導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全加固建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全運(yùn)維；網(wǎng)絡(luò)安全

隨著高校信息化建設(shè)的全面深入和快速推進(jìn)，基礎(chǔ)網(wǎng)絡(luò)設(shè)施和信息應(yīng)用系統(tǒng)日趨完備，形成了規(guī)模大、結(jié)構(gòu)復(fù)雜、系統(tǒng)多、應(yīng)用全面的網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)。信息化建設(shè)項(xiàng)目多、任務(wù)重，在高效率、高質(zhì)量完成建設(shè)任務(wù)的同時(shí)，需要保證網(wǎng)絡(luò)運(yùn)維和信息安全運(yùn)維的效果和效率，為師生提供良好的用戶體驗(yàn)，這就對(duì)網(wǎng)絡(luò)運(yùn)維提出了更高的要求和標(biāo)準(zhǔn)。網(wǎng)絡(luò)業(yè)務(wù)日益繁多、復(fù)雜多變，各種網(wǎng)絡(luò)問題層出不窮，如黑客攻擊、計(jì)算機(jī)病毒泛濫，高校園網(wǎng)絡(luò)運(yùn)維體系面臨新的問題，能否適應(yīng)新變化就顯得非常重要。建立校園網(wǎng)運(yùn)維體系、解決校園網(wǎng)面臨的問題對(duì)保證高校正常的教學(xué)、科研、管理等工作有著重要意義。

1校園網(wǎng)絡(luò)安全運(yùn)維體系架構(gòu)

隨著信息化在高校的發(fā)展，硬件平臺(tái)、應(yīng)用軟件、操作系統(tǒng)越來越復(fù)雜，難以集中管理，加之師生對(duì)網(wǎng)絡(luò)的高度依賴性，使得保障網(wǎng)絡(luò)的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網(wǎng)絡(luò)管理技術(shù)為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中的關(guān)鍵技術(shù)。高校校園網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)系統(tǒng)數(shù)量眾多、結(jié)構(gòu)復(fù)雜，且管理控制平臺(tái)多樣，網(wǎng)絡(luò)管理員需要掌握不同平臺(tái)的管理及使用方法，去管理網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)，復(fù)雜度高；網(wǎng)絡(luò)管理員對(duì)應(yīng)用系統(tǒng)的使用權(quán)限不同，難以在不同的業(yè)務(wù)應(yīng)用系統(tǒng)中保持控制策略和用戶權(quán)限的全局一致性，管理網(wǎng)絡(luò)安全事件日趨復(fù)雜化。只有對(duì)所有安全設(shè)備、業(yè)務(wù)系統(tǒng)發(fā)生的安全事件及其運(yùn)行狀態(tài)信息進(jìn)行關(guān)聯(lián)分析，才能有效發(fā)現(xiàn)新的、更深層次的安全隱患。安全管理技術(shù)主要包括安全事件采集、安全事件管理、安全設(shè)備監(jiān)控三大模塊。安全事件釆集，用于采集網(wǎng)絡(luò)中所有安全設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)等的安全日志及運(yùn)行狀態(tài)，這些信息將為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)源，是安全管理的基礎(chǔ)。安全事件管理將采集得到的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析、風(fēng)險(xiǎn)評(píng)估等處理，通過分析可能的安全威脅，提交安全對(duì)象的安全報(bào)告。安全設(shè)備監(jiān)控，是通過監(jiān)控各關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)信息，及時(shí)發(fā)現(xiàn)安全問題并第一時(shí)間進(jìn)行處理。

2校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)的組成

校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)由監(jiān)控中心、安全分析中心、運(yùn)維中心組成，為保證高校校園網(wǎng)絡(luò)的安全提供了科學(xué)合理的方法，有效保障了校園網(wǎng)絡(luò)的安全和穩(wěn)定。監(jiān)控中心，通過事件采集器收集監(jiān)控對(duì)象日志信息及安全事件，經(jīng)過標(biāo)準(zhǔn)化、信息過濾和關(guān)聯(lián)分析后，標(biāo)記安全事件級(jí)別同時(shí)存入數(shù)據(jù)庫。安全分析中心，通過資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、評(píng)價(jià)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)計(jì)算等過程，評(píng)估校園網(wǎng)絡(luò)綜合資產(chǎn)的重要性、脆弱性以及面臨的威脅，為管理員進(jìn)行決策提供依據(jù)；采用事件關(guān)聯(lián)分析算法，尋找海量事件相互關(guān)聯(lián)事件，提取出真正有價(jià)值的少量安全事件威脅，包括業(yè)務(wù)連續(xù)性威脅、數(shù)據(jù)安全威脅、攻擊威脅。運(yùn)維中心，通過安全預(yù)警管理接收業(yè)務(wù)系統(tǒng)防護(hù)平臺(tái)產(chǎn)生的自動(dòng)安全預(yù)警信息或人工預(yù)警信息，再進(jìn)行分級(jí)處理，并按規(guī)定的通知模板將預(yù)警信息傳達(dá)給相關(guān)人員，并運(yùn)用系統(tǒng)安全策略進(jìn)行準(zhǔn)確的預(yù)警，其中系統(tǒng)安全策略由告警的觸發(fā)條件、分析規(guī)則、風(fēng)險(xiǎn)策略、設(shè)施管策略、存儲(chǔ)策略等組成。

3安全運(yùn)維的內(nèi)容

3.1安全巡檢

定期對(duì)校園網(wǎng)絡(luò)安全設(shè)備的日志進(jìn)行深入分析和審計(jì)，包括對(duì)防火墻、IDS、防病毒系統(tǒng)、動(dòng)態(tài)口令認(rèn)證、日志分析系統(tǒng)等的運(yùn)行狀態(tài)、運(yùn)行事件、日志和關(guān)鍵配置文件進(jìn)行收集、分析，并形成相應(yīng)的安全建議。安全巡檢內(nèi)容如下：（1）制訂安全設(shè)備巡檢計(jì)劃和巡檢規(guī)范；（2）定期對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行巡檢；（3）分析和解決在巡檢中發(fā)現(xiàn)的問題；（4）提交巡檢報(bào)告。

3.2漏洞掃描

通過漏洞掃描可以全面、準(zhǔn)確發(fā)現(xiàn)校園網(wǎng)絡(luò)中各系統(tǒng)存在的安全隱患及可能被攻擊的方式，掌握信息系統(tǒng)的安全現(xiàn)狀，為進(jìn)一步保證建設(shè)校園網(wǎng)絡(luò)的安全提供了數(shù)據(jù)參考和實(shí)際的依據(jù)，具有指導(dǎo)校園網(wǎng)絡(luò)安全建設(shè)的作用。對(duì)信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)的安全探測是漏洞掃描采用的主要技術(shù)手段，通過安全探測可以發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)潛在的安全隱患和薄弱環(huán)節(jié)。通過漏洞掃描設(shè)備、安全評(píng)估工具以掃描的方式對(duì)整個(gè)校園網(wǎng)中的信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行安全掃描，從校園內(nèi)網(wǎng)和校園外網(wǎng)絡(luò)兩個(gè)不同的網(wǎng)絡(luò)環(huán)境來探測校園網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備部署、服務(wù)器主機(jī)配置、數(shù)據(jù)庫管理員賬號(hào)/口令等校園網(wǎng)絡(luò)對(duì)象目標(biāo)存在的漏洞、安全風(fēng)險(xiǎn)和潛在的威脅。漏洞掃描有利于發(fā)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層的安全問題。（1）系統(tǒng)層安全。各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的操作系統(tǒng)，主要存在操作系統(tǒng)自身的漏洞、風(fēng)險(xiǎn)和威脅，主要包括用戶名、密碼管理、訪問權(quán)限分配和控制、系統(tǒng)漏洞等，以及操作系統(tǒng)的安全配置不夠完善，存在被攻擊的可能。（2）網(wǎng)絡(luò)層安全。網(wǎng)絡(luò)信息是網(wǎng)絡(luò)層的主要安全問題，包括身份認(rèn)證，控制不同身份對(duì)網(wǎng)絡(luò)資源的訪問、傳輸過程中的信息數(shù)據(jù)保密性與完整性、校外網(wǎng)絡(luò)遠(yuǎn)程接入、入侵檢測的發(fā)現(xiàn)及處理手段等。（3）應(yīng)用層安全。應(yīng)用軟件和數(shù)據(jù)的安全性是應(yīng)用層安全考慮的主要方面，主要有：學(xué)工系統(tǒng)、門戶網(wǎng)站、教務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、Web應(yīng)用服務(wù)、電子郵件系統(tǒng)、防火墻及WAF系統(tǒng)及其他網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)等。掃描流程如圖1所示：

3.3安全加固

針對(duì)巡檢、漏洞掃描、安全評(píng)估過程中發(fā)現(xiàn)的各種安全隱患、系統(tǒng)漏洞，通過補(bǔ)丁升級(jí)、漏洞修復(fù)、進(jìn)行更加嚴(yán)格的安全配置、校園網(wǎng)絡(luò)系統(tǒng)架構(gòu)優(yōu)化與調(diào)整、安全策略升級(jí)與完善等方式及時(shí)對(duì)系統(tǒng)進(jìn)行安全加固，范圍可覆蓋資產(chǎn)梳理、終端檢查、物理檢查、管理體系優(yōu)化、人工檢查、漏洞掃描結(jié)果加固、滲透測試結(jié)果加固（涉及數(shù)據(jù)庫加固），提高校園網(wǎng)絡(luò)的安全性、抗攻擊和防病毒入侵能力，降低網(wǎng)絡(luò)安全事件發(fā)生的可能性。采用基本安全配置定期檢測和優(yōu)化，提高各系統(tǒng)、設(shè)備的密碼復(fù)雜度及修改密碼，系統(tǒng)漏洞檢測、修復(fù)處理，訪問控制策略完善配置，安全的遠(yuǎn)程接入方式，開啟文件系統(tǒng)的審計(jì)策略，開啟系統(tǒng)日志記錄并定期進(jìn)行分析，定期升級(jí)操作系統(tǒng)及更新安裝補(bǔ)丁等手段對(duì)校園網(wǎng)絡(luò)進(jìn)行安全加固。加固完成后，定期對(duì)校園網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估，確保校園網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備具有較高的安全性和抗攻擊能力。加固流程如圖2所示：

4結(jié)語

科學(xué)合理成體系的校園網(wǎng)絡(luò)安全運(yùn)維能有效緩解校園網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)問題，將網(wǎng)絡(luò)安全事件從傳統(tǒng)的事后處理逐漸轉(zhuǎn)變?yōu)槭虑胺婪?，能極大提高網(wǎng)絡(luò)運(yùn)維和安全管理水平，增強(qiáng)校園網(wǎng)絡(luò)的安全性，提供更好的用戶體驗(yàn)，從而實(shí)現(xiàn)安全、穩(wěn)定、抗風(fēng)險(xiǎn)能力強(qiáng)的校園網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]莊天天.安全運(yùn)維平臺(tái)關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2013.

[2]吳京偉.大學(xué)校園網(wǎng)絡(luò)運(yùn)維體系研究[D].合肥:合肥工業(yè)大學(xué),2009.

[3]張先哲.信息系統(tǒng)安全運(yùn)維管理平臺(tái)建設(shè)研究[J].軟件工程師,2015(5):38-39.

篇2

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)技術(shù)

中圖分類號(hào)：TP319.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 22-0000-01

"Computer Network Security" Teaching Study

Jiang Cui,Cheng Shoumian

(Xianning Vocational Technical College,Xianning 437100,China)

Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.

Keywords:Network Security;Network technology

前言：通過計(jì)算機(jī)網(wǎng)絡(luò)，人們可以非常方便地存儲(chǔ)、交換以及搜索信息，在工作、生活以及娛樂中享受極大的便利。然而，人們?cè)谙硎苡?jì)算機(jī)網(wǎng)絡(luò)所帶來的巨大便利的同時(shí)，也受到計(jì)算機(jī)網(wǎng)絡(luò)本身所暴露出的各種安全問題的困擾。這些安全問題給人類社會(huì)所依賴的“網(wǎng)絡(luò)社會(huì)”蒙上了陰影。計(jì)算機(jī)網(wǎng)絡(luò)安全問題已成為一個(gè)世界性的現(xiàn)實(shí)問題?？梢哉f沒有網(wǎng)絡(luò)安全，就沒有完全意義上的國家安全，也沒有真正的政治安全、軍事安全和經(jīng)濟(jì)安全。因此，加速計(jì)算機(jī)網(wǎng)絡(luò)安全的研究和發(fā)展，增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全保障能力，提高全民的網(wǎng)絡(luò)安全意識(shí)，加速培養(yǎng)網(wǎng)絡(luò)安全專門人才已成為我國網(wǎng)絡(luò)化合信息化發(fā)展的當(dāng)務(wù)之急。《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程在課程體系中占有重要的地位，《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的教學(xué)不容忽視，《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的教學(xué)研究探討有重要的意義。

一、《計(jì)算機(jī)網(wǎng)絡(luò)安全》在網(wǎng)絡(luò)專業(yè)課程體系中的地位

先行課程：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》、《網(wǎng)站建設(shè)》、《網(wǎng)絡(luò)數(shù)據(jù)庫》和《網(wǎng)絡(luò)設(shè)備與互聯(lián)》；并行課程：《網(wǎng)絡(luò)管理》；后繼課程：《網(wǎng)絡(luò)攻擊與防御》、《數(shù)據(jù)備份與災(zāi)難恢復(fù)技術(shù)》和《網(wǎng)絡(luò)安全與電子商務(wù)》。

《計(jì)算機(jī)網(wǎng)絡(luò)安全》這門課程在網(wǎng)絡(luò)專業(yè)體系結(jié)構(gòu)中位于網(wǎng)絡(luò)安全領(lǐng)域課程的首位。是網(wǎng)絡(luò)安全方向?qū)W習(xí)必不可少的課程。它依據(jù)《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》課程，系統(tǒng)的講解了網(wǎng)絡(luò)技術(shù)相關(guān)的基本原理和網(wǎng)絡(luò)應(yīng)用技術(shù)，使學(xué)生掌握了網(wǎng)絡(luò)的理論基礎(chǔ)知識(shí)和網(wǎng)絡(luò)應(yīng)用技術(shù)；《網(wǎng)絡(luò)數(shù)據(jù)庫》全面地介紹了數(shù)據(jù)庫基礎(chǔ)、SQL Server的安全性管理、SQL Server2005數(shù)據(jù)庫系統(tǒng)管理、開發(fā)和應(yīng)用的相關(guān)原理、方法和技術(shù)；《網(wǎng)站建設(shè)》系統(tǒng)地介紹了網(wǎng)站規(guī)劃建設(shè)與管理維護(hù)的知識(shí)和技術(shù)，訓(xùn)練了學(xué)生網(wǎng)站建設(shè)和規(guī)劃及維護(hù)的能力；《網(wǎng)絡(luò)設(shè)備與互聯(lián)》詳細(xì)介紹了構(gòu)建園區(qū)網(wǎng)所涉及的交換、路由、安全等方面的知識(shí)，以及將園區(qū)網(wǎng)接入到互聯(lián)網(wǎng)的相關(guān)技術(shù)。這些課程為網(wǎng)絡(luò)安全課程的學(xué)習(xí)奠定了良好的基礎(chǔ)，為網(wǎng)絡(luò)安全問題的解決提供了必要條件。

《計(jì)算機(jī)網(wǎng)絡(luò)安全》是培養(yǎng)網(wǎng)絡(luò)管理員，成就網(wǎng)絡(luò)工程師課程體系中一個(gè)重要的組成部分。它屬于“組網(wǎng)、用網(wǎng)、管網(wǎng)”中的“管網(wǎng)”部分。主要針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的管理和網(wǎng)絡(luò)應(yīng)用專業(yè)崗位而設(shè)置。

二、《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的培養(yǎng)目標(biāo)

作為《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程設(shè)置的主要內(nèi)容有：網(wǎng)絡(luò)故障安全應(yīng)急處理，黑客攻擊造成的網(wǎng)絡(luò)安全異常及診斷分析，病毒造成的主機(jī)網(wǎng)絡(luò)異常診斷和分析，無線網(wǎng)絡(luò)系統(tǒng)加固技術(shù)，網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全設(shè)備的部署，加密、解密技術(shù)及其應(yīng)用，主機(jī)操作系統(tǒng)和應(yīng)用服務(wù)器系統(tǒng)安全加固，故障后的數(shù)據(jù)恢復(fù)技術(shù)。對(duì)我們高職學(xué)生學(xué)習(xí)該課程，對(duì)應(yīng)的職業(yè)崗位，主要是針對(duì)初級(jí)并界于中級(jí)的網(wǎng)絡(luò)管理員以及為網(wǎng)絡(luò)工程師職業(yè)打下堅(jiān)實(shí)基礎(chǔ)。要想成為中高級(jí)網(wǎng)絡(luò)管理員必須經(jīng)過后續(xù)課程的不斷努力學(xué)習(xí)。

（一）職業(yè)所需的專業(yè)能力。（1）熟悉常見計(jì)算機(jī)病毒的現(xiàn)象特征，掌握其清除和防范技術(shù)，能清除常見計(jì)算機(jī)病毒，（2）熟悉操作系統(tǒng)的安全設(shè)置，能有效的保護(hù)所管理的計(jì)算機(jī)安全可靠運(yùn)行，（3）掌握防火墻的原理及功能特性，掌握防火墻的配置技術(shù)，能保證園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備可靠工作，（4）了解黑客的入侵過程，掌握防范黑客攻擊的一般措施，能防范一般的黑客攻擊，（5）掌握數(shù)據(jù)備份和恢復(fù)技術(shù)，能應(yīng)對(duì)數(shù)據(jù)的急救處理。

（二）職業(yè)所需的通用能力。（1）網(wǎng)絡(luò)安全的法律和法規(guī)意識(shí)。掌握我國制訂的相關(guān)網(wǎng)絡(luò)安全法規(guī)和法律知識(shí)，了解我國網(wǎng)絡(luò)安全的發(fā)展趨勢。（2）團(tuán)隊(duì)協(xié)作精神。網(wǎng)絡(luò)安全是一個(gè)龐大而復(fù)雜的領(lǐng)域，需要團(tuán)隊(duì)的分工合作。（3）養(yǎng)成自學(xué)習(xí)慣。網(wǎng)絡(luò)安全領(lǐng)域知識(shí)變化日新月異，需要不但學(xué)習(xí)，要培養(yǎng)“活到老，學(xué)到老”的自學(xué)習(xí)慣。（4）與人溝通意識(shí)。

三、《計(jì)算機(jī)網(wǎng)絡(luò)安全》課程教學(xué)手段

“以職業(yè)活動(dòng)為導(dǎo)向，以工作過程為導(dǎo)向”，本課程內(nèi)容組織與安排遵循學(xué)生職業(yè)能力培養(yǎng)的基本規(guī)律，圍繞職業(yè)能力目標(biāo)的實(shí)現(xiàn)來展開。教學(xué)手段：虛擬、真實(shí)環(huán)境相結(jié)合。以學(xué)校的實(shí)訓(xùn)室為研究對(duì)象，按照項(xiàng)目實(shí)訓(xùn)步驟進(jìn)行教學(xué)。教師在虛擬（計(jì)算機(jī)網(wǎng)絡(luò)安全攻防實(shí)訓(xùn)系統(tǒng)，如泰谷網(wǎng)絡(luò)攻防實(shí)驗(yàn)系統(tǒng)）和真實(shí)（計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作演示；學(xué)生在虛擬（計(jì)算機(jī)網(wǎng)絡(luò)安全攻防實(shí)訓(xùn)系統(tǒng)）和真實(shí)（計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)訓(xùn)室）的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行操作練習(xí)；在實(shí)訓(xùn)室中，學(xué)生按分組用真實(shí)的網(wǎng)絡(luò)軟硬件進(jìn)行網(wǎng)絡(luò)攻防訓(xùn)練。并輔以課外學(xué)習(xí)，學(xué)習(xí)網(wǎng)站有：黑客基地（），黑客防線（.cn），中國黑客聯(lián)盟（），中國黑客入侵組（），安全焦點(diǎn)（）。然后輸送學(xué)生到附近的校外實(shí)訓(xùn)基地真實(shí)的環(huán)境中學(xué)習(xí)鍛煉，直接掌握職業(yè)崗位的需求知識(shí)和技能。

參考文獻(xiàn)：

[1]辜川毅,主編.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].機(jī)械工業(yè)出版社,2009

[2]甘剛,曹荻華,王敏,王祖儷,張永波編著.網(wǎng)絡(luò)攻擊與防御[M].清華大學(xué)出版社,2008

篇3

作者：侯煒

我國高速公路近幾年來建設(shè)里程越來越遠(yuǎn)，而且隨著互聯(lián)網(wǎng)的迅速發(fā)展，高速公路進(jìn)入了全國聯(lián)網(wǎng)、信息交互的時(shí)代。一方面，這有助于高速公路網(wǎng)絡(luò)信息的共享和傳播。但另一方面，高速公路全面聯(lián)網(wǎng)也對(duì)網(wǎng)絡(luò)安全提出了新的要求。一旦網(wǎng)絡(luò)被別有用心的人攻擊，輕則導(dǎo)致信息泄露，重則有可能引起大的交通事故。

一、高速公路網(wǎng)絡(luò)信息安全分析

針對(duì)目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學(xué)者都提出自己的觀點(diǎn)和看法，例如：北京交科公路勘察設(shè)計(jì)研究院盛剛談到網(wǎng)絡(luò)安全問題時(shí)指出：一方面，不管是在設(shè)計(jì)還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點(diǎn)放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識(shí)，忽視培養(yǎng)技術(shù)人員，技術(shù)儲(chǔ)備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對(duì)高速收費(fèi)、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運(yùn)營單位的認(rèn)識(shí)和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴(yán)格按照國際相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行，提出的技術(shù)不具備針對(duì)性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動(dòng)，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實(shí)際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點(diǎn)。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴(yán)重，已成為當(dāng)前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學(xué)者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運(yùn)維體系、管理體系和標(biāo)準(zhǔn)體系。技術(shù)體系主要從主機(jī)安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運(yùn)維體系分為四個(gè)部分：風(fēng)險(xiǎn)管理安全、安全體系的推廣落實(shí)、安全維護(hù)、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標(biāo)，以及在完成這些目標(biāo)的過程中所使用的體系方法；標(biāo)準(zhǔn)體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對(duì)各省份出現(xiàn)的安全問題，各自根據(jù)實(shí)際情況提出不同的解決方案，例如山西省針對(duì)本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運(yùn)維管理、管理制度安全、安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機(jī)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護(hù)系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實(shí)施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機(jī)設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機(jī)系統(tǒng)安全、行為操作安全等各類隱患，針對(duì)具體存在的安全問題，對(duì)癥下藥，采取實(shí)施有效的安全防護(hù)措施。

除江蘇和山西省外，福建省也提出了自己的安全措施，制定了詳細(xì)的分析報(bào)告（確定框架―制定方案―修改方案―執(zhí)行方案），從2013年試開始運(yùn)行，截止目前為止，安全防護(hù)措施已步入正軌，已將相關(guān)制度運(yùn)行管理制度實(shí)現(xiàn)了良好的銜接。

篇4

［關(guān)鍵詞］ 網(wǎng)絡(luò)；安全威脅；中國石油；網(wǎng)絡(luò)安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號(hào)］ TP343.08 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業(yè)務(wù)靈活性、成本控制成為企業(yè)經(jīng)營者最關(guān)心的問題，彈性靈活的業(yè)務(wù)流程需求日益加強(qiáng)，辦公自動(dòng)化、生產(chǎn)上網(wǎng)、業(yè)務(wù)上網(wǎng)、遠(yuǎn)程辦公等業(yè)務(wù)模式不斷出現(xiàn)，促使企業(yè)加快信息網(wǎng)絡(luò)的建設(shè)。越來越多的企業(yè)核心業(yè)務(wù)、數(shù)據(jù)上網(wǎng)，一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營的基本條件。同時(shí)為了規(guī)范企業(yè)治理，國家監(jiān)管部門對(duì)企業(yè)的內(nèi)控管理提出了多項(xiàng)規(guī)范要求，包括 IT 數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性等方面。

然而信息網(wǎng)絡(luò)面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發(fā)展，網(wǎng)絡(luò)病毒、漏洞依然泛濫，同時(shí)信息技術(shù)的不斷更新，信息安全面臨的挑戰(zhàn)不斷增加。特別是云的應(yīng)用，云環(huán)境下的數(shù)據(jù)安全、應(yīng)用安全、虛擬化安全是信息安全面臨的主要問題。如何構(gòu)建靈活有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系，滿足業(yè)務(wù)發(fā)展的需要，已成為企業(yè)信息化建設(shè)、甚至是企業(yè)業(yè)務(wù)發(fā)展必須要考慮的問題。

2 大型企業(yè)網(wǎng)絡(luò)面臨的安全威脅

賽門鐵克的《2011 安全狀況調(diào)查報(bào)告》顯示：29％的企業(yè)定期遭受網(wǎng)絡(luò)攻擊，71％ 的企業(yè)在過去的一年里遭受過網(wǎng)絡(luò)攻擊。大型企業(yè)由于地域跨度大，信息系統(tǒng)多，受攻擊面廣等特點(diǎn)，更是成為被攻擊的首選目標(biāo)。

大型企業(yè)網(wǎng)絡(luò)應(yīng)用存在的安全威脅主要包括：（1）內(nèi)網(wǎng)應(yīng)用不規(guī)范。企業(yè)網(wǎng)絡(luò)行為不加限制，P2P下載等信息占據(jù)大量的網(wǎng)絡(luò)帶寬，同時(shí)也不可避免地將互聯(lián)網(wǎng)中的大量病毒、木馬等有害信息傳播到內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)應(yīng)用系統(tǒng)安全構(gòu)成威脅。（2）網(wǎng)絡(luò)接入控制不嚴(yán)。網(wǎng)絡(luò)準(zhǔn)入設(shè)施及制度的缺失，任何人都可以隨時(shí)、隨地插線上網(wǎng)，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統(tǒng)安全措施不全。企業(yè)中的VPN系統(tǒng)，特別是二級(jí)單位自建的VPN系統(tǒng)，安全防護(hù)與審計(jì)能力不高，存在管理和控制不完善，且存在非系統(tǒng)員工用戶，行為難以監(jiān)管和約束。（4）衛(wèi)星信號(hào)易泄密。衛(wèi)星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠(yuǎn)地區(qū)作業(yè)的一線生產(chǎn)單位，通過衛(wèi)星系統(tǒng)傳遞生產(chǎn)、現(xiàn)場視頻等信息。但由于無線信號(hào)在自由空間中傳輸，容易被截獲。（5）無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較大。無線接入由于靈活方便，常在局域網(wǎng)絡(luò)中使用，但是存在容易侵入、未經(jīng)授權(quán)使用服務(wù)、地址欺騙和會(huì)話攔截、流量偵聽等安全風(fēng)險(xiǎn)。（6）生產(chǎn)網(wǎng)隔離不徹底。企業(yè)中生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)尚沒有明確的隔離規(guī)范，大多數(shù)二級(jí)單位采用防火墻邏輯隔離，有些單位防護(hù)策略制定不嚴(yán)格，導(dǎo)致生產(chǎn)網(wǎng)被來自管理網(wǎng)絡(luò)的病毒感染。

3 大型企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評(píng)比中，都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列為信息化整體規(guī)劃中，并逐步實(shí)施。其中涉及管理類項(xiàng)目3個(gè)，控制類項(xiàng)目3個(gè)，技術(shù)類項(xiàng)目5個(gè)。中國石油網(wǎng)絡(luò)安全域建設(shè)是其重要建設(shè)內(nèi)容。

中國石油網(wǎng)絡(luò)分為專網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)3類。其中專網(wǎng)承載與實(shí)時(shí)生產(chǎn)或決策相關(guān)的信息系統(tǒng)，是相對(duì)封閉、有隔離的專用網(wǎng)絡(luò)。內(nèi)網(wǎng)是通過租用國內(nèi)數(shù)據(jù)鏈路，承載對(duì)內(nèi)服務(wù)業(yè)務(wù)信息系統(tǒng)的網(wǎng)絡(luò)，與外網(wǎng)邏輯隔離。外網(wǎng)是實(shí)現(xiàn)對(duì)外提供服務(wù)和應(yīng)用的網(wǎng)絡(luò)，與互聯(lián)網(wǎng)相連（見圖1）。

為了構(gòu)建安全可靠的中國石油網(wǎng)絡(luò)安全架構(gòu)，中國石油通過劃分中國石油網(wǎng)絡(luò)安全域，明確安全責(zé)任和防護(hù)標(biāo)準(zhǔn)，采取分層的防護(hù)措施來提高整體網(wǎng)絡(luò)的安全性，同時(shí)，為安全事件追溯提供必要的技術(shù)手段。網(wǎng)絡(luò)安全域?qū)嵤╉?xiàng)目按照先邊界安全加固、后深入內(nèi)部防護(hù)的指導(dǎo)思想，將項(xiàng)目分為：廣域網(wǎng)邊界防護(hù)、廣域網(wǎng)域間與數(shù)據(jù)中心防護(hù)、廣域網(wǎng)域內(nèi)防護(hù)3部分。

廣域網(wǎng)邊界防護(hù)子項(xiàng)目主要包括數(shù)據(jù)中心邊界防護(hù)和區(qū)域網(wǎng)絡(luò)中心邊界防護(hù)。數(shù)據(jù)中心邊界防護(hù)設(shè)計(jì)主要是保障集團(tuán)公司統(tǒng)一規(guī)劃應(yīng)用系統(tǒng)的安全、可靠運(yùn)行。區(qū)域網(wǎng)絡(luò)中心邊界安全防護(hù)在保障各區(qū)域內(nèi)員工訪問互聯(lián)網(wǎng)的同時(shí)，還需保障部分自建應(yīng)用系統(tǒng)的正常運(yùn)行?，F(xiàn)中石油在全國范圍內(nèi)建立和完善16個(gè)互聯(lián)網(wǎng)出口的安全防護(hù)，所有單位均通過16個(gè)互聯(lián)網(wǎng)出口對(duì)外聯(lián)系，規(guī)劃DMZ，制定統(tǒng)一的策略，對(duì)外服務(wù)應(yīng)用統(tǒng)一部署DMZ，內(nèi)網(wǎng)與外網(wǎng)邏輯隔離，內(nèi)網(wǎng)員工能正常收發(fā)郵件、瀏覽網(wǎng)頁，部分功能受限。

域間防護(hù)方案主要遵循 “縱深防護(hù)，保護(hù)核心”主體思想，安全防護(hù)針對(duì)各專網(wǎng)與內(nèi)網(wǎng)接入點(diǎn)進(jìn)行部署，并根據(jù)其在網(wǎng)絡(luò)層面由下至上的分布，保護(hù)策略強(qiáng)度依次由弱至強(qiáng)。數(shù)據(jù)中心安全防護(hù)按照數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的現(xiàn)狀和定級(jí)情況，將數(shù)據(jù)中心劃分為4個(gè)安全區(qū)域，分別是核心網(wǎng)絡(luò)、二級(jí)系統(tǒng)區(qū)、三級(jí)系統(tǒng)區(qū)、網(wǎng)絡(luò)管理區(qū)；通過完善數(shù)據(jù)中心核心網(wǎng)絡(luò)與廣域網(wǎng)邊界，二級(jí)系統(tǒng)、三級(jí)系統(tǒng)、網(wǎng)絡(luò)管理區(qū)與核心區(qū)邊界，二、三級(jí)系統(tǒng)區(qū)內(nèi)部各信息系統(tǒng)間的邊界防護(hù)，構(gòu)成數(shù)據(jù)中心縱深防御的體系，提升整體安全防護(hù)水平。

域內(nèi)防護(hù)是指分離其他網(wǎng)絡(luò)并制定訪問策略，完善域內(nèi)安全監(jiān)控手段和技術(shù)，規(guī)范域內(nèi)防護(hù)標(biāo)準(zhǔn)，實(shí)現(xiàn)實(shí)名制上網(wǎng)。中國石油以現(xiàn)有遠(yuǎn)程接入控制系統(tǒng)用戶管理模式為基礎(chǔ)，并通過完善現(xiàn)有SSL VPN系統(tǒng)、增加IPSEC遠(yuǎn)程接入方式，為出差員工、分支機(jī)構(gòu)接入提供安全的接入環(huán)境。實(shí)名制訪問互聯(lián)網(wǎng)主要以用戶身份與自然人一一對(duì)應(yīng)關(guān)系為基礎(chǔ)，實(shí)現(xiàn)用戶互聯(lián)網(wǎng)訪問、安全設(shè)備管理準(zhǔn)入及授權(quán)控制、實(shí)名審計(jì)；以部署設(shè)備證書為基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)中心對(duì)外提供服務(wù)的信息系統(tǒng)服務(wù)器網(wǎng)絡(luò)身份真實(shí)可靠，從而確保區(qū)域網(wǎng)絡(luò)中心、數(shù)據(jù)中心互聯(lián)網(wǎng)接入的安全性。

4 結(jié)束語

一個(gè)穩(wěn)定安全的企業(yè)信息網(wǎng)絡(luò)已成為企業(yè)正常運(yùn)營的基本條件，然而信息網(wǎng)絡(luò)的安全威脅日益加劇，企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網(wǎng)絡(luò)安全域建設(shè)，系統(tǒng)地解決網(wǎng)絡(luò)安全問題，供其他企業(yè)參考。

主要參考文獻(xiàn)

［1］王擁軍. 淺談企業(yè)網(wǎng)絡(luò)安全防護(hù)體系的建設(shè) ［J］． 信息安全與通信保密，2011（12）.

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；建設(shè)與規(guī)劃；校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路，分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境，網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組，確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性；數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成；終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書館大樓。此外，還有一個(gè)獨(dú)立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模，校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見圖1。

2、安全威脅分析

目前，Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模，但是，在信息安全建設(shè)方面仍然面臨諸多的問題，如，網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況，沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài)，風(fēng)險(xiǎn)管理全憑感覺等等，以上種種問題表明，Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃，以便在今后的網(wǎng)絡(luò)安全工作中，建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處，部署了一臺(tái)山石防火墻，在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多，外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財(cái)、篡改數(shù)據(jù)等為目的，對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊，網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù)，但是，黑客們只要找到漏洞，就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊，最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生，還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多，學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的，入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來歷不明的郵件，照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩(wěn)定性，提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn)，Z校在安全改造實(shí)施中，應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率：Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián)，選擇了與電信和聯(lián)通兩家運(yùn)營商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源，提升網(wǎng)絡(luò)訪問速度，最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度，同時(shí)又要合理節(jié)約鏈路成本，均衡使用各互聯(lián)網(wǎng)出口鏈路，是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性：互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，均以NAT模式或者路由模式部署，承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理，任何一個(gè)設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行，無任何備份措施，只能替換或者跳過出故障的設(shè)備，且只能以手工方式完成切換，無論從響應(yīng)的及時(shí)性，還是從保障業(yè)務(wù)連續(xù)性的角度，都存在很大的延遲，為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設(shè)備數(shù)量較多，需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作，傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下，所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備，統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個(gè)長期的項(xiàng)目，不可能一蹴而就，一步到位，網(wǎng)絡(luò)安全過程建設(shè)中，在利用學(xué)校原有設(shè)備的基礎(chǔ)上，在資金、技術(shù)成熟的條件下，逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線，從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患，根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù)，劃分不同安全等級(jí)的區(qū)域[3]。通過安全區(qū)域的劃分，明確網(wǎng)絡(luò)邊界，形成清晰、簡潔的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問安全互聯(lián)，有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間，各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè)，把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2，從圖2可以看出，出口區(qū)域，互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備，實(shí)現(xiàn)雙機(jī)冗余部署。同理，原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái)，組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算，部署幾臺(tái)安全設(shè)備。首先，部署一臺(tái)堡壘機(jī)，建立集中、主動(dòng)的安全運(yùn)維管控模式，降低人為安全風(fēng)險(xiǎn)；其次，部署一臺(tái)入侵檢測設(shè)備（IDS），實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，防止在出現(xiàn)攻擊后無數(shù)據(jù)可查；再部署一臺(tái)漏洞掃描設(shè)備，對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描，找出存在的安全漏洞，根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告，制定安全加固實(shí)施方案，以保證各系統(tǒng)功能的正常性和堅(jiān)固性；最后，部署一臺(tái)安全審計(jì)設(shè)備（SAS），實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域，除了原有的WEB防火墻外，再部署一臺(tái)入侵防護(hù)設(shè)備（IPS），攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的，病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域，不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，需要建立一套全方位的，從檢測、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前，網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略，再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過程，建立一個(gè)科學(xué)的安全體系和模型，再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患，對(duì)這些安全隱患提出解決方案，最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手，建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu)，包括崗位設(shè)置、人員錄用、離崗、考核等[5]；技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；管理體系側(cè)重于制度的梳理，包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ)，以管理體系為保障，以技術(shù)體系為支撐[6]，全局、均衡的考慮面臨的安全風(fēng)險(xiǎn)，采取不同強(qiáng)度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，安全體系為核心，安全指導(dǎo)為原則，體系建設(shè)為抓手，組織和制定安全實(shí)施策略和防范措施，在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系，全方位、多層次滿足安全需求。

5、結(jié)語

從整個(gè)信息化安全體系來說，安全是技術(shù)與管理的一個(gè)有機(jī)整體，僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問題，是從設(shè)備到人，從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題，每一個(gè)環(huán)節(jié)，都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案，對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。

參考文獻(xiàn)：

［1］王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.成都：電子科技大學(xué)，2011.11:2-3

［3］徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究［D］.上海：上海交通大學(xué)，2009.5:1-4

［4］張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)［D］.西安:西安電子科技大學(xué)，2015.10:16-17

［5］陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計(jì)［D］長春：長春工業(yè)大學(xué)，2016.3:23-31

篇6

由于電力企業(yè)以發(fā)電、經(jīng)營電力為主，信息網(wǎng)絡(luò)安全問題并沒有得到足夠重視，管理方面存在重技術(shù)輕管理的問題，未建立完善的信息安全管理制度，面對(duì)上級(jí)檢查，簡單應(yīng)付，腦子里輕視信息安全，信息安全觀念淡薄，這都會(huì)增加企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)。例如，缺少對(duì)企業(yè)職工的信息安全教育培訓(xùn)、缺少定期對(duì)信息運(yùn)維人員的安全技能的培訓(xùn)等等，都會(huì)嚴(yán)重威脅企業(yè)信息網(wǎng)絡(luò)的安全。電力企業(yè)在針對(duì)信息系統(tǒng)的應(yīng)用和信息網(wǎng)絡(luò)安全兩個(gè)方面時(shí)，更加注重的是前者。以此同時(shí)，可能部分職工還存在僥幸心理，忽視了網(wǎng)絡(luò)安全問題的重要性。

2電力企業(yè)網(wǎng)絡(luò)信息安全管理的有效策略

2.1注重建設(shè)基礎(chǔ)設(shè)施和管理運(yùn)行環(huán)境

需要嚴(yán)格的管理配電室、信息、通信機(jī)房等關(guān)鍵性的基礎(chǔ)設(shè)施，對(duì)防水、防火、防盜裝置進(jìn)行合理配備；對(duì)電力二次設(shè)備安全防護(hù)要做到，安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證，生產(chǎn)控制大區(qū)與信息管理大區(qū)要做好物理強(qiáng)隔離；機(jī)房需要安裝監(jiān)控報(bào)警設(shè)備和動(dòng)環(huán)監(jiān)測系統(tǒng)；對(duì)桌面終端和主機(jī)等設(shè)備要做好補(bǔ)丁更新，控制權(quán)限；在網(wǎng)絡(luò)安全設(shè)備上要做好安全策略；做好流量監(jiān)測和行為監(jiān)測；此外，建立設(shè)備運(yùn)行日志，對(duì)設(shè)備的運(yùn)行狀況進(jìn)行記錄，并且建立操作規(guī)程，從而保證信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。

2.2建立并完善信息安全管理制度

建立健全信息安全管理制度，注重安全管理，確保根據(jù)安全管理制度進(jìn)行操作；做好安全防護(hù)記錄、制定應(yīng)急響應(yīng)預(yù)案、系統(tǒng)操作規(guī)程、用戶應(yīng)用手冊(cè)、網(wǎng)絡(luò)安全規(guī)范、管理好口令、落實(shí)安全保密要求、人員分工、管理機(jī)房建設(shè)方案等制度，確保信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。由內(nèi)至外，全面的貫徹，實(shí)施動(dòng)態(tài)性地管理，持續(xù)提高信息安全、優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.3注重信息安全反違章督察工作的開展

建立信息安全督察隊(duì)伍，明確職責(zé)，按照信息安全要求，開展定期的督察，發(fā)現(xiàn)問題，限期整改。電力企業(yè)要對(duì)企業(yè)信息系統(tǒng)軟硬件設(shè)施、容災(zāi)系統(tǒng)、桌面終端、防護(hù)策略等進(jìn)行定期督查，實(shí)現(xiàn)信息安全設(shè)備加固和更新，培養(yǎng)信息安全督查專家隊(duì)伍，交叉互查、發(fā)現(xiàn)并解決問題，提高信息系統(tǒng)的安全性。

2.4積極探索電力企業(yè)信息安全等級(jí)保護(hù)

信息安全等級(jí)保護(hù)指的是，對(duì)涉及國計(jì)民生的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)按照其重要程度及實(shí)際安全需求，合理投入，分級(jí)進(jìn)行保護(hù)，分類指導(dǎo)，分階段實(shí)施，保障信息系統(tǒng)安全。針對(duì)電力企業(yè)信息系統(tǒng)，應(yīng)建立相應(yīng)的信息安全等級(jí)保護(hù)機(jī)制。技術(shù)上分級(jí)落實(shí)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全；管理上要建立對(duì)應(yīng)的安全管理制度、設(shè)置安全管理機(jī)構(gòu)、做好人員安全管理、系統(tǒng)建設(shè)、運(yùn)維管理。

2.5明確員工信息安全責(zé)任，實(shí)現(xiàn)企業(yè)信息安全文化建設(shè)

針對(duì)企業(yè)的所有員工，關(guān)鍵是明確自己需要擔(dān)負(fù)的安全責(zé)任、熟悉有關(guān)的安全策略，理解一系列的信息安全要求。針對(duì)信息運(yùn)維人員，需要對(duì)信息安全的管理策略進(jìn)行有效地把握，明確安全評(píng)估的策略，準(zhǔn)確使用維護(hù)技術(shù)安全操作；針對(duì)管理電力企業(yè)信息網(wǎng)絡(luò)安全的管理人員，關(guān)鍵在于對(duì)企業(yè)的信息安全管理制度、信息安全體系的組成、信息安全目標(biāo)的把握和熟悉。以上述作為基礎(chǔ)，實(shí)現(xiàn)企業(yè)信息安全文化的建設(shè)。

2.6提升人員的信息安全意識(shí)

針對(duì)電力企業(yè)信息安全而言，員工信息安全意識(shí)的提高十分關(guān)鍵。企業(yè)需要組織一系列有關(guān)的信息安全知識(shí)培訓(xùn)，培養(yǎng)員工應(yīng)用電腦的良好習(xí)慣，比如不允許在企業(yè)的電腦上使用未加密的存儲(chǔ)介質(zhì)，不應(yīng)當(dāng)將無關(guān)軟件或者是游戲軟件安裝在終端上，對(duì)桌面終端進(jìn)行強(qiáng)口令設(shè)置，以及啟用安全組策略，備份關(guān)鍵性的文件等，從而使員工的信息安全意識(shí)逐步提高。

3結(jié)語

篇7

關(guān)鍵詞 二次系統(tǒng)；網(wǎng)絡(luò)；安全防護(hù)；預(yù)案

中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2010）33-0228-02

Region Scheduling Data Network Security Assessment and Emergency System

CAO Jianfeng

AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.

KeyWordSecondary system；networking；security

0 引言

電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力系統(tǒng)生產(chǎn)、經(jīng)營和服務(wù)相關(guān)，而且與電網(wǎng)調(diào)度、與控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。電力生產(chǎn)直接關(guān)系到國計(jì)民生，其安全問題一直是國家有關(guān)部門關(guān)注的重點(diǎn)之一。

隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。電力系統(tǒng)一次設(shè)備的改善，其可控性已滿足閉環(huán)的要求。隨著變電集控所模式的建立、變電站減人增效，大量采用遠(yuǎn)方控制，這對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。而另一方面，Internet技術(shù)和因特網(wǎng)已得到廣泛使用，使得病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計(jì)、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問題重視不夠，構(gòu)成了對(duì)電網(wǎng)安全運(yùn)行的嚴(yán)重隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用“搭接”的手段對(duì)傳輸?shù)碾娏刂菩畔⑦M(jìn)行“竊聽”和“篡改”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的威脅。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問題。

1福州地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全評(píng)估概述

1.1 概況

福州地調(diào)二次系統(tǒng)安全評(píng)估包括：二次系統(tǒng)資產(chǎn)評(píng)估、網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評(píng)估、節(jié)點(diǎn)間通信關(guān)系分析、二次系統(tǒng)威脅評(píng)估、現(xiàn)有防護(hù)措施評(píng)估、主機(jī)安全性評(píng)估、網(wǎng)絡(luò)系統(tǒng)評(píng)估、安全管理評(píng)估、業(yè)務(wù)系統(tǒng)安全評(píng)估、二次系統(tǒng)風(fēng)險(xiǎn)計(jì)算和分析、安全建議等評(píng)估內(nèi)容，評(píng)估之后針對(duì)系統(tǒng)的薄弱點(diǎn)進(jìn)行安全加固，并制定《福州局電力調(diào)度自動(dòng)化系統(tǒng)應(yīng)急預(yù)案體系》，提高調(diào)度自動(dòng)化系統(tǒng)運(yùn)行的可靠性，安全性，有效預(yù)防和正確、快速處置電力調(diào)度自動(dòng)化系統(tǒng)癱瘓事件，不斷提高福州電網(wǎng)預(yù)防和控制調(diào)度自動(dòng)化事件的能力，最大限度地減少其影響和損失，保障電網(wǎng)的安全運(yùn)行。安全評(píng)估的實(shí)施基本流程如圖1所示。

1.2 網(wǎng)絡(luò)安全評(píng)估的過程

1.2.1資產(chǎn)調(diào)查

資產(chǎn)調(diào)查作為信息收集的一個(gè)關(guān)鍵步驟，是開始安全評(píng)估工作的第一步，也是安全加固工作的基礎(chǔ)，其主要目的是準(zhǔn)確全面的獲得被評(píng)估系統(tǒng)的信息資產(chǎn)清單。

因此，在進(jìn)行評(píng)估項(xiàng)目實(shí)施時(shí)，我們很重視資產(chǎn)調(diào)查的過程和方法，以期收集到準(zhǔn)確、全面的信息資產(chǎn)清單。對(duì)于每一個(gè)資產(chǎn)來說，都需要比較準(zhǔn)確的收集各項(xiàng)屬性，因此我們計(jì)劃整個(gè)資產(chǎn)調(diào)查過程如下，以確保我們的資產(chǎn)調(diào)查目標(biāo)的實(shí)現(xiàn)。

1.2.2采用了正向測試與逆向滲透相結(jié)合的漏洞深度檢測方法

在本項(xiàng)目中，安全掃描主要是通過評(píng)估工具以本地掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個(gè)角度來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶賬號(hào)/口令等安全對(duì)象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。應(yīng)用正向測試與逆向滲透相結(jié)合的漏洞深度檢測方法，對(duì)電力二次系統(tǒng)主機(jī)信息安全進(jìn)行分析。

1.2.3采用了遠(yuǎn)程漏洞掃描與本地主機(jī)自動(dòng)化腳本檢測相結(jié)合的脆弱性獲取方法

滲透測試主要依據(jù)安全專家已經(jīng)掌握的安全漏洞，模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試。所有的測試將在授權(quán)和監(jiān)督下進(jìn)行。滲透測試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試需要投入的人力資源較大、對(duì)測試者的專業(yè)技能要求很高（滲透測試報(bào)告的價(jià)值直接依賴于測試者的專業(yè)機(jī)能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。

1.2.險(xiǎn)計(jì)算和分析

信息安全風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)計(jì)算部分主要以業(yè)務(wù)系統(tǒng)作為風(fēng)險(xiǎn)計(jì)算和分析的對(duì)象，以福州電業(yè)局本部為例，本次對(duì)福州電業(yè)局SCADA系統(tǒng)、電能量采集系統(tǒng)、OMS系統(tǒng)和DMIS網(wǎng)站共4個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行了評(píng)估和測試，各個(gè)業(yè)務(wù)系統(tǒng)的信息資產(chǎn)價(jià)值、威脅發(fā)生可能性和脆弱性嚴(yán)重程度的進(jìn)行賦值，并通過風(fēng)險(xiǎn)計(jì)算，得出風(fēng)險(xiǎn)計(jì)算結(jié)果，確定各個(gè)系統(tǒng)的危險(xiǎn)程度，找到業(yè)務(wù)系統(tǒng)的安全薄弱點(diǎn)。

1.2.5安全建議

根據(jù)計(jì)算出來的安全結(jié)果，通過管理和技術(shù)等兩方面來加強(qiáng)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全性，對(duì)訪問重要設(shè)備的用戶應(yīng)遵循一定規(guī)章制度，對(duì)網(wǎng)絡(luò)配置的更改、權(quán)限的分配要及時(shí)進(jìn)行記錄備份歸檔。

對(duì)重要業(yè)務(wù)系統(tǒng)和服務(wù)器進(jìn)行定期的漏洞病毒掃描，對(duì)掃描結(jié)果進(jìn)行分析記錄并歸檔。對(duì)新系統(tǒng)上線前應(yīng)進(jìn)行掃描和加固，對(duì)掃描的日志及時(shí)進(jìn)行安全審計(jì)并歸檔。

對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫運(yùn)行日志、業(yè)務(wù)系統(tǒng)運(yùn)行日志進(jìn)行定期的安全審計(jì)并提交安全審計(jì)記錄和報(bào)告，對(duì)報(bào)告中的非法行為應(yīng)及時(shí)報(bào)告并處理。

對(duì)于網(wǎng)絡(luò)設(shè)備和安全設(shè)備的配置日志應(yīng)另存儲(chǔ)在日志服務(wù)器中，而非存儲(chǔ)在本地路由器或是交換機(jī)上，并定期的進(jìn)行備份歸檔。對(duì)于日志的種類應(yīng)當(dāng)包括所有用戶對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備的查看、更改等。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

2地區(qū)電網(wǎng)自動(dòng)化系統(tǒng)整體應(yīng)急預(yù)案體系建設(shè)

2.1應(yīng)急預(yù)案體系的出現(xiàn)

現(xiàn)階段地區(qū)調(diào)度自動(dòng)化各系統(tǒng)聯(lián)系緊密，單個(gè)系統(tǒng)的故障將連鎖影響多個(gè)其他系統(tǒng)運(yùn)行，電力調(diào)度數(shù)據(jù)網(wǎng)建設(shè)向縣調(diào)及110kV變電站延伸，接入系統(tǒng)種類日趨復(fù)雜，二次安全防護(hù)木桶效應(yīng)日趨明顯。由于系統(tǒng)風(fēng)險(xiǎn)主要來自于病毒及相關(guān)聯(lián)系統(tǒng)的故障，故障類型復(fù)雜并存在觸發(fā)或并況，應(yīng)急預(yù)案的思路逐步擺脫了自動(dòng)化單個(gè)系統(tǒng)預(yù)案的思路，慢慢向以自動(dòng)化二次整體應(yīng)急預(yù)案體系進(jìn)行轉(zhuǎn)變。該思路面對(duì)系統(tǒng)出現(xiàn)嚴(yán)重故障時(shí)，整體地考慮恢復(fù)手段及措施，隔離故障區(qū)域，屏蔽受影響系統(tǒng)的部分功能，將日常人工或自動(dòng)備份的硬件及軟件快速導(dǎo)入故障設(shè)備，恢復(fù)系統(tǒng)。在日常備份及演練過程中，綜合考慮各系統(tǒng)間的互補(bǔ)能力和約束條件，并切合地調(diào)實(shí)際，高效率低成本地實(shí)現(xiàn)該預(yù)案體系。該體系重視系統(tǒng)整體恢復(fù)的效率和日常投入成本的二維標(biāo)準(zhǔn)，兼收并蓄各種技術(shù)手段和管理手段的優(yōu)勢。

2.2 應(yīng)急預(yù)案體系的特點(diǎn)

該預(yù)案體系適應(yīng)自動(dòng)化系統(tǒng)日益聯(lián)系緊密的特點(diǎn)，擺脫之前針對(duì)某一系統(tǒng)制定預(yù)案的思路，采用“整體考慮，互為備用,分散管理,集中恢復(fù)”總體思路，避免出現(xiàn)系統(tǒng)孤島，綜合考慮，兼顧各個(gè)系統(tǒng)及全面事故預(yù)想，具有兼容性強(qiáng)，各子系統(tǒng)預(yù)案操作性強(qiáng)，入門要求低，恢復(fù)手段有效快速，投資成本低，日常維護(hù)工作量少，實(shí)用化推廣價(jià)值高的特點(diǎn)。

預(yù)案體系總體框架圖各子預(yù)案關(guān)聯(lián)關(guān)系圖

2.3 預(yù)案體系各個(gè)子預(yù)案之間的關(guān)系

2.3.1共存關(guān)系

各預(yù)案體系間存在互相引用，互為補(bǔ)充關(guān)系。簡化了對(duì)預(yù)案編寫的復(fù)雜程度，將復(fù)雜的系統(tǒng)問題轉(zhuǎn)化成為多個(gè)專項(xiàng)問題來解決。

集控系統(tǒng)資源成為EMS預(yù)案中的備用設(shè)備，將整體自動(dòng)化系統(tǒng)一體化考慮，互為備用，充分利用資源，降低預(yù)案成本。

2.3.2互斥關(guān)系

預(yù)案體系中的電源子預(yù)案和其他預(yù)案間存在互斥關(guān)系，當(dāng)涉及到整體電源異常時(shí)，就要考慮犧牲小系統(tǒng)，保全大系統(tǒng)的整體

3 結(jié)論

本項(xiàng)目對(duì)地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全防御體系開展了專題研究與實(shí)踐，研究結(jié)果有效提高了地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)的安全防御能力，對(duì)網(wǎng)省調(diào)度中心乃地市電業(yè)局的二次系統(tǒng)安全建設(shè)都起到了重要的指導(dǎo)意義。項(xiàng)目根據(jù)研究結(jié)果構(gòu)建了調(diào)度自動(dòng)化應(yīng)急預(yù)案體系以及與之相配套開發(fā)的快速備份恢復(fù)系統(tǒng)，投資少，效益高，為電網(wǎng)的安全可靠運(yùn)行提供堅(jiān)強(qiáng)的技術(shù)支撐。該項(xiàng)目的開展促進(jìn)了調(diào)度中心對(duì)現(xiàn)有二次系統(tǒng)安全現(xiàn)狀和存在的各種安全風(fēng)險(xiǎn)有了深入的了解 ，確保調(diào)度中心對(duì)二次系統(tǒng)中存在的各種安全風(fēng)險(xiǎn)采取相應(yīng)的網(wǎng)絡(luò)安全手段和部署選用必要的安全產(chǎn)品 ，對(duì)今后全省乃至全國地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全建設(shè)具有重要的指導(dǎo)意義。

參考文獻(xiàn)

[1]張王俊，唐躍中，顧立新.上海電網(wǎng)調(diào)度二次系統(tǒng)安全防護(hù)策略分析.電網(wǎng)技術(shù)，2004(18).

[2]王治華.安全運(yùn)營中心及其在調(diào)度中心二次系統(tǒng)中的應(yīng)用.電力系統(tǒng)自動(dòng)化，2007(22).

[3]陳文斌.電力二次系統(tǒng)網(wǎng)絡(luò)與信息安全技術(shù)研究.電工技術(shù)，2008(11).

[4]民，辛耀中，向力，盧長燕，鄒國輝，彭清卿.調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù).電力系統(tǒng)自動(dòng)化，2001(21).

[5]葛海慧，盧瀟，周振宇.網(wǎng)絡(luò)安全管理平臺(tái)中的數(shù)據(jù)融合技術(shù) .電力系統(tǒng)自動(dòng)化，2004(24).

[6]胡炎，辛耀中.韓英鐸 二次系統(tǒng)安全體系結(jié)構(gòu)化設(shè)計(jì)方法.電工技術(shù)，2003(21).

[7]程碧祥，電力調(diào)度自動(dòng)化系統(tǒng)中物理隔離技術(shù)的研究與應(yīng)用.電工技術(shù)，2008(1).

篇8

關(guān)鍵詞：湖南煙草；信息系統(tǒng)；安全；總體目標(biāo)

經(jīng)過多年的信息化工作，目前湖南省煙草行業(yè)已經(jīng)建立起全省的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)。全省信息網(wǎng)絡(luò)系統(tǒng)建設(shè)包括各市級(jí)分公司局域網(wǎng)和省域網(wǎng)建設(shè)。局域網(wǎng)建設(shè)方面，全省包括省局（公司）機(jī)關(guān)、白沙物流中心、市級(jí)分公司、縣公司都已完成了局域網(wǎng)建設(shè)，省域網(wǎng)絡(luò)的建設(shè)也規(guī)劃完畢開始實(shí)施。省公司辦公區(qū)域白沙物流中心機(jī)房通過千兆裸光纖相連，白沙物流以及各個(gè)市級(jí)分公司通過專線連入電信MSTP專網(wǎng)。省公司、白沙物流中心機(jī)房和14個(gè)市級(jí)分公司都有Internet接口，并且可以通過10M VPN相連接作為備份鏈路。市級(jí)分公司與其下屬的縣級(jí)分公司之間通過電信MSTP專網(wǎng)相連接，同時(shí)還有一條2M的ADSL備份線路。省公司及14個(gè)市級(jí)分公司分別購買了2臺(tái)IBM小型機(jī)，是全省煙草信息系統(tǒng)的核心設(shè)備。

一、 湖南煙草信息系統(tǒng)安全現(xiàn)狀

目前，在進(jìn)行安全系統(tǒng)建設(shè)初期，全省整個(gè)煙草行業(yè)網(wǎng)絡(luò)安全體系非常薄弱，基本上沒有建立完善的安全防范體系，因此安全問題非常突出?？傮w情況來看，各個(gè)市級(jí)分公司僅僅有防火墻，無其他的安全防護(hù)設(shè)施。省公司和各個(gè)分公司在信息安全方面均各自為政，沒有采取統(tǒng)一的有效的安全策略和防護(hù)措施。還有，雖然省公司、部分分公司采用了病毒防殺軟件，但是沒有覆蓋全網(wǎng)的網(wǎng)絡(luò)防毒系統(tǒng)，缺乏統(tǒng)一的管理和控制，因此病毒問題顯得尤其突出。下面列出了已有的安全設(shè)施和措施：

（一） 物理與鏈路層安全設(shè)施

在湖南煙草信息系統(tǒng)系統(tǒng)建設(shè)中，現(xiàn)有的物理與鏈路層安全設(shè)施如下：

1、物理安全方面：

通過對(duì)省中心機(jī)房和各個(gè)市級(jí)分公司機(jī)房的改造，增加了包括門禁、錄像監(jiān)控等等安全設(shè)備。另外加強(qiáng)了多種安全防護(hù)措施，包括：防火、防水、防靜電、電源安全等等新的設(shè)備，使全省網(wǎng)絡(luò)的物理安全性基本滿足了現(xiàn)階段的需求。

2、數(shù)據(jù)傳輸鏈路安全方面：

目前的信息系統(tǒng)建設(shè)過程中，采用了Cisco PIX防火墻建立VPN鏈路，而且在網(wǎng)絡(luò)主干路上采用MPLS VPN技術(shù)，使得：信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，采用IPSEC加密技術(shù)和產(chǎn)品，對(duì)敏感數(shù)據(jù)的傳輸進(jìn)行加密，同時(shí)對(duì)傳輸雙方的身份加以鑒別，從而達(dá)到安全保密性以及完整性的要求。

省域網(wǎng)（MSTP）的鏈路為主鏈路，通過Internet的VPN鏈路為備份鏈路，在主鏈路發(fā)生故障的情況下，及時(shí)采用備份鏈路，最大程度的保障網(wǎng)絡(luò)的可用性，保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

結(jié)合湖南煙草的實(shí)際情況來看，從物理與數(shù)據(jù)傳輸鏈路層的安全設(shè)施可以看出，當(dāng)前信息系統(tǒng)的建設(shè)主要側(cè)重于保障網(wǎng)絡(luò)系統(tǒng)的可用性，在此基礎(chǔ)上綜合考慮完整性以及保密性的要求。在今后的安全系統(tǒng)建設(shè)中，也要遵循這個(gè)原則。

（二）網(wǎng)絡(luò)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺(tái)現(xiàn)有的體系中，網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容：

優(yōu)化整個(gè)網(wǎng)絡(luò)的安全

骨干網(wǎng)絡(luò)采用MPLS VPN技術(shù)，不同地市的不同業(yè)務(wù)網(wǎng)絡(luò)，統(tǒng)一地市的不同業(yè)務(wù)網(wǎng)絡(luò)，不同地市的統(tǒng)一業(yè)務(wù)網(wǎng)絡(luò)抖邏輯隔離。不同的業(yè)務(wù)網(wǎng)絡(luò)可以獨(dú)立管理QOS。省中心和各個(gè)市級(jí)節(jié)點(diǎn)可以相互訪問，但是市級(jí)節(jié)點(diǎn)不可以相互之間訪問。

防火墻

防火墻是用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具，在省公司、白沙物流信息中心、各個(gè)市級(jí)分公司網(wǎng)絡(luò)的Internet出口處部署PIX防火墻，可以隔離內(nèi)外網(wǎng)，設(shè)置NAT等等安全策略，不僅僅節(jié)省了公網(wǎng)IP地址，而且隱藏了內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，屏蔽了大多數(shù)的網(wǎng)絡(luò)攻擊，免收外來侵?jǐn)_。

VPN

通過PIX防火墻通過Internet建立VPN鏈路，實(shí)現(xiàn)分公司與省公司之間通過Internet進(jìn)行備份數(shù)據(jù)傳輸通道以及移動(dòng)用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

網(wǎng)絡(luò)安全監(jiān)管與故障處理

目前已經(jīng)采購了多種網(wǎng)絡(luò)管理軟件，包括CiscoWorks管理軟件（設(shè)備管理模塊、VPN管理模塊、無線網(wǎng)絡(luò)管理模塊），可以管理所有的Cisco設(shè)備。ACS安全認(rèn)證管理軟件，用于建立和管理全網(wǎng)的身份認(rèn)證系統(tǒng)。Sniffer軟件，用于監(jiān)控網(wǎng)絡(luò)流量，發(fā)現(xiàn)、分析、排除各種網(wǎng)絡(luò)故障。還有IBM的Tivoli Enterprise Console管理管理軟件，帶有Tivoli Netview模塊，可以檢查并長期監(jiān)控多種網(wǎng)絡(luò)設(shè)施的運(yùn)行狀態(tài)。

通過這些工具建立網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)對(duì)全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)、鏈路的情況進(jìn)行實(shí)時(shí)監(jiān)控與管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障情況，并采取相應(yīng)的響應(yīng)報(bào)警機(jī)制，馬上通知管理人員進(jìn)行處理，盡量保障網(wǎng)絡(luò)的可用性。

（三）系統(tǒng)層安全設(shè)施

在湖南煙草網(wǎng)絡(luò)平臺(tái)現(xiàn)有的體系中，網(wǎng)絡(luò)層的安全設(shè)施主要包括以下內(nèi)容：

主機(jī)安全監(jiān)管

通過IBM 的管理軟件Tivoli Monitor，對(duì)關(guān)鍵主機(jī)和服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)、資源的使用情況、安全日志等進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機(jī)與業(yè)務(wù)系統(tǒng)的可用性。

系統(tǒng)冗余和備份

通過對(duì)關(guān)鍵的主機(jī)應(yīng)用系統(tǒng)建立相應(yīng)的系統(tǒng)冗余與備份措施--服務(wù)器雙機(jī)熱備等措施，最大程度保障主機(jī)系統(tǒng)的可用性，最大程度的保障煙草業(yè)務(wù)的連續(xù)性。

（四） 應(yīng)用層安全設(shè)施

在湖南煙草安全系統(tǒng)建設(shè)過程中，應(yīng)用層的安全已經(jīng)包括：

建立了全省數(shù)據(jù)備份中心，所有的省、市各級(jí)公司的業(yè)務(wù)數(shù)據(jù)每日備份到了省數(shù)據(jù)備份中心，有效地建立數(shù)據(jù)的本地在線備份以及異地遠(yuǎn)程備份的機(jī)制，確保數(shù)據(jù)在意外情況下的及時(shí)恢復(fù)，建立災(zāi)難和應(yīng)急相應(yīng)機(jī)制。

通過Tivoli Monitoring for Database實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作，并且對(duì)意外事件提供反應(yīng)措施，從而進(jìn)一步增加對(duì)網(wǎng)絡(luò)及信息資源的可控性；

通過Tivoli Monitoring for Web Infrastructure，對(duì)關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)并排除應(yīng)用故障問題，保障業(yè)務(wù)的連續(xù)性。

目前湖南煙草的信息安全管理的技術(shù)平臺(tái)和管理制度，都已經(jīng)具備了簡單的雛形，但是還不能滿足現(xiàn)有的網(wǎng)絡(luò)安全需求和今后的進(jìn)一步發(fā)展，還有待于進(jìn)一步的加強(qiáng)。雖然湖南省煙草信息安全系統(tǒng)的建設(shè)已經(jīng)開始起步，也具備了一定的安全防護(hù)能力，但是整體的安全防護(hù)還有很多的需求沒有得到滿足，尤其是網(wǎng)絡(luò)層的防護(hù)，還有很多的安全設(shè)施沒有到位，遠(yuǎn)遠(yuǎn)沒有達(dá)到國家煙草總局在《煙草行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范》所提出的"縱深防御體系"和"動(dòng)態(tài)防護(hù)"的要求。

二、 湖南煙草信息安全建設(shè)總體目標(biāo)

針對(duì)湖南煙草的現(xiàn)狀以及安全需求分析，提出在湖南煙草信息安全系統(tǒng)建設(shè)的總體目標(biāo)描述如下：

基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，通過統(tǒng)一的安全管理平臺(tái)，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺(tái)直至數(shù)據(jù)和應(yīng)用平臺(tái)的各個(gè)層面的安全需求，構(gòu)建全面、完整、可靠、高效的省行業(yè)信息安全體系構(gòu)架。從而在煙草行業(yè)信息化整體發(fā)展的基礎(chǔ)上，極大地提高湖南省煙草行業(yè)的整體安全等級(jí)，為保障煙草行業(yè)的健康發(fā)展提供堅(jiān)實(shí)的信息安全保障體系。

可以分解為以下四個(gè)具體目標(biāo)：

網(wǎng)絡(luò)和系統(tǒng)實(shí)體的可用性以及抗攻擊性；

信息的安全性、保密性和可靠性；

系統(tǒng)安全的可管理性；

整體系統(tǒng)運(yùn)行狀態(tài)的可控性；

安全需求是建立良好的安全體系的前提條件，我們從湖南煙草行業(yè)網(wǎng)絡(luò)系統(tǒng)得實(shí)際情況出發(fā)，根據(jù)對(duì)用戶網(wǎng)絡(luò)系統(tǒng)脆弱性以及安全威脅的風(fēng)險(xiǎn)評(píng)估，結(jié)合湖南煙草安全系統(tǒng)的總體建設(shè)目標(biāo)，我們把整體的安全需求根據(jù)不同的側(cè)重點(diǎn)，從信息安全管理體系、物理與鏈路層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、應(yīng)用層安全等五個(gè)方面進(jìn)行充分的考慮。安全需求涵蓋了整個(gè)信息系統(tǒng)的每個(gè)層次，具有一定的縱深性和涵蓋面，其中安全管理部分我們認(rèn)為是非中重要的一項(xiàng)，因?yàn)橥晟频陌踩烙w系是以各類安全技術(shù)的應(yīng)用加以安全管理貫穿于始終，才能實(shí)現(xiàn)安全系統(tǒng)的良好運(yùn)作發(fā)揮其性能。信息安全保障體系各層次的安全需求目標(biāo)具體描述如下：

（一）物理與鏈路層安全需求目標(biāo)分析

在湖南煙草安全系統(tǒng)建設(shè)中，物理與鏈路層安全需求闡述如下：

考慮到大量內(nèi)部的數(shù)據(jù)跨過廣域網(wǎng)（如Internet、電信省域網(wǎng)等）進(jìn)行傳輸，可能被它人竊聽和破壞，因此對(duì)數(shù)據(jù)的傳輸?shù)陌踩哂幸韵滦枨螅?/p>

信息在傳輸過程中保持保密性、完整性、可靠性，防篡改，擬采用相關(guān)加密技術(shù)和產(chǎn)品，對(duì)敏感數(shù)據(jù)的傳輸進(jìn)行加密，同時(shí)對(duì)傳輸雙方的身份加以鑒別，從而達(dá)到安全保密性以及完整性的要求。

關(guān)鍵信息傳輸?shù)逆溌繁仨毻ㄟ^備份鏈路等方式，保證相關(guān)信息的傳輸不受到人為、物理的其它因素的影響。

對(duì)系統(tǒng)中的關(guān)鍵應(yīng)用以及關(guān)鍵的網(wǎng)絡(luò)連接建立相應(yīng)的安全機(jī)制，如建立備份通道，以便在主通道發(fā)生故障的情況，及時(shí)采用備份通道，最大程度的保障網(wǎng)絡(luò)的可用性。

（二） 網(wǎng)絡(luò)層安全需求目標(biāo)分析

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路，因此許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。在湖南煙草網(wǎng)絡(luò)平臺(tái)安全體系中，安全需求主要包括以下內(nèi)容：

網(wǎng)絡(luò)安全優(yōu)化

主要是對(duì)系統(tǒng)中不同網(wǎng)段的、不同功能要求以及不同的安全等級(jí)的區(qū)域的劃分，同時(shí)根據(jù)不同的安全級(jí)別，針對(duì)性的制定各區(qū)域之間的訪問控制規(guī)則。主要是對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備加強(qiáng)安全策略配置如訪問控制列表，進(jìn)行嚴(yán)格的訪問控制，并對(duì)核心網(wǎng)絡(luò)設(shè)備進(jìn)行相應(yīng)的安全設(shè)置。

防火墻

防火墻是網(wǎng)絡(luò)層安全領(lǐng)域最成熟、使用最廣泛的技術(shù)，用于隔離信任網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的有效工具。需要在全省各網(wǎng)絡(luò)中部署防火墻隔離內(nèi)外網(wǎng)，設(shè)置各級(jí)安全屏蔽，將全網(wǎng)在網(wǎng)絡(luò)上分割為相對(duì)獨(dú)立的子網(wǎng)，免收外來襲擊。

網(wǎng)絡(luò)入侵防護(hù)與相應(yīng)的安全審計(jì)系統(tǒng)

建立全網(wǎng)網(wǎng)絡(luò)入侵防護(hù)檢測與相應(yīng)的安全審計(jì)系統(tǒng)，及時(shí)監(jiān)測、攔截并記錄來自外部和網(wǎng)絡(luò)其它部分的黑客入侵行為，拒絕服務(wù)攻擊，違規(guī)操作等，并能對(duì)相關(guān)入侵行為進(jìn)行多個(gè)日志系統(tǒng)的關(guān)聯(lián)分析，排除虛假的報(bào)警信息、過濾掉低風(fēng)險(xiǎn)事件，得到最準(zhǔn)確的關(guān)鍵安全事件信息。

VPN

建立VPN鏈路，實(shí)現(xiàn)分公司與省公司之間通過Internet進(jìn)行備份數(shù)據(jù)傳輸通道以及移動(dòng)用戶撥入省公司內(nèi)網(wǎng)的安全加密措施。

（三）系統(tǒng)層安全需求目標(biāo)分析

主機(jī)服務(wù)器系統(tǒng)是整個(gè)應(yīng)用業(yè)務(wù)的基礎(chǔ)平臺(tái)設(shè)施，因此其安全性會(huì)影響到整個(gè)應(yīng)用業(yè)務(wù)系統(tǒng)能否正常的運(yùn)營。在湖南煙草安全系統(tǒng)中，系統(tǒng)平臺(tái)的安全建設(shè)主要有：

主機(jī)系統(tǒng)漏洞掃描與加固

采用安全掃描技術(shù)，對(duì)煙草系統(tǒng)中關(guān)鍵的主機(jī)和服務(wù)器進(jìn)行定期漏洞掃描與評(píng)估，針對(duì)相關(guān)的系統(tǒng)漏洞，自動(dòng)提出修補(bǔ)的措施，并定期進(jìn)行相關(guān)操作系統(tǒng)的裁剪、修補(bǔ)和加固的工作。

操作系統(tǒng)安全

通過使用主機(jī)訪問控制等技術(shù)措施及手段，對(duì)系統(tǒng)中的主機(jī)與服務(wù)器系統(tǒng)嚴(yán)格劃分、管理、控制用戶的權(quán)限和行為，增強(qiáng)操作系統(tǒng)的健壯性以及安全性，使操作系統(tǒng)達(dá)到更高層次的安全級(jí)別。

網(wǎng)絡(luò)病毒防殺系統(tǒng)

建立全網(wǎng)的病毒檢測與防范系統(tǒng)，及時(shí)檢測和控制各種文件、宏和其它網(wǎng)絡(luò)病毒的傳播和破壞，具有集中統(tǒng)一的管理界面，系統(tǒng)具有自動(dòng)升級(jí)，自動(dòng)數(shù)據(jù)更新，可管理性等特性。

主機(jī)安全監(jiān)管

通過網(wǎng)絡(luò)安全綜合管理，對(duì)關(guān)鍵主機(jī)和服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)、資源的使用情況、安全日志等進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)系統(tǒng)的異常行為和故障，保障主機(jī)與業(yè)務(wù)系統(tǒng)的可用性。

（四） 應(yīng)用層安全需求目標(biāo)分析

應(yīng)用平臺(tái)安全是系統(tǒng)最終保障的目標(biāo)，數(shù)據(jù)的保密性、高可靠性和防篡改等特性，以及應(yīng)用系統(tǒng)對(duì)于系統(tǒng)功能和相關(guān)數(shù)據(jù)的嚴(yán)格控制，將成為整個(gè)應(yīng)用和數(shù)據(jù)安全體系的主要需求。在湖南煙草安全系統(tǒng)建設(shè)過程中，應(yīng)用安全需求具體包括：

建立PKI/CA體系，為應(yīng)用安全提供認(rèn)證、加密、數(shù)字簽名、數(shù)據(jù)完整性等功能和服務(wù)。

有效地建立信息資源的標(biāo)記、加密存儲(chǔ)和保管機(jī)制?？紤]應(yīng)用層對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

建立全省數(shù)據(jù)備份中心，有效地建立數(shù)據(jù)的本地在線備份以及異地遠(yuǎn)程備份的機(jī)制，確保數(shù)據(jù)在意外情況下的及時(shí)恢復(fù)，建立災(zāi)難和應(yīng)急相應(yīng)機(jī)制。

實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫以及應(yīng)用系統(tǒng)的關(guān)鍵性操作，并且對(duì)意外事件提供反應(yīng)措施，從而進(jìn)一步增加對(duì)網(wǎng)絡(luò)及信息資源的可控性；

通過網(wǎng)絡(luò)安全綜合管理系統(tǒng)，對(duì)關(guān)鍵應(yīng)用和業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)并排除應(yīng)用故障問題，保障業(yè)務(wù)的連續(xù)性。

從上述湖南煙草安全系統(tǒng)的建設(shè)需求分析中可以看出，整個(gè)系統(tǒng)的建需要包含從安全管理體系、物理與鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全以及應(yīng)用安全等五個(gè)方面的要求，結(jié)合了從管理到技術(shù)的各個(gè)層次。根據(jù)湖南煙草計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，現(xiàn)階段的建設(shè)重點(diǎn)是解決網(wǎng)絡(luò)安全和網(wǎng)絡(luò)的高可用性，解決網(wǎng)絡(luò)系統(tǒng)在信道傳輸、訪問控制、運(yùn)行保障以及與外界的網(wǎng)絡(luò)的互連接口等方面的安全問題。最終按照國家煙草總局的相應(yīng)安全規(guī)范，建設(shè)一個(gè)集策略、防護(hù)、檢測、反應(yīng)為一體的，基于國際先進(jìn)的P2DR（策略/Police，防護(hù)/Protection，檢測/Detection，反應(yīng)/Response）模型的、動(dòng)態(tài)適應(yīng)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系。

參考文獻(xiàn)：

[1] 李紅等.管理信息系統(tǒng)開發(fā)與應(yīng)用[M].電子工業(yè)出版社出版社.2003年：8頁

篇9

1.1研究思路

為了克服企業(yè)級(jí)移動(dòng)應(yīng)用面臨的各類安全問題，降低安全威脅，本文認(rèn)為移動(dòng)應(yīng)用安全體系應(yīng)從硬件、軟件結(jié)構(gòu)入手，結(jié)合移動(dòng)互聯(lián)網(wǎng)特征，設(shè)計(jì)企業(yè)級(jí)移動(dòng)應(yīng)用安全技術(shù)架構(gòu)及安全規(guī)范、制定一系列安全防護(hù)策略來保證移動(dòng)應(yīng)用的安全可靠。

1.2企業(yè)級(jí)移動(dòng)應(yīng)用安全體系

在充分分析企業(yè)級(jí)移動(dòng)應(yīng)用信息化的建設(shè)現(xiàn)狀和安全需求基礎(chǔ)上，根據(jù)國家等級(jí)保護(hù)要求，從物理安全，網(wǎng)絡(luò)安全，系統(tǒng)安全，應(yīng)用安全以及安全監(jiān)管五個(gè)方面構(gòu)建企業(yè)級(jí)移動(dòng)應(yīng)用安全防護(hù)體系。1、物理安全：涉及設(shè)備和環(huán)境安全，主要通過移動(dòng)終端本身硬件標(biāo)識(shí)信息、接口監(jiān)測、外接插件設(shè)備來保障移動(dòng)終端設(shè)備安全。2、網(wǎng)絡(luò)安全：涉及到網(wǎng)絡(luò)接入安全、數(shù)據(jù)傳輸安全等，主要從硬件、軟件兩方面保證，如防火墻保護(hù)策略、認(rèn)證策略、數(shù)據(jù)加密等。3、系統(tǒng)安全：主要包括系統(tǒng)、數(shù)據(jù)存儲(chǔ)、操作等，通過建立安全加固，對(duì)業(yè)務(wù)數(shù)據(jù)分級(jí)存儲(chǔ)、重要數(shù)據(jù)安全隔離、數(shù)據(jù)傳輸加密、完整性和一致性校驗(yàn)，保障系統(tǒng)安全。4、應(yīng)用安全：通過多種手段保障移動(dòng)應(yīng)用安全，可從應(yīng)用準(zhǔn)入、應(yīng)用授權(quán)、應(yīng)用監(jiān)控審核、應(yīng)用數(shù)據(jù)管控、操作行為安全審計(jì)等方面全面保障應(yīng)用安全。5、安全監(jiān)管：從制度管理、軟件輔助管理對(duì)移動(dòng)終端進(jìn)行安全管理。制定相應(yīng)的移動(dòng)終端、移動(dòng)應(yīng)用管理規(guī)范。

二、企業(yè)級(jí)移動(dòng)應(yīng)用信息安全實(shí)現(xiàn)

2.1物理安全

按照安全體系要求，可從終端管理、一致性校驗(yàn)、接口監(jiān)測、存儲(chǔ)卡加密等領(lǐng)域?qū)崿F(xiàn)物理安全。1、設(shè)備啟動(dòng)。通過設(shè)置啟動(dòng)密碼、動(dòng)態(tài)口令等控制設(shè)備啟動(dòng)驗(yàn)證。2、校驗(yàn)一致性。終端啟動(dòng)后，后臺(tái)根據(jù)設(shè)備回傳的參數(shù)進(jìn)行一致性校驗(yàn)，對(duì)操作系統(tǒng)內(nèi)核、硬件配置、關(guān)鍵應(yīng)用和配置策略信息等進(jìn)行驗(yàn)證，確保啟動(dòng)過程中各應(yīng)用的完備性和一致性。3、設(shè)備硬件監(jiān)測。對(duì)移動(dòng)設(shè)備硬件接口管理，包括網(wǎng)絡(luò)（含WIFI/藍(lán)牙等）啟停，USB啟停、以及攝像頭屏幕輸出等啟停等，從而有效防止移動(dòng)終端數(shù)據(jù)泄漏。4、存儲(chǔ)卡加密。根據(jù)存儲(chǔ)卡與移動(dòng)設(shè)備的關(guān)聯(lián)關(guān)系，存儲(chǔ)卡上的數(shù)據(jù)就不能被其它移動(dòng)設(shè)備讀取，從而有效地保護(hù)移動(dòng)終端上的數(shù)據(jù)。

2.2網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)安全方面，可從硬件、軟件兩方面保障網(wǎng)絡(luò)接入安全、數(shù)據(jù)傳輸安全。1、接入安全。建立專用的VPN接入通道連接到特定服務(wù)端。建立DMZ反向保護(hù)，通過反向防止移動(dòng)設(shè)備直接和web服務(wù)器直接連接帶來的安全隱患。2、設(shè)置防火墻及路由器防護(hù)策略，通過制定路由器、防火墻防護(hù)策略，實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)安全。安全策略確保網(wǎng)絡(luò)訪問、服務(wù)訪問、用戶認(rèn)證、輸入輸出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施等。3、移動(dòng)設(shè)備安全認(rèn)證和接入。建立終端準(zhǔn)入機(jī)制，通過后臺(tái)移動(dòng)設(shè)備管理功能，記錄所有設(shè)備詳細(xì)信息，如唯一編碼，類型及使用者等信息，在登錄時(shí)實(shí)現(xiàn)按特定信息核對(duì)驗(yàn)證設(shè)備合法性。4、數(shù)據(jù)傳輸安全。企業(yè)級(jí)移動(dòng)應(yīng)用一般需要和后臺(tái)業(yè)務(wù)傳輸數(shù)據(jù)，為了避免惡意攻擊、竊取、篡改，需要在數(shù)據(jù)傳輸中引入數(shù)據(jù)安全管理，如數(shù)字證書加密等。

2.3系統(tǒng)安全

為保障移動(dòng)應(yīng)用正常運(yùn)行，主要通過建立安全加固、業(yè)務(wù)數(shù)據(jù)分類存儲(chǔ)管理、數(shù)據(jù)安全隔離、數(shù)據(jù)傳輸加密解密、完整性檢查以及一致性檢查，保障系統(tǒng)安全。1、安全加固。按等級(jí)保護(hù)要求，制定嚴(yán)格的安全加固措施，保障系統(tǒng)安全；2、建立移動(dòng)數(shù)據(jù)庫安全管控，支持離在線數(shù)據(jù)庫訪問、支持?jǐn)?shù)據(jù)的備份和恢復(fù)，保證用戶數(shù)據(jù)的安全可靠；3、開展安全域隔離，通過物理和邏輯隔離策略，全面對(duì)系統(tǒng)資源和各類數(shù)據(jù)進(jìn)行分區(qū)分域管理。4、建立移動(dòng)設(shè)備在線備份和恢復(fù)策略。實(shí)現(xiàn)自動(dòng)備份和恢復(fù)數(shù)據(jù)、配置文件與配置策略。可以設(shè)置規(guī)定備份目錄或文件、備份頻率、周期，通過統(tǒng)一管理界面實(shí)現(xiàn)選擇性恢復(fù)或全恢復(fù),可恢復(fù)移動(dòng)終端上丟失或損壞數(shù)據(jù)。5、升級(jí)包推送。實(shí)現(xiàn)對(duì)移動(dòng)設(shè)備系統(tǒng)版本管理，禁止使用者擅自修改系統(tǒng)，后臺(tái)統(tǒng)一開展升級(jí)包推送，保障操作系統(tǒng)安全。

2.4應(yīng)用安全

在應(yīng)用安全方面，主要通過應(yīng)用密碼、登錄、非授權(quán)操作管理、數(shù)據(jù)庫加密、應(yīng)用安全審計(jì)等措施保障移動(dòng)應(yīng)用安全。1、密碼保護(hù)，對(duì)移動(dòng)應(yīng)用建立密碼保護(hù)策略，如密碼長度、復(fù)雜度限制、密碼認(rèn)證、錯(cuò)誤鎖定等機(jī)制，防止非法人員登錄終端應(yīng)用，造成業(yè)務(wù)數(shù)據(jù)外泄。2、單點(diǎn)登錄，通過建立統(tǒng)一單點(diǎn)登錄平臺(tái)，實(shí)現(xiàn)統(tǒng)一用戶身份管理、統(tǒng)一用戶身份驗(yàn)證、統(tǒng)一用戶權(quán)限管理。3、權(quán)限控制，對(duì)企業(yè)級(jí)移動(dòng)應(yīng)用建立細(xì)致的明確的功能權(quán)限控制，不同職責(zé)的終端用戶只能使用指定的部分功能，有效控制關(guān)鍵數(shù)據(jù)外泄。4、移動(dòng)數(shù)據(jù)庫加密。移動(dòng)數(shù)據(jù)庫庫訪問按系統(tǒng)安全要求提供安全憑證，選擇敏感信息加密，輔以校驗(yàn)保證所存儲(chǔ)數(shù)據(jù)的保密性和完整性，防止數(shù)據(jù)被未經(jīng)授權(quán)訪問和修改。5、非法操作管理。建立應(yīng)用配置授權(quán)管理策略，控制未經(jīng)取得授權(quán)的非法移動(dòng)應(yīng)用進(jìn)行控制，可以禁止非法移動(dòng)應(yīng)用安裝、禁止非法移動(dòng)應(yīng)用使用，可以遠(yuǎn)程對(duì)非法移動(dòng)應(yīng)用進(jìn)行卸載。6、移動(dòng)應(yīng)用安全審計(jì)。開展實(shí)時(shí)統(tǒng)計(jì)核查應(yīng)用安裝、使用、運(yùn)行、操作記錄等，有效監(jiān)測各類操作行為。

2.5安全管理

按照移動(dòng)信息安全體系，安全管理從制度規(guī)范管理、軟件輔助管理、設(shè)備管控等領(lǐng)域?qū)崿F(xiàn)。1、建立統(tǒng)一應(yīng)用管理規(guī)范和管理制度，建立移動(dòng)終端、移動(dòng)應(yīng)用管理規(guī)范，如檔案管理、行為規(guī)范、作業(yè)規(guī)范等。2、操作記錄日志。增加終端操作的記錄日志機(jī)制，實(shí)現(xiàn)日志追蹤引入問題的原因，采用應(yīng)對(duì)措施避免同類問題反復(fù)出現(xiàn)。3、實(shí)時(shí)管控機(jī)制。移動(dòng)終端實(shí)時(shí)回傳當(dāng)前位置的經(jīng)緯度，可實(shí)時(shí)監(jiān)控移動(dòng)設(shè)備實(shí)際地理位置，如若遇到平板丟失，則啟動(dòng)數(shù)據(jù)爆炸功能，保證業(yè)務(wù)數(shù)據(jù)不外泄。

三、結(jié)論

篇10

關(guān)鍵詞：電子政務(wù)網(wǎng)絡(luò) 防護(hù)體系 網(wǎng)絡(luò)安全

一、引言

當(dāng)今世界信息網(wǎng)絡(luò)飛速發(fā)展，尤其以微電子技術(shù)、現(xiàn)代通信技術(shù)和計(jì)算機(jī)技術(shù)為代表的信息技術(shù)更是日新月異。計(jì)算機(jī)網(wǎng)絡(luò)在政治、經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及，全社會(huì)對(duì)網(wǎng)絡(luò)的依賴程度越來越大，計(jì)算機(jī)網(wǎng)絡(luò)已成為國家的重要基礎(chǔ)設(shè)施。電子政務(wù)作為政府提高辦公效率的手段，越來越得到各級(jí)領(lǐng)導(dǎo)的重視，依托政務(wù)網(wǎng)絡(luò)作為基礎(chǔ)平臺(tái)，開發(fā)和運(yùn)行各部門業(yè)務(wù)系統(tǒng)，使得領(lǐng)導(dǎo)決策、協(xié)同辦公、網(wǎng)上辦事更加方便、快捷、有效，提高了政府工作效率，也大大改善了政府形象。隨著電子政務(wù)的日益普及，政府機(jī)關(guān)對(duì)信息系統(tǒng)的依賴越來越強(qiáng)，但是，伴隨著Internet的廣泛應(yīng)用，也出現(xiàn)了各種各樣的問題，其中電子政務(wù)信息網(wǎng)絡(luò)安全問題顯得尤為突出。

電子政務(wù)網(wǎng)絡(luò)安全關(guān)系到電子政務(wù)的應(yīng)用成功與否，在設(shè)計(jì)與建設(shè)之初應(yīng)優(yōu)先考慮。然而單靠一兩項(xiàng)技術(shù)是不能奏效的，必須從監(jiān)控、防范、管理和三方面入手，才能構(gòu)筑起立體動(dòng)態(tài)的防護(hù)體系。

二、福建省政務(wù)信息網(wǎng)現(xiàn)狀和存在問題

⒈福建省政務(wù)信息網(wǎng)現(xiàn)狀

福建省政務(wù)信息網(wǎng)（以下簡稱“政務(wù)網(wǎng)”）從2001年1月建成投入使用，形成了“王”字型的網(wǎng)絡(luò)結(jié)構(gòu)，主要由?。校h（市、區(qū)）縱向網(wǎng)、省直機(jī)關(guān)橫向接入網(wǎng)、設(shè)區(qū)市橫向接入網(wǎng)和縣（市、區(qū)）橫向接入網(wǎng)構(gòu)成。到目前為止，政務(wù)網(wǎng)已實(shí)現(xiàn)了5085個(gè)省、市、縣三級(jí)黨政機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)。

政務(wù)網(wǎng)兩個(gè)網(wǎng)管中心分別設(shè)在福建省經(jīng)濟(jì)信息中心機(jī)房和電信機(jī)房，兩個(gè)網(wǎng)管中心互為分權(quán)。電信機(jī)房網(wǎng)管中心由福建電信公司負(fù)責(zé)投資建設(shè)并維護(hù)管理，主要負(fù)責(zé)對(duì)省直機(jī)關(guān)寬帶網(wǎng)（除省經(jīng)濟(jì)信息中心節(jié)點(diǎn)）的網(wǎng)絡(luò)管理；福建省經(jīng)濟(jì)信息中心網(wǎng)管中心由福建省經(jīng)濟(jì)信息中心負(fù)責(zé)投資建設(shè)并維護(hù)管理，主要負(fù)責(zé)對(duì)福建省政務(wù)信息網(wǎng)絡(luò)縱向網(wǎng)及福建省經(jīng)濟(jì)信息中心節(jié)點(diǎn)的網(wǎng)絡(luò)管理。各設(shè)區(qū)市、縣（市、區(qū)）橫向網(wǎng)由政務(wù)網(wǎng)各主節(jié)點(diǎn)管理部門負(fù)責(zé)管理。

⒉存在問題

⑴管理主體不統(tǒng)一

首先政務(wù)網(wǎng)絡(luò)三主體即電信、福建省經(jīng)濟(jì)信息中心、各政務(wù)網(wǎng)縱向網(wǎng)節(jié)點(diǎn)的分級(jí)管理，這種統(tǒng)一建網(wǎng)、分而治之的方式給網(wǎng)絡(luò)安全帶來了一些問題，如不利于統(tǒng)一進(jìn)行配置，一方的配置變動(dòng)在未通知對(duì)方測試的情況下，容易出現(xiàn)混亂；在出現(xiàn)安全問題如病毒攻擊時(shí)，找到源頭的時(shí)間和難度加大。

⑵安全措施落后和安全基礎(chǔ)設(shè)施老化

2001年建設(shè)初期采取的安全措施只有防火墻等，到目前為止，聯(lián)想網(wǎng)御防火墻已經(jīng)停產(chǎn)，防火墻損壞率已經(jīng)達(dá)到50％，這就使得安全防范已經(jīng)薄弱的政務(wù)網(wǎng)更容易受到攻擊。

⑶存儲(chǔ)介質(zhì)跨網(wǎng)使用

政務(wù)網(wǎng)的一些接入端用戶使用移動(dòng)存儲(chǔ)，容易將互聯(lián)網(wǎng)上的病毒和間諜軟件傳入政務(wù)網(wǎng)。

⑷網(wǎng)管手段不健全

政務(wù)網(wǎng)目前主要的是網(wǎng)元網(wǎng)管，主要是對(duì)設(shè)備的監(jiān)控和配置，功能性網(wǎng)管和安全網(wǎng)管投入力度小，導(dǎo)致在網(wǎng)絡(luò)層以上的攻擊不容易及時(shí)發(fā)現(xiàn)。特別是隨著市、縣橫向接入網(wǎng)建設(shè)的實(shí)施，網(wǎng)絡(luò)設(shè)備品牌增多，除了骨干網(wǎng)絡(luò)的Cisco設(shè)備，還增加了如華為三康等其他廠商的網(wǎng)絡(luò)設(shè)備，單一的廠商網(wǎng)管很難進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理。

⑸缺乏統(tǒng)一的行政體制

各設(shè)區(qū)市、縣（市、區(qū)）的政務(wù)網(wǎng)節(jié)點(diǎn)分屬于不同的管理部門，上下級(jí)不明確，導(dǎo)致出現(xiàn)問題時(shí)溝通解決問題的環(huán)節(jié)增加。

⑹人員不穩(wěn)定

各地政務(wù)網(wǎng)管理部門人員崗位不統(tǒng)一，職責(zé)和功能劃分不統(tǒng)一，技術(shù)水平差異大，人動(dòng)頻繁，導(dǎo)致安全隱患增加。

三、解決福建省政務(wù)信息網(wǎng)安全問題的思路

⒈構(gòu)建多層次的監(jiān)控手段

⑴深入挖掘網(wǎng)管軟件作為電子政務(wù)網(wǎng)絡(luò)上的安全監(jiān)控手段

在電子政務(wù)網(wǎng)絡(luò)建設(shè)中，各地都會(huì)建立自己的網(wǎng)管系統(tǒng)，但都是基于設(shè)備管理的網(wǎng)元網(wǎng)管，只是便于設(shè)備的配置，監(jiān)控硬件狀態(tài)和端口流量，實(shí)現(xiàn)網(wǎng)絡(luò)第一、二層的流量監(jiān)控，出現(xiàn)網(wǎng)絡(luò)故障時(shí)無法找準(zhǔn)故障源；通過部署具備NetFlow 功能的網(wǎng)管，識(shí)別通過網(wǎng)絡(luò)三層的IP地址以及網(wǎng)絡(luò)第四層傳輸層的應(yīng)用端口編號(hào)，實(shí)現(xiàn)網(wǎng)絡(luò)第三、四層的流量監(jiān)控；還可以部署NAM（Network Analasis Module），可以提供全面的RMON I、RMON II、NetFlow和VLAN監(jiān)視、與協(xié)議相關(guān)的故障診斷以及趨勢分析功能，實(shí)現(xiàn)針對(duì)第一至七層內(nèi)容的監(jiān)控。

通過統(tǒng)一網(wǎng)管的部署實(shí)行省、市、縣三級(jí)網(wǎng)管，并完善網(wǎng)管功能模塊，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備性能、屬性、配置管理，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)和應(yīng)用服務(wù)器的監(jiān)控；實(shí)行數(shù)據(jù)的定期采集，定期分析并形成安全報(bào)表，及時(shí)發(fā)現(xiàn)安全隱患的目的。

在合理規(guī)劃網(wǎng)絡(luò)資源的情況下，采用不同網(wǎng)管工具的優(yōu)勢，搭配使用，通過不同網(wǎng)管發(fā)揮其不同的監(jiān)控優(yōu)勢，避免了安全疏忽，提高了監(jiān)控的全面性。例如使用Ciscowork監(jiān)控Cisco設(shè)備；利用SolarWinds監(jiān)測網(wǎng)絡(luò)端口流量；利用Cisco Mars監(jiān)測攻擊行為等。

⑵通過漏洞掃描監(jiān)控系統(tǒng)漏洞，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

在眾多的網(wǎng)絡(luò)安全事件背后，普遍存在的事實(shí)是，大多數(shù)的網(wǎng)絡(luò)用戶不能及時(shí)安裝系統(tǒng)補(bǔ)丁和升級(jí)病毒庫。每個(gè)網(wǎng)絡(luò)用戶都可能成為網(wǎng)絡(luò)攻擊的發(fā)起者，同時(shí)也是受害者，特別是操作系統(tǒng)不及時(shí)打上安全補(bǔ)丁，清除過的病毒又會(huì)立即復(fù)發(fā)。通過漏洞掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)打上補(bǔ)丁，可以大大降低病毒或黑客軟件危害網(wǎng)絡(luò)的風(fēng)險(xiǎn)。

⑶通過入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡(luò)攻擊

防火墻不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能．入侵檢測通過旁路監(jiān)聽的方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能沒有影響，同時(shí)判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警，不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。

⑷在應(yīng)用系統(tǒng)上安裝安全軟件實(shí)現(xiàn)應(yīng)用系統(tǒng)的監(jiān)控

通過在客戶機(jī)（單機(jī)或服務(wù)器）上安裝安全軟件，提供主機(jī)入侵監(jiān)控、分布式防火墻、惡意移動(dòng)代碼防范、操作系統(tǒng)完整性保障和審核日志整合等功能。提供針對(duì)所有類型的攻擊的防范，包括端口掃描、緩沖區(qū)溢出、特洛伊木馬、畸形分組、惡意HTML請(qǐng)求和電子郵件蠕蟲。

⒉構(gòu)建多層次的防護(hù)體系

⑴在網(wǎng)絡(luò)上構(gòu)建MPLS VPN和IP Sec實(shí)現(xiàn)網(wǎng)絡(luò)安全

MPLS VPN采用路由隔離、地址隔離和信息隱藏等多種手段提供了抗攻擊和標(biāo)記欺騙的手段，提供與傳統(tǒng)的ATM或幀中繼VPN相類似的安全保證。IPSec是專門設(shè)計(jì)為IP提供安全服務(wù)的一種協(xié)議。IPSec通過數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)、抗重播保護(hù)等形式，可有效保護(hù)IP數(shù)據(jù)報(bào)的安全。

⑵通過訪問控制列表實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)

訪問控制列表（Access Control List，ACL）是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL可以通過限制網(wǎng)絡(luò)流量提高網(wǎng)絡(luò)性能，提供對(duì)通信流量的控制和網(wǎng)絡(luò)安全訪問的基本手段，可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。

⑶構(gòu)建網(wǎng)絡(luò)防病毒體系和系統(tǒng)補(bǔ)丁分發(fā)中心

建立涵蓋網(wǎng)絡(luò)所有節(jié)點(diǎn)的基礎(chǔ)病毒檢、殺系統(tǒng)，部署“分布式管理、集中監(jiān)控、統(tǒng)一審計(jì)”的多級(jí)級(jí)聯(lián)的病毒監(jiān)控管理構(gòu)架，在最可能導(dǎo)致病毒傳染的郵件服務(wù)器上加裝郵件防病毒網(wǎng)關(guān)，建立系統(tǒng)（軟件）補(bǔ)丁庫，并及時(shí)升級(jí)，加固全網(wǎng)計(jì)算機(jī)操作系統(tǒng)。

⑷在網(wǎng)絡(luò)出口安裝防火墻實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)

防火墻最大的意義是在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效地將復(fù)雜的網(wǎng)絡(luò)安全問題簡單化，大大降低管理成本和潛在風(fēng)險(xiǎn)。

⑸部署網(wǎng)絡(luò)準(zhǔn)入控制和自防御網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)安全

通過對(duì)用戶的身份進(jìn)行認(rèn)證，對(duì)用戶的接入設(shè)備進(jìn)行安全狀態(tài)評(píng)估(包括防病毒軟件，系統(tǒng)補(bǔ)丁等)，使每個(gè)接入點(diǎn)都具有較高的可信身份和基本的安全條件，從而保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施。在用戶終端試圖接入網(wǎng)絡(luò)時(shí)，安全客戶端首先搜集、評(píng)估用戶機(jī)器的安全特征，包括系統(tǒng)補(bǔ)丁、病毒庫版本等信息；并把這些特征和用戶信息上傳至認(rèn)證服務(wù)器，進(jìn)行用戶身份認(rèn)證和安全策略對(duì)照；根據(jù)對(duì)照結(jié)果，非法用戶將被策略控制服務(wù)器拒絕接入網(wǎng)絡(luò)；是合法用戶、但接入計(jì)算機(jī)沒有達(dá)到基本安全要求的將被隔離到隔離區(qū)；進(jìn)入隔離區(qū)的用戶可以根據(jù)組織的網(wǎng)絡(luò)安全策略，進(jìn)行安裝系統(tǒng)補(bǔ)丁、升級(jí)病毒庫、檢查終端系統(tǒng)信息等操作，直到接入終端符合組織網(wǎng)絡(luò)安全策略；合法合格的接入終端可以根據(jù)組織安全策略正常訪問網(wǎng)絡(luò)。

⒊加強(qiáng)電子政務(wù)網(wǎng)絡(luò)管理

⑴統(tǒng)一行政體制

在省、市、縣三級(jí)實(shí)現(xiàn)行政管理體系的統(tǒng)一，使安全問題在預(yù)防和發(fā)生以至解決都有一個(gè)流暢、高效的運(yùn)作流程。行政為主、技術(shù)為輔的安全解決模式在政務(wù)網(wǎng)的實(shí)際操作中起著關(guān)鍵的作用。

⑵統(tǒng)一管理規(guī)范的制定

通過制定計(jì)算機(jī)機(jī)房標(biāo)準(zhǔn)、網(wǎng)絡(luò)運(yùn)行維護(hù)管理制度、數(shù)據(jù)信息管理制度，形成從物理層、網(wǎng)絡(luò)層到應(yīng)用層的底層到高層的安全管理規(guī)范，消除其中任何一個(gè)環(huán)節(jié)的疏忽引發(fā)的安全問題。

⑶加強(qiáng)對(duì)政務(wù)網(wǎng)絡(luò)運(yùn)維人員管理

要通過定崗、定位，明確政務(wù)網(wǎng)絡(luò)運(yùn)維人員的職責(zé)；通過崗位培訓(xùn)，提高政務(wù)網(wǎng)絡(luò)運(yùn)維人員的技術(shù)水平，消除安全盲區(qū)。

⑷利用統(tǒng)一網(wǎng)管實(shí)施有效的分級(jí)管理

通過建立福建電信、省經(jīng)濟(jì)信息中心、9個(gè)設(shè)區(qū)市、84個(gè)縣（市、區(qū)）的統(tǒng)一網(wǎng)管實(shí)現(xiàn)網(wǎng)絡(luò)的分級(jí)管理。福建電信負(fù)責(zé)省直機(jī)關(guān)寬帶網(wǎng)，省中心負(fù)責(zé)政務(wù)網(wǎng)的縱向網(wǎng)，9個(gè)設(shè)區(qū)市和84個(gè)縣（市、區(qū)）負(fù)責(zé)各自橫向接入網(wǎng)，通過分權(quán)建立立體三層的統(tǒng)一平臺(tái)管理，使得管理局面不再是條塊分隔，而是在一個(gè)統(tǒng)一的平臺(tái)下，有不同的管理權(quán)限，這樣容易進(jìn)行統(tǒng)一的安全部署，多渠道發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，高效率地解決網(wǎng)絡(luò)安全問題。

⑸定期巡檢和獎(jiǎng)懲管理