Talking about Industrial Internet Security Service Cloud Construction
郭宾、雷濛、朱奕辉
(杭州木链物联网科技有限公司,杭州余杭 311100)
摘要
本文基于对工业互联网安全的调研结果,梳理了工业互联网安全的发展现状及面临的四个安全问题,创造性地提出工业互联网安全服务云的概念,旨于满足企业端和监管单位在工业互联网建设中提出的安全新需求。同时,深入探讨了安全服务云的五个发展方向,为工业互联网安全发展提供一个新的思路。
Abstract
Based on the survey results of industrial Internet security, this paper combs the development status of industrial Internet security and the four security issues it faces, and creatively proposes the concept of industrial Internet security service cloud, which aims to meet the needs of enterprises and regulatory units in the construction of industrial Internet New security requirements. At the same time, the five development directions of the security service cloud are discussed in depth to provide a new idea for the development of industrial Internet security.
关键字:态势感知;工业互联网安全;云服务
Key words:NSSA;Industrial Internet Security;Cloud services
一、前言
工业互联网是智能制造发展的基础,可以提供共性的基础设施和能力。我国已经将工业互联网作为重要基础设施,为工业智能化提供支撑。然而近年来工业互联网安全威胁和风险日益突出,各种网络安全事件日益频发,高危系统安全漏洞威胁不断。网络安全已经上升为国家安全的核心组成部分,并在经济和社会发展的关键环节和基础保障方面发挥日益重要的作用。
二、工业互联网安全现状
在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程,为网络、平台提供安全保障。工业互联网实现了全系统、全产业链和全生命周期的互联互通,但打破传统工业相对封闭可信的生产环境的同时也导致被攻击机会的增加。
目前工业互联网安全问题主要体现在以下四个方面:
(1)安全责任界定和安全监管难度大。工业互联网业务和数据在工控系统层、业务监管层、云平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、工业互联网平台运营商、工业应用提供商等。
(2)平台结构复杂,问题涉及面广。海量设备和系统的接入、云及虚拟化平台自身的安全脆弱性、API接口利用、云环境下安全风险跨域传播的级联效应、集团网络安全顶层设计缺失都会带来新的风险与挑战。
(3)终端安全形势严峻。传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题,可能存在大量安全漏洞;大部分核心设备以国外设备为主;重要工业设备日常运维和设备维修严重依赖国外厂商,存在远程操控的风险。
(4)数据本质安全得不到保障。通过工业数据的分析和应用,对生产进行降本增效是目前的主流思路,但数据来源涉及各个网络层级和业务环节,导致数据存在的范围和边界发生了根本变化,给数据安全带来巨大挑战。
三、安全服务云建设需求分析
基于上述现状,本文提出互联网安全服务云的概念,积极构建一个面向关键信息基础设施的立体化、实时化和智能化的网络安全保障系统,持续加强工业互联网安全防御能力、感知能力、管控能力、处置能力和威慑能力,提高企业抗网络安全威胁风险能力,设计需求主要来自企业和监管部门两方面。
企业端:
(1)现阶段主流的安全产品以单兵作战为主,只能对区域的流量信息进行分析处理,对于未知威胁的处理能力则非常弱。需要有效利用云端威胁情报数据,从同类企业数据中进行发掘和分析攻击线索,极大提升未知威胁和APT攻击的检出效率。
(2)传统安全防御体系的重要思想是防御,处于攻击最前沿的网端是安全建设的重点。但随着APT攻击的发展,这样的防御思路已逐渐不能满足要求,需要通过引入威胁情报和规则链技术,提升企业积极防御的能力。
(3)传统安全防护设备进行监测时一般使用通用规则,这种规则库对于与企业业务关联性较强的个性化安全异常识别能力较弱。需要结合场景化威胁检测技术,基于企业用户的业务环境构建威胁检测和响应模型,及时发现企业内部的业务安全风险。
监管部门:
(1)工业互联网安全法规陆续,监管部门存在网络监管的刚性要求,需要对所辖企业中的威胁事件、重要网络资产和终端三个维度的结合,输出各个层面的统计分析结果,实现全方位的网络安全态势感知,协助企业信息部门看清业务与网络安全的关系。
(2)利用数据采集、数据流检测、威胁情报等技术手段,分析和发现攻击行为、流量异常等安全威胁,可以综合判断安全态势,弥补单一企业用户在信息安全数据整合能力、威胁行为预判能力上存在的短板。
(3)需要建立研究成果、威胁情报、漏洞等最新安全信息推送机制。监管单位一般建有完善的安全知识库,推送机制有助于知识库发挥最大功效,帮助企业运维人员安全意识和技能素养,增强企业安全工业互联网防护。
四、 安全服务云发展方向
(1) 强化核心信息基础设施网络安全态势监测能力建设
对信息基础设施网络安全防护措施进行改造升级,采取技术手段健全对漏洞嗅探、攻击侵入、病毒传播等危害网络安全行为的防范措施;实现对网络管理对象的全面纳管和实时监测,建立统一的网络安全运行状态监测记录、操作日志、应用性能和流量数据采集机制。
(2) 强化网络安全威胁信息通报能力建设
对关键信息化基础设施、传输网络和信息应用进行统计和梳理,建立健全备案登记制度,明确网络安全主责单位和责任人。依托对国家权威部门及市网信办监测预警和信息通报系统,建立统一的网络安全威胁情报、系统漏洞和恶意软件收集、评估和分发工作平台。
(3)强化网络安全隐患分析预判能力建设
在实时采集网络运行状态监测记录,全面收集网络安全威胁情报基础上,利用大数据分析技术构建统一的网络安全态势实时分析和监测预警平台。通过分布式实时计算框架对全网全量安全基础信息进行关联分析,及时发现已知安全威胁,确定安全事件的攻击阶段、攻击路线与影响范围,为应急处置提供科学的决策依据。通过基于机器学习构建的网络安全风险评估模型,预测网络安全未知隐患发生的可能性、影响范围和危害程度,有效强化技术威慑与主动防御能力。
(3) 强化网络安全攻击应急处置能力建设
建立健全网络安全事件应急预案,按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施;建立健全网络安全攻击事件应急处置工作平台和技术手段,发生网络安全事件,能够立即启动网络安全事件应急预案,快速组织应急响应专业技术人员,对网络安全攻击阶段进行精准评估,对网络安全来源进行快速研判,采取技术措施和其他必要措施及时消除安全隐患,防止危害扩大,并按照有关法律、行政法规的规定进行上报。
(4) 强化网络安全事件留存取证能力建设
在落实《网络安全法》相关规定基础上,对系统采集的关键信息基础设施、网络和业务应用安全运行状态监测记录、操作日志和流量数据进行全量留存,建立网络安全数据检索和关联查询平台。支持在发生涉及违法违规网络安全事件时配合相关部门进行调查取证;对重要应用系统和数据库进行定期容灾备份和统一归档存储;支持在发生重大网络安全事件时能够快速进行系统恢复,减少可能的数据丢失风险和损失。
(5) 强化网络安全服务能力建设
围绕企业安全能力提升各环节将面临的需求,提供全方位的安全服务。通过安全咨询切入,帮助企业了解安全相关的政策要求;通过风险评估帮助企业梳理清晰安全现状,并进行有针对性的安全建设对现有问题进行整改;通过渗透测试对建设后的安全防护能力进行准确评估;通过提供安全运维和漏洞扫描服务,协助企业开展日常网络安全工作;通过应急演练提高企业人员安全技能;通过安全培训提高企业人员整体安全意识和技能水平。
五、 结语
为切实保障工业互联网建设稳步推进,提高企业工业互联网安全防护能力,在充分调研企业工业互联网安全现状和需求后,发现普遍存在“数据采不上、状态看不到、建设成本高、安全服务少,安全隐患多”等典型问题,工业互联网安全工作难以开展。
本文提出的工业互联网安全服务云概念,可以整合区域内工业企业共性需求,改变传统一个单位建立一套态势感知平台的模式,充分发挥工业互联网的共享特性,将区域内的企业看作一个整体,每个企业作为一个节点,通过部署多维探针设备,监测并汇总数据后由监管单位进行统一态势感知分析,提升整个区域内的安全态势感知水平。通过与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同企业开展工业信息安全治理工作,实现信息的安全、可靠、及时共享,形成快速高效、各方联动的信息通报预警体系。
[1] 工业互联网产业联盟(AII). 工业互联网体系架构[R]. 北京:工业互联网产业联盟, 2016
[2] 工业和信息化部.工业和信息化部贯彻落实《国务院关于积极推进“互联网+”行动的指导意见》的行动计划(2015-2018)
关键词:银企互联项目ERP系统网上银行应用
随着我国企业信息化程度的不断提高,一些能源集团性大型(尤其是发电企业)企业均采用计算机财务软件系统或ERP系统进行财务管理。与此同时,国内商业银行也采用网上银行为集团性企业客户提供方便、安全、可靠的金融服务,企业无需再到银行网点即可办理相关银行业务,网上银行得到了飞速的发展。但随着企业财务管理制度化、系统化、电子化的发展趋势,越来越多的企业纷纷构建了各自的财务系统。财务系统的广泛应用,使企业对银行金融服务提出更高的要求,一方面,企业希望在其财务系统上进行的有关操作能够直接同步到银行进行相关处理,而无需再次使用网上银行,重新提交指令,省去了企业需先登录国内商业银行网上银行才能做业务的操作步骤;另一方面,企业希望银行提供的账务信息能够同步更新其财务系统以供其进行分析和处理。因此,企业财务系统与网上银行系统对接就成为企业十分迫切的需求。为了满足能源集团性大型企业更高层次财务管理的需求,适应企业信息化潮流,实现企业财务软件系统或ERP系统与国内商业网上银行系统的无缝联接。
一、银企互联项目概况
1.流程介绍
(1)内蒙古国华呼伦贝尔发电有限公司(以下简称“我公司”)银行付款现状
我公司现有付款流程为:
①会计人员依据审批合格的付款单在ERP总账和应付模块进行付款创建,生成会计凭证;
②审核人员审核通过后,将纸质的会计凭证交由出纳;
③出纳根据审核通过的纸质会计凭证上的相关信息在网上银行创建银行付款;
④付款审批人员对出纳传递的纸质会计凭证与网银付款信息核对无误后,审批付款;
⑤出纳定期登陆网银确认已批准付款实际支付情况。
现有付款流程相对较长,操作繁琐;ERP系统数据就源输入未能实现,业务流程没有实现闭环操作;出纳人员工作繁重,容易出错,造成付款业务质量及效率得不到提高;业务各个环节的状态无法实现信息共享。
2.银企互联项目流程
业务流程图
①会计人员将总账模块、应付模块中经审核通过的会计凭证过账以后,付款数据会自动进入到银企互联ERP模块中。银企互联目前分为两种付款方式,第一种是公对公付款方式,此部分数据主要来源于应付业务数据,第二种方式为公对私付款方式,此部分数据主要来源于总账业务数据。
ERP财务模块银企互联发起付款界面
②资金会计从ERP银企互联模块发起付款操作,根据业务需要付款分为公对公和公对私两种付款操作。操作完毕以后数据通过ERP和银行接口协议将付款数据传送至中国银行网上银行系统。
③出纳(一级授权网银操作员)登陆网银,在付款管理下公对公和公对私授权管理功能中对通过接口协议传送至网银的付款数据与纸质会计凭证进行核对,核对无误后完成一级授权工作。
④财务经理(网银二级授权操作员)登陆网银,在付款管理下公对公和公对私授权管理功能中对通过接口协议传送的付款数据与纸质会计凭证进行核对,核对无误后完成二级授权工作,完成最终银行付款审批。
3.详细功能介绍
银企互联实现方式:现有ERP系统财务模块+银企互联模块+中国银行接口协议+中国银行网上银行。
(1)ERP系统财务模块作为银企互联的发起点,主要业务包括:
①总账凭证的创建、审核、过账;②应付发票的创建、审核、过账;③供应商银行信息维护和管理;④公司银行信息管理;⑤资金会计人员设置(权限设置、安全性设置、付款业务设置);⑥其他会计人员设置(权限设置、安全性设置、相关功能设置);⑦付款信息查询和管理;⑧付款数据提取与更新;⑨发起银企互联付款。
(2)银企互联智能管理模块包括:
①资金支付明细表管理:
资金支出项目分析管理;
预算执行分析管理和预警;
资金支付类型分析管理。
②付款明细业务分析管理:
付款明细业务分析管理实现业务:
在ERP业务模块实现银行交易记录查询与管理;
按照供应商和员工进行费用支付分析管理,可对员工发生费用进行预警提醒;
按照费用支出类型进行费用支付分析管理(例如机组信息,物资采购)。
③现金流量明细业务分析管理
现金流明细业务分析管理页面:
现金流量明细业务分析管理实现功能
①现金流明细分析和统计功能;
②现金流明细费用明细分析和统计功能;
③现金流明细中的现金流名称进行分析和统计功能;
④现金流明细中的凭证进行分析和统计功能。
(3)中国银行接口协议作为银企互联传输数据的平台主要实现一下功能:
①ERP财务模块的付款数据接收和调度;②传送ERP财务模块的付款数据至中国银行网上银行(银企互联渠道);③ERP财务模块的付款验证传送数据格式;④中国银行网上银行交易详细信息接收和调度;⑤传送中国银行网上银行交易详细信息的至ERP财务系统。
(4)中国银行网上银行(银企互联渠道)作为银企互联网上付款平台主要实现一下功能:
①出纳在网上银行的一级授权;②财务经理或者相关领导在网上银行的二级授权;③银行付款;
3.技术解决方案
(1)网络部署架构
网络部署架构图
(2)技术实现介绍:银企互联技术实现基于一下两个方面:
①ERP系统:我公司采用的ERP系统是oracle EBS R12,此ERP是由世界第一大企业软件公司oracle(甲骨文)公司所研发和维护,Oracle电子商务套件R12采用标准的100%基于互联网的三层体系架构;无论是数据库层、应用层以及最前端的最终用户操作界面都100%支持基于JAVA的先进互联网技术,特别是应用层,直接采用互联网先进技术,不需要任何中间转换过程,在体现先进互联网技术的同时,最大限度的减少了中间环节,保证了系统处理的高性能和高稳定性。
我公司ERP技术优势:一是先进的100%互联网技术架构,降低成本,便于维护;二是先进的信息系统架构,共享单一数据库,统一的数据模型;三是灵活的工作流技术满足流程重组和持续改进;四是高度的灵活性和开放性:模块化的软件体系结构;五是优秀的可扩展性能:应用服务器扩展、数据库服务器扩展;
银企互联ERP模块开发介绍:我公司oracle EBS系统银企互联模块的开发主要设计到的技术包括OAF、PL/SQL等。
OAF介绍:Oracle Application Framework(OA Framework)是 Oracle 提供的基于 HTML应用的开发和平台,OA Framework 由一系列的中间层服务和 Oracle9i JDeveloper 的扩展(Oracle Applications Extension,OA Extension)组成。
OAF特点和优势:提高最终用户的生产力;提供企业级的性能和扩充性;提高开发人员的生产力;应用的高度客户化;符合开发的工业标准;集成的开发环境;持久的个性化和扩展性;一致的用户界面;用户界面的交互性;面向对象的重用;Oracle Portal 的互操作性;内建的安全性。
OAF开发技术实现银企互联ERP模块一下功能:公对 公付款管理和维护;公对私付款管理和维护;银企互联付款信息查询和管理;银企互联供应商银行信息维护管理;现金流明细查询;公司级银行信息维护。
②集成中国银行接口开发。根据中国银行提供的接口协议,集成中国银行接口的开发主要使用Java程序来实现,通过Java程序实现对XML进行解析和传送XML数据的功能。
实现:签到功能报文的解析和传送;公对公转账功能报文的解析和传送;公对私转账功能报文的解析和传送;查询交易明细功能报文的解析和传送;查询账户余额功能报文的解析和传送;签出功能功能报文的解析和传送。
5.安全解决方案
银企互联项目安全解决方案包括:ERP银企互联模块安全机制、中国银行接口协议安全机制、中国银行网上银行(银企互联去渠道)安全机制、网络安全机制。
(1)ERP银企互联模块安全机制:
①ERP银企互联模块安全机制主要包括:我公司现有ERP(即oracle EBS R12)现有的安全行机制;银企互联ERP模块开发所新添加的安全机制
②我公司现有ERP(即oracle EBS R12)现有的安全行机制介绍:职责分配安全管理;账户管理安全管理;配置文件安全设置管理;数据库安全管理;账户访问安全管理。
③银企互联ERP模块开发所新添加的安全机制介绍:
加密技术实施(针对资金管理员操作权限进行加密管理,只有资金管理才对付款进行操作和维护);银企互联业务人员职责管理;中行银企互联前置机配置管理。
(2)中国银行接口协议安全机制:
中国银行提供的USB加密证书,此证书主要用户验证操作员银企互联渠道(资金管理员)信息和发电公司银企互联渠道信息,同时对交易数据进行加密后实现数据传送机制。
① 数字签名,签到和转账等金融交易时对敏感数据签名;
②与服务器直接建立加密的安全通道,建立双向认证的https通信链路;
③安全功能之四,获取前置机地址上送到对接平台服务器,供对接平台核对;
④前置机与总行之间SSL双向认证,客户端通过128位以上密码加密的SSL安全通道访问网银系统,建立SSL连接时验证客户端证书;
⑤客户端认证中国银行CA签发的服务器证书,避免登录假网站;
⑥防暴力破解没有中行CA签发的数字证书无法建立SSL链接。
(3)中国银行网上银行(银企互联去渠道)安全机制:
中国银行网上银行(银企互联去渠道)和现行的中国银行网上银行安全机制保持一致,产品很成熟,这里不一一介绍。
(4)网络安全机制:
我公司网络启用企业防火墙安全管理,ERP系统和中行前置机都是在公司内部机房只有内网用户可以访问,ERP服务器和中行前置机服务器都安装有杀毒软件和防火墙进行实时监控。
6.银企互联项目实现的意义和成果
①银企互联系统的实施,实现了ERP系统付款数据与银行网银系统的无缝连接,有效的减少了出纳的工作量,和传统的出纳相比,提高了工作效率;
②实现了从凭证创建(总账+应付)到付款信息电子数据的全流程传递与跟踪管理,整个支付流程闭环在系统中完成,降低了人为操作失误带来的风险;
③功能模块通过会计人员、资金管理人员权限划分,实现了付款管理从凭证制证、发起付款、支付一级审核与二级审批的四级管理,极大提高了付款管理的准确性,降低了财务人员舞弊风险;
④实现安全性访问支付功能,在保证付款数据安全的情况下,实现了付款业务各个环节的状态信息共享;
⑤在银企互联模块中设置了付款相关数据信息的状态监控与查询功能,实现企业预算管理、现金流管理与支付管理的无缝连接和集成,有效提升了资金管理效率。
⑥在银企互联模块中根据上级单位及公司领导管理意图定制了分析管理报表,提升了我公司资金支付管理的决策支持能力。
参考文献:
[1]范玉顺.信息化管理战略与方法[J].清华大学出版社.2008
随着工业互联网的兴起,世界正在迈向创新与变革的新纪元。通过全球工业系统与先进计算、分析工具、低成本传感和更高联网水平的融合,创新与变革正在展开。数字世界与机器世界的深度融合将具有深刻改变全球工业、并从众多方面影响人们日常工作生活方式的潜力。这些创新有望使航空、铁路运输、电力、油气开采、卫生保健服务等众多工业部门提高速度与效率,也有望使经济增长更加强劲,使就业机会更多更好,使生活水平不断提高。
随着卫生保健成本更低且效果更好,能源消耗大幅降低,实物资产运转更好且寿命更长,工业互联网将像工业革命和互联网革命那样提高效率,加快生产率增长,加快收入和生活水平提高。在美国,如果工业互联网能够促使生产率年增长1至1.5个百分点,使其重返互联网革命时代的增长高峰,那么未来二十年,它将使平均收入高于当前的趋势线,比现今水平提高25%至40%;而且随着创新在全球扩散,如果使世界其它地方的生产率增长能够达到美国的一半,那么未来二十年,工业互联网能使全球GDP增加10-15万亿美元之多,这将相当于当前美国的经济规模。
一、工业互联网将成为下一波产业革命的浪潮
工业互联网将兼具改天换地的两场革命所带来的种种进步:一是由工业革命产生的各种机器、设备和交通工具以及铁路网和电网等网络;二是最近因互联网革命而得到突出体现的计算机应用、信息通信系统方面的巨大进步。这些发展态势将使体现工业互联网精髓的三种要素融为一体:
(1)智能机器。
这是用先进的传感器、控制装置和应用软件以新的方式来连接全球无数的机器、设备、设备群和各种网络。
(2)先进分析工具。
运用物理分析、预测算法和自动控制方面的能力以及材料科学、电气工程和其它关键学科的精深专业知识来分析机器和大型系统的运行情况。
(3)人。
使人们随时相互联通,无论他们是在工厂、办公室或医院中工作,还是在移动中,从而支持更加智能的设计、操作和维护,以及更加优质的服务和安全。
这些要素的连接与组合为企业和各经济体带来了新的机遇。例如,传统的统计方法采用历史数据采集技术,因而数据、分析和决策之间的割裂情况往往较严重。由于系统监控技术更加先进,信息技术成本已经下降,处理数量日益庞大的实时数据的能力一直在提高。高频率的实时数据使我们对系统运作的认识提高到一个全新的水平。基于机器的分析工具则提供了另一个分析维度。由基于机器的分析工具、精深的专业知识、自动化程度更高的信息流以及预测能力构成的这套组合还可以与现有的“大数据”工具套件相结合,结果便是工业互联网以更加新颖的混合方案来涵盖传统方案,从而可以通过面向特定行业的先进分析工具使历史数据和实时数据同时发挥作用。
二、工业互联网的基础构件及其在“旋转设备”中的应用
工业互联网首先将传感器和其它先进仪器集成到各种从简单到极端复杂的大量机器中,使人们能够采集并分析数量庞大的数据,并运用它们来改进机器性能,随之也就必然会提高机器系统与机器网络的效率。甚至这些数据本身也能智能化,能立即知道应到达哪些用户。
单在航空这一个工业部门,工业互联网就有着巨大潜力。大约2万架商用飞机依靠4.3万台喷气式发动机运行,而每台喷气式发动机又包含3件可以单独测量并监控的旋转设备。想象一下,当“智能飞机”可以与操作员交流时,引擎维护、燃油消耗、机组人员配置以及飞行时间安排方面将能达到多么高的效率。这还只是今天的局面。在未来15年里,随着全球航空服务需求继续扩大,还可能有3万台喷气式发动机投入使用。在铁路机车、联合循环电厂、能源加工厂、工业设施以及其它关键资产中,也有机会集成先进仪器。在目前的全球工业资产基数中,总共有300多万件“旋转设备”,而这些在能够应用工业互联网的装置中还只占一小部分。
三、工业互联网使效率提高百分之一的威力
机器与分析工具的紧密结合所产生的效益众多,且十分显著。根据估算,能够直接应用工业互联网技术创新的行业经济产值达32.3万亿美元以上。随着全球经济的增长,工业互联网的潜在应用还会扩大。到2025年,它将能够应用于82万亿美元或全球约一半的经济产出中。
对一些具体行业因工业互联网而获益所做的保守估计也很有指导意义。哪怕工业互联网只实现1%的效率增长,其效果也将相当显著。例如,在商业航空业,节省1%的燃料就能在15年间节约300亿美元。全球燃气发电机组的效率如果能提高1%,就能节省燃料消费660亿美元。全球卫生保建行业也能通过改善流程效率低下的情况而从工业互联网中受益,全球效率增长1%能够使之节省630多亿美元。全球铁路网的货运效率只要能够提高1%,就会节省燃料消费270亿美元。此外,全球上游油气勘探和开采活动的资本使用效率只要提高1%,就能避免900亿美元的资本支出。就工业互联网的潜在效益而言,这些只是略举数例而已。
四、工业互联网将产生广泛的全球效益
作为关键创新的先行者和源头,美国处在工业互联网的前沿。由于全球一体化日渐深化,技术转移日益迅速,工业互联网带来的益处将惠及全球。实际上,随着新兴市场对基础设施投入巨资,工业互联网技术的及早迅速采用就能成为强大的增效器。新兴市场或许有机会越过发达经济体曾经经历的一些发展阶段。例如,直接采用无线技术就能免去电缆和电线的使用,私营、半公营或是公营的云计算系统则可能取代孤立的计算机系统。如此一来,就能更加迅速地填补新兴国家与发达国家之间的生产率差距。而且在这一过程中,工业互联网还将缓解资源约束与财政制约,从而实现全球更加可持续的强劲增长。
五、推动工业互联网发展应具备的关键因素
发展工业互联网要具备一系列关键的推动与促进因素。
第一,在技术创新方面需持续努力,同时也需要投入资金来部署必不可少的传感器、仪器仪表和用户界面系统。投资将是把新技术迅速转化为资本存量的一项根本条件。工业互联网所能实现的成本效益,将成为工业互联网增长步伐的最终驱动因素。部署工业互联网的成本很可能视具体的部门和地区而异,但前提条件是部署成本要使所投资的技术能产生正收益。
第二,在管理网络安全隐患、保护敏感信息和知识产权方面,要确立牢靠的网络安全方法和系统。
赛迪智库软件与信息服务业研究所
工业互联网概念由美国通用电气(GE)公司于2012年提出,旨在物联网的基础上,综合应用大数据分析技术和远程控制技术,优化工业设施和机器的运行和维护,提升资产运营绩效。
国家战略
工业互联网的概念一经提出即成为美国《先进制造伙伴计划》的重要组成部分。2013年3月,美国国家标准与技术研究院(NIST)《工业互联网标准框架任务》,标志着工业互联网正式上升为美国国家战略。
同时,在GE的推动下,AT&T、思科、GE、IBM和Intel等五家分别来自电信服务、通信设备、工业制造、数据分析和芯片技术领域的行业龙头企业,联手组建了带有鲜明“跨界融合”特色的工业互联网联盟,旨在制定通用标准,打破技术壁垒,利用新一代信息通信技术激活传统工业过程,促进物理世界和数字世界的融合。截至目前,工业互联网联盟已经吸引了全球制造、通信、软件等行业159家骨干企业的加入。
互联网联盟的组建,使得工业互联网突破了GE一家公司的业务局限,内涵拓宽至整个工业领域。
在我国,随着2015年《政府工作报告》中明确提出制定“互联网+”行动计划和国务院今年5月份印发了《中国制造2025》,工业互联网与“互联网”+工业、智能制造等发展热点密切关联,其概念内涵又进一步丰富。
工信部部长苗圩在解读《中国制造2025》时指出,“工业互联网是顺应新一轮工业革命和产业变革的一个重点发展领域,也是政府工作报告中提到的‘互联网+’最早实现的行业之一”,“工业互联网的应用和发展可从两个方面切入,实现融合发展:第一个方面,就是智能制造;第二个方面,就是把互联网引导到工业企业、工业行业中去。”
从苗圩部长的解读可以看出,我国的“工业互联网”就是“‘互联网+’工业”,而其内涵不仅包含利用工业设施物联网和大数据实现生产环节的数字化、网络化和智能化(即德国工业4.0描述的智能工厂),还包括利用消费互联网与工业融合创新,实现制造产品的精准营销和个性化定制,通过重塑生产过程和价值体系,推动制造业的服务化发展。
四大发展要点
工业互联网主要有四大发展要点。
一是物联网,主要解决工业数据的采集和传递;
二是智能机器,能够实时采集设备的运行数据,根据预置模型自主选择回传并根据自身决策或远程指令执行相应的动作;
三是工业大数据分析,利用融合以往生产工艺经验和行业应用知识的数据筛选和分析模型,预测设备行为并提出干预建议;
【关键词】 移动互联网 安全技术 现状
引言
移动互联网技术在当前的发展比较迅速,已经和人们的日常生产生活有着紧密联系,移动互联网技术在4G网络的实现下,使得移动终端的功能作用得到了发挥,对人工的移动终端产品和互联网的结合目标得到了实现。移动互联网的安全技术应用过程中,虽然对人们带来了很大方便,但是在安全性问题上一直是比较突出的问题,加强对移动互联网的安全问题解决也是有着难度的,尤其是面对当前的移动互联网发展阶段,通过安全技术的科学应用对互联网安全问题的解决就显得比较重要。
一、移动互联网的安全问题和关键问题分析
1.1移动互联网的安全问题分析
移动互联网的安全问题体现在多层面,其中在互联网的安全问题层面,主要就是在IP开放的架构形式应用下,由于移动互联网的业务丰富性,以及在多样化的接入类型影响下,在上网的终端智能化程度有了很大程度提升[1]。这样就为攻击者提供了有利条件,使得移动网络的攻击者比较容易获得网络拓扑,这样就会对用户的数据信息的传输造成损害,在数据信息的安全性层面的保障力度就会大大降低。
移动互联网安全问题当中的通信网安全也是比较重要的安全类型,主要就是在传统的移动通信网的终端类型单一性情况下,在网络层面相对比较封闭,这就使得智能化程序不是很高,在移动网络的安全上能得到一定的保障。在的那个钱的无线宽带时代到来之后,移动互联网技术得到了很大程度发展,一些终端类型也开始逐渐增多,在软件的漏洞上也比较容易暴露,这就对移动通信网的安全性大大降低,不能有效保障移动通信网络。
除此之外,移动互联网的安全问题还体现在新的安全问题层面,在互联网和移动通信进行结合后,这就对原有的网络安全环境的平衡状态打破了。通信网在安全性能上就有了降低,注重就是互联网的应用丰富性以及身份的可识别性和业务形式的独特性等,这就使得在对电子商务以及移动办公等层面的要求不断提高[2]。在移动互联网的环境下的终端发展安全性,面临着很大的挑战,对终端的芯片处理能力以及内存的功能性有着新的要求,这就比较容易出现恶意代码以及病毒的传播,在移动终端的安全上得不到有效保障,加上移动互联网的环境相对复杂化,这就在网络安全上面临着很大威胁。
1.2移动互联网的安全关键问题分析
从移动互联网的安全关键问题层面来看,涉及到诸多的层面,其中在终端安全机制上就是比较突出的。在终端安全机制层面要能有各个业务应用以及系统资源访问控制能力,在身份认证功能层面也要加以具备。在对业务安全机制层面也要充分重,在3GPP以及3GPP2都有着其相应的业务标准准则,其中有定位以及移动支付等业务安全准则,也有防止版权盗用等标准,在机制层面都要提供可利用技术手段。在网络安全机制层面也要能加强重视,其中在3G等层面都有着相应的安全机制。
虽然在3GPP以及OMA方面提供了相应安全机制,但受到技术因素影响,还都属于基础层面机制,在对移动互联网安全的完善保障层面还比较缺少能力[3]。这就需要结合移动互联网的实际安全问题内容,进行制定完善化的安全技术保障措施加以应用。
二、移动互联网安全隐患以及安全技术保障措施
2.1移动互联网安全隐患分析
移动互联网的安全隐患比较突出,随着社会的发展科技的进步,移动互联网的安全隐患类型也比较多。其中在篡改破坏山就表现的比较突出,一些不法分子对技术手段的应用,对互联网终端系统程序进行恶意修改,对互联网的安全进行破坏,这就对用户的移动互联网正常使用有着很大影响。比较突出的就是黑客以及木马软件对移动互联网系统的破坏,严重的对移动互联网系统造成崩溃。
移动互联网安全隐患中的敲诈欺骗以及窃密监听隐患比较突出,在黑客的攻击下,对移动互联网终端会造成破坏,在一些重要的信息资料上进行获取,并通过欺骗的形式对用户进行诱导,这就影响移动互联网的安全性[4]。还有就是窃密监听的隐患层面,主要就是在当前的而一些智能手机的电脑化发展中,对移动互联网应用中,终端安装上窃密监听的设备对用户的隐私资料进行窃取,以达到自己的不法目的。
移动互联网安全隐患当中的恶意吸费的隐患比较突出。在移动互联网的安全隐患发生所造成的破坏,主要是利益纠葛因素造成的。其中的恶意吸费也是对移动互联网安全破坏的重要因素。在以往的移动互联网恶意吸费主要是通过互联网终端进行秘密连接链接,这样用户在浏览设定的收费网站时候,就会对网站的点击率有效提高,从而实现盈利目的。还有的就是在黑客的这一因素影响下,在移动终端传送手机存储数据,在后台进行发送信息以及彩信等,这就在长期使用过程中,比较容易造成经济上的损失。
2.2移动互联网安全技术保障措施
为保障移动互联网安全技术的作用发挥,笔者结合实际对移动互联网安全技术的应用措施进行了探究,在这些方法的探究下,对实际的移动互联网安全技术的作用发挥就有着积极促进作用。
第一,加强移动互联网终端安全的保障。在移动互联网安全层面,要从多方面进行考虑,从移动互联网终端的安全层面要加强保障,避免外界对终端的入侵,在终端的安全可用性层面加强保证。在互联网终端安全防护层面的加强,能在防毒以及主机的安全层面得以有效保障,对网络的访问控制的作用发挥也比较有利[5]。在移动互联网的终端审计监控工作上要不断强化,移动终端的操作人员在规范性的操作上要充分重视。在实际的监控审计功能发挥上,涉及到的内容比较多,其中的WEB访问控制审计以及网络访问控制审计等,都是比较重要的诶荣。还要注重对移动互联网的终端接入控制以及文档的防密控制,只有在这些层面得到了充分重视,对移动互联网的终端安全性的保障水平就能有效提高。
第二,保障移动互联网运行安全性。在对移动互联网的安全保障措施实施中,在运行过程中的安全防护工作要加强实施。在对网络的内容监听以及安全事件预警方面要不断完善化,形成安全监控以及安全日志管理模式,对移动互联网的安全运行加强保障。从具体的措施实施上,就要充分重视移动互联网业务系统间的访问控制加强,将移动互联网业务以及安全规划的同步性要得以重视,在SDK以及业务上线要求的安全因素植入下,对移动互联网的安全保障就有着积极作用。再有就是对移动互联网的认证技术科学应用加强重视,避免用户对多个系统进行登录造成信息的泄露,然后就要注重对IP地址的溯源部署的科学化实施,对用户网络的接入实名制工作进行完善化实施。
第三,加强移动互联网业务安全保障。在移动互联网的应用过程中,在业务安全的保障工作层面要加强实施,移动互联网中的具体业务以及业务组件提供,都是通过多设备以及软件进行完成的,并涉及到诸多的内容,有用户的操作以及协议的交互等等。加上移动互联网业务的多样性以及设备的相关性比较低,这就在安全性层面有着很大影响,这就需要在认证服务层面不断加强,从移动互联网的业务层面着手实施安全措施,在对业务安全的级别以及等级访问和用户可信度等层面进行妥善实施[6]。在业务的安全级别方面通过静态模糊综合评判的方法应用,对业务的安全级别按照实际标准进行定级,针对性的进行管理,在动态化的业务安全管理实施下,对管理的质量就能有效保障。
第四,优化移动互联网的安全部署工作。在对移动互联网的安全进行保障的同时,要从实际出发,在安全部署工作上进行加强完善,在安全部署层面要能够从多方面着手,在互联网和接入网层面着手实施。在互联网层面对接入服务器以及交换机的内容会有所涉及,而在移动通信网方面就对终端设备以及端口控制等比较重视。这就需要在安全工作的部署中,氖导食龇,将移动互联网的自身安全以及终端运行的功能正常发挥得以保证,在多方面的技术应用下,发挥入侵检测技术以及防火墙技术的作用,对业务系统的部署数据加密防护功能发挥层面要不断加强,将移动互联网的信息安全性有效保障。
第五,加强移动互联网用户的安全意识提高。在对移动互联网安全保障方面,要注重用户自身的安全意识加强,运营商在对业务办理过程中,对移动互联网终端安全防护宣传工作要做到位,让用户对移动互联网的安全防范有更深的认识,从而在移动互联网的安全性方面能有效防御。用户也要在自身的互联网技术知识学习上不断加强,对一些基础性的安全保障防范方法能灵活运用,这对自身的信息数据的安全保护也有着积极作用发挥。
三、结语
综上所述,移动互联网安全技术的应用,要和实际安全问题情况相结合,多方面重视技术方法针对性实施。在新的时展背景下,移动互联网对人们的生产生活的作用愈来愈重要,在保障移动互联网的应用安全性层面,也要加强重视,从多方面加强安全技术的科学实施,只有如此才能有助于移动互联网的安全保障。
参 考 文 献
[1]蔡家辉.浅谈我国互联网信息安全与人权保护问题[J]. 网络安全技术与应用. 2016(11)
[2]何乐臻.计算机信息技术在互联网中的应用探析[J]. 中国管理信息化. 2016(23)
[3]宋光泽.浅析移动互联网信息安全威胁与应对策略[J]. 无线互联科技. 2016(22)
[4]王永建,杨建华,牛辉奇.面向移动互联网的智能终端安全监管平台研究[J]. 移动通信. 2016(21)
互联网的产生和发展,促使了经济全球化的发展趋势。经济的发展离不开会计的职能应用。互联网的快速发展,促使会计的处理方式发生巨大转变,互联网的新型经济体系,使会计的处理方式不再单一化,而是将企业数据库转为由互联网中的运营商提供数据信息服务。利用互联网的网络特性,在互联网中建立新型的会计信息系统,将企业多需求的信息数据服务通过互联网进行会计分析。在互联网环境下,依据互联网的信息储存和以及分析的特性,进行会计工作的创新和发展。本文以在互联网环境下的会计发展方向为探讨的主要内容,本文笔者作出了如下论述:
一、互联网环境的会计特点
(一)互联网增强会计数据的处理能力
目前,伴随着互联网技术的高速发展,全球性市场经济的形成,促使了市场经济竞争愈演愈烈。市场竞争的形式增多,近几年,电子商务的迅速发展,促使企业在竞争中对会计的数据信息分析提出了高要求。新形式的竞争模式对企业的决策者的考验是越发严酷,根据市场变化和企业内部的数据信息分析进行企业的市场拓展的决策成为企业在发展的关键。由此,企业对会计的数据分析内容,由原来资本和盈余情况的体现转为对市场未来发展趋势的分析的要求。互联网技术的产生和发展为会计对企业的市场经济发展趋势的分析数据的体现成为可能。互联网处理数据能力的提高和数据分析能力速度的加快,为企业针对当今大量数据的处理和甄别,提供了技术支持。
(二)互联网为个企业之间建立健全的会计处理信息系统
互联网的运营商可以为企业建立统一的会计处理信息系统。互联网使企业进行数据造假成为了不可能为之的事情。真实可靠的信息数据使会计信息的使用者在将其进行对比使用时,使其能更具有可比性。互联网的信息技术可以依据企业的不同要求,进行会计处理模式的改变和创新。企业可以为节省自身对会计信息处理系统的建立和维护的投资费用为前提,将会计的数据信息处理系统由互联网运营商进行量身定制的设计。高速发展的全球性经济,使经济数据的使用者的类型增加,随之对会计报表的不同要求也相继出现,利用互联网信息技术,建立不同形式的会计报表,使其能满足各个行业会计信息数据使用者的要求[1]。
二、互联网环境下的会计的发展方向
(一)利用互联网的信息技术转变会计的信息数据的处理方式
传统的企业会计信息处理模式主要是进行交易之后处理,会计会根据企业所提供的交易的原始单据进行数据的报表填制,最后通过统一的整合和分析,将数据的整体应用提供给企业的决策者。这种处理方式无法满足当前的电子商务的发展模式的会计数据报表填制的需求。利用互联网的信息技术手段,将企业的交易信息进行适时的记账和报表的填制。互联网根据网络的订单信息,直接根据数据库终端的数据要求,将订单的数据信息根据不同的报表内容进行数据输出,从而节省了会计记账的时间,也提高了企业决策者进行交易工作的决策效率[2]。
(二)利用互联网的信息技术转变会计数据信息的功能
高速发展的企业经济水平,使企业的决策者对会计的要求更集中于会计所提供的数据信息是否能为其作出正确的决策的关键依据。互联网的信息技术,将原有的数据的单一、僵化的形式进行转变。利用互联网的信息技术,将会计数据信息进行不同的分类,企业的决策者可以利用不同类型的报表,进行科学分析,使其作出有利于企业发展的关键决策。互联网的运营商也可以直接对会计数据信息进行分析,决策者依据互联网的信息系统化分析的数据的相关信息,进行企业发展和市场开拓的决策。
三、完善互联网环境下的会计的发展的策略
(一)完善互联网环境下数据的标准
互联网环境下的会计的发展模式是新型的发展形势。新型的事物的兴起和成长的过程,都会出现各种问题。在互联网的环境下,传统会计的相关政策和制度相对于新型的会计形式会显得很不适用。由此,互联网环境下形成标准的会计数据是非常重要的。标准的数据会使企业在会计数据的使用和会计数据信息处理软件的投入成本降低,也可以解决我国长时间的信息孤立的问题。在互联网的环境下,对数据标准的建立,要完全以建立数据基础标准、数据处理标准、数据质量标准这四个方面进行数据的信息收集、整合、分析。具体对建立标准数据的过程,首先要对会计数据信息进行性质定义,确定其数据形式并且依据其形式和各类会计报表的要求进行数据的整合。建立良好数据基础标准,是进行科学合理的互联网应用的前提条件[3]。
(二)完善互联网环境下信息的安全
在互联网的环境下,企业将其会计数据信息进行上传,利用互联网的运营商进行通过对数据的处理,使数据的相关信息能够满足企业的各种要求。这种输入和输出的过程,对互联网的信息安全提出了要求。这种高要求的信息安全性,不仅仅是对互联网的运营商的运行软件的安全性的要求,更是对企业在输出和接收过程中信息的安全性提出了要求。对互联网的运营商的软件安全性的管理和规范,是需要政府部门进行介入,建立有效的规章制度,使互联网的运营商得到保护,也使会计数据信息得到安全的运行。企业要提高自身的互联网应用的技术能力,并建立安全的传输系统,需要对传输过程建立密钥验证,从而保证企业信息不被窃取。提高企业员工的网络安全意识,不可随意进入不可靠的网站。建立良好的互联网信息安全环境,促使市场经济健康稳定的发展,也使会计系统得到提高[4]。
人民银行内联网中,大部分服务器都存放着重要的金融数据、企业资料等信息,物理隔离内联网与互联网,保障了这些重要数据和信息的安全。然而,人民银行的许多业务需要通过互联网来实现与政府、金融机构及企业间的数据交换。因此,如何高效、安全地使用互联网,就显得尤为重要。基于IC卡的互联网管理系统,可以实现上网身份登记、时限控制及上网内容过滤等功能,从而有效地限制互联网娱乐,节约带宽,降低网络运行成本。 一、系统可行性分析 (一)系统必要性分析。对于拥有互联网计算机的业务部门,系统可以有效地避免工作时间内使用互联网进行与工作无关的活动,有助于规范互联网的使用。 (二)技术可行性分析。IC卡应用系统是利用科技手段实现对传统业务的高效运行管理。目前基于IC卡的应用系统已在金融、社会保障、交通、教育以及公共事业等众多领域得到广泛的使用,系统设计日趋成熟,开发环境简单友好,实施部署方便快捷。 (三)成本可行性分析。实现IC卡应用系统,只需在基层人民银行现有的计算机网络系统平台上额外添加IC卡读写终端和登录控制器即可,而一张IC卡的成本约30元,且使用寿命大于5年,相比传统的互联网计算机管理办法,节省了大量的人力、物力资源。 (四)系统安全性分析。IC卡是通过嵌入卡中的电擦除式可编程只读存储器集成电路芯片来存储数据信息的,具有存储容量大、信息易读取以及安全保密性好等特点。卡内信息通过加密后无法复制和读写,无安全密钥的情况下,试图读写IC卡信息将导致卡内信息自毁。这些特点完全符合人民银行关于接入国际互联网的相关要求,同时加强了对国际互联网使用的管理,监控手段更加多样,维护更加方便。 (五)功能拓展性分析。“一卡通”形象地说明了IC卡应用系统的拓展性,其数据存储功能可以很方便地将考勤系统、门禁系统以及食堂饭卡功能包容一身。这种功能的可拓展性,大大延伸了IC卡应用系统的使用范围和使用寿命。 二、系统功能设计 (一)系统硬件机构。IC卡互联网管理系统结构由中央服务器、管理端计算机、监控计算机、防火墙、IC卡读写器、登录控制器6个部分构成。 (二)系统功能模块。系统包含4个功能模块:客户端系统负责读取IC卡上的身份.标志,通过比对数据库中的身份信息确认上网人身份以及该身份可以使用的上网时间;管理系统负责基本的数据录入及编辑功能,完成监控、跟踪和审计员工上网行为,根据上网情况发出控制命令;监控及计时系统判定互联网使用者的合法性,实施监控、记录、处理全部上网信息和扫描所有互联网计算机使用情况;查询系统提供员工查询服务,可了解自己详细的上网信息。 三、系统实际效用 (一)有利于提高科技部门的服务效应和资源利用率。IC卡互联网管理系统的应用,可以使科技部门精确掌握互联网计算机的用户数量以及带宽使用情况,从而根据需要配置互联网计算机的数量,以及互联网带宽,提供有针对性的服务,可以有效地降低维护成本。 (二)有利于加快基层央行自动化进程。员工只需使用自己的IC卡就可以就近使用互联网计算机来了解时事动态、查找资料,节约了自己和科技部门的时间,加快了行内自动化进程。 (三)有利于加强管理。加强科技部门对互联网的管理,有效地减少互联网带来的安全威胁,从而提高业务系统的安全运行质量。
【关键词】互联网 一点接入 信息安全
随着信息技术的快速发展,互联网的基础性和全局性作用日益增强,互联网在各行业得到了广泛应用。在享受互联网带来便捷工作的同时,也伴有负面影响和严重安全威胁。由于缺乏规划和管理,复杂的互联网使用环境也带来诸如员工工作效率降低、带宽资源滥用、信息机密外泄等问题。加强互联网使用管理,规范上网行为,提高网络资源利用率已成为目前网络应用的迫切的需求。
一、背景
2012年12月28日,十一届全国人大常委会第三十次会议审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(下称“决定”)。其核心内容,正是多年来饱受争议的网络实名制。据此,决定规定:网络服务提供者为用户办理网站接入服务,办理固定电话、移动终端等入网手续,或者为用户提供信息服务,应当在与用户签订协议时,要求用户提供真实身份信息。工业和信息化部在2009年下发了《关于开展政府部门互联网安全接入试点工作的通知》(工信厅协〔2009〕42号)文件,确定北京、上海、重庆和陕西作为国家政府部门互联网安全接入的试点单位,试点结果是减少互联网接入口数量,实现集中接入互联网,统一安全管理,降低建设及管理成本,提高信息系统安全防护水平。河北省在省公务外网、石家庄市、秦皇岛市、廊坊市和邯郸市同步开展了政府部门互联网安全接入工作,实现政府部门互联网接入由分散接入转变为相对集中接入,安全防护由各自为战转变为体系化安全防护。宁波市机关效能建设办公室在全市103家机关单位电脑上统一安装了上网行为管理系统,从源头上杜绝公务员违规上网的现象。这些举措对保障电子政务的应用安全,做好网络与安全工作具有重要意义。加强互联网管理,规范上网行为,提高网络资源利用率已成为目前网络应用的迫切需求。
目前,人民银行系统业务网和办公网与互联网已经实现严格的物理隔离,在内部网运行中,已具备有效管理和控制模式,但在互联网的管理方面还存在不足。以山西省人民银行系统为例,太原中心支行辖区包含省会中支1个,地市中心支行10个,县支行96个,互联网客户端数量超过1000台。其中地市中心支行均有互联网接入,所辖县支行绝大部分有互联网接入,均由各地自主管理。地市中支一般采取专线方式或ADSL方式,带宽为2M至6M不等,县支行一般采取ADSL拨号方式,带宽为2M至4M不等。上网模式、宽带带宽以及接入互联网的计算机数量规模都存在较大差异,管理方式较为粗放,组网设备参差不齐,连通效率高低不一,存在较高的风险隐患。为了有效规范互联网接入情况,管理互联网上网行为,防范信息类风险,从2011年以来,太原中心支行组织建立山西省人行系统互联网一点安全接入项目,并在晋城市中心支行以及阳城县支行进行了试点。通过试点后,2012年在全省人行系统实施互联网一点接入。
二、设计方案
全省人民银行系统实施互联网一点安全接入后,全面调整网络链路,采用专线方式连结省、市、县三级网络结构,由太原中心支行负责统一互联网出口,出口带宽为150M,各地市至太原中支专线带宽为6M,县支行至地市中支专线带宽为2M。图1为网络总体结构。
整个互联网由太原中支负责进行统一管理和上网监测,主要由互联网管理系统和互联网LDAP系统组成,其中互联网管理系统包括子系统、上网行为管理子系统、客户端安全子系统、日志分析子系统等四个子系统。子系统负责为全省互联网用户提供上网服务;上网行为管理子系统通过建立认证准入、管控外接设备、更新安全软件、限制外联、阻断非法连接、拦截敏感词汇等方式。按时间、类型、用户对上网行为阻断和放行,限制不当行为;对关键业务带宽提供保障,限制普通用户过分占用带宽,防止带宽滥用,实现用户上网实名制,记录用户上网日志;客户端安全子系统对客户端的接入申请要履行审批制度,对于未经审批的客户端,即便硬件接入网络,也无法使用互联网络服务;日志分析子系统对上网行为全程跟踪记录,提供网络行为审计,建立网络行为日志,通过商业智能软件挖掘和分析上网行为,并对日志及分析结果及时归档保存,为深入了解和有效管理上网行为提供决策依据。
上网行为管理子系统采用东华软件公司开发的专用FlowShaper流量管理系统,FlowShaper流量管理系统由集中的流量监控管理软件(FSview)和流量监控探针(FS-1200)组成。FSview具有识别分类、动态分析、策略控制和全面报告等内容,实现了对网络实时监控、流量管理、用户管理、网络分析、P2P疏导、UML过滤和报表报告等功能。FlowShaper采用DPI(深度报文检测)技术和DFI(深度检测)技术,通过透明桥接的方式串接在网络关键点,实现对网络流量7层应用进行分析、管控和审计。
上网行为管理子系统主要包括统计流量分析、用户深度分析和应用深度分析。每一项分析中又包括总带宽分析和总流量分析。流量监控对网络进行实时自动监控及长期历史数据收集;可监控带宽、流量、协议和应用等出站、入站或双向的具体信息。以忻州市2012年12月5日至2013年1月5日为例,表1为总带宽分析,表2为总流量分析。
三、主要成效
通过建立全省人行系统互联网一点安全接入,整合省、市、县三级互联网接入方式,减少各单位互联网接入口数量,对互联网出口链路进行流量管控和上网行为安全规范管理,提高网络带宽利用率,降低专线网络的运营成本,建立统一的安全防护策略和防护措施,实施集中统一的安全实时监测和管控,将互联网风险由结果管理变为过程管理,管控正常行为中的异常活动,有效防范互联网风险的发生。
(一)营造一个高效、安全、绿色的上网环境。实施集中统一对互联网行为和客户端进行管理,对上网行为进行检测,建立网络行为日志,提供网络行为审计,规范员工的上网行为,提高工作效率,禁止员工上班时间从事一些私人网络行为,如网络游戏、网上看电影、BT下载、炒股等。以忻州市2012年12月5日至2013年1月5日为例,互联网一点接入上线前,总流量使用为986.35GB,流量占比最大的是视频浏览和点对点下载,平均占比为40%,网页浏览平均点比仅为12%;互联网一点接入上线后,总流量使用为551.36GB,流量占比最大的是迅雷和网页浏览,二者占比为69.3%,视频浏览和点对点下载的平均占比下降了30%。
(二)加强信息安全,管控外发信息,降低泄密风险。一点接入后,实施对互联网统一集中管理,能够有效识别威胁插件,具有恶意脚本过滤技术,能够过滤挂马网站的访问、封堵不良网站,从源头上切断病毒、木马的潜入,同时结合客户端安全强度检查与网络准入,确保安全上网。充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,保护信息资产安全,降低网络风险。
购物车(0)
