网络安全运营篇1
关键词:安全运营;能力输出;纵深防御;持续监测
近来安全运营兴起,网络安全挃导思想仍合觃交付向能力辒送转变。习总乢记挃出,网络安全是整体的、动态的、开放的、相对的和共同的。早期以安全设备采购和安全策略设罫的静态安全防护模式已经不能适应互联网时代収展,特别是在开放、动态、融合的网络生态环境下,如不改变静态的被动防御理念,安全风险势必难以把控。面对这样的形势,安全运营顺势而生,为网络安全服务保障提供了一个新思路和新抓手。
1安全运维到安全运营的转变
传统安全运维大多是仍通信网络运维演变而来,其主要工作目标是确保网络设备和系统稳定运行,内容是収现设备告警提示和敀障信息,排陣设备和系统敀障问题,同时对设备迚行必要的策略配罫,保证策略能满足上级觃定和业务通联需求。这种传统的安全运维更多是对内而言求安全,对外而言应付检查。但随着云计算、物联网和大数据等新技术的迅猛収展和深度融合,网络安全环境収生了重大变化,业务觃模不断扩大,系统关联性和结极复杂性成倍提升,各类信息和数据呈爆炸式增长,加上网络边界日益模糊等现实问题,导致网络安全威胁陡然增多,传统的设备运行维护模式已经不能再确保网络安全。为解决这个突出问题,安全运营登上了舞台。安全运营不仅包拪安全运维,而且高于安全运维,是传统安全的集中和升华。安全运营是在安全运维基础上,通迆人、设备、数据和流程的有机结合,通迆主动探测和动态防御,持续辒出安全价值,解决安全风险、保证各类业务的实时安全稳定运行。安全运营可以定义为:为了实现网络安全这个目标,提出安全解决思路,通迆实践操作,验证思路的有敁性;通迆对安全亊件的分析、研刞、处罫的流程迚行反复伓化和改迚,实现持续保证网络安全的迆程。安全运营是一列觃则技术和应用的集合,是通迆极建“人+设备”整体联动的主动防御体系,通迆持续不断的循环,实现对安全亊件预警、响应、处罫、恢复的闭环。同时安全运营可以通迆联动和协调机制,充分伓化各类安全要素,动态地智能化地协同各种资源,保障单位网络业务平稳运行和持续迭代伓化,有敁抵御各种内外网安全威胁。
2安全运营的新模式
安全运营的新模式是传统安全运维的扩展和升级,其实现落地需要管理和技术两斱面同时支撑、相互衎接和配合,缺夰仸何一个都是行不通的。管理斱面,在顶层设计时,网络安全运营要根据国家信息安全等级保护2.0的相关要求,参考iSo27000信息安全管理体系标准,制定本行业相关管理要求,通迆不断伓化行业最佳实践案例,建立符合自身的安全管理体系框架。在安全运营实施层面,需要明确网络安全目标,制定网络运营标准和各业务系统的安全管理制度及操作觃范,幵在此基础上迚一步梱理安全管理流程,界定安全管理职责和范围,通迆细化觃则落实日常安全运营行为,保障安全运营工作的有序和高敁运行。技术斱面,首兇,建立仍网络链路层、物理层到应用层的整体安全防护技术措施,形成仍物理层到应用层的安全策略体系,通迆网关类设备、流量检测类设备和终端防护类设备的部署,极建整体安全防御体系。第事,通迆极建“一个中心、三重防御”架极(一个中心即安全管理中心,三重防御即安全计算环境防护、安全区域边界防护和安全通信网络防护),利用安全管理中心(SoC)持续不断的监测感知网络安全整体态势,对各类安全亊件按照亊前预刞和介入、亊中控制和阷断、亊后分析和溯源的斱式及时消陣安全风险;第三,适时开展安全审计,针对安全管理制度要求和技术策略开展落实情冴检查,查找制度、策略落实斱面的非合觃行为,促迚制度与策略的切实执行,同时根据检查中収现的问题和不足,对制度、流程等迚行不断的调整和伓化;第四,常态化开展安全风险评估,通迆技术手段、人工检查、渗透测试等斱法,对各类业务系统的安全威胁和资产自身脆弱性迚行检查和评估,寻找网络安全斱面的脆弱点,幵提出解决斱案,不断完善和伓化系统安全防护能力和水平。安全运营是伴随着网络和应用一幵字在的,不能将安全运营和网络应用剬裂开来,变成应用的“绊脚石”。同时我们必须清醒地认识到,网络运营不是一次投入,立刻见敁的工作,而是通迆不断完善、迭代伓化、不断提升的系统性工作。在极建符合自身的安全运营体系时,不仅需要考虑紧迫性,还需要考虑科学性和可扩展性,以便通迆实践不断丰寈和収展。当出现颠覆性技术革新时,还必须有不破不立、推倒重来的勇气,只有这样才能始终确保网络“真正的安全”。
3安全运营的价值
安全运营让单位的安全建设仍满足合觃向切实有敁斱向収展。2010年左右国内各个行业网络安全建设的普遍思路还停留在“监管合觃+设备部署”阶段。各个层面的专家在迚行网络安全觃划设计时考虑更多还是“合觃”问题。但随着网络和应用新技术的快速涊现,网络攻击技术日益复杂,网络攻击范围不断扩大,“监管合觃+设备堆叠”的静态网络防护不断被攻破,安全亊件频収,安全形势持续恶化。网络安全运营的基本原则是,网络是动态的、开放的,安全运营也必须符合动态性和开放性这一要求,要能随着业务系统的収展和变化,不断调整防护的重点和伓兇级。这就要求网络安全防护不能再仅仅满足合觃性需求,还必须具有扩展性和对抗性,以切实应对各种内部和外部的攻击。在各类应用枀速扩张的网络环境中,通迆安全运营,防护体系要能具备持续不断的漏洞収现和修补能力,要能在各类攻击迆程中保持业务持续稳定运行;通迆安全运营持续的安全评估,安全防护设备能具备灱活部署性和联动能力,如部署在单位网络关口处的入侵检测系统随着业务迁移和防护目标变化,会被重新部署到关键节点服务器前端,所有原兇的安全策略都会随着设备部署位罫的改变联动调整,以应对新的安全威胁。安全运营的持续动态性,就是为了应对不断变化的安全威胁,通迆不断改变和伓化单位的网络安全防护结极,使得网络安全防护更加具有实时性和有敁性。安全运营让安全行业仍维护保障转向能力辒出。安全运营的观念给网络安全行业注入了収展的活力。对安全行业的技术人员来说,通迆“运营”可以将自身工作仍被动维护设备变为主动监测和处罫网络安全风险,通迆自身努力逐步提升单位安全水平,让工作变得更有价值;对于安全行业的管理人员来说,可以通迆安全运营对单位体系化安全建设做出正确决策,更好的为单位内部信息化建设提供有力支撑;对于安全行业的具体单位来说,可以全盘了解当前单位网络安全态势及字在的脆弱点,挃导信息安全工作有敁开展;对于安全行业的监管部门来说,通迆安全运营持续监督被监管部门的安全建设情冴,使得监管更加准确有敁,更好的保障单位健康収展;对于被服务的用戵来说,安全运营能实实在在解决用戵担心“不加安全,数据易泄露、系统易瘫痪”,“加了安全,系统性能下降、影响敁能”的问题,安全运营提出通迆“技术+管理”降低系统风险,“局部防御+持续监测”减少安全防护对系统性能和敁能造成影响的新观念,切实保证用戵在安全环境下创造更多价值。
网络安全运营篇2
这是常委会会议第二次审议这部社会广泛关注的法律草案。
6月27日,十二届全国人大常委会第二十一次会议在北京人民大会堂举行第一次全体会议。张德江委员长主持会议。新华社记者谢环驰摄
拟加强对关键信息基础设施及其数据的保护
全国人大法律委员会27日就网络安全法草案作汇报时表示,一些常委会委员和地方、部门建议对关键信息基础设施的范围不作列举,可由国务院制定配套规定予以明确。
对此,二审稿规定,国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
二审稿还规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的除外。
同时,为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系,促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享,并加强对这些信息的保护,二审稿增加规定,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。
拟进一步强化国家维护网络安全的措施
张海阳指出,一些常委会组成人员和地方、部门提出,为了更好地维护网络空间主权,积极主动应对境内外的网络攻击和破坏,应当进一步强化国家维护网络安全的措施。
对此,二审稿增加规定:国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
张海阳强调,拟增加多项促进网络安全的支持措施,在维护网络安全的同时,促进发展。一是,国家推进网络安全社会化服务体系建设,鼓励企业、机构开展网络安全认证、检测和风险评估等服务。二是,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。三是,增加大数据应用必须对公民个人信息进行匿名化处理的规定,进一步明确公民个人信息使用规则。
拟加大对危害网络安全行为的惩戒力度
张海阳表示,一些地方、部门、社会公众提出,为营造良好的网络环境和秩序,应当进一步强化网络运营者的社会责任。
对此,二审稿增加规定,网络运营者必须遵守法律、行政法规,遵守社会公德、商业道德,诚实信用,履行网络安全保护义务,接受政府和社会公众的监督,承担社会责任。同时,二审稿还增加规定,网络运营者留存网络日志不得少于6个月;网络运营者对有关部门依法实施的监督检查应当予以配合。
网络安全运营篇3
1.1网络升级改造引入安全新威胁
随着电信网络的全面ip化,原来互联网中才会存在的安全威胁被引入到电信网络中,如木马程序、僵尸程序、拒绝服务攻击等。在ip技术和传统电信网相融合的过程中,又出现了具有电信网特点的新安全威胁,例如利用ip技术针对电信网业务层面的攻击。
1.2移动终端的智能化存安全隐患
智能终端的接入方式多种多样、接入速度越来越宽带化,使得智能终端与通信网络的联系更加紧密。智能终端的安全性已严重威胁着电信网络和业务的安全,随着运营商全业务运营的不断深入,以前分散的业务支撑系统逐步融合集成,但核心网和业务网之间的连接通常采用直连的方式,安全防护措施相对薄弱。在智能终端处理能力不断提升的今天,如果终端经由核心网发起针对业务系统的攻击,将会带来巨大的安全威胁。另一方面,智能终端平台自身也面临着严峻的安全考验,其硬件架构缺乏完整性验证机制,导致模块容易被攻击篡改,并且模块之间的接口缺乏对机密性、完整性的保护,在此之上传递的信息容易被篡改和窃听。凭借智能终端高效的计算能力和不断扩展的网络带宽,终端本身的安全漏洞很可能转化为对运营商网络的安全威胁。
1.3安全防护体系建设相对滞后
随着云计算云服务、移动支付的引入和发展,给运营商现有的基础网络架构及其安全带来了不可预知的风险。新兴的电信增值业务规模不断扩大,用户数量不断增加,因此更易受到网络的攻击、黑客的入侵。新技术新业务在带来营收增长的同时,也带来了越来越多的安全威胁因素和越来越复杂的网络安全问题,使得运营商对新业务安全管控的难度越来越大。面对新技术新业务带来的风险,行业安全标准的制定相对滞后,现阶还不能够对威胁安全的因素做出一个全面客观的评估,因此也就谈不上制定相应的风险防范应对措施,并且业界对新领域的安全防护经验不够丰富,当出现重大威胁网络安全事件的时候,对故障的响应处理能力还有待商榷。
2电信运营商网络安全防护措施
2.1加强网络安全的维护工作
面对网络信息安全存在的挑战,基础安全维护工作是根本,运营商需要做好安全保障和防护工作,并在实践中不断加强和完善。对网络中各类系统、服务器、网络设备进行加固,定期开展安全防护检查,实现现有网络安全等级的提升。安全维护人员在日常工作中也必须按照规定严格控制网络维护设备的访问控制权限,加强网络设备账号口令及密码的管理,提高网络安全防护能力。
2.2加强新兴领域的安全建设
云计算、移动互联网等新技术新业务的发展,带来了复杂的网络信息安全问题,为了加强对新兴领域的安全管理,运营商需要从新领域安全策略的制定和安全手段的创新两方面着手。
2.2.1加强安全策略的制定
应对新技术新业务的挑战,对全网安全需要重新规划和管理,建立与之匹配的安全标准、安全策略作为行动指导,并形成对服务提供商的监控监管。在新业务规划时,安全规划要保持同步,从业务设计开始就应将安全因素植入,尽量早发现漏洞、弥补漏洞。
2.2.2加强安全手段的创新
新技术的发展让传统网络的安全系统和防御机制难以满足日益复杂的安全防护需求,需要有新的安全防御手段与之抗衡。因此集监控分析、快速处置为一体的云安全等新的技术手段就值得我们去不断研究,并进行商用部署。
2.3加强安全防护管理体系的建设
做好管理体系的建设,首先需要制定配套的规章制度。网络信息的安全,必须以行之有效的安全规章制度作保证。需明确安全管理的范围,确定安全管理的等级,把各项安全维护工作流程化、标准化,让安全管理人员和安全维护人员明确自身的职责,从而有效地实施安全防护措施和网络应急响应预案,提高运营商整体的安全防护能力。其次需要建立纵向上贯穿全国的安全支撑体系。随着网络的聚合程度越来越高,省份之间的耦合程度越来越密,全国就是一张密不可分的网。因此需建立全国一体化的、统一调度管理的安全管理支撑体系。当出现攻击时集团、省、市三级安全支撑队伍能联动起来,做到应对及时有效。
3结束语
网络安全运营篇4
随着终端的不断智能化,其带来的应用也越来越多,从最初的语音,到丰富的交互式应用如社区、电子商务、支付等。在这样的背景下,作为向用户呈现最终应用的互联网,其所面对的复杂安全威胁也在向传统电信网渗透。
近日,在接受《通信产业报》记者采访时,国家计算机网络应急技术协调处理中心副总工程师杜跃进指出:目前,传统意义上的互联网安全和电信网安全界限已经越来越模糊,电信网络安全的挑战更多地来自于用户端。
运营商要对用户数据安全负责?
杜跃进指出,与传统思路相比,电信网络安全需要同时注重交换网络安全和用户数据安全。
交换网络的安全问题源自于电信网络向nGn的演进。他指出,网络安全应采取新的技术手段,以保证软交换网络中的媒体网关、软交换机、应用服务器设备不会受到非法攻击。由于软交换技术选择了ip网作为承载网,网络安全问题尤其突出。
而用户数据安全问题的产生则要归因于网络功能的增强。杜跃进认为,由于基于nGn的多媒体、交互式业务不断增长,用户的隐私保护问题对于电信运营商和互联网服务商来说将是无法回避的,电信运营商和互联网服务商有责任采取多种技术手段,保护用户的账户信息和通信信息的安全。他指出,这些安全保障的实施有两大要点:首先,软交换网须采用必需的安全认证策略保证用户账户信息的安全;同时,无论是用户的账户信息还是用户的通信信息的安全均需要ip网的安全策略作为保证。
交换网络方面的安全新挑战容易理解,但用户数据安全的提法无疑扩大了传统电信网安全保障的责任范围,电信运营商对此持保留意见。中国电信网络资源管理处处长叶薇表示:“尽管用户数据安全问题较为迫切,但目前其尚不在运营商网络安全维护的责任之内,只有当国家政策作出相关要求,或者大规模病毒泛滥严重影响承载网络可用性的情况下,电信运营商才会在网络节点上采用应对手段,进行流量清洗和净化。”
来自用户终端的威胁
尽管用户数据安全的责任归属难以界定,但叶薇承认,电信运营商并不能超然事外。她指出,DDoS、垃圾流量、蠕虫,是当前网络交换和网络应用的三大杀手,而三者滋生的温床都是用户端的僵尸网络集群。其中,DDoS攻击能产生大量非法不可控流量,通过消耗网络资源,造成网络设备性能下降,数据包转发异常,导致网络可用性下降,堪称当前电信运营商核心网面临的最为严酷的安全挑战。
最近一份赛门铁克的网络安全监测报告指出,位于中国的僵尸网络计算机终端数量已经位居全球第二,占全球僵尸网络计算机总量的9%。今年11月底,在中国移动举办的移动互联网研讨会上,来自绿盟科技的演讲者韩永刚也提到,据绿盟科技监测统计,中国目前已经有三百多万个ip地址被僵尸网络所控制。
这使得交换网络安全和用户数据安全正在面对的威胁越来越趋于专业化和多元化。韩永刚举例说:“今年10月,中国电信某城域网就面对了一次僵尸集群发动的DDoS攻击,其网络承受的攻击量从3G增长到5G、6G,电信运营商和安全厂商忙于应付,在之后的调查中发现攻击来源的ip都是僵尸计算机,幕后真凶也无从查起。”
对此,中国电信网络资源管理处高级业务主管王新峰认为:用户终端沦为僵尸网络,其引发的蠕虫病毒、DDoS攻击、垃圾流量工作机理各不相同。“目前中国电信已经开始着手解决,以不同的方法应对。”他说。
王新峰举例表示:垃圾流量主要是由p2p应用、垃圾邮件等业务带来的,这些流量不受运营商控制,其主要问题是占有大量带宽资源,但不能为运营商带来利润。垃圾流量可以采用Dpi设备进口控制,在核心网边缘部署Dpi设备,将垃圾流量进行整型限流处理,以防对核心网造成不良影响。
而对DDoS攻击已经有成熟的解决方案。王新峰告诉记者:电信运营商应在核心网部署流量清洗中心实施DDoS防御,通过在核心网的国际出口、互联互通出口、省网出口、城域网出口等网络数据的关键出入口部署流量清洗中心,检测进出网络的数据,一旦发现可疑流量,则利用流量牵引技术将这部分流量引流到流量清洗中心,在流量清洗中心将攻击流量过滤,最终将清洁流量回注到网络中。
健全安全保障机制
此外,除了采用多种技术保障交换网络和用户数据的安全外,健全的安全策略和管理机制也将扮演越来越重要的角色。事实上,在2005年由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办,通信产业报社承办的的“2005年中国电信业网络与信息安全研讨会”上,六大电信运营商就曾承诺,其不仅要在技术上不断强化网络安全,更要进一步完善网络信息安全责任制度,健全网络信息安全保障措施,不断提高管理水平。
记者了解到,在网络信息安全方面,电信运营商都设置了相关的应对机制,并分别采取了专门项目小组的形式或各部门设置技术专员的形式。以中国联通为例,其在数据与固定通信业务部和互联网与电子商务业务部均有网络信息安全相关的工作人员。中国联通集团运行维护部传输及配套维护处经理民指出,中国联通一直非常重视交换网络与用户数据安全,同时,联通在信息内容的安全性和健康性方面也严守国家相关规定,坚持以应用及其信息内容的安全、健康为中心,构建绿色网络。而中国电信方面,王新峰表示,网络运行维护事业部的分支部门对网络安全各个层面负责进行监管。
链接电信网络安全新变化
(1)应用安全提上议事日程
过去:强调网络的可靠性和可用性,不强调网上应用的安全;
现在:不仅要强调业务的可用性和可控性,还要强调承载网的可靠性和生存性,而且要保证信息传递的完整性、机密性和不可否认性。
(2)承载网与信令网同等重要
过去:对信令网的安全要求高,一般为独立的信令网,信令网的安全可靠保证了网络的安全;
现在:强调网络融合,信令网与传输网用同一张网进行承载,承载网的安全变得非常重要。
(3)ip技术疏于监控黑客行为
过去:传输采用tDm的专线,用户之间采用面向连接的通道进行通信,其他用户很难插入偷听;
现在:采用ip技术进行通信,由于ip的无连接性,及不对源地址进行认证的特性,黑客容易截取通话,盗用账号,电话骚扰。
(4)DDoS攻击带来挑战
网络安全运营篇5
关键词:电力营销;网络安全;安全建设;安全管理
1引言
营销业务作为“SG186”工程的业务系统之一,应用上涵盖了新装增容及变更用电、资产管理、计量点管理、抄表管理、核算管理、电费收缴、帐务管理、用电检查管理、95598业务等领域,需要7×24小时不间断、安全可靠运行的保障[1]。因此在遵循国家电网公司“SG186”工程的建设标准和信息网络等级保护要求的基础上,结合营销关键业务应用,加强信息安全防护,保障营销系统网络的安全运行。本文针对新疆电力营销系统的现状,给出了一种多层次的安全防护方案,对保障营销系统网络稳定运行,保护用户信息安全,传输安全、存储安全和有效安全管理方面给出了建设意见。
2新疆营销网络系统现状
新疆电力营销业务应用经过了多年的建设,目前大部分地区在业扩报装、电费计算、客户服务等方面的营销信息化都基本达到实用化程度,在客户服务层、业务处理层、管理监控层三个层次上实现了相应的基本功能。结合新疆电力公司的实际情况,主要分析了管理现状和网络现状。
2.1管理现状
根据公司总部提出的“集团化运作、集约化发展、精细化管理”的工作思路,从管理的需求上来说,数据越集中,管理的力度越细,越能够达到精细化的管理的要求。但由于目前各地市公司的管理水平现状、it现状、人员现状等制约因素的限制,不可能使各地市公司的管理都能够一步到位,尤其是边远地区。因此,营销业务应用管理在基于现状的基础上逐步推进。根据对当前各地市公司的营销管理现状和管理目标需求的分析,管理现状可分为如下三类:实时化、精细化管理;准实时、可控的管理;非实时、粗放式管理。目前大部分管理集中在第二类和第三类。
2.2网络现状
网络建设水平将直接影响营销业务应用的系统架构部署,目前新疆公司信息网已经形成,实现了公司总部到网省公司、网省公司本部到下属地市公司的信息网络互连互通,但是各地市公司在地市公司到下属基层供电单位的之间的信息网络建设情况差别较大,部分地市公司已经全部建成光纤网络,并且有相应的备用通道,能够满足实时通信的要求,部分地市公司通过租用专线方式等实现连接,还有一些地市公司由于受地域条件的限制,尚存在一些信息网络无法到达的地方,对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
2.3需求分析
营销业务系统通常部署在国家电网公司内部信息网络的核心机房,为国家电网公司内部信息网络和国家电网公司外部信息网络的用户提供相关业务支持。该网络涉及业务工作和业务应用环境复杂,与外部/内部单位之间存在大量敏感数据交换,使用人员涵盖国家电网公司内部人员,外部厂商人员,公网用户等。因此,在网络身份认证、数据存储、网络边界防护与管理等层面上都有很高的安全需求。[2]
3关键技术和架构
3.1安全防护体系架构
营销网络系统安全防护体系的总体目标是保障营销系统安全有序的运行,规范国家电网公司内部信息网员工和外部信息网用户的行为,对违规行为进行报警和处理。营销网络系统安全防护体系由3个系统(3维度)接入终端安全、数据传输安全和应用系统安全三个方面内容,以及其多个子系统组成,其体系结构如图1所示。
图1营销系统安全防护总体防护架构
3.2接入终端安全
接入营销网的智能终端形式多样,包括pC终端、智能电表和移动售电终端等。面临协议不统一,更新换代快,网络攻击日新月异,黑客利用安全漏洞的速度越来越快,形式越来越隐蔽等安全问题。传统的基于特征码被动防护的反病毒软件远远不能满足需求。需要加强终端的安全改造和监管,建立完善的认证、准入和监管机制,对违规行为及时报警、处理和备案,减小终端接入给系统带来的安全隐患。
3.3数据传输安全
传统的数据传输未采取加密和完整性校验等保护措施,电力营销数据涉及国家电网公司和用户信息,安全等级较高,需要更有效的手段消除数据泄露、非法篡改信息等风险。
市场上常见的安全网关、防火墙、漏洞检测设备等,都具有数据加密传输的功能,能够有效保证数据传输的安全性。但仅仅依靠安全设备来保证数据通道的安全也是不够的。一旦设备被穿透,将可能造成营销系统数据和用户信息的泄露。除此之外,还需要采用更加安全可靠的协议和通信通道保证数据通信的安全。
3.4应用系统安全
目前营销系统已经具有针对应用层的基于对象权限和用户角色概念的认证和授权机制,但是这种机制还不能在网络层及以下层对接入用户进行细粒度的身份认证和访问控制,营销系统仍然面临着安全风险。增强网络层及以下层,比如接入层、链路层等的细粒度访问控制,从而提高应用系统的安全性。
4安全建设
营销系统安全建设涉及安全网络安全、主机操作系统安全、数据库安全、应用安全以及终端安全几个层面的安全防护方案,用以解决营销系统网络安全目前存在的主要问题。
4.1终端安全加固
终端作为营销系统使用操作的发起设备,其安全性直接关系到数据传输的安全,乃至内网应用系统的安全。终端不仅是创建和存放重要数据的源头,而且是攻击事件、数据泄密和病毒感染的源头。这需要加强终端自身的安全防护策略的制定,定期检测被攻击的风险,对安全漏洞甚至病毒及时处理。对终端设备进行完善的身份认证和权限管理,限制和阻止非授权访问、滥用、破坏行为。
目前公司主要的接入终端有pC、pDa、无线表计、配变检测设备、应急指挥车等。由于不同终端采用的操作系统不同,安全防护要求和措施也不同,甚至需要根据不同的终端定制相应的安全模块和安全策略,主要包括:针对不同终端(定制)的操作系统底层改造加固;终端接入前下载安装可信任插件;采用两种以上认证技术验证用户身份;严格按权限限制用户的访问;安装安全通信模块,保障加密通讯及连接;安装监控系统,监控终端操作行为;安装加密卡/认证卡,如USBKeY/pCmCia/tF卡等。
4.2网络环境安全
网络环境安全防护是针对网络的软硬件环境、网络内的信息传输情况以及网络自身边界的安全状况进行安全防护。确保软硬件设备整体在营销网络系统中安全有效工作。
4.2.1网络设备安全
网络设备安全包括国家电网公司信息内、外网营销管理系统域中的网络基础设施的安全防护。主要防护措施包括,对网络设备进行加固,及时安装杀毒软件和补丁,定期更新弱点扫描系统,并对扫描出的弱点及时进行处理。采用身份认证、ip、maC地址控制外来设备的接入安全,采用较为安全的SSH、HttpS等进行远程管理。对网络设备配置文件进行备份。对网络设备安全事件进行定期或实时审计。采用硬件双机、冗余备份等方式保证关键网络及设备正常安全工作,保证营销管理系统域中的关键网络链路冗余。
4.2.2网络传输安全
营销系统数据经由网络传输时可能会被截获、篡改、删除,因此应当建立安全的通信传输网络以保证网络信息的安全传输。
在非边远地方建立专用的电力通信网络方便营销系统的用户安全使用、在边远的没有覆盖电力局和供电营业所的地方,采用建立GpRS、GSm,3G专线或租用运营商aDSL、iSDn网络专网专用的方式,保障电力通信安全。
电力营销技术系统与各个银行网上银行、邮政储蓄网点、电费代缴机构进行合作缴费,极大方便电力客户缴费。为了提高通道的安全性,形成了营销系统信息内网、银行邮政等储蓄系统、internet公网、供电中心网络的一个封闭环路,利用专网或Vpn、加密隧道等技术提高数据传输的安全性和可靠性。
在数据传输之前需要进行设备间的身份认证,在认证过程中网络传输的口令信息禁止明文传送,可通过哈希(HaSH)单向运算、SSL加密、SecureShell(SSH)加密、公钥基础设施(publicKeyinfrastructure简称pKi)等方式实现。
此外,为保证所传输数据的完整性需要对传输数据加密处理。系统可采用校验码等技术以检测和管理数据、鉴别数据在传输过程中完整性是否受到破坏。在检测到数据完整性被破坏时,采取有效的恢复措施。
4.2.3网络边界防护
网络边界防护主要基于根据不同安全等级网络的要求划分安全区域的安全防护思想。营销系统安全域边界,分为同一安全域内部各个子系统之间的内部边界,和跨不同安全域之间的网络外部边界两类。依据安全防护等级、边界防护和深度防护标准,具有相同安全保护需求的网络或系统,相互信任,具有相同的访问和控制策略,安全等级相同,被划分在同一安全域内[3],采用相同的安全防护措施。
加强外部网络边界安全,可以采用部署堡垒机、入侵检测、审计管理系统等硬件加强边界防护,同时规范系统操作行为,分区域分级别加强系统保护,减少系统漏洞,提高系统内部的安全等级,从根本上提高系统的抗攻击性。
跨安全域传输的数据传输需要进行加密处理。实现数据加密,启动系统的加密功能或增加相应模块实现数据加密,也可采用第三方Vpn等措施实现数据加密。
4.3主机安全
从增强主机安全的层面来增强营销系统安全,采用虚拟专用网络(Virtualprivatenetwork简称Vpn)等技术,在用户网页(weB)浏览器和服务器之间进行安全数据通信,提高主机自身安全性,监管主机行,减小用户错误操作对系统的影响。
首先,扫描主机操作系统评估出配置错误项,按照系统厂商或安全组织提供的加固列表对操作系统进行安全加固,以达到相关系统安全标准。安装第三方安全组件加强主机系统安全防护。采用主机防火墙系统、入侵检测/防御系统(iDS/ipS)、监控软件等。在服务器和客户端上部署专用版或网络版防病毒软件系统或病毒防护系统等。
此外,还需要制定用户安全策略,系统用户管理策略,定义用户口令管理策略[4]。根据管理用户角色分配用户权限,限制管理员使用权限,实现不同管理用户的权限分离。对资源访问进行权限控制。依据安全策略对敏感信息资源设置敏感标记,制定访问控制策略严格管理用户对敏感信息资源的访问和操作。
4.4数据库安全
数据库安全首要是数据存储安全,包括敏感口令数据非明文存储,对关键敏感业务数据加密存储,本地数据备份与恢复,关键数据定期备份,备份介质场外存放和异地备份。当环境发生变更时,定期进行备份恢复测试,以保证所备份数据安全可靠。
数据安全管理用于数据库管理用户的身份认证,制定用户安全策略,数据库系统用户管理策略,口令管理的相关安全策略,用户管理策略、用户访问控制策略,合理分配用户权限。
数据库安全审计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。对较敏感的存储过程加以管理,限制对敏感存储过程的使用。及时更新数据库程序补丁。经过安全测试后加载数据库系统补丁,提升数据库安全。
数据库安全控制、在数据库安装前,必须创建数据库的管理员组,服务器进行访问限制,制定监控方案的具体步骤。工具配置参数,实现同远程数据库之间的连接[5]。
数据库安全恢复,在数据库导入时,和数据库发生故障时,数据库数据冷备份恢复和数据库热备份恢复。
4.5应用安全
应用安全是用户对营销系统应用的安全问题。包括应用系统安全和系统的用户接口和数据接口的安全防护。
4.5.1应用系统安全防护
应用系统安全防护首先要对应用系统进行安全测评、安全加固,提供系统资源控制功能以保证业务正常运行。定期对应用程序软件进行弱点扫描,扫描之前应更新扫描器特征代码;弱点扫描应在非核心业务时段进行,并制定回退计划。依据扫描结果,及时修复所发现的漏洞,确保系统安全运行。
4.5.2用户接口安全防护
对于用户访问应用系统的用户接口需采取必要的安全控制措施,包括对同一用户采用两种以上的鉴别技术鉴别用户身份,如采用用户名/口令、动态口令、物理识别设备、生物识别技术、数字证书身份鉴别技术等的组合使用。对于用户认证登陆采用包括认证错误及超时锁定、认证时间超出强制退出、认证情况记录日志等安全控制措施。采用用户名/口令认证时,应当对口令长度、复杂度、生存周期进行强制要求。
同时,为保证用户访问重要业务数据过程的安全保密,用户通过客户端或weB方式访问应用系统重要数据应当考虑进行加密传输,如网上营业厅等通过internet等外部公共网络进行业务系统访问必须采用SSL等方式对业务数据进行加密传输。杜绝经网络传输的用户名、口令等认证信息应当明文传输和用户口令在应用系统中明文存储。
4.5.3数据接口安全防护
数据接口的安全防护分为安全域内数据接口的安全防护和安全域间数据接口的安全防护。安全域内数据接口在同一安全域内部不同应用系统之间,需要通过网络交换或共享数据而设置的数据接口;安全域间数据接口是跨不同安全域的不同应用系统间,需要交互或共享数据而设置的数据接口。
5安全管理
安全管理是安全建设的各项技术和措施得以实现不可缺少的保障,从制度和组织机构到安全运行、安全服务和应急安全管理,是一套标准化系统的流程规范,主要包括以下方面。
5.1安全组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织机构可以由专职人员负责,也可由运维人员兼职。
5.2安全规章制度
建立安全规章制度,加强安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。确保安全规章制度能够有效落实执行。
5.3安全运行管理
在系统上线运行过程中,遵守国家电网公司的安全管理规定,严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。
首先,系统正式上线前应进行专门的系统安全防护测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。
在上线运行维护阶段,应定期对系统运行情况进行全面审计,包括网络审计、主机审计、数据库审计,业务应用审计等。每次审计应记入审计报告,发现问题应进入问题处理流程。建立集中日志服务器对营销交易安全域中网络及安全设备日志进行集中收集存储和管理。
软件升级改造可能会对原来的系统做出调整或更改,此时也应从需求、分析、设计、实施上线等的整个生命周期对运行执行新的安全管理。
5.4安全服务
安全服务的目的是保障系统建设过程中的各个阶段的有效执行,问题、变更和偏差有效反馈,及时解决和纠正。从项目层面进行推进和监控系统建设的进展,确保项目建设质量和实现各项指标。
从项目立项、调研、开发到实施、验收、运维等各个不同阶段,可以阶段性开展不同的安全服务,包括安全管理、安全评审、安全运维、安全访谈、安全培训、安全测试、安全认证等安全服务。
5.5安全评估
安全评估是对营销系统潜在的风险进行评估(Riskassessment),在风险尚未发生或产生严重后果之前对其造成后果的危险程度进行分析,制定相应的策略减少或杜绝风险的发生概率。
营销系统的安全评估主要是针对第三方使用人员,评估内容涵盖,终端安全和接入网络安全。根据国家电网公司安全等级标准,对核心业务系统接入网络安全等级进行测评,并给出测评报告和定期加固改造办法,如安装终端加固软件/硬件,安装监控软件、增加网络安全设备、增加安全策略,包括禁止违规操作、禁止越权操作等。
5.6应急管理
为了营销系统7×24小时安全运行,必须建立健全快速保障体系,在系统出现突发事件时,有效处理和解决问题,最大限度减小不良影响和损失,制定合理可行的应急预案,主要内容包括:明确目标或要求,设立具有专门的部门或工作小组对突发事件能够及时反应和处理。加强规范的应急流程管理,明确应急处理的期限和责任人。对于一定安全等级的事件,要及时或上报。
6实施部署
营销系统为多级部署系统。根据国家电网信息网络分区域安全防护的指导思想原则,结合新疆多地市不同安全级别需求的实际情况,营销系统网络整体安全部署如图2所示。
在营销系统部署中,对安全需求不同的地市子网划分不同的安全域,网省管控平台部署在网省信息内网,负责对所有安全防护措施的管控和策略的下发,它是不同安全级别地市子系统信息的管理控制中心,也是联接总部展示平台的桥梁,向国网总公司提交营销系统安全运行的数据和报表等信息。
7结束语
电力营销网络安全技术的发展伴随电力营销技术的发展而不断更新,伴随安全技术的不断进步而不断进步。电力营销网络的安全不仅仅属于业务系统的安全范畴,也属于网络信息化建设范畴,其安全工作是一个系统化,多元化的工作,立足于信息内网安全,覆盖信息外网安全和其他网络。
本文基于新疆电力营销系统网络安全的现状,结合现有安全技术和安全管理手段来提高营销系统整体安全水平,为提升原有网络的安全性,构造一个安全可靠的电力营销网络提供了一套安全解决方案,对国家电网其他具有类似需求的网省公司营销系统网络安全问题解决提供参考和借鉴。
参考文献
[1]赵宏斌,陈超.电力营销数据安全防护体系及其关键技术研究[J].电力信息化,2008年6卷7期:135-139.
[2]吕萍萍.当前电力企业电力营销的现状与安全防护保障系统构建[J].华东科技:学术版,2012年11期:282.
[3]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,赵建梅.浅析电力营销业务应用系统的安全风险[J].黑龙江科技信息,2010年35期:153-154.
[5]李红文.论加强电力营销信息系统安全[J].信息通信,2012年1月:115-116.
作者简介:刘陶(1983-),男,汉族,四川乐山,本科,技师,电力营销稽查与实施调度。
陈晓云(1974-),女,大专,技师,新疆乌鲁木齐,电力营销稽查。
网络安全运营篇6
全国人大常委会法工委经济法室副主任杨合庆在当日举行的新闻会上介绍,《网络安全法》共有7章79条,内容上有6方面突出亮点:第一,明确了网络空间的原则;第二,明确了网络产品和服务提供者的安全义务;第三,明确了网络运营者的安全义务;第四,进一步完善了个人信息保护规则;第五,建立了关键信息基础设施安全保护制度;第六,确立了关键信息基础设施重要数据跨境传输的规则。
建立基础设施安全保护制度
《网络安全法》规定了关键基础设施运营者的义务和要求。着重强调了对公共通信和信息服务、能源、交通、公共服务、电子政务等重要行业和领域实行重点保护。并鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系中来。
以立法手段保护关键信息基础设施是国际上通行做法。《网络安全法》除规定了建设关键信息基础设施应当确保其具有业务稳定、持续运行的性能外,还规定了新的制度,如设置专门安全管理机构和安全管理负责人,并对关键岗位人员进行安全背景审查;对重要系统和数据库进行容灾备份。
此外规定关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议;境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。关键信息基础设施的运营者应对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责安全保护工作的部门。这些制度初步构建起了关键信息基础设施保护制度体系,具有突破性的作用。
特别是针对个别犯罪分子在境外从事侵害攻击我国“关键信息基础设施”安全的,第七十五条规定对境外个人或组织侵害的特殊处罚措施,可以采取“冻结财产或其他必要的制裁措施”。国家关键信息基础设施是国计民生的根本,强化保护和加大处罚力度就是为了更好地保护用户合法权益。
强化用户权利
此次《网络安全法》尤其是在用户知情权与用户对自身数据控制权与决定权做了具体规定。中国政法大学传播法研究中心副主任朱巍认为,互联网发展的未来是以用户意愿为基础的“意愿经济”模式,用户对数据的控制权和其他合法权益都是建立在用户知情权的基础之上。《网络安全法》规定,网络服务提供者发现存在安全缺陷、漏洞等风险时,有“及时告知用户”的法定义务。这条修改是针对近年来国内外多发的“漏洞门”和“黑客门”事件做出的总结,是对消费者知情权在网络权益上的发展和进化。尽管网络漏洞可能存在一定的不可控性,但用户有权在第一时间知晓漏洞的存在,网站有义务第一时间向用户进行告知。并且,该法第四十二条在网络运营者应当采取必要措施确保所收集的个人信息安全基础上,新增了对“可能”发生个人信息泄露、毁损、丢失等情况下,网络运营者也应当“按照规定及时”告知用户的义务。对于维护个人信息安全更进一步。
同时,《网络安全法》增强了用户对自己数据的控制权和自我决定权。用户发现网络运营者违法或违约收集、使用其个人信息的,有权要求其删除个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求其予以更正。这一条款赋予个人用户自我保护的权利,避免危害进一步扩大,是我国关于网络立法乃至人格权的一大进步。朱巍认为这样的规定就是将数据权作为具体人格权的明确表现,非常符合互联网时代用户权益的发展方向,也是发展中的人格权在互联网上的体现。该法明确将用户自己的数据控制权和自我决定权重新交回到了用户手中,这一点是非常值得点赞的。
强化主体责任
《网络安全法》另一大特点就是强调政府部门在保障网络安全,包括个人信息保护上的责任。该法第一章的14条条款,几乎都是关乎国家在保护网络安全中的权利和职责,在全文中,强调政府部门职责的条款比比皆是。
《网络安全法》从政府权力部门的信息保障义务入手,在源头上强化了政府部门的信息安全保障义务,国家机关政务网络运营者和有关部门将网络安全保护职责中获取的信息用于其他用途的,或者是、、的行为,构成犯罪的要追究刑事责任;没有构成犯罪的,也要依法予以处分。
网络安全运营篇7
本文针对新疆电力营销系统的现状,给出了一种多层次的安全防护方案,对保障营销系统网络稳定运行,保护用户信息安全,传输安全、存储安全和有效安全管理方面给出了建设意见。
2新疆营销网络系统现状
新疆电力营销业务应用经过了多年的建设,目前大部分地区在业扩报装、电费计算、客户服务等方面的营销信息化都基本达到实用化程度,在客户服务层、业务处理层、管理监控层三个层次上实现了相应的基本功能。结合新疆电力公司的实际情况,主要分析了管理现状和网络现状。
2.1管理现状
根据公司总部提出的“集团化运作、集约化发展、精细化管理”的工作思路,从管理的需求上来说,数据越集中,管理的力度越细,越能够达到精细化的管理的要求。但由于目前各地市公司的管理水平现状、it现状、人员现状等制约因素的限制,不可能使各地市公司的管理都能够一步到位,尤其是边远地区。因此,营销业务应用管理在基于现状的基础上逐步推进。根据对当前各地市公司的营销管理现状和管理目标需求的分析,管理现状可分为如下三类:实时化、精细化管理;准实时、可控的管理;非实时、粗放式管理。目前大部分管理集中在第二类和第三类。
2.2网络现状
网络建设水平将直接影响营销业务应用的系统架构部署,目前新疆公司信息网已经形成,实现了公司总部到网省公司、网省公司本部到下属地市公司的信息网络互连互通,但是各地市公司在地市公司到下属基层供电单位的之间的信息网络建设情况差别较大,部分地市公司已经全部建成光纤网络,并且有相应的备用通道,能够满足实时通信的要求,部分地市公司通过租用专线方式等实现连接,还有一些地市公司由于受地域条件的限制,尚存在一些信息网络无法到达的地方,对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
2.3需求分析
营销业务系统通常部署在国家电网公司内部信息网络的核心机房,为国家电网公司内部信息网络和国家电网公司外部信息网络的用户提供相关业务支持。该网络涉及业务工作和业务应用环境复杂,与外部/内部单位之间存在大量敏感数据交换,使用人员涵盖国家电网公司内部人员,外部厂商人员,公网用户等。因此,在网络身份认证、数据存储、网络边界防护与管理等层面上都有很高的安全需求。[2]
3关键技术和架构
3.1安全防护体系架构
营销网络系统安全防护体系的总体目标是保障营销系统安全有序的运行,规范国家电网公司内部信息网员工和外部信息网用户的行为,对违规行为进行报警和处理。营销网络系统安全防护体系由3个系统(3维度)接入终端安全、数据传输安全和应用系统安全三个方面内容,以及其多个子系统组成。
3.2接入终端安全
接入营销网的智能终端形式多样,包括pC终端、智能电表和移动售电终端等。面临协议不统一,更新换代快,网络攻击日新月异,黑客利用安全漏洞的速度越来越快,形式越来越隐蔽等安全问题。传统的基于特征码被动防护的反病毒软件远远不能满足需求。需要加强终端的安全改造和监管,建立完善的认证、准入和监管机制,对违规行为及时报警、处理和备案,减小终端接入给系统带来的安全隐患。
3.3数据传输安全
传统的数据传输未采取加密和完整性校验等保护措施,电力营销数据涉及国家电网公司和用户信息,安全等级较高,需要更有效的手段消除数据泄露、非法篡改信息等风险。市场上常见的安全网关、防火墙、漏洞检测设备等,都具有数据加密传输的功能,能够有效保证数据传输的安全性。但仅仅依靠安全设备来保证数据通道的安全也是不够的。一旦设备被穿透,将可能造成营销系统数据和用户信息的泄露。除此之外,还需要采用更加安全可靠的协议和通信通道保证数据通信的安全。
3.4应用系统安全
目前营销系统已经具有针对应用层的基于对象权限和用户角色概念的认证和授权机制,但是这种机制还不能在网络层及以下层对接入用户进行细粒度的身份认证和访问控制,营销系统仍然面临着安全风险。增强网络层及以下层,比如接入层、链路层等的细粒度访问控制,从而提高应用系统的安全性。
4安全建设
营销系统安全建设涉及安全网络安全、主机操作系统安全、数据库安全、应用安全以及终端安全几个层面的安全防护方案,用以解决营销系统网络安全目前存在的主要问题。
4.1终端安全加固
终端作为营销系统使用操作的发起设备,其安全性直接关系到数据传输的安全,乃至内网应用系统的安全。终端不仅是创建和存放重要数据的源头,而且是攻击事件、数据泄密和病毒感染的源头。这需要加强终端自身的安全防护策略的制定,定期检测被攻击的风险,对安全漏洞甚至病毒及时处理。对终端设备进行完善的身份认证和权限管理,限制和阻止非授权访问、滥用、破坏行为。目前公司主要的接入终端有pC、pDa、无线表计、配变检测设备、应急指挥车等。由于不同终端采用的操作系统不同,安全防护要求和措施也不同,甚至需要根据不同的终端定制相应的安全模块和安全策略,主要包括:针对不同终端(定制)的操作系统底层改造加固;终端接入前下载安装可信任插件;采用两种以上认证技术验证用户身份;严格按权限限制用户的访问;安装安全通信模块,保障加密通讯及连接;安装监控系统,监控终端操作行为;安装加密卡/认证卡,如USBKeY/pCmCia/tF卡等。
4.2网络环境安全
网络环境安全防护是针对网络的软硬件环境、网络内的信息传输情况以及网络自身边界的安全状况进行安全防护。确保软硬件设备整体在营销网络系统中安全有效工作。
4.2.1网络设备安全
网络设备安全包括国家电网公司信息内、外网营销管理系统域中的网络基础设施的安全防护。主要防护措施包括,对网络设备进行加固,及时安装杀毒软件和补丁,定期更新弱点扫描系统,并对扫描出的弱点及时进行处理。采用身份认证、ip、maC地址控制外来设备的接入安全,采用较为安全的SSH、HttpS等进行远程管理。对网络设备配置文件进行备份。对网络设备安全事件进行定期或实时审计。采用硬件双机、冗余备份等方式保证关键网络及设备正常安全工作,保证营销管理系统域中的关键网络链路冗余。
4.2.2网络传输安全
营销系统数据经由网络传输时可能会被截获、篡改、删除,因此应当建立安全的通信传输网络以保证网络信息的安全传输。在非边远地方建立专用的电力通信网络方便营销系统的用户安全使用、在边远的没有覆盖电力局和供电营业所的地方,采用建立GpRS、GSm,3G专线或租用运营商aDSL、iSDn网络专网专用的方式,保障电力通信安全。电力营销技术系统与各个银行网上银行、邮政储蓄网点、电费代缴机构进行合作缴费,极大方便电力客户缴费。为了提高通道的安全性,形成了营销系统信息内网、银行邮政等储蓄系统、internet公网、供电中心网络的一个封闭环路,利用专网或Vpn、加密隧道等技术提高数据传输的安全性和可靠性。在数据传输之前需要进行设备间的身份认证,在认证过程中网络传输的口令信息禁止明文传送,可通过哈希(HaSH)单向运算、SSL加密、SecureShel(lSSH)加密、公钥基础设施(publicKeyinfrastructure简称pKi)等方式实现。此外,为保证所传输数据的完整性需要对传输数据加密处理。系统可采用校验码等技术以检测和管理数据、鉴别数据在传输过程中完整性是否受到破坏。在检测到数据完整性被破坏时,采取有效的恢复措施。
4.2.3网络边界防护
网络边界防护主要基于根据不同安全等级网络的要求划分安全区域的安全防护思想。营销系统安全域边界,分为同一安全域内部各个子系统之间的内部边界,和跨不同安全域之间的网络外部边界两类。依据安全防护等级、边界防护和深度防护标准,具有相同安全保护需求的网络或系统,相互信任,具有相同的访问和控制策略,安全等级相同,被划分在同一安全域内[3],采用相同的安全防护措施。加强外部网络边界安全,可以采用部署堡垒机、入侵检测、审计管理系统等硬件加强边界防护,同时规范系统操作行为,分区域分级别加强系统保护,减少系统漏洞,提高系统内部的安全等级,从根本上提高系统的抗攻击性。跨安全域传输的数据传输需要进行加密处理。实现数据加密,启动系统的加密功能或增加相应模块实现数据加密,也可采用第三方Vpn等措施实现数据加密。
4.3主机安全
从增强主机安全的层面来增强营销系统安全,采用虚拟专用网络(Virtualprivatenetwork简称Vpn)等技术,在用户网页(weB)浏览器和服务器之间进行安全数据通信,提高主机自身安全性,监管主机行,减小用户错误操作对系统的影响。首先,扫描主机操作系统评估出配置错误项,按照系统厂商或安全组织提供的加固列表对操作系统进行安全加固,以达到相关系统安全标准。安装第三方安全组件加强主机系统安全防护。采用主机防火墙系统、入侵检测/防御系统(iDS/ipS)、监控软件等。在服务器和客户端上部署专用版或网络版防病毒软件系统或病毒防护系统等。此外,还需要制定用户安全策略,系统用户管理策略,定义用户口令管理策略[4]。根据管理用户角色分配用户权限,限制管理员使用权限,实现不同管理用户的权限分离。对资源访问进行权限控制。依据安全策略对敏感信息资源设置敏感标记,制定访问控制策略严格管理用户对敏感信息资源的访问和操作。
4.4数据库安全
数据库安全首要是数据存储安全,包括敏感口令数据非明文存储,对关键敏感业务数据加密存储,本地数据备份与恢复,关键数据定期备份,备份介质场外存放和异地备份。当环境发生变更时,定期进行备份恢复测试,以保证所备份数据安全可靠。数据安全管理用于数据库管理用户的身份认证,制定用户安全策略,数据库系统用户管理策略,口令管理的相关安全策略,用户管理策略、用户访问控制策略,合理分配用户权限。数据库安全审计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。对较敏感的存储过程加以管理,限制对敏感存储过程的使用。及时更新数据库程序补丁。经过安全测试后加载数据库系统补丁,提升数据库安全。数据库安全控制、在数据库安装前,必须创建数据库的管理员组,服务器进行访问限制,制定监控方案的具体步骤。工具配置参数,实现同远程数据库之间的连接[5]。数据库安全恢复,在数据库导入时,和数据库发生故障时,数据库数据冷备份恢复和数据库热备份恢复。
4.5应用安全
应用安全是用户对营销系统应用的安全问题。包括应用系统安全和系统的用户接口和数据接口的安全防护。
4.5.1应用系统安全防护
应用系统安全防护首先要对应用系统进行安全测评、安全加固,提供系统资源控制功能以保证业务正常运行。定期对应用程序软件进行弱点扫描,扫描之前应更新扫描器特征代码;弱点扫描应在非核心业务时段进行,并制定回退计划。依据扫描结果,及时修复所发现的漏洞,确保系统安全运行。
4.5.2用户接口安全防护
对于用户访问应用系统的用户接口需采取必要的安全控制措施,包括对同一用户采用两种以上的鉴别技术鉴别用户身份,如采用用户名/口令、动态口令、物理识别设备、生物识别技术、数字证书身份鉴别技术等的组合使用。对于用户认证登陆采用包括认证错误及超时锁定、认证时间超出强制退出、认证情况记录日志等安全控制措施。采用用户名/口令认证时,应当对口令长度、复杂度、生存周期进行强制要求。同时,为保证用户访问重要业务数据过程的安全保密,用户通过客户端或weB方式访问应用系统重要数据应当考虑进行加密传输,如网上营业厅等通过internet等外部公共网络进行业务系统访问必须采用SSL等方式对业务数据进行加密传输。杜绝经网络传输的用户名、口令等认证信息应当明文传输和用户口令在应用系统中明文存储。
4.5.3数据接口安全防护
数据接口的安全防护分为安全域内数据接口的安全防护和安全域间数据接口的安全防护。安全域内数据接口在同一安全域内部不同应用系统之间,需要通过网络交换或共享数据而设置的数据接口;安全域间数据接口是跨不同安全域的不同应用系统间,需要交互或共享数据而设置的数据接口。
5安全管理
安全管理是安全建设的各项技术和措施得以实现不可缺少的保障,从制度和组织机构到安全运行、安全服务和应急安全管理,是一套标准化系统的流程规范,主要包括以下方面。
5.1安全组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织机构可以由专职人员负责,也可由运维人员兼职。
5.2安全规章制度
建立安全规章制度,加强安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。确保安全规章制度能够有效落实执行。
5.3安全运行管理
在系统上线运行过程中,遵守国家电网公司的安全管理规定,严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。首先,系统正式上线前应进行专门的系统安全防护测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。在上线运行维护阶段,应定期对系统运行情况进行全面审计,包括网络审计、主机审计、数据库审计,业务应用审计等。每次审计应记入审计报告,发现问题应进入问题处理流程。建立集中日志服务器对营销交易安全域中网络及安全设备日志进行集中收集存储和管理。软件升级改造可能会对原来的系统做出调整或更改,此时也应从需求、分析、设计、实施上线等的整个生命周期对运行执行新的安全管理。
5.4安全服务
安全服务的目的是保障系统建设过程中的各个阶段的有效执行,问题、变更和偏差有效反馈,及时解决和纠正。从项目层面进行推进和监控系统建设的进展,确保项目建设质量和实现各项指标。从项目立项、调研、开发到实施、验收、运维等各个不同阶段,可以阶段性开展不同的安全服务,包括安全管理、安全评审、安全运维、安全访谈、安全培训、安全测试、安全认证等安全服务。
5.5安全评估
安全评估是对营销系统潜在的风险进行评估(Riskassessment),在风险尚未发生或产生严重后果之前对其造成后果的危险程度进行分析,制定相应的策略减少或杜绝风险的发生概率。营销系统的安全评估主要是针对第三方使用人员,评估内容涵盖,终端安全和接入网络安全。根据国家电网公司安全等级标准,对核心业务系统接入网络安全等级进行测评,并给出测评报告和定期加固改造办法,如安装终端加固软件/硬件,安装监控软件、增加网络安全设备、增加安全策略,包括禁止违规操作、禁止越权操作等。
5.6应急管理
为了营销系统7×24小时安全运行,必须建立健全快速保障体系,在系统出现突发事件时,有效处理和解决问题,最大限度减小不良影响和损失,制定合理可行的应急预案,主要内容包括:明确目标或要求,设立具有专门的部门或工作小组对突发事件能够及时反应和处理。加强规范的应急流程管理,明确应急处理的期限和责任人。对于一定安全等级的事件,要及时或上报。
6实施部署
营销系统为多级部署系统。根据国家电网信息网络分区域安全防护的指导思想原则,结合新疆多地市不同安全级别需求的实际情况,营销系统网络整体安全部署如图2所示。在营销系统部署中,对安全需求不同的地市子网划分不同的安全域,网省管控平台部署在网省信息内网,负责对所有安全防护措施的管控和策略的下发,它是不同安全级别地市子系统信息的管理控制中心,也是联接总部展示平台的桥梁,向国网总公司提交营销系统安全运行的数据和报表等信息。
7结束语
网络安全运营篇8
为进一步深化文化体制改革,响应省委、省政府提出的实现安徽“从传统文化大省向现代文化强省跨越”的战略目标;同时,推动传统电视向互联网延伸,扩大主流媒体的辐射面和影响力,拓展互联网传播新领域,抢占网络宣传新阵地,在安徽省委宣传部和省广播电影电视局的总体部署下,安徽电视台整合全台资源推出了“安徽网络电视台”。
由此,安徽网络电视台的播出翻开了安徽电视台新媒体建设史上崭新的篇章,开辟了省级卫视打造网络电视台的先河,在有力地推动安徽电视台新媒体项目整体发展的同时,也将带来省级卫视的“台网联动”的媒体趋势。
台网联动势在必行
以往电视台和其主体网站之间的协作模式并不罕见,我们将这种合作模式称为台网联动,而今的台网联动的意义产生很大变化,此次安徽电视台的“台网联动”,其合作不仅是安徽电视台和安徽网络电视台之间的合作,也包括安徽台和优酷网(合作重点在版权方面)及酷6网(合作重点在游戏方面)的合作,这是三网一体的台网联动。
本刊记者在安徽网络电视台开播仪式现场看到,除部分中央驻皖新闻单位和全国多家媒体记者见证了安徽网络电视台的开播以外,还有很多全国知名网站做现场直播,如优酷、酷6、人民网、新华网、新浪、网易等,媒体格局全面。
在开播仪式上,安徽电视台台长赵红梅现场与国内著名视频网站优酷网和盛大酷6网签署了战略合作协议,安徽网络电视台将与优酷、酷6在内容建设、品牌推广、版权运营、广告营销等方面展开全面合作。赵红梅台长表示,为打造业内一流品质、构筑全国性的社会影响,安徽网络电视台在充分整合安徽电视台现有资源的同时,将积极联手各种社会力量,包括内容集成商、技术研发商和渠道提供商等,力争以规模化的定位、规模化的起步,做出规模化的效果。
安徽网络电视台成立后,运营将由安徽电视台广告中心负责,广告中心常务副主任道存在接受本刊记者采访时说:“安徽电视台与优酷的合作实际上很早便开始,今年我们准备加深合作的力度,同时借助安徽网络电视台开播的时机,正式宣布与优酷成为战略合作伙伴。合作的优势主要在几个方面,一方面是电视剧,安徽卫视的特色是‘剧行天下’,安徽电视台也是国内最大的电视剧播出平台,今年,安徽电视台购买了四大名著的版权,《西游记》已经播出,五月份将播出《三国演义》,九月份将播出《红楼梦》,另外安徽卫视也购买了很多独家版权的电视剧,还有《幸福一定强》等自制剧。对于优酷来说,电视剧也是其吸引网站点击率的优势所在,份额达到了70%。优酷是最大的视频网站,安徽电视台是最大的电视剧运营媒体,因此在电视剧的合作上有很大空间。比如说《三国演义》这部电视剧,我们买了卫视版权,他们买了网络版权,我们就可以合作,实现联合购买、联合推广、联合招商。
第二块合作是新闻。目前对于新闻的合作,已有良好的开端,比如我们优秀的新闻栏目《超级新闻场》是一档突破地域界限、用特色表达方式整合全天资讯,报道新闻热点,为大众提供前卫新锐咨询服务的大型新闻板块栏目,这个栏目已和优酷合作一段时间。优酷可以用我们的新闻,我们也可以用他们网站的新闻源,形成了新闻资源的互换。
第三块合作就是综艺节目。目前我们台有几个热点综艺节目,比如《周末我最大》、《剧风行动》等。在我台和优酷合作后,受众就可以在优酷上看到这几则综艺节目的完整视频。安徽台也会做一些大型的活动,如线下的海选、网络赛区等形式,都将和优酷进行合作。
最后一方面是关于广告的合作。传统的电视媒体和新型的视频网站之间给予广告客户的增值空间巨大。优酷拥有较多汽车客户,安徽电视台有日用消费品及家电的客户,台网合作后客户架构可以互补。另外,我们可以共同创造一些新的客户赞助的模式,针对同一个客户,联合推出一个台网结合的方案,给客户提供增值权益。”
道存还表示,网络和电视台合作是未来很重要的发展方向。现在很多客户都在研究整合传播,而安徽电视台和网络的合作则顺势给客户提供了整合传播的平台。比如,北京即将举办汽车展,安徽电视台和奇瑞汽车是战略合作伙伴,奇瑞希望安徽电视台能在汽车展上对其进行宣传,安徽电视台将奇瑞汽车在一则偶像剧中做植入广告,将偶像剧的开播仪式放在车展上,并且联合优酷对此活动做宣传报道,因此客户的广告附加值倍增。
省级网络电视台
这张牌如何打?
面对中央电视台及众多省级、地方级电视台都相继推出自己的网络电视台,安徽电视台广告中心副主任兼安徽网络电视台负责人李豹对这一现象表示喜忧参半。当一个产业发展到一定阶段才会受到大量关注,而由此带来的行业竞争也不容忽视。安徽网络电视台成立后,首先要解决自身定位的问题。
安徽网络电视台计划陆续开设首页及新闻、综艺、电视剧、播客、直播、动漫等6个频道。据李豹介绍,安徽网络电视台的宗旨是研究和把握媒体形态的最新发展动向,牢固树立阵地意识、导向意识和责任意识,在新的媒体形态中发挥主流媒体的重要作用。在自身的建设中,要凸显网络特质,体现不同于传统媒体的载体特征和不同于一般网站的平台资源。安徽网络电视台是立足全国市场、具有全球视野的新传媒,力争以规模化定位、以规模化起步,做出规模化的效果。在网络电视台开办初期,需要依托安徽电视台的母体资源,包括内容资源和广告资源。但这种资源的借力,绝不是照搬照抄,而是要进行符合网络传播规律的专业化改造,形成具有安徽网络电视台烙印的新产品、新架构和新品牌。同时,强化业务的拓展,依托知名网站的成熟经验和运作模式,强强联手,整合资源,缩短自身的成长期。
安徽网络电视台还需尽快完成从传统媒体向网络传媒的转型,做成具有独立内容构成、独立形式特质、独立运营模式的新媒体,并缩短对母体的依赖期限,独立上线,按照网络传媒的特点,策划和开发新的内容资源,打造新的网媒品牌。
随着中国网络电视台的开播,省级电视台集体性进入网络电视领域。在此背景下,安徽网络电视台突出重点、彰显个性显得尤为重要。安徽网络电视台开办后,着力开发新闻、影视剧、动漫、游戏等产品形态,力争在最短的时间内,成为被网民关注和喜爱的具有独特品质的网络电视台。
网络电视台的技术支持条件与传统电视不同,要求的环节更多、技术含量更高。同时,网络电视台还涉及政策、版权等各方面的保障问题。安徽网络电视台将加强研究和攻关,确保点击内容的正版、海量、清晰和流畅,探索新的运营模式和盈利模式,形成新的经济增长点,全力保障和推进网络电视台的顺利发展。
安徽网络电视台三年规划为网站访问量位居省级电视媒体视频网站前3名,网站整合经营创收过亿元。目前,安徽网络电视台下设采编部、技术部、营销部,网络电视台也是人才济济,新增传媒专业研究生16人加入团队。据李豹透漏,去年安徽电视网(原名)在仅有12人的情况下,经营创收逾千万元。
安徽网络电视台在开播第一天便带来了赢利,据李豹介绍,开播仪式的花费为10余万,分别有格力空调、碧生源、美菱等六家企业赞助了这一活动,直接带来经济效益50余万元。
本着“扩大视野,超常发展,创新突破,重点突出”原则,安徽网络电视台运营模式主要有:广告运营,借助广告中心的强大广告客户资源,实现广告资源的最大化整合,与优秀网站尝试进行网络广告的运营合作项目,拟于3月底与优酷网签订联合开发网络广告运营合作项目,推动新兴媒体之间开展广告合作;版权运营,已经确定专人,全面整合安徽电视台母体的网络视频版权资源,与国内有影响的综合门户网站或视频网站联系,积极寻求版权合作,同时,围绕安徽卫视大剧独播资源,推出网络首播或独播剧,网络电视台与安徽卫视相互呼应,配合宣传,做好片库与版权业务的置换销售,打好版权牌,实现台网联动,发挥母体资源的作用;手机电视运营,通过技术手段,使终端手机用户在手机上可以点播我们提供的优质视频,逐步推出安徽网络电视台的手机电视平台、iptV平台及移动电视,并做好迎接“三网融合”的内容集成与储备,建立三网融合的跨媒体终端构架,积极抢占三网融合的制高点,目前正谈判接洽电信运营商,暂定于5月份与电信运营商合作推出手机电视;网络游戏运营,将于本月底与盛大(酷6网)签订联合开发网络游戏产品协议书,寻找网络游戏的合作点,开发出能将安徽卫视及其独播剧、自办栏目、大型活动、主持人等元素融入其中的游戏产品;无线增值运营,正在收购具有全国特服号的公司,整合无线增值业务,以短信、彩信、彩铃等业务形态,全面融入广播电视,致力于安徽电视台自办栏目全天候的跨媒体互动。
安徽网络电视台前期规划投入2000万元,目前已经投入近千万元,主要投入在内容建设、技术建设和综合建设等方面,视频节目储备已完成8000小时,平均每天视频更新时长约21小时,全部来自安徽电视台的自办栏目,并且加大民生新闻的建设。据李豹介绍,网络自制节目也在计划中。
台网联动带来的业内反响
优酷高级运营副总裁魏明表示:“现在版权环境发生变化,加之广告主、广告客户以及网民对于在视频网上消费
的内容已经有了越来越明显的集中,就是以影视作品为主。而优酷一直是提倡‘分享共赢’的概念,在互联网中,我们不提倡独家。我们相信在这么大的一个网络环境里,仅依靠一个媒体是无法将一个优秀的影视作品炒热,一个优秀的影视作品一定是通过众多平台来做的,这个平台可能是跨媒体的,也可能是一个媒体的不同平台。所以我们提出了联播模式,其实联播模式在电视台已经有很多案例了。而互联网一直打拼不断,很少联起手来做事,所以在推出这样一个模式后,也在圈里得到很大的反响。此次的台网联动和联播模式是一脉相承的,我们从之前的业内合作发展为加大与电视台之间的合作。通过台网联动这种新的模式,探索出一条互联网和电视媒体之间的合作道路。之前一直有人说互联网就是电视媒体的替代者,而在互联网发展十几年后,我们发现,其实一个新的媒体形式的出现,并不是上一代媒体形式的终结,而是上一代媒体形式的一种全新延续。传统媒体也在随着消费者、消费环境的变化,以及消费行为的变化而因时而动。我相信今天安徽电视台选择和优酷合作是非常具有前瞻性的。”
网络安全运营篇9
长期以来,社会各界十分关注网络安全,要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。
刚刚结束的十二届全国人大常委会第十五次会议初次审议了网络安全法草案。草案共7章68条。关于保障网络产品和服务安全,草案规定网络产品和服务提供者不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等;关于保障网络数据安全,草案要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改;关于保障网络信息安全,草案明确了网络运营者处置违法信息的义务,赋予有关主管部门处置违法信息、阻断违法信息传播的权力。
草案规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全运营篇10
有线电视网络从单一广播电视的业务特点向融合化、社交化和泛在化转变这是方向,传统通信、广播电视、互联网产业之间的界限将逐渐被打破,相互间的业务将围绕视频、语音、数据等不断的跨界融合,电视将逐渐转变为智能化的家庭多媒体信息终端,有线电视通过wiFi或3G等无线技术的延伸,配合相应智能终端,实现移动终端、家庭终端之间无缝迁移和多屏互动融合,实现在任何时间、任何地点对任何用户提供更加快捷、更加丰富的服务。
鉴于以上发展趋势,有线电视网络的定位应该不仅仅是传统的电视传输,也不能满足于现有的视频和应用业务,而应当顺应世界有线电视网络发展的方向,适应国家实施三网融合培育战略性新兴产业的要求,向全业务运营商的目标挺进。湖南有线电视集团认真分析了有线电视网络发展的趋势,明确了自身的定位,要成为卓越的全业务信息服务商,具体来说是基于高质量的高清3D互动有线电视传输基础上的全业务信息服务商,聚焦有线电视,突出差异化。当然,要做到全业务,还有很长的路要走,还有很多的工作要做,要循序渐进,立足当前,在把有线电视大屏幕、高清晰的视频优势做到极致的基础上,逐步叠加各项应用和信息服务。根据定位,我们以下一代广播电视网络(nGB)模型为基础,结合现状,提出了建设全省统一管理运营的互连互通网络目标,确保可承载多类型广播电视、宽带数据、云电视和多媒体通信等全业务服务能力。
第一,业务承载目标:在承载广播电视业务的基础上,具备承载以互联网为核心的数据信息服务业务、以端到端通信为核心的多媒体通信业务的能力,实现除移动通信业务以外的所有网络业务的承载能力,网络服务质量(Qos)达到各类业务的承载要求。第二,互连互通目标:改造建设完成的网络,除满足网络内部业务承载要求外,具备和广电国家网、电信网、移动网、联通网互连互通的能力,可实现语音、数据、音视频共享互连。第三,网络通信能力目标:全省骨干网络以tbit级的otn模式构建传输网络系统,省-市传输实现环路+网状方式组网,市-县本地网按照环路方式组网,支持传输总带宽达2200Gb以上,在此基础上,建设广播电视安全播出传输网络系统和ip双向通信网络系统,实现省内网络的多业务互连互通,并以骨干网核心节点为网关,实现内网与外网的互连互通。第四,网络服务等级目标:满足广播电视传输、互联网接入、多媒体通信等在全省范围内任意端到端的各类传输等级要求。第五,增值业务平台目标:以云计算paaS基础设施架构构建,以集团为中心,采用二级架构分布式地服务全省所有增值业务用户。第六,支撑系统目标:规划建设内容媒体中心(mCC)、数据通信网(DCn)、业务支撑系统(BSS)、运营支撑系统(oSS)、管理支撑系统(mSS)、决策支撑系统(DSS)、客户服务系统(SSS)。第七,网络安全目标:完善有线广播传输系统,满足国家广播电视安全播出规范要求;通信网络安全、信息安全、设备安全等符合《信息等级安全保护规范》等相关要求,通过国家安全认证。
正视差距,向通信运营商学习
不可否认,三网融合大背景下,有线电视网络无论是在体制、机制、网络化水平、市场化水平、管理水平、业务支撑水平、人力资源、经济规模与实力等多方面存在显著的差距。有线电视网络公司的目标是成为第四大运营商,而通信运营商已经做到,而且已经十分成熟并具备了相当的规模,为什么有线电视网络公司不能向他们学习呢?主要是思想和观念的问题。毋庸置疑,通信运营商是有很多方面值得学习和借鉴的,这样可以少走错路或弯路。湖南有线电视集团一直努力向通信运营商学习,主要表现在以下几个方面。
第一,引进通信运营商的专业人才。我们从通信运营商引进了部分高端技术、市场以及管理人员,包括公司的总经理也是来自于湖南移动,他们的来到,为我们带来新的思路、新的理念、新的技术、新的文化和新的管理。
第二,借鉴通信运营商的管理体制机制。通信运营商一直采取从上到下的垂直管理体制,尽管灵活性不够,但统一的标准体系,统一的网络规划、网络建设、网络运维、品牌形象、营销策划、服务体系,形成了整体品牌形象。湖南有线电视集团在网络全面整合完成的基础上,效仿通信运营商,大力探索和推进省管市、市管县的层级管理新模式,以缩短管理链条、提高管理效能,以推动市州子公司为龙头、以地市为单元整体协调发展。目前,已在多个地市开展了市管县工作试点,将经营管理职能下放到市州子公司,收到了很好的效果。我们将在试点的基础上,总结经验,逐步完善后在全集团范围施行。
第三,借鉴通信运营商的机构专业化管理。通信运营商从集团到县公司自上而下机构设置基本上实现了专业化管理,而且三十多年的实践证明,对促进企业文化、市场经营、网络建设与维护、客户服务都是行之有效的。为此,湖南有线电视集团从集团本部开始进行机构调整,并要求市州县所有公司进行相应的设置,确保市场、客服、建设、维护、人力资源、财务等职能部门按照专业化管理,提高工作效率。
第四,借鉴通信运营商的定购支付管理。有线电视服务网点少,服务手段单一,交费难和订购业务难的“两难”问题长期困扰着用户,影响有线电视网络公司的发展。为解决“两难”问题,促进业务发展,湖南有线电视集团在通信运营商交费、定购业务手段的基础上进行创新,整体推出切实我们实际的预存账户、交费充值卡、短信充值和订购平台、电视营业厅、电视便民交费、电视钱包等一系列新的服务手段,用户足不出户,只要拿起手机发个短信,或者操作机顶盒遥控器,就可以轻松完成交费和业务订购,安全,方便,省心。
第五,借鉴通信运营商的营销模式。根据运营商“预存电话费送手机”的营销策略,在与电视机、机顶盒厂家进行反复研究论证,并充分做好市场调研的基础上,湖南有线电视集团推出了“看高清互动电视节目,送高清电视机”的营销方案,通过向预存有线电视费、订购有线电视节目内容的用户免费赠送集DVB与ott于一体的高清智能机,这不仅增强客户对增值业务的检验,快速提升高清和双向客户规模,而且在一定程度上提升客户的忠诚度,促进经营创收与业务发展。
开放、合作共同做大有线电视网络市场
目前,全国各地自上而下有线电视网络还基本停留在各自为政、兵不成阵的发展状态,市场化水平与开放程度低,孤军奋战难有作为。有线电视网络要做大做强,就必须开放,就必须合作,就必须创新,也只有开放才能开发,创新才能发展,发展才能共赢。湖南有线电视集团以“开放、合作、共赢”为方针,树立“以我为主、合纵连横”的发展理念,按照“坚守技术标准,放开网络建设,坚守核心网络,放开接入网络,坚守业务管理,放开业务接入,坚守业务属性,放开业务经营”的原则,以开放融合的心态,实施拿来主义的策略,引进培植一批紧密战略型合作伙伴和利益共同体,推进技术创新和业务研发等合作,改变了过去封闭、单一、独我的发展模式,促进了共同发展。
第一,开门做规划。为应对竞争形势,为未来3-5年的业务发展、市场经营、网络建设、技术平台支撑、人力资源等进行系统全面地规划,湖南有线电视集团启动了战略发展规划编制工作,遵照按“开放、前瞻”的原则,采取走出去和引进来的策略,与国家广电总局规划院合作,先后会同华数、天威、北大、茁壮、同洲、华为、思科、中兴、爱立信等公司的专家深入探讨了业态及网络技术发展的动向和趋势,通过对国内外数字电视网、互联网、多媒体通信网的立体研究,立足于自身的资源与特点,科学合理地进行编制。我们的战略规划也得到国家广电总局和总部有关部门的好评。
第二,开放建网络。无论是基础网络建设、系统平台支撑建设,还是终端建设,只要条件许可,都引入合作伙伴,共同建设,用最短的时间,用最小的风险,确保有线电视网络尽快达到运营商水平。湖南有线电视集团的网络、平台建设,除了自建外,还采用了多种方式加快建设。部分系统支撑平台,运用Bot等方式建设,与合作方形成利益共同体,在引入资金的同时,捆绑合作方的人才、管理、技术,确保平台最快、最好产生价值。我们已采用此方式建设了第三方缓存系统,不仅节约了投资成本,而且系统更趋稳定。干线、城域网的建设,我们的策略是宜租则租,宜建则建,宜互换就互换,确保网络稳定安全传输。在部分未建设环网线路的子公司,我们就租用了通信运营商的光纤,我们还与相关运营商签订光纤资源互用的协议,互为补充,互为备份。我们还正研究接入网,也就是双向网改的合作模式,探讨设备租用、对股、分期付款等形式,化解投资风险,加快双向网改进度。
第三,合作做业务。根据业务发展规划,湖南有线电视集团对现有业务进行了梳理,明确哪些业务可以自主经营,哪些业务可以与其他运营商合作经营,哪些业务由其他运营商独立经营。我们与北京大学合作研发的云电视业务,就取得了不错的成果。在今年的第八届深圳文博会上,中央政治局常委李长春同志亲自视察,对云电视可控、可管、可信的绿色互联网应用和视频通话应用给予肯定,国家广电总局将“下一代广播电视网(nGB)视频云应用实验室”授予湖南有线电视集团。我们还与相关设备运营商共同开发运营了体育、家庭安监、电视卡啦oK、电视游戏等新业务。正在与湖南联通洽谈宽带业务合作。同时,我们积极加强与全国有线电视网络公司的合作,抱团取暖,准备打通与广东、广西、湖北、贵州、重庆等省区的干网资源,形成规模效应。
巩固基础业务,拓展多业务模式
有线电视网络要发展,必须以传统的电视传输业务为基础,在巩固原有阵地的前提下,拓展和培育新的业务形态。
第一,巩固基础业务市场。在三网融合的市场条件下,iptV、ott、互联网视频、移动视频等业务将对有线网络的基础业务造成巨大的影响,分流了我们的基础用户,甚至部分电信运营商在新楼盘与开发商、物业签订排他协议,实施光纤入户阻止同轴电缆入户,动摇了有线电视网络公司的生存之本。针对这种情况,我们除增强服务内容、完善业务支撑平台、提高服务水平,以服务和质量赢得市场外,还采取了三大主要措施:一是经过努力争取,湖南有线电视集团作为参编单位参与制订了湖南省住建厅《湖南省商住楼和住宅小区通信设施建设规范》,并已对外,该规范明确规定用户家庭在敷设光缆的同时,必须同步敷设同轴电缆,使有线电视同轴电缆入户成为政府建筑审批的强制性标准。二是充分利用有线网络的政治资源优势,根据省物价局的有关文件精神,将新楼盘有线电视设施建设费纳入政务中心收取。三是与省三网融合办及相关政府部门沟通汇报,要求将iptV作为有线电视的同质性业务,其安全监管、资费标准和销售方式应与有线电视保持一致。
第二,拓展多业务市场。下一代广播电视网升级改造项目的实施,湖南有线电视集团将根据“技术数字化、内容高清化、传输双向化、应用多元化、运营市场化”的模式,实现高清互动、高速互联网络及多元化行业应用的融合,为用户提供云电视多屏通信、家庭安控、家庭网关、电视教育、电视旅游、数字智能家庭等各种全新的信息服务。我们将全面实施“高清互动业务规模突破、宽带业务提质、广告业务发展提速、融合型新业务战略工程”四大工程。1、高清互动业务规模突破工程。高质量的高清互动有线电视传输是我们当前最突出、最明显的业务优势。与其他视频相比,具有明显的业务差异性与客户感知度,是特色业务、优势业务和拳头产品,是制胜竞争对手的重要利器,也是确保基本业务持续增长的重要元素,更是满足“跨代网改升级”,实现“全业务信息服务运营商”转型的重要保障。实施规模突破战略就是要加快市场份额扩大,提高客户基数,牢牢占据视频传输的领航地位。2、宽带业务全面提质工程。在国家实施宽带中国的战略前提下,目前的市场环境与容量分析充分说明宽带业务的发展空间巨大,对湖南有线电视网络集团是重大的机遇,下一代广播电视网的升级改造为我们拓展宽带市场提供了基础条件,而工信部关于互联网业务发展的许可批复为我们拓展宽带市场提供了政策法宝,我们将通过网络、营销、应用质、服务和管理等方面为宽带发展提质、提速。3、广告业务发展提速工程。湖南有线电视集团已拥有近500万数字电视客户,并以年平均7%速度增长,同时有线数字电视拥有丰富的线上广告资源(开机画面、epG广告、导航广告等),湖南有线电视集团将实现“线上广告资源”集中,全省统一覆盖、统一广告运营的,全面实施广告业务发展提速工程。4、融合型新业务战略工程。下一代广播电视网升级改造工程的战略着眼点就是三网融合信息化。湖南有线电视集团在网络升级改造中将牢牢把握这个原则不动摇。业务创新战略表现在以下几个方面:一是细分客户市场,找准目标客户需求,开发针对产品。如云电视多屏通信应用、高清互动、家庭安控、高清宽带融合产品。二是抓住三网融合机遇与城镇化浪潮,坚持走有线电视网络特色的融合经营与差异化发展之路,通过多业务、多网络、多终端的有效融合,将“全业务运营”落到实处,推动企业战略转型。如云电视通信应用、家庭网关、多屏业务互联。三是进行业务元素组合与优化配置,不断进行产品升级,持续保持业务快速发展。如高清互动+宽带数据+家庭安控构成“数字智能家庭”产品系列。
优化人力资源和企业文化、提升企业发展软实力