導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡(luò)安全加固措施，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

我院在接到貴單位發(fā)來的《信息系統(tǒng)安全等保限期整改通知書》后，院領(lǐng)導(dǎo)高度重視，責(zé)成信息科按照要求進行整改，現(xiàn)在整改情況報告如下。

一、我院網(wǎng)絡(luò)安全等級保護工作概況

根據(jù)上級主管部門和行業(yè)主管部門要求，我院高度重視并開展了網(wǎng)絡(luò)安全等級保護相關(guān)工作，工作內(nèi)容主要包含信息系統(tǒng)梳理、定級、備案、等級保護測評、安全建設(shè)整改等。我院目前運行的主要信息系統(tǒng)有：綜合業(yè)務(wù)信息系統(tǒng)。綜合業(yè)務(wù)信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務(wù)信息系統(tǒng)的集合，系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)、醫(yī)學(xué)影像信息系統(tǒng)(PACS)，其中醫(yī)院信息系統(tǒng)(HIS)、檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚軟件股份有限公司開發(fā)建設(shè)并提供技術(shù)支持，醫(yī)學(xué)影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開發(fā)建設(shè)并提供技術(shù)支持。

我院已于2018年11月完成了綜合業(yè)務(wù)信息系統(tǒng)的定級、備案、等級保護測評、專家評審等工作，系統(tǒng)安全保護等級為第二級（S2A2G2），等級保護測評機構(gòu)為河南天祺信息安全技術(shù)有限公司，等級保護測評結(jié)論為基本符合，綜合得分為76.02分。在測評過程中，信息科已根據(jù)測評人員建議對能夠立即整改的安全問題進行了整改，如：服務(wù)器安全加固、訪問控制策略調(diào)整、安裝防病毒軟件、增加安全產(chǎn)品等。目前我院正在進行門戶網(wǎng)站的網(wǎng)絡(luò)安全等級保護測評工作。

二、安全問題整改情況

此次整改報告中涉及到的信息系統(tǒng)安全問題是我院于2018年11月委托河南天祺公司對醫(yī)院信息系統(tǒng)進行測評反饋的內(nèi)容，主要包括應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器操作系統(tǒng)漏洞和Oracle漏洞等。針對應(yīng)用服務(wù)器系統(tǒng)漏洞，我院及時與安全公司進行溝通，溝通后通過關(guān)閉部分系統(tǒng)服務(wù)和端口，更新必要的系統(tǒng)升級包等措施進行了及時的處理。針對Oracle數(shù)據(jù)庫存在的安全漏洞問題，我們與安全公司和軟件廠商進行了溝通，我院HIS系統(tǒng)于2012年底投入使用，數(shù)據(jù)庫版本為Oracle 11g，投入運行時間較早，且部署于內(nèi)網(wǎng)環(huán)境中未及時進行漏洞修復(fù)。

經(jīng)過軟件開發(fā)廠商測試發(fā)現(xiàn)修復(fù)Oracle數(shù)據(jù)庫漏洞會影響HIS系統(tǒng)正常運行，并存在未知風(fēng)險，為了既保證信息系統(tǒng)安全穩(wěn)定運行又降低信息系統(tǒng)面臨的安全隱患，我們主要采取控制數(shù)據(jù)庫訪問權(quán)限，切斷與服務(wù)器不必要的連接、限制數(shù)據(jù)庫管理人員權(quán)限等措施來降低數(shù)據(jù)庫安全漏洞造成的風(fēng)險。具體措施為：第一由不同技術(shù)人員分別掌握數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫的管理權(quán)限；第二數(shù)據(jù)庫服務(wù)器僅允許有業(yè)務(wù)需求的應(yīng)用服務(wù)器連接，日常管理數(shù)據(jù)庫采用本地管理方式，數(shù)據(jù)庫不對外提供遠程訪問；第三對數(shù)據(jù)庫進行了安全加固，設(shè)置了強密碼、開啟了日志審計功能、禁用了數(shù)據(jù)庫默認用戶等。

我院高度重視網(wǎng)絡(luò)安全工作，醫(yī)院網(wǎng)絡(luò)中先后配備了防火墻、防毒墻、入侵防御、網(wǎng)絡(luò)版殺毒軟件、桌面終端管理等安全產(chǎn)品，并正在采購網(wǎng)閘、堡壘機、日志審計等安全產(chǎn)品，同時組建了醫(yī)院網(wǎng)絡(luò)安全小組，由三名技術(shù)人員負責(zé)網(wǎng)絡(luò)安全管理工作，使我院網(wǎng)絡(luò)安全管理水平大幅提升。

篇2

2大數(shù)據(jù)與網(wǎng)絡(luò)安全問題

大數(shù)據(jù)與網(wǎng)絡(luò)安全成為了當(dāng)前的學(xué)術(shù)熱詞，因為在大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)，且要想充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，就必須要有一個安全性高的網(wǎng)絡(luò)。2.1隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，當(dāng)代人的生活與網(wǎng)絡(luò)越來越密不可分而我國的網(wǎng)絡(luò)安全空間存在著隱患，因而我國網(wǎng)絡(luò)安全問題呈現(xiàn)在多樣化，手段更加復(fù)雜，對象更廣泛，后果嚴重等問題。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)在安全方面存在著很大的弊端。例如：黑客攻擊、木馬病毒等網(wǎng)絡(luò)安全問題正不斷在想數(shù)據(jù)領(lǐng)域滲透，同時也給大數(shù)據(jù)的發(fā)展帶來新的問題。2.2大數(shù)據(jù)時代背景下，每個人的生活都不再是絕對的秘密，只能夠說是相對“秘密”因為通過分析網(wǎng)絡(luò)上的數(shù)據(jù)信息，就能夠了解一個人的生活痕跡，所以要認識到信息安全的重要性，特別是在大數(shù)據(jù)背景下，更要確保信息的安全性。為了解決當(dāng)前網(wǎng)絡(luò)安全中存在的問題，可以控制訪問網(wǎng)絡(luò)的權(quán)限、強化數(shù)據(jù)加密、加固智能終端等方式，這些方式運用起來，定能夠為信息安全提供一個保障作用。強化數(shù)據(jù)加密：控制網(wǎng)絡(luò)訪問的權(quán)限后，對數(shù)據(jù)進行加密，切實是一種有效的手段，能夠為網(wǎng)絡(luò)安全的運行提供保障作用。數(shù)據(jù)加密就是將明文轉(zhuǎn)變?yōu)槊芪?，一般會通過加密算法、加密鑰匙實現(xiàn)，它是一種相對較為可靠的辦法。從某種程度來講，數(shù)據(jù)加急就是網(wǎng)絡(luò)安全的第二道防護門，具體來講：一是，控制網(wǎng)絡(luò)訪問權(quán)限是網(wǎng)絡(luò)安全的第一道防護門，能夠確保信息訪問權(quán)限的清晰，實質(zhì)上就是要向訪問，就必須要具有獲取相應(yīng)的資格，否則就不能夠進行網(wǎng)絡(luò)訪問；二是，訪問者獲取訪問權(quán)限的情況下，對數(shù)據(jù)又進行了一層保護，即使獲得訪問資格后，也不能夠順利的訪問數(shù)據(jù)，更不可能基礎(chǔ)秘密的數(shù)據(jù)。這無疑提高了網(wǎng)絡(luò)信息的安全性。加固智能終端：智能終端往往會儲存海量的數(shù)據(jù)信息，因此必須要認識到智能終端的重要性，且能夠?qū)ζ溥M行加固，不僅能夠提高網(wǎng)絡(luò)信息的安全，還有助于互聯(lián)網(wǎng)管理有條不紊的進行。智能終端加固需要高超的大數(shù)據(jù)處理技術(shù)，不能夠再被動的補漏洞，而是要積極主動地的防治。通過大數(shù)據(jù)安全技術(shù)研發(fā)、云計算方式的更新、軟件工具的整合等等措施，針對攻擊力非常強的病毒、惡意代碼進行徹底的清除，并及時挖掘潛在的大數(shù)據(jù)安全隱患，確保智能終端在安全的網(wǎng)絡(luò)環(huán)境下運行。通過一系列技術(shù)手段，構(gòu)建一個高級的智慧平臺，引領(lǐng)我們朝著大數(shù)據(jù)時代邁進。

3結(jié)束語

大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全確實受到了前所未有的挑戰(zhàn)，因此我們必須要解決的一個問題就是“大數(shù)據(jù)安全”問題?！按髷?shù)據(jù)安全”問題已經(jīng)成為當(dāng)前政府、運營商、互聯(lián)網(wǎng)企業(yè)以及安全企業(yè)不可回避的一個問題，更是一個迫切需要解決的問題。做好大數(shù)據(jù)時代網(wǎng)絡(luò)安全工作可以從重學(xué)習(xí)，抓機遇，貫徹落實總書記重要講話精神；推立法，定標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)安全管理制度體系；強技術(shù)，建手段，健全網(wǎng)絡(luò)安全技術(shù)保障體系；嚴監(jiān)管，強責(zé)任，落實網(wǎng)絡(luò)安全監(jiān)管要求；聚人才，謀合作，為網(wǎng)絡(luò)安全事業(yè)提供有利支撐五個方面著手，促使網(wǎng)絡(luò)安全與大數(shù)據(jù)能夠同發(fā)展，共進步。

作者:潘杰 單位:廣東花城工商技工學(xué)校

參考文獻：

篇3

通信網(wǎng)絡(luò)的概念不僅僅是電話、短信這樣簡單的活動，隨著“互聯(lián)網(wǎng)+”的進程不斷深化，使得現(xiàn)代生活方方面面都逐漸轉(zhuǎn)移到了網(wǎng)絡(luò)上，通信技術(shù)能夠?qū)崿F(xiàn)電子商務(wù)、電子政務(wù)、金融交易等活動在網(wǎng)絡(luò)平臺以電子貨幣的形式進行交易，這些交易本身就代表了巨大的資金流動、國家政策、個人隱私以及個人的財產(chǎn)。所以一旦網(wǎng)絡(luò)防御不到位，當(dāng)不法分字入侵之時不止會造成網(wǎng)絡(luò)停止運行，還會造成巨大經(jīng)濟損失?，F(xiàn)代的通信網(wǎng)絡(luò)對于網(wǎng)絡(luò)的安全保障有著前所未有迫切需求。

1 現(xiàn)代通信網(wǎng)絡(luò)入侵特點概述

犯罪分子的犯罪技術(shù)隨著現(xiàn)代化的網(wǎng)絡(luò)技術(shù)發(fā)展也水漲船高，這就給維護網(wǎng)絡(luò)安全帶來了難度。分析近幾年的網(wǎng)絡(luò)犯罪，不難發(fā)現(xiàn)當(dāng)前的網(wǎng)絡(luò)犯罪逐漸顯現(xiàn)出周期長、波及范圍大、入侵方式不可預(yù)期的特點。知己知彼，方能百戰(zhàn)不殆，下面就這幾方面的犯罪趨勢進行分析。

1.1 周期變長

電子技術(shù)的發(fā)展也使得病毒、木馬的編寫技術(shù)也發(fā)生了巨大的變革，這些威脅因素在通信網(wǎng)絡(luò)中隱藏的時間也變得更長。調(diào)查結(jié)束顯示，病毒、木馬的潛伏時間發(fā)生了質(zhì)的變化，從之前幾毫秒已經(jīng)發(fā)展到現(xiàn)今以年為單位的潛伏周期。并且隱藏的方式也可謂是無孔不入，一張圖片，一個文本，一段視頻都能成為病毒的藏身之所。

1.2 波及范圍大

網(wǎng)絡(luò)通信技術(shù)不斷的更新?lián)Q代，大大增加信息的傳播速度，但同時也無形中使得病毒的擴散更加不易控制，現(xiàn)階段，一旦病毒被激活就有可能依托現(xiàn)在網(wǎng)絡(luò)的飛速傳輸速度，在短時間快速的傳播，使大范圍的用戶受到影響，給通信安全帶來巨大影響。

1.3 進攻手段不可預(yù)期

現(xiàn)代電子設(shè)備類型做種多樣，和通信網(wǎng)絡(luò)相連的除了傳統(tǒng)的臺式電腦之外還有手機、平板電腦、筆記本電腦等多種更多樣的電子設(shè)備，這些設(shè)備一旦接入了通信網(wǎng)絡(luò)也就有了被入侵的可能性，也給預(yù)防入侵工作帶來了不確定性。

2 通信系統(tǒng)的主動防御

由上文分析可見，傳統(tǒng)的防御措施無論在時效上還是范圍上，都能以適應(yīng)現(xiàn)代的通信網(wǎng)絡(luò)需求。這也就是需要網(wǎng)絡(luò)安全工作者們根據(jù)時代的特點，和前沿的科學(xué)技術(shù)發(fā)展出一套新的、切實可行的防御系統(tǒng)。

2.1 強化入侵檢測環(huán)節(jié)

現(xiàn)階段對于網(wǎng)絡(luò)完全的防御工作已經(jīng)不再是以往的被動式防御，現(xiàn)代通信網(wǎng)絡(luò)安全系統(tǒng)能夠通過入侵檢測系統(tǒng)更加積極地實行通信網(wǎng)絡(luò)防御。入侵檢測系統(tǒng)能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，并且在收集的基礎(chǔ)上對數(shù)據(jù)進行分析操作，判斷通信網(wǎng)絡(luò)中是否暗藏了木馬或者病毒，這種積極地防御措施能夠有效的進行清查網(wǎng)絡(luò)中已經(jīng)存在但未激活的病毒，保護通信網(wǎng)絡(luò)的正常運行。

2.2 安全保護

傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)包括很多，分別是殺毒工具、防火墻、訪問控制列表、虛擬專用網(wǎng)等，這些技術(shù)單一部署在安全管理系統(tǒng)中時防御能力不足，因此主動防御系統(tǒng)采用積極的防御思想，將這些技術(shù)集成在一起，實現(xiàn)網(wǎng)絡(luò)病毒、木馬的查殺，避免網(wǎng)絡(luò)木馬和病毒蔓延，防止大數(shù)據(jù)應(yīng)用中心被攻擊和感染而擾亂大數(shù)據(jù)應(yīng)用中心正常使用。

2.3 系統(tǒng)恢復(fù)

通信網(wǎng)絡(luò)運行和操作過程中，許多網(wǎng)絡(luò)管理人員容易攜帶有病毒的U盤、硬盤接人系統(tǒng)，造成網(wǎng)絡(luò)系統(tǒng)文件受到病毒感染，并且在網(wǎng)絡(luò)中進行傳播，導(dǎo)致通信網(wǎng)絡(luò)中心中止運行。如果通信網(wǎng)絡(luò)系統(tǒng)一旦受到威脅，可以采用系統(tǒng)恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到一個正常的狀態(tài)。通信網(wǎng)絡(luò)系統(tǒng)恢復(fù)技術(shù)包括多種，分別是系統(tǒng)在線備份、增量備份、階段備份等，具體而言，可以單獨或融合使用這些備份技術(shù)，備份正常運行的系統(tǒng)。通信網(wǎng)絡(luò)采用在線增量備份模式，可以定期對信息資源進行增量備份，如果其遭受攻擊，可以將信息資源恢復(fù)到最新的備份狀態(tài)，以降低損失。

3 主動防御在通信網(wǎng)絡(luò)安全保障中的應(yīng)用

通信網(wǎng)絡(luò)主動防御網(wǎng)絡(luò)體系遵循策略、管理和技術(shù)相結(jié)合的原則。主動防御網(wǎng)絡(luò)體系是在安全標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下進行設(shè)計的，規(guī)范不僅僅包含通用規(guī)范，還包含行業(yè)安全規(guī)范，即為了通信網(wǎng)絡(luò)安全保障，制定的適應(yīng)本行業(yè)的相關(guān)規(guī)范。為了使整改系統(tǒng)的主動防御體系發(fā)揮充分作用，必須對應(yīng)的建立相應(yīng)的安全服務(wù)體系，包括風(fēng)險評估、安全加固、安全培訓(xùn)、安全巡檢、安全應(yīng)急等。風(fēng)險評估評估通信網(wǎng)絡(luò)的整體安全風(fēng)險。安全加固對現(xiàn)有的通信網(wǎng)絡(luò)采取適當(dāng)?shù)募庸檀胧?，從而提高網(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)安全的保障離不開人員的管理，安全培訓(xùn)對相關(guān)人員進行安全培訓(xùn)，提高相關(guān)人員的安全管理能力。安全應(yīng)急是防范網(wǎng)絡(luò)安全事件是的應(yīng)急措施，做到有備無患。網(wǎng)絡(luò)體系的主動防御從三個層面進行，包括終端層主動防御、網(wǎng)絡(luò)層主動防御、應(yīng)用層主動防御。其中，應(yīng)用層主動防御包括安全態(tài)勢分析與展現(xiàn)，安全策略規(guī)劃與調(diào)整，風(fēng)險評價與監(jiān)控和應(yīng)急響應(yīng)聯(lián)動。網(wǎng)絡(luò)層的主動防御和終端層終端防御都從主動檢測和主動響應(yīng)恢復(fù)兩個層面來進行主動防御的設(shè)計。網(wǎng)絡(luò)主動防御體系包括主動安全檢測、主動響應(yīng)恢復(fù)兩大部分，并且能夠構(gòu)成一個基于“檢測、響應(yīng)、恢復(fù)”的反饋控制模型，進一步提升對網(wǎng)絡(luò)攻擊的反制能力。其中主動檢測包括終端主動檢測和網(wǎng)絡(luò)主動檢測，響應(yīng)和恢復(fù)則主要采用現(xiàn)有的安全防護技術(shù)手段和產(chǎn)品，如防火墻、防病毒系統(tǒng)、主機管控系統(tǒng)等，通過調(diào)整防火墻、主機管理系統(tǒng)等的安全策略，下發(fā)病毒查殺特征碼，安裝系統(tǒng)補丁等方式，實現(xiàn)對網(wǎng)絡(luò)攻擊的反制。

結(jié)束語

在這個時代網(wǎng)絡(luò)通信技術(shù)史無前例的方便人們的生活，但也史無前例的將人們的個人隱私、個人財產(chǎn)暴露在了網(wǎng)絡(luò)之上。在大力發(fā)展通信網(wǎng)絡(luò)技術(shù)的同時也要加強對于通信網(wǎng)絡(luò)的安全建設(shè)?，F(xiàn)代互聯(lián)網(wǎng)的發(fā)張也催生出一系列的網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上投票的新型辦公、參政形式，由此通信網(wǎng)絡(luò)的安全運行，不只保護了人民的財產(chǎn)安全，對于社會的正常運行，國家的長治久安都有著極其重要的意義。通信網(wǎng)絡(luò)的安全和全社會息息相關(guān)，也就需要全社會能投入大量的精力，不斷完善通信網(wǎng)絡(luò)的安全，為人民生產(chǎn)生活、國家繁榮昌盛提供有力的保證。

參考文獻

篇4

2網(wǎng)絡(luò)通信建設(shè)

由于門戶網(wǎng)站的所有硬件都托管在電信部門IDC機房，故在網(wǎng)絡(luò)通信方面完全利用電信部門IDC機房現(xiàn)有的網(wǎng)絡(luò)通信設(shè)備，對外出口帶寬至少為兩條100MB鏈路。

3網(wǎng)絡(luò)安全防護建設(shè)

政府類門戶網(wǎng)站的安全建設(shè)按照計算機信息系統(tǒng)安全等級保護三級技術(shù)標(biāo)準(zhǔn)執(zhí)行。涉及內(nèi)容包括：數(shù)據(jù)機房安全、網(wǎng)絡(luò)通信安全、主機系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全幾個部分。

3.1防護對象

政府門戶網(wǎng)站信息網(wǎng)絡(luò)大致可分為管理信息區(qū)域和信息區(qū)域，管理信息區(qū)域用于支撐該系統(tǒng)與業(yè)務(wù)相關(guān)的內(nèi)部管理信息應(yīng)用數(shù)據(jù)。管理信息區(qū)域劃分為用于承載內(nèi)部辦公的信息內(nèi)網(wǎng)和用于支撐對外業(yè)務(wù)和互聯(lián)網(wǎng)用戶的信息外網(wǎng)。信息區(qū)為面向公眾的信息平臺，用于信息查詢、政策導(dǎo)向、公眾監(jiān)督等互聯(lián)網(wǎng)訪問需要。

3.2設(shè)計思路

政府類門戶網(wǎng)站網(wǎng)絡(luò)安全防護體系是依據(jù)以下策略進行建設(shè)：雙網(wǎng)雙機：管理信息區(qū)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用物理隔離，信息內(nèi)外網(wǎng)分別采用獨立的服務(wù)器，數(shù)據(jù)進行單向流動，通過人工操作實現(xiàn)，極大地保障了信息數(shù)據(jù)和內(nèi)部網(wǎng)絡(luò)的安全。等級防護：管理信息系統(tǒng)將以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設(shè)，并參照國家等級保護基本要求進行安全防護措施設(shè)計；多層防御：在分域防護的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機、應(yīng)用四個層次進行安全防護設(shè)計，以實現(xiàn)層層遞進，縱深防御。

3.3防護措施

（1）基于網(wǎng)絡(luò)安全的訪問控制。在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；在會話處于非活躍時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段采取技術(shù)手段防止地址欺騙；按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶；限制具有撥號訪問權(quán)限的用戶數(shù)量。

（2）設(shè)備和審計系統(tǒng)結(jié)合。對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等；實現(xiàn)對應(yīng)用系統(tǒng)的數(shù)據(jù)訪問與操作進行全面地監(jiān)控審計，可實時顯示和監(jiān)視操作行為，詳細記錄所有的操作行為和操作內(nèi)容，提供審計查詢和關(guān)聯(lián)分析，輸出完整地審計統(tǒng)計報告。

（3）基于安全事件的防護。能夠?qū)Ψ欠ń尤雰?nèi)部網(wǎng)絡(luò)的行為進行檢查，準(zhǔn)確定出位置，并對其進行有效阻斷。

（4）檢測和主動防御的融合。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時提供報警。

（5）病毒防御機制。在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

（6）虛擬接入和防篡改技術(shù)。對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進行限制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識唯一；當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠程管理時，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。通過主頁防篡改系統(tǒng)進一步防止黑客對門戶網(wǎng)站設(shè)備的入侵。

（7）主機系統(tǒng)防護。主機系統(tǒng)安全防護包括對系統(tǒng)內(nèi)服務(wù)器及存儲設(shè)備的安全防護。服務(wù)器包括業(yè)務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、WEB服務(wù)器、文件與通信服務(wù)器等。保護主機系統(tǒng)安全的目標(biāo)是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進入、離開或駐留服務(wù)器時保持可用性、完整性和保密性，采用相應(yīng)的身份認證、訪問控制等手段阻止未授權(quán)訪問，采用主機防火墻、入侵檢測等技術(shù)確保主機系統(tǒng)的安全，進行事件日志審核以發(fā)現(xiàn)入侵企圖，在安全事件發(fā)生后通過對事件日志的分析進行審計追蹤，確認事件對主機的影響以進行后續(xù)處理。

3.4安全防護集成

綜上所述，政府門戶網(wǎng)站信息網(wǎng)絡(luò)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件、操作系統(tǒng)、各種應(yīng)用軟件等各方面、各層次的良好運行。因此，其風(fēng)險將來自對內(nèi)部和外部的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機制，安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、病毒防治等。

（1）網(wǎng)絡(luò)出口邊界部署能夠防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標(biāo)志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻。保證正常訪問用戶的接入，對內(nèi)網(wǎng)資源形成進行有效保護。

（2）網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，因為內(nèi)部網(wǎng)絡(luò)中有很多服務(wù)器（如web服務(wù)器、通訊服務(wù)器、應(yīng)用服務(wù)器集群等等），各種服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫在網(wǎng)絡(luò)通訊傳輸中存在天然的安全隱患，如對協(xié)議中的異常情況考慮不足。外部非法訪問可利用協(xié)議的漏洞對服務(wù)器發(fā)起攻擊。向服務(wù)器發(fā)送非標(biāo)準(zhǔn)或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)，從而奪取服務(wù)器控制權(quán)或者造成服務(wù)器宕機。密切跟蹤全球知名安全組織和軟件廠商的安全公告，對各種威脅進行分析、驗證，保證實時更新簽名庫，跟進安全威脅的發(fā)展?fàn)顩r。不斷升級入侵防御系統(tǒng)檢測引擎以防護新出現(xiàn)的安全威脅，具備防御0-DAY攻擊能力。

（3）網(wǎng)絡(luò)內(nèi)部署安全審計系統(tǒng)，在嚴格執(zhí)行安全保密規(guī)定的基礎(chǔ)上，對整個系統(tǒng)的監(jiān)控審計管理，保證系統(tǒng)的數(shù)據(jù)完整性、保密性和可信性。實時顯示和監(jiān)視操作行為，詳細記錄所有的操作行為和操作內(nèi)容，提供審計查詢和關(guān)聯(lián)分析，輸出完整地審計統(tǒng)計報告。發(fā)生安全問題時，可以從系統(tǒng)的審計記錄庫中快速查找違規(guī)操作活動和留下的痕跡，獲取可靠的證據(jù)信息，如果發(fā)生了安全事故也能夠快速查證并追根尋源。

（4）在門戶網(wǎng)站服務(wù)器前端部署web應(yīng)用防火墻系統(tǒng)，對web服務(wù)器進行全面防護，發(fā)現(xiàn)并阻斷各種WEB攻擊，定期檢查網(wǎng)站各種安全隱患，發(fā)現(xiàn)問題及時預(yù)警并自動采取修補措施；實時防護各種WEB應(yīng)用攻擊、DDOS攻擊、網(wǎng)頁木馬攻擊等行為。

（5）在Web服務(wù)器上部署網(wǎng)頁放篡改系統(tǒng)，采用HTTP請求過濾、核心內(nèi)嵌等技術(shù)；提供實時阻斷、事件觸發(fā)、數(shù)字水印和應(yīng)用防護四種防護措施，通過四種防護措施的合理組合達到起到更好的防護作用。在安全審計系統(tǒng)對Web服務(wù)器的所有操作全面監(jiān)控進行告警、記錄的預(yù)防措施的前提下，形成一套有機的保護體系，在發(fā)生篡改行為后迅速恢復(fù)Web網(wǎng)頁內(nèi)容，不影響正常訪問，避免業(yè)務(wù)中斷。

（6）網(wǎng)絡(luò)出口部署的防病毒網(wǎng)關(guān)，所有數(shù)據(jù)流都需要經(jīng)過防病毒網(wǎng)關(guān)。因此防病毒網(wǎng)關(guān)能夠有效地監(jiān)控進入內(nèi)部網(wǎng)絡(luò)的流量。提供兩種方式的病毒掃描，一種傳統(tǒng)的掃描方式，文件完全掃描后推送給真正的接收者，主要用來保護安全需求強烈的服務(wù)器或者重要區(qū)域，另一種是邊傳輸邊緩存的方式，允許用戶實時接收數(shù)據(jù)，延時減小。

3.5網(wǎng)絡(luò)安全技術(shù)服務(wù)

政府門戶網(wǎng)站信息網(wǎng)絡(luò)投入運行后，如何保障系統(tǒng)的安全運行便成了重中之重。其中涉及的工作量巨大，技術(shù)要求亦非常高。因此，政府門戶網(wǎng)站常常采取安全服務(wù)外包方式聘請具備專業(yè)安全服務(wù)資質(zhì)的機構(gòu)進行網(wǎng)絡(luò)安全保障。安全服務(wù)內(nèi)容主要包括以下方面：

（1）Web安全監(jiān)測。針對WEB應(yīng)用安全，我們所提出日常安全檢測內(nèi)容需包含：XSS跨站攻擊檢測；SQL注入檢測；URL重定向檢測；FORM檢測（單表逃逸檢測）；FORM弱口令檢測；網(wǎng)頁木馬（惡意代碼）檢測；數(shù)據(jù)竊取檢測；GOOGLE-HACK檢測；中間人攻擊檢測；Oracle密碼暴力破解；WebSer-viceXPath注入檢測；Web2.0AJAX注入檢測；Cookies注入檢測；雜項：其他各類CGI弱點檢測，如：命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠程文件包含檢測、應(yīng)用層拒絕服務(wù)檢測等。（2）數(shù)據(jù)庫安全監(jiān)測。數(shù)據(jù)庫安全檢測需實現(xiàn)的功能：發(fā)現(xiàn)不安全的數(shù)據(jù)庫安裝和配置；發(fā)現(xiàn)數(shù)據(jù)庫弱口令；發(fā)現(xiàn)數(shù)據(jù)庫的變化或潛藏木馬；發(fā)現(xiàn)數(shù)據(jù)庫弱點和補丁的層次。從而在此基礎(chǔ)上形成一個綜合的分析報告及修復(fù)建議。

（3）漏洞及病毒通報.系統(tǒng)在運行期間，計算機病毒及安全漏洞問題將是直接威脅整個系統(tǒng)運行的重要因素。因此，我們需要安全服務(wù)提供商定期提供定向計算機漏洞及病毒情況通報。借此，通過對這些情況的實時動態(tài)、快速的掌握，可提高管理部門的快速響應(yīng)能力。

（4）風(fēng)險評估。該系統(tǒng)需定期進行風(fēng)險評估工作。有效地借助專業(yè)安全服務(wù)提供商的力量，來檢測本系統(tǒng)現(xiàn)行情況的安全現(xiàn)狀。

（5）系統(tǒng)安全加固。安全服務(wù)提供商需指派專業(yè)人員定期針對加固的系統(tǒng)進行漏洞掃描、攻擊、滲透等方面的測試，確保核心設(shè)備、核心系統(tǒng)的加固有效性，并及時報告系統(tǒng)加固現(xiàn)狀。在業(yè)務(wù)系統(tǒng)上線之前檢查安全配置情況，并提供安全加固建議。安全加固是指針對政府門戶網(wǎng)站的服務(wù)器、安全設(shè)備的安全加固和安全配置優(yōu)化，對網(wǎng)絡(luò)設(shè)備的安全加固建議。通過定期的加固工作，將系統(tǒng)的安全狀況提升到一個較高的水平。將在漏洞掃描、安全審計、滲透測試的報告結(jié)果基礎(chǔ)上，對服務(wù)器、安全設(shè)備等方面存在的各類脆弱性問題進行提煉歸納，提出合理的切實可行的安全加固方案。安全加固方案在提交并經(jīng)過用戶方評審、許可后，進行安全加固實施，同時，必須指導(dǎo)、協(xié)助對各應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件和應(yīng)用程序的安全配置、安全策略和安全機制進行電子政務(wù)云計算中心加固和完善，使應(yīng)用系統(tǒng)符合安全防護要求，保證該信息系統(tǒng)的安全可靠運行。

3.5.1應(yīng)急響應(yīng)目標(biāo)

及時響應(yīng)信息系統(tǒng)的安全緊急事件，保證事件的損失降到最小。包括如下目標(biāo)：

（1）7*24*365快速響應(yīng)服務(wù)（本地），提供全天候的緊急響應(yīng)服務(wù)，本地在2個小時內(nèi)到達現(xiàn)場；

（2）判定安全事件類型，從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度：

（3）抑制事態(tài)發(fā)展，抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通常會將受影響系統(tǒng)和服務(wù)隔離。這一點對保持系統(tǒng)的可用性是非常重要的；

（4）排除系統(tǒng)故障，針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題；

（5）恢復(fù)信息系統(tǒng)正常操作，在根除問題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)；

（6）信息系統(tǒng)安全加固，對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固，消除安全隱患；

（7）重新評估信息系統(tǒng)的安全性能，重新評價系統(tǒng)的安全特性，確保在一定的時間范圍內(nèi)，不發(fā)生同類的安全事件。

3.5.2應(yīng)急響應(yīng)內(nèi)容

應(yīng)急響應(yīng)是處理各種惡意攻擊帶來的緊急破壞效果，這里包括如下方面：

（1）拒絕服務(wù)響應(yīng)，當(dāng)網(wǎng)絡(luò)遭受大量通問而造成我們正常業(yè)務(wù)無法提供服務(wù)的時候，必須采取措施，將惡意訪問抵擋在業(yè)務(wù)范圍之外；

（2）數(shù)據(jù)破壞響應(yīng)，當(dāng)服務(wù)器的相關(guān)環(huán)節(jié)，包括文件服務(wù)器，網(wǎng)站服務(wù)器，數(shù)據(jù)庫服務(wù)器等的數(shù)據(jù)被惡意破壞，導(dǎo)致無法正常提供服務(wù)，并且此類現(xiàn)象可能還會重現(xiàn)；

（3）病毒蠕蟲響應(yīng)，當(dāng)網(wǎng)絡(luò)遭受到病毒蠕蟲的攻擊，導(dǎo)致正常辦公網(wǎng)絡(luò)癱瘓無法正常實施業(yè)務(wù)，必須采取根治措施，去除惡意影響；

（4）其他情況應(yīng)急響應(yīng)，除了上面列明外，包括惡意竊聽、代碼攻擊、網(wǎng)絡(luò)欺騙等，需要進一步找到攻擊根源，去除漏洞。

3.6等級保護測評

聘請第三方信息安全等級保護測評公司進行網(wǎng)站系統(tǒng)相關(guān)軟硬件是否達到信息安全等級保護三級的要求，并出具測評證書。

篇5

1.1操作系統(tǒng)加固優(yōu)化技術(shù)

操作系統(tǒng)是電腦網(wǎng)絡(luò)與服務(wù)的基礎(chǔ)，其安全穩(wěn)定地運行取決于操作系統(tǒng)環(huán)境是否安全可靠。關(guān)于操作系統(tǒng)的加固優(yōu)化，主要可以通過兩種方法來實現(xiàn):

(1)對操作系統(tǒng)進行不斷的完善，操作人員不斷通過自我學(xué)習(xí)，發(fā)現(xiàn)操作系統(tǒng)當(dāng)中的漏洞，當(dāng)發(fā)現(xiàn)漏洞的時候一定要進行及時地修正。

(2)要不斷完善現(xiàn)有的操作系統(tǒng)，加強對重要文件和進程的監(jiān)控和管理，不斷加強操作系統(tǒng)的穩(wěn)定性和安全性。

1.2網(wǎng)絡(luò)的誘騙和陷阱

網(wǎng)絡(luò)的陷阱和誘騙技術(shù)是一種新型的網(wǎng)絡(luò)安全防護技術(shù)，它主要通過設(shè)計一些有明顯弱點的系統(tǒng)，來引誘病毒或者是黑客攻擊者。通過誘惑黑客攻擊者的入侵方式和行為，設(shè)定一個控制范圍，了解黑客所使用的攻擊方式和攻擊技術(shù)，然后追蹤其來源，對其不法行為進行記錄。這種防護方式的優(yōu)點主要有兩個方面:第一，它能夠有效地防止黑客的攻擊行為，增加黑客攻擊者的入侵難度，從而更好地做好防御工作。第二，它可以通過跟蹤和記錄黑客的行為，記錄黑客的犯罪證據(jù)，對這種行為進行有效地打擊。

1.3網(wǎng)絡(luò)的追蹤技術(shù)

計算機網(wǎng)絡(luò)追蹤技術(shù)主要是對每一臺主機的信息進行采集獲取，確定攻擊者的lP地址是什么，進而找到相應(yīng)的防護措施。這種網(wǎng)絡(luò)的追蹤技術(shù)的核心特點就是它對計算機網(wǎng)絡(luò)中的所用主機進行確認，在這個基礎(chǔ)上，對主機的數(shù)據(jù)進行采集、分析以及處理，然后將入侵者在網(wǎng)絡(luò)中活動的軌跡串聯(lián)起來進行追蹤。這樣的技術(shù)能夠有效地對病毒入侵者進行追蹤分析，從而更好的防護電腦網(wǎng)絡(luò)。網(wǎng)絡(luò)追蹤技術(shù)主要分類兩個方面:第一個是主動追蹤技術(shù)，它主要包括的是對信息進行隱形工作，例如，在HTTP的返回工作中加入特殊標(biāo)記的內(nèi)容，這些內(nèi)容要進行一系列的技術(shù)處理，保證攻擊者不容易察覺，同時，在網(wǎng)絡(luò)當(dāng)中可以通過這些隱形標(biāo)記來追蹤網(wǎng)絡(luò)攻擊者，確認他們的攻擊途徑。第二種是被動式的追蹤技術(shù)，這種被動式的追蹤技術(shù)主要通過網(wǎng)絡(luò)數(shù)據(jù)的不斷變化而找出攻擊對象的。它的理論依據(jù)就是，計算機網(wǎng)絡(luò)連接不同，網(wǎng)絡(luò)連接的相關(guān)特征數(shù)據(jù)也會有所不同。通過對這些產(chǎn)生不同節(jié)點的網(wǎng)絡(luò)標(biāo)識進行記錄，找出攻擊者的攻擊軌道和攻擊軌跡，繼而進行追蹤。

1.4斗防火墻技術(shù)

防火墻技術(shù)實際上是一種計算機網(wǎng)絡(luò)與局域網(wǎng)之間的一個把關(guān)者，通過建立這樣一所把關(guān)門，可以有效地保護局域網(wǎng)的安全，避免病毒或者黑客的侵入。在目前的互聯(lián)網(wǎng)技術(shù)上來講，防火墻是計算機網(wǎng)絡(luò)安全防護當(dāng)中最為基礎(chǔ)和相對安全的一個防護措施，它可以在不改變計算機網(wǎng)絡(luò)系統(tǒng)的情況之下，對電腦實施一定的保護措施，因此防火墻是一種最為普遍、應(yīng)用最為廣泛的應(yīng)急技術(shù)。一般的計算機用戶可以將其安裝到電腦內(nèi)，從而對計算機網(wǎng)絡(luò)實施安全保護功能，其實用性非常大。

1.5計算機防止病毒影響技術(shù)

由于現(xiàn)在電腦技術(shù)不斷更新?lián)Q代，網(wǎng)絡(luò)病毒的技術(shù)也變得更急復(fù)雜，對于電腦的攻擊也更加猛烈。因此，很多用戶都會在電腦的主機上安裝相應(yīng)的殺毒軟件，防止病毒的入侵。而在功能上來講，計算機病毒軟件主要分為兩種類型，一種是網(wǎng)絡(luò)的防病毒軟件以及單機的殺毒軟件，網(wǎng)絡(luò)的防毒軟件主要是檢測互聯(lián)網(wǎng)是否存在病毒，一旦有病毒進入計算機網(wǎng)絡(luò)的時候，網(wǎng)絡(luò)防毒軟件就會自動檢測出來并且提示用戶刪除該病毒;而單機殺毒軟件則是我們常用的殺毒軟件，主要是用戶安裝在電腦上通過網(wǎng)絡(luò)的檢測來進行電腦的全面檢查，發(fā)現(xiàn)有病毒的話可以立即進行清除。

1.6石取證技術(shù)

網(wǎng)絡(luò)的取證技術(shù)是對計算機系統(tǒng)當(dāng)中的數(shù)據(jù)進行識別、收集以及保護。計算機的取證主要包括物理取證和信息取證兩個方面。

(1)物理取證技術(shù)。主要是指在計算機當(dāng)中尋找原始記錄的一種技術(shù)。在進行物理取證的時候，最重要的是要保證證據(jù)不被破壞。而物理取證技術(shù)也能夠很好地做到這一點，它的主要特點就是對證據(jù)進行無損備份，對于一些刪除了的文件能夠進行恢復(fù)。

(2)信息取證技術(shù)，信息取證技術(shù)是在經(jīng)過物理取證技術(shù)之后，對獲得的原始文件和數(shù)據(jù)進行技術(shù)分析。

篇6

隨著當(dāng)代互相聯(lián)網(wǎng)的不斷發(fā)展，互聯(lián)網(wǎng)成為人們生活中必不可缺的一部分。但是隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)網(wǎng)絡(luò)安全問題也隨之而來。網(wǎng)絡(luò)安全方面我國仍然有些待補救的功課。近幾年，隨著手機功能和互聯(lián)網(wǎng)技術(shù)的不斷提高，人們的自身利益也受到網(wǎng)絡(luò)不小的傷害，甚至于家破人亡。因此網(wǎng)絡(luò)安全問題應(yīng)得到大家的重視和關(guān)注。文中，筆者結(jié)合自己多年的實踐經(jīng)驗，闡述了大數(shù)據(jù)的認知，歸納了大數(shù)據(jù)與網(wǎng)絡(luò)安全的相關(guān)問題。

1大數(shù)據(jù)的認知

大數(shù)據(jù)是互聯(lián)網(wǎng)、移動應(yīng)用、社交網(wǎng)絡(luò)和物聯(lián)網(wǎng)等技術(shù)發(fā)展的必然趨勢，大數(shù)據(jù)應(yīng)用成為當(dāng)前最為熱門的信息技術(shù)應(yīng)用領(lǐng)域。信息時代下，傳統(tǒng)的信息系統(tǒng)已經(jīng)不能夠滿足需求，而單純運用大數(shù)據(jù)，也不會取得理想的效果，因此需要將傳統(tǒng)信息系統(tǒng)與大數(shù)據(jù)平臺進行整合，且在實踐中進行創(chuàng)新和反思，形成一個系統(tǒng)，既能夠保證信息的安全，還能夠使大數(shù)據(jù)的優(yōu)勢得到發(fā)揮。大數(shù)據(jù)的出現(xiàn)具有一定的必然性，它是信息爆炸已經(jīng)積累到一種程度，必定要發(fā)生變革。加里金教授曾經(jīng)說過“大數(shù)據(jù)就猶如異常革命，龐大的數(shù)據(jù)資源使得社會的各個領(lǐng)域都開始了量變的進程”。放眼當(dāng)前的社會可以發(fā)現(xiàn)，學(xué)術(shù)界、商界、政界都已經(jīng)開始了量變的進程。大數(shù)據(jù)已經(jīng)對我們的生活、工作以及思維產(chǎn)生了影響，必須要正確的認知“大數(shù)據(jù)”，且能夠運用大數(shù)據(jù)，才能夠立足當(dāng)前的社會。

2大數(shù)據(jù)與網(wǎng)絡(luò)安全問題

大數(shù)據(jù)與網(wǎng)絡(luò)安全成為了當(dāng)前的學(xué)術(shù)熱詞，因為在大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)，且要想充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，就必須要有一個安全性高的網(wǎng)絡(luò)。

2.1隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，當(dāng)代人的生活與網(wǎng)絡(luò)越來越密不可分

而我國的網(wǎng)絡(luò)安全空間存在著隱患，因而我國網(wǎng)絡(luò)安全問題呈現(xiàn)在多樣化，手段更加復(fù)雜，對象更廣泛，后果嚴重等問題。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)在安全方面存在著很大的弊端。例如：黑客攻擊、木馬病毒等網(wǎng)絡(luò)安全問題正不斷在想數(shù)據(jù)領(lǐng)域滲透，同時也給大數(shù)據(jù)的發(fā)展帶來新的問題。

2.2大數(shù)據(jù)時代背景下，每個人的生活都不再是絕對的秘密，只能夠說是相對“秘密”

因為通過分析網(wǎng)絡(luò)上的數(shù)據(jù)信息，就能夠了解一個人的生活痕跡，所以要認識到信息安全的重要性，特別是在大數(shù)據(jù)背景下，更要確保信息的安全性。為了解決當(dāng)前網(wǎng)絡(luò)安全中存在的問題，可以控制訪問網(wǎng)絡(luò)的權(quán)限、強化數(shù)據(jù)加密、加固智能終端等方式，這些方式運用起來，定能夠為信息安全提供一個保障作用。強化數(shù)據(jù)加密：控制網(wǎng)絡(luò)訪問的權(quán)限后，對數(shù)據(jù)進行加密，切實是一種有效的手段，能夠為網(wǎng)絡(luò)安全的運行提供保障作用。數(shù)據(jù)加密就是將明文轉(zhuǎn)變?yōu)槊芪?，一般會通過加密算法、加密鑰匙實現(xiàn)，它是一種相對較為可靠的辦法。從某種程度來講，數(shù)據(jù)加急就是網(wǎng)絡(luò)安全的第二道防護門，具體來講：一是，控制網(wǎng)絡(luò)訪問權(quán)限是網(wǎng)絡(luò)安全的第一道防護門，能夠確保信息訪問權(quán)限的清晰，實質(zhì)上就是要向訪問，就必須要具有獲取相應(yīng)的資格，否則就不能夠進行網(wǎng)絡(luò)訪問；二是，訪問者獲取訪問權(quán)限的情況下，對數(shù)據(jù)又進行了一層保護，即使獲得訪問資格后，也不能夠順利的訪問數(shù)據(jù)，更不可能基礎(chǔ)秘密的數(shù)據(jù)。這無疑提高了網(wǎng)絡(luò)信息的安全性。加固智能終端：智能終端往往會儲存海量的數(shù)據(jù)信息，因此必須要認識到智能終端的重要性，且能夠?qū)ζ溥M行加固，不僅能夠提高網(wǎng)絡(luò)信息的安全，還有助于互聯(lián)網(wǎng)管理有條不紊的進行。智能終端加固需要高超的大數(shù)據(jù)處理技術(shù)，不能夠再被動的補漏洞，而是要積極主動地的防治。通過大數(shù)據(jù)安全技術(shù)研發(fā)、云計算方式的更新、軟件工具的整合等等措施，針對攻擊力非常強的病毒、惡意代碼進行徹底的清除，并及時挖掘潛在的大數(shù)據(jù)安全隱患，確保智能終端在安全的網(wǎng)絡(luò)環(huán)境下運行。通過一系列技術(shù)手段，構(gòu)建一個高級的智慧平臺，引領(lǐng)我們朝著大數(shù)據(jù)時代邁進。

3結(jié)束語

大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全確實受到了前所未有的挑戰(zhàn)，因此我們必須要解決的一個問題就是“大數(shù)據(jù)安全”問題?！按髷?shù)據(jù)安全”問題已經(jīng)成為當(dāng)前政府、運營商、互聯(lián)網(wǎng)企業(yè)以及安全企業(yè)不可回避的一個問題，更是一個迫切需要解決的問題。做好大數(shù)據(jù)時代網(wǎng)絡(luò)安全工作可以從重學(xué)習(xí)，抓機遇，貫徹落實總書記重要講話精神；推立法，定標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)安全管理制度體系；強技術(shù)，建手段，健全網(wǎng)絡(luò)安全技術(shù)保障體系；嚴監(jiān)管，強責(zé)任，落實網(wǎng)絡(luò)安全監(jiān)管要求；聚人才，謀合作，為網(wǎng)絡(luò)安全事業(yè)提供有利支撐五個方面著手，促使網(wǎng)絡(luò)安全與大數(shù)據(jù)能夠同發(fā)展，共進步。

參考文獻：

篇7

當(dāng)前情況下業(yè)內(nèi)人員高度重視4G無線通信的網(wǎng)絡(luò)安全性，因為它是確保移動無線通信系統(tǒng)使用價值得以實現(xiàn)的重要指標(biāo)。但是在實際的使用過程中，仍然著許多安全隱患，這對于客戶來說，會給客戶帶來很大的經(jīng)濟損失和不便之處，所以必須制定出相對的策略，這樣才能提高4G無線通信的網(wǎng)絡(luò)的安全性。

1 4G無線通信網(wǎng)絡(luò)概述

1.1 4G無線通信網(wǎng)絡(luò)的主要結(jié)構(gòu)和優(yōu)勢

4G無線通信網(wǎng)絡(luò)能夠綜合化管理無線局域網(wǎng)與藍牙等網(wǎng)絡(luò)之間的信號機衛(wèi)星通信，還能實現(xiàn)寬帶連接技術(shù)與網(wǎng)絡(luò)電視播放技術(shù)上的新的突破和革新發(fā)展。就目前來說，4G通信體系已經(jīng)構(gòu)成了一個比較完善的無線通信網(wǎng)絡(luò)，可以在室內(nèi)與室外種種區(qū)域中提供無線寬帶網(wǎng)絡(luò)服務(wù)，并且連接各個區(qū)域中的無線平臺，最終搭建起一個高效的移動數(shù)據(jù)傳輸平臺。在這個通信網(wǎng)絡(luò)系統(tǒng)下，能夠有效的傳輸圖像、聲音與文字等信息，這是無線通信系統(tǒng)中的集成化體系。

1.2 4G通信技術(shù)的優(yōu)點

4G無線通信網(wǎng)絡(luò)具有一些獨特的優(yōu)點，它能滿足各個網(wǎng)絡(luò)之間的無縫聯(lián)接，這個建立在全IP網(wǎng)絡(luò)的體系結(jié)構(gòu)就構(gòu)成了它的核心網(wǎng)，主要涉及到四大元素：

網(wǎng)絡(luò)維護管理、承載機制、網(wǎng)絡(luò)資源控制與應(yīng)用服務(wù)。跟3G網(wǎng)絡(luò)相比，蜂窩網(wǎng)絡(luò)和電路交換被升級為全IP核心網(wǎng)和分組交換，以便確保4G網(wǎng)絡(luò)實現(xiàn)網(wǎng)絡(luò)移動條件下工作站的高速移動，確保最終能提供2-100Mbit/s的數(shù)據(jù)傳輸速率。

2 4G無線通信系統(tǒng)的網(wǎng)絡(luò)安全威脅

2.1 移動終端的安全威脅

① 因為移又斬聳褂昧爍髦擲啾鸕牟僮饗低常而這些移動操作系統(tǒng)還不夠完善，里面存在的漏洞比較多，最終給移動終端造成了安全隱患；②由于移動終端能夠有效的支持無線網(wǎng)絡(luò)中的電子商務(wù)和電子郵件等運用，這些無線網(wǎng)絡(luò)運用在程序方面存在較多的漏洞，而且存在較大的安全隱患，也大大增加了病毒感染的渠道，最終直接威脅到無線終端的安全；③隨著病毒種類越來越多，以前的防病毒軟件在體積上得到了很大程度的增大，而移動終端的計算能力、存儲能力和電池容量是有限的，根本不能滿足當(dāng)前的需求；④由于本網(wǎng)絡(luò)系統(tǒng)在保護驗證機制和訪問控制機制方面不夠完整，不夠機密，也不夠完善，移動終端硬件平臺上的各個模塊和內(nèi)部通行接口比較容易受到攻擊者的篡改與非法訪問，使得信息被非法竊取和訪問。

2.2 無線通信網(wǎng)絡(luò)的安全威脅

①由于無線網(wǎng)絡(luò)具有融合和共存等特點，用戶可以實現(xiàn)各種系統(tǒng)相互間的切換，使得無線網(wǎng)絡(luò)移動性管理受到了很大的安全威脅；

②4G網(wǎng)絡(luò)一定要跟異構(gòu)非IP網(wǎng)絡(luò)連接，但是要有可靠的QoS支持，要是不能滿足這些要求，就會存在較大的安全隱患；③無線網(wǎng)絡(luò)的主要構(gòu)成包括安全機制、協(xié)議和體系，無線網(wǎng)絡(luò)不同會存在一定的差異，在網(wǎng)絡(luò)融合中會有安全威脅，且無線網(wǎng)絡(luò)結(jié)構(gòu)的不同也易造成容錯性。

2.3 無線業(yè)務(wù)的安全威脅

①隨著基于電子商務(wù)的無線應(yīng)用及增值業(yè)務(wù)的推陳出新，提出了更加高級的安全需求，但現(xiàn)有的安全機制卻難以滿足；

②因缺少完善的安全交易憑證，無線業(yè)務(wù)的利益沖突會越來越多；③由于一次無線移動業(yè)務(wù)中會涉及多個網(wǎng)絡(luò)運營商、業(yè)務(wù)提供商的服務(wù)，利益爭端更為復(fù)雜，業(yè)務(wù)安全威脅更高。

3 提升4G無線通信網(wǎng)絡(luò)安全性的措施

因為無線網(wǎng)絡(luò)在基本特性方面不同于有線網(wǎng)絡(luò)，所以，在無線通信的網(wǎng)絡(luò)安全方案設(shè)計上，一定要將其兼容性、安全性和效率性等因素充分考慮在內(nèi)，最終實現(xiàn)4G無線通信網(wǎng)絡(luò)安全性的有效提升。

3.1 安全防護措施

（1）移動終端的安全防護措施

①在物理硬件的安全防護方面，為削弱物理接口的被攻擊性，需要提升集成度，增加電流與電壓檢測電路，提高啟動、檢驗與存儲等方面的完善性；②在操作系統(tǒng)方面，需選用可靠性強的操作系統(tǒng)，并加固操作系統(tǒng)，使系統(tǒng)能夠滿足混合式訪問控制、遠程驗證、域隔離控制等的安全操作。

（2）無線接入網(wǎng)的安全防護措施

①高可靠性載體是移動終端與無線接入網(wǎng)建立連接的第一道關(guān)卡，以數(shù)字證書等載體構(gòu)建雙向身份認證機制；②采用相關(guān)技術(shù)措施（如物理地址過濾、端口訪問控制等）設(shè)置無線接入網(wǎng)的細粒度訪問控制策略；③為防止非可信移動終端接入無線接入網(wǎng)絡(luò)，需運用無線接入網(wǎng)自身安全策略來實現(xiàn)可信移動終端的安全接入功能，或是借助相關(guān)輔助安全設(shè)備來實現(xiàn)安全接入；④根據(jù)業(yè)務(wù)需求，移動終端在與無線接入網(wǎng)進行傳輸過程中需建設(shè)加密傳輸通道，以自主設(shè)置數(shù)據(jù)傳輸方式來實現(xiàn)安全傳輸，或是開設(shè)專用網(wǎng)絡(luò)來實現(xiàn)物理、邏輯隔離；⑤滿足無線接入網(wǎng)的安全數(shù)據(jù)過濾功能，發(fā)揮該功能對無線接入網(wǎng)資源在內(nèi)部系統(tǒng)或核心網(wǎng)中的安全性，防止非法數(shù)據(jù)的侵入；⑥為針對性、有效性分析和記錄移動終端的行為規(guī)律、異常操作，以保障無線接入網(wǎng)的可靠性與高效性，需要結(jié)合移動終端的訪問行為、無線接入設(shè)備的運作情況來構(gòu)建統(tǒng)一的監(jiān)控和審計系統(tǒng)。

3.2 加固保護措施

（1）研發(fā)與利用加固型操作系統(tǒng)

為了規(guī)避安全問題，在選擇操作系統(tǒng)時，應(yīng)選擇滿足TMP 需求的操作系統(tǒng)，能夠支持遠程驗證、區(qū)域隔離以及混合訪問控制等操作。

（2）采取硬件物理保護措施

通過加大無線通信測試平臺硬件的集成度，減少存在攻擊威脅的接口數(shù)量，并適當(dāng)增加電壓、電流以及溫度，以此方式達到檢測電路的目標(biāo)，以防采取物理檢測措施時被攻擊。此外，針對TPM 和全球用戶識別卡中的相關(guān)數(shù)據(jù)，還應(yīng)當(dāng)根據(jù)安全級別進行銷毀處理。

（3）不斷加固硬件平臺

把中國移動互聯(lián)網(wǎng)可信應(yīng)用平臺視作網(wǎng)絡(luò)安全問題基本防護對象，除了對其進行全方位檢測以及可信啟動之外，還應(yīng)予以存儲保護等安全措施。同時，由于4G 無線通信的核心網(wǎng)是TD-SCDMA，盡管不對稱管制、起步晚以及備受懷疑等主客觀因素對其發(fā)展產(chǎn)生了一定的影響，但TD-SCDMA的整體發(fā)展趨勢十分明朗，同時還取得了較大成功。而隨著TD-LTE 的不斷推行與普及，其發(fā)展事態(tài)已遠遠超TDSCDMA，

全球范圍內(nèi)TD-LTE 的商用網(wǎng)絡(luò)總數(shù)已達到13 個，其發(fā)展與應(yīng)用必定會成為大勢所趨。

3.3 提升通信服務(wù)效率

因為無線通信在網(wǎng)絡(luò)資源上比較有限，為了有效確保網(wǎng)絡(luò)資源的可靠性和安全性，首先應(yīng)當(dāng)控制安全協(xié)議的信息交互總數(shù)，確保安全信息的精準(zhǔn)性與短小性。其次，控制移動終端的任務(wù)數(shù)量，針對4G 無線通信的網(wǎng)絡(luò)終端制定明確的標(biāo)準(zhǔn)，要求其計算能力具備明顯的非對稱性。最后，針對處于閑置狀態(tài)的移動終端，必須加以有效利用，從而實現(xiàn)預(yù)計算、預(yù)認證的目標(biāo)。

綜上所述，無線網(wǎng)絡(luò)因為方便安裝，使用起來靈活、經(jīng)濟，能在很大程度上提高用戶的自由度，大大提升了用戶的體驗效果，但是不管是2G、3G，還是4G通信，在帶來自由和便利的同時也帶來了新的威脅和挑戰(zhàn)，特別是侵入接入系統(tǒng)和移動終端的黑客和病毒已經(jīng)越來越嚴重。相信隨著新技術(shù)的不斷涌現(xiàn)和發(fā)展，應(yīng)用合理的安全防護措施，4G通信的安全性會逐步加強。

篇8

中圖分類號：U664.156文獻標(biāo)識碼：A文章編號：

前言

隨著電網(wǎng)技術(shù)的發(fā)展，自動化和通訊技術(shù)在電網(wǎng)中得到了廣泛的應(yīng)用，不僅保證了訊息的及時、準(zhǔn)確，也提高了工作人員的工作效率。但是通信技術(shù)的應(yīng)用又帶來了另一個安全隱患，由于自動化及傳輸業(yè)務(wù)的功能不同，各類訊息分為不同的安全等級，如果不加以區(qū)分、規(guī)范，安全級別較低、實時性要求較低的業(yè)務(wù)與安全級別較高、實時性要求高的業(yè)務(wù)在一起混用，級別較低的業(yè)務(wù)嚴重影響級別較高的業(yè)務(wù)，將存在較多的安全隱患；電力調(diào)度數(shù)據(jù)網(wǎng)本著先進性、實用性和經(jīng)濟性相統(tǒng)一的原則進行網(wǎng)絡(luò)設(shè)計，使網(wǎng)絡(luò)具有高性能、高可靠性、高安全性、管理方便和標(biāo)準(zhǔn)化的特點，能夠靈活地根據(jù)用戶需求提供不同網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)保證，為各類調(diào)度信息系統(tǒng)提供安全、統(tǒng)一的寬帶綜合業(yè)務(wù)服務(wù)智能網(wǎng)絡(luò)平臺。

信息系統(tǒng)的安全主要的五個層面

1.1 物理安全

物理安全主要包含主機硬件和物理線路的安全問題，如自然災(zāi)害、硬件故障、盜用、偷竊等，由于此類隱患而導(dǎo)致重要數(shù)據(jù)、口令及帳號丟失。

1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)層面的安全。由于聯(lián)網(wǎng)計算機能被網(wǎng)上任何一臺主機攻擊，而網(wǎng)絡(luò)安全措施不到位導(dǎo)致的安全問題。

1.3 系統(tǒng)安全

系統(tǒng)安全是指主機操作系統(tǒng)層面的安全。包括系統(tǒng)存取授權(quán)設(shè)置、帳號口令設(shè)置、安全管理設(shè)置等安全問題，如未授權(quán)存取、越權(quán)使用、泄密、用戶拒絕系統(tǒng)管理、損害系統(tǒng)的完整性等。

1.4 應(yīng)用安全

應(yīng)用安全是指主機系統(tǒng)上應(yīng)用軟件層面的安全。如Web服務(wù)器、數(shù)據(jù)庫等的安全問題。

1.5 人員管理

人員管理是指如何防止內(nèi)部人員對網(wǎng)絡(luò)和系統(tǒng)的攻擊及誤用等。

二、電力調(diào)度網(wǎng)絡(luò)面臨的風(fēng)險分析

電力調(diào)度數(shù)據(jù)網(wǎng)是承載電力調(diào)度實時控制業(yè)務(wù)、在線生產(chǎn)業(yè)務(wù)的專用網(wǎng)絡(luò)。電監(jiān)會頒發(fā)的《電力二次系統(tǒng)安全防護規(guī)定》明確要求：“電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū)”。因此網(wǎng)絡(luò)安全是保障電網(wǎng)安全、穩(wěn)定運行的生命線。

2.1 信息泄露或數(shù)據(jù)破壞

此類問題是指業(yè)務(wù)數(shù)據(jù)在有意或無意中被泄漏出去或丟失，通常包括：信息在傳輸中丟失或泄漏，存儲介質(zhì)丟失或泄漏；或者以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；應(yīng)用系統(tǒng)設(shè)計時設(shè)立后門或隱蔽通道等。

2.2 意識風(fēng)險

安全的網(wǎng)絡(luò)離不開人的管理，因此人的意識和管理是整個網(wǎng)絡(luò)安全中最重要的一環(huán)，尤其是對于龐大和復(fù)雜的調(diào)度數(shù)據(jù)網(wǎng)更是如此?，F(xiàn)實運行中發(fā)現(xiàn)一些部門的人員安全意識不夠強，安全措施不到位，比如在選擇口令時圖簡單省事，或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享信息資源等，這些行為都具有極大的安全隱患。

2.3 網(wǎng)絡(luò)和系統(tǒng)軟件的漏洞和多余服務(wù)

由于電力調(diào)度網(wǎng)涉及的網(wǎng)絡(luò)設(shè)備技術(shù)復(fù)雜，不可避免地存在許多缺陷和漏洞，這些缺陷和漏洞恰恰是網(wǎng)絡(luò)攻擊的目標(biāo)。此外某些設(shè)備存在一些用處不大而又證明很容易被人利用的薄弱服務(wù)，一些應(yīng)用系統(tǒng)在設(shè)計時也可能存在有意無意的一些漏洞和后門。一旦攻擊者利用這些漏洞或缺陷侵入網(wǎng)絡(luò)并進而進入主機系統(tǒng)，將會對電力系統(tǒng)的整體生產(chǎn)和調(diào)度安全產(chǎn)生極大的破壞。

2.4 誤操作及配置錯誤

主要表現(xiàn)在對網(wǎng)絡(luò)結(jié)構(gòu)和配置參數(shù)未作詳細研究，對網(wǎng)絡(luò)設(shè)備的功能未作深入了解，以及日常使用和監(jiān)控中對設(shè)備隨意操作，這些都會帶來安全威脅。同時電力調(diào)度數(shù)據(jù)網(wǎng)是一個技術(shù)復(fù)雜先進的網(wǎng)絡(luò)，系統(tǒng)設(shè)計功能的實現(xiàn)是一個動態(tài)的完善過程，比較容易出現(xiàn)配置錯誤，某些錯誤可能短時間內(nèi)不易看出，需要等到某種觸發(fā)條件才會表露出來。

數(shù)據(jù)網(wǎng)的應(yīng)用和管理

加固信息系統(tǒng)安全，國網(wǎng)公司具體從設(shè)備和管理兩方面來實施，在設(shè)備方面，本著“安全分區(qū)，網(wǎng)絡(luò)專用。橫向隔離，縱向加密”的思想，公司先后部署了二次安全隔離裝置、縱向加密裝置、防病毒服務(wù)器、IDS認證裝置等安全防護設(shè)備。在保障數(shù)據(jù)安全的過程中發(fā)揮了重要的作用，其中二次安全隔離裝置、數(shù)據(jù)縱向加密裝置具有典型的信息系統(tǒng)防護的特點。

數(shù)據(jù)縱向加密裝置部署在廠站和主站的交換機和路由器之間，其中主站（局端）部署兩臺主備加密裝置，廠站（變電站或縣公司）與主站端通訊時，兩端加密裝置通過加密證書互相確認，發(fā)送方的加密裝置將數(shù)據(jù)包加密成一段隨機編碼傳輸?shù)铰酚善?，?jīng)過光纜傳輸?shù)綄Χ说募用苎b置，經(jīng)過對端的加密裝置將數(shù)據(jù)包解密，形成原始的報文。這樣即使通訊報文被中途竊聽，竊聽方得到的只是一串亂碼，起到數(shù)據(jù)加密傳輸?shù)淖饔谩?/p>

加密裝置部署示意圖

作為另一個體現(xiàn)二次安全防護重要特點的二次安全隔離裝置，它的目的是將生產(chǎn)控制大區(qū)的1、2區(qū)和3區(qū)實現(xiàn)軟件隔離，防止不同區(qū)域之間的業(yè)務(wù)互相影響，而對于某些需要跨區(qū)通訊的特殊業(yè)務(wù)，隔離裝置通過虛擬地址映射，使雙方機器的網(wǎng)卡“認為對方在同一網(wǎng)段”而實現(xiàn)互相通訊。對于未映射虛擬地址的機器，則如同物理隔離一樣，無法通信。

隔離裝置部署示意圖

做好安全防護工作，不能僅依賴于系統(tǒng)設(shè)備，只有做到系統(tǒng)設(shè)備和人為管理雙管齊下，才有可能從根本上保障信息和控制系統(tǒng)的安全：

1.對全網(wǎng)實施監(jiān)管，所有與電力調(diào)度數(shù)據(jù)網(wǎng)連接的節(jié)點都必須在有效的管理范圍內(nèi)，保障安全的系統(tǒng)性和全局性。

2.加強人員管理，建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊伍，防止來自內(nèi)部的攻擊、越權(quán)、誤用及泄密。

篇9

一、引言

近幾年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷豐富，用戶可存在于網(wǎng)絡(luò)空間的活動越來越多，上至六七十的老人，下到小學(xué)生都加入了這個行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多，設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實際工作中，簡單的擴充網(wǎng)絡(luò)帶寬來提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析，采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性，對于訪問速度的提高，用戶體驗十分顯著。網(wǎng)絡(luò)速度實際是恒定的，用戶上網(wǎng)訪問快慢的感受實際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜，需要更多的功能、更好地控制網(wǎng)絡(luò)組建。

二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究

網(wǎng)絡(luò)穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗就不會出現(xiàn)高低起伏，但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性，首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因，并結(jié)合實際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多，總結(jié)起來主要表現(xiàn)在五個方面：網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前，對企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下：

（1）企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級”架構(gòu)（核心、匯聚、接入）?？傮w思路很明確，但隨著網(wǎng)絡(luò)的不斷延伸，接入用戶的不斷增加和新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

（2）隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來的路由體系是否適合現(xiàn)在不斷擴展的企業(yè)網(wǎng)絡(luò)，如何找出路由體系中關(guān)鍵技術(shù)的平衡點這都是技術(shù)難點。

（3）網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升，尤其是網(wǎng)絡(luò)安全域劃分的實施。

（4）桌面安全和系統(tǒng)安全對網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準(zhǔn)入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預(yù)測和提前相應(yīng)提供了支持。

2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā)，我們結(jié)合業(yè)界的相關(guān)技術(shù)，提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。

（1）網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡(luò)之間邊界不夠清晰，沒有使用安全設(shè)備進行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計原則，靈活性欠佳，且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理，造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。

針對企業(yè)網(wǎng)絡(luò)現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進行構(gòu)造網(wǎng)絡(luò)，增加統(tǒng)一的三網(wǎng)絡(luò)核心，整合網(wǎng)絡(luò)安全邊界，優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測試區(qū)，增強開發(fā)測試類應(yīng)用的獨立性和安全性；增加運行管理區(qū)，為企業(yè)網(wǎng)絡(luò)運行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺；增加數(shù)據(jù)擺渡區(qū)，隔離保護生產(chǎn)和科研網(wǎng)絡(luò)，以保障企業(yè)核心業(yè)務(wù)；針對各網(wǎng)絡(luò)功能區(qū)，定義網(wǎng)絡(luò)安全邊界，實施網(wǎng)絡(luò)安全控制；增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性，提高網(wǎng)絡(luò)的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜，在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù)，也就增加了故障點：上聯(lián)設(shè)備故障，直接影響其下聯(lián)設(shè)備。對用戶來說直接影響了其上網(wǎng)體驗。

（2）路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴展性、靈活性和可管理性等方面，進行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點和需注意的問題。

根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu)，考慮各種路由協(xié)議的特點，企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個層面的內(nèi)容：網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全，并通過不斷的評估和規(guī)劃，提高企業(yè)整體的安全水平。對企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析，考慮認證鑒權(quán)、訪問控制、審計跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個方面。安全應(yīng)該貫徹到整個IT架構(gòu)中的各個層次，網(wǎng)絡(luò)設(shè)備配置安全也非常重要，利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù)，可以大大增強網(wǎng)絡(luò)設(shè)備的安全性，從而為整個網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個方面，提出網(wǎng)絡(luò)設(shè)備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截?。?/p>

②服務(wù)管理：強調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù)，減少被攻擊者利用的可能；

③訪問控制和管理：要求對客戶端的操作進行嚴格的認證、授權(quán)和審計；

④攻擊防范：增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置，減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風(fēng)險；

⑤路由安全：關(guān)注路由協(xié)議認證，消除路由安全問題。

（4）桌面安全和系統(tǒng)安全。信息安全風(fēng)險管理就是可以接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風(fēng)險管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個問題：

①不能確保所有計算機都安裝了防火墻和殺毒軟件；

②不能及時對殺毒軟件、防火墻進行更新；

③不知道怎樣對系統(tǒng)防護進行策略配置，不知道怎樣對漏洞進行補丁安裝。

近兩年企業(yè)部署的桌面安全準(zhǔn)入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準(zhǔn)入客戶端的安裝率，挖掘該系統(tǒng)的深入應(yīng)用，提高系統(tǒng)補丁的安裝出發(fā)來解決這些問題。

三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實踐方案

本實踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上，通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā)，詳細闡述該實踐方案。

1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下，采用“三級”架構(gòu)，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實現(xiàn)核心A和核心B熱備，無論核心A或B其中任何一個故障，各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源，進行日常辦公。從而加固了網(wǎng)絡(luò)核心，明晰了網(wǎng)絡(luò)邊界，提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。

圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點，結(jié)合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個原則：（1）動靜路由的選擇。

（2）減少路由器同步和收斂時間。

（3）明晰并統(tǒng)一語法。

企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式，這兩種方式各有優(yōu)缺點。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓撲變化，那么手動配置方式將導(dǎo)致靜態(tài)路由的管理工作根本無法進行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化。但對于任何程序而言，自動化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，即減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。

企業(yè)網(wǎng)絡(luò)核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化，減少路由維護工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點：

（1）RID（router id）是用來唯一表示OSPF網(wǎng)絡(luò)中的一個節(jié)點，為避免由于組網(wǎng)不當(dāng)造成相同自治系統(tǒng)中的RID沖突，路由器均需設(shè)置RID，RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址；

（2）合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則，規(guī)范了路由的語法和規(guī)則，從而避免了路由配置錯誤；并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡(luò)穩(wěn)定性。

3.網(wǎng)絡(luò)安全。啟用接入層交換機端口安全，采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實際情況，提出從兩方面出發(fā)：（1）把IPS桌面化和桌面防火墻的使用實現(xiàn)防攻擊。

（2）提高終端計算機補丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準(zhǔn)入系統(tǒng)）策略服務(wù)器上制定詳細的wsus（）策略來控制計算機的補丁更新，安裝了sep客戶端計算機只要接入網(wǎng)絡(luò)，sep客戶端就會執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器，策略服務(wù)器在收到客戶端傳來檢查結(jié)果后和制定的wsus策略進行比對，如客戶端計算機滿足wsus策略才被允許使用網(wǎng)絡(luò)，否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對不同區(qū)域?qū)嵤┎煌呗?，實現(xiàn)多組wsus服務(wù)器之間負載均衡，使客戶端能在最短時間內(nèi)獲取補丁資源 。

5.實踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴展，各種新技術(shù)也是層出不窮，如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當(dāng)今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無法適應(yīng)當(dāng)下網(wǎng)絡(luò)的運維工作；并且要從體系角度進行網(wǎng)絡(luò)建設(shè)和維護，改變簡單的把“網(wǎng)絡(luò)維護”看成“網(wǎng)絡(luò)設(shè)備維護”的傳統(tǒng)思想。

參考文獻：

篇10

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2007)15-30722-02

On Information Technology and Computer Network Security

TAN Chun-xia

(CAC Technology, Chengdu, China)

Abstract:With computer networks, communications technology, electronics technology's rapid development, we have entered the information of the 21st century. Human feelNetwork Information System to the community's great contribution, but also recognizes that the issue of network security has become the affected countries, army, the survival and development of enterprises and the need to solve the most crucial problems. Network security is the one involving computer science, network technology, communications technology, the key technology, information security technology, applied mathematics, number theory, and information theory in a variety of disciplines such as a comprehensive. Network security in different environments and applications will have different focus, the nature of the information to ensure security during the network of information flow or static storage when not authorized by the illegal users of illegal visit

Key words:Computer;Information;technology;network;security

1 網(wǎng)絡(luò)安全的重要性

以Internet國際互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)向人們初步展現(xiàn)了未來世紀(jì)的信息能力，它遍及全球180多個國家和地區(qū)，融入了60多萬個網(wǎng)絡(luò)，連接了2000多萬臺計算機，為一億多用戶提供多種信息服務(wù)，把巨大的地球變成了信息瞬間可達、方便交往的“地球村”。

金融、制造、電信、財稅、教育、交通等信息網(wǎng)絡(luò)運載著大量的客戶檔案數(shù)據(jù)、運行數(shù)據(jù)、物流數(shù)據(jù)，一旦數(shù)據(jù)丟失、被篡改，必將造成難以估量的損失。因此，安全問題是當(dāng)前政府部門、大型企業(yè)網(wǎng)絡(luò)和信息化建設(shè)必須解決的基本問題，信息系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的安全工作已是他們安全工作的重中之重。在這些網(wǎng)絡(luò)上，竊密與反竊密、破壞與反破壞的斗爭是全方位的，不只是個人、集團級的行為，而且是國家級的行為。在這樣的斗爭中，要立于不敗之地、掌握主動權(quán)，就必須對信息系統(tǒng)的服務(wù)、傳輸媒介和協(xié)議各個環(huán)節(jié)，一方面是作為信息系統(tǒng)最核心層的軟件、芯片、操作系統(tǒng)(協(xié)議和服務(wù))漏洞等可能成為網(wǎng)絡(luò)信息安全隱患的環(huán)節(jié)，進行必要的安全防護和加固，而另一方面安全防護與加固的前提則是對信息系統(tǒng)做出全面準(zhǔn)確的安全評估，全方位系統(tǒng)化提高整個系統(tǒng)的安全等級。

2 網(wǎng)絡(luò)安全面臨的威脅

一般講，網(wǎng)絡(luò)攻擊能夠成功的主要原因：一是由于現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在的安全脆弱性；二是由于管理者思想麻痹，沒有重視網(wǎng)絡(luò)入侵所造成的嚴重后果，因而舍不得投入必要的人、財、物力來加強網(wǎng)絡(luò)的安全性。

具體說來，有以下幾個方面：

2.1系統(tǒng)漏洞

網(wǎng)絡(luò)系統(tǒng)普遍采用TCP/IP協(xié)議，TCP/IP在設(shè)計時以方便應(yīng)用為首要的任務(wù)，許多協(xié)議，如文件傳輸協(xié)議(FTP)，缺乏認證和保密措施。網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用程序普遍存在漏洞，黑客和病毒往往利用這些漏洞對網(wǎng)絡(luò)系統(tǒng)進行破壞。

2.2黑客攻擊

黑客會利用網(wǎng)絡(luò)掃描工具，發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞，發(fā)動攻擊，破壞目標(biāo)系統(tǒng)的安全，主要有以下3種方法：

2.2.1拒絕服務(wù)攻擊

主要是指通過制造無用的網(wǎng)絡(luò)數(shù)據(jù)，造成網(wǎng)絡(luò)擁堵或大量占用系統(tǒng)資源，使目標(biāo)主機或網(wǎng)絡(luò)失去及時響應(yīng)訪問能力。分布式拒絕服務(wù)的危害性更大，黑客首先進入一些易于攻擊的系統(tǒng)，然后利用這些被控制的系統(tǒng)向目標(biāo)系統(tǒng)發(fā)動大規(guī)模的協(xié)同攻擊，其威力比拒絕服務(wù)攻擊大很多。

2.2.2口令破解

網(wǎng)絡(luò)中的身份鑒別方法中很重要的一種是用戶名/口令，它實現(xiàn)起來簡單，被廣泛地使用。黑客利用黑客程序記錄登錄過程或用戶口令破解器來獲取口令，進而在網(wǎng)絡(luò)上進行身份冒充，從而對網(wǎng)絡(luò)安全造成威脅。如果黑客獲取了系統(tǒng)用戶的口令，則將對系統(tǒng)造成災(zāi)難性的后果。

2.2.3電子郵件炸彈

黑客通過不斷地向某郵箱發(fā)電子郵件，從而造成郵箱的崩潰，如果接受為郵件服務(wù)器，則可能造成服務(wù)器的癱瘓。

2.3 病毒入侵

網(wǎng)絡(luò)已成為病毒傳播的主要途徑，病毒通過網(wǎng)絡(luò)入侵，具有更高的傳播速度和更大傳播范圍，其破壞性也不言而喻，有些惡性的病毒會造成系統(tǒng)癱瘓、數(shù)據(jù)破壞，嚴重地危害到網(wǎng)絡(luò)安全。

2.4網(wǎng)絡(luò)配置管理不當(dāng)

網(wǎng)絡(luò)配置管理不當(dāng)會造成非授權(quán)訪問。網(wǎng)絡(luò)管理員在配置網(wǎng)絡(luò)時，往往因為用戶權(quán)限設(shè)置過大、開放不必要的服務(wù)器端口，或者一般用戶因為疏忽，丟失賬號和口令，從而造成非授權(quán)訪問，給網(wǎng)絡(luò)安全造成危害。

2.5陷門和后門

這是一段非法的操作系統(tǒng)程序，其目的是為闖入者提供后門，它可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門，通過后門實現(xiàn)對計算機的完全控制，而用戶可能莫名其妙地丟失文件、或被篡改數(shù)據(jù)等。

2.6操作人員方面

2.6.1保密觀念

部分操作人員保密觀念差，缺乏相應(yīng)的計算機信息安全管理制度，隨便讓閑散人進入機房重地，隨息放置相關(guān)密碼和系統(tǒng)口令的工作筆記、存儲有重要信息的系統(tǒng)磁盤和光盤等。

2.6.2工作責(zé)任心

操作人員工作責(zé)任心不強。經(jīng)常擅自離開工作崗位或者疏于定期檢查和系統(tǒng)維護，不嚴格執(zhí)行安全作規(guī)程，這些都可能使非法分子有機可乘。

3 網(wǎng)絡(luò)安全對策措施

從安全技術(shù)保障手段講，信息系統(tǒng)應(yīng)當(dāng)采用先進的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品，同時一旦防護手段失效時，要有先進的系統(tǒng)恢復(fù)、備份技術(shù)(工具)。根據(jù)網(wǎng)絡(luò)安全監(jiān)測軟件的實際測試，一個沒有安全防護措施的網(wǎng)絡(luò)，其安全漏洞通常有1500個左右。用戶口令的管理對系統(tǒng)安全至關(guān)重要。但實際上，網(wǎng)絡(luò)用戶中很謹慎地使用口令的人很少。有人在因特網(wǎng)上用字典攻擊法在給出用戶名的條件下進行過實際測試，測出70%的用戶口令只用了30分鐘，80%用了兩小時，83%用了48小時。

當(dāng)能夠有效地分析網(wǎng)絡(luò)信息安全隱患并能有效地了解其可能的攻擊方法時，就可以有針對性地采取安全措施。

3.1物理安全管理

計算機網(wǎng)絡(luò)系統(tǒng)物理安全管理防護對策可歸納為：1對傳導(dǎo)發(fā)射的防護?？梢圆扇﹄娫春托盘柧€加裝濾波器的方法進行，減小傳輸阻抗和導(dǎo)線的交叉耦合。2對輻射的防護?？梢圆扇「鞣N電磁屏蔽措施，對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離。

3.2訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

3.2.1入網(wǎng)訪問控制

它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

3.2.2權(quán)限控制

網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。

3.2.3目錄級安全控制

網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而增加了網(wǎng)絡(luò)和服務(wù)器的安全性。

3.2.4屬性安全控制

屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。

3.3安全鑒別技術(shù)

一是網(wǎng)絡(luò)設(shè)備的鑒別，即基于VPN設(shè)備和IP加密機的鑒別；二是應(yīng)用程序中的個人身份鑒別；三是遠程撥號訪問中心加密設(shè)備與遠程加密設(shè)備的鑒別；四是密碼設(shè)備對用戶的鑒別。可采用如下技術(shù)實現(xiàn)身份鑒別：數(shù)字簽名機制、消息鑒別碼、校驗、口令字、智能片、身份驗證服務(wù)(如Kerberos和X.509目錄身份驗證）。

3.4通信保密

一是中心網(wǎng)絡(luò)中采用IP加密機進行加密；二是遠程撥號網(wǎng)絡(luò)中采用數(shù)據(jù)密碼機進行線路加密；三是使用消息完整性編碼MIC（Message Integrity Code，一種HASH函數(shù)來計算信息的摘要）

3.5病毒防范及系統(tǒng)安全備份

病毒防范主要是通過殺毒軟件和防火墻來實現(xiàn)的。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng)，通常安裝在單獨的計算機上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法入侵，執(zhí)行安全管制措施，記錄所有可疑事件。利用防火墻技術(shù)，通過合理地配置，一般能夠在內(nèi)外網(wǎng)絡(luò)之間提供安全的網(wǎng)絡(luò)保護，降低網(wǎng)絡(luò)安全的風(fēng)險。

3.6網(wǎng)絡(luò)的入侵檢測與漏洞掃描

入侵檢測包括：基于應(yīng)用的監(jiān)控技術(shù)、基于主機的監(jiān)控技術(shù)、基于目標(biāo)的監(jiān)控技術(shù)、基于網(wǎng)絡(luò)的監(jiān)控技術(shù)、綜合上述4種方法進行監(jiān)控；漏洞檢測包括：基于應(yīng)用的檢測技術(shù)、基于主機的檢測技術(shù)、基于目標(biāo)的檢測技術(shù)、基于網(wǎng)絡(luò)的檢測技術(shù)、綜合上述4種方法進行檢測。檢測的具體實現(xiàn)與網(wǎng)絡(luò)拓撲結(jié)構(gòu)有關(guān)。

3.7文件傳送安全

要求對等實體鑒別、數(shù)據(jù)加密、完整性檢驗、數(shù)字簽名。郵件可以加密或者使用安全PC卡。

3.8網(wǎng)絡(luò)安全制度管理

對網(wǎng)絡(luò)進行強有力的安全秩序管理，形成良好的組織管理程序，是克服網(wǎng)絡(luò)安全脆弱性的重要對策。因此，必須建立完備的網(wǎng)絡(luò)機房安全管理制度，妥保管備份磁盤和文檔資料，防止非法人員進入機房進行偷竊和破壞性操作。

4 網(wǎng)絡(luò)安全發(fā)展趨勢

從管理和技術(shù)兩個維度來推進網(wǎng)絡(luò)安全工作不僅是現(xiàn)階段解決好網(wǎng)絡(luò)安全問題的需要，也是今后網(wǎng)絡(luò)安全發(fā)展的必然趨勢。

4.1 管理角度

從管理的角度講應(yīng)遵循以下原則：1整體考慮、統(tǒng)一規(guī)劃；2戰(zhàn)略優(yōu)先、合理保護；3集中管理、重點防護；4重視管理，依靠技術(shù)。

4.2技術(shù)角度

從技術(shù)角度而言，重點發(fā)展以下技術(shù)有助于網(wǎng)絡(luò)安全等級的提升：邏輯隔離技術(shù)、防病毒技術(shù)、身份認證技術(shù)、入侵檢測和主動防衛(wèi)技術(shù)、加密和虛擬專用網(wǎng)技術(shù)、網(wǎng)管技術(shù)。

5 結(jié)束語

網(wǎng)絡(luò)安全是一個復(fù)雜的問題，它涉及法律、管理和技術(shù)等綜合方面，只有協(xié)調(diào)好三者之間的關(guān)系，構(gòu)建完善的安全體系，才能有效地保護網(wǎng)絡(luò)安全。我國信息網(wǎng)絡(luò)安全技術(shù)的研究

和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻：

[1]楊義先.等.編著.網(wǎng)絡(luò)信息安全與保密[M].北京郵電大學(xué)出版社,1999.11.

[2]陳彥軍.信息安全理論與實務(wù)[M].中國鐵道出版社,2001.4.