矿山网络规划及信息安全服务

01 背景

随着计算机应用的普及和深入,我国矿山企业的计算机应用水平有了很大的提高,许多矿山都配备了一定数量的计算机,分别应用于不同的职能部门,取得了一定的经济和社会效益。但这些计算机目前大部分处在单机运行状态,只是简单地代替人工进行报表处理,没有真正发挥其应有的效益,远远满足不了企业信息处理和交换的需要。因此,采用合适的网络技术,建立企业计算机网络,实现数据共享,已成为矿山企业计算机应用的大势所趋。


02 网络环境分析

矿山企业的建网环境不同于一般的制造企业,更不同于普通的商业企业,进行矿山企业的网络建设时,必须注意以下特点: 矿山企业作为一个独立的生产经营单位,内部的信息交换和处理量很大,同上级主管部门和外部的信息交换量相对较少。即使在企业内部,各部门之间的信息交换也不像商业企业那样频繁。如地质资料的处理,原始数据必须首先在地测部门进行复杂的技术处理,才能提供给生产设计部门。因此,矿山企业的网络系统应该采用计算机局域网,对外部的信息交换,可使用电信部门提供的广域网。在局域网环境下,各工作站都有独立的工作能力,本地资源可以设置在工作站上,即使服务器不工作,本地工作站也可以处理本部门的业务工作。另外,局域网投资少,维护方便,当企业的管理业务发生变化时,便于扩充,已经被越来越多的用户采用。因此,在选择网络时一般都以局域网为基础,再根据不同情况选择不同的配置。 矿山企业办公地点一般比较集中,大部分分布在一、两栋办公楼内,但生产车间相对比较分散,从几百米到几千米不等。这一特点在规划网络拓扑结构,选择网络传输介质时需要认真考虑。 矿山企业的计算机应用工作一般都有一定的基础,许多矿山都装备了不同档次的计算机设备,并在单机环境下开发了一些软件。因此,在进行网络建设时,要尽可能的利用现有设备和软件,避免重复投资造成浪费,同时也有利于新旧系统的转换。当前通过云技术衍生出来基于企业内部应用的“云桌面系统”,不仅解决了电脑硬件升级和维护问题,还为企业节省大量的电力。 矿山企业所在地一般远离中心城市,计算机专门人才比较缺乏,网络系统一旦出现问题,获得外部的技术支持不太方。因此,在进行网络建设时,必须把系统的稳定性放在首位,采用成熟而可靠的网络技术,不要盲目追新。同时,重视本单位技术人员的培训,便其能够胜任网络系统的日常维护工作。


03 传输介质的确定

传输介质的确定常用的网络传输介质有双绞线、光纤(单模、多模)和无线网桥。双绞线成本低,易于铺设,并具有良好的噪音衰减能力,已成为局域网常用的传输介质,但其抗干扰能力较差。采用双绞线传输数据,其最大安全距离为100m。光缆是一种高质量的传输介质,其频带宽、速度快、抗干扰能力强,采用多模光纤传输时,距离可达2km,采用单模光纤传输时,可延伸至几十km,目前多模光缆和单模光缆价格相近,因矿山特殊地理环境,建议全网采用单模光缆。至于光缆,一般多应用在主干网络上,有条件的矿山企业也可以采用光缆到桌面的设计。 在光缆无法到达的地方,可采用无线网桥技术,利用风能和太阳能解决网桥设备供电问题,距离较远时可采用接力方式,传输距离可到几十公里,传输带宽百兆,还可采用蜂窝状连接方式,确保网络传输不断线。广泛应用在露天卡车调度系统、边坡、尾矿库在线监测系统和网络主干冗余备份。


04 网络技术的选择

网络技术的选择目前,局域网中最常见的网络技术包括:以太网(Ethernet)、令牌环网(TokenRing)、快速以太网(FastEthernet)、光纤分布式数据接口(FDDI)和异步传送方式(ATM),快速以太网正在逐步升级到千兆以太网。以太网是一种小型的局域网络,它的出现恰逢微型机飞速发展的年代,因而为计算机网络应用提供了可靠的新技术和新方法,受到人们的极大关注并获得巨大成功,成为局域网络中较为流行的一种。根据以太网所采用的传输介质及接口的不同,可以将以太网分为标准以太网、双绞线以太网、光纤以太网及混合结构以太网。令牌环网是微机局域网中最传统的组网方式之一。它可以采用普通电话线、屏蔽的双绞线或光缆等作为传输介质,根据需要,传输速率可以选择4Mbps或16Mbps其网络连接方式简单、灵活,既可以是小规模局域网,也可以组合成多环互连网,现在技术突飞猛进,环网传输速率可达万兆。快速以太网(Fast Ethernet)也就是我们常说的百兆以太网,它在保持帧格式、MAC(介质存取控制)机制和MTU(最大传送单元)质量的前提下,其速率比10Base-T的以太网增加了10倍,可以提供100Mbps的带宽。由于它是在10-Mbps以太网技术上发展起来的,可以采用与以太网技术类似的方式处理网络管理,并且具有较高的传输速率和较低的价位,因此,深受网络用户的欢迎。光纤分布式数据接口(FDDI)是已经得到公认的、成熟的100Mbps联网技术。它基于定时令牌传送存取方法,并使用双环结构,可靠性高,传输速度快。由于FDDI的价格较高,一般应用于一些大型网络系统的主干部分。随着DDI产品价格的降低,其应用范围也越来越广。ATM技术是成熟的网络技术,但其独特的性能立刻得到客户的喜爱,尤其是在多媒体应用领域。采用ATM技术,价格也相对较高。对矿山企业来说,究竟选择什么样的网络,采用什么样的网络技术,取决于网络的地理环境,对传输速率、抗干扰能力、传输距离的要求和入网工作站的多少等诸多因素。不同的网络技术其价格差别很大,因此,在进行网络建设时,应根据矿山企业自身的资金和技术条件,选择性能/价格比高、成熟可靠的网络技术,不要盲目追新。由于快速以太网技术成熟、成本低廉,便于升级,特别是千兆以太网的迅速发展,使其成为矿山企业网络建设的首选产品。


05 网络操作系统的选择

网络操作系统的选择已经很明确,WindowsNTServer和Unix、Linux最为引人注目,这三类操作系统基本上覆盖了国内的局域网操作系统市场。作为当今世界上最为流行的网络操作系统之一,WindowNT有着自身特有的优势,如类似Windows的易操作图形界面,能运行许多目前在Windows上流行的应用软件,比其它操作系统更高的性能价格比等。这些特点使其成为目前广为流行的网络操作系统。


06 网络数据库的确定

网络数据库的确定对矿山企业来说,高性能、高质量的网络数据库尤显重要。目前可供选择的网络数据库较多,如ORACLE,SYBASE,SQL等。ORMLE、SYBASE等数据库系统支持SQL标准,软件移植性好,开发环境优越,能支持多种硬件平台,数据库市场占有率较高。另外,ORACLE、SYBASE数据库系统均采用客户/服务器结构。客户/服务器模式是当前网络操作系统和数据库系统采用的一种模式。在这种模式下,用户操作和数据库操作分开进行,客户将要求提交给服务器,服务器处理完后再将结果提交给客户,这样不仅实现了分布式处理,而且有助于减少网络上的信息传送量。我国矿山企业的微机用户一般都非常熟悉SQL,这一特点对系统的开发和系统投入运行后的扩充、完善及维护十分有利。数据库的选择时,SQL往往是一些中小型矿山首选的数据库系统。考虑到以后的发展,有条件的大中型矿山可以选用ORACLE、SYBASE或其它数据库系统。


07 机房建设

机房是各类信息的中枢,机房工程必须保证网络和计算机等高级设备能长期而可靠地运行的工作环境。机房工程不仅集建筑、电气、机电安装、装修装饰、网络构建等多个专业技术于一体,需要丰富的工程实施和管理经验。机房设计与施工的优劣直接关系到机房内整个信息系统是否能稳定可靠地运行,是否能保证各类信息通讯畅通无阻。由于机房的环境必须满足计算机等各种微机电子设备和工作人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。 机房建设主要注意以下几点: 机房装饰:抗静电地板铺设、微孔天花和机房墙板装修、天棚及地面防尘处理、防火门窗等; 供配电系统:供电系统、配电系统、照明、应急照明、UPS电源; 空调新风系统:机房精密空调、新风换气系统; 消防报警系统:消防报警、手提式灭火器,灭火气体钢瓶; 防盗报警系统:红外报警系统; 防雷接地系统:电源防雷击抗浪涌保护、等电位连接、静电泄放、接地系统; 安防系统:门禁、视频。 机房动力环境监控系统:机房环境监控系统; 一个健全、完善、干净、整洁的机房,可充分展现出企业的管理理念和管理制度,助力企业向更高层次迈进。


08 信息安全服务

信息安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。 l信息安全服务图

l信息化服务作用
目前,国内企业中信息安全建设多处在较初级的阶段,缺乏信息安全的合理规划,也普遍缺乏相应的安全管理机制,这些问题受到整体管理水平和信息化水平的限制,在短期内很难根本改变。当前国内的信息安全服务商纷纷提出了自己的安全服务体系,一般都包括信息安全评估、加固、运维、教育、风险管理等。这些西方背景的先进的理念在吸引用户的同时,给用户造成了很大的迷茫,很多用户购买安全服务的直接动机是应付当前的安全事件、满足管理层的意志或减轻来自内外的舆论压力,服务形式内容和现实需求之间存在较大落差。
必须承认当前信息安全服务对用户的帮助主要在技术方面,对管理的影响是有限的。用户普遍遇到的最大问题是自身资源不足,实际是“安全管理员”的缺位,其次是对基本管理体系探索的需求。从用户的角度来看,信息安全服务能带来的实际好处包括:弥补用户人力的不足,弥补用户技术的不足,弥补用户信息的不足,弥补用户管理思想的不足。这些服务内容主要通过服务团队特别是一线人员传递到用户的手中,服务人员的技术技能和态度将直接决定用户的收益。   
l市场应用
在市场需求方面,政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业,证券、交通、教育、制造等新兴市场需求强劲,为信息安全产品市场注入了新的活力。 中国信息安全行业起步较晚,自本世纪初以来经历了三个重要发展阶段(萌芽、爆发和普及阶段),产业规模逐步扩张。尤其是近年来,各类网络威胁造成的损害不断增强,带动了市场对信息安全产品和服务需求的持续增长;另外,政府重视和政策扶持也不断推动我国信息安全产业的快速发展。 l面临的问题
国内每个信息服务商都有自己的生存方式,站在用户的角度考虑,认为有两个问题不能回避:
服务能力建设
安全服务的根本意义在于帮助用户以较低的成本实现高效的信息安全体系。缺乏具有合格技能和创造性的队伍,这是信息安全服务面临的最大问题。虽然安全服务这个市场的坚冰已经撬动,但对安全服务的评价仍在进行中。大量的服务项目在照搬概念、教条式地开展,服务人员不能发现、解决用户的实际问题,更不说为用户提供个性化的服务。在安全服务行业刚刚萌芽之际,遭遇用户的集体遗弃将会是致命的。
观念更新
信息安全服务商如果要赢得用户的认可,就必须具备两个基本观念:一个是信息安全是为信息化服务的,不能离开对用户信息化脉搏的把握。从“安全就是防火墙”,到“安全三大件”,到“三分技术七分管理”用户和服务商都在思索信息安全建设的途径。因为“提升安全管理水平”似乎在中国实行困难后,安全服务惨淡的困守在网络安全、主机安全这两个孤岛上,随着信息化基础设施的渐入尾声,这两个领域能为用户带来的价值日渐式微。应用的安全日益成为用户关注的重点,身份认证、信息防扩散、电子签章、电子交易等成为一个个热点领域,安全服务商需要革新观念,将服务进一步专业化和细化,才能在有所作为,打破目前安全服务市场的同质化局面。另一个基本观念是每个用户的安全需求是个性化的,没有放之四海皆准的定律,经验的积累和再利用是必要的,但必须创造性地使用。
l基本法则
谨慎选择厂商和服务内容
用户在选择服务商的时候,遇到的困惑之一是服务厂商的服务内容的同质化,市场排名或成本因素往往成了选择的主要标准,这是不理性的。真正重要因素是服务商的安全现状和安全目标的理解和认可程度,并能否针对性地提出合理的服务内容和方案;服务人员的技能考察非常重要,取得安全服务资格的厂商并不一定能具有真正的服务能力,用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据;服务商的服务管理能力和信用等也是考察的要点。
引导与监控安全服务进程   
在安全服务的实施过程中,需要用户的积极参与。虽然在服务契约签订时,双方已经初步确定了服务的内容和目标,但这些内容和目标往往是抽象的,高素质的服务人员会依此主动发现问题,提供合理的建议,普通服务人员常常不具备这种能力。但无论哪种情况,用户的引导和监控都是必要的,服务商对用户的信息系统的认识程度是有限的,能够介入的范围也很狭窄,用户应当用需求或目标来引导和监控服务的实施,甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞。
善于放大安全服务的效力
信息安全服务是一项借用外脑的活动,一般用户更情愿在软硬件系统的购买上投入资金,却对安全服务比较质疑,原因是认为服务既是无形的,又不创造经济效益。其实,用户是可以将安全服务的效力放大的,如果仅把安全服务看作是仅对it部门的服务,那效力就仅限于一个部门,如果为更大的范围服务,就会取得更大的效力,如安全预警。另外创造性的服务也可带来经济上的效益,一个合理的安全建设方案可能会带来实际的成本的节约,一个安全管理的认可,可能会带来企业形象的提升,甚至一项安全增值业务可能会带来直接的收益。
l基本要求
管理要求
* 信息安全要求建立一个24小时不间断反应。
* 能够建立一个针对不同攻击的正确行动方案。
* 能够保证及时、快速反应系统。
* 能够提供规范和详细的对自身和对客户培训体系。
* 贴近被服务体系和对客户零干扰目标。
技术要求
* 拥有一定的监控技术,能够方便、简单、易操作地安装到所有接入设备和系统中。
* 监控设备不会影响和干扰已有的安全设备和软件的正常使用性能,并且不会引入新的安全隐患。
* 监控设备应当具有升级能力,并且能够进行方便的升级。
* 具有监控数据分析与处理技术。
* 具有知识库或专家库支持应急事件决策技术。
* 具有系统容灾与恢复的技术。   
高级要求
* 先进原则:全面掌握和紧跟国际先进的信息安全管理和技术并有一套体系贯彻到服务系统中。
* 全面原则:掌握了全国的国内信息安全的标准和政策并有足够力度体现到服务体系中。
     * 高手原则:有掌握最新的信息安全实践技术和防范技术,遇到特发情况能够解决问题的高手或专家存在。
     * 团队原则:团队有明确分工和侧重点,基本人员全部掌握一般的服务方法和解决普遍性问题。
l发展方向 
     安全咨询服务
  安全咨询服务的发展趋势将向行业化的方向发展,针对性更强,咨询服务内容更细。具体会体现在政府、银行、企业等几个重点领域。咨询服务的内容将以行业特点为核心,从技术、运维、管理、策略等方面提供具有针对性的安全技术与管理咨询服务。
  例如:针对企业提供信息安全管理体系ISMS建设咨询、IT服务管理体系ITSM建设咨询与企业IT内审咨询;针对国家政府信息化建设提供等级保护建设相关咨询服务,包括政务系统定级、系统规划、系统建设及运维管理的咨询等。
  等级评价服务
针对国家政务信息系统的等级测评服务将会向自动化的方向快速发展。利用新技术开发自动
化的等级测评工具,以降低测评难度、加快测评速度、提高测评准确性。利用自动化的专业等级测评系统对政务信息系统进行等级测评是未来技术的发展方向也是等级测评服务的发展方向。
  风险评估服务
  风险评估服务可帮助用户了解自身网络信息系统的安全状况:通过资产重要性分析明确需要重点保护的资产信息;通过系统弱点分析、威胁分析、安全措施的有效性分析确定各项资产所面临的真实安全威胁问题。 由于风险评估的流程复杂、技术难度大、历时久、周期长等问题,严重困扰着行业用户风险评估工作的实施。因此,开展针对性强、自动化、模块化的风险评估工具是未来风险评估服务发展的主要方向。它可以降低风险评估的难度,提升风险评估的效率,保障风险评估的准确性,更便于用户实施网络信息系统的自评估工作,降低风险管理成本。
  安全审计服务
  安全审计服务将严格以安全政策或标准为基础,用于测定现行保护措施整体状况,同时检验是否妥善执行现有的保护措施。安全审计的目的在于了解现有环境是否已根据既定的安全策略得到妥善的保护。 信息系统安全审计服务可协助用户确保系统安全策略运行在有效控制措施之下。从技术、管理和人员等多个方面,帮助客户加强内部控制,建立合规性机制,应对合规性审查,预计安全审计服务是未来信息安全服务行业发展的重点方向。
  运维管理服务
  应急响应是运维管理中的典型服务之一,可有效降低用户因突发安全事件造成的损失,可有效帮助用户及时准确定位安全事件并对安全事件进行处置,降低用户损失。应急响应主要针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件。
针对广阔的市场前景,驻地安全运维服务、周期性巡检服务、渗透评估服务、安全加固服务将成为安全运维管理服务的重点方向。
  安全培训服务
  近年来,信息安全服务项目需求日益增加,市场前景广阔。除专业的信息安全服务机构外,信息安全产品厂商、信息安全产品代理商、系统集成商等都将面临诸多信息安全服务项目机会。然而,根据调查结果显示专业的信息安全服务人才极其缺乏,远远无法满足实际需求。
l总结  
  矿山企业计算机网络建设是一个复杂的过程,它受企业管理水平、技术条件、投入资金多少等诸多因素的限制。因此,究竟选择什么样的网络技术,应根据企业的具体情况,经多方面反复论证才能确定。   在建设完善矿山网络的基础上,提供给客户安全信息服务的增值服务,不仅可以增加同客户的粘合度,而且可以提高服务含金量,从而形成长期稳定的合作关系。