網(wǎng)絡(luò)安全方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全方案范文

網(wǎng)絡(luò)系統(tǒng)嚴格遵循層次化、模塊化、扁平化的設(shè)計思想，整體采用核心、接入的二層交換架構(gòu)，支持IPv6，大大提高網(wǎng)絡(luò)通訊的效率和整體網(wǎng)絡(luò)的數(shù)據(jù)交換性能。網(wǎng)絡(luò)主體分為4個部分，分別為:(1)網(wǎng)絡(luò)核心部分:高速數(shù)據(jù)交換、高可靠、靈活網(wǎng)絡(luò)互連能力，數(shù)據(jù)交換無瓶頸。(2)網(wǎng)絡(luò)內(nèi)網(wǎng)接入部分:提供用戶快速的網(wǎng)絡(luò)訪問能力。(3)服務(wù)器部分:為服務(wù)器提供高速連接、快速訪問、負載均衡等高級應(yīng)用能力。(4)外網(wǎng)區(qū)域部分:提供高速的、安全的外網(wǎng)(intnet)接入能力，為外網(wǎng)提供網(wǎng)絡(luò)服務(wù)。(5)網(wǎng)絡(luò)安全部分:提供全方位網(wǎng)絡(luò)安全，保證網(wǎng)絡(luò)的安全性。(6)網(wǎng)絡(luò)管理部分:通過方便化、直觀化、統(tǒng)一化的網(wǎng)絡(luò)設(shè)備管理方式。

2.網(wǎng)絡(luò)防火墻系統(tǒng)設(shè)計方案

網(wǎng)絡(luò)安全是按照網(wǎng)絡(luò)協(xié)議(TCP/IP協(xié)議)的2－7層來進行劃分的，要想保證網(wǎng)絡(luò)的安全，就一定保證網(wǎng)絡(luò)協(xié)議的2至7層每一層的安全。而防火墻負責(zé)的是網(wǎng)絡(luò)協(xié)議2至4層的網(wǎng)絡(luò)安全。以下為防火墻可以實現(xiàn)的功能:第一，網(wǎng)絡(luò)隔離。將網(wǎng)絡(luò)分割為不同的網(wǎng)絡(luò)區(qū)域，進而控制不同區(qū)域之間的數(shù)據(jù)交流，作用于網(wǎng)絡(luò)協(xié)議的2－4層，把可能出現(xiàn)的安全風(fēng)險分別局限于相對獨立的網(wǎng)絡(luò)區(qū)域內(nèi)，使風(fēng)險不至于大規(guī)模擴散。第二，網(wǎng)絡(luò)協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端，沒有考慮到足夠的安全特性，因此，給網(wǎng)絡(luò)用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患，而防火墻可以彌補TCP/IP協(xié)議本身的漏洞，能夠有效地檢測和防范對2至4層的攻擊行為。第三，流量管理。首先為了保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，防火墻可以提供靈活的流量管理能力，同時要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，還可以對4至7層的常見網(wǎng)絡(luò)協(xié)議提供某些控制和過濾的能力，例如，可以支持EMAIL的過濾能力。第四，用戶管理。學(xué)校檔案系統(tǒng)內(nèi)部用戶接入外網(wǎng)Internet，在不影響正常業(yè)務(wù)需要的情況下，控制用戶對外網(wǎng)的應(yīng)用行為。例如，控制上網(wǎng)時間，不可訪問網(wǎng)站，禁用一些軟件的網(wǎng)絡(luò)端口等等。

3.網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計方案

防火墻只針對網(wǎng)絡(luò)安全2至4層，難以防御對網(wǎng)絡(luò)協(xié)議4至7層的網(wǎng)絡(luò)威脅，不可能識別出偽裝成正常業(yè)務(wù)的蠕蟲、攻擊、間諜軟件等的非法數(shù)據(jù)流，缺乏對經(jīng)過自身的數(shù)據(jù)流進行全面、深度監(jiān)測的能力。入侵防御系統(tǒng)(IPS)就是專門針對網(wǎng)絡(luò)協(xié)議的4至7層對數(shù)據(jù)流進行分析并實時采用防御措施的系統(tǒng)，與防火墻進行安全層次的互補，豐富了網(wǎng)絡(luò)傳輸過程中的安全層次，對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡(luò)中部署防火墻+IPS，可使網(wǎng)絡(luò)更加安全、健壯，更好地抵御來自外部網(wǎng)絡(luò)的威脅。

4.外網(wǎng)主網(wǎng)絡(luò)設(shè)計

為了保證檔案系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全，需要通過網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進行“網(wǎng)絡(luò)隔離”，并進行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù)，互聯(lián)網(wǎng)用戶及高校外網(wǎng)用戶訪問內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)，對數(shù)據(jù)區(qū)形成了嚴重的威脅，通過部署網(wǎng)閘，在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實現(xiàn)業(yè)務(wù)的正常訪問，并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來自于《遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)》雜志。遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)雜志簡介詳見

5.系統(tǒng)數(shù)據(jù)的安全管理

第2篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞 網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)防御;網(wǎng)絡(luò)安全;防火墻

中圖分類號TP393 文獻標(biāo)識碼A 文章編號 1674-6708(2010)31-0211-01

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅

一般來說,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個方面:

1)計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓;

2)黑客侵襲。黑客非法進入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;

3)拒絕服務(wù)攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行。嚴重時會使系統(tǒng)關(guān)機,網(wǎng)絡(luò)癱瘓;

4)通用網(wǎng)關(guān)接口(CGI)漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡(luò)安全目標(biāo)

1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務(wù)器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務(wù)請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權(quán)限控制在最低限度,全面監(jiān)視對公開服務(wù)器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。

3 安全方案設(shè)計原則

對企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計、規(guī)劃時,應(yīng)遵循以下原則:

1)綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2)需求、風(fēng)險、代價平衡的原則:對任一網(wǎng)絡(luò),絕對安全難以達到,也不一定必要。對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法。

3)一致性原則:網(wǎng)絡(luò)安全問題貫穿整個網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性。

5)分步實施原則:由于網(wǎng)絡(luò)規(guī)模的擴展及應(yīng)用的增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的,費用支出也較大。因此可以分步實施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它保護仍可保護信息安全。

4 主要防范措施

1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡(luò)安全教育和培訓(xùn)。

2)網(wǎng)絡(luò)病毒的防范。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時需要基于服務(wù)器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4)采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。最好采用混合入侵檢測,同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整立體的主動防御體系。

5)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)安全問題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

7)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

第3篇：網(wǎng)絡(luò)安全方案范文

1電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面，在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國電信意識到網(wǎng)絡(luò)安全的重要性，并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門，著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導(dǎo)、保障機制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)的突飛猛進，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺，也就是SOC平臺，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡(luò)安全事件的監(jiān)控，完成對網(wǎng)絡(luò)安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來越容易，對網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運營商網(wǎng)絡(luò)分布越來越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關(guān)，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)

目前，我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題，不同運營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。

2.4相關(guān)法規(guī)尚不完善，落實保障措施缺乏力度

當(dāng)前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運行維護管理等相對滯后。

3電信網(wǎng)絡(luò)安全防護的對策思考

強化電信網(wǎng)絡(luò)安全，應(yīng)做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計思路

在采用電信行業(yè)安全解決方案時，首先需要對關(guān)鍵資源進行定位，然后以關(guān)鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護和監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機構(gòu)組織形式進行密切結(jié)合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應(yīng)的監(jiān)測。

3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機網(wǎng)絡(luò)，它面臨的安全性威脅來自于方方面面。每一個需要保護的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護產(chǎn)品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進行中央管理。

第4篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案

中圖分類號：TN711文獻標(biāo)識碼： A 文章編號：

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，自由的、開放的、國際化的Internet給政府機構(gòu)、企事業(yè)單位帶來了前所未有的變革，使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應(yīng)能力，進而提高競爭力。另外，網(wǎng)絡(luò)安全問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多，凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經(jīng)濟論壇上，與會者首次觸及了互聯(lián)網(wǎng)安全問題，表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，網(wǎng)絡(luò)安全隱患也越來越大，如何針對企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計出先進的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品，以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護體系是擺在計算機工作者面前的巨大課題。

一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù)，同時又要面對Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示：2009年，被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡(luò)信息安全事件。在發(fā)生過安全事件的企業(yè)中，83%的企業(yè)感染了計算機病毒、蠕蟲和木馬程序，36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描，拒絕服務(wù)攻擊和網(wǎng)頁篡改等安全危機。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的攻擊，已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項重要工作。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現(xiàn)在： 1.網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)，網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，而是可以來自Internet上的任何一個終端機器。2.由于網(wǎng)絡(luò)技術(shù)是全開放的，任何一個團體組織或者個人都可能獲得，開放性的網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的，例如：對網(wǎng)絡(luò)通信協(xié)議的攻擊，對物理傳輸線路的攻擊，對硬件的攻擊，也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息，自由地訪問網(wǎng)絡(luò)服務(wù)器，因為網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)約束。

二、企業(yè)網(wǎng)絡(luò)安全解決方案

（一）物理隔離方案。其基本原理為：從物理上來隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征，如：沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接，沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。

（二）網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個很重要的部分，網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件，管理并控制著計算機軟硬件資源，并在用戶與計算之間擔(dān)任著重要的橋梁作用。一般對其采用下列設(shè)置保障其基本安全

1.關(guān)閉不必要的服務(wù)。2.制定嚴格的賬戶策略。3.科學(xué)的分配用戶賬戶權(quán)限。4.科學(xué)的安全配置和分析。 （三）入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護體系中，大部分企業(yè)都部署了防火墻對企業(yè)進行保護。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風(fēng)險。根據(jù)企業(yè)網(wǎng)絡(luò)的實際應(yīng)用情況，對網(wǎng)絡(luò)環(huán)境安全狀況進行詳細的分析研究認為，對外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點的監(jiān)控和防護。在這一區(qū)域部署入侵檢測系統(tǒng)，這樣可以充分發(fā)揮IDS的優(yōu)勢，形成防火墻后的第二道防線，如果充分利用IDS與防火墻的互動功能優(yōu)勢，則可以大大提升動態(tài)防護的效果。

（四）安全管理解決方案。信息系統(tǒng)安全管理機構(gòu)是負責(zé)信息安全日常事務(wù)工作的，應(yīng)按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標(biāo)，結(jié)合自身信息系統(tǒng)的安全需求建立安全實施細則，并負責(zé)貫徹實施。 單位安全網(wǎng)（即內(nèi)網(wǎng)）系統(tǒng)安全管理機構(gòu)主要實現(xiàn)以下職能：

1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。

2.確定信息安全各崗位人員的職責(zé)和權(quán)限，實行相互授權(quán)、相互牽連，建立崗位責(zé)任制。

3.審議并通過安全規(guī)劃，年度安全報告，有關(guān)安全的宣傳、教育、培訓(xùn)計劃。

第5篇：網(wǎng)絡(luò)安全方案范文

【關(guān)鍵詞】：調(diào)度數(shù)據(jù)網(wǎng)；網(wǎng)絡(luò)安全；分析

中圖分類號： TN919.25 文獻標(biāo)識碼： A 文章編號：

國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)，簡稱為調(diào)度數(shù)據(jù)網(wǎng)，是我國電力調(diào)度專用的數(shù)據(jù)網(wǎng)絡(luò)，是實現(xiàn)各級調(diào)度中心和調(diào)度中心和電廠與電站之間進行生產(chǎn)數(shù)據(jù)傳輸和交換的重要的服務(wù)系統(tǒng)，是國家電網(wǎng)公司實行統(tǒng)一電網(wǎng)調(diào)度的重要基礎(chǔ)。

一、國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)組織分析

目前我國的國家電網(wǎng)公司的調(diào)度數(shù)據(jù)網(wǎng)是一種單一的平面組織，從發(fā)電廠或者電站到調(diào)度端的信息傳輸通道為數(shù)據(jù)網(wǎng)通道和專線通道。隨著一些地區(qū)的特高壓電網(wǎng)的架設(shè)，以及智能電網(wǎng)建設(shè)的發(fā)展，傳統(tǒng)的調(diào)度數(shù)據(jù)網(wǎng)已經(jīng)不能夠滿足使用的需要，不能保證電網(wǎng)調(diào)度系統(tǒng)的安全運行。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在運行過程中具有可靠性高、實時性強的技術(shù)要求，所以在安全方面的要求比較高，直接關(guān)系到了電網(wǎng)的正常運行[1]。因此需要進一步的完善調(diào)度數(shù)據(jù)網(wǎng)的建設(shè)，對現(xiàn)有的網(wǎng)絡(luò)資料實行不斷的升級優(yōu)化，建設(shè)可靠、安全的智能電網(wǎng)調(diào)度系統(tǒng)。

1.調(diào)度數(shù)據(jù)網(wǎng)的傳輸現(xiàn)狀。目前我國的電力系統(tǒng)方面的傳輸方式主要有光纖、載波、微波三種方式，其中光纖通信的使用頻率遠遠的高于其它兩種通信方式，光纖通信具有傳輸容量大、損耗低、抗干擾能力強等非常優(yōu)良的特點，成為我國電力系統(tǒng)主要的通信方式。我國的電力系統(tǒng)通信網(wǎng)絡(luò)中已經(jīng)建設(shè)成為光纖通信為主，其它兩種通信方式為輔的格局。國家電網(wǎng)和其它的省分公司建成了密集型波分復(fù)用系統(tǒng)和SDH光傳輸雙系統(tǒng)的結(jié)構(gòu)，省級電網(wǎng)公司和其它地區(qū)基本建成了SDH光環(huán)網(wǎng)絡(luò)，基本上能夠滿足調(diào)度數(shù)據(jù)網(wǎng)的使用要求[2]。

2.調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)組織。已經(jīng)建成的單一平面調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)升級改造的過程中，對于電網(wǎng)的正常運行有比較大的影響，而且選擇的調(diào)度通信網(wǎng)絡(luò)的專線傳輸方式可靠性不夠高。在的省級調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中220kv變電站內(nèi)基本上只安裝了一臺路由器，在電力的調(diào)度過程中容易發(fā)生數(shù)據(jù)丟失的現(xiàn)象，影響了電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性和可靠性。在傳輸設(shè)備上以前的設(shè)備對于網(wǎng)絡(luò)的安全維護帶來了極大的困難，而且其專線方式也不能夠滿足日益增長的業(yè)務(wù)需求，和對數(shù)據(jù)傳輸?shù)膶崟r性、安全的要求。從2009開始，國家電網(wǎng)公司開始對原來的電網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)進行升級，以實現(xiàn)對網(wǎng)絡(luò)組織的雙平面擴充，通過對網(wǎng)絡(luò)組織結(jié)構(gòu)的調(diào)整，進一步的提高調(diào)度數(shù)據(jù)網(wǎng)絡(luò)運行的安全性和可靠性。國家電網(wǎng)的調(diào)度數(shù)據(jù)網(wǎng)具有網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)節(jié)點多的特點，所以一般采用多層、多級的結(jié)構(gòu)。我國現(xiàn)行的調(diào)度數(shù)據(jù)網(wǎng)為單一平面結(jié)構(gòu)，網(wǎng)絡(luò)包含了國家電網(wǎng)調(diào)度中心、網(wǎng)絡(luò)調(diào)度中心、省級調(diào)度中心、地區(qū)調(diào)度中心、220kv變電站和發(fā)電廠，采用了分層、分級的設(shè)計方案。我國的調(diào)度數(shù)據(jù)網(wǎng)主要分為骨干網(wǎng)和省級網(wǎng)兩個級別，其中骨干網(wǎng)有國家調(diào)度中心負責(zé)網(wǎng)絡(luò)的運行和管理工作，其工作范圍包含國家電網(wǎng)公司和所有的省級調(diào)度中心、直調(diào)廠站等；省級網(wǎng)主要有各個省調(diào)度中心負責(zé)運行管理，包含了其管轄地區(qū)的調(diào)度中心和220kv及以上的廠站。

二、電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護

智能電網(wǎng)具有技術(shù)新、交互廣、網(wǎng)絡(luò)多等一系列的特點，使它在運行方面具有特殊的安全風(fēng)險。同時，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中包含了各種通信網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議，使電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)變的更加的復(fù)雜，信息是傳輸過程中容易發(fā)生丟失、竊聽、篡改等安全問題。

1.電力的發(fā)展使調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護變的困難。由于人民生活水平的不斷提高，各種家用電器的廣泛使用，使得網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)系統(tǒng)之間，業(yè)務(wù)服務(wù)系統(tǒng)和用戶之間的交流和溝通更加的頻繁。在這種交互的過程中自然而然的產(chǎn)生了海量的數(shù)據(jù)信息，容易造成網(wǎng)絡(luò)的擁堵和波動，業(yè)務(wù)過載的現(xiàn)象，同時也增加了用戶的個人信息存在篡改、泄露和丟失的安全風(fēng)險。

2.不斷的加強網(wǎng)絡(luò)的安全建設(shè)。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是我國智能電網(wǎng)中重要的信息傳輸系統(tǒng)，它涵蓋了應(yīng)急、電量統(tǒng)計、調(diào)度指令等重要的信息，如果被黑客入侵，將會對電網(wǎng)的正常運行產(chǎn)生巨大的安全威脅，影響了電網(wǎng)的正常運行。因此需要不斷的加強調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)安全建設(shè)工作，提高網(wǎng)絡(luò)的安全防護性能，杜絕網(wǎng)絡(luò)被滲透或者入侵，保證電力系統(tǒng)的運行安全和數(shù)據(jù)安全。調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和一般的通信網(wǎng)絡(luò)在結(jié)構(gòu)和系統(tǒng)上具有非常強的相似性，所以在安全方案的選擇和使用上也具有共同的特點，其中主要應(yīng)用安全防護方案有物理隔離、數(shù)據(jù)加密和驗證、防火墻、訪問控制、信息過濾、數(shù)據(jù)備份、入侵檢測、查殺木馬和病毒等，一般企業(yè)在網(wǎng)絡(luò)安全方案的選擇上比較有效的方案有防火墻、安全路由器、web安全和郵件安全。在調(diào)度數(shù)據(jù)網(wǎng)中主要使用防火墻技術(shù)和縱向加密的技術(shù)來實現(xiàn)安全防護，一般在調(diào)度中心端和廠站端實行縱向加密認證措施，對網(wǎng)絡(luò)實現(xiàn)端對端的保護；在實時業(yè)務(wù)和路由器之間也進行縱向加密認證措施，在非實時業(yè)務(wù)和路由器之間可以選擇硬件防火墻或者縱向加密認證措施。通過對傳輸?shù)臄?shù)據(jù)進行加密認證，防止數(shù)據(jù)在網(wǎng)絡(luò)的傳輸過程中出現(xiàn)破壞和篡改的現(xiàn)象，保證數(shù)據(jù)的安全性[4]。限制其它用戶對電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的訪問權(quán)限，保證信息的安全性。同時，對于電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護上，還應(yīng)當(dāng)加強內(nèi)部的信息安全防護，在內(nèi)部的數(shù)據(jù)交換中常常容易發(fā)生信息安全問題。

三、結(jié)束語

隨著我國電網(wǎng)結(jié)構(gòu)的升級和電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的不斷完善優(yōu)化，將使國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)發(fā)生質(zhì)的變化，將進一步的提高電網(wǎng)運行的安全性和可靠性，我國的現(xiàn)代化建設(shè)提供能源保障。同時，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)和一般的通信網(wǎng)絡(luò)在運行結(jié)構(gòu)上具有相似性，所以加強和維護電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性也是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)中的重要問題，需要認真的對待。

【參考文獻】：

[1]高夏生,程俊,張先亮等.安徽電力調(diào)度數(shù)據(jù)網(wǎng)優(yōu)化設(shè)計[J].人類工效學(xué),2012,18(3):66-70.

[2]劉麗榕,王玉東,肖智宏等.國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)方案研究[J].電力系統(tǒng)通信,2011,32(2):18-21.

[3]吳強.貴州電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)接入安全防護方案設(shè)計[J].廣東輸電與變電技術(shù),2010,12(3):65-66,70.

第6篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護；防火墻

中圖分類號：TP393.08文獻標(biāo)識碼：A文章編號：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時，網(wǎng)絡(luò)安全問題日益突出，各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶機，通過內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計算機處在同一網(wǎng)段或通過Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數(shù)據(jù)和存儲媒體的損壞

針對上述安全隱患，可采取安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)，同時加強內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過濾策略，及時安裝系統(tǒng)安全補??；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、入侵檢測系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等，包括機房環(huán)境安全、通信線路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理損壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機體系結(jié)構(gòu)

防火墻的雙重宿主主機體系結(jié)構(gòu)是指一臺雙重宿主主機作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機體系結(jié)構(gòu)

被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機共同構(gòu)成防火墻，強迫所有的外部主機與一個堡壘主機相連，而不讓其與內(nèi)部主機相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過路由器直接面向Internet，通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點不同，防火墻主要提供對不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶非授權(quán)的操作。

在以上3個區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級別不同，對于要保護的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來自Internet用戶的訪問；而企業(yè)DMZ區(qū)，限制則沒有那么嚴格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專用網(wǎng)絡(luò)，一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專線，但它并不需要真正地去鋪設(shè)光纜之類的物理線路。

企業(yè)用戶采用VPN技術(shù)來構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進行隔離，控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，對安全相關(guān)操作進行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進行殺毒處理；在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品，各用戶安裝網(wǎng)絡(luò)版殺毒軟件客戶端；對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品。

4 結(jié)束語

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進行了論述，對企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運行勢在必行。

參考文獻：

[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

第7篇：網(wǎng)絡(luò)安全方案范文

隨著計算機信息技術(shù)的高速發(fā)展，人們工作、生活越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡(luò)的普及不但提高了人們的工作效率，微信等通訊工具使人們通訊和交流變得越來越簡單，各種云端存儲使海量信息儲存成為現(xiàn)實。

2石油行業(yè)信息網(wǎng)絡(luò)安全管理存在的安全隱患

無論是反病毒還是反入侵，或者對其他安全威脅的防范，其目的主要都是保護數(shù)據(jù)的安全———避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無意識泄密、違反制度的泄密、主動泄密等行為。

2.1外部非法接入。

包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與油田公司網(wǎng)絡(luò)的連接，而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。

2.2局域網(wǎng)病毒、惡意軟件的泛濫。

公司內(nèi)部員工對電腦的了解甚少，沒有良好的防范意識，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡(luò)系統(tǒng)的正常運行。

2.3資產(chǎn)管理失控。

網(wǎng)絡(luò)用戶存在不確定性，每個資產(chǎn)硬件配件（cpu、硬盤、內(nèi)存等）隨意拆卸組裝，隨意更換計算機系統(tǒng)，應(yīng)用軟件安裝混亂，外設(shè)（U盤、移動硬盤等）無節(jié)制使用。

2.4網(wǎng)絡(luò)資源濫用。

IP未經(jīng)允許被占用，違規(guī)使用，瘋狂下載電影占用網(wǎng)絡(luò)帶寬和流量，上班時間聊天、游戲等行為，影響網(wǎng)絡(luò)的穩(wěn)定，降低了運行效率。

3常用技術(shù)防范措施與應(yīng)用缺陷

3.1防火墻技術(shù)。

目前，防火墻技術(shù)已經(jīng)成為網(wǎng)絡(luò)中必不可少的環(huán)節(jié)，通過防火墻技術(shù)，實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離，使用有效的安全設(shè)置一定程度上保障了企業(yè)局域網(wǎng)的安全。

3.2計算機病毒防護技術(shù)。

即通過建立SYMANTEC網(wǎng)絡(luò)防病毒軟件系統(tǒng)，為企業(yè)內(nèi)部員工提供有效的桌面安全防護技術(shù)手段，提高了計算機終端防病毒與查殺病毒的能力。

3.3入侵檢測系統(tǒng)。

入侵檢測幫助辦公計算機系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。從網(wǎng)絡(luò)中的各個關(guān)鍵點收集和分析信息，確認網(wǎng)絡(luò)中是否存在違反安全策略的行為和遭到網(wǎng)絡(luò)攻擊的可疑跡象。

3.4應(yīng)用網(wǎng)絡(luò)分析器檢測網(wǎng)絡(luò)運行狀況。

部署如Sniffer等掃描工具，通過其對網(wǎng)絡(luò)中某臺主機或整個網(wǎng)絡(luò)的數(shù)據(jù)進行檢測、分析、診斷、將網(wǎng)絡(luò)中的故障、安全、性能問題形象地展現(xiàn)出來。為監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況等提供了有效的管理手段。

3.5交換機安全管理配置策略。

綜合評估石油企業(yè)網(wǎng)絡(luò)，在節(jié)點設(shè)備部署上以可控設(shè)備為主，通常的可控設(shè)備都具備遵循標(biāo)準協(xié)議的網(wǎng)絡(luò)安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略，有效提高了對企業(yè)網(wǎng)絡(luò)的管理。

3.6部署內(nèi)網(wǎng)安全管理系統(tǒng)。

目前，企業(yè)局域網(wǎng)的安全威脅70%來自于內(nèi)部員工的計算機。針對計算機終端桌面存在的問題，目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構(gòu)，實現(xiàn)對網(wǎng)絡(luò)終端的強制性管理方法。后臺管理中心采取B/S結(jié)構(gòu)，實現(xiàn)與管理終端交互式管控。

4多種技術(shù)措施聯(lián)動，保障網(wǎng)絡(luò)與信息安全

4.1網(wǎng)絡(luò)邊界管理

①防火墻。通過包過濾技術(shù)來實現(xiàn)允許或阻隔訪問與被訪問的對象，對通過內(nèi)容進行過濾以保護用戶有效合法獲取網(wǎng)絡(luò)信息；通過防火墻上的NAT技術(shù)實現(xiàn)內(nèi)外地址動態(tài)轉(zhuǎn)換，使需要保護的內(nèi)部網(wǎng)絡(luò)主機地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測系統(tǒng)。入侵檢測作為防火墻的合理補充，幫助辦公計算機系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。③防病毒系統(tǒng)。應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系；在網(wǎng)絡(luò)中心或匯聚中心選擇部署諸如Symantec等防病毒服務(wù)器，按照分級方式，實行服務(wù)器到終端機強制管理方式，實現(xiàn)逐級升級病毒定義文件，制定定期病毒庫升級與掃描策略，提高計算機終端防病毒與查殺病毒的能力。

4.2安全桌面管理。

桌面安全管理產(chǎn)品能夠解決網(wǎng)絡(luò)安全管理工作中遇到的常見問題。在網(wǎng)絡(luò)安全管理中提高了對計算機終端的控制能力，企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補丁分發(fā)、數(shù)據(jù)查詢、終端管理、運維監(jiān)控、報表管理、報警管理、級聯(lián)總控、系統(tǒng)維護等。

4.3網(wǎng)絡(luò)信息管理。

對于網(wǎng)絡(luò)信息要按等級采取相應(yīng)必要的隔離手段：①建立專網(wǎng)，達到專網(wǎng)專用；②信息通過技術(shù)手段進行加密管理；③信息與互聯(lián)網(wǎng)隔離。

4.4網(wǎng)絡(luò)安全管理防范體系。

根據(jù)防范網(wǎng)絡(luò)安全攻擊的需求、對應(yīng)安全機制需要的安全服務(wù)等因素以及需要達到的安全目標(biāo)，參照“系統(tǒng)安全工程能力成熟模型”和信息安全管理標(biāo)準等國際標(biāo)準。

5結(jié)束語

第8篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：全局安全；校園網(wǎng)；安全體系

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2011)31-0000-0c

An Design Proposal of Campus Network Based on Global Security

HUANG Xin1,2, ZHAO Zhi-gang1

(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)

Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.

Key words: global security; campus network; security structure

高校校園網(wǎng)作為高校信息化的重要基礎(chǔ)，承擔(dān)著學(xué)校教學(xué)、科研、管理和社會服務(wù)等重要角色，給教師和學(xué)生的工作、學(xué)習(xí)、生活帶來了很多便利。但當(dāng)今校園網(wǎng)面臨著嚴峻的威脅網(wǎng)絡(luò)安全問題，目前面對威脅，應(yīng)對問題的主要技術(shù)有身份認證技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。這些技術(shù)都只是針對局部威脅的安全措施，無法保障校園網(wǎng)的整體安全。因此，新的校園網(wǎng)安全思路，注重從“局部防御”到“整體防范”的轉(zhuǎn)變，將安全理念融合到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中，依靠多種安全組件聯(lián)動，實現(xiàn)整體網(wǎng)絡(luò)的安全，即全局安全解決方案。

1 農(nóng)職院網(wǎng)絡(luò)安全現(xiàn)狀

廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)始建于2002年，通過100M鏈路CERNET、30M電信鏈路接入Internet，己形成覆蓋教學(xué)、科研、辦公、宿舍等區(qū)域的所有建筑物，“千兆主干、百兆到桌面”的網(wǎng)絡(luò)帶寬格局。計算機網(wǎng)絡(luò)自身的開放性、互聯(lián)性和共享性，使之不可避免地會受到病毒、黑客、木馬等安全威脅和攻擊，校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡(luò)癱瘓的情形常有發(fā)生。其原因主要如下：

① 缺乏有效的身份管理系統(tǒng)

校園網(wǎng)缺少用戶身份認證機制，外來用戶、非法用戶隨意接入；缺少可控的身份集中認證系統(tǒng)，對用戶進行管理難度大；用戶賬號存在被盜用的風(fēng)險，安全審計無法有效進行，在實際發(fā)生問題后不能夠迅速定位及取證分析。

② 無法保證用戶終端合法性

Windows系列系統(tǒng)存在致命漏洞，系統(tǒng)補丁沒有及時更新；沒有按要求安裝殺毒軟件，安裝后從來不升級或者從來不主動查殺；隨意下載違禁軟件，不規(guī)范使用網(wǎng)絡(luò)；上述問題造成了病毒和攻擊在校園網(wǎng)內(nèi)泛濫，嚴重影響正常應(yīng)用。

③ 網(wǎng)絡(luò)安全無法有效控制

校園網(wǎng)內(nèi)部分用戶出于對網(wǎng)絡(luò)的好奇，經(jīng)常會用學(xué)習(xí)到的各種方法，非法攻擊校園網(wǎng)絡(luò)核心設(shè)備及應(yīng)用系統(tǒng)，嚴重影響校園網(wǎng)絡(luò)的安全穩(wěn)定運行和校園管理秩序。目前互聯(lián)網(wǎng)上相關(guān)的黑客工具種類繁多、功能豐富、設(shè)置簡單、使用方便、破壞力大，給這類學(xué)生提供了攻擊的便利。

2 全局安全校園網(wǎng)絡(luò)的設(shè)計

校園網(wǎng)全局安全理念，由銳捷網(wǎng)絡(luò)公司于2005年提出，即GSN（ Global Security Network），由安全交換機、安全管理平臺、安全計費管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成，能實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使每個設(shè)備都發(fā)揮安全防護作用的新型網(wǎng)絡(luò)安全模式。具體構(gòu)架如圖1所示，其由三個層面、五個部分組成。

hx01.tif

圖1 全局安全網(wǎng)絡(luò)

校園網(wǎng)全局安全方案通過將校園網(wǎng)用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機制集成起來，從而對網(wǎng)絡(luò)安全威脅的自動防御，網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)，同時可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動學(xué)習(xí)，達到對未知網(wǎng)絡(luò)安全事件防范目的。其工作原理如下：

1) 用戶使用網(wǎng)絡(luò)之前，首先由接入的交換機+SAM對其進行身份認證。

2) SAM檢查用戶身份，批準或拒絕用戶的接入請求。

3) SAM學(xué)習(xí)用戶的身份、主機環(huán)境等信息，并將制定好的策略發(fā)送多SU客戶端。

4) SU對用戶主機進行健康性檢查，并將檢查結(jié)果反饋回SMP服務(wù)器。

5) IDS對網(wǎng)絡(luò)安全事件進行檢測收集，將安全事件報告給SEP（安全事件解析器），并由SEP反饋至SMP。

6) SMP對IDS反饋的安全事件進行統(tǒng)一管理，將安全事件關(guān)聯(lián)至用戶。

7) SMP對每個用戶的健康性檢測結(jié)果和安全事件進行處理，生成相應(yīng)的策略，并下發(fā)至交換機執(zhí)行。

3 全局安全網(wǎng)絡(luò)在我院的部署

根據(jù)校園網(wǎng)全局安全設(shè)計方案，可把服務(wù)器部署在校園網(wǎng)的服務(wù)器群中，而IDS的傳感器則可根據(jù)需要部署在核心或者匯聚層上，越靠近邊緣則效果越好，而安全智能交換機則要部署在接入層，保障客戶的安全。構(gòu)建好的廣西農(nóng)職院部署的典型拓撲如圖2所示。

hx02.tif

圖2 典型的全局安全校園網(wǎng)部署拓撲圖

3.1 身份認證系統(tǒng)的部署

作為全局安全的身份基礎(chǔ)平臺，SAM系統(tǒng)實現(xiàn)了廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院全體學(xué)生宿舍、教師宿舍、辦公和公共機房身份認證。該系統(tǒng)基于802.lx技術(shù)，實現(xiàn)了對用戶的身份和IP、MAC、交換機端口、交換機IP等信息嚴格綁定。 SAM系統(tǒng)提供的完善的計費運營功能，為校園網(wǎng)運營提供了足夠的數(shù)據(jù)支撐。通過該系統(tǒng)的部署，有效的防止了IP地址盜用，極大的減輕了校園網(wǎng)管理的運營負擔(dān)，并為全局網(wǎng)絡(luò)安全提供了基礎(chǔ)身份平臺。如圖3。

其次，SAM提供了完善的自助服務(wù)系統(tǒng)，包括快捷注冊，個人信息、密碼進行修改，上網(wǎng)明細、交費記錄、余額查詢，在線充值、注銷用戶等功能。不但方便了終端用戶繳費，同時也極大地減輕管理者的管理和收費工作負擔(dān)，有效緩解學(xué)生繳費和學(xué)校收費的矛盾。而入網(wǎng)身份驗證的多元素綁定，也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生，用戶漫游功能，實現(xiàn)了用戶在不同地區(qū)認證上網(wǎng)的需求。

hx03.tif

圖3 身份認證

3.2 安全管理平臺的部署

第9篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞:跨區(qū)IP專用網(wǎng)絡(luò);網(wǎng)絡(luò)安全防范;網(wǎng)絡(luò)安全防范方案

中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 09-0000-01

Cross-IP Specific Network Security System

Zheng Haoyu

(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)

Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.

Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.

And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.

Keywords:Cross-IP private network;Network security;Network security program

跨區(qū)IP專用網(wǎng)絡(luò)是內(nèi)部管理及對外交流的重要平臺。但在進行信息資源共享的同時,跨區(qū)IP專用網(wǎng)絡(luò)系統(tǒng)卻也處于被病毒攻擊侵害的威脅,隨時都可能出現(xiàn)信息丟失、數(shù)據(jù)損壞、系統(tǒng)癱瘓的局面。所以,我們要對跨區(qū)IP專用網(wǎng)絡(luò)的安全的框架體系、安全防范的層次結(jié)構(gòu)進行細致的分析研究,合理的設(shè)計設(shè)置,提高跨區(qū)網(wǎng)絡(luò)安全防范水平,減少系統(tǒng)與數(shù)據(jù)的安全風(fēng)險。

一、跨區(qū)IP專用網(wǎng)絡(luò)安全存在的問題

(一)網(wǎng)絡(luò)缺陷

IP專用網(wǎng)絡(luò)不可或缺的TCP/IP協(xié)議,沒有相應(yīng)的安全保障機制,而且最初設(shè)計因特網(wǎng)時考慮的是局部故障不會影響信息的傳輸,幾乎沒有意識到安全問題。因此,在安全可靠性及服務(wù)質(zhì)量等方面它存在不適應(yīng)性。

(二)系統(tǒng)漏洞

網(wǎng)絡(luò)系統(tǒng)安全性取決于網(wǎng)絡(luò)各主機系統(tǒng)的安全性,而各主機系統(tǒng)的安全性又是由操作系統(tǒng)的安全性所決定的。這也是網(wǎng)絡(luò)容易被人為破壞的不安全因素。

(三)病毒傳播

大多數(shù)病毒具有傳播快,擴散廣,難以防范,難于清除徹底等特點。令人防不勝防。

(四)黑客入侵

黑客借助挖掘邏輯漏洞,采用欺騙手段進行信息搜集,尋找薄弱環(huán)節(jié)和介入機會,迅速竊取到網(wǎng)絡(luò)用戶的身份信息,進而實施對整個網(wǎng)絡(luò)的入侵和攻擊,致使內(nèi)部信息被盜,甚至機密泄露。

二、跨區(qū)IP專用網(wǎng)絡(luò)安全防范體系設(shè)計思路

安全服務(wù)、系統(tǒng)單元、結(jié)構(gòu)層次的分項交叉的三維立體的框架結(jié)構(gòu)設(shè)計,能使網(wǎng)絡(luò)安全防范體系更具備科學(xué)性和可行性。

(一)體系框架設(shè)計思路

框架結(jié)構(gòu)中每個系統(tǒng)單元都要與某個協(xié)議層次相對應(yīng),并采取多種安全服務(wù)以保證其系統(tǒng)單元的安全性;網(wǎng)絡(luò)平臺要有網(wǎng)絡(luò)節(jié)點之間的認證和訪問控制;應(yīng)用平臺要有針對用戶的認證和訪問控制;數(shù)據(jù)傳輸要保證完整性和保密性;應(yīng)用系統(tǒng)要保證可用性和可靠性;要有抗抵賴及審計功能。這樣一個在各個系統(tǒng)單元都有對應(yīng)的安全措施滿足其安全需求的信息網(wǎng)絡(luò)系統(tǒng),應(yīng)該是安全的。

(二)體系層次設(shè)計思路

作為整體的、全方位的網(wǎng)絡(luò)安全防范體系,不僅要對橫向系統(tǒng)單元進行防范設(shè)計,還需對其縱向進行分層次考量。針對不同層次所反映的不同安全問題,根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀情況及網(wǎng)絡(luò)結(jié)構(gòu),可將安全防范體系的層次劃分為物理環(huán)境的安全性、操作系統(tǒng)的安全性、網(wǎng)絡(luò)的安全性、應(yīng)用的安全性、管理的安全性等。

三、構(gòu)建跨區(qū)IP專用網(wǎng)絡(luò)安全防范體系方案

(一)安全組件

1.路由器:通過在路由器上安裝必要的過濾,濾掉被屏蔽的IP地址與服務(wù)協(xié)議,并屏蔽存在安全隱患的協(xié)議。

2.入侵監(jiān)測系統(tǒng):監(jiān)測網(wǎng)絡(luò)上的所有包,捕捉有惡意或危險的目標(biāo),及時發(fā)出警告。

3.防火墻:可以防止“黑客”入侵網(wǎng)絡(luò)防御體系,限制外部用戶進入內(nèi)部網(wǎng),并過濾掉可能危及網(wǎng)絡(luò)的不安全服務(wù),拒絕非法用戶進入。

4.物理隔離與信息交換系統(tǒng):具有比防火墻和入侵檢測技術(shù)更強的安全性能。對內(nèi)部網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)實行物理隔斷,阻止各種已知與未知網(wǎng)絡(luò)層及操作系統(tǒng)層的攻擊。

5.交換機:利用訪問控制列表,實現(xiàn)用戶以不同要求進行的對數(shù)據(jù)包源和目的地址和協(xié)議以及源和目的端口各項的篩選與過濾。

6.應(yīng)用系統(tǒng)的認證和授權(quán)支持:實行在輸入級、對話路徑級與事務(wù)處理三級無漏洞。使集成的系統(tǒng)具有良好恢復(fù)能力,避免系統(tǒng)因受攻擊而癱瘓、數(shù)據(jù)被破壞或丟失。

(二)安全設(shè)計

可有效利用和發(fā)揮系統(tǒng)平臺自身的安全環(huán)節(jié),保證系統(tǒng)及數(shù)據(jù)庫的使用安全。

1.身份標(biāo)識和鑒別:計算機初始時,系統(tǒng)首先會對用戶標(biāo)識的身份及提供的證明依據(jù)進行鑒別。

2.訪問控制:分“自主訪問控制”與“強制訪問控制”兩種?！白灾髟L問控制”Unix及Windows NT操作系統(tǒng)都使用DAC。“強制訪問控制”能防范特洛伊木馬,阻止用戶濫用權(quán)限,具備更高的安全性。

3.審計:安全系統(tǒng)使用審計把包括主題與對象標(biāo)識、日期和時間、訪問權(quán)限請求、參考請求結(jié)果等活動信息記錄下來。

(三)安全機制

采用有針對性的技術(shù),提高系統(tǒng)的安全可控性,以建立高度安全的信息系統(tǒng)。

1.安全審核:通過完善系統(tǒng)基本安全設(shè)計,包括安全機制的實現(xiàn)和使用,增強了系統(tǒng)安全性,如設(shè)置網(wǎng)絡(luò)掃描器,對系統(tǒng)運行周期性安全問題進行統(tǒng)計分析,研判針對性方案節(jié)省防護投入提高使用功效。

2.信息加密:增設(shè)可信系統(tǒng)內(nèi)部加密存儲、跨越不可信系統(tǒng)在可信系統(tǒng)間傳輸受控信息等機制。考慮建設(shè)環(huán)境和經(jīng)費預(yù)算控制,結(jié)合使用自建CA與第三方CA對專用網(wǎng)絡(luò)通道進行加密認證,常應(yīng)用信息加密技術(shù)和基于加密與通道技術(shù)上的VPN系統(tǒng)。

3.災(zāi)難恢復(fù):對重要數(shù)據(jù)定期進行備份,保證重要數(shù)據(jù)在系統(tǒng)出現(xiàn)故障時仍能準確無誤。

四、結(jié)束語

保證跨區(qū)IP專用網(wǎng)絡(luò)安全,需要在采用相應(yīng)的技術(shù)措施的基礎(chǔ)上,加強網(wǎng)絡(luò)安全管理;制定相關(guān)的規(guī)章制度、使用規(guī)程以及應(yīng)急措施,在提高工作人員的業(yè)務(wù)能力的同時,增強網(wǎng)絡(luò)安全防范意識、保密觀念與責(zé)任心,使網(wǎng)絡(luò)安全防范體系有效發(fā)揮作用;引入安全風(fēng)險評估體系,定期進行風(fēng)險評估和檢查,對內(nèi)外部環(huán)境變化產(chǎn)生的新安全問題進行快速評估以改進完善安全設(shè)計方案,建立專用網(wǎng)絡(luò)安全的長效機制。

參考文獻:

[1]賈金嶺.構(gòu)建跨區(qū)IP專用網(wǎng)絡(luò)安全防范體系的探討[J].網(wǎng)絡(luò)與信息.2010,5

[2]徐濤.網(wǎng)絡(luò)安全防范體系及設(shè)計原則分析[J].電腦知識與技術(shù),2009,9