序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的企業網絡安全整改樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀���。
第1篇
關鍵詞:網絡管理���;ARP欺騙��;ARP病毒攻擊�����;IP地址管理;排查與防控手段
中圖分類號:TP393.18 文獻標識碼:A 文章編號:1006-8937(2012)26-0076-04
回顧企業網絡安全運行維護工作�,有必要總結歸納近年來企業級網絡管理系統和網絡管理體系結構有效維護經驗�����,有效利用網絡管理防范與處理ARP欺騙、攻擊相關經驗。
從近年的網絡運維,網絡管理人員不斷接到網絡用戶反映——“所在的網絡在上網應用時網絡時斷時通��,有時基本處于無法使用的狀態”���。而與此同時網絡流量管理在對相應網段的監控中又沒有異常情況發生���,所以一時間很難使用常規的網絡管理手段�、經驗加以判斷與網絡定位���,從而給網絡管理與網絡維護提出了新挑戰��。
由于這種網絡故障來的較突然���,既沒有可以參考的經驗�,又沒有可用的網絡協議分析儀等條件進行客觀數據的實地采集,所以我們一開始采用的方法就是在網絡交換機處對網段進行人為手工的“再細分”�,用逐段排除法對有問題的PC機進行定位后再采取整治方法,但這種方法費時費力����,排除故障時間長。通過對故障網絡現場觀察和體會,加上對網絡TCP/IP協議的分析后����,得出對ARP網絡欺騙和ARP網絡病毒攻擊的初步感性���、理性雙重認識。那就是如何認識ARP欺騙與攻擊的共同點和區別,采取有效的防控手段來遏制這些網絡安全威脅�。
1 ARP欺騙分析
ARP協議是一種將IP轉化成以IP對應網卡的物理地址的協議�,或者說ARP協議是將IP地址轉化成MAC地址的一種協議�。它靠內存中保存的一張表來使IP得以在網絡上被目標機器應答。在我們企業網絡架構的Vlan中��,以太網的每一幀有兩種方式傳輸�����。一種對外傳,就是用戶有一個需求���,當需要透過路由將網絡幀轉發到別的Vlan時,需要通過本地Vlan的網關����。另外一種是內傳��,當有用戶需求就在本身這個Vlan網絡中時就不需要網關了���。
當遇到ARP欺騙的時候����,我們就會發現原本發送給本地Vlan網關的數據幀�,沒有得到本地Vlan網關MAC正確的回應��。從而導致用戶任何應用都沒有辦法使用了����,就感覺到反復“掉線”或者“斷線”���,網絡好像處在“震蕩”中�,迫使網絡用戶重新啟動自己的計算機以期重新獲得聯網的需求,此時正好中了欲進行ARP欺騙計算機的“招”,當用戶在重新啟動自己計算機獲得IP地址和本網段網關MAC地址時�,進行ARP欺騙的計算機就會以自己網卡的MAC地址代替本網段網關的MAC地址,以至于給用戶一個重新獲得上網的感覺,其實用戶這時所有的外傳以太網幀全部發給了正在行使ARP欺騙的計算機��,這就是ARP欺騙在一個Vlan中的基本原理�。
進行網絡ARP欺騙的計算機在進行MAC欺騙的過程中��,會將已知某其它主機的MAC地址用來使目標交換機向欺騙計算機轉發以該主機為目的地址的數據幀����。通過發送帶有該主機以太網源地址的單個數據幀辦法,網絡欺騙計算機改寫了CAM表格中的條目���,使得交換機將以該主機為目的地址的數據包轉發給該網絡實施ARP欺騙的計算機��。除非該主機重新啟動PC并從網絡中獲取地址時CAM表中對應的條目會被再次改寫����,以便它能恢復到原始的端口��。但是否會再次受到ARP的MAC欺騙就取決于本網段中是否存在這樣的欺騙計算機了�。
網絡欺騙——MAC的欺騙從來不會停止于只在本網段內進行“欺騙”����,它很快就演變為與網絡病毒相結合的具有網絡攻擊特征的更具傳染與殺傷力的——“地址解析協議(ARP)攻擊”。
當有人在未獲得授權就企圖更改MAC和IP地址ARP表格中的信息時,就發生了ARP攻擊。通過這種方式���,黑客們可以偽造MAC或IP地址�����,以便實施如下的兩種攻擊:“服務拒絕”和“中間人攻擊”。
目前以“服務拒絕”演變出來的攻擊以網絡上多種病毒為主�����,它們會發送假冒的ARP報文��,比如發送網關IP地址的ARP報文,把網關的IP對應到自己的MAC上,或者一個不存在的MAC地址上去��,同時把這假冒的ARP報文在網絡中廣播���,所有的內部PC就會更新了這個IP和MAC的對應表�����,下次上網的時候�����,就會把本來發送給網關的MAC的報文,發送到一個不存在或者錯誤的MAC地址上去,這樣就會造成網絡斷線了��。
這就是ARP地址欺騙攻擊���,造成內部PC和外部網的斷線����,該病毒在滿足一定條件的時候會表現的特別猖獗。也對企業內部分局部網段造成非物理“斷網”的中斷網絡破壞,由于它與網絡病毒相結合,所以無論在傳播的速度和攻擊特性都有較大的“聚變”��,ARP 地址欺騙攻擊的實施是通過偽造IP地址和MAC地址實現ARP欺騙的同時�����,能夠在網絡中產生大量的ARP通信量�����,使網絡阻塞或者實現“中間人攻擊”(man in the middle) �����,進行ARP重定向和嗅探攻擊�。當攻擊源大量向局域網中發送虛假的ARP信息后��,就會造成局域網中機器ARP緩存的崩潰���。
下面給出ARP欺騙攻擊在Vlan229網絡交換機上所看到的特征����。
3 原因分析
從對感染ARP欺騙的欺騙攻擊病毒計算機進行現場查殺和計算機系統安全基本要求方面的檢查來看���,這些計算機大多存在如下的共同特征:
①系統安全補丁嚴重缺失��,有的Winxp在SP2后只有一個補丁���,所以補丁缺少很多(約兩年)���。
②計算機開機進入系統時幾乎都缺少系統應有的“口令”����。有的只有弱口令�����。
③大部分這樣的計算機系統無防病毒軟件或沒有及時對防病毒軟件升檔�����,特別是企業網絡中使用的Symantec通知升級后不執行升級就導致防病毒策略與防病毒代碼無法及時更新。
④有的網絡用戶違規下載并安裝“網絡游戲”或使用帶毒的“實時通信軟件”所至��,如“傳奇”和“QQ”等����。
⑤有的部門信息聯絡員沒有及時將計算機安全基本要求宣傳到位。
⑥有的部門領導忙于生產而無法具體落實計算機系統安全的相關規章制度�����。
4 利用網絡管理防范與處理
4.3 對主要網絡應用進行必要的網絡細分
從對企業總部大樓十二樓Vlan241和原基建大樓Vlan226網絡的整改后的使用效果來看��,網絡規劃在必要的網段上要從多方面考慮網絡應用的實際需要�,特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對重要網段的“細分”工作����。企業總部大樓十二樓和基建大樓的網絡在被“細分”后,實際使用和管理上較整改以前都有較好的網絡使用和網絡安全的效果��,充分說明了這一點����。
4.4 用網絡管理軟件和工具軟件進行預防
充分利用網絡管理軟件的“IP地址管理”在MAC與IP綁定上的作用,對企業網絡上運行的計算機系統進行全天候不間斷的監控����,再利用類似于Antiarp這樣的工具軟件對有問題故障網段進行現場“抓獲”�。
5 結 語
在我們這樣大型國有企業網絡中��,網絡故障錯綜復雜����,不借助專業網絡管理軟件和認真細致地對網絡故障分析��,很難對非物理性網絡故障,類似ARP欺騙和欺騙類攻擊病毒引起的網絡故障進行排查帶來很大的困難��,同時會給網絡產生巨大的安全威脅��。
所以����,對于企業的網絡運行�����,需要網絡管理人員充分利用網絡管理工具���,對網絡進行長期有效的監測和分析���,才能最大程度地排除可能的網絡故障和網絡安全威脅���。然而計算機系統安全是與各個使用計算機的企業網絡終端用戶密切相關的�,計算機安全必須及時����、有效地去“實施”的觀念離實際的網絡安全要求還相差的甚遠,僅靠企業每年要求信息中心利用“總廠例行崗檢”和“計算機系統專項安全大檢查”的方法來維持網絡安全,那是無法適應日益變換和增長的網絡安全需要的。
近年來在網絡安全運維實踐中在技術層面上總結出一些行之有效方法,讓參加企業IT網絡運維的同行們能有效地共享,充分利用網絡管理系統已有的功能,深化網絡與信息系統的安全運行具有重要意義。
參考文獻:
第2篇
關鍵詞:電子商務;外貿企業;對策
一���、電子商務對于現在外貿企業的發展引起的影響
(一)電子商務對傳統外貿環境的影響
在中國加入到WTO后,對于中國中小型企業的外貿生意提供了便利條件,相關的政策和營業權限的批準均是為了企業進行“松綁”�����,很多中小型企業獲得了相關的自營權力��。但是在金融危機背景下����,外貿企業面臨著經營上的窘境�����,創新思維和技術革新締造了這一行業的更高價值�����,使得中小型企業在全球市場上得到了又一光明大道。電子商務是通過網絡平臺拓寬了企業的發展市場,更好的促進外貿企業的全球化進程�。
(二)電子商務對外貿企業在運營商的影響
電子商務為了中國外貿企業在運營渠道上開辟了更廣闊的市場����,也給外貿企業發展速度提供了國際化的平臺����。電子商務改變了傳統商務交流模式上的弊端,減少中間商賺差價,降低了一定的成本,并且交易過程更加透明化�、合理化��,滿足消費者價格心理的同時,也為各大企業的經理利益提供了一定的保障。
二�、電子商務對于現在外貿企業的發展引起的一些問題
(一)需求的目標用戶不明確
現有的中小型企業中對于網絡貿易的認識并不透徹����,構建網頁的時候目標較為盲目�,功能上過于簡單化,網頁長時間不進行維護,這對企業的整體形象影響深遠����。
(二)企業電子商務的普及率較低
在現有的很多企業中信息化模式使用并不完全�����,在企業網絡更新和維護上并不上心�,對客戶的反饋和客戶的詢問并不能及時的回復。有的企業并沒有自己的官方網站�,就會借助第三方的平臺進行進一步銷售�����,例如阿里巴巴、中國制造網等等����,但是依然秉承傳統模式的觀念���,沒有將電子商務運用到實際中來�。
(三)相關的電子商務系統配套服務并不完善
制約著電子商務的主要原因在于物流服務�����,首先打造較大�����、較全、系統的倉庫系統是可以完成的�����,但是如何將貨物安全�、完整、無破損的進行輸送成為外貿企業應該關注的問題�。
(四)現有的外貿環境需要完善
在電子商務不斷發展的今天�,網絡安全成為大家關注的問題��,網上交付����、網絡環境安全��、有關網絡安全構建的制度和條例建設等都是需要再次梳理和完善的。這些均是制約外貿企業拓展業務的關鍵問題���。
(五)中國企業的信用問題有待改善
在國際購物網站上,每家店鋪的網上信用問題成為大家選擇的重要憑證�,網上的購物評價也成為了大家選擇的一個標準�。而電子商務的平臺構建成為了消費者與企業合作的重要溝通工具�,這不僅會嚴重影響到交易成功率也會影響品牌的名譽。所以�,在構建外貿企業電子商務平臺過程中�,相應健全的機制成為保駕護航的關鍵�����。
三���、問題對策
(一)外貿企業要重新定位�����,用發展的眼光看問題
在傳統貿易中將線下貿易改革成為線上貿易的發展新局勢和新方法�����,知識單純的依靠企業宣傳和人工宣傳已經不能滿足,隨意當機立斷的進行有效的制度改革���,通過政府的監管與扶持,將市場作為主要的實施媒介����。在對外腦企業進行有效的整改過程中����,積極地相應市場的新格局和社會的變化發展��,建立屬于自己的網站,宣傳企業產品,在網上開拓市場信息���。在對企業網站進行設計時要突出屬于適合自己企業網站的風格,創建針對企業的、獨特的服務功能和網絡環境,及時找到適合企業定位的溝通方式�,使得企業實體與網絡經營的雙模式綜合體����,為外貿經濟創造更大的發展空間���。
(二)利用全新的電子商務模式進行企業營銷
首先�����,根據企業的特點和使用人群進行電子商務的系統優化��,盡可能的減少中間繁雜的中間環節,在用戶購物時����,可以設定一定的優惠服務�����,吸引消費者眼球,博得產品關注在某種程度上說是引導消費者進行選購;可以建立會員制度�,在一定時期進行會員優惠���,這不僅可以穩定用戶�,還可以促進客戶的消費心理���。這樣更好的構建經營�����、人脈、金融多層經濟關系����。
(三)國際貿易要加強先關的法律法規����,完善網絡的信用制度
在現有的相關貿易法律法規中�����,對于電子商務的網絡交易還有一部本并沒有完善�����。根據相關部門的調查走訪進行系統分析�����,網絡安全、網絡管理、支付安全等方面的法律條文需要進行系統整改��,從技術上到電子商務意識方面�����,均要求有所涉及�。要做到企業懂法��,處處合理安全�。
第3篇
關鍵詞:防火墻;雙機;狀態檢測;VRRP
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03
隨著互聯網以及現代通訊技術的發展,以及用戶對服務品質的需求,高可用性網絡已經越來越成為Internet組網設計的目標����。因網絡中斷給用戶帶來的損失以及潛在損失已經十分巨大,有研究表明,網絡停運帶來的損失已經高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量�。
在防火墻的可靠性試驗之前,先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響,目前各類型的防火墻從其實現原理上來說基于以下三大類:
1) 基于逐包轉發過濾的包過濾;
2) 通過檢測會話狀態基于會話流的狀態;
3) 基于應用方式的全。
這三種防火墻技術的優缺點不作詳細討論,對于第一種逐包轉發過濾的包過濾防火墻因為其不能很好的區分和保護不同的區域,在運行內部網絡訪問外部網絡的同時也提供了外部網絡訪問內部網絡的安全漏洞,因此這種防火墻技術在近年來屬于逐步被淘汰的技術,但是就可靠性而言,因為該技術采用逐包轉發過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設備很難做到對同一會話進行相同的地址轉換,導致包過濾防火墻在Nat的應用中也出現問題��。
對于基于應用方式的全防火墻,由于其隔離了與外部網絡和內部網絡的連接,它能給內部網絡提供很好的保護,但是他的優點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻����。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現起來很困難,在實際應用中也很少見這種防火墻的備份方案。
下面我們將通過兩組實驗討論基于會話流的狀態防火墻的可靠性問題,所謂狀態防火墻是指用戶通過防火墻訪問外部網絡時,會在防火墻上創建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址���、源/目的端口、協議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發起的會話請求因為不能匹配任何會話表項,而被ACL規則過濾掉���。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內部網絡。目前大部分防火墻產品都是屬于這種技術的防火墻����。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候對組網有特殊的要求,以下將通過實驗了解防火墻可靠性技術,以及實驗過程中出現的問題并提出的解決方案�。
1 防火墻雙機試驗組網及配置
單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 ����、JUNIPER SSG 520、 H3C Secblade III����、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯網安全控制產品�����。根據可靠性要求將網絡安全設備和交換設備進行如下組網設計和部署,通過實驗測試防火墻HA情況下不同安全區域的數據過濾及交換情況以及在該種模式和網絡結構中存在的故障現象。
首先我們做單組防火墻雙機的實驗,其網絡結構如圖1所示���。
該結構使用H3C系列高端網絡及安全設備組網,適用于大中型企業核心網絡安全控制區域的網絡拓撲結構。通過這種網絡結構的部署可以有效的防御外部網絡及企業內部網絡對重要服務器的安全攻擊��、漏洞掃描��、木馬入侵等等,進而有效地對企業的研發、生產、商業�����、財務等機密數據進行保護和可控授權訪問�。本實驗中將主要針對這種結構下所使用設備部署完成后出現的故障進行分析和討論。
單組防火墻雙機實驗采用H3C9512高端交換作為企業的核心交換,H3C9508作為企業應用服務器區域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業務單板,防火墻單板通過9508內置的萬兆接口與9508互連�����。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設備互連接口地址均使用30位掩碼�。9508交換作為二層交換使用,服務器區域的三層網關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協議,將互連及三層VLAN地址段到ospf中���。因該防火墻可將不同的VLAN劃分在不同的安全區域內,所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區域,安全區域的默認訪問規則為單向,也就是高優先級區域默認可訪問低優先級區域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區域級別的VLAN中���。最后啟用防火墻的雙機熱備功能,并選擇防火墻業務板上的一個接口作為心跳接口,服務器(unix系統,需要雙網卡)通過EtherChannel IEEE802.3ad配置成網卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網卡放在9508-A上,將server2的主網卡放在9508-B上。為避免因靜態路由帶來的不能檢測設備故障的情況,該組網采用了動態路由協議,在防火墻和交換上都啟用ospf協議���。
串聯多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機���、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯網線路。這些設備都是我們選用的支持雙機的網絡及安全設備進行串聯,進行Intranet和internet互訪、Intranet與DMZ����、Internet與DMZ區域之間數據通訊測試����。由于實驗1已經介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區域至互聯網區域數據通訊的實驗情況,該實驗的網絡拓撲結構如圖2所示。
該網絡結構使用雙重防火墻及上網行為控制設備對企業軍事化區域和互聯網區域進行了嚴格的數據過濾和行為控制,是企業軍事化區域����、半軍事化區域及互聯網區域之間數據互訪受控的一種常用網絡結構,適用于大中型企業對內外部數據交換須進行嚴格控制��、審計��、授權訪問等操作,或網絡運營服務商對外部用戶提供高可靠和安全性互聯網服務在互聯網出口部分至企業核心交換層的網絡部署����。通過本網絡可以有效對內外部上至應用層下至物理層數據的交換有效的控制�����、阻斷�����、審計。
同樣先簡單介紹該組網拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯,上行與SSG520防火墻相連的接口配置VRRP與其互聯��。SSG通過廠商的NSRP協議配置HA,并將其配置為橋接路由模式��。SINFOR設備通過串口心跳配置好HA,并將其配置為透明橋接模式�����。Topsec防火墻通過CISCO 的HSRP和浮動靜態路由技術來配置冗余備份雙機結構,并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制,只做單機)。為防止動態路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態路由的方式進行配置。
2 防火墻雙機試驗故障現象
對于實驗1我們做如下的數據訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網段的地址�。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現丟包或者不通的現象�����。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發現pc1跟蹤server2的路由到SecBlade-A后出現中斷,pc2至server1的路由到SecBladeB出現中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發現故障依舊,根據路由情況得知基于會話狀態的防火墻在特殊的網絡結構中存在來回路徑不一致而導致的中斷現象發生。
對于實驗2做了如下數據訪問測試:首先現在沒有任何設備、接口����、線路故障的情況下,三組雙機設備都是主機在工作的,此時PC至互聯網server的訪問數據會通過所有雙機的主設備;我們手動的將SSG520主機的外網接口shutdown后會自動切換到備機工作,sinfor發現與其lan口相連的接口down了也會自動的切換到備機, topsec主機發現與其互聯的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發生中斷現象����。但當我們將剛才shutdown的接口還原時,我們發現此時出現的故障情況為PC至server的數據會出現中斷現象��。將SSG520手動down的接口還原后的情況發現三組冗余雙機設備開始在不斷的進行主備的切換,無法達到一致狀態�。這時情況是三組雙機因為切換的時間和檢測的故障的。根據各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設備主備切換的時間存在差異,導致其他兩組設備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效,而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設備很難達到同步切換的狀態,因此導致故障現象的發生��。
3 試驗故障分析及解決方案
針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案��。對于實驗1中防火墻可靠性實驗中,出現的故障情況后對PC至server的路由分別進行了跟蹤和分析�����。本次的整個網絡結構中全部使用ospf協議,并將路由都在AREA0區中。根據我國有關部門的提出的規范在默認不改變各條路由開銷(cost)值的情況下,所有設備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況�。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上�。這種情況下當其中一臺交換或者防火墻出現故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數據不會出現中斷現象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態的運行模式�。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現象,同時也將該組網結構中的兩臺防火墻形成了雙A狀態,分擔了負載����。特別說明該實驗中根據設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯即可��。
對于在第二個實驗中出現的故障現象,由于現網中使用的各廠商設備的故障檢測機制的不一致性,如要統一算法需要將研究制定統一的故障檢測方法和切換機制����。因此分析了實際情況后,我們可根據故障現象和原因對網絡結構進行整改和優化后解決做實驗2中一組冗余雙機出現主備切換時導致網絡中斷的問題��。我們可在該網絡結構中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯�����。兩臺交換機通過TRUNK口互聯并允許Vlan 100和Vlan 200 通過��。其實這里新增加的兩臺交換是用作半軍事化區域的核心交換使用的,這樣內網與外網同時可以接入到這兩臺交換上,可以節省硬件資源。我們在進行同樣的實驗,將三組冗余設備在任何一組設備中任何一個模擬故障現象都不會導致其它兩組設備的主備切換,即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網絡中斷的現象發生�����。即各種故障或者切換都不會導致PC至server鏈路的中斷�。具體的網絡整改拓撲圖如圖3所示。
從實驗3的網絡拓撲中可以清楚的看到,無論三組設備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在���。這是本實驗中解決故障問題的較實用的方案����。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權威機構的統一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協議類型����。使該算法或協議能夠支持端口檢測���、會話同步、IP跟蹤等多種故障檢測機制和統一的切換算法,使雙機設備都能通過該算法或協議在各種不同的故障情形下進行快速有效統一地故障同步切換也是解決該問題的重要方法,也是統一網絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協議已經將huawei的防火墻進行了較好的狀態一致檢測和會話同步的管理����。
4 總結
在整個網絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網絡結構在企業不同安全區域部署的目的����、作用和效果,同時對在部署過程中出現的問題進行了分析和研究,在網絡結構的基礎上給出問題解決方案,并對其進行網絡改造和優化,用來滿足用戶信息安全的需求和目的��。第一組實驗部署在企業的核心數據受控區域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數據訪問,采用可自定義多區域的防火墻能夠很好的實現企業對不同敏感數據的安全控制需求����。但在基于會話狀態的理想全冗余交叉的網絡連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態,并將全部的會話狀態進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設備都得到了充分的利用,減輕和降低了單設備的負載和單點故障引起切換帶來的業務中斷��。第二組實驗部署在企業互聯網出口的網絡結構中,將軍事化�、半軍事化及非軍事化控制區域的數據進行了嚴格的區域控劃分和數據控制,并通過行為控制審計設備嚴格地對軍事化區域數據交換進行控制��、審計及記錄�。安全與性能本來存在對立的一面,因此實驗二雖然在給企業的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網絡結構勢必會對企業網絡性能造成一定的負面影響,企業可根據實際情況選擇網絡安全的程度��。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現象進行了網絡結構改造后形成了實驗三的網絡拓撲結構,實驗三的網絡結構不僅解決了實驗二切換的故障問題,同時也將多組雙機網絡結構的故障率降為最低,設備切換帶來的業務中斷時間降為最少。實驗三的網絡拓撲方案適用于目前多數企業的互聯網出口結構����。本文為企業網絡架構的設計及安全部署,網絡故障處理提供了一定的實踐依據和說明���。
本文通過三組實驗的網絡拓撲結構的設計實現��、故障測試分析及解決,對幾款目前國內較流行的狀態防火墻和安全設備的雙機基本配置��、工作模式����、安全防范����、故障檢測切換機制都有了基本的了解和認識,并給企業用戶在企業安全區域網絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業安全網絡的合理設計提供的實踐證明,也為功能全面防火墻的設計和實現提供了重要的研究方向和思想依據。
參考文獻:
[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2002.
[2] 胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004:22-26
[3] 柯宏力.Intranet信息網絡技術與企業信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.
[4] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.
[5] 雷震甲,馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密,1998(2).
[6] 劉曉輝.網管從業寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.
[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.
[8] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.
[9] 張云鵬.網絡安全與防護技術的研究及應用[D].中國優秀博碩士學位論文全文數據庫,2006(6).
第4篇
20多年來���,我國互聯網發展取得的顯著成就中�����,包括一批技術方面的成就�����。目前����,在世界互聯網企業前10強中,我們占了4席�����。在第二屆世界互聯網大會期間,我去看了“互聯網之光”博覽會����,來自全球的250多家企業展出的1000多項新技術新成果中�����,我們也占了不少,這令人高興�����。同時�,我們也要看到,同世界先進水平相比����,同建設網絡強國戰略目標相比��,我們在很多方面還有不小差距����,特別是在互聯網創新能力��、基礎設施建設���、信息資源共享、產業實力等方面還存在不小差距�����,其中最大的差距在核心技術上�����。
互聯網核心技術是我們最大的“命門”���,核心技術受制于人是我們最大的隱患���。一個互聯網企業即便規模再大���、市值再高����,如果核心元器件嚴重依賴外國,供應鏈的“命門”掌握在別人手里��,那就好比在別人的墻基上砌房子��,再大再漂亮也可能經不起風雨�����,甚至會不堪一擊�����。我們要掌握我國互聯網發展主動權,保障互聯網安全��、國家安全����,就必須突破核心技術這個難題��,爭取在某些領域���、某些方面實現“彎道超車”�。
核心技術要取得突破�,就要有決心、恒心、重心。有決心,就是要樹立頑強拼搏�����、刻苦攻關的志氣�����,堅定不移實施創新驅動發展戰略����,把更多人力物力財力投向核心技術研發�,集合精銳力量,作出戰略性安排。有恒心,就是要制定信息領域核心技術設備發展戰略綱要����,制定路線圖�、時間表���、任務書��,明確近期���、中期、遠期目標��,遵循技術規律,分梯次�����、分門類�����、分階段推進�����,咬定青山不放松�。有重心����,就是要立足我國國情,面向世界科技前沿,面向國家重大需求����,面向國民經濟主戰場�����,緊緊圍繞攀登戰略制高點�����,強化重要領域和關鍵環節任務部署����,把方向搞清楚,把重點搞清楚���。否則,花了很多錢��、投入了很多資源�,最后南轅北轍,是難以取得成效的��。
什么是核心技術����?我看,可以從三個方面把握��。一是基礎技術��、通用技術�。二是非對稱技術��、“殺手锏”技術���。三是前沿技術��、顛覆性技術���。在這些領域��,我們同國外處在同一條起跑線上,如果能夠超前部署���、集中攻關,很有可能實現從跟跑并跑到并跑領跑的轉變�����。我國網信領域廣大企業家��、專家學者、科技人員要樹立這個雄心壯志�����,要爭這口氣����,努力盡快在核心技術上取得新的重大突破。正所謂“日日行����,不怕千萬里�����;常常做��,不怕千萬事”。
我國信息技術產業體系相對完善�����、基礎較好�����,在一些領域已經接近或達到世界先進水平�����,市場空間很大,有條件有能力在核心技術上取得更大進步�,關鍵是要理清思路����、腳踏實地去干����。
第一,正確處理開放和自主的關系?;ヂ摼W讓世界變成了地球村�,推動國際社會越來越成為你中有我、我中有你的命運共同體。現在�,有一種觀點認為�����,互聯網很復雜、很難治理,不如一封了之、一關了之�����。這種說法是不正確的���,也不是解決問題的辦法��。中國開放的大門不能關上���,也不會關上�����。我們要鼓勵和支持我國網信企業走出去,深化互聯網國際交流合作,積極參與“一帶一路”建設�����,做到“國家利益在哪里��,信息化就覆蓋到哪里”。外國互聯網企業��,只要遵守我國法律法規���,我們都歡迎�����。
現在����,在技術發展上有兩種觀點值得注意����。一種觀點認為,要關起門來���,另起爐灶,徹底擺脫對外國技術的依賴�,靠自主創新謀發展���,否則總跟在別人后面跑,永遠追不上�����。另一種觀點認為�,要開放創新,站在巨人肩膀上發展自己的技術,不然也追不上�����。這兩種觀點都有一定道理����,但也都絕對了一些���,沒有辯證看待問題��。一方面�����,核心技術是國之重器,最關鍵最核心的技術要立足自主創新�、自立自強�����。市場換不來核心技術,有錢也買不來核心技術��,必須靠自己研發����、自己發展�����。另一方面,我們強調自主創新��,不是關起門來搞研發��,一定要堅持開放創新,只有跟高手過招才知道差距����,不能夜郎自大���。
我們不拒絕任何新技術���,新技術是人類文明發展的成果���,只要有利于提高我國社會生產力水平��、有利于改善人民生活,我們都不拒絕。問題是要搞清楚哪些是可以引進但必須安全可控的�,哪些是可以引進消化吸收再創新的��,哪些是可以同別人合作開發的,哪些是必須依靠自己的力量自主創新的。核心技術的根源問題是基礎研究問題,基礎研究搞不好����,應用技術就會成為無源之水���、無本之木���。
第二���,在科研投入上集中力量辦大事�。近年來,我們在核心技術研發上投的錢不少,但效果還不是很明顯����。我看,主要問題是好鋼沒有用在刀刃上��。要圍繞國家亟需突破的核心技術�����,把拳頭攥緊,堅持不懈做下去。
第三�,積極推動核心技術成果轉化����。技術要發展�,必須要使用�����。在全球信息領域,創新鏈、產業鏈、價值鏈整合能力越來越成為決定成敗的關鍵��。核心技術研發的最終結果����,不應只是技術報告、科研論文、實驗室樣品,而應是市場產品�、技術實力��、產業實力���。核心技術脫離了它的產業鏈��、價值鏈、生態系統���,上下游不銜接�����,就可能白忙活一場����。
科研和經濟不能搞成“兩張皮”,要著力推進核心技術成果轉化和產業化��。經過一定范圍論證,該用的就要用��。我們自己推出的新技術新產品,在應用中出現一些問題是自然的�??梢栽谟玫倪^程中繼續改進��,不斷提高質量�。如果大家都不用��,就是報一個課題完成報告����,然后束之高閣���,那永遠發展不起來���。
第四���,推動強強聯合�����、協同攻關���。要打好核心技術研發攻堅戰,不僅要把沖鋒號吹起來��,而且要把集合號吹起來����,也就是要把最強的力量積聚起來共同干�,組成攻關的突擊隊��、特種兵��。我們同國際先進水平在核心技術上差距懸殊�����,一個很突出的原因����,是我們的骨干企業沒有像微軟、英特爾�����、谷歌�����、蘋果那樣形成協同效應。美國有個所謂的“文泰來”聯盟����,微軟的視窗操作系統只配對英特爾的芯片。在核心技術研發上��,強強聯合比單打獨斗效果要好,要在這方面拿出些辦法來,徹底擺脫部門利益和門戶之見的束縛。抱著寧為雞頭��、不為鳳尾的想法���,抱著自己擁有一畝三分地的想法,形不成合力���,是難以成事的。
一些同志關于組建產學研用聯盟的建議很好��。比如����,可以組建“互聯網+”聯盟����、高端芯片聯盟等,加強戰略、技術�����、標準、市場等溝通協作,協同創新攻關?����?梢蕴剿鞲憬野駫鞄洠研枰年P鍵核心技術項目張出榜來,英雄不論出處�,誰有本事誰就揭榜。在這方面�,既要發揮國有企業作用��,也要發揮民營企業作用����,也可以兩方面聯手來干����。還可以探索更加緊密的資本型協作機制,成立核心技術研發投資公司,發揮龍頭企業優勢����,帶動中小企業發展�,既解決上游企業技術推廣應用問題,也解決下游企業“缺芯少魂”問題��。
正確處理安全和發展的關系
網絡安全和信息化是相輔相成的��。安全是發展的前提,發展是安全的保障���,安全和發展要同步推進����。我們一定要認識到���,古往今來�,很多技術都是“雙刃劍”���,一方面可以造福社會�����、造福人民����,另一方面也可以被一些人用來損害社會公共利益和民眾利益���。從世界范圍看�����,網絡安全威脅和風險日益突出�,并日益向政治、經濟、文化���、社會、生態、國防等領域傳導滲透。特別是國家關鍵信息基礎設施面臨較大風險隱患,網絡安全防控能力薄弱�,難以有效應對國家級、有組織的高強度網絡攻擊。這對世界各國都是一個難題,我們當然也不例外�����。
面對復雜嚴峻的網絡安全形勢,我們要保持清醒頭腦����,各方面齊抓共管�,切實維護網絡安全����。
第一�����,樹立正確的網絡安全觀����。理念決定行動����。當今的網絡安全�,有幾個主要特點。一是網絡安全是整體的而不是割裂的��。在信息時代�����,網絡安全對國家安全牽一發而動全身��,同許多其他方面的安全都有著密切關系����。二是網絡安全是動態的而不是靜態的��。信息技術變化越來越快��,過去分散獨立的網絡變得高度關聯、相互依賴����,網絡安全的威脅來源和攻擊手段不斷變化,那種依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜,需要樹立動態、綜合的防護理念����。三是網絡安全是開放的而不是封閉的��。只有立足開放環境,加強對外交流�、合作�����、互動、博弈,吸收先進技術��,網絡安全水平才會不斷提高�����。四是網絡安全是相對的而不是絕對的����。沒有絕對安全��,要立足基本國情保安全�����,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼���。五是網絡安全是共同的而不是孤立的。網絡安全為人民,網絡安全靠人民,維護網絡安全是全社會共同責任,需要政府、企業、社會組織、廣大網民共同參與���,共筑網絡安全防線。這幾個特點,各有關方面要好好把握���。
第二����,加快構建關鍵信息基礎設施安全保障體系����。金融�、能源、電力、通信����、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞�,是網絡安全的重中之重����,也是可能遭到重點攻擊的目標。“物理隔離”防線可被跨網入侵����,電力調配指令可被惡意篡改�����,金融交易信息可被竊取,這些都是重大風險隱患。不出問題則已,一出就可能導致交通中斷、金融紊亂���、電力癱瘓等問題,具有很大的破壞性和殺傷力����。我們必須深入研究�,采取有效措施,切實做好國家關鍵信息基礎設施安全防護��。
第三�,全天候全方位感知網絡安全態勢�。知己知彼,才能百戰不殆����。沒有意識到風險是最大的風險�。網絡安全具有很強的隱蔽性���,一個技術漏洞�、安全風險可能隱藏幾年都發現不了,結果是“誰進來了不知道�����、是敵是友不知道����、干了什么不知道”,長期“潛伏”在里面�,一旦有事就發作了�����。
維護網絡安全,首先要知道風險在哪里����,是什么樣的風險�,什么時候發生風險����,正所謂“聰者聽于無聲,明者見于未形”�。感知網絡安全態勢是最基本最基礎的工作�����。要全面加強網絡安全檢查�,摸清家底�,認清風險,找出漏洞���,通報結果,督促整改����。要建立統一高效的網絡安全風險報告機制��、情報共享機制����、研判處置機制�����,準確把握網絡安全風險發生的規律��、動向、趨勢����。要建立政府和企業網絡安全信息共享機制��,把企業掌握的大量網絡安全信息用起來,龍頭企業要帶頭參加這個機制����。
有專家反映���,在數據開放、信息共享方面存在著部門利益、行業利益����、本位思想��。這方面,要加強論證,該統的可以統起來,發揮1+1大于2的效應����,以綜合運用各方面掌握的數據資源�,加強大數據挖掘分析,更好感知網絡安全態勢,做好風險防范�����。這項工作做好了���,對國家�����、對社會��、對企業、對民眾都是有好處的。
第四,增強網絡安全防御能力和威懾能力。網絡安全的本質在對抗�,對抗的本質在攻防兩端能力較量���。要落實網絡安全責任制�����,制定網絡安全標準,明確保護對象、保護層級��、保護措施�。哪些方面要重兵把守��、嚴防死守���,哪些方面由地方政府保障���、適度防范���,哪些方面由市場力量防護�,都要有本清清楚楚的賬���。人家用的是飛機大炮�����,我們這里還用大刀長矛���,那是不行的��,攻防力量要對等�。要以技術對技術���,以技術管技術���,做到魔高一尺�、道高一丈。
目前,大國網絡安全博弈,不單是技術博弈�����,還是理念博弈�、話語權博弈���。我們提出了全球互聯網發展治理的“四項原則”“五點主張”����,特別是我們倡導尊重網絡���、構建網絡空間命運共同體���,贏得了世界絕大多數國家贊同���。
人才是第一資源��。古往今來,人才都是富國之本�����、興邦大計���。我說過����,要把我們的事業發展好,就要聚天下英才而用之��。要干一番大事業�,就要有這種眼界、這種魄力��、這種氣度�。
“得人者興,失人者崩���?��!本W絡空間的競爭���,歸根結底是人才競爭�����。建設網絡強國���,沒有一支優秀的人才隊伍����,沒有人才創造力迸發���、活力涌流��,是難以成功的��。念好了人才經,才能事半功倍。對我國來說,改革開放初期��,資本比較稀缺,所以我們出臺了很多鼓勵引進資本的政策�,比如“兩免三減半”?�,F在,資本已經不那么稀缺了�����,但人才特別是高端人才依然稀缺���。我們的腦子要轉過彎來����,既要重視資本,更要重視人才,引進人才力度要進一步加大����,人才體制機制改革步子要進一步邁開�����。網信領域可以先行先試,抓緊調研�����,制定吸引人才��、培養人才���、留住人才的辦法�����。
互聯網是技術密集型產業,也是技術更新最快的領域之一。我國網信事業發展�����,必須充分調動企業家�、專家學者、科技人員積極性、主動性���、創造性。我早年在正定縣工作時,為了向全國一流專家學者借智,專門聘請華羅庚等專家學者給我們縣當顧問,有的親自到正定指導工作����。企業家、專家學者�����、科技人員要有國家擔當��、社會責任����,為促進國家網信事業發展多貢獻自己的智慧和力量���。各級黨委和政府要從心底里尊重知識����、尊重人才,為人才發揮聰明才智創造良好條件����,營造寬松環境��,提供廣闊平臺����。
互聯網主要是年輕人的事業�,要不拘一格降人才。要解放思想�����,慧眼識才,愛才惜才�����。培養網信人才�����,要下大功夫、下大本錢�,請優秀的老師�����,編優秀的教材,招優秀的學生�,建一流的網絡空間安全學院�?����;ヂ摼W領域的人才�,不少是怪才����、奇才,他們往往不走一般套路�,有很多奇思妙想��。對待特殊人才要有特殊政策,不要求全責備��,不要論資排輩�����,不要都用一把尺子衡量����。
第5篇
結合當前工作需要��,的會員“我的老千生涯3”為你整理了這篇經信局關于農村信息化建設工作總結范文,希望能給你的學習、工作帶來參考借鑒作用�。
【正文】
一�����、基本情況
根據全市推進十大扶貧重點工程的總體要求,市經信局積極推進農村信息化建設扶貧工程建設���,以農村寬帶網絡建設和信息化普及為重點,充分發揮牽頭協調作用,聯系和配合市有關部門����,協調市內通信運營商���,扎實推進信息基礎設施建設���,加強貧困地區通信網絡服務能力����,全市農村信息網絡得到快速健康發展�。2016年以來,各電信企業總投入20億元用于農村偏遠地區信息基礎設施建設,六安鐵塔累計在農村地區新建基站411個��,共享改造基站3555個����,原定十三五末實現的建檔立卡貧困村(442個)光纖通達率100%的目標任務,已于2017年底提前完成,目前全市所有行政村(1814個)已達到光纖到村100%和無線網絡覆蓋100%���,為農村現代化發展和脫貧攻堅提供了堅實的基礎保障。
?
六安市農村地區信息化建設情況表
?
建設類別
2016年
2020年
新建基站
204個
411個
改造基站
628個
3555個
光纖到村
5個行政村未達
2017年已100%覆蓋
寬帶平均速率
12MB
125MB
寬帶平均費用
101.96元/月
71.50元/月
?
?
二、工作開展情況
(一)實施網絡延伸工程,推動農村寬帶網絡深度覆蓋���。成立了由市經信局牽頭���,基礎電信企業、六安鐵塔為成員單位的農村信息化建設扶貧領導組,局主要領導任組長���,各電信企業主要負責人任副組長,辦公室設在市經信局電子和信息化科,明確工作職責���,強化工作舉措,出臺《六安市農村信息化建設扶貧工程實施方案(2017-2020)》《關于印發2020年農村信息化扶貧工作計劃的通知》,把“提升農村及偏遠地區信息通信水平”作為加快我市信息基礎設施建設的重點�,組織電信企業持續推進電信普遍服務試點項目�,開展農村網絡弱覆蓋區域基站新建及改造工作,2020年電信企業共謀劃了182個項目,深入推進網絡覆蓋向自然村延伸�,提升電信普遍服務的深度和廣度���,目前已全部完成建設任務�。
(二)實施信息惠民工程����,為廣大農民提供用得上、用得好的網絡。組織電信企業持續推廣“信息入戶”�、“電信電視村”����、“網絡電視”等信息化應用�,采用政府、通信企業費用共擔的模式,推出為建檔扶貧戶提供免費的電信手機���、寬帶、電視業務等服務���,每年為貧困戶減免通信費用近2000萬元;鼓勵電信企業大力推進農村電商宣傳���,建立了貧困地區特色農產品、鄉村旅游等領域的網絡化運營新模式,大大拓寬了黃大茶、黃芽茶等農產品的網上銷售渠道����,讓我市農村特色產品走向全國、全世界��,為農民增收創收提供了有力支撐���。
(三)實施網絡維護工程�,確保農村網絡平穩運行。圍繞基站隱患處理���、日常發電維護、基站改造升級等方面����,要求電信企業建立農村網絡使用和維護投訴受理工作機制�,暢通面向農村用戶投訴渠道��,建立問題清單管理機制���,妥善化解用戶爭議糾紛�����。加強對運維及代維人員的培訓管理,不斷提升農村故障處理能力���。目前,農村網絡故障平均修復時長已從2019年的8.6小時下降至3.4小時��。
(四)建立應急預警機制��,提升農村網絡保障能力����。組織電信企業密切關注各類自然災害對農村通信設施的影響�,對災害多發地區,采取多重節點����、多重路由、備用配置等有效措施�����,強化農村地區網絡安全保障�����。在今年的疫情防控和抗洪救災期間����,組織各電信企業積極做好應急通信保障,實現重點區域����、重要場所�、關鍵線路通信100%暢通��。
三����、存在問題
目前�����,我市所有行政村均實現光纖和4G網絡覆蓋��,但在農村地區,特別是偏遠山區����,網絡發展中仍存在一些困難和問題:一是寬帶網絡在部分邊遠的山區�����、老山背洼仍有盲區���。二是農村網絡使用率相對不足�����,平均光網端口使用率48%左右����,仍有較大提升空間��。
四�、下步打算
(一)加大投資力度����。鼓勵電信企業加大對貧困地區電信基礎設施建設的投資力度,重點向偏遠貧困地區特別是深度貧困地區延伸,逐步提高偏遠自然村的網絡覆蓋率�����。加大農村網絡日常維護投入�,提升通信網絡運行質量水平����,確保農村弱覆蓋區域網絡運行安全穩定�����。
(二)強化項目調度��。持續開展電信普遍服務項目和“信息進村入戶”工程���,梳理全市在建農村信息化項目���,制定項目開展情況表�����,定期召開項目調度會��,督促電信企業加快重點項目建設進度,緊盯建設難點���、堵點�,建立問題臺賬���,定期盤點銷號���,全力推動農村地區特別是偏遠自然村通信網絡深度覆蓋。
第6篇
關鍵詞:電子銀行;安全���;監管;法律
1、我國電子銀行發展的現狀
1.1 我國電子銀行使用的現狀
電子銀行即通過電子信息渠道,提供金融產品的����,與傳統銀行相對應的新型銀行組織形態����,它反映了銀行業在采用信息網絡技術進行金融創新而導致銀行業在經營方式��、組織形態等方面的制度變遷��。我國的電子銀行業務產生于上世紀末期的90年代�,其主要標志為招商銀行和中國銀行分別于1996年和1998年率先推出了電子銀行網上支付業務。2007年中國工商銀行成為國內首家電子銀行交易額突破100萬億元大關的銀行����,2010年更是進一步提升到400萬億元��。截至2010年底,全國個人網銀客戶已達2.48億戶��,比年初大幅增加了52.81%�����。2010年中國網上銀行市場交易總額達800.88萬億�����。截至2011年第3季度末,中國網上銀行注冊用戶數達到2.89億�����。
1.2 電子銀行的優勢
1.2.1 降低了業務經營成本
電子銀行與傳統銀行相比�����,最大的優勢就在于節約了成本���。電子銀行的成本優勢十分明顯��,不僅每筆交易僅為柜面交易的十分之一,還大大節約客戶的交通費用和時間成本�。有調查顯示�����,某某銀行前3個月共完成各類交易1.5億多筆���,哪怕每兩筆需用一張紙����,全年行里光節省的大小紙張就有5000多萬張��。正因電子銀行利國利民,今年,隨著3G手機的廣泛應用���,行里將把“手機銀行”作為推廣重點,加快使銀行從實體銀行向“低碳銀行”轉變����。
1.2.2 突破了地域限制
由于電子銀行的虛擬運作方式�,電子銀行的服務范圍已經突破了地域的限制�����。比如手機銀行突破了傳統銀行服務時間�、空間上的限制,用戶可以在任何時間�����、任何地點處理各項業務。企業版手機銀行就徹底讓企業財務人員“解放”出來了����,不僅可以實時查詢企業賬戶收付款情況��,查看交易明細信息,而且可以對企業財務人員提交的貿易買賣的付款信息進行授權確認���。
1.2.3加快了業務創新
電子銀行改變了傳統銀行的業務流程�����,資金的劃撥周轉在一瞬間即可完成��,而電子銀行良好的業務擴展性,使得銀行加快了業務創新。我們知道,中小企業主由于經常出差在外��,很多時候待支付的貨款一直掛在網銀上沒法進行授權付款�,耽誤了發貨期�,只能干著急�。比如深圳發展銀行針對企業移動金融服務的訴求,把賬務查詢、移動授權等功能帶入了企業手機銀行����。手機銀行作為一種嶄新的銀行服務渠道�,與傳統網銀相比�,它的移動通信“隨時隨地、貼身、快捷、方便、 時尚”的優勢特效就凸顯出來了。
2�、電子銀行發展中存在的風險
隨著電子銀行的迅速發展��,其安全問題也引起了社會廣泛關注。不法分子制作克隆卡、通過網銀盜取客戶資金等金融犯罪花樣不斷翻新���,導致一些客戶對電子銀行業務望而生畏。
2.1 技術風險
一般來說,電子銀行的技術風險在理論上是不存在的,UKEY里有個CPU�,所有數據是128位加密的�����,每毫秒都在變化,破解的幾率比買彩票中500萬的幾率還要低很多。銀行信息技術風險比較常見的表現形式有系統響應時間過長,系統宕機�����,服務中斷;客戶信息泄露�,客戶賬戶資料或者客戶身份被冒用;銀行電子渠道遭受攻擊,比如黑客入侵��、拒絕服務攻擊;病毒入侵;數據記錄不完整或不正確�,自然災害帶來的設備��、數據的毀損��、服務中斷等等。近年來�����,我國各大銀行紛紛從原有的數據分布式處理模式�����,逐漸轉 向了數據大集中處理模式�。數據集中為銀行的改革與金融創新提供了重要的技術手段和條件�����,為各金融機構帶來巨大的收益���,但同時也帶來銀行技術風險高度集中的 新問題��。近幾年,隨著銀行業數據大集中的不斷推進����,國內各銀行的信息技術服務大范圍中斷的案例時有發生��。去年�����,就發生了數起信息科技風險事件,個別金融機 構或服務提供商由于信息系統故障而導致全國大面積��、較長時間業務中斷���,造成了一定程度的社會影響��,引起各方面的高度關注�����,其教訓必須引起國內金融機構的高 度重視。分析其中原因��,數據大集中后災難備份中心滯后�����、監控滯后��、應急體系建設滯后和對集約化數據中心安全生產管理不足是造成銀行業信息技術服務中斷的主要原因。
2.2 管理風險
我們知道��,根據巴塞爾協議對電子銀行的定義����,當銀行介入電子銀行領域開展服務時,并不會產生新的風險的類型����。但是給銀行經營風險帶來一些新的要求���,比如說技術風險和 外包風險�����,這都是電子銀行風險管理中的一些特點���。各個國家對電子銀行風險監管的手段不一樣�。英國金融服務局認為電子銀行只是銀行拓展業務的一種渠道,故對 電子銀行持“技術中性”的態度��,不因電子銀行這種新型服務渠道的產生而改變基本的銀行監管��,也沒有專門針對電子銀行制定規章����,對電子銀行的監管主要是維護 金融市場的有序競爭��,保護消費者權益�,同時防止阻礙金融的創新��。
2.3 操作風險
前不久��,一名從事小額股票交易的交易員使得瑞士聯合銀行虧損23億美元。令人震驚的是,他的違規交易已經進行了3年之久����,瑞銀竟毫無察覺�。在業務調整以及風險中心調整的過程中,由于商業銀行缺乏監控市場風險和操作風險的經驗,“魔鬼交易員”違規交易造成嚴重損失的事件時有發生。 1992年,巴林銀行一交易員的違規操作給這家老牌銀行造成14億美元損失,并最終導致其破產。2007年���,法興銀行一交易員因從事未經授權的投機交易, 最終導致71億美元損失,創下了截至目前違規交易損失的世界紀錄�����。出現魔鬼交易員���,并不是銀行體系共有的現象���,更多的還是銀行內部風險管理體系的缺陷所致。國際銀行監管當局對商業銀行市場風險及操作風險的監控要求已大幅度提高���,但對監管者和銀行業來說�����,相關風險并未消失�,未來仍有很多工作要做�����。
2.4 市場風險
隨著互聯網金融服務的發展��,遭到黑客和病毒的攻擊,帶來極大的安全 風險。金融業務與服務創新一直是近年我國銀行業研究的主題��,而借助網上銀行���、電話銀行����、自助銀行、手機銀行等多種渠道實現銀行業務與服務創新����,也一直是我 國各商業銀行業務與創新的主要手段���。目前���,各商業銀行正在依靠信息技術為客戶提供全天候服務�,向客戶提供信息檢索、網上支付、轉賬、貸款���、代繳各種費用�、 債券買賣、個人理財等一攬子金融服務����。但隨著金融網上業務的拓展����,諸如信用卡號失竊����、電子欺騙等金融犯罪活動逐年增加,來自互聯網的各類攻擊����、病毒及黑客 入侵對金融信息系統的安全帶來巨大威脅�。我國電腦用戶的網上商業行為越來越多�,很多黑客的行為從純粹的攻擊興趣轉為非法牟利,通過網上攻擊獲取用戶密碼竊 取賬戶錢財的事情時有發生�����。
2.5 法律風險
當前網上銀行在有關服務承擔者的資格�、交易規則、交易合同的有效成立與否��、交易雙方當事人權責明晰及消費者權益保護等方面����,與傳統銀行相比更加復雜、難以界定����。不過銀監會在這幾年也了一些法規���,最早是人大發的電子簽證法�,是開展電子銀行業務的一個基本法律�,此后頒布了了電子銀行的安全管理辦法����、電子銀行安全 評估指引���、電子銀行安全評估機構業務資格認定工作規程�����,以及關于做好網上銀行風險服務的管理通知等,在不同的階段做了不同的管理法規���。
3、當前國內外電子銀行的監管現狀
目前國內外銀行體系已經開展了面向用戶的電子銀行業務���。與此同時����,隨著直接面向用戶的電子銀行系統技術的推出���,電子銀行通道也隨著時代的進步和信息技術的發展而被拓寬了����,出現了以下發展趨勢:在功能上,由封閉型轉向社會開放型�,從獨立的行業性向多家的社會性轉換��,由一家銀行向多家銀行發展,由單一的帳款服務系統向綜合服務發����。從技術上����,系統結構由集中型處理向客戶機/服務器的分布式處理轉化�����,開發手段由采用高級語言逐步發展到采用第四代語言,數據組織由傳統的文件系統向數據庫發展,組網方式由專用的網絡向公用數據網和局域網相結合的方式過渡。
4�、我國電子銀行監管可持續發展的對策
4.1 建立健全法律制度
網上銀行的準入要在注冊制度����、安全工作�����、地域界定方面從嚴���,而在準入標準���、業務范圍等方面從寬�,建立一套區別于歐美已有網絡發展優勢國家的準入制度���,加快 相關的法律法規建設���。網上銀行法的發展不是孤立的�����,而是和一系列相關的法律規范相聯系的�����,主要有稅收征管法�、合同法、國際稅收法��、電子商務立法��、刑法���、訴訟法����、票據法、證券法�、商業銀行法��、消費者權益保護法、反不正當競爭法等����。
4.2 建立自律監管組織
一方面�����,要加強企業內控制度建設。內部控制是操作風險管理的重要工具,從已有案例來看���,絕大多數操作風險都是與內控漏洞或者與不符合內控程序有關。尤其是 魔鬼交易員,都有從事后臺工作的經驗,這為其掩蓋違規操作事實提供了便利��。因此��,設計合理的風險管理程序很有必要���。崗位分離����、雙線制約等基礎風險管理流程 仍需進一步強化�。同時���,要提高內控部門的監督作用���,加強對新業務和新金融工具的監管��,加強對表外業務的檢查�,并對操作風險隱患進行及時整改�����,避免同一類操 作風險蔓延或長時間得不到有效控制�。另一方面�����,在觀念上扭轉和改變交易員的機會主義傾向��,也是從根源上杜絕違規交易的重要內容。
4.3 加大基礎安全投入
鑒于我國銀行網絡化水平和發達國家相比還有差距����,因此��,要加大對銀行網絡化信息系統的基礎建設,只有銀行的信息高速公路建好了���,銀行的知識資源才能充分利用,才能為適應未來網上銀行的發展打下堅實基礎���,政府和商業銀行共同協調����。同時其中銀行信息技術風險管理和風險防范是一個長期的過程��,絕不可能一蹴 而就。通過一個階段的風險防范,或者幾個技術方案�,決不可能解決未來所有的風險��。隨著外部環境和銀行自身的變化,新的風險還會不斷滋生出來。這就要求銀行 必須將信息技術風險管理和防范當作一個持久��、連續的工作來完成����。這樣才能有效地管理和防范信息技術風險,最終達到業務連續性的目標��。
4.4 建立信息數據庫
網絡環境下收集信息非常重要�,網絡銀行在完整的信息基礎上才能提供差異化服務,設計出個性化特色強的金融產品。作為監管當局,為了更好地把握銀行網上業務開展動態情況,需要建立一個適應經濟金融發展變化���、標準統一��、檢索方便的金融信息數據庫。比如光大銀行十分重視電子銀行的安全性建設��,持續加大了在科技方面的投入和創新��,自主研發的核心安全防范技術����、防火墻與路由器的安全策略控制����、先進加密手段和 安全認證等國際先進的安全技術廣泛應用,為客戶打造了一個科技�、穩定的安全平臺�。尤其是近年來推出的陽光令牌和“白名單”機制在前述安全措施外�,為客戶資 金安全提供了多重安全保障,在安全性與易用性上取得完美的統一��。
總之�,電子銀行的發展提高用戶網上系統操作的靈活性和安全性。拓展服務通道����,擴大用戶對象。在國外商務系統已經發展成為一個產業,在國內的應用還比較狹窄��。通過對電子銀行監管的研究能夠刺激和促進國內相關行業的發展���。
參考文獻:
[1] 伍軍�,齊亞莉.網絡銀行與傳統銀行的比較研究[J].北京工業大學學報,2010,(6):22-24.
[2] 楊明輝.國際金融監管體制的比較和我們的選擇[J].經濟導刊��,2005�����,(6):110-112.
[3] 解淑青��,裴濤.我國網上銀行監管現狀及應對策略[J].哈爾濱學院學報��,2005,(6):88-91.
[4] 劉海平.美國網上銀行業務風險控制概要[J].國際金融研究, 2010��,(8):24-26.
[5] 劉新鋒.對電子銀行業務可持續發展的思考[J].金融理論與實踐����,2005,(12):52-57.
[6] 史曉龍.防火墻技術在網絡中的應用[J].公安大學學報(自然科學版),2006,(3):56.
[7] 王盈英.網絡信息安全技術[J].教育信息化,2O09�,(11):32.
[8] 黃賢英���,龔箭.大型企業計算機網絡安全實施方案[J].計算機安全���,2OO8���,(2):69-71.
[9] 王預.企業網絡信息安全存在的問題及對策[J].臺肥工業大學學報�����,2010��,(26):788-791.
[10] Hong H S����, Kim Y K��, Cha S D et al.A test sequence selection method for reactive systems using statecharts[J].Software Testing Verification and Reliability�,2010���,10(4):203-227.
