導(dǎo)語(yǔ)：如何才能寫(xiě)好一篇網(wǎng)絡(luò)安全建設(shè)解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

[關(guān)鍵詞] 企業(yè)網(wǎng)絡(luò)信息安全信息保障

計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性使聯(lián)入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)很容易受到黑客、惡意軟件和非法授權(quán)的入侵和攻擊，信息系統(tǒng)中的存儲(chǔ)數(shù)據(jù)暴露無(wú)遺，從而使用戶信息資源的安全和保密受到嚴(yán)重威脅。目前互聯(lián)網(wǎng)使用TCP/IP協(xié)議的設(shè)計(jì)原則，只實(shí)現(xiàn)簡(jiǎn)單的互聯(lián)功能，所有復(fù)雜的數(shù)據(jù)處理都留給終端承擔(dān)，這是互聯(lián)網(wǎng)成功的因素，但它也暴露出數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性受到威脅，任何人都可以通過(guò)監(jiān)聽(tīng)的方法去獲得經(jīng)過(guò)自己網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。在目前不斷發(fā)生互聯(lián)網(wǎng)安全事故的時(shí)候，對(duì)互聯(lián)網(wǎng)的安全狀況進(jìn)行研究與分析已迫在眉睫。

一、 國(guó)外企業(yè)信息安全現(xiàn)狀

調(diào)查顯示，歐美等國(guó)在網(wǎng)絡(luò)安全建設(shè)投入的資金占網(wǎng)絡(luò)建設(shè)資金總額的10%左右，而日韓兩國(guó)則是8%。從國(guó)際范圍來(lái)看，美國(guó)等西方國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)比中國(guó)完善，網(wǎng)絡(luò)安全建設(shè)的起步時(shí)間也比中國(guó)早，因此發(fā)生的網(wǎng)絡(luò)攻擊、盜竊和犯罪問(wèn)題也比國(guó)內(nèi)嚴(yán)重，這也致使這些國(guó)家的企業(yè)對(duì)網(wǎng)絡(luò)安全問(wèn)題有更加全面的認(rèn)識(shí)和足夠的重視，但縱觀全世界范圍，企業(yè)的網(wǎng)絡(luò)安全建設(shè)步伐仍然跟不上企業(yè)發(fā)展步伐和安全危害的升級(jí)速度。

國(guó)外信息安全現(xiàn)狀具有兩個(gè)特點(diǎn)：

(1)各行業(yè)的企業(yè)越來(lái)越認(rèn)識(shí)到IT安全的重要性，并且意識(shí)到安全的必要性，并且把它作為企業(yè)的一項(xiàng)重要工作之一。

(2)企業(yè)對(duì)于網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)建設(shè)的資金投入按比例增長(zhǎng)，而且各項(xiàng)指標(biāo)均明顯高于國(guó)內(nèi)水平。

二、 國(guó)內(nèi)企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

2005年全國(guó)各行業(yè)受眾對(duì)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用狀況數(shù)據(jù)顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，“防火墻”的使用率最高(占76.5%)，其次為“防病毒軟件”的應(yīng)用(占53.1%)。2005年較2004年相比加大了其他網(wǎng)絡(luò)安全技術(shù)的投入，“物理隔離”、“路由器ACL”等技術(shù)已經(jīng)得到了應(yīng)用。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜、易安裝，并可在線升級(jí)等特點(diǎn)。值得注意的是，2005年企事業(yè)單位對(duì)“使用用戶名和密碼登陸系統(tǒng)”、“業(yè)務(wù)網(wǎng)和互聯(lián)網(wǎng)進(jìn)行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例，對(duì)網(wǎng)絡(luò)安全和信息的保護(hù)意識(shí)也越來(lái)越高。生物識(shí)別技術(shù)、虛擬專用網(wǎng)絡(luò)及數(shù)字簽名證書(shū)的使用率較低，有相當(dāng)一部分人不清楚這些技術(shù)，還需要一些時(shí)間才能得到市場(chǎng)的認(rèn)可。

根據(jù)調(diào)查顯示，我國(guó)在網(wǎng)絡(luò)安全建設(shè)投入的資金還不到網(wǎng)絡(luò)建設(shè)資金總額的1%，大幅低于歐美和日韓等國(guó)。我國(guó)目前以中小型企業(yè)占多數(shù)，而中小型企業(yè)由于資金預(yù)算有限，基本上只注重有直接利益回報(bào)的投資項(xiàng)目，對(duì)于網(wǎng)絡(luò)安全這種看不到實(shí)在回饋的資金投入方式普遍表現(xiàn)出不積極態(tài)度。另外，企業(yè)經(jīng)營(yíng)者對(duì)于安全問(wèn)題經(jīng)常會(huì)抱有僥幸的心理，加上缺少專門(mén)的技術(shù)人員和專業(yè)指導(dǎo)，致使國(guó)內(nèi)企業(yè)目前的網(wǎng)絡(luò)安全建設(shè)情況參差不齊，普遍處于不容樂(lè)觀的狀況。

三、 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全對(duì)策分析

“三分技術(shù)，七分管理”是技術(shù)與管理策略在整個(gè)信息安全保障策略中各自重要性的體現(xiàn)，沒(méi)有完善的管理，技術(shù)就是再先進(jìn)，也是無(wú)濟(jì)于事的。以往傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是某一種信息安全產(chǎn)品的某一方面的應(yīng)用方案，只能應(yīng)對(duì)網(wǎng)絡(luò)中存在的某一方面的信息安全問(wèn)題。中國(guó)企業(yè)網(wǎng)絡(luò)的信息安全建設(shè)中經(jīng)常存在這樣一種不正常的現(xiàn)象，就是企業(yè)的整體安全意識(shí)普遍不強(qiáng)，信息安全措施單一，無(wú)法抵御綜合的安全攻擊。隨著上述網(wǎng)絡(luò)安全問(wèn)題的日益突顯，國(guó)內(nèi)網(wǎng)絡(luò)的安全需求也日益提高，這種單一的解決方案就成為了信息安全建設(shè)發(fā)展的瓶頸。因此應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)做到全方位的立體防護(hù)，立體化的解決方案才能真正解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題，立體化是未來(lái)企業(yè)網(wǎng)絡(luò)安全解決方案的趨勢(shì)，而信息保障這一思想就是這一趨勢(shì)的體現(xiàn)。信息保障是最近幾年西方一些計(jì)算機(jī)科學(xué)及信息安全專家提出的與信息安全有關(guān)的新概念，也是信息安全領(lǐng)域一個(gè)最新的發(fā)展方向。

信息保障是信息安全發(fā)展的新階段，用保障(Assurance)來(lái)取代平時(shí)我們用的安全一詞，不僅僅是體現(xiàn)了信息安全理論發(fā)展到了一個(gè)新階段，更是信息安全理念的一種提升與轉(zhuǎn)變。人們開(kāi)始認(rèn)識(shí)到安全的概念已經(jīng)不局限于信息的保護(hù)，人們需要的是對(duì)整個(gè)信息和信息系統(tǒng)的保護(hù)和防御，包括了對(duì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)能力。為了保障信息安全，除了要進(jìn)行信息的安全保護(hù)，還應(yīng)該重視提高安全預(yù)警能力、系統(tǒng)的入侵檢測(cè)能力，系統(tǒng)的事件反應(yīng)能力和系統(tǒng)遭到入侵引起破壞的快速恢復(fù)能力。區(qū)別于傳統(tǒng)的加密、身份認(rèn)證、訪問(wèn)控制、防火墻、安全路由等技術(shù)，信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，同時(shí)安全問(wèn)題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念。

所以一個(gè)全方位的企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問(wèn)控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，增加了惡意攻擊的難度，并增加審核信息的數(shù)量，同時(shí)利用這些審核信息還可以跟蹤入侵者。

參考文獻(xiàn):

[1]付正:安全――我們共同的責(zé)任[J].計(jì)算機(jī)世界，2006，(19)

[2]李理:解剖您身邊的安全[N]．中國(guó)計(jì)算機(jī)報(bào)，2006-4-13

篇2

就在全國(guó)國(guó)稅系統(tǒng)積極進(jìn)行網(wǎng)絡(luò)安全建設(shè)時(shí)，一種新的SQL 蠕蟲(chóng)病毒似乎為了對(duì)我們的系統(tǒng)進(jìn)行考驗(yàn)，侵入了我們國(guó)稅系統(tǒng)的網(wǎng)絡(luò)。該SQL蠕蟲(chóng)病毒名為SQLSlammer。

此蠕蟲(chóng)病毒是一個(gè)新的Internet蠕蟲(chóng)，此病毒利用了微軟MS SQL2000的緩沖區(qū)溢出漏洞，主要攻擊各種版本的Windows操作系統(tǒng)中運(yùn)行的SQL Server 2000 Server和Microsoft Desktop Engine 2000。SQL的UDP的1434端口主要用于客戶端查詢可用的連接方式，但由于程序上的漏洞，當(dāng)客戶端發(fā)送超長(zhǎng)數(shù)據(jù)包時(shí)，將導(dǎo)致緩沖區(qū)溢出，惡意黑客便利用此漏洞在遠(yuǎn)程機(jī)器上執(zhí)行自己準(zhǔn)備好的惡意代碼，將病毒放逐到Internet上。感染病毒的機(jī)器將不斷向外發(fā)送這種UDP數(shù)據(jù)報(bào)造成網(wǎng)絡(luò)堵塞。

SQL病毒的克星

作為全面的網(wǎng)絡(luò)安全整體解決方案與服務(wù)供應(yīng)商，冠群金辰針對(duì)國(guó)稅部門(mén)網(wǎng)絡(luò)特點(diǎn)推出的網(wǎng)絡(luò)安全解決方案成為了幫助廣東國(guó)稅部門(mén)克制SQL病毒的有效手段。在該方案中，冠群金辰的干將/莫邪入侵檢測(cè)軟件(eID)扮演著舉足輕重的作用，它具備完全捕捉SQL蠕蟲(chóng)病毒的特點(diǎn)，能迅速查到病毒源，并采取果斷措施將其隔離，通知已感染蠕蟲(chóng)的相關(guān)系統(tǒng)管理員對(duì)該服務(wù)器進(jìn)行處理，從而在最短的時(shí)間內(nèi)阻止了蠕蟲(chóng)的傳播和對(duì)網(wǎng)絡(luò)的影響。冠群金辰的干將/莫邪入侵檢測(cè)軟件(eID)解決方案通過(guò)自動(dòng)檢測(cè)在網(wǎng)絡(luò)數(shù)據(jù)流中潛在入侵、攻擊和濫用方式，提供了主動(dòng)防御的網(wǎng)絡(luò)保護(hù)功能。

方案主要功能特點(diǎn)

集中監(jiān)視

網(wǎng)絡(luò)管理員可以在本地或遠(yuǎn)程集中監(jiān)控運(yùn)行網(wǎng)絡(luò)入侵檢測(cè)軟件一臺(tái)或者多臺(tái)工作站。通過(guò)在不同網(wǎng)段上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)。

遠(yuǎn)程管理

遠(yuǎn)程用戶可以通過(guò)TCP/IP或調(diào)制解調(diào)器連接訪問(wèn)運(yùn)行網(wǎng)絡(luò)入侵檢測(cè)軟件工作站。一旦連接成功，用戶就可以按照網(wǎng)絡(luò)入侵檢測(cè)軟件管理員定義的許可內(nèi)容，查看和監(jiān)視網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)，修改規(guī)則和生成報(bào)告。

入侵日志及分析

網(wǎng)絡(luò)入侵檢測(cè)軟件提供了一個(gè)綜合系統(tǒng)來(lái)捕捉信息并進(jìn)行分析。軟件安裝完畢并指定一個(gè)存檔位置后，用戶定義一個(gè)可以在檔案文件中記錄任務(wù)數(shù)據(jù)的原則。用戶可以使用瀏覽器過(guò)濾、排序和查看歸檔信息并創(chuàng)建詳細(xì)報(bào)表。

網(wǎng)絡(luò)訪問(wèn)控制

網(wǎng)絡(luò)入侵檢測(cè)軟件以規(guī)則為基礎(chǔ)，定義哪些用戶可以訪問(wèn)網(wǎng)絡(luò)上的特定資源，保證只有授權(quán)用戶才可以訪問(wèn)網(wǎng)絡(luò)資源。

高級(jí)防病毒引擎

病毒掃描引擎可以檢測(cè)和阻止包含了計(jì)算機(jī)病毒的網(wǎng)絡(luò)數(shù)據(jù)流。它可以防止用戶下載被病毒感染的文件。

全面的攻擊方式庫(kù)

網(wǎng)絡(luò)入侵檢測(cè)軟件可以檢測(cè)到網(wǎng)絡(luò)中數(shù)據(jù)流中的攻擊方式，即使在進(jìn)行之中的攻擊也能檢測(cè)

信息包嗅探技術(shù)

網(wǎng)絡(luò)入侵檢測(cè)以秘密的方式運(yùn)行，使得攻擊者無(wú)法感知到?？统３Ｔ跊](méi)有察覺(jué)的情況下被抓獲。

URL限制

字匹配掃描

網(wǎng)絡(luò)適用日志

成功應(yīng)用

篇3

[關(guān)鍵詞]信息安全等級(jí)保護(hù)分級(jí)分域網(wǎng)絡(luò)隔離安全防護(hù)

1網(wǎng)絡(luò)現(xiàn)狀及防護(hù)需求

福建省莆田電業(yè)局已構(gòu)建了信息網(wǎng)絡(luò),已經(jīng)穩(wěn)定運(yùn)行有財(cái)務(wù)管理、安全生產(chǎn)管理、協(xié)同辦公、電力營(yíng)銷(xiāo)、ERP等應(yīng)用系統(tǒng)。隨著國(guó)家電網(wǎng)公司“SG186”工程的信息化建設(shè)的推進(jìn)工作,網(wǎng)絡(luò)和信息系統(tǒng)情況復(fù)雜,迫切需要進(jìn)行信息安全全面建設(shè)。

根據(jù)國(guó)家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T22240-2008)、國(guó)家《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T-22239-2008)、《國(guó)家電網(wǎng)公司“SG186”工程安全防護(hù)總體方案》、《國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)驗(yàn)收測(cè)評(píng)要求(試行)》等文件要求,按照統(tǒng)籌資源,重點(diǎn)保護(hù),適度安全的原則,依據(jù)等級(jí)保護(hù)定級(jí)結(jié)果,采用“二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)獨(dú)立分域”的方法,對(duì)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行分級(jí)分域。

2安全防護(hù)建設(shè)目標(biāo)

通過(guò)項(xiàng)目的實(shí)施,按照“層層遞進(jìn),縱深防御”的思想,從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行安全防護(hù)等級(jí)保護(hù)設(shè)計(jì)和施工,使莆田電業(yè)局信息系統(tǒng)符合國(guó)家和國(guó)家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級(jí)保護(hù)建設(shè)要求。

3實(shí)施方法

信息系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)一般分三個(gè)階段:

第一階段:合理進(jìn)行安全域劃分和初步規(guī)劃,針對(duì)重要信息進(jìn)行防護(hù)。主要表現(xiàn)在針對(duì)業(yè)務(wù)安全要求比較高的信息系統(tǒng)如ERP、財(cái)務(wù)系統(tǒng)域進(jìn)行防護(hù),以及針對(duì)互聯(lián)網(wǎng)出口的應(yīng)用層防護(hù)。

第二階段:針對(duì)當(dāng)前信息網(wǎng)絡(luò)狀態(tài),按照等級(jí)保護(hù)要求進(jìn)行等級(jí)化評(píng)估、安全評(píng)估和合理定級(jí),全面獲取當(dāng)前安全現(xiàn)狀以及企業(yè)信息化建設(shè)的特殊需求。在評(píng)估基礎(chǔ)上,全面從等級(jí)保護(hù)要求及企業(yè)信息化建設(shè)的安全需求出發(fā),合理進(jìn)行安全方案設(shè)計(jì)。

第三階段:根據(jù)設(shè)計(jì)方案,全面開(kāi)展等級(jí)化改造,包括技術(shù)措施和管理措施的完善,建立完整的信息安全體系,并且根據(jù)相關(guān)要求進(jìn)行運(yùn)行維護(hù)。

4分級(jí)分域安全防護(hù)方解決方案

信息網(wǎng)絡(luò)系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)應(yīng)當(dāng)按照國(guó)家標(biāo)準(zhǔn)和國(guó)家電網(wǎng)公司“SG186”工程相關(guān)規(guī)定的要求完成,通過(guò)項(xiàng)目建設(shè)實(shí)施保障莆田電業(yè)局信息化管理系統(tǒng)的安全運(yùn)營(yíng)。

4.1 分級(jí)分域設(shè)計(jì)方案及安全等級(jí)建設(shè)要求

莆田電業(yè)局信息網(wǎng)絡(luò)主要分為兩個(gè)部分:信息內(nèi)網(wǎng)和信息外網(wǎng),兩個(gè)網(wǎng)絡(luò)之間通過(guò)強(qiáng)制隔離設(shè)備進(jìn)行隔離。

信息內(nèi)網(wǎng)分級(jí)分域及安全等級(jí)建設(shè)要求:

4.1.1二級(jí)系統(tǒng)域

二級(jí)系統(tǒng)域是指協(xié)同辦公系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、企業(yè)門(mén)戶、ERP等信息系統(tǒng)

安全建設(shè)等級(jí):基于信息系統(tǒng)的整合,所有二級(jí)系統(tǒng)統(tǒng)一部署于二級(jí)系統(tǒng)域,并根據(jù)國(guó)家安全等級(jí)保護(hù)標(biāo)準(zhǔn)和國(guó)家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級(jí)保護(hù)基本要求等規(guī)范要求,按照安全防護(hù)等級(jí)二級(jí)進(jìn)行建設(shè)。

4.1.2內(nèi)網(wǎng)桌面終端域

信息內(nèi)網(wǎng)桌面終端是用于內(nèi)網(wǎng)業(yè)務(wù)操作及內(nèi)網(wǎng)業(yè)務(wù)辦公處理,通過(guò)對(duì)桌面辦公終端按業(yè)務(wù)部門(mén)或訪問(wèn)類型進(jìn)一步進(jìn)行VLAN區(qū)域細(xì)分,實(shí)現(xiàn)不同的業(yè)務(wù)訪問(wèn)需求指定訪問(wèn)控制及其他防護(hù)措施,由于桌面終端的安全防護(hù)與應(yīng)用系統(tǒng)不同,將其劃分為獨(dú)立區(qū)域進(jìn)行安全防護(hù)。

安全建設(shè)等級(jí):按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè);

信息外網(wǎng)分級(jí)分域及安全等級(jí)建設(shè)要求:

4.1.3外網(wǎng)應(yīng)用系統(tǒng)域

需與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換的系統(tǒng)統(tǒng)一部署為外網(wǎng)系統(tǒng)域。

安全建設(shè)等級(jí):按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè);

4.1.4外網(wǎng)桌面終端域

外網(wǎng)桌面終端用于外網(wǎng)業(yè)務(wù)辦公及互聯(lián)網(wǎng)訪問(wèn),對(duì)外網(wǎng)桌面辦公終端按業(yè)務(wù)部門(mén)或訪問(wèn)類型進(jìn)行區(qū)域細(xì)分,針對(duì)不同業(yè)務(wù)訪問(wèn)需求進(jìn)行訪問(wèn)控制及其他防護(hù)措施。

安全建設(shè)等級(jí):按照安全等級(jí)二級(jí)進(jìn)行安全建設(shè);

圖1改造后的網(wǎng)絡(luò)拓?fù)鋱D

4.2 安全防護(hù)部署方案

4.2.1防火墻等級(jí)保護(hù)部署方案

目前網(wǎng)絡(luò)中主要使用防火墻來(lái)保證基礎(chǔ)安全。它監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問(wèn)通道,以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。

項(xiàng)目在四個(gè)域與核心交換機(jī)的連接點(diǎn)分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見(jiàn)圖1),并進(jìn)行了相應(yīng)的配置。

防火墻典型的網(wǎng)絡(luò)部署模式包括路由模式和透明模式,本項(xiàng)目中,考慮到防火墻負(fù)責(zé)轉(zhuǎn)發(fā)各個(gè)區(qū)域的用戶訪問(wèn),采取透明模式部署。

根據(jù)企業(yè)安全區(qū)域的劃分,部署防火墻對(duì)不同區(qū)域之間的網(wǎng)絡(luò)流量進(jìn)行控制,基本原則為:高安全級(jí)別區(qū)域可以訪問(wèn)低安全級(jí)別區(qū)域,低安全級(jí)別嚴(yán)格受控訪問(wèn)高安全級(jí)別區(qū)域,進(jìn)行如下基本配置策略:

防火墻設(shè)置為默認(rèn)拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒(méi)有明確的規(guī)則允許通過(guò),全部拒絕以保證安全;

配置防火墻防DOS/DDOS功能,對(duì)Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務(wù)攻擊進(jìn)行防范;

配置防火墻全面安全防范能力,包括arp欺騙攻擊的防范,提供arp主動(dòng)反向查詢、tcp報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等。

4.2.2入侵防護(hù)系統(tǒng)等級(jí)保護(hù)部署方案

在傳統(tǒng)的安全解決方案中,防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)無(wú)法滿足高危網(wǎng)絡(luò)的安全需求,互聯(lián)網(wǎng)上流行的蠕蟲(chóng)、P2P、木馬等安全威脅日益滋長(zhǎng),必須有相應(yīng)的技術(shù)手段和解決方案來(lái)解決對(duì)應(yīng)用層的安全威脅。以入侵防御系統(tǒng)為代表的應(yīng)用層安全設(shè)備作為防火墻的重要補(bǔ)充,很好地解決了應(yīng)用層防御的問(wèn)題,并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。通過(guò)部署IPS,可以在線檢測(cè)并直接阻斷惡意流量。

項(xiàng)目在外網(wǎng)系統(tǒng)部署1臺(tái)啟明星辰天清NIPS3060入侵防護(hù)系統(tǒng)。

4.2.3服務(wù)器換機(jī)等級(jí)保護(hù)部署方案

服務(wù)器交換機(jī)采用華為QuidwayS9306高端多業(yè)務(wù)路由交換機(jī),該產(chǎn)品基于華為公司自主知識(shí)產(chǎn)權(quán)的Comware V5操作系統(tǒng),融合了MPLS、IPv6、網(wǎng)絡(luò)安全等多種業(yè)務(wù),提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種可靠技術(shù),在提高用戶生產(chǎn)效率的同時(shí),保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間,從而降低企業(yè)的總擁有成本。

項(xiàng)目配置兩臺(tái)華為QuidwayS9306交換機(jī)分別用作內(nèi)網(wǎng)二級(jí)系統(tǒng)域和外網(wǎng)應(yīng)用系統(tǒng)域,配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡,保證了服務(wù)器換機(jī)的安全可靠。

4.2.4終端匯聚交換機(jī)等級(jí)保護(hù)部署方案

終端匯聚交換機(jī)采用華為Quidway LS-S5328C交換機(jī),實(shí)現(xiàn)信息內(nèi)外網(wǎng)桌面終端域的安全接入。

華為QuidwayLS-S5300系列交換機(jī)是華為公司最新開(kāi)發(fā)的增強(qiáng)型IPv6萬(wàn)兆以太網(wǎng)交換機(jī),具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴(kuò)展接口;支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā);出色的安全性、可靠性和多業(yè)務(wù)支持能力使其成為網(wǎng)絡(luò)匯聚和城域網(wǎng)邊緣設(shè)備的第一選擇。

配置2臺(tái)桌面終端匯聚交換機(jī)分別部署在信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

5網(wǎng)絡(luò)安全成果分析

福建省莆田電業(yè)局信息網(wǎng)絡(luò)系統(tǒng)分級(jí)分域安全防護(hù)建設(shè)項(xiàng)目從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行了安全防護(hù)等級(jí)保護(hù)設(shè)計(jì)及工程實(shí)施,對(duì)原有網(wǎng)絡(luò)、安全設(shè)備進(jìn)行了調(diào)整,實(shí)現(xiàn)了安全域的劃分,實(shí)現(xiàn)了對(duì)關(guān)鍵業(yè)務(wù)的安全防護(hù),達(dá)到了國(guó)家和國(guó)家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級(jí)保護(hù)建設(shè)要求,并通過(guò)了國(guó)家電網(wǎng)公司等級(jí)測(cè)評(píng)驗(yàn)收。

參考文獻(xiàn):

[1] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(GB/T22240-2008)

[2] 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T-22239-2008)

篇4

第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周近日在北京中華世紀(jì)壇如期舉行，本屆宣傳周沿用首屆“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”主題。期間，騰訊與啟明星辰聯(lián)合宣布達(dá)成戰(zhàn)略合作，并面向企業(yè)市場(chǎng)推出全面的終端安全解決方案――云子可信網(wǎng)絡(luò)防病毒系統(tǒng)，建立國(guó)內(nèi)強(qiáng)強(qiáng)聯(lián)合的企業(yè)安全服務(wù)戰(zhàn)略聯(lián)盟，為“互聯(lián)網(wǎng)+”國(guó)家戰(zhàn)略落地提供終端安全服務(wù)。

安全行業(yè)加速整合

啟明星辰副總裁兼首席戰(zhàn)略官潘柱廷表示：“新時(shí)期企業(yè)安全形勢(shì)已經(jīng)發(fā)生了巨大變化。企業(yè)防御需求，從合規(guī)性需求向內(nèi)在需求變化，而網(wǎng)絡(luò)入侵等安全威脅也越來(lái)越體系化、形勢(shì)更加嚴(yán)峻。”啟明星辰、騰訊的戰(zhàn)略合作，凸顯中國(guó)自主安全技術(shù)聯(lián)盟的實(shí)力，符合國(guó)家網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略方針。

過(guò)去，無(wú)論是企業(yè)終端安全，還是用戶終端安全，不同領(lǐng)域內(nèi)的安全廠商雖均有推出自己主打的安全產(chǎn)品，但國(guó)內(nèi)的企業(yè)終端安全服務(wù)市場(chǎng)分散，行業(yè)整合度不高，企業(yè)終端安全產(chǎn)品在安全防護(hù)上大多是孤軍奮戰(zhàn)，不同廠商之間難以形成產(chǎn)品聯(lián)動(dòng)，鮮有及時(shí)聯(lián)動(dòng)的完整的企業(yè)終端安全解決方案；近兩年頻繁發(fā)生的企業(yè)網(wǎng)絡(luò)遭受攻擊、用戶數(shù)據(jù)泄露事件，引發(fā)安全廠商對(duì)企業(yè)終端安全問(wèn)題的關(guān)注。

騰訊副總裁馬斌認(rèn)為，互聯(lián)網(wǎng)化呈現(xiàn)了三個(gè)業(yè)態(tài)，分別是智能化、數(shù)據(jù)化和實(shí)時(shí)化，其中最重要的一點(diǎn)就是互聯(lián)網(wǎng)的安全，騰訊認(rèn)為互聯(lián)網(wǎng)+安全才能更加有效的保證互聯(lián)網(wǎng)化的順利進(jìn)行。

面對(duì)互聯(lián)網(wǎng)的發(fā)展與變化，各行各業(yè)都在進(jìn)行朝向“互聯(lián)網(wǎng)+”的轉(zhuǎn)型，無(wú)論是國(guó)家級(jí)，企業(yè)級(jí)或是個(gè)人用戶都在做“互聯(lián)網(wǎng)+”的建設(shè)，而在云、管、端的每個(gè)層面都需要構(gòu)筑完善，“互聯(lián)網(wǎng)+”要如何才能在安全的生態(tài)環(huán)境下進(jìn)行是一個(gè)重要的課題，啟明星辰首席戰(zhàn)略官潘柱廷表示：“安全在‘互聯(lián)網(wǎng)+’的進(jìn)程中已經(jīng)不止是‘加’的關(guān)系，而是‘乘’的關(guān)系?！狈催^(guò)來(lái)說(shuō)，如果對(duì)網(wǎng)絡(luò)安全的問(wèn)題沒(méi)有投入足夠的注意力，那么之前在互聯(lián)網(wǎng)方面的積累可能會(huì)變成一種災(zāi)害，企業(yè)必須提升網(wǎng)絡(luò)安全建設(shè)水平。

安全廠商需要各抒己長(zhǎng)、協(xié)同合作給用戶帶來(lái)最好的網(wǎng)絡(luò)安全解決方案。啟明星辰首席戰(zhàn)略官潘柱廷表示：“安全廠商不存在什么‘一招鮮’，而是需要做好自己擅長(zhǎng)的，而后同其他企業(yè)協(xié)同合作一同完善網(wǎng)絡(luò)安全體系。”

正如啟明星辰副總裁歐陽(yáng)梅雯所言：“企業(yè)級(jí)的市場(chǎng)很大，只有一家供應(yīng)商是不健康的，只有多家供應(yīng)商共同為用戶服務(wù)，有競(jìng)爭(zhēng)，有相互合作，也有追趕，才能為用戶提供最健康的生態(tài)環(huán)境。我們希望和友商之間，通過(guò)良性競(jìng)爭(zhēng)的方式讓用戶得到最安全、最實(shí)惠、最好的產(chǎn)品?！?/p>

在此背景下，騰訊與啟明星辰的合作秉承“開(kāi)放、聯(lián)合、共享”的原則，通過(guò)開(kāi)放騰訊安全云庫(kù)的能力給啟明星辰，結(jié)合啟明星辰對(duì)網(wǎng)絡(luò)安全的深層理解和安全產(chǎn)品研發(fā)能力，為國(guó)內(nèi)企業(yè)級(jí)市場(chǎng)提供安全產(chǎn)品，并希望以此來(lái)推動(dòng)“互聯(lián)網(wǎng)+”的落地與演進(jìn)。

優(yōu)勢(shì)互補(bǔ)

共筑企業(yè)安全生態(tài)圈

據(jù)了解，云子可信結(jié)合了啟明星辰在企業(yè)級(jí)市場(chǎng)安全威脅管理方面近20年的深厚技術(shù)沉淀，以及騰訊在終端安全防護(hù)領(lǐng)域長(zhǎng)達(dá)16年的深厚技術(shù)積累，可謂繼承了雙方的“最強(qiáng)基因”。馬斌表示，云子可信是“雙方打破壁壘，實(shí)現(xiàn)強(qiáng)強(qiáng)聯(lián)合、優(yōu)勢(shì)互補(bǔ)，針對(duì)企業(yè)內(nèi)網(wǎng)終端用戶容易遇到的各類問(wèn)題，提供一整套的完整終端管控安全解決方案。”

據(jù)了解，通過(guò)雙方的技術(shù)結(jié)合，云子可信解決方案打通B端企業(yè)和C端用戶，在全球首創(chuàng)了B端企業(yè)+C端用戶雙向溝通的高效管理模式――全景、全面、高效的全方位管理模式，構(gòu)建了企業(yè)安全的新生態(tài)。

云子可信網(wǎng)絡(luò)防病毒系統(tǒng)顛覆了傳統(tǒng)企業(yè)安全防護(hù)產(chǎn)品的運(yùn)營(yíng)模式，首次采取“安全+管理”的一體化架構(gòu)，并融合了騰訊TAV自主研發(fā)殺毒引擎、安全云庫(kù)、云引擎等核心技術(shù)優(yōu)勢(shì)，以及啟明星辰多年服務(wù)企業(yè)安全的運(yùn)營(yíng)經(jīng)驗(yàn)，代表了中國(guó)自主企業(yè)安全的最好水平。

根據(jù)雙方達(dá)成的戰(zhàn)略協(xié)議，云子可信網(wǎng)絡(luò)防病毒系統(tǒng)將由啟明星辰負(fù)責(zé)產(chǎn)品和渠道運(yùn)營(yíng)，而騰訊輸出引擎和云服務(wù)等核心技術(shù)。啟明星辰是國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，擁有橫跨防火墻/UTM、入侵檢測(cè)管理、網(wǎng)絡(luò)審計(jì)、終端管理、加密認(rèn)證等技術(shù)領(lǐng)域共計(jì)百余個(gè)產(chǎn)品型號(hào)，同時(shí)還是我國(guó)規(guī)模最大的國(guó)家級(jí)網(wǎng)絡(luò)安全研究基地。啟明星辰曾完成包括國(guó)家發(fā)改委產(chǎn)業(yè)化示范工程，國(guó)家科技部863計(jì)劃、國(guó)家科技支撐計(jì)劃等國(guó)家級(jí)科研項(xiàng)目近百項(xiàng)，擁有豐富的企業(yè)級(jí)安全產(chǎn)品設(shè)計(jì)、開(kāi)發(fā)經(jīng)驗(yàn)。

云子可信網(wǎng)絡(luò)防病毒系統(tǒng)致力于為企業(yè)級(jí)用戶提供終端的全面安全防護(hù)，并有以下特色：

云部署模式――云子可信網(wǎng)絡(luò)防病毒系統(tǒng)采用了云部署模式，一方面通過(guò)檢測(cè)特征云的方式，及時(shí)更新至病毒特征庫(kù)；另一方面，為企業(yè)級(jí)用戶提供了云查殺的模式，減少客戶端PC的額外計(jì)算開(kāi)銷(xiāo)，提升用戶的使用體驗(yàn)。

一鍵安全――云子可信網(wǎng)絡(luò)防病毒系統(tǒng)充分考慮了終端安全產(chǎn)品使用習(xí)慣，摒棄了復(fù)雜的交互界面，提供一鍵式安全防護(hù)。

管理+安全――云子可信網(wǎng)絡(luò)防病毒系統(tǒng)不僅僅是殺毒軟件，針對(duì)企業(yè)內(nèi)網(wǎng)終端用戶容易遇到的各類問(wèn)題，如機(jī)器變慢甚至死機(jī)、關(guān)鍵信息泄露、越權(quán)的網(wǎng)絡(luò)訪問(wèn)等，也提供了相應(yīng)的解決方案。實(shí)現(xiàn)了真正意義上的完整終端管控安全解決方案。

此外，云子可信的惡意代碼分析技術(shù)即源于啟明星辰ADLab――多年來(lái)一直保持亞洲地區(qū)CVE漏洞數(shù)量領(lǐng)先的地位，在惡意代碼分析技術(shù)方面也有著深厚的技術(shù)積累。

騰訊安全則將全球最大的風(fēng)險(xiǎn)管理數(shù)據(jù)庫(kù)――安全云庫(kù)開(kāi)放給云子可信，讓這套終端安全威脅整體解決方案可以為用戶提供強(qiáng)有力的安全檢測(cè)能力，避免由于訪問(wèn)惡意域名導(dǎo)致的各類損失，維護(hù)用戶的安全上網(wǎng)環(huán)境。騰訊自主研發(fā)的TAV反病毒引擎對(duì)于木馬、病毒、蠕蟲(chóng)、僵尸程序等均有極高的識(shí)別和處理能力，通過(guò)云子可信結(jié)合云查殺的虛擬執(zhí)行技術(shù)，可以對(duì)各類復(fù)雜甚至是未知惡意代碼進(jìn)行完美識(shí)別和查殺，同時(shí)保證終端用戶的使用體驗(yàn)。

篇5

[關(guān)鍵詞] 網(wǎng)絡(luò)安全防火墻陳舊設(shè)備

近年來(lái)，隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)心的問(wèn)題。目前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種:一種是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅;另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。其中，來(lái)自外部或內(nèi)部人員的惡意攻擊和入侵是當(dāng)前因特網(wǎng)所面臨的最大威脅，是電子商務(wù)、政府上網(wǎng)工程等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的最有效辦法是采用防火墻。但是，由于缺乏安全防范意識(shí)和對(duì)關(guān)鍵的核心技術(shù)掌握不夠，我國(guó)的信息安全形勢(shì)不容樂(lè)觀。黑客的侵?jǐn)_也是破壞信息安全的主要因素之一。目前，因特網(wǎng)上已有上萬(wàn)個(gè)黑客網(wǎng)站，而且技術(shù)不斷創(chuàng)新，基本的攻擊手法已多達(dá)上千種。即使是防衛(wèi)森嚴(yán)的美國(guó)國(guó)防信息系統(tǒng)也頻頻遭受攻擊，并且成功進(jìn)入率高達(dá)63％。中國(guó)目前已經(jīng)有幾千萬(wàn)的網(wǎng)民，信息安全問(wèn)題已經(jīng)大量出現(xiàn)。信息安全已經(jīng)成為企業(yè)，政府部門(mén)網(wǎng)絡(luò)建設(shè)的重中之重。

一、防火墻概述

定義1:防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,其實(shí)質(zhì)就是限制或允許數(shù)據(jù)的流通。

Internet防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。防火墻用于在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層。所有來(lái)自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。從邏輯上講，防火墻是分離器、限制器、分析器。防火墻的物理實(shí)現(xiàn)方式又有所不同，通常一個(gè)防火墻由一套硬件(一個(gè)路由器或路由器的組合，一臺(tái)主機(jī))和適當(dāng)?shù)能浖M成。

1.防火墻的主要功能

(1)作為網(wǎng)絡(luò)安全策略的焦點(diǎn)。把防火墻作為網(wǎng)絡(luò)通信的阻塞點(diǎn)，所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)這個(gè)唯一的阻塞點(diǎn)。防火墻為網(wǎng)絡(luò)安全起到了把關(guān)的作用，它讓我們把安全防范集中在內(nèi)外網(wǎng)絡(luò)連接的阻塞點(diǎn)上。

(2)強(qiáng)化安全策略。因?yàn)镮nternet 每天都有上百萬(wàn)人在那里收集、交換信息，不可避免會(huì)出現(xiàn)個(gè)別品德不良或違反規(guī)則的人。防火墻是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。

(3)有效記錄網(wǎng)絡(luò)活動(dòng)。因?yàn)樗械膫鬏斝畔⒍紩?huì)穿過(guò)防火墻，所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息。

(4)掩蓋內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。防火墻能夠?qū)?nèi)部網(wǎng)絡(luò)分為多個(gè)網(wǎng)段，限制訪問(wèn)等等。所以，它可以用來(lái)防止對(duì)內(nèi)部網(wǎng)絡(luò)的惡意探測(cè)。。

2.目前防火墻的差異

正如中國(guó)的一句俗語(yǔ)所說(shuō)的“一母生九子，九子各不同”，在這短短的時(shí)間內(nèi)涌現(xiàn)出的各種安全設(shè)備同樣存在著各種各樣的差異，這些差異主要來(lái)源與。

（1)產(chǎn)品采用的核心技術(shù)，體系架構(gòu)的不同。

（2)廠商技術(shù)實(shí)力的差距。

（3)開(kāi)發(fā)成本的約束。

（4)生產(chǎn)成本的限制。

（5)產(chǎn)品定位、目標(biāo)客戶群不同。

由于以上各種限制因素的存在，造成了產(chǎn)品在各個(gè)方面形成差距，主要表現(xiàn)在:產(chǎn)品安全性;產(chǎn)品穩(wěn)定性;產(chǎn)品性價(jià)比;產(chǎn)品技術(shù)先進(jìn)性;產(chǎn)品實(shí)際應(yīng)用定位;售后服務(wù)支持能力;產(chǎn)品可持續(xù)升級(jí)能力。

不同廠商所開(kāi)發(fā)的防火墻產(chǎn)品或者是同一廠商所提供的不同系列的防火墻產(chǎn)品在各個(gè)方面都存在著差異，這些差異可能會(huì)構(gòu)成客戶選擇的參考因素。但是與此同時(shí)，這些差異也構(gòu)成了產(chǎn)品的不同特點(diǎn)，也就是所謂“尺有所短，寸有所長(zhǎng)”。在網(wǎng)絡(luò)中充分結(jié)合利用各家產(chǎn)品的優(yōu)點(diǎn)長(zhǎng)處，取長(zhǎng)補(bǔ)短，則會(huì)讓組合方案發(fā)揮出最大效果，實(shí)現(xiàn)單一產(chǎn)品所無(wú)法達(dá)到的性能。

二、企業(yè)信息安全建設(shè)現(xiàn)狀

企業(yè)的信息安全建設(shè)是一個(gè)持續(xù)的、艱巨的過(guò)程，它不可能一蹴而就，這就意味著企業(yè)IT主管必須時(shí)刻關(guān)注業(yè)內(nèi)最新動(dòng)態(tài)，追蹤熱門(mén)技術(shù)，保證企業(yè)網(wǎng)絡(luò)能夠快速適應(yīng)當(dāng)前的反黑形勢(shì)。企業(yè)網(wǎng)絡(luò)的狀況是在不斷的變化的。業(yè)內(nèi)各安全產(chǎn)品的優(yōu)劣形勢(shì)也在變化，所以當(dāng)年的最佳解決方案在今天看上去往往已經(jīng)不能滿足企業(yè)的需要。企業(yè)IT人員有責(zé)任將之快速扭轉(zhuǎn)過(guò)來(lái)。扭轉(zhuǎn)這種落后局面的方法有很多種，最常見(jiàn)的也是最有效的方法就是“設(shè)備替換法”。這種方法關(guān)注于尋求當(dāng)前最先進(jìn)同類產(chǎn)品，將網(wǎng)絡(luò)已有的陳舊設(shè)備簡(jiǎn)單替換即可，以求得實(shí)現(xiàn)最新技術(shù)在網(wǎng)絡(luò)中的運(yùn)用，達(dá)到當(dāng)前網(wǎng)絡(luò)安全的需要。但是，這種方法沒(méi)有考慮到陳舊設(shè)備的再利用，替換下來(lái)的陳舊設(shè)備一般而言無(wú)法出售，只能閑置或遺棄，造成企業(yè)固定資產(chǎn)的流失浪費(fèi)。既然升級(jí)是不可避免的，而且大多情況下又是非常緊迫的，那么如何進(jìn)行網(wǎng)絡(luò)安全升級(jí)改造，達(dá)到既不浪費(fèi)資產(chǎn)又要發(fā)揮出產(chǎn)品最大性能的目的呢？這個(gè)問(wèn)題已經(jīng)成為企業(yè)IT主管的重要考慮課題。

三、解決辦法

1.利用原有設(shè)備組成新的防火墻

疊加式防火墻（圖1）將多臺(tái)防火墻串聯(lián)在一條鏈路之上（如企業(yè)網(wǎng)絡(luò)的出口位置），所有訪問(wèn)流量都要先后通過(guò)多臺(tái)不同廠家的防火墻的審計(jì)保護(hù)，每種防火墻都將按照自己特定的體系結(jié)構(gòu)和安全策略對(duì)過(guò)往流量進(jìn)行核查，利用新設(shè)備來(lái)防范新的網(wǎng)絡(luò)攻擊方式。組合后的整個(gè)防火墻系統(tǒng)的漏洞集是每臺(tái)防火墻漏洞的集的交集，網(wǎng)絡(luò)攻擊滲透過(guò)整套系統(tǒng)的概率將會(huì)大大降低，因此該部署方式能夠充分結(jié)合多臺(tái)防火墻在安全、審計(jì)方面的多種優(yōu)勢(shì)，同時(shí)所購(gòu)買(mǎi)的新設(shè)備不用具有舊設(shè)備所具有的功能，從而大大節(jié)約了開(kāi)支，降低了成本。

2.利用原有設(shè)備為網(wǎng)絡(luò)提供備用防火墻

并行式組合方式（圖2）強(qiáng)調(diào)的是提供整套系統(tǒng)的健壯性，即利用陳舊設(shè)備為網(wǎng)絡(luò)提供一個(gè)并行的防火墻設(shè)備。因?yàn)槊總€(gè)系統(tǒng)都有自己的平均無(wú)故障時(shí)間間隔MTBF值，這意味著無(wú)論何種設(shè)備都很難保證長(zhǎng)時(shí)間平穩(wěn)地運(yùn)行，因此，為了保護(hù)企業(yè)網(wǎng)絡(luò)應(yīng)用的連續(xù)性和穩(wěn)定性，企業(yè)網(wǎng)管人員可以考慮采用多種防火墻設(shè)備并行的部署方式，來(lái)獲得較大的MTBF值；除此之外，通過(guò)并行部署，企業(yè)網(wǎng)絡(luò)出口流量能夠得到大幅度分流，并且可以根據(jù)用戶類型或應(yīng)用業(yè)務(wù)不同而劃分不同的路由，在不同廠家的防火墻上實(shí)現(xiàn)針對(duì)性的防護(hù)措施，從而實(shí)現(xiàn)安全性更高的防護(hù)體系。但是并行的方式在部署上會(huì)有很大難度，里面可能涉及網(wǎng)絡(luò)需要改造和調(diào)整，所以采用這種方式的可行性有限。

在上面所論述的方案中，有一點(diǎn)需要特別注意，那就是新舊設(shè)備必須是不同種類、不同廠家的產(chǎn)品。其中的原因就是同一生產(chǎn)廠家的產(chǎn)品在技術(shù)原理上往往呈現(xiàn)一種連續(xù)性，類似于人類的“血緣關(guān)系”一樣，這就造成同一生產(chǎn)廠家的產(chǎn)品具備很大的相似性。所以，如果某廠家的某類產(chǎn)品存在某種缺陷的話，那么該廠家的其他同類產(chǎn)品通常也會(huì)存在該缺陷；反之亦然，同一生產(chǎn)廠家的產(chǎn)品也會(huì)具備相近的優(yōu)點(diǎn)。這樣一來(lái)，采用同一生產(chǎn)廠家的多臺(tái)防火墻產(chǎn)品進(jìn)行組合應(yīng)用所形成的系統(tǒng)擁有與單機(jī)完全相同的缺陷，而且轉(zhuǎn)發(fā)處理延遲、系統(tǒng)穩(wěn)定性都回明顯降低，完全失去了實(shí)際意義。因而，采用不同生產(chǎn)廠家的防火墻系統(tǒng)是實(shí)現(xiàn)高效、穩(wěn)定、健壯的組合系統(tǒng)的最重要的前提條件。

四、結(jié)論

多廠商防火墻系統(tǒng)的組合應(yīng)用是一種比較高效的解決方案，在企業(yè)資金還不寬裕，而網(wǎng)絡(luò)安全形勢(shì)又十分嚴(yán)峻的情況下，它既可以充分利用現(xiàn)有設(shè)備，保護(hù)企業(yè)已有的投資，又能實(shí)現(xiàn)更為理想的網(wǎng)絡(luò)保護(hù)效果，可謂是一舉兩得。

參考文獻(xiàn):

[1]海爾（美）劉成勇等:Internet防火墻與網(wǎng)絡(luò)安全[M].北京:機(jī)械工業(yè)出版社，1998

[2]張兆信:計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].北京:機(jī)械工業(yè)出版社，2005

[3]劉淵:因特網(wǎng)防火墻技術(shù)[M].北京:機(jī)械工業(yè)出版社，1998

篇6

對(duì)于具有開(kāi)發(fā)性、國(guó)際性和自由度的互聯(lián)網(wǎng)在增加應(yīng)用自由度的同時(shí)，也存在著太多太復(fù)雜的安全隱患，信息安全令人擔(dān)擾。有人這樣說(shuō)：“如果上網(wǎng)，你所受到的安全威脅將增大幾倍；而如果不上網(wǎng)，則你所得到的服務(wù)將減少幾倍”。因此，可信網(wǎng)絡(luò)已經(jīng)成為當(dāng)前研究的熱點(diǎn)話題。網(wǎng)絡(luò)應(yīng)為科研服務(wù)，作為校園網(wǎng)在提高管理效率、促進(jìn)教科研發(fā)展、方便校園生活的同時(shí)，網(wǎng)絡(luò)中的各種安全問(wèn)題也層出不窮，提高IT安全建設(shè)和管理水平已成為高校信息化建設(shè)中不容忽視的重要工作內(nèi)容。

2 校園網(wǎng)安全面臨的困難

現(xiàn)在大多數(shù)校園網(wǎng)以Windows作為系統(tǒng)平臺(tái)，因?yàn)槠涔δ芴?，太?fù)雜了（Windows操作系統(tǒng)就有上千萬(wàn)行程序），致使操作系統(tǒng)都不可能做到完全正確，所以其它系統(tǒng)的安全性能都是很難保證的。對(duì)于具有更復(fù)雜環(huán)境的校園網(wǎng)來(lái)說(shuō)，不但面臨著系統(tǒng)安全及其威脅，而且還具有自已的特殊性。一方面，學(xué)生的好奇心強(qiáng)，一些學(xué)生社會(huì)責(zé)任感較輕，喜歡挑戰(zhàn)；另一方面，校園網(wǎng)的網(wǎng)絡(luò)條件普遍較好，計(jì)算機(jī)來(lái)源又較為復(fù)雜，隱蔽的IP地址使之更容易實(shí)施網(wǎng)絡(luò)攻擊。同時(shí)，教育信息化管理中長(zhǎng)期形成的“重技術(shù)，輕管理”的思想，也使得校園網(wǎng)的安全形勢(shì)更加嚴(yán)峻。

隨著信息技術(shù)的不斷發(fā)展，病毒傳播的途徑越來(lái)越多樣化。對(duì)于校園網(wǎng)管理人員而言，還不得不面對(duì)大面積的ARP欺騙病毒，這對(duì)于用戶群龐大而導(dǎo)致可控性和有序性很差的校園網(wǎng)提出了巨大的挑戰(zhàn)，構(gòu)建校園網(wǎng)絡(luò)應(yīng)急響應(yīng)機(jī)制迫在眉睫。

3 校園網(wǎng)應(yīng)急響應(yīng)機(jī)制的建立

2007年6-7月間，由教育部科技發(fā)展中心主辦、中國(guó)教育網(wǎng)絡(luò)雜志承辦的“2007教育行業(yè)信息安全大會(huì)”在北京等地召開(kāi)。會(huì)議對(duì)“高校建立應(yīng)急響應(yīng)機(jī)制”進(jìn)行了專題問(wèn)卷調(diào)查，調(diào)查結(jié)果顯示，66%的高校未建立安全應(yīng)急響應(yīng)機(jī)制，33%的高校計(jì)劃在年內(nèi)建立學(xué)校的安全應(yīng)急響應(yīng)機(jī)制。由此可見(jiàn)還有大部分高校在網(wǎng)絡(luò)安全管理方面還需加大力度，僅憑單純的安全產(chǎn)品和簡(jiǎn)單的防御技術(shù)是無(wú)法抵擋攻擊的，必須依靠應(yīng)急響應(yīng)等一套完整的服務(wù)管理機(jī)制，建立其相應(yīng)的流程，通過(guò)加強(qiáng)學(xué)習(xí)努力提高隊(duì)伍的技術(shù)水平及響應(yīng)能力，從技術(shù)和管理兩個(gè)維度保證網(wǎng)絡(luò)安全。

校園網(wǎng)應(yīng)急響應(yīng)是指在校園網(wǎng)內(nèi)行使CERT/CC（計(jì)算機(jī)緊急響應(yīng)小組及其協(xié)調(diào)中心）的職能，對(duì)校園網(wǎng)內(nèi)的各網(wǎng)絡(luò)應(yīng)用部門(mén)和用戶提供網(wǎng)絡(luò)安全事件的快速響應(yīng)或技術(shù)支持服務(wù)，也對(duì)校園網(wǎng)內(nèi)的各接入單位及用戶提供安全事件響應(yīng)相關(guān)的咨詢服務(wù)。校園網(wǎng)應(yīng)急響應(yīng)組的主要職能是：對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全事件一是進(jìn)行緊急反應(yīng)，盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。二是要使系統(tǒng)和網(wǎng)絡(luò)設(shè)施所遭受的破壞最小化。三是對(duì)影響系統(tǒng)和網(wǎng)絡(luò)安全的漏洞及防治措施進(jìn)行通報(bào)，對(duì)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估等。

比較完善的網(wǎng)絡(luò)安全機(jī)制，應(yīng)包括網(wǎng)絡(luò)安全服務(wù)、網(wǎng)絡(luò)安全管理和用戶安全意識(shí)三方面。因此，校園網(wǎng)應(yīng)急響應(yīng)組依據(jù)其職責(zé)不同分為以下三個(gè)安全工作小組。

（1）事件處理工作小組及職能：主要負(fù)責(zé)安全事件的應(yīng)急與救援、事件的分析、安全警報(bào)的等。主要職能是服務(wù)，制定和實(shí)施校園網(wǎng)安全策略及網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急響應(yīng)預(yù)案；監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行日常狀態(tài)，及時(shí)安全公告、安全建議和安全警報(bào)，當(dāng)發(fā)生了安全事件時(shí)及時(shí)向CERT熱線響應(yīng)；解答用戶的安全方面的咨詢；定期對(duì)網(wǎng)內(nèi)用戶進(jìn)行風(fēng)險(xiǎn)評(píng)估等。

（2）技術(shù)研發(fā)工作小組及職能：主要通過(guò)研發(fā)，尋求安全漏洞的解決方案，應(yīng)急處理的信息與技術(shù)支持平臺(tái)。主要職能是安全研究，研究?jī)?nèi)容是校園網(wǎng)常用網(wǎng)絡(luò)攻擊技術(shù)及防范。

（3）教育培訓(xùn)工作小組及職能：建立應(yīng)急處理服務(wù)隊(duì)伍，通過(guò)各種形式的培訓(xùn)提高全校師生的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)師生行為安全。主要職能是宣傳教育，對(duì)校園網(wǎng)用戶進(jìn)行安全知識(shí)的教育與網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，使其提高自我保護(hù)意識(shí)，自覺(jué)關(guān)注網(wǎng)絡(luò)上最新的病毒和黑客攻擊，自主解決網(wǎng)絡(luò)安全問(wèn)題。

應(yīng)急響應(yīng)是全方位的工作，再好的經(jīng)驗(yàn)也是具有不可復(fù)制性，無(wú)論建立何種模式的機(jī)制，最重要的是要與高校網(wǎng)絡(luò)自身特點(diǎn)相結(jié)合，建立有自身特色的應(yīng)急響應(yīng)機(jī)制并在實(shí)踐過(guò)程中不斷改進(jìn)和完善。一個(gè)良好的響應(yīng)機(jī)制要技術(shù)力量到位、部門(mén)責(zé)任明確、合作流程清晰，并遵循可行性、高效率、高效益和低風(fēng)險(xiǎn)的原則。因此我們應(yīng)通過(guò)加強(qiáng)主動(dòng)性，使安全故障的應(yīng)急響應(yīng)能力從報(bào)警向預(yù)警的道路上邁出堅(jiān)實(shí)的步伐，為從容不迫應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)安全事件打下基礎(chǔ)。

篇7

不久前，思科系統(tǒng)公司首席安全官John Stewart稱：“企業(yè)正在安全流程中浪費(fèi)金錢(qián)，使用補(bǔ)丁和使用殺毒軟件，都是不起作用的?！?/p>

對(duì)此筆者的感想是，在理論上思科公司是可以不使用殺毒軟件、打補(bǔ)丁的方法，用更先進(jìn)的措施辦法來(lái)解決病毒等威脅攻擊的。但我也想用個(gè)現(xiàn)實(shí)的例子說(shuō)明一下：晉惠帝御宴，方食肉脯，東撫奏旱荒，饑民多餓死。帝曰：“饑民無(wú)谷食，便食這肉脯，也可充腹，何致餓死？”這其實(shí)和思科首席安全官的話語(yǔ)有很大程度的相似。

那么，企業(yè)究竟應(yīng)該如何保證企業(yè)網(wǎng)絡(luò)的安全呢？筆者認(rèn)為應(yīng)該從以下幾步開(kāi)始。

第一步:

確定安全策略

首先弄清楚所要保護(hù)的對(duì)象。公司是否在運(yùn)行著文件服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器?辦公系統(tǒng)有多少客戶端、業(yè)務(wù)網(wǎng)段有多少客戶端、公司的核心數(shù)據(jù)有多少，存儲(chǔ)在哪里?目前亞洲地區(qū)仍有相當(dāng)多的公司，手工將關(guān)鍵數(shù)據(jù)存儲(chǔ)在工作簿或賬簿上。如果貴公司的計(jì)算機(jī)通常只是用來(lái)文字處理，或者是玩游戲，那數(shù)據(jù)可能根本不值得去保護(hù)。然而，如果貴公司保存有大量的敏感信息，例如信用卡號(hào)碼或者財(cái)務(wù)往來(lái)交易事項(xiàng)，那么貴公司所需要的安全等級(jí)將會(huì)很高。

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有Web、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來(lái)越多。從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看，既有內(nèi)部用戶，也有外部用戶，因此，整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在以下兩個(gè)方面的安全問(wèn)題：

1.Internet的安全性:目前互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，黑客與病毒無(wú)孔不入，這極大地影響了Internet的可靠性和安全性，保護(hù)Internet、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。

2.企業(yè)內(nèi)網(wǎng)的安全性:企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)的訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

第二步:

弄清自身需求

要搞清楚，每年預(yù)算多少經(jīng)費(fèi)用于支付安全策略?可以購(gòu)買(mǎi)什么?是一個(gè)入門(mén)級(jí)常用的防火墻還是一個(gè)擁有多種特性的綜合網(wǎng)關(guān)UTM產(chǎn)品?企業(yè)局域網(wǎng)客戶端的安全需求是什么？有多少臺(tái)嚴(yán)格的機(jī)器？此外，很重要的一步便是在功能性和安全性方面做出選擇。貴公司網(wǎng)絡(luò)必須提供的服務(wù)有哪些：郵件、網(wǎng)頁(yè)還是數(shù)據(jù)庫(kù)?該網(wǎng)絡(luò)真的需要即時(shí)消息么?某些情況下，貴公司擁有什么并不重要，重要的是怎么利用它。相對(duì)于將整個(gè)預(yù)算花在一個(gè)“花架子”似的防火墻上，實(shí)現(xiàn)多層防御是一個(gè)很不錯(cuò)的策略。盡管如此，我們還是有必要去查看一下整個(gè)網(wǎng)絡(luò)，并弄清楚如何劃分才會(huì)最佳。

針對(duì)網(wǎng)絡(luò)受到非法攻擊以及病毒爆發(fā)，網(wǎng)絡(luò)管理員還需做好準(zhǔn)備工作:目前的設(shè)備能夠做好足夠的日志么?路由器、防火墻或者系統(tǒng)日志服務(wù)器能夠告訴我們非法侵入的時(shí)間和手段嗎?是否有一個(gè)適當(dāng)位置可以用來(lái)恢復(fù)?如果受到攻擊的服務(wù)器需要擦除并重新配置，能盡可能減少關(guān)鍵數(shù)據(jù)的流失，并快速實(shí)現(xiàn)么?

因此，筆者認(rèn)為，企業(yè)的安全需要可以歸納為以下幾點(diǎn)。

1．基本安全需求

保護(hù)企業(yè)網(wǎng)絡(luò)中設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。針對(duì)企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境，主要包括：網(wǎng)絡(luò)正常運(yùn)行、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)部署、數(shù)據(jù)庫(kù)及其他服務(wù)器資料不被竊取、保護(hù)用戶賬號(hào)口令等個(gè)人資料不被泄露、對(duì)用戶賬號(hào)和口令進(jìn)行集中管理、對(duì)授權(quán)的個(gè)人限制訪問(wèn)功能、分配個(gè)人操作等級(jí)、進(jìn)行用戶身份認(rèn)證、服務(wù)器、PC機(jī)和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通信服務(wù)、保證撥號(hào)用戶的上網(wǎng)安全等。

2．關(guān)鍵業(yè)務(wù)系統(tǒng)的安全需求

關(guān)鍵業(yè)務(wù)系統(tǒng)是企業(yè)網(wǎng)絡(luò)應(yīng)用的核心。關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，其安全需求主要包括：訪問(wèn)控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問(wèn)；數(shù)據(jù)安全，保證數(shù)據(jù)庫(kù)軟硬系統(tǒng)的整體安全性和可靠性，保證數(shù)據(jù)不被來(lái)自網(wǎng)絡(luò)內(nèi)部其他子系統(tǒng)（子網(wǎng)段）的破壞；安全預(yù)警，對(duì)于試圖破壞關(guān)鍵業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)；系統(tǒng)服務(wù)器、客戶機(jī)以及電子郵件系統(tǒng)的綜合防病毒措施等。

第三步:

制定解決方案

前兩步是不可或缺的部分，不了解自身狀況就無(wú)法制定因地制宜的解決方案。解決方案是指定給有具體需求的單位，有大眾性，但無(wú)通用性。調(diào)查顯示：近60%的企業(yè)面臨著以防護(hù)病毒和惡意行為為主的信息安全需求。

那么，下一步，就是采用何種解決方案的問(wèn)題。針對(duì)防毒解決方案，筆者推薦瑞星公司的幾款產(chǎn)品：瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版、瑞星防毒墻、瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)。

這是企業(yè)整體防毒解決方案，主要是為了以下幾個(gè)目的。

1. 網(wǎng)絡(luò)邊緣防護(hù)

防毒墻可以根據(jù)用戶的不同需要，具備針對(duì)HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時(shí)通過(guò)實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用。

2. 內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范

網(wǎng)絡(luò)安全預(yù)警系統(tǒng)可對(duì)HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力，企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別粒度達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。

3. 計(jì)算機(jī)病毒的監(jiān)控和清除

網(wǎng)絡(luò)殺毒軟件是一個(gè)專門(mén)針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開(kāi)發(fā)的網(wǎng)絡(luò)防病毒軟件，可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。

4. 用控制臺(tái)和Web方式管理

通過(guò)這兩種方式管理員可以靈活、簡(jiǎn)便地根據(jù)自身實(shí)際情況設(shè)置、修改安全策略，及時(shí)掌握了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行基本信息。

5. 可進(jìn)行日志分析和報(bào)表統(tǒng)計(jì)

這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)可以自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表、月報(bào)表、年報(bào)表等，通過(guò)來(lái)源分析、目標(biāo)分析、類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。

6. 功能模塊化組合

篇8

[摘要]計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國(guó)經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國(guó)家安全的重大問(wèn)題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息，在對(duì)網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上，依照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計(jì)了一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

[關(guān)鍵詞]網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)

一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多，保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來(lái)說(shuō)，保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)行整合，建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案，可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時(shí)也造成用戶的信息易受到攻擊，造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，防止文件泄密等安全隱患。

本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加密運(yùn)算協(xié)處理器（CAU）、只讀存儲(chǔ)器（ROM），隨機(jī)存儲(chǔ)器（RAM）、電可擦除可編程只讀存儲(chǔ)器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS（ChipOperatingSystem）、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對(duì)S鎖進(jìn)行操作。

2.病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。

（1)郵件防毒。采用趨勢(shì)科技的ScanMailforNotes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒?？赏ㄟ^(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。

（3)客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

（4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。

3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)

動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過(guò)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。

4.訪問(wèn)控制“防火墻”

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問(wèn)、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，實(shí)現(xiàn)這些重要部門(mén)的訪問(wèn)控制。

通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻，通過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自內(nèi)部的攻擊，也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門(mén)，或者如果病毒開(kāi)始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。

5.信息加密、信息完整性校驗(yàn)

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。

SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成

網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。

本地管理器（軟件）:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。

中心管理器（軟件）:是一個(gè)安裝于中心管理平臺(tái)（Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。

6.安全審計(jì)系統(tǒng)

根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法，“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。

安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。

本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。

漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問(wèn)題，面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。

（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。

①文件保護(hù)審計(jì)：文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。

②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。②監(jiān)視鍵盤(pán):在用戶指定的時(shí)間段內(nèi)，截獲HostSensorProgram用戶的所有鍵盤(pán)輸入，用戶實(shí)時(shí)控制鍵盤(pán)截獲的開(kāi)始和結(jié)束。

③監(jiān)測(cè)監(jiān)控RAS連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的RAS連接信息。用戶實(shí)時(shí)控制ass連接信息截獲的開(kāi)始和結(jié)束。當(dāng)gas連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。

④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP，UDP，NetBios）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開(kāi)始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。

單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來(lái)源于安全計(jì)算機(jī)，所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器，保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)上，負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái)，需要安裝600個(gè)傳感器。

7.入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS探測(cè)器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

在單位安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門(mén)子網(wǎng)和其他部門(mén)子網(wǎng)之間，通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)。

8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶，I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品，就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。

聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Web方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。

三、結(jié)束語(yǔ)

篇9

關(guān)鍵詞：工控；網(wǎng)絡(luò)安全；安全建設(shè)

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實(shí)踐，制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來(lái)越多，隨之而來(lái)的網(wǎng)絡(luò)安全威脅的問(wèn)題日益突出。特別是國(guó)家重點(diǎn)行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個(gè)國(guó)家經(jīng)濟(jì)命脈，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會(huì)引發(fā)直接的人員傷亡和財(cái)產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護(hù)思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù)，并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀，從技術(shù)設(shè)計(jì)和管理系統(tǒng)建設(shè)兩個(gè)方面來(lái)構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡(luò)的特點(diǎn)

工業(yè)控制系統(tǒng)是指各種自動(dòng)化組件、過(guò)程監(jiān)控組件共同構(gòu)成的以完成實(shí)時(shí)數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測(cè)控制的管控系統(tǒng)，也可以說(shuō)工業(yè)控制系統(tǒng)是控制技術(shù)（Control）、計(jì)算機(jī)技術(shù)（Computer）、通信技術(shù)（Communication）、圖形顯示技術(shù)（CRT）和網(wǎng)絡(luò)技術(shù)（Network）相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車(chē)制造等眾多工業(yè)領(lǐng)域，其中超過(guò)60%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施（如公路、軌道交通等）都依靠工控系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。

2.2國(guó)內(nèi)外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國(guó)家工業(yè)基礎(chǔ)設(shè)施的重要組成部分，近年來(lái)由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo)，不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。（1）美國(guó)列車(chē)信號(hào)燈宕機(jī)事件2003年發(fā)生在美國(guó)佛羅里達(dá)州鐵路服務(wù)公司的計(jì)算機(jī)遭遇震網(wǎng)病毒感染，導(dǎo)致美國(guó)東部海岸的列車(chē)信號(hào)燈系統(tǒng)瞬間宕機(jī)，部分地區(qū)的高速環(huán)線停運(yùn)。這次事件主要是由于感染震網(wǎng)病毒引起的，而這種病毒常被用來(lái)定向攻擊基礎(chǔ)（能源）設(shè)施，比如國(guó)家電網(wǎng)、水壩、核電站等。（2）烏克蘭電網(wǎng)攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電，調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓?jiān)斐赏ｋ娛鹿?。?）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國(guó)舊金山輕軌系統(tǒng)，造成上千臺(tái)服務(wù)器和工作站感染勒索病毒，數(shù)據(jù)全部被加密，售票系統(tǒng)全面癱瘓。其實(shí)國(guó)內(nèi)也發(fā)生過(guò)很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因?yàn)楦腥纠账鞑《疽鸬?。勒索病毒感染了重要業(yè)務(wù)系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號(hào)系統(tǒng)等，其中大部分是由于移動(dòng)接入設(shè)備的不合規(guī)使用而帶來(lái)的風(fēng)險(xiǎn)。從以上事件可以看出，攻擊者要發(fā)動(dòng)網(wǎng)絡(luò)攻擊只需發(fā)送一個(gè)普通的病毒就可以達(dá)到目的，隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn)，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財(cái)產(chǎn)安全正遭受著嚴(yán)重的威脅。

2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范

作為國(guó)家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)，正面臨著來(lái)自網(wǎng)絡(luò)攻擊等的威脅，為此針對(duì)工控網(wǎng)絡(luò)安全，我國(guó)制定和了相關(guān)法律法規(guī)來(lái)指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護(hù)工作。其中有國(guó)家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序》《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項(xiàng)國(guó)家標(biāo)準(zhǔn)[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，該標(biāo)準(zhǔn)以當(dāng)前我國(guó)工業(yè)控制系統(tǒng)面臨的安全問(wèn)題為出發(fā)點(diǎn)，分別從技術(shù)防護(hù)和管理設(shè)計(jì)兩方面來(lái)對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)提出建設(shè)防護(hù)要求。2017年6月，《網(wǎng)絡(luò)安全法》開(kāi)始實(shí)施，網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測(cè)、評(píng)估以及防護(hù)和管理等要求，促進(jìn)了我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

軌道交通信號(hào)系統(tǒng)（CBTC）是基于通信技術(shù)的列車(chē)控制系統(tǒng)，該系統(tǒng)依靠通信技術(shù)實(shí)現(xiàn)“車(chē)地通信”并且實(shí)時(shí)地傳遞“列車(chē)定位”信息[3]。目前CBTC安全建設(shè)存在以下問(wèn)題：（1）網(wǎng)絡(luò)邊界無(wú)隔離隨著CBTC的集成度越來(lái)越高，各個(gè)子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來(lái)越密切，根據(jù)地域一般劃分為控制中心、車(chē)站、車(chē)輛段和停車(chē)場(chǎng)，根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個(gè)子系統(tǒng)，各區(qū)域之間沒(méi)有做好訪問(wèn)控制措施，缺失入侵防范和監(jiān)測(cè)的舉措。各個(gè)子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級(jí)不同也是需要對(duì)其邊界進(jìn)行防護(hù)的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒(méi)有做隔離。（2）網(wǎng)絡(luò)異常查不到針對(duì)CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強(qiáng)，沒(méi)有專門(mén)的設(shè)備去檢測(cè)的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒(méi)有審計(jì)記錄和追溯的手段，等下次攻擊發(fā)生依然沒(méi)有抵抗的能力。沒(méi)有對(duì)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和記錄，不能及時(shí)發(fā)現(xiàn)高級(jí)持續(xù)威脅、不能有效應(yīng)對(duì)攻擊、不能及時(shí)發(fā)現(xiàn)各種異常操作。（3）工作站、服務(wù)器無(wú)防護(hù)CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設(shè)之初基本不會(huì)對(duì)工作站和服務(wù)器的操作系統(tǒng)進(jìn)行升級(jí)，操作系統(tǒng)在使用過(guò)程中不斷暴露漏洞，而系統(tǒng)漏洞又無(wú)法得到及時(shí)的修復(fù)，這都會(huì)導(dǎo)致工作站和服務(wù)器面臨風(fēng)險(xiǎn)。沒(méi)有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù)，沒(méi)有加強(qiáng)系統(tǒng)的密碼策略。除此之外，運(yùn)維人員可以在調(diào)試過(guò)程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無(wú)關(guān)的軟件，也可能會(huì)開(kāi)啟操作系統(tǒng)的遠(yuǎn)程功能，上線后也不會(huì)關(guān)閉此功能，這些操作都會(huì)使得系統(tǒng)配置簡(jiǎn)單，更容易受到攻擊。目前在CBTC系統(tǒng)各個(gè)區(qū)域部分尚未部署桌管軟件和殺毒軟件，無(wú)法對(duì)USB等外接設(shè)備的接入行為進(jìn)行管控，隨意使用移動(dòng)存儲(chǔ)介質(zhì)的現(xiàn)象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。（4）運(yùn)維管理不完善單位內(nèi)安全組織機(jī)構(gòu)人員職責(zé)不完善，缺乏專業(yè)的人員。沒(méi)有針對(duì)信號(hào)系統(tǒng)成立專門(mén)的安全管理部門(mén)，未明確相關(guān)業(yè)務(wù)部門(mén)的安全職責(zé)和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來(lái)規(guī)劃安全建設(shè)和設(shè)計(jì)工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運(yùn)維工作外包給第三方人員后并無(wú)相關(guān)的審計(jì)和監(jiān)控措施，當(dāng)?shù)谌竭\(yùn)維人員進(jìn)行設(shè)備維護(hù)時(shí)，業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)人員不能及時(shí)了解第三方運(yùn)維人員是否存在誤操作行為，一旦發(fā)生事故無(wú)法及時(shí)準(zhǔn)確定位問(wèn)題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離，基本可以保證正常生產(chǎn)經(jīng)營(yíng)。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后，工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護(hù)措施無(wú)法有效抵御來(lái)自外部的攻擊和威脅，而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實(shí)現(xiàn)，因此做好邊界保護(hù)尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系

工控系統(tǒng)信息化建設(shè)必須符合國(guó)家有關(guān)規(guī)定，從安全層面來(lái)看要符合國(guó)家級(jí)防護(hù)的相關(guān)要求，全面規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全保障體系，使得工控體系符合相關(guān)安全標(biāo)準(zhǔn)，確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護(hù)體系，通過(guò)管理和技術(shù)實(shí)現(xiàn)主被動(dòng)安全相結(jié)合，有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點(diǎn)以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來(lái)設(shè)計(jì)不同的項(xiàng)目技術(shù)方案，從技術(shù)角度來(lái)識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn)，依據(jù)系統(tǒng)架構(gòu)來(lái)設(shè)計(jì)安全加固措施，同時(shí)還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系，來(lái)確保整體業(yè)務(wù)系統(tǒng)的安全有效運(yùn)行。

4.1邊界訪問(wèn)控制

考慮到資產(chǎn)的價(jià)值、重要性、部署位置、系統(tǒng)功能、控制對(duì)象等要素，我們將軌道交通信號(hào)系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個(gè)子安全域，根據(jù)CBTC業(yè)務(wù)的重要性、實(shí)時(shí)性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對(duì)現(xiàn)場(chǎng)受控設(shè)備的影響程度等，將工控網(wǎng)絡(luò)劃分成不同的安全防護(hù)區(qū)域，所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過(guò)采取基于角色的身份鑒別、權(quán)限分配、訪問(wèn)控制等安全措施來(lái)實(shí)現(xiàn)工業(yè)現(xiàn)場(chǎng)中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問(wèn)的身份認(rèn)證管理，使得只有獲得授權(quán)的用戶才能對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)更新、參數(shù)設(shè)定，在控制設(shè)備及監(jiān)控設(shè)備上運(yùn)行程序、標(biāo)識(shí)相應(yīng)的數(shù)據(jù)集合等操作，防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測(cè)與審計(jì)網(wǎng)絡(luò)入侵檢測(cè)主要用于檢測(cè)網(wǎng)絡(luò)中的惡意探測(cè)和惡意攻擊行為，常見(jiàn)有網(wǎng)絡(luò)蠕蟲(chóng)、間諜和木馬軟件、高級(jí)持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]?？梢岳寐┒磼呙柙O(shè)備掃描探測(cè)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞，提出修復(fù)和整改建議來(lái)保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護(hù)可以檢測(cè)、查殺和抵御各種病毒，如蠕蟲(chóng)病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過(guò)安全配置核查設(shè)備來(lái)及時(shí)發(fā)現(xiàn)識(shí)別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問(wèn)題。另外要加強(qiáng)安全審計(jì)管理，通常包括日常運(yùn)維操作安全審計(jì)、數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)以及所有設(shè)備和系統(tǒng)的日志審計(jì)，主要體現(xiàn)在對(duì)各類用戶的操作行為進(jìn)行審計(jì)和對(duì)重要安全事件進(jìn)行記錄和審計(jì)，審計(jì)日志的內(nèi)容需要包括事件發(fā)生的確切時(shí)間、用戶名稱、事件的類型、事件執(zhí)行情況說(shuō)明等。

4.3建立統(tǒng)一監(jiān)測(cè)管理平臺(tái)

根據(jù)等級(jí)保護(hù)制度要求規(guī)定，重要等級(jí)在第二級(jí)以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心，通過(guò)統(tǒng)一安全管理平臺(tái)能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運(yùn)行狀況、安全日志、配置策略進(jìn)行集中監(jiān)測(cè)、采集、日志范化和歸并處理，平臺(tái)可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問(wèn)關(guān)系，形成基于網(wǎng)絡(luò)訪問(wèn)關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時(shí)識(shí)別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為?？梢栽O(shè)置監(jiān)控指標(biāo)告警閾值，觸發(fā)告警并記錄，對(duì)各類報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析和預(yù)警通報(bào)。

4.4編制網(wǎng)絡(luò)安全管理制度

設(shè)立安全專屬職能的管理部門(mén)和領(lǐng)導(dǎo)者及管理成員的崗位，制定總體安全方針，指明組織機(jī)構(gòu)的總體目標(biāo)和工作原則。對(duì)于安全管理成員的角色設(shè)計(jì)需按三權(quán)分立的原則來(lái)規(guī)劃并落實(shí)，必須配備專職的安全成員來(lái)指導(dǎo)和管理安全的各方面工作。指派專人來(lái)制定安全管理制度，而且制度要經(jīng)過(guò)上層組織機(jī)構(gòu)評(píng)審和正式，保持對(duì)下發(fā)制度的定期評(píng)審和落實(shí)情況的核查。由專人來(lái)負(fù)責(zé)單位內(nèi)人員的招聘錄用工作，對(duì)人員的專業(yè)能力、背景及任職資格進(jìn)行審核和考察，人員錄用時(shí)需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書(shū)。編制完善的制度規(guī)范，編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級(jí)與備案、方案設(shè)計(jì)、開(kāi)發(fā)與實(shí)施、驗(yàn)收與測(cè)試以及完成系統(tǒng)交付的整個(gè)生命周期。針對(duì)不同系統(tǒng)建設(shè)階段分別編制軟件開(kāi)發(fā)管理規(guī)范、代碼編寫(xiě)規(guī)范、工程監(jiān)理制度、測(cè)試驗(yàn)收制度，在測(cè)試和交付階段記錄和收集各類表單、清單。加強(qiáng)安全運(yùn)維建設(shè)，制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險(xiǎn)管理等方面的規(guī)范要求，對(duì)于機(jī)房等辦公區(qū)域的人員進(jìn)出、設(shè)備進(jìn)出進(jìn)行記錄和控制，建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為，保存相關(guān)的資產(chǎn)清單，對(duì)各種軟硬件資產(chǎn)做好定期維護(hù)，對(duì)資產(chǎn)采購(gòu)、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對(duì)漏洞做好風(fēng)險(xiǎn)管理，針對(duì)發(fā)現(xiàn)的安全問(wèn)題采取相關(guān)的應(yīng)對(duì)措施，形成書(shū)面記錄和總結(jié)報(bào)告。在第三方外包人員管理方面應(yīng)該與外包運(yùn)維服務(wù)商簽訂第三方運(yùn)維服務(wù)協(xié)議，協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。

5結(jié)束語(yǔ)

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢(shì)，近年來(lái)我國(guó)將網(wǎng)絡(luò)安全建設(shè)提升到了國(guó)家安全戰(zhàn)略的高度，并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來(lái)積極應(yīng)對(duì)安全風(fēng)險(xiǎn)，業(yè)務(wù)主管部門(mén)還應(yīng)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，開(kāi)展網(wǎng)絡(luò)安全評(píng)估，制定網(wǎng)絡(luò)安全策略，提高工控網(wǎng)絡(luò)安全水平，確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）.

[2]李?。I(yè)控制系統(tǒng)信息安全管理措施研究[J].自動(dòng)化與儀器儀表，2014（9）.

篇10

摘  要  隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。     關(guān)鍵詞  信息安全；pki；ca；vpn   1  引言     隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問(wèn)題也在困擾著用戶，在2003年后，木馬、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。     隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題，而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等，又時(shí)刻在制約著自己，企業(yè)采用pki技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。     在下面的描述中，以某公司為例進(jìn)行說(shuō)明。 2  信息系統(tǒng)現(xiàn)狀 2.1  信息化整體狀況     1)計(jì)算機(jī)網(wǎng)絡(luò)     某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。

圖1      2)應(yīng)用系統(tǒng)     經(jīng)過(guò)多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。 2.2  信息安全現(xiàn)狀     為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。 3  風(fēng)險(xiǎn)與需求分析 3.1  風(fēng)險(xiǎn)分析     通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：     (1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。     (2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。     通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：     (1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。 目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。     當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。     針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。     美國(guó)聯(lián)邦調(diào)查局(fbi)和計(jì)算機(jī)安全機(jī)構(gòu)(csi)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。 信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。     (2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。     已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。     網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。 3.2  需求分析     如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：     (1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。     (2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。     (3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。     (4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。 4  設(shè)計(jì)原則     安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。 4.1  標(biāo)準(zhǔn)化原則     本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。 4.2  系統(tǒng)化原則     信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。 4.3  規(guī)避風(fēng)險(xiǎn)原則     安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。 4.4  保護(hù)投資原則     由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。 4.5  多重保護(hù)原則     任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 4.6  分步實(shí)施原則     由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開(kāi)銷(xiāo)的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。

5  設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署     信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。 圖2  網(wǎng)絡(luò)與信息安全防范體系模型     信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。 5.1 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施     證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用pki/ca數(shù)字認(rèn)證服務(wù)。pki(public key infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的pki/ca數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：     身份認(rèn)證(authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。     數(shù)據(jù)的機(jī)密性(confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書(shū)加密來(lái)完成。     數(shù)據(jù)的完整性(integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。     不可抵賴性(non-repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。 5.2  邊界防護(hù)和網(wǎng)絡(luò)的隔離     vpn(virtual private network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?    通過(guò)安裝部署vpn系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程lan的安全連接。     集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。     集中的安全策略管理可以對(duì)整個(gè)vpn網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。 5.3  安全電子郵件     電子郵件是internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。     目前廣泛應(yīng)用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions )，它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標(biāo)準(zhǔn) ) 發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織 ( 根證書(shū) ) 之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹(shù)狀的。其次， s/mime 將信件內(nèi)容加密簽名后作為特殊的附件傳送。 保證了信件內(nèi)容的安全性。 5.4  桌面安全防護(hù)     對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。     桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。     1)電子簽章系統(tǒng)     利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入office系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。     2) 安全登錄系統(tǒng)     安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開(kāi)計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。     3)文件加密系統(tǒng)     文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。 5.5  身份認(rèn)證     身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?；趐ki的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)，利用usb key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。     基于pki的usb key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。 6  方案的組織與實(shí)施方式     網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。 圖3     因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：     (1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。     (2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。     (3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。     (4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。 7  結(jié)論     本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。     也希望通過(guò)本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。 參考文獻(xiàn)     [1] 國(guó)家信息安全基礎(chǔ)設(shè)施研究中心、國(guó)家信息安全工程技術(shù)研究中心.《電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)》