導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇網(wǎng)絡(luò)安全加固建設(shè)，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

隨著高校信息化建設(shè)的全面深入和快速推進(jìn)，基礎(chǔ)網(wǎng)絡(luò)設(shè)施和信息應(yīng)用系統(tǒng)日趨完備，形成了規(guī)模大、結(jié)構(gòu)復(fù)雜、系統(tǒng)多、應(yīng)用全面的網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)。信息化建設(shè)項(xiàng)目多、任務(wù)重，在高效率、高質(zhì)量完成建設(shè)任務(wù)的同時(shí)，需要保證網(wǎng)絡(luò)運(yùn)維和信息安全運(yùn)維的效果和效率，為師生提供良好的用戶體驗(yàn)，這就對(duì)網(wǎng)絡(luò)運(yùn)維提出了更高的要求和標(biāo)準(zhǔn)。網(wǎng)絡(luò)業(yè)務(wù)日益繁多、復(fù)雜多變，各種網(wǎng)絡(luò)問題層出不窮，如黑客攻擊、計(jì)算機(jī)病毒泛濫，高校園網(wǎng)絡(luò)運(yùn)維體系面臨新的問題，能否適應(yīng)新變化就顯得非常重要。建立校園網(wǎng)運(yùn)維體系、解決校園網(wǎng)面臨的問題對(duì)保證高校正常的教學(xué)、科研、管理等工作有著重要意義。

1校園網(wǎng)絡(luò)安全運(yùn)維體系架構(gòu)

隨著信息化在高校的發(fā)展，硬件平臺(tái)、應(yīng)用軟件、操作系統(tǒng)越來越復(fù)雜，難以集中管理，加之師生對(duì)網(wǎng)絡(luò)的高度依賴性，使得保障網(wǎng)絡(luò)的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網(wǎng)絡(luò)管理技術(shù)為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中的關(guān)鍵技術(shù)。高校校園網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)數(shù)量眾多、結(jié)構(gòu)復(fù)雜，且管理控制平臺(tái)多樣，網(wǎng)絡(luò)管理員需要掌握不同平臺(tái)的管理及使用方法，去管理網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)，復(fù)雜度高；網(wǎng)絡(luò)管理員對(duì)應(yīng)用系統(tǒng)的使用權(quán)限不同，難以在不同的業(yè)務(wù)應(yīng)用系統(tǒng)中保持控制策略和用戶權(quán)限的全局一致性，管理網(wǎng)絡(luò)安全事件日趨復(fù)雜化。只有對(duì)所有安全設(shè)備、業(yè)務(wù)系統(tǒng)發(fā)生的安全事件及其運(yùn)行狀態(tài)信息進(jìn)行關(guān)聯(lián)分析，才能有效發(fā)現(xiàn)新的、更深層次的安全隱患。安全管理技術(shù)主要包括安全事件采集、安全事件管理、安全設(shè)備監(jiān)控三大模塊。安全事件釆集，用于采集網(wǎng)絡(luò)中所有安全設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)等的安全日志及運(yùn)行狀態(tài)，這些信息將為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)源，是安全管理的基礎(chǔ)。安全事件管理將采集得到的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析、風(fēng)險(xiǎn)評(píng)估等處理，通過分析可能的安全威脅，提交安全對(duì)象的安全報(bào)告。安全設(shè)備監(jiān)控，是通過監(jiān)控各關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)信息，及時(shí)發(fā)現(xiàn)安全問題并第一時(shí)間進(jìn)行處理。

2校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)的組成

校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)由監(jiān)控中心、安全分析中心、運(yùn)維中心組成，為保證高校校園網(wǎng)絡(luò)的安全提供了科學(xué)合理的方法，有效保障了校園網(wǎng)絡(luò)的安全和穩(wěn)定。監(jiān)控中心，通過事件采集器收集監(jiān)控對(duì)象日志信息及安全事件，經(jīng)過標(biāo)準(zhǔn)化、信息過濾和關(guān)聯(lián)分析后，標(biāo)記安全事件級(jí)別同時(shí)存入數(shù)據(jù)庫。安全分析中心，通過資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、評(píng)價(jià)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)計(jì)算等過程，評(píng)估校園網(wǎng)絡(luò)綜合資產(chǎn)的重要性、脆弱性以及面臨的威脅，為管理員進(jìn)行決策提供依據(jù)；采用事件關(guān)聯(lián)分析算法，尋找海量事件相互關(guān)聯(lián)事件，提取出真正有價(jià)值的少量安全事件威脅，包括業(yè)務(wù)連續(xù)性威脅、數(shù)據(jù)安全威脅、攻擊威脅。運(yùn)維中心，通過安全預(yù)警管理接收業(yè)務(wù)系統(tǒng)防護(hù)平臺(tái)產(chǎn)生的自動(dòng)安全預(yù)警信息或人工預(yù)警信息，再進(jìn)行分級(jí)處理，并按規(guī)定的通知模板將預(yù)警信息傳達(dá)給相關(guān)人員，并運(yùn)用系統(tǒng)安全策略進(jìn)行準(zhǔn)確的預(yù)警，其中系統(tǒng)安全策略由告警的觸發(fā)條件、分析規(guī)則、風(fēng)險(xiǎn)策略、設(shè)施管策略、存儲(chǔ)策略等組成。

3安全運(yùn)維的內(nèi)容

3.1安全巡檢

定期對(duì)校園網(wǎng)絡(luò)安全設(shè)備的日志進(jìn)行深入分析和審計(jì)，包括對(duì)防火墻、IDS、防病毒系統(tǒng)、動(dòng)態(tài)口令認(rèn)證、日志分析系統(tǒng)等的運(yùn)行狀態(tài)、運(yùn)行事件、日志和關(guān)鍵配置文件進(jìn)行收集、分析，并形成相應(yīng)的安全建議。安全巡檢內(nèi)容如下：（1）制訂安全設(shè)備巡檢計(jì)劃和巡檢規(guī)范；（2）定期對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行巡檢；（3）分析和解決在巡檢中發(fā)現(xiàn)的問題；（4）提交巡檢報(bào)告。

3.2漏洞掃描

通過漏洞掃描可以全面、準(zhǔn)確發(fā)現(xiàn)校園網(wǎng)絡(luò)中各系統(tǒng)存在的安全隱患及可能被攻擊的方式，掌握信息系統(tǒng)的安全現(xiàn)狀，為進(jìn)一步保證建設(shè)校園網(wǎng)絡(luò)的安全提供了數(shù)據(jù)參考和實(shí)際的依據(jù)，具有指導(dǎo)校園網(wǎng)絡(luò)安全建設(shè)的作用。對(duì)信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)的安全探測(cè)是漏洞掃描采用的主要技術(shù)手段，通過安全探測(cè)可以發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)潛在的安全隱患和薄弱環(huán)節(jié)。通過漏洞掃描設(shè)備、安全評(píng)估工具以掃描的方式對(duì)整個(gè)校園網(wǎng)中的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行安全掃描，從校園內(nèi)網(wǎng)和校園外網(wǎng)絡(luò)兩個(gè)不同的網(wǎng)絡(luò)環(huán)境來探測(cè)校園網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備部署、服務(wù)器主機(jī)配置、數(shù)據(jù)庫管理員賬號(hào)/口令等校園網(wǎng)絡(luò)對(duì)象目標(biāo)存在的漏洞、安全風(fēng)險(xiǎn)和潛在的威脅。漏洞掃描有利于發(fā)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層的安全問題。（1）系統(tǒng)層安全。各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的操作系統(tǒng)，主要存在操作系統(tǒng)自身的漏洞、風(fēng)險(xiǎn)和威脅，主要包括用戶名、密碼管理、訪問權(quán)限分配和控制、系統(tǒng)漏洞等，以及操作系統(tǒng)的安全配置不夠完善，存在被攻擊的可能。（2）網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)信息是網(wǎng)絡(luò)層的主要安全問題，包括身份認(rèn)證，控制不同身份對(duì)網(wǎng)絡(luò)資源的訪問、傳輸過程中的信息數(shù)據(jù)保密性與完整性、校外網(wǎng)絡(luò)遠(yuǎn)程接入、入侵檢測(cè)的發(fā)現(xiàn)及處理手段等。（3）應(yīng)用層安全。應(yīng)用軟件和數(shù)據(jù)的安全性是應(yīng)用層安全考慮的主要方面，主要有：學(xué)工系統(tǒng)、門戶網(wǎng)站、教務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用服務(wù)、電子郵件系統(tǒng)、防火墻及WAF系統(tǒng)及其他網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)等。掃描流程如圖1所示：

3.3安全加固

針對(duì)巡檢、漏洞掃描、安全評(píng)估過程中發(fā)現(xiàn)的各種安全隱患、系統(tǒng)漏洞，通過補(bǔ)丁升級(jí)、漏洞修復(fù)、進(jìn)行更加嚴(yán)格的安全配置、校園網(wǎng)絡(luò)系統(tǒng)架構(gòu)優(yōu)化與調(diào)整、安全策略升級(jí)與完善等方式及時(shí)對(duì)系統(tǒng)進(jìn)行安全加固，范圍可覆蓋資產(chǎn)梳理、終端檢查、物理檢查、管理體系優(yōu)化、人工檢查、漏洞掃描結(jié)果加固、滲透測(cè)試結(jié)果加固（涉及數(shù)據(jù)庫加固），提高校園網(wǎng)絡(luò)的安全性、抗攻擊和防病毒入侵能力，降低網(wǎng)絡(luò)安全事件發(fā)生的可能性。采用基本安全配置定期檢測(cè)和優(yōu)化，提高各系統(tǒng)、設(shè)備的密碼復(fù)雜度及修改密碼，系統(tǒng)漏洞檢測(cè)、修復(fù)處理，訪問控制策略完善配置，安全的遠(yuǎn)程接入方式，開啟文件系統(tǒng)的審計(jì)策略，開啟系統(tǒng)日志記錄并定期進(jìn)行分析，定期升級(jí)操作系統(tǒng)及更新安裝補(bǔ)丁等手段對(duì)校園網(wǎng)絡(luò)進(jìn)行安全加固。加固完成后，定期對(duì)校園網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估，確保校園網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備具有較高的安全性和抗攻擊能力。加固流程如圖2所示：

4結(jié)語

科學(xué)合理成體系的校園網(wǎng)絡(luò)安全運(yùn)維能有效緩解校園網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)問題，將網(wǎng)絡(luò)安全事件從傳統(tǒng)的事后處理逐漸轉(zhuǎn)變?yōu)槭虑胺婪?，能極大提高網(wǎng)絡(luò)運(yùn)維和安全管理水平，增強(qiáng)校園網(wǎng)絡(luò)的安全性，提供更好的用戶體驗(yàn)，從而實(shí)現(xiàn)安全、穩(wěn)定、抗風(fēng)險(xiǎn)能力強(qiáng)的校園網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]莊天天.安全運(yùn)維平臺(tái)關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2013.

[2]吳京偉.大學(xué)校園網(wǎng)絡(luò)運(yùn)維體系研究[D].合肥:合肥工業(yè)大學(xué),2009.

篇2

服務(wù)器虛擬化的互感器加密等級(jí)越高，其信息平臺(tái)防擴(kuò)散效果越好。采用位串描述檢測(cè)器對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的模式匹配進(jìn)行檢測(cè)，從而提高網(wǎng)絡(luò)安全的防護(hù)等級(jí)。強(qiáng)化對(duì)于技術(shù)人員計(jì)算機(jī)網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全管理意識(shí)的培養(yǎng)，操作人員應(yīng)該運(yùn)用計(jì)算機(jī)多進(jìn)制的通信加密方式，對(duì)繁雜的信息大數(shù)據(jù)進(jìn)行傳輸和有效處理，實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的遠(yuǎn)程操縱，保證服務(wù)器虛擬加密過程不受外界的攻擊。

1數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析

由于網(wǎng)絡(luò)中由于高速運(yùn)行的過程中，往往會(huì)產(chǎn)生一些漏洞，這些漏洞一般是由病毒攻擊導(dǎo)致的。如果出現(xiàn)無人照看的安全漏洞系統(tǒng)進(jìn)一步發(fā)展，就會(huì)造成整個(gè)服務(wù)器癱瘓的嚴(yán)重問題。提升數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)的安全性，技術(shù)人員應(yīng)該定期對(duì)計(jì)算機(jī)病毒進(jìn)行查殺，防止非自體的不良數(shù)據(jù)信息入侵網(wǎng)絡(luò)系統(tǒng)。建立更加安全的計(jì)算機(jī)網(wǎng)絡(luò)免疫系統(tǒng)，對(duì)非自串進(jìn)行準(zhǔn)確識(shí)別。在網(wǎng)站服務(wù)器搭建的過程中，針對(duì)互聯(lián)網(wǎng)環(huán)境分配的情況不同，使用不同的IP段地址來保證信息傳播的安全，或者使用劃分VLAN的形式，對(duì)網(wǎng)站信息碼流開展有效的邏輯隔離。

2數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析及網(wǎng)絡(luò)安全問題探討

2.1運(yùn)用新的防護(hù)墻技術(shù)，開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)

由于計(jì)算機(jī)網(wǎng)絡(luò)接入層中涉及到許多的硬件設(shè)備，硬件條件的穩(wěn)定可靠決定了計(jì)算機(jī)網(wǎng)絡(luò)的可靠程度的高低。可將相鄰的兩個(gè)介入交換機(jī)進(jìn)行堆砌，同時(shí)將終端的服務(wù)器設(shè)備整體介入到連接線路中，再使用捆綁的形勢(shì)將諸多的設(shè)備形成一條效率更高、性能更穩(wěn)定的虛擬鏈接。開展數(shù)據(jù)通信網(wǎng)絡(luò)狀態(tài)分析，網(wǎng)絡(luò)工程技術(shù)人員應(yīng)該運(yùn)用新的防護(hù)墻技術(shù)，開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)。運(yùn)用轉(zhuǎn)入性防火墻技術(shù)規(guī)則結(jié)構(gòu)，開展網(wǎng)絡(luò)訪問界面的信息過濾探索。并且，每一次登錄后臺(tái)系統(tǒng)，必須要采用輸入安全密鑰的方式，才能夠順利進(jìn)入。采用此種登錄方式，重點(diǎn)在于防止閑雜人員進(jìn)入系統(tǒng)的后臺(tái)，對(duì)網(wǎng)絡(luò)信息的系統(tǒng)安全造成破壞。運(yùn)用新的防火墻技術(shù)對(duì)系統(tǒng)安全進(jìn)行防護(hù)，網(wǎng)絡(luò)工程技術(shù)人員必須要使用安全操作允許的數(shù)據(jù)交換方式，進(jìn)行網(wǎng)絡(luò)后臺(tái)系統(tǒng)的層層加固。在轉(zhuǎn)入性防火墻的技術(shù)保護(hù)規(guī)則之下，用戶訪問的時(shí)候需要提供本身的端口協(xié)議，采用這種信息過濾技術(shù)，能夠?qū)⒉环弦蟮男畔⑦M(jìn)行過濾。并且，將帶有安全隱患的信息端口自動(dòng)轉(zhuǎn)到其他的web控制臺(tái)進(jìn)行處理。開展網(wǎng)絡(luò)安全系統(tǒng)加固操作，技術(shù)人員需要根據(jù)信息反饋進(jìn)行技術(shù)規(guī)則優(yōu)化。根據(jù)驗(yàn)證用戶提供的端口協(xié)議進(jìn)行分析，并且建立更加符合操作要求的規(guī)則協(xié)議模塊。為了更好的維護(hù)計(jì)算機(jī)安全，必須要向廣大的人民群眾普及計(jì)算機(jī)故障排除和預(yù)防方法。從社會(huì)宣傳和預(yù)防的角度來說，首先要制定強(qiáng)有力的計(jì)算機(jī)內(nèi)部系統(tǒng)的法律法規(guī)，加強(qiáng)大眾計(jì)算機(jī)常識(shí)性教育，通過多層網(wǎng)絡(luò)結(jié)構(gòu)有效地隔離各種故障，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行性，切實(shí)提高鏈接線路的使用效率和網(wǎng)卡介入水平。推行網(wǎng)絡(luò)文明和信息安全，運(yùn)用新的防護(hù)墻技術(shù)，技術(shù)人員應(yīng)該對(duì)網(wǎng)絡(luò)信息安全操作允許的系統(tǒng)記錄和接口進(jìn)行加密，安全操作的訪問權(quán)限應(yīng)該限制在網(wǎng)絡(luò)內(nèi)部人員中使用。

2.2加強(qiáng)網(wǎng)絡(luò)環(huán)境信道測(cè)試，及時(shí)修復(fù)通信漏洞

采用信道測(cè)試的方式，對(duì)當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行安全測(cè)試，能夠及時(shí)地發(fā)現(xiàn)安全系統(tǒng)中的漏洞，根據(jù)網(wǎng)絡(luò)系統(tǒng)中的安全隱患進(jìn)行修復(fù)，從而顯著增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性。在網(wǎng)絡(luò)性能測(cè)試活動(dòng)中，技術(shù)人員應(yīng)該采用數(shù)據(jù)電路測(cè)試的方式，在DTE的兩端接口處，進(jìn)行信道測(cè)試。使用調(diào)制解調(diào)器進(jìn)行規(guī)程測(cè)試，能夠顯著提升信道測(cè)試的有效性，從而有效排除數(shù)據(jù)電路測(cè)試中的信號(hào)干擾因素。內(nèi)部系統(tǒng)盤盡量不要與外部信息端口隨意接入，在網(wǎng)絡(luò)運(yùn)營(yíng)中必須要進(jìn)行科學(xué)的網(wǎng)絡(luò)系統(tǒng)管理，如果確實(shí)需要進(jìn)行外部端口接入時(shí)，一定要對(duì)其進(jìn)行信息保障化處理。從網(wǎng)絡(luò)安全防護(hù)體系建設(shè)出發(fā)，顯著提升網(wǎng)絡(luò)系統(tǒng)的安全性。對(duì)ACL訪問方式進(jìn)行控制，采用信息過濾的方式，對(duì)于不信任的訪問進(jìn)行攔截，從而有效防范DOS攻擊。使用IPSEC-VPN組網(wǎng)方式，對(duì)數(shù)據(jù)通訊系統(tǒng)的安全性進(jìn)行加固，從而提升數(shù)據(jù)通訊系統(tǒng)的數(shù)據(jù)處理能力。將NAT地址進(jìn)行隱藏，從而減少黑客攻擊的命中率。采用一系列的軟件升級(jí)新技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境安全進(jìn)行深度保障性建設(shè)。

2.3重點(diǎn)防范木馬攻擊，建立嚴(yán)格的網(wǎng)路安全檢查制度

為了提升數(shù)據(jù)通信的工作效率，維護(hù)網(wǎng)絡(luò)整體安全，技術(shù)人員應(yīng)該對(duì)WEB安全進(jìn)行防護(hù)，重點(diǎn)防范可能存在的木馬攻擊。對(duì)于不明來歷的儲(chǔ)存卡和USB設(shè)備，應(yīng)該禁止將其接入到內(nèi)部網(wǎng)絡(luò)中，防止出現(xiàn)數(shù)據(jù)系統(tǒng)感染問題。加強(qiáng)對(duì)于WEB系統(tǒng)的安全防范，經(jīng)常性地檢查內(nèi)部窗口是否處于正常的運(yùn)轉(zhuǎn)狀態(tài)，防止網(wǎng)頁被惡意篡改。通常多層網(wǎng)絡(luò)結(jié)構(gòu)中包括計(jì)算機(jī)的接入層、操作室的核心層和內(nèi)部信息的分布層，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理方面來看，為了提高網(wǎng)絡(luò)的可靠性，必須要對(duì)終端接入的可靠性進(jìn)行穩(wěn)定。加強(qiáng)設(shè)備自身安全性建設(shè)，對(duì)系統(tǒng)進(jìn)行定期的檢查，對(duì)于網(wǎng)絡(luò)系統(tǒng)的脆弱部分進(jìn)行定期的優(yōu)化與升級(jí)處理。建立能夠抵抗DOS和DDOS攻擊的數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)。核心設(shè)備的訪問方面，應(yīng)該采用管理員SSL加密登錄的方式，實(shí)現(xiàn)業(yè)務(wù)與管理界面分離。并且登錄密碼應(yīng)該采用防破解設(shè)計(jì)方式，采用固定密碼配合動(dòng)態(tài)密碼的方式，提升密碼系統(tǒng)的安全性。

3結(jié)束語

為了適應(yīng)經(jīng)濟(jì)社會(huì)發(fā)展和辦公環(huán)境的需要，必須要采取合理有效的措施提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性.可以通過提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性，注重計(jì)算機(jī)系統(tǒng)軟件升級(jí)，運(yùn)用新的安全防護(hù)方式，實(shí)現(xiàn)網(wǎng)絡(luò)通信模式的升級(jí)。

參考文獻(xiàn)

[1]郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問題的探討[J].科技資訊,2011(26):9-9,11.

[2]石加歆.對(duì)通信網(wǎng)絡(luò)維護(hù)以及網(wǎng)絡(luò)的安全之我見[J].城市建設(shè)理論研究（電子版）,2012(02).

篇3

1消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全隱患

（1）人為因素方面存在的安全隱患

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及應(yīng)用給官兵日常工作帶來了極大的方便，只要用一臺(tái)電腦就可以進(jìn)行日常辦公。然而，消防部隊(duì)官兵網(wǎng)絡(luò)安全意識(shí)淡薄，缺乏安全知識(shí)，或打開網(wǎng)頁瀏覽網(wǎng)絡(luò)信息后不能及時(shí)關(guān)閉網(wǎng)頁，導(dǎo)致重要信息泄露；或數(shù)字證書使用后不能及時(shí)從電腦上取下，埋下安全隱患；或使用U盤、移動(dòng)硬盤等移動(dòng)數(shù)碼存儲(chǔ)介質(zhì)時(shí)沒有進(jìn)行殺毒處理，極易導(dǎo)致系統(tǒng)感染病毒或造成系統(tǒng)信息泄露；或不注意對(duì)殺毒軟件進(jìn)行更新、升級(jí)，無法保證殺毒軟件的監(jiān)控功能和查殺功能。另外，消防部隊(duì)官兵大部分不屬于計(jì)算機(jī)專業(yè)，接觸計(jì)算機(jī)網(wǎng)絡(luò)項(xiàng)目少，缺乏網(wǎng)絡(luò)安全維護(hù)知識(shí)，對(duì)網(wǎng)絡(luò)安全防護(hù)操作不了解，在系統(tǒng)應(yīng)用過程中容易出現(xiàn)一機(jī)兩用、信息泄密、感染病毒等現(xiàn)象。消防部隊(duì)官兵網(wǎng)絡(luò)系統(tǒng)安全意識(shí)淡薄、安全防護(hù)知識(shí)缺乏為消防部隊(duì)的網(wǎng)絡(luò)系統(tǒng)埋下了極大的安全隱患。

（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)以及技術(shù)方面存在的安全隱患

由于受投入資金的限制，消防部分的網(wǎng)絡(luò)信息化建設(shè)明顯不完善，尤其是調(diào)度指揮網(wǎng)的建設(shè)以及各種專用網(wǎng)的建設(shè)均無法滿足現(xiàn)實(shí)需求，即沒有做到專網(wǎng)專機(jī)專用，在網(wǎng)絡(luò)安全隔離方面也沒有設(shè)置網(wǎng)閘、硬件防火墻等安全防護(hù)設(shè)施，而且僅僅采用雙網(wǎng)卡接入方式實(shí)現(xiàn)部分網(wǎng)絡(luò)的接入，使網(wǎng)絡(luò)系統(tǒng)的安全性得不到保障。另外，部分網(wǎng)絡(luò)為了調(diào)試方便，幾乎在電腦硬件上不設(shè)置任何防護(hù)措施，使電腦端口呈開發(fā)狀態(tài)，這樣極易給一些不法人員以可乘之機(jī)嗎，對(duì)系統(tǒng)實(shí)施惡意攻擊，最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。在網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用方面，在安全防護(hù)技術(shù)方面的投入不足，殺毒軟件等安全防護(hù)軟件不能及時(shí)更新、升級(jí)，系統(tǒng)漏洞較多，容易受到攻擊及病毒感染，甚至造成不同網(wǎng)絡(luò)的病毒交叉感染，最終系統(tǒng)癱瘓。

（3）數(shù)據(jù)存儲(chǔ)存方面存在的安全隱患

隨著系統(tǒng)數(shù)量的不斷增加，數(shù)據(jù)的存儲(chǔ)問題越來越突出，如何保證數(shù)據(jù)的完整性、安全性使目前要解決的重要問題。導(dǎo)致系統(tǒng)數(shù)據(jù)丟失的因素有很多，網(wǎng)絡(luò)硬件故障、系統(tǒng)管理不善或者自然災(zāi)害等情況均可以導(dǎo)致數(shù)據(jù)丟失。消防部隊(duì)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)存儲(chǔ)存在的安全風(fēng)險(xiǎn)主要體現(xiàn)在以下幾個(gè)方面：①操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全防護(hù)能力不高，當(dāng)系統(tǒng)造成惡意攻擊時(shí)可導(dǎo)致系統(tǒng)崩潰，進(jìn)而造成數(shù)據(jù)丟失；②系統(tǒng)的硬件由于兼容性的限制而無法實(shí)現(xiàn)數(shù)據(jù)的有效備份，一旦計(jì)算機(jī)硬盤發(fā)生故障即可導(dǎo)致存儲(chǔ)數(shù)據(jù)丟失；③系統(tǒng)數(shù)據(jù)缺乏完善的保密機(jī)制，導(dǎo)致數(shù)據(jù)泄露現(xiàn)象頻發(fā)。

2消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的應(yīng)對(duì)策略

2.1加強(qiáng)硬件防護(hù)

硬件是實(shí)現(xiàn)信息化建設(shè)的基礎(chǔ)設(shè)施，是解決網(wǎng)絡(luò)安全問題的關(guān)鍵所在。首先要加強(qiáng)機(jī)房建設(shè)，健全機(jī)房設(shè)備，建立高效的、適用的供電系統(tǒng)、UPS系統(tǒng)、防雷系統(tǒng)等，機(jī)房交換機(jī)設(shè)備、路由器設(shè)備要保證具有較好的穩(wěn)定性性和較高的運(yùn)行速度，以確保網(wǎng)絡(luò)通信暢通。機(jī)房服務(wù)器的運(yùn)行指標(biāo)要滿足一定要求，保證服務(wù)器穩(wěn)定、高效運(yùn)行。網(wǎng)閘、硬件防火墻的等設(shè)備要符合公安要求，以便實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的對(duì)接，這對(duì)保證網(wǎng)絡(luò)的安全運(yùn)行非常重要。另外，在數(shù)據(jù)存儲(chǔ)方面，一定要加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)應(yīng)用的管理，移動(dòng)存儲(chǔ)介質(zhì)在對(duì)接公安網(wǎng)時(shí)要進(jìn)行殺毒，存儲(chǔ)介質(zhì)在確定不含機(jī)密文件的情況下才能插入如聯(lián)網(wǎng)。網(wǎng)絡(luò)建設(shè)中各種硬件設(shè)備一旦發(fā)生故障要及時(shí)維修或者更換。

2.2加強(qiáng)軟件防護(hù)

消防部隊(duì)的網(wǎng)絡(luò)建設(shè)需要安裝正版的系統(tǒng)軟件，一方面保證系統(tǒng)的性能，另一方面保證系統(tǒng)的安全。在數(shù)據(jù)庫的管理和應(yīng)用中，需要由專業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)管理人員進(jìn)行數(shù)據(jù)庫操作，在設(shè)計(jì)數(shù)據(jù)庫的過程中要考慮到各數(shù)據(jù)之間的關(guān)系，并正確配置，對(duì)數(shù)據(jù)庫的用戶數(shù)量進(jìn)行一定限制，明確不同用戶的職責(zé)范圍和使用權(quán)限，對(duì)于一些機(jī)密數(shù)據(jù)要進(jìn)行加密處理。為了保證數(shù)據(jù)的完整性和有效性，要做好數(shù)據(jù)庫數(shù)據(jù)備份工作，制定完善的數(shù)據(jù)備份策略。嚴(yán)格遵守軟件的開發(fā)要求，有必要時(shí)需要關(guān)閉影響網(wǎng)絡(luò)安全的服務(wù)，以確保系統(tǒng)的安全運(yùn)行。加強(qiáng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用，安裝殺毒軟件，設(shè)置防火墻，定期檢查和修復(fù)系統(tǒng)漏洞，同時(shí)注意對(duì)殺毒軟件的更新。目前應(yīng)用較廣泛的計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)有加密技術(shù)、防火墻、病毒防護(hù)技術(shù)、入侵檢測(cè)技術(shù)等。①加密技術(shù)是進(jìn)行網(wǎng)絡(luò)安全防護(hù)的核心技術(shù)，經(jīng)過多樣的研究和開發(fā)，現(xiàn)代加密技術(shù)基本已經(jīng)實(shí)現(xiàn)了數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)真實(shí)性以及數(shù)據(jù)可控性的完美結(jié)合，在當(dāng)前的網(wǎng)絡(luò)信息安全管理中發(fā)揮著重要作用。②防火墻是阻擋網(wǎng)絡(luò)外部風(fēng)險(xiǎn)的重要措施，是一種用于加強(qiáng)網(wǎng)絡(luò)之間安全訪問控制，阻止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，是一種非常有效的安全策略。根據(jù)所采用技術(shù)的不同，防火墻可分為多個(gè)類型，包括過濾性防火墻、型防火墻、監(jiān)測(cè)型防火墻等等。③病毒是網(wǎng)絡(luò)安全的最大隱患之一，采用有效的防病毒技術(shù)可以防止病毒對(duì)計(jì)算機(jī)系統(tǒng)造成破壞。當(dāng)前的防病毒技術(shù)主要有病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)以及病毒消除技術(shù)等。

2.3加強(qiáng)管理

（1）建立健全的網(wǎng)絡(luò)安全防范機(jī)制

其一，制定物理隔離相關(guān)規(guī)定，并加強(qiáng)執(zhí)行力度，以消除一機(jī)兩用的現(xiàn)象；其二，規(guī)范網(wǎng)絡(luò)安全管理和維護(hù)，局域網(wǎng)內(nèi)需安裝網(wǎng)絡(luò)版防病毒軟件以及其他安全防護(hù)軟件，并進(jìn)行及時(shí)更新、升級(jí)，以便最大程度消除安全隱患。其三，針對(duì)網(wǎng)絡(luò)病毒制定有效的應(yīng)急預(yù)案，以應(yīng)對(duì)大規(guī)模的病毒發(fā)作，提高系統(tǒng)運(yùn)行性能和應(yīng)急能力。

（2）對(duì)主機(jī)本身進(jìn)行安全加固

服務(wù)器是網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵部分，一定因?yàn)榉?wù)器問題引發(fā)安全問題或者導(dǎo)致系統(tǒng)癱瘓將會(huì)造成不可估量的損傷，所以網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)必須要重視對(duì)服務(wù)器的管理，對(duì)重點(diǎn)服務(wù)器進(jìn)行安全加固。服務(wù)器加固的方法有多種，常見的有增打補(bǔ)丁、或利用安全掃描技術(shù)對(duì)系統(tǒng)服務(wù)器進(jìn)行掃描分析，以便找出系統(tǒng)中潛在的安全隱患，并及時(shí)消除。另外，對(duì)重要的、安全級(jí)別較高的系統(tǒng)建立應(yīng)急預(yù)案，同時(shí)建立數(shù)據(jù)安全策略。

（3）制定詳細(xì)的管理措施

為了進(jìn)一步加強(qiáng)安全管理，消防部隊(duì)?wèi)?yīng)根據(jù)實(shí)際需求制定比較詳細(xì)的管理細(xì)節(jié)，同時(shí)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，通過對(duì)系統(tǒng)的定期分析了解系統(tǒng)各個(gè)層次的安全狀況以及潛在的風(fēng)險(xiǎn)，信息安全評(píng)估內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、軟件安全、數(shù)據(jù)安全、應(yīng)用安全、管理安全等等多個(gè)方面，其中尤其要重視軟件的安全，詳細(xì)分析各種安全要素，以保證系統(tǒng)軟件的安全應(yīng)用。

（4）制定完善的訪問控制策略

有效的控制訪問策略是提高系統(tǒng)安全抵抗能力，缺乏系統(tǒng)數(shù)據(jù)安全性的重要手段。網(wǎng)絡(luò)系統(tǒng)的安全控制管理一方面要建立認(rèn)證系統(tǒng)，為確保系統(tǒng)數(shù)據(jù)信息的安全性必須要加強(qiáng)訪問權(quán)限管理。另一方面可以充分應(yīng)用IP限制技術(shù)、或者與MAC綁定技術(shù)加強(qiáng)系統(tǒng)訪問控制管理。

（5）提高全員的安全意識(shí)，加強(qiáng)安全知識(shí)學(xué)習(xí)

隨著網(wǎng)絡(luò)系統(tǒng)的普及應(yīng)用，提高安全意識(shí)是保證網(wǎng)絡(luò)系統(tǒng)安全性的關(guān)鍵所在。其一，必須要從思想上認(rèn)識(shí)到網(wǎng)絡(luò)安全防護(hù)的重要性，杜絕使用未經(jīng)殺毒處理、或者其他來歷不明的軟件，不隨便查看、閱讀、下載網(wǎng)絡(luò)上來歷不明的郵件或者文件；其二，用戶應(yīng)增強(qiáng)安全防護(hù)意識(shí)，對(duì)計(jì)算機(jī)系統(tǒng)要設(shè)置密碼，不使用影響系統(tǒng)完全的服務(wù)，取消完全共享，并定期對(duì)系統(tǒng)和相關(guān)軟件進(jìn)行殺毒，增打補(bǔ)丁。其三，對(duì)全體官兵進(jìn)行網(wǎng)絡(luò)安全知識(shí)教育和普及，并落實(shí)網(wǎng)絡(luò)安全責(zé)任，培養(yǎng)高素質(zhì)的計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)人才。

3結(jié)論

網(wǎng)絡(luò)安全防護(hù)是一個(gè)比較復(fù)雜的、需要長(zhǎng)期堅(jiān)持的任務(wù)，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等威脅系統(tǒng)安全的技術(shù)也不斷升級(jí)、更新，讓人防不慎防范。在網(wǎng)絡(luò)安全問題逐漸多樣化、復(fù)雜化的趨勢(shì)性，網(wǎng)絡(luò)安全防護(hù)也需要從多方面加強(qiáng)防護(hù)措施，建立多層次的、立體的防護(hù)體系，全方位維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

作者：李哲強(qiáng) 單位：呼倫貝爾市公安消防支隊(duì)司令部

引用：

[1]唐鎮(zhèn).基層消防部隊(duì)網(wǎng)絡(luò)和信息安全問題及管理對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[2]郭浩.當(dāng)前消防部隊(duì)網(wǎng)絡(luò)信息安全問題及措施分析[J].信息安全與技術(shù)，2013.

篇4

中圖分類號(hào)：TP319.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 22-0000-01

"Computer Network Security" Teaching Study

Jiang Cui,Cheng Shoumian

(Xianning Vocational Technical College,Xianning 437100,China)

Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.

Keywords:Network Security;Network technology

前言：通過計(jì)算機(jī)網(wǎng)絡(luò)，人們可以非常方便地存儲(chǔ)、交換以及搜索信息，在工作、生活以及娛樂中享受極大的便利。然而，人們?cè)谙硎苡?jì)算機(jī)網(wǎng)絡(luò)所帶來的巨大便利的同時(shí)，也受到計(jì)算機(jī)網(wǎng)絡(luò)本身所暴露出的各種安全問題的困擾。這些安全問題給人類社會(huì)所依賴的“網(wǎng)絡(luò)社會(huì)”蒙上了陰影。計(jì)算機(jī)網(wǎng)絡(luò)安全問題已成為一個(gè)世界性的現(xiàn)實(shí)問題。可以說沒有網(wǎng)絡(luò)安全，就沒有完全意義上的國(guó)家安全，也沒有真正的政治安全、軍事安全和經(jīng)濟(jì)安全。因此，加速計(jì)算機(jī)網(wǎng)絡(luò)安全的研究和發(fā)展，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全保障能力，提高全民的網(wǎng)絡(luò)安全意識(shí)，加速培養(yǎng)網(wǎng)絡(luò)安全專門人才已成為我國(guó)網(wǎng)絡(luò)化合信息化發(fā)展的當(dāng)務(wù)之急?！队?jì)算機(jī)網(wǎng)絡(luò)安全》課程在課程體系中占有重要的地位，《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的教學(xué)不容忽視，《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的教學(xué)研究探討有重要的意義。

一、《計(jì)算機(jī)網(wǎng)絡(luò)安全》在網(wǎng)絡(luò)專業(yè)課程體系中的地位

先行課程：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》、《網(wǎng)站建設(shè)》、《網(wǎng)絡(luò)數(shù)據(jù)庫》和《網(wǎng)絡(luò)設(shè)備與互聯(lián)》；并行課程：《網(wǎng)絡(luò)管理》；后繼課程：《網(wǎng)絡(luò)攻擊與防御》、《數(shù)據(jù)備份與災(zāi)難恢復(fù)技術(shù)》和《網(wǎng)絡(luò)安全與電子商務(wù)》。

《計(jì)算機(jī)網(wǎng)絡(luò)安全》這門課程在網(wǎng)絡(luò)專業(yè)體系結(jié)構(gòu)中位于網(wǎng)絡(luò)安全領(lǐng)域課程的首位。是網(wǎng)絡(luò)安全方向?qū)W習(xí)必不可少的課程。它依據(jù)《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》課程，系統(tǒng)的講解了網(wǎng)絡(luò)技術(shù)相關(guān)的基本原理和網(wǎng)絡(luò)應(yīng)用技術(shù)，使學(xué)生掌握了網(wǎng)絡(luò)的理論基礎(chǔ)知識(shí)和網(wǎng)絡(luò)應(yīng)用技術(shù)；《網(wǎng)絡(luò)數(shù)據(jù)庫》全面地介紹了數(shù)據(jù)庫基礎(chǔ)、SQL Server的安全性管理、SQL Server2005數(shù)據(jù)庫系統(tǒng)管理、開發(fā)和應(yīng)用的相關(guān)原理、方法和技術(shù)；《網(wǎng)站建設(shè)》系統(tǒng)地介紹了網(wǎng)站規(guī)劃建設(shè)與管理維護(hù)的知識(shí)和技術(shù)，訓(xùn)練了學(xué)生網(wǎng)站建設(shè)和規(guī)劃及維護(hù)的能力；《網(wǎng)絡(luò)設(shè)備與互聯(lián)》詳細(xì)介紹了構(gòu)建園區(qū)網(wǎng)所涉及的交換、路由、安全等方面的知識(shí)，以及將園區(qū)網(wǎng)接入到互聯(lián)網(wǎng)的相關(guān)技術(shù)。這些課程為網(wǎng)絡(luò)安全課程的學(xué)習(xí)奠定了良好的基礎(chǔ)，為網(wǎng)絡(luò)安全問題的解決提供了必要條件。

《計(jì)算機(jī)網(wǎng)絡(luò)安全》是培養(yǎng)網(wǎng)絡(luò)管理員，成就網(wǎng)絡(luò)工程師課程體系中一個(gè)重要的組成部分。它屬于“組網(wǎng)、用網(wǎng)、管網(wǎng)”中的“管網(wǎng)”部分。主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的管理和網(wǎng)絡(luò)應(yīng)用專業(yè)崗位而設(shè)置。

二、《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的培養(yǎng)目標(biāo)

作為《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程設(shè)置的主要內(nèi)容有：網(wǎng)絡(luò)故障安全應(yīng)急處理，黑客攻擊造成的網(wǎng)絡(luò)安全異常及診斷分析，病毒造成的主機(jī)網(wǎng)絡(luò)異常診斷和分析，無線網(wǎng)絡(luò)系統(tǒng)加固技術(shù)，網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署，加密、解密技術(shù)及其應(yīng)用，主機(jī)操作系統(tǒng)和應(yīng)用服務(wù)器系統(tǒng)安全加固，故障后的數(shù)據(jù)恢復(fù)技術(shù)。對(duì)我們高職學(xué)生學(xué)習(xí)該課程，對(duì)應(yīng)的職業(yè)崗位，主要是針對(duì)初級(jí)并界于中級(jí)的網(wǎng)絡(luò)管理員以及為網(wǎng)絡(luò)工程師職業(yè)打下堅(jiān)實(shí)基礎(chǔ)。要想成為中高級(jí)網(wǎng)絡(luò)管理員必須經(jīng)過后續(xù)課程的不斷努力學(xué)習(xí)。

（一）職業(yè)所需的專業(yè)能力。（1）熟悉常見計(jì)算機(jī)病毒的現(xiàn)象特征，掌握其清除和防范技術(shù)，能清除常見計(jì)算機(jī)病毒，（2）熟悉操作系統(tǒng)的安全設(shè)置，能有效的保護(hù)所管理的計(jì)算機(jī)安全可靠運(yùn)行，（3）掌握防火墻的原理及功能特性，掌握防火墻的配置技術(shù)，能保證園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備可靠工作，（4）了解黑客的入侵過程，掌握防范黑客攻擊的一般措施，能防范一般的黑客攻擊，（5）掌握數(shù)據(jù)備份和恢復(fù)技術(shù)，能應(yīng)對(duì)數(shù)據(jù)的急救處理。

（二）職業(yè)所需的通用能力。（1）網(wǎng)絡(luò)安全的法律和法規(guī)意識(shí)。掌握我國(guó)制訂的相關(guān)網(wǎng)絡(luò)安全法規(guī)和法律知識(shí)，了解我國(guó)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。（2）團(tuán)隊(duì)協(xié)作精神。網(wǎng)絡(luò)安全是一個(gè)龐大而復(fù)雜的領(lǐng)域，需要團(tuán)隊(duì)的分工合作。（3）養(yǎng)成自學(xué)習(xí)慣。網(wǎng)絡(luò)安全領(lǐng)域知識(shí)變化日新月異，需要不但學(xué)習(xí)，要培養(yǎng)“活到老，學(xué)到老”的自學(xué)習(xí)慣。（4）與人溝通意識(shí)。

三、《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程教學(xué)手段

“以職業(yè)活動(dòng)為導(dǎo)向，以工作過程為導(dǎo)向”，本課程內(nèi)容組織與安排遵循學(xué)生職業(yè)能力培養(yǎng)的基本規(guī)律，圍繞職業(yè)能力目標(biāo)的實(shí)現(xiàn)來展開。教學(xué)手段：虛擬、真實(shí)環(huán)境相結(jié)合。以學(xué)校的實(shí)訓(xùn)室為研究對(duì)象，按照項(xiàng)目實(shí)訓(xùn)步驟進(jìn)行教學(xué)。教師在虛擬（計(jì)算機(jī)網(wǎng)絡(luò)安全攻防實(shí)訓(xùn)系統(tǒng)，如泰谷網(wǎng)絡(luò)攻防實(shí)驗(yàn)系統(tǒng)）和真實(shí)（計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作演示；學(xué)生在虛擬（計(jì)算機(jī)網(wǎng)絡(luò)安全攻防實(shí)訓(xùn)系統(tǒng)）和真實(shí)（計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作練習(xí)；在實(shí)訓(xùn)室中，學(xué)生按分組用真實(shí)的網(wǎng)絡(luò)軟硬件進(jìn)行網(wǎng)絡(luò)攻防訓(xùn)練。并輔以課外學(xué)習(xí)，學(xué)習(xí)網(wǎng)站有：黑客基地（），黑客防線（.cn），中國(guó)黑客聯(lián)盟（），中國(guó)黑客入侵組（），安全焦點(diǎn)（）。然后輸送學(xué)生到附近的校外實(shí)訓(xùn)基地真實(shí)的環(huán)境中學(xué)習(xí)鍛煉，直接掌握職業(yè)崗位的需求知識(shí)和技能。

參考文獻(xiàn)：

[1]辜川毅,主編.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].機(jī)械工業(yè)出版社,2009

篇5

中圖分類號(hào)：TP393.08

1 安全管理體系結(jié)構(gòu)及功能

1.1 安全管理體系結(jié)構(gòu)

網(wǎng)絡(luò)安全是企業(yè)安全有效運(yùn)行的保障，安全管理體系主要包括安全策略、安全運(yùn)作、安全管理等。安全策略管理是企業(yè)網(wǎng)絡(luò)安全運(yùn)行的體系基礎(chǔ)，有利于項(xiàng)目建設(shè)規(guī)范化管理和運(yùn)行和安全工作的開展。安全基礎(chǔ)設(shè)施系統(tǒng)主要有訪問控制、桌面管理、認(rèn)證管理、防垃圾系統(tǒng)、服務(wù)器監(jiān)控與日志統(tǒng)一管理系統(tǒng)、漏洞掃描系統(tǒng)、服務(wù)器加固系統(tǒng)等。萊鋼計(jì)算機(jī)網(wǎng)絡(luò)整體架構(gòu)圖如圖1所示。

1.2 安全管理系統(tǒng)功能

安全管理系統(tǒng)的功能將所管轄的IP計(jì)算機(jī)信息根據(jù)分類登記，有利于其他安全管理模塊進(jìn)行數(shù)據(jù)連接和信息共享，并配備服務(wù)器和交換機(jī)加固工具，及時(shí)掌握網(wǎng)絡(luò)中各個(gè)系統(tǒng)的最新安全風(fēng)險(xiǎn)動(dòng)態(tài)，并及時(shí)的對(duì)服務(wù)器文件、進(jìn)程、注冊(cè)表等進(jìn)行保護(hù)。安全監(jiān)控系統(tǒng)是監(jiān)控全網(wǎng)事件報(bào)警信息，對(duì)當(dāng)前事件進(jìn)行安全監(jiān)督和實(shí)時(shí)監(jiān)控，有利于企業(yè)網(wǎng)絡(luò)安全運(yùn)行和業(yè)務(wù)系統(tǒng)的安全性，監(jiān)控的產(chǎn)品主要包括網(wǎng)絡(luò)中的設(shè)備、日志相關(guān)信息、相關(guān)事件的報(bào)警信息等。

2 網(wǎng)絡(luò)系統(tǒng)安全體系的設(shè)計(jì)與實(shí)施

2.1 身份認(rèn)證系統(tǒng)設(shè)計(jì)分析

網(wǎng)絡(luò)安全運(yùn)維管理中心設(shè)置在信息中心，擔(dān)負(fù)全網(wǎng)桌面安全管理，通過制定相關(guān)策略、委派安全角色，對(duì)全網(wǎng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析和安全管理，并通過一系列的安全運(yùn)行策略建立安全身份認(rèn)證體系。萊鋼統(tǒng)一身份認(rèn)證系統(tǒng)架構(gòu)圖如圖2所示。

RSA SeucrID由認(rèn)證服務(wù)器RSA ACE/Server、軟件RSA ACE/Agent、認(rèn)證設(shè)備以及認(rèn)證應(yīng)用編程接口（API）組成。RSA ACE/Server軟件是網(wǎng)絡(luò)中的認(rèn)證引擎，由安全管理員或網(wǎng)絡(luò)管理員進(jìn)行維護(hù)。

2.2 計(jì)算機(jī)資產(chǎn)安全管理系統(tǒng)

計(jì)算機(jī)資產(chǎn)安全管理為萊鋼的高層管理人員提供全網(wǎng)資源的多維度分析報(bào)表。信息中心成為萊鋼的IT系統(tǒng)的“安全策略中心”、“安全管理中心”、“數(shù)據(jù)匯聚中心”和“報(bào)表總中心”。下設(shè)一級(jí)管理中心，分布在各分部，由總中心授權(quán)負(fù)責(zé)對(duì)分部人員權(quán)限管理和桌面系統(tǒng)管理，并具體實(shí)現(xiàn)對(duì)各終端桌面目錄、桌面管理、軟件分發(fā)、系統(tǒng)自動(dòng)升級(jí)管理、信息安全和管理監(jiān)控功能。軟件分發(fā)工具大大提高了萊鋼桌面計(jì)算機(jī)管理的自動(dòng)化程度，提高管理效率。自動(dòng)化的工作流程還可以避免人工操作帶來的風(fēng)險(xiǎn)，使萊鋼的桌面計(jì)算機(jī)上的資產(chǎn)得到更好的保護(hù)。通過軟件分發(fā)機(jī)制，從桌面計(jì)算機(jī)標(biāo)準(zhǔn)化支撐平臺(tái)將軟件分發(fā)到指定的桌面計(jì)算機(jī)和支撐平臺(tái)內(nèi)部指定的服務(wù)器，消除對(duì)桌面計(jì)算機(jī)和服務(wù)器的訪問等人為因素導(dǎo)致的錯(cuò)誤。及時(shí)安裝操作系統(tǒng)更新補(bǔ)丁，避免成為黑客和病毒的攻擊對(duì)象。及時(shí)安裝應(yīng)用程序的補(bǔ)丁，減少安全隱患，增加應(yīng)用程序穩(wěn)定性和功能。對(duì)服務(wù)器系統(tǒng)的補(bǔ)丁需要經(jīng)過評(píng)估對(duì)現(xiàn)有系統(tǒng)的影響，避免出現(xiàn)業(yè)務(wù)系統(tǒng)故障。服務(wù)器系統(tǒng)的補(bǔ)丁需要利用自動(dòng)檢測(cè)技術(shù)，通過人工的評(píng)估，再實(shí)現(xiàn)自動(dòng)分發(fā)和手工安裝。

2.3 EAD端點(diǎn)準(zhǔn)入防御體系

EAD安全準(zhǔn)入主要是通過身份認(rèn)證和安全策略檢查的方式，對(duì)未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。

2.4 網(wǎng)絡(luò)安全模型的設(shè)計(jì)

從網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全的角度出發(fā)，設(shè)計(jì)歸納萊鋼網(wǎng)絡(luò)系統(tǒng)安全模型，主要包括：（1）網(wǎng)絡(luò)架構(gòu)防護(hù)：采用網(wǎng)絡(luò)邊界防毒、統(tǒng)一身份認(rèn)證技術(shù)和針對(duì)于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)器的漏洞掃描技術(shù)；（2）應(yīng)用系統(tǒng)風(fēng)險(xiǎn)防護(hù)：采用的主要技術(shù)包括防病毒技術(shù)、服務(wù)器系統(tǒng)加固技術(shù)、計(jì)算機(jī)資產(chǎn)安全管理技術(shù)、補(bǔ)丁管理技術(shù)、主頁防篡改技術(shù)、防垃圾郵件技術(shù)、災(zāi)難備份恢復(fù)技術(shù)及統(tǒng)一日志管理技術(shù)；（3）安全管理體系建立：通過對(duì)安全策略進(jìn)行有效的和貫徹執(zhí)行，可以規(guī)范項(xiàng)目建設(shè)、運(yùn)行維護(hù)相關(guān)的安全內(nèi)容，指導(dǎo)各種安全工作的開展和流程，確保IP網(wǎng)的安全；（4）集中管理、整合監(jiān)控：對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行綜合集中管理，對(duì)日常的系統(tǒng)、網(wǎng)絡(luò)、資產(chǎn)以及安全等日常運(yùn)行能夠擁有較為統(tǒng)一的管理入口，對(duì)系統(tǒng)網(wǎng)絡(luò)可用性、資產(chǎn)有效性、安全防范諸多管理功能的組件進(jìn)行事件級(jí)的整合、分析和響應(yīng)。

3 結(jié)束語

互聯(lián)網(wǎng)已經(jīng)深度滲透到各個(gè)領(lǐng)域，成為事關(guān)國(guó)家安全的基礎(chǔ)設(shè)施和斗爭(zhēng)，網(wǎng)絡(luò)安全是保證各種應(yīng)用系統(tǒng)數(shù)據(jù)安全的重要基礎(chǔ)，必須加強(qiáng)和采取有效的預(yù)防措施，掌握網(wǎng)絡(luò)資源狀況及實(shí)用信息，可提高網(wǎng)絡(luò)管理的效率。

參考文獻(xiàn)：

[1]溫貴江.基于數(shù)據(jù)包過濾技術(shù)的個(gè)人防火墻系統(tǒng)設(shè)計(jì)與研究[D].吉林大學(xué)，2010.

篇6

1基本情況

中國(guó)建材集團(tuán)核心機(jī)房按照國(guó)家信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺(tái)網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個(gè)區(qū)域。機(jī)房?jī)?nèi)，各區(qū)域之間部署防火墻進(jìn)行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對(duì)來自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測(cè)系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)以及審計(jì)服務(wù)器，對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險(xiǎn)，強(qiáng)化內(nèi)網(wǎng)安全率。門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和部署，并依據(jù)國(guó)資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機(jī)分散部署的非信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國(guó)家信息安全等級(jí)保護(hù)二級(jí)進(jìn)行定級(jí)，重點(diǎn)信息系統(tǒng)達(dá)到國(guó)家信息安全等級(jí)保護(hù)三級(jí)管理標(biāo)準(zhǔn)，核心機(jī)房?jī)?nèi)獨(dú)立運(yùn)行的信息系統(tǒng)全部滿足公安部對(duì)中央企業(yè)信息系統(tǒng)安全等級(jí)保護(hù)要求。同時(shí)定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測(cè)評(píng)、信息系統(tǒng)等級(jí)保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運(yùn)行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

2技術(shù)體系架構(gòu)

中國(guó)建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》設(shè)計(jì)、采購(gòu)和部署符合等級(jí)保護(hù)基本要求的安全產(chǎn)品，從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實(shí)際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計(jì)6個(gè)安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨(dú)立線路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)模式部署，同時(shí)按照安全風(fēng)險(xiǎn)和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。物理安全。核心機(jī)房依據(jù)國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個(gè)方面進(jìn)行詳細(xì)設(shè)計(jì)，嚴(yán)格按照計(jì)算機(jī)等各種微機(jī)電子設(shè)備和工作人員對(duì)溫度、濕度、潔凈度、電磁場(chǎng)強(qiáng)度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動(dòng)、防漏、防火、防雷和接地等要求建設(shè)，以此保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時(shí)采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級(jí)。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測(cè)病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實(shí)時(shí)監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對(duì)網(wǎng)絡(luò)的惡意攻擊行為，同時(shí)以滿足國(guó)家等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)要求，通過人工加固的方式對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實(shí)現(xiàn)包括身份鑒別、訪問控制、安全審計(jì)等多個(gè)方面的安全技術(shù)要求。主機(jī)安全。部署防火墻、入侵檢測(cè)、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動(dòng)主機(jī)安全防護(hù)，同時(shí)根據(jù)國(guó)家信息安全等級(jí)保護(hù)二級(jí)標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達(dá)到了強(qiáng)制訪問控制（MAC)，對(duì)服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測(cè)報(bào)警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實(shí)現(xiàn)統(tǒng)一管理的主機(jī)安全防護(hù)。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計(jì)功能，對(duì)設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進(jìn)行審計(jì)。核心交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)和審計(jì)服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時(shí)應(yīng)用服務(wù)器不開放遠(yuǎn)程協(xié)議端口號(hào)。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開，同時(shí)通過配備漏洞掃描系統(tǒng)，并有針對(duì)性地對(duì)網(wǎng)絡(luò)設(shè)備重新配置和升級(jí)。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購(gòu)買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強(qiáng)口令、登錄失敗次數(shù)、操作超時(shí)等方式實(shí)現(xiàn)數(shù)據(jù)庫系統(tǒng)對(duì)身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對(duì)數(shù)據(jù)存儲(chǔ)開發(fā)加密功能實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時(shí)建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時(shí)有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

篇7

我國(guó)高速公路近幾年來建設(shè)里程越來越遠(yuǎn)，而且隨著互聯(lián)網(wǎng)的迅速發(fā)展，高速公路進(jìn)入了全國(guó)聯(lián)網(wǎng)、信息交互的時(shí)代。一方面，這有助于高速公路網(wǎng)絡(luò)信息的共享和傳播。但另一方面，高速公路全面聯(lián)網(wǎng)也對(duì)網(wǎng)絡(luò)安全提出了新的要求。一旦網(wǎng)絡(luò)被別有用心的人攻擊，輕則導(dǎo)致信息泄露，重則有可能引起大的交通事故。

一、高速公路網(wǎng)絡(luò)信息安全分析

針對(duì)目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學(xué)者都提出自己的觀點(diǎn)和看法，例如：北京交科公路勘察設(shè)計(jì)研究院盛剛談到網(wǎng)絡(luò)安全問題時(shí)指出：一方面，不管是在設(shè)計(jì)還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點(diǎn)放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識(shí)，忽視培養(yǎng)技術(shù)人員，技術(shù)儲(chǔ)備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對(duì)高速收費(fèi)、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運(yùn)營(yíng)單位的認(rèn)識(shí)和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴(yán)格按照國(guó)際相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行，提出的技術(shù)不具備針對(duì)性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動(dòng)，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實(shí)際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點(diǎn)。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴(yán)重，已成為當(dāng)前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學(xué)者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運(yùn)維體系、管理體系和標(biāo)準(zhǔn)體系。技術(shù)體系主要從主機(jī)安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運(yùn)維體系分為四個(gè)部分：風(fēng)險(xiǎn)管理安全、安全體系的推廣落實(shí)、安全維護(hù)、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標(biāo)，以及在完成這些目標(biāo)的過程中所使用的體系方法；標(biāo)準(zhǔn)體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對(duì)各省份出現(xiàn)的安全問題，各自根據(jù)實(shí)際情況提出不同的解決方案，例如山西省針對(duì)本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運(yùn)維管理、管理制度安全、安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機(jī)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護(hù)系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實(shí)施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機(jī)設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機(jī)系統(tǒng)安全、行為操作安全等各類隱患，針對(duì)具體存在的安全問題，對(duì)癥下藥，采取實(shí)施有效的安全防護(hù)措施。

篇8

隨著電信網(wǎng)絡(luò)的全面IP化，原來互聯(lián)網(wǎng)中才會(huì)存在的安全威脅被引入到電信網(wǎng)絡(luò)中，如木馬程序、僵尸程序、拒絕服務(wù)攻擊等。在IP技術(shù)和傳統(tǒng)電信網(wǎng)相融合的過程中，又出現(xiàn)了具有電信網(wǎng)特點(diǎn)的新安全威脅，例如利用IP技術(shù)針對(duì)電信網(wǎng)業(yè)務(wù)層面的攻擊。

1.2移動(dòng)終端的智能化存安全隱患

智能終端的接入方式多種多樣、接入速度越來越寬帶化，使得智能終端與通信網(wǎng)絡(luò)的聯(lián)系更加緊密。智能終端的安全性已嚴(yán)重威脅著電信網(wǎng)絡(luò)和業(yè)務(wù)的安全，隨著運(yùn)營(yíng)商全業(yè)務(wù)運(yùn)營(yíng)的不斷深入，以前分散的業(yè)務(wù)支撐系統(tǒng)逐步融合集成，但核心網(wǎng)和業(yè)務(wù)網(wǎng)之間的連接通常采用直連的方式，安全防護(hù)措施相對(duì)薄弱。在智能終端處理能力不斷提升的今天，如果終端經(jīng)由核心網(wǎng)發(fā)起針對(duì)業(yè)務(wù)系統(tǒng)的攻擊，將會(huì)帶來巨大的安全威脅。另一方面，智能終端平臺(tái)自身也面臨著嚴(yán)峻的安全考驗(yàn)，其硬件架構(gòu)缺乏完整性驗(yàn)證機(jī)制，導(dǎo)致模塊容易被攻擊篡改，并且模塊之間的接口缺乏對(duì)機(jī)密性、完整性的保護(hù)，在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計(jì)算能力和不斷擴(kuò)展的網(wǎng)絡(luò)帶寬，終端本身的安全漏洞很可能轉(zhuǎn)化為對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的安全威脅。

1.3安全防護(hù)體系建設(shè)相對(duì)滯后

隨著云計(jì)算云服務(wù)、移動(dòng)支付的引入和發(fā)展，給運(yùn)營(yíng)商現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)及其安全帶來了不可預(yù)知的風(fēng)險(xiǎn)。新興的電信增值業(yè)務(wù)規(guī)模不斷擴(kuò)大，用戶數(shù)量不斷增加，因此更易受到網(wǎng)絡(luò)的攻擊、黑客的入侵。新技術(shù)新業(yè)務(wù)在帶來營(yíng)收增長(zhǎng)的同時(shí)，也帶來了越來越多的安全威脅因素和越來越復(fù)雜的網(wǎng)絡(luò)安全問題，使得運(yùn)營(yíng)商對(duì)新業(yè)務(wù)安全管控的難度越來越大。面對(duì)新技術(shù)新業(yè)務(wù)帶來的風(fēng)險(xiǎn)，行業(yè)安全標(biāo)準(zhǔn)的制定相對(duì)滯后，現(xiàn)階還不能夠?qū)ν{安全的因素做出一個(gè)全面客觀的評(píng)估，因此也就談不上制定相應(yīng)的風(fēng)險(xiǎn)防范應(yīng)對(duì)措施，并且業(yè)界對(duì)新領(lǐng)域的安全防護(hù)經(jīng)驗(yàn)不夠豐富，當(dāng)出現(xiàn)重大威脅網(wǎng)絡(luò)安全事件的時(shí)候，對(duì)故障的響應(yīng)處理能力還有待商榷。

2電信運(yùn)營(yíng)商網(wǎng)絡(luò)安全防護(hù)措施

2.1加強(qiáng)網(wǎng)絡(luò)安全的維護(hù)工作

面對(duì)網(wǎng)絡(luò)信息安全存在的挑戰(zhàn)，基礎(chǔ)安全維護(hù)工作是根本，運(yùn)營(yíng)商需要做好安全保障和防護(hù)工作，并在實(shí)踐中不斷加強(qiáng)和完善。對(duì)網(wǎng)絡(luò)中各類系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行加固，定期開展安全防護(hù)檢查，實(shí)現(xiàn)現(xiàn)有網(wǎng)絡(luò)安全等級(jí)的提升。安全維護(hù)人員在日常工作中也必須按照規(guī)定嚴(yán)格控制網(wǎng)絡(luò)維護(hù)設(shè)備的訪問控制權(quán)限，加強(qiáng)網(wǎng)絡(luò)設(shè)備賬號(hào)口令及密碼的管理，提高網(wǎng)絡(luò)安全防護(hù)能力。

2.2加強(qiáng)新興領(lǐng)域的安全建設(shè)

云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的發(fā)展，帶來了復(fù)雜的網(wǎng)絡(luò)信息安全問題，為了加強(qiáng)對(duì)新興領(lǐng)域的安全管理，運(yùn)營(yíng)商需要從新領(lǐng)域安全策略的制定和安全手段的創(chuàng)新兩方面著手。

2.2.1加強(qiáng)安全策略的制定

應(yīng)對(duì)新技術(shù)新業(yè)務(wù)的挑戰(zhàn)，對(duì)全網(wǎng)安全需要重新規(guī)劃和管理，建立與之匹配的安全標(biāo)準(zhǔn)、安全策略作為行動(dòng)指導(dǎo)，并形成對(duì)服務(wù)提供商的監(jiān)控監(jiān)管。在新業(yè)務(wù)規(guī)劃時(shí)，安全規(guī)劃要保持同步，從業(yè)務(wù)設(shè)計(jì)開始就應(yīng)將安全因素植入，盡量早發(fā)現(xiàn)漏洞、彌補(bǔ)漏洞。

2.2.2加強(qiáng)安全手段的創(chuàng)新

新技術(shù)的發(fā)展讓傳統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)和防御機(jī)制難以滿足日益復(fù)雜的安全防護(hù)需求，需要有新的安全防御手段與之抗衡。因此集監(jiān)控分析、快速處置為一體的云安全等新的技術(shù)手段就值得我們?nèi)ゲ粩嘌芯?，并進(jìn)行商用部署。

2.3加強(qiáng)安全防護(hù)管理體系的建設(shè)

做好管理體系的建設(shè)，首先需要制定配套的規(guī)章制度。網(wǎng)絡(luò)信息的安全，必須以行之有效的安全規(guī)章制度作保證。需明確安全管理的范圍，確定安全管理的等級(jí)，把各項(xiàng)安全維護(hù)工作流程化、標(biāo)準(zhǔn)化，讓安全管理人員和安全維護(hù)人員明確自身的職責(zé)，從而有效地實(shí)施安全防護(hù)措施和網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案，提高運(yùn)營(yíng)商整體的安全防護(hù)能力。其次需要建立縱向上貫穿全國(guó)的安全支撐體系。隨著網(wǎng)絡(luò)的聚合程度越來越高，省份之間的耦合程度越來越密，全國(guó)就是一張密不可分的網(wǎng)。因此需建立全國(guó)一體化的、統(tǒng)一調(diào)度管理的安全管理支撐體系。當(dāng)出現(xiàn)攻擊時(shí)集團(tuán)、省、市三級(jí)安全支撐隊(duì)伍能聯(lián)動(dòng)起來，做到應(yīng)對(duì)及時(shí)有效。

篇9

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術(shù)的迅速發(fā)展，世界各地有競(jìng)爭(zhēng)力的城市已迎來了數(shù)字向智慧城市邁進(jìn)的大潮。智慧城市建設(shè)注重城市物理基礎(chǔ)設(shè)施與IT基礎(chǔ)設(shè)施之間進(jìn)行完美結(jié)合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應(yīng)速度，促進(jìn)城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展，關(guān)注提高城市經(jīng)濟(jì)和社會(huì)活動(dòng)的綜合競(jìng)爭(zhēng)力，越來越受到中國(guó)各個(gè)城市領(lǐng)導(dǎo)者的認(rèn)同和肯定。

徐州市在“十二五”伊始，深刻認(rèn)識(shí)到智慧徐州建設(shè)在提升綜合競(jìng)爭(zhēng)力、加快轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、加強(qiáng)社會(huì)建設(shè)與管理，解決發(fā)展深層次問題等方面的重要作用，將“智慧徐州”建設(shè)納入了未來城市發(fā)展的戰(zhàn)略主題，希望通過智慧徐州建設(shè)，以信息資源整合、共享、利用為抓手，健全公共服務(wù)，增進(jìn)民生幸福，科技創(chuàng)新驅(qū)動(dòng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，智能手段創(chuàng)新城市管理模式，采約建設(shè)實(shí)現(xiàn)信息基礎(chǔ)全面領(lǐng)先，為把我市建設(shè)成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強(qiáng)市最為協(xié)調(diào)的江南名城”提供有力支撐。

網(wǎng)絡(luò)系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，規(guī)劃一張合理的、高效的、安全的網(wǎng)絡(luò)系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運(yùn)行。

1 網(wǎng)絡(luò)安全建設(shè)

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風(fēng)險(xiǎn)也較傳統(tǒng)應(yīng)用高出很多，因此在建設(shè)中安全系統(tǒng)建設(shè)將作為一項(xiàng)重要工作加以實(shí)施。網(wǎng)絡(luò)安全建設(shè)應(yīng)包括以下幾方面：

1.1 安全的網(wǎng)絡(luò)結(jié)構(gòu)

安全的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該能夠滿足為了保證主要的網(wǎng)絡(luò)設(shè)備在進(jìn)行業(yè)務(wù)處理時(shí)能夠有足夠的冗余空間，來滿足處理高峰業(yè)務(wù)時(shí)期帶來的需求；確保網(wǎng)絡(luò)各部分的帶寬能夠滿足高峰業(yè)務(wù)時(shí)期的需要；安全的訪問路徑則通過路由控制可以在終端與服務(wù)器之間建立；按照提出需求的業(yè)務(wù)的重要性進(jìn)行排序來指定分配帶寬優(yōu)先級(jí)別，如果網(wǎng)絡(luò)發(fā)生擁堵，則優(yōu)先保護(hù)重要的主機(jī)；能夠繪制出當(dāng)前網(wǎng)絡(luò)運(yùn)行情況的拓?fù)浣Y(jié)構(gòu)圖；參考不同部門之間的工作職能和涉及相關(guān)信息的重要程度等因素，來劃分成不同的子網(wǎng)和網(wǎng)段，與此同時(shí)在以方便管理和控制的前提下，進(jìn)行地址分配；重要網(wǎng)段部署不能處在網(wǎng)絡(luò)的邊界處而且不能與外部信息系統(tǒng)直接連接，應(yīng)該采取安全的技術(shù)隔離手段將重要網(wǎng)段與其他網(wǎng)段進(jìn)行必要的隔離。

1.2 訪問控制安全

當(dāng)在網(wǎng)絡(luò)邊界對(duì)控制設(shè)備進(jìn)行訪問時(shí)，能夠啟動(dòng)訪問控制功能；對(duì)實(shí)現(xiàn)過濾信息內(nèi)容的功能，并且能對(duì)應(yīng)用層的各種網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)命令級(jí)的控制；能自動(dòng)根據(jù)會(huì)話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設(shè)為端口級(jí)；能夠及時(shí)限制網(wǎng)絡(luò)的最大流量數(shù)和網(wǎng)絡(luò)的連接數(shù)量；當(dāng)會(huì)話結(jié)束或非活躍狀態(tài)的會(huì)話處于一段時(shí)間后將終止網(wǎng)絡(luò)的連接；要采取有效的技術(shù)手段防止對(duì)重要的網(wǎng)段地址欺騙；能在遵守系統(tǒng)和用戶之間的訪問規(guī)則條件下，來決定用戶對(duì)受控系統(tǒng)進(jìn)行資源的訪問是否被允許或拒絕，同時(shí)將單個(gè)用戶設(shè)置為控制粒度；具有撥號(hào)訪問權(quán)限的用戶數(shù)量受到限制。

在關(guān)鍵的位置部署網(wǎng)關(guān)設(shè)備是實(shí)現(xiàn)訪問控制安全的最有效途徑，政務(wù)網(wǎng)接入邊界安全網(wǎng)關(guān)：為內(nèi)部區(qū)域提供邊界防護(hù)、訪問控制和攻擊過濾。

1.3 審計(jì)安全

安全審計(jì)方面應(yīng)包括能夠?qū)W(wǎng)絡(luò)系統(tǒng)中設(shè)備的用戶行為、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行相關(guān)的記錄；并且能夠分析所記錄的數(shù)據(jù)，生成相關(guān)的報(bào)表；為避免審計(jì)記錄受到未預(yù)期的修改、覆蓋或刪除等操作，應(yīng)當(dāng)安全保護(hù)審計(jì)記錄。通過防火墻可以實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)的功能。

網(wǎng)絡(luò)的審計(jì)安全主要內(nèi)容有：為能夠有效記錄網(wǎng)絡(luò)設(shè)備、各區(qū)域服務(wù)器系統(tǒng)和安全設(shè)備等這些設(shè)備以及經(jīng)過這些設(shè)備的所有訪問行為，應(yīng)在這些設(shè)備上開啟相應(yīng)的審計(jì)功能，由安全管理員定期對(duì)日志信息和活動(dòng)狀態(tài)進(jìn)行分析，并發(fā)現(xiàn)深層次的安全問題。

1.4 檢查邊界的完整性

為對(duì)私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的非授權(quán)設(shè)備行為進(jìn)行安全檢查，邊界完整性檢查要求能夠準(zhǔn)確定出其位置，并進(jìn)行有效的阻斷。

實(shí)現(xiàn)邊界完整性檢查的相關(guān)技術(shù)：

1）制定嚴(yán)格的檢查策略，將服務(wù)器區(qū)域在網(wǎng)絡(luò)設(shè)備上劃分為具有獨(dú)立功能的VLAN，同時(shí)禁止除來自網(wǎng)絡(luò)入侵防御系統(tǒng)以外的其他VLAN的訪問；

2）為提升系統(tǒng)自身的安全訪問控制能力，應(yīng)對(duì)安全加固服務(wù)器系統(tǒng)采取相應(yīng)措施。

1.5 入侵防范

網(wǎng)絡(luò)的入侵防范應(yīng)能在網(wǎng)絡(luò)邊界處監(jiān)視到木馬后門攻擊、拒絕服務(wù)攻擊、IP碎片攻擊、端口掃描、強(qiáng)力攻擊、網(wǎng)絡(luò)蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當(dāng)攻擊行為被檢測(cè)到時(shí)，應(yīng)能記錄攻擊的時(shí)間、源IP、目的和類型，如果發(fā)生較為嚴(yán)重的入侵事件，應(yīng)及時(shí)提供警報(bào)信息。通過前置防火墻實(shí)現(xiàn)入侵防御的功能。

1.6 惡意代碼防范

在網(wǎng)絡(luò)邊界處檢測(cè)和清除惡意代碼，對(duì)惡意代碼數(shù)據(jù)庫的升級(jí)和系統(tǒng)檢測(cè)的更新等，是惡意代碼防范的范疇。目前，主要是通過網(wǎng)絡(luò)邊界的安全網(wǎng)關(guān)系統(tǒng)防病毒模塊來檢測(cè)和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務(wù)類等一系列惡意代碼進(jìn)行來實(shí)現(xiàn)惡意代碼防范的技術(shù)。

1.7 網(wǎng)絡(luò)設(shè)備的安全防護(hù)

網(wǎng)絡(luò)設(shè)備的安全防護(hù)要求能夠限制網(wǎng)絡(luò)設(shè)備管理員的登錄地址；在網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網(wǎng)絡(luò)設(shè)備對(duì)同一用戶進(jìn)行身份時(shí)鑒別時(shí)，應(yīng)當(dāng)選擇幾種組合的鑒別技術(shù)來鑒別，避免只使用一種鑒別技術(shù)；鑒別身份的信息應(yīng)不易被冒用，網(wǎng)絡(luò)口令應(yīng)定期更換而且要有一定的復(fù)雜度，不易破解；當(dāng)?shù)卿浭r(shí)，能自動(dòng)采取限制登錄次數(shù)、結(jié)束會(huì)話和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等相應(yīng)措施；當(dāng)網(wǎng)絡(luò)設(shè)備被用戶遠(yuǎn)程管理時(shí)，能夠有防止網(wǎng)絡(luò)傳輸過程的鑒別信息被竊聽的相關(guān)措施。

網(wǎng)絡(luò)設(shè)備安全防護(hù)的技術(shù)實(shí)現(xiàn)主要是通過提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，根據(jù)前面的網(wǎng)絡(luò)結(jié)構(gòu)分析，系統(tǒng)采用若干臺(tái)核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)，實(shí)現(xiàn)各個(gè)安全區(qū)域的連接。

對(duì)于網(wǎng)絡(luò)設(shè)備，應(yīng)進(jìn)行相應(yīng)的安全加固：

1）將樓層接入交換機(jī)的接口安全特性開啟，并將MAC進(jìn)行綁定。

2）關(guān)閉不必要的服務(wù)，包括關(guān)閉CDP、Finger服務(wù)、NTP服務(wù)、BOOTp服務(wù)（路由器適用）等。

3）登錄要求和帳號(hào)管理，包括采用enable secret設(shè)置密碼、采用認(rèn)證、采用多用戶分權(quán)管理等。

4）SNMP協(xié)議設(shè)置和日志審計(jì)，包括設(shè)置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計(jì)功能。

5）其它安全要求，包括禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網(wǎng)絡(luò)安全防護(hù)

邊界防護(hù)：在智慧徐州信息資源樞紐工程的邊界設(shè)立一定的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺(tái)的物理網(wǎng)絡(luò)之間，智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護(hù)技術(shù)主要采用交換機(jī)接入、前置防火墻及網(wǎng)閘。

區(qū)域防護(hù)：比邊界防護(hù)更小的范圍是區(qū)域防護(hù)，指在一個(gè)區(qū)域設(shè)立的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡(luò)，智慧徐州信息資源樞紐工程的區(qū)域防護(hù)技術(shù)和產(chǎn)品采用接入防火墻。

節(jié)點(diǎn)防護(hù)：節(jié)點(diǎn)防護(hù)主要是指系統(tǒng)健壯性的保護(hù)，查堵系統(tǒng)的漏洞，它已經(jīng)具體到其中某一臺(tái)主機(jī)或服務(wù)器的防護(hù)措施，建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點(diǎn)防護(hù)技術(shù)都應(yīng)采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)等。

3 網(wǎng)絡(luò)高可用

在智慧徐州信息資源樞紐工程網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)設(shè)備本身以及設(shè)備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡(luò)的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網(wǎng)絡(luò)部分，核心交換機(jī)、接入防火墻等設(shè)備全部采用冗余配置，包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務(wù)局域網(wǎng)互聯(lián)，與服務(wù)器接入交換機(jī)互聯(lián)。在數(shù)據(jù)應(yīng)用區(qū)，服務(wù)器通過雙網(wǎng)卡與服務(wù)器接入交換機(jī)互聯(lián)，保障了服務(wù)器連接的高可靠性。

4 數(shù)據(jù)安全

4.1 數(shù)據(jù)安全建設(shè)

數(shù)據(jù)的安全是整個(gè)安全建設(shè)中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設(shè)主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復(fù)。對(duì)于系統(tǒng)管理、鑒別信息和重要業(yè)務(wù)的相關(guān)數(shù)據(jù)在存儲(chǔ)過程中進(jìn)行檢測(cè)，如檢測(cè)到數(shù)據(jù)完整性有錯(cuò)誤時(shí)采取必要的恢復(fù)措施，并且能對(duì)這些數(shù)據(jù)采用加密措施，以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

對(duì)于資源共享平臺(tái)系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)要求如下：

1）對(duì)于鑒別信息數(shù)據(jù)存儲(chǔ)的保密性要求，均可以通過加強(qiáng)物理安全及網(wǎng)絡(luò)安全，并實(shí)施操作系統(tǒng)級(jí)數(shù)據(jù)庫加固的方式進(jìn)行保護(hù)；

2）對(duì)于備份及恢復(fù)要求，配置了備份服務(wù)器和虛擬帶庫對(duì)各系統(tǒng)重要數(shù)據(jù)進(jìn)行定期備份；

3）需要通過制定并嚴(yán)格執(zhí)行備份與恢復(fù)管理制度和備份與恢復(fù)流程，加強(qiáng)各系統(tǒng)備份恢復(fù)能力。

4.2 數(shù)據(jù)安全加密傳輸（VPN）

針對(duì)數(shù)據(jù)傳輸?shù)陌踩?，部分接入部門到智慧徐州信息資源樞紐工程的數(shù)據(jù)進(jìn)行VPN加密傳輸。接入部門和平臺(tái)兩端之間運(yùn)行IPSec 或SSL VPN協(xié)議，保證數(shù)據(jù)在傳輸過程中的端到端安全性。

4.3 數(shù)據(jù)交換過程的安全保障

平臺(tái)數(shù)據(jù)交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數(shù)據(jù)交換后不能抵賴等功能。

平臺(tái)業(yè)務(wù)系統(tǒng)在傳遞消息的過程中可以指定是否采用消息內(nèi)容的校驗(yàn)，校驗(yàn)方法是由發(fā)送消息的業(yè)務(wù)系統(tǒng)提供消息的原始長(zhǎng)度和根據(jù)某種約定的驗(yàn)證碼生成規(guī)則（比如 MD5 校驗(yàn)規(guī)則）生成的驗(yàn)證碼。

4.4 數(shù)據(jù)交換接口安全設(shè)計(jì)

平臺(tái)提供的消息傳輸接口支持不同的安全標(biāo)準(zhǔn)。對(duì)于對(duì)安全性要求比較高的業(yè)務(wù)系統(tǒng)來說，在調(diào)用平臺(tái)的Web Service接口時(shí)使用HTTPS 協(xié)議，保證了傳輸層面的安全；而對(duì)于安全性不那么重要，只想通過很少的改動(dòng)使用平臺(tái)功能的業(yè)務(wù)系統(tǒng)來說，可以簡(jiǎn)單的通過HTTP方式調(diào)用平臺(tái)的Web Service接口進(jìn)行消息的傳輸。

5 安全管理體系建設(shè)

在智慧徐州信息資源樞紐工程安全保障體系建設(shè)中，應(yīng)該建立相應(yīng)的安全管理體系，而不是僅靠技術(shù)手段來防范所有的安全隱患。安全建設(shè)的核心是安全管理。在安全策略的指導(dǎo)下，安全技術(shù)和安全產(chǎn)品的保障下，一個(gè)安全組織日常的安全保障工作才能簡(jiǎn)明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強(qiáng)對(duì)客戶網(wǎng)絡(luò)的安全管理，確保重點(diǎn)設(shè)施的安全，應(yīng)該加強(qiáng)安全管理體系的建設(shè)。

5.1 安全策略

安全策略是管理體系的核心，在對(duì)信息系統(tǒng)進(jìn)行細(xì)致的調(diào)查、評(píng)估之后，結(jié)合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實(shí)際情況的安全策略體系。應(yīng)包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個(gè)體系的主導(dǎo)，是安全策略體系基本結(jié)構(gòu)的最高層，它指明了安全策略所要達(dá)到的最高安全目標(biāo)及其管理和適用范圍。

在安全方針的指導(dǎo)下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責(zé)，明確了子策略的管理和實(shí)施要求，它是子策略的上層策略，子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導(dǎo)組成安全保障體系的各項(xiàng)安全措施正確實(shí)施的指導(dǎo)方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對(duì)于整個(gè)智慧徐州信息資源樞紐工程系統(tǒng)的安全建設(shè)非常重要。因此，需要建立具有適當(dāng)管理權(quán)的信息安全管理委員會(huì)來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢(shì)，監(jiān)督安全標(biāo)準(zhǔn)和評(píng)估方法，并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對(duì)于安全性要求非常高，因此安全制度的建立要求也很嚴(yán)格。由管理層負(fù)責(zé)制定切實(shí)可行的日常安全保密制度、審計(jì)制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)管理等，明確定義日常安全審計(jì)的例行制度、實(shí)施日程安排與計(jì)劃、報(bào)告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

智慧徐州信息資源樞紐工程建成后，需要針對(duì)各系統(tǒng)制定完善的動(dòng)作體系，保證系統(tǒng)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 吳小坤，吳信訓(xùn).智慧城市建設(shè)中的信息技術(shù)隱患與現(xiàn)實(shí)危機(jī)[J].科學(xué)發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設(shè)計(jì)的信息安全管理研究[J].中國(guó)管理信息化，2015（5）：214-215.

篇10

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號(hào)］ TP343.08 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場(chǎng)競(jìng)爭(zhēng)的日益加劇，業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營(yíng)者最關(guān)心的問題，彈性靈活的業(yè)務(wù)流程需求日益加強(qiáng)，辦公自動(dòng)化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠(yuǎn)程辦公等業(yè)務(wù)模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng)，一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營(yíng)的基本條件。同時(shí)為了規(guī)范企業(yè)治理，國(guó)家監(jiān)管部門對(duì)企業(yè)的內(nèi)控管理提出了多項(xiàng)規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性等方面。

然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡(luò)病毒、漏洞依然泛濫，同時(shí)信息技術(shù)的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用，云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，滿足業(yè)務(wù)發(fā)展的需要，已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報(bào)告》顯示：29％的企業(yè)定期遭受網(wǎng)絡(luò)攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點(diǎn)，更是成為被攻擊的首選目標(biāo)。

大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬，同時(shí)也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。（2）網(wǎng)絡(luò)接入控制不嚴(yán)。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失，任何人都可以隨時(shí)、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級(jí)單位自建的VPN系統(tǒng)，安全防護(hù)與審計(jì)能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號(hào)易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠(yuǎn)地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場(chǎng)視頻等信息。但由于無線信號(hào)在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較大。無線接入由于靈活方便，常在局域網(wǎng)絡(luò)中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會(huì)話攔截、流量偵聽等安全風(fēng)險(xiǎn)。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范，大多數(shù)二級(jí)單位采用防火墻邏輯隔離，有些單位防護(hù)策略制定不嚴(yán)格，導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。

3 大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

中國(guó)石油信息化建設(shè)處于我國(guó)大型企業(yè)領(lǐng)先地位，在國(guó)資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。中國(guó)石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。

中國(guó)石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實(shí)時(shí)生產(chǎn)或決策相關(guān)的信息系統(tǒng)，是相對(duì)封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國(guó)內(nèi)數(shù)據(jù)鏈路，承載對(duì)內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)，與外網(wǎng)邏輯隔離。外網(wǎng)是實(shí)現(xiàn)對(duì)外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國(guó)石油網(wǎng)絡(luò)安全架構(gòu)，中國(guó)石油通過劃分中國(guó)石油網(wǎng)絡(luò)安全域，明確安全責(zé)任和防護(hù)標(biāo)準(zhǔn)，采取分層的防護(hù)措施來提高整體網(wǎng)絡(luò)的安全性，同時(shí)，為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉?xiàng)目按照先邊界安全加固、后深入內(nèi)部防護(hù)的指導(dǎo)思想，將項(xiàng)目分為：廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3部分。

廣域網(wǎng)邊界防護(hù)子項(xiàng)目主要包括數(shù)據(jù)中心邊界防護(hù)和區(qū)域網(wǎng)絡(luò)中心邊界防護(hù)。數(shù)據(jù)中心邊界防護(hù)設(shè)計(jì)主要是保障集團(tuán)公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運(yùn)行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護(hù)在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時(shí)，還需保障部分自建應(yīng)用系統(tǒng)的正常運(yùn)行?，F(xiàn)中石油在全國(guó)范圍內(nèi)建立和完善16個(gè)互聯(lián)網(wǎng)出口的安全防護(hù)，所有單位均通過16個(gè)互聯(lián)網(wǎng)出口對(duì)外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對(duì)外服務(wù)應(yīng)用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護(hù)方案主要遵循 “縱深防護(hù)，保護(hù)核心”主體思想，安全防護(hù)針對(duì)各專網(wǎng)與內(nèi)網(wǎng)接入點(diǎn)進(jìn)行部署，并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布，保護(hù)策略強(qiáng)度依次由弱至強(qiáng)。數(shù)據(jù)中心安全防護(hù)按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級(jí)情況，將數(shù)據(jù)中心劃分為4個(gè)安全區(qū)域，分別是核心網(wǎng)絡(luò)、二級(jí)系統(tǒng)區(qū)、三級(jí)系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界，二級(jí)系統(tǒng)、三級(jí)系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界，二、三級(jí)系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護(hù)，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護(hù)水平。

域內(nèi)防護(hù)是指分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)，實(shí)現(xiàn)實(shí)名制上網(wǎng)。中國(guó)石油以現(xiàn)有遠(yuǎn)程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠(yuǎn)程接入方式，為出差員工、分支機(jī)構(gòu)接入提供安全的接入環(huán)境。實(shí)名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對(duì)應(yīng)關(guān)系為基礎(chǔ)，實(shí)現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制、實(shí)名審計(jì)；以部署設(shè)備證書為基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)中心對(duì)外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實(shí)可靠，從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結(jié)束語

一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營(yíng)的基本條件，然而信息網(wǎng)絡(luò)的安全威脅日益加劇，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國(guó)石油網(wǎng)絡(luò)安全域建設(shè)，系統(tǒng)地解決網(wǎng)絡(luò)安全問題，供其他企業(yè)參考。

主要參考文獻(xiàn)