序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)安全整改樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀�。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)管理�����;ARP欺騙�����;ARP病毒攻擊���;IP地址管理�;排查與防控手段
中圖分類號:TP393.18 文獻(xiàn)標(biāo)識碼:A 文章編號:1006-8937(2012)26-0076-04
回顧企業(yè)網(wǎng)絡(luò)安全運行維護(hù)工作���,有必要總結(jié)歸納近年來企業(yè)級網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)管理體系結(jié)構(gòu)有效維護(hù)經(jīng)驗�����,有效利用網(wǎng)絡(luò)管理防范與處理ARP欺騙�����、攻擊相關(guān)經(jīng)驗��。
從近年的網(wǎng)絡(luò)運維��,網(wǎng)絡(luò)管理人員不斷接到網(wǎng)絡(luò)用戶反映——“所在的網(wǎng)絡(luò)在上網(wǎng)應(yīng)用時網(wǎng)絡(luò)時斷時通��,有時基本處于無法使用的狀態(tài)”��。而與此同時網(wǎng)絡(luò)流量管理在對相應(yīng)網(wǎng)段的監(jiān)控中又沒有異常情況發(fā)生��,所以一時間很難使用常規(guī)的網(wǎng)絡(luò)管理手段���、經(jīng)驗加以判斷與網(wǎng)絡(luò)定位,從而給網(wǎng)絡(luò)管理與網(wǎng)絡(luò)維護(hù)提出了新挑戰(zhàn)�����。
由于這種網(wǎng)絡(luò)故障來的較突然��,既沒有可以參考的經(jīng)驗,又沒有可用的網(wǎng)絡(luò)協(xié)議分析儀等條件進(jìn)行客觀數(shù)據(jù)的實地采集���,所以我們一開始采用的方法就是在網(wǎng)絡(luò)交換機(jī)處對網(wǎng)段進(jìn)行人為手工的“再細(xì)分”�����,用逐段排除法對有問題的PC機(jī)進(jìn)行定位后再采取整治方法�����,但這種方法費時費力�����,排除故障時間長�����。通過對故障網(wǎng)絡(luò)現(xiàn)場觀察和體會�����,加上對網(wǎng)絡(luò)TCP/IP協(xié)議的分析后,得出對ARP網(wǎng)絡(luò)欺騙和ARP網(wǎng)絡(luò)病毒攻擊的初步感性�����、理性雙重認(rèn)識。那就是如何認(rèn)識ARP欺騙與攻擊的共同點和區(qū)別���,采取有效的防控手段來遏制這些網(wǎng)絡(luò)安全威脅���。
1 ARP欺騙分析
ARP協(xié)議是一種將IP轉(zhuǎn)化成以IP對應(yīng)網(wǎng)卡的物理地址的協(xié)議���,或者說ARP協(xié)議是將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議��。它靠內(nèi)存中保存的一張表來使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答��。在我們企業(yè)網(wǎng)絡(luò)架構(gòu)的Vlan中�,以太網(wǎng)的每一幀有兩種方式傳輸�����。一種對外傳�,就是用戶有一個需求�����,當(dāng)需要透過路由將網(wǎng)絡(luò)幀轉(zhuǎn)發(fā)到別的Vlan時���,需要通過本地Vlan的網(wǎng)關(guān)���。另外一種是內(nèi)傳���,當(dāng)有用戶需求就在本身這個Vlan網(wǎng)絡(luò)中時就不需要網(wǎng)關(guān)了。
當(dāng)遇到ARP欺騙的時候�,我們就會發(fā)現(xiàn)原本發(fā)送給本地Vlan網(wǎng)關(guān)的數(shù)據(jù)幀,沒有得到本地Vlan網(wǎng)關(guān)MAC正確的回應(yīng)�。從而導(dǎo)致用戶任何應(yīng)用都沒有辦法使用了,就感覺到反復(fù)“掉線”或者“斷線”�,網(wǎng)絡(luò)好像處在“震蕩”中,迫使網(wǎng)絡(luò)用戶重新啟動自己的計算機(jī)以期重新獲得聯(lián)網(wǎng)的需求�����,此時正好中了欲進(jìn)行ARP欺騙計算機(jī)的“招”�,當(dāng)用戶在重新啟動自己計算機(jī)獲得IP地址和本網(wǎng)段網(wǎng)關(guān)MAC地址時,進(jìn)行ARP欺騙的計算機(jī)就會以自己網(wǎng)卡的MAC地址代替本網(wǎng)段網(wǎng)關(guān)的MAC地址�����,以至于給用戶一個重新獲得上網(wǎng)的感覺,其實用戶這時所有的外傳以太網(wǎng)幀全部發(fā)給了正在行使ARP欺騙的計算機(jī)��,這就是ARP欺騙在一個Vlan中的基本原理���。
進(jìn)行網(wǎng)絡(luò)ARP欺騙的計算機(jī)在進(jìn)行MAC欺騙的過程中���,會將已知某其它主機(jī)的MAC地址用來使目標(biāo)交換機(jī)向欺騙計算機(jī)轉(zhuǎn)發(fā)以該主機(jī)為目的地址的數(shù)據(jù)幀。通過發(fā)送帶有該主機(jī)以太網(wǎng)源地址的單個數(shù)據(jù)幀辦法�,網(wǎng)絡(luò)欺騙計算機(jī)改寫了CAM表格中的條目,使得交換機(jī)將以該主機(jī)為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)實施ARP欺騙的計算機(jī)���。除非該主機(jī)重新啟動PC并從網(wǎng)絡(luò)中獲取地址時CAM表中對應(yīng)的條目會被再次改寫,以便它能恢復(fù)到原始的端口��。但是否會再次受到ARP的MAC欺騙就取決于本網(wǎng)段中是否存在這樣的欺騙計算機(jī)了��。
網(wǎng)絡(luò)欺騙——MAC的欺騙從來不會停止于只在本網(wǎng)段內(nèi)進(jìn)行“欺騙”�����,它很快就演變?yōu)榕c網(wǎng)絡(luò)病毒相結(jié)合的具有網(wǎng)絡(luò)攻擊特征的更具傳染與殺傷力的——“地址解析協(xié)議(ARP)攻擊”�����。
當(dāng)有人在未獲得授權(quán)就企圖更改MAC和IP地址ARP表格中的信息時,就發(fā)生了ARP攻擊�����。通過這種方式�����,黑客們可以偽造MAC或IP地址���,以便實施如下的兩種攻擊:“服務(wù)拒絕”和“中間人攻擊”�。
目前以“服務(wù)拒絕”演變出來的攻擊以網(wǎng)絡(luò)上多種病毒為主���,它們會發(fā)送假冒的ARP報文�����,比如發(fā)送網(wǎng)關(guān)IP地址的ARP報文���,把網(wǎng)關(guān)的IP對應(yīng)到自己的MAC上,或者一個不存在的MAC地址上去,同時把這假冒的ARP報文在網(wǎng)絡(luò)中廣播��,所有的內(nèi)部PC就會更新了這個IP和MAC的對應(yīng)表�����,下次上網(wǎng)的時候�,就會把本來發(fā)送給網(wǎng)關(guān)的MAC的報文,發(fā)送到一個不存在或者錯誤的MAC地址上去�����,這樣就會造成網(wǎng)絡(luò)斷線了�。
這就是ARP地址欺騙攻擊,造成內(nèi)部PC和外部網(wǎng)的斷線�����,該病毒在滿足一定條件的時候會表現(xiàn)的特別猖獗���。也對企業(yè)內(nèi)部分局部網(wǎng)段造成非物理“斷網(wǎng)”的中斷網(wǎng)絡(luò)破壞,由于它與網(wǎng)絡(luò)病毒相結(jié)合�����,所以無論在傳播的速度和攻擊特性都有較大的“聚變”,ARP 地址欺騙攻擊的實施是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙的同時�,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量,使網(wǎng)絡(luò)阻塞或者實現(xiàn)“中間人攻擊”(man in the middle) ��,進(jìn)行ARP重定向和嗅探攻擊�����。當(dāng)攻擊源大量向局域網(wǎng)中發(fā)送虛假的ARP信息后��,就會造成局域網(wǎng)中機(jī)器ARP緩存的崩潰�����。
下面給出ARP欺騙攻擊在Vlan229網(wǎng)絡(luò)交換機(jī)上所看到的特征�����。
3 原因分析
從對感染ARP欺騙的欺騙攻擊病毒計算機(jī)進(jìn)行現(xiàn)場查殺和計算機(jī)系統(tǒng)安全基本要求方面的檢查來看�����,這些計算機(jī)大多存在如下的共同特征:
①系統(tǒng)安全補(bǔ)丁嚴(yán)重缺失���,有的Winxp在SP2后只有一個補(bǔ)丁���,所以補(bǔ)丁缺少很多(約兩年)�����。
②計算機(jī)開機(jī)進(jìn)入系統(tǒng)時幾乎都缺少系統(tǒng)應(yīng)有的“口令”���。有的只有弱口令。
③大部分這樣的計算機(jī)系統(tǒng)無防病毒軟件或沒有及時對防病毒軟件升檔�,特別是企業(yè)網(wǎng)絡(luò)中使用的Symantec通知升級后不執(zhí)行升級就導(dǎo)致防病毒策略與防病毒代碼無法及時更新。
④有的網(wǎng)絡(luò)用戶違規(guī)下載并安裝“網(wǎng)絡(luò)游戲”或使用帶毒的“實時通信軟件”所至�,如“傳奇”和“QQ”等。
⑤有的部門信息聯(lián)絡(luò)員沒有及時將計算機(jī)安全基本要求宣傳到位�����。
⑥有的部門領(lǐng)導(dǎo)忙于生產(chǎn)而無法具體落實計算機(jī)系統(tǒng)安全的相關(guān)規(guī)章制度��。
4 利用網(wǎng)絡(luò)管理防范與處理
4.3 對主要網(wǎng)絡(luò)應(yīng)用進(jìn)行必要的網(wǎng)絡(luò)細(xì)分
從對企業(yè)總部大樓十二樓Vlan241和原基建大樓Vlan226網(wǎng)絡(luò)的整改后的使用效果來看�,網(wǎng)絡(luò)規(guī)劃在必要的網(wǎng)段上要從多方面考慮網(wǎng)絡(luò)應(yīng)用的實際需要,特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對重要網(wǎng)段的“細(xì)分”工作�����。企業(yè)總部大樓十二樓和基建大樓的網(wǎng)絡(luò)在被“細(xì)分”后���,實際使用和管理上較整改以前都有較好的網(wǎng)絡(luò)使用和網(wǎng)絡(luò)安全的效果���,充分說明了這一點。
4.4 用網(wǎng)絡(luò)管理軟件和工具軟件進(jìn)行預(yù)防
充分利用網(wǎng)絡(luò)管理軟件的“IP地址管理”在MAC與IP綁定上的作用�����,對企業(yè)網(wǎng)絡(luò)上運行的計算機(jī)系統(tǒng)進(jìn)行全天候不間斷的監(jiān)控�,再利用類似于Antiarp這樣的工具軟件對有問題故障網(wǎng)段進(jìn)行現(xiàn)場“抓獲”。
5 結(jié) 語
在我們這樣大型國有企業(yè)網(wǎng)絡(luò)中�,網(wǎng)絡(luò)故障錯綜復(fù)雜,不借助專業(yè)網(wǎng)絡(luò)管理軟件和認(rèn)真細(xì)致地對網(wǎng)絡(luò)故障分析�����,很難對非物理性網(wǎng)絡(luò)故障���,類似ARP欺騙和欺騙類攻擊病毒引起的網(wǎng)絡(luò)故障進(jìn)行排查帶來很大的困難�����,同時會給網(wǎng)絡(luò)產(chǎn)生巨大的安全威脅��。
所以���,對于企業(yè)的網(wǎng)絡(luò)運行�,需要網(wǎng)絡(luò)管理人員充分利用網(wǎng)絡(luò)管理工具��,對網(wǎng)絡(luò)進(jìn)行長期有效的監(jiān)測和分析���,才能最大程度地排除可能的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全威脅��。然而計算機(jī)系統(tǒng)安全是與各個使用計算機(jī)的企業(yè)網(wǎng)絡(luò)終端用戶密切相關(guān)的�����,計算機(jī)安全必須及時���、有效地去“實施”的觀念離實際的網(wǎng)絡(luò)安全要求還相差的甚遠(yuǎn),僅靠企業(yè)每年要求信息中心利用“總廠例行崗檢”和“計算機(jī)系統(tǒng)專項安全大檢查”的方法來維持網(wǎng)絡(luò)安全�,那是無法適應(yīng)日益變換和增長的網(wǎng)絡(luò)安全需要的。
近年來在網(wǎng)絡(luò)安全運維實踐中在技術(shù)層面上總結(jié)出一些行之有效方法���,讓參加企業(yè)IT網(wǎng)絡(luò)運維的同行們能有效地共享��,充分利用網(wǎng)絡(luò)管理系統(tǒng)已有的功能�����,深化網(wǎng)絡(luò)與信息系統(tǒng)的安全運行具有重要意義�。
參考文獻(xiàn):
第2篇
關(guān)鍵詞:電子商務(wù);外貿(mào)企業(yè)�;對策
一��、電子商務(wù)對于現(xiàn)在外貿(mào)企業(yè)的發(fā)展引起的影響
(一)電子商務(wù)對傳統(tǒng)外貿(mào)環(huán)境的影響
在中國加入到WTO后,對于中國中小型企業(yè)的外貿(mào)生意提供了便利條件���,相關(guān)的政策和營業(yè)權(quán)限的批準(zhǔn)均是為了企業(yè)進(jìn)行“松綁”,很多中小型企業(yè)獲得了相關(guān)的自營權(quán)力�����。但是在金融危機(jī)背景下��,外貿(mào)企業(yè)面臨著經(jīng)營上的窘境�,創(chuàng)新思維和技術(shù)革新締造了這一行業(yè)的更高價值,使得中小型企業(yè)在全球市場上得到了又一光明大道��。電子商務(wù)是通過網(wǎng)絡(luò)平臺拓寬了企業(yè)的發(fā)展市場��,更好的促進(jìn)外貿(mào)企業(yè)的全球化進(jìn)程�。
(二)電子商務(wù)對外貿(mào)企業(yè)在運營商的影響
電子商務(wù)為了中國外貿(mào)企業(yè)在運營渠道上開辟了更廣闊的市場,也給外貿(mào)企業(yè)發(fā)展速度提供了國際化的平臺�����。電子商務(wù)改變了傳統(tǒng)商務(wù)交流模式上的弊端,減少中間商賺差價�����,降低了一定的成本�����,并且交易過程更加透明化��、合理化��,滿足消費者價格心理的同時�,也為各大企業(yè)的經(jīng)理利益提供了一定的保障。
二�、電子商務(wù)對于現(xiàn)在外貿(mào)企業(yè)的發(fā)展引起的一些問題
(一)需求的目標(biāo)用戶不明確
現(xiàn)有的中小型企業(yè)中對于網(wǎng)絡(luò)貿(mào)易的認(rèn)識并不透徹,構(gòu)建網(wǎng)頁的時候目標(biāo)較為盲目�,功能上過于簡單化,網(wǎng)頁長時間不進(jìn)行維護(hù)��,這對企業(yè)的整體形象影響深遠(yuǎn)��。
(二)企業(yè)電子商務(wù)的普及率較低
在現(xiàn)有的很多企業(yè)中信息化模式使用并不完全�,在企業(yè)網(wǎng)絡(luò)更新和維護(hù)上并不上心�����,對客戶的反饋和客戶的詢問并不能及時的回復(fù)�。有的企業(yè)并沒有自己的官方網(wǎng)站�,就會借助第三方的平臺進(jìn)行進(jìn)一步銷售,例如阿里巴巴�����、中國制造網(wǎng)等等�����,但是依然秉承傳統(tǒng)模式的觀念���,沒有將電子商務(wù)運用到實際中來。
(三)相關(guān)的電子商務(wù)系統(tǒng)配套服務(wù)并不完善
制約著電子商務(wù)的主要原因在于物流服務(wù)���,首先打造較大���、較全、系統(tǒng)的倉庫系統(tǒng)是可以完成的�����,但是如何將貨物安全、完整���、無破損的進(jìn)行輸送成為外貿(mào)企業(yè)應(yīng)該關(guān)注的問題�����。
(四)現(xiàn)有的外貿(mào)環(huán)境需要完善
在電子商務(wù)不斷發(fā)展的今天��,網(wǎng)絡(luò)安全成為大家關(guān)注的問題���,網(wǎng)上交付、網(wǎng)絡(luò)環(huán)境安全�、有關(guān)網(wǎng)絡(luò)安全構(gòu)建的制度和條例建設(shè)等都是需要再次梳理和完善的。這些均是制約外貿(mào)企業(yè)拓展業(yè)務(wù)的關(guān)鍵問題�����。
(五)中國企業(yè)的信用問題有待改善
在國際購物網(wǎng)站上���,每家店鋪的網(wǎng)上信用問題成為大家選擇的重要憑證�,網(wǎng)上的購物評價也成為了大家選擇的一個標(biāo)準(zhǔn)。而電子商務(wù)的平臺構(gòu)建成為了消費者與企業(yè)合作的重要溝通工具���,這不僅會嚴(yán)重影響到交易成功率也會影響品牌的名譽(yù)��。所以�,在構(gòu)建外貿(mào)企業(yè)電子商務(wù)平臺過程中��,相應(yīng)健全的機(jī)制成為保駕護(hù)航的關(guān)鍵�。
三、問題對策
(一)外貿(mào)企業(yè)要重新定位�,用發(fā)展的眼光看問題
在傳統(tǒng)貿(mào)易中將線下貿(mào)易改革成為線上貿(mào)易的發(fā)展新局勢和新方法,知識單純的依靠企業(yè)宣傳和人工宣傳已經(jīng)不能滿足���,隨意當(dāng)機(jī)立斷的進(jìn)行有效的制度改革,通過政府的監(jiān)管與扶持���,將市場作為主要的實施媒介�����。在對外腦企業(yè)進(jìn)行有效的整改過程中�,積極地相應(yīng)市場的新格局和社會的變化發(fā)展���,建立屬于自己的網(wǎng)站���,宣傳企業(yè)產(chǎn)品�,在網(wǎng)上開拓市場信息��。在對企業(yè)網(wǎng)站進(jìn)行設(shè)計時要突出屬于適合自己企業(yè)網(wǎng)站的風(fēng)格��,創(chuàng)建針對企業(yè)的��、獨特的服務(wù)功能和網(wǎng)絡(luò)環(huán)境���,及時找到適合企業(yè)定位的溝通方式�����,使得企業(yè)實體與網(wǎng)絡(luò)經(jīng)營的雙模式綜合體�,為外貿(mào)經(jīng)濟(jì)創(chuàng)造更大的發(fā)展空間�����。
(二)利用全新的電子商務(wù)模式進(jìn)行企業(yè)營銷
首先�,根據(jù)企業(yè)的特點和使用人群進(jìn)行電子商務(wù)的系統(tǒng)優(yōu)化,盡可能的減少中間繁雜的中間環(huán)節(jié)�,在用戶購物時�,可以設(shè)定一定的優(yōu)惠服務(wù)�,吸引消費者眼球,博得產(chǎn)品關(guān)注在某種程度上說是引導(dǎo)消費者進(jìn)行選購�;可以建立會員制度,在一定時期進(jìn)行會員優(yōu)惠��,這不僅可以穩(wěn)定用戶��,還可以促進(jìn)客戶的消費心理���。這樣更好的構(gòu)建經(jīng)營�����、人脈���、金融多層經(jīng)濟(jì)關(guān)系���。
(三)國際貿(mào)易要加強(qiáng)先關(guān)的法律法規(guī)�����,完善網(wǎng)絡(luò)的信用制度
在現(xiàn)有的相關(guān)貿(mào)易法律法規(guī)中�����,對于電子商務(wù)的網(wǎng)絡(luò)交易還有一部本并沒有完善���。根據(jù)相關(guān)部門的調(diào)查走訪進(jìn)行系統(tǒng)分析��,網(wǎng)絡(luò)安全�����、網(wǎng)絡(luò)管理��、支付安全等方面的法律條文需要進(jìn)行系統(tǒng)整改�,從技術(shù)上到電子商務(wù)意識方面�����,均要求有所涉及�。要做到企業(yè)懂法,處處合理安全�����。
第3篇
關(guān)鍵詞:防火墻;雙機(jī);狀態(tài)檢測;VRRP
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10454-03
隨著互聯(lián)網(wǎng)以及現(xiàn)代通訊技術(shù)的發(fā)展,以及用戶對服務(wù)品質(zhì)的需求,高可用性網(wǎng)絡(luò)已經(jīng)越來越成為Internet組網(wǎng)設(shè)計的目標(biāo)���。因網(wǎng)絡(luò)中斷給用戶帶來的損失以及潛在損失已經(jīng)十分巨大,有研究表明,網(wǎng)絡(luò)停運帶來的損失已經(jīng)高達(dá)幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量��。
在防火墻的可靠性試驗之前,先了解目前防火墻的技術(shù)以及該技術(shù)特點對防火墻可靠性的影響,目前各類型的防火墻從其實現(xiàn)原理上來說基于以下三大類:
1) 基于逐包轉(zhuǎn)發(fā)過濾的包過濾;
2) 通過檢測會話狀態(tài)基于會話流的狀態(tài);
3) 基于應(yīng)用方式的全���。
這三種防火墻技術(shù)的優(yōu)缺點不作詳細(xì)討論,對于第一種逐包轉(zhuǎn)發(fā)過濾的包過濾防火墻因為其不能很好的區(qū)分和保護(hù)不同的區(qū)域,在運行內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的同時也提供了外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的安全漏洞,因此這種防火墻技術(shù)在近年來屬于逐步被淘汰的技術(shù),但是就可靠性而言,因為該技術(shù)采用逐包轉(zhuǎn)發(fā)過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設(shè)備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設(shè)備很難做到對同一會話進(jìn)行相同的地址轉(zhuǎn)換,導(dǎo)致包過濾防火墻在Nat的應(yīng)用中也出現(xiàn)問題。
對于基于應(yīng)用方式的全防火墻,由于其隔離了與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接,它能給內(nèi)部網(wǎng)絡(luò)提供很好的保護(hù),但是他的優(yōu)點同時也是最大的缺點,由于采用的是應(yīng)用的方式,對于應(yīng)用程序而言就不透明了,需要應(yīng)用程序為這種連接進(jìn)行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻�。就可靠性而言,要做到雙機(jī)熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機(jī)上去,這種特性使得全方式的防火墻的雙機(jī)熱備實現(xiàn)起來很困難,在實際應(yīng)用中也很少見這種防火墻的備份方案。
下面我們將通過兩組實驗討論基于會話流的狀態(tài)防火墻的可靠性問題,所謂狀態(tài)防火墻是指用戶通過防火墻訪問外部網(wǎng)絡(luò)時,會在防火墻上創(chuàng)建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址��、源/目的端口���、協(xié)議類型),這樣從外面回應(yīng)的報文如果能匹配該五元組就能順利通過防火墻到達(dá)用戶,而從外面主動發(fā)起的會話請求因為不能匹配任何會話表項,而被ACL規(guī)則過濾掉��。這樣就可以提供給用戶不同級別的保護(hù),從而有效地保護(hù)用戶的內(nèi)部網(wǎng)絡(luò)��。目前大部分防火墻產(chǎn)品都是屬于這種技術(shù)的防火墻�����。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機(jī)熱備的時候?qū)M網(wǎng)有特殊的要求,以下將通過實驗了解防火墻可靠性技術(shù),以及實驗過程中出現(xiàn)的問題并提出的解決方案���。
1 防火墻雙機(jī)試驗組網(wǎng)及配置
單組防火墻雙機(jī)可靠性實驗中采用設(shè)備有TOPsec NGFW4000 ��、JUNIPER SSG 520、 H3C Secblade III��、H3C 9500系列及華為Quidway 6500系列交換機(jī), sinfor互聯(lián)網(wǎng)安全控制產(chǎn)品�����。根據(jù)可靠性要求將網(wǎng)絡(luò)安全設(shè)備和交換設(shè)備進(jìn)行如下組網(wǎng)設(shè)計和部署,通過實驗測試防火墻HA情況下不同安全區(qū)域的數(shù)據(jù)過濾及交換情況以及在該種模式和網(wǎng)絡(luò)結(jié)構(gòu)中存在的故障現(xiàn)象���。
首先我們做單組防火墻雙機(jī)的實驗,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示�。
該結(jié)構(gòu)使用H3C系列高端網(wǎng)絡(luò)及安全設(shè)備組網(wǎng),適用于大中型企業(yè)核心網(wǎng)絡(luò)安全控制區(qū)域的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����。通過這種網(wǎng)絡(luò)結(jié)構(gòu)的部署可以有效的防御外部網(wǎng)絡(luò)及企業(yè)內(nèi)部網(wǎng)絡(luò)對重要服務(wù)器的安全攻擊�����、漏洞掃描���、木馬入侵等等,進(jìn)而有效地對企業(yè)的研發(fā)���、生產(chǎn)、商業(yè)���、財務(wù)等機(jī)密數(shù)據(jù)進(jìn)行保護(hù)和可控授權(quán)訪問��。本實驗中將主要針對這種結(jié)構(gòu)下所使用設(shè)備部署完成后出現(xiàn)的故障進(jìn)行分析和討論��。
單組防火墻雙機(jī)實驗采用H3C9512高端交換作為企業(yè)的核心交換,H3C9508作為企業(yè)應(yīng)用服務(wù)器區(qū)域的核心交換��。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業(yè)務(wù)單板,防火墻單板通過9508內(nèi)置的萬兆接口與9508互連�����。兩臺9500系列交換通過萬兆光纖接口卡進(jìn)行交叉互連,設(shè)備互連接口地址均使用30位掩碼�����。9508交換作為二層交換使用,服務(wù)器區(qū)域的三層網(wǎng)關(guān)地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據(jù)需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan��。在防火墻和9512上都啟用ospf協(xié)議,將互連及三層VLAN地址段到ospf中��。因該防火墻可將不同的VLAN劃分在不同的安全區(qū)域內(nèi),所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區(qū)域,安全區(qū)域的默認(rèn)訪問規(guī)則為單向,也就是高優(yōu)先級區(qū)域默認(rèn)可訪問低優(yōu)先級區(qū)域�。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區(qū)域級別的VLAN中。最后啟用防火墻的雙機(jī)熱備功能,并選擇防火墻業(yè)務(wù)板上的一個接口作為心跳接口,服務(wù)器(unix系統(tǒng),需要雙網(wǎng)卡)通過EtherChannel IEEE802.3ad配置成網(wǎng)卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網(wǎng)卡放在9508-A上,將server2的主網(wǎng)卡放在9508-B上���。為避免因靜態(tài)路由帶來的不能檢測設(shè)備故障的情況,該組網(wǎng)采用了動態(tài)路由協(xié)議,在防火墻和交換上都啟用ospf協(xié)議�����。
串聯(lián)多組防火墻雙機(jī)試驗設(shè)備采用了Juniper及Topsec防火墻�����、H3c9512交換機(jī)�����、深信服行為控制設(shè)備���、Radware的LinkProof鏈路負(fù)載均衡及2條不同ISP互聯(lián)網(wǎng)線路。這些設(shè)備都是我們選用的支持雙機(jī)的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行串聯(lián),進(jìn)行Intranet和internet互訪�、Intranet與DMZ、Internet與DMZ區(qū)域之間數(shù)據(jù)通訊測試�。由于實驗1已經(jīng)介紹了單組防火墻雙機(jī)的實驗情形,故這里只介紹軍事化區(qū)域至互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)通訊的實驗情況,該實驗的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。
該網(wǎng)絡(luò)結(jié)構(gòu)使用雙重防火墻及上網(wǎng)行為控制設(shè)備對企業(yè)軍事化區(qū)域和互聯(lián)網(wǎng)區(qū)域進(jìn)行了嚴(yán)格的數(shù)據(jù)過濾和行為控制,是企業(yè)軍事化區(qū)域�、半軍事化區(qū)域及互聯(lián)網(wǎng)區(qū)域之間數(shù)據(jù)互訪受控的一種常用網(wǎng)絡(luò)結(jié)構(gòu),適用于大中型企業(yè)對內(nèi)外部數(shù)據(jù)交換須進(jìn)行嚴(yán)格控制、審計�����、授權(quán)訪問等操作,或網(wǎng)絡(luò)運營服務(wù)商對外部用戶提供高可靠和安全性互聯(lián)網(wǎng)服務(wù)在互聯(lián)網(wǎng)出口部分至企業(yè)核心交換層的網(wǎng)絡(luò)部署�����。通過本網(wǎng)絡(luò)可以有效對內(nèi)外部上至應(yīng)用層下至物理層數(shù)據(jù)的交換有效的控制、阻斷��、審計�。
同樣先簡單介紹該組網(wǎng)拓?fù)浣Y(jié)構(gòu)及設(shè)備配置的基本信息。我們同樣使用9512作為核心交換,雙機(jī)之間通過TRUNK接口互聯(lián),上行與SSG520防火墻相連的接口配置VRRP與其互聯(lián)��。SSG通過廠商的NSRP協(xié)議配置HA,并將其配置為橋接路由模式��。SINFOR設(shè)備通過串口心跳配置好HA,并將其配置為透明橋接模式�。Topsec防火墻通過CISCO 的HSRP和浮動靜態(tài)路由技術(shù)來配置冗余備份雙機(jī)結(jié)構(gòu),并將其配置為NAT模式。負(fù)載設(shè)備LinkProof采用標(biāo)準(zhǔn)VRRP配置為冗余雙機(jī)(由于本次實驗設(shè)備限制,只做單機(jī))�����。為防止動態(tài)路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態(tài)路由的方式進(jìn)行配置���。
2 防火墻雙機(jī)試驗故障現(xiàn)象
對于實驗1我們做如下的數(shù)據(jù)訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務(wù)器(可使用普通pc代替)分別接入到9508上的,使用同一個網(wǎng)段的地址�。我們通過pc使用ICMP包對pc至server端的鏈路進(jìn)行檢測,從pc1和pc2分別發(fā)至server1和server2的檢測包結(jié)果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現(xiàn)丟包或者不通的現(xiàn)象���。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發(fā)現(xiàn)pc1跟蹤server2的路由到SecBlade-A后出現(xiàn)中斷,pc2至server1的路由到SecBladeB出現(xiàn)中斷�。之后我們將交叉鏈路去除后再次做上面同樣的測試發(fā)現(xiàn)故障依舊,根據(jù)路由情況得知基于會話狀態(tài)的防火墻在特殊的網(wǎng)絡(luò)結(jié)構(gòu)中存在來回路徑不一致而導(dǎo)致的中斷現(xiàn)象發(fā)生�。
對于實驗2做了如下數(shù)據(jù)訪問測試:首先現(xiàn)在沒有任何設(shè)備、接口、線路故障的情況下,三組雙機(jī)設(shè)備都是主機(jī)在工作的,此時PC至互聯(lián)網(wǎng)server的訪問數(shù)據(jù)會通過所有雙機(jī)的主設(shè)備;我們手動的將SSG520主機(jī)的外網(wǎng)接口shutdown后會自動切換到備機(jī)工作,sinfor發(fā)現(xiàn)與其lan口相連的接口down了也會自動的切換到備機(jī), topsec主機(jī)發(fā)現(xiàn)與其互聯(lián)的sinfor主機(jī)故障切換了,topsec主機(jī)也會切換到備機(jī)工作,這種情況并未發(fā)生中斷現(xiàn)象�。但當(dāng)我們將剛才shutdown的接口還原時,我們發(fā)現(xiàn)此時出現(xiàn)的故障情況為PC至server的數(shù)據(jù)會出現(xiàn)中斷現(xiàn)象。將SSG520手動down的接口還原后的情況發(fā)現(xiàn)三組冗余雙機(jī)設(shè)備開始在不斷的進(jìn)行主備的切換,無法達(dá)到一致狀態(tài)�。這時情況是三組雙機(jī)因為切換的時間和檢測的故障的。根據(jù)各種設(shè)備切故障檢測和切換機(jī)制分析得知:目前大部分的冗余雙機(jī)故障檢測基本上為互聯(lián)接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設(shè)備主備切換的時間存在差異,導(dǎo)致其他兩組設(shè)備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機(jī)制只能對存在接口地址的雙機(jī)設(shè)備有效,而在設(shè)備互連接口不存在IP地址作為透明模式使用時依然無法進(jìn)行更有效的補(bǔ)充,這種情況下三組設(shè)備很難達(dá)到同步切換的狀態(tài),因此導(dǎo)致故障現(xiàn)象的發(fā)生�。
3 試驗故障分析及解決方案
針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案�����。對于實驗1中防火墻可靠性實驗中,出現(xiàn)的故障情況后對PC至server的路由分別進(jìn)行了跟蹤和分析���。本次的整個網(wǎng)絡(luò)結(jié)構(gòu)中全部使用ospf協(xié)議,并將路由都在AREA0區(qū)中�。根據(jù)我國有關(guān)部門的提出的規(guī)范在默認(rèn)不改變各條路由開銷(cost)值的情況下,所有設(shè)備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網(wǎng)段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學(xué)到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現(xiàn)了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況��。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現(xiàn)象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上�����。這種情況下當(dāng)其中一臺交換或者防火墻出現(xiàn)故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數(shù)據(jù)不會出現(xiàn)中斷現(xiàn)象,這種改造的弊端在于不能做到雙機(jī)負(fù)載也就是雙A狀態(tài)的運行模式��。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進(jìn)行同步,保證主防火墻和備防火墻實時的去同步授權(quán)允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現(xiàn)象,同時也將該組網(wǎng)結(jié)構(gòu)中的兩臺防火墻形成了雙A狀態(tài),分擔(dān)了負(fù)載�。特別說明該實驗中根據(jù)設(shè)備的特性使用心跳線來代替實驗1中的防火墻的三層互聯(lián)即可。
對于在第二個實驗中出現(xiàn)的故障現(xiàn)象,由于現(xiàn)網(wǎng)中使用的各廠商設(shè)備的故障檢測機(jī)制的不一致性,如要統(tǒng)一算法需要將研究制定統(tǒng)一的故障檢測方法和切換機(jī)制�����。因此分析了實際情況后,我們可根據(jù)故障現(xiàn)象和原因?qū)W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行整改和優(yōu)化后解決做實驗2中一組冗余雙機(jī)出現(xiàn)主備切換時導(dǎo)致網(wǎng)絡(luò)中斷的問題。我們可在該網(wǎng)絡(luò)結(jié)構(gòu)中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機(jī)的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機(jī)上的兩個接口上,并將這兩個接口配置到Vlan100中��。另外一組設(shè)備以同樣的連接和配置方式與另外一臺交換機(jī)互聯(lián)�。兩臺交換機(jī)通過TRUNK口互聯(lián)并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區(qū)域的核心交換使用的,這樣內(nèi)網(wǎng)與外網(wǎng)同時可以接入到這兩臺交換上,可以節(jié)省硬件資源���。我們在進(jìn)行同樣的實驗,將三組冗余設(shè)備在任何一組設(shè)備中任何一個模擬故障現(xiàn)象都不會導(dǎo)致其它兩組設(shè)備的主備切換,即使我們設(shè)備的故障檢測是包含Track IP的方式也不會導(dǎo)致另外三組冗余設(shè)備的因存在故障切換時間的差異而造成網(wǎng)絡(luò)中斷的現(xiàn)象發(fā)生���。即各種故障或者切換都不會導(dǎo)致PC至server鏈路的中斷。具體的網(wǎng)絡(luò)整改拓?fù)鋱D如圖3所示���。
從實驗3的網(wǎng)絡(luò)拓?fù)渲锌梢郧宄目吹?無論三組設(shè)備的故障切換是否能夠同步進(jìn)行,PC至server的鏈路都會有一條通暢的路存在��。這是本實驗中解決故障問題的較實用的方案���。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權(quán)威機(jī)構(gòu)的統(tǒng)一和制定,研究和制定出一套通用的雙機(jī)故障檢測及切換算法或者制定一種新的雙機(jī)故障同步切換通訊協(xié)議類型。使該算法或協(xié)議能夠支持端口檢測�、會話同步、IP跟蹤等多種故障檢測機(jī)制和統(tǒng)一的切換算法,使雙機(jī)設(shè)備都能通過該算法或協(xié)議在各種不同的故障情形下進(jìn)行快速有效統(tǒng)一地故障同步切換也是解決該問題的重要方法,也是統(tǒng)一網(wǎng)絡(luò)設(shè)備冗余雙機(jī)故障檢測及切換機(jī)制的研究方向�。目前huawei研究的VGMP和HRP協(xié)議已經(jīng)將huawei的防火墻進(jìn)行了較好的狀態(tài)一致檢測和會話同步的管理。
4 總結(jié)
在整個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和實施過程中詳細(xì)分析和說明了三組雙機(jī)實驗的網(wǎng)絡(luò)結(jié)構(gòu)在企業(yè)不同安全區(qū)域部署的目的�����、作用和效果,同時對在部署過程中出現(xiàn)的問題進(jìn)行了分析和研究,在網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上給出問題解決方案,并對其進(jìn)行網(wǎng)絡(luò)改造和優(yōu)化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業(yè)的核心數(shù)據(jù)受控區(qū)域,為嚴(yán)格控制各應(yīng)用服務(wù)器之間以及用戶與服務(wù)器之間的數(shù)據(jù)訪問,采用可自定義多區(qū)域的防火墻能夠很好的實現(xiàn)企業(yè)對不同敏感數(shù)據(jù)的安全控制需求�����。但在基于會話狀態(tài)的理想全冗余交叉的網(wǎng)絡(luò)連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態(tài),并將全部的會話狀態(tài)進(jìn)行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設(shè)備都得到了充分的利用,減輕和降低了單設(shè)備的負(fù)載和單點故障引起切換帶來的業(yè)務(wù)中斷��。第二組實驗部署在企業(yè)互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)結(jié)構(gòu)中,將軍事化�、半軍事化及非軍事化控制區(qū)域的數(shù)據(jù)進(jìn)行了嚴(yán)格的區(qū)域控劃分和數(shù)據(jù)控制,并通過行為控制審計設(shè)備嚴(yán)格地對軍事化區(qū)域數(shù)據(jù)交換進(jìn)行控制�、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業(yè)的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網(wǎng)絡(luò)結(jié)構(gòu)勢必會對企業(yè)網(wǎng)絡(luò)性能造成一定的負(fù)面影響,企業(yè)可根據(jù)實際情況選擇網(wǎng)絡(luò)安全的程度�。實驗二中針對該實驗中由于故障引起的雙機(jī)設(shè)備主備切換不一致導(dǎo)致鏈路中斷的現(xiàn)象進(jìn)行了網(wǎng)絡(luò)結(jié)構(gòu)改造后形成了實驗三的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),實驗三的網(wǎng)絡(luò)結(jié)構(gòu)不僅解決了實驗二切換的故障問題,同時也將多組雙機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的故障率降為最低,設(shè)備切換帶來的業(yè)務(wù)中斷時間降為最少。實驗三的網(wǎng)絡(luò)拓?fù)浞桨高m用于目前多數(shù)企業(yè)的互聯(lián)網(wǎng)出口結(jié)構(gòu)�����。本文為企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計及安全部署,網(wǎng)絡(luò)故障處理提供了一定的實踐依據(jù)和說明�。
本文通過三組實驗的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計實現(xiàn)、故障測試分析及解決,對幾款目前國內(nèi)較流行的狀態(tài)防火墻和安全設(shè)備的雙機(jī)基本配置�、工作模式、安全防范��、故障檢測切換機(jī)制都有了基本的了解和認(rèn)識,并給企業(yè)用戶在企業(yè)安全區(qū)域網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計方面提供了較好的理論應(yīng)用和實踐基礎(chǔ)��。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業(yè)安全網(wǎng)絡(luò)的合理設(shè)計提供的實踐證明,也為功能全面防火墻的設(shè)計和實現(xiàn)提供了重要的研究方向和思想依據(jù)。
參考文獻(xiàn):
[1] 蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2002.
[2] 胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004:22-26
[3] 柯宏力.Intranet信息網(wǎng)絡(luò)技術(shù)與企業(yè)信息化[M].北京:北京郵電學(xué)院出版社,2000,24-32,71-82,150-176.
[4] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué),1997,13(3):41-43.
[5] 雷震甲,馬建峰.Internet安全和防火墻技術(shù)安全體系結(jié)構(gòu)[J].通信保密,1998(2).
[6] 劉曉輝.網(wǎng)管從業(yè)寶典――交換機(jī)路?由器?防火墻.重慶:重慶大學(xué)出版社, 2008-5-9,81-86, 117-185,270-275,371-400.
[7] 吳昕,李之棠.并行防火墻研究[J].計算機(jī)工程與科學(xué),2000,22(2):54-57.
[8] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué),1997,13(3):41-43.
[9] 張云鵬.網(wǎng)絡(luò)安全與防護(hù)技術(shù)的研究及應(yīng)用[D].中國優(yōu)秀博碩士學(xué)位論文全文數(shù)據(jù)庫,2006(6).
第4篇
20多年來���,我國互聯(lián)網(wǎng)發(fā)展取得的顯著成就中���,包括一批技術(shù)方面的成就。目前���,在世界互聯(lián)網(wǎng)企業(yè)前10強(qiáng)中���,我們占了4席。在第二屆世界互聯(lián)網(wǎng)大會期間���,我去看了“互聯(lián)網(wǎng)之光”博覽會��,來自全球的250多家企業(yè)展出的1000多項新技術(shù)新成果中�����,我們也占了不少���,這令人高興。同時��,我們也要看到,同世界先進(jìn)水平相比�,同建設(shè)網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略目標(biāo)相比,我們在很多方面還有不小差距�����,特別是在互聯(lián)網(wǎng)創(chuàng)新能力��、基礎(chǔ)設(shè)施建設(shè)�����、信息資源共享�、產(chǎn)業(yè)實力等方面還存在不小差距��,其中最大的差距在核心技術(shù)上�。
互聯(lián)網(wǎng)核心技術(shù)是我們最大的“命門”,核心技術(shù)受制于人是我們最大的隱患�。一個互聯(lián)網(wǎng)企業(yè)即便規(guī)模再大、市值再高�,如果核心元器件嚴(yán)重依賴外國,供應(yīng)鏈的“命門”掌握在別人手里�,那就好比在別人的墻基上砌房子,再大再漂亮也可能經(jīng)不起風(fēng)雨�����,甚至?xí)豢耙粨簟N覀円莆瘴覈ヂ?lián)網(wǎng)發(fā)展主動權(quán)�,保障互聯(lián)網(wǎng)安全、國家安全�,就必須突破核心技術(shù)這個難題,爭取在某些領(lǐng)域���、某些方面實現(xiàn)“彎道超車”�。
核心技術(shù)要取得突破��,就要有決心�、恒心、重心���。有決心���,就是要樹立頑強(qiáng)拼搏、刻苦攻關(guān)的志氣��,堅定不移實施創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略���,把更多人力物力財力投向核心技術(shù)研發(fā)�,集合精銳力量,作出戰(zhàn)略性安排�����。有恒心��,就是要制定信息領(lǐng)域核心技術(shù)設(shè)備發(fā)展戰(zhàn)略綱要�,制定路線圖、時間表���、任務(wù)書���,明確近期、中期��、遠(yuǎn)期目標(biāo)�,遵循技術(shù)規(guī)律��,分梯次���、分門類�、分階段推進(jìn)�����,咬定青山不放松。有重心��,就是要立足我國國情���,面向世界科技前沿��,面向國家重大需求�����,面向國民經(jīng)濟(jì)主戰(zhàn)場��,緊緊圍繞攀登戰(zhàn)略制高點���,強(qiáng)化重要領(lǐng)域和關(guān)鍵環(huán)節(jié)任務(wù)部署,把方向搞清楚�����,把重點搞清楚���。否則�,花了很多錢、投入了很多資源�����,最后南轅北轍�,是難以取得成效的。
什么是核心技術(shù)�?我看,可以從三個方面把握���。一是基礎(chǔ)技術(shù)��、通用技術(shù)�����。二是非對稱技術(shù)��、“殺手锏”技術(shù)���。三是前沿技術(shù)、顛覆性技術(shù)���。在這些領(lǐng)域���,我們同國外處在同一條起跑線上,如果能夠超前部署���、集中攻關(guān)���,很有可能實現(xiàn)從跟跑并跑到并跑領(lǐng)跑的轉(zhuǎn)變。我國網(wǎng)信領(lǐng)域廣大企業(yè)家�、專家學(xué)者、科技人員要樹立這個雄心壯志�,要爭這口氣,努力盡快在核心技術(shù)上取得新的重大突破�����。正所謂“日日行��,不怕千萬里���;常常做��,不怕千萬事”��。
我國信息技術(shù)產(chǎn)業(yè)體系相對完善�、基礎(chǔ)較好,在一些領(lǐng)域已經(jīng)接近或達(dá)到世界先進(jìn)水平���,市場空間很大���,有條件有能力在核心技術(shù)上取得更大進(jìn)步,關(guān)鍵是要理清思路���、腳踏實地去干���。
第一,正確處理開放和自主的關(guān)系�����?;ヂ?lián)網(wǎng)讓世界變成了地球村,推動國際社會越來越成為你中有我���、我中有你的命運共同體?��,F(xiàn)在���,有一種觀點認(rèn)為���,互聯(lián)網(wǎng)很復(fù)雜��、很難治理���,不如一封了之、一關(guān)了之�����。這種說法是不正確的�����,也不是解決問題的辦法�。中國開放的大門不能關(guān)上,也不會關(guān)上�����。我們要鼓勵和支持我國網(wǎng)信企業(yè)走出去�����,深化互聯(lián)網(wǎng)國際交流合作,積極參與“一帶一路”建設(shè)��,做到“國家利益在哪里���,信息化就覆蓋到哪里”�。外國互聯(lián)網(wǎng)企業(yè)��,只要遵守我國法律法規(guī)���,我們都?xì)g迎���。
現(xiàn)在,在技術(shù)發(fā)展上有兩種觀點值得注意�。一種觀點認(rèn)為,要關(guān)起門來�����,另起爐灶�,徹底擺脫對外國技術(shù)的依賴,靠自主創(chuàng)新謀發(fā)展��,否則總跟在別人后面跑,永遠(yuǎn)追不上�����。另一種觀點認(rèn)為���,要開放創(chuàng)新,站在巨人肩膀上發(fā)展自己的技術(shù)���,不然也追不上��。這兩種觀點都有一定道理�,但也都絕對了一些���,沒有辯證看待問題�。一方面�,核心技術(shù)是國之重器,最關(guān)鍵最核心的技術(shù)要立足自主創(chuàng)新��、自立自強(qiáng)�。市場換不來核心技術(shù),有錢也買不來核心技術(shù)�,必須靠自己研發(fā)���、自己發(fā)展。另一方面���,我們強(qiáng)調(diào)自主創(chuàng)新�,不是關(guān)起門來搞研發(fā)�,一定要堅持開放創(chuàng)新,只有跟高手過招才知道差距�����,不能夜郎自大���。
我們不拒絕任何新技術(shù)�����,新技術(shù)是人類文明發(fā)展的成果��,只要有利于提高我國社會生產(chǎn)力水平��、有利于改善人民生活��,我們都不拒絕��。問題是要搞清楚哪些是可以引進(jìn)但必須安全可控的���,哪些是可以引進(jìn)消化吸收再創(chuàng)新的�����,哪些是可以同別人合作開發(fā)的��,哪些是必須依靠自己的力量自主創(chuàng)新的�����。核心技術(shù)的根源問題是基礎(chǔ)研究問題,基礎(chǔ)研究搞不好���,應(yīng)用技術(shù)就會成為無源之水�����、無本之木�����。
第二�����,在科研投入上集中力量辦大事�。近年來,我們在核心技術(shù)研發(fā)上投的錢不少�����,但效果還不是很明顯���。我看�����,主要問題是好鋼沒有用在刀刃上�����。要圍繞國家亟需突破的核心技術(shù)���,把拳頭攥緊,堅持不懈做下去。
第三��,積極推動核心技術(shù)成果轉(zhuǎn)化�。技術(shù)要發(fā)展�,必須要使用���。在全球信息領(lǐng)域�����,創(chuàng)新鏈���、產(chǎn)業(yè)鏈��、價值鏈整合能力越來越成為決定成敗的關(guān)鍵�。核心技術(shù)研發(fā)的最終結(jié)果,不應(yīng)只是技術(shù)報告�、科研論文��、實驗室樣品�����,而應(yīng)是市場產(chǎn)品�、技術(shù)實力�����、產(chǎn)業(yè)實力。核心技術(shù)脫離了它的產(chǎn)業(yè)鏈��、價值鏈�����、生態(tài)系統(tǒng)�,上下游不銜接,就可能白忙活一場�����。
科研和經(jīng)濟(jì)不能搞成“兩張皮”���,要著力推進(jìn)核心技術(shù)成果轉(zhuǎn)化和產(chǎn)業(yè)化��。經(jīng)過一定范圍論證,該用的就要用�。我們自己推出的新技術(shù)新產(chǎn)品�����,在應(yīng)用中出現(xiàn)一些問題是自然的�?����?梢栽谟玫倪^程中繼續(xù)改進(jìn)�,不斷提高質(zhì)量�。如果大家都不用��,就是報一個課題完成報告,然后束之高閣��,那永遠(yuǎn)發(fā)展不起來��。
第四,推動強(qiáng)強(qiáng)聯(lián)合��、協(xié)同攻關(guān)���。要打好核心技術(shù)研發(fā)攻堅戰(zhàn)���,不僅要把沖鋒號吹起來,而且要把集合號吹起來��,也就是要把最強(qiáng)的力量積聚起來共同干,組成攻關(guān)的突擊隊���、特種兵。我們同國際先進(jìn)水平在核心技術(shù)上差距懸殊�����,一個很突出的原因,是我們的骨干企業(yè)沒有像微軟���、英特爾�、谷歌�����、蘋果那樣形成協(xié)同效應(yīng)。美國有個所謂的“文泰來”聯(lián)盟���,微軟的視窗操作系統(tǒng)只配對英特爾的芯片���。在核心技術(shù)研發(fā)上,強(qiáng)強(qiáng)聯(lián)合比單打獨斗效果要好���,要在這方面拿出些辦法來�,徹底擺脫部門利益和門戶之見的束縛。抱著寧為雞頭���、不為鳳尾的想法���,抱著自己擁有一畝三分地的想法,形不成合力�����,是難以成事的。
一些同志關(guān)于組建產(chǎn)學(xué)研用聯(lián)盟的建議很好�����。比如�,可以組建“互聯(lián)網(wǎng)+”聯(lián)盟�、高端芯片聯(lián)盟等,加強(qiáng)戰(zhàn)略���、技術(shù)�、標(biāo)準(zhǔn)�����、市場等溝通協(xié)作���,協(xié)同創(chuàng)新攻關(guān)??梢蕴剿鞲憬野駫鞄?,把需要的關(guān)鍵核心技術(shù)項目張出榜來��,英雄不論出處,誰有本事誰就揭榜�����。在這方面�����,既要發(fā)揮國有企業(yè)作用,也要發(fā)揮民營企業(yè)作用�,也可以兩方面聯(lián)手來干��。還可以探索更加緊密的資本型協(xié)作機(jī)制,成立核心技術(shù)研發(fā)投資公司�����,發(fā)揮龍頭企業(yè)優(yōu)勢�����,帶動中小企業(yè)發(fā)展,既解決上游企業(yè)技術(shù)推廣應(yīng)用問題,也解決下游企業(yè)“缺芯少魂”問題�����。
正確處理安全和發(fā)展的關(guān)系
網(wǎng)絡(luò)安全和信息化是相輔相成的���。安全是發(fā)展的前提�,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)��。我們一定要認(rèn)識到,古往今來�,很多技術(shù)都是“雙刃劍”,一方面可以造福社會��、造福人民��,另一方面也可以被一些人用來損害社會公共利益和民眾利益�。從世界范圍看,網(wǎng)絡(luò)安全威脅和風(fēng)險日益突出���,并日益向政治、經(jīng)濟(jì)��、文化、社會���、生態(tài)��、國防等領(lǐng)域傳導(dǎo)滲透。特別是國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨較大風(fēng)險隱患,網(wǎng)絡(luò)安全防控能力薄弱���,難以有效應(yīng)對國家級�����、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊。這對世界各國都是一個難題,我們當(dāng)然也不例外。
面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢,我們要保持清醒頭腦��,各方面齊抓共管���,切實維護(hù)網(wǎng)絡(luò)安全�。
第一�����,樹立正確的網(wǎng)絡(luò)安全觀�。理念決定行動。當(dāng)今的網(wǎng)絡(luò)安全�,有幾個主要特點。一是網(wǎng)絡(luò)安全是整體的而不是割裂的��。在信息時代�,網(wǎng)絡(luò)安全對國家安全牽一發(fā)而動全身,同許多其他方面的安全都有著密切關(guān)系��。二是網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的�����。信息技術(shù)變化越來越快�����,過去分散獨立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)��、相互依賴��,網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化�����,那種依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜���,需要樹立動態(tài)、綜合的防護(hù)理念��。三是網(wǎng)絡(luò)安全是開放的而不是封閉的�����。只有立足開放環(huán)境���,加強(qiáng)對外交流�����、合作���、互動、博弈�,吸收先進(jìn)技術(shù),網(wǎng)絡(luò)安全水平才會不斷提高�����。四是網(wǎng)絡(luò)安全是相對的而不是絕對的���。沒有絕對安全��,要立足基本國情保安全�,避免不計成本追求絕對安全��,那樣不僅會背上沉重負(fù)擔(dān)�,甚至可能顧此失彼。五是網(wǎng)絡(luò)安全是共同的而不是孤立的。網(wǎng)絡(luò)安全為人民���,網(wǎng)絡(luò)安全靠人民�,維護(hù)網(wǎng)絡(luò)安全是全社會共同責(zé)任�,需要政府、企業(yè)�����、社會組織�、廣大網(wǎng)民共同參與,共筑網(wǎng)絡(luò)安全防線�。這幾個特點,各有關(guān)方面要好好把握�。
第二,加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系��。金融��、能源�����、電力�、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重�,也是可能遭到重點攻擊的目標(biāo)�。“物理隔離”防線可被跨網(wǎng)入侵�����,電力調(diào)配指令可被惡意篡改�����,金融交易信息可被竊取��,這些都是重大風(fēng)險隱患�。不出問題則已,一出就可能導(dǎo)致交通中斷�、金融紊亂、電力癱瘓等問題��,具有很大的破壞性和殺傷力�。我們必須深入研究,采取有效措施���,切實做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)��。
第三���,全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢���。知己知彼,才能百戰(zhàn)不殆�����。沒有意識到風(fēng)險是最大的風(fēng)險�����。網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性���,一個技術(shù)漏洞�����、安全風(fēng)險可能隱藏幾年都發(fā)現(xiàn)不了�,結(jié)果是“誰進(jìn)來了不知道�、是敵是友不知道、干了什么不知道”�,長期“潛伏”在里面���,一旦有事就發(fā)作了。
維護(hù)網(wǎng)絡(luò)安全�����,首先要知道風(fēng)險在哪里�,是什么樣的風(fēng)險��,什么時候發(fā)生風(fēng)險���,正所謂“聰者聽于無聲�,明者見于未形”��。感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作��。要全面加強(qiáng)網(wǎng)絡(luò)安全檢查��,摸清家底���,認(rèn)清風(fēng)險���,找出漏洞���,通報結(jié)果,督促整改���。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險報告機(jī)制��、情報共享機(jī)制��、研判處置機(jī)制�����,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律�、動向��、趨勢��。要建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制��,把企業(yè)掌握的大量網(wǎng)絡(luò)安全信息用起來�����,龍頭企業(yè)要帶頭參加這個機(jī)制�����。
有專家反映,在數(shù)據(jù)開放�、信息共享方面存在著部門利益、行業(yè)利益��、本位思想���。這方面,要加強(qiáng)論證���,該統(tǒng)的可以統(tǒng)起來�,發(fā)揮1+1大于2的效應(yīng)��,以綜合運用各方面掌握的數(shù)據(jù)資源�����,加強(qiáng)大數(shù)據(jù)挖掘分析�����,更好感知網(wǎng)絡(luò)安全態(tài)勢��,做好風(fēng)險防范。這項工作做好了��,對國家��、對社會���、對企業(yè)�、對民眾都是有好處的��。
第四��,增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力���。網(wǎng)絡(luò)安全的本質(zhì)在對抗���,對抗的本質(zhì)在攻防兩端能力較量。要落實網(wǎng)絡(luò)安全責(zé)任制�����,制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,明確保護(hù)對象���、保護(hù)層級�����、保護(hù)措施��。哪些方面要重兵把守���、嚴(yán)防死守,哪些方面由地方政府保障�、適度防范,哪些方面由市場力量防護(hù)�,都要有本清清楚楚的賬���。人家用的是飛機(jī)大炮�����,我們這里還用大刀長矛���,那是不行的,攻防力量要對等��。要以技術(shù)對技術(shù),以技術(shù)管技術(shù)�,做到魔高一尺、道高一丈��。
目前���,大國網(wǎng)絡(luò)安全博弈�����,不單是技術(shù)博弈�,還是理念博弈���、話語權(quán)博弈�。我們提出了全球互聯(lián)網(wǎng)發(fā)展治理的“四項原則”“五點主張”�,特別是我們倡導(dǎo)尊重網(wǎng)絡(luò)、構(gòu)建網(wǎng)絡(luò)空間命運共同體�����,贏得了世界絕大多數(shù)國家贊同�。
人才是第一資源。古往今來,人才都是富國之本��、興邦大計���。我說過���,要把我們的事業(yè)發(fā)展好,就要聚天下英才而用之�����。要干一番大事業(yè)�,就要有這種眼界、這種魄力�、這種氣度。
“得人者興��,失人者崩���。”網(wǎng)絡(luò)空間的競爭��,歸根結(jié)底是人才競爭��。建設(shè)網(wǎng)絡(luò)強(qiáng)國,沒有一支優(yōu)秀的人才隊伍�,沒有人才創(chuàng)造力迸發(fā)、活力涌流��,是難以成功的��。念好了人才經(jīng)���,才能事半功倍���。對我國來說,改革開放初期�����,資本比較稀缺�����,所以我們出臺了很多鼓勵引進(jìn)資本的政策���,比如“兩免三減半”?,F(xiàn)在���,資本已經(jīng)不那么稀缺了��,但人才特別是高端人才依然稀缺�����。我們的腦子要轉(zhuǎn)過彎來��,既要重視資本�,更要重視人才,引進(jìn)人才力度要進(jìn)一步加大���,人才體制機(jī)制改革步子要進(jìn)一步邁開��。網(wǎng)信領(lǐng)域可以先行先試�����,抓緊調(diào)研��,制定吸引人才��、培養(yǎng)人才���、留住人才的辦法。
互聯(lián)網(wǎng)是技術(shù)密集型產(chǎn)業(yè)���,也是技術(shù)更新最快的領(lǐng)域之一��。我國網(wǎng)信事業(yè)發(fā)展�����,必須充分調(diào)動企業(yè)家�����、專家學(xué)者���、科技人員積極性、主動性�、創(chuàng)造性。我早年在正定縣工作時�,為了向全國一流專家學(xué)者借智,專門聘請華羅庚等專家學(xué)者給我們縣當(dāng)顧問�,有的親自到正定指導(dǎo)工作。企業(yè)家���、專家學(xué)者�、科技人員要有國家擔(dān)當(dāng)、社會責(zé)任�����,為促進(jìn)國家網(wǎng)信事業(yè)發(fā)展多貢獻(xiàn)自己的智慧和力量��。各級黨委和政府要從心底里尊重知識���、尊重人才��,為人才發(fā)揮聰明才智創(chuàng)造良好條件���,營造寬松環(huán)境,提供廣闊平臺���。
互聯(lián)網(wǎng)主要是年輕人的事業(yè)�����,要不拘一格降人才��。要解放思想���,慧眼識才���,愛才惜才���。培養(yǎng)網(wǎng)信人才���,要下大功夫、下大本錢��,請優(yōu)秀的老師�,編優(yōu)秀的教材,招優(yōu)秀的學(xué)生�,建一流的網(wǎng)絡(luò)空間安全學(xué)院?�;ヂ?lián)網(wǎng)領(lǐng)域的人才�����,不少是怪才��、奇才�����,他們往往不走一般套路,有很多奇思妙想�����。對待特殊人才要有特殊政策�,不要求全責(zé)備,不要論資排輩�,不要都用一把尺子衡量。
第5篇
結(jié)合當(dāng)前工作需要���,的會員“我的老千生涯3”為你整理了這篇經(jīng)信局關(guān)于農(nóng)村信息化建設(shè)工作總結(jié)范文��,希望能給你的學(xué)習(xí)��、工作帶來參考借鑒作用���。
【正文】
一、基本情況
根據(jù)全市推進(jìn)十大扶貧重點工程的總體要求�����,市經(jīng)信局積極推進(jìn)農(nóng)村信息化建設(shè)扶貧工程建設(shè)�,以農(nóng)村寬帶網(wǎng)絡(luò)建設(shè)和信息化普及為重點,充分發(fā)揮牽頭協(xié)調(diào)作用�����,聯(lián)系和配合市有關(guān)部門,協(xié)調(diào)市內(nèi)通信運營商�����,扎實推進(jìn)信息基礎(chǔ)設(shè)施建設(shè)��,加強(qiáng)貧困地區(qū)通信網(wǎng)絡(luò)服務(wù)能力��,全市農(nóng)村信息網(wǎng)絡(luò)得到快速健康發(fā)展�����。2016年以來��,各電信企業(yè)總投入20億元用于農(nóng)村偏遠(yuǎn)地區(qū)信息基礎(chǔ)設(shè)施建設(shè)�����,六安鐵塔累計在農(nóng)村地區(qū)新建基站411個�����,共享改造基站3555個�����,原定十三五末實現(xiàn)的建檔立卡貧困村(442個)光纖通達(dá)率100%的目標(biāo)任務(wù)��,已于2017年底提前完成�����,目前全市所有行政村(1814個)已達(dá)到光纖到村100%和無線網(wǎng)絡(luò)覆蓋100%���,為農(nóng)村現(xiàn)代化發(fā)展和脫貧攻堅提供了堅實的基礎(chǔ)保障�。
?
六安市農(nóng)村地區(qū)信息化建設(shè)情況表
?
建設(shè)類別
2016年
2020年
新建基站
204個
411個
改造基站
628個
3555個
光纖到村
5個行政村未達(dá)
2017年已100%覆蓋
寬帶平均速率
12MB
125MB
寬帶平均費用
101.96元/月
71.50元/月
?
?
二�����、工作開展情況
(一)實施網(wǎng)絡(luò)延伸工程���,推動農(nóng)村寬帶網(wǎng)絡(luò)深度覆蓋�。成立了由市經(jīng)信局牽頭�,基礎(chǔ)電信企業(yè)、六安鐵塔為成員單位的農(nóng)村信息化建設(shè)扶貧領(lǐng)導(dǎo)組�����,局主要領(lǐng)導(dǎo)任組長,各電信企業(yè)主要負(fù)責(zé)人任副組長���,辦公室設(shè)在市經(jīng)信局電子和信息化科���,明確工作職責(zé),強(qiáng)化工作舉措�����,出臺《六安市農(nóng)村信息化建設(shè)扶貧工程實施方案(2017-2020)》《關(guān)于印發(fā)2020年農(nóng)村信息化扶貧工作計劃的通知》�,把“提升農(nóng)村及偏遠(yuǎn)地區(qū)信息通信水平”作為加快我市信息基礎(chǔ)設(shè)施建設(shè)的重點��,組織電信企業(yè)持續(xù)推進(jìn)電信普遍服務(wù)試點項目�����,開展農(nóng)村網(wǎng)絡(luò)弱覆蓋區(qū)域基站新建及改造工作�����,2020年電信企業(yè)共謀劃了182個項目�,深入推進(jìn)網(wǎng)絡(luò)覆蓋向自然村延伸,提升電信普遍服務(wù)的深度和廣度,目前已全部完成建設(shè)任務(wù)��。
(二)實施信息惠民工程�,為廣大農(nóng)民提供用得上、用得好的網(wǎng)絡(luò)���。組織電信企業(yè)持續(xù)推廣“信息入戶”�����、“電信電視村”��、“網(wǎng)絡(luò)電視”等信息化應(yīng)用�����,采用政府�����、通信企業(yè)費用共擔(dān)的模式�����,推出為建檔扶貧戶提供免費的電信手機(jī)�、寬帶、電視業(yè)務(wù)等服務(wù)�,每年為貧困戶減免通信費用近2000萬元;鼓勵電信企業(yè)大力推進(jìn)農(nóng)村電商宣傳���,建立了貧困地區(qū)特色農(nóng)產(chǎn)品��、鄉(xiāng)村旅游等領(lǐng)域的網(wǎng)絡(luò)化運營新模式���,大大拓寬了黃大茶、黃芽茶等農(nóng)產(chǎn)品的網(wǎng)上銷售渠道�����,讓我市農(nóng)村特色產(chǎn)品走向全國��、全世界��,為農(nóng)民增收創(chuàng)收提供了有力支撐�。
(三)實施網(wǎng)絡(luò)維護(hù)工程�����,確保農(nóng)村網(wǎng)絡(luò)平穩(wěn)運行���。圍繞基站隱患處理�、日常發(fā)電維護(hù)、基站改造升級等方面��,要求電信企業(yè)建立農(nóng)村網(wǎng)絡(luò)使用和維護(hù)投訴受理工作機(jī)制�����,暢通面向農(nóng)村用戶投訴渠道�,建立問題清單管理機(jī)制,妥善化解用戶爭議糾紛��。加強(qiáng)對運維及代維人員的培訓(xùn)管理���,不斷提升農(nóng)村故障處理能力�����。目前�,農(nóng)村網(wǎng)絡(luò)故障平均修復(fù)時長已從2019年的8.6小時下降至3.4小時�。
(四)建立應(yīng)急預(yù)警機(jī)制,提升農(nóng)村網(wǎng)絡(luò)保障能力��。組織電信企業(yè)密切關(guān)注各類自然災(zāi)害對農(nóng)村通信設(shè)施的影響���,對災(zāi)害多發(fā)地區(qū)��,采取多重節(jié)點���、多重路由���、備用配置等有效措施,強(qiáng)化農(nóng)村地區(qū)網(wǎng)絡(luò)安全保障���。在今年的疫情防控和抗洪救災(zāi)期間�����,組織各電信企業(yè)積極做好應(yīng)急通信保障�,實現(xiàn)重點區(qū)域�、重要場所、關(guān)鍵線路通信100%暢通��。
三���、存在問題
目前,我市所有行政村均實現(xiàn)光纖和4G網(wǎng)絡(luò)覆蓋�,但在農(nóng)村地區(qū)�,特別是偏遠(yuǎn)山區(qū)���,網(wǎng)絡(luò)發(fā)展中仍存在一些困難和問題:一是寬帶網(wǎng)絡(luò)在部分邊遠(yuǎn)的山區(qū)�����、老山背洼仍有盲區(qū)��。二是農(nóng)村網(wǎng)絡(luò)使用率相對不足�����,平均光網(wǎng)端口使用率48%左右�����,仍有較大提升空間���。
四、下步打算
(一)加大投資力度�����。鼓勵電信企業(yè)加大對貧困地區(qū)電信基礎(chǔ)設(shè)施建設(shè)的投資力度�,重點向偏遠(yuǎn)貧困地區(qū)特別是深度貧困地區(qū)延伸�,逐步提高偏遠(yuǎn)自然村的網(wǎng)絡(luò)覆蓋率�。加大農(nóng)村網(wǎng)絡(luò)日常維護(hù)投入,提升通信網(wǎng)絡(luò)運行質(zhì)量水平��,確保農(nóng)村弱覆蓋區(qū)域網(wǎng)絡(luò)運行安全穩(wěn)定�。
(二)強(qiáng)化項目調(diào)度。持續(xù)開展電信普遍服務(wù)項目和“信息進(jìn)村入戶”工程�,梳理全市在建農(nóng)村信息化項目,制定項目開展情況表��,定期召開項目調(diào)度會��,督促電信企業(yè)加快重點項目建設(shè)進(jìn)度�,緊盯建設(shè)難點、堵點��,建立問題臺賬��,定期盤點銷號�,全力推動農(nóng)村地區(qū)特別是偏遠(yuǎn)自然村通信網(wǎng)絡(luò)深度覆蓋。
第6篇
關(guān)鍵詞:電子銀行�;安全;監(jiān)管��;法律
1��、我國電子銀行發(fā)展的現(xiàn)狀
1.1 我國電子銀行使用的現(xiàn)狀
電子銀行即通過電子信息渠道��,提供金融產(chǎn)品的�,與傳統(tǒng)銀行相對應(yīng)的新型銀行組織形態(tài),它反映了銀行業(yè)在采用信息網(wǎng)絡(luò)技術(shù)進(jìn)行金融創(chuàng)新而導(dǎo)致銀行業(yè)在經(jīng)營方式�、組織形態(tài)等方面的制度變遷。我國的電子銀行業(yè)務(wù)產(chǎn)生于上世紀(jì)末期的90年代�,其主要標(biāo)志為招商銀行和中國銀行分別于1996年和1998年率先推出了電子銀行網(wǎng)上支付業(yè)務(wù)。2007年中國工商銀行成為國內(nèi)首家電子銀行交易額突破100萬億元大關(guān)的銀行�����,2010年更是進(jìn)一步提升到400萬億元�����。截至2010年底��,全國個人網(wǎng)銀客戶已達(dá)2.48億戶��,比年初大幅增加了52.81%���。2010年中國網(wǎng)上銀行市場交易總額達(dá)800.88萬億�。截至2011年第3季度末,中國網(wǎng)上銀行注冊用戶數(shù)達(dá)到2.89億��。
1.2 電子銀行的優(yōu)勢
1.2.1 降低了業(yè)務(wù)經(jīng)營成本
電子銀行與傳統(tǒng)銀行相比�����,最大的優(yōu)勢就在于節(jié)約了成本�。電子銀行的成本優(yōu)勢十分明顯,不僅每筆交易僅為柜面交易的十分之一��,還大大節(jié)約客戶的交通費用和時間成本��。有調(diào)查顯示�����,某某銀行前3個月共完成各類交易1.5億多筆���,哪怕每兩筆需用一張紙�����,全年行里光節(jié)省的大小紙張就有5000多萬張�。正因電子銀行利國利民�,今年,隨著3G手機(jī)的廣泛應(yīng)用,行里將把“手機(jī)銀行”作為推廣重點�,加快使銀行從實體銀行向“低碳銀行”轉(zhuǎn)變。
1.2.2 突破了地域限制
由于電子銀行的虛擬運作方式�����,電子銀行的服務(wù)范圍已經(jīng)突破了地域的限制��。比如手機(jī)銀行突破了傳統(tǒng)銀行服務(wù)時間�����、空間上的限制�����,用戶可以在任何時間���、任何地點處理各項業(yè)務(wù)。企業(yè)版手機(jī)銀行就徹底讓企業(yè)財務(wù)人員“解放”出來了�,不僅可以實時查詢企業(yè)賬戶收付款情況,查看交易明細(xì)信息�����,而且可以對企業(yè)財務(wù)人員提交的貿(mào)易買賣的付款信息進(jìn)行授權(quán)確認(rèn)。
1.2.3加快了業(yè)務(wù)創(chuàng)新
電子銀行改變了傳統(tǒng)銀行的業(yè)務(wù)流程�,資金的劃撥周轉(zhuǎn)在一瞬間即可完成,而電子銀行良好的業(yè)務(wù)擴(kuò)展性�����,使得銀行加快了業(yè)務(wù)創(chuàng)新�。我們知道,中小企業(yè)主由于經(jīng)常出差在外�����,很多時候待支付的貨款一直掛在網(wǎng)銀上沒法進(jìn)行授權(quán)付款�����,耽誤了發(fā)貨期�,只能干著急。比如深圳發(fā)展銀行針對企業(yè)移動金融服務(wù)的訴求�,把賬務(wù)查詢、移動授權(quán)等功能帶入了企業(yè)手機(jī)銀行�。手機(jī)銀行作為一種嶄新的銀行服務(wù)渠道,與傳統(tǒng)網(wǎng)銀相比�,它的移動通信“隨時隨地、貼身�、快捷���、方便、 時尚”的優(yōu)勢特效就凸顯出來了�。
2、電子銀行發(fā)展中存在的風(fēng)險
隨著電子銀行的迅速發(fā)展�����,其安全問題也引起了社會廣泛關(guān)注���。不法分子制作克隆卡、通過網(wǎng)銀盜取客戶資金等金融犯罪花樣不斷翻新��,導(dǎo)致一些客戶對電子銀行業(yè)務(wù)望而生畏��。
2.1 技術(shù)風(fēng)險
一般來說���,電子銀行的技術(shù)風(fēng)險在理論上是不存在的�,UKEY里有個CPU�����,所有數(shù)據(jù)是128位加密的�����,每毫秒都在變化,破解的幾率比買彩票中500萬的幾率還要低很多�。銀行信息技術(shù)風(fēng)險比較常見的表現(xiàn)形式有系統(tǒng)響應(yīng)時間過長,系統(tǒng)宕機(jī)��,服務(wù)中斷;客戶信息泄露��,客戶賬戶資料或者客戶身份被冒用;銀行電子渠道遭受攻擊���,比如黑客入侵��、拒絕服務(wù)攻擊;病毒入侵;數(shù)據(jù)記錄不完整或不正確�����,自然災(zāi)害帶來的設(shè)備�、數(shù)據(jù)的毀損�、服務(wù)中斷等等。近年來�����,我國各大銀行紛紛從原有的數(shù)據(jù)分布式處理模式�,逐漸轉(zhuǎn) 向了數(shù)據(jù)大集中處理模式�����。數(shù)據(jù)集中為銀行的改革與金融創(chuàng)新提供了重要的技術(shù)手段和條件�,為各金融機(jī)構(gòu)帶來巨大的收益�,但同時也帶來銀行技術(shù)風(fēng)險高度集中的 新問題。近幾年��,隨著銀行業(yè)數(shù)據(jù)大集中的不斷推進(jìn)��,國內(nèi)各銀行的信息技術(shù)服務(wù)大范圍中斷的案例時有發(fā)生�。去年,就發(fā)生了數(shù)起信息科技風(fēng)險事件���,個別金融機(jī) 構(gòu)或服務(wù)提供商由于信息系統(tǒng)故障而導(dǎo)致全國大面積、較長時間業(yè)務(wù)中斷�����,造成了一定程度的社會影響��,引起各方面的高度關(guān)注���,其教訓(xùn)必須引起國內(nèi)金融機(jī)構(gòu)的高 度重視�。分析其中原因,數(shù)據(jù)大集中后災(zāi)難備份中心滯后��、監(jiān)控滯后�����、應(yīng)急體系建設(shè)滯后和對集約化數(shù)據(jù)中心安全生產(chǎn)管理不足是造成銀行業(yè)信息技術(shù)服務(wù)中斷的主要原因�����。
2.2 管理風(fēng)險
我們知道���,根據(jù)巴塞爾協(xié)議對電子銀行的定義���,當(dāng)銀行介入電子銀行領(lǐng)域開展服務(wù)時,并不會產(chǎn)生新的風(fēng)險的類型�。但是給銀行經(jīng)營風(fēng)險帶來一些新的要求,比如說技術(shù)風(fēng)險和 外包風(fēng)險���,這都是電子銀行風(fēng)險管理中的一些特點���。各個國家對電子銀行風(fēng)險監(jiān)管的手段不一樣。英國金融服務(wù)局認(rèn)為電子銀行只是銀行拓展業(yè)務(wù)的一種渠道�����,故對 電子銀行持“技術(shù)中性”的態(tài)度,不因電子銀行這種新型服務(wù)渠道的產(chǎn)生而改變基本的銀行監(jiān)管�����,也沒有專門針對電子銀行制定規(guī)章�,對電子銀行的監(jiān)管主要是維護(hù) 金融市場的有序競爭,保護(hù)消費者權(quán)益���,同時防止阻礙金融的創(chuàng)新��。
2.3 操作風(fēng)險
前不久�,一名從事小額股票交易的交易員使得瑞士聯(lián)合銀行虧損23億美元�����。令人震驚的是���,他的違規(guī)交易已經(jīng)進(jìn)行了3年之久,瑞銀竟毫無察覺�����。在業(yè)務(wù)調(diào)整以及風(fēng)險中心調(diào)整的過程中,由于商業(yè)銀行缺乏監(jiān)控市場風(fēng)險和操作風(fēng)險的經(jīng)驗��,“魔鬼交易員”違規(guī)交易造成嚴(yán)重?fù)p失的事件時有發(fā)生��。 1992年���,巴林銀行一交易員的違規(guī)操作給這家老牌銀行造成14億美元損失���,并最終導(dǎo)致其破產(chǎn)。2007年�����,法興銀行一交易員因從事未經(jīng)授權(quán)的投機(jī)交易�����, 最終導(dǎo)致71億美元損失�����,創(chuàng)下了截至目前違規(guī)交易損失的世界紀(jì)錄��。出現(xiàn)魔鬼交易員,并不是銀行體系共有的現(xiàn)象���,更多的還是銀行內(nèi)部風(fēng)險管理體系的缺陷所致��。國際銀行監(jiān)管當(dāng)局對商業(yè)銀行市場風(fēng)險及操作風(fēng)險的監(jiān)控要求已大幅度提高��,但對監(jiān)管者和銀行業(yè)來說�,相關(guān)風(fēng)險并未消失�,未來仍有很多工作要做。
2.4 市場風(fēng)險
隨著互聯(lián)網(wǎng)金融服務(wù)的發(fā)展��,遭到黑客和病毒的攻擊���,帶來極大的安全 風(fēng)險��。金融業(yè)務(wù)與服務(wù)創(chuàng)新一直是近年我國銀行業(yè)研究的主題��,而借助網(wǎng)上銀行�����、電話銀行、自助銀行�����、手機(jī)銀行等多種渠道實現(xiàn)銀行業(yè)務(wù)與服務(wù)創(chuàng)新,也一直是我 國各商業(yè)銀行業(yè)務(wù)與創(chuàng)新的主要手段�。目前,各商業(yè)銀行正在依靠信息技術(shù)為客戶提供全天候服務(wù)�,向客戶提供信息檢索、網(wǎng)上支付��、轉(zhuǎn)賬���、貸款��、代繳各種費用�����、 債券買賣�����、個人理財?shù)纫粩堊咏鹑诜?wù)�����。但隨著金融網(wǎng)上業(yè)務(wù)的拓展���,諸如信用卡號失竊�����、電子欺騙等金融犯罪活動逐年增加��,來自互聯(lián)網(wǎng)的各類攻擊�����、病毒及黑客 入侵對金融信息系統(tǒng)的安全帶來巨大威脅�����。我國電腦用戶的網(wǎng)上商業(yè)行為越來越多�,很多黑客的行為從純粹的攻擊興趣轉(zhuǎn)為非法牟利��,通過網(wǎng)上攻擊獲取用戶密碼竊 取賬戶錢財?shù)氖虑闀r有發(fā)生�。
2.5 法律風(fēng)險
當(dāng)前網(wǎng)上銀行在有關(guān)服務(wù)承擔(dān)者的資格、交易規(guī)則�、交易合同的有效成立與否、交易雙方當(dāng)事人權(quán)責(zé)明晰及消費者權(quán)益保護(hù)等方面��,與傳統(tǒng)銀行相比更加復(fù)雜�、難以界定���。不過銀監(jiān)會在這幾年也了一些法規(guī)�����,最早是人大發(fā)的電子簽證法�����,是開展電子銀行業(yè)務(wù)的一個基本法律�,此后頒布了了電子銀行的安全管理辦法、電子銀行安全 評估指引��、電子銀行安全評估機(jī)構(gòu)業(yè)務(wù)資格認(rèn)定工作規(guī)程�,以及關(guān)于做好網(wǎng)上銀行風(fēng)險服務(wù)的管理通知等,在不同的階段做了不同的管理法規(guī)��。
3��、當(dāng)前國內(nèi)外電子銀行的監(jiān)管現(xiàn)狀
目前國內(nèi)外銀行體系已經(jīng)開展了面向用戶的電子銀行業(yè)務(wù)�����。與此同時�,隨著直接面向用戶的電子銀行系統(tǒng)技術(shù)的推出�����,電子銀行通道也隨著時代的進(jìn)步和信息技術(shù)的發(fā)展而被拓寬了�,出現(xiàn)了以下發(fā)展趨勢:在功能上��,由封閉型轉(zhuǎn)向社會開放型�,從獨立的行業(yè)性向多家的社會性轉(zhuǎn)換,由一家銀行向多家銀行發(fā)展�,由單一的帳款服務(wù)系統(tǒng)向綜合服務(wù)發(fā)。從技術(shù)上�����,系統(tǒng)結(jié)構(gòu)由集中型處理向客戶機(jī)/服務(wù)器的分布式處理轉(zhuǎn)化���,開發(fā)手段由采用高級語言逐步發(fā)展到采用第四代語言���,數(shù)據(jù)組織由傳統(tǒng)的文件系統(tǒng)向數(shù)據(jù)庫發(fā)展,組網(wǎng)方式由專用的網(wǎng)絡(luò)向公用數(shù)據(jù)網(wǎng)和局域網(wǎng)相結(jié)合的方式過渡�����。
4�、我國電子銀行監(jiān)管可持續(xù)發(fā)展的對策
4.1 建立健全法律制度
網(wǎng)上銀行的準(zhǔn)入要在注冊制度��、安全工作���、地域界定方面從嚴(yán),而在準(zhǔn)入標(biāo)準(zhǔn)�、業(yè)務(wù)范圍等方面從寬�,建立一套區(qū)別于歐美已有網(wǎng)絡(luò)發(fā)展優(yōu)勢國家的準(zhǔn)入制度,加快 相關(guān)的法律法規(guī)建設(shè)��。網(wǎng)上銀行法的發(fā)展不是孤立的���,而是和一系列相關(guān)的法律規(guī)范相聯(lián)系的���,主要有稅收征管法、合同法�����、國際稅收法�、電子商務(wù)立法、刑法��、訴訟法�、票據(jù)法�、證券法��、商業(yè)銀行法�、消費者權(quán)益保護(hù)法、反不正當(dāng)競爭法等�����。
4.2 建立自律監(jiān)管組織
一方面�,要加強(qiáng)企業(yè)內(nèi)控制度建設(shè)。內(nèi)部控制是操作風(fēng)險管理的重要工具�,從已有案例來看,絕大多數(shù)操作風(fēng)險都是與內(nèi)控漏洞或者與不符合內(nèi)控程序有關(guān)�����。尤其是 魔鬼交易員�����,都有從事后臺工作的經(jīng)驗�����,這為其掩蓋違規(guī)操作事實提供了便利���。因此�����,設(shè)計合理的風(fēng)險管理程序很有必要�。崗位分離、雙線制約等基礎(chǔ)風(fēng)險管理流程 仍需進(jìn)一步強(qiáng)化��。同時�,要提高內(nèi)控部門的監(jiān)督作用���,加強(qiáng)對新業(yè)務(wù)和新金融工具的監(jiān)管�����,加強(qiáng)對表外業(yè)務(wù)的檢查�����,并對操作風(fēng)險隱患進(jìn)行及時整改�����,避免同一類操 作風(fēng)險蔓延或長時間得不到有效控制�����。另一方面�����,在觀念上扭轉(zhuǎn)和改變交易員的機(jī)會主義傾向��,也是從根源上杜絕違規(guī)交易的重要內(nèi)容���。
4.3 加大基礎(chǔ)安全投入
鑒于我國銀行網(wǎng)絡(luò)化水平和發(fā)達(dá)國家相比還有差距��,因此�����,要加大對銀行網(wǎng)絡(luò)化信息系統(tǒng)的基礎(chǔ)建設(shè)���,只有銀行的信息高速公路建好了,銀行的知識資源才能充分利用�,才能為適應(yīng)未來網(wǎng)上銀行的發(fā)展打下堅實基礎(chǔ),政府和商業(yè)銀行共同協(xié)調(diào)�����。同時其中銀行信息技術(shù)風(fēng)險管理和風(fēng)險防范是一個長期的過程,絕不可能一蹴 而就���。通過一個階段的風(fēng)險防范��,或者幾個技術(shù)方案�,決不可能解決未來所有的風(fēng)險��。隨著外部環(huán)境和銀行自身的變化��,新的風(fēng)險還會不斷滋生出來��。這就要求銀行 必須將信息技術(shù)風(fēng)險管理和防范當(dāng)作一個持久��、連續(xù)的工作來完成�。這樣才能有效地管理和防范信息技術(shù)風(fēng)險��,最終達(dá)到業(yè)務(wù)連續(xù)性的目標(biāo)��。
4.4 建立信息數(shù)據(jù)庫
網(wǎng)絡(luò)環(huán)境下收集信息非常重要�,網(wǎng)絡(luò)銀行在完整的信息基礎(chǔ)上才能提供差異化服務(wù),設(shè)計出個性化特色強(qiáng)的金融產(chǎn)品�。作為監(jiān)管當(dāng)局,為了更好地把握銀行網(wǎng)上業(yè)務(wù)開展動態(tài)情況,需要建立一個適應(yīng)經(jīng)濟(jì)金融發(fā)展變化�、標(biāo)準(zhǔn)統(tǒng)一、檢索方便的金融信息數(shù)據(jù)庫��。比如光大銀行十分重視電子銀行的安全性建設(shè)�,持續(xù)加大了在科技方面的投入和創(chuàng)新,自主研發(fā)的核心安全防范技術(shù)�、防火墻與路由器的安全策略控制、先進(jìn)加密手段和 安全認(rèn)證等國際先進(jìn)的安全技術(shù)廣泛應(yīng)用���,為客戶打造了一個科技�、穩(wěn)定的安全平臺�����。尤其是近年來推出的陽光令牌和“白名單”機(jī)制在前述安全措施外�����,為客戶資 金安全提供了多重安全保障�����,在安全性與易用性上取得完美的統(tǒng)一��。
總之,電子銀行的發(fā)展提高用戶網(wǎng)上系統(tǒng)操作的靈活性和安全性�����。拓展服務(wù)通道�����,擴(kuò)大用戶對象�����。在國外商務(wù)系統(tǒng)已經(jīng)發(fā)展成為一個產(chǎn)業(yè)�����,在國內(nèi)的應(yīng)用還比較狹窄��。通過對電子銀行監(jiān)管的研究能夠刺激和促進(jìn)國內(nèi)相關(guān)行業(yè)的發(fā)展���。
參考文獻(xiàn):
[1] 伍軍,齊亞莉.網(wǎng)絡(luò)銀行與傳統(tǒng)銀行的比較研究[J].北京工業(yè)大學(xué)學(xué)報��,2010�����,(6):22-24.
[2] 楊明輝.國際金融監(jiān)管體制的比較和我們的選擇[J].經(jīng)濟(jì)導(dǎo)刊,2005��,(6):110-112.
[3] 解淑青�����,裴濤.我國網(wǎng)上銀行監(jiān)管現(xiàn)狀及應(yīng)對策略[J].哈爾濱學(xué)院學(xué)報�����,2005��,(6):88-91.
[4] 劉海平.美國網(wǎng)上銀行業(yè)務(wù)風(fēng)險控制概要[J].國際金融研究���, 2010�����,(8):24-26.
[5] 劉新鋒.對電子銀行業(yè)務(wù)可持續(xù)發(fā)展的思考[J].金融理論與實踐���,2005,(12):52-57.
[6] 史曉龍.防火墻技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].公安大學(xué)學(xué)報(自然科學(xué)版)���,2006��,(3):56.
[7] 王盈英.網(wǎng)絡(luò)信息安全技術(shù)[J].教育信息化�����,2O09�����,(11):32.
[8] 黃賢英�����,龔箭.大型企業(yè)計算機(jī)網(wǎng)絡(luò)安全實施方案[J].計算機(jī)安全��,2OO8��,(2):69-71.
[9] 王預(yù).企業(yè)網(wǎng)絡(luò)信息安全存在的問題及對策[J].臺肥工業(yè)大學(xué)學(xué)報��,2010���,(26):788-791.
[10] Hong H S�����, Kim Y K��, Cha S D et al.A test sequence selection method for reactive systems using statecharts[J].Software Testing Verification and Reliability���,2010,10(4):203-227.
