网络安全综合业务平台建设及应用工作开展情况3篇网络安全综合业务平台建设及应用工作开展情况 2021年上半年网络平安与信息化工作总结结2021年上半年局党组的正确指导下,在局属各单位、机关各处室的亲密协作和大力支持下,围绕市委下面是小编为大家整理的网络安全综合业务平台建设及应用工作开展情况3篇,供大家参考。
一、工作开展情况 〔一〕逐步推动我局政务信息系统整合共享 一是加快政务信息系统〔平台〕迁移“上云〞。根据《关于印发加快推动 X 市大数据中心建立重点任务施行方案的通知》、《关于印发 X 市政务信息系统〔平台〕整合共享工作方案的通知》和《关于“才智 XX〞大数据中心建立专题会议纪要》要求,2021 年市属各部门自建政务信息全部施行整合并迁移上云,不再单独保存和新建机房的工作要求,加快我局系统政务信息系统迁移工作进度。
屡次召集涉及系统迁移的局属单位、运维公司、大数据公司、曙光公司等部门以专题会议形式,对接我局系统迁移详细事宜,确定“上云〞系统数量及内容。编制《市 XX 局政务信息系统〔平台〕迁移方案》,并根据各系统实际情况不断完善详细迁移细那么。
二是落实市政务信息资源共享平台数据接入工作。根据“最多跑一次〞改革指导小组要求,对我局系统信息化系统〔平台〕建立运行情况、数据库根本情况、数据资源整合共享现状及需求等情况进展全面调查,形成《市XX 局数据共享交换平台数据对接方案》,报送至“最多跑一次〞改革指导小组。根据接入责任分解表,供给我局相关信息与数据,开展电子政务外网交换设备调试等相关工作。
〔二〕环境信息化工程有序建立 一是新型才智城市工程,根据要求连续推动新型才智城—才智环保工程的建立与应用,按季度报送总结至工信局〔大数据局〕;结合新型才智城市评价指标中任务分工,与监测监察处、污控中心和支队进展对接,认真梳理所需信息和数据,根据分项指标进展计算后上报评价数据。
二是环境监管力量建立工程,开展污染源自动监测系统建立。截止 6月底,已完成数据迁移工作,已将历史数据迁移至新平台,实现了新平台与国发平台数据对接,有效提升了污染源自动监测数据传输效率。
三是保护区生态保护信息化与大数据工程,通过构建大数据管理平台,实现业务及数据的集中管理和整体运维,为保护区的生态环境综合决策、环境监管供给支持。上半年对开发完毕的软件系统功能提出进一步优化要求,在实际运用中不断完善系统各项功能,已接入 5 个水质自动监测站数据,并在此根底上,完成了该工程软件著作权的申请工作。
〔三〕环境系统平安保障体系根本形成 一是根本建立我局网络和信息平安保障体系。针对我局业务系统及网络开展信息系统平安风险评估、代码审计、系统整改和平安加固等信息平安建立工作。利用扫描技术,对我局网络、系统效劳以及防火墙系统的平安破绽进展扫描,查杀病毒,提升了信息平安风险防护力量,根本建立了网络和信息平安保障体系,保障了全局网络和信息系统的平平稳定运行。
二是根据市委网信办要求,在我局系统范围内开展了重要信息系统的数据平安专项自查和环保系统互联网应用程序 APP 进展摸排调查,从数据的搜集、存储、传输、用法以及重要信息接入互联网几方面内容进展逐条梳理自查,整改存在问题,形成自查报告和自查表报送至市委网信办。
三是根据市公安局〔网络平安分局〕要求,对我局系统网络平安开展自查工作,对全局系统网络平安风险破绽进展排查,整改平安隐患形成网络平安自查表,撰写网络平安自查报告,报送至公安局〔网络平安分局〕。
四是全面梳理我局系统网络及系统平台用法情况,更新完善局系统网络平安及系统平台用法台账,重新部署我局系统网络平安策略。对我局网络策略进展重新部署,标准上网行为管理,严把网络平安关卡。
〔四〕环境信息管理与业务工作有效统筹 一是开展第一、二季度环保专网巡检工作,对专网进展连通性测试,保障专网畅通。对专网上各线路视频会议系统进展调试,确保会议系统正常运行。
二是开展局系统信息化力量建立情况排统计工作。根据市委电子政务办要求,对我局系统〔包括分局及局属单位〕计算机及相关设备进展全面梳理摸排,汇总后录入台账系统,为国产化工作做好根底预备工作。
三是为河流国控断片新增高清设备。根据水质自动站建立相关要求,为准确反映河流水质情况、确保断面水质稳定。移设两台扬尘视频监控停用设备至自动监测站进展架设用法,以保证水质监测质量。
四是合理支配日常工作。做好各类会议视频、音频及其他保障工作 160余次;做好网络舆情搜集、整理、报送工作,共报送舆情 7 期、季度专报 1期。
二、工作中存在的问题 〔一〕年度重点任务重视程度不够 2021 年市委、市政府屡次召开专题会议部署全市政务信息系统“上云〞和“共享〞两项重要任务。我局下半年“上云〞和“共享〞的工作量大而繁重,亟需局属各单位、机关各处室进一步进步重视,加强协作,支配专人进展对接,确保顺当完成工作任务。
〔二〕信息化管理人手缺乏 信息化工作管理机制不够健全,实现资源共享和业务协同机制存在确定障碍。由于信息化工作掩盖面广、技术要求高、业务冗杂,现阶段专业人员严峻缺乏,导致工作无法适应新形势的要求。为确保各项信息化工作正常开展,请指导考虑补充相关人才。
三、下半年工作方案 〔一〕圆满完成我局信息系统迁移“上云〞任务 根据我市“上云为常态、不上云为例外〞的建立原那么,整合环境信息化根底支撑效劳体系,进一步进步资源利用率。根据《市 XX 政务信息系统〔平台〕迁移方案》,加快全局迁移进度,加强各单位、处室之间的协作,抑制“时间紧、任务重〞的现状,保证按时完成政务信息系统〔平台〕迁移工作任务。
〔2 完成政务信息系统〔平台〕整合共享工作 落实《关于印发 XX 市政务信息系统〔平台〕整合共享工作方案的通知》重点任务,根据责任分工准时间节点,推动信息系统的互联互通、数据资源会聚共享、业务应用有效协同,保质保量完成整合共享工作。
〔三〕着力推动信息化工程 推动保护区生态保护信息化与大数据平台的应用及推广,实现地表水环境管理业务信息化和地表水环境管理决策科学化,促进和优化地表水环境管理工作,大幅进步工作效率。在征求用法部门的看法后,不断优化和完善系统各项功能。
推动环境监管力量建立工程〔二〕建立工作—污染源自动监控系统建立,加强各相关单位及处室协作,根据调研需求,进展新功能的开发工作与系统数据传输力量的优化等工作。
〔四〕扎实做好信息系统网络平安及运维工作
完善信息平安技术体系,全面落实物理平安、网络平安、主机平安、应用平安和数据平安等技术要求,保障各类重要信息系统平稳运行、平安可控,进一步进步传统信息平安保障力量和技术效劳程度。确保系统平安、稳定运行,不出现任何问题。形成科学有效工作机制,实在维护好环保专网、市电子政务专网、综治专网及局域网,对我局全部涉及互联网的设备及终端进展管控,确保不出现任何网络平安事故。
目
录 1.2020 年国家网络安全宣传周活动总结(市级局机关)
2.网络安全宣传活动总结(区局机关)
3.网络安全专项整治工作总结(区县局机关)
4.大数据及网络安全工作情况自查总结(市级局机关)
5.网络安全工作总结(市级)
6.网络安全工作总结(镇乡 1)
7.网络安全工作总结(镇乡 2)
8.网络安全检查工作总结(镇乡 3)
9.关于开展网络安全检查总结报告(街道)
10.xx 市地方志编纂委员会办公室网络安全工作情况报告
0 2020 年国家网络安全宣传周活动总结(市级局机关)
为切实做好开展网络安全教育,进一步增强我局干部职工的网络安全意识、规范防落安全行为、预防和减少网络诈骗情况,x 月 xx 日—x 月 xx 日,xx 市司法局开展 2020 年国家网络安全宣传周活动。通过为期一周的活动开展,收效显著、成果喜人,现将活动开展情况总结如下:
加强领导,精心组织 根据《xx 市 2020 年国家网络安全宣传周活动实施方案》相关要求,我局高度重视、精心组织,第一时间确定了指导思想和活动主题,明确了主要任务和工作要点,为宣传活动的顺利开展奠定了基础。
二、开展法制日网络安全宣传教育活动 为深入开展农村网络安全宣传教育,进一步增强村民法律意识和网络安全意识,预防和减少农村网络诈骗情况,我局结合扶贫工作深入到太本站镇新华村,开展 2020 年国家网络安全宣传周法制日活动。我局通过悬挂条幅、发放传单、现场解答等方式,对《中华人民共和国网络安全法》及相关法规进行了重点宣传。为了深入开展农村法律服务,司法局还同时进行了对《中华人民共和国民法典》、《中华人民共和国村民委员会组织法》、《中华人民共和国基本农田保护条例》的宣传。
通过此次国家网络安全宣传周法制日宣传活动,提升了广大村民对网络安全的认识和重视程度,规范了网络活动行为,提升了防范意识,预防了网络诈骗。为营造农村网络安全打下了坚实基础。
三、组织观看 xx 2020 年国家网络安全宣传周启动仪式 x 月 xx 日上午 xx:xx,我局组织全体干部职工通过手机抖音 app 观看了
xx2020 年国家网络安全宣传周启动仪式直播,并参与了网络在线答题。通过此次活动,进一步提升了广大干部职工的网络安全意识,在全局上下营造了网络安全管理氛围。
网络安全宣传活动总结(区局机关)
为深入宣传贯彻习近平总书记关于网络强国的重要思想,提高我区群众网络安全意识和个人信息保护,根据 xx 新区的《2020 年 xx 新区网络安全宣传周活动实施方案》工作要求,x 月 xx 日活动主题是电信日,我局在当天围绕“网络安全为人民,网络安全靠人民”主题开展宣传活动。现将我局组织宣传情况总结如下:
一、网络安全宣传情况 (一)加强组织领导,保障活动顺利进行。成立以局长为组长的网络安全电信宣传日领导小组,加强与三大电信运营商的沟通协调,确定活动形式,保障网络安全活动顺利进行。
(二)精心组织活动,以多样形式营造氛围。组织我区三大电信营运商,充分利用会议培训、标语横幅、宣传海报、LED 显示屏、微信群及朋友圈、官方公众号、公益短信、营业厅摆摊发放传单、参与网络安全竞赛等线下线上、室内与室外相结合的宣传方式,营造浓厚氛围,提高群众知晓率。
二、活动取得好成效 (一)群众网络安全思想得到广泛提高。据统计,各营业厅和摊位派发传单约 xxx 张,微信公众号阅读量超 x 万。通过形式多样的网络安全活动,让广
大新区群众在日常使用网络中,更好地了解、感知身边的网络安全风险,增强网络安全意识,提高网络安全防护技能,保障用户合法权益,共同维护国家网络安全。
(二)社会营造良好的网络安全防范氛围。通过线上线下、企业员工培训学习,参加比赛等宣传方式,积极为各社区、各企业营造良好的网络安全防范氛围,让“防诈骗,保隐私”的安全意识在群众心里种下种子,真正做到网络安全为人民,网络安全靠人民。
(三)各大电信营运商提高了安全技术水平。通过对员工进行网络安全培训,组织员工参加网络安全技能比赛,有效提高职工的安全技能水平,为社会网络安全提供技术保障。
三、下步工作 我局将网络安全宣传作为常态化工作,一是加强局内部学习,促进通讯行业健康发展,二是建立长效组织宣传机制,定期组织网络安全宣传,继续巩固成果。
网络安全专项整治工作总结(区县局机关)
根据《关于开展 xx 区政务信息系统网络安全专项整治工作的通知》文件精神,区 xx 局党委高度重视网络安全工作,强化网络安全管理,按照“健全机制,狠抓落实”的工作思路,大力开展网络安全自查自纠、整改加固等网络安全防护工作,取得良好成效。现将我局网络安全整治情况总结如下:
一、加强组织领导,健全安全机制 为了加强对网络安全专项整治行动的组织领导,确保本次专项行动的顺利开展,我局通过局委会议讨论,结合我局工作实际,确定了分管网络安全的局领导为主要责任人,综合科为统筹责任部门,具体负责规划、指导、协调全局网络安全整治行动,各相关科室相互配合的工作机制。局党委十分重视网络安全补缺维稳工作,要求各科室要积极主动,开展信息系统底数的全面排查,将网络安全专项整治作为一项重要内容纳入科室日常工作当中,落细落小落实,常抓不懈。
二、加强学习宣传,增强安全意识 面对形势日益严峻的网络安全问题,我局充分认识到网络安全工作的极端重要性和紧迫性,深入开展网络安全理论知识学习,积极组织引导各相关业务科室人员打破学习理念上的定性思维和惯性模式,采取“自学+集中学”的学习形式将网络安全理论知识与实际操作充分融合,突出理论学习的实用性,加强网络安全理论学习宽度;结合每周二晚“知行学堂”制度,由上至下,领导干部带头学,加强网络安全理论知识学习长度;创新宣传、学习载体,采用微信群、QQ 群、钉钉群等互联网客户端完成线上学,各支部集中学习等方式实现线下学,加强网络安全理论知识学习广度。截至目前,共完成《网络安全等级保护条例》《中华人民共和国网络安全法》等多项法规学习,支部集中学习 x次。
通过全局党员领导干部的努力,我局及时建立了网络安全维护工作机制,广泛普及了基础网络安全知识,修补了单位网络系统安全漏洞,切实提高了网络安全防护质量。但同时也暴露出部分工作人员掌握信息不全面、学习主动性不强、学习碎片化等问题。下一步,我局将进一步理顺关系,严格按照网络安全防护工作相关要求,加强信息共享和力量整合,以更高热情确保网络安全保障常态长效。
大数据及网络安全工作情况自查总结(市级局机关)
根据《2020年xx市大数据网络安全执法检查工作方案》(xx大数据x 〔xxxx〕x 号)要求,我局领导高度重视,安排信息维护科专人负责,并按要求开展网络安全自查工作。现将自查情况汇报如下:
一、组织保障情况 收到文件后单位成立了大数据及网络安全自查领导小组,党组书记、局长担任组长,党组成员及分管领导担任副局长,各科室负责人为成员,下设办公室,由局办公室和规划财务和法规科承担相应工作。办公室负责单位门户网站的安全维护,规划财务和法规科负责信息系统的维护。
二、大数据及网络安全工作情况和安全责任制落实情况 三、经排查梳理,市医疗保障局系 2020 年因机构改革新组建单位,涉及系统主要是城乡居民医疗信息系统和城镇职工医疗信息系统。其中,城乡居民医疗信息系统主要是延用原市卫健局使用的新农合信息系统,由 xx 公司研发并维护。城镇职工医疗信息系统延用原市社保局使用的系统,由 xx 公司负责研发和维护。根据省医疗保障局的安排,预计在今年五月,医保信息系统将完全从社保和卫健局新农合系统剥离出来,使用由省医疗保障局统一研发并维护的医保信息系统。
一、信息系统和门户网站保障情况 市医疗保障局门户网站于 2020 年 x 月 x 日正式投入使用,无 APP 使用情
况,信息系统主要依托于原单位维护。截止 2020 年 x 月,市医疗保障局应用信息系统和门户网站正常,未发生任何安全事故。
二、下一步网络安全计划 加强制度建设 以制度为根本,及时制定相关大数据及网络安全的制度,同时,明确专人与省医保局对接负责信息维护。
及时开展培训和教育 充分利用新医保信息系统的上线,加强培训和安全教育,强化干部职工的信息安全教育,提高安全防护工作的主观能动性,进一步加强重要信息和个人身份证信息防护工作保密审核工作等,及时解决可能发生的信息安全隐患。
网络安全工作总结(市级)
根据《中华人民共和国网络安全法》和《2020 年度网络安全工作报告指南》的有关要求,我校计算机网络安全工作领导小组在组长 xx 副校长的领导下,以问题为导向,狠抓落实网络安全建设工作,制定方案,明确责任,确保了我校网络及信息系统安全,为我市党校事业发展提供一个强有力的信息支持平台。现将我校网络安全工作简要汇报如下:
一、网络安全工作组织开展情况 针对此次报告制定了详细的工作方案,明确了各相关部门和人员的责任。
我校通过校委会和中层例会学习贯彻习近平总书记关于网络强国的的重要思想和全国、全省网络安全和信息化工作会议精神,以校内文件的形式明确了我校网络安全工作的主要目标,保障我校基础网络设施和门户网站的稳定安全运行,确保信息化平台和设备为行政、教学、科研等提供服务。本校网络安全工作由图书信息中心承担,图书信息中心对我校关键信息基础设施,网络安全情况及其他信息化设备进行了全面的排查、梳理、分析和确认并做好了相关报表的填写和档案留存等工作。通过此次总结梳理提高了我校对全校网络和信息安全状况的掌握。
二、政务服务系统确定情况 经查,我校 xx 干部学院中共 xx 市委党校门户网站属于政务服务系统,已列入全省关键信息基础设施清单。我校网站主要用于学校概况介绍,教学、科研、行政、后勤等信息的发布,宣传党的理论和政策,为党校学员提供网上学习的平台。我校网站服务器放置在移动 xx,接入机房位于 xx 市 xx 路 xxx 号移动公司南湖机房 x 楼,接入带宽为 xxM,网站的技术维护由 xxxx 股份有限公司负责。网站配有 xx 一系列安全保障设施,并通过了 xxx 全面安全渗透扫描。
三、网络安全主要工作情况 领导重视,网络与信息安全工作常抓不懈 在工作部署上,作为旁的党校,校委高度重视网络安全工作,始终把此项工作作为一项重要工作常抓不懈,经常听取网络安全工作情况汇报,研究解决网络工作中存在的实际问题,并在中层会、全教会上强调网络安全工作的重要性,做到网络安全工作与党校年度工作同研究、同布置、同考核。在组织机构上,成立计算机网络安全工作领导小组,由 xx 副校长担任组长。为进一步加强管控,加强重大会议期间的网络安全保障工作,由我校 xx 常务副校长全面
负责我校计算机网络与信息安全管理工作。xx 副校长负责计算机网络与信息安全管理工作的日常协调、督促工作。xx 负责网络维护和日常技术管理工作。形成了自上而下、一级抓一级、层层抓落实的网络安全管理网络。
x 月 x 日下午,市公安局网络警察支队潘祖宏支队长一行 x 人来我院(校)调研指导信息网络安全工作。我院(校)领导以问题为导向从网络安全组织机构、人员管理、设备管理、安全事件处置等方面汇报了信息安全方面所做的工作,并针对网络安全工作中遇到的困难和问题与网警支队进行咨询交流。根据此次调研我校拟定了《xx 干部学院信息安全加固方案》,下一步我校将根据方案进一步加固我校基础网络设施和门户网站,确保网络设施和网站平台安全稳定运行。
xx 月 xx 日,市公安局网络警察支队主动服务,来 xx 干部学院对信息系统进行安全扫测,我院根据《xx 干部学院安全扫描及漏洞分析报告》《xx 干部学院渗透测评报告》《xx 市公安局网络警察支队政府网站安全隐患告知书》,对我院(校)根据报告及时整改,对信息系统及门户网站安全进行了整改加固,并将整改结果及时反馈市公安局。
完善制度,确保了网络安全工作有章可循 为保障我校计算机及网络系统的正常运行与健康发展,加强对校园网的管理,规范网络使用行为,结合我校保密工作需要,制定修订了《中共 xx 市委党校保密工作管理办法》,办法中明确了计算机信息系统和门户网站信息发布等管理流程。同时结合自身情况制定了《中共 xx 市委党校内外网系统应急响应预案》,成立了信息系统安全应急处置工作小组,明确了小组成员分工,制订了应急事件处置程序、处理流程、应急处置预案等措施,确保网络系统安全。进一步落实网络安全防护值班制度,我校针对重大会议期间的网络安全,制定值班表,安排人员 xx 小时值班,确保网路安全保障工作,做到守土有责、守土尽责,遇到网络安全事故,及时启动应急预案,及时处理,及时上报。
防范到位,保障网络及信息系统安全 我校领导高度重视网络安全工作,始终坚持从党校实际出发、加强领导力量、不断提高认识、硬件软件同步,切实提高网络安全管理水平。
近年来,校领导不断加强校内网络安全宣传教育工作,把网络安全知识列入教职工日常理论学习内容之中,通过校委会、中层例会、教职工大会等不同层面学习和传达网络安全相关知识。引导教职工深刻认识网络安全工作的重要性和必要性,不断提高网络安全意识,宣传教育工作取得良好效果。
近年来,我校信息化和网络安全建设工作取得了一定成效,整体状况基本安全,但离新形势下网络安全防范的要求还存在一定差距。
四、改进措施和整改效果 改进措施 2020 年 x ...
口令变更不及时、过期账号未清理、敏感操作无法追溯等安全隐患的普遍存在, 极大增加了 网络的安全风险, 存在的问题主要表现在:(1)账号管理难度大各应用系统相对独立且数量众多, 账号变更频繁、管理任务繁重, 单纯依靠人工方式难以实现及时规范的账号管理, 各系统上经常出 现过期账号、孤立账号, 易导致重要信息泄漏事件。(2)口令管理不规范维护人员所维护的设备众多, 需记忆大量账号口令, 不少人以明文方式存储账号口令信息, 加大了 系统信息泄漏的风险; 依靠人工方式难以实现对口令的有效管理, 易出现弱口令或长期不修改的口令。(3)独立的系统权限授权管理, 无法保证系统安全性各系统分别管理系统资源和应用资源, 并为本系统的用户 分配权限, 由于缺乏集中统一的资源授权管理, 无法集中按照最小权限原则分配权限, 导致系统安全性无法得到充分保证。(4)安全审计不健全各系统登录接入点分散, 难以对各种操作行为进行审计, 出 现安全事件无法审计到人, 很难落实事件责任。为加强通信网、业务系统和各支撑系统的安全防护, 防范因内部人员或第三方人员引 发的内部安全事件, 必须加强日 常维护安全管控, 确保合法的人做合法的事、非法的事能够及时发现。
为此, 需要全方位规范用户账号安全管理、 规范用户 授权和访问行为, 对用户 的维护操作和数据访问进行集中的认证、审计监督, 为用户 访问资源、进行维护操作提供安全、可靠的途径, 同时也为加强企业内部网络与信息安全控制、满足相关监管要求提供技术保证。
具体功能需求包括:(1)账号管理:
实现对所有的自 然人以及核心设备账号的统一集中管理。(2)身份管理:
有效解决传统模式下的共享账号问题, 通过自 然人账号与系统账号的关联实现网络操作的实名制。(3)访问控制:
实现基于主账号的集中强身份认证和访问入口, 通过自 定义访问控制规则为每个用户分配适当的网络资源, 只允许合法的人做合法的访问。(4)操作审计:
对所有访问维护操作(包括输入命令与输出结果)进行记录并回放, 阻止非法访问、违规操作。本文着眼于维护人员维护操作的合规性管理, 探面向维护人员的网络安全管控平台建设与应用吕 雪峰 刘 松森 王自 亮(中国移动山东公司, 济南 250001)摘要:
本文着眼于维护人员 维护操作的 合规性管理, 依据事前授权、事中 监控、事后 审计的 安全管控思路, 探讨了 如何建设统一的 安全管控平台 。
平台 有机整合了 集中 接入控制 、账号口 令集中 管理和日 志管理与 审计等手段, 对维护人员 操作业务系 统和支撑系 统的 全过程实施管控, 为 资源 访问 、日 常维护操作提供了 安全、可靠的 途径, 确 保合法的 人做合法的 事、非法的 事能够及时发现。关键词:
安全管控 账号口 令 访问 控制 日 志审计
讨了 如何通过建设安全管控平台 , 加强安全要求落实, 实现安全管理目 标。2 安全管控平台2.1 总体架构安全管控平台总体架构如图 1所示。安全管控平台由综合接入子系统、账号口令集中管理子系统和日 志集中管理与审计子系统等三个子模块组成, 实现各类系统资源和应用资源的集中账号(Ac c o u n t )管理、集中认证(Au t h e n t i c a t i o n)管理、集中授权(Au t h o r i z a t i o n)管理和集中安全审计(Au d i t ), 全面落实风险管理、安全运维要求。。(1)综合维护接入子系统为所有通过的应用提供集中展现和集中转发的功能, 访问能通过单一来源实现。(2)账号口令集中管理子系统主要提供用户 账号口令的集中管理功能。(3)日 志集中管理与审计子系统主要提供日 志的采集和分析功能, 实现日 志的关联分析、审计预警、报表呈现等。在账号口令方面, 综合维护接入平台和日 志集中管理与审计系统要接受账号口 令集中管理系统的管理。
综合维护接入平台利用账号口令集中管理系统提供的单点登录 P o r t a l功能, 避免接入用户 多次认证。日 志集中管理与审计系统结合账号口令, 集中管理系统形成的账号登录日 志和综合维护接入平台的维护操作日 志, 实现操作日 志和用户 真实身份的关联。
综合维护接入平台、账号口令集中管理系统、日 志集中管理与审计系统在功能上彼此间具备独立性, 一个系统的主体功能实现不依赖于另一个系统存在; 同时又互相配合, 从而更好地支撑内部控制目 标的实现。2.2 综合维护接入子系统综合维护接入子系统作为维护接入的集中控制点, 整合多种接入方式, 提供集中接入控制, 在完成对接入用户 的身份认证后, 根据事先确定的授权信息,控制接入用 户 能够访问的设备以及能使用 的应用 和服务, 并对接入用 户 的操作进行记录, 其总体框架如图 2所示。为满足实际需要, 支持 VP N等常用接入方式, 采用堡垒主机技术, 避免维护人员使用不安全的终端直接访问系统; 能够纪录维护人员的操作, 为安全审计和事件调查提供原始资料。VP N是安全接入和子网保护设备, 由于其具有网关特性, 可以将用户 对 We b应用的访问做到精确的 URL级的访问控制, 并能对 C/ S的应用进行基于I P :P ORT的访问控制。在确认了使用者的身份, 规定了系统范围内的权限, 具备了对该用户 身份的操作检查审计机制后, 通过使用 堡垒主机对使用 者的合法系统操作进行协议图 1 安全管控平台 总体功能架构设计图 2 综合维护接入子系 统总体框架第 1期吕 雪峰等:
面向维护人员的网络安全管控平台建设与应用2
层面的控制。
字符堡垒主机可以对字符应用的访问做到命令的访问控制、会话内容的审计。
图形堡垒主机能够实现 Wi n d o wsT e r mi n a l 、x Wi n d o ws等图 形终端的集中接入和访问控制, 做到应用边界的访问控制并进行全程录像和回放。综合维护接入子系统实现了 将运维工作通过统一入口进行管理, 并根据用 户 真实身份统一权限与访问控制。
另 外, 能够与账号口令集中管理系统、日志集中管理与审计系统相结合, 从而简化认证过程,实 现更为 深入的 授权及审计。
平台 通过集成维护P ORT AL, 进一步方便了维护操作。2.3 账号口令集中管理子系统账号口令集中管理子系统采集、管理各类维护人员拥有的主账号、从账号信息, 实现主账号与其拥有的全部从账号进行关联, 并对账号密码进行集中管理, 包括按照密码策略自 动更改密码, 实现不同系统间的账号密码数据变更。
对各类应用资源进行集中管理, 设立不同的用 户 角 色, 并将用 户 使用 资源的具体情况进行合理分配, 实现不同用户 对系统不同部分资源的授权访问。
通过统一的认证及 P ORT AL功能, 实现用户身份的一次鉴别和单点登录访问控制功能。
该系统框架结构如图 3所示。账号口令集中管理子系统分为接口适配层、核心功能层、集中展现层。接口适配层提供系统和被管系统间的接口, 分为通用接口、自 定义接口。
接口规定了系统和被管资源之间为完成账号管理、授权、认证等功能所采用 的通信方式、协议、消息语义等信息。
通用接口采用标准的协议 (如 T e l n e t / SSH,RADI US,SYSL OG/ SNMP等)、标准的命令(如标准数据库读取、操作系统自 带命令等)。
自 定义接口则针对特定系统二次开发的接口, 或通过定制 Ag e n t的方式实现与被管资源的通信。核心功能层, 是整个系统的基础和核心。
其中, 数据组成包括用 户 身份数据、资源数据、授权策略数据和日 志数据等。
系统通过功能框架实现上述数据的维护和管理; 管理功能包括统一身份管理、资源及认证管理、账号授权管理、访问控制管理、安全审计管理。集中展现层包括管理员 P o r t a l和普通用户 P o r t a l两个功能模块。
管理员 P o r t a l为管理员提供管理员管理、普通用 户 管理、资源管理、系统自 身权限管理、运行管理、备份管理、告警管理和报表管理等功能。
普通用户 P o r t a l为普通用户 提供自 服务、集中资源展现及基于 B/ S模式的单点登录等功能。2.4 日 志集中管理与审计子系统日 志集中管理与审计子系统对各类系统和设备产生的人员操作维护日 志进行统一采集、存储、管理。根据预先制定的审计策略对日 志进行分析, 发现高危操作, 产生审计事件告警, 其功能框架逻辑结构如图4所示。图 3 账号口 令集中 管理子系 统总体框架图 4日 志集中 集中 管理与 审计子系 统框架山 东 通 信 技 术2013年3
日 志集中管理与审计子系统整体功能分为四层:数据采集适配层、 日 志标准化层、 日 志分析层、 展现层。数据采集适配层实现各类日 志数据的采集。
日 志集 中 管 理 与 审 计 系 统 通 过 Sy s l o g 、ODBC、SNMPT r a p 、So c k e t 、F i l e等多种接口, 采集各设备、系统和应用的本地型日 志; 通过镜像等方式采集网络型日 志。通过两种采集方式的合理配置, 实现对被管网元中所有用户操作行为的信息采集。日 志标准化层将采集层采集到的不同类型、不同格式的日 志数据, 通过标准化处理, 形成归一化的日志格式, 以便后续分析和审计。日 志分析层通过对日 志的横向 、 纵向的关联分析, 发现异常操作, 找出可能存在的安全问题; 对用户的操作、数据库访问进行回放, 分析用 户 权限是否合理, 发生问题时可用作责任认定; 将分析发现的问题生成告警信息送上层处理, 及时通知用 户 , 也可转发到第三方系统处理, 如直接向电子运维系统派单。展现层以多种报告报表的方式, 让用户 能从多角度洞察系统的运行情况, 实现对审计系统的配置管理, 实现安全审计和报表展示, 主要包括审计策略、报表、告警输出、原始日 志检索等四个关键的功能模块。日 志集中管理与审计系统通过三个方面的日 志来源完成审计功能, 包括:
堡垒主机审计会话数据、网络嗅探会话数据、系统日 志数据, 日 志数据来源如图5所示。日 志集中管理与审计系统还可与其他系统实现接口互联, 通过接口能将日 志或告警信息转发到其他系统做进一步的分析处理。3 应用效果平台 建设前、后的维护模式对比如图 6、 图 7所示。目 前, 该平台已覆盖全网主要业务系统、网络(如话 音 网 、 智 能 网 、GP RS、CMNe t 、I P承 载 网 、WAP 、MI SC、短信、彩信、DNS等)以及重要网管应用 (如话务网管、电子运维、信令监测)和自 有业务, 开通人员账号一千余个, 接入资源上万台 , 管理设备账号数万个。安全管控平台实现了 各类网元和网管应用 接入管控系统的接口标准化, 解决了在通信系统实现集中安控管理的关键问题。
维护人员可通过管控节点操作具有管理权限的被管资源, 实现了“一点接入、统一授权、全网访问”。
结合身份信息、堡垒主机技术, 安全管控平台将用户 身份信息与操作日 志关联, 实现海量日志的实名对应及快速检索, 解决了网元日 志记录不完整、存储时间有限、无法对应到人以及被恶意删除等安全隐患。图 5 日 志数据来源 示意图图 6 管控平台 建设前的 维护访问 方式图 7 管控平台 建设后的 维护访问 方式(下转第 7页)第 1期吕 雪峰等:
面向维护人员的网络安全管控平台建设与应用4
系统整体应用架构如图 5所示。3 应用效果内部商城应用后, 为企业物资采购与管理工作带来了重大提升。(1)一线支撑服务更高效通过引 进电商模式, 打通了 前台需求、后台管理以及供应商响应的业务活动和管理链条, 各基层单位可以方便地到内部商城采购所需物资。
采购需求人员无需与供应商讨价还价, 月 底也不再需要安排专人到财务排队报账, 省时、省心、省力。(2)采购管理更透明各类物资在内 部商城以类似淘宝商品的方式展现, 信息直观明了。
同时, 通过商品评价比价、供应商后评价等功能, 使物资情况更加透明 , 并实现全员 参与、全员监督, 有效促进了 采购工作的效果评估和公开透明。(3)管控更有效内部商城提交的订单需求, 需要经过内部审批流程后才能生效, 管控严格。
财务方面管控更加精准。
通过对各级各部门物资申 领量的纵向 、 横向双维度比较, 提升企业预算编制的精确度; 通过对订购商品所需费用与预算剩余额度的实时对标, 实现对预算的事前控制。(4)降本增效通过比价、商品公开透明 等手段, 使采购价格更加合理, 使各单位采购数量更加合理。
同时, 将众多部门综合人员从采购、报账工作中解放出 来, 极大节省了人力资源, 实现了向管理要增长、要质量、要效益。图 5 系 统整体应用 架构图通过安全管控平台的建设应用, 实现了账号、认证、鉴权、审计的集中化、自 动化管理, 解决了 账号管理、日 志管理、接入管控方面的难题, 提高了安全维护效率和水平, 提升了网络安全防护能力。4 结束语安全管控平台通过设置集中维护接入门户 , 统一控制内 、外部维护人员接入相关系统, 并完整记录维护人员操作的全过程; 自 动采集、集中管理各被管系统中操作系统、数据库、网络设备的账号和口令, 加强各种账号口令的管理; 集中采集、存储、管理各被管资源中与维护操作相关的原始日 志, 将采集到的日 志与维护人员的真实身份相关联, 支持对原始维护操作日志的快速检索, 并根据预定义规则发现高危操作且及时告警。
集中体现了事前授权、事中监控、事后审计的安全管控思路, 有机整合了 集中接入控制、账号口 令集中管理和日 志管理与审计等手段, 对内 部维护人员、厂家人员操作业务系统和网管系统的全过程实施管控, 有效提高了维护工作的安全性和效率。随着管控平台逐渐成为日 常接入维护的唯一通道, 其重要性日 益凸显。
各类新型被管资源的接入、管控平台的自 身安全以及维护通道的通畅, 都将是平台长期发展需要关注的重要研究课题, 仍需不断完善。参考文献1胡立春, 武友新, 张烨, 姜晓东.L DAP环境下的统一用户 管理系统的研究与实...
推荐访问:网络安全综合业务平台建设及应用工作开展情况 网络安全 情况 业务
扩展阅读文章
推荐阅读文章
十九范文网 www.ib19.com
Copyright © 2002-2018 . 十九范文网 版权所有