在一份优秀的方案中,既要包括各项具体的工作环节,时间节点,执行人,也要包括实现方法、需要的资源和预算等,那么具体要如何操作呢?以下是小编精心整理的《电信idc网络解决方案》,仅供参考,希望能够帮助到大家。
基于虚拟化的电信云网络安全解决方案
摘要:本文针对VNF(虚拟化)构成电信云網络的关键组件介绍了安全启动和增强保护技术,最后结合虚拟化电信云网络发展和国内运营商的网络特点,提出了安全部署的策略建议。
关键词:虚拟化;电信云;网络安全解决
基于虚拟化的电信云网络跟传统网络相比,其更加复杂、更加开放、更加灵活,为电信网络IT化提供了技术基础。而同时,虚拟化系统也带来了更多的安全风险,给虚拟化商用网络造成了潜在的危害和挑战。
一、虚拟化系统安全现状
随着移动信息通信技术时代的到来,基于视频、虚拟现实、大数据和物联网的消费体验产品越来越丰富。移动用户数据流的快速增长对网络设备的容量和性能提出了更高的要求。网络功能虚拟化将软件和硬件解耦。通过虚拟化技术,X86等通用硬件可以承载电信功能软件,便于维护,大大降低了电信运营商的资金支出和维护支出。虚拟化通过x86服务器上运行的网元功能的软件化实现软硬件解耦,通过硬件资源池实现资源共享,解决了电信网元烟囱建设问题[1]。
虚拟化作为一种先进的技术,可以使电信运营商的网络架构更加开放,服务部署更加灵活。然而,在虚拟化体系结构中,为了实现各个层次的互操作性,虚拟化组件务必具有开放性,这将带来组件交互的开放安全风险。与传统网络相比,虚拟化增加了管理、编排和管理程序,新的网元和虚拟化平台的引入也面临安全挑战。
二、VNF安全方案和关键技术
VNF是电信网络元素的逻辑实现,是虚拟化系统的核心信息资产。所以,VNF的安全性非常关键。务必为VNF设计可靠的安全方案,以确保VNF整个生命周期和服务过程的安全。
2.1服务联网
服务网络安全可以简单有效地保证VNF安全。务必先考虑服务网络隔离。VNF网络包括VNF内部网络和VNF外部网络。内部通信网络分为管理平面、控制平面和媒体平面。外部通信网络分为信令通信网络平面、媒体通信网络平面和管理通信网络平面。例如,VNF具有计费接口和计费通信网络平面。虚拟网络模块组件的每个互通网络平面都有一个专用的虚拟网络端口,用于通过虚拟化连接到外部物理网络。NF根据VNF的安全风险级别划分为多个安全区域,跨安全区域的VNF节点之间的流量务必通过防火墙隔离,安全区域中的VNF节点之间的流量不需要通过防火墙[2]。
2.2虚拟机生命周期
完整的虚拟机安全性贯穿整个虚拟机生命周期,并反映在生命周期的所有阶段。在VNF模板中,数字签名和MD5用于虚拟化,并且在注册、加载和更新期间对网络服务描述符和虚拟网络功能描述进行身份验证和身份验证。根据VNF的安全要求,设计了亲和性和反亲和性原则,以限制承载敏感数据的VNF与具有外部访问接口的VNF之间的物理服务器共享。VM映像和快照务必存储在安全路径中,并启用存储加密以防止恶意计算或修改的未授权访问。VM映像包应支持注册、加载和更新期间的完整性验证。在VM迁移期间,为了防止敏感信息泄漏,VM移动应限制在特定的安全区域。不建议跨安全区域迁移VM。需要为VM移动性部署逻辑独立的主机网络,并且可以通过创建快照并对其加密来保护VM敏感信息。终止VM后,VM占用的物理内存和存储资源可能会分配给其他VM,并且务必完全清除这些资源[3]。
2.3个人隐私保护
完整的用户隐私保护解决方案可以采用两种匿名处理方法。第一种是不可逆的匿名处理。对包含隐私字段的文件和函数进行散列以显示散列结果。在不可逆匿名化之后,个人隐私信息是不可读和不可逆的。这有效地保护了个人隐私。这种匿名模式通常用于故障定位、性能统计和数据查询,不需要用户标识。第二种是可逆匿名化。使用高级加密标准或其他加密算法匿名化,包含个人隐私的字段和文件信息以公钥的形式加密并以密文显示。授权人员可以使用私钥解密信息以获取私密信息。这种匿名方法通常用于数据配置、帐户管理、日志审核和其他需要数据恢复或可跟踪的功能。
三、5G电信云网络安全控制方案
3.1 5G电信云的网络安全对策
5g电信云对安全性的要求很严格,从物理预报水平到业务网络水平有限。通过连接到我们所提到的服务器,将功能分类到互联网物理计算的区域,存储区域和管理区域,各自独立配置这三个领域结合防火技术来确保互联网的安全性。这是物理网络级别的安全措施[4]。
简单来说,将物理预报严格的预报隔离,一部分经营者要求隔离级联的数量。由此可见,安全性在精神层面的地位显著。实际应用的时候,5g电信云系统按安全风险等级划分,如果将设备分开访问不同的安全宅地,相互访问不同的安全区域边界,则需要穿过防火墙。类似地,业务网络也通过划分安全域并在各个域之间设置不同类型的防火墙来分级保护。
3.2区域管理
根据不同的方面,功能、性格、分类等,分类安全的区域等级。分为两个层次。
3.2.1计算分类将级联整网(业务)区域、存储区域、管理区域物理隔离,这三个区域有效地隔离业务网络和存储网络管理网络,受到恶意攻击时,使用防火墙保护防护一定的作用。
3.2.2在互联网业务的内部,分类为其曝光区域,非曝光区域,核心区域和管理区域。在这种情况下,这里的管理域意义和功能的和第一层级联域中具有本质上的不同。
两个管理区域中管理的工作不同,一类管理域管理的范围很广,作为覆盖,整体的互联网连接是各个角落的桥梁。第二级联业务管理域管理的对象涉及到真实事件,管理领域不是一定的,其基准是否需要顾客。
四、结语
一般而言,电信运营商需要基于虚拟化架构全面审视虚拟化中的潜在安全威胁,形成多维、深入的安全防护解决方案,并堵塞虚拟化系统中的安全漏洞。在运营维护中,设立专业的网络安全服务团队,设立可持续发展的电信网络安全服务保障体系,为电信云网络安全保驾护航。
参考文献
[1]方琰崴,陈亚权.基于虚拟化的电信云网络安全解决方案[J].移动通信,2018,42(12):1-7+13.
[2]毕以峰.电信云网络架构及对云网融合的要求[J].信息通信技术,2019,13(02):26-31.
[3]王全,方琰崴.5G电信云网络安全解决方案[J].邮电设计技术,2018(11):57-62.
[4]张鉴,唐洪玉,刘文韬,薄明霞.面向云网融合的电信网安全防护体系参考架构[J].电信科学,2020,36(05):10-15.
作者简介:姓名:杨涛,出生年月:1980.06.06,性别:男,民族:汉,籍贯:吉林,学历:本科,职称:工程师,研究方向:5G电信云网络安全解决方案
作者:杨涛
【摘要】近些年来,信息科技在发展的过程中获得了重大的突破,现在已经迎来了信息化、数字化的新时代,其中电信通信已经成为现阶段一种重要的通信方式。但是具体在进行网络传输过程中,其中关于安全方面的问题越来越受人们的重视。在信息网络高速发展的同时各种各样的风险也应运而生,比如说网络病毒以及信息盜取等。这些问题的出现不仅给使用电信通信的用户造成一定的影响,还给管理电信通信网络的相关企业带来巨大的经济损失,所以做好电信通信网络传输安全维护是非常重要的,本文就电信通信网络传播安全维护方案做简要分析。
【关键词】电信通信;网络传输;安全维护
电信通信可以说是当前社会发展的主流趋势,伴随着社会的不断发展,电信网络的建设规模也获得了大幅度的提升,与此同时,在信息进行网络传输的过程中不管是质量方面还是实际效果方面都获得了有效的提升,但是在安全方面存在很多的问题需求处理。就目前的情况而言,对信息传输安全造成威胁的因素可以说非常多,根本无法做到全部有效的避开,或多或少都会存在部分的威胁因素,所以在电信通信网络传输的过程中更注重的是进行安全维护,从这个方面来对电信通信网络传播的安全性不断的进行强化和改善。
一、现阶段在电信通信网络传输安全方面的主要问题
现如今信息技术获得了巨大的发展和进步,智能手机已经被广泛的应用和普及,在逐渐普及的过程中,便为电信通信的发展奠定了坚实的基础,现阶段大部分的人们都使用了智能手机,在逐渐普及和使用的过程中网络系统也变得越加庞大,在网络传输的过程中,其运行速度也获得的大幅度的提升,但是在迅速发展的过程中越来越多的问题就暴露了出来,正是因为信息技术的发展,使用电信通信网络传输的用户也获得了巨大的增长,这就导致网络在实际进行运行的过程中其中的终端口的数量也获得了提升,也就意味的危险也伴随而来。在这样的环境中,不同的网络传输通道都有着自己独特的属性,与此同时,众多终端口在具体进行运行的时候,就有可能存在部分的终端口在进行网络传输的过程中带有木马或者病毒,这些病毒在具体的传输过程中如果成功进入了重要的网络系统中,就会让整个系统处于瘫痪的状态,无法正常进行网络传输。
将电信网络传输进行详细划分的话,大体上可以分成两个部分,其中一个部分就是有线传输,另一部分就是无线传输,就目前的情况而言,最为常见使用范围相对较广的就是无线传输。通过无线电信进行网络传输的时候,主要通过两种方式进行运转,一种就是网络终端,另一种就是网络控制中心。在使用这两种方式的时候,通常情况下都需要对用户的身份信息进行相关的验证工作。但是现阶段网络技术可以说非常的发达,这就导致一小部分的人为了获取利益,通过使用网络技术对部分的用户进行恶劣的网络攻击,比如说用户在进行信息传输时,这些人可以利用网络技术可以将用户所要传输的信息进行拦截和获取,这就导致很多用户受到损害。
二、对电信通信网络传输进行安全维护的具体方案
首先需要对网络交换系统进行不断的优化和改善。一套相对完善的网络交换系统对于保障网络传输安全发挥着非常重要的作用。在具体进行改善和优化的过程中,第一点需要对通信网络系统信令负荷当前的分配模式进行全面的优化,优化的目的就是让其的分配路径具有一定程度的独立性,与此同时,需要将总系统信令负荷作为核心,再让不同的路由设备与其实现单独连接,这样做的好处和优势就是可以让各个网络传输通道能过实现单独的运行,如果部分的终端口携带一定的木马或者病毒,在进行网络传输的过程中,也只能让存在病毒的通道无法正常的运行,其他的通道并不会受到影响,还可以正常的进行网络传输。
第二点需要选择科学合理的路由器设备,通常情况下对这种设备进行选择需要根据一定的原则进行选取,这项原则就是需要具有一定的全面性,要充分的保障最终所选的路由器设备具有一定的科学性和合理性。对于网络交换系统而言,路由器设备有着非常重要的作用,要想充分的保障网络系统的运行质量在很大程度上都取决于路由器的实际运行质量。在具体使用路由器设备的过程中,需要对网络实际的运行状态进行实时的关注,一旦发现网络在实际的运行过程中出现问题就可以是路由器设备的问题,对路由器设备进行调整,没有效果的话可以使用备用的路由器设备,不断完善网络交换系统运行的优质性。
第三点需要将管理人员的具体职能充分的进行发挥,对网络交换系统具体的运行的情况进行实时的监控,可以在第一时间发现问题并有效的进行处理。系统运行的过程中安全漏洞是随时都会出现的,管理人员需要及时修复补丁,对数据库进行持续的优化。保证通讯网络运行的稳定性和安全性,全面降低通讯网络安全风险概率。
三、小结
通过上文的具体分析,我们可以清楚的了解电信通信网络传输中的问题以及进行安全维护的具体方案。充分的保障电信通信网路传输的安全性,可以有效的促进电信通信网络实现长远健康发展。现阶段信息科技获得了迅速的发展,越来越多的人们开始应用电信通讯终端,因此对于现阶段的电信通信网络的相关企业而言,需要做的就是对网络传输进行安全维护,尽可能的保障用户信息的安全性,只有这样才能实现共同发展。
参考文献:
[1]岳民.电信通信线路安全及应对措施分析[J].中国新通信,2019,21(01):14.
[2]王昌民.电信通信网可靠性的安全维护应用[J].电脑迷,2018(11):1.
[3]李勇.浅谈电信通信建设工程项目管理[J].通讯世界,2018(07):84-85.
作者:陈楚虬
摘要:随着我国经济的发展和社会的进步,人民群众对网络的需求越来越大,这一巨大的需求促进了5G电信云网络的发展,但也在发展和利用中出现了一些安全问题,由此,本文就针对5G电信云网络安全解决思路进行分析,首先分析了5G电信云网络的基本概念,其次阐述了5G电信云网络存在的风险,最后总结了5G电信云网络安全解决思路。
关键词:5G;网络功能虚拟化;网络安全
1. 5G电信云网络的基本概念
5G电信云网络一种基于NFV技术,也就是网络功能虚拟化技术而出现和发展的技术,其主要的功能是通过网络虚拟化技术,并利用相关的电信硬件和软件,实现网络信息的快速传播和网络元素的更加开放,现阶段,5G电信云网络随着国家对5G这一前沿科技的重视而得到了快速的发展,现阶段已经在很多领域得到了利用,对于网络资源的灵活化和开放化起到了良好的促进作用。
2.5G电信云网络存在的风险
5G电信云网络在快速发展,便利各行各业促进网络技术发展的同时,也存在着一定的风险,因为5G电信云网络依托于NFV技术,NFV技术本身能够通过X86的网元功能促进资源的开放和网络业务的灵活,但是NFV框架也并非百利无一害的,正式因为NFV高度的开放性导致其可操作性较大,很容易受到外界的影响和操控,这就会对NFV造成一定的安全问题,也进一步导致5G电信云网络出现安全问题,出现各种网络风险。
3.5G电信云网络安全解决思路
结合上文可以看到,5G电信云网络对于网络技术的发展和网络资源的传播有很大的作用和价值,但是由于其依托的NFV框架开放性较高,所以其本身也存在较多的安全风险,必须利用相应的手段进行控制,而现阶段,大部分运营商也都有相应的控制措施,所以本文接下來将结合安全措施的显示应用情况,以及本文对相关文献的研究分析,具体的阐述如何解决5G电信云网络中的安全问题。
3.1分域管理
分域管理是一个常用的网络安全管理方法,其主要的内容是利用安全域将网络进行不同的分层分级,以此起到隔离和保护的效果,一般情况下对于安全域的划分,主要包括以下几个层级。
第一层级,将整网划分为三个域,分别是业务域、存储域、管理域,这三个域的划分主要是通过物理的方式进行隔离,并利用防火墙进行跨域信息的检查和保护,以此起到网络隔离和保护的作用。第二层级,试对第一层级中划分的业务域进行内部划分,主要划分为暴露域、非暴露域、核心域、管理域,需要注意的是,这里的管理域与第一层级的管理域并不相同,该处的管理域是对业务域内进行管理,并且本身并不是必要存在的,但是与第一层级相同,业务域中各域之间的沟通,也都需要防火墙进行检查和防护,只不过在防护等级上存在一定差异。
这种安全域的划分有十分重要的作用,也是很好地5G电信云网络安全问题解决思路,因为通过将网络划分为各个不同的域,并利用防火墙进行隔离和安全保护,就能很好的起到区域防护和威胁遏制的效果,例如,业务域中的暴露域受到了攻击或出现了安全威胁,这种威胁就只会存在并威胁暴露域,对于业务域中的其他域,以及第一层级中的其他安全域都不会构成威胁,这主要是得力于安全域的划分和防火墙的保护,通过这两项技术能够将网络威胁控制在一个小范围之内,能够避免问题的进步一扩大,方便技术人员进行针对性处理。
此外,对网络划分安全域之所以能起到良好的安全保护效果,以及安全问题解决效果,还得力于不同网络区域之间不同的逻辑网络平面,通过逻辑网络平面能够对不同的网络平面进行控制和监督,以做到网络安全的控制和保障。
3.2防火墙部署
防火墙也是5G电信云网络中不可或缺的重要安全问题解决方法和解决思路,防火墙技术能够通过软硬件设备对内外部网络进行隔离和设立屏障,能够有效的报站被保护网络的安全,也就是说通过防火墙能够对访问用户进行阻断,只有在同意的情况下,才能进行访问,其中防火墙示意图如下所示。
而防护墙技术在5G电信云网络中的利用,主要是对安全域的边界进行隔离,而根据不同的业务网有不同的防护墙隔离方法,南北向流量的防护墙防御,主要是对DC业务网和外部网络进行隔离防御,而东西向的防火墙,主要是适用于DC内部安全域的隔离,而东西向防火墙主要是安全组形式的,也就是说通过安全组的隔离和保护,能够实现对不同虚拟机的隔离和同一虚拟机的互访,而且安全组也是可以调控的,管理人员和使用人员可以随时调整虚拟机的访问权限,实现外部威胁的手动控制和屏蔽。而南北向的防火墙主要是通过硬件进行隔离,这种硬件形式的防火墙能够更加高效更加稳定的进行工作,对于网络安全有较好处理作用。
3.3安全部署
为了更好的保障5G电信云网络的安全,运营团队还要做好网络的部署工作,对于网络部署工作必须要注重一点内容,就是建立起专业的应急处理团队,也就是OMSIRT团队,这一团队主要的目的和作用是响应和处理各种突发事件,并参与制定网络安全处理方案,并日常处理网络中存在的漏洞。
结语
综上所述,5G电信云网络作为5G快速发展和网络技术快速进步的产物,其本身在带来巨大经济效益和使用效果的情况下,也存在一定的安全问题,由此,本文就进行研究和分析,探索了5G电信云网络的安全解决思路,希望对我国5G电信云网络的网络安全起到一定积极作用。
参考文献
[1]顾红芳.5G电信云网络组网方案探讨和关键技术分析[J].信息通信,2020(11):206-207.
华为技术有限公司,江苏南京 210000;华为技术服务有限公司,江苏南京 210000
作者:顾春阳 孙沛龙 柳林 张烨
Radware电信IDC网络整体解决方案 一个典型的数据中心网络拓扑结构图如下图所示:
上述典型的数据中心网络大致由4 部分组成:
网络出口连接部分
网络安全部分
网络骨干交换部分
托管用户接入部分
一、网络存在问题
1. 广域网链路存在的缺陷
Internet连接部分是指数据中心通过ISP运营商的链路连接到Internet,用于为数据中心托管用户对外的网上公共信息发布, 为Internet 用户访问数据中心提供可靠连接。
链路的单点失效性:采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;
链路性能的瓶颈:单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问;
网络安全防护能力弱:目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响;
2. 网络安全防护存在的缺陷
网络安全部分通常由防火墙、虚拟专网(VPN)和防病毒网关设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。
网络安全设备缺乏高可用性:虽然某些数据中心采用了多台安全设备互相备份的解决方案,解决了单点失效的问题,但这些设备无法同时工作,导致投资严重浪费,备用设备只有等待主用设备失效以后才起作用,投资回报及性价比极低;
网络安全设备性能的瓶颈:网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。由于安全设备缺乏高可用性,因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如: 蠕虫入侵、病毒入侵、后门攻击。
3. 骨干交换及托管用户应用的缺陷
网络骨干交换提供了托管用户的接入,托管用户的应用实现对外WWW等信息发布系统,业务应用系统和后台数据库系统组成。
网络应用的可靠性较差:应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
网络应用的性能瓶颈:在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:现有网络中的安全性防护机制的特点是:
现有的安全性防护机制通常是针对来自外网的攻击;
缺乏针对来自内网的攻击防护机制;
现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
二、数据中心网络应用需求分析
1. 广域网链路需求分析:数据中心网络出口连接方面的需求-多链路负载均衡技术
目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多数据中心在的选择网络连接方面的需求。因此在数据中心Internet网络出口连接方面将存在如下要求:
提高Internet网络链路的可用性:当网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。
提高Internet链路的网络吞吐量:提高数据中心的Internet网络链路的吞吐量,申请多条Internet链路。
提高Internet网络链路的抗网络攻击的能力:Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。
2. 网络安全防护需求分析:网络安全方面的需求-防火墙、IDS、防病毒设备负载均衡技术的需求
为了保证数据中心的网络在网络安全防护方面的高可用性、高性能和安全性,数据中心在网络安全方面的需求可以分为以下几部分:
提高网络安全设备的可用性:网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。
提高网络安全设备性能:在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。
完善网络安全体系架构:各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。
3. 网络应用需求分析
网络应用方面的需求-应用服务器负载均衡技术的需求
为了保证数据中心的网络应用的高可用性、高性能和安全性,数据中心的网络应用存在下列需求:
提高网络应用的可靠性:自动的网络应用可用性检查,保证网络应用的7x24 小时的持续性服务。
提高网络应用的性能:如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。
网络应用的安全性较差:制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
4. 提供差分服务(增值服务)的需求
数据中心应该能根据托管用户的经济能力提供差分服务,以提高市场竞争力。
三、Radware解决方案
根据大型数据中心网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点数据中心方案设计,如下图所示:
Radware解决方案简介:
建议在数据中心网络各层面上共采用了12台Radware的设备,其中包括: 2台DefensePRO(通过端口静态绑定,最多可以虚拟成11台设备),
2台LinkProof、
2台FireProof、
2台CID、
2台WSD、
2台CT100。
LinkProof实现多链路的负载均衡和防火墙的负载均衡
如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问数据中心内部服务器)双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。LinkProof可以配合FireProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
我们建议的安全解决方案部分,包括3款产品,DefensePro,FireProof,CID,每台设备简要功能描述如下:
DefensePro实现实时的攻击防御:部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
FireProof实现防火墙的负载均衡:部署FireProof,配合LinkProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
CID实现cache服务器、防病毒网关负载均衡:CID位于FireProof和核心交换机之间,与组织内原有的Cache,防病毒网关等内容检测安全设备协同提高服务质量。一方面把如上设备由inline方式改名为CID的旁路方式,减少了网络的单点故障。另一方面,CID实现对多台设备的负载均衡,保证了该类网络设备的高可用性,高扩展性和高性能。
CID部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的Cache重定向服务,保证高级用户的WWW服务响应速度;还可以为高级用户制定防病毒服务,使得高级用户可以免遭病毒的攻击,而普通用户的数据则由CID透明传输,不经由Cache 服务器或防病毒服务器,只享受普通的业务托管服务。
我们建议的应用解决方案部分,包括2款产品,WSD,CT100,每台设备简要功能描述如下:
WSD实现服务器的负载均衡:WSD位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署WSD,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。WSD部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的服务器负载均分服务,保证高级用户的服务响应速度及应用可靠性。
CT100实现SSL加速和HTTP(HTTPS)页面的加速
SSL加速功能:CertainT 100与WSD配合,为用户提供SSL加密加速服务。利用WSD 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,使服务器的性能提高200倍以上,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速:CertainT 100通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。
CT-100部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的SSL加速服务和HTTP压缩服务,保证高级用户的服务响应速度。对于普通用户而言,CT-100则不起作用,普通用户的SSL加解密都放置到其服务器中完成。
四、方案中Radware详细技术介绍
DefensePro -实现入侵和DOS攻击的实时防范 Radware DefensePRO的功能描述
1. 第一手防御
2. 入侵实时防范
3. 全部实时防范DOS攻击
4. 强大的设备管理和安全管理
DefensePro 是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro 会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware 安全数据库中的1500多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。当检测到恶意活动时,DefensePro 可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
DefensePRO的解决方案的优势
从防火墙、VPN 网关、IDS 到防病毒网关,安全市场集结了各式各样的安全工具。但是,目前应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,需要千兆位元的实时防御入侵和DOS攻击的IPS设备。作为业界领先的实时防御设备,Radware的DefensePRO与其它同类IPS的解决方案相比,有如下优势:
1. 3Gbps性能
DefensePro 是业内唯一兼具了3Gbps 的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。DefensePro 独具的多层安全架构组合了数种攻击检测机制,它们联同高级的防范工具,如DoS Shield、SYN cookie和应用安全模块一起,提供了对恶意攻击和DoS攻击的完全防范能力。
2. 部署简便
简单的嵌入式安装-,借助DefensePro 的透明性,可将它无缝地集成到任何网络环境中,从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。
3. 多网段防护实现攻击隔离
DefensePRO具有IPS业界最高的端口密度,通过把物理端口两两划分,可以使用单个设备保护多个网络段,从而实现实时的投资回报。通过多网段的防护,使网络入侵和攻击被限制在一个个网络区段之内,不致于因为单台计算机发出的蠕虫、病毒和DoS 攻击传播到其它用户和网络段中。
4. 设备自身的安全性
DefensePRO的业务端口不设置IP地址,相当于一条智慧电缆,这种透明性保证了设备自身的安全性,因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。
5. 保证关键任务应用的服务质量
通过DefensePRO精细的流量控制策略,可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P 应用)所占用的带宽。
6. 快速更新
Radware DefensePRO在拦截的攻击特征库更新速度方面,在安全产品业界处于领先地位。安全市场需要一种能用数千兆位元的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos 攻击)的内置安全解决方案,无疑已成为当务之急。Radware 看到了这种需求。作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro 满足了这种需求。
Radware 多链路解决方案的优势 1. 提高Internet网络链路的可用性
全路径健康检查:检测ISP链路的可用性,即健康状况,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。
故障恢复和预热定时器:LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。
冗余配置:LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障。
2. 提高Internet网络链路的性能
就近性(Proximity)
就近性检测方法:对于流入的流量,LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。
优化就近性检测方法:可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作,比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware 就近性设备提供DNS 名称以及仅使用静态就近性表等。
流量分组
流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。网络管理员可以根据目标地址、源地址和应用类型定义流量组。这使得流量分配更加灵活和方便。
3. 提高抵抗攻击的能力
Radware Linkproof 在加载了SYNAPP II/III后,可以有效地防御黑客入侵及抵抗DDOS 攻击。应用安全模块可以保护 web 服务器免受 1400 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线,这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。
FireProof ―实现防火墙负载均衡和IDS的负载均衡
1. 高可靠的容错与冗余确保最长运行时间
2. 独特的负载均衡算法确保防火墙的最佳性能
3. 最大化性能的虚拟专用网络
4. 高可扩展性可以有效保护投资
5. 通过应用交换实现有效的防火墙管理
6. 全程路径连通性检测
7. 应用交换体系结构确保增强性能
8. 实时、高性能的应用级别安全性
9. 拒绝服务攻击防范功能
10. 安全的服务可见性和控制
11. 千兆位元速度的入侵拦截服务
12. 提供了具有容错性和可扩展的入侵检测的功能。
Radware CID解决方案的优势
1. 高可用性
高可用性的内容检查功能:高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。CID 可监视防病毒网关和URL 设备的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。
2. 高性能
千兆位元速度的防病毒服务
内容预选功能
3. 高扩展性
高度可扩展的防病毒服务
组合式的防病毒服务支持:
4. 完全的安全性
基于策略的流量管理
千兆位元速度的入侵检测和DoS 防范
全方位监视防病毒服务 Radware 网络应用系统负载均衡解决方案优势
Radware的网络应用系统负载均衡解决方案提高了网络应用系统的可靠性。
Radware WSD为了确保系统应用的可靠性,采用以下几种手段:
1.健康检查
IP/TCP 层(3 层到 4 层)监视
应用层(7 层)监视
内容监视
Scripting 工具
先进的全程监视
WSD设备的冗余
服务器的平滑停机
服务器的逐渐开机
2. Radware的网络应用系统负载均衡解决方案提高了网络应用系统的性能
Radware WSD 为了确保系统应用的高性能,采用了以下手段:
本地服务器的负载均衡
基于URL的负载均衡
基于内容的负载均衡
本地同全局服务器结合的负载均衡
3. Radware的网络应用系统负载均衡解决方案提高了网络应用系统的安全性
Radware WSD为了确保系统应用的安全性,在负载均衡设备上可以集成安全防护的功能模块,来防御针对应用的攻击。面对日益严峻的网络安全形势,Radware借助其在内容交换领域的技术优势,实现了基于高速交换机的入侵防范解决方案。WSD的SynApps应用安全模块能够实时侦测和阻止1400多种的黑客恶意攻击和常见的恶性病毒,确保网络资源的安全,并支持用户自定义和实时更新的能力。
CT100 ―实现SSL加解密和HTTP/HTTPS加速
Radware 的SSL加速解决方案采用了WSD+CT 100 的方式, 其中四层交换机WSD位于路径中间,而SSL加速设备CT100位于旁路的位置。Radware的CertainT 100能够在不降低网络性能的情况下为用户提供快速的SSL交易。CertainT 100 SSL加密/解密功能与Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。
1. 机房稳定保障:应提供基本IDC保障,包括稳定的电力供应、网络环境、温湿度,并提供可靠的网络安全、安保、消防等防护。并配备经验丰富工程师随时应急处理故障等。如因环境问题引起的网络中断、设备损坏等情况应赔偿我方直接、间接经济损失。
2. 机房基本设施提供:包括座椅、机房专用推车、显示器、键鼠、排查、螺丝刀、老虎钳、网线、夹线钳、测线仪、拖鞋、鞋套等。(目前东门机房座椅较少)
3. 机房值班配合:如服务器出现宕机、我们暂无人员在现场或短时间内无法到达现场时电信值班人员现场配合处理,此要求重点在于电信机房值班电话必须7*24小时电话畅通,机房值班人员具备IDC相应技能。
4. 机房施工配合:我方新入服务器时安排足够网络、电力、机架空间等相应环境资源。如服务器进入时安排施工队对内外网网线进行布置、机架挡板调整等工作,施工工作应在当日进行,避免出现应环境未搭建拖延服务器出机完成时间现象。
5. 机房日常巡查:每天至少一次巡查机房。核查电力、空调运行是否稳定,并每周巡查所有服务器前端告警界面是否出现异常告警等。
6. 目前网龙公司在电信所有操作都必须向电信下操作单,因本司移服、更换IP操作机器频繁。下单又存在一定延时,给本市工作效率造成一定影响。建议今后网龙公司在电信机房除服务器进出仍需下单外其他操作,如更换IP、迁移位置、划分VLAN操作免除电子单据。
7. 升级机制配合措施:(包含多种方案) 方案A:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,遇到如更换故障服务器硬盘时配合更换。针对电信担心备件数量问题,我司将针对此建立应急备件库专供电信使用。
方案B:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,在突发故障时由电信帮忙进行现场操作,包括服务器故障排查,网龙故障排查,服务器IP变更,服务器机柜迁移等操作。
方案C:如因网龙公司人员无法每日前往机房处理问题,建议针对网龙公司升级服务,所有公司现场操作有电信帮忙处理,包括服务器上下架,GHOST系统,现场故障处理,现场服务器运维等(类似服务器租用服务)。此工作量较大,需电信扩招一专人负责。7*5服务标准即可。
IDC的含义:
IDC为互联网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。 名词解释(业务理解非演讲内容) ICP:互联网信息服务,比如新浪、搜狐、网易。互联网信息服务可分为经营性信息服务和非经营性信息服务两类。
IDC的特征:
由于IDC有两个非常重要的显著特征:在网络中的位置和总的网络带宽容量,它构成了网络基础资源的一部分,就像骨干网、接入网一样,它提供了一种高端的数据传输(Data Delivery)的服务,提供高速接入的服务。因而电信运营机构在这方面有着得天独厚的优势。
那么,到底什么是IDC呢?有人认为IDC就是把自己机房中的机器放在别人那里,让别人代管。还有人认为IDC就是网络房地产商,它提供了一所大房子给大家的机器安个家。这些说法也对也不对。
IDC是专门提供网络资源外包以及专业网络服务的企业模式,是互联网业内分工更加细化的一个必然结果。
随着我国IDC的逐渐发展成熟,IDC开始突破了传统意义中机房的概念,转向网络和服务这两个基本的内容。首先是对网络概念的理解,一个典型的IDC已经不仅仅是骨干网的一个高速接入网,而且还应该是所有独立网络的高速对等网,是同任何网络平级的网络基础设施。而IDC的另一个概念就是服务。以往连线接入这种最简单的服务就代表了全部的Internet外包服务,而现在对于IDC,服务范围和内容较之ISP更加丰富广泛。其中由服务双方签订的服务品质协议(Service Level Agreement,SLA)将规定双方的责任和权利,若IDC服务违约将做出相应的经济赔偿。
IDC的主要服务包括整机租用、服务器托管、机柜租用、机房租用、专线接入和网络管理服务等。广义上的IDC业务,实际上就是数据中心所提供的一切服务。客户租用数据中心的服务器和带宽,并利用数据中心的技术力量,来实现自己对软、硬件的要求,搭建自己的互联网平台,享用数据中心所提供的一系列服务。
在综合了目前IDC市场情况的基础上,我们可以将IDC的服务分为三个阶段,即:服务理念、服务实施体系、服务品质的保证。
1. 服务理念的建立
服务理念反映了商家对服务本质性的、方向性的认识,是商家实施服务的指导思想。评价商家的服务理念是否合理,主要在两方面: 一方面,理念应该言之有物,另一方面,理念应该具有前瞻性。
2. 服务实施体系及标准
对服务实施体系的评价包括对服务内容、服务实施部门、服务水平以及体系完整性的评价。
在服务的实施部门方面,IDC商家应有完整、规范、有序的客户服务部门和高质量的服务设施与服务环境。阵容强大、流程顺畅、操作规范的服务队伍是高质量IDC服务的可靠保障之一。此外,IDC的物理线路、带宽资源、互联互通性能、可扩展性等性能指标,以及空间、电力供应、安全保障、地理位置和交通条件等基础性能,都成为衡量IDC服务能力的评价标准。
IDC商家技术服务队伍的水平和值守时间,也是IDC服务一个重要的评判标准。IDC应该拥有一支业务技能高超的工程师队伍,以保证服务的质量和服务效率;应该提供24×7全天候服务以保证随时响应。
能否保持服务的完整性,通过一揽子服务解决用户的后顾之忧,是IDC商家实力的反映。许多IDC客24小时服务热线:138-1153-3478 地址:北京市朝阳区建国路112号惠普大厦2层
户都在网络上运行自己的重要业务,它们的需求是多方面的,往往需要IDC提供一揽子的解决方案。这要求IDC服务的覆盖面必须尽可能广阔,以满足不同客户的个性化需求和同一客户的不同层次需求。
3. 服务品质的保证及标准
IDC服务的评测范畴除了服务理念与实施体系外,还有一个重要的方面,即“服务品质协议(Service Level Agreement, SLA)”。
SLA是由服务提供商与用户签署的法律文件,它明确规定了IDC服务的内容、服务的质量和评价指标、违约责任等。SLA不仅明确了违约方的经济惩罚性条款,而且有助于用户对服务商提供具体服务的能力、可靠性和响应速度进行充分正确的评估和监督。服务品质协议的意义,不仅在于它为用户提供了服务评价准则和可量化、可操作的标准,还在于为用户享受高品质服务提供了可靠的法律保障。
从信息经济的总体发展趋势来看,IDC的市场前景是巨大的。我国国民经济和社会发展的第十个五年计划中要求,在“十五”期间将对经济结构进行战略性调整,大力推进国民经济和社会信息化,加强信息基础设施建设,以信息化带动工业化,发挥后发优势,实现生产力跨越式发展。这种社会发展趋势从宏观上决定了互联网服务产业的发展方向。随着互联网用户的迅速增长和企业信息化过程的加速以及电子商务的逐渐成熟,IDC的发展仍将有极大的空间。
IDC拥有广阔的市场前景,全球范围内的网络数据中心(IDC)的业务量正以40%的增长速率发展。据Salomon Smith Barney研究显示,亚洲IDC市场2005年将达44.5亿美元,其中中国的IDC市场将达到7亿美元。众多的电信企业、ISP,甚至房地产企业等等都想来分一杯羹。但对运营企业来说,IDC应更注重的是服务,包括做好基本服务(指带宽、空间、供电和空调等物理要素)、管理服务(指对客户托管服务器的监测、报告和安全管理等)和应用服务(为客户提供更高层次的解决方案,如网站建设和电子商务等),以特色服务谋求生存之道。其中要特别强调的是增值服务包括为客户提供安全性分析、数据流分析、资源占用分析等。
自2004年起,国内各大基础电信运营商相继加大IDC的投入,特别是中国电信集团,于2005年与国家电子计算机质量监督检验中心共同对旗下电信级IDC机房进行了严格的星级评定,根据设施条件、机房管理、服务水平评定出五星级到二星级近百个电信级数据机房,为规范国内IDC服务、引导国内行业标准作出了积极的贡献。
北京电信通电信工程有限公司是国内目前唯一一家A股上市的电信增值服务公司,(股票代码:600804)。主营互联网接入、IDC主机托管、CDN等多种互联网基础服务。年营业额近10亿元人民币。北京电信通IP地址资源居全国第五位,数量是1,135,616个。折合数为 17B+84C。仅次于中国电信、中国联通、中国移动和中国教育网。北京电信通拥有自有AS号,号码为17964,不仅不存在南北互通问题,而且到各主要运营商都有互联带宽北京电信通在北京拥有五大自建高品质数据中心,总面积超过13000平米,带宽总出口60多G。在全国拥有合作A类机房200余个,带宽储备400G。
tel: 138 1153 3478
QQ:7898605
24小时服务热线:138-1153-3478 地址:北京市朝阳区建国路112号惠普大厦2层
河源农商银行关于加强支付结算管理 防范电信网络新型违法犯罪的工作方案
根据《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发[2016]261号)和《中国人民银行广州分行转发中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(广州银发[2016]233号)要求,为有效防范电信网络新型违法犯罪,切实保护人民群众财产安全和合法权益,结合本行实际特制定本方案。
一、成立专项工作组
加强支付结算管理,加大打击电信网络违法犯罪工作力度,是保障广大群众财产安全和合法权益、筑牢支付结算安全防线的重要举措。为此,总行成立“加强支付结算管理防范电信网络新型违法犯罪”专项工作领导小组,由XXX行长担任组长,XXX副行长任副组长,成员为会计结算部、电子银行部、内审监察部、合规与风险管理部负责人、各支行行长,领导小组统筹工作安排。领导小组下设办公室,设在会计结算部,负责牵头组织开展“加强支付结算管理防范电信网络新型违法犯罪”工作。辖内各级支行实施“一把手负责制”积极配合开展此项工作。
二、具体工作安排
(一)加强账户实名制管理
1、全面推进个人账户分类管理
(1)限制个人结算账户Ⅰ类户新开户业务。自2016年12月1日起,大集中系统将对I类户的新开户进行限制。届时同一客户在同一法人农合机构内,只能开立一个Ⅰ类户,如2016年12月1日前已开立Ⅰ类户,则不允许再开立新的Ⅰ类户。由于除社会保障卡和社会医疗保险卡可开立为Ⅱ类户外,大集中系统暂不支持Ⅱ、Ⅲ类户的开立,而存量个人结算账户均为Ⅰ类户,因此网点柜员应认真做好客户宣传和解释工作,引导客户使用原有账户办理业务。
(2)认真开展存量Ⅰ类户摸排清理工作。省联社将分批抽取大集中系统中“同一客户在同一法人农合机构内开立多个I类户”的数据,并于近期下发,会计结算部会对数据进行整理和筛选,各支行在收到数据后,及时对本机构开立账户数较多的客户进行核实,对于无法核实客户开户合理性的,应积极引导客户撤销或归并账户,同时做好解释工作。对于客户同意撤销或归并的账户,各支行应做好登记,登记在“附件1:撤销或归并账户统计表”中。其中,同一客户在同一法人农合机构内开立50个以上(含50个)I类户的,需在2016年12月31日前完成清理;开立30个(含30个)以上、50个以下I类户的,需在2017年3月31日前完成清理;开立10个(含10个)以上、30个以下I类户的,需在2017年5月31日前完成清理;开立2个(含2个)以上、10个以下I类户的,由各支行结合实际情况自行摸查及后续清理。
2.暂停涉案账户开户人名下所有账户的业务。对于纳入电信网络新型违法犯罪交易风险事件管理平台(以下简称电信网络犯罪管理平台)的“涉案账户”,大集中系统将从两方面进行业务限制:一是根据电信网络犯罪管理平台推送的信息,自动将相关“涉案账户”限制为“不收不付”状态;二是将“涉案账户”以报表形式展现。对于“涉案账户”,各支行应通知开户人及时前往开户网点重新核实身份。如开户人未在3个自然日内重新核实身份的,柜员应通过大集中柜面系统“客户信息-黑名单管理-黑名单维护(060425)”交易(以下简称黑名单维护交易)将该客户置为“涉案账户”状态(黑名单维护交易省联社将于近期更新,下同),暂停其名下其他账户的非柜面业务。在重新核实账户开户人身份后,柜员可通过黑名单维护交易恢复其名下除涉案账户外其他账户的业务。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
3.做好对买卖银行账户、冒名开户的业务控制。人民银行将定期公布买卖银行账户或冒名开户名单,会计结算部在收到名单后整理并下发给各支行,各支行可通过“黑名单维护”交易将该名单中涉及本机构的单位或个人设置为“买卖银行账户或冒名开户”状态,并按261号《通知》规定“5年内暂停其银行账户非柜面业务、3年内不得为其新开立账户”。期限过后,各支行方可通过黑名单维护交易恢复其相关业务。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
4.加强对冒名开户的防控。各支行在办理开户业务时,发现个人冒用他人身份开立账户的,应及时向公安机关报案,并注意灵活应对,尽可能延缓时间等待公安机关到达现场。同时,应积极配合公安机关做好案件协查和线索移交工作,并及时将该案件上报会计结算部。
5.建立单位开户审慎核实机制。
(1)做好对严重违法失信企业的业务限制。各支行至少每季度通过全国企业信息公示系统排查本机构开户单位是否被列入“严重违法失信企业名单”状态。对于被列入该名单,以及经核实单位注册地址不存在或者虚构经营场所的单位,应通过“黑名单维护”交易将其置为“严重违法失信企业”,将其名下所有账户限制为“不收不付”状态,并控制其不得新开立账户。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
(2)加强单位开户意愿核查。对存在法定代表人或负责人对单位经营规模及业务背景等情况不清楚、注册地和经营地均在异地等异常情况的单位,各支行应加强对单位开户意愿的核查,并对法定代表人或负责人面签,留存相关视频、音频资料等,将视频或音频资料纳入开户资料进行永久保存。同时,可在开户初期通过“黑名单维护”交易将该单位置为“法定代表人、负责人存在异常情况”状态,暂不为其开通非柜面业务,并做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
6.加强对异常开户行为的审核。
(1)严格把控开户环节。各支行在办理开户业务时,应采取多种手段核验申请人身份证件的合法性,并审慎分析是否属于正常开户行为。对出现《通知》所述异常开户情况的,可拒绝开户。
(2)加强账户交易活动监测。根据《通知》“对开户之日起6个月内无交易记录的账户,银行应暂停其非柜面业务”的要求,大集中系统将新增账户交易情况自动监测功能,并根据监测情况自动对相关账户采取暂停非柜面业务的控制,各支行应该做好客户解释工作。同时,大集中系统将新增恢复被控制账户业务的交易。开户人重新核实身份后,柜员可通过该交易恢复其业务。
7.加快联系电话号码与身份证件号码对应关系的清理。由于大集中系统中的电话号码、身份证件号码均以客户为单位进行设置和维护,因此省联社将以客户为单位,批量抽取大集中系统中“同一法人农合机构内使用同一联系电话”的单位、个人客户信息及其名下的账户信息,并于近期下发,会计结算部会对数据进行整理并下发给各支行,各支行应按照《通知》要求,对多人使用同一联系电话号码开立和使用账户的情况进行排查清理,并联系当事人确认。对无法证明合理性的客户,应通过“黑名单维护”交易将其置为“电话号码与身份证件号码没有一一对应”状态,暂停其名下所有账户的非柜面业务,并做好相应的登记,登记在“附件3:电话号码与身份证件号码没有一一对应账户清理统计表”中。
(二)加强转账管理。
1.增加转账方式,调整转账时间。
(1)提供多种支付到账方式。大集中系统将向客户提供实时、普通和次日三种到账方式。实时和普通到账方式通过现有渠道实现,次日到账方式省联社拟于近期新增。柜面系统转账支付业务方面、网上银行和手机银行转账支付业务方面,实时、普通到账仍保留现有实现方式,次日到账的具体实现方式在上线投产后将更新通知下发给各支行。
(2)做好转账方式调整后的客户服务工作。一方面,自12月1日起,网点柜员应按照客户转账汇款的金额、时效等具体要求,引导客户选择相应的到账方式并正确填写业务凭证。目前,省联社已开展相关客户填单类凭证(包括业务交易单、结算业务委托书等)的改版工作,增加次日到账方式的勾选项。在新凭证启用前或库存凭证使用完毕前,农合机构仍可使用现有凭证,但需引导有延迟到账需求的客户在委托书等凭证的“委托日期”旁空白处或业务交易单背面首行注明到账方式要求并签名。另一方面,柜面系统、网上银行和手机银行在受理客户的系统外支付业务的次日到账申请后,将同时对转账本金和相关手续费进行圈存,保证系统次日成功发起业务。但在受理系统内转账业务的次日到账申请时,仅能对转账本金进行圈存,暂不能同时圈存手续费,因此对于系统内转账业务,在系统次日自动发起实际转账支付时,客户需确保其账户资金足以扣取本金及手续费,否则将不能成功完成转账,农合机构应注意向客户做好宣传和解释。
(3)开展自助设备功能优化。省联社正抓紧对自助设备相关功能进行优化,一是实现除本人同行(社)账户外,受理24小时后才能办理资金转账的功能,并支持客户在24小时内提出转账撤销申请。二是改造自助设备风险提示,增加文字、标识、语音等防诈骗提醒。
2.加强非柜面转账管理。省联社将按《通知》要求,从交易限额、笔数等方面强化非柜面转账管理,一是优化《个人业务申请书》等业务凭证,增加非柜面向非同名账户转账的日累计限额、笔数和年累计限额等协议内容,并在系统中新增相应功能。二是加强非柜面转账单日累计金额限制,对手机银行采用短信口令认证方式的新增客户,转账交易限额将调整为日累计不超过5万元,存量客户的处理方式将在相关功能上线时另行通知。三是对企业网银、个人网银转账交易单日累计金额分别超过100万元、30万元的,在系统中新增大额交易提醒。 3.加强交易背景调查。省联社将在电子银行风险监控、反洗钱监测等管理系统中建立可疑交易监控模型,监测账户大量转出转入交易。各支行应该时刻关注该模型,发现存在此类可疑交易行为的应按照“了解你的客户”原则,对相关客户的交易背景进行调查。确认存在疑问的,按照审慎原则,通过“黑名单维护”交易将其置为“可疑交易的账户”状态,进行非柜面业务限制。同时应做好黑名单账户登记,登记在“附件2:黑名单账户统计表”中。
4.加强特约商户资金结算管理。各支行要严格按照《通知》要求,不得为入网不满90日或者入网后连续正常交易不满30日的特约商户提供T+0资金结算服务。
(三)加强银行卡业务管理。
1.严格审核特约商户资质,规范受理终端管理。一是各级支行应根据《广东省农村合作金融机构POS收单业务管理办法》,严格审核特约商户资质,落实特约商户实名制管理,在入网时严格把关,对资料不全或不真实的商户,不予入网。二是各级支行应密切关注POS机具的使用情况,如有无违规刷单,有无变动POS机具使用地点等,发现可疑现象经核实后立即暂停其POS机所有业务。
2.建立健全特约商户信息管理系统和黑名单管理机制。一是各支行在拓展特约商户时,应通过工商登记注册系统、人行征信系统等查询商户信息是否正常。二是各支行在商户日常管理过程中,如发现可疑、高风险商户,应及时上报电子银行部,由电子银行部上报省联社进行后续处理。三是各支行不得将已被银联公司纳入POS机黑名单中的单位以及由相关个人担任法定代表人或者负责人的单位拓展为特约商户。已拓展为商户的,应予以清退。
(四)强化可疑交易监测。针对《通知》所述可疑交易,省联社将在电子银行风险监控、反洗钱监测等管理系统中建立模型进行监测。各支行根据监测数据核实情况后,可对相关客户或账户采取暂停非柜面业务的限制。同时通过反洗钱监测系统报送相关可疑交易报告。报送反洗钱信息时,应按照《中国反洗钱监测分析中心关于大额交易和可疑交易报告综合试点范围扩大期间填写要求调整的通知》(中心发[2012]21号)的“涉罪可疑交易行为代码表”1201代码执行。
三、加强学习及客户宣导,确保业务平稳开展
(一)加强员工对261号《通知》文件的学习。各支行要组织本机构员工正确解读《通知》精神,深刻领会强化信息保护和支付安全、防范电信网络欺诈、打击电信网络新型违法犯罪活动的业务实质,使其准确理解和掌握各项工作要求,切实提高对异常开户、可疑交易等情况的敏感度,确保业务稳健开展。
(二)广泛开展业务宣传活动。各支行应根据《中国人民银行广州分行办公室转发中国人民银行办公厅关于开展加强信息保护和支付安全 防范电信网络欺诈宣传工作的通知》(广州银办发„2016‟368号)等文件精神,充分利用营业网店,平面媒体、周边社区等渠道,通过设展台、贴标语、电子屏滚动播报、派发宣传单、现场讲解等多种形式开展防范电信网络诈骗宣传活动,提高社会公众对《通知》精神的知晓度与接受度,确保政策的准确传导和有效实施。
四、其他事项
(一)按时做好相关信息报送。
1.指定业务联系人。各级支行应分别指定一名负责《通知》相关事项的统筹协调人,并填写附件4,于12月31日前报送会计结算部。
2.定期报送工作开展情况。由于《通知》要求的各项工作业务量大、时间紧,各级支行应按方案下发的各项附件要求填写,及时做好工作情况的汇总并上报会计结算部。
3.及时报送堵截诈骗案例。各级支行遇到成功拦截开户、转账等涉及电信网络新型违法犯罪案例的,要及时将基本情况及诈骗特征等内容形成报告,并于5个工作日内上报会计结算部。
4.及时报送宣传情况。各级支行组织宣传后,应保留宣传照片,宣传资料,并对宣传情况形成报告一并上报会计结算部,由会计结算部上报省联社汇总,报告内容应包括但不限于以下内容:宣传主题、宣传方式及内容、取得的成果。
(二)强化沟通与交流。由于各级支行对《通知》的解读和执行不同,各级支行之间应该强化沟通与交流,将自己对《通知》的理解进行共享,共同探讨执行方案,总结经验将我行的防范电信网络诈骗工作做到完美。
(三)严格处罚,实行责任追究。各级支行应当履职尽责,确保打击治理电信网络新型违法犯罪工作取得成效。因工作疏忽发生电信网络新型违法犯罪案件的支行,将严格按照我行的相关制度问责。
附件:261号《通知》 1.撤销或归并账户统计表
2.黑名单账户统计表
3.电话号码与身份证件号码没有一一对应账户清理统计表
4.联络人名单 5.统计表(锁定版)
6.打击治理电信网络新型违法犯罪工作情况数据表
通信机房建设标准设计方案说明
在设计施工中对供配电方式、空气净化、安全防范措施以及防静电、防电磁辐射和抗干扰、防水、防雷、防火、防潮、防鼠诸多方面给予高度重视,以确保系统长期正常运行工作。
一、设计思想
根据用户提出的技术要求,以及对改建机房的建筑物进行实地勘查,依据国家有关标准和规范,结合所建机房系统特点进行总体设计。总体设计方案以业务完善技术规范,安全可靠为主,确保系统安全可靠的运行。在选材投资方面根据功能及设备要求区别对待,并满足用户的特殊要求,做到投资有重点,保证计算机场地的充份利用,延长计算机系统的使用寿命。
我们的工作就是围绕这个根本任务,通过采用优质产品先进工艺把上述设计思想有机地结合起来,为计算机设备和工作人员创造一个安全、可靠、美观、舒适的工作场地。
二、设计依据
● 国标GB2887-89《计算站场地技术条件》
● 国标GB50174-93《电子计算机房设计规范》
● 国标GB9361-88《计算站场地安全要求》
● 国标GB6650-86《计算机机房活动地板技术要求》
● 国标GB50222-95《建筑内部装修设计防火规范》
● 《通讯机房静电防护通则》
● 机房楼层图纸及现场实际情况。
机房装修工程
一、机房功能区划分:
机房功能区的组成:机房的组成是依据其性质,任务,业务量大小,所选设备类型以及计算机对供电,空调等方面的要求和管理体制而确定的。
二、机房装修主要材料的选择
根据《电子计算机房设计规范》室内装修要求,所选材料材料应为(燃烧性能等级A)或难燃烧材料(燃烧性能等级B1)
装饰装修部分主要包括吊顶、门、窗、墙壁、地面、活动地板的施工等。装修作业应符合《计算机场地技术条件》和《电子计算机机房施工及验收规范》。
1、吊顶
天花板吊顶面积约66M2,棚顶墙面进行防水处理,采用轻钢不上人龙骨,600×600×0.8MM的微孔铝制天花板进行隐蔽式装配吊顶。同时与机房屏蔽网起组成一个完整的屏蔽系统,具抗静电、抗干扰的作用,所有木质材料刷防涂 料。
具体做法如下:
1)吊顶采用轻钢吊挂件,吊挂件用彭胀螺栓(或射钉)直接固定到顶棚。 2)主龙骨采用专用轻钢龙骨按标高线吊平。 3)专用副龙骨与主龙骨之间搭接。 4)靠墙边安装专用边龙骨。
5)天花板采用微孔吸音铝天花方板,规格为600×600×0.8MM,安装在龙骨上,对缝顺接,靠墙边处按实际尺寸裁剪。 6)吊顶做接地。
7)本吊顶防火、防潮、无尘、不易老化变形。安装牢固,易于拆卸,外形美观。
2、地板机房地面面积约为66M2,采用架空地板,全部安装A级600X600MM X35全钢防静电活动地板,所选产品具有荷载大,耐火时间长,不易变形。 地板采用四周支撑式铺设,其钢支托、横梁连网结构,使地板易敷设,对缝效果好。地板铺设高度为200MM。地板下有插座的要开走线口。地要做防尘处理,地板下支托要做多点接地,网状接地导线≥4MM2,铺设后地板上表面电阻及系统电阻值满足:1×105Ω-1×109Ω。地板下进行防漏水处理。地板色彩为灰白理石花纹,与吊顶及墙面色彩相配合。地板与墙体交界处用不锈钢踢脚板封边。 为使水泥砂浆地面达到不起尘、不产尘、保证空调送风系统的空气洁净度,地面先涮防尘漆做防尘处理。
3、墙面、电源室预先做好承重设计。 机房墙面采用优质双面铝塑板墙面,基层采用环保中密度板(刷防火涂料)。墙面装饰前先进行防尘、防潮、防水、保温处理,确保墙平整、光滑,清洁美观。
4、门窗
机房门框、窗框均采用铝合金材质,玻璃厚度不小于10MM。
四、防火处理
除主材选择非燃性或难燃性材料外,采用防火窗帘,其它材料尽可能选择难燃性 材料,另外,所有的木材作隐蔽部分,均作防火处理。
五、装饰后的效果及说明
整体上考虑,机房空间的设计应遵循简洁、明快、大方的宗旨,强调实用性,摒弃矫揉的装饰,整个区域采用中性色为基调,表现该区域为技术工作场地。机房吊顶采用奶白色金属方形吊顶板,墙面饰象牙白铝塑板,地面采用防静电地板,在冷色调的墙地间,以暖色天顶进行调和,使宁静严肃的空间里揉进安逸舒适的感觉。设有电子表、温湿度计,人性化设计。 由于所选材料外表均为亚光,既使材料的质感得到充分的体现,又避免了在机房内产生各种干扰光(反射光,折射光)。
六、
防水,防潮处理 由于机房位于办公楼内即机房地面、天棚做面层防水处理,并在地面做防水槽,以确保机房内设备不受水损害。另墙面做防潮处理。机房电气系统
一、电气设计原则
根据甲方技术要求及国家有关设计标准,充分考虑所设计的机房系统的工作性质和任务,以电源供配电的质量、电气装置工作的可靠性,安全性和技术上的先进性、人员工作环境的舒适性为设计原则。一个系统能够正常工作,不仅需要有良好的主设备、性能卓越的UPS电源和安全舒适的工作环境,还需要有一个设计合理、可靠性高的供配电系统。我们为该项目考虑与设计的内容如下:
1、机房内用电设备供电电源均为三相五线制及单相三线制,采用双回路供电;
2、用电设备作接地保护,并入土建大楼配电系统;
3、机房用电设备、配电线路装置过流过载两段保护,同时配电系统各级之 间有选择性地配合,配电以放射式向用电设备供电;
4、机房配电系统所用电线为深圳联嘉祥阻燃聚氯乙烯绝缘导线,敷设喷塑 桥架、镀锌铁管及金属软管。
5、机房的设备供电和空调照明供电分为两个独立回路,其中设备供电由UPS 提供并按设备总用电量的1.3倍进行预留,而空调照明用电由市电提供并按空调设备的要求供配。
6、机房内照明装置宜采用机房专用无眩光灯盘,照明亮度大于300LUX,事故照明亮度应大于60LUX。
7、 机房内的配电系统考虑了与应急照明系统的自动切换。
8、该机房电源进线正常时由市电供电,市电故障时由UPS供电,进线直接引入机房专用配电柜总输入开关。
9、机房设计了一个市电配电箱,对机房的市电进行配电,配电箱为机房专用标准配电箱,配备低压开关。柜内配有市电备用回路,安装防雷保护器。
10、 机房设计了一个UPS配电箱,对机房的UPS电进行配电,配电箱为机房专用标准配电箱。箱内配有UPS电源备用回路。
11、机房所有插座均采用普通电源插座和弹起式铜插座,普通电源插座安装 在墙壁上,弹起式电源插座安装在防静电地板上,美观大方。
二、电气设计依据
● 国标GB2887-89《计算站场地技术条件》 ● 国标GB50174-93《电子计算机房设计规范》 ● 国标GB9361-88《计算站场地安全要求》
● 国标GBJ52-82《工业与民用供电系统设计规范》 ● 国标GBJ54-83《低压配电装置及线路设计规范》 ● 国标GBJ 232-83《电气装置安装工程及验收规范》
三、电源部分:
1、负荷及电源进线
机房负荷计算:计算机设备用电 空调、新风设备用电照明及辅助用电机房扩展备份用电
2、计算机机房总用电量 电源的容量:应保障计算机设备、空调、新风设备的用电市电与市电间、市电与UPS的切换应在配电间完成。进线:由大楼中心配电室经竖井引入四路五芯VV-ZR系列(难燃型)电缆经金属线槽暗敷引入机房配电间:两路双回路低压电源供电。
3、配电设备: 在机房配电间设置一台动力配电柜,一台照明配电箱:
(1)动力配电柜负责空调、照明、机房内设电源插座及机房扩展备份用电控制。 (2)照明配电箱负责机房内所有区域照明.
4、配电柜结构:配电柜进线采用上进下出方式。具有如下特点:操作,维护互不干扰;端子接线保障设备安全;屏面模拟板使操作简易掌握,同时防止误操作。
5、电气元件选择:空气开关选用进口产品;其它元器件均选用合资产品(继电器,指示灯,端按钮等)
6、弱电部分弱电布线系统全部采用桥架布线,每台机柜布双网线,
7、桥架选择除照明、辅助插座采用金属管配线外,其余所有线缆均采用桥架布线。
8、配电线缆部分配电线缆采用阻燃型电缆或交联阻燃电缆。
四、照明系统
1、照明方式工作区域采用3×20W格栅灯具照明,照度在300勒克斯-600勒克斯选择。
2、照明控制灯具照明控制选用开关箱,跷板开关控制。灯具控制开关选用正泰产品。
3、辅助用电机房区域内墙面辅助用电插座选用正泰产品.4、应急照明灯应用应急照明灯,照度为60LUX。
五、配电系统设计
1、市电配电柜部分:该部分采用机房专用配电箱来完成,它接到总配电室送过来的市电电源,通过总电源开关,输出到分支回路中,我们为该部分设计了18条回路:照明回路6条,中央空调回路1条,新风机回路1条,其它辅助插座回路5条,备用回路3条。
2、UPS电源部分:该部分采用机房专用配电箱来完成,它接到UPS送过来的单路电源,通过160A总电源开关,输出到分支回路中,我们为该部分设计了十五条回路:服务器回路2条,监控报警回路1条,交换机回路2条,工作站回路2条,消防回路1条,备用回路6条,精密空调回路1条。 机房空调系统
一、空调及新风系统的作用机房空调系统恒湿、恒温和洁净度是关键。为了不让工作人员在机房内操作时产生缺氧、头晕,胸闷、心慌等不适之感,即所谓“空调病”,采用多级新风过滤系统可将室外新鲜空气送入机房。主机房空调系统采用普通柜式空调,以满足机房内设备的环境需求。为保证机房重要设备连续正常、可靠地运行,对机房室内环境和空气品质(温、湿度、洁净度、风速及噪声等)要求极高,要求增加一台选用带除尘功能的加湿器。
二、空调及新风区域的确定与选择
1、热负荷的确定专用空调区域:机房的热负荷是根据机房内部(设备、照明、辅助设施等产生的热负荷)和外部(建筑、太阳辐射热及补充新风带来的热负荷)的热负荷来确 定。
2、机型的选择空调机是空调系统的心脏,根据性能价格比来作选择。
三、气流组织计算机机房内净高设计为2.8M,经比较选择气流方式为:下送风顶板回风方式(监控室须特殊处理)。温度:22±2℃相对湿度:40%-60%尘埃:国际B级粒径≥0.5 M 粒数≤3500粒/公升 机房防雷接地保护系统
设计方案结合本次机房工程的具体实际情况设计本方案,由于雷电侵害,通信系统、计算机系统等时常遭受打击,轻者接口损坏,通信中断或数据误、错码,重者使系统瘫痪,严重影响工作的顺利进行。因此,雷电已成为电子信息时代的一大公害,雷电防护已成为电子设备急需解决的问题。
方案设计电子计算机机房应采用下列四种接地方式:
一、交流工作接地,接地电阻不应大于4Ω;
二、安全保护接地,接地电阻不应大于4Ω;
三、直流工作接地,接地电阻应按计算机系统具体要求确定;
四、防雷接地,应按现行国家标准GB50057<<建筑物防雷设计规范>>执行。交流工作接地、安全保护接地、直流工作接地、防雷接地等四种接地宜共用一组接地装置,其接地电阻按其中最小值确定。
1、电源第一级+第二级联合防雷保护:在中心机房的UPS配电柜内的市电输入开关后端,安装1套德国OBO V25-B+C/3+NPE型号三相B+C级电源防雷器,并在防雷器回路中串接1组32A/3P梅兰日兰空开,做为UPS供电回路防雷的第一级+第二级联合保护;在中心机房的市电配电箱内的总开关后端,安装1套德国OBO
V25-B+C/3+NPE型号三相B+C级电源防雷器,并在防雷器回路中串接1组32A/3P梅兰日兰空开,做为市电供电回路防雷的第一级+第二级联合保护。
2、环形等电位连接排机房静电地板下应做环形等电位连接排,采用30MM×3MM紫铜排,沿计算机机房墙体四周安装,为机房设备提供接地点,并起到等电位连接作用,同时在大楼外,利用镀锌角钢和镀锌扁钢做独立接地体系统,接地电阻应不大于1Ω。两者之间采用35MM2的铜导线连接。(接地体做法见后)防静电活动地板金属支架、墙壁、顶棚的金属层接在等电位连接排上。通信设备的静电地、终端操作台地线应分别接到总地线母体汇流排上。各设备接地按照就近原则,最短距离连接到该等电位连接排上。
3、独立接地体系统具体做法如下:即在大楼外距大楼1M外的土壤中垂直埋入多根2.5M长50MM×50MM×5MM镀锌角钢,角钢间隔5M。角钢顶部距离土壤表面大于0.8M,通过40MM×4MM镀锌扁钢焊接相连后引至机房等电位连接排,接地体与机房等电位连接排的连接材料采用35MM2的多股铜导线。接地电阻值应小于1Ω。若无法达到阻值要求,则应采取施加降阻剂或增加接地体的数量等措施,直至满足要求为止。
截止2012年3月,中国电信已建成全球最大、覆盖最广、质量最稳定3G移动网络。3G室外基站数量已经超过20万个,已覆盖全国所有县级以上城市及90%的乡镇,包括全国324个城市、2055个县、2544个乡镇、42.1万个行政村。
据悉,中国电信3G信号已全面覆盖国内全部91对高铁和动车线路,总计1.4万公里;同时覆盖了沿海全部49个城市、1.8万公里海岸线,并在1349个海域覆盖了3G基站,实现了近海50公里海域3G信号无缝覆盖。
四川电信3G网络已覆盖全川所有县级以上区域和98%以上的乡镇, 3G用户迈入千万级。
推荐阅读:
银行电信网络诈骗方案(精选9篇)08-03
电信网络诈骗平台方案(共7篇)02-22
电信网络新型网络犯罪(精选9篇)08-05
防电信网络诈骗宣传12-22
电信网络信息安全论文提纲11-15
电信网络安全论文提纲11-15
中国电信cdma网络报告05-26
电信产业网络经济论文提纲11-15
电信网络安全分析论文提纲11-15
谨防电信网络诈骗(精选9篇)06-01
