網(wǎng)絡(luò)安全體系解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全體系解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全體系解決方案范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全；操作系統(tǒng)；一機(jī)兩用；入侵檢測(cè)

【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01―0129-02

1、消防信息網(wǎng)絡(luò)安全的基本內(nèi)容

1.1 網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是利用各種網(wǎng)絡(luò)管理、控制和技術(shù)措施，使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)資源受到保護(hù)，不會(huì)因?yàn)橐恍┎焕蛩囟惯@些資源遭到破壞、更改、泄露。

1.2 網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。包括：網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全、網(wǎng)絡(luò)上系統(tǒng)信息的安全、網(wǎng)絡(luò)上信息傳播的安全和網(wǎng)絡(luò)上信息內(nèi)容的安全。

2、消防信息網(wǎng)絡(luò)中存在的安全問題

2.1 使用網(wǎng)絡(luò)類型的不同

消防部隊(duì)由于工作的特殊性，既有基于Internet的公眾網(wǎng)絡(luò)辦公系統(tǒng)，又有基于公安網(wǎng)的內(nèi)部網(wǎng)絡(luò)辦公系統(tǒng)。在日常辦公時(shí)這兩種網(wǎng)絡(luò)都會(huì)被用到，如果電腦使用者不能區(qū)分開這兩種網(wǎng)絡(luò)，不注意而將兩種網(wǎng)絡(luò)混淆使用，就會(huì)導(dǎo)致“一機(jī)兩用”的發(fā)生，甚至?xí)褂?jì)算機(jī)受到病毒、黑客的攻擊，發(fā)生重要數(shù)據(jù)的丟失或機(jī)密信息遭到竊取?！耙粰C(jī)兩用”是指計(jì)算機(jī)或者網(wǎng)絡(luò)設(shè)備在未采取安全措施情況下既連接公安信息網(wǎng)絡(luò)又連接互聯(lián)網(wǎng)（含同時(shí)連接與不同時(shí)連接）。容易發(fā)生“一機(jī)兩用”的途徑和方式：

1）計(jì)算機(jī)同時(shí)聯(lián)入互聯(lián)網(wǎng)和公安信息內(nèi)網(wǎng)；

2）公安信息內(nèi)網(wǎng)專用移動(dòng)存儲(chǔ)設(shè)備在公安信息內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間交叉使用。

3）外單位計(jì)算機(jī)維修人員對(duì)公安專網(wǎng)計(jì)算機(jī)進(jìn)行維修。

4）將無線上網(wǎng)系統(tǒng)連接到公安網(wǎng)計(jì)算機(jī)。

5）使用筆記本電腦在公安信息內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間交叉連接。

2.2 網(wǎng)絡(luò)系統(tǒng)的脆弱性

2.2.1 網(wǎng)絡(luò)自身的脆弱性

網(wǎng)絡(luò)安全問題是Internet中的一個(gè)重要問題。計(jì)算機(jī)網(wǎng)絡(luò)是使用TCP/IP協(xié)議的，而其所提供的FTP、E-Mail、RPC和NFS服務(wù)都包含許多不安全的因素，存在一些漏洞。

同時(shí)，網(wǎng)絡(luò)的普及使信息共享達(dá)到了一個(gè)新的層次，信息被泄露的機(jī)會(huì)大大增多。Internet網(wǎng)絡(luò)是一個(gè)不設(shè)防的開放大系統(tǒng)，誰(shuí)都可以通過未受保護(hù)的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部，隨時(shí)可能發(fā)生搭線竊聽、遠(yuǎn)程監(jiān)控、攻擊破壞。

2.2.2 操作系統(tǒng)存在的安全問題

操作系統(tǒng)是作為一個(gè)支撐軟件，使得程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。主要表現(xiàn)在：

1）操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU管理、外設(shè)的管理，每個(gè)管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內(nèi)存管理的問題，外部網(wǎng)絡(luò)的一個(gè)連接過來，剛好連接一個(gè)有缺陷的模塊，可能出現(xiàn)的情況是，計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰。

2）操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會(huì)帶來不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能，比如FTP，這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫的程序，如果某個(gè)地方出現(xiàn)漏洞，那么系統(tǒng)可能就會(huì)造成崩潰。

3）操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程，支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活，支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利，這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若將間諜軟件以打補(bǔ)丁的方式“打”在一個(gè)合法用戶上，特別是“打”在一個(gè)特權(quán)用戶上，黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在。

4）操作系統(tǒng)會(huì)提供一些遠(yuǎn)程調(diào)用功能，所謂遠(yuǎn)程調(diào)用就是一臺(tái)計(jì)算機(jī)可以調(diào)用遠(yuǎn)程一個(gè)大型服務(wù)器里面的一些程序，可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí)行。遠(yuǎn)程調(diào)用要經(jīng)過很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全的問題。

5）操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過安全控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設(shè)計(jì)中的不足。一旦后門被黑客利用，或在軟件前沒有刪除后門程序，容易被黑客當(dāng)成漏洞進(jìn)行攻擊，造成信息泄密和丟失。

2.2.3 防火墻的局限性

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。

盡管利用防火墻可以保護(hù)安全網(wǎng)免受外部黑客的攻擊，但它只能提高網(wǎng)絡(luò)的安全性，不能保證網(wǎng)絡(luò)的絕對(duì)安全，它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。

2.3 基于消防信息網(wǎng)絡(luò)進(jìn)行的入侵

由于消防工作的社會(huì)性，消防信息化建設(shè)的一個(gè)重要方面就是利用信息化手段強(qiáng)化為社會(huì)服務(wù)的功能，積極利用網(wǎng)絡(luò)載體為社會(huì)提供各類消防信息；在網(wǎng)上受理消防業(yè)務(wù)，公布依法行政的有關(guān)信息，為社會(huì)提供服務(wù)，增強(qiáng)群眾對(duì)消防工作的滿意度。在利用網(wǎng)絡(luò)提高工作效率和簡(jiǎn)化日常工作流程的同時(shí)，也面臨許多信息安全方面的問題，主要表現(xiàn)在：

2.3.1 內(nèi)部資料被竊取

現(xiàn)在消防機(jī)關(guān)上傳下達(dá)的各種文件資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去，電腦內(nèi)一般都留有電子版的備份，若此電腦是接入內(nèi)部公安網(wǎng)或互聯(lián)網(wǎng)的，那么就有可能受到來自內(nèi)部或外部人員的威脅，其主要方式有：

1）利用系統(tǒng)漏洞入侵，瀏覽、拷貝甚至刪除重要文件。

2）電腦操作人員安全意識(shí)薄弱，系統(tǒng)安全設(shè)置較低，隨意共享文件等；系統(tǒng)用戶使用空口令，不設(shè)置登錄密碼，或?qū)⑾到y(tǒng)帳號(hào)隨意轉(zhuǎn)借他人，都會(huì)導(dǎo)致重要內(nèi)容被非法訪問，甚至失去系統(tǒng)控制權(quán)。

2.3.2 Web服務(wù)被非法利用

目前全國(guó)各級(jí)公安消防部門在互聯(lián)網(wǎng)上已建立了很多的網(wǎng)站，這些網(wǎng)站主要是用來提供消防法規(guī)、產(chǎn)品質(zhì)量信息、消防技術(shù)標(biāo)準(zhǔn)、消防宣傳資料等重要信息，部分支隊(duì)面向社會(huì)群眾開辟了網(wǎng)上受理業(yè)務(wù)服務(wù)，極大地提高了工作效率，但基于網(wǎng)頁(yè)的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在：CGI欺騙。

CGI（Common Gateway Interface）即通用網(wǎng)關(guān)接口，許多網(wǎng)站頁(yè)面上允許用戶輸入相關(guān)信息，進(jìn)行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點(diǎn)，這些一般都通過執(zhí)行CGI程序來完成。一些系統(tǒng)配置不當(dāng)或本身存在漏洞的CGI程序，能被攻擊者利用并執(zhí)行一些系統(tǒng)命令，如創(chuàng)建具有管理員權(quán)限的用戶，開啟共享、系統(tǒng)服務(wù)，上傳并運(yùn)行木馬等。在奪取系統(tǒng)管理權(quán)限后，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器，記錄用戶敏感數(shù)據(jù)，或隨意更改頁(yè)面內(nèi)容，對(duì)站點(diǎn)信息的真實(shí)性及保密性造成威脅。

2.3.3 網(wǎng)絡(luò)服務(wù)的潛在安全隱患

一切網(wǎng)絡(luò)功能的實(shí)現(xiàn)，都基于相應(yīng)的網(wǎng)絡(luò)服務(wù)才能實(shí)現(xiàn)，如IIS服務(wù)、FTP服務(wù)、E-Mail服務(wù)等。但這些有著強(qiáng)大功能的服務(wù)，在一些有針對(duì)性的攻擊面前，也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

1）分布式拒絕服務(wù)攻擊

攻擊者通過發(fā)送大量無效的請(qǐng)求數(shù)據(jù)包造成服務(wù)器進(jìn)程無法短期釋放，大量積累而耗盡系統(tǒng)資源，使得服務(wù)器無法對(duì)正常請(qǐng)求進(jìn)行響應(yīng)，造成服務(wù)器癱瘓。對(duì)任何連接到Internet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)（如Web服務(wù)器、FTP服務(wù)器或郵件服務(wù)器）的系統(tǒng)都有可能成為被攻擊的目標(biāo)。大多數(shù)情況下，遭受攻擊的服務(wù)很難建立新的連接，系統(tǒng)通常會(huì)因此而耗盡內(nèi)存、死機(jī)或系統(tǒng)崩潰等問題。

2）口令攻擊

基于網(wǎng)絡(luò)的辦公過程中不免會(huì)有利用共享、FTP或網(wǎng)頁(yè)形式來傳送一些秘密文件，這些形式都可以通過設(shè)置密碼的方式來提高文件的安全性，但多數(shù)不會(huì)使用一些諸如123、abc等簡(jiǎn)單的數(shù)字或英文字母組合作為密碼，或是用自己的生日、姓名作為口令，由于人們主觀方面的原因，使得這些密碼形同虛設(shè)，攻擊者一旦識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了可利用的用戶賬號(hào)，便可通過詞典、組合或暴力破解等手段得到用戶密碼，從而達(dá)到訪問敏感信息的目的。

3）路由攻擊

路由攻擊是指通過發(fā)送偽造路由信息，產(chǎn)生錯(cuò)誤的路由干擾正常的路由過程。攻擊者可通過攻擊路由器，更改路由設(shè)置，使得路由器不能正常轉(zhuǎn)發(fā)用戶請(qǐng)求，從而使得用戶無法訪問外網(wǎng)，或向路由器發(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應(yīng)，斷開網(wǎng)絡(luò)連接。

3、解決網(wǎng)絡(luò)安全問題的主要方法

3.1 安全技術(shù)手段

1）網(wǎng)絡(luò)安全隔離技術(shù)。

消防部隊(duì)在處理日常事務(wù)上主要是用公安內(nèi)網(wǎng)，由于內(nèi)部公安網(wǎng)信息較多，為了杜絕泄密事件的發(fā)生，一定要將其與互聯(lián)網(wǎng)進(jìn)行隔離的。網(wǎng)絡(luò)隔離，英文名為Network Isolation，主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如：TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。網(wǎng)絡(luò)安全隔離技術(shù)可以實(shí)現(xiàn)內(nèi)、外網(wǎng)絡(luò)或外部網(wǎng)絡(luò)與信息的物理隔離，因而可以保證網(wǎng)絡(luò)的相對(duì)安全。網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離。

2）入侵檢測(cè)技術(shù)。

入侵檢測(cè)是指“通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力和范圍（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

3）訪問控制技術(shù)。

訪問控制技術(shù)是對(duì)系統(tǒng)內(nèi)部合法用戶的非授權(quán)訪問進(jìn)行實(shí)時(shí)控制，可分為以下兩種類型：①任意訪問控制。指用戶可以任意在系統(tǒng)中規(guī)定訪問對(duì)象，優(yōu)點(diǎn)是成本小且方便用戶，缺點(diǎn)是安全系數(shù)較低。②強(qiáng)制訪問控制?？梢酝ㄟ^無法回避的訪問限制來防止對(duì)系統(tǒng)的非法入侵，其缺點(diǎn)是費(fèi)用較高、靈活性小。對(duì)于安全性要求較高的系統(tǒng)，可以采用兩種類型結(jié)合的方法來維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

3.2 網(wǎng)絡(luò)安全管理方面的措施

1）成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。

應(yīng)該建立由單位領(lǐng)導(dǎo)牽頭、網(wǎng)絡(luò)管理員參與的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，重點(diǎn)加強(qiáng)本單位網(wǎng)絡(luò)安全有關(guān)項(xiàng)目的管理和應(yīng)用，負(fù)責(zé)貫徹國(guó)家和公安部有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實(shí)各項(xiàng)網(wǎng)絡(luò)安全制度；督促和加強(qiáng)對(duì)本單位人員的網(wǎng)絡(luò)安全教育培訓(xùn)，監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全工作。同時(shí)，將計(jì)算機(jī)網(wǎng)絡(luò)安全的投入作為消防信息網(wǎng)絡(luò)建設(shè)的基礎(chǔ)投入來抓，同步建設(shè)。

2）加強(qiáng)網(wǎng)絡(luò)管理人才引進(jìn)和培訓(xùn)。

要保證消防網(wǎng)絡(luò)信息系統(tǒng)在一個(gè)安全環(huán)境里發(fā)展，必須大力加強(qiáng)網(wǎng)絡(luò)管理人才的引進(jìn)，應(yīng)該把招收計(jì)算機(jī)專業(yè)的人才列入消防部隊(duì)招收大學(xué)畢業(yè)生的計(jì)劃之中，提高消防部隊(duì)網(wǎng)絡(luò)管理人員的知識(shí)結(jié)構(gòu)。同時(shí)，結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，應(yīng)當(dāng)出臺(tái)相關(guān)的培訓(xùn)制度，大力加強(qiáng)對(duì)現(xiàn)有網(wǎng)絡(luò)管理人員、使用人員的培訓(xùn)。

3）制定并執(zhí)行網(wǎng)絡(luò)安全管理制度。

在系統(tǒng)安全處理的同時(shí)，應(yīng)建立并完善各項(xiàng)安全管理制度，以此來確保計(jì)算機(jī)網(wǎng)絡(luò)安全，如外聘人員簽訂安全責(zé)任書制度，外來人員網(wǎng)絡(luò)訪問制度，網(wǎng)絡(luò)管理員定期檢查維護(hù)制度等。

4）按規(guī)定做好公安內(nèi)網(wǎng)專用計(jì)算機(jī)的聯(lián)網(wǎng)注冊(cè)工作。

按照規(guī)定，連接公安內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)都需要經(jīng)過領(lǐng)導(dǎo)審批才能實(shí)施聯(lián)網(wǎng)，并逐臺(tái)登記，進(jìn)行實(shí)名注冊(cè)，落實(shí)到民警個(gè)人。這樣一方面能加強(qiáng)使用人的安全意識(shí)；另一方面對(duì)責(zé)任人敲響警鐘，防患于未然。

5）在有多種網(wǎng)絡(luò)的辦公室，分清和梳理好各種網(wǎng)絡(luò)接口和網(wǎng)線。

對(duì)于有兩種或兩種以上網(wǎng)絡(luò)的辦公室，必須對(duì)每個(gè)網(wǎng)絡(luò)接口、每根網(wǎng)線、每臺(tái)計(jì)算機(jī)都貼上醒目的標(biāo)簽，避免因接錯(cuò)網(wǎng)絡(luò)而導(dǎo)致“一機(jī)兩用”的發(fā)生。

6）組建安全保障體系。

根據(jù)各單位的實(shí)際情況組建安全保障體系是必需的，如網(wǎng)管人員安全培訓(xùn)、可靠的數(shù)據(jù)備份、緊急事件響應(yīng)措施、定期系統(tǒng)安全評(píng)估及更新升級(jí)系統(tǒng)，這些都能為系統(tǒng)的安全提供有力的保障，確保系統(tǒng)能一直處于最佳的安全狀態(tài)，即便系統(tǒng)受到攻擊，也能最大程度地挽回?fù)p失。

4、結(jié)語(yǔ)

綜上所述，網(wǎng)絡(luò)安全問題的存在是顯而易見的，而其所造成的威脅是不容忽視的，因此，在今后的消防信息化工作中，必須高度重視計(jì)算機(jī)網(wǎng)絡(luò)的安全，只有不斷加強(qiáng)技術(shù)和管理方面的工作，提高計(jì)算機(jī)安全意識(shí)人手，才能保障消防網(wǎng)絡(luò)能夠在一個(gè)安全的、穩(wěn)定的環(huán)境中運(yùn)行，才能夠使得各項(xiàng)消防工作正常順利的運(yùn)行，信息的通暢可靠。

參考文獻(xiàn)

第2篇：網(wǎng)絡(luò)安全體系解決方案范文

【關(guān)鍵詞】網(wǎng)絡(luò)；安全；方案

【中圖分類號(hào)】G412.65 【文章標(biāo)識(shí)碼】B 【文章編號(hào)】1326-3587（2012）11-0091-02

一、前言

近來，隨著信息化的發(fā)展和普及，危害網(wǎng)絡(luò)安全的事情時(shí)常發(fā)生。例如，越權(quán)訪問、病毒泛濫、網(wǎng)上隨意信息，甚至發(fā)表不良言論。這些問題需要我們引起足夠的重視，規(guī)劃并建設(shè)一個(gè)方便、高效、安全、可控的信息系統(tǒng)成為當(dāng)前系統(tǒng)建設(shè)的重要工作。

信息系統(tǒng)安全建設(shè)項(xiàng)目，應(yīng)該嚴(yán)格按照網(wǎng)絡(luò)和信息安全工程學(xué)的理論來實(shí)施；嚴(yán)格按照信息安全工程的規(guī)律辦事，做到“安全規(guī)劃前瞻、行業(yè)需求明確、技術(shù)手段先進(jìn)、工程實(shí)施規(guī)范、管理措施得力、系統(tǒng)效率明顯”，因此，將按照信息安全工程學(xué)的理論指導(dǎo)實(shí)施用戶信息網(wǎng)絡(luò)系統(tǒng)安全項(xiàng)目的建設(shè)，從政策法規(guī)、組織體系、技術(shù)標(biāo)準(zhǔn)、體系架構(gòu)、管理流程等方面入手，按照科學(xué)規(guī)律與方法論，從理論到實(shí)踐、從文檔到工程實(shí)施等方面，著手進(jìn)行研究、開發(fā)與實(shí)施。

信息系統(tǒng)安全建設(shè)是一項(xiàng)需要進(jìn)行長(zhǎng)期投入、綜合研究、從整體上進(jìn)行運(yùn)籌的工程。該工程學(xué)主要從下列幾個(gè)方面入手來構(gòu)造系統(tǒng)安全：

1、對(duì)整個(gè)信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)分析與評(píng)估，充分了解安全現(xiàn)狀；

2、根據(jù)評(píng)估分析報(bào)告，結(jié)合國(guó)家及行業(yè)標(biāo)準(zhǔn)，進(jìn)行安全需求分析；

3、根據(jù)需求分析結(jié)果，制定統(tǒng)一的安全系統(tǒng)建設(shè)策略及解決方案；

4、根據(jù)解決方案選擇相應(yīng)的產(chǎn)品、技術(shù)及服務(wù)商，實(shí)施安全建設(shè)工程；

5、在安全建設(shè)工程實(shí)施后期，還要進(jìn)行嚴(yán)格的稽核與檢查。

二、安全系統(tǒng)設(shè)計(jì)要點(diǎn)

有些用戶對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)存在一些誤區(qū)：認(rèn)為網(wǎng)絡(luò)運(yùn)行正常，業(yè)務(wù)可以正常使用，就認(rèn)為網(wǎng)絡(luò)是安全的，是可以一直使用的；網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻系統(tǒng)和防病毒軟件，認(rèn)為只要安裝了這些設(shè)備，網(wǎng)絡(luò)就安全了；他們沒有認(rèn)識(shí)到網(wǎng)絡(luò)安全是動(dòng)態(tài)的、變化的，不可能僅靠單一安全產(chǎn)品就能實(shí)現(xiàn)。所以，我們必須從網(wǎng)絡(luò)安全可能存在的危機(jī)入手，分析并提出整體的網(wǎng)絡(luò)安全解決方案。

1、建設(shè)目標(biāo)。

通過遼寧地區(qū)網(wǎng)絡(luò)及應(yīng)用安全項(xiàng)目的建設(shè)目標(biāo)來看，構(gòu)建一個(gè)安全、高效的網(wǎng)絡(luò)及應(yīng)用安全防護(hù)體系，充分保障業(yè)務(wù)系統(tǒng)穩(wěn)定可靠地運(yùn)行勢(shì)在必行。

2、設(shè)計(jì)思想。

一個(gè)專業(yè)的網(wǎng)絡(luò)及應(yīng)用安全解決方案必須有包含對(duì)網(wǎng)絡(luò)及應(yīng)用安全的整體理解。它包括理論模型和眾多項(xiàng)目案例實(shí)施的驗(yàn)證。該方案模型應(yīng)是參照國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)，集多年的研發(fā)成果及無數(shù)項(xiàng)目實(shí)施經(jīng)驗(yàn)提煉出來的，同時(shí)方案需要根據(jù)這個(gè)理論模型及眾多的專業(yè)經(jīng)驗(yàn)幫助客戶完善對(duì)其業(yè)務(wù)系統(tǒng)安全的認(rèn)識(shí)，最終部署安全產(chǎn)品和實(shí)施安全服務(wù)以保證客戶系統(tǒng)的安全。

為什么要實(shí)施安全體系？

內(nèi)因，也就是根本原因，是因?yàn)槠湫畔⒂袃r(jià)值，網(wǎng)絡(luò)健康高效的運(yùn)行需求迫切?？蛻舻男畔①Y產(chǎn)值越來越大，信息越來越電子化、網(wǎng)絡(luò)化，越來越容易泄漏、篡改和丟失，為了保護(hù)信息資產(chǎn)不減值，網(wǎng)絡(luò)行為正常、穩(wěn)定，必須要適當(dāng)?shù)谋Ｗo(hù)，因此要有安全投入。

其次才是我們耳熟能詳?shù)耐庖?，如遭受攻擊。?dāng)前在網(wǎng)絡(luò)信息領(lǐng)域中，入侵的門檻已經(jīng)越來越低（攻擊條件：簡(jiǎn)單化；攻擊方式：工具化；攻擊形式：多樣化；攻擊后果：嚴(yán)重化；攻擊范圍：內(nèi)部化；攻擊動(dòng)機(jī)：目的化；攻擊人群：低齡化和低層次化），因此當(dāng)入侵者采用技術(shù)方式攻擊，客戶必須采用安全技術(shù)防范。隨著我國(guó)安全技術(shù)的逐步深入研究，已經(jīng)把各種抽象的安全技術(shù)通過具體的安全產(chǎn)品和安全服務(wù)體現(xiàn)了出來。

時(shí)間和空間是事物的兩個(gè)根本特性，即一經(jīng)一緯構(gòu)成了一個(gè)立體的整體概念，安全系統(tǒng)的設(shè)計(jì)也可以這么理解。

從時(shí)間角度部署安全系統(tǒng)，如圖一，基于時(shí)間的防御模型。

該模型的核心思想是從時(shí)間方面考慮，以入侵者成功入侵一個(gè)系統(tǒng)的完整步驟為主線，安全方案的設(shè)計(jì)處處與入侵者爭(zhēng)奪時(shí)間，趕在入侵者前面對(duì)所保護(hù)的系統(tǒng)進(jìn)行安全處理。在入侵前，對(duì)入侵的每一個(gè)時(shí)間階段，即下一個(gè)入侵環(huán)節(jié)進(jìn)行預(yù)防處理。也就是說，與入侵者賽跑，始終領(lǐng)先一步。

從空間角度部署安全系統(tǒng)，如圖二，基于空間的防御模型。

一個(gè)具體的網(wǎng)絡(luò)系統(tǒng)可以根據(jù)保護(hù)對(duì)象的重要程度（信息資產(chǎn)值的大?。┘胺雷o(hù)范圍，把整個(gè)保護(hù)對(duì)象從網(wǎng)絡(luò)空間角度劃分成若干層次，不同層次采用具有不同特點(diǎn)的安全技術(shù)，其突出的特點(diǎn)是對(duì)保護(hù)對(duì)象“層層設(shè)防、重點(diǎn)保護(hù)”。

一個(gè)基本的網(wǎng)絡(luò)系統(tǒng)按防護(hù)范圍可以分為邊界防護(hù)、區(qū)域防護(hù)、節(jié)點(diǎn)防護(hù)、核心防護(hù)四個(gè)層次。

邊界防護(hù)是指在一個(gè)系統(tǒng)的邊界設(shè)立一定的安全防護(hù)措施，具體到系統(tǒng)中邊界一般是兩個(gè)不同邏輯或物理的網(wǎng)絡(luò)之間，常見的邊界防護(hù)產(chǎn)品有防火墻等。

區(qū)域防護(hù)相較于邊界是一個(gè)更小的范圍，指在一個(gè)重要區(qū)域設(shè)立的安全防護(hù)措施，常見的區(qū)域防護(hù)產(chǎn)品有網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)等。

節(jié)點(diǎn)防護(hù)范圍更小，一般具體到一臺(tái)服務(wù)器或主機(jī)的防護(hù)措施，它主要是保護(hù)系統(tǒng)的健壯性，消除系統(tǒng)的漏洞，常見的節(jié)點(diǎn)防護(hù)產(chǎn)品主機(jī)監(jiān)控與審計(jì)系統(tǒng)。

核心防護(hù)的作用范圍最小但最重要，它架構(gòu)在其它網(wǎng)絡(luò)安全體系之上，能夠保障最核心的信息系統(tǒng)安全，常見的核心防護(hù)產(chǎn)品有身份認(rèn)證系統(tǒng)、數(shù)據(jù)加密、數(shù)據(jù)備份系統(tǒng)等。

3、設(shè)計(jì)原則。

1） 實(shí)用性。

以實(shí)際業(yè)務(wù)系統(tǒng)需求為基礎(chǔ)，充分考慮未來幾年的發(fā)展需要來確定系統(tǒng)規(guī)模。以平臺(tái)化、系統(tǒng)化來構(gòu)造安全防護(hù)體系，各安全功能模塊以組件方式擴(kuò)展。

2） 標(biāo)準(zhǔn)化。

安全體系設(shè)計(jì)、部署符合國(guó)家 相關(guān)標(biāo)準(zhǔn)，各安全產(chǎn)品之間實(shí)現(xiàn)無縫連接，確實(shí)不能實(shí)現(xiàn)的必需采用其他技術(shù)手段予以解決，并與內(nèi)部的網(wǎng)絡(luò)平臺(tái)兼容，使安全體系的設(shè)備能夠方便的接入到現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中。

第3篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)分析；系統(tǒng)設(shè)計(jì)

在現(xiàn)代的社會(huì)中，Internet信息網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越廣泛，應(yīng)用領(lǐng)域從小型的業(yè)務(wù)系統(tǒng)到大型的關(guān)鍵業(yè)務(wù)系統(tǒng)都有涵蓋。在其應(yīng)用越廣泛的同時(shí)，網(wǎng)絡(luò)安全問題成為了影響網(wǎng)絡(luò)技術(shù)最重要的問題。在Internet強(qiáng)調(diào)其開放性和自由性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問題也提出了更高的要求。

一、研究背景

Internet的開放性和自由性為社會(huì)的進(jìn)步提供了巨大的動(dòng)力，但是也正是由于互聯(lián)網(wǎng)的這一特性，導(dǎo)致了網(wǎng)絡(luò)上的諸多不安全因素。在我國(guó)，網(wǎng)絡(luò)安全目前主要存在以下幾個(gè)問題：計(jì)算機(jī)系統(tǒng)感染病毒的情況相當(dāng)嚴(yán)重；黑客形成的重大威脅；網(wǎng)絡(luò)安全在信息基礎(chǔ)設(shè)施方面所面臨的挑戰(zhàn)。網(wǎng)絡(luò)環(huán)境是多變的、復(fù)雜的，其信息系統(tǒng)也是比較脆弱的，這些都是網(wǎng)絡(luò)安全受到威脅的客觀存在。近年來，隨著信息化社會(huì)的來臨，網(wǎng)絡(luò)安全的建設(shè)就需要加大力度進(jìn)行。

二、網(wǎng)絡(luò)安全分析

建立、實(shí)施網(wǎng)絡(luò)信息系統(tǒng)安全體系的時(shí)候，需要全面的考慮網(wǎng)絡(luò)安全各個(gè)方面的內(nèi)容，只有全面的考慮，才能真正的保證網(wǎng)絡(luò)信息系統(tǒng)的的安全性。對(duì)于一套安全體系是否能夠真正的解決問題，這就需要進(jìn)行網(wǎng)絡(luò)安全分析來確定。因?yàn)榫W(wǎng)絡(luò)安全體系是需要結(jié)合實(shí)際的結(jié)構(gòu)情況來設(shè)計(jì)的，沒有一個(gè)通用的網(wǎng)絡(luò)安全解決方案。

2.1 風(fēng)險(xiǎn)分析

保證網(wǎng)絡(luò)安全的重要的一環(huán)就是正確合理的網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)分析。通常情況下，風(fēng)險(xiǎn)分析需要從安全體系的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)傳輸、病毒威脅和管理等方面的安全性分析來描述網(wǎng)絡(luò)系統(tǒng)的安全。

物理層安全是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)安全的前提。一般情況下，物理層的安全風(fēng)險(xiǎn)主要表現(xiàn)為：電源故障造成的系統(tǒng)引導(dǎo)失敗和數(shù)據(jù)庫(kù)信息丟失；各種自然災(zāi)害導(dǎo)致的整個(gè)系統(tǒng)化的毀壞；電磁輻射可能導(dǎo)致的信息丟失；不同機(jī)密程度的網(wǎng)絡(luò)沒有物理隔離等。要保證物理層的安全，在選擇設(shè)備方面，首先是滿足國(guó)家的標(biāo)準(zhǔn)，其次是要與現(xiàn)實(shí)相結(jié)合，對(duì)重要的設(shè)備采用UPS不間斷穩(wěn)壓電源。

網(wǎng)絡(luò)層的分析分析主要是有網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析。網(wǎng)絡(luò)邊界的風(fēng)險(xiǎn)分析是對(duì)存在外聯(lián)服務(wù)要求的網(wǎng)絡(luò)出口處安裝防火墻的訪問加以控制。網(wǎng)絡(luò)傳輸?shù)娘L(fēng)險(xiǎn)分析主要在于內(nèi)部業(yè)務(wù)數(shù)據(jù)明文方面的威脅，即線路竊聽。

系統(tǒng)層的安全風(fēng)險(xiǎn)分析通常是指網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)分析，即對(duì)所包含的各組成元素的漏洞和病毒威脅進(jìn)行分析。具體的風(fēng)險(xiǎn)分析主要有操作數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)和桌面應(yīng)用系統(tǒng)的安全分析等。

病毒的安全風(fēng)險(xiǎn)方面，傳統(tǒng)的病毒主要是通過各種存儲(chǔ)介質(zhì)進(jìn)行傳播的，而現(xiàn)在的病毒主要是通過網(wǎng)絡(luò)實(shí)現(xiàn)傳播的。當(dāng)局域網(wǎng)內(nèi)的一臺(tái)客戶機(jī)被病毒感染后，就會(huì)迅速的通過網(wǎng)絡(luò)傳播到同一網(wǎng)絡(luò)的成百上千臺(tái)機(jī)器。

數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)主要在于內(nèi)部網(wǎng)絡(luò)傳輸線路存在被竊聽的威脅和局域網(wǎng)內(nèi)的內(nèi)部攻擊行為，包括一些內(nèi)部敏感信息，可能被竊取和篡改造成泄密等，如果沒有專門的軟件進(jìn)行控制和檢測(cè)，就會(huì)造成嚴(yán)重的后果。

網(wǎng)絡(luò)管理的安全風(fēng)險(xiǎn)可能是因?yàn)榫W(wǎng)絡(luò)管理的混亂、責(zé)任的不明確、制度的不健全以及操作等引起的。解決這一問題最為可行的方法就是管理制度和管理解決方案的相互結(jié)合，因?yàn)榫W(wǎng)絡(luò)完全是除了技術(shù)水平之外，還需要靠安全管理來實(shí)現(xiàn)的。

2.2 系統(tǒng)設(shè)計(jì)

在針對(duì)一項(xiàng)網(wǎng)絡(luò)工程進(jìn)行安全系統(tǒng)設(shè)計(jì)時(shí)，需要有一定的步驟，首先必須明確總體的設(shè)計(jì)目標(biāo)。例如，在進(jìn)行校園網(wǎng)絡(luò)安全體系建設(shè)時(shí)，應(yīng)該采用先進(jìn)的建設(shè)思想，按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的患者進(jìn)行，充分考慮整體和長(zhǎng)遠(yuǎn)的利益。網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)主要是進(jìn)行網(wǎng)絡(luò)安全各層次的設(shè)計(jì)。按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于所有的7個(gè)層次。安全體系的設(shè)計(jì)需要遵循風(fēng)險(xiǎn)、需求相互平衡的原則。

三、總述

隨著網(wǎng)絡(luò)的深入普及，網(wǎng)絡(luò)安全的重要性也越來越凸顯，社會(huì)各界對(duì)建立網(wǎng)絡(luò)安全體系提出了更高的要求。一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)安全體系，是應(yīng)該建立在網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上，遵循一定的設(shè)計(jì)原則，采用先進(jìn)的技術(shù)進(jìn)行設(shè)計(jì)的。就目前而言，我國(guó)的網(wǎng)絡(luò)安全有了一定的提高，但是還是缺少很多核心的技術(shù)，這就需要研究人員加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的研究。

參考文獻(xiàn)：

[1]劉建偉.安全審計(jì)追蹤技術(shù)綜述[J].信息安全與通信保密.2007(7).

[2]陳君，柳國(guó)杰.構(gòu)建防火墻的性能評(píng)價(jià)模型[J].信陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版).2005，18(4).

[3]馬時(shí)來.計(jì)算機(jī)網(wǎng)絡(luò)使用技術(shù)教程[M].北京:清華大學(xué)出版社，2007.144-148.

第4篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

第5篇：網(wǎng)絡(luò)安全體系解決方案范文

病毒和黑客攻擊是糖廠局域網(wǎng)面臨的兩大威脅，現(xiàn)實(shí)中糖廠局域網(wǎng)經(jīng)常遭到黑客或病毒的攻擊，黑客入侵網(wǎng)絡(luò)系統(tǒng)對(duì)信息進(jìn)行刪除、修改、竊取，計(jì)算機(jī)病毒也對(duì)網(wǎng)絡(luò)造成干擾和破壞。這些安全問題存在的主要原因，一是糖廠局域網(wǎng)的網(wǎng)絡(luò)防護(hù)體系不嚴(yán)密，用戶的網(wǎng)絡(luò)安全意識(shí)不強(qiáng)。二是網(wǎng)絡(luò)系統(tǒng)本身的脆弱性以及網(wǎng)絡(luò)安全技術(shù)的缺陷。三是網(wǎng)絡(luò)安全管理制度不健全。

局域網(wǎng)使用的TCP/IP協(xié)議在設(shè)計(jì)之初并沒有考慮安全問題,存在許多的安全缺陷，主要表現(xiàn)在IP欺騙、路由選擇欺騙、TCP序列號(hào)欺騙、TCP序列號(hào)轟炸攻擊這幾方面。黑客入侵糖廠局域網(wǎng)的方式可以分為被動(dòng)式和主動(dòng)式兩類，被動(dòng)式進(jìn)攻是入侵者僅僅竊聽信息，并不修改網(wǎng)絡(luò)的信息。主動(dòng)式進(jìn)攻是入侵者與目標(biāo)系統(tǒng)交互，一般會(huì)修改網(wǎng)絡(luò)中的數(shù)據(jù)，具體的攻擊技術(shù)主要有：Sniffer探測(cè)、端口掃描、特洛伊木馬、拒絕服務(wù)攻擊等。

糖廠網(wǎng)絡(luò)安全的威脅還可能來自內(nèi)部，主要表現(xiàn)在兩方面，一是企業(yè)員工人為的失誤，包括密碼不設(shè)口令或者口令過于簡(jiǎn)單、沒有及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí)或打補(bǔ)丁、保留缺省賬號(hào)等。二是企業(yè)員工的蓄意破壞，比如在計(jì)算機(jī)中植入木馬以獲得非法訪問權(quán)。這些都會(huì)給糖廠的正常生產(chǎn)和經(jīng)營(yíng)帶來嚴(yán)重的破壞。

2糖廠局域網(wǎng)絡(luò)的結(jié)構(gòu)模型

糖廠屬于流程型企業(yè)，甘蔗是主要的原材料，生產(chǎn)具有季節(jié)性，制糖企業(yè)的興旺與當(dāng)?shù)胤N植業(yè)有著密切的聯(lián)系，使其管理上與其他類型企業(yè)有明顯不同。制糖企業(yè)制造成本只占到制糖全部成本的30，而原料、運(yùn)輸、銷售等方面的成本占了比較大的比重，糖廠必須從甘蔗原料的種植、運(yùn)輸、生產(chǎn)到成品糖銷售等環(huán)節(jié)全面地進(jìn)行成本管理，在信息管理系統(tǒng)中要集成各種農(nóng)務(wù)軟件。另外，糖廠廣泛應(yīng)用著多種信息化技術(shù)，主要有智能優(yōu)化控制技術(shù)、傳感檢測(cè)技術(shù)、數(shù)控技術(shù)、DCS技術(shù)、PLC技術(shù)、嵌入式控制器等，這些技術(shù)都需要計(jì)算機(jī)網(wǎng)絡(luò)來進(jìn)行集成，糖廠的局域網(wǎng)絡(luò)必須適應(yīng)上述的特點(diǎn)。

糖廠局域網(wǎng)一般有Web、FTP、電子郵件、DNS等服務(wù)器以及十幾至幾百臺(tái)的工作站，比較先進(jìn)的制糖企業(yè)還把嵌入式控制系統(tǒng)集成在網(wǎng)絡(luò)中。下圖是糖廠目前采用比較普遍的一種局域網(wǎng)結(jié)構(gòu)模型。

3解決糖廠網(wǎng)絡(luò)安全問題的對(duì)策

網(wǎng)絡(luò)安全不僅是一個(gè)技術(shù)問題，還是一個(gè)社會(huì)問題和管理問題，這里只是從技術(shù)的層面上探討解決糖廠網(wǎng)絡(luò)安全問題的一些對(duì)策。

3.1實(shí)行嚴(yán)格的網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制是保證網(wǎng)絡(luò)安全的核心策略，它主要是保證網(wǎng)絡(luò)資源不被非法訪問。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等，各種安全策略必須相互配合才能真正起到保護(hù)作用。

對(duì)于糖廠的網(wǎng)絡(luò)系統(tǒng)而言，其訪問控制可分為對(duì)內(nèi)訪問控制和對(duì)外訪問控制。對(duì)外訪問控制指外部用戶必須經(jīng)過防火墻才能訪問內(nèi)部網(wǎng)絡(luò)資源，防火墻一般由過濾路由器、服務(wù)器或堡壘主機(jī)組成，過濾路由器根據(jù)TCP/IP報(bào)頭來過濾信息，然后把信息轉(zhuǎn)發(fā)到堡壘主機(jī)，堡壘主機(jī)再根據(jù)不同的應(yīng)用協(xié)議轉(zhuǎn)發(fā)信息流。這種體系結(jié)構(gòu)下的防火墻提供了多層安全保護(hù)，因此是比較安全的。因?yàn)楹芏喟踩珕栴}都來自內(nèi)部，因此必須對(duì)網(wǎng)絡(luò)內(nèi)部用戶的訪問采取適當(dāng)?shù)目刂拼胧聢D是網(wǎng)絡(luò)內(nèi)部用戶對(duì)網(wǎng)絡(luò)資源的訪問控制模型。

3.2把較新的網(wǎng)絡(luò)安全技術(shù)應(yīng)用在網(wǎng)絡(luò)系統(tǒng)中

在糖廠局域網(wǎng)的建設(shè)與管理中，要逐步融入一些網(wǎng)絡(luò)安全新技術(shù)，使網(wǎng)絡(luò)系統(tǒng)更加安全可靠。目前常用的網(wǎng)絡(luò)安全技術(shù)主要有數(shù)據(jù)加密、身份驗(yàn)證，存取控制、虛擬網(wǎng)絡(luò)、防火墻技術(shù)等，此外還有入侵檢測(cè)技術(shù)、蜜罐技術(shù)、取證技術(shù)、物理隔離技術(shù)等幾種新的網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)系統(tǒng)（IDS）是主動(dòng)保護(hù)系統(tǒng)免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，當(dāng)前已經(jīng)出現(xiàn)了不少實(shí)用的入侵檢測(cè)系統(tǒng)。蜜罐（HoneyPot）是誘騙攻擊者的一種有效方法,它可以查找并發(fā)現(xiàn)新型的攻擊工具，解決了IDS無法對(duì)新型攻擊快速作出反應(yīng)的缺點(diǎn)。蜜網(wǎng)（Honeynet）作為一種研究型蜜罐，是目前獲取攻擊者信息的主要來源之一。同時(shí)，基于IDS和蜜罐的計(jì)算機(jī)取證技術(shù)也得到了發(fā)展，開發(fā)了很多計(jì)算機(jī)取證的工具，如Encase、SafeBack等。物理隔離技術(shù)是近幾年出現(xiàn)的一個(gè)

全新的安全防御手段，正逐步成為網(wǎng)絡(luò)安全體系中不可缺少的環(huán)節(jié)，新一代的物理隔離產(chǎn)品能實(shí)現(xiàn)動(dòng)態(tài)的隔斷，并能對(duì)信息進(jìn)行篩選。

3.3一種實(shí)用的網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全解決方案主要包括兩方面，一是風(fēng)險(xiǎn)評(píng)估，二是安全策略。安全策略是網(wǎng)絡(luò)安全體系的核心，它包括需求分析、安全管理制度、技術(shù)防護(hù)、緊急響應(yīng)等幾個(gè)方面。從技術(shù)的角度看，目前網(wǎng)絡(luò)安全技術(shù)及其產(chǎn)品的種類很多，從底層到應(yīng)用都有相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品可以選用，比如瑞星公司、Nod32公司的系列安全產(chǎn)品都能提供比較好的安全保障。

保證網(wǎng)絡(luò)設(shè)備的正常運(yùn)行，特別是保證關(guān)鍵業(yè)務(wù)系統(tǒng)的安全，是糖廠網(wǎng)絡(luò)系統(tǒng)安全需求的核心，主要包括：訪問控制，確保網(wǎng)絡(luò)系統(tǒng)不被非法訪問；數(shù)據(jù)安全，保證數(shù)據(jù)庫(kù)系統(tǒng)的安全性和可靠性；入侵檢測(cè)，對(duì)于破壞網(wǎng)絡(luò)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤；完善的防病毒措施等。

下面介紹一個(gè)對(duì)于糖廠比較完善和實(shí)用的網(wǎng)絡(luò)安全解決方案，這個(gè)方案能比較徹底地解決糖廠局域網(wǎng)的安全問題，其安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。以下具體介紹這個(gè)方案的基本策略。

3.3.1設(shè)置防火墻在Internet與糖廠局域網(wǎng)之間部署一臺(tái)防火墻，其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)，使內(nèi)、外網(wǎng)相互隔離。局域網(wǎng)通過路由器與Internet連接，外網(wǎng)的用戶只能訪問到對(duì)外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS），這樣既保護(hù)內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計(jì)。防火墻技術(shù)有多種，這里最好選用狀態(tài)檢測(cè)型防火墻，它能在不同層中對(duì)數(shù)據(jù)進(jìn)行檢測(cè)，從而提高了效率，簡(jiǎn)化了規(guī)則。

3.3.2設(shè)置入侵檢測(cè)系統(tǒng)將入侵檢測(cè)引擎接入核心交換機(jī)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)檢測(cè)。入侵檢測(cè)是防火墻之后的第二道安全閘門，在發(fā)現(xiàn)入侵行為后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，擴(kuò)展了系統(tǒng)管理員的安全管理能力。

3.3.3安裝殺毒軟件殺毒軟件不僅要部署在應(yīng)用服務(wù)器上，網(wǎng)絡(luò)內(nèi)部各個(gè)環(huán)節(jié)也要安裝殺毒軟件，并且要及時(shí)更新病毒代碼庫(kù)。在選擇殺毒軟件時(shí)要考慮病毒查殺能力、病毒代碼更新能力、實(shí)時(shí)監(jiān)控能力、占用系統(tǒng)資源情況等因素，國(guó)內(nèi)的產(chǎn)品如瑞星、江民等都是不錯(cuò)的選擇。

3.3.4設(shè)置漏洞掃描器在局域網(wǎng)內(nèi)設(shè)置一個(gè)漏洞掃描器，它能幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患和漏洞，并生成報(bào)告和安全建議。掃描器的放置位置一般分為兩種：網(wǎng)絡(luò)內(nèi)部或網(wǎng)絡(luò)外部，本方案將掃描器軟件放置在網(wǎng)絡(luò)內(nèi)部，這樣可以檢測(cè)網(wǎng)絡(luò)中存在的所有安全隱患。

3.3.5設(shè)置專用的備份服務(wù)器在局域網(wǎng)中設(shè)置一個(gè)專用的備份服務(wù)器，連接大容量的存儲(chǔ)設(shè)備（磁帶庫(kù)、光盤庫(kù)等），利用第三方存儲(chǔ)備份軟件系統(tǒng)，可以實(shí)現(xiàn)自動(dòng)備份、數(shù)據(jù)分級(jí)存儲(chǔ)以及災(zāi)難恢復(fù)，是保障數(shù)據(jù)安全的有效措施。

4小結(jié)

糖廠網(wǎng)絡(luò)系統(tǒng)的安全隱患隱藏在各個(gè)角落，網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，把這些安全組件進(jìn)行適當(dāng)?shù)嘏渲?，就能有效地保障糖廠網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn)

［1］王亞原.企業(yè)網(wǎng)絡(luò)安全問題及對(duì)策.太原師范學(xué)院學(xué)報(bào)（自然科學(xué)版）,2005,4(1).

［2］田茂熙.構(gòu)建企業(yè)網(wǎng)絡(luò)安全體系.貴州化工,2005,30(1).

第6篇：網(wǎng)絡(luò)安全體系解決方案范文

關(guān)鍵詞： 安全隱患； 全網(wǎng)動(dòng)態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時(shí)，我們也被各種層次的安全問題困擾著?，F(xiàn)代校園網(wǎng)絡(luò)安全是一個(gè)整體系統(tǒng)工程，必須要對(duì)現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析，綜合運(yùn)用先進(jìn)的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動(dòng)適應(yīng)現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺(tái)重要的基礎(chǔ)設(shè)施，承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個(gè)層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運(yùn)行。在考慮現(xiàn)代校園網(wǎng)安全時(shí)，首先要考慮到物理安全風(fēng)險(xiǎn)，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個(gè)現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計(jì)平臺(tái)的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用軟件系統(tǒng)采購(gòu)自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對(duì)人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險(xiǎn)分析：非法入侵者一旦獲得對(duì)資源的控制權(quán)，就可以隨意對(duì)數(shù)據(jù)和文件進(jìn)行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動(dòng)態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動(dòng)態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險(xiǎn)分析（Analysis）、安全策略（Policy）、安全防護(hù)（Protection）、安全檢測(cè)（Detection）、實(shí)時(shí)響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強(qiáng)調(diào)各個(gè)方面的動(dòng)態(tài)聯(lián)系與關(guān)聯(lián)程度。現(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險(xiǎn)分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護(hù)，阻止對(duì)現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測(cè)，及時(shí)跟蹤發(fā)現(xiàn)；第四道防線是實(shí)時(shí)響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實(shí)際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合，建立一個(gè)立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實(shí)性和可控性，需運(yùn)用先進(jìn)的對(duì)稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對(duì)進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測(cè)、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測(cè)、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進(jìn)行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實(shí)時(shí)檢測(cè)和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡(jiǎn)稱VPN）指的是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展，由若干個(gè)不同的站點(diǎn)組成的集合，一個(gè)站點(diǎn)可以屬于不同的VPN，站點(diǎn)具有IP連通性，VPN間可以實(shí)現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)包含入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識(shí)別針對(duì)現(xiàn)代校園網(wǎng)資源或計(jì)算機(jī)的惡意企圖和不良行為，并能對(duì)此及時(shí)作出防控。IDS不僅能夠檢測(cè)未授權(quán)對(duì)象（人或程序）針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)能監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全保護(hù)。IPS幫助系統(tǒng)應(yīng)對(duì)現(xiàn)代校園網(wǎng)的有效攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和及時(shí)響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認(rèn)證系統(tǒng)

現(xiàn)代校園網(wǎng)殊部門（如檔案、財(cái)務(wù)、招生等）要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺(tái)，加強(qiáng)用戶的身份認(rèn)證，防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強(qiáng)口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運(yùn)行的必要手段，可保證在災(zāi)難突發(fā)時(shí)，系統(tǒng)及業(yè)務(wù)有效恢復(fù)?，F(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺(tái)能實(shí)時(shí)對(duì)整個(gè)校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對(duì)整個(gè)校園網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測(cè)、修復(fù)和升級(jí)，嚴(yán)格履行國(guó)家標(biāo)準(zhǔn)的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制，能實(shí)行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強(qiáng)對(duì)現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實(shí)建立起一個(gè)方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實(shí)現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對(duì)現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對(duì)現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機(jī)房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國(guó)相關(guān)國(guó)家標(biāo)準(zhǔn)執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對(duì)現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分，并按照這些安全功能需求設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6]，采用核心交換機(jī)的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實(shí)現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺(tái)的主機(jī)選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進(jìn)行安全防護(hù)：補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行監(jiān)控管理，對(duì)審計(jì)記錄結(jié)果進(jìn)行保存，檢索和查詢，按需審計(jì)；同時(shí)還能夠?qū)ξｋU(xiǎn)行為進(jìn)行報(bào)警及阻斷，并提供對(duì)數(shù)據(jù)庫(kù)訪問的統(tǒng)計(jì)和分析，實(shí)現(xiàn)分析結(jié)果的可視化，能夠針對(duì)數(shù)據(jù)庫(kù)性能進(jìn)行改進(jìn)提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計(jì)和記錄機(jī)制，確保服務(wù)請(qǐng)求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計(jì)平臺(tái)。一方面，對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。另一方面，當(dāng)事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實(shí)際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實(shí)現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制及安全風(fēng)險(xiǎn)評(píng)估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實(shí)時(shí)監(jiān)控系統(tǒng)、數(shù)據(jù)審計(jì)平臺(tái)、數(shù)據(jù)存儲(chǔ)備份與恢復(fù)等動(dòng)態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語(yǔ)

信息安全化是現(xiàn)代校園網(wǎng)實(shí)施安全的有效舉措，并建立一套切實(shí)可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用?，F(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時(shí)伴隨著種種不確定的安全因素，時(shí)時(shí)威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時(shí)俱進(jìn)的思想，適時(shí)調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻(xiàn)（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評(píng)估[M].中國(guó)電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國(guó)忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.

第7篇：網(wǎng)絡(luò)安全體系解決方案范文

1IMS就是一種融合通信系統(tǒng)體系，其需要進(jìn)行SIP的應(yīng)用，從而進(jìn)行會(huì)話對(duì)象的提供，這就離不開IMS方案的應(yīng)用，進(jìn)行控制策略及其承載策略的更新。這需要保證IMS終端不同應(yīng)用策略的更新，實(shí)現(xiàn)分組域核心網(wǎng)體系的健全，保證核心業(yè)務(wù)的控制，提升其應(yīng)用效益。IMS技術(shù)的應(yīng)用更有利于進(jìn)行網(wǎng)絡(luò)安全性的提升，并且其具備簡(jiǎn)單性、靈活性、標(biāo)準(zhǔn)開放性，能夠進(jìn)行網(wǎng)絡(luò)的有效接入。IMS技術(shù)的應(yīng)用，能夠?yàn)槎嗝襟w業(yè)務(wù)數(shù)據(jù)的開展，提供良好的應(yīng)用平臺(tái)，從而滿足運(yùn)營(yíng)商的工作需要，而不是僅僅進(jìn)行接入技術(shù)的應(yīng)用，其具備良好的集中式架構(gòu)，是一種具備良好運(yùn)營(yíng)效益的商業(yè)模式。

2在實(shí)際工作中，為了解決通信系統(tǒng)的問題，我們必須防備來自各個(gè)方面的安全威脅，針對(duì)網(wǎng)絡(luò)協(xié)議的基本模式及其系統(tǒng)弱點(diǎn)進(jìn)行分析。在實(shí)際過程中，攻擊者的目標(biāo)大多是網(wǎng)絡(luò)的弱點(diǎn)。針對(duì)網(wǎng)絡(luò)及其系統(tǒng)弱點(diǎn)的利用，從而進(jìn)行敏感數(shù)據(jù)的操作，進(jìn)行網(wǎng)絡(luò)服務(wù)的濫用。目前來說，影響IMS網(wǎng)絡(luò)正常運(yùn)行的因素是非常多的，比如沒有經(jīng)過授權(quán)或者操縱進(jìn)行的服務(wù)。攻擊者會(huì)通過竊聽、偽裝、流量分析等進(jìn)行敏感信息數(shù)據(jù)的獲取或者操縱。這里面也涉及到完整性的威脅，就是攻擊者對(duì)系統(tǒng)接口的數(shù)據(jù)進(jìn)行修改，進(jìn)行插入、重放或者刪除等操縱，進(jìn)行用戶合法權(quán)益的侵犯。從而不利于其網(wǎng)絡(luò)服務(wù)的正常開展。于是就出現(xiàn)人為干擾用戶傳輸、控制數(shù)據(jù)等的情況，導(dǎo)致合法用戶無法進(jìn)行服務(wù)的使用?；蛘邽E用特權(quán)進(jìn)行未授權(quán)服務(wù)的應(yīng)用。所謂的服務(wù)否認(rèn)，就是用戶及其網(wǎng)絡(luò)不承認(rèn)曾經(jīng)發(fā)生過的操作。

二、IMS網(wǎng)絡(luò)安全機(jī)制方案的優(yōu)化

1IMS安全體系的應(yīng)用，更有利于進(jìn)行安全威脅的預(yù)防。這里面涉及到一整套的IMS網(wǎng)絡(luò)安全策略的應(yīng)用，這需要保證IMS安全體系的健全，保證UE網(wǎng)及其網(wǎng)絡(luò)應(yīng)用環(huán)節(jié)的協(xié)調(diào)，這涉及到的應(yīng)用原則是非常多的，其涉及到了接入及其核心網(wǎng)絡(luò)的安全機(jī)制應(yīng)用。針對(duì)其接入的環(huán)節(jié)，我們需要做好安全及其身份的認(rèn)證，從而提升其安全機(jī)制效益。這就需要進(jìn)行IMS安全機(jī)制的雙向認(rèn)證分析，滿足現(xiàn)階段工作的要求，這涉及到安全聯(lián)盟的相關(guān)英語(yǔ)工作，進(jìn)行安全保護(hù)的提供。目前來說，2G系統(tǒng)存在的安全缺陷是非常多的，比如核心網(wǎng)缺乏標(biāo)準(zhǔn)化的安全解決方案。3G系統(tǒng)著力于進(jìn)行核心網(wǎng)的IP業(yè)務(wù)的保護(hù)。IMS在核心網(wǎng)的應(yīng)用中，進(jìn)行了網(wǎng)絡(luò)域安全概念的引進(jìn)。網(wǎng)絡(luò)域安全是由單個(gè)機(jī)構(gòu)所進(jìn)行管理的網(wǎng)絡(luò)，在同一安全領(lǐng)域內(nèi)進(jìn)行相同安全級(jí)別的應(yīng)用，并且保證其特定安全服務(wù)的享有，其需要進(jìn)行服務(wù)的安全性、數(shù)據(jù)完整性的保證，從而進(jìn)行重放攻擊的防止，滿足密碼安全機(jī)制的應(yīng)用需要，實(shí)現(xiàn)協(xié)議安全機(jī)制的應(yīng)用需要。通過對(duì)網(wǎng)絡(luò)域內(nèi)部實(shí)體及其網(wǎng)絡(luò)域的協(xié)調(diào)，保證安全性的保護(hù)。

2通過對(duì)現(xiàn)有IMS安全標(biāo)準(zhǔn)體系的優(yōu)化，可以保證其解決方案的完善，這涉及到網(wǎng)絡(luò)及其客戶的雙向身份認(rèn)證模式，進(jìn)行機(jī)密性的保護(hù)，保證完整性保護(hù)方案的應(yīng)用，進(jìn)行逐跳安全模式的應(yīng)用，保證網(wǎng)絡(luò)實(shí)體的通信單獨(dú)保護(hù)，滿足運(yùn)營(yíng)商的工作要求。這也涉及到A-IMS技術(shù)的操作，為了解決實(shí)際工作的問題，必須針對(duì)其缺點(diǎn)進(jìn)行分析，從而滿足IP網(wǎng)絡(luò)系統(tǒng)的工作要求，從根本上來說，IP網(wǎng)絡(luò)自身存在脆弱性，這就導(dǎo)致IMS網(wǎng)絡(luò)應(yīng)用過程中的麻煩，導(dǎo)致其網(wǎng)絡(luò)架構(gòu)、協(xié)議管理等問題的出現(xiàn)。通過對(duì)CSCF實(shí)體攻擊模式的應(yīng)用，更有利于滿足現(xiàn)階段的工作需要。IP網(wǎng)絡(luò)會(huì)頻繁進(jìn)行拒絕服務(wù)的發(fā)生，IP網(wǎng)絡(luò)具備先天脆弱性，從而不利于網(wǎng)絡(luò)技術(shù)的優(yōu)化。CSCF能夠進(jìn)行管理及其呼叫控制的應(yīng)用，其面對(duì)不同的用戶，存在不同的隱患。為了解決實(shí)際問題，我們也要進(jìn)行網(wǎng)絡(luò)通信協(xié)議體系的優(yōu)化，針對(duì)其內(nèi)部的不安全因素進(jìn)行分析，針對(duì)協(xié)議的漏洞、缺陷等進(jìn)行分析，進(jìn)行STP協(xié)議等的健全，保證UDP承載模式的優(yōu)化，進(jìn)行不同數(shù)據(jù)庫(kù)的連接優(yōu)化，這樣就可以大大降低其泛洪的影響，這就需要進(jìn)行完整性保護(hù)，避免出現(xiàn)攻擊者數(shù)據(jù)篡改的情況。在實(shí)際操作中，攻擊對(duì)象可以進(jìn)行用戶數(shù)據(jù)的修改，從而不利于網(wǎng)絡(luò)用戶的認(rèn)證。

3為了解決上述的安全問題，我們需要進(jìn)行網(wǎng)絡(luò)關(guān)鍵實(shí)體技術(shù)的優(yōu)化，比如進(jìn)行CSCF、物理及其安全管理的安全保護(hù)，保證IP多媒體子系統(tǒng)的更新，進(jìn)行STP用戶合法性的檢驗(yàn)，保證數(shù)據(jù)的私密性，保證其整體完整性，保證進(jìn)行STP應(yīng)用技術(shù)的優(yōu)化。A-IMS的主要網(wǎng)元涉及的知識(shí)是非常多的，比如承載管理模式、應(yīng)用管理模式、策略管理模式、安全管理模式等，通過對(duì)安全網(wǎng)元體系的健全，做好A-IMS的集成安全及其統(tǒng)一安全管理是必要的，從而保證其整體安全性的增強(qiáng)，保證IMS網(wǎng)絡(luò)安全性的提升。通過對(duì)雙向防火墻的應(yīng)用，利用入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)及其終端的保護(hù)。從網(wǎng)絡(luò)運(yùn)營(yíng)這個(gè)方面上來說，IMS網(wǎng)絡(luò)系統(tǒng)安全性的提升，需要做好姿態(tài)及其移動(dòng)安全等環(huán)節(jié)，實(shí)現(xiàn)智能終端的有效操作，進(jìn)行姿態(tài)模式的優(yōu)化設(shè)置，這也需要進(jìn)行終端操作系統(tǒng)、防火墻情況等的分析。強(qiáng)制終端要求其具備良好的安全等級(jí)，目前來說，我們的IMS網(wǎng)絡(luò)存在諸多的安全隱患，有必要進(jìn)行通信網(wǎng)絡(luò)系統(tǒng)安全性方案的更新。

三、結(jié)語(yǔ)

第8篇：網(wǎng)絡(luò)安全體系解決方案范文

摘要：隨著電子商務(wù)的迅猛發(fā)展和校園信息化的不斷深入，校園電子商務(wù)應(yīng)運(yùn)而生并快速發(fā)展。本文從分析校園電子商務(wù)的概念及特點(diǎn)入手，深入分析校園電子商務(wù)的安全問題及安全需求，在結(jié)合電子商務(wù)安全機(jī)制的基礎(chǔ)上，為校園電子商務(wù)的安全交易提出可供參考的解決方案。

關(guān)鍵詞：校園；電子商務(wù)；安全；解決方案

引言

隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展，電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)活動(dòng)方式、工作方式和生活方式，越來越多的人們開始接受并喜愛網(wǎng)上購(gòu)物，可是，電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題，因此，安全問題是電子商務(wù)的核心問題，是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實(shí)現(xiàn)，其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題，因此應(yīng)當(dāng)著重研究。

1校園電子商務(wù)概述。

1.1校園電子商務(wù)的概念。

校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計(jì)算機(jī)硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)。

1.2校園電子商務(wù)的特點(diǎn)。

相對(duì)于一般電子商務(wù)，校園電子商務(wù)具有客戶群穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機(jī)制良好、服務(wù)性大于盈利性等特點(diǎn)，這些特點(diǎn)也是校園開展電子商務(wù)的優(yōu)勢(shì)所在。與傳統(tǒng)校園商務(wù)活動(dòng)相比，校園電子商務(wù)的特點(diǎn)有：交易不受時(shí)間空間限制、快捷方便、交易成本較低。

2校園電子商務(wù)的安全問題。

2.1校園電子商務(wù)安全的內(nèi)容。

校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。

2.2校園電子商務(wù)安全威脅。

校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而，網(wǎng)絡(luò)安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡(luò)安全是基礎(chǔ)，是交易安全的保障。校園網(wǎng)也是一個(gè)開放性的網(wǎng)絡(luò)，它也面臨許許多多的安全威脅，比如：身份竊取、非授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運(yùn)行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞；篡改信息是非法用戶對(duì)交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認(rèn)交易行為，交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。

2.3校園電子商務(wù)安全的基本安全需求。

通過對(duì)校園電子商務(wù)安全威脅的分析，可以看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務(wù)安全解決方案。

3.1校園電子商務(wù)安全體系結(jié)構(gòu)。

校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求，通過對(duì)校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務(wù)的安全技術(shù)，總結(jié)校園電子商務(wù)安全體系結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化，它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境；基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心；邏輯實(shí)體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器；安全機(jī)制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制；應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái)，包括網(wǎng)上交易、支付和配送服務(wù)等。

針對(duì)上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營(yíng)造良好校園人文環(huán)境。加強(qiáng)大學(xué)生的道德教育，培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)、增強(qiáng)高校師生的法律意識(shí)和道德觀念，共同營(yíng)造良好的校園電子商務(wù)人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國(guó)高校大都建立了校園一卡通工程，校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學(xué)校結(jié)算中心專門處理與金融機(jī)構(gòu)的業(yè)務(wù)，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。

（4）組織物流配送團(tuán)隊(duì)。校園師生居住地點(diǎn)相對(duì)集中，一般來說就在學(xué)校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而不需要委托第三方物流公司，在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)。

3.2校園網(wǎng)絡(luò)安全對(duì)策。

保障校園網(wǎng)絡(luò)安全的主要措施有：

（1）防火墻技術(shù)。利用防火墻技術(shù)來實(shí)現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對(duì)校園網(wǎng)的資源進(jìn)行訪問，防止來自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞。

（2）病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計(jì)算機(jī)病毒的威脅，因此，加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

（3）VPN技術(shù)。目前，我國(guó)高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)。

3.3交易信息安全對(duì)策。

針對(duì)校園電子商務(wù)中交易信息安全問題，可以用電子商務(wù)的安全機(jī)制來解決，例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密，可以保證信息的機(jī)密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時(shí)間戳和數(shù)字證書等安全機(jī)制來解決信息的完整性和不可否認(rèn)性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機(jī)密，主要有對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)，它是網(wǎng)上交易支付的前提，負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)中，網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)（例如校園一卡通系統(tǒng)）來進(jìn)行對(duì)交易各方的身份認(rèn)證。

（3）安全協(xié)議技術(shù)。目前，電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析，校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間，能夠更好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對(duì)用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務(wù)。

目前，我國(guó)高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善，使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等。同時(shí)，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò)，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設(shè)施，來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時(shí)，校園一卡通中心有著良好的安全機(jī)制，使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。

（2）校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng)，能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證，各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控，統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶享有不同級(jí)別的授權(quán)，使其網(wǎng)上活動(dòng)受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時(shí)，由于校內(nèi)人員身份單一，多為學(xué)生，交易中一旦發(fā)生糾紛，身份容易確認(rèn)，糾紛就容易解決。

4結(jié)束語(yǔ)。

開展校園電子商務(wù)是推進(jìn)校園信息化建設(shè)的重要內(nèi)容，隨著我國(guó)校園信息化建設(shè)的不斷深入，目前已有許多高校開展了校園電子商務(wù)，它極大的方便了校園內(nèi)師生員工的工作、學(xué)習(xí)、生活。可是與此同時(shí)，安全問題成為制約校園電子商務(wù)發(fā)展的障礙。因此，如何建立一個(gè)安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境，讓師生能夠方便可靠的進(jìn)行校園在線交易和網(wǎng)上支付，是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題。

參考文獻(xiàn)：

[1]李洪心。電子商務(wù)安全[M].大連：東北財(cái)經(jīng)大學(xué)出版社，2008.

[2]楊堅(jiān)爭(zhēng)，趙雯，楊立釩。電子商務(wù)安全與電子支付[M].北京：機(jī)械工業(yè)出版社，2008.

[3]劉克強(qiáng)。電子交易與支付[M].北京：人民郵電出版社，2007.

第9篇：網(wǎng)絡(luò)安全體系解決方案范文

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。

電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái)，也就是SOC平臺(tái)，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過幾個(gè)模塊協(xié)同工作，來完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控，完成對(duì)網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營(yíng)商控制，電信用戶無法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號(hào)碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶的身份需要費(fèi)一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，每一個(gè)用戶都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

目前，我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備，電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4相關(guān)法規(guī)尚不完善，落實(shí)保障措施缺乏力度

當(dāng)前我國(guó)《電信法》還沒有出臺(tái)，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場(chǎng)份額和投資回報(bào)，把經(jīng)濟(jì)效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。

3電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考

強(qiáng)化電信網(wǎng)絡(luò)安全，應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí)，首先需要對(duì)關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點(diǎn)，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮：控制不同的訪問者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對(duì)無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí)，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個(gè)完善的安全體系，包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專用的安全工作站安裝入侵檢測(cè)產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

3.4主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺(tái)上部署中央管理控制臺(tái)，對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

3.5系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描

系統(tǒng)和數(shù)據(jù)庫(kù)的漏洞掃描對(duì)電信行業(yè)這樣的大型網(wǎng)絡(luò)而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購(gòu)買其他的系統(tǒng)/數(shù)據(jù)庫(kù)漏洞掃描工具。

參考文獻(xiàn)

［1］信息產(chǎn)業(yè)部電信管理局.電信網(wǎng)絡(luò)與信息安全管理［M］.北京：人民郵電出版社，2004.

［2］陳綱.保障電信網(wǎng)絡(luò)安全的五項(xiàng)措施［N］.通信產(chǎn)業(yè)報(bào)，2003-9-28.