網絡安全運維管理范例6篇

前言：中文期刊網精心挑選了網絡安全運維管理范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全運維管理范文1

【關鍵詞】網絡；安全等級保護；實施策略

1網絡安全等級保護模型的建構

1.1安全計算環境的建構

其中安全計算環境能夠實現相關等級系統的有效管理，在信息存儲以及處理，安全策略實施過程中，能夠對信息系統的重要情況全面掌控。安全計算環境在其有效區域邊界安全防護中，實現對外界網絡的各種攻擊行為有效防護，并能夠避免出現非授權訪問。針對這一問題，安全計算機環境整體安全防范，也就是針對網絡實施有計劃有標準的安全性改造，以能夠顯著提升系統整體性，以免系統本身出現安全漏洞及缺陷等，出現安全風險或者受到攻擊問題。另外，安全計算環境安全防護工作主要也就是有效防范和控制系統內部的攻擊和非授權訪問問題，以免內部人員因為自身操作方式問題出現破壞行為。

1.2安全網絡環境的建構

在信息系統中，通過網絡能夠有效實現不同計算機和計算域，用戶和用戶域的有效銜接，在不同系統間信息傳輸過程中網絡具有通道作用。網絡可以在系統內外應用，部分網絡信息流在傳輸過程中，都會不同程度的經過不穩定網絡環境。因此，在實際操作中，網絡安全防護工作首先也就需要提高網絡設備的整體安全性，針對網絡中的各個設備制定定期維護方案，以免出現網絡攻擊問題，基于此顯著提升網絡中的信息流總體安全性，在以上基礎上進一步提升通信架構的整體性、安全性以及保密性。在網絡自身安全保密中，可以采用網絡加密技術和本身結合方式，滿足網絡安全等級保護的不同要求。其中在網絡安全域建設中，需要制定相應的網絡結構安全范圍，并實現網絡不同訪問操作的有效控制，在實際工作中也需要重視網絡的安全審計工作，提高相應邊界完整性，以免在網絡運行中受到網絡入侵和攻擊，并可以有效防范出現惡性代碼問題，能夠對網絡設備的安全防護及信息起到有效的保護作用。

1.3安全管理中心的建構

在信息系統中，安全管理中心是重要的安全管理系統，直接影響整個系統的安全管理有效性。安全管理中心作為管理平臺，能夠實現對系統中不同信息安全機制的整合性管理，對于系統中存在的分散安全機制，安全管理中心可以對其實施系統化管理，實現集中管理有助于顯著提升安全防范效果。安全管理中心在應用中，可以系統性統籌管理系統的相關體系域的安全計算域、網絡安全域以及安全用戶域等，并對其實現統一調度和應用，可以實現對廣大用戶身份以及授權的管理，實現對用戶操作和審計過程的管理，實現對用戶訪問和控制，也就可以實現系統的整體風險防范，全面掌握通信架構運行情況，顯著提升網絡安全防護系統的整體效果。

2網絡安全等級保護的實施策略

網絡安全運維管理范文2

關鍵詞：網絡運維；帶寬資產；網絡流量；課題

中圖分類號：TP393.07

對于學校網絡系統，信息中心在管理網絡機房、服務器、存儲裝置的目的就是確保信息資產的安全，還有增設部分維護學校網絡的設施，如有形資產包括路由器、交換機，由于維持網絡的正常連接，而帶寬就可作為一種無形資產。因此，學校帶寬資產管理對于網絡系統運維、信息安全等當面起著十分重要的作用。

1 學校網絡運維與信息安全

1.1 學校網絡運維管理的概念。所謂網絡運維，就是為保障電信網絡與業務正常、安全、有效運行，而采取的一系列組織管理活動。網絡運維系統所用到的設施有網絡中路由器，交換機，服務器，動力系統，存儲設備，防火墻等，還包含對網路系統進行實時監測以及自動生成網絡拓撲的嵌入式硬件設備。按照無形資產的管理方法，對有限的網絡資源卡贊管理和進行有效分配，保證教學、科研和管理工作的需要。

1.2 學校信息安全的重要性。學校信息資源信息作為一種資源，具有普遍性、共享性、增值性、可處理性和多效用性等特點，使其對于需要教學以及多學生進行考試測驗等方面發揮著十分重要的意義。學校信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息具備高度安全性。按照國際標準化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。因此，就需要采取有效對策來保證學校信息安全。

1.3 網絡運維與信息安全的聯系。對學校網絡進行運行和維護的最終目的就是確保學校信息能夠安全可靠地進行資源收集、存儲、傳輸、使用，防范在校學生對不良信息的瀏覽以及不法分子對學生個人信息的竊取，使得學生在安全、可靠的網絡環境中學習，從而取得良好的教學效果。

2 網絡運維帶寬問題的產生

2.1 帶寬概念。帶寬（band width）又叫頻寬，是指在固定的的時間可傳輸的資料數量，亦即在傳輸管道中可以傳遞數據的能力。在數字設備中，頻寬通常以bps表示，即每秒可傳輸之位數。在模擬設備中，頻寬通常以每秒傳送周期或赫茲（Hz）來表示。帶寬在計算機網絡中有兩個方面的含義，一是表示頻帶寬度，即信號所包含的各種不同頻率成分所占據的頻率范圍，頻寬對基本輸出入系統（BIOS）設備尤其重要，如快速磁盤驅動器會受低頻寬的總線所阻礙；二是通信線路所具備的傳輸數據的能力強弱?？偟膩碚f，帶寬就是網絡信息的傳輸速率，指的是每秒傳輸的最大字節數，體現的是網絡系統每一秒處理字節的多少，高寬帶就說明系統具備高字節處理能力。寬帶是總線、內存、顯示器、傳感器等設施重要參數之一，是網絡系統無形資產。

2.2 帶寬不足問題的產生。由于互聯網給人們生活、工作帶來極大的便利，使得我國寬帶用戶長期持續地增加，這樣就造成網絡主干系統信息流量的復雜性。網絡信息爆炸性的發展更加劇系統流量復雜化趨勢，其非線性增長帶給主干網絡巨大的壓力。還有DOS/DDOS惡性攻擊、時常出現的大范圍網絡病毒、網絡各種垃圾郵件的頻頻困擾等網絡問題給網絡正常運行造成嚴重阻礙。這部分不正常的網絡信息流量既占用大范圍的帶寬空間，又長久持續地消耗著計算機CPU、內存等網絡設施的系統資源。因此，采取有效對策對網絡系統流量實施動態監測，并對監控結果開展深刻研究分析，并及時收集、整合、存儲信息，生成資料，編制帶寬管理方案，借以確保學校網絡運維工作的順利開展。這種處理網絡異常信息的需求越來越受到更多網絡運行商的青睞，逐步成為信息安全行業中新話題、新熱點。

3 帶寬資產管理形成的動因

由此可見，帶寬不足的問題已經讓網絡運維進入一個長期困境，將會成為網絡疏通、網絡安全、信息安全、網絡防護等工作的處理難題。由于當前網絡運行環境具有脆弱性的特點，這就使得高寬帶更能發揮其良好的使用價值。對于網絡運行商而言，在不斷提高帶寬承載能力的同時，還應采取科學有效帶寬管理措施，來保證網絡系統高效、快捷地運行，這正是現在學校網絡運維的新課題。就當前的形勢來講，不少網絡監控審計系統選取按照已知的攻擊行為特征來研究分析網絡安全問題的方法，并不能有效對未知攻擊行為作出相應的識別以及監管，使得原有的網絡安全設施在網絡技術應用日益復雜的今天不可避免地產生局限性。這種局限性主要體現在以下方面：一是原有帶寬控制系統的局限性；二是網絡線路串聯式過濾系統的局限性；三是并聯式檢測系統的局限性。所以，為破除網絡安全裝置的局限性，使得網絡運維工作持續、高效地運轉，就應該應用先進的帶寬管理技術。

網絡安全運維管理范文3

本文所論述的自動化運維功能為基于IBM Tivoli成熟軟件實現的。

【關鍵詞】現代大型企業 運維自動化 軟件

1 概述

目前大型數據中心設備數量巨大，且隨時間不斷遞增遞增，但維護人員相對比較少，隨著機器數量的遞增，人員完全無法承擔如此大的維護量。從運維管理模式上看，目前大多數健康檢查、軟件部署、配置管理和變更工作都還由IT維護人員手工運維，隨著設備數量的增長、運維標準的提升、配置和運維規范的日益嚴格，手工運維的模式已經越來越難以實現IT運維方面的高標準要求。

1.1 目前運維現狀

目前運維工作主要現狀為：

（1）大量手工操作

（2）無業務視角視圖

（3）使用著分散的管理工具

（4）且維護、支持的要求和任務日益繁重。

導致問題：

（1）手工錯誤無法避免，很多故障原因為手工配置變更錯誤

（2）業務修復時間過長，達不到高可用性要求

（3）人員的工作強度大，但效率低

（4）無統一管理視圖，管理的偶然問題多。

1.2 運維自動化的總體需求

1.2.1 目前自動化運維需求分為三大類：

（1）任務自動化：主要包含軟件、裸機安裝、補丁升級、配置變更、配置比對、操作審計、合規性檢查、健康檢查和報告。

（2）流程自動化：檢修自動化、事件處理自動化、自主修復和糾正、敏捷地滿足服務需求。

（3）服務自動化：可實現私有云的搭建并融合云管理和其他IT服務的自動化。

基于IBM Tivoli成熟軟件可實現的大部分任務自動化功能和部分流程自動化，從服務器運維自動化、流程自動化和網絡運維自動化進行整體的考慮與規劃。

2 架構說明

2.1 運維自動化管理軟件服務器端由四種組件構成

（1）IBM SmartCloud Control Desk（簡稱SCCD）；

（2）IBM? Tivoli? Netcool? Configuration Manager（簡稱NCM）；

（3）Tivoli Application Dependency DiscoveryManager（簡稱TADDM）；

（4）IBM Endpoint Manager（簡稱IEM）

其中SCCD為運維管理流程平臺，TADDM為配置發現服務器，都不包含客戶端；IEM為完成服務器運維自動化的主要軟件，在每臺納管的主機、PC服務器或者虛擬機上均需要部署相應的客戶端軟件；NCM為完成運維自動化的主要軟件，在首次使用的時候，需要配置網絡設備自動發現腳本，之后NCM將自動發現所有限定的網絡中的設備，并使用相應的權限進行運維管理。

2.2 安全管控措施

為實現在統一平臺上對底層設備的自動化管理和維護提供保障，所有對自動化運維平臺及其所管理的客戶端設備的操作，都必須用ACL控制通過運維審計系統進行登錄，以保證所有管理的網絡及物理設備的安全和穩定等。

3 部署步驟

3.1 運維自動化軟件服務器端部署

3.1.1 SCCD服務器的部署

部署內容：

（1）安裝配置IBM DB2

（2）安裝配置Websphere Application Server Network Deployment

（3）安裝配置Tivoli Directory Server

（4）安裝配置Smart Cloud Control Desk server

3.1.2 NCM服務器的部署

部署內容：

（1）安裝數據庫Oracle11g

（2）安裝配置Netcool Configuration Manager server

（3）安裝配置Netcool Configuration Manager driver

3.1.3 IEM、TADDM及IEM裸機安裝服務器的部署

部署內容：

（1）安裝配置SQLServer2008

（2）安裝配置IBM Endpoint Manager server；

（3）完成IBM Endpoint Manager Fixlet訂閱；

（4）安裝Tivoli Application Dependency DiscoveryManager

完成以上三個步驟之后，即完成運維自動化軟件服務器端的全部安裝，所有server正常啟動之后，將能為納管主機、服務器、PC及網絡設備等提供全部運維自動化管理軟件的各項功能及服務等。

3.2 運維自動化軟件客戶端部署

3.2.1 IEM客戶端安裝部署

部署內容：

（1）在PC上安裝配置IBM Endpoint Manager client；

（2）在服務器上安裝配置IBM Endpoint Manager client；

（3）在虛擬機上安裝配置IBM Endpoint Manager client；

（4）在IBM Endpoint Manager console上查看安裝配置的client注冊到IEM server，并能從navigate tree對所納管設備進行分組管理等工作；

3.2.2 NCM納管網絡設備的發現和管理：

部署內容：

（1）登錄NCM Base Web Portal，設定NCM參數，包括：時區、資源瀏覽可視化、建立worker server resource、建立資源授權、配置FTP資源、配置server pool size、導入網絡設備等；

（2）配置管理網絡設備，完成規則檢查等。

3.2.3 SCCD統一管理平臺配置

部署內容：

（1）建立SCCD調用IEM連接，在SCCD上申請服務和跟蹤服務進度，來完成對服務器運維的自動化管理，包括安裝軟件、補丁更新、巡檢等工作；

（2）創建新用戶，并賦予新用戶事先定義的角色組及角色，由此可以控制使用該用戶名的登錄所能管理和控制的運維自動化平臺內容。

4 結論

本文所述的運維自動化組件，可初步實現服務器和網絡設備的任務運維自動化功能，和部分流程自動化功能：

（1）健康檢查和報告， 實現服務器、小型機、虛擬機（PC）和網絡安全設備的日常巡檢功能。

（2）合規性檢查，對于服務器、小型機、虛擬機（PC）和網絡安全設備的基線要求。

（3）補丁升級，實現所有服務器、小型機、虛擬機（PC）和辦公中終端的補丁升級功能。

（4）軟件分發和裸機安裝，實現包括服務器和辦公終端的操作系統、桌面終端、防病毒軟件和辦公軟件的分發和安裝功能。

（5）配置變更和比對，實現所有服務器、小型機、虛擬機（PC）和網絡安全設備的配置變更和對比。

（6）巡檢和補丁分發流程的周期性流程自動化。

網絡安全運維管理范文4

 

為了貫徹國家對信息系統安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網絡信息系統建設需要進行整體安全體系規劃設計，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進貴州廣電網絡信息化的深入發展。

 

1安全規劃的目標和思路

 

貴州廣電網絡目前運營并管理著兩張網絡：辦公網與業務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公，重要的辦公系統為OA系統、郵件系統等;業務網主要提供貴州廣電網絡各業務部門業務平臺，其中核心業務系統為BOSS系統、互動點播系統、安全播出系統、內容集成平臺以及寬帶系統等。

 

基于對貴州廣電網絡信息系統的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網絡信息系統建設的重要組成部分，是貴州廣電網絡業務開展的重要安全屏障，它是一個包含貴州廣電網絡實體、網絡、系統、應用和管理等五個層面，包括保護、檢測、響應、恢復四個方面，通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網絡就安全域劃分已經進行的初步規劃，在安全域整改中初見成效，然而，安全系統建設不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規劃重點在于對安全管理體系以及目前的各個業務系統進行了全面梳理，針對業務系統中安全措施進行了重點分析，綜合貴州廣電網絡未來業務發展的方向，進行未來五年的信息安全建設規劃。

 

1.2設計原則

 

1.2.1合規性原則

 

安全設計要符合國家有關標準、法規要求，符合廣電總局對信息安全系統的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數據保密程度分級，對用戶操作權限分級，對網絡安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網絡層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術和安全體制，以滿足貴州廣電網絡業務網、辦公網系統中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業務的正常運行，不能為了安全而妨礙業務，同時設計的安全措施要可以落地實現。

 

1.3設計依據

 

1.3.1“原則”符合法規要求

 

依據《中華人民共和國計算機信息系統安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》、《廣播電視安全播出管理規定》(廣電總局62號令)、GDJ038-CATV|有線網絡。

 

2011《廣播電視播出相關信息系統等級保護基本要求》，對貴州省廣播電視相關信息系統安全建設進行規劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。

 

風險管理是靜態的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發現信息系統的漏洞，包括技術上的、管理上的，分析面臨的威脅，從而確定防護需求，設計防護的措施，具體的措施是打補丁，還是調整管理流程，或者是增加、增強某種安全措施，要根據用戶對風險的可接受程度，這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem，INC)設計開發的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分，是一個可以隨著網絡安全環境的變化而變化的、動態的安全防御系統。安全策略是整個P2DR模型的中樞，根據風險分析產生的安全策略描述了系統中哪些資源要得到保護，以及如何實現對它們的保護等，策略是模型的核心，所有的防護、檢測和響應都是依據安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統的安全狀態，通過適當的反應將系統調整至“最安全”和“風險最低”的狀態，在安全策略的指導下保證信息系統的安全[3]。

 

1.4安全規劃體系架構

 

在進行了規劃“原則”、“策略”、“措施”探討的基礎上，我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”，以安全管理中心為核心，構建安全計算環境、安全區域邊界和安全通信網絡，確保業務系統能夠在安全管理中心的統一管控下運行，不會進入任何非預期狀態，從而防止用戶的非授權訪問和越權訪問，確保業務系統的安全。

 

“兩種手段”，是安全技術與安全管理兩種手段，其中安全技術手段是安全保障的基礎，安全管理手段是安全技術手段真正發揮效益的關鍵，管理措施的正確實施同時需要有技術手段來監管和驗證，兩者相輔相成，缺一不可。

 

2安全保陳方案規劃

 

2.1總體設計

 

貴州廣電網絡的安全體系作為信息安全的技術支撐措施，分為五個方面：

 

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業務核心資源的邊界，運維人員的訪問通道。

 

行為審計體系：通過身份鑒別、授權管理、訪問控制、行為曰志等手段，保證用戶行為的合規性。

 

安全監控體系：監控網絡中的異常，維護業務運行的安全基線，包括安全事件與設備故障，也包括系統漏洞與升級管理。

 

公共安全輔助：作為整個網絡信息安全的基礎服務系統，包括身份認證系統、補丁管理系統以及漏洞掃描系統等。

 

IT基礎設施：提供智能化、彈能力的基礎設施，主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區分網絡功能區域，服務器資源區、網絡連接區、用戶接入區、運維管理區、對外公共服務區;其次是在每個區域中，按照不同的安全需求區分不同的業務與用戶，進一步劃分子區域;最后，根據每個業務應用系統，梳理其用戶到服務器與數據庫的網絡訪問路徑，通過的域邊界或網絡邊界越少越好。

 

Z3邊界防護體系規劃

 

邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業務流邊界，邊界上部署訪問控制措施，是防止非授權的“外部”用戶訪問“里面”的資源，因此分析業務的訪問流向，是訪問控制策略設計的依據。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施：

 

1.網絡邊界：與外部網絡的邊界是安全防護的重點，我們建議采用統一安全網關(UTM),從網絡層到應用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(IPS)部署對黑客入侵的檢測，采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網絡邊界上部署VPN網關，對遠程訪問用戶身份鑒別后，分配內網地址，給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業務流邊界：安全需求等級相同的業務應用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發現安全事件時，開啟不同子域的安全隔離。

 

4.終端邊界：重點業務系統的終端，如運維終端，采用終端安全系統，保證終端上系統的安全，如補丁的管理、黑名單軟件管理、非法外聯管理、移動介質管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規劃

 

行為審計是指對網絡用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據，間接的好處乇兩方面：對業務操作的日志記錄，可以在曰后發現操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。

 

2.5安全監控體系規劃

 

監控體系不僅是網絡安全態勢展示平臺，也是安全事件應急處理的指揮平臺。為了管理工作上的方便，在安全監控體系上做到幾方面的統一：

 

1.運維與安全管理的統一：業務運維與安全同平臺管理，提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統一：隨時了解網絡上的設備、系統、流量、業務等狀態變化，不僅是日常運維發現異常的平臺，而且作為安全事件應急指揮的調度平臺，隨時了解安全事件波及的范圍、影響的業務，同時確定安全措施執行的效果。

 

3.管理與考核的統一：安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。

 

安全監控措施主要包括安全態勢監控以及安全管理平臺，2.6公共安全輔助系統

 

作為整個網絡信息安全的基礎服務系統，需要建設公共安全輔助系統：

 

1.身份認證系統：獨立于所有業務系統之外，為業務、運維提供身份認證服務。

 

2.補丁管理系統：對所有系統、應用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執行的技術手段，保證網絡安全基線。

 

3.漏洞掃描系統：對于網絡上設備、主機系統、數據庫、業務系統等的漏洞要及時了解，對于不能打補丁的系統，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規劃

 

IT基礎設施是所有網絡業務系統服務的基礎，具備一個優秀的基礎架構，不僅可以快速、靈活地支撐各種業務系統的有效運行，而且可以極大地提高基礎IT資源的利用率，節省資金投入，達到環保的要求。

 

IT基礎設施的優化主要體現在三個方面：智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規劃

 

在系統安全的各項建設內容中，安全管理體系的建設是關鍵和基礎，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據

 

以GBAT22239-2008《信息安全技術信息系統安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網絡的安全管理體系建設，最終要實現的目標是：采取集中控制模式，建立起貴州廣電網絡完整的安全管理體系并加以實施與保持，實現動態的、系統的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議，要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系，在建設過程中應當以以下思想作為指導：“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎，信息安全管理是信息安全的關鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現信息安全管理最為有效的手段?！?/p>

 

3.4安全管理體系的建設具體內容

 

GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準，結合目前貴州廣電網絡安全管理體系的現狀，對廣電系統的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時，由于信息安全是一個動態的系統工程，所以，貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整，以使管理體系始終適應和滿足實際情況的需要，使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。

 

貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規范和安全教育培訓等方面。

 

通過組建完整的信息網絡安全管理機構，設置安全管理人員，規劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協調法律、技術和管理三種因素，實現對系統安全管理的科學化、系統化、法制化和規范化，達到保障貴州廣電網絡信息系統安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環節，這環的工作做好了可以減少大量的安全威脅，提升整個信息系統的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎，是組織平衡安全風險和安全投入的依據，也是信息安全管理體系測量業績、發現改進機會的最重要途徑。

 

3.5.2網絡管理與安全管理

 

網絡管理與安全管理的主要措施包括：出入控制、場地與設施安全管理、網絡運行狀態監控、安全設備監控、安全事件監控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網絡主要關鍵業務系統需要雙機本地熱備、數據離線備份措施;其他相關業務應用系統需要數據離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構，制定應急響應預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應急響應有線網絡ICATV預案不低于一年兩次的演練，可以在發生緊急事件時，做到規范化操作，更快的恢復應用和數據，并最大可能的減少損失

 

3.6安全人員管理

 

信息系統的運行是依靠在各級黨政機構工作的人員來具體實施的，他們既是信息系統安全的主體，也是系統安全管理的對象。所以，要確保信息系統的安全，首先應加強人事安全管理。

 

安全人員應包括：系統安全管理員、系統管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛人員。

 

其中系統管理員、系統安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括：軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規劃分期建設路線

 

信息安全保障重要的是過程，而不一定是結果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設也應該從保障業務運營為目標，提高用戶自身的安全意識為思路，根據業務應用的模式與規模逐步、分階段建設，同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內容

 

根據安全保障方案規劃的設計，貴州廣電網絡的信息安全建設分為如下幾個方面的內容：

 

1.網絡優化改造:主要是安全域的劃分，網絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署，行為審計系統部署、安全監控體系部署。

 

3.基礎設施改造：主要是數據大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系：網絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監控平臺：入侵檢測、流量監測、木馬監測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統)

 

7.安全服務：建立定期模式

 

8.滲透性測試服務(外部+內部)

 

9.安全加固服務，建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程，建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練，協調改進管理與技術措施

 

6.源代碼安全審計服務(新上線業務)

 

7.信息安全管理

 

8.持續改進運維與應急流程與制度，提高應急反應能力

 

9.提高運維效率，開拓運維增值模式

 

5結東語

網絡安全運維管理范文5

關鍵詞 灰色模型；殘差改進；神經網絡

中圖分類號：TP393.08 文獻標識碼：B

文章編號：1671-489X（2014）08-0132-04

Application of Network Security Forecast based on Improved Grey Model for Electric Power Industry//GUO Zhengwei， MA Wenlong ， HAO Jing

Abstract The paper suggests a new forecasting model for the network security-related problems in the power industry to remedy the shortcomings of the traditional ones which fail to reflect the industry’s overall conditions and cannot accurately predict. The sample data is collected by analyzing the events concerning the network security. Then AHP （analytic hierarchy process） is applied to set up an indicator system to evaluate those data and form a sequential distribution of exceptional values. Based upon that， GM （Grey Model） is introduced to comprehensively predict the conditions of the industry’s information security， and then the prediction results are modified by using artificial neural network method. The simulating tests have also been carried out to prove that the proposed model with improved GM as the basis is viable and valid.

Key words grey model； error improvement； artificial neural network

1 引言

隨著電力行業信息化建設水平的不斷提高，部門之間信息交換愈加頻繁，網絡安全問題日益突出，為行業信息化工作的深入開展埋下了諸多隱患。并且作為重點行業，用戶核心業務及敏感數據的安全保護，生產大區與信息大區分布范圍較廣但信息交換日益增多，網絡結構受地區限制而差異較大，網絡結構復雜等諸多因素決定了行業網絡安全方面的特殊性。因此，針對行業特點，人們提出許多技術措施和管理手段。

但是由于網絡安全涉及多個方面的內容[1-12]，無法簡單地通過某一方面的數據而反映整體網絡安全狀況，現有網絡安全機制出發點在于可視化的網絡管理維護、突發事件的應急管理、風險評定等，這些措施加強了網絡安全的管理，但是缺乏對網絡安全的主動預測，以便提前遏制可能出現的各類安全問題，消除潛在風險。因此，本文通過綜合日常運維工作實際與各項考核指標，提出一種基于殘差改進GM（1，1）模型的網絡安全預測方法。

2 網絡安全預測方法與標準

本文所提出的信息風險預測方法，以災變灰預測[13-14]為基礎，從以往的被動防御方式，如防火墻、入侵檢測技術等，轉換為主動預測的方式，通過對以往網絡安全事件發生的統計分析，包括網絡安全事件發生的頻率、數量[15]、類型以及威脅程度等多個方面，得出原始序列并指定閾值，構造異常序列與時分布映射，通過對時分布序列的GM（1，1）建模，對異常值時分布作預測，使運維管理人員、網絡及軟件工程師提前采取相應的防范措施，消除風險[16-18]。

在結合信息系統安全評價考核指標與日常運行維護所反映出的主要問題后，選擇出重要的樣本類型，具體參看圖1，確定權重。

3 網絡安全預測模型構建

層次分析法 首先將預測參考指標層次化[16]，通過相互比較確定各指標對于安全預測的重要程度，構造判斷矩陣，而后考察判斷矩陣對應于特征根的特征向量是否在容許的范圍內，若通過了一致性檢驗，則再通過層次總排序來決定各個因素的優先程度，即對于網絡安全預測的權重值。

GM（1，1）模型及災變灰預測 如前所述，使用GM（1，1）灰色預測模型，其基本形式為x（0）（k）+az（1）（k）=b，根據此基本形式，可以列出如下兩個矩陣：

Y=（x（0）（2），x（0）（3），x（0）（4），……，x（0）（n））T

網絡安全運維管理范文6

關鍵詞：網絡空間；安全防護；安全體系；建設

中圖分類號：TP309 文獻標識碼：A

隨著信息技術的迅猛發展及推廣應用，網絡信息已成為各行各業管理控制的神經中樞，近期發現的勒索病毒又一次敲響了網絡安全的警鐘，因此，網絡空間安全體系建設已成為影響單位發展乃至社會穩定的重大課題。

一、網絡空間面臨的主要安全威脅

近年來，網絡空間安全得到高度重視，將其設為一級學科、頒發《中華人民共和國網絡安全法》《國家網絡空間安全戰略》《網絡空間國際合作戰略》等，這也說明網絡空間面臨的安全威脅越來越嚴峻，具體來說，主要包括以下4個方面。

一是安防技術總體滯后。網絡空間攻擊與防護自從網絡誕生以來就一直存在，但安全防護技術總是在出現了新的漏洞、新的攻擊方法后，再研究有效的應對之策。目前網絡空間安全防護體系基本上是基于已知的攻擊手段和常規攻擊流程構建的，以被動防御策略為主，通過封堵端口、修補漏洞、邊界防護等方法實現，因此，安防技術的滯后性給網絡空間安全防護體系的構建帶來了技術上的現實威脅。

二是安防設備可控性差。目前我們使用的網絡空間軟硬件系統、標準規范大多靠國外引進，90%以上的CPU和存儲單元、95%以上的系統軟件和應用軟件、85%以上網絡交換元器件都采用國外產品或基于國外開發平臺研制。據國家互聯網應急中心抽樣監測，2016年，中國境內有1699萬余臺主機被黑客利用作為木馬或僵尸網絡受控端，境內約1.7萬個網站被篡改、8.2萬余個網站被植入后門程序，監測到1Gbps以上DDoS攻擊事件日均452起。這一系列數字表明，安防設備可控性已成為日益嚴峻的安全威脅。

三是安防機構機制不全。我國2014年2月成立網絡安全和信息化領導小組，積極推動網絡安全防護管理體系的構建。即將于2017年6月1日起施行的《中華人民共和國網絡安全法》，對國家網信部門、國務院電信主管部門、公安部門和其他有關機關的職責進行了明確，但總體上看，安全保密聯管、網絡安全聯防和信息安全聯控的工作機制也還沒有完全建立，同時，信息系統重建設輕安全、重使用輕防護等現象在一定程度上還存在。

四是安防責任意識不強。在日常應用中將用戶密碼設置為簡單數字、或者設置與用戶名同名，通過即時通信工具發送用戶密碼，用戶密碼在某些共享空間中明碼存放等現象時常存在；在非密級互聯網交流平臺談論敏感信息的事件也經常發生。同時，信息服務提供商的安全意識也不強，2016年12月雅虎先后證實總共超過15億用戶信息遭竊取。因此，無論是普通用戶，還是系統設計、運維管理人員，都存在安全意識不強的問題，自以為信息系統的日常使用出不了安全問題。

二、強力推進技術與裝備體系自主可控

目前我們的網絡信息系統絕大多數是基于國外軟硬件產品構建，是否安全難以掌控，必須強力推進自主可控相關工作。

一是加快自主可控安全技術與裝備的研發。在研制桌面計算機、服務器、手持式、便攜式終端等軟硬件裝備的基礎上，統一規劃構建網絡空間安全自主可控技術產品規范，研制防火墻、路由器、無線接入、證書分發、入侵檢測、輿情監控、防病毒軟件、安全操作系統、安全數據庫管理系統等軟硬件產品，真正構建成體系的網絡空間安全自主可控產品體系，實現從被動防護到主動防護、從靜態防護到動態防護、從局域防護到全域防護的轉變。

二是通過示范試點強力推廣應用。信息技術產品具有很高的技術應用創新性與很強的用戶體驗性，長期處于實驗室驗證階段，難以促進產品的優化完善，真正好的信息技術產品都是用出來的，只有投放市場接受用戶的體驗，才有可能出現這樣那樣的問題。因此，應將研制出來的產品在一定范圍內積極組織示范試點，研發單位動態跟進，不斷優化升級，不斷修改完善。對于重要的信息系統，應在全自主、高可信的基礎上構建更加安全可靠的保底手段。

三是在實際應用中優化完善自主可控技術與裝備體系。要實現真正有效的安全防護，僅靠幾個產品是不太可能的，而是要從技術研究、裝備應用兩方面入手構建體系化安全防護。在技術研究方面，應從物理安全、網絡安全、主機安全、應用安全、數據安全、安全支撐出發，分等級構建相應的技品、參數配置策略、技術實現方案、應急處置預案等；在裝備應用方面，依據信息系統的重要程度及遭到破壞后的影響程度，明確提出裝備使用具體要求，使用戶在病毒與木馬查殺、入侵檢測、防火墻、訪問控制等系統的使用中，能做到設備與設備之間優化配合、安全策略不斷優化，真正發揮自主可控技術與裝備的作用。

三、不斷強化運維與監管體系集約高效

通過系統監控、用戶申報、在線支持等多種技術手段接收、處理各類安全事件，通過風險評估、監察預警、攻擊測試、應急響應、安全審計、檢查評比、強制整改等方式，不斷加強對網絡空間安全體系的監督管理。

一是強化制度管理和全員安全教育。運維和監管都離不開制度的約束，在國家立法、行業規章等方面已有一些網絡空間安全管理措施規定，但對于一個具體的單位或應用系統，還有必要制定更為詳細具體、針對性更強的制度措施，并定期有計劃地開展全員安全教育，讓全體人員知曉哪些操作能做、哪些不能做，在運維人員自我監督、相互監督的基礎上，不斷完善專業監管體系。

二是強化內部管控和各項技術手段運用。大多數網絡空間安全事件來自于內部，既要依靠各項規章制度管理和約束，又要將各類網絡空間安全技術手段和軟硬件設備進行有機組合，形成有效的結構化立體安全運維監管體系，使網絡空間安全運維監管在技術上做到有效監測、即時發現、主動防御，并具備安全事件追蹤能力，才能真正震懾各種內部及外部人員的不安全行為。

三是強化人才培養和網絡攻防演習演訓。真正要確保網絡空間安全運維與安全監管，人才是根本保證，網絡空間安全在技術上高新尖的特點，使得人才的價值更為突出。建設高素質的網絡空間安全防護隊伍，既是社會發展的必然要求，也是網絡空間安全的現實需要。因此，國務院學位委員會、教育部于2015年增設網絡空間安全一級學科，加快推進網絡空間安全高層次人才培養?？偟膩碚f，要堅持科學籌劃、整體部署、突出重點、集約高效，把握網絡空間領域人才成長特點規律，積極創新網絡空間安全人才隊伍培養模式，優化網絡空間安全人才知識能力結構和培養目標，建立良好的網絡攻防演習演訓機制，努力培養一批會管理、懂技術的高素質網絡空間安全專業人才。

參考文獻

[1]王偉光.網絡空間安全視角下我國信息安全戰略理論構建與實現路徑分析[J].電子技術與軟件工程，2015（3）：229-230.

[2]周季禮，黃朝輝.2014我國周邊國家網絡和信息安全建設大掃描[J].中國信息安全，2015（1）：86-98.

[3]徐曉軍.軍工企業信息安全面臨的形勢及對策探討[J].網絡安全技術與應用，2015（6）：11-12.