网络安全建设总结范文1
关键词:金融服务;外汇管理;网络安全
中图分类号:F830.92 文献标识码:B 文章编号:1674-0017-2016(12)-0098-03
一、引言
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
近年来,利用网络漏洞实施网络攻击,造成金融信息泄漏、金融服务中断的事件屡见不鲜。2015年我国金融行业遭受网站仿冒页面10.62万余个,占总量的59%,发生数据外泄事件33起,被盗数据77605972项,遭遇1Gbit/s以上的DDos(分布式拒绝服务)攻击近38万次,金融领域已成为网络安全防护的重点。
基层外汇局承担着辖区外汇管理改革和相关外汇服务的职能,信息化应用和网络规划较早,现所有业务受理、数据监测统计都依托系统和网络开展。近年来,系统经过了多次升级完善,但网络未进行较大改进,已经无法满足新时期网络安全的要求,急需采取措施防范风险。本文通过分析当前基层骨干网络存在的安全问题,研究安全网络应具有的特性,提出安全防控的建议,旨在建立安全可信的网络环境,确保基础网络和关键信息系y的安全运行。考虑到网络自有信息的敏感性,本文对网络产品型号、参数配置等信息进行了屏蔽。
二、基层骨干网络基本情况
(一)基层骨干网络的定义及作用。基层骨干网络是指国家外汇管理局(以下简称“总局”)和各省分局之间,通过租用运营商线路,形成的独立的、专用的网络。区别于公共互联网以及人民银行分行到总行、分行到中心支行的网络,专门承载外汇局各业务系统和内部门户的基础支撑网络。骨干网络涵盖终端、服务器、网络设备和运营商线路等硬件,各类操作系统、数据库、中间件、安全防护等软件,独立IP地址、权限管理和运维应急手册等相关制度。
(二)基层骨干网络的历史和现状。20世纪90年代我国互联网应用初期,分局与总局之间采用拨号上网的方式互联,2000年分局申请了与总局的帧中继专线。
随着网络技术的发展和外汇局信息化要求的提高,2003年底,为了实现骨干网全网提速,支持新兴的网络应用,全面提高网络可用性、稳定性和可靠性,在总局的统一部署下,对分局骨干网络进行了扩容改造。改造后的骨干网继续采用原有的星型拓扑结构,分局增加了1台路由器,通过租用电信运营商2条专用链路,与总局核心路由器直连。制定了分局IP地址管理规范,和总局上联的路由设备及分局服务器使用外汇局网段的IP地址,PC终端部分保留外汇局的IP地址,作为人民银行的一个虚拟网络管理,其余终端使用人民银行的局域网络和网段的IP地址,并通过地址映射访问分局服务器和总局网络。外汇局基层骨干网络雏形基本形成。
2008年为进一步优化网络结构,总局为分局骨干网络新增了2台交换机和1台路由器。将原来与总局连接的2条捆绑2M链路拆分,将其中1条连接到新增的路由器上,重新部署动态路由协议,使得拆分后的2条链路实现热备和负载均衡。2台新增交换机通过堆叠方式互联,并分别与原有的及新增的路由器连接,另一边连接分局内部网络。内部网络方面,分局与辖内中心支局使用人民银行广域网连接,与辖内商业银行使用人民银行金融城域网实现互联。至此基层骨干网络构建完成,一直沿用至今。
三、基层骨干网络安全特性研究
(一)总体来说,安全的网络要遵循以下几个原则。1.平衡分析原则。绝对安全的网络是不存在的,也没有存在的必要。在设计网络时,要综合考虑需求、风险和实现代价这三方面的因素,平衡三者之间的关系,确定最优的方案。
2.网络安全原则。网络安全体系应当包括安全防护、安全监测和安全恢复三个方面,能对各类安全威胁进行及时防护,第一时间发现并阻止对系统造成的攻击和在安全措施失效时及时进行应急处置和内容恢复,减少带来的损失。
3.高可用性原则。网络是基础环境,通过其上运行的各类系统和应用实现价值。因此网络要满足应用提出的稳定性、可靠性和方便性等要求。
4.可发展性原则。整体规划设计要综合考虑网络规模的升级改造,网络结构的优化调整,要求网络能适应规模及安全需求在一定时间和范围的变化,具有可发展性,容易进行调整和升级改造。
安全的基层骨干网络应通过应用当前最新的网络技术和产品,设计合理的网络结构,满足当前外汇业务系统需求并预留足够的可扩展性,在兼顾方便高效的同时,符合网络信息安全的要求。
安全的基层骨干网络要具备以下特性。
1.网络结构合理,功能区域明确,网间边界清晰。
2.采用必要的线路和设备冗余,避免单点故障,提高整体网络的可用性。
3.对网络中的IP地址进行合理规划,采用访问控制和身份认证等手段,防止未经授权的用户和终端接入内部网络。
4.构建运行维护及应急响应等管理机制。
四、基层骨干网络安全防控建议
(一)按功能分区优化网络结构。为了确保合理的网络结构,骨干网络应按照功能划分为三个区域。骨干网络上联区域(以下简称“上联区域”)、分局局域网服务器区域(以下简称“服务器区域”)和分局局域网终端区域(以下简称“终端区域”)。所有区域采用设备冗余和链路冗余的方法,防止发生单点故障。最外层部署核心路由器,一端通过运营商线路和总局网络相连,另一端通过防火墙和里层核心交换机相连接,核心交换机的另一端分别与分局局域网中的服务器区域和终端区域相连。
(二)拆分链路,调整与总局互联方式。总局两地三中心广域网的主体结构,采用光传输线路,分别是生产中心与同城备份中心基于裸光纤的链路、生产中心与灾备中心基于SDH的链路、灾备中心与同城备份中心基于SDH的链路,形成底层数据的光传输环状主干网络。
基层骨干网络与总局的互联方式需要调整,首先由原来租用单一线路运营商的2条SDH专用链路改为租用两家线路运营商各1条SDH专用链路,提高线路可用性。其次调整互联目的地,原来2条线路均接入生产中心,新的骨干网络1条线路接入生产中心,另1条线路连接灾备中心,两条链路互为备份。当连接生产中心的线路出现故障时,分局网络通过连接灾备中心的线路,经过总局环状广域网与生产中心连通。该调整,既保证了与生产中心的链路冗余,又实现了与灾备中心的互联,在满足安全要求的同时,节约了成本。
(三)从管理和技术入手,构建网络安全。安全的网络要拥有合理的网络结构,有效的安全防护策略和完备的日常管理。基层骨干网络主要从结构优化、身份认证、访问控制、杜绝单点故障、安全产品选择和运维保障等方面构建安全的网络。
结构优化:基层骨干网络按照功能进行分区,与人民银行内部网络实现分离,分局终端统一部署在人民银行网段,网络结构清晰明确,便于安全防护。
身份认证:采用固定IP地址对接入网络中的终端进行身份标识,通过MAC物理地址绑定的功能实现身份认证,当终端发起上网请求时,首先判断其IP地址和MAC物理地址是否匹配,匹配的情况下,终端才被容许接入网络。同时,关闭交换机中不使用的端口,防止其它非法计算机和用户接入网络。
访问控制:对网络中的IP地址进行分组,根据访问需要,制定组与组之间的访问策略,容许满足条件的访问,防止条件外的非法访问,禁止各分局之间的直接访问。同时关闭网络设备的PING、TELNET、FTP、SNMP等高危服务,严禁协议数据、业务数据和管理数据以外的数据在网络中传递。
杜绝单点故障:基层骨干网络应采取双机热备模式,即网络中配置双路由器、双通信链路、多交换机和双防火墙。每个节点由原来单一的设备改造为两台同型号设备,分别定位为主备设备,主备设备间要实现互联,主设备发生故障时,备设备要在规定时间内接管主设备的任务,提供不间断的网络服务。
安全产品选择:基层骨干网络在关键设备上均应采用我国自主研发产品取代现有的国外设备。
运维保障:构建运维保障长效机制,从管理的角度实现网络安全。编制《分局信息安全管理办法》、《系统运行维护制度》、《应急预案》、《网络设备用户手册》等文档。内容涵盖网络日常巡检、安全风险评估和应急响应等,具有详细的操作流程和实施步骤,并在日常工作中严格执行。
参考文献
[1]李伟.网络安全实用技术标准教程[M].北京:清华大学出版社,2005。
[2]朱萍.计算机网络信息安全及防护策略研究[J].科技资讯.2016,(2):29-30。
[3]王世伟,曹磊,罗天雨.再论信息安全、网络安全、网络空间安全.中国图书馆学报,2016,(4):4-28。
[4]杨晨.信息时代下计算机网络安全技术初探[J].网络安全技术与应用,2014,(1):108-109。
[5]宋欣蔚.计算机网络可靠性研究[J].信息与电脑:理论版,2016,(6):158-159。
The Study on the Backbone Network of SAFE Branches
Based on the Perspective of Security
WANG Mengyang
(Xi’an Branch PBC,Xi’an Shaanxi 710075)
网络安全建设总结范文2
关键词:信息管理机构;网络系统;网络拓扑结构;网络安全管理
中图分类号:C93 文献标志码:A 文章编号:1673-291X(2012)07-0194-02
一、信息管理机构网络系统的选择和设置
1.操作系统的选择。从目前网络系统的发展来看,主要有以下三个系列操作系统:Nonvell网络操作系统、UNIX网络操作系统和Microsoft网络操作系统。Novell网络操作系统是目前世界局域网市场的主导网络操作系统;Microsoft网络操作系统以不仅可以建设局域网而且还可以建设大型网络;UNIX网络操作系统是一个多用户网络系统,系统的扩充性和开放性相对前两者比较缺乏,而网络扩充性和开放性正是衡量网络操作系统的重要指标。
2.传输介质的选择。网络通信传输介质是构成网络设备之间重要的物理通路,在网络设备之间起着重要的互连和通信作用。目前主要使用的网络介质有双绞线、同轴电缆以及光缆等。因为传输介质决定了网络的传输率、网络段的最大长度以及传输的可靠性,因此传输介质的选择直接影响着网络的效率。(1)双绞线。双绞线由两根绝缘导体以螺旋形合在一起,线芯是铜线或镀铜钢线。双绞线主要用于点到点的通信,不适宜直接做分支传递。但由于双绞线价格便宜、结构简单、安装方便等特点,一直在网络建设中得到广泛应用。(2)同轴电缆。同轴电缆由同心的内导体、电绝缘介质、屏蔽层和外套组成,常见的有粗缆和细缆两种。同轴细缆的电气特性较好,非常适合于高频信号,电缆对外辐射信号较小,同时抗干扰能力强,是局域网中使用最广泛、技术最成熟的通信媒体。(3)光缆。光缆不同于以上两种介质,它传输的是光信号而不是电信号。光缆由一束或多束光导纤维组成,是一种最新的通信媒体。传输的电传导媒体相比,它有极高的通信速率(每秒可达数百兆位),有很强的抗电磁干扰能力和很低的传输损耗。但光缆连接比较困难,连接器件价格高,在局域网中很少使用。综合以上各介质特点,可以结合整个网络的设计要求、实际应用要求和环境,作出决定采用何种介质。一般总线网多用同轴细缆,而星形网多用双绞线。
3.网络拓扑结构的选择。网络节点的地理分布和互连关系上的几何构形称为网络的拓扑结构。作为计算机局域网的拓扑结构,常见的有星形、总线形、环形和复合形等。从连接的简便性来看,总线形最简单,网络节点与传输媒体的连接实际上是无源的点接触,而环形节点要通过环插入器与媒体连接,星形的连接中心(HUB)可以是无源的也可以是有源的。从扩展性来看,总线形与星形的扩展性比环形优越,特别是星形最适于办公室布局。信息机构自动化系统可以吸取各拓扑结构的优点,采用总线形与星形相结合的复合形,这样在网络系统的建设过程中,不仅安装简单,而且易于扩展和管理。再有,总线型网络的特点是由一根网线连接所有的计算机的网络结构。总线型网络结构的优点是结构简单、成本低廉、安装容易。其缺点是整个网络的故障率高,一瘫全瘫,查找故障点也较困难,不利于以后扩展。环型网络的优点是整个网络中的数据传输不会出现冲突,结构比较简单。其缺点是一瘫全瘫,查找故障点困难,不利于以后扩展。星型网络的优点是不会一瘫全瘫,查找故障容易,当增加和减少网络中的计算机时不会造成瘫痪,未来扩展方便。其缺点是安装较前两种结构复杂,需要购买集线器。比较三种结构,电子阅览器室作为一种局域网,为使电子阅览室有可扩展性和易维护性,星型结构是首选,传输介质的选择多用双绞线。
二、网络系统环境的规划和管理
1.确定并建设主机房。为了使计算机网络系统能够充分发挥其特有的功能,必须选择合适的主机房环境,并对各种设备进行妥善的安装。机房建设要考虑以下要求:机房总体装修要求;机房环境要求;机房供电和照明要求;接地系统;防火要求;通信系统。机房要选取在信息机构的中央部分,外界环境良好,以便于布线和管理。机房供电和照明要有专门的易于维护的线路,接地系统要稳定可靠,尽量避免不良干扰,同时也必须有良好的消防设备和通信设备。
2.工作站数量和位置。根据系统要求和实际运行情况确定工作站的数量和工作站应摆放的位置,要留有充分的扩展余地。网络系统的建设首先应考虑信息机构自动化系统要实现的功能模块有哪些,各个业务部门要根据工作需要应配备多少台工作站,随着业务工作的拓展应留有多少个扩充接口,对于图书流通和读者查询两个子系统要充分考虑信息机构的发展规模和信息资源的分布。
3.布置网络地线。为了消除噪声、避免干扰,使计算机系统稳定可靠地运行,网络系统必须保持良好的接地。对于地线的处理应该符合以下要求:(1)在机房内不允许与交流地线相短接或混接,以减少干扰。(2)计算机系统的接地,要求接地电阻越小越好。(3)交流线路走线,不允许与直流地线紧贴或平行敷设。(4)直流地线网的设计,应做到机柜的地板下有直流地线,以便相接。
4.安装和测试所有设备和线路。网络系统的安装主要包括文件服务器的配置和工作站的安装,其中最主要的工作是对文件服务器的配置和安装。在安装前,首先用测试工具检查服务器与各工作站之间物理连接是否正确、畅通,检查服务器主机是否符合要求(硬盘、内存指标)。安装、设置好有关硬件(网卡等),避免服务器主机内的硬件冲突。为进一步测试两台机器之间物理连接是否畅通,可以使用Net Ware提供的Comcheck程序,该程序用以检验互连的站点之间是否可以进行点到点屏幕通信。
5.培训网络工作站的所有用户。对于大型网络,系统管理员应有两人以上,以便在任何时候都有一人在现场进行管理维护工作。对网络工作站的操作人员必须进行全面的培训,包括软硬件知识、网络知识、应用系统知识等,以应付日常工作出现的突发故障。要求每一个网络用户都必须在自己的规定权限内工作,严禁越权操作。
三、网络安全管理与维护
1.建立健全各类管理系统的规章制度。这些制度包括机房与设备管理制度、自动化系统的使用规定、工作人员岗位职责和主要网络系统资料存档制度等。机房与设备管理制度应包括主机房安全管理规定、文件服务器管理规则、通信设备和工作站管理规则、主服务器和工作站的操作规程、主要数据定期备份制度和外来软盘使用的审批制度等。自动化系统的使用规定,主要应制定一些对系统应用软件以及部分工具软件的管理制度,建立系统应用各级口令保密制度与定期更换制度。工作人员岗位制度包括网络系统管理人员、工作站操作人员、硬件维护人员、软件维护人员和网络值班人员的岗位职责。网络系统资料存档制度包括网络系统与各类软硬件使用说明书、网络发生故障的主要处理办法的记录、网络通信布线图、网络安装的主要技术指标以及硬件配置的主要技术参数等。
2.网络安全工作。对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度),安装必要的防毒软件和防火墙软件,网络数据进行及时备份。如果经费允许,安装硬盘保护卡能够防止硬盘文件被误删和计算机病毒感染。另外在对工作人员进行系统操作的培训时,还要特别加强对工作人员的安全意识的培训,让工作人员认识到违规操作和病毒给系统所带来的危害和不良后果,从而提高安全防范意识,以确保系统的安全运行。
3.建立严密的权限级别和口令体系。权限级别和口令体系是应用最广泛的网络安全保护措施,对不同业务的网络用户,我们限制其不同的目录权限和读写、管理、建立、删除、修改等权限。如采购部分对本部门所涉及的数据库和程序进行操作,对中央书目数据库只有读的权限,而没有写、删除和修改的权限。与本业务无关的数据库坚决杜绝权限滥设。对各个子系统的操作人员应根据岗位级别设立各级不同的口令,比如流通子系统可以分别设立不同的外借人员口令、数据管理口令和系统管理口令。口令的设置一定要特别,并建立定期更换制度,以防止对网络用户的非法访问。
4.做好病毒防范工作。具体措施:可以购买网络防病毒软件,以便实时监测网络中运行的软件是否感染有病毒。平时,对在网络中运行的程序来源要严格检查、控制,防止未经授权的应用程序在网络或单机环境中运行。另外,尽可能采用无盘工作站,以减少病毒的侵入点。
5.保护系统运行的良好环境。网络系统的运行必须确保良好的环境,否则再好的安全管理措施也无法确保系统安全可靠的运行。因此,主机房的建设一定要符合主机房环境的严格要求,做到防尘、防潮、抗静电、抗噪声。机房设备和环境最好使用抗燃材料,要随时备有防火设备,在条件允许的情况下,可安装自动火灾报警消防设备。总之,图书馆自动化网络系统的建立和运行是对传统手工图书馆的挑战,自动化的图书馆要体现自身的优势,除了具有良好的系统软件和硬件设备以外,还必须对网络环境进行合理的规划和管理。网络系统的规划一定要科学、合理、规范并保持良好的开放性和拓展性,对网络系统的维护要做到制度化。只有这样,自动化的图书馆才能真正发挥其强大的信息服务优势。
6.网络硬件设备的维护。网络计算机不通的现象经常发生,遇到这种问题时,应检查有无中断号及I/O地址冲突,“网上邻居”中能否找到自己,如果“网上邻居”中能找到自己,说明网卡的配置没有问题。此外可确认网线和网络设备工作是否正常,如果网络连线故障(通常包括网络线内部断裂、双绞线、RJ-45水晶头接触不良),或者是网络连接设备本身质量有问题。或是连接有问题,可以使用测线仪来检测一下线路是否断裂,然后用替代的方法来测试一下网络设备的质量是否有问题。如若发现网络中有部分机器不能上网,则可能是接线器的故障,可先检查接线器是否接通电源或接线器的网络接头连接是否正常,一般采用替换法,以确认是否接线器的故障。通常经过以上的步骤,能检查出网络计算机不通的一般故障。
7.软件故障的处理。制作一张带有DOS或Windows最新版本的系统软件,将系统采用Ghost软件来进行备份,采用Ghost维护与升级。由于用Ghost能将目标硬盘复制得与源硬盘几乎完全一样,并实现分区、格式化、复制系统与文件的一步完成,因而只要将整个硬盘的数据克隆成一个映像文件保存在服务器上,然后就可随时还原到其他硬盘或原硬盘上,方便、快速、省力。同样,系统需要升级时,只要将其中一台工作站升级后,其他的工作站便可用Ghost来升级。
参考文献:
[1] 刘金文.浅析网站建设[J].硅谷,2010,(3).
[2] 钱鑫.现代网络信息安全问题剖析[J].电脑知识与技术,2009,(19).
[3] 高泓.浅论网络信息资源管理[J].南昌高专学报,2009,(5).
网络安全建设总结范文3
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。www.lw881.com究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2是船舶计算机网络拓扑结构图。其中,局域网服务器采用hpcompaqdx7400(pentiumduale2160/1.8ghz/ddr2512m/80g);网关采用industrialcomputer610(p42.8ghz/ddr333512m/80g);交换机采用d-linkdes-1024d快速以太网交换机(10/100m自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amosmail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
网络安全建设总结范文4
关键词:国税系统;网络安全;思考
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
Thinking on Tax System Computer Network Security
Teng Yiping
(Tongji University School of Software,Huaihua419400,China)
Abstract:The tax system is to maintain network security integrity of the state's tax,tax information to ensure the smooth operations of the important factors.To cope with tax returns,sources of revenue management,tax inspectors and tax agents and tax administration reform,service mode,the tax authorities to implement the self-reporting,centralized collection,focusing on inspection,strengthen management,combined with a new computer monitor tax collection mode.Thus,in the new business tax system requirements,the tax authorities starting from their own load building safe and reliable computer networks has important social significance and economic significance.
Keywords:Tax system;Network security;Thinking
近年来,国税系统内部网络建设已经建成了覆盖国家税务总局、省局、市局、县(区)局和农村分局(税务所)的五级计算机广域网;税务系统外部网络也开始逐步与政府信息网、OA平台实现多维度互联。随着计算机网络风险日益增加,如何保证网络安全,是税收信息化改革的重点之一。
一、设计原则
国税系统网络是面向全国各级税务机关和纳税人的多位一体网络,网络设计基于层次化设计原则、开放性设计原则、实用和超前设计原则相结合的思想来完成。合理清晰的网络层次划分和设计可以从根本上保证网络系统的骨干网络建设接入安全、易于病毒隔离、运行稳定。
开放性设计原则保证了网络系统技术符合国标规范,能够获得广泛的硬件支持和软件支持。
实用和超前相结合的原则可以保证服务器采购招标、网络传输线路选型以及网络接口设计等方面从税收工作的实际需求出发,既不盲目投资造成设备浪费也不影响税收信息化工作的顺利进行。
二、总体设计
在网络整体架构设计方面,确定“小核心大”的思想,以骨干网络建设为中心来展开。在设备接入端,各个专业系统的VPN分别应用于不同的网络节点,不同的网络节点平台部署独立的域空间。网络结构为VPN体系结构,网络内部结构透明。在网络拓扑设计方面,各个层面节点之间的网络在逻辑上可实现任意互联,在实际连接方式上完成星状连接。在整体架构上,各个层面网络相互独立,相互透明,为网络安全奠定了基础。在实际的网络层次上,所有的VPN层次平台通过骨干网络来实现叠加,各个VPN接入界面分别与网络的边界重合。
三、设计方案
(一)网络设计
在设计国税系统内部网络时,基于实用与超前设计原则,采用星形拓扑互联的PE路由器与税务总局的服务器互联。这种设计模式既节省了空间,又可以为税收数据进行有效备份和网络的无缝切换提供保障。
(二)路由设计
骨干网络路由设计在组成结构上仅由EP组成,网络内部运行MPLS完成VPN网络设计。数据传输方面,网络的数据包以对等EP路由器的LOOPBACK路由为依据,而被打上相应的MPLS标记。为了达到全网范围内的连接需求,全局网络采用BGP的路由反射器进行网络互联处理,保证数据传输的可靠和安全。
(三)VPN设计
为了防止非法入侵,网络设计过程中,在结构上可为每个VPN每个节点设置一台专属路由器。该路由器通过网络接入各级服务器,指定子网接入端口,实用VALN中继功能。
四、安全控制
在信息时代,国税系统网络安全是关系到国家税收安全的重要因素。为了配合进行纳税申报、税源管理、税务稽查和税务的税收管理与服务模式改革,税务机关推行了自行申报、集中征收、重点稽查、强化管理,并结合微机监控的新型税收征管模式。因此,在新的税收业务需求下,税务机关从自身负载出发建设安全可靠的计算机网络具有重要的社会意义和经济意义。
国税系统网络安全是通过设置用户空间和用户公共路由域进行网络隔离实现的,也就是路由级的隔离。路由隔离技术能够从技术上达到技术加密的标准,还能够有效的降低加密算法带来的延时。基于MPLS的VPN与用户域空间交换第三层信息,使得网络具备手段限制DoS攻击,这与路由设计是类似的。
在国税系统网络运行过程中,要积极采取措施实施入侵检测。入侵检测被认为是防火墙之后的第二道安全闸门,可以与防火墙实现联动,通过收集和分析网络行为、安全日志和其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,以便及时应对,保护网络安全。
同时,在外接口处架设防病毒防火墙,采用专业版的网络防病毒软件,部署好服务器端和客户端的防毒杀毒工作,并严格限制软盘、光盘和U盘等随意在已接入国税系统网络的电脑上使用。
网络安全建设总结范文5
关键词:网络安全;高等教育;教学实践
中图分类号:G642.0 文献标识码:A 文章编号:1002-4107(2016)08-0020-02
网络安全产业是知识密集型产业,网络安全学科与其他学科有很多交叉,是高技术专业,需要构建完善的知识体系。当前,我国网络安全人才储备不足,亟待加强人才队伍建设。2015年6月,国务院学位委员会、教育部决定在“工学”门类下增设“网络空间安全”一级学科,此举充分体现了国家对网络安全的重视,希望将分散在计算机科学、通信技术和软件工程学等学科的相关网络安全科目进行统筹,集中资源和力量来培养网络安全人才。
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,WTO第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型IT或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CPU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。 (二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际IT贸易问题研究,特别是WTO第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避WTO限制,在我国广泛开展IT投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。
(一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
PPT教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的PPT展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDOS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的PPT,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRAMP、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究WTO“国家安全例外”、 中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
按照网络安全专业的特点,学生除了具备相应专业基础知识以外,还需要具备很强的实践能力。诸如学生出勤率、课堂表现、作业完成情况、参加实验和完成实验情况和考试成绩等传统的考核方式不能完全评判学生实际能力,还需增加对学生实践能力的考核,同时分配好各项考核要素权重。传统考核方面,鉴于出勤不一定认真听课,因此可将出勤率和课堂表现考核结合,作业和实验完成情况相结合,再辅以笔试,这样可以较好地评判学生对网络安全知识了解程度。实践考核方面,加强网络安全关键环节的考核内容,传统网路安全专业考核主要是以编程为主。面对新形势,实践考核可针对网络安全体系中的关键节点进行实践考核,例如对持续监控和处理信息系统网络安全问题的综合能力进行考核,增强学生网络安全的系统性实践能力。
在教育部提出加强网络空间安全专业建设的新形势下,网络安全学科建设应以培养具有网络安全体系化思维人才为导向,对不同专业的学生采取差异化授课的方式,并结合创新性教学方法和考核机制,来提升专业人才培养效果,为国家安全提供基础性和专业性人才保障。
网络安全建设总结范文6
关键词:电子政务 政务外网 总体设计方案
一、前言
2004年9月30日,根据中办发[2002]17号文件(《国家信息化领导小组关于我国电子政务建设指导意见》)以及中办发[2006]18号文件(《转发〈国家信息化领导小组关于推进国家电子政务网络建设的意见〉的通知》)要求,国家发展和改革委员会正式批复《国家电子政务外网项目立项》(发改高技[2004]2135号),明确该项目由国家信息中心负责组织建设。国家电子政务外网项目一期工程的主要任务包括:建设统一的网络平台,建设数据交换中心、安全保障系统,承载相关政府部门的业务应用系统,支持相关部门的专网接入,形成统一的管理服务体系等。
山西省电子政务外网是国家电子政务外网的省级节点,是国家电子政务外网项目的重要组成部分,同时也是国家要求尽快建设的项目。根据国家电子政务顶层设计要求,山西省电子政务外网(一期工程)总体方案,十分强调和突出全局观。山西省的电子政务建设是一个长期、复杂的发展过程,很多问题需要在实践中总结经验,为此,山西省提出了分期建设的思路,先行搭建统一的外网平台的基本架构,在此基础上不断完善和扩展,通过不断的探索和学习,逐步实现建设统一外网平台的任务。
图1 山西省电子政务外网总体框架
山西省在实施电子政务外网总体方案时,十分注重统筹协调电子政务建设中各个方面的关系。外网平台建设与山西省电子政务总体建设工作紧密相关,涉及的部门多、地域广、业务领域宽,为此,在进行电子政务外网建设方案设计时,通盘考虑了现实和未来各业务部门应用系统对网络支撑环境的具体要求,以保证外网平台既满足各应用系统的现实需求,又兼顾网络的可扩展性,为各业务部门的潜在需求提供必要的支持。按照这样的原则,山西省电子政务外网一期工程建设目标归纳为:“统一的网络平台、统一的应用支撑平台、统一的信息交换平台、统一的安全保障体系和服务体系”。
二、总体框架
山西省电子政务外网一期工程总体框架如图1所示。一期工程将建立标准统一的网络平台,支持相关政府部门的专网接入;建设省级外网网管中心;建设政务外网数据交换中心和外网综合门户网站,形成统一的外网服务体系;促进电子政务业务应用系统的互联互通、资源共享;建设政务外网安全保障体系,保证政务外网的信息安全和网络运行稳定。
从技术实现层面讲,山西省政务外网(一期工程)建设的整体基础架构分为基础网络层、业务实现层和应用系统层(如图2所示)。
图2 山西省电子政务外网基础技术架构
三、外网一期工程建设内容
根据项目规划,山西省电子政务外网(一期工程)将上联国家电子政务外网,横向联接省内各直属厅局,纵向联接11个市级政务外网,边界通过逻辑隔离联接Internet。
一期工程建设的工作重点是:按照国家的统一要求,利用公用基础通信设施和现有资源,建设统一的山西省电子政务外网平台,重点内容包括省级城域网和省-市广域网建设,实现山西省直属部分厅局城域网连接和山西省与下属各市的电子政务外网连接;根据国家电子政务广域网安全保障体系的统一标准,建设山西省电子政务外网安全保障体系;建设统一的数据交换中心和服务体系,推进应用服务系统建设,突出重点,实现信息共享、业务协同和网上服务。
⒈网络平台建设
构建统一的电子政务外网网络平台,以外网建设为核心,优先建设省级城域网、外网广域网,一期工程首先实现主要厅局的政务外网连接和省-市的政务外网。具体而言,包括以下内容:省级城域网、省-市广域网、省级网管中心(NIC/NOC)、大部分省直单位及市级政务外网的接入、互联网出口。
⒉安全保障体系建设
政务外网的建设,必须符合中办发[2002]17号文件的精神,满足与互联网逻辑隔离的要求,保障外网及其支撑的电子政务业务系统的安全可靠运行。因此,必须合理划分安全域,实施安全等级保护,建立政务外网的安全保障体系。基于网络建设分阶段实施和投资两方面的考虑,初步建设政务外网安全保障体系,包括如下三个方面的内容:
⑴网络安全防护体系,包括:网络防护与隔离系统,入侵防御系统,接入认证系统,业务隔离和加密传输系统,防病毒,防漏洞系统等;
⑵网络信任体系,包括:PKI/CA系统、权限管理系统和认证授权审计系统;
⑶安全管理体系,包括:按照国家安全保障体系建设标准,建设省级安全管理中心(SOC);以《国家电子政务标准化指南》为标准,贯彻执行国家已有安全法规标准,同时制订符合山西省政务外网自身特点和要求的有关规定和技术规范。
⒊管理服务体系建设
政务外网的建设,不仅是建设网络本身。政务外网的可持续发展,管理服务体系至关重要。事实上,以政务外网为核心的管理服务体系建设,是政务外网建设的重要组成部分,也是未来政务外网运行维护与可持续发展的基础。因此,管理服务体系的完善将贯穿政务外网建设的全过程。具体而言,建立的政务外网管理中心,具有以下职能:
⑴网络信息管理,包括域名注册、IP地址规划等;
⑵网络运行管理,包括网络运行监控、设备配置、故障排查等;
⑶安全管理,包括病毒防范、安全认证、授权管理、证书管理等;
⑷客户服务,包括服务受理、热线服务、接入服务、投诉处理等。
山西省经济信息中心有关部门在现有组织机构和队伍基础上,形成山西省、市二级网管中心原型,承担山西省电子政务外网管理中心的建设和今后的运行维护工作。在此基础上,按照统一的标准规范逐步推广、完善管理服务体系建设。
⒋应用服务系统建设
山西省电子政务应用系统建设应以需求为导向,以应用促发展,紧紧围绕深化经济结构调整,加快新型能源和工业基地建设,面向决策支持和面向公众服务,提高政府部门决策的准确性和科学性,建设高效、公开、勤政的公众服务系统。应用服务系统建设的主要内容包括以下方面:综合门户网站、公文交换、电子邮件、干部在线培训、网上审批、数据存储体系等系统。
山西省电子政务外网建成后,将选择宏观经济管理信息系统、山西省发展和改革委员会(简称“发改委”)的业务系统、“金”字工程项目在网上进行示范运行。例如,结合山西省发改委职能和中心工作,根据业务需求、经济结构调整以及“1311”项目急需的领域,进行业务应用服务系统建设,其主要内容是:
⑴办公业务系统的建设。公文运转系统,包括登记、分办、传批、办理、审核、督办、归档全过程的网上全程流转;文件、信函的智能交换和跟踪系统;政务信息、信息采编、管理信息系统;档案管理信息系统。
⑵综合经济管理业务应用服务系统的建设。主要包括:宏观经济管理信息系统;国民经济和社会发展规划与计划系统;价格监督信息系统;固定资产投资项目管理信息系统;高新技术项目管理信息系统;国外贷款投资及国际合作项目管理信息系统;社会发展信息管理系统;经济结构调整及“1311”项目系统。
⑶数据交换中心建设。建设政务外网数据交换中心,为政务信息资源和国家基础信息资源提供登记、备案、、交换和共享等公共服务,为有需求的部门和地方提供数据备份和托管服务。
⑷对电子政务信息资源目录体系与交换体系进行原型设计。首先,实现山西省政务信息资源和国家基础信息资源的目录服务,包括外网自身的目录(含设备、系统、管理员等信息)、国家政府部门黄页、白页、Web服务的目录(含各级政府部门机构名称、电话、邮件地址、办公地点、网址)等;其次,建立和完善政务信息分类标准、登记制度和交换制度,逐步建立完善的信息采集、登记、处理、交换、利用和平台。
⒌综合门户网站建设
初步建设“面向外网用户、以内容管理为基础”的政务外网综合门户网站。政务外网综合门户网站是政务外网用户的入口网站,是为用户提供信息服务、互动式和“一站式”服务的总门户。
⒍标准规范建设
统一标准规范是实现政务外网互联互通的基础之一。政务外网建设,要遵循统一的标准规范。首先,要遵守国家电子政务外网的标准规范,执行国务院信息化工作办公室颁布的我国电子政务相关标准;同时,依据外网建设的实际需要,采用其他国际相关标准和我国的其他有关国家标准,包括国际互联网工作组(IETF)、国际电联(ITU)、国标(GB)等有关标准。此外,在国家信息中心指导下,山西省信息中心还将结合山西省的实际情况制定有关地方规范,主要涉及外网工程实施的技术要求和规定,包括外网体系结构,IP地址、域名、路由规划,安全保障体系结构,外网接入规范,设备和软件选型参考规范等;同时,要研究制定整体框架标准,数据建模标准,数据交换标准,应用系统标准和应用集成标准等。
⒎设备选型依据
根据山西省电子政务外网建设需求,在方案和设备选型上必须遵循高性能、高可靠性、高安全性、高扩展能力、技术先进性、实用性、灵活性和可管理性等多方面因素相结合的原则。从技术角度出发,核心和骨干设备应采用国内外知名品牌(尽量与国家电子政务外网保持一致),保证质量和服务能力;全网路由器和核心交换机均应具备三层MPLS VPN特性,保证电子政务业务隔离的关键需求;全网设备需具有QoS支持,保证未来视频、语音、数据等业务的流量带宽保证和服务质量;核心网络设备均需满足2.5G核心速率的接口要求。
根据该项目的实际情况和特点,将通过多方面的比较和衡量,选择合适的网络、存储产品以及解决方案,采用高性能的服务器等;门户网站、各应用服务系统则根据具体情况选择实力强、产品适合的软件开发公司定制。
从总体上看,山西省电子政务外网建设项目既是国家电子政务外网建设不可缺少的一个重要节点,又是山西省电子政务外网建设中全局性、关键性的工程项目。统一的外网平台是山西省电子政务系统联结各部门业务系统的桥梁和纽带,是未来政务工作的“高速公路”。政务外网提供的高度集成化、一体化、规范化的服务,其本质是为各业务系统的安全、顺畅、高效的数据传输、信息交换等构造网络基础环境,它是未来实现各业务系统互联、互通、互操作以促进资源共享的基础性工作。因此,应按照统一规划,统一标准,整合资源,保障安全的原则尽快建设好山西省电子政务外网。
作者介绍:
