亚洲欧美日韩中文高清www777,日本va中文字幕在线

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全體系解決方案主題范文，僅供參考，歡迎閱讀并收藏。

網(wǎng)絡(luò)安全體系解決方案

第1篇：網(wǎng)絡(luò)安全體系解決方案范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全；操作系統(tǒng)；一機兩用；入侵檢測

【中圖分類號】TP393.08 【文獻標(biāo)識碼】A 【文章編號】1672-5158（2013）01―0129-02

1、消防信息網(wǎng)絡(luò)安全的基本內(nèi)容

1.1 網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是利用各種網(wǎng)絡(luò)管理、控制和技術(shù)措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)資源受到保護，不會因為一些不利因素而使這些資源遭到破壞、更改、泄露。

1.2 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。包括：網(wǎng)絡(luò)運行系統(tǒng)安全、網(wǎng)絡(luò)上系統(tǒng)信息的安全、網(wǎng)絡(luò)上信息傳播的安全和網(wǎng)絡(luò)上信息內(nèi)容的安全。

2、消防信息網(wǎng)絡(luò)中存在的安全問題

2.1 使用網(wǎng)絡(luò)類型的不同

消防部隊由于工作的特殊性，既有基于Internet的公眾網(wǎng)絡(luò)辦公系統(tǒng)，又有基于公安網(wǎng)的內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)。在日常辦公時這兩種網(wǎng)絡(luò)都會被用到，如果電腦使用者不能區(qū)分開這兩種網(wǎng)絡(luò)，不注意而將兩種網(wǎng)絡(luò)混淆使用，就會導(dǎo)致“一機兩用”的發(fā)生，甚至?xí)褂嬎銠C受到病毒、黑客的攻擊，發(fā)生重要數(shù)據(jù)的丟失或機密信息遭到竊取?！耙粰C兩用”是指計算機或者網(wǎng)絡(luò)設(shè)備在未采取安全措施情況下既連接公安信息網(wǎng)絡(luò)又連接互聯(lián)網(wǎng)（含同時連接與不同時連接）。容易發(fā)生“一機兩用”的途徑和方式：

1）計算機同時聯(lián)入互聯(lián)網(wǎng)和公安信息內(nèi)網(wǎng)；

2）公安信息內(nèi)網(wǎng)專用移動存儲設(shè)備在公安信息內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間交叉使用。

3）外單位計算機維修人員對公安專網(wǎng)計算機進行維修。

4）將無線上網(wǎng)系統(tǒng)連接到公安網(wǎng)計算機。

5）使用筆記本電腦在公安信息內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間交叉連接。

2.2 網(wǎng)絡(luò)系統(tǒng)的脆弱性

2.2.1 網(wǎng)絡(luò)自身的脆弱性

網(wǎng)絡(luò)安全問題是Internet中的一個重要問題。計算機網(wǎng)絡(luò)是使用TCP/IP協(xié)議的，而其所提供的FTP、E-Mail、RPC和NFS服務(wù)都包含許多不安全的因素，存在一些漏洞。

同時，網(wǎng)絡(luò)的普及使信息共享達到了一個新的層次，信息被泄露的機會大大增多。Internet網(wǎng)絡(luò)是一個不設(shè)防的開放大系統(tǒng)，誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部，隨時可能發(fā)生搭線竊聽、遠(yuǎn)程監(jiān)控、攻擊破壞。

2.2.2 操作系統(tǒng)存在的安全問題

操作系統(tǒng)是作為一個支撐軟件，使得程序或別的應(yīng)用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。主要表現(xiàn)在：

1）操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU管理、外設(shè)的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內(nèi)存管理的問題，外部網(wǎng)絡(luò)的一個連接過來，剛好連接一個有缺陷的模塊，可能出現(xiàn)的情況是，計算機系統(tǒng)會因此崩潰。

2）操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會帶來不安全因素。網(wǎng)絡(luò)很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經(jīng)常會帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫的程序，如果某個地方出現(xiàn)漏洞，那么系統(tǒng)可能就會造成崩潰。

3）操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進程，支持進程的遠(yuǎn)程創(chuàng)建和激活，支持被創(chuàng)建的進程繼承創(chuàng)建的權(quán)利，這些機制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權(quán)用戶上，黑客或間諜軟件就可以使系統(tǒng)進程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在。

4）操作系統(tǒng)會提供一些遠(yuǎn)程調(diào)用功能，所謂遠(yuǎn)程調(diào)用就是一臺計算機可以調(diào)用遠(yuǎn)程一個大型服務(wù)器里面的一些程序，可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí)行。遠(yuǎn)程調(diào)用要經(jīng)過很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全的問題。

5）操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設(shè)計中的不足。一旦后門被黑客利用，或在軟件前沒有刪除后門程序，容易被黑客當(dāng)成漏洞進行攻擊，造成信息泄密和丟失。

2.2.3 防火墻的局限性

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。

盡管利用防火墻可以保護安全網(wǎng)免受外部黑客的攻擊，但它只能提高網(wǎng)絡(luò)的安全性，不能保證網(wǎng)絡(luò)的絕對安全，它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。

2.3 基于消防信息網(wǎng)絡(luò)進行的入侵

由于消防工作的社會性，消防信息化建設(shè)的一個重要方面就是利用信息化手段強化為社會服務(wù)的功能，積極利用網(wǎng)絡(luò)載體為社會提供各類消防信息；在網(wǎng)上受理消防業(yè)務(wù)，公布依法行政的有關(guān)信息，為社會提供服務(wù)，增強群眾對消防工作的滿意度。在利用網(wǎng)絡(luò)提高工作效率和簡化日常工作流程的同時，也面臨許多信息安全方面的問題，主要表現(xiàn)在：

2.3.1 內(nèi)部資料被竊取

現(xiàn)在消防機關(guān)上傳下達的各種文件資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去，電腦內(nèi)一般都留有電子版的備份，若此電腦是接入內(nèi)部公安網(wǎng)或互聯(lián)網(wǎng)的，那么就有可能受到來自內(nèi)部或外部人員的威脅，其主要方式有：

1）利用系統(tǒng)漏洞入侵，瀏覽、拷貝甚至刪除重要文件。

2）電腦操作人員安全意識薄弱，系統(tǒng)安全設(shè)置較低，隨意共享文件等；系統(tǒng)用戶使用空口令，不設(shè)置登錄密碼，或?qū)⑾到y(tǒng)帳號隨意轉(zhuǎn)借他人，都會導(dǎo)致重要內(nèi)容被非法訪問，甚至失去系統(tǒng)控制權(quán)。

2.3.2 Web服務(wù)被非法利用

目前全國各級公安消防部門在互聯(lián)網(wǎng)上已建立了很多的網(wǎng)站，這些網(wǎng)站主要是用來提供消防法規(guī)、產(chǎn)品質(zhì)量信息、消防技術(shù)標(biāo)準(zhǔn)、消防宣傳資料等重要信息，部分支隊面向社會群眾開辟了網(wǎng)上受理業(yè)務(wù)服務(wù)，極大地提高了工作效率，但基于網(wǎng)頁的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在：CGI欺騙。

CGI（Common Gateway Interface）即通用網(wǎng)關(guān)接口，許多網(wǎng)站頁面上允許用戶輸入相關(guān)信息，進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點，這些一般都通過執(zhí)行CGI程序來完成。一些系統(tǒng)配置不當(dāng)或本身存在漏洞的CGI程序，能被攻擊者利用并執(zhí)行一些系統(tǒng)命令，如創(chuàng)建具有管理員權(quán)限的用戶，開啟共享、系統(tǒng)服務(wù)，上傳并運行木馬等。在奪取系統(tǒng)管理權(quán)限后，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器，記錄用戶敏感數(shù)據(jù)，或隨意更改頁面內(nèi)容，對站點信息的真實性及保密性造成威脅。

2.3.3 網(wǎng)絡(luò)服務(wù)的潛在安全隱患

一切網(wǎng)絡(luò)功能的實現(xiàn)，都基于相應(yīng)的網(wǎng)絡(luò)服務(wù)才能實現(xiàn)，如IIS服務(wù)、FTP服務(wù)、E-Mail服務(wù)等。但這些有著強大功能的服務(wù)，在一些有針對性的攻擊面前，也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

1）分布式拒絕服務(wù)攻擊

攻擊者通過發(fā)送大量無效的請求數(shù)據(jù)包造成服務(wù)器進程無法短期釋放，大量積累而耗盡系統(tǒng)資源，使得服務(wù)器無法對正常請求進行響應(yīng)，造成服務(wù)器癱瘓。對任何連接到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)（如Web服務(wù)器、FTP服務(wù)器或郵件服務(wù)器）的系統(tǒng)都有可能成為被攻擊的目標(biāo)。大多數(shù)情況下，遭受攻擊的服務(wù)很難建立新的連接，系統(tǒng)通常會因此而耗盡內(nèi)存、死機或系統(tǒng)崩潰等問題。

2）口令攻擊

基于網(wǎng)絡(luò)的辦公過程中不免會有利用共享、FTP或網(wǎng)頁形式來傳送一些秘密文件，這些形式都可以通過設(shè)置密碼的方式來提高文件的安全性，但多數(shù)不會使用一些諸如123、abc等簡單的數(shù)字或英文字母組合作為密碼，或是用自己的生日、姓名作為口令，由于人們主觀方面的原因，使得這些密碼形同虛設(shè)，攻擊者一旦識別了一臺主機而且發(fā)現(xiàn)了可利用的用戶賬號，便可通過詞典、組合或暴力破解等手段得到用戶密碼，從而達到訪問敏感信息的目的。

3）路由攻擊

路由攻擊是指通過發(fā)送偽造路由信息，產(chǎn)生錯誤的路由干擾正常的路由過程。攻擊者可通過攻擊路由器，更改路由設(shè)置，使得路由器不能正常轉(zhuǎn)發(fā)用戶請求，從而使得用戶無法訪問外網(wǎng)，或向路由器發(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應(yīng)，斷開網(wǎng)絡(luò)連接。

3、解決網(wǎng)絡(luò)安全問題的主要方法

3.1 安全技術(shù)手段

1）網(wǎng)絡(luò)安全隔離技術(shù)。

消防部隊在處理日常事務(wù)上主要是用公安內(nèi)網(wǎng)，由于內(nèi)部公安網(wǎng)信息較多，為了杜絕泄密事件的發(fā)生，一定要將其與互聯(lián)網(wǎng)進行隔離的。網(wǎng)絡(luò)隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的。網(wǎng)絡(luò)安全隔離技術(shù)可以實現(xiàn)內(nèi)、外網(wǎng)絡(luò)或外部網(wǎng)絡(luò)與信息的物理隔離，因而可以保證網(wǎng)絡(luò)的相對安全。網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實現(xiàn)的。隔離卡主要用于對單臺機器的隔離，網(wǎng)閘主要用于對于整個網(wǎng)絡(luò)的隔離。

2）入侵檢測技術(shù)。

入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測是對防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力和范圍（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3）訪問控制技術(shù)。

訪問控制技術(shù)是對系統(tǒng)內(nèi)部合法用戶的非授權(quán)訪問進行實時控制，可分為以下兩種類型：①任意訪問控制。指用戶可以任意在系統(tǒng)中規(guī)定訪問對象，優(yōu)點是成本小且方便用戶，缺點是安全系數(shù)較低。②強制訪問控制?？梢酝ㄟ^無法回避的訪問限制來防止對系統(tǒng)的非法入侵，其缺點是費用較高、靈活性小。對于安全性要求較高的系統(tǒng)，可以采用兩種類型結(jié)合的方法來維護網(wǎng)絡(luò)系統(tǒng)的安全。

3.2 網(wǎng)絡(luò)安全管理方面的措施

1）成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。

應(yīng)該建立由單位領(lǐng)導(dǎo)牽頭、網(wǎng)絡(luò)管理員參與的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，重點加強本單位網(wǎng)絡(luò)安全有關(guān)項目的管理和應(yīng)用，負(fù)責(zé)貫徹國家和公安部有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實各項網(wǎng)絡(luò)安全制度；督促和加強對本單位人員的網(wǎng)絡(luò)安全教育培訓(xùn)，監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全工作。同時，將計算機網(wǎng)絡(luò)安全的投入作為消防信息網(wǎng)絡(luò)建設(shè)的基礎(chǔ)投入來抓，同步建設(shè)。

2）加強網(wǎng)絡(luò)管理人才引進和培訓(xùn)。

要保證消防網(wǎng)絡(luò)信息系統(tǒng)在一個安全環(huán)境里發(fā)展，必須大力加強網(wǎng)絡(luò)管理人才的引進，應(yīng)該把招收計算機專業(yè)的人才列入消防部隊招收大學(xué)畢業(yè)生的計劃之中，提高消防部隊網(wǎng)絡(luò)管理人員的知識結(jié)構(gòu)。同時，結(jié)合計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，應(yīng)當(dāng)出臺相關(guān)的培訓(xùn)制度，大力加強對現(xiàn)有網(wǎng)絡(luò)管理人員、使用人員的培訓(xùn)。

3）制定并執(zhí)行網(wǎng)絡(luò)安全管理制度。

在系統(tǒng)安全處理的同時，應(yīng)建立并完善各項安全管理制度，以此來確保計算機網(wǎng)絡(luò)安全，如外聘人員簽訂安全責(zé)任書制度，外來人員網(wǎng)絡(luò)訪問制度，網(wǎng)絡(luò)管理員定期檢查維護制度等。

4）按規(guī)定做好公安內(nèi)網(wǎng)專用計算機的聯(lián)網(wǎng)注冊工作。

按照規(guī)定，連接公安內(nèi)部網(wǎng)絡(luò)的計算機都需要經(jīng)過領(lǐng)導(dǎo)審批才能實施聯(lián)網(wǎng)，并逐臺登記，進行實名注冊，落實到民警個人。這樣一方面能加強使用人的安全意識；另一方面對責(zé)任人敲響警鐘，防患于未然。

5）在有多種網(wǎng)絡(luò)的辦公室，分清和梳理好各種網(wǎng)絡(luò)接口和網(wǎng)線。

對于有兩種或兩種以上網(wǎng)絡(luò)的辦公室，必須對每個網(wǎng)絡(luò)接口、每根網(wǎng)線、每臺計算機都貼上醒目的標(biāo)簽，避免因接錯網(wǎng)絡(luò)而導(dǎo)致“一機兩用”的發(fā)生。

6）組建安全保障體系。

根據(jù)各單位的實際情況組建安全保障體系是必需的，如網(wǎng)管人員安全培訓(xùn)、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評估及更新升級系統(tǒng)，這些都能為系統(tǒng)的安全提供有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。

4、結(jié)語

綜上所述，網(wǎng)絡(luò)安全問題的存在是顯而易見的，而其所造成的威脅是不容忽視的，因此，在今后的消防信息化工作中，必須高度重視計算機網(wǎng)絡(luò)的安全，只有不斷加強技術(shù)和管理方面的工作，提高計算機安全意識人手，才能保障消防網(wǎng)絡(luò)能夠在一個安全的、穩(wěn)定的環(huán)境中運行，才能夠使得各項消防工作正常順利的運行，信息的通暢可靠。

參考文獻

第2篇：網(wǎng)絡(luò)安全體系解決方案范文

【關(guān)鍵詞】網(wǎng)絡(luò)；安全；方案

【中圖分類號】G412.65 【文章標(biāo)識碼】B 【文章編號】1326-3587（2012）11-0091-02

一、前言

近來，隨著信息化的發(fā)展和普及，危害網(wǎng)絡(luò)安全的事情時常發(fā)生。例如，越權(quán)訪問、病毒泛濫、網(wǎng)上隨意信息，甚至發(fā)表不良言論。這些問題需要我們引起足夠的重視，規(guī)劃并建設(shè)一個方便、高效、安全、可控的信息系統(tǒng)成為當(dāng)前系統(tǒng)建設(shè)的重要工作。

信息系統(tǒng)安全建設(shè)項目，應(yīng)該嚴(yán)格按照網(wǎng)絡(luò)和信息安全工程學(xué)的理論來實施；嚴(yán)格按照信息安全工程的規(guī)律辦事，做到“安全規(guī)劃前瞻、行業(yè)需求明確、技術(shù)手段先進、工程實施規(guī)范、管理措施得力、系統(tǒng)效率明顯”，因此，將按照信息安全工程學(xué)的理論指導(dǎo)實施用戶信息網(wǎng)絡(luò)系統(tǒng)安全項目的建設(shè)，從政策法規(guī)、組織體系、技術(shù)標(biāo)準(zhǔn)、體系架構(gòu)、管理流程等方面入手，按照科學(xué)規(guī)律與方法論，從理論到實踐、從文檔到工程實施等方面，著手進行研究、開發(fā)與實施。

信息系統(tǒng)安全建設(shè)是一項需要進行長期投入、綜合研究、從整體上進行運籌的工程。該工程學(xué)主要從下列幾個方面入手來構(gòu)造系統(tǒng)安全：

1、對整個信息系統(tǒng)進行全面的風(fēng)險分析與評估，充分了解安全現(xiàn)狀；

2、根據(jù)評估分析報告，結(jié)合國家及行業(yè)標(biāo)準(zhǔn)，進行安全需求分析；

3、根據(jù)需求分析結(jié)果，制定統(tǒng)一的安全系統(tǒng)建設(shè)策略及解決方案；

4、根據(jù)解決方案選擇相應(yīng)的產(chǎn)品、技術(shù)及服務(wù)商，實施安全建設(shè)工程；

5、在安全建設(shè)工程實施后期，還要進行嚴(yán)格的稽核與檢查。

二、安全系統(tǒng)設(shè)計要點

有些用戶對網(wǎng)絡(luò)安全的認(rèn)識存在一些誤區(qū)：認(rèn)為網(wǎng)絡(luò)運行正常，業(yè)務(wù)可以正常使用，就認(rèn)為網(wǎng)絡(luò)是安全的，是可以一直使用的；網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻系統(tǒng)和防病毒軟件，認(rèn)為只要安裝了這些設(shè)備，網(wǎng)絡(luò)就安全了；他們沒有認(rèn)識到網(wǎng)絡(luò)安全是動態(tài)的、變化的，不可能僅靠單一安全產(chǎn)品就能實現(xiàn)。所以，我們必須從網(wǎng)絡(luò)安全可能存在的危機入手，分析并提出整體的網(wǎng)絡(luò)安全解決方案。

1、建設(shè)目標(biāo)。

通過遼寧地區(qū)網(wǎng)絡(luò)及應(yīng)用安全項目的建設(shè)目標(biāo)來看，構(gòu)建一個安全、高效的網(wǎng)絡(luò)及應(yīng)用安全防護體系，充分保障業(yè)務(wù)系統(tǒng)穩(wěn)定可靠地運行勢在必行。

2、設(shè)計思想。

一個專業(yè)的網(wǎng)絡(luò)及應(yīng)用安全解決方案必須有包含對網(wǎng)絡(luò)及應(yīng)用安全的整體理解。它包括理論模型和眾多項目案例實施的驗證。該方案模型應(yīng)是參照國際、國內(nèi)標(biāo)準(zhǔn)，集多年的研發(fā)成果及無數(shù)項目實施經(jīng)驗提煉出來的，同時方案需要根據(jù)這個理論模型及眾多的專業(yè)經(jīng)驗幫助客戶完善對其業(yè)務(wù)系統(tǒng)安全的認(rèn)識，最終部署安全產(chǎn)品和實施安全服務(wù)以保證客戶系統(tǒng)的安全。

為什么要實施安全體系？

內(nèi)因，也就是根本原因，是因為其信息有價值，網(wǎng)絡(luò)健康高效的運行需求迫切。客戶的信息資產(chǎn)值越來越大，信息越來越電子化、網(wǎng)絡(luò)化，越來越容易泄漏、篡改和丟失，為了保護信息資產(chǎn)不減值，網(wǎng)絡(luò)行為正常、穩(wěn)定，必須要適當(dāng)?shù)谋Ｗo，因此要有安全投入。

其次才是我們耳熟能詳?shù)耐庖?，如遭受攻擊。?dāng)前在網(wǎng)絡(luò)信息領(lǐng)域中，入侵的門檻已經(jīng)越來越低（攻擊條件：簡單化；攻擊方式：工具化；攻擊形式：多樣化；攻擊后果：嚴(yán)重化；攻擊范圍：內(nèi)部化；攻擊動機：目的化；攻擊人群：低齡化和低層次化），因此當(dāng)入侵者采用技術(shù)方式攻擊，客戶必須采用安全技術(shù)防范。隨著我國安全技術(shù)的逐步深入研究，已經(jīng)把各種抽象的安全技術(shù)通過具體的安全產(chǎn)品和安全服務(wù)體現(xiàn)了出來。

時間和空間是事物的兩個根本特性，即一經(jīng)一緯構(gòu)成了一個立體的整體概念，安全系統(tǒng)的設(shè)計也可以這么理解。

從時間角度部署安全系統(tǒng)，如圖一，基于時間的防御模型。

該模型的核心思想是從時間方面考慮，以入侵者成功入侵一個系統(tǒng)的完整步驟為主線，安全方案的設(shè)計處處與入侵者爭奪時間，趕在入侵者前面對所保護的系統(tǒng)進行安全處理。在入侵前，對入侵的每一個時間階段，即下一個入侵環(huán)節(jié)進行預(yù)防處理。也就是說，與入侵者賽跑，始終領(lǐng)先一步。

從空間角度部署安全系統(tǒng)，如圖二，基于空間的防御模型。

一個具體的網(wǎng)絡(luò)系統(tǒng)可以根據(jù)保護對象的重要程度（信息資產(chǎn)值的大小）及防護范圍，把整個保護對象從網(wǎng)絡(luò)空間角度劃分成若干層次，不同層次采用具有不同特點的安全技術(shù)，其突出的特點是對保護對象“層層設(shè)防、重點保護”。

一個基本的網(wǎng)絡(luò)系統(tǒng)按防護范圍可以分為邊界防護、區(qū)域防護、節(jié)點防護、核心防護四個層次。

邊界防護是指在一個系統(tǒng)的邊界設(shè)立一定的安全防護措施，具體到系統(tǒng)中邊界一般是兩個不同邏輯或物理的網(wǎng)絡(luò)之間，常見的邊界防護產(chǎn)品有防火墻等。

區(qū)域防護相較于邊界是一個更小的范圍，指在一個重要區(qū)域設(shè)立的安全防護措施，常見的區(qū)域防護產(chǎn)品有網(wǎng)絡(luò)入侵檢測系統(tǒng)等。

節(jié)點防護范圍更小，一般具體到一臺服務(wù)器或主機的防護措施，它主要是保護系統(tǒng)的健壯性，消除系統(tǒng)的漏洞，常見的節(jié)點防護產(chǎn)品主機監(jiān)控與審計系統(tǒng)。

核心防護的作用范圍最小但最重要，它架構(gòu)在其它網(wǎng)絡(luò)安全體系之上，能夠保障最核心的信息系統(tǒng)安全，常見的核心防護產(chǎn)品有身份認(rèn)證系統(tǒng)、數(shù)據(jù)加密、數(shù)據(jù)備份系統(tǒng)等。

3、設(shè)計原則。

1）實用性。

以實際業(yè)務(wù)系統(tǒng)需求為基礎(chǔ)，充分考慮未來幾年的發(fā)展需要來確定系統(tǒng)規(guī)模。以平臺化、系統(tǒng)化來構(gòu)造安全防護體系，各安全功能模塊以組件方式擴展。

2）標(biāo)準(zhǔn)化。

安全體系設(shè)計、部署符合國家相關(guān)標(biāo)準(zhǔn)，各安全產(chǎn)品之間實現(xiàn)無縫連接，確實不能實現(xiàn)的必需采用其他技術(shù)手段予以解決，并與內(nèi)部的網(wǎng)絡(luò)平臺兼容，使安全體系的設(shè)備能夠方便的接入到現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中。

第3篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；風(fēng)險分析；系統(tǒng)設(shè)計

在現(xiàn)代的社會中，Internet信息網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越廣泛，應(yīng)用領(lǐng)域從小型的業(yè)務(wù)系統(tǒng)到大型的關(guān)鍵業(yè)務(wù)系統(tǒng)都有涵蓋。在其應(yīng)用越廣泛的同時，網(wǎng)絡(luò)安全問題成為了影響網(wǎng)絡(luò)技術(shù)最重要的問題。在Internet強調(diào)其開放性和自由性的同時，對網(wǎng)絡(luò)安全問題也提出了更高的要求。

一、研究背景

Internet的開放性和自由性為社會的進步提供了巨大的動力，但是也正是由于互聯(lián)網(wǎng)的這一特性，導(dǎo)致了網(wǎng)絡(luò)上的諸多不安全因素。在我國，網(wǎng)絡(luò)安全目前主要存在以下幾個問題：計算機系統(tǒng)感染病毒的情況相當(dāng)嚴(yán)重；黑客形成的重大威脅；網(wǎng)絡(luò)安全在信息基礎(chǔ)設(shè)施方面所面臨的挑戰(zhàn)。網(wǎng)絡(luò)環(huán)境是多變的、復(fù)雜的，其信息系統(tǒng)也是比較脆弱的，這些都是網(wǎng)絡(luò)安全受到威脅的客觀存在。近年來，隨著信息化社會的來臨，網(wǎng)絡(luò)安全的建設(shè)就需要加大力度進行。

二、網(wǎng)絡(luò)安全分析

建立、實施網(wǎng)絡(luò)信息系統(tǒng)安全體系的時候，需要全面的考慮網(wǎng)絡(luò)安全各個方面的內(nèi)容，只有全面的考慮，才能真正的保證網(wǎng)絡(luò)信息系統(tǒng)的的安全性。對于一套安全體系是否能夠真正的解決問題，這就需要進行網(wǎng)絡(luò)安全分析來確定。因為網(wǎng)絡(luò)安全體系是需要結(jié)合實際的結(jié)構(gòu)情況來設(shè)計的，沒有一個通用的網(wǎng)絡(luò)安全解決方案。

2.1 風(fēng)險分析

保證網(wǎng)絡(luò)安全的重要的一環(huán)就是正確合理的網(wǎng)絡(luò)系統(tǒng)風(fēng)險分析。通常情況下，風(fēng)險分析需要從安全體系的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)傳輸、病毒威脅和管理等方面的安全性分析來描述網(wǎng)絡(luò)系統(tǒng)的安全。

物理層安全是整個網(wǎng)絡(luò)結(jié)構(gòu)安全的前提。一般情況下，物理層的安全風(fēng)險主要表現(xiàn)為：電源故障造成的系統(tǒng)引導(dǎo)失敗和數(shù)據(jù)庫信息丟失；各種自然災(zāi)害導(dǎo)致的整個系統(tǒng)化的毀壞；電磁輻射可能導(dǎo)致的信息丟失；不同機密程度的網(wǎng)絡(luò)沒有物理隔離等。要保證物理層的安全，在選擇設(shè)備方面，首先是滿足國家的標(biāo)準(zhǔn)，其次是要與現(xiàn)實相結(jié)合，對重要的設(shè)備采用UPS不間斷穩(wěn)壓電源。

網(wǎng)絡(luò)層的分析分析主要是有網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險分析。網(wǎng)絡(luò)邊界的風(fēng)險分析是對存在外聯(lián)服務(wù)要求的網(wǎng)絡(luò)出口處安裝防火墻的訪問加以控制。網(wǎng)絡(luò)傳輸?shù)娘L(fēng)險分析主要在于內(nèi)部業(yè)務(wù)數(shù)據(jù)明文方面的威脅，即線路竊聽。

系統(tǒng)層的安全風(fēng)險分析通常是指網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用系統(tǒng)的安全風(fēng)險分析，即對所包含的各組成元素的漏洞和病毒威脅進行分析。具體的風(fēng)險分析主要有操作數(shù)據(jù)庫安全風(fēng)險、系統(tǒng)安全風(fēng)險和桌面應(yīng)用系統(tǒng)的安全分析等。

病毒的安全風(fēng)險方面，傳統(tǒng)的病毒主要是通過各種存儲介質(zhì)進行傳播的，而現(xiàn)在的病毒主要是通過網(wǎng)絡(luò)實現(xiàn)傳播的。當(dāng)局域網(wǎng)內(nèi)的一臺客戶機被病毒感染后，就會迅速的通過網(wǎng)絡(luò)傳播到同一網(wǎng)絡(luò)的成百上千臺機器。

數(shù)據(jù)傳輸?shù)陌踩L(fēng)險主要在于內(nèi)部網(wǎng)絡(luò)傳輸線路存在被竊聽的威脅和局域網(wǎng)內(nèi)的內(nèi)部攻擊行為，包括一些內(nèi)部敏感信息，可能被竊取和篡改造成泄密等，如果沒有專門的軟件進行控制和檢測，就會造成嚴(yán)重的后果。

網(wǎng)絡(luò)管理的安全風(fēng)險可能是因為網(wǎng)絡(luò)管理的混亂、責(zé)任的不明確、制度的不健全以及操作等引起的。解決這一問題最為可行的方法就是管理制度和管理解決方案的相互結(jié)合，因為網(wǎng)絡(luò)完全是除了技術(shù)水平之外，還需要靠安全管理來實現(xiàn)的。

2.2 系統(tǒng)設(shè)計

在針對一項網(wǎng)絡(luò)工程進行安全系統(tǒng)設(shè)計時，需要有一定的步驟，首先必須明確總體的設(shè)計目標(biāo)。例如，在進行校園網(wǎng)絡(luò)安全體系建設(shè)時，應(yīng)該采用先進的建設(shè)思想，按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的患者進行，充分考慮整體和長遠(yuǎn)的利益。網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計主要是進行網(wǎng)絡(luò)安全各層次的設(shè)計。按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于所有的7個層次。安全體系的設(shè)計需要遵循風(fēng)險、需求相互平衡的原則。

三、總述

隨著網(wǎng)絡(luò)的深入普及，網(wǎng)絡(luò)安全的重要性也越來越凸顯，社會各界對建立網(wǎng)絡(luò)安全體系提出了更高的要求。一個現(xiàn)實的網(wǎng)絡(luò)安全體系，是應(yīng)該建立在網(wǎng)絡(luò)風(fēng)險分析的基礎(chǔ)上，遵循一定的設(shè)計原則，采用先進的技術(shù)進行設(shè)計的。就目前而言，我國的網(wǎng)絡(luò)安全有了一定的提高，但是還是缺少很多核心的技術(shù)，這就需要研究人員加強對計算機網(wǎng)絡(luò)安全領(lǐng)域的研究。

參考文獻：

[1]劉建偉.安全審計追蹤技術(shù)綜述[J].信息安全與通信保密.2007(7).

[2]陳君，柳國杰.構(gòu)建防火墻的性能評價模型[J].信陽師范學(xué)院學(xué)報(自然科學(xué)版).2005，18(4).

[3]馬時來.計算機網(wǎng)絡(luò)使用技術(shù)教程[M].北京:清華大學(xué)出版社，2007.144-148.

第4篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計算機應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計算機網(wǎng)絡(luò)

某公司現(xiàn)有計算機500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機在同一網(wǎng)段，通過交換機連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計算機應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡(luò)的進一步完善，計算機應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計算機網(wǎng)絡(luò)的安全，某公司實施了計算機網(wǎng)絡(luò)安全項目，基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計算機網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險與需求分析3.1風(fēng)險分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強對數(shù)據(jù)的備份，并運用技術(shù)手段，提高數(shù)據(jù)的機密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強，安全防護僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。

目前實施的安全方案是基于當(dāng)時的認(rèn)識進行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運用風(fēng)險評估、風(fēng)險管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn)在如下幾點：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮，既注重技術(shù)的實現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應(yīng)用擴展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性，尋求安全、風(fēng)險、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費用開支。

5設(shè)計思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計算機專業(yè)公司接觸，初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機密和專利信息的竊取、財務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應(yīng)重視以下各項工作：

(1)在初步進行風(fēng)險分析基礎(chǔ)上，方案實施方應(yīng)進行進一步的風(fēng)險評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時，加強規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術(shù)手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險降到最低水平。

第5篇：網(wǎng)絡(luò)安全體系解決方案范文

病毒和黑客攻擊是糖廠局域網(wǎng)面臨的兩大威脅，現(xiàn)實中糖廠局域網(wǎng)經(jīng)常遭到黑客或病毒的攻擊，黑客入侵網(wǎng)絡(luò)系統(tǒng)對信息進行刪除、修改、竊取，計算機病毒也對網(wǎng)絡(luò)造成干擾和破壞。這些安全問題存在的主要原因，一是糖廠局域網(wǎng)的網(wǎng)絡(luò)防護體系不嚴(yán)密，用戶的網(wǎng)絡(luò)安全意識不強。二是網(wǎng)絡(luò)系統(tǒng)本身的脆弱性以及網(wǎng)絡(luò)安全技術(shù)的缺陷。三是網(wǎng)絡(luò)安全管理制度不健全。

局域網(wǎng)使用的TCP/IP協(xié)議在設(shè)計之初并沒有考慮安全問題,存在許多的安全缺陷，主要表現(xiàn)在IP欺騙、路由選擇欺騙、TCP序列號欺騙、TCP序列號轟炸攻擊這幾方面。黑客入侵糖廠局域網(wǎng)的方式可以分為被動式和主動式兩類，被動式進攻是入侵者僅僅竊聽信息，并不修改網(wǎng)絡(luò)的信息。主動式進攻是入侵者與目標(biāo)系統(tǒng)交互，一般會修改網(wǎng)絡(luò)中的數(shù)據(jù)，具體的攻擊技術(shù)主要有：Sniffer探測、端口掃描、特洛伊木馬、拒絕服務(wù)攻擊等。

糖廠網(wǎng)絡(luò)安全的威脅還可能來自內(nèi)部，主要表現(xiàn)在兩方面，一是企業(yè)員工人為的失誤，包括密碼不設(shè)口令或者口令過于簡單、沒有及時對系統(tǒng)進行升級或打補丁、保留缺省賬號等。二是企業(yè)員工的蓄意破壞，比如在計算機中植入木馬以獲得非法訪問權(quán)。這些都會給糖廠的正常生產(chǎn)和經(jīng)營帶來嚴(yán)重的破壞。

2糖廠局域網(wǎng)絡(luò)的結(jié)構(gòu)模型

糖廠屬于流程型企業(yè)，甘蔗是主要的原材料，生產(chǎn)具有季節(jié)性，制糖企業(yè)的興旺與當(dāng)?shù)胤N植業(yè)有著密切的聯(lián)系，使其管理上與其他類型企業(yè)有明顯不同。制糖企業(yè)制造成本只占到制糖全部成本的30，而原料、運輸、銷售等方面的成本占了比較大的比重，糖廠必須從甘蔗原料的種植、運輸、生產(chǎn)到成品糖銷售等環(huán)節(jié)全面地進行成本管理，在信息管理系統(tǒng)中要集成各種農(nóng)務(wù)軟件。另外，糖廠廣泛應(yīng)用著多種信息化技術(shù)，主要有智能優(yōu)化控制技術(shù)、傳感檢測技術(shù)、數(shù)控技術(shù)、DCS技術(shù)、PLC技術(shù)、嵌入式控制器等，這些技術(shù)都需要計算機網(wǎng)絡(luò)來進行集成，糖廠的局域網(wǎng)絡(luò)必須適應(yīng)上述的特點。

糖廠局域網(wǎng)一般有Web、FTP、電子郵件、DNS等服務(wù)器以及十幾至幾百臺的工作站，比較先進的制糖企業(yè)還把嵌入式控制系統(tǒng)集成在網(wǎng)絡(luò)中。下圖是糖廠目前采用比較普遍的一種局域網(wǎng)結(jié)構(gòu)模型。

3解決糖廠網(wǎng)絡(luò)安全問題的對策

網(wǎng)絡(luò)安全不僅是一個技術(shù)問題，還是一個社會問題和管理問題，這里只是從技術(shù)的層面上探討解決糖廠網(wǎng)絡(luò)安全問題的一些對策。

3.1實行嚴(yán)格的網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制是保證網(wǎng)絡(luò)安全的核心策略，它主要是保證網(wǎng)絡(luò)資源不被非法訪問。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等，各種安全策略必須相互配合才能真正起到保護作用。

對于糖廠的網(wǎng)絡(luò)系統(tǒng)而言，其訪問控制可分為對內(nèi)訪問控制和對外訪問控制。對外訪問控制指外部用戶必須經(jīng)過防火墻才能訪問內(nèi)部網(wǎng)絡(luò)資源，防火墻一般由過濾路由器、服務(wù)器或堡壘主機組成，過濾路由器根據(jù)TCP/IP報頭來過濾信息，然后把信息轉(zhuǎn)發(fā)到堡壘主機，堡壘主機再根據(jù)不同的應(yīng)用協(xié)議轉(zhuǎn)發(fā)信息流。這種體系結(jié)構(gòu)下的防火墻提供了多層安全保護，因此是比較安全的。因為很多安全問題都來自內(nèi)部，因此必須對網(wǎng)絡(luò)內(nèi)部用戶的訪問采取適當(dāng)?shù)目刂拼胧?，下圖是網(wǎng)絡(luò)內(nèi)部用戶對網(wǎng)絡(luò)資源的訪問控制模型。

3.2把較新的網(wǎng)絡(luò)安全技術(shù)應(yīng)用在網(wǎng)絡(luò)系統(tǒng)中

在糖廠局域網(wǎng)的建設(shè)與管理中，要逐步融入一些網(wǎng)絡(luò)安全新技術(shù)，使網(wǎng)絡(luò)系統(tǒng)更加安全可靠。目前常用的網(wǎng)絡(luò)安全技術(shù)主要有數(shù)據(jù)加密、身份驗證，存取控制、虛擬網(wǎng)絡(luò)、防火墻技術(shù)等，此外還有入侵檢測技術(shù)、蜜罐技術(shù)、取證技術(shù)、物理隔離技術(shù)等幾種新的網(wǎng)絡(luò)安全技術(shù)。入侵檢測系統(tǒng)（IDS）是主動保護系統(tǒng)免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，當(dāng)前已經(jīng)出現(xiàn)了不少實用的入侵檢測系統(tǒng)。蜜罐（HoneyPot）是誘騙攻擊者的一種有效方法,它可以查找并發(fā)現(xiàn)新型的攻擊工具，解決了IDS無法對新型攻擊快速作出反應(yīng)的缺點。蜜網(wǎng)（Honeynet）作為一種研究型蜜罐，是目前獲取攻擊者信息的主要來源之一。同時，基于IDS和蜜罐的計算機取證技術(shù)也得到了發(fā)展，開發(fā)了很多計算機取證的工具，如Encase、SafeBack等。物理隔離技術(shù)是近幾年出現(xiàn)的一個

全新的安全防御手段，正逐步成為網(wǎng)絡(luò)安全體系中不可缺少的環(huán)節(jié)，新一代的物理隔離產(chǎn)品能實現(xiàn)動態(tài)的隔斷，并能對信息進行篩選。

3.3一種實用的網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案主要包括兩方面，一是風(fēng)險評估，二是安全策略。安全策略是網(wǎng)絡(luò)安全體系的核心，它包括需求分析、安全管理制度、技術(shù)防護、緊急響應(yīng)等幾個方面。從技術(shù)的角度看，目前網(wǎng)絡(luò)安全技術(shù)及其產(chǎn)品的種類很多，從底層到應(yīng)用都有相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品可以選用，比如瑞星公司、Nod32公司的系列安全產(chǎn)品都能提供比較好的安全保障。

保證網(wǎng)絡(luò)設(shè)備的正常運行，特別是保證關(guān)鍵業(yè)務(wù)系統(tǒng)的安全，是糖廠網(wǎng)絡(luò)系統(tǒng)安全需求的核心，主要包括：訪問控制，確保網(wǎng)絡(luò)系統(tǒng)不被非法訪問；數(shù)據(jù)安全，保證數(shù)據(jù)庫系統(tǒng)的安全性和可靠性；入侵檢測，對于破壞網(wǎng)絡(luò)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤；完善的防病毒措施等。

下面介紹一個對于糖廠比較完善和實用的網(wǎng)絡(luò)安全解決方案，這個方案能比較徹底地解決糖廠局域網(wǎng)的安全問題，其安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。以下具體介紹這個方案的基本策略。

3.3.1設(shè)置防火墻在Internet與糖廠局域網(wǎng)之間部署一臺防火墻，其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)，使內(nèi)、外網(wǎng)相互隔離。局域網(wǎng)通過路由器與Internet連接，外網(wǎng)的用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS），這樣既保護內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進行跟蹤和審計。防火墻技術(shù)有多種，這里最好選用狀態(tài)檢測型防火墻，它能在不同層中對數(shù)據(jù)進行檢測，從而提高了效率，簡化了規(guī)則。

3.3.2設(shè)置入侵檢測系統(tǒng)將入侵檢測引擎接入核心交換機，對網(wǎng)絡(luò)系統(tǒng)進行實時檢測。入侵檢測是防火墻之后的第二道安全閘門，在發(fā)現(xiàn)入侵行為后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等，擴展了系統(tǒng)管理員的安全管理能力。

3.3.3安裝殺毒軟件殺毒軟件不僅要部署在應(yīng)用服務(wù)器上，網(wǎng)絡(luò)內(nèi)部各個環(huán)節(jié)也要安裝殺毒軟件，并且要及時更新病毒代碼庫。在選擇殺毒軟件時要考慮病毒查殺能力、病毒代碼更新能力、實時監(jiān)控能力、占用系統(tǒng)資源情況等因素，國內(nèi)的產(chǎn)品如瑞星、江民等都是不錯的選擇。

3.3.4設(shè)置漏洞掃描器在局域網(wǎng)內(nèi)設(shè)置一個漏洞掃描器，它能幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患和漏洞，并生成報告和安全建議。掃描器的放置位置一般分為兩種：網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)外部，本方案將掃描器軟件放置在網(wǎng)絡(luò)內(nèi)部，這樣可以檢測網(wǎng)絡(luò)中存在的所有安全隱患。

3.3.5設(shè)置專用的備份服務(wù)器在局域網(wǎng)中設(shè)置一個專用的備份服務(wù)器，連接大容量的存儲設(shè)備（磁帶庫、光盤庫等），利用第三方存儲備份軟件系統(tǒng)，可以實現(xiàn)自動備份、數(shù)據(jù)分級存儲以及災(zāi)難恢復(fù)，是保障數(shù)據(jù)安全的有效措施。

4小結(jié)

糖廠網(wǎng)絡(luò)系統(tǒng)的安全隱患隱藏在各個角落，網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，把這些安全組件進行適當(dāng)?shù)嘏渲?，就能有效地保障糖廠網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻

［1］王亞原.企業(yè)網(wǎng)絡(luò)安全問題及對策.太原師范學(xué)院學(xué)報（自然科學(xué)版）,2005,4(1).

［2］田茂熙.構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系.貴州化工,2005,30(1).

第6篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞：安全隱患；全網(wǎng)動態(tài)安全體系模型；信息安全化；安全防御

中圖分類號：TP393 文獻標(biāo)志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時，我們也被各種層次的安全問題困擾著?，F(xiàn)代校園網(wǎng)絡(luò)安全是一個整體系統(tǒng)工程，必須要對現(xiàn)代校園網(wǎng)進行全方位多層次安全分析，綜合運用先進的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動適應(yīng)現(xiàn)代校園網(wǎng)的動態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎(chǔ)設(shè)施，承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運行。在考慮現(xiàn)代校園網(wǎng)安全時，首先要考慮到物理安全風(fēng)險，它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計平臺的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機系統(tǒng)上運行的應(yīng)用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險分析：非法入侵者一旦獲得對資源的控制權(quán)，就可以隨意對數(shù)據(jù)和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強調(diào)各個方面的動態(tài)聯(lián)系與關(guān)聯(lián)程度?，F(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護，阻止對現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測，及時跟蹤發(fā)現(xiàn)；第四道防線是實時響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對進出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進行監(jiān)測、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進行預(yù)防、實時檢測和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護技術(shù)

入侵防護技術(shù)包含入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權(quán)對象（人或程序）針對系統(tǒng)的入侵企圖或行為，同時能監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動態(tài)安全保護。IPS幫助系統(tǒng)應(yīng)對現(xiàn)代校園網(wǎng)的有效攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和及時響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認(rèn)證系統(tǒng)

現(xiàn)代校園網(wǎng)殊部門（如檔案、財務(wù)、招生等）要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺，加強用戶的身份認(rèn)證，防止對網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運行的必要手段，可保證在災(zāi)難突發(fā)時，系統(tǒng)及業(yè)務(wù)有效恢復(fù)。現(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實時對整個校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對整個校園網(wǎng)體系的安全防御策略及時地進行檢測、修復(fù)和升級，嚴(yán)格履行國家標(biāo)準(zhǔn)的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機制，能實行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強對現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實建立起一個方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標(biāo)準(zhǔn)執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進行安全域劃分，并按照這些安全功能需求設(shè)計和實現(xiàn)相應(yīng)的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺的主機選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進行安全防護：補丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計系統(tǒng)進行監(jiān)控管理，對審計記錄結(jié)果進行保存，檢索和查詢，按需審計；同時還能夠?qū)ξｋU行為進行報警及阻斷，并提供對數(shù)據(jù)庫訪問的統(tǒng)計和分析，實現(xiàn)分析結(jié)果的可視化，能夠針對數(shù)據(jù)庫性能進行改進提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務(wù)請求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。另一方面，當(dāng)事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實現(xiàn)對網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險分析、風(fēng)險控制及安全風(fēng)險評估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實時監(jiān)控系統(tǒng)、數(shù)據(jù)審計平臺、數(shù)據(jù)存儲備份與恢復(fù)等動態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語

信息安全化是現(xiàn)代校園網(wǎng)實施安全的有效舉措，并建立一套切實可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用。現(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時伴隨著種種不確定的安全因素，時時威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時俱進的思想，適時調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護與管理系統(tǒng)設(shè)計與實現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計算機網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.

第7篇：網(wǎng)絡(luò)安全體系解決方案范文

1IMS就是一種融合通信系統(tǒng)體系，其需要進行SIP的應(yīng)用，從而進行會話對象的提供，這就離不開IMS方案的應(yīng)用，進行控制策略及其承載策略的更新。這需要保證IMS終端不同應(yīng)用策略的更新，實現(xiàn)分組域核心網(wǎng)體系的健全，保證核心業(yè)務(wù)的控制，提升其應(yīng)用效益。IMS技術(shù)的應(yīng)用更有利于進行網(wǎng)絡(luò)安全性的提升，并且其具備簡單性、靈活性、標(biāo)準(zhǔn)開放性，能夠進行網(wǎng)絡(luò)的有效接入。IMS技術(shù)的應(yīng)用，能夠為多媒體業(yè)務(wù)數(shù)據(jù)的開展，提供良好的應(yīng)用平臺，從而滿足運營商的工作需要，而不是僅僅進行接入技術(shù)的應(yīng)用，其具備良好的集中式架構(gòu)，是一種具備良好運營效益的商業(yè)模式。

2在實際工作中，為了解決通信系統(tǒng)的問題，我們必須防備來自各個方面的安全威脅，針對網(wǎng)絡(luò)協(xié)議的基本模式及其系統(tǒng)弱點進行分析。在實際過程中，攻擊者的目標(biāo)大多是網(wǎng)絡(luò)的弱點。針對網(wǎng)絡(luò)及其系統(tǒng)弱點的利用，從而進行敏感數(shù)據(jù)的操作，進行網(wǎng)絡(luò)服務(wù)的濫用。目前來說，影響IMS網(wǎng)絡(luò)正常運行的因素是非常多的，比如沒有經(jīng)過授權(quán)或者操縱進行的服務(wù)。攻擊者會通過竊聽、偽裝、流量分析等進行敏感信息數(shù)據(jù)的獲取或者操縱。這里面也涉及到完整性的威脅，就是攻擊者對系統(tǒng)接口的數(shù)據(jù)進行修改，進行插入、重放或者刪除等操縱，進行用戶合法權(quán)益的侵犯。從而不利于其網(wǎng)絡(luò)服務(wù)的正常開展。于是就出現(xiàn)人為干擾用戶傳輸、控制數(shù)據(jù)等的情況，導(dǎo)致合法用戶無法進行服務(wù)的使用。或者濫用特權(quán)進行未授權(quán)服務(wù)的應(yīng)用。所謂的服務(wù)否認(rèn)，就是用戶及其網(wǎng)絡(luò)不承認(rèn)曾經(jīng)發(fā)生過的操作。

二、IMS網(wǎng)絡(luò)安全機制方案的優(yōu)化

1IMS安全體系的應(yīng)用，更有利于進行安全威脅的預(yù)防。這里面涉及到一整套的IMS網(wǎng)絡(luò)安全策略的應(yīng)用，這需要保證IMS安全體系的健全，保證UE網(wǎng)及其網(wǎng)絡(luò)應(yīng)用環(huán)節(jié)的協(xié)調(diào)，這涉及到的應(yīng)用原則是非常多的，其涉及到了接入及其核心網(wǎng)絡(luò)的安全機制應(yīng)用。針對其接入的環(huán)節(jié)，我們需要做好安全及其身份的認(rèn)證，從而提升其安全機制效益。這就需要進行IMS安全機制的雙向認(rèn)證分析，滿足現(xiàn)階段工作的要求，這涉及到安全聯(lián)盟的相關(guān)英語工作，進行安全保護的提供。目前來說，2G系統(tǒng)存在的安全缺陷是非常多的，比如核心網(wǎng)缺乏標(biāo)準(zhǔn)化的安全解決方案。3G系統(tǒng)著力于進行核心網(wǎng)的IP業(yè)務(wù)的保護。IMS在核心網(wǎng)的應(yīng)用中，進行了網(wǎng)絡(luò)域安全概念的引進。網(wǎng)絡(luò)域安全是由單個機構(gòu)所進行管理的網(wǎng)絡(luò)，在同一安全領(lǐng)域內(nèi)進行相同安全級別的應(yīng)用，并且保證其特定安全服務(wù)的享有，其需要進行服務(wù)的安全性、數(shù)據(jù)完整性的保證，從而進行重放攻擊的防止，滿足密碼安全機制的應(yīng)用需要，實現(xiàn)協(xié)議安全機制的應(yīng)用需要。通過對網(wǎng)絡(luò)域內(nèi)部實體及其網(wǎng)絡(luò)域的協(xié)調(diào)，保證安全性的保護。

2通過對現(xiàn)有IMS安全標(biāo)準(zhǔn)體系的優(yōu)化，可以保證其解決方案的完善，這涉及到網(wǎng)絡(luò)及其客戶的雙向身份認(rèn)證模式，進行機密性的保護，保證完整性保護方案的應(yīng)用，進行逐跳安全模式的應(yīng)用，保證網(wǎng)絡(luò)實體的通信單獨保護，滿足運營商的工作要求。這也涉及到A-IMS技術(shù)的操作，為了解決實際工作的問題，必須針對其缺點進行分析，從而滿足IP網(wǎng)絡(luò)系統(tǒng)的工作要求，從根本上來說，IP網(wǎng)絡(luò)自身存在脆弱性，這就導(dǎo)致IMS網(wǎng)絡(luò)應(yīng)用過程中的麻煩，導(dǎo)致其網(wǎng)絡(luò)架構(gòu)、協(xié)議管理等問題的出現(xiàn)。通過對CSCF實體攻擊模式的應(yīng)用，更有利于滿足現(xiàn)階段的工作需要。IP網(wǎng)絡(luò)會頻繁進行拒絕服務(wù)的發(fā)生，IP網(wǎng)絡(luò)具備先天脆弱性，從而不利于網(wǎng)絡(luò)技術(shù)的優(yōu)化。CSCF能夠進行管理及其呼叫控制的應(yīng)用，其面對不同的用戶，存在不同的隱患。為了解決實際問題，我們也要進行網(wǎng)絡(luò)通信協(xié)議體系的優(yōu)化，針對其內(nèi)部的不安全因素進行分析，針對協(xié)議的漏洞、缺陷等進行分析，進行STP協(xié)議等的健全，保證UDP承載模式的優(yōu)化，進行不同數(shù)據(jù)庫的連接優(yōu)化，這樣就可以大大降低其泛洪的影響，這就需要進行完整性保護，避免出現(xiàn)攻擊者數(shù)據(jù)篡改的情況。在實際操作中，攻擊對象可以進行用戶數(shù)據(jù)的修改，從而不利于網(wǎng)絡(luò)用戶的認(rèn)證。

3為了解決上述的安全問題，我們需要進行網(wǎng)絡(luò)關(guān)鍵實體技術(shù)的優(yōu)化，比如進行CSCF、物理及其安全管理的安全保護，保證IP多媒體子系統(tǒng)的更新，進行STP用戶合法性的檢驗，保證數(shù)據(jù)的私密性，保證其整體完整性，保證進行STP應(yīng)用技術(shù)的優(yōu)化。A-IMS的主要網(wǎng)元涉及的知識是非常多的，比如承載管理模式、應(yīng)用管理模式、策略管理模式、安全管理模式等，通過對安全網(wǎng)元體系的健全，做好A-IMS的集成安全及其統(tǒng)一安全管理是必要的，從而保證其整體安全性的增強，保證IMS網(wǎng)絡(luò)安全性的提升。通過對雙向防火墻的應(yīng)用，利用入侵檢測系統(tǒng)進行網(wǎng)絡(luò)及其終端的保護。從網(wǎng)絡(luò)運營這個方面上來說，IMS網(wǎng)絡(luò)系統(tǒng)安全性的提升，需要做好姿態(tài)及其移動安全等環(huán)節(jié)，實現(xiàn)智能終端的有效操作，進行姿態(tài)模式的優(yōu)化設(shè)置，這也需要進行終端操作系統(tǒng)、防火墻情況等的分析。強制終端要求其具備良好的安全等級，目前來說，我們的IMS網(wǎng)絡(luò)存在諸多的安全隱患，有必要進行通信網(wǎng)絡(luò)系統(tǒng)安全性方案的更新。

三、結(jié)語

第8篇：網(wǎng)絡(luò)安全體系解決方案范文

摘要：隨著電子商務(wù)的迅猛發(fā)展和校園信息化的不斷深入，校園電子商務(wù)應(yīng)運而生并快速發(fā)展。本文從分析校園電子商務(wù)的概念及特點入手，深入分析校園電子商務(wù)的安全問題及安全需求，在結(jié)合電子商務(wù)安全機制的基礎(chǔ)上，為校園電子商務(wù)的安全交易提出可供參考的解決方案。

關(guān)鍵詞：校園；電子商務(wù)；安全；解決方案

引言

隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展，電子商務(wù)這種商務(wù)活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式，越來越多的人們開始接受并喜愛網(wǎng)上購物，可是，電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務(wù)交易的最大問題，因此，安全問題是電子商務(wù)的核心問題，是實現(xiàn)和保證電子商務(wù)順利進行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實現(xiàn)，其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題，因此應(yīng)當(dāng)著重研究。

1校園電子商務(wù)概述。

1.1校園電子商務(wù)的概念。

校園電子商務(wù)是電子商務(wù)在校園這個特定環(huán)境下的具體應(yīng)用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個人進行商務(wù)、工作、學(xué)習(xí)、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務(wù)的特點。

相對于一般電子商務(wù)，校園電子商務(wù)具有客戶群穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務(wù)性大于盈利性等特點，這些特點也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)校園商務(wù)活動相比，校園電子商務(wù)的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務(wù)的安全問題。

2.1校園電子商務(wù)安全的內(nèi)容。

校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動在校園網(wǎng)應(yīng)用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。

2.2校園電子商務(wù)安全威脅。

校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而，網(wǎng)絡(luò)安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡(luò)安全是基礎(chǔ)，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò)，它也面臨許許多多的安全威脅，比如：身份竊取、非授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴(yán)重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認(rèn)交易行為，交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。

2.3校園電子商務(wù)安全的基本安全需求。

通過對校園電子商務(wù)安全威脅的分析，可以看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務(wù)安全解決方案。

3.1校園電子商務(wù)安全體系結(jié)構(gòu)。

校園電子商務(wù)安全是一個復(fù)雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求，通過對校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務(wù)的安全技術(shù)，總結(jié)校園電子商務(wù)安全體系結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化，它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境；基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器；安全機制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機制；應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺，包括網(wǎng)上交易、支付和配送服務(wù)等。

針對上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學(xué)生的道德教育，培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共同營造良好的校園電子商務(wù)人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學(xué)校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務(wù)，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學(xué)校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而不需要委托第三方物流公司，在校園內(nèi)建立一個物流配送團隊就可以準(zhǔn)確及時的完成配送服務(wù)。

3.2校園網(wǎng)絡(luò)安全對策。

保障校園網(wǎng)絡(luò)安全的主要措施有：

（1）防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問，防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。

（2）病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

（3）VPN技術(shù)。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務(wù)中交易信息安全問題，可以用電子商務(wù)的安全機制來解決，例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認(rèn)性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù)，它是網(wǎng)上交易支付的前提，負(fù)責(zé)對交易各方的身份進行確認(rèn)。在校園電子商務(wù)中，網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認(rèn)證。

（3）安全協(xié)議技術(shù)。目前，電子商務(wù)發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析，校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間，能夠更好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務(wù)。

目前，我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善，使用校園一卡通進行校園電子商務(wù)的網(wǎng)上支付可以增強校園電子商務(wù)的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內(nèi)部網(wǎng)絡(luò)，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設(shè)施，來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。

（2）校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng)，能夠?qū)⑴c交易的各方進行身份認(rèn)證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán)，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內(nèi)人員身份單一，多為學(xué)生，交易中一旦發(fā)生糾紛，身份容易確認(rèn)，糾紛就容易解決。

4結(jié)束語。

開展校園電子商務(wù)是推進校園信息化建設(shè)的重要內(nèi)容，隨著我國校園信息化建設(shè)的不斷深入，目前已有許多高校開展了校園電子商務(wù)，它極大的方便了校園內(nèi)師生員工的工作、學(xué)習(xí)、生活?？墒桥c此同時，安全問題成為制約校園電子商務(wù)發(fā)展的障礙。因此，如何建立一個安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境，讓師生能夠方便可靠的進行校園在線交易和網(wǎng)上支付，是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題。

參考文獻：

[1]李洪心。電子商務(wù)安全[M].大連：東北財經(jīng)大學(xué)出版社，2008.

[2]楊堅爭，趙雯，楊立釩。電子商務(wù)安全與電子支付[M].北京：機械工業(yè)出版社，2008.

[3]劉克強。電子交易與支付[M].北京：人民郵電出版社，2007.

第9篇：網(wǎng)絡(luò)安全體系解決方案范文

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認(rèn)這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。

3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進行中央管理。

3.5系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

參考文獻

［1］信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡(luò)與信息安全管理［M］.北京：人民郵電出版社，2004.

［2］陳綱.保障電信網(wǎng)絡(luò)安全的五項措施［N］.通信產(chǎn)業(yè)報，2003-9-28.