區域接入層交換機與匯聚層交換機間采用千兆以太網光纖實現高速連接;接入層采用千兆以太網雙絞線技術,實現千兆到桌面。各業務服務器全部采用千兆以太網絡光纖或雙絞線技術,實現與核心交換機的1000M連接。同時為保護辦公網絡及本地內網間數據安全,需設置區域網絡隔離控制及公網訪問安全控制。
2.1防火墻的實施方案
從網絡整體安全性出發,運用2臺CISCOpix535的防火墻,其中一臺主要對業務網和企業內網進行隔離,另一臺則對Internet和企業內網之間進行隔離,其中DNS、郵件等則是針對外服務器連接在防火墻的DMZ區以及內網與外網之間進行隔離。
2.2網絡安全漏洞管理方案
當前企業網絡中的服務器主要有WWW,郵件,域以及存儲等,除此之外,其中還有十分重要的數據庫服務器。對管理工作人員而言,他們無法確切了解服務器系統及整個網絡安全缺陷或漏洞,更沒有辦法對其進行解決。因此,必須依靠漏洞掃描的方法對其進行定期的掃描、分析以及評估等,對于過程中存在的部分問題及漏洞及時向安全系統發送報告,使其及時對安全漏洞進行風險評估,從而在第一時間內進行解決,增強企業網絡的安全性。
2.3防病毒方案
當前企業主要運用的是Symantec防病毒軟件,主要是對網絡內的服務器及內部的計算機設備進行全面性病毒防護。同時,在網絡中心設置病毒防護管理中心,使局域網內的全部計算機處在一個防病毒的區域之中。此外,還可以運用防病毒管理域的服務器針對整個領域進行病毒防范,制定統一的反病毒策略,設置場掃描任務調度系統,使其進行自動檢查與病毒防范。
2.4訪問控制管理
必須實行有效的用戶口令及訪問限制制度,一次來確保網絡的安全性,致使唯獨合法用戶進行合法資源的訪問設置。與此同時,還需要在內網的系統管理過程中嚴格管理全部設備口令(口令之中最好有大寫字母,字符以及數字等),切記不可在不同的系統上采用統一性的口令,否則將會出現嚴重的故障問題。實施有效的用戶口令和訪問控制,確保只有合法用戶才能訪問系統資源。
3企業網絡信息安全管理
3.1完善網絡信息安全管理機制
在當前企業網絡運營過程中,必須確保其信息安全管理的規范化。只有將企業網絡與信息管理的安全性納入生產管理體系,才能使企業網絡得以正常運行。此外,還必須加強建設網絡和信息安全保證體系中的安全決策指揮、安全管理技術、安全管理制度以及安全教育培訓等多個系統,并實施行企業行政正職負責制,進一步明確各個部門的責任等。
3.2建立人員安全的管理制度
必須了解企業內部人員錄取、崗位分配、考核以及培訓等管理內容,提高工作人員的信息安全意識,才能確保企業內部信息安全體系的有效進行,為企業未來的發展奠定基礎。
3.3建立系統運維管理制度
明確環境安全、存儲介質安全、設備設施安全、安全監控、惡意代碼防范、備份與恢復、事件處置、應急預案等管理內容。
3.4建立系統建設管理制度
關鍵詞:網絡安全;信息安全;計算機安全;信息管理
隨著交通行業的科技信息化發展,交通行業各應用系統及計算機遭受病毒攻擊、垃圾郵件泛濫等問題威脅著行業信息安全。由于缺乏安全意識,出現了數據丟失、信息被盜等安全問題,給整個行業造成重大損失。保證行業內計算機及網絡信息系統的安全運行,不受病毒、黑客的侵擾極為重要。
1交通行業計算機信息安全存在的問題
現階段,交通行業內的計算機用戶群體復雜,存在的信息安全問題也很復雜。主要存在以下幾個方面的問題。(1)計算機軟硬件核心技術大多依賴進口目前,中國的軟硬件核心技術欠缺,例如美國的CPU芯片、美國微軟公司的WINDOWS操作系統、美國微軟公司的日常辦公通用軟件OPFICE、各大數據庫等軟硬件大多依賴國外。國外的系統固然會不定期更新,但肯定會存在大量的安全漏洞,留下隱藏性病毒、后門等隱患。這些漏洞使得計算機的安全性能大大降低,同時使網絡處于極脆弱的狀態。(2)缺乏安全有效的防護措施很多計算機用戶不設置系統登錄密碼,即便是設置了密碼但是密碼策略低,有的甚至設置成電話號碼、連續數字等。用戶雖然安裝了殺毒軟件,但缺乏安全意識,有的用戶的殺毒軟件根本沒有升級病毒庫,相當于是在裸機的狀態下使用,一旦感染病毒,再加上黑客攻擊,很可能直接造成網絡癱瘓,從而導致存儲在計算機中的大量敏感文件和工作文件信息被竊取,極易造成泄密事件。(3)重要數據缺少備份行業用戶的操作水平不高或者操作習慣不好,會導致經常誤刪一些重要文件。此外,各種自然災害、病毒、黑客攻擊、計算機硬件設備損壞等都會導致文件及數據遭遇毀滅性的損壞。如果用戶未對重要數據進行備份,一旦文件遭到破壞將很難恢復,對個人甚至國家都會造成嚴重后果,所以數據備份不容忽視。(4)電子郵箱密碼設置過于簡單某些單位的電子郵箱沒有相關管理制度,網絡管理者在分配郵箱的時候一般會設置一個較簡單的默認密碼,用戶在使用過程中很少有修改密碼的習慣。完全把郵箱變成一個網絡存儲空間使用,往來郵件長時間不清理。一旦電子郵箱被黑客攻破,后果不堪設想。(5)計算機網絡信息安全缺乏嚴格的管理制度行業內大部分單位雖然有信息安全管理制度,也明確了崗位職責及規范,但在實際工作中卻并未嚴格按照規范執行,有很多制度一成不變,已經跟不上時代的發展,與現階段國家的相關規定也存在很大差距,導致極大的信息安全隱患。此外,對于特定的賬戶密碼和管理員權限沒有監管,缺乏安全保障制度和預防措施。(6)對于計算機信息安全事故缺乏有效的應對措施防患于未然極其重要。一些行業內單位對于信息安全缺少防范措施,一旦出現重大網絡安全故障后,缺乏快速補救的措施和應急方案,不能及時排除安全故障和隱患,勢必會給單位和個人造成重大損失。(7)計算機信息使用和管理人員安全意識淡薄有的計算機信息使用和管理人員在日常生活和工作中缺乏安全保密意識,不能嚴格執行交通運輸部保密辦的“計算機不上網,上網計算機不”的保密要求,往往把U盤混用,接收資料也不殺毒處理,操作系統、殺毒軟件不及時升級,這些行為都會導致計算機感染病毒。外出時,個人手機和筆記本電腦經常會連接到各種無線網絡中,這對行業信息安全都有極大的風險。
2交通行業計算機信息安全管理對策
(1)推廣國內自主研發的核心設備和技術的應用按照國家相關要求和規范進行網絡信息安全和計算機信息化設備的采購和配置。涉及到重要的信息,盡量使用國內自主研發的經過國家保密局、安全局、公安部評測通過的計算機網絡安全設備。(2)對內部網絡及系統進行分級保護對行業內的計算機信息網絡,一定要按照國家有關要求和交通運輸部保密辦的要求,進行分級保護管理。對單位內網絡中的所有網絡終端進行系統加固,安裝安全登錄、主機審計、身份認證、主機監控、黑白名單、違規外聯、補丁分發、文件分發系統。對網絡內的終端計算機實行關閉刻錄、USB使用功能,禁止使用無線及藍牙等外設設備,采用紅黑電源插座。計算機只可進數據,嚴禁出數據。出數據必須要逐級審批,方可開通權限進行刻錄和打印。對網絡線路加裝線路保護儀,網絡設備和系統要放置在屏蔽機房和屏蔽機柜內。(3)對內部非的網絡和政務外網進行等級保護按照國家有關要求和標準規范,進行等級保護測評。全面安裝計算機安全登錄終端、主機審計和監控系統。對等級級別高的網路和系統要間隔不長時間再次測評。《中華人民共和國網絡安全法》現已實施,為了避免在國家重大活動信息安全保障中出現信息安全責任事故,盡量使用軟硬件設備關閉單位大樓內的無線信號。(4)安裝防病毒軟件、防火墻、入侵檢測系統對行業內的網絡計算機,要逐臺安裝防病毒軟件和木馬查殺軟件,要求對病毒進行定時或實時的掃描及漏洞檢測。對文件、郵件、內存、網頁進行全面實時監控,一旦發現異常情況,及時定位處理。要使用補丁分發系統及時針對系統和常用軟件漏洞進行分發安裝。網絡層一定要軟硬結合,使用防火墻和入侵檢測系統,對安全策略及過濾規則按照最高等級設置,以防御外部惡意攻擊。對網絡中的IP地址加裝ACK地址管理系統。為了安全起見,全部設置靜態IP地址,然后與MAC地址綁定,這樣可以有效預防IP地址欺騙。同時利用上網行為管理系統,屏蔽非法訪問的不良行為,禁止把內部敏感信息和數據傳播至公共網絡。使用網絡監控和預警平臺對網絡進行監測,及時有效地保護網絡安全。(5)完善行業計算機網絡安全管理體系為了加強網絡安全管理,將信息安全管理工作落到實處,必須對網絡中的每個管理環節進行監管,實現網絡信息安全的最終目標。為了提前發現網絡風險,將風險降至最小,避免黑客利用漏洞破壞網絡信息安全,必須從頂層設計入手,針對網絡信息安全制定全面的管理體系和網絡信息風險評估體系,這對建設安全的網絡環境十分重要,可以對網絡信息起到監管作用,更加有利于網絡信息安全管理。(6)提高思想認識,加強制度落實信息安全管理工作的首要基礎是通過加強思想教育、制度學習和落實,提高全員的網絡安全意識。認真學習各類信息安全法規和保密教材,尤其是要深入學習《中華人民共和國網絡安全法》,強化安全保密觀念,提高安全保密意識和素質,增強網絡安全保密知識,改善網絡安全保密環境。(7)制定嚴格的信息安全管理制度為了維護行業信息安全,每個行業單位應結合實際情況,完善內部網絡信息安全管理制度,確保信息處理、存儲、傳播的安全。對于的計算機應安排專人負責。文件應單獨保存在介質中。對于機房、計算機軟硬件、信息系統建設與運維、郵件服務器系統,也應制定不同的安全策略和管理制度,并在實際工作中嚴格執行落實。(8)制定網絡安全應急管理措施為了能夠及時快速地處置網絡安全事故,行業各單位需結合實際情況,制定本單位網絡安全應急管理措施,明確崗位職責和處置權限,并定期開展安全應急預演,提高技術人員的應急處理能力。網絡安全事故突發應急處置過程中,一旦發現問題要及時上報,規定報送流程、時間要求等,采取措施降低損害。每次的處理都要記錄并保存,以便追溯。按照應急處置程序,一旦發生信息安全事件,要立即向有關部門報告。(9)重視網絡信息安全人才的培養各單位應重視網絡信息安全人才的培養,建立一支信息安全管理技術過硬的團隊。每年制定不同的年度培訓計劃,通過每季度不少于一次的專業培訓來提高網絡信息安全人才的專業技術能力。
3結語
總之,交通運輸行業對計算機及各種網絡的依賴性越來越強,遭受各種病毒侵擾、黑客攻擊也是不可避免的。交通行業計算機及網絡信息安全問題,必須引起各單位高度重視。人人都應從自我做起,提高個人的信息安全意識,養成良好的計算機使用習慣。只有完善制度、嚴格落實執行、提高監管力度,才能從根本上解決網絡信息安全問題,建立穩定、和諧、安全的網絡信息環境。
作者:郭俊杰 單位:中國交通通信信息中心
參考文獻:
[1]趙輝,樊杰,徐京渝.分布式行業電子政務網絡信息安全問題及對策[J].中國交通信息化,2013(2):36-38.
[2]李治國.淺析計算機網絡信息安全存在的問題及對策[J].計算機光盤軟件與應用,2012(21):47-48.
【關鍵詞】企事業;網絡現狀;安全管理;體系構建
1 引言
企事業單位網絡,作為在互聯網上業務延伸的平臺,它的功能和效果越來越受到各單位的重視。在各類單位系統建設中,安全無不被提高到戰略高度對待。各單位或從技術手段出發,采用各類信息安全技術來保障網絡安全,或是輔之以信息安全的制度保障,從技術加管理的角度來落實安全措施。但是由于開發和管理單位網絡時,在技術人員、意識、監督上的缺陷,造成軟件與管理上存在一定程度的漏洞,給單位的網絡安全帶來了影響,甚至影響了工作的開展。
1.1 實例分析
某市一企業2007年為了方便業務對象的手續辦理和咨詢,自建了互聯網服務器,開設網上辦理手續的網站,網站主要服務為業務手續所需表格的下載、申請審批的預約、申請審批進程的查詢、程序規范的宣傳和注意事項、疑問解答等,有需要的客戶在家就可了解該項手續的辦理,獲取申請表格、了解審批的進程。該網站采用access+asp,服務器操作系統使用windows2003,web服務使用操作系統自帶的IIS,系統安全措施采用kill6.0殺毒軟件。該站源代碼采用動易網站管理系統,是網上下載的一個免費源代碼程序,委托電腦公司根據實際業務需要經過修改而成。因該企業對網絡制作與管理不熟悉,也為了管理的方便,所以在管理上,超級管理員帳號由委托的電腦公司網絡制作人員掌握,出現網絡或服務器的問題則由該電腦公司派員進行維護,業務操作的帳號則由該企業人員掌握。開始籌劃并建立伊始,該企業對網絡的安全管理比較重視,特地咨詢技術人員制定了安全管理制度,確定每日檢查的事項,以及應急處理的方案。但由于該企業人員都只會業務操作,對安全管理這塊沒有概念,對此也不知如何監督管理,故日常的服務器檢查等都未開展,全靠電腦公司進行。由于服務器屬于該企業,故放置在辦公室,電腦公司維護人員通過在服務器安裝serve-u軟件開通了ftp功能,以及安裝Remote Administrator可以進行遠程控制,使網絡的一些代碼更改上的操作和一些簡單的系統問題可以進行遠程維護,服務器的系統登錄密碼該企業和電腦公司都掌握。
電腦公司在技術上有優勢,如果能按照安全管理制度做好日常維護管理,包給電腦公司進行網絡和服務器的維護這也是一個很適合該企業現狀的安全管理方案,但電腦公司技術員由于責任心問題未認真進行日常檢查維護,只是在該企業提出修改時進行一下網絡代碼的修改,或者系統局部問題的處理,在2007年初服務器的操作系統安裝完畢,系統補丁打全、殺毒軟件kill的病毒庫升級后,就沒有再次更新。由于網絡數據沒有及時備份,導致了業務信息全部丟失,無法及時進行應急恢復,給企業造成了很大的損失。
1.2 分析問題存在原因
發生這次攻擊并不是黑客的技術有多么的高超,仔細分析一下造成目前狀況的主要原因,其實很明顯:
(1)缺乏熟悉計算機技術的人員
該企業原有工作人員不熟悉計算機技術,水平僅停留在網絡的業務信息基本操作上,對網絡的安全管理一無所知。雖然網絡創建伊始制定了安全管理制度,確定每日檢查的事項,以及應急處理的方案,但是由于技術水平的限制,無法監督貫徹制度中的規定。
(2)存在重創建輕安防的意識
在網絡安全問題上該企業還存在認知盲區和制約因素,網絡是新生事物,很多人一接觸就忙著用于學習、工作等,對網絡信息的安全性無暇顧及,對網絡信息不安全的事實認識不足,造成安全意識淡薄。
(3)維護外包但監督未及時跟進
應該來說,該企業針對自身缺少技術人員的情況,將網絡和服務器包給電腦公司進行維護這個方案還是可行的,但問題出在外包后沒有將監督及時跟進,沒有對電腦公司的維護工作作出嚴格的監督,完全靠電腦公司技術人員發揮主觀能動性來進行維護,還是存在很大風險的。
2 網絡安全管理體系構建思路
2.1 技術保障體系中
技術研發:重新構建該網絡源代碼,或者在原先基礎上,可以購買收費版的動易系統,獲得開發商技術支持,可以有效防范代碼漏洞的危險。
防護系統:采用在殺毒性能強、用戶界面友好、升級方便的殺毒軟件,比如卡巴斯基殺毒軟件;采用防火墻,可以采用軟件防火墻(如天網,設置好詳盡的安全規則,屏蔽不用的端口)甚至硬件防火墻(如firebox),防止外部網絡用戶以非法手段通過外部網絡非法訪問服務器。
2.2 運行管理體系中
行政管理:在該企業內部建立安全組織機構,如電子商務網絡安全管理小組,由該企業的經理直接管轄,提升對安全管理的認識層次、制定完善的安全措施,協調管理和監督方面的事宜。
2.3 社會服務體系中
安全管理____隨著社會發展,安全管理外包服務越來越顯出其重要性,可以由MSSP(安全服務提供商)提供信息安全咨詢、安全技術管理、數據安全分析、安全管理評估等服務,使安全管理工作專業化。
應急響應____制定應急處置預案,進行演練
教育培訓____信息安全教育和培訓是該電子商務網絡的管理人員目前急需的,是對電子商務網絡進行有效管理、應用和維護系統安全的重要基礎。
2.4 基礎設施體系中
標準建設____參加計算機信息系統等級保護申報等。
3 體系構建存在問題的解決方法
3.1 增強單位工作人員安防憂患意識
該企業可以組織開展多層次、多方位的信息網絡安全培訓和技術學習,提高基本的計算機技術能力和對網絡安全的認識,形成網絡信息安全的概念,從而增強內部工作人員安全防范意識和防范能力,這是避免網絡安全事件發生的有效途徑。只要安防意識提高,就能帶動提高查找管理漏洞的能力和加強學習、彌補漏洞的動力。
3.2 配備與電子商務網絡相適應的技術力量
單位網絡的信息安全管理不是一成不變的,它應該是一個動態的過程,但又是一個必須“長抓不懈”的系統工程。隨著安全攻擊和防范技術的發展,網絡的安全策略也要因時因勢分階段調整,只有時刻保持住這種動態的平衡,才能使網絡的安全立于不敗之地,而前提是有相適應的技術力量,因為人是網絡最終使用者,也是在網絡整個生命周期中,如規劃設計、建設實施、運行維護等過程中的參與者和管理者,人的因素是保證網絡正常工作不可缺少的重要部分。
3.3 依托中介進行管理,完善監督機制
該企業將網絡和服務器的創建和維護包給電腦公司進行,按照安全管理制度做好日常維護管理,這也是一個很適合該企業現狀的安全管理方案,但電腦公司的技術員由于責任心的問題,未認真進行日常的檢查維護,而該企業工作人員由于技術水平問題以及安全防范上的意識問題,沒有對照安全管理制度對該電腦公司進行有效的督促。
4 結論
網絡是依賴于計算機和網絡技術而存在的,因此它的安全與否主要取決于服務器和網絡安全與否,即系統自身的安全隱患和信息安全隱患。我們只有在包括技術人員、意識、監督等在內的多方面措施支撐下,積極查漏補缺,防止和修補好單位網絡這個木桶出現的某一塊缺損木板,才能使這個木桶不因我們僵化靜止的觀念而漏水,使企事業單位網絡能發揮出它的積極作用。
參考文獻:
[1]張莉.計算機網絡應用基礎[M],中國農業出版社,2005.
[2]褚峻.構建電子政務安全管理體系研究[J] .檔案學通訊,2003(3).
近年來,杭州市電梯數量增長迅猛,2011年底杭州市已注冊在用乘客電梯4.8萬部,2012年上半年又新增乘客電梯、自動扶梯近5000臺。但是全市電梯維保行業從業人員的數量卻沒有相應增長。根據《特種設備安全監察條例》和相關電梯的安全技術規范,電梯維保工作對相關人員的綜合要求相對較高,需要維保人員既能夠熟悉電梯專業知識,又要能夠和物管人員、小區業主等人協調溝通,同時電梯維保工作具有一定的危險性,所以一個合格的維保人員培養的過程很長。但是維保人員的工資卻不高,愿意從事這個行業的人并不多,熟練的維保工人非常匱乏。所以,如何改變電梯行業依靠勞動力數量的發展方式,如何通過提高從業人員專業水平和應用科技手段提升電梯企業管理水平已經迫在眉睫。
杭州市自2010年10月開通電梯應急特服電話96333以來,在杭州市特種設備應急救援指揮平臺的基礎上,逐步建立、完善了覆蓋主城區的基于物聯網的電梯運行安全遠程監控系統,實現了依靠科技手段實現電梯巡檢和診斷,依托大品牌制造單位和維保單位,確保涉及民生的公共安全。
電梯應急救援指揮系統
杭州市電梯應急救援指揮體系,通過電梯運行安全物聯網,采用電梯運行安全參數和音視頻遠程傳輸技術,對電梯運行進行實時監控,實時監測到的數據用作電梯制造、維保單位對電梯實施保養修理的決策依據。如監測到數據顯示電梯處于安全隱患狀態,系統會自動預警,提示電梯維保單位及時處理;監測到電梯故障困人,系統將自動向特種設備應急處置中心和電梯維保單位報警,以此大大提高電梯困人救援的效率。
杭州市電梯應急救援指揮體系的核心是“電梯運行安全物聯網”,集成相關多項技術,包括傳感技術用于電梯乘客和電梯狀態檢測;射頻識別技術用于電梯基本信息識別,電梯維保人員考勤;網絡傳輸技術用于電梯狀態參數、音視頻流的遠程傳輸;音視頻解壓縮用于電梯實時圖像監控的錄制和傳輸;GPS以及電信運營商基站定位技術用于維保人員和電梯被困人員的準確定位等等。
系統應用及功能
電梯運行安全物聯網規模示范網體系下分為兩個子系統:一是電梯運行安全參數采集系統;二是電梯音視頻圖像采集、電梯運行狀態顯示及媒體平臺綜合系統。
電梯運行安全參數采集系統對電梯運行狀態進行實時監控,電梯運行安全監測數據接入電梯應急處置平臺。遇到電梯困人能夠報警,能夠對電梯故障進行統計分析,向電梯維保單位預警。
依托杭州城域網和信息化大平臺,參照公交移動電視模式,在電梯轎廂內設置移動電視,一是用來顯示電梯運行參數,二是作為媒體信息平臺,三是作為政府公益宣傳平臺;四是在電梯困人時播放安撫和自救指導片。移動電視平臺由政府指定單位統一運營,通過對電視的運營來彌補監控系統運營費用的不足,從而推動全市電梯物聯網產品、技術、應用的有序發展。系統總體架構如圖1所示。
系統軟件平臺采用微軟.Net架構、Oracle和MS SQL Server數據庫開發。前段硬件設備采用采用ARM+DSP和實時Linux架構,其處理器和存儲等硬件資源滿足電梯故障參數、音視頻信息、各類傳感器信息的接入、處理和傳輸。設備針對電梯行業的特殊性開發專用通信接口,完成了電梯故障參數的接入,針對不同電梯品牌的故障參數,將其歸一到統一的故障參數定義標準中,供后臺系統使用。除了對電梯自身狀態的檢測,安全網關還實現了對電梯周邊環境的監測,包括電梯井溫濕度、機房溫濕度等。所有監測數據和視音頻信息通過設備中內嵌的3G設備或者以太網傳輸到監控中心。
系統設計理念
終端設備功能
電梯端監控終端采用AC220V/DC12V給系統供電,并采用后備電池備用供電回路。日常記錄電梯運行狀況及統計,檢測電梯故障及困人等事故,通過3G、Wifi或者有線網絡傳輸數據,實現電梯定位,提供視頻對話功能;同時提供預留I/O接口方便后續升級和功能擴展。終端系統圖如圖2所示。
終端采用工業AC220V/DC12V模塊,抗干擾能力強,使用范圍寬,達到國家電磁認證,通用性強,技術成熟,性價比比較高,能夠達到電梯儀表電源方面的標準。采用鉛酸電池及充電管理,在停電時候,能夠迅速切換提供后備電源,同時鉛酸電池在撞擊和高溫時,不會爆炸和起火,避免火災、爆炸隱患。采用3G無線通訊模塊,無線傳輸視頻、音頻及通訊數據。利用SD卡,保存運行參數、媒體視頻、政府公益宣傳視頻、困人安撫指導視頻和音頻數據、求救記錄,人員狀況及其他狀況記錄等。設計人體紅外感應功能,針對高溫天氣下困人環境的人體的熱感應功能。
數據傳輸系統
電梯安全網關支持了多種網絡傳輸制式,包括中國電信EVDO網絡、中國聯通WCDMA、中國移動TDS-CDMA等3G網絡;也可以采用有線網絡以及有線和wifi融合等方式;系統同時向下兼容2G網絡環境,可在3G網絡信號未能覆蓋的區域平滑切換到2G網絡模式工作。
電梯安全網關能根據無線網絡視頻傳輸的特殊環境進行優化,調整網絡傳輸協議,并對視頻編碼方案進行優化,做到根據網絡帶寬變化自動調節視頻圖像的碼流和圖像質量。系統網絡拓撲圖如圖3所示。
軟件管理平臺
系統的軟件部分主要分為3個子系統:電梯安全運行監控及報警系統、流媒體系統、存儲系統。電梯安全運行監控及報警系統用于監控電梯的運行、發生故障的報警,分為處置中心、電梯維保單位、電梯使用單位3級、多點平臺,由于電梯維保單位監控電梯存在隱私權的問題,而電梯使用單位又無法保證使用平臺全天候正常使用,故而原則上所有的運行數據、故障時的音視頻數據全部保存于處置中心,另2級平臺只可以查詢處置中心授權的信息、數據。當電梯發生緊急情況時,處置中心第一時間通過電梯安全運行監控及報警系統對故障現場情況進行監視,視現場情況確定處理方案。流媒體系統用于當電梯發生緊急情況時,處置中心與被困乘客進行雙向音視頻交流時對音視頻數據進行處理。存儲系統嵌入于電梯安全運行監控及報警系統和流媒體系統內,對電梯平時運行數據、緊急情況時的音視頻數據進行存儲。
網絡安全
網絡安全包括物理的和邏輯的網絡安全。系統可根據不同區域內安全等級的不同采取相應的安全策略,采用防火墻、路由器、前置機等措施隔離內外網數據流實現事前管理,并通過入侵檢測軟件、系統日志分析等實現事后管理。
采用數據加密。對關鍵敏感信息(如用戶口令,數據交換文本等)都進行加密處理,將加密后的密文在網絡中傳輸,并由接收方解密后分析原始數據。對于用戶口令等信息,直接將密文在數據庫中存儲,保證了數據庫存儲層的安全性。
采取日志及安全審計。通過詳細記錄用戶的操作過程,生成用戶操作的日志文件。安全審計信息是電子舉證的重要手段,能夠用于追查網絡攻擊和泄密行為。另外,通過數據庫管理系統本身的審計功能,在SQL語句層面上記錄數據庫變化的過程,輔助追蹤其他方式的數據庫越權操作行為。
數據存儲及備份。系統采用了大容量基于SAN結構的磁盤陣列系統,所有數據集中統一存儲。對于系統運行過程中產生的大量數據,選用備份管理軟件進行定期數據備份。另外,通過市政府的遠程災備系統進行數據備份。
應用成效
要構建“和諧浙江,品質杭州”,就要建立并逐步完善城市電梯的安全保障體系,控制在用電梯的故障率,電梯出現故障后能對人員實施及時救援。在杭州公共場所、住宅等使用的電梯上配置電梯安全運行監控裝置,依靠物聯網技術,可以實現對電梯故障的實時監控。通過一年半的運行,杭州市實現了隨時掌握電梯困人信息,及時第一發出指令,有效實施救援,大大提高了政府監管部門對電梯應急處置的效率。
杭州市電梯應救援指揮體系的建設,基本實現了“智慧杭州、智慧城市”的幾大特性:
先進性——采用了先進的概念、技術和方法,結合面向對象的設計思路,綜合數據集成的先進技術,應用流行管理理論,為用戶提供直觀易用的控制、故障應對、救援綜合解決方案。
易維護性——提供了靈活的組織機構、用戶權限、數據備份/恢復、數據追蹤、數據整合、應用回退等管理工具,采用模塊式組合,極大地方便了系統維護工作。
適用性——提供了可靠合理的功能和輸入/輸出接口,適用于不同的環境。系統可以根據不同型號的電梯進行靈活的選擇配置,將不同品牌、型號的電梯集成在一個系統內。
集成性——充分考慮到信息、功能、系統集成的需要。將遠程通話、遠程電梯控制、遠程視頻控制、故障分析、遠程控制等系統相連接、集成到一套系統中。
安全性——系統完全獨立,自備電源不與其他系統有任何交叉,運行可靠、安全,從應用角度對系統安全和數據安全進行保護;視頻監視系統在電梯正常時不起作用,當電梯故障或控制室發出指令時才可進行視頻控制并同步錄像,保障乘客隱私。
這些網絡攻擊不僅僅發生在電腦上,還出現在其它設備上。很多移動設備頻遭攻擊,甚至汽車也被入侵,直接威脅到司乘人員和公眾的生命安全。為了抵御這些威脅,安全廠商正在竭盡全力,與之較量。這是一場沒有硝煙的戰役,戰場就在我們身邊,而且戰場范圍還在擴大,這給公眾帶來了更多的困擾和風險。
2015年第二季度,安全廠商了新一期安全報告,就如何抵御這些威脅進行了分析探討。思科等安全廠商提出了新的解決方法,訣竅就是“快”。縮短檢測時間,快速處理,這樣才能抵御變幻莫測的攻擊行為。
吹響戰斗的號角
近日,思科了2015年年中安全報告。在該報告中,我們可以看到Angler Exploit Kit成為了常見威脅類型的代表。由于數字經濟和萬物互聯(IoE)為攻擊者創造了新的攻擊途徑和盈利機會,此類威脅將會給企業帶來嚴峻挑戰。
此調研發現,Angler是當前最復雜、應用最廣泛的漏洞利用工具包。此外,攻擊者可利用它通過域名陰影(Angler的技術之一,大部分域名陰影活動的締造者)逃避檢測。
針對Adobe Flash漏洞的工具,集成在Angler和Nuclear工具包內,呈上升趨勢。導致這一現象的原因是缺少自動執行的更新補丁,消費者因此未能及時更新。在2015年上半年,通用漏洞披露網站(CVE)的系統報告顯示,2014年全年Adobe Flash Player漏洞數量增加了66%。按照這樣的速度,2015年CVE報告的Flash漏洞數量將創下空前紀錄。
除了漏洞危機,勒索軟件(ransomware)也逐漸演變,成為黑客的攻擊武器。黑客對勒索軟件的操作已經非常熟練。為使支付交易躲避執法機關的檢查,勒索通常采用更為隱秘的無實體付款方式。
當然,還有來自于變異惡意軟件的威脅。這些軟件的創造者對規避安全措施有著深刻的理解。作為其逃避戰術的一部分,攻擊者會快速改變電子郵件的內容、用戶、附件,或者推出新的活動,迫使傳統殺毒系統重新檢測它們。
思科全球高級副總裁兼首席安全官John N. Stewart表示:“企業不能只是簡單地接受‘妥協是不可避免的’這種局面。技術行業必須終結這個游戲,提供可靠的彈性產品和服務,同時安全行業必須提供大幅改進且顯著簡化的功能,以檢測、預防攻擊,以及從攻擊中恢復。在這一方面,我們始終處于行業發展的最前沿。客戶經常告訴我們,業務戰略和安全戰略是他們面臨的兩個最重要的問題,他們希望與我們建立可信賴的合作伙伴關系。信任與安全密切相關,同時透明度至關重要。因此,技術領先只是成功的一半,我們致力于同時提供行業領先的安全功能和跨所有產品線值得信賴的解決方案。”
DDoS威脅波及面廣
吹響戰斗號角的不僅僅是思科一家廠商。還有很多安全廠商都在研究新的網絡威脅機制,積極應對。卡巴斯基實驗室的2015年第二季度DDoS情報統計數據顯示,在遭遇僵尸網絡攻擊的資源中,四分之三均位于中國、美國、韓國、加拿大、俄羅斯、法國、越南、克羅地亞、德國等九個國家。同上一季度相比,這一數據有所下降。2015年第一季度,十分之九的受害者位于排名前九位的國家。本季度,美國和中國位居前兩位,究其原因可能是這兩個國家的網絡托管服務較為便宜。第二季度,遭受DDoS攻擊的國家從76個上升到79個。排行榜中排名的變化,以及越來越多的國家遭受這類攻擊的危害,均表明沒有任何國家能夠從DDoS攻擊中幸免。
卡巴斯基實驗室卡巴斯基DDoS保護總監Evgeny Vigovsky對此表示:“社交工程技巧的濫用、新型互聯網訪問設備的出現、軟件漏洞和對于反惡意軟件保護重要性的低估,都造成了僵尸程序的泛濫,增加了DDoS攻擊的數量。所以,不管企業在哪里,規模和類型如何,都面臨遭遇攻擊的風險。2015年第二季度,卡巴斯基實驗室所保護的DDoS攻擊受害者包括政府機構、金融機構、大眾媒體甚至教育機構。”
在發動攻擊技術方面,網絡罪犯開始更多地開發利用網絡設備創建僵尸網絡的技術,例如利用路由器和調制解調器。這些變化會對未來僵尸網絡造成的DDoS攻擊數量增長造成影響。
由于現在幾乎沒有公司不使用在線資源(電子郵件、網絡服務和網站等),通過DDoS攻擊服務器,將給企業造成嚴重的商業風險和經濟損失。因此,卡巴斯基實驗室建議所有企業都要事先確保自己服務的安全。在為企業IT基礎設施選擇抵御DDoS攻擊的解決方案時,最好選擇市場上知名的供應商。
新設備帶來新風險
趨勢科技監測顯示,近兩周全球出現了許多新型的網絡安全風險,以往僅存于iOS設備的Hacking Team間諜軟件已經蔓延至Android設備。此外,汽車所面臨的網絡安全風險也變成現實,克萊斯勒甚至為此召回了140萬輛汽車。這些網絡安全風險提醒用戶,需要加強對網絡安全動態的關注,并部署具有前瞻性的網絡安全防護系統。
iOS設備在前一段時間面臨Hacking Team間諜軟件的風險,現在已經繼續延伸到Android設備,手機是其中的重災區。RCSAndroid(遠程控制系統Android)程序代碼被認為是到目前為止已知的Android惡意軟件中開發最專業且成熟的一個,可以竊聽用戶的通話。
除了以上這些威脅外,危險可能隨時隨地直接降臨到司機身上。美國兩名資深網絡安全專家日前公開示范,他們可利用網絡讓行駛中的車輛熄火。美國科技媒體《連線》的編輯駕駛了一部配備有 UConnect 通信娛樂系統的 Jeep Cherokee,并開上了高速公路,兩名黑客利用筆記本電腦,控制了車輛的空調、音響及雨刷,最后甚至直接將車輛熄火。
受此影響,菲亞特-克萊斯勒(Fiat Chrysler)7月24日宣布召回140萬輛配備某些無線觸控面板的汽車,將軟件進行升級以防范可能的網絡攻擊。這是美國首例因黑客入侵疑慮的車輛召回,并且顯示汽車業積極推進萬物互聯(IoE,Internet of Everything)所面臨的風險。
實現快速全面檢測至關重要
在不斷變化的攻擊面前,是否能及時全面地檢測對安全廠商來說是非常重要的。下面記者以其中的一個Flash 0-Day漏洞樣本為例(見圖1)簡單介紹一下該漏洞的攻擊機制和檢測機制。該漏洞是Flash動態腳本字節數組釋放后重用漏洞(Action Script Byte Array Buffer Use After Free),經測試(某瀏覽器在安裝了最新flash插件后完美彈出計算器的效果,見圖2、3),該0-Day若被利用,便可引發掛馬風暴。
某些安全廠商的APT檢測產品可以在不升級的情況下準確檢測出該漏洞樣本,并且準確檢測出利用這些0-Day漏洞的攻擊行為(見圖4)。
隨著業務數字化和萬物互聯的不斷發展,惡意軟件和威脅變得更加普遍,這給預估檢測時間(TTD,time to detection)長達100至200天的安全行業帶來了嚴峻挑戰。這些新威脅凸顯了企事業單位和大眾對縮短檢測時間的需求。
那么企業該如何防御不斷變化的安全威脅呢?安全廠商必須謹慎開發集成的安全解決方案,幫助企業發揮主動性,協調正確的人員、流程和技術。思科為用戶提供了以下幾點建議:
首先,采取集成的威脅防御。用戶面臨單點產品解決方案帶來的嚴峻挑戰,需要考慮嵌入擁有無處不在的安全功能、能夠在任意控制點執行的集成威脅防御架構。
其次,以全面的服務填補安全空白。鑒于安全行業面臨著日益碎片化、動態多變的威脅局面,同時還需考慮如何應對技能嫻熟人才缺口不斷擴大等問題,企業必須投資購買有效、可持續且可信的安全解決方案和專業服務。
再次,制訂全球網絡安全治理框架。全球網絡治理并非用于處理新出現的威脅環境和地緣政治挑戰。邊界問題涉及政府如何收集有關公民和企業的數據并在轄區間共享,由于全球協作非常有限,這一問題已成為實現統一網絡治理的重大障礙。要在全球范圍保持業務創新和經濟增長,一個涵蓋多方利益相關者的協作網絡治理框架將必不可少。
最后,向供應商提出明確需求。用戶應要求其技術供應商詳細說明并展示其涵蓋在產品中的安全功能,以確保其成為可信賴的供應商。用戶必須在產品開發的各個環節貫徹這一理念,包括從供應鏈到其產品部署的生命周期的各個階段。他們必須要求供應商將其聲明記錄在合同中,并要求更出色的安全性。
思科安全業務事業部首席工程師Jason Brvenik認為:“黑客無所顧忌,氣焰囂張,攻擊手法變化多端。我們一次又一次地見識了全國性攻擊。惡意軟件、漏洞利用工具包和勒索軟件帶給我們很多危害。純粹的防御已經證明無效,而我們又難以接受長達數百天檢測時間。‘當你受到威脅時會做什么’這一問題要求企業投資購買集成的技術,確保所有技術能夠將檢測和修復時間縮短至數小時;然后他們應該要求其供應商幫助他們將這一指標降至數分鐘。”
齊心合力治理網絡威脅
網絡安全不是個人問題,需要公眾共同努力,攜手治理。近期由國家互聯網應急中心(CNCERT)和中國互聯網協會網絡與信息安全工作委員會牽頭,展開互聯網網絡安全威脅治理行動。在治理行動的第一周(2015年8月1日~8月9日)里,已經取得了明顯成果。
隨著全球信息化程度的加深,CDN已經成為互聯網上向用戶提供服務的重要系統之一,一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務于重要國家部門、金融機構、網絡媒體、商業大型網站,并經常承擔奧運會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內容安全準確地分發給用戶也非常重要。一旦CDN出現業務中斷、數據被篡改等安全問題,可能對用戶使用互聯網服務造成大范圍嚴重影響,甚至可能影響社會穩定。
標準工作開展背景
一直以來,國際國內缺乏專門的標準明確CDN應滿足的安全要求,今年《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》在中國通信標準化協會(CCSA:ChinaCommunications StandardsAssociation)立項,“電信網安全防護標準起草組”討論了征求意見稿,相信CDN安全的標準化工作,能對促進CDN服務商規范安全地提供服務,從整體上提高CDN行業的安全防護水平提供指導。
美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網絡在國家政治、經濟和社會發展過程中的基礎性和全局性作用與日俱增,這些發達國家越來越重視通信網絡安全,并上升到國家安全高度。我國也越來越重視網絡與信息安全保障,相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發【2006】11號《2006―2020年國家信息化發展戰略》等文件指導基礎信息網絡和重要信息系統的安全保障體系建設。
近五年通信網絡安全防護工作取得很大成效,指導通信網絡從業務安全、網絡安全、系統安全、數據安全、設備安全、物理環境安全、管理安全等各方面加固,提高了通信網絡運行的穩定性和安全性、基礎電信運營企業安全管理的規范性,也促進了通信行業安全服務產業的快速發展。
隨著通信網絡安全防護工作逐步深入規范開展,2011年工業和信息化部組織開展了增值運營企業的安全防護試點,率先對新浪、騰訊、百度、阿里巴巴、萬網、空中信使運營管理的網絡單元進行定級備案、安全符合性評測和風險評估。
2011年,“電信網安全防護標準起草組”組織研究起草《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》等8項安全防護標準,工業和信息化部電信研究院、藍汛、網宿、清華大學、中國移動、中國電信、華為、中國互聯網協會等單位研究人員參與了標準的起草,目前這兩項標準的征求意見稿已經在CCSA討論通過。
根據《通信網絡安全防護管理辦法》,按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯網內容分發網絡安全防護要求》明確了一級至五級CDN系統應該滿足的安全等級保護要求,級別越高,CDN需滿足的安全要求越多或越嚴格。《互聯網內容分發網絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等,有助于深入檢查企業是否落實了安全防護要求。
CDN安全防護內容
CDN位于內容源站與終端用戶之間,主要通過內容的分布式存儲和就近服務提高內容分發的效率,改善互聯網絡的擁塞狀況,進而提升服務質量。通常CDN內部由請求路由系統、邊緣服務器、運營管理系統、監控系統組成,CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯網的重疊網,與承載網松耦合。
CDN主要是為互聯網上的各種業務應用提供內容分發服務,以顯著提高互聯網用戶的訪問速度,所以保障CDN分發的數據內容安全和CDN業務系統安全至關重要,保障CDN的基礎設施安全、管理安全,有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數據內容安全、業務系統安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。
(1)CDN數據內容安全
為保障CDN分發的數據內容安全,需要確保CDN與源站數據內容一致,并進行版權保護,記錄管理員的操作維護并定期審計,一旦發現不良信息能夠及時清除,同時提供防御來自互聯網的網絡攻擊并對源站進行保護的能力。
數據一致性:CDN企業提供對內容污染的防御能力,識別和丟棄污染的內容,保障重要數據內容的一致性和完整性;保證CDN平臺內部傳輸數據的一致性;防止分發的內容被非法引用(即防盜鏈)。
版權保護:按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。
安全審計:記錄管理員(含源站管理員和CDN系統內部管理員)對CDN系統的管理操作,留存日志記錄并定期審計。
不良信息清除:一旦發現CDN系統內部含不良信息,應在內容源站或主管部門要求時間內,完成全網服務器屏蔽或清除不良信息。
防攻擊和源站保護:引入CDN后不應降低內容源站的安全水平,同時CDN在一定程度上提供對內容源站的抗攻擊保護。
(2)CDN業務系統安全
為保障CDN的業務系統安全,需要從結構安全、訪問控制、入侵防范等方面進行安全保護,另外鑒于請求路由系統(即DNS系統)在CDN系統中的重要性以及目前DNS系統存在脆弱性,需要保障請求路由系統的安全。
結構安全:CDN企業在節點部署時應考慮防范安全攻擊,如為服務器單節點服務能力留出足夠的冗余度、配置實時備份節點等。
訪問控制:對管理員操作維護進行身份認證并進行最小權限分配,從IP地址等方面限制訪問。
入侵防范:關閉不必要的端口和服務,CDN能夠抵御一定的安全攻擊并快速恢復。
請求路由系統安全:部署多個內部DNS節點進行冗余備份,并對DNS進行安全配置。
(3)CDN基礎設施安全
保障CDN的基礎設施安全,可從主機安全、物理環境安全、網絡及安全設備防護等方面進行保護。
主機安全:企業對CDN的操作系統和數據庫的訪問進行訪問控制,記錄操作并定期進行安全審計;操作系統遵循最小授權原則,及時更新補丁,防止入侵;對服務器的CPU、硬盤、內存等使用情況進行監控,及時處置告警信息。
物理環境安全:機房應選擇合適的地理位置,對機房訪問應進行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施,并確保電力持續供應。
網絡及安全設備防護:IP承載網需要從網絡拓撲結構、網絡保護與恢復、網絡攻擊防范等方面進行保護。
(4)CDN管理安全
規范有效的管理對于保障信息系統的安全具有重要作用,可從機構、人員、制度等方面進行保障,同時應將安全管理措施貫穿系統建設、系統運維全過程。
機構:通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。
人員:在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環節加強對人員的管理。
制度:對重要的安全工作制訂管理制度,確保制度貫徹執行,根據安全形勢的變化和管理需要及時修訂完善安全制度。
安全建設:在系統定級備案、方案設計、產品采購、系統研發、工程實施、測試驗收、系統交付、選擇安全服務商等環節進行安全管理,分析安全需求、落實安全措施。CDN企業在新建、改建、擴建CDN時,應當同步建設安全保障設施,并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用,需納入建設項目概算。
安全運維:在系統運行維護過程中對物理環境、介質、網絡、業務系統、安全監測、密碼、備份與恢復等加強安全管理,提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。
(5)災難備份及恢復
可通過配置足夠的冗余系統、設備及鏈路,備份數據,提高人員和技術支持能力、運行維護管理能力,制訂完善的災難恢復預案,提高CDN企業的抗災難和有效恢復CDN的能力。
冗余系統、設備及鏈路:運營管理系統、請求路由系統等核心系統應具備冗余能力,在多個省份備份,發生故障后能及時切換;CDN設備的處理能力應有足夠的冗余度;核心系統間的鏈路應有冗余備份。
備份數據:系統配置數據、源站托管數據等關鍵數據應定期同步備份。
人員和技術支持能力:應為用戶提供7×24小時技術支持,員工應經過培訓并通過考核才能上崗。
運行維護管理能力:運維人員應能及時發現系統異常事件,在規定事件內上報企業管理人員、客服人員,做好對客戶的解釋工作。
災難恢復預案:應根據可能發生的系統故障情況制訂詳細的災難恢復預案,組織對預案的教育、培訓和演練。
CDN標準展望
2011年制訂的CDN標準還只是一個嘗試,目前《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》僅對作為第三方對外提供互聯網內容分發服務的CDN提出安全防護要求和檢測要求,隨著后續CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化,CDN安全防護標準還會不斷修訂完善。
【關鍵詞】云平臺 系統安全 軌道交通 AFC系統
1 國內軌道交通AFC發展現狀
在地鐵大系統中,自動售檢票系統(AFC系統)以其高度的智能化設計,扮演著售票員、檢票員、會計、統計、審計等角色,以數據收集和控制系統實現了票務管理的高度自動化。隨著電子技術的高速發展,自動收費系統理念和技術也發生了巨大變化,一卡通、微信支付寶,電子錢包等便利手段的應用愈來愈普及,為廣大乘客帶來極大便利。
隨著微信支付,支付寶支付、銀聯支付等網上支付興起,AFC系統也在積極探索尋求新的發展途徑。
傳統的AFC系統是封閉的,也是安全的。傳統的AFC系統難以快速、安全地接入外部互聯網,云平臺很好地補充傳統AFC系統業務場景的不足,支撐網上支付的云平臺網絡安全問題必然成為了城市軌道交通業務擴展的首要面臨的問題。
2 云平臺系統安全的必要性
2.1 云平臺的主要功能
云平臺承擔線網互聯網票務管理職能,實現線網互聯網終端統一管理、互聯網車票統一發行和管理、乘客移動端服務界面管理、支付系統對接管理等功能。
2.2 云平臺的現狀
云平臺部署在AFC網絡內,依賴現有的物理網絡,互聯網售取票機直接連接云平臺。云平臺通過網絡運營商提供的服務連接外部互聯網,實現與不同支付平臺以及移動端的連接。
2.3 現階段云平臺的架構
如圖1所示,云平臺作為傳統AFC系統的補充,作為城市軌道交通運營公司統一的對外接口,實現與第三方支付平臺、商業銀行等支付機構的對接,為運營公司提供廣泛的中間業務支持,也可以對互聯網售票機進行票務管理。
2.4 現階段云平臺的安全隱患風險分析
云平臺是城市軌道交通的重要業務網絡,其網絡環境的安全性直接影響到市民的日常生活及公共安全。云平臺受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,甚至在敏感地^對國家安全造成嚴重損害。
3 云平臺系統安全在AFC系統應用的可行性
強化云平臺系統安全建設,按照公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室和相關國家部門關于信息系統在物理、網絡安全運行、主機安全、應用安全、備份及容災等技術方面和管理等方面的總體要求,科學合理評估系統風險,合理確定安全保護等級,在此基礎上科學規劃設計一整套完整的安全體系建設方案。
(1)為云平臺系統提供安全的網絡環境;
(2)保障的現有AFC系統的安全性和獨立性;
(3)增強了云平臺對抗攻擊和病毒的能力,同時具有主動安全防御能力,在現有復雜的安全形勢下加強了生產網絡的安全性,保障業務的穩定性;
(4)按照立體式的安全體系設計,做到對風險可預防,可控制;
(5)滿足國家和行業對網絡安全建設的要求,符合相關等保標準要求。
4 云平臺系統安全技術應用方案研究
4.1 云平臺系統安全設計原則
(1)實用性和先進性原則;
(2)高性能原則;
(3)可靠性原則;
(4)安全性原則;
(5)可擴展性原則;
(6)可管理性原則;
(7)前瞻性原則;
(8)等級標準性原則。
4.2 云平臺系統技術架構
云平臺系統安全模型是整體的、動態的,該模型對于安全環境的理解與傳統的安全模式有很多不同,要真正實現一個系統的安全,就需要建立一個從檢測、防御、預測到恢復的一套全方位的安全技術體系。
4.3 云平臺系統安全規劃
4.3.1 網絡邊界安全
針對常見的SQL注入、緩沖區溢出、暴力破解等黑客入侵攻擊行為進行有效的防護。通過切斷終端計算機對網絡和服務器資源的直接訪問,而采用協議的方式,接管了終端計算機對網絡和服務器的訪問。過濾掉所有對目標設備的非法訪問行為,并對內部人員誤操作和非法操作進行審計監控,以便事后責任追蹤。
4.3.2 應用主機安全
應安裝防惡意代碼軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫;應能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發生嚴重入侵事件時提供報警;應能夠對重要程序完整性進行檢測。
4.3.3 數據存儲安全
部署安全審計系統,對存在的數據庫操作行為進行審計。審計的內容包含操作的人員,操作的時間,操作的內容等,當內部出現數據庫安全事件時可以通過數據庫審計系統定位到相應的責任人,做到有據可查。
4.3.4 安全態勢感知
在大規模網絡環境中,收集安全運行的各類要素,采集各類安全狀態信息、匯聚各類安全事件和網絡攻擊,基于大數據計算技術,監控、識別、感知安全威脅、異常流量與攻擊源等,分析預判未來一段時間內的安全影響趨勢,感知風險威脅,預知安全隱患并協同處置。
4.3.5 《網絡安全等級保護管理辦法》
云平臺系統設計、建設和運營需要滿足國家和行業對網絡安全建設的要求,符合等保三級及以上要求。
云平臺作為軌道交通的重要業務系統,需要加強系統安全建設,貫徹落實總書記2016年4月19日《在網絡安全和信息化工作座談會上的講話》精神,建立“威脅識別、精準監管、整體協同、預警響應”的安全態勢感知體系,推動軌道交通行業信息系統安全技術發展,協同構建國家自主可控的信息安全保障體系。
作者單位
工作目標:應對疫情期間各項通信保障工作, 確保疫情期間網絡安全平穩運行,堅持以“零重大網絡事故、零重大安全事件”為保障目標。
一、人員:做好網絡條線自有、合作方人員防護和管理
1.確保自有人員100%接種疫苗:各中心、各分公司要梳理自有員工的疫苗接種情況,對于未接種疫苗的員工應督促接種,實現100%接種。
2.加強駐場人員檢查:對常駐各生產樓、生產基地的設備廠商、維護單位、合作單位的人員,應督促其接種疫苗,加強檢查其行程碼等信息。
3.外出維護人員加強防護:對于外出從事具體維護工作的綜合代維單位、裝維單位人員要嚴格按照當地分公司及社區要求,做好維護人員疫苗100%接種和定期核酸檢測工作加強防護教育,外出作業務必做好口罩、消毒等措施。
4.高風險地區歸來人員加強管理:對于從中高風險地區歸來的自有、合作方人員,要嚴格依據當地社區的要求開展相應的人員上報、落地核算和封閉政策,并禁止進入各網絡維護作業區。
二、物資:做好各類防護物資的儲備,做好各類通信保障類的物資儲備
防護物資
1. 各生產基地、分公司、合作方駐點、代維單位駐點要加大口罩、消毒水等防疫物資的儲備,具備兩個月的消耗能力。
2. 各代維單位、裝維單位要對維護車輛、工具、儀器儀表進行盤點、檢查,確保正常。
3. 網管中心、各分公司要對油料供應、鏈路出口負荷、制定應急預案,確保應急期間網絡運維工作正常開展。
4. 各分公司對外出維護作業積極與相關部門建立對接機制,確保關鍵時期能夠正常維護作業。
通信保障物資
1.家客專業:各分公司開展儀表、終端、尾纖、皮線光纜、OLT備件、車輛等物資的盤點,適當適量提前下沉至市場網格、農村駐點。同時要充分考慮疫情形勢對物流的影響,積極協同市場、政企、采購部門做好各類物資、終端的供貨催辦,儲備至少2個月的裝維物資余量,裝維人員做好隨時下沉駐地裝維的準備。
2.無線、傳輸、集客、動力等專業:盤點各類備品備件、維護材料,應儲備2個月備品備件和維護材料的余量。
三、落實值班制度
各單位加強“疫情”期間各專業安全責任落實工作、檢查設備運行質量、專業維護人員7×24小時值班、專家7×24小時技術支援、并要求技術骨干保證24小時開機及第二聯系方式暢通,確保供電系統運行質量安全。
四、各專業通信保障要求
(一)家客專業
1.開展預檢預修預擴容。結合網絡安全生產“大起底、大排查、大整治”工作要求,持續加快推進家寬網絡安全隱患整治,按需開展PON網管巡檢、線路資源維修、OLT擴容、后備電源整治等工作,確保關鍵網絡指標管理到位。
2.強化網絡質量保障。加強流量監控,高度關注OLT上行受限、OLT機房停電、線路性能劣化等影響家客上網質量問題,嚴格執行“即辦即裝、即報即修”服務要求,保障服務質量不得出現大量滯留工單。
(二)集客專業
1.落實責任:請各分公司將重保電路分配專職維護人員,針對重保專線提前排查專線告警、性能隱患并完成整改,重要隱患問題不能在近期完成整改的,請在保障期間做好盯防,避免出現故障與投訴,并做好相關儀表檢修、備品備件儲備和現場維護隊伍調度預案。
2.加強巡檢:請各分公司及時完成省內保障專線現場巡檢工作,排除故障隱患并將重要專線保障巡檢及隱患情況上報至區公司。
3.熟悉預案:請各分公司完善集客專線保障方案及應急預案,確保保障人員熟悉預案,遵循“先搶通、后搶修”的原則,保證預案有效快速實施。
4.落實值班:請各分公司在重保期間安排值班人員(電話值班),確保值班期間手機24小時暢通,保證專線故障能夠及時處理。
(三)傳輸專業
一干及二干保障要求
1.請客響中心組織各分公司做好一干和二干光纜線路巡檢,適當增加頻次,盡早發現隱患并處理。需要遷改優化的段落及嚴重隱患整治段落需要加快整治進度。做好設備和網管系統的運行情況檢查,及時整改巡檢問題,提前做好隱患板件的更換。完成巡檢后反饋巡檢情況。
2.請客響中心組織各分公司制定好光纜、設備、網管等保障方案和應急預案,并提前完成預案演練。針對故障高發、性能劣化等重點段落應重點、多次演練。確保備品備件充足,確保備用波道可用。
3.請客響中心定期分析4G、5G回傳業務在核心設備上的流量超限情況,提前預警并做好傳輸帶寬擴容。
本地網及城域網傳輸保障要求
1.做好隱患排查:請客響中心組織各分公司共同做好隱患排查、線路巡檢、倒換演練,全面梳理排查全網故障情況,盡快完成故障修復;針對性能劣化、同路由隱患(物理同路由、邏輯同路由、主備共節點等)、倒換失效等可能引發業務中斷的隱患,盡快完成整改優化及應急預案。
2.PTN/SPN方面:客響中心負責清理現網隧道/偽線連通性和倒換告警,關注流量變化,及時優化調整擁塞鏈路和端口,做好L3VPN倒換測試,確保主備節點路由一致性。
3.OTN/SOTN方面:客響中心負責關注主光和單波光功率、光信噪比和波長漂移情況,及時清理誤碼;組織分公司做好OLP和SNCP倒換,確保放大器和OUT單盤處于正常工作狀態。
4.同步網方面:客響中心組織分公司做好天線接收機和饋線的現場巡檢,使用儀表做好輸出時間/時鐘信號的精度測量,對傳輸網進行必要的時間補償。
5.線路方面:各分公司做好線路巡檢,對沿線可能進行施工的段落安排三盯人員進行盯防,對光纜掛高和埋深不足隱患進行整治優化;聯合設備專業對環網和重要業務用纖同路由問題進行清理整治。
(四)動力專業
1.安全供電全面檢查:要求各單位立即對本地區的樞紐樓、匯聚機房、基站等重要通信節點的高、低壓變供電設備、變壓器、繼電保護系統、開關電源、UPS、蓄電池、機房空調系統、動力環境集中監控系統、應急發電機組、電力廊道及豎井、儲油罐和ATS、等設備進行安全供電全面檢查,發現問題及時上報及時解決處理。
2.開展動環系統健康巡檢:要求各單位完成動環系統健康巡檢工作并及時完成隱患處理,尤其針對超期服役動環設備(包括基站、匯聚機房)進行隱患排查,對存在隱患設備提前部署、重點保護和盯防,及時處理現網隱患,確保設備穩定運行。
3.梳理動環告警監控能力:要求核心機樓動環重要告警100%上傳至本省集中故障管理系統;實現動環告警的關聯關系、呈現和派單,提升告警故障處理效率;確保市電停電、油機啟動、蓄電池放電、蓄電池電壓過低等關鍵動環告警100%上報至故障管理系統。重點對匯聚機房動環監控進行排查,在動環監控未開通前不予入網,對無動環監控設備立即進行整改。
4.完成動環應急保障預案:各單位重點針對故障應急處理完善應急預案,加強核心機樓動環管理,全面梳理完善應急預案,對每棟核心機樓做到“一樓一層一案”,梳理動環供電路由和承載業務對應關系,根據各樓層動環設備負荷情況及業務級別制定分級應急保障預案,落實到專人負責;“疫情”期間開展應急演練,操作記錄留檔,對應急操作中出現的問題閉環跟蹤解決,并針對性更新應急預案。
5.開展對全疆33棟核心機樓及數據中心、9電纜豎井進行隱患排查:各單位針對每個豎井制定維護作業計劃并明確責任人,重點排查整治豎井內線纜是否存在密集排布、溫度過高、線纜老化、跨樓層長距離布放、外部環境惡劣、豎井防火封堵等隱患情況,消除隱患,避免發生事故。
6.動力配套加強檢查:各單位加強核心樞紐樓發電機組及基站維護用油機的日常保養工作,重點針對儲油容器安裝設置情況進行認真檢查,確保樞紐樓內油機及供電系統運行質量安全。
(五)互聯網專業
1.加強設備日常巡檢:加強日常告警和性能監控,加大對承載網、DNS、Radius、CDN等系統完成日常巡檢頻次和巡檢深度,確保軟硬件各項關鍵指標正常。
2.開展隱患排查并及時整改:請網管中心組織各分公司全面梳理排查承載網隱患,針對鏈路負荷過高、同路由同電源、倒換失敗等可能引發業務中斷的隱患,盡快完成整改優化。針對單節點、同機房等暫無法解決的網絡隱患,應制定對應的應急保障預案,確保預案完善、有效、可執行。
3.完善應急預案,確保預案可實施性:全面梳理完善應急預案,針對鏈路中斷、板卡故障等場景做好應急處置方案、確保業務不中斷。梳理關鍵備品備件清單,確保備品備件可用,并合理安排備品備件存放地點,保證設備在出現硬件故障時,能夠及時處理更換。網管中心組織分公司做好設備級、鏈路級、板卡級的倒換工作并及時修訂完善應急預案。
(六)核心網專業
1.加強S1-U/SGi接口利用率均衡保障。提高全疆所有SAEGW設備均衡度,在8月份完成剩余8個地市的大輪詢改造工作,通過調整DNS權重,實現每臺設備的S1-U帶寬利用率均衡。降低SGi接口峰值利用率,調整部分業務割接至新增兩臺WLFW09H3C/WLFW011H3C設備,實現SGi帶寬利用率<80%。
2.加強業務容量的監控。重點關注MME、SAEGW 、IMS 、HSS、信令網等設備容量負荷,做好應急措施,熟練掌握各項應急預案操作腳本,保證疫情保障期間網絡安全運行以及業務正常使用。
3、做好備品備件管理。梳理核心網關鍵備品備件清單,確保所有備品備件可用,并合理安排備品備件存放地點,保證設備在出現硬件故障時,能夠及時處理更換,確保備品備件2小時內能夠調度到位。
(七)業務平臺(電視)
1.加快推進擴容工作:加快推進互聯網電視平臺七期擴容工程因機房條件不具備等問題遺留塔城、伊犁節點盡快上線。完成內容庫替換,計劃于于8月20日上線。
2.開展系統健康巡檢:對互聯網電視業務系統、端到端安全播出網絡隱患進行重點巡檢。對發現的隱患進行整改,無法整改的要制定應急保障措施。
3.組織進行應急演練:針對互聯網電視各種故障場景,要制定詳細的演練方案,包括故障場景、演練時間、具體操作等。測試應急預案、應急措施、上下游單位協調聯動、網絡安全防護的時效性,提升安全播出應急處置能力。
