導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡(luò)安全加固建設(shè)，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

隨著高校信息化建設(shè)的全面深入和快速推進(jìn)，基礎(chǔ)網(wǎng)絡(luò)設(shè)施和信息應(yīng)用系統(tǒng)日趨完備，形成了規(guī)模大、結(jié)構(gòu)復(fù)雜、系統(tǒng)多、應(yīng)用全面的網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)。信息化建設(shè)項目多、任務(wù)重，在高效率、高質(zhì)量完成建設(shè)任務(wù)的同時，需要保證網(wǎng)絡(luò)運維和信息安全運維的效果和效率，為師生提供良好的用戶體驗，這就對網(wǎng)絡(luò)運維提出了更高的要求和標(biāo)準(zhǔn)。網(wǎng)絡(luò)業(yè)務(wù)日益繁多、復(fù)雜多變，各種網(wǎng)絡(luò)問題層出不窮，如黑客攻擊、計算機病毒泛濫，高校園網(wǎng)絡(luò)運維體系面臨新的問題，能否適應(yīng)新變化就顯得非常重要。建立校園網(wǎng)運維體系、解決校園網(wǎng)面臨的問題對保證高校正常的教學(xué)、科研、管理等工作有著重要意義。

1校園網(wǎng)絡(luò)安全運維體系架構(gòu)

隨著信息化在高校的發(fā)展，硬件平臺、應(yīng)用軟件、操作系統(tǒng)越來越復(fù)雜，難以集中管理，加之師生對網(wǎng)絡(luò)的高度依賴性，使得保障網(wǎng)絡(luò)的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網(wǎng)絡(luò)管理技術(shù)為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中的關(guān)鍵技術(shù)。高校校園網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)數(shù)量眾多、結(jié)構(gòu)復(fù)雜，且管理控制平臺多樣，網(wǎng)絡(luò)管理員需要掌握不同平臺的管理及使用方法，去管理網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)，復(fù)雜度高；網(wǎng)絡(luò)管理員對應(yīng)用系統(tǒng)的使用權(quán)限不同，難以在不同的業(yè)務(wù)應(yīng)用系統(tǒng)中保持控制策略和用戶權(quán)限的全局一致性，管理網(wǎng)絡(luò)安全事件日趨復(fù)雜化。只有對所有安全設(shè)備、業(yè)務(wù)系統(tǒng)發(fā)生的安全事件及其運行狀態(tài)信息進(jìn)行關(guān)聯(lián)分析，才能有效發(fā)現(xiàn)新的、更深層次的安全隱患。安全管理技術(shù)主要包括安全事件采集、安全事件管理、安全設(shè)備監(jiān)控三大模塊。安全事件釆集，用于采集網(wǎng)絡(luò)中所有安全設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)等的安全日志及運行狀態(tài)，這些信息將為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)源，是安全管理的基礎(chǔ)。安全事件管理將采集得到的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析、風(fēng)險評估等處理，通過分析可能的安全威脅，提交安全對象的安全報告。安全設(shè)備監(jiān)控，是通過監(jiān)控各關(guān)鍵網(wǎng)絡(luò)設(shè)備的運行狀態(tài)信息，及時發(fā)現(xiàn)安全問題并第一時間進(jìn)行處理。

2校園網(wǎng)絡(luò)安全運維平臺的組成

校園網(wǎng)絡(luò)安全運維平臺由監(jiān)控中心、安全分析中心、運維中心組成，為保證高校校園網(wǎng)絡(luò)的安全提供了科學(xué)合理的方法，有效保障了校園網(wǎng)絡(luò)的安全和穩(wěn)定。監(jiān)控中心，通過事件采集器收集監(jiān)控對象日志信息及安全事件，經(jīng)過標(biāo)準(zhǔn)化、信息過濾和關(guān)聯(lián)分析后，標(biāo)記安全事件級別同時存入數(shù)據(jù)庫。安全分析中心，通過資產(chǎn)識別、威脅識別、脆弱性識別、評價風(fēng)險、風(fēng)險計算等過程，評估校園網(wǎng)絡(luò)綜合資產(chǎn)的重要性、脆弱性以及面臨的威脅，為管理員進(jìn)行決策提供依據(jù)；采用事件關(guān)聯(lián)分析算法，尋找海量事件相互關(guān)聯(lián)事件，提取出真正有價值的少量安全事件威脅，包括業(yè)務(wù)連續(xù)性威脅、數(shù)據(jù)安全威脅、攻擊威脅。運維中心，通過安全預(yù)警管理接收業(yè)務(wù)系統(tǒng)防護(hù)平臺產(chǎn)生的自動安全預(yù)警信息或人工預(yù)警信息，再進(jìn)行分級處理，并按規(guī)定的通知模板將預(yù)警信息傳達(dá)給相關(guān)人員，并運用系統(tǒng)安全策略進(jìn)行準(zhǔn)確的預(yù)警，其中系統(tǒng)安全策略由告警的觸發(fā)條件、分析規(guī)則、風(fēng)險策略、設(shè)施管策略、存儲策略等組成。

3安全運維的內(nèi)容

3.1安全巡檢

定期對校園網(wǎng)絡(luò)安全設(shè)備的日志進(jìn)行深入分析和審計，包括對防火墻、IDS、防病毒系統(tǒng)、動態(tài)口令認(rèn)證、日志分析系統(tǒng)等的運行狀態(tài)、運行事件、日志和關(guān)鍵配置文件進(jìn)行收集、分析，并形成相應(yīng)的安全建議。安全巡檢內(nèi)容如下：（1）制訂安全設(shè)備巡檢計劃和巡檢規(guī)范；（2）定期對網(wǎng)絡(luò)安全設(shè)備進(jìn)行巡檢；（3）分析和解決在巡檢中發(fā)現(xiàn)的問題；（4）提交巡檢報告。

3.2漏洞掃描

通過漏洞掃描可以全面、準(zhǔn)確發(fā)現(xiàn)校園網(wǎng)絡(luò)中各系統(tǒng)存在的安全隱患及可能被攻擊的方式，掌握信息系統(tǒng)的安全現(xiàn)狀，為進(jìn)一步保證建設(shè)校園網(wǎng)絡(luò)的安全提供了數(shù)據(jù)參考和實際的依據(jù)，具有指導(dǎo)校園網(wǎng)絡(luò)安全建設(shè)的作用。對信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)的安全探測是漏洞掃描采用的主要技術(shù)手段，通過安全探測可以發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)潛在的安全隱患和薄弱環(huán)節(jié)。通過漏洞掃描設(shè)備、安全評估工具以掃描的方式對整個校園網(wǎng)中的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行安全掃描，從校園內(nèi)網(wǎng)和校園外網(wǎng)絡(luò)兩個不同的網(wǎng)絡(luò)環(huán)境來探測校園網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備部署、服務(wù)器主機配置、數(shù)據(jù)庫管理員賬號/口令等校園網(wǎng)絡(luò)對象目標(biāo)存在的漏洞、安全風(fēng)險和潛在的威脅。漏洞掃描有利于發(fā)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層的安全問題。（1）系統(tǒng)層安全。各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的操作系統(tǒng)，主要存在操作系統(tǒng)自身的漏洞、風(fēng)險和威脅，主要包括用戶名、密碼管理、訪問權(quán)限分配和控制、系統(tǒng)漏洞等，以及操作系統(tǒng)的安全配置不夠完善，存在被攻擊的可能。（2）網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)信息是網(wǎng)絡(luò)層的主要安全問題，包括身份認(rèn)證，控制不同身份對網(wǎng)絡(luò)資源的訪問、傳輸過程中的信息數(shù)據(jù)保密性與完整性、校外網(wǎng)絡(luò)遠(yuǎn)程接入、入侵檢測的發(fā)現(xiàn)及處理手段等。（3）應(yīng)用層安全。應(yīng)用軟件和數(shù)據(jù)的安全性是應(yīng)用層安全考慮的主要方面，主要有：學(xué)工系統(tǒng)、門戶網(wǎng)站、教務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用服務(wù)、電子郵件系統(tǒng)、防火墻及WAF系統(tǒng)及其他網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)等。掃描流程如圖1所示：

3.3安全加固

針對巡檢、漏洞掃描、安全評估過程中發(fā)現(xiàn)的各種安全隱患、系統(tǒng)漏洞，通過補丁升級、漏洞修復(fù)、進(jìn)行更加嚴(yán)格的安全配置、校園網(wǎng)絡(luò)系統(tǒng)架構(gòu)優(yōu)化與調(diào)整、安全策略升級與完善等方式及時對系統(tǒng)進(jìn)行安全加固，范圍可覆蓋資產(chǎn)梳理、終端檢查、物理檢查、管理體系優(yōu)化、人工檢查、漏洞掃描結(jié)果加固、滲透測試結(jié)果加固（涉及數(shù)據(jù)庫加固），提高校園網(wǎng)絡(luò)的安全性、抗攻擊和防病毒入侵能力，降低網(wǎng)絡(luò)安全事件發(fā)生的可能性。采用基本安全配置定期檢測和優(yōu)化，提高各系統(tǒng)、設(shè)備的密碼復(fù)雜度及修改密碼，系統(tǒng)漏洞檢測、修復(fù)處理，訪問控制策略完善配置，安全的遠(yuǎn)程接入方式，開啟文件系統(tǒng)的審計策略，開啟系統(tǒng)日志記錄并定期進(jìn)行分析，定期升級操作系統(tǒng)及更新安裝補丁等手段對校園網(wǎng)絡(luò)進(jìn)行安全加固。加固完成后，定期對校園網(wǎng)絡(luò)的安全性進(jìn)行評估，確保校園網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備具有較高的安全性和抗攻擊能力。加固流程如圖2所示：

4結(jié)語

科學(xué)合理成體系的校園網(wǎng)絡(luò)安全運維能有效緩解校園網(wǎng)絡(luò)面臨的風(fēng)險問題，將網(wǎng)絡(luò)安全事件從傳統(tǒng)的事后處理逐漸轉(zhuǎn)變?yōu)槭虑胺婪叮軜O大提高網(wǎng)絡(luò)運維和安全管理水平，增強校園網(wǎng)絡(luò)的安全性，提供更好的用戶體驗，從而實現(xiàn)安全、穩(wěn)定、抗風(fēng)險能力強的校園網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]莊天天.安全運維平臺關(guān)鍵技術(shù)的研究與實現(xiàn)[D].北京:北京郵電大學(xué),2013.

[2]吳京偉.大學(xué)校園網(wǎng)絡(luò)運維體系研究[D].合肥:合肥工業(yè)大學(xué),2009.

篇2

服務(wù)器虛擬化的互感器加密等級越高，其信息平臺防擴散效果越好。采用位串描述檢測器對計算機網(wǎng)絡(luò)系統(tǒng)的模式匹配進(jìn)行檢測，從而提高網(wǎng)絡(luò)安全的防護(hù)等級。強化對于技術(shù)人員計算機網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全管理意識的培養(yǎng)，操作人員應(yīng)該運用計算機多進(jìn)制的通信加密方式，對繁雜的信息大數(shù)據(jù)進(jìn)行傳輸和有效處理，實現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的遠(yuǎn)程操縱，保證服務(wù)器虛擬加密過程不受外界的攻擊。

1數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析

由于網(wǎng)絡(luò)中由于高速運行的過程中，往往會產(chǎn)生一些漏洞，這些漏洞一般是由病毒攻擊導(dǎo)致的。如果出現(xiàn)無人照看的安全漏洞系統(tǒng)進(jìn)一步發(fā)展，就會造成整個服務(wù)器癱瘓的嚴(yán)重問題。提升數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)的安全性，技術(shù)人員應(yīng)該定期對計算機病毒進(jìn)行查殺，防止非自體的不良數(shù)據(jù)信息入侵網(wǎng)絡(luò)系統(tǒng)。建立更加安全的計算機網(wǎng)絡(luò)免疫系統(tǒng)，對非自串進(jìn)行準(zhǔn)確識別。在網(wǎng)站服務(wù)器搭建的過程中，針對互聯(lián)網(wǎng)環(huán)境分配的情況不同，使用不同的IP段地址來保證信息傳播的安全，或者使用劃分VLAN的形式，對網(wǎng)站信息碼流開展有效的邏輯隔離。

2數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析及網(wǎng)絡(luò)安全問題探討

2.1運用新的防護(hù)墻技術(shù)，開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)

由于計算機網(wǎng)絡(luò)接入層中涉及到許多的硬件設(shè)備，硬件條件的穩(wěn)定可靠決定了計算機網(wǎng)絡(luò)的可靠程度的高低。可將相鄰的兩個介入交換機進(jìn)行堆砌，同時將終端的服務(wù)器設(shè)備整體介入到連接線路中，再使用捆綁的形勢將諸多的設(shè)備形成一條效率更高、性能更穩(wěn)定的虛擬鏈接。開展數(shù)據(jù)通信網(wǎng)絡(luò)狀態(tài)分析，網(wǎng)絡(luò)工程技術(shù)人員應(yīng)該運用新的防護(hù)墻技術(shù)，開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)。運用轉(zhuǎn)入性防火墻技術(shù)規(guī)則結(jié)構(gòu)，開展網(wǎng)絡(luò)訪問界面的信息過濾探索。并且，每一次登錄后臺系統(tǒng)，必須要采用輸入安全密鑰的方式，才能夠順利進(jìn)入。采用此種登錄方式，重點在于防止閑雜人員進(jìn)入系統(tǒng)的后臺，對網(wǎng)絡(luò)信息的系統(tǒng)安全造成破壞。運用新的防火墻技術(shù)對系統(tǒng)安全進(jìn)行防護(hù)，網(wǎng)絡(luò)工程技術(shù)人員必須要使用安全操作允許的數(shù)據(jù)交換方式，進(jìn)行網(wǎng)絡(luò)后臺系統(tǒng)的層層加固。在轉(zhuǎn)入性防火墻的技術(shù)保護(hù)規(guī)則之下，用戶訪問的時候需要提供本身的端口協(xié)議，采用這種信息過濾技術(shù)，能夠?qū)⒉环弦蟮男畔⑦M(jìn)行過濾。并且，將帶有安全隱患的信息端口自動轉(zhuǎn)到其他的web控制臺進(jìn)行處理。開展網(wǎng)絡(luò)安全系統(tǒng)加固操作，技術(shù)人員需要根據(jù)信息反饋進(jìn)行技術(shù)規(guī)則優(yōu)化。根據(jù)驗證用戶提供的端口協(xié)議進(jìn)行分析，并且建立更加符合操作要求的規(guī)則協(xié)議模塊。為了更好的維護(hù)計算機安全，必須要向廣大的人民群眾普及計算機故障排除和預(yù)防方法。從社會宣傳和預(yù)防的角度來說，首先要制定強有力的計算機內(nèi)部系統(tǒng)的法律法規(guī)，加強大眾計算機常識性教育，通過多層網(wǎng)絡(luò)結(jié)構(gòu)有效地隔離各種故障，簡化網(wǎng)絡(luò)運行性，切實提高鏈接線路的使用效率和網(wǎng)卡介入水平。推行網(wǎng)絡(luò)文明和信息安全，運用新的防護(hù)墻技術(shù)，技術(shù)人員應(yīng)該對網(wǎng)絡(luò)信息安全操作允許的系統(tǒng)記錄和接口進(jìn)行加密，安全操作的訪問權(quán)限應(yīng)該限制在網(wǎng)絡(luò)內(nèi)部人員中使用。

2.2加強網(wǎng)絡(luò)環(huán)境信道測試，及時修復(fù)通信漏洞

采用信道測試的方式，對當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行安全測試，能夠及時地發(fā)現(xiàn)安全系統(tǒng)中的漏洞，根據(jù)網(wǎng)絡(luò)系統(tǒng)中的安全隱患進(jìn)行修復(fù)，從而顯著增強內(nèi)部網(wǎng)絡(luò)的安全性。在網(wǎng)絡(luò)性能測試活動中，技術(shù)人員應(yīng)該采用數(shù)據(jù)電路測試的方式，在DTE的兩端接口處，進(jìn)行信道測試。使用調(diào)制解調(diào)器進(jìn)行規(guī)程測試，能夠顯著提升信道測試的有效性，從而有效排除數(shù)據(jù)電路測試中的信號干擾因素。內(nèi)部系統(tǒng)盤盡量不要與外部信息端口隨意接入，在網(wǎng)絡(luò)運營中必須要進(jìn)行科學(xué)的網(wǎng)絡(luò)系統(tǒng)管理，如果確實需要進(jìn)行外部端口接入時，一定要對其進(jìn)行信息保障化處理。從網(wǎng)絡(luò)安全防護(hù)體系建設(shè)出發(fā)，顯著提升網(wǎng)絡(luò)系統(tǒng)的安全性。對ACL訪問方式進(jìn)行控制，采用信息過濾的方式，對于不信任的訪問進(jìn)行攔截，從而有效防范DOS攻擊。使用IPSEC-VPN組網(wǎng)方式，對數(shù)據(jù)通訊系統(tǒng)的安全性進(jìn)行加固，從而提升數(shù)據(jù)通訊系統(tǒng)的數(shù)據(jù)處理能力。將NAT地址進(jìn)行隱藏，從而減少黑客攻擊的命中率。采用一系列的軟件升級新技術(shù)，對網(wǎng)絡(luò)環(huán)境安全進(jìn)行深度保障性建設(shè)。

2.3重點防范木馬攻擊，建立嚴(yán)格的網(wǎng)路安全檢查制度

為了提升數(shù)據(jù)通信的工作效率，維護(hù)網(wǎng)絡(luò)整體安全，技術(shù)人員應(yīng)該對WEB安全進(jìn)行防護(hù)，重點防范可能存在的木馬攻擊。對于不明來歷的儲存卡和USB設(shè)備，應(yīng)該禁止將其接入到內(nèi)部網(wǎng)絡(luò)中，防止出現(xiàn)數(shù)據(jù)系統(tǒng)感染問題。加強對于WEB系統(tǒng)的安全防范，經(jīng)常性地檢查內(nèi)部窗口是否處于正常的運轉(zhuǎn)狀態(tài)，防止網(wǎng)頁被惡意篡改。通常多層網(wǎng)絡(luò)結(jié)構(gòu)中包括計算機的接入層、操作室的核心層和內(nèi)部信息的分布層，從計算機網(wǎng)絡(luò)系統(tǒng)的管理方面來看，為了提高網(wǎng)絡(luò)的可靠性，必須要對終端接入的可靠性進(jìn)行穩(wěn)定。加強設(shè)備自身安全性建設(shè)，對系統(tǒng)進(jìn)行定期的檢查，對于網(wǎng)絡(luò)系統(tǒng)的脆弱部分進(jìn)行定期的優(yōu)化與升級處理。建立能夠抵抗DOS和DDOS攻擊的數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)。核心設(shè)備的訪問方面，應(yīng)該采用管理員SSL加密登錄的方式，實現(xiàn)業(yè)務(wù)與管理界面分離。并且登錄密碼應(yīng)該采用防破解設(shè)計方式，采用固定密碼配合動態(tài)密碼的方式，提升密碼系統(tǒng)的安全性。

3結(jié)束語

為了適應(yīng)經(jīng)濟社會發(fā)展和辦公環(huán)境的需要，必須要采取合理有效的措施提高計算機網(wǎng)絡(luò)的可靠性.可以通過提高計算機網(wǎng)絡(luò)的可靠性，注重計算機系統(tǒng)軟件升級，運用新的安全防護(hù)方式，實現(xiàn)網(wǎng)絡(luò)通信模式的升級。

參考文獻(xiàn)

[1]郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問題的探討[J].科技資訊,2011(26):9-9,11.

[2]石加歆.對通信網(wǎng)絡(luò)維護(hù)以及網(wǎng)絡(luò)的安全之我見[J].城市建設(shè)理論研究（電子版）,2012(02).

篇3

1消防部隊計算機網(wǎng)絡(luò)的安全隱患

（1）人為因素方面存在的安全隱患

計算機網(wǎng)絡(luò)技術(shù)的普及應(yīng)用給官兵日常工作帶來了極大的方便，只要用一臺電腦就可以進(jìn)行日常辦公。然而，消防部隊官兵網(wǎng)絡(luò)安全意識淡薄，缺乏安全知識，或打開網(wǎng)頁瀏覽網(wǎng)絡(luò)信息后不能及時關(guān)閉網(wǎng)頁，導(dǎo)致重要信息泄露；或數(shù)字證書使用后不能及時從電腦上取下，埋下安全隱患；或使用U盤、移動硬盤等移動數(shù)碼存儲介質(zhì)時沒有進(jìn)行殺毒處理，極易導(dǎo)致系統(tǒng)感染病毒或造成系統(tǒng)信息泄露；或不注意對殺毒軟件進(jìn)行更新、升級，無法保證殺毒軟件的監(jiān)控功能和查殺功能。另外，消防部隊官兵大部分不屬于計算機專業(yè)，接觸計算機網(wǎng)絡(luò)項目少，缺乏網(wǎng)絡(luò)安全維護(hù)知識，對網(wǎng)絡(luò)安全防護(hù)操作不了解，在系統(tǒng)應(yīng)用過程中容易出現(xiàn)一機兩用、信息泄密、感染病毒等現(xiàn)象。消防部隊官兵網(wǎng)絡(luò)系統(tǒng)安全意識淡薄、安全防護(hù)知識缺乏為消防部隊的網(wǎng)絡(luò)系統(tǒng)埋下了極大的安全隱患。

（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)以及技術(shù)方面存在的安全隱患

由于受投入資金的限制，消防部分的網(wǎng)絡(luò)信息化建設(shè)明顯不完善，尤其是調(diào)度指揮網(wǎng)的建設(shè)以及各種專用網(wǎng)的建設(shè)均無法滿足現(xiàn)實需求，即沒有做到專網(wǎng)專機專用，在網(wǎng)絡(luò)安全隔離方面也沒有設(shè)置網(wǎng)閘、硬件防火墻等安全防護(hù)設(shè)施，而且僅僅采用雙網(wǎng)卡接入方式實現(xiàn)部分網(wǎng)絡(luò)的接入，使網(wǎng)絡(luò)系統(tǒng)的安全性得不到保障。另外，部分網(wǎng)絡(luò)為了調(diào)試方便，幾乎在電腦硬件上不設(shè)置任何防護(hù)措施，使電腦端口呈開發(fā)狀態(tài)，這樣極易給一些不法人員以可乘之機嗎，對系統(tǒng)實施惡意攻擊，最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。在網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用方面，在安全防護(hù)技術(shù)方面的投入不足，殺毒軟件等安全防護(hù)軟件不能及時更新、升級，系統(tǒng)漏洞較多，容易受到攻擊及病毒感染，甚至造成不同網(wǎng)絡(luò)的病毒交叉感染，最終系統(tǒng)癱瘓。

（3）數(shù)據(jù)存儲存方面存在的安全隱患

隨著系統(tǒng)數(shù)量的不斷增加，數(shù)據(jù)的存儲問題越來越突出，如何保證數(shù)據(jù)的完整性、安全性使目前要解決的重要問題。導(dǎo)致系統(tǒng)數(shù)據(jù)丟失的因素有很多，網(wǎng)絡(luò)硬件故障、系統(tǒng)管理不善或者自然災(zāi)害等情況均可以導(dǎo)致數(shù)據(jù)丟失。消防部隊網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)存儲存在的安全風(fēng)險主要體現(xiàn)在以下幾個方面：①操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全防護(hù)能力不高，當(dāng)系統(tǒng)造成惡意攻擊時可導(dǎo)致系統(tǒng)崩潰，進(jìn)而造成數(shù)據(jù)丟失；②系統(tǒng)的硬件由于兼容性的限制而無法實現(xiàn)數(shù)據(jù)的有效備份，一旦計算機硬盤發(fā)生故障即可導(dǎo)致存儲數(shù)據(jù)丟失；③系統(tǒng)數(shù)據(jù)缺乏完善的保密機制，導(dǎo)致數(shù)據(jù)泄露現(xiàn)象頻發(fā)。

2消防部隊計算機網(wǎng)絡(luò)安全隱患的應(yīng)對策略

2.1加強硬件防護(hù)

硬件是實現(xiàn)信息化建設(shè)的基礎(chǔ)設(shè)施，是解決網(wǎng)絡(luò)安全問題的關(guān)鍵所在。首先要加強機房建設(shè)，健全機房設(shè)備，建立高效的、適用的供電系統(tǒng)、UPS系統(tǒng)、防雷系統(tǒng)等，機房交換機設(shè)備、路由器設(shè)備要保證具有較好的穩(wěn)定性性和較高的運行速度，以確保網(wǎng)絡(luò)通信暢通。機房服務(wù)器的運行指標(biāo)要滿足一定要求，保證服務(wù)器穩(wěn)定、高效運行。網(wǎng)閘、硬件防火墻的等設(shè)備要符合公安要求，以便實現(xiàn)不同網(wǎng)絡(luò)之間的對接，這對保證網(wǎng)絡(luò)的安全運行非常重要。另外，在數(shù)據(jù)存儲方面，一定要加強移動存儲介質(zhì)應(yīng)用的管理，移動存儲介質(zhì)在對接公安網(wǎng)時要進(jìn)行殺毒，存儲介質(zhì)在確定不含機密文件的情況下才能插入如聯(lián)網(wǎng)。網(wǎng)絡(luò)建設(shè)中各種硬件設(shè)備一旦發(fā)生故障要及時維修或者更換。

2.2加強軟件防護(hù)

消防部隊的網(wǎng)絡(luò)建設(shè)需要安裝正版的系統(tǒng)軟件，一方面保證系統(tǒng)的性能，另一方面保證系統(tǒng)的安全。在數(shù)據(jù)庫的管理和應(yīng)用中，需要由專業(yè)的計算機網(wǎng)絡(luò)管理人員進(jìn)行數(shù)據(jù)庫操作，在設(shè)計數(shù)據(jù)庫的過程中要考慮到各數(shù)據(jù)之間的關(guān)系，并正確配置，對數(shù)據(jù)庫的用戶數(shù)量進(jìn)行一定限制，明確不同用戶的職責(zé)范圍和使用權(quán)限，對于一些機密數(shù)據(jù)要進(jìn)行加密處理。為了保證數(shù)據(jù)的完整性和有效性，要做好數(shù)據(jù)庫數(shù)據(jù)備份工作，制定完善的數(shù)據(jù)備份策略。嚴(yán)格遵守軟件的開發(fā)要求，有必要時需要關(guān)閉影響網(wǎng)絡(luò)安全的服務(wù)，以確保系統(tǒng)的安全運行。加強網(wǎng)絡(luò)安全技術(shù)應(yīng)用，安裝殺毒軟件，設(shè)置防火墻，定期檢查和修復(fù)系統(tǒng)漏洞，同時注意對殺毒軟件的更新。目前應(yīng)用較廣泛的計算機網(wǎng)絡(luò)安全防范技術(shù)有加密技術(shù)、防火墻、病毒防護(hù)技術(shù)、入侵檢測技術(shù)等。①加密技術(shù)是進(jìn)行網(wǎng)絡(luò)安全防護(hù)的核心技術(shù)，經(jīng)過多樣的研究和開發(fā)，現(xiàn)代加密技術(shù)基本已經(jīng)實現(xiàn)了數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)真實性以及數(shù)據(jù)可控性的完美結(jié)合，在當(dāng)前的網(wǎng)絡(luò)信息安全管理中發(fā)揮著重要作用。②防火墻是阻擋網(wǎng)絡(luò)外部風(fēng)險的重要措施，是一種用于加強網(wǎng)絡(luò)之間安全訪問控制，阻止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，是一種非常有效的安全策略。根據(jù)所采用技術(shù)的不同，防火墻可分為多個類型，包括過濾性防火墻、型防火墻、監(jiān)測型防火墻等等。③病毒是網(wǎng)絡(luò)安全的最大隱患之一，采用有效的防病毒技術(shù)可以防止病毒對計算機系統(tǒng)造成破壞。當(dāng)前的防病毒技術(shù)主要有病毒預(yù)防技術(shù)、病毒檢測技術(shù)以及病毒消除技術(shù)等。

2.3加強管理

（1）建立健全的網(wǎng)絡(luò)安全防范機制

其一，制定物理隔離相關(guān)規(guī)定，并加強執(zhí)行力度，以消除一機兩用的現(xiàn)象；其二，規(guī)范網(wǎng)絡(luò)安全管理和維護(hù)，局域網(wǎng)內(nèi)需安裝網(wǎng)絡(luò)版防病毒軟件以及其他安全防護(hù)軟件，并進(jìn)行及時更新、升級，以便最大程度消除安全隱患。其三，針對網(wǎng)絡(luò)病毒制定有效的應(yīng)急預(yù)案，以應(yīng)對大規(guī)模的病毒發(fā)作，提高系統(tǒng)運行性能和應(yīng)急能力。

（2）對主機本身進(jìn)行安全加固

服務(wù)器是網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵部分，一定因為服務(wù)器問題引發(fā)安全問題或者導(dǎo)致系統(tǒng)癱瘓將會造成不可估量的損傷，所以網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)必須要重視對服務(wù)器的管理，對重點服務(wù)器進(jìn)行安全加固。服務(wù)器加固的方法有多種，常見的有增打補丁、或利用安全掃描技術(shù)對系統(tǒng)服務(wù)器進(jìn)行掃描分析，以便找出系統(tǒng)中潛在的安全隱患，并及時消除。另外，對重要的、安全級別較高的系統(tǒng)建立應(yīng)急預(yù)案，同時建立數(shù)據(jù)安全策略。

（3）制定詳細(xì)的管理措施

為了進(jìn)一步加強安全管理，消防部隊?wèi)?yīng)根據(jù)實際需求制定比較詳細(xì)的管理細(xì)節(jié)，同時對計算機系統(tǒng)進(jìn)行安全風(fēng)險評估，通過對系統(tǒng)的定期分析了解系統(tǒng)各個層次的安全狀況以及潛在的風(fēng)險，信息安全評估內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、軟件安全、數(shù)據(jù)安全、應(yīng)用安全、管理安全等等多個方面，其中尤其要重視軟件的安全，詳細(xì)分析各種安全要素，以保證系統(tǒng)軟件的安全應(yīng)用。

（4）制定完善的訪問控制策略

有效的控制訪問策略是提高系統(tǒng)安全抵抗能力，缺乏系統(tǒng)數(shù)據(jù)安全性的重要手段。網(wǎng)絡(luò)系統(tǒng)的安全控制管理一方面要建立認(rèn)證系統(tǒng)，為確保系統(tǒng)數(shù)據(jù)信息的安全性必須要加強訪問權(quán)限管理。另一方面可以充分應(yīng)用IP限制技術(shù)、或者與MAC綁定技術(shù)加強系統(tǒng)訪問控制管理。

（5）提高全員的安全意識，加強安全知識學(xué)習(xí)

隨著網(wǎng)絡(luò)系統(tǒng)的普及應(yīng)用，提高安全意識是保證網(wǎng)絡(luò)系統(tǒng)安全性的關(guān)鍵所在。其一，必須要從思想上認(rèn)識到網(wǎng)絡(luò)安全防護(hù)的重要性，杜絕使用未經(jīng)殺毒處理、或者其他來歷不明的軟件，不隨便查看、閱讀、下載網(wǎng)絡(luò)上來歷不明的郵件或者文件；其二，用戶應(yīng)增強安全防護(hù)意識，對計算機系統(tǒng)要設(shè)置密碼，不使用影響系統(tǒng)完全的服務(wù)，取消完全共享，并定期對系統(tǒng)和相關(guān)軟件進(jìn)行殺毒，增打補丁。其三，對全體官兵進(jìn)行網(wǎng)絡(luò)安全知識教育和普及，并落實網(wǎng)絡(luò)安全責(zé)任，培養(yǎng)高素質(zhì)的計算機網(wǎng)絡(luò)安全維護(hù)人才。

3結(jié)論

網(wǎng)絡(luò)安全防護(hù)是一個比較復(fù)雜的、需要長期堅持的任務(wù)，隨著計算機技術(shù)的快速發(fā)展，計算機病毒、網(wǎng)絡(luò)攻擊等威脅系統(tǒng)安全的技術(shù)也不斷升級、更新，讓人防不慎防范。在網(wǎng)絡(luò)安全問題逐漸多樣化、復(fù)雜化的趨勢性，網(wǎng)絡(luò)安全防護(hù)也需要從多方面加強防護(hù)措施，建立多層次的、立體的防護(hù)體系，全方位維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

作者：李哲強 單位：呼倫貝爾市公安消防支隊司令部

引用：

[1]唐鎮(zhèn).基層消防部隊網(wǎng)絡(luò)和信息安全問題及管理對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[2]郭浩.當(dāng)前消防部隊網(wǎng)絡(luò)信息安全問題及措施分析[J].信息安全與技術(shù)，2013.

篇4

中圖分類號：TP319.3 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 22-0000-01

"Computer Network Security" Teaching Study

Jiang Cui,Cheng Shoumian

(Xianning Vocational Technical College,Xianning 437100,China)

Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.

Keywords:Network Security;Network technology

前言：通過計算機網(wǎng)絡(luò)，人們可以非常方便地存儲、交換以及搜索信息，在工作、生活以及娛樂中享受極大的便利。然而，人們在享受計算機網(wǎng)絡(luò)所帶來的巨大便利的同時，也受到計算機網(wǎng)絡(luò)本身所暴露出的各種安全問題的困擾。這些安全問題給人類社會所依賴的“網(wǎng)絡(luò)社會”蒙上了陰影。計算機網(wǎng)絡(luò)安全問題已成為一個世界性的現(xiàn)實問題?？梢哉f沒有網(wǎng)絡(luò)安全，就沒有完全意義上的國家安全，也沒有真正的政治安全、軍事安全和經(jīng)濟安全。因此，加速計算機網(wǎng)絡(luò)安全的研究和發(fā)展，增強計算機網(wǎng)絡(luò)的安全保障能力，提高全民的網(wǎng)絡(luò)安全意識，加速培養(yǎng)網(wǎng)絡(luò)安全專門人才已成為我國網(wǎng)絡(luò)化合信息化發(fā)展的當(dāng)務(wù)之急?！队嬎銠C網(wǎng)絡(luò)安全》課程在課程體系中占有重要的地位，《計算機網(wǎng)絡(luò)安全》課程的教學(xué)不容忽視，《計算機網(wǎng)絡(luò)安全》課程的教學(xué)研究探討有重要的意義。

一、《計算機網(wǎng)絡(luò)安全》在網(wǎng)絡(luò)專業(yè)課程體系中的地位

先行課程：《計算機網(wǎng)絡(luò)基礎(chǔ)》、《網(wǎng)站建設(shè)》、《網(wǎng)絡(luò)數(shù)據(jù)庫》和《網(wǎng)絡(luò)設(shè)備與互聯(lián)》；并行課程：《網(wǎng)絡(luò)管理》；后繼課程：《網(wǎng)絡(luò)攻擊與防御》、《數(shù)據(jù)備份與災(zāi)難恢復(fù)技術(shù)》和《網(wǎng)絡(luò)安全與電子商務(wù)》。

《計算機網(wǎng)絡(luò)安全》這門課程在網(wǎng)絡(luò)專業(yè)體系結(jié)構(gòu)中位于網(wǎng)絡(luò)安全領(lǐng)域課程的首位。是網(wǎng)絡(luò)安全方向?qū)W習(xí)必不可少的課程。它依據(jù)《計算機網(wǎng)絡(luò)基礎(chǔ)》課程，系統(tǒng)的講解了網(wǎng)絡(luò)技術(shù)相關(guān)的基本原理和網(wǎng)絡(luò)應(yīng)用技術(shù)，使學(xué)生掌握了網(wǎng)絡(luò)的理論基礎(chǔ)知識和網(wǎng)絡(luò)應(yīng)用技術(shù)；《網(wǎng)絡(luò)數(shù)據(jù)庫》全面地介紹了數(shù)據(jù)庫基礎(chǔ)、SQL Server的安全性管理、SQL Server2005數(shù)據(jù)庫系統(tǒng)管理、開發(fā)和應(yīng)用的相關(guān)原理、方法和技術(shù)；《網(wǎng)站建設(shè)》系統(tǒng)地介紹了網(wǎng)站規(guī)劃建設(shè)與管理維護(hù)的知識和技術(shù)，訓(xùn)練了學(xué)生網(wǎng)站建設(shè)和規(guī)劃及維護(hù)的能力；《網(wǎng)絡(luò)設(shè)備與互聯(lián)》詳細(xì)介紹了構(gòu)建園區(qū)網(wǎng)所涉及的交換、路由、安全等方面的知識，以及將園區(qū)網(wǎng)接入到互聯(lián)網(wǎng)的相關(guān)技術(shù)。這些課程為網(wǎng)絡(luò)安全課程的學(xué)習(xí)奠定了良好的基礎(chǔ)，為網(wǎng)絡(luò)安全問題的解決提供了必要條件。

《計算機網(wǎng)絡(luò)安全》是培養(yǎng)網(wǎng)絡(luò)管理員，成就網(wǎng)絡(luò)工程師課程體系中一個重要的組成部分。它屬于“組網(wǎng)、用網(wǎng)、管網(wǎng)”中的“管網(wǎng)”部分。主要針對計算機網(wǎng)絡(luò)的管理和網(wǎng)絡(luò)應(yīng)用專業(yè)崗位而設(shè)置。

二、《計算機網(wǎng)絡(luò)安全》課程的培養(yǎng)目標(biāo)

作為《計算機網(wǎng)絡(luò)安全》課程設(shè)置的主要內(nèi)容有：網(wǎng)絡(luò)故障安全應(yīng)急處理，黑客攻擊造成的網(wǎng)絡(luò)安全異常及診斷分析，病毒造成的主機網(wǎng)絡(luò)異常診斷和分析，無線網(wǎng)絡(luò)系統(tǒng)加固技術(shù)，網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署，加密、解密技術(shù)及其應(yīng)用，主機操作系統(tǒng)和應(yīng)用服務(wù)器系統(tǒng)安全加固，故障后的數(shù)據(jù)恢復(fù)技術(shù)。對我們高職學(xué)生學(xué)習(xí)該課程，對應(yīng)的職業(yè)崗位，主要是針對初級并界于中級的網(wǎng)絡(luò)管理員以及為網(wǎng)絡(luò)工程師職業(yè)打下堅實基礎(chǔ)。要想成為中高級網(wǎng)絡(luò)管理員必須經(jīng)過后續(xù)課程的不斷努力學(xué)習(xí)。

（一）職業(yè)所需的專業(yè)能力。（1）熟悉常見計算機病毒的現(xiàn)象特征，掌握其清除和防范技術(shù)，能清除常見計算機病毒，（2）熟悉操作系統(tǒng)的安全設(shè)置，能有效的保護(hù)所管理的計算機安全可靠運行，（3）掌握防火墻的原理及功能特性，掌握防火墻的配置技術(shù)，能保證園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備可靠工作，（4）了解黑客的入侵過程，掌握防范黑客攻擊的一般措施，能防范一般的黑客攻擊，（5）掌握數(shù)據(jù)備份和恢復(fù)技術(shù)，能應(yīng)對數(shù)據(jù)的急救處理。

（二）職業(yè)所需的通用能力。（1）網(wǎng)絡(luò)安全的法律和法規(guī)意識。掌握我國制訂的相關(guān)網(wǎng)絡(luò)安全法規(guī)和法律知識，了解我國網(wǎng)絡(luò)安全的發(fā)展趨勢。（2）團(tuán)隊協(xié)作精神。網(wǎng)絡(luò)安全是一個龐大而復(fù)雜的領(lǐng)域，需要團(tuán)隊的分工合作。（3）養(yǎng)成自學(xué)習(xí)慣。網(wǎng)絡(luò)安全領(lǐng)域知識變化日新月異，需要不但學(xué)習(xí)，要培養(yǎng)“活到老，學(xué)到老”的自學(xué)習(xí)慣。（4）與人溝通意識。

三、《計算機網(wǎng)絡(luò)安全》課程教學(xué)手段

“以職業(yè)活動為導(dǎo)向，以工作過程為導(dǎo)向”，本課程內(nèi)容組織與安排遵循學(xué)生職業(yè)能力培養(yǎng)的基本規(guī)律，圍繞職業(yè)能力目標(biāo)的實現(xiàn)來展開。教學(xué)手段：虛擬、真實環(huán)境相結(jié)合。以學(xué)校的實訓(xùn)室為研究對象，按照項目實訓(xùn)步驟進(jìn)行教學(xué)。教師在虛擬（計算機網(wǎng)絡(luò)安全攻防實訓(xùn)系統(tǒng)，如泰谷網(wǎng)絡(luò)攻防實驗系統(tǒng)）和真實（計算機網(wǎng)絡(luò)安全實訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作演示；學(xué)生在虛擬（計算機網(wǎng)絡(luò)安全攻防實訓(xùn)系統(tǒng)）和真實（計算機網(wǎng)絡(luò)安全實訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作練習(xí)；在實訓(xùn)室中，學(xué)生按分組用真實的網(wǎng)絡(luò)軟硬件進(jìn)行網(wǎng)絡(luò)攻防訓(xùn)練。并輔以課外學(xué)習(xí)，學(xué)習(xí)網(wǎng)站有：黑客基地（），黑客防線（.cn），中國黑客聯(lián)盟（），中國黑客入侵組（），安全焦點（）。然后輸送學(xué)生到附近的校外實訓(xùn)基地真實的環(huán)境中學(xué)習(xí)鍛煉，直接掌握職業(yè)崗位的需求知識和技能。

參考文獻(xiàn)：

[1]辜川毅,主編.計算機網(wǎng)絡(luò)安全技術(shù)[M].機械工業(yè)出版社,2009

篇5

中圖分類號：TP393.08

1 安全管理體系結(jié)構(gòu)及功能

1.1 安全管理體系結(jié)構(gòu)

網(wǎng)絡(luò)安全是企業(yè)安全有效運行的保障，安全管理體系主要包括安全策略、安全運作、安全管理等。安全策略管理是企業(yè)網(wǎng)絡(luò)安全運行的體系基礎(chǔ)，有利于項目建設(shè)規(guī)范化管理和運行和安全工作的開展。安全基礎(chǔ)設(shè)施系統(tǒng)主要有訪問控制、桌面管理、認(rèn)證管理、防垃圾系統(tǒng)、服務(wù)器監(jiān)控與日志統(tǒng)一管理系統(tǒng)、漏洞掃描系統(tǒng)、服務(wù)器加固系統(tǒng)等。萊鋼計算機網(wǎng)絡(luò)整體架構(gòu)圖如圖1所示。

1.2 安全管理系統(tǒng)功能

安全管理系統(tǒng)的功能將所管轄的IP計算機信息根據(jù)分類登記，有利于其他安全管理模塊進(jìn)行數(shù)據(jù)連接和信息共享，并配備服務(wù)器和交換機加固工具，及時掌握網(wǎng)絡(luò)中各個系統(tǒng)的最新安全風(fēng)險動態(tài)，并及時的對服務(wù)器文件、進(jìn)程、注冊表等進(jìn)行保護(hù)。安全監(jiān)控系統(tǒng)是監(jiān)控全網(wǎng)事件報警信息，對當(dāng)前事件進(jìn)行安全監(jiān)督和實時監(jiān)控，有利于企業(yè)網(wǎng)絡(luò)安全運行和業(yè)務(wù)系統(tǒng)的安全性，監(jiān)控的產(chǎn)品主要包括網(wǎng)絡(luò)中的設(shè)備、日志相關(guān)信息、相關(guān)事件的報警信息等。

2 網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計與實施

2.1 身份認(rèn)證系統(tǒng)設(shè)計分析

網(wǎng)絡(luò)安全運維管理中心設(shè)置在信息中心，擔(dān)負(fù)全網(wǎng)桌面安全管理，通過制定相關(guān)策略、委派安全角色，對全網(wǎng)數(shù)據(jù)進(jìn)行統(tǒng)計分析和安全管理，并通過一系列的安全運行策略建立安全身份認(rèn)證體系。萊鋼統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)圖如圖2所示。

RSA SeucrID由認(rèn)證服務(wù)器RSA ACE/Server、軟件RSA ACE/Agent、認(rèn)證設(shè)備以及認(rèn)證應(yīng)用編程接口（API）組成。RSA ACE/Server軟件是網(wǎng)絡(luò)中的認(rèn)證引擎，由安全管理員或網(wǎng)絡(luò)管理員進(jìn)行維護(hù)。

2.2 計算機資產(chǎn)安全管理系統(tǒng)

計算機資產(chǎn)安全管理為萊鋼的高層管理人員提供全網(wǎng)資源的多維度分析報表。信息中心成為萊鋼的IT系統(tǒng)的“安全策略中心”、“安全管理中心”、“數(shù)據(jù)匯聚中心”和“報表總中心”。下設(shè)一級管理中心，分布在各分部，由總中心授權(quán)負(fù)責(zé)對分部人員權(quán)限管理和桌面系統(tǒng)管理，并具體實現(xiàn)對各終端桌面目錄、桌面管理、軟件分發(fā)、系統(tǒng)自動升級管理、信息安全和管理監(jiān)控功能。軟件分發(fā)工具大大提高了萊鋼桌面計算機管理的自動化程度，提高管理效率。自動化的工作流程還可以避免人工操作帶來的風(fēng)險，使萊鋼的桌面計算機上的資產(chǎn)得到更好的保護(hù)。通過軟件分發(fā)機制，從桌面計算機標(biāo)準(zhǔn)化支撐平臺將軟件分發(fā)到指定的桌面計算機和支撐平臺內(nèi)部指定的服務(wù)器，消除對桌面計算機和服務(wù)器的訪問等人為因素導(dǎo)致的錯誤。及時安裝操作系統(tǒng)更新補丁，避免成為黑客和病毒的攻擊對象。及時安裝應(yīng)用程序的補丁，減少安全隱患，增加應(yīng)用程序穩(wěn)定性和功能。對服務(wù)器系統(tǒng)的補丁需要經(jīng)過評估對現(xiàn)有系統(tǒng)的影響，避免出現(xiàn)業(yè)務(wù)系統(tǒng)故障。服務(wù)器系統(tǒng)的補丁需要利用自動檢測技術(shù)，通過人工的評估，再實現(xiàn)自動分發(fā)和手工安裝。

2.3 EAD端點準(zhǔn)入防御體系

EAD安全準(zhǔn)入主要是通過身份認(rèn)證和安全策略檢查的方式，對未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。

2.4 網(wǎng)絡(luò)安全模型的設(shè)計

從網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全的角度出發(fā)，設(shè)計歸納萊鋼網(wǎng)絡(luò)系統(tǒng)安全模型，主要包括：（1）網(wǎng)絡(luò)架構(gòu)防護(hù)：采用網(wǎng)絡(luò)邊界防毒、統(tǒng)一身份認(rèn)證技術(shù)和針對于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)器的漏洞掃描技術(shù)；（2）應(yīng)用系統(tǒng)風(fēng)險防護(hù)：采用的主要技術(shù)包括防病毒技術(shù)、服務(wù)器系統(tǒng)加固技術(shù)、計算機資產(chǎn)安全管理技術(shù)、補丁管理技術(shù)、主頁防篡改技術(shù)、防垃圾郵件技術(shù)、災(zāi)難備份恢復(fù)技術(shù)及統(tǒng)一日志管理技術(shù)；（3）安全管理體系建立：通過對安全策略進(jìn)行有效的和貫徹執(zhí)行，可以規(guī)范項目建設(shè)、運行維護(hù)相關(guān)的安全內(nèi)容，指導(dǎo)各種安全工作的開展和流程，確保IP網(wǎng)的安全；（4）集中管理、整合監(jiān)控：對計算機系統(tǒng)進(jìn)行綜合集中管理，對日常的系統(tǒng)、網(wǎng)絡(luò)、資產(chǎn)以及安全等日常運行能夠擁有較為統(tǒng)一的管理入口，對系統(tǒng)網(wǎng)絡(luò)可用性、資產(chǎn)有效性、安全防范諸多管理功能的組件進(jìn)行事件級的整合、分析和響應(yīng)。

3 結(jié)束語

互聯(lián)網(wǎng)已經(jīng)深度滲透到各個領(lǐng)域，成為事關(guān)國家安全的基礎(chǔ)設(shè)施和斗爭，網(wǎng)絡(luò)安全是保證各種應(yīng)用系統(tǒng)數(shù)據(jù)安全的重要基礎(chǔ)，必須加強和采取有效的預(yù)防措施，掌握網(wǎng)絡(luò)資源狀況及實用信息，可提高網(wǎng)絡(luò)管理的效率。

參考文獻(xiàn)：

[1]溫貴江.基于數(shù)據(jù)包過濾技術(shù)的個人防火墻系統(tǒng)設(shè)計與研究[D].吉林大學(xué)，2010.

篇6

1基本情況

中國建材集團(tuán)核心機房按照國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò)核心交換機構(gòu)成雙機熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個區(qū)域。機房內(nèi)，各區(qū)域之間部署防火墻進(jìn)行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對來自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測系統(tǒng)，核心交換機上部署網(wǎng)絡(luò)審計系統(tǒng)以及審計服務(wù)器，對網(wǎng)絡(luò)行為進(jìn)行審計，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險，強化內(nèi)網(wǎng)安全率。門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機分散部署的非信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息安全等級保護(hù)二級進(jìn)行定級，重點信息系統(tǒng)達(dá)到國家信息安全等級保護(hù)三級管理標(biāo)準(zhǔn)，核心機房內(nèi)獨立運行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護(hù)要求。同時定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

2技術(shù)體系架構(gòu)

中國建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》設(shè)計、采購和部署符合等級保護(hù)基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機之間為獨立線路連接，數(shù)據(jù)處理系統(tǒng)以單機模式部署，同時按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。物理安全。核心機房依據(jù)國家標(biāo)準(zhǔn)GB50173－93《電子計算機機房設(shè)計規(guī)范》、GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個方面進(jìn)行詳細(xì)設(shè)計，嚴(yán)格按照計算機等各種微機電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動、防漏、防火、防雷和接地等要求建設(shè)，以此保證計算機信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實時監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò)的惡意攻擊行為，同時以滿足國家等級保護(hù)二級標(biāo)準(zhǔn)要求，通過人工加固的方式對網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術(shù)要求。主機安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動主機安全防護(hù)，同時根據(jù)國家信息安全等級保護(hù)二級標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達(dá)到了強制訪問控制（MAC)，對服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機安全防護(hù)。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計功能，對設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進(jìn)行審計。核心交換機上部署網(wǎng)絡(luò)審計系統(tǒng)和審計服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時應(yīng)用服務(wù)器不開放遠(yuǎn)程協(xié)議端口號。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強口令字的使用，并定期給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置和升級。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

篇7

我國高速公路近幾年來建設(shè)里程越來越遠(yuǎn)，而且隨著互聯(lián)網(wǎng)的迅速發(fā)展，高速公路進(jìn)入了全國聯(lián)網(wǎng)、信息交互的時代。一方面，這有助于高速公路網(wǎng)絡(luò)信息的共享和傳播。但另一方面，高速公路全面聯(lián)網(wǎng)也對網(wǎng)絡(luò)安全提出了新的要求。一旦網(wǎng)絡(luò)被別有用心的人攻擊，輕則導(dǎo)致信息泄露，重則有可能引起大的交通事故。

一、高速公路網(wǎng)絡(luò)信息安全分析

針對目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學(xué)者都提出自己的觀點和看法，例如：北京交科公路勘察設(shè)計研究院盛剛談到網(wǎng)絡(luò)安全問題時指出：一方面，不管是在設(shè)計還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識，忽視培養(yǎng)技術(shù)人員，技術(shù)儲備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對高速收費、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運營單位的認(rèn)識和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴(yán)格按照國際相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行，提出的技術(shù)不具備針對性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴(yán)重，已成為當(dāng)前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學(xué)者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運維體系、管理體系和標(biāo)準(zhǔn)體系。技術(shù)體系主要從主機安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運維體系分為四個部分：風(fēng)險管理安全、安全體系的推廣落實、安全維護(hù)、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標(biāo)，以及在完成這些目標(biāo)的過程中所使用的體系方法；標(biāo)準(zhǔn)體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對各省份出現(xiàn)的安全問題，各自根據(jù)實際情況提出不同的解決方案，例如山西省針對本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運維管理、管理制度安全、安全管理機構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護(hù)系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機系統(tǒng)安全、行為操作安全等各類隱患，針對具體存在的安全問題，對癥下藥，采取實施有效的安全防護(hù)措施。

篇8

隨著電信網(wǎng)絡(luò)的全面IP化，原來互聯(lián)網(wǎng)中才會存在的安全威脅被引入到電信網(wǎng)絡(luò)中，如木馬程序、僵尸程序、拒絕服務(wù)攻擊等。在IP技術(shù)和傳統(tǒng)電信網(wǎng)相融合的過程中，又出現(xiàn)了具有電信網(wǎng)特點的新安全威脅，例如利用IP技術(shù)針對電信網(wǎng)業(yè)務(wù)層面的攻擊。

1.2移動終端的智能化存安全隱患

智能終端的接入方式多種多樣、接入速度越來越寬帶化，使得智能終端與通信網(wǎng)絡(luò)的聯(lián)系更加緊密。智能終端的安全性已嚴(yán)重威脅著電信網(wǎng)絡(luò)和業(yè)務(wù)的安全，隨著運營商全業(yè)務(wù)運營的不斷深入，以前分散的業(yè)務(wù)支撐系統(tǒng)逐步融合集成，但核心網(wǎng)和業(yè)務(wù)網(wǎng)之間的連接通常采用直連的方式，安全防護(hù)措施相對薄弱。在智能終端處理能力不斷提升的今天，如果終端經(jīng)由核心網(wǎng)發(fā)起針對業(yè)務(wù)系統(tǒng)的攻擊，將會帶來巨大的安全威脅。另一方面，智能終端平臺自身也面臨著嚴(yán)峻的安全考驗，其硬件架構(gòu)缺乏完整性驗證機制，導(dǎo)致模塊容易被攻擊篡改，并且模塊之間的接口缺乏對機密性、完整性的保護(hù)，在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計算能力和不斷擴展的網(wǎng)絡(luò)帶寬，終端本身的安全漏洞很可能轉(zhuǎn)化為對運營商網(wǎng)絡(luò)的安全威脅。

1.3安全防護(hù)體系建設(shè)相對滯后

隨著云計算云服務(wù)、移動支付的引入和發(fā)展，給運營商現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)及其安全帶來了不可預(yù)知的風(fēng)險。新興的電信增值業(yè)務(wù)規(guī)模不斷擴大，用戶數(shù)量不斷增加，因此更易受到網(wǎng)絡(luò)的攻擊、黑客的入侵。新技術(shù)新業(yè)務(wù)在帶來營收增長的同時，也帶來了越來越多的安全威脅因素和越來越復(fù)雜的網(wǎng)絡(luò)安全問題，使得運營商對新業(yè)務(wù)安全管控的難度越來越大。面對新技術(shù)新業(yè)務(wù)帶來的風(fēng)險，行業(yè)安全標(biāo)準(zhǔn)的制定相對滯后，現(xiàn)階還不能夠?qū)ν{安全的因素做出一個全面客觀的評估，因此也就談不上制定相應(yīng)的風(fēng)險防范應(yīng)對措施，并且業(yè)界對新領(lǐng)域的安全防護(hù)經(jīng)驗不夠豐富，當(dāng)出現(xiàn)重大威脅網(wǎng)絡(luò)安全事件的時候，對故障的響應(yīng)處理能力還有待商榷。

2電信運營商網(wǎng)絡(luò)安全防護(hù)措施

2.1加強網(wǎng)絡(luò)安全的維護(hù)工作

面對網(wǎng)絡(luò)信息安全存在的挑戰(zhàn)，基礎(chǔ)安全維護(hù)工作是根本，運營商需要做好安全保障和防護(hù)工作，并在實踐中不斷加強和完善。對網(wǎng)絡(luò)中各類系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行加固，定期開展安全防護(hù)檢查，實現(xiàn)現(xiàn)有網(wǎng)絡(luò)安全等級的提升。安全維護(hù)人員在日常工作中也必須按照規(guī)定嚴(yán)格控制網(wǎng)絡(luò)維護(hù)設(shè)備的訪問控制權(quán)限，加強網(wǎng)絡(luò)設(shè)備賬號口令及密碼的管理，提高網(wǎng)絡(luò)安全防護(hù)能力。

2.2加強新興領(lǐng)域的安全建設(shè)

云計算、移動互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的發(fā)展，帶來了復(fù)雜的網(wǎng)絡(luò)信息安全問題，為了加強對新興領(lǐng)域的安全管理，運營商需要從新領(lǐng)域安全策略的制定和安全手段的創(chuàng)新兩方面著手。

2.2.1加強安全策略的制定

應(yīng)對新技術(shù)新業(yè)務(wù)的挑戰(zhàn)，對全網(wǎng)安全需要重新規(guī)劃和管理，建立與之匹配的安全標(biāo)準(zhǔn)、安全策略作為行動指導(dǎo)，并形成對服務(wù)提供商的監(jiān)控監(jiān)管。在新業(yè)務(wù)規(guī)劃時，安全規(guī)劃要保持同步，從業(yè)務(wù)設(shè)計開始就應(yīng)將安全因素植入，盡量早發(fā)現(xiàn)漏洞、彌補漏洞。

2.2.2加強安全手段的創(chuàng)新

新技術(shù)的發(fā)展讓傳統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)和防御機制難以滿足日益復(fù)雜的安全防護(hù)需求，需要有新的安全防御手段與之抗衡。因此集監(jiān)控分析、快速處置為一體的云安全等新的技術(shù)手段就值得我們?nèi)ゲ粩嘌芯?，并進(jìn)行商用部署。

2.3加強安全防護(hù)管理體系的建設(shè)

做好管理體系的建設(shè)，首先需要制定配套的規(guī)章制度。網(wǎng)絡(luò)信息的安全，必須以行之有效的安全規(guī)章制度作保證。需明確安全管理的范圍，確定安全管理的等級，把各項安全維護(hù)工作流程化、標(biāo)準(zhǔn)化，讓安全管理人員和安全維護(hù)人員明確自身的職責(zé)，從而有效地實施安全防護(hù)措施和網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案，提高運營商整體的安全防護(hù)能力。其次需要建立縱向上貫穿全國的安全支撐體系。隨著網(wǎng)絡(luò)的聚合程度越來越高，省份之間的耦合程度越來越密，全國就是一張密不可分的網(wǎng)。因此需建立全國一體化的、統(tǒng)一調(diào)度管理的安全管理支撐體系。當(dāng)出現(xiàn)攻擊時集團(tuán)、省、市三級安全支撐隊伍能聯(lián)動起來，做到應(yīng)對及時有效。

篇9

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術(shù)的迅速發(fā)展，世界各地有競爭力的城市已迎來了數(shù)字向智慧城市邁進(jìn)的大潮。智慧城市建設(shè)注重城市物理基礎(chǔ)設(shè)施與IT基礎(chǔ)設(shè)施之間進(jìn)行完美結(jié)合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應(yīng)速度，促進(jìn)城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展，關(guān)注提高城市經(jīng)濟和社會活動的綜合競爭力，越來越受到中國各個城市領(lǐng)導(dǎo)者的認(rèn)同和肯定。

徐州市在“十二五”伊始，深刻認(rèn)識到智慧徐州建設(shè)在提升綜合競爭力、加快轉(zhuǎn)變經(jīng)濟發(fā)展方式、加強社會建設(shè)與管理，解決發(fā)展深層次問題等方面的重要作用，將“智慧徐州”建設(shè)納入了未來城市發(fā)展的戰(zhàn)略主題，希望通過智慧徐州建設(shè)，以信息資源整合、共享、利用為抓手，健全公共服務(wù)，增進(jìn)民生幸福，科技創(chuàng)新驅(qū)動產(chǎn)業(yè)轉(zhuǎn)型升級，智能手段創(chuàng)新城市管理模式，采約建設(shè)實現(xiàn)信息基礎(chǔ)全面領(lǐng)先，為把我市建設(shè)成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強市最為協(xié)調(diào)的江南名城”提供有力支撐。

網(wǎng)絡(luò)系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，規(guī)劃一張合理的、高效的、安全的網(wǎng)絡(luò)系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運行。

1 網(wǎng)絡(luò)安全建設(shè)

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風(fēng)險也較傳統(tǒng)應(yīng)用高出很多，因此在建設(shè)中安全系統(tǒng)建設(shè)將作為一項重要工作加以實施。網(wǎng)絡(luò)安全建設(shè)應(yīng)包括以下幾方面：

1.1 安全的網(wǎng)絡(luò)結(jié)構(gòu)

安全的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該能夠滿足為了保證主要的網(wǎng)絡(luò)設(shè)備在進(jìn)行業(yè)務(wù)處理時能夠有足夠的冗余空間，來滿足處理高峰業(yè)務(wù)時期帶來的需求；確保網(wǎng)絡(luò)各部分的帶寬能夠滿足高峰業(yè)務(wù)時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務(wù)器之間建立；按照提出需求的業(yè)務(wù)的重要性進(jìn)行排序來指定分配帶寬優(yōu)先級別，如果網(wǎng)絡(luò)發(fā)生擁堵，則優(yōu)先保護(hù)重要的主機；能夠繪制出當(dāng)前網(wǎng)絡(luò)運行情況的拓?fù)浣Y(jié)構(gòu)圖；參考不同部門之間的工作職能和涉及相關(guān)信息的重要程度等因素，來劃分成不同的子網(wǎng)和網(wǎng)段，與此同時在以方便管理和控制的前提下，進(jìn)行地址分配；重要網(wǎng)段部署不能處在網(wǎng)絡(luò)的邊界處而且不能與外部信息系統(tǒng)直接連接，應(yīng)該采取安全的技術(shù)隔離手段將重要網(wǎng)段與其他網(wǎng)段進(jìn)行必要的隔離。

1.2 訪問控制安全

當(dāng)在網(wǎng)絡(luò)邊界對控制設(shè)備進(jìn)行訪問時，能夠啟動訪問控制功能；對實現(xiàn)過濾信息內(nèi)容的功能，并且能對應(yīng)用層的各種網(wǎng)絡(luò)協(xié)議實現(xiàn)命令級的控制；能自動根據(jù)會話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設(shè)為端口級；能夠及時限制網(wǎng)絡(luò)的最大流量數(shù)和網(wǎng)絡(luò)的連接數(shù)量；當(dāng)會話結(jié)束或非活躍狀態(tài)的會話處于一段時間后將終止網(wǎng)絡(luò)的連接；要采取有效的技術(shù)手段防止對重要的網(wǎng)段地址欺騙；能在遵守系統(tǒng)和用戶之間的訪問規(guī)則條件下，來決定用戶對受控系統(tǒng)進(jìn)行資源的訪問是否被允許或拒絕，同時將單個用戶設(shè)置為控制粒度；具有撥號訪問權(quán)限的用戶數(shù)量受到限制。

在關(guān)鍵的位置部署網(wǎng)關(guān)設(shè)備是實現(xiàn)訪問控制安全的最有效途徑，政務(wù)網(wǎng)接入邊界安全網(wǎng)關(guān)：為內(nèi)部區(qū)域提供邊界防護(hù)、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應(yīng)包括能夠?qū)W(wǎng)絡(luò)系統(tǒng)中設(shè)備的用戶行為、網(wǎng)絡(luò)流量、運行狀況等進(jìn)行相關(guān)的記錄；并且能夠分析所記錄的數(shù)據(jù)，生成相關(guān)的報表；為避免審計記錄受到未預(yù)期的修改、覆蓋或刪除等操作，應(yīng)當(dāng)安全保護(hù)審計記錄。通過防火墻可以實現(xiàn)網(wǎng)絡(luò)審計的功能。

網(wǎng)絡(luò)的審計安全主要內(nèi)容有：為能夠有效記錄網(wǎng)絡(luò)設(shè)備、各區(qū)域服務(wù)器系統(tǒng)和安全設(shè)備等這些設(shè)備以及經(jīng)過這些設(shè)備的所有訪問行為，應(yīng)在這些設(shè)備上開啟相應(yīng)的審計功能，由安全管理員定期對日志信息和活動狀態(tài)進(jìn)行分析，并發(fā)現(xiàn)深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的非授權(quán)設(shè)備行為進(jìn)行安全檢查，邊界完整性檢查要求能夠準(zhǔn)確定出其位置，并進(jìn)行有效的阻斷。

實現(xiàn)邊界完整性檢查的相關(guān)技術(shù)：

1）制定嚴(yán)格的檢查策略，將服務(wù)器區(qū)域在網(wǎng)絡(luò)設(shè)備上劃分為具有獨立功能的VLAN，同時禁止除來自網(wǎng)絡(luò)入侵防御系統(tǒng)以外的其他VLAN的訪問；

2）為提升系統(tǒng)自身的安全訪問控制能力，應(yīng)對安全加固服務(wù)器系統(tǒng)采取相應(yīng)措施。

1.5 入侵防范

網(wǎng)絡(luò)的入侵防范應(yīng)能在網(wǎng)絡(luò)邊界處監(jiān)視到木馬后門攻擊、拒絕服務(wù)攻擊、IP碎片攻擊、端口掃描、強力攻擊、網(wǎng)絡(luò)蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當(dāng)攻擊行為被檢測到時，應(yīng)能記錄攻擊的時間、源IP、目的和類型，如果發(fā)生較為嚴(yán)重的入侵事件，應(yīng)及時提供警報信息。通過前置防火墻實現(xiàn)入侵防御的功能。

1.6 惡意代碼防范

在網(wǎng)絡(luò)邊界處檢測和清除惡意代碼，對惡意代碼數(shù)據(jù)庫的升級和系統(tǒng)檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網(wǎng)絡(luò)邊界的安全網(wǎng)關(guān)系統(tǒng)防病毒模塊來檢測和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務(wù)類等一系列惡意代碼進(jìn)行來實現(xiàn)惡意代碼防范的技術(shù)。

1.7 網(wǎng)絡(luò)設(shè)備的安全防護(hù)

網(wǎng)絡(luò)設(shè)備的安全防護(hù)要求能夠限制網(wǎng)絡(luò)設(shè)備管理員的登錄地址；在網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網(wǎng)絡(luò)設(shè)備對同一用戶進(jìn)行身份時鑒別時，應(yīng)當(dāng)選擇幾種組合的鑒別技術(shù)來鑒別，避免只使用一種鑒別技術(shù)；鑒別身份的信息應(yīng)不易被冒用，網(wǎng)絡(luò)口令應(yīng)定期更換而且要有一定的復(fù)雜度，不易破解；當(dāng)?shù)卿浭r，能自動采取限制登錄次數(shù)、結(jié)束會話和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等相應(yīng)措施；當(dāng)網(wǎng)絡(luò)設(shè)備被用戶遠(yuǎn)程管理時，能夠有防止網(wǎng)絡(luò)傳輸過程的鑒別信息被竊聽的相關(guān)措施。

網(wǎng)絡(luò)設(shè)備安全防護(hù)的技術(shù)實現(xiàn)主要是通過提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，根據(jù)前面的網(wǎng)絡(luò)結(jié)構(gòu)分析，系統(tǒng)采用若干臺核心交換機、匯聚交換機和接入交換機，實現(xiàn)各個安全區(qū)域的連接。

對于網(wǎng)絡(luò)設(shè)備，應(yīng)進(jìn)行相應(yīng)的安全加固：

1）將樓層接入交換機的接口安全特性開啟，并將MAC進(jìn)行綁定。

2）關(guān)閉不必要的服務(wù)，包括關(guān)閉CDP、Finger服務(wù)、NTP服務(wù)、BOOTp服務(wù)（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設(shè)置密碼、采用認(rèn)證、采用多用戶分權(quán)管理等。

4）SNMP協(xié)議設(shè)置和日志審計，包括設(shè)置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網(wǎng)絡(luò)安全防護(hù)

邊界防護(hù)：在智慧徐州信息資源樞紐工程的邊界設(shè)立一定的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網(wǎng)絡(luò)之間，智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護(hù)技術(shù)主要采用交換機接入、前置防火墻及網(wǎng)閘。

區(qū)域防護(hù)：比邊界防護(hù)更小的范圍是區(qū)域防護(hù)，指在一個區(qū)域設(shè)立的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡(luò)，智慧徐州信息資源樞紐工程的區(qū)域防護(hù)技術(shù)和產(chǎn)品采用接入防火墻。

節(jié)點防護(hù)：節(jié)點防護(hù)主要是指系統(tǒng)健壯性的保護(hù)，查堵系統(tǒng)的漏洞，它已經(jīng)具體到其中某一臺主機或服務(wù)器的防護(hù)措施，建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點防護(hù)技術(shù)都應(yīng)采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡(luò)安全評估分析系統(tǒng)等。

3 網(wǎng)絡(luò)高可用

在智慧徐州信息資源樞紐工程網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)設(shè)備本身以及設(shè)備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡(luò)的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網(wǎng)絡(luò)部分，核心交換機、接入防火墻等設(shè)備全部采用冗余配置，包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務(wù)局域網(wǎng)互聯(lián)，與服務(wù)器接入交換機互聯(lián)。在數(shù)據(jù)應(yīng)用區(qū)，服務(wù)器通過雙網(wǎng)卡與服務(wù)器接入交換機互聯(lián)，保障了服務(wù)器連接的高可靠性。

4 數(shù)據(jù)安全

4.1 數(shù)據(jù)安全建設(shè)

數(shù)據(jù)的安全是整個安全建設(shè)中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設(shè)主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復(fù)。對于系統(tǒng)管理、鑒別信息和重要業(yè)務(wù)的相關(guān)數(shù)據(jù)在存儲過程中進(jìn)行檢測，如檢測到數(shù)據(jù)完整性有錯誤時采取必要的恢復(fù)措施，并且能對這些數(shù)據(jù)采用加密措施，以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

對于資源共享平臺系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)要求如下：

1）對于鑒別信息數(shù)據(jù)存儲的保密性要求，均可以通過加強物理安全及網(wǎng)絡(luò)安全，并實施操作系統(tǒng)級數(shù)據(jù)庫加固的方式進(jìn)行保護(hù)；

2）對于備份及恢復(fù)要求，配置了備份服務(wù)器和虛擬帶庫對各系統(tǒng)重要數(shù)據(jù)進(jìn)行定期備份；

3）需要通過制定并嚴(yán)格執(zhí)行備份與恢復(fù)管理制度和備份與恢復(fù)流程，加強各系統(tǒng)備份恢復(fù)能力。

4.2 數(shù)據(jù)安全加密傳輸（VPN）

針對數(shù)據(jù)傳輸?shù)陌踩裕糠纸尤氩块T到智慧徐州信息資源樞紐工程的數(shù)據(jù)進(jìn)行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協(xié)議，保證數(shù)據(jù)在傳輸過程中的端到端安全性。

4.3 數(shù)據(jù)交換過程的安全保障

平臺數(shù)據(jù)交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數(shù)據(jù)交換后不能抵賴等功能。

平臺業(yè)務(wù)系統(tǒng)在傳遞消息的過程中可以指定是否采用消息內(nèi)容的校驗，校驗方法是由發(fā)送消息的業(yè)務(wù)系統(tǒng)提供消息的原始長度和根據(jù)某種約定的驗證碼生成規(guī)則（比如 MD5 校驗規(guī)則）生成的驗證碼。

4.4 數(shù)據(jù)交換接口安全設(shè)計

平臺提供的消息傳輸接口支持不同的安全標(biāo)準(zhǔn)。對于對安全性要求比較高的業(yè)務(wù)系統(tǒng)來說，在調(diào)用平臺的Web Service接口時使用HTTPS 協(xié)議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業(yè)務(wù)系統(tǒng)來說，可以簡單的通過HTTP方式調(diào)用平臺的Web Service接口進(jìn)行消息的傳輸。

5 安全管理體系建設(shè)

在智慧徐州信息資源樞紐工程安全保障體系建設(shè)中，應(yīng)該建立相應(yīng)的安全管理體系，而不是僅靠技術(shù)手段來防范所有的安全隱患。安全建設(shè)的核心是安全管理。在安全策略的指導(dǎo)下，安全技術(shù)和安全產(chǎn)品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強對客戶網(wǎng)絡(luò)的安全管理，確保重點設(shè)施的安全，應(yīng)該加強安全管理體系的建設(shè)。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統(tǒng)進(jìn)行細(xì)致的調(diào)查、評估之后，結(jié)合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應(yīng)包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導(dǎo)，是安全策略體系基本結(jié)構(gòu)的最高層，它指明了安全策略所要達(dá)到的最高安全目標(biāo)及其管理和適用范圍。

在安全方針的指導(dǎo)下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責(zé)，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導(dǎo)組成安全保障體系的各項安全措施正確實施的指導(dǎo)方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統(tǒng)的安全建設(shè)非常重要。因此，需要建立具有適當(dāng)管理權(quán)的信息安全管理委員會來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實施。建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢，監(jiān)督安全標(biāo)準(zhǔn)和評估方法，并在處理安全事故時提供適當(dāng)?shù)穆?lián)絡(luò)渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴(yán)格。由管理層負(fù)責(zé)制定切實可行的日常安全保密制度、審計制度、機房管理、操作規(guī)程管理、系統(tǒng)管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統(tǒng)制定完善的動作體系，保證系統(tǒng)的安全運行。

參考文獻(xiàn)：

[1] 吳小坤，吳信訓(xùn).智慧城市建設(shè)中的信息技術(shù)隱患與現(xiàn)實危機[J].科學(xué)發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設(shè)計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

篇10

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻(xiàn)標(biāo)識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營者最關(guān)心的問題，彈性靈活的業(yè)務(wù)流程需求日益加強，辦公自動化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠(yuǎn)程辦公等業(yè)務(wù)模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng)，一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件。同時為了規(guī)范企業(yè)治理，國家監(jiān)管部門對企業(yè)的內(nèi)控管理提出了多項規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性等方面。

然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡(luò)病毒、漏洞依然泛濫，同時信息技術(shù)的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用，云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，滿足業(yè)務(wù)發(fā)展的需要，已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報告》顯示：29％的企業(yè)定期遭受網(wǎng)絡(luò)攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點，更是成為被攻擊的首選目標(biāo)。

大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬，同時也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。（2）網(wǎng)絡(luò)接入控制不嚴(yán)。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失，任何人都可以隨時、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級單位自建的VPN系統(tǒng)，安全防護(hù)與審計能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠(yuǎn)地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡(luò)安全風(fēng)險較大。無線接入由于靈活方便，常在局域網(wǎng)絡(luò)中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會話攔截、流量偵聽等安全風(fēng)險。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范，大多數(shù)二級單位采用防火墻邏輯隔離，有些單位防護(hù)策略制定不嚴(yán)格，導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。

3 大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術(shù)類項目5個。中國石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。

中國石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實時生產(chǎn)或決策相關(guān)的信息系統(tǒng)，是相對封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)，與外網(wǎng)邏輯隔離。外網(wǎng)是實現(xiàn)對外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國石油網(wǎng)絡(luò)安全架構(gòu)，中國石油通過劃分中國石油網(wǎng)絡(luò)安全域，明確安全責(zé)任和防護(hù)標(biāo)準(zhǔn)，采取分層的防護(hù)措施來提高整體網(wǎng)絡(luò)的安全性，同時，為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉椖堪凑障冗吔绨踩庸獭⒑笊钊雰?nèi)部防護(hù)的指導(dǎo)思想，將項目分為：廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3部分。

廣域網(wǎng)邊界防護(hù)子項目主要包括數(shù)據(jù)中心邊界防護(hù)和區(qū)域網(wǎng)絡(luò)中心邊界防護(hù)。數(shù)據(jù)中心邊界防護(hù)設(shè)計主要是保障集團(tuán)公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護(hù)在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時，還需保障部分自建應(yīng)用系統(tǒng)的正常運行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善16個互聯(lián)網(wǎng)出口的安全防護(hù)，所有單位均通過16個互聯(lián)網(wǎng)出口對外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對外服務(wù)應(yīng)用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護(hù)方案主要遵循 “縱深防護(hù)，保護(hù)核心”主體思想，安全防護(hù)針對各專網(wǎng)與內(nèi)網(wǎng)接入點進(jìn)行部署，并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布，保護(hù)策略強度依次由弱至強。數(shù)據(jù)中心安全防護(hù)按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級情況，將數(shù)據(jù)中心劃分為4個安全區(qū)域，分別是核心網(wǎng)絡(luò)、二級系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界，二級系統(tǒng)、三級系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界，二、三級系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護(hù)，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護(hù)水平。

域內(nèi)防護(hù)是指分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)，實現(xiàn)實名制上網(wǎng)。中國石油以現(xiàn)有遠(yuǎn)程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠(yuǎn)程接入方式，為出差員工、分支機構(gòu)接入提供安全的接入環(huán)境。實名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對應(yīng)關(guān)系為基礎(chǔ)，實現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制、實名審計；以部署設(shè)備證書為基礎(chǔ)，實現(xiàn)數(shù)據(jù)中心對外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實可靠，從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結(jié)束語

一個穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運營的基本條件，然而信息網(wǎng)絡(luò)的安全威脅日益加劇，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡(luò)安全域建設(shè)，系統(tǒng)地解決網(wǎng)絡(luò)安全問題，供其他企業(yè)參考。

主要參考文獻(xiàn)