導(dǎo)語(yǔ)：如何才能寫好一篇網(wǎng)絡(luò)安全運(yùn)營(yíng)方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

整體而言，云計(jì)算的特點(diǎn)主要體現(xiàn)在以下幾個(gè)方面：

1.1用戶計(jì)算的分布性

云計(jì)算技術(shù)是以無(wú)數(shù)臺(tái)工業(yè)標(biāo)準(zhǔn)服務(wù)器所組成的數(shù)據(jù)中心為載體的，從而實(shí)現(xiàn)了云計(jì)算技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用運(yùn)作。盡管現(xiàn)階段云計(jì)算的理論還相對(duì)稚嫩，但是云應(yīng)用已經(jīng)開始出現(xiàn)，并且在一定范圍內(nèi)可以預(yù)見，云計(jì)算技術(shù)在網(wǎng)絡(luò)應(yīng)用中的地位將越來(lái)越重要。基于云計(jì)算的應(yīng)用而言，云計(jì)算技術(shù)的名稱本身就將其特點(diǎn)形象的表達(dá)出來(lái)：云其實(shí)是比喻呈網(wǎng)狀分布的計(jì)算機(jī)結(jié)構(gòu)，也說(shuō)明了云計(jì)算技術(shù)的工作方式，即隱藏?cái)?shù)據(jù)的計(jì)算過程，服務(wù)器根據(jù)用戶的實(shí)際需要，由大云中找出對(duì)應(yīng)的小云。此處的云并非單純的指匯集計(jì)算機(jī)資源，由于其在匯集資源的同時(shí)還提供對(duì)這些資源進(jìn)行管理的機(jī)制，這也是云計(jì)算技術(shù)與傳統(tǒng)的計(jì)算方式最大的區(qū)別。此處的技術(shù)原理包括了資源的提供、變更請(qǐng)求、工作負(fù)載的重新平衡、重新映像以及資源監(jiān)測(cè)與資源解除提供等。

1.2服務(wù)的廣泛性

計(jì)算機(jī)技術(shù)帶動(dòng)了社會(huì)、經(jīng)濟(jì)發(fā)展的變革，現(xiàn)代社會(huì)中的IT技術(shù)越來(lái)越普及，各計(jì)算用戶所涉及到的數(shù)據(jù)也越來(lái)越龐大，相應(yīng)的管理成本也水漲船高，其包括資料的歸檔、查詢及備份等各項(xiàng)繁雜、冗余的工作。而云計(jì)算技術(shù)的作用就是將文檔管理、實(shí)時(shí)通訊及會(huì)議電話等各方面內(nèi)容包含在內(nèi)，或許由單一功能而言，云計(jì)算技術(shù)的創(chuàng)新性并不突出，但是由其在管理方面的集中及在應(yīng)用方面超越時(shí)間及空間的優(yōu)越性而言，可以說(shuō)是很多企業(yè)信息化管理均能夠借鑒的方案和理念。

1.3用戶端的設(shè)備成本投入少

因?yàn)樵朴?jì)算技術(shù)模式中，很多計(jì)算和存儲(chǔ)的工作都是通過網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)的，而用戶端可以極致的簡(jiǎn)化為一個(gè)瀏覽器，即云計(jì)算機(jī)，與傳統(tǒng)的PC機(jī)比較而言，其功耗低、成本低，用戶操作方便，易于維護(hù)，用戶甚至無(wú)需自己裝操作系統(tǒng)及殺毒軟件，也省去了防火墻的設(shè)置及持續(xù)性的升級(jí)維護(hù)。因此，從這個(gè)角度來(lái)看，云計(jì)算技術(shù)相對(duì)適用于普通的辦公用戶。

1.4關(guān)于云計(jì)算安全性的問題

盡管云計(jì)算技術(shù)擁有上述諸多優(yōu)點(diǎn)，但是在其應(yīng)用越來(lái)越廣泛的同是，自其所存在的安全隱患也會(huì)隨之不斷的暴露出來(lái)?？梢杂蓛蓚€(gè)方面考慮這個(gè)問題，其一是云計(jì)算技術(shù)本身的安全隱患，其二就是利用云計(jì)算技術(shù)在為客戶進(jìn)行具體應(yīng)用的服務(wù)時(shí)所存在的安全隱患，其涉及的范圍比較廣，例如訪問管理權(quán)限、數(shù)據(jù)的位置、數(shù)據(jù)的隔離與恢復(fù)、第三方審計(jì)和法律法規(guī)等等。因?yàn)橐袁F(xiàn)在的技術(shù)水平還無(wú)法完全解決這類問題，因此云計(jì)算技術(shù)的眾多優(yōu)勢(shì)還無(wú)法得到充分發(fā)揮。

2.云計(jì)算技術(shù)在信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中的應(yīng)用

2.1保證系統(tǒng)的高可靠性

可以將集群的思路及相關(guān)技術(shù)應(yīng)用于集中系統(tǒng)的各服務(wù)器群中，以保證系統(tǒng)服務(wù)的持續(xù)性，提高服務(wù)器群的可靠性。具體實(shí)現(xiàn)步驟如下：第一，先將一個(gè)集群網(wǎng)絡(luò)分為TCP/IP及非TCP/IP兩種網(wǎng)絡(luò)，其中客戶端與服務(wù)器之間相互通信、該問的公共網(wǎng)絡(luò)即為TCP/IP網(wǎng)絡(luò)，集群軟件私有網(wǎng)絡(luò)則為非TCP/IP網(wǎng)絡(luò)。集群技術(shù)通過私有網(wǎng)絡(luò)監(jiān)控其各節(jié)點(diǎn)，從而取代TCP/IP的通訊路徑。第二，在同一集群網(wǎng)絡(luò)中，各節(jié)點(diǎn)中的TCP/IP網(wǎng)絡(luò)以及非TCP/IP網(wǎng)絡(luò)會(huì)持續(xù)的發(fā)送、接收KEEP-ALIVE消息，如果某個(gè)節(jié)點(diǎn)所持續(xù)發(fā)送的數(shù)據(jù)包丟失，就可以認(rèn)定對(duì)方節(jié)點(diǎn)出現(xiàn)了問題。如果某個(gè)節(jié)點(diǎn)的主用網(wǎng)卡出現(xiàn)問題，其所對(duì)應(yīng)的集群就會(huì)切換網(wǎng)卡，把最初的service adapter的IP地址向新的standby adapte上轉(zhuǎn)移，再將standby直址向故障網(wǎng)卡轉(zhuǎn)移，并進(jìn)行網(wǎng)絡(luò)其它節(jié)點(diǎn)的ARP的刷新，從而實(shí)現(xiàn)網(wǎng)卡的可靠性保證。第三，如果網(wǎng)絡(luò)中的K-A全部丟失，則cluster就會(huì)做出該節(jié)點(diǎn)出現(xiàn)問題的判斷，并進(jìn)行資源接管，把共享磁盤中的資源轉(zhuǎn)交由備份節(jié)點(diǎn)進(jìn)行接管;并且發(fā)生IP地址接管和應(yīng)用接管。通過上述操作步驟，可以保證服務(wù)器系統(tǒng)中某臺(tái)設(shè)備出現(xiàn)問題后，或者整體出現(xiàn)問題后，仍然可以對(duì)外提供連續(xù)服務(wù)。

2.2提高系統(tǒng)的擴(kuò)展性

系統(tǒng)的應(yīng)用需求不斷提高，數(shù)據(jù)增長(zhǎng)的速度也越來(lái)越快，不管磁盤陣列如何配置，最終都要出現(xiàn)硬件本身擴(kuò)展性達(dá)極限狀態(tài)的問題。所以云計(jì)算技術(shù)中虛擬存儲(chǔ)的理念恰恰可以提高系統(tǒng)的動(dòng)態(tài)擴(kuò)容能力，其將各種品牌的存儲(chǔ)設(shè)備集中到一個(gè)資源池，從而改變存儲(chǔ)系統(tǒng)數(shù)據(jù)移動(dòng)無(wú)需再中斷業(yè)務(wù)，真正實(shí)現(xiàn)了對(duì)不同存儲(chǔ)系統(tǒng)的統(tǒng)一管理。而存儲(chǔ)設(shè)備的虛擬化技術(shù)可以基于不同的角度來(lái)考慮，比如主機(jī)級(jí)虛擬化或者存儲(chǔ)子系統(tǒng)級(jí)虛擬化，或者網(wǎng)絡(luò)級(jí)虛擬化等等。相對(duì)而言，現(xiàn)階段網(wǎng)絡(luò)級(jí)虛擬化與真正意義的存儲(chǔ)虛擬化更為接近，其把存儲(chǔ)于網(wǎng)絡(luò)的不同品牌的存儲(chǔ)子系統(tǒng)加以整合，使之成為一個(gè)或者多個(gè)存儲(chǔ)池，對(duì)其進(jìn)行集中管理。

2.3提高系統(tǒng)的性能

篇2

國(guó)內(nèi)外網(wǎng)絡(luò)安全產(chǎn)品和解決方案提供商，如思科、華為賽門鐵克、IBM、綠盟科技等，致力于為電信運(yùn)營(yíng)商提供電信網(wǎng)絡(luò)安全解決方案，它們的產(chǎn)品也越來(lái)越多地應(yīng)用到電信的運(yùn)營(yíng)支撐系統(tǒng)中，成為電信網(wǎng)絡(luò)安全的“好管家”。

思科：PIX防火墻

作為領(lǐng)先的網(wǎng)絡(luò)安全產(chǎn)品提供商，思科提供的產(chǎn)品包括防火墻、入侵檢測(cè)系統(tǒng)、安全管理系統(tǒng)等等。其中，思科PIX防火墻系列能夠提供空前的安全保護(hù)能力，它的保護(hù)機(jī)制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應(yīng)安全算法(ASA)。靜態(tài)安全性雖然比較簡(jiǎn)單，但與包過濾相比，功能卻更加強(qiáng)勁；另外，與應(yīng)用層防火墻相比，其性能更高，擴(kuò)展性更強(qiáng)。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議(TCP)序列號(hào)、端口號(hào)和每個(gè)數(shù)據(jù)包的附加TCP標(biāo)志。只有存在已確定連接關(guān)系的正確的連接時(shí)，訪問才被允許通過思科PIX防火墻。這樣做，內(nèi)部和外部的授權(quán)用戶就可以透明地訪問企業(yè)資源，而同時(shí)保護(hù)了內(nèi)部網(wǎng)絡(luò)不會(huì)受到非授權(quán)訪問的侵襲。

編輯點(diǎn)評(píng)：目前國(guó)內(nèi)政府、電信、金融等各類企業(yè)面臨著眾多復(fù)雜Web應(yīng)用安全問題，如黑客攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應(yīng)用安全漏洞利用、網(wǎng)頁(yè)篡改等。防火墻的出現(xiàn)讓這些安全問題在很大程度上得到緩解。不過，目前現(xiàn)有的解決方案如運(yùn)行在應(yīng)用層的基于的防火墻具有很多限制條件，包括性能低、需要昂貴的通用平臺(tái)、使用開放系統(tǒng)如UNIX時(shí)本身就具有安全風(fēng)險(xiǎn)等。而由思科生產(chǎn)的PIX防火墻系列突破這些限制條件，大大地提高了安全防護(hù)能力，為電信運(yùn)營(yíng)商的網(wǎng)絡(luò)安全提供強(qiáng)有力的支持。

華為賽門鐵克：SecowayUSG5000

USG5000防火墻是華為賽門鐵克面向大中型企業(yè)以及電信運(yùn)營(yíng)網(wǎng)推出的統(tǒng)一安全網(wǎng)關(guān)設(shè)備，該產(chǎn)品除了提供命令行方式外，還提供了圖形化用戶界面。USG5000為1U標(biāo)準(zhǔn)機(jī)箱，帶Console口，有4對(duì)固定的以太網(wǎng)光電互斥GE口，2個(gè)USB2.0接口，并為用戶提供了2個(gè)擴(kuò)展插槽，可安裝4FE或2GE光電互斥接口模塊。機(jī)箱還裝有兩個(gè)交流或直流電源模塊，可實(shí)現(xiàn)雙路供電及電源的冗余備份，支持熱插拔。USG5000采用集成的軟件和硬件平臺(tái)，采用了專有的、實(shí)時(shí)的操作系統(tǒng)，可靈活劃分安全區(qū)域，當(dāng)數(shù)據(jù)在分屬于兩個(gè)不同安全級(jí)別的接口之間流動(dòng)的時(shí)候，會(huì)激活USG5000的安全規(guī)則檢查功能。

編輯點(diǎn)評(píng)：華為作為領(lǐng)先的電信行業(yè)解決方案提供者，賽門鐵克作為存儲(chǔ)和安全產(chǎn)品生產(chǎn)商，兩者的結(jié)合致力于為電信運(yùn)營(yíng)商提供更可靠的網(wǎng)絡(luò)安全產(chǎn)品和解決方案。USG5000支持HRP協(xié)議，備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息，在主設(shè)備出現(xiàn)故障時(shí)由備用設(shè)備平滑接替工作，在最大程度上確保了運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)安全。而近日華為賽門鐵克推出的USG6000防火墻產(chǎn)品更是將安全級(jí)別提高了一個(gè)層次，關(guān)注NAT、DDoS攻擊，另外還是一款綠色產(chǎn)品。

IBM：IBMISS防入侵系統(tǒng)

IBMISS防入侵系統(tǒng)通過IBMISSX-Force調(diào)查和開發(fā)組收集的最新弱點(diǎn)和威脅信息提供支持。擁有全面的解決方案，可以滿足企業(yè)用戶的多種需求。而且IBM提供的防入侵解決方案可以通過軟件和產(chǎn)品以及托管服務(wù)的形式提供，幫助企業(yè)用戶識(shí)別對(duì)網(wǎng)絡(luò)、桌面、服務(wù)器以及消息接發(fā)系統(tǒng)的威脅。IBMISS的Proventia網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)(NIPS)產(chǎn)品，可以在互聯(lián)網(wǎng)攻擊影響到企業(yè)網(wǎng)絡(luò)之前提供前瞻性的安全防護(hù)。Proventia網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)可以透明接入并以線速攔截入侵嘗試，拒絕服務(wù)(DoS)攻擊，惡意代碼傳播、后門活動(dòng)和基于網(wǎng)絡(luò)的混合威脅，而并不會(huì)影響網(wǎng)絡(luò)性能，也不需要重新配置網(wǎng)絡(luò)。

編輯點(diǎn)評(píng)：IBMISS解決方案以IBMX-Force研發(fā)組為后盾，他們擁有豐富的安全知識(shí)，是全球?qū)嵙ψ顝?qiáng)大的企業(yè)網(wǎng)絡(luò)弱點(diǎn)和威脅研究機(jī)構(gòu)。通過來(lái)自IBMISS的防入侵產(chǎn)品對(duì)企業(yè)用戶的網(wǎng)絡(luò)、服務(wù)器和桌面架構(gòu)進(jìn)行保護(hù)，免受入侵影響，推出的系列產(chǎn)品旨在阻止惡意數(shù)據(jù)傳輸對(duì)企業(yè)用戶網(wǎng)絡(luò)造成的影響。防入侵解決方案性能更卓越，能夠?yàn)橛脩籼峁┣罢靶缘谋Ｗo(hù)，具有更高的可用性，部署和管理也很簡(jiǎn)單。

綠盟科技：冰之眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

冰之眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(ICEYENetworkIntrusionDetectionSystem)是對(duì)防火墻的有效補(bǔ)充，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量，監(jiān)控各種網(wǎng)絡(luò)行為，對(duì)違反安全策略的流量及時(shí)報(bào)警和防護(hù)，實(shí)現(xiàn)從事前警告、事中防護(hù)到事后取證的一體化解決方案。冰之眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有三大功能：入侵檢測(cè)：對(duì)黑客攻擊、蠕蟲病毒、木馬后門等行為進(jìn)行實(shí)時(shí)檢測(cè)及報(bào)警，并通過與防火墻聯(lián)動(dòng)、TCPKiller、發(fā)送郵件、控制臺(tái)顯示等方式進(jìn)行動(dòng)態(tài)防護(hù)；行為監(jiān)控：對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對(duì)P2P下載、IM即時(shí)通信等嚴(yán)重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄；流量分析：對(duì)網(wǎng)絡(luò)進(jìn)行流量分析，實(shí)時(shí)統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量。

編輯點(diǎn)評(píng)：伴隨著網(wǎng)絡(luò)的發(fā)展，也產(chǎn)生了各種各樣的安全問題，網(wǎng)絡(luò)中蠕蟲、病毒及垃圾郵件肆意泛濫，木馬無(wú)孔不入，DDoS攻擊越來(lái)越常見，黑客攻擊行為幾乎每時(shí)每刻都在發(fā)生。如何及時(shí)地、準(zhǔn)確地發(fā)現(xiàn)違反安全策略的事件，并及時(shí)處理，是廣大企業(yè)用戶迫切需要解決的問題。冰之眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是綠盟科技自主知識(shí)產(chǎn)權(quán)的安全產(chǎn)品，包括從百兆到千兆處理性能的ICEYE-200D/600D/1200D/1600D四種型號(hào)，可以滿足從中小企業(yè)到大型企業(yè)和電信運(yùn)營(yíng)商的各種組網(wǎng)需求，為他們的系統(tǒng)安全提供強(qiáng)大支持。

趨勢(shì)科技：NetworkVirusWallEnforcer2500

篇3

【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 深度防御 安全管理

信息技術(shù)快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用日益廣泛，企業(yè)的生產(chǎn)和管理越來(lái)越依賴于網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)本身所具有的一些比如聯(lián)結(jié)性、開放性等屬性，導(dǎo)致其難以徹底避免一些惡意行為的攻擊。一方面給企業(yè)帶來(lái)巨大的利益損失，另一方面也影響了企業(yè)正常生產(chǎn)辦公。因此，怎樣提升企業(yè)網(wǎng)絡(luò)的可靠性，逐步受到企業(yè)管理者的重視。

一、企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全現(xiàn)狀

隨著企業(yè)信息化管理的發(fā)展，企業(yè)的網(wǎng)絡(luò)規(guī)模也在持續(xù)增加，隨之增大的是企業(yè)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)。由于企業(yè)在網(wǎng)絡(luò)建設(shè)方面的投入，新的信息終端和交換設(shè)備不斷增加，因此其內(nèi)部網(wǎng)絡(luò)所受安全事件的威脅的幾率也在隨時(shí)增大，大型的企業(yè)往往具有不少的分支機(jī)構(gòu)，造成了網(wǎng)絡(luò)設(shè)備分布的地理位置比較分散，網(wǎng)內(nèi)計(jì)算機(jī)安全問題亟待解決，這是所有大型企業(yè)必須面對(duì)的問題。所以，企業(yè)必須構(gòu)建一套信息安全管理軟件，才能實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)內(nèi)部的各終端設(shè)備，使之受到盡可能小的安全威脅。此外，無(wú)論是核心網(wǎng)絡(luò)還是分支部門的網(wǎng)絡(luò)，都必須定期進(jìn)行統(tǒng)一的補(bǔ)丁分發(fā)與移動(dòng)存儲(chǔ)管理，以保障基本的信息安全。

二、企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn)的目標(biāo)

結(jié)合現(xiàn)階段企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀，企業(yè)網(wǎng)絡(luò)安全需實(shí)現(xiàn)的目標(biāo)至少包括：嚴(yán)密監(jiān)視來(lái)自業(yè)務(wù)支撐網(wǎng)外部的各種類型訪問，必須掌握每一次訪問的來(lái)源、所讀取的具體對(duì)象和訪問的具體類型，一方面支持合法訪問，另一方面杜絕非法訪問；對(duì)異常訪問能夠做到預(yù)防和處理；對(duì)流經(jīng)支撐網(wǎng)內(nèi)的所有數(shù)據(jù)包進(jìn)行有效監(jiān)控，實(shí)時(shí)分析這些數(shù)據(jù)包的協(xié)議類型、目的地等，從而防止信息安全隱患。有效監(jiān)控的內(nèi)容有：對(duì)網(wǎng)絡(luò)中的黑客入侵行為進(jìn)行檢測(cè)；對(duì)各種主機(jī)設(shè)備的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)分析，實(shí)現(xiàn)信息安全的動(dòng)態(tài)防護(hù)；結(jié)合具體的標(biāo)準(zhǔn)和方法對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全進(jìn)行周期性評(píng)估，及時(shí)補(bǔ)救網(wǎng)絡(luò)安全弱點(diǎn)，排查安全隱患。

三、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

（一）安全規(guī)則層的設(shè)計(jì)

在這一層次中，為了保證企業(yè)內(nèi)部運(yùn)營(yíng)中的網(wǎng)絡(luò)資源及客戶機(jī)的安全，首先結(jié)合企業(yè)實(shí)際情況，定義一系列規(guī)則，當(dāng)發(fā)生違反這些規(guī)則的網(wǎng)絡(luò)行為時(shí)，則觸發(fā)系統(tǒng)的風(fēng)險(xiǎn)應(yīng)急機(jī)制。在制定規(guī)則時(shí)，對(duì)每一類網(wǎng)絡(luò)行為對(duì)企業(yè)信息安全造成的風(fēng)險(xiǎn)歸納為不同的等級(jí)。制定這些等級(jí)的一句是該企業(yè)運(yùn)營(yíng)對(duì)這些信息在機(jī)密性、可用性、完整性及不可抵賴性的具體要求。在所指定的等級(jí)之下對(duì)企業(yè)信息安全造成威脅的行為進(jìn)行分類。

與此同時(shí)，對(duì)攻擊所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分，依次劃分為低級(jí)風(fēng)險(xiǎn)、中級(jí)風(fēng)險(xiǎn)與高級(jí)風(fēng)險(xiǎn)。所謂低風(fēng)險(xiǎn)，指的是網(wǎng)絡(luò)系統(tǒng)遭受入侵之后，并不會(huì)造成任何資金流失，也不會(huì)擾亂運(yùn)營(yíng)管理。所謂中級(jí)風(fēng)險(xiǎn)，指的是網(wǎng)絡(luò)系統(tǒng)遭受入侵之后，會(huì)造成輕度資金流失，在一定程度上擾亂運(yùn)營(yíng)管理。所謂高級(jí)風(fēng)險(xiǎn)，指的是網(wǎng)絡(luò)系統(tǒng)遭受入侵之后，會(huì)造成比較明顯的資金流失，極大程度地?cái)_亂運(yùn)營(yíng)管理。

（二）安全措施層的設(shè)計(jì)

在這一層次中，主要設(shè)定在網(wǎng)絡(luò)安全之下所具體選用的安全技術(shù)與采納的實(shí)施方法，結(jié)合企業(yè)信息系統(tǒng)的安全目標(biāo)，結(jié)合安全規(guī)則層所指定的安全事件和安全等級(jí)，給出有針對(duì)性的解決方案。安全措施層對(duì)于一種類型的安全行為可以給出多個(gè)安全方案，舉例來(lái)講，在發(fā)現(xiàn)有用戶進(jìn)行非法授權(quán)的訪問操作時(shí)，一個(gè)可能是由于遭受了網(wǎng)絡(luò)攻擊，另一個(gè)可能則是用戶的誤操作。此時(shí)可以采取的方案包括對(duì)用戶發(fā)出警告、阻止連接和強(qiáng)制關(guān)閉主機(jī)等。

（三）安全決策層的設(shè)計(jì)

在這一層次中，主要任務(wù)是結(jié)合具體的方案來(lái)解決信息系統(tǒng)安全問題。依舊延續(xù)安全措施層的實(shí)例，當(dāng)用戶的非法授權(quán)訪問時(shí)首次發(fā)生的，則方案（1）對(duì)用戶發(fā)出警告則可以解決；而假若該用戶反復(fù)進(jìn)行非法訪問，則方案（3）強(qiáng)制關(guān)閉主機(jī)效果最好。

四、企業(yè)網(wǎng)絡(luò)安全解決方案實(shí)例

本文選擇安全防御系統(tǒng)中相對(duì)重要的功能模塊--重定向模塊，并闡述其具體設(shè)計(jì)方法。企業(yè)網(wǎng)絡(luò)在遭受外界攻擊時(shí)，首先丟失的是被黑客掃描竊取的內(nèi)部主機(jī)的操作系統(tǒng)、服務(wù)、端口等信息。在獲取這些信息之后，便會(huì)通過緩沖溢出或者蠕蟲等方法找到主機(jī)本身所存在的安全漏洞，對(duì)主機(jī)系統(tǒng)進(jìn)行操縱。本文引入蜜罐技術(shù)，所設(shè)計(jì)的重定向模塊的主要功能便是在攻擊發(fā)生的初期，快速隔斷為企業(yè)網(wǎng)絡(luò)帶來(lái)安全威脅的連接。具體實(shí)現(xiàn)方法為，該模塊首先在網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范中間層進(jìn)行數(shù)據(jù)過濾，獲取從外部流進(jìn)企業(yè)內(nèi)網(wǎng)主機(jī)的數(shù)據(jù)包，針對(duì)具體類型的端口，以網(wǎng)絡(luò)主機(jī)事先所維護(hù)的可疑端口表，對(duì)這些數(shù)據(jù)包進(jìn)行過濾，一旦找到對(duì)可疑端口進(jìn)行訪問的數(shù)據(jù)包，則將其判定為一次可疑訪問，此時(shí)，修改該數(shù)據(jù)包的相關(guān)參數(shù)和屬性，同時(shí)，把此次訪問列為可疑訪問，并引導(dǎo)進(jìn)通信隊(duì)列之中，這些數(shù)據(jù)包直接越過系統(tǒng)的上層協(xié)議，轉(zhuǎn)發(fā)至蜜罐來(lái)繼續(xù)跟蹤和分析。以相同的方法將蜜網(wǎng)所反饋的數(shù)據(jù)處理后發(fā)送給可能的攻擊者。

為了使蜜罐系統(tǒng)能夠有更加逼真的模擬效果，本設(shè)計(jì)在蜜罐系統(tǒng)上完全仿照實(shí)際網(wǎng)絡(luò)系統(tǒng)的主機(jī)而部署相同的OS、協(xié)議棧、以及相關(guān)服務(wù)，從而在最大限度上使蜜罐與實(shí)際系統(tǒng)中的客戶機(jī)或服務(wù)器相類似。具體的操作為，啟動(dòng)蜜罐設(shè)置系統(tǒng)，進(jìn)入蜜罐的配置菜單。

在進(jìn)行配置的時(shí)候，使用蜜罐系統(tǒng)所提供的menu命令進(jìn)入界面，結(jié)合企業(yè)網(wǎng)絡(luò)的實(shí)際特征，本文所配置的內(nèi)容有：管理機(jī)IP、蜜罐IP、TCP連接以及Secure Shell管理連接等。然后在蜜罐系統(tǒng)對(duì)客戶機(jī)進(jìn)行模擬，并配置諸如辦公軟件等常用軟件，對(duì)服務(wù)器進(jìn)行模擬，開通各類網(wǎng)絡(luò)應(yīng)用服務(wù)，從而基于典型服務(wù)端口來(lái)對(duì)多個(gè)可以訪問進(jìn)行引誘。同時(shí)，出于進(jìn)一步迷惑網(wǎng)絡(luò)攻擊者的目的，還要設(shè)置成允許網(wǎng)絡(luò)攻擊者進(jìn)行更多的操作，而蜜罐系統(tǒng)中并未存儲(chǔ)企業(yè)真正的數(shù)據(jù)與信息。在對(duì)具體連接方式進(jìn)行設(shè)置的時(shí)候，通過custom使之能夠鏈接vmnet2，并通過蜜罐系統(tǒng)抵達(dá)外網(wǎng)。在安裝Sebek時(shí)，考慮到其Linux版本與Windows版本，分別進(jìn)行不同安裝文件的配置。

總之，企業(yè)在日常的信息化管理中，必須通過合理有效的安全措施，來(lái)避免由于網(wǎng)絡(luò)安全而帶來(lái)的不必要經(jīng)濟(jì)損失。

篇4

[關(guān)鍵詞]中國(guó)電信IMS 網(wǎng)絡(luò)運(yùn)維 綜合能力 提升對(duì)策

中圖分類號(hào)：TN919.8 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2015）13-0306-01

隨著網(wǎng)絡(luò)融合的深入推進(jìn)，中國(guó)電信未來(lái)將擁有龐大復(fù)雜的IMS融合網(wǎng)絡(luò)。當(dāng)前IMS網(wǎng)絡(luò)發(fā)展機(jī)遇與挑戰(zhàn)并存，鑒于IMS與傳統(tǒng)網(wǎng)絡(luò)的巨大差異性，中國(guó)電信運(yùn)營(yíng)商應(yīng)充分認(rèn)清當(dāng)前IMS網(wǎng)絡(luò)運(yùn)營(yíng)問題和挑戰(zhàn)，以便有的放矢地加以應(yīng)對(duì)，更好地促進(jìn)IMS網(wǎng)絡(luò)運(yùn)維能力、運(yùn)營(yíng)水平的整體提升。

一、中國(guó)電信IMS網(wǎng)絡(luò)運(yùn)營(yíng)面臨的問題

1.IMS技術(shù)層面問題

從IMS技術(shù)層面來(lái)看，IMS網(wǎng)絡(luò)徹底IP化內(nèi)核的技術(shù)特征，會(huì)增加網(wǎng)絡(luò)和業(yè)務(wù)的運(yùn)營(yíng)風(fēng)險(xiǎn)與維護(hù)難度，給網(wǎng)絡(luò)運(yùn)營(yíng)帶來(lái)更大挑戰(zhàn)。IMS技術(shù)對(duì)運(yùn)營(yíng)挑戰(zhàn)主要包括以下方面：第一，IMS網(wǎng)絡(luò)架構(gòu)較軟交換而言更復(fù)雜，運(yùn)營(yíng)難度增加。IMS網(wǎng)絡(luò)涉及多個(gè)專業(yè)設(shè)備，且設(shè)備種類更多、網(wǎng)元間接口更復(fù)雜，如增加了IMS-SIP Diameter等協(xié)議，為故障定位、服務(wù)質(zhì)量保障帶來(lái)挑戰(zhàn)。第二，IMS是基于全I(xiàn)P網(wǎng)內(nèi)核的網(wǎng)絡(luò)技術(shù)，帶來(lái)新挑戰(zhàn)。IMS網(wǎng)絡(luò)實(shí)現(xiàn)了端到端信令與媒體全面扁平化，即除了媒體流實(shí)現(xiàn)扁平化外， 網(wǎng)元間通過域名查找DNS做到端到端無(wú)連接狀態(tài)的信令路由尋址，這種動(dòng)念尋址鏈路較傳統(tǒng)靜態(tài)鏈而言， 更完美， 但也帶來(lái)互通、安全、維護(hù)等風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)方案提出更高的技術(shù)要求。第三，IMS網(wǎng)元容量大，接入客戶類更多，設(shè)備故障對(duì)業(yè)務(wù)影響更大，這就要求故障發(fā)現(xiàn)更快，切換更快，但技術(shù)、設(shè)備代價(jià)也更大，因此對(duì)網(wǎng)絡(luò)容災(zāi)安仝技術(shù)提出更高要求。第四，智能終端風(fēng)暴的挑戰(zhàn)。終端智能化、多元化、個(gè)性化趨勢(shì)加快，各類軟硬終端、智能手機(jī)層出不窮，由于IMS支持終端漫游，接入方式多樣化，如 EV-DO、Wi-Fi、ADSL及PON等，網(wǎng)絡(luò)接入互通兼容性問題比較突出，故障定位難度加大，若終端通過非信任域IP接入也給核心網(wǎng)絡(luò)引入一定風(fēng)險(xiǎn)，因此，對(duì)網(wǎng)絡(luò)安全、運(yùn)維能力提出新要求。第五，端到端的QoS服務(wù)能力不足。目前雖有規(guī)范，但技術(shù)還不夠成熟，端到端QoS保證體系不完善，寬帶業(yè)務(wù)和窄帶業(yè)務(wù)在資費(fèi)模式、業(yè)務(wù)模式，甚至商業(yè)模式上都有所不同，為新型寬帶業(yè)務(wù)的運(yùn)營(yíng)帶來(lái)挑戰(zhàn)。

2.IMS網(wǎng)絡(luò)層面問題

IMS網(wǎng)絡(luò)運(yùn)營(yíng)時(shí)，在IMS應(yīng)用模式、網(wǎng)絡(luò)業(yè)務(wù)實(shí)現(xiàn)方案、技術(shù)規(guī)范方面尚待研究和優(yōu)化； 在運(yùn)行質(zhì)量指標(biāo)、網(wǎng)絡(luò)互通、業(yè)務(wù)實(shí)現(xiàn)、可靠性、接入維護(hù)、 管理能力、支撐系統(tǒng)、維護(hù)隊(duì)伍建設(shè)方面帶來(lái)挑戰(zhàn)。日前影響IMS網(wǎng)絡(luò)運(yùn)行質(zhì)量的原因主要包括以下方面：一是IMS技術(shù)在網(wǎng)絡(luò)組織、應(yīng)用方案、運(yùn)維功能上還需要通過運(yùn)營(yíng)不斷驗(yàn)證、優(yōu)化完善；網(wǎng)絡(luò)運(yùn)行質(zhì)量指標(biāo)體系有待研究建立與試驗(yàn)，目前部分統(tǒng)計(jì)能力還不具備，尤其是端對(duì)端的業(yè)務(wù)質(zhì)量評(píng)估指標(biāo)，為網(wǎng)絡(luò)質(zhì)革優(yōu)化帶來(lái)挑戰(zhàn)；統(tǒng)一接入及新型智能終端帶來(lái)新的維護(hù)能力需求、方式的挑戰(zhàn)。二是網(wǎng)絡(luò)跨網(wǎng)絡(luò)、跨機(jī)型、跨域、跨平臺(tái)的互通能力與穩(wěn)定性有待提升，對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量帶來(lái)影響；跨網(wǎng)絡(luò)體制的融合業(yè)務(wù)實(shí)現(xiàn)方案有待研究?jī)?yōu)化，對(duì)業(yè)務(wù)開放帶來(lái)挑戰(zhàn)；設(shè)備網(wǎng)管系統(tǒng)能力有待規(guī)范統(tǒng)一，維護(hù)能力有待提升。三是配套支撐系統(tǒng)有待升級(jí)改造支持與IMS網(wǎng)絡(luò)銜接，可能會(huì)影響業(yè)務(wù)受理、開放；維護(hù)隊(duì)伍IMS維護(hù)技能與維護(hù)經(jīng)驗(yàn)不足的挑戰(zhàn)。

3.IMS安全運(yùn)營(yíng)層面問題

IMS安全運(yùn)營(yíng)是網(wǎng)絡(luò)運(yùn)營(yíng)的重要基礎(chǔ)。目前IMS組網(wǎng)方式、安全機(jī)制還不完善，例如，存在較多薄弱安全風(fēng)險(xiǎn)，S-CSCF間缺少容災(zāi)倒回能力，S-CSCF負(fù)荷均衡機(jī)制欠缺，網(wǎng)絡(luò)中斷SIP用戶恢復(fù)耗時(shí)長(zhǎng)，且依賴終端重注冊(cè)，IMS還不具備對(duì)業(yè)務(wù)平臺(tái)、DNS或關(guān)鍵網(wǎng)元的Bypass功能，用戶賬號(hào)密碼存系統(tǒng)沒加密，維護(hù)手段不足等。因此，需要提出IMS可靠性提升關(guān)鍵技術(shù)和運(yùn)維管理手段措施，形成相關(guān)規(guī)范和指導(dǎo)方案，這就對(duì)運(yùn)維監(jiān)控、防癱、應(yīng)急維護(hù)能力提出更高要求。

二、中國(guó)電信IMS網(wǎng)絡(luò)運(yùn)維綜合能力提升對(duì)策

1.IMS網(wǎng)絡(luò)集約化運(yùn)營(yíng)能力的提升策略

目前中國(guó)電信IMS網(wǎng)絡(luò)運(yùn)營(yíng)剛開始，急需盡早建立合理、規(guī)范的集約化運(yùn)營(yíng)體制，提升高效運(yùn)營(yíng)能力。具體包括：

（1）加強(qiáng)集約化運(yùn)維體制的建設(shè)。通過有序推進(jìn)IMS集約化運(yùn)營(yíng)試點(diǎn)工作，不斷完善相關(guān)維護(hù)制度、維護(hù)方式，明確維護(hù)職責(zé)和分界面，研究形成測(cè)試規(guī)范、運(yùn)行質(zhì)量指標(biāo)、日常維護(hù)計(jì)劃、數(shù)據(jù)配置規(guī)范、應(yīng)急預(yù)案等滿足常規(guī)運(yùn)營(yíng)需要。

（2）強(qiáng)化集約化維護(hù)管理。對(duì)廠商統(tǒng)一網(wǎng)管能力提升，針對(duì)設(shè)備種類多的問題，需要制定相應(yīng)網(wǎng)管規(guī)范，將配套數(shù)通設(shè)備、IT設(shè)備納入廠商網(wǎng)管統(tǒng)一管理，同時(shí)實(shí)現(xiàn)標(biāo)準(zhǔn)化北向接口與綜合網(wǎng)管系統(tǒng)的對(duì)接；系統(tǒng)性推進(jìn)配套支撐系統(tǒng)與IMS銜接的改造升級(jí)，包括綜合網(wǎng)管系統(tǒng)、信令監(jiān)測(cè)系統(tǒng)、10000申訴處理系統(tǒng)、計(jì)費(fèi)系統(tǒng)、業(yè)務(wù)受理支撐系統(tǒng)等。

（3） 實(shí)現(xiàn)IMS網(wǎng)絡(luò)與業(yè)務(wù)的統(tǒng)一。針對(duì)融合業(yè)務(wù)實(shí)現(xiàn)復(fù)雜的問題，要形成統(tǒng)一解決方案、配置方案；鑒于網(wǎng)絡(luò)互通的復(fù)雜性，研究制定規(guī)范和指導(dǎo)原則，加強(qiáng)網(wǎng)絡(luò)聯(lián)調(diào)、業(yè)務(wù)互通、貫穿測(cè)試，在上線前盡量消除主要問題隱患。

（4）增強(qiáng)網(wǎng)絡(luò)運(yùn)維技術(shù)手段。如針對(duì)終端的深度分析管理平臺(tái)、IP網(wǎng)業(yè)務(wù)流監(jiān)測(cè)系統(tǒng)、業(yè)務(wù)質(zhì)量自動(dòng)撥測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)問題，控制影響范同，及早消除故障。

（5）規(guī)范集約化故障處理流程。對(duì)跨專業(yè)、跨網(wǎng)絡(luò)、跨域、漫游時(shí)故障要及時(shí)發(fā)現(xiàn)、快速定位和應(yīng)急疏通要求更高，應(yīng)重視做好日常定時(shí)撥測(cè)、安全防護(hù)、例行維護(hù)、應(yīng)急預(yù)案等。

（6）加強(qiáng)維護(hù)專家隊(duì)伍建設(shè)，除了熟練掌握IMS等融合核心網(wǎng)絡(luò)維護(hù)技術(shù)和經(jīng)驗(yàn)技巧外，還應(yīng)提升在IP網(wǎng)絡(luò)、綜合接入、新流程和融合網(wǎng)絡(luò)業(yè)務(wù)等方面維護(hù)技能和經(jīng)驗(yàn)。

2.IMS網(wǎng)絡(luò)安全性與可靠性的提升策略

IMS網(wǎng)絡(luò)安全性及可靠性的提升，可從組網(wǎng)建設(shè)、網(wǎng)絡(luò)技術(shù)、維護(hù)管理等方面加以綜合考慮。

（1） IMS容災(zāi)組網(wǎng)技術(shù)方案。組網(wǎng)時(shí)應(yīng)根據(jù)IMS安全的薄弱環(huán)節(jié)，對(duì)核心網(wǎng)元的安全等級(jí)進(jìn)行劃分，對(duì)HSS、S/I/P-CSCF、DNS等重要性最高的A類網(wǎng)元選擇Pool或1+1互備等組網(wǎng)方式，支持容災(zāi)數(shù)據(jù)實(shí)時(shí)或準(zhǔn)實(shí)時(shí)同步；對(duì)MGCF、AGCF和大型BAC等B類網(wǎng)元采用雙歸屬或負(fù)荷分擔(dān)方式組網(wǎng)；域內(nèi)采用有心跳檢測(cè)的靜態(tài)鏈路，當(dāng)域內(nèi)網(wǎng)元出現(xiàn)故障時(shí)，可快速告警和路由切換；域間通過軟交換網(wǎng)、傳統(tǒng)長(zhǎng)途網(wǎng)做好動(dòng)態(tài)鏈路失效的迂回保護(hù)。

（2）IMS快速旁路Bypass應(yīng)急恢復(fù)技術(shù)。針對(duì)A類網(wǎng)元癱瘓，研究試驗(yàn)DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass機(jī)制和維護(hù)規(guī)范，使得網(wǎng)元癱瘓后業(yè)務(wù)不受影響或影響最小，另外還應(yīng)提升維護(hù)人員網(wǎng)絡(luò)防癱、應(yīng)急恢復(fù)能力和維護(hù)水平。

（3）IP安全防護(hù)與漏洞封堵。針對(duì)業(yè)務(wù)開放與IP化系統(tǒng)的安全漏洞問題，應(yīng)通過安全掃描等手段，發(fā)現(xiàn)和封堵系統(tǒng)漏洞，服務(wù)端口最小化；在網(wǎng)絡(luò)邊緣層配置防火墻功能阻隔非信任區(qū)域的風(fēng)險(xiǎn)。

（4）用戶信息安全加密技術(shù)。賬號(hào)密碼等用戶關(guān)鍵信息錄入、傳送、存儲(chǔ)、維護(hù)全流程采用加密算法進(jìn)行加密。

總之，IMS網(wǎng)絡(luò)作為未來(lái)統(tǒng)一核心網(wǎng)絡(luò)，其運(yùn)營(yíng)質(zhì)量問題將關(guān)系整個(gè)電信網(wǎng)絡(luò)、業(yè)務(wù)運(yùn)營(yíng)的質(zhì)量，應(yīng)引起足夠重視，并充分研究IMS網(wǎng)絡(luò)運(yùn)營(yíng)的關(guān)鍵問題，提出解決對(duì)策，實(shí)現(xiàn)IMS網(wǎng)絡(luò)規(guī)范、高效、安全的運(yùn)營(yíng)目標(biāo)。

參考文獻(xiàn)

篇5

關(guān)鍵詞：NGN；網(wǎng)絡(luò)；安全

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2011) 18-0000-01

Analysis of NGN Network Security Solutions

Xu Wentian

(China Tietong,Guangxi Branch,Nanning 530003,China)

Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.

Keywords:NGN;Network;Security

一、引言

正如Internet一樣，NGN網(wǎng)絡(luò)所依托的數(shù)據(jù)網(wǎng)的開放性和公用性，不可避免地會(huì)受到黑客或病毒程序的攻擊或干擾，因此NGN也面臨著安全問題，如用戶仿冒、盜打、破壞服務(wù)、搶占資源等。為此NGN網(wǎng)絡(luò)必須從接入層保證用戶的隔離、可管理等基本措施，防范常見的攻擊手段，如地址仿冒、搶占資源。

二、NGN網(wǎng)絡(luò)安全方案概述

NGN網(wǎng)絡(luò)是一個(gè)可運(yùn)營(yíng)、可管理的網(wǎng)絡(luò)，必然需要解決網(wǎng)絡(luò)安全問題才可以保證網(wǎng)絡(luò)的可靠運(yùn)營(yíng)。要解決網(wǎng)絡(luò)的安全問題，最好先考察一下目前存在網(wǎng)絡(luò)安全問題的根源，從消除這些完全問題的根源入手來(lái)達(dá)到徹底解決安全問題的目的。從目前的Internet網(wǎng)絡(luò)安全的分析，我們知道Internet是一個(gè)不安全的網(wǎng)絡(luò)，Internet的自由開放是造成Internet安全問題的重要因素。因此要保證所構(gòu)建的NGN是安全的，就必須改變這種自由、開放的管理模式加強(qiáng)對(duì)用戶接入的管理。通過對(duì)現(xiàn)有網(wǎng)絡(luò)安全的研究，我們也可以發(fā)現(xiàn)在網(wǎng)絡(luò)接入方面的自由開放是造成網(wǎng)絡(luò)安全隱患的重要根源，同樣是分組技術(shù)，Internet網(wǎng)絡(luò)就存在重大的安全隱患，而X.25等網(wǎng)絡(luò)就能夠提供比較高的安全性，因此有必要在NGN接入層對(duì)用戶接入和業(yè)務(wù)使用進(jìn)行嚴(yán)格的控制，用戶必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò)，用戶的業(yè)務(wù)使用也必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證，網(wǎng)絡(luò)可以根據(jù)用戶的業(yè)務(wù)權(quán)限控制用戶的接入帶寬。當(dāng)NGN網(wǎng)絡(luò)的接入用戶受控之后，在用戶側(cè)就可以基本消除安全的隱患，這時(shí)NGN網(wǎng)絡(luò)可能存在的安全隱患主要來(lái)自NGN網(wǎng)絡(luò)內(nèi)部，一方面在運(yùn)營(yíng)商內(nèi)部發(fā)生網(wǎng)絡(luò)安全問題的可能性比較小，另一方面這時(shí)可以通過實(shí)施通用網(wǎng)絡(luò)安全技術(shù)，如在網(wǎng)絡(luò)設(shè)備前置防火墻、攻擊檢測(cè)等防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)設(shè)備訪問權(quán)限進(jìn)行控制和做好操作安全日志等手段解決可能發(fā)生的安全隱患。

（一）對(duì)NGN用戶接入和業(yè)務(wù)接入的控制

因?yàn)镹GN網(wǎng)絡(luò)用戶是NGN網(wǎng)絡(luò)安全隱患的重要源頭，在NGN接入網(wǎng)絡(luò)側(cè)對(duì)NGN用戶接入和業(yè)務(wù)接入實(shí)施嚴(yán)格的控制是保證NGN網(wǎng)絡(luò)安全的重要一環(huán)。在NGN接入網(wǎng)主要采用用戶身份驗(yàn)證、業(yè)務(wù)鑒權(quán)和訪問控制等手段來(lái)實(shí)現(xiàn)對(duì)用戶接入和業(yè)務(wù)接入的控制。

對(duì)用戶接入和業(yè)務(wù)接入的控制主要涉及到NGN網(wǎng)絡(luò)系統(tǒng)中的三類網(wǎng)絡(luò)實(shí)體：寬帶接入服務(wù)器和寬帶接入路由器作為用戶訪問NGN的PoP點(diǎn)，負(fù)責(zé)對(duì)用戶進(jìn)行接入認(rèn)證、訪問控制、接入帶寬控制和業(yè)務(wù)報(bào)文的過濾，是NGN實(shí)施對(duì)用戶接入控制的關(guān)口點(diǎn)；軟交換和應(yīng)用服務(wù)器和網(wǎng)關(guān)等是NGN網(wǎng)絡(luò)業(yè)務(wù)提供設(shè)備，他們負(fù)責(zé)向用戶進(jìn)行業(yè)務(wù)權(quán)限鑒權(quán)和提供各種業(yè)務(wù)；策略服務(wù)器負(fù)責(zé)用戶的安全、QoS與業(yè)務(wù)方面的策略控制，它還是業(yè)務(wù)層面與承載層面的橋梁，把來(lái)自業(yè)務(wù)層面的控制策略下發(fā)到承載層接入PoP點(diǎn)，如寬帶接入服務(wù)器來(lái)實(shí)施策略控制。

1.用戶身份驗(yàn)證。對(duì)用戶身份進(jìn)行認(rèn)證的目的，一方面是避免非法用戶訪問NGN網(wǎng)絡(luò)，另一方面是確認(rèn)用戶的身份，對(duì)用戶的訪問進(jìn)行日志記錄，即使出現(xiàn)網(wǎng)絡(luò)安全問題也可以進(jìn)行事后的審計(jì)和追蹤，使網(wǎng)絡(luò)破壞者無(wú)處可逃。

2.業(yè)務(wù)鑒權(quán)。用戶接入NGN網(wǎng)絡(luò)之后在使用業(yè)務(wù)之前必須經(jīng)過業(yè)務(wù)認(rèn)證，這樣可以保證NGN上提供的業(yè)務(wù)不會(huì)被非法使用，運(yùn)營(yíng)商也可以根據(jù)用戶使用的具體業(yè)務(wù)分別進(jìn)行計(jì)費(fèi)和為用戶設(shè)定不同的訪問權(quán)限和帶寬需求。

3.訪問控制。寬帶接入服務(wù)器和寬帶路由器是NGN接入的POP點(diǎn)，這個(gè)點(diǎn)是實(shí)施QoS與安全策略控制的關(guān)口，在這個(gè)關(guān)口上完成對(duì)用戶的帶寬限定、ACL訪問權(quán)限設(shè)置、業(yè)務(wù)流量的報(bào)文過濾等功能。訪問控制的實(shí)現(xiàn)采用動(dòng)態(tài)QoS與安全策略控制技術(shù)，動(dòng)態(tài)地根據(jù)用戶當(dāng)前的業(yè)務(wù)權(quán)限進(jìn)行相應(yīng)的QoS與安全控制，避免了用戶對(duì)NGN網(wǎng)絡(luò)的非法訪問。

（二）構(gòu)建與其它網(wǎng)絡(luò)隔離的虛擬NGN業(yè)務(wù)網(wǎng)

1.城域網(wǎng)。對(duì)于建立IP城域網(wǎng)的運(yùn)營(yíng)商，可以通過FTTB+LAN、ADSL、專線（DDN）、HFC來(lái)接入用戶的多種業(yè)務(wù)（語(yǔ)音、視頻、數(shù)據(jù)），可以采用物理或邏輯接口（VLAN/PVC/DLCI）來(lái)隔離NGN業(yè)務(wù)和原有的數(shù)據(jù)業(yè)務(wù)，由城域網(wǎng)骨干/匯聚層將接入層不同的業(yè)務(wù)通過PE映射到骨干層中的MPLS VPN中或者通過策略路由器將不同的業(yè)務(wù)分流到對(duì)應(yīng)業(yè)務(wù)網(wǎng)的路由器。

2.NGN用戶接入網(wǎng)。NGN用戶可以通過多種不同的接入方式接入到NGN網(wǎng)絡(luò)，如通過AMG利用雙絞線接入NGN，智能終端和IAD可以通過以太網(wǎng)、ADSL、HFC、專線等方式接入NGN。在NGN用戶接入網(wǎng)絡(luò)側(cè)可以根據(jù)實(shí)際的網(wǎng)絡(luò)接入方式和網(wǎng)絡(luò)的實(shí)際情況采用某種接入網(wǎng)隔離技術(shù)把NGN業(yè)務(wù)與其它業(yè)務(wù)在接入網(wǎng)側(cè)進(jìn)行隔離。

（三）NGN網(wǎng)絡(luò)內(nèi)部的安全措施

通過對(duì)NGN虛擬業(yè)務(wù)網(wǎng)的隔離以及接入層對(duì)用戶接入和業(yè)務(wù)使用的控制，可以基本消除來(lái)自其它網(wǎng)絡(luò)和NGN用戶方面的安全隱患，這時(shí)的安全隱患主要在NGN網(wǎng)絡(luò)內(nèi)部，雖然NGN網(wǎng)絡(luò)內(nèi)部屬于運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)相對(duì)來(lái)說(shuō)發(fā)生安全問題的可能性比較小，但還是有必要采取安全手段來(lái)保證NGN內(nèi)部網(wǎng)絡(luò)的安全。

軟交換、網(wǎng)關(guān)、服務(wù)器等NGN核心網(wǎng)絡(luò)設(shè)備在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備，因此要求軟交換、網(wǎng)關(guān)、服務(wù)器等核心網(wǎng)絡(luò)設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全規(guī)格，可以應(yīng)用防火墻、入侵檢測(cè)、流量控制、安全日志與審計(jì)等技術(shù)實(shí)現(xiàn)對(duì)NGN核心網(wǎng)絡(luò)設(shè)備的安全防護(hù)。對(duì)于一些對(duì)安全級(jí)別要求較高的用戶還可以采用加密技術(shù)對(duì)信令和數(shù)據(jù)進(jìn)行加密保護(hù)。

篇6

[關(guān)鍵詞]課程思政；信息安全；教學(xué)方法

現(xiàn)階段專業(yè)課程融入思想政治教育存在的問題

1.思政教育與專業(yè)教育之間存在“兩張皮”的現(xiàn)象在國(guó)家教育改革的引領(lǐng)下，專業(yè)課教師積極促進(jìn)課程思政入課堂，但由于有的教師刻意地加入相關(guān)內(nèi)容，為了思政而思政，造成了思政教育與專業(yè)教育“兩張皮”的現(xiàn)象，內(nèi)容的過度生硬，一定程度上影響了學(xué)生對(duì)思政內(nèi)容的接受。因此，高校應(yīng)研究如何將思政教育與專業(yè)教育之間由“兩層皮”向“一盤棋”轉(zhuǎn)化，以真正達(dá)到育人效果。2.思政教育與專業(yè)教育的融合比較隨機(jī)當(dāng)前，各科教師在融入思政元素的過程中存在較強(qiáng)的隨機(jī)性，多是依靠專業(yè)課程教師自我發(fā)掘與發(fā)揮，這就有可能導(dǎo)致思政內(nèi)容重復(fù)，甚至?xí)饘W(xué)生的反感。對(duì)此，高校應(yīng)從整體專業(yè)規(guī)劃出發(fā)，針對(duì)每門課的特點(diǎn)確定課程思政的育人目標(biāo)，以及思政元素的融入方式，使其形成課程體系的一部分。

專業(yè)課程與課程思政協(xié)同改革

1.緊扣畢業(yè)要求，明確教學(xué)目標(biāo)與育人目標(biāo)在傳統(tǒng)的人才培養(yǎng)方案中，重點(diǎn)在于知識(shí)目標(biāo)和能力目標(biāo)的定位，為了提升學(xué)生的綜合素養(yǎng)，高校應(yīng)結(jié)合畢業(yè)要求，以課程教學(xué)大綱為抓手，明確并落實(shí)課程育人目標(biāo)。以信息安全這門課為例，可通過理論教學(xué)與實(shí)驗(yàn)環(huán)節(jié)，使學(xué)生具備密碼學(xué)、計(jì)算機(jī)系統(tǒng)安全、網(wǎng)絡(luò)攻擊技術(shù)與防御基礎(chǔ)、病毒分析與防范、防火墻技術(shù)與VPN、安全掃描與入侵檢測(cè)等計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的基本理論知識(shí)、技能及綜合應(yīng)用，同時(shí)，培養(yǎng)學(xué)生獨(dú)立思考、勇于創(chuàng)新的能力。在確定育人目標(biāo)時(shí)，應(yīng)讓學(xué)生通過熟悉信息安全領(lǐng)域的國(guó)家方針、政策、法律、法規(guī)，追求科學(xué)真理，牢固樹立熱愛祖國(guó)、“信息安全技術(shù)的發(fā)展與應(yīng)用不能損害國(guó)家和合法個(gè)人的利益”的理念，明確合法行為與非法行為的界限，理解誠(chéng)實(shí)、公正、誠(chéng)信的職業(yè)操守和職業(yè)規(guī)范，并在實(shí)際生活、學(xué)習(xí)與工作中自覺遵守。另外，還要面向國(guó)際科學(xué)應(yīng)用前沿、國(guó)家重大需求及經(jīng)濟(jì)主戰(zhàn)場(chǎng)，將前沿科技滲透到課程實(shí)踐中，教育學(xué)生努力學(xué)習(xí)，破解“卡脖子”難題。2.堅(jiān)持問題導(dǎo)向，改革教學(xué)方法信息安全主要采用理論教學(xué)、課堂討論和上機(jī)實(shí)驗(yàn)相結(jié)合的教學(xué)方式，注重啟發(fā)式教學(xué)，以問題為導(dǎo)向，引導(dǎo)學(xué)生獨(dú)立設(shè)計(jì)信息安全框架，逐步培養(yǎng)他們分析問題、解決問題、勇于創(chuàng)新的能力。在課堂教學(xué)中，教師要加強(qiáng)與學(xué)生的互動(dòng)交流，指引學(xué)生開展團(tuán)隊(duì)協(xié)作和課堂討論，并及時(shí)分析、評(píng)價(jià)學(xué)生的討論結(jié)果。另外，要從課程內(nèi)容、實(shí)驗(yàn)環(huán)節(jié)、互動(dòng)交流、分組討論中進(jìn)行專業(yè)課程的思政教學(xué)體系設(shè)計(jì)，促使學(xué)生產(chǎn)生學(xué)習(xí)內(nèi)動(dòng)力。

具體案例研究

將課程的教學(xué)目標(biāo)及育人目標(biāo)，深入滲透到教學(xué)大綱的具體內(nèi)容中，使專業(yè)課程內(nèi)容與思政元素有效融合。以信息安全課程為例，本課程的教學(xué)目標(biāo)是掌握計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面的基本知識(shí)，了解設(shè)計(jì)和維護(hù)網(wǎng)絡(luò)信息安全的基本手段和常用方法，能夠利用理論知識(shí)解決生活中的實(shí)際問題。思政育人目標(biāo)是培養(yǎng)出能夠肩負(fù)歷史使命，勇?lián)鷱?qiáng)國(guó)重任，堅(jiān)持面向世界科技前沿、面向國(guó)家重大需求、面向經(jīng)濟(jì)主戰(zhàn)場(chǎng)，不斷向科學(xué)技術(shù)廣度和深度進(jìn)軍的高端信息安全人才。

思政育人案例

1教學(xué)內(nèi)容：第一章，信息安全概述教學(xué)目的與要求：了解信息安全面臨的主要威脅、信息安全的基本概念、信息安全的發(fā)展方向，掌握信息安全的主要技術(shù)及解決方案。思政元素切入點(diǎn)：針對(duì)美國(guó)政府在拿不出任何真憑實(shí)據(jù)的情況下，泛化國(guó)家安全概念，濫用國(guó)家力量，以列入實(shí)體清單、技術(shù)封鎖、投資設(shè)障等手段，加大對(duì)中國(guó)企業(yè)的打壓力度，讓中國(guó)在芯片領(lǐng)域面臨較為被動(dòng)的局面。針對(duì)這一案例，要明確信息安全的真實(shí)含義，牢固樹立“信息安全技術(shù)的發(fā)展與應(yīng)用不能損害國(guó)家和合法個(gè)人的利益”的理念，強(qiáng)調(diào)中國(guó)人的命運(yùn)一定要掌握在自己手里，絕對(duì)不容許被任何勢(shì)力“卡脖子”。育人目標(biāo)：面向國(guó)家重大需求，培養(yǎng)新一代科技人才，使其能潛心關(guān)鍵領(lǐng)域的基礎(chǔ)研究與關(guān)鍵技術(shù)的開發(fā)；引導(dǎo)青年學(xué)生發(fā)揮“兩彈一星”的艱苦創(chuàng)業(yè)精神，為國(guó)家培養(yǎng)徹底解決“卡脖子”問題的技術(shù)人才；學(xué)生要樹立正確的家國(guó)意識(shí)與主人翁意識(shí)，將個(gè)人的聰明才智和未來(lái)發(fā)展與國(guó)家需求相結(jié)合。實(shí)施過程：（1）教師授課。講授信息安全面臨的主要威脅、信息安全的基本概念、信息安全的解決方案、信息安全的主要技術(shù)、信息安全的發(fā)展方向等，從中穿插思政元素。（2）師生研討。學(xué)生針對(duì)信息安全的案例分組展開研討，每組委派一名學(xué)生進(jìn)行總結(jié)發(fā)言；教師和學(xué)生進(jìn)行點(diǎn)評(píng)，在整個(gè)研討過程中形成良好的思政氛圍。（3）課后拓展。教師可適當(dāng)給學(xué)生提供與國(guó)家戰(zhàn)略相關(guān)的新聞報(bào)道和重大成果視頻，增強(qiáng)思政權(quán)威性，引發(fā)學(xué)生思考。思政育人案例2教學(xué)內(nèi)容：第二章，密碼技術(shù)基礎(chǔ)與公鑰基礎(chǔ)設(shè)施教學(xué)目的與要求：掌握密碼學(xué)基本概念、了解傳統(tǒng)密碼技術(shù)，掌握公鑰密碼技術(shù)、公鑰基礎(chǔ)設(shè)施。思政元素切入點(diǎn)：對(duì)傳統(tǒng)密碼技術(shù)及公鑰密碼技術(shù)進(jìn)行闡述，引入量子技術(shù)的快速發(fā)展對(duì)已有密碼學(xué)方案的沖擊。在量子計(jì)算模型下，經(jīng)典數(shù)論密碼體系受到了極大的沖擊，如何在量子時(shí)代保障數(shù)據(jù)安全成為一個(gè)亟待解決的問題。Regev提出基于格的密碼體系可以抵抗這種量子算法的攻擊。格密碼作為備受關(guān)注的抗量子密碼體制，吸引了研究人員的目光。格自身有完整的理論體系，相較于其他密碼體制有獨(dú)特的優(yōu)勢(shì)：困難問題存在從一般情況到最壞情況的規(guī)約，具有較高的算法效率和并行性等。通過知識(shí)拓展，引導(dǎo)學(xué)生從基于格困難問題的密碼體制設(shè)計(jì)進(jìn)行思考、探索，培養(yǎng)學(xué)生的工匠精神、鉆研精神。育人目標(biāo)：讓學(xué)生通過了解傳統(tǒng)密碼技術(shù)及公鑰密碼技術(shù)，知曉量子技術(shù)的發(fā)展對(duì)已有技術(shù)的沖擊，引導(dǎo)其發(fā)揮工匠精神及鉆研精神，勇于探索行業(yè)難題。實(shí)施過程：（1）教師授課。講授密碼學(xué)數(shù)學(xué)基礎(chǔ)、密碼學(xué)基本概念、對(duì)稱密碼技術(shù)、公鑰基礎(chǔ)設(shè)施等知識(shí)，從中穿插思政元素。（2）師生研討。針對(duì)“我們是否可以在標(biāo)準(zhǔn)模型下構(gòu)造一個(gè)抗量子攻擊的基于位置的服務(wù)方案？這樣的方案是否可以做到避免密鑰濫用？”這兩個(gè)問題進(jìn)行探討，引導(dǎo)學(xué)生思考，培養(yǎng)學(xué)生的工匠精神，提升其思考問題、分析問題的能力。（3）課后拓展。課后對(duì)量子算法技術(shù)進(jìn)行更深一步的研究，了解兩字算法技術(shù)的發(fā)展對(duì)現(xiàn)有技術(shù)的推動(dòng)，并引入相關(guān)思政素材，增強(qiáng)思政權(quán)威性，引發(fā)學(xué)生思考及探索。思政育人案例3教學(xué)內(nèi)容：第四章，網(wǎng)絡(luò)攻擊技術(shù)與防御基礎(chǔ)教學(xué)目的與要求：了解黑客的概念及黑客的攻擊模式，掌握網(wǎng)絡(luò)攻擊的技術(shù)與原理、網(wǎng)絡(luò)攻擊工具、攻擊防范。思政元素切入點(diǎn)：2014年3月22日，國(guó)內(nèi)漏洞研究平臺(tái)曝光稱，攜程系統(tǒng)開啟了用戶支付服務(wù)接口的調(diào)試功能，使所有向銀行驗(yàn)證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接保存在本地服務(wù)器，包括信用卡用戶的身份證、卡號(hào)、CVV碼等信息均可能被黑客任意竊取，導(dǎo)致大量用戶銀行卡信息泄露，該漏洞引發(fā)了關(guān)于“電商網(wǎng)站存儲(chǔ)用戶信息，并存在泄露風(fēng)險(xiǎn)”等問題的熱議。針對(duì)攜程漏洞事件，教師引導(dǎo)學(xué)生熟知《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）要求網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)安全運(yùn)營(yíng)負(fù)有責(zé)任，對(duì)產(chǎn)品的漏洞及時(shí)補(bǔ)救，怠于履行法律義務(wù)，導(dǎo)致個(gè)人信息泄露的，將面臨最高五十萬(wàn)元的罰款，如果是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者將面臨最高一百萬(wàn)元的罰款。2014年12月25日，第三方漏洞研究平臺(tái)發(fā)現(xiàn)大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)流傳，內(nèi)容包含用戶賬戶、明文密碼、身份證號(hào)碼、手機(jī)號(hào)碼等，這次事件是黑客通過收集其他網(wǎng)站泄露的用戶名和密碼，通過撞庫(kù)的方式利用12306網(wǎng)站安全機(jī)制的缺失來(lái)獲取13萬(wàn)多條用戶數(shù)據(jù)。針對(duì)12306用戶數(shù)據(jù)泄露事件，引導(dǎo)學(xué)生熟知關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營(yíng)者不僅有一般網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)該履行的網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)，還有更高層次的網(wǎng)絡(luò)安全保護(hù)義務(wù)，如對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案并定期進(jìn)行演練等。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者若沒有每年進(jìn)行一次安全檢測(cè)評(píng)估，拒不改正或?qū)е戮W(wǎng)絡(luò)安全嚴(yán)重后果的，將面臨最高一百萬(wàn)元的罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)至十萬(wàn)元以下的罰款。育人目標(biāo)：通過“教、學(xué)、做”一體化的教學(xué)模式，一方面向?qū)W生介紹網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)；另一方面結(jié)合具體案例自然融入《網(wǎng)絡(luò)安全法》的知識(shí)，引導(dǎo)學(xué)生正確運(yùn)用網(wǎng)絡(luò)安全和防御技術(shù)，嚴(yán)格規(guī)范自己的網(wǎng)絡(luò)行為，維護(hù)好個(gè)人、企業(yè)、組織、國(guó)家的信息安全，積極構(gòu)建網(wǎng)絡(luò)安全。實(shí)施過程：（1）教師授課。講授關(guān)于黑客、網(wǎng)絡(luò)攻擊技術(shù)與原理、網(wǎng)絡(luò)攻擊工具、網(wǎng)絡(luò)攻擊防范等知識(shí)，從中穿插思政元素。（2）師生研討。學(xué)生針對(duì)《網(wǎng)絡(luò)安全法》的案例分組展開研討，研討之后，每組委派一名學(xué)生進(jìn)行總結(jié)發(fā)言；教師和學(xué)生點(diǎn)評(píng)，拓展學(xué)生的知識(shí)面，在整個(gè)研討過程中讓學(xué)生構(gòu)建網(wǎng)絡(luò)安全意識(shí)。（3）課后拓展。課后可適當(dāng)給學(xué)生提供《網(wǎng)絡(luò)安全法》的相關(guān)報(bào)道視頻，增強(qiáng)學(xué)生的安全意識(shí)，使其規(guī)范自己的網(wǎng)絡(luò)行為。

總結(jié)

篇7

思科近期推出全新思科物聯(lián)網(wǎng)系統(tǒng)能夠全面應(yīng)對(duì)數(shù)字化的復(fù)雜性。其基礎(chǔ)設(shè)施可有效管理由多種終端和平臺(tái)構(gòu)成的大規(guī)模系統(tǒng)，并能夠輕松處理由這些終端和平臺(tái)生成的海量數(shù)據(jù)。

全新思科物聯(lián)網(wǎng)系統(tǒng)包含六項(xiàng)關(guān)鍵技術(shù)要素或“支柱”。通過將這些支柱整合到一個(gè)架構(gòu)之上，該系統(tǒng)能夠幫助顯著降低數(shù)字化的復(fù)雜性。

這六大支柱可以慨括為6點(diǎn)：

1. 網(wǎng)絡(luò)聯(lián)接。此支柱包括各種參數(shù)的定制路由、交換和無(wú)線產(chǎn)品。

2.. 霧計(jì)算?！办F”是一種面向物聯(lián)網(wǎng)（IoT）的分布式計(jì)算基礎(chǔ)設(shè)施，可將計(jì)算能力和數(shù)據(jù)分析應(yīng)用擴(kuò)展至網(wǎng)絡(luò)“邊緣”。它使客戶能夠在本地分析和管理數(shù)據(jù)，從而通過聯(lián)接獲得即時(shí)的見解。思科預(yù)測(cè)，到2018年物聯(lián)網(wǎng)創(chuàng)建的數(shù)據(jù)中有40%將在霧中進(jìn)行處理。超過25款思科網(wǎng)絡(luò)產(chǎn)品將支持思科的霧計(jì)算或邊緣數(shù)據(jù)處理平臺(tái)（IOx）能力。

3. 安全性。物聯(lián)網(wǎng)系統(tǒng)的安全支柱將網(wǎng)絡(luò)與物理安全統(tǒng)一起來(lái)，能夠提供出色運(yùn)營(yíng)優(yōu)勢(shì)，并增強(qiáng)對(duì)物理和數(shù)字資產(chǎn)的保護(hù)。這一支柱下的產(chǎn)品包括具備TrustSec安全功能的思科IP控制管理產(chǎn)品組合和網(wǎng)絡(luò)產(chǎn)品，以及云安全產(chǎn)品，能夠支持用戶管理、檢測(cè)和響應(yīng)IT和運(yùn)營(yíng)技術(shù)（OT）的組合攻擊。

4. 數(shù)據(jù)分析。思科物聯(lián)網(wǎng)系統(tǒng)提供了優(yōu)化的基礎(chǔ)設(shè)施，支持實(shí)施分析，并為Cisco Connected Analytics產(chǎn)品組合和第三方分析軟件提供可執(zhí)行的數(shù)據(jù)。

5. 管理和自動(dòng)化。該物聯(lián)網(wǎng)系統(tǒng)提供了增強(qiáng)的安全性和控制力，并支持多種孤立的功能，為管理日益增多的終端和應(yīng)用提供了一款易于使用的系統(tǒng)，能夠全面滿足現(xiàn)場(chǎng)操作人員的需求。

6. 應(yīng)用支持平臺(tái)。全新思科物聯(lián)網(wǎng)系統(tǒng)提供了一組面向行業(yè)和城市、生態(tài)系統(tǒng)合作伙伴和第三方廠商的API（應(yīng)用編程接口），支持他們?cè)谖锫?lián)網(wǎng)系統(tǒng)功能的基礎(chǔ)之上，設(shè)計(jì)、開發(fā)和部署自己的應(yīng)用。

此外，思科還宣布推出隸屬于這六大支柱的15款全新物聯(lián)網(wǎng)產(chǎn)品。

思科物聯(lián)網(wǎng)系統(tǒng)可支持垂直行業(yè)部署和加速物聯(lián)網(wǎng)解決方案的發(fā)展，并利用有針對(duì)性的解決方案實(shí)現(xiàn)業(yè)務(wù)優(yōu)勢(shì)。這些行業(yè)包括制造、石油和天然氣、公共事業(yè)、運(yùn)輸、公共安全和智慧城市等。主要行業(yè)領(lǐng)導(dǎo)廠商已將其軟件應(yīng)用遷移到了思科霧計(jì)算系統(tǒng)上運(yùn)行，包括GE（Predix）、Itron（Riva）、OSISoft（PI）、smartFOA（在日本市場(chǎng)）、Bit Stew、Davra、SK Solutions、東芝等。

思科新的合作伙伴Covacsis公司將利用思科IOx來(lái)向制造行業(yè)提供預(yù)測(cè)分析解決方案。此外，思科還為物聯(lián)網(wǎng)提供了全面的咨詢和專業(yè)服務(wù)。通過將思科領(lǐng)先的網(wǎng)絡(luò)專業(yè)知識(shí)與技術(shù)合作伙伴的專業(yè)知識(shí)相結(jié)合，將能夠幫助企業(yè)加速轉(zhuǎn)型，確保IT和運(yùn)營(yíng)技術(shù)協(xié)調(diào)發(fā)展。

與此同時(shí)，思科斥資6.35億美元收購(gòu)網(wǎng)絡(luò)安全公司OpenDNS。OpenDNS旗下的“Umbrella”云計(jì)算產(chǎn)品可以幫助企業(yè)客戶免遭惡意軟件、釣魚軟件、僵尸工具以及其它有針對(duì)性網(wǎng)絡(luò)黑客行為的攻擊。

篇8

關(guān)鍵詞:SYGATE公司安全策略保證系統(tǒng);入侵防護(hù)系統(tǒng)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)18-4901-02

The Security Solution for the Front Retailer Computer

QI Gang

(School of Computer Science, Wuhang University, Wuhan 430020, China)

Abstract: In nowaday, the front retailer computer of telecom operatior is lack the essential management method.They also has serious insufficiency on the security aspect and the usability aspect.The enterprise’s security policy is unable to use a suitable method to implement the whole system.So the front retailer staff’s behavior can not be restricted. This article provides a solution which using the SYGATE ESS system to solve the problem we talked about before.The SYGATE ESS system can implement enterprise security standards,regulate the operating behavior of front line staff and protect network security.

Key words: SYGATE ESS; IPS

1 終端維護(hù)面臨的問題

目前,省一級(jí)電信運(yùn)營(yíng)商運(yùn)營(yíng)支撐網(wǎng)絡(luò)基本上都采取如下接入方式:省分公司將訪問資源集中,各個(gè)市州分公司通過傳輸資源與省分公司連接,然后各個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)再通過接入網(wǎng)與市州分公司的匯聚層設(shè)備連接用于前臺(tái)營(yíng)業(yè)終端的接入。由于終端分散在省內(nèi)各地市縣的營(yíng)業(yè)廳及辦公大樓內(nèi),在日常維護(hù)會(huì)常見如下問題:

1) 沒有經(jīng)過安全檢查的電腦可以直接登陸網(wǎng)絡(luò);

2) 操作系統(tǒng)的補(bǔ)丁無(wú)法保證每一臺(tái)終端都正常裝上;

3) 防病毒軟件的安裝率始終都無(wú)法達(dá)到100%,致使病毒容易在局域網(wǎng)內(nèi)傳播;

4) 對(duì)于染毒終端發(fā)起的ARP攻擊缺乏有效的工具進(jìn)行控制,定位困難;

5) U盤及光驅(qū)的使用導(dǎo)致終端染毒的機(jī)率大大增高;

6) 很多營(yíng)業(yè)廳(特別是合作營(yíng)業(yè)廳及代辦點(diǎn))使用終端瀏覽INTERNET網(wǎng)頁(yè),玩電腦游戲,對(duì)營(yíng)業(yè)員的行為無(wú)法進(jìn)行規(guī)范;

7) 市州的營(yíng)業(yè)前臺(tái)終端由于分布零散,很難進(jìn)行全面的管理及控制;

采用SYMANTEC公司的SYGATEESS系統(tǒng)可以完備的解決上述存在的維護(hù)問題,下面就以H省某電信運(yùn)營(yíng)商的實(shí)施案例作簡(jiǎn)要介紹,與各位讀者分享。

2項(xiàng)目實(shí)施目標(biāo)

H省電信運(yùn)營(yíng)商本次項(xiàng)目實(shí)施的目標(biāo)是保證運(yùn)營(yíng)支撐網(wǎng)絡(luò)的安全,確保網(wǎng)內(nèi)終端的可靠性及可用性,減輕市州網(wǎng)絡(luò)管理員的維護(hù)壓力。具體可分解為以下目標(biāo):

1) 對(duì)網(wǎng)絡(luò)實(shí)行強(qiáng)制準(zhǔn)入控制,保證只有合法的用戶才能訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)。

2) 終端在進(jìn)入內(nèi)部網(wǎng)絡(luò)之前自身的安全性符合企業(yè)的安全策略,落實(shí)并強(qiáng)制實(shí)施企業(yè)網(wǎng)絡(luò)的安全策略。為合法終端構(gòu)建無(wú)縫的防護(hù)體系。強(qiáng)制終端安裝網(wǎng)絡(luò)安全程序(如防病毒軟件、個(gè)人版防火墻、入侵檢測(cè)工具),安裝操作系統(tǒng)補(bǔ)丁等,并強(qiáng)制進(jìn)行更新。

3) 對(duì)營(yíng)業(yè)前臺(tái)終端訪問的網(wǎng)絡(luò)資源進(jìn)行控制。只允許前臺(tái)終端訪問省分允許訪問的網(wǎng)絡(luò)資源,禁止訪問其它非法的網(wǎng)絡(luò)資源,禁止連接INTERNET。

4) 對(duì)終端上運(yùn)行的程序進(jìn)行控制。只允許前臺(tái)終端運(yùn)行與工作相關(guān)的軟件,禁止非法程序(游戲軟件等)的運(yùn)行。

5) 禁止優(yōu)盤及光驅(qū)等不良外設(shè)的使用。

3 解決方案

通過前期產(chǎn)品選型及試用,H省電信運(yùn)營(yíng)商最終選用了SYMANTEC公司的SYGATE安全策略保證系統(tǒng)(ESS),SYGATE ESS系統(tǒng)主要包括4部分:客戶端軟件、策略服務(wù)器、強(qiáng)制準(zhǔn)入控制服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器。

ESS系統(tǒng)客戶端軟件具有如下功能:

1) 終端完整性檢查。終端完整性策略檢查終端計(jì)算機(jī)上防病毒軟件、反間諜軟件、補(bǔ)丁程序、Service Pack 或其它必需應(yīng)用程序是否符合要求。具體內(nèi)容可以是對(duì)防病毒程序的安裝,微軟的補(bǔ)丁安裝,客戶端啟用強(qiáng)口令策略,關(guān)閉有威脅的服務(wù)與端口,因?yàn)橹鳈C(jī)完整性檢查支持對(duì)終端的注冊(cè)表檢查與設(shè)置,進(jìn)程管理,文件檢查,下載與啟動(dòng)程序等,所以可通過設(shè)置自定義的策略來(lái)滿足幾乎所有對(duì)客戶端的安全策略與管理要求。

2) 終端軟件防火墻。通過SSE的以應(yīng)用程序?yàn)橹行牡慕K端軟件防火墻能對(duì)客戶端的網(wǎng)絡(luò)訪問制定訪問規(guī)則,支持對(duì)應(yīng)用程序來(lái)設(shè)定防火墻規(guī)則。

3) 入侵防護(hù)系統(tǒng) (IPS)。通過集成的入侵防護(hù)系統(tǒng)對(duì)各種入侵行為做出自動(dòng)響應(yīng),保護(hù)終端避免受到黑客攻擊,對(duì)目前流行的ARP欺騙功擊有很好的防護(hù)作用,并可定期從服務(wù)器端升級(jí)攻擊特征碼。

4) 操作系統(tǒng)保護(hù)策略?？蛻舳藢?duì)終端的文件、注冊(cè)表項(xiàng)和進(jìn)程可以直接訪問?？蛻舳藢?duì)終端的硬件設(shè)備可以進(jìn)行管理,根據(jù)企業(yè)網(wǎng)絡(luò)安全策略設(shè)置是否終端使用相關(guān)的設(shè)備,可以設(shè)置對(duì)如U盤的禁止使用,無(wú)線網(wǎng)卡,紅外端口的禁止使用,禁止修改IP地址,禁止U盤的自動(dòng)運(yùn)行功能、禁止指定程序如BT程序等的運(yùn)行。

從上述描述可以看出,客戶端對(duì)終端的控制在操作系統(tǒng)層面來(lái)講已達(dá)到系統(tǒng)管理員這一級(jí)別,這樣就保證了ESS系統(tǒng)對(duì)前臺(tái)終端具有完全的控制能力。

客戶端軟件布署在前臺(tái)營(yíng)業(yè)終端上,接收策略服務(wù)器下發(fā)的企業(yè)安全策略并執(zhí)行;策略服務(wù)器負(fù)責(zé)終端的安全策略的制定;數(shù)據(jù)庫(kù)服務(wù)器存儲(chǔ)所有客戶端的信息;強(qiáng)制準(zhǔn)入控制服務(wù)器對(duì)不符合安全策略的終端進(jìn)行隔離。當(dāng)終端在訪問省分資源時(shí),強(qiáng)制準(zhǔn)入控制服務(wù)器將對(duì)終端進(jìn)行準(zhǔn)入認(rèn)證,只有符合網(wǎng)絡(luò)安全基本策略的終端才能訪問企業(yè)的內(nèi)部網(wǎng)絡(luò),否則將對(duì)終端的HTTP訪問進(jìn)行重定向到指定的網(wǎng)頁(yè),指導(dǎo)用戶對(duì)終端進(jìn)行必須的安全加固之后才能訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)。

按照網(wǎng)絡(luò)的的現(xiàn)狀,我們?cè)O(shè)計(jì)了如圖1的部署方案圖。

如圖1,為了讓市州所有訪問省分的網(wǎng)絡(luò)流量通過準(zhǔn)入控制服務(wù)器,將準(zhǔn)入控制服務(wù)器布署在主用的匯聚層路由器與匯聚層防火墻之間,數(shù)據(jù)庫(kù)服務(wù)器與策略服務(wù)器布署在省分,由省分進(jìn)行統(tǒng)一的管理。結(jié)合如圖2的流程圖,可以清晰地表明整套系統(tǒng)所發(fā)揮的作用。

策略服務(wù)器將省分制定的企業(yè)安全策略下發(fā)至前臺(tái)終端上的ESS客戶端,由客戶端完成省分制定策略的執(zhí)行檢查工作并對(duì)終端進(jìn)行保護(hù)。強(qiáng)制準(zhǔn)入控制服務(wù)器對(duì)終端客戶端的安裝情況進(jìn)行校驗(yàn),保證所有終端都必須安裝客戶端。這樣,整個(gè)系統(tǒng)形成閉環(huán)管理架構(gòu),省分的安全策略能夠得到有效的執(zhí)行,保障了前臺(tái)終端及整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

4 總結(jié)

篇9

【關(guān)鍵詞】網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；建設(shè)與規(guī)劃；校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路，分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境，網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組，確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性；數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成；終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書館大樓。此外，還有一個(gè)獨(dú)立的無(wú)線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模，校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見圖1。

2、安全威脅分析

目前，Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模，但是，在信息安全建設(shè)方面仍然面臨諸多的問題，如，網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況，沒有分析、響應(yīng)和處理的手段和流程、無(wú)法了解網(wǎng)絡(luò)的整體安全狀態(tài)，風(fēng)險(xiǎn)管理全憑感覺等等，以上種種問題表明，Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃，以便在今后的網(wǎng)絡(luò)安全工作中，建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處，部署了一臺(tái)山石防火墻，在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多，外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財(cái)、篡改數(shù)據(jù)等為目的，對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊，網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù)，但是，黑客們只要找到漏洞，就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊，最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生，還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多，學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的，入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來(lái)歷不明的郵件，照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩(wěn)定性，提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn)，Z校在安全改造實(shí)施中，應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率：Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián)，選擇了與電信和聯(lián)通兩家運(yùn)營(yíng)商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源，提升網(wǎng)絡(luò)訪問速度，最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度，同時(shí)又要合理節(jié)約鏈路成本，均衡使用各互聯(lián)網(wǎng)出口鏈路，是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性：互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，均以NAT模式或者路由模式部署，承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理，任何一個(gè)設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行，無(wú)任何備份措施，只能替換或者跳過出故障的設(shè)備，且只能以手工方式完成切換，無(wú)論從響應(yīng)的及時(shí)性，還是從保障業(yè)務(wù)連續(xù)性的角度，都存在很大的延遲，為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設(shè)備數(shù)量較多，需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作，傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下，所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備，統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期的項(xiàng)目，不可能一蹴而就，一步到位，網(wǎng)絡(luò)安全過程建設(shè)中，在利用學(xué)校原有設(shè)備的基礎(chǔ)上，在資金、技術(shù)成熟的條件下，逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長(zhǎng)期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線，從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患，根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù)，劃分不同安全等級(jí)的區(qū)域[3]。通過安全區(qū)域的劃分，明確網(wǎng)絡(luò)邊界，形成清晰、簡(jiǎn)潔的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問安全互聯(lián)，有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間，各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè)，把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無(wú)線訪問控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2，從圖2可以看出，出口區(qū)域，互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備，以NAT模式或者路由模式部署，無(wú)任何備份措施，為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備，實(shí)現(xiàn)雙機(jī)冗余部署。同理，原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái)，組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算，部署幾臺(tái)安全設(shè)備。首先，部署一臺(tái)堡壘機(jī)，建立集中、主動(dòng)的安全運(yùn)維管控模式，降低人為安全風(fēng)險(xiǎn)；其次，部署一臺(tái)入侵檢測(cè)設(shè)備（IDS），實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，防止在出現(xiàn)攻擊后無(wú)數(shù)據(jù)可查；再部署一臺(tái)漏洞掃描設(shè)備，對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描，找出存在的安全漏洞，根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告，制定安全加固實(shí)施方案，以保證各系統(tǒng)功能的正常性和堅(jiān)固性；最后，部署一臺(tái)安全審計(jì)設(shè)備（SAS），實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域，除了原有的WEB防火墻外，再部署一臺(tái)入侵防護(hù)設(shè)備（IPS），攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長(zhǎng)期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的，病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域，不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，需要建立一套全方位的，從檢測(cè)、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前，網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略，再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過程，建立一個(gè)科學(xué)的安全體系和模型，再根據(jù)安全體系和模型來(lái)分析網(wǎng)絡(luò)中存在的各種安全隱患，對(duì)這些安全隱患提出解決方案，最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手，建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu)，包括崗位設(shè)置、人員錄用、離崗、考核等[5]；技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；管理體系側(cè)重于制度的梳理，包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ)，以管理體系為保障，以技術(shù)體系為支撐[6]，全局、均衡的考慮面臨的安全風(fēng)險(xiǎn)，采取不同強(qiáng)度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，安全體系為核心，安全指導(dǎo)為原則，體系建設(shè)為抓手，組織和制定安全實(shí)施策略和防范措施，在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系，全方位、多層次滿足安全需求。

5、結(jié)語(yǔ)

從整個(gè)信息化安全體系來(lái)說(shuō)，安全是技術(shù)與管理的一個(gè)有機(jī)整體，僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問題，是從設(shè)備到人，從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題，每一個(gè)環(huán)節(jié)，都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案，對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。

參考文獻(xiàn)：

［1］王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.成都：電子科技大學(xué)，2011.11:2-3

［3］徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究［D］.上海：上海交通大學(xué)，2009.5:1-4

［4］張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)［D］.西安:西安電子科技大學(xué)，2015.10:16-17

［5］陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計(jì)［D］長(zhǎng)春：長(zhǎng)春工業(yè)大學(xué)，2016.3:23-31

篇10

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來(lái)解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說(shuō)明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來(lái)完成。

不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。