導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網絡安全加固建設，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

隨著高校信息化建設的全面深入和快速推進，基礎網絡設施和信息應用系統日趨完備，形成了規模大、結構復雜、系統多、應用全面的網絡與信息系統架構。信息化建設項目多、任務重，在高效率、高質量完成建設任務的同時，需要保證網絡運維和信息安全運維的效果和效率，為師生提供良好的用戶體驗，這就對網絡運維提出了更高的要求和標準。網絡業務日益繁多、復雜多變，各種網絡問題層出不窮，如黑客攻擊、計算機病毒泛濫，高校園網絡運維體系面臨新的問題，能否適應新變化就顯得非常重要。建立校園網運維體系、解決校園網面臨的問題對保證高校正常的教學、科研、管理等工作有著重要意義。

1校園網絡安全運維體系架構

隨著信息化在高校的發展，硬件平臺、應用軟件、操作系統越來越復雜，難以集中管理，加之師生對網絡的高度依賴性，使得保障網絡的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網絡管理技術為當前網絡安全技術中的關鍵技術。高校校園網絡中網絡安全設備、業務系統數量眾多、結構復雜，且管理控制平臺多樣，網絡管理員需要掌握不同平臺的管理及使用方法，去管理網絡中的各種設備和系統，復雜度高；網絡管理員對應用系統的使用權限不同，難以在不同的業務應用系統中保持控制策略和用戶權限的全局一致性，管理網絡安全事件日趨復雜化。只有對所有安全設備、業務系統發生的安全事件及其運行狀態信息進行關聯分析，才能有效發現新的、更深層次的安全隱患。安全管理技術主要包括安全事件采集、安全事件管理、安全設備監控三大模塊。安全事件釆集，用于采集網絡中所有安全設備及業務應用系統等的安全日志及運行狀態，這些信息將為后續的關聯分析提供數據源，是安全管理的基礎。安全事件管理將采集得到的數據源進行關聯分析、風險評估等處理，通過分析可能的安全威脅，提交安全對象的安全報告。安全設備監控，是通過監控各關鍵網絡設備的運行狀態信息，及時發現安全問題并第一時間進行處理。

2校園網絡安全運維平臺的組成

校園網絡安全運維平臺由監控中心、安全分析中心、運維中心組成，為保證高校校園網絡的安全提供了科學合理的方法，有效保障了校園網絡的安全和穩定。監控中心，通過事件采集器收集監控對象日志信息及安全事件，經過標準化、信息過濾和關聯分析后，標記安全事件級別同時存入數據庫。安全分析中心，通過資產識別、威脅識別、脆弱性識別、評價風險、風險計算等過程，評估校園網絡綜合資產的重要性、脆弱性以及面臨的威脅，為管理員進行決策提供依據；采用事件關聯分析算法，尋找海量事件相互關聯事件，提取出真正有價值的少量安全事件威脅，包括業務連續性威脅、數據安全威脅、攻擊威脅。運維中心，通過安全預警管理接收業務系統防護平臺產生的自動安全預警信息或人工預警信息，再進行分級處理，并按規定的通知模板將預警信息傳達給相關人員，并運用系統安全策略進行準確的預警，其中系統安全策略由告警的觸發條件、分析規則、風險策略、設施管策略、存儲策略等組成。

3安全運維的內容

3.1安全巡檢

定期對校園網絡安全設備的日志進行深入分析和審計，包括對防火墻、IDS、防病毒系統、動態口令認證、日志分析系統等的運行狀態、運行事件、日志和關鍵配置文件進行收集、分析，并形成相應的安全建議。安全巡檢內容如下：（1）制訂安全設備巡檢計劃和巡檢規范；（2）定期對網絡安全設備進行巡檢；（3）分析和解決在巡檢中發現的問題；（4）提交巡檢報告。

3.2漏洞掃描

通過漏洞掃描可以全面、準確發現校園網絡中各系統存在的安全隱患及可能被攻擊的方式，掌握信息系統的安全現狀，為進一步保證建設校園網絡的安全提供了數據參考和實際的依據，具有指導校園網絡安全建設的作用。對信息系統進行標準的安全探測是漏洞掃描采用的主要技術手段，通過安全探測可以發現網絡和系統潛在的安全隱患和薄弱環節。通過漏洞掃描設備、安全評估工具以掃描的方式對整個校園網中的信息系統、網絡設備和安全設備進行安全掃描，從校園內網和校園外網絡兩個不同的網絡環境來探測校園網絡結構、網絡設備部署、服務器主機配置、數據庫管理員賬號/口令等校園網絡對象目標存在的漏洞、安全風險和潛在的威脅。漏洞掃描有利于發現系統層、網絡層、應用層的安全問題。（1）系統層安全。各網絡設備、安全設備、服務器的操作系統，主要存在操作系統自身的漏洞、風險和威脅，主要包括用戶名、密碼管理、訪問權限分配和控制、系統漏洞等，以及操作系統的安全配置不夠完善，存在被攻擊的可能。（2）網絡層安全。網絡信息是網絡層的主要安全問題，包括身份認證，控制不同身份對網絡資源的訪問、傳輸過程中的信息數據保密性與完整性、校外網絡遠程接入、入侵檢測的發現及處理手段等。（3）應用層安全。應用軟件和數據的安全性是應用層安全考慮的主要方面，主要有：學工系統、門戶網站、教務系統、數據庫系統、Web應用服務、電子郵件系統、防火墻及WAF系統及其他網絡應用服務系統等。掃描流程如圖1所示：

3.3安全加固

針對巡檢、漏洞掃描、安全評估過程中發現的各種安全隱患、系統漏洞，通過補丁升級、漏洞修復、進行更加嚴格的安全配置、校園網絡系統架構優化與調整、安全策略升級與完善等方式及時對系統進行安全加固，范圍可覆蓋資產梳理、終端檢查、物理檢查、管理體系優化、人工檢查、漏洞掃描結果加固、滲透測試結果加固（涉及數據庫加固），提高校園網絡的安全性、抗攻擊和防病毒入侵能力，降低網絡安全事件發生的可能性。采用基本安全配置定期檢測和優化，提高各系統、設備的密碼復雜度及修改密碼，系統漏洞檢測、修復處理，訪問控制策略完善配置，安全的遠程接入方式，開啟文件系統的審計策略，開啟系統日志記錄并定期進行分析，定期升級操作系統及更新安裝補丁等手段對校園網絡進行安全加固。加固完成后，定期對校園網絡的安全性進行評估，確保校園網絡中各業務系統、網絡設備、安全設備具有較高的安全性和抗攻擊能力。加固流程如圖2所示：

4結語

科學合理成體系的校園網絡安全運維能有效緩解校園網絡面臨的風險問題，將網絡安全事件從傳統的事后處理逐漸轉變為事前防范，能極大提高網絡運維和安全管理水平，增強校園網絡的安全性，提供更好的用戶體驗，從而實現安全、穩定、抗風險能力強的校園網絡環境。

參考文獻

[1]莊天天.安全運維平臺關鍵技術的研究與實現[D].北京:北京郵電大學,2013.

[2]吳京偉.大學校園網絡運維體系研究[D].合肥:合肥工業大學,2009.

篇2

服務器虛擬化的互感器加密等級越高，其信息平臺防擴散效果越好。采用位串描述檢測器對計算機網絡系統的模式匹配進行檢測，從而提高網絡安全的防護等級。強化對于技術人員計算機網絡通信網絡安全管理意識的培養，操作人員應該運用計算機多進制的通信加密方式，對繁雜的信息大數據進行傳輸和有效處理，實現網絡信息系統的遠程操縱，保證服務器虛擬加密過程不受外界的攻擊。

1數據通信網絡維護分析

由于網絡中由于高速運行的過程中，往往會產生一些漏洞，這些漏洞一般是由病毒攻擊導致的。如果出現無人照看的安全漏洞系統進一步發展，就會造成整個服務器癱瘓的嚴重問題。提升數據通信網絡系統的安全性，技術人員應該定期對計算機病毒進行查殺，防止非自體的不良數據信息入侵網絡系統。建立更加安全的計算機網絡免疫系統，對非自串進行準確識別。在網站服務器搭建的過程中，針對互聯網環境分配的情況不同，使用不同的IP段地址來保證信息傳播的安全，或者使用劃分VLAN的形式，對網站信息碼流開展有效的邏輯隔離。

2數據通信網絡維護分析及網絡安全問題探討

2.1運用新的防護墻技術，開展網絡安全科學架構建設

由于計算機網絡接入層中涉及到許多的硬件設備，硬件條件的穩定可靠決定了計算機網絡的可靠程度的高低。可將相鄰的兩個介入交換機進行堆砌，同時將終端的服務器設備整體介入到連接線路中，再使用捆綁的形勢將諸多的設備形成一條效率更高、性能更穩定的虛擬鏈接。開展數據通信網絡狀態分析，網絡工程技術人員應該運用新的防護墻技術，開展網絡安全科學架構建設。運用轉入性防火墻技術規則結構，開展網絡訪問界面的信息過濾探索。并且，每一次登錄后臺系統，必須要采用輸入安全密鑰的方式，才能夠順利進入。采用此種登錄方式，重點在于防止閑雜人員進入系統的后臺，對網絡信息的系統安全造成破壞。運用新的防火墻技術對系統安全進行防護，網絡工程技術人員必須要使用安全操作允許的數據交換方式，進行網絡后臺系統的層層加固。在轉入性防火墻的技術保護規則之下，用戶訪問的時候需要提供本身的端口協議，采用這種信息過濾技術，能夠將不符合要求的信息進行過濾。并且，將帶有安全隱患的信息端口自動轉到其他的web控制臺進行處理。開展網絡安全系統加固操作，技術人員需要根據信息反饋進行技術規則優化。根據驗證用戶提供的端口協議進行分析，并且建立更加符合操作要求的規則協議模塊。為了更好的維護計算機安全，必須要向廣大的人民群眾普及計算機故障排除和預防方法。從社會宣傳和預防的角度來說，首先要制定強有力的計算機內部系統的法律法規，加強大眾計算機常識性教育，通過多層網絡結構有效地隔離各種故障，簡化網絡運行性，切實提高鏈接線路的使用效率和網卡介入水平。推行網絡文明和信息安全，運用新的防護墻技術，技術人員應該對網絡信息安全操作允許的系統記錄和接口進行加密，安全操作的訪問權限應該限制在網絡內部人員中使用。

2.2加強網絡環境信道測試，及時修復通信漏洞

采用信道測試的方式，對當前的網絡環境進行安全測試，能夠及時地發現安全系統中的漏洞，根據網絡系統中的安全隱患進行修復，從而顯著增強內部網絡的安全性。在網絡性能測試活動中，技術人員應該采用數據電路測試的方式，在DTE的兩端接口處，進行信道測試。使用調制解調器進行規程測試，能夠顯著提升信道測試的有效性，從而有效排除數據電路測試中的信號干擾因素。內部系統盤盡量不要與外部信息端口隨意接入，在網絡運營中必須要進行科學的網絡系統管理，如果確實需要進行外部端口接入時，一定要對其進行信息保障化處理。從網絡安全防護體系建設出發，顯著提升網絡系統的安全性。對ACL訪問方式進行控制，采用信息過濾的方式，對于不信任的訪問進行攔截，從而有效防范DOS攻擊。使用IPSEC-VPN組網方式，對數據通訊系統的安全性進行加固，從而提升數據通訊系統的數據處理能力。將NAT地址進行隱藏，從而減少黑客攻擊的命中率。采用一系列的軟件升級新技術，對網絡環境安全進行深度保障性建設。

2.3重點防范木馬攻擊，建立嚴格的網路安全檢查制度

為了提升數據通信的工作效率，維護網絡整體安全，技術人員應該對WEB安全進行防護，重點防范可能存在的木馬攻擊。對于不明來歷的儲存卡和USB設備，應該禁止將其接入到內部網絡中，防止出現數據系統感染問題。加強對于WEB系統的安全防范，經常性地檢查內部窗口是否處于正常的運轉狀態，防止網頁被惡意篡改。通常多層網絡結構中包括計算機的接入層、操作室的核心層和內部信息的分布層，從計算機網絡系統的管理方面來看，為了提高網絡的可靠性，必須要對終端接入的可靠性進行穩定。加強設備自身安全性建設，對系統進行定期的檢查，對于網絡系統的脆弱部分進行定期的優化與升級處理。建立能夠抵抗DOS和DDOS攻擊的數據通信網絡系統。核心設備的訪問方面，應該采用管理員SSL加密登錄的方式，實現業務與管理界面分離。并且登錄密碼應該采用防破解設計方式，采用固定密碼配合動態密碼的方式，提升密碼系統的安全性。

3結束語

為了適應經濟社會發展和辦公環境的需要，必須要采取合理有效的措施提高計算機網絡的可靠性.可以通過提高計算機網絡的可靠性，注重計算機系統軟件升級，運用新的安全防護方式，實現網絡通信模式的升級。

參考文獻

[1]郭建英.數據通信網絡維護與網絡安全問題的探討[J].科技資訊,2011(26):9-9,11.

[2]石加歆.對通信網絡維護以及網絡的安全之我見[J].城市建設理論研究（電子版）,2012(02).

篇3

1消防部隊計算機網絡的安全隱患

（1）人為因素方面存在的安全隱患

計算機網絡技術的普及應用給官兵日常工作帶來了極大的方便，只要用一臺電腦就可以進行日常辦公。然而，消防部隊官兵網絡安全意識淡薄，缺乏安全知識，或打開網頁瀏覽網絡信息后不能及時關閉網頁，導致重要信息泄露；或數字證書使用后不能及時從電腦上取下，埋下安全隱患；或使用U盤、移動硬盤等移動數碼存儲介質時沒有進行殺毒處理，極易導致系統感染病毒或造成系統信息泄露；或不注意對殺毒軟件進行更新、升級，無法保證殺毒軟件的監控功能和查殺功能。另外，消防部隊官兵大部分不屬于計算機專業，接觸計算機網絡項目少，缺乏網絡安全維護知識，對網絡安全防護操作不了解，在系統應用過程中容易出現一機兩用、信息泄密、感染病毒等現象。消防部隊官兵網絡系統安全意識淡薄、安全防護知識缺乏為消防部隊的網絡系統埋下了極大的安全隱患。

（2）網絡基礎設施建設以及技術方面存在的安全隱患

由于受投入資金的限制，消防部分的網絡信息化建設明顯不完善，尤其是調度指揮網的建設以及各種專用網的建設均無法滿足現實需求，即沒有做到專網專機專用，在網絡安全隔離方面也沒有設置網閘、硬件防火墻等安全防護設施，而且僅僅采用雙網卡接入方式實現部分網絡的接入，使網絡系統的安全性得不到保障。另外，部分網絡為了調試方便，幾乎在電腦硬件上不設置任何防護措施，使電腦端口呈開發狀態，這樣極易給一些不法人員以可乘之機嗎，對系統實施惡意攻擊，最終導致網絡系統癱瘓。在網絡安全防護技術應用方面，在安全防護技術方面的投入不足，殺毒軟件等安全防護軟件不能及時更新、升級，系統漏洞較多，容易受到攻擊及病毒感染，甚至造成不同網絡的病毒交叉感染，最終系統癱瘓。

（3）數據存儲存方面存在的安全隱患

隨著系統數量的不斷增加，數據的存儲問題越來越突出，如何保證數據的完整性、安全性使目前要解決的重要問題。導致系統數據丟失的因素有很多，網絡硬件故障、系統管理不善或者自然災害等情況均可以導致數據丟失。消防部隊網絡系統數據存儲存在的安全風險主要體現在以下幾個方面：①操作系統和數據庫系統的安全防護能力不高，當系統造成惡意攻擊時可導致系統崩潰，進而造成數據丟失；②系統的硬件由于兼容性的限制而無法實現數據的有效備份，一旦計算機硬盤發生故障即可導致存儲數據丟失；③系統數據缺乏完善的保密機制，導致數據泄露現象頻發。

2消防部隊計算機網絡安全隱患的應對策略

2.1加強硬件防護

硬件是實現信息化建設的基礎設施，是解決網絡安全問題的關鍵所在。首先要加強機房建設，健全機房設備，建立高效的、適用的供電系統、UPS系統、防雷系統等，機房交換機設備、路由器設備要保證具有較好的穩定性性和較高的運行速度，以確保網絡通信暢通。機房服務器的運行指標要滿足一定要求，保證服務器穩定、高效運行。網閘、硬件防火墻的等設備要符合公安要求，以便實現不同網絡之間的對接，這對保證網絡的安全運行非常重要。另外，在數據存儲方面，一定要加強移動存儲介質應用的管理，移動存儲介質在對接公安網時要進行殺毒，存儲介質在確定不含機密文件的情況下才能插入如聯網。網絡建設中各種硬件設備一旦發生故障要及時維修或者更換。

2.2加強軟件防護

消防部隊的網絡建設需要安裝正版的系統軟件，一方面保證系統的性能，另一方面保證系統的安全。在數據庫的管理和應用中，需要由專業的計算機網絡管理人員進行數據庫操作，在設計數據庫的過程中要考慮到各數據之間的關系，并正確配置，對數據庫的用戶數量進行一定限制，明確不同用戶的職責范圍和使用權限，對于一些機密數據要進行加密處理。為了保證數據的完整性和有效性，要做好數據庫數據備份工作，制定完善的數據備份策略。嚴格遵守軟件的開發要求，有必要時需要關閉影響網絡安全的服務，以確保系統的安全運行。加強網絡安全技術應用，安裝殺毒軟件，設置防火墻，定期檢查和修復系統漏洞，同時注意對殺毒軟件的更新。目前應用較廣泛的計算機網絡安全防范技術有加密技術、防火墻、病毒防護技術、入侵檢測技術等。①加密技術是進行網絡安全防護的核心技術，經過多樣的研究和開發，現代加密技術基本已經實現了數據保密性、數據完整性、數據真實性以及數據可控性的完美結合，在當前的網絡信息安全管理中發揮著重要作用。②防火墻是阻擋網絡外部風險的重要措施，是一種用于加強網絡之間安全訪問控制，阻止外部網絡用戶以非法手段進入內部網絡，是一種非常有效的安全策略。根據所采用技術的不同，防火墻可分為多個類型，包括過濾性防火墻、型防火墻、監測型防火墻等等。③病毒是網絡安全的最大隱患之一，采用有效的防病毒技術可以防止病毒對計算機系統造成破壞。當前的防病毒技術主要有病毒預防技術、病毒檢測技術以及病毒消除技術等。

2.3加強管理

（1）建立健全的網絡安全防范機制

其一，制定物理隔離相關規定，并加強執行力度，以消除一機兩用的現象；其二，規范網絡安全管理和維護，局域網內需安裝網絡版防病毒軟件以及其他安全防護軟件，并進行及時更新、升級，以便最大程度消除安全隱患。其三，針對網絡病毒制定有效的應急預案，以應對大規模的病毒發作，提高系統運行性能和應急能力。

（2）對主機本身進行安全加固

服務器是網絡系統中的關鍵部分，一定因為服務器問題引發安全問題或者導致系統癱瘓將會造成不可估量的損傷，所以網絡系統的安全防護必須要重視對服務器的管理，對重點服務器進行安全加固。服務器加固的方法有多種，常見的有增打補丁、或利用安全掃描技術對系統服務器進行掃描分析，以便找出系統中潛在的安全隱患，并及時消除。另外，對重要的、安全級別較高的系統建立應急預案，同時建立數據安全策略。

（3）制定詳細的管理措施

為了進一步加強安全管理，消防部隊應根據實際需求制定比較詳細的管理細節，同時對計算機系統進行安全風險評估，通過對系統的定期分析了解系統各個層次的安全狀況以及潛在的風險，信息安全評估內容包括物理安全、網絡安全、系統安全、軟件安全、數據安全、應用安全、管理安全等等多個方面，其中尤其要重視軟件的安全，詳細分析各種安全要素，以保證系統軟件的安全應用。

（4）制定完善的訪問控制策略

有效的控制訪問策略是提高系統安全抵抗能力，缺乏系統數據安全性的重要手段。網絡系統的安全控制管理一方面要建立認證系統，為確保系統數據信息的安全性必須要加強訪問權限管理。另一方面可以充分應用IP限制技術、或者與MAC綁定技術加強系統訪問控制管理。

（5）提高全員的安全意識，加強安全知識學習

隨著網絡系統的普及應用，提高安全意識是保證網絡系統安全性的關鍵所在。其一，必須要從思想上認識到網絡安全防護的重要性，杜絕使用未經殺毒處理、或者其他來歷不明的軟件，不隨便查看、閱讀、下載網絡上來歷不明的郵件或者文件；其二，用戶應增強安全防護意識，對計算機系統要設置密碼，不使用影響系統完全的服務，取消完全共享，并定期對系統和相關軟件進行殺毒，增打補丁。其三，對全體官兵進行網絡安全知識教育和普及，并落實網絡安全責任，培養高素質的計算機網絡安全維護人才。

3結論

網絡安全防護是一個比較復雜的、需要長期堅持的任務，隨著計算機技術的快速發展，計算機病毒、網絡攻擊等威脅系統安全的技術也不斷升級、更新，讓人防不慎防范。在網絡安全問題逐漸多樣化、復雜化的趨勢性，網絡安全防護也需要從多方面加強防護措施，建立多層次的、立體的防護體系，全方位維護網絡系統的安全。

作者：李哲強 單位：呼倫貝爾市公安消防支隊司令部

引用：

[1]唐鎮.基層消防部隊網絡和信息安全問題及管理對策[J].網絡安全技術與應用，2015.

[2]郭浩.當前消防部隊網絡信息安全問題及措施分析[J].信息安全與技術，2013.

篇4

中圖分類號：TP319.3 文獻標識碼：A 文章編號：1007-9599 (2011) 22-0000-01

"Computer Network Security" Teaching Study

Jiang Cui,Cheng Shoumian

(Xianning Vocational Technical College,Xianning 437100,China)

Abstract:"Computer Network Security"is a computer network or similar technical expertise of one major basic for reqiured courses.The following courses form course architecture in the position,course training objective,selection,curriculum design and teaching methods of teaching content and other aspects of elaboration of this course,teaching methods,to promote this course teaching reform and development,improve the teaching standard of this course.

Keywords:Network Security;Network technology

前言：通過計算機網絡，人們可以非常方便地存儲、交換以及搜索信息，在工作、生活以及娛樂中享受極大的便利。然而，人們在享受計算機網絡所帶來的巨大便利的同時，也受到計算機網絡本身所暴露出的各種安全問題的困擾。這些安全問題給人類社會所依賴的“網絡社會”蒙上了陰影。計算機網絡安全問題已成為一個世界性的現實問題?？梢哉f沒有網絡安全，就沒有完全意義上的國家安全，也沒有真正的政治安全、軍事安全和經濟安全。因此，加速計算機網絡安全的研究和發展，增強計算機網絡的安全保障能力，提高全民的網絡安全意識，加速培養網絡安全專門人才已成為我國網絡化合信息化發展的當務之急?！队嬎銠C網絡安全》課程在課程體系中占有重要的地位，《計算機網絡安全》課程的教學不容忽視，《計算機網絡安全》課程的教學研究探討有重要的意義。

一、《計算機網絡安全》在網絡專業課程體系中的地位

先行課程：《計算機網絡基礎》、《網站建設》、《網絡數據庫》和《網絡設備與互聯》；并行課程：《網絡管理》；后繼課程：《網絡攻擊與防御》、《數據備份與災難恢復技術》和《網絡安全與電子商務》。

《計算機網絡安全》這門課程在網絡專業體系結構中位于網絡安全領域課程的首位。是網絡安全方向學習必不可少的課程。它依據《計算機網絡基礎》課程，系統的講解了網絡技術相關的基本原理和網絡應用技術，使學生掌握了網絡的理論基礎知識和網絡應用技術；《網絡數據庫》全面地介紹了數據庫基礎、SQL Server的安全性管理、SQL Server2005數據庫系統管理、開發和應用的相關原理、方法和技術；《網站建設》系統地介紹了網站規劃建設與管理維護的知識和技術，訓練了學生網站建設和規劃及維護的能力；《網絡設備與互聯》詳細介紹了構建園區網所涉及的交換、路由、安全等方面的知識，以及將園區網接入到互聯網的相關技術。這些課程為網絡安全課程的學習奠定了良好的基礎，為網絡安全問題的解決提供了必要條件。

《計算機網絡安全》是培養網絡管理員，成就網絡工程師課程體系中一個重要的組成部分。它屬于“組網、用網、管網”中的“管網”部分。主要針對計算機網絡的管理和網絡應用專業崗位而設置。

二、《計算機網絡安全》課程的培養目標

作為《計算機網絡安全》課程設置的主要內容有：網絡故障安全應急處理，黑客攻擊造成的網絡安全異常及診斷分析，病毒造成的主機網絡異常診斷和分析，無線網絡系統加固技術，網絡安全架構設計和網絡安全設備的部署，加密、解密技術及其應用，主機操作系統和應用服務器系統安全加固，故障后的數據恢復技術。對我們高職學生學習該課程，對應的職業崗位，主要是針對初級并界于中級的網絡管理員以及為網絡工程師職業打下堅實基礎。要想成為中高級網絡管理員必須經過后續課程的不斷努力學習。

（一）職業所需的專業能力。（1）熟悉常見計算機病毒的現象特征，掌握其清除和防范技術，能清除常見計算機病毒，（2）熟悉操作系統的安全設置，能有效的保護所管理的計算機安全可靠運行，（3）掌握防火墻的原理及功能特性，掌握防火墻的配置技術，能保證園區網的網絡設備可靠工作，（4）了解黑客的入侵過程，掌握防范黑客攻擊的一般措施，能防范一般的黑客攻擊，（5）掌握數據備份和恢復技術，能應對數據的急救處理。

（二）職業所需的通用能力。（1）網絡安全的法律和法規意識。掌握我國制訂的相關網絡安全法規和法律知識，了解我國網絡安全的發展趨勢。（2）團隊協作精神。網絡安全是一個龐大而復雜的領域，需要團隊的分工合作。（3）養成自學習慣。網絡安全領域知識變化日新月異，需要不但學習，要培養“活到老，學到老”的自學習慣。（4）與人溝通意識。

三、《計算機網絡安全》課程教學手段

“以職業活動為導向，以工作過程為導向”，本課程內容組織與安排遵循學生職業能力培養的基本規律，圍繞職業能力目標的實現來展開。教學手段：虛擬、真實環境相結合。以學校的實訓室為研究對象，按照項目實訓步驟進行教學。教師在虛擬（計算機網絡安全攻防實訓系統，如泰谷網絡攻防實驗系統）和真實（計算機網絡安全實訓室）的網絡安全環境中進行操作演示；學生在虛擬（計算機網絡安全攻防實訓系統）和真實（計算機網絡安全實訓室）的網絡安全環境中進行操作練習；在實訓室中，學生按分組用真實的網絡軟硬件進行網絡攻防訓練。并輔以課外學習，學習網站有：黑客基地（），黑客防線（.cn），中國黑客聯盟（），中國黑客入侵組（），安全焦點（）。然后輸送學生到附近的校外實訓基地真實的環境中學習鍛煉，直接掌握職業崗位的需求知識和技能。

參考文獻：

[1]辜川毅,主編.計算機網絡安全技術[M].機械工業出版社,2009

篇5

中圖分類號：TP393.08

1 安全管理體系結構及功能

1.1 安全管理體系結構

網絡安全是企業安全有效運行的保障，安全管理體系主要包括安全策略、安全運作、安全管理等。安全策略管理是企業網絡安全運行的體系基礎，有利于項目建設規范化管理和運行和安全工作的開展。安全基礎設施系統主要有訪問控制、桌面管理、認證管理、防垃圾系統、服務器監控與日志統一管理系統、漏洞掃描系統、服務器加固系統等。萊鋼計算機網絡整體架構圖如圖1所示。

1.2 安全管理系統功能

安全管理系統的功能將所管轄的IP計算機信息根據分類登記，有利于其他安全管理模塊進行數據連接和信息共享，并配備服務器和交換機加固工具，及時掌握網絡中各個系統的最新安全風險動態，并及時的對服務器文件、進程、注冊表等進行保護。安全監控系統是監控全網事件報警信息，對當前事件進行安全監督和實時監控，有利于企業網絡安全運行和業務系統的安全性，監控的產品主要包括網絡中的設備、日志相關信息、相關事件的報警信息等。

2 網絡系統安全體系的設計與實施

2.1 身份認證系統設計分析

網絡安全運維管理中心設置在信息中心，擔負全網桌面安全管理，通過制定相關策略、委派安全角色，對全網數據進行統計分析和安全管理，并通過一系列的安全運行策略建立安全身份認證體系。萊鋼統一身份認證系統架構圖如圖2所示。

RSA SeucrID由認證服務器RSA ACE/Server、軟件RSA ACE/Agent、認證設備以及認證應用編程接口（API）組成。RSA ACE/Server軟件是網絡中的認證引擎，由安全管理員或網絡管理員進行維護。

2.2 計算機資產安全管理系統

計算機資產安全管理為萊鋼的高層管理人員提供全網資源的多維度分析報表。信息中心成為萊鋼的IT系統的“安全策略中心”、“安全管理中心”、“數據匯聚中心”和“報表總中心”。下設一級管理中心，分布在各分部，由總中心授權負責對分部人員權限管理和桌面系統管理，并具體實現對各終端桌面目錄、桌面管理、軟件分發、系統自動升級管理、信息安全和管理監控功能。軟件分發工具大大提高了萊鋼桌面計算機管理的自動化程度，提高管理效率。自動化的工作流程還可以避免人工操作帶來的風險，使萊鋼的桌面計算機上的資產得到更好的保護。通過軟件分發機制，從桌面計算機標準化支撐平臺將軟件分發到指定的桌面計算機和支撐平臺內部指定的服務器，消除對桌面計算機和服務器的訪問等人為因素導致的錯誤。及時安裝操作系統更新補丁，避免成為黑客和病毒的攻擊對象。及時安裝應用程序的補丁，減少安全隱患，增加應用程序穩定性和功能。對服務器系統的補丁需要經過評估對現有系統的影響，避免出現業務系統故障。服務器系統的補丁需要利用自動檢測技術，通過人工的評估，再實現自動分發和手工安裝。

2.3 EAD端點準入防御體系

EAD安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。

2.4 網絡安全模型的設計

從網絡安全、應用安全、管理安全的角度出發，設計歸納萊鋼網絡系統安全模型，主要包括：（1）網絡架構防護：采用網絡邊界防毒、統一身份認證技術和針對于網絡設備和網絡服務器的漏洞掃描技術；（2）應用系統風險防護：采用的主要技術包括防病毒技術、服務器系統加固技術、計算機資產安全管理技術、補丁管理技術、主頁防篡改技術、防垃圾郵件技術、災難備份恢復技術及統一日志管理技術；（3）安全管理體系建立：通過對安全策略進行有效的和貫徹執行，可以規范項目建設、運行維護相關的安全內容，指導各種安全工作的開展和流程，確保IP網的安全；（4）集中管理、整合監控：對計算機系統進行綜合集中管理，對日常的系統、網絡、資產以及安全等日常運行能夠擁有較為統一的管理入口，對系統網絡可用性、資產有效性、安全防范諸多管理功能的組件進行事件級的整合、分析和響應。

3 結束語

互聯網已經深度滲透到各個領域，成為事關國家安全的基礎設施和斗爭，網絡安全是保證各種應用系統數據安全的重要基礎，必須加強和采取有效的預防措施，掌握網絡資源狀況及實用信息，可提高網絡管理的效率。

參考文獻：

[1]溫貴江.基于數據包過濾技術的個人防火墻系統設計與研究[D].吉林大學，2010.

篇6

1基本情況

中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備，網絡主干為雙鏈路結構，采用電信+聯通專線入網,具備冗余性，滿足業務高峰期需求，2臺網絡核心交換機構成雙機熱備，用于連接網絡邊界區域、服務器區域、樓層等各個區域。機房內，各區域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統等安全設備對來自Internet的攻擊行為進行防護,服務器區域部署入侵檢測系統，核心交換機上部署網絡審計系統以及審計服務器，對網絡行為進行審計，辦公網絡部署上網行為管理，規避網絡違法違規風險，強化內網安全率。門戶網站及電子郵箱系統的安全防護體系按照中央企業網絡與信息安全防護標準進行設計和部署，并依據國資監管網規劃方案建設了一套專網專機分散部署的非信息系統。主要業務管理信息系統按照國家信息安全等級保護二級進行定級，重點信息系統達到國家信息安全等級保護三級管理標準，核心機房內獨立運行的信息系統全部滿足公安部對中央企業信息系統安全等級保護要求。同時定期組織內、外部專業技術力量開展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作，確保信息系統和門戶網站運行穩定，安全監控到位，杜絕發生安全責任事故。

2技術體系架構

中國建材集團嚴格按照《信息安全技術信息系統等級保護安全設計技術要求》和《信息安全技術信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品，從安全計算環境、安全通信網絡、安全區域邊界、安全管理中心等方面構建起有效的安全技術保障體系。根據實際業務情況，將網絡劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業務服務區共計6個安全區域，并根據業務系統的要求進行安全區域合理性劃分，各區域到核心交換機之間為獨立線路連接，數據處理系統以單機模式部署，同時按照安全風險和安全策略，具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。物理安全。核心機房依據國家標準GB50173－93《電子計算機機房設計規范》、GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》,從環境安全、設備安全和媒體安全三個方面進行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統各種設備的物理環境安全，同時采用有效的區域監控、防盜報警系統，阻止非法用戶的各種臨近攻擊。網絡安全。網絡主干采用雙鏈路結構，考慮業務處理能力的數據流量，冗余空間充分滿足高峰期需要，并根據業務系統服務的重要次序定義帶寬分配的優先級。合理規劃路由，業務終端與業務服務器之間建立安全路徑保證網絡結構安全。網絡區域邊界之間部署防火墻安全設備，制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制，服務器區域部署防病毒網關來攔截病毒、檢測病毒和殺毒，保護操作系統安全穩定。應用IPS入侵防御系統實時監控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網絡安全設備進行配置加固，實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護，同時根據國家信息安全等級保護二級標準，為系統信息交換的主客體分別加安全標記，制約了操作系統原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC)，對服務器進行安全加固配置，進行資源監控、監測報警，避免服務器自身的安全漏洞被攻擊者利用，實現統一管理的主機安全防護。應用安全。應用網絡設備和安全設備自身審計功能，對設備管理日志、設備狀態日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統和審計服務器，辦公網絡部署上網行為管理，對網絡系統中的網絡設備運行狀況、網絡流量等進行日志記錄，同時應用服務器不開放遠程協議端口號。系統全部采用正版WindowsServer2008和LinuxAS5操作系統并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如WindowsNT下的LMHOST、SAM等）使用權限進行嚴格限制。加強口令字的使用，并定期給系統打補丁、系統內部的相互調用不對外公開，同時通過配備漏洞掃描系統，并有針對性地對網絡設備重新配置和升級。數據安全。數據庫系統全部購買有效授權，采取數據庫系統強口令、登錄失敗次數、操作超時等方式實現數據庫系統對身份鑒別、訪問控制要求，采用技術手段防止用戶否認其數據發送和接收行為，為數據收發雙方提供證據。應用系統針對數據存儲開發加密功能實現系統管理數據、鑒別信息和重要業務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統，保證在安全事件發生后及時有效地進行重要數據恢復。

篇7

我國高速公路近幾年來建設里程越來越遠，而且隨著互聯網的迅速發展，高速公路進入了全國聯網、信息交互的時代。一方面，這有助于高速公路網絡信息的共享和傳播。但另一方面，高速公路全面聯網也對網絡安全提出了新的要求。一旦網絡被別有用心的人攻擊，輕則導致信息泄露，重則有可能引起大的交通事故。

一、高速公路網絡信息安全分析

針對目前高速公路信息網絡系統安全的現狀，很多專家學者都提出自己的觀點和看法，例如：北京交科公路勘察設計研究院盛剛談到網絡安全問題時指出：一方面，不管是在設計還是建設方面，偏重于網絡系統的技術和設備方面，缺乏整體系統的思想觀念和管理理念；重點放在外部攻擊與入侵，忽視內容的監管；重視網絡安全的專業性知識，忽視培養技術人員，技術儲備力量不足；新產品，技術發展快，信息安全隱患日益凸顯，另一方面，針對高速收費、聯網監控這方面，1、建設施工方面，相關的運營單位的認識和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術方面，未能嚴格按照國際相關標準規定執行，提出的技術不具備針對性。

網絡安全現階段的外部威脅主要來自黑客活動，包括：木馬程序、網絡安全漏洞、各種病毒，而內部人員監管手段的疏忽和不規范的操作也是導致網絡安全系統受到威脅的原因之一。

在網絡信息安全問題上，各省又都有各自的實際問題。例如：江蘇高速公路呈現出：網絡寬帶分配不均、網絡大小不同、網絡技術復雜、網絡資源分散、網絡系統陳舊、網絡結構多樣化的特點。網絡信息安全問題已經日趨嚴重，已成為當前高速網絡首要解決的難題，治理措施刻不容緩。

二、網絡信息安全的途徑分析

基于現階段高速公路網絡信息存在的安全問題，多數學者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術體系、運維體系、管理體系和標準體系。技術體系主要從主機安全、物理安全、數據安全、網絡安全等多方面考慮的綜合建設體系；運維體系分為四個部分：風險管理安全、安全體系的推廣落實、安全維護、安全管理的工程建設這四部分；管理體系指信息安全的方針目標，以及在完成這些目標的過程中所使用的體系方法；標準體系具體主要確定網絡信息安全的規章制度、管理辦法，工作流程和總體框架。

針對各省份出現的安全問題，各自根據實際情況提出不同的解決方案，例如山西省針對本省高速公路網絡信息安全也提出了自己的解決方案。從管理和技術兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統運維管理、管理制度安全、安全管理機構、系統建設管理等方面提出的具體要求。技術方面主要分為：系統主機安全、物理安全、應用安全、數據安全和網絡安全。管理和技術在維護系統安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術兩方面確保高速公路網絡安全，在具體的實施過程中，更全面透徹地分析了全省高速公路在網絡安全中存在的各種安全隱患，涉及網絡安全、主機設備、物理安全、網絡病毒、數據安全、業務管理、應用體系安全、主機系統安全、行為操作安全等各類隱患，針對具體存在的安全問題，對癥下藥，采取實施有效的安全防護措施。

篇8

隨著電信網絡的全面IP化，原來互聯網中才會存在的安全威脅被引入到電信網絡中，如木馬程序、僵尸程序、拒絕服務攻擊等。在IP技術和傳統電信網相融合的過程中，又出現了具有電信網特點的新安全威脅，例如利用IP技術針對電信網業務層面的攻擊。

1.2移動終端的智能化存安全隱患

智能終端的接入方式多種多樣、接入速度越來越寬帶化，使得智能終端與通信網絡的聯系更加緊密。智能終端的安全性已嚴重威脅著電信網絡和業務的安全，隨著運營商全業務運營的不斷深入，以前分散的業務支撐系統逐步融合集成，但核心網和業務網之間的連接通常采用直連的方式，安全防護措施相對薄弱。在智能終端處理能力不斷提升的今天，如果終端經由核心網發起針對業務系統的攻擊，將會帶來巨大的安全威脅。另一方面，智能終端平臺自身也面臨著嚴峻的安全考驗，其硬件架構缺乏完整性驗證機制，導致模塊容易被攻擊篡改，并且模塊之間的接口缺乏對機密性、完整性的保護，在此之上傳遞的信息容易被篡改和竊聽。憑借智能終端高效的計算能力和不斷擴展的網絡帶寬，終端本身的安全漏洞很可能轉化為對運營商網絡的安全威脅。

1.3安全防護體系建設相對滯后

隨著云計算云服務、移動支付的引入和發展，給運營商現有的基礎網絡架構及其安全帶來了不可預知的風險。新興的電信增值業務規模不斷擴大，用戶數量不斷增加，因此更易受到網絡的攻擊、黑客的入侵。新技術新業務在帶來營收增長的同時，也帶來了越來越多的安全威脅因素和越來越復雜的網絡安全問題，使得運營商對新業務安全管控的難度越來越大。面對新技術新業務帶來的風險，行業安全標準的制定相對滯后，現階還不能夠對威脅安全的因素做出一個全面客觀的評估，因此也就談不上制定相應的風險防范應對措施，并且業界對新領域的安全防護經驗不夠豐富，當出現重大威脅網絡安全事件的時候，對故障的響應處理能力還有待商榷。

2電信運營商網絡安全防護措施

2.1加強網絡安全的維護工作

面對網絡信息安全存在的挑戰，基礎安全維護工作是根本，運營商需要做好安全保障和防護工作，并在實踐中不斷加強和完善。對網絡中各類系統、服務器、網絡設備進行加固，定期開展安全防護檢查，實現現有網絡安全等級的提升。安全維護人員在日常工作中也必須按照規定嚴格控制網絡維護設備的訪問控制權限，加強網絡設備賬號口令及密碼的管理，提高網絡安全防護能力。

2.2加強新興領域的安全建設

云計算、移動互聯網等新技術新業務的發展，帶來了復雜的網絡信息安全問題，為了加強對新興領域的安全管理，運營商需要從新領域安全策略的制定和安全手段的創新兩方面著手。

2.2.1加強安全策略的制定

應對新技術新業務的挑戰，對全網安全需要重新規劃和管理，建立與之匹配的安全標準、安全策略作為行動指導，并形成對服務提供商的監控監管。在新業務規劃時，安全規劃要保持同步，從業務設計開始就應將安全因素植入，盡量早發現漏洞、彌補漏洞。

2.2.2加強安全手段的創新

新技術的發展讓傳統網絡的安全系統和防御機制難以滿足日益復雜的安全防護需求，需要有新的安全防御手段與之抗衡。因此集監控分析、快速處置為一體的云安全等新的技術手段就值得我們去不斷研究，并進行商用部署。

2.3加強安全防護管理體系的建設

做好管理體系的建設，首先需要制定配套的規章制度。網絡信息的安全，必須以行之有效的安全規章制度作保證。需明確安全管理的范圍，確定安全管理的等級，把各項安全維護工作流程化、標準化，讓安全管理人員和安全維護人員明確自身的職責，從而有效地實施安全防護措施和網絡應急響應預案，提高運營商整體的安全防護能力。其次需要建立縱向上貫穿全國的安全支撐體系。隨著網絡的聚合程度越來越高，省份之間的耦合程度越來越密，全國就是一張密不可分的網。因此需建立全國一體化的、統一調度管理的安全管理支撐體系。當出現攻擊時集團、省、市三級安全支撐隊伍能聯動起來，做到應對及時有效。

篇9

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術的迅速發展，世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合，旨在改變政府、企業和市民交互的方式，提高明確性、效率、靈活性和響應速度，促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發展，關注提高城市經濟和社會活動的綜合競爭力，越來越受到中國各個城市領導者的認同和肯定。

徐州市在“十二五”伊始，深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發展方式、加強社會建設與管理，解決發展深層次問題等方面的重要作用，將“智慧徐州”建設納入了未來城市發展的戰略主題，希望通過智慧徐州建設，以信息資源整合、共享、利用為抓手，健全公共服務，增進民生幸福，科技創新驅動產業轉型升級，智能手段創新城市管理模式，采約建設實現信息基礎全面領先，為把我市建設成“同類城市中環境最為秀美、文化事業最為繁榮、富民強市最為協調的江南名城”提供有力支撐。

網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網絡系統進行數據傳輸，規劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩定、高速地運行。

1 網絡安全建設

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風險也較傳統應用高出很多，因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面：

1.1 安全的網絡結構

安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業務處理時能夠有足夠的冗余空間，來滿足處理高峰業務時期帶來的需求；確保網絡各部分的帶寬能夠滿足高峰業務時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務器之間建立；按照提出需求的業務的重要性進行排序來指定分配帶寬優先級別，如果網絡發生擁堵，則優先保護重要的主機；能夠繪制出當前網絡運行情況的拓撲結構圖；參考不同部門之間的工作職能和涉及相關信息的重要程度等因素，來劃分成不同的子網和網段，與此同時在以方便管理和控制的前提下，進行地址分配；重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接，應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。

1.2 訪問控制安全

當在網絡邊界對控制設備進行訪問時，能夠啟動訪問控制功能；對實現過濾信息內容的功能，并且能對應用層的各種網絡協議實現命令級的控制；能自動根據會話的狀態信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設為端口級；能夠及時限制網絡的最大流量數和網絡的連接數量；當會話結束或非活躍狀態的會話處于一段時間后將終止網絡的連接；要采取有效的技術手段防止對重要的網段地址欺騙；能在遵守系統和用戶之間的訪問規則條件下，來決定用戶對受控系統進行資源的訪問是否被允許或拒絕，同時將單個用戶設置為控制粒度；具有撥號訪問權限的用戶數量受到限制。

在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑，政務網接入邊界安全網關：為內部區域提供邊界防護、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄；并且能夠分析所記錄的數據，生成相關的報表；為避免審計記錄受到未預期的修改、覆蓋或刪除等操作，應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。

網絡的審計安全主要內容有：為能夠有效記錄網絡設備、各區域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為，應在這些設備上開啟相應的審計功能，由安全管理員定期對日志信息和活動狀態進行分析，并發現深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯到內部網絡的非授權設備行為進行安全檢查，邊界完整性檢查要求能夠準確定出其位置，并進行有效的阻斷。

實現邊界完整性檢查的相關技術：

1）制定嚴格的檢查策略，將服務器區域在網絡設備上劃分為具有獨立功能的VLAN，同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問；

2）為提升系統自身的安全訪問控制能力，應對安全加固服務器系統采取相應措施。

1.5 入侵防范

網絡的入侵防范應能在網絡邊界處監視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區溢出攻擊等攻擊行為。當攻擊行為被檢測到時，應能記錄攻擊的時間、源IP、目的和類型，如果發生較為嚴重的入侵事件，應及時提供警報信息。通過前置防火墻實現入侵防御的功能。

1.6 惡意代碼防范

在網絡邊界處檢測和清除惡意代碼，對惡意代碼數據庫的升級和系統檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。

1.7 網絡設備的安全防護

網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址；在網絡設備用戶的標識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網絡設備對同一用戶進行身份時鑒別時，應當選擇幾種組合的鑒別技術來鑒別，避免只使用一種鑒別技術；鑒別身份的信息應不易被冒用，網絡口令應定期更換而且要有一定的復雜度，不易破解；當登錄失敗時，能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施；當網絡設備被用戶遠程管理時，能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。

網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務，根據前面的網絡結構分析，系統采用若干臺核心交換機、匯聚交換機和接入交換機，實現各個安全區域的連接。

對于網絡設備，應進行相應的安全加固：

1）將樓層接入交換機的接口安全特性開啟，并將MAC進行綁定。

2）關閉不必要的服務，包括關閉CDP、Finger服務、NTP服務、BOOTp服務（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。

4）SNMP協議設置和日志審計，包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網絡安全防護

邊界防護：在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網絡之間，智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。

區域防護：比邊界防護更小的范圍是區域防護，指在一個區域設立的安全防護措施，具體到智慧徐州信息資源樞紐工程中，區域是比較小的網段或者網絡，智慧徐州信息資源樞紐工程的區域防護技術和產品采用接入防火墻。

節點防護：節點防護主要是指系統健壯性的保護，查堵系統的漏洞，它已經具體到其中某一臺主機或服務器的防護措施，建議智慧徐州信息資源樞紐工程中的產品和節點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。

3 網絡高可用

在智慧徐州信息資源樞紐工程網絡建設中，網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩定性，在智慧徐州信息資源樞紐工程核心網絡部分，核心交換機、接入防火墻等設備全部采用冗余配置，包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務局域網互聯，與服務器接入交換機互聯。在數據應用區，服務器通過雙網卡與服務器接入交換機互聯，保障了服務器連接的高可靠性。

4 數據安全

4.1 數據安全建設

數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業務的相關數據在存儲過程中進行檢測，如檢測到數據完整性有錯誤時采取必要的恢復措施，并且能對這些數據采用加密措施，以保證數據傳輸的保密性。

對于資源共享平臺系統的數據安全及備份恢復要求如下：

1）對于鑒別信息數據存儲的保密性要求，均可以通過加強物理安全及網絡安全，并實施操作系統級數據庫加固的方式進行保護；

2）對于備份及恢復要求，配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份；

3）需要通過制定并嚴格執行備份與恢復管理制度和備份與恢復流程，加強各系統備份恢復能力。

4.2 數據安全加密傳輸（VPN）

針對數據傳輸的安全性，部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議，保證數據在傳輸過程中的端到端安全性。

4.3 數據交換過程的安全保障

平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。

平臺業務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗，校驗方法是由發送消息的業務系統提供消息的原始長度和根據某種約定的驗證碼生成規則（比如 MD5 校驗規則）生成的驗證碼。

4.4 數據交換接口安全設計

平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業務系統來說，在調用平臺的Web Service接口時使用HTTPS 協議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業務系統來說，可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。

5 安全管理體系建設

在智慧徐州信息資源樞紐工程安全保障體系建設中，應該建立相應的安全管理體系，而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下，安全技術和安全產品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理，確保重點設施的安全，應該加強安全管理體系的建設。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統進行細致的調查、評估之后，結合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導，是安全策略體系基本結構的最高層，它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。

在安全方針的指導下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內容的制定和執行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此，需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系，以跟蹤行業趨勢，監督安全標準和評估方法，并在處理安全事故時提供適當的聯絡渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統制定完善的動作體系，保證系統的安全運行。

參考文獻：

[1] 吳小坤，吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

篇10

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業務靈活性、成本控制成為企業經營者最關心的問題，彈性靈活的業務流程需求日益加強，辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現，促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網，一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理，國家監管部門對企業的內控管理提出了多項規范要求，包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發展，網絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰不斷增加。特別是云的應用，云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系，滿足業務發展的需要，已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。

2 大型企業網絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調查報告》顯示：29％的企業定期遭受網絡攻擊，71％ 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大，信息系統多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業網絡應用存在的安全威脅主要包括：（1）內網應用不規范。企業網絡行為不加限制，P2P下載等信息占據大量的網絡帶寬，同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網，對內網應用系統安全構成威脅。（2）網絡接入控制不嚴。網絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統安全措施不全。企業中的VPN系統，特別是二級單位自建的VPN系統，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統員工用戶，行為難以監管和約束。（4）衛星信號易泄密。衛星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區作業的一線生產單位，通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網絡安全風險較大。無線接入由于靈活方便，常在局域網絡中使用，但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范，大多數二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產網被來自管理網絡的病毒感染。

3 大型企業網絡安全防護體系建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業信息安全保障體系建設列為信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網絡安全域建設是其重要建設內容。

中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統，是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路，承載對內服務業務信息系統的網絡，與外網邏輯隔離。外網是實現對外提供服務和應用的網絡，與互聯網相連（見圖1）。

為了構建安全可靠的中國石油網絡安全架構，中國石油通過劃分中國石油網絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網絡的安全性，同時，為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想，將項目分為：廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。

廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時，還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護，所有單位均通過16個互聯網出口對外聯系，規劃DMZ，制定統一的策略，對外服務應用統一部署DMZ，內網與外網邏輯隔離，內網員工能正常收發郵件、瀏覽網頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網與內網接入點進行部署，并根據其在網絡層面由下至上的分布，保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況，將數據中心劃分為4個安全區域，分別是核心網絡、二級系統區、三級系統區、網絡管理區；通過完善數據中心核心網絡與廣域網邊界，二級系統、三級系統、網絡管理區與核心區邊界，二、三級系統區內部各信息系統間的邊界防護，構成數據中心縱深防御的體系，提升整體安全防護水平。

域內防護是指分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準，實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎，并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式，為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎，實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠，從而確保區域網絡中心、數據中心互聯網接入的安全性。

4 結束語

一個穩定安全的企業信息網絡已成為企業正常運營的基本條件，然而信息網絡的安全威脅日益加劇，企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設，系統地解決網絡安全問題，供其他企業參考。

主要參考文獻