前言 我处于2012年元月开始对我处的综合业务智能网实行改造升级,于2012年3月基本完成系统的各方面的功能。此系统把我处的原来各自独立的通过纸张传递工作任务的每一个工作环节连接成一个有机的整体,实现无纸化,极大的提高了工作效率;同时通过以太网络,关系型数据库,实现数据共享,极大的提高了数据的准确性、完整性;通过工单管理系统,让生产的每一个环节实现了计算机化的质量管理,使我处的生产质量大为提高;通过先进的计费系统,实现了全网用户的实时计费,实时结帐,此功能在全国专网系统中也是一个技术亮点;通过其先进的帐务系统,使我处能够根据市场的变化及时的调整计费策略,更加灵活的适应市场要求。此系统还有很多功能在这里就不一一列出,总之此系统是我处进行正常生产的基石。 一、 小组概况 小组简介(表一) | | | | | | | | | | | | 本课题从2012年元月至2012年11月经过10次活动,实现了课题目标不。 |
小组成员概况表(表二) 二、 选题理由 通信处综合业务系统网络(以下简称综合系统)是我处进行正常生产,实施质量控制的最重要的系统之一,它的安全稳定与否关系到我处的根本利益。而现有网络结构和配置存在一些隐患和缺陷,在综合系统运行的过程中也发生过几次病毒入侵,导致网络上很多业务终端和服务器因感染计算机病毒而无法正常工作的情况,严重影响了业务系统的正常运行。 因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。 三、 现状调查 1、网络概况 我处综合系统网络是一个比较典型的小型智能网,通过此网络把通信处原有各个独立的小网络,以及单机操作的各个生产环节统一成一个整体,极大的提高了工作效率和质量,同时也为增加了网络的风险。这个网络是一个小型的百兆网络,中心主网络交换机有两个千兆口,其中一个和主数据库服务器的千兆网卡相连;中兴的计费采集服务器和中兴程控交换机的内部网连在一起,外围的公网用户通过VPN服务器和综合业务系统网络相连,VPN服务器打开了外面世界通往内部网络的一扇窗户;各个部门和用户可以通过油田宽带网络用VPN拨号的方式,方便、快捷的访问内部网的各种网络资源;因为业务的需要综合系统网络还和潜江电信的收费网络相连,同时还和移动的收费网络连接。计费室的WEB查询服务器有两块网卡,一个和外部internet相连,另一个和计费室的内部网络相连,因为处于安全的考虑每月和中心主数据同步一次数据后就和内部网络断开物理连接。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。网络现状图见图1 2、网络结构 通信处综合业务网络接区域可划分为五个主要区域:通信处局域网、内部网络、internet区域、小灵通区域、移动区域。又可按照所属的部门、职能、安全重要程度分为许多子网,包括:计费室子网、收费子网、办公子网、市场部子网、广华程控服务器子网、五七程控服务器子网、小灵通业务子网、移动业务子网等。这里只是人为划分的,在技术上并没有实现真正的划分开,因此网上的数据广播可以到达到任何一个子网中去,一旦网络上有病毒入侵,或者非法接入就使网络上每一台终端或服务器面临风险。 网络情况调查表 六、 对策实施 根据制定的对策表及进度安排,我们逐项落实、认真组织实施。 (一)、网络结构 A、 子网划分及隔离 主要通过对计费室主交换机和广华程控机房的汇聚机上VLAN的划分来实现内部子网的物理隔离。 1、划分7个虚拟局域网(VLAN),即:计费室子网、收费子网、广华程控子网、VPN拨号及办工子网、小灵通子网、移动子网、其他子网。 2、通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。 B、 增加硬件防火墙 在内网和外网之间配备可靠性高的防火墙,使外网对内网的访问必须通过防火墙来实现数据交换,是现在最可靠、安全、有效的手段;防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。在VPN接入、小灵通网接入、移动网接入和WEB查询服务器的Internet接入之前配置硬件防火墙,通过其内置的包过滤、防问控制列表和路由转换功能有效的保证网络的安全性。 (二)、管理措施 管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。 1、 制定《综合业务管理系统设备运行管理规定》。本规定涵盖了终端设备准入和使用管理、数据备份、职责划分、防计算机病毒机制、重要设备的巡回检查等方面的内容,是为了保障综合业务管理系统的安全运行、防止非法入侵,预防病毒对系统的破坏,特制定本管理规定。 2、 制定《综合业务管理系统工号密码管理制度》。本规定的目的是预防非法用户入侵,防止重要数据丢失,避免操作权限失控,有效对操作人员工号密码进行严格管理。 (三)、建立服务器的远程监控体系 综合业务网中存在很多服务器,又比较分散的在三个不同的地方;再加上有部分服务器的软件、硬件都时有不稳定的情况出现,经常是问题出现的时间比较长了通过别的部门反应上来,或者是照成了比较严重的影响了才急冲冲的赶去处理。这样被动的去处理问题,故障发现不及时,故障判断不及时,导致服务器设备的故障率居高不下,严重影响了综合业务系统的正常运转。因此我们QC小组,经过认真的研究分析决定决定采取如下的解决措施: 1、 使用远程控制软件Symantec pcAnywhere来实现服务器的集中管理。PcAnywhere是一款非常著名的远程控制工具,使用它可以轻松实现在本地计算机上控制远程计算机,使两地的计算机协同工作。我们在网上的所有windows服务器上安装此软件,在计费室的工作站上实现对所有服务器的集中监控;通过VPN拨号甚至可以实现在家里对服务器的监控。 2、 制定每天两次对各服务器运行状态的巡回检查制度,并做检查日志。 3、 通过上两个措施基本上可以使98%的故障得到及时妥善的处理。如果不能通过远程监控来处理好的,可以打电话给在各点的值班人员来协助处理,或者及时到发生故障的点去处理故障。 (四)、建立防毒、反黑措施 计算机病毒、恶意代码、黑客攻击一直是计算机安全的主要威胁。通过上述的各子网的VLAN划分和内外网的硬件防火墙的使用,可基本上消除黑客攻击的安全隐患。对于计算机病毒和恶意代码的威胁,经过我们QC小级的讨论决定通过以下两方面去解决: 1、 购买江民KV2012网络版的杀毒工具。江民公司最新推出的杀毒软件KV2012网络版,采用了先进的分布式体系结构,不但适合小型局域网,而且对大型企业网同样适用;高度集成化的管理,让整个网络防毒、杀毒、升级更方便和简单;多样化的客户端安装,让网管部署病毒防火墙更快速;先进的移动控制台组件,让网管对病毒防火墙的管理和维护更轻松。在计费室专门用一台计算机做为反病毒服务器,安装KV2005网络版的服务器端软件,然后通过远程安装和上门安装相结合的办法在网内的每一台业务终端和windows服务器上安全KV2005网络版的客户端软件。 2、 根据实际使用的效果我们觉得天网网络防火墙来增强网络安全性。它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,它适合于任何方式连接的网络用户。因此,我们在综合系统网络上的所有终端用户计算机上都安装了天网网络防火墙。 (五)、建立系统备份机制 备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。系统备份又分硬件的物理备份和数据备份。 1、 我们对主数据库服务器的重要的时实变化的数据每一个小时备份一次,对整个数据库数据每天备份一次。这些备份都是通过一台专门的工作站进行无人工干涉的自动备份。 2、 对其它服务器用GHOST对系统数据进行备份,确保出现系统问题后能及时恢复。 3、 对各种网络参数的具体设置进行了备案。 4、 对系统中的重要网络干线铺设了备份线,以便一条有问题能及时的换到另一条上去。 七、 体会及下步工作打算 通过课题活动,小组成员齐心协力运用QC方法,认真实施对策,解决了综合业务系统的安全性上的难题,使系统正常、稳定的运行得到了有力的保证,也让小组成员在业务水平上有了较大的提高,为圆满完成各项生产任务提供了有力保证。 下一步,我们在巩固现有成绩的基础上,继续围绕完善综合业务系统的安全性问题开展QC活动,解决使用过程中出现的新问题,使系统的安全性再上一个新台阶。
|