導語：如何才能寫好一篇網(wǎng)絡(luò)安全防護技術(shù)體系，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】電子政務;安全;防護;設(shè)計

隨著信息化的飛速發(fā)展，電子政務在政府實際工作中已經(jīng)發(fā)揮了越來越重要的作用。電子政務安全主要包括兩個方面，政務網(wǎng)絡(luò)安全和信息安全，

一、網(wǎng)絡(luò)系統(tǒng)威脅分析

電子政務數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)所面臨的威脅大體可分為兩種：一是對信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。這些安全威脅的主要表現(xiàn)形式可以概括為：

1.地址欺騙：攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標的信任。

2.網(wǎng)絡(luò)竊聽：網(wǎng)絡(luò)的開放性使攻擊者可通過直接或間接竊聽獲取所需信息。

3.口令破解：攻擊者可通過獲取口令文件，然后運用口令破解工具獲得口令，也可通過猜測或竊聽等方式獲取口令。

4.惡意掃描：攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標的漏洞，進而發(fā)起攻擊。

5.連接盜用：在合法的通信連接建立后，攻擊者可通過阻塞或摧毀通信的一方來接管已經(jīng)過認證建立起來的連接，從而假冒被接管方與對方通信。

6.數(shù)據(jù)篡改：攻擊者可通過截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性。

7.數(shù)據(jù)驅(qū)動攻擊：攻擊者可通過施放病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標。

8.基礎(chǔ)設(shè)施破壞：攻擊者可通過破壞域名服務器或路由信息等基礎(chǔ)設(shè)施使目標陷于孤立。

9.服務拒絕：攻擊者可直接發(fā)動攻擊，也可通過控制其它主機發(fā)起攻擊使目標癱瘓，如發(fā)送大量的數(shù)據(jù)洪流阻塞目標。

10.社會工程：攻擊者可通過各種社交渠道獲得有關(guān)目標的結(jié)構(gòu)、使用情況、安全防范措施等有用信息，從而提高攻擊成功率。

11.用戶的管理操作：網(wǎng)絡(luò)中的設(shè)備和用戶的管理難題，如何防止信息被泄露。

二、安全體系建設(shè)目標

根據(jù)電子政務數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅，從實際情況出發(fā)，電子政務數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)的目標主要在以下幾個方面：

（一）建立邊界防護機制

實現(xiàn)安全域的劃分，把網(wǎng)絡(luò)中的用戶和設(shè)備劃分不同的安全級別。對內(nèi)網(wǎng)和服務器實現(xiàn)重點地安全防護。針對數(shù)據(jù)中心的服務器，根據(jù)業(yè)務系統(tǒng)類型進行細分，將具有相同屬性的服務器劃分到一個安全區(qū)域。

（二）建立入侵檢測監(jiān)控機制

在局域網(wǎng)部署網(wǎng)絡(luò)入侵檢測與智能分析系統(tǒng)，對出入網(wǎng)絡(luò)的流量進行實時監(jiān)控，同時對局域網(wǎng)內(nèi)部的重要網(wǎng)段之間的交換流量進行實時監(jiān)控。通過入侵檢測系統(tǒng)與防火墻進行聯(lián)動，構(gòu)建局域網(wǎng)以入侵檢測系統(tǒng)為核心的動態(tài)防御體系。

（三）建立安全審計系統(tǒng)

在網(wǎng)絡(luò)中部署安全審計系統(tǒng)，實針對業(yè)務環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計，并通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預防、事中實時監(jiān)視、違規(guī)行為響應、事后合規(guī)報告、事故追蹤溯源，加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務器、網(wǎng)絡(luò)設(shè)備等）的正常運營。

（四）建立內(nèi)部網(wǎng)絡(luò)管理監(jiān)控機制

在內(nèi)網(wǎng)部署內(nèi)部網(wǎng)絡(luò)管理系統(tǒng)，進行網(wǎng)絡(luò)資源、設(shè)備資源、客戶端資源和應用資源方面的管理控制，如網(wǎng)絡(luò)隔離度檢測、入網(wǎng)設(shè)備監(jiān)控、系統(tǒng)軟件檢測和違規(guī)事件發(fā)現(xiàn)、安全事件源定位分析等、通過其它方式訪問網(wǎng)絡(luò)。加強對內(nèi)部網(wǎng)絡(luò)的管理和控制。

（五）建立全網(wǎng)安全監(jiān)控管理平臺

融合多種信息安全產(chǎn)品和技術(shù)管理，充分實現(xiàn)組織、管理、技術(shù)三個體系的合理調(diào)配，能夠最大化的保障網(wǎng)絡(luò)、系統(tǒng)和應用的安全性。

三、設(shè)計方案

（一）安全系統(tǒng)整體設(shè)計思路

方案將從技術(shù)與管理兩部分對電子政務數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)提供安全保護，其中在技術(shù)部分主要采用防火墻、入侵檢測、入侵防御、漏洞掃描、網(wǎng)絡(luò)安全審計及終端管控技術(shù)，這六種技術(shù)共同配合，為電子政務數(shù)據(jù)中心信息網(wǎng)絡(luò)系統(tǒng)提供一個動態(tài)網(wǎng)絡(luò)防御管理體系。

網(wǎng)絡(luò)整體拓撲結(jié)構(gòu)圖：

（二）邊界安全防護

1.安全域劃分

安全域劃分是實現(xiàn)網(wǎng)絡(luò)層安全的必須步驟，安全區(qū)域的劃分可以將不同的安全等級的保護對象加以分離，同時可以防止安全問題的擴散，“安全區(qū)隔”理論也是基于此。建議將電子政務數(shù)據(jù)中心整體網(wǎng)絡(luò)劃分為以下區(qū)域：

（1）下聯(lián)單位接入域：連接各二級單位;

（2）核心域：核心網(wǎng)絡(luò)設(shè)備區(qū)域;

（3）外聯(lián)接入域：上聯(lián)電子政務網(wǎng)的外聯(lián)區(qū)域。

（4）本地接入域：數(shù)據(jù)中心本地用戶接入?yún)^(qū)域;

（5）核心數(shù)據(jù)域：核心業(yè)務數(shù)據(jù)庫服務器;

（6）應用系統(tǒng)域：應用系統(tǒng)服務器;

（7）安全管理域：網(wǎng)管、安管、殺毒等服務器;

（8）日常應用域：網(wǎng)站、郵件等服務器。

2.安全邊界防護

在劃分了安全區(qū)并明確了安全區(qū)的邊界之后，接下來就需要對安全區(qū)的邊界進行安全防護，在這里推薦使用安全網(wǎng)關(guān)作為區(qū)域邊界的訪問控制產(chǎn)品進行安全防護。

防火墻的目的是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，對進、出內(nèi)部網(wǎng)絡(luò)的服務和訪問進行控制和審計。在網(wǎng)絡(luò)中，應用系統(tǒng)總部網(wǎng)絡(luò)與成員單位用戶網(wǎng)絡(luò)之間是不同的安全等級，所以通過防火墻實現(xiàn)兩個安全等級網(wǎng)絡(luò)之間的訪問控制是必須的選擇，而安全網(wǎng)關(guān)帶有防火墻功能，在滿足訪問控制的基本需求外，對數(shù)據(jù)流進行應用層過濾，確保各區(qū)域之間不受病毒、木馬的感染，降低區(qū)域間的影響。

（三）網(wǎng)絡(luò)入侵檢測系統(tǒng)

把網(wǎng)絡(luò)入侵檢測引擎部署在網(wǎng)絡(luò)的關(guān)鍵網(wǎng)段上，就能夠監(jiān)測關(guān)鍵系統(tǒng)和應用的異常行為。在方案中，將在核心域旁路部署千兆入侵檢測系統(tǒng)一套，對網(wǎng)絡(luò)中服務器和內(nèi)部用戶進行入侵檢測，及時報警，并做事后追查。建議將與骨干相連的交換機端口、重要服務器所連的交換機端口、重要網(wǎng)段的交換機所連的端口設(shè)為被鏡像端口，這樣可以實時監(jiān)聽流經(jīng)防火墻、重要服務器、重要網(wǎng)段的數(shù)據(jù)流量。管理控制臺接到交換機的普通端口即可，必須要保證管理控制臺與探測引擎的管理端口正常的通信。

策略設(shè)置可以說是在使用網(wǎng)絡(luò)入侵檢測系統(tǒng)過程中最關(guān)鍵的一步，我們應該根據(jù)自己網(wǎng)絡(luò)的情況來詳細制定對網(wǎng)絡(luò)事件的響應策略。為了方便使用，入侵檢測系統(tǒng)本身提供細致的檢測策略，分別為熱點策略集、Web事件集、Mail事件集、攻擊分析集、協(xié)議分析集、Windows事件集、Unix事件集、陳舊事件集、新增事件集等不同分類方式的系統(tǒng)策略集，用戶可以針對不同環(huán)境、不同應用以及不同關(guān)注目標直接選取合適的檢測策略。

（四）安全審計系統(tǒng)

網(wǎng)絡(luò)安全審計系統(tǒng)是針對業(yè)務環(huán)境下的網(wǎng)絡(luò)操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進行解析、分析、記錄、匯報，以幫助用戶事前規(guī)劃預防、事中實時監(jiān)視、違規(guī)行為響應、事后合規(guī)報告、事故追蹤溯源，加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務器、網(wǎng)絡(luò)設(shè)備等）的正常運行。

（五）漏洞掃描系統(tǒng)

在漏洞被利用以及信息系統(tǒng)遭受危害之前，正確的識別并修復漏洞和錯誤的配置，預防安全事件的發(fā)生?？梢酝ㄟ^部署單個掃描單元實現(xiàn)對全網(wǎng)各個區(qū)域的自主掃描。這種獨立掃描的情況同時適合監(jiān)察評測機構(gòu)，他們可以將漏洞掃描軟件安裝在筆記本電腦上，即可實現(xiàn)對獨立網(wǎng)絡(luò)單元的移動式檢查測評。

（六）內(nèi)網(wǎng)管理系統(tǒng)

采用CSC體系架構(gòu)（CSC=Clients+Server+ Checkpoint，其中Checkpoint的中文名稱是準入控制檢查點，是準入控制的生效點和執(zhí)行點，在實際部署中包括使應用準入和網(wǎng)絡(luò)準入生效的服務器或網(wǎng)絡(luò)設(shè)備），CSC體系架構(gòu)具備完整的控制檢查點，使具備有效的執(zhí)行力和卓越的安全性、可靠性、可擴展性與健壯性，確保內(nèi)網(wǎng)合規(guī)、管理無盲點。

（七）安全運維管理平臺

由數(shù)據(jù)庫服務器，管理服務器，事件采集服務器組成;應用軟件部署在相應的上述硬件平臺上，事件采集根據(jù)被管理的數(shù)據(jù)源的類型及拓撲實際情況，在工程實施中具體部署。

各類事件采集可采用分布式部署：中心網(wǎng)絡(luò)部署事件集中采集服務器，各個被管網(wǎng)絡(luò)分布部署事件采集服務器，負責各自網(wǎng)絡(luò)內(nèi)的事件集中采集。維護人員通過通用運維終端采用基于Http/Https協(xié)議進行遠程管理和日常維護;其他授權(quán)用戶亦可采用基于Http/Https協(xié)議從安全管理角度針對所管理的網(wǎng)絡(luò)范圍進行綜合風險分析監(jiān)控。

在計算機信息化的不斷發(fā)展，針對網(wǎng)絡(luò)的新的攻擊行為也不斷涌出，針對電子政務網(wǎng)絡(luò)的威脅也在日趨緊張，不論是網(wǎng)絡(luò)中的設(shè)備還是網(wǎng)絡(luò)中的信息，一旦出現(xiàn)安全威脅，能夠快速反應，迅速隔離，并給以阻止，才能大提高網(wǎng)絡(luò)的安全性能。本文也只是在電子政務數(shù)據(jù)中心網(wǎng)絡(luò)安全防護的設(shè)計上做了些研究，還存在一些不足，需在今后的研究中進一步完善。

參考文獻

[1]劉劍.網(wǎng)絡(luò)安全技術(shù)[M].西安電子科技大學出版社， 2011.

[2]邵波，王其和.計算機網(wǎng)絡(luò)安全技術(shù)及應用[M].北京電子工業(yè)出版社，2005，11：17-18.

[3]景煒.電子政務系統(tǒng)網(wǎng)絡(luò)安全的研究與應用[D].電子科技大學，2006.

篇2

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分，對保證工業(yè)安全、穩(wěn)定、可持續(xù)競爭發(fā)展具有重要意義。基于此，文章從工業(yè)控制系統(tǒng)相關(guān)概述出發(fā)，對工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題，以及當今工業(yè)控制系網(wǎng)絡(luò)安全防護體系設(shè)計的優(yōu)化進行了分析與闡述，以供參考。

關(guān)鍵詞：

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護體系

0引言

工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分，在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動化、智能化的創(chuàng)新與發(fā)展，工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢，并在我國工業(yè)領(lǐng)域各行業(yè)控制機制中，如能源開發(fā)、水文建設(shè)、機械制作生產(chǎn)、工業(yè)產(chǎn)品運輸?shù)鹊玫搅藦V泛應用。因此，在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下，對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的研究與分析具有重要現(xiàn)實意義，已成為當今社會關(guān)注的重點內(nèi)容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是由一定的計算機設(shè)備與各種自動化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下，大致可分為五個部分，分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠程控制終端系統(tǒng)部分（PLC/RTU）”、“分布式控制系統(tǒng)部分（DCS）”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分（SCADA）”以及“企業(yè)整體信息控制系統(tǒng)（EIS）”[2]。近年來，在互聯(lián)網(wǎng)技術(shù)、計算機技術(shù)、電子通信技術(shù)以及控制技術(shù)，不斷創(chuàng)新與廣泛應用的推動下，工業(yè)控制系統(tǒng)已經(jīng)實現(xiàn)了由傳統(tǒng)機械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展，工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計算機集約控制系統(tǒng)（CCS）”轉(zhuǎn)換為“分散式控制系統(tǒng)（DCS）”，并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)（FCS）”的創(chuàng)新與改革發(fā)展。目前，隨著我國工業(yè)領(lǐng)域的高速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)被廣泛應用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護等眾多領(lǐng)域與行業(yè)中，其安全性、穩(wěn)定性、優(yōu)化性運行對我國經(jīng)濟發(fā)展與社會穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問題

由于工業(yè)控制系統(tǒng)是一項綜合性、技術(shù)復雜性的控制體系，且應用領(lǐng)域相對較廣。因此，在設(shè)計與應用過程中對工作人員具有較高的要求，從而導致系統(tǒng)本身在設(shè)計或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡(luò)風險滲透問題

目前，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計與應用，已成為時展的必然趨勢，在各領(lǐng)域中應用工業(yè)控制系統(tǒng)時，對于數(shù)據(jù)信息的采集、分析與管理，需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進行一定的鏈接或遠程操控。在這一過程中，工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中，而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題，這在一定程度上將會導致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響，從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。例如，“百度百科”網(wǎng)站，通過利用SHODAN引擎進行OpenDirectory搜索時，將會獲得八千多個處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息，一旦出現(xiàn)黑客或人為惡意攻擊，將為網(wǎng)站管理系統(tǒng)帶來嚴重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問題

由于工業(yè)控制系統(tǒng)中，其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進行構(gòu)建的，因此，在既定環(huán)境下，工業(yè)過程控制標準OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強的開放性[4]。當對工業(yè)控制系統(tǒng)進行操作時，基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護舉措的缺失，加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風險因素的攻擊與干擾，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風險。

2.4工業(yè)控制系統(tǒng)脆弱性問題

目前，我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題，致使工業(yè)控制系統(tǒng)具有“脆弱性”特征，例如，網(wǎng)絡(luò)配置問題、網(wǎng)絡(luò)設(shè)備硬件問題、網(wǎng)絡(luò)通信問題、無線連接問題、網(wǎng)絡(luò)邊界問題、網(wǎng)絡(luò)監(jiān)管問題等等[5]。這些問題，在一定程度上為網(wǎng)絡(luò)信息風險因素的發(fā)生提供了可行性，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。

3加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建，不僅需要加強相關(guān)技術(shù)的研發(fā)與利用，同時也需要相關(guān)部門（如，設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等）基于自身實際情況與優(yōu)勢加以輔助，從而實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系多元化、全方位的構(gòu)建。

3.1強化工業(yè)控制系統(tǒng)用戶使用安全防護能力

首先，構(gòu)建科學且完善的網(wǎng)絡(luò)防護安全策略：安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計與執(zhí)行的重要前提條件，對保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導作用。對此，相關(guān)工作人員應在結(jié)合當今工業(yè)控制系統(tǒng)存在的“脆弱性”問題，在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢的基礎(chǔ)上，有針對性的制定一系列網(wǎng)絡(luò)防護安全策略，用以保證工業(yè)控制系統(tǒng)安全設(shè)計、操作、管理、養(yǎng)護維修規(guī)范化、系統(tǒng)化、全面化、標準化施行。例如，基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補丁管理，結(jié)合工業(yè)控制系統(tǒng)實際需求，對工業(yè)控制系統(tǒng)核心系統(tǒng)進行“補丁升級”，用以彌補工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項漏洞危機[6]。在此過程中，設(shè)計人員以及相關(guān)工作者應通過“試驗測驗”的方式，為工業(yè)控制系統(tǒng)營造仿真應用環(huán)境，并在此試驗環(huán)境中對系統(tǒng)進行反復測驗、審核、評價，并對系統(tǒng)核心配置、代碼進行備份處理，在保證補丁的全面化升級的同時，降低升級過程中存在的潛在風險。其次，注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護體系的構(gòu)建：網(wǎng)絡(luò)隔離防護的構(gòu)建與執(zhí)行，對降低工業(yè)控制系統(tǒng)外界風險具有重要意義。對此，相關(guān)設(shè)計與工作人員應在明確認知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護目標的基礎(chǔ)上，制定相應的網(wǎng)絡(luò)隔離防護方案，并給予有效應用。通常情況下，工業(yè)控制系統(tǒng)設(shè)計人員應依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應用需求，對系統(tǒng)所需設(shè)備進行整理，并依據(jù)整理內(nèi)容進行具體測評與調(diào)試，用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮，避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生；根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點對隔離防護區(qū)域進行分類與規(guī)劃（包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等），并針對不同區(qū)域情況與待保護程度要求，采用相應的舉措進行改善，實現(xiàn)不同風險的不同控制[7]。與此同時，構(gòu)建合理、有效的物理層防護體系：實踐證明，物理層防護體系的構(gòu)建（物理保護），對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護具有至關(guān)重要的作用，是工業(yè)控制系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項目，也是核心項目，對工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護體系整體效果的優(yōu)化，具有決定性作用。因此，在進行工業(yè)控制防護系統(tǒng)網(wǎng)絡(luò)安全防護體系優(yōu)化設(shè)計時，設(shè)計人員以及相關(guān)企業(yè)應注重對工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如，通過配置企業(yè)門禁體系，用以避免外來人員對工業(yè)現(xiàn)場的侵害；依據(jù)企業(yè)特色，配設(shè)相應的生產(chǎn)應急設(shè)備，如備用發(fā)電機、備用操作工具、備用電線、備用油庫等，用以避免突發(fā)現(xiàn)象導致設(shè)計或生產(chǎn)出現(xiàn)問題；通過配置一定的監(jiān)測管理方案或設(shè)施，對系統(tǒng)進行一體化監(jiān)管，用以及時發(fā)現(xiàn)問題（包括自然風險因素、設(shè)備生產(chǎn)安全風險因素等）并解決問題，保證工業(yè)控制系統(tǒng)運行的優(yōu)化性。此外，加強互聯(lián)網(wǎng)滲透與分析防治：設(shè)計工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題，可通過換位思考的形式，對已經(jīng)設(shè)計的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系進行測評，并從對方的角度進行思考，制定防護對策，用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。

3.2強化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)，作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者，應提升自身對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計的重視程度，從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時，系統(tǒng)生產(chǎn)企業(yè)在引進先進設(shè)計技術(shù)與經(jīng)驗的基礎(chǔ)上，強化自身綜合能力與開發(fā)水平，保證工業(yè)控制系統(tǒng)緊跟時展需求，推動工業(yè)控制系統(tǒng)不斷創(chuàng)新，從根源上降低工業(yè)控制系統(tǒng)自身存在安全風險。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知，工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應用，并占據(jù)著重要的地位，其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對我國市場經(jīng)濟發(fā)展與社會的穩(wěn)定具有直接影響作用。由此可見，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建，不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題，政府以及社會等外部體系的構(gòu)建同樣具有重要意義。對此，政府以及其他第三方結(jié)構(gòu)應注重自身社會責任的執(zhí)行，加強對工業(yè)控制系統(tǒng)安全防護體系環(huán)境的管理與監(jiān)督，促進工業(yè)控制系統(tǒng)安全防護外部體系的構(gòu)建。例如，通過制定相應的網(wǎng)絡(luò)安全運行規(guī)范與行為懲罰措施，用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生；通過制定行業(yè)網(wǎng)絡(luò)安全防護機制與準則，嚴格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性，加大自身維權(quán)效益。

4結(jié)論

綜上所述，本文針對“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系”課題研究的基礎(chǔ)上，分析了工業(yè)控制系統(tǒng)以及當今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題，并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的基礎(chǔ)上，提供了加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的優(yōu)化對策，以期對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認知與理解，從而促進我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)的優(yōu)化發(fā)展。

參考文獻：

[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016(2):6-11.

[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護體系設(shè)計[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應用研究[J].機電工程技術(shù),2016(12):97-100.

[5]劉秋紅.關(guān)于構(gòu)建信息安全防護體系的思考——基于現(xiàn)代計算機網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場,2013(6):314.

[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對策研究[J].保密科學技術(shù),2013(4):16-21.

篇3

【關(guān)鍵詞】電力系統(tǒng) 信息網(wǎng)絡(luò)安全問題 防護措施

1 引言

有效地保障電力企業(yè)的安全和保障電力信息網(wǎng)絡(luò)安全，對于推動我國國民經(jīng)濟穩(wěn)定發(fā)展具有非常重要的作用。隨著社會信息化技術(shù)的迅速發(fā)展，信息化系統(tǒng)已經(jīng)在電力企業(yè)中受到廣泛應用，實現(xiàn)了信息化網(wǎng)絡(luò)管理。但由于信息網(wǎng)絡(luò)中存在的問題，導致電力信息網(wǎng)絡(luò)安全時有發(fā)生，有必要對此進行分析，并且采取安全保護措施，確保電力信息網(wǎng)絡(luò)安全和電力企業(yè)的穩(wěn)定發(fā)展。

2 電力系統(tǒng)信息網(wǎng)絡(luò)存在的安全問題

2.1 網(wǎng)絡(luò)病毒

電力系統(tǒng)信息網(wǎng)絡(luò)安全中，最常見的安全隱患就是網(wǎng)絡(luò)病毒。隱蔽性、可復制性、傳播速度快等都是網(wǎng)絡(luò)病毒的特點。網(wǎng)絡(luò)病毒對電力系統(tǒng)信息網(wǎng)絡(luò)破壞非常嚴重。假如感染上了網(wǎng)絡(luò)病毒，輕則是對電力信息系統(tǒng)的正常運行受到阻礙，使數(shù)據(jù)丟失、信息不能及時共享；嚴重則會導致電力信息系統(tǒng)癱瘓，整個電力系統(tǒng)的功能將會因此受到影響而不能正常發(fā)揮作用。除此之外，電力設(shè)備還可能因此遭到網(wǎng)絡(luò)病毒的破壞，造成不可估量的損失。

2.2 黑客攻擊

在電力系統(tǒng)信息網(wǎng)絡(luò)運行的過程之中，網(wǎng)絡(luò)安全問題也會因為受到黑客的攻擊而出現(xiàn)，導致電力系統(tǒng)信息網(wǎng)絡(luò)安全出現(xiàn)故障，甚至會造成大范圍的電力故障發(fā)生，具有非常大的危害力，這也是電力系統(tǒng)信息網(wǎng)絡(luò)存在的主要隱患。電力企業(yè)涉及到很多電力信息量，假如被黑客攻擊獲取機密信息，則會對電力系統(tǒng)的正常運行和經(jīng)濟效益造成極大的損失。黑客對電力系統(tǒng)信息網(wǎng)絡(luò)的攻擊方式比較多，比如利用數(shù)字控制系統(tǒng)（DCS）對電力企業(yè)的基層系統(tǒng)進行控制，造成基層系統(tǒng)癱瘓。此外，黑客也可以利用某個系統(tǒng)對其他系統(tǒng)進行控制和破壞，對電力系統(tǒng)造成非常惡劣的影響。

2.3 脆弱的身份認證

電力行業(yè)中計算機應用系統(tǒng)大部分是基于商用軟硬件系統(tǒng)設(shè)計和開發(fā)，而基本上都是使用口令為用戶身份認證的鑒別模式，而這種模式最容易被黑客攻破。部分應用系統(tǒng)還使用自己的用戶鑒別方式，用數(shù)據(jù)庫或者文件將口令、用戶名和一些安全控制信息用明文的方式記錄。當今，這種脆弱的安全控制措施已經(jīng)不再適用。

2.4 內(nèi)部惡意操作

電力信息系統(tǒng)安全漏洞還存在內(nèi)部人員惡意操作導致。惡意操作就是指蓄意破壞。信息系統(tǒng)在運行過程之中需要人進行監(jiān)督和控制，加入人的因素存在主管惡意，則會使網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)問題。電力系統(tǒng)安全管理的制度上規(guī)范可能比較健全，但是只能防范人的控制，一旦出現(xiàn)人為因素，大災難將會降臨到電力信息系統(tǒng)上。

2.5 信息網(wǎng)絡(luò)安全意識淡薄

在電力信心網(wǎng)絡(luò)的建設(shè)以及運營過程之中，安全防護和安全監(jiān)督工作都需要信息網(wǎng)絡(luò)安全意識高的專業(yè)人員從事。隨著信息化程度的不斷提高和信息防護技術(shù)的不斷更新，電力信息網(wǎng)絡(luò)的安全等級也逐漸提高。但是，不能否認的是，實際的安全防護技術(shù)和電力企業(yè)信息網(wǎng)絡(luò)安全防護需求仍然存在很大差異。一方面是由于電力企業(yè)本身信息化技術(shù)比較低導致出現(xiàn)安全問題；另一方面則是超高的安全防護技術(shù)帶來高昂的成本，電力企業(yè)的效益降低，導致電力企業(yè)的實施與應用受到影響。更加重要的是目前的電力信息網(wǎng)絡(luò)安全整體維護工作水平不高，同時網(wǎng)路安全人員的安全防護意識缺乏，出現(xiàn)違規(guī)操作、不按照規(guī)范進行操作等現(xiàn)象發(fā)生而出現(xiàn)問題。

2.6 信息網(wǎng)絡(luò)安全制度缺失

隨著電力信息化程度的不斷深入，要加強信息網(wǎng)絡(luò)安全制度的規(guī)范，不斷創(chuàng)設(shè)完整的信息網(wǎng)絡(luò)安全防護制度顯得非常重要，這樣才能夠確實提高電力企業(yè)信息網(wǎng)絡(luò)安全，保障企業(yè)經(jīng)濟效益。當時目前而言，在電力信息網(wǎng)絡(luò)運行的過程之中仍然缺乏統(tǒng)一的規(guī)范安全防護制度和監(jiān)督制度，很大程度上對電力系統(tǒng)信息網(wǎng)絡(luò)安全造成危害，影響電力信息化水平提高。同時，在電力系統(tǒng)信息網(wǎng)絡(luò)運行，由于缺乏科學的安全管理制度，很容易在運行過程之中出現(xiàn)大漏洞和缺陷。

3 電力系統(tǒng)信息網(wǎng)絡(luò)安全防護的具體措施

3.1 提高對安全性的認識

第一，電力企業(yè)要加強對電力系統(tǒng)信息網(wǎng)絡(luò)安全的認識，要將網(wǎng)絡(luò)信息安全防護體系完善建立，采用分層、分區(qū)的管理方法，其中將區(qū)城管理分為生產(chǎn)管理區(qū)、非控制生產(chǎn)區(qū)、實時控制區(qū)和管理信息區(qū)，并且隔離區(qū)城之間的網(wǎng)絡(luò)物理隔離設(shè)備。第二，加強人員素質(zhì)管理，通過網(wǎng)絡(luò)安全培訓和技能訓練，將網(wǎng)絡(luò)管理工作人員的素質(zhì)和能力提高。最后，對信息網(wǎng)絡(luò)體系的密碼、技術(shù)、數(shù)據(jù)管理要加強，切實將電力系統(tǒng)信息網(wǎng)絡(luò)安全系數(shù)提高。

3.2 做好信息網(wǎng)絡(luò)系統(tǒng)的維護與支持工作

在現(xiàn)實電力系統(tǒng)信息網(wǎng)絡(luò)安全防護中可以采取以下幾種安全技術(shù)：第一，防火墻技術(shù)。網(wǎng)絡(luò)與網(wǎng)絡(luò)安全領(lǐng)域的連接入口是防火墻，因此防火墻可以對危害信息進行有效的抵御和及時查詢出危險信息，保證電力系統(tǒng)信息網(wǎng)絡(luò)的安全。因此，在日常工作中要對防火墻的訪問設(shè)置相應的權(quán)限，對非授權(quán)連接進行強力防護。第二，漏洞缺陷檢查技術(shù)。漏洞缺陷檢查技術(shù)就是對電力系統(tǒng)的信息網(wǎng)絡(luò)設(shè)備進行檢測，根據(jù)檢查情況對設(shè)備檢測風險進行評估。假如存在安全問題，則要及時采取防護措施進行修復，這樣才能夠有效避免安全問題發(fā)生。第三，數(shù)據(jù)加密技術(shù)。所謂的加密技術(shù)，就是對網(wǎng)絡(luò)傳輸數(shù)據(jù)的訪問權(quán)進行限制，也可以對原始數(shù)據(jù)進行加密變成密文的技術(shù)。數(shù)據(jù)加密技術(shù)主要是防止惡意客戶對機密數(shù)據(jù)文件進行查看、破壞和泄露，有效保證電力系統(tǒng)鑫鑫網(wǎng)絡(luò)安全，確保能夠正常穩(wěn)定地運行。

3.3 構(gòu)建科學完善的安全防護體系

在信息化網(wǎng)絡(luò)的運營過程之中，科學地完善防護體系是提升和優(yōu)化網(wǎng)絡(luò)安全的重要措施和根本保障。完善的防護體系能夠在具體的管理中對信息化網(wǎng)絡(luò)出現(xiàn)的問題及時檢查，有條不紊地針對加強安全防護，將電力系統(tǒng)信息化網(wǎng)絡(luò)安全級別提升。技術(shù)人應該充分結(jié)合電力企業(yè)的實際特點和計算機網(wǎng)絡(luò)安全有關(guān)問題規(guī)建信息網(wǎng)絡(luò)的安全防護體系，切忌技術(shù)盲目建設(shè)，要科學準確地建設(shè)信息化安全防護體系。與此同時，在建設(shè)防護體系過程之中，考慮到電力信息網(wǎng)絡(luò)的功能和板塊非常多，因此需要技術(shù)人員從整體把握安全防護體系，要遵循全面科學原則建設(shè)信息網(wǎng)絡(luò)安全防護體系，使電力系統(tǒng)信息網(wǎng)絡(luò)的各個功能的安全等級不斷提升，能夠有效地提升電力系統(tǒng)信息網(wǎng)絡(luò)的安全效益和質(zhì)量。

3.4 建立完善的電力系統(tǒng)信息網(wǎng)絡(luò)監(jiān)控中心

為了能夠提高電力系統(tǒng)信息安全，一定要建立一個綜合。統(tǒng)一的信息安全監(jiān)控中心。為了能夠?qū)⒏黜椥畔⒂袡C整合，監(jiān)控中心可以在各信息網(wǎng)管中心建立，這樣即使出現(xiàn)任何影響信息安全問題的情況都能夠及時解決。通過監(jiān)控系統(tǒng)所提供的信息可以對可能出現(xiàn)的異?；蚬收霞皶r進行預防，防患于未然，保障系統(tǒng)不會發(fā)生異常或故障。

3.5 加強網(wǎng)絡(luò)設(shè)備的管理和維護

在電力企業(yè)信息網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)設(shè)備起著至關(guān)重要的作用。由于網(wǎng)絡(luò)設(shè)備一直處于消耗狀態(tài)和存在一定的周期和壽命，因此電力企業(yè)的安全管理人員要對這些設(shè)備進行定期檢查和維護，對電力設(shè)備及時進行更新更換，從源頭上強化信息安全。對于電力企業(yè)而言，要及時更新網(wǎng)絡(luò)技術(shù)、更新系統(tǒng)和技術(shù)，要做數(shù)據(jù)備份；對于終端密碼及時更換，設(shè)置難以破解的密碼，以免被竊取。

4 結(jié)語

為了電力系統(tǒng)安全運行和對社會可靠供電就必須保證電力信息安全，一旦電力系統(tǒng)信息網(wǎng)絡(luò)安全遭到破壞將會給電力系統(tǒng)的生產(chǎn)敬意和管理造成巨大損失；因此要通過加強網(wǎng)絡(luò)安全管理和充分利用先進的網(wǎng)絡(luò)技術(shù)，構(gòu)建電力系統(tǒng)信息安全防范體系，確保電力系統(tǒng)信息網(wǎng)絡(luò)能夠高效穩(wěn)定運行。

參考文獻：

篇4

    一、操作系統(tǒng)的安全防護

    作為用戶使用計算機和網(wǎng)絡(luò)資源的中間界面,操作系統(tǒng)發(fā)揮著重要作用,因此,操作系統(tǒng)本身的安全,就成了安全防護當中的一個重要課題。操作系統(tǒng)的安全,通常包含兩層意思,一個方面是操作系統(tǒng)在設(shè)計時通過權(quán)限訪問控制、信息加密性保護、完整性鑒定等一些機制實現(xiàn)的安全;另一個方面,則是操作系統(tǒng)在使用中,通過一系列的配置,保證操作系統(tǒng)盡量避免由于實現(xiàn)時的缺陷或是應用環(huán)境因素產(chǎn)生的不安全因素。只有通過這兩方面的同時努力,才能夠最大可能地建立安全的操作環(huán)境。

    由于各種入侵和攻擊技術(shù)的不斷發(fā)展,導致對操作系統(tǒng)的攻擊頻頻發(fā)生,例如各類病毒、木馬的肆意傳播、利用系統(tǒng)緩沖區(qū)溢出的缺陷攻擊系統(tǒng)、利用TCP/IP缺陷來進行拒絕服務的攻擊等等,都會給系統(tǒng)造成極大的危害。針對這些安全的缺陷,我們可以采取如進行系統(tǒng)服務的安全配置,安裝病毒防護軟件,更新系統(tǒng)的補丁程序,定期備份操作系統(tǒng)等措施來進行預發(fā)防范,以彌補系統(tǒng)缺陷的所帶來的安全隱患。另外,在日常運行中,我們還需采取規(guī)范系統(tǒng)使用流程、定期更新用戶密碼、刪除用戶日志文件、關(guān)閉多余的服務端口等措施,來消除由于用戶使用而引起的不安全因素,減少系統(tǒng)受到有效攻擊的概率。

    二、網(wǎng)絡(luò)的安全防護

    網(wǎng)絡(luò)安全,最重要的在于對網(wǎng)絡(luò)進行防護,避免造成大的損失,“防范于未然”始終是網(wǎng)絡(luò)安全防護的一個重要指導原則,網(wǎng)絡(luò)安全被破壞后,雖然能夠亡羊補牢,但是畢竟已經(jīng)造成了損失。網(wǎng)絡(luò)安全防范和保護的主要策略是訪問控制,它的主要任務是保證網(wǎng)絡(luò)資源不被非法使用和訪問,它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。一般包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制及屬性控制等多種等級。在企業(yè)信息網(wǎng)中,我們主要通過設(shè)置路由器的基本及擴展訪問控制列表來提供網(wǎng)絡(luò)訪問的權(quán)限、控制協(xié)議和端口的使用、過濾網(wǎng)絡(luò)的通信流量等安全手段,另外,防火墻、NET、服務器等安全技術(shù)的靈活運用順利實現(xiàn)了企業(yè)信息網(wǎng)與銀行、客服等外部網(wǎng)絡(luò)的連接,給企業(yè)信息網(wǎng)的安全提供了有效的保障。

    三、系統(tǒng)信息的安全防護

    數(shù)據(jù)在網(wǎng)絡(luò)或計算機中有兩個狀態(tài):存儲狀態(tài)和傳輸狀態(tài)。在現(xiàn)代網(wǎng)絡(luò)系統(tǒng)中,無論在存儲還是傳輸狀態(tài),數(shù)據(jù)都會受到威脅,安全威脅主要體現(xiàn)在數(shù)據(jù)的機密性、完整性和有效性。在企業(yè)信息網(wǎng)中,數(shù)據(jù)信息顯得尤為重要,為了防止數(shù)據(jù)的安全威脅,我們采用了多種安全技術(shù):數(shù)據(jù)鏡像和數(shù)據(jù)校驗技術(shù)、數(shù)據(jù)備份和歸檔技術(shù)、數(shù)據(jù)認證技術(shù)。

    數(shù)據(jù)的存儲安全主要體現(xiàn)在兩個方面:完整性和有效性。企業(yè)信息網(wǎng)為了達到這兩個安全性,在數(shù)據(jù)的存儲過程中采用了多個安全技術(shù)的結(jié)合。首先,為了保證數(shù)據(jù)的有效性,系統(tǒng)采用了雙機熱備、數(shù)據(jù)鏡像、數(shù)據(jù)校驗等技術(shù),來提高硬件設(shè)備的可用性,減少故障時間;其次,通過制定完整的數(shù)據(jù)備份及恢復計劃,定期備份數(shù)據(jù),使企業(yè)信息網(wǎng)數(shù)據(jù)的冗余度大大提高。另外,數(shù)據(jù)的歸檔管理使得當災難發(fā)生和系統(tǒng)崩潰時,能夠有效而快速地恢復系統(tǒng),有效地保證了企業(yè)數(shù)據(jù)的完整性。

    四、網(wǎng)絡(luò)安全的未來

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全；動態(tài)防護體系；設(shè)計；實現(xiàn)

在信息高速發(fā)展的今天，全球化的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)打破了傳統(tǒng)的地域限制，世界各地應用網(wǎng)絡(luò)越來越廣泛。但是隨著通過對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的不斷增加，其不穩(wěn)定因素也隨之增加，為了保障網(wǎng)絡(luò)環(huán)境的動態(tài)安全，應采用基于動態(tài)監(jiān)測的策略聯(lián)動響應技術(shù)，實現(xiàn)在復雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實時主動防御。

1 動態(tài)安全防護機理分析

要實現(xiàn)網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全防護，必須能夠在保證設(shè)備本身安全的前提下對進入設(shè)備的數(shù)據(jù)流進行即時檢測和行為分析，根據(jù)分析結(jié)果匹配相應的響應策略，并實時將策略應用于網(wǎng)絡(luò)交換設(shè)備訪問控制硬件，達到阻斷后續(xù)攻擊、保護網(wǎng)絡(luò)交換設(shè)備正常業(yè)務運行的目的。

2 設(shè)計與實現(xiàn)

2.1 安全主動防御模型設(shè)計

網(wǎng)絡(luò)安全主動防御通過采用積極主動的網(wǎng)絡(luò)安全防御手段，和傳統(tǒng)的靜態(tài)安全防御手段結(jié)合，構(gòu)筑安全的防御體系模型。網(wǎng)絡(luò)安全主動防御模型是一個可擴展的模型，由管理、策略和技術(shù)三個層次組成：

1）管理層是整個安全模型的核心，通過合理的組織體系、規(guī)章制度和措施，把具有信息安全防御功能的軟硬件設(shè)施和使用信息的人整合在一起，確保整個系統(tǒng)達到預定程度的信息安全。

2）策略層是整個網(wǎng)絡(luò)安全防御的基礎(chǔ)，通過安全策略來融合各種安全技術(shù)達到網(wǎng)絡(luò)安全最大化。

3）技術(shù)層主要包括監(jiān)測、預警、保護、檢測、響應。

監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)潛在的隱患，防患于未然。預警是對可能發(fā)生的網(wǎng)絡(luò)攻擊給出預先的警告，主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅。保護是指根據(jù)數(shù)據(jù)流的行為分析結(jié)果所提前采取的技術(shù)防護手段。檢測是指對系統(tǒng)當前運行狀態(tài)或網(wǎng)絡(luò)資源進行實時檢測，及時發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者。響應是對危及網(wǎng)絡(luò)交換設(shè)備安全的事件和行為做出反應，根據(jù)檢測結(jié)果分別采用不同的響應策略。

這幾個部分相輔相成，相互依托，共同構(gòu)建集主動、被動防御于一體的網(wǎng)絡(luò)交換設(shè)備安全立體防護模型。

網(wǎng)絡(luò)安全預警模塊通過網(wǎng)絡(luò)主動掃描與探測技術(shù)，實現(xiàn)網(wǎng)絡(luò)信息的主動獲取，建立起相對于攻擊者的信息優(yōu)勢。網(wǎng)絡(luò)安全預警模塊根據(jù)數(shù)據(jù)流行為分析的具體結(jié)果，針對有安全風險的設(shè)備采用通用的網(wǎng)絡(luò)交換設(shè)備掃描與探測技術(shù)進行實時監(jiān)控，隨時掌握這些設(shè)備的當前狀態(tài)信息，并根據(jù)其狀態(tài)的變化實時更新網(wǎng)絡(luò)安全防護系統(tǒng)的相關(guān)表項，使網(wǎng)絡(luò)安全防護系統(tǒng)進行模式匹配時所使用的規(guī)則符合當前網(wǎng)絡(luò)中的實際情況，有效地提升系統(tǒng)的安全防護能力和效率。

安全管理平臺主要由安全策略表、日志報警管理和用戶操作管理組成。其中，安全策略表是網(wǎng)絡(luò)數(shù)據(jù)流處理的依據(jù)，數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對匹配的數(shù)據(jù)流進行相應的控制和處理。日志報警管理通過查詢數(shù)據(jù)流行為安全分析、網(wǎng)絡(luò)安全預警等模塊產(chǎn)生的工作日志，對其內(nèi)容進行動態(tài)監(jiān)視，根據(jù)預設(shè)報警級別和報警方式產(chǎn)生相應的報警信息并通知系統(tǒng)維護人員進行相應處理。用戶操作管理實時接收用戶輸入命令，完成命令解釋，實現(xiàn)對安全防護系統(tǒng)的相關(guān)查詢和配置管理。

2.2 動態(tài)策略聯(lián)動響應設(shè)計

（1）數(shù)據(jù)流分類

網(wǎng)絡(luò)數(shù)據(jù)流進入時，首先根據(jù)訪問控制規(guī)則對數(shù)據(jù)流進行過濾，過濾通過的報文在向上遞交的同時被鏡像到數(shù)據(jù)流識別及分類處理模塊，該模塊首先通過源IP、目的IP、源端口、目的端口、協(xié)議類型五元組對數(shù)據(jù)流進行分類，然后根據(jù)流識別數(shù)據(jù)庫的預設(shè)規(guī)則確定數(shù)據(jù)流的分類結(jié)果。在分類處理過程中，為提高處理效率，首先將五維分類查找問題分解降維為二維問題，利用成熟的二維IP分類算法進行初步分類。由于協(xié)議類型僅限于幾個值，所以可以壓縮所有分類規(guī)則中協(xié)議類型字段，將其由8位壓縮為3位，節(jié)省數(shù)據(jù)庫空間。由于規(guī)則實際所用到的端口號為0-65535中極少一部分，協(xié)議值和端口值不同情況的組合數(shù)目遠遠小于最大理論值。

（2）深度特征匹配

數(shù)據(jù)流在進行分類識別后，送入并行檢測器進行深度特征匹配，匹配結(jié)果送入行為安全分析模塊進行綜合分析和判斷，并根據(jù)具體分析結(jié)果進行相應的策略響應。檢測器通過預設(shè)在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對應用報文中的多個相關(guān)字段進行特征檢查和匹配，最終確定該數(shù)據(jù)流的屬性。

為了保證檢測器處理入侵信息的完整性，每個檢測器只負責某一類（或幾類）具體應用網(wǎng)絡(luò)流量的檢測，檢測器之間采用基于應用的負載均衡算法，該算法根據(jù)各檢測器的當前負載情況和可用性狀況來動態(tài)調(diào)節(jié)各檢測器負載，具體原則為：同一類型應用報文分配到同一類檢測器，同類型應用報文基于負載最小優(yōu)先原則進行檢測器分配。

（3）策略聯(lián)動響應

檢測到網(wǎng)絡(luò)攻擊時，數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險等級采取相應的攻擊響應機制，對普通危險等級的攻擊只報告和記錄攻擊事件，對高危險的攻擊使用主動實時響應機制。主動響應機制能有效提高系統(tǒng)的防御能力，為了避免產(chǎn)生誤聯(lián)動，主要是為一些關(guān)鍵的敏感業(yè)務流提供更高等級的保護。主動響應機制將與安全策略直接聯(lián)動，阻止信息流穿越網(wǎng)絡(luò)邊界，切斷惡意的網(wǎng)絡(luò)連接操作。

3 應用驗證

通過設(shè)計一臺基于動態(tài)策略聯(lián)動響應的網(wǎng)絡(luò)安全防護技術(shù)的安全網(wǎng)絡(luò)交換設(shè)備來驗證該技術(shù)在實際網(wǎng)絡(luò)應用環(huán)境中的安全防護能力。安全網(wǎng)絡(luò)交換設(shè)備的硬件邏輯由數(shù)據(jù)處理模塊，安全監(jiān)測模塊和管理控制模塊組成。

該應用驗證環(huán)境在設(shè)計上的主要特點在于：

1）該系統(tǒng)以可自主控制的高性能網(wǎng)絡(luò)交換芯片為硬件核心，并針對網(wǎng)絡(luò)攻擊特點對網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件進行修改和完善，從根本上保證了網(wǎng)絡(luò)交換設(shè)備本身的安全性。

2）安全監(jiān)測模塊與網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件相對獨立，保證了網(wǎng)絡(luò)交換設(shè)備在遭受攻擊時安全監(jiān)測和處理任務不受影響。

3）安全監(jiān)測模塊可根據(jù)實時網(wǎng)絡(luò)數(shù)據(jù)行為分析結(jié)果對網(wǎng)絡(luò)交換設(shè)備硬件進行實時安全防護設(shè)置，實現(xiàn)動態(tài)策略聯(lián)動應對。

4 結(jié)論

為了解決網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全問題，采用基于動態(tài)監(jiān)測的策略聯(lián)動響應技術(shù)，可實現(xiàn)在復雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實時主動防御。通過Snort等常用攻擊軟件對安全網(wǎng)絡(luò)交換設(shè)備進行測試，結(jié)果表明，該安全網(wǎng)絡(luò)交換設(shè)備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務攻擊等多種網(wǎng)絡(luò)攻擊形式，保證網(wǎng)絡(luò)交換設(shè)備的正常業(yè)務不受影響，同時能夠正確產(chǎn)生安全日志和相應的報警信息。并且基于該技術(shù)實現(xiàn)的網(wǎng)絡(luò)交換設(shè)備已應形成產(chǎn)品，實際使用情況良好。

參考文獻：

篇6

關(guān)鍵詞：計算機網(wǎng)絡(luò)；鐵路信號系統(tǒng)；安全威脅

中圖分類號：TP393.08文獻標識碼：A文章編號：1007-9599 (2012) 06-0000-02

隨著現(xiàn)代信息技術(shù)在各領(lǐng)域的滲透與廣泛應用，我國鐵路系統(tǒng)的信號系統(tǒng)朝著信息化、網(wǎng)絡(luò)化方向的跨越式發(fā)展。新技術(shù)、新設(shè)備的應用，給鐵路新號系統(tǒng)帶來了新的新的挑戰(zhàn)。列車調(diào)度指揮系統(tǒng)TDCS系統(tǒng)盡管具有相對獨立的內(nèi)部網(wǎng)，在實施安全管理策略方面較之于其他系統(tǒng)會難度要低，但我們必須看到TDCS是構(gòu)建在一個通用開放的操作平臺上。因此其系統(tǒng)安全防護仍然是一項十分重要的工作。筆者結(jié)合工作實踐，就鐵路新號TDCS系統(tǒng)網(wǎng)絡(luò)安全防護問題做以下探討與分析，以期為同行提供有益借鑒與參考。

一、TDCS系統(tǒng)遭受病毒侵襲的主要途徑

（一）日常管理維護的不到位

在實際操作中，由于部分TDCS維護人員日常使用硬盤盒維護，給系統(tǒng)帶來了安全隱患。比如本該屬于TDCS系統(tǒng)專用的硬盤盒而用來存儲其他數(shù)據(jù)文件，由此為感染病毒創(chuàng)造了可乘之機。

（二）網(wǎng)絡(luò)系統(tǒng)設(shè)置的不科學

在TDC系統(tǒng)網(wǎng)絡(luò)中，由于與其他系統(tǒng)合用一網(wǎng)，這樣一來就有可能使得病毒從網(wǎng)絡(luò)傳入而感染系統(tǒng)，在當前互聯(lián)網(wǎng)病毒盛行時期，這種風險時刻存在。

（三）計算機資源存在欠缺

典型的情況是，一機多網(wǎng)使用。這樣一來給TDCS和其他工作都帶來了病毒入侵的可能，造成系統(tǒng)安全隱患。

（四）遭受惡意攻擊等其他非正常途徑

這主要是各種形形的惡意攻擊，來給TDCS系統(tǒng)網(wǎng)路安全帶來威脅。

二、TDCS系統(tǒng)網(wǎng)絡(luò)安全防護的需求與可操作性

（一）系統(tǒng)需求

隨著各種安全防護技術(shù)措施的成熟以及防護方案的不斷完善，現(xiàn)有TDCS網(wǎng)絡(luò)系統(tǒng)安全體系初步形成，但還不夠成熟、穩(wěn)定。因此，面對當前無處不在的網(wǎng)絡(luò)病毒和安全威脅，TDCS系統(tǒng)網(wǎng)絡(luò)安全防護必然要求結(jié)合鐵路信號系統(tǒng)的實際，進行合理的規(guī)劃與實施。從而要確保系統(tǒng)骨干網(wǎng)絡(luò)系統(tǒng)的安全問題，并建立其完整有效的備份方案和應急預案。以面對各種網(wǎng)絡(luò)安全威脅與挑戰(zhàn)，確保數(shù)據(jù)不會遭到破壞與丟失。

（二）TDCS系統(tǒng)安全狀況的可操作分析

（1）針對早期建成的TDCS系統(tǒng)，組織專門的滲透測試，檢查安全漏洞是否存在。這類工作可以通過組織專家小組或聘請專業(yè)公司的形式來協(xié)助完成，從而避免系統(tǒng)漏洞的安全風險。

（2）可以通過增設(shè)網(wǎng)絡(luò)安全服務器，安裝防火墻來加強TDCS系統(tǒng)網(wǎng)絡(luò)中心的安全。建立安全防范機制，對TDCS系統(tǒng)網(wǎng)絡(luò)中的相關(guān)機器，實行統(tǒng)一的、規(guī)范化的管理模式。

（3）成立專門的維護中心或工作站。對于TDCS系統(tǒng)，需要建立技術(shù)故障處理體系，并組織技術(shù)骨干力量，從而使得各電務段的信息設(shè)備安全養(yǎng)護和故障處理得到有力的技術(shù)支持。

（4）優(yōu)化系統(tǒng)的內(nèi)部結(jié)構(gòu)。在TDCS系統(tǒng)中，由于應用的軟件程序較多，加之當前一些程序軟件缺乏統(tǒng)一標準和規(guī)范，因此，在應用中可能存在補丁與正在運行的操作的沖突現(xiàn)象。針對這種可能存在的現(xiàn)象，我們管理員在進行安裝補丁時需要經(jīng)過檢測與驗證后，在確保不會影響到TDCS系統(tǒng)運行的穩(wěn)定性情況下，才能進行更新與處理。

三、相關(guān)網(wǎng)絡(luò)安全機制及改進方向

完善鐵路TDCS網(wǎng)絡(luò)安全配套設(shè)施建設(shè)，是在現(xiàn)有網(wǎng)絡(luò)安全防護系統(tǒng)的基礎(chǔ)上，充分考慮防火墻、入侵檢測/防護、漏洞掃描、防病毒系統(tǒng)等安全技術(shù)及產(chǎn)品在整個安全體系中所起到的不同防護功能，增加相應的硬件設(shè)施，建立多層次的安全防護體系，更有效的保障骨干網(wǎng)絡(luò)系統(tǒng)的運行。因此，在鐵路信號系統(tǒng)中運用網(wǎng)絡(luò)技術(shù)時應要做好充分的考慮。

（一）相關(guān)安全因素的防護作用

（1）防火墻防護：對TDCS系統(tǒng)而言，其網(wǎng)絡(luò)安全防護的策略就是防火墻。防火墻技術(shù)隨互聯(lián)網(wǎng)技術(shù)的發(fā)展而發(fā)展，從目前防火墻發(fā)展技術(shù)水平來看，部分防火墻技術(shù)已經(jīng)比較成熟與完善?？梢杂行У氐钟鶃碜杂诨ヂ?lián)網(wǎng)的外部攻擊或者局域網(wǎng)內(nèi)部病毒感染引起的內(nèi)部攻擊。對于TDCS系統(tǒng)網(wǎng)絡(luò)安全防護而言，防火墻是加強其安全管理的第一道防線，也是必不可少的重要組成部分。

（2）入侵檢測系統(tǒng)：在TDCS系統(tǒng)中，由于網(wǎng)絡(luò)安全威脅的重要來源之一就是病毒的入侵和外來攻擊，因此加強入侵檢測系統(tǒng)(IDS)的研究無疑是提高系統(tǒng)安全性的重要途徑。作為防火墻的有益補充，入侵檢測系統(tǒng)的應用，可以有效地脅制來自外部網(wǎng)絡(luò)的入侵，有效地使系統(tǒng)管理員的安全管理能力得到了擴展（比如安全審計、監(jiān)視、進攻識別和響應），從而從系統(tǒng)整體上提高了信息安全性與應對安全威脅的處理能力。

由于信息技術(shù)不斷更新與發(fā)展，我們看到幾乎所有的操作系統(tǒng)和軟件都存在安全漏洞，但是我們卻無法時刻進行更新與打補丁，這無疑給病毒入侵造就了機會，實踐經(jīng)驗也充分證明了這一點。所以，必須加強漏洞掃描技術(shù)，堵住病毒入侵通道，維護TDCS系統(tǒng)網(wǎng)絡(luò)安全。

（3）防病毒系統(tǒng)：針對病毒傳播的特點，以及病毒的常見類型，我們需要針對鐵路TDCS網(wǎng)絡(luò)系統(tǒng)的實際情況，建立起防病毒系統(tǒng)。在安全防護的改進過程中，我們要結(jié)合不同的安全保護因素，創(chuàng)建一個比單一防護更有效的綜合保護屏障。這種分層的安全防護體系成倍地增加了黑客或病毒攻擊的成本和難度，從而大大減少了他們對骨干網(wǎng)絡(luò)的攻擊。

（二）建立多層次的網(wǎng)絡(luò)安全防護體系

在骨干網(wǎng)絡(luò)系統(tǒng)中，建立一個集入侵檢測系統(tǒng)、安全漏洞掃描、防火墻系統(tǒng)和防病毒系統(tǒng)于一體的多層次、全方位的網(wǎng)絡(luò)安全防護體系。這種分層的網(wǎng)絡(luò)安全防護技術(shù)具體來說包括攻擊檢測，攻擊防范，攻擊后的恢復這三大方向，每一個方向上都有代表性的技術(shù)手段和安全產(chǎn)品。

（三）證網(wǎng)絡(luò)安全的其他注意事項

（1）硬件安全：具體包括：①瓶頸安全：每種網(wǎng)絡(luò)都有其弱點，如采用的星型以太網(wǎng)，其瓶頸在于交換機，交換機的安全可靠性直接關(guān)系到整個系統(tǒng)的安全，因此，選擇硬件時在備品備件上應做好充分的考慮，如采用雙機熱備，條件許可再冷備等等。②硬件期限：電子設(shè)備特別是計算機設(shè)備的使用周期在鐵路信號的維修規(guī)程中無很明確的輪修周期，因此，選擇優(yōu)良的國際品牌、便捷優(yōu)良的售后服務是關(guān)鍵。③隔離措施：強電、雷電等沖擊很容易造成硬件的損壞，除做好系統(tǒng)防雷外，硬件本身的每個I/O應具備光隔措施，以確保整個系統(tǒng)的安全。

（2）軟件安全：具體包括：①系統(tǒng)安全：作為網(wǎng)絡(luò)技術(shù)支撐的UNIX和Windows NT（2000、XP）等，本身系統(tǒng)具有廣泛的開放性，部分代碼是公開的，系統(tǒng)在發(fā)展中必然存在一些不可避免的安全漏洞，黑客利用漏洞制造的病毒全球泛濫。從安全上的考慮，在選擇操作系統(tǒng)時可采用一些專用的操作系統(tǒng)，這將對網(wǎng)絡(luò)系統(tǒng)的安全起到獨特的效果。②網(wǎng)絡(luò)安全：杜絕與互聯(lián)網(wǎng)相連的可能，整個系統(tǒng)網(wǎng)內(nèi)任何一個子網(wǎng)內(nèi)任何一臺計算機不得存在與互聯(lián)網(wǎng)相通情況，遠程診斷服務端計算機的安全性也不例外，這可能是一個容易忽略的問題。另外，設(shè)置防火墻是網(wǎng)絡(luò)系統(tǒng)中必不可少的條件，且需定期升級。③協(xié)議安全：協(xié)議間的相互認證是網(wǎng)絡(luò)安全的一個組成部分，采用增加協(xié)議的認證層次或區(qū)別于目前流行的通信協(xié)議等方式也是確保網(wǎng)絡(luò)安全的一個層面，軟件設(shè)計時是應該可以考慮的。④程序安全：核心程序通常由某個人或小部分人開發(fā)，軟件的維護有時就會出現(xiàn)人走茶涼的局面。⑤存儲安全：系統(tǒng)維護用的光盤、軟盤、磁帶只能是專用，需要外用的存儲設(shè)備只能出不能進。

四、結(jié)束語

綜上所述，隨著以計算機為基礎(chǔ)的現(xiàn)代信息技術(shù)對鐵路領(lǐng)域的滲透，我國鐵路信息系統(tǒng)建設(shè)取得了長足的進步與發(fā)展，為促進鐵路信系統(tǒng)信息化建設(shè)的發(fā)展發(fā)揮了巨大的推動作用；但同時也給TDCS系統(tǒng)網(wǎng)絡(luò)帶來了安全隱患與威脅，如何積極應對網(wǎng)絡(luò)安全威脅是TDCS系統(tǒng)網(wǎng)絡(luò)安全防護必須面對的挑戰(zhàn)。我們應當樹立正確的思想意識，權(quán)衡利弊，遇到問題解決問題。鑒于目前網(wǎng)絡(luò)技術(shù)在鐵路信號系統(tǒng)中運用較為廣泛的現(xiàn)實，我們必須具備與時俱進的精神，提高警惕，積極應對各種安全威脅，從而促進鐵路系統(tǒng)的信息化建設(shè)，是科技更好地為改善我們的生活而服務。

參考文獻：

[1]薄宜勇.傳感技術(shù)在鐵路信號設(shè)備中的應用[J].中國鐵路,2004,10

[2]李增海,譚侃讓.我國鐵路信號技術(shù)的發(fā)展與展望[J].科技咨詢導報,2007,24

篇7

【關(guān)鍵詞】計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)信息；網(wǎng)絡(luò)安全；策略

隨著社會的發(fā)展進步，移動互聯(lián)網(wǎng)絡(luò)已經(jīng)是被廣泛應用，涉及人們生產(chǎn)生活的多個領(lǐng)域。雖然近年來我國加大了對網(wǎng)絡(luò)安全的管理力度，但是計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題是我國信息化社會進程中存在的較為嚴重的問題，就計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題提出安全防護策略，對我國當前網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題的解決具有重要意義。

一、計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全概述

計算機網(wǎng)絡(luò)信息是借助移動互聯(lián)網(wǎng)進行信息傳遞的傳播模式，網(wǎng)絡(luò)是以虛擬形式存在的，是信息交流、存放的重要樞紐。計算機網(wǎng)絡(luò)安全是指通過各種手段保護網(wǎng)絡(luò)信息不受到威脅和破壞，保障網(wǎng)絡(luò)信息的正常使用，將安全系數(shù)降到最低，實現(xiàn)收益的最大化。

二、計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護的重要意義

從國家安全的角度講來看，做好計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護是保障國家安全和實現(xiàn)社會穩(wěn)定的重要環(huán)節(jié)，國務院辦公廳在2001年頒布了《增值電信業(yè)務網(wǎng)絡(luò)信息安全保障基本要求》，要求各行各業(yè)在發(fā)展過程中都應該遵守網(wǎng)絡(luò)信息安全條例，以保障國家的網(wǎng)絡(luò)信息安全。

從企業(yè)發(fā)展的角度來看，網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全是企業(yè)發(fā)展的前提條件，企業(yè)若想實現(xiàn)發(fā)展壯大，就必須實現(xiàn)向信息化企業(yè)的轉(zhuǎn)變，在這個過程中網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全就成為影響公司發(fā)展重要因素。所以企業(yè)只有做好網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全才能在市場競爭中生存發(fā)展，避免不必要的經(jīng)濟損失。

對于計算機用戶而言，加強網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的防護，是對用戶自身的有效保護，這樣可以保護用戶的個人隱私和信息安全。

三、威脅計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的因素

（一）網(wǎng)絡(luò)系統(tǒng)最容易被攻擊的位置是緩沖區(qū)溢出造成的網(wǎng)絡(luò)漏洞。目前，許多網(wǎng)絡(luò)系統(tǒng)沒有根據(jù)緩沖區(qū)緩沖區(qū)間的容量，就任意進行數(shù)據(jù)的接收，導致數(shù)據(jù)信息出現(xiàn)溢出的情況，系統(tǒng)由于沒有設(shè)置提示裝置會繼續(xù)運行指令。破壞著這是根據(jù)這一安全問題，向網(wǎng)絡(luò)系統(tǒng)發(fā)送專門設(shè)置的攻擊數(shù)據(jù)，導致網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定，從而借機查看訪問系統(tǒng)的統(tǒng)根目錄。

（二）對網(wǎng)絡(luò)系統(tǒng)固有的漏洞不正確的維護也會導致破壞者的攻擊，確切的說不恰當?shù)木W(wǎng)絡(luò)信息安全管理也是造成安全隱患的因素。當用戶發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞是，應該找專業(yè)人員檢查危險系數(shù)，通過專業(yè)的技術(shù)手段實施補救。雖然網(wǎng)絡(luò)系統(tǒng)在不斷地更新和維護，但是受到其他網(wǎng)絡(luò)硬件設(shè)備的影響，系統(tǒng)會不斷的出現(xiàn)新問題、新漏洞，我們必須有效的進行網(wǎng)絡(luò)信息安全管理，降低系統(tǒng)所承擔的風險。

（三）在網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的防護中，存在網(wǎng)絡(luò)系統(tǒng)設(shè)計效率低和檢測能力差的情況，也就是說網(wǎng)絡(luò)信息防護系統(tǒng)本身就很不安全，無法實現(xiàn)對問題的解決。建立網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護系統(tǒng)，必須從整個構(gòu)架的最底層入手。這個構(gòu)架可以為網(wǎng)絡(luò)信息提供有效的安全服務，并實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的妥善管理。對服務器的代碼在設(shè)計過程中也要實行有效的管理。目前，有很多網(wǎng)絡(luò)漏洞問題指出，在輸人檢查不完全時，系統(tǒng)的防護功能十分的脆弱，破壞者會利用這個弱點進行拒絕服務攻擊，這樣會導致網(wǎng)絡(luò)系統(tǒng)處在非常危險的境地，破壞了網(wǎng)絡(luò)信息的有效傳輸，也影響了信息的真實性和準確性。

四、加強計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護的具體措施

（一）首先要加強對計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護的重視。在計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護的過程中，要把網(wǎng)絡(luò)信息安全問題做為工作的重點，高度重視網(wǎng)絡(luò)安全與應急管理策略。不斷完善網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防治體系，滿足網(wǎng)絡(luò)信息安全管理的技術(shù)要求；加大對網(wǎng)絡(luò)信息安全的預警和執(zhí)行力度，建立完善的網(wǎng)絡(luò)信息安全管理體系。

（二）在生產(chǎn)生活中，重視計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護技術(shù)的使用。當前，計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護技術(shù)很多，這些技術(shù)的應用對網(wǎng)路信息和網(wǎng)絡(luò)安全具有重要作用。主要包括以下幾種防護技術(shù)：

1.防火墻技術(shù)的使用，網(wǎng)絡(luò)防火墻是一種網(wǎng)絡(luò)信息訪問控制設(shè)備，是維護網(wǎng)絡(luò)安全的重要部件，防火墻技術(shù)與網(wǎng)絡(luò)安全域不在同一個通道內(nèi)，能夠?qū)νǖ纼?nèi)的信息進行監(jiān)控和記錄，實現(xiàn)對網(wǎng)絡(luò)信息安全的保護作用。

2.病毒入侵檢測系統(tǒng)，英文名為Intrusion detection system，簡稱IDS。這種檢測系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)信息系統(tǒng)受到威脅的征兆，一旦病毒入侵檢測系統(tǒng)發(fā)現(xiàn)可疑問題會立刻顯示，通知有關(guān)人員進行處理。病毒入侵檢測系統(tǒng)是對病毒進行監(jiān)控和識別的解決方案，病毒入侵檢測系統(tǒng)是整個網(wǎng)絡(luò)系統(tǒng)的監(jiān)控系統(tǒng)，是網(wǎng)絡(luò)信息安全防護的重要組成部分。

3.病毒及惡意代碼防護技術(shù)，這種技術(shù)主要分為主機型和網(wǎng)關(guān)型兩種形態(tài)，主要是通過自身的病毒模式設(shè)定，對匹配模式的信息進行攔截，由于信息技術(shù)的發(fā)展速度較快，病毒和惡意代碼的更新速度也非常迅速，這就需要不斷調(diào)整網(wǎng)關(guān)和主機的模式，以滿足防護病毒和惡意代碼的需求。

（三）計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護工作必須由全部用戶一同參與，因為只有實現(xiàn)全民參與，才能實現(xiàn)層層落實網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全維護責任，提高每位用戶的網(wǎng)絡(luò)安全防護意識和能力。

隨著科學技術(shù)的迅速發(fā)展，計算機信息安全問題會逐漸的受到人們的重視，網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全存在的根本原因是，網(wǎng)絡(luò)自身的存在安全問題，用戶能做的是不斷提高計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護意識，加強對計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護技術(shù)的研究，這樣才能有效的的保障網(wǎng)絡(luò)信息安全，更好的維護計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全。

參考文獻：

[1]吳斌.淺談計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護策略[J].信息安全與技術(shù)，2012，06（03）：1020-1022.

篇8

關(guān)鍵詞：電力企業(yè)；信息網(wǎng)網(wǎng)絡(luò)安全；層次式防護體系

中圖分類號：TN915.08

網(wǎng)絡(luò)信息安全的問題主要包括了網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運行，網(wǎng)絡(luò)服務不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡(luò)安全就需要構(gòu)建一個層次式防護體系，這個防護體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全所面臨的各種問題，給企業(yè)一個良好的網(wǎng)絡(luò)環(huán)境。

1 信息網(wǎng)絡(luò)安全層次式防護體系的防護模式

結(jié)合電力企業(yè)的實際情況，按照層次式防護體系的防護模式，可將電力企業(yè)的網(wǎng)絡(luò)信息安全分為七大模塊，分別是入侵檢測、環(huán)境與硬件、防火墻、VPN（虛擬專用網(wǎng)）、隱患掃描、病毒防范、PKI（公開密鑰基礎(chǔ)設(shè)施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護模式的第一、二層，是對系統(tǒng)安全要求比較高的電網(wǎng)運行與安全穩(wěn)定的控制，還包含了電網(wǎng)調(diào)度自動化、繼電保護等實時網(wǎng)絡(luò)，使用防火墻隔離網(wǎng)關(guān)設(shè)備來連接信息網(wǎng)絡(luò)，這樣就可以獲取實時的系統(tǒng)數(shù)據(jù)，不過這樣仍有一個小的缺陷，就是不可能直接或間接的修改實時系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡(luò)與實時網(wǎng)絡(luò)之間在物理網(wǎng)絡(luò)層的隔離，這樣就能從根本上防護非法用戶的入侵。

另外，也可在信息網(wǎng)的Internet接入口處安裝防火墻，這種防火墻主要防止來自外部的攻擊，而且企業(yè)內(nèi)各機構(gòu)之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網(wǎng)絡(luò)內(nèi)部攻擊顯得無能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網(wǎng)關(guān)，很容易就成為網(wǎng)絡(luò)防護發(fā)展的頸瓶，不適合做過多的擴展研究。因此，還需要和層次式防護的第三層入侵檢測等相關(guān)工具聯(lián)合起來運用，這樣就能提高整個網(wǎng)絡(luò)的安全。

1.2 入侵檢測（IDS）

整個防護體系的第三層防護便是入侵檢測，入侵檢測不屬于網(wǎng)絡(luò)訪問控制設(shè)備，對通訊流量沒有任何限制，采用的是一種通過實時監(jiān)視網(wǎng)絡(luò)資源（系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動分析和尋找入侵行為的跡象，屬于一種動態(tài)的安全防護技術(shù)。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作，給網(wǎng)絡(luò)系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網(wǎng)絡(luò)系統(tǒng)提供了先進的網(wǎng)絡(luò)保護功能。同時還能在服務器及相關(guān)業(yè)務受到影響時，按照預先定義好的策略采取相應的措施。

1.3 隱患掃描

防護體系的第四層防護便是隱患掃描，隱患掃描是一個全自動化的網(wǎng)絡(luò)安全評估軟件，它以黑客的視角對被檢測的系統(tǒng)進行是否承受攻擊性的安全漏洞以及隱患掃描，同時還能夠查到可能危及網(wǎng)絡(luò)或系統(tǒng)安全的弱點，從而提出相應的維修措施，提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補漏洞，從而防患于未然，能夠預防在安全檢查中暴露出存在網(wǎng)絡(luò)系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網(wǎng)絡(luò)系統(tǒng)中運行的風險降至最低。

隱患掃描系統(tǒng)的主要應用在不同的場合和時宜，第一，對信息網(wǎng)作出定期的網(wǎng)絡(luò)安全自我檢測和評估。網(wǎng)絡(luò)管理員能夠定期的進行網(wǎng)絡(luò)安全檢查服務，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進行修補，從而優(yōu)化資源、提高網(wǎng)絡(luò)的運行效率；第二，網(wǎng)絡(luò)建設(shè)以及網(wǎng)絡(luò)改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進行安全規(guī)劃評估和成效檢測；第三，網(wǎng)絡(luò)安全隱患突發(fā)后的分析。網(wǎng)絡(luò)安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡(luò)被攻擊的漏洞所在，然后幫助修補漏洞，能夠提供盡可能多的資料來方便調(diào)查攻擊的來源。第四，重大網(wǎng)絡(luò)安全事件發(fā)生前的準備，重大網(wǎng)絡(luò)安全事件發(fā)生以前，掃描系統(tǒng)能夠及時的幫用戶找出網(wǎng)絡(luò)中存在的漏洞，并及時將其修補。

1.4 虛擬專用網(wǎng)（VPN）

防護體系的第五層就是虛擬專用網(wǎng)，其主要為電力企業(yè)上下級網(wǎng)絡(luò)和外出人員訪問企業(yè)網(wǎng)絡(luò)時提供一條安全、廉價的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動關(guān)系，這就使得VPN的網(wǎng)絡(luò)安全性大大的得到保障，VPN的網(wǎng)絡(luò)安全性也就得到了保證。不過，目前雖然實現(xiàn)VPN的網(wǎng)絡(luò)技術(shù)和方式比較多，但不是所有的VPN均可以保證公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡(luò)上建立一個具有邏輯的、點對點的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術(shù)對隧道傳輸?shù)臄?shù)據(jù)進行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎(chǔ)設(shè)施）

PKI作為防護體系的第六層具有一個廣泛的接收標準，用來保護用戶的應用和數(shù)據(jù)安全，許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎(chǔ)設(shè)施，具有許多獨特的特點，如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡化管理、其擴展性比較好、有可選擇的相關(guān)硬件支持。

1.6 對病毒的防范

對病毒的防范是防護體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件，防范病毒系統(tǒng)對網(wǎng)關(guān)、郵件系統(tǒng)、文件服務器等進行病毒防范，這就要求病毒防范系統(tǒng)做到對病毒代碼的及時更新，并保持對病毒的查殺能力。同時，當防病毒與防火墻一起聯(lián)動時，病毒防護系統(tǒng)會自動通知防火墻進行相關(guān)修改。

2 對層次式安全防護體系的規(guī)范管理

層次式安全防護體系的構(gòu)建是一個復雜的系統(tǒng)工程，包含了人力、技術(shù)、以及操作等幾大要素，在整個防護體系的運行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術(shù)操作，需要建立一道信息安全管理制度來防止安全防護系統(tǒng)在運行過程中因為內(nèi)部人員出現(xiàn)差錯而導致的各種網(wǎng)絡(luò)漏洞和安全隱患，其中建立規(guī)范的管理制度應考慮以下幾點：第一，建立對應的事故預防和應急處理方案，每天都要例行檢查備案；第二，制定嚴格的防護系統(tǒng)運行操作制度，對網(wǎng)絡(luò)設(shè)備、存儲設(shè)備以及服務器等重要部件的運行操作制定標準的操作制度，相關(guān)工作人員都必須參與進去；第三，強化對工作人員的安全教育和培訓，做好及時的安全工作；第四，建立日志式的管理制度，對每位用戶的操作和行為都以日志的形式記載在案，并進行及時的跟蹤調(diào)查和審計工作。

3 結(jié)束語

網(wǎng)絡(luò)安全防護是一個動態(tài)的系統(tǒng)工程，構(gòu)建網(wǎng)絡(luò)安全防護體系能夠有效保護電力企業(yè)信息網(wǎng)的安全，其中采取層次式安全防護體系，更是有效的將各個層次安全構(gòu)建有機的結(jié)合在一起，從而提高了整個網(wǎng)絡(luò)的安全性。

參考文獻：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護措施分析[J].電子技術(shù)與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護措施的研究與探討[J].電力信息化，2012（04）.

篇9

對于企業(yè)信息通信網(wǎng)絡(luò)環(huán)境來說，容易出現(xiàn)問題是用戶。很多企業(yè)用戶，包括高級管理人員以及其他具有訪問特權(quán)的人，每天都在網(wǎng)絡(luò)中進行各種行為，沒有安全意識中進行一些違規(guī)操作，從而企業(yè)網(wǎng)絡(luò)安全出行問題。對此，最佳的防范措施應該是開展安全知識培訓，規(guī)范用戶行為，提高安全意識。

1.1網(wǎng)絡(luò)用戶的行為管理需要規(guī)范。

網(wǎng)絡(luò)行為的根本出發(fā)點，不僅僅是對設(shè)備進行保護，也不是對數(shù)據(jù)進行監(jiān)控防范，而是規(guī)范企業(yè)員工在網(wǎng)絡(luò)中的各種行為，也就是對人的管理。規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為需要通過技術(shù)設(shè)備和規(guī)章制度的結(jié)合來進行。網(wǎng)絡(luò)中用戶的各種不規(guī)范行為主要包括：正常使用互聯(lián)網(wǎng)時訪問到被人為惡意控制的網(wǎng)站或者網(wǎng)頁。這些被控制的網(wǎng)站被黑客植入后門，方便攻擊者竊取企業(yè)的各類內(nèi)部數(shù)據(jù)或者控制其連接互聯(lián)網(wǎng)的服務器。

1.2網(wǎng)絡(luò)用戶的安全意識需要加強。

各種安全設(shè)備的建立和安全技術(shù)的應用只是企業(yè)信息通信網(wǎng)絡(luò)安全防護的一部分，關(guān)鍵是加強企業(yè)網(wǎng)絡(luò)用戶的安全意識，貫徹落實企業(yè)的安全制度。企業(yè)只依靠技術(shù)不可能完全解決自身的安全防護，因為技術(shù)在不斷發(fā)展，設(shè)備在不斷更新，黑客技術(shù)也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識，重視自己企業(yè)的安全措施。加強對員工的安全培訓，使得全體人員提高安全意識，從根本杜絕安全隱患。

2企業(yè)信息通信網(wǎng)絡(luò)的安全防護

信息通信網(wǎng)絡(luò)安全防護工作，主要包括幾個方面：安全組織、安全技術(shù)、安全運行體系。

2.1安全組織體系的構(gòu)架

信息通信網(wǎng)絡(luò)安全組織建設(shè)方面，需要建立決策、管理、協(xié)作三級組織架構(gòu)，明確各層組織的職責分工和職能，對應合理的崗位，配備相應的人員，同時根據(jù)企業(yè)信息通信網(wǎng)絡(luò)實際情況，建立起垂直和水平的溝通、協(xié)調(diào)機制。企業(yè)中有具體的人和組織來承擔安全工作，即成立專業(yè)的信息通信網(wǎng)絡(luò)安全部門，設(shè)置不同的崗位，明確對應的職責，并且賦予部門相應的權(quán)力和信任；安全部門組織專業(yè)人員制訂出安全策略來指導和規(guī)范安全工作的開展，明確哪些可以做，哪些不能做，哪些如何做，做到何種程度等等。另外需要創(chuàng)造合理的外部環(huán)境來推動安全部門的工作，建立起一套快速有效的溝通協(xié)調(diào)機制，確保安全工作的高效推動。

2.2安全技術(shù)的應用

有了安全組織制訂的安全目標和安全策略后，需要選擇合適的安全技術(shù)來滿足安全目標；這里主要分為信息通信網(wǎng)絡(luò)系統(tǒng)的整體防護和個人終端的防護。

2.2.1信息通信網(wǎng)絡(luò)系統(tǒng)的安全防護。

系統(tǒng)自身漏洞而導致的安全風險，經(jīng)常是因為信息通信網(wǎng)絡(luò)應用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序，導致企業(yè)丟失數(shù)據(jù)。因此需要建立以下防范措施：（1）部署網(wǎng)絡(luò)應用防火墻和網(wǎng)絡(luò)應用安全掃描器，重要的網(wǎng)絡(luò)應用通過各種安全認證或者許可才能進行使用，同時保證驗證程序本身的安全性。（2）時刻對系統(tǒng)進行更新，對應用程序和系統(tǒng)軟件進行補丁安裝和升級。對于客戶端漏洞有以下幾種防范措施：（1）系統(tǒng)管理員要通過相應的認證軟件攔截限制用戶訪問一些具有安全威脅的網(wǎng)頁；（2）系統(tǒng)管理員要通過相關(guān)方案防止用戶訪問含有攻擊和惡意軟件的網(wǎng)站；（3）系統(tǒng)管理員要禁止用戶從網(wǎng)上下載任何媒體播放文件；（4）系統(tǒng)管理員要通過部署相關(guān)軟件禁止外網(wǎng)訪問企業(yè)的郵件服務器；（5）禁止系統(tǒng)管理員在企業(yè)內(nèi)部服務器上使用網(wǎng)頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術(shù)層面上而言，安全問題無處不在，單一的防火墻、防病毒軟件、區(qū)域防御系統(tǒng)已經(jīng)不能滿足企業(yè)網(wǎng)的需要，為了應對網(wǎng)絡(luò)中存在的多元、多層次的安全威脅，必須首先構(gòu)建一個完備的安全體系，在體系架構(gòu)下層層設(shè)防、步步為營，才能夠?qū)踩珕栴}各個擊破，實現(xiàn)全網(wǎng)安全。安全體系架構(gòu)：由以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統(tǒng)、接入認證與強制管理平臺等多種網(wǎng)絡(luò)設(shè)備做技術(shù)支撐。從可信終端準入、資產(chǎn)管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面，構(gòu)成完善的防護體系，從而實現(xiàn)“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機、路由器、防火墻、流量控制與行為審計系統(tǒng)作為部署在網(wǎng)絡(luò)各個層面的組件，接入認證與強制管理平臺作為全網(wǎng)調(diào)度和策略分發(fā)的決策核心，通過安全聯(lián)動，從內(nèi)外兩個安全域，三個維度構(gòu)建自適應的安全體系。

2.2.2信息通信網(wǎng)絡(luò)中個人應用的安全防護。

為了更好地加強企業(yè)信息通信網(wǎng)絡(luò)安全，必須規(guī)范用戶自己的安全行為，加強個人安全意識，建立自己的計算機安全系統(tǒng)，這就需要企業(yè)每個員工做到以下幾方面的安全措施：（1）修改計算機管理員賬戶，為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。用戶要禁止所有具有管理員和備份特權(quán)的賬戶瀏覽Web，嚴禁設(shè)置缺省的Guest賬戶；（2）限制遠程管理員訪問NT平臺；（3）在域控制器上，修改注冊表設(shè)置；（4）嚴格限制域中Windows工作站上的管理員特權(quán)，嚴禁使用缺省值；（5）對于注冊表嚴格限制，只能進行本地注冊，不能遠程訪問；（6）限制打印操作員權(quán)限的人數(shù)；（7）合理配置FTP，確保服務器必須驗證所有FTP申請。在確定了安全組織和安全技術(shù)后，必須通過規(guī)范的運作過程來實施安全工作，將安全組織和安全技術(shù)有機地結(jié)合起來，形成一個相互推動、相互聯(lián)系地整體安全運行體系，最終實現(xiàn)企業(yè)信息通信網(wǎng)絡(luò)的安全防護。

3結(jié)束語

篇10

終端成為重要攻擊目標，安全防護不容忽視。在由云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)重構(gòu)的IT環(huán)境中，大量信息數(shù)據(jù)被放置到云端，傳統(tǒng)的防火墻邊界已經(jīng)不復存在，因此有人認為終端安全已經(jīng)無關(guān)緊要。然而對于多數(shù)企業(yè)來說，PC、手機、平板電腦等終端設(shè)備仍然是企業(yè)數(shù)據(jù)存放和周轉(zhuǎn)的重要節(jié)點，如果終端安全無法得到保障，這些數(shù)據(jù)也將面臨嚴重的威脅。

亞信安全產(chǎn)品經(jīng)理何莉表示：“從網(wǎng)絡(luò)安全防護實踐來看，針對終端的安全攻擊對企業(yè)的整體業(yè)務和數(shù)據(jù)安全造成了很大威脅。網(wǎng)絡(luò)攻擊者不僅可以通過入侵終端設(shè)備來竊取機密的企業(yè)信息，還有可能以終端設(shè)備作為‘跳板’發(fā)動APT攻擊，將定制化的惡意軟件散播到企業(yè)網(wǎng)絡(luò)之中，伺機執(zhí)行破壞網(wǎng)絡(luò)、竊取數(shù)據(jù)等高威脅的行動?！?/p>

提升終端安全防護能力和聯(lián)動防御成為重心之一。要提升終端安全防護能力，就必須不斷改進安全防御技術(shù)，以組成更高效、更堅不可摧的防御體系。此外，隨著終端安全威脅的復雜化，企業(yè)最好能夠綜合使用多種技術(shù)，而不是單個技術(shù)來化解威脅，這就要求企業(yè)將不同安全產(chǎn)品功能與信息進行整合，這樣有利于對安全威脅情勢進行全面準確地洞察，實現(xiàn)安全威脅的聯(lián)動防御。

除了強化對安全威脅的治理，將不同終端安全產(chǎn)品進行融合，還能顯著降低企業(yè)的安全運維難度。很多企業(yè)部署了多種終端安全產(chǎn)品來應對不同威脅，這樣雖然可以提高安全防護能力的覆蓋范圍，但是不同產(chǎn)品有著不同的技術(shù)架構(gòu)和管理方式，會大大增加安全運維的難度，還有可能產(chǎn)生產(chǎn)品兼容性題。如果能夠?qū)崿F(xiàn)融合管理，將顯著提升安全運維的效率，減少安全防御的漏洞。

對于終端安全的防護，亞信安全有終端安全管控系統(tǒng)和防毒墻網(wǎng)絡(luò)版OfficeScan兩款產(chǎn)品。其中，亞信安全終端安全管控系統(tǒng)以安全管控為核心、以運維管控為重點，可幫助企業(yè)打造全方位終端安全管理體系；亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan則以防范具體網(wǎng)絡(luò)安全威脅為重心，具備針對未來而設(shè)計的彈性架構(gòu)，可以提供惡意軟件防護、數(shù)據(jù)保護、郵件安全等安全防護功能。