前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全基礎運維主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:企業(yè)計算機網(wǎng)絡;網(wǎng)絡管理運維;運維要點
一、引言
在發(fā)展過程中,需要應用到現(xiàn)代新的企業(yè)計算機網(wǎng)絡科技,而且這是對其發(fā)展必不可少的,很多技術的應用都是以企業(yè)計算機網(wǎng)絡信息技術作為支撐的。但是企業(yè)計算機網(wǎng)絡有其本身的缺點和弊端,在使用過程中有一些問題也會造成網(wǎng)絡信息損害,所以有必要加強企業(yè)計算機網(wǎng)絡管理運維安全。
二、企業(yè)計算機網(wǎng)絡的安全威脅
當前企業(yè)計算機網(wǎng)絡管理中,存在的主要安全威脅有下面三點:1、容易受到外來的攻擊。企業(yè)計算機網(wǎng)絡信息技術的使用中,本身是有缺陷漏洞的,勢必會導致一些入侵的現(xiàn)象,也就是“鉆空子”,非法侵入企業(yè)計算機網(wǎng)絡系統(tǒng)。這樣的行為會對我們自身的安全造成很大的威脅,對一些機密的資料和技術會造成破壞和竊取?;蛘呷肭志W(wǎng)站,惡意的攻擊,對的正常發(fā)展和運營造成巨大的影響,比如說造成信息的流失和系完整性的破壞[1];2、網(wǎng)絡管理運維水平低下。沒中企業(yè)計算機網(wǎng)絡技術應用廣泛,所以企業(yè)計算機網(wǎng)絡技術和安全需要重視,但是由于企業(yè)內部人員在技術企業(yè)計算機網(wǎng)絡技術方面欠缺能力,專業(yè)技能和知識不是很扎實,造成的企業(yè)計算機網(wǎng)絡安全威脅,不能對企業(yè)計算機網(wǎng)絡做到維護,和構建安全完整的企業(yè)系統(tǒng);3、服務系統(tǒng)沒有及時更新。大多數(shù)企業(yè)將重點放在了基礎設備的更新使用上,對硬件比較重視,往往忽略了軟件的使用更新和系統(tǒng)的升級,現(xiàn)代技術發(fā)展很快,所以對許多軟件的淘汰率很高,如果不能做到及時的更新和升級,勢必引起安全問題[2]。
三、企業(yè)計算機網(wǎng)絡管理運維的要點
(一)防火墻技術
防火墻是一種很基礎也很普遍的企業(yè)計算機網(wǎng)絡安全防護技術,是保護計算機安全的基礎。防火墻的本質是介導于計算機和企業(yè)計算機網(wǎng)絡之間的一種安全軟件。防火墻的主要作用是對互聯(lián)網(wǎng)的一些業(yè)務信息進行過濾和監(jiān)測,對計算機本身的使用具有監(jiān)控,通過系統(tǒng)記錄實現(xiàn)企業(yè)計算機網(wǎng)絡安全防護?,F(xiàn)代中大量使用企業(yè)計算機網(wǎng)絡技術,所以防火墻這種基本的安全防護手段用的較多,防火墻對現(xiàn)代的企業(yè)計算機網(wǎng)絡安全發(fā)展形成一種輔助作用,能夠避免企業(yè)計算機網(wǎng)絡上的一些較大疏漏。
(二)搭建企業(yè)入侵檢測系統(tǒng)
入侵檢測系統(tǒng)主要是指分別與處理對計算機網(wǎng)絡資源有蓄意利用的行為進行檢測和拒絕處理。在企業(yè)當中,可以通過安裝侵犯檢測系統(tǒng),檢測計算機網(wǎng)絡是否存在被系統(tǒng)外部侵犯的情況,同時也可以檢測內部用戶是否存在違反安全策略的行為發(fā)生。假設存在沒有授權的可疑IP地址存在或是有異常的違反安全策略的行為,入侵檢測系統(tǒng)可以及時檢測并報告,并該獲得批準之后可以阻絕入侵地址的入侵行為,以最大程度降低企業(yè)網(wǎng)絡遭受攻擊的影響。
(三)分權分域管理
分權分域管理就是簡單而言就是,通過角色和流程節(jié)點控制是分權,用戶角色權限的設置可以精確字段,不用的用戶使用同一字段,可選擇項/查詢結果都是不一樣的。在一個流程中不同流程節(jié)點所看到的表單,以及所能進行的操作都是不同的,分域是通過系統(tǒng)功能菜單進行控制。在分權分域的管理當中,每個用戶根據(jù)不同的組織架構,決定用戶可以使用的菜單及功能。通過分權分域管理,可以促使各個部門的員工只能夠通過FTP服務器進行通訊,這樣的通訊是被受到實施監(jiān)督的,同時員工無法實現(xiàn)私下的信息交換,這樣的方式對于企業(yè)而言,可以有效的預防公司機密信息泄露。
(四)對網(wǎng)絡系統(tǒng)進行合理配置,給企業(yè)網(wǎng)絡按部門劃分vlan
Vlan形成之前局域網(wǎng)往往被定義成為一個獨立的廣播域,主要是通過交換機、Hub等設備連接起所有節(jié)點所形成的一個網(wǎng)絡。Vlan技術是允許網(wǎng)絡管理運維者將一個物理的Lan分化為不同的多個廣播域,簡單而言就是將一個整體網(wǎng)絡劃分為多個子網(wǎng)絡。在企業(yè)中,企業(yè)可以針對每一個部門將其劃分為一個獨立的Vlan,這樣的方式直接性的隔絕了每一個網(wǎng)絡之間的數(shù)據(jù)傳遞性。假設某一個部門的網(wǎng)絡在這個時候遭受病毒,該病毒的大多數(shù)文件都遭受了破壞或盜竊,但是該病毒并不會影響其他的部門,這樣就很大程度保護了文件的安全性。除此之外,采用vlan可以限制廣播域的代銷,借助冗余鏈路負載分擔網(wǎng)絡的流量,從而很大程度降低網(wǎng)絡管理運維的復雜性和成本,
四、結語
綜上所述,企業(yè)計算機網(wǎng)絡信息技術在的使用中更加廣泛和普遍,重要的是更新維護很快,對企業(yè)的發(fā)展具有促進作用。但是在實際管理中,又出現(xiàn)很多問題,影響到企業(yè)計算機網(wǎng)絡的安全正常的運行,所以我們需要針對這些出現(xiàn)的漏洞進行安全防護措施的實施,保證企業(yè)計算機網(wǎng)絡的服務系統(tǒng)的安全。
參考文獻:
[1]吳舜,張輝,邢寧哲,等.基于SDN的網(wǎng)絡運維系統(tǒng)設計與開發(fā)[J].電信科學,2016,32(3):163-170.
1.1調度數(shù)據(jù)網(wǎng)結構
廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)絡以星型結構組網(wǎng),依次分為核心層、匯聚層和接入層。核心層為廣西電網(wǎng)公司電力調度控制中心(以下簡稱中調),是整個調度數(shù)據(jù)網(wǎng)的核心。匯聚層包括南寧等14個供電局電力調度控制中心(以下簡稱地調)及其第2匯聚節(jié)點,采用雙歸屬方式連接至核心節(jié)點,其匯聚層網(wǎng)絡流量向中調匯集。接入層節(jié)點主要包括廣西電網(wǎng)內的500kV、220kV變電站及部分接入電廠。各接入節(jié)點按2點接入原則就近接入地調匯聚節(jié)點和該地區(qū)第2匯聚節(jié)點,其接入層網(wǎng)絡流量向匯聚節(jié)點匯集。廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)絡如圖1所示。圖1廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)絡
1.2網(wǎng)絡環(huán)境分析
從業(yè)務的角度分析,根據(jù)南方電網(wǎng)《二次系統(tǒng)安全防護總體方案》的要求,廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)在業(yè)務側已經基本實現(xiàn)了“橫向隔離、縱向認證”。利用MPLSVPN技術在業(yè)務側劃分為安全I區(qū)和安全II區(qū),其中,安全I區(qū)是電力生產的實時業(yè)務,縱向上通過加密裝置進行安全認證;安全II區(qū)是電力生產的非實時業(yè)務,縱向上部署了硬件防火墻作安全防護。在I區(qū)與II區(qū)、II區(qū)與其他網(wǎng)絡之間部署了電力系統(tǒng)專用的隔離裝置進行隔離。從設備管理的角度分析,廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)還存在網(wǎng)絡設備管理區(qū)。網(wǎng)絡設備管理區(qū)主要用于管理整個調度數(shù)據(jù)網(wǎng)的網(wǎng)絡設備,對接入到設備管理區(qū)的網(wǎng)絡設備可直接控制。日??蓪W(wǎng)絡設備進行配置更改,同時還可查看網(wǎng)絡設備的配置、故障、運行情況和網(wǎng)絡鏈路情況等。業(yè)務安全方面,調度數(shù)據(jù)網(wǎng)劃分的2個安全分區(qū)已具備一定的安全防護能力,且配置了網(wǎng)絡安全隔離策略,但缺乏入侵檢測、行為審計、流量監(jiān)測以及鏈路管理等安全防護手段。調度數(shù)據(jù)網(wǎng)設備管理區(qū)是設備安全管理最重要的環(huán)節(jié),但也是目前比較薄弱的環(huán)節(jié),這是因為對接入設備管理區(qū)的網(wǎng)絡設備可以直接進行更改配置和重啟等危險操作。除通過建立運維管理制度進行規(guī)范外,還需要對網(wǎng)絡設備進行實時監(jiān)測,統(tǒng)一展示全網(wǎng)設備的運行情況,保證網(wǎng)絡出現(xiàn)故障或安全事件時運維人員可知、可控和可查。根據(jù)以上分析,調度數(shù)據(jù)網(wǎng)安全分區(qū)和網(wǎng)絡設備管理區(qū)均存在網(wǎng)絡安全防備不足的問題,難以保障調度數(shù)據(jù)網(wǎng)長期、安全、穩(wěn)定運行。
2廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)網(wǎng)絡安全風險分析
調度數(shù)據(jù)網(wǎng)關注的網(wǎng)絡安全課題有:保障調度數(shù)據(jù)網(wǎng)每臺網(wǎng)絡設備運行穩(wěn)定;監(jiān)測核心鏈路流量傳輸情況;預防每臺網(wǎng)絡設備故障和網(wǎng)絡安全風險的發(fā)生;快速應對網(wǎng)絡設備故障或者網(wǎng)絡安全事件的發(fā)生;利用收集到的數(shù)據(jù)快速定位到導致網(wǎng)絡設備故障和網(wǎng)絡風險的源頭;加強調度數(shù)據(jù)網(wǎng)入侵防御體系等。根據(jù)廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)的實際情況,下面列出幾種潛在的網(wǎng)絡安全風險。
2.1網(wǎng)絡設備運行情況不明
路由器和交換機等網(wǎng)絡設備是調度數(shù)據(jù)網(wǎng)的基礎組成部分,只有這些網(wǎng)絡設備穩(wěn)定運行,才能保證整個網(wǎng)絡數(shù)據(jù)業(yè)務的實效性和連續(xù)性。目前,尚未實現(xiàn)對網(wǎng)絡設備進行全方位監(jiān)測,設備發(fā)生故障后,管理員才發(fā)現(xiàn)該設備出現(xiàn)問題,設備的管理方式很被動。在被動的管理方式下,管理員難以掌握設備的CPU利用率、內存占用率、雙電源、風扇、溫度等日常運行指標信息,無法判斷設備是否運行良好,從而難以預防網(wǎng)絡設備故障或網(wǎng)絡安全風險的發(fā)生。
2.2網(wǎng)絡設備故障管理方式不科學
調度數(shù)據(jù)網(wǎng)遵循“抓大放小”的原則,對設備脫管、鏈路通斷和設備宕機等大故障會進行及時處理,而對設備CPU超標、內存超標、端口流量超標和溫度超標等小故障未進行有效管理,這種故障管理方式不夠科學。網(wǎng)絡設備具有數(shù)量龐大、品牌眾多和使用時間較長等特點,由于處理設備大故障需要花費較多的人力和物力,因此設備小故障的監(jiān)測與處理常被忽視。如果設備的小故障不加以防范及處理,往往會導致大故障的發(fā)生,例如:設備溫度過高會導致設備不停地重啟,進而導致業(yè)務數(shù)據(jù)傳輸時斷時續(xù)。不對設備大、小故障進行全方位管理,很難防范導致故障發(fā)生的潛在問題和安全隱患。
2.3網(wǎng)絡缺乏主動的入侵防御
分析廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)網(wǎng)絡結構,無論是核心層到匯聚層,還是匯聚層到接入層,均缺乏一套積極主動的入侵防御技術體系,僅依靠二次系統(tǒng)安全防護中的橫向隔離、縱向認證來進行安全防護,難以達到入侵防御“零安全事件”的最高要求。無法識別數(shù)量龐大的業(yè)務數(shù)據(jù)是否攜帶潛在的安全威脅,如常見的木馬、蠕蟲和黑客病毒等。網(wǎng)頁瀏覽、電子郵件、文件傳輸和網(wǎng)絡下載是感染病毒最常見的途徑,木馬、蠕蟲和黑客病毒等網(wǎng)絡安全威脅往往隱藏其中。而防火墻(或加密裝置)通常只是業(yè)務數(shù)據(jù)的第一道防線,起到流量流入、流出過濾的作用,無法識別流量包裹中的網(wǎng)絡安全威脅,不能起到有效的防御作用。不利用認證、預警、病毒掃描和流量檢查等多元化的手段建立一個橫縱、有效的入侵防御體系,難以預防調度數(shù)據(jù)網(wǎng)潛在的網(wǎng)絡安全隱患。
2.4整網(wǎng)缺乏網(wǎng)絡內部安全防護
廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)是獨立的電力廣域網(wǎng),與和互聯(lián)網(wǎng)連接的網(wǎng)絡相比,相對較安全、干凈,易于管理,但存在網(wǎng)絡內部安全威脅。網(wǎng)絡內部安全威脅大致分為3種:人為惡意攻擊、人為無意失誤、應用系統(tǒng)存在的漏洞。人為惡意攻擊是網(wǎng)絡安全面臨的最大威脅,即在不影響網(wǎng)絡的情況下,破壞電網(wǎng)業(yè)務系統(tǒng)和數(shù)據(jù)的有效性和完整性或者通過截取、竊取、破譯等手段獲取系統(tǒng)重要信息。人為無意失誤如管理員進行了非常規(guī)操作,會威脅網(wǎng)絡安全運行。而應用系統(tǒng)存在的漏洞多為應用系統(tǒng)開發(fā)人員為了方便而設置的“后門”或者系統(tǒng)本身存在的漏洞,會成為黑客攻擊的首選目標。調度數(shù)據(jù)網(wǎng)的安全防護系統(tǒng)既要對網(wǎng)絡外部建立入侵防御,還要在網(wǎng)絡內部做好安全威脅防護。目前,調度數(shù)據(jù)網(wǎng)絡安全防護體系未對網(wǎng)絡內部的正常WEB頁面訪問、非法授權訪問、用戶數(shù)據(jù)訪問、系統(tǒng)數(shù)據(jù)庫操作審計和網(wǎng)絡設備操作審計等進行多種手段的流量監(jiān)測,當網(wǎng)絡出現(xiàn)內部安全威脅時無法有效防御和控制,事后也無據(jù)可查,這是調度數(shù)據(jù)網(wǎng)內部的重大網(wǎng)絡安全隱患。
2.5網(wǎng)絡運維工作量大
運維人員負責保障全網(wǎng)的調度數(shù)據(jù)業(yè)務穩(wěn)定、安全運行,但整個調度數(shù)據(jù)網(wǎng)近400臺網(wǎng)絡設備,運維人員要高效、出色地完成電網(wǎng)調度數(shù)據(jù)網(wǎng)的運維任務,工作量很大。使用目前的網(wǎng)絡管理軟件,除每日正常網(wǎng)絡維護工作外,需要1個運維人員花費2~3天完成每月的定期檢查工作,此外,還需要3~5個運維人員花費約1個月時間完成每年一次的調度數(shù)據(jù)網(wǎng)近400多臺設備的定檢工作。每月定期檢查內容包括檢查中調到14個地調(包括第1、2匯聚節(jié)點)鏈路運行情況;查看鏈路峰值比特率、峰值利用率;統(tǒng)計中調到各地調實時業(yè)務和非實時業(yè)務時延情況。年度設備檢查包括核心層路由表檢查、物理鏈路狀態(tài)檢查、鏈路性能檢查、設備日記信息檢查、設備運行狀態(tài)、配置檢查和網(wǎng)絡路由協(xié)議狀態(tài)檢查等20多項定檢內容,這也是網(wǎng)絡運維工作量最大的一項。
2.6網(wǎng)絡運維與網(wǎng)絡安全缺乏集中管理
為了滿足廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)信息安全建設工作的需要,專業(yè)的網(wǎng)絡管理系統(tǒng)和網(wǎng)絡安全系統(tǒng)投入使用。但在系統(tǒng)的應用過程中,發(fā)現(xiàn)網(wǎng)絡管理系統(tǒng)只負責網(wǎng)絡維護和設備故障處理,而網(wǎng)絡安全系統(tǒng)只負責處理網(wǎng)絡中的安全事件,兩者間并無聯(lián)系,調度數(shù)據(jù)網(wǎng)同時運用多套系統(tǒng)反而增加了網(wǎng)絡管理上的難度。不同的系統(tǒng)無法通過網(wǎng)絡安全管理平臺進行集中管理,降低了運維工作效率,增加了工作量,是調度數(shù)據(jù)網(wǎng)安全建設急需解決的問題。
3廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)網(wǎng)絡安全管理探討
廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)的安全防護遵循“只監(jiān)視、不控制”的原則,要求網(wǎng)絡可靠、穩(wěn)定、安全運行,確保調度數(shù)據(jù)業(yè)務穩(wěn)定、不間斷運行。為了不影響調度數(shù)據(jù)網(wǎng)業(yè)務數(shù)據(jù)正常運行,網(wǎng)絡安全管理平臺采用旁路部署方式掛在中調的核心路由器下。廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)網(wǎng)絡安全管理的目標是,通過采取適當?shù)目刂拼胧U匣A網(wǎng)絡的安全性,確保調度數(shù)據(jù)網(wǎng)網(wǎng)絡不發(fā)生安全事件、少發(fā)生安全事件,即使發(fā)生安全事件也能有效降低事件造成的影響并快速應急響應。通過建設集中的網(wǎng)絡安全管理平臺,實現(xiàn)對調度數(shù)據(jù)網(wǎng)網(wǎng)絡設備狀態(tài)的監(jiān)測,對安全事件、設備故障、入侵行為、網(wǎng)絡流量和鏈路狀態(tài)等進行統(tǒng)一管理、分析和監(jiān)測,再通過關聯(lián)分析技術,使系統(tǒng)管理人員能夠迅速發(fā)現(xiàn)、定位、解決問題,有效應對安全事件的發(fā)生。
3.1設備故障管理
網(wǎng)絡安全管理平臺可對所有網(wǎng)絡設備進行實時監(jiān)視,對設備故障進行統(tǒng)一管理。網(wǎng)絡安全管理平臺采用SNMP技術分地區(qū)獲取網(wǎng)絡設備的性能狀態(tài)信息,并寫入數(shù)據(jù)庫由平臺統(tǒng)一進行處理、分析,對滿足故障條件的信息按地區(qū)進行展示和通知,便于管理員及時、準確地發(fā)現(xiàn)各地區(qū)的故障情況。同時,當網(wǎng)絡安全管理平臺監(jiān)控到設備持續(xù)故障數(shù)超過規(guī)定閾值時,這類故障將上升為安全事件,會按地區(qū)進行展示和通知。網(wǎng)絡安全管理平臺故障管理的對象除網(wǎng)絡設備外,還有安全設備、主機系統(tǒng)、應用系統(tǒng)等多種類型的設備,管理員可根據(jù)網(wǎng)絡需要靈活應用。
3.2設備狀態(tài)監(jiān)視
為使設備自身故障或人為誤操作造成的設備運行異常有據(jù)可依、可查,網(wǎng)絡安全管理平臺對設備運行狀態(tài)了進行全程、多維監(jiān)視。
1)設備系統(tǒng)監(jiān)視。設備系統(tǒng)日志會記錄系統(tǒng)中硬、軟件和系統(tǒng)問題的信息。網(wǎng)絡安全管理平臺可通過設備Syslog的外發(fā)方式或Telnet的主動獲取方式收集設備的系統(tǒng)日志。中調到各地調匯聚節(jié)點的鏈路帶寬充足,匯聚層以上的設備采用Syslog外發(fā)方式獲取系統(tǒng)日志。由于中調到各接入層設備帶寬一般為4Mbit/s或2Mbit/s,為防止多臺設備出現(xiàn)異常時大量外發(fā)日志占用接入層鏈路帶寬的特殊情況發(fā)生,接入層設備采用Telnet的主動方式獲取系統(tǒng)日志,只有當平臺探測這條鏈路為空閑時才允許平臺執(zhí)行Telnet操作。網(wǎng)絡安全管理平臺對收集到的系統(tǒng)日志進行統(tǒng)一處理、分析,可按電網(wǎng)告警級別與系統(tǒng)日志級別,對應在各地區(qū)的安全事件或者告警信息中進行顯示,顯示內容包括設備自身告警記錄和人為操作記錄的詳細信息。
2)設備配置監(jiān)視。網(wǎng)絡設備配置分為:運行配置,即設備當前運行的配置;啟動配置,即設備啟動時加載的配置。網(wǎng)絡安全管理平臺可以通過手動獲取或定時獲取等方式,利用Telnet技術主動連接設備,獲取當前設備的運行配置和啟動配置。設備配置監(jiān)視的主要作用有:對比當前設備運行配置與啟動配置是否一致,如配置不一致,說明該設備配置被更改后未進行保存;自定義選擇近期設備運行配置或啟動配置歷史版本進行對比,由此可掌握近期設備的運行配置或啟動配置歷史變化情況;自定義選擇2個及以上設備的運行配置或啟動配置進行對比,由此可發(fā)現(xiàn)各設備配置的區(qū)別。
3.3入侵防御檢測
為應對調度數(shù)據(jù)網(wǎng)的內部威脅,防火墻對流入、流出調度數(shù)據(jù)流量進行過濾,但這不是防護入侵行為的有效手段。入侵檢測防御系統(tǒng)不僅能針對數(shù)據(jù)流量IP進行過濾,還能對基于應用層出現(xiàn)的木馬、后門及各種惡意代碼、遠程惡意控制等進行檢測。入侵檢測防御系統(tǒng)采用旁路部署的方式,使用流量鏡像技術將核心路由器上中調與各地調間的流量鏡像連接到入侵檢測系統(tǒng)進行統(tǒng)一處理、分析,將分析結果及已獲取的安全事件傳遞至網(wǎng)絡安全管理平臺進行展示,確保被發(fā)現(xiàn)的入侵檢測行為能得到有效控制。
3.4流量和鏈路監(jiān)測
如果不對調度數(shù)據(jù)網(wǎng)的網(wǎng)絡流量進行監(jiān)測和跟蹤,網(wǎng)絡安全管理員就無法掌握中調到各地調網(wǎng)絡流量的情況,為此,引入流量監(jiān)測系統(tǒng)。該系統(tǒng)采用旁路部署的方式,通過采集中調與各地調間(包括第2匯聚點)的鏡像流量進行統(tǒng)一處理、分析和統(tǒng)計。該系統(tǒng)除了能對網(wǎng)絡流量進行監(jiān)測外,還能對通道鏈路進行監(jiān)測,降低了廣西電網(wǎng)調度數(shù)據(jù)網(wǎng)的安全風險,防患于未然。
1)網(wǎng)絡流量監(jiān)測,監(jiān)測、采集網(wǎng)絡流量并進行處理、分析和統(tǒng)計,展示最近1h的流量趨勢,也可基于源IP、目的IP、應用協(xié)議和會話等多維角度展示網(wǎng)絡流量的排名情況。為滿足網(wǎng)絡防護的工作需要,管理員可自定義時間段、源IP、目的IP和應用協(xié)議等條件查看具體網(wǎng)絡流量的記錄。
2)通道鏈路監(jiān)測,與網(wǎng)絡流量監(jiān)測一樣需要對采集的網(wǎng)絡流量進行處理、分析和統(tǒng)計,不同之處在于流量監(jiān)測系統(tǒng)對中調與各地調間的鏈路比特率進行采樣(5min/次),同時通過Ping對應地調網(wǎng)關的方式計算出此鏈路的響應時間。系統(tǒng)獲取通道鏈路的比特率和響應時延后,以圖表方式展示指定時間或1個月內鏈路峰值比特率、鏈路響應時延趨勢。
3.5設備一鍵定檢功能
調度數(shù)據(jù)網(wǎng)需要進行每月鏈路定期檢查及設備年度檢查,以往是靠人工手動來完成大量設備的數(shù)據(jù)采集、處理、統(tǒng)計和整理等工作,花費時間長、投入人力多。而網(wǎng)絡安全管理平臺提供了設備一鍵定檢功能,大大提高了運維人員的工作效率。利用網(wǎng)絡安全管理平臺,每月鏈路定期檢查實現(xiàn)了中調到14個地調56條鏈路數(shù)據(jù)實時檢查,包括鏈路峰值比特率、峰值利用率、實時業(yè)務時延和非實時業(yè)務時延等,實現(xiàn)數(shù)據(jù)實時業(yè)務采樣,并在安全管理平臺上以動態(tài)圖形展示。數(shù)據(jù)輸出方式簡單、靈活、易操作,輸出時間只需幾分鐘。鏈路檢查報表能按指定時間段輸出鏈路的檢查結果。每年設備定檢實現(xiàn)了“一次錄入,多年受益”的效果,只需將所有的網(wǎng)絡設備錄入到網(wǎng)絡安全管理平臺,24h后即可在平臺中輸出設備鏈路狀態(tài)檢查、鏈路性能檢查、設備日志信息檢查、設備運行狀態(tài)、配置檢查、端口資源統(tǒng)計和網(wǎng)絡路由協(xié)議運行情況檢查等結果報表。運維人員對報表中結果異常的設備進行核查,核查結束后關閉設備定檢日志源,設備年檢工作完成。使用網(wǎng)絡安全管理平臺,每年全網(wǎng)設備定檢工作只需幾天時間就可完成,大大減輕了運維人員的工作量。
4結語
【 關鍵詞 】 安全運維管理平臺;地稅信息安全
Construction and Research on Construction of Jiangxi Provincial Local Taxation Information Systems Security Operation Integrated Management Platform
Zhou Wen-xing
(Local Taxation Bureau of Jiangxi Province Jiangxi Nanchang 330002)
【 Abstract 】 this article has mainly analyzed JiangXi Provincial Local Taxation information management problems that exist in Network security,and introduced Research and Practice on construction of Jiangxi Provincial Local Taxation Information Systems Security Operation Integrated Management Platform
【 Keywords 】 information systems security operation integrated management platform; jiangxi provincial local taxation information security
1 引言
伴著金稅工程建設的春風,江西地稅自2003年8月啟動以信息化為依托的新一輪征管改革以來,經過4年多的建設,順利實現(xiàn)了征管業(yè)務軟件的全面上線,完成了“江西省地稅管理信息系統(tǒng)”的主體工程,在全國地稅率先實現(xiàn)了征管信息數(shù)據(jù)的省級“大集中”,基本實現(xiàn)了日收管理、稅收業(yè)務、行政辦公工作的信息化。該系統(tǒng)完全依賴網(wǎng)絡的數(shù)據(jù)傳輸和中心機房的處理,隨著金稅三期的全面鋪開,網(wǎng)絡問題日趨突出,網(wǎng)絡安全問題成為制約江西地稅信息化發(fā)展的瓶頸。
2 江西地稅信息系統(tǒng)的網(wǎng)絡安全問題
這一龐大的信息化鏈是通過網(wǎng)絡進行互聯(lián),而在征管數(shù)據(jù)的安全性,網(wǎng)絡運行的流暢性等方面的問題凸現(xiàn)。加之行政單位的信息化建設起步緩慢,導致行政公務人員信息安全意識不高,局域網(wǎng)內部的病毒及入侵木馬問題泛濫,安全管理的問題主要體現(xiàn)在幾個方面。
(1)網(wǎng)絡安全管理中安全設備單一、孤立。無論是網(wǎng)絡安全硬件還是軟件都是孤立單一的,對于很多網(wǎng)絡攻擊不僅無法進行有效攔截,而且還容易造成網(wǎng)絡設備不兼容或是相互誤判斷導致網(wǎng)絡堵。
(2)網(wǎng)絡數(shù)據(jù)采集技術落后。對各個安全設備網(wǎng)絡數(shù)據(jù)及安全信息需要人工采集,不僅費時費力,而且差錯率極大,匯總后的信息數(shù)據(jù)的可信度不高,大大影響網(wǎng)絡管理員的工作效率。
(3)網(wǎng)絡防范的應急響應能力較差。系統(tǒng)分析各種網(wǎng)絡和安全故障準確率低下,時效性無法保證,如果遇上大型的網(wǎng)絡惡意攻擊,無法最短的時間響應并提出預案,知識庫的數(shù)據(jù)不健全,而且沒有一整套的預警處理機制及完整的安全響應機制,這是江西地稅網(wǎng)絡安全的致命傷。
3 安全運維平臺成為地稅信息系統(tǒng)數(shù)據(jù)安全的防護盾
要想解決這些在安全管理上出現(xiàn)的種種問題,江西地稅按照稅務總局金稅工程(三期)安全管理需求目標要求,通過規(guī)范化、精細化的管理方式,使全省各級地稅信息中心部門在一個平臺上實現(xiàn)所有的管理、監(jiān)控和分析,從而改變傳統(tǒng)分散式管理模式帶來的困擾和弊端,這個平臺就是江西地稅安全運維管理平臺。
(1)安管平臺的軟件基礎強大,兼容性、擴展性和應用性都有明顯提升
江西地方稅務信息系統(tǒng)安全運維綜合管理平臺采用省、市兩級部署方式,數(shù)據(jù)分級存儲利用;平臺展示層開發(fā)語言為JSP,邏輯層為Java,算法和實現(xiàn)層采用標準C++語言,具備良好的開放性和伸縮性;承載平臺操作系統(tǒng)采用Windows 2003 Server,核心數(shù)據(jù)庫及中間件分別采用Oracle10g和Weblogic8.1,平全采用B/S/D架構,客戶端為IE6.0、Flash 9以上,具有較好的用戶界面及優(yōu)異的兼容性、應用性和可擴展性。
采用業(yè)界領先的SOA架構,支持分布式計算環(huán)境,并充分考慮到稅務信息化未來擴展需求,提供應用系統(tǒng)二次開發(fā)接口,避免重復開發(fā),功能模塊充分共享,減少資源浪費,實現(xiàn)復雜運維系統(tǒng)的靈活性和擴展性,保留足夠的彈性滿足未來的更多運維管理需求。平臺支持B/S/D架構,零客戶端,主體模塊采用Java語言開發(fā),展示層采用JSP、Flex/Flash開發(fā)、底層高速計算模塊采用C/C++開發(fā),實現(xiàn)復雜系統(tǒng)的靈活化和可復用化,便于省中心和各市共享信息。
(2)健壯的內部知識庫和響應機制使得安管平臺更具智能化
網(wǎng)絡安全平臺構架搭建只是提升網(wǎng)絡安全性能的一方面,它僅僅是表面設計,猶如摩天大樓的外部結構,而網(wǎng)絡安全健壯性的真正內涵在于其內部的知識庫以及響應機制,這個猶如大樓的內部裝潢。而對于大型網(wǎng)絡的安全監(jiān)控來說,網(wǎng)絡里面隨時都有各種事件發(fā)生,這些時間通常都是沒有規(guī)律的隨機安全事件,那么,怎樣從海量的安全事件中提取出有規(guī)律的惡意行為,感知到網(wǎng)絡中真正的安全態(tài)勢,這是一個值得研究的課題。該平臺通過引入信息熵的思路,將無規(guī)律的隨機安全事件看作布朗運動,通過計算事件的熵值評價安全態(tài)勢,并從中提取有規(guī)律的惡意行為。
平臺從知識庫中讀取用戶配置參數(shù),從在線事件庫中讀取引擎上報的特征事件,將分析結果輸出到響應子系統(tǒng)。模塊間的關系如圖1所示。
采用地址熵使我們對大型網(wǎng)絡的安全態(tài)勢分析成為可能,國內首創(chuàng)基于Time33、EWMA等算法的分析結構能較為準確地對網(wǎng)絡安全態(tài)勢進行分析,使運維人員能夠從海量的混亂的安全事件中提取有價值的信息,即時進行分析處理。
采用信息熵的思路為大型網(wǎng)絡的安全事件分析打開了一條新路,并在江西省地稅的實際環(huán)境中得到印證,達到了較為準確的判斷網(wǎng)絡安全態(tài)勢的效果。
(3)威脅模型的構建是安全平臺知識庫自我完善的保障
知識庫的不斷更新,使得防護模式日趨更新升級,能夠應對更多更復雜的非法入侵和網(wǎng)絡攻擊。而如何識別威脅和評價威脅是威脅建模的關鍵因素。對于威脅的識別和評價,我們分別參考了STRIDE模型和DREAD模型。
根據(jù)攻擊者的目標,利用對應用程序的體系結構和潛在缺陷的了解,找出可能影響應用程序的威脅。我們主要使用STRIDE模型方法同時借鑒威脅清單方法。
應用 STRIDE 模型最簡單的方式是考慮模型中的每種威脅如何影響每個組件以及與其他應用程序組件的每個連接關系。本質上就是查看應用程序的每個部分并確定相應組件或進程是否存在任何 STRIDE 威脅類別。該過程應是一個反復的過程。
按危險程度(即影響,此種攻擊本身可能造成的損壞程度)和可能性對威脅進行評級。對于危險程度,是分配介于 1-10 之間的一個數(shù)字,10 最危險。對于可能性,選擇一個數(shù)字,1 最有可能發(fā)生,10 可能性最小。通過將危險程度除以可能性,即 Risk = Criticality/Likelihood,計算出整體風險。
選擇適當?shù)姆椒ɑ蚣夹g來緩解每種威脅。每種威脅類型有特定的緩解方法。例如,緩解特權升級攻擊可能包括使用具有受限制權限的賬戶運行應用程序。緩解該威脅所采用的技術和方法可能包括對軟件或服務器使用的配置實用程序、連接信息的安全存儲以及在運行時檢索連接信息的安全方法做出規(guī)定。在分析的過程中,反復從第 1 步開始迭代執(zhí)行,就可能使我們了解所有威脅的情況。
4 江西地方稅務信息系統(tǒng)安全運維綜合管理平臺未來開發(fā)重點
安全運維管理的基本出發(fā)點來自于對稅務業(yè)務運行連續(xù)性的需求以及提高稅務信息系統(tǒng)運行效率的要求,為了滿足以上基本原則,在運維工作中,我們需要對信息系統(tǒng)資產進行管理,還要密切關注網(wǎng)絡、主機、服務器和業(yè)務系統(tǒng)運行的情況,信息資產物理環(huán)境情況還有運維人員工作情況。這些信息量的采集和綜合利用則是運維綜合管理平臺需要進一步優(yōu)化的地方。
各個信息系統(tǒng)各子單元的是否正常運作直接影響到整個江西省地稅信息系統(tǒng)的業(yè)務連續(xù)性,為了改善稅務信息系統(tǒng)運行情況,需要對稅務系統(tǒng)的信息資產采用精細化的管理模式,深度挖掘這些資產的運行情況,為整個信息系統(tǒng)建立保證網(wǎng)絡中每一個系統(tǒng)處于最佳的工作狀態(tài),使得整個網(wǎng)絡能夠隨時都處于最高的工作效能情況下,來滿足應用業(yè)務運行對網(wǎng)絡及系統(tǒng)的性能要求。這個是下一步網(wǎng)絡安全管理需要認真去解決的重點。
參考文獻
[1] 周明天,汪文勇.《TCP/IP網(wǎng)絡原理與技術》[M].北京:清華大學出版社,2005.
[2] 《稅務IT運維支撐管理平臺若干關鍵點研究》(《2007年全國稅務信息化技術與建設成果交流論壇論文匯編》.2007.185-188).
[3] 李輝.《計算機網(wǎng)絡安全與對策》[J].濰坊學院學報,2007(03).
[4] 《浙江地稅信息系統(tǒng)運行維護管理機制初探》.計算機時代.
2007(09))
]
曹鵬認為,綠色IT需要將管理和技術進行統(tǒng)一
提到綠色IT,大多數(shù)人想到的是硬件產品的低功耗和節(jié)能環(huán)保。而現(xiàn)在,軟件產品的綠色概念也開始被越來越多的用戶關注。對于軟件廠商來說,綠色不僅僅意味著實實在在地提供給用戶高價值的服務,最大化地利用現(xiàn)有資源,減少開支,提高效率,還要實實在在地解決用戶的問題,為用戶提高在管理方面、實際操作方面的效率。2006年,東軟就推出了網(wǎng)絡流量分析與響應系統(tǒng)(NTARS)、NetEye安全運維平臺(SOC)和虛擬化防火墻,為用戶提供了網(wǎng)絡安全的保障。日前,東軟網(wǎng)絡安全產品營銷中心技術總監(jiān)曹鵬詳細解釋了東軟網(wǎng)絡安全產品的綠色理念。
虛擬防火墻技術提高使用效率
現(xiàn)在大多數(shù)單位都在建設自己的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC),IDC通過部署大量的服務器來加快其自身信息化建設的進程??紤]到IDC中存放著不同業(yè)務部門的服務器,傳統(tǒng)情況下用戶需要各自購買防火墻進行安全防護,這就意味著需要購置大量的網(wǎng)絡防火墻設備。傳統(tǒng)管理模式期望不同業(yè)務部門可以共用一臺設備進行統(tǒng)一防護,但是由于不同部門的業(yè)務配置和管理人員彼此獨立,不太可能把一臺設備的權限開放給幾個超級管理員讓他們各自配置,因為這樣很容易導致設備的策略沖突而造成網(wǎng)絡系統(tǒng)運行的不穩(wěn)定,出現(xiàn)問題后也難以定位是哪個管理員的責任。應用東軟新一代防火墻的虛擬功能,用戶可以將一臺防火墻在邏輯上劃分成多臺虛擬防火墻。即便某個虛擬防火墻系統(tǒng)資源受到網(wǎng)絡攻擊,也不會影響其他的虛擬防火墻系統(tǒng)。從管理維護的角度來說,只要購置一臺高性能防火墻,就能達到多臺設備部署的效果。另外,東軟的防火墻產品還能實現(xiàn)多合一的多功能控制網(wǎng)關,充分利用一個平臺進行控制,滿足不同用戶的個性化需求。
SOC強調人、技術、操作的統(tǒng)一
大型網(wǎng)絡的運維人員在日常工作中常常會遇到這樣的問題:網(wǎng)絡中的安全產品、系統(tǒng)主機和網(wǎng)絡設備的事件與告警信息一天可能累計超過100萬條,而這100萬條日志信息如果要在一天內得到處理,可能需要上百人連續(xù)工作才可以完成。信息量過載、技術人員匱乏,這些問題都暴露了信息系統(tǒng)非統(tǒng)一架構的安全運維體系的薄弱性。安全設備、網(wǎng)絡設備、主機系統(tǒng)等各類設備產生大量日志數(shù)據(jù)和安全信息,使得技術人員無法快速獲取有價值的信息,海量數(shù)據(jù)導致信息處理工作量過大。
東軟NetEye安全運維平臺(SOC)解決了海量數(shù)據(jù)和信息孤島的困擾,整體上簡化了安全管理的運維流程。來自網(wǎng)絡各類設備的安全信息都會存儲到一個通用數(shù)據(jù)庫中,然后根據(jù)定制的安全策略對這些數(shù)據(jù)進行關聯(lián)分析,最終通過人機交互的工單系統(tǒng)高效合理地完成整體信息系統(tǒng)的風險分析、風險監(jiān)視、風險處理。通過這一過程,NetEye安全運維平臺能夠有效地記錄真實攻擊事件信息,剔除大量無用誤報信息,實現(xiàn)信息事件的及時處理。
H3C:社會責任與客戶價值并重的綠色之路
對于H3C來說,綠色節(jié)能能為自己的用戶提高競爭力。
隨著全球環(huán)境和能源問題日益突出,綠色已經成了企業(yè)發(fā)展過程中不可回避的話題。電能的消耗越多,就意味著更多的環(huán)境破壞和污染。因此,節(jié)能減排成為各行業(yè)努力的方向。企業(yè)的IT設備,也因為大量的能源消耗成為多種綠色技術瞄準的對象。以節(jié)能減排為核心的綠色IT理念成為企業(yè)IT行為的主要關注內容。
在這樣的背景下,對于H3C來說,綠色節(jié)能概念,不再僅是企業(yè)的社會責任和滿足各類法規(guī)遵從、獲得經濟效益所需,同時也是為自己的用戶提高競爭力、實現(xiàn)更大價值的需要。
全方位綠色解決方案
當前國內企業(yè)數(shù)據(jù)中心服務器、存儲、網(wǎng)絡規(guī)模不斷擴大,對基礎設施、整體運營提出了嚴峻挑戰(zhàn),同時也帶來了巨大的能源消耗。H3C的一系列綠色解決方案,在不同領域內滿足了企業(yè)節(jié)能減排的綠色需求,滿足了企業(yè)在當前的經濟形勢下降低成本的需求,同時拓寬了綠色環(huán)保理念。
H3C公司副總裁兼首席技術官曹向英向記者詳細介紹了H3C的這一系列綠色解決方案。
曹向英說,構建企業(yè)綠色IT網(wǎng)絡,有一句話叫“架構決定價值”。雖然降低設備的能耗比較直觀,并且容易衡量,但架構的優(yōu)化往往更能顛覆性地實現(xiàn)環(huán)保節(jié)能,是更全面、更長遠、更高層次的綠色IT實現(xiàn)。H3C的企業(yè)園區(qū)網(wǎng)方案基于IToIP的基礎架構,設計中充分考慮了綠色設計原則?;诮y(tǒng)一IP基礎的IP存儲、IP監(jiān)控體現(xiàn)了標準化思路;多業(yè)務板卡的集成應用、有線無線一體化部署的思路體現(xiàn)了集成化的設計原則;通過統(tǒng)一的iMC智能管理平臺,實現(xiàn)了多系統(tǒng)的統(tǒng)一管理、統(tǒng)一維護;利用iMC智能管理平臺構建起了人、資源、業(yè)務間的聯(lián)動,實現(xiàn)精細化管理,降低了維護成本。
H3C IV系列虛擬化管理平臺可實現(xiàn)對不同廠商存儲設備的資源整合和數(shù)據(jù)的統(tǒng)一管理,實現(xiàn)所有陣列中硬盤容量的優(yōu)化利用,實現(xiàn)更加簡化和統(tǒng)一的數(shù)據(jù)管理,因此客戶可通過更少的陣列和磁盤為更多的應用提供支持。
在整體進行數(shù)據(jù)中心能耗規(guī)劃和基礎設施規(guī)劃的基礎上,H3C為用戶在數(shù)據(jù)中心提供的網(wǎng)絡安全與存儲容災等全面的綠色基礎架構實踐方案,不僅可減少物理設備數(shù)量和能耗,更提高了數(shù)據(jù)中心運行的安全性和效率。
“H3C的綠色解決方案,始終遵循標準化、集成化、虛擬化、智能化的設計原則?!辈芟蛴⒄f。H3C的解決方案,力求在滿足用戶業(yè)務需求的基礎上,設計出精簡的方案,減少用戶的初期投入,并在業(yè)務調整和升級過程中,通過合理的設計方案充分利用原有設備,提高設備的利用率,減少廢棄數(shù)量,并在系統(tǒng)使用維護過程中盡量簡化管理,降低維護成本。
打造完善綠色體系
WEEE、RoHS以及EuP指令,這些綠色環(huán)保標準,成為這場技術變革浪潮中,國內企業(yè)搶占先機的試金石。
關鍵詞:高校網(wǎng)絡;運維管理;網(wǎng)絡安全;探討
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1006-8937(2016)03-0067-02
高校網(wǎng)絡建設對我國的教育工作有積極的意義,能極大的推動教育現(xiàn)代和信息化建設。所以,現(xiàn)階段已經成為高校建設工作中的重要環(huán)節(jié)?,F(xiàn)代高校的各個工作環(huán)節(jié),如行政、教學和科研等工作,也越來越離不開校園網(wǎng)絡了。然而,在校園網(wǎng)用戶快速增長的情況下,對整個校園網(wǎng)絡的管理、維護和高效運行等也提出了更高的要求。因此,有關高校網(wǎng)絡的建設、管理和維護工作也愈發(fā)的受到人們的重視。
1 高效網(wǎng)絡存在的問題
1.1 高校網(wǎng)絡的特點
高校網(wǎng)絡建設的特點主要集中在以下兩個方面:
第一,現(xiàn)代高校因為在校學生的規(guī)模越來越大,而且更多的是采用信息化教學的方式開展教學工作,這勢必要求校園網(wǎng)絡增加更多的終端節(jié)點來滿足越來越大的用戶需求,而在此基礎上,就必須要增強網(wǎng)絡數(shù)據(jù)的傳輸能力。因此,對于高校網(wǎng)絡最基本一大要求就是能夠高效運行[1]。
第二,基于高效運行校園網(wǎng)絡的前提,應該合理提高管理維護的力度,從而為網(wǎng)絡運行的高效穩(wěn)定和安全提供可靠保障,讓整個網(wǎng)絡系統(tǒng)更加理想的運轉起來。因為目前高校的上網(wǎng)計費是學生實名認證,所以,在大規(guī)模的學生用戶群情況下,要想更好地滿足網(wǎng)絡的需求,并使其更加安全與穩(wěn)定就成為目前亟待解決的問題。由此看來,對高校網(wǎng)絡建設的要求除了運行的穩(wěn)定高效以及安全可靠以外,還要求針對校園網(wǎng)絡的建設和管理制度更加完善有效。
1.2 高校網(wǎng)絡發(fā)展現(xiàn)狀
①缺乏網(wǎng)絡安全意識,校園網(wǎng)絡管理機制不完善。網(wǎng)絡安全的問題出現(xiàn)最主要的原因就是管理制度的不完善以及管理工作人員的安全意識比較薄弱。大多數(shù)的網(wǎng)絡管理工作人員在日常工作中,對網(wǎng)絡系統(tǒng)安全監(jiān)測以及病毒防治工作嚴重忽視,并且疏于對網(wǎng)絡設備定期進行維護工作,從而導致整個網(wǎng)絡系統(tǒng)出現(xiàn)安全隱患,容易受到病毒的感染或者黑客攻擊[2]。由于大部分高校網(wǎng)絡用戶都不是專業(yè)人員,他們并不具備專業(yè)的計算機知識,對于網(wǎng)絡信息安全的防范意識、虛假信息鑒別能力和威脅處理能力都相對較弱,所以導致網(wǎng)絡安全隱患嚴重。在高校網(wǎng)絡管理制度不完善的情況下,一旦發(fā)生網(wǎng)絡安全問題,網(wǎng)絡系統(tǒng)不能第一時間做出應對以及防范處理,將會導致嚴重的后果。
②技術水平存在差距和不足。由于高校網(wǎng)絡的用戶數(shù)量多,因此網(wǎng)絡信息節(jié)點就比較多,環(huán)境也相對比較復雜,存在多種多樣的局域網(wǎng)內部Web應用程序,同時需要明確區(qū)分學生宿舍網(wǎng)絡和教學辦公區(qū)網(wǎng)絡,因此網(wǎng)絡拓撲結構在設計的過程中應站在整體的角度上進行規(guī)劃。大部分的高校在校園網(wǎng)絡初期建設的時候會受到技術與資金的限制,所以僅在校園網(wǎng)內外部的互聯(lián)網(wǎng)間加設防火墻,有的還會直接與互聯(lián)網(wǎng)相連,不能及時采取路由策略、監(jiān)控流量措施以及其他相關安全措施。隨著高校信息化建設進程的不斷深化,這樣的安全狀況無疑是將校園內部網(wǎng)絡暴露于整個互聯(lián)網(wǎng)的大環(huán)境中,其中存在的巨大安全隱患是不言而喻的。此外就是,技術水平的不足會降低大量網(wǎng)絡使用者的上網(wǎng)體驗度,無形中也會增加接入用戶管理的工作難度。
③單一的網(wǎng)路出口鏈路。就目前來說,讓國內主要就是包括以下種網(wǎng)絡運營商,電信、移動、聯(lián)通,但是,實際上并不能及時解決三者互相聯(lián)通的問題。高校在校園網(wǎng)建設初期,網(wǎng)絡運行商的數(shù)量僅有一家,所以,對于網(wǎng)絡用戶來講,很容易出現(xiàn)互聯(lián)網(wǎng)資源無法訪問的情況。更嚴重的就是,只要網(wǎng)絡的出口鏈路出現(xiàn)了物理性的損壞,就會導致高校全部的網(wǎng)絡用戶無法訪問互聯(lián)網(wǎng)[3]。
2 高校網(wǎng)絡運維管理策略
2.1 建立健全完善的校園網(wǎng)絡管理機制
針對校園網(wǎng)絡的運行和維護,校方一方面需要建設完善的校園網(wǎng)管理機制,另一方面應該設立專門負責網(wǎng)絡管理的部門直接進行管理,建立一整套運行、管理以及反饋機制,將責任落到實處。此外,制定機房管理制度和科學合理網(wǎng)絡管理制度,保障日常的網(wǎng)絡維護整體質量,詳細分析安全系統(tǒng)日志,定期檢查和分析,如果發(fā)生安全事故,及時進行處理上報[4]。此外,還需要做好對高校網(wǎng)絡用戶的安全意識教育和培養(yǎng),引導用戶養(yǎng)成良好的上網(wǎng)習慣,提高用戶的安全防范意識,這樣也可以極大的較少校園網(wǎng)絡的安全隱患。
2.2 依據(jù)相關技術手段,增加網(wǎng)絡利用率
①從整體上規(guī)劃網(wǎng)絡結構。應根據(jù)高校整體的結構來對網(wǎng)絡結構進行規(guī)劃,分成兩個功能區(qū)域,即教學行政區(qū)域和學生生活區(qū)域,進而對上述兩區(qū)域進行細化。在各樓棟間應劃分VLAN隔離,這樣就需要利用匯聚交換機與中心機房相連,并且應在中心機房中合理設置認證用戶身份、流量控制、上網(wǎng)行為的管理、防火墻等相關系統(tǒng),而后合理連接出口網(wǎng)設備以及互聯(lián)網(wǎng)[5]。
②控制流量以及負載均衡。流量控制與負載均衡最重要實際上是確保應用寬帶,并建立網(wǎng)絡通道,在符合學校購買運營商寬帶基本規(guī)范的基礎上,對網(wǎng)絡相配合時間段進行合理設置,在相應網(wǎng)絡通道中合理的規(guī)劃和設計控制流量的方式。從整體來看,應合理控制P2P、視頻等高帶寬應用,而對于單個用戶,則需要對最大寬帶進行限制,同時根據(jù)網(wǎng)絡的上下行來分別限制,控制網(wǎng)絡會話數(shù),避免形成網(wǎng)絡異?,F(xiàn)象[6]。應實現(xiàn)網(wǎng)絡用戶計費認證在接入層交換機中的處理,有效地提高認證的效率,并且能夠使各建筑匯聚層的交換機負擔減少,進而對接入的網(wǎng)絡用戶更有效地控制,并為其認證計費提供有力的保障。
③引入多家網(wǎng)絡運營商,采用策略路由。要更好地增加網(wǎng)路鏈路質量以和抗風險能力,此時需要合理引進多家網(wǎng)絡運營商。規(guī)劃網(wǎng)絡的過程中,保證能夠合理分配各運營商線路寬帶。通過適當應用策略路由技術以及智能DNS技術,可以在一定程度上訪問高效外部網(wǎng)絡中,線路智能切換,并且還可以智能識別高校內部用戶向互聯(lián)網(wǎng)訪問,從而增加訪問的速度,阻止運營商間出現(xiàn)互聯(lián)。此外,如果某運營商的線路出現(xiàn)了物理性損壞,應該及時啟動備用網(wǎng)絡線路,這樣就能夠使高校和外部互聯(lián)始終保持連接狀態(tài)。
3 結 語
綜上所述,在教育信息化建設不斷深入的背景下,校園網(wǎng)的網(wǎng)絡也會逐漸被高校的日常教學、科研以及管理工作廣泛應用,并且成為其重要的基礎設施。
而要建立完善有效的高校網(wǎng)絡安全系統(tǒng),網(wǎng)絡運維管理擁有一定效果,就要全面認識到網(wǎng)絡自身存在的脆弱性特點以及其中潛在的安全隱患。積極制定出高校信息系統(tǒng)的安全管理制度并貫徹落實,同時有機集合身份認真技術、管理上網(wǎng)行為、控制流量等有關技術,確保建設高校網(wǎng)絡的時候,可以為信息化提供更好的服務,以便于完全展示自身價值。
參考文獻:
[1] 周健飛.高校網(wǎng)絡運維管理與安全討論[J].企業(yè)技術開發(fā)(下半月),
2014,(7).
[2] 郭智泉.高校網(wǎng)絡運維管理平臺建設探討[J].信息安全與技術,2013,
(9).
[3] 王宇,溫占考,吳煒鑫,等.高校網(wǎng)站運維隊伍建設之道[J].中國教育網(wǎng) 絡,2015,(7).
[4] 楊坤.高校網(wǎng)絡安全管理體系研究[D].大連:大連海事大學,2010.
[關鍵詞]中國電信IMS 網(wǎng)絡運維 綜合能力 提升對策
中圖分類號:TN919.8 文獻標識碼:A 文章編號:1009-914X(2015)13-0306-01
隨著網(wǎng)絡融合的深入推進,中國電信未來將擁有龐大復雜的IMS融合網(wǎng)絡。當前IMS網(wǎng)絡發(fā)展機遇與挑戰(zhàn)并存,鑒于IMS與傳統(tǒng)網(wǎng)絡的巨大差異性,中國電信運營商應充分認清當前IMS網(wǎng)絡運營問題和挑戰(zhàn),以便有的放矢地加以應對,更好地促進IMS網(wǎng)絡運維能力、運營水平的整體提升。
一、中國電信IMS網(wǎng)絡運營面臨的問題
1.IMS技術層面問題
從IMS技術層面來看,IMS網(wǎng)絡徹底IP化內核的技術特征,會增加網(wǎng)絡和業(yè)務的運營風險與維護難度,給網(wǎng)絡運營帶來更大挑戰(zhàn)。IMS技術對運營挑戰(zhàn)主要包括以下方面:第一,IMS網(wǎng)絡架構較軟交換而言更復雜,運營難度增加。IMS網(wǎng)絡涉及多個專業(yè)設備,且設備種類更多、網(wǎng)元間接口更復雜,如增加了IMS-SIP Diameter等協(xié)議,為故障定位、服務質量保障帶來挑戰(zhàn)。第二,IMS是基于全IP網(wǎng)內核的網(wǎng)絡技術,帶來新挑戰(zhàn)。IMS網(wǎng)絡實現(xiàn)了端到端信令與媒體全面扁平化,即除了媒體流實現(xiàn)扁平化外, 網(wǎng)元間通過域名查找DNS做到端到端無連接狀態(tài)的信令路由尋址,這種動念尋址鏈路較傳統(tǒng)靜態(tài)鏈而言, 更完美, 但也帶來互通、安全、維護等風險,對網(wǎng)絡方案提出更高的技術要求。第三,IMS網(wǎng)元容量大,接入客戶類更多,設備故障對業(yè)務影響更大,這就要求故障發(fā)現(xiàn)更快,切換更快,但技術、設備代價也更大,因此對網(wǎng)絡容災安仝技術提出更高要求。第四,智能終端風暴的挑戰(zhàn)。終端智能化、多元化、個性化趨勢加快,各類軟硬終端、智能手機層出不窮,由于IMS支持終端漫游,接入方式多樣化,如 EV-DO、Wi-Fi、ADSL及PON等,網(wǎng)絡接入互通兼容性問題比較突出,故障定位難度加大,若終端通過非信任域IP接入也給核心網(wǎng)絡引入一定風險,因此,對網(wǎng)絡安全、運維能力提出新要求。第五,端到端的QoS服務能力不足。目前雖有規(guī)范,但技術還不夠成熟,端到端QoS保證體系不完善,寬帶業(yè)務和窄帶業(yè)務在資費模式、業(yè)務模式,甚至商業(yè)模式上都有所不同,為新型寬帶業(yè)務的運營帶來挑戰(zhàn)。
2.IMS網(wǎng)絡層面問題
IMS網(wǎng)絡運營時,在IMS應用模式、網(wǎng)絡業(yè)務實現(xiàn)方案、技術規(guī)范方面尚待研究和優(yōu)化; 在運行質量指標、網(wǎng)絡互通、業(yè)務實現(xiàn)、可靠性、接入維護、 管理能力、支撐系統(tǒng)、維護隊伍建設方面帶來挑戰(zhàn)。日前影響IMS網(wǎng)絡運行質量的原因主要包括以下方面:一是IMS技術在網(wǎng)絡組織、應用方案、運維功能上還需要通過運營不斷驗證、優(yōu)化完善;網(wǎng)絡運行質量指標體系有待研究建立與試驗,目前部分統(tǒng)計能力還不具備,尤其是端對端的業(yè)務質量評估指標,為網(wǎng)絡質革優(yōu)化帶來挑戰(zhàn);統(tǒng)一接入及新型智能終端帶來新的維護能力需求、方式的挑戰(zhàn)。二是網(wǎng)絡跨網(wǎng)絡、跨機型、跨域、跨平臺的互通能力與穩(wěn)定性有待提升,對網(wǎng)絡服務質量帶來影響;跨網(wǎng)絡體制的融合業(yè)務實現(xiàn)方案有待研究優(yōu)化,對業(yè)務開放帶來挑戰(zhàn);設備網(wǎng)管系統(tǒng)能力有待規(guī)范統(tǒng)一,維護能力有待提升。三是配套支撐系統(tǒng)有待升級改造支持與IMS網(wǎng)絡銜接,可能會影響業(yè)務受理、開放;維護隊伍IMS維護技能與維護經驗不足的挑戰(zhàn)。
3.IMS安全運營層面問題
IMS安全運營是網(wǎng)絡運營的重要基礎。目前IMS組網(wǎng)方式、安全機制還不完善,例如,存在較多薄弱安全風險,S-CSCF間缺少容災倒回能力,S-CSCF負荷均衡機制欠缺,網(wǎng)絡中斷SIP用戶恢復耗時長,且依賴終端重注冊,IMS還不具備對業(yè)務平臺、DNS或關鍵網(wǎng)元的Bypass功能,用戶賬號密碼存系統(tǒng)沒加密,維護手段不足等。因此,需要提出IMS可靠性提升關鍵技術和運維管理手段措施,形成相關規(guī)范和指導方案,這就對運維監(jiān)控、防癱、應急維護能力提出更高要求。
二、中國電信IMS網(wǎng)絡運維綜合能力提升對策
1.IMS網(wǎng)絡集約化運營能力的提升策略
目前中國電信IMS網(wǎng)絡運營剛開始,急需盡早建立合理、規(guī)范的集約化運營體制,提升高效運營能力。具體包括:
(1)加強集約化運維體制的建設。通過有序推進IMS集約化運營試點工作,不斷完善相關維護制度、維護方式,明確維護職責和分界面,研究形成測試規(guī)范、運行質量指標、日常維護計劃、數(shù)據(jù)配置規(guī)范、應急預案等滿足常規(guī)運營需要。
(2)強化集約化維護管理。對廠商統(tǒng)一網(wǎng)管能力提升,針對設備種類多的問題,需要制定相應網(wǎng)管規(guī)范,將配套數(shù)通設備、IT設備納入廠商網(wǎng)管統(tǒng)一管理,同時實現(xiàn)標準化北向接口與綜合網(wǎng)管系統(tǒng)的對接;系統(tǒng)性推進配套支撐系統(tǒng)與IMS銜接的改造升級,包括綜合網(wǎng)管系統(tǒng)、信令監(jiān)測系統(tǒng)、10000申訴處理系統(tǒng)、計費系統(tǒng)、業(yè)務受理支撐系統(tǒng)等。
(3) 實現(xiàn)IMS網(wǎng)絡與業(yè)務的統(tǒng)一。針對融合業(yè)務實現(xiàn)復雜的問題,要形成統(tǒng)一解決方案、配置方案;鑒于網(wǎng)絡互通的復雜性,研究制定規(guī)范和指導原則,加強網(wǎng)絡聯(lián)調、業(yè)務互通、貫穿測試,在上線前盡量消除主要問題隱患。
(4)增強網(wǎng)絡運維技術手段。如針對終端的深度分析管理平臺、IP網(wǎng)業(yè)務流監(jiān)測系統(tǒng)、業(yè)務質量自動撥測系統(tǒng)及時發(fā)現(xiàn)問題,控制影響范同,及早消除故障。
(5)規(guī)范集約化故障處理流程。對跨專業(yè)、跨網(wǎng)絡、跨域、漫游時故障要及時發(fā)現(xiàn)、快速定位和應急疏通要求更高,應重視做好日常定時撥測、安全防護、例行維護、應急預案等。
(6)加強維護專家隊伍建設,除了熟練掌握IMS等融合核心網(wǎng)絡維護技術和經驗技巧外,還應提升在IP網(wǎng)絡、綜合接入、新流程和融合網(wǎng)絡業(yè)務等方面維護技能和經驗。
2.IMS網(wǎng)絡安全性與可靠性的提升策略
IMS網(wǎng)絡安全性及可靠性的提升,可從組網(wǎng)建設、網(wǎng)絡技術、維護管理等方面加以綜合考慮。
(1) IMS容災組網(wǎng)技術方案。組網(wǎng)時應根據(jù)IMS安全的薄弱環(huán)節(jié),對核心網(wǎng)元的安全等級進行劃分,對HSS、S/I/P-CSCF、DNS等重要性最高的A類網(wǎng)元選擇Pool或1+1互備等組網(wǎng)方式,支持容災數(shù)據(jù)實時或準實時同步;對MGCF、AGCF和大型BAC等B類網(wǎng)元采用雙歸屬或負荷分擔方式組網(wǎng);域內采用有心跳檢測的靜態(tài)鏈路,當域內網(wǎng)元出現(xiàn)故障時,可快速告警和路由切換;域間通過軟交換網(wǎng)、傳統(tǒng)長途網(wǎng)做好動態(tài)鏈路失效的迂回保護。
(2)IMS快速旁路Bypass應急恢復技術。針對A類網(wǎng)元癱瘓,研究試驗DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass機制和維護規(guī)范,使得網(wǎng)元癱瘓后業(yè)務不受影響或影響最小,另外還應提升維護人員網(wǎng)絡防癱、應急恢復能力和維護水平。
(3)IP安全防護與漏洞封堵。針對業(yè)務開放與IP化系統(tǒng)的安全漏洞問題,應通過安全掃描等手段,發(fā)現(xiàn)和封堵系統(tǒng)漏洞,服務端口最小化;在網(wǎng)絡邊緣層配置防火墻功能阻隔非信任區(qū)域的風險。
(4)用戶信息安全加密技術。賬號密碼等用戶關鍵信息錄入、傳送、存儲、維護全流程采用加密算法進行加密。
總之,IMS網(wǎng)絡作為未來統(tǒng)一核心網(wǎng)絡,其運營質量問題將關系整個電信網(wǎng)絡、業(yè)務運營的質量,應引起足夠重視,并充分研究IMS網(wǎng)絡運營的關鍵問題,提出解決對策,實現(xiàn)IMS網(wǎng)絡規(guī)范、高效、安全的運營目標。
參考文獻
[關鍵詞]高校網(wǎng)絡;信息化建設;網(wǎng)絡優(yōu)化
doi:10.3969/j.issn.1673 - 0194.2016.02.123
[中圖分類號]TP393.07 [文獻標識碼]A [文章編號]1673-0194(2016)04-0-01
1 高校網(wǎng)絡管理存在的風險
高校網(wǎng)絡管理主要涉及網(wǎng)絡運維、網(wǎng)絡管理和制度建設,這3方面任何一個環(huán)節(jié)出現(xiàn)問題,都會為高校網(wǎng)絡的安全埋下隱患。
1.1 高校內部網(wǎng)絡抵御網(wǎng)絡黑客、病毒的能力較弱
高校網(wǎng)絡不僅使教育教學更加便捷,還有很多免費的資源,這樣就會很容易成為被攻擊的目標,造成一些不安全因素的存在。一些病毒甚至一些黑客通過各種途徑攻擊高校網(wǎng)絡,他們隱藏己方位置,尋找并分析對象,從而獲得賬號和密碼,進一步獲得資源、特權及控制權。雖然網(wǎng)絡管理者在不斷提高安全意識,更新防火墻軟件,確保教育教育正常進行,但是攻擊確實層出不窮,導入防不勝防,因此高校網(wǎng)絡的安全性有待提高。
1.2 在網(wǎng)絡管理上高校投入力度不足
網(wǎng)絡管理上的投入不僅要引起管理層的重視,也需要基層維護人員作為日常工作的重點,只有強大的網(wǎng)絡基礎才能保證整個高校校園網(wǎng)的正常運行。但是在網(wǎng)絡的投入上,資金的投入只是一方面,雖然說強大的資金投入可以承載計算機群,甚至可以用云桌面來代替普通的教學辦公方式。然而管理上的投入?yún)s是很多高校不夠重視的地方,很多高校網(wǎng)絡中心人員的工作效率不高,針對重點問題也不能重點解決,另外,高校崗位分配也不夠合理,工作職權不夠明確。這兩方面投入力度的薄弱大大影響了高校網(wǎng)絡管理工作信息化的發(fā)展。
1.3 制度建設的缺失
高校網(wǎng)絡信息化建設步伐在不斷加快,人員結構的負責制度一成不變只能影響建設的步伐,各種弊端也會逐步顯現(xiàn)出來。網(wǎng)絡監(jiān)督體系如果不夠完善,那么網(wǎng)絡安全就形同虛設,健康的網(wǎng)絡也需要人員的配合。管理人員只有不斷充電,完善各種規(guī)章制度和監(jiān)管制度,網(wǎng)絡安全問題才能有效減少。
2 優(yōu)化高校網(wǎng)絡管理的對策
2.1 采取有效的網(wǎng)絡運維措施
面對高校網(wǎng)絡存在的各種不安全因素,網(wǎng)絡管理者應該從硬件和軟件方面雙管齊下,針對重點問題重點解決。硬件上,采用更先進的網(wǎng)絡設備,根據(jù)經費逐步升級;更重要的是軟件上,在軟件上應該采取各種有利措施,比如說升級防火墻,提升加密技術,試用虛擬局域網(wǎng)等各種措施,同時要做好補丁升級,技術上不斷創(chuàng)新。另外,網(wǎng)絡管理人員應該建立一套有效的監(jiān)測系統(tǒng),將各種安全隱患防禍于未然,確保網(wǎng)絡正常運行。
2.2 網(wǎng)絡關鍵領域重點投入
在高校網(wǎng)絡環(huán)境當中,管理人員稍微的放松警惕就有可能導致網(wǎng)絡受到攻擊,在一些核心領域更應該加大投入力度。這里的投入包含兩方面的內容:一是資金方面的投入,一些高校已經意識到這一點,??顚m棿罅Πl(fā)展高校網(wǎng)絡,建設信息化校園,使師生享受網(wǎng)絡帶來的便捷;二是人力方面的投入,網(wǎng)絡管理人員綜合業(yè)務技能的提高將會使網(wǎng)絡安全防范事半功倍,因此,要定期對相關業(yè)務人員進行技術培訓,同時有步驟地招聘高端技術人才,帶動整個網(wǎng)絡管理人員綜合業(yè)務水平的提高。
2.3 規(guī)范管理,加強對用戶的培訓
現(xiàn)在的高校教育網(wǎng),一般都有幾個網(wǎng)絡出口(教育網(wǎng),電信網(wǎng)等),要實施整個校園的網(wǎng)絡安全策略,就要強化對這些出口的統(tǒng)一管理,封堵不明攻擊的來源,為校園網(wǎng)絡安全做好基礎保障。同時采取實名上網(wǎng)方式,既便于管理也有利于問題的及時發(fā)現(xiàn),這就給每一位校園網(wǎng)絡的使用者提出新的要求,那么網(wǎng)絡管理人員應該定期線上或線下對師生進行網(wǎng)絡安全相關的培訓,使所有的校園網(wǎng)用戶都來關心、關注網(wǎng)絡安全。
2.4 推廣新技術在校園的應用,建設可持續(xù)發(fā)展校園
高校是互聯(lián)網(wǎng)誕生的搖籃,同樣也應該是新技術推廣的最前沿陣地,如今網(wǎng)絡變革時代,IT廠家為了順應國家提倡的“節(jié)能減排”政策,也不斷地推出綠色節(jié)能新產品和新技術。最典型的例子就是大數(shù)據(jù)虛擬化和云計算,這兩項技術在高校中推廣意義深遠。虛擬化的數(shù)據(jù)中心可分為:網(wǎng)絡的虛擬化,存儲的虛擬化和計算的虛擬化。虛擬化的好處就是在高校中可以簡化運維、提高硬件的利用率、降低成本、增加高校業(yè)務布署的靈活性。而云計算是基于互聯(lián)網(wǎng)的相關服務的增加、使用和交付模式,這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問, 進入可配置的計算資源共享池(資源包括互聯(lián)網(wǎng)、服務器、存儲、軟件系統(tǒng)和服務),這些資源能夠被快速提供,只需投入很少的管理,或與服務供應商進行很少的交互,就能確保高校網(wǎng)絡的獨立和互聯(lián)。
3 結 語
信息化建設在高校中得到了廣泛推廣,良好的網(wǎng)絡環(huán)境讓學校的教育教學活動有序進行。網(wǎng)絡安全問題在高校日常生活中的作用越來越重要,只有用科學的態(tài)度處理問題,才能正確防范各種隱患,確保網(wǎng)絡安全,促進教育教學活動的發(fā)展。
主要參考文獻
【關鍵詞】 安全審計 運維 安全風險 身份認證 授權
1 安徽鴻聯(lián)物流有限公司業(yè)務系統(tǒng)現(xiàn)狀
隨著網(wǎng)絡的快速發(fā)展,安徽鴻聯(lián)物流有限公司的業(yè)務系統(tǒng)日益增加,面對大量的設備,如何提高網(wǎng)絡系統(tǒng)的運維效率成為目前的一大難題。目前安徽鴻聯(lián)物流有限公司內部日常運維的安全現(xiàn)狀如下。
(1)針對核心服務器缺乏必要的審計手段,僅能通過監(jiān)控錄像、雙人分段或專人保存密碼、操作系統(tǒng)日志結合手工記錄操作日志等管理辦法,無法追溯操作人員在服務器上的操作過程、了解操作人員行為意圖,并且這樣的管理成本很高,很難做到長期照章執(zhí)行。
(2)對服務器的維護和管理依賴于操作系統(tǒng)的口令認證,口令具有可被轉授、被窺探及易被遺忘等弱點,另外,在實際環(huán)境中還存在經常使用Root權限帳戶而導致授權不方便等現(xiàn)象,使得管理困難,成本較高。
(3)針對許多外包服務商、廠商技術支持人員、項目集成商等在對內部核心服務器、網(wǎng)絡基礎設施進行現(xiàn)場調試或遠程技術維護時,無法有效的記錄其操作過程、維護內容,極容易泄露核心機密數(shù)據(jù)或遭到潛在的惡意破壞。
隨著應用系統(tǒng)的不斷增加,運維系統(tǒng)安全風險也會不斷暴露出來。由于設備和服務器眾多,系統(tǒng)管理員壓力太大等因素,越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生,這嚴重影響業(yè)務的運行效能,并對安徽鴻聯(lián)物流有限公司的聲譽造成重大影響。另外黑客的惡意訪問也有可能獲取系統(tǒng)權限,闖入部門或整個單位內部網(wǎng)絡,造成不可估量的損失。安徽鴻聯(lián)物流有限公司的支撐系統(tǒng)中有大量的網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng),分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各應用系統(tǒng)都有一套獨立的帳號體系,用戶為了方便登陸,經常出現(xiàn)多人共用帳號的情況。多人同時使用一個系統(tǒng)帳號在帶來方便性的同時,導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員,會使這個帳號的安全無法保證。由于共享帳號是多人共同使用,發(fā)生問題后,無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員,帶來了密碼管理的復雜化。
如何提高系統(tǒng)運維管理水平,跟蹤服務器上用戶的操作行為,防止黑客的入侵和破壞,提供控制和審計依據(jù),降低運維成本,滿足相關標準要求,越來越成為企事業(yè)單位關心的問題。
2 安徽鴻聯(lián)物流有限公司業(yè)務系統(tǒng)運維安全風險分析
2.1 傳統(tǒng)的運維模式中人員和賬號的管理帶來的安全隱患
安徽鴻聯(lián)物流有限公司的業(yè)務支撐系統(tǒng)中有大量的網(wǎng)絡設備、主機系統(tǒng)和應用系統(tǒng),分別屬于不同的部門和不同的業(yè)務系統(tǒng)。各應用系統(tǒng)都有一套獨立的帳號體系,用戶為了方便登陸,經常出現(xiàn)多人共用帳號的情況。
多人同時使用一個系統(tǒng)帳號在帶來方便性的同時,導致用戶身份唯一性無法確定。如果其中任何一個人離職或者將帳號告訴其他無關人員,會使這個帳號的安全無法保證。
由于共享帳號是多人共同使用,發(fā)生問題后,無法準確定位惡意操作或誤操作的責任人。更改密碼需要通知到每一個需要使用此帳號的人員,帶來了密碼管理的復雜化。
如圖1所示,賬號的共享或一人使用多個賬號會導致整個運維管理過程的復雜混亂。由于整個運維過程的不定因素太多,使得整個運維過程不可控。不僅僅給運維人員帶來了巨大的麻煩,而且讓管理人員也無法準確的定位責任人,如果公司長期的在這種傳統(tǒng)的運維模式下運維,將會給公司帶來巨大的損失,甚至還無法追究責任,所以我們要建立新的運維模式和運維理念。
2.2 授權不清晰引發(fā)的問題
再優(yōu)秀的管理者也不可能做完所有的事情,因此,一個優(yōu)秀的管理者必須學會授權,并且要避免因授權不當而帶來的管理混亂。
管理者如何進行授權,是安徽鴻聯(lián)物流有限公司管理的一個深刻命題。做過管理的人都應該知道,授權在安徽鴻聯(lián)物流有限公司網(wǎng)絡系統(tǒng)管理中是非常重要的。但是,很多管理者在授權時,要么顧慮重重,對誰也不放心;要么授權不當,缺乏監(jiān)督制度,造成管理混亂。 這在IT運維中也存在著類似的問題,所以讓每個運維人員在自己責任范圍內正確安全的使用自己的每一個權限十分重要。
而往往在傳統(tǒng)的運維模式中,授權是不清晰的,例如:運維人員登錄的某臺服務器或者某個核心交換機等關鍵性設備的時候,他將擁有很大的或者是超越自己權限范圍的權限,同時他也可以做一些越權的操作,比如是重啟或是其他的敏感操作。也許他的操作是惡意或是無意,但是都將引發(fā)不可估量或者無法挽回的后果。
面對以上傳統(tǒng)運維模式中授權不清晰引發(fā)的問題,我們要足夠的重視,在一個理想的運維模式中,我們需要對運維人員的權限或者是訪問的權限進行精確的定位。
2.3 運維人員操作過程的審計
各系統(tǒng)獨立運行、維護和管理,所以各系統(tǒng)的審計也是相互獨立的。每個網(wǎng)絡設備,每個主機系統(tǒng)分別進行審計,安全事故發(fā)生后需要排查各系統(tǒng)的日志,但是往往日志找到了,也不能最終定位到行為人。
另外各系統(tǒng)的日志記錄能力各不相同,例如對于Unix系統(tǒng)來說,日志記錄就存在以下問題:
Unix系統(tǒng)中,用戶在服務器上的操作有一個歷史命令記錄的文件,但是root用戶不僅僅可以修改自己的歷史記錄,還可以修改他人的歷史記錄,系統(tǒng)本身的歷史記錄文件已經變的不可信;無法記錄操作人員、操作時間、操作結果等。
2.4 缺乏身份認證及識別機制
管理者為了保護重要系統(tǒng)的安全,實施了雙人分段管理密碼、操作系統(tǒng)與數(shù)據(jù)庫管理人員的權限分離、禁止混崗等策略,但實際工作中難免有工作或賬戶使用交叉情況出現(xiàn),存在著無法對自然人身份的強制識別和認證風險。
2.5 傳統(tǒng)網(wǎng)絡安全審計系統(tǒng)無法滿足的運維審計和管理要求
2.5.1 無法審計運維加密協(xié)議、遠程桌面內容
為了加強信息系統(tǒng)風險內控管理,一些用戶已部署網(wǎng)絡安全審計系統(tǒng),希望達到對運維人員操作行為監(jiān)控的目的。由于傳統(tǒng)網(wǎng)絡安全審計的技術實現(xiàn)方式和系統(tǒng)架構(主要通過旁路鏡像或分光方式,分析網(wǎng)絡數(shù)據(jù)包進行審計),導致該系統(tǒng)只能對一些非加密的運維操作協(xié)議進行審計,如telnet;卻無法對維護人員經常使用的SSH、RDP等加密協(xié)議、遠程桌面等進行內容審計,無法有效解決對運維人員操作行為的監(jiān)管問題。
2.5.2 基于IP的審計,難以準確定位責任人
大多數(shù)網(wǎng)絡安全審計系統(tǒng),只能審計到IP地址,難以將IP與具體人員身份準確關聯(lián),導致發(fā)生安全事故后,如何追查責任人,反而又成為新的難題。
【關鍵詞】校園網(wǎng)故障率降低
目前大多高校采用的是故障“來電響應式”的IT護維模式,該模式因維護成本高、響應模式被動,局限性已顯露無余。高校的維護模式主要有學校自行維護、第三方專項分散式維護和第三方整體運維。
一、校園網(wǎng)運維特點
1.響應要求高
校園網(wǎng)用戶群體普遍比較年輕和活躍,對網(wǎng)絡的依賴性很強并且網(wǎng)絡體驗較深,因此對網(wǎng)絡質量和服務品質有較高的要求。
2.鏈路層故障比較集中
因設備間基礎環(huán)境較差、線路老化和標識不清等原因,50%以上的網(wǎng)絡報障集中在鏈路層面。
3.網(wǎng)絡安全和行為管理是重點
校園網(wǎng)用戶群體文化教育程度很高,很多人喜歡嘗試各類技術探索,如此一來,規(guī)避潛在的計算機網(wǎng)絡業(yè)務風險,保障校園網(wǎng)信息平臺系統(tǒng)高效的、安全的運行是一項重要的工作。
4.缺少統(tǒng)一的運維系統(tǒng)
受限于經費和意識等因素,學校沒有部署統(tǒng)一的運維系統(tǒng),部分學校也僅部署網(wǎng)絡監(jiān)控系統(tǒng),即便如此,監(jiān)控的層面和顆粒度都遠遠不能適應服務要求。
二、運維需求
按照運維的技術廣度和深度,校園網(wǎng)運維問題主要體現(xiàn)在四個核心需求層面上,即核心層網(wǎng)絡層面、接入層網(wǎng)絡層面、應用數(shù)據(jù)層面和用戶服務層面。核心層網(wǎng)絡層面包括核心網(wǎng)(城域網(wǎng))網(wǎng)絡維護服務、機房環(huán)境(含動力系統(tǒng))維護服務、服務器設備維護服務、網(wǎng)絡安全服務等;接入層網(wǎng)絡層面包括鏈路維護服務、接入層網(wǎng)絡維護服務。應用數(shù)據(jù)層面包括數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)和門戶等;用戶服務層面在教學、科研和生活方面提供優(yōu)質快捷的網(wǎng)絡質量和網(wǎng)絡服務。
除了核心需求之外,校園網(wǎng)運維管理中還涉及許多日常的業(yè)務運維需求,譬如決策分析需求:校園網(wǎng)運維的量化管理需為高校決策層提供IT投資及管理方面的數(shù)據(jù)支持,同時也將是校園網(wǎng)運維管理人員的績效考核的重要依據(jù)。因此在決策分析層面,決策層對校園網(wǎng)運維系統(tǒng)的管理需求同樣是非常明確,應該可以直觀查看性能報表、實現(xiàn)對網(wǎng)絡運行質量的考核、作為績效考核的依據(jù)。
三、現(xiàn)有運維模式探討
1、高校自行維護的模式
采用這種模式的高校主要有暨南大學、廣東外語外貿大學等,上述學校采用設備自行維修,維護工作量最大的鏈路維護交由學生團隊,團隊由網(wǎng)絡中心的教師管理。這種維護模式的最大益處是可以節(jié)約經費,但存在服務不到位、服務質量不高,網(wǎng)絡中心為從事低技術含量、重復性的工作所困擾等問題。
2、第三方專項維護的模式
采用這種模式的高校主要有廣東工業(yè)大學、廣東中醫(yī)藥大學和廣東藥學院等,上述學校把服務器設備的維修維護、網(wǎng)絡鏈路的新增維護、動力系統(tǒng)分包給第三方;這種維護模式的益處是讓學校的教師有更多的精力從事業(yè)務系統(tǒng)和關鍵系統(tǒng)的維護,花較少的經費把工作量大而繁瑣、技術含量較低的鏈路或者專業(yè)的工作交由第三方負責。但也存在流程脫節(jié)、服務不到位等問題。