贵州广电网络总体安全规划研究论文(精选3篇)
贵州广电网络总体安全规划研究论文 篇1
贵州省广播电视信息网络股份有限公司(以下简称贵州广电网络于2008年3月27曰正式挂牌成立,建设了覆盖省内所有市(州)、县(市、区、特区)、乡(镇)的广电光缆干线传输网;完成了全省县及以上城市的有线电视数字化整体转换,数字电视用户已逾350万户;全省各级有线电视网络传输节目总量约250套,提供数字电视基本业务、数字电视自选业务、互动电视、高清电视、多屏看业务、互联网接入、虚拟专网、城市安防和媒资业务等各类服务。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹性服务能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对hacker入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018?2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
本文对贵州广电网络信息系统建设进行了整体安全体系规划研究,通过技术保障和管理制度两方面建立起可靠有效的安全体系,对广播电视系统的信息安全建设具有重要的参考意义。
贵州广电网络总体安全规划研究论文 篇2
贵州省广播电视信息网络股份有限公司 (以下简称贵州广电网络于2008 年3 月27 日正式挂牌成立, 建设了覆盖省内所有市 (州) 、县 (市、区、特区) 、乡 (镇) 的广电光缆干线传输网;完成了全省县及以上城市的有线电视数字化整体转换, 数字电视用户已逾350 万户;全省各级有线电视网络传输节目总量约250 套, 提供数字电视基本业务、数字电视自选业务、互动电视、高清电视、多屏看业务、互联网接入、虚拟专网、城市安防和媒资业务等各类服务[1]。
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针, 需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计, 全面提高信息安全防护能力, 创建安全健康的网络环境, 保护国家利益, 促进贵州广电网络信息化的深入发展。
1 安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公, 重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台, 其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识, 我们认为, 信息安全体系是贵州广电网络信息系统建设的重要组成部分, 是贵州广电网络业务开展的重要安全屏障, 它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面, 包括保护、检测、响应、恢复四个方面, 通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1 设计目标
贵州广电网络就安全域划分已经进行的初步规划, 在安全域整改中初见成效, 然而, 安全系统建设不仅需要建立重要资源的安全边界, 而且需要明确边界上的安全策略, 提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱, 管理细则文件亟需补充, 安全管理人员亟需培训。因此, 本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理, 针对业务系统中安全措施进行了重点分析, 综合贵州广电网络未来业务发展的方向, 进行未来五年的信息安全建设规划。
1.2 设计原则
1.2.1 合规性原则
安全设计要符合国家有关标准、法规要求, 符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的, 包括对信息数据保密程度分级, 对用户操作权限分级, 对网络安全程度分级 (安全子网和安全区域) , 对系统实现结构的分级 (应用层、网络层、链路层等) , 从而针对不同级别的安全对象, 提供全面、可选的安全技术和安全体制, 以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求[2]。
1.2.2 技管结合原则
信息安全保障体系是一个复杂的系统工程, 涉及人、技术、操作等要素, 单靠技术或单靠管理都不可能实现。因此, 必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合[2]。
1.2.3 实用原则
安全是为了保障业务的正常运行, 不能为了安全而妨碍业务, 同时设计的安全措施要可以落地实现。
1.3 设计依据
1.3.1 “原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例》 (国务院147 号令) 、《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27 号) 、《关于信息安全等级保护工作的实施意见》 (公通字[2004]66 号) 、《信息安全等级保护管理办法》 (公通字[2007]43 号) 和GB/T 22240-2009 《信息安全技术信息系统安全等级保护定级指南》、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》 (广电总局62 号令) 、GDJ038-2011《广播电视播出相关信息系统等级保护基本要求》, 对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2 “策略”符合风险管理
风险管理是基于“资产- 价值- 漏洞- 风险- 保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准ISO13335。
风险管理是静态的防护策略, 是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞, 包括技术上的、管理上的, 分析面临的威胁, 从而确定防护需求, 设计防护的措施, 具体的措施是打补丁, 还是调整管理流程, 或者是增加、增强某种安全措施, 要根据用户对风险的可接受程度, 这样就可以与安全建设的成本之间做一个平衡。
1.3.3 “措施”符合P2DR模型
美国ISS公司 (Internet Security System, INC) 设计开发的P2DR模型包括安全策略 (Policy) 、检测 (Detection) 、防护 (Protection) 和响应 (Response) 四个主要部分, 是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢, 根据风险分析产生的安全策略描述了系统中哪些资源要得到保护, 以及如何实现对它们的保护等, 策略是模型的核心, 所有的防护、检测和响应都是依据安全策略实施的[3]。
检测 (Detection) 、防护 (Protection) 和响应 (Response) 三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下, 在综合运用防护工具 (如防火墙、身份认证、加密等) 的同时, 利用检测工具 (如漏洞评估、入侵检测等) 了解和评估系统的安全状态, 通过适当的反应将系统调整至“最安全”和“风险最低”的状态, 在安全策略的指导下保证信息系统的安全[3]。
1.4 安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上, 我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”, 以安全管理中心为核心, 构建安全计算环境、安全区域边界和安全通信网络, 确保业务系统能够在安全管理中心的统一管控下运行, 不会进入任何非预期状态, 从而防止用户的非授权访问和越权访问, 确保业务系统的安全。
“两种手段”, 是安全技术与安全管理两种手段, 其中安全技术手段是安全保障的基础, 安全管理手段是安全技术手段真正发挥效益的关键, 管理措施的正确实施同时需要有技术手段来监管和验证, 两者相辅相成, 缺一不可。
2 安全保障方案规划
2.1 总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施, 分为五个方面:
边界防护体系:安全域划分, 边界访问控制策略的部署, 主要是业务核心资源的边界, 运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为日志等手段, 保证用户行为的合规性。
安全监控体系:监控网络中的异常, 维护业务运行的安全基线, 包括安全事件与设备故障, 也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统, 包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹性服务能力的基础设施, 主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2 安全域划分
划分安全域的方法是首先区分网络功能区域, 服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中, 按照不同的安全需求区分不同的业务与用户, 进一步划分子区域;最后, 根据每个业务应用系统, 梳理其用户到服务器与数据库的网络访问路径, 通过的域边界或网络边界越少越好。
2.3 边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界 (终端与服务器) 、业务流边界, 边界上部署访问控制措施, 是防止非授权的“外部”用户访问“里面”的资源, 因此分析业务的访问流向, 是访问控制策略设计的依据。
2.3.1 边界措施选择
在边界上我们建议四种安全措施:
1. 网络边界:与外部网络的边界是安全防护的重点, 我们建议采用统一安全网关 (UTM) , 从网络层到应用层的安全检测, 采用防火墙 (FW) 部署访问控制策略, 采用入侵防御系统 (IPS) 部署对黑客入侵的检测, 采用病毒网关 (AV) 部署对病毒、木马的防范;为了方便远程运维工作, 与远程办公实施, 在网络边界上部署VPN网关, 对远程访问用户身份鉴别后, 分配内网地址, 给予限制性的访问授权。
2. 安全域边界:内部安全域的隔离一般采用防火墙 (FW) , 用于隔离不同安全需求的业务系统服务域, 隔离用户接入域与服务器域, 隔离安全管理域与普通用户域。在以Web为主的应用服务器前, 采用应用防火墙 (WAF) , 重点隔离针对Web服务的SQL注入、XSS攻击等。
3. 业务流边界:安全需求等级相同的业务应用采用VLAN隔离, 采用路由访问限制策略;不同部门的接入域也采用VLAN隔离, 防止二层广播, 通知可以在发现安全事件时, 开启不同子域的安全隔离。
4. 终端边界:重点业务系统的终端, 如运维终端, 采用终端安全系统, 保证终端上系统的安全, 如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2 策略更新管理
边界是提高入侵者的攻击“门槛”的, 部署安全策略重点有两个方面:一是有针对性。允许什么, 不允许什么, 是明确的;二是动态性。就是策略的定期变化, 如访问者的口令、允许远程访问的端口等, 变化的周期越短, 给入侵者留下的攻击窗口越小。
2.4 行为审计体系规划
行为审计是指对网络用户行为进行详细记录, 直接的好处是可以为事后安全事件取证提供直接证据, 间接的好处有两方面:对业务操作的日志记录, 可以在日后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作, 最大程度地减小损失;对系统操作的日志记录, 可以分析攻击者的行为轨迹, 从而判断安全防御系统的漏洞所在, 亡羊补牢, 可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计 (堡垒机) 、日志审计以及网络行为审计。
2.5 安全监控体系规划
监控体系不仅是网络安全态势展示平台, 也是安全事件应急处理的指挥平台。为了管理工作上的方便, 在安全监控体系上做到几方面的统一:
1. 运维与安全管理的统一:业务运维与安全同平台管理, 提高安全事件的应急处理速度。
2. 日常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化, 不仅是日常运维发现异常的平台, 而且作为安全事件应急指挥的调度平台, 随时了解安全事件波及的范围、影响的业务, 同时确定安全措施执行的效果。
3. 管理与考核的统一:安全运维人员的工作考核就是网络安全管理的日常工作与紧急事件的处理到位, 在安全事件的定位、跟踪、处理过程中, 就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台。
2.6 公共安全辅助系统
作为整个网络信息安全的基础服务系统, 需要建设公共安全辅助系统:
1. 身份认证系统:独立于所有业务系统之外, 为业务、运维提供身份认证服务。
2. 补丁管理系统:对所有系统、应用的补丁进行管理, 对于通过测试的补丁、重要的补丁, 提供主动推送, 或强制执行的技术手段, 保证网络安全基线。
3. 漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解, 对于不能打补丁的系统, 要确认有其他安全策略进行防护。漏洞扫描分为两个方面, 一是系统本身的漏洞, 二是安全域边界部署了安全措施之后, 实际用户所能访问到的漏洞 ( 渗透性测试服务) 。
2.7 IT基础设施规划
IT基础设施是所有网络业务系统服务的基础, 具备一个优秀的基础架构, 不仅可以快速、灵活地支撑各种业务系统的有效运行, 而且可以极大地提高基础IT资源的利用率, 节省资金投入, 达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3 安全管理体系规划
在系统安全的各项建设内容中, 安全管理体系的建设是关键和基础, 建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3.1 安全管理标准依据
以GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准, 对贵州广电网络安全管理体系的建设进行设计。
3.2 安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设, 最终要实现的目标是:采取集中控制模式, 建立起贵州广电网络完整的安全管理体系并加以实施与保持, 实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式, 从而在管理上确保全方位、多层次、快速有效的网络安全防护[4]。
3.3 安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议, 要真正构建符合贵州广电网络自身状况的信息安全管理体系, 在建设过程中应当以以下思想作为指导:“信息安全技术、信息安全产品是信息安全管理的基础, 信息安全管理是信息安全的关键, 人员管理是信息安全管理的核心, 信息安全政策是进行信息安全管理的指导原则, 信息安全管理体系是实现信息安全管理最为有效的手段[5]。”
3.4 安全管理体系的建设具体内容
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》 (以下简称《基本要求》) 对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准, 结合目前贵州广电网络安全管理体系的现状, 对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时, 由于信息安全是一个动态的系统工程, 所以, 贵州广电网络还必须对信息安全管理措施不断的加以校验和调整, 以使管理体系始终适应和满足实际情况的需要, 使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构, 设置安全管理人员, 规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施, 制定严格的安全管理制度, 合理地协调法律、技术和管理三种因素, 实现对系统安全管理的科学化、系统化、法制化和规范化, 达到保障贵州广电网络信息系统安全的目的[4]。
3.5 日常安全运维
3.5.1 安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节, 这环的工作做好了可以减少大量的安全威胁, 提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础, 是组织平衡安全风险和安全投入的依据, 也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2 网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3 备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施[6]。
3.5.4 应急响应计划
通过建立应急相应机构, 制定应急响应预案, 通过建立专家资源库、厂商资源库等人力资源措施, 通过对应急响应预案不低于一年两次的演练, 可以在发生紧急事件时, 做到规范化操作, 更快的恢复应用和数据, 并最大可能的减少损失[6]。
3.6 安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的, 他们既是信息系统安全的主体, 也是系统安全管理的对象。所以, 要确保信息系统的安全, 首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当[7]。
3.7 技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4 安全规划分期建设路线
信息安全保障重要的是过程, 而不一定是结果, 重要的是安全意识的提高, 而不一定是安全措施的多少。因此, 信息安全建设也应该从保障业务运营为目标, 提高用户自身的安全意识为思路, 根据业务应用的模式与规模逐步、分阶段建设, 同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1 主要的工作内容
根据安全保障方案规划的设计, 贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分, 网络结构的改造。
2.安全措施部署:边界隔离措施部署, 行为审计系统部署、安全监控体系部署。
3. 基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4. 安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、日常安全服务等。
4.2 分期建设规划
4.2.1 达标阶段 (2015-2017)
1. 等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别 (一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过 (2级3级系统)
7.安全服务:建立定期模式
8. 渗透性测试服务 ( 外部+ 内部)
9.安全加固服务, 建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程, 建设安全运维管理平台
14.定期安全演练与培训
4.2.2 持续改进阶段 (2018 ~ 2019)
1. 等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4. 深度安全服务
5.有针对性安全演练, 协调改进管理与技术措施
6.源代码安全审计服务 (新上线业务)
7. 信息安全管理
8.持续改进运维与应急流程与制度, 提高应急反应能力
9.提高运维效率, 开拓运维增值模式
5 结束语
本文对贵州广电网络信息系统建设进行了整体安全体系规划研究, 通过技术保障和管理制度两方面建立起可靠有效的安全体系, 对广播电视系统的信息安全建设具有重要的参考意义。
参考文献
[1赵艾丽.贵州广电办公自动化系统设计与实现.2013年厦门大学硕士论文.
[2]张晓.网络安全防范体系及设计原则.中国科技信息, 2005, (11) .
[3]王任.公安院校构建校园网络安全体系的策略探讨.网络安全技术与应用, 2015 (4) .
[4]邓勇.企业信息安全防范与管理系统设计实现.2005年大连海事大学硕士论文.
[5]井光山.信息安全管理体系及其架构.计算机世界, 2001 (6) .
[6]刘延军, 马志明, 李涛.网站信息安全等级保护体系的设计与实施.2014年第七届王选新闻科学技术优秀论文奖颁奖大会论文集.
广电网络如何规划营销渠道论文 篇3
随着市场竞争的日益激烈,“渠道为王、终端制胜”的理念深得人心,甚至出现了“得渠道者得天下”的提法。
随 着 三 网 融 合 的 快 速 推 进 以 及互联网的蓬勃发展,广电网络身不由己地陷入混战之中,自己赖以生存的电视传输服务成为硝烟弥漫的主战场,不得不仓促应战,来不及谋划好产品及渠道战略,代理销售、全员营销、营业厅销售、路演地推、价格战一拥而上,渠道疲于奔命、企业压力倍增。既然无法做到谋定而后动,被动应战的广电网络又该如何规划自己的渠道,扬长避短,在市场竞争中站稳脚跟呢?产品特性
广电网络向市场提供的产品主要是电视和宽带,与通信服务相比,共性都是信号的传输,不同之处是通信服务具有私密性,而广电服务属于家庭产品,也就是说,广电网络的客户是家庭。
广电网络在电视传输方面耕耘多年,市场认知充分,但由于长期提供的是广播式电视服务,在 IP 电视、互联网电视等交互式电视服务面前反而变成了劣势。在宽带服务方面,广电网络虽然探索多年,但由于互联网的互联互通问题,品质始终无法保证,市场形象处于劣势。虽然经过一段时间的产品升级,广电网络的互动电视及宽带服务都得到了较大幅度的提升,但需要努力改变市场认知。
尽 管 困 难 重 重,但 由 于 广 电 网络长期安全播出、公益服务的文化积淀,为客户提供可靠稳定的网络传输与适时贴心的客户服务成为渗透企业上下的基因,成为广电网络企业化改革的重要抓手。与电信运营商从上到下的垂直体制相比、与互联网视频运营商短期快速聚合用户的快速膨胀相比,本地化、贴身式的服务,正是从下至上逐渐发展的广电网络的优势所在,是其他竞争者所不具备或很难短期内复制的,而且是广电网络可深入、持久加以运用的。这就是广电网络的产品特性--服务优先及其渗透深入。客户触点
客户触点是指每一个与客户接触的机会,只有与客户接触,才有可能达成销售。对于广电网络来说,常规客户触点主要包括营业厅、上门维修、呼叫中心三类,间接或临时的客户触点则包括路演活动现场、电视机销售现场、各种形式的网店。
(1)到 达 营 业 厅 的 客 户 大 多 需求较为明确,客户可以直观体验产品,易于被营业员、其他客户、环境所影响,销售达成难度相对较小。
(2)售后服务人员上门维修时客户的戒心较小,此时客户也较愿意与维护员沟通。服务人员可以从家庭装修及布置、家庭成员结构、客户行为、电视机型号等方面判断客户的消费习惯及能力,而优质的服务又较易取得客户好感,销售更为精准,难度也相对较小。
(3)呼 叫 中 心 为 客 户 提 供 咨 询、故障排查服务。对咨询的客户来说,已经有一定的意向,销售达成可能性较大。故障申告的客户首先需要解决的是故障,通过甄别故障类型可以挖掘出不同程度的销售机会。
(4)路演活动接触的客户随机性极大,主要取决于路演现场是否有足够的人流量以及人流量的构成,销售机会难以把握。电视机销售现场客户定位精准,有较高销售机会。
总 的 说 来,营 业 厅、上 门 维 修、呼叫中心、电视机销售现场均有较高的销售机会,路演现场的销售机会高低不一。直销与代理
在渠道设计的过程中,直销与代理的取舍始终是销售管理面临的问题。在市场竞争的不同阶段,品牌影响力、产品竞争力、渠道成熟度、渠道触点均会有所不同,直销与代理的选择应随之调整。
广电网络的市场化,实际上是从有线数字电视整体转换(本文简称“整转”)开始的。在整转大规模实施阶段,广电网络的品牌、产品均不为客户所熟悉,渠道销售能力较弱,而客户触点密集集中在整转路演及办理现场,自有渠道的力量主要集中在服务客户上,忙于业务受理与安装,代理渠道无疑是这个阶段的销售主力。在整转后期,新客户及老客户的新业务需求仍然较为旺盛,广电网络品牌影响力与产品竞争力逐步提升,渠道的能力也得到了锻炼,主要的客户触点开始向营业厅转移,营业厅销售此时显得尤为重要,可根据营业厅销售能力水平从进营业厅销售的代理渠道为主逐步向自有渠道转移,着力培育自有渠道。进入后整转时代之后,品牌建设开始显现效果,品牌影响力得到较大提升,持续的产品优化也带来产品竞争力的不断提升,而此时市场需求也进入相对沉寂的阶段,客户触点开始变得稀缺,把握单个客户触点的销售机会尤为重要。这个阶段,正是需要渠道精耕细作,充分挖掘自有渠道潜力的阶段,除了充分把握营业厅销售机会之外,正是呼叫中心的电话营销及网格的社区渗透大显身手的时候。电话营销
在 不 成 功 的 外 呼 销 售 尝 试 之 后,经过数据分析与录音监听,福建广电网络集团厦门分公司(简称“厦门广电网络”)分离出咨询、故障报修两大话务类型,针对不同话务类型挖掘客户潜在需求。经过分析与试验,厦门广电网络放弃了主动外呼的做法,转变为把握每一个客户的话务呼入进行交叉销售。一般来讲,咨询客户的需求较为显着,对广电网络的产品有一定程度的了解,话务员比较容易发现客户需求,进而达成销售。故障报修客户的需求难以把握,话务员首先需要安抚客户情绪、解决客户反应的问题,同时在 BOSS 里查找客户的消费历史及使用习惯,从客户角度出发提出建议,寻找与客户的共鸣,在满足客户故障报修需求的基础上实现升级。数据表明,电话销售的销售额在厦门广电网络增值业务收入结构中一直稳定在 50% 以上,最高达到近70%.电话营销还有一个很重要的基础,就是产品的竞争力及企业品牌的认知度与满意度,厦门广电网络电话营销成功的背景是其高达 86% 的品牌满意度。
电话营销是远程销售的主要组成部分,与网上营业厅、微信营业厅等在线销售共同组成远程销售渠道。需要注意的是,远程销售对即时性要求较高,在达成销售后需要有流畅的支付、配送、安装及开通流程。网格化
随着人们生活水平的提高,客户的权益意识也在提高。在所有的客户触点中,进小区、上门销售变得越来越困难,与客户见面的机会变得越来越难。对广电网络来说,唯一有可能进小区、上门的就是维修人员,这是一个需要善加运用的稀缺渠道。正因为如此,需要建立一套良性发展机制,激活上门维修渠道、激励上门维修人员,提高上门维修人员的销售意识及主观能动性,在提升服务质量的同时增强销售,实现服务、销售的同步提升,这个机制就是网格化。
对 广 电 网 络 来 说,网 格 化 就 是按小区等地理特征划分网格,配备熟悉该网格的维修人员,将其绩效与服务质量挂钩、奖金与增值业务发展挂钩,通过与网格业绩水平匹配的劳动所得激励网格内的维修人员,诱发其内生性的业务发展驱动力,促进服务与业务同步发展的良性循环。形象地说,网格化类似于改革开放初期的“包产到户”,培养维修人员对网格的归属感,通过网格内的精耕细作实现多劳多得。为实现精耕细作,需优化业务流程,将受理、物流等后台支撑流程前置,实现资费、宣传等业务资源的网格化,实现按网格定制资费政策、投放宣传资源。在多劳多得方面,最简单也是最有效的方式就是计件工资制,即把网格看成代理商,按实际发生业绩取酬,及时发放,让网格的业务发展直接映射到网格内维修人员的个人收入上。激励与冲突管理
有 效 的 渠 道 管 理 必 定 是 建 立 在及时有效的激励机制上的。通常来讲,激励措施包括绩效考核、计件工资、劳动竞赛、培训提升、团队建设等,其中绩效考核、计件工资、劳动竞赛三个措施均涉及到业绩归属认定,这就导致了渠道冲突问题。
厦 门 广 电 网 络 在 实 践 中 采 取 了串行流程、业绩共享、成单确认等措施减少渠道冲突。串行流程主要运用在老用户的续费工作中,由于客户范围确定,从客户感知及成本角度考虑,在客户产品到期前的一段时间内只能由呼叫中心实施,到期后交由网格执行,而营业厅则主要面向主动到厅办理业务的客户。业绩共享是指无论哪个渠道发展的业务,每个渠道均能享受到相关的绩效,同时考虑到网格化的需要,由呼叫中心、营业厅发展的业绩,其计件工资的一部分返还到网格。成单确认则指业绩的确认以受理完成、系统出账为准,并由 BOSS 自动计算成单人的计件工资。
渠道冲突的协调是一个长期、动态变化的过程,必须根据渠道发展的不同阶段动态调整。同样的,渠道建设及渠道管理也是一个动态调整的过程。结束语