引論：我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全加固建設(shè)范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

東北財經(jīng)大學(xué)經(jīng)過不斷發(fā)展、完善的信息化歷程，完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬升級。同時學(xué)校數(shù)據(jù)服務(wù)區(qū)運(yùn)行著包括門戶網(wǎng)站、電子郵箱、數(shù)字校園、移動辦公等重要業(yè)務(wù)系統(tǒng)，隨著各類應(yīng)用系統(tǒng)的不斷上線，逐步構(gòu)成了一個服務(wù)于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺。但另一方面，承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)安全防護(hù)與檢測的技術(shù)手段卻仍然相對落后。在當(dāng)前復(fù)雜多變的信息安全形勢下，無論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無意造成的安全隱患，都給學(xué)校的網(wǎng)絡(luò)安全管理工作帶來較大壓力。而同時，勒索病毒爆發(fā)、信息泄露、上級部門要求、法律法規(guī)監(jiān)管等，都在無形中讓學(xué)校的信息安全管理壓力越來越大。筆者根據(jù)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)2．0標(biāo)準(zhǔn)的要求，在現(xiàn)有的架構(gòu)下對東北財經(jīng)大學(xué)校園網(wǎng)絡(luò)進(jìn)行了安全加固設(shè)計，提升了校園網(wǎng)主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)的能力。

1現(xiàn)狀及問題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下，學(xué)校各類業(yè)務(wù)系統(tǒng)在開發(fā)時難免遺留一些安全漏洞，目前學(xué)校安全防護(hù)僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的安全網(wǎng)關(guān)設(shè)備，傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對層出不窮的應(yīng)用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發(fā)動緩沖區(qū)溢出，SQL注入、XSS、CSRF等應(yīng)用層攻擊，并獲得系統(tǒng)管理員權(quán)限，從而進(jìn)行數(shù)據(jù)竊取和破壞，對學(xué)校核心業(yè)務(wù)數(shù)據(jù)的安全造成了嚴(yán)重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對學(xué)校的各類學(xué)生信息、一卡通等財務(wù)數(shù)據(jù)信息更是安全防護(hù)的重中之重，如有閃失，在損害學(xué)校師生利益的同時也造成很大的不良影響和法律追責(zé)問題。東北財經(jīng)大學(xué)出口7Gbps帶寬，由電信、聯(lián)通、移動、教育網(wǎng)等多家運(yùn)營商組成。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴(kuò)大以及提速降費(fèi)的背景，互聯(lián)網(wǎng)出口將會達(dá)到15Gbps帶寬以上，原有的帶寬出口網(wǎng)關(guān)弊端顯露：具體包括網(wǎng)關(guān)性能不足，無法支持大帶寬，老舊設(shè)備無法勝任大流量的轉(zhuǎn)發(fā)工作；IPv6網(wǎng)絡(luò)不兼容，無法平滑升級，后續(xù)無法滿足國家政策進(jìn)行IPv6改造的規(guī)劃；上網(wǎng)審計和流量控制功能不完善，原有網(wǎng)關(guān)未集成上網(wǎng)行為審計功能，未能完全滿足網(wǎng)絡(luò)安全法，保障合規(guī)上網(wǎng)；不支持基于應(yīng)用的流量控制，帶寬出口的流量控制效果不佳；對上網(wǎng)行為缺乏有效管理和分析手段，針對學(xué)生上網(wǎng)行為沒有好的管理手段和分析方法。同時等級保護(hù)2．0也對云安全和虛擬化環(huán)境下的網(wǎng)絡(luò)安全問題作了要求。東北財經(jīng)大學(xué)信息化建設(shè)起步較早，目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實現(xiàn)了虛擬化，主要業(yè)務(wù)系統(tǒng)均在虛擬機(jī)上運(yùn)行，虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性，但現(xiàn)有的120余臺虛擬機(jī)的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設(shè)的新問題。為了響應(yīng)《網(wǎng)絡(luò)安全法》以及國家新頒發(fā)的網(wǎng)絡(luò)安全等級保護(hù)2．0的相關(guān)要求，提高東北財經(jīng)大學(xué)數(shù)據(jù)中心的整體安全防護(hù)與檢測能力，需要在以下幾個方面進(jìn)行安全建設(shè)：（1）構(gòu)建安全有效的網(wǎng)絡(luò)邊界。主要通過增加學(xué)校數(shù)據(jù)中心的邊界隔離防護(hù)、入侵防護(hù)、Web應(yīng)用防護(hù)、惡意代碼檢測、網(wǎng)頁防篡改等安全防護(hù)能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強(qiáng)對網(wǎng)絡(luò)風(fēng)險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強(qiáng)內(nèi)網(wǎng)的持續(xù)檢測和外部的安全風(fēng)險監(jiān)測能力，主要技術(shù)手段包括：網(wǎng)絡(luò)流量威脅檢測、僵尸主機(jī)檢測、安全事件感知、橫向攻擊檢測、終端檢測響應(yīng)、異常行為感知等。（3）形成全網(wǎng)流量與行為可視的能力。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗；過濾不良網(wǎng)站和違法言論，保障學(xué)生健康上網(wǎng)和安全上網(wǎng)；全面審計所有網(wǎng)絡(luò)行為，滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求；在網(wǎng)絡(luò)行為可視可控的基礎(chǔ)之上，需要進(jìn)一步形成校園網(wǎng)絡(luò)全局態(tài)勢可視的能力。

2網(wǎng)絡(luò)安全加固技術(shù)方案

按原有拓?fù)?，將東北財經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡(luò)區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、運(yùn)維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個安全區(qū)域，并疊加云端的安全服務(wù)。各個區(qū)域通過核心網(wǎng)絡(luò)區(qū)域的匯聚交換與核心交換機(jī)相互連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問服務(wù)；數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學(xué)校門戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務(wù)系統(tǒng)；運(yùn)維管理區(qū)域主要負(fù)責(zé)對整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理和日志收集；校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓、圖書館、宿舍樓等子網(wǎng)，存在大量PC終端供學(xué)校師生使用；另外學(xué)校的教學(xué)樓、辦公樓均已實現(xiàn)了無線網(wǎng)絡(luò)的覆蓋。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網(wǎng)絡(luò)檢測等安全防護(hù)模塊，構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)融合安全邊界。通過部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問控制能力，能夠?qū)崿F(xiàn)基于IP地址、源／目的端口、應(yīng)用／服務(wù)、用戶、區(qū)域／地域、時間等元素進(jìn)行精細(xì)化的訪問控制規(guī)則設(shè)置；提供專業(yè)的漏洞攻擊檢測與防護(hù)能力，支持對服務(wù)器、口令暴力破解、惡意軟件等漏洞攻擊防護(hù)，同時IPS模塊可結(jié)合最新威脅情報對高危漏洞進(jìn)行預(yù)警和自動檢測；提供專業(yè)的Web應(yīng)用防護(hù)能力，針對SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進(jìn)行有效防護(hù)，同時提供網(wǎng)頁防篡改、黑鏈檢測以及惡意掃描防護(hù)能力，全面保障Web業(yè)務(wù)安全；提供內(nèi)網(wǎng)僵尸主機(jī)檢測能力，通過雙向流量檢測和熱門威脅特征庫結(jié)合，實現(xiàn)對木馬遠(yuǎn)控、惡意腳本、勒索病毒、僵尸網(wǎng)絡(luò)、挖礦病毒等威脅進(jìn)行有效識別，快速定位感染主機(jī)真實IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對校園網(wǎng)出口流量進(jìn)行全面管控，上網(wǎng)行為管理設(shè)備部署在核心交換機(jī)和出口路由器之間，所有流量都通過上網(wǎng)行為管理處理，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能，設(shè)備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建設(shè)趨勢下網(wǎng)絡(luò)的平滑改造。為了有效管控和審計，設(shè)備選型必須能夠全面識別各種應(yīng)用：（1）支持千萬級URL庫、支持基于關(guān)鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù)；（2）擁有強(qiáng)大的應(yīng)用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內(nèi)容檢測：IM聊天、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP／IP協(xié)議等；（5）通過P2P智能識別技術(shù)，識別出不常見、未來可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計。通過強(qiáng)大的應(yīng)用識別技術(shù)，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應(yīng)用行為等都能有效實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。同時，也要提供網(wǎng)絡(luò)流量可視化方案，管理員可以查看出口流量曲線圖、當(dāng)前流量應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況。對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結(jié)果等，幫助管理員了解流量用戶排名、應(yīng)用排名等，并自動形成報表文檔，全面掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準(zhǔn)確依據(jù)。同時支持多線路復(fù)用和智能選路功能，通過多線路復(fù)用及帶寬疊加技術(shù)，復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，將網(wǎng)流量自動匹配最佳出口。具備全面的合規(guī)審計及管控功能，支持對內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進(jìn)行審計記錄，滿足《網(wǎng)絡(luò)安全法》的要求，能有效防范學(xué)生網(wǎng)上不良言論、訪問非法網(wǎng)站等高風(fēng)險行為，規(guī)避法律風(fēng)險。在數(shù)據(jù)業(yè)務(wù)區(qū)物理服務(wù)和3個虛擬化服務(wù)器集群上每臺虛擬機(jī)安裝EDR客戶端，針對終端維度提供惡意代碼防護(hù)、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務(wù)器、Vmware集群和超云集群，進(jìn)行統(tǒng)一的主機(jī)／虛擬機(jī)邏輯安全域劃分，同時實現(xiàn)云內(nèi)流量可視、可控，滿足等保2．0云計算擴(kuò)展項要求。通過部署EDR構(gòu)建立體可視的端點安全能力，實現(xiàn)全網(wǎng)風(fēng)險可視，展示全網(wǎng)終端狀態(tài)分布，顯示當(dāng)前安全事件總覽及安全時間分布全網(wǎng)終端安全概覽，支持針對主機(jī)參照等級保護(hù)標(biāo)準(zhǔn)進(jìn)行安全基線核查，快速發(fā)現(xiàn)不合規(guī)項。部署于每臺VM上的端點agent，能夠?qū)υ苾?nèi)不同VM、不同業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系、訪問路徑、橫向威脅進(jìn)行檢測與響應(yīng)，EDR與虛擬化底層平臺解耦合，解決多虛擬化環(huán)境下的兼容性問題，構(gòu)建動態(tài)安全邊界。構(gòu)建多維度漏斗型檢測框架，EDR平臺內(nèi)置文件信譽(yù)檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結(jié)語

通過該方案，提升了威脅防護(hù)、風(fēng)險應(yīng)對能力。能夠從容應(yīng)應(yīng)對勒索病毒、0Day攻擊、APT攻擊、社會工程學(xué)、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運(yùn)維壓力，可以極大降低運(yùn)維的復(fù)雜度，提升安全治理水平，達(dá)到了設(shè)計要求。

參考文獻(xiàn)

［1］李鍇淞．對于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討［J］．?dāng)?shù)字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網(wǎng)合作運(yùn)營探索［J］．網(wǎng)絡(luò)安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網(wǎng)絡(luò)安全防控［J］．計算機(jī)產(chǎn)品與流通，2019（9）．

篇2

隨著我國國際地位的不斷提高和經(jīng)濟(jì)的持續(xù)發(fā)展，我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴(yán)重?fù)p失，因此，維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重，加強(qiáng)網(wǎng)絡(luò)信息安全等級保護(hù)建設(shè)刻不容緩。

1 網(wǎng)絡(luò)信息安全等級保護(hù)

信息安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護(hù)體系包括技術(shù)和管理兩大部分，如圖1所示，其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、物理安全五個方面進(jìn)行建設(shè)。

圖1 等級保護(hù)基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。

2） 主機(jī)安全

主機(jī)系統(tǒng)安全是計算機(jī)設(shè)備（包括服務(wù)器、終端/工作站等）在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全；通過部署終端安全管理系統(tǒng)（TSM），準(zhǔn)入認(rèn)證網(wǎng)關(guān)（SACG），以及專業(yè)主機(jī)安全加固服務(wù)，可以實現(xiàn)等級保護(hù)對主機(jī)安全防護(hù)要求。

3） 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護(hù)重點是確保網(wǎng)絡(luò)之間合法訪問，檢測，阻止內(nèi)部，外部惡意攻擊；通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為合法的用戶提供合法網(wǎng)絡(luò)訪問，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。

4） 應(yīng)用安全

應(yīng)用安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行，包括各種基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等；部署的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密，數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護(hù)，降低數(shù)據(jù)因意外事故，或者丟失給造成危害。

5） 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)；通過對所有信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機(jī)的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)要求安全事件審計報告，制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程。

2 應(yīng)用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護(hù)定級備案、建設(shè)整改和等級測評等工作，某醫(yī)院的核心系統(tǒng)按照等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系，全面保護(hù)醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)，不是對整個系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)；通過安全域劃分，實現(xiàn)對不同系統(tǒng)的差異防護(hù)，并防止安全問題擴(kuò)散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護(hù)需求，因此需要將不同特性的系統(tǒng)進(jìn)行歸類劃分安全域，并明確各域邊界，分別考慮防護(hù)措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示，外網(wǎng)是一個星型的快速以太交換網(wǎng)，核心為一臺高性能三層交換機(jī)，下聯(lián)內(nèi)網(wǎng)核心交換機(jī)，上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機(jī)和DMZ隔離區(qū)，外聯(lián)互聯(lián)網(wǎng)出口路由器，內(nèi)網(wǎng)交換機(jī)向下連接信息點（終端計算機(jī)），外網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)核心交換機(jī)之間采用千兆光纖鏈路，內(nèi)網(wǎng)交換機(jī)采用百兆雙絞線鏈路下聯(lián)終端計算機(jī)，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要，直接影響到等級保護(hù)系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡(luò)安全要求

系統(tǒng)定級為3級，且等級保護(hù)要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇，外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結(jié)構(gòu)安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網(wǎng)絡(luò)設(shè)備防護(hù)（G3） 。

2.2網(wǎng)絡(luò)安全策略

根據(jù)對醫(yī)院外網(wǎng)機(jī)房區(qū)域安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，制定相應(yīng)的網(wǎng)絡(luò)安全策略

1） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略

要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施，監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)，那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

3） 網(wǎng)絡(luò)入侵檢測策略

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運(yùn)行安全策略

運(yùn)行安全策略包括：建立全網(wǎng)的運(yùn)行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護(hù)，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制。

2） 網(wǎng)絡(luò)入侵防護(hù)

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護(hù)級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)，防護(hù)級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為，因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致；在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護(hù)的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機(jī)必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進(jìn)行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致，使用光纖接口；

②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護(hù)，邊界完整性檢查等。

①邊界完整性檢查：在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨(dú)立VLAN，并制定嚴(yán)格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進(jìn)行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進(jìn)行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進(jìn)行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護(hù)：網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進(jìn)行以下的安全加固：開啟樓層接入交換機(jī)的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護(hù)是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護(hù)系統(tǒng)建設(shè)的過程中，應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進(jìn)行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護(hù)技術(shù)建設(shè)方案，希望能夠為用戶的等級保護(hù)建設(shè)提出參考。

參考文獻(xiàn)：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

篇3

（1）人為因素方面存在的安全隱患

計算機(jī)網(wǎng)絡(luò)技術(shù)的普及應(yīng)用給官兵日常工作帶來了極大的方便，只要用一臺電腦就可以進(jìn)行日常辦公。然而，消防部隊官兵網(wǎng)絡(luò)安全意識淡薄，缺乏安全知識，或打開網(wǎng)頁瀏覽網(wǎng)絡(luò)信息后不能及時關(guān)閉網(wǎng)頁，導(dǎo)致重要信息泄露；或數(shù)字證書使用后不能及時從電腦上取下，埋下安全隱患；或使用U盤、移動硬盤等移動數(shù)碼存儲介質(zhì)時沒有進(jìn)行殺毒處理，極易導(dǎo)致系統(tǒng)感染病毒或造成系統(tǒng)信息泄露；或不注意對殺毒軟件進(jìn)行更新、升級，無法保證殺毒軟件的監(jiān)控功能和查殺功能。另外，消防部隊官兵大部分不屬于計算機(jī)專業(yè)，接觸計算機(jī)網(wǎng)絡(luò)項目少，缺乏網(wǎng)絡(luò)安全維護(hù)知識，對網(wǎng)絡(luò)安全防護(hù)操作不了解，在系統(tǒng)應(yīng)用過程中容易出現(xiàn)一機(jī)兩用、信息泄密、感染病毒等現(xiàn)象。消防部隊官兵網(wǎng)絡(luò)系統(tǒng)安全意識淡薄、安全防護(hù)知識缺乏為消防部隊的網(wǎng)絡(luò)系統(tǒng)埋下了極大的安全隱患。

（2）網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)以及技術(shù)方面存在的安全隱患

由于受投入資金的限制，消防部分的網(wǎng)絡(luò)信息化建設(shè)明顯不完善，尤其是調(diào)度指揮網(wǎng)的建設(shè)以及各種專用網(wǎng)的建設(shè)均無法滿足現(xiàn)實需求，即沒有做到專網(wǎng)專機(jī)專用，在網(wǎng)絡(luò)安全隔離方面也沒有設(shè)置網(wǎng)閘、硬件防火墻等安全防護(hù)設(shè)施，而且僅僅采用雙網(wǎng)卡接入方式實現(xiàn)部分網(wǎng)絡(luò)的接入，使網(wǎng)絡(luò)系統(tǒng)的安全性得不到保障。另外，部分網(wǎng)絡(luò)為了調(diào)試方便，幾乎在電腦硬件上不設(shè)置任何防護(hù)措施，使電腦端口呈開發(fā)狀態(tài)，這樣極易給一些不法人員以可乘之機(jī)嗎，對系統(tǒng)實施惡意攻擊，最終導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。在網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用方面，在安全防護(hù)技術(shù)方面的投入不足，殺毒軟件等安全防護(hù)軟件不能及時更新、升級，系統(tǒng)漏洞較多，容易受到攻擊及病毒感染，甚至造成不同網(wǎng)絡(luò)的病毒交叉感染，最終系統(tǒng)癱瘓。

（3）數(shù)據(jù)存儲存方面存在的安全隱患

隨著系統(tǒng)數(shù)量的不斷增加，數(shù)據(jù)的存儲問題越來越突出，如何保證數(shù)據(jù)的完整性、安全性使目前要解決的重要問題。導(dǎo)致系統(tǒng)數(shù)據(jù)丟失的因素有很多，網(wǎng)絡(luò)硬件故障、系統(tǒng)管理不善或者自然災(zāi)害等情況均可以導(dǎo)致數(shù)據(jù)丟失。消防部隊網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)存儲存在的安全風(fēng)險主要體現(xiàn)在以下幾個方面：①操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的安全防護(hù)能力不高，當(dāng)系統(tǒng)造成惡意攻擊時可導(dǎo)致系統(tǒng)崩潰，進(jìn)而造成數(shù)據(jù)丟失；②系統(tǒng)的硬件由于兼容性的限制而無法實現(xiàn)數(shù)據(jù)的有效備份，一旦計算機(jī)硬盤發(fā)生故障即可導(dǎo)致存儲數(shù)據(jù)丟失；③系統(tǒng)數(shù)據(jù)缺乏完善的保密機(jī)制，導(dǎo)致數(shù)據(jù)泄露現(xiàn)象頻發(fā)。

2消防部隊計算機(jī)網(wǎng)絡(luò)安全隱患的應(yīng)對策略

2.1加強(qiáng)硬件防護(hù)

硬件是實現(xiàn)信息化建設(shè)的基礎(chǔ)設(shè)施，是解決網(wǎng)絡(luò)安全問題的關(guān)鍵所在。首先要加強(qiáng)機(jī)房建設(shè)，健全機(jī)房設(shè)備，建立高效的、適用的供電系統(tǒng)、UPS系統(tǒng)、防雷系統(tǒng)等，機(jī)房交換機(jī)設(shè)備、路由器設(shè)備要保證具有較好的穩(wěn)定性性和較高的運(yùn)行速度，以確保網(wǎng)絡(luò)通信暢通。機(jī)房服務(wù)器的運(yùn)行指標(biāo)要滿足一定要求，保證服務(wù)器穩(wěn)定、高效運(yùn)行。網(wǎng)閘、硬件防火墻的等設(shè)備要符合公安要求，以便實現(xiàn)不同網(wǎng)絡(luò)之間的對接，這對保證網(wǎng)絡(luò)的安全運(yùn)行非常重要。另外，在數(shù)據(jù)存儲方面，一定要加強(qiáng)移動存儲介質(zhì)應(yīng)用的管理，移動存儲介質(zhì)在對接公安網(wǎng)時要進(jìn)行殺毒，存儲介質(zhì)在確定不含機(jī)密文件的情況下才能插入如聯(lián)網(wǎng)。網(wǎng)絡(luò)建設(shè)中各種硬件設(shè)備一旦發(fā)生故障要及時維修或者更換。

2.2加強(qiáng)軟件防護(hù)

消防部隊的網(wǎng)絡(luò)建設(shè)需要安裝正版的系統(tǒng)軟件，一方面保證系統(tǒng)的性能，另一方面保證系統(tǒng)的安全。在數(shù)據(jù)庫的管理和應(yīng)用中，需要由專業(yè)的計算機(jī)網(wǎng)絡(luò)管理人員進(jìn)行數(shù)據(jù)庫操作，在設(shè)計數(shù)據(jù)庫的過程中要考慮到各數(shù)據(jù)之間的關(guān)系，并正確配置，對數(shù)據(jù)庫的用戶數(shù)量進(jìn)行一定限制，明確不同用戶的職責(zé)范圍和使用權(quán)限，對于一些機(jī)密數(shù)據(jù)要進(jìn)行加密處理。為了保證數(shù)據(jù)的完整性和有效性，要做好數(shù)據(jù)庫數(shù)據(jù)備份工作，制定完善的數(shù)據(jù)備份策略。嚴(yán)格遵守軟件的開發(fā)要求，有必要時需要關(guān)閉影響網(wǎng)絡(luò)安全的服務(wù)，以確保系統(tǒng)的安全運(yùn)行。加強(qiáng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用，安裝殺毒軟件，設(shè)置防火墻，定期檢查和修復(fù)系統(tǒng)漏洞，同時注意對殺毒軟件的更新。目前應(yīng)用較廣泛的計算機(jī)網(wǎng)絡(luò)安全防范技術(shù)有加密技術(shù)、防火墻、病毒防護(hù)技術(shù)、入侵檢測技術(shù)等。①加密技術(shù)是進(jìn)行網(wǎng)絡(luò)安全防護(hù)的核心技術(shù)，經(jīng)過多樣的研究和開發(fā)，現(xiàn)代加密技術(shù)基本已經(jīng)實現(xiàn)了數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)真實性以及數(shù)據(jù)可控性的完美結(jié)合，在當(dāng)前的網(wǎng)絡(luò)信息安全管理中發(fā)揮著重要作用。②防火墻是阻擋網(wǎng)絡(luò)外部風(fēng)險的重要措施，是一種用于加強(qiáng)網(wǎng)絡(luò)之間安全訪問控制，阻止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，是一種非常有效的安全策略。根據(jù)所采用技術(shù)的不同，防火墻可分為多個類型，包括過濾性防火墻、型防火墻、監(jiān)測型防火墻等等。③病毒是網(wǎng)絡(luò)安全的最大隱患之一，采用有效的防病毒技術(shù)可以防止病毒對計算機(jī)系統(tǒng)造成破壞。當(dāng)前的防病毒技術(shù)主要有病毒預(yù)防技術(shù)、病毒檢測技術(shù)以及病毒消除技術(shù)等。

2.3加強(qiáng)管理

（1）建立健全的網(wǎng)絡(luò)安全防范機(jī)制

其一，制定物理隔離相關(guān)規(guī)定，并加強(qiáng)執(zhí)行力度，以消除一機(jī)兩用的現(xiàn)象；其二，規(guī)范網(wǎng)絡(luò)安全管理和維護(hù)，局域網(wǎng)內(nèi)需安裝網(wǎng)絡(luò)版防病毒軟件以及其他安全防護(hù)軟件，并進(jìn)行及時更新、升級，以便最大程度消除安全隱患。其三，針對網(wǎng)絡(luò)病毒制定有效的應(yīng)急預(yù)案，以應(yīng)對大規(guī)模的病毒發(fā)作，提高系統(tǒng)運(yùn)行性能和應(yīng)急能力。

（2）對主機(jī)本身進(jìn)行安全加固

服務(wù)器是網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵部分，一定因為服務(wù)器問題引發(fā)安全問題或者導(dǎo)致系統(tǒng)癱瘓將會造成不可估量的損傷，所以網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)必須要重視對服務(wù)器的管理，對重點服務(wù)器進(jìn)行安全加固。服務(wù)器加固的方法有多種，常見的有增打補(bǔ)丁、或利用安全掃描技術(shù)對系統(tǒng)服務(wù)器進(jìn)行掃描分析，以便找出系統(tǒng)中潛在的安全隱患，并及時消除。另外，對重要的、安全級別較高的系統(tǒng)建立應(yīng)急預(yù)案，同時建立數(shù)據(jù)安全策略。

（3）制定詳細(xì)的管理措施

為了進(jìn)一步加強(qiáng)安全管理，消防部隊?wèi)?yīng)根據(jù)實際需求制定比較詳細(xì)的管理細(xì)節(jié)，同時對計算機(jī)系統(tǒng)進(jìn)行安全風(fēng)險評估，通過對系統(tǒng)的定期分析了解系統(tǒng)各個層次的安全狀況以及潛在的風(fēng)險，信息安全評估內(nèi)容包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、軟件安全、數(shù)據(jù)安全、應(yīng)用安全、管理安全等等多個方面，其中尤其要重視軟件的安全，詳細(xì)分析各種安全要素，以保證系統(tǒng)軟件的安全應(yīng)用。

（4）制定完善的訪問控制策略

有效的控制訪問策略是提高系統(tǒng)安全抵抗能力，缺乏系統(tǒng)數(shù)據(jù)安全性的重要手段。網(wǎng)絡(luò)系統(tǒng)的安全控制管理一方面要建立認(rèn)證系統(tǒng)，為確保系統(tǒng)數(shù)據(jù)信息的安全性必須要加強(qiáng)訪問權(quán)限管理。另一方面可以充分應(yīng)用IP限制技術(shù)、或者與MAC綁定技術(shù)加強(qiáng)系統(tǒng)訪問控制管理。

（5）提高全員的安全意識，加強(qiáng)安全知識學(xué)習(xí)

隨著網(wǎng)絡(luò)系統(tǒng)的普及應(yīng)用，提高安全意識是保證網(wǎng)絡(luò)系統(tǒng)安全性的關(guān)鍵所在。其一，必須要從思想上認(rèn)識到網(wǎng)絡(luò)安全防護(hù)的重要性，杜絕使用未經(jīng)殺毒處理、或者其他來歷不明的軟件，不隨便查看、閱讀、下載網(wǎng)絡(luò)上來歷不明的郵件或者文件；其二，用戶應(yīng)增強(qiáng)安全防護(hù)意識，對計算機(jī)系統(tǒng)要設(shè)置密碼，不使用影響系統(tǒng)完全的服務(wù)，取消完全共享，并定期對系統(tǒng)和相關(guān)軟件進(jìn)行殺毒，增打補(bǔ)丁。其三，對全體官兵進(jìn)行網(wǎng)絡(luò)安全知識教育和普及，并落實網(wǎng)絡(luò)安全責(zé)任，培養(yǎng)高素質(zhì)的計算機(jī)網(wǎng)絡(luò)安全維護(hù)人才。

3結(jié)論

網(wǎng)絡(luò)安全防護(hù)是一個比較復(fù)雜的、需要長期堅持的任務(wù)，隨著計算機(jī)技術(shù)的快速發(fā)展，計算機(jī)病毒、網(wǎng)絡(luò)攻擊等威脅系統(tǒng)安全的技術(shù)也不斷升級、更新，讓人防不慎防范。在網(wǎng)絡(luò)安全問題逐漸多樣化、復(fù)雜化的趨勢性，網(wǎng)絡(luò)安全防護(hù)也需要從多方面加強(qiáng)防護(hù)措施，建立多層次的、立體的防護(hù)體系，全方位維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

作者：李哲強(qiáng) 單位：呼倫貝爾市公安消防支隊司令部

引用：

[1]唐鎮(zhèn).基層消防部隊網(wǎng)絡(luò)和信息安全問題及管理對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[2]郭浩.當(dāng)前消防部隊網(wǎng)絡(luò)信息安全問題及措施分析[J].信息安全與技術(shù)，2013.

篇4

一、網(wǎng)絡(luò)系統(tǒng)架構(gòu)

遵循中國石油局域網(wǎng)建設(shè)和運(yùn)維規(guī)范，結(jié)合各地油田實際，科學(xué)規(guī)劃，從網(wǎng)絡(luò)架構(gòu)、設(shè)備配置、系統(tǒng)承載能力、網(wǎng)絡(luò)帶寬等全面構(gòu)架網(wǎng)絡(luò)。

網(wǎng)絡(luò)架構(gòu)設(shè)計。按照核心層、匯聚層、接入層三層架構(gòu)的設(shè)計原則，在主要油氣區(qū)設(shè)置網(wǎng)絡(luò)匯聚節(jié)點，提高網(wǎng)絡(luò)覆蓋面，滿足油氣生產(chǎn)需要。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用雙星型結(jié)構(gòu)。自有電路與社會電路資源結(jié)合使用，在鏈路層面提高了油氣區(qū)網(wǎng)絡(luò)的可靠性和安全性。對于主要油氣區(qū)域的匯聚節(jié)點，采用網(wǎng)狀組網(wǎng)方式，增加到其他匯聚節(jié)點的千兆級電路，提高網(wǎng)絡(luò)冗余度。

設(shè)備配置。主干節(jié)點設(shè)備采用冗余配置。西安網(wǎng)絡(luò)核心、各網(wǎng)絡(luò)匯聚節(jié)點及重要三級節(jié)點的路由器、交換機(jī)，采用雙設(shè)備冗余配置。用設(shè)備與備份設(shè)備雙機(jī)模式工作，在系統(tǒng)或者硬件故障時候應(yīng)用自動切換，在硬件層面提高主干網(wǎng)絡(luò)的安全性、可靠性。

網(wǎng)絡(luò)帶寬。油田的數(shù)字化管理全面展開，計算機(jī)網(wǎng)絡(luò)的帶寬需要按照業(yè)務(wù)需求進(jìn)行規(guī)劃。將網(wǎng)絡(luò)業(yè)務(wù)分為生產(chǎn)、辦公、住宅三類，逐一預(yù)測帶寬。將主干網(wǎng)絡(luò)承載的主要業(yè)務(wù)生產(chǎn)數(shù)據(jù)按照其業(yè)務(wù)層級.從井站、作業(yè)區(qū)、廠部到公司，逐級分解，明確了主干網(wǎng)絡(luò)的帶寬需求，初步確定了網(wǎng)絡(luò)核心與各匯聚節(jié)點之間采用雙2.5Gbps鏈路互聯(lián)，三級節(jié)點至網(wǎng)絡(luò)匯聚節(jié)點采用1―2個1000Mbps-ff聯(lián)，核心網(wǎng)絡(luò)采用雙萬兆互聯(lián)的鏈路方案。為確保鏈路的可靠性，主要節(jié)點之間采用雙鏈路互聯(lián)。

二、網(wǎng)絡(luò)安全體系的規(guī)劃和構(gòu)建

如何規(guī)劃和設(shè)計好網(wǎng)絡(luò)安全體系，是油田數(shù)字化管理基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重中之重，也是支持各種信息化應(yīng)用系統(tǒng)運(yùn)行的關(guān)鍵所在。按照中國石油的統(tǒng)一規(guī)劃，各油田計算機(jī)網(wǎng)絡(luò)，對上，與中國石油總部內(nèi)部網(wǎng)絡(luò)互聯(lián)，對外，可以就地通過電信運(yùn)營商接入Internet。這樣就可以從結(jié)構(gòu)上將網(wǎng)絡(luò)安全分為內(nèi)部安全、外部安全進(jìn)行考慮。油田在打造暢通、可靠的油田計算機(jī)主干網(wǎng)絡(luò)的同時，同步做好網(wǎng)絡(luò)安全工作，從網(wǎng)絡(luò)的邊界層、核心層、接入層及安全體系等方面進(jìn)行統(tǒng)籌規(guī)劃，已初步形成了邊界嚴(yán)防護(hù)、核心重監(jiān)控、桌面勤補(bǔ)漏、全網(wǎng)建體系的網(wǎng)絡(luò)安全管理理念。網(wǎng)絡(luò)安全性得到加強(qiáng)，非正常應(yīng)用流量減少90%。在邊界層，采用防火墻及IPS技術(shù)，實現(xiàn)對來自外網(wǎng)的安全第一級防護(hù)；在網(wǎng)絡(luò)核心層，首次在企業(yè)網(wǎng)應(yīng)用了流量清洗技術(shù)，不僅實現(xiàn)了外網(wǎng)第二級安全防護(hù)，還實現(xiàn)企業(yè)內(nèi)部各個重要業(yè)務(wù)及用戶之間的流量監(jiān)測及攻擊性數(shù)據(jù)清洗；在接入層，采用漏洞掃描系統(tǒng)，不定期對敏感業(yè)務(wù)系統(tǒng)進(jìn)行掃描和加固，及時發(fā)現(xiàn)安全隱患并予以消除；在主干網(wǎng)方面，以建立網(wǎng)絡(luò)安全體系為核心，加強(qiáng)網(wǎng)絡(luò)安全管理，初步建立起了主干網(wǎng)的安全評估體系。

1、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。在與互聯(lián)網(wǎng)的接入部分，按照安全區(qū)、信息交換區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)三個安全區(qū)進(jìn)行建設(shè)，規(guī)劃兩臺防火墻，考慮到出口網(wǎng)絡(luò)萬兆升級以及防火墻處理能力，同時為了降低出口網(wǎng)絡(luò)復(fù)雜度，選擇自帶IPS功能的防火墻，通過防火墻設(shè)備完成出口網(wǎng)絡(luò)

的安全防護(hù)和入侵防護(hù)功能。防火墻選型上既考慮國內(nèi)產(chǎn)品自主知識產(chǎn)權(quán)的優(yōu)勢、又兼顧國外產(chǎn)品高性能及穩(wěn)定性好的特點。

2、內(nèi)網(wǎng)安全。通過對目前業(yè)界各類安全技術(shù)的跟蹤和研究，重點按照攙D層做清洗、桌面做漏洞掃描及加固、全網(wǎng)進(jìn)行安全體系建設(shè)三方面強(qiáng)化內(nèi)部網(wǎng)絡(luò)安全建設(shè)。核心網(wǎng)絡(luò)流量監(jiān)控及清洗。一方面，通過建立流量模型，保障主要業(yè)務(wù)。在網(wǎng)絡(luò)核心。采用相對串接、鏡像等方式先進(jìn)的分光技術(shù)，部署旁路流量分析監(jiān)管設(shè)備，通過分析網(wǎng)絡(luò)核心、互聯(lián)網(wǎng)出口等流量情況，提煉重要業(yè)務(wù)的特性，建立全網(wǎng)主要業(yè)務(wù)流量模型，為網(wǎng)絡(luò)規(guī)劃建設(shè)提供依據(jù)。對于P2P等對于網(wǎng)絡(luò)帶寬消耗較大的業(yè)務(wù)，設(shè)定閥值及流量管理規(guī)則，使P2P等業(yè)務(wù)對用戶網(wǎng)絡(luò)訪問影響降到最低。另―方面，通過對異常流量的清洗，保障核心業(yè)務(wù)及網(wǎng)絡(luò)的安全。針對目前在網(wǎng)絡(luò)中頻繁發(fā)生的病毒攻擊等行為，選擇旁路部署的網(wǎng)絡(luò)異常流量清洗設(shè)備，通過采用策略路由和BGP引流方式實現(xiàn)流量監(jiān)控與異常流量的清洗，使得網(wǎng)絡(luò)安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據(jù)統(tǒng)計。2010年3月份就成功消除安全事件1600多起，較大提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。各類安全策略及規(guī)則庫的及時更新升級，也使得系統(tǒng)能應(yīng)對各類新的攻擊。

3、安全評估建設(shè)及桌面漏洞掃描。在網(wǎng)絡(luò)核心部署漏洞掃描系統(tǒng)，不定期對相關(guān)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)漏洞，及時進(jìn)行系統(tǒng)加固，減少安全事件的發(fā)生，提高網(wǎng)絡(luò)穩(wěn)定性。在此基礎(chǔ)上。與國家有安全資質(zhì)的第三方公司合作，開展安全體系建設(shè)，逐步建立較為完善的網(wǎng)絡(luò)安全管理體系。

三、網(wǎng)絡(luò)管理

經(jīng)過計算機(jī)網(wǎng)絡(luò)的大規(guī)模建設(shè)發(fā)展，網(wǎng)絡(luò)運(yùn)維工作量規(guī)模成倍增長，而網(wǎng)絡(luò)運(yùn)維人員沒有增加，如何高效運(yùn)維已經(jīng)成了追在眉睫的問題，通過不斷的調(diào)研和測試，我們認(rèn)為目前的網(wǎng)絡(luò)廠家的專業(yè)化網(wǎng)管軟件、第三方網(wǎng)管軟件、國內(nèi)的網(wǎng)絡(luò)軟件之中，第三方的較為實用，縱觀CA、HP等廠家的系統(tǒng)，Solarwinds成為目前比較適合單位實際，能快速高效部署和運(yùn)維的一套經(jīng)濟(jì)實用的系統(tǒng)。主要實現(xiàn)了以下幾個方面的開發(fā)和應(yīng)用：實現(xiàn)對全網(wǎng)的網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、防火墻、服務(wù)器等的實時監(jiān)測，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產(chǎn)品，監(jiān)測參數(shù)包括CPU、內(nèi)存、帶寬、會話數(shù)等；實現(xiàn)對各類故障的實時告警和管理，以短信等方式及時提醒運(yùn)維人員；實時展現(xiàn)全網(wǎng)拓?fù)浣Y(jié)構(gòu)，以圖形化界面友好展示網(wǎng)絡(luò)暢通情況；實現(xiàn)對全網(wǎng)設(shè)備的配置自動備份，能進(jìn)行配置比對，方便技術(shù)人員分析設(shè)備運(yùn)行情況；量化統(tǒng)計分析網(wǎng)絡(luò)及設(shè)備的可用性等指標(biāo)；靈活定制各類報表，方便決策分析和統(tǒng)計。通過自定義方式建立起來的資源管理，極大方便了網(wǎng)絡(luò)基礎(chǔ)數(shù)據(jù)和資料的管理。

四、結(jié)論

在近一年多的實際運(yùn)維中，主干網(wǎng)絡(luò)未出現(xiàn)中斷、出口通暢，網(wǎng)絡(luò)可用性達(dá)到l00%。網(wǎng)絡(luò)整體服務(wù)能力的各項指標(biāo)明顯提高：網(wǎng)頁平均打開時間由15ms降低到7ms；主干帶寬利用率保持

參考文獻(xiàn)

[1] 程澤兵. 構(gòu)建油田網(wǎng)絡(luò)安全防護(hù)體系的研究[J]. 中國科技信息. 2005（19）

篇5

由“木桶”原理可以得知，一個木桶可以裝多少水，受到該木桶最短的那塊木板所決定。具體到信息系統(tǒng)的安全也是同樣的道理，整個信息系統(tǒng)的安全程度也受到信息系統(tǒng)之中最薄弱的環(huán)節(jié)所決定，網(wǎng)絡(luò)作為信息系統(tǒng)的主體，其安全需求的重要性是顯而易見的。本文主要對石油企業(yè)Cisco路由器及交換機(jī)安全加固措施進(jìn)行分析，旨在為石油企業(yè)的網(wǎng)絡(luò)安全運(yùn)行提供一定的參考依據(jù)。

1 概述

目前，很多石油企業(yè)局域網(wǎng)的建設(shè)全部或者部分采用Cisco（“思科”）的路由器與交換機(jī)，究其原因，筆者認(rèn)為，這主要是由于該設(shè)備的功能非常強(qiáng)大，工作性能穩(wěn)定性好，其互聯(lián)網(wǎng)操作系統(tǒng)（IOS）在網(wǎng)絡(luò)安全策略等方面均具有獨(dú)特的考慮，使用IOS的安全策略功能，不需要單獨(dú)地購置安全管理軟件，就能夠很好地實現(xiàn)絕大部分的安全功能，使得石油企業(yè)局域網(wǎng)運(yùn)行于較安全的環(huán)境之中。

運(yùn)用Cisco的路由器與交換機(jī)，構(gòu)筑成為一個典型的基于第三層交換技術(shù)的高性能千兆石油企業(yè)局域網(wǎng)，其具體拓?fù)浣Y(jié)構(gòu)示意圖如圖1所示，以Catalyst-4006作為核心交換機(jī)，5臺Catalyst-2950G構(gòu)成匯聚層，20臺Catalyst-2924與Catalyst-1924構(gòu)成接入層，1臺4500型路由器做邊緣路由器，通過2MDDN線路與CERNET地區(qū)網(wǎng)絡(luò)中心相連接，1臺2511型做遠(yuǎn)程訪問服務(wù)器，作用是提供撥號用戶使用。

應(yīng)用Cisco路由器與交換機(jī)，石油企業(yè)可實現(xiàn)如下幾個方面的網(wǎng)絡(luò)安全策略：路由器安全策略、用戶主機(jī)安全策略、交換機(jī)安全策略、服務(wù)器安全策略以及網(wǎng)絡(luò)訪問安全策略等。

2 Cisco路由器安全加固策略

眾所周知，對于一個網(wǎng)絡(luò)而言，路由器是網(wǎng)絡(luò)的核心部分，其實際配置情況對整個網(wǎng)絡(luò)的正常工作與運(yùn)行均具有十分重要的意義與價值，在實際過程中，應(yīng)只允許授權(quán)的主機(jī)對路由器進(jìn)行遠(yuǎn)程登錄，而禁止未授權(quán)的主機(jī)進(jìn)行登錄。在路由器的全局配置條件下，設(shè)置標(biāo)準(zhǔn)訪問控制表，且在全部的虛接口上進(jìn)行應(yīng)用，應(yīng)用的方向為in，如此，就能夠很好地保證只有授權(quán)的主機(jī)遠(yuǎn)程登錄路由器且修改其配置，實際過程中，路由器的主要配置為：

access-list 1 permit 202.115.145.66 line vty 04

access-class 1 in

表示僅允許主機(jī)202.115.145.66遠(yuǎn)程登錄至路由器。

3 Cisco交換機(jī)安全加固策略

3.1 Cisco交換機(jī)地址的配置

為了能夠便于管理，可將交換機(jī)配置IP地址。例如可將IP地址進(jìn)行配置，192.168.0.0，就能夠禁止非本企業(yè)的主機(jī)對交換機(jī)進(jìn)行訪問。將企業(yè)內(nèi)全部的交換機(jī)均應(yīng)置于一個虛擬網(wǎng)絡(luò)之中（常見的為VLAN-2）之中，在交換機(jī)之中可進(jìn)行如下配置：

Interface vlan 2

in address 192.168.0.3 255.255.255.0

3.2 配置允許訪問交換機(jī)的主機(jī)

經(jīng)過上述的安全加固策略的實施，Cisco交換機(jī)的訪問被限制于石油企業(yè)內(nèi)部，而且還能夠在石油企業(yè)內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)4006上面，將訪問控制表進(jìn)行配置，將其用于Cisco交換機(jī)的虛擬網(wǎng)絡(luò)之中，應(yīng)用的方向?qū)儆趇n，僅僅允許石油企業(yè)內(nèi)所指定的主機(jī)能夠訪問該交換機(jī)所在的虛擬網(wǎng)絡(luò)，而其他主機(jī)（如其他石油企業(yè)的主機(jī)）不能對該虛擬網(wǎng)絡(luò)進(jìn)行訪問，那么這就阻止了其對本石油企業(yè)Cisco交換機(jī)的訪問，因此也就無法獲取本企業(yè)Cisco交換機(jī)中的任何數(shù)據(jù)。在三層交換機(jī)4006型上進(jìn)行如下的配置：

access-list 10 permit 202.115.145.66

interface vlan 2

in access-group 10 in

經(jīng)過上述安全加固策略的實施，只有IP地址為202.115.145.66的配置能夠訪問本石油企業(yè)局域網(wǎng)網(wǎng)絡(luò)交換機(jī)。

3.3 允許遠(yuǎn)程登錄交換機(jī)主機(jī)的配置

允許訪問交換機(jī)的主機(jī)，應(yīng)該注意對遠(yuǎn)程登錄該交換機(jī)的過程進(jìn)行限制。只允許被授權(quán)的主機(jī)進(jìn)行登錄，從而對相關(guān)的配置參數(shù)加以修改。在交換機(jī)的全局配置條件下，設(shè)置標(biāo)準(zhǔn)的訪問控制表，用于虛擬接口的0～15上面，應(yīng)用的方向為in。交換機(jī)上面的具體配置如下：

access-list 1 permit 202.115.145.66

line vty 0 15

access-class 1 in

如此，僅僅允許主機(jī)202.115.145.66對交換機(jī)進(jìn)行遠(yuǎn)程登錄，從而能夠修改交換機(jī)的具體配置。

4 結(jié)論

綜上所述，本研究主要對Cisco路由器與交換機(jī)在石油企業(yè)網(wǎng)絡(luò)之中的安全策略。若在石油企業(yè)網(wǎng)絡(luò)構(gòu)建過程中，采用本文所提出的網(wǎng)絡(luò)安全解決策略，能夠很好地滿足石油企業(yè)的絕大多數(shù)安全需求，以最大程度地減少網(wǎng)絡(luò)建設(shè)所需的各種費(fèi)用。

參考文獻(xiàn)

[1]張秀梅.網(wǎng)絡(luò)入侵防御系統(tǒng)的分析與設(shè)計[J].信息與電腦，2009（07）：1-2.

[2]馬麗，袁建生，王雅超.基于行為的入侵防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（06）：33-35.

[3]郭翔，謝宇飛，李銳.校園網(wǎng)層次型網(wǎng)絡(luò)安全設(shè)計[J].科技資訊，2010（9）：26.

[4]楊森.淺談思科路由器使用安全對策[J].房地產(chǎn)導(dǎo)刊，2013（7）：371-372.

[5]王均.楊善林.VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].電腦與信息技術(shù)，2000，（2）.

篇6

中國建材集團(tuán)核心機(jī)房按照國家信息安全等級保護(hù)三級標(biāo)準(zhǔn)部署網(wǎng)絡(luò)及安全防護(hù)設(shè)備，網(wǎng)絡(luò)主干為雙鏈路結(jié)構(gòu)，采用電信+聯(lián)通專線入網(wǎng),具備冗余性，滿足業(yè)務(wù)高峰期需求，2臺網(wǎng)絡(luò)核心交換機(jī)構(gòu)成雙機(jī)熱備，用于連接網(wǎng)絡(luò)邊界區(qū)域、服務(wù)器區(qū)域、樓層等各個區(qū)域。機(jī)房內(nèi)，各區(qū)域之間部署防火墻進(jìn)行訪問控制,網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)、IPS入侵防御系統(tǒng)等安全設(shè)備對來自Internet的攻擊行為進(jìn)行防護(hù),服務(wù)器區(qū)域部署入侵檢測系統(tǒng)，核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)以及審計服務(wù)器，對網(wǎng)絡(luò)行為進(jìn)行審計，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，規(guī)避網(wǎng)絡(luò)違法違規(guī)風(fēng)險，強(qiáng)化內(nèi)網(wǎng)安全率。門戶網(wǎng)站及電子郵箱系統(tǒng)的安全防護(hù)體系按照中央企業(yè)網(wǎng)絡(luò)與信息安全防護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計和部署，并依據(jù)國資監(jiān)管網(wǎng)規(guī)劃方案建設(shè)了一套專網(wǎng)專機(jī)分散部署的非信息系統(tǒng)。主要業(yè)務(wù)管理信息系統(tǒng)按照國家信息安全等級保護(hù)二級進(jìn)行定級，重點信息系統(tǒng)達(dá)到國家信息安全等級保護(hù)三級管理標(biāo)準(zhǔn)，核心機(jī)房內(nèi)獨(dú)立運(yùn)行的信息系統(tǒng)全部滿足公安部對中央企業(yè)信息系統(tǒng)安全等級保護(hù)要求。同時定期組織內(nèi)、外部專業(yè)技術(shù)力量開展信息安全檢查、信息系統(tǒng)安全測評、信息系統(tǒng)等級保護(hù)備案以及信息安全培訓(xùn)工作，確保信息系統(tǒng)和門戶網(wǎng)站運(yùn)行穩(wěn)定，安全監(jiān)控到位，杜絕發(fā)生安全責(zé)任事故。

2技術(shù)體系架構(gòu)

中國建材集團(tuán)嚴(yán)格按照《信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》設(shè)計、采購和部署符合等級保護(hù)基本要求的安全產(chǎn)品，從安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全管理中心等方面構(gòu)建起有效的安全技術(shù)保障體系。根據(jù)實際業(yè)務(wù)情況，將網(wǎng)絡(luò)劃分Internet接入?yún)^(qū)、DMZ區(qū)、辦公區(qū)、安全管理區(qū)、核心交換區(qū)、業(yè)務(wù)服務(wù)區(qū)共計6個安全區(qū)域，并根據(jù)業(yè)務(wù)系統(tǒng)的要求進(jìn)行安全區(qū)域合理性劃分，各區(qū)域到核心交換機(jī)之間為獨(dú)立線路連接，數(shù)據(jù)處理系統(tǒng)以單機(jī)模式部署，同時按照安全風(fēng)險和安全策略，具體從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全進(jìn)行信息安全控制。物理安全。核心機(jī)房依據(jù)國家標(biāo)準(zhǔn)GB50173－93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》,從環(huán)境安全、設(shè)備安全和媒體安全三個方面進(jìn)行詳細(xì)設(shè)計，嚴(yán)格按照計算機(jī)等各種微機(jī)電子設(shè)備和工作人員對溫度、濕度、潔凈度、電磁場強(qiáng)度、噪音干擾、安全保安、電源質(zhì)量、備用電力、振動、防漏、防火、防雷和接地等要求建設(shè)，以此保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理環(huán)境安全，同時采用有效的區(qū)域監(jiān)控、防盜報警系統(tǒng)，阻止非法用戶的各種臨近攻擊。網(wǎng)絡(luò)安全。網(wǎng)絡(luò)主干采用雙鏈路結(jié)構(gòu)，考慮業(yè)務(wù)處理能力的數(shù)據(jù)流量，冗余空間充分滿足高峰期需要，并根據(jù)業(yè)務(wù)系統(tǒng)服務(wù)的重要次序定義帶寬分配的優(yōu)先級。合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑保證網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)區(qū)域邊界之間部署防火墻安全設(shè)備，制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)和內(nèi)網(wǎng)不同信任域之間的隔離與訪問控制，服務(wù)器區(qū)域部署防病毒網(wǎng)關(guān)來攔截病毒、檢測病毒和殺毒，保護(hù)操作系統(tǒng)安全穩(wěn)定。應(yīng)用IPS入侵防御系統(tǒng)實時監(jiān)控進(jìn)出網(wǎng)段的所有操作行為從而防止針對網(wǎng)絡(luò)的惡意攻擊行為，同時以滿足國家等級保護(hù)二級標(biāo)準(zhǔn)要求，通過人工加固的方式對網(wǎng)絡(luò)安全設(shè)備進(jìn)行配置加固，實現(xiàn)包括身份鑒別、訪問控制、安全審計等多個方面的安全技術(shù)要求。主機(jī)安全。部署防火墻、入侵檢測、防病毒網(wǎng)關(guān)和漏洞掃描等安全產(chǎn)品進(jìn)行被動主機(jī)安全防護(hù)，同時根據(jù)國家信息安全等級保護(hù)二級標(biāo)準(zhǔn)，為系統(tǒng)信息交換的主客體分別加安全標(biāo)記，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），達(dá)到了強(qiáng)制訪問控制（MAC)，對服務(wù)器進(jìn)行安全加固配置，進(jìn)行資源監(jiān)控、監(jiān)測報警，避免服務(wù)器自身的安全漏洞被攻擊者利用，實現(xiàn)統(tǒng)一管理的主機(jī)安全防護(hù)。應(yīng)用安全。應(yīng)用網(wǎng)絡(luò)設(shè)備和安全設(shè)備自身審計功能，對設(shè)備管理日志、設(shè)備狀態(tài)日志、用戶登錄行為等進(jìn)行審計。核心交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)和審計服務(wù)器，辦公網(wǎng)絡(luò)部署上網(wǎng)行為管理，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行日志記錄，同時應(yīng)用服務(wù)器不開放遠(yuǎn)程協(xié)議端口號。系統(tǒng)全部采用正版WindowsServer2008和LinuxAS5操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉非常用安全隱患的應(yīng)用、對一些保存有用戶信息及其口令的關(guān)鍵文件（如WindowsNT下的LMHOST、SAM等）使用權(quán)限進(jìn)行嚴(yán)格限制。加強(qiáng)口令字的使用，并定期給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開，同時通過配備漏洞掃描系統(tǒng)，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置和升級。數(shù)據(jù)安全。數(shù)據(jù)庫系統(tǒng)全部購買有效授權(quán)，采取數(shù)據(jù)庫系統(tǒng)強(qiáng)口令、登錄失敗次數(shù)、操作超時等方式實現(xiàn)數(shù)據(jù)庫系統(tǒng)對身份鑒別、訪問控制要求，采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，為數(shù)據(jù)收發(fā)雙方提供證據(jù)。應(yīng)用系統(tǒng)針對數(shù)據(jù)存儲開發(fā)加密功能實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸完整性和保密性。同時建立熱備和冷備結(jié)合的數(shù)據(jù)備份系統(tǒng)，保證在安全事件發(fā)生后及時有效地進(jìn)行重要數(shù)據(jù)恢復(fù)。

篇7

由于門戶網(wǎng)站的所有硬件都托管在電信部門IDC機(jī)房，故在網(wǎng)絡(luò)通信方面完全利用電信部門IDC機(jī)房現(xiàn)有的網(wǎng)絡(luò)通信設(shè)備，對外出口帶寬至少為兩條100MB鏈路。

3網(wǎng)絡(luò)安全防護(hù)建設(shè)

政府類門戶網(wǎng)站的安全建設(shè)按照計算機(jī)信息系統(tǒng)安全等級保護(hù)三級技術(shù)標(biāo)準(zhǔn)執(zhí)行。涉及內(nèi)容包括：數(shù)據(jù)機(jī)房安全、網(wǎng)絡(luò)通信安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全幾個部分。

3.1防護(hù)對象

政府門戶網(wǎng)站信息網(wǎng)絡(luò)大致可分為管理信息區(qū)域和信息區(qū)域，管理信息區(qū)域用于支撐該系統(tǒng)與業(yè)務(wù)相關(guān)的內(nèi)部管理信息應(yīng)用數(shù)據(jù)。管理信息區(qū)域劃分為用于承載內(nèi)部辦公的信息內(nèi)網(wǎng)和用于支撐對外業(yè)務(wù)和互聯(lián)網(wǎng)用戶的信息外網(wǎng)。信息區(qū)為面向公眾的信息平臺，用于信息查詢、政策導(dǎo)向、公眾監(jiān)督等互聯(lián)網(wǎng)訪問需要。

3.2設(shè)計思路

政府類門戶網(wǎng)站網(wǎng)絡(luò)安全防護(hù)體系是依據(jù)以下策略進(jìn)行建設(shè)：雙網(wǎng)雙機(jī)：管理信息區(qū)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)，內(nèi)外網(wǎng)間采用物理隔離，信息內(nèi)外網(wǎng)分別采用獨(dú)立的服務(wù)器，數(shù)據(jù)進(jìn)行單向流動，通過人工操作實現(xiàn)，極大地保障了信息數(shù)據(jù)和內(nèi)部網(wǎng)絡(luò)的安全。等級防護(hù)：管理信息系統(tǒng)將以實現(xiàn)等級保護(hù)為基本出發(fā)點進(jìn)行安全防護(hù)體系建設(shè)，并參照國家等級保護(hù)基本要求進(jìn)行安全防護(hù)措施設(shè)計；多層防御：在分域防護(hù)的基礎(chǔ)上，將各安全域的信息系統(tǒng)劃分為邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個層次進(jìn)行安全防護(hù)設(shè)計，以實現(xiàn)層層遞進(jìn)，縱深防御。

3.3防護(hù)措施

（1）基于網(wǎng)絡(luò)安全的訪問控制。在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；在會話處于非活躍時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；重要網(wǎng)段采取技術(shù)手段防止地址欺騙；按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶；限制具有撥號訪問權(quán)限的用戶數(shù)量。

（2）設(shè)備和審計系統(tǒng)結(jié)合。對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；實現(xiàn)對應(yīng)用系統(tǒng)的數(shù)據(jù)訪問與操作進(jìn)行全面地監(jiān)控審計，可實時顯示和監(jiān)視操作行為，詳細(xì)記錄所有的操作行為和操作內(nèi)容，提供審計查詢和關(guān)聯(lián)分析，輸出完整地審計統(tǒng)計報告。

（3）基于安全事件的防護(hù)。能夠?qū)Ψ欠ń尤雰?nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。

（4）檢測和主動防御的融合。在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時提供報警。

（5）病毒防御機(jī)制。在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。

（6）虛擬接入和防篡改技術(shù)。對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識唯一；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。通過主頁防篡改系統(tǒng)進(jìn)一步防止黑客對門戶網(wǎng)站設(shè)備的入侵。

（7）主機(jī)系統(tǒng)防護(hù)。主機(jī)系統(tǒng)安全防護(hù)包括對系統(tǒng)內(nèi)服務(wù)器及存儲設(shè)備的安全防護(hù)。服務(wù)器包括業(yè)務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、WEB服務(wù)器、文件與通信服務(wù)器等。保護(hù)主機(jī)系統(tǒng)安全的目標(biāo)是采用信息保障技術(shù)確保業(yè)務(wù)數(shù)據(jù)在進(jìn)入、離開或駐留服務(wù)器時保持可用性、完整性和保密性，采用相應(yīng)的身份認(rèn)證、訪問控制等手段阻止未授權(quán)訪問，采用主機(jī)防火墻、入侵檢測等技術(shù)確保主機(jī)系統(tǒng)的安全，進(jìn)行事件日志審核以發(fā)現(xiàn)入侵企圖，在安全事件發(fā)生后通過對事件日志的分析進(jìn)行審計追蹤，確認(rèn)事件對主機(jī)的影響以進(jìn)行后續(xù)處理。

3.4安全防護(hù)集成

綜上所述，政府門戶網(wǎng)站信息網(wǎng)絡(luò)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計算機(jī)硬件、操作系統(tǒng)、各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，其風(fēng)險將來自對內(nèi)部和外部的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機(jī)制，安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、病毒防治等。

（1）網(wǎng)絡(luò)出口邊界部署能夠防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標(biāo)志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻。保證正常訪問用戶的接入，對內(nèi)網(wǎng)資源形成進(jìn)行有效保護(hù)。

（2）網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，因為內(nèi)部網(wǎng)絡(luò)中有很多服務(wù)器（如web服務(wù)器、通訊服務(wù)器、應(yīng)用服務(wù)器集群等等），各種服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫在網(wǎng)絡(luò)通訊傳輸中存在天然的安全隱患，如對協(xié)議中的異常情況考慮不足。外部非法訪問可利用協(xié)議的漏洞對服務(wù)器發(fā)起攻擊。向服務(wù)器發(fā)送非標(biāo)準(zhǔn)或者緩沖區(qū)溢出的協(xié)議數(shù)據(jù)，從而奪取服務(wù)器控制權(quán)或者造成服務(wù)器宕機(jī)。密切跟蹤全球知名安全組織和軟件廠商的安全公告，對各種威脅進(jìn)行分析、驗證，保證實時更新簽名庫，跟進(jìn)安全威脅的發(fā)展?fàn)顩r。不斷升級入侵防御系統(tǒng)檢測引擎以防護(hù)新出現(xiàn)的安全威脅，具備防御0-DAY攻擊能力。

（3）網(wǎng)絡(luò)內(nèi)部署安全審計系統(tǒng)，在嚴(yán)格執(zhí)行安全保密規(guī)定的基礎(chǔ)上，對整個系統(tǒng)的監(jiān)控審計管理，保證系統(tǒng)的數(shù)據(jù)完整性、保密性和可信性。實時顯示和監(jiān)視操作行為，詳細(xì)記錄所有的操作行為和操作內(nèi)容，提供審計查詢和關(guān)聯(lián)分析，輸出完整地審計統(tǒng)計報告。發(fā)生安全問題時，可以從系統(tǒng)的審計記錄庫中快速查找違規(guī)操作活動和留下的痕跡，獲取可靠的證據(jù)信息，如果發(fā)生了安全事故也能夠快速查證并追根尋源。

（4）在門戶網(wǎng)站服務(wù)器前端部署web應(yīng)用防火墻系統(tǒng)，對web服務(wù)器進(jìn)行全面防護(hù)，發(fā)現(xiàn)并阻斷各種WEB攻擊，定期檢查網(wǎng)站各種安全隱患，發(fā)現(xiàn)問題及時預(yù)警并自動采取修補(bǔ)措施；實時防護(hù)各種WEB應(yīng)用攻擊、DDOS攻擊、網(wǎng)頁木馬攻擊等行為。

（5）在Web服務(wù)器上部署網(wǎng)頁放篡改系統(tǒng)，采用HTTP請求過濾、核心內(nèi)嵌等技術(shù)；提供實時阻斷、事件觸發(fā)、數(shù)字水印和應(yīng)用防護(hù)四種防護(hù)措施，通過四種防護(hù)措施的合理組合達(dá)到起到更好的防護(hù)作用。在安全審計系統(tǒng)對Web服務(wù)器的所有操作全面監(jiān)控進(jìn)行告警、記錄的預(yù)防措施的前提下，形成一套有機(jī)的保護(hù)體系，在發(fā)生篡改行為后迅速恢復(fù)Web網(wǎng)頁內(nèi)容，不影響正常訪問，避免業(yè)務(wù)中斷。

（6）網(wǎng)絡(luò)出口部署的防病毒網(wǎng)關(guān)，所有數(shù)據(jù)流都需要經(jīng)過防病毒網(wǎng)關(guān)。因此防病毒網(wǎng)關(guān)能夠有效地監(jiān)控進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量。提供兩種方式的病毒掃描，一種傳統(tǒng)的掃描方式，文件完全掃描后推送給真正的接收者，主要用來保護(hù)安全需求強(qiáng)烈的服務(wù)器或者重要區(qū)域，另一種是邊傳輸邊緩存的方式，允許用戶實時接收數(shù)據(jù)，延時減小。

3.5網(wǎng)絡(luò)安全技術(shù)服務(wù)

政府門戶網(wǎng)站信息網(wǎng)絡(luò)投入運(yùn)行后，如何保障系統(tǒng)的安全運(yùn)行便成了重中之重。其中涉及的工作量巨大，技術(shù)要求亦非常高。因此，政府門戶網(wǎng)站常常采取安全服務(wù)外包方式聘請具備專業(yè)安全服務(wù)資質(zhì)的機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全保障。安全服務(wù)內(nèi)容主要包括以下方面：

（1）Web安全監(jiān)測。針對WEB應(yīng)用安全，我們所提出日常安全檢測內(nèi)容需包含：XSS跨站攻擊檢測；SQL注入檢測；URL重定向檢測；FORM檢測（單表逃逸檢測）；FORM弱口令檢測；網(wǎng)頁木馬（惡意代碼）檢測；數(shù)據(jù)竊取檢測；GOOGLE-HACK檢測；中間人攻擊檢測；Oracle密碼暴力破解；WebSer-viceXPath注入檢測；Web2.0AJAX注入檢測；Cookies注入檢測；雜項：其他各類CGI弱點檢測，如：命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠(yuǎn)程文件包含檢測、應(yīng)用層拒絕服務(wù)檢測等。（2）數(shù)據(jù)庫安全監(jiān)測。數(shù)據(jù)庫安全檢測需實現(xiàn)的功能：發(fā)現(xiàn)不安全的數(shù)據(jù)庫安裝和配置；發(fā)現(xiàn)數(shù)據(jù)庫弱口令；發(fā)現(xiàn)數(shù)據(jù)庫的變化或潛藏木馬；發(fā)現(xiàn)數(shù)據(jù)庫弱點和補(bǔ)丁的層次。從而在此基礎(chǔ)上形成一個綜合的分析報告及修復(fù)建議。

（3）漏洞及病毒通報.系統(tǒng)在運(yùn)行期間，計算機(jī)病毒及安全漏洞問題將是直接威脅整個系統(tǒng)運(yùn)行的重要因素。因此，我們需要安全服務(wù)提供商定期提供定向計算機(jī)漏洞及病毒情況通報。借此，通過對這些情況的實時動態(tài)、快速的掌握，可提高管理部門的快速響應(yīng)能力。

（4）風(fēng)險評估。該系統(tǒng)需定期進(jìn)行風(fēng)險評估工作。有效地借助專業(yè)安全服務(wù)提供商的力量，來檢測本系統(tǒng)現(xiàn)行情況的安全現(xiàn)狀。

（5）系統(tǒng)安全加固。安全服務(wù)提供商需指派專業(yè)人員定期針對加固的系統(tǒng)進(jìn)行漏洞掃描、攻擊、滲透等方面的測試，確保核心設(shè)備、核心系統(tǒng)的加固有效性，并及時報告系統(tǒng)加固現(xiàn)狀。在業(yè)務(wù)系統(tǒng)上線之前檢查安全配置情況，并提供安全加固建議。安全加固是指針對政府門戶網(wǎng)站的服務(wù)器、安全設(shè)備的安全加固和安全配置優(yōu)化，對網(wǎng)絡(luò)設(shè)備的安全加固建議。通過定期的加固工作，將系統(tǒng)的安全狀況提升到一個較高的水平。將在漏洞掃描、安全審計、滲透測試的報告結(jié)果基礎(chǔ)上，對服務(wù)器、安全設(shè)備等方面存在的各類脆弱性問題進(jìn)行提煉歸納，提出合理的切實可行的安全加固方案。安全加固方案在提交并經(jīng)過用戶方評審、許可后，進(jìn)行安全加固實施，同時，必須指導(dǎo)、協(xié)助對各應(yīng)用系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件和應(yīng)用程序的安全配置、安全策略和安全機(jī)制進(jìn)行電子政務(wù)云計算中心加固和完善，使應(yīng)用系統(tǒng)符合安全防護(hù)要求，保證該信息系統(tǒng)的安全可靠運(yùn)行。

3.5.1應(yīng)急響應(yīng)目標(biāo)

及時響應(yīng)信息系統(tǒng)的安全緊急事件，保證事件的損失降到最小。包括如下目標(biāo)：

（1）7*24*365快速響應(yīng)服務(wù)（本地），提供全天候的緊急響應(yīng)服務(wù)，本地在2個小時內(nèi)到達(dá)現(xiàn)場；

（2）判定安全事件類型，從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度：

（3）抑制事態(tài)發(fā)展，抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通常會將受影響系統(tǒng)和服務(wù)隔離。這一點對保持系統(tǒng)的可用性是非常重要的；

（4）排除系統(tǒng)故障，針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題；

（5）恢復(fù)信息系統(tǒng)正常操作，在根除問題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)；

（6）信息系統(tǒng)安全加固，對系統(tǒng)中發(fā)現(xiàn)的漏洞進(jìn)行安全加固，消除安全隱患；

（7）重新評估信息系統(tǒng)的安全性能，重新評價系統(tǒng)的安全特性，確保在一定的時間范圍內(nèi)，不發(fā)生同類的安全事件。

3.5.2應(yīng)急響應(yīng)內(nèi)容

應(yīng)急響應(yīng)是處理各種惡意攻擊帶來的緊急破壞效果，這里包括如下方面：

（1）拒絕服務(wù)響應(yīng)，當(dāng)網(wǎng)絡(luò)遭受大量通問而造成我們正常業(yè)務(wù)無法提供服務(wù)的時候，必須采取措施，將惡意訪問抵擋在業(yè)務(wù)范圍之外；

（2）數(shù)據(jù)破壞響應(yīng)，當(dāng)服務(wù)器的相關(guān)環(huán)節(jié)，包括文件服務(wù)器，網(wǎng)站服務(wù)器，數(shù)據(jù)庫服務(wù)器等的數(shù)據(jù)被惡意破壞，導(dǎo)致無法正常提供服務(wù)，并且此類現(xiàn)象可能還會重現(xiàn)；

（3）病毒蠕蟲響應(yīng)，當(dāng)網(wǎng)絡(luò)遭受到病毒蠕蟲的攻擊，導(dǎo)致正常辦公網(wǎng)絡(luò)癱瘓無法正常實施業(yè)務(wù)，必須采取根治措施，去除惡意影響；

（4）其他情況應(yīng)急響應(yīng)，除了上面列明外，包括惡意竊聽、代碼攻擊、網(wǎng)絡(luò)欺騙等，需要進(jìn)一步找到攻擊根源，去除漏洞。

3.6等級保護(hù)測評

聘請第三方信息安全等級保護(hù)測評公司進(jìn)行網(wǎng)站系統(tǒng)相關(guān)軟硬件是否達(dá)到信息安全等級保護(hù)三級的要求，并出具測評證書。

篇8

美國等發(fā)達(dá)國家，通過Internet進(jìn)行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，我國的電子商務(wù)雖已初具規(guī)模，但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題。電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的，由于internet是開放性網(wǎng)絡(luò)，建立交易雙方的安全和信任關(guān)系較為困難，因此本文對電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析。

1電子商務(wù)的概念和特點

1）電子商務(wù)的概念：電子商務(wù)（Electronic Commerce）是通過電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營銷、銷售、流通等活動，不僅是指基于因特網(wǎng)上的交易，而且還指利用電子信息技術(shù)實現(xiàn)解決問題、降低成本、增加價值、創(chuàng)造商機(jī)的商務(wù)活動[1]。

2）電子商務(wù)的特點：（1）電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實物流，大量減少了人力物力，降低了成本；而且突破了時間空間的限制，使得交易活動可在任何時間、任何地點進(jìn)行，大大提高了效率。（2）電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場，也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源，提高了中小企業(yè)的競爭能力。（3）電子商務(wù)重新定義了傳統(tǒng)的流通模式，減少了中間環(huán)節(jié)，使得生產(chǎn)者和消費(fèi)者的直接交易成為可能，從而一定程度上改變了社會經(jīng)濟(jì)的運(yùn)行方式。（4）電子商務(wù)提供了豐富的信息資源，為社會經(jīng)濟(jì)要素的重新組合提供了更多的可能，這將影響到社會的經(jīng)濟(jì)布局和結(jié)構(gòu)。

2電子商務(wù)安全的技術(shù)體系

1）物理安全。首先根據(jù)國家標(biāo)準(zhǔn)、信息安全等級和資金狀況，制定適合的物理安全要求，并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者，關(guān)鍵的系統(tǒng)資源（包括主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備），通信電路以及物理介質(zhì)（軟/硬磁盤、光盤、IC卡、PC卡等）、應(yīng)有加密、電磁屏蔽等保護(hù)措施，均應(yīng)放在物理上安全的地方。

2）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷（如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等）都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟(jì)損失。

3）商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題，包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴，即要實現(xiàn)電子商務(wù)的保密性、完整性、真實性、不可抵賴性。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實現(xiàn)，加解密技術(shù)保證了交易信息的保密性，也解決了用戶密碼被盜取的問題；數(shù)字簽名是實現(xiàn)對原始報文完整性的鑒別，它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有：在線支付協(xié)議（安全套接層SSL協(xié)議和安全電子交易SET協(xié)議）、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認(rèn)證中心（CA）。

4）系統(tǒng)安全。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對于保護(hù)系統(tǒng)安全，總體思路是：通過安全加固，解決管理方面安全漏洞；然后采用安全技術(shù)設(shè)備，增強(qiáng)其安全防護(hù)能力。

3安全管理過程監(jiān)督

3.1加強(qiáng)全過程的安全管理

1）網(wǎng)絡(luò)規(guī)劃階段，就要加強(qiáng)對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財力。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實施、降低投資風(fēng)險。2）工程建設(shè)階段，建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設(shè)各個階段工作的重要內(nèi)容，要加強(qiáng)對開發(fā)（實施）人員、版本控制的管理，要加強(qiáng)對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。3）在運(yùn)行維護(hù)階段，要注意以下事項：(1)建立有效的安全管理組織架構(gòu)，明確職責(zé)，理順流程，實施高效管理。(2)按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度，加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系，建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢，還要定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

3.2建立動態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中，可能發(fā)現(xiàn)新的安全漏洞，因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下，通過安全評估和檢測工具（如漏洞掃描，入侵檢測等）及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點：1）對于一個企業(yè)而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案，保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施，從而保護(hù)企業(yè)的投資和信息資源安全。2）要制定完善的、符合企業(yè)實際的信息安全策略，就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評估，即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評估，讓企業(yè)對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導(dǎo)信息安全的建設(shè)和管理工作。

4結(jié)束語

本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況，安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù)，都是非常先進(jìn)的技術(shù)手段；只要運(yùn)用得當(dāng)，配合相應(yīng)的安全管理措施，基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全；但不是100％的絕對安全，而是相對安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善，網(wǎng)絡(luò)支付定會越來越安全。

參考文獻(xiàn)

篇9

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術(shù)的迅速發(fā)展，世界各地有競爭力的城市已迎來了數(shù)字向智慧城市邁進(jìn)的大潮。智慧城市建設(shè)注重城市物理基礎(chǔ)設(shè)施與IT基礎(chǔ)設(shè)施之間進(jìn)行完美結(jié)合，旨在改變政府、企業(yè)和市民交互的方式，提高明確性、效率、靈活性和響應(yīng)速度，促進(jìn)城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展，關(guān)注提高城市經(jīng)濟(jì)和社會活動的綜合競爭力，越來越受到中國各個城市領(lǐng)導(dǎo)者的認(rèn)同和肯定。

徐州市在“十二五”伊始，深刻認(rèn)識到智慧徐州建設(shè)在提升綜合競爭力、加快轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式、加強(qiáng)社會建設(shè)與管理，解決發(fā)展深層次問題等方面的重要作用，將“智慧徐州”建設(shè)納入了未來城市發(fā)展的戰(zhàn)略主題，希望通過智慧徐州建設(shè)，以信息資源整合、共享、利用為抓手，健全公共服務(wù)，增進(jìn)民生幸福，科技創(chuàng)新驅(qū)動產(chǎn)業(yè)轉(zhuǎn)型升級，智能手段創(chuàng)新城市管理模式，采約建設(shè)實現(xiàn)信息基礎(chǔ)全面領(lǐng)先，為把我市建設(shè)成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強(qiáng)市最為協(xié)調(diào)的江南名城”提供有力支撐。

網(wǎng)絡(luò)系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網(wǎng)絡(luò)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸，規(guī)劃一張合理的、高效的、安全的網(wǎng)絡(luò)系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運(yùn)行。

1 網(wǎng)絡(luò)安全建設(shè)

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風(fēng)險也較傳統(tǒng)應(yīng)用高出很多，因此在建設(shè)中安全系統(tǒng)建設(shè)將作為一項重要工作加以實施。網(wǎng)絡(luò)安全建設(shè)應(yīng)包括以下幾方面：

1.1 安全的網(wǎng)絡(luò)結(jié)構(gòu)

安全的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該能夠滿足為了保證主要的網(wǎng)絡(luò)設(shè)備在進(jìn)行業(yè)務(wù)處理時能夠有足夠的冗余空間，來滿足處理高峰業(yè)務(wù)時期帶來的需求；確保網(wǎng)絡(luò)各部分的帶寬能夠滿足高峰業(yè)務(wù)時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務(wù)器之間建立；按照提出需求的業(yè)務(wù)的重要性進(jìn)行排序來指定分配帶寬優(yōu)先級別，如果網(wǎng)絡(luò)發(fā)生擁堵，則優(yōu)先保護(hù)重要的主機(jī)；能夠繪制出當(dāng)前網(wǎng)絡(luò)運(yùn)行情況的拓?fù)浣Y(jié)構(gòu)圖；參考不同部門之間的工作職能和涉及相關(guān)信息的重要程度等因素，來劃分成不同的子網(wǎng)和網(wǎng)段，與此同時在以方便管理和控制的前提下，進(jìn)行地址分配；重要網(wǎng)段部署不能處在網(wǎng)絡(luò)的邊界處而且不能與外部信息系統(tǒng)直接連接，應(yīng)該采取安全的技術(shù)隔離手段將重要網(wǎng)段與其他網(wǎng)段進(jìn)行必要的隔離。

1.2 訪問控制安全

當(dāng)在網(wǎng)絡(luò)邊界對控制設(shè)備進(jìn)行訪問時，能夠啟動訪問控制功能；對實現(xiàn)過濾信息內(nèi)容的功能，并且能對應(yīng)用層的各種網(wǎng)絡(luò)協(xié)議實現(xiàn)命令級的控制；能自動根據(jù)會話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設(shè)為端口級；能夠及時限制網(wǎng)絡(luò)的最大流量數(shù)和網(wǎng)絡(luò)的連接數(shù)量；當(dāng)會話結(jié)束或非活躍狀態(tài)的會話處于一段時間后將終止網(wǎng)絡(luò)的連接；要采取有效的技術(shù)手段防止對重要的網(wǎng)段地址欺騙；能在遵守系統(tǒng)和用戶之間的訪問規(guī)則條件下，來決定用戶對受控系統(tǒng)進(jìn)行資源的訪問是否被允許或拒絕，同時將單個用戶設(shè)置為控制粒度；具有撥號訪問權(quán)限的用戶數(shù)量受到限制。

在關(guān)鍵的位置部署網(wǎng)關(guān)設(shè)備是實現(xiàn)訪問控制安全的最有效途徑，政務(wù)網(wǎng)接入邊界安全網(wǎng)關(guān)：為內(nèi)部區(qū)域提供邊界防護(hù)、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應(yīng)包括能夠?qū)W(wǎng)絡(luò)系統(tǒng)中設(shè)備的用戶行為、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行相關(guān)的記錄；并且能夠分析所記錄的數(shù)據(jù)，生成相關(guān)的報表；為避免審計記錄受到未預(yù)期的修改、覆蓋或刪除等操作，應(yīng)當(dāng)安全保護(hù)審計記錄。通過防火墻可以實現(xiàn)網(wǎng)絡(luò)審計的功能。

網(wǎng)絡(luò)的審計安全主要內(nèi)容有：為能夠有效記錄網(wǎng)絡(luò)設(shè)備、各區(qū)域服務(wù)器系統(tǒng)和安全設(shè)備等這些設(shè)備以及經(jīng)過這些設(shè)備的所有訪問行為，應(yīng)在這些設(shè)備上開啟相應(yīng)的審計功能，由安全管理員定期對日志信息和活動狀態(tài)進(jìn)行分析，并發(fā)現(xiàn)深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的非授權(quán)設(shè)備行為進(jìn)行安全檢查，邊界完整性檢查要求能夠準(zhǔn)確定出其位置，并進(jìn)行有效的阻斷。

實現(xiàn)邊界完整性檢查的相關(guān)技術(shù)：

1）制定嚴(yán)格的檢查策略，將服務(wù)器區(qū)域在網(wǎng)絡(luò)設(shè)備上劃分為具有獨(dú)立功能的VLAN，同時禁止除來自網(wǎng)絡(luò)入侵防御系統(tǒng)以外的其他VLAN的訪問；

2）為提升系統(tǒng)自身的安全訪問控制能力，應(yīng)對安全加固服務(wù)器系統(tǒng)采取相應(yīng)措施。

1.5 入侵防范

網(wǎng)絡(luò)的入侵防范應(yīng)能在網(wǎng)絡(luò)邊界處監(jiān)視到木馬后門攻擊、拒絕服務(wù)攻擊、IP碎片攻擊、端口掃描、強(qiáng)力攻擊、網(wǎng)絡(luò)蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當(dāng)攻擊行為被檢測到時，應(yīng)能記錄攻擊的時間、源IP、目的和類型，如果發(fā)生較為嚴(yán)重的入侵事件，應(yīng)及時提供警報信息。通過前置防火墻實現(xiàn)入侵防御的功能。

1.6 惡意代碼防范

在網(wǎng)絡(luò)邊界處檢測和清除惡意代碼，對惡意代碼數(shù)據(jù)庫的升級和系統(tǒng)檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網(wǎng)絡(luò)邊界的安全網(wǎng)關(guān)系統(tǒng)防病毒模塊來檢測和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務(wù)類等一系列惡意代碼進(jìn)行來實現(xiàn)惡意代碼防范的技術(shù)。

1.7 網(wǎng)絡(luò)設(shè)備的安全防護(hù)

網(wǎng)絡(luò)設(shè)備的安全防護(hù)要求能夠限制網(wǎng)絡(luò)設(shè)備管理員的登錄地址；在網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網(wǎng)絡(luò)設(shè)備對同一用戶進(jìn)行身份時鑒別時，應(yīng)當(dāng)選擇幾種組合的鑒別技術(shù)來鑒別，避免只使用一種鑒別技術(shù)；鑒別身份的信息應(yīng)不易被冒用，網(wǎng)絡(luò)口令應(yīng)定期更換而且要有一定的復(fù)雜度，不易破解；當(dāng)?shù)卿浭r，能自動采取限制登錄次數(shù)、結(jié)束會話和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等相應(yīng)措施；當(dāng)網(wǎng)絡(luò)設(shè)備被用戶遠(yuǎn)程管理時，能夠有防止網(wǎng)絡(luò)傳輸過程的鑒別信息被竊聽的相關(guān)措施。

網(wǎng)絡(luò)設(shè)備安全防護(hù)的技術(shù)實現(xiàn)主要是通過提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，根據(jù)前面的網(wǎng)絡(luò)結(jié)構(gòu)分析，系統(tǒng)采用若干臺核心交換機(jī)、匯聚交換機(jī)和接入交換機(jī)，實現(xiàn)各個安全區(qū)域的連接。

對于網(wǎng)絡(luò)設(shè)備，應(yīng)進(jìn)行相應(yīng)的安全加固：

1）將樓層接入交換機(jī)的接口安全特性開啟，并將MAC進(jìn)行綁定。

2）關(guān)閉不必要的服務(wù)，包括關(guān)閉CDP、Finger服務(wù)、NTP服務(wù)、BOOTp服務(wù)（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設(shè)置密碼、采用認(rèn)證、采用多用戶分權(quán)管理等。

4）SNMP協(xié)議設(shè)置和日志審計，包括設(shè)置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網(wǎng)絡(luò)安全防護(hù)

邊界防護(hù)：在智慧徐州信息資源樞紐工程的邊界設(shè)立一定的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網(wǎng)絡(luò)之間，智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護(hù)技術(shù)主要采用交換機(jī)接入、前置防火墻及網(wǎng)閘。

區(qū)域防護(hù)：比邊界防護(hù)更小的范圍是區(qū)域防護(hù)，指在一個區(qū)域設(shè)立的安全防護(hù)措施，具體到智慧徐州信息資源樞紐工程中，區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡(luò)，智慧徐州信息資源樞紐工程的區(qū)域防護(hù)技術(shù)和產(chǎn)品采用接入防火墻。

節(jié)點防護(hù)：節(jié)點防護(hù)主要是指系統(tǒng)健壯性的保護(hù)，查堵系統(tǒng)的漏洞，它已經(jīng)具體到其中某一臺主機(jī)或服務(wù)器的防護(hù)措施，建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點防護(hù)技術(shù)都應(yīng)采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡(luò)安全評估分析系統(tǒng)等。

3 網(wǎng)絡(luò)高可用

在智慧徐州信息資源樞紐工程網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)設(shè)備本身以及設(shè)備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡(luò)的穩(wěn)定性，在智慧徐州信息資源樞紐工程核心網(wǎng)絡(luò)部分，核心交換機(jī)、接入防火墻等設(shè)備全部采用冗余配置，包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務(wù)局域網(wǎng)互聯(lián)，與服務(wù)器接入交換機(jī)互聯(lián)。在數(shù)據(jù)應(yīng)用區(qū)，服務(wù)器通過雙網(wǎng)卡與服務(wù)器接入交換機(jī)互聯(lián)，保障了服務(wù)器連接的高可靠性。

4 數(shù)據(jù)安全

4.1 數(shù)據(jù)安全建設(shè)

數(shù)據(jù)的安全是整個安全建設(shè)中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設(shè)主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復(fù)。對于系統(tǒng)管理、鑒別信息和重要業(yè)務(wù)的相關(guān)數(shù)據(jù)在存儲過程中進(jìn)行檢測，如檢測到數(shù)據(jù)完整性有錯誤時采取必要的恢復(fù)措施，并且能對這些數(shù)據(jù)采用加密措施，以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

對于資源共享平臺系統(tǒng)的數(shù)據(jù)安全及備份恢復(fù)要求如下：

1）對于鑒別信息數(shù)據(jù)存儲的保密性要求，均可以通過加強(qiáng)物理安全及網(wǎng)絡(luò)安全，并實施操作系統(tǒng)級數(shù)據(jù)庫加固的方式進(jìn)行保護(hù)；

2）對于備份及恢復(fù)要求，配置了備份服務(wù)器和虛擬帶庫對各系統(tǒng)重要數(shù)據(jù)進(jìn)行定期備份；

3）需要通過制定并嚴(yán)格執(zhí)行備份與恢復(fù)管理制度和備份與恢復(fù)流程，加強(qiáng)各系統(tǒng)備份恢復(fù)能力。

4.2 數(shù)據(jù)安全加密傳輸（VPN）

針對數(shù)據(jù)傳輸?shù)陌踩?，部分接入部門到智慧徐州信息資源樞紐工程的數(shù)據(jù)進(jìn)行VPN加密傳輸。接入部門和平臺兩端之間運(yùn)行IPSec 或SSL VPN協(xié)議，保證數(shù)據(jù)在傳輸過程中的端到端安全性。

4.3 數(shù)據(jù)交換過程的安全保障

平臺數(shù)據(jù)交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數(shù)據(jù)交換后不能抵賴等功能。

平臺業(yè)務(wù)系統(tǒng)在傳遞消息的過程中可以指定是否采用消息內(nèi)容的校驗，校驗方法是由發(fā)送消息的業(yè)務(wù)系統(tǒng)提供消息的原始長度和根據(jù)某種約定的驗證碼生成規(guī)則（比如 MD5 校驗規(guī)則）生成的驗證碼。

4.4 數(shù)據(jù)交換接口安全設(shè)計

平臺提供的消息傳輸接口支持不同的安全標(biāo)準(zhǔn)。對于對安全性要求比較高的業(yè)務(wù)系統(tǒng)來說，在調(diào)用平臺的Web Service接口時使用HTTPS 協(xié)議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業(yè)務(wù)系統(tǒng)來說，可以簡單的通過HTTP方式調(diào)用平臺的Web Service接口進(jìn)行消息的傳輸。

5 安全管理體系建設(shè)

在智慧徐州信息資源樞紐工程安全保障體系建設(shè)中，應(yīng)該建立相應(yīng)的安全管理體系，而不是僅靠技術(shù)手段來防范所有的安全隱患。安全建設(shè)的核心是安全管理。在安全策略的指導(dǎo)下，安全技術(shù)和安全產(chǎn)品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強(qiáng)對客戶網(wǎng)絡(luò)的安全管理，確保重點設(shè)施的安全，應(yīng)該加強(qiáng)安全管理體系的建設(shè)。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統(tǒng)進(jìn)行細(xì)致的調(diào)查、評估之后，結(jié)合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應(yīng)包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導(dǎo)，是安全策略體系基本結(jié)構(gòu)的最高層，它指明了安全策略所要達(dá)到的最高安全目標(biāo)及其管理和適用范圍。

在安全方針的指導(dǎo)下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責(zé)，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導(dǎo)組成安全保障體系的各項安全措施正確實施的指導(dǎo)方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統(tǒng)的安全建設(shè)非常重要。因此，需要建立具有適當(dāng)管理權(quán)的信息安全管理委員會來批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實施。建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢，監(jiān)督安全標(biāo)準(zhǔn)和評估方法，并在處理安全事故時提供適當(dāng)?shù)穆?lián)絡(luò)渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴(yán)格。由管理層負(fù)責(zé)制定切實可行的日常安全保密制度、審計制度、機(jī)房管理、操作規(guī)程管理、系統(tǒng)管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內(nèi)容、達(dá)到的目標(biāo)等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統(tǒng)制定完善的動作體系，保證系統(tǒng)的安全運(yùn)行。

參考文獻(xiàn)：

[1] 吳小坤，吳信訓(xùn).智慧城市建設(shè)中的信息技術(shù)隱患與現(xiàn)實危機(jī)[J].科學(xué)發(fā)展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設(shè)計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

篇10

1計算機(jī)病毒的感染途徑及發(fā)展趨勢分析

計算機(jī)感染病毒的途徑比較多，根據(jù)常見的病毒感染問題進(jìn)行分析，才能夠阻絕病毒傳播的途徑。我們分析病毒傳播的主要途徑，發(fā)現(xiàn)網(wǎng)絡(luò)下載或者網(wǎng)頁瀏覽傳播的過程中，病毒傳播的概率最高，聯(lián)網(wǎng)狀態(tài)下用戶瀏覽網(wǎng)頁或者進(jìn)行下載時，如果不小心點開了夾雜病毒的網(wǎng)頁，很容易被病毒攻擊。一些病毒文件依托某些非法網(wǎng)站存在，往往會偽裝成常見的網(wǎng)絡(luò)文件伺機(jī)發(fā)起攻擊。除此之外，用戶使用光盤、優(yōu)盤等移動存儲介質(zhì)進(jìn)行文件拷貝、上傳時，病毒會隨著移動件的插拔進(jìn)行傳播。病毒傳播的途徑還有電子郵件收發(fā)方面，黑客攻擊用戶好友獲取社交信息，并且采用群發(fā)含有病毒電子郵件的方式擴(kuò)散計算機(jī)病毒。病毒擴(kuò)散的另外一個重要途徑為局域網(wǎng)傳播，主要為單位、企事業(yè)機(jī)關(guān)共用局域網(wǎng)，在長期資源共享的模式下很容易受到病毒的交叉感染。計算機(jī)被病毒攻擊之后，往往會造成嚴(yán)重的破壞后果。最常見的破壞后果是系統(tǒng)(網(wǎng)絡(luò))使用受限，計算機(jī)被黑客遠(yuǎn)程操控成為了“肉雞”。在大量的病毒文件攻擊之下，用戶的瀏覽器配置被修改，個人隱私、社交軟件賬目密碼或者支付寶密碼、賬號被盜，用戶正常的網(wǎng)絡(luò)生活受到嚴(yán)重的影響。因此，在計算機(jī)病毒的防治活動中，用戶應(yīng)該遠(yuǎn)離不良網(wǎng)站的誘惑，并且在網(wǎng)絡(luò)下載和瀏覽時采用可被殺毒軟件信任的瀏覽器。用戶需要履行規(guī)范的安全上網(wǎng)操作流程，定期修補(bǔ)計算機(jī)系統(tǒng)中存在的漏洞。為了防范病毒的攻擊，用戶應(yīng)該經(jīng)常對殺毒系統(tǒng)進(jìn)行升級，安裝新型的防火墻軟件抵御病毒入侵。

2應(yīng)對計算機(jī)病毒的發(fā)展趨勢開展病毒防控的具體策略探究

2．1病毒查殺和危險應(yīng)用隔離

在計算機(jī)病毒防控活動中，用戶應(yīng)該對危險應(yīng)用進(jìn)行隔離，可以使用殺毒軟件對全部軟件進(jìn)行檢測，對于殺毒軟件不信任的程序，應(yīng)該采用危險應(yīng)用沙箱隔離的方式，排除病毒傳播的安全隱患。建立可信免疫管理網(wǎng)絡(luò)安全平臺，對計算機(jī)病毒進(jìn)行查殺和管理。其中，在系統(tǒng)管理安全性建設(shè)中，采取有效的防控策略確立可信任的主、客體，滿足用戶日常性的電腦操作需要。在計算機(jī)系統(tǒng)安全管理活動中，技術(shù)人員應(yīng)該制定可信任的主、客體間的訪問規(guī)則，防止病毒程序附著于不明來源的計算機(jī)文件中對系統(tǒng)造成嚴(yán)重破壞。在計算機(jī)病毒防控的審計管理活動中，技術(shù)人員應(yīng)該認(rèn)真審計主、客體訪問的具體行為，并且要監(jiān)控主客體運(yùn)行時發(fā)生的狀態(tài)。當(dāng)運(yùn)行活動中出現(xiàn)異?，F(xiàn)象時，應(yīng)該及時地地病毒攻擊進(jìn)行攔截。

2．2病毒滲透控制與拓?fù)浣Y(jié)構(gòu)優(yōu)化

建立即時的病毒事件信息處理響應(yīng)機(jī)制，強(qiáng)化風(fēng)險跟蹤和滲透測試工作的開展。在病毒蔓延的趨勢分析活動中，通過優(yōu)化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)可以有效地提高網(wǎng)絡(luò)信息系統(tǒng)的安全性，防止計算機(jī)病毒的滲透性危害出現(xiàn)擴(kuò)大化問題。采用雙向網(wǎng)絡(luò)冗余設(shè)計可以有效地消除網(wǎng)絡(luò)中的環(huán)網(wǎng)，在針對電腦內(nèi)部網(wǎng)絡(luò)的優(yōu)化過程中，通過檢查和有效比較，確定這些網(wǎng)絡(luò)數(shù)據(jù)源部分是否正確，并且及時將容易遭受故障的數(shù)據(jù)部分恢復(fù)過來，從而達(dá)到降低計算機(jī)網(wǎng)絡(luò)故障帶來的影響目的。在可信網(wǎng)絡(luò)方案架構(gòu)建設(shè)中，采用二層交換機(jī)接入的方式，完善網(wǎng)絡(luò)終端接入的渠道。在可信標(biāo)示網(wǎng)關(guān)功能性開發(fā)活動中，對所有網(wǎng)絡(luò)設(shè)備的可信任性進(jìn)行全盤檢查。并且在網(wǎng)絡(luò)輸出窗口的病毒防護(hù)中，采用大數(shù)據(jù)分析的方法，對可信邊界網(wǎng)關(guān)的局域網(wǎng)絡(luò)進(jìn)行邊界限制，防止病毒滲透的風(fēng)險產(chǎn)生。

2．3系統(tǒng)云安全管理平臺的建立與高危病毒查殺

在計算機(jī)病毒安全防護(hù)活動中，建立系統(tǒng)云數(shù)據(jù)安全管理平臺，實現(xiàn)對于虛擬網(wǎng)絡(luò)防護(hù)的需要。采用高效率的安全審計方式，對個人隱私和數(shù)據(jù)進(jìn)行保護(hù)。建立虛擬節(jié)點安全防護(hù)機(jī)制，實現(xiàn)云安全套件中的可信任數(shù)據(jù)存儲系統(tǒng)建設(shè)，滿足計算機(jī)正常穩(wěn)定運(yùn)行的需要。在企業(yè)日常經(jīng)營性網(wǎng)絡(luò)的深度運(yùn)營維護(hù)平臺建設(shè)中，用戶應(yīng)該積極采用自動化運(yùn)維管理的方式，防止手動病毒檢索造成的遺漏現(xiàn)象產(chǎn)生。建立一體化態(tài)勢感知系統(tǒng)，將計算機(jī)病毒的防控流程進(jìn)行全息展現(xiàn)。在事件跟蹤流程建設(shè)活動中，堅持優(yōu)先處理高危病毒文件的方式，對計算機(jī)病毒進(jìn)行防治處理。積極開發(fā)計算機(jī)網(wǎng)絡(luò)安全服務(wù)平臺建設(shè)工作，在日常性的病毒防控活動中，開展深入的風(fēng)險評估工作。通過采集事件關(guān)鍵數(shù)據(jù)信息的方式，進(jìn)行病毒與可信任文件的關(guān)聯(lián)性分析，按照一定的病毒查殺和處理原則進(jìn)行審計取證。

3結(jié)語

在網(wǎng)絡(luò)安全在線防護(hù)平臺安全建設(shè)活動中，技術(shù)人員應(yīng)該做好網(wǎng)絡(luò)防護(hù)和數(shù)據(jù)防護(hù)工作。技術(shù)人員要從應(yīng)用系統(tǒng)防護(hù)與移動網(wǎng)絡(luò)防護(hù)兩個方面進(jìn)行功能開發(fā)，凸顯APT安全防護(hù)效果，維護(hù)WEB界面安全，顯著提升網(wǎng)絡(luò)系統(tǒng)的病毒防御能力。在計算機(jī)核心數(shù)據(jù)庫安全防護(hù)活動中，技術(shù)人員應(yīng)該做好系統(tǒng)盤的安全加固工作，采用代碼審計的方式，對數(shù)據(jù)庫中存在的漏洞進(jìn)行彌補(bǔ)，打造一體化的安全防護(hù)網(wǎng)絡(luò)體系。

參考文獻(xiàn):

［1］楊波．淺論計算機(jī)病毒的發(fā)展趨勢及其防控對策［J］．科技資訊，2011，24:130～131．

［2］葉曉夢，楊小帆．基于兩階段免疫接種的SIRS計算機(jī)病毒傳播模型［J］．計算機(jī)應(yīng)用，2013，03:739～742．

篇11

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規(guī)模爆發(fā)，感染了大量的計算機(jī)，隨后會向計算機(jī)中植入敲詐勒索病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當(dāng)于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，即不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點：WannaCry利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動傳播的特性。WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動傳播的能力，能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏?！坝篮阒{(lán)”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱?！坝篮阒{(lán)”是指NSA泄露的危險漏洞“EternalBlue”。

二、油田現(xiàn)階段網(wǎng)絡(luò)結(jié)構(gòu)分析

油田網(wǎng)絡(luò)屬于小型局域網(wǎng)，能夠?qū)崿F(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。拓?fù)浣Y(jié)構(gòu)采用星型和樹型混合結(jié)構(gòu)。采取這種拓?fù)浣Y(jié)構(gòu)具有傳輸速度快、網(wǎng)絡(luò)構(gòu)形簡單、建網(wǎng)容易、便于控制和管理的優(yōu)點。因此，局內(nèi)基本上所有電腦都在使用文件共享和打印機(jī)共享，必然會開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經(jīng)分析，總結(jié)出以下在平時網(wǎng)絡(luò)使用中可能引發(fā)的網(wǎng)絡(luò)安全問題：1.未能定時更新安全程序。單位所使用的操作系統(tǒng)多數(shù)為Windows操作系統(tǒng)。每隔一段時間微軟都會新的安全更新程序，用來修補(bǔ)系統(tǒng)所存在的安全漏洞。但是，很多人認(rèn)為安裝更新程序耗時長，并且會造成系統(tǒng)運(yùn)行卡頓，占用內(nèi)存，因此，基本不會主動更新安全程序，甚至?xí)P(guān)閉系統(tǒng)自動更新程序開關(guān)，來阻止系統(tǒng)進(jìn)行安全程序更新。2.未能定時查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網(wǎng)絡(luò)傳播等。由于局內(nèi)采用的是局域網(wǎng)，并且多臺主機(jī)之間實現(xiàn)文件共享，這就容易發(fā)生一臺主機(jī)癱瘓，其余主機(jī)跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點。3.安全意識不強(qiáng)。很多人存在僥幸心理，認(rèn)為病毒的傳播沒有那么快，補(bǔ)丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時候查殺一下，不需要的時候干脆不去理會，這樣的行為就會有很大的安全風(fēng)險，在病毒爆發(fā)的時候，由于沒有及時安裝安全更新程序或者查殺病毒，很容易發(fā)生意想不到的局面。4.沒有定期備份文件的習(xí)慣。由于單位的計算機(jī)主要用于辦公，有很多辦公需要的資料，一次性備份需要花費(fèi)較長的時間，而且往往沒有如此大內(nèi)存的存儲設(shè)備來備份重要文件，員工多將資料直接存儲于電腦中，即使發(fā)生資料變更也不進(jìn)行備份，這就給資料的安全性帶來了風(fēng)險，一旦計算機(jī)中毒，文件受損，將帶來不可挽回的局面。

三、預(yù)防措施

關(guān)于網(wǎng)絡(luò)安全的管理和預(yù)防，一方面，玉門油田遵從總公司的決定進(jìn)行桌面安全管理系統(tǒng)2.0的部署，另一方面，個人也應(yīng)培養(yǎng)良好的網(wǎng)絡(luò)安全意識，形成良好的網(wǎng)絡(luò)安全預(yù)防習(xí)慣。1.桌面安全管理系統(tǒng)2.0。桌面安全管理系統(tǒng)2.0是桌面安全管理系統(tǒng)1.0的升級版，新建系統(tǒng)加固及管控平臺兩個子系統(tǒng)，替換了原有的防病毒、端點準(zhǔn)入產(chǎn)品，升級和優(yōu)化后臺管理、補(bǔ)丁分發(fā)、電子文檔保護(hù)三個子系統(tǒng)功能，同時對以上子系統(tǒng)在客戶端進(jìn)行了整合。（1）防病毒子系統(tǒng)。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時，構(gòu)建企業(yè)自主控制文件黑白名單能力，實現(xiàn)全網(wǎng)文件樣本的快速發(fā)現(xiàn)和查殺。（2）端點準(zhǔn)入子系統(tǒng)。通過定制端點準(zhǔn)入策略、客戶端和端點準(zhǔn)入設(shè)備有效聯(lián)動，采用旁路部署端點準(zhǔn)入設(shè)備，對桌面計算機(jī)進(jìn)行合規(guī)性檢驗，為各單位提供有效、易用的管理工具和手段，支持修復(fù)頁面跳轉(zhuǎn)和非辦公計算機(jī)例外保護(hù)，如IP電話、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。（3）后臺管理子系統(tǒng)。具有計算機(jī)實名制注冊、軟硬件資產(chǎn)信息收集、策略下發(fā)、用戶行為審計和違規(guī)日志查詢的管理功能。通過系統(tǒng)進(jìn)行基礎(chǔ)安全策略的定制，建立桌面計算機(jī)安全基礎(chǔ)，提供30類擴(kuò)展安全策略，各單位可根據(jù)實際需求進(jìn)行策略定制，深入完善桌面安全管理。（4）文檔保護(hù)子系統(tǒng)。與中國石油USBKey相結(jié)合，為計算機(jī)用戶提供登錄保護(hù)、重要文件處理區(qū)、文件輸出審計、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴(kuò)展文檔加密功能適用范圍，實現(xiàn)電子文檔在創(chuàng)建、存儲、使用、銷毀等過程的安全保護(hù)。（5）補(bǔ)丁分發(fā)子系統(tǒng)。對微軟補(bǔ)丁進(jìn)行人工篩選和測試后，通過補(bǔ)丁分發(fā)子系統(tǒng)實現(xiàn)全網(wǎng)桌面計算機(jī)操作系統(tǒng)安全統(tǒng)一分發(fā)和自動安裝，及時有效的降低操作系統(tǒng)漏洞帶來的安全隱患。此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過“永恒之藍(lán)”這個漏洞傳播，因此給系統(tǒng)打補(bǔ)丁是必須的。（6）系統(tǒng)加固子系統(tǒng)。提供安全基線和底層加固兩個功能模塊，通過統(tǒng)一模板控制、操作系統(tǒng)底層加固，實現(xiàn)集團(tuán)公司安全基線要求在桌面計算機(jī)的強(qiáng)制管控，并且降低操作系統(tǒng)脆弱性帶來的安全風(fēng)險。2.培養(yǎng)個人安全意識。及時更新安全補(bǔ)?。嚎梢栽诠倬W(wǎng)或使用相關(guān)安全軟件進(jìn)行系統(tǒng)安全補(bǔ)丁的更新及安裝，或者選擇自動檢查與安裝。目的就是為了防止病毒利用系統(tǒng)漏洞進(jìn)行二次攻擊。定時查殺病毒：通過殺毒軟件，如360安全衛(wèi)士，定時進(jìn)行病毒查殺與電腦安全診斷與防護(hù)。學(xué)習(xí)網(wǎng)絡(luò)安全知識，培養(yǎng)網(wǎng)絡(luò)安全意識：單位在安全培訓(xùn)中，適當(dāng)加入網(wǎng)絡(luò)安全培訓(xùn)的內(nèi)容，培養(yǎng)員工的網(wǎng)絡(luò)安全意識。定期備份重要文檔資料：及時整理重要的文件資料，并選取適當(dāng)?shù)拇鎯υO(shè)備進(jìn)行備份，或者將資料存放在不聯(lián)網(wǎng)的計算機(jī)中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關(guān)閉445端口等共享文件端口以64位Windows系統(tǒng)為例：在鍵盤上同時按下“WIN+R”后輸入“regedit”圖2運(yùn)行窗口在注冊表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設(shè)置鍵值為“0”=圖3注冊表編輯器圖4鍵值單擊“確定”即可。（2）關(guān)閉網(wǎng)絡(luò)文件與打印機(jī)共享（3）安裝系統(tǒng)補(bǔ)丁

四、結(jié)論

通過分析整個油田局域網(wǎng)的結(jié)構(gòu)和特點，以及員工日常工作使用電腦的習(xí)慣，總結(jié)出油田局域網(wǎng)所存在的安全隱患，員工安全意識有待提高等相關(guān)問題。及時安裝桌面安全系統(tǒng)2.0，提高網(wǎng)絡(luò)安全意識，養(yǎng)成良好的安全上網(wǎng)習(xí)慣，將有助于整個油田的網(wǎng)絡(luò)安全和安全生產(chǎn)運(yùn)行。

作者:杜懿珊 單位:玉門油田信息中心

篇12

營銷業(yè)務(wù)作為“SG186”工程的業(yè)務(wù)系統(tǒng)之一，應(yīng)用上涵蓋了新裝增容及變更用電、資產(chǎn)管理、計量點管理、抄表管理、核算管理、電費(fèi)收繳、帳務(wù)管理、用電檢查管理、95598業(yè)務(wù)等領(lǐng)域，需要7×24小時不間斷、安全可靠運(yùn)行的保障[1]。因此在遵循國家電網(wǎng)公司“SG186”工程的建設(shè)標(biāo)準(zhǔn)和信息網(wǎng)絡(luò)等級保護(hù)要求的基礎(chǔ)上，結(jié)合營銷關(guān)鍵業(yè)務(wù)應(yīng)用，加強(qiáng)信息安全防護(hù)，保障營銷系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行。本文針對新疆電力營銷系統(tǒng)的現(xiàn)狀，給出了一種多層次的安全防護(hù)方案，對保障營銷系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，保護(hù)用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設(shè)意見。

2 新疆營銷網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

新疆電力營銷業(yè)務(wù)應(yīng)用經(jīng)過了多年的建設(shè)，目前大部分地區(qū)在業(yè)擴(kuò)報裝、電費(fèi)計算、客戶服務(wù)等方面的營銷信息化都基本達(dá)到實用化程度，在客戶服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個層次上實現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實際情況，主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。

2.1 管理現(xiàn)狀

根據(jù)公司總部提出的“集團(tuán)化運(yùn)作、集約化發(fā)展、精細(xì)化管理”的工作思路，從管理的需求上來說，數(shù)據(jù)越集中，管理的力度越細(xì)，越能夠達(dá)到精細(xì)化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠(yuǎn)地區(qū)。因此，營銷業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進(jìn)。根據(jù)對當(dāng)前各地市公司的營銷管理現(xiàn)狀和管理目標(biāo)需求的分析，管理現(xiàn)狀可分為如下三類：實時化、精細(xì)化管理；準(zhǔn)實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2 網(wǎng)絡(luò)現(xiàn)狀

網(wǎng)絡(luò)建設(shè)水平將直接影響營銷業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署，目前新疆公司信息網(wǎng)已經(jīng)形成，實現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大，部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò)，并且有相應(yīng)的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現(xiàn)連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網(wǎng)絡(luò)無法到達(dá)的地方，對大批量、實時的數(shù)據(jù)傳輸要求無法有效保證，通道的可靠性相對較差。

2.3 需求分析

營銷業(yè)務(wù)系統(tǒng)通常部署在國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機(jī)房，為國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜，與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換，使用人員涵蓋國家電網(wǎng)公司內(nèi)部人員，外部廠商人員，公網(wǎng)用戶等。因此，在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)存儲、網(wǎng)絡(luò)邊界防護(hù)與管理等層面上都有很高的安全需求。[2]

3 關(guān)鍵技術(shù)和架構(gòu)

3.1 安全防護(hù)體系架構(gòu)

營銷網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的總體目標(biāo)是保障營銷系統(tǒng)安全有序的運(yùn)行，規(guī)范國家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶的行為，對違規(guī)行為進(jìn)行報警和處理。營銷網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系由3個系統(tǒng)（3維度）接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個方面內(nèi)容，以及其多個子系統(tǒng)組成，其體系結(jié)構(gòu)如圖1所示。

圖1 營銷系統(tǒng)安全防護(hù)總體防護(hù)架構(gòu)

3.2 接入終端安全

接入營銷網(wǎng)的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協(xié)議不統(tǒng)一，更新?lián)Q代快，網(wǎng)絡(luò)攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統(tǒng)的基于特征碼被動防護(hù)的反病毒軟件遠(yuǎn)遠(yuǎn)不能滿足需求。需要加強(qiáng)終端的安全改造和監(jiān)管，建立完善的認(rèn)證、準(zhǔn)入和監(jiān)管機(jī)制，對違規(guī)行為及時報警、處理和備案，減小終端接入給系統(tǒng)帶來的安全隱患。

3.3 數(shù)據(jù)傳輸安全

傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗等保護(hù)措施，電力營銷數(shù)據(jù)涉及國家電網(wǎng)公司和用戶信息，安全等級較高，需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險。

市場上常見的安全網(wǎng)關(guān)、防火墻、漏洞檢測設(shè)備等，都具有數(shù)據(jù)加密傳輸?shù)墓δ?，能夠有效保證數(shù)據(jù)傳輸?shù)陌踩?。但僅僅依靠安全設(shè)備來保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透，將可能造成營銷系統(tǒng)數(shù)據(jù)和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。

3.4 應(yīng)用系統(tǒng)安全

目前營銷系統(tǒng)已經(jīng)具有針對應(yīng)用層的基于對象權(quán)限和用戶角色概念的認(rèn)證和授權(quán)機(jī)制，但是這種機(jī)制還不能在網(wǎng)絡(luò)層及以下層對接入用戶進(jìn)行細(xì)粒度的身份認(rèn)證和訪問控制，營銷系統(tǒng)仍然面臨著安全風(fēng)險。增強(qiáng)網(wǎng)絡(luò)層及以下層，比如接入層、鏈路層等的細(xì)粒度訪問控制，從而提高應(yīng)用系統(tǒng)的安全性。

4 安全建設(shè)

營銷系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機(jī)操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用安全以及終端安全幾個層面的安全防護(hù)方案，用以解決營銷系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問題。

4.1 終端安全加固

終端作為營銷系統(tǒng)使用操作的發(fā)起設(shè)備，其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩酥羶?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強(qiáng)終端自身的安全防護(hù)策略的制定，定期檢測被攻擊的風(fēng)險，對安全漏洞甚至病毒及時處理。對終端設(shè)備進(jìn)行完善的身份認(rèn)證和權(quán)限管理，限制和阻止非授權(quán)訪問、濫用、破壞行為。

目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設(shè)備、應(yīng)急指揮車等。由于不同終端采用的操作系統(tǒng)不同，安全防護(hù)要求和措施也不同，甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統(tǒng)底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認(rèn)證技術(shù)驗證用戶身份；嚴(yán)格按權(quán)限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監(jiān)控系統(tǒng)，監(jiān)控終端操作行為；安裝加密卡/認(rèn)證卡，如USBKEY/PCMCIA/ TF卡等。

4.2 網(wǎng)絡(luò)環(huán)境安全

網(wǎng)絡(luò)環(huán)境安全防護(hù)是針對網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進(jìn)行安全防護(hù)。確保軟硬件設(shè)備整體在營銷網(wǎng)絡(luò)系統(tǒng)中安全有效工作。

4.2.1 網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)設(shè)備安全包括國家電網(wǎng)公司信息內(nèi)、外網(wǎng)營銷管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)。主要防護(hù)措施包括，對網(wǎng)絡(luò)設(shè)備進(jìn)行加固，及時安裝殺毒軟件和補(bǔ)丁，定期更新弱點掃描系統(tǒng)，并對掃描出的弱點及時進(jìn)行處理。采用身份認(rèn)證、IP、MAC地址控制外來設(shè)備的接入安全，采用較為安全的SSH、HTTPS等進(jìn)行遠(yuǎn)程管理。對網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行備份。對網(wǎng)絡(luò)設(shè)備安全事件進(jìn)行定期或?qū)崟r審計。采用硬件雙機(jī)、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作，保證營銷管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。

4.2.2 網(wǎng)絡(luò)傳輸安全

營銷系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時可能會被截獲、篡改、刪除，因此應(yīng)當(dāng)建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。

在非邊遠(yuǎn)地方建立專用的電力通信網(wǎng)絡(luò)方便營銷系統(tǒng)的用戶安全使用、在邊遠(yuǎn)的沒有覆蓋電力局和供電營業(yè)所的地方，采用建立GPRS、GSM，3G專線或租用運(yùn)營商ADSL、ISDN網(wǎng)絡(luò)專網(wǎng)專用的方式，保障電力通信安全。

電力營銷技術(shù)系統(tǒng)與各個銀行網(wǎng)上銀行、郵政儲蓄網(wǎng)點、電費(fèi)代繳機(jī)構(gòu)進(jìn)行合作繳費(fèi)，極大方便電力客戶繳費(fèi)。為了提高通道的安全性，形成了營銷系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個封閉環(huán)路，利用專網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

在數(shù)據(jù)傳輸之前需要進(jìn)行設(shè)備間的身份認(rèn)證，在認(rèn)證過程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉停赏ㄟ^哈希（HASH）單向運(yùn)算、SSL加密、Secure Shell（SSH）加密、公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure 簡稱PKI）等方式實現(xiàn)。

此外，為保證所傳輸數(shù)據(jù)的完整性需要對傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗碼等技術(shù)以檢測和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過程中完整性是否受到破壞。在檢測到數(shù)據(jù)完整性被破壞時，采取有效的恢復(fù)措施。

4.2.3 網(wǎng)絡(luò)邊界防護(hù)

網(wǎng)絡(luò)邊界防護(hù)主要基于根據(jù)不同安全等級網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護(hù)思想。營銷系統(tǒng)安全域邊界，分為同一安全域內(nèi)部各個子系統(tǒng)之間的內(nèi)部邊界，和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類。依據(jù)安全防護(hù)等級、邊界防護(hù)和深度防護(hù)標(biāo)準(zhǔn)，具有相同安全保護(hù)需求的網(wǎng)絡(luò)或系統(tǒng)，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內(nèi)[3]，采用相同的安全防護(hù)措施。

加強(qiáng)外部網(wǎng)絡(luò)邊界安全，可以采用部署堡壘機(jī)、入侵檢測、審計管理系統(tǒng)等硬件加強(qiáng)邊界防護(hù)，同時規(guī)范系統(tǒng)操作行為，分區(qū)域分級別加強(qiáng)系統(tǒng)保護(hù)，減少系統(tǒng)漏洞，提高系統(tǒng)內(nèi)部的安全等級，從根本上提高系統(tǒng)的抗攻擊性。

跨安全域傳輸?shù)臄?shù)據(jù)傳輸需要進(jìn)行加密處理。實現(xiàn)數(shù)據(jù)加密，啟動系統(tǒng)的加密功能或增加相應(yīng)模塊實現(xiàn)數(shù)據(jù)加密，也可采用第三方VPN等措施實現(xiàn)數(shù)據(jù)加密。

4.3 主機(jī)安全

從增強(qiáng)主機(jī)安全的層面來增強(qiáng)營銷系統(tǒng)安全，采用虛擬專用網(wǎng)絡(luò)（Virtual Private Network 簡稱VPN）等技術(shù)，在用戶網(wǎng)頁（WEB）瀏覽器和服務(wù)器之間進(jìn)行安全數(shù)據(jù)通信，提高主機(jī)自身安全性，監(jiān)管主機(jī)行，減小用戶錯誤操作對系統(tǒng)的影響。

首先，掃描主機(jī)操作系統(tǒng)評估出配置錯誤項，按照系統(tǒng)廠商或安全組織提供的加固列表對操作系統(tǒng)進(jìn)行安全加固，以達(dá)到相關(guān)系統(tǒng)安全標(biāo)準(zhǔn)。安裝第三方安全組件加強(qiáng)主機(jī)系統(tǒng)安全防護(hù)。采用主機(jī)防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)（IDS/IPS）、監(jiān)控軟件等。在服務(wù)器和客戶端上部署專用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護(hù)系統(tǒng)等。

此外，還需要制定用戶安全策略，系統(tǒng)用戶管理策略，定義用戶口令管理策略[4]。根據(jù)管理用戶角色分配用戶權(quán)限，限制管理員使用權(quán)限，實現(xiàn)不同管理用戶的權(quán)限分離。對資源訪問進(jìn)行權(quán)限控制。依據(jù)安全策略對敏感信息資源設(shè)置敏感標(biāo)記，制定訪問控制策略嚴(yán)格管理用戶對敏感信息資源的訪問和操作。

4.4 數(shù)據(jù)庫安全

數(shù)據(jù)庫安全首要是數(shù)據(jù)存儲安全，包括敏感口令數(shù)據(jù)非明文存儲，對關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲，本地數(shù)據(jù)備份與恢復(fù)，關(guān)鍵數(shù)據(jù)定期備份，備份介質(zhì)場外存放和異地備份。當(dāng)環(huán)境發(fā)生變更時，定期進(jìn)行備份恢復(fù)測試，以保證所備份數(shù)據(jù)安全可靠。

數(shù)據(jù)安全管理用于數(shù)據(jù)庫管理用戶的身份認(rèn)證，制定用戶安全策略，數(shù)據(jù)庫系統(tǒng)用戶管理策略，口令管理的相關(guān)安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權(quán)限。

數(shù)據(jù)庫安全審計采用數(shù)據(jù)庫內(nèi)部審計機(jī)制或第三方數(shù)據(jù)庫審計系統(tǒng)進(jìn)行安全審計，并定期對審計結(jié)果進(jìn)行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數(shù)據(jù)庫程序補(bǔ)丁。經(jīng)過安全測試后加載數(shù)據(jù)庫系統(tǒng)補(bǔ)丁，提升數(shù)據(jù)庫安全。

數(shù)據(jù)庫安全控制、在數(shù)據(jù)庫安裝前，必須創(chuàng)建數(shù)據(jù)庫的管理員組，服務(wù)器進(jìn)行訪問限制，制定監(jiān)控方案的具體步驟。工具配置參數(shù)，實現(xiàn)同遠(yuǎn)程數(shù)據(jù)庫之間的連接[5]。

數(shù)據(jù)庫安全恢復(fù)，在數(shù)據(jù)庫導(dǎo)入時，和數(shù)據(jù)庫發(fā)生故障時，數(shù)據(jù)庫數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫熱備份恢復(fù)。

4.5 應(yīng)用安全

應(yīng)用安全是用戶對營銷系統(tǒng)應(yīng)用的安全問題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶接口和數(shù)據(jù)接口的安全防護(hù)。

4.5.1 應(yīng)用系統(tǒng)安全防護(hù)

應(yīng)用系統(tǒng)安全防護(hù)首先要對應(yīng)用系統(tǒng)進(jìn)行安全測評、安全加固，提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運(yùn)行。定期對應(yīng)用程序軟件進(jìn)行弱點掃描，掃描之前應(yīng)更新掃描器特征代碼；弱點掃描應(yīng)在非核心業(yè)務(wù)時段進(jìn)行，并制定回退計劃。依據(jù)掃描結(jié)果，及時修復(fù)所發(fā)現(xiàn)的漏洞，確保系統(tǒng)安全運(yùn)行。

4.5.2 用戶接口安全防護(hù)

對于用戶訪問應(yīng)用系統(tǒng)的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術(shù)鑒別用戶身份，如采用用戶名/口令、動態(tài)口令、物理識別設(shè)備、生物識別技術(shù)、數(shù)字證書身份鑒別技術(shù)等的組合使用。對于用戶認(rèn)證登陸采用包括認(rèn)證錯誤及超時鎖定、認(rèn)證時間超出強(qiáng)制退出、認(rèn)證情況記錄日志等安全控制措施。采用用戶名/口令認(rèn)證時，應(yīng)當(dāng)對口令長度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求。

同時，為保證用戶訪問重要業(yè)務(wù)數(shù)據(jù)過程的安全保密，用戶通過客戶端或WEB方式訪問應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當(dāng)考慮進(jìn)行加密傳輸，如網(wǎng)上營業(yè)廳等通過Internet等外部公共網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)系統(tǒng)訪問必須采用SSL等方式對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩裘?、口令等認(rèn)證信息應(yīng)當(dāng)明文傳輸和用戶口令在應(yīng)用系統(tǒng)中明文存儲。

4.5.3 數(shù)據(jù)接口安全防護(hù)

數(shù)據(jù)接口的安全防護(hù)分為安全域內(nèi)數(shù)據(jù)接口的安全防護(hù)和安全域間數(shù)據(jù)接口的安全防護(hù)。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間，需要通過網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口；安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間，需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。

5 安全管理

安全管理是安全建設(shè)的各項技術(shù)和措施得以實現(xiàn)不可缺少的保障，從制度和組織機(jī)構(gòu)到安全運(yùn)行、安全服務(wù)和應(yīng)急安全管理，是一套標(biāo)準(zhǔn)化系統(tǒng)的流程規(guī)范，主要包括以下方面。

5.1 安全組織機(jī)構(gòu)

建立營銷業(yè)務(wù)應(yīng)用安全防護(hù)的組織機(jī)構(gòu)，并將安全防護(hù)的責(zé)任落實到人，安全防護(hù)組織機(jī)構(gòu)可以由專職人員負(fù)責(zé)，也可由運(yùn)維人員兼職。

5.2 安全規(guī)章制度

建立安全規(guī)章制度，加強(qiáng)安全防護(hù)策略管理，軟件系統(tǒng)安全生命周期的管理，系統(tǒng)安全運(yùn)維管理，安全審計與安全監(jiān)控管理，以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實執(zhí)行。

5.3 安全運(yùn)行管理

在系統(tǒng)上線運(yùn)行過程中，遵守國家電網(wǎng)公司的安全管理規(guī)定，嚴(yán)格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。

首先，系統(tǒng)正式上線前應(yīng)進(jìn)行專門的系統(tǒng)安全防護(hù)測試，應(yīng)確認(rèn)軟件系統(tǒng)安全配置項目準(zhǔn)確，以使得已經(jīng)設(shè)計、開發(fā)的安全防護(hù)功能正常工作。

在上線運(yùn)行維護(hù)階段，應(yīng)定期對系統(tǒng)運(yùn)行情況進(jìn)行全面審計，包括網(wǎng)絡(luò)審計、主機(jī)審計、數(shù)據(jù)庫審計，業(yè)務(wù)應(yīng)用審計等。每次審計應(yīng)記入審計報告，發(fā)現(xiàn)問題應(yīng)進(jìn)入問題處理流程。建立集中日志服務(wù)器對營銷交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進(jìn)行集中收集存儲和管理。

軟件升級改造可能會對原來的系統(tǒng)做出調(diào)整或更改，此時也應(yīng)從需求、分析、設(shè)計、實施上線等的整個生命周期對運(yùn)行執(zhí)行新的安全管理。

5.4 安全服務(wù)

安全服務(wù)的目的是保障系統(tǒng)建設(shè)過程中的各個階段的有效執(zhí)行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進(jìn)行推進(jìn)和監(jiān)控系統(tǒng)建設(shè)的進(jìn)展，確保項目建設(shè)質(zhì)量和實現(xiàn)各項指標(biāo)。

從項目立項、調(diào)研、開發(fā)到實施、驗收、運(yùn)維等各個不同階段，可以階段性開展不同的安全服務(wù)，包括安全管理、安全評審、安全運(yùn)維、安全訪談、安全培訓(xùn)、安全測試、安全認(rèn)證等安全服務(wù)。

5.5 安全評估

安全評估是對營銷系統(tǒng)潛在的風(fēng)險進(jìn)行評估（Risk Assessment），在風(fēng)險尚未發(fā)生或產(chǎn)生嚴(yán)重后果之前對其造成后果的危險程度進(jìn)行分析，制定相應(yīng)的策略減少或杜絕風(fēng)險的發(fā)生概率。

營銷系統(tǒng)的安全評估主要是針對第三方使用人員，評估內(nèi)容涵蓋，終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國家電網(wǎng)公司安全等級標(biāo)準(zhǔn)，對核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級進(jìn)行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略，包括禁止違規(guī)操作、禁止越權(quán)操作等。

5.6 應(yīng)急管理

為了營銷系統(tǒng)7×24小時安全運(yùn)行，必須建立健全快速保障體系，在系統(tǒng)出現(xiàn)突發(fā)事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應(yīng)急預(yù)案，主要內(nèi)容包括：明確目標(biāo)或要求，設(shè)立具有專門的部門或工作小組對突發(fā)事件能夠及時反應(yīng)和處理。加強(qiáng)規(guī)范的應(yīng)急流程管理，明確應(yīng)急處理的期限和責(zé)任人。對于一定安全等級的事件，要及時或上報。

6 實施部署

營銷系統(tǒng)為多級部署系統(tǒng)。根據(jù)國家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護(hù)的指導(dǎo)思想原則，結(jié)合新疆多地市不同安全級別需求的實際情況，營銷系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。

在營銷系統(tǒng)部署中，對安全需求不同的地市子網(wǎng)劃分不同的安全域，網(wǎng)省管控平臺部署在網(wǎng)省信息內(nèi)網(wǎng)，負(fù)責(zé)對所有安全防護(hù)措施的管控和策略的下發(fā)，它是不同安全級別地市子系統(tǒng)信息的管理控制中心，也是聯(lián)接總部展示平臺的橋梁，向國網(wǎng)總公司提交營銷系統(tǒng)安全運(yùn)行的數(shù)據(jù)和報表等信息。

7 結(jié)束語

電力營銷網(wǎng)絡(luò)安全技術(shù)的發(fā)展伴隨電力營銷技術(shù)的發(fā)展而不斷更新，伴隨安全技術(shù)的不斷進(jìn)步而不斷進(jìn)步。電力營銷網(wǎng)絡(luò)的安全不僅僅屬于業(yè)務(wù)系統(tǒng)的安全范疇，也屬于網(wǎng)絡(luò)信息化建設(shè)范疇，其安全工作是一個系統(tǒng)化，多元化的工作，立足于信息內(nèi)網(wǎng)安全，覆蓋信息外網(wǎng)安全和其他網(wǎng)絡(luò)。

本文基于新疆電力營銷系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合現(xiàn)有安全技術(shù)和安全管理手段來提高營銷系統(tǒng)整體安全水平，為提升原有網(wǎng)絡(luò)的安全性，構(gòu)造一個安全可靠的電力營銷網(wǎng)絡(luò)提供了一套安全解決方案，對國家電網(wǎng)其他具有類似需求的網(wǎng)省公司營銷系統(tǒng)網(wǎng)絡(luò)安全問題解決提供參考和借鑒。

參考文獻(xiàn)

[1]趙宏斌，陳超.電力營銷數(shù)據(jù)安全防護(hù)體系及其關(guān)鍵技術(shù)研究[J].電力信息化，2008年6卷7期：135-139.

[2]呂萍萍.當(dāng)前電力企業(yè)電力營銷的現(xiàn)狀與安全防護(hù)保障系統(tǒng)構(gòu)建[J].華東科技：學(xué)術(shù)版，2012年11期：282.

[3]蔣明，吳斌.電力營銷系統(tǒng)信息安全等級保護(hù)的研究與實踐[J].電力信息化，2009年3期：25-27.

[4]朱芳，肖忠良，趙建梅.淺析電力營銷業(yè)務(wù)應(yīng)用系統(tǒng)的安全風(fēng)險[J].黑龍江科技信息，2010年35期：153-154.

[5]李紅文.論加強(qiáng)電力營銷信息系統(tǒng)安全[J].信息通信，2012年1月：115-116.

作者簡介：劉陶（1983-），男，漢族，四川樂山，本科，技師，電力營銷稽查與實施調(diào)度。

篇13

一、成立領(lǐng)導(dǎo)小組

為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我鎮(zhèn)成立了網(wǎng)絡(luò)信息工作領(lǐng)導(dǎo)小組，由鎮(zhèn)長任組長，分管副書記任副組長，下設(shè)辦公室，做到分工明確，責(zé)任具體到人，確保網(wǎng)絡(luò)信息安全工作順利實施。

二、網(wǎng)絡(luò)安全現(xiàn)狀

目前我鎮(zhèn)共有電腦32臺，均采用防火墻對網(wǎng)絡(luò)進(jìn)行保護(hù)，并安裝了殺毒軟件對全鎮(zhèn)計算機(jī)進(jìn)行病毒防治。

三、網(wǎng)絡(luò)安全管理措施

為了做好信息化建設(shè)，規(guī)范政府信息化管理，我鎮(zhèn)專門制訂了《椿樹鎮(zhèn)網(wǎng)絡(luò)安全管理制度》、《椿樹鎮(zhèn)網(wǎng)絡(luò)信息安全保障工作方案》、《椿樹鎮(zhèn)病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度》等多項制度，對信息化工作管理、內(nèi)部電腦安全管理、計算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定，進(jìn)一步規(guī)范了我鎮(zhèn)信息安全管理工作。

針對計算機(jī)保密工作，我鎮(zhèn)制定了《椿樹鎮(zhèn)鎮(zhèn)信息審核、登記制度》、《椿樹鎮(zhèn)突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等相關(guān)制度，并定期對網(wǎng)站上的所有信息進(jìn)行整理，未發(fā)現(xiàn)涉及到安全保密內(nèi)容的信息;與網(wǎng)絡(luò)安全小組成員簽訂了《椿樹鎮(zhèn)網(wǎng)絡(luò)信息安全管理責(zé)任書》，確保計算機(jī)使用做到“誰使用、誰負(fù)責(zé)”;對我鎮(zhèn)內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理，并及時存檔備份;此外，在全鎮(zhèn)范圍內(nèi)組織相關(guān)計算機(jī)安全技術(shù)培訓(xùn)，并開展有針對性的“網(wǎng)絡(luò)信息安全”教育及演練，積極參加其他計算機(jī)安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識，有力地保障我鎮(zhèn)政府信息網(wǎng)絡(luò)正常運(yùn)行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我鎮(zhèn)網(wǎng)絡(luò)安全仍然存在以下幾點不足：

一是安全防范意識較為薄弱;二是病毒監(jiān)控能力有待提高;三是對移動存儲介質(zhì)的使用管理還不夠規(guī)范;四是遇到惡意攻擊、計算機(jī)病毒侵襲等突發(fā)事件處理能力不夠。

針對目前我鎮(zhèn)網(wǎng)絡(luò)安全方面存在的不足，提出以下幾點整改意見：

1、進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全小組成員計算機(jī)操作技術(shù)、網(wǎng)絡(luò)安全技術(shù)方面的培訓(xùn)，強(qiáng)化計算機(jī)操作人員對網(wǎng)絡(luò)病毒、信息安全威脅的防范意識，做到早發(fā)現(xiàn)，早報告、早處理。

2、加強(qiáng)干部職工在計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)方面的學(xué)習(xí)，不斷提高機(jī)關(guān)干部的計算機(jī)技術(shù)水平。

基礎(chǔ)設(shè)施安全隱患自查報告范文(二)

按照《XX市交通局關(guān)于開展全市重大交通基礎(chǔ)設(shè)施安全隱患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路處副處長劉大倫、劉志斌帶隊赴各縣、區(qū)(市)，采取檢查組重點抽查與各縣、區(qū)(市)自查結(jié)合的方式，檢查了全市管養(yǎng)的縣公路、鄉(xiāng)公路和部分村公路XX縣鄉(xiāng)公路橋梁情況?，F(xiàn)將綜合檢查情況報告如下：

一、公路檢查情況

全面檢查了縣公路68條，抽查和自查了鄉(xiāng)公路692條、村公路310條。查出存在安全隱患的線路有958條，需處治隱患4521處，處治隱患里程1587.464公里，需總投資4307.23萬元。沒有發(fā)現(xiàn)重大安全隱患。檢查資料已上報省公路局。

二、橋梁檢查情況

抽查農(nóng)村公路管理養(yǎng)護(hù)橋梁211座(不含村道中小橋)，自查管理養(yǎng)護(hù)農(nóng)村公路橋梁499座(不含村道中小橋)。大部分橋梁存在不同類型安全隱患的橋梁。已查出存在安全隱患的管理養(yǎng)護(hù)橋梁：二郎小橋、二郎大橋、兩河口二橋、兩蔑路一橋、梁蔑路二橋、官渡大橋、人仁路孔灘橋、官渡魚灣大橋、河閃渡大橋、戲子灘大橋、龍?zhí)翗颉肟矘?、樂莊橋、鹽津河大橋、兩河口大橋等，存在的隱患類型主要是超荷、地質(zhì)災(zāi)害、水毀等，隱患程度不一，有的僅需少量人財物即可恢復(fù)，有的需列入危橋改造工程維修加固。針對隱患的不同類型和程度，分別采取了設(shè)置超載限速標(biāo)志、落實專人監(jiān)管、向省公路局上報檢查資料等措施。

募溪河橋(XX縣)、青杠塘橋(XX縣)、進(jìn)化新橋(XX縣)等在建橋梁、危橋維修加固橋梁未發(fā)現(xiàn)安全隱患。列入抽查的通村公路橋梁，以及各縣、區(qū)(市)自查通村公路橋梁，檢查中沒有發(fā)現(xiàn)重大安全隱患。

三、安保工程實施情況

根據(jù)省公路局“關(guān)于XX市農(nóng)村公路安全保障工程設(shè)計方案的批復(fù)”(黔路復(fù)〔2019〕169號文)，我市今年18個項目的安保工程計劃，中央車購稅投資827萬元，項目涉及習(xí)水、務(wù)川、湄潭、仁懷、綏陽、余慶、桐梓、正安、XX縣及習(xí)赤公司等十個縣、區(qū)(市)，12月底完成鋼筋砼護(hù)欄14808米，波型護(hù)欄74698米，警示墩3589個，禁令和警告標(biāo)志898套，地名和指路標(biāo)志18套，標(biāo)線4194㎡，處治隱患670處，處治隱患里程309k，完成投資827萬元。

四、水毀恢復(fù)情況

據(jù)統(tǒng)計，進(jìn)入雨季以來，我市有41條農(nóng)村公路發(fā)生水毀，工程量：損毀路基13906 m3/2365m，沖毀路面砂路87000 m2/4428m，砼或瀝青路面14261 m2/4428m;橋梁局部毀20米/1座;涵洞全毀18道，局部毀6道;擋墻15908 m3/193處，坍方259342 m3/620處，需恢復(fù)資金810.682萬元。今年共安排水毀搶險資金320萬元，主要修復(fù)路基缺口、山體滑坡造成改移線路段截12月底共完成擋墻修復(fù)23500m3， 177處，改線3.2公里，恢復(fù)水毀線路37條。

檢查表明：我市列入管理養(yǎng)護(hù)的農(nóng)村公路及橋梁，安全形勢穩(wěn)定，無安全事故，

五、下步工作安排

(一)進(jìn)一步全面了解本轄區(qū)內(nèi)事故事易發(fā)路段，建立安保工程數(shù)據(jù)庫。

(二)逐年安排資金消除存在安全隱患的線路。

六、存在問題及建議

(一)我市農(nóng)村公路點多、線長、面廣，公路建設(shè)中未考慮安保設(shè)施，安全隱患治理資金投入少，急需治理隱患較多，為保障公路安全運(yùn)行，需各級籌措資金治理現(xiàn)有農(nóng)村安全隱患。建議今后公路改建安全設(shè)施應(yīng)納入設(shè)計。

(二)汛期水毀災(zāi)害有突發(fā)性和季節(jié)性特征。由于無水毀預(yù)備資金，發(fā)生災(zāi)害后不能及時安排資金處治，計劃報送后，往往投資不足，造成水毀工程修復(fù)不徹底，部分路段只能設(shè)置簡易警示標(biāo)志，建議安排水毀預(yù)備金。

基礎(chǔ)設(shè)施安全隱患自查報告范文(三)

根據(jù)南信聯(lián)發(fā)[XX]4號文件《關(guān)于開展**市電子政務(wù)網(wǎng)信息安全與網(wǎng)絡(luò)管理專項檢查的通知》文件精神，我局積極組織落實，認(rèn)真對照，對網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)情況、網(wǎng)絡(luò)安全防范技術(shù)情況及網(wǎng)絡(luò)信息安全保密管理情況進(jìn)行了自查，對我局的網(wǎng)絡(luò)信息安全建設(shè)進(jìn)行了深刻的剖析，現(xiàn)將自查情況報告如下：

一、加強(qiáng)領(lǐng)導(dǎo)，成立了網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組

為進(jìn)一步加強(qiáng)全局網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我局成立了網(wǎng)絡(luò)與信息系統(tǒng)安全保密工作領(lǐng)導(dǎo)小組，由局長任組長，下設(shè)辦公室，做到分工明確,責(zé)任具體到人。確保網(wǎng)絡(luò)信息安全工作順利實施。

二、我局網(wǎng)絡(luò)安全現(xiàn)狀

我局的統(tǒng)計信息自動化建設(shè)從一九九七年開始，經(jīng)過不斷發(fā)展，逐漸由原來的小型局域網(wǎng)發(fā)展成為目前與國家局、自治區(qū)局以及縣區(qū)局實現(xiàn)四級互聯(lián)互通網(wǎng)絡(luò)。網(wǎng)絡(luò)核心采用思科7600和3600交換機(jī)，數(shù)據(jù)中心采用3com4226交換機(jī)，匯集層采用3com4226交換機(jī)、思科2924交換機(jī)和聯(lián)想天工ispirit 1208e交換機(jī)，總共可提供150多個有線接入點，目前為止已使用80個左右。數(shù)據(jù)中心骨干為千兆交換式，百兆交換到桌面。因特網(wǎng)出口統(tǒng)一由市信息辦提供，為雙百兆光纖;與自治區(qū)統(tǒng)計局采用2兆光纖直聯(lián)，各縣區(qū)統(tǒng)計局及三個開發(fā)區(qū)統(tǒng)計局采用天融信vpn虛擬專用網(wǎng)絡(luò)軟件從互聯(lián)網(wǎng)上連接進(jìn)入到自治區(qū)統(tǒng)計局的網(wǎng)絡(luò)，vpn入口總帶寬為4兆，然后再連接到我局。橫向方面，積極推進(jìn)市統(tǒng)計局與政府網(wǎng)互聯(lián)，目前已經(jīng)實現(xiàn)與100多家市級黨政部門和12個縣區(qū)政府的光纖連接。我局采用天融信硬件防火墻對網(wǎng)絡(luò)進(jìn)行保護(hù)，采用偉思網(wǎng)絡(luò)隔離卡和文件防彈衣軟件對重點計算機(jī)進(jìn)行單機(jī)保護(hù)，安裝正版金山毒霸網(wǎng)絡(luò)版殺毒軟件，對全局計算機(jī)進(jìn)行病毒防治。

三、我局網(wǎng)絡(luò)信息化安全管理

為了做好信息化建設(shè)，規(guī)范統(tǒng)計信息化管理，我局專門制訂了《**市統(tǒng)計局信息化規(guī)章制度》，對信息化工作管理、內(nèi)部電腦安全管理、機(jī)房管理、機(jī)房環(huán)境安全管理、計算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定，進(jìn)一步規(guī)范了我局信息安全管理工作。

針對計算機(jī)保密工作，我局制定了《涉密計算機(jī)管理制度》，并由計算機(jī)使用人員簽訂了《**市統(tǒng)計局計算機(jī)保密工作崗位責(zé)任書》，對計算機(jī)使用做到“誰使用誰負(fù)責(zé)”;對我局內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理。

此外，我局在全局范圍內(nèi)每年都組織相關(guān)計算機(jī)安全技術(shù)培訓(xùn)，計算站的同志還積極參加市信息辦及其他計算機(jī)安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識，有力地保障我局統(tǒng)計信息網(wǎng)絡(luò)正常運(yùn)行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我局網(wǎng)絡(luò)安全仍然存在以下幾點不足：一是安全防范意識較為薄弱;二是病毒監(jiān)控能力有待提高;三是遇到惡意攻擊、計算機(jī)病毒侵襲等突發(fā)事件處理不夠及時。