[关键词]企业电子商务;网络安全体系;防火墙
[DOI]10.13939/ki.zgsc.2015.41.073
1 概 述
随着IT技术的飞速发展,企业对网络越来越依赖,企业的运营方式、组织形式、商品交易的支付手段等正快速走向数字化。当企业的商业化应用与互联网结合就形成了如今的电子商务形式。由于企业进行商品交易的活动是在互联网上运行的,其业务的平台或基础是建立在互联网上的网站,商业活动产生的数据需要通过互联网进行传输,企业电子商务网站为客户提供的商务服务、企业形象展示、品牌推介、产品交易、数据库内容及客户账号信息等数据均需要在相应网站上进行存储,网站运行在完全开放的网络上必然会出现安全问题,如病毒入侵、黑客攻击等,因此网络安全问题也成了企业商务活动十分关注的问题。
2 企业电子商务网站网络安全风险
2.1 黑客攻击
目前黑客对企业电子商务网站的攻击方式主要有拒绝服务攻击、网站后门攻击、恶意脚本攻击、跨站脚本攻击、网页篡改、信息炸弹、密码破解等。这些攻击的主要目的是获取网站服务器的控制权,窃取系统中的数据和密码,窃取用户资金,破坏企业电子商务网站系统。
2.2 病毒入侵
目前全球已知病毒已近2亿种,新病毒或病毒变体每天都在发现,病毒造成的危害越来越大,病毒入侵造成的破坏已成为企业电子商务活动的重大威胁,目前主要的病毒危害有“木马病毒”、“网页病毒”、“蠕虫病毒”等。
2.3 系统或软件漏洞
当系统或软件存在逻辑设计上的错误或设计者对安全的忽略时,系统或软件就会存在安全漏洞。在企业电子商务网站上系统或软件漏洞因各种原因是可能存在的,这对企业电子商务活动将造成非常大的危害,可能被不法分子恶意攻击,他们可能轻易进入网站服务器系统,随意修改和窃取用户信息。
2.4 缺乏IT管理
企业对其电子商务网站或系统缺乏严格的管理,导致遭受攻击和破坏。
3 企业电子商务网站网络安全需求
3.1 网络互联和通信安全需求
提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段。
3.2 服务器系统安全需求
对网络和主机设备实行主动的漏洞检测和安全评估,及时发现操作系统和数据库系统中存在的安全漏洞;对关键的服务器操作系统进行安全加固,通过严格的用户认证、访问控制和审计,防止黑客利用系统安全管理功能的不足进行非法访问,同时避免内部用户的滥用。
3.3 应用系统安全需求
建立好CA认证系统,加强对关键应用系统的用户认证和管理;建立企业级网络防病毒措施,对病毒传播的所有可能的入口进行严格控制,尤其防范病毒通过互联网连接侵入内部网络。
3.4 业务系统的安全需求
访问控调、数据安全、入侵检测、来自网络内部其他系统的破坏。
3.5 安全管理需求
校园网络需要建立完善的安全管理制度,加强对工作人员的安全知识和安全操作培训。
4 企业电子商务网站网络安全体系总体结构设计
4.1 VPN网络子系统
VPN网络是在电信公司提供的城域网上实现的。企业电子商务网站网络采用独立的VLAN。为了保障各用户点不同的业务,可采用VLAN、MAC地址绑定、ACL访问控制列表来实现安全控制。采用IPSEC组建VPN虚拟专用网,IPSecVPN技术建立从网点路由器到中心路由器的VPN隧道,该VPN隧道里主要传输的是企业电子商务网站中心主业务系统的数据。VPN网络子系统实现各用户点到中心多业务数据的安全可靠传输。
4.2 安全检测子系统
在网络的WWW服务器、Email服务器等各种服务器中使用网络安全检测子系统,实时跟踪、监视网络,截获互联网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网络中心报告,采取措施。利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图,可以对访问地址和流量进行分析,对于明显的攻击便可一目了然。
4.3 防火墙子系统
防火墙是一种网络隔离控制技术,在企业电子商务网站网络上安装防火墙可将内部网络与外部网络进行隔离,同时对传输信息进行过滤。防火墙可按照网络管理者设定的过滤规则允许或限制内外网之间、计算机与网络之间的数据传输,只有经授权的通信才能通过防火墙。
防火墙是企业电子商务网站整个安全系统的基础和基本防护措施,通过防火墙的部署,解决全网的安全基础问题。核心防火墙采用双机设备方式工作。
4.4 入侵检测子系统
入侵监测子系统解决各个安全区域的“安全守卫”工作。在企业电子商务网站网络中采用入侵检测技术,最好采用混合入侵检测,从基于网络的入侵检测和基于主机的入侵检测两方面着手。
4.5 网络防毒子系统
采用多层次的立体防护体系,对客户端计算机、服务器、网关等均安装相对应的防病毒系统。在网站中心部署一台防病毒服务器,设置集中控制系统。实现全网各个不同安全区域防病毒,做到统一升级,集中监控查杀病毒以及客户端PC机器的安全控制。采用“集中管控、层层防护、防杀结合”的策略。
4.6 漏洞扫描子系统
解决网络安全问题,首先要清楚网络中存在什么安全隐患。漏洞扫描技术可自动扫描远端或本地主机的安全薄弱点,并将扫描得到的信息以统计方式输出,为网络管理员提供分析和参考。漏洞扫描还可以确认各种配置的正确性,避免网站遭受不必要的攻击。
4.7 WSUS子系统
在内网配置一台WSUS服务器,用来做内网的升级服务器和控制台。在独立的外网的WSUS服务器升级后,导出升级数据,将数据文件通过存储介质导入内网的WSUS服务器上完成服务器的升级。
4.8 监听维护子系统
对网络内部的侵袭,可采用为网络内部的各个子网做一个具有一定功能的审计文件,为管理人员分析内部网络的运作状态提供依据。
4.9 管理制度子系统
为保证各项安全措施的实施并真正发挥作用,针对每个安全层次,分别制订相应的可实施的规章制度。
4.10 备份恢复子系统
建立网络系统良好的备份和恢复机制,可在设备出现故障或是网络遭受攻击时,能尽快地恢复数据和系统服务。数据容灾系统使用两个存储器,一个放置在本地,另一个放置在异地,在两个存储器之间建立复制关系。异地存储器实时复制本地存储器的关键数据。
4.11 数据加密技术
对内外网之间交互的信息采用加密技术。
5 结 论
通过整体构建、分层设计的方法,实现了企业电子商务网站网络安全体系的设计。通过种种安全技术手段,为网络提供了一个完整的网络安全防御体系的解决方案;与此同时,还应加强网络的管理,建立有效、健全的管理体系,最终达到保护网络信息系统安全性的目的。
参考文献:
【论文摘要】互联网已经凸显出重要作用。加强网络道德教育和网络法制教育,已成为全社会的共识。现有研究中,对网络道德教育的关注较多,而对网络法制教育的内容研究相对较少。从互联网活动主体的视角看,网络法制教育的基本内容应包括网络懂法教育、网络守法教育、网络安全教育和网络维权教育。
互联网已经凸显出重要作用。2008年1月,中国互联网络信息中心《中国互联网络发展状况统计报告》,截至2007年12月31日,“网民数已达到2.1亿人。中国网民数增长迅速,2007年一年增加了7300万,年增长率为53.3%。互联网逐步向各层次的居民扩散。网民平均每周上网时长是16.2小时,网民对互联网有一定的依赖性。”[1]
加强网络道德教育和网络法制教育,已成为全社会的共识。加强网络法制教育,必须首先明确网络法制教育的基本内容。在现有的研究文献中,虽已有学者提出类似“网络法制教育的主要内容”提法,但界定尚不深入。网络法制教育是法制教育的种概念。网络法制教育是以宪法为核心,以《网络法》为基本内容,以网络法规为主要内容,规范广大网络活动主体的网络行为,培养网络法律意识、增强网络法制观念,构建良好网络环境的法制教育活动。确立网络法制教育基本内容的客观依据,除了可以根据构成不同网络法律关系的主体来确定外,笔者从网络活动主体懂法、守法、用法和护法的视角,将网络法律教育的基本内容界定为:网络懂法教育、网络守法教育、网络安全教育、网络维权教育。
一、网络懂法教育
网络懂法教育就是以一定的网络法律、法规、条例为主要内容对人们进行教育,从而让人们增强法律意识,知道在互联网上什么可为,什么不可为,并且用法律武器来维护自己的合法权益。 网络法制教育必须以一定的网络法律法规为依据和基础。在我国,虽还没有一部统一的网络法,但相关的法律法规还比较多。主要有全国人大及其常委会颁布的法律性文件,如《中华人民共和国国民经济和社会发展第十个五年计划纲要》和《全国人大常委会关于维护互联网安全的决定》,《中华人民共和国刑法》中关于计算机犯罪的内容规定;国务院颁布了大量了行政法规,如《关于互联网中文域名管理的通告》、《互联网作息服务管理办法》、《中华人民共和国计算机信息系统安全保护条例》等;信息产业部出台了大量的规章性文件,如《互联网上网服务营业场所管理办法》、《中国公用计算机互联网国际联网管理办法》、《电信网间互联争议处理办法》等;国务院其它部委也出台一些有互联网有关的规章性文件,如国家药品监督管理局颁布的《互联网药品信息服务管理暂行规定》,文化部关于实施《互联网文化管理暂行规定》有关问题的通知,财政部《“政府财政管理信息系统”网络建设管理暂行办法》,中国互联网信息中心的域名注册实施细则等。除此以外,还包括我国缔结或参加的国际条约、双边或多边协定,如《世界知识产权组织版权条约》(WCT)和《世界知识产权组织邻接权条约》(WPPT)。当然,还包括一些与网络活动有关行业自治组织制定的行业自律性规范,虽不是网络法的渊源,但在今天的中国,事实上扮演了法律规范的调整作用,如中国互联网协会2004年8月31日审议修订的《中国互联网协会章程》,《中国互联网行业自律公约》,中国计算机用户协会的《中国计算机用户协会章程》等。
网络懂法教育实现的途径,首先应该是运用互联网开展网络法制教育;其次是要广泛发掘社会力量,使网络法制教育与网络的广泛性相符合。比如可以在公安局、法院等单位建立网络法制教育基地,利用这些单位掌握的鲜活案例进行教育;第三,依托学校、社区开设《网络法制》课程或讲座。[2] 网络懂法教育必须针对不同的主体,采取易于被他们接受的方式进行宣传教育,让他们明确法律法规的规定。如对被称为“网吧”的信息服务场所,对其经营者就应以《关于规范网吧经营行为加强安全管理的通知》为主要的教育内容之一,让其明白申办条件、经营管理责任、安全保护制度、申请登记程序、违法责任等。
二、网络守法教育
法的遵守即守法。我国宪法第5条规定:“一切国家机关和武装力量,各政党和各社会团体、各企业事业组织都必须遵守宪法和法律。”“任何组织或个人都不得有超越宪法和法律的特权。”[3]法的遵守状态可以分为三个层次:第一层次为低级状态,即不违法犯罪,主要为履行法的义务。第二层次为中间状态,即依法办事,违法必究,形成统一的法的秩序,既履行法的义务,也行使法的权利。第三层次为高级状态,即法的遵守的主体行为,不论从外在方面,还是从内在动机方面,都符合法的精神和要求,从而真正体现了法的调整的目的,实现了法的自我内化。[4]
网络活动主体多样,主要包括网络服务供应商、网络服务运营商、网民、网络服务硬件提供商、网络监管职能部门、网络执法者等。这些不同的主体在网络活动中,必须遵守相应的网络法律行为。网络法律行为在互联网上发生,和法律有紧密联系,主要包括网络合同行为、网络对话、网络交友、网络社区交往、网络侵权等行为。网络活动主体依法进行网络活动,包括行使法的权利和履行法的义务两方面。行使法的权利是指人们通过一定的行为,或者是要求他人实施或抑制一定的行为来保证自己合法权利得以实现。履行法的义务就是通过消极的不作为和积极的作为的方式,满足法的规定的具体条件,从而保障权利人的合法利益。需特别强调的是,网络法律行为的影响并不仅仅局限于网络中,他可以大量地反映到现实生活中。
网络守法教育是法的遵守在网络活动中的必然要求。网络守法教育,即教育网络活动主体学习掌握网络法的各种规定,自觉加强网络道德和法律修养,正确行使法律所赋予的权利,正确履行法律义务,做网络活动的合格守法者。即起码做到不违法犯罪,并力争向法的遵守的高级状态发展。
三、网络安全教育
网络安全问题自互联网出现便已产生,且不会随着网络的发展而消失。网络安全教育,便成了加强网络法制教育的一项重要内容。
多数网民在网上不知道怎样保护自己,网络安全素质较差。表现在:一是网络安全知识缺乏,不懂得什么是网络安全以及怎样防护;二是网络安全意识薄弱;三是自我管理能力弱;四是网络安全防范能力差。网络安全教育的目的是提高人们的思想认识,强化安全意识,使所有用户及工作人员深刻理解网络安全在网络应用和发展中的地位和作用及自己在其中的安全责任,熟悉操作过程,执行安全策略,减少人为的因素或操作不当而带来的不必要的损失或风险。网络安全教育可起到预防的作用。
网络安全教育包括网络安全基本知识教育、网络安全意识教育和网络社交安全教育。关键是要引导网民用理性的、健康的心态去对待网络,正确地加以利用。只有如此,网民才能在网络社交中趋利避害,远离误区。通过网络安全教育,帮助网民分析网恋的利弊得失,引导网民正确对待网络交友、正确认识和处理网络中的情感问题。比如通过网络社交安全教育,希望网民重点做到:一是不要轻易会见网友;二是要努力克服网络交往中的心理弱点,如盲目的同情与坦率、急于获利、寻求渲泄、追求刺激、渴望爱情等。这样,才能尽可保障网络社交中的人身财产安全。[5]
四、网络维权教育
网络维权教育,又称网络司法救济教育。维权就是当个人的合法权益受到不法侵害或侵犯时,依据法律法规,维护自身权益的法律或准法律行为。网络维权教育就是使网络活动参与者明白并掌握如何收集与保存自己的网络活动证据,当自己的合法权益受到侵害或侵犯时,如何依法进行权利救济的教育。它是网络法制教育的重点环节,只有进行了正确的维权教育,才能使懂法教育更有针对性,守法教育真正落到实处。
网络维权教育的内容很广泛,涉及到现实生活中的方方面面,其中核心和基础是的让网络活动参与者明白现行的网络司法救济制度和网络维权的基本方法、基本途径。比如网络购物的维权,据中国互联网信息中心的相关报告显示:在进行网络购物时,46.01%的用户担心交易的安全可靠性,16.81%的用户担心网上提拱的信息是否可靠,12.29%的用户担心售后服务,9.84%的用户担心是否能够按时交货,有22.01%的用户经历了“已经订了货并付了款后,而未收到货物”的情形;对于网上购物的最大障碍,31.76%用户认为安全性得不到保障,28.33%的用户认为是是产品质量,售后服务及厂商信用得不到保障。[6]这些数据表明,在网络购物中,消费者知情权、退换货物权、赔偿权等的保护和实现,成为制约网络购物的瓶颈。从目前网上购物或服务网站,大致可分为二种经营形态:一是电子商店,也就是提供网上购物或网上服务的业者,在网络上设立自己的主页,直接对网络使用者出售商品或提供服务。二是电子商场,也就是许多提供不同商品或服务的业者,集中在一个网状站中,使用者可以在同一个网站购买不同公司所提供的商品或服务,有的还提供检索、搜寻特定商品或服务的功能。因此,如何进行维权呢?一般认为,核心的一条是按照合同法的一般原理,必须首先确定网络购物的出卖人,不管事实上各种情况有多复杂,原则上应该以在网络上接受使用者下单的人为出卖人,除非网页上有明显标示,当然作为电子商场的管理者,负有监督管理的职责,必须承担起法律上的义务。因为只有这样,才能确定买卖合同关系的当事人,为维权打下坚实的基础。再按照诉讼法、申诉的相关规定,通过申诉和诉讼的方式维权。现在,关于网络维权的呼声越来越高,特别是在网络活动证据的保存和收集方面,网络技术也在不断发展完善,比如著名的淘宝网,就专门推出了阿里旺旺(淘宝版),以便保存网络交易记录,并可以作为法律证据使用。
网络懂法教育、网络守法教育、网络安全教育和网络维权教育,共同构成了网络法制教育的基本内容,它们相互依存、相到促进。网络法制教育,不单是普及网络法律知识,更是要培养网络活动主体的网络法律意识、增强法制观念,自觉提高懂法、守法、用法和护法水平,建设一个有序、安全、文明、健康的互联网。
【参考文献】
[1]中国互联网络信息中心. 《中国互联网络发展状况统计报告》[z].2008.1.
[2]杨练武,唐闻捷,蔡晓卫. 大学生网络法制教育初探[J]. 兰州学刊,2003,(2).
[3]《中华人民共和国宪法》.1982.
[4]问谁念狼(网名).百度_中山梦吧_5. /f?kz=84997927.
关键词:防火墙;校园网;病毒;服务器;路由器
近年来互联网技术蓬勃发展,人们网络使用的频率以及依赖度不断提高,校园网络在学校教学、管理等方面的作用日益凸显出来,同时校园网网络安全问题也越来越严重,各种计算机病毒、黑客以及非法入侵事件不断出现。防火墙技术作为网络安全的一项重要技术,在校园网络安全当中有着重要的应用价值。
1防火墙技术概述
1.1防火墙的功能
防火墙可以说是校园网络安全重要的保障,通过监测并控制网络之间交换的数据包以及访问行为,对网络实行严格的安全管理,所以防火墙需要具备基本的功能,例如控制管理网络访问行为,检测并告警网络攻击行为,对于不安全的服务以及信息进行限制与拦截,隐蔽校园网络并对进出数据加以监控,记录防火墙信息以及活动等。因为防火墙的作用非常重要,所以防火墙一方面需要具备这些常规功能,另一方面也应当具备附加功能,比如入网身份的验证和授权,病毒的免疫功能、虚拟专用网和网络地址转换等等。
1.2防火墙的优缺点
在防火墙的优点方面,防火墙可以保护校园网络安全,设置安全策略保证符合要求的那些请求才可以通过防火墙,从而有效避免非法入侵行为,并且防火墙作为校园内部网络同外部网络进出的控制点,可以收集并记录网络使用信息以及错误信息,确保校园网络同外部网络联系的安全性。防火墙可以间隔网络当中的网段,避免因为某个网段安全问题而影响整个校园网络的使用,作为检查站可以检查那些试图侵入校园网络的行为,从而避免可疑访问进入。
在防火墙的缺点方面,防火墙虽然可以保护校园网络安全,不过作用并非是绝对的,也有其自身的缺点。防火墙可以保护校园网络当中系统用户发送的安全信息,不过要是用户直接复制信息,这些复制的信息就可以绕过防火墙,从而非法带走数据信息,对侵入的信息而言,防火墙同样无法加以控制,并且对校园网络内部用户窃取数据以及信息,破坏校园网络软件硬件的行为,防火墙都无法发挥作用。要是信息绕过防火墙传输,同样无法有效拦截入侵者。除此之外,防火墙充分发挥作用的需要良好的设计方案,设计方案合理才可以防备已知的安全威胁,而没有防御新出现的安全威胁的作用。
2校园网络应用防火墙技术的必要性
(1)计算机病毒问题。计算机病毒可以说是威胁校园网络安全一个最为常见的影响因素,计算机病毒传播的途径多种多样,U盘、网络下载以及邮件等都是常见的传播方式。同时随着病毒产业链的不断发展壮大,解密以及道好问题带来用户信息以及隐私泄露、网络阻塞、文件破坏以及硬件损害等现象层出不穷,甚至有可能导致校园网络系统瘫痪。由于校园网络的用户数量比较多,网络安全管理方面存在欠缺,容易给计算机病毒传输提供条件,尤其是校园网络使用涉及到各种资源的共享,从而容易使得计算机病毒造成教学科研成果的泄露。
(2)黑客攻击的问题。因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方,黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
(3)内部用户的问题。现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
3防火墙技术在校园网络安全中的应用
3.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
3.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
3.3配置路由器防火墙
防火墙技术在校园网络安全当中的应用一方面除了使用服务器,另一方面就是通过路由器来接入到Internet。路由器作为连接多个网络的设备,可以在不同网络间实现数据信息交换。现在路由器的功能日益增多,其中一个重要功能就是具备安全功能,集成防火墙以及VPN(虚拟专有网络)等方面的功能。通常情况下,安全路由器在接入Internet的时候采用防火墙技术,基于源以及目标IP地址和端口过滤环节的防火墙技术,并且通过防火墙技术,能够让内部局域网避免受到外网的攻击,从而发挥安全防护作用。
3.4防火墙入侵检测
一、重要意义
互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全球经济格局、利益格局和安全格局。我国是世界上较早开展IPv6试验和应用的国家,在技术研发、网络建设、应用创新方面取得了重要阶段性成果,已具备大规模部署的基础和条件。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,加强统筹谋划,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的紧迫要求。
(一)互联网演进升级的必然趋势
基于互联网协议第四版(IPv4)的全球互联网面临网络地址消耗殆尽、服务质量难以保证等制约性问题,IPv6能够提供充足的网络地址和广阔的创新空间,是全球公认的下一代互联网商业应用解决方案。大力发展基于IPv6的下一代互联网,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发展成果,有力支撑经济社会发展,赢得未来发展主动。
(二)技术产业创新发展的重大契机
推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于IPv6的下一代互联网,有助于提升我国网络信息技术自主创新能力和产业高端发展水平,高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展,不断催生新技术新业态,促进网络应用进一步繁荣,打造先进开放的下一代互联网技术产业生态。
(三)网络安全能力强化的迫切需要
加快IPv6规模应用为解决网络安全问题提供了新平台,为提高网络安全管理效率和创新网络安全机制提供了新思路。大力发展基于IPv6的下一代互联网,有助于进一步创新网络安全保障手段,不断完善网络安全保障体系,显著增强网络安全态势感知和快速处置能力,大幅提升重要数据资源和个人信息安全保护水平,进一步增强互联网的安全可信和综合治理能力。
二、总体要求
(一)指导思想
全面贯彻党的精神,以新时代中国特色社会主义思想为指导,紧紧围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局,牢固树立新发展理念,把握全球网络信息技术代际跃迁和网络基础设施演进升级的难得历史机遇,以协同推进IPv6规模部署为主线,以典型应用改造和特色应用创新为主攻方向,加快网络基础设施和应用基础设施升级步伐,积极构建自主技术体系和产业生态,实现互联网向IPv6演进升级,构建高速、移动、安全、泛在的新一代信息基础设施,促进互联网与经济社会深度融合,构筑未来发展新优势,为网络强国建设奠定坚实基础。
(二)基本原则
——统筹规划、重点突破。加强顶层设计和统筹谋划,聚焦重点环节,着力弥补IPv6应用短板,强化互联网应用的需求拉动作用,实现技术、产业、网络、应用的协同推进。
——政府引导、企业主导。加强政府的统筹协调、政策扶持和应用引领,优化发展环境,充分发挥企业在IPv6发展中的主体地位作用,激发市场需求和企业发展的内生动力。
——创新发展、保障安全。坚持发展与安全并举,大力促进下一代互联网与经济社会各领域的融合创新,同步推进网络安全系统规划、建设、运行,保障互联网安全可靠、平滑演进。
——注重实效、惠及民生。贯彻以人民为中心的发展思想,紧紧围绕人民群众的期待和需求,不断提升网络服务水平,丰富信息服务内容,让亿万人民共享互联网发展成果。
(三)主要目标
用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。
1.到2018年末,市场驱动的良性发展环境基本形成,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,并在以下领域全面支持IPv6:国内用户量排名前50位的商业网站及应用,省部级以上政府和中央企业外网网站系统,中央和省级新闻及广播电视媒体网站系统,工业互联网等新兴领域的网络与应用;域名托管服务企业、顶级域运营机构、域名注册服务机构的域名服务器,超大型互联网数据中心(IDC),排名前5位的内容分发网络(CDN),排名前10位云服务平台的50%云产品;互联网骨干网、骨干网网间互联体系、城域网和接入网,广电骨干网,LTE网络及业务,新增网络设备、固定网络终端、移动终端。
2.到2020年末,市场驱动的良性发展环境日臻完善,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,并在以下领域全面支持IPv6:国内用户量排名前100位的商业网站及应用,市地级以上政府外网网站系统,市地级以上新闻及广播电视媒体网站系统;大型互联网数据中心,排名前10位的内容分发网络,排名前10位云服务平台的全部云产品;广电网络,5G网络及业务,各类新增移动和固定终端,国际出入口。
3.到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系。
(四)发展路径
遵循典型应用先行、移动固定并举、增量带动存量的发展路径。以应用为切入点和突破口,重点加强用户多、使用广的典型互联网应用的IPv6升级,强化基于IPv6的特色应用创新,带动网络、终端协同发展。抓住移动网络升级换代和固定网络“光进铜退”发展机遇,统筹推进移动和固定网络的IPv6发展,实现网络全面升级。新增网络设备、应用、终端全面支持IPv6,带动存量设备和应用加速替代,实现下一代互联网各环节平滑演进升级。
三、重点任务
(一)加快互联网应用服务升级,不断丰富网络信源
1.升级典型应用。推动用户量大、服务面广的门户、社交、视频、电商、搜索、游戏、应用商店及上线应用等网络服务和应用全面支持IPv6。
2.升级政府、中央媒体、中央企业网站。强化政府网站、新闻及广播电视媒体网站和应用的示范带动作用,在相关政府采购活动中明确提出支持IPv6的具体需求,积极开展各级政府网站、新闻及广播电视媒体网站、中央企业外网网站IPv6升级改造。
3.创新特色应用。支持地址需求量大的特色IPv6应用创新与示范,在宽带中国、“互联网+”、新型智慧城市、工业互联网、云计算、物联网、智能制造、人工智能等重大战略行动中加大IPv6推广应用力度。
(二)开展网络基础设施改造,提升网络服务水平
1.升级改造移动和固定网络。以LTE语音(VoLTE)业务商业应用、光纤到户改造为契机,全面部署支持IPv6的LTE移动网络和固定宽带接入网络。
2.推广移动和固定终端应用。新增移动终端和固定终端全面支持IPv6,引导不支持IPv6的存量终端逐步退网。
3.实现骨干网互联互通。建立完善IPv6骨干网网间互联体系,升级改造我国互联网骨干网互联节点,实现互联网、广电网骨干网络IPv6的互联互通。
4.扩容国际出入口。逐步扩容IPv6国际出入口带宽,在保障网络安全前提下,实现与全球下一代互联网的高效互联互通。
5.升级改造广电网络。以全国有线电视互联互通平台建设为契机,加快推动广播电视领域平台、网络、终端等支持IPv6,促进文化传媒领域业务创新升级。
(三)加快应用基础设施改造,优化流量调度能力
1.升级改造互联网数据中心。加强互联网数据中心接入能力建设,完成互联网数据中心内网和出口改造,为用户提供IPv6访问通道。
2.升级改造内容分发网络和云服务平台。加快内容分发网络、云服务平台的IPv6改造,全面提升IPv6网络流量优化调度能力。
3.升级改造域名系统。加快互联网域名系统(DNS)的全面改造,构建域名注册、解析、管理全链条IPv6支持能力,开展面向IPv6的新型根域名服务体系的创新与试验。
4.建设监测平台。建设部级IPv6发展监测平台,全面监测和深入分析互联网网络、应用、终端、用户、流量等IPv6发展情况,服务推进IPv6规模部署工作。
(四)强化网络安全保障,维护国家网络安全
1.升级安全系统。进一步升级改造现有网络安全保障系统,提高网络安全态势感知、快速处置、侦查打击能力。
2.强化地址管理。统筹IPv6地址申请、分配、备案等管理工作,严格落实IPv6网络地址编码规划方案,协同推进IPv6部署与网络实名制。
3.加强安全防护。开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。
4.构筑新兴领域安全保障能力。加强IPv6环境下工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,增强新兴领域网络安全保障能力。
(五)突破关键前沿技术,构建自主技术产业生态
1.加强IPv6关键技术研发。支持网络过渡、网络安全、新型路由等关键技术创新,支持网络处理器、嵌入式操作系统、重要应用软件、终端与网络设备、安全设备与系统、网络测量仪器仪表等核心设备系统研发,加强IPv6技术标准研制。
2.强化网络前沿技术创新。处理好IPv6发展与网络技术创新、互联网中长期演进的关系,加强下一代互联网的顶层设计和统筹谋划。超前布局新型网络体系结构、编址路由、网络虚拟化、网络智能化、IPv6安全可信体系等技术研发,加快国家未来网络试验设施等重大科研基础设施建设,支持IPv6下一代互联网先进网络基础设施创新平台建设,进一步加大对网络基础性、前瞻性、创新性研究的支持力度。
四、实施步骤
(一)2017年-2018年重点工作
1.互联网应用
(1)典型互联网应用升级。鼓励和支持国内龙头互联网企业制定并主流互联网应用IPv6升级计划,明确“十三五”期间年度工作时间表。推动企业完成主流互联网门户、社交、视频、电商、搜索、游戏等应用的IPv6改造,鼓励和支持国内用户量排名前50位的商业网站及应用支持IPv6接入。推动国产主流互联网浏览器、电子邮件、文件下载等应用软件全面支持IPv6。完成主流移动应用商店升级改造,新上线和新版本的移动互联网应用必须支持IPv6。在IPv4/IPv6双栈连接的情况下,上述应用均需优先采用IPv6连接访问。
(2)省部级以上政府网站IPv6改造。初步完成国家电子政务外网改造,完成中央部委、省级政府门户网站改造。新建电子政务系统、信息化系统及服务平台全面支持IPv6。
(3)省级以上新闻及广播电视媒体网站IPv6改造。完成中央及省级新闻宣传媒体门户网站改造,新建新闻及广播电视媒体网络信息系统全面支持IPv6。
(4)中央企业网站IPv6改造。完成中央企业门户网站和面向公众的在线服务窗口改造,加快企业生产管理信息系统等内部网络和应用的IPv6改造。基础电信企业的门户网站、移动互联网应用(APP)以及应用商店等系统服务器全面支持IPv6。
(5)新型智慧城市IPv6应用。在社会治理、公共安全视频监控、安全生产、健康医疗、教育、社保等领域的系统建设中采用IPv6技术,加快推进信息惠民。
(6)工业互联网IPv6应用。选择典型行业、重点企业开展工厂企业网络改造,创新工业互联网应用,构建工业互联网IPv6标准体系。
2.网络基础设施
(1)LTE网络IPv6升级。开展LTE网络端到端IPv6业务承载能力建设,推动LTE网络、业务及终端全面支持IPv6,移动互联网IPv6用户规模不少于5000万户。
(2)骨干网IPv6互联互通。推进我国骨干网互联节点的IPv6升级,基于IPv6的网间互联带宽达到1Tbps,实现高效互联互通。
(3)城域网和接入网改造。基础电信企业完成城域网和接入网的IPv6升级改造,完善网络管理和支撑服务系统,面向公众用户和政企客户开通商用IPv6宽带接入服务。
(4)IPv6网络国际出入口建设。扩容升级互联网国际出入口,保障国际互联网IPv6流量有效转接互通。
(5)广播电视网络IPv6能力建设。加快广电IPv6骨干网建设、东中部有线电视接入网升级改造,推进广播电视应用基础设施建设和IPv6应用示范。
(6)移动和固定终端升级。基础电信企业集采的移动终端和固定终端全面支持IPv6,推广支持IPv6的广播电视融合终端。
3.应用基础设施
(1)超大型数据中心IPv6升级。开展超大型数据中心改造,完成相关系统升级。
(2)内容分发网络和云服务平台IPv6升级。推动排名前5位的内容分发网络和排名前10位的云服务平台的50%云产品完成升级改造,形成IPv6流量优化调度能力。
(3)域名系统IPv6升级。开展域名系统等重要互联网应用基础设施改造,推动域名注册服务机构、顶级域运营机构、域名托管服务企业的域名服务器全面支持IPv6访问与解析。
(4)IPv6根域名服务体系试验示范。推动根镜像服务器的引进,进一步提升域名系统解析性能。开展新型根域名服务体系结构及应用的技术创新,建设具有一定规模的试验验证网络设施,开展应用示范。
(5)IPv6发展监测平台建设。建成部级IPv6发展监测平台,形成对网络、应用、终端、用户、流量等关键发展指标的实时监测和分析能力,定期IPv6规模部署监测报告。
4.网络安全
IPv6网络安全提升计划。升级改造现有网络安全保障系统,提升对IPv6地址和网络环境的支持能力。严格落实IPv6网络地址编码规划方案,加强IPv6地址备案管理,协同推进IPv6部署与网络实名制,落实技术接口要求,增强IPv6地址精准定位、侦查打击和快速处置能力。开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。开展IPv6环境下工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。
5.关键前沿技术
下一代互联网技术创新项目。不断完善IPv6技术标准体系,加强基于IPv6的网络路由、网络过渡、网络管理、网络智能化、网络虚拟化及网络安全等核心技术研发。加快研发支持IPv6的网络处理器、嵌入式操作系统、重要应用软件、终端与网络设备、安全设备与系统、网络测量仪器仪表等自主可控核心设备系统。加强下一代互联网新型网络体系结构与关键技术创新,探索网络设施演进方向。加快建设国家未来网络试验设施,积极开展网络新技术、新应用的试验验证与应用示范。
(二)2019年-2020年重点工作
1.互联网应用
(1)互联网应用升级(滚动)。继续鼓励和支持主流互联网门户、社交、视频、电商、搜索、游戏等应用,以及主流移动应用商店、互联网浏览器、电子邮件、文件下载等应用软件的IPv6升级和应用部署。鼓励和支持国内用户量排名前100位的商业网站及应用支持IPv6接入。在IPv4/IPv6双栈连接的情况下,上述应用均需优先支持IPv6访问。
(2)市地级以上政府网站IPv6改造。继续推进既有电子政务系统升级改造,全面完成电子政务外网升级。完成市地级以上政府门户网站升级改造。完成综治、金融、医疗等领域公共管理、民生公益等服务平台改造。
(3)市地级以上新闻及广播电视媒体网站IPv6改造。完成市地级以上新闻及广播电视媒体网站升级改造,新上业务及应用全面支持IPv6。
(4)工业互联网IPv6应用(滚动)。持续开展工厂企业网络改造,推动工业互联网创新应用的规模部署,不断完善工业互联网IPv6应用、管理、安全等相关标准。
2.网络基础设施
(1)骨干网IPv6互联互通(滚动)。新增和扩容我国IPv6骨干网互联节点,互联带宽达到5Tbps。
(2)IPv6网络国际出入口扩容(滚动)。持续扩容IPv6网络国际出入口,进一步提升与国际下一代互联网的互联互通能力。
(3)广播电视网络IPv6能力建设(滚动)。完善广电IPv6骨干网,实施西部地区有线电视接入网IPv6升级改造,基本实现广播电视内容、平台、网络、终端全流程IPv6部署。
(4)移动和固定终端升级(滚动)。全面部署支持IPv6的移动终端、固定网络终端以及广播电视融合终端,加快存量终端的淘汰替换。
3.应用基础设施
(1)大型以上数据中心IPv6升级(滚动)。开展大型以上数据中心改造,完成相关系统升级,实现与网络基础设施的协同发展。
(2)内容分发网络和云服务平台的IPv6升级(滚动)。完成排名前10位的内容分发网络和排名前10位的云服务平台全部云产品改造,形成IPv6流量的优化调度能力。
(3)IPv6发展监测平台建设(滚动)。增加监测指标和对象,不断完善监测平台功能和性能。定期开展企业、行业、区域IPv6发展情况评测。
4.网络安全
IPv6网络安全提升计划(滚动)。持续升级改造相关网络安全保障系统。深入落实网络安全等级保护制度、网络实名制和IPv6地址备案管理办法,继续开展相关网络安全技术、管理及机制研究工作,强化网络数据安全管理及个人信息保护能力,确保网络安全。
5.关键前沿技术
下一代互联网技术创新项目(滚动)。持续开展支持IPv6的芯片、操作系统、终端及网络设备、安全系统的技术攻关和产业化。进一步加快互联网新型体系结构,以及新型编址与路由、内生网络安全、网络虚拟化等前沿基础技术创新,加强网络新技术、新应用的试验验证和应用示范,不断提升创新成果的生产力转化水平,显著增强网络信息技术自主创新能力,形成未来网络技术先发优势。
五、保障措施
(一)加强组织领导。建立网信、发展改革、工业和信息化、教育、科技、公安、安全、新闻出版广电等部门协同推进机制,强化统筹协调,明确责任分工,加强部门、行业、区域间合作,扎实推进行动计划落地实施,研究推进IPv6规模部署工作的重点任务。健全专家咨询制度,充分发挥调查研究和决策咨询作用,提供高质量咨询意见。鼓励行业组织和第三方机构广泛参与,完善政企间沟通协调机制。
(二)优化发展环境。统筹资金,加大支持力度,引导社会资金投入,充分发挥企业主体作用,推动IPv6技术创新、基础设施改造、应用部署、安全保障等领域发展。推动建立IPv6网络网间互联与结算体系,研究出台IPv6终端和流量优惠措施,引导用户向IPv6迁移。加快下一代互联网相关学科建设,加大下一代互联网技术、管理、国际治理人才培养力度,建立国际化人才梯队。
计算机信息系统安全是一个动态过程。美国国际互联网安全系统公司(ISS)对此提出P2DR模型,其关键是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)四方面。按照P2DR的观点,完整的动态安全体系需要防护措施(如网络或单机防火墙、文件加密、身份认证、操作系统访问控制、数据库系统访问控制等)、动态检测机制(入侵检测、漏洞扫描等)、先进的资源管理系统(及时发现问题并做出响应)。
中国石油按照信息安全P2DR模型制定的信息安全系统体系结构包括安全运行中心、网络边界管理系统、网络准入控制、网络管理系统、病毒监控与升级管理系统、系统加固与监控管理系统、CA认证中心、密钥管理与分发系统、数据库防护系统、容灾系统、内容访问监控系统和电子邮件监控系统。
中国石油广域网安全基础设施
防火墙系统
中国石油广域网十分庞大,下属单位很多,遍布全国,连通世界上很多国家的分支企业。因此需要在网络各个相连处部署强力防火墙,确保网络的安全性。另外,在区域网络中心的服务器群前,加两台防火墙,以负载均衡方式,用千兆光纤连接到区域网络中心路由器上。在两台防火墙都正常工作情况下,可以提供约两倍于单台设备的性能,即约4Gbps的防火墙吞吐量,当一台防火墙出现故障时,另一台防火墙保证网络不间断运行,保障服务器群的高可用性。
利用防火墙技术,能在内外网之间提供安全保护; 但有如下局限性: 入侵者可寻找防火墙可能敞开的后门进行袭击; 网络结构改变有时会造成防火墙安全策略失效,攻击者可以绕防火墙实施攻击; 入侵者可能来自防火墙内部; 防火墙可能不能提供实时入侵检测。
入侵检测系统
入侵检测系统分为基于网络和基于主机两种类型。基于网络的入侵检测系统对所在网段的IP数据包进行分析监测,实时发现和跟踪有威胁或隐患的网络行为。基于主机的入侵检测系统安装在需要保护的主机上,为关键服务提供实时保护。通过监视来自网络的攻击、非法闯入和异常进程,能实时检测出攻击,并做出切断服务、重启服务器进程、发出警报、记录入侵过程等动作。
入侵检测在网络中设置关键点,收集信息,并加以分析,查找违反安全策略的行为和遭到袭击的迹象。它是第二道安全闸门,对内外攻击和误操作提供实时保护,又不影响网络性能。其具体功能如下: 监视、分析用户及系统活动; 系统构造和弱点审计; 识别已知进攻的活动模式并向相关人员报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
中国石油12个区域网络中心,均配备入侵检测系统,监控内外网入侵行为。
漏洞扫描系统
漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口,并记录目标的响应,收集关于某些特定项目的有用信息,例如正在进行的服务、拥有这些服务的用户是否支持不记名登录、是否有某些网络服务需要鉴别等。
漏洞扫描系统可安装在便携机中,在网络比较空闲时检测。检测方式可本地可远程; 可临时检测某网段,也可固定检测某网段,但是检测范围不可跨越防火墙。
查杀病毒系统
中国石油网络上各个局域网普遍设立查杀病毒软件服务器,不断更新杀毒软件,及时向用户机下推最新版本杀毒软件。大大减轻了病毒泛滥和造成的损失。
网络安全策略管理
中国石油全网提供统一安全策略,各级分别部署,从而提高全网整体安全。
企业网络安全策略分为四个方面:检测评估、体系结构、管理措施和网络标准,并构成动态循环系统(图1)。安全检测与评估随着安全标准的提高而改进,评估结果是网络体系结构的完善的依据,安全策略管理必须随之改进与增强; 技术的进步和网络安全要求的提高,促使网络标准的完善与改进。
网络安全检测与评估涉及网络设备、网络操作系统、应用软件、专业软件、数据库、电子商务、Web网站、电子邮件等。安全体系结构涉及物理、场地、环境、访问控制、数据传输与保存、路由控制。安全管理措施涉及网络设备、软件、密钥。
路由器和交换机策略管理是上述安全管理措施中的重要方面。它们的策略维护通过访问控制列表(ACL)实现。这种工作容易出错,因而应采用专用工具软件集中管理。所采用的管理软件有管理设备ACL的WEB接口,通过这个接口对IP过滤列表进行编辑及下载,简化了管理工作量,实现了大型网络路由器和交换机上策略参数的集中管理。
分系统设计
除了上述基础设施外,还必须有属于“上层建筑”安全措施。这便是分系统设计。
安全运行中心
中国石油信息系统地域分散、规模庞大,与多个业务系统耦合性很强,如何将现有安全系统纳入统一管理平台,实现安全事件全局分析和动态监控,是中国石油广域网面临的主要问题。
建立安全运行中心,实现对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件,并处理各种安全突发事件。安全运行中心不仅可以将不同类型安全产品实现统一管理,还可以将网络中不同位置、不同系统中单一安全事件进行收集、过滤、关联分析,得出网络全局风险事件集,提供安全趋势报告,并通过远程状态监控、远程分发、实现快速响应,有效控制风险事件。
安全运行中心功能模块包括安全配置模块、网络监控模块、内容监管模块、安全事件与预警模块以及应急响应模块,具体功能模块如图2所示。下边介绍几种主要功能。
(1)安全配置管理
包括防火墙、入侵检测、VPN等安全系统的安全规则、选项和配置,各种操作系统、数据库、应用等系统配置的安全设置、加固和优化措施。可实现策略创建、更新、、学习和查询。
(2)网络监控
模块可提供对网络设备、网络安全设备、网络拓扑、服务器、应用系统运行情况的可视化监控,确定某个安全事件是否会发生,事件类型、影响程度和范围。预警: 对网络设备、安全设备、主机系统、服务器、数据库系统日志信息的收集、集中存储、分析、管理,及时发现安全事件,并做出相应预警。
(3)内容监管
内容监控、内容访问监控以及内容传播监控。
中国石油信息安全系统安全运行中心由总部、区域中心、地区公司三级结构组成。
总部级: 制定统一安全配置,收集所有汇总上来的数据,并对其进行统一分析、管理。通过这种逐级逐层多级化模式管理,达到对信息安全全方位防御的目的。
区域中心级: 执行对管辖范围内所有地区公司安全运行中心的监控,也可监控区域内的网络安全、主机安全、数据库安全、应用系统安全等,并向总部安全运行中心上报相关数据。
地区公司级: 部署总部的统一安全配置,监控地区公司内部网络、主机、数据库、应用系统安全等,收集分析安全事件并做出及时响应,生成分析报告,定期向区域中心汇总。
网络边界管理系统
中国石油网络按照其应用性质的不同和安全要求的不同,划分为不同的安全域。整个网络安全符合木桶原则: 最低木板决定木桶装水量; 网络安全最薄弱环节决定整个网络的安全性。
由于网络中不可控制的接入点比较多,导致全网受攻击点明显增多。通过网络边界管理系统可以最大限度保护内部业务数据的安全,其中重点保护与Internet直接连接的区域。
按照业务不同的安全程度要求,中国石油各个企业网络划分若干安全区域:
(1)业务区域: 企业重要信息集中在此,这里有核心数据库,可与相关单位交换信息。
(2)生产区域: 主要指各炼化企业的生产网络,实现生产在线监控和管理信息的传递。
(3)办公区域: 各单位的办公网,用户访问企业业务系统与互联网、收发电子邮件等。
(4)对外服务区: 通过因特网对外信息和进行电子商务的区域,该区域日趋重要。
(5)因特网接入区: 因特网浏览信息、对外交流的窗口,最易受攻击,要重点保护。
通过边界管理系统在中国石油各局域网边界实施边界管理,在内部部署入侵检测系统实施全面安全保护,并在对外连接处和必要的部位部署防火墙进行隔离。
通过入侵检测系统和防火墙联动,可以对攻击行为实时阻断,提高安全防护的有效性。
网络准入控制系统
中国石油网络准入控制系统分四部分: 策略服务器、客户端平台、联动设备和第三方服务器(图3)。
(1)安全策略服务器: 它是网络准入控制系统的管理与控制中心,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
(2)安全客户端平台: 它是安装在用户终端系统上的软件,可集成各种安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
(3)安全联动设备: 它是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全管理系统管理平台作为安全策略服务器,提供标准协议接口,支持同交换机、路由器等各类网络设备的安全联动。
(4)第三方服务器: 为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,实现安全产品功能的整合。
链接
中国石油广域网安全设计原则
在中石油广域网络安全系统的设计中应遵循以下设计原则:
高度安全与良好性能兼顾: 安全与性能相互矛盾,安全程度越高,性能越受影响。任何事物没有绝对安全,也不总是越安全越好。安全以投资、性能、效率的付出为代价。在安全系统设计中,对不同安全程度要求,采用不同安全措施,从而保证系统既有高度安全保障,又有良好系统性能。所谓高度安全,指实现的安全措施达到信息安全级别的要求,对关键信息可以再高一个级别。
全方位、均衡性和层次性: 全方位、均衡性安全设计保证消除网络中的漏洞、后门或薄弱环节; 层次性设计保证当网络中某个安全屏障(如防火墙)被突破后,网络仍受到其他安全措施(如第二道防火墙)的保护。
主动和被动相结合: 主动对系统中安全漏洞进行检测,及时消除安全隐患; 被动实施安全策略,如防火墙措施、ACL措施等等。两者完美结合,有效实现安全。
切合实际: 有的放矢、行之有效,避免措施过度导致性能不应有的下降。
易于实施、管理与维护。
【关键词】计算机 信息管理 技术 网络安全
随着计算机信息技术和网络技术的应用的不断普及与深入,网络已经成为人们日常生活中不可缺少的一部分,互联网已经成为全球经济中最重要的基础设施,许许多多重要的信息化管理、服务系统都依托于计算机网络而运行;网络安全则是计算机信息管理系统安全能动性的组成部分,它贯穿于计算机信息管理系统的规划、设计、运行、实施和维护的各个阶段。因此,网络安全是一个全球性的问题,网络运行的稳定性、可靠性就显得分外的重要,网络的安全管理成为了一个十分重要的内容。
1 网络安全的主要内容
1.1 计算机信息管理系统(即软件)的安全
计算机信息管理系统(即软件)的安全可以采用用户认证、访问控制、数据传输、数据维护、数据存储的保密与完整性机制等内容,保障网络管理系统本身的安全。
1.2 网络资源的安全
网络中涉及到的资源很多,如IP地址资源、域名资源、服务器资源(Web服务器、E-mail服务器、FTP服务器、DNS服务器、Proxy服务和数据库服务器等)和磁盘资源等等,我们可以控制这些网络资源保证网络资源得以安全的访问,从而使得网络为用户提供更好、更优质的服务。
1.3 网络存储技术安全
对于一个企业来说,网络存储数据的安全性是极其重要的一个工作内容,一旦重要的数据被损坏或者丢失,便会对企业日常生产、运作造成重大的影响,甚至是会产生无法估计和难以弥补的损失,故计算机系统不是永远可靠的,单单依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经远远解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。
目前的存储模式有直接连接存储模式(Direct Attached Storage,DAS)、网络存储模式(Network Attached Storage,NAS)、存储区域网络(Storage Area Network,SAN)。
1.4 网络规划、设计及实施安全
在网络规划、设计及实施方面侧重于网络安全性的方案选取,包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密等等方面,充分发挥网络安全性的原则。
2 网络安全管理策略
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
2.1 网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
2.2 网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
2.3 网络安全策略的设计与实施步骤
(1)确定网络安全需求,确定网络安全需求的范围,评估面临的网络风险;
(2)制订可实现的网络安全策略目标;
(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容;
(4)制订网络安全系统的日常维护计划。
3 网络安全防御与改善措施
3.1 网络安全防范管理
做好网络安全防范计划于与策略,对网络安全进行防范控制盒管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。
网络安全防范措施可以有:
(1)国家信息安全漏洞共享平台;
(2)反网络病毒联盟组织。
3.2 建立良好的网络安全机制
目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。在此,我们重点介绍数据加密、入侵检测系统和防火墙技术。
(1)数据加密:该技术更好的实现了信息的保密性,确保了信息在传输及存储过程中不会被其他人获取,它是一种十分有效的网络安全技术措施。因此,为了保障数据的存储和传输安全,需要对一些重要数据进行加密。
(2)入侵检测系统:在系统检测或者可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的行为。入侵检测系统是一种主动保护网络免受攻击的安全技术,从而简化网络管理员的工作,保护网络安全的运行。
(3)防火墙技术:建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,外部网络(通常是Internet,互联网)被认为是不安全和不可信赖的。防火墙技术是一种被动网络安全技术,是目前应用最多的一种网络安全技术,但是,防火墙技术有它的局限性,它假设了网络边界和服务,导致对内部的非法访问难以有效的进行控制。
3.3 引入网络安全审计系统
网络安全审计系统指主体对客体进行访问和使用情况进行记录和审查,以保证网络安全规则被正确执行,并帮助分析安全事故产生的原因。
4 结论
我国的信息网络安全技术和研究还处于初级阶段,需要我们国家政策和法规的支持及集团联合到一起,去共同研究、探索、开发与创新,因此,建立有中国特色的网络安全体系,走持续发展的道路,需要有一定的过程,提高网络安全防范和风险应对处理能力。建立并完善计算机信息技术网络安全管理制度,加强网络安全人员培训,完善日常员工和企业用户的上网安全制度,使计算机信息管理在网络安全应用中的管理技术能够更加健全,积极推动社会信息化的建设步伐。
参考文献
[1]耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息,2011(08).
[2]孙强,陈伟,往东红等.信息安全管理[M].北京:清华大学出版社,2004.
[3]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].2013(03).
作者简介
周冰心(1987-)女,河南省漯河市人。大学本科学历。
关键词:网络安全 检测 监控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着计算机网络的快速发展,计算机在广播电台中有了十分广泛的普及应用,与此同时相关的网络安全问题也愈发严重,因此就相关的网络安全检测与监控技术,展开相关的分析与探讨,其意义十分重大,为确保电台中的网络安全,据此下文之中将主要就结合目前网络安全的实际情况,设计出了相应的网络安全检测与监控技术的结构模型,同时针对其中的核心技术予以了设计探讨,并对于其中所存在的问题缺陷,进一步阐明了确保电台网络安全具体的改进、完善构想。
1 网络安全检测技术
在网络安全检测技术之中重点包含了实时安全监控与安全扫描技术。实时性的安全监控技术主要是借助于硬件或者是软件系统,对于网络的数据流采取及时的检查,同时还需要将数据流和数据库当中的存储数据采取对比分析,对于出现的各类病毒攻击行为,要能够及时的依据用户所设定的指令予以及时的应对处理。相关的指令内容通常可设置为切断网络连接、亦或是告知防火墙系统对于访问程序予以相应的调整,从而使入侵的数据内容能够被及时的过滤除去。安全扫描技术能够对于局域网络、操作系统、Web站点以及防火墙系统之中的缺陷隐患采取扫描处理,从而及时的将问题漏洞上报给主机系统予以修复处理,最大程度的降低系统所承受的安全风险性。
网络安全检测技术正是基于自适应的安全管理模式。在这一管理模式当中每一项接入的网络的部分,都无法完全避免安全隐患的存在。并且自适应性的安全管理模式通常具备有两项特点,第一个特点为:动态性与自适应性,此两方面的内容能够借助于对网络安全扫描软件的升级处理,以及病毒数据库的及时更新来实现;第二个特点为:更为广泛的应用层次,能够普遍的应用在网络层、应用层以及主机操作系统之中,从而促使每一个层次的网络安全隐患,都能够得到更加及时的检测。
网络安全检测系统的目的及时发现系统当中所存在的隐患漏洞,因此目前重点是采用在安全限定范围内的供给方式,来对网络系统采取模拟性供给,从而寻找出系统所存在的隐患问题与漏洞,以及相关的缺陷不足。整体网络安全检测系统的结构图形如下图1所示。
2 安全扫描系统
2.1 系统配置模块
这一模块是整体系统的主要操控者,可采用GUI亦或是HTML文档结合浏览器两类方式,来对于整体系统架构采取相应的管理措施。配置模块部分重点是针对系统当中不同模块的运行标准予以安排。
首先明确信息获取的具体范围。即获取某一子网掩码的信息或者是某一台具体主机的信息,如果需获取某一子网信息,则应当对这一子网掩码的具体IP地址予以明确的位置标注,如:202.117.176.1――202.117.176.253,从而便能够针对子网的202.117.176.0采取安全检测,将所获取到的各项信息内容予以详细的记录;如若所获取某一台特定主机的信息内容,便能够设置出相应主机的IP地基,例如202.117.176.154。其次要明确漏洞检查模块的目标对象,即确切掌握网络系统的服务漏洞或是操作系统漏洞。在应对网络服务漏洞之时,可以明确针对Telnet的服务漏洞予以检测,以及相关的Http、FTP等相关漏洞;在应对操作系统的漏洞之时,可针对文件的权限设置明确检查相应的漏洞问题,以及系统设置与口令设置等相关操作系统的漏洞。最终,要能够依据各类所配置的信息要素,产生出具体的系统配置文件,确保所有模块内容的初始化设置和后期运行,均要依据此文件予以配置。
2.2 信息收集模块
(1)构建目标网络的拓扑结构图。拓扑结构图能够直观的体现出目标网络之中,各个网络元素间的相关性。如:路由器、子网与网关三者之间的相关性,以及各个不同的路由器之间的相关性,乃至于子网内部同主机之间的相关性,只有明确的掌握了各个不同网络设备间的相关性,才能够使得相关的管理人员了解到各个设备间的连接状况。对于差异性较大的网络拓扑结构而言,每一个网络拓扑结构便存在有其自身的缺点与不足,即为网络的拓扑结构决定了网络结构的安全性,因此对于各类不同的网络拓扑结构便应当采取与之相适应的保护方法。(2)明确目标主机和操作系统的类型与版本。在网络环境当中,通常会同时存在有各种型号差异明显的计算机设备,类型不同的计算机其自身所搭载的操作系统往往也不尽相同,加之操作系统的版本多样性,各种类型的计算机操作系统所存在的安全隐患也是各式各样的。诸如:UNIX与WINDOWS NT操作系统,目前已经公开的系统漏洞多达上千个之多,因此在应对这些种类繁多的操作系统及其漏洞时,难免会存在疏漏情况,因此明确计算机的操作系统类型与版本是十分必要的。(3)确定目标主机开启的网络服务。在网络环境中每一个计算机主机系统均能够给予用户,提供以各类远程网络服务,诸如FTP、Http等相关服务内容。然而每一项服务内容均存在有安全隐患的可能,因此为了加强安全系数相关的网络管理人员,必须要能够明确主机所开启的服务内容。在此过程当中应当针对目标主机的特定端口采取扫描措施,重点是采用和目标主机各端口构建起TCP协议,来检测相应的端口是否存在有服务开通。进而针对所开通的服务程序予以安全检测。
2.3 扫描调度模块
这一模块内容可依据上一模块当中所获取到的信息,以及相关的系统配置模块所产生出的配置文件,采用模拟攻击方式,针对网络环境亦或是主机系统予以扫描,而后将扫描所得到的结果内容反馈至下一系统之中。
(1)网络扫描是指针对网络服务及传输过程当中,所存在的各类隐患问题及时的排查出来。并依据相应的漏洞特征状况,创设出各类检测工具与数据包,例如可采用ActiveX破坏控件,来针对HTTPD当中的隐患问题予以检测;创设出虚构的IP地址数据包来针对IP SPOOFING隐患问题予以检测等。(2)防火墙扫描,目前的防火墙配置较为复杂,在扫描检测的过程中首先需注意对防火墙配置规则的检测,其次要针对防火墙在应对各类网络攻击之时的防范能力予以检测。(3)操作系统扫描,此部分的扫描内容可分为本地与分布式两类,即为本地操作系统与远程主机系统的漏洞扫描,具体的检测目标应当为口令文件的权限设置、根目录的权限设置;以及系统攻击者是否在系统中设置以Sniffer程序,亦或是其他的木马脚本等程序。
3 安全分析系统
3.1 安全分析模块
最初的安全扫描程序仅是单一的将扫描测试结果逐一列举出来,简要、直观的提供给测试人员而针对具体的信息内容并未做出任何的处理措施,因此在对于网络状况的整体性评估方面缺乏全面性的评价。因此为了更加有效的辅助相关的网络管理人员,对于相关的网络安全问题予以明确的评估,安全分析模块至关重要。安全分析模块能够通过对扫描调度模块,所收集到的初始信息予以加工处理,重点是针对检测过程当中所检查出的隐患问题予以分类统计,即某一类漏洞问题是从属于操作系统、网络服务程序或者是网络传输等相关方面的漏洞,在处理完成之后将所得到的记过内容进一步发送至数据库控制与报警系统中。
3.2 数据库控制模块
这一模块的主要目标是为了实现漏洞信息库和报警系统的信息交互。即:将扫描得到的漏洞信息汇总至报警系统当中;亦或是将新型的漏洞问题进行记录处理,并及时的上报至数据库当中。
3.3 漏洞信息数据库
漏洞信息数据库主要是存储漏洞扫描、危害状况以及相关的补救内容等信息。
3.4 报警系统
报警系统重点是依据数据库的检索模块,以及相关的安全隐患问题分析,来形成具体的安全评估报告,报告的形式可选用直方图、饼状图以及HTML三种。
(1)直方图:可主要用于对安全漏洞的直观展示。(2)饼状图:可主要用于对不同程度漏洞的百分比展示。(3)HTML文件:可主要用于给予远端用户报告漏洞信息,以及操作系统的安全程度,同时提出相应的改进措施。
4 安全监控系统
4.1 监测网络的流量
首先,为了满足于对全网络流量的监控要求,则必然要将监控系统安排于网络系统的各个交换节点之上。这主要是由于所有出入网络系统的数据内容,均需经过此交换结点。另外,还要使交换结点之上的设备网卡格式,设置于混音格式,以促使进出于网络当中的数据包均能够被交换节点的设备获取。其次,要做到对网络的实时性流量监测,就必须要掌握不同网络访问的流量改变规律,同时采用特征性文件的方式将其保存于系统之中。
4.2 监控网络的连接情况
因为在TCP/IP端的协议涉及,最初未能够考虑较多的安全因素,这也便是造成当前大量恶意网络攻击是由TCP/IP端的薄弱环节采取攻击行为。要加强在这一方面的防范工作,通常较为实用的方法便是采用防火墙充当,具体的防范原理如图2所示。实际的连接情况为防火墙在接收到了SYN的命令请求之后,便会向客户机发送SYN/ACK数据,并在回馈接收到了客户机方面的ACK之后,才能够向服务器发送建立连接的请求。此种方式能够确保内部服务器免受外界网络攻击。
5 结语
综上所述,本文在电台工作中首先正对计算机网络的安全状况,以及相关的网络安全技术予以了详细的阐述,重点分析了网络安全技术当中的检测技术内容。并在对于这一技术的细致分析基础上,结合以相关扫描、分析与监控技术,设计出了一个整体性的网络安全检测以及监控系统结构模型,同时针对这当中的核心技术予以了系统化的构建。最终希望借助于本文的分析研究,能够促使相关的网络安全检测,以及相关监控系统的功能性能够更加的趋向于完善性,确保电台网络安全。
参考文献
[1] 何冀东.基于网络重要度的货运计量安全检测监控设备布局优化方法及应用研究[D].北京交通大学,2013(11).
[2] 孙凌洁,钟于胜,沈焱萍等.网络漏洞安全检测系统的研究与设计[J].广东农业科学,2014(1).
[3] 曹立铭,赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究,2013(5).
[4] 蔡翔.有关计算机网络安全的检测与监控技术探讨[J].计算机光盘软件与应用,2012(12).
[5] 许佳森,杨传斌.基于WinSock DLL 的网络安全检测方法研究[J].微机发展,2015(1).
企业内网安全和企业网站安全防护刻不容缓。
《瑞星2010中国企业安全报告》中的数据表明,蠕虫病毒引发的网络瘫痪以及用户资料和商业秘密被窃取等,已经成为严重威胁政企用户业务安全的至为重要的问题。对于政府机构、金融类企业等容易遭到攻击的目标来说,瑞星防毒墙、瑞星网络安全预警系统与杀毒软件软硬结合,能够提供更专业、更便于管理的立体化防病毒安全保护体系。
安全情况分析
河南工商行政管理部门的网络结构比较复杂,省级作为核心网,其下属部门又划分为多个子网。在河南工商行政管理部门的网络中,信息系统的应用也比较复杂,涉及众多应用服务器、数据库服务器、普通计算机和各种网络设备。根据初步统计,河南工商行政管理部门内部网络中大约有数万台终端。
河南工商行政管理部门内部核心网络的管理涉及众多服务器和客户端的管理以及多部门、多系统之间的协调,如果不对这些设备、系统加以控制,那么病毒可能引发相当严重的安全问题。病毒一旦发作,给河南工商行政管理部门带来的损失将是不可估量的。如果在信息被破坏后再进行杀毒等工作,那么已经造成的各种损失也将难以挽回。
因此,为了保障整个网络的安全,河南工商行政管理部门的网络应该采用省级集中管理、各部门及各市级分级管理的方式。在网络计算机病毒的防范上,应以“主动防御+传统杀毒”相结合的方式,配合网关防毒墙,形成立体防毒体系。河南工商行政管理部门应在病毒可能传播的各个渠道中都设置监控,再结合定时病毒扫描和自动更新,这样才能保证整个网络系统的安全。
河南工商行政管理部门的网络与下级单位的网络相连,其上运行着包括Web、FTP、电子邮件、DNS等各种应用。在保障应用系统的安全性方面,河南工商行政管理部门主要考虑的是应用系统与系统层和网络层的安全服务无缝连接。黑客往往会抓住一些应用服务的缺陷或弱点进行攻击。比如,黑客通常会针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、作为索引的Web页、有缺陷的浏览器进行攻击,有时甚至会利用Oracle、 SAP、 Peoplesoft 缺省账户进行攻击。
解决方案
上述分析表明,工商信息网络需要使用专门的安全产品,在网关处进行病毒防护,同时在入侵检测、内容过滤、本地主机病毒监控等各方面进行全方位、立体化的保护。因此,河南工商行政管理部门使用了瑞星防毒墙,并与原有的瑞星网络版杀毒软件进行联动,在工商行政管理部门的网络中构筑了综合立体安全防护体系。这种安全防护体系具有很高的性价比。
瑞星防毒墙是一个集防火墙、网关防病毒、入侵检测、VPN(虚拟专用网)等多项功能于一身的综合安全网关。它超越了传统防毒墙仅能在网络层进行粗粒度的包过滤的安全层级,能够从网络层到应用层为河南工商行政管理的本部网络出口提供全方位的安全保护。
一、总体要求
(一)指导思想。
以邓小平理论、“三个代表”重要思想、科学发展观为指导,深入贯彻落实党的十八大、十八届三中全会和总书记系列重要讲话精神,按照创新驱动发展、经济转型升级的总体要求,抓住中国(上海)自由贸易试验区建设契机,着眼信息化助推“四个中心”和社会主义现代化国际大都市建设,助力社会治理体系和治理能力现代化,以贴近群众需求和服务改革发展为导向,推动信息化与城市发展全面深入融合。以深化智慧应用为主线,以强化网络安全为保障,营造智慧生活,发展智慧经济,深化智慧城管,建设智慧政务,推进区域示范,依靠企业主体,进一步提升信息基础设施能级,加快新一代信息技术产业发展,探索智慧城市建设可复制、可推广的政策措施,为上海率先迈入信息社会、努力当好全国改革开放排头兵和科学发展先行者发挥更大作用。
(二)推进原则。
1.需求为先,惠民为本。坚持以需求为导向,着眼转变经济发展方式和提升社会治理能力,立足市民生活、企业生产和运营、政府管理和服务的实际需求,发挥信息化对科学高效配置资源的支撑和服务功能,切实增强智慧城市建设带来的便捷、高效、创新的感受度,让智慧城市建设成果惠及全体市民。
2.创新驱动,深化应用。鼓励各类技术创新、模式创新、业态创新,促进信息技术与各行业跨界融合,培育信息化环境下的新产业。以创新促应用,不断拓展信息技术应用的广度和深度,丰富各领域应用服务的技术手段和服务模式,形成智能应用与产业发展良性互动的智慧城市建设格局。
3.强化安全,保障有力。牢牢把握网络安全和信息化作为一体之两翼、驱动之双轮的辩证关系,统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进。加强网络安全,坚持依法管理,提升技术能力,强化信息保护,完善管理制度,形成与发展水平相协调的网络安全保障体系。
4.政府引导,企业主体。发挥政府在顶层设计、规范标准、统筹协调等方面的引导作用,坚持企业主体地位和发挥市场配置资源决定性作用,在竞争性领域坚持信息技术推广应用的市场化,在社会管理和公共服务领域积极引入市场机制,培育行业协会等社会组织力量,形成政府、企业、社会合力推进的格局。
(三)发展目标。
到2016年底,基本构建起以便捷高效的信息感知和智能应用体系为重点,以高速泛在的下一代城市信息基础设施体系、绿色高端的新一代信息技术产业体系、自主可靠的网络安全保障体系为支撑的智慧城市体系框架,智慧城市建设成为上海提升国际竞争力和城市软实力的强大支撑和重要基础,上海信息化整体水平继续保持国内领先,率先迈入国际先进行列。
—信息化应用水平和效益显著提升。智慧生活初具雏形,信息化应用有效促进信息消费,基于网络的智能化医疗、教育、交通、养老等公共服务基本涵盖全体市民。智慧经济蓬勃发展,信息技术引领带动新技术、新产业、新模式、新业态(以下简称“四新”)发展,信息化与工业化融合指数达到86.5,电子商务交易额达到2万亿元。智慧城管不断深化,基于网格化的城市综合管理平台基本覆盖全市域。智慧政务取得突破,信息化助力政府改革创新的效应不断凸显,电子政务建设管理模式进步显著。智慧城市区域示范效应明显,形成一批示范性智慧社区、智慧村庄、智慧商圈、智慧园区、智慧新城。
—下一代城市信息基础设施服务能级显著提升。全面建成宽带城市,光纤宽带网络基本覆盖全市域,家庭光纤入户率达到60%,家庭光纤用户平均互联网接入带宽达到40兆比特/秒,下一代广播电视网(NGB)覆盖600万户家庭,涵盖城镇化地区。全面建成无线城市,第三代移动通信(3G)和第四代移动通信(4G)用户普及率达到70%,4G网络基本覆盖全市域,公共场所无线局域网(WLAN)布局进一步优化,无线接入点突破20万个。功能设施进一步完善,全市互联网数据中心机架数突破5万架。国际网络出口、本地网络网间交换能力显著提升,网络就绪度指数明显提高。
—新一代信息技术产业创新发展能力显著提升。集成电路、高端软件等领域自主创新能力大幅提升。在大数据、云计算、物联网、移动互联网等领域培育一批新模式、新业态企业。上海基本成为国内新一代信息技术创新引领区和产业集聚区、信息服务业发展高地。新一代信息技术产业总规模达到1万亿元,占信息产业比重超过70%,从业人员超过80万人,信息服务业经营收入达到6800亿元,增加值占全市国内生产总值比重超过7%。
—网络安全综合保障能力显著提升。重点领域安全监管、城域网监测预警、网络安全应急处置、网络空间综合治理能力明显增强,重点区域、重点单位网络安全防护水平有效提升,市民网络安全意识普遍提高,网络安全技术产业健康有序发展,智慧城市网络安全态势总体可信、可靠、可控。
(四)任务概要。
3年内,将信息感知和智能应用作为发展重点,着力实施智慧化引领的“活力上海”(LIVED)五大行动:着眼城市宜居(Livable),营造普惠化的智慧生活;着眼产业创新(Innovative),发展高端化的智慧经济;着眼运行可靠(Viable),完善精细化的智慧城管;着眼透明高效(Effi cient),建设一体化的智慧政务;着眼区域(District)示范,围绕社区、村庄、商圈、园区、新城,打造智慧城市新地标。强化智慧城市三大支撑体系:下一代城市信息基础设施体系重点推进宽带城市、无线城市、功能性设施、通信枢纽、下一代互联网等重点专项建设;新一代信息技术产业体系重点发展集成电路、新型显示、高端软件等核心基础产业,推动新一代移动通信、下一代互联网核心设备和智能终端研发及产业化,促进云计算、大数据、物联网等研发和示范应用,提升网络视听、数字内容等信息服务能力, 加快重要基础设施智能化改造;网络安全保障体系重点提升网络安全技术防范、基础支撑和综合治理能力,强化网络安全监管和应急处置,完善安全可信网络环境建设。
二、发展重点
实施“活力上海”五大行动,推动建设28个重点专项。
行动一:着眼城市宜居,营造普惠化的智慧生活。
以建设成果全体市民共享为原则,深入推进与市民生活密切相关的公共服务信息化,充分调动各方资源,整合服务内容,拓展服务渠道,创新服务模式,构建政府、企业、社会组织三位一体公共服务体系。
重点专项1:智慧交通。应用信息技术提升交通运输行业智能化水平,发挥交通智能化对综合交通组织、运行、管理的支撑作用。优化交通综合信息服务平台,推进新城、新市镇道路交通信息采集和处理,实现与市级交通综合信息平台互联互通。建设公共停车信息平台,采集实时停车泊位信息,停车诱导动态信息,推进停车收费电子化和监管智能化。完善公共交通信息服务系统,推进公交客流实时信息采集、智能集群调度和公交电子站牌建设。扩大高速公路不停车收费系统(ETC)覆盖面。推进公交卡长三角区域互联互通。扩大公交车WLAN覆盖范围。推动北斗卫星导航示范应用。鼓励社会力量参与交通信息服务体系建设,推动交通信息全程服务应用示范。
重点专项2:智慧健康。深化基于市民电子健康档案的卫生信息化工程,推进健康信息在公共卫生机构、医疗机构、家庭医生和市民之间共享利用,建设覆盖医疗、医保、医药和公共卫生领域的卫生综合管理平台,推动医疗大数据研究和应用。加强传染病防控、慢性病管理、妇幼保健、职业卫生、精神卫生等公共卫生信息化建设,完善疾病预防控制业务信息平台。深化医院信息化建设,探索新型患者就医、付费模式,探索开展远程医疗服务。建设群众体育健身信息服务平台,为市民提供体育场馆查询预订、体育健身指导及体质监测等服务,促进科学健身。鼓励社会力量参与市民健康服务,探索市民健康服务新模式。
重点专项3:智慧教育。发挥信息技术对教育现代化支撑作用,建立教师备课和学生学习支撑系统,创新教学手段和模式。建设大规模智慧学习平台,为市民提供在线学习、终身学习等个性化学习服务。以建设上海教育资源中心为突破口,探索建立资源建设多元评价机制和共享激励机制,促进优质教育资源向社会开放。建设上海教育数据中心,汇集整合各级各类教育数据,以教育大数据支撑教育管理决策、教学研究和公共信息服务。推动涵盖校区管理、教务安排、后勤保障等内容的智慧校园建设,深化易班—上海大学生网络互动社区建设,打造互动、开放、共享的网络平台。鼓励企业和社会机构挖掘需求,建设网络服务平台,面向不同人群提供开放式在线课程(MOOCs),丰富互联网教育产品。
重点专项4:智慧养老。围绕构建五位一体社会养老服务体系,搭建全市统一的养老公共服务信息平台,统筹政府部门及市场机构的各类养老服务信息资源,建立涵盖服务需求、服务项目、服务队伍、服务设施和养老政策的养老数据库,提供一站式养老咨询、申请、评估、分类转接等服务。发展智能化养老机构,推进社区养老信息化建设,为老年人提供生活照料、紧急援助、医疗保健、心理慰藉等服务。推进物联网、移动互联网等在养老服务领域的广泛应用,促进远程健康监护、居家安防等应用。
重点专项5:智慧文化。围绕市民对公共文化服务的需求,搭建文化上海云平台,汇聚整合全市文化活动、文化展示、文化演出、文化培训、场馆导览、图书阅读、非物质文化遗产保护等公共文化资源,为市民提供不受时间、地域限制的一站式服务。加快图书馆、博物馆等文化资源的数字化,为市民提供触手可及的公共文化服务,到2016年60%的市级博物馆和40%的区级博物馆实现数字化。鼓励企业开发推广各类满足市民需求的数字内容产品和服务,培育互联网文化服务领域龙头企业。
重点专项6:智慧旅游。鼓励和引导旅游电子商务平台建设,为游客提供旅游线路规划和交通、住宿、门票预订购买等一站式服务。推进景区智能化建设,提供电子门票、自助导览、自助讲解等服务。建设旅游市场监测预警平台,开展旅游企业、行业信息动态统计和分析,提升行业运行发展分析能力和决策能力。建立旅游舒适度指标体系,提升旅游公共突发事件预防预警、快速响应和及时处置能力。加强旅游行业监督管理,强化旅游行业信用监管和服务。
重点专项7:智慧就业。以整体提升人力资源服务智能化水平为目标,整合职业培训、技能鉴定、海内外人才引进、居住证积分制、社保缴费等人才和就业服务内容,提供面向法人的在线自助经办应用。建立个人和企业就业诚信系统,深度挖掘劳动监察、劳动仲裁、社保缴费等方面的业务数据,实现政府就业监管机制创新。开放人力资源和社会保障相关信息资源,鼓励社会机构积极参与就业服务,推进社会机构与政府之间信息共享。
重点专项8:智慧气象。建设城市专业气象服务平台,建立气象对相关行业影响的预测模型,为交通、卫生、农业、能源等重点行业提供智能化服务。建设个性化、互动式的“我的气象台”,紧贴市民衣、食、住、行等方面的需求,为老人、儿童、疾病易感人群等特定群体提供精细化的气象服务和生活引导产品。拓展气象信息渠道,使市民享受触手可及的气象服务。
行动二:着眼产业创新,发展高端化的智慧经济。
以信息化助推“四个中心”建设,促进产业高端化、集约化、服务化为发展目标,以广泛应用信息技术、加快培育发展“四新”为战略重点,全力推动信息化与工业化深度融合(以下简称“两化”融合),为打造“上海服务”和“上海智造”提供有力支撑。
重点专项9:互联网金融。鼓励互联网企业面向金融行业开展跨界融合,加快第三方支付创新应用,在安全可控前提下,支持网络借贷(P2P)、众筹等互联网金融业务创新。推动银行等金融机构通过互联网开展业务创新,加快金融领域网络创新业务发展。提升金融信息和数据集聚度,发展与国际接轨的财经、证券、保险等大型信息资讯平台。深化智能卡应用,推动银行集成电路(IC)卡的广泛应用,鼓励各类智能IC卡在便民支付领域多卡集成。
重点专项10:智慧航运。推动口岸监管作业智能化,深化口岸通关无纸化,围绕进出口企业通关便利需求,推进监管部门联网核查。建设贸易单一窗口,实现单证一口申报、监管状态信息一口反馈。完善国际航运中心综合信息平台,构建统一的数据交换系统和对外服务窗口,实现口岸监管、码头作业、货物运输、航运服务等信息共享交换。推动多种运输方式及物流资源的信息协同运作、口岸通关税费和港口航运结算的电子支付等功能,提高口岸整体运行效率,降低航运相关单位管理和运行成本。开展亚太示范电子口岸建设,与亚太经济合作组织(APEC)成员重点口岸实现基础设施互联互通。
重点专项11:智慧商务。发展电子商务服务业,鼓励各类跨境电子商务、大宗商品交易服务平台集聚发展,培育对接产业链的嵌入式电子商务集成创新服务平台,支持围绕中小企业生命周期经营各环节实际需求的创新平台发展,推动应用云计算、大数据、移动互联网等新技术的电子商务服务模式和业态创新,加快形成第三方电子商务服务产业链。围绕传统产业改造提升,鼓励骨干制造行业加速提升供应链业务协同能力,应用电子商务创新制造、服务模式。推动传统商贸服务业加快网络购物、网上商城等应用,积极探索线上线下互动(O2O)、客户到企业(C2B)等新型电子商务服务模式。深化电子商务产业园区和示范基地建设,推动电子商务与物流、快递业协调发展,进一步优化电子支付、信用服务、安全认证等支撑环境,促进电子发票、电子合同应用推广。构建快递业服务安全评估预警监管综合信息平台,创新行业服务方式和监管模式,鼓励规模快递企业创新应用,提升全市快递业信息化水平和快件末端投递智能化水平。
重点专项12:智能制造。鼓励发展基于产业互联网及大数据分析的新型生产组织方式,发展云制造和按需制造,推动个性化定制、众包众创等模式创新。推动制造业服务化,发展面向产品的在线服务、远程维护等新业态,实施工业云创新服务试点,支持面向行业和区域的公共服务平台、行业性交易平台建设推广。推动绿色低碳制造,支持利用信息化手段加强企业资源管理、能耗监控及生产流程能源优化,推动基于产品全生命周期管理的产品回收、产品再制造、逆向物流等信息系统建设。
重点专项13:智慧企业。鼓励制造业骨干企业提高生产设备、制造工艺、生产组织智能化水平,推动工业机器人、增材制造等先进制造技术的示范应用,建设数字化车间和智能工厂。鼓励服务业企业应用大数据、物联网、移动互联网等,不断创新商业模式,提高服务能级和决策科学化。鼓励面向中小微企业的信息化服务体系和公共服务平台建设,提高企业信息化应用能力和水平。大力推动“两化”融合管理体系贯标试点,指导一批试点企业完成达标认定,建立和完善全市贯标服务和认证体系。
行动三:着眼运行可靠,完善精细化的智慧城管。
围绕城市管理精细化、可视化、智能化发展需求,充分利用信息技术在数据采集、存储、分析、展示等方面的优势,推动信息化在城市建设和管理领域深度应用,全面支撑上海城市功能提升和安全运行。
重点专项14:城市综合管理信息化。在城市网格化管理信息系统基础上,建设城市综合管理信息平台,并与“12345”市民服务热线衔接,与相关行业管理信息系统互联互通,逐步实现非紧急类城市综合管理领域全覆盖。完善突发公共事件应急指挥平台应用功能。建设城市管理行政执法指挥平台,实现对市容环境违法行为及时发现、有效取证、依法解决。使用卫星定位技术加强渣土车监管,深化信息共享,提高渣土车监管效能。推动完善“地楼房”基础数据管理和动态监管机制,推进个人住房信息、物业管理、房屋修缮及安全使用等系统建设。推进建筑信息模型(BIM)技术在政府投资的公共建筑和市政基础设施工程项目中的应用,鼓励社会投资的建筑工程项目应用BIM技术实现全生命周期管理。
重点专项15:食品安全管理信息化。推进食品安全许可、监管和处罚信息共享,检验检测结果共享,突发事件协同处置等系统建设,完善食品安全风险监测、投诉举报和信用评价机制。建立食品安全数据库,推进与市、区县、街道乡镇监管系统和市法人库、市公共信用信息服务平台的数据共享。深化食品信息全程追溯功能,围绕食品生产、加工、流通、销售等重点环节,实施粮食及制品、畜肉及制品、禽类、蔬菜、乳品、食用油、水产品、酒类等8大类食品信息全程感知和溯源。推进对食品生产、流通、餐饮服务企业的跨部门协同监管。面向社会食品安全综合监管、应急预警等信息,鼓励社会力量参与食品安全管理和服务信息化体系建设。
重点专项16:环境保护信息化。完善全市环境质量监测网络建设布局,实现对大气、水、噪声、辐射、土壤、生态等环境要素监测监控全覆盖。加强长三角区域大气污染联防联控,建设长三角区域空气质量预报预警系统,实现区域内大气污染综合监测数据实时共享,建立污染源排放量清单,做好区域空气质量预报预警工作。加强环境污染源管理,实现危险废物产生、运输、处置、监管等全过程信息化。加强环境保护信息资源开发利用,引导企业提供面向公众、企业等不同对象的便捷化环保信息服务。
重点专项17:公共安全信息化。增强公共安全防控信息化建设,加快图像监控、通信网络、数据中心等信息基础设施建设、扩容,完善各类社会资源共享共用机制,加强重点区域监控,提高视频监控覆盖率。深化应急管理领域业务协同,运用云计算、大数据、物联网等新一代信息技术,采集水、电、气等涉及民生的公共资源运行状况,切实提升突发事件监测、预警和应急处置能力,完善突发事件应急平台体系。全面提升快速反应能力和应急处突能力,提高社会综合治理水平和能力。
重点专项18:智能化城市生命线。聚焦水、电、油、气等城市生命线,推动城市公共基础设施管理智能化,提升管网利用效率和资源利用水平,拓展新的服务模式,保障城市运行安全、平稳、有序。加快智能电网建设,推动智慧照明试点,促进能源生产变革。深化智慧水网建设,推动新兴信息技术在供水安全、防汛、水资源与环境生态一体化管理等方面的深度应用,建设水资源管理信息平台和供水调度管理信息平台,提升对全市水安全保障、水资源管理的支撑能力。
行动四:着眼透明高效,建设一体化的智慧政务。
按照建设责任政府、服务政府、法治政府、廉洁政府的总体要求,以政务信息资源开发利用为核心,以信息共享、系统集成、业务协同、渠道整合、资源集约为原则,充分利用云计算、大数据、移动互联网等新兴技术,通过感知、整合、分析及智能化响应等方式,实现政府资源整合、流程优化和业务协同,提升政府管理和公共服务水平和效率。
重点专项19:电子政务一体化。以转变电子政务建设模式、提升电子政务服务能级和安全防护能力为目标,建设基于云计算的电子政务公共平台,实现硬件资源、数据交换、应用支撑、资源管理的统筹,有效降低电子政务建设运维成本,提升资源集约化程度。建设面向政府公共服务的大数据平台,向各部门提供基于电子政务公共云平台汇聚的各类数据资源,为辅助决策、统计分析、业务管理等方面提供大数据支撑。完善政府信息共享管理规范,形成规范有效的信息共享管理机制,建立与之相适应的电子政务管理体制和工作机制,构建统一高效、弹性扩展、安全可靠、按需服务的电子政务应用生态环境。
重点专项20:政府公共数据开放服务。建设完善上海数据服务网,形成政府公共数据对外服务统一门户,推动基于移动互联网的政务应用系统开发。加快制定政府公共数据资源向社会开放的标准规范,探索建立政府公共数据资源开发利用的规范和渠道。深化公共资金、公共资源、食品安全等政府信息公开,全面开放地理位置类、市场监管类、交通状况类等重点领域的政府数据。开发数字档案信息资源,推进档案资源数字化、管理手段现代化、档案服务网络化,提高档案便捷服务和信息共享水平。采用外包、政府购买服务等方式获取用于政府管理和公共服务的数据产品和服务,促进信息服务产业发展和公众信息消费。
重点专项21:优化公共服务渠道。推进服务模式从“一门式”向“一口式”转变,开发建设基于云计算技术、部署于区县的社区事务受理服务系统,通过后台“一表式”管理,实现社区事务一口受理、办理结果一口反馈。深化政府门户网站网上办事功能,推进政府服务热线整合归并,拓展法人数字认证“一证通”使用范围。鼓励企业开发多渠道、多载体的公共信息服务平台,使公众享受到均等、便捷、规范的公共服务。
重点专项22:提升电子政务网络服务能级。完成公务网骨干网升级改造,实现与国家政务内网网络信任服务系统的衔接,推进公文网上传阅、办理,规范电子文件档案管理。充分利用800兆数字集群政务共网资源,提高政务外网网络保障能力,全面满足市和区县两级政府部门各类应用的接入需求和云计算、大数据、下一代互联网等新兴技术要求。
重点专项23:公共信用信息服务平台。促进信息记录归集,建立相关标准规范,发挥跨部门信息共享系统渠道作用,信息覆盖全市行政机关及依据法律法规行使公共事务职能的社会组织,实现信息查询比对、信用筛选、信用预警等功能,满足社会对公共信用信息的需求。拓展平台信息应用,促进行政机关在日常监督管理、公共资源分配、表彰奖励等活动中查询使用公共信用信息,发挥信用服务机构作用,分析处理相关信息,推行相对人信用评价和分类管理。以应用为导向,以长三角为突破口,推进区域信用平台共建、信用信息互通、信用管理合作。
行动五:着眼区域示范,打造智慧城市新地标。
围绕智慧社区、智慧村庄、智慧商圈、智慧园区、智慧新城建设,全面推进创新试点和应用示范。
重点专项24:智慧社区。围绕生活更便捷、更安全、更和谐,推进智慧社区建设,促进社区服务集成化、社区管理智能化、居民生活现代化。根据《上海市智慧社区建设指南(试行)》,以生活服务、社区管理和公共服务、智能小区、智能家居为重点,推动50%以上社区开展智慧社区试点示范建设。鼓励建设面向市民服务的云平台,汇聚政府公共服务和市场服务资源,通过电脑、手机、数字电视等渠道,为市民提供社会保障、医疗健康、交通出行、气象信息、文化娱乐、公用事业、智能安防等服务。
重点专项25:智慧村庄。按照美丽乡村建设总体要求,以信息基础设施高速泛在、农村公共服务便利化、村庄治理信息化为重点,在20个村开展智慧村庄试点示范建设。实施宽带进村,实现农村家庭宽带网络接入全覆盖,优化完善3G网络,基本实现4G网络覆盖。围绕农村居民生产、生活实际需求,鼓励和支持相关部门进一步加强文化、教育、旅游信息资源和服务推送;支持建设美丽乡村旅游公共信息服务平台;完善新型农村合作医疗信息系统,支撑新型农村合作医疗市级统筹工作开展。围绕村庄治理需求,加快推进村委会电子台账建设,减轻基层工作负担;深化行政村网页建设,加强村务公开工作;深化农村集体“三资”监管平台应用,提升村庄治理信息化水平;加强农村信息员队伍建设。
重点专项26:智慧商圈。围绕传统商业能力提升和模式创新,以商品营销和品牌服务为核心、商业企业为主体、商业集聚区为载体,通过信息化提升商圈整体服务水平。加快商圈信息基础设施升级,推动重点商圈宽带和无线网络覆盖,鼓励商家提供免费无线网络接入服务。推动停车诱导、购物导航、移动支付、基于位置信息服务等在商圈中的应用,提升商圈信息化管理和服务水平。鼓励电子商务企业与实体商圈互动,在有条件的商圈推动搭建信息化综合服务平台,推动以智能终端、商贸联动和会员互动为重点的基于商圈的网络社区建设。推进用户数据管理和共享,推动传统商业模式向基于大数据精准化营销的转型。
重点专项27:智慧园区。围绕园区管理和产业服务,加快信息化助力制造业园区高端绿色、服务业园区宜居宜业发展。推动信息基础设施集约建设,实现重点园区固定宽带网络、移动通信网络和WLAN等的优化覆盖。鼓励园区管理服务精细化,以办公、招商、物业等为核心,推动形成基于互联网的“一站式”园区公共管理服务体系。鼓励产业服务专业化,支持各类产业创新和商务合作平台发展,提供企业信息化、在线产品服务、公共检测、投融资等增值服务,以及园区休闲、便捷支付、智能停车等生活服务。鼓励园区能源环境智能调控,鼓励信息技术、智能装备、新能源、新材料、文化创意等新兴产业的园区集聚。
重点专项28:智慧新城。围绕基础网络领先、智慧应用普及、智慧产业集聚、信息安全可控,在嘉定等新城开展智慧新城试点。以新城为载体,加快智慧社区、智慧村庄、智慧商圈、智慧园区试点示范,鼓励社会力量参与智慧新城建设。推动相关扶持政策向智慧新城倾斜,优先推动4G网络覆盖等信息基础设施建设, “医食住行文教旅”等智慧化服务模式创新应用,云计算、大数据、物联网等新一代信息产业发展,率先将智慧新城打造成为上海智慧城市标杆。
三、支撑体系
重点完善下一代城市信息基础设施、新一代信息技术产业、网络安全保障三大支撑体系,推动建设22个重点专项。
支撑体系一:建设具备国际水平的下一代城市信息基础设施。
按照规划引导、集约建设、资源共享、规范管理、满足需求、适度超前原则,充分发挥电信、广电运营企业主力军作用,以4G建设为重点,进一步提高基础承载、枢纽汇聚和网络服务能力,促进“三网”融合,提升服务质量和服务水平。重点专项1:宽带城市深化。落实国家“宽带中国”战略要求,全面推进宽带网络升级改造。加快推进农村地区光纤到户覆盖,进一步提高全市光纤宽带用户普及率,鼓励办公、商业等公共建筑采用光纤入楼技术。加快推进郊区城镇化地区NGB覆盖,缩小城乡差距,推进区域协调发展,实现全市域光纤到户覆盖和城镇化地区NGB覆盖。
重点专项2:无线城市提升。加快构建以移动通信网络和WLAN为主体的无线宽带网络。重点推进4G网络建设,继续优化3G网络,到2016年实现中心城区和郊区城镇化地区4G网络全覆盖,3G和4G用户普及率达到70%。根据布局规划和绿色环保要求,实施基站集约化建设和景观化设置。推进全市WLAN布局优化,支持在公共区域进一步扩大覆盖。提升“i-Shanghai”服务质量,鼓励区县开展公益性WLAN覆盖。
重点专项3:功能性设施建设。充分利用上海国际网络节点、骨干网络节点及网络带宽资源优势,积极推动绿色节能技术运用和已有数据中心升级改造,在电力、通信资源优势区域推进高端、自给、集聚的数据中心建设,进一步优化与上海产业发展相适应的互联网数据中心(IDC)布局。研究数据中心异地布局的政策举措,鼓励开展异地灾难备份应用,推进上海与国内其他地区数据中心对接合作,探索建立跨区域的示范性项目,进一步增强信息集聚和服务能力。规划整合、改造升级本市现有全球定位系统(GPS)、连续运行参考站网(CORS)和高精度差分站点资源,建设以北斗为主体的全球卫星导航系统(GNSS)多模导航和位置信息增强网络,到2016年完成兼容北斗的GNSS多模卫星导航与位置服务基础设施建设和改造。推进上海超级计算中心转型发展。探索建设以4G网络为主体的无线宽带物联网。
重点专项4:通信枢纽建设。增强上海亚太信息通信枢纽服务能力,推进新亚太国际通信海光缆系统(APG)建设和已建海光缆扩容。鼓励基础运营商加大国际网络建设,大幅提升国际网络出口能力,提高与国际运营商互联互通水平。持续扩容、优化城域网络,推动本市传输网升级及网间优化,进一步完善宽带网络结构,鼓励基础电信运营商加强网间直联,扩展各运营商间的互联带宽,不断提升本地互联网业务的网间交换能力和服务质量。
重点专项5:下一代互联网建设。推动电信运营商加快基础设施和支撑系统升级改造,提升网络功能和性能,到2016年年底实现主干网、接入网、IDC等设施的主要设备全面支持互联网协议第六版(IPv6)。聚焦访问量较高的政府门户网站及商业影响力较大的网络应用服务商,实施IPv6升级改造。在公共信用服务、网络电子认证、航运、教育、医疗等领域,开展IPv6应用示范工程建设,引领全行业对IPv6的关注和跟进。加快IPv6核心设备技术升级和产业化,提升下一代互联网领域技术创新能力。
重点专项6:无线电管理。建设面向移动互联网、物联网普及应用的频率资源综合利用体系,编制频率资源分布地图,建立以频率复用为核心的资源配置模式,探索建立频率资源综合利用评估体系和动态储备机制;聚焦700兆赫兹数字红利频谱,做好广播电视与新一代宽带移动通信的组网兼容研究,试点形成频谱释放机制,加快1900兆-1920兆赫兹频谱的再利用,全面完成小灵通清频。完善基于城乡规划的固定无线电台站布局体系,完成基站站址布局规划实施的评估和研究,推动基站区域控详落地;编制重点固定无线电台站保护规划;推进基站室外分布系统标准化建设,编制公共场所WLAN信号覆盖系统集约化技术规范,开展测试及后评估。完善无线电安全保障体系,建设聚焦军民融合、长三角区域联动、重点行业协同的无线电安全保障机制,推进智慧城市关键基础设施立项阶段的强制性无线电安全评估。
支撑体系二:加快新一代信息技术产业发展。
按照技术先进、产业领先、安全可靠、自主可控方针,充分发挥市场在配置资源中的决定性作用,以培育“四新”经济和扶持龙头企业为主要抓手,加快推动新一代信息技术产业移动化、网络化、智能化、绿色化,为智慧城市建设提供有力的技术支撑和产业保障。
重点专项7:集成电路。对接《国家集成电路产业发展推进纲要》,完善组织保障,组建集成电路产业投资基金。推动集成电路设计技术水平和制造业产能规模水平双提升,推进高性能处理器、移动终端关键芯片、高清数字电视芯片、金融IC卡芯片、工业控制核心芯片、光网络核心芯片与器件等产品设计和制造技术水平提升及国产整机系统应用示范工作。加快完善新建12英寸晶圆生产线项目方案,推动20-14纳米先导工艺技术引导线建设。推动装备、材料业取得突破,促进产业链互动发展。
重点专项8:新型显示。推进新型显示基础器件和应用融合,促进产业链对接和跨界融合,推动新型显示与智能终端、可穿戴设备、集成电路、汽车电子等行业对接,创新产品应用和服务模式,加快产业发展。加快推进主动矩阵有机发光二极体(AM-OLED)产品产业化,推进4 5代和5 5代AM-OLED量产线建设。建设发光二极管(LED)新光源产业基地,聚焦LED设计、研发、关键制造、服务,加快产业集聚发展。
重点专项9:高端软件。推动高端软件技术创新、管理创新、市场创新、模式创新,力争到2016年上海高端软件经营收入达4 000亿元。发展自主可控的服务器操作系统、桌面操作系统、网络化操作系统、移动终端操作系统、大型通用数据库及中间件等关键技术,解决基础软件与硬件、行业应用软件之间的系统适配和协同运行,在电子政务等方面加快形成一批解决方案。提高行业软件在政务、金融、航运等领域的规划、整合和应用水平。聚焦“两化”融合重点领域,提升系统集成能力,推动形成安全可靠、国内领先的工业软件解决方案和服务。
重点专项10:云计算。支持分布式数据存储、虚拟化、海量数据处理等云计算关键技术研发,突破大数据环境下的数据采集、分析和处理技术,形成自主可靠的云计算软硬件完整产品链,带动芯片、服务器、终端设备技术和产品创新。全面推进云计算示范应用,打造覆盖市民生活、企业服务、电子政务的城市综合云计算服务平台。加快云计算信息安全标准、规范的研究和制定,探索公共云计算服务提供商认定和评价标准。构建安全认证体系,提升用户对云计算的服务信任度,为云计算服务环境中数据安全、隐私保护提供技术支撑。到2016年云计算软件服务及硬件产品收入突破1200亿元,培育10家云计算龙头企业,支持百家产业链关键企业,打造具有国际竞争力的云计算企业生态系统。
重点专项11:大数据。加快形成覆盖互联网、金融、交通、医疗、教育等重点领域的大数据平台,成为国内领先的大数据应用示范城市。加快非关系型数据库管理系统、分布式文件系统、分布式处理系统、数据挖掘与分析软件、商业智能软件、多媒体加工处理软件、可视化软件等大数据技术研发。以数据处理软件为支撑,培育形成一批具有较高集成水平、较强市场能力的大数据解决方案提供商。鼓励各行业企业和机构,以大数据模式构建面向个人、行业、政府的数据服务平台,满足用户的多元化需求;鼓励大型企业基于云计算、大数据技术架构建设大数据平台,并对外开放接口,提高数据使用效率;支持中小型企业使用公共数据服务,降低大数据平台建设成本;推动各级政府开展大数据应用,优化公共服务质量。
重点专项12:物联网。突破一批物联网关键技术,聚焦支持微型和智能传感器、短距离通信、智能系统等领域关键技术研发和产业化。发展具有可持续运营模式的物联网公共服务平台,面向消费者、企业、园区、农业生产经营主体和政府部门等提供服务,促进传统行业运营模式转变,优化市民生活方式。围绕健康服务、养老照护、药械管理等重点领域引导健康物联网加快发展,在工业物联网、农业物联网、智能交通和车联网等领域组织实施应用示范工程,在部分物联网应用领域力争进入国际先进行列,成为国内主要的物联网应用和产业集聚区之一。
重点专项13:网络视听。促进内容、平台、模式、终端协同联动发展,将上海打造成全国网络视听产业高地和优势资源集聚地。鼓励研发原创内容、移动内容、专题内容、高清内容等特色鲜明、具有差异化竞争优势的网络视听内容产品。支持建设海量内容加工处理平台、跨屏跨终端跨系统内容流通平台、全高清内容播控平台等满足市场需求的网络视听内容服务平台。推动视频分享、视频直播(点播)、视频门户等网络视听传统模式,通过开放接入渠道、与传统媒体对接等方式提升用户粘性和市场占有率。鼓励网络视听与电视、电影、音乐、互动娱乐等跨界融合发展,培育网络剧、微电影等新兴业态。
重点专项14:网络安全技术产业。鼓励自主可控网络安全产业发展。加快安全芯片、安全操作系统等基础软硬件的技术攻关及产业化。推动可信计算、云计算安全、大数据安全、物联网安全、移动互联网安全等网络安全技术创新。支持网络安全监测、数据保护与安全审计、容灾备份与数据恢复等安全产品的自主研发和产业化。以网络安全测评检测、认证评估、综合服务等公共平台建设为抓手,促进风险评估、安全集成、监测预警等专业服务集聚,鼓励网络安全与智能安防等服务业态的融合发展。推动建立大数据应用安全研究功能性机构,开展自主知识产权安全产品在政务、金融、教育、卫生、工业控制等领域的示范应用。支撑体系三:深化网络安全保障建设。
全面构建城市网络安全综合保障体系,加强与国家网络安全保障体系和城市安全与应急管理体系的服务对接。以强化基础网络安全、重要网站和信息系统安全、重点行业工业控制系统安全、互联网内容安全等为重点,提升应急基础平台、灾难备份平台、测评认证平台、网络信任平台等基础设施支撑能力,全面落实风险评估、等级保护、分级保护、应急管理等监管制度,培育发展安全测评、电子认证、安全咨询、灾难备份等社会化服务,加强网络空间综合治理,提高全民网络安全意识,营造安全可信的网络社会环境。
重点专项15:基础网络安全运行。加强对电信网、广播电视网、互联网等基础网络的安全监管和保障,确保安全防护设施同步规划、同步建设、同步运行,不断完善基础网络安全监测预警和应急处置机制。加强分布式拒绝服务攻击(DDoS)防护等技术措施落实,保障互联网域名解析系统(DNS)安全、稳定、可靠。强化无线电安全管理,保障无线城市网络安全。
重点专项16:重要网站和信息系统安全保障。加强政务、金融、税务、电力、铁路、海关、民航、医疗卫生等重点领域的重要网站和信息系统的安全保障,定期组织开展重点领域网络安全检查,强化对安全风险和隐患的整改。完善城市网络安全应急保障体系建设,加强重点网站运行安全监测预警和应急处置,形成全市各重点保障单位应急保障常态化机制。研究出台面向重点行业、重要信息系统的灾难备份工作指导意见,形成多层次灾难备份体系。
重点专项17:重点行业工业控制系统安全防护。加强石化、钢铁、轨道交通等重点行业及水、电、油、气等城市运行生命线的工业控制系统安全防护,建立健全工业控制系统安全保障标准体系,组建工业控制系统安全产业联盟。开展重点行业工业控制系统安全检查,构建工业控制系统网络安全联合实验平台,形成工业控制系统产品检测和安全测评服务体系,保障工业生产和城市运行安全。
重点专项18:完善互联网内容安全管理。贯彻落实国家部署,组织实施“扫黄打非”等净化互联网环境专项行动。加强重点新闻网站建设,规范管理综合商业网站,形成健康有序的网络传播秩序。加强互联网基础数据管理,加大对数据资源的安全保护,开展新技术、新业务准入管理和新业务安全评估,初步形成与新技术、新业务发展相适应的信息内容安全监管机制。构建互联网安全监察支持系统,加强网络监测技术手段建设,提升对互联网信息的资源整合、舆情分析和综合研判能力,严厉打击虚假信息、网络欺诈等各类网络犯罪。不断提升对网络失泄密的发现和查处能力。
重点专项19:完善网络安全基础设施。适应云计算、大数据、移动互联网、下一代互联网等新技术、新应用发展趋势,提升城市网络安全基础设施保障能级。建设网络与信息安全应急基础平台,构建城域网安全综合监测预警和应急指挥体系,完善网络安全应急处置技术支撑,提升突发事件应对能力。拓展信息安全测评认证平台服务,构建面向云计算平台、移动智能终端、智能卡的安全检测系统,提升网络安全综合检测能力。完善统一网络信任体系,构建互联网统一身份认证平台,拓展可信数据保全、可信时间戳、电子签名举证、可信标识等新型信任服务。提升信息安全灾难备份平台功能,完善市和区县两级电子政务灾难备份体系和社会化容灾备份服务,构建面向大数据服务的异地灾难备份系统,满足不同层次的灾难备份需求。
重点专项20:完善网络安全监管和应急处置。建立涉及国计民生重要信息系统和影响城市运行关键基础设施目录,完善全生命周期的网络安全监管机制。建立健全重点行业网络安全保障单位责任制体系,继续强化风险评估、等级保护、分级保护、安全测评、电子认证等基本制度的落实。深化网络安全应急管理,严格执行预案编制、应急演练、事件报告、调查处理等制度安排。建立健全网络安全审查制度,开展政务领域信息技术服务安全审查,完善信息技术产品采购及服务外包的评估和规范。
重点专项21:加强网络空间综合治理。开展网络空间综合治理专题研究,创新互联网治理模式,促进互联网行业自律,形成网络自我净化机制,提升网络社会管理能力。严格落实手机实名制,探索推进网络实名制,加强个人信息保护安全测评和监管。推进垃圾短信与网络欺诈监测、假冒网站发现与阻断等技术手段建设,加快在市民日常生活相关领域的应用部署。加强无线电领域安全执法,加强对“伪基站”、“黑电台”的清理整治。推进网络社会征信网、“12321”等网络治理投诉举报平台建设,形成网络空间综合治理合力。
重点专项22:提升全社会网络安全意识。加强网络安全日常宣传,将网络安全知识作为市民素质教育的重要内容,帮助市民逐步认识生活中面临的网络安全威胁。每年举办网络安全宣传周和技能竞赛,通过广播电视、微博微信、移动应用等加强网络安全知识普及、法律宣传和案例分析,切实提高市民网络安全保护意识。研究建立举报奖励机制,鼓励和引导市民加强对网络安全的监督,共同维护网络秩序,有效净化网络环境。
四、保障措施
( 一)完善法规政策。
对接国家相关政策规划,在放宽信息咨询设计、信息系统集成等领域市场准入,鼓励民间资本以参股方式进入电信市场,降低互联网企业设立门槛,促进集成电路产业发展等方面,完善相关地方立法、配套政策和制度规范。加强网络安全综合立法,推动电子交易信息安全保障、个人信息保护等领域立法,研究城市关键基础设施网络安全管理办法。把握信息技术发展趋势,围绕云计算、大数据、物联网、网络视听、互联网金融等“四新”发展,探索制定相关扶持政策。
( 二)加强标准化建设。
围绕公共信息资源开发利用,智慧社区、智慧村庄、智慧商圈、智慧园区、智慧新城建设,电子商务发展等需求,推进相关技术、应用、管理规范的建立和实施,积极参与国际和国家标准、规则的制定修订。鼓励企业和社会组织加强行业信息技术标准体系建设,发挥标准的技术支撑作用。支持新一代信息技术领域知识产权专利池建设,推动创新成果产业化。加强信息技术知识产权保护,做好专利布局和风险防范工作。
( 三)拓宽投融资渠道。
充分利用政府相关发展专项,推进智慧城市相关技术研发和产业化及其示范性应用,发挥财税政策杠杆作用,加大市场投入力度,引导金融机构信贷投放向智慧城市建设相关领域倾斜。完善贷款贴息、资本金注入、服务外包补贴、融资担保等政府资金支持方式,吸引社会资金参与智慧城市建设。探索智慧城市领域政府与企业联合建设运营模式。
( 四)鼓励自主创新。
结合“四新”发展,依托企业主体,推进关键技术研发创新和应用,形成具有核心竞争力的自主技术、自主产品和自主企业。积极承担国家相关科技攻关任务,加快相关创新成果的应用和产业化。推动国产芯片、软件、整机和解决方案的部署和替代,在机关和国有企事业单位率先使用。营造有利于自主创新的环境,推动产学研用相结合,鼓励创新平台建设,引导中小企业利用平台加快新技术研发应用。围绕中国(上海)自由贸易试验区建设,推动跨境电子商务、金融信息服务、增值电信业务等领域创新机制建设。
( 五)保障基础设施。
编制全市信息基础设施布局专项规划,并纳入城乡建设和土地利用规划。坚持信息基础设施集约建设和资源共享,推动市政及公共设施资源向信息基础设施开放。加强住宅建筑通信设施第三方专业维护,实现电信企业平等接入和用户自主选择。优化4G基站建设审批流程,做好相关4G频段的释放及储备工作。推动电信运营企业不断优化资费结构,促进通信资费合理下降和收费透明。建设“宽带上海”地图工程,引导提升信息基础设施服务水平。
( 六)加快人才培养。
购物车(0)