时间:2023-08-25 09:11:11
引言:寻求写作上的突破?我们特意为您精选了4篇网络安全加固建设范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
前言
东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。
1现状及问题
在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。
2网络安全加固技术方案
按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。
3结语
通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。
参考文献
[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).
[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).
[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
频频发生的信息安全事件正在日益引起全球的关注,列举的近年来的网络突发事件,不难发现,强化提升网络安全风险评估意识、强化信息安全保障为当务之急。所谓风险评估,是指网络安全防御中的一项重要技术,它的原理是,根据已知的安全漏洞知识库,对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。完成一个信息安全系统的设计与实施并不足以代表该信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。
2 网络安全风险评估的现状
2.1 风险评估的必要性
有人说安全产品就是保障网络安全的基础,但有了安全产品,不等于用户可以高枕无忧地应用网络。产品是没有生命的,需要人来管理与维护,这样才能最大程度地发挥其效能。病毒和黑客可谓无孔不入,时时伺机进攻。这就更要求对安全产品及时升级,不断完善,实时检测,不断补漏。网络安全并不是仅仅依靠网络安全产品就能解决的,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。通常,在一个企业中,对安全技术了如指掌的人员不多,大多技术人员停留在对安全产品的一般使用上,如果安全系统出现故障或者黑客攻击引发网络瘫痪,他们将束手无策。这时他们需要的是安全服务。而安全评估,便是安全服务的重要前期工作。网络信息安全,需要不断评估方可安全威胁。
2.2 安全评估的目标、原则及内容
安全评估的目标通常包括:确定可能对资产造成危害的威胁;通过对历史资料和专家的经验确定威胁实施的可能性;对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;准确了解企业网的网络和系统安全现状;明晰企业网的安全需求;制定网络和系统的安全策略;制定网络和系统的安全解决方案;指导企业网未来的建设和投入;通过项目实施和培训,培养用户自己的安全队伍。而在安全评估中必须遵循以下原则:标准性原则、可控性原则、整体性原则、最小影响原则、保密性原则。
安全评估的内容包括专业安全评估服务和主机系统加固服务。专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
目标系统主要是主流UNIX及NT系统,主流数据库系统,以及主流的网络设备。使用扫描工具对目标系统进行扫描,提供原始评估报告或由专业安全工程师提供人工分析报告。或是人工检查安全配置检查、安全机制检查、入侵追查及事后取证等内容。而主机系统加固服务是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
系统加固报告服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。系统加固报告增强服务选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。系统加固实施服务选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由专业安全工程师实施加固工作。
3 网络安全风险评估系统
讨论安全评定的前提在于企业已经具有了较为完备的安全策略,这项工作主要检测当前的安全策略是否被良好的执行,从而发现系统中的不安全因素。当前计算机世界应用的主流网络协议是TCP/IP,而该协议族并没有内置任何安全机制。这意味着基于网络的应用程序必须被非常好的保护,网络安全评定的主要目标就是为修补全部的安全问题提供指导。
评定网络安全性的首要工作是了解网络拓扑结构,拓扑描述文档并不总能反映最新的网络状态,进行一些实际的检测是非常必要的。最简单的,可以通过Trackroute工具进行网络拓扑发现,但是一些网络节点可能会禁止Trackroute流量的通过。在了解了网络拓扑之后,应该获知所有计算机的网络地址和机器名。对于可以访问的计算机,还应该了解其正在运行的端口,这可以通过很多流行的端口发现工具实现。当对整个网络的架构获得了足够的认知以后,就可以针对所运行的网络协议和正在使用的端口发现网络层面的安全脆弱点了。通常使用的方法是对协议和端口所存在的安全漏洞逐项进行测试。
安全领域的很多专家都提出边界防御已经无法满足今天的要求,为了提高安全防御的质量,除了在网络边界防范外部攻击之外,还应该在网络内部对各种访问进行监控和管理。企业组织每天都会从信息应用环境中获得大量的数据,包括系统日志、防火墙日志、入侵检测报警等。是否能够从这些信息中有效的识别出安全风险,是风险管理中重要一环。目前的技术手段主要被应用于信息的收集、识别和分析,也有很多厂商开发出了整合式的安全信息管理平台,可以实现所有系统模块的信息整合与联动。
数据作为信息系统的核心价值,被直接攻击和盗取数据将对用户产生极大的危害。正因为如此,数据系统极易受到攻击。对数据库平台来说,应该验证是否能够从远程进行访问,是否存在默认用户名密码,密码的强度是否达到策略要求等。而除了数据库平台之外,数据管理机制也应该被仔细评估。不同级别的备份措施乃至完整的灾难备份机制都应该进行有效的验证,不但要检验其是否存在安全问题,还要确认其有效性。大部分数据管理产品都附带了足够的功能进行安全设定和数据验证,利用这些功能可以很好的完成安全评定工作并有效的与安全策略管理相集成。攻击者的一个非常重要目的在于无需授权访问某些应用,而这往往是获得系统权限和数据的跳板。事实上大部分的安全漏洞都来自于应用层面,这使得应用程序的安全评定成为整个工作体系中相当重要的一个部分。与更加规程化的面向体系底层的安全评定相比,应用安全评定需要工作人员具有丰富的安全知识和坚实的技术技能。
4 结束语
目前我国信息系统安全风险评估工作,在测试数据采集和处理方面缺乏实用的技术和工具的支持,已经成为制约我国风险评估水平的重要因素。需要研究用于评价信息安全评估效用的理论和方法,总结出一套适用于我国国情的信息安全效用评价体系,以保证信息安全风险评估结果准确可靠,可以为风险管理活动提供有价值的参考;加强我国信息安全风险评估队伍建设,促使我国信息安全评估水平得到持续改进。
参考文献:
[1] 陈晓苏,朱国胜,肖道举.TCP/IP协议族的安全架构[N].华中科技大学学报,2001,32-34.
[2] 贾颖禾.国务院信息化工作办公室网络与信息安全组.信息安全风险评估[J].网络安全技术与应用,2004(7),21-24.
[3] 刘恒,信息安全风险评估挑战[R],信息安全风险评估与信息安全保障体系建设研讨会,2004.10.12.
[4] [美]Thomas A Wadlow.网络安全实施方法.潇湘工作室译.北京:人民邮电出版社,2000.
[5] 张卫清,王以群.网络安全与网络安全文化[J].情报杂志,2006(1),40-45
【正文】
根据省市财政相关工作要求,我局对本年度网络安全检查和整改工作进行了梳理,现将相关情况总结如下:
一、2020年度网络安全检查工作组织开展情况
自勒索病毒爆发后,我局主要领导和分管领导高度重视,立即对相关工作作出安排。
1、加强领导,完善制度。根据省市工作要求,我局成立以局党委书记、局长为组长、分管领导为副组长、相关股室股长为成员的网信领导小组,负责我局网络安全各项具体工作,结合自身实际,健全完善相关制度。
2、加强网络安全检查。在前期勒索病毒排查工作基础上,我局再次组织技术力量,对局内以及我市各预算单位接入财政网络的情况开展检查工作。我市要求所有使用财政内网的单位必须按照网络安全相关规定和上级要求,所有的终端设备必须做到:
1、所有设备必须内外网分离。
2、所有终端电脑必须设置6位三种符号以上的开机密码。
3、所有终端电脑必须安装亚信杀毒软件。
4、所有设备必须使用有线连接。
5、所有终端除正常办公需要的软件外,其它无关软件全部卸载。
3、加强基础设施建设。我局机房建设时间长,缺乏网络安全设备,我局在勒索病毒爆发后立即进行整改,按照省市相关文件和网络安全等级保护制度制定专业的网络机房建设方案,已通过招标进行实施。
二、存在的主要问题
通过前期的网络安全检查和整改,目前我市所有预算单位已规范接入财政网络,使用人员的安全防范意识明显提高,全市财政网络运行总体较为安全平稳。但仍存在一些问题和薄弱环节,主要表现在以下三方面。
1、制度建设方面。我局虽然制订了《阆中市财政局网络安全制度》,但根据中省财政部门的要求,仍存在日常管理操作不规范、未定期对安全管理制度进行更新等问题。
2、安全意识方面。在前期工作中,我局对使用财政网络的用户,均进行了网络安全宣传教育,但宣传教育的内容比较片面,没有细化普及安全知识和培训相关的防范技能。
3、组织保障方面。我局虽然成立网信领导小组,但由于编制受限,没有专门的网络安全技术人员,无法分设系统管理员、安全管理员等岗位。
三、整改措施及计划
1、强化制度建设。根据《中华人民共和国网络安全法》和中省制定的各项财政网络安全规定,建立健全网络安全和应急处置机制,完善各种制度和文件资料。
面对全球市场化的挑战,企业要实现跨地区、跨行业、跨国经营的战略目标,要把工作重点转向技术创新、管理创新和制度创新上来,信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标,把工作重心转移到确保“数字化管理”的网络需要上来,紧紧围绕中国石油规划的计算机局域网改进项目实施,主要从计算机主干网络、网络安全体系、网络数字化管理等方面,提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。本文分析油田网络安全体系和网络管理。
一、网络系统架构
遵循中国石油局域网建设和运维规范,结合各地油田实际,科学规划,从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。
网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则,在主要油气区设置网络汇聚节点,提高网络覆盖面,满足油气生产需要。
网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用,在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点,采用网状组网方式,增加到其他汇聚节点的千兆级电路,提高网络冗余度。
设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机,采用双设备冗余配置。用设备与备份设备双机模式工作,在系统或者硬件故障时候应用自动切换,在硬件层面提高主干网络的安全性、可靠性。
网络带宽。油田的数字化管理全面展开,计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类,逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司,逐级分解,明确了主干网络的带宽需求,初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联,三级节点至网络汇聚节点采用1―2个1000Mbps-ff联,核心网络采用双万兆互联的链路方案。为确保链路的可靠性,主要节点之间采用双链路互联。
二、网络安全体系的规划和构建
如何规划和设计好网络安全体系,是油田数字化管理基础网络建设的重中之重,也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划,各油田计算机网络,对上,与中国石油总部内部网络互联,对外,可以就地通过电信运营商接入Internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时,同步做好网络安全工作,从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划,已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强,非正常应用流量减少90%。在边界层,采用防火墙及IPS技术,实现对来自外网的安全第一级防护;在网络核心层,首次在企业网应用了流量清洗技术,不仅实现了外网第二级安全防护,还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗;在接入层,采用漏洞扫描系统,不定期对敏感业务系统进行扫描和加固,及时发现安全隐患并予以消除;在主干网方面,以建立网络安全体系为核心,加强网络安全管理,初步建立起了主干网的安全评估体系。
1、互联网网络安全。在与互联网的接入部分,按照安全区、信息交换区、互联网接入区三个安全区进行建设,规划两台防火墙,考虑到出口网络万兆升级以及防火墙处理能力,同时为了降低出口网络复杂度,选择自带IPS功能的防火墙,通过防火墙设备完成出口网络
的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。
2、内网安全。通过对目前业界各类安全技术的跟踪和研究,重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面,通过建立流量模型,保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术,部署旁路流量分析监管设备,通过分析网络核心、互联网出口等流量情况,提炼重要业务的特性,建立全网主要业务流量模型,为网络规划建设提供依据。对于P2P等对于网络带宽消耗较大的业务,设定阀值及流量管理规则,使P2P等业务对用户网络访问影响降到最低。另―方面,通过对异常流量的清洗,保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为,选择旁路部署的网络异常流量清洗设备,通过采用策略路由和BGP引流方式实现流量监控与异常流量的清洗,使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起,较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级,也使得系统能应对各类新的攻击。
3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统,不定期对相关业务网络进行扫描,发现漏洞,及时进行系统加固,减少安全事件的发生,提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作,开展安全体系建设,逐步建立较为完善的网络安全管理体系。
三、网络管理
经过计算机网络的大规模建设发展,网络运维工作量规模成倍增长,而网络运维人员没有增加,如何高效运维已经成了追在眉睫的问题,通过不断的调研和测试,我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中,第三方的较为实用,纵观CA、HP等厂家的系统,Solarwinds成为目前比较适合单位实际,能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用:实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测,涉及CISCO、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品,监测参数包括CPU、内存、带宽、会话数等;实现对各类故障的实时告警和管理,以短信等方式及时提醒运维人员;实时展现全网拓扑结构,以图形化界面友好展示网络畅通情况;实现对全网设备的配置自动备份,能进行配置比对,方便技术人员分析设备运行情况;量化统计分析网络及设备的可用性等指标;灵活定制各类报表,方便决策分析和统计。通过自定义方式建立起来的资源管理,极大方便了网络基础数据和资料的管理。
四、结论
在近一年多的实际运维中,主干网络未出现中断、出口通畅,网络可用性达到l00%。网络整体服务能力的各项指标明显提高:网页平均打开时间由15ms降低到7ms;主干带宽利用率保持
参考文献
[1] 程泽兵. 构建油田网络安全防护体系的研究[J]. 中国科技信息. 2005(19)