構(gòu)建網(wǎng)絡(luò)安全體系

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇構(gòu)建網(wǎng)絡(luò)安全體系，希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞:石油企業(yè) 計(jì)算機(jī)網(wǎng)絡(luò) 安全隱患 對(duì)策

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,關(guān)于其網(wǎng)絡(luò)安全問題尤為突出。我國(guó)石油企業(yè)的現(xiàn)代化建設(shè)起步晚,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境相對(duì)脆弱,網(wǎng)絡(luò)安全容易受到多方面的因素影響。加之,在開放的互聯(lián)網(wǎng)平臺(tái)下,計(jì)算機(jī)網(wǎng)絡(luò)的安全問題呈現(xiàn)出多渠道、多層次的特點(diǎn)。因此,凈化網(wǎng)絡(luò)運(yùn)行環(huán)境,尤其是設(shè)置有效的登錄控制,以及網(wǎng)絡(luò)防火墻,是實(shí)現(xiàn)安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。石油企業(yè)在現(xiàn)代化建設(shè)中,基于網(wǎng)絡(luò)安全問題的解決尤為重要。

1、石油企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患

1.1 網(wǎng)絡(luò)攻環(huán)境下的病毒與黑客入侵

石油企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行平臺(tái),基于開放的互聯(lián)網(wǎng)環(huán)境。企業(yè)網(wǎng)絡(luò)中的漏洞,都會(huì)成為網(wǎng)絡(luò)攻擊的對(duì)象。黑客入侵就是基于網(wǎng)絡(luò)漏洞,對(duì)企業(yè)的網(wǎng)絡(luò)環(huán)境造成威脅。同時(shí)企業(yè)的網(wǎng)絡(luò)服務(wù)端以員工為主,所以網(wǎng)絡(luò)環(huán)境相對(duì)復(fù)雜,關(guān)于網(wǎng)頁(yè)的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網(wǎng)絡(luò)安全意識(shí)比較淡薄,對(duì)于網(wǎng)絡(luò)環(huán)境的潛在安全隱患缺乏重視,造成企業(yè)網(wǎng)絡(luò)安全環(huán)境比較復(fù)雜,易受外界入侵源的攻擊。

1.2 人為因素下的網(wǎng)絡(luò)安全問題

人為因素下的網(wǎng)絡(luò)安全問題,主要表現(xiàn)在網(wǎng)絡(luò)管理端和用戶端。員工作為主要的用戶端,諸多不當(dāng)?shù)木W(wǎng)絡(luò)操作,都會(huì)帶來(lái)安全隱患。同時(shí),網(wǎng)絡(luò)管理員在安全管理中,關(guān)于數(shù)據(jù)接入端和服務(wù)器的管理力度缺乏,造成網(wǎng)絡(luò)數(shù)據(jù)管理上的不足。企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)平臺(tái)都設(shè)有權(quán)限,管理員在權(quán)限的設(shè)計(jì)上存在漏洞,在病毒的入侵下,造成局部網(wǎng)絡(luò)出現(xiàn)信息癱瘓的問題。

1.3 網(wǎng)絡(luò)連接的不規(guī)范,尤其是各系統(tǒng)間的網(wǎng)絡(luò)連接

石油企業(yè)在構(gòu)建信息化的管理平臺(tái)中,各管理系統(tǒng)的網(wǎng)絡(luò)一體化,是平臺(tái)構(gòu)建的核心內(nèi)容。企業(yè)在系統(tǒng)的連接中,缺乏網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí),信息系統(tǒng)與管理系統(tǒng)的連接,造成病毒對(duì)于管理網(wǎng)絡(luò)的入侵,最終造成整個(gè)網(wǎng)絡(luò)平臺(tái)的癱瘓。同時(shí),網(wǎng)絡(luò)連接不規(guī)范,在構(gòu)建安全的以太網(wǎng)環(huán)境中,存在諸多安全的操作,諸如一臺(tái)computer構(gòu)建兩個(gè)以太網(wǎng),在病毒的入侵防范上比較欠缺。

1.4 企業(yè)缺乏完善的網(wǎng)絡(luò)安全管理

石油企業(yè)的信息平臺(tái)構(gòu)建,注重平臺(tái)的形式,而對(duì)平臺(tái)缺乏完善的后期維護(hù),網(wǎng)絡(luò)安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對(duì)于網(wǎng)絡(luò)漏洞和軟件不能及時(shí)修補(bǔ)和升級(jí)。同時(shí),對(duì)于用戶端的下載和網(wǎng)頁(yè)瀏覽,管理力度缺乏,用戶端可以基于各網(wǎng)絡(luò)站點(diǎn),隨意的東西下載,造成內(nèi)部網(wǎng)絡(luò)的安全隱患。而且,對(duì)于登陸的密碼和賬號(hào),員工隨意的共享或轉(zhuǎn)借,造成網(wǎng)絡(luò)運(yùn)行中的各類隱患。

2、計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的應(yīng)對(duì)措施

在石油企業(yè)的現(xiàn)代化進(jìn)程中,計(jì)算機(jī)網(wǎng)絡(luò)安全問題顯得尤為突出。企業(yè)網(wǎng)絡(luò)安全問題主要來(lái)源于管理、網(wǎng)絡(luò)操作,以及網(wǎng)絡(luò)安全體系等方面。因此,在對(duì)于安全隱患的防范中,強(qiáng)化網(wǎng)絡(luò)安全管理,以構(gòu)建完善的防范體系,營(yíng)造安全的網(wǎng)絡(luò)環(huán)境,加速企業(yè)信息平臺(tái)的構(gòu)建于完善。

2.1 強(qiáng)化網(wǎng)絡(luò)安全管理

石油企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患,很大程度上源于安全管理不到位,尤其是網(wǎng)絡(luò)權(quán)限的控制,是強(qiáng)化安全管理的重要內(nèi)容。構(gòu)建完善的權(quán)限控制系統(tǒng),對(duì)用戶端進(jìn)行有效的約束,進(jìn)而凈化網(wǎng)絡(luò)運(yùn)行環(huán)境。

2.1.1 構(gòu)建完善的權(quán)限控制系統(tǒng)

企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò),在登錄端采用權(quán)限控制的方式,對(duì)網(wǎng)絡(luò)的使用進(jìn)行保護(hù)。因而,企業(yè)網(wǎng)絡(luò)在安全管理的進(jìn)程中,強(qiáng)化控制系統(tǒng)的構(gòu)建。系統(tǒng)主要針對(duì)密碼驗(yàn)證、身份識(shí)別等內(nèi)容,形成完善的控制系統(tǒng)。在網(wǎng)絡(luò)的使用前,用戶端需要進(jìn)行身份的認(rèn)證后,才能進(jìn)行相關(guān)網(wǎng)絡(luò)的使用。而且,對(duì)于身份認(rèn)證失敗的用戶,可以將其列為黑名單,進(jìn)行集中的安全管理,以針對(duì)性的防范該類用戶的登陸。于此,在權(quán)限控制系統(tǒng)的構(gòu)建中,要明確好登陸系統(tǒng)和控制系統(tǒng),兩系統(tǒng)同時(shí)進(jìn)行網(wǎng)絡(luò)的保護(hù),以凈化用戶端的網(wǎng)絡(luò)環(huán)境。

2.1.2 構(gòu)建網(wǎng)絡(luò)安全體系

企業(yè)網(wǎng)絡(luò)安全環(huán)境的營(yíng)造,在于安全體系的構(gòu)建。基于網(wǎng)絡(luò)防火墻的構(gòu)建,強(qiáng)化外來(lái)網(wǎng)絡(luò)威脅的阻止,以營(yíng)造安全的網(wǎng)絡(luò)環(huán)境。同時(shí),基于復(fù)雜的用戶端,企業(yè)網(wǎng)絡(luò)環(huán)境相對(duì)薄落。于是,在安全體系的構(gòu)建中,以多級(jí)防護(hù)體系為主,形成多層保護(hù)機(jī)制,強(qiáng)化網(wǎng)絡(luò)安全管理的力度。對(duì)于網(wǎng)絡(luò)的數(shù)據(jù),做到封閉式的管理,關(guān)鍵的數(shù)據(jù)要進(jìn)行加密處理,以防止信息的泄漏。

2.2 強(qiáng)化網(wǎng)絡(luò)設(shè)備的管理

企業(yè)的網(wǎng)絡(luò)設(shè)備是安全隱患預(yù)防的重要部分,尤其是對(duì)網(wǎng)絡(luò)主機(jī)或服務(wù)器,是強(qiáng)化網(wǎng)絡(luò)安全管理的重點(diǎn)。對(duì)于網(wǎng)絡(luò)的相關(guān)設(shè)備,進(jìn)行妥善的管理,網(wǎng)絡(luò)的電纜線在鋪設(shè)和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸?shù)膯栴}。同時(shí),對(duì)于相關(guān)的網(wǎng)絡(luò)軟件,進(jìn)行及時(shí)的升級(jí)或修補(bǔ),以防止網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞,這樣可以避免各類潛在的安全隱患。

2.3 建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制

在開放的互聯(lián)網(wǎng)環(huán)境下,企業(yè)網(wǎng)路存在諸多的安全隱患。構(gòu)建網(wǎng)絡(luò)安全應(yīng)急機(jī)制,對(duì)于企業(yè)的信息管理系統(tǒng)具有重要的意義。基于完善的安全應(yīng)急機(jī)制,可以及時(shí)地對(duì)各類安全威脅進(jìn)行處理,避免外來(lái)入侵源對(duì)于網(wǎng)絡(luò)平臺(tái)的深入攻擊。同時(shí),對(duì)于重要的數(shù)據(jù)信息,要進(jìn)行加密或備份,以應(yīng)對(duì)數(shù)據(jù)意外丟失的情況。在實(shí)際的網(wǎng)絡(luò)安全管理中,關(guān)于網(wǎng)絡(luò)運(yùn)行環(huán)境的實(shí)時(shí)監(jiān)控,是及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞或外來(lái)入侵源的重要工作。

2.4 強(qiáng)化用戶端的安全意識(shí)

隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境越來(lái)越復(fù)雜。企業(yè)用戶端在網(wǎng)絡(luò)的使用中,要強(qiáng)化其網(wǎng)絡(luò)安全意識(shí),規(guī)范相關(guān)的上網(wǎng)操作,諸如網(wǎng)頁(yè)的瀏覽或數(shù)據(jù)的下載等活動(dòng),要在安全的環(huán)境下進(jìn)行。同時(shí),做好網(wǎng)絡(luò)安全的宣傳工作,強(qiáng)調(diào)網(wǎng)絡(luò)犯罪的嚴(yán)重性,進(jìn)而約束員工的網(wǎng)絡(luò)活動(dòng)。

3、結(jié)語(yǔ)

石油企業(yè)在現(xiàn)代化建設(shè)中,網(wǎng)絡(luò)信息平臺(tái)的構(gòu)建十分關(guān)鍵。而基于開放的互聯(lián)網(wǎng)環(huán)境,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)存在諸多的安全隱患,嚴(yán)重制約著企業(yè)信息平臺(tái)的構(gòu)建。因而,強(qiáng)化企業(yè)網(wǎng)絡(luò)安全管理,尤其是安全網(wǎng)絡(luò)體系的構(gòu)建,對(duì)于凈化網(wǎng)絡(luò)環(huán)境,防范網(wǎng)絡(luò)威脅,具有重要的作用。

參考文獻(xiàn)

[1]劉冬梅.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患和對(duì)策[J].新疆石油科技,2009(03).

第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；硬件防火墻；核心應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）09-0037-02

1 引言

二十一世紀(jì)的今天，伴隨著日益發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)，是逐步加大的網(wǎng)絡(luò)安全威脅。人們亦越發(fā)重視自身所在環(huán)境的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的建設(shè)和發(fā)展。各種網(wǎng)絡(luò)安全技術(shù)的提出和網(wǎng)絡(luò)安全產(chǎn)品的出現(xiàn)也不斷豐富著網(wǎng)絡(luò)安全體系。那么作為網(wǎng)絡(luò)安全產(chǎn)品中的重要組成部分，硬件防火墻能在網(wǎng)絡(luò)安全體系中會(huì)體現(xiàn)出怎樣的核心應(yīng)用呢？

2 網(wǎng)絡(luò)安全體系簡(jiǎn)單構(gòu)建例

一個(gè)完整的網(wǎng)絡(luò)安全體系需要涉及符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定的諸如物理設(shè)備、信息傳遞、操作系統(tǒng)等一系列的內(nèi)容。本節(jié)主要透過(guò)一家小型制衣企業(yè)的網(wǎng)絡(luò)安全體系簡(jiǎn)單構(gòu)建過(guò)程來(lái)直觀地體現(xiàn)硬件防火墻在網(wǎng)絡(luò)安全體系的核心應(yīng)用。

2.1實(shí)施對(duì)象概況和安全需求

? 匯聚層交換機(jī)，核心層交換機(jī)和路由器等均統(tǒng)一放置于生產(chǎn)辦公綜合大樓二樓網(wǎng)絡(luò)中心處。

? 該制衣企業(yè)擁有電腦數(shù)量約為100臺(tái)，還有3臺(tái)網(wǎng)絡(luò)打印機(jī)，一臺(tái)web兼E-mail服務(wù)器，一臺(tái)FTP服務(wù)器，一臺(tái)文件服務(wù)器。會(huì)議室中還需要部署可以容納20人左右的無(wú)線網(wǎng)絡(luò)。

? 該企業(yè)在廣域網(wǎng)連接方面，除了要實(shí)現(xiàn)因特網(wǎng)接入外，還要提供遠(yuǎn)程辦公和跟合作伙伴、供應(yīng)商的VPN連接。

? 內(nèi)部客戶端不能直接訪問外網(wǎng)，需要通過(guò)企業(yè)主干網(wǎng)接入INTERNET（全球互聯(lián)信息網(wǎng)）。供應(yīng)部、營(yíng)銷部、技術(shù)部可以連接Internet。實(shí)現(xiàn)供應(yīng)部與各供應(yīng)商保持聯(lián)絡(luò)，能和接收相關(guān)原材料需求和供應(yīng)信息，但不能訪問特定娛樂新聞購(gòu)物類網(wǎng)站；營(yíng)銷部可以跟各渠道商通過(guò)郵件時(shí)刻保持聯(lián)系，在關(guān)注現(xiàn)有客戶同時(shí)發(fā)現(xiàn)潛在客戶，推廣企業(yè)的產(chǎn)品，打開市場(chǎng)銷路；技術(shù)部可以通過(guò)網(wǎng)絡(luò)查找和了解跟本企業(yè)產(chǎn)品相關(guān)的其他產(chǎn)品或相關(guān)技術(shù)，為其他部門尋找和準(zhǔn)備相對(duì)應(yīng)的網(wǎng)絡(luò)資源。

? 除以上部門外其他部門除有特殊情況外都不能連接Internet。并且不允許員工在正常工作時(shí)間玩基于網(wǎng)絡(luò)的游戲和進(jìn)行P2P和BT方式的下載行為。

2.2 利用硬件防火墻完善網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

基于上述的判斷，軟件防火墻和嵌入式防火墻明顯在某些要求上無(wú)法完全勝任，這時(shí)候硬件防火墻在該網(wǎng)絡(luò)安全體系核心應(yīng)用中的優(yōu)勢(shì)就能明顯體現(xiàn)出來(lái)了。

在該網(wǎng)絡(luò)安全體系結(jié)構(gòu)中硬件防火墻主要由神州數(shù)碼DCFW-1800S-H-V2企業(yè)級(jí)硬件防火墻來(lái)進(jìn)行承擔(dān)。在功能上該型號(hào)防火墻采用64位高性能多核處理器技術(shù)，擁有包括TCP會(huì)話保持與報(bào)文重組、VPN、QoS流量管理的芯片級(jí)加速方案，并且提供獨(dú)立的硬件DFA引擎，帶有IPS入侵檢測(cè)模組。輔以高達(dá)48Gbps的高速交換總線，以及新一代64位實(shí)時(shí)并行操作系統(tǒng)DCFOS，確保整個(gè)系統(tǒng)不僅在處理網(wǎng)絡(luò)通訊，而且在處理應(yīng)用安全防護(hù)時(shí)擁有充足的系統(tǒng)資源保障。全面優(yōu)化的軟硬件系統(tǒng)擁有高穩(wěn)定性和高可靠性，其新一代網(wǎng)絡(luò)安全架構(gòu)能提供給用戶最大化的可擴(kuò)展能力，方便日后的升級(jí)。

在考慮到網(wǎng)絡(luò)服務(wù)器群組的使用和防護(hù)要求，同時(shí)防止內(nèi)部網(wǎng)絡(luò)被入侵導(dǎo)致商業(yè)敏感信息泄露的情況發(fā)生。作為一個(gè)典型的解決方法之一就是利用硬件防火墻構(gòu)建起在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中合并堡壘主機(jī)和內(nèi)部路由器的擴(kuò)展形式，如圖1所示。

在該形式中，專門劃分出一個(gè)周邊網(wǎng)絡(luò)“非軍事區(qū)域（DMZ）”，來(lái)將對(duì)外提供服務(wù)的各種服務(wù)器放置其中（配置示例如圖 2所示），使Internet側(cè)用戶訪問服務(wù)器時(shí)不需要進(jìn)入內(nèi)部網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)用戶對(duì)服務(wù)器維護(hù)工作導(dǎo)致的信息傳遞也不會(huì)泄露到外部網(wǎng)絡(luò)。外部路由器主要作用在于保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，防火墻上則設(shè)置針對(duì)外網(wǎng)用戶的訪問過(guò)濾規(guī)則。例如限制外部用戶只有訪問DMZ區(qū)的和部分內(nèi)部主機(jī)的權(quán)限。為了最大限度節(jié)約資金投入的同時(shí)提高硬件防火墻的利用率，而將原本用于隔離內(nèi)網(wǎng)絡(luò)和DMZ區(qū)、對(duì)內(nèi)部用戶訪問DMZ區(qū)和外部網(wǎng)絡(luò)權(quán)限進(jìn)行控制的內(nèi)部路由器省略，由硬件防火墻模擬及替代該部分功能。然后利用防火墻中的IPS模組對(duì)數(shù)據(jù)流進(jìn)行再次檢查和報(bào)警，防止有非法數(shù)據(jù)流通過(guò)硬件防火墻而沒有被發(fā)現(xiàn)。為了避免外部路由器失效帶來(lái)致命影響，還可以將硬件防火墻設(shè)定為定時(shí)復(fù)制對(duì)方過(guò)濾規(guī)則，實(shí)現(xiàn)一個(gè)聯(lián)動(dòng)和備用功能。簡(jiǎn)單來(lái)說(shuō)外網(wǎng)、DMZ、內(nèi)網(wǎng)三者主要實(shí)現(xiàn)下面三個(gè)效果：

? 外網(wǎng)可以訪問DMZ，但不能直接訪問內(nèi)部網(wǎng)絡(luò)。

? DMZ可訪問外網(wǎng)，不能訪問內(nèi)網(wǎng)。

? 內(nèi)網(wǎng)可以訪問外網(wǎng)和DMZ。

作為堡壘主機(jī)的硬件防火墻除了可以向外部用戶提供WWW、FTP、E-mail等應(yīng)用服務(wù)外，還可以在接受外部用戶的服務(wù)器資源請(qǐng)求同時(shí)向內(nèi)部用戶提供DNS、E-mail、FTP等服務(wù)，并提供內(nèi)部網(wǎng)絡(luò)用戶訪問外部資源的接口。

2.3搭建網(wǎng)絡(luò)安全平臺(tái)

經(jīng)過(guò)防火墻體系結(jié)構(gòu)選型和構(gòu)建，以及對(duì)如何完善安全服務(wù)機(jī)制的初步探討后，整個(gè)網(wǎng)絡(luò)安全體系已經(jīng)初見雛形。而作為網(wǎng)絡(luò)安全體系中重要一環(huán)的網(wǎng)絡(luò)安全平臺(tái)，則可以將硬件防火墻設(shè)備與相關(guān)網(wǎng)絡(luò)技術(shù)結(jié)合起來(lái)，利用其搭建一個(gè)以硬件防火墻為核心的可操作性強(qiáng)的網(wǎng)絡(luò)安全平臺(tái)。

2.3.1外部訪問認(rèn)證

由于存在合作伙伴、協(xié)力企業(yè)、在外出差員工等對(duì)企業(yè)網(wǎng)絡(luò)資源訪問需求的群體，企業(yè)必須為他們提供一種安全的遠(yuǎn)程連接訪問方式。而硬件防火墻上技術(shù)成熟、使用廣泛的，成本低廉的VPN虛擬專用網(wǎng)絡(luò)技術(shù)則正好能滿足企業(yè)的需求。

通常來(lái)說(shuō)傳統(tǒng)的通過(guò)特定VPN連接軟件連接的第一代VPN實(shí)現(xiàn)方式上有基于數(shù)據(jù)鏈路層PPTP、L2TP的VPN實(shí)現(xiàn)方式與基于網(wǎng)絡(luò)層的IPSec的VPN實(shí)現(xiàn)方式（如圖3所示）。雖然創(chuàng)建基于PPTP和L2TP的VPN的方法較創(chuàng)建IPSec VPN方法要簡(jiǎn)單許多，但是隨著時(shí)代的進(jìn)步和網(wǎng)絡(luò)安全威脅的日益增加，基于數(shù)據(jù)鏈路層的VPN連接已無(wú)法完全勝任時(shí)代的安全需求了。所以現(xiàn)在進(jìn)行VPN配置時(shí)一般選擇使用IPSec技術(shù)作為數(shù)據(jù)傳輸時(shí)安全保障。

從原理上說(shuō)，IPSec通過(guò)使用基于HASH函數(shù)的消息摘要來(lái)確保數(shù)據(jù)傳輸?shù)耐暾裕褂脛?dòng)態(tài)密鑰來(lái)對(duì)數(shù)據(jù)進(jìn)行傳輸加密。也剛正好符合完善網(wǎng)絡(luò)安全機(jī)制的要求。

圖3 傳統(tǒng)VPN實(shí)現(xiàn)方式

在防火墻中創(chuàng)建基于IPSec的VPN時(shí)，一般要先創(chuàng)建好IKE（即Internet密鑰交換協(xié)議）的第一階段和第二階段提議，然后繼續(xù)創(chuàng)建VPN對(duì)端，并在接下來(lái)創(chuàng)建IPSEC隧道并制定基于隧道的安全策略，最后再創(chuàng)建源NAT策略。在實(shí)現(xiàn)過(guò)程中有以下幾個(gè)要點(diǎn)：

? IPSec隧道建立的條件必須要一端觸發(fā)才可。

? 基于隧道的策略要放在該方向策略的最上方。另外從本地到對(duì)端網(wǎng)段的源NAT策略應(yīng)該放在源NAT策略中的最上方。

? 在IPSEC VPN隧道中關(guān)于ID的概念，這個(gè)ID是指本地加密子網(wǎng)和對(duì)端加密子網(wǎng)。

除上述模式外，硬件防火墻還能支持第二代VPN實(shí)現(xiàn)方式SCVPN，即基于傳輸層的SSL VPN。其優(yōu)勢(shì)在于相對(duì)IPSec VPN相比，配置和構(gòu)建相對(duì)簡(jiǎn)單方便，穿透力強(qiáng)能以透明模式功能，而且SSL VPN客戶端早已融入到各主流瀏覽器中。用戶只需要通過(guò)瀏覽器登錄并通過(guò)驗(yàn)證即可使用VPN功能，為用戶省去繁瑣的客戶端攜帶和安裝，大大增強(qiáng)便捷性。但是缺點(diǎn)也很明顯，由于SSL 協(xié)議的限制，在硬件防火墻上使用SSL VPN性能發(fā)揮上遠(yuǎn)遠(yuǎn)不如IPSec VPN。

2.3.2內(nèi)部訪問驗(yàn)證

為了對(duì)內(nèi)網(wǎng)用戶進(jìn)行具體的網(wǎng)絡(luò)行為跟蹤監(jiān)督工作，分配內(nèi)網(wǎng)用戶訪問權(quán)限。進(jìn)行內(nèi)部訪問認(rèn)證從而確認(rèn)網(wǎng)絡(luò)行為實(shí)施者就變得很有必要了。一般來(lái)說(shuō)，進(jìn)行網(wǎng)絡(luò)內(nèi)部訪問認(rèn)證需要配置Radius認(rèn)證服務(wù)器、Active-Directory認(rèn)證服務(wù)器和LDAP認(rèn)證服務(wù)器中的一種，用來(lái)存儲(chǔ)用戶信息和提供用戶驗(yàn)證功能，雖說(shuō)每一種驗(yàn)證服務(wù)器的功能都非常強(qiáng)大，但是部署起來(lái)不但需為之投入額外資金和資源，而且配置相對(duì)繁瑣和維護(hù)也相對(duì)不易，對(duì)于小型企業(yè)來(lái)說(shuō)實(shí)施起來(lái)有一定困難。幸好得益于硬件防火墻強(qiáng)大的性能，我們也可以直接在硬件防火墻上配置本地認(rèn)證，然后通過(guò)web瀏覽器為客戶端進(jìn)行認(rèn)證登陸（如圖4所示）。當(dāng)然有條件的企業(yè)亦可以通過(guò)將硬件防火墻上的WEB訪問驗(yàn)證方式跟Radius、Active-Directory、LDAP驗(yàn)證服務(wù)器無(wú)縫結(jié)合起來(lái)，減輕硬件防火墻的資源負(fù)擔(dān)，增強(qiáng)整個(gè)內(nèi)部訪問驗(yàn)證的可靠性和高效性。

圖4 內(nèi)部WEB認(rèn)證登陸頁(yè)面 （下轉(zhuǎn)第54頁(yè)）

（上接第38頁(yè)）

2.3.3網(wǎng)絡(luò)層到應(yīng)用層全面控制

硬件防火墻通過(guò)在網(wǎng)絡(luò)層和傳輸層通過(guò)特定的規(guī)則、數(shù)據(jù)封包的屬性來(lái)對(duì)數(shù)據(jù)進(jìn)行檢測(cè)和過(guò)濾，從而抵御非法數(shù)據(jù)的入侵和黑客的攻擊，同時(shí)提供多種地址轉(zhuǎn)換方式，這些都是硬件防火墻最傳統(tǒng)也最常用的應(yīng)用。

開啟硬件防火墻在應(yīng)用層上的附加功能以擴(kuò)展硬件防火墻的安全保護(hù)范圍，提升整個(gè)網(wǎng)絡(luò)的安全指數(shù)。例如通過(guò)URL過(guò)濾可以屏蔽一些跟工作無(wú)關(guān)的新聞、娛樂、購(gòu)物類網(wǎng)站以及惡意網(wǎng)址；通過(guò)網(wǎng)頁(yè)內(nèi)容過(guò)濾來(lái)屏蔽一些敏感的關(guān)鍵字；通過(guò)開啟防病毒檢測(cè)，從網(wǎng)絡(luò)外部阻擋病毒木馬的入侵；通過(guò)上網(wǎng)行為監(jiān)督，來(lái)提高網(wǎng)絡(luò)的使用效率；通過(guò)IM工具過(guò)濾來(lái)提升員工的工作效率。

3 結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)在人們生活的各個(gè)領(lǐng)域中廣泛應(yīng)用，以網(wǎng)絡(luò)為目標(biāo)的不法行為也日漸增多。為所屬網(wǎng)絡(luò)構(gòu)建一個(gè)完整高效可操作性強(qiáng)的網(wǎng)絡(luò)安全體系亦越來(lái)越重要。而這次通過(guò)構(gòu)建基于實(shí)際案例和具體網(wǎng)絡(luò)安全指標(biāo)的網(wǎng)絡(luò)安全體系例子則非常充分地體現(xiàn)了硬件防火墻在網(wǎng)絡(luò)安全體系中的區(qū)域隔離、攻擊防護(hù)、協(xié)議過(guò)濾、流量控制、用戶認(rèn)證、上網(wǎng)行為追蹤記錄與管理、VPN遠(yuǎn)程訪問等核心應(yīng)用。相信在很長(zhǎng)的一段時(shí)間內(nèi)如何有效地和實(shí)地利用硬件防火墻在應(yīng)用上的優(yōu)勢(shì)將會(huì)是影響整個(gè)網(wǎng)絡(luò)安全體系構(gòu)建成敗的關(guān)鍵因素。

參考文獻(xiàn)：

[1] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第6版）[M].北京：電子工業(yè)出版社，2013.

[2] 王達(dá).金牌網(wǎng)管師：網(wǎng)絡(luò)工程方案規(guī)劃和設(shè)計(jì)[M].北京：中國(guó)水利水電出版社，2010.

第3篇

本論文最終建立了適應(yīng)獨(dú)立學(xué)院網(wǎng)絡(luò)安全管理的體系模型及應(yīng)用模式,為校園網(wǎng)絡(luò)中所存在的嚴(yán)重安全問題提出一種思路及解決辦法。

關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 管理體系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三個(gè)系統(tǒng)在應(yīng)用中,基本搭建起學(xué)校的整個(gè)電子資源,其中校務(wù)管理系統(tǒng)最為重要,此系統(tǒng)一但癱瘓意味著學(xué)校將基本停止正常運(yùn)行。然而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,黑客的攻擊手段日益先進(jìn)。單一的技術(shù)手段無(wú)法保證系統(tǒng)的安全運(yùn)行,只有在安全策略的指導(dǎo)下,建立互動(dòng)的安全防范體系,才能最終保證網(wǎng)絡(luò)的安全,保證系統(tǒng)穩(wěn)定運(yùn)行。

構(gòu)建網(wǎng)絡(luò)安全管理體系模型

一般而言,各學(xué)校目前普遍采用PDRR模型來(lái)構(gòu)建安全防御體系。PDRR模型屬于動(dòng)態(tài)信息安全理論的模型,PDRR是4個(gè)英文單詞的頭字符:Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))、Recovery(恢復(fù))。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期,如圖:

該模型更多的強(qiáng)調(diào)通過(guò)防火墻、IDS以及VPN等技術(shù)來(lái)解決校園網(wǎng)絡(luò)中存在的安全問題,重點(diǎn)在于安全應(yīng)用技術(shù),同時(shí)沒有形成體系和防御層次,并忽視了兩個(gè)重要的安全因素,安全管理與大流量數(shù)據(jù)擁堵造成的網(wǎng)絡(luò)安全問題。

為能夠更加有效的保證網(wǎng)絡(luò)及各類應(yīng)用的安全運(yùn)行,安全管理體系的設(shè)計(jì)應(yīng)突出網(wǎng)絡(luò)安全的整個(gè)流程,從用戶的發(fā)起端到校園網(wǎng)絡(luò)的INTERNET出口,在數(shù)據(jù)流傳輸?shù)母鱾€(gè)環(huán)節(jié)進(jìn)行了分布式的安全防范,同時(shí)輔以入侵檢測(cè)、漏洞掃描、流量管理的多種技術(shù)手段,加以監(jiān)控并降低設(shè)備不必要的運(yùn)行壓力,保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。在各個(gè)環(huán)節(jié)中,以策略為中心的安全模型可以更充分的發(fā)揮模型的各項(xiàng)功能。以安全策略為中心的輪形安全模型,可以從安全、監(jiān)測(cè)、測(cè)試、調(diào)優(yōu)、流控五個(gè)部分對(duì)我們的安全架構(gòu)進(jìn)行不斷的完善,使其成為一個(gè)自防御體系,能夠快速、有效、可靠、全面的發(fā)現(xiàn)各種系統(tǒng)遭受的攻擊,并實(shí)現(xiàn)有效的防范,以確保系統(tǒng)的穩(wěn)定運(yùn)行。

在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了高效校園網(wǎng)絡(luò)安全管理體系。

針對(duì)于上述的安全架構(gòu),在具體的應(yīng)用中,安全體系架構(gòu)包含二個(gè)模塊:分別為校園互聯(lián)網(wǎng)接入模塊、校園園區(qū)網(wǎng)模塊,二個(gè)安全構(gòu)件組成信息系統(tǒng)的安全架構(gòu)。這種結(jié)構(gòu)劃的設(shè)計(jì),有利于在不同的網(wǎng)絡(luò)功能模塊之間更好的劃分安全防范的重點(diǎn),并具有良好的擴(kuò)展型,允許在今后的網(wǎng)絡(luò)安全規(guī)劃中,以一種層次的關(guān)系來(lái)分發(fā)安全策略。

安全模塊的設(shè)計(jì)特點(diǎn)

校園INTERNET接入模塊

校園INTERNET接入模塊主要是預(yù)防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設(shè)計(jì)思想是以最少的策略,實(shí)現(xiàn)最嚴(yán)格的限制與最少的漏洞,同時(shí)保證最快的轉(zhuǎn)發(fā)速度。

校園園區(qū)網(wǎng)模塊

校園園區(qū)網(wǎng)是內(nèi)部網(wǎng)的核心,保護(hù)著包括內(nèi)網(wǎng)用戶、重要服務(wù)器的安全。園區(qū)網(wǎng)由一臺(tái)防火墻、兩臺(tái)互為冗余的主干交換機(jī)、內(nèi)部應(yīng)用服務(wù)器與樓層交換機(jī)、IDS模塊組成。在防火墻上根據(jù)用戶、服務(wù)進(jìn)行詳細(xì)的分類,并針對(duì)每一個(gè)服務(wù)訪問做到具體的策略應(yīng)用,園區(qū)網(wǎng)上防火墻的安全配置要求對(duì)每個(gè)訪問做到具體、全面、嚴(yán)格的限制,為每個(gè)用戶都劃分了訪問的具體范圍,它作為安全防護(hù)的中心。

安全架構(gòu)的檢測(cè)

完成基本架構(gòu)的搭建,為了保證各項(xiàng)安全措施能夠滿足防御要求,采用了多種方式進(jìn)行系統(tǒng)的模擬安全檢測(cè)。

(1) 使用兩種漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行測(cè)試,SYMANTEC NETSTAT、及SSS軟件進(jìn)行比較安全測(cè)試;

(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區(qū)域?qū)ΠňW(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)進(jìn)行了模擬攻擊;

在一個(gè)完整的校園安全管理體系中,各個(gè)部分之間的分工清晰,相互協(xié)作,在具體應(yīng)用中可以很好的應(yīng)用在實(shí)際的管理模塊上。這種方式將簡(jiǎn)單、高效的布置校園網(wǎng)絡(luò)的安全,為校園網(wǎng)絡(luò)的運(yùn)行及信息化建設(shè)奠定良好的安全基礎(chǔ)。

北京理工大學(xué)珠海學(xué)院校園網(wǎng)安全管理體系部署

北京理工大學(xué)珠海學(xué)院(以下簡(jiǎn)稱珠海學(xué)院)自2004年建校以來(lái),珠海學(xué)院已擁有在校生15000人,校園網(wǎng)絡(luò)經(jīng)歷了6年的建設(shè),信息點(diǎn)已達(dá)20000個(gè),建成了內(nèi)網(wǎng)骨干帶寬為20G,珠海學(xué)院外網(wǎng)帶寬600M,校內(nèi)包括教務(wù)系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺(tái)、一卡通系統(tǒng)等各類應(yīng)用已達(dá)40個(gè),網(wǎng)絡(luò)用戶已達(dá)12500人左右。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

安全策略

珠海學(xué)院各應(yīng)用服務(wù)器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數(shù)據(jù)庫(kù)服務(wù)器采用LINUX操作系統(tǒng),使用的應(yīng)用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網(wǎng)絡(luò)情況、應(yīng)用環(huán)境十分復(fù)雜。針對(duì)上述問題,在建網(wǎng)初期,即制定了相應(yīng)的安全管理近期與長(zhǎng)期目標(biāo)。安全體系的近期目標(biāo)是實(shí)現(xiàn)完善的安全審計(jì)和取證機(jī)制,保證受到入侵后有證可查。鑒于大多數(shù)安全事件來(lái)自于管理員的誤操作,審計(jì)在明確事故責(zé)任上也能發(fā)揮重大作用。長(zhǎng)期目標(biāo)是建立安全預(yù)警系統(tǒng),能夠抵御較高水平的黑客攻擊。

分布式安全防范措施

分布式防范措施是從用戶端到INTERNET出口之間進(jìn)行層層設(shè)防,部署不同的安全技術(shù)和措施,從技術(shù)方面杜絕出現(xiàn)安全問題的舉措。在珠海學(xué)院的網(wǎng)絡(luò)上,我們采取了下列措施:

(1)限定網(wǎng)絡(luò)用戶的不同vlan。(2)實(shí)行802.1x的認(rèn)證協(xié)議。(3)網(wǎng)絡(luò)用戶安全管理。(4)網(wǎng)絡(luò)用戶隔離。(5)網(wǎng)間設(shè)備數(shù)據(jù)傳輸安全。(6)交換機(jī)ip與用戶ip分別管理。

(7)防止木馬的管理方式。(8)設(shè)置應(yīng)用的不同安全等級(jí)。(9)服務(wù)器的安全管理。

(10)VPN訪問。(11)系統(tǒng)恢復(fù)。

漏洞掃描

珠海學(xué)院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場(chǎng)中享有速度最快,功效最好的盛名,其功能遠(yuǎn)遠(yuǎn)超過(guò)了其它眾多的掃描分析工具。SSS 可以對(duì)很大范圍內(nèi)的系統(tǒng)漏洞進(jìn)行安全、高效、可靠的安全檢測(cè),對(duì)系統(tǒng)全部掃面之后,SSS可以對(duì)收集的信息進(jìn)行分析,發(fā)現(xiàn)系統(tǒng)設(shè)置中容易被攻擊的地方和可能的錯(cuò)誤,得出對(duì)發(fā)現(xiàn)問題的可能的解決方法。

在珠海學(xué)院的網(wǎng)絡(luò)管理中,定期對(duì)各個(gè)主要的交換機(jī)、服務(wù)器進(jìn)行安全掃描,以為下一步的安全管理提供依據(jù)。

入侵檢測(cè)

珠海學(xué)院的入侵檢測(cè)系統(tǒng)布置,分為兩個(gè)層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;

另外,啟用HIDS功能及在服務(wù)器上安裝個(gè)人防火墻設(shè)置,珠海學(xué)院采用的是MICROSOFT ISA2004。

為了檢測(cè)有害的入侵者,ISA Server將網(wǎng)絡(luò)通信以及日志項(xiàng)與熟知的攻擊方法進(jìn)行比較。如發(fā)現(xiàn)可疑的行為會(huì)觸發(fā)一組預(yù)先設(shè)定的措施或者警報(bào)。這些措施包括終止鏈接、終止服務(wù)、電子郵件警報(bào)、記入日志、以及運(yùn)行一個(gè)選定的程序。

流量管理

由于P2P技術(shù)的廣泛應(yīng)用,目前大多數(shù)網(wǎng)絡(luò)用戶都采用P2P技術(shù)的網(wǎng)絡(luò)工具進(jìn)行諸如下載、視頻、聽歌等服務(wù),如迅雷、QQ直播、酷狗等,這些軟件的優(yōu)點(diǎn)是充分利用互聯(lián)網(wǎng)絡(luò),為用戶提供豐富的資源。應(yīng)該說(shuō)P2P技術(shù)的快速發(fā)展帶動(dòng)了互聯(lián)網(wǎng)絡(luò)的快速發(fā)展,讓用戶能夠更加便捷的使用互聯(lián)網(wǎng)上的資源。

但P2P技術(shù)對(duì)于網(wǎng)絡(luò)管理與運(yùn)營(yíng)來(lái)說(shuō)是一種嚴(yán)重的挑戰(zhàn),一方面P2P技術(shù)過(guò)于貪婪,最大化的利用網(wǎng)絡(luò)帶寬進(jìn)行下載。在珠海學(xué)院建網(wǎng)初期,申請(qǐng)的100M互聯(lián)網(wǎng)帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對(duì)校園網(wǎng)絡(luò)運(yùn)營(yíng)影響極大(帶寬租用價(jià)格較貴)。而且下載的很多資源內(nèi)包含有大量的木馬、病毒程序,對(duì)網(wǎng)絡(luò)的安全運(yùn)行造成了極大的影響。在珠海學(xué)院校園網(wǎng)絡(luò)運(yùn)行初期,很多問題是圍繞著帶寬、速度產(chǎn)生的。P2P應(yīng)用軟件的廣發(fā)使用對(duì)校園網(wǎng)絡(luò)設(shè)備帶來(lái)了極大的壓力,根本無(wú)從保證校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和安全管理。

經(jīng)過(guò)不斷的摸索,珠海學(xué)院在控制P2P應(yīng)用中重點(diǎn)采用了三種措施:

(1)限制用戶的帶寬:對(duì)于單個(gè)用戶ip,通過(guò)防火墻對(duì)用戶進(jìn)行帶寬管理,為每個(gè)用戶保證一條相對(duì)固定的通道,而不去影響其它用戶的上網(wǎng);

(2)限制用戶的連接數(shù):每個(gè)服務(wù)都是通過(guò)TCP或者UDP進(jìn)行的數(shù)據(jù)通信,通過(guò)防火墻對(duì)單個(gè)用戶ip進(jìn)行連接數(shù)的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網(wǎng)絡(luò)線路的通暢;

(3)限制或封閉P2P協(xié)議的總帶寬:P2P協(xié)議之所以難以管理,主要是由于這種技術(shù)在使用過(guò)程中的服務(wù)端口可以隨機(jī)的變化,管理者根本無(wú)法確定服務(wù)的端口號(hào),也就無(wú)法通過(guò)傳統(tǒng)的設(shè)備進(jìn)行限制和禁止。但任何協(xié)議都有自己的特征碼,我們通過(guò)技術(shù)手段對(duì)P2P協(xié)議的特征進(jìn)行匹配從而控制這種協(xié)議的軟件。但考慮到這種軟件應(yīng)用的廣泛性,僅對(duì)這種軟件限制總體流量而并不完全封閉。

安全管理

安全管理貫穿于安全防范體系的始終。實(shí)踐一再告訴人們僅有安全技術(shù)防范,而無(wú)嚴(yán)格的安全管理體系相配套,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的。必須制定一系列安全管理制度,對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理必須遵循可操作、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約及安全管理的制度化等原則。

2004年珠海學(xué)院校園網(wǎng)絡(luò)建立后,我們形成了初步的安全管理制度,但在運(yùn)行過(guò)程中,發(fā)現(xiàn)存在有很多的問題。校園網(wǎng)絡(luò)建立初期,設(shè)立網(wǎng)管負(fù)責(zé)全校的校園網(wǎng)絡(luò)管理、設(shè)立了系統(tǒng)管理員負(fù)責(zé)全校的應(yīng)用服務(wù)器管理,但實(shí)際上雖然人員角色明確,但人員任務(wù)并不明確。比如,網(wǎng)管人員管理所有的網(wǎng)絡(luò)設(shè)備,但具體的學(xué)生用戶上網(wǎng)情況并不是十分了解,對(duì)存在的問題不是非常清晰。而作為系統(tǒng)管理員并不十分清楚服務(wù)器所安裝的具體應(yīng)用軟件要求,往往是由應(yīng)用管理人員對(duì)系統(tǒng)進(jìn)行維護(hù),但又經(jīng)常忽視系統(tǒng)的安全性。

針對(duì)上述問題,我們制定了以業(yè)務(wù)為主導(dǎo)的管理模式,將校園網(wǎng)絡(luò)分為兩片,宿舍區(qū)網(wǎng)絡(luò)、教學(xué)區(qū)網(wǎng)絡(luò),分別由專人進(jìn)行管理,但網(wǎng)絡(luò)路由統(tǒng)一由教學(xué)區(qū)管理,以保證網(wǎng)絡(luò)的穩(wěn)定、暢通性。而應(yīng)用系統(tǒng)部分分為公共基礎(chǔ)服務(wù)、校務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)分別由三個(gè)專職人員負(fù)責(zé)維護(hù)、管理,并有一人總負(fù)責(zé),檢查、督促工作的完成情況。

這種管理方式讓具體管理人員對(duì)于自身管理系統(tǒng)的問題十分清楚,從而保證了整個(gè)網(wǎng)絡(luò)安全體系的動(dòng)態(tài)性和有效性。

運(yùn)行效果

經(jīng)過(guò)對(duì)校園網(wǎng)絡(luò)的一系列調(diào)整、改造,珠海學(xué)院的校園網(wǎng)絡(luò)運(yùn)行得到了極大的改善,我們從以下幾個(gè)方面來(lái)評(píng)定:

網(wǎng)絡(luò)基本流量對(duì)比

珠海學(xué)院學(xué)生用INTERNET線路共計(jì)有3條,2條200M電信帶寬,1條100M網(wǎng)通帶寬。三條線路分別連接在3臺(tái)防火墻上,分別為3.1,3.10,4.1。下列圖為對(duì)前2臺(tái)防火墻的INTERNET接口進(jìn)行的數(shù)據(jù)取樣。

如圖所示,每到高峰期時(shí),200M帶寬基本上已經(jīng)全部占滿,

用戶網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)運(yùn)行時(shí)間為8:00-24:00,其余時(shí)間斷網(wǎng),下表即位珠海學(xué)院上網(wǎng)用戶的信息統(tǒng)計(jì)。如表所示,一天之中在中午與晚上分別為兩個(gè)最高峰的運(yùn)行值,用戶在線率高,網(wǎng)絡(luò)帶寬消耗也相應(yīng)提升。

網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)(教學(xué)樓部分)與學(xué)生網(wǎng)絡(luò)(生活區(qū)部分),為了保障系統(tǒng)的安全,這兩個(gè)部分之間的網(wǎng)絡(luò)作了相應(yīng)的策略控制,只能通過(guò)服務(wù)器進(jìn)行數(shù)據(jù)交換。每天,網(wǎng)管對(duì)兩部分網(wǎng)絡(luò)進(jìn)行監(jiān)控各自的運(yùn)行狀態(tài),以及時(shí)了解網(wǎng)絡(luò)中可能出現(xiàn)的問題。

下圖分別描述了位于教學(xué)區(qū)與生活區(qū)部分網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。(測(cè)試工具為SolarWinds 2001 Enhanced Ping)

基本服務(wù)運(yùn)行正常

通過(guò)對(duì)所有流經(jīng)網(wǎng)絡(luò)管理器的數(shù)據(jù)包進(jìn)行監(jiān)控,分析得到網(wǎng)絡(luò)中各種協(xié)議的運(yùn)行情況及流量狀態(tài)。該監(jiān)控囊括了網(wǎng)絡(luò)上所有協(xié)議的定義,分作傳統(tǒng)協(xié)議、P2P下載、網(wǎng)絡(luò)電視、即時(shí)通信、流媒體、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)安全這些監(jiān)控模塊,直接體現(xiàn)了網(wǎng)絡(luò)上各種協(xié)議的應(yīng)用情況。

服務(wù)器系統(tǒng)運(yùn)行穩(wěn)定

通過(guò)對(duì)主要服務(wù)器的系統(tǒng)狀態(tài)監(jiān)控,了解CPU、內(nèi)存、SWAP等的運(yùn)行狀態(tài)及各服務(wù)進(jìn)程的運(yùn)行狀態(tài),確定服務(wù)器的是否正常。

3 結(jié)語(yǔ)

校園網(wǎng)絡(luò)作為校園信息系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái),網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行是保證各項(xiàng)業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ)保障,必須建立起一套可行的、有機(jī)的安全管理體系,根據(jù)學(xué)校的實(shí)際特點(diǎn)進(jìn)行有效的部署。從北京理工大學(xué)珠海學(xué)院校園網(wǎng)絡(luò)安全體系的建立中,我們積累了一些基礎(chǔ),并在此基礎(chǔ)上,本文提出了在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了校園網(wǎng)絡(luò)安全管理體系。

參考文獻(xiàn)

康弗瑞.網(wǎng)絡(luò)安全體系結(jié)構(gòu).北京:人民郵電出版社,2005年.15-21.

戴英俠.計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社,2004年.89-131.

曾湘黔.防火墻與網(wǎng)絡(luò)安全-入侵檢測(cè)和VPNs.北京:清華大學(xué)出版社,2004年.

W.RICHARD STEVENS. TCP/IP詳解 卷1:協(xié)議 .機(jī)械工業(yè)出版社,2000年.

W..RICHARD STEVENS.TCP/IP詳解 卷2:實(shí)現(xiàn)TCP/IP .機(jī)械工業(yè)出版社,2000年.

W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務(wù)協(xié)議.機(jī)械工業(yè)出版社,2000年.

張小斌,嚴(yán)望佳.黑客分析與防范技術(shù).北京:清華大學(xué)出版社,2003.82-91.

張仕斌,譚三等.網(wǎng)絡(luò)安全技術(shù).北京:清華大學(xué)出版社,2004.87-121.

段鋼.加密與解密(第三版).電子工業(yè)出版社,2008.

曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測(cè)技術(shù).人民郵電出版社,2007.

第4篇

1計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的發(fā)展概述

因此，為解決計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的問題，國(guó)內(nèi)外諸多相關(guān)的研究機(jī)構(gòu)展開了大量的探索與分析，在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)資源加密、網(wǎng)絡(luò)防火墻及安全管理等方面展開了深入的研究，推動(dòng)了入侵檢測(cè)技術(shù)的誕生。入侵技術(shù)推廣早期，檢測(cè)方法相對(duì)來(lái)說(shuō)比較簡(jiǎn)單，功能并不完善，同時(shí)并不具備較強(qiáng)的適用性。并隨著開發(fā)研究的不斷深入與普及，入侵檢測(cè)方法也處于不斷完善的過(guò)程中，許多新型的攻擊特征已被總結(jié)與歸納，入侵反應(yīng)措施也趨向完善。在計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中占據(jù)核心地位的安全防護(hù)技術(shù)便為密碼技術(shù)，研發(fā)至今發(fā)展已有20余年，部分高強(qiáng)度的網(wǎng)絡(luò)密鑰管理技術(shù)與密碼算法也在迅速涌現(xiàn)。開發(fā)重點(diǎn)同樣也由傳統(tǒng)的保密性轉(zhuǎn)移至兼顧保密、可控與真實(shí)等方面。并配合用戶的身份認(rèn)證形成了數(shù)字化的網(wǎng)絡(luò)簽名技術(shù)。當(dāng)前在保障計(jì)算機(jī)網(wǎng)絡(luò)信息傳遞的安全性方面，密碼技術(shù)有其重要的影響作用，而加密算法則是密碼技術(shù)中的關(guān)鍵與核心。不同性質(zhì)的網(wǎng)絡(luò)密鑰同樣有其不同的密鑰體制。其主要決定因素在于網(wǎng)絡(luò)協(xié)議的安全性。此外，網(wǎng)絡(luò)漏洞掃描同樣也是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)發(fā)展的產(chǎn)物，由于任何計(jì)算機(jī)均有其不同的安全漏洞，而選取人工測(cè)試的方法耗時(shí)較長(zhǎng)，且效率較低、準(zhǔn)確度不高，而網(wǎng)絡(luò)漏洞掃描技術(shù)則能夠?qū)崿F(xiàn)漏洞掃描的全自動(dòng)操作，同時(shí)預(yù)控安全危險(xiǎn)，保護(hù)整個(gè)計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)，是安全防護(hù)系統(tǒng)中不可或缺的重要部分。

2防火墻技術(shù)與其系統(tǒng)構(gòu)建措施分析

2.1防火墻技術(shù)的功能及其分類防火墻主要是計(jì)算機(jī)防范措施的總括，它能夠隔離內(nèi)外部網(wǎng)絡(luò)，采取限制網(wǎng)絡(luò)互訪的方式達(dá)到保護(hù)內(nèi)部網(wǎng)路的目的，是十分高效的網(wǎng)絡(luò)安全防護(hù)措施。它能夠隔絕計(jì)算機(jī)安全與風(fēng)險(xiǎn)區(qū)域的網(wǎng)絡(luò)連接，同時(shí)能夠?qū)m時(shí)網(wǎng)絡(luò)通信量進(jìn)行監(jiān)測(cè)，有效制止惡意網(wǎng)絡(luò)資源的入侵與進(jìn)攻，能夠自動(dòng)過(guò)濾非法用戶與不安全的網(wǎng)絡(luò)信息，隔離入侵者與防御設(shè)施，限制訪問點(diǎn)權(quán)限，防止資源濫用。防火墻同樣有其不同的類別，按照軟件形式可將其劃分為硬件防火墻與軟件防火墻，而按照技術(shù)類型則可將其分為包過(guò)濾型防火墻與應(yīng)用型防火墻。此外，按照結(jié)構(gòu)類型、部署部位、使用性能同樣也將其分為不同類型的防火墻。2.2防火墻的構(gòu)建及其防護(hù)措施的制定網(wǎng)絡(luò)防火墻的構(gòu)建僅需遵守簡(jiǎn)單的六個(gè)步驟，即規(guī)劃與制定安全計(jì)劃與協(xié)議、建立網(wǎng)絡(luò)安全體系、制作網(wǎng)絡(luò)規(guī)則程序、落實(shí)網(wǎng)絡(luò)規(guī)則集、調(diào)整控制準(zhǔn)備、完善審計(jì)處理。當(dāng)前較為成熟的防火墻體系架構(gòu)為X86架構(gòu)，將PCI與CPU總線作為通用接口，具備較優(yōu)的可拓展性與靈活性，是大型企業(yè)防火墻開發(fā)的主要體系架構(gòu)之一。而對(duì)于中小型企業(yè)來(lái)說(shuō)，NP型架構(gòu)的防火墻則為防護(hù)網(wǎng)絡(luò)侵襲的最優(yōu)選擇。采取與之相匹配的軟件開發(fā)系統(tǒng)，有其強(qiáng)大的網(wǎng)絡(luò)編程能力。而對(duì)于對(duì)網(wǎng)絡(luò)防護(hù)要求十分高的企業(yè)、單位或個(gè)人，則可采用ASIC架構(gòu)的防火墻手段，它不僅具備強(qiáng)大的數(shù)據(jù)處理能力，同時(shí)有其獨(dú)具優(yōu)勢(shì)的防火墻性能。網(wǎng)絡(luò)防火墻安全措施則主要是由檢測(cè)、防護(hù)及響應(yīng)三個(gè)部分構(gòu)成。在整個(gè)防火墻系統(tǒng)中，防御屬于一級(jí)防護(hù)措施，而檢測(cè)則是確立入侵的主要手段，響應(yīng)則是做出系統(tǒng)反饋的控制要素。當(dāng)前實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)與防火墻系統(tǒng)之間的互動(dòng)一般有兩種方案。第一，將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)嵌入防火墻中。第二，則是通過(guò)開發(fā)網(wǎng)絡(luò)接口的方式實(shí)現(xiàn)兩者之間的互動(dòng)。同樣按照原始固定網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行信息互通，并實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的傳輸處理。一般第二種方式應(yīng)用較為廣泛，它具備較強(qiáng)的靈活性，同時(shí)不會(huì)影響兩者的防護(hù)性能。在網(wǎng)絡(luò)安全防護(hù)體系中，通過(guò)將入侵檢測(cè)與防火墻技術(shù)相結(jié)合，能夠有效提高檢測(cè)速度，提高系統(tǒng)的適應(yīng)能力與靈活性，為網(wǎng)絡(luò)的有效防護(hù)奠定了良好的基礎(chǔ)，大大提升了計(jì)算機(jī)系統(tǒng)的防御能力，保障了系統(tǒng)的安全性。

3結(jié)束語(yǔ)

綜上所述，在網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的背景下，要保障信息數(shù)據(jù)的安全性，保障網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性，充分發(fā)揮其正面作用，必須以構(gòu)建網(wǎng)絡(luò)防火墻為重點(diǎn)，并配合數(shù)據(jù)加密、身份認(rèn)證等安全措施，提高網(wǎng)絡(luò)系統(tǒng)的抵御能力，防止惡意入侵，并提升網(wǎng)絡(luò)系統(tǒng)的安全性，全面保障信息數(shù)據(jù)存儲(chǔ)的穩(wěn)定性。

作者：劉彪 單位：69230 部隊(duì)

第5篇

目前，信息化已經(jīng)成為我國(guó)各類型企業(yè)尤其是中小型企業(yè)提高競(jìng)爭(zhēng)力的有效武器。企業(yè)越來(lái)越依賴網(wǎng)絡(luò)開展業(yè)務(wù)交易,進(jìn)行內(nèi)部資源共享和日常溝通。但隨著開放程度的增加，存儲(chǔ)在網(wǎng)絡(luò)上的數(shù)據(jù)也開始暴露給外界，成為惡意攻擊的目標(biāo)。

為了確保只有合適的人才能進(jìn)入網(wǎng)絡(luò)，了解企業(yè)生產(chǎn)、經(jīng)營(yíng)的相關(guān)數(shù)據(jù)，使企業(yè)在生產(chǎn)經(jīng)營(yíng)中免受惡意攻擊，建設(shè)企業(yè)網(wǎng)絡(luò)安全已成為中小企業(yè)信息化建設(shè)的重要課題。

對(duì)于中小企業(yè)用戶來(lái)說(shuō)，信息安全將不再是一項(xiàng)IT技術(shù)問題，而已被賦予集成協(xié)作、管理策略等更豐富的內(nèi)涵。對(duì)于廣大中小企業(yè)來(lái)說(shuō)，該如何構(gòu)建適合自己的網(wǎng)絡(luò)安全保障體系呢？

企業(yè)安全環(huán)境分析

安全體系的構(gòu)建是為了解決企業(yè)中所存在或可能存在的安全問題。因此在構(gòu)建安全保障體系之前，我們應(yīng)首先了解中小企業(yè)所面臨的安全問題有哪些。由于中小企業(yè)網(wǎng)絡(luò)系統(tǒng)特有的開放性，其所面臨的安全問題主要有以下幾個(gè)方面:

1.外網(wǎng)安全。外網(wǎng)安全問題主要包括黑客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等，這些已成為目前影響最為廣泛的安全威脅。

2.內(nèi)網(wǎng)安全。最新調(diào)查顯示，在受調(diào)查的企業(yè)中，60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了企業(yè)生產(chǎn)率，消耗了企業(yè)網(wǎng)絡(luò)資源，同時(shí)還會(huì)引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密。

3.內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全。隨著企業(yè)的發(fā)展壯大，如何在保證信息共享的情況下，防止重要信息的泄漏，已經(jīng)成為企業(yè)必須考慮的問題。

網(wǎng)絡(luò)可用性分析

網(wǎng)絡(luò)可用性是指網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。今天很多企業(yè)的經(jīng)濟(jì)效益都與網(wǎng)絡(luò)的連續(xù)可用性、完整息相關(guān)。隨著越來(lái)越多的信息以數(shù)字化的格式出現(xiàn)，企業(yè)面臨著如何以相同或者更少的資源管理迅速增長(zhǎng)的信息的挑戰(zhàn)。

Dos/DDos這樣的網(wǎng)絡(luò)攻擊是最常見的破壞網(wǎng)絡(luò)可用性的攻擊方式。通常，企業(yè)可通過(guò)部署防火墻、負(fù)載均衡設(shè)備來(lái)保證網(wǎng)絡(luò)可用性的安全。

系統(tǒng)可用性分析

中小企業(yè)網(wǎng)絡(luò)中的主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)外部的非法訪問、惡意入侵和破壞。

系統(tǒng)可用性是指一個(gè)系統(tǒng)應(yīng)確保一項(xiàng)服務(wù)或者資源總是可以被訪問到的。網(wǎng)絡(luò)可靠性可以增加系統(tǒng)的整體可用性，用戶必須考慮到當(dāng)某些系統(tǒng)部件出錯(cuò)時(shí)，如何保障系統(tǒng)的可用性。

我們可以在環(huán)境中設(shè)置冗余組件和錯(cuò)誤恢復(fù)機(jī)制，這樣當(dāng)某些組件的錯(cuò)誤對(duì)系統(tǒng)的可靠性產(chǎn)生不良影響時(shí)，就可以通過(guò)使用系統(tǒng)冗余，讓整個(gè)系統(tǒng)的服務(wù)仍然可用。

數(shù)據(jù)機(jī)密性分析

對(duì)于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來(lái)企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。

從電子數(shù)據(jù)產(chǎn)生以來(lái)，對(duì)于數(shù)據(jù)保護(hù)的需求一直沒有發(fā)生變化：需要防止數(shù)據(jù)受到無(wú)意或者有意的破壞。最近發(fā)生的一系列事件使得數(shù)據(jù)保護(hù)和災(zāi)難恢復(fù)問題成為人們關(guān)注的焦點(diǎn)。越來(lái)越多的企業(yè)意識(shí)到，如果他們的數(shù)據(jù)中心遭受重大損失，那么恢復(fù)數(shù)據(jù)將需要大量的精力和時(shí)間。數(shù)據(jù)保護(hù)解決方案是一系列技術(shù)和流程的組合。

訪問可控性分析

除了保證機(jī)密數(shù)據(jù)的安全，對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問，也必須得到有效控制。這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對(duì)任何訪問進(jìn)行跟蹤記錄。

可以說(shuō)，訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。在今天，訪問控制涉及的技術(shù)比較廣泛，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

網(wǎng)絡(luò)可管理性分析

可管理性既是觀察網(wǎng)絡(luò)可用性的一個(gè)窗口，也是提供可用性的一個(gè)工具。企業(yè)可以利用網(wǎng)絡(luò)管理來(lái)確定關(guān)鍵性的資源、流量類型與性能級(jí)別。網(wǎng)絡(luò)管理也可以被用來(lái)設(shè)定設(shè)備故障的類別。它可以提供顯示網(wǎng)絡(luò)狀態(tài)的復(fù)雜報(bào)告。企業(yè)還可以利用對(duì)網(wǎng)絡(luò)的管理來(lái)設(shè)定，在硬件性能下降時(shí)，系統(tǒng)自動(dòng)采取應(yīng)對(duì)行動(dòng)的策略。

因此，企業(yè)在構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)時(shí)應(yīng)包括審計(jì)和日志功能，可以對(duì)相關(guān)重要操作提供可靠而方便的管理和維護(hù)。

鏈接:UTM更能滿足中小企業(yè)的網(wǎng)絡(luò)安全需求

網(wǎng)絡(luò)安全系統(tǒng)通常是由防火墻、入侵檢測(cè)、漏洞掃描、安全審計(jì)、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。但由于安全產(chǎn)品來(lái)自不同的廠商，沒有統(tǒng)一的標(biāo)準(zhǔn)，因此安全產(chǎn)品之間無(wú)法進(jìn)行信息交換，形成許多安全孤島和安全盲區(qū)。而企業(yè)用戶目前急需的是建立一個(gè)規(guī)范的安全管理平臺(tái)，對(duì)各種安全產(chǎn)品進(jìn)行統(tǒng)一管理。

此外，面對(duì)各種新形式下的安全問題，傳統(tǒng)的安全設(shè)備已經(jīng)顯得無(wú)能為力，例如針對(duì)Windows系統(tǒng)和Oracle/SQL Server等數(shù)據(jù)庫(kù)的攻擊。這些攻擊和入侵手段封裝在TCP/IP協(xié)議的有效載荷部分。傳統(tǒng)的防火墻由于只查TCP/IP協(xié)議包頭部分而不檢查數(shù)據(jù)包的內(nèi)容，所以無(wú)法檢測(cè)出此類攻擊。基于網(wǎng)絡(luò)傳播的病毒、間諜軟件、垃圾郵件給互聯(lián)網(wǎng)用戶造成了巨大的損失，層出不窮的即時(shí)消息和P2P應(yīng)用(例如QQ和BT下載)給企業(yè)帶來(lái)許多安全威脅并大大降低員工的工作效率。傳統(tǒng)的防火墻設(shè)備在面對(duì)這些復(fù)合型的安全威脅時(shí)，已經(jīng)不能滿足客戶的安全需求。

于是，UTM產(chǎn)品應(yīng)運(yùn)而生，并且正在逐步得到市場(chǎng)的認(rèn)可。UTM安全、管理方便的特點(diǎn)，是安全設(shè)備最大的優(yōu)勢(shì)，而這往往也是中小企業(yè)對(duì)產(chǎn)品的主要需求。

第6篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全管理；安全技術(shù)；防火墻；機(jī)房

隨著計(jì)算機(jī)網(wǎng)絡(luò)的逐步普及，計(jì)算機(jī)的網(wǎng)絡(luò)安全已成為計(jì)算機(jī)網(wǎng)絡(luò)成長(zhǎng)路上的焦點(diǎn)，氣象局機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)所存儲(chǔ)、傳輸、處理的信息的重要性較高，可能會(huì)受到網(wǎng)絡(luò)上各種各樣不安全因素的侵?jǐn)_，造成數(shù)據(jù)丟失、篡改、惡意增加、計(jì)算機(jī)系統(tǒng)無(wú)法正常工作乃至全面癱瘓的后果，嚴(yán)重破壞機(jī)房工作，造成經(jīng)濟(jì)損失。因此，我們應(yīng)該重視機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)安全問題，通過(guò)各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，保護(hù)在通信網(wǎng)絡(luò)中傳輸交換和存儲(chǔ)的信息的完整性、機(jī)密性和真實(shí)性，及早做好防護(hù)措施，盡量減少損失。

一、機(jī)房計(jì)算機(jī)網(wǎng)絡(luò)安全管理

1、物理安全物理安全是保證計(jì)算機(jī)信息系統(tǒng)中各種設(shè)備安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施等。避免遭到地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

（1）場(chǎng)地安全要求氣象信息中心機(jī)房是氣象局業(yè)務(wù)運(yùn)行的心臟，對(duì)出入的內(nèi)、外部人員應(yīng)嚴(yán)格控制，限制非相關(guān)人員進(jìn)入機(jī)房。在中心機(jī)房的設(shè)計(jì)上，要考慮減少無(wú)關(guān)人員進(jìn)入機(jī)房的機(jī)會(huì)，在整座辦公樓中，中心機(jī)房最好不要建在比較潮濕的底層和易受侵入的頂層。

（2）防盜與防火機(jī)房應(yīng)采取比其它部門更嚴(yán)密的防盜措施，除加固門窗外，可安裝視頻監(jiān)視系統(tǒng)。防火方面，主要措施有安全隔離、安裝火災(zāi)報(bào)警系統(tǒng)、裝備專用滅火器、滅火工具及輔助設(shè)備如應(yīng)急燈等。要嚴(yán)格執(zhí)行機(jī)房環(huán)境和設(shè)備維護(hù)的各項(xiàng)規(guī)章制度，加強(qiáng)對(duì)火災(zāi)隱患部位的檢查，制定滅火應(yīng)急計(jì)劃并對(duì)所屬人員進(jìn)行培訓(xùn)。

（3）電源與接地電源是計(jì)算機(jī)系統(tǒng)正常工作的重要因素。機(jī)房?jī)?nèi)的計(jì)算機(jī)系統(tǒng)都應(yīng)接插在具有保護(hù)裝置的不間斷電源設(shè)備上，防止電源中斷、電壓瞬變、沖擊等異常狀況，避免因電造成的服務(wù)器損壞。

2、網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理體系構(gòu)建是以安全策略為核心，以安全技術(shù)作為支撐，以安全管理作為落實(shí)手段，完善安全體系賴以生存的大環(huán)境。其目標(biāo)是確保計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)正常運(yùn)行，并在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行出現(xiàn)異常現(xiàn)象時(shí)能及時(shí)響應(yīng)和排除故障。

（1）建立嚴(yán)格制度。制訂網(wǎng)絡(luò)建設(shè)方案、機(jī)房管理制度、各類人員職責(zé)分工、安全保密規(guī)定、口令管理制度、網(wǎng)絡(luò)安全指南、用戶上網(wǎng)使用手冊(cè)、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護(hù)記錄一系列的制度用以保證網(wǎng)絡(luò)的核心部門高安全、高可靠地運(yùn)作。

從內(nèi)到外，層層落實(shí)，動(dòng)態(tài)管理，適應(yīng)新的網(wǎng)絡(luò)需求，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，調(diào)整網(wǎng)絡(luò)的安全管理策略。

（2） 加強(qiáng)網(wǎng)絡(luò)技術(shù)的培訓(xùn)。網(wǎng)絡(luò)安全是一門綜合性的技術(shù)，網(wǎng)絡(luò)管理人員必須不斷地學(xué)習(xí)新的網(wǎng)絡(luò)知識(shí)，掌握新的網(wǎng)絡(luò)產(chǎn)品的功能，了解網(wǎng)絡(luò)病毒、密碼攻擊、分組、IP欺騙、拒絕服務(wù)、端口攻擊等多樣化的攻擊手段，才能更好地管理好網(wǎng)絡(luò)。

（3） 加強(qiáng)用戶的安全意識(shí)。網(wǎng)絡(luò)安全最大的威脅是網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全知識(shí)的缺乏，必須加強(qiáng)用戶的安全意識(shí)，引導(dǎo)用戶自覺安裝防病毒軟件，打補(bǔ)丁，自動(dòng)更新操作系統(tǒng)，對(duì)不熟悉的軟件不要輕易安裝。

所以，安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心，代表了安全防范體系中人的因素。

安全管理更主要的是對(duì)安全技術(shù)和安全策略的管理。用戶的安全意識(shí)是信息系統(tǒng)是否安全的決定因素，除了在網(wǎng)絡(luò)中心部署先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)和功能強(qiáng)大的安全工具外，從制度上、應(yīng)用上和技術(shù)上加強(qiáng)網(wǎng)絡(luò)安全管理。構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，是現(xiàn)代化機(jī)房的必然趨勢(shì)，圖1為一個(gè)完整的體系架構(gòu)。

二、相關(guān)網(wǎng)絡(luò)安全技術(shù)

1、 防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，究竟應(yīng)該在哪些地方部署防火墻是一個(gè)很重要的問題。

首先，應(yīng)該安裝防火墻的位置是內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵；其次，如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)，則應(yīng)該在防火墻之下設(shè)置網(wǎng)關(guān)級(jí)防毒。作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。通常，防火墻的安全性問題對(duì)用戶來(lái)說(shuō)，保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō)，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對(duì)防火墻不十分熟悉，就有可能在配置過(guò)程中遺留大量的安全漏洞。

2、人侵檢測(cè)系統(tǒng)采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在人侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。在外聯(lián)網(wǎng)絡(luò)中采用人侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

第7篇

1、網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場(chǎng)革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給我們的生活帶來(lái)了很大的便利，而且正在創(chuàng)造著巨大的財(cái)富，以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。

與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)，網(wǎng)頁(yè)被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子郵件、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、電子商務(wù)入侵和盜竊等，都造成了各種危害，包括機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)站頁(yè)面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息安全問題日益突出，已經(jīng)成為影響國(guó)家安全、社會(huì)穩(wěn)定和人民生活的大事，發(fā)展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對(duì)應(yīng)的網(wǎng)絡(luò)安全技術(shù)，保障網(wǎng)絡(luò)安全、有序和有效的運(yùn)行，是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。

2、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識(shí)別的網(wǎng)絡(luò)協(xié)議基礎(chǔ)之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合，協(xié)議本身和應(yīng)用都有可能存在問題，網(wǎng)絡(luò)安全問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題，也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題，當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)安全問題，下表示意說(shuō)明了這些方面的網(wǎng)絡(luò)安全問題。

問題類型問題點(diǎn)問題描述

協(xié)議設(shè)計(jì)安全問題被忽視制定協(xié)議之時(shí)，通常首先強(qiáng)調(diào)功能性，而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎(chǔ)協(xié)議問題架構(gòu)在其他不穏固基礎(chǔ)協(xié)議之上的協(xié)議，即使本身再完善也會(huì)有很多問題。

流程問題設(shè)計(jì)協(xié)議時(shí)，對(duì)各種可能出現(xiàn)的流程問題考慮不夠周全，導(dǎo)致發(fā)生狀況時(shí)，系統(tǒng)處理方式不當(dāng)。

設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤，導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確，但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤，導(dǎo)致各種安全漏洞。

程序錯(cuò)誤程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞，包含常見的未檢查資料長(zhǎng)度內(nèi)容、輸入資料容錯(cuò)能力不足、未檢測(cè)可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源不足等。

人員操作操作失誤操作規(guī)范嚴(yán)格且完善，但是操作人員未受過(guò)良好訓(xùn)練、或未按手冊(cè)操作，導(dǎo)致各種安全漏洞和安全隱患。

系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué)，導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。

內(nèi)部安全問題對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng)，成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

針對(duì)上表所示的各種網(wǎng)絡(luò)安全問題，全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來(lái)防范這些問題，這些技術(shù)包括訪問控制技術(shù)、識(shí)別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全和抗抵賴協(xié)議等，相繼陸續(xù)推出了包括防火墻、入侵檢測(cè)（IDS）、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件，這些技術(shù)和安全系統(tǒng)（軟件）對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范，一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。

3、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對(duì)網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來(lái)設(shè)計(jì)的，它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題，無(wú)法防范和解決其他的問題，更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題，但卻無(wú)法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題，而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)和系統(tǒng)的危害，但卻無(wú)法識(shí)別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過(guò)濾防火墻，狀態(tài)檢測(cè)包過(guò)濾防火墻和應(yīng)用層防火墻，但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí)，防火墻還存在著一些弱點(diǎn)：

一、不能防御來(lái)自內(nèi)部的攻擊：來(lái)自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的，他們的攻擊行為不通過(guò)防火墻，而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī)，監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的通信，而對(duì)內(nèi)部網(wǎng)上的情況不作檢查，因而對(duì)內(nèi)部的攻擊無(wú)能為力；

二、不能防御繞過(guò)防火墻的攻擊行為：從根本上講，防火墻是一種被動(dòng)的防御手段，只能守株待兔式地對(duì)通過(guò)它的數(shù)據(jù)報(bào)進(jìn)行檢查，如果該數(shù)據(jù)由于某種原因沒有通過(guò)防火墻，則防火墻就不會(huì)采取任何的措施；

三、不能防御完全新的威脅：防火墻只能防御已知的威脅，但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法，可信賴的服務(wù)就變成不可信賴的了；

四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊：雖然防火墻掃描分析所有通過(guò)的信息，但是這種掃描分析多半是針對(duì)IP地址和端口號(hào)或者協(xié)議內(nèi)容的，而非數(shù)據(jù)細(xì)節(jié)。這樣一來(lái)，基于數(shù)據(jù)驅(qū)動(dòng)的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。

入侵檢測(cè)技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重，它不能稱之為一個(gè)可以信賴的安全工具，而只是一個(gè)參考工具。

在沒有更為有效的安全防范產(chǎn)品之前，更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來(lái)保障自己的網(wǎng)絡(luò)安全，然而相對(duì)應(yīng)的是，新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮，攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來(lái)越多，因此，開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來(lái)有效保護(hù)網(wǎng)絡(luò)系統(tǒng)，已經(jīng)成為各網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。

4發(fā)展趨勢(shì)：

中國(guó)的網(wǎng)絡(luò)安全技術(shù)在近幾年得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù)，不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品，進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

從技術(shù)層面來(lái)看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過(guò)程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題，安全防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語(yǔ)義范疇，越來(lái)越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

4.1、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”。可以說(shuō)，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說(shuō)是以其為主的安全產(chǎn)品正面臨著許多新的問題。首先，從用戶角度來(lái)看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次，未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

再次，雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來(lái)非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說(shuō)，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來(lái)看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語(yǔ)義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

4.2、技術(shù)發(fā)展趨勢(shì)分析

.防火墻技術(shù)發(fā)展趨勢(shì)

在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢(shì)將得到越來(lái)越多的體現(xiàn)，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術(shù)應(yīng)運(yùn)而生。

從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來(lái)看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來(lái)看，UTM的概念還體現(xiàn)了經(jīng)過(guò)多年發(fā)展之后，信息安全行業(yè)對(duì)安全管理的深刻理解以及對(duì)安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。

UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時(shí)，UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)了多種防御功能，因此，向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢(shì)。UTM設(shè)備應(yīng)具備以下特點(diǎn)。

（1）網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。

（2）通過(guò)分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過(guò)高，將會(huì)對(duì)用戶帶來(lái)災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。

（3）有高可靠性、高性能的硬件平臺(tái)支撐。

（4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無(wú)法溝通而帶來(lái)的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。

二網(wǎng)絡(luò)安全面臨的主要問題

1.網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識(shí)，從而就不可能采取主動(dòng)的安全措施加以防范，完全處于被動(dòng)挨打的位置。

2.組織和部門的有關(guān)人員對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀不明確，不知道或不清楚網(wǎng)絡(luò)存在的安全隱患，從而失去了防御攻擊的先機(jī)。

3.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu)，其缺陷給攻擊者以可乘之機(jī)。

4.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系，從而導(dǎo)致安全體系和安全控制措施不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在安全疏漏，造成不必要的信息泄露，給攻擊者以收集敏感信息的機(jī)會(huì)。

5.網(wǎng)絡(luò)安全管理人員和技術(shù)有員缺乏必要的專業(yè)安全知識(shí)，不能安全地配置和管理網(wǎng)絡(luò)，不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題，對(duì)突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)。

三網(wǎng)絡(luò)安全的解決辦法

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過(guò)程是復(fù)雜的。這個(gè)復(fù)雜的過(guò)程需要嚴(yán)格有效的管理才能保證整個(gè)過(guò)程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此，建立組織的安全管理體系是網(wǎng)絡(luò)安全的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的安全體系結(jié)構(gòu)，把組織和部門的所有安全措施和過(guò)程通過(guò)管理的手段融合為一個(gè)有機(jī)的整體。安全體系結(jié)構(gòu)由許多靜態(tài)的安全控制措施和動(dòng)態(tài)的安全分析過(guò)程組成。

1.安全需求分析"知已知彼，百戰(zhàn)不殆"。只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

2.安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理是對(duì)安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，以組織和部門可以接受的投資，實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評(píng)估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.制定安全策略根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論，制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

4.定期安全審核安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次，由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過(guò)程，組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門對(duì)安全的需求也會(huì)發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

5.外部支持計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過(guò)專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

6.計(jì)算機(jī)網(wǎng)絡(luò)安全管理安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié)，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過(guò)恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件。

第8篇

    論文摘要:電子商務(wù)是基于網(wǎng)絡(luò)盼新興商務(wù)模式,有效的網(wǎng)絡(luò)信息安全保障是電子商務(wù)健康發(fā)展的前提。本文著重分析了電子商務(wù)活動(dòng)申存在的網(wǎng)絡(luò)信息安全問題,提出保障電子商務(wù)信息安全的技術(shù)對(duì)策、管理策略和構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)等措施,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。

    隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)購(gòu)物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合眼務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廣,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電予商務(wù)發(fā)展的一個(gè)關(guān)鍵性問題。

    一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

    電子商務(wù)的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務(wù)活動(dòng)中的信息安全問題豐要體現(xiàn)在以下兩個(gè)方面:

    1 網(wǎng)絡(luò)信息安全方面

    (1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

    (3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。

    (4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重。

    2.電子商務(wù)交易方面

    (1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來(lái)了交易雙方身份的不確定性。攻擊者可以通過(guò)非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。

    (2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。

    (3)交易的修改問題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。

    二 電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策

    1 電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策

    (1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來(lái)保證信息傳輸過(guò)程中信皂的完整和提供信包發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全、方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾?身份驗(yàn)證機(jī)制以及交易的不可抵賴性等均可通過(guò)電子簽名的安全認(rèn)證手段加以解決。

    (2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來(lái)訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和Intemet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。

    (3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過(guò)程中和網(wǎng)內(nèi)通信過(guò)程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來(lái)說(shuō),應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。

    2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

    (1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。

    (2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。

    (3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒入侵信息等工作。此外,還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性、權(quán)限加以限制,斷絕病毒入侵的渠道,從而達(dá)到預(yù)防的目的。

    (4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)引對(duì)信息安全至少提供三個(gè)層而的安全保護(hù)措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫(kù)及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過(guò)廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過(guò)以上保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。

    三 電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

    電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠眭和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿足整個(gè)系統(tǒng)安全策略需求。3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。4.電商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我閣實(shí)際,借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗(yàn),完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

第9篇

【關(guān)鍵詞】網(wǎng)絡(luò);數(shù)據(jù);安全

2012年開始，某企業(yè)啟動(dòng)了企業(yè)網(wǎng)絡(luò)安全優(yōu)化工程。目的是為了實(shí)現(xiàn)在企業(yè)系統(tǒng)內(nèi)，進(jìn)行一體化管理，實(shí)現(xiàn)各分支網(wǎng)絡(luò)之間互聯(lián)互通。項(xiàng)目重點(diǎn)是建設(shè)好綜合數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)所屬單位局域網(wǎng)及廠、站信息傳輸通道全面接入;形成該企業(yè)綜合業(yè)務(wù)處理廣域網(wǎng)絡(luò)。同時(shí)還將進(jìn)一步建設(shè)專門的調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)“專網(wǎng)專用”，從而確保生產(chǎn)安全有序的開展。該企業(yè)生產(chǎn)、辦公等各個(gè)領(lǐng)域當(dāng)中，無(wú)論是企業(yè)內(nèi)部管理還是各級(jí)機(jī)構(gòu)間的遠(yuǎn)程信息交互，都將建立在網(wǎng)絡(luò)基礎(chǔ)之上，而通過(guò)網(wǎng)絡(luò)進(jìn)行交互的信息范圍也涵蓋了包括生產(chǎn)調(diào)度數(shù)據(jù)、財(cái)務(wù)人事數(shù)據(jù)、辦公管理數(shù)據(jù)等在內(nèi)的諸多方面，在這樣的前提下，進(jìn)一步完善企業(yè)網(wǎng)絡(luò)架構(gòu)，全局性和系統(tǒng)性地構(gòu)建網(wǎng)絡(luò)安全體系，使其為企業(yè)發(fā)展和信息化提供有力支持，已成為當(dāng)前需要開展的首要工作之一。

1.網(wǎng)絡(luò)安全技術(shù)架構(gòu)策略

網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)系統(tǒng)工程，該企業(yè)網(wǎng)絡(luò)安全體系建設(shè)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則組織實(shí)施，采用先進(jìn)的“平臺(tái)化”建設(shè)思想、模塊化安全隔離技術(shù)，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的關(guān)系，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在該企業(yè)廣域網(wǎng)絡(luò)架構(gòu)建設(shè)中，為了實(shí)現(xiàn)可管理的、可靠的、高性能網(wǎng)絡(luò)，采用層次化的方法，將網(wǎng)絡(luò)分為核心層、分布層和接入層3個(gè)層次，這種層次結(jié)構(gòu)劃分方法也是目前國(guó)內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，3個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。

2.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)化

（1）中心交換區(qū)域

局域網(wǎng)的中心交換區(qū)域負(fù)責(zé)網(wǎng)絡(luò)核心層的高性能交換和傳輸功能，提供各項(xiàng)數(shù)據(jù)業(yè)務(wù)的交換，同時(shí)負(fù)責(zé)連接服務(wù)器區(qū)域、網(wǎng)絡(luò)管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設(shè)備等，此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護(hù)層面，可通過(guò)部署防火墻模塊、高性能網(wǎng)絡(luò)分析模塊、入侵探測(cè)系統(tǒng)模塊實(shí)現(xiàn)安全加固。

（2）核心數(shù)據(jù)服務(wù)器區(qū)域

因?yàn)閿?shù)據(jù)大集中和存儲(chǔ)中心已經(jīng)勢(shì)在必行，可建設(shè)專門的核心數(shù)據(jù)區(qū)域，并采用2立的具有安全控制能力的局域網(wǎng)交換機(jī)，通過(guò)千兆雙鏈路和服務(wù)器群連接。在安全防護(hù)方面，可在通過(guò)防火墻模塊實(shí)現(xiàn)不同等級(jí)安全區(qū)域劃分的同時(shí)，部署DDOS攻擊檢測(cè)模塊和保護(hù)模塊，以保障關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器的安全不受攻擊。

（3）樓層區(qū)域

樓層交換區(qū)域的交換機(jī)既做接入層又做分布層，將直接連接用戶終端設(shè)備，如PC機(jī)等，因此設(shè)備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。

（4）合作伙伴和外包區(qū)域

提供合作伙伴的開發(fā)測(cè)試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。

（5）外聯(lián)網(wǎng)區(qū)域

企業(yè)營(yíng)銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接，建議部署銀行外聯(lián)匯接交換機(jī)，通過(guò)2條千兆鏈路分別連接到核心交換機(jī)。并通過(guò)防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。

（6）網(wǎng)絡(luò)和安全管理區(qū)域

為了對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行更加安全可靠的管理，可使用獨(dú)立的安全區(qū)域來(lái)集中管理，通過(guò)防火墻或交換機(jī)模塊來(lái)保護(hù)該區(qū)域，并賦予較高的安全級(jí)別，在邊界進(jìn)行嚴(yán)格安全控制。

3.統(tǒng)一互聯(lián)網(wǎng)出口

對(duì)于該企業(yè)的廣域網(wǎng)絡(luò)，統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，減少企業(yè)廣域網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口，能夠有效減少來(lái)自外網(wǎng)的安全威脅，對(duì)統(tǒng)一出口接點(diǎn)的安全防護(hù)加固，能夠集中實(shí)施安全策略。面對(duì)企業(yè)各個(gè)分支機(jī)構(gòu)局域網(wǎng)絡(luò)都與互聯(lián)網(wǎng)絡(luò)連接的局面，將會(huì)給企業(yè)廣域網(wǎng)絡(luò)安全帶來(lái)更大的威脅。由于綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)作為相對(duì)獨(dú)立的一個(gè)大型企業(yè)網(wǎng)絡(luò)，設(shè)置如此眾多的互聯(lián)網(wǎng)出口，一方面不利于互聯(lián)網(wǎng)出口的安全管理，增加了安全威脅的幾率;另一方面也勢(shì)必增加互聯(lián)網(wǎng)出口的租用費(fèi)用，提高了運(yùn)營(yíng)成本。

由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M，在綜合數(shù)據(jù)網(wǎng)絡(luò)上利用MPLS VPN開出一個(gè)“互聯(lián)網(wǎng)VPN”，使各分支的互聯(lián)網(wǎng)訪問都通過(guò)這個(gè)VPN通道建立鏈接。通過(guò)統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，強(qiáng)化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制，可防御來(lái)自Internet的安全威脅，DMZ區(qū)的安全防護(hù)得到進(jìn)一步加強(qiáng);通過(guò)提供安全可靠的VPN遠(yuǎn)程接入，互聯(lián)網(wǎng)出口的負(fù)載均衡策略得到加強(qiáng)，對(duì)不同業(yè)務(wù)和不同用戶組的訪問服務(wù)策略控制，有效控制P2P等非工作流量對(duì)有限帶寬的無(wú)限占用，能夠?qū)ヂ?lián)網(wǎng)訪問的NAT記錄進(jìn)行保存和查詢。

4.三層四區(qū)規(guī)劃

提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略，并提出了“三層四區(qū)”安全防護(hù)體系的總體框架。基于這一設(shè)計(jì)規(guī)范，并結(jié)合該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，未來(lái)公司的網(wǎng)絡(luò)區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng)，其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務(wù);企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務(wù)。I區(qū)到IV區(qū)的安全級(jí)別逐級(jí)降低，I區(qū)最高，IV區(qū)最低。

在上述區(qū)域劃分的基礎(chǔ)上，可在橫向和縱向上采用下列技術(shù)方式實(shí)現(xiàn)不同安全區(qū)域間的隔離。

（1）縱向隔離

在未來(lái)調(diào)度數(shù)據(jù)網(wǎng)建成后，將安全區(qū)I和安全區(qū)II運(yùn)行在獨(dú)立的調(diào)度數(shù)據(jù)網(wǎng)上，安全區(qū)III和安全區(qū)IV運(yùn)行在目前的綜合數(shù)據(jù)網(wǎng)上，達(dá)到2網(wǎng)完全分開，實(shí)現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中，采用MPLS VPN將安全區(qū)I和安全區(qū)II的連接分別分隔為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，在綜合數(shù)據(jù)網(wǎng)中，則采用MPLS VPN將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開，分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。

（2）橫向隔離

考慮到I區(qū)和II區(qū)對(duì)安全性的要求極高，對(duì)于I區(qū)和II區(qū)進(jìn)行重點(diǎn)防護(hù)，采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離，配合分布式威脅防御機(jī)制，防范網(wǎng)絡(luò)威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求，III區(qū)和IV區(qū)之間視情況采用交換機(jī)防火墻模塊進(jìn)行隔離，并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設(shè)備，在骨干網(wǎng)上不再分成2個(gè)不同的VPN;由于外部的威脅主要來(lái)自于Intern過(guò)出口，因此可在全省Internet出口集中的基礎(chǔ)上，統(tǒng)一設(shè)置安全防護(hù)策略，通過(guò)防火墻與III區(qū)、IV區(qū)之間進(jìn)行隔離。

5.綜合數(shù)據(jù)網(wǎng)安全防護(hù)

綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)，主要承載了0A、95598、營(yíng)銷、財(cái)務(wù)等應(yīng)用系統(tǒng)，同時(shí)也在進(jìn)行SCADA/EMS等調(diào)度業(yè)務(wù)的接入試點(diǎn)。

采用網(wǎng)絡(luò)安全監(jiān)控響應(yīng)中心為核心的分布式威脅防御技術(shù)，對(duì)全網(wǎng)的病毒攻擊和病毒傳播進(jìn)行主動(dòng)防護(hù)，通過(guò)關(guān)聯(lián)網(wǎng)絡(luò)和安全設(shè)備配置信息、NetFlow、應(yīng)用日志和安全事件，從中心的控制臺(tái)實(shí)時(shí)發(fā)現(xiàn)、跟蹤、分析、防御、報(bào)告和存儲(chǔ)整個(gè)企業(yè)網(wǎng)絡(luò)中的安全事件和攻擊。同時(shí)分布式威脅防御手段不但用于對(duì)綜合數(shù)據(jù)骨干網(wǎng)進(jìn)行安全防護(hù)，而且通過(guò)建立2級(jí)安全監(jiān)控響應(yīng)中心，對(duì)包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機(jī)構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設(shè)備進(jìn)行監(jiān)控。

第10篇

【關(guān)鍵詞】計(jì)算機(jī)技術(shù)；通信行業(yè)；應(yīng)用

進(jìn)入21世紀(jì)以來(lái)，通信技術(shù)的數(shù)字化以及計(jì)算機(jī)技術(shù)的網(wǎng)絡(luò)化，都使得兩個(gè)技術(shù)之間在多層次、多領(lǐng)域應(yīng)用上呈現(xiàn)出相互滲透與融合的趨勢(shì)，并促使了整個(gè)人類社會(huì)的通信方式出現(xiàn)了巨大的變革。一方面，計(jì)算機(jī)所具有的強(qiáng)大的數(shù)據(jù)處理能力、傳輸能力與存儲(chǔ)能力，使得其成為了公共通信系統(tǒng)中的核心設(shè)備；另一方面，基于計(jì)算機(jī)網(wǎng)絡(luò)所構(gòu)筑的現(xiàn)代通信網(wǎng)絡(luò)，也使得各種通信數(shù)據(jù)之間的傳遞與共享變得空前的便捷，使通信雙方即使相隔萬(wàn)里，也能方便的利用電話、語(yǔ)音、視頻等方式進(jìn)行通話，打破了傳統(tǒng)通信業(yè)務(wù)（如電報(bào)、信件等）中時(shí)間與內(nèi)容的限制。

1計(jì)算機(jī)技術(shù)在通信行業(yè)中的應(yīng)用特點(diǎn)

1.1信息傳輸?shù)目垢蓴_性強(qiáng)

以計(jì)算機(jī)數(shù)據(jù)編碼技術(shù)為核心的數(shù)字通信，其信號(hào)傳輸采用的是數(shù)字脈沖信號(hào)，可以有效保證數(shù)據(jù)接收端不會(huì)因外界信號(hào)干擾、噪聲干擾，出現(xiàn)錯(cuò)判行為的發(fā)生，保證了數(shù)據(jù)信息的準(zhǔn)確傳遞與接收，因此具備了很強(qiáng)的抗干擾性，可實(shí)現(xiàn)高質(zhì)量、遠(yuǎn)距離的通信。

1.2可滿足各類通信業(yè)務(wù)

基于計(jì)算機(jī)強(qiáng)大的信息處理能力，通信系統(tǒng)中的各類數(shù)據(jù)信息，如電話信息、圖像信息、電報(bào)信息、視頻信息等，均被統(tǒng)一轉(zhuǎn)化為二進(jìn)制的數(shù)字脈沖信號(hào)進(jìn)行傳輸，然后再由接收端的計(jì)算機(jī)系統(tǒng)進(jìn)行數(shù)據(jù)的轉(zhuǎn)換處理與輸出，這都使得現(xiàn)代化的通信系統(tǒng)能滿足更多用戶對(duì)不同類型通信業(yè)務(wù)的需求。

1.3提高通信業(yè)務(wù)的保密性

基于計(jì)算機(jī)技術(shù)的信息處理功能，在通信信息的傳遞過(guò)程中，可以對(duì)數(shù)字脈沖信號(hào)進(jìn)行相應(yīng)的處理，如信息存儲(chǔ)、信息加密、信息轉(zhuǎn)發(fā)、信息糾錯(cuò)等功能。尤其是現(xiàn)代通信業(yè)務(wù)中，用戶對(duì)通信的保密性普遍有著較高的要求。而基于計(jì)算機(jī)技術(shù)的應(yīng)用，可以確保通信數(shù)據(jù)實(shí)現(xiàn)復(fù)雜、長(zhǎng)周期的信號(hào)加密，從而使得通信數(shù)據(jù)不容易被竊取或破壞，保證了通信業(yè)務(wù)的高度保密性。

2計(jì)算機(jī)技術(shù)在通信行業(yè)中的應(yīng)用策略

2.1采用先進(jìn)設(shè)備，提高通信數(shù)據(jù)的交換與處理效率

近年來(lái)，計(jì)算機(jī)技術(shù)已被廣泛應(yīng)用于通信領(lǐng)域的各個(gè)方面，例如在數(shù)字電話、數(shù)字傳真和數(shù)字電視等通信業(yè)務(wù)中，各種計(jì)算機(jī)終端設(shè)備都大量增加。而這些數(shù)字通信業(yè)務(wù)，都需要大量的信息交換與處理，迫切需要采用更加先進(jìn)的計(jì)算機(jī)設(shè)備進(jìn)行通信數(shù)據(jù)的處理和傳輸，以提高數(shù)據(jù)處理的效率。而計(jì)算機(jī)先進(jìn)設(shè)備的應(yīng)用，關(guān)鍵是做好大型程控交換機(jī)的選擇與應(yīng)用，這是因?yàn)椋?.1.1為滿足大量通信數(shù)據(jù)的信息交換的需求通信數(shù)據(jù)的信息交換是由計(jì)算機(jī)控制的，這類終端計(jì)算機(jī)設(shè)備也普遍被稱為程序控制交換機(jī)，它是計(jì)算機(jī)通過(guò)軟件控制著交換機(jī)的硬件，使設(shè)備接通兩個(gè)用戶之間的鏈路，以實(shí)現(xiàn)兩用戶間的通信數(shù)據(jù)傳輸。在大型程控交換機(jī)中，計(jì)算機(jī)除了接通鏈路外，還要完成很多其他的丁作，如計(jì)費(fèi)、統(tǒng)計(jì)(統(tǒng)計(jì)網(wǎng)絡(luò)運(yùn)行參數(shù)、流量等多項(xiàng)運(yùn)行數(shù)據(jù))、診斷(如硬件或軟件發(fā)生故障需及時(shí)診斷原因并報(bào)告給維護(hù)臺(tái))和執(zhí)行維護(hù)操作臺(tái)發(fā)出的各種指令等。可以說(shuō)，一臺(tái)大型程控交換機(jī)，就是大量硬件系統(tǒng)和軟件系統(tǒng)的復(fù)合計(jì)算機(jī)系統(tǒng)。2.1.2因?yàn)榇笮统炭亟粨Q機(jī)普遍包含了多個(gè)數(shù)據(jù)庫(kù)以移動(dòng)通信系統(tǒng)中的歸屬位置寄存器(HLR)為例，其實(shí)際上就是實(shí)時(shí)數(shù)據(jù)庫(kù)，通常要求一個(gè)HLR可容納30萬(wàn)~300萬(wàn)個(gè)用戶的數(shù)據(jù)，而每個(gè)用戶的數(shù)據(jù)量約有2KB，其中包括號(hào)碼、資費(fèi)、業(yè)務(wù)授權(quán)、漫游地址等數(shù)據(jù)，而且其中的部分?jǐn)?shù)據(jù)是不斷更新的，如用戶的漫游地址數(shù)據(jù)，就是通過(guò)7號(hào)信令網(wǎng)不斷將HLR中各用戶的數(shù)據(jù)進(jìn)行改寫。因此，要求通信系統(tǒng)中選擇的大型程控交換機(jī)，應(yīng)包含多個(gè)數(shù)據(jù)庫(kù)，以更好的滿足通信業(yè)務(wù)對(duì)數(shù)據(jù)信息存儲(chǔ)、處理與更新的要求。2.1.3因?yàn)槌炭亟粨Q機(jī)對(duì)操作系統(tǒng)有著較高的要求大型程控交換機(jī)，普遍要求操作系統(tǒng)應(yīng)具有實(shí)時(shí)、快速的特點(diǎn)，這是因?yàn)橥ㄐ畔到y(tǒng)設(shè)計(jì)規(guī)范中要求程控交換機(jī)從用戶撥完電話號(hào)碼到接通有最長(zhǎng)時(shí)間限制，如果測(cè)試超過(guò)該時(shí)間限制，則產(chǎn)品不合格，不能入網(wǎng)。因此，這都需要選擇與應(yīng)用技術(shù)先進(jìn)、成熟的操作系統(tǒng)，以滿足大型程控交換機(jī)的需求。

2.2構(gòu)建安全體系，保障通信網(wǎng)絡(luò)的安全

各類通信業(yè)務(wù)的運(yùn)營(yíng)服務(wù)，是依托于互聯(lián)網(wǎng)所開展的。盡管近年來(lái)我國(guó)互聯(lián)網(wǎng)技術(shù)已較為發(fā)達(dá)，但病毒、木馬程序、黑客攻擊對(duì)系統(tǒng)安全的威脅仍然存在。一旦通信系統(tǒng)出現(xiàn)故障或漏洞，都可能導(dǎo)致通信信息被竊取，或者用戶的敏感信息被泄露。因此，還必須積極應(yīng)用多種計(jì)算機(jī)安全技術(shù)，構(gòu)建網(wǎng)絡(luò)安全體系，以切實(shí)保障通信網(wǎng)絡(luò)的安全。2.2.1采用多種安全監(jiān)控與隔離技術(shù)如采用防火墻技術(shù)以實(shí)現(xiàn)通信網(wǎng)絡(luò)內(nèi)網(wǎng)、外網(wǎng)之間的安全隔離；采用病毒防護(hù)技術(shù)以避免通信數(shù)據(jù)受到人為破壞或修改；采用入侵檢測(cè)技術(shù)，以加強(qiáng)對(duì)系統(tǒng)漏洞的檢測(cè)，加強(qiáng)對(duì)入侵危險(xiǎn)的及時(shí)發(fā)現(xiàn)與報(bào)告；采用虛擬網(wǎng)絡(luò)技術(shù)，使通信網(wǎng)絡(luò)能被分割成各子網(wǎng)段，以實(shí)現(xiàn)訪問控制，并有效避免受到外界攻擊。2.2.2采用數(shù)據(jù)加密與識(shí)別技術(shù)通信網(wǎng)絡(luò)安全問題出現(xiàn)的根本原因，是源于各種外來(lái)入侵病毒、技術(shù)的威脅。因此，為保障通信系統(tǒng)的運(yùn)營(yíng)安全，還應(yīng)采用多種數(shù)據(jù)加密與識(shí)別技術(shù)，并與安全監(jiān)控技術(shù)相配合，以構(gòu)建出全面、可行的安全架構(gòu)方案。例如，通過(guò)綜合采用數(shù)據(jù)包標(biāo)識(shí)技術(shù)、數(shù)據(jù)存儲(chǔ)安全技術(shù)、數(shù)據(jù)加密技術(shù)等等，從而為通信網(wǎng)絡(luò)的運(yùn)營(yíng)構(gòu)建出一個(gè)全方位的可信、可控的安全防護(hù)體系。

3結(jié)論

現(xiàn)代化的通信業(yè)務(wù)，不僅是計(jì)算機(jī)技術(shù)與通信技術(shù)的有機(jī)結(jié)合，也是在通信標(biāo)準(zhǔn)協(xié)議的框架下，對(duì)各類信息傳輸系統(tǒng)、信息處理系統(tǒng)的有機(jī)結(jié)合。筆者提出了采用先進(jìn)設(shè)備、構(gòu)建安全體系這兩種策略，以期能更好的促進(jìn)計(jì)算機(jī)技術(shù)在我國(guó)通信行業(yè)中的更好應(yīng)用，在提高通信數(shù)據(jù)交換與處理效率的同時(shí)，也能切實(shí)保障數(shù)據(jù)傳輸?shù)陌踩?/p>

參考文獻(xiàn)

[1]潘凌丹.新形勢(shì)下網(wǎng)絡(luò)技術(shù)在電力信息通信中的應(yīng)用[J].通信信息,2014(07):259-260.

[2]郝興偉.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].北京：高等教育出版社,2005:12-18.

第11篇

關(guān)鍵詞：事業(yè)單位；應(yīng)用平臺(tái)；構(gòu)建

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）09-0089-02

Abstract： With the advancement of science and technology， the computer network has been popular and promotion， to carry out the work are inseparable from the network. Institutions use of computer networks， can better management， thus timely and accurate access to the information they need， has become an important task to build institutions of its application platform. Therefore， this paper analyzes the necessity of building a network platform for institutions， proposed several measures to build a network platform based on these reasons.

Key words： institution； application； platform

在事業(yè)單位構(gòu)建計(jì)算機(jī)應(yīng)用平臺(tái)就是構(gòu)建一個(gè)幫助辦公的電子平臺(tái)。這意味著事業(yè)單位使用現(xiàn)代信息技術(shù)進(jìn)行他們的管理和服務(wù)工作，對(duì)單位的結(jié)構(gòu)和職能進(jìn)行調(diào)整，優(yōu)化工作流程，突破時(shí)間及空間等條件的限制，讓事業(yè)單位的運(yùn)行流程變得簡(jiǎn)潔，便利，高效率以及公正。作為一個(gè)不盈利的服務(wù)型單位，充分利用網(wǎng)絡(luò)的便利性為公眾履行服務(wù)的職能，傳達(dá)更多的信息，提高內(nèi)部管理的效率和安全性。

1 建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)的必要性

1.1 傳達(dá)信息的重要條件

事業(yè)單位是有著一定的服務(wù)職能的單位，參加了國(guó)家的公共服務(wù)工作，單位需要進(jìn)行的信息傳播活動(dòng)較為頻繁。雖然事業(yè)單位不需要考慮經(jīng)濟(jì)效益，卻要注意其工作效率。在信息化的社會(huì)，事業(yè)單位的信息傳達(dá)工作離不開一個(gè)可靠高效的網(wǎng)絡(luò)平臺(tái)。在活動(dòng)的開展過(guò)程中，需要的信息較多也較為瑣碎，種類也十分豐富，同樣的，需要傳達(dá)給公眾的信息也較為瑣碎且種類較多。因此建設(shè)事業(yè)單位的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)十分必要，有了這個(gè)平臺(tái)，事業(yè)單位的工作人員可以及時(shí)地獲得信息，了解公眾的情況和具體需求，然后可以根據(jù)這些信息 ，采取相應(yīng)的措施來(lái)解決問題[1]。

1.2 進(jìn)行創(chuàng)新的重要條件

事業(yè)單位和社會(huì)的聯(lián)系相當(dāng)緊密，應(yīng)當(dāng)隨著社會(huì)的發(fā)展而發(fā)展。當(dāng)今社會(huì) ，科學(xué)技術(shù)的發(fā)展速度十分快，技術(shù)在不斷地發(fā)生更替。創(chuàng)新對(duì)于事業(yè)單位的意義重大，關(guān)系著事業(yè)單位的生存發(fā)展，離開了創(chuàng)新，事業(yè)單位就不能有進(jìn)步。既然要?jiǎng)?chuàng)新 ，首先就必須知道措施到底新不新 ，網(wǎng)絡(luò)平臺(tái)就能為事業(yè)單位提供了足夠準(zhǔn)確的信息。 網(wǎng)絡(luò)有著互通性，構(gòu)建一個(gè)單位的網(wǎng)絡(luò)平臺(tái)，將它與世界的網(wǎng)絡(luò)聯(lián)系起來(lái)，就能得到最全面的情報(bào)。

1.3 開拓視野的重要條件

在開展一些沒有開展的活動(dòng)時(shí)，事業(yè)單位必須借鑒其他單位的先進(jìn)經(jīng)驗(yàn)和共同教訓(xùn)。在某些活動(dòng)的內(nèi)容設(shè)計(jì)中 ，事業(yè)單位需要對(duì)某些內(nèi)容的進(jìn)行全面的考查。在以前 ，經(jīng)常出現(xiàn)的情況是事業(yè)單位指派大批人員 ，規(guī)模大 ，四處奔波 ，損失大量的人力和財(cái)力，進(jìn)行實(shí)地的調(diào)查和研究。但是在有網(wǎng)絡(luò)平臺(tái) ，有多媒體技術(shù)的情況下 ，事業(yè)單位只需派出少量的人員 ，設(shè)立工作站在要經(jīng)過(guò)調(diào)查的場(chǎng)地上，在一段時(shí)間后把將現(xiàn)場(chǎng)情況發(fā)送給單位 ，也一樣能夠達(dá)到派人進(jìn)行實(shí)地考察的成效 ，還同時(shí)完好地存儲(chǔ)了這些具體資料 ，為日后使用做好準(zhǔn)備，有事半功倍的效果[2]。

2 如何構(gòu)建網(wǎng)絡(luò)應(yīng)用平臺(tái)

2.1 建立自動(dòng)化平臺(tái)

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用平臺(tái)首先要關(guān)注的部分就是辦公的自動(dòng)化，通過(guò)這個(gè)平臺(tái)，各部門要能夠?qū)崿F(xiàn)文檔的傳送，信息的交流使用，利用視頻開會(huì)等要求。這就要求緊密結(jié)合事業(yè)單位的工作內(nèi)容，利用先進(jìn)的網(wǎng)絡(luò)技術(shù)，建立一個(gè)便利，可靠，實(shí)用的辦公平臺(tái)。這個(gè)平臺(tái)要包括進(jìn)事業(yè)單位日常的相關(guān)工作操作，設(shè)置針對(duì)性的指令，為單位的工作提供極高的便捷性。還要有自動(dòng)處理工作的程序，比如完成指定檔案的傳送，完成對(duì)公眾進(jìn)行通知的發(fā)送，進(jìn)行相似信息的歸納整理等等之類，用現(xiàn)代化的工作條件來(lái)實(shí)現(xiàn)自動(dòng)化的辦公，從而達(dá)到提高工作效率的目標(biāo)。

2.2 建設(shè)安全的網(wǎng)絡(luò)平臺(tái)

事業(yè)單位的信息要求一定的保密性，因此，建設(shè)網(wǎng)絡(luò)平臺(tái)還必須達(dá)到一定的的信息安全標(biāo)準(zhǔn)，要建設(shè)起一個(gè)有完善的安全保障體系的網(wǎng)絡(luò)平臺(tái)。首先對(duì)于這個(gè)安全體系進(jìn)行全面的分析，做好針對(duì)本事業(yè)單位情況的安全規(guī)劃，再設(shè)置防火墻，搭建信息過(guò)濾系統(tǒng)；其次要正確對(duì)待發(fā)展與安全兩者的聯(lián)系，把握好成本和收入的平衡，在注意好網(wǎng)絡(luò)平臺(tái)的安全的同時(shí)，保證該平臺(tái)的開放性，給予事業(yè)單位足夠的發(fā)展空間[3]。

2.3 引入活動(dòng)管理體系

要在網(wǎng)絡(luò)平臺(tái)中重點(diǎn)引入管理的內(nèi)容。事業(yè)單位的參與人員較多 ，單位開展活動(dòng)的分布面廣，地點(diǎn)較多 ，活動(dòng)的規(guī)模大小不一 ，進(jìn)行活動(dòng)的時(shí)間長(zhǎng)短不確定。因?yàn)槭聵I(yè)單位開展活動(dòng)具有多樣性和隨機(jī)的特點(diǎn)，進(jìn)行管理工作時(shí)就相對(duì)繁雜。有了網(wǎng)絡(luò)平臺(tái) ，事業(yè)單位能夠?qū)λ栀Y料挨個(gè)地進(jìn)行記錄、分析，然后保存在單位內(nèi)部平臺(tái)內(nèi)。再者，管理人員通過(guò)網(wǎng)絡(luò)平臺(tái)進(jìn)行信息的提取和加工 ，讓需要的數(shù)據(jù)變得更加簡(jiǎn)單易懂，有利于指導(dǎo)接下來(lái)的工作和幫助活動(dòng)的開展。對(duì)于人員的管理，也會(huì)更有條理和計(jì)劃，每個(gè)步驟該由哪個(gè)工作人員來(lái)執(zhí)行變得十分簡(jiǎn)單明了，從而保證活動(dòng)的順利進(jìn)行。

2.4 建設(shè)長(zhǎng)效的網(wǎng)絡(luò)平臺(tái)

事業(yè)單位要建設(shè)一個(gè)實(shí)用的網(wǎng)絡(luò)平臺(tái)，這個(gè)實(shí)用不僅指的是可操作性，還指網(wǎng)絡(luò)平臺(tái)在很長(zhǎng)的時(shí)間內(nèi)都能滿足事業(yè)單位的需要。在選用相關(guān)的設(shè)備時(shí)，要在條件允許下，盡量選擇先進(jìn)的穩(wěn)定的設(shè)備，不要選擇過(guò)時(shí)已久的設(shè)備。選擇搭建的技術(shù)時(shí)，要采用最先進(jìn)的最貼合實(shí)際技術(shù)，擴(kuò)寬網(wǎng)絡(luò)平臺(tái)的應(yīng)用范圍。還要做好網(wǎng)絡(luò)平臺(tái)的監(jiān)督和修復(fù)工作，延長(zhǎng)網(wǎng)絡(luò)系統(tǒng)的使用期限。及時(shí)對(duì)網(wǎng)絡(luò)平臺(tái)中的信息數(shù)據(jù)進(jìn)行補(bǔ)充和修改，保持網(wǎng)絡(luò)平臺(tái)的先進(jìn)性以及發(fā)展空間，為之后的運(yùn)行做好充足的準(zhǔn)備，從而適應(yīng)新的工作需要。

3 結(jié)束語(yǔ)

21世紀(jì)是一個(gè)信息化的時(shí)代，判斷一個(gè)國(guó)家的現(xiàn)代化程度的重要標(biāo)準(zhǔn)之一就是信息技術(shù)水平的高低。縱觀全國(guó)各地，推進(jìn)事業(yè)單位的現(xiàn)代辦公水平已經(jīng)成了一個(gè)不可避免的趨勢(shì)搭建簡(jiǎn)潔高效的網(wǎng)絡(luò)平臺(tái)有利于事業(yè)單位更好地開展服務(wù)工作，提高單位人員的工作效率。事業(yè)單位要整合現(xiàn)有網(wǎng)絡(luò)，構(gòu)建一個(gè)合理高效的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用平臺(tái)，調(diào)整單位的組織結(jié)構(gòu)，依靠網(wǎng)絡(luò)開展各項(xiàng)工作，保證各項(xiàng)活動(dòng)的順利進(jìn)行，從而促進(jìn)社會(huì)文明和諧發(fā)展[3]。

參考文獻(xiàn)：

[1] 霍紅萍， 彭曉光. 網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)與應(yīng)用[J]. 信息通信， 2013（6）.

第12篇

摘 要 隨著我國(guó)的信息科技的迅速發(fā)展和在交通行業(yè)的廣泛應(yīng)用，對(duì)交通事業(yè)產(chǎn)生了重大的影響。因此，只有不斷推動(dòng)交通管理的信息化建設(shè)，借助和使用現(xiàn)代信息技術(shù)，我國(guó)交通行業(yè)才能適應(yīng)交通建設(shè)、生產(chǎn)和管理等各個(gè)環(huán)節(jié)發(fā)展需求，更好服務(wù)公眾。

關(guān)鍵詞 交通管理 信息化 建設(shè)

隨著我國(guó)經(jīng)濟(jì)的快速發(fā)展，全國(guó)很多城市都在加大投入建立相應(yīng)的管理系統(tǒng)和設(shè)施來(lái)改善城市的交通狀況，以高等科學(xué)技術(shù)為基礎(chǔ)的交通信息化建設(shè)對(duì)一個(gè)地區(qū)經(jīng)濟(jì)的發(fā)展影響越來(lái)越大，因此，我們必須加強(qiáng)交通管理的信息化建設(shè)，為城市道路基礎(chǔ)建設(shè)提供更多的信息服務(wù)，以全面提升整個(gè)交通行業(yè)的管理水平。

一、我國(guó)交通管理信息化建設(shè)的現(xiàn)狀分析

我國(guó)從上世紀(jì)80年代開始進(jìn)行，交通管理信息化建設(shè)已經(jīng)有十年的發(fā)展歷程，經(jīng)歷了由無(wú)到有、從小到大、從單項(xiàng)業(yè)務(wù)到關(guān)聯(lián)集成的發(fā)展過(guò)程，建立起了一套比較完整、高效的體系。從發(fā)展?fàn)顩r來(lái)看，當(dāng)前的交通管理信息系統(tǒng)應(yīng)用規(guī)模不斷擴(kuò)大，應(yīng)用水平不斷提高，信息系統(tǒng)正處在從滿足基本業(yè)務(wù)需求到追求深化應(yīng)用、資源整合和信息共享的過(guò)渡轉(zhuǎn)變期，但在過(guò)渡轉(zhuǎn)變期內(nèi)，交通信息管理化建設(shè)也存在一些問題：

（一）缺乏對(duì)信息化建設(shè)的統(tǒng)一認(rèn)識(shí)

錯(cuò)誤的把信息化建設(shè)簡(jiǎn)單理解為網(wǎng)絡(luò)技術(shù)的改進(jìn)，將信息化當(dāng)作是信息技術(shù)部門的工作，與己無(wú)關(guān)。這些錯(cuò)誤認(rèn)識(shí)直接導(dǎo)致了信息系統(tǒng)建設(shè)水平處于一般事務(wù)處理和簡(jiǎn)單信息管理的階段，呈現(xiàn)出信息孤立、資源不能共享、信息化建設(shè)綜合優(yōu)勢(shì)得不到有效發(fā)揮的局面。不注重思想與理念的轉(zhuǎn)變，對(duì)信息技術(shù)過(guò)分的依賴，認(rèn)為高科技無(wú)所不能，花巨資構(gòu)建網(wǎng)絡(luò)系統(tǒng)，能夠解決工作中的所有問題，因而在信息化建設(shè)過(guò)程中，忽視業(yè)務(wù)基礎(chǔ)和規(guī)范化管理工作，把平時(shí)工作簡(jiǎn)單得搬上計(jì)算機(jī)平臺(tái)后，不愿在業(yè)務(wù)基礎(chǔ)建設(shè)方面多下大力氣，最終，影響了交通信息化的建設(shè)。

（二）交通管理信息化建設(shè)中缺乏對(duì)高素質(zhì)人才隊(duì)伍的建設(shè)

從本質(zhì)上講交通管理信息化建設(shè)就是信息化人才的培養(yǎng)，人才隊(duì)伍的建設(shè)是交通信息化建設(shè)成敗的關(guān)鍵。交通管理信息化的實(shí)施和推進(jìn)需要既懂交通管理業(yè)務(wù)，又熟悉信息技術(shù)和管理的復(fù)合型人才，目前各級(jí)交通管理部門非常缺少這種的人才。從信息化應(yīng)用的實(shí)際看，專業(yè)人才缺乏已成為制約我國(guó)信息化發(fā)展的最重要因素。

（三）交通管理信息化建設(shè)中投入資金短缺、比例失調(diào)

信息化建沒絕不是像建一個(gè)網(wǎng)絡(luò)那么簡(jiǎn)單，它是一個(gè)繁瑣的系統(tǒng)工程，投資量大，涉及面廣，應(yīng)用環(huán)節(jié)多，其研發(fā)投入大，周期長(zhǎng)，產(chǎn)出低，而目前資金的短缺嚴(yán)重影響了交通管理信息化建設(shè)。而且在實(shí)踐中，交通管理信息化投入結(jié)構(gòu)也很不合理，交通信息化投入主要花有三個(gè)部分：硬件費(fèi)、軟件費(fèi)和培訓(xùn)推廣實(shí)施費(fèi)，其合理比例大概是1：2：3。但根據(jù)對(duì)我國(guó)多個(gè)省區(qū)的調(diào)研發(fā)現(xiàn)，目前各地用于硬件的投入遠(yuǎn)遠(yuǎn)超其它兩者，硬件費(fèi)用占總投入的平均比例的百分之八九十，然而用于軟件費(fèi)和培訓(xùn)推廣實(shí)施費(fèi)的投入相對(duì)偏低。

（四）信息安全體系建設(shè)不健全

信息安全系統(tǒng)是為了保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行而配套的一個(gè)專門系統(tǒng)，它與所支撐的業(yè)務(wù)系統(tǒng)是緊密相連的，但是又有其自己的獨(dú)立性。目前，交通管理業(yè)務(wù)系統(tǒng)建設(shè)已經(jīng)比較完善，但配套信息安全體系建設(shè)還是存在缺陷。主要表現(xiàn)：1、系統(tǒng)應(yīng)用和管理人員安全意識(shí)薄弱，不能夠適應(yīng)嚴(yán)峻的信息安全形勢(shì)。2、安全備份建設(shè)滯后，應(yīng)急反應(yīng)機(jī)制不完備，安全事件得不到有效及時(shí)得處理。3、系統(tǒng)應(yīng)用安全技術(shù)措施薄弱，安全隱患明顯。四是現(xiàn)有的安全防范措施缺乏系統(tǒng)規(guī)劃。總體上還沒有掌握信息安全防范的主動(dòng)權(quán)。

二、加強(qiáng)我國(guó)交通管理信息化建設(shè)的應(yīng)對(duì)措施

（一）在交通管理信息化建設(shè)過(guò)程中要轉(zhuǎn)變觀念、提高認(rèn)識(shí)

交通管理的目標(biāo)是建立現(xiàn)代化的管理，而對(duì)現(xiàn)代信息運(yùn)用則是現(xiàn)代化的重要體現(xiàn)，管理觀念的科學(xué)化則是現(xiàn)代化的重要基礎(chǔ)、只有管理觀念的科學(xué)化才能有效促進(jìn)管理手段的改進(jìn)．在交通管理信息化建設(shè)過(guò)程中要保持先進(jìn)性與實(shí)用性一致的原則，則需要做到信息技術(shù)不能脫離客觀實(shí)際去片面的追求高精尖或系統(tǒng)的大而全等，應(yīng)結(jié)合實(shí)際情況．使之與其相匹配。

（二）打造一支高素質(zhì)的人才隊(duì)伍，為交通信息化建設(shè)提供人才保證

要加大交通管理信息化建設(shè)的專門人才的培養(yǎng)力度，特別注意培養(yǎng)既懂運(yùn)輸管理業(yè)務(wù)、又懂信息技術(shù)的復(fù)合型人才。同時(shí)，有計(jì)劃地通過(guò)各種渠道，引進(jìn)―批高水平的信息技術(shù)專門人才，井建立相應(yīng)的人才激勵(lì)考核機(jī)制。總之，加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè)，是交通管理信息化建設(shè)的一項(xiàng)長(zhǎng)期任務(wù)。

（三）構(gòu)建信息安全體系，加強(qiáng)信息安全風(fēng)險(xiǎn)管理

目前，信息化正在深入滲透融合到交通管理業(yè)務(wù)的各個(gè)環(huán)節(jié)．錯(cuò)誤得操作或惡意得攻擊都會(huì)使系統(tǒng)癱瘓，業(yè)務(wù)得不到及時(shí)得辦理。信息安全體系建設(shè)是一個(gè)循序漸進(jìn)、逐漸改善的復(fù)雜過(guò)程和龐大的系統(tǒng)工程，目前交管信息系統(tǒng)的安全管理處于規(guī)范建設(shè)的起步階段，今后我國(guó)還要盡快出臺(tái)有關(guān)法律法規(guī)，從整體上對(duì)信息安全體系的內(nèi)容進(jìn)行明確規(guī)定，有計(jì)劃得分階段實(shí)施，以提高防范信息安全風(fēng)險(xiǎn)的水平，有效識(shí)別并防范安全威脅和風(fēng)險(xiǎn)，確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，為交通管理信息業(yè)務(wù)的持續(xù)發(fā)展提供保障。

三、河南省的高速公路管理和信息建設(shè)

河南境內(nèi)主要高速公路通車總里程4841公里，全省18個(gè)省轄市中有17個(gè)省轄市形成了高速公路的十字交叉，全省109個(gè)縣（市）中有99個(gè)通達(dá)高速公路，通達(dá)率92％，其中45個(gè)縣有兩條高速通過(guò)。全省高速公路已基本形成了以鄭州為中心的1個(gè)半小時(shí)中原城市群經(jīng)濟(jì)圈，3小時(shí)可達(dá)全省任何一個(gè)省轄市，6小時(shí)可達(dá)周邊6省任何一個(gè)省會(huì)城市。目前全省高速公路在建里程596公里，到年底在建里程達(dá)到1000公里以上，到2010年通車總里程突破5000公里。河南省高速公路利用有限的資源迅速在中原崛起。

河南省高速公路信息管理中心是包括：聯(lián)網(wǎng)收費(fèi)、全省監(jiān)控和通信業(yè)務(wù)的信息處理和數(shù)據(jù)管理的中心，是省公路信息網(wǎng)的最重要的一部分，其中收費(fèi)業(yè)務(wù)的結(jié)算涉及到省、路公司的經(jīng)營(yíng)收支，高速公路內(nèi)部局域網(wǎng)的數(shù)據(jù)傳輸、對(duì)外與INTERNET網(wǎng)絡(luò)的相連、與銀行系統(tǒng)的連接，正因?yàn)檫@樣，因此這些均要求網(wǎng)絡(luò)安全、可靠，同時(shí)對(duì)本中心的網(wǎng)絡(luò)系統(tǒng)建設(shè)的可靠性、實(shí)用性、可用性尤其是對(duì)網(wǎng)絡(luò)安全也提出了很高的要求。

河南省高速公路信息管理中心網(wǎng)絡(luò)拓?fù)洳捎眯切头派浣Y(jié)構(gòu)。系統(tǒng)具有高可靠性，省中心將省收費(fèi)中心、一區(qū)拆賬中心、監(jiān)控中心統(tǒng)一管理，這樣也很好的避免了資源的浪費(fèi)，最大程度的有效合理的利用設(shè)備，網(wǎng)絡(luò)交換機(jī)和路由器采用合用方式高速公路信息網(wǎng)絡(luò)的安全性取決于出色的系統(tǒng)集成、網(wǎng)絡(luò)安全和網(wǎng)管技術(shù)，強(qiáng)大的安全服務(wù)力量和卓有成效的安全管理制度，但其中安全管理是最關(guān)鍵的。河南省信息管理中心和聯(lián)網(wǎng)收費(fèi)網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全方面做了細(xì)致工作。目前，網(wǎng)絡(luò)中存在的病毒已經(jīng)不計(jì)其數(shù)，并且日有更新，由于工作需要，內(nèi)部網(wǎng)絡(luò)必然與外網(wǎng)連接，病毒也隨時(shí)準(zhǔn)備毀壞數(shù)據(jù)、致癱網(wǎng)絡(luò)，影響正常的網(wǎng)絡(luò)運(yùn)行是其次，也可能給企業(yè)帶來(lái)巨大的損失。也因此我們要及時(shí)的備份用戶的信息，快速及時(shí)的更新病毒庫(kù)，系統(tǒng)升級(jí)，更全面的保護(hù)我省的交通信息管理網(wǎng)絡(luò)。

合理有效的管理是信息技術(shù)網(wǎng)絡(luò)安全十分重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。

在公路信息與管理中更要建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案。因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了當(dāng)前交通信息管理中的首要任務(wù)。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，網(wǎng)絡(luò)的安全建設(shè)是交通信息建設(shè)過(guò)程中重要的一環(huán)。

四、結(jié)語(yǔ)

現(xiàn)代交通管理的信息化建設(shè)雖然有了很大的進(jìn)步，達(dá)到了前所未的高度，但在建設(shè)過(guò)程中由于受信息化意識(shí)、軟硬件條件、人員素質(zhì)等多方面因素制約 導(dǎo)致在信息化建設(shè)過(guò)程中出現(xiàn)了一系列問題并嚴(yán)重阻礙了交通管理信息化建設(shè)的發(fā)展，因此，在交通管理信息化建設(shè)的過(guò)程中，我們應(yīng)結(jié)合實(shí)際情況制定相應(yīng)措施加以解決。

參考文獻(xiàn)：

[1]林達(dá)銘.信息化是實(shí)現(xiàn)交通新的跨越式發(fā)展的必由之路.交通世界.2004(7).