前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全应急机制预案主题范文,仅供参考,欢迎阅读并收藏。
关键字 访问控制;银行网络安全;虚拟局域网;访问控制列表
1 引言
随着计算机网络在银行各项业务的应用中不断普及,各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上,网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的问题。在目前国内各主要商业银行进行金融电子化建设的过程中,访问控制是保证计算机网络安全最重要的核心策略之一,同时它也是维护网络安全、保护网络资源的一个重要手段,其主要任务是保证网络资源不被非法使用和非正常访问。因此,加强以访问控制为核心的银行计算机网络安全,保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。
2 访问控制的解决方案
目前访问控制的解决方案主要有以下几种:MAC地址过滤、VLAN隔离、基于IP地址的访问控制列表和防火墙控制等。
2.1 MAC地址过滤法
MAC地址是网络设备在全球的惟一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。
2.2 VLAN隔离法
VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到很大的影响,确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。
2.3 基于IP地址的访问控制列表法
访问控制列表在路由器和三层交换机中被广泛采用,它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,并可以规定符合检查条件的数据包是允许通过,还是不允许通过。
2.4 防火墙控制法
防火墙技术首先将网络划分为内网与外网,它通过分析每一项内网与外网通信应用的协议构成,得出主机IP地址及IP上联端口号,从而规划出业务流,对相应的业务流进行控制。防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限,从而限制了每一业务流的通断。
3 访问控制在银行网络安全体系中的应用
银行网络安全体系是根据具体业务对网络安全的需求,以访问控制为核心而构建起来的,其中心思想就是“不同的部门及人员根据其所从事的工作有不同的网络使用权限”。
当下,我国很多银行网络安全体系中都运用到了访问控制技术,它成为了银行金融网络的一大保护屏障,也是银行网络安全体系的重要构成。本文主要从访问控制技术的角度来谈谈银行要如何保护金融网络安全,以期提出有益的建议。
【关键词】银行 网络安全 访问控制技术
计算机网络的普及已经深入到我们社会生活的各个角落,在银行金融业务中,如何解决银行网络安全是银行十分重视的问题。在这种背景下,访问控制技术诞生了,并成为了银行金融电子化及网络安全保护的重要措施。
1 访问控制概念及原理
1.1 访问控制的概念
所谓访问控制,就是一种允许或者限制范围能力和范围的方法,它是利用某种显式的途径来实现,并且可以防御非法的资源使用行为。对于非法用户的入侵行为,访问控制可以限制其访问重要资源,如果合法用户因为失误造成的破坏,访问限制也可以进行阻止,这样就能够让银行金融网络受到良好的控制,被合法使用。用户要想访问系统资源,必须在自己的权限范围内,禁止越权访问。访问控制技术不等于身份认证,不过却是以身份认证为前提的。
1.2 访问控制的原理
我们可以运用路由器上的访问列表对数据包过滤。网络数据包传递由访问列表控制,并对虚拟终端线路通信量进行限制,也可以对路由进行控制。路由器产生的数据包并不是因为包过滤功能引起的,数据包到达一个端口之际,路由器会针对这种数据能不能以路由或者桥接的方法送出去进行查验。要是无法发送出去,路由器就会把这个数据包丢弃,反之,那么路由器会对这个数据包进行检查,以符合端口定义的包过滤规则为检查依据,要是不符合包过滤的要求就会禁止数据包通过,路由器也会将之丢弃。多条规则构成了单个访问列表,数据包的允许或禁止通过需要遵循输入规则。号码是访问列表的标志,相同的访问列表需要一样的号码,列表中每个语句都是如此。访问列表的正在应用类型代表了号码的使用范围。
2 访问控制技术在银行网络安全中的应用
银行金融网络信息的整个系统都可以运用访问控制技术,例如:
2.1 应用系统层
数据库管理系统、操作系统等软件是应用系统的基础构架,它能够让具有不同需求的客户在应用需求方面获得满意的软件程序的帮助。要开发应用系统,必须先有效地分析、规划访问控制措施。访问控制措施必须运用到银行信息系统里的关键综合业务系统以及别的应用系统中。各级柜员、管理者、自助设备等是综合业务系统的主体,而相关的交易、操作则是客体。针对综合业务系统里的安全管理环节,应该定义访问控制措施的规则。不管是交易还是操作,只有根据规则来进行,主体才有权进行合理的访问与执行。
2.2 网络层
路由器和三层交换机中会大量运用到访问控制列表,主客体分别为源地址、端口号与目的地址,对控制列表的访问则是按照相关的保护规则来进行,如果数据包满足保护规则要求,则允许通过,反之则被阻止。在MAC地址过滤中,待访问目标是客体,而MAC地址则是主体。保护规则都是根据定义MAC地址过滤列表来进行的,只有符合该规则的MAC地址数据包才能得以通过。另外,还有一种常见的访问控制技术,那就是防火墙技术。网络有内网和外网之分,源端口号、源IP地址是主体,而目的端口号与IP地址是客体,以保护规则定义的方式让遵循规则的数据包得以通过。
2.3 数据库管理系统层
银行金融网络系统中,操作系统固然头等重要,然而数据库管理系统的重要性也是不言而喻的,它是应用系统不可或缺的组成部分。在数据库管理系统中,十分重要的一个安全措施就是访问控制。用户安全管理是数据库管理的集中体现。系统对通过身份认证的登录信息会将之当做主体,而数据库管理系统中的文件、字段、数据库、表以及系统操作则是客体,而字段与表会存在一些增删、查询、和修改方面的操作,而数据库则存在恢复、备份等方面的操作。用户的存取、访问规则是用户对数据库存取控制的执行依据。存取矩阵也能够表示访问控制规则。列在该矩阵中代表着系统客体是数据库、字段以及表等等,而阵列各单元代表主体对客体或者不同主体的存取方法是增删、查询、修改等操作。
从操作系统的访问控制安全角度讲,访问控制措施在数据库管理系统中作用重大。数据库管理系统成为了不少应用系统的的设计依据,系统的关键部分是数据,其权限被用户掌握以后,就能够不经过应用系统,直接通过操作数据库的记录,实现犯罪目的。所以,科技部门必须细致地分析设计数据库系统的访问控制措施,严格分析数据库管理系统中主体的最小权限,然后据此对存取矩阵进行设定。
通常数据库管理系统权限是应用系统最终用户无法获得的,这样一来也不能直接操作数据库管理系统,要最大限度地不让内部和外包开发用户对数据库管理系统进行直接登录操作。以严格的管控措施减少直接操作授权。假如必须直接登录操作,那么要针对部分表的部分字段来操作,不能授予内部或者外包开发用户全部权限。同时,针对查询权限的授予,可以一定程度上降低要求,但要控制好增删与修改操作。例如,一个用户需要进行客户存款信息查询,那么他被授权查询姓名Name、住址Address 、存款余额Deposit3个字段的信息表User,不过只允许修改Address字段,但是严禁执行插入或者删除操作。
在不少情形下,个人征信系统、反洗钱系统等应用系统都是主体。要创建对应的用户,则需参照应用系统对数据库管理系统的最小授权来进行。在个人征信系统中,外包开发用户要规划系统,那么需要同科技部门沟通,对应用系统的最小授权集合进行制订。客户贷款信息数据表中的一些字段或许或会出现在个人征信系统中,那么存款信息之类的数据库表就不应该被访问,可以允许查询。分析访问控制措施,可以极大地减少因为内部和外包开发员的过渡授权而产生的金融安全风险。
2.4 操作系统层
有着访问控制措施的常用操作系统主要注重对用户进行安全管理。用户的身份认证关系到访问控制权限,也是访问控制执行的依据。身份认证的方法有很多种,比如口令与指纹、身份卡与口令以及USB钥匙等等。系统会禁止缺乏正确身份认证的用户,如果认证成功,那么登录身份信息将被系统当做主体。而系统设备、文件、操作、进程则是客体,一般会出现读写、运行和删除及修改等行为。对于用户的识别和存取访问规则是由用户对信息存取控制的来确定。系统对不同的用户会授予不一样的存取权限,比如写入或者读取被允许。存取矩阵模型一般被用来表示访问控制规则,大型矩阵阵列则可以用来表示系统的安全情况。行在这种矩阵中代表系统主体,系统的客体则用列表示。主体对客体或者不同主体的存取是以阵列单元的填入数值来描述。数据库管理系统以及操作系统都能够使用这种模型。
要想对内部与外包开发人员进行有效限制,就需要合理配置访问控制措施,这样才能让他们不会故意越权操作系统。如果配置不佳,就会让内部和外包开发员有过多的权限,不利于银行金融网络的安全。科技部门必须细致地分析设计操作系统的访问控制措施,严格分析文件系统中用户的最小权限,然后据此对存取矩阵进行设定。
2.5 防火墙
访问控制技术在银行金融网络防火墙中也有广泛的运用。从网络防火墙技术上来讲,网络具有内外网之分,该项技术可用于对所有的内外和外网通信应用协议的分析,由此查找出主机的IP地址和IP上联端口号,并对业务流进行有效的规划,进而合理控制对应的业务流。源IP地址、目的IP地址、源上联端口号、目的上联端口号中的访问权限都可以利用防火墙技术来进行最大化的限制,能够对业务流的通断进行限制,以保证银行的金融业务安全。
3 结语
总的来说,访问控制措施必须符合相关的要求,即制定严格、遵循最小特权、职责分离与多人负责,这样才能让金融网络变得更加安全,对非法用户的阻止是很有效的。特别是当前银行经常出现的内部与外包开发人员越权操作系统的案件,所以银行必须科学而合理地使用访问控制技术,以保证银行金融网络的安全。
参考文献
[1]戚文静,刘学.网络安全原理与应用[M].北京:中国水利水电出版社,2005.
[2]蒋茜,张帆.访问控制技术在银行网络安全中的应用[J].重庆工学院学报(自然科学).2008,22(12):153-154.
[3]王铁刚.浅谈“访问控制”技术在银行网络安全中的运用[J].计算机光盘软件与应用,2012(20):127-128.
1总则
1.1编制目的
为保障XX市医疗保障局网络和信息安全,提高应对网络安全事件的能力,预防和减少网络安全事件造成的损失和危害,进一步完善网络安全事件应急处置机制,制定本预案。
1.2编制依据
《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《信息安全事件管理指南》(GB/Z20985-2007)、《应急预案编制导则》(GBA29639-2013)、《信息技术服务运行维护第3部分:应急响应规范》(GBA28827.3-2012)等相关规定。
1.3工作原则
强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。
明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。
快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。
1.4适用范围
本预案适用于市医疗保障局网络和信息安全事件应急工作。
2事件分级与监测预警
2.1事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
(1)有害程序事件。包括:计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件。包括:拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件。包括:信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障。包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件。指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件。指除以上所列事件之外的网络安全事件。
2.2事件分级
按照事件性质、严重程度、可控性和影响范围等因素,将市医疗保障局网络和信息安全事件划分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大、重大、较大和一般安全应急事件。
(1)Ⅰ级(特别重大)。局网络和信息系统发生全局性瘫痪,事态发展超出控制能力,产生特别严重的社会影响或损害的安全事件。
(2)Ⅱ级(重大)。局网络与信息系统发生大规模瘫痪,对社会造成严重损害,需要局各科室(单位)协同处置应对的安全事件。
(3)Ⅲ级(较大)。局部分网络和信息系统瘫痪,对社会造成一定损害,事态发展在掌控之中的安全事件。
(4)Ⅳ级(一般)。局网络与信息系统受到一定程度的损坏,对社会不构成影响的安全事件。
2.3预警监测
有关科室(单位)应加强日常预警和监测,必要时应启动应急预案,同时向局网络安全和信息化领导小组(以下简称“领导小组”)通报情况。收到或发现预警信息,须及时进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。
(1)对发生或可能发生的Ⅳ级安全事件,及时消除隐患避免产生更为严重的后果。
(2)对发生或可能发生的Ⅲ级安全事件,迅速组织技术力量,研判风险,消除影响,并将处置情况和结果报领导小组,由领导小组预警信息。
(3)对发生和可能发生的Ⅱ级安全事件,应迅速启动应急预案,召开应急工作会议,研究确定事件等级,研判事件产生的影响和发展趋势,组织技术力量进行应急处置,并将处置情况报领导小组,由领导小组预警信息。
(4)对于发生和可能发生的Ⅰ级安全事件,迅速启动应急预案,由领导小组向省医疗保障局、市委网络安全和信息化委员会办公室、市公安局通报,并在省级有关部门的指挥下开展应急处置工作,预警信息由省级有关部门。
3应急处置
3.1网页被篡改时处置流程
(1)网页由主办网站的科室(单位)负责随时密切监视显示内容。
(2)发现非法篡改时,通知技术单位派专人处理,并作好必要记录,确认清除非法信息后,重新恢复网站访问。
(3)保存有关记录及日志,排查非法信息来源。
(4)向领导小组汇报处理情况。
(5)情节严重时向公安部门报警。
3.2遭受攻击时处置流程
(1)发现网络被攻击时,立即将被攻击的服务器等设备断网隔离,并及时向领导小组通报情况。
(2)进行系统恢复或重建。
(3)保持日志记录,排查攻击来源和攻击路径。
(4)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
3.3病毒感染处置流程
(1)发现计算机被感染上病毒后,将该机从网络上隔离。
(2)对该设备的硬盘进行数据备份。
(3)启用杀病毒软件对该机器进行杀毒处理工作。
(4)必要时重新安装操作系统。
3.4软件系统遭受攻击时处置流程
(1)重要的软件系统应做异地存储备份。
(2)遭受攻击时,应及时采取相应措施减少或降低损害,必要时关停服务,断网隔离,并立即向领导小组报告。
(3)网络安全人员排查问题,确保安全后重新部署系统。
(4)检查日志等资料,确定攻击来源。
(5)情况严重时,应保留记录资料并立即向公安部门报警。
3.5数据库安全紧急处置流程
(1)主要数据库系统应做双机热备,并存于异地。
(2)发生数据库崩溃时,立即启动备用系统。
(3)在备用系统运行的同时,尽快对故障系统进行修复。
(4)若两主备系统同时崩溃,应立即向领导小组报告,并向软硬件厂商请求支援。
(5)系统恢复后,排查原因,出具调查报告。
3.6网络中断处置流程
(1)网络中断后,立即安排人员排查原因,寻找故障点。
(2)如属线路故障,重新修复线路。
(3)如是路由器、交换机配置问题,应迅速重新导入备份配置。
(4)如是路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
(5)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。
3.7发生火灾处置流程
(1)首先确保人员安全,其次确保核心信息资产的安全,条件允许的情况下再确保一般信息资产的安全。
(2)及时疏散无关人员,拨打119报警电话。
(3)现场紧急切断电源,启动灭火装置。
(4)向领导小组报告火灾情况。
4调查与评估
(1)网络和信息安全事件应急处置结束后,由相关科室(单位)自行组织调查的,科室(单位)对事件产生的原因、影响以及责任认定进行调查,调查报告报领导小组。
(2)网络和信息安全事件应急处置结束后,对按照规定需要成立调查组的事件,由领导小组组织成立调查组,对事件产生的原因、影响及责任认定进行调查。
(3)网络和信息安全事件应急处置结束后,对产生社会影响且由省级有关部门进行调查的,按照省级有关部门的要求配合进行事件调查。
5附则
关键词:高校;网络安全建设;思考
1引言
网络安全,指的是计算机网络系统的安全,不仅包括网络系统正常运行的硬件、软件环境安全,也包括网络传输的资源、数据等信息安全[1]。网络安全不仅关系到我们每一个公民,更是事关国家安全的重要问题。高校作为培养当代大学生的主要阵地,在网络安全建设及教育方面更是肩负着重要的责任。面对信息泄露等校园网络安全问题以及日趋严峻的网络安全形势,如何保障高校网络安全建设的稳步推进,已经成为重中之重。
2网络安全建设存在的问题
高校网络安全建设存在一些问题,主要有以下几点。(1)网络安全专业人员不足目前高校已基本上实现校园网络全覆盖。有成千上万的网络计算机,但与之配套的网络安全管理员却严重不足,甚至没有专职的网络安全管理员[2]。而且大部分网络安全管理人员没有接受过系统化的岗前培训,安全责任意识单薄,专业素养不够高,网络安全专业人员及其技能都存在严重不足。(2)师生网络安全意识不强高校网络的使用主体为本校师生,群体庞大,且大部分高校未开展系统、全面、全覆盖的网络安全主题教育,导致用户群体网络安全防范意识不强。部分教师在使用计算机时对病毒防护、密码保护、漏洞修复等基础网络安全操作无意识,使得计算机很容易被入侵而造成数据及资源丢失[3]。一些学生在面对复杂的网络环境时,由于猎奇心理及感情用事,可能会采用一些诸如“翻墙”等威胁高校网络安全的行为或者网络暴力等激进行为。(3)网络安全防护体系不完善截止到目前,很多高校尚未认识到加强网络安全管理的重要性,缺乏一套完善的网络安全防护体系。领导重视不够,未形成专门的网络安全领导小组;资金投入不足,无法购买各类网络安全防护设备;管理制度不完善,无应急预案等;技术防护手段不足,缺少各类必须的技术防护手段;网络安全人员不足,未设置网络安全技术专岗等。这些都是当前高校网络安全面临的突出问题。
3加强高校网络安全建设的对策
3.1网络安全防护体系
高校网络安全建设应以人员组织为基础,以管理制度为依据,以技术防护为手段,三管齐下,切实保障好高校的网络及信息安全。
3.1.1人员组织体系自上而下,建立起管理决策层、组织协调层、落实执行层的三层架构人员组织体系。管理决策层统一领导网络安全工作,研究制定网络安全发展规划,决策网络安全建设中的重大事项等。组织协调层统一协调学校网络安全建设工作,负责网络安全及运行保障项目的建设、改造、升级、维护等方面,负责制度与人员队伍建设等。落实执行层负责具体工作的落地执行。
3.1.2管理规范体系规范化是制度化的最高形式,是一种非常有效和严谨的管理方式。完善的管理规范体系是保障网络安全的法律基础,是通过建立标准规范来约束用户行为的制度。其实现的过程就是规范管理的过程。管理规范体系包括网络安全责任制、网络安全管理规范、应急响应机制、网络安全通报制度等方面的内容。(1)网络安全责任制按照“谁主管谁负责、谁运行谁负责”的原则,明确网络安全工作责任主体,各部门应有专人专岗负责网络安全具体工作,细化网络安全各关键岗位安全管理责任,签订安全责任书,建立安全责任体系,形成网络安全工作长效机制。(2)网络安全管理规范建立健全网络安全管理制度,明确信息系统管理、数据管理、信息管理、网站、微信、微博和移动应用管理、电子邮件管理、交互式栏目管理等的管理规范,使所有的网络安全活动都有规范可依,有制度约束。(3)应急响应机制制定完善网络安全应急预案、明确应急处置流程、处置权限、落实应急技术支撑队伍,强化技能训练,强化技能训练。至少一年两次开展网络应急演练。通过模拟网络安全事故现场环境,提高应急处置能力。(4)网络安全通报制度定期开展安全检查,全面、细致地排查安全隐患,并定期对检查结果进行通报,督促相关部门落实整改。如通过《网络安全简报》、《信息化简报》等手段,通报各业务系统漏洞扫描、数据备份、日志审计、数据库审计等各项安全指标,督促相关部门做好网络安全责任落实。
3.1.3技术防护体系网络安全及运行保障是一项系统工程,对系统的过程要素、组织结构和结构功能进行分析,主要分为预警层次、检测层次、保护层次、响应层次四个层级。预警层次主要是发现问题、记录问题和预警问题。检测层次主要是发现服务器存在的安全漏洞、安全配置问题、应用系统安全漏洞,形成完整的安全风险报告,帮助安全人员查漏补缺,防范风险于未然[4]。保护层次是对网络运行的实时保护,包括拒绝服务、入侵检测、流量分析、数据防泄露等。响应层次是对安全事件进行及时的响应,包括数据库审计、安全监管、安全服务等。
3.2网络安全宣传教育
维护高校网络安全是全校师生共同的责任,维护网络安全不仅需要学校的防护体系,更需要广大师生的共同参与,网络安全这道防线才能筑得牢固。因此,在制定完善的网络安全防护体系的基础上,更要通过定期的安全培训、知识讲座和学术交流,使全校师生不断增强网络安全意识,掌握网络安全知识,并有效提升各类网络安全事件的风险防范能力,进一步营造一个安全、健康、文明、和谐的网络环境。
4结束语
高校网络安全体系的建设是一个数据庞大、层次复杂、多点防御的工程,涉及到人员组织体系、管理规范体系、技术防护体系等多个层面。其建设的完成不是一蹴而就的,需要从全局进行总体规划,分步实施,才能实现高校网络安全管理的最终目标[5]。
参考文献
[1]王乔平.浅谈对网络安全的认识.信息系统工程,2019(07):78
[2]李佳霖.高校网络安全管理的现状及对策.通讯世界,2019,26(05):17-18
[3]文理卓,李东宸,郑宪,董石.浅析高校网络安全管理及对策探讨.中国管理信息化,2019,22(14):153-154
[4]梁艺军.高校Web网站安全防护策略.中国教育网络,2015(02):57-58
关键词:供电局;计算机信息系统网络安全;优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0008-02
随着供电局信息化管理进程的不断加快,在电力行业的日常业务中各种信息管理系统如资产、营销、财务、人资、协同办公、综合管理等被广泛应用,这些系统具有及时性、便捷化等优势,逐渐发展成为供电局的发展方向。但高技术和高信息化的作用下也伴随着高风险的存在。随着供电局电力业务对计算机的依赖越来越深,一旦计算机信息系统出现任何的故障和问题,就影响供电局电力系统的安全运行,会造成不可估计的经济损失。因此对供电局计算机信息系统网络安全的优化对于保障供电局信息化业务安全、稳定运行显得十分的重要。
1现状分析
汕头潮阳供电局的信息系统经过历年的发展,已经初具一定的规模,也是广东电网汕头供电局信息系统的重要组成部分。潮阳供电局承载着资产、营销、财务、人资、协同办公、综合管理等多项重要的业务,因此保障信息网络的安全稳定运行,对于供电局的安全生产和经营管理起着十分重要的作用。本文试从汕头潮阳供电局的信息系统网络安全等各个方面的问题进行分析。
1.1信息网络支持系统分析
随着汕头潮阳供电局信息化经营管理的不断发展,信息化管理企业在其功能上实现了很大的改变,总体的布局满足了信息管理的功能和建设的原则。随着网络技术的不断发展,在供电局的日常业务和经营管理中已经对计算机信息系统越来越依赖,但网络以及服务器设备经过长时间的使用存在着很大的安全隐患,具体表现为机房设备落后、系统数据存储不可靠等问题日益突出。另一方面设备的供电电源存在着安全隐患。一旦电源出现故障,就会造成信息系统数据传输中断,且没有后背的电源用于供电,造成了计算机网络设备的停止运行,信息系统的安全得不到有效地保障。因此需要改造这些网络设备的单向供电线路,提供可靠的设备供电电源和后备电源,保障信息系统的安全运行。
1.2计算机信息系统网络的分析
计算机信息系统的网络安全管理部分缺少核心设备,造成网络系统对风险的抵御能力降低。供电局的计算机网络设备一般将汇聚交换机作为核心,并且与各分局的网络设备相互连接构成大型的局域网络用于信息系统的连接。但交换机在多年的运行过程中安全性和稳定性大大降低,且与分局之间的连接没有采取有效的保护措施网络防护设备,如果网络传输线路一旦发生故障,网络核心设备主要集中在市级供电局,导致下属其他的分局信息系统无法正常的运行。供电局的内部信息一般情况只存在市级局层面信息设备中,抵御外部风险的能力较低。供电局内部和外部的信息传输只依赖于一个广域网上,且在同一个信息系统中运行,且需要完成多项的业务操作,因此需要对网络层面传输设备的性能和接口的要求十分的高。如果一旦内部的网络被黑客或者病毒攻击,就有可能导致计算机信息系统的瘫痪,造成供电局信息系统数据的丢失和利益受损。
1.3信息系统网络的管理分析
供电局的信息系统网络在运行的过程中需要加强实时的防护的监测,并且要实时分析网络系统的风险,及时地采取有效的技术措施抵御各种网络风暴攻击,提高系统运行的稳定性和可靠性。供电局的信息系统网络建成后需要制定相应的管理办法,将管理的内容落到实处,按照相关的要求来进行操作,从而将信息系统网络安全的风险降到最低。
2供电局信息系统网络的优化方案
2.1安全防护建设
在供电局的日常经营管理过程中将信息系统划分为三个主要的部分:信息外网、信息内网和生产经营数据存储区域,加强对这三个部分的保护,提升三个部分的安全等级和防御措施。将供电局的信息系统网络分为外网和内网,信息内网用于支持日常的业务,提供客户终端的对各业务系统的运行和操作。外网主要与网络连接用于业务的办理,同时也用于用户的互联网访问。信息外网和内网相互隔离开来,使用独立的服务器和主机运行,防止出现故障导致供电局网络的瘫痪。实现内部网络和外部网络安全分区和专网专用等措施,实现网络的纵向和横向的隔离,信息管理实现分区域管理,提高安全防御的策略。分区域防护的基础上对每层网络加强防护,划分信息外网和内网范围内的设备,加强对设备的多层维护,层层递进,提高安全系数。生产经营数据存储区域主要采取异地容灾措施,信息系统运行产生的数据主要存储于更高管理层面的市级局与省公司,避免由于网络瘫痪或不可估量的各种网络风暴攻击而造成系统数据丢失。
2.2优化网络结构
供电局信息系统网络可以采用骨干级路由交换机,在每台交换机上提供两套电源设备,一套主要的电源设备,另一套用于设备故障后的备用电源,另外应配备相应的机箱风扇。在交换机上设置相应的管理模块,不但可以进行冗余备份,还可以进行冗余负载。核心交换机之间配备交换模块,并且通过冗余协议进行连接,实现网络层面的冗余。优化配置各级的虚拟局域网,并且选择合适的路由器作为达到负载均衡。这样如果设备出现任何的故障,可以由另一台路由器承担业务职能。对于接入层到骨干层的连接,采用两条千兆以上的以太网进行连接,并且配备相应的接口,连接两台核心交换机,一条作为主要的链路,一条作为备用的链路,如果主链路发生故障,可以切换到备用的链路上,存放网络核心交换设备和汇聚交换设备需配备恒温网络专用机房,提高网络运行的稳定性。
2.3建立内外网访问管理审批机制
随着信息建设与应用的推广,供电企业实现了生产与经营的信息化管理,信息支撑环境也在不断的升级和改造,网络信息系统更加凸显便捷化和快速化的特性,企业员工日常对信息网络的使用需求日益迫切。因此需要加强对用户访问信息系统网络的管理和监控也是不可欠缺的组成部分,信息系统管理员通过一系列行之有效的系统权限访问管理审批流程,从而保障了信息系统的安全高效运行。网络管理机制可以利用和优化信息系统资源,能够对供电局的业务和服务进行直接的监控和管理。在网络发生故障时可以提高信息系统管理的速度,从而及时的解决问题。网络管理机制可以提高网络的安全运行,保障设备和业务的稳定性,分析汇总网络的信息网络系统的运行状态,然后把这些数据用于系统的维护和管理中。
3建立信息管理的应急机制
为了进一步提高网络信息系统的安全性和稳定性,需要建立相应的信息管理应急机制,提高网络与信息系统的应急防灾和灾难恢复能力。针对当前的网络信息系统的应用环境,建立相应的应急机制,针对计算机病毒和黑客攻击所造成的网络瘫痪,建立相应的应对预案和故障处理措施,保障信息系统的安全稳定运行和应急防灾能力。应急预案的制定要根据信息系统上线后的状态制定,并且对应急预案进行实时演练和动态评估,保障预案的可靠性。每年对信息网络技术人员进行专业的培训,提高技术人员对信息系统网络应急预案的管理水平,加强对信息系统技术的人员的技术培训,从而为信息网络系统的运行提供可靠的技术支撑。
4强化信息系统用户的管理和访问
信息网络系统的安全要对交换机、防火墙等进行综合的管理,对一些重要性的设备访问权限提高访问用户的级别,用户的访问设置一定的权限,没有授权的用户不能随意的更改信息和访问数据,提高网络访问的安全性,防患于未然。5总结供电局的信息网络安全是一项长期而复杂的工程,需要根据供电局现有的网络运行环境和信息系统环境,加强安全和防护技术,采取有效的措施和预案计划将信息系统网络的运行风险降到最低,从而使信息系统为供电局的生产经营管理发挥更加优质、便捷的服务,助力智能电网企业更好更快的发展。
参考文献:
[1]刘育权,华煌圣,李力,王莉,刘金生.多层次的广域保护控制体系架构研究与实践[J].电力系统保护与控制,2015(5):112-122.
[2]苗英恺.提高计算机通信网络可靠性的分析与研究[J].计算机与网络,2013(17):71-73.
(一)基本情况
1.防雷安全监管责任按要求落实。我局制定了《涿州市气象局安全生产责任清单》,明确了防雷安全监管责任,并将防雷安全工作纳入安全生产责任制和地方政府考核评价指标体系中。
2.严格危化品企业防雷安全监管。建立健全涿州市防雷安全重点单位信息库,不定期对本市危化品企业进行防雷安全隐患排查,对存在安全隐患的企业要求限期整改。
3.建立防雷安全联合检查机制。我局与应急管理局开展部门间合作,明确对防雷安全责任主体的监管要求,开展联合行政执法检查,实施协同监管。
4.建立防雷管理经常性工作机制。与应急管理局建立部门联合协调监管防雷安全重点企业,特别是危化品企业,实现信息共通、共享。
5.按计划开展防雷安全日常监督执法。以“深化安全生产大排查大整治攻坚行动”为契机开展防雷安全检查,全面排查涿州市危化企业、易燃易爆场所,做到零容忍、全覆盖。
6.积极提升雷电监测预警能力。汛期前后,加强雷雨天气气象会商,提高雷电天气的预报预警准确度,完善雷电实时监测和短临预警业务系统,畅通与防雷安全重点单位之间信息交流,确保及时发送和接受雷电预警信息、雷电灾害信息等内容,实现信息互联互通。
(二)自查出的问题和整改措施
问题一:雷电监测预警能力不足
整改措施:
继续提高预警预报系统现代化水平。
(完成时限:2019年底 责任人:张雷)
问题二:部门联合检查力度不足
整改措施:
加强部门联合,增加执法检查力度。
(完成时限:2019年底 责任人:张雷)
二、人影作业安全管理方面
(一)基本情况
1.严格责任落实。我局已建立了《安全责任清单》《人工影响天气安全作业实施细则》《高炮使用维护保养制度》《人影作业安全事故处理流程》等,按照各项制度积极执行,确保责任落实到位。
2.加强人影作业安全标准化建设。我局于2011年对兰家营作业点进行标准化建设并备案;绘制了安全射界图并及时更新;每年年初多渠道人影作业公告保障人影工作的顺利开展;严格按照要求进行弹药运输和存储;每次作业都按照要求进行空域申请,在规定时间和范围开展人影作业。
3.加强人员队伍建设。人影作业事项已外托给保定市天双信息技术有限公司。人影作业点购置了安全帽、作业服、雨鞋等防护设备。
4.做好人影设备管理。每年3-4月对人影作业设备进行年检,定期维护保养;弹药购置使用符合《中国气象局办公室关于不达标人工影响天气作业炮弹火箭弹退出使用工作的通知》(气办发〔2018〕16号)规定情况;故障弹药和过期弹药按要求处理。
5.做好应急预案管理。制定了安全事故应急预案。
6.积极开展人影隐患排查。定期开展安全隐患排查,发现隐患及时整改,确保安全作业。
(二)自查出的问题和整改措施
问题一:因作业时间紧急和作业环境差等原因,空域申请没有完全按要求留痕。
整改措施:
严格按照要求,制作涿州市空域申请登记本,注明空域申请人、允许作业时间、空域批准人等,每次作业及时做好记录备案。
(完成时限:2019年底 责任人:人影作业负责人)
问题二:没有及时与地方安全管理部门联合开展人影安全督查。
整改措施:及时与地方安全管理部门联系,适时联合开展人影安全督导检查。
(完成时限:2019年底 责任人:张雷)
三、网络安全管理方面
(一)基本情况
1.严格落实网络安全责任制。建立网络安全工作领导小组,党支部领导班子主要负责人张雷同志作为第一责任人,纪检书记周丹为副组长,其他办公室工作人员为成员。按照《涿州市气象局网络信息安全责任制》内容要求,把网络安全纳入重要议事日程。做好网络安全工作财政预算支持,做好网络安全设备保障,加强对网络信息安全的保障力度,坚持统筹协调开展网络安全检查,定期在局内组织召开网络安全宣传教育培训。
2.积极落实网络安全等级保护工作。按《信息安全等级保护管理办法》开展网络信息定级、备案、测评、整改,新建信息系统开展网络安全定级,开展网络安全建设。
3.加强网络安全技术防护。做好气象信息系统、政府网站、手机服务端和显示屏的网络安全技术防护工作,加强网络安全监视。
4.健全网络安全管理制度。按照保定市网络安全管理要求,规范气象数据使用和扩散范围,建立了《涿州市气象局网络安全管理制度》。
(二)自查出的问题和整改措施
问题一:网络安全管理人员能力不足
整改措施:
加强网络安全管理人员素质的培训,提升网络安全管理水平。
(完成时限:2019年底 责任人:张雷)
四、制氢用氢安全管理方面
我局不涉及此项工作。
五、内部安全日常管理方面
(一)基本情况
1.建立内部安全生产管理机构。成立局内安全生产管理小组,张雷局长任组长,纪检书记周丹同志为副组长,王新同志、张萌同志、郑文文同志为成员,明确安全生产管理职责,确保责任落实到人。
2.严格执行内部安全生产管理制度。根据保定市气象局内部安全生产检查要求,认真开展内部安全检查,每周按要求上报《气象局内部安全生产检查表》。
3.细化安全生产责任落实。根据《涿州市气象局安全生产责任书》,明确安全生产责任,明确张雷局长作为第一责任人,责任细化到岗、落实细化到人。
4.做好安全生产工作部署。由主要负责人张雷局长主持召开安全生产工作部署会,制定和落实安全工作督查。
5.认真排查安全隐患。组织全局职工学习消防安全知识,重点部位配备消防灭火器,并保证人人会用。完善了车辆管理制度,专车专人负责,定时定点维修,驾驶人员严格遵守交通法律法规,坚决杜绝了公车私用和违章驾驶、酒后驾驶、疲劳驾驶。加强用水用电安全管理,节约用电用水,严查电源、插座、用电设施,谨防设备漏电,确保用电安全。为加强内部安全管理,我局组织开展消防安全应急演练。通过演练,全体干部职工进一步增强了安全意识,进一步提高了应对突发事件快速反应能力。
要想把应急预案从书本上走到实践中去,就一定要通过应急预案的演练来实现,这样可以对于检验应急预案编制的可操作性和科学性进行有效检验,也能不断地完善电力系统中的网络信息化预案,能更为有效提高预案减灾功能。通过有效编写演练方案,能够把应急预案的指导性进行实践化,体现出来演练的实战性和可操作性。1)在应急预案中,指导性的描述往往应用在事件的相关的处置方式、性质、发生规模方面,更为丰富的信息则需要提供给演练,这样才能提高救援恢复行动的针对性。为了更为有效的开展针对性的工作,编制演练方案过程中,则需要考虑哪些设备需要进行配置,哪些地方的业务则会受到影响,哪些人员和部门会受到网络中断的影响,哪些需要进行调试程序等方面。2)为了更好落实各种应急救援恢复任务,以及保证其实施质量,具体化一定要体现在执行演练的过程中,明确应急响应程序的可操作化。进行量化相关的反应程序,比如,包括工具箱、水晶头是否到位,多模淡抹光模块型号是否正确、笔记本及调试线是否够用、备件备品是否齐全、备份数据是否完整,这些相关的细节问题都应该在事前进行相应的缜密设计。3)步骤流程化。通过对于演练各个程序的衔接机型优化,合理有序地组合演练各个环节的响应程序,通过演练程序流程表的编制来实现。这样能够有效提高应急反应反应效率,并且提高演练的流畅性。同时,应急演练的进展也可以被参与人员所更加了解。
2预防为主的基础上进行监控的进一步加强
预防为主的思想肆意一定要在单位的各个环节中进行强调,在准备应急预案和实战演练的基础上,还应该充分做好相关的信息网络系统突发事件的机制准备、思想准备和工作准备,使得防范意识不断提高,同时,也应提高信息安全综合保障水平。通过对于信息安全隐患进行一定的日常监测,能够对于重大信息安全突发事件进行有效防范和及时发现,为了尽量使得损失最小化,则应该通过及时的可控措施来有效控制事件影响范围。公司的日常工作已经建立起有效长效机制,主要包括信息系统安全保障重点措施、信息安全隐患排查和治理、信息安全风险评估以及信息安全等级保护方面。在相关的检查结果基础上,对于应用系统安全管理、信息设备安全使用、信息机房值班等问题进行进一步加强管理,严格要求并执行国家电网公司信息规定,对于内外网计算机和外设管理需要进一步加强,只有这样,才能有效使得监测防控能力不断增强,使得信息系统安全得以保障。
3保障措施分析与思考
在信息安全管理中,除了要保障一定的技术先进性,更为重要的则体现在管理方面。在实际工作中,我们一定要充分考虑到这一点,不断加强“人防、制防、技防、物防”工作,对于信息安全统一管理进一步加强。
3.1应急队伍建设问题思考在信息安全管理方面,有安全工作小组和网络信息安全领导小组,前者主要是由信息技术人员骨干、各部门信息员组成,后者则是各部门的主要负责人组成。通过这样的分工,就可以从决策、监督和具体执行三个层面,立体化对于网络信息安全提供有力保障。另外,还应该对于信息安全专业人才培养进行重视,相关的信息安全技术培训可以定期或者不定期展开,相应的信息安全应急处理知识就能够让不同岗位的人员进行掌握。
3.2需要有一定的制度保障只有通过严格的管理制度才能有效保障良好的网络信息安全,本公司在此方面制定了相应的21管理标准、10个制度,以及一系列的规范。这样能够保障网络信息安全工作能够有章可循,有案可稽。对于不同工作职责的小组来说,应该划分具体的安全工作的执行情况,为了更好能够保障网络基础、系统运行维护以及开发建设等方面的安全,应该做好相关的分工合作、整体统一、分级处理等问题。
3.3做好技术保障工作为了保障网络信息安全,这里采用相关的较为先进的技术工具和手段,包括:1)更新专业的防病毒软件,有效防治计算机病毒影响;2)旁路监听技术的设备进行过滤处理,能有效限制访问不良网络信息;3)使用双层FWSM防火墙防护托管服务器群;4)定期对于系统进行漏洞扫描;5)建立异地数据的容灾方案以及数据备份方案,还有相关的NTP服务器、LogServer日志记录等。
4结束语
目前,国内电信事业发展迅猛,数字化、高速率的通信网已经覆盖全国。民航通信网采用开放模式,以自建、合建、租用等方式,与电信运营商骨干网建设融于一体。在使用上利用终端加密、多路由使用、交换组网等方式开发新的接口协议和网中网软件,做到开放而不公开,以最少的经费投入达成通信网建设工程的最快发展。与此同时,对原有通信工程应充分挖掘潜力、改制创新,建成多手段、全频域的栅格状通信网。随着通信网络的发展,信息共享和开放程度更高,网络可靠性和安全性问题也更加突出。这主要体现在:网络结构的变化促使信息源更具有开放性,使网络安全防卫措施的实施面临重重阻力。资源的共享和分布增加了网络受攻击的可能性。信息源不再是高度集中、绝对封闭的唯一源头,信息流的多渠道交叉反馈,使对信息的监控难度加大,因此,必须加强对网络安全管理和信息安全技术的研究,建立完善的网络安全管理体系,加强网络管理系统的技术改造,确保民航通信网的安全和高效运行。
二、注重效能,更新维护手段
一是组建通信设备维护管理中心,变单一维护为层次维护。由通信设备维护管理中心负责网络运行监控、网络组织调整、设备预检测试、故障设备维修及技术改造,并为一线台站提供技术支援。二是利用光缆巡检系统,改革传统线路巡检方式,该系统为计算机管理,对完成线路维护任务情况进行量化评定,为线路维护建立直观有效的管理模式。三是突出新装备的科学管理。与市电信运营商和设备厂家合建备品备件管理资料数据库,确定配备储存标准,为一线台站提供有力的物质保障。四是构筑集中监控平台,实行网络监管,变被动式经验维护为主动式科学维护。建立以各级通信网络技术管理中心为龙头的运行管理机制,是由网管中心在通信网络运行管理中所处的地位和作用决定的。实践证明,现代化的通信网络必须依靠现代化的手段来管理,必须运用现代管理理论和先进的网络管理技术,加强网管系统建设,全面推进网络管理机制的创新。
三、讲求效益,进一步深化维护制度改革
目前,民航通信设备的可靠性达到一定程度,主要通信设备都能达到平均开机近万小时无自然故障的水平,并且大都具备自动诊断功能,机房环境也日趋稳定,这些优势为实现集中维护和远程控管提供了可能。二是推行大机房工作方式。在加强机房维护人员一专多能训练的基础上,明确应急预案,保证紧急或突发事件时,相关电路畅通无阻。完善远程网络监控技术。要求远程网络监控技术即要互相兼容,还要功能强大。重点是完善远程网络故障管理技术,要能定期对监控的网络生成网络运行质量报告、告警监测、故障定位、故障修正、测试及障碍管理等功能集。对网络出现的损伤和设备运行障碍,要能及时作出反应,使监控指挥人员能够采取诸如紧急调度、抢修及远程技术支援等措施,以确保网络高效、安全运行。
关键词:华为业务区 3G移动核心网 网络安全策略
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2012)09(c)-0008-01
安全策略即是在一个特定的环境里,为保证提供一定级别的安全性所必须遵守的规则。对于一个设备集中、网元众多的网络,必须把网络的安全性放在首位。而实现网络安全管理,不但要靠先进的技术,也得靠严格的管理制度,既要在各个方面遵守网络安全策略,包括组网安全策略、路由安全策略、网络预警安全策略、维护管理安全策略等。本文将以某地华为业务区为例,对核心网网络安全策略进行探讨。
1 组网安全策略
1.1 设备设置策略
WCDMA核心网设备在网络实体上分为MSC Server和MGW,实现了控制与承载的分离。所以,在选择设备放置地点时,完全可以考虑把MSC Server放置在中心城市或维护技术水平高的地市。在经济不发达地区可以只设置MGW来和RNC互通。基于这样的考虑,在建网初期,华为业务区MSC Server设置就以“统一规划,集中放置、区域管理”为原则,制定了以省会城市、区域中心城市为中心的网络格局。这样对整个网络的维护管理具备较好的安全保障性,再根据地市的业务量情况设置本地网MGW。
1.2 组网方式
华为业务区采用组网模式为,MSC Server与汇接局、关口局、BSC、RNC、HLR、信令转接点之间的信令链路均通过MGW转接。这种模式逻辑结构清晰,尤其是因为MSC Server与其他网元无连接,所以当MSC Server故障,需要进行主备切换时,其他周边网元无需进行任何设置更改,方便快捷,对整个网络的影响面小,网络的安全性强。
1.3 容灾备份策略
R4组网模式下,MSC Server的集中设置,使得MSC Server容量必须足够大,可以管理多个本地网。因此,当一个MSC Server故障就会造成很大的影响,网络安全性问题尤为凸现。针对这个问题,引入了MSC Server的容灾备份机制,即让一个MGW在MSC Server发生故障时,可以注册到另外一个MSC Server下。华为业务区采取了N+1双归属备份的方式。在备份MSC Server中,我们“克隆”其他主用MSC Server的数据。一旦出现某个MSC Server无法正常工作的情况,备用MSC Server会启用接管机制,完全接管主用故障Server的数据及用户,从而保障网络运行不中断,用户感知不受影响。
2 路由安全策略
路由的设置对于整个交换网络来说都是确保网络安全性的重中之重。
2.1 长途话务路由
根据华为业务区网络实际,华为业务区出局长途话务路由均采用负荷分担或主备方式送入长途网。例如:对于异地中国联通、中国移动PLMN话务,采用负荷分担方式送入长途话务网1和软交换汇接网等。所以,即使至某个局向发生故障,也不会影响用户的正常使用。
2.2 本地话务路由
对于本地业务,本地网MSC Server至每个HLR均设置了以HSTP为备用的第二信令路由,即使至HLR中断也可保证话务寻址不受影响;到每个本地网直联端局都设置了以长途话务网1为备份的第二路由,保障网内话务的安全。
对于本地异网话务,在话务量大的本地网设置双关口局,保障业务本地网间话务安全。在话务量较小的本地网发生紧急情况时,采用人工疏导的方式,全力保障业务不中断。
2.3 CE路由安全策略
随着WCDMA网络的建设,项目配套CE大量的运用到了网络组网中,主要用于承载无线和核心网部分业务。华为业务区CE采用双平面路由器负荷分担+无交换机方式组网,路由器之间使用OSPF协议寻址,各本地网均设有一对CE路由器。由于采用了“双平面 双备份”的组网方式与保护机制,网络结构做到了动态的主备倒换。当CE发生故障时,可实现路由自动保护,节点间的倒换能做到用户无感知切换。
3 网络预警安全策略
网络预警安全策略是在网络故障发生前发现异常情况,从而能够采取有效措施,最大程度的降低因故障对网络造成的影响。华为业务区根据网元的重要程度、告警影响程度将网元预警分为三级。红色预警是网络中可能引发重要等级以上故障或存在潜在重大安全影响的异常状况。橙色预警是可能引发一般故障或存在潜在安全影响的异常状况。黄色预警是可能引发轻微故障的异常状况。各级预警中所包含的指标主要分为设备自身引起的预警,如设备出现带有模块的高级别的重新启动等;由于网络负荷引起的预警,如系统的处理能力达到阀值、话路、信令负荷达到阀值等;由于网络故障引起的预警,如局间主用路由不可达等;由于网络质量、话务情况明显变化引起的预警等。重点对关键指标进行监测,及时对现网设备、系统网络预警是降低故障隐患,保障网络平稳安全运行的保障。
4 维护管理安全策略
严格的维护管理制度是确保安全策略落实的基础。
4.1 例行备份制度
制定完备数据备份制度,以离线备份为原则,定期将bam服务器上的自动备份内容存储在独立介质存储器上,每逢重大节假日和重大割接钱均做到专门备份。对于备份数据的存储做到专人负责,专门地点存放,一旦设备发生问题,可以做到快速数据恢复,缩短故障历时。
4.2 健康检查制度
核心网网元是通信网络的核心,因此对设备运行情况应进行定期健康检查,发现问题及时整治,保证交换机安全无隐患运行。特别要对容灾备份Server进行数据的核对,华为设备提供了主备Server数据一致性检查功能。通过此功能,用户可以检查双归属对网元数据是否一致,以确保系统发生双归属倒换后,一个MSC Server能够接管另一个MSC Server上的部分或全部数据。
4.3 应急保障制度
制定完备的应急保障制度,各地制定详尽的应急预案;明确应急小组成员,责任到人;定期举办应急演练,模拟可能出现的故障情况。确保一旦紧急情况发生做到有的放矢,从容应对,有章可循,责任分明,最大可能的缩短故障历时,保障通信顺畅。