導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡(luò)安全方案，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進展，但過去企業(yè)網(wǎng)絡(luò)處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設(shè)備和防護方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素，自然給企業(yè)網(wǎng)絡(luò)安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡(luò)安全防護一個永無止境的過程，對其進行研究無論是對于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡(luò)安全問題分析

基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運行維護條件，目前企業(yè)網(wǎng)絡(luò)典型的安全問題主要表現(xiàn)于以下幾個方面。

1.1網(wǎng)絡(luò)設(shè)備安全問題

企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機、個人電腦、備用電源等硬件設(shè)備，時常會發(fā)生安全問題，而這些設(shè)備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導(dǎo)致整個企業(yè)網(wǎng)絡(luò)的停運。當(dāng)然，除了電源問題外，服務(wù)器、交換機也存在諸多安全隱患。

1.2服務(wù)器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展，對企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號管理等問題的存在，在不同程度上增加了服務(wù)器的安全威脅。

1.3訪問控制問題

企業(yè)網(wǎng)絡(luò)訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設(shè)置入網(wǎng)認證及無線網(wǎng)絡(luò)訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡(luò)。

2企業(yè)網(wǎng)絡(luò)安全防護方案

基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡(luò)的整體安全性能。

2.1網(wǎng)絡(luò)設(shè)備安全方案

企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個企業(yè)網(wǎng)絡(luò)安全的基本前提，為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電，避免因為斷電而導(dǎo)致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2服務(wù)器系統(tǒng)安全方案

企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導(dǎo)致的，需要從多個層面來構(gòu)建安全防護方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應(yīng)針對企業(yè)網(wǎng)絡(luò)服務(wù)器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評估，如圖1所示，將證書授權(quán)入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測，以此來檢測和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道，一般一臺服務(wù)器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡(luò)服務(wù)能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運行路徑來看，大多數(shù)都要通過服務(wù)器TCP/UDP端口，可充分這一點來預(yù)防各種網(wǎng)絡(luò)攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務(wù)安全

Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的，可通過諸多措施來提高Internet信息服務(wù)安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權(quán)限的設(shè)置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務(wù)器較為科學(xué)。（3）NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務(wù)器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務(wù)端口號的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務(wù)器攻擊，因此，通過修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。

2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案

2.3.1強化網(wǎng)絡(luò)設(shè)備安全

強化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施，具體包含以下措施。（1）網(wǎng)絡(luò)設(shè)備運行安全。對各設(shè)備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進而預(yù)防各種安全威脅。一般可通過可視化管理軟件的應(yīng)用來實現(xiàn)上述目標，例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名，用戶名級別設(shè)置的一級，該級別用戶只具備讀權(quán)限，一般用于console、遠程telnet登錄等需求。除此之外，還可設(shè)置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關(guān)配置設(shè)置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個無線AP設(shè)備，應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個較為復(fù)雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2細分網(wǎng)絡(luò)安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個嚴重缺陷就是當(dāng)其中各個局域網(wǎng)存在ARP病毒時，未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網(wǎng)絡(luò)進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個網(wǎng)段，在每個網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業(yè)各個部門對網(wǎng)絡(luò)資源的需求，在通問控制時需要注意以下幾點：對內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對口部門互通；對內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離；體驗區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實現(xiàn)，可在核心路由器和防火墻上共同配合完成。

篇2

2.網(wǎng)絡(luò)防火墻系統(tǒng)設(shè)計方案

網(wǎng)絡(luò)安全是按照網(wǎng)絡(luò)協(xié)議(TCP/IP協(xié)議)的2－7層來進行劃分的，要想保證網(wǎng)絡(luò)的安全，就一定保證網(wǎng)絡(luò)協(xié)議的2至7層每一層的安全。而防火墻負責(zé)的是網(wǎng)絡(luò)協(xié)議2至4層的網(wǎng)絡(luò)安全。以下為防火墻可以實現(xiàn)的功能:第一，網(wǎng)絡(luò)隔離。將網(wǎng)絡(luò)分割為不同的網(wǎng)絡(luò)區(qū)域，進而控制不同區(qū)域之間的數(shù)據(jù)交流，作用于網(wǎng)絡(luò)協(xié)議的2－4層，把可能出現(xiàn)的安全風(fēng)險分別局限于相對獨立的網(wǎng)絡(luò)區(qū)域內(nèi)，使風(fēng)險不至于大規(guī)模擴散。第二，網(wǎng)絡(luò)協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端，沒有考慮到足夠的安全特性，因此，給網(wǎng)絡(luò)用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患，而防火墻可以彌補TCP/IP協(xié)議本身的漏洞，能夠有效地檢測和防范對2至4層的攻擊行為。第三，流量管理。首先為了保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，防火墻可以提供靈活的流量管理能力，同時要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，還可以對4至7層的常見網(wǎng)絡(luò)協(xié)議提供某些控制和過濾的能力，例如，可以支持EMAIL的過濾能力。第四，用戶管理。學(xué)校檔案系統(tǒng)內(nèi)部用戶接入外網(wǎng)Internet，在不影響正常業(yè)務(wù)需要的情況下，控制用戶對外網(wǎng)的應(yīng)用行為。例如，控制上網(wǎng)時間，不可訪問網(wǎng)站，禁用一些軟件的網(wǎng)絡(luò)端口等等。

3.網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計方案

防火墻只針對網(wǎng)絡(luò)安全2至4層，難以防御對網(wǎng)絡(luò)協(xié)議4至7層的網(wǎng)絡(luò)威脅，不可能識別出偽裝成正常業(yè)務(wù)的蠕蟲、攻擊、間諜軟件等的非法數(shù)據(jù)流，缺乏對經(jīng)過自身的數(shù)據(jù)流進行全面、深度監(jiān)測的能力。入侵防御系統(tǒng)(IPS)就是專門針對網(wǎng)絡(luò)協(xié)議的4至7層對數(shù)據(jù)流進行分析并實時采用防御措施的系統(tǒng)，與防火墻進行安全層次的互補，豐富了網(wǎng)絡(luò)傳輸過程中的安全層次，對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡(luò)中部署防火墻+IPS，可使網(wǎng)絡(luò)更加安全、健壯，更好地抵御來自外部網(wǎng)絡(luò)的威脅。

4.外網(wǎng)主網(wǎng)絡(luò)設(shè)計

為了保證檔案系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全，需要通過網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進行“網(wǎng)絡(luò)隔離”，并進行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù)，互聯(lián)網(wǎng)用戶及高校外網(wǎng)用戶訪問內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)，對數(shù)據(jù)區(qū)形成了嚴重的威脅，通過部署網(wǎng)閘，在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實現(xiàn)業(yè)務(wù)的正常訪問，并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來自于《遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)》雜志。遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)雜志簡介詳見

篇3

當(dāng)前網(wǎng)絡(luò)技術(shù)的快速發(fā)展，大部分高校已經(jīng)建立了學(xué)校校園網(wǎng)絡(luò)，為學(xué)校師生提供了更好的工作及學(xué)習(xí)環(huán)境，有效實現(xiàn)了資源共享，加快了信息的處理，提高了工作效率【1】。然而校園網(wǎng)網(wǎng)絡(luò)在使用過程中還存在著安全問題，極易導(dǎo)致學(xué)校的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題，因此，要想保證校園網(wǎng)的安全性，首先要對校園網(wǎng)網(wǎng)絡(luò)安全問題深入了解，并提出有效的網(wǎng)絡(luò)安全方案設(shè)計，合理構(gòu)建網(wǎng)絡(luò)安全體系。本文就對校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計與工程實踐深入探討。

1.校園網(wǎng)網(wǎng)絡(luò)安全問題分析

1.1操作系統(tǒng)的漏洞

當(dāng)前大多數(shù)學(xué)校的校園網(wǎng)都是采用windows操作系統(tǒng)，這就加大了安全的漏洞，服務(wù)器以及個人PC內(nèi)部都會存在著大量的安全漏洞【2】。隨著時間的推移，會導(dǎo)致這些漏洞被人發(fā)現(xiàn)并利用，極大的破壞了網(wǎng)絡(luò)系統(tǒng)的運行，給校園網(wǎng)絡(luò)的安全帶來不利的影響。

1.2網(wǎng)絡(luò)病毒的破壞

網(wǎng)絡(luò)病毒是校園網(wǎng)絡(luò)安全中最為常見的問題，其能夠使校園網(wǎng)網(wǎng)絡(luò)的性能變得較為低下，減慢了上網(wǎng)的速度，使計算機軟件出現(xiàn)安全隱患，對其中的重要數(shù)據(jù)帶來破壞，嚴重的情況下還會造成計算機的網(wǎng)絡(luò)系統(tǒng)癱瘓。

1.3來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為

校園網(wǎng)只有連接到互聯(lián)網(wǎng)上，才能實現(xiàn)與外界的聯(lián)系，使校園網(wǎng)發(fā)揮出重要的作用。但是，校園網(wǎng)在使用過程中，會遭到外部黑客的入侵和攻擊的危險，給校園互聯(lián)網(wǎng)內(nèi)部的服務(wù)器以及數(shù)據(jù)庫帶來不利的影響，使一些重要的數(shù)據(jù)遭到破壞，給電腦系統(tǒng)造成極大的危害。

1.4來自校園網(wǎng)內(nèi)部的攻擊和破壞

由于大多數(shù)高校都開設(shè)了計算機專業(yè)，一些學(xué)生在進行實驗操作的時候，由于缺乏專業(yè)知識，出于對網(wǎng)絡(luò)的興趣，不經(jīng)意間會使用一些網(wǎng)絡(luò)攻擊工具進行測試，這就給校園網(wǎng)絡(luò)系統(tǒng)帶來一定的安全威脅。

2.校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計思路

2.1根據(jù)安全需求劃分相關(guān)區(qū)域

當(dāng)前高校校園網(wǎng)都沒有重視到安全的問題，一般都是根據(jù)網(wǎng)絡(luò)互通需要為中心進行設(shè)計的。以安全為中心的設(shè)計思路能夠更好的實現(xiàn)校園網(wǎng)的安全性。將校園網(wǎng)絡(luò)分為不同的安全區(qū)域，并對各個區(qū)域進行安全設(shè)置。其中可以對高校校園網(wǎng)網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)服務(wù)區(qū)、廣域網(wǎng)分區(qū)、遠程接入?yún)^(qū)、數(shù)據(jù)中心區(qū)等進行不同的安全區(qū)域。

2.2用防火墻隔離各安全區(qū)域

通過防火墻設(shè)備對各安全區(qū)域進行隔離，同時防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的出入口，配置不同的安全策略監(jiān)督和控制出入網(wǎng)絡(luò)的數(shù)據(jù)流，防火墻本身具有一定的抗攻擊能力。防火墻把網(wǎng)絡(luò)隔離成兩個區(qū)域，分別為受信任的區(qū)域和不被信任的區(qū)域，其中對信任的區(qū)域?qū)ζ溥M行安全策略的保護，設(shè)置有效的安全保護措施，防火墻在接入的網(wǎng)絡(luò)間實現(xiàn)接入訪問控制。

3.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計

3.1主干網(wǎng)設(shè)計主干網(wǎng)可采用三層網(wǎng)絡(luò)構(gòu)架，將原本較為復(fù)雜的網(wǎng)絡(luò)設(shè)計分為三個層次，分別為接入層、匯聚層、核心層。每個層次注重特有的功能，這樣就將大問題簡化成多個小問題。

3.2安全技術(shù)的應(yīng)用3.2.1VLAN技術(shù)的應(yīng)用。虛擬網(wǎng)是一項廣泛使用的基礎(chǔ)，將其應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中，能夠有效的實現(xiàn)虛擬網(wǎng)的劃分，形成一個邏輯網(wǎng)絡(luò)。使用這些技術(shù)，能夠優(yōu)化校園網(wǎng)網(wǎng)絡(luò)的設(shè)計、管理以及維護。

3.2.2ACL技術(shù)的應(yīng)用。這項技術(shù)不僅具有合理配置的功能，而且還有交換機支持的訪問控制列表功能。應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中，能夠合理的限制網(wǎng)絡(luò)非法流量，從而實現(xiàn)訪問控制。

3.3防火墻的使用防火墻是建立在兩個不同網(wǎng)絡(luò)的基礎(chǔ)之間，首先對其設(shè)置安全規(guī)則，決定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否允許通過，并對網(wǎng)絡(luò)運行狀態(tài)進行監(jiān)視，使得內(nèi)部的結(jié)構(gòu)與運行狀況都對外屏蔽，從而達到內(nèi)部網(wǎng)絡(luò)的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面：一是防火墻能夠把內(nèi)、外網(wǎng)絡(luò)、對外服務(wù)器網(wǎng)絡(luò)實行分區(qū)域隔離，從而達到與外網(wǎng)相互隔離。二是防火墻能夠?qū)ν夥?wù)器、網(wǎng)絡(luò)上的主機隔離在一個區(qū)域內(nèi)，并對其進行安全防護，以此提升網(wǎng)絡(luò)系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權(quán)限，有效杜絕非法用戶的訪問。四是防火墻能夠?qū)崿F(xiàn)對訪問服務(wù)器的請求控制，一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務(wù)器上具有審計記錄，有助于完善審計體系。

4.結(jié)語

總而言之，校園網(wǎng)絡(luò)的安全是各大院校所關(guān)注的問題，當(dāng)前校園網(wǎng)網(wǎng)絡(luò)安全的主要問題有操作系統(tǒng)的漏洞、網(wǎng)絡(luò)病毒的破壞、來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為、來自校園網(wǎng)內(nèi)部的攻擊和破壞等【4】。要想保障校園網(wǎng)網(wǎng)絡(luò)的安全性，在校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計方面，應(yīng)當(dāng)根據(jù)安全需求劃分相關(guān)區(qū)域，用防火墻隔離各安全區(qū)域。設(shè)計一個安全的校園網(wǎng)絡(luò)方案，將重點放在主干網(wǎng)設(shè)計、安全技術(shù)的應(yīng)用以及防火墻的使用上，不斷更新與改進校園網(wǎng)絡(luò)安全技術(shù)，從而提升校園網(wǎng)的安全性。

作者:金茂 單位:杭州技師學(xué)院

參考文獻：

[1]余思東,黃欣.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計[J]軟件導(dǎo)刊,2012,06:138-139

篇4

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2013）13-0153-01

學(xué)籍管理制度是一項基本的教育管理制度，學(xué)籍管理是學(xué)校和教育行政部門重要的日常工作。為規(guī)范中小學(xué)學(xué)生學(xué)籍管理，加快推進中小學(xué)學(xué)生學(xué)籍管理信息化工作，某省教育廳決定組織建設(shè)省級中小學(xué)學(xué)籍管理系統(tǒng)平臺，實現(xiàn)義務(wù)教育階段、高中教育階段的學(xué)籍管理信息化、網(wǎng)絡(luò)化和規(guī)范化，為教育規(guī)劃、行政決策提供了科學(xué)的依據(jù)，并為省內(nèi)其他教育業(yè)務(wù)管理系統(tǒng)提供所需的基礎(chǔ)數(shù)據(jù)服務(wù)。

1 物理安全

我們認為，物理安全是系統(tǒng)安全的第一道關(guān)口，所以，我們采取嚴格的中心機房建設(shè)和管理規(guī)范，采取雙回路UPS供電和嚴格的防火、防盜、防靜電、防雷擊等措施，對進入中心機房的人員進行嚴格管理。網(wǎng)絡(luò)線路盡可能進橋架、管道，注意設(shè)備的安裝環(huán)境，特別是室外設(shè)備的物理安全。

2 接入安全

為了保證內(nèi)部網(wǎng)的安全，防止外部對內(nèi)部網(wǎng)絡(luò)的攻擊，我們在網(wǎng)絡(luò)邊界部署一臺華為USG 3030防火墻，USG 3030華為公司新一代網(wǎng)關(guān)型安全防護設(shè)備，基于華為專業(yè)的硬件平臺以及強大的VRP軟件平臺，不僅具備優(yōu)異的攻擊防范處理能力，而且能夠提供完善的虛擬專網(wǎng)（VPN）功能以及完備的地址轉(zhuǎn)換（NAT）功能，實現(xiàn)基于安全區(qū)域的隔離和防護。我們在防火墻中制定了如下規(guī)則：允許外部網(wǎng)絡(luò)訪問我們DMZ區(qū)的WEB SERVER及 MAIL SERVER，但只能訪問幾個特定的端口，如80/tcp（http），25/tcp（smtp），110/tcp（pop3）等，允許內(nèi)部網(wǎng)絡(luò)訪問DMZ區(qū)和外部網(wǎng)絡(luò)；拒絕所有的外部IP地址對內(nèi)部網(wǎng)絡(luò)的訪問，拒絕DMZ區(qū)對內(nèi)部網(wǎng)絡(luò)的訪問；內(nèi)部網(wǎng)絡(luò)有限制的訪問數(shù)據(jù)庫服務(wù)器和文件服務(wù)器；為出差人員建立了安全、可靠的VPN通道，他們可以通過VPN方式接入到內(nèi)部網(wǎng)絡(luò)。這樣，首先可以保證我們的學(xué)籍管理系統(tǒng)對外服務(wù)不受影響，同時可以保證我們內(nèi)部系統(tǒng)的安全。

3 虛擬網(wǎng)絡(luò)（VLAN）劃分

內(nèi)部網(wǎng)絡(luò)的核心交換機采用一臺華為S5328C-EI三層交換機。該交換機能夠識別和處理四到七層的應(yīng)用業(yè)務(wù)流，能根據(jù)不同的業(yè)務(wù)流進行不同的管理和控制。我們使用華為S5328C-EI三層交換機將內(nèi)部網(wǎng)劃分為10個VLAN，VLAN 1-VLAN 8分配給不同的科室和部門，VLAN9分配給信息中心，VLAN10分配給內(nèi)部服務(wù)器組（數(shù)據(jù)庫服務(wù)器和文件服務(wù)器），不同的VLAN之間通過三層交換機通訊，并根據(jù)實際需要設(shè)置不同的訪問權(quán)限；通過合理劃分VLAN，隔離了不同VLAN之間的廣播包，提高了網(wǎng)絡(luò)的性能，同時大大增強了內(nèi)部網(wǎng)絡(luò)的安全性

4 防病毒技術(shù)

為實現(xiàn)病毒的全面防范，我們部署了瑞星殺毒軟件網(wǎng)絡(luò)版 2008。首先，在信息中心建立一個一級系統(tǒng)中心，在科室和其他部門分別建立二級系統(tǒng)中心。上級中心統(tǒng)一發(fā)送查殺病毒命令、下達版本升級提示，并及時掌握全部系統(tǒng)中心的病毒分布情況等。另外，下級中心既可以在收到上級中心的命令后做出響應(yīng)，也可以管理本級，并主動向上級中心發(fā)送請求和匯報信息。通過該系統(tǒng)，可實現(xiàn)反病毒的統(tǒng)一管理和分級管理。通過部署網(wǎng)絡(luò)版反病毒軟件，整個單位和省級數(shù)據(jù)中心的計算機受到病毒和惡意軟件破壞的情況得到明顯改善。

5 健全網(wǎng)絡(luò)安全管理機制

網(wǎng)絡(luò)安全問題不是單純的技術(shù)問題，影響網(wǎng)絡(luò)安全的因素有很多，但其中最重要的因素是人的因素。在省級數(shù)據(jù)中心建成之后，我們制訂了網(wǎng)絡(luò)安全管理辦法，主要措施如下：多人負責(zé)原則，每一項與安全有關(guān)的活動，都必須有兩人或多人在場，并且一人操作一人復(fù)核；任期有限原則，技術(shù)人員不定期輪崗；職責(zé)分離原則，非本崗人員不得掌握用戶名、密碼等關(guān)鍵信息；及時升級系統(tǒng)補丁，關(guān)閉不用的服務(wù)和端口；對重要的數(shù)據(jù)服務(wù)器，每日必須進行數(shù)據(jù)備份；管理員的密碼必須達到一定的強度并且每周修改一次等等。

目前，省級數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)運行良好，網(wǎng)絡(luò)安全狀況大大改善，網(wǎng)絡(luò)系統(tǒng)的安全性有很大程度的提高。但還存在不少問題，比如說防止網(wǎng)絡(luò)攻擊方面，盡管使用了防火墻，但是，對內(nèi)部網(wǎng)絡(luò)的攻擊防范力度有限，我們計劃在下一步部署入侵檢測系統(tǒng)，并與防火墻實現(xiàn)聯(lián)動，進一步提高防范內(nèi)外網(wǎng)攻擊的能力。網(wǎng)絡(luò)系統(tǒng)的安全是一項長期的工作，需要我們不斷地學(xué)習(xí)新技術(shù)、不斷地積累和借鑒經(jīng)驗，并及時付諸實施，才能確保省級數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻

篇5

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅

一般來說,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個方面:

1)計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓;

2)黑客侵襲。黑客非法進入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;

3)拒絕服務(wù)攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行。嚴重時會使系統(tǒng)關(guān)機,網(wǎng)絡(luò)癱瘓;

4)通用網(wǎng)關(guān)接口(CGI)漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡(luò)安全目標

1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務(wù)器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務(wù)請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權(quán)限控制在最低限度,全面監(jiān)視對公開服務(wù)器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。

3 安全方案設(shè)計原則

對企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計、規(guī)劃時,應(yīng)遵循以下原則:

1)綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2)需求、風(fēng)險、代價平衡的原則:對任一網(wǎng)絡(luò),絕對安全難以達到,也不一定必要。對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法。

3)一致性原則:網(wǎng)絡(luò)安全問題貫穿整個網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性。

5)分步實施原則:由于網(wǎng)絡(luò)規(guī)模的擴展及應(yīng)用的增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的,費用支出也較大。因此可以分步實施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它保護仍可保護信息安全。

4 主要防范措施

1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡(luò)安全教育和培訓(xùn)。

2)網(wǎng)絡(luò)病毒的防范。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時需要基于服務(wù)器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4)采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。最好采用混合入侵檢測,同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整立體的主動防御體系。

5)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)安全問題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

篇6

前言

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在電力系統(tǒng)的運行中起到不可忽視的重要作用，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)環(huán)境有效保證電網(wǎng)經(jīng)濟、安全、可靠、穩(wěn)定的運行，為電力系統(tǒng)中的電力生產(chǎn)、燃料調(diào)度、水庫調(diào)度以及電網(wǎng)調(diào)度自動化、繼電保護等提供了便捷的通信條件，它為電力企業(yè)的生產(chǎn)與管理提供了良好保障。為了滿足基于虛擬專用網(wǎng)的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性需求，相關(guān)技術(shù)人員要不斷在實際工作中總結(jié)經(jīng)驗，設(shè)計出合理、科學(xué)的安全方案，以保證電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)更好地服務(wù)于企業(yè)，為企業(yè)帶來更多的經(jīng)濟效益。

1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)的必要性

隨著經(jīng)濟社會的快速發(fā)展，各種現(xiàn)代化管理方式應(yīng)運而生，電網(wǎng)管理方式的創(chuàng)新與管理水平的提高，帶動了電力調(diào)度業(yè)務(wù)的發(fā)展，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)能夠有效保障電網(wǎng)系統(tǒng)的安全性與經(jīng)濟性，確保電網(wǎng)運行的穩(wěn)定性。目前我國電力調(diào)度數(shù)據(jù)業(yè)務(wù)還局限在傳統(tǒng)模式上，運用的是傳統(tǒng)的數(shù)字專線模式，這種傳統(tǒng)電力調(diào)度數(shù)據(jù)模式使信息共享受到阻礙，造成了通信資源的浪費，隨著各種高科技產(chǎn)品的生產(chǎn)，各種電力調(diào)度業(yè)務(wù)不斷上線，對電網(wǎng)通道資源與數(shù)據(jù)共享的需求也逐漸增高。只有建設(shè)良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，才能保證電力系統(tǒng)的經(jīng)濟性與安全性。

1.1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是自動化系統(tǒng)發(fā)展的需要

人們在經(jīng)營各種生產(chǎn)生活等的活動中，都離不開電網(wǎng)的支持，為了更好地適應(yīng)電網(wǎng)的發(fā)展需求，調(diào)度自動化系統(tǒng)在其功能上得到不斷的改進和完善，除了安全自動裝置、繼電保護以及傳統(tǒng)的調(diào)度自動化系統(tǒng)之外，一些現(xiàn)代化的系統(tǒng)諸如配網(wǎng)自動化系統(tǒng)、電能量計量系統(tǒng)、無人值班變電站監(jiān)控設(shè)備等逐漸應(yīng)用到電網(wǎng)系統(tǒng)中，這些新型系統(tǒng)設(shè)備的有效運用，使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加，各個調(diào)度系統(tǒng)之間要進行更多的信息共享與數(shù)據(jù)轉(zhuǎn)換，這就對通信網(wǎng)絡(luò)的要求越來越高，傳統(tǒng)的通信網(wǎng)絡(luò)在傳統(tǒng)實時數(shù)據(jù)時其數(shù)量和質(zhì)量都受到了很大的局限，不能夠再適應(yīng)現(xiàn)代電網(wǎng)自動化應(yīng)用系統(tǒng)的需求。建立安全的基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，在一些地區(qū)已經(jīng)得到運用，其運行情況很好，對信息數(shù)據(jù)的傳輸速率與質(zhì)量都有了明顯的提高，有效保證了自動化應(yīng)用系統(tǒng)的發(fā)展需求。建立一個基于VPN的電力調(diào)度數(shù)據(jù)安全網(wǎng)絡(luò)，能夠有效提高電網(wǎng)運行的信息共享程度、傳輸速率，滿足電網(wǎng)自動化系統(tǒng)發(fā)展的需求。

1.2電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是提高實時數(shù)據(jù)傳輸可靠性的需要

目前我國一些電力系統(tǒng)變電站的實時監(jiān)控信息采用的是模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)相結(jié)合的通信方式，每臺終端設(shè)備和地調(diào)之間要獨自單用一條或者是兩條專用的數(shù)據(jù)通道。這種采用模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)進行通信的模式在通信傳輸時速率普遍較低，傳輸?shù)男盘枙艿酵ǖ垒^大的干擾，傳輸?shù)臄?shù)據(jù)不穩(wěn)定，也沒有網(wǎng)絡(luò)層間的保護系統(tǒng)，如果數(shù)據(jù)通道出現(xiàn)故障，那么數(shù)據(jù)信息就會立即丟失并且不能夠進行數(shù)據(jù)的恢復(fù)，這種點對點的傳輸方式需要在主站端設(shè)置較多的接口設(shè)備，由于操作配置的復(fù)雜性，使其在后期維護時工作量增大。建立電力調(diào)度數(shù)據(jù)網(wǎng)，能夠?qū)崿F(xiàn)調(diào)度生產(chǎn)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)性模式，通過直接上網(wǎng)的方式來進行數(shù)據(jù)交換，有效的提高了信息傳輸?shù)目煽啃浴；赩PN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè)，能夠保證信息數(shù)據(jù)傳輸?shù)目煽啃?，不會因為通道出現(xiàn)故障而導(dǎo)致數(shù)據(jù)丟失的情況，主站端不必要設(shè)置大量的終端設(shè)備，方便了工作人員進行設(shè)備維護。

2基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案

基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案在設(shè)計時要遵循經(jīng)濟性、流量優(yōu)化、擴展性、節(jié)點可靠性以及拓撲可靠性等的原則。設(shè)計電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案時，在充分確保電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的暢通性和可靠性的前提下，最大限度的減少網(wǎng)絡(luò)電路的數(shù)量、網(wǎng)絡(luò)電路的總里程以及寬帶，以此來盡量減小網(wǎng)絡(luò)的運行費用，為企業(yè)帶來更多的經(jīng)濟效益。根據(jù)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的流量以及流向，在設(shè)置電路和寬帶時要保證其合理性配置，均勻的將網(wǎng)絡(luò)流量分布開來，保證各個電路寬帶均能充分的利用網(wǎng)絡(luò)流量，避免使網(wǎng)絡(luò)帶寬達到瓶頸，影響電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性。進行主干網(wǎng)絡(luò)的拓撲設(shè)計時，要充分遵循N-1的設(shè)備可靠性和電路可靠性原則，增加、修改或者減少網(wǎng)絡(luò)電路和節(jié)點時，要保證網(wǎng)絡(luò)的總體拓撲不受到影響。在設(shè)置網(wǎng)絡(luò)中各個骨干、核心的節(jié)點時，要采用雙設(shè)備配置，根據(jù)實際情況需求，進行設(shè)備的風(fēng)扇、引擎以及電源燈冗余設(shè)計，注意電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的熱插撥等特性。

在網(wǎng)絡(luò)設(shè)計中包括電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的核心層、匯聚層以及接入層三層的設(shè)計。在核心層中進行核心路由器和核心層交換機的聯(lián)通性時，要注意保證核心層交換機的業(yè)務(wù)服務(wù)器在傳輸數(shù)據(jù)時具有不間斷性，順暢地發(fā)送到核心層路由器，再由核心層路由器再次轉(zhuǎn)發(fā)數(shù)據(jù)。核心層交換機要具備全局的地址，能夠保證網(wǎng)管服務(wù)器的正常訪問。核心層與匯聚層進行具體網(wǎng)絡(luò)的聯(lián)通時，要注意核心層交換機下聯(lián)的網(wǎng)絡(luò)管理服務(wù)器可以正常的對匯聚層的設(shè)備進行訪問，下聯(lián)的業(yè)務(wù)服務(wù)器能夠順利的連接匯聚層的業(yè)務(wù)地址并進行正常訪問。即使發(fā)生部分線路中斷的情況，匯聚層的各個業(yè)務(wù)地址仍然可以在冗余的網(wǎng)絡(luò)拓撲結(jié)構(gòu)中進行數(shù)據(jù)的傳輸，或者是通過高可靠性的路由協(xié)議來完成數(shù)據(jù)的上傳，保證業(yè)務(wù)或者網(wǎng)管服務(wù)器正常接收數(shù)據(jù)。此外還應(yīng)當(dāng)注意匯聚層的不同站點業(yè)務(wù)地址不需要進行互通。電力調(diào)度數(shù)據(jù)網(wǎng)的核心層和骨干層的數(shù)據(jù)處理能力較強，因此在設(shè)計方案中將仿真分析集中于接入層。對于電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的接入層設(shè)計，應(yīng)當(dāng)保證接入層中的業(yè)務(wù)流量可以進行不間斷的數(shù)據(jù)發(fā)送，接入層中的業(yè)務(wù)終端可以與核心層的業(yè)務(wù)服務(wù)器進行正?；ネ?，接入層的網(wǎng)絡(luò)設(shè)備可以與核心層的網(wǎng)絡(luò)管理服務(wù)器進行正常的互通，只有同時達到這三個要求，才能保證接入層的網(wǎng)絡(luò)連通性。接入層采用的是低端網(wǎng)絡(luò)的嵌入式遠動監(jiān)控設(shè)備，在安全方案設(shè)計中將基于IPSec的VPN內(nèi)核進一步裁剪，在裁剪后的VPN安全框架中融入新的身份認證和密鑰協(xié)商算法，這樣能夠有利于新設(shè)計安全方案的實現(xiàn)，同時可以大幅度降低接入層設(shè)備在安全數(shù)據(jù)處理中的費用，減少電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的設(shè)計投入。

3結(jié)語

總而言之，在電力系統(tǒng)的生產(chǎn)管理工作中，電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)起到對其的直接控制作用，電力調(diào)度數(shù)據(jù)網(wǎng)的重要性不容忽視。電力企業(yè)一定要重視電力調(diào)度數(shù)據(jù)網(wǎng)的安全性和實時性，不斷借鑒國外先進的技術(shù)，在實際運行工作中，注意總結(jié)和歸納，設(shè)計出一種合理的基于VPN的身份認證與密鑰協(xié)商相互融合的安全方案，消除電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中實時性與安全性兩者之間的矛盾，使其為企業(yè)帶來更多的應(yīng)用價值。

篇7

計算機網(wǎng)絡(luò)受到威脅后果嚴重

1.國家安全將遭受到威脅

網(wǎng)絡(luò)黑客攻擊的目標常包括銀行、政府及軍事部門，竊取和修改信息。這會對社會和國家安全造成嚴重威脅，有可能帶來無法挽回的損失。

2.損失巨大

很多網(wǎng)絡(luò)是大型網(wǎng)絡(luò)，像互聯(lián)網(wǎng)是全球性網(wǎng)絡(luò)，這些網(wǎng)絡(luò)上連接著無數(shù)計算機及網(wǎng)絡(luò)設(shè)備，如果攻擊者攻擊入侵連接在網(wǎng)絡(luò)上的計算機和網(wǎng)絡(luò)設(shè)備，會破壞成千上萬臺計算機，從而給用戶造成巨大經(jīng)濟損失。

3.手段多樣，手法隱蔽

網(wǎng)絡(luò)攻擊所需設(shè)備簡單，所花時間短，某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡(luò)攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息；可以通過截取他人的帳號和口令潛入他人的計算機系統(tǒng)；可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網(wǎng)絡(luò)安全防范技術(shù)

1.病毒的防范

計算機病毒變得越來越復(fù)雜，對計算機信息系統(tǒng)構(gòu)成極大的威脅。在網(wǎng)絡(luò)環(huán)境中對計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。它的入侵檢測技術(shù)包括基于主機和基于網(wǎng)絡(luò)兩種。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網(wǎng)絡(luò)病毒的防范主要包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)。網(wǎng)絡(luò)版防病毒系統(tǒng)包括：（1）系統(tǒng)中心：系統(tǒng)中心實時記錄計算機的病毒監(jiān)控、檢測和清除的信息，實現(xiàn)對整個防護系統(tǒng)的自動控制。（2）服務(wù)器端：服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計。（3）客戶端：客戶端對當(dāng)前工作站上病毒監(jiān)控、檢測和清除，并在需要時向系統(tǒng)中心發(fā)送病毒監(jiān)測報告。（4）管理控制臺：管理控制臺是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計的，通過它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括（1）所有的從外部到內(nèi)部的通信都必須經(jīng)過它（。2）只有有內(nèi)部訪問策略授權(quán)的通信才能被允許通過。（3）系統(tǒng)本身具有很強的高可靠性。所以防火墻是網(wǎng)絡(luò)安全的屏障，配置防火墑是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內(nèi)部信任網(wǎng)絡(luò)和其他任何非信任網(wǎng)絡(luò)上提供了不同的規(guī)則進行判斷和驗證，確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。也可對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時，也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)有網(wǎng)絡(luò)入侵或攻擊時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次，利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，防止內(nèi)部信息的外泄。

3.數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密，對于傳輸加密，一般有硬件加密和軟件加密兩種方法實現(xiàn)。網(wǎng)絡(luò)中的數(shù)據(jù)加密，要選擇加密算法和密鑰，可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中，收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有：美國的DES、歐洲的IDEA等。

4.應(yīng)用入侵檢測技術(shù)

入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測系統(tǒng)的功能包括：監(jiān)控和分析系統(tǒng)、用戶的行為；評估系統(tǒng)文件與數(shù)據(jù)文件的完整性，檢查系統(tǒng)漏洞；對系統(tǒng)的異常行為進行分析和識別，及時向網(wǎng)絡(luò)管理人員報警；跟蹤管理操作系統(tǒng)，識別無授僅用戶活動。具體應(yīng)用就是指對那些面向系統(tǒng)資源和網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的行為進行識別和響應(yīng)。入侵檢測通過監(jiān)控系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。目前主要有兩類入侵檢測系統(tǒng)基于主機的和基于網(wǎng)絡(luò)的。前者檢查某臺主機系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為，并及時做出響應(yīng)。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，并對發(fā)現(xiàn)的人侵做出及時的響應(yīng)。

5.規(guī)范安全管理行為

篇8

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。

3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

篇9

從20世紀90年代至今，我國電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡(luò)的技術(shù)水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結(jié)合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎(chǔ)設(shè)施的正常運行。加強電信網(wǎng)絡(luò)的安全防護工作，是一項重要的工作。筆者結(jié)合工作實際，就電信網(wǎng)絡(luò)安全及防護工作做了一些思考。

1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2 電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3 運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4 相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3 電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1 發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3 網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。

3.4 主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

篇10

一、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問題

1、公安系統(tǒng)存在問題的特征。1）系統(tǒng)安全問題具有動態(tài)性。隨著信息技術(shù)的飛速發(fā)展，不同時期有不同的安全問題，安全問題不斷地被解決，但也不斷地出現(xiàn)新的安全問題。例如線路竊聽劫持事件會因為加密協(xié)議層的使用而減少。安全問題具有動態(tài)性特點，造成系統(tǒng)安全問題不可能擁有一勞永逸的解決措施。2）系統(tǒng)安全問題來自于管理層、邏輯層和物理層，并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標方面的內(nèi)容。邏輯層的安全主要涉及到信息保密性，也就是在授權(quán)情況下，高密級信息向低密級的主體及客體傳遞，確保信息雙方的完整性，信息不會被隨意篡改，可以保證信息的一致性。一旦雙方完成信息交易，任何一方均不可單方面否認這筆交易。物理層的安全涉及的內(nèi)容是多個關(guān)鍵設(shè)備、信息存放地點等，如計算機主機、網(wǎng)絡(luò)等，防止信息丟失和破壞。

2、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問題。1）一機兩用的現(xiàn)象比較普遍。部分公安值班人員在公安網(wǎng)絡(luò)中接入自己的私人電腦，同時還包括一些無線上網(wǎng)設(shè)備等。外接上網(wǎng)設(shè)備通常安裝了無線網(wǎng)卡，外界侵入公安網(wǎng)絡(luò)的可能性增大，公安網(wǎng)絡(luò)的安全隱患擴大。此外，公安系統(tǒng)中的計算機出現(xiàn)故障，需要檢查維修時，沒有事先格式化計算機，導(dǎo)致系統(tǒng)計算機中的資料泄露，甚至出現(xiàn)“一機兩用”的情況，可以將病毒引入系統(tǒng)中引起信息泄露。

3、安全意識淡薄。公安網(wǎng)絡(luò)中的計算機存在濫用的情況，非在編的基層人員在未經(jīng)允許、教育培訓(xùn)的情況私自使用公安網(wǎng)絡(luò)，從而出現(xiàn)信息泄露的情況，給網(wǎng)絡(luò)帶來嚴重的安全隱患。此外，公安部門人員缺乏安全意識，辦公室計算機的保密性不強，安全等級不高，重要軟件、文件等均沒有進行必要的加密處理，很多人員可以隨意訪問公安網(wǎng)絡(luò)，降低了公安網(wǎng)絡(luò)中計算機及其信息的安全性。

二、網(wǎng)絡(luò)安全技術(shù)與公安網(wǎng)絡(luò)系統(tǒng)的維護方案

1、積極建設(shè)網(wǎng)絡(luò)信息安全管理隊伍。網(wǎng)絡(luò)安全管理隊伍對管理公安網(wǎng)絡(luò)具有重要作用。為提升公安網(wǎng)絡(luò)的安全性與穩(wěn)定性，可以定期組織信息安全管理人員進行培訓(xùn)，強化技術(shù)教育與培訓(xùn)，增強網(wǎng)絡(luò)安全管理人員的責(zé)任意識，改善管理效率，提升管理水平。

2、充分運用網(wǎng)絡(luò)安全技術(shù)。1）防毒技術(shù)。隨著病毒的傳播速度、頻率、范圍的不斷擴大，公安網(wǎng)絡(luò)系統(tǒng)中也需要建立全方位、立體化的防御體系，運用全平臺反病毒技術(shù)、自動解壓縮技術(shù)與實時監(jiān)視技術(shù)等完善病毒防御方案。為了實現(xiàn)系統(tǒng)低層和反病毒軟件之間的相互配合，達到殺除病毒的目的，公安網(wǎng)絡(luò)中的計算機應(yīng)運用全平臺反病毒技術(shù)。利用光盤、網(wǎng)絡(luò)等媒介所傳播的軟件通常是以壓縮狀態(tài)存在的，反病毒軟件要對系統(tǒng)內(nèi)部所有的壓縮文件進行解壓縮，清除壓縮包內(nèi)的病毒，若不運用自動解壓技術(shù)，存在于文件中的病毒會隨意傳播。

3、提高系統(tǒng)的可靠性。安網(wǎng)絡(luò)系統(tǒng)中一般是以敏感性資料、社會安全資料為主，這些資料被泄漏或者損壞均會產(chǎn)生嚴重后果。為了提升信息資料的安全性，必須定期備份，同時還應(yīng)增強系統(tǒng)的可靠性。此外，還應(yīng)明確系統(tǒng)災(zāi)難的原因，如雷電、地震等環(huán)境因素，資源共享中，人為入侵等，針對可能出現(xiàn)的系統(tǒng)災(zāi)難，可以建立起對應(yīng)的災(zāi)難備份系統(tǒng)。災(zāi)難恢復(fù)指的是計算機系統(tǒng)遭遇災(zāi)難之后，重組各種資源并恢復(fù)系統(tǒng)運行。