对于IDC的概念,还没有一个统一的标准,但从概念上可以将其理解为公共的商业化的Internet机房,同时它也是一种IT专业服务,是IT工业的重要基础设施。IDC不仅是一个服务概念,而且是一个网络的概念,它构成了网络基础资源的一部分,就像骨干网、接入网一样,提供了一种高端的数据传输(DataDelivery)的服务和高速接入服务。
IDC就是电信部门利用已有的互联网通信线路、带宽资源,建立标准化的电信专业级机房环境,为企业、政府提供服务器托管、租用以及相关增值等方面的全方位服务。
通过使用电信的IDC服务器托管业务,企业或政府单位无需再建立自己的专门机房、铺设昂贵的通信线路,也无需高薪聘请网络工程师,即可解决自己使用互联网的许多专业需求。
IDC主机托管主要应用范围是网站、虚拟主机和电子商务等。比如网站,单位通过托管主机,从电信部门分配到互联网静态IP地址后,即可自己的互联网站点,将自己的产品或服务通过互联网广泛宣传;虚拟主机是单位通过托管主机,将自己主机的海量硬盘空间出租,为其他客户提供虚拟主机服务,使自己成为ICP服务提供商;电子商务是指单位通过托管主机,建立自己的电子商务系统,通过这个商业平台来为供应商、批发商、经销商和最终用户提供完善的服务。
IDC即互联网数据中心。它是伴随着互联网不断发展的需求而迅速发展起来的,成为了新世纪中国互联网产业中不可或缺的重要一环。
IDC(互联网数据中心)还没有一个权威的定义,但它比传统的数据中心有着更深层次的内涵,它是伴随着互联网不断发展的需求而发展起来的对为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。数据中心在大型主机时代就已出现,那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护,以达到专业化管理和降低运行成本的目的。
IDC有两个非常重要的显著特征:在网络中的位置和总的网络带宽容量,它构成了网络基础资源的一部分,就像骨干网、接入网一样,它提供了一种高端的数据传输(Data Delivery)的服务,提供高速接入的服务。
IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。
IDC业务是基于高稳定度、宽带宽的电信基础网络平台,提供多种信息服务的综合业务。其业务范围主要有:服务器托管、租用;整机租用、机房租用;虚拟主机、虚拟信箱;系统集成、开发;专业维护;带宽批发以及增值服务等。增值服务包括:流量监控分析、服务器负载均衡、网站镜像、网站加速、远程监控、网络安全等服务。而IDC与ASP的结合将是未来增值业务的主流。
一、发展现状
经各市和省级各部门共同努力,省统一电子政务传输网络和平台基本建成,重要业务系统应用进展顺利,基础信息库和标准化体系建设开始起步,信息安全保障能力不断增强。目前省到市两级电子政务统一传输网络内网已开通,年内开通外网,电子政务统一平台基本建成并投入使用;省委、省人大、省政府、省政协内、外网门户网站、办公和专有业务系统已部分建设完成;全省通用办公业务系统已开发完成正在推广应用,应急指挥、视频会议、政务查询等办公业务资源系统年内将基本建成。
以“十二金工程”为重点的电子政务业务系统建设不断加快,由国家统筹规划建设的金卡、金关、金税(国税)等工程已经投入使用。国家和地方共同建设的金盾工程开通了四级网络,完成了人口管理、违法犯罪人员、禁毒等27项信息系统建设,以我省为主的社保、农业、财政、秦税、教育、卫生、工商、水利等业务系统基本建成并运行良好,审计、、环保等业务系统陆续启动建设。全省法人单位、人口、自然资源与地理空间、宏观经济、档案等基础数据库正在论证编制建设方案。信息安全基础设施建设已启动建设,初步建立了全省互联网络统一管理体系,增强了网络与信息安全应急防范能力。
但从总体上看,我省电子政务仍处于初步发展阶段,还存在一些亟待解决的问题,主要是:统一的电子政务基础设施建设相对滞后,网络没有完全实现互联互通,重复建设问题突出;业务应用水平不高,业务协同能力较弱;信息共享度低,共享机制尚未建立;法律法规和标准化工作滞后,安全保障能力有待进一步提高;一方面建设资金不足,另一方面重复建设、资金浪费现象严重;电子政务建设、管理、运行体制不完善,创新能力不强;电子政务推动国民经济和社会信息化,继而推动社会经济跨越式发展的潜力尚未发挥。要解决上述建设中的问题,就必须从传输网络、基础设施、业务系统、信息资源、信息安全等基础性、公共性工作入手,认真贯彻党中央、国务院的要求,采取强有力的措施,加强对电子政务各项建设工作的整合。
二、总体要求
按照国家与省委、省政府及省信息化领导小组有关规定,全省电子政务整合工作的总体要求是:
统一规划,统一网络。建设覆盖省委、省人大、省政府、省政协、省高院和省检察院六大业务系统的全省电子政务统一内网和外网,形成连接省级各部门、各市和各县的统一电子政务骨干传输网络,各业务系统不再建设专网。按照全省统一规划,使用统一的电子政务骨干传输网络。
统一标准,统一交换。在建设中,业务应用、系统、硬件、软件均要统一标准、统一要求。充分发挥省电子政务统一平台信息传递枢纽作用,依托统一平台积极开展各类业务系统应用、信息资源共享和信息安全保障,各业务系统不再重复建设相应基础支撑平台,采用统一平台服务托管等形式保证信息正常交换和业务系统协同运行。六大业务系统分别建设支持本系统内各部门业务、信息交换应用平台。各市要参照省级电子政务统一平台建设原则、要求和标准,建设各自市级电子政务平台。
统一开发,统一部署。对通用性、基础性、基准性、标识性较强的办公业务资源系统和基础性数据库等项目,采用统一开发、一数一源、多家共享、集中存贮、统一部署的方式开展建设和应用。各部门不再自行开发,避免重复建设和分散采集。
统一安全,统一管理。建立统一的全省电子政务安全保障体系、统一的安全身份认证、安全支撑平台和数据冗灾备份系统,为各项业务应用集中提供密钥管理、技术支撑、安全防御和冗灾备份等服务,形成布局合理、安全可控、运行有序的网络信任体系,避免各部门重复建设和资金浪费。
三、工作目标
按照*省电子政务总体框架和电子政务网络、统一平台建设意见规范要求,全省电子政务整合工作的目标是:到*年,建设完成覆盖省、市、县的统一电子政务传输网络和省市二级统一平台,信息安全保障体系初步建立;从*年开始,利用1年时间完成已建成的业务系统专网向全省电子政务统一传输网络整合;2010年底以前完成已建大部分业务系统支撑平台向省电子政务统一平台移植,逐步建立完善全省基础性、战略性信息资源库,实现应用业务协同和信息资源共享。
四、工作任务
全省电子政务整合工作任务是:进一步完善省、市两级电子政务统一平台,开展以传输网络、门户网站、业务系统、信息资源、安全管理和运维管理为主要任务的电子政务整合工作。
(一)整合传输网络
我省电子政务统一传输网络是国家统一电子政务网络的组成部分,依托广电网络开展建设,由政务内网和外网组成(含党务内网),包括省、市、县三级城域网和省到市、市到县两级广域网。网络资源整合重点是对在建、已建的业务专用传输网进行整合,使其有序接入全省电子政务统一传输网络。各市、各部门必须依托省统一电子政务网络开展业务系统应用,不得重新铺设独立线路或组成单一业务传输骨干网络。省级统一传输网络为省统一平台到省级各部门的横向传输网络和到11个市(区)及指定地点的纵向传输网络,其租赁服务费用纳入省电子政务基础设施建设专项资金年度预算,统一支付。
(二)整合门户网站
在省委、省人大、省政府、省政协、省高院、省检察院六大业务系统门户网站的基础上,基于政府门户网站建立*省统一门户网站,推进电子政务公共服务,提高行政效率和办事效能。充分利用全省统一门户网站积极开展政务信息公开与服务、网上申报与审批、公众建议与反馈、政策与查询等面向社会公众的一站式服务,实现政府、企业和公民的网上互动。完善并整合各级门户网站,做好网站栏目规划和管理,增强网站信息和网上办事能力,更好地发挥公共服务窗口作用,健全电子政务公共服务体系。省级六大业务系统设备租赁服务费用由省电子政务基础设施建设专项资金统一支付;省级六大业务系统、各部门网站信息维护费用,纳入本单位年度财政预算;网站系统设备托管费用,依据托管服务合同金额纳入各单位年度财政预算。
(三)整合业务系统
省电子政务统一平台是国家电子政务在*的中心节点,也是省委、省人大、省政府、省政协、省高院和省检察院等六大业务系统间、省级各部门间、各市县间政务信息传递的枢纽。省级电子政务中心机房,是省电子政务统一平台运行和管理的物理载体。
全省业务系统整合分三类进行,一是业务流程相对固定的通用性、基础性较强的综合类办公业务系统,全省统一部署实施;二是跨部门业务系统的建设,联合设计,共建共享,依托省市电子政务统一平台实现信息交换和业务协同;三是各部门内、外网专有业务系统和部门网站等相关设备,逐步托管到省级电子政务中心机房。
综合办公业务资源系统。主要包括办公自动化系统(日常办公、公文交换、流程管理、文档管理、档案管理、督查督办和值班管理、政务信息管理)、视频会议、应急指挥、宏观决策支持等业务系统,全省依托电子政务统一平台,统一规划设计、统一部署实施和运行,其所需服务器等设备托管在省级或市级电子政务统一平台中心机房,集中使用维护;系统设备租赁服务维护费用由省电子政务基础设施建设专项资金统一支付。
跨部门业务系统。跨部门业务系统的建设,统一联合设计,分工负责,共建共享;对于行业纵向政务业务系统和地方横向政务业务系统建设,统一加强纵横向业务融会和集成;跨部门及行业纵横业务系统,均要依托省市电子政务统一平台实现信息交换和业务协同。
专有业务系统和网站。省、市电子政务统一平台及中心机房在建设过程中,要能够满足各部门专有业务发展的需求,各部门原则上不再重复建设相应的支撑平台和机房,逐步实现其内、外网专有业务系统和部门网站在电子政务统一平台中心机房的集中托管服务。新建或在建的专有业务系统和网站,所需应用系统设备和软件要托管在省或市级电子政务统一平台中心机房,统一技术维护管理。对于已建的业务应用系统和网站等相关设备,逐步完成在省、市两级统一平台中心机房的业务托管。各专有业务系统和网站等相关设备托管服务等费用均要纳入各单位年度财政预算。
(四)整合信息资源
按照统一的标准和规范,依托省电子政务统一平台,建立政务信息资源目录体系,为各级政府提供信息查询和共享服务;逐步建立跨部门的政务信息资源交换体系,实现部门内的信息纵向汇聚和传递,部门间的信息横向交换和在线实时服务。
企业、人口、法人单位、自然资源与地理空间、宏观经济等基础类、综合类信息库的建设,按照统一设计、一家牵头、多家共建、信息共享的原则,依托统一平台集中建设和存贮;全省重要专有业务数据库建设,由省级部各部门各自建设,各市提供各自信息;分别建立维护、管理、信息采集和更新制度,明确信息共享的内容、方式和责任,健全信息共享机制。统一建设的全省基础性数据库系统运行维护费用由省电子政务基础设施建设专项资金统一支付,信息维护费用纳入牵头建设部门的年度财政预算;各专有业务系统数据库托管服务和信息维护费用纳入本单位年度财政预算。
对于社会公众关注的涉及多部门的热点、焦点信息,要分别及时采集,汇总分析,按规定程序公开。依据国家《政务信息公开条例》规定,编制政务信息公开目录,以公开为原则,以不公开为例外,建立有效的信息公开管理机制,充分利用统一门户网站、各级网站、重点新闻网站等为公众获取政务信息提供便利,促进政务信息公开和的制度化和规范化。
(五)整合安全管理
依托省电子政务统一平台,整合建立统一的安全支撑平台和密钥管理平台,为各项政务应用集中提供安全防御、安全支撑、应用支撑、密钥管理等服务。依托区域电子认证机构颁发的数字证书,依法建立整合全省统一的电子政务身份认证和授权管理机制;依靠安全支撑平台,建立全省统一的冗灾备份中心,集中实现各级业务应用系统和信息资源的灾难恢复服务。整合建立全省计算机病毒防治、应急处置、安全通报中心,为全省电子政务提供统一的入侵检测、漏洞扫描、病毒防护、内容过滤等信息安全服务,提高全省电子政务综合安全防护能力。统一建设的全省安全支撑平台租赁服务、公务员数字证书、开户及服务等费用由省电子政务基础设施建设专项资金统一支付;冗灾备份、单位证书、应用服务器证书和应急处置等其它安全服务费用依据合同金额纳入本单位年度财政预算。
(六)整合运维管理
根据整合工作任务,全省电子政务将建成统一的网络汇接、数据存储、信息交换、应用支撑、冗灾备份、安全保障和应用服务等业务应用支撑体系,电子政务统一传输网络、基础设施、统一平台、托管业务系统、基础信息库和信息安全等设施、设备将采用集中运行管理的方式,由财政统一支付租赁和运行维护费用,减少运维技术人员,节约运行维护成本。建立健全统一的电子政务运行维护服务体系,规范运行维护服务管理,采用市场化运作模式,提高整体运行维护服务标准与质量。各部门专有业务系统的业务运行、信息更新、数据处理与加工、文档管理等业务应用、信息维护工作仍由各部门负责。
五、建设电子政务支撑中心
加强电子政务整合工作,一方面省级各部门不再分别建设共用的基础设施,避免重复建设,节约建设投资;另一方面通过统一规划、建设满足各部门实际业务应用和信息交换需要的技术支撑设施。现已基本建成并投入使用的省级电子政务统一平台中心机房,尚不能满足业务系统托管、网络传输、数据存贮和冗灾备份等整合工作要求,急需对统一平台、中心机房现有能力进一步完善和扩容,建设以业务系统托管中心、数据存贮中心和同城异地灾备中心为主要内容的全省电子政务支撑中心,同时兼有应用软件研发、系统升级、运行维护和培训服务等方面内容,实现为全省各级、各部门、各业务系统提供统一的传输网络服务、信息交换服务、数据存贮服务、门户网站服务、技术运行维护服务、系统与设备托管服务、冗灾备份与信息安全服务等功能齐全的综合技术支持服务。
六、保障措施
加强组织领导,建立协调机制。全省各级领导要高度重视电子政务整合工作,加强统一领导。各级信息化管理机构在信息化规划制定、重大政策出台和项目实施过程中要认真贯彻整合意见的各项要求,强化统一管理,加强分管建设项目的论证、立项、审批和监督,确保整合工作目标按期实现。要综合协调本区域、本部门信息化规划、建设、推广应用和资源开发工作,加强在电子政务基础设施、重要业务系统和基础信息资源建设方面的协作与配合,逐步建立分工合理、权责明确、程序规范、共建共享的信息化协调机制。
加强项目管理,规范项目建设。加快全省电子政务网络传输、业务应用支持、信息资源交换、信息安全和运行维护管理等标准化工作进程,规范项目论证、实施和运行维护的管理。各级信息化管理部门在项目论证、立项、审批等环节,要按照基于电子政务统一平台开展业务应用、资源共享的整合工作原则,不再审批各单位专网建设和业务支撑平台机房建设,避免重复建设。各单位要在业务应用、资源开发、信息处理、信息安全等方面下功夫,加强信息化项目设计、实施、测试、验收、信息维护等阶段监管,保证项目建设质量和效益,健全政务信息公开、更新和日常维护工作制度。
拓宽资金渠道,提高资金使用效益。电子政务建设资金、运行维护费用要纳入各级财政预算分级解决,骨干传输网络维护费用下管一级,同时要积极争取国家和相关部委对西部地区电子政务建设资金的支持,改善投资环境,鼓励引导社会资金参与信息化建设项目投资或提供运行维护服务。优先支持社会公众关注度高、经济社会效益明显和跨部门间业务协同、信息共享的业务系统建设,加大信息安全基础建设投入,加强信息化资金的监督和审计,健全审批、投资、监管相分离的投资管理体制,建立信息化工程的绩效评估和考核制度,切实提高资金使用效益。
省信息办要会同省财政厅、省发展改革委等相关部门,依据六类整合工作中确定的资金管理原则,尽快制定全省电子政务运行维护资金使用管理办法。
关键词:虚拟化 网站防篡改 防火墙
中图分类号:TP399 文献标识码:A 文章编号:1007-9416(2015)07-0000-00
以往,许多大型企业都有企业网站,但随着信息化技术的发展,小微企业对网络应用也越来越普及,许多小微企业也接入了Internet网,业务与办公已离不开网络,为了更好的开展业务,做好产品的宣传,许多企业申请了域名,创建了企业网站。由于许多企业对网站安全的了解不深,许多企业都将网站放在了自己的服务器上并托管在电信或联通机房,找人架设了网站企业之后,并没有专门的安全维护人员,由于种种原因,企业网站安全表现在以下多方面(1)内容被篡改,挂上了其他不良信息;(2)网站被挂了木马或其他黑客程序,自家的服务器被黑客用于攻击他人的主机。这些事情发生后,往往给企业的形象、对外宣传造成了负面的影响,也给企业客户带来不好的印象,严重的可能会造成业务损失或其他的法律赔偿,企业网络管理工作面临巨大的压力,采取必要的正常措施、避免类似问题的出现,是每个企业网站需要考虑的问题。
随着虚拟化技术的出现,为企业提供网站安全解决方案不再限于使用传统解决方案,采用虚拟化解决方案带来更多的优点,本文从传统方案的不足、虚拟化解决方案的优势、小微企业网站安全虚拟化解决方案的实现三个方面进行分析。
1传统解决方案的不足
在传统的解决方案中,网站防篡改系统是很常见的解决方案之一,但这些网站防篡改系统并不能从根本上解决问题,仅仅是当发现黑客篡改了网页之后,再把新备份的网页替换回来,但仍然避免不了网站被黑客篡改的问题。而且,网站防篡改系统的价格不低,对小微企业来说,成本太高,不符合许多小微企业的实际需要。
网站防篡改系统往往需要安装于一立的计算机中,而有些小微企业的网站是托管于电信机房的,这就意味着这些企业必须托管多台计算机,而且计算机的性能要高,管理也要到位,才能真正用好网站防篡改系统,这些要求对小微企业来说成本太高。
2 虚拟化解决方案的优势
VirtualBox(虚拟机)是德国一家软件公司开发的虚拟系统软件,使用VirtualBox(虚拟机)能够安装多个客户端操作系统,每个客户端系统皆可独立开启、暂停与停止。主端操作系统与客户端操作系统皆能相互通讯,多个操作系统同时运行的环境,也彼此能够同时使用网络。
ISA Server防火墙是微软提供的基于策略网际网络访问控制、加速、管理于一体的防火墙产品。ISA Server可实现功能包括:保护网络免受未经授权的访问,保护 Web 和电子邮件服务器防御外来攻击,检查传入和传出的网络通讯以确保安全性,接收可疑活动警报。
虚拟化解决方案可以实现从一台服务器中再虚拟安装多一台计算机,运用虚拟机技术,在网站服务器上安装Oracle VM VirtualBox和ISA Server,使用Oracle VM VirtualBox安装一台虚拟机,在虚拟机中配建网站。这样的配置,可以实现ISA Server防火墙保护虚拟机,从而实现ISA Server保护网站的目的。而ISA Server是防火墙与服务器软件,ISA Server的防火墙工作在应用层,具有独立的HTTP过滤功能,可以保护ISA Server后面的网站不被黑客攻破。
3小微企业网站安全虚拟化解决方案的实现
本方案针对于网站采用IIS的,数据库使用SQL Server实现的网站。原来的传统解决方案是在托管主机上安装IIS和SQL Server,网站在托管主机上。现在使用虚拟化解决方案,总的策略是在托管主机上安装一个虚拟机,把虚拟机和托管主机组成五个局域网,并把原来在托管主机上的网站转移到虚拟机,并停止运行托管主机的IIS和SQL Server,减少托管主机的资源占用,正常地发挥ISA Server的功能,达到既能正常发挥网站,又能有效保护网站安全,从根本上解决网站防篡改、被黑客攻破的可能。
3.1在托管主机上安装ISA Server和Oracle VM VirtualBox
在托管主机安装Oracle VM VirtualBox后,创建windows server虚拟机,配置IP使虚拟机与托管主机同网段组建成一个局域网。在虚拟机安装IIS和SQL Server数据库,把网站文件保存在虚拟机,配置IIS WEB网站,使用虚拟机的IIS网站。托管主机上的IIS和SQL Server不用安装,即托管主机上的IIS和SQL Server不再使用,才能最大限度发挥托管主机的资源,同时,也为保证ISA Server正常运行。
在托管主机安装ISA Server,由于ISA Server安装过程中,ISA Server的默认规则是断开通信的,托管主机的操作是远程桌面方式,一旦断开通信,在安装过程中,就操作不了主机,所以,须采用无人值守的自动安装方法实现ISA Server安装。要解决这个问题,可以配置使用ISA Server的“无人值守”功能,并在安装的时候,导入一个具有“远程管理”功能的策略到ISA Server中。当ISA Server使用无人值守功能安装完成后,导入的策略生效,即可避免在远程安装ISA Server之后,失去对远程服务器控制的行为。具体ISA Server策略操作方法,可以参考相关的安装资料,本文不再阐述。
3.2把虚拟机的网站到Internet
将网站到Internet的过程中,首先要实现网站被成功浏览。其次,要使用ISA Server的网站规则和ISA Server防火墙的HTTP筛选器功能,进入防火墙策略,配置HTTP策略,做好对网站的保护。实现网站避免黑客篡改,真正达到安全网站的目标,才是采用虚拟化解决方案的最终目标。
参考文献
[1]王春海.中小企业虚拟机解决方案大全[M].电子工业出版社,2010.
为着力解决“号贩子”和“网络医托”等社会高度关注、人民群众反映强烈的问题,维护公平就医秩序,国家卫生计生委等8部门成立全国集中整治“号贩子”和“网络医托”工作协调办公室,并联合制定了《集中整治“号贩子”和“网络医托”专项行动方案》(可从国家卫生计生委官方网站下载)。现印发给你们,请认真组织实施。
国家卫生计生委办公厅 中央综治办综治秘书室
中央网信办秘书局 工业和信息化部办公厅
公安部办公厅
工商总局办公厅
国家中医药管理局办公室 军委后勤保障部卫生局
2016年4月21日
集中整治“号贩子”和“网络医托”专项行动方案
近期,医疗机构“号贩子”和“网络医托”竞价排名买患者等问题被各大媒体争相报道和转载,引起社会的普遍关注和广泛讨论。国务院领导同志高度重视,多次作出重要批示。国家卫生计生委会同相关部门认真研究提出综合治理措施。北京、上海、广东等地迅速行动,严厉打击违法犯罪行为,积极研究出台了非急诊预约挂号、实名制挂号、严格加号管理等一系列治理“号贩子”、“网络医托”的措施,取得了一定成效。为着力解决“号贩子”和“网络医托”等社会高度关注、人民群众反映强烈的问题,维护公平就医秩序,国家卫生计生委、中央综治办、中央网信办、工业和信息化部、公安部、工商总局、中医药局、军委后勤保障部决定从即日起,以优质医疗资源相对集中的地区为重点,在全国联合开展一次集中整治“号贩子”和“网络医托”专项行动。现结合有关实际,制定本方案。
一、工作目标
近期治标为主,围绕社会关注热点,以医疗资源集中地区为重点,各地各部门联合行动,集中优势力量,重拳出击,对重点城市重点医院的“号贩子”打一场“集群战”,围剿通过互联网散布的“号贩子”、“医托”等有害信息,坚决遏制“号贩子”和“网络医托”猖獗势头。中远期坚持标本兼治,进一步深化医药卫生体制改革,优化医疗资源配置,完善相关管理制度并抓好落实,规范医疗机构广告宣传行为,斩断“号贩子”和“网络医托”利益链条,铲除“号贩子”和“网络医托”生存土壤。
二、组织领导
成立全国集中整治“号贩子”和“网络医托”工作协调办公室。国家卫生计生委监督局、医政医管局主要负责同志担任办公室主任。各相关部门有关司局和国家卫生计生委医政医管局、监督局、宣传司、监督中心分管负责同志为办公室成员。各有关司局、单位确定1名负责此项工作的处级干部担任联络员。
办公室职责:按照专项行动方案要求,协调组织各成员单位开展相关工作;对地方专项行动开展情况进行督导检查;收集各地区、各部门工作情况,定期召开会议通报工作进展;做好跨区域跨部门案件移交;督办重大案件。
要求相关省(区、市)按照以上内容和模式,成立由分管领导负责、卫生计生行政部门牵头、相关部门参加的集中整治“号贩子”和“网络医托”工作协调办公室,做好组织协调、督导检查、信息通报、案件督办等工作。
三、工作安排
(一)第一阶段(4月-6月)。主要任务是:集中力量,重拳出击,严防严打,对“号贩子”予以有力查处打击,正面引导舆论,切实维护诊疗秩序。主要工作措施包括:
一是摸底排查,确定重点查处打击目标。各省(区、市)结合本地区实际,选定重点地区,对大型综合性及专科医院周边治安秩序进行摸排,分析梳理110警情和患者群众的反映,确定重点医院列入挂账整治名单,锁定经常在重点医院及周边活动的“号贩子”目标人群,摸清其活动规律。
二是集中行动,形成强大查处打击声势。各有关省份要针对重点医院和“号贩子”目标人群,研判分析其活动规律,制定全省(区、市)统一的行动方案,各重点医院所在地区公安机关对所有重点医院及周边活动的“号贩子”依法查处,严厉打击违法犯罪活动,形成强大的声势和震慑。发现涉嫌“网络医托”活动的,卫生计生行政部门(含中医药管理部门,下同)、工商行政管理部门要分别对相关医疗机构、互联网企业依法进行严肃查处。
三是加强监控,围剿互联网有害信息。国家卫生计生委监督中心加强互联网信息监测,搜集“代挂号”网站,研判整理互联网“号贩子”和“网络医托”有害信息链接、关键词。各地工作中发现有害信息网址、链接、关键词,及时报告国家卫生计生委监督中心。网信部门根据国家卫生计生委通报的信息,清除互联网违法违规有害信息,采取有效措施,防止借助互联网散布“号贩子”和“网络医托”信息;通信主管部门根据国家卫生计生委等部门通报信息,依法对从事“号贩子”和“网络医托”的违法违规网站进行处置。
四是严格管理,防止“号贩子”扰序。重点医院全面排查可能被“号贩子”利用的管理漏洞,强化医院安保人员配备,加装并切实发挥监控探头作用,按照公安机关的指导加强内部巡逻值守,及时妥善处置突发事件,维护排队挂号正常秩序。属地公安机关及驻院民警加强对群众排队挂号高峰时段重点区域的巡逻盘查,依法查处“号贩子”扰序等违法行为。
五是强化宣传,及时妥善应对舆情。重点医院加大挂号流程途径宣传力度,扩大导医服务,引导患者通过正规途径挂号。各地要积极宣传集中整治“号贩子”和“网络医托”方面采取的措施和阶段性成效,正面引导舆论。建立群众投诉制度,公布举报电话,鼓励群众积极提供案件线索。加强舆情监测和分析研判,提前准备舆情应对口径,及时回应社会关切。
(二)第二阶段(7月-10月)。主要任务是:注重标本兼治,持续查处打击“号贩子”违法犯罪行为,坚决铲除黑恶势力;排查清理医疗相关网站,查处虚假宣传行为;梳理医院管理漏洞,完善相关制度并推动落实,加强号源供给和管理,促进公平就医。主要工作措施包括:
一是持续打击,形成高压整治常态。根据摸排情况,各重点医院所在地公安机关要会同卫生计生行政部门制定实施打击“号贩子”的具体行动计划。每月集中警力组织一次对各重点医院及周边的统一整治行动,对“号贩子”实行不间断地打击;发现存在幕后组织、涉黑涉恶、内外勾结等性质的违法犯罪线索,组织精干力量深挖细查,实施重点打击;发挥驻院民警作用,发现即打、稍乱即整,做好日常打击,始终保持严厉打击“号贩子”的高压态势。
二是集中排查,规范广告宣传行为。通过互联网医疗广告,其内容必须与卫生计生行政部门审查批准的内容一致,不得未经审查的医疗广告。工商行政管理部门加大监测和监督检查力度,查处违法违规医疗广告行为。通信主管部门依法处置相关部门认定的违法违规医疗保健、医疗机构网站。卫生计生行政部门将相关医疗机构作为监督检查重点,查处医疗机构违法违规执业行为。
三是完善制度,堵塞挂号流程漏洞。重点医院全面梳理挂号就诊制度,进一步完善诊疗服务流程,完善相关规章制度,堵塞管理漏洞。取消医生个人手工加号条,利用信息系统统一严格管理挂号加号,切实落实复诊预约、诊间预约和转诊服务等措施,结合医院实际逐步推行知名专家团队服务模式。强化身份校验,有条件的地区推进医院挂号系统平台与公安机关身份认证系统联网,落实实名制挂号、实名就诊制度。建立预约挂号预付费、退号随机投放等制度,防止号贩子“一手退号、一手抢号”的情况发生。
四是加强医院管理,提高应急处置能力。加强医院工作人员的法制培训和医德医风教育,强化医院工作人员管理,对医院内部人员参与倒号现象“零容忍”。严禁医务人员通过商业公司预约挂号加号谋取不正当利益的行为。加强对医院服务水平、能力等有关情况的宣传,引导群众形成合理就医预期。提高应急处置能力,敏感事件发生后要迅速妥善处置,及时准确发声,防止负面情绪放大扩散蔓延。
五是完善重点医院驻院民警制,维护医院及周边正常治安秩序。公安机关要进一步完善重点医院驻院民警工作机制,明确职责任务,及时发现和查处违法行为,会同卫生计生等部门定期对重点医院周边进行清理整治,加强巡逻盘查,指导医院保卫部门加强内部巡逻守护,做好“三防”建设,及时处置突发情况,共同维护医院及周边良好的治安秩序。加强对医务人员的法制宣传和安全防范培训,引导医务人员对恐吓、威胁等不法侵害及时报告医院保卫部门,有针对性的落实预防措施,并报告属地公安机关依法查处。
本阶段各地要开展各种形式的宣传活动,邀请媒体记者随警作战、跟进采访,公安机关定期公布查处打击“号贩子”成果,卫生计生行政部门及时介绍医院管理的新举措,体现专项行动的成效。
(三)第三阶段(11月-12月)。主要任务是:总结专项行动工作,曝光典型和重大案件,将专项行动中一些好的工作机制固化成为长效监管机制,建立“号贩子”黑名单,并纳入社会信用体系。
四、职责分工
(一)卫生计生行政部门。牵头组织各成员单位协调行动。负责加强医疗行业监管,推动实名制就诊法制建设、相关制度建设和推进医改进程,优化看病就医流程,促进医院及其人员自律。指导医疗机构加强内部管理,堵塞制度漏洞,公布举报电话,组织人员加强医院重点部位、重点时段的秩序维护,完善重点部位视频监控系统建设,查处医疗机构违法违规行为,配合公安机关查处“号贩子”违法犯罪行为。积极做好专项行动宣传工作。省级卫生计生行政部门汇总公安机关查处的“号贩子”身份信息,报国家卫生计生委监督中心建立“号贩子”黑名单,并纳入社会信用体系。
(二)综治组织。加强调查研究、组织协调、督导检查、考评、推动,深化“平安医院”创建,推动完善医院安全防范机制,强化医院及周边治安综合治理,依法查处“号贩子”等违法行为,确保秩序良好。
(三)网信部门。各级网信部门按照卫生计生行政部门通报的信息,清理网上散布的“号贩子”和“网络医托”相关有害信息;配合做好专项行动网络宣传。
(四)通信主管部门。依法处置相关部门认定的违法违规医疗保健、医疗机构网站。
(五)公安机关。牵头开展重点医院“号贩子”情况摸排,梳理案件线索,查处打击倒号贩号扰乱医院秩序、“网络医托”诈骗等违法犯罪活动,铲除盘踞在重点医院周边的黑恶势力。地市级公安机关对依法查处的“号贩子”身份信息进行汇总,定期通报同级卫生计生行政部门。完善重点医院驻院民警制度,清理整治医院周边治安秩序,指导帮助医院做好安全保卫工作。
(六)工商行政管理部门。加强医疗广告监督管理,查处违法违规医疗广告的行为。依法查处涉嫌“网络医托”的互联网企业。
(七)中医药管理部门。负责加强中医医疗机构和人员监管,查处违法违规行为;配合加强制度建设和改革,优化看病就医流程,改进医疗服务。
(八)军队卫生部门。按照“谁主管、谁负责”的原则,负责加强军队(武警)医院和人员监管,查处违法违规行为;配合加强制度建设和改革,优化看病就医流程。
五、工作要求
(一)高度重视,加强组织领导。“号贩子”和“网络医托”问题严重损害公平安全就医环境,群众深恶痛绝,长时间得不到有效解决,势必影响群众对医改成果的获得感和满意度。各地区、各部门要充分认识专项行动的重要意义,增强紧迫感,加强领导,切实落实属地监管责任,将集中整治“号贩子”和“网络医托”作为一项重要工作来抓。省级集中整治“号贩子”和“网络医托”工作协调办公室要切实履行职责,加强督导检查,层层督促抓好落实。国家卫生计生委等有关部门将联合组成督查组,适时对重点省市工作情况进行督查。
(二)强化自律,落实主体责任。医院要切实落实主体责任,加强内部人员的教育培训和管理,严格依法依规执业,强化安全保卫工作,改善看病就医流程,落实便民利民措施,努力为人民群众看病就医提供方便。对医院存在制度不落实、甚至内部倒号等行为,造成严重社会负面影响的,追究直接责任人和医院党政主要负责人的责任。
(三)部门联动,形成监管合力。各地区、各有关部门要加强行业管理,严格监督执法,严肃查处违法违规行为。抓紧建立完善部门联动工作机制,加强部门信息通报和共享,强化协调配合,打出组合拳,形成监管合力。充分发挥重点医院所在街道、村居、乡镇人员以及社会力量,形成群防群控的社会共治有利局面。
(四)突出重点,严打违法犯罪。“号贩子”和“网络医托”的分布具有一定的地域特点和活动规律,专项行动不能片面强调覆盖面,要集中优势力量查处打击重点地区、重点医院、重点环节的违法违规行为,特别加大对内外勾结、有组织团伙犯罪等大案要案的查办力度。对采取雇佣“医托”等不正当方法招揽病人的医疗机构,探索纳入医疗机构不良执业行为记分,加强惩戒。
(五)创新引导,建立长效机制。深化医改,推进和规范医师多点执业,促进优质医疗资源有序流动和科学配置。通过远程医疗和对口支援等方式,提高基层医疗服务能力,扩大优质医疗服务供给。进一步推进预约诊疗,鼓励医疗机构利用信息化手段,提高网络预约、移动互联网预约、自助机具预约等非人工预约方式占比,逐步实现非急诊全面预约诊疗。加快医疗保险制度改革,完善付费方式,推进分级诊疗和层级转诊制度建设,推动基层首诊,保障转诊患者优先就诊,确保疑难危重症患者能够得到及时救治,提供公平就诊机会,避免盲目无序就医。
摘要:随着网络技术、信息技术的发展,越来越多的人正在关注防火墙技术,在考虑传统防火墙技术缺陷的基础上,提出了分布式防火墙技术。本文主要探讨分布式防火墙技术的原理、结构和应用。 关键字:分布式防火墙安全管理 abstract: with the development of network technology and it, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. the paper mainly discussed the principle structure and application of distributed fire wall technology. keywords: distributed fire wall security management 一、分布式防火墙概述 1.传统防火墙的缺陷 (1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。 (2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。 (3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。 2.分布式防火墙的优点 (1)增强的系统安全性 增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器pc上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了ip安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用ip安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。 (2)提高了系统性能 消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。 (3)系统的扩展性 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住,克服了传统防火墙因网络规模增大而不堪重负的弊端。 二、分布式防火墙的体系结构 1.网络防火墙 它是用于内部网与外部网之间,以及内部网各子网之间的防护产品。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络间的安全防护体系就显得更加安全可靠。 2.主机防火墙 主机防火墙驻留在主机中,负责策略的实施。它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外(如托管服务器或移动办公的便携机)。 (1)主机驻留。主机防火墙驻留在被保护的主机上。该主机以外的网络(内部网或外部网)都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。从而使安全策略从网络与网络之间推广延伸到每个网络末端。 (2)嵌入操作系统内核。由于操作系统自身存在许多安全漏洞。运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统,以杜绝隐患。 论文网在线 (3)类似于个人防火墙。分布式针对桌而应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先,管理方式不同,个人防火墙的安全策略由系统使用者自己设置,别人不能干涉,其目的是防外部攻击,主机防火墙的安全策略必须由管理员统一安排和设置,除了对该桌面机起到保护作用外,还可以对该桌面机的对外访问加以控制。其次,个人防火墙面向个人用户,主机防火墙则面向企业级客户。 3.中心管理 中心管理服务器负责安全策略的制定!管理!分发及日志的汇总,中心策略是分布式防火墙系统的核心和重要特征之一。一个良好的分布式防火墙系统策略管理模型,对于分布式防火墙系统而言是至关重要的。对于分布式防火端系统,由于在结构上不再依赖拓扑结构,因此系统的规模伸缩性很大。这就决定了分布式防火墙系统策略管理模型必须适应这一需求,所构造的系统必须具有良好的伸缩性。
三、分布式防火墙的应用 1.分布式防火墙的主要功能 分布式防火墙大都采用软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面: (1)internet访问控制。依据工作站名称、设备指纹等属性,使用“internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的internetweb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。 (2)应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/internet的应用服务请求,如sql数据库访问、ipx协议访问等。 (3)网络状态监控。实时动态报告当前网络中所有的用户登陆、internet访问、内网访问、网络入侵事件等信息。 (4)黑客攻击的防御。抵御包括smurf拒绝服务攻击、arp欺骗式攻击、ping攻击、trojan木马攻击等在内的近百种来自网络内部以及来自internet的黑客攻击手段。 论文网在线 (5)日志管理。对工作站协议规则日志、用户登陆事件日志、用户internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。 (6)系统工具。包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。 2.分布式防火墙构建网络安全解决方案的具体应用 一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(networkfirewall),主机防火墙(hostfirewall)和中心策略服务器(centralpolicymanagement)。已的网络拓扑结构如图1所示。
在这里我们具体介绍分布式防火墙在托管服务中的应用。互联网和电子商务的发展促使互联网数据中心的迅速崛起,数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言,该服务器在逻辑上是企业网的一部分,不过在物理上并不在企业网内部。对于这种应用分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件,并根据该服务器的应用设置安全策略,利用中心管理软件对该服务器进行远程监控即可。具体体系结构如下图:
图中的公司a、b、c都是托管用户,这些用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责,就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套cyberwallplus-sv主机防火墙产品,并根据用户具体应用要求,设定的相应策略。对于安装了cyberwallplus-cm中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。 参考文献: [1]肖昌吉,周忠丽,邓文红.分布式防火墙原理及其技术研究中国民航飞行学院学报,2005 [2]王伟,曹元大.分布式防火墙关键技术研究[j].大连理工大学学报,2003 [3]王江峰,牟永敏,李美贵.基于的桥式防火墙的研究[j].北京机械工业学院学报,2006
摘要:随着网络技术、信息技术的发展,越来越多的人正在关注防火墙技术,在考虑传统防火墙技术缺陷的基础上,提出了分布式防火墙技术。本文主要探讨分布式防火墙技术的原理、结构和应用。 关键字:分布式防火墙安全管理 abstract: with the development of network technology and it, more and more people pay attention to the fire wall technology, and brought the distributed fire wall technology on the basis of defect about the tradition fire wall technology. the paper mainly discussed the principle structure and application of distributed fire wall technology. keywords: distributed fire wall security management 一、分布式防火墙概述 1.传统防火墙的缺陷 (1)结构性限制:边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利用互联网构架自己的跨地区网络,包括家庭移动办公和的服务器托管等越来越普遍,所谓内部企业网已经是一个逻辑的概念;另一方面,电子商务的应用要求商务伙伴之间在一定权限下进入到彼此的内部网络,所以说,企业网的边界已经是一个逻辑的边界物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。 (2)内部安全:边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。但在实际环境中,据统计,80%的攻击和越权访问来自与内部,也就是说,边界防火墙在对付网络安全的主要威胁内部威胁时束手无策。 (3)效率和故障:边界防火墙把检查机制集中在网络边界处的单点上,产生了网络的瓶颈问题,这也是目前防火墙用户在选择防火墙产品时不得不首先考察其检测效率而按前机制反在其次的原因。边界防火墙厂商也在不遗余力地提高防火墙单机处理能力甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性瓶颈问题;另外,安全策略的复杂性也给效率问题雪上加霜,对边界防火墙来说,针对不同的应用和多样的系统要求,不得不经常在效率和可能冲突的安全策略之间权衡利害取得折中方案,产生了许多策略性的安全隐患;最后,边界防火墙本身也存在着单点故障危险,一旦出现问题或被攻克,整个内部网络完全暴露在外部攻击者面前。 2.分布式防火墙的优点 (1)增强的系统安全性 增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器pc上。分布于整个企业内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共账号登录网络的用户无法进入那些限制访问的计算机系统。另外,由于分布式防火墙使用了ip安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用ip安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。 (2)提高了系统性能 消除了结构性瓶颈问题,提高了系统性能。传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。 (3)系统的扩展性 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住,克服了传统防火墙因网络规模增大而不堪重负的弊端。 二、分布式防火墙的体系结构 1.网络防火墙 它是用于内部网与外部网之间,以及内部网各子网之间的防护产品。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络间的安全防护体系就显得更加安全可靠。 2.主机防火墙 主机防火墙驻留在主机中,负责策略的实施。它对网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外(如托管服务器或移动办公的便携机)。 (1)主机驻留。主机防火墙驻留在被保护的主机上。该主机以外的网络(内部网或外部网)都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。从而使安全策略从网络与网络之间推广延伸到每个网络末端。 (2)嵌入操作系统内核。由于操作系统自身存在许多安全漏洞。运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统,以杜绝隐患。 (3)类似于个人防火墙。分布式针对桌而应用的主机防火墙与个人防火墙有相似之处,如它们都对应个人系统,但其差别又是本质性的。首先,管理方式不同,个人防火墙的安全策略由系统使用者自己设置,别人不能干涉,其目的是防外部攻击,主机防火墙的安全策略必须由管理员统一安排和设置,除了对该桌面机起到保护作用外,还可以对该桌面机的对外访问加以控制。其次,个人防火墙面向个人用户,主机防火墙则面向企业级客户。 3.中心管理 中心管理服务器负责安全策略的制定!管理!分发及日志的汇总,中心策略是分布式防火墙系统的核心和重要特征之一。一个良好的分布式防火墙系统策略管理模型,对于分布式防火墙系统而言是至关重要的。对于分布式防火端系统,由于在结构上不再依赖拓扑结构,因此系统的规模伸缩性很大。这就决定了分布式防火墙系统策略管理模型必须适应这一需求,所构造的系统必须具有良好的伸缩性。
三、分布式防火墙的应用 1.分布式防火墙的主要功能 分布式防火墙大都采用软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面: (1)internet访问控制。依据工作站名称、设备指纹等属性,使用“internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的internetweb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。 (2)应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/internet的应用服务请求,如sql数据库访问、ipx协议访问等。 (3)网络状态监控。实时动态报告当前网络中所有的用户登陆、internet访问、内网访问、网络入侵事件等信息。 (4)黑客攻击的防御。抵御包括smurf拒绝服务攻击、arp欺骗式攻击、ping攻击、trojan木马攻击等在内的近百种来自网络内部以及来自internet的黑客攻击手段。 (5)日志管理。对工作站协议规则日志、用户登陆事件日志、用户internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。 (6)系统工具。包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。 2.分布式防火墙构建网络安全解决方案的具体应用 一个典型的分布式防火墙系统一般由三部分组成:网络防火墙(networkfirewall),主机防火墙(hostfirewall)和中心策略服务器(centralpolicymanagement)。已的网络拓扑结构如图1所示。
在这里我们具体介绍分布式防火墙在托管服务中的应用。互联网和电子商务的发展促使互联网数据中心的迅速崛起,数据中心的主要业务之一就是提供服务器托管服务。对服务器托管用户而言,该服务器在逻辑上是企业网的一部分,不过在物理上并不在企业网内部。对于这种应用分布式防火墙就十分得心应手。用户只需在托管服务器上安装上防火墙软件,并根据该服务器的应用设置安全策略,利用中心管理软件对该服务器进行远程监控即可。具体体系结构如下图:
图中的公司a、b、c都是托管用户,这些用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。如果托管用户希望把这些服务器的安全问题委托给数据中心专业的安全服务部门来负责,就可以与数据中心签定相应的安全服务保障合同。数据中心的安全服务部门在需提供安全服务的服务器上安装一套cyberwallplus-sv主机防火墙产品,并根据用户具体应用要求,设定的相应策略。对于安装了cyberwallplus-cm中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。 参考文献: [1]肖昌吉,周忠丽,邓文红.分布式防火墙原理及其技术研究中国民航飞行学院学报,2005 [2]王伟,曹元大.分布式防火墙关键技术研究[j].大连理工大学学报,2003 [3]王江峰,牟永敏,李美贵.基于的桥式防火墙的研究[j].北京机械工业学院学报,2006
Abstract: Considering characteristics and advantages of ASP service model, ASP service types for mechanical manufacturing enterprises are presented, finally, the development of ASP commercial model is researched.
关键词:ASP;服务模式;机械制造
Key words: Application service Provider (ASP);service model;mechanical manufacturing
中图分类号:TH16 文献标识码:A文章编号:1006-4311(2011)28-0036-02
0引言
ASP(Application Service Provider)从字面上理解为应用服务提供商,实际上是从中央管理设备来配置租用、管理、共享和运行应用系统[1]。在这种服务模式下,供应商不断开发、提升应用系统及相关服务,并通过网络向用户提供所需服务。ASP的本质是集中式的资源分离和契约式服务。客户将部分或全部业务流程委托给应用服务提供商,通过网络远程获取这些服务。总之,这是一种“软件变服务、服务走网络”的营运模式。
目前,IT业界对ASP而言,泛指那些通过Internet或VPN(虚拟专用网络),将运行在自己服务器上的应用系统出卖或出租给需要使用这些应用系统的公司而收取租金的公司。这些公司或是自己开发这些应用系统,或是从应用程序供应商那里直接购买应用系统。
1ASP服务模式的特点
一般来说,ASP服务商就是通过互联网向用户提供应用程序访问的服务商,它为商业、企业或个人用户提供应用服务的专业化服务,向用户提供配置、租赁和管理应用解决方案。ASP作为一种业务租赁模式,采用远程租用的方式,向其用户提供各种互联网应用外包租用服务业务,如安装、配置、定做和管理定制的封装应用软件,商务处理咨询和外包服务等等。企业用户可以直接租用ASP的计算机及软件系统进行自己的业务管理,任何用户只要通过Internet网络,就可以向ASP租用所需要的应用软件,而不必购买整个软件和在本地机器上安装该软件。最简单的ASP是一种第三方服务公司,它以租赁方式,通过中央服务器实施、管理和远程托管套装应用软件。作为获得或使用该软件的代价,客户支付租用费用。
实际上ASP作为提供服务的公司,本质在于提供应用服务,而这些应用(从所需的硬件平台到应用软件、企业内部资源管理和业务流程的处理等)不是由企业(即ASP的用户)本地提供,而是由特定的供应商提供,并由供应商进行维护、管理及更新,企业通过租赁、承包等方式获得服务。
对于ASP来说,它要向客户提供硬件和软件系统,以及安全的网络环境和可靠的存放关键数据的数据中心设施,它还需要一支高素质的IT专家队伍对整个系统进行管理和维护。ASP可能是一个应用程序软件提供商或ISP,也可能与其他软件供应商或ISP合作,从而使用它们的软件或网络服务。但无论ASP外包服务由什么公司提供,ASP提供给客户的是一个完整的应用系统。
通过上述对ASP应用服务模式的描述,不难看出,ASP服务模式具有以下五个方面的特点:①ASP以应用为业务核心,即ASP为客户提供对应用的访问和管理。②ASP出售或者出租应用访问,即ASP能够为客户提供租赁形式的应用服务,企业用户不必为其应用需求而在设备、软件、人员等方面做大规模的投资,而外包给ASP,并按一定的使用周期付费,从而极大地降低企业应用系统的投资风险和初期投入。③ASP能够进行集中管理,即ASP服务一般在一个中心位置进行集中管理,客户通过互联网络远程访问所需的应用。④ASP对多个客户服务,ASP采用的是一对多的模型,其提供一套标准化应用包,为多个不同的客户提供专业化的应用服务,借此降低企业用户的应用成本。⑤ASP与客户根据合同提供相应服务,所以从客户角度来看,ASP是一家根据客户协议内容提供相关服务,并确保应用服务可以正常运行的服务性机构。
2 ASP的服务类型
根据ASP服务模式的特点,ASP应用服务平台可以在网络上为机械制造企业提供以下几种类型的服务:
2.1 软件租用服务 软件租用是为企业提供应用软件产品的服务方式,在有效时间内,企业具有所使用软件的权限,ASP应用服务平台可以根据协定在一定时间内为企业保留数据,企业也可以自己保存。软件租用服务按照计算的主要位置划分,可以归纳为以下两种服务方式:①离线租用服务:主要计算在客户端,即应用软件整体运行在客户端。在服务过程中,客户需要首先完全下载软件,并按使用时间或使用次数交纳租赁费用,获得软件的使用授权,然后离线使用软件。②在线租用服务:主要计算在ASP服务器端,即客户使用软件是通过Internet实时在线的。在服务过程中,客户可能需要下载客户端软件,并按使用时间或使用次数交纳租赁费用,获得软件的使用授权,然后在线使用软件。
2.2 业务委托服务 业务委托就是客户提供对工作的需求,由服务提供者制订专业技术人员或聘请专家为企业完成工作,并为客户提供最后结果的服务方式。业务委托服务主要计算在ASP服务器端。在服务过程中,客户需要提交详细需求,而ASP则按客户需求提供完整的解决方案。业务委托服务包括业务托管和业务外包两种类型,其中业务外包服务可由ASP或ASP委托其它公司完成。
2.3 数据托管服务 数据托管就是客户将数据寄存给服务提供者,委托服务提供者代为管理的服务方式。软件租用服务中提到的客户的数据可以根据协定在一定时间内保存,这是数据托管的一种。业务委托服务中产生的结果也是客户可能要托管的数据。
2.4 技术咨询服务 技术咨询就是为客户提供相关方面的基础知识,反馈客户的技术问题,包括为客户提供技术方案的咨询。这种服务方式与业务委托服务的区别是业务委托为客户执行了从方案到技术实现到最后结果生成的全过程,而技术咨询并不为客户执行任何操作。
离线租用、在线租用和业务委托服务是ASP的主要任务,而离线租用和在线租用服务则是ASP服务平台需要解决的技术难点问题,其中应用软件的ASP封装是解决软件租用的关键。所谓ASP封装是指系统平台提供一个标准化接口使应用软件能够运行在ASP服务平台上,或者软件拥有者将应用软件进行一定的改造使其符合ASP平台的运行模式。
3 ASP商业模式的发展
电子商务作为一种新兴的商业模式,它具有极大的潜力推动企业“打破”原有企业战略的束缚,彻底改变企业的运作流程,增强顾客与供应商的联系,开拓新的市场。不论从电子商务发展方向看,还是从电子商务发展环境看,电子商务竞争及其竞争结果最终将反映在参与企业的综合竞争力――产品竞争力、管理能力、技术创新能力和其他辅助因素上。电子商务对参与企业竞争力具有战略性意义,这些意义将表现在对产品竞争力、管理能力、技术创新能力的促进上。同时,电子商务应当充分利用信息技术,培育和发展良好的竞争环境,提升参与企业综合竞争力,构建的基于供应链、信息交流和技术创新的战略联盟。
电子商务的兴起必然也带来了新的服务企业,我们称它为电子商务服务商。事实上,这个行业包揽的业务范围相当广泛,从提供接入服务的ISP到提供电子商务软件租赁服务的ASP,从为企业提供网站制作、主机托管到协助企业完成前端电子交易平台和后端电子化的业务管理。但能解决关键问题的电子商务服务商目前并不多见。
企业实现商务电子化(或称之为企业e化),必将大大提升企业的市场竞争力,但是在社会所有企业都提出商务电子化需求之时,整个社会在IT方面的资金投入量将会达到近乎天文数字,而且企业对IT专业人才的需求也将会远远超出整个社会的IT人才供给量。在这种情况下,专业化的ASP必将应运而生,它将建立公共的IT应用平台为所有企业提供租赁服务。ASP的出现不仅提高了全社会IT投资效率,而且降低了单一企业的IT投资风险,为全社会企业实现电子商务时代起到积极的推动作用。
ASP电子商务模式把ASP模式和电子商务模式结合起来,构成一种新的应用服务模式,它主要包括以下三方面的服务[15]:①公共交易信息服务;②公共交易平台服务;③公共应用系统服务。
电子化交易手段大大扩展了交易主体的选择空间并加速全球经济一体化进程,交易主体之间“多对多”的交易关系推动“全球网络化供应链”的形成。在全球网络化供应链中,交易主体在选择合适的交易对象时,由于数量剧增而极大地影响了交易的效率,例如每个零售商都可能需要到很多企业的网站上下订单。在这种情况下,为了提升全球网络供应链的运行效率,在交易主体之间按商品类别建立网上公共交易社区或“网上超市”将会大大提高交易效率,从而衍生出纯粹的电子商务企业,为交易的双方提供交易信息服务和交易平台服务。
基于新的商业模式,可以看出,纯粹的电子商务企业是组成全球网络供应链中的一个重要环节,其目标是通过提供交易信息和交易平台(主要是交易定单和交易结算)等公共服务来提高交易主体之间的交易效率。而公共应用系统服务主要是通过提供互动的应用系统来进行商业服务的。
4 结论
综上所述,作者认为,如果把机械制造行业和ASP服务模式结合起来考虑,充分利用ASP服务模式的特点,开发面向机械制造企业的ASP应用服务平台,该应用服务平台的体系架构应能满足网络计算的要求而且易于集中管理、配置和维护,而且在体系结构上要体现出ASP服务模式的优势,同时也要满足企业用户对应用服务平台的应用需求、功能需求和性能需求,将会推进我国机械制造行业信息化的发展,改善中小型企业的发展现状。
参考文献:
[1]周光辉,江平宇,张映峰.基于Web的网络化分散制造电子服务操作平台[J].计算机集成制造系统-CIMS. 2002,8(4): 294-298.
[2]T. Kern, J. Kreijger, L. Willcocks, Exploring ASP as sourcing strategy: theoretical perspectives, propositions for practice, Journal of Strategic Information Systems, 11 (2002) :153-177.
[3]Benton, Greg, “Adapt or Die: The Evolution of ASPs in Today’s Economy”, ASP IslandOpinion, Accessed January, 2002.
近年来内蒙古在基层社会管理创新的实践上虽取得了一定成效,但也存在一些问题。本文在调查鄂托克前旗基层社会管理现状的基础上,针对这些问题,本文分析了原因,并提出了创新管理理念、加强基础建设,强化“公共服务中心”建设,构建基层社会管理网络,创新矛盾协调方式等的相关建议。
关键词
基层社会管理;基层党组织;鄂托克前旗
社会管理中基层的管理是基石,其既涉及到地方政府管理,又涉及到居民自治,是多元参与的动态复杂过程。
1内蒙古鄂托克前旗基层社会管理的现状分析
鄂托克前旗地处蒙陕宁三省区交界,总人口约7.5万,有蒙、汉、满、苗、回等族,其中蒙古族人口约占总人口的31%。全旗辖4个镇,68个嘎查村以及7个社区居民委员会,分布零散,管理难度较大。经济发展水平落后,属于欠发达地区,鄂托克前旗虽然资源丰富,但就矿产资源和牧业来说,却缺乏精良的开采技术和销售渠道。总体来看,创新鄂托克前旗的基层社会管理,无论从区域还是经济角度来看,都具有紧迫性和现实性。
1.1鄂托克前旗社会管理的主要做法
鄂托克前旗紧抓基层党建,形成了党组织领导、社会协同、群众参与的社会管理格局,形成了党组织和党员联系服务群众的新机制,进一步提高了鄂托克前旗基层党组织建设和社会管理的科学化水平。
1.1.1以群众满意为出发点,管理主体多样化
一是充分发挥基层党建文化的作用。鄂托克前旗通过建设“城乡统筹党建示范区”,在各级基层党组织中大力开展了每年至少一次的主题文化活动,主要包括生态文化、产业文化、服务文化等内容。此外,鄂托克前旗还在嘎查村实施了“年活百树”的增绿工程,支持和鼓励农牧民、社区居民发展农家乐和民族手工艺品制作,每年定期举行现场手工艺品制作比赛,成功地构筑了党建文化品牌。在党建文化的影响下,使农牧民党员群众团结奋斗,积极进取,把党建工作与民族文化和特色及生态建设相互融合、相互促进。二是发挥党员的先锋模范作用。鄂托克前旗在实施禁牧的嘎查,开展了党员干部“一对一”的创业就业活动,要求党员干部加大扶持力度,主动为农牧民创业和再就业提供信息和服务,同时,鼓励搬迁的牧民通过其他渠道来增收致富。除此之外,鄂托克前旗在化解基层社会矛盾中充分发挥了党组织党员在维护基层社会稳定中的积极指导作用,调解了发生在农牧民、社区居民间的一些纠纷。三是在基层社会管理创新中发挥了“第一责任人”的领导核心作用。鄂托克前旗制定了基层党建工作计划、年度计划和工作考核评价体系,使各级党组织书记通过亲自深入基层调查研究来了解农牧民的具体需求和需要解决的问题,从而有效地攻克了制约农牧民致富发展的难题,最大可能地为农牧民致富铺平了道路。还开展了党务公开工作,制定了党务公开实施的细则,建立了相应的组织机构,增强了基层党组织的透明度,在一定程度上推进了基层党建工作在全旗的全面开展。
1.1.2创建新模式,扩大基层党组织参与基层社会管理的多样性、适应性、覆盖性
一是在农牧区社区中开展了“区协、镇管、旗统筹”的模式。鄂托克前旗的实际状况是地广人稀、对农牧民的服务不能及时到位,针对这些情况,建立上述模式,实现管理的适应性和覆盖性。二是在鄂托克前旗生态恢复区实行了“双联共建”模式。所谓“双联共建”就是在帮扶部门与结对嘎查间相互建立联系,针对建设生态恢复区的需要,转移农牧民党员的活动以及为转移农牧民就业、创业提供服务,使转移的农牧民能够稳定地再就业。三是在鄂托克前旗机关系统实行了“协作共赢”模式。在鄂托克前旗机关企事业单位,采用了“公推直选”的方式,重新组建相关部门党总支,并且明确其职能,这样一方面提升了机关企事业单位的办事效率,另一方面在增强协作、促进农牧民转移就业、发挥大系统党组织的作用方面显示了优势。
2内蒙古鄂托克前旗基层社会管理中存在的问题及原因分析
2.1公共卫生和基本医疗服务方面不够完善
目前,鄂托克前旗牧区的公共卫生服务体系不断在完善,新型牧区合作医疗也在全面推行,但还有不足的地方:一是牧区普遍存在医护人才不足,医疗水平落后的情况。农村牧区的医护人员学历层次整体偏低,缺乏对这些人员的培训,服务水平不能满足群众的需求。而且,人才流动大,有点成绩的就会很快进入城镇谋求发展。二是资金不足,牧区医疗投入不足。在牧区医疗机构中,医院现有的医疗设备极其单一且简陋,医疗环境差,制约着卫生服务质量和水平的提高。
2.2基层社区管理压力较大,社区工作专业化匮乏
在鄂托克前旗农村牧区,村民委员会工作存在行政化、半行政化现象,削弱了一些社会组织的自治管理的能力,导致大量的社会管理和服务事务积压到社区。与此同时,社区社会工作专业化制度的推进却明显不足。
2.3网络政务发展缓慢,信息安全缺乏保障
表现在:一是政务网延伸困难,阻碍了党建工作电子平台的搭建;二是即使有了网上业务,但效率太低,不能满足需求;三是建立了政务信息网,但是缺乏对网站信息的安全管理,存在隐患;四是针对突发性事件,不能够有效及时处理,应急处理机制不完善。
2.4传统的矛盾协调方式与社会矛盾的复杂性不相适应
鄂托克前旗基层党组织、党员虽然在化解基层社会矛盾中发挥了一定的指导、协调作用,但在城乡社会转型期,城乡居民利益目前处于矛盾突发期,不同利益群体对各自的利益诉求呈现多层次、分化、复杂的情况。通过本课题的调查,我们发现,鄂托克前旗的社会矛盾主要有几个特点:一是矛盾纠纷主体发生了很大变化,具体来讲,由原来的城乡邻里之间的普通纠纷转变为局部与整体,甚至是干部与群众的矛盾;二是矛盾纠纷的内容也发生改变,过去主要集中在赡养、草牧、家庭等方面,而现在随着城乡发展,内容增加了农牧民维权、拆迁、征地补偿等新内容。
3加强鄂托克前旗基层社会管理的对策与建议
3.1创新理念,找准社会管理切入点
社会管理的实质或核心是做好服务,服务是目标,服务是宗旨。首先,鄂托克前旗应提高事关农牧民生活的基本公共服务的提供质量与水平。如公共卫生、基本社会保障、生产科技讯息及培训、农村文化建设等。这些基本公共服务直接关系农牧民的生活,提高其水平,才有利于农村的发展和建设,农民也才能安居乐业。同时,重视思想文化建设,在现有文化室、阅览室等公共文化服务区建设的基础上,组织群众进行各种文化活动或比赛,增加群众间的交流与联系。此外,鄂托克前旗还需要整合基层各种资源,找到群众真正所需,探求解决问题的有效办法,真正做到以群众满意为出发点。
3.2推进“公共服务中心”建设,整合基层服务资源
“公共服务中心”是鄂托克前旗目前基层服务的主要提供者。要进一步推进服务中心的服务内容与质量,发挥其主体职能。一方面要整合政府的一些公共服务职能,在社会保障、公共卫生等方面继续发挥作用;另一方面也要承接村委会的一些服务职能,在村民自治、基层社会组织、集体经济等方面探索可发展的内容与空间,由此,形成基层的公共服务网络。同时,吸纳各类企业、组织参与本地区的公共服务供给,以“公共服务中心”为核心,整合各项基层服务资源,不断发展区、镇、社区三级的服务网络建设。
3.3加强基层社会组织,提高基层社会管理水平
一方面要发掘社会组织的中介功能,加强社会团体的社会服务功能建设,发挥其桥梁和纽带作用,推进基层社会组织自治制度化、规范化、程序化,发掘其服务群众、反映诉求、调节纠纷等方面的社会管理功能,改变其传统的以老、幼、残、弱为主要参与对象的情况,从而减轻基层社区的工作压力。另一方面,针对基层干部队伍水平偏低的情况,通过各种业务培训、学历教育、与当地高校合作的方式等途径,对基层干部队伍进行整体性、专业化训练,提升社区工作队伍的专业化水平。
3.4建立网络信息应急处置机制,提高政务信息的安全性
第一,在鄂托克前旗农牧区应加强网络设施建设,普及网络知识及覆盖率,将政务网延伸到基层;第二,对于部门的干部也应定期进行计算机使用技术培训和观念指导,使网上能够在第一时间得到回复,进而提高网上的办理效率;第三,鄂托克前旗应就政务信息安全研究建立网络信息应急处置机制,使党务在公开的同时能够保障其安全性。同时,要加强舆情分析,建立舆情应急处理机制,完善对于网络的管理法规。特别是要加强对党员干部的舆情教育,提高其敏锐性和处理问题的应急能力。
3.5强化社会矛盾调处,创新矛盾协调方式和手段
针对鄂托克前旗社会矛盾的主要特点,应立足公平正义,通过建立和延伸有效的社会管理网络来解决。在基层社会管理中,要认真解决好城乡发展中出现的新矛盾、新问题,合理协调各方利益与纠纷,要特别注意保护弱势群体的权益。争取在第一时间处理问题,把矛盾控制在初始阶段,防止矛盾与问题的蔓延与扩大,提高基层解决问题的及时性和有效性。
作者:王宇洁 杨静 单位:内蒙古财经大学公共管理学院
本文是内蒙古自治区高等学校科学研究项目《内蒙古基层社会管理体制改革与创新研究》阶段性成果,项目编号NJZC13217
参考文献
[1]龚维斌.基层社会管理创新的探索与思考[J].国家行政学院学报,2012(3).
购物车(0)
