網絡安全演練預案范文
時間:2023-12-05 17:32:14
導語:如何才能寫好一篇網絡安全演練預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
[關鍵詞]WPA 物聯網 網絡層 改造
中圖分類號:O856 文獻標識碼:A 文章編號:1009-914X(2016)04-0062-01
引言
物聯網(IOT)即對物與物進行網絡互聯、信息交互和控制的網絡。物聯網由互聯網發展而來,它將互聯網中的終端設備由個人電腦和各類移動終端擴展到傳統的非智能設備,使得各類設備更加智能化。
物聯網的3層體系結構是現在最被認可的分層模型:感知層、傳輸層和應用層。處于在該體系結構中最底層的感知層由一系列的傳感器構成,傳感器會將如溫度、濕度和酸堿度等信息編碼后交由傳輸層傳輸,而應用層負責對數據進行處理。
眾所周知,在網絡技術飛速發展的今天,網絡安全事件也多次出現,而物聯網作為基于互聯網發展起來的網絡自然也面臨著與互聯網相同的安全問題。特別是物聯網傳輸層的安全完全依賴于現有的網絡安全策略。但是現在的物聯網終端有其有別于pc的地方,很重要的一點在于PC還是有很多第三方安全軟件支持,而現有物聯網終端中的一部分是由現有電器加裝控制模塊組合而成,其運算和存儲能力都遠遠弱于PC,所以,現行的物聯網安全的重點應該放在網絡層而非感知層。
一、WPA2的基本流程
Wi-Fi Protected Access是一種保護無線網絡(WIFI)安全的系統,其流程如圖1:
由于現有物聯網接入設備參差不齊,如果允許所有的設備都接入的話,會造成較大的安全風險,例如,如果某些不法分子,很可能通過將假冒的物聯網設備賣給用戶(甚至送給用戶),在設備接入后竊取用戶信息,或者實施ARP攻擊和DNS攻擊等。特別是有可能會針對智能家居安防設備進行攻擊,對用戶的生命財產安全造成極大危害。
二、基于第三方認證的WPA在物聯網網絡層中的改造
傳統的WPA如圖1只是一種通過口令的兩方認證協議,協議自身無法保證接入設備本身是否具有合法的身份。再此,筆者提出一種基于現有WPA的三方的物聯網設備接入協議,以保證接入設備本身的合法性。
在原有的WPA-PSK中,接入設備與無線接入點之間需要經過4次握手:
第一次握手:接入點AP發送SSID,AP_MAC(接入點MAC地址)給接入設備。接入點使用passphrase0和SSID計算PMK,接入設備在接收到SSID和AP_MAC后,使用passphrase1和SSID計算PMK。
第二次握手:接入設備發送SNounce(接入設備隨機數),Station_MAC(接入設備MAC地址)給接入點。接入點使用PMK,Station_MAC,AP_MAC,SNounce和ANounce(接入點隨機數)計算PTK,取PTK前16位為MIC KEY。
第三次握手:接入點發送ANounce給接入設備。接入設備計算PTK,取PTK前16位為MIC KEY。接入設備使用MIC KEY,802.1x數據計算MIC。
第四次握手:接入設備發送802.1x數據和計算出的MIC給接入點。接入點使用第二次握手過程中計算的MIC KEY和獲得的802.1x數據計算出MIC,。接入點比較MIC,和MIC,如果相同,則正確。
為了解決接入設備本身存在的風險,需要引入物聯網設備認證服務器。
保持原有四次握手不變,在第二次握手后,接入點做以下處理:
第一步:連接P1= STATION_MAC||SNounce||AP_MAC||Systemtime;
使用AES加密P1,得C1=EK(P1);
使用物聯網設備認證服務器的公鑰PKAS對AES密鑰K加密,表示為EPKAS(K);
使用SHA1對P1進行處理,表示為SHA1(P1),并使用接入點的公鑰對其進行簽名,表示為SignSKAP(SHA1(P1));
將(C1,EPKAS(K),SignSKAP(SHA1(P1)),AP的數字證書)發送給物聯網設備認證服務器。
第二步:物聯網設備認證服務器使用自身私鑰解密EPKAS(K)得密鑰K,再用K解密密文C1得到P1;
使用AP數字證書中的公鑰驗證簽名SignSKAP(SHA1(P1));
簽名驗證通過后,將P1中的STATION_MAC||SNounce||AP_MAC||
Systemtime解開,首先驗證STATION_MAC和AP_MAC是否為相關廠商已上報的設備MAC,若合法,驗證STATION_MAC||SNounce||AP_MAC||Systemtime是否重復出現過。
第三步:若合法,連接P2=(P1||Systemtime||”legal”),并將相關信息添加入認證服務器;
若非法,連接P2=(P1||Systemtime||”illegal”);
使用SHA1對P2進行處理,表示為SignSKSP(SHA1(P2));
將(P2, SignSKSP(SHA1(P2)))發送給接入點AP;
第四步:接入點AP驗證簽名;
按照物聯網認證服務器發送的信息,如果為合法,則進行第三次握手;
如果為非法,則結束握手,并將接入設備STATION_MAC列入黑名單。
三、結束語
物聯網的安全問題威脅已經隨著物聯網的發展而越發凸顯,傳統的設備如何安全、經濟的接入物聯網已經成為需要仔細研究的課題。本文為保障接入設備和接入點的安全提出來一種思路,但是,如何去改進現有無線接入設備還需進一步研究。
參考文獻:
[1] 趙偉艇,史玉珍. 基于802.11i的無線局域網安全加密技術研究[J].計算機工程與設計,2010,31(4).
[2] 高建華,魯恩銘.無線局域網中WiFi安全技術研究[J].計算機安全,2013(4).
[3] 張筑生.物聯網環境中的身份認證技術研究[D].北京:北京交通大學, 2011:18-22.
篇2
關鍵詞:供應鏈;信息共享;網絡安全風險
一、引言
隨著市場競爭日益激烈和多變,供應鏈的復雜性和不確定性也逐漸增加。楊中華指出供應鏈是一個由分布于全球的供應商、制造商、分銷商、零售商,其中還包括提供物流服務的物流服務提供商等組成的系統,其中成員之間的相互依賴關系使得供應鏈系統變得更加復雜。信息作為供應鏈上各個環節的溝通載體,供應鏈節點成員企業間的信息共享可以提高供應鏈管理水平,減少節點成員間的分歧,提高整個供應鏈競爭力和運作效率。供應鏈節點成員通過一定的IT技術進行一定程度的共享信息,減少企業和供應鏈面臨的不確定性、提高企業和供應鏈績效,但是隨著供應鏈對互聯網和信息技術越來越依賴,也使供應鏈企業暴露在互聯網所衍生出來的一系列風險中,對供應鏈的網絡安全產生威脅,可能導致供應鏈運行中斷事件的發生。
近年來國內外供應鏈運行中斷的事件頻頻發生,如“911”事件、2009年豐田的“召回門”事件、2000年作為愛立信供應商的飛利浦公司的火災事件、2011年日本地震導致日系車輛零部件短缺事件等都造成了嚴重的后果。這些事件表明風險對供應鏈的破壞遠大于對單個企業的危害,由于供應鏈的復雜性和不確定性,使供應鏈各個環節的鏈接變得很脆弱,導致供應鏈面臨的風險在增大。除了環境風險、自然風險,還有如今信息共享所使用的信息技術也帶來了一系列的風險,如網絡攻擊盜取供應鏈中傳遞的信息,從而使供應鏈傳遞的信息失真或者丟失,導致供應鏈運行延緩甚至中斷,從而引起供應鏈信息風險。
因此,隨著供應鏈的復雜性和不確定性增加,供應鏈變得越來越脆弱、越來越依賴互聯網和信息技術實現信息共享,明確信息共享與供應鏈網絡安全風險的關系應該給予足夠的重視。
二、信息共享
在現在的信息時代,信息共享成了供應鏈各個企業間必不可少的環節,供應鏈企業通過共享信息給信息獲得方帶來一定邊際效用的提高。不僅包含客觀實際收益的提升,也包含信息的實用性、有效性、代表性等主觀感覺上的效用提高和不確定性的降低。如果某一節點企業掌握的信息相對匱乏,在進行業務運作的過程中會因共享了不完全或不完美的信息而遭受高成本和低利潤的風險,當然這種風險必定會傳遞給與之相關聯的企業。葉飛認為企業運營績效的提升是供應鏈伙伴間信息共享結果的最終體現,并且供應鏈伙伴間的信息共享可以以信任為中介而間接地作用于企業運營績效,這表明加強供應鏈伙伴間信息共享不僅可以有效地提升企業間相互信任水平而且可以有效地提高供應鏈成員企業的運營績效。
隨著信息科技的發展,供應鏈管理越來越依賴互聯網和信息技術,通過信息技術實現高效率、低成本實現信息的傳遞。如西班牙著名時尚品牌ZARA利用信息技術實現了“快速供應鏈”,從設計到上架只需要10天,充分體現了IT技術對企業的各個環節的重要性。供應鏈利用IT技術實現商業過程標準化以及增加通訊、互聯互通性和數據交換,但是供應鏈對這些系統的依賴導致供應鏈極易受到網絡犯罪分子的網絡攻擊,使信息被盜取失真或是延誤,引起供應鏈信息風險。倪燕領等從物流、資金流、信息流三方面分析了供應鏈風險的分類并強調供應鏈成員間合作過程中的信息風險。李琪將信息風險看作是供應鏈成員所面臨的最大風險,并將信息風險等同于供應鏈風險。實際上供應鏈風險是由于節點企業之間的信息傳遞不及時或中斷引起的,由于成員企業間彼此信息共享受到阻礙而造成了信息傳遞的中斷,并認為信息風險是供應鏈風險的本質。
由此可見,信息共享可以提高效率、降低成本,但是信息共享過程越來越依賴互聯網和IT技術,這必然引起網絡犯罪分子的攻擊,故在互聯網時代供應鏈的網絡安全應該受到人們的重視。
三、供應鏈網絡安全風險
信息共享對供應鏈網絡安全風險具有正負兩方面的影響,即適當的信息共享可以減少供應鏈中因信息不對稱而引起的風險,如牛鞭效應等,但供應鏈越來越依賴信息技術而進行大量的信息共享則會帶入一種新型供應鏈風險――網絡風險。網絡風險定義為“組織或企業由于一系列信息技術系統障礙所造成的任何財務損失或者名譽破壞的風險”。網絡風險將導致極壞的效果,包括知識產權破壞,子標準或被阻斷的運營,敏感性數據破壞,對最終消費者的服務水準降低。網絡攻擊的形式多樣,其目的是竊取數據以得到豐厚的利益,如信用卡數據、醫療信息、公司商業機密等數據信息。網絡攻擊一旦成功,將會引起供應鏈信息的延誤或企業喪失技術創新,從未導致很大的成本損失。
由于信息技術的發展,網絡攻擊的技術也越來越高超,則預測供應鏈產生中斷的每個可能性越來越困難,很多網絡攻擊都超出了組織的預測分析能力,故有學者提出供應鏈網絡彈性的概念。供應鏈網絡彈性是指“一種當供應鏈面臨網絡攻擊風險的時候能夠維系其運營績效的能力。”供應鏈管理者如果想要減少網絡攻擊給供應鏈帶來的損失應該考慮如何加強供應鏈的網絡彈性。
四、系統動力學的應用
系統動力學方法是一種以反饋控制理論為基礎,以計算機仿真技術為手段,通常用以研究復雜的社會經濟系統的定量方法,具有能研究動態的、非線性問題的特點。信息共享貫穿于供應鏈的各個環節,由于供應鏈的復雜動態結構,信息共享對供應鏈網絡的安全風險影響具有復雜性,故采用系統動力學方法是可行的。
供應鏈節點之間通過信息技術進行高效率、低成本的信息共享,但是企業對信息技術的依賴性增強,加大了網絡犯罪者對供應鏈的網絡攻擊。由于供應鏈各個環節緊密的合作關系加強了企業之間的關聯性,一旦某一個環節遭遇網絡攻擊,將通過供應鏈系統傳播影響其它相關企業,出現風險傳遞的現象,類似于多米諾效應。故為了保護信息資產的安全,企業應加大對信息安全的投入,其中包括技術方面、人力資源方面、安全管理方面等,從而加強供應鏈網絡彈性的建設。供應鏈中的不同企業對信息安全的投入決策不同。熊強等通過Stackelberg博弈分析得出企業信息資產價值越高,遭受攻擊后的損失期望越高。核心企業共享額度越大,其對信息安全的投入也越大;伙伴企業的投入額隨核心企業的共享額增加而減少,當核心企業的共享額能夠讓其信息資產有足夠安全時,伙伴企業共享額度為零;核心企業在信息安全投資和信息安全共享方面會隨著供應鏈脆弱度增加而增加,而伙伴企業會隨著脆弱度的增加而減少直至為零。由此可見,供應鏈中對供應鏈信息安全的投入具有一定的復雜性。
由于信息共享以及信息安全的投入與供應鏈風險管理的復雜關系,通過系統動力學對其進行分析,明確其利益相關者的相關關系以及回饋效應。根據信息共享引起的供應鏈網絡安全風險的變化規律和系統動力學的反饋原理,應用系統動力學仿真軟件vensimple建立系統動力學供應鏈網絡安全風險影響的反饋圖模型。通過vensimple仿真軟件把信息共享和供應鏈網絡安全風險關系聯結形成回路,回路最簡單的表示方法是圖形,即因果關系圖。如圖所示:
五、結論
根據系統動力學分析得出的供應鏈網絡安全風險與信息共享以及供應鏈企業對信息安全的投入的邏輯關系,信息共享對供應鏈存在利弊關系,適度的信息共享有利于供應鏈的高效率運作,但也應該明確信息共享帶來的供應鏈網絡安全風險,故除了傳統風險管理對風險的防御措施還應該在權衡好投入成本與風險損失成本的基礎上對供應鏈網絡彈性進行建設。目前對于供應鏈信息安全的投入以及供應鏈的網絡彈性建設的研究文獻還比較偏少,故互聯網安全威脅下供應鏈上各個合作伙伴對供應鏈彈性的建設如何投資分配才是供應鏈面臨網路安全風險時整體成本降到最低的關鍵環節,還需要進一步的研究探索。
參考文獻:
[1]楊中華.基于核心企業的供應鏈網絡信息共享研究[D].華中科技大學,2013(4).
[2]葉飛,薛運普.供應鏈伙伴間信息共享對運營績效的間接作用機理研究[J].中國管理科學,2011,19(5):112-125.
[3]倪燕翎,李海嬰,燕翔.供應鏈風險管理與企業風險管理之比較[J].物流技術,2004(12):40-42.
[4]李琪.供應鏈管理中的信息風險及對策分析[J].北京工商大學學報,2002(124):32-35.
[5]IRM. 2015. Cyber Risk and Management. Institute for Risk Management. Accessed April 1,2015: https:///knowledge-and-resources/thought-leadership/cyber-risk/.
[6]Omera,K. & S.E. Daniel A.Supply Chain Cyber-Resilience:Creating an Agenda for Future Research.Accessed April , 2015.
篇3
二、網絡安全制度建設情況。為確保計算機網絡安全,實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等保障制度。同時,信息安全工作領導小組具有暢通的24小時聯系渠道,可以確保能及時發現、處置、上報有害信息。
三、自查工作組織開展和問題整改情況。在接到通知后,我局立刻安排專人對局網絡全面自查,進一步加強我局網絡安全,并對部分需要計算機設備進行了升級,為主要計算機配備了UPS,每臺終端機都安裝了防病毒軟件,硬件的運行環境符合要求;防雷地線正常,防雷設備運行基本穩定,沒有出現雷擊事故;目前光纖收發器、交換機、等網絡硬件設備運轉正常,各種計算機及輔助設備、軟件運轉正常。
四、今年5月以后我局再無使用“向日葵控控”等遠程控制工具。
五、網絡安全能力建設情況。為保證網絡及各種設備安全有效地運行,減少病毒侵入,就網絡安全及信息系統安全的相關知識對有關人員進行了培訓。期間,各計算機使用人員及管理人員對實際工作中遇到的計算機方面的有關問題進行了詳細的咨詢,并得到了滿意的答復,學習到了實用的網絡安全防范技巧,促進了計算機使用人員對網絡信息安全的認識力度。
六、網絡安全應急預案制修訂和應急演練開展情況。利用此次檢查契機,制定切合我局網絡安區應急預案,并每月月初月末進行一次網絡排查、殺毒應急演練。
篇4
關鍵詞:網絡安全;ARP;攻擊防護;應急演練
1引言
隨著互聯網應用的高速發展,人們的日常生活越來越離不開網絡,業務往來、網上購物都需要網絡。網絡給大家帶來了方面快捷的服務,也給商家帶來了不少的利益,因此對網絡安全需求越來越高。現在廣電網絡公司不僅以傳統的廣播電視系統為載體,而且以互聯網和專線業務為主盈利點。但由于有時故障處理得不及時,導致用戶體驗度下降,直接影響客戶離網率,造成了部分用戶的流失。因為網絡維護人員多為有線廣播電視的業務提供保障,對互聯網及專線業務難免會不熟悉,所以對網絡維護人員的培訓以及網絡安全應急演練很有必要,也是公司加強信息安全的重要組成部分。下面便以某公司遭受ARP攻擊進行應急防護為例,掌握突發事件上報處理流程,通過事件識別、安全防御、應急響應、故障排查、業務恢復、故障原理分析、預防及處理措施等多個環節,測試和提高維護人員應對網絡安全事件的處理能力,增強維護人員的網絡安全意識。
2應急演練過程
2.1事件發生
時間:14:30。接到業務單位網絡時斷時續,無法進行正常業務操作的故障申報,經排查物理鏈路狀態正常,但檢查該單位匯聚交換機有ARP攻擊告警,馬上向安全負責人匯報情況。隨即啟動網絡安全應急預案,安排安全服務人員進行分析處置,并上報公司網絡安全小組。
2.2應急響應
時間:14:40。經排查分析,業務單位鏈路狀態正常,故障現象僅在某一專線網點局域網內,疑似內網中網絡感染病毒或受到攻擊,并將判斷上報安全負責人。
2.3故障排查
時間:14:45。申請某專網及業務點位內網測試,獲得批準后接入某點位內網后進行抓包分析,在網絡正常可Ping通該專網服務器時,查詢網關設備的MAC地址信息,使用arp-a命令查詢測試機ARP表中顯示網關信息(172.16.160.2542065-8e86-6e09),在故障出現時ARP表中顯示信息(172.16.160.2540090-27e2-e0c7)。經正常業務抓包顯示該專網匯聚交換網關MAC地址為2065-8e86-6e09,因此判斷業務單位內網受到ARP欺騙攻擊,登錄業務點位交換根據偽裝網關MAC地址查詢為某臺PC。事件定位后及時上報網絡安全領導小組,并著手進行故障清除工作。
2.4業務恢復
時間:15:00。肇事電腦斷網刪除相關攻擊軟件并進行深度殺毒,針對業務單位交換機端口進行IP-MAC地址綁定,各終端電腦安裝ARP防火墻。
2.5事件總結
經調查,本次事件發生于專線用戶內網,未造成較大影響,屬于IV級網絡安全事件;14:30接報用戶側網絡故障,經初步排查確認系ARP欺騙攻擊,立刻啟動網絡安全事件應急預案,經應急工作組成員的共同配合處理下,在半個小時內清除了ARP欺騙軟件,并且對用戶側局域網內交換機進行了MAC地址綁定,用戶終端電腦進行了ARP攻擊與防護演練在局域網中的實踐王金亭朱清華趙煒斌河北廣電信息網絡集團股份有限公司邢臺分公司摘要:伴隨近些年國家信息技術與數字經濟的發展,頻發的網絡安全事件已嚴重威脅到企業的安全生產以及穩定運營,給企業造成了不同程度的損失,怎樣有效地應對網絡安全事件成為各企業亟待面對的問題。因此,主動地進行網絡安全演練,成為有效輔助企業預防網絡安全突發事件,提高應對能力,迅速進行災難恢復的必要手段。本文結合ARP攻擊事件的防護演練過程,對網絡維護人員的風險識別、應急響應、業務恢復等方面相關能力進行ARP防護軟件安裝,維護了網絡安全,公司網絡安全演練評估組將調查結果模擬報告了公司網絡安全領導小組,最后參加演練的全體人員對本次事件進行總結分析,如表1所示。
3ARP欺騙攻擊的分析
主機之間進行通信前需要了解相互的物理地址,即MAC地址,而ARP地址解析協議,就是將主機的IP地址轉換成實際物理地址的協議。但由于ARP協議本身的安全機制缺陷導致出現了ARP欺騙與ARP攻擊2種針對局域網絡的破壞手段。
3.1ARP攻擊
ARP攻擊的主要目的是對局域網絡通信的破壞,主要針對局域網內的網關或終端設備MAC地址,使正常設備將攻擊者誤認為正常網絡設備MAC地址,從而導致局域網內無法正常通信。通常情況下,肇事者主要采用以下2種方式進行攻擊。(1)肇事主機發送偽造帶有被攻擊終端MAC地址和IP地址的ARP應答報文給局域網中除被攻擊的所有主機。(2)肇事主機發送偽造的局域網內除被攻擊終端,所有設備的MAC地址和IP地址的ARP應答報文給被攻擊終端。無論肇事者采用哪種方式,目的是破壞目標主機與網絡間的正常通信聯系從而導致網絡中斷。通常采用的手段有中間人攻擊、廣播攻擊、拒絕服務攻擊以及會話劫持等。
3.2ARP欺騙
ARP欺騙的主要作用并不在于破壞正常的網絡通信,而是通過偽裝欺騙手段對網絡內數據進行轉發、竊取、控制甚至篡改,進而達到獲取重要信息或者控制數據流量的目的。由于ARP協議誕生之初是基于局域網內主機互信基礎下的,因此忽略了協議本身的安全機制,動態更新又無安全認證的ARP緩存地址表成了最大漏洞,由于局域網內的ARP請求包均是以廣播形式發送,因此攻擊主機可以根據其ARP信息偽造以它的MAC地址和被攻擊設備IP地址映射關系的ARP請求包高頻次地向被目標發送,從而更新目標主機的ARP緩存表,使目標主機的通信重新定向將通信數據發送給攻擊者。
4ARP欺騙攻擊的解決方法
局域網內一旦出現網絡經常掉線或者網頁被掛木馬等情況就很可能是被ARP欺騙攻擊了,此時可以采用IP-MAC地址綁定和ARP防火墻2種方法進行判斷和解決。
4.1IP-MAC地址綁定
一般情況下,針對局域網內ARP欺騙攻擊,最切實有效的方法就是進行IP和MAC信息綁定,通過確認局域網內網關及主機的真實MAC地址進行信息綁定,可以杜絕ARP欺騙攻擊。(1)收集網關及主機真實的IP及MAC地址信息,路由器登錄有后可查詢真實網關MAC地址,主機可在本地連接詳細信息中查看物理地址,通過arp–s命令進行綁定,如圖1所示。(2)三層交換機(以華為為例)上綁定可采用命令(arpstatic10.20.8.88d8bb-c123-4567)進行綁定,采用“undoarpstatic10.20.8.88d8bb-c123-4567”以及“displayarpstatic”命令進行綁定狀態查詢。另外,也可以使用IP地址、MAC地址及端口進行精確綁定,非綁定主機的報文會被直接丟棄。由于路由器品牌不同,管理界面也不相同,因此登錄后需查找內部或局域網設置選項,進行主機的IP地址和MAC地址的綁定操作,如圖2所示。相對于交換機命令進行靜態綁定的煩瑣復雜操作,路由器的綁定操作較為簡單,只需在路由器管理中核對用戶MAC地址是否真實即可進行相應IP地址及MAC地址綁定。但為了安全,盡量進行雙向綁定,即路由器和用戶終端電腦都進行IP-MAC地址綁定。
4.2使用防火墻軟件
使用ARP防火墻,自動抵御ARP欺騙和ARP攻擊。主機上開啟防護軟件,在此以某衛士為例,在功能大全中點擊使用流量防火墻功能,其中的局域網防護中就包含ARP主動防御功能,防火墻的主界面顯示統計數據,包括ARP攻擊攔截統計、自動綁定IP/MAC地址、網關等。此方法全視圖操作使用較為簡便。
5結語
篇5
【關鍵詞】計算機;網絡安全;主要隱患;措施
近年來,隨著我國逐漸進入信息化時代,計算機網絡給人們的生活帶來了諸多便利的同時,也存在很多安全隱患。計算機網絡技術的開放性特點和人們的不規范使用行為使電腦容易被攻擊而導致個人信息泄露。因此,科學的計算機網絡安全管理措施對于避免網絡安全受到威脅,確保計算機網絡信息安全具有重大意義。
1計算機網絡安全的主要隱患
1.1計算機病毒入侵
計算機病毒是一種虛擬的程序,是當前計算機網絡安全的首要隱患。病毒包括網絡病毒和文件病毒等多種類型,具有較強的潛伏性、隱蔽性、損壞性和傳染性等特征,如果計算機遭到病毒入侵,一般的殺毒軟件并不能徹底清除計算機病毒。
1.2黑客入侵
黑客入侵是常見的一種計算機網絡安全威脅。黑客非法入侵到用戶的電腦中,竊取用戶的網絡數據、信息,刪除用戶數據、盜走用戶的賬戶、密碼,甚至財產等。此外,黑客向目標計算機植入病毒時,會導致電腦死機、速度變慢、自動下載、癱瘓等現象,造成系統信息的流失和網絡癱瘓。
1.3網絡詐騙
計算機網絡技術的互通性、虛擬性和開放特性,給很多不法分子可乘之機,不法分子通常針對計算機使用者進行網絡詐騙,主要通過淘寶、京東等網絡購物平臺、QQ、微信等網絡交友工具、手機短信等手段散播虛假信息,使防騙意識薄弱的網民掉進網絡陷阱之中,進而造成其財產安全受損。
1.4網絡漏洞
大部分軟件都可能會發網絡漏洞,一旦網絡漏洞被黑客發現,很快就會被攻擊,其中惡意扣費攻擊尤為嚴重。現在比較熱門的App軟件中有97%是有漏洞的,網絡漏洞一般存在于缺乏相對完善的保護系統的個人用戶、校園用戶以及企業計算機用戶中,主要是因為網絡管理者的網絡防范意識薄弱,缺乏定期系統檢查和系統修復,導致網絡漏洞被暴露甚至擴大,從而導致個人信息泄露。
2計算機網絡安全管理的解決措施
2.1建立防火墻安全防范系統
防火墻是安全管理系統的重要組成部分,所有的數據和信息的傳輸以及訪問操作都要經過防火墻的監測和驗證,以防止黑客入侵、病毒侵染、非正常訪問等具有威脅性操作的發生,進而提高了網絡信息的安全性,對保護信息和應用程序等方面有重要的作用。因此,用戶應當建立防火墻安全防范系統,及時安裝更新防火墻軟件的版本。
2.2定期升級防病毒和殺毒軟件
防病毒軟件是做好計算機防護工作的必要安全措施。在計算機網絡安全管理中,滯后及功能不全的殺毒安全軟件將大大增加系統被病毒入侵的機率,因而為了降低病毒入侵的風險,用戶最重要的是選擇具有優良的安全性能、包含自動報警功能的防病毒和殺毒軟件,定期對殺毒軟件進行升級以保護系統。
2.3引入新型的網絡監控技術
互聯網技術的發展日新月異,傳統的維護系統的防護技術已經遠遠不能滿足用戶的需求,必須進行技術創新,引入新型的網絡監控技術。比如:①利用數據加密技術,將重要的數據進行加密處理。②用戶需要加強計算機網絡的權限設置,建立認證體系等措施方式設置密碼和訪問權限,控制訪問過程,及時對窗口進行安全檢查,防止非法入侵,盜取信息,保證網絡系統的外部安全性。此外,新興的計算機入侵檢測技術也是繼防火墻之后的第二道重要防護關口。
2.4健全應急管理機制
為了妥善應對和處置網絡與信息安全突發事件,確保系統的安全運行,健全應急管理機制是必不可缺的管理措施。網絡安全應急預案的制定可在計算機網絡安全管理的責任制度的基礎上,從以下幾方面進行完善:①及時對應急預案做出科學調整和動態更新,及時改進可行性低的地方,使應急預案充分發揮應急效果。②在以往的計算機網絡安全案例的角度上分析網絡安全事件的原因和技術短板,細化網絡安全應急預案,提高應急預案的可行性和實用性。③成立信息網絡安全事件應急處理小組,落實安全責任制,開展網絡與信息安全應急演練,形成科學、有效、反應迅速的應急工作機制,保障重要網絡信息系統的穩定運行。
2.5加強安全防范教育,提高用戶防范意識
人們的網絡安全防范意識極為薄弱,大多數計算機網絡安全隱患是由用戶使用不當造成的,所以國家相關部門應對計算機用戶加強安全防范教育。應該定期組織公益性的安全知識教育講座普及網絡安全知識,對網絡安全知識不合格的人應當進行再教育和再培訓,制定安全教育責任制,提高用戶防范意識。此外,用戶更要從自身做起,樹立網絡信息安全危機意識,自覺增強防范意識,定期查殺病毒,及時更新安全管理軟件,不輕易信任陌生人的信息等。
參考文獻
[1]意合巴古力,吳思滿江.分析計算機網絡安全的主要隱患及管理方法[J].網絡與信息工程,2016(9):69~70.
篇6
電力企業的信息安全不僅影響著其自身的網絡信息的化建設進程,也關系著電力生產系統的安全、穩定、經濟、優質運行。所以,強化信息網絡安全管理,確保電力信息網絡的安全性,保證業務操作平臺能夠穩定、可靠的運行是電力安全工作中的一項核心任務。
1.電力信息網絡安全體系
信息網絡安全指的是為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露信息安全應該實行分層保護措施.有以下五個方面:①物理層面安全,環境安全,設備安全,介質安全;②網絡層面安全,網絡運行安全,網絡傳輸安全,網絡邊界安全;③系統層面安全,操作系統安全,數據庫管理系統安全;④應用層面安全,辦公系統安全,業務系統安全,服務系統安全;⑤管理層面安全,安全管理制度,部門與人員的組織規則。
2.電力信息網絡安全存在的問題
2.1 系統漏洞。電力企業使用的都是微軟所開發的Windows操作系統。由于一個計算機操作系統過于龐大、復雜,所以它不可能第一次性地發現并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷地被完善。但是,據一些消息稱,微軟公司對于漏洞信息披露的反應時間為1~2周。但是在這段時間內,這些長久存在或是剛被披露的漏洞很可能被一些居心不良的人所利用,造成對企業信息網絡安全的威脅。
2.2 黑客的惡意攻擊。如今,社會當中的部分人也擁有了較強的計算機網絡操作、控制能力。他們有的出于興趣愛好、有的出于金錢指使,而對其他網絡系統發起惡意的攻擊、破壞,以滿足自身的各種成就感。在這些攻擊行為當中,一部分是主動的進行系統破壞或是更改、刪除重要的信息,另一部分是被動的進行監聽,竊取電力企業內部網絡交流信息,導致信息外泄。
2.3 網絡硬件系統不牢固。網絡硬件系統不牢固是一個普遍性的問題。盡管互聯網的硬件系統已經具有了較高的穩定性和安全性,但其仍然存在的脆弱性也不可忽視,比如雷電所引發的硬件故障,各種傳輸過程當中受其他因素影響所出現的信息失真等。
2.4 員工的信息網絡安全意識不健全。在如今的電力企業當中,許多員工多信息網絡的安全意識還不健全。比如用戶安全意識不強,系統登錄口令過于簡單,或是將賬戶及密碼借給他人使用,盲目地進行資源信息共享,這些帶全安全威脅性的操作都可能會對企業的信息網絡安全帶來隱患。還有的員工長時間占用網絡,大量消耗了網絡資源,增加了企業的網絡通信負擔,導致企業內部的通信與生產效率較低。更有甚者由于瀏覽網頁或是使用U盤,導致了一些木馬、病毒被下載到了計算機系統當中,造成各式各樣的網絡通信故障。
3.電力信息網絡安全策略
3.1設備安全策略
3.1.1 建立配套的績效管理機制,以促進信息安全運維人員樹立良好意識,提高自身信息網絡管理能力。
3.1.2 建立電網信息安全事故應急處理預案,例如“突況下某某大樓信息系統應急處理預案”,預案所要求的各項信息設備必須作為信息安全重要物資交由信息應急指揮人員保管,相關信息運維人員必須在信息事故發生的第一時間到崗到位、信息預案操作流程必須準確到位,各應急單位要定期進行應急演練,保證在發生信息安全事故之時隊伍能夠拉得出、打得贏。
3.1.3 運用國家電網公司統一的標準化信息安全管理模式,規范日常網絡處理流程,嚴格控制網絡接入程序,對新進網絡施行過程化管理,例如:申請入網人員必須填寫“某公司入網申請單”,并對操作人員嚴格施行信息網絡處理“兩票三制”管理,即:操作票、工作票、交接班制、巡回檢查制、設備定期試驗輪換制,從制度上保證信息網絡安全管理。
3.1.4 成立網絡信息安全組織機構,例如:成立某公司信息安全領導小組,小組成員包括:公司領導層人員、信息安全管理層人員、信息安全網絡技術實施保障人員等,并對各人員工作職責提出具體要求,尤其是必須明確技術實施保障人員的工作要求。
3.2安全技術策略
3.2.1 使用VPN(虛擬隧道)技術。按業務分別建立對應的三層VPN,各VLAN段建立符合實際要求的網絡訪問控制列表,將網絡按部門(樓層)進行分段,對各段網絡配置對應的訪問控制,設置高強度的網絡登錄密碼,保證網絡的安全性。
3.2.2 安全審計技術。隨著系統規模的擴展與安全設施的完善,應該引入集中智能的安全審計系統,通過技術手段,實現自動對網絡設備日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一安全審計。及時自動分析系統安全事件,實現系統安全運行管理。
3.2.3 病毒防護技術。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺PC機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網關上安裝基于網父的防病毒軟件,必須在信息系統的各個環節采用全網全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發等環節統一管理。
3.2.4防火墻技術。防火墻是用于將信任網絡與非信任網絡隔離的一種技術。它通過單一集中的安全檢查點,強制實操相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統的生產、計量、營銷、調度管理等系統之間,信息的共享、整合與調用,都需要在不同網段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權限合理享用信息資源。
3.2.5 擬局域網技術(VLAN技術)。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分,所以同一個LAN內的各工作站無須放置在同一物理空LAN里,但這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網絡管理、提高網絡的安全性。
4.結束語
電力企業網絡安全包括系統結構本身的安全及桌面終端設備信息安全,所以利用結構化的觀點和方法來看待電力企業信息網絡安全系統。基于網絡的特殊性,有關供電系統數據網的安全問題不容忽視,要保障其網絡的安全可靠運行,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,方能生成一個高效、通用、安全的網絡系統。
參考文獻
[1] 楊晶.論計算機網絡安全問題及防范措施[J].科技創新導報.2011.
[2] 侯康.淺談電力調度數據網及其維護[J].科技信息.2011.
作者簡介
篇7
關鍵詞 二次系統;網絡;安全防護;預案
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
電力監控系統及調度數據網作為電力系統的重要基礎設施,不僅與電力系統生產、經營和服務相關,而且與電網調度、與控制系統的安全運行緊密關聯,是電力系統安全的重要組成部分。電力生產直接關系到國計民生,其安全問題一直是國家有關部門關注的重點之一。
隨著通信技術和網絡技術的發展,接入電力調度數據網的電力控制系統越來越多。電力系統一次設備的改善,其可控性已滿足閉環的要求。隨著變電集控所模式的建立、變電站減人增效,大量采用遠方控制,這對電力控制系統和數據網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術和因特網已得到廣泛使用,使得病毒和黑客也日益猖獗。目前有一些調度中心、發電廠、變電站在規劃、設計、建設控制系統和數據網絡時,對網絡安全問題重視不夠,構成了對電網安全運行的嚴重隱患。除此之外,還存在黑客在調度數據網中采用“搭接”的手段對傳輸的電力控制信息進行“竊聽”和“篡改”,進而對電力一次設備進行非法破壞性操作的威脅。因此電力監控系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
1福州地區電網二次系統網絡安全評估概述
1.1 概況
福州地調二次系統安全評估包括:二次系統資產評估、網絡與業務構架評估、節點間通信關系分析、二次系統威脅評估、現有防護措施評估、主機安全性評估、網絡系統評估、安全管理評估、業務系統安全評估、二次系統風險計算和分析、安全建議等評估內容,評估之后針對系統的薄弱點進行安全加固,并制定《福州局電力調度自動化系統應急預案體系》,提高調度自動化系統運行的可靠性,安全性,有效預防和正確、快速處置電力調度自動化系統癱瘓事件,不斷提高福州電網預防和控制調度自動化事件的能力,最大限度地減少其影響和損失,保障電網的安全運行。安全評估的實施基本流程如圖1所示。
1.2 網絡安全評估的過程
1.2.1資產調查
資產調查作為信息收集的一個關鍵步驟,是開始安全評估工作的第一步,也是安全加固工作的基礎,其主要目的是準確全面的獲得被評估系統的信息資產清單。
因此,在進行評估項目實施時,我們很重視資產調查的過程和方法,以期收集到準確、全面的信息資產清單。對于每一個資產來說,都需要比較準確的收集各項屬性,因此我們計劃整個資產調查過程如下,以確保我們的資產調查目標的實現。
1.2.2采用了正向測試與逆向滲透相結合的漏洞深度檢測方法
在本項目中,安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內的系統和網絡進行安全掃描,從內網和外網兩個角度來查找網絡結構、網絡設備、服務器主機、數據和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。應用正向測試與逆向滲透相結合的漏洞深度檢測方法,對電力二次系統主機信息安全進行分析。
1.2.3采用了遠程漏洞掃描與本地主機自動化腳本檢測相結合的脆弱性獲取方法
滲透測試主要依據安全專家已經掌握的安全漏洞,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。所有的測試將在授權和監督下進行。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度,但是存在一定的誤報率,不能發現高層次、復雜的安全問題;滲透測試需要投入的人力資源較大、對測試者的專業技能要求很高(滲透測試報告的價值直接依賴于測試者的專業機能),但是非常準確,可以發現邏輯性更強、更深層次的弱點。
1.2.險計算和分析
信息安全風險評估的風險計算部分主要以業務系統作為風險計算和分析的對象,以福州電業局本部為例,本次對福州電業局SCADA系統、電能量采集系統、OMS系統和DMIS網站共4個業務系統進行了評估和測試,各個業務系統的信息資產價值、威脅發生可能性和脆弱性嚴重程度的進行賦值,并通過風險計算,得出風險計算結果,確定各個系統的危險程度,找到業務系統的安全薄弱點。
1.2.5安全建議
根據計算出來的安全結果,通過管理和技術等兩方面來加強網絡設備和安全設備的安全性,對訪問重要設備的用戶應遵循一定規章制度,對網絡配置的更改、權限的分配要及時進行記錄備份歸檔。
對重要業務系統和服務器進行定期的漏洞病毒掃描,對掃描結果進行分析記錄并歸檔。對新系統上線前應進行掃描和加固,對掃描的日志及時進行安全審計并歸檔。
對網絡運行日志、操作系統運行日志、數據庫運行日志、業務系統運行日志進行定期的安全審計并提交安全審計記錄和報告,對報告中的非法行為應及時報告并處理。
對于網絡設備和安全設備的配置日志應另存儲在日志服務器中,而非存儲在本地路由器或是交換機上,并定期的進行備份歸檔。對于日志的種類應當包括所有用戶對網絡設備和安全設備的查看、更改等。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
2地區電網自動化系統整體應急預案體系建設
2.1應急預案體系的出現
現階段地區調度自動化各系統聯系緊密,單個系統的故障將連鎖影響多個其他系統運行,電力調度數據網建設向縣調及110kV變電站延伸,接入系統種類日趨復雜,二次安全防護木桶效應日趨明顯。由于系統風險主要來自于病毒及相關聯系統的故障,故障類型復雜并存在觸發或并況,應急預案的思路逐步擺脫了自動化單個系統預案的思路,慢慢向以自動化二次整體應急預案體系進行轉變。該思路面對系統出現嚴重故障時,整體地考慮恢復手段及措施,隔離故障區域,屏蔽受影響系統的部分功能,將日常人工或自動備份的硬件及軟件快速導入故障設備,恢復系統。在日常備份及演練過程中,綜合考慮各系統間的互補能力和約束條件,并切合地調實際,高效率低成本地實現該預案體系。該體系重視系統整體恢復的效率和日常投入成本的二維標準,兼收并蓄各種技術手段和管理手段的優勢。
2.2 應急預案體系的特點
該預案體系適應自動化系統日益聯系緊密的特點,擺脫之前針對某一系統制定預案的思路,采用“整體考慮,互為備用,分散管理,集中恢復”總體思路,避免出現系統孤島,綜合考慮,兼顧各個系統及全面事故預想,具有兼容性強,各子系統預案操作性強,入門要求低,恢復手段有效快速,投資成本低,日常維護工作量少,實用化推廣價值高的特點。
預案體系總體框架圖各子預案關聯關系圖
2.3 預案體系各個子預案之間的關系
2.3.1共存關系
各預案體系間存在互相引用,互為補充關系。簡化了對預案編寫的復雜程度,將復雜的系統問題轉化成為多個專項問題來解決。
集控系統資源成為EMS預案中的備用設備,將整體自動化系統一體化考慮,互為備用,充分利用資源,降低預案成本。
2.3.2互斥關系
預案體系中的電源子預案和其他預案間存在互斥關系,當涉及到整體電源異常時,就要考慮犧牲小系統,保全大系統的整體
3 結論
本項目對地區電網二次系統網絡安全防御體系開展了專題研究與實踐,研究結果有效提高了地區電網二次系統網絡的安全防御能力,對網省調度中心乃地市電業局的二次系統安全建設都起到了重要的指導意義。項目根據研究結果構建了調度自動化應急預案體系以及與之相配套開發的快速備份恢復系統,投資少,效益高,為電網的安全可靠運行提供堅強的技術支撐。該項目的開展促進了調度中心對現有二次系統安全現狀和存在的各種安全風險有了深入的了解 ,確保調度中心對二次系統中存在的各種安全風險采取相應的網絡安全手段和部署選用必要的安全產品 ,對今后全省乃至全國地區電網二次系統網絡安全建設具有重要的指導意義。
參考文獻
[1]張王俊,唐躍中,顧立新.上海電網調度二次系統安全防護策略分析.電網技術,2004(18).
[2]王治華.安全運營中心及其在調度中心二次系統中的應用.電力系統自動化,2007(22).
[3]陳文斌.電力二次系統網絡與信息安全技術研究.電工技術,2008(11).
[4]民,辛耀中,向力,盧長燕,鄒國輝,彭清卿.調度自動化系統及數據網絡的安全防護.電力系統自動化,2001(21).
[5]葛海慧,盧瀟,周振宇.網絡安全管理平臺中的數據融合技術 .電力系統自動化,2004(24).
[6]胡炎,辛耀中.韓英鐸 二次系統安全體系結構化設計方法.電工技術,2003(21).
[7]程碧祥,電力調度自動化系統中物理隔離技術的研究與應用.電工技術,2008(1).
篇8
關鍵詞:高職院校 安全穩定教育 系統性
構建高職院校學生安全穩定教育體系,認真抓好大學生安全穩定教育,對加強學校日常教育管理,維護學校正常教學、科研及生活秩序,保障學生人身和財物安全,促進學生健康心理的形成,都具有十分重要的現實意義和戰略意義。本文提出從日常安全穩定教育規范化、校園網絡宣傳教育實時化、安全穩定示范教育具體化、安全穩定教育載體多樣化、安全穩定教育模式立體化五方面系統進行,積極推進高校學生安全穩定教育“進教材、進課堂、進頭腦”,不斷提升學生安全防范技能,切實增強學生安全穩定意識,全力確保學生安全穩定教育實效性。
1、日常安全穩定教育規范化
高職院校要針對不同年級、不同時段、不同場所特點,結合學生成長成才規律和現實發展需要,有針對性、規律性地開展安全穩定教育工作,確保學生日常安全穩定教育規范化,提高學生對安全穩定問題的理性認識。一是新生入學教育中的安全穩定教育。重點進行法制教育、安全教育和國防教育;二是學生實驗、實訓、實習、實踐中的安全穩定教育。高校要結合專業學習對學生進行相關法律法規和安全防范知識教育,結合學生實驗、實訓、實習、實踐特點,將安全穩定教育貫穿于整個教學活動中,使學生全方位、多渠道了解安全穩定知識和自我防范技能;三是學生第二課堂中的安全穩定教育。在學生第二課堂活動期間,學校應結合活動特點有針對性地制定安全穩定應急預案;四是特定時期、重大活動期間學生安全穩定教育。有針對性、預見性地對學生開展安全穩定教育。
2、校園網絡宣傳教育實時化
隨著校園網絡的普及,大學生網上聊天、交友、娛樂已成為時尚。但大學生網絡安全知識非常缺乏,因此,加強網絡安全知識教育勢在必行,使大學生懂得網絡安全知識,自覺遵守有關法律法規和管理規定,自覺抵制有害有毒信息的侵害。一是結合一些典型案例和具體現象,及時開展網絡法律法規宣傳教育,倡導大學生“文明用網”,提高他們的網絡安全意識;二是針對安全穩定方面出現的新情況和新問題,及時制定和完善《校園網管理辦法》、《校園網有害信息事件應急預案》等規章制度;三是要安排專人加強網絡輿情監控,重點關注敏感信息,加強上網行為管理,防范病毒攻擊威脅;四是根據新近國際國內形勢和校內校外現狀,有針對性地開展網絡安全穩定教育活動,用科學的理論占領網絡陣地,大力提倡網上道德,樹立良好網上風氣,教育大學生倡導文明、健康的網絡生活。
3、安全穩定示范教育具體化
高職院校在開展學生安全穩定理論教育的基礎上,還應通過案例教育、警示教育、榜樣教育和模擬演練等方式,將校園安全穩定示范教育具體化。一是進行案例教育。有針對性地選取校園火災、夜不歸宿、校園詐騙、網絡詐騙、傳銷、校園盜竊等典型案例,充分利用發生在學生身邊的案(事)件、事故進行安全穩定教育;二是開展警示教育。通過圖片、幻燈片等形式,展示校園安全事故的慘烈場景,教育學生自尊和自重,自覺遵守校園各項規章制度和國家法律法規,自覺抵制不良社會現象,與違法犯罪行為作堅決的斗爭;三是推進榜樣教育。結合學生的心理特征和成長規律,廣泛宣傳校園安全穩定先進典型,突出榜樣表率的激勵示范作用,以榜樣的思想來激勵學生,用榜樣的行為來指導學生。
4、安全穩定教育載體多樣化
高職院校應建立“以課堂教育為主渠道,以各種宣傳陣地為載體,以豐富學生活動為重要支撐”的綜合體系,確保學生安全穩定教育載體多樣化。一是強化安全穩定教育課堂教學。主要以系統的講授為主,結合案例講解、集中研討等方式,向學生全面闡述維護校園安全穩定的重要意義,深入分析校園安全穩定面臨的嚴峻形勢,系統講解校園安全規章、安全防范知識以及應急逃生技能等,切實增強學生的安全責任感和穩定大局觀;二是形成安全穩定教育宣傳攻勢。宣傳主要利用廣播、電視、網絡等媒體,以及櫥窗、校報、警示牌、圖片展等形式,重點針對校園消防安全、用電安全、運動安全、交通安全、財物安全、就業安全、心理安全和網絡安全等,分門別類地剖析校園安全穩定典型案例,全面科學地宣傳校園安全穩定基本常識和防范技能;三是開展安全穩定教育系列活動。例如,以黨團組織活動、安全知識講座、實地參觀、安全演練、主題活動等方式,寓教于樂,學用結合,倡導學生在活動中增強認識、提高技能,使安全知識和信息通過潛移默化的方式深入學生思想。
5、安全穩定教育模式立體化
高職院校學生安全穩定教育工作是一項系統工程,要想實現突破、取得實效,需要系統安排教育內容,科學設計教育過程,全員參與教育體系,確保校園安全穩定教育模式立體化。一是安全穩定教育全覆蓋。安全穩定教育不僅要使學生掌握一般的消防安全、用電安全、交通安全、運動安全、網絡安全、心理安全、實習安全、飲食安全、財物安全和應急救護等常識,也要教育學生遵紀守法,提高警惕,克服困難,積極實踐,增強意志,珍愛生命,熱愛生活,使安全穩定教育真正融入德、智、體全面教育之中;二是安全穩定教育全程化。高職院校要根據不同年級、不同時期學生的特點,分層次、分階段對學生進行安全穩定教育,既要突出重點,有區別地開展安全穩定教育,又要針對不同時期學生的傾向性問題,使安全穩定教育有計劃系統地進行;三是安全穩定教育全員化。高職院校的每一個教職員工都有責任和義務對學生進行安全穩定教育,都應在各自的崗位上教書育人、管理育人、服務育人。
參考文獻
[1]連鳳寶.加強高校學生人身安全工作的若干思考[J].高教論壇,2002,5.
篇9
第一部分:XX年工作總結
XX年在公司“效益質量年”的定位目標指導下,緊緊圍繞公司“加強管理、保證質量,降低成本、提高效益,深化改革、強化支撐”的網絡運維方針,確保網絡運行質量,加強了基礎管理、網絡優化、大客戶支撐以及安全生產等方面工作力度,積極開展降本增效活動,取得了一定的成績,現對全年工作總結如下。
一、加強基礎管理工作
我班組負責全區的網絡的維護、技術支持工作,為了更好的在數據網絡中開展各項數據業務和增值業務,我班組在中心的領導下嚴格落實省公司精細化管理的要求,按照“共識、細化、落實”的六字方針,堅持嚴格基礎管理工作,一年來,我班組堅持不斷完善客戶的資料工作、各種網絡設備以及大客戶的應急預案等各項基礎管理工作,特別是隨著三標一體以及內控工作的深入開展,更是要求我班組對擔負的各項工作必須有記錄,包括資料統計、障礙統計、網絡分析統計等,并且按照部門的各項規章制度和管理辦法,優化了各項工作流程,努力做到細化到人、優化到事、強化考核,確保提高員工工作效率,從管理中創造效益。
具體工作有:
1、按照維護規程嚴格執行各項維護作業計劃,結合內控,加大了對作業計劃、各種日志、記錄表格、安檢記錄等各項維護作業計劃和巡檢的檢查力度,保證內控審查可以順利通過,并根據實際工作需要不斷完善和更新相應的表格。
2、完善了對數據網絡各種統計維護資料并及時更新,保證基礎資料的準確性、完整性和及時性,安排專人制作了數據網絡資料庫程序并對該資料庫進行不斷完善和更新,特別對于光纖專線客戶和VPN客戶的資料管理,對涉及到的所有信息都在資料庫中均有詳細的體現。對全區的IP地址進行及時的備案并不斷完善IP地址管理系統,這些都為今年的全區IP地址優化工作打下了堅實的基礎。
3、為了更好地開展業務,理順流程,制定并完善了FTTX業務、基礎數據業務、VPN業務、數據設備維護等各種流程和基礎數據網、IP城域網的分析作業指導書,并結合內控和三標一體工作的要求對以上規范進行完善,并按照省運維文件的要求及時更新和調整各種數據網絡設備的應急預案,強化細化了應急預案的執行功效。
4、為了提高班組員工的綜合素質,我班組加強了對員工業務、技術、安全、保密、形勢教育等各方面的培訓,今年累計進行培訓32次,內容涵蓋業務、設備、維護經驗及本專業最新技術等,并組織培訓效果測試11次,取得了良好的效果,特別針對新員工,我班組制定了專門的培訓計劃并按照計劃進行實施,有力的提高全班員工的維護素質。
5、在公司及部門領導下,積極參于公司舉辦的數據專業維護規程及寬帶ADSL技能競賽,我中心取得了第一的優異成績,并且選派兩名技術骨干參加省公司組織的華為寬帶ADSL技能大賽,取得了全省三等獎的好成績。
6、配合網運部組織開展了多次對各縣公司及營銷中心的維護知識培訓,其中包括城域網交換機的培訓、ATM設備IP化改造的培訓等技術培訓,還安排專人去縣局進行現場講解,取得了良好的效果,提高了縣公司維護人員的綜合素質,為交換機權限下放打下了堅實的基礎。
7、為了達到內控的要求,我班組通過對***地區市內97個模塊局進行巡檢并在數據設備上粘貼了資產標簽,滿足了內控的要求。
二、強化維護手段,積極開展將本增效活動,積極優化網絡,發揮網絡最大效益
一年來,我中心維護工作未發生重大故障,各項考核指標均達標。其中省內考核互聯網時延≤40ms,實際為≤10ms;本地IP客戶考核接入認證平均響應時間≤8s,實際為≤3s;基礎數據網用戶電路考核故障修復及時率≥99%,實際為100%;數據設備考核故障修復及時率≥96%,實際為100%;大客戶業務考核響應及時率≥99%,實際為100%;考核電路開通及時率100%,實際為100%;重大障礙上報及時率為100%,圓滿地完成了上半年的各項維護指標。
1、通過充分利用現有的城域網網管,我中心加強了對網絡流量、設備利用率、日志及網絡安全的監控及分析,分析范圍由原來城域網幾臺設備擴大到整個城域網匯聚層以上設備,并新增了對ATM網絡流量的分析。結合網絡分析情況,及時地對網絡進行優化和調整,三月份新增城域網出口GE中繼一條,通過流量調整,緩解了城域網出口流量激增所帶來的壓力。由于寬帶Bras匯聚Ip上行設備的LPUK板卡和LPUH板卡接入客戶不同,***地區局下掛各縣寬帶客戶較多,***地區局下掛各縣寬帶客戶較少,通過將容量較大的LPUK板卡調整到***地區局,并將武安IP上行的寬帶客戶及時的調整到***地區BRAS,緩解了由于***寬帶客戶激增帶來的板卡利用率過高問題,保證了***方向寬帶業務的發展,隨后又對***地區Bras資源進行了適當均衡,使得全區Bras的資源得到了充分的利用。六月份對城域網核心層設備***地區局7609新增加一條至***地區方向的GE中繼,充分緩解了西部流量大的問題,通過安排專人對網絡中的各種設備定期觀察,及時地發現網絡中的安全隱患并給予解決,極大的保證了業務的順利開展。共3頁,當前第1頁1
2、配合網運部做好寬帶MA5300綁定用戶端口工作,截至目前全區主要縣市MA5300節點已實現用戶帳號及端口綁定。為了實現PPPOE+綁定測試,對全區MA5300設備的命名重新規范并進行命名更改,同時我中心***根據端口綁定工作的需要發明了小程序,使得帳號綁定可以實現批量操作,將幾十個人幾天的工作量壓縮到了一個人幾個小時就可以完成,從人力成本上起到了將本增效的作用。
3、對***地區路華為S8016交換機、華為S8512交換機及核心層7609路由器進行了升級打補丁操作,解決了由于客戶網絡攻擊及版本不穩定而可能造成系統瞬斷的隱患。并對華為UA5000寬帶設備進行統一升級,保證軟件版本的同一性。
4、在全省率先開展了華為UA5000和MA5300寬帶設備帳號和端口的綁定測試工作,并初步測試成功。由于我中心測試工作進展較早,所以省公司指定我公司和滄州分公司作為試點單位對各型號的BRAS和DSLAM進行測試,測試成功后將在全省進行推廣,通過測試為我公司下一步的寬帶賬號和端口綁定工作打下了堅實的基礎。
5、完成了城域網設備具備MPLS VPN條件的MPLS的部署。通過此次部署,我公司今后可以開展跨域的VPN業務,對市場部門開展新的業務起了有力的支撐。
8、實施了IP地址回收工作,
三、面向用戶、面向市場,做好
業務支撐
我班組按照部門一貫倡導的“維護就是經營”的大經營觀念,整個維護工作緊緊圍繞以效益中心,加強對客戶、對市場的支撐力度,全力作好后臺支撐工作。
2、逐步建立了金銀牌大客戶電路資料臺帳,并結合金牌大客戶使用數據電路的實際情況分別為其制作了客戶電路應急預案。為了實現大客戶等級化我中心安排對大客戶電路用不同顏色的插塞來進行識別;為了體現對大客戶單位的差異化服務,我班組定期對金牌大客戶進行巡檢,并按月制作大客戶單位的網絡運行報告。
3、在省公司網管中心指導配合下完成了對寬帶VPDN技術的測試工作,并對***地區市體彩大客戶利用該技術進行組網工作,涉及體彩客戶約300余戶。
4、全年為幾十個大客戶制作了大客戶電路接入方案,并到各個大客戶提供支撐數十次。配合大客戶服務部積極對教育局校校通客戶內網故障進行技術支持,并完成了多個校校通客戶VPN改IP專線的工作,尤其是對于***地區區電教站,我中心前后對該客戶進行了10余次技術支持。
5、面對福彩窄帶VPN客戶不斷增長的情況,我部積極協調設備維護中心,新增了窄帶A8010接入服務器至***地區、***地區匯接局中繼4條,滿足了客戶數量增長的需求。
6、為了及時了解縣公司以及各營銷中心寬帶維護情況,我中心安排專人到中華南營銷中心、***地區、***地區、***地區等縣分公司進行現場測試,并深入到客戶家中進行了解,掌握了全區客戶反映比較突出的問題并制定了相應的措施,取得了很好的效果。
7、全年網絡維護班組受理各類客戶技術咨詢上千次,受理縣市營銷人員技術問題達3000余次,強有力的支撐了前臺維護人員,由于機房人員服務水平高、服務態度熱情,深受廣泛的好評。為了保證增值業務的順利開展,班組在部門安排下多次派專人到各縣分公司和營銷中心進行現場技術培訓,通過多次的培訓,有力的支持了各營銷單位業務的順利開展。
四、抓緊安全生產,強化安全意識
一年來,我班組認真貫徹公司對安全生產工作的一系列指示精神,牢牢把握安全生產工作原則,堅持“安全第一、預防為主”的方針,認真落實各項安全措施,積極開展安全隱患整改,廣泛開展安全教育工作。
1、全年圓滿地完成了***地區局、***地區局、***地區局數據設備的安全整治工作,并配合完成了市內模塊局的整治工作,達到了安全生產的標準。
2、加大對員工的安全教育培訓,在職工中樹立“安全第一”的觀念。組織員工進行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育達40余次,安全知識答題8次,配合部門進行消防演練4次,并根據根據班組的情況堅持每周一次安全培訓和每周一次安全檢查的制度。通過采取檢查、培訓及實際演練相結合的辦法,全面提高了員工的安全素質、安全意識和應變能力。在上半年生產樓電梯間著火事件中,我中心5名員工發現后按照消防要求及時向上級匯報并安全的將火撲滅,為公司挽回了損失。
4、加強了機房安全防火、防汛工作。始終把安全防火、防汛當作安全工作的重中之重,開展了經常性的安全檢查,要求班組員工熟練“四懂、四會”,熟練掌握初期火災撲救、防毒面具佩戴、消防水帶連接、滅火器等操作。
5、加強網絡設備巡檢,通過充分發揮IDS和掃描等網絡安全系統在漏洞掃描、入侵檢測等方面的作用,完善各項網絡安全管理制度,細化日常維護、權限管理、檢測分析和安全防范流程,有力地抵制了外界對網絡的各類攻擊。
第二部分:XX年年工作思路
XX年年我班組以內控工作為契機,不斷完善基礎管理制度,通過加強網絡安全檢測,健全綜合分析、安全管理、故障分析等制度,強化維護支撐和服務,優化網絡結構,強化網絡質量,提高網絡運行效率,提高維護效益,不斷加強安全生產管理工作,深入開展員工培訓教育,提高員工綜合素質,積極開展將本增效活動,不斷提高維護水平,保證各項生產指標。共3頁,當前第2頁2
1、結合內控工作和三標一體工作的開展,繼續按照維護規程嚴格執行各項維護作業計劃,加強基礎管理,完善部門管理制度,優化管理流程,簡化管理環節,努力實現部門維護工作效率最大化和效益的最大化,確保順利通過各項審查。
2、持續深入開展各種形勢的教育學習活動,為員工發展創造良好環境,鼓勵員工勤于思考,敢于創新,深入開展學習型班組,加強維護隊伍建設,提高維護人員的素質。
3、繼續科學管理網絡資源,提高網絡資源的利用率,做好資源分析預警工作,充分利用網絡的資源,使網絡資源的效益盡量最大化。繼續深入開展將本增效工作,從管理和技術入手,對現有設備進行優化和改造,有效地開展將本增效工作。
4、進一步完善各項應急預案,提高應急預案的可操作性。加強安全教育和應急演練,強化員工應急意識,提高全員應急操作能力。
5、積極配合計劃建設部工程建設。配合完成港灣設備替換工作和中華路機房搬遷工作。結合各項工程的建設,優化城域網的網絡結構,提高網絡健壯性,進一步完善城域網、基礎數據網等網絡的網絡監控工作,加強網絡運行狀況的分析,為業務發展提供有力支撐,繼續不斷對網絡進行優化調整,使網絡發揮最大效益,圓滿完成各項維護指標。
6、積極發揮網絡安全系統在漏洞掃描、入侵檢測等方面的作用,不斷完善各項網絡安全管理制度,細化日常維護、權限管理、監測分析及安全防范流程,預防外界對網絡的各類攻擊。
7、堅持以人為本,繼續作好安全生產工作,抓好行風建設,提供優質服務,為經營發展保駕護航。
8、加大市場支撐力度,為業務的順利開展保駕護航,進一步做好客戶響應及支撐工作,加強大客戶單位和光纖網吧等重要客戶的巡檢,提供差異化服務,在維護人員中樹立維護就是經營的服務理念,主動為客戶、市場提供服務,做好各項業務的測試、開通以及維護服務工作。
9、加大對企業轉型的支持力度,通過對網絡設備能力的深挖掘,抓住企業轉型的契機,使網絡不斷加大新業務的支撐力度,為企業的順利轉型提供有力的保障。
篇10
隨著信息技術的不斷發展,商業銀行的業務過程基本實現了電子化、網絡化,主要業務系統都已實現了集中,商業銀行內部網絡暢通已成為支撐各類業務系統正常、穩定運行的關鍵,一旦網絡出現癱瘓將直接導致業務中斷。銀行IT風險已成為內審部門關注的重點,網絡可用性審計已納入商業銀行內部審計領域,本文作者從IT系統可用性含義、影響網絡可用性因素、審計關注重點等方面進行探討。
一、計算機系統可用性含義
計算機系統可用性是系統可用時間的描述,一般用系統正常運行時間占全部時間(含失效時間)的百分比來衡量。與系統可用性近似的概念是系統可靠性,一般用平均無故障運行時間衡量。二者概念容易使人產生混淆,實際上二者有本質的區別。如甲系統每年因故障中斷十次,每次恢復平均要30分鐘,該系統可用性為(365×24×60-10×30)/(365×24×60)=99.94%,可靠性為(365×24×60-10×30)/10=52530分鐘;乙系統每年因故障中斷2次,每次需6小時恢復,該系統可用性為(365×24×60-2×6×60)/(365×24×60)=99.86%,可靠性為(365×24×
60-2×6×60)/2=262440分鐘。則甲系統可用性比乙系統高,但可靠性比乙系統差。
可見可靠性高的系統其可用性不一定高,提高可靠性需要強調減少系統中斷(故障)的次數;提高可用性,除了需要提高可靠性外,還需要考慮系統備份及故障恢復計劃等,以減少從災難中恢復的時間。
二、影響網絡可用性的因素
影響網絡可用性的因素很多,從網絡設備自身的可靠性、設備運行環境、網絡結構等內部因素到外部入侵、故障恢復計劃等外部因素,均對網絡可用性產生影響。具體包括:一是網絡設備自身的可靠性,包括設備自身設計、設備制造工藝、設備自身冗余功能、設備使用時間長短等都會影響設備自身的可靠性,如隨著網絡設備使用年限的增加發生故障的概率也在增加,設備的可靠性就降低。二是網絡結構,網絡中重要設備和線路要有一定冗余,一旦某一線路或設備出現故障,網絡會自動切換到備份線路或設備上,此外網絡結構的設計也要考慮網絡的可管理性,方便網絡的監控管理及故障排查等。三是非授權訪問,外部入侵、黑客的網絡攻擊以及網絡管理人員的錯誤操作等都可能造成網絡設備的配置文件被非法修改、發生網絡癱瘓等事故;四是故障恢復計劃,科學、合理、切實可行的故障恢復計劃可以在網絡出現故障時減少網絡恢復時間,提高網絡可用性。此外網絡設備的運行環境,包括溫度、濕度、塵埃、電源質量等都會影響網絡的可靠性,如果設備運行環境不能滿足設備的需要,勢必增加設備發生故障的幾率,降低網絡的可靠性。
三、網絡可用性審計的關注重點
(一)網絡設備的可靠性方面
無論多大的網絡,網絡設備是整個網絡的基石和瓦礫,網絡設備的可靠性決定整個網絡系統的可靠性,進而影響整個網絡的可用性。要提高網絡的可用性首要提高網絡設備的可靠性。審計需要重點關注:一是網絡設備是否選擇信譽好、品牌大的廠家設備,此類廠家的網絡設備結構設計先進、產品制造工藝精細,設備的故障率低、可靠性高。二是關鍵網絡設備自身配置是否滿足冗余需要,針對目前高端的交換機、路由器、防火墻等一般都是模塊化設計,在設備選配時應配置雙引擎、雙電源等模塊,減少設備發生故障的概率。三是網絡設備是否定期實施巡檢,通過巡檢能提前發現網絡設備存在的風險隱患,及時更換使用時間長、故障率高的網絡設備。
(二)網絡結構的設計方面
網絡的冗余設計可以有效增加網絡的可用性,包括網絡線路冗余和關鍵網絡設備的冗余,當網絡主線路或設備發生故障時系統能在秒級內自動切換到備用線路或設備上,保證網絡能連續提供服務。
1.網絡線路是否存在冗余,包括線路冗余備份、容量的冗余。機房局域網的生產線路冗余度應達到100%,如應用服務器至少應安裝2塊網卡,并且分別接不同的交換機,交換機也采用2條網線分別連接到上層交換機上;廣域網均應采用雙線路設計,且是租用不同運營商(若當地只有一家運營商,應采用不同的通訊介質)實現線路的一主一備。主備線路間可利用線路負載均衡器,均衡主備線路流量,一旦一條線路出現問題可自動由另一條線路代替。帶寬冗余設計應根據當前業務對帶寬的需求、當地運營商提供線路的特點,以及為業務發展預留一定帶寬等因素確定,避免因業務量激增導致線路阻塞。
2.網絡設備是否有冗余。網絡設備的冗余應根據設備重要性程度不同分別采取不同的冗余方式。針對核心和主要網絡設備應采取負載均衡或一主一備方式實現核心網絡設備的雙機熱備,確保網絡設備無單點故障,一旦主設備出現故障,網絡自動切換到備份設備,確保網絡暢通。對于其他網絡設備可采取一對一(一臺備機對應一臺主機)或一對多(一臺備機對應多臺主機)的方式進行冷備,且定期對備份設備進行維護,保證備份設備一直處于可用狀態,一旦在用設備出現故障,利用備份設備進行替換,能盡快恢復網絡通訊。
(三)網絡安全管理方面
網絡時常受到非授權訪問、病毒入侵及拒絕服務攻擊等內外部威脅,為此需要加強網絡安全管理,增強網絡的強壯性,降低因非法訪問、感染病毒等因素導致的網絡中斷事故。在此方面審計需要重點關注:
1.網絡設施的物理訪問控制情況。是否利用門禁系統、監控系統或門鎖等設施禁止非授權人員物理接觸網絡設備,是否做好物理訪問的授權及記錄工作。
2.網絡的邏輯訪問控制情況。科學合理地布置網絡安全設備及有效的安全策略可以有效防范外部入侵、病毒感染和非授權訪問。一是是否在銀行內部網絡與外部網絡連接處設立DMZ(非軍事化區)區,并利用NAT/PAT(地址轉換、端口轉換)等技術,隱藏銀行內部網絡結構和網絡地址,防護內部網絡。二是是否在網絡邊界處部署防火墻,實現網絡邊界間信息出入的精確控制,檢測病毒、蠕蟲等安全威脅。三是是否部署IDS(入侵檢測系統)掌握網絡的運行狀況和發生的安全事件,并根據安全事件來調整安全策略和防護手段,從而提高整個網絡的安全水平。四是是否部署了漏洞掃描系統,及時發現網絡設備系統存在的漏洞,并進行自動更新,增強系統的強壯性。五是是否按照營業類、管理類、其他類等類型分 配內部網段,并科學、合理設置VLAN(虛擬局域網),對于跨網段或跨VLAN的網絡訪問利用ACL(訪問控制列表)進行控制。
3.網絡設備自身的安全管理情況。網絡設備的安全管理包括網絡服務安全、用戶權限管理和用戶行為審計等措施。審計重點關注:一是是否關閉設備上確認有軟件Bug(缺陷)的網絡服務和可能對自身產生安全威脅的服務。二是是否分級設置用戶登錄權限,是否啟用用戶名、密碼認證、配置強密碼,并定期修改。三是是否只允許經授權的用戶在設備上執行權限范圍內的操作,且對操作有相應審計。四是是否對接入網絡的計算機系統安裝防病毒軟件、桌面辦公安全管理軟件等,并做到及時升級。
(四)網絡故障恢復計劃的管理方面
銀行網絡時常受到網絡線路丟包或中斷、網絡設備故障、外部攻擊、非授權訪問及病毒入侵等威脅,而這些因素都有可能導致網絡出現故障。網絡一旦發生故障,如何盡快恢復網絡通訊,關注網絡故障恢復計劃的管理是可用性審計重要內容之一。
1.是否制定了網絡故障恢復計劃。商業銀行的信息技術管理部門應建立專門網絡應急預案即網絡故障恢復計劃,或在業務系統應急預案中涵蓋網絡故障恢復程序。網絡故障恢復計劃應包括以下內容:一是應明確故障恢復組織的組成和職責。二是確定應急資源準備要求,包括網絡備用設備及設備配置文件的管理。三是明確應急報告線路、應急響應、應急決策的流程,并預先制定各種故障情形下的故障診斷方法、步驟和恢復措施。四是明確外部供應商服務要求及管理等。
