前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全實施計劃主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:網(wǎng)絡安全;安全可視化;發(fā)展現(xiàn)狀;發(fā)展趨勢
中圖分類號:TP393.08
計算機網(wǎng)絡安全問題產生于20世紀后半葉,人們在享受網(wǎng)絡所帶來的快捷與方便的同時,也需要承擔風險,所以目前為止,網(wǎng)絡安全性已經(jīng)成為網(wǎng)絡建設與管理的重要考核指標.
人們提出了許多安全防范措施和檢測措施去解決網(wǎng)絡安全問題,例如安全網(wǎng)關、防火墻等都解決了一定程度上的安全問題,但隨著網(wǎng)絡規(guī)模達擴大以及各種網(wǎng)絡攻擊越來越復雜,各種問題也相應出現(xiàn),為此,本文提出了網(wǎng)絡安全數(shù)據(jù)可視化的研究,能夠涵蓋網(wǎng)絡中現(xiàn)有的多種安全設備,與傳統(tǒng)的網(wǎng)絡安全產品有著本質的不同。
1 網(wǎng)絡安全可視化的必要性以及傳統(tǒng)安全防御模式的缺陷
隨著網(wǎng)絡的不斷擴大,科技的快速發(fā)展,用戶對網(wǎng)絡安全性能的要求也越來越高。目前所使用的大部分網(wǎng)絡安全產品,不管是異常檢測還是日志的分析,全是在網(wǎng)絡安全受到攻擊后才能夠做出的反應。也就是說在確定安全已被破壞,已經(jīng)造成一定危害的情況下,對安全漏洞進行“補丁”的表現(xiàn)。這也就相當于“亡羊補牢”。對于防御者來說,一直處于被動狀態(tài),給攻擊者時間,受到或深或淺的傷害后才會有所行動,這無異于雪上加霜。隨著網(wǎng)絡數(shù)據(jù)量的快速增長,出現(xiàn)的攻擊類型越來越多,越來越復雜,網(wǎng)絡安全岌岌可危,現(xiàn)有的網(wǎng)絡安全產品也僅僅只是對安全領域的小部分進行防護,但無法真正起到防御的作用。漏洞修復只負責對網(wǎng)絡中明顯存在的漏洞進行修補,防火墻檢測內部網(wǎng)絡的行為異常以及外部網(wǎng)絡的訪問狀況,IDS也只是負責外部網(wǎng)絡對內網(wǎng)攻擊行為的檢測,它們各盡其職,看起來兢兢業(yè)業(yè),卻對彼此陌生,沒有互動,這也就給網(wǎng)絡安全的維護人員帶來了麻煩,同時也讓攻擊者有機可乘。不僅如此,安全產品的漏報率也是影響其性能的主要因素,較高的漏報率影響了網(wǎng)絡安全維護人員的判斷和分析。
針對安全產品的種種不足,人們紛紛提出了很多方法去解決和完善,卻都無法從根本上解決問題,因此提出來網(wǎng)絡安全數(shù)據(jù)可視化的研究,多方面對安全防護問題進行完善。
2 網(wǎng)絡安全數(shù)據(jù)可視化技術
2.1 科學計算可視化。科學計算可視化早在1986年10月美國國家自然科學基金會特別專家就提出了,第二年以報告為標志作為一門學科正式宣布誕生??茖W計算可視化(簡稱可視化,英文是Visualizationin Scientific Computing,簡稱ViSC)做為圖形科學的新領域,成為計算機圖形學的一個重要研究方向。科學計算可視化的基本含義是將科學與工程計算等產生的大規(guī)模數(shù)據(jù),通過運用一般圖形學的方法和原理或者計算機圖形學轉換為圖形、圖像,以直觀的形式呈現(xiàn)在人們面前,不僅可以讓人們看到原來看不見的現(xiàn)象,還提供了模擬與計算的視覺交互手段。
2.2 信息可視化。在可視化領域中出現(xiàn)的一個新的研究分支信息可視化,其在現(xiàn)實生活中占據(jù)著越來越重要的地位。出現(xiàn)信息可視化的原因數(shù)字是數(shù)字化帶來的龐大的信息和數(shù)據(jù)庫是由于日益漸增的海量數(shù)據(jù)和網(wǎng)絡技術所造成的。信息可視化是一個首在研究大規(guī)模非數(shù)值型信息資源的視覺呈現(xiàn)的一個跨科學領域,人們理解和分析數(shù)據(jù)受到了軟件系統(tǒng)之中眾多文件或者一行的程序代碼,以及利用圖形技術的科學方法的幫助,數(shù)據(jù)可視化、信息圖形學、知識可視化、科學可視化以及視覺設計都被信息可視化這條術語所囊括。表格、圖形、地圖甚至包括文本在內,如果加以充分適當?shù)恼?,無論靜態(tài)或動態(tài)。不僅能讓我們理解其他形式情況下不易發(fā)覺的事,讓我們洞察其中的問題發(fā)現(xiàn)關系并找出答案。創(chuàng)建那些以直觀方式傳達抽象信息的手段和方法,是信息可視化的重點,利用人類的眼睛通往心靈深處的廣闊優(yōu)勢是可視化的表達形式與交互技術。
2.3 數(shù)據(jù)挖掘與可視化??梢暬瘮?shù)據(jù)挖掘是理解交互數(shù)據(jù)挖掘算法、采用可視化的檢查??梢暬P妥阅M階段的變換過程為:數(shù)據(jù)預處理、映射、繪制、圖像處理、顯示。利用數(shù)據(jù)可視化技術,可以完善數(shù)據(jù)分析性能,發(fā)現(xiàn)傳統(tǒng)方式無法發(fā)現(xiàn)的的異常規(guī)律和信息,數(shù)據(jù)可視化能夠讓用戶了解專業(yè)數(shù)據(jù)、易分析,進而提高用戶的觀察力。
2.4 安全數(shù)據(jù)可視化。網(wǎng)絡安全數(shù)據(jù)可視化屬于信息可視化的范圍,通過以圖形圖像方式把采集的數(shù)據(jù)顯示在可視化的視圖中,通過人工分析、安全評估、數(shù)據(jù)交互等,挖掘網(wǎng)絡數(shù)據(jù)中包含的安全信息,實現(xiàn)對網(wǎng)絡安全數(shù)據(jù)的可視化顯示。網(wǎng)絡安全數(shù)據(jù)可視化是一種將網(wǎng)絡數(shù)據(jù)安全態(tài)勢的可視化顯示,有助于人們對網(wǎng)絡安全態(tài)勢的認識和分析。
3 網(wǎng)絡安全可視化方法
3.1 保證網(wǎng)絡數(shù)據(jù)流量安全下的可視化模式。在網(wǎng)絡數(shù)據(jù)流量安全方面,由于端口掃描、服務攻擊受阻、系統(tǒng)蠕蟲擴散等安全問題的頻繁發(fā)生,且多呈現(xiàn)為一對一、多對一特性的存在,就促使攻擊事件在網(wǎng)絡數(shù)據(jù)流量方面存在異樣,同時就顯示流量方面來說,合理的對流量進行監(jiān)控和分析,能夠促使網(wǎng)絡安全人員更好的對網(wǎng)絡系統(tǒng)安全進行維護和防御,其中就網(wǎng)絡數(shù)據(jù)流量安全下的可視化模式而言,其屬性大致可分為源IP屬性、目的IP屬性、協(xié)議、數(shù)據(jù)時間、網(wǎng)絡端口、目的端口等幾方面。
3.2 網(wǎng)絡端口信息安全下的可視化模式。由于黑客在對網(wǎng)絡系統(tǒng)進行攻擊時通過數(shù)據(jù)分析,判斷目標主機中的那些程序正在運行,一次來發(fā)現(xiàn)目標主機中存在的系統(tǒng)漏洞,因此,綜上所述對目標主機的端口進行攻擊最為常見。
3.3 網(wǎng)絡入侵檢測技術安全的可視化模式。就目前網(wǎng)絡安全來說,網(wǎng)絡分析人員會通過對入侵系統(tǒng)的防御和識別模式,來判斷網(wǎng)絡蠕蟲、木馬病毒的存在,即入侵系統(tǒng)通過對以存儲的網(wǎng)絡病毒進行掃描分析匹配,最終通過警示傳輸給網(wǎng)絡系統(tǒng)分析人員,再由其對網(wǎng)絡系統(tǒng)進行修復升級。
3.4 網(wǎng)絡防火墻時間安全的可視化模式。通過使用防火墻,可將存儲在目標主機中的日志信息進行掃描檢測分析,同時還可記錄目標主機和外界聯(lián)系的準確時間和操作流程。
4 網(wǎng)絡安全數(shù)據(jù)可視化發(fā)展現(xiàn)狀
網(wǎng)絡安全數(shù)據(jù)可視化是新的研究領域,它將安全態(tài)勢與可視化技術的需求結合到了一起,當今國內外的很多研究機構都對此領域展開了研究,并取得了一定的成果。但是,由于日志本身限制了日志數(shù)據(jù)的可視化,并且實時性不好,上傳時間較長,無法滿足較高的網(wǎng)絡需求。同時由于實際性的問題,當攻擊為被檢測時,日志有可能會被篡改,導致日志不可信。因此提出來基于數(shù)據(jù)流的可視化方法,通過對網(wǎng)絡流量的實時監(jiān)控提出網(wǎng)絡攻擊行為的可視化。
5 發(fā)展趨勢
網(wǎng)絡安全可視化發(fā)展經(jīng)歷了一段時間的研究,在內容、形式以及顯示結果方面都有了較大的進步。目前可視化軟件相對于最初而言有了很大的進步,在顯示、處理方面都已經(jīng)得到了很大的改進,直觀性強,操作性能好。由于網(wǎng)絡不斷地發(fā)展,人們對安全性能也越來越重視,對可視化的要求也隨之變高。因此,可視化的發(fā)展將向以下幾個方面完善:(1)顯示實時數(shù)據(jù);(2)數(shù)據(jù)多維顯示;(3)多源數(shù)據(jù)可視化;(4)更加直觀且具有交互性;(5)預測功能。網(wǎng)絡安全數(shù)據(jù)可視化將隨著網(wǎng)絡的發(fā)展和人們的需求不斷發(fā)展完善。
6 結束語
網(wǎng)絡安全數(shù)據(jù)可視化的研究還在不斷的深入,通過不斷的探索研究更多的理論和方法產生,逐漸構建實用完整的網(wǎng)絡安全數(shù)據(jù)可視化系統(tǒng)。不過,目前面臨著種種困難,在顯示處理大規(guī)模網(wǎng)絡數(shù)據(jù)無法有效地、實時的處理,無法自動報警和防御,到目前為止都沒有出現(xiàn)一套完整地理論去引導網(wǎng)絡安全可視化的研究。當然,隨著人們對安全的重視程度的加重,網(wǎng)絡安全可視化的研究也會不斷深入,不斷完善。
參考文獻:
[1]王慧強,賴積保,朱亮.網(wǎng)絡態(tài)勢感知系統(tǒng)研究綜[J].計算機科學,2006(33):5-10.
關鍵詞:電力系統(tǒng);強化;計算機網(wǎng)絡;信息安全
中圖分類號:TP393.08 文獻標識碼:A
目前,許多計算機、網(wǎng)絡系統(tǒng)或應用系統(tǒng)設計中都存在不完善或實現(xiàn)過程中出現(xiàn)錯誤即安全的漏洞(BUG.),使網(wǎng)絡入侵成為可能。系統(tǒng)通信協(xié)議和應用服務協(xié)議中存在的弱點被人惡意地濫用造成了對系統(tǒng)或網(wǎng)絡的侵害。為了保證計算機系統(tǒng)、網(wǎng)絡系統(tǒng)和信息安全,近年來針對不同的問題研發(fā)了許多技術和產品,解決了安全需求的許多方面問題,這些技術和產品包括:防火墻產品、VPN設備、安全路由器、信息網(wǎng)關、授權身份認證系統(tǒng)、信息加密技術、安全性分析工具和安全評枯、安全檢測預警系統(tǒng)用于實時監(jiān)視網(wǎng)絡上的數(shù)據(jù)流量。
但是,計算機網(wǎng)絡系統(tǒng)不安全的一個最大的原因是人們沒有足夠的認識和采取盡可能完善的防護手段,而且INTERNET安全沒有標準的過程和方法,新的安全問題的出現(xiàn)需要新的技術和手段來解決,因此,網(wǎng)絡安全要達到100%是不可能,網(wǎng)絡安全是一個動態(tài)的、不斷完善的過程,要不斷地進行安全分析(系統(tǒng)風險分析、系統(tǒng)安全需求分析),建立安全管理條例、安全標準、應用系統(tǒng)規(guī)則和數(shù)據(jù)應用分類,安全屏蔽系統(tǒng)的確定、系統(tǒng)安全策略的制定、安全系統(tǒng)軟件性能的評估等,以找到完善的安全解決方案。
1 網(wǎng)絡系統(tǒng)的數(shù)據(jù)開發(fā)原則
電力市場技術支持系統(tǒng)所涉及的數(shù)據(jù)種類繁雜、數(shù)據(jù)量巨大,各子系統(tǒng)間相互聯(lián)系,數(shù)據(jù)相互交換。只有從大系統(tǒng)的角度仔細設計數(shù)據(jù)庫,才能把不同的應用軟件有機地聯(lián)成整體,從而適應電力系統(tǒng)的發(fā)展和軟件功能的擴展。因此,數(shù)據(jù)庫系統(tǒng)功能的強弱將直接影響到整個電力市場技術支持系統(tǒng)功能的實現(xiàn)。對電力數(shù)據(jù)網(wǎng)絡系統(tǒng)的數(shù)據(jù)庫來說,既要實現(xiàn)數(shù)據(jù)的可靠性、一致性和共享性,還要保證數(shù)據(jù)的實時性和可用性。
1.1 數(shù)據(jù)一致性
數(shù)據(jù)一致性,即相關數(shù)據(jù)的一致性。為滿足實時性,實時庫要映射到各工作內存中,這就要由實時庫管理系統(tǒng)進行統(tǒng)一管理,保證實時庫同步更新和同步數(shù)據(jù)刷新。
1.2 數(shù)據(jù)共享性
數(shù)據(jù)共享性不單指數(shù)據(jù)“共用”,還指數(shù)據(jù)庫不依賴于各子系統(tǒng),即為各子系統(tǒng)共用,這可采用如SQL Server,ORACLE等商用數(shù)據(jù)庫系統(tǒng)實現(xiàn),還應滿足數(shù)據(jù)與程序嚴格分離,數(shù)據(jù)的增刪、更改不需改程序,如圖B一5所示。這就要求數(shù)據(jù)庫具有很好的通用性,具有通用的操作語言,具有通用的數(shù)據(jù)結構和接口。
1.3 數(shù)據(jù)安全性
電力網(wǎng)絡的數(shù)據(jù)庫安全性是電力市場運營的一項重要指標,主要體現(xiàn)在如下兩個方面。
1.3.1 使用操作系統(tǒng)帶來的安全性問題
當今的軟件系統(tǒng)集成和擴展技術有一個顯著特點,即可以通過程序動態(tài)連接和數(shù)據(jù)動態(tài)交換完成。這一特點越來越成為系統(tǒng)集成的主導方向,系統(tǒng)升級開發(fā)的工作量因此大大減少,更新?lián)Q代的周期也越來越短,在市場中有利地位也越來越明顯。但也帶來了系統(tǒng)的不穩(wěn)定性、參數(shù)的變異或丟失等弊病,有時會影響數(shù)據(jù)庫的通用性。
1.3.2 與外部網(wǎng)絡連接后帶來的安全性問題
在電力市場條件下,電力企業(yè)信息網(wǎng)與INTERNET或其他外部網(wǎng)絡連接是必然的。如何監(jiān)測并過濾電力內部產生所有通向外部網(wǎng)絡的信息和從外部網(wǎng)絡傳來的信息,保護電力向絡絨據(jù)庫的敏感商業(yè)數(shù)據(jù)和有關電網(wǎng)安全以及各運行的數(shù)據(jù)不被盜取、不被黑客破壞和修改,并記錄來自各方信息發(fā)出的時間、地點和操作情況,是電力網(wǎng)絡數(shù)據(jù)庫面臨的一個現(xiàn)實而嚴峻的問題?,F(xiàn)有的保護免受非授權黑客人侵的防火技術有包過濾技術、流盆檢測技術、狀態(tài)監(jiān)視技術等。包過濾技術可以防止非授權客戶地址產生的人侵信息在兩個網(wǎng)絡之間常用的隔離方法,但效率低下,過濾技術同樣不能防止以盜用護地址為手段的非法人侵,狀態(tài)監(jiān)視技術在不影響網(wǎng)絡安全正常工作的前提下,對網(wǎng)絡通信的各個層次進行監(jiān)視,還可以監(jiān)視遠程調用RPC和UDP端口信息,達到包過濾技術、技術無法達到的目標。但防火技術并不是十分完美的,隨著通信、網(wǎng)絡技術的發(fā)展,必須研究數(shù)據(jù)庫與防火墻技術、反黑客技術等,達到確保網(wǎng)絡數(shù)據(jù)傳輸安全的技術措施。
2 電力企業(yè)信息網(wǎng)絡安全解決對策
2.1 加強基礎設施建設,改善網(wǎng)絡環(huán)境
信息中/心機房和各工作點設備的安置環(huán)境安全是電力企業(yè)網(wǎng)絡信息安全的根本。機房要有門禁、監(jiān)控、報警系統(tǒng)、機房專用滅火器、應急照明燈以及接地防雷措施,機房、配電間環(huán)境整潔,設備標識、布線清晰整齊,UPS、空調定期檢查,溫濕要度符合要求,從而保證企業(yè)的網(wǎng)絡環(huán)境安全。
2.2 加強員工信息安全培訓,提高信息安全意識
員工的信息安全意識對于電力企業(yè)的信息安全是非常重要的。企業(yè)應該組織開展多種形式的信息安全知識培訓,使員工養(yǎng)成良好的計算機使用習慣,例如不要將與工作無關的存儲介質在單位的計算機上使用,不要在電腦上安裝游戲或無關軟件,設置安全的開機口令并定期更改,設置屏幕保護密碼,重要文件要備份等等,實現(xiàn)全員化教育,提高信息安全意識。
2.3 采用有效的網(wǎng)絡硬件,加強網(wǎng)絡安全管理
目前用于解決網(wǎng)絡安全問題的產品主要有防火墻、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)和虛擬專用網(wǎng)(VPN)。防火墻是指在內部網(wǎng)之間的界面上構造的保護屏障,可以實現(xiàn)網(wǎng)絡安全隔離。IDS是一種網(wǎng)絡安全系統(tǒng),當有敵人或者惡意用戶試圖通過進入網(wǎng)絡甚至計算機系統(tǒng)時,能夠檢測出來,井進行報警,通知網(wǎng)絡采取措施進行響應。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。它可以防止或減輕網(wǎng)絡威脅。IPS可以被視作是增加了主動阻斷功能的IDS,同時在性能和數(shù)據(jù)包的分析能力等方面都比IDS有了質的提升。IPS位于防火墻和網(wǎng)絡的設備之間。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網(wǎng)絡的其他地方之前阻止這個惡意的通信。VPN主要解決的是企業(yè)之間或系統(tǒng)之間跨地域的訪問與數(shù)據(jù)傳輸?shù)陌踩珕栴},其目的在于保證企業(yè)內部的關鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡進行交換。目前電力系統(tǒng)企業(yè)之間已建立有電力系統(tǒng)廣域網(wǎng),各企業(yè)與上級機關及企業(yè)之間可以不借助VPN作為主要的訪問與傳輸途徑。
結語
完整而準確的系統(tǒng)運行記錄,是進行系統(tǒng)評價、系統(tǒng)改進和系統(tǒng)審核的基礎,也是保證系統(tǒng)安全性的重要措施。一般應記錄每天系統(tǒng)運行的時間,完成了哪些輸出,輸出報告被送往哪些部門,系統(tǒng)資源占用倩況如何,數(shù)據(jù)文件或數(shù)據(jù)庫內容是否被更新,運行中出現(xiàn)了哪些問題與故障,發(fā)生故障時現(xiàn)場條件如何,采取了哪些排除故障的措施,效果怎樣等等。這些內容應記在正規(guī)的值班日志上。若有些內容是計算機自動記錄的(如資源占用等),則應把結果附在日志中。發(fā)生故瘴時應注意保護現(xiàn)場,盡量完全地記下當時的情況,如屏幕顯示的內容,打印機給出的信息,人員當時的操作,現(xiàn)場的溫濕度及電壓等,這些記錄對排除故障有很大的參考價值。
參考文獻
[1]冷增祥.電力電子技術基礎[M].東南大學出版社,2006.
關鍵詞:信息化 網(wǎng)絡安全防范措施
中圖分類號:TN711 文獻標識碼:A 文章編號:
隨著縣級供電企業(yè)的信息化建設全面推進,信息化已經(jīng)成長為增強供電企業(yè)競爭力的重要驅動力。目前,“SGl86”信息化工程不斷完善,國家電網(wǎng)資源計劃系統(tǒng)(ERP)上線運行,相繼接入企業(yè)信息網(wǎng)絡平臺的應用系統(tǒng)越來越多,電網(wǎng)安全、生產管理、營銷管理等關鍵應用全部實現(xiàn)了信息化,各應用系統(tǒng)間的數(shù)據(jù)交換日益頻繁。因此確保供電企業(yè)內部網(wǎng)絡信息系統(tǒng)的安全穩(wěn)定運行,適應當前建設智能電網(wǎng)和“三集五大”體系建設新的工作要求,成為擺在我們面前的一個艱巨任務。
一、目前網(wǎng)絡信息安全的特點
1.1 網(wǎng)絡威脅發(fā)展趨勢
目前的網(wǎng)絡攻擊呈現(xiàn)組織嚴密化、行為趨利化、目標直接化的趨勢。網(wǎng)絡欺騙手段進一步升級,黑客不光利用電子郵件和網(wǎng)站進行詐騙勒索,軟件、網(wǎng)絡游戲、網(wǎng)絡銀行盜號木馬等具有“網(wǎng)絡釣魚”性質的病毒也已成為不法分子的手段。
1.2 安全漏洞是最大的安全隱患
安全漏洞是指在網(wǎng)絡系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡系統(tǒng)進行非授權的訪問或破壞。不法分子利用漏洞對網(wǎng)絡發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。
1.3 病毒傳播形式多元化
網(wǎng)站、移動存儲設備成為病毒傳播的新渠道。電子郵件不再是病毒傳播的主要途徑,黑客們越來越多地通過網(wǎng)站對用戶進行攻擊。此外,通過移動存儲設備傳播病毒使很多電腦用戶飽受其害。
1.4 惡意軟件擾亂辦公秩序
“惡意軟件”是介于病毒和正規(guī)軟件之間的軟件,同時具備正常功能(下載、媒體播放、利用中文名稱訪問Internet等)。它們往往采用特殊手段頻繁彈出廣告窗口,危及用戶隱私,嚴重干擾用戶的日常工作和數(shù)據(jù)安全,嚴重的可以導致機器的癱瘓。惡意軟件其危害還不僅止于計算機操作系統(tǒng),對應用系統(tǒng)如目前企業(yè)普及的OA(辦公自動化)系統(tǒng),在一機雙網(wǎng)的情況下的使用造成很多問題。
1.5 網(wǎng)絡電子犯罪影響變大
隨著計算機、互聯(lián)網(wǎng)絡的發(fā)展和普及,網(wǎng)絡電子犯罪的手段、形式呈現(xiàn)多樣化,且影響越來越大。這些犯罪事件對政治、經(jīng)濟和企業(yè)運營造成的影響呈上升趨勢,對企事業(yè)單位的聲譽造成了損害。
二、縣級供電企業(yè)網(wǎng)絡安全問題存在的主要原因
近幾年,供電企業(yè)不斷加大信息化建設投入,城鄉(xiāng)一體化營銷MIS系統(tǒng)、調度自動化系統(tǒng)、辦公自動化系統(tǒng)、財務管理系統(tǒng)、人力資源管理系統(tǒng)等已成功接入縣級供電企業(yè),這些應用系統(tǒng)在縣級供電企業(yè)生產經(jīng)營中越來越發(fā)揮重要作用,且成為縣級供電企業(yè)日益重要的技術支持系統(tǒng),一旦其受到威脅,網(wǎng)頁被篡改,信息被破壞,后果將不堪設想。然而目前,信息安全仍然存在多方面影響因素。
2.1 技術水平有限
在縣級供電企業(yè)中,精通專業(yè)技術的網(wǎng)絡管理員寥寥無幾,在網(wǎng)絡日常管理維護中,一些管理員缺乏必備的安全防護技術,比如,不會屏蔽不需要的系統(tǒng)服務、不知道對敏感信息進行訪問控制或者不能安全地配置和管理網(wǎng)絡,發(fā)現(xiàn)和處理已經(jīng)存在或者隨時可能出現(xiàn)的問題并不及時等,這些因素都會對網(wǎng)絡信息安全帶來嚴重隱患。
2.2 管理因素
(1)管理規(guī)章制度不完善。
目前,企業(yè)網(wǎng)絡信息安全管理存在的缺陷主要是管理機制不夠完善,同時缺乏有效的監(jiān)督防范措施,這些因素都使得管理無章可循,分工不明確,權責不明晰,以至于出現(xiàn)問題時無人負責的現(xiàn)象時有發(fā)生。
(2)經(jīng)費投入有限。
由于資金技術有限,縣級供電企業(yè)在網(wǎng)絡信息安全管理和維護方面力度小且人員經(jīng)費投入不足,是網(wǎng)絡信息安全的一個瓶頸。很多縣級供電企業(yè)信息中心服務管理隊伍明顯不足,他們通常只能維護企業(yè)網(wǎng)絡的正常運行,無暇管理和維護企業(yè)數(shù)百臺計算機的安全。這都嚴重影響縣級供電企業(yè)網(wǎng)絡信息安全的質量與進程。
三、縣級供電企業(yè)網(wǎng)絡安全防范措施
3.1 統(tǒng)一部署、雙網(wǎng)雙機
按照國家電網(wǎng)公司要求和省、市公司統(tǒng)一部署安排,實行信息外網(wǎng)統(tǒng)一出口。信息內外網(wǎng)實現(xiàn)物理分開,雙網(wǎng)雙機,網(wǎng)絡專用。嚴禁辦公終端計算機私自使用撥號、移動無線連接等任何方式接人因特網(wǎng)。在信息外網(wǎng)出口安裝IPs入侵防御設備,保護信息網(wǎng)絡架構免受侵害,降低不安全因素。
信息內網(wǎng)統(tǒng)一安裝桌面管理系統(tǒng),能有效控制內網(wǎng)計算機;計算機實名注冊并進行IP地址和MAC地址綁定;啟用移動存儲審計策略和違規(guī)外聯(lián)策略,嚴格控制內網(wǎng)設備違規(guī)外聯(lián),對企業(yè)的移動存儲分質進行實名注冊,嚴格控制信息的流入流出。
3.2 注重口令設置和數(shù)據(jù)備份
口令設置是信息安全管理中重要的一環(huán)。要求所有的服務器和每一臺辦公計算機都要設置開機密碼,密碼長度不小于8位,并且是字母和數(shù)字或特殊字符混合而成。另外要求每臺計算機都要設屏幕保護,并開啟恢復時使用密碼功能;關閉遠程桌面,這樣可以有效防止外來人員訪問他人電腦。計算機管理員必須定期對重要的數(shù)據(jù)進行備份。個人辦公計算機中重要的文件資料可以加密存放,并形成備份。
3.3 加強防病毒軟件部署及管理
根據(jù)企業(yè)的計算機數(shù)量.統(tǒng)一購買安裝企業(yè)版殺毒軟件。為避免防病毒軟件之間的沖突導致的計算機使用異常,要求一臺機器只能安裝一款防病毒軟件.禁止使用任何規(guī)定之外的防病毒軟件。企業(yè)設專人負責定期進行病毒庫的更新,并通過桌面管理系統(tǒng)統(tǒng)一發(fā)放病毒庫升級通知,對機器病毒庫自動進行升級,能有效防范網(wǎng)絡病毒、木馬。
3.4 漏洞掃描和隱患排查
漏洞掃描系統(tǒng)是一個自動化的安全風險評估工具,對企業(yè)的信息系統(tǒng)進行定期、全面、系統(tǒng)的信息安全風險評估,發(fā)現(xiàn)和分析信息系統(tǒng)中存在的漏洞,并及時進行整改。定期開展自測評與整改。
3.5 物理安全和主機安全
企業(yè)每位職工都有保護自己辦公電腦的義務,要求下班后關閉主機和顯示器,特別是雷雨天氣,最好拔掉電源開關。
對于網(wǎng)絡機房,要嚴格網(wǎng)絡機房的建設要求,建成后的機房環(huán)境滿足計算機等各種電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保衛(wèi)、防漏、電源質量、振動、防雷和接地等的要求。
3.6 應急響應和災難恢復
建立切實可行的應急預案和災難恢復預案,可有效預防和正確、快速應對網(wǎng)絡及信息安全突發(fā)事件,最大限度地減少影響和損失。確保網(wǎng)絡系統(tǒng)安全、穩(wěn)定運行。
3.7 完善和落實規(guī)章制度
制定和完善網(wǎng)絡信息安全相應管理制度及措施。與部室及員工簽訂信息安全責任書,確保責任落到實處。通過組織職工收看信息安全方面的教育片和邀請專家做安全報告,提高員工對信息安全的認知和增強員工遵守信息安全各項規(guī)章制度的自覺性。
2006年4月17日,國務院安全生產委員會辦公室《關于近期危險化學品事故情況的通報》,總結了危險化學品發(fā)生事故的主要原因及其造成危害和存在的主要問題,包括:運輸車輛嚴重超載,車輛和槽罐質量狀況差;從業(yè)人員缺乏必要的安全常識,違規(guī)駕駛;承運單位無資質,違規(guī)運輸;生產、充裝企業(yè)違規(guī)違章;道路運輸安全監(jiān)管不嚴,路面控制措施不利;發(fā)生事故時不能及時有效地獲取信息;在發(fā)生事故時,人為延遲或因特殊情況無法及時獲得事故位置信息;不能及時得到運送貨物的詳細情況;救援措施不得力。
目前,無論是美國的《危險化學品事故預防條例》、歐盟的《薩維索指令||》,還是我國的《危險化學品安全管理條例》,都是從管理的角度對危險品的生產、存儲、運輸和使用進行規(guī)范,還沒有從技術的手段來解決?;愤\輸?shù)陌踩珕栴}。針對此情況,國家安全生產監(jiān)督總局、交通部、公安部聯(lián)合提出了“科技興安”的指導方針,希望利用先進的科技手段,減少事故的發(fā)生,在發(fā)生事故時提高救援處理的效率。然而,到目前為止國內外還沒有實現(xiàn)對?;繁旧淼臓顟B(tài)、泄漏狀態(tài)、罐體狀態(tài)、車輛狀態(tài)進行全方位監(jiān)測與跟蹤的系統(tǒng)?;诖?,我們開發(fā)了“基于衛(wèi)星定位與先進傳感技術的?;愤\輸監(jiān)測與跟蹤網(wǎng)絡化系統(tǒng)”,通過傳感和網(wǎng)絡通信技術實現(xiàn)?;愤\輸?shù)闹悄芘c安全。
系統(tǒng)功能
基于“衛(wèi)星定位與先進傳感技術的?;愤\輸監(jiān)測與跟蹤網(wǎng)絡化系統(tǒng)”將先進的MEMS傳感技術與衛(wèi)星定位和遠程網(wǎng)絡通信技術相結合,實現(xiàn)危險化學品運輸?shù)闹悄馨踩c可視透明化,其主要功能如下:
1 實現(xiàn)運輸容器的數(shù)字化
當前行業(yè)應用的危化品運輸罐式集裝箱和槽罐車基本都是通過傳統(tǒng)的壓力和液位傳感器將其壓力和液位的模擬量值傳遞到模擬量表盤上。要了解某一罐式集裝箱的壓力和液位時必須通過肉眼直接觀察表盤。司機在運輸途中出于安全的需要,要密切觀察罐式集裝箱內部的壓力和液位值,以確保沒有泄露和壓力增高而可能引起的罐體爆炸等。目前這種通過肉眼觀察表盤來了解罐式集裝箱內部壓力和液位的方式,其缺點一是信號不準確,另外由于表盤附在罐體上,司機在運輸過程中要觀察壓力值必須轉頭方可觀察到表盤值,增加了運輸?shù)奈kU性。
本系統(tǒng)中通過壓力和液位MEMS傳感器,將壓力和液位變送為電信號,并通過信號處理模塊對傳感器輸出的電信號進行處理,將壓力和液位的模擬量變送到數(shù)字量,并傳輸給顯示終端。這樣,實現(xiàn)了罐式集裝箱狀態(tài)檢測的數(shù)字化,其特點是這些經(jīng)過變送的數(shù)字量信號,可以傳輸給本地的顯示終端或司機駕駛室的顯示終端,司機可以在駕駛室表盤位置觀察到車后罐式集裝箱的狀態(tài)。除對運輸介質的壓力、液位進行數(shù)字式探測外,還可對部分介質的溫度進行探測。同時,這些數(shù)字量信號將通過公共通訊網(wǎng)絡如GMS/GPRS將罐式集裝箱的狀態(tài)遠程傳輸?shù)奖O(jiān)控中心,從而實現(xiàn)對罐式集裝箱的遠程跟蹤與監(jiān)控。
2 實現(xiàn)介質泄露的實時探測與遠程監(jiān)測
運輸介質有無泄露,發(fā)生泄露時泄露的是何種介質,泄露程度如何都是需要關注的。行業(yè)經(jīng)常發(fā)生?;沸孤逗笏緳C逃逸的現(xiàn)象,救援人員不清楚具體泄露的是何種介質、危害程度如何、如何處理等。這就是國家安全生產監(jiān)督總局指出的“發(fā)生事故時不能及時有效地獲取信息,不能及時得到運送貨物的詳細情況而造成救援措施不得力”。
本系統(tǒng)的?;沸孤短綔y器采用MEMS氣體傳感器,可以準確實時探測?;沸孤兜娜媲闆r,包括介質品類、泄露的是何種氣體、泄露等級和危險程度、泄露的具體時間和地點等,從而使發(fā)生事故處理時能夠采取有效直接的應對措施。
3 實現(xiàn)運輸載體的智能化
運輸車輛和罐體有無危險?監(jiān)控中心如何進行應對和預防?如何對運輸車輛進行監(jiān)管?該系統(tǒng)中的加速度和空間姿態(tài)傳感器實現(xiàn)對運輸載體監(jiān)測,遠程監(jiān)控中心通過傳感器上傳的數(shù)據(jù)來判斷車輛有無撞車、傾覆等危險事件發(fā)生。在此類危險事件發(fā)生時,即使沒有?;沸孤叮惨扇【o急應對和處理措施。
4 實現(xiàn)運輸貨物的安全化
?;罚貏e是汽油、煤油、航空燃油等非有毒介質的防盜是個嚴重的問題。如今集裝箱運輸中貨物安全(偷盜、掉包)事件在全球各個國家和地區(qū)幾乎天天都有發(fā)生,其中大部分發(fā)生在集裝箱載體上。全世界每年因為集裝箱貨物被盜等造成的直接經(jīng)濟損失在200~500億美元,間接經(jīng)濟損失在2000億美元以上。據(jù)統(tǒng)計,公路運輸?shù)牟话踩蛩匾呀?jīng)導致全球一年至少損失900億到1500億美元。在國內,集裝箱貨物被盜的事件也屢有報道。
本系統(tǒng)開發(fā)的腔體開關探測器采用接近開關實時檢測的原理,內部集成微型探測傳感器、低功耗的微處理器和短距離無線發(fā)射模塊。針對罐箱與槽罐車偷盜點的不同,設計分別適用于罐箱的腔門開關探測器和槽罐車的閥門開關探測器的結構和探測電路。當閥件開關時,安裝在罐箱和槽罐車的開關探測器內的微處理器會探測到門的開關狀態(tài),并將開關狀態(tài)以有線或短距離無線的方式發(fā)送給運輸載體檢測終端的中央處理器,并發(fā)送給本地和遠程監(jiān)控終端,實現(xiàn)了對運輸過程中貨物運輸安全的有效監(jiān)管。
5 實現(xiàn)物流信息的可視透明化
“在發(fā)生事故時,人為延遲或因特殊情況無法及時獲得事故位置信息”,也是?;愤\輸造成損失的一個原因。2006年6月23日,國家安全生產監(jiān)督管理總局、公安部、交通部聯(lián)合《關于加強危險化學品道路運輸安全管理的緊急通知》的安監(jiān)總?;痆2006]119號文件。文件要求危險化學品運輸車輛安裝的GPS要符合《危險化學品汽車運輸安全監(jiān)控終端》(AQ3004-2005)要求。已安裝的不符合要求的GPS,要加快改造進程,達到聯(lián)網(wǎng)監(jiān)控的要求。
本系統(tǒng)中采用符合AQ3004-2005標準的車載GPS定位系統(tǒng),實現(xiàn)對危化品運輸載體的準確定位,并通過手機網(wǎng)絡和衛(wèi)星通信網(wǎng)絡將位置信息實時傳輸?shù)奖O(jiān)控中心,實現(xiàn)對運輸車輛的運輸路線、歷史軌跡、行駛速度的實時跟蹤和事后監(jiān)管。
本系統(tǒng)實現(xiàn)了所運介質、裝載容器和運輸車輛的相關監(jiān)測信息的實時傳輸,實現(xiàn)危化品在運輸過程中的物理量(壓力、液位、溫度等)、機械量(碰撞、傾覆、剎車等)、化學量(成分、泄漏、等級等)等主要參數(shù)的本地監(jiān)測與跟蹤。并結合GPSIGSMIGPRS網(wǎng)絡、USSD、衛(wèi)星網(wǎng)絡和Internet等通訊技術,通過?;愤\輸遠程監(jiān)控中心,實現(xiàn)?;愤\輸全過程的遠程監(jiān)測與跟蹤,確保?;愤\輸安全、可靠、高效、環(huán)保,實現(xiàn)供應鏈信息透明化,為資產管理和運輸物流提供實時信息流平臺,大大提高企業(yè)效率與行業(yè)效益。
系統(tǒng)架構與技術指標
“基于衛(wèi)星定位與先進傳感技術的?;愤\輸監(jiān)測與跟蹤網(wǎng)絡化系統(tǒng)”能夠確保一旦?;愤\輸容器、車輛、船舶等發(fā)生危化品泄露事件,可以實時探測到泄露的全面情況,包括介質品類、泄露等級、泄露地點、泄露時間等。同時,可以對運載介質和運輸載體進行監(jiān)測,包括介質溫度、壓力、液位,運輸載體速度、加速度、空間姿態(tài)以及環(huán)境溫濕度等,來實現(xiàn)對?;愤\輸過程中的介質狀態(tài)、運輸工具碰撞、傾覆、超速等的狀態(tài)監(jiān)測。
另外,隨著國際上反恐要求和措施的不斷提升和加強,要求盡快實現(xiàn)對危化品的運輸全程實時監(jiān)測,通過在各罐口加裝開關探測傳感器,判別運輸途中貨物運輸?shù)陌踩?,防止被盜,避免和預防惡意攻擊等恐怖事件。通過配置GPS/GPRS系統(tǒng)、衛(wèi)星通訊系統(tǒng),實現(xiàn)?;吩谶\輸全過程中的全程監(jiān)測與跟蹤。在確保貨物運輸安全、可靠、高效、環(huán)保的同時,也實現(xiàn)了供應鏈信息透明化,為資產管理和現(xiàn)代物流提供了實時信息流基礎。
需求風險和代價互相平衡的設計原則,在當今的互聯(lián)網(wǎng)環(huán)境下,對任何一個網(wǎng)絡網(wǎng)絡系統(tǒng)來說,要在各個方面保證其絕對安全基本上是難以實現(xiàn)的,當然絕對的網(wǎng)絡安全也不一定是必需的。在對網(wǎng)絡的安全設計中,采用了需求、風險和代價互相平衡的設計原則,即在設計時要求對網(wǎng)絡的任務、性能、結構、可靠性和可維護性等方面進行實際研究,并對網(wǎng)絡可能面臨的威脅及可能承擔的風險進行定性與定量相結合的分析方法,然后再制定安全設計的規(guī)范和措施,具體包括以下方面的安全設計原則。
一致性安全設計原則,網(wǎng)絡安全系統(tǒng)設計的一致性原則主要是指網(wǎng)絡網(wǎng)絡安全問題應與整個網(wǎng)絡網(wǎng)絡的生命周期同時存在,制定的網(wǎng)絡安全體系結構必須與網(wǎng)絡系統(tǒng)的安全需求相一致。網(wǎng)絡系統(tǒng)的安全設計及實施計劃、網(wǎng)絡測試、驗收、運行等方面都有相應的一致性的安全內容及措施。
易操作性安全設計原則,網(wǎng)絡系統(tǒng)的安全設計采用了易操作性原則,因為措施需要人為去完成,如果安全設計措施過于復雜,對技術人員的要求過高,那么本身就降低了安全性。而且安全設計措施的采用不能影響系統(tǒng)的正常運行。
可擴展性安全設計原則,網(wǎng)絡系統(tǒng)的安全設計采用了可擴展性原則,因為在進行安全系統(tǒng)設計時,必須要考慮到網(wǎng)絡系統(tǒng)的性質、規(guī)模和結構等多方面發(fā)生變化的可能性,為網(wǎng)絡系統(tǒng)擴充留下相當?shù)娜哂喽?。并且,在安全防護體系思想的指導下,網(wǎng)絡安全系統(tǒng)的設計和實施都可以采取更新的安全技術和更換性能更強的網(wǎng)絡產品,或者可以通過網(wǎng)絡拓撲的擴充來對網(wǎng)絡的安全功能進行擴展。
多重保護安全設計原則,網(wǎng)絡系統(tǒng)的安全設計也采用了多重保護的安全設計原則,因為互聯(lián)網(wǎng)的復雜程度越來越高,任何安全措施都不可能保證網(wǎng)絡的絕對安全,都是有可能被攻破的??茖W的方法是設計一個多重保護的網(wǎng)絡系統(tǒng),實現(xiàn)針對網(wǎng)絡層和應用層的保護相互補充,可以有效保證當其中一層安全保護被攻破時,另外一層的保護仍可確保網(wǎng)絡系統(tǒng)數(shù)據(jù)信息的安全。
可管理性安全設計原則,網(wǎng)絡系統(tǒng)的安全設計,往往會由于網(wǎng)絡管理內部的管理制度不完善,或者職責劃分的不明確的問題導致在設計時采取的安全設計技術和安全設備不能很好地發(fā)揮安全保護的作用。網(wǎng)絡采用的可管理的安全設計原則是建立一個動態(tài)的、可控的安全體系結構,保證網(wǎng)絡管理人員在一套合理的安全規(guī)范的指導下可以完全管理網(wǎng)絡網(wǎng)絡系統(tǒng)的安全。這樣就可以有效地保證對安全設備和安全技術進行利用與管理,使得整個網(wǎng)絡網(wǎng)絡的安全性是可控制和可管理的。
業(yè)務連續(xù)性安全設計原則,網(wǎng)絡的安全設計保證了其業(yè)務的連續(xù)性,網(wǎng)絡安全系統(tǒng)的設計與實現(xiàn)不可避免地會涉及到原有的業(yè)務系統(tǒng),業(yè)務連續(xù)性安全設計原則要求新增加的安全系統(tǒng)不會影響原有網(wǎng)絡系統(tǒng)的安全性、完整性、保密性和可用性,有效保證網(wǎng)絡所有業(yè)務的連續(xù)性。
動態(tài)性安全設計原則,通過網(wǎng)絡的安全問題顯示計算機網(wǎng)絡安全的發(fā)展是動態(tài)的,這就要求對其實施的相應的防御體系也是動態(tài)的。隨計算機網(wǎng)絡的脆弱性特別是WEB應用脆弱性的改變和黑客的計算機網(wǎng)絡攻擊技術的不斷發(fā)展和變化,在進行網(wǎng)絡的安全系統(tǒng)設計時應該及時并不斷地完善和改進網(wǎng)絡系統(tǒng)的安全防護措施。
安全設計策略
網(wǎng)絡作為大量數(shù)據(jù)信息集中的中心,有著不同的承載數(shù)據(jù)的對象,通過對網(wǎng)絡的安全分析,在網(wǎng)絡中傳輸?shù)牟煌臄?shù)據(jù)類型和服務對象所遇到的網(wǎng)絡安全威脅也不一樣,因此,針對不同網(wǎng)絡安全威脅所采用相應的安全防范措施也不盡相同,比如:針對在網(wǎng)絡中托管的服務器經(jīng)常受到系統(tǒng)漏洞和非授權連接等威脅,通常采用部署網(wǎng)絡層防火墻、身份認證和漏洞掃描的安全設計策略,根據(jù)網(wǎng)絡中的不同對象受到的不同網(wǎng)絡安全威脅的實際情況確定了相應的安全措施。
針對網(wǎng)絡的實際情況,在網(wǎng)絡層和應用層實施網(wǎng)絡安全系統(tǒng)設計的時候有針對性的采用高效的安全設計策略,同時采用多層防御的方法,通過對網(wǎng)絡結構調整和網(wǎng)絡網(wǎng)絡產品部署,并輔助以配置安全策略服務和結合安全管理手段,最終在網(wǎng)絡層和應用層形成系統(tǒng)的、動態(tài)的、可持續(xù)的安全防御體系。而且在網(wǎng)絡安全產品選型時要遵守以下策略。
在網(wǎng)絡安全產品選型時,需要廠家可以提供客戶化支持的網(wǎng)絡產品。只有這樣才能保證網(wǎng)絡系統(tǒng)的安全是可以用戶化的,才能有針對性的為用戶的應用和企業(yè)的業(yè)務提供安全保證。網(wǎng)絡網(wǎng)絡安全產品可以隨時根據(jù)企業(yè)用戶的需求進行相應的改進,從而更加適合企業(yè)用戶的實際需要。
需要網(wǎng)絡產品廠家可以提供本地化服務的產品。只有這樣才能保證遇到問題時能夠以最快的速度提供應急響應的服務,從而有效的實現(xiàn)對企業(yè)用戶應用和企業(yè)業(yè)務的服務保證。
關鍵詞:機房; 搬遷; 不間斷; 計劃; 拓撲
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2013)23-5368-03
民航氣象信息系統(tǒng)為整個西南地區(qū)氣象信息系統(tǒng)運行中樞,承擔著氣象資料的收集,存儲和對外功能以及對西南地區(qū)各航站提供資料的服務,包括通信子系統(tǒng)、數(shù)據(jù)庫子系統(tǒng)、信息綜合處理子系統(tǒng)及相關網(wǎng)絡設施,屬7*24小時不間斷運行系統(tǒng),該系統(tǒng)放置于氣象中心機房內,中心機房從投入使用到目前已有10余年,隨著業(yè)務的發(fā)展,氣象中心信息機房在不同時間又陸續(xù)安裝了多套信息化設備,2013年氣象機房面臨整體搬遷,如何在搬遷過程中解決機房多年遺留的問題并保證業(yè)務平穩(wěn)過渡,是值得研究的問題。
1 機房運行現(xiàn)狀
氣象中心機房搬遷前放置著民航氣象數(shù)據(jù)庫系統(tǒng)、民航傳真廣播系統(tǒng)、對外WEB服務器和多條對外連接線路。該機房在設計時只是為了保證氣象數(shù)據(jù)庫系統(tǒng)的運行,并沒有考慮到新增如此多的設備設施。這些設備設施的建設為不同時期、不同廠家進行的,導致機房空間浪費嚴重,顯得異常擁擠,由于投入使用時間早,該機房非全封閉式機房,存在防塵、防水不完善,無有效空氣凈化和濕度控制手段等問。
該機房網(wǎng)絡拓撲如圖1所示,通過防火墻分為6個安全區(qū)域,分為inside服務器區(qū)、DMZ服務器區(qū)、XINXI區(qū)、航空公司區(qū)、屬地化機場連接區(qū)和OUTSIDE區(qū)。其中inside服務器區(qū)、DMZ服務器區(qū)分別放置著兩個7*24小時的民航氣象數(shù)據(jù)庫系統(tǒng)和民航傳真廣播系統(tǒng)。民航數(shù)據(jù)庫系統(tǒng)為整個核心服務的節(jié)點,若該系統(tǒng)故障,其他系統(tǒng)均無法正常運行。
網(wǎng)絡安全級別為inside服務器區(qū)> DMZ服務器區(qū)> XINXI區(qū)>屬地化機場連接區(qū)>航空公司區(qū)>OUTSIDE區(qū)。
2 需求分析
2.1網(wǎng)絡安全保護要求
通過圖1可以看出,該拓撲存在以下信息安全問題:
1)各辦公室網(wǎng)絡均連接于INSIDE核心區(qū)域內,網(wǎng)絡管理員很難防止內部網(wǎng)絡安全事件。
2)DMZ區(qū)域中存在民航傳真廣播系統(tǒng)核心業(yè)務和WEB服務器等非核心業(yè)務,可能會導致網(wǎng)絡安全問題。
3)防火墻所有端口均被占用,無備份端口。
2.2 搬遷業(yè)務需求
1)INSIDE區(qū)民航數(shù)據(jù)庫系統(tǒng)允許中斷時間30分鐘。
2)DMZ區(qū)民航氣象傳真廣播系統(tǒng)允許中斷時間30分鐘。
3)其他對外連接允許中斷時間2小時以內。
4)按照網(wǎng)絡信息安全需求重新構建網(wǎng)絡拓撲。
5)保證機房物理環(huán)境可控。
3 方案設計
3.1 拓撲結構設計
通過對網(wǎng)絡信息安全和業(yè)務需求的分析,重新設計新拓撲結構如圖2所示。
新拓撲結構相比搬遷前拓撲主要有以下改變:
1)防火墻增加為2臺,滿足端口冗余要求。
2)INSIDE區(qū)只放置核心服務器,內部各辦公室放置于新增office區(qū)。
3)民航傳真廣播系統(tǒng)單獨放置于新增621區(qū)。
4)對本地用戶外服務器放置于防火墻(下)DMZ區(qū)。
5)本地對外連接均置于防火墻(下)。
6)外地服務器放置于防火墻(上)DMZ區(qū)。
7)外地連接單獨規(guī)劃地方機場區(qū)。
3.2 搬遷計劃設計
由于拓撲結構復雜,系統(tǒng)中斷時間不一,搬遷計劃設計通過逐漸過渡方式將業(yè)務逐一切換至新機房運行,這就要求新機房必須和老機房通過光纖鏈路直接相連,作為老機房一部分接入網(wǎng)絡,待系統(tǒng)運行逐漸過渡后,最后切換核心系統(tǒng)并中斷老機房連接。根據(jù)該原則,搬遷計劃設計分為四個階段如下:
第一階段:環(huán)境準備及測試
1) 按照新網(wǎng)絡拓撲圖搭建獨立網(wǎng)絡,在新機房新建各服務器,同時測試網(wǎng)絡設備配置連通性和有效性,確保網(wǎng)絡設備可用。
2) 測試新機房服務器網(wǎng)絡有效性。
3) 修改老機房核心交換機相關配置,添加新機房網(wǎng)絡。
4) 暫時將新機房核心交換機離線,并將新機房兩臺防火墻與老機房核心交換機連接。
第二階段:網(wǎng)絡以及服務器切換
1) 將地方機場網(wǎng)絡連接及主機切換至新機房。
2) 將WEB服務器搬遷至新機房DMZ區(qū)并上線使用。
3) 將本場用戶網(wǎng)絡連接切換至新機房接入網(wǎng)絡。
4) 將省氣象局電信網(wǎng)絡切換至新機房核心防火墻outside區(qū)
5) 切換局本部各單位網(wǎng)絡切換至新機房。
第三階段: 新氣象機房民航氣象數(shù)據(jù)庫系統(tǒng)及傳真廣播系統(tǒng)服務器的測試
1) 用光纖線路直連新航機房,將民航氣象數(shù)據(jù)庫系統(tǒng)主用和傳真廣播系統(tǒng)服務器主用切換至新機房服務器,測試一周
第四階段:民航氣象數(shù)據(jù)庫系統(tǒng)及傳真廣播系統(tǒng)服務器的切換
1) 將到民航氣象數(shù)據(jù)庫對北京連接、民航傳真廣播系統(tǒng)對外連接切換至新機房
2) 斷開老機房和新機房所有網(wǎng)絡連接
3) 將新機房核心交換機接入新機房網(wǎng)絡。
4) 測試民航氣象數(shù)據(jù)庫系統(tǒng)運行情況
5) 測試民航傳真廣播系統(tǒng)運行情況
6) 測試所有業(yè)務
3.3 風險控制設計
由于各業(yè)務系統(tǒng)均在最重要系統(tǒng)切換前逐步切換至新機房,風險最終集中在 氣象數(shù)據(jù)庫系統(tǒng)和傳真廣播系統(tǒng)的切換過程,主要可能遇到以下問題:
1)氣象數(shù)據(jù)庫系統(tǒng)對外連接無法正常切換
① 若未超過30分鐘,排查故障
② 達到或超過30分鐘
斷開4507交換機并下線,將ATM切換回老機房運行
2)傳真廣播系統(tǒng)對外連接無法正常切換
① 若氣象數(shù)據(jù)庫系統(tǒng)切換成功,在規(guī)定時間內排查故障,達到或超過規(guī)定時間將網(wǎng)絡切換回老機房運行
② 若氣象數(shù)據(jù)庫系統(tǒng)切換不成功,將網(wǎng)絡切換回老機房運行
4 實施效果
該方案已于2013年7月在西南空管局氣象中心成功實施,切換過程共耗時15分鐘以內,完全滿足系統(tǒng)設計要求。
5 結束語
筆者作為氣象信息系統(tǒng)搬遷的負責人,主持了氣象機房信息系統(tǒng)搬遷計劃的制定與實施全過程,希望對由類似需求的單位或個人能起到拋磚引玉的作用。
參考文獻:
[1] 陳峰,馬艷萍. 網(wǎng)絡核心機房設計與管理[M].北京:化學工業(yè)出版社,2008.
關鍵詞: 《網(wǎng)絡信息安全》 課程改革 實踐
1.引言
計算機網(wǎng)絡的出現(xiàn)和發(fā)展,極大地改變了現(xiàn)代人的生產和生活方式,給人類帶來全新現(xiàn)代文明的同時也給網(wǎng)絡上的信息安全帶來了很大威脅,《網(wǎng)絡信息安全》應運而生。網(wǎng)絡信息安全作為一門新興的學科,沒有嚴格規(guī)范的研究內容,同時又和其他很多學科存在交叉和重復,在高校教學中如何講授好這門課程,使學生通過學習這門課程,能在日常生活中把在這門課程中學到的知識應用到實踐中去,是我們必須思考的一個問題。我們針對《網(wǎng)絡信息安全》課程的特點,從多個方面進行了教學思考和實踐。
2.網(wǎng)絡信息安全教學現(xiàn)狀
《網(wǎng)絡信息安全》是一門綜合性科學,涉及數(shù)學、通信技術、密碼技術和計算機技術等諸多學科的長期知識積累和最新發(fā)展成果,同時還涉及社會問題和法律問題。其涵蓋的內容廣泛,技術和方法更新速度較快,學習的預備知識要求較高。課程有如下特點:知識更新快,涉及面廣;課程的預備知識要求較高,前導專業(yè)課程多;實踐性強;實驗具有破壞性;缺乏系統(tǒng)性。因此,網(wǎng)絡信息安全課程要取得很好的教學效果,需要根據(jù)時間、學生對象、實驗條件等因素,設計相應的教學實施計劃。教師在教學過程中能夠在教材內容留有的發(fā)揮空間中充分展現(xiàn)自己的智慧和才華,即做到教學內容源于教材內容,精于教材內容,為更好地完成教學計劃服務。
當前的社會要求高校畢業(yè)生不僅要具備扎實的理論水平,而且要具有一定的實際動手與解決問題的能力。分析現(xiàn)行的教學模式,我們發(fā)現(xiàn)目前該課程存在下列問題:教材內容已經(jīng)落后于網(wǎng)絡的發(fā)展,學生喪失了學習的興趣;重課堂教學,輕實驗教學的教學方法與現(xiàn)代教育教學手段不相適應,并且大部分試驗還是以演示為主,學生親自動手實踐的機會較少,導致許多新的技術和方法無法得到應用。
3.《網(wǎng)絡信息安全》課程改革與創(chuàng)新
針對前面提到的現(xiàn)行教學模式存在的問題,我們在實際教學的過程中對該課程的教學進行了大膽的改革與創(chuàng)新。
3.1精心選擇教材,優(yōu)化教學內容。
選擇教材時要根據(jù)學生實際情況,根據(jù)課程教學大綱的要求,結合培養(yǎng)目標,選擇適合自己學生情況的教材,同時在教學過程中還要對其去粗取精,精心設計教學內容。網(wǎng)絡信息安全教學內容的安排應該不拘泥于知識體系的完整,更要具有針對性和實用性;緊跟時代,關注網(wǎng)絡上的各種安全事件及相應的安全技術;在教學過程中重視培養(yǎng)學生的職業(yè)崗位技能和素質,以適應學生畢業(yè)后的就業(yè)需求,使學生達到學則能用、學則會用的目的。比如關于一些安全的法律法規(guī)的問題,可以把《今日說法》欄目的一些關于網(wǎng)絡安全事件的案例引用到課堂,讓學生感知這些知識離自己很近,就在身邊。
3.2激發(fā)學習興趣。
興趣是最好的老師,目前的學生具有強烈的好奇心。因此,教師必須使用科學的教學方法提高學生的興趣,培養(yǎng)學生的鉆研精神,把被動的“要我學”轉換為主動的“我要學”。在課堂教學中,開展課堂討論,活躍課堂氣氛,使學生在良好、互動的教學環(huán)境中取得很好的學習效果。比如在講授密碼學時,可以啟發(fā)學生的思維,以小組討論的方式來討論什么密碼最安全,并做實際演示,使學生能夠建立“密碼學”的概念,鼓勵學生自己動手編寫一個加密小程序,體會建立一個安全密碼的重要性。教師應充分利用現(xiàn)在的網(wǎng)絡資源,實時地給學生布置一些需要上網(wǎng)查找,求知的作業(yè),擴展學生的知識面。
3.3實例教學和實時演示相結合。
利用網(wǎng)絡平臺和多媒體手段,在進行計算機網(wǎng)絡教學時利用案例進行實時教學。在網(wǎng)絡信息安全課程教學實踐中,教師邊講邊操作,可避免單純地理論說教,能使學生有豁然開朗的感受。比方說在講授關于操作系統(tǒng)漏洞的修補時,教師可以實際利用網(wǎng)絡上沒有給操作系統(tǒng)打安全補丁的計算機進行攻擊,成功地使用仿真黑客攻擊軟件修改該計算機的密碼,使學生真正體會網(wǎng)絡安全的重要性,從抽象的概念上升到形象上的認識。對于一些不方便演示的實時攻擊等內容,可以在備課時制作成教學錄像,使理論知識立體化、形象化,提高學生的興趣,鼓勵學生自己把學習的過程記錄下來。
3.4搭建網(wǎng)絡安全實驗平臺。
網(wǎng)絡信息安全實踐性很強,講授這門課程不能像其它概論課程那樣去“灌輸”,必須抓好實驗、實踐教學環(huán)節(jié),注重學生實際動手操作能力的培養(yǎng)和訓練,按照認識論的觀點組織和開展教學。教師可以針對每一理論內容設計單獨的實驗,也可以將相關章節(jié)的內容綜合在一起,設計一個綜合實驗。比如可選實驗項目有:漏洞掃描,口令破解,信息截獲,密碼算法,病毒防范,VPN與密碼機的配置,防火墻的配置與使用,入侵檢測系統(tǒng)的使用和安全策略的編寫,等等。由于綜合實驗包含了較多的實驗內容和較大的工作量,教師可采用分組開設實驗的形式,使學生有組織、按計劃完成實驗。組織和計劃的內容包括:確定實驗完成的計劃進度表;明確每位組員要完成的工作;定期組織組員討論實驗中遇到的問題,并共同確定解決方案;及時與指導老師聯(lián)系,獲得指導,等等。這樣可以避免學生在實驗過程中的孤立性和被動性,使學生可以通過相互交流討論開拓視野,提高動手動腦的興趣,同時能鍛煉他們的組織能力、交流能力和協(xié)作能力。對于多數(shù)學校的實驗條件來說,實驗室活動能演練小型模擬實驗。教師對有興趣的學生,組織相關方面的課外活動,有利于他們對課堂內容的掌握和深化。這些活動主要有:同網(wǎng)絡安全專業(yè)公司聯(lián)系,建立多樣化的實習基地;鼓勵學生參加網(wǎng)絡安全方面的競賽活動;組織學生對最近發(fā)生的網(wǎng)絡安全實踐進行討論分析。
熟練使用網(wǎng)絡工具、掌握網(wǎng)絡管理、測試和網(wǎng)絡安全技術在計算機網(wǎng)絡專業(yè)課程教學中有著非常重要的地位。比如講授網(wǎng)上購物、電子支付安全時,學生不理解如何進行電子支付,那么可以安排學生從自己的需要出發(fā),親自完成一次網(wǎng)上安全購物的模擬實訓操作;在講授密碼系統(tǒng)的四個組成部分時,學生對其中的概念性內容聽起來感到很枯燥,理解也比較困難。為解決這個問題,教師可以通過實訓方法讓學生用白紙親自動手制作最簡單的10×10的密碼卡。由易到難,由簡至繁,由淺而深。這樣學生不僅能了解密碼卡的制作原理,加深對基本概念的理解,而且能起到舉一反三的效果,進一步懂得密碼系統(tǒng)的原理。幫助學生獲得現(xiàn)實網(wǎng)絡環(huán)境中多點之間關系的直接概念和網(wǎng)絡安全現(xiàn)象,完成各種關于網(wǎng)絡安全的操作、管理和安全的學習任務,對于學生理解網(wǎng)絡信息安全抽象概念,架構整體網(wǎng)絡安全方案及網(wǎng)絡安全的防范都大有益處。
3.5研究創(chuàng)新實驗,豐富教學內容。
研究創(chuàng)新型實驗要求學生綜合應用多門課程的知識,針對某些有創(chuàng)意的想法,在教師指導下完成設計和實現(xiàn)工作,幫助學生提高創(chuàng)新意識和創(chuàng)造能力。創(chuàng)新提高型實驗內容來源于教師的科研項目、學生的自主科研選題、社會實踐活動和企事業(yè)應用需求,實驗內容是不斷變化的。如基于圖像內容的半易損數(shù)字水印的研究與應用、敏感信息過濾系統(tǒng)設計、病毒掃描引擎設計與實現(xiàn)、IPv6環(huán)境下的網(wǎng)絡信息安全問題的研究等。
3.6大作業(yè)任務驅使。
為了充分調動學生的學習主動性和學習能力,激發(fā)學生的求知欲望,教師可以在學生了解了基本的網(wǎng)絡信息安全概述之后,布置一個大作業(yè)(大約在學期中),讓學生分組研究,不限制研究內容(只要是和網(wǎng)絡信息安全相關的課題都可以去研究)。在以后講課的過程中,教師可逐漸地把和課程相關的比較有研究價值的知識點傳授給學生,這樣學生可以根據(jù)自己的興趣收集資料。在學期末拿出一部分時間讓學生來講解自己研究的課題,這樣不但能提高學生的求知欲望,擴大知識面,而且能鍛煉學生的組織能力、協(xié)同合作能力和講解能力。
4.結語
信息安全是國家信息化健康發(fā)展的基礎,是國家安全的重要組成部分,這就要求高校能夠更好地培養(yǎng)信息安全方面的應用型人才。針對瞬息萬變的網(wǎng)絡時代,教師對學生的網(wǎng)絡信息安全教育,應該注重的不僅僅是傳授知識,更應把如何培養(yǎng)學生的綜合素質放在首位。如何充分調動學生的主觀能動性,使他們具備積極主動的獲取知識的能力,這才是我們持續(xù)不斷的努力方向。
參考文獻:
[1]張常有,楊子光,王玉梅.淺議高校網(wǎng)絡安全課程的教學與實踐[J].太原大學教育學院學報,2007,(3).
[2]俞研,蘭少華.計算機網(wǎng)絡安全課程教學的探索與研究[J].計算機教育,2008,(18).
關鍵詞:項目教學 任務 電子商務
中圖分類號:G71 文獻標識碼:A 文章編號:1672-3791(2013)01(c)-0204-01
項目教學法是“以項目為導向,教師為主導,學生為主體”的教學方法,即向學生提供一個完整可行的項目,學生在充分理解項目內容的基礎上依靠自己的力量或者按照小組分工搜集資料、調查分析、自行設計并最終完成該項目的教學方法。這種教學方法改變了教師講、學生被動接受知識的滿堂灌形式,充分調動學生探索知識的積極性和主動性,激發(fā)學生的學習興趣,讓學生在實踐操作中對知識有更深入的理解。
1 項目教學的內涵
項目教學,又稱基于項目的學習(Project-Based Learning,簡稱PBL),是師生圍繞一個具體的項目,充分選擇和利用各種學習資源,以小組的形式,主動探索,完成項目,形成技能而進行的教學活動。項目教學法現(xiàn)在越來越得到各國教育界的重視。主要采取由學校和企業(yè)共同組成項目小組,深入實際,在完成指定項目的同時,學習和應用已有的知識,在實踐的第一線培養(yǎng)解決問題的能力,是一種“真刀實槍”的演練,整個過程是以培養(yǎng)學生的實踐操作能力為目標的。
項目教學法一般按照圖1所示的四個教學階段進行。
2 《電子商務基礎》課程中的項目教學
筆者結合萊蕪職業(yè)技術學院《電子商務基礎》課程教學改革的實踐,就高職11級國貿班開設的《電子商務基礎》課程進行項目教學實踐探索。具體步驟如下。
2.1 明確項目任務
項目設計由以教師為中心轉變?yōu)橐詫W生為中心,以課本為中心轉變?yōu)橐皂椖繛橹行?,以課堂為中心轉變?yōu)橐詫嶋H經(jīng)驗為中心。在項目教學過程中,項目的選取是學習的關鍵,項目所涉及的知識和技能、所涉及的內容符合最近發(fā)展區(qū)理論,通過學生主動的探索和學習是有能力完成的,所以此過程,是由教師提出項目任務,學生討論通過。
在這個過程中,需要注意的是項目要與職業(yè)相關聯(lián),與實踐相聯(lián)系,與學生能力相符合,與教學計劃相融合,與場地、技術、時間相匹配。本課程的工作任務主線是:上網(wǎng)搜索商務信息、開設郵件賬戶、會員注冊、申請企業(yè)賬戶、電子支付卡以及電子錢包、用電子錢包進行B2C支付、用企業(yè)賬戶進行B2B支付、網(wǎng)絡安全、物流配送、網(wǎng)絡營銷(如圖2)。
2.2 制定實施計劃
學生制定項目的工作計劃,教師在需要的情況下提供建議。計劃涉及的內容小組工作步驟總覽、時間計劃等。
本課程以一個完整的電子商務項目為基礎,以電子商務在網(wǎng)絡零售行業(yè)的應用為切入點,以網(wǎng)上商店運營項目為導向,將電子商務的基本概念、基本理論方法貫穿其中,初步選定網(wǎng)上商店運營項目,項目由4~5人組成小組合作完成,教師引導學生優(yōu)化和集中問題,小組成員經(jīng)過反復討論后擬定具體的項目內容。
2.3 實施計劃
在實施項目的過程中,除了需要一些物質條件外,更重要的是角色的根本轉變,由過去的“講授者”轉變?yōu)椤爸笇д摺薄m椖拷虒W中,教師的職責更多的是創(chuàng)設教學情境,為學生的活動提供幫助,激發(fā)學生的學習興趣,通過引導學生對實踐過程進行反思,努力在知識與任務之間建立聯(lián)系。
3 結語
本文是基于《淺論項目教學在電子商務教學中的應用》,項目實施完畢后,在原有項目基礎上對課程項目進行的改進。項目課程拋棄了“課程準備說”,以建構主義、情境理論為基礎,強調引導學生在完成工作任務的過程中主動建構理論知識,學生的理論和實踐技能都得到了較大提高。但是,在具體實施過程中呈現(xiàn)出許多問題,項目教學的計劃不夠周密細致,可操作性不夠強;學生存在依賴心理,不夠主動積極;學生偏離既定目標,過程控制不夠精細化等,有待進一步思考和探索。
參考文獻
加快制定社區(qū)信息化標準對于推進社區(qū)信息化建設、促進和諧社區(qū)建設、提高社區(qū)管理和服務水平具有重要的意義。為了進一步推進我國社區(qū)信息化應用與服務,做好標準化對社區(qū)信息化的技術支撐,更好地開展社區(qū)信息化標準研究和制定工作,4月2日,民政部基層政權和社區(qū)建設司、信息產業(yè)部信息化推進司在北京聯(lián)合召開社區(qū)信息化標準研究起草小組成立會。
社區(qū)信息化須大力加強合作
民政部基層政權和社區(qū)建設司司長詹成付、信息產業(yè)部信息化推進司司長陳偉、信息產業(yè)部科學技術司副司長韓俊,以及部分省市民政部門、信息產業(yè)部門、從事社區(qū)信息化系統(tǒng)研發(fā)及生產的相關企業(yè)負責人出席了會議。會議就成立社區(qū)信息化標準起草小組、社區(qū)信息化標準研究起草小組工作規(guī)則、社區(qū)信息化標準制定工作的實施計劃達成了一致,并對有關企業(yè)進行了標準化知識培訓。
對于社區(qū)信息化標準制定工作,詹成付認為,社區(qū)信息化標準工作正當其時,非常緊迫,要把社區(qū)信息化的目標變?yōu)楝F(xiàn)實,并把信息化引入農村社區(qū)建設。起草社區(qū)信息化標準已經(jīng)具有一定基礎,各地民政部門要在財政上進行支持,同時要避免浪費。他還表示,要加強民政部與信息產業(yè)部的合作,共同建設有利于社會,有利于老百姓的社區(qū)信息化標準。
談到確立社區(qū)信息化標準的緊迫性,陳偉認為,社區(qū)信息化標準的建立,是我國社區(qū)信息化建設的里程碑,意義十分重大。社區(qū)信息化標準有利于消除信息孤島,打破條塊分割和信息煙囪,實現(xiàn)資源共享。標準制定是推進社區(qū)信息化的重要抓手,而采用自主知識產權,就會在專利技術方面占據(jù)主導權。陳偉說,社區(qū)信息化要統(tǒng)籌規(guī)劃,分步實施,要把標準的驗證、試點統(tǒng)一結合,要建立標準維護和更新體系并與時俱進,同時要加強部部之間、司司之間以及部省之間的合作。
陳偉進一步強調,這次社區(qū)信息化標準研究起草小組的啟動,一定要堅持以應用為導向,各地信息辦要起到協(xié)調、組織的作用。要建立能夠面向全國推廣的社區(qū)信息化標準體系,制定全盤的、綜合性的推進計劃。
信息化標準體系組成