网络安全保障工作总结6篇 年网络安全保障工作总结
大家可以将善于总结看做一种责任,这样能让我们对事物有整体和细节上的认识,那么相关的工作总结该如何写呢?下面是范文网小编整理的网络安全保障工作总结6篇 年网络安全保障工作总结,以供借鉴。
网络信息安全保障方案
保障公司网络基础设施及主要业务系统的安全,保证业务不中断,系统不瘫痪,不出重大信息安全事故。
一、做好信息系统网络运行维护
1、加强信息系统设备巡检、网络监控,再次组织开展网络安全隐患排查和治理。核心设备系统实行专人专项检查,坚持重大操作填写操作票,严格审批流程,执行监护制度。技术人员24小时通讯畅通,保证第一时间处理异常,确保BFS++、PI、OA、网络、网管、公司专线等安全可靠运行。
2、加大信息机房监控力度。加强电源系统、消防系统、空调系统的监控,确保机房供电、温度、湿度符合标准。
3、进一步完善专业应急预案,保证应急预案的可操作性和可实施性,加强应急保障预案演练机制。
二、强化信息安全防护
1、加强互联网安全监控。加大对信息安全设备的管理力度,严格边界防火墙防护策略,防止有害信息的侵入和扩散。
2、加强深信服上网行为管理的监控力度。整理、梳理上网设备,控制互联网联网机器,细化监控内容,扩大监控范围,切实提高网络信息系统的防攻击、防病毒、防窃密等安全防护工作。
3、做好信息系统安全管理。提高服务器安全配置管理等级,及时更新系统安全补丁,强化网络与信息业务系统数据的备份,确保业务系统安全运行。
网络信息安全保障责任书(2011 版)
互联网接入业务(包括互联网类专线、主机托管、虚拟主机等)客户以及信息源责任单位(增值业务服务提供商 SP和增值业务内容提供商 CP、应用提供商 AP、信息发布和传播等单位)接入中国电信股份有限公司山东分公司(以下简称“山东电信”)的各业务内容保证遵守以下各项规定:
第一条 遵守国家有关法律、行政法规和管理规章,严格执行网络信息安全管理规定。
第二条 互联网接入业务客户以及信息源责任单位应建立有效的网络信息安全管理制度和技术保障措施,建立完善的内容管理审核制度,定期组织自查自纠,及时处理各种隐患。落实信息安全责任制,加强从事信息管理人员的教育检查工作,并接受相关业务主管部门的管理、监督和检查。
第三条 不得利用中国电信移动通信网、中国电信互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动,不得利用中国电信移动通信网、中国电信互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安破坏国家统
一、破坏民族团结、色情、暴力等的信息,不得利用中国电信移动通信网、中国电信互联网或相关业务平台发布任何含有下列内容之一的信息:
1、反对宪法所确定的基本原则的;
2、危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一的;
3、损害国家荣誉和利益的;
4、煽动民族仇恨、民族歧视,破坏民族团结的;
5、破坏国家宗教政策,宣扬邪教和封建迷信的;
6、散布谣言,扰乱社会秩序,破坏社会稳定的;
7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8、侮辱或者诽谤他人,侵害他人合法权益的;
9、含有法律、行政法规禁止的其他内容的。
10、除上述内容外,信息发布单位必须保证所发布的信息不存在互联网低俗内容,低俗内容定义见“第十四条”。发现上述违法犯罪活动和有害信息,信息源责任单位应立即采取措施制止并及时向有关主管部门报告。
第四条 手机 WAP 网站不得制作、传播淫秽色情等有害信息。
第五条 行业短信业务、SP/CP 合作业务等短信群发行为不得发生两类行为:一是利用行业短信端口向未同意接收信息的用户发送信息;二是擅自转租行业短信端口群发信息。
第六条 接入中国电信移动通信网、中国电信互联网或相关业务平台的 wap 网站、互联网网站、短信、彩信及电话信息服务必须具备互联网信息服务经营许可证及网站备案号。
第七条 保证不通过各种形式利用中国电信各业务系统为任何其他在合法约定之外的业务和服务代收费。
第八条 不得以“家政服务”、“心理咨询”等名义开办无特定内容的人工聊天栏目。
第九条 从事电话信息服务的专业咨询人员必须具备相应的资质,并在信息台固定经营场所接听电话,不得将用户电话呼转到其他场所。
第十条 从事电话信息服务的所有人工服务要全程录音,并保存至少 6 个月。
第十一条 在合作业务推广过程中,信息源责任单位应保证业务、推广渠道中无任何违法、违规、色情及低俗信息内容;不得利用广告联盟等第三方进行合作业务的推广。
第十二条 接入中国电信移动通信网、中国电信互联网或相关业务平台的服务器未经电信方同意,不得为第三方提供服务;服务器未经电信方不得擅自转租,否则转租者承担一切经济和刑事责任。第十三条 网站备案规定
一、先备案再接入中国电信移动通信网、中国电信互联网或相关业务平台的 wap 网站、互联网网站必须具备互联网信息服务经营许可证及网站备案号,必须严格遵循“先备案、后接入”的原则。未备案严禁接入,一经发现未备案网站山东电信立即关停,网站业主承担工业与信息化部、山东省通信管理局等主管单位的所有惩罚责任,如现金罚款、刑事责任等。
二、保证网站备案信息准确依据《非经营性互联网备案管理办法》第二十三条规定,接入中国电信移动通信网、中国电信互联网或相关业务平台的 wap 网站、互联网网站用户提交的所有备案信息真实准确,备案信息发生变化时,要及时在备案系统中提交更新信息,否则,山东电信有权关闭网站并注销备案。
第十四条 业务信息中不得有以下互联网低俗内容:
一、表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者侮辱性的内容;
二、对人体性部位的直接暴露和描写;
三、对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言;
四、对性部位描述、暴露,或者只用很小遮盖物的内容;
五、全身或者隐私部位未着衣物,仅用肢体遮盖隐私部位的内容;
六、带有侵犯个人隐私性质的走光、偷拍、漏点等内容;
七、以挑逗性标题吸引点击的;
八、相关部门禁止传播的色情、低俗小说,音视频内容,包括一些电影的删节片段;
九、一夜情、换妻、SM 等不正当交友信息;
十、情色动漫;
十一、宣扬血腥暴力、恶意谩骂、侮辱他人等内容; 十
二、非法“性药品”广告和性病治疗广告;
十三、未经他人允许或利用“人肉搜索”恶意传播他人隐私信息。
第十五条 互联网接入业务客户以及信息源责任单位承诺对所发布信息的内容和涉及的版权问题负责,并承担由此导致的一切法律责任。
第十六条 如需要开办留言版、BBS、聊天室等电子公告服务,需向属地通信管理局申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,提出专项申请或者专项备案。凡开办留言版、BBS、聊天室内容的必须有专人负责安全审核与管理,如出现问题,要承担一切法律责任。
第十七条 若违反上述规定,山东电信视情节严重程度,有权要求互联网接入业务客户以及信息源责任单位交纳伍仟到壹万元不等的违约金,并暂停业务接入,直至互联网接入业务客户以及信息源责任单位按照业务协议规定及《信息安全保障责任书》的要求完成整改后,方可再次接入。对于二次违规或首次违规造成严重后果的,一律禁止恢复接入服务,且不退还任何已交纳费用。
第十八条 本责任书经甲乙双方签字后生效,责任书文本一式两份,双方各执一份。互联网接入业务客户以及信息源责任单位:
责任人签字:(单位盖章)
日期:
网络与信息安全保障措施
网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步名群安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。
一、网站运行安全保障措施
1、安全意识淡薄是造成网络安全事件的主要原因。我公司宣传和网络管理部分将加强对全体职工的网络安全教育,增强网络安全意识,将网络安全意识与政治意识、责任意识、保密意识联系起来,树立网络与信息安全人人有责的观念。
2、我公司网站主机采用的虚拟主机服务器,由服务器提供商提供安全可靠的防火墙和主机软硬件安全服务。机房按照电信机房标准建设,内有必备的独立 UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。
3、维护计算机信息安全,装杀毒软件及管理软件,并确保管理软件正常运行。
4、公司内部要加强自身管理和自我监督,公司内部网络系统严格划分内网、外网的不同职能,做到内外有别。由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。对造作人员的权限严格按照岗位职责设定,并有网站系统管理员定期检查操作人员权限。
5、防止和处理危害网络安全的突发事件,制定突发事件和敏感时期处置工作预案。处理突发事件要及时果断,最大限度地遏制突发事件的影响和有害信息的扩散。
6、建立了健全的网站安全管理制度,实现网站安全运行责任制,切实负起确保网站安全的责任。明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保网站的安全有效运行。
7、及时对网站运行情况进行监视,保存、清除和备份的制度。所有网站信息都及时做多种途径备份,确保存储安全,减少不必要的损失。
8、制定并遵守安全教育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守网络安全管理有关法律、法规。工作人员及时参加网络安全技术的培训,掌握新动态,学习最新网络安全防范技术。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,其实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。
2、网站信息内容更新全部有网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关管理法律、法规和相关规定。严禁通过我公司网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。
3、遵守对网站服务信息监视、保存、清除和备份的制度。开展网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4、所有信息都及时做备份。按照国家有关规定,网站将保存6个月内系统进行日志和用户使用日志记录。
5、制定并遵守安全教育和培训制度。加大宣传教育制度,增强网络安全意识,直觉遵守互联网管理有关法律、法规、不泄密、不制作和传播有害信息,不链接有害信息或网页。
三、用户信息安全管理制度
1、我公司郑重承诺尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权我司不会随意公布与用户个人身份有关的资料,除非有法律或程序要求。
2、严格遵守网站用户账号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄密。
我司将严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少1名安全负责人作为突发事件处理的联系人。
广州市润杰医疗器械有限公司
安全保障工作总结
根据南网公司下发的《中国南方电网有限责任公司管理信息系统网络与信息安全信息通报管理办法》和云南电网公司下发的《关于做好国庆六十周年网络与信息安全工作的通知》及《云南电网公司建国60周年网络信息安全保障方案》的相关要求,能讯科技客户服务部在国庆前对所运维的系统平台进行了安全加固,并于国庆期间在电网公司20楼机房和科技园机房进行7×24小时值班,有效地保证了国庆期间关键信息系统安全、稳定运行,保证了各项业务的连续性,安全保障工作总结。国庆期间,所有系统均未发生宕机现象,系统可用性达到100%。生产管理系统出现四次单节点故障,时长21分钟,健康度达到%,其余系统健康度均为100%。各系统的可靠、稳定运行为云南电网公司的安全生产提供了有效保障。
按照“谁主管、谁负责,谁运营、谁负责”的原则,客户服务部及其他各部门负责对生产管理信息系统、技术监督系统、知识管理平台、企业信息门户、覆冰在线监测预警系统、输变电GIS系统进行了安全保障工作,现将具体工作总结如下:
国庆前各系统的调整与安全加固:
一、生产管理信息系统
1.修改了所有相关服务器的密码以及Ip登陆源限制;禁止root账户直接进入系统;检查并清理服务器帐户;
2.严格审核数据库帐户权限,禁用可能造成数据库安全隐患的功能模块;
3.修改中间件控制台登陆密码;
4.修改应用MAXADMIN帐户用户密码;电网信息化产品组对代码和SQL进行优化,使系统响应速度得到了明显的提升;质保部对系统进行充分测试,电网信息化产品组对bug进行修复,保证系统稳定运行。
二、技术监督系统
1.修改了所有相关服务器的密码以及Ip登陆源限制;禁止root账户直接进入系统;检查并清理服务器帐户;
2.严格审核数据库帐户权限,禁用可能造成数据库安全隐患的功能模块;
3.修改中间件控制台登陆密码;
4.进行系统故障安全演练,确保应急预案的正确性和可操作性,工作总结《安全保障工作总结》。
三、知识管理平台
1.主机权限调整、帐户密码修改;
2.因搜索引擎原服务器磁盘空间不足,对搜索引擎进行迁移,保证服务器磁盘空间足够;
四、企业信息门户
1.主机权限调整、帐户密码修改;
2.进行外网服务器安全扫描、安全加固。
五、覆冰在线监测预警系统
1.修改了所有相关服务器的密码以及Ip登陆源限制;禁止root账户直接进入系统;检查并清理服务器帐户;
2.详细调研业务系统关联关系,严格审核数据库帐户权限;
3.进行覆冰外网服务器安全扫描、安全加固,重新整理和提交端口开放申请。
六、输变电GIS系统
1.主机权限调整、帐户密码修改;
2.进行GIS外网服务器安全扫描、安全加固,重新整理和提交端口开放申请。
国庆期间各系统运行情况总结:
一、系统总体运维指标
二、生产管理信息系统
在国庆期间生产系统共出现4次节点故障,总修复时间21分钟。其中故障原因为1次空指针错误、2次CpU饥饿、1次内存溢出错误。
生产管理信息系统应用服务器采用WEBSpHERE集群模式,共有5个节点对外提供服务,并提供负载均衡功能。用户通过DNS访问应用服务器集群,单节点故障不影响整个系统使用,对用户使用不产生影响。
三、技术监督系统
整个国庆信息系统安全保障期间,技术监督系统未出现系统不可用状况,平台运行稳定。
四、知识管理平台
整个国庆信息系统安全保障期间,知识管理平台未出现系统不可用状况,平台运行稳定。
五、企业信息门户
应技术中心要求,门户外网在10月1日至10月3日关闭,10月4日起对外开放。其他时间企业信息门户未出现系统不可用状况,平台运行稳定。
六、覆冰在线监测预警系统
整个国庆信息系统安全保障期间,覆冰在线监测预警系统未出现系统不可用状况,平台运行稳定。
七、输变电GIS系统
整个国庆信息系统安全保障期间,输变电GIS系统未出现系统不可用状况,平台运行稳定。
国庆期间,系统维护组8人进行了生产及容灾双中心7x24小时现场职守工作,3人提供后台技术支持工作,服务台3人保证整个国庆期间的后勤保障工作。通过客服部及其他各部门的共同努力,达到了所有维护系统安全运行时间%以上的要求。
客户服务部系统维护组在国庆信息系统安全保障工作中,共完成了12台UNIX服务器、36台WINDOWS服务器安全加固,5套ORACLE数据库帐户审查与安全加固及6大系统预防性维护工作。
某学校网络安全保障工作总结报告
我校是全县范围内最大的乡镇中心小学,现有学生XXX人,教职工XXX人。随着计算机及其网络的普及与应用,我校近几年投入了不少经费用于购买了十余台办公电脑,并对学生用机进行了更新换代。学校现已基本实现了办公网络信息化,这无疑极大地提高了我校的工作效率,但也给我校网络信息安全工作带来了严峻考验。
一、切实加强组织领导,建立健全各项网络安全管理规章制度。
1、为确保学校网络安全管理工作顺利开展,学校特成立了校长任组长的网络信息安全管理工作领导小组,全面负责该工作的实施与管理。
2、建立健全了一系列的学校网络安全管理规章制度。包括:《校园网用户信息安全管理制度》、《学校网络信息安全保障措施》、《学生上机守则》、《计算机室管理制度》、《计算机室管理员职责》、《办公室电脑使用管理暂行规定》等。通过制定与实施、切实让相关人员担负起对信息内容安全的监督管理工作责任。
二、认真开展好学校网站的备案工作。
按县局有关文件精神,我校迅速成立了专人负责学校网站备案工作。根据文件要求,在如实了解学校网站虚拟空间提供服务商的安全信息后,及时填写好相关材料报县科教局电教站,并由县电教站送市局进行审批。与此同时,我校自行到公安部门的网站上进行网上备案和进行重要信息系统安全保护登记备案工作。
三、建立起了一支相对稳定的网络安全管理队伍。
我校高度重视网络信息安全工作的队伍建设。学校从在职教师中挑选出一批具有一定计算机知识的人员作为网络管理员和网络安全员,并保持队伍的相对稳定。此外,学校还购买了网络管理书籍供网管人员自学,并大力支持网管人员参加各级各类网络技术知识培训,从而大大提高了网管的业务素质和技术水平。
四、计算机维护及其病毒防范措施。
学校电脑除去电脑室100台,另有24套多媒体电脑,日常维护工作量非常大。由于机器较多,日常出现故障的情况较为常见,为此,我校成立了专人负责学校计算机系统及软件维护,由于平日能及时有效地维护,因此学校内各计算机使用均正常,无出现重大故障。
目前网络计算机病毒较多、传播途径也较为广泛,可以通过浏览网页、下载程序、邮件传播等方式传播。为了做好防范措施,学校每台机器都安装了杀毒软件,并定期自动升级,对发现病毒的机器及时的进行处理。多年来,学校机器无出现严重中毒情况,电脑内重要信息未出现泄露而造成重大影响事件。
五、大力开展文明上网、安全上网等宣传教育。
为加强互联网建设,学校特向全体师生发出了《抵制低俗之风,倡导文明上网》倡仪书,教育师生自觉抵制网络低俗之风,净化网络环境,不打不健康文字,不发不文明图片,不链接不健康网站,不提供不健康内容搜索,不发送不健康信息,不转载违法、庸俗、格调低下的言论、图片、音视频信息,积极营造网络文明新风。此外,我校还通过网站、板报、班会等多种渠道,积极组织师生学习有关网络法律法规和有关规定,提高师生的信息安全防范意识,增加师生上网安全意识。
六、存在不足:
1、学校网络设备的配置与管理有待提高,网管人员的水平有待通过专门且系统培训来提高。
2、部门教师的计算机应用能力及网络安全防范能力还有待提高。
附件3 网络信息安全保障体系建设方案
目录
网络信息安全保障体系建设方案........................................................................1
1、建立完善安全管理体系 .................................................................................1 成立安全保障机构.........................................................................................1
2、可靠性保证 .....................................................................................................2 操作系统的安全.............................................................................................3 系统架构的安全.............................................................................................3 设备安全.........................................................................................................4 网络安全.........................................................................................................4 物理安全.........................................................................................................5 网络设备安全加固.........................................................................................5 网络安全边界保护.........................................................................................6 拒绝服务攻击防范.........................................................................................6 信源安全/组播路由安全...............................................................................7
网络信息安全保障体系建设方案
1、建立完善安全管理体系
成立安全保障机构
山东联通以及莱芜联通均成立以总经理为首的安全管理委员会,以及分管副总经理为组长的网络运行维护部、电视宽带支撑中心、网络维护中心等相关部门为成员的互联网网络信息安全应急小组,负责全省网络信息安全的总体管理工作。
山东联通以及莱芜联通两个层面都建立了完善的内部安全保障工作制度和互联网网络信息安全应急预案,通过管理考核机制,严格执行网络信息安全技术标准,接受管理部门的监督检查。同时针对三网融合对网络信息安全的特殊要求,已将IPTV等宽带增值业务的安全保障工作纳入到统一的制度、考核及应急预案当中。内容涵盖事前防范、事中阻断、事后追溯的信息安全技术保障体系,域名信息登记管理制度IP地址溯源和上网日志留存等。并将根据国家规范要求,对三网融合下防黑客攻击、防信息篡改、防节目插播、防网络瘫痪技术方案进行建立和完善。
2、可靠性保证
IPTV是电信级业务,对承载网可靠性有很高的要求。可靠性分为设备级别的可靠性和网络级别的可靠性。
(1)设备级可靠性
核心设备需要%的高可靠性,对关键网络节点,需要采用双机冗余备份。此外还需要支持不间断电源系统(含电池、油机系统)以保证核心设备24小时无间断运行。
(2)网络级可靠性
关键节点采用冗余备份和双链路备份以提供高可靠性。网络可靠性包括以下几方面:
? 接入层:接入层交换机主要利用STP/RSTP协议在OSI二层实现网络收敛自愈。
? 汇聚层:在OSI第三层上使用双机VRRP备份保护机制,使用BFD、Ethernet OAM、MPlS OAM来对链路故障进行探测,然后通过使用快速路由协议收敛来完成链路快速切换。? 核心层:在P设备(Core设备和CR设备)上建立全连接LDP over TE。TE的数量在200以下。
? 组播业务保护:主要基于IS-IS协议对组播业务采取快速收敛保护,对组播分发进行冗余保护和负载分担。
操作系统的安全
在操作系统级别上,其安全需求主要表现在防止非法用户入侵、防病毒、防止数据丢失等。
? 防止非法用户入侵:系统设置防火墙,将所有需要保护的主机设置在防火墙内部,物理上防止恶意用户发起的非法攻击和侵入。为业务管理人员建立起身份识别的机制,不同级别的业务管理人员,拥有不同级别的对象和数据访问权限。? 防病毒:部署防病毒软件,及时更新系统补丁。
? 数据安全:建立数据安全传输体系,系统具备完善的日志功能,登记所有对系统的访问记录。建立安全的数据备份策略,有效地保障系统数据的安全性。
系统架构的安全
IPTV运营管理平台具备双机热备份功能,业务处理机、EPG服务器、接口机都支持主备功能。
存储系统能够支持磁盘RAID模式,利用RAID5技术防止硬盘出现故障时数据的安全。支持HA(High Availability)模式,实现系统的热备份,在主用系统故障时能够自动切换到备用系统,可提供流媒体服务器多种单元的冗余备份。
支持用户通过手工备份功能。并且备份数据可保存到外部设备中。同时,设备可通过分布式部署,保证系统的安全。EPG服务器、VDN调度单元、网管均支持分布式处理。设备安全
核心系统(服务器硬件、系统软件、应用软件)能在常温下每周7×24小时连续不间断工作,稳定性高,故障率低,系统可用率大于%。
具备油机不间断供电系统,以保证设备运行不受市电中断的影响。服务器平均无故障时间(MTBF)大于5,000小时,小型机平均无故障时间(MTBF)大于10,000小时,所有主机硬件三年内故障修复时间不超过30个小时。网络安全
IPTV业务承载网络直接与internet等网络互联,作为IP网络也面临各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QOS服务破坏以及对网络管理、控制协议进行网络攻击等,故IPTV承载网络的安全建设实现方式应包括物理安全、网络设备的安全加固、网络边界安全访问控制等内容。物理安全
包括IPTV承载网络通信线路、物理设备的安全及机房的安全。网络物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份和容灾能力,不间断电源保障等。网络设备安全加固
作为IP承载网,首先必须加强对网络设备的安全配置,即对网络设备的安全加固,主要包括口令管理、服务管理、交互式访问控制等措施。
口令的安全管理,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,为了适应网络设备的规模化要求,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。
服务管理,在网络设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭某些会引起网络安全风险的协议或服务,如ARP代理、CISCO的CDP协议等。控制交互式访问,网络设备的交互式访问包括本地的控制台访问及远程的VTY终端访问等。网络设备的交互式访问安全措施包括:加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。网络安全边界保护
网络安全边界保护的主要手段是通过防火墙或路由器对不同网络系统之间实施相应的安全访问控制策略,在保证业务正常访问的前提下从网络层面保证网络系统的安全性。
IPTV承载网络边界保护措施主要包括以下两点:
通过路由过滤或ACL的方式隐藏IPTV承载网路由设备及网管等系统的IP地址,减少来自Internet或其它不可信网络的安全风险。
在IPTV承载网络边缘路由器与其它不可信网络出口过滤所有的不需要的网络管理、控制协议,包括HSRP、SNMP等。拒绝服务攻击防范
拒绝服务攻击对IPTV承载网络的主要影响有:占用IPTV承载网网络带宽,造成网络性能的下降;消耗网络设备或服务器系统资源,导致网络设备或系统无法正常提供服务等。
建议IPTV承载网络采取以下措施实现拒绝服务攻击的防范:实现网络的源IP地址过滤,在IPTV承载网接入路由器对其进行源IP地址的检查。关闭网络设备及业务系统可能被利用进行拒绝服务攻击的网络服务端口及其它网络功能,如echo、chargen服务,网络设备的子网直接广播功能等。通过建立网络安全管理系统平台实现对拒绝服务攻击的分析、预警功能,从全局的角度实现对拒绝服务攻击的监测,做到早发现、早隔离。
下图给出了IPTV承载网安全建设实现方式图。
信源安全/组播路由安全
尽管组播技术具备开展新业务的许多优势,并且协议日趋完善,但开展组播业务还面临着组播用户认证、组播源安全和组播流量扩散安全性的问题。
组播源管理:在组播流进入骨干网络前,组播业务控制设备应负责区分合法和非法媒体服务器,可以在RP上对组播源的合法性进行检查,如果发现来自未经授权的组播源的注册报文,可以拒绝接收发送过来的单播注册报文,因此下游用户就可以避免接收到非法的组播节目。为防止非法用户将组播源接入到组播网络中,可以在边缘设备上配置组播源组过滤策略,只有属于合法范围的组播源的数据才进行处理。这样既可以对组播报文的组地址进行过滤,也可以对组播报文的源组地址进行过滤。
组播流量扩散安全性:在标准的组播中,接收者可以加入任意的组播组,也就是说,组播树的分枝是不可控的,信源不了解组播树的范围与方向,安全性较低。为了实现对一些重要信息的保护,需要控制其扩散范围,静态组播树方案就是为了满足此需求而提出的。静态组播树将组播树事先配置,控制组播树的范围与方向,不接收其他动态的组播成员的加入,这样能使组播信源的报文在规定的范围内扩散。在网络中,组播节目可能只需要一定直径范围内的用户接收,可以在路由器上对转发的组播报文的TTL数进行检查,只对大于所配置的TTL阈值的组播报文进行转发,因此可以限制组播报文扩散到未经授权的范围。
组播用户的管理:原有标准的组播协议没有考虑用户管理的问题,但从目前组播应用的情况来看,在很多的组播业务运营中,组播用户的管理仍未得到很好的解决。在IPTV业务中,直播业务作为十分重要的业务,对用户进行控制管理是必不可少的。对组播用户的管理就是对经过授权的组播用户控制其对组播业务的接入,控制用户哪些组播频道可以观看,哪些频道不可以观看。通过在DSLAM/LAN交换机用户侧对组播组进行控制,防止恶意用户的非法组播流攻击网络。