導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全體系建設(shè)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：安全；信息化；規(guī)劃

中圖分類號：TP393　文獻(xiàn)標(biāo)識(shí)碼：A

1　校園網(wǎng)安全運(yùn)行現(xiàn)狀與需求

1.1校園網(wǎng)安全建設(shè)現(xiàn)狀分析

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。隨著高校的發(fā)展，用網(wǎng)人數(shù)的增加，校園網(wǎng)用戶對信息與網(wǎng)絡(luò)安全的要求也越來越高。大部分高校以往的網(wǎng)絡(luò)建設(shè)，重點(diǎn)是“建設(shè)”，強(qiáng)調(diào)網(wǎng)絡(luò)的覆蓋范圍，出口帶寬，基礎(chǔ)應(yīng)用等，而對網(wǎng)絡(luò)安全的關(guān)注度不夠，往往是“想起一個(gè)建一個(gè)，需要一個(gè)建～個(gè)”，沒有形成系統(tǒng)、全面、高效的網(wǎng)絡(luò)安全體系。隨著高?！靶畔⒒苯ㄔO(shè)的呼聲越來越高，網(wǎng)絡(luò)安全體系的建設(shè)也在逐步受到學(xué)校各級領(lǐng)導(dǎo)的重視。

1.2校園網(wǎng)安全體系建設(shè)需求

網(wǎng)絡(luò)安全建設(shè)一直是各高校網(wǎng)絡(luò)建設(shè)的難點(diǎn)和薄弱環(huán)節(jié)，一方面，技術(shù)管理手段的不全面以及管理機(jī)制的不完善制約了安全防范的力度；另一方面，校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識(shí)淡漠，以及學(xué)生用戶網(wǎng)絡(luò)行為的不確定性成為各高校網(wǎng)絡(luò)安全工作的瓶頸。因此，網(wǎng)絡(luò)中心需要通過采取一系列的網(wǎng)絡(luò)安全措施、制定一系列的網(wǎng)絡(luò)安全管理制度，在提高網(wǎng)絡(luò)管理技術(shù)手段的同時(shí)，逐步增強(qiáng)用戶的網(wǎng)絡(luò)安全意識(shí)，構(gòu)建穩(wěn)定、安全、綠色的校園網(wǎng)。

2　網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃

隨著學(xué)校網(wǎng)絡(luò)與信息化建設(shè)的逐步深入，網(wǎng)絡(luò)安全問題、信息數(shù)據(jù)安全問題日益突出。建立一套網(wǎng)絡(luò)安全體系，是各高校在信息化過程中的重要任務(wù)之一。

2.1校園網(wǎng)安全建設(shè)規(guī)劃

根據(jù)各高校網(wǎng)絡(luò)建設(shè)規(guī)劃，結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段，應(yīng)從以下幾個(gè)方面做好校園網(wǎng)安全建設(shè)工作。

2.1.1加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)

網(wǎng)絡(luò)設(shè)施安全主要指網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備的物理安全。某高校網(wǎng)絡(luò)中心曾經(jīng)發(fā)生過同批次多塊硬盤損壞，機(jī)柜門被撬開。學(xué)生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設(shè)中，保證設(shè)備的物理安全尤為重要。

建立機(jī)房、設(shè)備間的防火、防盜、監(jiān)控和報(bào)警方案：

對一些關(guān)鍵設(shè)備。系統(tǒng)和鏈路，應(yīng)設(shè)置冗余備份系統(tǒng)，避免網(wǎng)絡(luò)設(shè)備因天災(zāi)或人為因素對網(wǎng)絡(luò)造成的影響。

2.1.2終端安全防范措施

隨著各高校網(wǎng)絡(luò)覆蓋范圍的逐步增加，用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時(shí)在線用戶已經(jīng)達(dá)到4500人)，用戶終端的安全問題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問題之一。由于用網(wǎng)人員的計(jì)算機(jī)水平參差不齊，以及學(xué)生用戶網(wǎng)絡(luò)行為的不可控性，給網(wǎng)絡(luò)安全帶來了很大的隱患，因此需要從以下幾個(gè)方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網(wǎng)絡(luò)版殺毒軟件，以及校內(nèi)WSUS服務(wù)，逐步建立“沒有殺毒軟件”、“不打系統(tǒng)補(bǔ)丁”不上網(wǎng)的安全意識(shí)；

對校內(nèi)突發(fā)的終端安全事故進(jìn)行監(jiān)控，及時(shí)提供必要的專殺工具、漏洞補(bǔ)?。?/p>

提高技術(shù)人員的技術(shù)水平，采取相應(yīng)的檢測手段，利用先進(jìn)的儀器設(shè)備，減少用戶端安全事故的排查和定位時(shí)間。

2.1.3應(yīng)用服務(wù)器安全措施

應(yīng)用服務(wù)器是數(shù)字化校園的基礎(chǔ)，是各個(gè)業(yè)務(wù)系統(tǒng)的載體，所以它的安全是至關(guān)重要的，因此，系統(tǒng)管理員的技術(shù)手段和安全意識(shí)在服務(wù)器的安全管理中起到至關(guān)重要的作用。

制定相關(guān)技術(shù)文檔，規(guī)范應(yīng)用服務(wù)器上線前的安全檢查，督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動(dòng)更新等，并且定期掃描系統(tǒng)漏洞，更改系統(tǒng)密碼。保證操作系統(tǒng)安全；

建立完善可靠的容災(zāi)恢復(fù)方案，對關(guān)鍵服務(wù)器采用雙機(jī)熱備方式，并且提供可靠的數(shù)據(jù)備份系統(tǒng)，如采用RAID技術(shù)以及利用磁帶備份數(shù)據(jù)，確保事故發(fā)生時(shí)業(yè)務(wù)數(shù)據(jù)不丟失，系統(tǒng)能夠快速恢復(fù)；

建立授權(quán)控制體系，對不同管理員設(shè)定不同的系統(tǒng)、數(shù)據(jù)庫管理權(quán)限：

完善訪問日志分析系統(tǒng)，定期對日志進(jìn)行整理和分析，制定相應(yīng)的安全策略。

2.1.4網(wǎng)絡(luò)出口及邊界安全

目前高校網(wǎng)絡(luò)出口及邊界設(shè)備主要分為路由器。防火墻、VPN等三類設(shè)備，網(wǎng)絡(luò)出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應(yīng)速度和快速、準(zhǔn)確地定位攻擊來源。針對這些方面，需要在出口及邊界設(shè)備的管理中做到以下幾點(diǎn)：

建立密碼維護(hù)制度。定期更換設(shè)備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細(xì)的ACL策略，限制登錄設(shè)備的IP地址；

采取NAT機(jī)制。在保證校內(nèi)用戶正常上網(wǎng)的同時(shí)，繼續(xù)優(yōu)化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規(guī)劃SSL VPN的用戶權(quán)限；

建立IDS+IPS的聯(lián)動(dòng)機(jī)制。完善網(wǎng)絡(luò)監(jiān)控與入侵防范；

建立出入雙向的訪問日志系統(tǒng)。

2.1.5應(yīng)用分析控制技術(shù)的應(yīng)用

在網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用的分析至關(guān)重要，網(wǎng)絡(luò)管理人員需要明確地知道網(wǎng)絡(luò)中有哪些網(wǎng)絡(luò)應(yīng)用，各種應(yīng)用在網(wǎng)絡(luò)中所占的帶寬以及是否存在不良應(yīng)用，如圖1。

隨著上網(wǎng)人數(shù)的增多，網(wǎng)絡(luò)出口不可避免地出現(xiàn)擁堵現(xiàn)象，因此，需要進(jìn)一步對網(wǎng)絡(luò)應(yīng)用進(jìn)行分析，并制定有效的控制策略。

實(shí)時(shí)記錄出口帶寬使用情況，對惡意占用帶寬的應(yīng)用進(jìn)行限制，確?；緫?yīng)用的高效運(yùn)行；

對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，利用相關(guān)協(xié)議分析工具對網(wǎng)絡(luò)應(yīng)用進(jìn)行深層坎的分析。

2.2信息安全建設(shè)規(guī)劃

信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復(fù)制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲(chǔ)時(shí)的安全。

建立完善的實(shí)名上網(wǎng)制度，并且與各系統(tǒng)的日志配合，建立“上網(wǎng)ID+上網(wǎng)時(shí)間+上網(wǎng)IP+上網(wǎng)入”的一一對應(yīng)關(guān)系；

建立合理的文件上傳、審查制度，對關(guān)鍵數(shù)據(jù)采取數(shù)字簽名技術(shù)，做到誰上傳誰負(fù)責(zé)，安全事故責(zé)任到人；

對論壇、留言板等提供用戶交流的版塊加強(qiáng)監(jiān)管力度。對有害和敏感信息進(jìn)行監(jiān)控；

數(shù)字校園關(guān)鍵服務(wù)器問數(shù)據(jù)傳輸采取加密方式，防止網(wǎng)絡(luò)竊聽、數(shù)據(jù)泄露等安全事故的發(fā)生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進(jìn)行過濾。

2.2.2數(shù)據(jù)安全建設(shè)

隨著高校信息化建設(shè)的推進(jìn)，各部門工作信息化的程度也將越來越高，如何保證數(shù)據(jù)安全，提高管理信息系統(tǒng)(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關(guān)管理制度：

制定MIS系統(tǒng)數(shù)據(jù)備份、災(zāi)難恢復(fù)方案；

定期對MIS漏洞進(jìn)行修補(bǔ)。防止數(shù)據(jù)泄露。

2.3全局安全體系建設(shè)

根據(jù)對網(wǎng)絡(luò)體系分層的概念，針對不同的層次制定不同的網(wǎng)絡(luò)安全措施。做到有的放矢，從技術(shù)上實(shí)現(xiàn)檢測、上報(bào)和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(luò)(GSN)，如圖2。

整合已建立的安全措施，增加針對上網(wǎng)用戶的準(zhǔn)入策略。在用戶連入網(wǎng)絡(luò)之前先進(jìn)行客戶端病毒及漏洞掃描，保證連入網(wǎng)絡(luò)的客戶端的安全性，從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)：

建立統(tǒng)一的安全管理平臺(tái)(SMP)，通過下發(fā)警告消息，下發(fā)修復(fù)程序，下發(fā)阻斷或者隔離策略等手段智能處理安全事件。

篇2

隨著電子政務(wù)的飛速發(fā)展，其承載的政府管理和服務(wù)系統(tǒng)日趨龐雜，這就對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全性提出了更高的要求。因此，建立與網(wǎng)絡(luò)信息安全相適應(yīng)的安全策略和安全設(shè)施，構(gòu)筑完整的網(wǎng)絡(luò)安全體系，是電子政務(wù)發(fā)展的一個(gè)重要內(nèi)容。

2 電子政務(wù)網(wǎng)絡(luò)面臨的安全問題

（1）網(wǎng)絡(luò)的規(guī)劃缺乏合理性。由于技術(shù)和資金投入方面的原因，電子政務(wù)網(wǎng)絡(luò)在規(guī)劃建設(shè)時(shí)往往會(huì)在一些方面缺少前瞻性的考慮，而隨著電子政務(wù)應(yīng)用需求的與日俱增，這些問題直接表現(xiàn)為網(wǎng)絡(luò)在功能上和性能上的相對滯后。

（2）網(wǎng)絡(luò)病毒問題比較突出。病毒問題對電子政務(wù)網(wǎng)絡(luò)的安全應(yīng)用造成了很大的威脅，在實(shí)際中往往會(huì)忽視全網(wǎng)防毒的重要性，并且對未知病毒的防范上缺乏必要的措施。

（3）網(wǎng)絡(luò)攻擊事件日益增多。隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，對電子政務(wù)網(wǎng)絡(luò)的攻擊行為日益增多，包括物理通路竊聽、鏈路數(shù)據(jù)被截獲、非法用戶入侵、政府網(wǎng)頁被惡意篡改等等，都對電子政務(wù)網(wǎng)絡(luò)的安全性提出了更高的要求。

（4）災(zāi)難恢復(fù)機(jī)制不夠完善。在電子政務(wù)網(wǎng)絡(luò)建設(shè)中，存在著單點(diǎn)故障的隱患，這些都是電子政務(wù)網(wǎng)絡(luò)在安全防范和恢復(fù)能力方面存在的薄弱環(huán)節(jié)。

（5）網(wǎng)絡(luò)安全管理相對滯后。電子政務(wù)網(wǎng)絡(luò)的安全三分靠建設(shè)、七分靠管理，而在目前的電子政務(wù)網(wǎng)絡(luò)建設(shè)中，與網(wǎng)絡(luò)安全相關(guān)的規(guī)范、措施、預(yù)案相對較少，安全管理的意識(shí)還很淡薄。

3安全體系的設(shè)計(jì)

電子政務(wù)網(wǎng)絡(luò)安全是個(gè)復(fù)雜的綜合性問題，不能簡單地理解成為一些安全產(chǎn)品的集合，而是要形成體系化的建設(shè)，可以從安全技術(shù)和安全管理兩個(gè)方面實(shí)現(xiàn)：

（1）安全技術(shù)

安全技術(shù)是實(shí)現(xiàn)電子政務(wù)網(wǎng)絡(luò)安全最直接、最普遍的方法，因而在電子政務(wù)網(wǎng)絡(luò)安全保障上應(yīng)考慮以下安全技術(shù)的應(yīng)用：應(yīng)用防火墻技術(shù)，隔離內(nèi)外網(wǎng)絡(luò)、控制訪問權(quán)限，防止非法訪問和惡意攻擊；應(yīng)用主動(dòng)入侵防御技術(shù)保護(hù)核心服務(wù)器和內(nèi)部網(wǎng)絡(luò)，進(jìn)行深層防御、精確阻斷；應(yīng)用安全掃描技術(shù)主動(dòng)探測網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評估，保持網(wǎng)絡(luò)系統(tǒng)安全的一致性和連續(xù)性；應(yīng)用審計(jì)技術(shù)對業(yè)務(wù)數(shù)據(jù)流和人員上網(wǎng)行為進(jìn)行審計(jì)，防止網(wǎng)絡(luò)濫用情況的發(fā)生，進(jìn)一步規(guī)范上網(wǎng)行為；應(yīng)用流量分析技術(shù)，優(yōu)化網(wǎng)絡(luò)帶寬，實(shí)現(xiàn)網(wǎng)絡(luò)資源和網(wǎng)絡(luò)應(yīng)用的可控制性；應(yīng)用網(wǎng)絡(luò)負(fù)載均衡技術(shù)，提高不同網(wǎng)絡(luò)之間訪問速度；應(yīng)用統(tǒng)一管理技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備、服務(wù)器和基礎(chǔ)設(shè)施的統(tǒng)一監(jiān)測管理。

（2）安全管理

網(wǎng)絡(luò)安全的核心是安全管理，安全管理是確保安全技術(shù)得以有效實(shí)施的保障，可以考慮兩方面的措施：一是制定本地區(qū)、本部門的電子政務(wù)網(wǎng)絡(luò)安全管理規(guī)范，充分發(fā)揮網(wǎng)絡(luò)在信息化建設(shè)中的基礎(chǔ)性作用，促進(jìn)信息化建設(shè)健康、快速、協(xié)調(diào)發(fā)展；二是制定電子政務(wù)網(wǎng)絡(luò)突發(fā)事件應(yīng)急預(yù)案，建立起完善的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)保障和恢復(fù)應(yīng)急工作機(jī)制，有效預(yù)防、及時(shí)控制和最大限度地消除突發(fā)網(wǎng)絡(luò)事件的危害和影響，確保電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定運(yùn)行。

4安全體系的建設(shè)原則

（1）完整性。單一的技術(shù)手段或管理手段對安全問題的發(fā)現(xiàn)、處理、控制等能力各有優(yōu)劣，所以應(yīng)該從整體安全性的角度考慮需要不同安全策略和安全設(shè)施之間的安全互補(bǔ)，提高對安全事件響應(yīng)的準(zhǔn)確性和全面性。

（2）經(jīng)濟(jì)性。安全體系建設(shè)要因地制宜，從本地區(qū)、本部門電子政務(wù)網(wǎng)絡(luò)建設(shè)發(fā)展的實(shí)際出發(fā)，根據(jù)對安全方面的需求，制定合理的保護(hù)策略，使安全和投資達(dá)到均衡，做到低投入、高產(chǎn)出。

（3）動(dòng)態(tài)性。網(wǎng)絡(luò)的安全是一個(gè)全動(dòng)態(tài)的過程，無論是安全產(chǎn)品的選用，還是安全策略的制定，都必須具有延續(xù)性和前瞻性，能夠針對新的安全需求，不斷地進(jìn)行技術(shù)和設(shè)備的升級換代，進(jìn)行安全策略的調(diào)整，以適應(yīng)新的發(fā)展需要。

（4）標(biāo)準(zhǔn)性。在電子政務(wù)網(wǎng)絡(luò)安全體系建設(shè)中，要遵守國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及國際相關(guān)的安全標(biāo)準(zhǔn)，這是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

（5）可操作性。安全體系的任何一個(gè)環(huán)節(jié)都應(yīng)該有很好的可控性，包括安全產(chǎn)品的易用性、安全技術(shù)手段的針對性、安全管理制度規(guī)范的可實(shí)施性，確保安全體系建設(shè)能收到良好的實(shí)際效果。

5 結(jié)束語

網(wǎng)絡(luò)安全是相對的，安全體系的建設(shè)也并非一勞永逸。隨著電子政務(wù)的進(jìn)一步發(fā)展，必然會(huì)對網(wǎng)絡(luò)安全提出更高的要求，這就需要用動(dòng)態(tài)的、前進(jìn)的、創(chuàng)新的眼光來認(rèn)識(shí)安全，定期進(jìn)行安全評估、合理運(yùn)用安全技術(shù)、加強(qiáng)安全管理措施，建立起更加完善的電子政務(wù)網(wǎng)絡(luò)安全體系。

參考文獻(xiàn)

篇3

網(wǎng)絡(luò)武器民用化

將導(dǎo)致勒索成為最流行模式

齊向東在演講中稱，網(wǎng)絡(luò)戰(zhàn)“不費(fèi)一槍一炮”，就能達(dá)到傳統(tǒng)戰(zhàn)爭破壞政府、經(jīng)濟(jì)、社會(huì)正常秩序的系列目的，勒索病毒攻擊就是這種形式。

在剛剛過去的6月底，勒索病毒變種Petya卷土重來，距Wannacry事件僅過去了一個(gè)多月。齊向東總結(jié)說，經(jīng)過對比分析，勒索病毒變種有傳播速度更快、破壞性更強(qiáng)以及目的性更復(fù)雜的趨勢。

傳播速度上，新病毒變種的傳播速度達(dá)到了每10分鐘感染5000余臺(tái)電腦；破壞性上，大量基礎(chǔ)設(shè)施遭到攻擊，危害性極大；目的性上，“黑客”不再單純地以盈利為目的，而是為了搞破壞，而帶有國家背景的攻擊極有可能隱藏在黑產(chǎn)面具的背后。

齊向東認(rèn)為，以“永恒之藍(lán)”勒索病毒為標(biāo)志，網(wǎng)絡(luò)攻擊已經(jīng)從過去的“弱感知”變成了“強(qiáng)感知”，大部分人從“圍觀者”被迫成為了“受害者”。同時(shí)，“網(wǎng)絡(luò)武器民用化”的趨勢將導(dǎo)致勒索成為未來最流行的模式。

“以前網(wǎng)絡(luò)攻擊的目的是破壞，但在大數(shù)據(jù)時(shí)代，用網(wǎng)絡(luò)漏洞進(jìn)行勒索不僅能快速地破壞企業(yè)和機(jī)構(gòu)的基礎(chǔ)設(shè)施，還能實(shí)現(xiàn)盈利?！饼R向東說。安全行業(yè)將演變?yōu)?/p>

人才密集型的服務(wù)行業(yè)

面對越來越復(fù)雜的網(wǎng)絡(luò)攻擊，傳統(tǒng)的安全防護(hù)思路和技術(shù)已經(jīng)失效，建設(shè)全新的網(wǎng)絡(luò)安全體系迫在眉睫。

齊向東表示，在建設(shè)全新的網(wǎng)絡(luò)安全體系時(shí)，人的作用會(huì)越來越大，安全行業(yè)將演變?yōu)槿瞬琶芗偷姆?wù)行業(yè)。原來用硬件設(shè)備和軟件構(gòu)成的、以防護(hù)為主的安全體系已經(jīng)不適用了，取而代之的將是防護(hù)系統(tǒng)與安全人員應(yīng)急處置相結(jié)合的新體系。

除了強(qiáng)調(diào)人的作用，齊向東認(rèn)為，網(wǎng)絡(luò)安全態(tài)勢感知與應(yīng)急響應(yīng)是網(wǎng)絡(luò)安全系統(tǒng)的核心。勒索病毒事件充分證明，安全應(yīng)急響應(yīng)的速度和質(zhì)量，對保障網(wǎng)絡(luò)安全至關(guān)重要，而態(tài)勢感知系統(tǒng)能夠自動(dòng)感知預(yù)警，為應(yīng)急響應(yīng)提供保證。

此外，終端、網(wǎng)絡(luò)、服務(wù)器三方聯(lián)動(dòng)的防護(hù)體系是應(yīng)急響應(yīng)結(jié)果的關(guān)鍵。齊向東說，360對100余家機(jī)構(gòu)抽樣統(tǒng)計(jì)表明，即便是大型的機(jī)構(gòu)，建設(shè)了終端管控體系，也存在明顯的安全死角，導(dǎo)致應(yīng)急措施無法有效執(zhí)行。如果能組成三方聯(lián)動(dòng)的防護(hù)體系最好，如果不能，至少三條線分別能自動(dòng)響應(yīng)，比如在云端“一鍵執(zhí)行”統(tǒng)一安全策略，這能為響應(yīng)贏得寶貴時(shí)間。

我國網(wǎng)絡(luò)安全建設(shè)的投入

與美國相差15倍

齊向東認(rèn)為，一直以來，我國在網(wǎng)絡(luò)建設(shè)上存在著重業(yè)務(wù)應(yīng)用、輕網(wǎng)絡(luò)安全的現(xiàn)象。目前，我網(wǎng)絡(luò)安全建設(shè)的投入與美國相差15倍，應(yīng)盡快補(bǔ)齊。

“我國網(wǎng)絡(luò)安全投資占整體信息化建設(shè)經(jīng)費(fèi)的比例不足1%，與美國的15%、歐洲的10%相比存在巨大差距?！饼R向東說。

篇4

關(guān)鍵詞：校園網(wǎng)絡(luò)；建設(shè)；安全

隨著科學(xué)技術(shù)的不斷發(fā)展，以電子計(jì)算機(jī)為媒介的信息技術(shù)不斷成熟，信息技術(shù)現(xiàn)在已經(jīng)成為人們工作和生活中必不可少的一項(xiàng)生活需求。校園網(wǎng)絡(luò)是整個(gè)校園區(qū)域內(nèi)的電腦信息信號，通過鏈接從而形成網(wǎng)絡(luò)。校園內(nèi)的網(wǎng)絡(luò)不僅僅能夠使校園內(nèi)各個(gè)角落中的網(wǎng)絡(luò)節(jié)點(diǎn)聯(lián)系在一起，方便管理，還能對校園內(nèi)的資源進(jìn)行有序和集中的整合，從而能夠滿足學(xué)校內(nèi)教學(xué)、辦公甚至科研等工作的需求。

一、校園網(wǎng)絡(luò)存在的問題

隨著校園網(wǎng)絡(luò)的不斷普及和發(fā)展，不可避免地出現(xiàn)很多問題，下面筆者將對校園網(wǎng)絡(luò)中存在的問題進(jìn)行分析。

校園網(wǎng)的網(wǎng)絡(luò)資源是要求公開的，并且能夠和互聯(lián)網(wǎng)連接，所以就要求校園內(nèi)的整個(gè)網(wǎng)絡(luò)環(huán)境必須是安全的。因此，在校園網(wǎng)絡(luò)的建設(shè)和日常維護(hù)中，如何保證校園網(wǎng)絡(luò)的安全性就成為了最重要的問題。

1.系統(tǒng)安全

對于計(jì)算機(jī)來說，操作系統(tǒng)是非常重要的，它是保證計(jì)算機(jī)能夠正常運(yùn)行的基礎(chǔ)，所有軟件的運(yùn)行和網(wǎng)絡(luò)的瀏覽也都是在操作系統(tǒng)的平臺(tái)上得以實(shí)現(xiàn)的。在目前廣泛應(yīng)用的操作系統(tǒng)中，每個(gè)系統(tǒng)的開發(fā)本身都存在著一定的漏洞，這些漏洞是非常大的安全隱患，如果沒有對操作系統(tǒng)進(jìn)行安全配置，那么就會(huì)對電腦內(nèi)的文件及其他機(jī)密材料帶來非常大的隱患。

2.互聯(lián)網(wǎng)安全

互聯(lián)網(wǎng)有著豐富的資源，也必定充斥著大量的計(jì)算機(jī)網(wǎng)絡(luò)病毒，計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播速度非常快，并且覆蓋的層面也非常廣，如果學(xué)校沒有采取適當(dāng)?shù)谋Ｗo(hù)措施，那么計(jì)算機(jī)網(wǎng)絡(luò)病毒對于校園網(wǎng)絡(luò)所造成的傷害是非常巨大的，甚至有可能造成網(wǎng)絡(luò)的癱瘓和報(bào)廢。很多學(xué)校由于建設(shè)校園網(wǎng)的過程中接入了互聯(lián)網(wǎng)，及時(shí)設(shè)置了防火墻，但是由于其他安全技術(shù)工作不到位，導(dǎo)致校園網(wǎng)絡(luò)頻繁地受到病毒的侵蝕和黑客的攻擊。

3.客觀因素

影響校園網(wǎng)絡(luò)安全的還有很多客觀因素，如設(shè)備的毀壞、自然災(zāi)害、通信光纜的損壞和雷電破壞、設(shè)備的老化及未及時(shí)更新等，都會(huì)造成整個(gè)校園網(wǎng)絡(luò)出現(xiàn)安全事故。

二、校園網(wǎng)絡(luò)安全維護(hù)策略

所謂網(wǎng)絡(luò)安全，就是指網(wǎng)絡(luò)硬件和軟件以及網(wǎng)絡(luò)中的數(shù)據(jù)系統(tǒng)能夠得到良好的保護(hù)，從而不受惡意破壞，維持?jǐn)?shù)據(jù)的保密性和系統(tǒng)的正常運(yùn)行，保證網(wǎng)絡(luò)服務(wù)不被中斷。筆者根據(jù)自身實(shí)際工作經(jīng)驗(yàn)，認(rèn)為提高校園網(wǎng)絡(luò)安全維護(hù)的策略應(yīng)該從以下幾個(gè)方面進(jìn)行：

1.防火墻

網(wǎng)絡(luò)防火墻能夠區(qū)分公眾網(wǎng)和內(nèi)部網(wǎng)，它能夠限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)之間的信息傳遞。在構(gòu)架校園網(wǎng)絡(luò)安全的工作中，防火墻是最重要的一道程序。在可適用校園網(wǎng)絡(luò)安全的防火墻上，分為軟件和硬件兩種，它不僅僅能夠控制兩個(gè)網(wǎng)絡(luò)之間的信息交換，還能夠?qū)W(wǎng)絡(luò)的訪問者進(jìn)行監(jiān)控和圍堵，在整個(gè)校園網(wǎng)絡(luò)安全的構(gòu)建中是最為重要的。

2.入侵檢測技術(shù)

入侵檢測能夠?qū)㈦娔X和網(wǎng)絡(luò)上的惡意行為進(jìn)行細(xì)致的識(shí)別，入侵檢測技術(shù)就是基于這種識(shí)別能力的系統(tǒng)。入侵檢測技術(shù)能夠檢測出外部用戶在非授權(quán)情況下進(jìn)行訪問的行為，不僅能夠計(jì)算出計(jì)算機(jī)系統(tǒng)安全的配置，還能夠檢測出違反技術(shù)安全政策的不法分子，從而給校園的網(wǎng)絡(luò)提供一個(gè)良好、有序的環(huán)境，以隔絕沒有訪問權(quán)限的非法訪問者。

3.認(rèn)證技術(shù)

認(rèn)證技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中一項(xiàng)重要的技術(shù)，現(xiàn)如今校園內(nèi)網(wǎng)絡(luò)使用的認(rèn)證技術(shù)多為身份驗(yàn)證，認(rèn)證技術(shù)能夠?yàn)橛脩魧W(wǎng)絡(luò)的訪問營造出一道良好的保障。首先，校園網(wǎng)絡(luò)內(nèi)的用戶都擁有屬于自己身份的安全認(rèn)證權(quán)限，在對網(wǎng)絡(luò)進(jìn)行訪問的時(shí)候，輸入自己的認(rèn)證信息，通過身份識(shí)別系統(tǒng)進(jìn)行檢查，檢查通過方能夠?qū)W(wǎng)絡(luò)進(jìn)行訪問，根據(jù)用戶不同身份還能設(shè)計(jì)出不同的認(rèn)證技術(shù)手段。另外，認(rèn)證技術(shù)系統(tǒng)管理員也可以根據(jù)所需對數(shù)據(jù)庫進(jìn)行配置，從而建立好監(jiān)控系統(tǒng)，這樣能夠更好地檢測是否有入侵，從而保證網(wǎng)絡(luò)的安全，這是最為基礎(chǔ)的安全保證。

4.訪問控制技術(shù)

訪問控制技術(shù)是對用戶身份定義的系統(tǒng)，這樣能夠限制校園用戶訪問某些不在權(quán)限之內(nèi)的信息和資源，或者能夠達(dá)到對于某些機(jī)密材料的限制訪問工作。在網(wǎng)絡(luò)安全中，訪問控制是主要的工作，能夠保證網(wǎng)絡(luò)的資源不被惡意和非法使用，從而保證網(wǎng)絡(luò)的安全。

校園網(wǎng)絡(luò)在建成和管理中應(yīng)注意良好的安全管理。由于網(wǎng)絡(luò)的外部發(fā)展使得網(wǎng)絡(luò)安全變得隱患多多，在校園網(wǎng)絡(luò)的管理中，通過防火墻、入侵檢測技術(shù)、認(rèn)證技術(shù)、訪問控制技術(shù)等安全技術(shù)能夠較好地保證校園網(wǎng)絡(luò)安全，進(jìn)而實(shí)現(xiàn)校園網(wǎng)絡(luò)正常、平穩(wěn)地運(yùn)行。

參考文獻(xiàn)：

[1]樂寧麗.淺談構(gòu)建完善的校園網(wǎng)絡(luò)安全防范體系[J].福建商業(yè)高等?？茖W(xué)校學(xué)報(bào)，2009（6）.

篇5

關(guān)鍵詞：網(wǎng)絡(luò)安全；實(shí)驗(yàn)教學(xué)；課程體系

作者簡介：廉龍穎（1981-），女，遼寧莊河人，黑龍江科技大學(xué)計(jì)算機(jī)學(xué)院，講師。

基金項(xiàng)目：本文系黑龍江省高教學(xué)會(huì)十二五教研課題（項(xiàng)目編號：HGJXH C110918）、黑龍江科技學(xué)院青年才俊資助項(xiàng)目的研究成果。

中圖分類號：G642.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-0079（2013）14-0089-02

“網(wǎng)絡(luò)安全”課程是黑龍江科技學(xué)院（以下簡稱“我?！保┽槍W(wǎng)絡(luò)工程專業(yè)本科生開設(shè)的一門專業(yè)主干課程。根據(jù)調(diào)查問卷顯示，現(xiàn)代企業(yè)對所需網(wǎng)絡(luò)安全人才的職業(yè)素質(zhì)要求排序，第一為工程實(shí)踐能力（87%），其次為工作責(zé)任心（9%）、團(tuán)隊(duì)協(xié)作能力（4%）。這些數(shù)據(jù)表明，“網(wǎng)絡(luò)安全”課程必須強(qiáng)化實(shí)踐能力培養(yǎng)，而培養(yǎng)實(shí)踐能力的基礎(chǔ)和重點(diǎn)來自于實(shí)驗(yàn)課程。實(shí)驗(yàn)教學(xué)直接影響到學(xué)生的實(shí)踐能力和職業(yè)素質(zhì)，加強(qiáng)實(shí)驗(yàn)課程體系建設(shè)，有利于為開展后續(xù)實(shí)踐教學(xué)任務(wù)打下一個(gè)堅(jiān)實(shí)的基礎(chǔ)，有利于進(jìn)一步推動(dòng)大學(xué)生實(shí)踐教學(xué)的改革和發(fā)展。

課程組通過對網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)進(jìn)行改革，建設(shè)了一套完整的網(wǎng)絡(luò)安全實(shí)驗(yàn)課程體系，不僅提高了“網(wǎng)絡(luò)安全”課程的教學(xué)質(zhì)量，而且大大提高了學(xué)生的就業(yè)競爭能力，為學(xué)生今后從事網(wǎng)絡(luò)安全管理以及網(wǎng)絡(luò)安全產(chǎn)品研發(fā)打下了堅(jiān)實(shí)的基礎(chǔ)。本文以“網(wǎng)絡(luò)安全”課程教學(xué)改革為出發(fā)點(diǎn)，搭建了網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)軟環(huán)境，闡述了網(wǎng)絡(luò)安全教學(xué)內(nèi)容設(shè)置情況，改革了實(shí)驗(yàn)教學(xué)方法，最終構(gòu)建了適合我校特點(diǎn)的網(wǎng)絡(luò)安全實(shí)驗(yàn)課程體系。

一、網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)教學(xué)中存在的問題

“網(wǎng)絡(luò)安全”是與實(shí)踐結(jié)合非常緊密的應(yīng)用型課程，2010年課程組對學(xué)生進(jìn)行了抽樣調(diào)查，如圖1所示。根據(jù)抽樣調(diào)查統(tǒng)計(jì)發(fā)現(xiàn)82.4%的學(xué)生缺乏實(shí)踐能力，當(dāng)遇到實(shí)際網(wǎng)絡(luò)安全問題時(shí)想用理論知識(shí)解決但又不知如何使用。之所以導(dǎo)致這一狀況，主要原因是網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)過程中存在著實(shí)驗(yàn)軟硬件環(huán)境落后，實(shí)驗(yàn)教學(xué)內(nèi)容單一，實(shí)驗(yàn)教學(xué)方法守舊等問題，理論教學(xué)與實(shí)驗(yàn)教學(xué)嚴(yán)重脫節(jié)，能力培養(yǎng)未能具體落實(shí)，導(dǎo)致學(xué)生對一些網(wǎng)絡(luò)安全的知識(shí)沒有真正理解，同時(shí)也為開展后續(xù)的課程設(shè)計(jì)、工程實(shí)訓(xùn)以及畢業(yè)設(shè)計(jì)等實(shí)踐環(huán)節(jié)帶來一定的困難。

二、構(gòu)建網(wǎng)絡(luò)安全實(shí)驗(yàn)課程體系

1.實(shí)驗(yàn)教學(xué)環(huán)境建設(shè)

網(wǎng)絡(luò)安全實(shí)驗(yàn)具有綜合性、應(yīng)用性、攻防性、工程性等特點(diǎn)，對實(shí)驗(yàn)環(huán)境提出了更高的要求。為全面提高“網(wǎng)絡(luò)安全”課程教學(xué)質(zhì)量，提高學(xué)生的網(wǎng)絡(luò)安全實(shí)踐能力，學(xué)校建設(shè)專業(yè)的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境是十分必要的。網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境建設(shè)采用插件化無縫建設(shè)模式，建成后的實(shí)驗(yàn)教學(xué)環(huán)境拓?fù)浣Y(jié)構(gòu)如圖2所示，各高?？筛鶕?jù)實(shí)際教學(xué)情況進(jìn)行個(gè)性化結(jié)構(gòu)調(diào)整，為學(xué)生實(shí)驗(yàn)提供全方位的支持。網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境應(yīng)具備以下特點(diǎn)：

（1）實(shí)戰(zhàn)性。實(shí)驗(yàn)環(huán)境中選取Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器等Internet中廣泛應(yīng)用的信息系統(tǒng)，模擬出復(fù)雜的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)作為網(wǎng)絡(luò)攻防實(shí)戰(zhàn)對象。

（2）真實(shí)性。在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)對象中存在的各種漏洞均來源于真實(shí)的網(wǎng)絡(luò)應(yīng)用，各服務(wù)器系統(tǒng)應(yīng)用不同的安全級別，以交互式體現(xiàn)網(wǎng)絡(luò)攻擊和防御過程。

（3）合作性。每個(gè)實(shí)驗(yàn)小組由五名學(xué)生組成，小組內(nèi)部形成一個(gè)小型局域網(wǎng)，實(shí)驗(yàn)項(xiàng)目由小組協(xié)作完成，在培養(yǎng)學(xué)生獨(dú)立思維能力的同時(shí)，注重增強(qiáng)學(xué)生的團(tuán)隊(duì)合作意識(shí)。

2.實(shí)驗(yàn)教學(xué)內(nèi)容設(shè)置

實(shí)驗(yàn)教學(xué)內(nèi)容包含網(wǎng)絡(luò)安全基礎(chǔ)、網(wǎng)絡(luò)安全編程、隱藏IP技術(shù)、網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)后門與清除日志、病毒攻防、防火墻技術(shù)、入侵檢測、信息加密等十大專題，為每一專題中的重點(diǎn)理論教學(xué)內(nèi)容設(shè)計(jì)一個(gè)配套的具有綜合性、典型性、真實(shí)性、障礙性的實(shí)驗(yàn)項(xiàng)目，實(shí)驗(yàn)項(xiàng)目的設(shè)計(jì)采用由演示到應(yīng)用再到設(shè)計(jì)的“進(jìn)階式”方式。學(xué)生完成各種攻防式實(shí)驗(yàn)項(xiàng)目，不僅可以增強(qiáng)學(xué)生的學(xué)習(xí)興趣，促進(jìn)學(xué)生加深對理論知識(shí)的理解，還可以鍛煉學(xué)生的工程實(shí)踐能力。在實(shí)驗(yàn)教學(xué)項(xiàng)目的選取上應(yīng)注重以下幾點(diǎn)：

（1）綜合性。將課程中的基本原理和方法與基本實(shí)驗(yàn)內(nèi)容進(jìn)行有機(jī)融合，設(shè)置綜合的項(xiàng)目式實(shí)驗(yàn)教學(xué)內(nèi)容，每個(gè)實(shí)驗(yàn)項(xiàng)目相對獨(dú)立和完整，使學(xué)生能夠?qū)Ω鞣N網(wǎng)絡(luò)安全問題形成一種感性認(rèn)識(shí)，通過完成實(shí)驗(yàn)項(xiàng)目，提高解決實(shí)際網(wǎng)絡(luò)安全問題的能力。

（2）典型性。實(shí)驗(yàn)項(xiàng)目能突出某個(gè)網(wǎng)絡(luò)安全理論在實(shí)踐中的典型應(yīng)用，通過完成這些典型實(shí)驗(yàn)項(xiàng)目，當(dāng)學(xué)生在實(shí)際工作中遇到相似問題時(shí)，能夠借鑒這些典型實(shí)驗(yàn)項(xiàng)目的解決方法。

（3）真實(shí)性。每個(gè)實(shí)驗(yàn)項(xiàng)目都從某一個(gè)網(wǎng)絡(luò)安全事件入手，通過新聞視頻對本項(xiàng)目所依托的真實(shí)案例進(jìn)行闡述，從而引發(fā)學(xué)生濃厚的興趣，引出實(shí)驗(yàn)?zāi)繕?biāo)。

（4）障礙性。在網(wǎng)絡(luò)配置和服務(wù)器配置上使用多個(gè)網(wǎng)絡(luò)安全技術(shù)進(jìn)行保護(hù)，這樣，學(xué)生在進(jìn)行網(wǎng)絡(luò)安全攻擊實(shí)驗(yàn)時(shí)，將遇到一些實(shí)際的障礙，學(xué)生需要根據(jù)所學(xué)的網(wǎng)絡(luò)安全知識(shí)來進(jìn)行創(chuàng)造性的發(fā)揮，找出解決障礙的方法和途徑。設(shè)計(jì)障礙性的實(shí)驗(yàn)項(xiàng)目，可以大大提高實(shí)驗(yàn)教學(xué)的吸引力，充分鍛煉學(xué)生解決實(shí)際網(wǎng)絡(luò)安全問題的能力。所開設(shè)的實(shí)驗(yàn)內(nèi)容見表1。

實(shí)驗(yàn)項(xiàng)目從“攻擊準(zhǔn)備”開始，到“網(wǎng)絡(luò)攻擊”，再到“網(wǎng)絡(luò)防御”，其中包括黑客攻擊步驟以及網(wǎng)絡(luò)安全防御方法，完整再現(xiàn)了一個(gè)“網(wǎng)絡(luò)安全”課程的攻防體系，從而讓學(xué)生在完成實(shí)驗(yàn)的過程中真正體會(huì)到一個(gè)網(wǎng)絡(luò)安全工程師的工作過程。

3.實(shí)驗(yàn)教學(xué)方法實(shí)施

在實(shí)驗(yàn)教學(xué)方法實(shí)施過程中，采用開放性的方式進(jìn)行，不強(qiáng)求實(shí)驗(yàn)進(jìn)度、不要求實(shí)驗(yàn)結(jié)果，給學(xué)生一定的自由發(fā)揮的空間，重點(diǎn)考查學(xué)生的學(xué)習(xí)效果和實(shí)踐能力。

（1）實(shí)驗(yàn)指導(dǎo)改“細(xì)”為“粗”。在實(shí)驗(yàn)課堂中，將采用學(xué)生為主體、教師適當(dāng)引導(dǎo)和個(gè)別輔導(dǎo)的方式。教師僅提出實(shí)驗(yàn)項(xiàng)目需要解決的問題和達(dá)到的實(shí)驗(yàn)效果，不規(guī)定具體的實(shí)驗(yàn)步驟和方法，具體實(shí)驗(yàn)方案的設(shè)計(jì)、實(shí)驗(yàn)軟件的選擇、實(shí)驗(yàn)步驟的實(shí)施都由學(xué)生獨(dú)立思考來完成，培養(yǎng)學(xué)生開放性思維，鼓勵(lì)學(xué)生提出不同的解決方案，結(jié)合實(shí)驗(yàn)結(jié)果進(jìn)行探討。

（2）實(shí)驗(yàn)項(xiàng)目改“實(shí)”為“虛”。不對實(shí)驗(yàn)項(xiàng)目固定化、模式化，鼓勵(lì)學(xué)生根據(jù)理論教學(xué)內(nèi)容查閱資料、確定方案、選用軟件、分析效果來自行設(shè)計(jì)實(shí)驗(yàn)步驟，在設(shè)計(jì)實(shí)驗(yàn)步驟的過程中培養(yǎng)學(xué)生發(fā)現(xiàn)、分析、解決問題的能力。

（3）成績評定改“一”為“多”。在實(shí)驗(yàn)成績評定中，摒棄單一的由教師評定成績的方式，采用教師評定、學(xué)生互評以及學(xué)生自評相結(jié)合的方式，提高學(xué)生的積極性和主動(dòng)性。

通過對網(wǎng)絡(luò)安全實(shí)驗(yàn)課程體系的建設(shè)研究，建立以網(wǎng)絡(luò)安全攻防體系為核心，以實(shí)驗(yàn)環(huán)境建設(shè)為基礎(chǔ)，以實(shí)驗(yàn)項(xiàng)目為驅(qū)動(dòng)，以改革實(shí)驗(yàn)教學(xué)方法為依托的實(shí)驗(yàn)課程體系，力求讓學(xué)生體驗(yàn)實(shí)際網(wǎng)絡(luò)安全攻防場景，充分發(fā)揮學(xué)生的創(chuàng)新潛能，真正鍛煉出解決實(shí)際網(wǎng)絡(luò)安全問題的能力。

三、結(jié)語

經(jīng)過近3年的教學(xué)實(shí)踐，“網(wǎng)絡(luò)安全”課程的實(shí)驗(yàn)課程體系建設(shè)已取得初步成效。實(shí)踐證明，建立完善的實(shí)驗(yàn)課程體系，開展攻防式的網(wǎng)絡(luò)安全實(shí)驗(yàn)項(xiàng)目，不僅使理論課程與實(shí)驗(yàn)課程同步進(jìn)行，實(shí)驗(yàn)項(xiàng)目和課程內(nèi)容結(jié)合十分緊密，更重要的是拓寬了學(xué)生的知識(shí)面，激發(fā)了學(xué)生的學(xué)習(xí)熱情，培養(yǎng)了學(xué)生的網(wǎng)絡(luò)安全管理能力和工程素質(zhì)。

參考文獻(xiàn)：

篇6

關(guān)鍵詞：企業(yè)；計(jì)算機(jī)網(wǎng)絡(luò)；信息安全

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9599 (2011) 18-0000-01

Network Security Problems in the Construction of Enterprise Informatization

Li Xiaoning

(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)

Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.

Keywords:Enterprises;Computer network;Information security

一、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全存在的問題

（一）安全漏洞

在計(jì)算機(jī)技術(shù)中，任何一種程序都有可能存在漏洞，當(dāng)前各種操作系統(tǒng)以及相關(guān)軟件都存在一些漏洞，幾乎每一天都有漏洞被發(fā)現(xiàn)，此外，操作系統(tǒng)通常還存在一些隱藏的通道，而這些通道往往成為黑客的便利通道。與此同時(shí)，系統(tǒng)中還存在著一些通用服務(wù)，如果在安裝程序的時(shí)候沒有注意到這些，那么也會(huì)給黑客創(chuàng)造可乘之機(jī)。一些企業(yè)的競爭對手或者對企業(yè)心存不滿的員工或客戶都可能利用這些漏洞，對企業(yè)進(jìn)行攻擊，進(jìn)而使得整個(gè)企業(yè)網(wǎng)絡(luò)喪失相應(yīng)的使用能力或丟失企業(yè)資料和秘密等，給企業(yè)的網(wǎng)絡(luò)安全帶來了巨大的安全隱患。

（二）計(jì)算機(jī)病毒感染

通常情況下，計(jì)算機(jī)病毒是通過下載或者電子郵件的形式進(jìn)行傳播，還有的可以通過即時(shí)的網(wǎng)絡(luò)信息進(jìn)行傳播，可以說有計(jì)算機(jī)的地方，就會(huì)存在電腦病毒的問題。病毒通常具有傳播快、影響巨大的特點(diǎn)，給企業(yè)的網(wǎng)絡(luò)安全造成巨大的影響。這些年來，木馬病毒是計(jì)算機(jī)病毒中的主要傳播形式，根據(jù)有關(guān)的統(tǒng)計(jì)，木馬病毒占到所有計(jì)算機(jī)病毒的四分之一以上。木馬病毒是一種特殊的病毒形式，如果用戶錯(cuò)將其按照應(yīng)用軟件來實(shí)用的話，所使用的電腦就會(huì)被移植上木馬病毒，從而將電腦的控制權(quán)完全交到了黑客的手中，黑客能夠通過木馬盜取計(jì)算機(jī)上使用的一些銀行密碼、卡號、機(jī)密信息等，而且能夠?qū)τ?jì)算機(jī)實(shí)施實(shí)時(shí)的監(jiān)控、查看等，給企業(yè)的網(wǎng)絡(luò)安全帶來巨大的威脅。

（三）惡意攻擊和非法入侵

在當(dāng)前的企業(yè)網(wǎng)絡(luò)信息安全問題中，黑客利用惡意攻擊和非法入侵的手段阻止企業(yè)利用網(wǎng)絡(luò)或進(jìn)行網(wǎng)絡(luò)商業(yè)活動(dòng)的行為，已經(jīng)成為讓每一個(gè)企業(yè)頭疼不已的問題。通常情況下，黑客通過惡意攻擊和非法入侵的手段對企業(yè)造成的危害表現(xiàn)為：組織企業(yè)利用網(wǎng)絡(luò)資源；利用大量信息來阻塞企業(yè)通信網(wǎng)絡(luò)；植入木馬等程序?qū)ζ髽I(yè)的實(shí)時(shí)動(dòng)態(tài)進(jìn)行監(jiān)控；復(fù)制、刪除、盜取企業(yè)重要信息等。不管黑客的目的是什么，這樣的入侵行為都會(huì)給企業(yè)帶來巨大的影響，使得企業(yè)重要信息的泄露甚至是企業(yè)正常生產(chǎn)的停止。

（四）相關(guān)人員管理上的失誤

對企業(yè)來說，由于相關(guān)人員管理上的失誤也會(huì)給企業(yè)網(wǎng)絡(luò)信息安全帶來巨大的威脅。當(dāng)前，許多企業(yè)缺乏網(wǎng)絡(luò)信息安全的管理機(jī)制，而且相應(yīng)的系統(tǒng)安全維護(hù)習(xí)慣欠缺。有的企業(yè)在發(fā)現(xiàn)病毒和漏洞的時(shí)候，并沒有對其引起重視，只是采取簡單的殺毒和修補(bǔ)等措施，相關(guān)員工的安全意識(shí)匱乏，沒有對系統(tǒng)進(jìn)行全面的維護(hù)，從而給黑客的入侵創(chuàng)造了機(jī)會(huì)。此外，有的企業(yè)在內(nèi)部分工上存在不明了的情況，從而使得網(wǎng)絡(luò)使用權(quán)限與行政管理出現(xiàn)矛盾?？傊捎诠芾砩洗嬖诘膯栴}，給企業(yè)的網(wǎng)絡(luò)安全埋下了許多的隱患。

二、企業(yè)信息化建設(shè)中網(wǎng)絡(luò)安全問題的解決措施

（一）加強(qiáng)相關(guān)人員的素質(zhì)及意識(shí)

企業(yè)應(yīng)該對其網(wǎng)絡(luò)管理人員進(jìn)行專業(yè)的技術(shù)培訓(xùn)，強(qiáng)化相關(guān)人員的能力，尤其是網(wǎng)絡(luò)安全新技術(shù)方面的知識(shí)。另外，還應(yīng)該對非技術(shù)人員進(jìn)行培訓(xùn)，增加他們必要的網(wǎng)絡(luò)安全常識(shí)和基本的網(wǎng)絡(luò)防御知識(shí)。

（二）企業(yè)網(wǎng)絡(luò)安全可以采用的相關(guān)技術(shù)

防火墻技術(shù)：通常防火墻技術(shù)分為網(wǎng)絡(luò)防火墻和應(yīng)用級防火墻兩大類。前者的主要作用是防止整個(gè)企業(yè)網(wǎng)絡(luò)中出現(xiàn)非法入侵等行為，而后者主要是對計(jì)算機(jī)中的應(yīng)用程序進(jìn)行必要的應(yīng)用控制。大多數(shù)情況下采用應(yīng)用網(wǎng)關(guān)或者服務(wù)器對二者進(jìn)行區(qū)分。當(dāng)前防火墻所采用的技術(shù)主要包括以下幾種：屏蔽路由技術(shù)、基于技術(shù)、包過濾技術(shù)、動(dòng)態(tài)防火墻技術(shù)。

虛擬專用網(wǎng)：虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)私有的連接。因此，從本質(zhì)上說VPN是一個(gè)虛擬通道，它可用來連接兩個(gè)專用網(wǎng)，通過可靠的加密技術(shù)方法保證其他安全性，并且是作為一個(gè)公共網(wǎng)絡(luò)的一部分存在的。

加密技術(shù)：加密技術(shù)分為對稱加密和非對稱加密兩類，對稱加密技術(shù)有DES、3DES、IDEA，對稱加密技術(shù)是指加密系統(tǒng)的加密密鑰和解密密鑰相同，也就是說一把鑰匙開一把鎖。非對稱密鑰技術(shù)主要有RSA．非對稱密鑰技術(shù)也稱為公鑰算法，是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應(yīng)用于身份驗(yàn)證、數(shù)字簽名、數(shù)據(jù)傳輸。

入侵檢測技術(shù)：入侵檢測技術(shù)的核心包括兩個(gè)方面，一是如何充分并可靠地提取描述行為的特征數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判斷行為的性質(zhì)。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

總之，今后的企業(yè)信息化建設(shè)中，網(wǎng)絡(luò)安全就顯得尤為重要，如果企業(yè)不重視信息化的網(wǎng)絡(luò)安全工作。信息化不僅無法提高企業(yè)的工作效率，還會(huì)讓企業(yè)蒙受巨大的經(jīng)濟(jì)損失。

參考文獻(xiàn)：

[1]黃現(xiàn)代.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題研究[J].科技信息(學(xué)術(shù)版),2007,31

篇7

 

1 網(wǎng)絡(luò)信息安全的內(nèi)涵

 

網(wǎng)絡(luò)信息安全定義是：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會(huì)因?yàn)闊o意或惡意的原因遭到破壞、篡改、泄露，防止非授權(quán)的單位使用[1]。網(wǎng)絡(luò)系統(tǒng)能夠保持服務(wù)不受中斷，維持可靠運(yùn)行。

 

不同的用戶對網(wǎng)絡(luò)信息安全的定義有所不同。作為普通民眾，他們希望自己的隱私信息能夠得到有效保護(hù)，不被他人竊取利用。對網(wǎng)絡(luò)安全管理員來說，他們希望始終有權(quán)限管控自己的網(wǎng)絡(luò)，并不受外界惡意入侵和破壞。對于國家安全部門而言，阻擋一切可能造成威脅的信息，并防止任何信息外泄是他們的工作目標(biāo)。網(wǎng)絡(luò)信息安全，離不開技術(shù)和治理兩方面的努力。

 

2 目前網(wǎng)絡(luò)安全的主要技術(shù)

 

2.1 防火墻

 

防火墻是一個(gè)或一組網(wǎng)絡(luò)設(shè)備。防火墻的主要作用是加強(qiáng)兩個(gè)或兩個(gè)以上網(wǎng)絡(luò)中的訪問控制[2]。防火墻主要目的是保護(hù)網(wǎng)絡(luò)不受外界攻擊。通過對網(wǎng)絡(luò)設(shè)定防火墻，能對來自外部網(wǎng)絡(luò)的信息進(jìn)行有效篩查，將安全的信息放行，將存在威脅的信息過濾。達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

 

防火墻具有以下特點(diǎn)：(1)網(wǎng)絡(luò)之間的信息傳遞，都需要經(jīng)過防火墻篩查;(2)只有符合安全策略的信息數(shù)據(jù)才能通過防火墻;(3)防火墻兼具保護(hù)和預(yù)防外部網(wǎng)絡(luò)入侵的功能。雖然防火墻對保護(hù)網(wǎng)絡(luò)安全具有良好效果，但其最大的缺陷在于會(huì)造成網(wǎng)絡(luò)服務(wù)于網(wǎng)絡(luò)間的數(shù)據(jù)傳輸速度大幅下降。這也是為了達(dá)到保護(hù)網(wǎng)絡(luò)安全所必須付出的代價(jià)。

 

2.2 數(shù)據(jù)加密技術(shù)

 

當(dāng)今時(shí)代，信息是一把雙刃劍。它既能幫助團(tuán)體或個(gè)人，令他們從中受益，同時(shí)也能成為威脅和破壞的工具。因此這就要求出現(xiàn)某種安全技術(shù)對信息進(jìn)行有效保護(hù)，防止被惡意竊取或利用。

 

數(shù)據(jù)加密技術(shù)，是通過使用數(shù)字，對原有的信息進(jìn)行重新組織。經(jīng)過數(shù)字加密技術(shù)處理后的數(shù)據(jù)，除了合法使用者外，其他人難以將信息進(jìn)行恢復(fù)。數(shù)據(jù)加密主要是對傳輸中的數(shù)據(jù)流進(jìn)行加密。加密方法有線路加密與端對端加密兩種。線路加密側(cè)重于對傳輸線路加密，端對端加密是使用者在段的兩頭對信息進(jìn)行加密處理，再經(jīng)過TCP/IP數(shù)據(jù)包封裝后通過互聯(lián)網(wǎng)傳輸?shù)侥康牡?。到達(dá)目的地后收件人用相應(yīng)的密匙對數(shù)據(jù)包解密，將信息恢復(fù)。

 

2.3 入侵檢測系統(tǒng)

 

入侵檢測技術(shù)是對外部網(wǎng)絡(luò)入侵行為進(jìn)行檢測[3]。它通過不斷收集和分析網(wǎng)絡(luò)行為、安全日志并對數(shù)據(jù)進(jìn)行審計(jì)，及時(shí)獲取系統(tǒng)中關(guān)鍵點(diǎn)信息，檢查網(wǎng)絡(luò)或系統(tǒng)是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務(wù)主要包括：(1)對系統(tǒng)中用戶的各種活動(dòng)進(jìn)行監(jiān)視;(2)檢查網(wǎng)絡(luò)系統(tǒng)存在的弱點(diǎn);(3)將工作中的異常情況進(jìn)行記錄和報(bào)告;(4)對數(shù)據(jù)完整性進(jìn)行檢查;(5)遭受外來攻擊時(shí)報(bào)警。

 

3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全對策

 

3.1 強(qiáng)化網(wǎng)絡(luò)安全保障體系建設(shè)

 

強(qiáng)化網(wǎng)絡(luò)安全保障體系建設(shè)，離不開多方面的共同努力。當(dāng)前國家信息安全保障體系建設(shè)，應(yīng)當(dāng)圍繞以下幾方面：(1)深入研究和開發(fā)信息加密技術(shù);(2)健全網(wǎng)絡(luò)信息安全體系;(3)強(qiáng)化網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估;(4)建立健全信息安全監(jiān)控體系;(5)加大對信息安全應(yīng)急處理工作的重視度。

 

在面對網(wǎng)絡(luò)信息安全威脅時(shí)，作為普通用戶應(yīng)當(dāng)提高自身網(wǎng)絡(luò)安全意識(shí)。在學(xué)習(xí)必要的網(wǎng)絡(luò)安全知識(shí)外，對來自外部網(wǎng)絡(luò)的突然進(jìn)攻應(yīng)當(dāng)保持冷靜。作為企業(yè)用戶，網(wǎng)絡(luò)安全建設(shè)更加復(fù)雜，保護(hù)網(wǎng)絡(luò)信息安全的意義也更為深遠(yuǎn)。首先，企業(yè)應(yīng)當(dāng)設(shè)計(jì)符合自身需要的安全策略，對重點(diǎn)對象提供有效保護(hù)。第二加強(qiáng)對用戶訪問權(quán)的控制，對非法用戶的操作進(jìn)行嚴(yán)格限制，保護(hù)企業(yè)信息不受侵犯。

 

3.2 構(gòu)建信息安全體系的措施

 

目前我國信息安全保障水平偏低，構(gòu)建有效的網(wǎng)絡(luò)信息安全體系，需要社會(huì)各界的共同努力。沒有通力合作，難以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全事件，而且網(wǎng)絡(luò)信息安全技術(shù)涉及面廣，技術(shù)難度大，單一組織或個(gè)人的網(wǎng)絡(luò)安全技術(shù)難以滿足各方面需求。

 

(1)加強(qiáng)國家宏觀調(diào)控。吸收發(fā)達(dá)國家網(wǎng)絡(luò)信息安全管理經(jīng)驗(yàn)，建立具有國家權(quán)威的網(wǎng)絡(luò)信息安全部門，由該部門對我國網(wǎng)絡(luò)信息安全體系建設(shè)路線、方針進(jìn)行統(tǒng)籌規(guī)劃。

 

(2)完善相關(guān)法律法規(guī)。進(jìn)一步完善我國相關(guān)網(wǎng)絡(luò)安全法律法規(guī)，保障信息安全產(chǎn)業(yè)的權(quán)益，加大對危害信息安全行為的處罰力度。

 

(3)鼓勵(lì)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域投資。從國家的角度，鼓勵(lì)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域投資包括加大財(cái)政對信息安全產(chǎn)業(yè)的直接投入，和給予信息安全產(chǎn)業(yè)相關(guān)企業(yè)、團(tuán)體政策支持和補(bǔ)貼，擴(kuò)大其發(fā)展規(guī)模。

 

(4)加強(qiáng)信息安全技術(shù)創(chuàng)新。我國目前正掀起“大眾創(chuàng)業(yè)，萬眾創(chuàng)新”的社會(huì)浪潮。在此背景之下，鼓勵(lì)安全信息技術(shù)創(chuàng)新，并給予高額獎(jiǎng)勵(lì)，推動(dòng)我國信息安全技術(shù)的發(fā)展。

 

4 結(jié)語

 

綜上，目前網(wǎng)絡(luò)信息安全正越來越受到關(guān)注。雖然目前有許多網(wǎng)絡(luò)安全產(chǎn)品保護(hù)用戶信息，但由于網(wǎng)絡(luò)自身仍存在安全隱患，因而來自外部攻擊難以從根本上消除。建立健全網(wǎng)絡(luò)信息安全體系，對未來促進(jìn)我國互聯(lián)網(wǎng)發(fā)展將發(fā)揮巨大作用。

篇8

【關(guān)鍵詞】網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；建設(shè)與規(guī)劃；校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路，分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境，網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組，確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性；數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成；終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書館大樓。此外，還有一個(gè)獨(dú)立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模，校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見圖1。

2、安全威脅分析

目前，Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模，但是，在信息安全建設(shè)方面仍然面臨諸多的問題，如，網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡(luò)中的可疑情況，沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài)，風(fēng)險(xiǎn)管理全憑感覺等等，以上種種問題表明，Z校需要對網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃，以便在今后的網(wǎng)絡(luò)安全工作中，建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處，部署了一臺(tái)山石防火墻，在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多，外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財(cái)、篡改數(shù)據(jù)等為目的，對內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊，網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù)，但是，黑客們只要找到漏洞，就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊，最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生，還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多，學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的，入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來歷不明的郵件，照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩(wěn)定性，提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn)，Z校在安全改造實(shí)施中，應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率：Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián)，選擇了與電信和聯(lián)通兩家運(yùn)營商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源，提升網(wǎng)絡(luò)訪問速度，最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度，同時(shí)又要合理節(jié)約鏈路成本，均衡使用各互聯(lián)網(wǎng)出口鏈路，是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性：互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，均以NAT模式或者路由模式部署，承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理，任何一個(gè)設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行，無任何備份措施，只能替換或者跳過出故障的設(shè)備，且只能以手工方式完成切換，無論從響應(yīng)的及時(shí)性，還是從保障業(yè)務(wù)連續(xù)性的角度，都存在很大的延遲，為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設(shè)備數(shù)量較多，需要對所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作，傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下，所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備，統(tǒng)一對眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級備份和審計(jì)。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個(gè)長期的項(xiàng)目，不可能一蹴而就，一步到位，網(wǎng)絡(luò)安全過程建設(shè)中，在利用學(xué)校原有設(shè)備的基礎(chǔ)上，在資金、技術(shù)成熟的條件下，逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線，從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患，根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評估是數(shù)據(jù)，劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分，明確網(wǎng)絡(luò)邊界，形成清晰、簡潔的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問安全互聯(lián)，有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間，各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè)，把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2，從圖2可以看出，出口區(qū)域，互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺(tái)同型號的防火墻設(shè)備，實(shí)現(xiàn)雙機(jī)冗余部署。同理，原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái)，組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算，部署幾臺(tái)安全設(shè)備。首先，部署一臺(tái)堡壘機(jī)，建立集中、主動(dòng)的安全運(yùn)維管控模式，降低人為安全風(fēng)險(xiǎn)；其次，部署一臺(tái)入侵檢測設(shè)備（IDS），實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，防止在出現(xiàn)攻擊后無數(shù)據(jù)可查；再部署一臺(tái)漏洞掃描設(shè)備，對網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描，找出存在的安全漏洞，根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告，制定安全加固實(shí)施方案，以保證各系統(tǒng)功能的正常性和堅(jiān)固性；最后，部署一臺(tái)安全審計(jì)設(shè)備（SAS），實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，實(shí)現(xiàn)對網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域，除了原有的WEB防火墻外，再部署一臺(tái)入侵防護(hù)設(shè)備（IPS），攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的，病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域，不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個(gè)相對安全的網(wǎng)絡(luò)系統(tǒng)，需要建立一套全方位的，從檢測、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前，網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略，再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過程，建立一個(gè)科學(xué)的安全體系和模型，再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手，建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu)，包括崗位設(shè)置、人員錄用、離崗、考核等[5]；技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；管理體系側(cè)重于制度的梳理，包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ)，以管理體系為保障，以技術(shù)體系為支撐[6]，全局、均衡的考慮面臨的安全風(fēng)險(xiǎn)，采取不同強(qiáng)度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風(fēng)險(xiǎn)評估為起點(diǎn)，安全體系為核心，安全指導(dǎo)為原則，體系建設(shè)為抓手，組織和制定安全實(shí)施策略和防范措施，在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系，全方位、多層次滿足安全需求。

5、結(jié)語

從整個(gè)信息化安全體系來說，安全是技術(shù)與管理的一個(gè)有機(jī)整體，僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問題，是從設(shè)備到人，從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題，每一個(gè)環(huán)節(jié)，都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。

參考文獻(xiàn)：

［1］王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.成都：電子科技大學(xué)，2011.11:2-3

［3］徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究［D］.上海：上海交通大學(xué)，2009.5:1-4

［4］張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)［D］.西安:西安電子科技大學(xué)，2015.10:16-17

［5］陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計(jì)［D］長春：長春工業(yè)大學(xué)，2016.3:23-31

篇9

關(guān)鍵詞 園區(qū)網(wǎng)；安全體系；規(guī)劃；運(yùn)維

中圖分類號 TN9 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號 2095-6363（2015）09-0050-02

校園網(wǎng)絡(luò)變得更加開放的同時(shí)，網(wǎng)絡(luò)安全正經(jīng)受更加嚴(yán)格的挑戰(zhàn)，網(wǎng)絡(luò)管理者必須切實(shí)了解保護(hù)本地網(wǎng)絡(luò)安全的手段。本文嘗試對如何創(chuàng)建安全的校園網(wǎng)絡(luò)環(huán)境并保持其穩(wěn)定運(yùn)行提出一些規(guī)劃原則與管理方法。

1 常見網(wǎng)絡(luò)安全威脅類型

1）病毒、木馬、蠕蟲等自動(dòng)攻擊工具。具備自我復(fù)制和傳播能力的程序可破壞計(jì)算機(jī)系統(tǒng)，破壞某信息保密性和完整性，使得攻擊者從中獲得利益。早期一般通過系統(tǒng)漏洞或文件漏洞傳播，隨著操作系統(tǒng)安全代碼的日趨完善，目前主要靠欺騙性下載（如網(wǎng)站掛馬或植入惡意代碼）并被簡單觸發(fā)。

2）拒絕服務(wù)攻擊。拒絕服務(wù)是攻擊者常用攻擊手段之一。攻擊者通較強(qiáng)計(jì)算能力的服務(wù)器或大規(guī)模肉雞作為攻擊跳板，對目標(biāo)發(fā)起洪水一般的非法請求，使得服務(wù)方難以接受正常訪問請求或造成緩沖區(qū)溢出，服務(wù)被迫關(guān)閉甚至崩潰。

3）基于服務(wù)代碼和服務(wù)漏洞的攻擊。作為官方的網(wǎng)絡(luò)窗口，運(yùn)行于服務(wù)之上的網(wǎng)站代碼并不總是安全的。事實(shí)上，國內(nèi)多數(shù)網(wǎng)站都沒能做到足夠安全的代碼防護(hù)。運(yùn)行于非標(biāo)準(zhǔn)的web服務(wù)器的web網(wǎng)站，對熟練的站點(diǎn)攻擊者而言，僅需幾分鐘即可獲得基本webshell，并據(jù)此進(jìn)行權(quán)限提升。從互聯(lián)網(wǎng)上下載的免費(fèi)文章系統(tǒng)（如知名的動(dòng)網(wǎng)模板），由于受到關(guān)注，攻擊者更容易通過內(nèi)部技術(shù)組織聯(lián)絡(luò)獲取攻擊手段。

筆者所在學(xué)校站點(diǎn)早期使用ACCESS數(shù)據(jù)庫，攻擊者便經(jīng)常嘗試直接下載數(shù)據(jù)庫；升級為SQL SERVER數(shù)據(jù)庫后，我們發(fā)現(xiàn)了大量的SQL注入攻擊代碼，如晚間的一次攻擊嘗試代碼：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

從日志中很容易看出，攻擊者嘗試滲透數(shù)據(jù)庫獲取關(guān)鍵數(shù)值，并對注入代碼做了簡單偽裝。

4）社會(huì)工程學(xué)攻擊滲透。近年來攻擊者對攻擊目標(biāo)的檢測方法變得多樣化，攻擊者通過多種渠道了解目標(biāo)，利用社會(huì)工程學(xué)手段分析以獲得敏感信息，攻擊更具效率，大數(shù)據(jù)技術(shù)的快速發(fā)展則進(jìn)一步加劇了此類風(fēng)險(xiǎn)的威脅水平。如網(wǎng)絡(luò)管理者總是愿意使用有類似特征的密碼體系同時(shí)管理公用設(shè)備和個(gè)人信息，一旦個(gè)人信息被猜解，所在網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)便極大增加。

當(dāng)代網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)越來越多，攻擊不可避免，網(wǎng)絡(luò)攻擊的原理趨向復(fù)雜，而攻擊者更容易獲取更具威脅的自動(dòng)化攻擊工具，這意味著攻擊變得愈發(fā)容易。

2 學(xué)校園區(qū)網(wǎng)安全體系的規(guī)劃和建設(shè)

1）園區(qū)網(wǎng)安全體系的基本涵義。網(wǎng)絡(luò)安全體系由硬件安全、底層系統(tǒng)安全和服務(wù)/軟件安全三個(gè)方面構(gòu)成，任何方面存在漏洞，都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)面臨安全崩潰。我國當(dāng)前正在推動(dòng)關(guān)鍵設(shè)備國產(chǎn)化進(jìn)程，即從硬件層面考慮，保護(hù)網(wǎng)絡(luò)敏感信息不被國外生產(chǎn)廠非法商取。完整的網(wǎng)絡(luò)安全體系應(yīng)在硬件層面作出合理選擇，在底層系統(tǒng)層面進(jìn)行合理配置，減少系統(tǒng)漏洞暴露，在提供服務(wù)時(shí)建立多層次風(fēng)險(xiǎn)防控和數(shù)據(jù)過濾措施，保證網(wǎng)絡(luò)安全運(yùn)行。

2）園區(qū)網(wǎng)安全體系規(guī)劃原則。網(wǎng)絡(luò)安全與提供服務(wù)的性能存在矛盾，管理者應(yīng)以保障網(wǎng)絡(luò)服務(wù)正常提供為前提，評判網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，適度規(guī)劃并保留升級彈性，以經(jīng)濟(jì)合理的方式規(guī)劃安全防御系統(tǒng)。網(wǎng)絡(luò)安全體系需要覆蓋到整個(gè)網(wǎng)絡(luò)，對高風(fēng)險(xiǎn)區(qū)域應(yīng)設(shè)置網(wǎng)絡(luò)邊界，并指定數(shù)據(jù)流動(dòng)規(guī)則（ACL）。

3）網(wǎng)段規(guī)劃。根據(jù)功能區(qū)分，通常將整個(gè)網(wǎng)絡(luò)劃分幾個(gè)功能獨(dú)立的子網(wǎng)，至少包括網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)管理區(qū)域、?；饏^(qū)（DMZ）、學(xué)生機(jī)房、辦公區(qū)域以及普通聯(lián)網(wǎng)用戶區(qū)域等，各子網(wǎng)間保持物理或邏輯上的網(wǎng)段隔離，不同區(qū)域用戶一般禁止跨越子網(wǎng)互訪。這是保護(hù)網(wǎng)絡(luò)安全的最基本手段。

4）安全防護(hù)設(shè)備選擇。傳統(tǒng)網(wǎng)絡(luò)安全體系基于P2DR模型，即策略、防護(hù)、檢測和響應(yīng)，設(shè)備組成一般包括終端安全（配置殺毒軟件）；ACL（設(shè)備、端口規(guī)則和數(shù)據(jù)流向規(guī)則）；防火墻以及IDS/IPS（應(yīng)用于DMZ）；它可以實(shí)現(xiàn)對多數(shù)病毒和傳統(tǒng)攻擊的有效抵御，以包過濾為基本檢測手段，具備部分協(xié)議檢測能力；對網(wǎng)站注入、滲透等較新的攻擊方式防御能力有限。

選擇何種設(shè)備組建網(wǎng)絡(luò)安防體系，取決于本地網(wǎng)絡(luò)規(guī)模、提供的服務(wù)類型和網(wǎng)絡(luò)管理者的技能水平。園區(qū)網(wǎng)可以考慮在傳統(tǒng)安全體系基礎(chǔ)上，根據(jù)本地網(wǎng)絡(luò)運(yùn)行特性有針對性增加管控設(shè)備，為保障帶寬有效利用，針對內(nèi)部用戶可配置行為管理系統(tǒng)，對用戶網(wǎng)絡(luò)行為進(jìn)行管控，對占據(jù)帶寬資源和并發(fā)數(shù)資源的應(yīng)用予以限制；針對WEB服務(wù)，可以配置WEB防護(hù)系統(tǒng)，對數(shù)據(jù)庫注入、代碼攻擊、跨站腳本等作出有效防護(hù)；針對網(wǎng)絡(luò)內(nèi)部惡意行為，可以配置網(wǎng)絡(luò)日志分析記錄系統(tǒng)，在惡意行為發(fā)生時(shí)提供報(bào)警，在行為發(fā)生后提供記錄。

3 學(xué)校園區(qū)網(wǎng)安全體系運(yùn)維原則

1）安全網(wǎng)絡(luò)要求全部終端用戶參與。根據(jù)“木桶原理”，網(wǎng)絡(luò)中任一端點(diǎn)的安全風(fēng)險(xiǎn)會(huì)擴(kuò)大到整個(gè)網(wǎng)絡(luò)。園區(qū)網(wǎng)絡(luò)安全體系需要覆蓋到整個(gè)網(wǎng)絡(luò)的所有端點(diǎn)?？紤]到難以對所有用戶實(shí)行嚴(yán)格要求，管理者應(yīng)考慮網(wǎng)絡(luò)不同區(qū)域的安全等級，制定對應(yīng)安全策略，在不同區(qū)域間設(shè)立網(wǎng)絡(luò)邊界，保證任意區(qū)域故障不會(huì)蔓延至其他區(qū)域。

2）制度優(yōu)先。防患于未然，網(wǎng)絡(luò)安全事件總是發(fā)生在未曾受到關(guān)注的制度角落。管理者應(yīng)綜合考慮網(wǎng)絡(luò)整體狀態(tài)，制定安全事件責(zé)任制度，制定應(yīng)急預(yù)案，制定各類安全事件和風(fēng)險(xiǎn)事件的相應(yīng)制度，制定網(wǎng)絡(luò)使用制度等；完善的制度是保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行的必要條件。

3）數(shù)據(jù)備份。數(shù)據(jù)備份是網(wǎng)絡(luò)運(yùn)維的必需手段。精確計(jì)算當(dāng)前數(shù)據(jù)容量，預(yù)估數(shù)據(jù)增量，考慮數(shù)據(jù)備份措施，必要時(shí)配備數(shù)據(jù)備份設(shè)備。外部攻擊者在獲取網(wǎng)絡(luò)權(quán)限后，經(jīng)常造成有意或無意的數(shù)據(jù)損害，超過50%的情況下數(shù)據(jù)損失不可逆轉(zhuǎn)。設(shè)置數(shù)據(jù)備份機(jī)制，是保障網(wǎng)絡(luò)服務(wù)的最后手段。

4）完善事件記錄。園區(qū)網(wǎng)歷經(jīng)長期運(yùn)行后，管理者將能夠發(fā)現(xiàn)和總結(jié)本地網(wǎng)絡(luò)常見威脅列表，建立網(wǎng)絡(luò)運(yùn)維事件日志，能極大節(jié)省管理者故障定位和解決問題的時(shí)間與精力。這些記錄包括下述文件，網(wǎng)絡(luò)日常監(jiān)測記錄、病毒流行記錄、設(shè)備故障處置和維修記錄、攻擊處置記錄等。

4 結(jié)論

盡管網(wǎng)絡(luò)總是不安全的，管理者還是可以通過各種手段，以科學(xué)、合理的方式建設(shè)網(wǎng)絡(luò)安全體系，不斷學(xué)習(xí)提高技術(shù)水平，盡力保護(hù)本地網(wǎng)絡(luò)和服務(wù)不受非法攻擊侵害。作為多年工作經(jīng)驗(yàn)的總結(jié)，筆者希望通過本文拋磚引玉，提供網(wǎng)絡(luò)安全運(yùn)維的方法和原則，謹(jǐn)與同行共同交流。

參考文獻(xiàn)

篇10

近年來，隨著我國社會(huì)經(jīng)濟(jì)的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段，為教育模式的創(chuàng)新、先進(jìn)教育理念提供了可靠的實(shí)現(xiàn)方法。

高校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實(shí)施。建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全，實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。

1教育信息化中的安全體系建設(shè)

在教育信息化建設(shè)過程中，信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系，對各級學(xué)校、職業(yè)教育、教育主管機(jī)構(gòu)的正常工作起到了至關(guān)重要的保障作用。各級教育主管部門對教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視，也是由于教育信息系統(tǒng)的復(fù)雜性、多樣性、異構(gòu)性和應(yīng)用環(huán)境的開放性，給整個(gè)信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例，高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動(dòng)的，初始的建設(shè)大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨(dú)立的網(wǎng)絡(luò)，有些系統(tǒng)又是共用一個(gè)網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險(xiǎn)各不相同。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大復(fù)雜的系統(tǒng)，在支撐高校業(yè)務(wù)運(yùn)營、發(fā)展的同時(shí)，信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來越多、信息安全風(fēng)險(xiǎn)日益突出，成為高校面臨的重要的、急需解決的問題之一。在進(jìn)行數(shù)字化校園建設(shè)的過程中，也曾發(fā)生不少信息安全事件，如某高校數(shù)據(jù)中心一臺(tái)服務(wù)器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網(wǎng)發(fā)包，導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓；某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改，并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績的數(shù)據(jù)庫，有被惡意篡改的痕跡。

2網(wǎng)絡(luò)安全威脅分析

（1）高校網(wǎng)站的安全威脅，包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期，聚集了大量的學(xué)生及家長訪問流量，也引起黑客的關(guān)注，高校網(wǎng)站面臨的主要安全威脅有：網(wǎng)頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁代碼；部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。每年高考招生及高校重要節(jié)日期間，高校門戶網(wǎng)站極易被DDOS攻擊，這種由互聯(lián)網(wǎng)上發(fā)起的大量同時(shí)訪問會(huì)話，導(dǎo)致高校網(wǎng)站負(fù)載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，以該服務(wù)器為跳板，對內(nèi)網(wǎng)進(jìn)行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。（2）隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用，而這些系統(tǒng)由于管理及防護(hù)不到位，面臨著較嚴(yán)重的安全威脅：業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段，高校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足，沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全，一旦受到黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源；部分高?！耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián)，邊界缺乏必要的隔離和審計(jì)措施，出現(xiàn)問題不方便定位，難以追查取證；校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策。同時(shí)，對于存在安全隱患的配置檢查，也缺乏自動(dòng)化的高效檢查工具和控制手段；業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患。

3需求分析

根據(jù)對高校校園網(wǎng)絡(luò)的威脅分析，得出在校園網(wǎng)絡(luò)安全體系建設(shè)中，各個(gè)網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下：

（1）校園網(wǎng)絡(luò)出口應(yīng)對可能發(fā)生的拒絕服務(wù)攻擊進(jìn)行有效識(shí)別、過濾、清洗，保證網(wǎng)絡(luò)出口的暢通，保證骨干鏈路的負(fù)載處于正常范圍之內(nèi)。（2）網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施，對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進(jìn)行實(shí)時(shí)識(shí)別與阻斷。（3）DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上，應(yīng)對針對WEB應(yīng)用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進(jìn)行全面深入的防護(hù)。（4）應(yīng)對流經(jīng)核心交換區(qū)域的所有流量進(jìn)行深入的檢測，以識(shí)別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。（5）應(yīng)對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為，如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進(jìn)行全面的記錄和審計(jì)，以滿足違規(guī)事件發(fā)生后的追查取證。（6）應(yīng)在不同校區(qū)之間的鏈路接口進(jìn)行訪問控制、病毒檢測、入侵防護(hù)等安全控制措施。

應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行漏洞風(fēng)險(xiǎn)管理，實(shí)現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計(jì)的全程風(fēng)險(xiǎn)控制。（7）應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行配置合規(guī)管理，實(shí)現(xiàn)違規(guī)配置及時(shí)識(shí)別、配置整改全面深入、配置風(fēng)險(xiǎn)全程可控。（8）應(yīng)對運(yùn)維管理人員進(jìn)行詳細(xì)嚴(yán)格的權(quán)限劃分，并通過技術(shù)手段控制運(yùn)維行為權(quán)限，對運(yùn)維行為進(jìn)行全程審計(jì)，對違規(guī)運(yùn)維操作進(jìn)行實(shí)時(shí)告警。

4遵循等保要求

2009年11月，教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作，由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作；等級保護(hù)不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級，更重要的是，等級保護(hù)是圍繞信息安全保障全過程的一項(xiàng)基礎(chǔ)性的管理制度，是一項(xiàng)基礎(chǔ)性和制度性的工作。通過等級化方法和高校信息安全體系建設(shè)有效結(jié)合，設(shè)計(jì)一套符合高校需求的信息安全保障體系，是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個(gè)非常有效的方法。

5網(wǎng)絡(luò)安全建設(shè)方案

（1）在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)（ADS）對拒絕服務(wù)攻擊流量進(jìn)行清洗，并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)（NTA）對網(wǎng)絡(luò)流量組成和DDOS攻擊成分進(jìn)行分析和判斷。在正常環(huán)境下，旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換，邊界路由器通過NETFLOW等技術(shù)將流量信息發(fā)送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時(shí)，NTA將激活A(yù)DS，由ADS向邊界路由器發(fā)送針對特定防護(hù)目標(biāo)IP的路由，將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進(jìn)行惡意流量的識(shí)別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發(fā)送至目標(biāo)IP。（2）在出口鏈路部署入侵防護(hù)系統(tǒng)，對接入互聯(lián)網(wǎng)的訪問流量進(jìn)行深入過濾，有效抵御源自公網(wǎng)的入侵威脅，消除安全風(fēng)險(xiǎn)。（3）在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻，對服務(wù)器區(qū)的WEB服務(wù)器進(jìn)行全方面的防護(hù)，對針對WEB站點(diǎn)的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進(jìn)行深入防護(hù)。保障網(wǎng)站、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作。（4）在核心交換區(qū)旁路部署安全審計(jì)系統(tǒng)，通過將核心交換機(jī)上各端口的流量鏡像到安全審計(jì)系統(tǒng)的監(jiān)聽鏈路，實(shí)現(xiàn)對流經(jīng)核心交換機(jī)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全程的審計(jì)和過濾。通過制定詳細(xì)的安全審計(jì)策略，對違反審計(jì)策略的網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)告警。此外，安全審計(jì)系統(tǒng)由部署在網(wǎng)絡(luò)運(yùn)維區(qū)的安全中心進(jìn)行統(tǒng)一監(jiān)控與策略下發(fā)，并實(shí)時(shí)收集網(wǎng)絡(luò)時(shí)間日志和告警信息。（5）在核心交換區(qū)域的出口鏈路部署下一代防火墻，實(shí)現(xiàn)出口鏈路的流量檢測和安全過濾，保護(hù)內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個(gè)校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻，通過下一代防火墻對應(yīng)用層攻擊、病毒進(jìn)行全面阻斷，可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶、VLAN、VPN、安全區(qū)的訪問控制，保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護(hù)邊界完整。同時(shí)，通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進(jìn)行全面的管理。