全局信息安全(共7篇)
全局信息安全 篇1
近日, 工业和信息化部网络安全局副局长陆建文来江苏调研网络与信息安全管理工作。陆局长听取了江苏通管局关于网络与信息安全责任考核、系统建设使用、新技术新业务评估、手段下沉等问题的汇报和建议, 与相关处室负责同志进行了深入交流, 查看了江苏通管局自主建设的大数据平台和互联网管理系统, 对江苏通管局主动作为、创新性开展工作给予了高度评价。
陆局长还实地调研了我省重点接入服务企业江苏邦宁科技有限公司, 听取了该公司落实网络与信息安全责任方面的汇报。他对江苏邦宁在网站接入业务和域名注册业务等方面落实接入责任和实名制要求所采取的管理措施和技术手段表示肯定和赞赏, 勉励企业进一步提高责任意识, 将网络与信息安全管理工作内化为企业发展的驱动力, 以安全促发展, 进一步提高企业的市场竞争力。他同时建议该企业借鉴国际组织和西方发达国家优秀企业的网络与信息安全先进管理经验, 促进企业又好又快发展。
全局信息安全 篇2
2017-04-14
2014年会同国家能源局、国防科工局发布《核安全文化政策声明》(以下简称《声明》)、组织开展核安全文化宣贯推进专项行动之后,核安全监管部门指导推进全行业核安全文化建设的又一重要举措。
《特征》旨在进一步贯彻落实《声明》,加深对核安全文化的理解,开展核安全文化评估,促进核安全文化与辐射安全相关工作有机结合,持续推进核安全文化建设工作。《特征》参考了国际核安全文化相关文件,体现监管部门所倡导的良好行为方式,是《声明》的细化支撑文件,是核安全文化评估活动的主要依据,也是行业核安全文化建设的工作指南。《特征》共包含八个部分,每部分分为三个层次。一是特征描述,摘录《声明》中每项特征原文; 二是属性,逐条分解特征关注点或侧重点;
三是良好实践举例,针对每条属性,结合国内外实践经验,列举良好实践以供参考,便于加深对属性的理解。
认真学习贯彻《特征》,后续东方电气将加强集团和各涉核成员企业核安全文化建设的推动力度,组织开展核安全文化交流、宣贯、培训、评估等活动,持续推动全集团核安全文化建设取得新成效。
核安全文化特征
1.决策层的安全观和承诺(A)
决策层要树立正确的核安全观念。在确立发展目标、制定发展规划、构建管理体系、建立监管机制、落实安全责任等决策过程中始终坚持“安全第一”的根本方针,并就确保安全目标做出承诺。
A1 安全承诺:决策层确保核安全高于一切。A2 决策行为:决策过程体现“安全第一”。
A3 责任落实:决策层明确岗位的职责和授权已确保核设施安全可靠地运行。A4 资源保障: 决策层确保组织内的管理体系有效运作。
2.管理层的态度和表率(B)
管理层要以身作则,充分发挥表率和示范作用,提升管理层自身安全文化素养,建立并严格执行安全管理制度,落实安全责任,授予安全岗位足够的权力,给与安全措施充分的资源保障,以审慎保守的态度处理安全相关问题。
B1 表率作用:管理层在日常管理工作中以身作则,坚持“安全第一”的根本方针。B2 安全责任: 管理层应明确并落实安全责任,制定安全管理制度并严格执行。B3 资源分配:资源分配体现安全业绩的重要性,确保为安全防范和处置措施配备足够资源。
B4 常态检查:管理层应用各种检测工具确保核安全,包括持续审查核安全文化。B5 保守决策:管理层进行决策时应采用审慎的态度,必要时寻求不同工作组和组织意见;管理层支持员工解决实际问题时采取基于安全的保守方案。
3.全员的参与和责任意识(C)
全员正确理解和认识各自的核安全责任,做出安全承诺,严格执行各项安全规定,形成人人都是安全的创造者和维护者的工作氛围。
C1 遵守法律法规和规章制度:员工理解遵守法律法规和规章制度的重要性。员工在工作中对违背法律法规和规章制度的行为和后果承担责任。C2 遵守程序:员工遵循流程、程序和工作指令。
C3 责任意识:员工主动并正确理解和认识各自的核安全责任,并在支持核安全的行为和工作实践中体现责任意识。
C4 团队合作:员工之间以及工作组之间,对于部门内和跨部门的各类活动进行沟通协调,确保核安全。
4.培育学习型组织(D)
各组织要制定系统的学习计划,积极开展培训、评估和改进行动,激励学习、提升员工综合技能,形成继承发扬、持续完善、戒骄戒躁、不断创新、追求卓越、自我超越的学习气氛。
D1 培训:制定系统的培训计划,全面提升员工的综合技能,系统地发展领导力,除了传授知识和技能外,注重法规标准、管理要求和核安全价值观的传播和宣贯。
D2 评估和改进:定期开展自我评估,适当开展同行评估和第三方评估,并根据评估结果采取恰当的改进措施。
D3 对标:通过与其他单位的对标来激励学习,不断提高知识、技能水平和安全业绩。D4 学习氛围:努力营造继承发扬、持续完善、戒骄戒躁、不断创新、追求卓越、自我超越的学习氛围。
5、构建全面有效的管理体系(E)
营运单位应建立科学合理的管理制度。确保在制定政策、设置机构、分配资源、置顶计划、安排进度、控制成本等方面的任何考虑不能凌驾于安全之上。
E1 组织机构:建立了责任清晰、分工明确的组织机构,以确保核安全。
E2 资源管理:人员、设备、程序和其他资源的管理能够对核安全提供足够的支持。E3 过程控制:工作的策划、实施和审查过程体现了安全至上的原则。工作风险得到有效的识别和管理。
E4 问题的识别和解决:对可能影响安全的问题及时识别,充分评估并及时解决和纠正。
6.营造适宜的工作环境(F)
设置适当的工作时间和劳动强度,提供便利的基础设施和硬件条件,建立公开公正的激励和员工晋升机制;加强沟通交流,客观公正地解决冲突矛盾,营造相互尊重、高度信任、团结协作的工作氛围。
F1 工作安排和设施保障:合理安排工作时间和劳动强度及基础设施和硬件条件,以保证工作效率和办公环境。
F2 激励和晋升:建立体现 “安全第一” 的公开公正的激励和晋升机制,鼓励员工关心核安全。
F3 沟通交流:加强各级员工之间的沟通和交流,包括上级对下级、下级对上级以及平级之间,在各项工作中保持信息畅通。
F4 解决矛盾:遇到冲突矛盾时,要以客观、公正、专业的方式解决。
F5 工作氛围:员工相互尊重,各级员工都能感受到彼此的高度信任,组织内各工作组团结协作,工作气氛整体融洽。
7、建立对安全问题的质疑、报告和经验反馈机制(G)
倡导对安全问题严谨质疑的态度;建立机制鼓励全体员工自由报告安全相关问题并且保证不会受到歧视和报复;管理者应及时回应并合理解决员工报告的潜在问题和安全隐患;建立有效的经验反馈体系,结合案例教育,预防人因失误。
G1 了解核能的特殊性:全员了解核能这种复杂的技术,会以不可预知的方式失效。G2 质疑不明情况和不当之处:员工面对不明情况时中断工作,发现不当之处时提出自己的观点。
G3 注重安全的工作氛围:组织执行一种注重安全的政策,使得员工自由提出安全关注是想并且不用担心遭到歧视或者报复的权利和义务得到了有效维护。
G4 响应安全关注事项:迅速审查员工提出的安全关注事项,并给与及时的反馈。G5 经验反馈体系:对内部运行经验核外部运行经验进行及时、系统的收集和评估,并给予有效的落实。
G6 预防人因失误:及时并定期开展人因方面的教育活动,使员工在执行工作时有效预防人因失误。
8、创建和谐的公共关系(H)
通过信息公开、公众参与、科普宣传等公众沟通形式,确保公众的知情权、参与权利和监督权;决策层和管理层应以开放的心态多渠道倾听各种不同意见,并妥善对待和处理利益相关者的各项诉求。
H1 了解公众诉求:公众对核安全的诉求能够反馈到企业。H2 公众沟通:开展公众沟通工作,及时有效地回应公众诉求。
全局信息安全 篇3
一、全面把握信息化建设和信息产业发展的机遇
近年来,在国家有关部委和各级政府的大力支持下,经过全区信息化工作系统广大干部职工的共同努力,自治区信息化建设迈上了新台阶,信息技术应用在更宽的领域和更深的层次延伸。电子政务建设取得实质性进展,信息产业发展有了很好的基础,新农村新牧区信息化水平稳步提升,信息技术改造提升传统产业成效明显,通信业服务经济社会的能力不断增强,信息化保障机制体制进一步完善,信息化建设已经成为推动和服务于全区经济社会发展的重要力量。我区经济社会持续快速发展需要信息化支撑。因此,必须对信息化高度重视,真正实现以信息化带动工业化,以工业化促进信息化。随着世界经济一体化的实施,国民经济结构正在进行调整,到目前我国对外经济依赖度已达到60%,我区对外依赖度也达到35%,经济全球化必然带来信息技术的全球化,世界经济的竞争就是信息化、科技化的竞争,在这次金融危机冲击中能够度过难关的企业,其最重要的特点就是以信息化武装企业具有很强的自主创新能力。所以,想在激烈的竞争中发展地区经济没有信息化的武装是没有竞争力的。随着国家加大基础设施投资拉动内需和自治区经济社会发展方式、发展环境的变化,信息化建设任务将更加艰巨,信息发展迎来更多的机遇。一是国家高度重视信息化建设,大力推进工业化和信息化融合,以信息化带动工业化,以工业化促进信息化,走新型工业化道路成为工业发展的主导方向。二是经济全球化和全球信息化促使世界经济结构调整步伐加快,发达国家IT产业将逐步转移,我区的资源优势将逐步呈现出一定的竞争力。三是随着国家西部大开发和振兴东北等战略的实施,特别是加大投资、拉动内需政策和措施的逐步落实,为我区信息化发展迎来更为有利的体制和市场环境。四是我区经济持续快速发展,总体实力不断增强,为全区信息化建设和信息产业发展提供了物质基础。
当然,我们也面临许多困难和挑战。从大的方面讲,有全球生产能力过剩问题;电子信息产业吸引外资的国际竞争问题;需求层次、需求结构不断变化而带来的高标准高要求问题等等。从自治区内部讲,有信息化建设投入不足和重复建设并存问题;信息资源开发利用滞后,重硬件轻软件,资源开发利用不足的问题;城市信息化强于农村、网络建设强于应用、社会化服务强于企业化应用、应用服务体系广泛强于IT产业的问题;信息技术推广应用范围较小、水平较低,信息化与工业化结合不够紧密,人才资源匮乏问题等等。对于这些差距和问题,我们必须予以高度重视,在今后的工作中认真解决研究。
二、增强做好信息化工作的责任感和紧迫感
国家工业和信息化部的成立,充分表明国家大力推进信息化的信心和决心。我区要实现“三化”互动,信息化必不可少。
第一,从走新型工业化道路,实现发展方式转变方面讲,推进信息化建设,是我区坚持走信息化、工业化道路、促进经济社会科学发展的根本要求。新型工业化道路最重要、最鲜明的特征就是信息化带动工业化。当前,我区工业化进程面临的突出问题就是增长方式粗放,特别是能耗高、污染重、资源环境压力大等问题。下一步必须更加注重发挥信息化的作用,推进经济增长方式向集约型转变,走科学发展、可持续发展的道路。
第二,从科技创新方面讲,推进信息化建设是推动我区企业科技创新、自主创新、提高产业竞争力的重要途径。信息技术的重要特点是渗透性强、效率高、资源量大,能够广泛应用于传统产业以及国民经济和社会发展的各个方面,并有效提高各个产业自主创新能力。因此,要抓住机遇,将信息化建设与企业创新发展结合起来,用信息化武装工业企业,提高企业综合水平。
第三,从服务三农三牧方面讲,推动信息化建设是我区建设社会主义新农村、新牧区,统筹城乡发展的重要标志。建设社会主义新农村、新牧区、解决好“三农三牧”问题,是我区“十一五”发展的重大任务。农村牧区信息化是建设社会主义新农村新牧区的重要内容之一,是加快新农村新牧区建设的重要途径。
第四,从推动社会事业发展方面讲,推进信息化建设是促进社会各项事业全面进步、提高社会文明程度的迫切需要。我区经济社会发展不平衡,信息化作为一项系统的社会工程,服务面广,涉及领域宽,特别是电子商务、社区信息化、远程教育、远程医疗等信息化成果与社会各项事业的发展和群众生活息息相关,通过推进信息化建设,开发信息技术、应用信息服务、普及信息网络,能够有效加快社会各项事业的发展,更加合理高效地整合和应用全社会资源,满足人民群众日益增长的物质文化需要。
因此,各地区、各有关部门要充分认识信息化建设的重要意义,高度重视信息化建设,把推进信息化建设工作放在突出位置,采取切实有效的措施,全面落实信息化建设的各项目标任务和政策措施。特别要加大投入,加快建立和健全以政府投入为导向、企业投入为主体,社会资本和外资广泛参与的信息化投资机制。各级政府要建立配套资金,引导企业增加对信息化建设的投入,真正使企业成为信息化建设投资的主体。要加大信息化法制建设的力度,认真贯彻执行国家、自治区有关信息化建设和行业管理的法律、法规,保证落实到位。信息化主管部门要根据信息化工作重点,制订信息化工作年度考核意见和量化标准。增强信息化工作的责任感和紧迫感,扎扎实实地开展好各项工作。
三、今后一个时期的重点工作
当前,我们正面临转变思想观念、转变经济增长方式、转变政府职能、转变监管方式等一系列新的重大课题,许多问题需要在探索中研究解决。大部制改革要求我区机构也要做出相应的调整,但无论机构怎么改,信息化推进和管理职能只能加强,不会削弱,推进信息化建设和推动两化融合是今后工作的重中之重。自治区信息办要从全局高度谋划未来信息化发展的大局,既有长远规划,又有近期目标,切实把信息化的各项任务落到实处。
今后一个时期,我区信息化建设的目标可以概括为一个“跨越”:即实现信息产业发展新跨越;两个“提高”:一是实现信息化和工业化融合创新能力显著提高,二是实现信息化普及程度和应用水平显著提高;三个“突破”:就是要在信息化的关键技术、体制机制建设和缩小数字鸿沟等三方面取得重大突破。为实现上述目标,今后我区要重点抓好以下几个方面的工作:
第一,大力推进信息产业发展。重点抓四个方面:一是抓住机遇,积极承接信息产业新一轮结构调整和产业转移,大力发展能带动产业技术升级、促进产品更新换代和形成新经济增长点的信息产业和产品。二是要坚持自主创新与引进消化吸收再创新相结合,积极推进信息产业重点领域创新,重点要支持集成电路和
新型元器件设计制造、电子产品生产装备的设计制造等项目的研发和突破。三是鼓励企业增加信息技术开发投入,支持企业建立信息技术研发中心和产业化试验基地。四是要继续加强呼和浩特电子产品制造业基地、包头软件园区等电子信息产业示范区建设,并在政策上予以扶持。五是要加快电信服务业的发展,鼓励拓展电信服务新业务。通过大力推动电子信息产品制造业、软件业、通信业、信息服务业的发展,使信息产业成为自治区重要的经济增长点。
第二,促进工业化和信息化融合。借鉴先进地区的经验,超前谋划信息化与工业化的融合模式。此次国家批准在我区“呼包鄂”地区设立信息化与工业化融合创新实验区,为我区高起点推进两化融合提供了难得的机遇。我区要在国家指导下,建立高标准的实验区,做好两化融合实验区工作。自治区百强企业要建立完善的信息化管理体系和服务体系,新上项目要有完善的信息化工艺包,实现信息化管理,要努力达到国际一流水平。同时,要搭建为工业化服务的安全、环保、信贷、物流等信息化平台。相关盟市和自治区有关部门要做好协调服务工作,鼓励支持各类企业进入信息化服务领域。特别要鼓励中小企业应用信息技术提升企业水平。要积极运用信息技术改造传统产业,重点推进制造业信息化建设,鼓励和支持冶金、电力、化工、建材、乳业、绒纺等重点行业骨干企业加强信息技术应用,实现制造业现代设计、制造、生产和管理等关键技术和产品的突破,全面改造制造业的生产组织模式和管理模式,促进传统制造业向现代制造业转变。引导企业发展电子商务,开展网上贸易,拓宽市场,与此同时要加快推进物流业信息化建设,推广普及物流自动化设备和系统应用,加强物流企业信息基础设施建设,建设公共物流信息平台,实现跨部门跨行业物流信息共享、业务协同以及国际物流通关的电子化管理。
第三,加快电子政务进程。经过几年的建设,我区的电子政务建设已取得显著成绩,今后的工作重点是深入推进电子政务的广泛应用。一是实施电子政务畅通工程。根据政务公开和政府内部信息共享的要求,努力实现信息资源在各级政府和政府部门间的交换、共享和公开,加强政务信息资源开发和利用。二是加快电子政务重点项目建设。完善全区应急联动指挥信息系统,提高公共突发事件应急反应能力。加快宏观经济管理、劳动与社会保障、民政公共服务、土地资源规划管理、环保监测、重点污染源监控等业务应用系统的建设。三是加快网上办公和行政电子监察系统建设。把政府面向社会公众的业务,特别是行政许可事项,逐步实现网上受理和审批。运用信息网络技术加强行政管理和监督工作,推动行政监督机制实现由事后监督、内部监督为主向全过程监督和透明公开转变。
第四,大力推进农牧区信息化。以信息化推动农牧区各项社会事业发展。用现代信息手段促进集约农牧业、规模农牧业和效益农牧业发展。加大扶持各类农牧业龙头企业的信息化建设力度,推进农牧业信息化示范基地建设。整合农牧区信息服务基础设施、机构人员和信息等各种资源,实现市场、科技、政策和劳务等信息进村入户,特别要大力推广应用廉价信息终端,直接为农牧民提供急需的农畜产品市场供求、农牧业病虫害和农牧区劳务等信息。
第五,积极推进各项事业信息化。一是积极推进科技、教育、文化、卫生等社会事业的信息化。推广应用信息化手段提高各项社会事业发展水平,加快提高科技信息资源数字化和网络化程度,建立综合性社会保障信息网络系统。二是加快社会信息网络和平台建设。优化完善基础传输网,抓好宽带网、数字电视网和下一代互联网等信息基础设施建设,提高公共信息网络基础设施的利用效率和共享水平。整合社会公共事业部门的信息资源,完善公共信息基础设施,建立一批社会公共信息资源库和公共信息应用系统。要推进社区服务信息化,让更多的群众能利用信息和网络资源。
同志们,信息化工作任务艰巨,责任重大,今后发展中既面临新问题,也面临着许多新机遇,各地各部门一定要全面贯彻落实科学发展观,振奋精神,扎实工作,为全力推动我区信息化建设做出新贡献。
构建基于全局安全的高校校园网络 篇4
随着网络技术的发展,高校数字校园网已经扩展传统校园的功能,承担着高校教学、科研、管理和服务等角色,是最终实现教育过程全面信息化建设的主导力量和坚强后盾。但由于校园网的用户数量众多,使用者多数不是专业人员,用户防护意识薄弱,使校园网面临着严重的安全威胁。目前,校园网的主动防御技术有:防火墙技术、入侵检测技术和防病毒技术等,这些技术都是在网络的某个部分进行主动防御,无法保证校园网整体安全。本文以辽宁机电职业技术学院校园网络建设为例,依据“全局安全”的设计理念,阐述构建基于全局安全的高校校园网络技术。
1 学院校园网络现状
辽宁机电职业技术学院老校区于2000年投入运行,相继完成了部分楼宇综合布线工程、网络中心建设。以100M光纤接入方式接入INTERNET,通过防火墙实现NAT转换,通过三层交换实现VLAN划分,同时通过访问控制列表设定学生端网络和教师端网络的访问策略。南校区和北校区之间通过网通公司提供的2M数字电路实现内部通信。经过几年的发展,已经具有下列服务功能:接入及网络管理、数字图书馆、办公自动化系统、WWW服务、邮件服务、网络杀毒服务等。
在老校园网运行中,存在着以下的安全问题:
(1)核心层采用单核心设备,不能保证网络24*7小时不间断工作。
(2)存在着各种安全隐患:经常有用户擅自更换IP,导致合法用户不能够正常上网;学生擅自在局域网中假设代理软件;在校园网中擅自假设DHCP服务器;通过这些非法手段,从而来影响校园网的正常运行,导致校园网不能够正常运行。
(3)由于校园网的用户数量巨大,经常有学生使用各种攻击手段对校园网进行攻击和破坏,严重影响了网络的安全。
2 全局安全的校园网络总体方案
辽宁机电职业技术学院有两个教学校区,即新校区和黄海校区(老校区)。新校区是学院的办公主体校区,有教学、住宿、实验及实训场所,共计10余栋建筑物。通过双100Mbps带宽接入Internet,校园网采用千兆,核心设备考虑通过冗余技术加强容错能力。
具体设计方案如图1所示。
该方案在设计中,依据“全局安全”的理念,从接入层到核心层,从网络准入到网络准出,都采用安全机制,形成多种网络组件联动,全局防御。并且在网络建成后,加强对校园网的管理和维护,培养高网络使用者的安全意识,提高网络防御技能等人为因素。这样,就形成了从物理设备到人为因素的“全局安全”解决方案。
3 全局安全的校园网络详细部署
3.1 网络核心区安全设计
为保证校园网络24*7小时不间断服务,核心层采用双核心架构,确保骨干网络的可靠性。采用两台锐捷面向十万兆平台设计的S8610骨干路由交换机,其高性能,丰富的安全特性可以保证整个网络的高速和安全运行。
3.2 网络接入区安全设计
本网络共划分为7个子区域,分别是行政中心、老校区、学生宿舍A区、学生宿舍B区、展览中心区域、机械工程馆和仪器仪表馆。在汇聚层根据每个子区域安全性要求不同,分别采用S7606、S7604和S7505安全接入交换机接入,在接入层采用S2600接入。安全接入交换机同时支持802.1X准入和Web准入,可在认证通过时动态的自动绑定用户所使用的IP+MAC+端口,确保源IP地址和源MAC地址的真实性。
真实IP源地址带来的价值包括:可实现完全杜绝ARP/ND欺骗问题;可防止各种源IP/MAC欺骗的网络攻击;可快速的定位网络故障,从而最快速解决故障;可实现精准的网络安全日志审计;可实现准确的基于IP地址的网络流量计费,实现了网络接入的安全。
3.3 网络出口区安全设计
采用专用的网络出口设备串联在一起,性能高并各司其职,成熟稳定。采用一台校园网专用的出口设备NPE50,其强大的NAT和策略路由功能,特别适合大型校园网的出口应用;部署一台应用控制引擎ACE3000来控制网络应用对出口带宽的应用情况,保证关键业务的通畅,进而提高网络出口带宽的利用率,提高网络的使用体验;同时通过一台千兆防火墙1600T和园区骨干交换机相连,能够屏蔽来自外部的攻击,便于实施各种安全策略,DMZ区用来放置像WEB等对外发布的应用服务器。同时部署专用的VPN网关WALL V160E,根据实际的需求为校外访问者或内部人员的校外接入提供权限和简单、安全的SSL VPN的接入方式。
3.4 制定完善的管理制度
(1)加强对硬件设施的管理
网络设备、光缆和双绞线等硬件设施构成了校园网的硬件基础,如果遭到了破坏,网络安全将受到严重威胁,所以要加强管理。实施责任分工制,校园网核心设备由现代教育技术中心负责,系部楼内设备由各系部管理员负责,校内铺设的光缆等设施由保卫部负责。每个负责的部门制定管理制度,并且制度上墙。
(2)安装杀毒软件
在校园网上设置服务器,安装网络版杀毒软件,支持客户端在线升级。由校园网管理员负责将安全的重要性和在线升级方法制定成文件,共享在内网中,要求老师定期进行升级,机房中机器的升级由学生管理员负责,教师管理员定期进行抽查。
(3)加强对学生的安全教育
学生是校园网的主要使用对象,也是对校园网存在最大威胁的团体。部分学生缺乏安全意识与知识,不能对个人电脑进行安全防护,造成病毒传播;部分学生对攻击技术感兴趣,使用自学的各种攻击手段对校园网进行攻击,类似行为都对校园网安全造成了威胁。
为了保护校园网安全,首先要进行主动防御。采用802.1X准入和Web准备技术,要求每个学生接入校园网都要进行账号申请,验证成功后方可进行访问,保证专号专用;在边界防火墙上设置策略,过滤不健康网站,保证不良信息不能进入校园网;在IDS上进行监测,随时发现安全隐患,并进行解决。eLog软件与出口设备连动实现上网日志的记录与查找,采用锐捷SNC网络管理软件,可以基于WEB集中对全网的网络设备做发现、管理维护和监控。
对学生进行安全教育,以“加强安全意识,共建和谐绿色网络”为主题,开展多次全方位的网络文化宣传活动。聘请网络安全工程师面向全院师生进行安全专题讲座;系部组织“绿色网络”宣传竞赛活动;班级开展“安全网络,人人有责”主题班会等。通过这样一系列活动的开展,增强学生的网络安全意识,提高安全防护知识,为共建全局安全的校园网络贡献自己的一份力量。
4 结束语
辽宁机电职业技术学院基于全局安全设计理念的校园网工程自施工完成投入使用以来,网络运行质量很高,出色的为教学、科研、管理等提供了服务,为学院的信息化建设提供了坚实的平台。但是信息技术的发展日新月异,各种攻击技术和病毒也会层出不穷,本学院的校园网管理水平也要同步提高。
参考文献
[1]刘文清.校园网的安全与防护策略研究[J].电脑开发与应用.2011.
[2]黄欣,赵志刚.基于全局安全的高校校园网络设计方案[J].电脑知识与技术.2011.
[3]张俊兰,郭金平.高校校园网设计方案[J].延安大学学报.2010.
[4]黄柯佳.校园网信息安全优化方案探讨[J].通信与信息技术.2011.
全局信息安全 篇5
不会使用人弹?我教你!
“恐怖分子在作案时一般使用比较流行的国产车,比如‘日古力’轿车等等,并且他们往往对轿车的技术状况和外观不很在意”,“手上会戴多块电子表,并且配有对讲机”,“在准备过程中他们往往会到现场进行勘查,并会使用摄像机或照相机进行拍摄,之后会制定出详细的进入现场和逃离现场的计划”,“他们会购买一些螺钉、螺帽和轴承等小零件来增大炸弹的杀伤力”,“同时,他们往往会改变自己的容貌,男人常用的方法是在脸上粘小胡子。”
以上便是这篇“专家提醒”文章的部分内容。它们是否能起到给恐怖分子“支招”的作用,这有待商榷。但从内容上看,它确实有些“事无巨细”了,对于狡猾的恐怖分子来说,如果他们反其道而行之,那么文章的内容不仅毫无意义,甚至将误导百姓。
而如下这些内容简直就是给恐怖分子的“提醒”:“恐怖分子居住的地方往往寂静无声,没有一点音乐或其他声音传出来,他们深居简出,食物都由专人送来或叫外卖”,“他们也不会亲自倒垃圾,往往也由专人来处理,即使它们亲自处理也会在夜间。”
俄安全局的这篇文章还非常详细的描述了恐怖分子如何使用“战略武器”——人体炸弹。不过,从其详细程度来看,这简直可以当作刚出道的恐怖分子的“教科书”了:
“使用人体炸弹能给恐怖分子带来如下好处:其一,这种手段往往能带来巨大的伤亡数字;其二,媒体喜欢报道这种事件,这更能起到宣传的作用;其三,人弹有更好的机动性和灵活性,可以保证袭击一蹴而就;其四,使用人弹便无需再去选择撤退路线;其五,不必担心人弹会被警察抓住而把同伙供出来。”
“人弹一般年龄都不大,往往在20-35岁之间。行动时往往两人一组,一个人弹加一个控制人员。控制人员的作用是在人弹爆炸未果或打算临阵脱逃的情况下使用遥控装置‘帮助’人弹爆炸。”“人弹往往将炸弹固定在腰间、屁股或胸部,如果是女人弹,则他们往往会装扮成孕妇而将炸弹放在腹部。”“人弹会让自己‘融化’在人群中,所以他们会穿得尽量大众化,而绝不可能穿着自己的民族服装。”
从这段对人弹的描述来看,外国媒体认为的俄安全局给恐怖分子“支招”的看法可以说不无道理。俄罗斯遭受了多次恐怖袭击,反恐经验可以说十分丰富,但如此“大方”的展示恐怕只会让经验成为对手的“恐怖袭击手册”。
反恐指南容易
变成恐怖指南
不管怎么说,安全部门都肩负着向公众普及反恐知识的重任,通过俄罗斯安全局的这个“大乌龙”后面凸显了反恐的复杂性,其实这种事情在各国也经常发生。
2004年7月,一名英国商人在伦敦一加油站,拣到了一本英国警方为防止伦敦希思罗国际机场遭恐怖袭击而精心拟订的反恐手册。据悉,这份绝密文件就放在马路边上,是英国安全部门不慎遗失的。这份反恐手册是由总部位于希思罗警察局的苏格兰场(伦敦警察厅)SO18航空安全小组牵头制订的,是众多专家经过长期观察与分析得出的重要成果。
在这本反恐手册中,警方详细描述了希思罗机场周边适合发射肩扛式防空导弹的62处地点的概况,称在那些地方可以轻易击落正在起降的客机,并配上了各个地点的卫星照片。同时,反恐手册还提供了一些警方内部的机密信息,包括希思罗机场警察巡逻时间表、布置狙击手的制高点、警犬巡逻区域等。更致命的是,反恐手册还为恐怖分子提供了“行动计划”,明确指出哪些逃跑路线比较安全、遇到袭击时警方将如何组织人群疏散以及警方会封锁哪些道路等。该手册如被恐怖分子得到,将带来难以估计的安全隐患。
美国人如何普及反恐经验
“9.11”事件之后,美国联邦调查局立即在主页上公布了许多辨认恐怖分子和防止恐怖袭击的方法,相比俄安全局的建议来说,美国同行的做法似乎要高明许多。
比如,他们告诉公众一定要注意闯入公司内的陌生人,并且要对购买爆炸物或用来配制爆炸物的化学制剂和敏感地区地图的人予以特别警惕,对于用照相机和摄像机拍摄敏感地点并且不时做一些纪录的人更要小心。而无人看管的汽车和被丢弃的手提包也被看作是有可能爆发恐怖袭击的典型线索。
但正如俄罗斯媒体评论的一样,美国FBI的建议固然不会被恐怖分子所利用,但这种泛泛的说明似乎并不能起到多少作用。而实际上,在美国的反恐实践中也确实因为这些建议而闹出了一些笑话,比如一些用摄像机拍摄风景的游客便被怀疑是恐怖分子而被盘问。在丹泽尔·华盛顿主演的《内部人士》一片中,一个阿拉伯裔银行雇员只因为自己的装束便被警察抓了起来,这似乎同样说明了反恐行动中甄别恐怖分子的难度。
全局信息安全 篇6
本世纪初,世界电力系统相继出现了若干重大事故[1],促使电力工作者对危及电力系统安全性各种因素进行分析从而研究防止事故的对策。
电力系统安全评估方法分为确定性方法[2,3,4,5]和不确定性方法两大类。前者难以考虑电力系统的复杂随机性和电网状态实时、定量、直观的诊断信息,无法建立有效控制和决策支持系统及满足电力市场的要求而造成资源浪费。后者主要分为概率分析方法[6,7,8,9]和基于风险评估方法[10,11]。概率稳定分析方法克服了确定性评估方法的不足,但基于纯技术的观点不能为电压安全与经济因素取舍等提供决策量化支持[12]。风险评估方法基于风险理论,能定量抓住事故可能性和严重性两个重要因素和引入反映经济因素的风险指标,但不能够反映电力系统不同的运行条件和负荷等变化对系统的电压风险指标的影响。
伴随现代电力系统容量的增大,区域互联增加,智能调度的发展[13,14],电力市场引入,大型互联电力系统,如何准确确定区域间的功率输送能力,使系统在满足安全性约束条件下,最大程度地满足各区域用电负荷需求,计算系统状态的安全水平和当前状态到不安全状态的距离十分关键,给安全性研究提出了更高的要求。
综上,本文提出并建立了全局模糊指标。该指标不依赖于网络,基于稳定裕度、热约束和电力系统传输能力[15]情况下分别求取其受影响的发电方、输电方和负荷的安全模糊隶属度,实现了充裕度与安全性,传统风险指标和严重度函数的结合统一,结合模糊推理提出两步程序评估电力系统安全性:首先通过监控和数据采集(SCADA)和实时潮流计算测量采集电力系统相关元件数据,通过建立的模糊集量化输出其最小安全隶属度(SSMG)[16],然后通过考虑发电方、输电方和负荷SSMG的加权综合模糊控制[17]得到全局模糊指标。限制条件通过离线分析求得,嵌入模糊隶属度函数得到相应模糊集,综合基于潮流计算和系统关键元件测量得到的实时数据进行连续计算,通过元件对系统安全的负面影响来得到当前系统安全到不安全状态的距离,实现对系统安全性在线评估。整个系统安全性状态被确定后,电力系统就能对其做出相应措施。对IEEE30样本系统的仿真,验证了全局模糊指标合理性和有效性。
1 电力系统各部分运行变量模糊集
1.1 发电机
1.1.1 电力系统储备
为保证安全运行,电力系统需要适当有功和无功储备量[18]。如图1所示,有功储备变量用计及最小有功储备APR1的模糊隶属度函数表示。
有功储备隶属度函数用式(1)的单边梯形模糊集计算其安全隶属度(SMG)。
式中,μres=0表示有功储备不充足。
相同形式可运用于计及无功储备空间分布的电压控制的无功储备。本文运用文献[19]中的程序进行计算,APRlim和APR1分别取装机容量的7%和15%,其适应于不同国家的电力系统标准,运行政策,储备管理和其他制度指令:如北美电力可靠性组织(NERC),大型电力系统国际会议(CIGRE)等。
1.1.2 励磁系统容量
励磁电流达到发电机励磁系统暂态极限是电压崩溃的主因之一,此时发电机无功消耗易引起系统不安全问题。如图2与公式(2),励磁电流由双边梯形模糊函数SMG表示,if lim1设定为防止过低励磁电流导致的发电机失稳及设备停运;if 2为安全裕度,允许达到if lim 2前10%或20%的负荷增量。
其中200 MW额定功率的励磁电流限制为:if lim1=300 A,if1=600 A,if 2=2 700 A,if lim2=3 000 A。此范围可随发电机额定功率和励磁特征变化而变化。
1.2 传输线
对传输线路考虑热稳定约束和电力系统传输能力[17,20]。如图3,当前功率由允许区间为[0,S1]和右侧宽度为[Slim-S1]的单边梯形模糊集确定。隶属度函数μs如式(3)所示。
μs=1区间为[0,1S],覆盖实时潮流不破坏热稳定的允许范围。热稳定安全裕度允许在达到Slim之前,负荷有平均由10%到20%的增长[21]。
1.3 负荷节点
1.3.1 电压稳定因子
电压稳定是保证电力系统完整的关键因素[22]。本文采用SDC指标对选择的线路电压进行2次连续的测量[23],其原理为在电压失稳附近,输电端线路当前潮流的增加不再在接收端线路产生输电增量,说明电压失稳发生。如公式(4)所示。
可见,电压失稳发生在比值a=0同时位移ϕ=π时。此时,ΔS=0,SDC=0。如图4,其模糊隶属度函数包含SDC1和SDClim限制。在安全的系统中,SDC指标接近于1;SDC=2表示远离电压失稳。SDC的模糊集由其模糊隶属函数表示为:
1.3.2 电压幅值
全面评估电压安全性,还需考虑电压幅值约束。其限制基于电力设备绝缘限制的节点电压最大值Umax.allowable和维持电能质量的断面节点电压最小值Umin.allowable。其模糊隶属函数由双边梯形模糊集表示,如公式(6)和图5所示。U1和U2表示正常电压范围电压水平的裕度值,此时
本文对额定电压为220 k V的传输线路设定如下:U1=210 k V,U2=230 k V,Umin.allowable=200 k V,Umax.allowable=240 k V。对其他额定电压的线路其关系同样适用。
2 全局模糊指标建模
2.1 最小安全隶属度
考虑不同运行状态下电力系统所有元件和其运行极限是工作量庞大的工作;扰动可能改变系统结构,传统分析方法难以辨认系统状态,而若把状态变量和它们极限看作一个模糊集,系统安全状态就更易于被描述。
本文把电力系统分成发电方,输电方和负荷三个受影响方[24]进行分析。每部分看作一组相关物理量构成的模糊集,通过状态变量描述该部分运行:如电力储备、励磁电流、潮流、电压稳定性和电压幅值等。其复合安全隶属函数通过模糊控制器I聚合各方的隶属度函数SMG得到单一模糊值、即最小安全隶属度(SSMG),分别表示发电方、输电方、用户各自最弱点。实现了传统风险评估中风险指标和严重度的结合。
模糊控制器I采用公式(7)的二元算子T聚合,取两个模糊系统交集:
T表示μA(x),μB(x)的乘积。用其聚合模糊集的模糊隶属度函数描述当前系统到不安全水平的距离,即通过T聚合相关元件得到SSMG[23,25],识别电力系统最不安全水平。如图6,Xi为电力系统发电方,输电方和负荷第i个元件,分别输出每部分SSMG。
2.2 全局模糊指标
全局模糊指标为系统每部分SSMG的进一步聚合。本文由发电方、输电方和负荷三个受影响方来分析系统安全性,不同的指标需要设计不同的权重。权重设计有多种方法,如经验判断法、数理统计法、模糊理论统计法以及层次分析法。其中,模糊统计法基于自然语言的描述,建立在专家经验的基础上,能够有效地处理多目标和不确定性问题,是人们对客观世界的观察做出相应决策的一种有效方法[26,27,28,29]。如图7,本文将其运用于通过每段的SSMG进行全局模糊指标的建模,建立了2阶模糊控制。
对各部分安全隶属度指标进行尺度变换,使其变换到相应的论域范围,进行模糊分割。模糊空间的分级数决定了模糊推理的精细化程度。本文将风险指标划分为大、中、小3个层次,在函数编辑器中设置隶属度函数为高斯函数。生成一定模糊规则并进行模糊推理[27],得到系统各部分关键元件的SSMG。每条规则包含3个输入量和1个输出量,输入量分别为发电方、输电方和负荷,按照一定的规则输出全局模糊指标。图8为该模糊器模糊规则的3维模型,从图中可看出不同的发电方、输电方和负荷的SSMG组合可能具有相同的综合风险指标,这对操作人员调整系统运行状态,使系统某一方面风险不致于太严重有重要作用。
3 数值仿真
本文采用IEEE-30节点系统进行仿真,该系统共包括6个发电机,41条支路。
考虑以下几种情况,得到该系统安全分析的结果见表2。
1)无停运的运行状态;
2)12-4间变压器停运;
3)2)基础上2节点增加发电机出力;
4)3)基础上5节点增加发电机出力。
以上表明全局模糊指标以模糊推理为载体,综合了发电机、变压器和负荷三方SSMG,继承统一了风险指标与严重程度,能通过探测相关安全事件而连续进行实时监控,较全面地为系统运行提供了一个可靠工具。一方面可以通过深入各方的SSMG找出电力系统各自的薄弱区域,另一方面通过全局模糊指标对系统整体实时安全性有一个全面认知。电力系统运行的每一动作通过安全监测与计算找到紧急状态附近的最优解,输出全局模糊指标接近0时系统处于一个不安全的运行状态,这时一个或多个元件都运行在它们极限,十分慢和小的扰动能导致部分或全部的停电。因此该指标能给运行人员提供一种直观的实时决策支持。
4 结论
本文提出了在线安全性评估的全局模糊指标,其主要优点有:
(1)不同于对系统最脆弱状态进行评估的传统离线方法,使用电力系统元件模糊隶属度,能够不断地量化电力系统的安全状态。
(2)此指标计算过程中,离线计算部分用于制订平常运行政策和运行计划,在线估计部分用于各种事故计划补救措施。利于电力系统的运行和扩建。
(3)算法开放,能根据运行情况考虑更多现象加入。算法简单,鲁棒性强,应用成本低。
全局信息安全 篇7
目前,随着网络技术不断发展,企业网络发展规模也不断扩大,所以企业网的正常运行也显得尤为重要。另外一方面,网络管理的维护同时存在一定的困难,学生在网络学习的需求也显得尤为突出,网络业务容量分配优化工作也显得很重要,如何有效应对企业网存在的问题,有效积极进行企业网络带宽调度和分配,提高企业网络安全管理水平[1,2]。本文主要探讨了某企业网全局网络安全体系解决方案,对于提高企业网络安全具有一定作用。
1 企业网络安全解决方案
1.1 VLAN的规划
企业网采用的核心交换机是一台Extreme6808,核心与南区的一台Extreme 6808通过1000M单模聚合连接,其他建筑的分控制室采用基于多模和单模光纤的千兆以太网与锐捷3760、2126G等连接。通过对企业网整体结构的分析,采用虚拟局域网VLAN技术。
我校企业网交换机上的VLAN划分,是采用基于端口(光纤接口)的,相同VLAN名的端口位于同一VLAN,通过其VLAN ID来互相传输数据,不同VLAN之间通过做标记的Tag口来转发数据。
所以有必要从以太网的机制来探讨,基于广播机制的以太网,结合交换器和VLAN技术,则就转变为点对点的通讯方式。这样就能够隔离广播,也就是说信息可以按照要求达到指定地点,防止基于网络监听的入侵手段;另一方面,还可以增设虚拟网络的访问控制,虚拟网内部不能直接被被虚拟网外的网络节点访问。
1.2 防火墙配置方案
学院的网络主要包括10M Base_T的因特网接入。运行在Lotus系统上的信息中心以及OA系统,其中OA系统包括通道DDN远程接入的校区网络。在这部分网络中使用防火墙将网络划分为三个安全域:因特网、信息中心和OA网络。由于网络中使用了一个核心交换机,因此在防火墙的连接中,需耍将防火墙的DMZ接口和LAN接口同时接到Cisco 4006核心交换机,使用交换机VLAN划分功能使其位于不同的VLAN。
防火墙的使用使网络在此节点上划分为三个相互隔离的安全域,可以通过设置规则规划三个安全域、六个方向、多个网络用户编点之间的访问情况。防火墙的使用的第一步就将网络的访问变成可单向控制的,尽管TCP/IP协议是双向的。因此来自因特湖的闯入风险、非法访问很快就会全部屏蔽掉。防火墙的另一个作用是防火墙以表的节点看起采从因特网上消失了:除了对外提供的必需业务之外,网络和系统的其他属性从因特网上不可见了。网络既不可探测,内部网络信息也不可获知了。
大部分的防火墙是为了防止一种Ethernet Sniffer的攻击方式,在基本的结构设计上使用三接口的硬件模式。防火墙也因此将网络节点划分为三个安全域:用于因特网接入的WAN接口,用于企业网接入的LAN接口和专为服务器群设计的DMZ接口。
1.3 入侵检测系统的部署
根据企业网络的特点,应选择同时具备IPS(入侵检测系统)和IDS(入侵检测系统)等功能,基于代理的分布式入侵监测技术的入侵检测系统。这里选择Symantec Network Security(SNS)入侵检测系统为例。
1)主动防御,而非被动报警。SNS可以实现自动防御,无需人工干预,自动检测,屏蔽网络入侵行为.减少用户用于日常维护的人力成本。SNS是以透明方式部署在网络结构中,不用修改原有网络结构,也不用修改交换机配置。
2)安全策略自动维护
传统IDS产品被用户所排斥的主要原因就是需要用户人工设定检测策略,并需要定期维护更新。SNS改变了这种传统的更新模式,他可以自动更新、加载、生效最新的安全策略,大大降低了产品对操作人员的依赖。通过这种策略自动更新的工作方式,争取了在出现可能对系统和网络造成严重影响的重大安全隐患的紧急状况下的响应时间(如:冲击波),在主机还没有来得及完成补丁分发的情况下,SNS通过自动化的策略更新,就己经实现了整个网络的安全防护。
1.4 VPN的使用
本方案中的VPN系统是通过采用防火墙/VPN一体化设备来实现的。增加了VPN系统防火墙系统与前述的防火墙系统在结构上没有多大区别,但是由于VPN系统的使用,网络就支持远程的移动用户以加密的方式对内部网络的重要的服务器进行访问,甚至三个网络之间也可以通过因特网连成一体,这样为网络的应用节省成本。另外,在该VPN系统中,总校的网络节点须申请可路由的IP地址,其地位是VPN的核心节点。其它的节点全部连接到此节点。
1.5 防病毒系统
病毒是一种具有自我复制能力,由编写者出于各种目的编写,能够在隐蔽情况下执行编写者意图的非法程序。目前,许多计算机病毒都具有特定的功能,而远非仅仅是自我复制。其功能(常称为PAYLOAD)可能无害,如,只是在计算机的监视器中显示消息,也可能有害,如毁坏系统硬盘中所存储的数据,一旦条件(比如:特定的组合键击、特定的日期或预定义操作数)触发,就会引发病毒表现。
来自系统外部(Internet或外网)的病毒入侵:这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高,耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。但很明显,它只能阻挡采自外部病毒的入侵。
病毒集散地之一,网络邮件/群件系统:如果网络内采用了自己的邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,通过邮件方式该病毒将几何级数在网络内迅速传播,并且很快会导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒也显得尤为重要。
病毒集散地之二,文件服务器:文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器也需要设置防病毒保护。
最终用户:病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性,某个感染病毒的桌面机随时有可能会感染其它的机器,或是被种上了黑客程序而向外传送机密文件(如“Sir Cam”病毒)。因此在网络内对所有的客户机进行防毒控制也很有必要。
内容保护:随着病毒所采用的技术日趋复杂,单纯依靠病毒码和被动的文件分析技术往往造成防病毒的响应时间过长。为了能够在第一时间主动地阻止新型病毒的入侵,在防病毒系统中附加内容过滤和保护功能就显得十分重要。例如,由于目前邮件系统的使用异常方便,造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一方面,来自Internet上的垃圾邮件也到处都是,导致用户需花大量的精力和时间去处理,降低了工作效率。因此对往来的邮件内容进行过滤也很重要。
集中管理:一个缺少管理的系统就是一个无效的系统。对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。防毒系统的最大特点是需要不断的升级和更新防毒软件,以对应新产生的各类病毒。
1.6 认证管理
近年来,我国的企业网建设得到了飞速的发展和广泛的应用,教师和学生能够随时随地从网络获得相关的资源,已经成为广大的师生员工获取资源的重要手段之一。由于网络上原有的认证系统如PPPo E和Web认证技术,对企业网中的用户数据包处理比较繁琐,报文封装代价比较高,造成了网络传输瓶颈,业务灵活性和扩展性不强,己经越来越不适应企业网发展的认证需求。
IEEE 802.1X协议标准认证协议,一经推出就引起了广大网络设备制造商的重视。IEEE802.1X通过对认证方式和体系结构的优化,有效地解决了传统认证方式带来的昂贵花销。IEEE802.1X认证方式有着简洁高效,易于实现,安全可靠,易于运营优点。因此,各大厂商纷纷组织研发力量进行基于IEEE 802.1X协议相关产品的开发,并在企业网中广泛地应用。
1.7 安全管理制度
网络安全管理是保证网络安全的基础。安全技术是配合安全管理的辅助措施。我们建立了一套企业网络安全管理模式,制定了详细的安全管理制度,如:网络管理中心安全管理规则、企业网安全和使用管理条例、病毒防范制度等,并采取切实有效的措施,保证了制度的执行。
2 结束语
企业网安全体系解决方案总体上来说是成功的,如黑客入侵事件较早得到警告,及早采取有效措施,有效阻止了事件进一步恶化;控制了ARP病毒攻击;网络病毒控制在了一定可控范围:建立了完整的数据备份系统,提供了数据快速回复机制;建立了完善的日志审查制度。该方案的实施后,我校的网络安全事件大大减少,企业网络安全得到最大限度的保障。
参考文献
[1]刘晓云.企业网安全访问控制体系的构建[J].现代电子技术,2010,33(17).
[2]苏君丽.Snort技术在企业网安全防御中的应用[J].企业家天地(下旬刊),2010,(2).