某公安局网络安全方案(精选8篇)
(建议稿)
一、某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。
整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括1500路由器后面设置了一个带双网卡的HotDog计费型防火墙,实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统,实现应用层的安全访问控制和安全管理。
1.2 边界防火墙HotDog的配置
边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运行在具有安全核心的操作系统的基础上,保证防火墙的平台安全。
在某公安局网络安全系统一期建设中,将使用带双网卡的HotDog,并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。
边界防火墙HotDog上面有两块网卡,可以配置两个不同的IP地址,其中一块使用合法的IP地址,另一块使用内部保留地址,如192.168.0.x,实现地址翻译NAT功能,达到隐藏网络内部地址的作用。通过HotDog,可以隔离内外网络,解决网络的边界安全问题。HotDog具有基于规则的包过滤功能,可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC地址对应起来,防止IP被盗用的危险。
HotDog同时是一个应用代理防火墙,可以通过应用代理隔离内外网络。HotDog支持简单的用户身份认证,可以根据用户身份进行入出控制。
HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的,就是说可以针对内部网络的IP进行流出和流入的计费,也可以针对外部网络IP到我们的防火墙的流量对其进行计费,而且对于要求用户验证方式的Firewall/Proxy,HotDog还可以提供基于用户的流量计费。
1.3 应用层安全拨号认证计费服务器HotCat的配置
在边界防火墙HotDog之后,设置了一个应用层的安全服务器,采用昊普创业HotCat拨号认证计费系统。一期建设使用一个带100,000用户的HotCat拨号认证计费安全服务器软件。某公安局网络运行的应用很多,解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中,配置防火墙就是解决安全的全部。事实上,网络建设中网络部分仅仅是一个基础,更重要的是建立公安局的网络应用,就如我们不是为修路而修路,而是为了跑车才修路。
前面我们分析了某公安局网络系统的应用层安全需求,通过HotCat拨号认证计费安全服务器软件,将解决这些问题
HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Radius(Remote Authentication Dial In User Service)认证和计费标准,具有良好的扩展性和兼容性。该系统运行于Unix和Linux系统环境下,与HOTCAT--网猫2.1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。
此系统包括三个模块:用户身份认证模块,实时记录模块和计费模块。
HotCat--网猫系统可运行在各种常见的UNIX平台上。目前经过实际测试的有以下操作系统: Sun公司的Solaris 2.5.1(以上)操作系统; Linux Redhat 5.0(以上)操作系统。
二、用户身份认证模块(Radius模块)用户身份认证模块提供对拨号用户的身份认证和属性设置,它能实现以下功能: 用户身份认证 用户权限设置
1、限制用户的同时上线数目
2、限制用户的上线时间
3、禁止用户上线
三、费用计录模块(Builddbm模块)
HOTCAT--网猫2.1计费系统将从该文件中读取信息并进行费用计算。
四、费用计算模块(HotCat--网猫2.1模块)
五、系统支撑环境及其运行 5.1 系统运行环境
HotCat--网猫拨号上网认证及计费系统运行在UNIX环境下,目前经过测试的系统平台有: Sun公司的 Solaris 2.5.1(以上)操作系统 Linux Redhat 5.0(以上)
由于我们同时支持Solaris和Linux操作系统,因此HOTCAT--网猫2.1计费系统可以运行在Sun服务器和低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言,我们并不推荐使用低档PC服务器,另一方面,低档服务器所能容纳的用户数量也较少。5.2 系统性能评价
到目前为止,已经有两家中等规模(用户数在一到两万人之间)的ISP公司购买了HOTCAT--网猫2.1系统,并使用了近两年。使用的硬件设备是Sun Ultra 2服务器,运行环境为Sun Solaris 2.5.1操作系统。经统计分析,每台Sun Ultra 2服务器大约能支持8,000到10,000左右的用户,能支持大约600-800个同时上线用户;在容纳10,000用户的情况下,计费系统每天运算时间大概为3至6分钟不等,运算期间占用处理器95%以上的资源,计算时间选择在凌晨两点进行 5.3 系统的运行
利用Unix Crontab可以在每天定时运行HOTCAT--网猫2.1系统,对前一天的用户信息进行统计分析。由于运算要占用大量的系统资源,因此通常选在凌晨02:00:00到05:00:00之间进行,这时的网络和服务器都接近空载运行,因此对系统的影响最小。除了report32在月底结算时运行外,其余ss32、day32、month32程序都是由UNIX Crontab激活,每天凌晨定时运行。在特殊情况下,系统管理员也可以手工运行HOTCAT--网猫2.1系统进行计费运算,除非系统突然崩溃,造成当天的计费系统没有正常运行,否则不需要手工运行系统。
1.4 某公安局网络安全管理
某公安局网络安全管理包括网络层和应用层两方面,网络层主要是通过网管软件的配置来完成的。下面我们重点介绍应用层的安全管理。
应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。
1.6 小结
通过一期建设,将使某公安局网络系统具有一个基本的安全保障系统,即在网络层和应用层都有相应的安全措施,网络层防火墙的基本功能基本实现,应用层的基本需求也满足了。但是还存在不足的地方,需要在二期建设中解决,包括:
1)网络层的安全管理并不是很完善,需要增加安全检测; 2)需要解决应用层对除Web服务之外所有服务的安全控制; 3)在应用层,需要解决可靠性和负载平衡问题。
2. 二期解决方案
二期建设主要是解决上面提到的三个问题。2.1 安全网络拓扑结构
二期建设完成之后,某公安局的安全网络拓扑结构如图所示。
与一期建设的安全拓扑结构相比,二期结构使用一个带三网卡的HotDog防火墙,并启动安全检测功能。增加了一个HotContorl安全认证服务器作为CA。
使用带三网卡的HotDog防火墙,可以直接连接HotContorl安全认证服务器作为CA。组成一个非军事化区,以便更好地隔离内外网络。
2.2 网络安全检测系统
采用HotEagie—网鹰安全检测软件包,可以及时发现某公安局网络内部存在的安全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏洞,模仿多种黑客的攻击方法,不断测试安全漏洞,并将测出的安全漏洞按照危害程度列表。在安全漏洞检测软件的支持下,通过网管软件或人工配置的方法,可以完备系统配置,消除多数人为的系统管理安全漏洞(如:必须禁止超级用户的远程登录,不能使用早期的SENDMAIL版本)。安全检测是网络日常管理的重要内容,是网络安全可靠运行的重要保证。
安全检测是一支“矛”,测出了网络存在的安全漏洞,针对这些漏洞采用安全防护措施,架设必要的“盾”,是系统安全管理的关键内容。
3.总结
结合网络的层次结构和管理需求,某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理三个方面。整个安全方案以安全管理为导向,实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了网络的边界安全,又保证了网络的内部安全,同时实现了系统安全和数据安全,是一个全面解决方案。
随着信息化的飞速发展,基础信息化网络平台成为医院信息发展的基础和平台,医疗信息的发展可以有效提升医院的服务水平和竞争力。伴随着医院信息系统从最初的“以财务为中心”向“以病人为中心”的转变,医院信息化建设已经取得了飞速的发展,医院信息化正成为强化医院服务水平与竞争力的关键行为,医疗业务应用与基础网络平台的逐步融合正成为医院发展前进的新的驱动。
2总体需求及设计说明
本次医院新建住院大楼,主要建设医疗内网、外网、智能化专网、安防专网四套物理隔离网络。
医疗内网:
内部医疗信息网主要承载医院HIS系统、OA系统、PACS系统等重要业务,是医院信息系统的核心,内部医疗信息网将与医保网、社保网对接,实现医保联网服务;内部公共信息网主要承载医院一些非关键业务和增值业务,内网信息点多,内部医疗信息网以万兆主干,用户线速千兆交换到桌面,整个大楼部署WLAN,以增强网络的覆盖范围和应用的灵活性。本次计算机内网建设三层架构,即核心-汇聚-接入。网内所有用户需要使用认证安全接入,并且具有对认证用户进行规范化管理。 整网实现智能网络管理,将多种管理系统,如设备管理、用户管理、业务管理、资源管理合为统一平台。其中在新楼三层有200个点左右手术中心业务,与PACS等业务分开单独走光纤接入汇聚层交换机。
智能化专网
智能化专网作为一卡通系统、信息发布系统设备及门禁控制器等智能化设备的独立通信网络,采用核心层—接入层两层架构,千兆骨干百兆桌面,每个楼宇利用接入交换机汇聚到接入核心交换机。
安防专网
安防专网采用系统数字化设计,包括音视频监控系统、综合报警系统等子系统。安防网采用二层网络架构,即核心-接入方式。设计速率为千兆骨干、百兆到桌面, 每个楼宇利用接入交换机汇聚到接入核心交换机。
2.1内网建设方案
医院新住院大楼总体分为2个区域,老区和新建区。老区主要有东区住院部、西区住院部、门诊楼、制剂楼、肿瘤中心机房等如上图所示。新建区主要有一栋新住院大楼。本次在新住院大楼建设一个大机房,新住院大楼网络要与老区网络互通,现目前只考虑新建区机房与老区核心机房的网络互通性, 但后期业务增多,可能会将老区的各栋楼进行汇聚设计,再接入新住院大楼机房的核心交换机。为考虑后期扩容,本次核心交换机采用高性能的交换机,支持12个业务插槽,可最大可接入576个万兆端口,96个40GE端口,为后期扩容提供很好的接入。
现根据实际需求,内部医疗信息网以万兆主干,用户线速千兆交换到桌面,整个大楼部署WLAN,以增强网络的覆盖范围和应用的灵活性。网内所有用户需要使用认证安全接入,并且具有对认证用户进行规范化管理。整网实现智能网络管理, 将多种管理系统,如设备管理、用户管理、业务管理、资源管理合为统一平台。其中在新楼三层有200个点左右手术中心业务,与PACS等业务分开单独走光纤接入核心交换机。
出口处
由于数据量大(共有4031个信息点,其中含有无线AP共342个点)建议在网络出口处部署硬件(非插卡,若在核心交换机上采用防火墙插卡,会占用大量的CPU资源,当CPU利用率过高时会导致核心交换机宕机,导致业务中断)万兆防火墙,能很好的应对高峰期业务数据,避免出现数据拥塞,丢包现象的发生。
内网属于涉密网,出口处采用2高端防火墙互为双机,防火墙主要用于审核所连各网络区域之间的访问请求,通过与访问控制规则的比较,确保合法的访问的通过,从而为外网与内部网络建立了一道防御屏障,严格阻止了外部网络非法用户的攻击和入侵。同时,社保局可以通过NAT映射访问相应的设备。
1)核心层
核心层是整个内网的骨干中心,负责提供数据的高速转发。要求网络高度可靠,具有极高的性能和扩展性;本次设计在核心层部署2台高端核心交换机互做双机,核心交换机支持冗余引擎,配置冗余电源,模块支持热插拔。内网主干为万兆双链路,核心交换机能够提供万兆接入能力。
2)汇聚层
汇聚层用于汇聚所有接入交换机的数据至核心交换机,因此部署的交换机需具备大容量、高性能的要求,可提供多个千兆光接口和万兆光接口。
3)接入层
接入交换机通过双链路千兆多模光纤连接至汇聚交换机, 同时提供千兆接入到桌面的能力;接入层应具有快速收敛、易于扩展、上行链路备份和负载均衡等特点,同时提供了良好的扩展性。
4)网管系统
网络安全和管理是整个网络必须重视的一个重要环节,需要加强网络安全系统的建设,防止黑客、木马和病毒等的侵扰, 拒绝恶意攻击和泄密,该网络需要建设完善的网络安全体系。 由于网络规模较大,网络管理人员有限,所以需要建立实用、高效的网络管理系统。
5)防火墙的部署
由于内网业务的重要性,在内网部署两台面向大中型企业机构和数据中心设计的新一代万兆防火墙,实现该接口访问控制,通过在该防火墙设置严格的访问控制策略,对访问医院应用数据系统的访问做严格的访问控制,同时在应用交换机上根据访问的特点设置相应的ACL。同事可以对核心交换机的每个端口和业务流供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能。
6)数据库审计系统
医院内部业务要经常使用到农合、医保,如果不能有一个有效的方法来管理,就会对内部的资源以及办公OA信息造成泄漏,对整个医院造成无法估量的损失,因此本次网络中部署一台运维审计设备,从而对整个医院资源以及内部信息起到有效的保护作用。
2.2智能化专网建设方案
智能化设备通信网作为一卡通系统、医疗信息发布等智能化设备的独立通信网络,本次接入设备少,采用核心层—接入层两层架构,实现千兆骨干,百兆到桌面的网络结构。
1)核心交换机
本方案在核心层,部署模块化核心路由交换机一台,配置冗余电源和主控板,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。 其硬件策略路由功能为医院的出口规则提供了灵活的设置。
2)接入交换机
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证,支持千兆上联百兆到桌面,支持SMNP的网管。同时,为满足医院智能化专网接入的需求,接入层应考虑百兆可智能堆叠交换机。
2.3安防专网建设方案
采用两层网络架构,千兆核心,百兆接入,单核心单链路。 主要支持所有网络结构的安防系统的信号传输。从新住院楼到每个建筑单体预留1根12芯光纤,作为将来相应的建筑单体改造后,智能化系统全部实现网络化结构,接入到现有管理中心的需要。
安防专网采用系统数字化设计,包括音视频监控系统、综合报警系统等多个子系统。安防网采用二层网络架构,即核心-接入方式。设计速率为千兆骨干、百兆到桌面,每个楼宇利用接入交换机汇聚到接入核心交换机。
1)核心交换机
本方案在核心层,部署模块化核心路由交换机一台,配置冗余电源和主控板,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。 其硬件策略路由功能为医院的出口规则提供了灵活的设置。
2)接入交换机
接入层应该能够实现对用户的访问控制,并具有较强的安全和QOS控制功能,支持802.1x的认证,支持千兆上联百兆到桌面,支持SMNP的网管。同时,为满足医院安防专网接入的需求,接入层应考虑百兆可智能堆叠交换机。
2.4网络管理设计
对于住院部大楼建设的三套物理隔离的网络系统,实现三套网络的互访。随着网络的建成,大量的网络应用投入运行。 网络管理的目的在于保障网络运行的性能,如维持传输频宽, 避免传递延迟,降低错误率及网络中断,提供使用者透明度及依赖度等。使用网络管理系统可以大大提高网络管理员的工作效率,在用户内部网络不断成长的情况下,仍可维持较少的网络管理员,降低网络的使用,维护成本。
本次选用的网络管理软件使用灵活的组件技术,支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
2.4.1拓扑集中监视
提供统一拓扑发现功能,全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
2.4.2故障管理
对全网设备的故障、运行状态进行实时监控、历史统计并提供协助排障的手段。
2.4.3IP网络性能管理
性能管理组件是针对网络层管理特性的一个重要组件,提供大规模IP网络性能监控手段,可以从设备、路径、链路、业务等层面对网络性能进行监控,作为IP网络运行质量状况的监视器。
2.4.4基于WEB的报表管理
采用Browser/Server(B/S)架构,提供基于模板的报表开发和基于Web的报表生成、分发、管理等一整套灵活、方便的报表应用服务。
由于本次建设的计算机网络系统有医疗内网、智能化专网和安防专网,而医疗内网、智能化专网以及安防专网为三套物理隔离的网络,因此本次网络管理软件在三套网络各配置一套网络管理软件。同时可通过视频线缆和70寸大屏显示系统等设备可将医院的整个网络拓扑显示出来。这样管理人员就可实时的医院的网络状况进行掌握,遇到问题立即解决,保证了医院的整个网络的畅通。
摘要:文章主要介绍了医疗内网、外网、智能化专网、安防专网四套网络的建设方案,从网络架构形式阐述了网络的建设方式,四套网络的建设有效的促进了医院信息化的发展。
一些家禽摊主为了节约时间和成本,利用工业松香为家禽脱毛,置群众安危于不顾。
在国家对食品安全日益重视的当下,其中的问题也是层出不穷,诸多黑心企业被利益冲昏头脑,用消费者的身心健康换取不法收入,着实让人难以接受。近年来,浙江省温州市永嘉县公安局对食品安全事件进行了调查走访,对违法违规企业以及个人进行相应查处。
公安部门“急抓”鸡爪乱象
2013年5月,永嘉工商部门对一家超市进行日常检查,检查发现该超市的“曹佬大”牌凤爪等产品存在食品安全问题,经检测,“曹佬大”牌鸡爪过氧化氢含量为190mg/kg。经工商部门勒令将其下架后,仍公然出售,被永嘉县公安部门当场抓获。经调查,该鸡爪的生产厂商为徐州味真食品有限公司,永嘉公安局对其进行了调查,在厂房外部看不出有何异样,规模较大,厂房也比较新,但是当公安干警进去之后发现,厂房内苍蝇乱飞,并伴有刺鼻气味。经了解,该厂生产的鸡爪已销售全国十多个省,对我们的食品安全造成了极大威胁。
经过永嘉公安局的调查取证及各部门的配合,“曹佬大”毒凤爪案已于2013年年底彻底告破,生产毒鸡爪的徐州味真食品有限公司创办人陈某等5人被刑拘、逮捕、判刑。此案件涉案价值上千万元。
无独有偶,2014年3月,永嘉县公安局治安大队在日常巡查时发现超市货架上一包袋装鸡爪颜色异常,便将其买下送往有关部门检验,检验结果显示,这包由重庆“梧桐树”食品有限公司出品的“御味园”牌山椒凤爪的双氧水含量竟达到500mg/kg,永嘉公安局立即成立专人小组,根据超市及批发商提供的线索,赶往安徽和县的生产厂家,但当公安干警赶到生产厂家时,这里早已人去楼空,生产材料和成品都已不见了踪影,只有3名文职人员在场。在查看该企业发货清单时公安干警发现,这些货物发往包括长沙、上海、广州、郑州、温州等在内的全国大部分城市,公安干警发现在发货清单的最后一页有双氧水字样,并且于前一天全部搬走。根据这一重要线索,永嘉县公安局立即对3名文职人员进行询问,最后通过旁证的方式锁定了鸡爪添毒的线索,之后,经过公安部门一系列的思想工作,最终这家企业厂长何某投案自首。
目前何某已被移送永嘉检察院,将面临择日审判。该案件中的其他添毒人,包括企业法人、经理在内的5人已被抓获,其余均被列为网上在逃嫌疑犯。
食品安全从“源头”抓起
食品无处不在,但是食品问题也让人揪心,不仅仅是在生产过程中会出现非法添加,在农产品、家禽成长阶段都会受到非法添加的污染。为了使其生长速度加快、产量升高,以获取更高的利益,不法分子在农产品、家禽生长阶段就为其提供了剧毒的“土壤”。
2013年年初,接到群众反映,在永嘉黄田一带,有商贩销售添加瘦肉精的猪肉,永嘉县公安局根据该线索,到黄田等地进行走访摸排,经过一系列调查,搜集证据。成功抓获犯罪嫌疑人严显春,据严显春供述,为了加快猪的生长速度,以及增加瘦肉。在养猪的过程中,向饲料中非法添加了莱克多巴胺(瘦肉精的一种),并将其销往各地以牟取暴利。永嘉县公安局在现场查获有毒猪20头,该案件涉案10万元。而犯罪嫌疑人严显春因涉嫌生产、销售有毒有害食品罪被永嘉公安局刑事拘留。
而我们日常生活所说的无根水,学名6—苄基腺嘌呤植物生长调节剂,属于激素类农药,具有致癌性,超量摄入会导致儿童发育早熟,老人骨质疏松。但是因为其能够提高豆芽产量,便被不法分子所利用,成为威胁公众食品安全的杀手。
永嘉农业局执法人员在工作中发现,永嘉县上塘镇中塘村加工点出产的豆芽有在培育过程中添加无根水的嫌疑,经过前期调查,永嘉县治安大队和农业局对永嘉县上塘镇中塘村的豆芽加工点进行检查,在其中一户加工点当场查获用于生产毒豆芽的无根水500支。在另外几家加工点抽样了生产中的豆芽送往检测部门,最后在胡某、周某等四户加工点生产的豆芽中检测出6-苄基腺嘌呤成分。同年8月,永嘉县公安局成功抓获周某某、胡某某等6人。据了解,周某、胡某已生产销售豆芽10多年,由于“无根水”价格低廉,且“功效显著”,所以他们便动了这非分之想,将公众安全抛之脑后。随后永嘉县公安局对其采取刑事强制措施。
众所周知,工业松香作为工业原料的一种,属致癌物质,根据法律规定,工业松香并未列入国家《食品添加剂使用卫生标准》食品工业用加工助剂试用名单中,使用工业松香脱家禽毛属于违法行为。可以用于脱毛的“松香”,必须是俗称“食用松香”的松香甘油酯。但是一些家禽摊主为了节约时间和成本,利用工业松香为家禽脱毛,置群众安危于不顾。
2013年4月,接到知情人举报,永嘉县桥头农贸市场有人利用工业松香脱毛,永嘉公安局立即展开调查,经过大量摸排,现场抓获在销售食品中掺入有毒、有害的非食品原料的吴某、唐某等13人,随后被永嘉公安局采取刑事强制措施。
随着食品安全观念深入人心,消费者越来越意识到食品安全的重要性,近年来永嘉县公安局对食品安全的监管颇有成效,在履行其应有职能的同时,为“食安”也撑起的一把保护伞。
为全力加强防范通讯网络诈骗犯罪宣传工作,迅速掀起宣传攻势,切实增强人民群众防诈反诈意识,特制定防范通讯网络诈骗犯罪宣传实施方案如下:
一、工作目标
通过开展形式多样的社会化、立体化宣传活动,着力营造浓厚的宣传氛围,切实增强人民群众防诈反诈意识,有效助力打防通讯网络诈骗犯罪工作深入发展,提高人民群众安全感和满意度。
二、工作措施
(一)积极争取党政支持。
由政治处牵头,各部门和派出所共同参与,加强与县、镇两级党委宣传部门的沟通协调,通报当前通讯网络诈骗犯罪的严峻形势和危害后果,提请将反诈防诈宣传工作纳入党委政府宣传工作的重点来抓,营造自上而下重视的良性工作氛围。(二)精心设计宣传内容。
由刑警大队、反诈中心牵头,定期研判诈骗案件受骗群体和高发手段类型,研究撰写宣传文稿素材,提供各类防诈反诈“小故事”“微电影”的素材脚本,既要有各种诈骗类型的描述通告,也要有典型案例,确保内容生动,群众看得懂、易接受。(三)积极拓宽宣传阵地。
由政治处牵头,积极统筹各类媒体资源,整合报网微端全媒体资源,在全社会组织发起“识骗、防骗、反骗”宣传活动。一是协调《XX日报》及XX广播电视总台(电视、广播)等主流媒体,每天循环刊播防范电信诈骗宣传标语、公益广告及典型案例;二是在《XX警方》等老百姓关注度较高的本地媒体开辟专版、专栏,开展集中宣传;三是协调利用本地有一定影响力的新媒体网络,推送新闻、图片、宣传音(视)频等内容,实时发布动态宣传信息;四是对典型案例进行包装策划,适时召开新闻发布会,邀请省、市级媒体开展集中宣传;五是利用XX公安微警务等平台及时推送各类宣传防范信息;六是拍摄系列防范电信诈骗的宣传短片,同时在微信、抖音、微博等多个平台投放。(四)深入开展社区宣传。
由治安大队牵头,组织发动全体社区民警,深入辖区小区、村组、单位、学校、银行等开展“接地气”的宣传。一要坚持运用“铁脚板”,逐家逐户开展走访宣传,发放警民联系卡、防诈宣传资料。实行错时工作制,在饭点、周末开展入户,召开警民恳谈会,提高“曝光率”。二要坚持警网融合。依托“1+2+3+N”力量,充分组织发动社区基层组织、物业、楼栋长、平安志愿者等力量配合社区民警开展宣传。三要强化重点人员宣传。根据县局反诈中心研判指令,迅速对可能被骗的重点人员进行劝阻,反复跟踪宣传,确保当事人识破骗局。(五)加强重点单位宣传。
由治安大队牵头,一是督促银行等金融机构营业场所落实提醒宣传等措施。二是会同教育部门组织开展系列宣传活动,组织民警会同学校保卫人员,在校内集中开展防范宣传活动。三是配合经侦大队,协调税务等部门,对企业财务和从商人员等群体进行有针对性的宣传和提醒。三、工作要求
(一)注重宣传实效。
各单位要统筹好网上和网下两个战场,传统媒体和新兴媒体两个阵地,发挥好媒体阵地优势,丰富报道内容,提高针对性和实效性。要注重用事实说话、用案例说话、用数字说话,全媒体、多层次、多角度地开展宣传,切实增强宣传的传播力、影响力、引导力、公信力。(二)注重形式创新。
要善于运用群众喜闻乐见的方式进行宣传,加强互动式交流,切实增强宣传防范实效。要充分调动、激发广大民警的创造性,创作一批形式多样、生动活泼的宣传素材,让群众爱看爱传,确保高效开展宣传防范工作。扫黑除恶专项斗争事关社会大局稳定和国家长治久安,事关人心向背和基层政权巩固。我局党委将专项斗争作为一项政治任务和头等大事,以强烈的政治责任感切实把思想和行动统一到党中央和省市县各级党委部署上来,科学谋划、精心组织、周密实施,以坚定的态度和超常的措施坚决打赢扫黑除恶专项斗争这场政治攻坚仗。
2017年12月4日,市局召开各县、市(区)局长会议专题安排后,我局及时向县委、县委政法委主要领导进行了汇报,得到领导的高度重视和支持。
2018年2月8日,我局召开全县公安工作会议,县委、县政府、人大、政协领导参加会议并对扫黑除恶工作提出具体要求。期间,县委、县政府、县委政法委领导多次过问,并在我局关于中央和省、市开展扫黑除恶专项斗争有关精神专题报告和工作汇报上给予批示和肯定。各位领导高度重视,强力推动,有利地促进了扫黑除恶工作向纵深发展。
我局高度重视中央督导组巡视反馈意见,迅速召开党委会议专题研究部署,成立了以局长王丰学为组长的整改工作领导小组,制定出台了本单位《关于中央督导组巡视反馈问题集中整改工作方案》和《
中央督导组反馈的关于扫黑除恶不够系统深入问题专项整治工作方案》两个专件,并召开中层干部会议传达上级精神,部署督导整改工作。在专题学习中,我局把习近平新时代中国特色社会主义思想作为理论武装的中心内容,深入学习宣传贯彻其丰富内涵、科学体系和实践要求。认真学习了党的十九大精神、中央督导组反馈意见整改工作要求,深刻领会扫黑除恶专项斗争重大意义,进一步提高政治站位,将其作为一项政治任务,对照中央督导组指出的问题,主动认领,成立四个专项整治组全面落实整改措施,强力推进扫黑除恶工作。
为解决扫黑除恶不够系统深入的问题,我局强化各所队具体责任和分包领导直接责任,层层传导责任和压力,并采取督导、考核等措施落实“一把手”责任,做到“涉黑涉恶情况明、扫黑除恶措施实”,同时开展局长与基层所队谈话活动,深入了解各所队辖区是否存在涉黑涉恶问题、有没有黑恶势力犯罪团伙、有没有掌握的黑恶势力犯罪线索、线索核查进展如何,每次谈话均形成书面记录,签字背书、留档备查。
为解决“系统起底打击黑恶势力不够”的问题,我局在建立进一步畅通群众举报渠道,广泛发动群众的基础上,组织各一线单位结合乡镇党委政府对本辖区内是否存在涉黑涉恶问题和农村
“两委”班子成员是否存在涉黑涉恶问题进行双排查。并对每一条线索甄别研判、会诊评估和落地核查,严格落实线索核查结论“三长负责制”和核查小组共同签字负责。
为解决“深挖彻查黑恶势力保护伞和背后腐败问题力度不够”的问题,我局加大“一案三查”力度,进一步完善与纪委监委、组织部问题线索快速移送、反馈和协作机制,并祭起纪律快刀,对准不担当、不作为问题严肃追责问责。同时将被打击处理的公职人员、党员、村两委成员及时报告局扫黑办,做到深挖见底。
为解决“政法系统违纪违法问题严重”的问题,我局敢于刀刃向内,对上级移交和专项斗争中发现的民警违法违纪问题坚决严肃处理,决不姑息迁就,同时倒查领导责任。并由政治处牵头,强化
计算机技术、通讯技术、网络技术正在以前所未有的速度发展,人类步入了计算机技术发展的新时代———网络时代,数据、话音、视频、多媒体等信息量急剧膨胀。信息传输的高速、安全可靠及各任意点之间的计算机网络通讯对信息传输介质及结构提出了更高的要求。如何适应当前及将来网络技术对建筑物布线的挑战是在设计之初必须考虑的课题。综合布线系统以其极大的灵活性、适用性、可靠性、完整性等优点代替了传统的布线系统概念,并在我国很快为各级主管和技术人员所认识。
校园网综合布线需求分析
(一)设计目标
许昌学院建设校园网一期工程建设,将达到以下目标:构架千兆校园网主干,实现教学办公综合楼、教学楼、图书馆楼群的互联;每个教室、实验室、办公室、均可实现100M的校园网接入,实现信息资源的充分共享。学校领导、老师、学生可以随时随地进入校园网获取校园网信息;校园网将采用200M光纤接入中国新联通网络;校园网将设置WWW服务、FTP服务、E-MA IL服务;校园网必须安装内容过滤器,以过滤网站不良信息;校园网将构建一个完整的网络防毒系统,以有效地杜绝病毒的传播;校园网必须能进行全网的智能化管理,使系统管理员能够方便、高效地实现网络管理;校园网的一期建设必须为以后网络建设预留发展和扩容的空间;要求全网的交换机设备必须采用同一厂家的产品,服务器也统一品牌。全网综合布线产品必须全部统一。
(二)网络拓扑结构
根据许昌学院校园网结构具体分析之后得出网络中心设在启智楼二楼,因此各办公楼、教学楼、图书馆的核心交换机将采用千兆可控网管型交换机接入。同时各办公楼、教学楼、图书馆配置千兆汇聚交换机连接到核心交换机。对于核心机房也就是网络中心要求全部铺设防静电地板并做好接地和防雷措施,除此之外还安装了一台LEMUS10KVA的UPS备用电源以及4个8小时的后备电池作为停电之需。
(三)系统设计原则
1.实用性:实施后的楼宇自动化系统及其所有的子系统的通讯线路和接口都满足国际标准。具有良好的用户使用界面,并且网络管理功能完善、使用方便,也使得安装成本可以用来降低对整个校园网长久的运行花费,从而取得良好的远期经济效益。
2.灵活性:系统中任一部分的连接都是灵活的,即从物理接线到数据通讯、语音通讯、智能控制设备之间的连接都不受或极少受物理位置和这些设备类型的限制,减少了对传统管路的需求,信息口设备合理,可即插即用,同时提供了一种结构化的设计来实现与管理这一系统。
3.模块化:所有用于连接设备的适配件都是积木式的标准件,不需要掌握很多有关这些领域的专门知识,就能够连接这些设备。模块化结构设计使得用最小的附加布线与变化可实现系统的搬迁、扩充与重新安装。
4.扩展性:由于系统的所有基础设施(材料、部件、通讯设备)都采用国际标准,因此,无论计算机设备、通讯设备、智能控制设备随技术的发展,将来都可能很方便地将其连接到楼宇自动化系统中去。那么不管是现在还是将来,都能对建筑物内的环境提供完全的兼容支持。
5.可靠性:系统中的各个部分都采用高质量的材料、组部件设备实现,并谨慎施工和测试,以保证系统的各个环节都是可靠的。
校园网综合布线总体系统解决方案设计
整个综合布线系统由工作区子系统、水平子系统、管理子系统、垂直干线子系统、设备间子系统构成。
(一)工作区子系统的设计
工作区子系统布线由信息插座至终端设备的连线组成,是插座到用户终端的区域,包括所有用户实际使用区域。信息插座采用地面安装形式,也可以采用墙面安装方式。信息插座选用RJ45 型插座。墙面安装插座盒底边距地300mm,在地面插座盒内和墙面信息插座旁安装单相三孔电源插座。工作区子系统为满足信息高速传输具体情况,全部选用超五类系列信息模块,性能全部超过国际标准ISO IS 11801的指标。而数据点采用超5类RJ45信息插座模块,其功能100MHz时其最差线对近端串音衰减高达44dB。
(二)管理子系统设计
管理子系统连接水平电缆和垂直干线,是综合布线系统中关键的一环,常用设备包括配线架、理线架、跳线和必要的网络设备,其作用是为连接其他子系统提供连接手段,允许将通信线路定位或重新定位到建筑物的不同部分,以便能容易地管理通信线路,使移动设备时能方便地进行跳接。为方便维护,必须要对整个布线系统的电缆、连接硬件、空间、走道等进行统一管理。许昌学院校园网设计方案中,将各个楼层的信息点通过PVC管槽走墙边通向各个楼层的配线机柜,机柜里放置超5类24口配线架,对各个信息点的接头进行跳线配置,再通过配线架与交换机相连。采用超5类24口配线架,可安装在19标准机架上,只占用1U空间,占用地方小,搬运迁移方便。
(三)垂直干线子系统设计
1.干线子系统选 型
垂直干线的设计必须满足用户当前的需求,同时又能适合用户今后的要求。为此,我们采用6芯多模室内光缆,支持数据信息的传输。其功能在于多用途室内布线光缆是由若干根单模或多模单芯紧套光纤围绕中心加强构件胶合成缆芯后,外加绕包层,再套上PVC或低烟无卤(LSZH)材料外护套构成。由于多模光纤光耦合率高,纤芯对准要求相对较宽松。当计算机数据传输距离超过100米时,用光纤作为数据主干将是最佳选择,并具有大对数电缆无法比拟的高带宽和高保密性、抗干扰性。随着计算机网络和光纤技术的发展,光纤的应用愈来愈广泛。光纤的数据传输速率可达1Gbp/s以上,可满足学院校园网信息化的需求,适应计算机网络的发展。
2.干线电缆布设方法
垂直干线子系统的作用是把主配线架与各分配线架连接起来,在许昌学院垂直干线子系统中连接计算机中心机房至楼层配线间的主要是主干光纤和大对数电缆。目前拟用多模光缆进行,由于构架千兆校园网主干,也方便日后的网络扩展,干线电缆将使用明铺金属线槽由连接设备传递到设备间并送至最终接口。而计算机数据线路采用6芯室内多模光缆。其优点是传输损耗小、抗干扰能力强、频带较宽,也是为了适应将来信息技术发展的要求。垂直干线电缆(包括双绞线和光缆)沿弱电竖井中架设的金属线槽内(规格为200mm ×100mm)敷设,电缆与金属线槽每米设一固定点。
(四)设备间子系统设计
设备间子系统是整个布线数据系统的中心单元,实现每层楼汇接来的电缆的最终管理。设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所。由综合布线系统的建筑物进线设备,数据、计算机等各种主机设备及其保安配线设备等组成,主要用于汇接各个IDF,包括配线架、连接条、绕线环和单对跳线等。设备间子系统所有进线终端设备采用色标区别各类用途的配线区。为满足各种计算机网络系统对布线系统的要求。计算机网络可以通过光纤跳线组成结构航的线路连接,并通过各种网络协议支持着各种计算机网络。
(五)建筑群子系统设计
建筑群子系统将一栋建筑的线缆延伸到建筑群内的其它建筑的通信设备和设施。它包括铜线、光纤、以及防止其它建筑的电缆的浪涌电压进入本建筑的保护设。在民政学院校园网综合布线设计方案中各楼间的距离都超过了100米,而当计算机数据传输距离超过100米时,用光纤作为数据主干将是最佳选择,并具有大对数电缆无法比拟的高带宽和高保密性、抗干扰性。因此各楼间的连接采用6芯多模室内光缆,支持数据信息的传输。在许昌学院校园网综合布线设计方案中,将使用光纤把各教学办公综合楼、教学楼、图书馆互联,并集中于图书馆一楼网络中心,其敷设方式室内采用金属桥架,室外采用暗埋深沟填铺的方式进行。在设计中进入主设备间的所有光纤、大对数电缆、网通电缆都采用金属桥架或钢管进行硬件保护,同时采用IDC线对保护器对铜缆予以电气保护,避免人员和设备免遭外部电压和电流的伤害。
(六)线槽及线缆布设要求
1.安装前注意事项
主机房内预留接地端子,接地线与建筑共用接地系统连成一体。各楼层配线柜单独接地,接地导线截面为20mm2,各段金属桥架和钢管应保持电气连接,并在两端做良好接地。
2.符合规范化标准
结构化布线的实施设计不仅要做到设计严谨,满足用户使用要求,还要使其造价合理,符合规范化标准。国际和国内对结构化布线有着严格的规定和一系列规范化标准,这些标准对结构化布线系统的各个环节都做了明确的定义,规定了其设计要求和技术指标。
3.线槽线缆布设要点
PVC管道布设:管道可以明敷或预埋,在线路中间要注意管道的拐弯半径必须满足线缆最小半径要求。金属管道和强电系统保持足够距离,并且保护接地。
金属桥架安装:金属桥架用于本设计弱电系统的线缆敷设,所以其大小要求考虑所有弱电系统线缆的使用,要注意桥架的拐弯半径必须满足线缆最小半径要求。金属桥架要尽量和强电系统的管线保持足够距离,并且保护接地。
布线线缆:每个系统线缆在管道和桥架内要求分开布放、绑扎,在布线缆时,避免拉力过大和不匀,线缆头要有标签编号,方便识别。
校园网主要设备选型
由于高校校园网网络结构复杂,所以该方案在网络结构上分为核心层、汇聚层、接入层。
(一)网络设备选型
1.网络中心设在校启智楼二楼
学校网络中心的设备应当具有很高的可管理性;同时学校的用户数比较多,如果这么多用户同在一个子网内,势必会造成广播数据干扰正常的数据传输,造成网络的阻塞、丢包。划分虚网(VLAN)是解决广播干扰和隔离不同部门的一个解决方案,为了在虚网间进行通讯,必须在网络中心有三层的路由机制。由于一般路由器的数据路由速度很慢,因此使用三层交换机是解决上述问题的关键。
2.汇聚层交换机设在教学楼、办公楼、图书馆等中心部位,起到管理本楼用户的作用。汇聚交换机应支持全面的网络管理、VLAN、端口镜像、Spanning Tree、IEEE80211x身份验证等功能。
3.因为多媒体教室的用户较多,且需要实现组播,所以多媒体教室的汇聚交换机必须支持组播功能;另外,为了提高网络速度,在多媒体教室中建议使用支持堆叠的交换机。
4.实验室、研究所、阅览室等环境可以使用非智能型交换机。这部分交换机为第三级接入级交换机,通过汇聚交换机将这些交换机每台设置为1个VLAN,用于隔离广播。
(二)服务器选型
根据校园网服务器的应用特点,服务器选型应该按照如下原则:
(1)要求反应时间短,能快速响应和处理用户的访问需求。(2)具有强大的信息吞吐能力、多Web站点和内容缓存、能在一定投资下提供更多的访问服务和提高用户满意度。(3)易于发布和实现信息共享。(4)易于建立和运行Web应用,简化业务进程。(5)具有可靠的品质,保证Web服务不间断。(6)易于设置和管理,使网络管理变得更容易,易于扩展,满足业务的扩大需求,保护用户投资。在该方案中,许昌学院校园网服务器选用DELL系列服务器产品。
性能分析
关键词:办公管理系统,拓扑结构,综合布线系统
为了实现“网络办公”、“网络沟通”、“网络审批”、“知识管理”、“网络决策”的信息化建设思路,实现信息高效传递、无纸化协同办公、远程移动办公、科学规范管理,使公司员工的工作效率明显提高,使信息获取更加容易,使决策制定更加准确,建立一个稳定、通用,并且适应长远发展的网络和办公系统是非常必要的。
网络综合布线系统是为计算机和通信设计的,为满足通信与计算机传输的要求而开发的。综合布线系统是建筑物间的信息传输媒体,它主要是将语音和数据通讯设备、网络设备和其他信息管理系统相连。一座办公大楼的网络综合布线系统(Generic Cabling System)一定要考虑细节,合理有效的信息网络布线,才能对今后的升级发展有一定的作用。
1 业务描述
1)业务定义:办公管理系统采用先进的技术、先进的理念、现代的管理模式,利用TCP/IP、广域网互连、路由、防火墙和网络管理技术为核心,创建一个安全可靠稳定的网络应用管理平台。
2)业务对象:在办公系统创建初期,能够提供完整的、详尽的信息化建设规划,保证系统建设的平稳、安全、通用,分步实施,降低实施的风险,推动管理的逐步提升。
3)建设目标:利用先进的计算机技术和通讯设备,创建可以覆盖全公司的自动化办公信息管理平台。
4)建设原则:保证系统数据处理的一致性、准确性,提供一个安全、保密、可靠、稳定的应用环境。
2 需求分析
办公管理需求:1新建一个网站涉及OA办公或ERP办公,分公司通过VPN连到总公司,分公司不设服务器,只设一个VPN路由及效的所有服务器放总公司外网及手机用户通过VPN拨到总厂。2相关链接:与分公司内部网,客户网实现连接,实现对FAM系统的连接。3发布新闻、通知、规定,下载软件、资料,连接FAM,实时数据等子系统。
内部网络需求:1硬件要求:公司内建立局域网,通过网关与外部链接。设集中的网络柜,邮件服务器、网站服务器、带VPN和流量控制的交换机。要求桌面达到100M,对外出口达到10M。2登录要求:局域网内不设限,但可控制流量。通过VPN实现自动登录,不需各终端另外登陆。外部互联网采用VPN登陆,具有VPN功能的手机可实现登陆。
3 办公管理系统解决提案
1)系统构架:在整个总结结构的设计过程中,信息管理平台应该基于Internet/intranet的建设原则,利用客户WWW服务器/应用服务器/数据库服务器/的结构来构造单位内部的信息管理系统。客户端采用浏览器模式使用信息管理系统,不需要安装专用的客户端软件,使整个系统的管理维护工作大量减少,利于管理人员使用计算机获取各个方面的业务数据。
2)系统构成:创建一个稳定、通用的信息管理平台将包括五个部分:个人事务、公共事务、工作流程、信息交流、系统管理。
3)实现功能:根据项目经验和长期对市场研究,建议办公管理系统实现以下功能:公文管理、协同工作、日常管理、文档管理、个人信息、手机远程访问(WAP或终端软件)劳资管理、人力资源管理、合同管理,建立开放性接口:方便对FAM系统,或其他相关系统进行连接互动。
4)系统网络拓朴结构:信息系统的拓朴结构是将信息系统各组成部分按照物理分布抽象成不同的节点,不考虑每个节点内部的硬件、软件、数据库等具体构成和模式,网络拓扑结构在设计时要充分考虑到网络设备的安全问题,要根据地理环境尽量把各项重要设备实行集中管理。
5)布线要求:办公室的布线需要满足对电话的要求,也就是运用交换机与外界进行有效的沟通还可以方便内部通话,对网络的要求,采用星形的综合网络布线结构,能够支持当下的网络应用,对影像传输的要求,会议的影视,数字的图像及模拟的图像等。
6)系统安全考虑:为了防止非法用户的不合法的存取信息,系统中要选择足够长的口令码长,字符长度不低于8位,同时,具备强制用户修改密码的功能。结合USB Key,通过硬件的方式和用户账号相结合,从而实现账号的根本安全。
7)无线接入:为了有效地利用网络管理平台和先进的移动设备,并且实现与信息中心的各项办公软件进行互联,能够及时了解员工的动态,实现对各项工作的批阅、自动接收文件、短信等。无线局域网具有移动性高、传输距离长等特点。
8)硬件建议:系统服务器:IBM system x3250,cpu:intel xe-on x3450(四核);主板:intel 3420 FSB(总线)1333mhz;内存2G DDRlll,最大支持32G,硬盘:1T sata支持热插拔,可以陈列;双千兆网卡;管理工具带IPMI2.0和serial over lan(sol)的集成管理模块(IMM)、IBM systems director 、alert standard format2.0、IBM server Guide、虚拟介质密钥(用于可选远程在线支持的硬件密钥)。
4 内部网络系统解决方案
依据需求,我们对本公司网络构架系统主要分为三层:核心层、接入层、网络出口层。以下设备选型只作为参考,要根据实际情况进行详细的设备选型。
1)分层设计:核心层:功能是要实现数据可靠、高速的传输。建议采用一台高性能、高可靠性思科三层交换机作为核心交换机 。CLSCO WS-C3560交换容易为32G,包转发能 力5.6MBPS、转发延时0.1MS。支持千兆链路,可以提高数据转发,及终端设备的阔容,大大的满足需要。应用服务器可以跟核心交换机进行连接。接入层:主要负责将各个终端工作站的网络流量汇聚到网络主干。建议使用CISCO WS-C2960交换机作为接入层交换机。提供了10/100接口,保证了终端上网畅通。网络出口层:建议采用一台Juniper SSG -20-Sb防火墙作为出口处设备。网络主干采用三层交换架构,满足大容量、高速率的数据传输要求。三层效的技术可实现网络路由管理,不但有效地控制网络风暴,又能保证了不同子网间的正常访问,分布式三层交换使得网络从主干到分支全面智能化,为网络的安全提供有效的保障。
2)网络设计优点:所有端口均能够自动适应MDI/MDIX,允许连接桌上机或服务器时,不需更换网络双绞线,保证流量的畅通;建立VLAN可以实现广播域,阻止网络风暴带的全网瘫痪,对于网络质量起到优化作用。NAT地址转换提供内外部的IP地址转向功能,有效隔绝内部及外部网络。
3)网络拓扑结构:在结构设计时应充分考虑到各种网络设备的安全问题。对一般局域网实现千兆主干、百兆交换桌面的网络结构。(见图1)
4)设备建议:
防火墙:Juniper SSG-20-SB并发连接数:8000;网络吞吐量量116600MMbbppss;;网网络络端端口口::55个个1100//110000MMBB,,22个个物物理理接接口口模模块块((PPMM))扩扩展展插插槽槽,,及及ccoonnssoollee控控制制接接口口;;入入侵侵检检测测::DDooss、、DDDDooss等等;;安安全全标标准准CCSSAA\CCBB;;支支持持VVPPNN。。
Juniper SSG-5-SH并发连接数:8000;网络吞吐量160Mb-ppss;;网网络络端端口口::77个个1100//110000MMBB,,及及ccoonnssoollee控控制制接接口口;;入入侵侵检检测测::DDooss、、DDDDooss等等;;安安全全标标准准CCSSAA\CCBB;;支支持持VVPPNN。。
核核心心交交换换机机
CISCO WS-C3560:内存128 MB DRAM和16 MB闪存;传输速速率率1100MMbbppss//110000MMbbppss;;网网络络标标准准IIEEEEEE 880022..33,, 880022..33uu,, 880022..33zz,,880022..33aabb;;端端口口结结构构非非模模块块化化;;端端口口数数量量2244;;接接口口介介质质1100//110000PPOOEE// 110000FFXX//SSXX;;传传输输模模式式支支持持全全双双工工;;交交换换方方式式存存储储--转转发发;;背背板板带带宽宽3322GGbbppss;;包包转转发发率率66..55MMppppss;;接接入入交交换换机机。。
CCIISSCCOO WWSS--CC22996600::内内存存::6644MMBB;;传传输输速速率率1100MMbbppss//110000MMbb--ppss//11000000MMbbppss ;;
5 结束语
合理有效的完善企业的办公信息网络布线系统,可以减少以后的升级发展带来的一些问题。随着网络的不断发展,企业越来越注重资源合理性和重要性,避免浪费,利用资源,提高效率,总体来说办公大楼信息网络综合布线系统的构建对企业的未来是不可或缺的。
参考文献
[1]罗金满.校园虚拟社区系统设计与实现[J].科技资讯,2006(16).
【关键词】网络安全;操作系统;一机两用;入侵检测
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01—0129-02
1、消防信息网络安全的基本内容
1.1 网络安全的概念
网络安全是利用各种网络管理、控制和技术措施,使网络系统的硬件、软件及其系统中的数据资源受到保护,不会因为一些不利因素而使这些资源遭到破坏、更改、泄露。
1.2 网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。包括:网络运行系统安全、网络上系统信息的安全、网络上信息传播的安全和网络上信息内容的安全。
2、消防信息网络中存在的安全问题
2.1 使用网络类型的不同
消防部队由于工作的特殊性,既有基于Internet的公众网络办公系统,又有基于公安网的内部网络办公系统。在日常办公时这两种网络都会被用到,如果电脑使用者不能区分开这两种网络,不注意而将两种网络混淆使用,就会导致“一机两用”的发生,甚至会使计算机受到病毒、黑客的攻击,发生重要数据的丢失或机密信息遭到窃取。“一机两用”是指计算机或者网络设备在未采取安全措施情况下既连接公安信息网络又连接互联网(含同时连接与不同时连接)。容易发生“一机两用”的途径和方式:
1)计算机同时联入互联网和公安信息内网;
2)公安信息内网专用移动存储设备在公安信息内网和互联网之间交叉使用。
3)外单位计算机维修人员对公安专网计算机进行维修。
4)将无线上网系统连接到公安网计算机。
5)使用笔记本电脑在公安信息内网和互联网之间交叉连接。
2.2 网络系统的脆弱性
2.2.1 网络自身的脆弱性
网络安全问题是Internet中的一个重要问题。计算机网络是使用TCP/IP协议的,而其所提供的FTP、E-Mail、RPC和NFS服务都包含许多不安全的因素,存在一些漏洞。
同时,网络的普及使信息共享达到了一个新的层次,信息被泄露的机会大大增多。Internet网络是一个不设防的开放大系统,谁都可以通过未受保护的外部环境和线路访问系统内部,随时可能发生搭线窃听、远程监控、攻击破坏。
2.2.2 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。主要表现在:
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
5)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在发布软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。
2.2.3 防火墙的局限性
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
尽管利用防火墙可以保护安全网免受外部黑客的攻击,但它只能提高网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。
2.3 基于消防信息网络进行的入侵
由于消防工作的社会性,消防信息化建设的一个重要方面就是利用信息化手段强化为社会服务的功能,积极利用网络载体为社会提供各类消防信息;在网上受理消防业务,公布依法行政的有关信息,为社会提供服务,增强群众对消防工作的满意度。在利用网络提高工作效率和简化日常工作流程的同时,也面临许多信息安全方面的问题,主要表现在:
2.3.1 内部资料被窃取
现在消防机关上传下达的各种文件资料基本上都要先经过电脑录入并打印后再送发出去,电脑内一般都留有电子版的备份,若此电脑是接入内部公安网或互联网的,那么就有可能受到来自内部或外部人员的威胁,其主要方式有:
1)利用系统漏洞入侵,浏览、拷贝甚至删除重要文件。
2)电脑操作人员安全意识薄弱,系统安全设置较低,随意共享文件等;系统用户使用空口令,不设置登录密码,或将系统帐号随意转借他人,都会导致重要内容被非法访问,甚至失去系统控制权。
2.3.2 Web服务被非法利用
目前全国各级公安消防部门在互联网上已建立了很多的网站,这些网站主要是用来提供消防法规、发布产品质量信息、消防技术标准、消防宣传资料等重要信息,部分支队面向社会群众开辟了网上受理业务服务,极大地提高了工作效率,但基于网页的入侵及欺诈行为也在威胁着网站数据的安全性及可信性。其主要表现在:CGI欺骗。
CGI(Common Gateway Interface)即通用网关接口,许多网站页面上允许用户输入相关信息,进行一定程度的交互。还有一些搜索引擎允许用户查找特定信息的站点,这些一般都通过执行CGI程序来完成。一些系统配置不当或本身存在漏洞的CGI程序,能被攻击者利用并执行一些系统命令,如创建具有管理员权限的用户,开启共享、系统服务,上传并运行木马等。在夺取系统管理权限后,攻击者还可在系统内安装嗅探器,记录用户敏感数据,或随意更改页面内容,对站点信息的真实性及保密性造成威胁。
2.3.3 网络服务的潜在安全隐患
一切网络功能的实现,都基于相应的网络服务才能实现,如IIS服务、FTP服务、E-Mail服务等。但这些有着强大功能的服务,在一些有针对性的攻击面前,也显得十分脆弱。以下列举几种常见的攻击手段。
1)分布式拒绝服务攻击
攻击者通过发送大量无效的请求数据包造成服务器进程无法短期释放,大量积累而耗尽系统资源,使得服务器无法对正常请求进行响应,造成服务器瘫痪。对任何连接到Internet上并提供基于TCP的网络服务(如Web服务器、FTP服务器或邮件服务器)的系统都有可能成为被攻击的目标。大多数情况下,遭受攻击的服务很难建立新的连接,系统通常会因此而耗尽内存、死机或系统崩溃等问题。
2)口令攻击
基于网络的办公过程中不免会有利用共享、FTP或网页形式来传送一些秘密文件,这些形式都可以通过设置密码的方式来提高文件的安全性,但多数不会使用一些诸如123、abc等简单的数字或英文字母组合作为密码,或是用自己的生日、姓名作为口令,由于人们主观方面的原因,使得这些密码形同虚设,攻击者一旦识别了一台主机而且发现了可利用的用户账号,便可通过词典、组合或暴力破解等手段得到用户密码,从而达到访问敏感信息的目的。
3)路由攻击
路由攻击是指通过发送伪造路由信息,产生错误的路由干扰正常的路由过程。攻击者可通过攻击路由器,更改路由设置,使得路由器不能正常转发用户请求,从而使得用户无法访问外网,或向路由器发送一些经过精心修改的数据包使得路由器停止响应,断开网络连接。
3、解决网络安全问题的主要方法
3.1 安全技术手段
1)网络安全隔离技术。
消防部队在处理日常事务上主要是用公安内网,由于内部公安网涉密信息较多,为了杜绝泄密事件的发生,一定要将其与互联网进行隔离的。网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。网络安全隔离技术可以实现内、外网络或外部网络与涉密信息的物理隔离,因而可以保证网络的相对安全。网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。
2)入侵检测技术。
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力和范围(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。
3)访问控制技术。
访问控制技术是对系统内部合法用户的非授权访问进行实时控制,可分为以下两种类型:①任意访问控制。指用户可以任意在系统中规定访问对象,优点是成本小且方便用户,缺点是安全系数较低。②强制访问控制。可以通过无法回避的访问限制来防止对系统的非法入侵,其缺点是费用较高、灵活性小。对于安全性要求较高的系统,可以采用两种类型结合的方法来维护网络系统的安全。
3.2 网络安全管理方面的措施
1)成立网络安全领导小组。
应该建立由单位领导牵头、网络管理员参与的网络安全领导小组,重点加强本单位网络安全有关项目的管理和应用,负责贯彻国家和公安部有关网络安全的法律、法规,落实各项网络安全制度;督促和加强对本单位人员的网络安全教育培训,监督、检查、指导网络安全工作。同时,将计算机网络安全的投入作为消防信息网络建设的基础投入来抓,同步建设。
2)加强网络管理人才引进和培训。
要保证消防网络信息系统在一个安全环境里发展,必须大力加强网络管理人才的引进,应该把招收计算机专业的人才列入消防部队招收大学毕业生的计划之中,提高消防部队网络管理人员的知识结构。同时,结合计算机网络技术的飞速发展,应当出台相关的培训制度,大力加强对现有网络管理人员、使用人员的培训。
3)制定并执行网络安全管理制度。
在系统安全处理的同时,应建立并完善各项安全管理制度,以此来确保计算机网络安全,如外聘人员签订安全责任书制度,外来人员网络访问制度,网络管理员定期检查维护制度等。
4)按规定做好公安内网专用计算机的联网注册工作。
按照规定,连接公安内部网络的计算机都需要经过领导审批才能实施联网,并逐台登记,进行实名注册,落实到民警个人。这样一方面能加强使用人的安全意识;另一方面对责任人敲响警钟,防患于未然。
5)在有多种网络的办公室,分清和梳理好各种网络接口和网线。
对于有两种或两种以上网络的办公室,必须对每个网络接口、每根网线、每台计算机都贴上醒目的标签,避免因接错网络而导致“一机两用”的发生。
6)组建安全保障体系。
根据各单位的实际情况组建安全保障体系是必需的,如网管人员安全培训、可靠的数据备份、紧急事件响应措施、定期系统安全评估及更新升级系统,这些都能为系统的安全提供有力的保障,确保系统能一直处于最佳的安全状态,即便系统受到攻击,也能最大程度地挽回损失。
4、结语
综上所述,网络安全问题的存在是显而易见的,而其所造成的威胁是不容忽视的,因此,在今后的消防信息化工作中,必须高度重视计算机网络的安全,只有不断加强技术和管理方面的工作,提高计算机安全意识人手,才能保障消防网络能够在一个安全的、稳定的环境中运行,才能够使得各项消防工作正常顺利的运行,信息的通畅可靠。
参考文献
[1]田庚林,田华,张少芳.计算机网络安全与管理[M].北京:清华大学出版社,2010
【某公安局网络安全方案】推荐阅读:
公安网络安全方案07-19
公安局信息通信网方案09-27
公安消防中队建设方案09-10
公安内部安全管理制度10-23
公安局公安宣传工作总结10-15
河北省公安厅安全技术防范管理办公室07-03
内乡县公安局05-27
市公安局的通知09-25
公安局内设机构10-30