引論：我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全加固措施范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注，列舉的近年來的網(wǎng)絡(luò)突發(fā)事件，不難發(fā)現(xiàn)，強化提升網(wǎng)絡(luò)安全風險評估意識、強化信息安全保障為當務(wù)之急。所謂風險評估，是指網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，它的原理是，根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個信息安全系統(tǒng)的設(shè)計與實施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn)，以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評估當前的安全威脅，并不斷對當前系統(tǒng)中的安全性產(chǎn)生認知。

2 網(wǎng)絡(luò)安全風險評估的現(xiàn)狀

2.1 風險評估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ)，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的，需要人來管理與維護，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時時伺機進攻。這就更要求對安全產(chǎn)品及時升級，不斷完善，實時檢測，不斷補漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計和實施一定的安全策略。通常，在一個企業(yè)中，對安全技術(shù)了如指掌的人員不多，大多技術(shù)人員停留在對安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓，他們將束手無策。這時他們需要的是安全服務(wù)。而安全評估，便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全，需要不斷評估方可安全威脅。

2.2 安全評估的目標、原則及內(nèi)容

安全評估的目標通常包括：確定可能對資產(chǎn)造成危害的威脅；通過對歷史資料和專家的經(jīng)驗確定威脅實施的可能性；對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性，以及相應(yīng)的級別，確定哪些資產(chǎn)是最重要的；準確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡(luò)和系統(tǒng)的安全策略；制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案；指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入；通過項目實施和培訓，培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則：標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評估的內(nèi)容包括專業(yè)安全評估服務(wù)和主機系統(tǒng)加固服務(wù)。專業(yè)安全評估服務(wù)對目標系統(tǒng)通過工具掃描和人工檢查，進行專業(yè)安全的技術(shù)評定，并根據(jù)評估結(jié)果提供評估報告。

目標系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫系統(tǒng)，以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對目標系統(tǒng)進行掃描，提供原始評估報告或由專業(yè)安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內(nèi)容。而主機系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對不同目標系統(tǒng)，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。

系統(tǒng)加固報告服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出加固報告。系統(tǒng)加固報告增強服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務(wù)選擇使用該服務(wù)包，必須以選擇 ISMR/SSMR/HME服務(wù)包為前提，針對評估分析報告，提出系統(tǒng)加固報告，并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實施加固工作。

3 網(wǎng)絡(luò)安全風險評估系統(tǒng)

討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項工作主要檢測當前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當前計算機世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護，網(wǎng)絡(luò)安全評定的主要目標就是為修補全部的安全問題提供指導(dǎo)。

評定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓撲結(jié)構(gòu)，拓撲描述文檔并不總能反映最新的網(wǎng)絡(luò)狀態(tài)，進行一些實際的檢測是非常必要的。最簡單的，可以通過Trackroute工具進行網(wǎng)絡(luò)拓撲發(fā)現(xiàn)，但是一些網(wǎng)絡(luò)節(jié)點可能會禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓撲之后，應(yīng)該獲知所有計算機的網(wǎng)絡(luò)地址和機器名。對于可以訪問的計算機，還應(yīng)該了解其正在運行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實現(xiàn)。當對整個網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認知以后，就可以針對所運行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點了。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項進行測試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡(luò)邊界防范外部攻擊之外，還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險，是風險管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺，可以實現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動。

數(shù)據(jù)作為信息系統(tǒng)的核心價值，被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因為如此，數(shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說，應(yīng)該驗證是否能夠從遠程進行訪問，是否存在默認用戶名密碼，密碼的強度是否達到策略要求等。而除了數(shù)據(jù)庫平臺之外，數(shù)據(jù)管理機制也應(yīng)該被仔細評估。不同級別的備份措施乃至完整的災(zāi)難備份機制都應(yīng)該進行有效的驗證，不但要檢驗其是否存在安全問題，還要確認其有效性。大部分數(shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進行安全設(shè)定和數(shù)據(jù)驗證，利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權(quán)訪問某些應(yīng)用，而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實上大部分的安全漏洞都來自于應(yīng)用層面，這使得應(yīng)用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比，應(yīng)用安全評定需要工作人員具有豐富的安全知識和堅實的技術(shù)技能。

4 結(jié)束語

目前我國信息系統(tǒng)安全風險評估工作，在測試數(shù)據(jù)采集和處理方面缺乏實用的技術(shù)和工具的支持，已經(jīng)成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法，總結(jié)出一套適用于我國國情的信息安全效用評價體系，以保證信息安全風險評估結(jié)果準確可靠，可以為風險管理活動提供有價值的參考；加強我國信息安全風險評估隊伍建設(shè)，促使我國信息安全評估水平得到持續(xù)改進。

參考文獻：

[1] 陳曉蘇，朱國勝，肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學學報,2001，32-34.

[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風險評估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(7)，21-24.

[3] 劉恒,信息安全風險評估挑戰(zhàn)[R],信息安全風險評估與信息安全保障體系建設(shè)研討會,2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報雜志,2006(1)，40-45

篇2

1.1 風電企業(yè)信息網(wǎng)絡(luò)規(guī)劃

一般情況下，風電公司本部均設(shè)在遠離下屬風電場的城市中，下屬風電場只做為單純的生產(chǎn)單元，以國電云南新能源公司為例，本部設(shè)在昆明，在云南省擁有多個地州上的風電場，各項工作點多面廣、戰(zhàn)線長，為有效提高公司管理效率，已建成全省范圍安全可靠信息傳輸網(wǎng)絡(luò)。本部與各風電場通過ISP提供的專線連接，項目部、外地出差、臨時辦公機構(gòu)也能通過INTERNET網(wǎng)以VPN方式聯(lián)入公司網(wǎng)絡(luò)，基本滿足公司日常管理和安全生產(chǎn)的需要。

圖1

1.2風電企業(yè)信息網(wǎng)絡(luò)安全需求分析

從圖1可以看出，一般現(xiàn)在風電場的網(wǎng)絡(luò)不僅要滿足管理的日常信息化需求，還要滿足于電網(wǎng)交換信息的需求，所以風電場的網(wǎng)絡(luò)安全任務(wù)就是要符合國家和集團的有關(guān)電力二次安全規(guī)定。嚴格執(zhí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的要求，以防范對電網(wǎng)和風電場計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障其安全、穩(wěn)定、經(jīng)濟運行。

2 風電企業(yè)信息網(wǎng)絡(luò)安全防護體系建設(shè)

2.1 網(wǎng)絡(luò)安全原則

根據(jù)國家電監(jiān)辦安全[2012]157號文《關(guān)于印發(fā)風電、光伏和燃氣電廠二次系統(tǒng)安全防護技術(shù)規(guī)定（試行）的通知》的相關(guān)要求，風電場的網(wǎng)絡(luò)二次安全防護基本原則是以下幾點：

2.1.1 安全分區(qū)：按照《電力二次系統(tǒng)安全防護規(guī)定》，將發(fā)電廠基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理性，重點保護生產(chǎn)控制以及直接影響電力生產(chǎn)運行的系統(tǒng)。

2.1.2 網(wǎng)絡(luò)專用：電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)，發(fā)電廠段的電力數(shù)據(jù)網(wǎng)應(yīng)當在專用通道上使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，物理上與發(fā)電廠其他管理網(wǎng)絡(luò)和外部公共信息網(wǎng)絡(luò)安全隔離。

2.1.3 橫向隔離：在生產(chǎn)控制大區(qū)域管理信息大區(qū)之間必須部署經(jīng)國家指定部門檢測認證的電力專用橫向單向隔離裝置。

2.1.4 縱向認證：發(fā)電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)設(shè)置經(jīng)國家指定部門檢測認證的電力專用加密認證裝置，實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。

2.2 安全部署方案

風電場業(yè)務(wù)系統(tǒng)較為繁多，根據(jù)相關(guān)規(guī)定，我們對風電場的業(yè)務(wù)系統(tǒng)基本分區(qū)見表1：

根據(jù)劃分結(jié)果，我們針對不同的分區(qū)之間設(shè)定了防護方案，部署示意圖如圖2：

2.2.1生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護：目前公司從生產(chǎn)控制大區(qū)內(nèi)接出的數(shù)據(jù)只有風電場監(jiān)控系統(tǒng)，部署了一套珠海鴻瑞生產(chǎn)的Hrwall-85M-II單比特百兆網(wǎng)閘，保證他們之間的數(shù)據(jù)是完全單向的由生產(chǎn)控制大區(qū)流向管理信息大區(qū)。

2.2.2控制區(qū)與非控制區(qū)邊界安全防護：在風電場監(jiān)控系統(tǒng)與風功率預(yù)測系統(tǒng)、狀態(tài)監(jiān)測系統(tǒng)等進行信息交換的網(wǎng)絡(luò)邊界處安裝了防火墻和符合電網(wǎng)規(guī)定的正方向隔離裝置。

2.2.3系統(tǒng)間的安全防護：風電場同屬控制區(qū)的各監(jiān)控系統(tǒng)之間采用了具有訪問控制功能的防火墻進行邏輯隔離。

2.2.4縱向邊界防護：風電場生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)之間采用了符合國家安全檢測認證的電力專用縱向加密認證裝置，并配有加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施，與調(diào)度段實現(xiàn)雙向身份認證、數(shù)據(jù)和訪問控制。

2.2.5與本部網(wǎng)絡(luò)邊界安全防護：風電場監(jiān)控系統(tǒng)與生產(chǎn)廠家、公司SIS系統(tǒng)之間進行數(shù)據(jù)交換，均采用了符合國家和集團規(guī)定的單向單比特隔離網(wǎng)閘。同時禁止廠商以任何方式遠程直接接入風電場網(wǎng)絡(luò)。

2.3 防病毒措施

從某種意義上說，防止病毒對網(wǎng)絡(luò)的危害關(guān)系到整個系統(tǒng)的安全。防病毒軟件要求覆蓋所有服務(wù)器及客戶端。對關(guān)鍵服務(wù)器實時查毒，對于客戶端定期進行查毒，制定查毒策略，并備有查殺記錄。病毒防護是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。病毒的防護應(yīng)該覆蓋所有生產(chǎn)控制大區(qū)和管理信息大區(qū)的主機與工作站。特別在風電場要建立獨立的防病毒中心，病毒特征碼要求必須以離線的方式及時更新。

2.4 其他安全防護措施

2.4.1 數(shù)據(jù)與系統(tǒng)備份。對風電場SIS系統(tǒng)和MIS系統(tǒng)等關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。

2.4.2 主機防護。主機安全防護主要的方式包括：安全配置、安全補丁、安全主機加固。

安全配置：通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機或者工作站， 嚴格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。

安全補丁：通過及時更新系統(tǒng)安全補丁，消除系統(tǒng)內(nèi)核漏洞與后門。

主機加固：安裝主機加固軟件，強制進行權(quán)限分配，保證對系統(tǒng)的資源（包括數(shù)據(jù)與進程）的訪問符合定義的主機安全策略，防止主機權(quán)限被濫用。

3 建立健全安全管理的工作體系

安全防護工作涉及企業(yè)的建設(shè)、運行、檢修和信息化等多個部門，是跨專業(yè)的系統(tǒng)性工作，加強和規(guī)范管理是確實保障電力二次系統(tǒng)的重要措施，管理到位才能杜絕許多不安全事件的發(fā)生。因此建立健全安全管理的工作體系，第一是要建立完善的安全管理制度，第二是要明確各級的人員的安全職責。

參考文獻

篇3

1 現(xiàn)代通信網(wǎng)絡(luò)入侵特點概述

犯罪分子的犯罪技術(shù)隨著現(xiàn)代化的網(wǎng)絡(luò)技術(shù)發(fā)展也水漲船高，這就給維護網(wǎng)絡(luò)安全帶來了難度。分析近幾年的網(wǎng)絡(luò)犯罪，不難發(fā)現(xiàn)當前的網(wǎng)絡(luò)犯罪逐漸顯現(xiàn)出周期長、波及范圍大、入侵方式不可預(yù)期的特點。知己知彼，方能百戰(zhàn)不殆，下面就這幾方面的犯罪趨勢進行分析。

1.1 周期變長

電子技術(shù)的發(fā)展也使得病毒、木馬的編寫技術(shù)也發(fā)生了巨大的變革，這些威脅因素在通信網(wǎng)絡(luò)中隱藏的時間也變得更長。調(diào)查結(jié)束顯示，病毒、木馬的潛伏時間發(fā)生了質(zhì)的變化，從之前幾毫秒已經(jīng)發(fā)展到現(xiàn)今以年為單位的潛伏周期。并且隱藏的方式也可謂是無孔不入，一張圖片，一個文本，一段視頻都能成為病毒的藏身之所。

1.2 波及范圍大

網(wǎng)絡(luò)通信技術(shù)不斷的更新?lián)Q代，大大增加信息的傳播速度，但同時也無形中使得病毒的擴散更加不易控制，現(xiàn)階段，一旦病毒被激活就有可能依托現(xiàn)在網(wǎng)絡(luò)的飛速傳輸速度，在短時間快速的傳播，使大范圍的用戶受到影響，給通信安全帶來巨大影響。

1.3 進攻手段不可預(yù)期

現(xiàn)代電子設(shè)備類型做種多樣，和通信網(wǎng)絡(luò)相連的除了傳統(tǒng)的臺式電腦之外還有手機、平板電腦、筆記本電腦等多種更多樣的電子設(shè)備，這些設(shè)備一旦接入了通信網(wǎng)絡(luò)也就有了被入侵的可能性，也給預(yù)防入侵工作帶來了不確定性。

2 通信系統(tǒng)的主動防御

由上文分析可見，傳統(tǒng)的防御措施無論在時效上還是范圍上，都能以適應(yīng)現(xiàn)代的通信網(wǎng)絡(luò)需求。這也就是需要網(wǎng)絡(luò)安全工作者們根據(jù)時代的特點，和前沿的科學技術(shù)發(fā)展出一套新的、切實可行的防御系統(tǒng)。

2.1 強化入侵檢測環(huán)節(jié)

現(xiàn)階段對于網(wǎng)絡(luò)完全的防御工作已經(jīng)不再是以往的被動式防御，現(xiàn)代通信網(wǎng)絡(luò)安全系統(tǒng)能夠通過入侵檢測系統(tǒng)更加積極地實行通信網(wǎng)絡(luò)防御。入侵檢測系統(tǒng)能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，并且在收集的基礎(chǔ)上對數(shù)據(jù)進行分析操作，判斷通信網(wǎng)絡(luò)中是否暗藏了木馬或者病毒，這種積極地防御措施能夠有效的進行清查網(wǎng)絡(luò)中已經(jīng)存在但未激活的病毒，保護通信網(wǎng)絡(luò)的正常運行。

2.2 安全保護

傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)包括很多，分別是殺毒工具、防火墻、訪問控制列表、虛擬專用網(wǎng)等，這些技術(shù)單一部署在安全管理系統(tǒng)中時防御能力不足，因此主動防御系統(tǒng)采用積極的防御思想，將這些技術(shù)集成在一起，實現(xiàn)網(wǎng)絡(luò)病毒、木馬的查殺，避免網(wǎng)絡(luò)木馬和病毒蔓延，防止大數(shù)據(jù)應(yīng)用中心被攻擊和感染而擾亂大數(shù)據(jù)應(yīng)用中心正常使用。

2.3 系統(tǒng)恢復(fù)

通信網(wǎng)絡(luò)運行和操作過程中，許多網(wǎng)絡(luò)管理人員容易攜帶有病毒的U盤、硬盤接人系統(tǒng)，造成網(wǎng)絡(luò)系統(tǒng)文件受到病毒感染，并且在網(wǎng)絡(luò)中進行傳播，導(dǎo)致通信網(wǎng)絡(luò)中心中止運行。如果通信網(wǎng)絡(luò)系統(tǒng)一旦受到威脅，可以采用系統(tǒng)恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到一個正常的狀態(tài)。通信網(wǎng)絡(luò)系統(tǒng)恢復(fù)技術(shù)包括多種，分別是系統(tǒng)在線備份、增量備份、階段備份等，具體而言，可以單獨或融合使用這些備份技術(shù)，備份正常運行的系統(tǒng)。通信網(wǎng)絡(luò)采用在線增量備份模式，可以定期對信息資源進行增量備份，如果其遭受攻擊，可以將信息資源恢復(fù)到最新的備份狀態(tài)，以降低損失。

3 主動防御在通信網(wǎng)絡(luò)安全保障中的應(yīng)用

通信網(wǎng)絡(luò)主動防御網(wǎng)絡(luò)體系遵循策略、管理和技術(shù)相結(jié)合的原則。主動防御網(wǎng)絡(luò)體系是在安全標準規(guī)范的指導(dǎo)下進行設(shè)計的，規(guī)范不僅僅包含通用規(guī)范，還包含行業(yè)安全規(guī)范，即為了通信網(wǎng)絡(luò)安全保障，制定的適應(yīng)本行業(yè)的相關(guān)規(guī)范。為了使整改系統(tǒng)的主動防御體系發(fā)揮充分作用，必須對應(yīng)的建立相應(yīng)的安全服務(wù)體系，包括風險評估、安全加固、安全培訓、安全巡檢、安全應(yīng)急等。風險評估評估通信網(wǎng)絡(luò)的整體安全風險。安全加固對現(xiàn)有的通信網(wǎng)絡(luò)采取適當?shù)募庸檀胧瑥亩岣呔W(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)安全的保障離不開人員的管理，安全培訓對相關(guān)人員進行安全培訓，提高相關(guān)人員的安全管理能力。安全應(yīng)急是防范網(wǎng)絡(luò)安全事件是的應(yīng)急措施，做到有備無患。網(wǎng)絡(luò)體系的主動防御從三個層面進行，包括終端層主動防御、網(wǎng)絡(luò)層主動防御、應(yīng)用層主動防御。其中，應(yīng)用層主動防御包括安全態(tài)勢分析與展現(xiàn)，安全策略規(guī)劃與調(diào)整，風險評價與監(jiān)控和應(yīng)急響應(yīng)聯(lián)動。網(wǎng)絡(luò)層的主動防御和終端層終端防御都從主動檢測和主動響應(yīng)恢復(fù)兩個層面來進行主動防御的設(shè)計。網(wǎng)絡(luò)主動防御體系包括主動安全檢測、主動響應(yīng)恢復(fù)兩大部分，并且能夠構(gòu)成一個基于“檢測、響應(yīng)、恢復(fù)”的反饋控制模型，進一步提升對網(wǎng)絡(luò)攻擊的反制能力。其中主動檢測包括終端主動檢測和網(wǎng)絡(luò)主動檢測，響應(yīng)和恢復(fù)則主要采用現(xiàn)有的安全防護技術(shù)手段和產(chǎn)品，如防火墻、防病毒系統(tǒng)、主機管控系統(tǒng)等，通過調(diào)整防火墻、主機管理系統(tǒng)等的安全策略，下發(fā)病毒查殺特征碼，安裝系統(tǒng)補丁等方式，實現(xiàn)對網(wǎng)絡(luò)攻擊的反制。

結(jié)束語

在這個時代網(wǎng)絡(luò)通信技術(shù)史無前例的方便人們的生活，但也史無前例的將人們的個人隱私、個人財產(chǎn)暴露在了網(wǎng)絡(luò)之上。在大力發(fā)展通信網(wǎng)絡(luò)技術(shù)的同時也要加強對于通信網(wǎng)絡(luò)的安全建設(shè)。現(xiàn)代互聯(lián)網(wǎng)的發(fā)張也催生出一系列的網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上投票的新型辦公、參政形式，由此通信網(wǎng)絡(luò)的安全運行，不只保護了人民的財產(chǎn)安全，對于社會的正常運行，國家的長治久安都有著極其重要的意義。通信網(wǎng)絡(luò)的安全和全社會息息相關(guān)，也就需要全社會能投入大量的精力，不斷完善通信網(wǎng)絡(luò)的安全，為人民生產(chǎn)生活、國家繁榮昌盛提供有力的保證。

參考文獻

篇4

0.引言

隨著計算機網(wǎng)絡(luò)的高速發(fā)展，各種新型的網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全的問題成為計算機網(wǎng)絡(luò)使用者和管理員們高度關(guān)注的問題。由于各行各業(yè)活動都開始線上線下共同發(fā)展，因而網(wǎng)絡(luò)作為現(xiàn)代人們活動的主要場所，其安全性也成為了現(xiàn)代社會關(guān)注的焦點問題之一。由于網(wǎng)絡(luò)信息交流主要依賴于數(shù)字化信息，而數(shù)字信息容易受到攻擊，而被破壞盜用，引發(fā)諸多不安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全防御措施，如：查看安全日志、添加和配置網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器訪問控制列表、IDS等）無法全局地分析網(wǎng)絡(luò)的安全狀況和預(yù)測網(wǎng)絡(luò)安全的態(tài)勢發(fā)展。網(wǎng)絡(luò)安全技術(shù)也在不斷變革，從傳統(tǒng)的入侵檢測、入侵防御到入侵容忍、可生存性研究等。

網(wǎng)絡(luò)安全態(tài)勢是一種通過現(xiàn)有的網(wǎng)絡(luò)信息進行實施評估系統(tǒng)安全的研究領(lǐng)域，通過對信息的分析，為網(wǎng)絡(luò)管理員的操作提供依據(jù)，避免即將到來的網(wǎng)絡(luò)不安因素和風險，將損失降到最低，安全態(tài)勢評估準確性提高，可以為網(wǎng)絡(luò)管理員決策提供更加有力的信息支持。

網(wǎng)絡(luò)安全態(tài)勢感知NSSA（network security situ-ation awareness）是目前的研究熱點，它能實時感知安全風險，使安全分析員可以掌握網(wǎng)絡(luò)安全狀況，從而為準確決策提供可靠依據(jù)，將安全事件帶來的風險和損失降低到最低限度。網(wǎng)絡(luò)安全態(tài)勢感知通過分析威脅傳播對網(wǎng)絡(luò)系統(tǒng)的影響，對系統(tǒng)的安全性進行全面、準確地評估，并提供出對應(yīng)的系統(tǒng)加固方法，通過不同的數(shù)據(jù)模型進行相關(guān)算法的優(yōu)化分析，有效地抑制威脅的擴散。

1.基于時空維度分析的網(wǎng)絡(luò)安全態(tài)勢感知

空間數(shù)據(jù)發(fā)覺理論是針對實體的幾何形狀、物理位置、拓撲結(jié)構(gòu)、維度等進行研究的空間特性的理論和方法，早期主要應(yīng)用于環(huán)境研究、地理信息系統(tǒng)、交通控制、醫(yī)學影像識別等領(lǐng)域。后來，由于具有空間特性的網(wǎng)絡(luò)數(shù)據(jù)也逐漸被引用到網(wǎng)絡(luò)安全領(lǐng)域中了。

基于時間維度分析的網(wǎng)絡(luò)安全態(tài)勢模型對已經(jīng)出現(xiàn)的攻擊序列Asi進行攻擊追蹤分析，在攻已成功實施攻擊的情況下，不存在繼續(xù)被攻擊序列利用的脆弱性，所以該攻擊序列不會再發(fā)生變化；其次，對已攻擊序列進行時間序列的分析，由于時空維度模型（ARMA）在安全態(tài)勢領(lǐng)域的預(yù)測結(jié)果誤差較小，所以選用ARMA模型進行分析。ARMA模型首先進行平穩(wěn)性檢測。

基于時空維度分析的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)體系中的進攻方、防御方、環(huán)境三方進行安全態(tài)勢的要素集收集，然后在時空維度上進行對未來各個時間段內(nèi)的網(wǎng)絡(luò)安全態(tài)勢要素集的預(yù)測，并根據(jù)要素集之間的關(guān)聯(lián)性在空間維度模型上進行數(shù)據(jù)發(fā)掘計算網(wǎng)絡(luò)的安全態(tài)勢。最后利用公用數(shù)據(jù)集DARPA進行結(jié)果驗證，證明基于時間維度的感知模型是可以提高安全態(tài)勢的預(yù)測能力的。

2.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知

傳統(tǒng)認知態(tài)勢感知的核心是對態(tài)勢量化進行評估。我們首先要對數(shù)據(jù)進行采集，將其中檢測出的安全類數(shù)據(jù)進行融合并進行歸類，如：威脅集合、信息集合、脆弱性集合和網(wǎng)絡(luò)架構(gòu)等信息。將這部分數(shù)據(jù)進行格式規(guī)范化并保存在數(shù)據(jù)庫中，這樣就可以進行數(shù)據(jù)地實時操作了；其次，對集合中的每個威脅元素建立TPN；并對用戶、管理者、威脅進行Markov模型的博弈分析，評估單個威脅的保密性態(tài)勢以此來給出優(yōu)化的系統(tǒng)加固方案；最終，對威脅集合中的保密性態(tài)勢進行綜合分析進而評估系統(tǒng)的保密性安全態(tài)勢；同理，我們可以評估系統(tǒng)的可用性態(tài)勢和完整性態(tài)勢。針對不同的網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境和需求，對系統(tǒng)的完整性、保密性、安全性、可用性態(tài)勢加權(quán)，以此評估整個系統(tǒng)當前的安全態(tài)勢情況。

系統(tǒng)在不同的時間段內(nèi)安全態(tài)勢是相互關(guān)聯(lián)的，態(tài)勢預(yù)測模塊以態(tài)勢評估結(jié)果為基礎(chǔ)。我們可以利用此種相關(guān)聯(lián)的態(tài)勢變化規(guī)律結(jié)果進行分析和預(yù)測。

Markov博弈模型通過態(tài)勢評估將資產(chǎn)、威脅、脆弱性之間的關(guān)系進行了詳細地描述，評估結(jié)果準確、全面、具有科學客觀性，為管理者提供的系統(tǒng)加固方案能很好地針對具體的某個威脅找到其路徑和節(jié)點，有效地提供了系統(tǒng)安全性、抑制了威脅的擴散。

3.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知

BP神經(jīng)網(wǎng)絡(luò)模型的并行處理能力，自適應(yīng)性相對較強，因而靈活性相對較高，能夠利用任意精度處理函數(shù)關(guān)系。除此之外，由于不確定的非線性態(tài)勢值，傳統(tǒng)模型的預(yù)測結(jié)果誤差相對較大。RBF網(wǎng)絡(luò)在對復(fù)雜系統(tǒng)的描述中，可以進行非線性系統(tǒng)描述，因而在網(wǎng)絡(luò)安全預(yù)測中可以發(fā)揮巨大的作用，因此神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化可以通過遺傳算法進行。

RBF態(tài)勢預(yù)測模型最主要進行基函數(shù)中心、寬度的計算以及隱節(jié)點數(shù)目和隱層的計算，從而降低預(yù)測誤差，建立相對精確到網(wǎng)絡(luò)。遺傳算法的全局搜索性相對較高，因而局部極值出現(xiàn)的可能性有效降低，基于這一點，RBF網(wǎng)絡(luò)利用遺傳算法可以有效優(yōu)化參數(shù)、結(jié)構(gòu)。

基于BP神經(jīng)網(wǎng)絡(luò)評估模型，引入了遺傳算法，對網(wǎng)絡(luò)態(tài)勢預(yù)測相關(guān)參數(shù)進行有效優(yōu)化，從而提高態(tài)勢預(yù)測的準確性、有效性。

結(jié)語

本文綜述了3種基于數(shù)學模型建立的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，從網(wǎng)絡(luò)安全態(tài)勢感知的預(yù)測、發(fā)現(xiàn)、解決、系統(tǒng)的加固給出了具體的方法，針對不同算法的優(yōu)化進行了簡要的描述。在實際網(wǎng)絡(luò)應(yīng)用中應(yīng)根據(jù)不同的情況進行感知系統(tǒng)的選擇。

參考文獻

篇5

天梭的核心產(chǎn)品涉及Web應(yīng)用防火墻，專利級Web入侵異常檢測技術(shù)，對Web應(yīng)用實施全面、深度防御，能夠有效識別、阻止日益盛行的Web應(yīng)用黑客攻擊 （如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等）。

Web弱點掃描器：以Web漏洞風險為導(dǎo)向，通過對Web應(yīng)用（包括Web2.0、JavaScript、Flash等）進行深度遍歷，以安全風險管理為基礎(chǔ)，支持各類web應(yīng)用程序的掃描。

智能流量管理系統(tǒng)：作為業(yè)界領(lǐng)先的應(yīng)用優(yōu)化與流量管控解決方案，Maxnet AOS以DPI（ Deep Packet Inspect，深度包檢測）和DFI （Deep/Dynamic Flow Inspection，深度流行為檢測）技術(shù)為核心，結(jié)合帶寬自動分配算法、令牌桶算法、隨機公平隊列等技術(shù)， 能夠全面識別和控制包括P2P、VoIP、視頻流媒體、HTTP、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫及中間件等在內(nèi)的多種應(yīng)用，提供虛擬帶寬通道劃分、 最大帶寬限制、保證帶寬、帶寬租借、應(yīng)用優(yōu)先級、Per-IP帶寬控制、Per-Net帶寬控制、隨機公平隊列等一系列帶寬管理功能，為用戶提供主動式、智能化、可視化的帶寬管理服務(wù)，為用戶應(yīng)用優(yōu)化與帶寬管控、流量管理以及網(wǎng)絡(luò)規(guī)劃提供科學的依據(jù)。

篇6

1大數(shù)據(jù)的認知

大數(shù)據(jù)是互聯(lián)網(wǎng)、移動應(yīng)用、社交網(wǎng)絡(luò)和物聯(lián)網(wǎng)等技術(shù)發(fā)展的必然趨勢，大數(shù)據(jù)應(yīng)用成為當前最為熱門的信息技術(shù)應(yīng)用領(lǐng)域。信息時代下，傳統(tǒng)的信息系統(tǒng)已經(jīng)不能夠滿足需求，而單純運用大數(shù)據(jù)，也不會取得理想的效果，因此需要將傳統(tǒng)信息系統(tǒng)與大數(shù)據(jù)平臺進行整合，且在實踐中進行創(chuàng)新和反思，形成一個系統(tǒng)，既能夠保證信息的安全，還能夠使大數(shù)據(jù)的優(yōu)勢得到發(fā)揮。大數(shù)據(jù)的出現(xiàn)具有一定的必然性，它是信息爆炸已經(jīng)積累到一種程度，必定要發(fā)生變革。加里金教授曾經(jīng)說過“大數(shù)據(jù)就猶如異常革命，龐大的數(shù)據(jù)資源使得社會的各個領(lǐng)域都開始了量變的進程”。放眼當前的社會可以發(fā)現(xiàn)，學術(shù)界、商界、政界都已經(jīng)開始了量變的進程。大數(shù)據(jù)已經(jīng)對我們的生活、工作以及思維產(chǎn)生了影響，必須要正確的認知“大數(shù)據(jù)”，且能夠運用大數(shù)據(jù)，才能夠立足當前的社會。

2大數(shù)據(jù)與網(wǎng)絡(luò)安全問題

大數(shù)據(jù)與網(wǎng)絡(luò)安全成為了當前的學術(shù)熱詞，因為在大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)，且要想充分發(fā)揮大數(shù)據(jù)的優(yōu)勢，就必須要有一個安全性高的網(wǎng)絡(luò)。

2.1隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，當代人的生活與網(wǎng)絡(luò)越來越密不可分

而我國的網(wǎng)絡(luò)安全空間存在著隱患，因而我國網(wǎng)絡(luò)安全問題呈現(xiàn)在多樣化，手段更加復(fù)雜，對象更廣泛，后果嚴重等問題。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)在安全方面存在著很大的弊端。例如：黑客攻擊、木馬病毒等網(wǎng)絡(luò)安全問題正不斷在想數(shù)據(jù)領(lǐng)域滲透，同時也給大數(shù)據(jù)的發(fā)展帶來新的問題。

2.2大數(shù)據(jù)時代背景下，每個人的生活都不再是絕對的秘密，只能夠說是相對“秘密”

因為通過分析網(wǎng)絡(luò)上的數(shù)據(jù)信息，就能夠了解一個人的生活痕跡，所以要認識到信息安全的重要性，特別是在大數(shù)據(jù)背景下，更要確保信息的安全性。為了解決當前網(wǎng)絡(luò)安全中存在的問題，可以控制訪問網(wǎng)絡(luò)的權(quán)限、強化數(shù)據(jù)加密、加固智能終端等方式，這些方式運用起來，定能夠為信息安全提供一個保障作用。強化數(shù)據(jù)加密：控制網(wǎng)絡(luò)訪問的權(quán)限后，對數(shù)據(jù)進行加密，切實是一種有效的手段，能夠為網(wǎng)絡(luò)安全的運行提供保障作用。數(shù)據(jù)加密就是將明文轉(zhuǎn)變?yōu)槊芪模话銜ㄟ^加密算法、加密鑰匙實現(xiàn)，它是一種相對較為可靠的辦法。從某種程度來講，數(shù)據(jù)加急就是網(wǎng)絡(luò)安全的第二道防護門，具體來講：一是，控制網(wǎng)絡(luò)訪問權(quán)限是網(wǎng)絡(luò)安全的第一道防護門，能夠確保信息訪問權(quán)限的清晰，實質(zhì)上就是要向訪問，就必須要具有獲取相應(yīng)的資格，否則就不能夠進行網(wǎng)絡(luò)訪問；二是，訪問者獲取訪問權(quán)限的情況下，對數(shù)據(jù)又進行了一層保護，即使獲得訪問資格后，也不能夠順利的訪問數(shù)據(jù)，更不可能基礎(chǔ)秘密的數(shù)據(jù)。這無疑提高了網(wǎng)絡(luò)信息的安全性。加固智能終端：智能終端往往會儲存海量的數(shù)據(jù)信息，因此必須要認識到智能終端的重要性，且能夠?qū)ζ溥M行加固，不僅能夠提高網(wǎng)絡(luò)信息的安全，還有助于互聯(lián)網(wǎng)管理有條不紊的進行。智能終端加固需要高超的大數(shù)據(jù)處理技術(shù)，不能夠再被動的補漏洞，而是要積極主動地的防治。通過大數(shù)據(jù)安全技術(shù)研發(fā)、云計算方式的更新、軟件工具的整合等等措施，針對攻擊力非常強的病毒、惡意代碼進行徹底的清除，并及時挖掘潛在的大數(shù)據(jù)安全隱患，確保智能終端在安全的網(wǎng)絡(luò)環(huán)境下運行。通過一系列技術(shù)手段，構(gòu)建一個高級的智慧平臺，引領(lǐng)我們朝著大數(shù)據(jù)時代邁進。

3結(jié)束語

大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全確實受到了前所未有的挑戰(zhàn)，因此我們必須要解決的一個問題就是“大數(shù)據(jù)安全”問題。“大數(shù)據(jù)安全”問題已經(jīng)成為當前政府、運營商、互聯(lián)網(wǎng)企業(yè)以及安全企業(yè)不可回避的一個問題，更是一個迫切需要解決的問題。做好大數(shù)據(jù)時代網(wǎng)絡(luò)安全工作可以從重學習，抓機遇，貫徹落實總書記重要講話精神；推立法，定標準，完善網(wǎng)絡(luò)安全管理制度體系；強技術(shù)，建手段，健全網(wǎng)絡(luò)安全技術(shù)保障體系；嚴監(jiān)管，強責任，落實網(wǎng)絡(luò)安全監(jiān)管要求；聚人才，謀合作，為網(wǎng)絡(luò)安全事業(yè)提供有利支撐五個方面著手，促使網(wǎng)絡(luò)安全與大數(shù)據(jù)能夠同發(fā)展，共進步。

參考文獻：

篇7

一、概述

隨著時代的發(fā)展，計算機技術(shù)和互聯(lián)網(wǎng)技術(shù)收到了人們的極大關(guān)注，并且其在各個方面的應(yīng)用都在很大程度上促進了工作的開展和進行，其管理信息的方式簡單快捷，提高了學校的管理水平，想要利用好這一優(yōu)勢，必須解決好網(wǎng)絡(luò)安全這一問題。TCP/IP協(xié)議是計算機網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，問題出現(xiàn)在其本身具有很大的開放性，另外用戶本身也無法避免的出現(xiàn)操作不當?shù)那闆r，對高校的管理工作帶來很大的麻煩。

二、網(wǎng)絡(luò)安全存在的安全問題分析

（一）計算機軟件的安全問題一些操作性軟件和應(yīng)用軟件是引發(fā)計算機網(wǎng)絡(luò)安全問題的主要原因。操作系統(tǒng)是連接多個系統(tǒng)的核心，他不僅是計算機和用戶的接口，還是軟件和硬件的連接器，如果操作系統(tǒng)受到威脅，將導(dǎo)致所有的應(yīng)用軟件瓦解。操作系統(tǒng)并不是十分的嚴謹，很多時候會存在著很大的缺陷或者是漏洞，而這些容易被黑客鉆了空子，利用這些漏洞黑客可以對計算機進行惡意攻擊，能夠?qū)⒂脩魝€人的信息全部搬走泄露，讓計算機遭受很大的威脅。另外，計算機安裝的一些應(yīng)用軟件也會存在著很大的漏洞，而這些漏洞給了很多非法侵犯者很大的機會，讓整個計算機信息系統(tǒng)處于高危狀態(tài)。

（二）計算機硬件的安全問題計算機的硬件系統(tǒng)也是導(dǎo)致安全問題的原因之一。我們知道硬件產(chǎn)品是多種多樣的，除此之外其的功能性而有很大的不同，所以說他們的兼容性也不是很強，這樣一來十分容易使得信息系統(tǒng)產(chǎn)生安全性問題，網(wǎng)絡(luò)硬件設(shè)備包括：交換機、路由器、網(wǎng)橋等，這些設(shè)備容易發(fā)生故障和老化等問題，這些都會嚴重的影響到計算機網(wǎng)絡(luò)的安全。

（三）黑客攻擊產(chǎn)生的安全問題黑客攻擊是當前無法徹底解決的網(wǎng)絡(luò)安全問題，黑客攻擊可以根據(jù)破壞結(jié)果的不同分為兩類，分別是非破壞性攻擊和破壞性攻擊。非破壞性攻擊主要是黑客只是進入到用戶的電腦中，使得用戶不能夠正常的使用電腦，對于用戶的個人信息和財產(chǎn)安全沒有產(chǎn)生任何的侵害；但是破壞性的黑客攻擊是一種十分嚴重的安全信息管理問題，黑客在對計算機信息系統(tǒng)進行攻擊時不僅僅竊取其的私人信息，還會對用戶的財產(chǎn)安全完成一定的消極影響。

（四）病毒木馬程序產(chǎn)生的安全問題木馬威脅是計算機網(wǎng)絡(luò)安全問題的又一影響因素。病毒木馬的有極強的破壞性、傳染性和隱蔽性，對計算機本身的影響是相當大的。而且其類似于強力傳染病，傳染能力和傳染速度都是非常快的，可能會導(dǎo)致用戶的計算機迅速癱瘓，使整個電腦的各個系統(tǒng)土崩瓦解。木馬主要指的是木馬程序，同時也可以認為是一種惡意的代碼，其主要是可以有效的潛伏在計算機系統(tǒng)中，可以受到外部的控制，可以達到竊取信息的結(jié)果。

三、提高計算機安全性的有效解決方法

（一）加強對計算機安全相關(guān)法律法規(guī)的完善為了讓計算機的安全得到有效保障，需要對有關(guān)計算機網(wǎng)絡(luò)安全的法律法規(guī)進行充分完善，宣傳這些法律，將一些不法用戶入侵系統(tǒng)的想法扼殺在搖籃里，有效提高計算機的安全性能。另外，要積極的利用相關(guān)的法律法規(guī)進行規(guī)范，培養(yǎng)良好習慣，要有意識培養(yǎng)明辨是非，吸收正能量的良好習慣。

（二）加強計算機使用人員安全防范意識提高計算機使用人員的安全意識，也是保障計算機系統(tǒng)安全的有效措施，定期對計算機工作人員進行安全培訓，提高他們的安全意識，尋找一些有效的防范舉措讓其學習，不給不法用戶任何下手的機會。另外，遇到問題要及時進行解決，盡量將危險降到最小，安全防范意識增強了，安全系數(shù)就提高了。

（三）網(wǎng)絡(luò)病毒的防范網(wǎng)絡(luò)病毒主要是因為一些操作軟件或者是應(yīng)用軟件所攜帶的，對于這些病毒的有效防范主要是不斷的安裝和更新計算機病毒軟件，因為病毒的傳播速度是很快的；另外，除此以外，現(xiàn)在的病毒是多種多樣的，所以說單一的清除病毒的方法不是十分有效的，所以要建立完善的病毒清除系統(tǒng)，比如可以下載相關(guān)的殺毒軟件，有針對性的保護相關(guān)系統(tǒng)，要是連接互聯(lián)網(wǎng)，還需要網(wǎng)關(guān)的防病毒軟件。另外，作為操作計算機的我們更要積極的去學習防范知識，保護我們的計算機系統(tǒng)。

（四）對計算機進行備份在高校的信息管理系統(tǒng)中，往往會蘊藏著十分重要的信息，這些信息一旦被泄露就會使得使得學校的信息管理工作出錯，甚至會完成十分嚴重的危害。對重要的信息進行備份則可以很好的解決這個問題，即使被破壞的文件丟失，也可以迅速找回。

（五）提高瀏覽網(wǎng)頁的安全性和不輕易打開來歷不明的郵件當前，計算機上存在很多垃圾網(wǎng)頁和不明來歷的郵件，即使我們只是點開查看了一下，也會造成安全問題，所以我們要杜絕這些行為的發(fā)生，在進行網(wǎng)頁的瀏覽時需要提高安全意識，對于一些違規(guī)的網(wǎng)站進行有效的規(guī)避，及時的檢查瀏覽器的版本，及時的更新版本，另外對于瀏覽器中存在的廣告窗口也需要進行有效的規(guī)避。除此之外，還需要對于一些電子郵件的要進行嚴格的控制，不要點擊，另外，要對硬盤進行及時的查殺。

（六）硬件與軟件防范措施常見的計算機硬件加固有，密封加固、防震加固、防腐加固和溫度環(huán)境加固等。在有關(guān)計算機的軟件方面需要進行有效的加密，由于密碼具有一定的時效性，所以用戶應(yīng)定期更改密碼，以保護計算機軟件的安全性。在使用的過程中，我們要及時發(fā)現(xiàn)硬件存在的問題，然后馬上采取救補措施，給予軟件運行有效的安全保證，從而降低安全風險系數(shù)。

（七）充分了解防火墻作用與局限性防火墻是每臺電腦必備的保護隔墻，是計算機設(shè)備中不能夠缺少的一個設(shè)備，這樣一來就相當于在計算機中安裝了套硬件或者是軟件，能夠有效的防止外來黑客的沖擊和病毒木馬的侵害。但防火墻的功能是有限的，他雖然可以有效隔離外界網(wǎng)絡(luò)與內(nèi)部數(shù)據(jù)，但隨著技術(shù)愈加先進，防火墻已經(jīng)可以輕易被不法用戶輕破壞，局限性較大。

篇8

一、高速公路網(wǎng)絡(luò)信息安全分析

針對目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學者都提出自己的觀點和看法，例如：北京交科公路勘察設(shè)計研究院盛剛談到網(wǎng)絡(luò)安全問題時指出：一方面，不管是在設(shè)計還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識，忽視培養(yǎng)技術(shù)人員，技術(shù)儲備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對高速收費、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運營單位的認識和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴格按照國際相關(guān)標準規(guī)定執(zhí)行，提出的技術(shù)不具備針對性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴重，已成為當前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運維體系、管理體系和標準體系。技術(shù)體系主要從主機安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運維體系分為四個部分：風險管理安全、安全體系的推廣落實、安全維護、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標，以及在完成這些目標的過程中所使用的體系方法；標準體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對各省份出現(xiàn)的安全問題，各自根據(jù)實際情況提出不同的解決方案，例如山西省針對本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運維管理、管理制度安全、安全管理機構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機系統(tǒng)安全、行為操作安全等各類隱患，針對具體存在的安全問題，對癥下藥，采取實施有效的安全防護措施。

篇9

近幾年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷豐富，用戶可存在于網(wǎng)絡(luò)空間的活動越來越多，上至六七十的老人，下到小學生都加入了這個行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多，設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實際工作中，簡單的擴充網(wǎng)絡(luò)帶寬來提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析，采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性，對于訪問速度的提高，用戶體驗十分顯著。網(wǎng)絡(luò)速度實際是恒定的，用戶上網(wǎng)訪問快慢的感受實際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜，需要更多的功能、更好地控制網(wǎng)絡(luò)組建。

二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究

網(wǎng)絡(luò)穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗就不會出現(xiàn)高低起伏，但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性，首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因，并結(jié)合實際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多，總結(jié)起來主要表現(xiàn)在五個方面：網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前，對企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下：

（1）企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級”架構(gòu)（核心、匯聚、接入）。總體思路很明確，但隨著網(wǎng)絡(luò)的不斷延伸，接入用戶的不斷增加和新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

（2）隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來的路由體系是否適合現(xiàn)在不斷擴展的企業(yè)網(wǎng)絡(luò)，如何找出路由體系中關(guān)鍵技術(shù)的平衡點這都是技術(shù)難點。

（3）網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升，尤其是網(wǎng)絡(luò)安全域劃分的實施。

（4）桌面安全和系統(tǒng)安全對網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預(yù)測和提前相應(yīng)提供了支持。

2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā)，我們結(jié)合業(yè)界的相關(guān)技術(shù)，提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。

（1）網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標準的三層結(jié)構(gòu)部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡(luò)之間邊界不夠清晰，沒有使用安全設(shè)備進行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計原則，靈活性欠佳，且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理，造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。

針對企業(yè)網(wǎng)絡(luò)現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進行構(gòu)造網(wǎng)絡(luò)，增加統(tǒng)一的三網(wǎng)絡(luò)核心，整合網(wǎng)絡(luò)安全邊界，優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測試區(qū)，增強開發(fā)測試類應(yīng)用的獨立性和安全性；增加運行管理區(qū)，為企業(yè)網(wǎng)絡(luò)運行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺；增加數(shù)據(jù)擺渡區(qū)，隔離保護生產(chǎn)和科研網(wǎng)絡(luò)，以保障企業(yè)核心業(yè)務(wù)；針對各網(wǎng)絡(luò)功能區(qū)，定義網(wǎng)絡(luò)安全邊界，實施網(wǎng)絡(luò)安全控制；增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性，提高網(wǎng)絡(luò)的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡(luò)是按照標準的三層結(jié)構(gòu)部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜，在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù)，也就增加了故障點：上聯(lián)設(shè)備故障，直接影響其下聯(lián)設(shè)備。對用戶來說直接影響了其上網(wǎng)體驗。

（2）路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴展性、靈活性和可管理性等方面，進行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點和需注意的問題。

根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu)，考慮各種路由協(xié)議的特點，企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個層面的內(nèi)容：網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全，并通過不斷的評估和規(guī)劃，提高企業(yè)整體的安全水平。對企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析，考慮認證鑒權(quán)、訪問控制、審計跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個方面。安全應(yīng)該貫徹到整個IT架構(gòu)中的各個層次，網(wǎng)絡(luò)設(shè)備配置安全也非常重要，利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù)，可以大大增強網(wǎng)絡(luò)設(shè)備的安全性，從而為整個網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個方面，提出網(wǎng)絡(luò)設(shè)備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截取；

②服務(wù)管理：強調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù)，減少被攻擊者利用的可能；

③訪問控制和管理：要求對客戶端的操作進行嚴格的認證、授權(quán)和審計；

④攻擊防范：增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置，減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風險；

⑤路由安全：關(guān)注路由協(xié)議認證，消除路由安全問題。

（4）桌面安全和系統(tǒng)安全。信息安全風險管理就是可以接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風險管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個問題：

①不能確保所有計算機都安裝了防火墻和殺毒軟件；

②不能及時對殺毒軟件、防火墻進行更新；

③不知道怎樣對系統(tǒng)防護進行策略配置，不知道怎樣對漏洞進行補丁安裝。

近兩年企業(yè)部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準入客戶端的安裝率，挖掘該系統(tǒng)的深入應(yīng)用，提高系統(tǒng)補丁的安裝出發(fā)來解決這些問題。

三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實踐方案

本實踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上，通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā)，詳細闡述該實踐方案。

1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下，采用“三級”架構(gòu)，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實現(xiàn)核心A和核心B熱備，無論核心A或B其中任何一個故障，各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源，進行日常辦公。從而加固了網(wǎng)絡(luò)核心，明晰了網(wǎng)絡(luò)邊界，提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。

圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點，結(jié)合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個原則：（1）動靜路由的選擇。

（2）減少路由器同步和收斂時間。

（3）明晰并統(tǒng)一語法。

企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式，這兩種方式各有優(yōu)缺點。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓撲變化，那么手動配置方式將導(dǎo)致靜態(tài)路由的管理工作根本無法進行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化。但對于任何程序而言，自動化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，即減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。

企業(yè)網(wǎng)絡(luò)核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡(luò)迅速并自動地響應(yīng)網(wǎng)絡(luò)拓撲的變化，減少路由維護工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點：

（1）RID（router id）是用來唯一表示OSPF網(wǎng)絡(luò)中的一個節(jié)點，為避免由于組網(wǎng)不當造成相同自治系統(tǒng)中的RID沖突，路由器均需設(shè)置RID，RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址；

（2）合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則，規(guī)范了路由的語法和規(guī)則，從而避免了路由配置錯誤；并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡(luò)穩(wěn)定性。

3.網(wǎng)絡(luò)安全。啟用接入層交換機端口安全，采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實際情況，提出從兩方面出發(fā)：（1）把IPS桌面化和桌面防火墻的使用實現(xiàn)防攻擊。

（2）提高終端計算機補丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準入系統(tǒng)）策略服務(wù)器上制定詳細的wsus（）策略來控制計算機的補丁更新，安裝了sep客戶端計算機只要接入網(wǎng)絡(luò)，sep客戶端就會執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器，策略服務(wù)器在收到客戶端傳來檢查結(jié)果后和制定的wsus策略進行比對，如客戶端計算機滿足wsus策略才被允許使用網(wǎng)絡(luò)，否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對不同區(qū)域?qū)嵤┎煌呗裕瑢崿F(xiàn)多組wsus服務(wù)器之間負載均衡，使客戶端能在最短時間內(nèi)獲取補丁資源 。

5.實踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴展，各種新技術(shù)也是層出不窮，如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無法適應(yīng)當下網(wǎng)絡(luò)的運維工作；并且要從體系角度進行網(wǎng)絡(luò)建設(shè)和維護，改變簡單的把“網(wǎng)絡(luò)維護”看成“網(wǎng)絡(luò)設(shè)備維護”的傳統(tǒng)思想。

參考文獻：

篇10

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規(guī)模爆發(fā)，感染了大量的計算機，隨后會向計算機中植入敲詐勒索病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，即不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點：WannaCry利用Windows操作系統(tǒng)445端口存在的漏洞進行傳播，并具有自我復(fù)制、主動傳播的特性。WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動傳播的能力，能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏。“永恒之藍”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱。“永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”。

二、油田現(xiàn)階段網(wǎng)絡(luò)結(jié)構(gòu)分析

油田網(wǎng)絡(luò)屬于小型局域網(wǎng)，能夠?qū)崿F(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。拓撲結(jié)構(gòu)采用星型和樹型混合結(jié)構(gòu)。采取這種拓撲結(jié)構(gòu)具有傳輸速度快、網(wǎng)絡(luò)構(gòu)形簡單、建網(wǎng)容易、便于控制和管理的優(yōu)點。因此，局內(nèi)基本上所有電腦都在使用文件共享和打印機共享，必然會開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經(jīng)分析，總結(jié)出以下在平時網(wǎng)絡(luò)使用中可能引發(fā)的網(wǎng)絡(luò)安全問題：1.未能定時更新安全程序。單位所使用的操作系統(tǒng)多數(shù)為Windows操作系統(tǒng)。每隔一段時間微軟都會新的安全更新程序，用來修補系統(tǒng)所存在的安全漏洞。但是，很多人認為安裝更新程序耗時長，并且會造成系統(tǒng)運行卡頓，占用內(nèi)存，因此，基本不會主動更新安全程序，甚至會關(guān)閉系統(tǒng)自動更新程序開關(guān)，來阻止系統(tǒng)進行安全程序更新。2.未能定時查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網(wǎng)絡(luò)傳播等。由于局內(nèi)采用的是局域網(wǎng)，并且多臺主機之間實現(xiàn)文件共享，這就容易發(fā)生一臺主機癱瘓，其余主機跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點。3.安全意識不強。很多人存在僥幸心理，認為病毒的傳播沒有那么快，補丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時候查殺一下，不需要的時候干脆不去理會，這樣的行為就會有很大的安全風險，在病毒爆發(fā)的時候，由于沒有及時安裝安全更新程序或者查殺病毒，很容易發(fā)生意想不到的局面。4.沒有定期備份文件的習慣。由于單位的計算機主要用于辦公，有很多辦公需要的資料，一次性備份需要花費較長的時間，而且往往沒有如此大內(nèi)存的存儲設(shè)備來備份重要文件，員工多將資料直接存儲于電腦中，即使發(fā)生資料變更也不進行備份，這就給資料的安全性帶來了風險，一旦計算機中毒，文件受損，將帶來不可挽回的局面。

三、預(yù)防措施

關(guān)于網(wǎng)絡(luò)安全的管理和預(yù)防，一方面，玉門油田遵從總公司的決定進行桌面安全管理系統(tǒng)2.0的部署，另一方面，個人也應(yīng)培養(yǎng)良好的網(wǎng)絡(luò)安全意識，形成良好的網(wǎng)絡(luò)安全預(yù)防習慣。1.桌面安全管理系統(tǒng)2.0。桌面安全管理系統(tǒng)2.0是桌面安全管理系統(tǒng)1.0的升級版，新建系統(tǒng)加固及管控平臺兩個子系統(tǒng)，替換了原有的防病毒、端點準入產(chǎn)品，升級和優(yōu)化后臺管理、補丁分發(fā)、電子文檔保護三個子系統(tǒng)功能，同時對以上子系統(tǒng)在客戶端進行了整合。（1）防病毒子系統(tǒng)。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時，構(gòu)建企業(yè)自主控制文件黑白名單能力，實現(xiàn)全網(wǎng)文件樣本的快速發(fā)現(xiàn)和查殺。（2）端點準入子系統(tǒng)。通過定制端點準入策略、客戶端和端點準入設(shè)備有效聯(lián)動，采用旁路部署端點準入設(shè)備，對桌面計算機進行合規(guī)性檢驗，為各單位提供有效、易用的管理工具和手段，支持修復(fù)頁面跳轉(zhuǎn)和非辦公計算機例外保護，如IP電話、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。（3）后臺管理子系統(tǒng)。具有計算機實名制注冊、軟硬件資產(chǎn)信息收集、策略下發(fā)、用戶行為審計和違規(guī)日志查詢的管理功能。通過系統(tǒng)進行基礎(chǔ)安全策略的定制，建立桌面計算機安全基礎(chǔ)，提供30類擴展安全策略，各單位可根據(jù)實際需求進行策略定制，深入完善桌面安全管理。（4）文檔保護子系統(tǒng)。與中國石油USBKey相結(jié)合，為計算機用戶提供登錄保護、重要文件處理區(qū)、文件輸出審計、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴展文檔加密功能適用范圍，實現(xiàn)電子文檔在創(chuàng)建、存儲、使用、銷毀等過程的安全保護。（5）補丁分發(fā)子系統(tǒng)。對微軟補丁進行人工篩選和測試后，通過補丁分發(fā)子系統(tǒng)實現(xiàn)全網(wǎng)桌面計算機操作系統(tǒng)安全統(tǒng)一分發(fā)和自動安裝，及時有效的降低操作系統(tǒng)漏洞帶來的安全隱患。此次的勒索病毒W(wǎng)annaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統(tǒng)打補丁是必須的。（6）系統(tǒng)加固子系統(tǒng)。提供安全基線和底層加固兩個功能模塊，通過統(tǒng)一模板控制、操作系統(tǒng)底層加固，實現(xiàn)集團公司安全基線要求在桌面計算機的強制管控，并且降低操作系統(tǒng)脆弱性帶來的安全風險。2.培養(yǎng)個人安全意識。及時更新安全補丁：可以在官網(wǎng)或使用相關(guān)安全軟件進行系統(tǒng)安全補丁的更新及安裝，或者選擇自動檢查與安裝。目的就是為了防止病毒利用系統(tǒng)漏洞進行二次攻擊。定時查殺病毒：通過殺毒軟件，如360安全衛(wèi)士，定時進行病毒查殺與電腦安全診斷與防護。學習網(wǎng)絡(luò)安全知識，培養(yǎng)網(wǎng)絡(luò)安全意識：單位在安全培訓中，適當加入網(wǎng)絡(luò)安全培訓的內(nèi)容，培養(yǎng)員工的網(wǎng)絡(luò)安全意識。定期備份重要文檔資料：及時整理重要的文件資料，并選取適當?shù)拇鎯υO(shè)備進行備份，或者將資料存放在不聯(lián)網(wǎng)的計算機中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關(guān)閉445端口等共享文件端口以64位Windows系統(tǒng)為例：在鍵盤上同時按下“WIN+R”后輸入“regedit”圖2運行窗口在注冊表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設(shè)置鍵值為“0”=圖3注冊表編輯器圖4鍵值單擊“確定”即可。（2）關(guān)閉網(wǎng)絡(luò)文件與打印機共享（3）安裝系統(tǒng)補丁

四、結(jié)論

通過分析整個油田局域網(wǎng)的結(jié)構(gòu)和特點，以及員工日常工作使用電腦的習慣，總結(jié)出油田局域網(wǎng)所存在的安全隱患，員工安全意識有待提高等相關(guān)問題。及時安裝桌面安全系統(tǒng)2.0，提高網(wǎng)絡(luò)安全意識，養(yǎng)成良好的安全上網(wǎng)習慣，將有助于整個油田的網(wǎng)絡(luò)安全和安全生產(chǎn)運行。

作者:杜懿珊 單位:玉門油田信息中心

篇11

Enterprise Network Security Management

Chen Xianhai

(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)

Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.

Keywords:Enterprise;Network;Security

企業(yè)運行過程中需要大量的信息，同時很多信息將會通過網(wǎng)絡(luò)進行上傳下達，在企業(yè)運行期間是不允許中斷的，一旦斷網(wǎng)將會對企業(yè)運行產(chǎn)生重大的負面影響。但目前而言，企業(yè)網(wǎng)絡(luò)安全仍然存在一些不安全因素，因此，為了保證企業(yè)順利運行，保證信息的有效傳遞，研究企業(yè)網(wǎng)絡(luò)的安全是很現(xiàn)實也是很有必要的。

一、企業(yè)網(wǎng)絡(luò)的特點

（一）企業(yè)內(nèi)部網(wǎng)絡(luò)與外界絕對隔絕。企業(yè)內(nèi)部網(wǎng)絡(luò)是單獨的一個互聯(lián)專網(wǎng)，它沒有與Internet的接入口，而且，企業(yè)網(wǎng)絡(luò)的所有接入端都是在企業(yè)內(nèi)部，其他人員輕易不可能接觸到接入點，所以，通過Internet將無法連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。

（二）實時性要求高。企業(yè)網(wǎng)絡(luò)大部分時間主要傳遞企業(yè)本文資料，視頻和圖形圖象的傳遞較少，因此流量不是很大，但是，有時也需要將一些特殊資料如視頻、圖形、會議等通過網(wǎng)絡(luò)實時的傳遞到各部門、各分支機構(gòu)，所以要保證這些信息能夠在快速高效的傳遞，網(wǎng)絡(luò)的接入端也應(yīng)采用高帶寬，以免為企業(yè)決策造成貽誤。

（三）絕大部分接入點在企業(yè)內(nèi)部。企業(yè)網(wǎng)絡(luò)的接入點大都是在企業(yè)內(nèi)部，盡量做到集中管理，盡量降低信息接入點被其他個人或機構(gòu)影響的可能性。

（四）企業(yè)網(wǎng)絡(luò)出問題帶來的后果比Internet出問題大得多。企業(yè)網(wǎng)絡(luò)如果出現(xiàn)服務(wù)器被攻擊癱瘓、網(wǎng)絡(luò)設(shè)備被堵塞，造成斷網(wǎng)或者服務(wù)器不能訪問，在企業(yè)管理中各個部門將無法獲取所需信息，嚴重得的話將會影響到企業(yè)的戰(zhàn)略決策。

從以上分析比較可知，盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)原理一樣，結(jié)構(gòu)上卻存在較大的差異，也正是企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，大大增加了企業(yè)網(wǎng)絡(luò)的安全，但它仍然存在一些不安全的因素。

二、企業(yè)網(wǎng)絡(luò)不安全的因素

（一）物理鏈路的不安全。有的企業(yè)各分支機構(gòu)分布在全國來說是比較分散的，要使各分支機構(gòu)全部納入統(tǒng)一管理必然將部分物理鏈路分散管理，這樣地方人員將能夠接觸到這些鏈路，使這部分物理鏈路有可能成為攻擊、竊取的目標，這是對企業(yè)網(wǎng)絡(luò)安全管理最大的威脅，同時也是企業(yè)內(nèi)信息最可能泄露的地域。另外，如果有人對物理鏈路進行竊聽或者剪斷，將會使這些單位造成長時間斷網(wǎng)，無法發(fā)送和接收信息，或者傳遞的信息將可能被竊取，造成泄密。

（二）接入端信息接入點的不安全。對企業(yè)網(wǎng)絡(luò)來說，接入端也有不安全因素，這些接入點將最有可能被竊取，只要一個信息接入點被成功竊入，那么信息就有可能借此被竊取，為企業(yè)信息管理帶來麻煩。

（三）違規(guī)使用造成的不安全。由于人員結(jié)構(gòu)的復(fù)雜性，導(dǎo)致有些員工私自使用軟件、存儲介質(zhì)，甚至個人PC，從而可能導(dǎo)致病毒在網(wǎng)絡(luò)上的傳播；同時，將企業(yè)專用的存儲介質(zhì)在企業(yè)網(wǎng)絡(luò)和Internet之間互用，造成企業(yè)信息在Internet上的泄露，同時將病毒帶入網(wǎng)絡(luò)，對企業(yè)造成危害。

從上述分析可知，盡管企業(yè)網(wǎng)絡(luò)從結(jié)構(gòu)上解決了一定的安全問題，但是由于其特殊性，它仍然存在一些不安全因素，這些不安全因素將會是企業(yè)網(wǎng)絡(luò)的薄弱點，也是企業(yè)網(wǎng)絡(luò)安全管理應(yīng)特別注重的地方。

三、解決企業(yè)網(wǎng)絡(luò)不安全因素的幾點建議

（一）技術(shù)方面：一是對核心的數(shù)據(jù)庫服務(wù)器和網(wǎng)頁服務(wù)器要運用高性能防火墻保護；二是對整個系統(tǒng)部署統(tǒng)一的防病毒軟件，安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)加強對入侵行為的監(jiān)控；三是對異地連接的系統(tǒng)要運用數(shù)據(jù)加密技術(shù)；四是對應(yīng)用系統(tǒng)要強化口令和賬號設(shè)置，提高對使用人員的身份鑒別與認證的可靠性；五是強化對重要業(yè)務(wù)系統(tǒng)的操作審計；六是重要數(shù)據(jù)進行異地備份存儲等。

（二）管理方面：一是結(jié)合系統(tǒng)實際制定統(tǒng)一的安全管理制度和操作規(guī)程指導(dǎo)安全操作；二是指點專人負責對系統(tǒng)的日常運行與維護工作；三是要對安全產(chǎn)品配置進行定期審計；四是對系統(tǒng)和漏洞要進行制度化的加固和修補；五是要制訂應(yīng)急措施，制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小；六是對安全等級要求較高的系統(tǒng)，實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；七是強化物理訪問控制，設(shè)置警示牌、欄桿、柵欄和崗哨，加固門窗等。

（三）制度方面：對風險進行持續(xù)性控制，必須有嚴格的制度作保證。通過將有效的風險控制活動，用條文的形式固定下來，列入企業(yè)計算機網(wǎng)絡(luò)安全管理規(guī)章制度，要求組織內(nèi)的成員必須遵照執(zhí)行，使對風險的控制步入到經(jīng)常化和制度化的軌道上來。

（四）教育培訓方面。在信息安全風險管理控制的過程中，人的因素至關(guān)重要，如果組織只是實施了技術(shù)性的控制措施，但卻忽略了與計算機網(wǎng)絡(luò)相關(guān)的操作人員、管理人員和用戶的安全意識的提升及安全技能的掌握，安全控制措施就不可能穩(wěn)定而持續(xù)地發(fā)揮效力，因此應(yīng)加強對企業(yè)計算機網(wǎng)絡(luò)相關(guān)人員的教育和培訓。

總之，對企業(yè)網(wǎng)絡(luò)安全風險的控制是一項系統(tǒng)工程，必須綜合考慮多種控制措施，才能提高控制的有效性和針對性，實現(xiàn)控制的目的。

參考文獻：

篇12

揮失靈、決策失誤，嚴重地危及到政府、軍事和商業(yè)的安全。因此，計算機安全問題的解決對于保護計算機的安全具有十分重要的現(xiàn)實意義與價值。

一 計算機安全問題的具體表現(xiàn)

（一）硬件方面面臨的安全問題

首先是計算機的芯片問題，計算機所使用的芯片中常常暗含著我們無從知道的秘密功能，成為最大的安全隱患。據(jù)有關(guān)資料透漏，國外針對中國的所用CPU都集成了陷阱指令、病毒指令。他們可以利用無線代碼激活CPU的這些內(nèi)部指令，造成內(nèi)部信息外泄，或致使計算機系統(tǒng)災(zāi)難性崩潰。在一些板卡里，比如顯卡、聲卡、網(wǎng)卡等的指令集里，都可以集成有病毒程序，同樣可以激活而造成系統(tǒng)崩潰。其次是電磁泄露：計算機運行時會像電臺一樣向空間輻射強大的電磁脈沖，盜竊者可以接收計算機輻射出來的電磁波進行復(fù)原，獲取計算機中的數(shù)據(jù)。利用特殊設(shè)備，在電源線上就可以把信號截取下來還原。最后硬件故障：計算機存儲器硬件損壞也會使存儲數(shù)據(jù)讀不出來。為提高數(shù)據(jù)存儲的安全性，一種方法是采用數(shù)據(jù)備份，將有用數(shù)據(jù)定期復(fù)制出來保存。另一種方法是系統(tǒng)備份，使用雙硬盤，同時將數(shù)據(jù)存在兩個或多個硬盤上。在安全性要求高的特殊場合，還可以采用帶有電插撥保障的方法對雙機雙硬盤備份，即在計算機正常運行時，可以插撥任何有問題部件，進行更換和修理，保證計算機連續(xù)運行。

（二）計算機軟件和網(wǎng)絡(luò)面臨的問題

計算機軟件與網(wǎng)絡(luò)安全主要面臨的問題是竊取信息、篡改信息、身份假冒和惡意破壞等。其主要形式有：（1）電腦病毒：電腦病毒可能會自行復(fù)制，更改應(yīng)用軟件、刪除檔案、更改資料等；（2）后門或特洛伊木馬：未經(jīng)授權(quán)的程序透過合法程序的掩護來執(zhí)行某些不被察覺的惡意流程；（3）竊聽：資料數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被非法的第三者非法獲取；（4）偽裝：攻擊者假裝是某合法使用者，而獲得使用權(quán)限；（5）資料篡改：儲存或傳輸中的資料，其完整性被毀壞；（6）阻絕服務(wù)：數(shù)據(jù)存取被中斷或是阻止，讓使用者無法獲得服務(wù)，或是造成某些即時系統(tǒng)的延誤或中止；（7）否認（Repudiation）：使用者拒絕承認曾使用過某一電腦或網(wǎng)絡(luò)資，或曾寄出（收到）某一文件（8）網(wǎng)絡(luò)釣魚：建立或‘虛設(shè)’、‘仿冒’的網(wǎng)絡(luò)商店，來輕易獲取網(wǎng)友的機密資料；（9）雙面惡魔：指的是一種常出現(xiàn)在機場、旅館、咖啡廳等地方，假裝可提供正當無線網(wǎng)絡(luò)連結(jié)到Internet的應(yīng)用服務(wù)，當使用者不知情登上此網(wǎng)絡(luò)時，就會被竊取其密碼或信用卡資訊。（10）網(wǎng)址轉(zhuǎn)嫁連結(jié)：犯罪者常侵入ISP的服務(wù)器中修改內(nèi)部IP的資訊并將其轉(zhuǎn)接到犯罪者偽造的網(wǎng)站，所以即使使用者建入正確的IP也會透過轉(zhuǎn)接到犯罪者的網(wǎng)站，而被截取資訊。

二、計算機安全問題的防范與控制

（一）硬件方面安全問題防范與控制

采用加固技術(shù)能夠提高計算機硬件的安全性。常見的有防震加固、密封加固、防腐加固、溫度環(huán)境加固。防輻射加固措施是從芯片，電磁器件到線路板、電源、轉(zhuǎn)盤、硬盤、顯示器及連接線，都全面屏蔽起來，以防電磁波輻射。更進一步，可將機房或整個辦公大樓都屏蔽起來，如沒有條件建屏蔽機房，可以使用干擾器，發(fā)出干擾信號，使接收者無法正常接收有用信號。

隨著計算機的發(fā)展，我們手上的移動設(shè)備越來越多，這些移動設(shè)備給我們的信息存儲和轉(zhuǎn)移帶來了方便，但也帶來了不少的安全隱患。由于移動設(shè)備的特點，使得移動設(shè)備中往往隱藏著不少的病毒文件，一旦我們在自己的計算機上打開攜帶病毒的移動設(shè)備后，我們的計算機就會被感染病毒。因此，在日常生活中使用不確定的移動設(shè)備時，應(yīng)該在未打開移動設(shè)備的狀態(tài)下先殺毒再使用。

（二）網(wǎng)絡(luò)安全的基本措施

首先要利用加密技術(shù)，加密技術(shù)是防止信息竊取的基本安全措施，分為對稱加密和非對稱加密兩類。對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開（即公鑰），另一個由用戶自己秘密保存（即私鑰）。其次安裝必要的安全軟件，還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻。在上網(wǎng)時打開它們，并經(jīng)常更新它們，檢測木馬病毒程序，這樣即使有黑客進攻，我們也有安全保證。第三計算機安全監(jiān)控：計算機安全監(jiān)控系統(tǒng)是一種保障信息安全的有效機制在信息安全保護、實時運行記錄和違規(guī)操作攔截等方面都有廣泛的應(yīng)用。通常，計算機安全監(jiān)控的對象可分成兩類：信息及操作。其中，信息主要是指系統(tǒng)的文件和文本信息，操作主要是指用戶人為產(chǎn)生的操作行為。監(jiān)控系統(tǒng)要對文件信息的變更，文本信息的復(fù)制傳播以及人為操作

進行記錄、甄別，必要時要能阻止有威脅的信息傳播。文件是信息的主要載體，在信息安全領(lǐng)域，對文件的保護至關(guān)重要，要求必須全面監(jiān)控計算機的文件操作對文件的新建、修改、刪除等操作進行準確的記錄，甚至要依據(jù)判別規(guī)則進行操作干預(yù)，防止受保護的文件被非法修改、刪除或復(fù)制傳播。文本是大部分信息的直接表現(xiàn)形式，它可以來自文件，網(wǎng)絡(luò)等多種渠道，文本的監(jiān)控保護主要體現(xiàn)在對文本內(nèi)容復(fù)制的監(jiān)控，記錄復(fù)制的相關(guān)信息阻止敏感信息的。

三、結(jié)論

現(xiàn)代社會計算機安全是我們工作、學習的保證。當我們運用正確的方法理性的面對時，我們就可以讓計算機在相對安全的環(huán)境中為我們提供高效地、優(yōu)質(zhì)地服務(wù)。只要我們加強了計算機的安全意識，加強計算機安全問題的防范與控制，對于確保信息系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)的安全具有重要的意義。

參考文獻

篇13

安全防護的目的是通過系統(tǒng)加固、安全設(shè)備部署等網(wǎng)絡(luò)安全技術(shù)手段，實現(xiàn)對惡意或非惡意攻擊行為的防御，根據(jù)防護對象的不同，又可以分成四個維度。

1.1網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的安全防護主要通過在網(wǎng)絡(luò)設(shè)備層面設(shè)置安全加固措施，保障數(shù)據(jù)傳送的底層網(wǎng)絡(luò)能夠持續(xù)穩(wěn)定的運行。首先需要保證網(wǎng)絡(luò)拓撲的合理性，增強網(wǎng)絡(luò)設(shè)計時的健壯性。在網(wǎng)絡(luò)架構(gòu)上保證內(nèi)外網(wǎng)的物理隔離，防止外網(wǎng)的安全威脅蔓延至內(nèi)網(wǎng)中；確保網(wǎng)絡(luò)具備冗余倒換能力，不存在網(wǎng)絡(luò)的單點故障；將不同的業(yè)務(wù)、不同的用戶在網(wǎng)絡(luò)層面進行隔離，降低用戶非授權(quán)訪問的可能性；在關(guān)鍵網(wǎng)絡(luò)出口處部署防火墻設(shè)備或者設(shè)置訪問控制列表，限定外部網(wǎng)絡(luò)與受控業(yè)務(wù)系統(tǒng)之間可以進行交互的應(yīng)用類型；避免網(wǎng)絡(luò)設(shè)計中存在可旁路繞過安全防護設(shè)備的鏈路。其次啟用相應(yīng)的內(nèi)網(wǎng)、外網(wǎng)防護技術(shù)手段，降低網(wǎng)絡(luò)層面遭遇攻擊的幾率。啟用網(wǎng)絡(luò)接入的準入機制，只有通過認證的設(shè)備才允許進行網(wǎng)絡(luò)訪問；通過在網(wǎng)絡(luò)層部署反向路由檢測機制，阻斷惡意用戶使用仿冒地址發(fā)起攻擊；通過在網(wǎng)絡(luò)層部署MAC地址綁定機制，防止局域網(wǎng)內(nèi)的ARP攻擊；在業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處啟用動態(tài)路由協(xié)議的Peer認證機制，防止非授權(quán)的設(shè)備參與進路由廣播和分發(fā)中，造成網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的異常。

1.2系統(tǒng)層

系統(tǒng)層的安全防護主要著眼于業(yè)務(wù)服務(wù)器、維護終端及辦公終端操作系統(tǒng)的安全措施部署。通過設(shè)置統(tǒng)一的補丁服務(wù)器、病毒防護服務(wù)器，實現(xiàn)各類主機系統(tǒng)升級補丁和病毒特征更新包的統(tǒng)一管理、及時，避免因操作系統(tǒng)漏洞未及時修補造成網(wǎng)絡(luò)安全的發(fā)生；部署統(tǒng)一的集中認證授權(quán)系統(tǒng)，實現(xiàn)基于手機短信認證、令牌環(huán)認證等方式的雙因子認證機制，根據(jù)認證的結(jié)果分配給用戶對應(yīng)的訪問權(quán)限，確保登錄用戶所能進行的操作合法性。

1.3應(yīng)用層

所有的業(yè)務(wù)提供能力最終都是體現(xiàn)為各種業(yè)務(wù)應(yīng)用，因此應(yīng)用層的防護能力高低，直接決定了一個業(yè)務(wù)網(wǎng)絡(luò)的安全程度。在應(yīng)用層面需要實現(xiàn)最小化服務(wù)的原則，對于與業(yè)務(wù)和維護沒有關(guān)聯(lián)的應(yīng)用服務(wù)端口，都應(yīng)予以關(guān)閉；針對所提供的Web應(yīng)用，應(yīng)該部署WAF設(shè)備，阻隔針對應(yīng)用的網(wǎng)絡(luò)攻擊行為。

1.4數(shù)據(jù)層

數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存，客戶端和服務(wù)端之間使用SSL、SSH之類的安全加密傳輸協(xié)議進行數(shù)據(jù)的交互，確保數(shù)據(jù)在高強度的加密通道中進行傳輸，不被篡改、不被截獲，通過對應(yīng)用系統(tǒng)的改造優(yōu)化，實現(xiàn)在服務(wù)器上存儲關(guān)鍵數(shù)據(jù)時使用MD5加密等方式進行數(shù)據(jù)存儲，降低存儲文件外泄后數(shù)據(jù)泄漏的風險。

2自動化安全檢測能力

安全檢測是通過主動自主的對網(wǎng)絡(luò)系統(tǒng)進行審視，及早的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全問題，安全檢測技術(shù)能力的提升，有助于企業(yè)能夠更為快速準備的定位網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，通過及時采取安全防護措施，降低網(wǎng)絡(luò)安全隱患。

2.1漏洞掃描

漏洞掃描技術(shù)是在網(wǎng)絡(luò)安全檢測方面使用的最為廣泛的一種手段，通過自動化的掃描工具和被檢測的系統(tǒng)進行連接，并讀取內(nèi)置的漏洞數(shù)據(jù)庫進行數(shù)據(jù)交互情況的匹配，以判斷目標系統(tǒng)是否存在相應(yīng)的網(wǎng)絡(luò)安全漏洞。根據(jù)掃描對象的不同，漏洞掃描又可分為系統(tǒng)掃描和Web應(yīng)用掃描。為保證漏洞掃描技術(shù)手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數(shù)據(jù)庫，漏洞判定的原理依據(jù)是否合理有效，漏洞掃描任務(wù)執(zhí)行速度是否快速；另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放，通過集中管控，分級部署的方式，使得漏洞掃描工具能夠通過遠程管理和控制，跨區(qū)域覆蓋到所有需檢測的網(wǎng)絡(luò)系統(tǒng)，自動化執(zhí)行周期性的掃描任務(wù)，提升漏洞掃描工作任務(wù)執(zhí)行的效率。

2.2基線檢查

基線檢查系統(tǒng)通過遠程登錄目標系統(tǒng)或者通過在目標主機上運行采集腳本，獲取目標主機的實際配置情況，與系統(tǒng)內(nèi)設(shè)置的各種系統(tǒng)、應(yīng)用的配置的標準項進行對比核對，找出其中的差異，即不合規(guī)項，形成直觀的統(tǒng)計報表。

3全方位安全審計能力

通過安全審計技術(shù)手段，實現(xiàn)對網(wǎng)絡(luò)操作、流量特征行為進行審核，發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的違背安全策略的行為，根據(jù)審計的結(jié)果，做好事中處理或者事后補救的措施，保障企業(yè)的網(wǎng)絡(luò)安全。

3.1操作審計

各運維部門負責運維種類繁多，數(shù)量龐大的各式通信網(wǎng)元，且參與運維的人員眾多，但是相應(yīng)的運維操作并沒有全部進行審計管控，存在網(wǎng)絡(luò)安全管控上的盲點，因此完善在操作審計上的能力也是優(yōu)化網(wǎng)絡(luò)安全管理體系的重要環(huán)節(jié)。通過全覆蓋式操作審計系統(tǒng)的覆蓋，實現(xiàn)對現(xiàn)網(wǎng)設(shè)備及應(yīng)用的集中操作審計，對運營商日常運維操作的情況進行記錄，保存運維人員的登錄賬號名，登錄時間，登錄結(jié)果，登錄IP地址以及操作帳號，操作時間，操作命令，操作結(jié)果等一系列操作信息，周期性的對操作的情況進行審核，是否存在異常的操作行為，同時在發(fā)生安全事件時，也可通過操作審計系統(tǒng)進行設(shè)備操作記錄的回溯，發(fā)現(xiàn)問題關(guān)鍵點。

3.2流量分析

在運營網(wǎng)絡(luò)中不光存在著正常的業(yè)務(wù)流量，還有眾多的網(wǎng)絡(luò)攻擊、垃圾郵件、蠕蟲病毒等產(chǎn)生的異常流量，對于這些異常流量的及時甄別、快速處置是優(yōu)化網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵步驟。運營商應(yīng)該在流量分析的手段上進行補充完善，形成以下幾個層次的分析能力：第一層次是基于SNMP協(xié)議，采集平臺網(wǎng)絡(luò)出口設(shè)備的端口進出字節(jié)情況，構(gòu)造出日常的流量圖形情況，通過實施監(jiān)測發(fā)現(xiàn)流量突增突減的情況，可以粗略的判斷是否存在網(wǎng)絡(luò)攻擊行為，及時對異常行為做出響應(yīng)；第二層次是基于netflow技術(shù)，通過提取數(shù)據(jù)包的包頭，獲取IP地址、協(xié)議類型、應(yīng)用端口、數(shù)據(jù)包進出的設(shè)備端口、字節(jié)數(shù)等一系列信息，構(gòu)建出整個網(wǎng)絡(luò)流量的整體視圖，分析網(wǎng)絡(luò)中存在的異常流量情況并進行對應(yīng)的溯源，準確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網(wǎng)絡(luò)安全事件發(fā)生時，具備快速響應(yīng)能力，及時獲取事件發(fā)生時，被攻擊網(wǎng)絡(luò)的交互數(shù)據(jù)包情況，通過對這些數(shù)據(jù)包的精準分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的方式方法，采取針對性的防護措施進行防御。

3.3日志分析

網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用、安全設(shè)備所產(chǎn)生的記錄用戶的行為、系統(tǒng)狀態(tài)的日志，為網(wǎng)絡(luò)安全事件的處置提供了大量重要的信息，通過對來自網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的日志進行關(guān)聯(lián)性分析，可以判定出攻擊者什么時候通過什么手段發(fā)起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應(yīng)當建立集中式的日志收集分析系統(tǒng)，提高自身在網(wǎng)絡(luò)安全事中的技術(shù)處理手段。

總之，網(wǎng)絡(luò)運營商在整個互聯(lián)網(wǎng)生態(tài)圈中提供最為基礎(chǔ)的通信管道，承擔著公共網(wǎng)絡(luò)的建設(shè)和維護的職責，因此一旦運營商的網(wǎng)絡(luò)遭遇黑客的惡意攻擊或者發(fā)生其他類似的安全問題，所影響到的互聯(lián)網(wǎng)用戶范圍非常廣，造成的社會影響非常大。技術(shù)手段作為網(wǎng)絡(luò)安全的重中之重，本文對其進行了重點探討，希望能對未來網(wǎng)絡(luò)安全的發(fā)展貢獻一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊

引用：

[1]上官曉麗.國際信息安全管理標準的相關(guān)研究[J].信息技術(shù)與標準化，2014.

[2]侯繼江.中國網(wǎng)絡(luò)安全防護工作開展思路及經(jīng)驗總結(jié)[J].電信網(wǎng)技術(shù)，2011.