【关键词】通信网络;规划设计;安防工程
影响通信网络安全的因素主要是技术因素、环境因素。因此,安全的通信网络规划设计需要对这两个因素重点关注。要综合的分析考虑,进行整体性的规划,使通信网络的规划设计满足安全性的要求。
1通信网络的保障方式
通信网络包括网络信息以及用户信息,因此,通信网络的安全非常重要。通信网络的保障方式包括:(1)实时对信息的完整性进行监控;(2)确保信息传输的安全;(3)信息的操控需要进行身份认证;(4)设定安全级别,控制非法访问;(5)对信息的传输、操作进行实时、详细的记录。
2通信网络的安全需求
信息网络是信息传输的载体,在信息的传输过程没有被用户掌控,因此,用户会担心信息在传输过程中被非法访问、窃取、破坏等,因而产生了对通信网络安全的需求,也就是通过通信网络进行信息的传输,信息的机密性、完整性、不可破坏性能够得到相应的安全保证。
3通信网络安全分析
综上所述,必须要考虑通信网络的安全性,依据实际情况,进行安全的通信网络规划设计。安全的通信网络规划设计方案如表1所示。下面将从通信网络的安防工程、信息安全、网络安全、链路安全四个方面,对通信网络的安全进行具体的分析:(1)通信网络的安防工程。通信网络的安防工程是安全的通信网络的根本保障,为通信网络提供了一个安全的环境。其环境有以下几个明显的特点:传输设备随着信息的增多而增加,环境复杂化;空间容量随信息的增加以及通信网络结构的变化而逐渐增加;通信设备趋向于智能化、模块化;体积随着空间容量的增多反而逐渐减少。随着通信网络环境的改变,其规划设计对安全的要求也逐渐的提高,因此通信网络的安防工程显得十分重要。(2)信息安全。网络具有开放性的特点,导致信息的容易被非法非法访问、窃取、破坏等,因此,需要特别关注用户身份识别、信息的存储、信息传输等关键点,确保信息安全。例如,采取创建公钥密码的身份识别方式,确保信息的机密性;构建信息数据库,信息管理系统化,保证信息的完整性;对信息内容进行审计,对信息进行安全的管理,防止非法入侵破坏信息的完整性,保证信息的机密性。(3)网络安全。网络其开发性的特点,使之安全性受到一定的威胁。要达到网络安全的要求,需要对通信网络加强控制和管理。例如,可以使用防火墙技术将内外网络分离开来,对网络进行管理和控制,并不断根据实际的情况提高防火墙技术、加密技术、入侵检测等相关技术,提升网络安全。(4)链路安全。通信网络中链路安全会受到设备所用技术的影响。因此,应从以下几点加强链路安全:降低其维修的难度,对附加操作量进行一定的控制;保留网络本身的性能特点;为了实现系统的拓展,保持拓扑结构的原型;合理、合法的使用一些密码产品等。通过以上方法,对链路安全进行加密,信息送达后再进行解密。
4结束语
对于安全的通信网络规划设计,可以从以下五个方面入手:①对在通信网络中进行传输的信息进行加密设计;②针对通信网络入侵检测技术进行相关的研发,提升技术水平,提高通信网络的防御水平;③构建安全网管系统,确保通信网络的安全;④对通信网络中节点内系统进行重塑,提高安全防控能力;⑤对通信内部网络协议进行规划,确保通信网络内部协议的安全性,使通信网络安全运行。总而言之,进行通信网络规划设计时,一定要对其安全性进行科学、合理、深入的分析,采取具体措施提高通信网络的安全性,构建科学、合理,安全、稳定、高效的通信网络系统。
作者:李英峰 张志科 单位:广州杰赛科技股份有限公司通信规划设计院
参考文献
[1]陶卓.关于通信光缆网络线路规划设计问题的思考[J].通讯世界,2015,24:15~16.
[2]曹杰.试析电力光纤通信网络的规划设计的问题[J].中国新通信,2016,08:47.
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹性服务能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
关键词:通信管理;线路;规划;设计
中图分类号:U412 文献标识码:A
0.引言
通信管道是通信网络基础设施建设体系中非常重要的构成元素之一,是指通信网络体系中专门用于通信光缆与电缆布放的通道。既往大量工程实践经验中显示:通信线路的发展规模、覆盖范围、容纳能力、乃至设施质量等均会对城市现代化建设中通信网络体系的发展情况产生重要影响。为确保通信网络的安全、高效运行,必须高度重视对通信线路的规划与设计,并加强通信管理方面的工作,以促进通信工程系统产生良好的社会效益与经济效益。正因为如此,在通信产业不断发展的背景下,地下通信线路数量持续增加,对通信管理以及线路规划、设计进行全盘考虑与统筹分析,是业内相关人员必须高度重视的课题所在。
一、通信管理概述
在信息技术快速发展的背景下,我国通信市场的整体发展格局日趋完善与健全,特别是在通信网络发展日益复杂的大环境下,通信管道建设以及通信线路的规划设计项目不断涌现。受此因素影响,如何进一步提高通信系统管理效率,已成为业内规划设计人员必须高度重视的一项课题。
在通信系统管理过程中,为进一步提高管理质量与工作效率,要求业内人士高度重视以下几个方面的问题:
(1)以国家现行相关法规标准中所制定的工作流程为依据,科学制定各类通信网络项目操作流程,并配套建设相关监督管理工作机制,以促进通信管理措施的有效落实。
(2)在通信系统管理实践中,必须充分遵循安全性、规范性的基本原则,加强通信管理系统内部各个机构部门的沟通与协调,以促进通信网络建设项目的有序开展。
(3)在相关人员展开通信业务管理工作的过程中,必须遵循统筹兼顾的基本原则,将网络信息技术在通信系统建设方面的优势充分展现出来,实现与通信网络规划设计的有机结合,以达到提高通信系统建设安全性、技术性以及拓展性的目的。
(4)通信管理必须以现代化技术为主导,通过引入先进设备的方式及时发现通信管理中存在的问题,及时排除安全隐患,最大限度地降低通信管理成本,促进通信管理实践操作经济化水平的提高,以达到更为确切的效益目标。
二、通信线路规划与设计
在通信网络系统建设过程中,针对通信线路的规划设计必须充分尊重城市发展规划以及通信系统建设的总体要求,从全面规划的角度入手,兼顾近远期功能,最大限度地利用现有设施,及时跟进市政建设步伐,从网络安全性、技术可行性以及投资经济性等多个层面入手,综合考虑通信线路的规划与设计方案,以促进通信网络系统的健全与完善。在通信线路规划与设计作业中,必须着重关注如下两个方面的问题:
1.通信线路规划
针对通信线路的规划必须在政府相关职能部门所出台的政策标准基础之上执行,在符合安全管理这一前提条件的基础之上,确保通信网络通信质量的稳定与可靠。在通信线路规划操作实践中,必须实现与现有通信网络技术的结合,以通信线路工程施工规划成本管理为约束条件,提高通信线路规划的合理性水平。从整个通信网络线路规划的情况来分析,通信线路是由光缆线路以及电缆线路这两个部分所构成的。其中,光缆线路指的是在局站内进行通信光缆及其相关终端设备的规划,避免光缆、管道、杆路等设备之间出现干扰,保证通信网络系统建设的正常执行。同样,电缆线路的规划需要综合考量的内容更多,因其除了要满足电缆配线驾到用户端口的途径路线规划要求以外,还需要考虑杆路以及分线设备等规划内容的合理性与安全性,避免造成影响电缆线路合理规划的安全隐患。
2.通信线路设计
在确定通信线路整体规划方案后,必须通过科学合理的设计,以确保通信网络平台中各条线路运行的正常与稳定。在通信线路设计过程中,必须特别关注如下几个方面的问题:(1)在通信路方案设计阶段中,必须对同一路由上的光缆容量加以限制,以免出现多条散置小锌数光缆的问题;(2)通信系统光缆线路必须确保性能安全与可靠,并面向通信系统业务最终端口进行延伸;(3)在对通信系统光缆线路网络路由以及容量进行选择与设计的过程中,必须确保网络路由及其容量符合通信系统业务规定标准,设计前期即需要确定通信系统网络建设规模。在通信系统经过一段时间的试运行后,应确保通信系统线路科学合理后方可进一步对通信线路各个模块的稳定性进行考量;(4)在通信系统线路设计中,设计方案必须与通信系统发展相互结合,在网络发展规划基础之上确定最终的技术与建设方案,并合理选择配套通信系统设施以及通信光缆线路,考虑通信系统长远发展的功能要求;(5)在通信系统线路设计过程中,相关电信设备必须具备信息产业部电信设备的许可证以及其他证明文件,严禁尚未取得许可证的电信设备投入通信系统运行过程中;(6)通信系统线路应当尽量选择地上、地下障碍物较少的街道进行埋设。同时,管道应尽量建设于人行道下,若客观条件无法满足这一要求,则应尽可能地避免在快行车道下埋设通信管道。除此以外,针对高等级公路、铁路沿线所涉及到的通信系统建设项目,管道埋设过程中垂直过应采用拉管或顶管的敷设方式,在沿道路建设的情形下可优先选择将通信线路管道埋设于路肩或中央分隔带下方。
结语
综上所述,在通信管理工作的开展过程中,规划设计以及项目建设必须以确保通信线路规划可行与合理为基础。相关工作人员应当重视对通信系统以及通信线路的规划设计工作,加强各个环节的配合,强化对通信系统的管理,实现各个通信模块的有效连接,以确保通信系统整体安全且可靠地运行。本文上述分析中围绕通信管理的基本内容进行分析,并重点探讨了通信线路规划与设计方面的措施、途径,望能够促进通信管理水平的进一步提升,并促进通信线路发展的健全与完善。
参考文献
[1]杨晓东,张有兵,赵波,等.考虑规划需求的EV充电桩集群管理系统通信方式综合评价[J].电力系统自动化,2015,39(24):63-71.
[2]陈如波,傅晓东.智慧城市建设要求下的通信基础设施规划标准修订[J].规划师,2013,29(6):62-65.
[3]孙兆伟,刘雪奎,吴限德,等.用于通信保障航天器的遗传蚁群融合路径规划[J].光学精密工程,2013,21(12):3308-3316.
【关键词】 电力通信网络 故障 问题 处理措施
引言:
电力事业的发展关乎社会经济、民生工程等的建设,是一项利国利民的大事。但电力通信网络运行故障的发生,在很大程度上影响了其重要作用的发挥。特别是由于故障所引发的安全事故,极易造成重大的经济损失。因此,如何在社会经济快速发展、网络现代化发展的大背景之下,强化电力通信网络的故障解决,构建完善的管理系统、故障导航系统,进而从管理及处理能力上,满足电力通信网络的安全建设需求,确保通信网络安全、稳定的运行。
一、电力通信网络故障分析
电力通信网络故障的发生,在很大程度上影响力电力通信网络的安全性、稳定性,进而导致安全事故的发生。就实际而言,电力通信网络故障主要在于网络结构设计及管理不到位、输出质量的影响因子多样化;网络运行的稳定性欠缺,这些故障问题的发生,需要及时进行有效解决,进而确保网络运行的安全及稳定。
1.1通信网络结构管理不到位,结构复杂导致故障频发
随着电力通信网络的现代化推进,网络结构逐步得到优化与调整,在很大程度上契合了发展的现实需求。但从实际而言,我国电力通信网络在结构上,仍存在结构复杂、冗余,且管理不到位,以至于电力通信网络故障频发。一方面,管理模式以“三级”管为主,强调“一级+二级+三级”的管理机制,管理的冗余性问题比较突出;另一方面,在线路规划设计中,缺乏全方位的考虑,以至于结构过于繁杂,故障问题频发。因此,如何优化电力通信网络结构,切实有效地提高管理水平,是当前降低电力通信网络故障的工作重点。
1.2网络输出质量不高,运行安全性问题突出
在电力通信网络的构建中,网络输出质量的有力保障,是确保通信安全的基础。但电力通信网络输出质量不高问题,日益成为故障形成的重要因子。首先,线路故障。由于通信网络线路为“单股”铜线,网络在运行的过程之中,极易发生线路断裂问题,进而影响网络输出的流畅性、稳定性;其次,在网络屏蔽方面,由于屏蔽层存在质量问题,以至于线路在运行手共模干扰较大,出现线路输出故障;再次,网络所用线路过细,难以承受电力网络通信的传输要求;最后,线路可挂设备出现数量上的减少,进而导致网络运行的质量下降,安全隐患增多。
1.3电网络运行缺乏稳定性,网络资源共享能力不足
运行的稳定性是电力通信网络正常运行的重要基础,也强调网络资源共享能力的有效构建。但从目前而言,电力通信网络的稳定性有待提高,特别是在网络资源共享领域,由于共享能力不足,以至于网络结构自身存在稳定性问题,一旦出现一个站点故障,就极易造成网络通信中的瘫痪,甚至是出现瘫痪。因此,要在电力通信网络运行管理中,应切实提高运行的稳定性,并逐步提高网络资源的共享能力,能够最大程度地满足电力通信网络的建设需求。
二、电力通信网络故障的处理措施
在保障电力通信网络稳定、安全运行的过程中,如何及时有效地处理故障,消除故障隐患点,这是通信网络维护管理的重点。
在笔者看来,电力通信网络故障的处理,关键在于创建完善管理系统、故障导航系统,从安全管理入手,切实提高电力通信网络管理水平,为通信网络运行创造良好的内外环境。
2.1构建网络管理系统,提高电力通信网络管理水平
为更好地满足电力通信网络的现代化发展,应着力于网络管理系统的构建,逐步强化管理水平,进而创设良好的网络运行环境。
首先,在电力通信网络的规划过程中,应以实际情况为依据,从规划标准,到规划设计,都要紧扣地区实际需求,确保网络运行的安全性;其次,构建网络管理系统,实现管理技术、水平的进一步提升。特别是基于管理系统,实现对网络运行情况的综合评价,进而为系统运行管理提供科学依据。
如,通过网络通信管理系统,对网络运行的状态进行分析、评价,进而以此作为依据,进行电力通信网络维护管理;再次,建立健全管理制度,从科学管理出发,对故障问题及时发现、处理,并有效总结、归纳,所形成的经验数据及操作,用于日常网络通信故障的维护及管理之中。
2.2构建故障导航系统,提高故障问题处理能力
在通信网络现代化发展的当前,为实现故障问题的准确排查及处理,应着力于故障导航系统的建立,通过现代信息手段,提高对故障的分析及处理等能力。一方面,依托现代导向技术,并基于大数据,构建庞大的故障信息库,用于故障问题的处理;另一方面,故障导航系统优化了传统故障处理方式,通过准确的系统导航,提高了故障排查及处理效率,有效降低故障所带来的损失。因此,紧扣信息发展步伐,强化其他科学技术的应用,从技术入手,提高故障处理能力。
2.3切实强化安全管理,优化网络规划设计
安全管理是降低故障发生的重要方面,要求做好对电力通信设备的日常维护及管理,特别是对桥架电焊管路等的安全管理,直接关系到网络运行的稳定性。通过建立管理制度,细化管理职责,提高维护管理工作的有效性。与此同时,要对电力通信网络的规划设计进行优化,基于现实需求,从技术到结构,再到管理,都应形成科学化的管理形态,从电力通信网络的安全建设出发,确保网络运行稳定的基础之上,提高网络规划设计的科学化水平。
三、结束语
总而言之,在全面深化电力通信网络建设的过程中,网络安全、稳定的切实保障,直接关系到电力事业的健康发展。电力通信网络运行中的管理、技术及操作等方面的故障,造成运行质量不高、运行安全隐患点增加,强调网络通信网络安全构建的重要性与必要性。在笔者看来,电力通信网络故障的解决,安全体系的形成,关键在于紧扣通信网络现代化发展步伐,通过故障导航系统、管理系统的建立,切实提高电力通信网络的管理水平。与此同时,强化并落实好安全管理,提高规划设计的科学性、有效性,确保电力通信网络的安全、稳定。
参 考 文 献
[1]马小军.电力通信网络故障的分析及处理[J].企业导报,2013(19)
[2]阴红.电力通信网络故障问题分析及对策[J].中国科技纵横,2013(08)
建设和接入管理规范等几方面内容进行简要的概括和规划,对各级单位的规范、有序、安全接入广域网,促进行业信息化资源整合和信息共享的快速发展,具有一
定的指导作用和重要的现实意义。
关键词:广域网;接入;SDH;VLSM;安全
中图分类号:TN915.6 文献标识码:A 文章编号:1671—7597(2012)0120057-02
0 引言
广域网建成初期,各接入单位基本都是单机接入广域网,访问广域网
内共享资源的计算机数量有所限制,为使全系统的所有计算机都能便捷地
访问广域网内共享资源,需把各接入单位的局域网都接入到广域网,但由
于历史原因,各单位的网络建设情况各不相同,安全和规范程度参差不
齐。因此,在接入前进行设计并提出接入要求已成为广域网接入工作的迫
切需要。
广域网接入要求可以从接入技术规范和接入管理规范两方面去定制。
接入技术规范主要对网络接入过程中可能涉及到的网络架构、主要网络设
备等作出规划,提出规范性要求。接入管理规范主要从管理的角度出发,
在规章制度、管理规范方面对网络接入过程中可能涉及到的某些问题作出
原则性要求。
1 接入技术规范
1.1 接入架构要求
良好的网络架构设计是使网络具备可扩展能力的关键。网络架构的建
立要考虑环境、设备配置、远程联网方式、通信量的大小、网络应用与业
务定位等多种因素。合理的网络架构应该有结构化的设计,并遵循分层模
型。分层模型的实现核心是将网络架构设计中的复杂问题分解为较小的、
易于管理的问题。分层体系中的每一层解决不同的问题,有助于实现模块
化,容易添加、替换和取消网络中的独立部件,具有很高的可扩展性
。
1.2 接入设备技术要求
构建广域网由于受各种条件的限制,必须借助公共传输网络,用户只
需了解公共传输网络提供的接口以及如何实现与公共传输网络之间的连接
即可。
1.2.1 接入技术分析及选择
ISP提供了多种同步和异步广域网连接服务,常用的有以下3类:
1)ATM
ATM是建立在电路交换和分组交换的基础上的一种面向连接的快速分
组交换技术,它采用定长分组作为传输和交换的单位。本身具有良好
的流量控制均衡能力以及故障恢复能力,但对IP路由的支持一般,在复制
多路广播方面缺乏高效率,管理复杂。
2)SDH
SDH对IP路由的支持能力强,具有很高的IP传输效率;符合
Internet业务的特点,有利于实施多路广播方式;能利用SDH技术本身的
环路,故可利用自愈合能力达到链路纠错,同时又利用OSPF协议防止设各
和键路故障造成的网络停顿,提高网络的稳定性;省略了不必要的ATM
层,简化了网络结构,降低了运行费用。但其仅对IP业务提供好的支持,
不适于多业务平台;不能像IP over ATM技术那样提供较好的服务质量保
障。
3)WDM
WDM是一个真正的链路层数据网,它充分利用光纤的带宽资源,极大
地提高了带宽和相对的传输速率。但目前,对于波长标准化还没有实现;
WDM系统的网络管理应与其传输的信号的网管分离。但在光域上加上开销
和光信号的处理础还不完善,从而导致WDM系统的网络管理还不成熟。
综合比较,广域网可选国家公用通信网的SDH技术来组建广域网络的
骨干链路。SDH网络的引入和使用,为信息高速公路提供了一个高智能
的、高效的、操作运行廉价的实施方案。
1.2.2 接入设备要求
接入设备主要涉及路由器和交换机,现分别予以介绍并做出要求:
1)路由器
路由器是一种多端口的网络设备,它能够连接多个不同的网段和网
络,并能将不同网段或网络之间的数据信息进行传输。路由器应当被
放置于最频繁访问广域网的位置,尽量直接连接在核心交换机上。在组网
结构比较简单的网络中,通过认真设置和使用静态路由不仅可以改进网络
的性能,还能为重要应用保证带宽。路由器担当着保护内部网络和数据安
全的重要责任,在具体的实施过程中可以借助地址转换和访问列表来实
现。
2)交换机
作为网络传输枢纽的交换机,在网络接入规范中的重要地位也是无可
取代的。无论是控制广播风暴的产生、拒绝用户之间非授权访问、限制用
户的网络服务与应用、禁止未授权计算机接入网络,还是拒绝非法用户访
问网络,都离不开对交换机的深入配置。交换机应具有以下五项功能:风
暴控制、保护端口、端口安全、创建VLAN、IEEE 802.1X认证协议。
1.2.3 接入地址规划
合理的IP地址规划与分配,在整个网络的维护和扩展过程中占据了举
足轻重的地位,其结果将直接影响到后期的维护管理、扩容升级及系统运
作的效率。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地
利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协
议的要求,以便于网络中的路由汇聚,减少路由器中路由表的长度,减少
对路由器CPU、内存的消耗,加快路由变化的收敛速度,同时还要考虑到
网络地址的可管理性。
1.2.4 接入安全要求
根据广域网络的整体运行情况,本着因地制宜、实事求是的原则,对
广域网网络接入安全要求分别说明:中心网络接入安全要求和接入单位网
络接入安全要求。
1)中心网络接入安全要求
中心网络接入的安全建设应分为以下三个阶段来逐步完善:网络安全
体系的建立、网络安全体系的提升和网络安全体系的完善。
①网络安全体系的建立
建立广域网主节点的信息安全基础体系,形成一个从无到有的基本防
护框架,确保各二级单位在接入广域网后主节点业务系统的稳定性和安全
性。这是中心安全建设第一阶段的主要目标。在这一阶段中需要建立的安
全防护体系主要有:计算机防雷系统、防火墙系统、网络访问控制系统、
网络防病毒系统和安全访问域的划分。
②网络安全体系的提升
第二阶段的主要任务是在建立健全中心网络安全基本防护系统的基础
上,利用多种监控技术和防御手段,建成一个从内到外、从被动防御到主
动预防的更高层次的安全架构。这一阶段中需要建立的安全监控与防御体
系主要有:入侵防御系统和安全漏洞扫描系统。
③网络安全体系的完善
第三阶段的主要任务是从应用层方面入手,在防护体系和监控体系不
断完善的基础上,通过多种加密技术和用户认证手段,建立一个稳定、高
效、健壮的立体安全防护架构。这一阶段中需要建立的安全体系主要有:
SSL VPN移动办公系统和补丁分发管理系统。
2)接入单位网络接入安全要求
接入单位网络接入安全规划与中心的接入安全规划在进度上大体一
致,但具体到内容方面有所区别。各接入单位的网络安全建设内容主要涉
及到以下四个方面:
①安全规划,确定系统的安全框架与建设步骤,包括为系统定级
等;
②重点资源的保护及各项安全技术的应用;
③安全管理平台的建设,及时准确地把握整个系统的安全运行状
况;
④日常的运行维护,充分发挥好作为广域网二级节点的堡垒作用。
2 接入管理规范
管理规范是所有技术措施发挥功效的能动因素,是实现整个广域网网
络接入有序化的重要保证。广域网接入管理规范可以从两个方面进行规
划。一是从纯粹的管理上及管理制度上来实现,二是从技术上建立高效的
管理平台,包括网络管理和安全管理。
2.1 管理制度
为了提高整个网络系统的健壮性,除了在网络结构上合理规划,系统
设计上增加安全服务功能外,还必须花大力气加强网络系统管理制度的建
立。
2.1.1 管理制度内容
管理制度是信息系统内部依据系统必要的国家、团体的安全需求制定
的一系列内部规章制度,在广域网接入规划和建设的过程中,应切实做好
以下管理制度的建设和完善:机房与设施管理规范制度、设备管理规范制
度、操作安全管理规范制度、计算机网络安全管理规范制度、计算机病毒
防治管理规范制度、系统管理员岗位责任管理规范制度、安全管理员岗位
责任管理规范制度、网站管理员岗位责任管理规范制度、网络信息安全审
计管理规范制度、应用软件安全管理规范制度、技术文档管理规范制度、
数据安全管理规范制度、密码安全管理规范制度、计算机网络系统重大安
全事件预警及应急恢复管理规范制度以及系统备份及灾难恢复管理规范制
度。
2.1.2 管理制度实现
各单位信息系统的管理部门应根据管理制度建立原则和该系统处理数
据的实际需求,制定相应的管理制度。具体工作包括:
1)根据工作的重要程度,确定该系统的安全等级;
2)根据确定的安全等级,确定管理实施的范围;
3)对于安全等级要求较高的系统,要实行分区控制;
4)制定严格的操作规程;
5)制定完备的系统维护制度;
6)制定应急措施。
2.2 管理平台
建立管理平台的主要内容包括:定义完善的网络管理模型;贯彻规范
的网络管理措施;建立恰当的安全审计机制,并且进行经常性的规则审
核。
2.2.1 网络管理
网络管理是指对网络的运行状态进行监测和控制,并能提供有效、可
靠、安全、经济的服务。一个好的网管系统能够确定故障发生在哪
里,能够对网络管理员提出进一步优化网络的建议。网络管理系统还可以
在数据库中查询电缆和网络设备有关的资料从而确定故障的性质。
2.2.2 安全审计
安全审计主要是对网络系统中的安全设备和网络设备,应用系统和运
行状况进行全面的监测、分析、评估。广域网络中各种安全设备(防
火墙、过滤网关等)、操作系统(包括Windows和Linux)、应用服务(E—
mail、WEB、FTP、DNS)等都可产生大量的日志数据。这些日志数据翔实
地记录了系统和网络的运行事件,是安全审计的重要数据。这些日志信息
对于记录、检测、分析、识别各种安全事件和威胁有着非常重要的作用。
通过在各接入单位办公局域网内的关键节点处部署安全审计产品,可
以监视并记录网络中的各类操作,实时地分析出网络中发生的安全相关事
件。
3 结束语
随着信息化的进一步发展,将会有越来越多的单位建成其自身局域
网,也会有把其局域网接入广域网的需求,本论文可以指导各接入单位把
其局域网安全有序的接入广域网,届时将会真正建成一个覆盖全系统的广
域网络,各级部门之间能够方便、快捷的共享各种信息资源,进而推动本
系统信息化进入一个新的时期。
参考文献:
[1]易建勋著,计算机网络设计,北京:人民邮电出版社,2007.
[2]王冀鲁著,计算机网络应用技术,北京:清华大学出版社,北京交通
大学出版社,2006.
[3]郝志恒著,组网用网基础与提高,北京:电子工业出版社,2007.
[4]杨英鹏著,计算机网络原理与实践,北京:电子工业出版社,2007.
[5]Patrick Regan著,广域网,北京:清华大学出版社,2006.
[6]云红艳、杜祥军、赵志刚著,计算机网络管理,北京:人民邮电出版
社,2008.
[7]杨远红、刘飞著,通信网络安全技术,北京:机械工业出版社,2006.
作者简介:
由于历史原因,导致现时该校的网络设备型号各异。就品牌而言,目前就有几种:思科、神码、TP-LINK等。现在使用的操作系统也有不同,有一些现在使用的是WIN7,而有一些在使用XP或WIN2003或其它,这么多种型号的设备及操作系统,就要求我们的校园网一定要有极强的灵活性,能够灵活地面对各种设备及操作系统。同时因为现在移动办公的重要性越来越突出,所以我们的校园网也要求能灵活地适应各种移动办公的需要。
2实用性要强
校园网面向的用户决定了校园网必须具备很强的实用性。只有一个便于管理、维护的实用性网络,才可减少网络用户运用网络的难度,从而降低人为操作引起的网络故障,并可使更多的人发挥校园网的各种功能。根据该校的实际情况,建网时应考虑充分利用智能化校园网系统的功能,在先进性和可靠性及高性价比的前提下,通过优化设计和管理达到经济性的目标。不降低智能化校园网系统的功能与技术先进性,以满足信息时代的需要。
3校园网络管理策略
随着计算机多媒体和网络技术的不断发展与普及,,校园网的稳定安全和网络瓶颈等问题给校园网的管理增添了更大的难度。因此,必须有一套系统地分析和管理校园网的思路与对策。以下将从该校校园网的具体需求出发,针对设备、用户、管理者自身提高以及安全等四个方面谈一下相关的校园网管理策略。
3.1设备管理策略
设备安全是校园网网络运行安全的首要环节。所以,网络设备管理一定要综合统筹规划。要加强网络管理员对网络设备的管理,而网络设备是整个网络管理中的重点,以下就从设备购置、设备配置以及设备维护三个方面进行说明。首先在设备购置的时候,一定要利用目前成熟的技术和产品,并在此基础上考虑超前性,保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。为了使设备能进行灵活配置并且能降低以后的维护工作量和维护费用,尽量统一配置设备的规格和型号,这样设备之间的兼容性相对较好,以后在更换设备的时候,可以避免设备不兼容的现象发生。在设备购置时还要考虑如何避免大面积出现老化的问题,这就要求学校在采购或更换网络设备的时候一定要避免一次性购买大量同种设备。其次在设备配置过程中要求网络管理员通过配置网络设备,例如:交换机、路由器等,在校园网中实现VLAN的划分、端口监控、控制网络流量以及防止外部攻击等功能。另外,管理员在配置网络设备的过程中尽量通过命令行来进行配置而不是通过WEB界面来管理网络设备,这样能提高网络设备管理的安全性。最后在设备的维护过程中,要建立一套完善的《网络设备检测维护制度》,并要求网络管理人员严格按照《网络设备检测维护制度》定期对网络设备的硬件和软件系统进行检测和维护,在检测和维护过程员一旦发现问题,一定要及时处理,并将检测、维护及处理的相关记录通过纸质和电子存档,同时要严格保证网络设备运行的工作环境。
3.2用户管理策略
在网络管理中,要注重对用户的管理,通过用户管理可以规定用户使用校园网的方式,控制和统计用户使用校园网的过程,确保用户能正常使用校园网。目前,用户管理主要有两种技术:一是地址绑定技术,通过给每台接入校园网的计算机分配一个固定的IP地址,把这个IP地址和合法用户的计算机网卡的MAC地址绑定后,实现用户与IP地址逻辑绑定,同时通过网络交换机端口与用户信息点的物理绑定完成全法用户的地址绑定。二是用户认证技术,每个校园网用户需要申请一个帐号,同时对这些帐号进行分级分权限管理,并授予用户一定的访问与操作权限、分配不同级别的资源给不同的用户;当用户离岗、离职时应及时变更或删除用户及权限,保证网络信息系统安全。做为校园网管理,考虑到其的灵活性和方便性,建议最好采用用户认证技术,当然对一些特殊的人员和部门也可以采用地址绑定技术。
3.3安全管理策略
校园网的安全威胁既有来自校内的,也有来自校外的。目前校园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普通存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网和互联网之间放一个硬件防墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。所以对于校园网来说,如何构筑一个相对安全可靠的校园网络安全体系,也变得越来越突出了,而要构筑一个相对安全可靠的校园网络体系,要从两个方面着手:一是采用先进的技术手段;二是不断改进和完善管理方法。
3.4管理员自身提升策略
不断提升网络管理人员的能力是网络管理的根本之道,现在的网络管理对管理员也提出了新的要求,要求他们不但要设备的维护能力还要具备一定网络管理能力,这就对网络管理员的技术水平有了较高的要求。另外,由于计算机网络技术的更新日新月异,网络管理员要不断地学习先进的知识和技术才能应对越来越复杂的校园网需求。这就要求管理员在平时工作的过程中一定要加强自身专业水平的提升,不断研究新的网络技术,真正做到“活到老,学到老”。最后,学校也要定期派相关的管理人员进行有针对性的培训。
4网络管理具体实施措施
4.1安装查杀病毒服务器
校园网络安装查杀病毒服务器,其目的在于:要在整个局域网内杜绝病毒的感染、传播和发作。为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。该校目前采用的是金山毒霸网络版7.0,该软件采用了业界主流的B/S开发模式,由控管中心、服务器端和客户机端三个相互关联的子系统组成了防病毒体系,并且具有强大的病毒查杀能力、双向过滤邮件病毒、实时监测病毒、快速可定制的安装部署、可移动的Web管理平台等功能,能够有效拦截和清除泛滥的各种网络病毒。目前该杀毒软件已在该校园使用了近三年时间了,教师和学生对该软件的反映都比较好。
4.2采用VLAN技术
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。划分VLAN后,由于广播域的缩小,网络中广播包所消耗的带宽减少,有助于控制广播风暴的产生、减少设备投资、简化网络管理、提高网络的性能和安全性。该校目前的VLAN的划分大致是按功能区进行划分的,学校共划分了15个VLAN,并对每一个VLAN的流量进行了控制。该校在进行VLAN划分的时候采用的是基于端口划分的VLAN。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
4.3安装硬件防火墙
互联网攻击者威胁着校园网络中基础设施和数据资源的安全。而多数网络地址必须转换成可在互联网上路由的地址,防火墙即是执行此功能的逻辑地点。目前,防火墙安全性已成为每个互联网边缘部署的必要组成部分,因为它在保护信息的同时也可满足企业对安全可靠的网络的需求,同时还能够通过执行策略来保持员工的工作效率。目前该校校园网使用的是CiscoASA5525-X防火墙,该防火墙设计采用了单个互联网连接,在同一对提供防火墙功能的CiscoASA中集成了远程接入VPN功能。防火墙拓扑图如图2所示。
4.4安装入侵检测系统
入侵检测系统(IDS)是防火墙的合理补充,帮助系统对付网络攻击。它扩展了网络管理员的安全管理能力,提高了信息安全基础结构的完整性。目前该校网络管理中安装了“萨客嘶入侵检测系统v1.0”,该系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。它具有以下主要功能:入侵检测及防御功能、行为审计功能、流量统计功能、策略自定义功能、警报响应功能、IP碎片重组、TCP状态跟踪及流重组等。目前该软件在该校的网络安全防护中发挥着重要作用。
4.5定期进行漏洞扫描
随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。在进行漏洞扫描是要注意两个方面,一是定期安装各操作系统的补丁程序,在这一点上,该校的做法是,一旦有操作系统的补丁程序更新,首先在学校中心机房的服务器上安装,并把该补丁程序上传到学校的FTP服务器上;然后再通过该校的OA软件,告知教师和各实训室的管理人员安装最新补丁程序。另一方面,在学校中心机房的服务器上安装漏洞扫描程序,要求网络管理员每天都要运行漏洞扫描程序。该校现在使用的漏洞扫描程序是ShadowSecurityScannerv7.347。
4.6服务器数据备份
大家都知道,网络中心的数据备份是非常必要和重要的,因为通过数据备份可以保障网络中心数据的安全,防止网络中心数据的丢失。在该校的校园络管理中数据备份主要从以下两个方面来进行:一是通过制定数据备份规则和程序,在该校园网络管理中,为数据备份制定了一套详细的备份规则和程序,具体包括了:什么时间进行备份(每隔一个星期)、什么内容需要备份(全部数据备份)、谁负责进行备份(网络管理员)、谁可以访问备份内容(网络管理员以及相应有权限的人员)等等。二是通过一些技术手段,现在常用的技术手段有磁盘阵列(RAID)、硬盘保护卡以及一些数据备份软件(Ghost)。现在中心机房主要是采用的是磁盘阵列来实现数据备份,教师机主要是通过Ghost软件来实现数据备份,而各实训机房的计算机是通过硬盘保护卡+Ghost软件来实现数据备份。正是因为严格遵循数据备份的规则和程序,再加上灵活地利用各种先进的数据备份的技术,该校网络中心从未出现过丢失数据的现象。
4.7用户管理方法
为加强校园网管理,完善校园网运行和使用规范,确保校园网安全和稳定运行,为学校的教学、科研、管理、服务营造良好的校园网应用环境,维护校园网用户的合法权益,并结合国家有关法律法规和学校相关规定,该校采用了以下用户管理方法,主要是从用户账号分类和上网认证方式两方面进行管理的。
4.8加强网络安全管理学习
根据《基本要求》的规定,二级要求的系统防护能力为:信息系统具有抵御一般攻击的能力,能防范常见计算机病毒和恶意代码危害的能力,系统遭受破坏后,具有恢复系统主要功能的能力。数据恢复的能力要求为:系统具有一定的数据备份功能和设备冗余,在遭受破坏后能够在有限的时间内恢复部分功能。按照二级的要求,一般情况下分为技术层面和管理层面的两个层面对信息系统安全进行全面衡量,技术层面主要针对机房的物理条件、安全审计、入侵防范、边界、主机安全审计、主机资源控制、应用资源控制、应用安全审计、通信完整性和数据保密性等多个控制点进行测评,而管理层面主要针对管理制度评审修订、安全管理机构的审核和检查、人员安全管理、系统运维管理、应急预案等方面进行综合评测。其中技术类安全要求按照其保护的侧重点不同分为业务信息安全类(S类)、系统服务安全类(A类)、通用安全防护类(G类)三类。水利信息系统通常以S和G类防护为主,既关注保护业务信息的安全性,又关注保护系统的连续可用性。
2水利科研院所信息安全现状分析
水利科研院所信息系统结构相对简单,在管理制度上基本建立了机房管控制度、人员安全管理制度等,技术上也都基本达到了一级防护的要求。下面以某水利科研单位为例分析。某水利科研单位主机房选址为大楼低层(3层以下),且不临街。机房大门为门禁电磁防盗门,机房内安装多部监控探头。机房内部划分为多个独立功能区,每个功能区均安装门禁隔离。机房铺设防静电地板,且已与大楼防雷接地连接。机房内按照面积匹配自动气体消防,能够对火灾发生进行自动报警,人工干预灭火。机房内已安装温度湿度监控探头,对机房内温湿度自动监控并具有报警功能,机房配备较大功率UPS电源,能够保障关键业务系统在断电后2小时正常工作。机房采用通信线路上走线,动力电路下走线方式。以上物理条件均满足二级要求。网络拓扑结构分为外联区、对外服务区、业务处理区和接入区4大板块,对外服务区部署有VPN网关,外部人员可通过VPN网关进入加密SSL通道访问业务处理区,接入区用户通过认证网关访问互联网。整个网络系统未部署入侵检测(IDS)系统、非法外联检测系统、网络安全审计系统以及流量控制系统。由上述拓扑结构可以看出,现有的安全防护手段可基本保障信息网络系统的安全,但按照二级要求,系统内缺少IDS系统、网络安全审计系统和非法外联检测系统,且没有独立的数据备份区域,给整个信息网安全带来一定的隐患。新的网络系统在外联区边界防火墙下接入了入侵检测系统(IDS),新规划了独立的数据备份区域,在核心交换机上部署了网络审计系统,并在接入区安装了非法外联检测系统。形成了较为完整的信息网络安全防护体系。
3信息系统安全等级测评的内容
3.1信息系统等级保护的总体规划
信息系统从规划到建立是一个复杂漫长的过程,需要做好规划。一般情况下,信息系统的安全规划分为计算机系统、边界区域、通信系统的安全设计。相应的技术测评工作也主要围绕这3个模块展开。
3.2测评的要素
信息系统是个复杂工程,设备的简单堆叠并不能有效保障系统的绝对安全,新建系统应严格按照等保规划设计,已建系统要对信息系统进行安全测试,对于测评不合格项对照整改。信息系统安全测试范围很广,主要在网络安全、主机安全、应用安全、数据安全、物理安全、管理安全六大方面展开测评。本文仅对测评内容要素进行描述,对具体测试方法及工具不作描述。
3.2.1网络安全的测评
水利科研院所网络安全的测评主要参照公安部编制《信息安全等级测评》条件对网络全局、路由和交换设备、防火墙、入侵检测系统展开测评。但应结合科研院所实际有所侧重。水利科研院所信息系统数据传输量大,网络带宽占用比例相对较高,因此,在网络全局中主要测试网络设备是否具备足够的数据处理能力,网络设备资源占用情况,确保网络设备的业务处理能力冗余性。科研院所地理位置相对分散,因此,需要合理的VLAN划分,确保局部网络攻击不会引发全局瘫痪。科研院所拥有大量的研究生,这类人群对于制度的约束相对较差,网络应用多伴有P2P应用,对出口带宽影响极大,因此除了用经济杠杆的手段外,在技术上要求防火墙配置带宽控制策略。同时对“非法接入和外联”行为进行检查。网络中应配置IDS对端口扫描,对木马、后门攻击、网络蠕虫等常见攻击行为监视等等。
3.2.2主机安全测评
主机安全的测评主要对操作系统、数据库系统展开测评。通常水利科研院所服务器种类繁多,从最多见的机架式服务器到曙光一类的大型并行服务器均有部署,同时操作系统有window系列、Linux、Unix、Solaris等多种操作系统,数据库以主流SQLSERVER、ORACLE为主,早期开发的系统还有Sybase,DB2等数据库。对于window操作系统是容易被攻击的重点,因为二级等保为审计级保护所以重点在于身份鉴别、访问控制、安全审计、入侵防范、恶意代码4个方面进行测评,主要审计重要用户行为、系统资源的异常使用和重要信息的命令使用等系统内重要的安全相关事件。对于LINUX等其他系统和数据库,主要审计操作系统和数据库系统的身份标识唯一性,口令应复杂程度以及限制条件等。
3.2.3应用安全测评
水利科研院所内部业务种类繁多,如OA系统,科研管理系统,内部财务系统、网站服务器群,邮件服务器等,测评的重点主要是对这些业务系统逐个测评身份验证,日志记录,访问控制、安全审计等功能。
3.2.4数据安全的测评
数据安全的测评主要就数据的完整性、保密性已及备份和恢复可靠性、时效性展开测评。水利科研院所数据量十分庞大,一般达到上百TB级数据量,一旦遭受攻击,恢复任务十分艰巨,因此备份区和应用区应该选用光纤直连的方式,避免电缆数据传输效率的瓶颈。日常情况下应做好备份计划,采用增量备份的方式实时对数据备份。
3.2.5物理安全测评
机房的物理安全测评主要是选址是否合理,机房大门防火防盗性能,机房的防雷击、防火、防水防潮防静电设施是否完好达标,温湿度控制、电力供应以及电磁防护是否符合规定等物理条件。
3.2.6安全管理测评
安全管理主要就制定的制度文档和记录文档展开评测。制度文档主要分为3类,流程管理,人员管理和设备管理。记录文档主要为制度文档的具体实施形式。在满足二级的条件下,一般需要制度文档有《信息安全管理办法》、《安全组织及职责管理规定》、《安全审核与检查管理制度》、《授权和审批管理规定》、《信息安全制度管理规范》、《内部人员安全管理规定》、《外部人员安全管理规定》、《系统设计和采购安全管理规定》、《系统实施安全管理规定》、《系统测试验收和交付安全管理规定》、《软件开发安全管理规定》、《系统运维和监控安全管理规定》、《网络安全管理规定》、《系统安全管理规定》、《账号密码管理规定》等基本规章制度。同时对管理制度本身进行也要规范管理,如版本控制,评审修订流程等。需要制定的记录文档有《机房出入登记记录》、《机房基础设施维护记录》、《各类评审和修订记录》、《人员考核、审查、培训记录》、《各项审批和批准执行记录》、《产品的测试选型测试结果记录》、《系统验收测试记录报告》、《介质归档查询等的等级记录》、《主机系统,网络,安全设备等的操作日志和维护记录》、《机房日常巡检记录》、《安全时间处理过程记录》、《应急预案培训,演练,审查记录》等。
4测评的方式方法
按照《基本要求》在等级测评中,对二级及二级以上的信息系统应进行工具测试。
4.1测试目的工具测试
是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,查看分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试种类繁多,这里特指适用于等保测评过程中的工具测试。利用工具测试不仅可以直接获得系统本身存在的漏洞,同时也可以通过不同的区域接入测试工具所得到的测试结果判断出不同区域之间的访问控制情况。利用工具测试并结合其他的核查手段能为测试结果提供客观准确的保障。
4.2测试流程
收集信息→规划接入点→编制《工具测试作业指导书》→现场测试→结果整理。收集信息主要是对网络设备、安全设备、主机设备型号、IP地址、操作系统以及网络拓扑结构等信息进行收集。规划接入点是保证不影响整个信息系统网络正常运行的前提下严格按照方案选定范围进行测试。接入点的规划随着网络结构,访问控制,主机位置等情况的不同而不同,但应该遵循以下规则。(1)由低级别系统向高级别系统探测。(2)同一系统同等重要程度功能区域之间要互相探测。(3)由外联接口向系统内部探测。(4)跨网络隔离设备(包括网络设备和安全设备)要分段探测。
4.3测试手段
利用漏洞扫描器、渗透测试工具集、协议分析仪、网络拓扑结构生成工具更能迅速可靠地找到系统的薄弱环节,为整改方案的编制提供依据。
5云计算与等级保护
近年来,随着水利科研院各自的云计算中心相继建立,云计算与以往的计算模式安全风险差异很大,面临的风险也更大,因为以往的系统多数为集中式管理范围较小,安全管理和设备资源是可控的,而云计算是分布式管理,是一个动态变化的计算环境,这种环境在某种意义上是无序的,这种虚拟动态的运行环境更不可控,传统的安全边界消失。同时,云计算在认证、授权、访问控制和数据保密这些方面这对于信息网络安全也提出了更高的要求。由云安全联盟和惠普公司列出了云计算面临的7宗罪(风险),说明云安全的状况变化非常快,现有的技术和管理体系并不完全适应于云计算的模式,如何结合自身特点制定出适合云计算的等级保护体系架构是今后研究的方向。
6结语
关键词:计算机系统结构IRP;信息优势;主动预防
中图分类号:TP309
企业要生存、发展,就必须面向市场,适应市场、开拓市场,竭力捕捉市场信息。信息对于市场经济条件下的企业来说,具有生死攸关的巨大价值。没有对大量准确、及时、系统的市场信息资料的掌握,既不能弄清企业外部条件变化对企业生产经营的影响,也无法了解企业内部各环节、各部门、各经营要素的状况、联系和变化。而在同行业之间的信息互通,也是至关重要的,将所有资源充分整合,才能形成综合优势。
中国加入WTO后,国际竞争国内化的趋势将更加明显。企业只有尽快实施信息化战略与国际接轨,才能融入到经济全球化的大潮中去。这里特别要指出企业如何规划有关信息。信息资源规划(Information Resource Planning,简称IRP)是指对企业生产经营所需要的信息,从采集、处理、传输到使用的全面规划。在企业的生产经营活动中,无时无刻不充满着信息的产生、流动及使用。美国信息资源管理学家霍顿(F.W.Horton)和马钱德(D.A.Marchand)等人指出:信息资源(Information Resources)与人、财、物资源一样,都是企业的重要资源。目前,许多企业都已经认识到信息资源规划的重要性,认识到它是企业信息化建设的基础工程。只有做好信息资源规划工作,才能理清并规范企业的真正需求,贯彻信息化建设的“应用主导”方针;才能消除因缺乏信息资源管理基础标准而产生的“信息孤岛”,从而整合信息资源,实现应用系统集成;才能指导SCM、ERP、CRM等应用软件的选型并保证成功实施;才能应用规划的结果来保护我们所珍视的信息。应该说信息资源规划是我们要提供安全策略的前提。[1]
图1是信息安全技术发展的四个阶段,当我们整合了相关信息资源,历经信息安全技术的各个阶段,所缺少的元素便是对于人的信息化水平的要求。
可见,单从信息流向来看,其中的人为干预是必不可少的。因此,保障信息安全更要以人为本,注重网络管理,加强制度化,形成标准的操作规范及流程。针对企业信息化安全问题,内容应当包括:网络集成应用系统(包括信息源、信息传输网络的安全)、企业人员信息技术安全(如信息决策者、使用者)、网络管理人员信息化安全(涵盖了网络管理、权限分配等安全管理内容)。企业信息化安全的解决应在立足于人员管理的基础上,致力于整个企业网络的管理,并以此为目标规划与建设安全、实用、高效的信息环境,为企业信息化带动企业管理现代化保驾护航,推动企业的高速度、可持续发展。
1 网络集成应用系统安全
本人所在单位的网络集成应用系统是一个复杂体系,不可能精确地估计防御对象的规模与价值,无法简单地对其加以标定界限,只有将网络管理安全保障工作分解,落实到人,采取主动防御方式、方法才是上策。众说周知,网络安全信息防御是一个以保证信息整体安全的可预见性、灵敏性、可靠性和连续性为目标的工作,在面对网络信息空间遭受可能的灾难时,我们站在网络管理者的角度应可以提供可靠的安全保障,同时作为各个信息安全的参与者能够主动进行预见性的操作。
因此,现代信息技术发展所提出的信息安全问题,比传统信息安全问题更加错综复杂,涉及因素和领域也更加广泛。计算机系统结构安全的信息防御,注重的是以信息参与者的人作为主角的主动型安全防御。[2]
2 企业人员信息技术安全
企业信息化离不开人的参与,同样企业信息化所带来的安全问题也离不开人的关注。“企业注重人才,人才注重管理。”当我们把员工培养成适应企业快速发展、掌握信息技术的人才后,更需要加强信息安全管理,提高计算机应用水平。因为“信息”是企业的重要财富,这一点是勿庸置疑的。信息系统的非安全因素有可能来自外部(以病毒、黑客攻击的方式),或来自单位内部(来自同事、受信任的客户等等所有接触系统的人),工作人员出于好奇心可能会造成更大的威胁。[3]
上面的管理办法便是从技术角度加强了人员的权限设置,其实最主要的人员信息化安全管理,还是对于配套制度的执行。目前,有关企业信息化标准的争论有很多,这种标准会随着技术手段和管理要求的不断发展而变化。面对变化,企业出台针对本企业安全级别的管理办法,结合自身需求进行安全管理才是“以人为本”的上策。
3 网络管理人员信息技术安全
信息技术安全是企业信息化安全管理的重中之重,这就给网管人员提出了更高的更全面的要求。在实际的网络管理过程中,网络管理应具有的功能非常广泛,包括了很多方面。本人认为,针对我们所面临的企业信息技术安全,网络管理应包括四大功能:配置管理、性能管理、故障管理、安全管理。这四大功能是网络管理的基本功能。事实上,网络管理还应该包括其他一些功能,比如网络规划、网络操作规范等。其中:
配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。监测网络被管对象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配置的一致性进行严格的检验。
故障管理;过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的故障发现、告警与处理机制。
性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进一步规划与调整提供依据。
安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。控制对网络资源的访问。
举例来说,本人所在单位为尽量减小安全上的漏洞,我们配置管理采用了 VLAN方式,即各个部门划分为不同的虚拟网段,没有权限的用户无法访问其他网段。
VLAN(虚拟局域网)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们可能分处于局域网的不同区域。VLAN更多的是通过软件而非硬件来实现,因此这使得它具有很高的灵活性。VLAN的一个主要特性就是提供了更多的管理控制,减少了相对日常管理开销,提供了更大的配置灵活性。VLAN的这些特性包括:①当用户从一个地点移动到另一个地点时,简化了配置操作和过程修改;②当网络阻塞时,可以重新调节流量分布;③提供流量与广播行为的详细报告,同时统计VLAN逻辑区域的规模与组成;④提供根据实际情况在VLAN中增加和减少用户的灵活性。
还有就是:我们的网络管理可以通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检擒来发现存在的安全隐患,以防患于未然。当然,我们这些操作手段可以借助于相应的网络管理软件,以提供给我们相关的技术保障。但在实际操作中,我也发现,单用一种软件是无法实现的。比如IDS、基于SNMP技术的网络拓扑、资产管理等等,这些技术需要我们一步步加强。还有像加强域的管理,充分利用现有软件的功能,都是提高我们网络管理的方式、方法,而这些工作地展开都要基于网管人员的素质和计算机应用水平。
综上所述,不论是从网络集成应用系统框架,还是人员信息化以及网络管理者自身来看,企业信息化安全重在网络管理,而网络管理的核心是人,是整个信息化安全的参与者,只有“硬制度、软管理”相互依托,主动预防、预见网络不安全因素,让所有参与者都意识到网络安全管理对于企业信息安全的重要性,才是我们网络管理的最终目的和有效保障。
参考文献:
[1]Steve Riley, Likes fearing occurs simultaneously the manager, Windows IT Pro Magazine, Microsoft Corp,2006(02):30-32.
[2]Microsoft Corp,Microsoft Security Anthology,Microsoft Corp,2003(03):1-20.
[3]侯炳辉,郝宏志.企业信息管理师[M].北京:机械工业出版社,2005(02):76-89.
对多用户管理缺乏层次
某市某供电局,有员工200人左右和12个业务或支撑部门。为了满足公司未来发展和日常运营管理的安全需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网,用于完成企业数据通信和资源共享。
公司已有一个局域网,运行200台计算机,服务器操作系统是Windows Server 2003,客户端的操作系统是Windows XP,工作在工作组模式下,员工一人一机办公。公司从ISP申请100M专线,采用方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用Windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
按单域规划办公网络
要组建Windows办公网络,首先要规划IP地址,然后再根据域环境决定是采用单域还是多域结构,最后考虑账户、文件和打印服务等内容。
规划IP地址 本项目中IP地址采用192 . 168 . 0 . 0/24网段。 计算机默认网关为 192 . 168 . 0 . 1~192 . 168 . 0 . 10之间的IP,客户机占用192 . 168 . 0 . 11以上的IP。
规划域 根据网络规模、集中管理与结构简单原则,公司决定采用单域结构,域名为angerfire . cn。与多域结构相比,它能实现网络资源集中管理并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位(OU),分别是运行科、保护科、变配电科、巡检科、人力资源科、招标办公室、对标办公室、财务办公室、工程部、抢险办公室、工会和局长办公室(见表1),用于存储和管理各部门的用户资源。整个域结构与公司管理结构相匹配,可以实现网络资源的层次管理。域控制器作为整个域的核心服务器,完成对公司所有员工的账户管理和安全策略的实施。
规划用户账户和组 在各部门的OU中分别为该部门员工创建唯一的域用户账户,并要求域用户账户在首次登录时更改密码。密码最小长度为8位,并且符合复杂性要求。为每个部门创建全局组,并将同部门的员工账户分别加入各部门的全局组。
规划文件服务器 通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10GB(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个名为software的文件夹中存放公共文件,如常用软件、规章制度等。另一个名为share的文件夹存放部门和员工的工作文档。
在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹,并为每个用户配置共享权限和NTFS权限,保障文件只被授权的用户访问(见表2)。权限的配置应遵循AGDLP规则,避免直接为用户授权,除非该文件夹只有一个员工访问。
在文件服务器上,普通员工最大使用空间为100MB,部门经理的最大使用空间为1000MB,总经理的最大使用空间不受限制。在文件上传类型方面,只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。对重要的文件夹要制定备份策略,可以采用常规备份加差异备份的策略,按任务计划自动执行。
规划打印系统 根据公司需求,需要采购4台打印设备(HP Laserjet 1020)。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2和printsrv3供招标办公室、工程部和工会使用,printsrv4供对标办公室、抢险办公室和人力资源科使用。局长、科长和普通员工的优先级分别规划为90、50和1。同时还要规划逻辑打印机权限。
规划上网方式公司租用一条100M专线上网。采用服务器软件使局域网接入Internet。防火墙/服务器软件使用微软应用级防火墙ISA2006。服务器的专用连接IP为192 . 168 . 0 . 1,公共连接与100MB专线连通,IP地址从ISP那里动态获得,启用的协议是HTTP,使用域策略完成客户端的统一配置,实现共享上网,启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。
启示:遵从法则更重要
目前信息化项目层出不穷,内部网络的安全规划是重中之重。我们通常习惯性地认为安全就要靠防火墙和杀毒软件。殊不知,这些都是解决表面问题的手段。
购物车(0)