第一篇:安全解決方案
調度系統安全解決方案
一.保障范圍:包括主調度室及各廠站在內的局域網內部相連的計算機
二.潛在問題及解決方法: 1.人為的攻擊破壞:
通過windows操作系統本身的權限設置來保證
2.因病毒引起的安全問題:
安裝殺毒軟件并定期更新,具體方案有以下幾種:
a.采用殺毒軟件單機版
實施:因為該局域網是一個相對封閉的系統,規范操作下沒有病毒的輸入途徑,所以只需在處于樞紐的機器上安裝,如3#機,服務器
優點:成本低,單套價格不超過200,操作簡單
缺點:不便于集中管理,病毒更新需單個操作
可供選擇的產品:Norton AntiVirus系列,趨勢PC-cillin系列,Kaspersky單機版……
b.采用殺毒軟件的網絡版(企業包套裝)
實施:安裝一個server端和多個客戶端,通過sever端來統一配置管理客戶端的病毒更新 優點:功能豐富,便于集中管理
缺點:成本較高,每臺機器的配置成本600左右,以Symantec為例25用戶約17000(國內外軟件差價4000-5000),需專人配置維護
可供選擇的產品:Symantec AntiVirus Enterprise Edition,趨勢科技防毒墻中小企業包,趨勢科技OfficeScan…….c.直接安裝網上下載的殺毒軟件
附:產品介紹
1.Symantec AntiVirus? Corporate Edition
為企業范圍內的工作站和網絡服務器提供全面的病毒防護
隨著傳播性、破壞性強的病毒出現得越來越頻繁,企業范圍內的病毒防護現在已成為一項核心的業務需求。但是,僅僅在防火墻和電子郵件網關實施病毒防護還不能夠提供全面的保護。需要在工作站以及網絡服務器層實施全面的病毒防護,才能在企業范圍內確保系統的正常運行以及用戶的工作效率。> 獲獎的全面病毒防護技術
Symantec AntiVirus? Corporate Edition 為企業范圍內的工作站和網絡服務器提供可伸縮的跨平臺病毒防護。它還為駐留在工作站和網絡服務器層之外的存儲環境提供額外的保護。獲獎的 Symantec防病毒技術可以用來檢測并防護所有主要文件類型(包括移動代碼和壓縮文件格式)中的病毒、蠕蟲和特洛伊木馬。該解決方案在提供高級掃描和修復服務的同時,對現有網絡基礎結構的資源要求很低。病毒定義文件的減小和多線程服務器分裝的實現加速了更新的發布,同時通信流量的不斷增長使得在多臺服務器之間實現自動負載均衡也很容易實現,從而確保了具有高度可伸縮性的病毒防護功能。> 集中策略管理
集中管理功能使得 IT 管理人員可以管理各人用戶和按功能劃分的用戶組,還可以創建、部署和鎖定策略和設置,從而使得系統在任何時候都能夠保持最新的狀態和正確的配置。所有工作站和網絡服務器設置都可以鎖定,使用戶無法對其進行更改。另外,管理員也可以通過管理控制臺來配置并監控工作站和網絡服務器。如果檢測到病毒,將自動啟動修復功能,并通過賽門鐵克系統中心控制臺以廣播的形式向 IT 管理人員發出警報。中心管理控制臺能夠管理數十萬個節點。> 新功能具有更強的防護功能以及更高的靈活性
網絡審核功能使得管理人員可以識別出哪些節點受到 Symantec AntiVirus 或 Computer Associates、McAfee?、Panda、Sophos 或 Trend Micro 防病毒產品的保護。網絡審核功能還能識別出容易受到病毒攻擊的未保護節點。這使得管理人員在事件發生前可以主動采取措施來保護節點的安全,并確保系統的正常運行以及用戶的工作效率。此外,Symantec AntiVirus Corporate Edition 還與 Windows? Server 2003、Netware? Secure Console 和 64 位 Intel? Itanium? 2 硬件兼容,從而可以在企業遷移到最新技術時提供不間斷的保護。> 易于安裝和部署
通過賽門鐵克系統中心(Symantec System Center?)管理控制臺,可以為多平臺的工作站和網絡服務器集中部署病毒定義和產品更新,從而降低了在企業內部署更新的成本。此外,Symantec Packager? 技術使得管理員可以通過創建部署包來指定在每個系統安裝哪些組件。集中分發可以減少部署時遇到的麻煩,如“sneaker net”、作業失敗以及安裝錯誤等。它還簡化了企業規劃以及服務器層次結構和組的創建。安裝過程能夠智能地預測可能遇到的問題,從而極大地減少了安裝失敗的可能性及其可能導致的網絡問題。
> 自動病毒防護
數字免疫系統可以自動提交潛在威脅,并自動將解決方案發送到出現問題的計算機或整個企業。通過與賽門鐵克全面的后端架構(包括硬件資源、體系結構設計以及最新的掃描引擎和 Web 爬網程序)相結合,數字免疫系統能夠確保最高級別的服務可用性。通過與賽門鐵克安全響應中心這一全球最大的病毒防治研究和響應組織提供的全天候警戒服務相結合,Symantec Antivirus Corporate Edition 可以極大地減少從新病毒提交到解決方案提出所需的時間。下列技術可以增強解決方案的自動響應能力:
? NAVEX? 模塊化掃描引擎技術在更新病毒定義和掃描引擎的同時,不額外要求重新部署軟件和重新啟動系統,從而確保了最長的正常運行時間,并降低了總擁有成本。
? LIVEUPDATE? 技術可以實現病毒定義的自動、定期發送,從而確保防護功能始終處于最新狀態。
BLOODHOUND? 啟發式檢測技術通過檢測類病毒行為來識別未知病毒。Bloodhound 可以檢測到 90% 新出現的宏病毒,80% 新出現的未知可執行文件病毒,包括惡意移動代碼。?
? 基于互聯網的技術與后端閉環自動系統相結合,使得管理員可以輕松地使用 HTTPS 通過互聯網直接自動的將可疑文件提交給賽門鐵克,而不需要 IT 人員的干預。解決方案可先經過測試,或自動部署到受感染的終端或整個企業。閉環自動系統極大地減少了對快速傳播的威脅程序的響應時間,從而有助于減小攻擊期間網絡發生故障的可能性。
? 中央隔離區使得管理員可以將所有不可修復的、受病毒感染的文件轉移到中央服務器上的安全區域以進行進一步的檢測。此功能從受宏病毒感染的文件中剝離敏感的私有數據、殺除主計算機環境中的病毒,并防止病毒在整個組織內傳播。? 賽門鐵克自動病毒防治研究(SARA)通過利用突破的宏病毒自動分析和修復技術能夠分析提交給賽門鐵克安全響應中心的樣本,并通過電子郵件發送病毒定義來殺除新出現的病毒。
? 病毒定義傳輸方法(VDTM)使管理員簡化了將新的病毒定義傳輸到受管理的網絡服務器和工作站的過程。增量式病毒定義進一步加速了更新過程。
2.趨勢科技OfficeScan V5.5:企業級防毒解決方案
趨勢科技防毒墻網絡版OfficeScan V5.5是用于臺式和筆記本計算機的集中式管理的企業級防毒解決方案。OfficeScan 有助于保護企業或機構的Windows XP/2000/NT/Me/98 /95 計算機不受病毒和惡意代碼的侵害。OfficeScan 基于服務器的集中式部署和管理功能為您提供了工具,使用戶可以通過使用它的Web 控制臺來對整個組織管理和實施防毒策略,并對來自任何地方的病毒緊急事件做出迅速反應。
OfficeScan V5.5包括OfficeScan服務器、OfficeScan客戶機和管理控制臺三部分,這些組件具有以下主要功能:
OfficeScan服務器:是所有客戶機配置、病毒日志及客戶機軟件和更新的中心倉庫。它可以安裝在Windows NT Server 或Windows 2000 Server/ Advanced Server上。通過它,安裝、監控并管理網絡上的客戶機,可以從趨勢科技更新服務器下載病毒碼、掃描引擎和程序更新,然后將它們分發到客戶機。
OfficeScan客戶機:可以通過在每臺計算機上安裝OfficeScan 客戶機來保護Windows 計算機不受病毒攻擊。客戶機提供三種掃描方法——實時掃描、預設掃描和手動掃描。管理控制臺:通過整個網絡監控OfficeScan 以及配置服務器和客戶機設置的中心點,可以將臺式和筆記本計算機分組到邏輯域中以同時配置和管理,在一臺計算機或多臺計算機上設置掃描配置并啟動手動掃描,可以接收病毒活動通知,查看病毒活動日志報告,在客戶機上檢測到病毒時接收通知,并通過電子郵件、尋呼機和SNMP 陷阱發送病毒爆發警報,通過配置和啟用“手動阻止爆發”控制病毒爆發。強大的集中管理
當安裝OfficeScan服務器基于HTTP版本時,用戶就安裝了Web 控制臺。此版本管理控制臺使用標準因特網技術,例如Java、CGI、HTML 和HTTP,操作非常方便,用戶可以通過Web控制臺配置防毒策略、執行病毒掃描,通過為在網絡上檢測到的所有病毒指定一個隔離文件夾,可配置自動將被感染文件移動至隔離文件夾,控制活動著的病毒和被感染文件。通過生成各種日志類型,包括病毒日志、系統事件日志、更新日志和驗證連接日志來驗證更新部署、檢查客戶機/服務器通信,并確定哪些計算機容易被感染。標準警報會通知用戶關于網絡上的病毒活動的情況。OfficeScan 向用戶提供發送警報的多種方式。(見圖1)
圖1 OfficeScan可提供發送警報的多種方式
靈活的可定制性
OfficeScan 提供三類掃描:實時掃描、預設掃描和手動掃描,用戶可以通過基于這些策略配置三種類型的掃描來通過網絡強制實施組織的防毒策略,也可指定要掃描的文件類型(掃描內存、掃描引導區、掃描壓縮文件、掃描所有文件及掃描指定擴展名的文件)和發現病毒時采取的處理措施。在對被感染文件的處理措施列表中,可以設置暫不處理、刪除、重命名、隔離和自動清除等處理方式。(見圖2)
圖2 OfficeScan 提供三類掃描
方便的升級模式
用戶可以通過配置服務器從趨勢科技更新服務器下載病毒碼文件、掃描引擎或程序更新來更新組件。服務器下載了所有可用更新之后,基于用戶所在客戶機更新下的自動部署窗口上指定的部署時間表,將這些更新部署到客戶機。可以配置服務器以定期檢查趨勢科技更新服務器,并自動下載任何可用的更新。因為客戶機通常從服務器獲取更新,服務器自動更新是確保對病毒的防護保持最新的簡便有效的方式。OfficeScan提供使用自動部署更新客戶機、使用手動部署更新客戶機、啟用預設更新、使用客戶機上的立即更新四種更新客戶機的方法。有效的控制
OfficeScan V5.5可以通過使用“手動阻止爆發”控制網絡上的病毒爆發,例如封閉共享文件夾、封閉端口并拒絕對文件和文件夾的寫訪問等措施。(見圖3)
圖3 OfficeScan V5.5可控制網絡上的病毒爆發
第二篇:信息化安全解決方案
信息化安全解決方案
隨著信息化及寬帶網絡建設的發展,具有跨區域遠程辦公及內部信息平臺遠程共享的企業越來越多,并且這種企業運營模式也逐漸成為現代企業的主流需求。企業總部和各地的分公司需要實時地進行信息傳輸和資源共享,公司內部需要進行數據的傳輸,企業之間的業務來往越來越多地依賴于網絡。但是由于互聯網的開放性和通信協議原始設計的局限性影響,所有信息采用明文傳輸,導致互聯網的安全性問題日益嚴重,非法訪問、網絡攻擊、信息竊取等頻頻發生,給公司的正常運行帶來安全隱患,甚至造成不可估量的損失。
目前企業信息化的安全威脅主要來自以下幾個方面:一是來自網絡攻擊的威脅,會造成我們的服務器癱瘓。二是來自信息竊取的威脅,造成我們的商業機密泄漏,內部服務器被非法訪問,破壞傳輸信息的完整性或者被直接假冒。三是來自公共網絡中計算機病毒的威脅,造成服務器被計算機病毒感染,而使系統崩潰或陷入癱瘓,甚至造成網絡癱瘓。四是來自內部數據外泄的威脅,造成公司內部數據被惡意傳播。
一、服務器安全防護措施
1、在服務器上安裝防病毒軟件,對計算機病毒進行有效查殺,并對殺毒軟件進行定期更新;
2、服務器系統軟件建立雙擊熱備機制,一旦主服務器系統遇到故障或受到攻擊導致不能正常運行,保證備用服務器系統能及時替代主服務器系統提供服務;
3、服務器提供集中式權限管理,針對不同的應用系統、終端、操作人員,由服務器系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。不同的操作人員設定不同的用戶名,并且定期更換,嚴禁操作人員泄漏自己的口令。對操作人員的權限嚴格按照崗位職責設定,并由服務器系統管理定期檢查操作人員權限;
4、服務器平時要處于鎖定狀態,并保管好登陸密碼;遠程連接設置超級用戶及密碼,并綁定IP及MAC地址,以防他人登陸;
二、網絡與數據安全保障措施
1、服務器網絡防護措施
(1)服務器安裝專業的安全軟件,提供基于網絡、數據庫、客戶端、應用程序的入侵檢測服務,確保服務器系統的高度安全;
(2)定期對服務器系統進行安全掃描和分析,排查安全隱患,做到防患于未然。
2、軟件數據安全防護措施
(1)對ERP系統用戶設置明細權限,不能隨意導出系統中的數據,確保ERP數據不被隨意拷出;
(2)對于不同公司ERP人員若沒有工作上的重疊,設置此類用戶不可見其他公司賬套及數據信息,只查看及參與自己公司賬套的操作;
(3)ERP主服務器必須每天做一次數據全備份,并熱備到備用服務器上,保證確保每天的備份數據可以追溯;
(4)對客戶端用戶設置權限,禁止引出ERP系統中數據,并對ERP使用人員電腦修改注冊表,禁止電腦文件拷到U盤中;
(5)對使用ERP電腦安裝加密軟件,對所有數據進行充分加密,保證數據安全;
(6)對于ERP共享數據,采用只讀模式,若需要引用,需按照流程進行申請;
(7)對于操作日志信息,要保存至少一周記錄,定期導出存檔,保證IP地址及計算機名稱完整,若出現差錯便于追究責任。
編制:
審核: 時間:
時間:
第三篇:安全防范系統解決方案
? 安全防范系統解決方案
第一節 技防工作在社會治安綜合治理中的作用
技防工作是公安業務工作的重要組成部分,是搞好社會治安綜合治理不可缺少的重要手段。隨著改革開放的深化和社會的發展,社會治安形勢也日趨嚴峻,出現了不少新情況、新問題,盜竊、入屋搶劫、盜搶機動車輛等刑事案件不斷增多,在總發案中占了相當大的比例。特別是金融、文物、經營珠寶等單位或部門更是犯罪分子作案的主要對象,使國家、集體財產和人民群眾的生命財產安全受到嚴重侵害和威脅。
為貫徹全國治安工作會議提出的實現社會治安明顯好轉的要求,在打擊違法犯罪、維護社會穩定的工作中必須堅持“打擊和防范并舉,治標和治本兼顧、重在治本”的方針,一方面要堅持專門工作與群眾路線相結合的策略,鞏固和發展群防群治;另一方面,依靠科學技術手段大力開展技術防范,充分發揮安全技術防范手段在預防、發現、制止違法犯罪和嚴重治安災害事故中的作用,對防護部位和目標進行全方位、全天候地監控,及時、準確地發現、記錄犯罪,使人防、技防緊密結合起來,形成一個有效的社會治技防范網絡,以增強社會治安的整體防范能力和公安機關對社會治安的控制能力,切實維護和促進改革發展穩定的大局,保證廣大人民群眾安居樂業,為社會主義改革開放和現代化建設提供有力保障。
打擊與防范是公安工作的兩條主線,把技防工作做好了,可以體現向科技要警力,可以從某種程度上降低打擊犯罪的成本,有利于改善社會治安秩序,也有利于國家的政治穩定。我省技防工作的實踐有力地證明了技術防范是公安機關搞好社會治安綜合治理不可缺少的重要手段。“治安環境好了,投資環境也就好了”。技防工作要納入社會治安綜合治理目標管理,由各級人民政府督促有關職能部門做好管理工作。公安機關作為技防工作的行政主管部門,應該在各級黨委和政府的領導和支持下,與各相關職能部門聯系協作,以社會安全為中心,群眾滿意為出發點,引導行業健康發展,做好各項規劃、管理、指導和監督工作。
第二節 常用術語和常識
1、安全防范與安全技術防范
“安全防范”是公安保衛系統的專門術語,是指以維護社會公共安全為目的采取的各種防入侵、防被盜、防破壞、防火、防暴和進行安全檢查等措施與手段。這些措施與手段從大的方面分類,可分為“人防”(如巡邏人員、警衛人員、保衛人員及公安干警完成的安全保衛工作)、“物防”(如防盜門、圍墻等)和“技防”。所謂“技防”也就是為了達到防入侵、防盜、防破壞等目的我們采用以電子技術、傳感器技術和計算機等技術為基礎制造的安全防范使用的器材設備,并使用先進的技術將其構成一個系統,使其比傳統的人防與物防更加先進、可靠和嚴密;成為一種全天候、全方位、全自動的安全防范體系。這樣的一種防范方式與防范手段,國家有關部門將其定義為“安全技術防范”,簡稱為“技防”。而由此應運而生的安全防范技術正逐步發展成為一項專門的公安技術學科。
安全技術防范使用的器材、設備以及其組成的系統能對入侵者做到遠距離和隱蔽地發現或覺察,能快速反應,并及時抓獲罪犯,對犯罪分子有強大的威懾作用。而安全技術防范又能達到及時地發現事故隱患、預防破壞,減少事故和預防
火災發生的作用,所以它是公安保衛工作中很重要的手段,尤其是在現代化技術高度發展的今天,犯罪更趨智能化,手段更隱蔽,加強現代化的安防技術就顯得更為重要。
安全技術防范涉及到社會的方方面面,社會上的重要單位、要害部門,如黨政機關、軍事設施、國家的動力系統、廣播電視、通訊系統、國家重點文物單位、銀行、倉庫、百貨大樓等等,這些單位的安全保衛工作極為重要,所以也就是安全技術防范工作的重點。
黨政機關,存放著大量的政治、經濟、軍事、文化、外交和科學技術等重大決策性文件和資料,是絕對機密的材料,它關系到國民經濟的發展,這些機密同黨和國家的命運息息相關,一旦被盜、被竊,將會給黨和國家的利益造成重大損失,甚至危及國家安全。
黨政機關又是黨政領導人的工作場所,他們的安全直接關系到黨和國家的前程,所以公安保衛部門就把確保黨和國家領導人的安全作為一項重要任務。用人防和現代化的技術防范來保證其人身安全,主要做好外圍防線的周界防范,出入口的人防與技防,檔案庫、資料庫、辦公室的防入侵、防盜、防火的安全防范的系統工程。
在軍事要地、國防科研和生產單位,那里存有或正在研制各種性能先進的武器裝備或戰略性武器,如核武器、導彈、飛機及其配套的電子或機械產品,它的研制成果直接關系到國防現代化和國家的安危,其本身就是一項機密,一旦泄密將會造成不可彌補的嚴重后果。這些單位的周界、出入口、生產線和庫房,資料檔案室是安全防范的重點。
國家的重點建設項目技術先進,機械化、自動化程度高,經濟效益好,是國民經濟發展的重要組成部分,它的發展直接影響到我國的財政收入,對滿足人民群眾日益增長的物質生活和文化生活的需要,起著重要的作用。這些重點建設項目規模大、投資大、工期長,所以建設的全過程也是我們保衛工作的全過程,所有的原材料、設計圖、資料、檔案、重點關鍵設備、資金等都是我們防范的對象。國家的重要文物單位、場所保存了我國幾千年的文化歷史遺產,它反映了我國各歷史發展階段的社會制度、生產、生活的真實面貌,是研究歷史、繼承革命的最形象的實物,具有永久性的保存價值。許多藝術品,工藝品反映了各歷史階段的藝術水平和對世界文明的貢獻,所以這些文物的價值是很難用金錢來衡量的,通常稱無價之寶。隨著市場經濟不斷地深入,文物的盜竊和反盜竊的斗爭日趨激烈,堅決執行國家頒布的“博物館安全保衛工作的規定”,保護文物安全,反盜竊、反破壞是我們安防工作重點之一。
銀行、金融系統、金庫,歷來是犯罪分子作案的重要場所。這些單位是制造、發行、儲存貨幣和金銀的重地,如果被盜、被破壞,不僅使國家在經濟上蒙受重大損失,也會影響國家建設和市場穩定。儲蓄所,尤其地處偏遠的儲蓄所是現金周轉的主要場所,建立電視監控、報警、通訊相結合的安全技術防范系統是行之有效的保衛手段,實踐證明取得了明顯的防范效果。
大型商店、庫房是國家物資的儲備地,它是國民經濟的重要組成部分,這里商品、資金集中、是國家財政收入的重要組成部分。每天數以萬計的人員流動,犯罪分子往往把此作為作案的重要場所,因此這些場所的防盜、防火是安防工作的重點。居民區的安全防范關系到社會的穩定,是社會安全防范的重點,決不能掉以輕心。社會治安的好壞,直接影響每個公民的人身安全和財產安全,以及每個公民建設社會主義的積極性。安定團結是建設有中國特色的社會主義不可缺少的基礎條
件,所以加強防火、防盜的職能,安裝防撬、防砸的保險門,建立裝有門窗開關報警器為主的社區安防系統是行之有效的防范手段。
利用安全防范技術進行安全防范首先對犯罪分子有一種威懾作用,使其不敢輕易作案。如小區的安防系統、門窗的開關報警器能及時發現犯罪分子的作案時間和地點,使其不敢輕易動手。商店、自選市場的電視監控系統使商品和自選市場的失竊率大大減少,銀行的柜員制和大廳的監控系統也使犯罪分子望而生畏,所以對預防犯罪有相當作用。
其次,一當出現了入侵、盜竊等犯罪活動,安全技術防范系統能及時發現,及時報警,電視監控系統能自動記錄下犯罪現場以及犯罪分子的犯罪過程,以便及時破案,節省了大量人力、物力。重要單位,要害部門安裝了多功能、多層次的安防監控系統后,大大減少了巡邏值班人員,以提高效率,減少開支。
安裝了防火的防范報警系統就能在火災發生的萌芽狀態及時得到撲滅,以避免重大火災事故的發生。
將防火、防入侵、防盜、防破壞、防暴和通訊聯絡等各分系統進行聯合設計,組成一個綜合的、多功能的安防控制系統是我們從事安全技術防范工作的管理人員和工程技術人員的努力方向。
2、安全防范產品、安全防范系統與安全防范(系統)工程
安全防范產品
用于防入侵、防盜竊、防搶劫、防破壞、防爆安全檢查等領域的特種器材或設備。
安全防范系統
以維護社會公共安全為目的,運用安全防范產品和其他相關產品所構成的入侵報警系統、視頻安防監控系統、出入口控制系統、防爆安全檢查系統等;或由這些系統為子系統組合或集成的電子系統或網絡。
安全防范(系統)工程
以維護社會公共安全為目的,結合運用安全防范技術和其他科學技術,為建立具有防入侵、防盜竊、防搶劫、防破壞、防爆安全檢查等功能(或其它組合)的系統而實施的工程。通常也稱為技防工程。
安全防范系統通常包含的子系統:
入侵報警系統
利用傳感器技術和電子信息技術探測并指示非法進入或試圖非法進入設防區域的行為、處理報警信息、發出報警信息的電子系統或網絡。
視頻安防監控系統
利用視頻技術探測、監視設防區域并實時顯示、記錄現場圖像的電子系統或網絡。
出入口控制系統
利用自定義符識別或/和模式識別技術對出入口目標進行識別并控制出入口執行機構啟閉的電子系統或網絡。
電子巡查系統
對保安巡查人員的巡查路線、方式及過程進行管理和控制的電子系統。停車庫(場)管理系統
對進、出停車庫(場)的車輛進行自動登錄、監控和管理的電子系統或網絡。
防爆安全檢查系統
檢查有關人員、行李、貨物是否攜帶爆炸物、武器和/或其他違禁品的電子設備系統或網絡。
安全管理系統
對入侵報警、視頻安防監控、出入口控制等子系統進行組合或集成,實現對各子系統的有效聯動、管理和/或監控的電子系統。
3、安全防范的三種基本防范手段:人防、物防和技防
人力防范(人防)
執行安全防范任務的具有相應素質人員和/或人員群體的一種有組織的防范行為(包括、組織和管理等)。
實體防范(物防)
用于安全防范目的、能延遲風險事件發生的各種實體防護手段[包括建(構)筑物、屏障、器具、設備、系統等]。
技術防范(技防)
利用各種電子信息設備組成系統和/或網絡以提高探測、延遲、反應能力和防護功能的安全防范手段。
第四篇:中小企業數據安全解決方案
中小企業數據安全問題剖析
隨著計算機網絡技術的發展和業務擴展的需要,很多中小型企業開通了遠程聯網和遠程業務,從局域網發展到廣域網,因而很容易受到社會上黑客的攻擊和惡性病毒的感染,加上網絡環境硬件本身的可靠性和操作人員的差異性,企業網絡的安全運行已引起公司領導的極大關注。
雖然中小型企業業務網絡都采取了一定的措施,例如用戶權限密碼管理、部署防病毒軟件、安裝防火墻等。但是企業信息系統仍十分脆弱。采用備份來解決數據安全問題,仍可能會受到小疏忽的影響。
人為錯誤是導致數據安全問題的首要原因
山麗數據安全調查小組的研究報告顯示,40%的家庭、企業、政府和IT經銷商用戶相信,人為錯誤是導致數據遺失的首要原因。這表示雖然用戶的技術和知識在幾年來都在進步中,但人為錯誤仍然是數據遺失的關鍵因素。常見的人為錯誤包括意外刪除文件和忘記備份。在全世界眾多中小企業中,有很多擁有辦公電腦,但是卻沒有安全管理的服務器。這意味著他們沒有辦法享受通過集中式管理,將數據直接提供給員工、合作伙伴以及客戶帶來的好處。將各種數據都存在個人電腦上則很容易因為人為錯誤而被意外刪除。
數據外泄也會發生在中小企業
數據外泄導致數據遺失,無論是有意還是無意,絕大多數的數據外泄事件都是從有讀取公司內部網絡及信息的用戶權限開始的。
數據竊取成為網絡威脅的形式之一
和大型企業一樣,中小企業也是網絡犯罪的目標。有價值的員工和客戶信息都是網絡犯罪的目的。黑客通過垃圾郵件或者用戶訪問惡意網站時不經意的下載,從而竊取與銀行、社交網絡以及電子商務網站有關的機密信息。
山麗數據安全調查小組總結十大數據安全措施,其中重點強調,數據安全措施越早實施,效果越好。1.2.3.4.5.風險。
6.7.8.數據安全措施越早實施越好。在規劃階段就明確數據安全保護策略。明確企業中哪些數據屬于敏感數據。充分考慮行業規定和政府法規。審視分析信息系統中是否藏有夾帶敏感數據。收集足夠信息來明確合規風險。
明確業務分析是否需要訪問真實數據。如需訪問,選擇敏感信息加密技術靈活避免確保密文與明文不同版本數據的管理。
確保數據安全技術對所有數據文件提供一致的保護力度。確保特定數據是否需要定制數據安全方案。9.確保企業選擇的數據安全技術與企業日常工作訪問控制能夠相互操作。10.需要使用數據加密技術時,確保部署合適的數據安全技術實現無縫聯接,對數據正常無障礙訪問。
第五篇:放射源安全管理解決方案
放射源安全管理解決方案
——北京萬維盈創科技發展有限公司
1.項目概述 1.1.項目背景
近年來,我國因管理不善等原因造成放射源丟失、被盜的事件時有發生,導致多起放射性污染事故,嚴重威脅人民群眾的生命健康。據不完全統計,從1954年到2003年年底,全國共發生各類輻射事故1500余起,平均每年發生事故30余起,其中4起輻射事故曾經造成8人死亡。
目前,在用放射源的核素有47種,民用的主要核素是137Cs、60Co、241Am、238Pu、90Sr、192Ir、63Ni等;而以137Cs、60Co、241Am為核素的放射源分別占放射源總數的41.61%、25.1%和8.18%,這三種核素占到總數74.89%。盡管放射線應用的前景十分看好,但其對人體有著極大的危險性,它可破壞人體的組織,也會引起惡性腫瘤,甚至會使各類生物遺傳基因產生突變,使細胞染色體遭到破壞。因此如果有關部門不對放射源的整個生命周期進行有效監管,很可能發生人員傷亡事故,甚至發生惡性的區域污染事件.某省使用放射源單位XX余家,放射源XX余枚,河北省放射源點多面廣,且隨著近年來核技術應用的普及,放射源數量也在增加,河北省環保部門對放射源監管工作的任務極其艱巨。河北省他人民政府依據國家《核安全與放射性污染防治規劃(2006—2020)》中關于逐步建立全國核與輻射安全監管信息系統的工作指示,發布了河北省《印發關于建設環境保護四大體系實施意見的通知》,該通知中明確提出要建立“全省輻射環境監測系統和放射源網絡監控系統”。
然而,目前傳統放射源監管技術不能實現放射源的實時動態監控,放射源的用/存/移全過程處于監管真空狀態,有關部門無力應對放射源丟失、非法移動等事故;環保部門放射源審批過程還是以人工操作為主,費時費力,效率較低;現存多數系統尚未實現放射源移動執法能力,限制了放射源監管執法工作的實時、靈活、便捷的開展。
作為放射源使用大省的某省,實現核與輻射“管理程序化、組織網絡化、技術規范化、方法標準化、裝備現代化、質保系統化”的能力建設目標已迫在眉睫。1.2.建設思路
“管核先管源”是各級環保部門對放射源進行監控管理的基本原則。無論是放射源使用單位還是放射源監管單位,從根本上講應解決以下問題:
1、放射源是否安全,是否存在意外丟失的可能;
2、放射源是否出現泄漏現象;
3、放射源的應用管理措施是否有效,是否會對確定或不確定人群形成傷害;
為達到監控放射源的目的,利用先進的物聯網技術、自動控制技術、通訊技術、傳感技術、GIS技術、GPS技術、圖像識別技術等技術,將放射源安全管理建立了以GPS-CPS定位及劑量率為檢測單元的集數據監測,同時輔以視頻技術為基礎的“某省省放射源物聯網在線監控系統”。
“某省放射源物聯網在線監控系統”將實現放射源的監控(RFID監控、視頻監控、劑量監測)、放射源使用許可和轉移審批、放射源轉移GPS實時定位監控、放射源監察巡檢、放射源移動監察及放射源應急管理等體系,真正做到“防丟失、防偷竊、防泄漏”,從根本上提升放射源監管水平。將輻射防護檢測技術與IT技術融合為一體,既實現了環保對放射源的監控技術要求,也實現了公共安全的監控追蹤要求。1.3.建設內容 某省放射源物聯網在線監控系統擬采用輻射探測技術、視頻信息技術、網絡技術、全球定位技術、地理信息技術等先進技術,設計、開發、建立重點放射源自動監控項目,計劃分期分批實現對河北省全省放射源的在線監控與管理。計劃從2011年開始分部實施將全省***家***枚源或庫納入監控系統。其中固定源單位***家,移動源單位***家。
監控范圍包括:測厚儀、密度儀、料位計、分析儀、探傷機等。監控技術分別采用固定源劑量監控、視頻及移動源的劑量監控、GPS-CPS軌跡監控、及RFID射頻監控等。1.前端監控系統:對放射源所在場所進行監控、并對過程和狀態的信息進行采集。
2.數據采集與傳輸系統:利用有線、無線網絡等多種傳輸手段,將實時采集的數據傳輸至監控中心。數據傳輸系統擬采用租用中國電信專用網絡,視頻監控信息儲存在電信服務器中,采用電信托管管理方式。其他監控系統傳輸儲存在環保局監控中心服務器中。
3.中心數據庫:中心數據庫的建立、維護管理、查詢、分析及發布。中心數據庫建設在省環保局監控中心。
4.監控平臺:全面準確的了解放射源所在場所的狀態、位置等具體信息,在此基礎上,對放射源實現合理、有效地管理,對異常情況實現自動報警,并進行緊急狀態下的應急響應與處理等。
5.監控中心:通過通信傳輸線路與放射源自動監控設備連接,實現對放射源的在線、連續監測,并對放射源監控設施運行情況實時監控。1.4.實施原則
放射源的安全監控措施是放射源的安全防護設施的重要組成部分,本方案將遵循以下原則:
1、責任主體原則:各涉源單位作為放射源使用和管理的第一責任主體,放射源在線監控系統的建設并不免除各放射源應用單位應承擔的放射性污染防治各項義務和責任。
2、實用原則:本方案將根據我省實際,選用當前先進、可靠、成熟、實用的技術路線和監控措施,統一放射源在線監控儀器設備技術要求。
3、統一監管原則:為保證在線監控系統的有效運行,河北省放射源物聯網在線監控中心由河北省環境保護廳全額出資建設,放射源在線監控系統的前端監控設備的運行維護由河北省環境保護廳統一委托第三方進行運行管理。1.5.建設依據
《中華人民共和國環境保護法》
《中華人民共和國放射性污染防治法》 《河北省輻射污染防止條例》 《國家環境保護“十一五”規劃》(國發[2007]37號)《國務院關于落實科學發展觀加強環境保護的決定》(國發〔2005〕39號)《國家環境監測管理條例》
《全國環境監測站規范化建設指南》
《國家發展改革委、財政部關于印發國家環境監管能力建設“十一五”規劃的通知》(發改投資[2008]639號)
《環境監控中心建設技術要求(試行)》
《國家應急平臺體系信息資源分類與編碼規范》(試行)《國家應急平臺標準體系框架》 《應急信息資源目錄系統設計規范》 《放射源安全和保安行為準則》-IAEA 《關于發布放射源分類辦法的公告》-國家環境保護總局公告 2005年 第62號
《關于建立放射性同位素與射線裝置輻射事故分級處理和報告制度的通知》-環發〔2006〕145號 關于印發《關于γ射線探傷裝置的輻射安全要求》的通知-環發〔2007〕8號
1.6.參考標準
《電離輻射防護與輻射安全基本標準》(GB18871-2002)《輻射防護用Χ、γ輻射劑量當量(率)儀和監測儀》(JJG 393-2003)《計算機軟件開發規范》(GB8566-88)《接地裝置施工及驗收》(GB50169-92)《自動化儀表安裝工程質量檢驗評判標準》(GBJl31-90)
《ANSI N42.33-2006 American National Standard for Portable Radiation Detection Instrumentation for Homeland Security》
《ANSI N42.20-2005 American National Standard Performance Criteria for Active Personnel Radiation Monitors》
《ANSI N42.29-2007 American National Standard for Performance Criteria for Personal Emergency Radiation Detectors(PERDs)for Exposure Control 》 《控制柜安裝標準》(GB4720-84)《專題地圖信息分類與代碼》(GB/T 18317-2001)《地理信息分級、分類及編碼規則》(GB 104.14)
《標準化工作導則 第1部分:標準的結構和編寫規則》(GB/T 1.1-2000)《標準編寫規則 第3部分:信息分類編碼》(GB/T 20001.3-2001)《信息分類和編碼的基本原則與方法》(GB/T 7027-2002)
2.放射源在線監控系統
某省放射源物聯網在線監控系統是一套基于Web Service結構、GIS界面管理、有線或無線實時通訊集成一體的監控平臺。系統是集固定源、移動源自動監控儀器及門禁監控系統為一體的數據的采集、傳輸、存儲、展示、統計及應用的綜合業務平臺,監控信息通過互聯網遠程實時傳輸至系統監控平臺,監控系統可提高核與輻射環境監管工作的信息化水平,可提高對輻射污染事件的快速反應能力。系統可通過環保系統內部的業務協同,有效地獲取用源單位在用源總數、種類和活度、庫存源總數、種類和活度等動態業務數據,為核與輻射環境管理提供服務,系統可全面提升河北省放射源環境管理水平。2.1.系統設計
放射源自動監控監管系統按照以下設計原則進行設計研發:
1、系統設計先進性、開放性:
放射源在線監控系統采用B/S系統構架,系統數據庫基于SQL SERVER平臺。系統的總體布局是一個分級分布式計算機網絡通訊管理系統,整個系統采用開放式設計,可以方便地連接不同的硬件設備,同時方便地跟其它計算機系統連接。
2、系統設計實用性:
系統建立在對河北省環保廳實際需求為原則開發的,系統操作、維護簡便實用。
3、系統設計自動校驗操作行為
完全建立在我國現行的環境地理信息管理工作的規范上,嚴格基于環境信息管理工作流程,全部采用直觀的GIS用戶界面,規范性和可操作性極強,系統自動校驗操作行為并提示正常操作路線。
4、系統設計模塊化
系統設計在數據層、管理層與應用層之間建立良好的運行機制,應用系統通過統一的數據平臺進行開發。GIS的可視化界面以及方便靈活的參數設定修改體系,使目標系統容易維護而且容易定制。
5、系統設計穩定性
系統研制主要目的是對放射源進行全天24小時監控,杜絕放射源事故的發生,所以軟件的穩定、可靠運行及硬件設備的性能指標是系統設計的最重要的原則之一。從技術和安全等多方面和軟件所有的設計和實現中都遵循著穩定、可靠的原則實施系統設計。
6、系統設計安全性
系統在網絡安全的各個環節采取了可靠的安全措施(防火墻、數據庫備份、權限設置、密碼設置),免遭攻擊和破壞,提高了系統的安全性。
7、系統設計的標準化、規范化
系統所采用的技術和設備材料等,均符合相應的國際標準或國家標準和技術規范,或者符合相關系統內部的相應規范,為系統升級、擴充,以及與其它系統或廠家的設備的互連、奠定了好的基礎。總體設計中采用開放式的體系結構,使相對獨立模塊易于進行組合調整和系統擴展。同時,在系統中涉及到的各種通信協議符合國際標準,將各種軟件模塊和硬件彼此之間有機地結合在一起,保證了信息互通和應用互操作。
8、系統設計的成熟性
系統設計所采用的軟、硬件設備材料等均為相對成熟的技術或產品,系統能夠有效的降低誤報警,滿足河北省廳及各市環境保護局日常監管的需要。上述原則之間并非協調一致,許多原則之間是相互矛盾的。如先進性和實用性、成熟性之間,信息共享與安全保密之間。因此在系統設計過程中保證了系統的先進性、開放性、高可靠性、實用性、成熟性的有機結合,在各種矛盾之間尋求一個對立統一的、和諧一致的解決方案。2.2.系統結構描述 2.2.1.系統組成 1.現場監控系統
主要包括劑量監測儀和視頻監控儀等,設備具有耐輻射、防潮、防腐蝕、防高溫、防震動、防塵、防油污等功能。防爆區域具有防爆或隔爆功能。目前依據河北省放射源使用類型分為固定源、移動源、半移動源現場監控系統。
固定源、半移動源現場條件相對穩定擬采用劑量或+視頻或GPS-CPS定位(RFID)+視頻監控的方式,采用有線傳輸(電信2M)為主,部分網絡無法到達的地方可以采用電信的3G無線通訊網絡的方式。
移動源現場監控因受制于現場條件及監控技術等因素計劃全部采用3G無線通訊網絡進行建設。
2.通訊傳輸系統
包括各監控企業及環保局監控中心光纖或ADSL專有網絡建設。其中環保局監控中心需要建設100M以上光纖,企業網絡傳輸系統由企業自建,所有監控信息通過專網傳至電信托管機房。
現場通訊方式,如用采用視頻監控作為監控手段之一,則建議采用專線為主3G無線為輔的方式,否則,建議采用以3G或2.5G為主,專線為輔的方式(重要的涉源單位,如輻照站等),以降低建設成本。
3.監控中心平臺軟件及中心數據庫
由放射源信息系統平臺軟件、系統服務器及其他輔助設備組成,環保局監控中心作為整個系統的控制和管理中心。收集所有監測點的監測數據加以處理統計、分析,發布。
圖一:現場監控系統物理聯接圖
圖二:監控中心網絡拓撲結構圖
定位監控、越界報警
對于移動放射源在移動前需要申請備案,并可加裝移動監控設備(包括GPS和劑量監控),使得監測部門能隨時跟蹤了解移動的實際位置,并能保存歷史軌跡,以便日后隨時回放移動路線
通過定位監控可以設置放射源的報警距離、檢測間隔、監控狀態和是否短信報警。
報警距離:設置放射源的報警距離。
檢測間隔:設置放射源的檢測間隔
監控狀態:設置監控狀態的開啟和關閉。
短信報警:設置短信報警的開啟和關閉。如開啟,則將報警信息以短信的方式發送至設置的手機號。
圖四:放射源GPS-CPS定位功能
圖五:報警功能的設置
2.2.2.放射源輻射劑量監測 根據放射源工作種類,分為固定源劑量監測,半移動源劑量監測和移動源劑量監測。固定源輻射劑量監測采用24監控輻射劑量本底;半移動源輻射劑量監測根據各放射源移動時間閾值設置監控劑量本底;移動源劑量監控根據移動源使用情況實時采集輻射劑量。
系統可以實時查看地圖上某點的放射源實時情況,包括當前輻射數值、儀器狀態、數量、名稱、產地、與之關聯的視頻通道等等。根據相應的操作權限,用戶可以設定放射源的監測數據上下限范圍,采用周期等,出現異常情況現場報警(可聲光報警)并將報警信息實時上傳,此外支持通過手機短信等方式報警。在此功能模塊下可查詢放射源信息、放射源安全監控系統的歷史報警信息;放射源安全監控系統的歷史運行數據,能自動生成各種曲線和圖形,并提供對曲線數據的相關性分析。
圖六:放射源劑量監控
2.2.3.WEB實時視頻監控
目前大多數的視頻監控系統只能提供用戶端的C/S架構的軟件,使得系統的安裝維護非常不便,也只能支持個別用戶監控。為了支持更多Internet上用戶的訪問,并和放射源數據庫系統,業務流程管理系統,傳感器監控系統等進行統一的開發風格,將視頻監控系統納入到B/S架構下。是通過將用戶的視頻解碼軟件封裝為ActiveX控件的方式將其融入到Web方式下。視頻監控系統采用集中管理、分布監控的設計思路,全網采用星型網絡結構,所有數據(聲音、圖像、GPS信息、報警信息等)經過數字化處理,通過寬帶IP數據網進行遠距離傳輸。全網采用3級組網架構,河北省環境保護廳為一級單位,市局為二級單位,各涉源企業為三級單位。
視頻顯示窗口的上方為分屏選擇按鈕,可根據不同的需要選擇顯示畫面的數量,用戶可根據連接的設備數量和視頻窗口的大小選擇1分屏、4分屏、9分屏、16分屏,所有視頻監控信息全部存儲在電信托管專用服務器中,可根據用戶需要隨時調取歷史信息。
視頻移動偵測報警
在此設置每個通道的視頻移動報警參數: 移動檢測區域(圖像被分成22 * 18個塊,雙擊需要設置的塊,可以設置或取消本塊的移動檢測設置)、報警檢測時間、報警檢測開關、移動報警檢測的靈敏度、報警自動清除時間(報警延遲時間)、報警聯動輸出通道、報警聯動錄像通道。
圖像屏蔽
在此設置每個通道的視頻圖像屏蔽參數,用戶可以隨時屏蔽掉敏感區域,如密碼輸入區。屏蔽區域(圖像被分成22 * 18個塊,雙擊需要設置的塊,可以設置或取消本塊的屏蔽設置)。
放射源數據異常報警聯動
數據區中,可以定義某個放射源綁定的視頻通道,當該放射源數據出現異常時,引起視頻報警聯動,觸發報警錄像。
圖七:放射源視頻監控
2.2.4.放射源信息管理
放射源的添加刪除修改等基本操作
用戶可以通過該工具在地圖上任一點添加標識放射源,并記錄該點位置。放射源基本信息編輯
對放射源基本屬性信息進行修改和編輯,包括放射源設備名稱、數量、核素名稱、放射源編碼、活度、購置時間、位置信息、產地、使用地點、使用狀況以及關聯的定位器信息等。放射源群組管理
“群組管理”專門為集中查看與管理部門信息、放射源信息以及GPS信息而設計。以放射源在用單位為一個放射源工作組或群,通過系統群組管理實現分散放射源的結構化管理。通過系統群組管理可以實現放射源在用單位名稱等接收、解除、歷史軌跡查詢。與視頻及短信的報警聯動
實現地圖、視頻及短信的報警聯動功能,出現異常情況如移動放射源偏離初始預設軌跡均會啟動報警聯動。歷史視頻信息
根據時間、NVS名稱、通道、報警類型等進行聯合查詢,播放器可實現快進、快退、逐幀回放、循環播放、鼠標拖拉等操作。歷史數據信息
放射源在線監控信息管理系統按檢測設備的名稱分組來收集數據,可以有兩種方式查看所收集到的數據:文本顯示及曲線顯示。
圖八:放射源信息管理
自動報警管理
系統具有自動報警功能,移動視頻偵測、移動放射源航跡監控、放射源數據異常、放射源定位監控等均可觸發自動報警,其表現形式有:所監控的放射源現場畫面自動全屏顯示、觸發視頻錄像、短信及時提醒、異常數據醒目顯示、GIS地圖區域所對應的放射源點變紅。
在無人值守狀態,報警會自動停止,用戶可以登錄系統查看歷史記錄獲取相關的報警現場情況包括視頻錄像及數據、放射源位置等等。
2.2.5.放射源的日常監管
日常輻射安全許可證發證的管理,日常檢查、檢測的數據匯總管理功能,實現對放射源的管理動態更新,系統能現場出具行政處罰意見書、監督意見書、劑量監測報告,實現監督現場在線預覽、在線打印、文檔導出等功能。
2.2.6.系統維護管理
系統具備用戶權限管理功能、監管單位具有三級以上分級,可分配不同等級的系統使用權限,實現分級管理,能夠動態配置用戶的操作權限,防止非法或越權使用本系統,客戶端用戶管理。以權限組為基本單位,每個權限組可包含多個設備和多個用戶,為權限的控制提供極大的方便
系統可按條件查詢系統日志、操作日志以及轉發日志。
系統可根據各授權角色實際需要定義個人信息及授權角色的重點監控源,以便于角色進入系統后快速定位到當前角色的重點監控源。
2.2.7.系統擴展功能
采用模塊化組合設計,可以支持連接不同種類的傳感器,可擴展性強。
預留數據庫轉換導入導出功能,可以與其他數據庫實現對接。
數據擴展:預留數據訪問接口,可以方便其他系統共享存儲數據;內置數據分發服務器,采用統一的XML規范分發實時數據包,外部系統可以實時接收處理應急數據;內置Web服務器,外部系統可以采用URL形式獲取實時數據。系統采用SQL數據庫。
功能擴展:可靈活的增、減功能模塊;
業務擴展:采用組件耦合模式,可根據業務需要任意擴展其應用范圍。