導語：如何才能寫好一篇網絡安全運維技術，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：計算機；網絡安全；入侵檢測技術

基于網絡的入侵檢測系統(tǒng)的數據源是網絡流量，它實時監(jiān)視并分析通過網絡的所有通信業(yè)務，檢測范圍是整個網絡，由于網絡數據是規(guī)范的TCP/IP協(xié)議數據包，所以基于網絡的入侵檢測系統(tǒng)比較易于實現[1]。但它只能檢測出遠程入侵，對于本地入侵它是看不到的。

1入侵檢測技術概述

探測器一般由過濾器、網絡接口引擎器以及過濾規(guī)則決策器構成，其功能是按一定的規(guī)則從網絡上獲取與安全事件相關的數據包，然后傳遞給分析引擎器進行安全分析判斷。分析引擎器將從探測器上接收到的包結合網絡安全數據庫進行分析，把分析的結果傳遞給配置構造器。配置構造器根據分析引擎的結果構造出探測器所需要的配置規(guī)則。分析引擎器是它的一個重要部件，用來分析網絡數據中的異常現象或可疑跡象，并提取出異常標志。分析引擎器的分析和判斷決定了具有什么樣特征的網絡數據流是非正常的網絡行為，它常用的4種入侵和攻擊識別技術包括根據模式、表達式或字節(jié)匹配；利用出現頻率或穿越閥值；根據次要事件的相關性；統(tǒng)計學意義上的非常規(guī)現象檢測[2]。

2計算機網絡安全的現狀

在新系統(tǒng)的設計中，利用數據挖掘技術從系統(tǒng)日志、系統(tǒng)調用序列、網絡流等大量數據中提取與安全相關的系統(tǒng)特征屬性，為了高效地利用特征屬性，采用特征向量集代替特征屬性變量集，設計中采用遺傳算法選擇其特征子集，以降低入侵檢測系統(tǒng)的負荷。進行數據挖掘時，所選用的安全審計數據須具備以下特點：

（1）相對于正常的用戶和系統(tǒng)行為，攻擊事件的發(fā)生概率很小[2]。

（2）在正常情況下所選用的安全審計數據非常穩(wěn)定。

（3）攻擊事件的發(fā)生會使安全審計數據的某些特征變量明顯偏離正常值。

特權程序一般都具有最高權限，因此特權程序一直是攻擊者的主要目標。通過研究發(fā)現，對特權程序，系統(tǒng)調用序列較好地滿足了數據挖掘對安全審計數據提出的要求，是理想的挖掘數據源。國外有關研究機構還提供了大量的有關系統(tǒng)調用序列的數據供IDS的研究者下載使用，基本上滿足了完備性的要求。

系統(tǒng)調用序列檢測的工作主要流程如下：

（1）準備訓練數據集，該數據集中數據記錄具有廣泛的代表性，即具有較高的支持度；所有數據已經被準確標識為正常或異常，采用有關系統(tǒng)調用序列的數據作為分類器的訓練數據集。

（2）用RIPPER算法分析訓練數據集，提取特征屬性，生成規(guī)則。

（3）基于所生成的規(guī)則，用滑動窗口法分析待檢測系統(tǒng)調用序列[3]。

3入侵檢測系統(tǒng)在計算機網絡安全維護中的應用

為進一步提高IDS的性能，減少IDS組件對被保護系統(tǒng)的負荷，所設計的新人侵檢測系統(tǒng)采用特征向量集代替特征屬性變量集（短序列集），在數據挖掘時產生了更簡單、準確的入侵判別規(guī)則集。在此基礎上進一步研究用特征向量子集代替特征向量集，采用遺傳算法優(yōu)化特征向量子集的選擇過程，使IDS的性能得到進一步的提升[3]。

在系統(tǒng)調用序列數據的挖掘過程中使用特征向量法，用特征向量的一位標識一個短序列，用挖掘算法能從特征向量集中找出檢測入侵的規(guī)則來。由于短序列的數量較大，導致特征向量位數過大，特征向量集也相應過大。為了更高效可行地使用數據挖掘算法，采用遺傳算法對特征向量集進行優(yōu)化，尋找特征子集，利于后續(xù)的數據挖掘[4]。

該最優(yōu)個體必然是0、1交替的位串，將其所有1所在位置進行分析，可以得到1所在位置代表的短序列集，即為尋找的特征子集。后續(xù)挖掘算法根據該特征子集中的短序列，對訓練數據進行分類等挖掘工作。

采用標準交叉算子和變異算子，交叉概率取0.6，變異概率取0.001。遺傳過程中，個體的選擇比較復雜。因為這里是針對入侵檢測進行的優(yōu)化，所以在選擇個體時，是將該個體代表的入選子集的短序列應用到數據分類算法（RIPPER），該算法訓練數據并應用規(guī)則得到測試數據，根據檢測的性能來確定上述要選擇的個體的適應度值。根據個體的適應度值就可以對其進行選擇，繼續(xù)遺傳優(yōu)化工作。研究表明，個體的適應值可以取決于有多少攻擊被正確檢測和正常使用連接被誤判為攻擊，同時考慮個體中置1位的數目，本系統(tǒng)設計的適應度函數為[4]：

[F（xi）=[（a/A）-（b/B）]δm]

式中：[xi]為某個個體，a為正確檢測到的攻擊數目；A為總有攻擊數目；b為被誤判為攻擊的連接數；B為總的正常連接數；m為[xi]中1的個數；[δm]為m對于該適應度函數的相關系數，即高檢出率低誤報率使適應度函數值高，低檢出率高誤報率使適應度函數值低。個體中置l的位數越少，適應度值越大，這是出于尋找最小特征子集的考慮，其影響的強弱由相關系數d去控制。

if

{

一個網絡連接有如下特征：

源IP地址d2.Of.**.**；

目標IP地址c0.a8.a*.**；

源端口號43226；

目標端口號80；

持續(xù)時間482 s；

終止狀態(tài)（由發(fā)起連接的人終止連接）11；

使用協(xié)議（TCP協(xié)議）2；

發(fā)送方發(fā)送了7341B；

接收方接收了37761B；

}

then

{

終止該連接；

}

結論

總之，入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行人侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。

參考文獻：

[1]楊嶺. 基于網絡安全維護的計算機網絡安全技術應用研究[J]. 信息系統(tǒng)工程，2015，01：77.

[2]張旭東. 基于混合數據挖掘方法的入侵檢測算法研究[J]. 信息安全與技術，2015，02：31-33.

篇2

【關鍵詞】廣播電臺；網絡安全；技術

1.前言

近幾年來，網絡信息技術不斷地發(fā)展，在廣播系統(tǒng)內的應用不斷深化、普及。廣播電臺節(jié)目的數字化制作、管理、播出也對網絡的要求日益增高。網絡技術的應用節(jié)約了很多勞動力，簡化管理，提供更多的便利，同時也帶來很多的問題，即網絡安全。網絡安全是伴隨網絡技術而誕生的，隨著計算機技術發(fā)展而不斷地演變。如今技術不斷地發(fā)展，需求也在進一步提高，因此網絡結構以及設計理念也將不斷變化。

2.技術安全設計

2.1數據級的安全 以分布式數據庫與文件系統(tǒng)來進行設計，在制播網絡的系統(tǒng)中必須按照實際的要求制定正確、合理的數據庫系統(tǒng)和文件系統(tǒng)，以便可以緩解數據風險，降低訪問的壓力。一般來說，核心的數據庫以及文件系統(tǒng)都是進行本地備份，也可以進行遠程自動備份，以便順利恢復功能。另外，還可以選擇分布式以及虛擬化的方式進行儲存，可以有效地管理媒體數據的生命周期，確保存儲系統(tǒng)為制播網絡提供最優(yōu)質的保障[1]。

2.2媒體數據的安全設計 通常情況都是采取備份的方式來存儲媒體數據，一旦單體存儲出現故障，可以有效避免素材丟失。同時，必須以RAID數據來檢測媒體數據存儲情況，同時也要設置訪問以刪除權限，確保媒體數據的安全。

2.3存儲體的安全設計 對于中心存儲系統(tǒng)來說，其關鍵設備的選擇十分重要，通常都會采用冗余配置，比如說雙電源設備，冗余風扇以及可進行雙控的控制器；同時也采用RAID數據來保護中心存儲系統(tǒng)；另外還提供熱備與進行校檢的磁盤，以及冷備磁盤，如果發(fā)生故障，可以采用備份磁盤來替代出現故障的磁盤；最后，中心存儲系統(tǒng)需采用近線數據流磁帶來進行備份，確保其安全性。

2.4對于服務器的安全設計 對于服務器的安全設計通常也是通過RAID的方式來實現。其設計模式是：采用冗余電源及冗余風扇來實現；一些重要的服務器都是進行雙機配置，可進行雙熱備份以及熱倒換；數據庫系統(tǒng)的設計比較關鍵，一般會采用安全級別更高的操作系統(tǒng)，例如Unix或者Linux；另外，服務器與交換機之間的連接時通過冗余鏈路來實現，以便緩解單條鏈路的壓力，避免故障的發(fā)生，導致無法訪問服務器[2]。

2.5對于工作站的安全設計 通常情況，音頻的工作站點時分散地分布于不相同的交換機上，即便一臺交換機出現故障，也不會影響到整個工作站點，跟不會造成整個網絡客戶端出現癱瘓現象；此外，有些音頻工作站點存儲于本地硬盤中，一旦網絡癱瘓，可以通過本地硬盤來提取數據，確保節(jié)目順利制播。最后，還要確保所應用的軟件具有防御斷電的保護功能，以免斷電等意外造成文件丟失。

2.6對于備份系統(tǒng)的安全設計 對于備份系統(tǒng)的設計，則要根據具體的數據來制定，例如投資的多少以及規(guī)模的大小。在廣播電臺的直播系統(tǒng)中，最小備份系統(tǒng)時必不可少的，可以整個應用系統(tǒng)的基本運行，確保節(jié)目的安全播出。

2.7系統(tǒng)互聯(lián)的安全設計 網絡系統(tǒng)的安全設計要從兩個方面進行考慮：一是本臺局域網；二是全臺的其他業(yè)務，確保此設計方式適合整個網絡的運行。在設計過程中，一方面要充分考慮到網絡系統(tǒng)的物理隔離，另一方面要確保整個網絡系統(tǒng)擁有一個安全的接口，可以保證廣播電臺的制作網絡系統(tǒng)能夠順利地連接到采編系統(tǒng)或者外網系統(tǒng)，實現數據交換、資源共享。

2.8對于防火墻的管理 防火墻是網絡安全中不可或缺的組成部分，也是唯一一條可以實現不相同網絡或者網絡安全域之間信息自由出入的通道，必須依照設計的安全措施，嚴格控制網絡信息的出入，可以有效地去搞整個網絡以及信息的安全。從實體上來分，防火墻分為兩種：一種是硬件防火墻，具只具備包過濾的功能；另一種是軟件防火墻，既有硬件防火墻的功能，還有其他功能，例如過濾內容功能、入侵偵探的功能以及入侵防護的功能等[3]。

3.運維服務體系的建立

3.1加強各項操作準確性，確保整個流程符合規(guī)范要求 建立健全的運維服務制度，制定相應的流程，運維管理人員必須根據操作章程進行運維，同時要設定審核制度，主要有：技術上的制度以及相應的流程、設備維修的相關制度、應急的處理手段、問題跟蹤制度等，確保運維服務能夠有效進行，保證整個體系的規(guī)范化以及制度化。

3.2建立嚴格的值班制度 首先要制定出一套嚴格的值班制度，以及懲罰方式，嚴格要求值班人員做好每天的運維記錄，下班之前進行工作總結，以保證巡檢到達規(guī)范要求。其次要加強對內部人員的培訓，保證整個網絡運維的質量。

3.3完善網路運維知識體系 完善網絡運維知識庫，加強運維知識庫的規(guī)范性、制度性，一旦出現問題，可以快速進行檢查，也可以為今后出現類似情況提供參考。

4.網絡系統(tǒng)的日常維護

4.1強化磁盤的動態(tài)管理，提高網絡運行速度 一般在網絡中制作節(jié)目都是由于多部門、多欄目同時進行，造成網絡運行十分緩慢。因此，必須加強對這些部門及欄目磁盤空間的管理，提高網絡的運行速度。同時，網絡系統(tǒng)要設置有動態(tài)的磁盤的分配功能，可以有效管理各部門使用磁盤的具體情況，實現動態(tài)分配。

4.2嚴格執(zhí)行系統(tǒng)的日志管理 廣播電臺的網絡系統(tǒng)可以通過日志管理來實現。系統(tǒng)一般都會記錄用戶登陸后的相關操作，例如登錄的情況、素材的刪除、操作方法、節(jié)目的編制方法以及設備的使用情況。網絡管理人員通過日常管理功能，將這些無用的記錄進行刪除。

4.3對于訪問安全的管理設置 為了確保系統(tǒng)的安全，必須嚴格設置用戶認證系統(tǒng)以及訪問權限，限定人員對于系統(tǒng)的使用，確保登陸系統(tǒng)人員的合法性，確保網絡安全。此軟件分為三層結構，一是數據及程序，二是數據控制，三是應用邏輯。此三層結構獨立管理，以便有效地控制人員對信息的訪問[4]。

5.結束語

總之，網絡技術為廣播電臺提供更加合理、靈活、強大的功能，實現節(jié)目通道的任意調配，對于信息的掌握與處理更加靈活。然而廣播制播網仍處于起步階段，尚未完善，然在緩慢的發(fā)展，因此必須加強對廣播技術的研究，實現廣播電臺的持續(xù)發(fā)展。同時要學會靈活運用網絡技術，進而提高廣播電臺的核心競爭力，為廣播電臺開拓更廣的發(fā)展空間。參考文獻

[1]李杰.廣播電臺制播網絡系統(tǒng)安全設計探討.廣播電視信息.2010(04).92.

[2]高馨.烏魯木齊人民廣播電臺的技術改進設計.電聲技術.2009(01).85.

篇3

關鍵詞：工控；網絡安全；安全建設

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術的逐步發(fā)展和深化實踐，制造業(yè)工業(yè)控制系統(tǒng)的應用越來越多，隨之而來的網絡安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關系到一個國家經濟命脈，工業(yè)控制系統(tǒng)網絡一旦出現特殊情況可能會引發(fā)直接的人員傷亡和財產損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務的安全建設為例介紹工業(yè)信息安全防護思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網絡安全法和工業(yè)基礎設施的相關法規(guī)和要求等為依據，并結合傳統(tǒng)工業(yè)控制系統(tǒng)的現狀，從技術設計和管理系統(tǒng)建設兩個方面來構建工控系統(tǒng)網絡安全。

2工業(yè)信息安全概述

2.1工控網絡的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構成的以完成實時數據采集、工業(yè)生產流程監(jiān)測控制的管控系統(tǒng)，也可以說工業(yè)控制系統(tǒng)是控制技術（Control）、計算機技術（Computer）、通信技術（Communication）、圖形顯示技術（CRT）和網絡技術（Network）相結合的產物[1]。工控系統(tǒng)網絡安全是指工業(yè)自動控制系統(tǒng)網絡安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領域，其中超過60%的涉及國計民生的關鍵基礎設施（如公路、軌道交通等）都依靠工控系統(tǒng)來實現自動化作業(yè)。

2.2國內外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國家工業(yè)基礎設施的重要組成部分，近年來由于網絡技術的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網絡戰(zhàn)的重點攻擊目標，不斷涌現的安全事件也暴露出工控系統(tǒng)網絡安全正面臨著嚴峻的挑戰(zhàn)。（1）美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務公司的計算機遭遇震網病毒感染，導致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機，部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網病毒引起的，而這種病毒常被用來定向攻擊基礎（能源）設施，比如國家電網、水壩、核電站等。（2）烏克蘭電網攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網突發(fā)停電，調查發(fā)現這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。（3）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統(tǒng)，造成上千臺服務器和工作站感染勒索病毒，數據全部被加密，售票系統(tǒng)全面癱瘓。其實國內也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等，其中大部分是由于移動接入設備的不合規(guī)使用而帶來的風險。從以上事件可以看出，攻擊者要發(fā)動網絡攻擊只需發(fā)送一個普通的病毒就可以達到目的，隨著網絡攻擊事件的頻發(fā)和各種復雜病毒的出現，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規(guī)范

作為國家基礎設施的工業(yè)控制系統(tǒng)，正面臨著來自網絡攻擊等的威脅，為此針對工控網絡安全，我國制定和了相關法律法規(guī)來指導網絡安全建設防護工作。其中有國家標準委在2016年10月的《工業(yè)通信網絡網絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網絡安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項國家標準[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，該標準以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，分別從技術防護和管理設計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設防護要求。2017年6月，《網絡安全法》開始實施，網安法從不同的網絡層次規(guī)定了網絡安全的檢測、評估以及防護和管理等要求，促進了我國工業(yè)控制系統(tǒng)網絡安全的發(fā)展。

3工業(yè)控制系統(tǒng)網絡安全分析

軌道交通信號系統(tǒng)（CBTC）是基于通信技術的列車控制系統(tǒng)，該系統(tǒng)依靠通信技術實現“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題：（1）網絡邊界無隔離隨著CBTC的集成度越來越高，各個子系統(tǒng)之間的聯(lián)系和數據通信也越來越密切，根據地域一般劃分為控制中心、車站、車輛段和停車場，根據業(yè)務又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng)，各區(qū)域之間沒有做好訪問控制措施，缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。（2）網絡異常查不到針對CBTC系統(tǒng)的網絡入侵行為一般隱蔽性很強，沒有專門的設備去檢測的話很難發(fā)現入侵行為。出現安全事件后沒有審計記錄和追溯的手段，等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄，不能及時發(fā)現高級持續(xù)威脅、不能有效應對攻擊、不能及時發(fā)現各種異常操作。（3）工作站、服務器無防護CBTC系統(tǒng)工作站、服務器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設之初基本不會對工作站和服務器的操作系統(tǒng)進行升級，操作系統(tǒng)在使用過程中不斷暴露漏洞，而系統(tǒng)漏洞又無法得到及時的修復，這都會導致工作站和服務器面臨風險。沒有在系統(tǒng)上線前關閉冗余系統(tǒng)服務，沒有加強系統(tǒng)的密碼策略。除此之外，運維人員可以在調試過程中在操作站和服務器上安裝與業(yè)務無關的軟件，也可能會開啟操作系統(tǒng)的遠程功能，上線后也不會關閉此功能，這些操作都會使得系統(tǒng)配置簡單，更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設備的接入行為進行管控，隨意使用移動存儲介質的現象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產系統(tǒng)中。（4）運維管理不完善單位內安全組織機構人員職責不完善，缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門，未明確相關業(yè)務部門的安全職責和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網絡安全管理制度政策來規(guī)劃安全建設和設計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關的審計和監(jiān)控措施，當第三方運維人員進行設備維護時，業(yè)務系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發(fā)生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統(tǒng)的網絡采用物理隔離，基本可以保證正常生產經營。但是管理網接入工控系統(tǒng)網絡后，工控系統(tǒng)網絡內部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網的數據安全交互必須在工控網絡邊界實現，因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網絡安全防護體系

工控系統(tǒng)信息化建設必須符合國家有關規(guī)定，從安全層面來看要符合國家級防護的相關要求，全面規(guī)劃設計網絡安全保障體系，使得工控體系符合相關安全標準，確保工控安全保障體系的廣度和深度。根據安全需求建立安全防護體系，通過管理和技術實現主被動安全相結合，有效提升了工控業(yè)務系統(tǒng)的安全防護能力。根據業(yè)務流量和業(yè)務功能特點以及工控系統(tǒng)網絡安全的基本要求來設計不同的項目技術方案，從技術角度來識別系統(tǒng)的安全風險，依據系統(tǒng)架構來設計安全加固措施，同時還要按照安全管理的相關要求建立完善的網絡安全管理制度體系，來確保整體業(yè)務系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素，我們將軌道交通信號系統(tǒng)業(yè)務網絡劃分為多個子安全域，根據CBTC業(yè)務的重要性、實時性、關聯(lián)性、功能范圍、資產屬性以及對現場受控設備的影響程度等，將工控網絡劃分成不同的安全防護區(qū)域，所有業(yè)務子系統(tǒng)都必須置于相應的安全區(qū)域內。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現工業(yè)現場中的設備登錄控制、應用服務資源訪問的身份認證管理，使得只有獲得授權的用戶才能對現場設備進行數據更新、參數設定，在控制設備及監(jiān)控設備上運行程序、標識相應的數據集合等操作，防止未經授權的修改或刪除等操作。4.2流量監(jiān)測與審計網絡入侵檢測主要用于檢測網絡中的惡意探測和惡意攻擊行為，常見有網絡蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設備掃描探測操作系統(tǒng)、網絡設備、安全設備、應用系統(tǒng)、中間件、數據庫等網絡資產和應用，及時發(fā)現網絡中各種設備和應用的安全漏洞，提出修復和整改建議來保障系統(tǒng)和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發(fā)現識別系統(tǒng)設備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數據庫訪問審計以及所有設備和系統(tǒng)的日志審計，主要體現在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據等級保護制度要求規(guī)定，重要等級在第二級以上的信息系統(tǒng)需要在網絡中建立統(tǒng)一集中管理中心，通過統(tǒng)一安全管理平臺能夠對網絡設備、安全設備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理，平臺可以呈現CBTC系統(tǒng)中各類設備間的訪問關系，形成基于網絡訪問關系、業(yè)務操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時識別和發(fā)現未定義的行為以及重要的業(yè)務操作指令的異常行為。可以設置監(jiān)控指標告警閾值，觸發(fā)告警并記錄，對各類報警和日志信息進行關聯(lián)分析和預警通報。

4.4編制網絡安全管理制度

設立安全專屬職能的管理部門和領導者及管理成員的崗位，制定總體安全方針，指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規(guī)劃并落實，必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經過上層組織機構評審和正式，保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負責單位內人員的招聘錄用工作，對人員的專業(yè)能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責任書。編制完善的制度規(guī)范，編制范圍應涵蓋信息系統(tǒng)在規(guī)劃和建設、安全定級與備案、方案設計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設，制定包含物理環(huán)境管理、資產管理、系統(tǒng)設備介質管理以及漏洞風險管理等方面的規(guī)范要求，對于機房等辦公區(qū)域的人員進出、設備進出進行記錄和控制，建立資產管理制度規(guī)范系統(tǒng)資質的管理與使用行為，保存相關的資產清單，對各種軟硬件資產做好定期維護，對資產采購、領用和發(fā)放制定嚴格的審批流程。針對漏洞做好風險管理，針對發(fā)現的安全問題采取相關的應對措施，形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協(xié)議，協(xié)議中應明確外包工作范圍和具體職責。

5結束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網絡安全攻擊的趨勢，近年來我國將網絡安全建設提升到了國家安全戰(zhàn)略的高度，并且制定了相關的標準、政策、技術、程序等來積極應對安全風險，業(yè)務主管部門還應進一步強化網絡安全意識，開展網絡安全評估，制定網絡安全策略，提高工控網絡安全水平，確保業(yè)務的安全穩(wěn)定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網絡安全技術與應用，2008（4）.

[2]李俊．工業(yè)控制系統(tǒng)信息安全管理措施研究[J].自動化與儀器儀表，2014（9）.

篇4

當前存在的問題主要有兩方面：一是當網站出現故障或者安全隱患時，運維人員往往很難在第一時間發(fā)現問題并做出應急處理，嚴重地影響了網站的可用性與品牌形象權威性。二是傳統(tǒng)的網絡運維沒有規(guī)范化、體系化，導致難以有效管控安全事件處理進度。

2015 年，CNCERT（國家互聯(lián)網應急中心）通報了涉及政府機構和重要信息系統(tǒng)部門的事件型漏洞近 2.4 萬起，約是 2014 年的 2.6 倍，網絡安全威脅繼續(xù)保持快速增長態(tài)勢。

2014年第一屆世界互聯(lián)網大會和2015年第二屆世界互聯(lián)網大會之后，2016年中國舉辦第三屆世界互聯(lián)網大會和G20峰會，中國正在成為國際黑客關注的目標，尤其是中國政府網站將成為國際黑客攻擊的重點目標。

因此，為確保中國政府網站的安全、高效、可持續(xù)運作，網站安全保障工作成為各級地方政府的重要任務之一。

浙江乾冠信息安全研究院CNCERT（國家互聯(lián)網應急中心）通報了涉及政府機構和重要信息系統(tǒng)部門的網站進行了摸底排查，目前發(fā)現不少網站存在安全隱患，發(fā)現高危漏洞5個，中危和低危漏洞16個，網站故障率為20%。由此看來，一些政府單位的相關網站安全性面臨較大威脅，如何徹底排查、修復網站的安全問題，已成為現如今做好網絡安全維護工作最重要的部分，建立一套長效的網絡安全保證體系是當務之急。

為此乾冠提出部署網絡安全應急移動管理平臺體系的解決方案。該安全保障體系主要由網站監(jiān)測平臺、網站預警平臺、移動應急指揮三部分構成。實現“監(jiān)測、預警、服務”安全閉環(huán)式管理。

第一步，建立網站遠程監(jiān)測平臺。網站監(jiān)測平臺是一套軟硬件一體化監(jiān)測平臺，已廣泛用于云平臺、網站和金融機構，以云計算和數據集中化技術為依托，采用遠程監(jiān)測方式對網站提供7×24小時實施安全監(jiān)測服務。

第二步，建立網站安全預警平臺。網站安全預警平臺是針對網站的漏洞、可用性、篡改、掛馬、暗鏈、壞鏈、DNS劫持、敏感字等進行實時監(jiān)測和預警，在發(fā)生安全事件時，第一時間獲悉，并依據應急預案及時作出應對策略，最大限度減少網絡安全事件帶來的損失。

第三步，部署移動應急處置平臺。當出現一個安全事件后，為了及時和統(tǒng)一處理，以及跟蹤處理進度，可以由網站監(jiān)測預警平臺或者由手機App安全軟件生成運維工單，每一個需要處理的故障告警均以運維工單的形式流轉，既方便統(tǒng)一指揮和跟蹤處理情況，也便于日后的統(tǒng)一總結分析。

篇5

關鍵詞：調度數據網；網絡安全；工作監(jiān)測

1電網調度數據網網絡安全在線監(jiān)測工作現狀

1.1設備運行情況不清晰

交換機以及路由器是電網調度數據網的基礎部分，只有保證此類網絡設備運行正常才可以促使整個電網調度數據網絡的正常運行。但是工作人員往往不能實現對網絡設備運行情況的實時監(jiān)控，進而使得工作人員難以在第一時間了解網絡設備的運行情況。一旦發(fā)生網絡設備的故障，管理人員難以發(fā)現，給后期的設備維護工作造成了困難。此外，工作人員因為不能了解網絡設備的運行狀態(tài)，所以有關于設備的溫度、CPU占用率、電源以及內存占用率等基礎信息很難準確掌握，從而在日常檢測設備時無法及時發(fā)現數據異常情況，導致后期網絡設備出現故障的風險。

1.2設備故障管理不合理

現階段，工作人員在調度數據網時存在“放小抓大”的設備故障管理現象，即針對于鏈路通斷、網絡設備托管等對整個電網運行影響較大的設備故障第一時間組織人員，查明問題原因并加以解決，而針對于那些CPU內存輕微超標、溫度超標、內存超標等小故障未加以重視。電網運行過程中，不僅網絡設備的數量龐大，而且使用過程較為復雜，若對此類設備的小故障不加以及時控制，后期往往會發(fā)展為大故障。例如，溫度偏高常常被工作人員所忽視，但是溫度過高現象持續(xù)時間過長會使得網絡設備出現重啟現象，不僅對數據的安全產生不良影響，而且還會影響正常的工作秩序[1]。

1.3網絡入侵防御不全面

現階段的電網調度數據網網絡防御系統(tǒng)不論是其內部核心層還是其外部的接入層，都顯得較為被動，缺少完整的網絡入侵防御系統(tǒng)，僅憑借二次系統(tǒng)安全防護中之中的縱向認證以及橫向隔離不能保證電網調度數據網運行過程安全。在電網調度數據網實際運行過程中，利用二次系統(tǒng)防護難以及時對業(yè)務數據中存在的潛在威脅進行有效判斷。例如，黑客病毒、木馬以及蠕蟲等。電子郵件、網頁瀏覽、網絡的不正規(guī)下載等操作都是感染各種病毒的途徑，傳統(tǒng)的防護僅僅是通過防火墻將流入的信息進行及時過濾，只能對數據進行基本的識別，難以保證數據的安全性。

1.4內部安全防護不完善

電網調度數據網內部的安全隱患有如下3種。第一，惡意攻擊行為。惡意攻擊行為往往是人為的，是現如今電網調度數據網面臨的最大威脅，即在保證網絡系統(tǒng)正常運行的前提下，對電網調度數據網之中的業(yè)務系統(tǒng)進行盜竊、截取以及破譯，進而非法獲得數據的行為。第二，無意失誤行為。此種行為常常是因為工作人員的不正規(guī)操作手段使得數據出現泄露、丟失等現象，影響內部電網調度數據網的正常運行。第三，系統(tǒng)內部漏洞。系統(tǒng)內部存在的漏洞是部分不法黑客侵入系統(tǒng)的首選目標。電網調度數據網的內部安全防護不僅應該做好對外部入侵的防護，而且需保證防護系統(tǒng)內部威脅。但是電網調度數據網絡還不能對內部的非法授權訪問、WEB頁面訪問以及用戶數據訪問中的流量進行及時監(jiān)測，所以難以對內部的安全威脅做到有效控制，使得網絡內部運行狀態(tài)難以達到穩(wěn)定狀態(tài)，一旦發(fā)生網絡安全事故，難以及時找出原因并且加以解決[2]

1.5網絡運維工作不周密

電網調度數據網絡的運維工作是保證電力系統(tǒng)正常運行的關鍵，運維工作人員主要應該保證整個調度數據的準確性，但是調度數據涉及到的網絡設備較多，往往難以保證運維工作效率和質量達到規(guī)定標準。此外，現如今的網絡運維工作常常只負責各種網絡設備的故障以及維護工作，而對網絡中出現的安全事件不重視，未及時查明安全事件發(fā)生的原因。這不僅給后期的運維工作無意間增加了難度，而且還增加了工作人員的工作量。

2電網調度數據網網絡安全在線監(jiān)測工作建議

2.1構建網絡安全管理平臺

工作人員應該及時在電網調度數據網中構建網絡安全管理平臺，利用網絡安全管理平臺可以實現對運行的所有網絡設備的有效管理。網絡安全管理平臺是利用SNMP技術對每一個網絡設備的運行狀態(tài)信息進行獲取，在獲取后將信息匯總到系統(tǒng)內部，通過對數據的分析處理，進而將可能存在運行故障的網絡設備及時通知給當地的工作人員，以便保證工作人員可以及時對故障進行處理。此外，當網絡安全管理平臺中出現的設備故障達到一定數量時，網絡安全管理平臺會自動將此類現象升級為安全事件，此時管理人員會在特定地區(qū)內部進行重點排查，進而保證電網調度數據網絡的正常運行。

2.2重視設備的實時監(jiān)控

為了盡可能減少人為網絡故障以及設備自身網絡故障現象的發(fā)生，管理人員應該保證對網絡設備可以做到實時監(jiān)控。第一，網絡設備系統(tǒng)的實時監(jiān)視。若想做到對網絡設備系統(tǒng)的實時監(jiān)視，工作人員應該做好設備的系統(tǒng)日志，將網絡設備運行過程中的系統(tǒng)問題以及軟硬件問題進行及時記錄，然后網絡安全管理平臺會利用Telnet的方式主動對網絡設備系統(tǒng)日志中的數據進行分析，依據電網調度數據網中的事故警報級別對系統(tǒng)異常信息進行集中顯示，及時幫助工作人員尋找到可能的事故風險。第二，做到網絡設備配置的實時監(jiān)視。網絡設備的配置主要應有如下兩種，運行配置以及啟動配置。運行配置指的是電網調度數據網絡設備運行時的配置；啟動配置指的是設備啟動時需要加載的配置。網絡安全管理平臺可以采用Telnet及時將各種設備進行主動連接，對目前的啟動配置以及運行配置的細節(jié)加以分析，進而實現對網絡設備配置的實時監(jiān)控。對網絡設備配置進行實時監(jiān)控的主要目的在于可以對目前網絡設備的啟動配置和運行配置的協(xié)調程度進行及時分析，如果發(fā)現配置存在差異，說明此配置有被認為更改的現象，由此可以對目前電網調度數據網絡設備配置進行實時管理[3]。

2.3設立入侵防御系統(tǒng)

雖然每個市縣公司內部為了應對電網調度數據網絡的內部威脅將防火墻中輸入的數據流量進行了實時監(jiān)控，但是此種方法只能避免一些較為簡單的病毒數據，而對于復雜的病毒數據難以做到及時清除。因此，工作人員應該在電網調度數據網內部設立入侵防御系統(tǒng)。此種防御系統(tǒng)不但可以對流入數據的IP地址進行及時過濾，還可以對應用層面所產生的各種惡意代碼以及惡意入侵行為進行檢測，進而作出應對措施。入侵防御系統(tǒng)一般使用旁路部署的手段，利用流量鏡像技術將各個地區(qū)內部的核心路由器相互聯(lián)系，對其內部的流量數據進行分析處理，然后將系統(tǒng)得出的結果傳遞給中心的管理系統(tǒng)進行匯總，以及時檢測到各種異常行為。

2.4及時監(jiān)測流量以及鏈路

為有效保證電網調度數據網網絡系統(tǒng)的運行安全，工作人員應該及時對網絡流量以及鏈路進行監(jiān)測。第一，網絡流量的監(jiān)測。網絡流量涉及到的數據應該及時采集，并且通過對數據的分析與統(tǒng)計可以顯示出最近幾個小時內的流量趨勢。此外，還可以利用目的IP、源IP以及會話等多方面顯示出各個區(qū)域內部的網絡流量的排名情況，為后期的電網調度數據網網絡運營和維護提供基礎數據支持。第二，鏈路的監(jiān)測。鏈路的監(jiān)測與網絡流量的監(jiān)測相似，同樣需要對網絡流量信息進行監(jiān)測與分析，二者的不同之處在于鏈路監(jiān)測需要對內部的比特率進行定期采樣，同時還應該通過Ping計算出相應的鏈路反應時間，最后再將一段時間內的鏈路反應延遲趨勢進行匯總，進而達到對鏈路的實時監(jiān)測。

2.5合理設計安全管理框架

安全管理框架是電網調度數據網網絡穩(wěn)定運行的基礎，主要應該注意如下3點。第一，具有可行性。安全管理框架應該與區(qū)域內部的電力行業(yè)的運行實際情況相匹配，在設計時應該保證管理框架符合目前業(yè)務水平，實現各種資源的高效利用。第二，符合政策標準。電網調度數據網的管理框架應該以我國的電力行業(yè)的相關法律法規(guī)為基礎，然后依據當前的行業(yè)發(fā)展需要合理調整框架內容。第三，具備時效性。目前，電網調度數據網的安全管理框架應該根據實際的發(fā)展需求逐步優(yōu)化，保證管理框架可以與時俱進。

3結論

現階段，電網調度數據網網絡安全應該引起工作人員的重視。需及時構建網絡安全管理平臺、重視設備的實時監(jiān)控、設立入侵防御系統(tǒng)、及時監(jiān)測流量和鏈路以及合理設計安全管理框架，盡可能保證內部電網調度數據網絡的穩(wěn)定、高效運行。

參考文獻：

[1]林承勛.淺析電力調度數據網安全防護設計與實現[J].通訊世界，2019，26（7）：209-210.

篇6

小企業(yè)希望享受大服務

近年來,為了解決企業(yè)管理人員的技術水平難以應對不斷翻新的網絡攻擊問題,也為降低網絡安全管理和運維人員成本,提升工作效率,一些大型企業(yè)開始購買安全服務,并通過安全評估和應急響應來幫助他們處理各種管理方面的問題。

趨勢科技最新的《網絡安全產品和服務需求調查報告》顯示,85%以上的用戶認為信息安全領域最大的威脅仍是病毒攻擊;75%的用戶更希望能夠在成本可控制下,有選擇性地購買安全服務;92%的企業(yè)用戶除了防毒能力之外,最關心防毒廠商是否能提供配套的安全服務體系。

除此以外,大量權威調查機構的數據都表明,絕大多數的中小企業(yè)對自身和安全廠商都提出了更高的要求。他們希望以更優(yōu)惠的價格得到廠商更多的服務支持,并享有大型企業(yè)的安全護航服務。

某國際貨運公司的CIO董先生表示:“安全運維工作的難點,首先是缺乏專業(yè)的人員協(xié)助處理病毒爆發(fā)事件,其次是我們缺乏主動性檢測的病毒入侵防御手段,而且IT運維人員可能需要同時肩負多個任務。在這種情況下,IT運維人員很難完成網絡巡檢和定期的網絡健康檢查。”

在很多企業(yè)的實際應用中,網絡管理者很難應付大規(guī)模的病毒爆發(fā),企業(yè)網絡系統(tǒng)的安全性面臨多種挑戰(zhàn)。

首先,信息安全管理在任何一個IT系統(tǒng)生命周期中的地位是不變的,無論IT運維投入有多艱難,但對于安全管理來講,永遠是“不怕一萬,就怕萬一”。

其次,就如我們所知道的那樣,有效的信息安全管理包括防范、偵測和應急響應的互相配合。除了部署強而有力的安全保護措施外,企業(yè)還應具備安全事故應急能力,以備在發(fā)生“疾病”的時候可以激活配套的響應程序。

還有,針對“主動式”的運維需求,IT部門在安全問題處理周期中普遍存在明顯的時間滯后現象,所以尋求外界的支持和幫助必不可少。

專家值守服務可自助選擇

其實企業(yè)級用戶選擇安全外包或是購買服務早已不是什么新鮮事了,但對中小企業(yè)用戶來講,一旦網絡癱瘓,卻很難享受到廠商的安全服務。因為在網絡安全廠商提供的服務方案中,通常會對上門服務收取高額的費用,這讓中小企業(yè)用戶幾乎沒有選擇的權利。

近日,趨勢科技提出打造企業(yè)安全“一站式服務”的解決方案,嘗試將專家值守服務(EOG)以“自助選擇”的形式提供給中小企業(yè)用戶。中小企業(yè)不但可以根據自身規(guī)模和行業(yè)安全等級評估的方式購買應急響應和專家服務,靈活的配套方案還可以使企業(yè)選擇的空間更大。

篇7

關鍵詞：高校網絡;運維管理;網絡安全;探討

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1006-8937（2016）03-0067-02

高校網絡建設對我國的教育工作有積極的意義，能極大的推動教育現代和信息化建設。所以，現階段已經成為高校建設工作中的重要環(huán)節(jié)。現代高校的各個工作環(huán)節(jié)，如行政、教學和科研等工作，也越來越離不開校園網絡了。然而，在校園網用戶快速增長的情況下，對整個校園網絡的管理、維護和高效運行等也提出了更高的要求。因此，有關高校網絡的建設、管理和維護工作也愈發(fā)的受到人們的重視。

1 高效網絡存在的問題

1.1 高校網絡的特點

高校網絡建設的特點主要集中在以下兩個方面：

第一，現代高校因為在校學生的規(guī)模越來越大，而且更多的是采用信息化教學的方式開展教學工作，這勢必要求校園網絡增加更多的終端節(jié)點來滿足越來越大的用戶需求，而在此基礎上，就必須要增強網絡數據的傳輸能力。因此，對于高校網絡最基本一大要求就是能夠高效運行[1]。

第二，基于高效運行校園網絡的前提，應該合理提高管理維護的力度，從而為網絡運行的高效穩(wěn)定和安全提供可靠保障，讓整個網絡系統(tǒng)更加理想的運轉起來。因為目前高校的上網計費是學生實名認證，所以，在大規(guī)模的學生用戶群情況下，要想更好地滿足網絡的需求，并使其更加安全與穩(wěn)定就成為目前亟待解決的問題。由此看來，對高校網絡建設的要求除了運行的穩(wěn)定高效以及安全可靠以外，還要求針對校園網絡的建設和管理制度更加完善有效。

1.2 高校網絡發(fā)展現狀

①缺乏網絡安全意識，校園網絡管理機制不完善。網絡安全的問題出現最主要的原因就是管理制度的不完善以及管理工作人員的安全意識比較薄弱。大多數的網絡管理工作人員在日常工作中，對網絡系統(tǒng)安全監(jiān)測以及病毒防治工作嚴重忽視，并且疏于對網絡設備定期進行維護工作，從而導致整個網絡系統(tǒng)出現安全隱患，容易受到病毒的感染或者黑客攻擊[2]。由于大部分高校網絡用戶都不是專業(yè)人員，他們并不具備專業(yè)的計算機知識，對于網絡信息安全的防范意識、虛假信息鑒別能力和威脅處理能力都相對較弱，所以導致網絡安全隱患嚴重。在高校網絡管理制度不完善的情況下，一旦發(fā)生網絡安全問題，網絡系統(tǒng)不能第一時間做出應對以及防范處理，將會導致嚴重的后果。

②技術水平存在差距和不足。由于高校網絡的用戶數量多，因此網絡信息節(jié)點就比較多，環(huán)境也相對比較復雜，存在多種多樣的局域網內部Web應用程序，同時需要明確區(qū)分學生宿舍網絡和教學辦公區(qū)網絡，因此網絡拓撲結構在設計的過程中應站在整體的角度上進行規(guī)劃。大部分的高校在校園網絡初期建設的時候會受到技術與資金的限制，所以僅在校園網內外部的互聯(lián)網間加設防火墻，有的還會直接與互聯(lián)網相連，不能及時采取路由策略、監(jiān)控流量措施以及其他相關安全措施。隨著高校信息化建設進程的不斷深化，這樣的安全狀況無疑是將校園內部網絡暴露于整個互聯(lián)網的大環(huán)境中，其中存在的巨大安全隱患是不言而喻的。此外就是，技術水平的不足會降低大量網絡使用者的上網體驗度，無形中也會增加接入用戶管理的工作難度。

③單一的網路出口鏈路。就目前來說，讓國內主要就是包括以下種網絡運營商，電信、移動、聯(lián)通，但是，實際上并不能及時解決三者互相聯(lián)通的問題。高校在校園網建設初期，網絡運行商的數量僅有一家，所以，對于網絡用戶來講，很容易出現互聯(lián)網資源無法訪問的情況。更嚴重的就是，只要網絡的出口鏈路出現了物理性的損壞，就會導致高校全部的網絡用戶無法訪問互聯(lián)網[3]。

2 高校網絡運維管理策略

2.1 建立健全完善的校園網絡管理機制

針對校園網絡的運行和維護，校方一方面需要建設完善的校園網管理機制，另一方面應該設立專門負責網絡管理的部門直接進行管理，建立一整套運行、管理以及反饋機制，將責任落到實處。此外，制定機房管理制度和科學合理網絡管理制度，保障日常的網絡維護整體質量，詳細分析安全系統(tǒng)日志，定期檢查和分析，如果發(fā)生安全事故，及時進行處理上報[4]。此外，還需要做好對高校網絡用戶的安全意識教育和培養(yǎng)，引導用戶養(yǎng)成良好的上網習慣，提高用戶的安全防范意識，這樣也可以極大的較少校園網絡的安全隱患。

2.2 依據相關技術手段，增加網絡利用率

①從整體上規(guī)劃網絡結構。應根據高校整體的結構來對網絡結構進行規(guī)劃，分成兩個功能區(qū)域，即教學行政區(qū)域和學生生活區(qū)域，進而對上述兩區(qū)域進行細化。在各樓棟間應劃分VLAN隔離，這樣就需要利用匯聚交換機與中心機房相連，并且應在中心機房中合理設置認證用戶身份、流量控制、上網行為的管理、防火墻等相關系統(tǒng)，而后合理連接出口網設備以及互聯(lián)網[5]。

②控制流量以及負載均衡。流量控制與負載均衡最重要實際上是確保應用寬帶，并建立網絡通道，在符合學校購買運營商寬帶基本規(guī)范的基礎上，對網絡相配合時間段進行合理設置，在相應網絡通道中合理的規(guī)劃和設計控制流量的方式。從整體來看，應合理控制P2P、視頻等高帶寬應用，而對于單個用戶，則需要對最大寬帶進行限制，同時根據網絡的上下行來分別限制，控制網絡會話數，避免形成網絡異常現象[6]。應實現網絡用戶計費認證在接入層交換機中的處理，有效地提高認證的效率，并且能夠使各建筑匯聚層的交換機負擔減少，進而對接入的網絡用戶更有效地控制，并為其認證計費提供有力的保障。

③引入多家網絡運營商，采用策略路由。要更好地增加網路鏈路質量以和抗風險能力，此時需要合理引進多家網絡運營商。規(guī)劃網絡的過程中，保證能夠合理分配各運營商線路寬帶。通過適當應用策略路由技術以及智能DNS技術，可以在一定程度上訪問高效外部網絡中，線路智能切換，并且還可以智能識別高校內部用戶向互聯(lián)網訪問，從而增加訪問的速度，阻止運營商間出現互聯(lián)。此外，如果某運營商的線路出現了物理性損壞，應該及時啟動備用網絡線路，這樣就能夠使高校和外部互聯(lián)始終保持連接狀態(tài)。

3 結 語

綜上所述，在教育信息化建設不斷深入的背景下，校園網的網絡也會逐漸被高校的日常教學、科研以及管理工作廣泛應用，并且成為其重要的基礎設施。

而要建立完善有效的高校網絡安全系統(tǒng)，網絡運維管理擁有一定效果，就要全面認識到網絡自身存在的脆弱性特點以及其中潛在的安全隱患。積極制定出高校信息系統(tǒng)的安全管理制度并貫徹落實，同時有機集合身份認真技術、管理上網行為、控制流量等有關技術，確保建設高校網絡的時候，可以為信息化提供更好的服務，以便于完全展示自身價值。

參考文獻：

[1] 周健飛.高校網絡運維管理與安全討論[J].企業(yè)技術開發(fā)（下半月），

2014，（7）.

[2] 郭智泉.高校網絡運維管理平臺建設探討[J].信息安全與技術，2013，

（9）.

[3] 王宇，溫占考，吳煒鑫，等.高校網站運維隊伍建設之道[J].中國教育網 絡，2015，（7）.

[4] 楊坤.高校網絡安全管理體系研究[D].大連：大連海事大學，2010.

篇8

【 關鍵詞 】 桌面虛擬化；勘察設計企業(yè)；實施總結

1 引言

在如今炙手可熱的云計算討論和實踐中，桌面虛擬化作為一種新型業(yè)務交付模式，完全顛覆了傳統(tǒng)意義上的終端部署和管理概念，各種應用或操作系統(tǒng)均能夠以服務的方式通過網絡提供給任何終端用戶使用，其集中化和虛擬化的特點不僅僅大大增強內部系統(tǒng)及網絡的安全性，也減少了網絡運維的復雜程度和運維成本，其動態(tài)的虛擬化資源提供給用戶使用，支持IT部門在大量增加資源的同時無需顯著增加相應的人員進行維護和管理，對打造“綠色IT”和低碳經濟建設具有非常重要的意義。

正是桌面虛擬化技術具有這些優(yōu)勢，各大企業(yè)紛紛對其躍躍欲試，希望憑借該技術優(yōu)化IT架構和資源利用率，提高運維效率，但桌面虛擬化是否適合所有的企業(yè)？企業(yè)該如何決策？如何規(guī)劃自身的虛擬化建設之路？本文將重點對勘察設計企業(yè)部署桌面虛擬化時需要考慮的因素以及對運維模式的改變進行分析和總結。

2 經驗總結

在制定勘察設計企業(yè)桌面虛擬化架構實施方案時，應重點從幾個方面考慮。

2.1 業(yè)務特點分析

我們大體可按照勘察設計企業(yè)信息系統(tǒng)中業(yè)務特點分為幾類。

辦公管理類：主要使用文檔編輯軟件（如MS Office），訪問OA或電子郵件系統(tǒng)進行信息交換。

圖形處理類：主要使用CAD類軟件進行二維圖形處理，或使用3D MAX、CATIA、REVIT類軟件進行三維圖形處理，或進行視頻等非線形圖形處理。

計算類：主要使用有限元分析軟件和流體動力學軟件進行分析，如使用ANSYS、SAP2000、MIDAS、CFD等軟件對結構、流體等進行有限元分析和處理。

目前桌面虛擬化技術在政府單位推廣的成功案例較多，因為這類單位應用軟件種類較少，各終端所使用的軟件基本相同，所占用的資源主要是CPU、內存、硬盤等，這類資源對于服務器來說是較為容易獲得和分配使用的。

咨詢設計類公司想要利用目前的技術實現桌面虛擬化是有很大難度的，主要是由于目前咨詢設計類公司普遍使用的圖形處理軟件恰恰是服務器的軟肋，為服務器加裝圖形處理器（GPU），卻因為顯卡虛擬化技術尚未成熟，而不能形成虛擬化的資源池供終端使用，且成本偏高，這些都成為桌面虛擬化在咨詢設計類公司推廣的阻力。

2.2 投資成本分析

據不完全統(tǒng)計，國內普遍采用的設備更新?lián)Q代的周期一般為5年，約每年更新20%的設備，按1000臺辦公管理類終端規(guī)模計算，每臺終端主機3000元，每年更新終端設備投入約需60萬元，5年為300萬元，如果將全部終端虛擬化，按每臺服務器約負載40客戶端，一次性軟硬件投資約需200萬元，較傳統(tǒng)終端模式節(jié)約成本33.3%，且服務器、存儲等設備由于其硬件方面的特性，更新周期普遍超過5年，由此從長期來看虛擬化技術在軟硬件資本投入方面優(yōu)勢很大。

但受制于前面所述的虛擬化技術在圖像處理方面的軟肋，如果采用圖形處理器虛擬化技術，其硬件投入將很大（目前支持多核GPU的硬件成本較高），在勘察設計企業(yè)對圖形處理桌面采用虛擬化技術成本將很高。

如果從節(jié)能角度上分析，雖然終端主機的功耗會由傳統(tǒng)模式下的250W以上，下降為采用瘦客戶機的25W左右，但是考慮到因虛擬化而增加的服務器、存儲設備以及相應的空調等制冷設備的能耗，節(jié)能所帶來的資本節(jié)約并不會達到一些宣傳所描述的效果。

通過以上分析，在勘察設計企業(yè)推行虛擬化技術，應按照終端的業(yè)務類型進行區(qū)分部署，對于以使用辦公類軟件為主的終端，可采用虛擬桌面架構（比如Citrix 的VDI方式）；對于以使用二維、三維圖形處理軟件為主的終端，建議采用無盤工作站或無盤PC機+統(tǒng)一桌面標準化的技術架構，既實現了數據的集中，又利用本地終端的計算資源保證了終端用戶的使用體驗。

2.3 對系統(tǒng)運維的要求

在采用虛擬化技術后，系統(tǒng)運維的方式、管理的方法會產生很多變化，主要集中在幾方面。

1）可靠性要求

在采用桌面虛擬化技術后，終端的數據集中在主機房的存儲設備內，運維的風險由分散在各個終端轉為相對集中，這其實如同“是否應將雞蛋放在一個籃子里”這個命題，分散的雞蛋摔碎的可能性很高，但是將所有雞蛋集中，如果不保護好籃子，可能一次事故就導致所有雞蛋破碎。

所以，采用虛擬化技術，首先，且至少應為虛擬化服務器配備雙機熱備，雙盤陣熱備，其次，絕不能忽視機房的物理安全建設，包括防火、防水、UPS電源以及機房空調。

根據實際建設的經驗，在這種多服務器，高散熱量的機房內，機房空調往往成為故障率最高的設備，而其故障將導致機房溫度迅速升高，設備在高溫環(huán)境下極有可能損毀，造成無法挽回的損失，因此需要重點關注機房的通風建設，機房空調，應配備相應的應急制冷設備。

2） 運維管理人員要求

首先，虛擬化技術對于習慣于傳統(tǒng)運維的人員來說，屬于相對陌生的一項技術，需要一段時間適應其架構，運維建設方法，理解相應的底層技術。因為只有充分掌握其技術和原理，不僅僅保證了對虛擬設備的高效運維，更高層面的是可以按照自身信息系統(tǒng)的管理目標，制定切實可行的信息系統(tǒng)管理策略和制度，比如臺賬是信息系統(tǒng)管理的基礎，傳統(tǒng)信息系統(tǒng)賬基本信息會包括設備責任人、部門、IP地址、MAC地址、物理位置、用途等。

但是對于虛擬化架構的信息系統(tǒng)，由于物理終端可能是用戶隨意挑選使用的瘦客戶機，其多采用DHCP方式設置物理設備的地址往往不具有實際意義，而其所真正訪問應用系統(tǒng)的虛擬主機的IP地址才是網絡層中的終端地址，通過這個地址的行為才是更需要進行嚴格管理和監(jiān)督的，應通過虛擬主機的IP地址與用戶身份綁定技術保證相關行為的可審計、可追溯。

因此，對于瘦客戶機類的物理設備，因重點關注其準入控制的有效性，可對準入設備的信息登記和審批流程進行嚴格控制，對其責任人等信息可以忽略，而對于運行于瘦客戶機上的虛擬主機，應通過技術手段使地址與用戶身份綁定。

其次，由于運維模式的轉變，新架構下運維人員僅需在后臺點擊鼠標即可完成一臺虛擬主機的配置，甚至是所有主機的配置，運維人員的誤操作將有可能導致大量的終端無法使用，所以配置管理在這種架構下顯得尤為重要，如有可能配備相關的運維監(jiān)控系統(tǒng)（如堡壘主機等），并通過合理的備份機制降低數據風險（在存儲空間允許的條件下盡可能縮短備份周期），將應急演練作為運維體系工作中的重要檢驗手段切實執(zhí)行，并通過不斷的完善以提高系統(tǒng)恢復能力，降低終端宕機時間。

3） 網絡安全防護要求

從信息防泄漏防護上看，新的架構要求運維管理人員把以前集中在終端防護的策略，調整為集中在應用層的訪問控制、權限劃分以及身份認證方面，因為終端數據的集中以及其動態(tài)性是桌面虛擬化的一個特點，信息安全防護策略必須隨之進行優(yōu)化調整，仍然強調終端管理勢必造成使用便易性的降低，但并沒有換來安全性的相應提高。

因此應集中更多的資源在應用和集中后的數據防護上，從這點上看，傳統(tǒng)的網絡防護設備如防火墻、入侵檢測等設備仍然是網絡安全防護體系中的必需設備，不會受到桌面虛擬化技術的沖擊，應該隨時關注并引進虛擬化的網絡安全防護產品，以應對新模式的挑戰(zhàn)。特別需要注意備份和災備恢復系統(tǒng)，這些系統(tǒng)將成為數據安全防護中的重點設備。

3 結束語

是否采用桌面虛擬化技術，企業(yè)應充分考慮自身的業(yè)務特點和成本投資，選擇適合自身業(yè)務特點的桌面虛擬化架構，充分考慮數據集中后風險由分散變?yōu)榧械母淖儯龊煤笈_硬件的準備。

在建設時，應先從成熟的業(yè)務部門開始推廣，逐步摸索其技術特點，培養(yǎng)運維人員成長，通過打造一支自己的虛擬化運維團隊，建立一套適合自身發(fā)展的信息系統(tǒng)管理模式，完善相應的管理策略和制度，在軟、硬件條件相對成熟的條件下，分布實施，全面推廣，才能使用戶切身感受到虛擬化技術的先進性，運維人員也能從日常繁瑣的維護工作中解放，這樣建立起的虛擬化架構信息系統(tǒng)將更加適應企業(yè)的發(fā)展，真正成為企業(yè)發(fā)展的助推器。

參考文獻

[1] 劉昌， 馮炎. 桌面虛擬化及其在知識型企業(yè)的應用方案. 中國信息界， 2011，（08）.

[2] 王銳.桌面虛擬化技術的關鍵技術研究與應用.數字技術與應用， 2013年02期.

[3] 魯曉衛(wèi)，肖鈞，汪國紅，李振華，嵇筱燾.企業(yè)桌面虛擬化應用新方案探究.2012年MIS/S&A學術交流會議論文集.

[4] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析.信息網絡安全，2012，（05）.

[5] 陶玉龍，盧凱，王小平等.面向云服務的高性能計算柔平臺.信息網絡安全，2012，（06）.

篇9

[關鍵詞]安全運維平臺;關鍵技術

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-914X（2016）22-0133-01

0 引言

當今實際處于信息技術迅速普及的時代，各行各業(yè)的業(yè)務領域都在不斷地擴大，信息化建設的程度也在逐漸提高。很多企業(yè)在規(guī)模迅速擴張的時候卻忽視了信息化建設的整體規(guī)劃，導致安全運維工作嚴重滯后于經濟發(fā)展工作，給業(yè)務的持續(xù)性和可靠性帶來危機，本文筆者闡述了安全運維所需的關鍵技術：

1 從多元化、異結構的設備中進行數據采集并將其標準化的技術

（一）數據采集

數據采集以遵循snmp、syslpg、telnet等網管協(xié)議或者日志文件為前提，并在此基礎上實施風險評估、故障分析、安全監(jiān)測和網絡監(jiān)控等信息收集工作。日常安全運維中通常通過服務器運行狀態(tài)信息、數據轉發(fā)、網絡流量和防火墻的攻擊日志等途徑進行信息的收集。數據采集并沒有對采集的內容和采集的形式進行規(guī)范化要求，在本質上它就是從信息網絡中獲取信息的過程，只要能夠滿足為某種目的的分析活動持續(xù)、有效、正確地收集信息的目的，我們都可以將之成為數據采集。數據采集在安全運維管理中的作用可見一斑。舉例來說，監(jiān)控中心的職責就是圖形化展示業(yè)務系統(tǒng)信息和設備安全信息并對日志進行審計，所以它需要直接對數據進行處理;分析中心則是分析各個安全設備的警告事件并實施關聯(lián)分析的場所，數據采集對二者都至關重要。

當前安全運維平臺的數據采集存在以下弊端：首先，產品類別紛雜。企業(yè)在數字化和信息化過程中產生了購買大量產品的需求，而這些產品往往都是不同廠商、不同品牌的，如微軟、華為、思科等，這就導致了功能的重疊和交叉，比如在防火墻、路由器、交換機、數據庫和操作系統(tǒng)上存在著一致性的功能;其次，部署地點地理位置懸殊。各個設備和應用系統(tǒng)并不是集成化部署和安排，而是分別部署在不同的機房或者安全域之內，客觀上存在著層級關系，給數據采集帶來了難度;再次，事件類型和發(fā)送方式存在差異。各個品牌對事件的描述都有自己的字段和格式，還可能通過不同的協(xié)議方式進行數據的發(fā)送，導致了采集來的數據適用性和靈活性都受到限制。

針對數據采集的上述弊端，筆者認為采取多元化的方法對所有設備進行數據采集是可行之策。以下方法可以考慮其中：基于網絡的數據采集、基于主機的數據采集、基于syslog采集設備的日志信息、基于SNMP trap的數據采集、基于文本方式的數據采集。多元化的數據采集方式能夠提升數據的兼容性和適用性，便于進行后續(xù)的分析工作。

（二）事件標準化

時間標準化是一種翻譯機制，它能夠將安全事件按照統(tǒng)一的格式進行處理。事件標準化的過程就是對從不同設備中采集的事件信息進行規(guī)范化處理，使之能夠被系統(tǒng)識別的過程。數據標準化在內容上涵蓋了數據格式、字段名稱、事件名稱的標準化。我們不難看出，標準化的目的是統(tǒng)一安全事件的格式和信息，從而便于后續(xù)的關聯(lián)分析。數據標準化應該盡可能遵循兩個原則：第一，盡可能保持數據的完整性，使得原始事件中的所有信息填充到標準化事件記錄中，以使其在服務器終端中的適用性更高;第二，標準化過程需要預留一些字段，為以后的信息擴展做出準備。標準化的事件字段應該包括事件編號、事件名稱、事件內容、事件類型、設備地址、設備名稱、設備類型、威脅級別、原始級別、事件時間、原始時間、協(xié)議、源地址、源子網掩碼、目的地址、目的子網掩碼等內容。

另外，數據標準化之后、關聯(lián)分析之前，要進行時間信息補全工作，將分析的精確度和準確度提升到一定高度。在實際安全運維中通常需要做的是事件的威脅級別和資產信息補全工作。

2 多個安全域情境下的地圖動態(tài)報警技術

（一）劃分安全域

在復雜和龐大的信息網絡之中，對資產最理想的管理狀態(tài)是確定一種可以精細化管理的方法，但是精細化管理的代價是管理成本的上升和管理工作復雜性的增加，并且更容易因為錯誤或者疏忽造成嚴重的安全漏洞。但是從另一個層面來看，如果對所有的防護對象采取同種安全等級防護又會喪失防護重點，導致數據保護難以做到有的放矢，風險管控能力大大降低。因此，采取分安全域進行防護的方式是相對科學的一種防護方法，劃分安全域就是將網絡結構和物理區(qū)域進行分區(qū)管理的過程，每一個安全域在安全級別、安全威脅、安全防護上應該具有一致性，這樣所有的資產都能夠劃分到不同級別的安全域之中去，實現針對新安全防護。劃分安全域進行防護在本質上是對復雜環(huán)境分解、使之成為簡單組合的過程，整個復雜、龐大的網絡信息能夠分散到不同的安全域中，這樣能夠實現全方位、多角度的保護形態(tài)。

在對企業(yè)業(yè)務系統(tǒng)進行分析之后，安全域可以在大體上劃分為安全用戶域、安全網絡域、業(yè)務服務域、基礎保障域幾類。安全用戶域包含了企業(yè)內部系統(tǒng)中的管理維護終端和用戶終端，它們經常和業(yè)務用戶域發(fā)生關聯(lián)，因此需要在終端桌面安全管理、訪問控制、日志審計上下功夫;安全網絡域則是指網絡設備和網絡拓撲方面的安全域內容，對整個系統(tǒng)的網絡安全性和可用性負責，該域需要做好域間的安全隔離工作并進行邊界保護;業(yè)務服務域則是指業(yè)務服務器、業(yè)務數據庫等業(yè)務系統(tǒng)，是整個安全域中的核心子域，需要在防范病毒攻擊、木馬植入、信息篡改和盜取、數據丟失方面做好足夠的安全工作;基礎保障域提供的是基礎性的安全服務，主要涵蓋身份認證、訪問控制、補丁管理和策略管理等內容。

（二）動態(tài)地圖報警技術

通常的安全運維管理在發(fā)生報警事件的時候都是以記錄的形式顯示的，但是這樣做的一大弊端是管理員查看非常不方便，難以快速找到并定位安全事件。所以筆者認為經報警事件和地圖技術結合是非常有效的一種方法。當安全事件發(fā)生的時候，地圖監(jiān)控動態(tài)地顯示警報信息，并且允許管理員點擊查看該信息。

多個安全域情境下的地圖動態(tài)報警首先需要進行配置工作：劃分安全域、配置地圖、創(chuàng)建資產、標識位置并分配安全域;其次要進行監(jiān)控工作：發(fā)現警報并查看信息;再次要對警報進行管理：通報警告、工單響應處理。

參考文獻：

[1] 王雪芳，薛紅榮，基于深層數據集成的統(tǒng)一網絡安全管理關鍵技術研宄[J].產業(yè)與科技論壇，2011.

篇10

【關鍵詞】 安全審計 運維 安全風險 身份認證 授權

1 安徽鴻聯(lián)物流有限公司業(yè)務系統(tǒng)現狀

隨著網絡的快速發(fā)展，安徽鴻聯(lián)物流有限公司的業(yè)務系統(tǒng)日益增加，面對大量的設備，如何提高網絡系統(tǒng)的運維效率成為目前的一大難題。目前安徽鴻聯(lián)物流有限公司內部日常運維的安全現狀如下。

（1）針對核心服務器缺乏必要的審計手段，僅能通過監(jiān)控錄像、雙人分段或專人保存密碼、操作系統(tǒng)日志結合手工記錄操作日志等管理辦法，無法追溯操作人員在服務器上的操作過程、了解操作人員行為意圖，并且這樣的管理成本很高，很難做到長期照章執(zhí)行。

（2）對服務器的維護和管理依賴于操作系統(tǒng)的口令認證，口令具有可被轉授、被窺探及易被遺忘等弱點，另外，在實際環(huán)境中還存在經常使用Root權限帳戶而導致授權不方便等現象，使得管理困難，成本較高。

（3）針對許多外包服務商、廠商技術支持人員、項目集成商等在對內部核心服務器、網絡基礎設施進行現場調試或遠程技術維護時，無法有效的記錄其操作過程、維護內容，極容易泄露核心機密數據或遭到潛在的惡意破壞。

隨著應用系統(tǒng)的不斷增加，運維系統(tǒng)安全風險也會不斷暴露出來。由于設備和服務器眾多，系統(tǒng)管理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響業(yè)務的運行效能，并對安徽鴻聯(lián)物流有限公司的聲譽造成重大影響。另外黑客的惡意訪問也有可能獲取系統(tǒng)權限，闖入部門或整個單位內部網絡，造成不可估量的損失。安徽鴻聯(lián)物流有限公司的支撐系統(tǒng)中有大量的網絡設備、主機系統(tǒng)和應用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各應用系統(tǒng)都有一套獨立的帳號體系，用戶為了方便登陸，經常出現多人共用帳號的情況。多人同時使用一個系統(tǒng)帳號在帶來方便性的同時，導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員，會使這個帳號的安全無法保證。由于共享帳號是多人共同使用，發(fā)生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復雜化。

如何提高系統(tǒng)運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據，降低運維成本，滿足相關標準要求，越來越成為企事業(yè)單位關心的問題。

2 安徽鴻聯(lián)物流有限公司業(yè)務系統(tǒng)運維安全風險分析

2.1 傳統(tǒng)的運維模式中人員和賬號的管理帶來的安全隱患

安徽鴻聯(lián)物流有限公司的業(yè)務支撐系統(tǒng)中有大量的網絡設備、主機系統(tǒng)和應用系統(tǒng)，分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各應用系統(tǒng)都有一套獨立的帳號體系，用戶為了方便登陸，經常出現多人共用帳號的情況。

多人同時使用一個系統(tǒng)帳號在帶來方便性的同時，導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員，會使這個帳號的安全無法保證。

由于共享帳號是多人共同使用，發(fā)生問題后，無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員，帶來了密碼管理的復雜化。

如圖1所示，賬號的共享或一人使用多個賬號會導致整個運維管理過程的復雜混亂。由于整個運維過程的不定因素太多，使得整個運維過程不可控。不僅僅給運維人員帶來了巨大的麻煩，而且讓管理人員也無法準確的定位責任人，如果公司長期的在這種傳統(tǒng)的運維模式下運維，將會給公司帶來巨大的損失，甚至還無法追究責任，所以我們要建立新的運維模式和運維理念。

2.2 授權不清晰引發(fā)的問題

再優(yōu)秀的管理者也不可能做完所有的事情，因此，一個優(yōu)秀的管理者必須學會授權，并且要避免因授權不當而帶來的管理混亂。

管理者如何進行授權，是安徽鴻聯(lián)物流有限公司管理的一個深刻命題。做過管理的人都應該知道，授權在安徽鴻聯(lián)物流有限公司網絡系統(tǒng)管理中是非常重要的。但是，很多管理者在授權時，要么顧慮重重，對誰也不放心；要么授權不當，缺乏監(jiān)督制度，造成管理混亂。 這在IT運維中也存在著類似的問題，所以讓每個運維人員在自己責任范圍內正確安全的使用自己的每一個權限十分重要。

而往往在傳統(tǒng)的運維模式中，授權是不清晰的，例如：運維人員登錄的某臺服務器或者某個核心交換機等關鍵性設備的時候，他將擁有很大的或者是超越自己權限范圍的權限，同時他也可以做一些越權的操作，比如是重啟或是其他的敏感操作。也許他的操作是惡意或是無意，但是都將引發(fā)不可估量或者無法挽回的后果。

面對以上傳統(tǒng)運維模式中授權不清晰引發(fā)的問題，我們要足夠的重視，在一個理想的運維模式中，我們需要對運維人員的權限或者是訪問的權限進行精確的定位。

2.3 運維人員操作過程的審計

各系統(tǒng)獨立運行、維護和管理，所以各系統(tǒng)的審計也是相互獨立的。每個網絡設備，每個主機系統(tǒng)分別進行審計，安全事故發(fā)生后需要排查各系統(tǒng)的日志，但是往往日志找到了，也不能最終定位到行為人。

另外各系統(tǒng)的日志記錄能力各不相同，例如對于Unix系統(tǒng)來說，日志記錄就存在以下問題：

Unix系統(tǒng)中，用戶在服務器上的操作有一個歷史命令記錄的文件，但是root用戶不僅僅可以修改自己的歷史記錄，還可以修改他人的歷史記錄，系統(tǒng)本身的歷史記錄文件已經變的不可信；無法記錄操作人員、操作時間、操作結果等。

2.4 缺乏身份認證及識別機制

管理者為了保護重要系統(tǒng)的安全，實施了雙人分段管理密碼、操作系統(tǒng)與數據庫管理人員的權限分離、禁止混崗等策略，但實際工作中難免有工作或賬戶使用交叉情況出現，存在著無法對自然人身份的強制識別和認證風險。

2.5 傳統(tǒng)網絡安全審計系統(tǒng)無法滿足的運維審計和管理要求

2.5.1 無法審計運維加密協(xié)議、遠程桌面內容

為了加強信息系統(tǒng)風險內控管理，一些用戶已部署網絡安全審計系統(tǒng)，希望達到對運維人員操作行為監(jiān)控的目的。由于傳統(tǒng)網絡安全審計的技術實現方式和系統(tǒng)架構（主要通過旁路鏡像或分光方式，分析網絡數據包進行審計），導致該系統(tǒng)只能對一些非加密的運維操作協(xié)議進行審計，如telnet；卻無法對維護人員經常使用的SSH、RDP等加密協(xié)議、遠程桌面等進行內容審計，無法有效解決對運維人員操作行為的監(jiān)管問題。

2.5.2 基于IP的審計，難以準確定位責任人

大多數網絡安全審計系統(tǒng)，只能審計到IP地址，難以將IP與具體人員身份準確關聯(lián)，導致發(fā)生安全事故后，如何追查責任人，反而又成為新的難題。