網絡安全應急預案演練方案范文
時間:2023-11-30 17:28:26
導語:如何才能寫好一篇網絡安全應急預案演練方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡安全;入侵防御系統;應急平臺;安全防御
中圖分類號:TP309文獻標識碼:A文章編號:1009-3044(2011)22-5412-03
Research on Achieving Comprehensive Security and Defense in Emergency Platform Network
PENG Yun-feng
(Anhui Economic Information Center, Hefei 230001, China)
Abstract: This dissertation, based on the network topological structure of emergency platform and network security development trends, from the overall situation, the overall and equipment of joint Angle to solve the problem of network security, according to the unified security strategy, with the safety as the core, puts forward a comprehensive network security defense linkage Model, and gives out the emergency platform comprehensive interaction system network security solutions.
Key words: internet security; intrusion prevention system; emergency platform; security defense
省政府應急平臺是一個涉及圖像、數據、語音等信息的復雜系統平臺,既涉及到各種硬件通信設施、服務器、終端設備的安全,又涉及到各種系統軟件、通用應用軟件和自行開發的應用程序的安全;既涉及各種信息安全技術本身,也涉及保障這些安全技術順利實施的各種安全管理。因此一個可靠穩定的支撐網絡平臺是應急平臺穩定運行的前提和保障,也可以說直接影響著突發公共事件處置的效果和效率。
1 綜合聯動實現網絡安全防御
1.1 應急平臺網絡拓撲分析
省級應急平臺的計算機網絡系統分為省政府應急平臺局域網和連接各市、縣應急平臺的廣域網。省政府應急平臺局域網采用以太網技術進行建設,連接各市、縣應急平臺的廣域網依托全省電子政務網絡資源進行建設,實現與各市、縣政府及省直各專項部門應急平臺的連接,并通過接入到電子政務外網的地面工作站實現與移動應急平臺的連接,主要功能是滿足省應急平臺體系綜合應用系統、視頻會議系統、圖像接入系統、IP語音系統和移動應急平臺等業務的承載要求。省級應急平臺局域網核心采用兩臺高端交換機,用于連接應急平臺服務器組、內部辦公網及應急指揮中心,同時用于各市、縣政府和省直各專項部門應急平臺的訪問連接,接入層采用星形雙歸結構,用于接入應急平臺服務器組及業務辦公網絡等,以保證系統的穩定性。省級應急平臺網絡拓撲結構如圖1所示。
通過對上圖的分析可以得知,由于應急平臺服務器組部署在交換機的后端,應急平臺業務及應急指揮、辦公等縱向業務數據流都要經過兩臺核心交換機轉發,所以通過這兩臺核心交換機的負載較重,流量也比較復雜,數據流中包含各類攻擊、病毒等的可能性也最大,對安全性要求較高。應急平臺內部各處室、應急指揮中心通過應急平臺網絡訪問互聯網,目前僅采用防火墻進行隔離,由于互聯網是一個面向大眾的、開放的網絡,對于信息的保密和系統的安全考慮的并不完備,互聯網上充斥著各種攻擊、病毒,防火墻并不能保證應急平臺網絡的安全,所以這條路徑上也可最可能包含各種攻擊數據。
1.2 實施綜合聯動的必要性
隨著繁雜的網絡應用和多樣的攻擊入侵,應急平臺網絡所面臨的安全威脅越來越復雜,安全問題日益突出,使得孤立的安全設備難以有效應付,需要從系統全局,從整體和設備聯動的角度去解決網絡安全問題,依據統一的安全策略,以安全管理為核心,形成完整的系統安全防護體系。
建立一個整體的網絡安全防護體系的關鍵,在于要求各網絡安全設備之間具有較高的協同性,即聯動性。聯動技術體現了智能化網絡安全管理的潮流,能夠有機整合各種網絡安全技術,全面地保護網絡的安全,提高工作的效率。聯動的概念最初是由防火墻廠商CheckPoint提出來的,CheckPoint提出了OPSEC開放接口,并與其它廠商密切合作,實現了CheckPoint防火墻和身份認證、內容安全、入侵檢測等產品的互動。
1.3 以安全為核心劃分區域
針對應急平臺現有網絡的實際情況,劃分出不同的安全分區,如圖2所示。
詳細分區情況描述如下:
1)DMZ區。DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區”,也稱“非軍事化區”,它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩沖區。該區域主要包括應急平臺對社會或其它部門提供服務的服務器群,如網站、郵件服務器等。該區域對安全級別要求比較高。
2)數據中心區。由應急平臺業務服務器群構成,是應急平臺一切業務應用活動的基礎。這個區域的安全性要求最高,對業務連續性要求也最高。要求不能隨便進行任何可能影響業務的操作,包括為服務器打補丁,管理起來也最為復雜。
3)內部辦公區。內部辦公計算機構成的安全區域。安全性和業務持續性要求最低,管理難度大,最容易遭受蠕蟲的威脅。
4)遠程接入區。該區域主要指移動辦公人員、移動應急指揮平臺等通過外部互聯網實現訪問應急平臺業務應用系統功能的區域。
5)廣域網接入區。在之前的網絡建設中,省級政府應急平臺是通過省電子政務外網實現與市、縣政府和省直各專項部門應急平臺的連接。廣域網接入區就是通過專線連接省直各專項部門、市、縣政府應急平臺網絡的區域,這一安全區域內部沒有具體的應用系統,主要實現網絡互聯的功能,定義這一安全區域是為了方便網絡管理。
1.4 綜合聯動方案設計
目前,已經商用的比較成熟的聯動系統,是通過網絡入侵檢測系統(IDS,Intrusion Detection Systems)和防火墻的聯動來實現入侵防御。IDS檢測到某種攻擊后,會通知防火墻立刻做出相關策略的動態修改,對攻擊源進行相應的封堵,例如阻斷源端口、源IP等,從而達到整體安全控制的效果。防火墻與IDS聯動的設計,充分體現了網絡安全深度防御的思想。但這種方式也有不足,最重要的問題在于,防火墻和入侵檢測產品的互動沒有一個被廣泛認可的通用標準,大多數安全廠商各行其道,限制了技術的發展和用戶選擇產品的范圍。
因此,本文提出了綜合的系統聯動方案。針對應急平臺網絡拓撲結構的特點,在綜合聯動方案中加入了入侵防御系統(IPS,Intrusion Prevention System)、防火墻、安全管理中心軟件、EAD(Endpoint Admission Defense,端點準入防御)軟件、網絡版防病毒軟件、網管軟件、SSL VPN接入網關等軟硬件設備,提出如下綜合聯動部署方案,如圖3所示。
綜合聯動方案配置如表1所示。
具體的部署策略如下:
1)應急平臺網絡的互聯網出口處部署防火墻和IPS。防火墻對來自外部的訪問進行控制,并對來自外部網絡的2~4層的網絡攻擊進行防護。IPS利用不同的規則,既對外部網絡的2~7層的攻擊進行防護,又可以對內部流量進行監控,限制P2P、BT等業務,保證了應急平臺骨干業務網絡正常運行。
2)兩臺核心交換機旁路部署SSL VPN設備,并做雙機熱備,在保證應急平臺網絡安全的同時,滿足移動辦公的需要。同時對移動終端訪問應急平臺數據時通過加裝數字證書進行身份認證,保證移動終端訪問的安全性。
3)重要的應急平臺服務器組前端部署IPS和防火墻。IPS防護針對操作系統漏洞進行的攻擊,并防護來自內部網絡2~7層的攻擊。防火墻對應急平臺服務器組虛擬出DMZ區和內部受信區域,對不同單位的訪問進行控制,并防護來自內部網絡2~4層的攻擊。
4)DMZ區部署網絡版防病毒軟件和EAD系統。網絡版防病毒服務器安裝在內部網辦公PC和服務器群上,該軟件可定期及時更新病毒庫,保護服務器群及內部網辦公電腦免受病毒的攻擊。EAD通過集中部署,實現對用戶終端的安全狀態評估和訪問權限的動態控制,從而加強了應急平臺中網絡終端的主動防御能力,控制病毒、蠕蟲的蔓延。
5)安全管理軟件和網管軟件對應急平臺進行集中管理。管理人員可以通過網管軟件對網絡安全和服務器設備進行管理和控制,對設備的配置進行更新和修改,降低管理難度和成本。通過安全管理中心軟件收集網絡、安全以及服務器等設備的安全事件和日志,如攻擊事件記錄、日志等。
1.5 系統聯動分析
通過上述軟硬件的部署,可以實現省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統的聯動。該安全聯動方案由安全管理平臺、安全防護設備和EAD軟件三部分組成,安全管理平臺指安全管理中心系統和智能網管系統,安全防護設備指防火墻、入侵防御系統等。各終端用戶通過EAD軟件接入并由安全管理平臺進行身份認證和終端安全狀態評估,確保每一個接入端點的安全,預防內網病毒、蠕蟲的泛濫。系統聯動如圖4所示。
位于內部辦公區的終端安裝端點準入系統,當某個用戶試圖非法訪問內部服務器時,部署在服務器組前的防火墻設備會阻斷非法訪問連接;當某個用戶感染的病毒向服務器區傳播或用戶機器上的木馬對服務器區進行攻擊時,部署在服務器前的IPS設備可以將病毒和攻擊阻斷,防火墻和IPS會將該用戶的非法訪問和攻擊事件實時發給安全管理中心,安全管理中心根據定義好的策略,將重要的安全事件信息通過告警方式發給智能網管中心,智能網管中心上的端點準入管理組件分析安全管理中心發過來的告警信息,確認非法訪問和攻擊的用戶,然后,通過端點準入管理組件對惡意用戶進行告警或強迫下線,控制攻擊來源,避免威脅的再次發生,并且為用戶提供整網安全審計報告。
2 結束語
本文研究了省級應急平臺的網絡拓撲結構,分析了網絡所可能面臨的安全風險,根據應急平臺網絡的特點,基于綜合聯動的網絡安全策略,可以實現省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統的聯動,預防內網病毒、蠕蟲的泛濫,最大限度地保證應急平臺網絡的安全和業務系統的正常運行。
參考文獻:
[1] 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.
[2] 卿斯漢,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報.2004(7):19-29.
[3] 黃金蓮,高會生.入侵防護系統IPS探討[J].網絡安全技術與應用,2005(8).
[4] 劉世翔.網絡入侵檢測系統的研究和實現[D].長春:吉林大學,2004.
[5] 周海剛,肖軍模.網絡主動防御體系結構[J].電信科學,2003(1).
[6] 聶林等.入侵防御系統的研究與分析[J].計算機應用研究.2005(9):131-136.
[7] 林延福.入侵防御系統技術研究與設計[D].西安:西安電子科技大學,2005.
篇2
關鍵詞:金融風險;防范;管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)10-2201-02
隨著我國金融業的蓬勃發展,各金融機構不斷加大金融電子化建設投入,擴大其網絡規模和應用范圍。但是,應該看到,金融電子化在給我們提供便利的同時,也帶來了新的安全問題,并且,這個問題現在顯得越來越緊迫。
1金融網絡現狀與面臨的主要風險
金融活動越來越多地在計算機網絡上建立,網上證券交易、資金轉賬、清算支付、信用卡交易、信用查詢、電信銀行業務等基于網絡的金融產品不斷被開發出來,各種不同規模的金融系統也在迅速的發展壯大,金融業務的網絡化趨勢,已經成為不可避免的發展方向。
在網絡為我們提供巨大便利的同時,來自外部與內部的威脅與風險也在不斷加大。絕大多數銀行、金融機構都會通過各種方式進行互聯互通,并與國際互聯網直接或間接相連,如何有效防范來自外部的攻擊、竊聽、木馬、病毒的多重入侵是金融網絡組建與運行中必須首要考慮的問題。同時,機構內部的員工、終端、服務器、網絡設備、軟件等的管理也是不可忽視的,由于外部出口是一個點,而內部體系是一個面,所以來自內部的威脅往往要遠遠大于外部,必須加以足夠的重視。
2金融網絡的風險評估與防范
最有效的金融網絡風險防范措施就是對網絡系統進行等級保護,按照重要程度進行級別劃分,對不同等級的網絡系統通過物理隔離或邏輯隔離劃定邊界,并針對不同等級的網絡系統,特別是核心業務網絡定期進行風險評估,系統地分析所面臨的威脅及其存在的脆弱性,查找薄弱環節和安全隱患,有針對性的提出防范和化解風險的整改措施,并及時進行整改。
風險評估根據網絡系統等級劃分后的的重要程度和機構自身的條件選擇自評估或聘請第三方專業機構進行。評估過程大致可以分為現場檢查、風險分析及策略選擇3個步驟進行。
首先,現場檢查階段應明確目前網絡資產情況、網絡系統的安全需求、當前的安全控制措施情況、業務對網絡系統的依賴性,明確網絡系統的技術脆弱性,主要包括:設計弱點、實現弱點、配置弱點等等。現場檢查切勿走形式,務必提前制定詳細的檢查方案與實施細則,并嚴格按照檢查計劃進行。只有現場檢查階段得到了全面、真實的業務數據,才能為后面的綜合分析提供必要的基礎支持。
風險分析階段是整個風險評估的核心部分,需要利用現場檢查階段得到的各類數據,綜合分析金融網絡系統所存在的各類風險。具體實施則應包括關鍵資產安全需求(機密性、完整性和可用性)確定、關鍵資產威脅分析、脆弱性分析、綜合風險計算及風險分析總結等幾個方面。
安全需求分析包括應選擇關鍵資產、并對關鍵資產進行安全需求分析與賦值。威脅分析針對環境因素和人為因素分析威脅來源、對威脅進行分類、研究威脅發生的可能性、分析威脅的嚴重程度。脆弱性分析包括以下幾點:網絡安全策略及管理規章制度是否健全;安全組織體系是否健全,管理職責是否明確,安全管理機構崗位設置、人員配備是否合理;網絡系統的體系結構、各類安全保障措施的組合是否合理;網絡安全域劃分、邊界防護、內部網絡防護、外部設備接入控制、內外網隔離等是否到位;網絡設備、安全設備、主機和終端設備的安全性是否可靠,操作系統的安全配置、病毒防護、惡意代碼防范等是否有效。此外,還應檢查設備、系統的操作和維護記錄,變更管理,安全事件分析和報告;運行環境與開發環境的分離情況;安全審計、補丁升級管理、安全漏洞檢測、網管、權限管理及密碼管理情況;機房安全管控措施、防災措施、供電和通信系統的保障措施等;關鍵資產采購時是否進行了安全性測試,對外部服務機構和人員的保密約束情況,在服務提供過程中是否采取了管控措施;應急響應體系(應急組織、應急預案、應急物資)建設情況,應急演練情況等。
綜合風險分析主要是綜合分析網絡與信息系統的整體安全現狀,對資產、威脅、薄弱環節、已有安全措施進行綜合分析,分析安全事件發生的可能性;分析安全事件發生后可能造成的后果和影響;分析網絡和信息系統的整體風險狀況,最后根據風險的程度逐 條列出風險列表,通常可將風險劃分為3個等級,即一般風險、中級風險和高級風險。
策略選擇階段根據前一階段得到的風險列表,結合安全需求和業務目標,開展相應的整改工作,開發和選擇符合成本效益的信息安全保護策略,包括安全管理策略和安全運行策略,并制定合適的風險緩解計劃。特別是針對高級風險應立即采取相應措施進行化解,對于短時間內受各種客觀條件限制而不能及時處理的高級風險,應制定專項風險防范方案,并提出后期整改計劃。
經過較為全面的風險評估與相應的整改,可以極大的降低金融網絡安全事件的發生概率。需要注意的是,風險評估保證必須定期組織進行,并將責任落實到人,確保整改到位。
3金融網絡的應急體系
做好風險評估與防范,千萬不能忽視應急體系的建立與管理,即使金融網絡各方面風險已得到控制,仍避免不了各類突發事件的發生,如何在緊急情況下以最快的速度恢復系統運行或使用替代方式繼續進行業務處理,是衡量一個網絡體系是否健全完善的重要指標。
金融網絡比起其他普通網絡系統,有著更加重要的地位,一個社區的網絡或是一所學校的網絡系統出現故障所產生的社會不良影響遠不及一家銀行資金業務或支付清算系統網絡所出現的事故。金融網絡的應急處理必須得到高度的重視。
金融網絡應急體系建立的首要環節就是要建立一套全方位的應急組織協調機制,應涉及應急處理的各個部門、單位及相關政府職能部門,能在突發事件發生后的第一時間進行組織協調,確定應急方案,調動各方力量,實現應急聯動。
其次,金融機構應結合自身的實際情況,制定和不斷完善IT層面的應急預案,完善網絡、機房環境等應急操作手冊,提高金融網絡系統應對突發事件的能力,有效、快速、合理地應對突發事件,最大程度地減少金融網絡信息安全事件造成損失和影響,保障金融業務的連續運行。
應急預案的有效性取決于預案所涉及的人員對預案的理解。因此必須定期組織要對預案的宣傳、培訓和實戰演練,確保參與應急處理的每個人均能充分理解應急預案的中心思路、應急處理的原則、應急處理的具體執行流程,以便在實際應急處理過程中迅速進入狀態,確保應急處理的效果。
實戰演練是為檢驗應急設施的有效性、鍛煉應急隊伍、改進應急預案等,針對真實運行的系統主動進行的演練,實戰演練前應檢查預防性措施的就緒情況,以防止可能發生的演練風險。演練必須注重真實性,不能走過場,要模擬出真實事件發生的效果,最好由第三方組織在不通知預案執行者的前提下進行,以達到更真實的現場效果。
4結束語
金融網絡必須有足夠強的安全防衛措施,否則將會影響到金融業的可持續發展。網絡安全保障是一個綜合集成的系統,它的規劃、管理要求國家有關部門、金融機構及IT技術公司通力合作,進行科學的、強有力的干預、導向和防護。隨著金融信息化的迅猛發展,金融網絡不再局限于專網,而必須使用如互聯網那樣的公網。通過風險評估機制來建立完善的安全管理制度和智能、深度的安全防御技術手段,構建一個管理手段與技術手段相結合的全方位、多層次、可動態發展的縱深安全防范體系,為金融業務的發展提供一個堅實的信息系統基礎保障。
參考文獻:
篇3
一、學校網絡與信息安全工作情況
本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面,同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析,通過差距分析,明確各層次安全域相應等級的安全差距,為下一步安全技術解決方案設計和安全管理建設提供依據。
從檢查情況看,我校網絡與信息安全總體運維情況良好,未出現任何一起重大網絡安全與信息安全事件(事故)。近幾年,學校領導重視學校網絡信息安全工作,始終把網絡信息安全作為信息化工作的重點內容;網絡信息安全工作機構健全、責任明確,日常管理維護工作比較規范;管理制度較為完善,技術防護措施得當,信息安全風險得到有效降低;比較重視信息系統(網站)系統管理員和網絡安全技術人員培訓,應急預案與應急處置技術隊伍有落實;加強對學生網絡宣傳引導教育,日常重視微信、微博、QQ群的管理,提倡爭當“綠色網民”;工作經費有一定保障,網絡安全工作經費納入年度預算,在最近一年學校信息化經費投入中,網絡建設與設備購置費用約占56、5%,數字資源與平臺開發費用約占40、6%,培訓費用約占0、6%,運行與維護費用約占1、04%,研究及其他費用約占1、23%,總計投入占學校同期教育總經費支出的比例約1、57%,基本保證了校園網信息系統(網站)持續安全穩定運行。
1、網絡信息安全組織管理
20xx年學校成立網絡與信息安全工作領導小組,校主要領導擔任組長,網絡與信息安全工作辦公室設在黨委工作部,領導小組全面負責學校網絡信息安全工作,教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作,對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年,由于人動,及時調整網絡安全和信息安全領導小組成員名單,依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則,明確各部門負責人為部門網站的具體負責人,建立學校網絡信息員隊伍,同時,還組建網絡文明志愿者隊伍,對網絡出現的熱點問題,及時跟蹤、跟帖、匯報。
2、信息系統(含網站)日常安全管理
學校建有“校園網絡系統安全管理(暫行)條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例(試行)”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統(網站)使用單位基本能按要求,落實責任人,較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等,其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范,多數單位做到了杜絕弱口令并定期更改,嚴密防護個人電腦,定期備份數據,定期查看安全日志等,隨時掌握系統(網站)狀態,保證正常運行。
3、信息系統(網站)技術防護
學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件,20xx年為加強校園網絡安全管理,購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備,20xx年二月中旬完成校園信息系統(含網站)等級保護的定級和備案,并上報xxx市網安支隊。同時,按二級等保要求,約投資110萬元,完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造(物理安全)”等網絡安全設備的采購工作,目前,方案已經通過專家論證。
20xx年4月-6月及20xx年3月對網站系統進行安全測評,特別對系統層和應用層漏洞掃描,發現(教務管理系統、教學資源庫)出現漏洞,及時整改,并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時,對各防火墻軟件7個庫進行升級,對服務器操作系統存在的漏洞及時補丁和修復,做好網站的備份工作等。
4、網絡信息安全應急管理
20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位,在重大節日及敏感時期,采用24小時值班制度,對網絡安全問題即知即改,確保網絡安全事件快速有效處置。
二、檢查發現的主要問題
對照《通知》中的具體檢查項目,我校在網絡與信息安全技術和安全管理建設上還存在一定的問題:
1、由于學校信息化建設尚處于起步階段,學院數據中心建設相對薄弱,未建成完善的數據中心共享體系,各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時,網絡安全保障平臺(校園網絡安全及信息安全等級保護)尚在建設中。
2、部分系統(網站)日常管理維護不夠規范,仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題;學校子網頁網管員為兼職,投入精力難以保證,而且未取得相應資格證書;由于經費問題,個別應用系統未能及時升級,容易發生安全事故。
3、目前尚未開展網絡安全預案演練,還未真正組建一支校內外聯合的網絡安全專家隊伍,未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。
三、整改措施
針對存在的問題,學校網絡與信息安全工作領導小組專門進行了研究部署。
1、全面開展信息系統等級保護工作。按照相關《通知》要求,20xx年8月底全面完成網絡安全保障平臺建設,根據系統在不同階段的需求、業務特性及應用重點,采用等級化與體系化相結合的安全體系設計方案,形成整體的等級化的安全保障體系,同時根據安全技術建設和安全管理建設,保障信息系統整體的安全。
2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等,保障信息系統整體安全。
篇4
關鍵詞 危險品 安全管理 保障措施
中圖分類號:X921 文獻標識碼:A
1針對極端危機情境的應急演練常態化
1.1 應急管理制度的建立健全
國家“十一五”發展規劃綱要明確規定,建立健全應急管理體系,加強指揮信息系統、應急物質保障、專業救災搶險隊伍、應急標準體系以及運輸、現場通訊保障等重點領域和重點項目的建設,建設國家、省、市三級安全生產應急救援指揮中心和國家、區域、骨干專業應急救援體系。
為認真貫徹落實“安全第一、預防為主、綜合治理”的方針,規范中國石化集團勝利石油工程有限公司測井公司應急管理工作,提高測井公司應對突發事件的應急救援水平,增強綜合處置突發事件的能力,預防和控制次生災害的發生,保障測井公司員工和公眾的生命安全,最大限度地預防和減少特大事件及其造成的損害,維護測井公司的安全生產和社會穩定,促進測井公司全面、協調、可持續發展,測井公司依據國家有關法律、法規、標準,以及中國石化、勝利油田和山東省、東營市相關管理規定、應急預案等文件制定了綜合應急預案。
發生測井公司級發生放射性、爆炸物品、火災爆炸、人員重傷死亡以及公眾關注容易引發輿情的事件立即上報,時限20分鐘以內,每半小時一次持續報告。其他突發事件不得超過40分鐘,境外事件不得超過5個小時。
1.2應急演練演練內容
包括測井公司在內的油田各單位應制定年度應急演練計劃,按照“先單項后綜合、桌面推演與現場實戰相結合、循序漸進、時空有序”等原則,合理安排演練的頻次、規模、形式、內容、時間、地點以及責任人等。
公司每半年至少組織1次綜合性應急演練,三級單位每季度至少組織1次綜合性應急(或現場處置方案)演練;成建制四級單位每月至少組織1次現場處置方案演練。
各單位應急演練應以相關應急預案或應急處置程序為基礎,編制應急演練腳本。演練腳本應體現和執行應急預案所有環節,達到檢驗預案、鍛煉隊伍、提高應急處置能力的目的。
應急演練主要包括以下三種形式:
(1)桌面演練:沒有時間壓力情況下,發現和解決預案中的問題,取得一些有建設性的討論結果,鍛煉演習人員解決問題的能力,明確相互協作和職責劃分問題,此演練是功能演習和全面演習的基礎。桌面演練通常在會議室舉行,由應急組織的代表或關鍵崗位人員參加,按照應急預案和標準行動程序,討論所應急采取的應急行動。討論問題不受時間限制;采取口頭評論形式,并形成書面總結和改進建議。主要特點是口頭“走一遍”應急響應的場景,成本低。
(2)功能演練:功能演練是指針對某項應急響應功能或其中某些應急響應行動舉行的演練活動,可分為單項演習和組合演習,需要調用有限的資源開展現場演習并形成書面報告,目的是為了熟練和檢驗某些基本操作或完成某些特定任務所需的技術和實戰能力。
(3)全面演練:全面演練是針對應急預案中全部或大部分應急響應功能開展演練。全面演練一般要求持續幾個小時,采取交互式方式進行,演練過程要求盡量真實,調用更多的應急人員和資源,來開展人員、設備及其他資源的實戰性演練,以檢驗相互協調的總體反應和應急能力。
1.3演練資料總結歸檔
應急演練結束后,演練單位要對演練的組織過程、效果進行評估,提出持續改進措施,完善應急預案,形成演練總結報告,存檔并報上一級主管部門備案。
演練結束后做好總結,總結內容應包括:
(1)參加演練的單位、部門、人員和演練的地點;
(2)起止時間;演練過程和各相應時間節點;
(3)演練項目和內容;
(4)演練過程中的環境條件;
(5)演練動用設備、物資;
(6)演練效果;
(7)持續改進的建議;
(8)演練過程記錄的文字、音像資料等。
2提升對危險品可能引起的社會安全危機的認知
測井公司生產經營過程中涉及有放射性源、爆炸物品,公司的人員聚集場所多,存在發生工業生產事故、自然災害、公共衛生、社會安全事件等風險。加強各類突發事件的風險源分析,排查公司生產、生活、大型活動中,易發、高發突發事件的類型及各類施工、活動場所,做好各類事件的危害預測,分析突發事件與各類次生災害、次生事件的關系、緊密程度,為科學制定應對措施提供依據。
公司通過宣傳和培訓,使各單位應將應急培訓納入本單位年度培訓計劃,每年年底前編制完成下年度應急培訓計劃,并上報公司應急指揮中心辦公室。
同時各單位應定期開展單位負責人、分管領導、應急管理人員、應急救援人員、從業人員等各級各類人員,特別是新入廠、轉崗員工的應急培訓。
應急培訓的主要內容有:
(1)危險源辨識、危害因素識別與風險分析。
(2)應急救援知識與技能,個人防護、自救、互救等基本知識。
(3)應急職責、應急響應及實施程序。
(4)應急設施、設備、器材的性能與使用方法。
(5)應急對策與防護措施。
(6)相關應急預案、應急處置程序。
(7)相關法律法規、標準和規章。
測井公司應急指揮中心辦公室會同組織、宣傳和培訓等有關部門,通過各種宣傳手段,向員工和各單位周邊公眾廣泛宣傳應急法律法規和普及安全生產突發事件預防、避險、自救、互救和應急處置知識。
應急指揮中心辦公室組織測井公司應急培訓,內容應包括:培訓時間、培訓內容、培訓師資、培訓人員、培訓效果、培訓考核記錄等。
3加大危險品管理信息化等安全投入
首先進一步完善危險品動態監管數據庫、庫區數字化監控系統、生產運行監控指揮系統三大與危險品有關的信息管理系統,實現數據共享與實時更新,同時由異地數據定時更新保存變為異地數據實時更新保存。其次打造危險品數據采集、數據使用、數據管理三個方面的堅固可靠的信息安全體系,加強危險品管理信息化工作在網絡安全、數據安全和系統應用安全三個方面的信息安全考核,確保危險品管理信息系統安全。
篇5
一、組織領導
為更好推進公司安全生產月專項活動的組織領導,落實各項任務,公司成立了以總經理為組長的領導小組,領導小組下設工作小組,設在辦公室,負責活動總體聯絡、協調、推進和督辦。
二、活動內容
(一)加強安全生產宣傳
一是在公司職場顯著位置張貼安全生產月的相關橫幅、海報,LED顯示屏滾動播放“防風險、除隱患、遏事故”等宣傳標語,利用網絡傳媒,向員工、客戶進行安全生產的宣傳;利用分公司內網、公司微信公眾號進行安全生產月宣傳,廣泛在朋友圈和客戶群中進行轉發,營造宣傳氛圍,提升宣傳效果;利用晨會對員工進行集中宣導,并組織員工集中觀看安全生產宣傳片。
(二)開展職場安全大檢查活動
活動期間,分公司在全轄范圍內開展全面的安全生產問題及隱患排查。活動主要針對單位辦公職場和營業場所安全隱患的排查,結合近期發生的一系列重特大安全事故,各機構、部門特別針對電器設備、電路電線、消防通道、滅火器等消防設施進行了嚴格檢查,在檢查中按照全覆蓋、重實效的要求,確保及時消除安全隱患,嚴格做好“四防一保”(防火、防盜、防破壞、防災害事故,保障公司員工生命、公司財產安全以及正常工作秩序)。檢查中發現部分機構存在過期滅火器、違規使用電水壺、電動車電瓶充電器等現象,分公司已要求機構進行整改,包括在部分職場外安裝專用插排,供電動自行車充電。
(三)組織消防安全培訓和應急演練活動
部分機構邀請專業人員開展消防知識安全培訓,提高了全員的消防安全支持。部分機構聯合職場所在大樓物業公司進行了消防安全應急演練,指派專人在各樓層引導員工從安全樓梯通道快速疏散。演練現場還演示了消防栓水管噴淋、滅火器滅火等,大大增強了全員的安全應急意識,取得了良好的演習效果。
(四)開展安全知識競賽活動
公司積極員工參與2020年全國安全生產月系列活動之危化品及全民安全應急知識競賽。截至6月28日,參與競賽人員超過300人。
(五)開展安全責任險宣傳推廣活動
公司安排專人赴南通等中心支公司開展安全生產責任險推動,對產品優勢、推動方案進行詳細宣傳,要求各機構深入企業進行宣傳,擴大產品覆蓋面,提高保險的廣度和深度。加強與食品藥品監管相關部門的溝通協調,在重點領域積極探索開展試點,加大產品創新力度,為企業提供規范、高效、優質的保險服務。
(六)開展食品安全宣傳活動
活動期間,我分公司制定“食品安全宣傳周”活動方案,重點圍繞“發生食品安全事故怎么辦”“哪些是安全食品”,以及從食品安全政策法規、審查標準、風險防范、責任保險保障范圍和理賠流程等幾個方面進行宣傳。
三、 活動總結
通過本次安全生產月活動,全體員工進一步認識到了安全生產的重要性。截止到6月28日,共開展消防專題講座3次、警示教育活動4場,企業主要負責人宣傳3場,受教育229人次;開展應急預案演練4場,參與演練180余人;參加安全知識網絡有獎答題300人次;開展現場咨詢互動50人次,發放宣傳資料240余份;在公共場所電子顯示屏播放科普短視頻、安全提示、公益廣告20條次。此外,還通過LED屏、海報、橫幅,微信公眾號等多種形式開展宣傳活動。
篇6
2006年在公司“效益質量年”的定位目標指導下,緊緊圍繞公司“加強管理、保證質量,降低成本、提高效益,深化改革、強化支撐”的網絡運維方針,確保網絡運行質量,加強了基礎管理、網絡優化、大客戶支撐以及安全生產等方面工作力度,積極開展降本增效活動,取得了一定的成績,現對全年工作總結如下,。
一、加強基礎管理工作
我班組負責全區的網絡的維護、技術支持工作,為了更好的在數據網絡中開展各項數據業務和增值業務,我班組在中心的領導下嚴格落實省公司精細化管理的要求,按照“共識、細化、落實”的六字方針,堅持嚴格基礎管理工作,一年來,我班組堅持不斷完善客戶的資料工作、各種網絡設備以及大客戶的應急預案等各項基礎管理工作,特別是隨著三標一體以及內控工作的深入開展,更是要求我班組對擔負的各項工作必須有記錄,包括資料統計、障礙統計、網絡分析統計等,并且按照部門的各項規章制度和管理辦法,優化了各項工作流程,努力做到細化到人、優化到事、強化考核,確保提高員工工作效率,從管理中創造效益。
具體工作有:
1、按照維護規程嚴格執行各項維護作業計劃,結合內控,加大了對作業計劃、各種日志、記錄表格、安檢記錄等各項維護作業計劃和巡檢的檢查力度,保證內控審查可以順利通過,并根據實際工作需要不斷完善和更新相應的表格。
2、完善了對數據網絡各種統計維護資料并及時更新,保證基礎資料的準確性、完整性和及時性,安排專人制作了數據網絡資料庫程序并對該資料庫進行不斷完善和更新,特別對于光纖專線客戶和vpn客戶的資料管理,對涉及到的所有信息都在資料庫中均有詳細的體現。對全區的ip地址進行及時的備案并不斷完善ip地址管理系統,這些都為今年的全區ip地址優化工作打下了堅實的基礎。
3、為了更好地開展業務,理順流程,制定并完善了fttx業務、基礎數據業務、vpn業務、數據設備維護等各種流程和基礎數據網、ip城域網的分析作業指導書,并結合內控和三標一體工作的要求對以上規范進行完善,并按照省運維文件的要求及時更新和調整各種數據網絡設備的應急預案,強化細化了應急預案的執行功效。
4、為了提高班組員工的綜合素質,我班組加強了對員工業務、技術、安全、保密、形勢教育等各方面的培訓,今年累計進行培訓32次,內容涵蓋業務、設備、維護經驗及本專業最新技術等,并組織培訓效果測試11次,取得了良好的效果,特別針對新員工,我班組制定了專門的培訓計劃并按照計劃進行實施,有力的提高全班員工的維護素質。
5、在公司及部門領導下,積極參于公司舉辦的數據專業維護規程及寬帶adsl技能競賽,我中心取得了第一的優異成績,并且選派兩名技術骨干參加省公司組織的華為寬帶adsl技能大賽,取得了全省三等獎的好成績。
6、配合網運部組織開展了多次對各縣公司及營銷中心的維護知識培訓,其中包括城域網交換機的培訓、atm設備ip化改造的培訓等技術培訓,還安排專人去縣局進行現場講解,取得了良好的效果,提高了縣公司維護人員的綜合素質,為交換機權限下放打下了堅實的基礎。
7、為了達到內控的要求,我班組通過對××*地區市內97個模塊局進行巡檢并在數據設備上粘貼了資產標簽,滿足了內控的要求。
二、強化維護手段,積極開展將本增效活動,積極優化網絡,發揮網絡最大效益
一年來,我中心維護工作未發生重大故障,各項考核指標均達標。其中省內考核互聯網時延≤40ms,實際為≤10ms;本地ip客戶考核接入認證平均響應時間≤8s,實際為≤3s;基礎數據網用戶電路考核故障修復及時率≥99%,實際為100%;數據設備考核故障修復及時率≥96%,實際為100%;大客戶業務考核響應及時率≥99%,實際為100%;考核電路開通及時率100%,實際為100%;重大障礙上報及時率為100%,圓滿地完成了上半年的各項維護指標。
1、通過充分利用現有的城域網網管,我中心加強了對網絡流量、設備利用率、日志及網絡安全的監控及分析,分析范圍由原來城域網幾臺設備擴大到整個城域網匯聚層以上設備,并新增了對atm網絡流量的分析。結合網絡分析情況,及時地對網絡進行優化和調整,三月份新增城域網出口ge中繼一條,通過流量調整,緩解了城域網出口流量激增所帶來的壓力。由于寬帶bras匯聚ip上行設備的lpuk板卡和lpuh板卡接入客戶不同,××*地區局下掛各縣寬帶客戶較多,××*地區局下掛各縣寬帶客戶較少,通過將容量較大的lpuk板卡調整到××*地區局,并將武安ip上行的寬帶客戶及時的調整到××*地區bras,緩解了由于××*寬帶客戶激增帶來的板卡利用率過高問題,保證了××*方向寬帶業務的發展,隨后又對××*地區bras資源進行了適當均衡,使得全區bras的資源得到了充分的利用。六月份對城域網核心層設備××*地區局7609新增加一條至××*地區方向的ge中繼,充分緩解了西部流量大的問題,通過安排專人對網絡中的各種設備定期觀察,及時地發現網絡中的安全隱患并給予解決,極大的保證了業務的順利開展。
2、配合網運部做好寬帶ma5300綁定用戶端口工作,截至目前全區主要縣市ma5300節點已實現用戶帳號及端口綁定。為了實現pppoe+綁定測試,對全區ma5300設備的命名重新規范并進行命名更改,我中心××*根據端口綁定工作的需要發明了小程序,使得帳號綁定可以實現批量操作,將幾十個人幾天的工作量壓縮到了一個人幾個小時就可以完成,從人力成本上起到了將本增效的作用。
3、對××*地區路華為s8016交換機、華為s8512交換機及核心層7609路由器進行了升級打補丁操作,解決了由于客戶網絡攻擊及版本不穩定而可能造成系統瞬斷的隱患。并對華為ua5000寬帶設備進行統一升級,保證軟件版本的同一性。
4、在全省率先開展了華為ua5000和ma5300寬帶設備帳號和端口的綁定測試工作,并初步測試成功。由于我中心測試工作進展較早,所以省公司指定我公司和滄州分公司作為試點單位對各型號的bras和dslam進行測試,測試成功后將在全省進行推廣,通過測試為我公司下一步的寬帶賬號和端口綁定工作打下了堅實的基礎。
5、完成了城域網設備具備mplsvpn條件的mpls的部署。通過此次部署,我公司今后可以開展跨域的vpn業務,對市場部門開展新的業務起了有力的支撐。
8、實施了ip地址回收工作,
三、面向用戶、面向市場,做好業務支撐
我班組按照部門一貫倡導的“維護就是經營”的大經營觀念,整個維護工作緊緊圍繞以效益中心,加強對客戶、對市場的支撐力度,全力作好后臺支撐工作。
2、逐步建立了金銀牌大客戶電路資料臺帳,并結合金牌大客戶使用數據電路的實際情況分別為其制作了客戶電路應急預案。為了實現大客戶等級化我中心安排對大客戶電路用不同顏色的插塞來進行識別;為了體現對大客戶單位的差異化服務,我班組定期對金牌大客戶進行巡檢,并按月制作大客戶單位的網絡運行報告。
3、在省公司網管中心指導配合下完成了對寬帶vpdn技術的測試工作,并對××*地區市體彩大客戶利用該技術進行組網工作,涉及體彩客戶約300余戶。
4、全年為幾十個大客戶制作了大客戶電路接入方案,并到各個大客戶提供支撐數十次。配合大客戶服務部積極對教育局校校通客戶內網故障進行技術支持,并完成了多個校校通客戶vpn改ip專線的工作,尤其是對于××*地區區電教站,我中心前后對該客戶進行了10余次技術支持。
5、面對福彩窄帶vpn客戶不斷增長的情況,我部積極協調設備維護中心,新增了窄帶a8010接入服務器至××*地區、××*地區匯接局中繼4條,滿足了客戶數量增長的需求。
6、為了及時了解縣公司以及各營銷中心寬帶維護情況,我中心安排專人到中華南營銷中心、××*地區、××*地區、××*地區等縣分公司進行現場測試,并深入到客戶家中進行了解,掌握了全區客戶反映比較突出的問題并制定了相應的措施,取得了很好的效果。
7、全年網絡維護班組受理各類客戶技術咨詢上千次,受理縣市營銷人員技術問題達3000余次,強有力的支撐了前臺維護人員,由于機房人員服務水平高、服務態度熱情,深受廣泛的好評。為了保證增值業務的順利開展,班組在部門安排下多次派專人到各縣分公司和營銷中心進行現場技術培訓,通過多次的培訓,有力的支持了各營銷單位業務的順利開展。
四、抓緊安全生產,強化安全意識
一年來,我班組認真貫徹公司對安全生產工作的一系列指示精神,牢牢把握安全生產工作原則,堅持“安全第一、預防為主”的方針,認真落實各項安全措施,積極開展安全隱患整改,廣泛開展安全教育工作。,
1、全年圓滿地完成了××*地區局、××*地區局、××*地區局數據設備的安全整治工作,并配合完成了市內模塊局的整治工作,達到了安全生產的標準。
2、加大對員工的安全教育培訓,在職工中樹立“安全第一”的觀念。組織員工進行保密制度、交通安全、安全生、消防安全、防汛安全等安全教育達40余次,安全知識答題8次,配合部門進行消防演練4次,并根據根據班組的情況堅持每周一次安全培訓和每周一次安全檢查的制度。通過采取檢查、培訓及實際演練相結合的辦法,全面提高了員工的安全素質、安全意識和應變能力。在上半年生產樓電梯間著火事件中,我中心5名員工發現后按照消防要求及時向上級匯報并安全的將火撲滅,為公司挽回了損失。
4、加強了機房安全防火、防汛工作。始終把安全防火、防汛當作安全工作的重中之重,開展了經常性的安全檢查,要求班組員工熟練“四懂、四會”,熟練掌握初期火災撲救、防毒面具佩戴、消防水帶連接、滅火器等操作。
5、加強網絡設備巡檢,通過充分發揮ids和掃描等網絡安全系統在漏洞掃描、入侵檢測等方面的作用,完善各項網絡安全管理制度,細化日常維護、權限管理、檢測分析和安全防范流程,有力地抵制了外界對網絡的各類攻擊。
第二部分:2007年工作思路
2007年我班組以內控工作為契機,不斷完善基礎管理制度,通過加強網絡安全檢測,健全綜合分析、安全管理、故障分析等制度,強化維護支撐和服務,優化網絡結構,強化網絡質量,提高網絡運行效率,提高維護效益,不斷加強安全生產管理工作,深入開展員工培訓教育,提高員工綜合素質,積極開展將本增效活動,不斷提高維護水平,保證各項生產指標。
1、結合內控工作和三標一體工作的開展,繼續按照維護規程嚴格執行各項維護作業計劃,加強基礎管理,完善部門管理制度,優化管理流程,簡化管理環節,努力實現部門維護工作效率最大化和效益的最大化,確保順利通過各項審查。
2、持續深入開展各種形勢的教育學習活動,為員工發展創造良好環境,鼓勵員工勤于思考,敢于創新,深入開展學習型班組,加強維護隊伍建設,提高維護人員的素質。
3、繼續科學管理網絡資源,提高網絡資源的利用率,做好資源分析預警工作,充分利用網絡的資源,使網絡資源的效益盡量最大化。繼續深入開展將本增效工作,從管理和技術入手,對現有設備進行優化和改造,有效地開展將本增效工作。
4、進一步完善各項應急預案,提高應急預案的可操作性。加強安全教育和應急演練,強化員工應急意識,提高全員應急操作能力。
5、積極配合計劃建設部工程建設。配合完成港灣設備替換工作和中華路機房搬遷工作。結合各項工程的建設,優化城域網的網絡結構,提高網絡健壯性,進一步完善城域網、基礎數據網等網絡的網絡監控工作,加強網絡運行狀況的分析,為業務發展提供有力支撐,繼續不斷對網絡進行優化調整,使網絡發揮最大效益,圓滿完成各項維護指標。
6、積極發揮網絡安全系統在漏洞掃描、入侵檢測等方面的作用,不斷完善各項網絡安全管理制度,細化日常維護、權限管理、監測分析及安全防范流程,預防外界對網絡的各類攻擊。
7、堅持以人為本,繼續作好安全生產工作,抓好行風建設,提供優質服務,為經營發展保駕護航。
篇7
企業關于突發事件應急預案
一、應急處理指揮機構
二、突發事件報告程序
(一)發生突發事件,立即啟動應急預案指揮系統,堅持“誰主管,誰負責”、“實事求是”、“及時、準確和逐級上報”的原則。
(二)應急事件報告范圍、時限
發生一次死亡3人以上或涉外籍人員死亡的交通事故必須在2小時內上報上級主管部門。發生其它重大交通事故或造成惡劣社會影響的事故,于事發后6小時內向上級主管部門報告。
(三)突發事件應急報告內容
(1)事件突發的時間、地點、事件類型、經過,人員傷亡、財產損失情況,以及事發的環境、道路狀況等因素。
(2)事件現場搶救、救治及其他需要報告的情況。
(3)事件發生的原因、性質、責任、教訓及采取的措施。
三、突發事件應急指揮
發生突發事件后,立即啟動應急指揮系統,組織指揮搶撿救援行動,準確掌握事故與事件的情況變化,及時調配、部署、協調應急行動,組織好各組之間的協調、配合行動,提高應急事件處理能力和效率。
四、應急車輛和設備儲備
公司所有的工作用車(含小轎車、專用備班客車),作為應急車輛儲備要隨時聽從指揮奔赴現場,必要時,總指揮、副總指揮可隨時根據需要調動線路待班車(含正常營運的短途客車),參加應急事件處理與救援,考慮因旅客運輸車輛中途故障等原因,又很難在中途在較短的時間內排除故障,除及時增派備用車輛運輸中途旅客外,應配備必要的機械設備(如托拉車輛的硬型拉桿,易移動的機械式手動吊車、千斤頂、安全保護固定支架等設備),必要時可請示公安交警,車輛保險機構的故障施救車輛與設備及時參加救援,保證旅客、車輛及時得到救助。
五、應急事件處理原則
(一)救人高于一切。
(二)施救與報告同時進行,逐級報告,就近施救。
(三)局部服從全局、下級服從上級。分級負責,密切配合。
(四)最大限度地減少損失,防止和減輕人身傷亡。
六、應急事件處理職責、措施
總指揮:是應急事件實施的指揮者,對上級應急組織負責,在緊急情況下有權做出應急事件的實施決策和統一指揮。
副總指揮:在總指揮的領導下工作,協助總指揮做好應急救援的指揮工作,在總指揮離位的情況下,履行總指揮的職權。
應急通訊組:負責日常和應急狀態下的信息收集、傳遞以及各種指令的接收和下達。
應急搶險組:負責組織協助有關部門對應急現場的搶救,配合有關部門對事件原因調查處理。
應急保障組:負責應急狀態下的物資運輸和后勤保障。
應急救護組:負責組織應急狀態下的人員疏導,協助醫療部門對受傷人員進行救護。
應急電話:
(三)正確引導,沉著應對
加強宣傳教育,及時準確信息,正確引導輿論,慎用強制措施,防止矛盾激化。加強培訓演練工作,提高考試工作人員應對突發事件的能力,充分發揮專家隊伍和專業人員的作用,做到正確判斷,科學決策,提高應急反應行動的及時性和有效性。
企業關于突發事件應急預案
為切實做好網絡突發事件的防范和應急處理工作,進一步提高預防和控制網絡突發事件的能力和水平,減輕或消除突發事件的危害和影響,確保我局網絡與信息安全,根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網安全保護管理辦法》等有關法規文件精神,結合我局實際情況,特制定本應急預案。
一、指導思想
認真落實“教育在先,預防在前,積極處置”的工作原則,牢固樹立安全意識,提高防范和救護能力,以維護正常的工作秩序和營造綠色健康的網絡環境為中心,進一步完善網絡管理機制,提高突發事件的應急處置能力。
二、組織領導及職責
成立計算機信息系統安全保護工作領導小組
組 長:xx
副組長:xx
成 員:xx
主要職責:負責召集領導小組會議,部署工作,安排、檢查落實計算機網絡系統重大事宜。副組 長負責計算機網絡系統應急預案的落實情況,處理突發事故,完成局領導交辦的各項任務。
三、安全保護工作職能部門
1. 負責人: xx
2. 信息安全技術人員:xx
四、應急措施及要求
1. 各處室要加強對本部門人員進行及時、全面地教育和引導,提高安全防范意識。
2. 網站配備信息審核員和安全管理人員,嚴格執行有關計算機網絡安全管理制度,規范辦公室、計算機機房等上網場所的管理,落實上網電腦專人專用和日志留存。
3. 信息所要建立健全重要數據及時備份和災難性數據恢復機制。
4. 采取多層次的有害信息、惡意攻擊防范與處理措施。各處室信息員為第一層防線,發現有害信息保留原始數據后及時刪除;信息所為第二層防線,負責對所有信息進行監視及信息審核,發現有害信息及時處理。
5. 切實做好計算機網絡設備的防火、防盜 、防雷和防信號非法接入。
6.所有涉密計算機一律不許接入國際互聯網,做到專網、專機、專人、專用,做好物理隔離。連接國際互聯網的計算機絕對不能存儲涉及國家秘密、工作秘密、商業秘密的文件。
附:
應急處理措施指南
(一)當人為、病毒破壞或設備損壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的信息網絡設備,斷開與破壞來源的網絡物理連接,跟蹤并鎖定破壞來源的ip或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照災害發生的性質分別采用以下方案:
1、網站、網頁出現非法言論事件緊急處置措施
(1)網站、網頁由信息所值班人員負責隨時密切監視信息內容。
(2)發現在網上出現內容被篡改或非法信息時,值班人員應立即向本單位信息安全負責人通報情況;情況緊急的,首先中斷服務器網線連接,再按程序報告。
(3)信息安全相關負責人應在接到通知后立即趕到現場,作好必要記錄,清理非法信息,妥善保存有關記錄及日志或審計記錄,強化安全防范措施,并將網站網頁重新投入使用。
(4)追查非法信息來源,并將有關情況向本單位網絡領導小組匯報。
(5)信息化領導小組召開會議,如認為事態嚴重,則立即向市政府信息化辦公室和公安部門報警。
2、 黑客攻擊事件緊急處置措施
(1)當發現黑客正在進行攻擊時或者已經被攻擊時,首先()將被攻擊的服務器等設備從網絡中隔離出來,保護現場,并將有關情況向本單位信息化領導小組匯報。
(2)信息安全相關負責人應在接到通知后立即趕到現場,對現場進行分析,并做好記錄,必要時上報主管部門。
(3)恢復與重建被攻擊或破壞系統。
(4)信息化領導小組召開會議,如認為事態嚴重,則立即向市政府信息化辦公室和公安部門報警。
3、病毒事件緊急處置措施
(1)當發現有計算機被感染上病毒后,應立即向信息安全負責人報告,將該機從網絡上隔離開來。
(2)信息安全相關負責人員在接到通報后立即趕到現場。
(3)對該設備的硬盤進行數據備份。
(4)啟用反病毒軟件對該機進行殺毒處理,同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。
(5)如果現行反病毒軟件無法清除該病毒,應立即向本單位信息化領導小組報告,并迅速聯系有關產品商研究解決。
(6)信息化領導小組開會研究,認為情況嚴重的,應立即市政府信息化辦公室和公安部門報警。
4、軟件系統遭破壞性攻擊的緊急處置措施
(1)重要的軟件系統平時必須存有備份,與軟件系統相對應的數據必須按本單位容災備份規定的間隔按時進行備份,并將它們保存于安全處。
一旦軟件遭到破壞性攻擊,應立即向信息安全負責人報告,并將該系統停止運行。
(3)檢查信息系統的日志等資料,確定攻擊來源,并將有關情況向本單位信息化領導小組匯報,再恢復軟件系統和數據。
(4)信息化領導小組召開會議,如認為事態嚴重,則立即市政府信息化辦公室和公安部門報警。
5、數據庫安全緊急處置措施
(1)對于重要的信息系統,主要數據庫系統應按雙機設備設置,并至少要準備兩個以上數據庫備份,平時一個備份放在機房,另一個備份放在另一安全的建筑物中。
(2)一旦數據庫崩潰,值班人員應立即啟動備用系統,并向信息安全負責人報告。
(3)在備用系統運行期間;信息安全工作人員應對主機系統進行維修并作數據恢復。
(4)如果兩套系統均崩潰而無法恢復,應立即向有關廠商請求緊急支援。
6、廣域網外部線路中斷緊急處置措施
(1)廣域網線路中斷后,值班人員應立即向信息安全負責人報告。
(2)信息安全相關負責人員接到報告后,應迅速判斷故障節點,查明故障原因。
(3)如屬我方管轄范圍,由信息安全工作人員立即予以恢復。
(4)如屬電信部門管轄范圍,立即與電信維護部門聯系,要求修復。
(5)如有必要,向本單位信息化領導小組匯報。
7、局域網中斷緊急處置措施
(1)設備管理部門平時應準備好網絡備用設備,存放在指定的位置。
(2)局域網中斷后,信息安全相關負責人員應立即判斷故節點,查明故障原因,并向網絡安全組組長匯報。
(3)如屬線路故障,應重新安裝線路。
(4)如屬路由器、交換機等網絡設備故障,應立即從指定位置將備用設備取出接上,并調試通暢。
(5)如屬路由器、交換機配置文件破壞,應迅速按照要求重新配置,并調測通暢。
(6)如有必要,向本單位信息化領導小組匯報。
8、設備安全緊急處置措施
(1)服務器等關鍵設備損壞后,值班人員應立即()向信息安全負責人報告。
(2)信息安全相關負責人員立即查明原因。
(3)如果能夠自行恢復,應立即用備件替換受損部件。
如屬不能自行恢復的,立即與設備提供商聯系,請求派維護人員前來維修。
(5)如果設備一時不能修復,應向本單位信息化領導小組匯報。
(二)當發生的災害為自然災害時,應根據當時的實際情況,在保障人身安全的前提下,首先保障數據的安全,然后是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
(三)當發生火災時,若因用電等原因引起火災,立即切斷電源,撥打119報警,組織人員開啟滅火器進行撲救。
(1)對于初起火災,現場人員應立即實施撲救工作,使用滅火器具實施滅火撲救工作;
(2)火勢較大時,應立即撥打119火災報警電話和根據火災情況啟動有關消防設備,通知有關人員到場滅火;
(3)在保障人員安全的前提下,按上款保護數據及設備。
(四)當市電不正常時,采用ups供電,供電時間視電池容量而定,一般不超過1小時,若超過此時間,關團服務器等網絡設備,等市電供應正常后半小時再重新啟動服務器。
(五)其它
篇8
一、學校信息化建設現狀分析
現階段各高校及中小學都基本普及了校園網絡,其中大部分也已開始進行信息系統的建設,以校園一卡通系統、校園安全監控系統、科研管理數據庫等為主。 還有一部分開始推行普及整個校園的身份認證系統,提供賬號支持師生設備上網。學校的教學和管理工作對信息系統的依賴性也越來越強。
隨著網絡規模的不斷擴大以及對信息系統建設的深入和完善,數據大量產生并持續快速增長,信息系統數據庫的規模也在不斷擴大,隨著其承載的信息量的不斷增加,這些信息的安全性也就凸顯出來,系統保護和數據防災就變得愈發重要。
二、威脅學校信息系統數據安全的因素
網絡故障、病毒侵害、非法訪問、軟件設計缺陷、數據庫破壞、拒絕服務攻擊、系統物理故障、使用人員人為失誤、信息泄密、自然災害等,都可對系統數據可用性、完整性和保密性的進行破壞,從而對信息系統構成威脅,由此而造成的安全后果是難以估量的。
三、學校信息安全管理體系的構建
學校信息系統應用是多方面的,一旦投入使用,就會產生大量的數據,面對來自多方面的威脅,稍有不慎就會造成災難性后果。所以,建立完善的信息安全管理體系,即Information Security Management System(簡稱ISMS),勢在必行。
1. 構建學校ISMS的方法和目的
針對信息安全在不同網絡層次上(物理層、網絡層、數據鏈路層、應用層、用戶終端層等)的需要,參照國際標準ISO/IEC27001信息安全管理體系(ISMS),明確信息安全的方針和目標,建立完整的信息安全管理制度和流程,制定完善的安全策略,強化安全技術的應用,采取行之有效的安全防范措施,保證信息系統的安全穩定運行。
2. 安全策略與防范措施
(1)強化安全技術
從安全技術實施上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果,完善安全策略,制定防范措施和完整的解決方案。
采用冗余技術 。學校信息網絡是運行整個學校業務系統的基礎,更是數據處理及轉發中心,首先需要通過增加設備及鏈路的冗余來提高其可靠性,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
部署網絡安全設備。在Internet出口處部署主動入侵防御設備(IPS)及流控設備,開啟實時防御和安全過濾,優化網絡帶寬,構建可視、可控、高效的網絡。通過防火墻與IPS的緊密配合,抵御來自校園網內外的各種惡意攻擊和病毒傳播,確保校園核心業務和核心資源的安全,真正實現校園網絡與應用的安全保障。
加強用戶終端管理。制定統一且便于管理的終端管理方案,強制準入制度,對特定區域、數據及設備設定訪問權限,保證整個網絡的安全性和可管理性。根據物理位置、功能區域、業務應用或者管理策略等分VLAN,對需要接入網絡的用戶與設備進行實名認證,并保證用戶帳號的唯一性。同時,部署上網行為管理設備,對校內終端用戶的網上行為進行有效監管,降低因終端用戶的違法網絡行為帶來的安全及法規風險。
強化數據安全。建立統一的數據存儲中心,增加負載均衡設備及同步磁盤陣列,提高數據庫服務器業務連續性及應用服務器負載能力,并針對整個信息系統進行統一定時的D2D2T備份,并結合重復數據刪除等技術,提高數據備份效率和數據保留周期。
(2)完善安全管理制度
篇9
[關鍵詞] 信息等級保護概述;中國石油;等級保護建設
[中圖分類號] TP391;X913.2 [文獻標識碼] A [文章編號] 1673 - 0194(2013)05- 0057- 02
1 信息等級保護制度概述
信息安全等級保護制度是國家信息安全保障工作的基本制度,是促進信息化健康發展的根本保障。其具體內容包括:①對國家秘密信息,法人和其他組織及公民的專有信息以及公開信息,存儲、傳輸、處理這些信息的信息系統實行分等級安全保護、分等級監管;②對信息系統中使用的信息安全產品實行按等級管理;③對信息系統中發生的信息安全事件分等級響應、處置。信息安全等級保護配套政策體系及標準體系如圖1、圖2所示。
定條件的測評機構開展等級測評;④建設整改:備案單位根據信息系統安全等級,按照國家政策、標準開展安全建設整改;⑤檢查:公安機關定期開展監督、檢查、指導。
2 中國石油信息安全等級保護制度建設
中國石油信息化建設處于我國大型企業領先地位,在國資委歷年信息化評比中都名列前茅。2007 年全國開展信息安全等級保護工作之后,中國石油認真貫徹國家信息安全等級保護制度各項要求,全面開展信息安全等級保護工作。逐步建成先進實用、完整可靠的信息安全體系,保障信息化建設和應用,支撐公司業務發展和總體戰略的實施,使中國石油的信息安全保障能力顯著提高。主要采取的措施有以下幾個方面:
(1)以信息安全等級保護工作為契機 , 全面梳理業務系統并定級備案。中國石油根據國家信息安全等級保護制度要求,建立自上而下的工作組織體系,明確信息安全責任部門,對中國石油統一建設的應用系統進行等級保護定級和備案,通過制定《中國石油天然氣集團公司重要信息系統安全等級保護定級實施暫行意見》,加強桌面安全、網絡安全、身份認證等安全基礎防護工作,加快開展重要信息系統的等級測評和安全建設整改工作,進一步提高信息系統的安全防御能力,提高系統的可用性和安全性。在全面組織開展信息系統等級保護定級備案工作之后,聘請專業測評機構,及時開展等級測評、安全檢查和風險評估工作,并通過等級測評工作查找系統的不足和安全隱患,制訂安全整改方案,開展安全整改和加固改造,保障信息系統持續安全穩定運行。
(2)以信息安全等級保護工作為抓手 , 全面推動中國石油信息安全體系建設。中國石油以信息安全等級保護工作為抓手,完善信息安全整體解決方案,建立技術保障體系、管理保障體系和控制保障體系。采用分級、分域的縱深防御理念,將桌面安全、身份認證、網絡安全、容災等相關技術相互結合,建立統一的安全監控平臺和安全運行中心,實現對應用系統的授權訪問、桌面計算機的安全控制、網絡流量的異常監控、惡意軟件與攻擊行為的及時發現與防御、業務與數據安全保障等功能,顯著提高抵御外部和內部信息安全威脅的能力。建立了總部、區域網絡中心、企事業單位三級信息系統安全運維隊伍;采用集中管理、分級維護的管理模式,網絡與安全運維人員采用授權方式,持證上崗,建立網絡管理員、安全管理員和安全審計員制度;初步建立起中國石油內部信息安全風險評估隊伍,并于 2010 年完成地區公司的網絡安全風險評估工作。
(3)建立重要信息系統應急處置預案,完善災難恢復機制。2008 年,中國石油了《網絡與信息安全突發事件專項應急預案》,所有業務系統、網絡管理、安全管理等都建立了應急響應處置預案和災備系統,保障業務系統在遭遇突發事件時,能快速反應并恢復業務系統可用性。通過災難恢復項目研究,形成了現狀及風險分析、災難恢復等級劃分、災備部署策略分析和災備部署方案四步法,劃分了信息系統災難恢復等級,完善了災難恢復機制。
(4)規劃信息安全運行中心,建立重要信息系統安全監控機制。中國石油規劃了信息安全運行中心的建設方案,提出了信息安全運行中心建設目標,通過網絡運行狀態、安全信息數據匯集、安全監測分析功能和安全管理流程的有機整合,實現中國石油 信息安全狀況的可感知、可分析、可展示、可管理和可指揮,形成中國石油信息安全事件分析、風險分析、預警管理和應急響應處理一體化的技術支撐能力;通過完善安全運行管理體系,將安全運行管理組織、安全運維管理流程和安全監測預警系統三方面有機結合,實現事前預警防范、事中監控處置、事后追溯定位的信息安全閉環運行機制,形成中國石油統一的應急指揮與協調調度能力,為中國石油信息安全保障奠定良好的基礎。
3 信息安全等級保護工作存在的不足及改進建議
信息安全等級保護管理辦法 (公通字[2007]43號)正式標志著全國范圍內的信息安全等級保護工作開始,通過5年的努力,全國信息安全工作形成了以落實信息安全等級保護制度為核心,信息通報、應急處理、技術研究、產業發展、網絡信任體系和標準化建設等工作快速發展的良好局面,重要行業部門的信息安全意識、重視程度、工作能力有了顯著提高。40余個重要行業出臺了100余份行業等級保護政策文件,20余個重要行業出臺了40余份行業等級保護標準,但同時存在著以下不足:
(1)對信息安全工作的認識不到位,對重要信息系統安全保護缺乏應有的重視。依據公安部相關資料統計,截至2012年6月,我國有18%的單位未成立信息安全工作領導機構;21%的單位未落實信息安全責任部門,缺乏信息安全整體規劃;14個行業重要信息系統底數不清、安全保護狀況不明;12個行業未組織全行業信息安全專門業務培訓,開展信息安全工作的思路和方法不得當,措施不得力。20%的單位在信息系統規劃過程中,沒有認真制定安全策略和安全體系規劃,導致安全策略不得當;22%的信息系統網絡結構劃分不合理,核心業務區域部署位置不當,業務應用不合理,容易導致黑客入侵攻擊,造成網絡癱瘓,數據被竊取和破壞。34.6%的重要信息系統未配置專職安全管理人員,相關崗位設置不完整,安全管理人員身兼多職;48%的單位信息安全建設資金投入不足,導致重要信息系統安全加固和整改經費嚴重缺乏;27%的單位沒有針對安全崗位人員制訂相關的培訓計劃,沒有組織開展信息安全教育和培訓,安全管理、運維技術人員能力較弱。
(2)重要信息系統未落實關鍵安全保護技術措施。重要信息系統未落實安全審計措施。在主機層面,有34.9%的信息系統沒有保護主機審計記錄,34.8%的信息系統沒有保護主機審計進程,容易導致事故責任無法認定,無法確定事故(事件)原因,影響應急處理效率。38%的信息系統沒有落實對重要系統程序和文件進行完整性檢測和自動恢復的技術措施,35%的信息系統沒有采取監測重要服務器入侵行為的技術措施,容易使內部網絡感染病毒,對攻擊行為無法進行有效監測和處置。
(3)我國信息技術與國外存在一定差距,安全專業化服務力量薄弱。具有我國自主知識產權的重要信息技術產品和核心技術水平還有待提高,依賴國外產品的情況還比較普遍;國內信息安全專業化服務力量薄弱,安全服務能力不強,部分重要信息系統的關鍵產品維護和系統運維依賴國外廠商,給重要信息系統安全留下了隱患。
為了有效提高我國企業信息安全水平,增加等級保護的可行性及執行力,建議:①各企業開展以信息安全等級保護為核心的安全防范工作,提高網絡主動防御能力,并制訂應急處置預案,加強應急演練,提高網絡應急處置能力。②加大人員和資金投入,提高保障能力。③國家層面加快關鍵技術研究和產品化,重視產品供應鏈的安全可控。
主要參考文獻
[1]中國石油天然氣集團公司. 中國石油天然氣集團公司全面開展信息安全等級保護工作為信息化建設保駕護航[J].信息網絡安全,2012(1).
篇10
隨著全球信息化程度的加深,CDN已經成為互聯網上向用戶提供服務的重要系統之一,一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置,能夠抵御一部分對源站的安全攻擊,從而提高源站的安全性;另外一方面,隨著CDN越來越多地服務于重要國家部門、金融機構、網絡媒體、商業大型網站,并經常承擔奧運會、國慶等重大活動,保障CDN自身的安全性、確保源站信息內容安全準確地分發給用戶也非常重要。一旦CDN出現業務中斷、數據被篡改等安全問題,可能對用戶使用互聯網服務造成大范圍嚴重影響,甚至可能影響社會穩定。
標準工作開展背景
一直以來,國際國內缺乏專門的標準明確CDN應滿足的安全要求,今年《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》在中國通信標準化協會(CCSA:ChinaCommunications StandardsAssociation)立項,“電信網安全防護標準起草組”討論了征求意見稿,相信CDN安全的標準化工作,能對促進CDN服務商規范安全地提供服務,從整體上提高CDN行業的安全防護水平提供指導。
美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容,制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網絡在國家政治、經濟和社會發展過程中的基礎性和全局性作用與日俱增,這些發達國家越來越重視通信網絡安全,并上升到國家安全高度。我國也越來越重視網絡與信息安全保障,相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發【2006】11號《2006―2020年國家信息化發展戰略》等文件指導基礎信息網絡和重要信息系統的安全保障體系建設。
近五年通信網絡安全防護工作取得很大成效,指導通信網絡從業務安全、網絡安全、系統安全、數據安全、設備安全、物理環境安全、管理安全等各方面加固,提高了通信網絡運行的穩定性和安全性、基礎電信運營企業安全管理的規范性,也促進了通信行業安全服務產業的快速發展。
隨著通信網絡安全防護工作逐步深入規范開展,2011年工業和信息化部組織開展了增值運營企業的安全防護試點,率先對新浪、騰訊、百度、阿里巴巴、萬網、空中信使運營管理的網絡單元進行定級備案、安全符合性評測和風險評估。
2011年,“電信網安全防護標準起草組”組織研究起草《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》等8項安全防護標準,工業和信息化部電信研究院、藍汛、網宿、清華大學、中國移動、中國電信、華為、中國互聯網協會等單位研究人員參與了標準的起草,目前這兩項標準的征求意見稿已經在CCSA討論通過。
根據《通信網絡安全防護管理辦法》,按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯網內容分發網絡安全防護要求》明確了一級至五級CDN系統應該滿足的安全等級保護要求,級別越高,CDN需滿足的安全要求越多或越嚴格。《互聯網內容分發網絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等,有助于深入檢查企業是否落實了安全防護要求。
CDN安全防護內容
CDN位于內容源站與終端用戶之間,主要通過內容的分布式存儲和就近服務提高內容分發的效率,改善互聯網絡的擁塞狀況,進而提升服務質量。通常CDN內部由請求路由系統、邊緣服務器、運營管理系統、監控系統組成,CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯網的重疊網,與承載網松耦合。
CDN主要是為互聯網上的各種業務應用提供內容分發服務,以顯著提高互聯網用戶的訪問速度,所以保障CDN分發的數據內容安全和CDN業務系統安全至關重要,保障CDN的基礎設施安全、管理安全,有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數據內容安全、業務系統安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。
(1)CDN數據內容安全
為保障CDN分發的數據內容安全,需要確保CDN與源站數據內容一致,并進行版權保護,記錄管理員的操作維護并定期審計,一旦發現不良信息能夠及時清除,同時提供防御來自互聯網的網絡攻擊并對源站進行保護的能力。
數據一致性:CDN企業提供對內容污染的防御能力,識別和丟棄污染的內容,保障重要數據內容的一致性和完整性;保證CDN平臺內部傳輸數據的一致性;防止分發的內容被非法引用(即防盜鏈)。
版權保護:按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。
安全審計:記錄管理員(含源站管理員和CDN系統內部管理員)對CDN系統的管理操作,留存日志記錄并定期審計。
不良信息清除:一旦發現CDN系統內部含不良信息,應在內容源站或主管部門要求時間內,完成全網服務器屏蔽或清除不良信息。
防攻擊和源站保護:引入CDN后不應降低內容源站的安全水平,同時CDN在一定程度上提供對內容源站的抗攻擊保護。
(2)CDN業務系統安全
為保障CDN的業務系統安全,需要從結構安全、訪問控制、入侵防范等方面進行安全保護,另外鑒于請求路由系統(即DNS系統)在CDN系統中的重要性以及目前DNS系統存在脆弱性,需要保障請求路由系統的安全。
結構安全:CDN企業在節點部署時應考慮防范安全攻擊,如為服務器單節點服務能力留出足夠的冗余度、配置實時備份節點等。
訪問控制:對管理員操作維護進行身份認證并進行最小權限分配,從IP地址等方面限制訪問。
入侵防范:關閉不必要的端口和服務,CDN能夠抵御一定的安全攻擊并快速恢復。
請求路由系統安全:部署多個內部DNS節點進行冗余備份,并對DNS進行安全配置。
(3)CDN基礎設施安全
保障CDN的基礎設施安全,可從主機安全、物理環境安全、網絡及安全設備防護等方面進行保護。
主機安全:企業對CDN的操作系統和數據庫的訪問進行訪問控制,記錄操作并定期進行安全審計;操作系統遵循最小授權原則,及時更新補丁,防止入侵;對服務器的CPU、硬盤、內存等使用情況進行監控,及時處置告警信息。
物理環境安全:機房應選擇合適的地理位置,對機房訪問應進行控制,防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施,并確保電力持續供應。
網絡及安全設備防護:IP承載網需要從網絡拓撲結構、網絡保護與恢復、網絡攻擊防范等方面進行保護。
(4)CDN管理安全
規范有效的管理對于保障信息系統的安全具有重要作用,可從機構、人員、制度等方面進行保障,同時應將安全管理措施貫穿系統建設、系統運維全過程。
機構:通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。
人員:在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環節加強對人員的管理。
制度:對重要的安全工作制訂管理制度,確保制度貫徹執行,根據安全形勢的變化和管理需要及時修訂完善安全制度。
安全建設:在系統定級備案、方案設計、產品采購、系統研發、工程實施、測試驗收、系統交付、選擇安全服務商等環節進行安全管理,分析安全需求、落實安全措施。CDN企業在新建、改建、擴建CDN時,應當同步建設安全保障設施,并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用,需納入建設項目概算。
安全運維:在系統運行維護過程中對物理環境、介質、網絡、業務系統、安全監測、密碼、備份與恢復等加強安全管理,提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。
(5)災難備份及恢復
可通過配置足夠的冗余系統、設備及鏈路,備份數據,提高人員和技術支持能力、運行維護管理能力,制訂完善的災難恢復預案,提高CDN企業的抗災難和有效恢復CDN的能力。
冗余系統、設備及鏈路:運營管理系統、請求路由系統等核心系統應具備冗余能力,在多個省份備份,發生故障后能及時切換;CDN設備的處理能力應有足夠的冗余度;核心系統間的鏈路應有冗余備份。
備份數據:系統配置數據、源站托管數據等關鍵數據應定期同步備份。
人員和技術支持能力:應為用戶提供7×24小時技術支持,員工應經過培訓并通過考核才能上崗。
運行維護管理能力:運維人員應能及時發現系統異常事件,在規定事件內上報企業管理人員、客服人員,做好對客戶的解釋工作。
災難恢復預案:應根據可能發生的系統故障情況制訂詳細的災難恢復預案,組織對預案的教育、培訓和演練。
CDN標準展望
2011年制訂的CDN標準還只是一個嘗試,目前《互聯網內容分發網絡安全防護要求》和《互聯網內容分發網絡安全防護檢測要求》僅對作為第三方對外提供互聯網內容分發服務的CDN提出安全防護要求和檢測要求,隨著后續CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化,CDN安全防護標準還會不斷修訂完善。
