艾默生推出的“新一代数据中心网络能源柔性整体解决方案”是一个典型的“一体化”网络能源解决方案,大大提高了整个IDC机房的可用性和安全性。
当越来越多的东西被放到一个“篮子”里,一旦这个“篮子”倾覆,巨大的损失将难以估量。
这个悬念就是“数据大集中”留给人们的副产品。经过几年的发展,我国的很多行业已经由“数据大集中”进入了“后数据大集中”时代。在这个过程中,企业的核心竞争力得到了巨大的提升,但集中的数据安全风险也在悄然降临。人们不禁开始思考,我们拿什么来保护数据中心这个“装满数据的篮子”?
“后数据大集中”时代到来
进入21世纪初期,银行、保险、邮政、税务等已基本完成了“数据大集中”或进入了最后的扫尾阶段,开始步入“后数据大集中”时代。这个时代的典型特点是:基础网络已经基本到位,基本的业务已经在基础网络上承载运行。与此同时,为了适应竞争的需要,企业还要对原有业务基础网络进行进一步的优化和改造,使之更加适应业务的发展和管理的优化。“后数据大集中”时代的信息化建设重点是“多业务整合”,即通过采用新的技术来整合分散的业务系统,再造业务流程,使之更加符合客户的个性化需求。
与此同时,数据中心机房的网络能源系统建设势必面临着一系列转变:从分散供电向集中供电转变;从非在线不间断供电向纯在线不间断供电转变;从关注供电保障向关注数据安全保障转变;从关注单个设备的高可靠性向关注整个系统的高可靠、高可用性转变。这样一来,建立一个“一体化”的网络能源系统已经成为大势所趋。
刚柔并济
艾默生推出的“新一代数据中心网络能源柔性整体解决方案”就是一个典型的“一体化”网络能源解决方案。这个方案实现了IDC机房各网络能源子系统之间的充分兼容和配合,具备了从系统组件到系统之间的有机在线冗余,消除了从组件到系统的单点故障,大大提高了整个IDC机房的可用性和安全性。
艾默生解决方案中的“柔性”是指,不管行业如何革新,客户需求如何改变,艾默生都能拿出最适合客户的解决方案与产品――不仅能够支持IDC机房系统的“向上扩容”,适应数据中心的快速发展,而且能够进行“重新配置”,适应数据中心不同发展阶段的不同需求。
“我们将产品设计成不同的模块化单元,并对这些模块化单元进行标准化操作,再依据客户的应用场合进行有针对性的客户化设计,这就是‘柔性’。我们的直流供电方案、交流供电方案、机房恒温恒湿方案、监控方案、室内和室外的供电方案都体现了‘柔性’的概念。”艾默生网络能源副总裁丁麒钢先生这样解析艾默生的“柔性”理念。
势在必行
对于企业IT专业人员,上至CIO下至一般员王来说,整合已经成为一种方法和策略的要求。现在大多数对于整合的反应主要集中在数据中心整合,但却忽略了整合所带来的更显著优势:网络安全。
整合网络安全同时带来显著的成本优势。据Gartner报告,2008年信息安全组织节省资金最主要的方式是将已有的安全功能融合到基于网络或主机的安全平台中去,这种安全平台可以在单一的产品上提供多层次安全来防御不断演变的多重网络与内容威胁。
网络安全整合可谓正逢其时,关注安全的IT专业人员发现自己处于三大趋势整合引发的完美风暴中心。首先,IT预算增长放缓,根据ComputerEconomics近期对IT决策者进行的一次调查显示,IT预算的平均预望增长率只有2.5%。
其次,在控制预算的管理人员中存在着一种令人遗憾的倾向:即满足于网络安全现状与合规问题。从某种意义上说,网络安全已经成为自身成功处理新的威胁与新的管理制度的牺牲品。几年没有关于网络攻击的重大新闻了,许多管理人员可能认为安全问题已经“解决”。
最后也许是最重要的一点,即现在网络安全问题日益复杂:出现了一些越来越复杂的威胁以及由新应用程序导致的漏洞。攻击的目的已不再专注于提升黑客知名度,而是转向获取金钱,有组织的犯罪开始利用网络安全的弱点进行攻击。
整合
通过UTM平台进行的网络安全整合为您在这次风暴中提供了一种全新的途径:相比难以整合的单点方案,UTM以更低的成本提供更有效的安全。而软件和硬件层面更紧密的整合则提供了更高的安全性。而这是通过提供更全面的威胁覆盖和更高的扩展性来实现的。
您目前所面临的威胁主要来自网络与内容层。网络威胁包括使用“僵尸”网络的分布式拒绝服务攻击,窃听和其它入侵以及一般的蠕虫。基于内容的威胁包括更加复杂的蠕虫、病毒、网络钓鱼、网域嫁接、间谍软件和垃圾邮件等。
攻击者不断提升的复杂性也增大了网络与内容层威胁混合攻击的频率。有目标的攻击会加快繁殖速度,更深入地渗透到有价值的资源。通过对策共享,利用UTM平台整合您的网络安全可以显著提高检测以及阻止标准攻击以及更为复杂的多重矢量攻击能力。
虚拟化对于开启更多的安全功能尤为重要,例如建立多重及分离的安全域的能力,以便隔离并区e对待不同信任等级的资源。
管理
现在没有切实可行的方法来统一和集中管理多厂商的安全解决方案,甚至某些厂商的解决方案通常是收集OEM解决方案进行组装的产物。这些解决方案很可能提供一种不完整的、局部整合的管理方法,其复杂性会减弱监督以及反击网络和内容层威胁的能力。
相比较而言,集中可以使你具备立即实现远程管理多台设备的能力。通过单一的控制界面就可以在全球所有网域建立或修改所有的设置。统一的日志和报告功能使合规审计工作更加方便。最后,你可以使用一套普通的管理程序来管理所有类e的装置。随着企业的成长,这对您随企业成长进一步扩展解决方案的能力来说至关重要。作为一个关注网络安全的IT专业人员,你会面临着大量不断演变的威胁和日益增长的合规需求。但是你不得不在管理这种动态“威胁”和企业的其它要求之间找到平衡点,这些要求包活成本、有限的数据中心空间、可管理性以及日益增长的环境问题等。
威胁
传统的防病毒研究人员与漏洞研究人员之间存在竞争。然而,随着攻击越来越复杂且形式更多样,他们需要一种综合方法来解决结合了这两种学科的威胁研究。
那些依靠OEM技术来充实他们产品的厂商依赖于他们的供应商提供的威胁研究。由于各种威胁的理解遍布于多个厂商,不管他们的专业知识多么丰富,这种交叉学科的知识共享量自然是有限的,这使得理解什么是多模威胁以及如何让各种解决方案最有效的协作来对抗他们变得更加困难。
相反,一个真正整合的UTM解决方案背后的威胁研究则是由一个受过高度专业培训且对各种威胁和对策都具有丰富经验的研究团队共同努力完成的,它由知识共享体系和为突出那些结合多种不同威胁的多模攻击方法而设计的流程,这样就可以更快更准确地监测新威胁并制定适当的对策。
成本
同其它IT领域一样,网络安全管理人员在日益面临同样的成本要求。改进服务的同时,也要降低包括运营成本和资本支出相关的总体拥有成本。
显然,购买更少的系统可以降低初期资本支出,事实上在许多企业。数据中心空间越来越有限,因此在机架上任何可能的缩减都对帮助避免设备扩张十分重要。或许整合网络安全平台最重要的总体拥有成本优势正是在扩展性方面。企业一般很少立即将UTM的各种功能全部开启。更可能的做法是,会开始整合几种安全功能,如防火墙,VPN和IPS,然后考虑在将来添加一些其它的功能。通过一个整合解决方案,而这些功能已经存在,通过简单的订购即可用最小的成本投入获得所有所需添加的新功能。
网络安全整合带来更大的运营成本优势。多厂商、亦或来自单厂商的多设备方案,会导致更大的管理负担。这迫使你的安全人员疲于应付,留给她们更少的时间采取积极主动的措施来支持业务增长。而通过一个整合的方法,不仅使您用于培训、维修、支持和威胁更新的成本更低,而且更加简单快捷,因为您只需处理来自一个厂商的一个管理界面和一套更新设备就可以了。
环保意识是消费者与厂商开展业务时越来越重视的问题。据IDC调查,超过50%的消费者把厂商是否注重环保作为选择供应商的一个考虑因素。这也被高级管理层所重视:几乎80%的管理人员越来越看中绿色IT。
关键词:档案管理;信息化;资源共享;网络安全
中图分类号:TP315
文献标识码:A
文章编号:1009-2374(2012)29-0154-02
随着信息技术的不断发展以及人们对信息需求的不断增加,实现档案信息资源的共享就显得尤为重要。然而,在实现档案信息资源共享过程中档案信息的生产、移交、归档、管理以及利用都必须依托于信息网络,因此遂昌电力局在实现档案信息资源共享时,不仅需要考虑档案资源管理的安全性问题,还需要考虑档案资源网络与信息系统的安全性问题。
1遂昌电力局档案信息资源共享中存在的安全问题
1.1网络系统本身的脆弱性导致的安全性问题
有信息专家提出,当前绝大部分的网络系统都至少存在三个以上的漏洞可以使得入侵者获得系统的最高权限。近年来,国家电网公司加快了档案数字化进程,建立了统一的档案管理应用平台,实现了档案信息资源共享。国家电网公司在档案管理系统在设计和实现的过程中,也较为充分地考虑到了信息的安全性问题。然而,随着技术的不断发展和进步,任何系统都会出现一些漏洞,需要去逐步发现问题,并逐一加以解决。因此,遂昌电力局的档案信息资源管理网络系统本身就必然会存在一些不足或者说存在漏洞。这也意味着,档案信息的安全会受到一定的威胁。
1.2内部人员的违规操作可能导致的安全性问题
若内部管理人员未按照《信息安全反违章》的要求对系统进行安全性设置或者将密码违规借给他人、泄露给他人使用,都会对遂昌电力局档案信息资源的安全性造成一定的影响。除此之外,内部人员将信息存取权提供给未经授权者或者未区分不同安全等级的信息资源,都会影响到系统的安全,从而有可能导致信息的泄露、篡改,甚至是丢失。
1.3外部人员的非法入侵可能导致的安全性问题
外部人员的非法入侵是网络系统脆弱性的一个重要因素。据相关统计,外部人员入侵网络系统的案例之中,有将近25%是来自于系统实施方,因此外部人员的非法入侵与网络系统本身的脆弱性之间是密不可分的。然而无论如何防范,外部人员的入侵总是存在的。例如安全防范最为严密的美国五角大楼,受到的外部人员非法入侵数量也是逐年
增加。
2遂昌电力局档案信息资源共享安全性提升的对策
2.1提高信息安全的管理意识
在遂昌电力局档案信息资源共享存在的几项安全问题之中,都与自身的信息安全管理意识有着非常密切的关系。若不重视档案信息资源管理的安全意识,再精良的硬件、软件设备,再完善的网络防护手段,也无法杜绝信息资源的安全性问题的出现。因此,遂昌电力局尤其是档案数字化管理相关部门,首先要提高信息安全防范意识,转变落后的信息安全管理理念,加强与科技信息、安全保密等部门的联系,认真执行省公司有关保密和档案信息化管理的各项规章制度,加强档案系统的权限管理,保证档案在保管、利用等环节的安全,并且实时开展档案数据备份的工作,保障档案数据信息的安全。
2.2加强档案信息资源共享的安全管理
信息安全管理是保障网络安全的核心。制定全面的网络安全管理制度和完善的网络安全体系,能有效地预防网络中出现的各种安全隐患。如果没有较好的管理制度,再多的实施方案都如形同虚设,得不到真正的应用。因此加强网络相关人员的培训,提高他们的素质,并且结合一个有效的管理制度,从素质上和制度上对网络安全进行双重保障。
档案信息资源共享系统建立完成之后,对于推动公司档案信息化建设工作的深入开展,保障公司系统各单位档案数字化工作的顺利进行起到了非常重要的作用。为了尽可能地提升遂昌电力局的档案信息资源共享安全管理能力,有必要设立一个专门的机构,统筹各个职能部门,建立起内部档案信息管理制度,将档案信息资源共享系统的安全性问题纳入到内部相关管理人员的绩效考核指标体系之中,使信息安全与内部管理人员的切身利益直接相关,从而提高其警惕性,加强对档案信息资源共享的安全管理。
此外,还需要制定有效的数据加密机制,数据加密可以保护数据的安全,保证数据、文件、口令等重要信息的真实性、完整性和可用性,能有效提高信息系统的安全性。完整的加密措施,可以有效防止黑客攻击,防止黑客利用系统中的漏洞获取账号、口令等重要信息,从而造成系统的破坏。常见的加密方式可分为链路加密方式、端点加密方式和节点加密方式三种,用户可结合本单位的实际情况选择合适加密方式。
2.3强化系统实施方管理,减少外部入侵
在档案信息资源的共享系统建设过程之中,为了减少安全患,要与实施方签署《浙江省电力公司信息系统外来工作安全保密协议》,严禁将涉及国家机密和企业机密的计算机、存储设备连接到信息内外网或其他公共信息网络,在进行数据交换时必须使用公司专配的安全移动介质,以保护数据信息的真实性、完整性和可用性。一旦发现来自于实施方的外部入侵行为要严格追查,严格按照双方约定的协议追究其侵权责任或者违约责任。
3结语
网络安全问题是当前网络环境下资源共享之中不可忽视的一个问题,文章研究了来自网络系统自身、内部人员以及外部入侵几个方面的安全性问题,并且提出了针对性的解决对策。希望文章的研究对于电力局档案信息资源共享更好地提升其安全防范能力能够有一定的参考和借鉴价值。
参考文献
[1]马金玉.电子档案与纸质档案在档案管理与利用中的区别[J].兰台内外,2007,(6).
[2]鄢淇.如何迎接电子档案的挑战[J].机电兵船档案,2007,(3).
[3]项文新.构建基于信息安全风险评估的档案信息安全保障体系必要性研究[J].档案学通讯,2008,(1).
[4]童云.关于电子档案风险防范与控制的思考[J].金陵科技学院学报(社会科学版),2008,(3).
立体安全防护考虑到了信息安全防范的多个层次以及各个方面,是一个完善的解决方案。
信息系统在提高工作效率、辅助决策、优化管理的同时,也带来了众多的信息安全风险,比如:黑客的入侵和犯罪、病毒木马的泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、DDoS攻击的巨大危害、内部人员的违规和违法操作、用户上网行为的管理和控制、移动存储介质带来的信息泄密、网络与主机系统、服务的脆弱和瘫痪,信息产品的管理和失控等等。这些风险时刻威胁着各项业务的正常运转。一旦风险失控,将可能带来无法估量的重大损失。
针对上述种种安全隐患,同时为了降低各种信息安全风险,保障业务的连续性,将损失尽可能降到最低点,基于信息安全的“保密性”、“可用性”和“完整性”原则,华为推出了融“慧”贯通的立体安全防护体系,为客户业务保驾护航,目前在各行各业的信息化领域得到了广泛的成功应用。
“融”:融合网络和内容安全
“融”是指融合网络安全和内容安全,包括Web安全、邮件安全、应用与通信过程的安全及安全管理平台。它是方案的全貌。
从入口方向,方案要做的是:抑制恶意代码通过Web应用传播,阻止病毒通过Web下载传播,对所有的请求进行数据安全性验证;抑制垃圾邮件传播、抑制病毒或恶意代码通过邮件传播,同时对邮件服务系统进行加固;阻止利用网站应用漏洞使用SQL注入或跨站攻击等方式获得系统或数据库管理员权限,保护网站Web应用安全;评估与防护系统漏洞、防止DDoS攻击。
在出口方向,方案要做的是:提供主动危害防护,对恶意内容过滤,控制内容访问;对邮件进行加密,避免信息泄漏,建立邮件审计机制,对用户恶意行为有追述能力,过滤邮件中的恶意内容;基于应用和操作识别,控制访问过程和数据传播过程。
俗话说:“三分技术,七分管理”。优秀的产品与技术需要优秀的管理平台支撑,否则只是一盘散沙,无法发挥应有的作用。在华为立体安全防护解决方案中,整个安全体系由统一的安全管理平台VSM管理,对网络中的路由器、交换机、防火墙、入侵检测系统、VPN、Secospace等网络及安全产品进行统一的集中管理与监控,保证各个产品的正常运行与协同工作,使安全管理真正落到实处,真正体现立体安全防护体系的威力,减少管理环节,提高管理效率,降低管理运维成本。
“慧”:构建主动安全架构
“慧”指的是主动安全架构。
安全是动态变化的,安全防护产品及技术体系必须时刻研究变化发展的安全趋势,适应新的安全形势。为此,华为提出了业界领先的主动安全架构(ProactiveSecurityFrame)模型,它是华为针对未来安全的发展趋势,运用华为立体安全防护的理念提出的主动安全解决方案的集合,该方案针对网络模型中各层威胁的特点,提供应用和内容的双向安全管理与防护。借助华为分布于全球的IP信誉评估系统,它能够提供及时主动的、实时的在线安全。
为了保证能及时了解变化发展的安全形势,华为专门成立了近200人的安全专家团队。这是国内最大的安全技术预研小组,专注于对网络安全基础及前沿技术进行深入分析研究,并进行协议分析、防病毒、反垃圾邮件、网络攻防技术的研究和相关知识库的积累。这些能力和积累是华为提供优质安全产品、解决方案和服务的最有力的支撑。
“贯”:建立纵深安全防御体系
“贯”是指建立纵深安全防御体系,实现“进不来”、“看不了”、“拿不走”、“打不开”、“跑不掉”的安全目标,保证信息资源的安全,保持业务的连续性。
在总部与分支机构、移动用户、合作伙伴等的数据传输上,通过IPSec/SSLVPN实现信息的加密安全传输,防止被黑客非法窃听;
在网络层,通过防火墙、UTM综合安全网关堵截网络威胁,通过连接控制、认证、授权技术对访问者进行认证授权,并为事后的追溯提供依据。
通过入侵检测系统对各类网络攻击、入侵行为进行检测响应,及时报警通知管理员采取适当的防护措施,同时可与防火墙、UTM设备进行联动,及时阻断入侵行为的继续进行,保证内部网络及业务的安全性。
Web网关具备防恶意软件能力,对Web应用程序进行控制,通过Web过滤、SSL流量检测、内容检查和防信息泄漏等技术,保证Web应用安全。
邮件安全网关提供反垃圾邮件、防病毒、内容检测、加密以及信侵检测等功能。
所有的安全功能,均由华为的安全知识库体系提供有力的技术支撑。
Secospace内网终端安全管理系统对内网及终端用户进行保护及控制,可以与已有的用户认证系统结合,非法用户将被阻止接入网络,合法用户认证通过后,需经过安全检查确认该终端的安全性之后方可授权访问权限内的资源;同时能够规范员工行为,管理和审计终端的各种行为举动,监测控制非法外联、非法存储介质的使用,防止机密资料的外泄,对安全状态进行连续监控,实现不间断防护。
Secospace文档安全管理系统可以为机密文档加强保护,保证文档的权限不会扩散,即使不慎丢失或者被黑客、间谍窃取也无法使用,防止泄密。
日志审计、流量分析解决方案可以为管理员了解网络及业务运行情况提供有力的数据支持,便于管理员提出信息化优化方案,进一步促进业务的发展;在安全事件发生后,可以为事后追踪取证提供依据,防止抵赖。
“通”:时刻保持网络的畅通
“通”是指保证网络出口不受DDoS攻击的影响,时刻保持网络的畅通,保证业务的可用性。
华为防DDoS攻击技术通过对攻击指纹信息的匹配与学习,采用线速的深度报文检测技术,可以有效抵御各种类型DDoS的攻击,阻断僵尸网络的传播与控制途径。
华为防DDoS方案提供10G接口以及20G的流量清洗能力。该方案不仅支持流量型攻击检测和清洗,同时还支持小流量应用层的攻击检测和清洗,如httpget及CC攻击;同时开放接口设计,可轻松地与统一网关平台进行对接,为客户提供安全灵活的组网部署方案。
监所作为关押犯罪嫌疑人和服刑人员的场所,由于其功能的特殊性,因而对安全防范系统有其特殊要求。根据《全国监狱信息化建设规划》要求,到“十一五”末,我国监狱要构建覆盖全国的网络互联互通、信息资源共享、标准规范统一、应用功能完备的信息化体系。而据相关信息统计,目前国内60%的监所尚未全面开展信息化工作,远远低于“十一五”规划设立的目标。“十二五”期间,全国各地监所系统将在“十一五”建设的基础上继续加大安防的建设,完善信息化体系,提高信息化水平。本文将围绕国家对监所安防信息化建设的要求,针对当前比较普遍存在的“信息孤岛”和“缺乏预警”等重点问题,提出一套“高清化”、“集成化”、“数字化”、“网络化”的智慧监所安防信息化综合管理解决方案。
关键词:监所、安防信息化
中图分类号:C931.6文献标识码:A
1监所安防信息化建设现状和存在的问题
所谓监所信息化,就是建设完善基础网络,实现信息传输网络化;建设完善基础信息资源库,实现信息处理数字化;建设完善安全防范系统,实现安全防范智能化;建设完善监管和执法管理系统,实现监所管理、执法规范化;建设完善标准规范,实现技术应用标准化。
监所信息化建设最主要的两个方面就是监所管理信息化和安全防范信息化。本文重点围绕监所安防信息化建设现状中所存在的主要问题提出解决方案。
从近年来看,虽然监所安防系统在智能化方面取得了一定的进展,但由于多方面的原因,仍存在急待改进的问题,主要表现为存在信息孤岛现象和缺乏预警机制。
1.1信息孤岛
首先,由于监狱本身的特殊性,监狱安防系统涉及的领域非常广泛,通常包括:视频监控、紧急报警、周界报警系统、高压电网系统、门禁管理系统、电子巡更系统、对讲系统等多个子系统。从近年来看,虽然监所安防系统在智能化方面取得了一定的进展,但由于多方面原因,上述各个子系统都是独立运行的,视频图像和其他安防资源基本没有共享,相互之间没有关联,形成了信息孤岛。这样当监所内出现紧急突发状况时,管理人员就不能利用系统间的联动做出快速、有效的应急处置措施,更发挥不出预警和防范的作用。信息孤岛的存在,一方面造成人力、物力的浪费,另一方面造成了管理效率的低下。
1.2缺乏预警机制
目前,国内监所的视频监控系统虽然已经在从模拟系统向数字化系统升级,但仍普遍采用通过电视墙监视前端监控画面,采用硬盘录像机(DVR或NVR等)进行录像和回放等的监控管理模式。
此种模式是将“人”作为监控者自身,因而存在监控工作量大、效率低、反应速度慢等问题,而且这种传统、被动的视频监控管理模式,在大多数时候只能用于事后取证,无法起到有效的预警和防范的作用。
2智慧监所安防信息化综合管理解决方案
为了解决上述问题,同时满足监所安防信息化更高的要求,笔者提出如下智慧监所安防信息化综合管理解决方案的构建思路:
首先,笔者认为要解决信息孤岛问题,必须构建一个监所综合安防集成管理平台,将监所内的各安防系统有机地结合在一起,以达到即可实现单系统实施功能的运行,也能实现多系统整合集成与联动的目的。
安防多系统整合集成与统一管理已成为新一代监所安防的共识,其核心就是通过多个安防系统的集成,实现两个方面的目的:一方面实现多个安防系统的全面整合与统一管理,简化管理流程,提升管理效率;另一方面通过视频监控与各安防子系统的联动整合,提升整体的综合防范能力。
而针对缺乏预警机制,笔者认为,应适当增加智能视频监控技术的应用,如智能视频分析、应急指挥预案、专家决策分析等。智能视频分析主要是指:“自动地提取视频源中的关键信息进行智能化分析,并通过设置一定的条件和规则对其进行判断。”智能视频监控技术实现了监控方式由被动到主动的转变,能够实现全天候不间断地对视频进行检测,自动发现监控画面中的异常情况,从而能够更加有效的协助安全人员处理危机,并最大限度地降低误报和漏报现象,能够满足监所安防系统更高的要求。
因此,智慧监所安防信息化综合管理解决方案应由综合管理平台、综合管理客户端以及视频监控系统、紧急报警系统、周界报警系统、高压电网报警系统、门禁管理系统、电子巡更系统、在押人员报告系统、会见管理系统、电化教育系统、提审呼叫系统、违禁物品检测系统、武警执勤管理系统、智能视频分析系统等组成。综合管理平台是系统的核心,负责所有安防子系统的统一接入与集中管理,并实现视频监控与其他安防业务的整合联动。综合管理客户端为用户提供统一的登录、操作以及管理界面。
解决方案以监控图像资源为核心,实现了多系统资源的整合与集成,并通过上层综合管理系统的统一协调,实现各子系统间的资源共享与信息互通,从而达到管理便捷性、数据直观性、系统智能安全性等目的。
2.1综合管理解决方案的总体架构
在前述构想的基础上,笔者提出的智慧监所安防信息化综合管理解决方案总体架构如下:
由上图可以看出:智慧监所安防信息化综合管理解决方案由一个核心平台,和13个安防子系统等组成,并且具有三级架构。
监所综合安防管理平台是智慧监所安防信息化综合管理解决方案的核心,该平台通过整合视频监控、紧急报警、周界报警系统、高压电网系统、门禁管理系统、电子巡更系统、对讲系统等安防子系统,实现各系统间相互关联、报警联动、统一管理、统一界面,提高了监所管理部门对整个监所各安防系统的利用效率和应急处理能力。整个管理平台设计上主要包括各安防系统的接入设计要求、功能设计要求,以及基于综合安防管理平台基础上的全省(市)联网设计要求。
综合安防管理平台提供统一的登录、管理以及业务浏览界面,实现了多级平台级联,多系统统一管理。用户仅需通过综合安防管理客户端登录集成管理平台即可统一管理和集中查看已整合的所有安防资源,从而大大提升管理集中性、便捷性以及管理效率。
对于统一规划监所安防系统建设的省(市),基本都会要求全省(市)监所联网,即在省(市)级部署一套完整的安防监控管理平台、实现对下属监所图像调度、录像回放、报警处理等。因此,综合安防管理平台具有三层架构:省(市)级监控及安防联动、区域级监控及安防联动、监所级监控及安防联动。
智慧监所安防信息化综合管理解决方案具有两个支撑基础,即统一的信息数据库和高速的通信网络系统。
统一的信息数据库要求所有被集成的安防子系统必须使用统一的数据库进行数据存储、共享和交换,而不是使用各自的原始数据库。统一的信息数据库,包括所有犯人信息数据库、所有干警等管理人员数据库、所有智能化设备信息库以及监狱固定资产管理数据库等内容。
另一个支撑基础就是高速的通信网络系统。全省(市)监控联网包括各种安防设备的网络接入、监控的网络级联、视频的远程查看与管理等必须借助于网络的应用。要使不同的系统共同使用统一的数据库并保证相互之间信息交换的时效性,就必须使各系统运行在同一个高速网络平台上,并尽量使用统一的、基于IP的数据交换接口。
智慧监所安防信息化综合管理解决方案的系统网络架构如下:
2.2综合管理解决方案的各系统应用
本方案最主要的特点,首先是实现了各安防子系统的统一管理;其次是实现了各安防子系统的整合联动。
2.2.1各安防子系统的统一管理
智慧监所安防信息化综合管理解决方案由13个安防子系统组成:视频监控系统、紧急报警系统、周界报警系统、高压电网报警系统、门禁管理系统、电子巡更系统、在押人员报告系统、会见管理系统、电化教育系统、提审呼叫系统、违禁物品检测系统、武警执勤管理系统、智能视频分析系统。这13个安防子系统涵盖了安防领域的各方面的需求,可以根据实际监所项目应用需求进行组合,为监所提供全面的保障。实现集成后,所有安防子系统都可以通过一个统一的入口进行配置和管理,无需单独登录不同的子系统。
(1)视频监控系统
用于对在押人员行为实施视、听监控。包括各监区(监舍、走廊、盥洗室)、食堂、礼堂、出入口、禁闭室、审讯室、武器库等场所。特定场所如监舍等还要考虑到监控摄像头的隐蔽性。摄像头的安装要根据需要合理布置,不能留有监控死角。各监区监控点通过网络线缆将视频图像传送到网络交换机,交换机通过专网将数据流上传至监所管理中心。
监所管理中心负责本监所监控系统设备、用户、网络的统一配置、维护、管理。通过管理平台可调阅整个监所任意监舍或其它各建筑体的监控图像与录像,对监所内所有服刑人员的日常状况全面了解;还可随时抽查看守人员工作情况。发生突发事件时能第一时间查询相关录像文件了解原因并启动应急预案。
(2)紧急报警系统
用于在押人员发生重大突发事件时发出警报。包括监舍内设立的限高报警、声控报警、对讲呼叫报警,放风场设立的红外报警以及监区公共通道处设立的紧急按钮报警等。紧急报警系统通过各类探测器的应用,以电子值守代替人工值守,大大减轻管理人员的工作负担,有效防止由于人工值守造成的漏报警,及时发现和阻止突发事件的发生。
(3)周界报警系统
在监所周界围墙安装报警装置,用于发现、制止在押人员的向外脱逃或外部入侵。周界报警装置有主动红外探测器、室外探头等,新型的包括电子围栏、泄漏电缆等。其中,主动红外探测器比较经济,应用范围最广;电子围栏与围墙顶部的高压电网功能有所重叠,价格偏高;而泄漏电缆必须埋地安装,受到埋地深度、与围墙距离、作用范围等诸多因素的限制。周界报警系统还应与周界围墙处的摄像机相互配合,报警时提供声光警号提醒,并联动视频监控系统显示实时图像,护卫整个周界的安全。
(4)高压电网报警系统
在监所四周高墙上安装高压电网系统,主要由系统主机、高压分机、电网及周界附件等设备组成。系统可对高压电网的剪断、接触各种警情进行报警,并快速显示电网的电压、电流、警情种类、发生地点等数据,管理人员可根据情况对电网打击力度进行调整,对警情信息进行快速传递和处理。
(5)门禁管理系统
用于对监区各出入口、通道门、监房门等实施电子控制。门禁管理系统针对监所项目应注意几个问题:采用双向门禁,安全性能更高;不建议使用一体化门禁,一旦门禁被破坏,门将自动开启,而建议使用门禁控制器和固化读头配合使用的方式;需注意一些小配件的选择,如电子门锁、闭门器等,它们的性能很可能影响到门禁系统的功能实现。另外就是建议只监控监房门的开关状态,而不对监房门开关作控制,监房门的开关有看守人员负责管理。
(6)电子巡更系统
巡更系统用于记录民警监区值班巡逻的相关信息,包括巡更路线、时间、人员等,一般还用作考勤记录,主要提供给监所内部管理使用。监所巡更系统通常采用在线式巡更系统,与门禁管理系统、考勤系统和消费系统等共同组成监所一卡通系统。
(7)在押人员报告系统
系统主要有对讲主机、对讲分机、连接线路等组成。系统功能包括在押人员医疗、求助、咨询的日常生活请求,以及出现突发事件时监区民警与值班室的双向对讲通道。对讲总机设置在值班室,在押人员的对讲分机安装在监舍内,对讲分机采用防暴设计,如嵌入式安装或面板采用铝合金材料等。
(8)会见管理系统
会见管理系统采用电话对讲方式,对讲电话安装在会见大厅隔离屏障两侧,会见管理系统和控制主机安装在值班室,由值班民警进行合法监听,并设定通话时间、插话、强插和录音等控制。该系统涉及律师会见与家属会见两方面内容,主要对会见过程进行监控和管理,防止通风报信和违禁物品传递等意外事件发生。
(9)电化教育系统
一般由有线电视与广播融合组成,形成一套完整的视、听、讲功能俱全的系统,通过播放法律教育节目或指定节目,对在押人员进行教育。有线电视通过分支分配网络覆盖到每个监房,由监所管理中心统一播放节目,节目源可以是电视节目、科教光碟、现场演讲的音像资料等。广播系统不仅要求覆盖到每个监房,还应在监区通道和围墙周界安装号角,用于监房日常性广播播报和突发事件时警示的传达。
(10)提审呼叫系统
通过询问室、预审室、律师会议室内的对讲呼叫按钮来提醒询问或提审完毕,并由专人(狱警)带出相应房间。
(11)违禁物品检测系统
违禁物品检测系统,就是对出入监所的在押人员、外来人员携带的物品进行检查。该系统主要采用手持金属探测器、安检门、X光物体探测器等设备,最常用的是前两款设备,一般安装在嫌疑人入所登记处、家属会见室、律师接见室等。
(12)武警执勤管理系统
在武警中队值班室安装一台调度键盘,在各岗哨分别安装哨位控制台,武警中队值班室与各哨位实现语音监听、对讲和广播功能。哨兵可以解脱双手无阻碍通话,提高哨兵处置情况的能力。哨位控制台集成了手动报警、有线电话、子弹安全箱、指纹加拍照查勤、周边警戒区域监控显示、扩音喊话、警示语和空包弹等功能。
(13)智能视频分析系统
智能视频分析主要应用于监舍内以及监区室外周界。对监舍内的在押人员的行为识别,要求支持“限高报警”、“斗殴识别”、“起身报警”等智能分析功能。而对监区周界的监控,要求支持“跨线报警”、“徘徊识别”等智能分析功能,提高周界防范能力。
作为全新的监所安防信息化建设技术手段,智能视频分析系统变被动为主动,可自动识别上述多种异常行为,自动上传报警,从而达到节省警力、提升监管效率的目的。
2.2.2各安防子系统的整合联动
通过监所综合安防管理平台,以上各安防子系统既可以独立工作,又能综合布控,形成一个防范大网。视频监控系统是全网的建设基础,其余安防子系统可通过多种触发方式启动视频,特殊情况还可以联动广播和发送报警信息,达到广播、视频、对讲互动的效果,为迅速解决现场事件提供有力工具,提高监所的综合防范能力。
(1)报警与视频监控的联动
监所内一旦发生报警,视频监控子系统自动发出声光电警示、切换报警点图像上墙、进行图像抓拍、启动录像存储,同时弹出预先编辑好的告警处置预案,提示民警下一步处理流程。
(2)高压电网与视频监控的联动
当有人触碰电网时,就会产生告警,自动触发监控中心弹出报警点图像,启动录像存储,联动广播系统进行最高级别的语音告警提示,探照灯指向报警区域。同时综合管理客户端弹出告警处理预案,值班干警可按照预案进行应急处理。
(3)门禁与视频监控的联动
人员进出门禁,将自动抓拍现场图像,启动录像存储,及时记录人员进出的信息,抓拍的刷卡人员照片会与监所管理信息系统中的合法人员信息进行比对,确认其合法性。对于非法入侵事件,还可通过门禁系统发出的报警信息触发监控系统的一系列告警联动操作。
(4)巡更与视频监控的联动
如在规定时间内未有巡更记录,则可以通过巡更系统的报警信息触发监控系统的一系列联动操作。
(5)对讲与视频监控的联动
犯人要与干警对讲时,一旦取机,监控子系统就自动切换监房图像上墙、启动录像存储等,记录对讲时监房的现场视频信息。
(6)公共广播与视频监控的联动
当视频监控系统或报警系统检测到意外情况发生时,如斗殴、骚乱等,综合管理平台客户端会自动弹出相应预案,根据预案自动或手动将预录的一段文字输出到公共广播系统进行播放,实现通知、喊话和吓阻作用。
(7)智能分析与视频监控的联动
监所内犯人一旦出现爬高、穿越警戒线、夜间异常起身、打架等异常行为,系统将自动识别并报警,联动电视墙显示、自动抓拍现场图片、启动录像存储、记录报警信息。
(9)电子地图(3D)
电子地图在监所中应用非常广泛,监控、门禁、报警都可以通过电子地图实现直观的信息点定位、查询和管理。综合安防管理平台支持多图层电子地图的集成,可正确显示安防设备的位置和实时状态以及各区域的人员分布,报警时联动电子地图自动定位报警点,并闪烁提示。
(10)与监所管理信息系统的对接
监所管理信息系统集中记录了监所羁押人犯、在职干警、合法出入人员、监房情况等众多信息,便于日常资料查询和管理。综合安防管理平台通过开放的接口,与监所管理信息系统实现对接,在统一的管理平台下调取相关信息数据。如:当查看相关监房图像时可联动显示此监房在押人员数据信息,方便查询比对;在人员进出监区门禁时可自动弹出对应人员照片、所属单位等信息,防止各类非法进出,有效保障监所管理安全,提升工作效率。
2.2综合管理解决方案的特点
综上所述,本方案具有如下特点:
(1)数字化集成
采用一体化的管理平台,将监控、报警、周界、巡更、门禁、对讲、电网等系统整合在一起,实现“数字化集成”,由统一的管理平台软件来管理,同时实现各个系统之间的联动。
由于各安防子系统并非全部数字化和网络化,因此可以将这些子系统先实现在硬件上的集成,然后再通过数字化与其他系统进行集成。这样每个子系统都可以各自独立运行,也可以通过数字化集成实现各系统统一管理与多系统联动,整个管理平台稳定性高,维护方便,不受到网络制约。
(2)网络化
网络化是监所安防信息化建设不可缺少的功能。监所综合安防管理平台具备多级联网的功能,即在省级管理中心――区域级管理中心――监所级总控中心――各分控中心等各级之间实现联网;同时管理平台可以与用户的业务系统扩展整合,实现完善的监所安全集成管理模式。
(3)智能化
智慧监所安防信息化综合管理解决方案的智能化体现在智能视频分析预警、应急指挥预案、专家决策等方面。
智能视频分析是根据用户设置的报警规则,对视频图像加以分析,识别可疑行为,并在可能的威胁发生时,主动发出警示,做到防患于未然。
应急指挥预案专门应对突发的、紧急的重大事件,力求在短时间内执行应急预案,实现现场指挥人员以及后方指挥人员随时对现场情况的掌握。
专家决策是监所安防信息化较新的一个领域和方向,它通过资深专家和警员分析多起违规事件产生的前因后果,总结出监狱违规行为的经验,设立事件分析模型。通过运行事件分析模型,将监测系统中持续产生的事件、报警和各类业务运行信息,不断地与系统中已有的信息模块进行匹配,若匹配则马上提醒相关人员进行检查或制止,提前预防违规行为的发生。
3总结
关键词网络系统;信息安全;入侵检测
中图分类号TM7文献标识码A文章编号1674-6708(2011)43-0075-02
SomeSecurityProblemoftheNetworkInformationSystemsofElectricitySystems
GUFei,ZHANGMin
ChuzhousuburbanElectricityCompanylimitedCOLTD,Chuzhou239000
AbstractWiththediversityofinternetusersandinternethavebeensinkintoeveryarea.Objectively,nooneinternetcanabstainboringofsafe.ElectricitySystemisaformwithsingleandlarge,butinnerinformationisalsohardtoavoidanyothersafetyissues.Thisessaycarefullyanalysiseverysafetyaspectsofinternetcurrently,andsummarizewhichissuesshouldabbeyinelectricityinternet.
KeywordsNetworksystems;Informationsecurity;Intrusiondetection
社会在进步,各种技术发展突飞猛进,互联网亦然。一方面,随着全球各种人群的介入,网络黑客的各种手段攻击和入侵手段多样和密集;另一方面,各行各业与互联网的联系越来越密切,互联网信息成为关键的一环。网络安全以及网络数据信息的安全,正在成为与公司,政府,国防,以及个人的切身利益有重大关联的头等大事。没有任何一个网络能够免受安全的困扰,依据FinancialTimes曾做过的统计,平均每20s就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
中国电力电网公司的行业特殊性导致电力系统分支庞大,很多分公司,供电所,电厂已经相配套的能源设施分布复杂,经常跨省跨地区,设置国外设置分公司,偏远山区的供电所,变电站多不胜数。电力公司总部,各公司各分支部门的业务网,信息网,收费服务网相互交叉,如何合理安排,如何合理连接,如何保证各部门高效安全进行信息交流和沟通是电力组网网络管理部门必须解决的头等大事。
省市一级的公司、总部规模一般都比较大,相应的业务组网都采用专用专线,通过租借网络运营商来连接总部,分部的业务信息等内网,在内部网络上进行内部的业务信息沟通,这种组网方式存在的问题在于组网贵,信息不安全,网络覆盖率差,很多偏远地方也没有能力让专线覆盖到,这些多公司的整体业务规划,运营模式都造成了很多反向影响。
网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以安全产品的选型事关重大,要提到国家战略的高度来衡量,否则一旦被黑客或者敌国攻入,其代价将是不能想象的。
网络与信息安全平台的任务就是创建一个完善的安全防护体系,对所有非法网络行为,如越权访问、病毒传播、恶意破坏等等,做到事前预防、事中报警并阻止,事后能有效的将系统恢复。著名的木桶原理(木桶的容量由其最短的木板决定)在网络安全里尤其适用。所以,我们的方案必须是一个完整的网络安全解决方案,对网络安全的每一个环节,都要有仔细的考虑。所以网络安全系统方案必须遵循如下原则:
全局考虑:遵循中心统一调配,各单位分类分别监察的原则,水总是从最矮的环节漏出,全局整体考虑,不遗漏。
综合协调:网络安全不单靠技术措施,必须结合管理,在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。
保持平衡:安全措施的实施必须以根据安全级别和经费限度统一考虑,保持协调。网络中相同安全级别的保密强度保持一致。
集中管理:所有的数据产品要求在数据中心进行集中管理,这样才能保证在中心服务器上可以掌握备份和处理全局敏感数据。
交叉控制:防火墙产品在管理上面不仅在数据中心可以完全控制外,在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。
综上所述,一个好的网络安全解决方案应该由如下几个部分组成:
1)防火墙
网络防火墙是保证网络数据和控制安全的重要防线,阻隔网络黑客的恶意攻击。其主要作用是根据网络访问数据的来源和目的对访问数据流识别,禁止非法访问,放行合法数据流。其最大的意义就是筑起一道防护墙,提供统一的安全策略。降低管理成本和内在风险。所以设置安全策略是非常重要的
2)入侵检测
检测入侵就是通过扫描访问数据流里的某些特征字段,或者探测网络本身系统的异常,例如主机病毒等来发觉某些系统攻击。察觉异样就报警并作出相应处理,或者根据预定的处理步骤作出反应,例如隔断该数据流的IP,或者不返回数据。从某种意义上说,入侵检测不能完全精确的发现所谓的攻击痕迹。Hacker可以讲一些常用的网络攻击交叉,并行组合成另外形式的攻击,而入侵预防系统不可能把所有的攻击形式或者相变异的形式都概括进来。所以不能在思想上确定入侵检测系统是万能的概念,随时做好预防补救措施。
3)安全考核管理
该系统必须时刻检测网络中和主机系统,客户交换系统中各类与安全息息相关的事件,比如资料复制,资料外泄,文件删除、破坏,非法登录等,将这些情况真实记录,并能对重大违规行为及时中断。所有的这些手段就好像让罪犯留下证据,在后期处理时能够提供宝贵的侦破和取证数据,并防止被销毁和篡改。其后续步骤应该是根据证据和数据,跟踪下次违规行为并提前做出防范措施。经过多次学习剔除等,系统考虑做出记录什么样的数据已经在什么条件下记录等。
4)防病毒以及特洛伊木马
计算机病毒的危害不言而喻,计算机病毒发展到今天,已经和特洛伊木马结合起来,成为黑客的又一利器。微软的原码失窃案,就是一黑客使用特洛伊木马所为。
5)做好安全保密教育工作
网络安全的宣传普及,相关的防泄密保安全的措施的严格执行是保证公司内部安全的重要保障。做好重要文件和数据的隔段备份,也是信息安全的重要后补措施,防止恶意攻击和意外灾害带来的无可挽回性损失。
我们假设某电力系统整体结构是―通过WAN连接的二级网络,整个网络分为内网和外网两个网,内外网之间物理隔离。网络中心与下属7个分单位通过网络进行数据传输,在网络每一级的节点上具有一个局域网,在二级网络上运行着电力业务系统、办公自动化服务等,该网由网络中心和7个分单位组成。在给各局域网出入口安装防火墙。在关键部位安放入侵检测系统,而且所有的服务器和普通PC机需要安装防病毒软件。而且这些防火墙和入侵检测系统需要集中在数据中心进行管理和审计。对重要的数据和文件做好隔期备份,切实做好网络安全是高效完成经营业务的有效保证。
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息,2010(3).
[2]赵聪锐.数字图书馆的网络安全与防范对策[J].科技情报开发与经济,2007(13).
[3]马莉.基于防火墙病毒防护的计算机网络安全[J].科技资讯,2010(2).
[4]赵建平.信息安全风险及对策研究[J].科技情报开发与经济,2004(5).
[5]丁振波.浅论医院信息系统的安全管理[J].今日科苑,2009(6).
[6]白海涛,马惠铖.小型局域网安全策略研究[J].科技资讯,2009(33).