網(wǎng)絡(luò)安全等級保護(hù)解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全等級保護(hù)解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運行與管理階段。安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進(jìn)行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護(hù)標(biāo)準(zhǔn)，進(jìn)行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評估。通過定期或隨機的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革，則需要重新對系統(tǒng)進(jìn)行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)測，并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進(jìn)行評估工作。在此，本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時造成重大的資源損失。

（2）基本流程。

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護(hù)，以及費用應(yīng)當(dāng)與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進(jìn)而通過安全風(fēng)險評估專家進(jìn)行評判，得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

第2篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

總的來講，我們目前對信息系統(tǒng)的安全保障工作處在初級階段，主要表現(xiàn)在信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確，信息安全保障工作的重點不突出，信息安全監(jiān)管體系尚待完善。為了實施信息系統(tǒng)的安全保護(hù)，我國制定頒布了《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)和《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336-2001)等基本標(biāo)準(zhǔn)，隨后又制定了一系列相關(guān)的國家標(biāo)準(zhǔn)，對信息等級保護(hù)工作的定級、建設(shè)、測評、安全管理等進(jìn)行規(guī)范。信息安全等級保護(hù)制度一個很重要的思想就是對各領(lǐng)域的重要信息系統(tǒng)依照其對國家的重要程度進(jìn)行分類分級，針對不同的安全等級采取不同的保護(hù)措施，以此來指導(dǎo)不同領(lǐng)域的信息安全工作[1]。99年頒布的《等級劃分準(zhǔn)則》對計算機信息系統(tǒng)安全保護(hù)能力劃分了五個等級[2]，保護(hù)能力隨著安全保護(hù)等級的增高，逐漸增強。第一級為用戶自主保護(hù)級。使用戶具備自主安全保護(hù)的能力。第二級為系統(tǒng)審計保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上，需要創(chuàng)建和維護(hù)訪問的審計跟蹤記錄。第三級為安全標(biāo)記保護(hù)級。在繼承前面安全級別安全功能的基礎(chǔ)上，要求依據(jù)訪問安全級別限制訪問權(quán)限。第四級為結(jié)構(gòu)化保護(hù)級。繼承前面安全級別安全功能的基礎(chǔ)上，劃分安全保護(hù)機制為兩部分，關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分訪問者直接控制訪問對象的存取。第五級為訪問驗證保護(hù)級。按要求增設(shè)訪問驗證的功能，負(fù)責(zé)訪問者對所有訪問對象的訪問活動進(jìn)行仲裁。

2．企業(yè)信息安全等級保護(hù)的實施流程

在實施企業(yè)信息安全等級保護(hù)流程時，主要得工作可以分為信息系統(tǒng)定級、規(guī)劃與設(shè)計和實施、等級評估與改進(jìn)三個主要的階段。

2.1信息系統(tǒng)定級

系統(tǒng)定級是根據(jù)整個系統(tǒng)要求達(dá)到的防護(hù)水平，確定信息系統(tǒng)和各個子系統(tǒng)的安全防護(hù)等級。需要由專業(yè)人員評估企業(yè)的信息系統(tǒng)、各種軟硬件設(shè)備及企業(yè)業(yè)務(wù)支撐的各個環(huán)節(jié)，根據(jù)其重要性和復(fù)雜性劃分為各個子系統(tǒng)，描述子系統(tǒng)的組成和邊界，以此確定總系統(tǒng)和子系統(tǒng)的安全等級。2.2安全規(guī)劃和設(shè)計安全規(guī)劃和設(shè)計是根據(jù)系統(tǒng)定級的結(jié)果，對信息系統(tǒng)及其子系統(tǒng)制定全套的安全防護(hù)解決方案，并根據(jù)方案選取相應(yīng)的軟、硬件防護(hù)產(chǎn)品進(jìn)行具體實施的階段，這個階段的工作主要可以歸納為以下三個方面的內(nèi)容：

2.2.1系統(tǒng)對象的分類劃分及相應(yīng)保護(hù)框架的確立。

企業(yè)需要對信息系統(tǒng)進(jìn)行保護(hù)對象進(jìn)行分類和劃分，建立起一個企業(yè)信息系統(tǒng)保護(hù)的框架，根據(jù)系統(tǒng)功能的差異和安全要求不同對系統(tǒng)進(jìn)行分域、分級防護(hù)。

2.2.2選擇安全措施并根據(jù)需要進(jìn)行調(diào)整。

在確定了企業(yè)信息系統(tǒng)及各個子系統(tǒng)的安全等級以后，根據(jù)需要選擇相應(yīng)的等級安全要求。根據(jù)對系統(tǒng)評估的結(jié)果，確定出主系統(tǒng)、子系統(tǒng)和各保護(hù)對象的安全措施，并根據(jù)項目實施過程中的需要進(jìn)行適當(dāng)?shù)恼{(diào)整。

2.2.3安全措施規(guī)劃和安全方案實施。

確定需要的安全措施以后，定制相應(yīng)安全解決方案和運維管理方案，以此為依據(jù)采購必要的安全保護(hù)軟、硬件及安全服務(wù)。

2.3實施、等級評估和改進(jìn)[4]

依照此前確定的安全措施和解決方案，在企業(yè)中進(jìn)行方案實施。實施完畢之后，對照“信息安全等級保護(hù)”相關(guān)標(biāo)準(zhǔn)，評估所部署的方案是否達(dá)到了預(yù)想的防護(hù)要求,如果評估未能通過,則需對部分安全方案進(jìn)行改進(jìn)后再進(jìn)行評估,直至符合等級保護(hù)要求。

3.企業(yè)信息安全等級保護(hù)體系的主要內(nèi)容

3.1安全體系設(shè)計的原則及設(shè)計目標(biāo)

信息系統(tǒng)安全體系的設(shè)計需要按照合規(guī)可行、全局均衡、體系化和動態(tài)發(fā)展原則，達(dá)到并實現(xiàn)“政策合規(guī)、資源可控、數(shù)據(jù)可信、持續(xù)發(fā)展”的生存管理與安全運維目的。系統(tǒng)安全等級保護(hù)體系的技術(shù)指標(biāo),可以分為信息技術(shù)測評指標(biāo)和非信息技術(shù)測評指標(biāo)兩類。所以整個安全等級保護(hù)體系應(yīng)包含基本技術(shù)措施和基本管理措施兩個組成部分。

3.2基本技術(shù)措施

3.2.1物理安全

物理安全是信息系統(tǒng)安全的基礎(chǔ)，物理安全主要內(nèi)容包括環(huán)境安全（防火、防水、防雷擊等）、設(shè)備和介質(zhì)的防盜竊、防破壞等方面。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是若干網(wǎng)絡(luò)設(shè)備組成的可用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)環(huán)境，是信息系統(tǒng)安全運行的基礎(chǔ)設(shè)施。對于內(nèi)網(wǎng)未通過準(zhǔn)許聯(lián)到外網(wǎng)的行為，可以使用終端安全管理系統(tǒng)來檢測。對登錄網(wǎng)絡(luò)設(shè)備和服務(wù)器的用戶進(jìn)行基本的身份識別，使網(wǎng)絡(luò)最基本具備基本的防護(hù)能力。[5]

3.2.3主機安全

主機安全主要是指服務(wù)器和終端系統(tǒng)層面的安全風(fēng)險。主機的安全風(fēng)險主要包括兩個方面：一是操作系統(tǒng)的脆弱性，二是來自系統(tǒng)配置管理和使用過程?？梢酝ㄟ^建立一套完善安全審計系統(tǒng)實現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層以及應(yīng)用層的安全審計。

3.2.4應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)是提供給用戶真正可使用的功能，是以物理層、網(wǎng)絡(luò)層和主機層為基礎(chǔ)的，是用戶與系統(tǒng)底層的接口。應(yīng)用安全首先要考慮身份驗證、通訊加密、信息保護(hù)和抗抵賴性等安全風(fēng)險，對應(yīng)用系統(tǒng)方面應(yīng)關(guān)注系統(tǒng)資源控制、應(yīng)用代碼安全、系統(tǒng)安全審計和系統(tǒng)容錯等內(nèi)容，一般需要通過安全審計系統(tǒng)和專業(yè)的安全服務(wù)來實現(xiàn)。

3.2.5數(shù)據(jù)安全

數(shù)據(jù)是指用戶真正的數(shù)據(jù)，信息系統(tǒng)數(shù)據(jù)安全所面臨的主要風(fēng)險包括：數(shù)據(jù)遭到盜竊；數(shù)據(jù)被惡意刪除或篡改。在考慮數(shù)據(jù)安全方案時，除了使用從物理層到應(yīng)用層的各種層次的安全產(chǎn)品，更重要的是考慮對數(shù)據(jù)的實時備份。目前主要使用數(shù)據(jù)庫技術(shù)來保證數(shù)據(jù)私密性和完整性，制定好數(shù)據(jù)存儲與備份方案，來完成日常的數(shù)據(jù)備份與恢復(fù)。這部分工作可以考慮引入專業(yè)安全服務(wù)。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、審核和修訂等工作，需要在信息安全領(lǐng)導(dǎo)小組的統(tǒng)籌下，按照安全工作的總體方案，根據(jù)系統(tǒng)應(yīng)用安全的實際情況，組織相關(guān)人員進(jìn)行，并進(jìn)行定期的審核和修訂。

3.3.2安全管理機構(gòu)

要根據(jù)要求建立專門的安全職能部門，配置專門的安全管理人員，并對安全管理人員進(jìn)行日?；顒拥谋O(jiān)督指導(dǎo)。同時要對安全職能部門進(jìn)行全面的設(shè)計，內(nèi)容包括的人員和崗位的配置、日常工作流程、與其他部門的溝通和合作、系統(tǒng)安全的審核和檢查等方面。

3.3.3人員安全管理

人員的入職、離職、績效考核、業(yè)務(wù)培訓(xùn)等環(huán)節(jié)都要考慮安全因素。對第三方人員管理上也要考慮安全風(fēng)險。

3.3.4系統(tǒng)建設(shè)過程管理

要在系統(tǒng)建設(shè)的各個階段貫徹系統(tǒng)安全等級保護(hù)體系的思想和內(nèi)容。主要是對系統(tǒng)建設(shè)從方案設(shè)計、采購、開發(fā)、實施、測試驗收、交付到系統(tǒng)備案、安全測評等環(huán)節(jié)進(jìn)行全流程的監(jiān)控，對所有涉及安全保護(hù)的方面提出具體要求。

3.3.5系統(tǒng)運行和維護(hù)管理

信息系統(tǒng)運維安全管理涉包括日常管理、安全事件處置、應(yīng)急預(yù)案管理和安管中心等幾方面內(nèi)容，可以是內(nèi)部人員管理維護(hù)，也可以根據(jù)需要采用內(nèi)部人員和專業(yè)安全廠商相結(jié)合的方式。

4.總結(jié)

第3篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

關(guān)鍵詞：微機監(jiān)測；鐵路信號；設(shè)備安全

Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.

Keywords: railway signal microcomputer monitoring; equipment safety;

中圖分類號：F530.3 文獻(xiàn)標(biāo)識碼：A 文章編號：

1 微機監(jiān)測系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

目前的微機監(jiān)測系統(tǒng)一般都是三層次的網(wǎng)絡(luò)結(jié)構(gòu)，既由車站、領(lǐng)工區(qū)（車間）、電務(wù)段三級構(gòu)成的計算機網(wǎng)絡(luò)，電務(wù)段和領(lǐng)工區(qū)的管理人員可以通過微機監(jiān)測網(wǎng)直接看到所轄各站信號設(shè)備和戰(zhàn)場運作狀況。目前網(wǎng)絡(luò)遭受病毒侵襲的主要途徑有：生產(chǎn)已經(jīng)網(wǎng)絡(luò)化，網(wǎng)絡(luò)上任何一點感染病毒后，如不及時處理，容易全網(wǎng)蔓延；隨著移動存儲設(shè)備越來越廣泛的使用，病毒通過移動設(shè)備感染的機率大大增加。一機多用，如某臺終端機既用于調(diào)看生產(chǎn)監(jiān)控，又兼作辦公機；其他遭受惡意攻擊等非正常感染病毒。

現(xiàn)階段微機監(jiān)測系統(tǒng)采取的網(wǎng)絡(luò)安全防護(hù)措施包括以下幾個方面。

1）要求把站機、終端機上的I/0接口，如光驅(qū)、歟驅(qū)、USB插口等用標(biāo)簽加封，并在主板BIOS里修改相應(yīng)項屏蔽設(shè)備端口，杜絕在站機、終端機上進(jìn)行與業(yè)務(wù)無關(guān)的作業(yè)。

2）微機檢測安全服務(wù)器，站機、終端機，安裝有MCAFEE網(wǎng)絡(luò)版防毒軟件或瑞星單機版殺毒軟件，但沒有建立專用的防病毒服務(wù)器，病毒庫的更新不及時，單機版的軟件只有維護(hù)人員到站上才能更新。

3）清理非法接入局域網(wǎng)的計算機，查清有無一機多用甚至多網(wǎng)的可能，并對非法接人的計算機進(jìn)行屏蔽。

2 現(xiàn)有系統(tǒng)存在的安全問題及改進(jìn)的主要參考原則

設(shè)計新的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，應(yīng)確保運行數(shù)據(jù)的完整性、可用性、可控性、可審查性。安全系統(tǒng)的改進(jìn)可參考以下幾個原則。

1）體系化設(shè)計原則。通過分析網(wǎng)絡(luò)系統(tǒng)的層次關(guān)系．提出科學(xué)的安全體系和安全構(gòu)架，從中分析出存在的各種安全風(fēng)險，充分利用現(xiàn)有投資，并合理運用當(dāng)今主流的安全防護(hù)技術(shù)和手段，最大限度地解決網(wǎng)絡(luò)中可能存在的安全問題。

2）全局性、均衡性、綜合性設(shè)計原則。從網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個具有相當(dāng)高度，可擴展性強的安全防護(hù)解決方案，應(yīng)均衡考慮各種安全措施的效果，提供具有最優(yōu)性價比的網(wǎng)絡(luò)安全防護(hù)解決方案。

3）可行性、可靠性、可審查性原則?？尚行允窃O(shè)計網(wǎng)絡(luò)安全防護(hù)方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運行的保證，可審查性是對出現(xiàn)的安全問題提供依據(jù)與手段。

4）分步實施原則。分級管理，分步實施。

3 系統(tǒng)改進(jìn)可采取的的主要措施

維護(hù)管理方面我們可以做好以下幾點改進(jìn)。

1）微機監(jiān)測增設(shè)防病毒服務(wù)器，定期升級服務(wù)器病毒庫，將病毒入侵機率降至最低。安裝防火墻，對連接網(wǎng)絡(luò)中的計算機進(jìn)行統(tǒng)一管理，確保網(wǎng)絡(luò)安全。

2）科學(xué)處理補丁和病毒之間的矛盾。安裝補丁時，應(yīng)經(jīng)過慎重的論證測試，可行在開發(fā)系統(tǒng)上進(jìn)行測試，確保安全的前提下，再進(jìn)行補丁安裝，因為有些補丁可能與現(xiàn)行的操作系統(tǒng)發(fā)生沖突，進(jìn)而影響整個系統(tǒng)的穩(wěn)定性。

3）在生產(chǎn)網(wǎng)上組建VPN，創(chuàng)建一個安全的私有鏈接。

同時，為保證系統(tǒng)的安全管理 ，避免人為的安全威脅，應(yīng)根據(jù)運行工作的重要程度劃分系統(tǒng)的安全等級，根據(jù)確定的安全等級確定該系統(tǒng)的管理范圍和安全措施。對機房實行安全分區(qū)控制，根據(jù)工作人員權(quán)限限定其工作區(qū)域。機房的出入管理可以采取先進(jìn)的證件識別或安裝自動識別登記系統(tǒng)，采用磁卡，身份證等手段對工作人員進(jìn)行識別、登記、管理。根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，確定工作系統(tǒng)人員的操作范圍和管理，制定嚴(yán)格的操作規(guī)程。針對工作調(diào)動或離職人員要及時調(diào)整相應(yīng)授權(quán)。

4 可采用的網(wǎng)絡(luò)安全新技術(shù)

建立完善的微機監(jiān)測系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，需要現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)上，充分考慮防火墻、入侵檢測／防護(hù)、漏洞掃描、防病毒系統(tǒng)等安全機制。由于網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，傳統(tǒng)的防護(hù)技術(shù)已經(jīng)不能適應(yīng)復(fù)雜多變的新型網(wǎng)絡(luò)環(huán)境，必須采用安全有效的網(wǎng)絡(luò)安全新技術(shù)才能防患于未然，提高整個微機監(jiān)測網(wǎng)絡(luò)的安全性。可采用的新型網(wǎng)絡(luò)安全技術(shù)包括以下幾種。

1）鏈路負(fù)載均衡技術(shù)。鏈路負(fù)載均衡技術(shù)是建立在多鏈路網(wǎng)絡(luò)結(jié)構(gòu)上的一種網(wǎng)絡(luò)流量管理技術(shù)。它針對不同鏈路的網(wǎng)絡(luò)流量，通信質(zhì)量以及訪問路徑的長短等諸多因素，對訪問產(chǎn)生的徑路流量所使用的鏈路進(jìn)行調(diào)度和選擇。可最大限度的擴展和利用鏈路的帶寬，當(dāng)某一鏈路發(fā)生故障中斷時，可以自動將其訪問流量分配給其它尚在工作的鏈路，避免IPS鏈路上的單點故障。

2）IPS入侵防御系統(tǒng)。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的，實時的防護(hù)，其設(shè)計目的旨在準(zhǔn)確檢測網(wǎng)絡(luò)異常流量，自動應(yīng)對各類攻擊性的流量，不將攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。

3）上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)能夠提供全面的互聯(lián)網(wǎng)控制管理，并能實現(xiàn)基于用戶和各種網(wǎng)絡(luò)協(xié)議的帶寬控制管理。實時監(jiān)控整個網(wǎng)絡(luò)使用情況。

4）網(wǎng)絡(luò)帶寬管理系統(tǒng)。對整個網(wǎng)絡(luò)狀況進(jìn)行細(xì)致管理，提高網(wǎng)絡(luò)使用效率，實現(xiàn)對關(guān)鍵人員使用網(wǎng)絡(luò)的保障，對關(guān)鍵應(yīng)用性能的保護(hù)，對非關(guān)鍵應(yīng)用性能的控制?？筛鶕?jù)業(yè)務(wù)需求和應(yīng)用自身需求進(jìn)行帶寬分配。

5）防毒墻。傳統(tǒng)的計算機病毒防范是在需要保護(hù)的計算機內(nèi)部建立反病毒系統(tǒng)，隨著網(wǎng)絡(luò)病毒的日益嚴(yán)重和各種網(wǎng)絡(luò)威脅的侵害，需要將病毒在通過服務(wù)器后企業(yè)內(nèi)部網(wǎng)關(guān)之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強大的網(wǎng)絡(luò)殺毒機制，網(wǎng)絡(luò)層狀態(tài)包過濾，敏感信息的加密傳輸，和詳盡靈活的日志審計等多種安全技術(shù)于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進(jìn)入網(wǎng)絡(luò)前進(jìn)行全面掃描，適用于各種復(fù)雜的網(wǎng)絡(luò)拓?fù)洵h(huán)境。

5 結(jié)束語

通過本文的分析，可以看出，我國鐵路信號微機監(jiān)測系統(tǒng)的應(yīng)用得到了初步的效果，但是隨著我國鐵路系統(tǒng)的繼續(xù)發(fā)展，網(wǎng)絡(luò)安全是我們不得不考慮的問題，而且隨著網(wǎng)絡(luò)安全問題的越來越多，對我國鐵路信號微機監(jiān)測系統(tǒng)的安全性要求就越高，因此，在未來的發(fā)展過程中，我們需要進(jìn)一步提升鐵路信號微機監(jiān)測系統(tǒng)的安全等級，只有這樣才能促進(jìn)我國鐵路信號系統(tǒng)的安全，提升我國鐵路信號系統(tǒng)的繼續(xù)發(fā)展。

參考文獻(xiàn)

[1]劉琦.鐵路信號安全維護(hù)及監(jiān)控系統(tǒng)設(shè)計思路及應(yīng)用[J].安防科技,2011,03.

第4篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

（中國電子科技集團(tuán)公司第二十研究所，陜西 西安 710068）

【摘　要】隨著信息化水平的不斷提高，各單位對其依賴程度前所未有的加大，然而隨著各種攻擊技術(shù)的發(fā)展，沒有防御的系統(tǒng)則顯得不堪一擊。針對此，每個單位信息系統(tǒng)的安全運行都相應(yīng)的加大了信息安全的關(guān)注與投入。鑒于此，研究不同等級的信息系統(tǒng)所需的安全措施就變得很有意義。主要說明了信息系統(tǒng)的不同等級及其安全防護(hù)水平。

關(guān)鍵詞 信息化；風(fēng)險；等級保護(hù)；安全

1　信息化發(fā)展背景

1.1　全球背景

信息化是充分利用信息技術(shù)，開發(fā)利用信息資源，促進(jìn)信息交流和知識共享，提高經(jīng)濟增長質(zhì)量，推動經(jīng)濟社會發(fā)展轉(zhuǎn)型的歷史進(jìn)程。隨著信息技術(shù)發(fā)展，信息化對經(jīng)濟社會發(fā)展的影響更加深刻。信息資源日益成為重要生產(chǎn)要素、無形資產(chǎn)和社會財富。與此同時，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰(zhàn)。

1.2　我國目標(biāo)

我國信息化發(fā)展戰(zhàn)略概括為：以信息化促進(jìn)工業(yè)化，以工業(yè)化帶動信息化，走出中國特色的信息化道路。信息化是當(dāng)今世界發(fā)展的大趨勢，是推動經(jīng)濟社會變革的重要力量。到2020年，我國信息化發(fā)展的戰(zhàn)略目標(biāo)是：綜合信息基礎(chǔ)設(shè)施基本普及，信息技術(shù)自主創(chuàng)新能力顯著增強，信息產(chǎn)業(yè)結(jié)構(gòu)全面優(yōu)化，國家信息安全保障水平大幅提高，國民經(jīng)濟和社會信息化取得明顯成效，新型工業(yè)化發(fā)展模式初步確立，國家信息化發(fā)展的制度環(huán)境和政策體系基本完善，國民信息技術(shù)應(yīng)用能力顯著提高，為邁向信息社會奠定堅實基礎(chǔ)。

2　等級保護(hù)標(biāo)準(zhǔn)及其具體范圍

信息安全等級保護(hù)是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

2.1　美國可信計算機安全評價標(biāo)準(zhǔn)

美國可信計算機安全評價標(biāo)準(zhǔn)(Trusted Computer System Evaluation Criteria，TCSEC)，該標(biāo)準(zhǔn)是世界范圍內(nèi)計算機系統(tǒng)安全評估的第一個正式標(biāo)準(zhǔn)，具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標(biāo)準(zhǔn)，后來延至民用領(lǐng)域。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、7個級別。

D類安全等級：D類安全等級只包括D1一個級別。D1的安全等級最低。

C類安全等級：該類安全等級能夠提供審計的保護(hù)，并為用戶的行動和責(zé)任提供審計能力。C類安全等級可劃分為C1和C2兩類。

B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統(tǒng)具有強制性保護(hù)功能。

A類安全等級：A系統(tǒng)的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1系統(tǒng)的顯著特征是，系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范來分析系統(tǒng)。

2.2　歐洲的安全評價標(biāo)準(zhǔn)

歐洲的安全評價標(biāo)準(zhǔn)ITSEC（Information Technology Security Evaluation Criteria）是英國、法國、德國和荷蘭制定的IT安全評估準(zhǔn)則，是歐洲多國安全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標(biāo)準(zhǔn)將安全概念分為功能與評估兩部分。功能準(zhǔn)則從F1～F10共分10級。1～5級對應(yīng)于TCSEC的D到A。F6至F10級分別對應(yīng)數(shù)據(jù)和程序的完整性、系統(tǒng)的可用性、數(shù)據(jù)通信的完整性、數(shù)據(jù)通信的保密性以及機密性和完整性的網(wǎng)絡(luò)安全。

與TCSEC不同，它并不把保密措施直接與計算機功能相聯(lián)系，而是只敘述技術(shù)安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質(zhì))到E6級(形式化驗證)的7個安全等級，對于每個系統(tǒng)，安全功能可分別定義。

2.3　我國計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

我國根據(jù)世界范圍內(nèi)信息安全及計算機系統(tǒng)安全評估等技術(shù)的發(fā)展，并結(jié)合我國自身情況，制定并頒發(fā)了我國計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB 17859-1999），在該準(zhǔn)則中將信息系統(tǒng)分為下面五個等級：

第一級：用戶自主保護(hù)級；

第二級：系統(tǒng)審計保護(hù)級；

第三級：安全標(biāo)記保護(hù)級；

第四級：結(jié)構(gòu)化保護(hù)級；

第五級：訪問驗證保護(hù)級。

3　風(fēng)險分析和安全保護(hù)措施

3.1　漏洞、威脅、風(fēng)險

在實際中，計算機信息系統(tǒng)在確定保護(hù)等級之前，首先要對該計算機信息系統(tǒng)進(jìn)行風(fēng)險分析。風(fēng)險是構(gòu)成安全基礎(chǔ)的基本觀念，風(fēng)險是丟失需要保護(hù)的資產(chǎn)的可能性。如果沒有風(fēng)險就不需要安全。威脅是可能破壞信息系統(tǒng)環(huán)境安全的行動或事件。漏洞是各種攻擊可能的途徑。風(fēng)險是威脅和漏洞的綜合結(jié)果。沒有漏洞的威脅沒有風(fēng)險，沒有威脅的漏洞也沒有風(fēng)險。識別風(fēng)險除了識別漏洞和威脅之外，還應(yīng)考慮已有的策略和預(yù)防措施。識別漏洞應(yīng)尋找系統(tǒng)和信息的所有入口及分析如何通過這些入口訪問系統(tǒng)和信息。識別威脅是對目標(biāo)、動機及事件的識別。一旦對漏洞、威脅以及預(yù)防措施進(jìn)行了識別，就可確定該計算機信息系統(tǒng)的風(fēng)險。綜合這些信息，開發(fā)相應(yīng)的風(fēng)險管理項目。風(fēng)險永遠(yuǎn)不可能完全去除，風(fēng)險必須管理。

風(fēng)險分析是對需要保護(hù)的資產(chǎn)及其受到的潛在的安全威脅的鑒別過程。風(fēng)險是威脅和漏洞的組合。正確的風(fēng)險分析是保證計算機信息系統(tǒng)的網(wǎng)絡(luò)環(huán)境及其信息安全及其重要的一步。風(fēng)險分析始于對需要保護(hù)的資產(chǎn)（物理資源、知識資源、時間資源、信譽資源等）的鑒別以及對資產(chǎn)威脅的潛在攻擊源的分析。采用等級保護(hù)策略可以有效的降低各種資產(chǎn)受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺，可以以低的安全代價換取高的安全強度。

3.2　一種保護(hù)重要秘密安全的方法

在具體實施過程中，根據(jù)計算機信息系統(tǒng)不同的安全等級要求，制定不同的等級保護(hù)策略，用最小的代價來保證計算機信息系統(tǒng)安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時參與才能生效，這時就需要將秘密分給多人掌管，并且必須有一定數(shù)目的掌管秘密的相關(guān)人員同時到場才能恢復(fù)這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

設(shè)秘密m被分成n個部分的信息，每一部分信息稱為一個子密鑰，由一個參與者持有，使得：

①由k(k<n)個或多于k個參與者所持有的部分信息可重構(gòu)該消息m；

②由少于k個參與者所持有的部分信息無法重構(gòu)消息m；

稱這種方案為（k，n）秘密分割門限方案，k稱為方案的門限值。

如果一個參與者或一組未經(jīng)授權(quán)的參與者在猜測秘密m時，并不比局外人猜測該秘密m時有優(yōu)勢。

③由少于k個參與者所持有的部分信息得不到秘密m的任何信息。

則稱這個方案是完整的，即（k，n）秘密分割門限方案是完整的。

其中最具代表性和廣泛應(yīng)用的門限方案是基于中國剩余定理的門限方案。

通過這種秘密分割的方法就能達(dá)到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的（下轉(zhuǎn)第73頁）（上接第78頁）重要部位和場所的出入控制等方面。

3.3　具體措施

針對企業(yè)信息系統(tǒng)，應(yīng)當(dāng)健全針對各單位或業(yè)務(wù)部門在日常工作中產(chǎn)生和接觸的信息的敏感程度不同，區(qū)分等級，分門別類，堅持積極防御、綜合防范，探索和把握信息化與信息安全的內(nèi)在規(guī)律，主動應(yīng)對信息安全挑戰(zhàn)，力爭做到辦公方便與安全保密同時兼顧，實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展，保證企業(yè)信息安全。

加強信息安全風(fēng)險評估工作。建設(shè)和完善信息安全監(jiān)控體系，提高對網(wǎng)絡(luò)安全事件應(yīng)對和防范能力，防止有害信息傳播。高度重視信息安全應(yīng)急處置工作，健全完善信息安全應(yīng)急指揮和安全通報制度，不斷完善信息安全應(yīng)急處置預(yù)案。從實際出發(fā)，促進(jìn)資源共享，重視災(zāi)難備份建設(shè)，增強信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的抗毀能力和災(zāi)難恢復(fù)能力。

4　結(jié)束語

隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領(lǐng)域的研究之中。然而當(dāng)今的現(xiàn)狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發(fā)展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經(jīng)出現(xiàn)且危害較大的一些安全問題提出相應(yīng)的解決方案，還應(yīng)該站在安全領(lǐng)域的前沿，積極地投身去防御各種可能會引發(fā)安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術(shù)的發(fā)展帶來的便捷。

參考文獻(xiàn)

［1］胡道元,閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2007.

［2］baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級分類[OL].

［3］baike.baidu.com/view/488448.htm.ITSEC[OL].

［4］楊波.現(xiàn)代秘密學(xué)[M].2版.清華大學(xué)出版社,2007.

［5］baike.baidu.com/view/21730.htm#sub5031999.CC國際通用標(biāo)準(zhǔn)[OL].

第5篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

論文摘要：互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便，同時也帶來了許多的網(wǎng)絡(luò)安全隱患，諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計算機網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn)，如何在計算機網(wǎng)絡(luò)這個大環(huán)境之下，確保其安全運行，完善安全防護(hù)策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。該文首先分析了計算機網(wǎng)絡(luò)信息管理工作中的安全問題，其次，從多個方面就如何有效加強計算機網(wǎng)絡(luò)信息安全防護(hù)進(jìn)行了深入的探討，具有一定的參考價值。

1概述

互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便，同時也帶來了許多的網(wǎng)絡(luò)安全隱患，諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計算機網(wǎng)絡(luò)信息安全，特別是計算機數(shù)據(jù)安全，目前已經(jīng)采用了諸如服務(wù)器、通道控制機制、防火墻技術(shù)、入侵檢測之類的技術(shù)來防護(hù)計算機網(wǎng)絡(luò)信息安全管理，即便如此，仍然存在著很多的問題，嚴(yán)重危害了社會安全。計算機網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn)，如何在計算機網(wǎng)絡(luò)這個大環(huán)境之下，確保其安全運行，完善安全防護(hù)策略，已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。

2計算機網(wǎng)絡(luò)信息管理工作中的安全問題分析

計算機網(wǎng)絡(luò)的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù)，但是也使得計算機網(wǎng)絡(luò)出現(xiàn)了一些安全問題。在開展計算機網(wǎng)絡(luò)信息管理工作時，應(yīng)該將管理工作的重點放在網(wǎng)絡(luò)信息的和訪問方面，確保計算機網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。

2.1安全指標(biāo)分析

（1）保密性

通過加密技術(shù)，能夠使得計算機網(wǎng)絡(luò)系統(tǒng)自動篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請求，只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計算機網(wǎng)絡(luò)信息數(shù)據(jù)。

（2）授權(quán)性

用戶授權(quán)的大小與其能夠在計算機網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān)，我們一般都是采取策略標(biāo)簽或者控制列表的形式來進(jìn)行訪問，這樣做的目的就在于能夠有效確保計算機網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。

（3）完整性

可以通過散列函數(shù)或者加密的方法來防治非法信息進(jìn)入計算機網(wǎng)絡(luò)信息系統(tǒng)，以此來確保所儲存數(shù)據(jù)的完整性。

（4）可用性

在計算機網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計環(huán)節(jié)，應(yīng)該要確保信息資源具有可用性，在突然遇到攻擊的時候，能夠及時使得各類信息資源恢復(fù)到正常運行的狀態(tài)。

（5）認(rèn)證性

為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶，目前應(yīng)用較為廣泛的計算機網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種，分別是數(shù)據(jù)源認(rèn)證和實體性認(rèn)證兩種，這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。

2.2計算機網(wǎng)絡(luò)信息管理中的安全性問題

大量的實踐證明，計算機網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型，第一種主要針對計算機網(wǎng)絡(luò)信息管理工作的可用性和完整性，屬于信息安全監(jiān)測問題；第二種主要針對計算機網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性，屬于信息訪問控制問題。

（1）信息安全監(jiān)測

有效地實施信息安全監(jiān)測工作，可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾，能夠使得網(wǎng)絡(luò)信息安全的管理人員及時發(fā)現(xiàn)安全隱患源，及時預(yù)警處理遭受攻擊的對象，然后再確保計算機網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。

（2）信息訪問控制問題

整個計算機網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求。換而言之，整個網(wǎng)絡(luò)信息安全防護(hù)的對象應(yīng)該放在資源信息的和個人信息的儲存。

3如何有效加強計算機網(wǎng)絡(luò)信息安全防護(hù)

（1）高度重視，完善制度

根據(jù)單位環(huán)境與特點制定、完善相關(guān)管理制度。如計算機應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報等制度。成立領(lǐng)導(dǎo)小組和工作專班，完善《計算機安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計算機安全保密管理規(guī)定》等制度，為規(guī)范管理夯實了基礎(chǔ)。同時，明確責(zé)任，強化監(jiān)督。嚴(yán)格按照保密規(guī)定，明確涉密信息錄入及流程，定期進(jìn)行安全保密檢查，及時消除保密隱患，對檢查中發(fā)現(xiàn)的問題，提出整改時限和具體要求，確保工作不出差錯。此外，加強培訓(xùn)，廣泛宣傳。有針對性組織開展計算機操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識、數(shù)據(jù)傳輸安全和病毒防護(hù)等基本技能培訓(xùn)，利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識講座，使信息安全意識深入人心。 ?。?）合理配置，注重防范

第一，加強病毒防護(hù)。單位中心機房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件，并及時在線升級。嚴(yán)格區(qū)分訪問內(nèi)、外網(wǎng)客戶端，對機房設(shè)備實行雙人雙查，定期做好網(wǎng)絡(luò)維護(hù)及各項數(shù)據(jù)備份工作，對重要數(shù)據(jù)實時備份，異地儲存。同時，嚴(yán)格病毒掃描。針對網(wǎng)絡(luò)傳輸、郵件附件或移動介質(zhì)的方式接收的文件，有可能攜帶病毒的情況，要求接收它們之前使用殺毒軟件進(jìn)行病毒掃描。第二，加強強弱電保護(hù)。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備，在所有弱電機房安裝強電防雷保護(hù)器，保障雷雨季節(jié)主要設(shè)備的安全運行。第三，加強應(yīng)急管理。建立應(yīng)急管理機制，完善應(yīng)急事件出現(xiàn)時的事件上報、初步處理、查實處理、責(zé)任追究等措施，并定期開展進(jìn)行預(yù)演，確保事件發(fā)生時能夠從容應(yīng)對。第四，加強“兩個隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進(jìn)行“邊界隔離”，通過隔離實現(xiàn)有效防護(hù)外來攻擊，防止內(nèi)、外網(wǎng)串聯(lián)。第五，嚴(yán)格移動存儲介質(zhì)應(yīng)用管理。對單位所有的移動存儲介質(zhì)進(jìn)行登記，要求使用人員嚴(yán)格執(zhí)行《移動存儲介質(zhì)管理制度》，杜絕外來病毒的入侵和泄密事件的發(fā)生。同時，嚴(yán)格安全密碼管理。所有工作用機設(shè)置開機密碼，且密碼長度不得少于8位，定期更換密碼。第六，嚴(yán)格使用桌面安全防護(hù)系統(tǒng)。每臺內(nèi)網(wǎng)計算機都安裝了桌面安全防護(hù)系統(tǒng)，實現(xiàn)了對計算機設(shè)備軟、硬件變動情況的適時監(jiān)控。第七，嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對全局?jǐn)?shù)據(jù)定期備份外，要求個人對重要數(shù)據(jù)也定期備份，把備份數(shù)據(jù)保存在安全介質(zhì)上。

（3）堅持以信息安全等級保護(hù)工作為核心

把等級保護(hù)的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合，采取一系列有效措施，使等級保護(hù)制度在全局得到有效落實，有效的保障業(yè)務(wù)信息系統(tǒng)安全。

第一，領(lǐng)導(dǎo)高度重視，組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作，成立專門的信息中心，具體負(fù)責(zé)等級保護(hù)相關(guān)工作，統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施，重點強化第二級信息系統(tǒng)的合規(guī)建設(shè)，加強了信息系統(tǒng)的運維管理，對重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案，有效提高了系統(tǒng)的安全防護(hù)水平。

第二，完善措施，保障經(jīng)費。一是認(rèn)真組織開展信息系統(tǒng)定級備案工作。二是組織開展信息系統(tǒng)等級測評和安全建設(shè)整改。三是開展了信息安全檢查活動。對信息安全、等級保護(hù)落實情況進(jìn)行了檢查。

第三，建立完善各項安全保護(hù)技術(shù)措施和管理制度，有效保障重要信息系統(tǒng)安全。一是對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護(hù)基本要求》，提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則，對網(wǎng)絡(luò)進(jìn)行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進(jìn)病毒治理和桌面安全管理。三是加強制度建設(shè)和信息安全管理。本著“預(yù)防為主，建章立制，加強管理，重在治本”的原則，堅持管理與技術(shù)并重的原則，對信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用。

（4）采用專業(yè)性解決方案保護(hù)網(wǎng)絡(luò)信息安全

大型的單位，如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大，可以采用專業(yè)性解決方案來保護(hù)網(wǎng)絡(luò)信息安全，諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護(hù)解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到web層的全面防護(hù)；其中防火墻、ids分別提供網(wǎng)絡(luò)層和應(yīng)用層防護(hù)，ace對web服務(wù)提供帶寬保障；而方案的主體產(chǎn)品銳捷webguard（wg）進(jìn)行web攻擊防御，方案能給客戶帶來的價值：

防網(wǎng)頁篡改、掛馬

許多大型的單位作為公共信息提供者，網(wǎng)頁被篡改、掛馬將造成不良社會影響，降低單位聲譽。目前客戶常用的防火墻、ids/ ips、網(wǎng)頁防篡改，無法解決通過80端口、無特征庫、針對動態(tài)頁面的web攻擊。webguard ddse深度解碼檢測引擎有效防御sql注入、跨站腳本等。

高性能，一站式保護(hù)各院系網(wǎng)站

對于大型單位客戶，往往擁有眾多部門，而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運維能力相對較弱，經(jīng)常成為攻擊重點。webguard利用高性能多核架構(gòu)，提供并行處理。支持在網(wǎng)絡(luò)出口部署，一站式保護(hù)各部門網(wǎng)站。

“零配置”運行，簡化部署

webguard針對用戶，集成默認(rèn)配置模板，支持“零配置”運行。一旦上線，即可防護(hù)絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況，進(jìn)行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置，毋須客戶具備專業(yè)的安全技能，即可擁有良好的體驗。

滿足合規(guī)性檢查要求

繼08年北京奧運、09年國慶60周年后，10年上海世博會、廣州亞運會先后舉行。在重大活動前后，各級主管單位和公安部門，紛紛發(fā)文，要求針對網(wǎng)站安全采取措施。webguard恰好能很好的滿足合規(guī)性檢查的需求，幫助用戶順利通過檢查。

4結(jié)束語

新時期的計算機網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展，但是網(wǎng)絡(luò)信息安全問題日益突出，值得我們大力關(guān)注，有效加強計算機網(wǎng)絡(luò)信息安全防護(hù)是極為重要的，具有較大的經(jīng)濟價值和社會效益。

參考文獻(xiàn)：

[1]段盛.企業(yè)計算機網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[j].湖南農(nóng)業(yè)大學(xué)學(xué)報:自然科學(xué)版,2000(26):134-136.

[2]李曉琴.張卓容.醫(yī)院計算機網(wǎng)絡(luò)信息管理的設(shè)計與應(yīng)用[j].醫(yī)療裝備,2003.(16):109-113.

[3]李曉紅.婦幼保健信息計算機網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[j].中國婦幼保健,2010(25):156-158.

[4]羅宏儉.計算機網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項目管理中的應(yīng)用[j].交通科技,2009.(1):120-125.

[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.

第6篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

2010年4月21日,第十一屆中國信息安全大會在北京新世紀(jì)日航飯店隆重召開。本次會議由中國電子信息產(chǎn)業(yè)發(fā)展研究院主辦,中國計算機報承辦,并得到了工業(yè)和信息化部信息安全協(xié)調(diào)司、中國計算機學(xué)會計算機安全專業(yè)委員會和國家計算機病毒應(yīng)急處理中心的大力支持和指導(dǎo)。本次大會繼續(xù)保持了歷年大會的綜合性、前沿性、權(quán)威性等特點,知名的信息安全專家、廠商代表等共聚一堂,圍繞“融合安全?風(fēng)險識別”這一業(yè)界關(guān)注熱點,共同探討了信息安全產(chǎn)業(yè)發(fā)展及技術(shù)創(chuàng)新等議題。

完善信息安全保障體系

經(jīng)過20多年的演進(jìn),我國信息安全產(chǎn)業(yè)已經(jīng)從萌芽期逐漸過渡到快速發(fā)展期。隨著信息化的發(fā)展,信息安全的問題應(yīng)該說更加突出,一方面,國民經(jīng)濟和社會都越來越依賴信息系統(tǒng),通信、交通、能源、金融等一些重要行業(yè)都離不開網(wǎng)絡(luò)和信息系統(tǒng),網(wǎng)絡(luò)信息系統(tǒng)一旦出現(xiàn)大的問題可能直接影響國民經(jīng)濟和社會的正常運轉(zhuǎn);另一方面,我們的網(wǎng)絡(luò)信息系統(tǒng)也并不安全,病毒、黑客攻擊、各種惡意代碼對系統(tǒng)正常運行產(chǎn)生了嚴(yán)重的影響。由于我們國家的信息化建設(shè)還處在快速的發(fā)展階段,因此信息安全形勢不容樂觀。

工業(yè)和信息化部信息安全協(xié)調(diào)司司長趙澤良在會上表示,隨著信息化的發(fā)展,信息安全問題更加突出。面對日益復(fù)雜的信息安全形勢,要堅持積極防御、綜合防范的方針,著重做好五方面的工作:一是大力加強信息安全的統(tǒng)籌協(xié)調(diào);二是抓緊完善相應(yīng)的信息安全法律法規(guī)和規(guī)章制度建設(shè);三是大力加強政府信息系統(tǒng)、重要信息系統(tǒng)的安全防護(hù)工作;四是大力加強信息安全的教育和人才培養(yǎng)工作;五是大力發(fā)展信息安全技術(shù)和產(chǎn)業(yè)。

中國電子信息產(chǎn)業(yè)發(fā)展研究院黨委書記洪京一在大會上指出,中國信息安全產(chǎn)業(yè)近年來得到了快速的發(fā)展,這一方面源于從中央到各級地方政府的廣泛重視,另一方面還源于我國有一批積極進(jìn)取的信息安全創(chuàng)新企業(yè)。正是由于產(chǎn)業(yè)界持續(xù)的技術(shù)創(chuàng)新,再加上信息安全領(lǐng)域高水平研究機構(gòu)和專家隊伍不遺余力的推動,才使得一大批新技術(shù)、新產(chǎn)品、新方法和新概念能夠在近幾年的產(chǎn)業(yè)發(fā)展中得以不斷地涌現(xiàn)。

洪京一認(rèn)為,當(dāng)前我們面臨著信息產(chǎn)業(yè)更新?lián)Q代、迅猛發(fā)展的新形勢,網(wǎng)絡(luò)技術(shù)、計算機技術(shù)日新月異。隨著網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用類別越來越多,物聯(lián)網(wǎng)、云計算、三網(wǎng)融合、移動互聯(lián)網(wǎng)、手機支付等新興應(yīng)用給我們帶來了技術(shù)層面和業(yè)務(wù)層面的全新變革。隨之而來的應(yīng)用復(fù)雜度和風(fēng)險也越來越高。我們必須通過完善的安全保障手段,讓這些新興技術(shù)更好地為我所用。

中國科學(xué)院信息安全國家重點實驗室教授翟起濱表示,隨著時間的推移,所有的一切都要連接到云上,所有的客戶都需要讓云提供服務(wù),每臺服務(wù)器都需要與云計算結(jié)合,網(wǎng)絡(luò)時代的各種通信協(xié)議和專有設(shè)備都將被顛覆?，F(xiàn)在各國都在建立自己的云計算發(fā)展計劃,我國既要跟上這種信息革命的步伐,也要有自己的思維,不能一味地追求云。如何基于我國的實際國情,打造合適的云服務(wù)體系,是需要產(chǎn)業(yè)界共同關(guān)注和研究的問題。

嚴(yán)格推進(jìn)等級保護(hù)制度

面對日益嚴(yán)峻的安全問題,等級保護(hù)制度的嚴(yán)格開展和實施已經(jīng)愈發(fā)受到各界的關(guān)注。近年來,隨著國家強制要求建立等級保護(hù)基礎(chǔ)性標(biāo)準(zhǔn),社會各界對等級保護(hù)政策及其具體實施給予高度的關(guān)注。

目前,在國內(nèi)有關(guān)專家、企業(yè)的支持下,公安部和全國安全生產(chǎn)標(biāo)準(zhǔn)化委員會以及公安部的行業(yè)標(biāo)準(zhǔn)委員會組織制訂了一系列等級保護(hù)工作的標(biāo)準(zhǔn)。這些等級保護(hù)標(biāo)準(zhǔn)的出臺,為我國全面開展信息安全等級保護(hù)工作提供了重要的依據(jù),也為等級保護(hù)工作提出了一個總體目標(biāo),有關(guān)行業(yè)部門可以在國家標(biāo)準(zhǔn)的基礎(chǔ)之上制訂出臺行業(yè)標(biāo)準(zhǔn)規(guī)范,比如說電信行業(yè)、電力行業(yè)、證券行業(yè)等。本次大會上,公安部網(wǎng)絡(luò)安全保衛(wèi)局郭啟全處長對等級保護(hù)的重要性和目前的開展情況進(jìn)行了介紹。郭啟全表示,我們信息安全等級保護(hù)工作從2006年正式推動以來,已經(jīng)完成了從基礎(chǔ)調(diào)查到行業(yè)試點再到部署定級等一系列工作。有關(guān)部門通過定級已經(jīng)把我國的幾萬個重要系統(tǒng)梳理了出來,其中包括了幾十個行業(yè)部門的500個大系統(tǒng)。這些跨省聯(lián)網(wǎng)的大系統(tǒng)就是我們下一步要進(jìn)行安全建設(shè)整改、等級測評以及國家重點支持的目標(biāo)。

今后三年信息安全等級保護(hù)工作的重點將圍繞安全管理制度建設(shè)、技術(shù)措施建設(shè)和等級測評等工作展開,有效提高信息系統(tǒng)安全管理水平。開展等級保護(hù)工作需要實現(xiàn)的目標(biāo)將從以下五個方面體現(xiàn):一是單位管理水平明顯提高,二是信息系統(tǒng)的防范能力明顯增強,三是信息系統(tǒng)安全隱患和安全事故明顯減少,四是有效保障信息化健康發(fā)展,五是有效維護(hù)國家、社會秩序和公共利益。

從實際應(yīng)用的角度出發(fā),郭啟全認(rèn)為各單位、各部門應(yīng)該按照以下工作流程去開展今后三年的工作:第一,制訂行業(yè)的安全整改工作規(guī)劃,對安全整改工作進(jìn)行整體部署,目前已經(jīng)有十幾個部委大規(guī)模地開始培訓(xùn)和部署工作,還有一些重要行業(yè)正在研究,需要抓緊部署;第二,開展安全現(xiàn)狀分析,從管理和技術(shù)兩個方面確定安全建設(shè)整改的需求;第三,確定安全保護(hù)策略,制訂系統(tǒng)整改方案;第四,按照方案進(jìn)行安全建設(shè)整改;第五,進(jìn)行安全自查和等級測評,發(fā)現(xiàn)問題進(jìn)一步整改。

多種保護(hù)模式融合

在網(wǎng)絡(luò)融合、業(yè)務(wù)融合以后,企業(yè)中的信息應(yīng)用模式出現(xiàn)了變化。業(yè)務(wù)融合以后的數(shù)據(jù)流量模型與傳統(tǒng)的模型相比有很大的變化,高度集中的數(shù)據(jù)中心改變了傳統(tǒng)的數(shù)據(jù)流量分布模型,大規(guī)模的應(yīng)用都需要通過數(shù)據(jù)中心來對外提供服務(wù),在這種情況下,流量是從分散走向高度的集中。在業(yè)務(wù)層面,除了傳統(tǒng)的數(shù)據(jù)中心業(yè)務(wù)以外,以語音、視頻為代表的多媒體業(yè)務(wù),以微博、社區(qū)為代表的Web2.0應(yīng)用也在逐漸多樣化。另外,網(wǎng)絡(luò)的邊界也在變得模糊,當(dāng)存儲、計算、網(wǎng)絡(luò)等資源高度集中時,安全的邊界已經(jīng)不像原來想象得那么簡單了。這種情況下,新的安全防護(hù)模型在做安全防護(hù)的時候,一定要考慮融合于網(wǎng)絡(luò),并且進(jìn)行深度的虛擬化,以網(wǎng)絡(luò)做支撐,將現(xiàn)有的安全部署方式、安全部署的經(jīng)驗合理部署到企業(yè)的實際營運過程中去。

本次大會上,H3C公司展現(xiàn)了其多層次融合的整體化安全解決方案,通過多種安全技術(shù)減少企業(yè)在安全建設(shè)上的資金投入,從而降低企業(yè)的運營成本,提高企業(yè)IT投入有效性。據(jù)H3C安全產(chǎn)品線規(guī)劃設(shè)計部經(jīng)理孫松兒介紹,這套解決方案的核心就是面向安全的網(wǎng)絡(luò)設(shè)計,更關(guān)注網(wǎng)絡(luò)安全層次化的部署,強調(diào)網(wǎng)絡(luò)和安全的融合。

融合安全類產(chǎn)品正在成為網(wǎng)關(guān)發(fā)展的主流趨勢,實現(xiàn)全網(wǎng)的安全防護(hù)會是這一類產(chǎn)品的重要發(fā)展方向。不過由于各大行業(yè)應(yīng)用情況不一樣,所以用戶個性化需求也會日趨強烈。在本次大會上,藍(lán)盾信息安全技術(shù)股份有限公司提出的模塊化UTM解決方案收到了廣泛關(guān)注,該方案可以解決傳統(tǒng)方案存在的問題,包括設(shè)備過多、資源浪費、部署比較復(fù)雜、管理成本比較高、無法抵御混合式攻擊等難題。通過模塊化方式,網(wǎng)關(guān)產(chǎn)品可以實現(xiàn)功能高度集成,減少設(shè)備投資,同時部署非常簡單。

除了傳統(tǒng)的安全防護(hù)模式,本次大會針對當(dāng)前流行的電子商務(wù)安全和網(wǎng)絡(luò)訪問安全也進(jìn)行了針對性的討論。確保電子商務(wù)收付款機制安全能夠提高消費者對網(wǎng)上交易的信心。聯(lián)款通公司在大會上闡釋了保障在線支付服務(wù)安全的重要意義。在網(wǎng)絡(luò)威脅與日俱增的環(huán)境中,聯(lián)款通公司始終憑借專業(yè)的服務(wù)能力,通過先進(jìn)的技術(shù)手段,改善著消費者對網(wǎng)上交易的信心。聯(lián)款通行政總裁陳永祥表示:“通過我們的網(wǎng)關(guān)可以處理零售、電話、互聯(lián)網(wǎng)交易等多種在線支付,而且這個支付網(wǎng)關(guān)隨著全球電子商務(wù)的發(fā)展,其功能越來越強大,我們可以處理不同的客戶付款類別,不同收單銀行以及不同的語言,這些都有效地幫助了企業(yè)開展線上業(yè)務(wù)?！?/p>

第7篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

為了深入貫徹學(xué)習(xí)關(guān)于網(wǎng)絡(luò)安全系列重要講話精神，積極響應(yīng)中央網(wǎng)信辦、工業(yè)和信息化部、公安部等六部門聯(lián)合的《關(guān)于印刷國家網(wǎng)絡(luò)安全宣傳周活動方案的通知》的要求，9月24日，由杭州市政府、中國信息化推進(jìn)聯(lián)盟、浙江經(jīng)濟理事會主辦，杭州市拱墅區(qū)政府、中國信息化推進(jìn)聯(lián)盟協(xié)同創(chuàng)新專委會、浙江乾冠信息安全研究院承辦的2016第二屆中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新高峰論壇?杭州峰會在美麗的西子湖畔召開。

峰會上，來自中央網(wǎng)信辦、公安部、中科院及國家有關(guān)部門的領(lǐng)導(dǎo)、專家就如何學(xué)習(xí)貫徹關(guān)于網(wǎng)絡(luò)安全和信息化的系列講話精神、網(wǎng)絡(luò)安全面臨的嚴(yán)峻復(fù)雜形勢、網(wǎng)絡(luò)安全管理的方針政策、網(wǎng)絡(luò)安全體系建設(shè)的策略建議和實踐案例等進(jìn)行了研討交流。

本刊摘取部分專家精彩觀點，以饗讀者。

建設(shè)整體信息安全保密體系

楊國勛認(rèn)為，當(dāng)前的信息安全問題不容小覷，特別是政府及金融、能源等關(guān)鍵信息基礎(chǔ)設(shè)施的安全保障問題。應(yīng)該強化關(guān)鍵信息基礎(chǔ)設(shè)施安全，進(jìn)而大力推動重要領(lǐng)域整體信息安保體系建設(shè)。

但是，信息安全既沒有絕對的安全，也沒有永久的安全，因此，整體信息的安全防護(hù)也不可能一勞永逸，徹底管住。所以，在實際操作中，我們應(yīng)該是在有效安全的前提下，以發(fā)展促安全。

那么，如何做到有效防護(hù)？第一，要明確消除可預(yù)見的整體安防的薄弱點和空白點。要按照對雙方的重要性及損害的嚴(yán)重程度分類評估，來判定做還是不做。如果是有可預(yù)見的薄弱點，就不能做。第二，要創(chuàng)新安防的思路、方法、路線圖。現(xiàn)實中，我們經(jīng)常會遇到“又要馬兒跑、又要馬兒不吃草”的問題，信息安全也是這樣的問題，又要安全，又要擴大應(yīng)用。在這種情況下，我們需要創(chuàng)新，需要從另外的角度來分析和思考。比如風(fēng)險管理，不僅要分析對自己的重要性，也要分析對敵方的重要性；出了事情，要分析對自己的影響，也要分析對敵方的影響；比如法制管理，用法制的威懾力，使他不敢造次，不敢隨便地對你進(jìn)行攻擊。第三，要有科學(xué)、合理、可持續(xù)的實施方案。

互聯(lián)網(wǎng)+下的工業(yè)安全技術(shù)

在演講中，何積豐提及了工業(yè)控制系統(tǒng)的三個安全目標(biāo)：一是通信可控，要能直觀觀察、監(jiān)控、管理通信數(shù)據(jù)，僅能保證專有協(xié)議的數(shù)據(jù)傳輸，禁止其他通信；二是區(qū)域隔離，要能防止局部控制網(wǎng)絡(luò)問題擴散導(dǎo)致全局癱瘓，要在關(guān)鍵數(shù)據(jù)通道上部署網(wǎng)絡(luò)隔離；三是報警追蹤，要能及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題，確定故障點，記錄報警事件，為故障分析提供依據(jù)。

對于工業(yè)控制系統(tǒng)的安全防御策略，何積豐提出了五道防線，分別是：第三方商用防火墻，聯(lián)合安全網(wǎng)關(guān)，工業(yè)PC安全防護(hù)，現(xiàn)場設(shè)備控制防護(hù)，安全可靠的現(xiàn)場設(shè)備?？梢圆扇〉木唧w措施也有五條：去中心化、智能下移、異構(gòu)冗余，分布協(xié)同、蜜罐技術(shù)。

何積豐認(rèn)為，未來幾年，工業(yè)控制系統(tǒng)安全發(fā)展趨勢將朝著以下幾方面發(fā)展：一是隨著硬件元器件的可靠性越來越高及冗余技術(shù)的使用，安全問題的矛盾主要集中于軟件，軟件安全性面臨嚴(yán)峻形勢；二是工控信息安全標(biāo)準(zhǔn)需求強烈，標(biāo)準(zhǔn)制定工作亟需全面推進(jìn)；三是隨著自動化系統(tǒng)IT化，傳統(tǒng)邊界防護(hù)難以滿足工業(yè)控制環(huán)境；四是行業(yè)內(nèi)尚未形成氣候，需要整合自動化與信息安全公司優(yōu)勢，帶動產(chǎn)業(yè)全面發(fā)展；五是工控安全防護(hù)技術(shù)迅速發(fā)展并在局部開始試點，距離大規(guī)模部署和應(yīng)用有一定差距。

深化國家網(wǎng)絡(luò)安全等級保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全

陳廣勇除匯報了公安部在網(wǎng)絡(luò)安全方面的一些工作情況和應(yīng)對措施之外，還給重要行業(yè)部門開展網(wǎng)絡(luò)安全工作和信息安全企業(yè)提出了一些建議。

他建議，重要行業(yè)部門開展網(wǎng)絡(luò)安全工作要統(tǒng)籌規(guī)劃行業(yè)安全工作，以網(wǎng)絡(luò)安全等級保護(hù)工作為抓手，以信息通報為平臺，以全面加強安全管理和技術(shù)防范為重點，以提高網(wǎng)絡(luò)安全保障能力為目標(biāo)，全力構(gòu)建本行業(yè)網(wǎng)絡(luò)安全綜合防御體系。

針對信息安全企業(yè)，他建議，第一是要緊密圍繞國家網(wǎng)絡(luò)安全重大舉措來開展經(jīng)營活動，包括及時跟蹤了解國家法律、政策、標(biāo)準(zhǔn)和重大舉措；有針對性地制定具有行業(yè)特點的產(chǎn)品研發(fā)戰(zhàn)略、技術(shù)創(chuàng)新，著重解決云、大、物、移以及工業(yè)控制系統(tǒng)的安全風(fēng)險，制定相應(yīng)的整體解決方案；第二是要積極參與和跟進(jìn)信息安全標(biāo)準(zhǔn)的規(guī)范研究工作；第三是要全力支撐國家網(wǎng)絡(luò)安全重點工作，做好技術(shù)儲備和技術(shù)創(chuàng)新，信息安全企業(yè)要積極參與網(wǎng)絡(luò)安全信息通報預(yù)警、智慧城市的網(wǎng)絡(luò)安全管理、新技術(shù)、新應(yīng)用推廣等國家有較大投入的方面；第四是要加強規(guī)劃、科學(xué)布局，企業(yè)要做好長遠(yuǎn)的戰(zhàn)略規(guī)劃，努力成為既能提供整體的網(wǎng)絡(luò)安全解決方案，也能提供高質(zhì)量的咨詢服務(wù)能力的綜合服務(wù)提供商。

擬態(tài)防御，協(xié)同眾測促進(jìn)網(wǎng)絡(luò)安全創(chuàng)新

演講中，葛培勤指出了當(dāng)今網(wǎng)絡(luò)安全的五個特點：一是網(wǎng)絡(luò)安全是整體的不是割裂的，二是網(wǎng)絡(luò)安全是動態(tài)的不是靜態(tài)的，三是網(wǎng)絡(luò)安全是開放的而不是封閉的，四是網(wǎng)絡(luò)安全是相對的而不是絕對的，五是網(wǎng)絡(luò)安全是共同的而不是孤立的。他進(jìn)而指出：網(wǎng)絡(luò)防護(hù)需要靠大家共同協(xié)防，網(wǎng)絡(luò)檢測需要靠大家一起發(fā)現(xiàn)問題，網(wǎng)絡(luò)管理需要大家齊抓共管，網(wǎng)絡(luò)應(yīng)急需要靠大家一起處置/恢復(fù)，網(wǎng)絡(luò)演練需要靠大家共同參與，網(wǎng)絡(luò)安全需要靠廣大人民。

他講到，近年來，針對傳統(tǒng)13類產(chǎn)品以外的信息安全產(chǎn)品層出不窮，如APT網(wǎng)絡(luò)監(jiān)控類、工控安全類、生物識別類、認(rèn)證類、安全芯片類、大數(shù)據(jù)分析類、物聯(lián)網(wǎng)安全等等，而創(chuàng)新產(chǎn)品測評與統(tǒng)一認(rèn)證，將加快這些創(chuàng)新產(chǎn)品進(jìn)入實際應(yīng)用。國家信息技術(shù)安全研究中心與中國信息安全中心協(xié)商一致，最近將與多家測評機構(gòu)進(jìn)一步溝通協(xié)商，一是在測評規(guī)范上采取一定的措施，如鼓勵采用未國標(biāo)開展試點示范，采用參考行標(biāo)擴大使用范圍，采用多家眾測形成測試用例，同時借鑒國外相關(guān)技術(shù)標(biāo)準(zhǔn)等方法，加快形成創(chuàng)新產(chǎn)品的基本測評用例和增強測試用例，采取結(jié)果導(dǎo)向、問題導(dǎo)向、目標(biāo)導(dǎo)向理念，開展基于漏洞分析挖掘的產(chǎn)品測評，并對相對成熟的創(chuàng)新類產(chǎn)品、專家評審和審批后發(fā)放統(tǒng)一的認(rèn)證證書。眾測活動需要嚴(yán)格的管理措施來保證測評中的“7性”，組織方必須周密組織，公開公平公正地開展工作，保證測評的嚴(yán)肅性、嚴(yán)謹(jǐn)性。

跨維―深度聚焦網(wǎng)安生態(tài)

徐平說，在整個網(wǎng)絡(luò)信息化發(fā)展過程中，乾冠信息安全研究院主要解決網(wǎng)絡(luò)安全中第一公里和最后一公里的問題，其中的第一公里小到一個單位，大到國家互聯(lián)網(wǎng)的出入口。乾冠信息安全研究院致力于通過時空跨維和深度聚焦，來形成一個比較完整的針對安全威脅的體系化的解決方案。

如何發(fā)現(xiàn)并分析處理數(shù)據(jù)安全，需要業(yè)界廠家形成合力，利用大數(shù)據(jù)驅(qū)動構(gòu)建一個安全管理的平臺。這也是研究院積極參與構(gòu)建中國網(wǎng)絡(luò)安全協(xié)同創(chuàng)新共同體、網(wǎng)絡(luò)安全態(tài)勢感知生態(tài)矩陣的初衷，即借助平臺化的方式，用平臺+服務(wù)、平臺+產(chǎn)品、平臺+合作伙伴等模式，來為用戶提供整體的服務(wù)。平臺矩陣將從三個層面提供防御保護(hù)：遠(yuǎn)程防御、云防御和安全設(shè)備。

他坦言，對安全威脅的一些未來的預(yù)測，是乾冠信息安全研究院下一步要重點突破的方向。

安全理念更新引領(lǐng)網(wǎng)絡(luò)安全創(chuàng)新

演講伊始，邵國安就指出：現(xiàn)在很多層面對于網(wǎng)絡(luò)安全的本質(zhì)和核心的理解是比較模糊的。理念決定行動，但是若理念都錯了，談何正確的行動？

他講道，網(wǎng)絡(luò)安全要從以下五個方面來加以考慮：一是網(wǎng)絡(luò)邊界的安全，二是網(wǎng)絡(luò)防護(hù)，三是終端安全，四是應(yīng)用安全，五是數(shù)據(jù)安全，每個層面都有不同的安全要求，是一個扇型的安全保障體系。

交通運輸網(wǎng)絡(luò)安全風(fēng)險與策略

李璐瑤認(rèn)為，不管是從事信息化還是從事信息安全的，都必須先了解它的業(yè)態(tài)，才能來進(jìn)行風(fēng)險權(quán)重的評價。交通行業(yè)，很好地體現(xiàn)了大數(shù)據(jù)的強大特征：廣泛性、海量性、有價性。也正因此，交通領(lǐng)域成為了可能遭到重點攻擊的目標(biāo)，一定要采取有效措施，加強安全防護(hù)。

此外，她也認(rèn)為就各級政府而言，要集中對政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)、公務(wù)終端、互聯(lián)網(wǎng)出口這五類系統(tǒng)進(jìn)行安全防護(hù)。

提升風(fēng)險自主發(fā)現(xiàn)處置能力的探索實踐

第8篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校園網(wǎng)絡(luò)作為信息化校園的重要組成部分，在全國各高校大規(guī)模展開，已近十年的歷程。校園網(wǎng)的建設(shè)重點已從最初單純的網(wǎng)絡(luò)硬件鋪設(shè)，簡單的Internet接入，小規(guī)模離散的應(yīng)用，發(fā)展到大規(guī)模成系統(tǒng)的網(wǎng)絡(luò)應(yīng)用。近年隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)應(yīng)用日益普及，學(xué)校的教學(xué)和管理對校園網(wǎng)的依賴程度不斷加大。網(wǎng)絡(luò)的脆弱性，使得依賴于網(wǎng)絡(luò)的教學(xué)與管理面臨著安全威脅，網(wǎng)絡(luò)安全成了校園網(wǎng)建設(shè)的焦點問題。構(gòu)建安全的校園網(wǎng)并不是簡單的堆砌網(wǎng)絡(luò)安全技術(shù)或安全產(chǎn)品，它不僅涉及到技術(shù)層面，也涉及到非技術(shù)層面。本文似從技術(shù)和管理兩個層面來探討如何構(gòu)建安全的校園網(wǎng)絡(luò)系統(tǒng)。

2 校園網(wǎng)的特點及安全現(xiàn)狀分析

校園網(wǎng)有著自己鮮明的特點：一是大規(guī)模、高速網(wǎng)絡(luò)環(huán)境，主要表現(xiàn)為用戶數(shù)據(jù)龐大、地域分布的多校區(qū)網(wǎng)絡(luò)和快速局域網(wǎng)技術(shù)；二是復(fù)雜的應(yīng)用和業(yè)務(wù)類型，主要表現(xiàn)為公共服務(wù)、科研應(yīng)用、教學(xué)輔助、學(xué)生管理、行政管理、教學(xué)管理和普通上網(wǎng)應(yīng)用等；三是活躍的、不同使用水平的網(wǎng)絡(luò)用戶群體，即有普通的用戶群、又有管理用戶群，還有網(wǎng)絡(luò)相關(guān)專業(yè)的學(xué)生用戶群，他們網(wǎng)絡(luò)應(yīng)用目的不同，對網(wǎng)絡(luò)的熟悉程度不同；三是大量的非正版軟件和電子資源；五是開放的環(huán)境和寬松的安全管理體制；六有限的資金投入。這些特點使得校園網(wǎng)既不像Internet那樣毫無限制，又不像電子商務(wù)企業(yè)那樣為強化安全與保密而嚴(yán)加管理和控制。

校園網(wǎng)的上述特點，使得校園網(wǎng)一方面要面臨一般企業(yè)網(wǎng)絡(luò)所必須面對的各種安全威脅，如：普遍存在的計算機系統(tǒng)漏洞產(chǎn)生的各種安全隱患；計算機蠕蟲、木馬、病毒泛濫，對用戶主機、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)運行構(gòu)成的嚴(yán)重威脅；外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網(wǎng)又不得不應(yīng)付來自內(nèi)部的安全威脅，如內(nèi)部用戶的攻擊行為，對網(wǎng)絡(luò)資源的濫用行為等等。

3 校園網(wǎng)安全需求分析

在校園網(wǎng)的安全設(shè)計中，必須考慮到校園網(wǎng)的上述特殊性。不能將整個校園網(wǎng)作為單一的安全區(qū)域，必須根據(jù)不同的應(yīng)用類型、不同的服務(wù)對象將校園網(wǎng)劃分為具有不同安全等級的區(qū)域，并針對這些區(qū)域進(jìn)行專門的安全設(shè)計。一般來說，我們可以將校園網(wǎng)分為：學(xué)生網(wǎng)絡(luò)、教學(xué)管理網(wǎng)絡(luò)、公共應(yīng)用服務(wù)網(wǎng)絡(luò)、網(wǎng)絡(luò)管理系統(tǒng)和分校區(qū)網(wǎng)絡(luò)等幾個部分。下面對這些網(wǎng)絡(luò)的安全需求進(jìn)行分析。

3.1 Internet連通性的安全需求

Internet連通性是校園網(wǎng)最重要的功能，一方面要滿足內(nèi)部用戶的Internet訪問要求，另一方面又要對外Web服務(wù)、電子郵件服務(wù)和FTP服務(wù)等公共服務(wù)。而Internet卻是攻擊和威脅的重要來源，阻斷所有不能接受的訪問流量是最基本的安全需求，同時保持對來自Internet的網(wǎng)絡(luò)攻擊的檢測能力，是防范求知攻擊的必然要求。與內(nèi)部用戶的上網(wǎng)需求相比，校網(wǎng)園對外的公共服務(wù)應(yīng)該受到更好的安全保護(hù)，在設(shè)計時必須給予重點考慮。

3.2 學(xué)生網(wǎng)絡(luò)的安全需求

學(xué)生網(wǎng)絡(luò)兩大特點：一是用戶數(shù)量多數(shù)據(jù)流量大，學(xué)生是P2P(peer-to-peer)應(yīng)用的熱衷者，而P2P應(yīng)用則是網(wǎng)絡(luò)帶寬的“殺手”，2006年我院對擁有1100多用戶的學(xué)生網(wǎng)絡(luò)進(jìn)行了一項測試，使用一款“P2P終結(jié)者”軟件來屏蔽P2P數(shù)據(jù)包，結(jié)果網(wǎng)絡(luò)出口總流量驟降一半，據(jù)此可以估算有50%網(wǎng)絡(luò)帶寬被P2P軟件所消耗。事實上這個估算是保守的，有研究表明，P2P流量取代了HTTP流量成為Internet流量的主體，占Internet中總流量的60%~70%，占最后一公里接入網(wǎng)流量的80%[1]；二是用戶類型復(fù)雜，2007年我院的一次問卷調(diào)查表明，85%以上的學(xué)生缺乏網(wǎng)絡(luò)安全意識，近5%的學(xué)生用戶偶爾嘗試過網(wǎng)絡(luò)攻擊，近0.2%的學(xué)生在研究網(wǎng)絡(luò)攻擊技術(shù)，他們是內(nèi)部攻擊的主要來源，也是最主要的病毒源和木馬源。因此在進(jìn)行網(wǎng)絡(luò)安全考慮時，首先要對來自學(xué)生網(wǎng)絡(luò)的帶寬進(jìn)行限制，以保證網(wǎng)絡(luò)資源的合理分配；其次要約束學(xué)生網(wǎng)絡(luò)對校園網(wǎng)關(guān)鍵服務(wù)的訪問，盡最大努力過濾其運行特定應(yīng)用程序的能力；同時還需要加強對網(wǎng)絡(luò)流量嗅探和中間人攻擊(MITM)的防范能力，以減少學(xué)生相互間的攻擊。

3.3 教學(xué)管理網(wǎng)絡(luò)的安全需求

鑒于教學(xué)管理數(shù)據(jù)的安全性需求高，教學(xué)管理網(wǎng)絡(luò)與學(xué)生網(wǎng)絡(luò)絕對不能位于同一個信任級別，應(yīng)該有更高的安全需求，給予保護(hù)并與校園網(wǎng)絡(luò)的其他部分進(jìn)行隔離。主要有以下三項安全措施，一是設(shè)置防火墻實施訪問控制；二是設(shè)置入侵檢測系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測；三是強化論證，雖然加密所有教學(xué)管理應(yīng)用程序太過繁重，但是對于某些關(guān)鍵系統(tǒng)（會計和學(xué)生記錄）應(yīng)該要求強認(rèn)證。

3.4 網(wǎng)絡(luò)管理系統(tǒng)的安全需求

網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)整個校園網(wǎng)的通暢和安全管理工作，確保網(wǎng)絡(luò)管理系統(tǒng)的安全是非常重要的工作，因此應(yīng)該設(shè)置防火墻將管理網(wǎng)絡(luò)與校園網(wǎng)的其它部分進(jìn)行隔離加以保護(hù)。

3.5 分校區(qū)網(wǎng)絡(luò)連接的安全需求

分校區(qū)和遠(yuǎn)程用戶都需要直接訪問校園網(wǎng)內(nèi)部的服務(wù)，出于資金考慮，多數(shù)的分校網(wǎng)絡(luò)都沒有專線連通，部分學(xué)校嘗試無線通信，實際情況看來，其保密性和穩(wěn)定性都不高。比較經(jīng)濟實用的解決方案就是，使用虛擬專用網(wǎng)（VPN）技術(shù)穿過廣域網(wǎng)(WAN)。

4 校園網(wǎng)結(jié)構(gòu)的安全設(shè)計

基于上述校園網(wǎng)安全的分析，我們可以設(shè)計出如圖1所示的安全校園網(wǎng)絡(luò)系統(tǒng)。

4.1 校園網(wǎng)邊界安全設(shè)計

Internet接入是校園網(wǎng)最基本的業(yè)務(wù)需求，與Internet相比，校園網(wǎng)內(nèi)部自然是一塊相對單純的可信任安全區(qū)域，為保證校園網(wǎng)內(nèi)部的安全性和校園網(wǎng)公共服務(wù)的可訪問性，需在校園網(wǎng)邊界進(jìn)行如下安全設(shè)置。

一是設(shè)置防火墻：防火墻首先要提供入網(wǎng)級的訪問控制功能，以有效地阻斷來自Internet的非法訪問；其次要提供虛擬專用網(wǎng)（VPN）功能，借助廣域網(wǎng)實現(xiàn)遠(yuǎn)程分校區(qū)網(wǎng)絡(luò)的安全連接，使得訪問遠(yuǎn)程校園網(wǎng)絡(luò)，如同訪問本地網(wǎng)絡(luò)一個方便安全，在保證安全性的同時還可以節(jié)省出專線費用；最后還應(yīng)具備網(wǎng)絡(luò)地址轉(zhuǎn)換功能（NAT），使得Internet用戶可以訪問校園網(wǎng)內(nèi)部的公共服務(wù)。二是設(shè)置AAA認(rèn)證服務(wù)器，提供對用戶身份認(rèn)證、安全管理、安全責(zé)任跟蹤和計費等功能。三是設(shè)置網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS），同時可在邊界路由器上啟用NetFlow功能，以加強對非法入侵和惡意攻擊行為的檢測和發(fā)現(xiàn)能力，為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)異常事件的處理能力。

4.2 學(xué)生網(wǎng)絡(luò)的安全設(shè)計

從前面的校園網(wǎng)業(yè)務(wù)需求的安全性分析可知，校園網(wǎng)內(nèi)部并非鐵板一塊，不同的業(yè)務(wù)需求對安全性的要求是不同的，相對來說學(xué)生網(wǎng)絡(luò)的安全級別最低。針對學(xué)生網(wǎng)絡(luò)用戶數(shù)量龐大、用戶類型的復(fù)雜性的特點，主要可采取以下安全措施：一是為保證網(wǎng)絡(luò)資源的合理有效分配，必須進(jìn)行網(wǎng)絡(luò)流量限制；二是在交換機處提供必要的第二層安全控制，以減少網(wǎng)絡(luò)流量嗅探攻擊，中間人攻擊(Man-in-the-middle-attacks，簡稱:MITM攻擊)；三是在不同學(xué)生網(wǎng)段的路由器上設(shè)置無狀態(tài)ACL，以實現(xiàn)數(shù)據(jù)過濾。后兩項措施可以緩解學(xué)生系統(tǒng)之間的相互攻擊?？傮w上講，學(xué)生網(wǎng)絡(luò)的安全防護(hù)功能是相當(dāng)弱的，主要的安全防護(hù)功能落在了學(xué)生主機上，因此必須加強網(wǎng)絡(luò)安全教育，提高學(xué)生的安全防范意識和能力。但是較低的安全防護(hù)設(shè)計卻給學(xué)生創(chuàng)造了一個相當(dāng)寬松的網(wǎng)絡(luò)環(huán)境。

4.3 教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計

教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的服務(wù)器中存在著大量敏感的數(shù)據(jù)，比如說學(xué)生成績和學(xué)生注冊信息，它們極易受到來自于Internet及學(xué)生網(wǎng)絡(luò)的攻擊，因此也就提出了更高的安全需求。對教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計，相當(dāng)于在校網(wǎng)絡(luò)的基礎(chǔ)上建立起一個安全性更高的內(nèi)部網(wǎng)絡(luò)。其安全設(shè)置類似于校園網(wǎng)與Internet之間的安全設(shè)計，如添加防火墻進(jìn)行訪問控制，增加NIDS進(jìn)行入侵檢測。從圖中可以看到，對學(xué)生網(wǎng)絡(luò)來說，它有一道防護(hù)屏障，而相對于Internet再說，它受到兩道防護(hù)屏障的保護(hù)。這是一個合理的安全等級層次。

4.4 管理網(wǎng)絡(luò)的安全設(shè)計

管理網(wǎng)絡(luò)看似類似于行政網(wǎng)管，需要使用防火墻進(jìn)行保護(hù)。但是它有完全不同的業(yè)務(wù)需求，它負(fù)責(zé)整個網(wǎng)絡(luò)的安全管理，要根據(jù)各種校園網(wǎng)絡(luò)設(shè)備的管理需求，設(shè)置允許入站和出站的特定連接。因為它的周圍有許多不可信的網(wǎng)絡(luò)，在網(wǎng)絡(luò)設(shè)備與管理網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送時，必須保證數(shù)據(jù)的安全保密性，因此數(shù)據(jù)傳遞過程中的安全要求較高，在數(shù)據(jù)通信需要使用SSH/SSL等安全通信協(xié)議。對于那些不支持SSH/SSL的網(wǎng)絡(luò)設(shè)置，只能使用如Telnet之類的明文管理協(xié)議，在這種缺乏安全協(xié)議的情況下，應(yīng)該限制可訪問Telnet后臺程序的IP地址，以增加這些網(wǎng)絡(luò)設(shè)備管理的安全性。

5 校園網(wǎng)安全管理

校園網(wǎng)的安全性不僅僅是一個技術(shù)問題，還需要安全管理的支持。安全的校園網(wǎng)絡(luò)系統(tǒng)是安全技術(shù)與安全管理有機結(jié)合的整體，它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣，校園網(wǎng)系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。經(jīng)驗表明，得不到足夠重視的網(wǎng)絡(luò)安全管理恰恰是校園網(wǎng)安全系統(tǒng)中最薄弱的一個環(huán)節(jié)。安全專家們則強調(diào)網(wǎng)絡(luò)安全靠的是“三分技術(shù)，七分管理”。

為加強校園網(wǎng)的管理，需要做好以下四項工作：一是觀念的更新，網(wǎng)絡(luò)安全不止是技術(shù)部門和專業(yè)人員的責(zé)任，應(yīng)該得到學(xué)校高層的充分重視，需要所有的網(wǎng)絡(luò)用戶的共同遵循安全規(guī)則；二是建立網(wǎng)絡(luò)安全管理機構(gòu)，明確權(quán)力和負(fù)責(zé)，從組織機構(gòu)上保障網(wǎng)絡(luò)安全管理的有效實施；三是制訂網(wǎng)絡(luò)安全管理制度，明確校園網(wǎng)用戶的權(quán)利和義務(wù)，使用戶共同遵循校園網(wǎng)使用規(guī)則；四是建立完善的安全管理及應(yīng)急響應(yīng)機制，以對突發(fā)性安全事件做出迅速準(zhǔn)確的處理，最大限度地減少損失。

安全事件處理機制的建立往往是校園網(wǎng)安全管理的盲區(qū)。與國防、金融等機構(gòu)比起來校園網(wǎng)的安全級別低，應(yīng)付安全突發(fā)事件的重要性并不是太突出。而且在一般情況下，意外事件發(fā)生的幾率不高，應(yīng)付安全突發(fā)事件的必要性也往往被忽視。但是100%安全的網(wǎng)絡(luò)是不存在的，如果不能對網(wǎng)絡(luò)安全事件做出迅速而準(zhǔn)確的響應(yīng)，就有可能造成重大的損失。事實是，歷史上幾次重大的安全突發(fā)事件所造成的惡劣影響，使得各國都非常重視緊急事件響應(yīng)處理。美國國防部于1989年資助卡內(nèi)基.梅隆大學(xué)建立了世界上第一個計算機緊急響應(yīng)小組CERT（Computer Emergency Response Team）及其協(xié)調(diào)中心CC(Coordination Center)。CERT/CC的成立標(biāo)志著信息安全由傳統(tǒng)的靜態(tài)保護(hù)手段開始轉(zhuǎn)變?yōu)橥晟频膭討B(tài)防護(hù)機制。此后在20世紀(jì)90年代，計算機安全應(yīng)急處理得到了廣泛而深入的研究。在我國，中國計算機教育與科研網(wǎng)(CERNET)于1999年成立計算機緊急事件響應(yīng)組織(CCERT)，是國內(nèi)第一個安全事件響應(yīng)組織；2000年3月，中國計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT/CC)成立，該中心在國家因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下，協(xié)調(diào)全國范圍內(nèi)計算機安全事件響應(yīng)小組的工作，并加強與國際計算機安全組織的交流。

在校園網(wǎng)建設(shè)中，借助CERT的理念和研究成果，建立必要的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機制將有利于規(guī)范和提高校園網(wǎng)安全管理能力。圖2所示，是一個可行的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機制構(gòu)建方案，說明如下。

1) 網(wǎng)絡(luò)安全的日常管理：在校園網(wǎng)的關(guān)鍵部分加強網(wǎng)絡(luò)安全的日常管理，使日志檢查、漏洞掃描、系統(tǒng)升級、病毒防御等工作制度化、常規(guī)化，盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責(zé)任追究制度，強化網(wǎng)絡(luò)管理人員的責(zé)任心。

2) 網(wǎng)絡(luò)安全應(yīng)急小組：接收并處理來自用戶的安全突發(fā)事件，NetFowl等流量分析的異常報告、入侵檢測系統(tǒng)的入侵警告和日常管理中的安全事件報告。通過分析調(diào)查，決定采取相應(yīng)的應(yīng)急處理措施，如系統(tǒng)隔離、事件跟蹤、漏洞修補、安全策略調(diào)整、系統(tǒng)恢復(fù)和統(tǒng)計報告等等。同時為廣大用戶提供各種安全服務(wù)，如安全咨詢、安全教育和安全工具等等。

6 小結(jié)

網(wǎng)絡(luò)安全是當(dāng)前校園網(wǎng)建設(shè)和應(yīng)用的焦點問題，本文從技術(shù)和管理層面深入地討論了安全校園網(wǎng)系統(tǒng)的建設(shè)問題。在技術(shù)層面上，需要根據(jù)校園網(wǎng)應(yīng)用的不同，劃分不同的安全等級區(qū)域，并針對各個區(qū)域的應(yīng)用需求進(jìn)行安全設(shè)計；在管理層面上，特別強調(diào)建立網(wǎng)絡(luò)安全管理及應(yīng)急響應(yīng)機制，保障網(wǎng)絡(luò)管理的規(guī)范化、制度化，提高網(wǎng)絡(luò)安全管理能力。

參考文獻(xiàn)：

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].江魁,譯.北京:人民郵電出版社,2005.

[3] 連一峰,戴英俠.計算機應(yīng)急響應(yīng)系統(tǒng)體系研究[J].中國科學(xué)院研究生院學(xué)報,2004,21(2):202-209.

第9篇：網(wǎng)絡(luò)安全等級保護(hù)解決方案范文

信息，同企業(yè)其他資產(chǎn)一樣是種資產(chǎn)，對企業(yè)的發(fā)展有很大作用。信息以各種形式存在，包括紙質(zhì)的、電子的、圖像的等。我國信息專家鐘義信認(rèn)為：“信息是該事物運動的狀態(tài)和狀態(tài)變化方式的自我表述/自我顯示。”顧名思義，信息安全既保障“信息”的“安全”。關(guān)于信息安全，國際標(biāo)準(zhǔn)化組織（ISO）認(rèn)為：“信息安全是在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。我國信息安全專家沈昌祥院士則認(rèn)為：“信息安全是保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性”。

二、企業(yè)信息安全體系設(shè)計

2.1企業(yè)信息安全體系方案概述

2.1.1信息安全體系設(shè)計原則

企業(yè)信息安全體系的設(shè)計應(yīng)遵從以下原則：

（1）性能平衡，合理劃分：提高整個系統(tǒng)的“安全低點”的性能，保證各層面能得到均衡防護(hù)；按照合理原則劃分為安全等級，分區(qū)域、分等級防護(hù)。

（2）標(biāo)準(zhǔn)一致，功能互補：在產(chǎn)品技術(shù)、產(chǎn)品設(shè)備選擇方面，盡可能遵循同一業(yè)界標(biāo)準(zhǔn)；充分考慮不同廠商、不同安全產(chǎn)品的功能互補，在進(jìn)行多層防護(hù)時，考慮使用不同廠家的。

（3）統(tǒng)籌規(guī)劃，分步實施。

2.1.2信息安全體系框架

網(wǎng)絡(luò)安全的實現(xiàn)不是目標(biāo)，是過程。其過程經(jīng)歷了安全評估、制訂安全策略、安全培訓(xùn)、安全技術(shù)實施、安全網(wǎng)絡(luò)檢測、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等環(huán)節(jié)，并不斷地螺旋式提高發(fā)展，得以實現(xiàn)網(wǎng)絡(luò)安全。信息安全體系的三要素：管理、技術(shù)和運維。通過一系列的戰(zhàn)略、系統(tǒng)和機制的協(xié)調(diào)，明確技術(shù)實現(xiàn)方法與相關(guān)安全操作人員的職責(zé)，從而達(dá)到安全風(fēng)險的發(fā)現(xiàn)和有效控制，從而改善的安全問題反應(yīng)速度和恢復(fù)能力，增強整體網(wǎng)絡(luò)安全能力。管理方面，建立、健全安全組織結(jié)構(gòu)；技術(shù)方面，建立分層網(wǎng)絡(luò)安全策略；運維方面，通過不同的安全機制，提高網(wǎng)絡(luò)安全的能力。

2.2企業(yè)信息安全技術(shù)體系

2.2.1信息安全技術(shù)體系概述

（l）設(shè)計原則

分析企業(yè)信息網(wǎng)絡(luò)安全面臨的主要威脅，實施有針對性的安全技術(shù)體系。安全技術(shù)體系的總體性要求如下：全面綜合：采用綜合解決方案，體系層次化，具有縱深性。集成統(tǒng)一：有效集成各類管理工具，集中化管理所有IT系統(tǒng)。開放適應(yīng)：支持各種安全管理標(biāo)準(zhǔn)，能適應(yīng)組織和環(huán)境的變化。

（2）信息安全技術(shù)體系框架

通過物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全等方面進(jìn)行建設(shè)。具體有以下措施：物理安全防護(hù)建設(shè)；統(tǒng)一容災(zāi)備份中心建設(shè)；防火墻系統(tǒng)的部署；入侵防護(hù)系統(tǒng)的部署；系統(tǒng)安全防護(hù)建設(shè)；防病毒系統(tǒng)部署；漏洞掃描系統(tǒng)部署；信息審計系統(tǒng)防護(hù)。

2.2.2物理安全防護(hù)建設(shè)

（1）配套設(shè)備安全

采用多路供電（市電、動力電、UPS）的方法，多路電源同時接入企業(yè)信息系統(tǒng)大樓或主機房及重要信息存儲、收發(fā)等重要部門，當(dāng)市電故障后自動切換至動力電，動力電故障后自動至UPS供電。并且，當(dāng)下級電源恢復(fù)后，應(yīng)立即自動切換回去。這樣，既保證了安全性，又降低了運行費用。形成一套完整的先進(jìn)和完善的供電系統(tǒng)及緊急報警系統(tǒng)。供電系統(tǒng)中，會有尖峰、浪涌等不良現(xiàn)象發(fā)生，一旦發(fā)生，輕則斷電重啟，重則燒毀并引發(fā)火災(zāi)。這種情況下，UPS也無濟于事。為避免對供電質(zhì)量和造成不安全因素，可以使用電力凈化系統(tǒng)。電源凈化系統(tǒng)不僅保證電源質(zhì)量，同時還可減少電磁污染，避免信息隨電纜外泄。用多路供電接入企業(yè)機房及重要部門，降低了運行成本，又保證了系統(tǒng)的安全。

（2）計算機場地安全

嚴(yán)格按照國家標(biāo)準(zhǔn)建設(shè)，如國標(biāo)GB/T2887-2000《電子計算機場地通用規(guī)范》、GB9254-1998《信息技術(shù)設(shè)備的無線電騷擾限值和測量方法》等?！峨娮佑嬎銠C場地通用規(guī)范》規(guī)定了站址選擇條件：計算機場地盡量建在電力、水源充足，自然環(huán)境清潔、通信、交通運輸方便的地方；應(yīng)盡量避開強電磁場的干擾；應(yīng)盡量遠(yuǎn)離強振動源和強噪聲源；應(yīng)盡量建在建筑物的高層及地下室以及用水設(shè)備的下層。規(guī)定了溫度、濕度條件并將它分成ABC三級；規(guī)定了照明、日志、電磁場干擾具體技術(shù)條件；規(guī)定了接地、供電、建筑結(jié)構(gòu)條件等。

2.2.3統(tǒng)一容災(zāi)備份中心建設(shè)

無論企業(yè)信息系統(tǒng)設(shè)計、維護(hù)得多科學(xué)合理，故障的發(fā)生都是不可避免的，因此在設(shè)計時都應(yīng)考慮容災(zāi)解決方案，即統(tǒng)一容災(zāi)備份中心建設(shè)?；舅悸肥恰皵?shù)據(jù)冗余+異地分布”，即在異地建立和維護(hù)一份或多份數(shù)據(jù)冗余，利用數(shù)據(jù)的冗余性和地理分散性來提高對災(zāi)難事件的抵御能力。企業(yè)數(shù)據(jù)容災(zāi)，存儲是基礎(chǔ)，備份是核心，恢復(fù)是關(guān)鍵。信息網(wǎng)絡(luò)采用本地備份與異地備份的混合方式，以確保數(shù)據(jù)或系統(tǒng)的安全。通過各種層面的冗余技術(shù)，減少單點故障；使用合適的備份技術(shù)實現(xiàn)針對各個位置存放的數(shù)據(jù)的保護(hù)、隔離和嚴(yán)格訪問，保證數(shù)據(jù)的一致性、安全性和完整性。包括：存儲磁盤的冗余設(shè)計，對系統(tǒng)盤采用RAID1技術(shù)，對數(shù)據(jù)盤采用RAID5技術(shù)。數(shù)據(jù)的冗余備份設(shè)計：數(shù)據(jù)庫數(shù)據(jù)文件的存放采用基于SAN架構(gòu)的存儲方案，在保證讀取速度的同時，利用遠(yuǎn)程數(shù)據(jù)鏡像和數(shù)據(jù)復(fù)制技術(shù)進(jìn)行冗余備份，在區(qū)域性空難發(fā)生時能更大限度保證數(shù)據(jù)完整和安全。對核心業(yè)務(wù)的數(shù)據(jù)庫數(shù)據(jù)，還可利用SQLServer自帶的數(shù)據(jù)備份工具進(jìn)行數(shù)據(jù)庫文件備份，有效應(yīng)對文件損壞或人為誤操作帶來的數(shù)據(jù)風(fēng)險。對正常業(yè)務(wù)中關(guān)鍵數(shù)據(jù)或全業(yè)務(wù)數(shù)據(jù)進(jìn)行保護(hù)，將主數(shù)據(jù)庫的數(shù)據(jù)以邏輯的方式在異地機房建設(shè)一個同樣的數(shù)據(jù)庫，并且實時更新數(shù)據(jù)，當(dāng)主數(shù)據(jù)庫因災(zāi)損壞或失去，異地數(shù)據(jù)庫可以及時接管業(yè)務(wù)，從而達(dá)到容災(zāi)的目的。

三、結(jié)論及展望