引論：我們為您整理了13篇網絡安全加固建設范文，供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源，期望它們能夠激發您的創作靈感，讓您的文章更具深度。

篇1

東北財經大學經過不斷發展、完善的信息化歷程，完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統，隨著各類應用系統的不斷上線，逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面，承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內部惡意使用，還是大多數情況下內部用戶無意造成的安全隱患，都給學校的網絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2．0標準的要求，在現有的架構下對東北財經大學校園網絡進行了安全加固設計，提升了校園網主動防御、動態防御、整體防控和精準防護的能力。

1現狀及問題

在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下，學校各類業務系統在開發時難免遺留一些安全漏洞，目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備，傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統管理員權限，從而進行數據竊取和破壞，對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬，由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景，互聯網出口將會達到15Gbps帶寬以上，原有的帶寬出口網關弊端顯露：具體包括網關性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉發工作；IPv6網絡不兼容，無法平滑升級，后續無法滿足國家政策進行IPv6改造的規劃；上網審計和流量控制功能不完善，原有網關未集成上網行為審計功能，未能完全滿足網絡安全法，保障合規上網；不支持基于應用的流量控制，帶寬出口的流量控制效果不佳；對上網行為缺乏有效管理和分析手段，針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2．0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早，目前校內數據中心的絕大部分已經實現了虛擬化，主要業務系統均在虛擬機上運行，虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性，但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2．0的相關要求，提高東北財經大學數據中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：（1）構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內網的持續檢測和外部的安全風險監測能力，主要技術手段包括：網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。（3）形成全網流量與行為可視的能力。優化帶寬分配，提升師生上網體驗；過濾不良網站和違法言論，保障學生健康上網和安全上網；全面審計所有網絡行為，滿足《網絡安全法》等法律法規要求；在網絡行為可視可控的基礎之上，需要進一步形成校園網絡全局態勢可視的能力。

2網絡安全加固技術方案

按原有拓撲，將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域，并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接；校園網出口區域有多條外網線路接入，合計帶寬7Gb，為校園網提供互聯網及教育網資源訪問服務；數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統；運維管理區域主要負責對整體網絡進行統一安全管理和日志收集；校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網，存在大量PC終端供學校師生使用；另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網絡檢測等安全防護模塊，構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力，能夠實現基于IP地址、源／目的端口、應用／服務、用戶、區域／地域、時間等元素進行精細化的訪問控制規則設置；提供專業的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測；提供專業的Web應用防護能力，針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護，同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業務安全；提供內網僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結合，實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理，對校園網出口流量進行全面管控，上網行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網行為管理處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能，設備提供IPv4／IPv6雙棧協議兼容，有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計，設備選型必須能夠全面識別各種應用：（1）支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術；（2）擁有強大的應用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內容檢測：IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP／IP協議等；（5）通過P2P智能識別技術，識別出不常見、未來可能出現的P2P行為，進而封堵、流控和審計。通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時，也要提供網絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術，復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，將網流量自動匹配最佳出口。具備全面的合規審計及管控功能，支持對內網用戶的所有上網行為進行審計記錄，滿足《網絡安全法》的要求，能有效防范學生網上不良言論、訪問非法網站等高風險行為，規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統一的主機／虛擬機邏輯安全域劃分，同時實現云內流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力，實現全網風險可視，展示全網終端狀態分布，顯示當前安全事件總覽及安全時間分布全網終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發現不合規項。部署于每臺VM上的端點agent，能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環境下的兼容性問題，構建動態安全邊界。構建多維度漏斗型檢測框架，EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發現各類終端威脅。

3結語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

參考文獻

［1］李鍇淞．對于校園網絡建設及網絡安全的探討［J］．數字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網合作運營探索［J］．網絡安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網絡安全防控［J］．計算機產品與流通，2019（9）．

篇2

隨著我國國際地位的不斷提高和經濟的持續發展，我國的網絡信息和重要信息系統面臨越來越多的威脅，網絡違法犯罪持續大幅上升，計算機病毒傳播和網絡非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網絡信息安全的任務非常艱巨、繁重，加強網絡信息安全等級保護建設刻不容緩。

1 網絡信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分，如圖1所示，其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等方面。

2） 主機安全

主機系統安全是計算機設備（包括服務器、終端/工作站等）在操作系統及數據庫系統層面的安全；通過部署終端安全管理系統（TSM），準入認證網關（SACG），以及專業主機安全加固服務，可以實現等級保護對主機安全防護要求。

3） 網絡安全

網絡是保障信息系統互聯互通基礎，網絡安全防護重點是確保網絡之間合法訪問，檢測，阻止內部，外部惡意攻擊；通過部署統一威脅管理網關USG系列，入侵檢測/防御系統NIP，Anti-DDoS等網絡安全產品，為合法的用戶提供合法網絡訪問，及時發現網絡內部惡意攻擊安全威脅。

4） 應用安全

應用安全就是保護系統的各種應用程序安全運行，包括各種基本應用，如：消息發送、web瀏覽等；業務應用，如：電子商務、電子政務等；部署的文檔安全管理系統（DSM），數據庫審計UMA-DB，防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密，數據災備實現企業信息系統數據防護，降低數據因意外事故，或者丟失給造成危害。

5） 數據安全

數據安全主要是保護用戶數據、系統數據、業務數據的保護；通過對所有信息系統，網絡設備，安全設備，服務器，終端機的安全事件日志統一采集，分析，輸出各類法規要求安全事件審計報告，制定標準安全事件應急響應工單流程。

2 應用實例

近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，某醫院的核心系統按照等級保護三級標準建設信息系統安全體系，全面保護醫院內網系統與外網系統的信息安全。

醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護；通過安全域劃分，實現對不同系統的差異防護，并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示，外網是一個星型的快速以太交換網，核心為一臺高性能三層交換機，下聯內網核心交換機，上聯外網服務器區域交換機和DMZ隔離區，外聯互聯網出口路由器，內網交換機向下連接信息點（終端計算機），外網核心交換機與內網核心交換機之間采用千兆光纖鏈路，內網交換機采用百兆雙絞線鏈路下聯終端計算機，外網的網絡安全設計至關重要，直接影響到等級保護系統的安全性能。

圖 2 醫院網絡信息系統安全區域劃分圖

2.1外網網絡安全要求

系統定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇，外網網絡安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結構安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網絡設備防護（G3） 。

2.2網絡安全策略

根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求，制定相應的網絡安全策略

1） 網絡拓撲結構策略

要合理劃分網段，利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施，監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內部網絡，那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

3） 網絡入侵檢測策略

系統中應該設置入侵檢測策略，動態地監測網絡內部活動并做出及時的響應。

4） 網絡安全審計策略

系統中應該設置安全審計策略，收集并分析網絡中的訪問數據，從而發現違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網的運行安全評估流程，定期評估和加固網絡設備及安全設備。

2.3網絡安全設計

根據對醫院外網安全保護等級達到安全等級保護3級的基本要求，外網的網絡安全設計包括網絡訪問控制，網絡入侵防護，網絡安全審計和其他安全設計。

1） 網絡訪問控制

實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備，采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。

①外網互聯網邊界防火墻：在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區域和互聯網接入區域，對外網的互聯網接入提供邊界防護和訪問控制。

②對外服務區域邊界防火墻：對外服務區域與安全管理區域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區域交換機，通過雙絞線連接區域內服務器，對其他區域向對外服務區域及安全管理區域的訪問行為進行控制，同時控制兩個區域內部各服務器之間的訪問行為。

③網絡入侵防御系統：在托管機房區域邊界部署一臺網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，為托管機房區域提供邊界防護和訪問控制。

2） 網絡入侵防護

外網局域網的對外服務區域，防護級別為S2A2G2，重點要實現區域邊界處入侵和攻擊行為的檢測，因此在局域網的內部區域邊界部署網絡入侵檢測系統（天融信網絡入侵防御系統TopIDP）；對于外網托管機房的網站系統，防護級別為S3A2G3，由于其直接與互聯網相連，不僅要實現區域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯網進來的攻擊行為，因此在托管機房區域邊界部署網絡入侵防御系統（啟明星辰天闐NS2200）。

①網絡入侵防御系統：在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，其主要用來防御來自互聯網的攻擊流量。

②網絡入侵檢測系統：在外網的核心交換機上部署一臺千兆IDS系統，IDS監聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至IDS監聽端口；IDS用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行檢測。

3） 網絡安全審計

信息安全審計管理應該管理最重要的核心網絡邊界，在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量，還要對終端的互聯網訪問行為進行審計；此外重要網絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量，因此在外網的核心交換機上部署網絡行為審計系統（天融信網絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網絡審計引擎通過抓取網絡中的數據包，并對抓到的包進行分析、匹配、統計，從而實現網絡安全審計功能。

①在外網的核心交換機上部署一臺千兆網絡安全審計系統，監聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至網絡安全審計系統的監聽端口；

③網絡安全審計系統用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行安全審計；

④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。

4） 其他網絡安全設計

其他網絡安全設計包括邊界完整性檢查，惡意代碼防范，網絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網絡入侵防御系統外部接口的訪問行為；對服務器系統進行安全加固，提升系統自身的安全訪問控制能力；

②惡意代碼防范：通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網絡設備防護：網絡設備為托管機房單位提供，由其提供網絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網絡啟動和自動從網絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據，在實行安全防護系統建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據分級、分域、分系統進行安全建設的思路，針對一個特定的信息系統（醫院信息管理系統）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化，2014（4）.

篇3

（1）人為因素方面存在的安全隱患

計算機網絡技術的普及應用給官兵日常工作帶來了極大的方便，只要用一臺電腦就可以進行日常辦公。然而，消防部隊官兵網絡安全意識淡薄，缺乏安全知識，或打開網頁瀏覽網絡信息后不能及時關閉網頁，導致重要信息泄露；或數字證書使用后不能及時從電腦上取下，埋下安全隱患；或使用U盤、移動硬盤等移動數碼存儲介質時沒有進行殺毒處理，極易導致系統感染病毒或造成系統信息泄露；或不注意對殺毒軟件進行更新、升級，無法保證殺毒軟件的監控功能和查殺功能。另外，消防部隊官兵大部分不屬于計算機專業，接觸計算機網絡項目少，缺乏網絡安全維護知識，對網絡安全防護操作不了解，在系統應用過程中容易出現一機兩用、信息泄密、感染病毒等現象。消防部隊官兵網絡系統安全意識淡薄、安全防護知識缺乏為消防部隊的網絡系統埋下了極大的安全隱患。

（2）網絡基礎設施建設以及技術方面存在的安全隱患

由于受投入資金的限制，消防部分的網絡信息化建設明顯不完善，尤其是調度指揮網的建設以及各種專用網的建設均無法滿足現實需求，即沒有做到專網專機專用，在網絡安全隔離方面也沒有設置網閘、硬件防火墻等安全防護設施，而且僅僅采用雙網卡接入方式實現部分網絡的接入，使網絡系統的安全性得不到保障。另外，部分網絡為了調試方便，幾乎在電腦硬件上不設置任何防護措施，使電腦端口呈開發狀態，這樣極易給一些不法人員以可乘之機嗎，對系統實施惡意攻擊，最終導致網絡系統癱瘓。在網絡安全防護技術應用方面，在安全防護技術方面的投入不足，殺毒軟件等安全防護軟件不能及時更新、升級，系統漏洞較多，容易受到攻擊及病毒感染，甚至造成不同網絡的病毒交叉感染，最終系統癱瘓。

（3）數據存儲存方面存在的安全隱患

隨著系統數量的不斷增加，數據的存儲問題越來越突出，如何保證數據的完整性、安全性使目前要解決的重要問題。導致系統數據丟失的因素有很多，網絡硬件故障、系統管理不善或者自然災害等情況均可以導致數據丟失。消防部隊網絡系統數據存儲存在的安全風險主要體現在以下幾個方面：①操作系統和數據庫系統的安全防護能力不高，當系統造成惡意攻擊時可導致系統崩潰，進而造成數據丟失；②系統的硬件由于兼容性的限制而無法實現數據的有效備份，一旦計算機硬盤發生故障即可導致存儲數據丟失；③系統數據缺乏完善的保密機制，導致數據泄露現象頻發。

2消防部隊計算機網絡安全隱患的應對策略

2.1加強硬件防護

硬件是實現信息化建設的基礎設施，是解決網絡安全問題的關鍵所在。首先要加強機房建設，健全機房設備，建立高效的、適用的供電系統、UPS系統、防雷系統等，機房交換機設備、路由器設備要保證具有較好的穩定性性和較高的運行速度，以確保網絡通信暢通。機房服務器的運行指標要滿足一定要求，保證服務器穩定、高效運行。網閘、硬件防火墻的等設備要符合公安要求，以便實現不同網絡之間的對接，這對保證網絡的安全運行非常重要。另外，在數據存儲方面，一定要加強移動存儲介質應用的管理，移動存儲介質在對接公安網時要進行殺毒，存儲介質在確定不含機密文件的情況下才能插入如聯網。網絡建設中各種硬件設備一旦發生故障要及時維修或者更換。

2.2加強軟件防護

消防部隊的網絡建設需要安裝正版的系統軟件，一方面保證系統的性能，另一方面保證系統的安全。在數據庫的管理和應用中，需要由專業的計算機網絡管理人員進行數據庫操作，在設計數據庫的過程中要考慮到各數據之間的關系，并正確配置，對數據庫的用戶數量進行一定限制，明確不同用戶的職責范圍和使用權限，對于一些機密數據要進行加密處理。為了保證數據的完整性和有效性，要做好數據庫數據備份工作，制定完善的數據備份策略。嚴格遵守軟件的開發要求，有必要時需要關閉影響網絡安全的服務，以確保系統的安全運行。加強網絡安全技術應用，安裝殺毒軟件，設置防火墻，定期檢查和修復系統漏洞，同時注意對殺毒軟件的更新。目前應用較廣泛的計算機網絡安全防范技術有加密技術、防火墻、病毒防護技術、入侵檢測技術等。①加密技術是進行網絡安全防護的核心技術，經過多樣的研究和開發，現代加密技術基本已經實現了數據保密性、數據完整性、數據真實性以及數據可控性的完美結合，在當前的網絡信息安全管理中發揮著重要作用。②防火墻是阻擋網絡外部風險的重要措施，是一種用于加強網絡之間安全訪問控制，阻止外部網絡用戶以非法手段進入內部網絡，是一種非常有效的安全策略。根據所采用技術的不同，防火墻可分為多個類型，包括過濾性防火墻、型防火墻、監測型防火墻等等。③病毒是網絡安全的最大隱患之一，采用有效的防病毒技術可以防止病毒對計算機系統造成破壞。當前的防病毒技術主要有病毒預防技術、病毒檢測技術以及病毒消除技術等。

2.3加強管理

（1）建立健全的網絡安全防范機制

其一，制定物理隔離相關規定，并加強執行力度，以消除一機兩用的現象；其二，規范網絡安全管理和維護，局域網內需安裝網絡版防病毒軟件以及其他安全防護軟件，并進行及時更新、升級，以便最大程度消除安全隱患。其三，針對網絡病毒制定有效的應急預案，以應對大規模的病毒發作，提高系統運行性能和應急能力。

（2）對主機本身進行安全加固

服務器是網絡系統中的關鍵部分，一定因為服務器問題引發安全問題或者導致系統癱瘓將會造成不可估量的損傷，所以網絡系統的安全防護必須要重視對服務器的管理，對重點服務器進行安全加固。服務器加固的方法有多種，常見的有增打補丁、或利用安全掃描技術對系統服務器進行掃描分析，以便找出系統中潛在的安全隱患，并及時消除。另外，對重要的、安全級別較高的系統建立應急預案，同時建立數據安全策略。

（3）制定詳細的管理措施

為了進一步加強安全管理，消防部隊應根據實際需求制定比較詳細的管理細節，同時對計算機系統進行安全風險評估，通過對系統的定期分析了解系統各個層次的安全狀況以及潛在的風險，信息安全評估內容包括物理安全、網絡安全、系統安全、軟件安全、數據安全、應用安全、管理安全等等多個方面，其中尤其要重視軟件的安全，詳細分析各種安全要素，以保證系統軟件的安全應用。

（4）制定完善的訪問控制策略

有效的控制訪問策略是提高系統安全抵抗能力，缺乏系統數據安全性的重要手段。網絡系統的安全控制管理一方面要建立認證系統，為確保系統數據信息的安全性必須要加強訪問權限管理。另一方面可以充分應用IP限制技術、或者與MAC綁定技術加強系統訪問控制管理。

（5）提高全員的安全意識，加強安全知識學習

隨著網絡系統的普及應用，提高安全意識是保證網絡系統安全性的關鍵所在。其一，必須要從思想上認識到網絡安全防護的重要性，杜絕使用未經殺毒處理、或者其他來歷不明的軟件，不隨便查看、閱讀、下載網絡上來歷不明的郵件或者文件；其二，用戶應增強安全防護意識，對計算機系統要設置密碼，不使用影響系統完全的服務，取消完全共享，并定期對系統和相關軟件進行殺毒，增打補丁。其三，對全體官兵進行網絡安全知識教育和普及，并落實網絡安全責任，培養高素質的計算機網絡安全維護人才。

3結論

網絡安全防護是一個比較復雜的、需要長期堅持的任務，隨著計算機技術的快速發展，計算機病毒、網絡攻擊等威脅系統安全的技術也不斷升級、更新，讓人防不慎防范。在網絡安全問題逐漸多樣化、復雜化的趨勢性，網絡安全防護也需要從多方面加強防護措施，建立多層次的、立體的防護體系，全方位維護網絡系統的安全。

作者：李哲強 單位：呼倫貝爾市公安消防支隊司令部

引用：

[1]唐鎮.基層消防部隊網絡和信息安全問題及管理對策[J].網絡安全技術與應用，2015.

[2]郭浩.當前消防部隊網絡信息安全問題及措施分析[J].信息安全與技術，2013.

篇4

一、網絡系統架構

遵循中國石油局域網建設和運維規范，結合各地油田實際，科學規劃，從網絡架構、設備配置、系統承載能力、網絡帶寬等全面構架網絡。

網絡架構設計。按照核心層、匯聚層、接入層三層架構的設計原則，在主要油氣區設置網絡匯聚節點，提高網絡覆蓋面，滿足油氣生產需要。

網絡拓撲結構采用雙星型結構。自有電路與社會電路資源結合使用，在鏈路層面提高了油氣區網絡的可靠性和安全性。對于主要油氣區域的匯聚節點，采用網狀組網方式，增加到其他匯聚節點的千兆級電路，提高網絡冗余度。

設備配置。主干節點設備采用冗余配置。西安網絡核心、各網絡匯聚節點及重要三級節點的路由器、交換機，采用雙設備冗余配置。用設備與備份設備雙機模式工作，在系統或者硬件故障時候應用自動切換，在硬件層面提高主干網絡的安全性、可靠性。

網絡帶寬。油田的數字化管理全面展開，計算機網絡的帶寬需要按照業務需求進行規劃。將網絡業務分為生產、辦公、住宅三類，逐一預測帶寬。將主干網絡承載的主要業務生產數據按照其業務層級.從井站、作業區、廠部到公司，逐級分解，明確了主干網絡的帶寬需求，初步確定了網絡核心與各匯聚節點之間采用雙2.5Gbps鏈路互聯，三級節點至網絡匯聚節點采用1―2個1000Mbps-ff聯，核心網絡采用雙萬兆互聯的鏈路方案。為確保鏈路的可靠性，主要節點之間采用雙鏈路互聯。

二、網絡安全體系的規劃和構建

如何規劃和設計好網絡安全體系，是油田數字化管理基礎網絡建設的重中之重，也是支持各種信息化應用系統運行的關鍵所在。按照中國石油的統一規劃，各油田計算機網絡，對上，與中國石油總部內部網絡互聯，對外，可以就地通過電信運營商接入Internet。這樣就可以從結構上將網絡安全分為內部安全、外部安全進行考慮。油田在打造暢通、可靠的油田計算機主干網絡的同時，同步做好網絡安全工作，從網絡的邊界層、核心層、接入層及安全體系等方面進行統籌規劃，已初步形成了邊界嚴防護、核心重監控、桌面勤補漏、全網建體系的網絡安全管理理念。網絡安全性得到加強，非正常應用流量減少90%。在邊界層，采用防火墻及IPS技術，實現對來自外網的安全第一級防護；在網絡核心層，首次在企業網應用了流量清洗技術，不僅實現了外網第二級安全防護，還實現企業內部各個重要業務及用戶之間的流量監測及攻擊性數據清洗；在接入層，采用漏洞掃描系統，不定期對敏感業務系統進行掃描和加固，及時發現安全隱患并予以消除；在主干網方面，以建立網絡安全體系為核心，加強網絡安全管理，初步建立起了主干網的安全評估體系。

1、互聯網網絡安全。在與互聯網的接入部分，按照安全區、信息交換區、互聯網接入區三個安全區進行建設，規劃兩臺防火墻，考慮到出口網絡萬兆升級以及防火墻處理能力，同時為了降低出口網絡復雜度，選擇自帶IPS功能的防火墻，通過防火墻設備完成出口網絡

的安全防護和入侵防護功能。防火墻選型上既考慮國內產品自主知識產權的優勢、又兼顧國外產品高性能及穩定性好的特點。

2、內網安全。通過對目前業界各類安全技術的跟蹤和研究，重點按照攙D層做清洗、桌面做漏洞掃描及加固、全網進行安全體系建設三方面強化內部網絡安全建設。核心網絡流量監控及清洗。一方面，通過建立流量模型，保障主要業務。在網絡核心。采用相對串接、鏡像等方式先進的分光技術，部署旁路流量分析監管設備，通過分析網絡核心、互聯網出口等流量情況，提煉重要業務的特性，建立全網主要業務流量模型，為網絡規劃建設提供依據。對于P2P等對于網絡帶寬消耗較大的業務，設定閥值及流量管理規則，使P2P等業務對用戶網絡訪問影響降到最低。另―方面，通過對異常流量的清洗，保障核心業務及網絡的安全。針對目前在網絡中頻繁發生的病毒攻擊等行為，選擇旁路部署的網絡異常流量清洗設備，通過采用策略路由和BGP引流方式實現流量監控與異常流量的清洗，使得網絡安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據統計。2010年3月份就成功消除安全事件1600多起，較大提高了網絡的穩定性和可靠性。各類安全策略及規則庫的及時更新升級，也使得系統能應對各類新的攻擊。

3、安全評估建設及桌面漏洞掃描。在網絡核心部署漏洞掃描系統，不定期對相關業務網絡進行掃描，發現漏洞，及時進行系統加固，減少安全事件的發生，提高網絡穩定性。在此基礎上。與國家有安全資質的第三方公司合作，開展安全體系建設，逐步建立較為完善的網絡安全管理體系。

三、網絡管理

經過計算機網絡的大規模建設發展，網絡運維工作量規模成倍增長，而網絡運維人員沒有增加，如何高效運維已經成了追在眉睫的問題，通過不斷的調研和測試，我們認為目前的網絡廠家的專業化網管軟件、第三方網管軟件、國內的網絡軟件之中，第三方的較為實用，縱觀CA、HP等廠家的系統，Solarwinds成為目前比較適合單位實際，能快速高效部署和運維的一套經濟實用的系統。主要實現了以下幾個方面的開發和應用：實現對全網的網絡設備包括路由器、交換機、防火墻、服務器等的實時監測，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產品，監測參數包括CPU、內存、帶寬、會話數等；實現對各類故障的實時告警和管理，以短信等方式及時提醒運維人員；實時展現全網拓撲結構，以圖形化界面友好展示網絡暢通情況；實現對全網設備的配置自動備份，能進行配置比對，方便技術人員分析設備運行情況；量化統計分析網絡及設備的可用性等指標；靈活定制各類報表，方便決策分析和統計。通過自定義方式建立起來的資源管理，極大方便了網絡基礎數據和資料的管理。

四、結論

在近一年多的實際運維中，主干網絡未出現中斷、出口通暢，網絡可用性達到l00%。網絡整體服務能力的各項指標明顯提高：網頁平均打開時間由15ms降低到7ms；主干帶寬利用率保持

參考文獻

[1] 程澤兵. 構建油田網絡安全防護體系的研究[J]. 中國科技信息. 2005（19）

篇5

由“木桶”原理可以得知，一個木桶可以裝多少水，受到該木桶最短的那塊木板所決定。具體到信息系統的安全也是同樣的道理，整個信息系統的安全程度也受到信息系統之中最薄弱的環節所決定，網絡作為信息系統的主體，其安全需求的重要性是顯而易見的。本文主要對石油企業Cisco路由器及交換機安全加固措施進行分析，旨在為石油企業的網絡安全運行提供一定的參考依據。

1 概述

目前，很多石油企業局域網的建設全部或者部分采用Cisco（“思科”）的路由器與交換機，究其原因，筆者認為，這主要是由于該設備的功能非常強大，工作性能穩定性好，其互聯網操作系統（IOS）在網絡安全策略等方面均具有獨特的考慮，使用IOS的安全策略功能，不需要單獨地購置安全管理軟件，就能夠很好地實現絕大部分的安全功能，使得石油企業局域網運行于較安全的環境之中。

運用Cisco的路由器與交換機，構筑成為一個典型的基于第三層交換技術的高性能千兆石油企業局域網，其具體拓撲結構示意圖如圖1所示，以Catalyst-4006作為核心交換機，5臺Catalyst-2950G構成匯聚層，20臺Catalyst-2924與Catalyst-1924構成接入層，1臺4500型路由器做邊緣路由器，通過2MDDN線路與CERNET地區網絡中心相連接，1臺2511型做遠程訪問服務器，作用是提供撥號用戶使用。

應用Cisco路由器與交換機，石油企業可實現如下幾個方面的網絡安全策略：路由器安全策略、用戶主機安全策略、交換機安全策略、服務器安全策略以及網絡訪問安全策略等。

2 Cisco路由器安全加固策略

眾所周知，對于一個網絡而言，路由器是網絡的核心部分，其實際配置情況對整個網絡的正常工作與運行均具有十分重要的意義與價值，在實際過程中，應只允許授權的主機對路由器進行遠程登錄，而禁止未授權的主機進行登錄。在路由器的全局配置條件下，設置標準訪問控制表，且在全部的虛接口上進行應用，應用的方向為in，如此，就能夠很好地保證只有授權的主機遠程登錄路由器且修改其配置，實際過程中，路由器的主要配置為：

access-list 1 permit 202.115.145.66 line vty 04

access-class 1 in

表示僅允許主機202.115.145.66遠程登錄至路由器。

3 Cisco交換機安全加固策略

3.1 Cisco交換機地址的配置

為了能夠便于管理，可將交換機配置IP地址。例如可將IP地址進行配置，192.168.0.0，就能夠禁止非本企業的主機對交換機進行訪問。將企業內全部的交換機均應置于一個虛擬網絡之中（常見的為VLAN-2）之中，在交換機之中可進行如下配置：

Interface vlan 2

in address 192.168.0.3 255.255.255.0

3.2 配置允許訪問交換機的主機

經過上述的安全加固策略的實施，Cisco交換機的訪問被限制于石油企業內部，而且還能夠在石油企業內部網絡的三層交換機4006上面，將訪問控制表進行配置，將其用于Cisco交換機的虛擬網絡之中，應用的方向屬于in，僅僅允許石油企業內所指定的主機能夠訪問該交換機所在的虛擬網絡，而其他主機（如其他石油企業的主機）不能對該虛擬網絡進行訪問，那么這就阻止了其對本石油企業Cisco交換機的訪問，因此也就無法獲取本企業Cisco交換機中的任何數據。在三層交換機4006型上進行如下的配置：

access-list 10 permit 202.115.145.66

interface vlan 2

in access-group 10 in

經過上述安全加固策略的實施，只有IP地址為202.115.145.66的配置能夠訪問本石油企業局域網網絡交換機。

3.3 允許遠程登錄交換機主機的配置

允許訪問交換機的主機，應該注意對遠程登錄該交換機的過程進行限制。只允許被授權的主機進行登錄，從而對相關的配置參數加以修改。在交換機的全局配置條件下，設置標準的訪問控制表，用于虛擬接口的0～15上面，應用的方向為in。交換機上面的具體配置如下：

access-list 1 permit 202.115.145.66

line vty 0 15

access-class 1 in

如此，僅僅允許主機202.115.145.66對交換機進行遠程登錄，從而能夠修改交換機的具體配置。

4 結論

綜上所述，本研究主要對Cisco路由器與交換機在石油企業網絡之中的安全策略。若在石油企業網絡構建過程中，采用本文所提出的網絡安全解決策略，能夠很好地滿足石油企業的絕大多數安全需求，以最大程度地減少網絡建設所需的各種費用。

參考文獻

[1]張秀梅.網絡入侵防御系統的分析與設計[J].信息與電腦，2009（07）：1-2.

[2]馬麗，袁建生，王雅超.基于行為的入侵防御系統研究[J].網絡安全技術與應用，2010（06）：33-35.

[3]郭翔，謝宇飛，李銳.校園網層次型網絡安全設計[J].科技資訊，2010（9）：26.

[4]楊森.淺談思科路由器使用安全對策[J].房地產導刊，2013（7）：371-372.

[5]王均.楊善林.VLAN技術在網絡中的應用[J].電腦與信息技術，2000，（2）.

篇6

中國建材集團核心機房按照國家信息安全等級保護三級標準部署網絡及安全防護設備，網絡主干為雙鏈路結構，采用電信+聯通專線入網,具備冗余性，滿足業務高峰期需求，2臺網絡核心交換機構成雙機熱備，用于連接網絡邊界區域、服務器區域、樓層等各個區域。機房內，各區域之間部署防火墻進行訪問控制,網絡邊界部署防病毒網關、IPS入侵防御系統等安全設備對來自Internet的攻擊行為進行防護,服務器區域部署入侵檢測系統，核心交換機上部署網絡審計系統以及審計服務器，對網絡行為進行審計，辦公網絡部署上網行為管理，規避網絡違法違規風險，強化內網安全率。門戶網站及電子郵箱系統的安全防護體系按照中央企業網絡與信息安全防護標準進行設計和部署，并依據國資監管網規劃方案建設了一套專網專機分散部署的非信息系統。主要業務管理信息系統按照國家信息安全等級保護二級進行定級，重點信息系統達到國家信息安全等級保護三級管理標準，核心機房內獨立運行的信息系統全部滿足公安部對中央企業信息系統安全等級保護要求。同時定期組織內、外部專業技術力量開展信息安全檢查、信息系統安全測評、信息系統等級保護備案以及信息安全培訓工作，確保信息系統和門戶網站運行穩定，安全監控到位，杜絕發生安全責任事故。

2技術體系架構

中國建材集團嚴格按照《信息安全技術信息系統等級保護安全設計技術要求》和《信息安全技術信息系統安全等級保護基本要求》設計、采購和部署符合等級保護基本要求的安全產品，從安全計算環境、安全通信網絡、安全區域邊界、安全管理中心等方面構建起有效的安全技術保障體系。根據實際業務情況，將網絡劃分Internet接入區、DMZ區、辦公區、安全管理區、核心交換區、業務服務區共計6個安全區域，并根據業務系統的要求進行安全區域合理性劃分，各區域到核心交換機之間為獨立線路連接，數據處理系統以單機模式部署，同時按照安全風險和安全策略，具體從物理安全、網絡安全、主機安全、應用安全、數據安全進行信息安全控制。物理安全。核心機房依據國家標準GB50173－93《電子計算機機房設計規范》、GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》,從環境安全、設備安全和媒體安全三個方面進行詳細設計，嚴格按照計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、電源質量、備用電力、振動、防漏、防火、防雷和接地等要求建設，以此保證計算機信息系統各種設備的物理環境安全，同時采用有效的區域監控、防盜報警系統，阻止非法用戶的各種臨近攻擊。網絡安全。網絡主干采用雙鏈路結構，考慮業務處理能力的數據流量，冗余空間充分滿足高峰期需要，并根據業務系統服務的重要次序定義帶寬分配的優先級。合理規劃路由，業務終端與業務服務器之間建立安全路徑保證網絡結構安全。網絡區域邊界之間部署防火墻安全設備，制定嚴格的安全策略實現內外網絡和內網不同信任域之間的隔離與訪問控制，服務器區域部署防病毒網關來攔截病毒、檢測病毒和殺毒，保護操作系統安全穩定。應用IPS入侵防御系統實時監控進出網段的所有操作行為從而防止針對網絡的惡意攻擊行為，同時以滿足國家等級保護二級標準要求，通過人工加固的方式對網絡安全設備進行配置加固，實現包括身份鑒別、訪問控制、安全審計等多個方面的安全技術要求。主機安全。部署防火墻、入侵檢測、防病毒網關和漏洞掃描等安全產品進行被動主機安全防護，同時根據國家信息安全等級保護二級標準，為系統信息交換的主客體分別加安全標記，制約了操作系統原有的自主訪問控制策略（DAC），達到了強制訪問控制（MAC)，對服務器進行安全加固配置，進行資源監控、監測報警，避免服務器自身的安全漏洞被攻擊者利用，實現統一管理的主機安全防護。應用安全。應用網絡設備和安全設備自身審計功能，對設備管理日志、設備狀態日志、用戶登錄行為等進行審計。核心交換機上部署網絡審計系統和審計服務器，辦公網絡部署上網行為管理，對網絡系統中的網絡設備運行狀況、網絡流量等進行日志記錄，同時應用服務器不開放遠程協議端口號。系統全部采用正版WindowsServer2008和LinuxAS5操作系統并進行必要的安全配置、關閉非常用安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件（如WindowsNT下的LMHOST、SAM等）使用權限進行嚴格限制。加強口令字的使用，并定期給系統打補丁、系統內部的相互調用不對外公開，同時通過配備漏洞掃描系統，并有針對性地對網絡設備重新配置和升級。數據安全。數據庫系統全部購買有效授權，采取數據庫系統強口令、登錄失敗次數、操作超時等方式實現數據庫系統對身份鑒別、訪問控制要求，采用技術手段防止用戶否認其數據發送和接收行為，為數據收發雙方提供證據。應用系統針對數據存儲開發加密功能實現系統管理數據、鑒別信息和重要業務數據傳輸完整性和保密性。同時建立熱備和冷備結合的數據備份系統，保證在安全事件發生后及時有效地進行重要數據恢復。

篇7

由于門戶網站的所有硬件都托管在電信部門IDC機房，故在網絡通信方面完全利用電信部門IDC機房現有的網絡通信設備，對外出口帶寬至少為兩條100MB鏈路。

3網絡安全防護建設

政府類門戶網站的安全建設按照計算機信息系統安全等級保護三級技術標準執行。涉及內容包括：數據機房安全、網絡通信安全、主機系統安全、應用安全、數據安全幾個部分。

3.1防護對象

政府門戶網站信息網絡大致可分為管理信息區域和信息區域，管理信息區域用于支撐該系統與業務相關的內部管理信息應用數據。管理信息區域劃分為用于承載內部辦公的信息內網和用于支撐對外業務和互聯網用戶的信息外網。信息區為面向公眾的信息平臺，用于信息查詢、政策導向、公眾監督等互聯網訪問需要。

3.2設計思路

政府類門戶網站網絡安全防護體系是依據以下策略進行建設：雙網雙機：管理信息區劃分為信息內網和信息外網，內外網間采用物理隔離，信息內外網分別采用獨立的服務器，數據進行單向流動，通過人工操作實現，極大地保障了信息數據和內部網絡的安全。等級防護：管理信息系統將以實現等級保護為基本出發點進行安全防護體系建設，并參照國家等級保護基本要求進行安全防護措施設計；多層防御：在分域防護的基礎上，將各安全域的信息系統劃分為邊界、網絡、主機、應用四個層次進行安全防護設計，以實現層層遞進，縱深防御。

3.3防護措施

（1）基于網絡安全的訪問控制。在網絡邊界部署訪問控制設備，啟用訪問控制功能；根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；對進出網絡的信息內容進行過濾，實現對應用層HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制；在會話處于非活躍時間或會話結束后終止網絡連接；限制網絡最大流量數及網絡連接數；重要網段采取技術手段防止地址欺騙；按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；限制具有撥號訪問權限的用戶數量。

（2）設備和審計系統結合。對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；能夠根據記錄數據進行分析，并生成審計報表；對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等；實現對應用系統的數據訪問與操作進行全面地監控審計，可實時顯示和監視操作行為，詳細記錄所有的操作行為和操作內容，提供審計查詢和關聯分析，輸出完整地審計統計報告。

（3）基于安全事件的防護。能夠對非法接入內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

（4）檢測和主動防御的融合。在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時提供報警。

（5）病毒防御機制。在網絡邊界處對惡意代碼進行檢測和清除；維護惡意代碼庫的升級和檢測系統的更新。

（6）虛擬接入和防篡改技術。對登錄網絡設備的用戶進行身份鑒別；對網絡設備的管理員登錄地址進行限制；網絡設備用戶的標識唯一；當對網絡設備進行遠程管理時，采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；實現設備特權用戶的權限分離。通過主頁防篡改系統進一步防止黑客對門戶網站設備的入侵。

（7）主機系統防護。主機系統安全防護包括對系統內服務器及存儲設備的安全防護。服務器包括業務應用服務器、數據庫服務器、WEB服務器、文件與通信服務器等。保護主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性，采用相應的身份認證、訪問控制等手段阻止未授權訪問，采用主機防火墻、入侵檢測等技術確保主機系統的安全，進行事件日志審核以發現入侵企圖，在安全事件發生后通過對事件日志的分析進行審計追蹤，確認事件對主機的影響以進行后續處理。

3.4安全防護集成

綜上所述，政府門戶網站信息網絡的可靠運轉是基于通訊子網、計算機硬件、操作系統、各種應用軟件等各方面、各層次的良好運行。因此，其風險將來自對內部和外部的各個關鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。網絡安全體系結構主要考慮安全對象和安全機制，安全對象主要有網絡安全、系統安全、數據庫安全、信息安全、設備安全、病毒防治等。

（1）網絡出口邊界部署能夠防御DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊的下一代防火墻。保證正常訪問用戶的接入，對內網資源形成進行有效保護。

（2）網絡出口部署入侵防御系統，因為內部網絡中有很多服務器（如web服務器、通訊服務器、應用服務器集群等等），各種服務器的操作系統和數據庫在網絡通訊傳輸中存在天然的安全隱患，如對協議中的異常情況考慮不足。外部非法訪問可利用協議的漏洞對服務器發起攻擊。向服務器發送非標準或者緩沖區溢出的協議數據，從而奪取服務器控制權或者造成服務器宕機。密切跟蹤全球知名安全組織和軟件廠商的安全公告，對各種威脅進行分析、驗證，保證實時更新簽名庫，跟進安全威脅的發展狀況。不斷升級入侵防御系統檢測引擎以防護新出現的安全威脅，具備防御0-DAY攻擊能力。

（3）網絡內部署安全審計系統，在嚴格執行安全保密規定的基礎上，對整個系統的監控審計管理，保證系統的數據完整性、保密性和可信性。實時顯示和監視操作行為，詳細記錄所有的操作行為和操作內容，提供審計查詢和關聯分析，輸出完整地審計統計報告。發生安全問題時，可以從系統的審計記錄庫中快速查找違規操作活動和留下的痕跡，獲取可靠的證據信息，如果發生了安全事故也能夠快速查證并追根尋源。

（4）在門戶網站服務器前端部署web應用防火墻系統，對web服務器進行全面防護，發現并阻斷各種WEB攻擊，定期檢查網站各種安全隱患，發現問題及時預警并自動采取修補措施；實時防護各種WEB應用攻擊、DDOS攻擊、網頁木馬攻擊等行為。

（5）在Web服務器上部署網頁放篡改系統，采用HTTP請求過濾、核心內嵌等技術；提供實時阻斷、事件觸發、數字水印和應用防護四種防護措施，通過四種防護措施的合理組合達到起到更好的防護作用。在安全審計系統對Web服務器的所有操作全面監控進行告警、記錄的預防措施的前提下，形成一套有機的保護體系，在發生篡改行為后迅速恢復Web網頁內容，不影響正常訪問，避免業務中斷。

（6）網絡出口部署的防病毒網關，所有數據流都需要經過防病毒網關。因此防病毒網關能夠有效地監控進入內部網絡的流量。提供兩種方式的病毒掃描，一種傳統的掃描方式，文件完全掃描后推送給真正的接收者，主要用來保護安全需求強烈的服務器或者重要區域，另一種是邊傳輸邊緩存的方式，允許用戶實時接收數據，延時減小。

3.5網絡安全技術服務

政府門戶網站信息網絡投入運行后，如何保障系統的安全運行便成了重中之重。其中涉及的工作量巨大，技術要求亦非常高。因此，政府門戶網站常常采取安全服務外包方式聘請具備專業安全服務資質的機構進行網絡安全保障。安全服務內容主要包括以下方面：

（1）Web安全監測。針對WEB應用安全，我們所提出日常安全檢測內容需包含：XSS跨站攻擊檢測；SQL注入檢測；URL重定向檢測；FORM檢測（單表逃逸檢測）；FORM弱口令檢測；網頁木馬（惡意代碼）檢測；數據竊取檢測；GOOGLE-HACK檢測；中間人攻擊檢測；Oracle密碼暴力破解；WebSer-viceXPath注入檢測；Web2.0AJAX注入檢測；Cookies注入檢測；雜項：其他各類CGI弱點檢測，如：命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠程文件包含檢測、應用層拒絕服務檢測等。（2）數據庫安全監測。數據庫安全檢測需實現的功能：發現不安全的數據庫安裝和配置；發現數據庫弱口令；發現數據庫的變化或潛藏木馬；發現數據庫弱點和補丁的層次。從而在此基礎上形成一個綜合的分析報告及修復建議。

（3）漏洞及病毒通報.系統在運行期間，計算機病毒及安全漏洞問題將是直接威脅整個系統運行的重要因素。因此，我們需要安全服務提供商定期提供定向計算機漏洞及病毒情況通報。借此，通過對這些情況的實時動態、快速的掌握，可提高管理部門的快速響應能力。

（4）風險評估。該系統需定期進行風險評估工作。有效地借助專業安全服務提供商的力量，來檢測本系統現行情況的安全現狀。

（5）系統安全加固。安全服務提供商需指派專業人員定期針對加固的系統進行漏洞掃描、攻擊、滲透等方面的測試，確保核心設備、核心系統的加固有效性，并及時報告系統加固現狀。在業務系統上線之前檢查安全配置情況，并提供安全加固建議。安全加固是指針對政府門戶網站的服務器、安全設備的安全加固和安全配置優化，對網絡設備的安全加固建議。通過定期的加固工作，將系統的安全狀況提升到一個較高的水平。將在漏洞掃描、安全審計、滲透測試的報告結果基礎上，對服務器、安全設備等方面存在的各類脆弱性問題進行提煉歸納，提出合理的切實可行的安全加固方案。安全加固方案在提交并經過用戶方評審、許可后，進行安全加固實施，同時，必須指導、協助對各應用系統的操作系統、數據庫系統、中間件和應用程序的安全配置、安全策略和安全機制進行電子政務云計算中心加固和完善，使應用系統符合安全防護要求，保證該信息系統的安全可靠運行。

3.5.1應急響應目標

及時響應信息系統的安全緊急事件，保證事件的損失降到最小。包括如下目標：

（1）7*24*365快速響應服務（本地），提供全天候的緊急響應服務，本地在2個小時內到達現場；

（2）判定安全事件類型，從網絡流量、系統和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度：

（3）抑制事態發展，抑制事態發展是為了將事故的損害降低到最小化。在這一步中，通常會將受影響系統和服務隔離。這一點對保持系統的可用性是非常重要的；

（4）排除系統故障，針對發現的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題；

（5）恢復信息系統正常操作，在根除問題后，將已經被攻擊設備或由于事故造成的系統損壞做恢復性工作，使網絡系統能在盡可能短的時間內恢復正常的網絡服務；

（6）信息系統安全加固，對系統中發現的漏洞進行安全加固，消除安全隱患；

（7）重新評估信息系統的安全性能，重新評價系統的安全特性，確保在一定的時間范圍內，不發生同類的安全事件。

3.5.2應急響應內容

應急響應是處理各種惡意攻擊帶來的緊急破壞效果，這里包括如下方面：

（1）拒絕服務響應，當網絡遭受大量通問而造成我們正常業務無法提供服務的時候，必須采取措施，將惡意訪問抵擋在業務范圍之外；

（2）數據破壞響應，當服務器的相關環節，包括文件服務器，網站服務器，數據庫服務器等的數據被惡意破壞，導致無法正常提供服務，并且此類現象可能還會重現；

（3）病毒蠕蟲響應，當網絡遭受到病毒蠕蟲的攻擊，導致正常辦公網絡癱瘓無法正常實施業務，必須采取根治措施，去除惡意影響；

（4）其他情況應急響應，除了上面列明外，包括惡意竊聽、代碼攻擊、網絡欺騙等，需要進一步找到攻擊根源，去除漏洞。

3.6等級保護測評

聘請第三方信息安全等級保護測評公司進行網站系統相關軟硬件是否達到信息安全等級保護三級的要求，并出具測評證書。

篇8

美國等發達國家，通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善，我國的電子商務雖已初具規模，但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中，買賣雙方是通過網絡聯系的，由于internet是開放性網絡，建立交易雙方的安全和信任關系較為困難，因此本文對電子商務網絡支付上的安全問題進行探討分析。

1電子商務的概念和特點

1）電子商務的概念：電子商務（Electronic Commerce）是通過電信網絡進行的生產、營銷、銷售、流通等活動，不僅是指基于因特網上的交易，而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。

2）電子商務的特點：（1）電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流，大量減少了人力物力，降低了成本；而且突破了時間空間的限制，使得交易活動可在任何時間、任何地點進行，大大提高了效率。（2）電子商務使企業能以較低成本進入全球電子化市場，也使中小企業可能擁有與大企業一樣的信息資源，提高了中小企業的競爭能力。（3）電子商務重新定義了傳統的流通模式，減少了中間環節，使得生產者和消費者的直接交易成為可能，從而一定程度上改變了社會經濟的運行方式。（4）電子商務提供了豐富的信息資源，為社會經濟要素的重新組合提供了更多的可能，這將影響到社會的經濟布局和結構。

2電子商務安全的技術體系

1）物理安全。首先根據國家標準、信息安全等級和資金狀況，制定適合的物理安全要求，并經建設和管理達到相關標準[2]。再者，關鍵的系統資源（包括主機、應用服務器、安全隔離網閘GAP等設備），通信電路以及物理介質（軟/硬磁盤、光盤、IC卡、PC卡等）、應有加密、電磁屏蔽等保護措施，均應放在物理上安全的地方。

2）網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行，要求電子商務平臺要穩定可靠，能夠不中斷地提供服務。系統的任何中斷（如硬件、軟件錯誤，網絡故障、病毒等）都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

3）商務安全。主要是指商務交易在網絡媒介中出現的安全問題，包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴，即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現，加解密技術保證了交易信息的保密性，也解決了用戶密碼被盜取的問題；數字簽名是實現對原始報文完整性的鑒別，它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有：在線支付協議（安全套接層SSL協議和安全電子交易SET協議）、文件加密技術、數字簽名技術、電子商務認證中心（CA）。

4）系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全，總體思路是：通過安全加固，解決管理方面安全漏洞；然后采用安全技術設備，增強其安全防護能力。

3安全管理過程監督

3.1加強全過程的安全管理

1）網絡規劃階段，就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2）工程建設階段，建設管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設各個階段工作的重要內容，要加強對開發（實施）人員、版本控制的管理，要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3）在運行維護階段，要注意以下事項：(1)建立有效的安全管理組織架構，明確職責，理順流程，實施高效管理。(2)按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度，加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系，建立網絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現時便于跟蹤查詢，還要定期檢查日志，以便及時發現潛在的安全威脅。

3.2建立動態的閉環管理流程

網絡處于不斷地建設和調整中，可能發現新的安全漏洞，因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下，通過安全評估和檢測工具（如漏洞掃描，入侵檢測等）及時了解網絡存在的安全問題和安全隱患，據此制定安全建設規劃和加固方案，綜合應用各種安全防護產品（如防火墻、身份認證等手段），將系統調整到相對安全的狀態。并要注意以下兩點：1）對于一個企業而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案，保證這些系列策略規范在整個企業范圍內貫徹實施，從而保護企業的投資和信息資源安全。2）要制定完善的、符合企業實際的信息安全策略，就須先對企業信息網的安全狀況進行評估，即對信息資產的安全技術和管理現狀進行評估，讓企業對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導信息安全的建設和管理工作。

4結束語

本文分析了目前電子商務網絡支付安全方面的主要技術狀況，安全技術可以說是網絡技術中較為尖端的技術，都是非常先進的技術手段；只要運用得當，配合相應的安全管理措施，基本能夠保證電子商務中網絡支付的安全；但不是100％的絕對安全，而是相對安全。隨著網絡安全技術的進步與信用機制的完善，網絡支付定會越來越安全。

參考文獻

篇9

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術的迅速發展，世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合，旨在改變政府、企業和市民交互的方式，提高明確性、效率、靈活性和響應速度，促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發展，關注提高城市經濟和社會活動的綜合競爭力，越來越受到中國各個城市領導者的認同和肯定。

徐州市在“十二五”伊始，深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發展方式、加強社會建設與管理，解決發展深層次問題等方面的重要作用，將“智慧徐州”建設納入了未來城市發展的戰略主題，希望通過智慧徐州建設，以信息資源整合、共享、利用為抓手，健全公共服務，增進民生幸福，科技創新驅動產業轉型升級，智能手段創新城市管理模式，采約建設實現信息基礎全面領先，為把我市建設成“同類城市中環境最為秀美、文化事業最為繁榮、富民強市最為協調的江南名城”提供有力支撐。

網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網絡系統進行數據傳輸，規劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩定、高速地運行。

1 網絡安全建設

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風險也較傳統應用高出很多，因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面：

1.1 安全的網絡結構

安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業務處理時能夠有足夠的冗余空間，來滿足處理高峰業務時期帶來的需求；確保網絡各部分的帶寬能夠滿足高峰業務時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務器之間建立；按照提出需求的業務的重要性進行排序來指定分配帶寬優先級別，如果網絡發生擁堵，則優先保護重要的主機；能夠繪制出當前網絡運行情況的拓撲結構圖；參考不同部門之間的工作職能和涉及相關信息的重要程度等因素，來劃分成不同的子網和網段，與此同時在以方便管理和控制的前提下，進行地址分配；重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接，應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。

1.2 訪問控制安全

當在網絡邊界對控制設備進行訪問時，能夠啟動訪問控制功能；對實現過濾信息內容的功能，并且能對應用層的各種網絡協議實現命令級的控制；能自動根據會話的狀態信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設為端口級；能夠及時限制網絡的最大流量數和網絡的連接數量；當會話結束或非活躍狀態的會話處于一段時間后將終止網絡的連接；要采取有效的技術手段防止對重要的網段地址欺騙；能在遵守系統和用戶之間的訪問規則條件下，來決定用戶對受控系統進行資源的訪問是否被允許或拒絕，同時將單個用戶設置為控制粒度；具有撥號訪問權限的用戶數量受到限制。

在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑，政務網接入邊界安全網關：為內部區域提供邊界防護、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄；并且能夠分析所記錄的數據，生成相關的報表；為避免審計記錄受到未預期的修改、覆蓋或刪除等操作，應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。

網絡的審計安全主要內容有：為能夠有效記錄網絡設備、各區域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為，應在這些設備上開啟相應的審計功能，由安全管理員定期對日志信息和活動狀態進行分析，并發現深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯到內部網絡的非授權設備行為進行安全檢查，邊界完整性檢查要求能夠準確定出其位置，并進行有效的阻斷。

實現邊界完整性檢查的相關技術：

1）制定嚴格的檢查策略，將服務器區域在網絡設備上劃分為具有獨立功能的VLAN，同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問；

2）為提升系統自身的安全訪問控制能力，應對安全加固服務器系統采取相應措施。

1.5 入侵防范

網絡的入侵防范應能在網絡邊界處監視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區溢出攻擊等攻擊行為。當攻擊行為被檢測到時，應能記錄攻擊的時間、源IP、目的和類型，如果發生較為嚴重的入侵事件，應及時提供警報信息。通過前置防火墻實現入侵防御的功能。

1.6 惡意代碼防范

在網絡邊界處檢測和清除惡意代碼，對惡意代碼數據庫的升級和系統檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。

1.7 網絡設備的安全防護

網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址；在網絡設備用戶的標識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網絡設備對同一用戶進行身份時鑒別時，應當選擇幾種組合的鑒別技術來鑒別，避免只使用一種鑒別技術；鑒別身份的信息應不易被冒用，網絡口令應定期更換而且要有一定的復雜度，不易破解；當登錄失敗時，能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施；當網絡設備被用戶遠程管理時，能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。

網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務，根據前面的網絡結構分析，系統采用若干臺核心交換機、匯聚交換機和接入交換機，實現各個安全區域的連接。

對于網絡設備，應進行相應的安全加固：

1）將樓層接入交換機的接口安全特性開啟，并將MAC進行綁定。

2）關閉不必要的服務，包括關閉CDP、Finger服務、NTP服務、BOOTp服務（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。

4）SNMP協議設置和日志審計，包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網絡安全防護

邊界防護：在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網絡之間，智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。

區域防護：比邊界防護更小的范圍是區域防護，指在一個區域設立的安全防護措施，具體到智慧徐州信息資源樞紐工程中，區域是比較小的網段或者網絡，智慧徐州信息資源樞紐工程的區域防護技術和產品采用接入防火墻。

節點防護：節點防護主要是指系統健壯性的保護，查堵系統的漏洞，它已經具體到其中某一臺主機或服務器的防護措施，建議智慧徐州信息資源樞紐工程中的產品和節點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。

3 網絡高可用

在智慧徐州信息資源樞紐工程網絡建設中，網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩定性，在智慧徐州信息資源樞紐工程核心網絡部分，核心交換機、接入防火墻等設備全部采用冗余配置，包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務局域網互聯，與服務器接入交換機互聯。在數據應用區，服務器通過雙網卡與服務器接入交換機互聯，保障了服務器連接的高可靠性。

4 數據安全

4.1 數據安全建設

數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業務的相關數據在存儲過程中進行檢測，如檢測到數據完整性有錯誤時采取必要的恢復措施，并且能對這些數據采用加密措施，以保證數據傳輸的保密性。

對于資源共享平臺系統的數據安全及備份恢復要求如下：

1）對于鑒別信息數據存儲的保密性要求，均可以通過加強物理安全及網絡安全，并實施操作系統級數據庫加固的方式進行保護；

2）對于備份及恢復要求，配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份；

3）需要通過制定并嚴格執行備份與恢復管理制度和備份與恢復流程，加強各系統備份恢復能力。

4.2 數據安全加密傳輸（VPN）

針對數據傳輸的安全性，部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議，保證數據在傳輸過程中的端到端安全性。

4.3 數據交換過程的安全保障

平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。

平臺業務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗，校驗方法是由發送消息的業務系統提供消息的原始長度和根據某種約定的驗證碼生成規則（比如 MD5 校驗規則）生成的驗證碼。

4.4 數據交換接口安全設計

平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業務系統來說，在調用平臺的Web Service接口時使用HTTPS 協議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業務系統來說，可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。

5 安全管理體系建設

在智慧徐州信息資源樞紐工程安全保障體系建設中，應該建立相應的安全管理體系，而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下，安全技術和安全產品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理，確保重點設施的安全，應該加強安全管理體系的建設。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統進行細致的調查、評估之后，結合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導，是安全策略體系基本結構的最高層，它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。

在安全方針的指導下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內容的制定和執行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此，需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系，以跟蹤行業趨勢，監督安全標準和評估方法，并在處理安全事故時提供適當的聯絡渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統制定完善的動作體系，保證系統的安全運行。

參考文獻：

[1] 吳小坤，吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

篇10

1計算機病毒的感染途徑及發展趨勢分析

計算機感染病毒的途徑比較多，根據常見的病毒感染問題進行分析，才能夠阻絕病毒傳播的途徑。我們分析病毒傳播的主要途徑，發現網絡下載或者網頁瀏覽傳播的過程中，病毒傳播的概率最高，聯網狀態下用戶瀏覽網頁或者進行下載時，如果不小心點開了夾雜病毒的網頁，很容易被病毒攻擊。一些病毒文件依托某些非法網站存在，往往會偽裝成常見的網絡文件伺機發起攻擊。除此之外，用戶使用光盤、優盤等移動存儲介質進行文件拷貝、上傳時，病毒會隨著移動件的插拔進行傳播。病毒傳播的途徑還有電子郵件收發方面，黑客攻擊用戶好友獲取社交信息，并且采用群發含有病毒電子郵件的方式擴散計算機病毒。病毒擴散的另外一個重要途徑為局域網傳播，主要為單位、企事業機關共用局域網，在長期資源共享的模式下很容易受到病毒的交叉感染。計算機被病毒攻擊之后，往往會造成嚴重的破壞后果。最常見的破壞后果是系統(網絡)使用受限，計算機被黑客遠程操控成為了“肉雞”。在大量的病毒文件攻擊之下，用戶的瀏覽器配置被修改，個人隱私、社交軟件賬目密碼或者支付寶密碼、賬號被盜，用戶正常的網絡生活受到嚴重的影響。因此，在計算機病毒的防治活動中，用戶應該遠離不良網站的誘惑，并且在網絡下載和瀏覽時采用可被殺毒軟件信任的瀏覽器。用戶需要履行規范的安全上網操作流程，定期修補計算機系統中存在的漏洞。為了防范病毒的攻擊，用戶應該經常對殺毒系統進行升級，安裝新型的防火墻軟件抵御病毒入侵。

2應對計算機病毒的發展趨勢開展病毒防控的具體策略探究

2．1病毒查殺和危險應用隔離

在計算機病毒防控活動中，用戶應該對危險應用進行隔離，可以使用殺毒軟件對全部軟件進行檢測，對于殺毒軟件不信任的程序，應該采用危險應用沙箱隔離的方式，排除病毒傳播的安全隱患。建立可信免疫管理網絡安全平臺，對計算機病毒進行查殺和管理。其中，在系統管理安全性建設中，采取有效的防控策略確立可信任的主、客體，滿足用戶日常性的電腦操作需要。在計算機系統安全管理活動中，技術人員應該制定可信任的主、客體間的訪問規則，防止病毒程序附著于不明來源的計算機文件中對系統造成嚴重破壞。在計算機病毒防控的審計管理活動中，技術人員應該認真審計主、客體訪問的具體行為，并且要監控主客體運行時發生的狀態。當運行活動中出現異?，F象時，應該及時地地病毒攻擊進行攔截。

2．2病毒滲透控制與拓撲結構優化

建立即時的病毒事件信息處理響應機制，強化風險跟蹤和滲透測試工作的開展。在病毒蔓延的趨勢分析活動中，通過優化網絡拓撲結構可以有效地提高網絡信息系統的安全性，防止計算機病毒的滲透性危害出現擴大化問題。采用雙向網絡冗余設計可以有效地消除網絡中的環網，在針對電腦內部網絡的優化過程中，通過檢查和有效比較，確定這些網絡數據源部分是否正確，并且及時將容易遭受故障的數據部分恢復過來，從而達到降低計算機網絡故障帶來的影響目的。在可信網絡方案架構建設中，采用二層交換機接入的方式，完善網絡終端接入的渠道。在可信標示網關功能性開發活動中，對所有網絡設備的可信任性進行全盤檢查。并且在網絡輸出窗口的病毒防護中，采用大數據分析的方法，對可信邊界網關的局域網絡進行邊界限制，防止病毒滲透的風險產生。

2．3系統云安全管理平臺的建立與高危病毒查殺

在計算機病毒安全防護活動中，建立系統云數據安全管理平臺，實現對于虛擬網絡防護的需要。采用高效率的安全審計方式，對個人隱私和數據進行保護。建立虛擬節點安全防護機制，實現云安全套件中的可信任數據存儲系統建設，滿足計算機正常穩定運行的需要。在企業日常經營性網絡的深度運營維護平臺建設中，用戶應該積極采用自動化運維管理的方式，防止手動病毒檢索造成的遺漏現象產生。建立一體化態勢感知系統，將計算機病毒的防控流程進行全息展現。在事件跟蹤流程建設活動中，堅持優先處理高危病毒文件的方式，對計算機病毒進行防治處理。積極開發計算機網絡安全服務平臺建設工作，在日常性的病毒防控活動中，開展深入的風險評估工作。通過采集事件關鍵數據信息的方式，進行病毒與可信任文件的關聯性分析，按照一定的病毒查殺和處理原則進行審計取證。

3結語

在網絡安全在線防護平臺安全建設活動中，技術人員應該做好網絡防護和數據防護工作。技術人員要從應用系統防護與移動網絡防護兩個方面進行功能開發，凸顯APT安全防護效果，維護WEB界面安全，顯著提升網絡系統的病毒防御能力。在計算機核心數據庫安全防護活動中，技術人員應該做好系統盤的安全加固工作，采用代碼審計的方式，對數據庫中存在的漏洞進行彌補，打造一體化的安全防護網絡體系。

參考文獻:

［1］楊波．淺論計算機病毒的發展趨勢及其防控對策［J］．科技資訊，2011，24:130～131．

［2］葉曉夢，楊小帆．基于兩階段免疫接種的SIRS計算機病毒傳播模型［J］．計算機應用，2013，03:739～742．

篇11

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規模爆發，感染了大量的計算機，隨后會向計算機中植入敲詐勒索病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，即不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點：WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。WannaCry主要利用了微軟“視窗”系統的漏洞，以獲得自動傳播的能力，能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠程執行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設置為隱藏?！坝篮阒{”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱。“永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”。

二、油田現階段網絡結構分析

油田網絡屬于小型局域網，能夠實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。拓撲結構采用星型和樹型混合結構。采取這種拓撲結構具有傳輸速度快、網絡構形簡單、建網容易、便于控制和管理的優點。因此，局內基本上所有電腦都在使用文件共享和打印機共享，必然會開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經分析，總結出以下在平時網絡使用中可能引發的網絡安全問題：1.未能定時更新安全程序。單位所使用的操作系統多數為Windows操作系統。每隔一段時間微軟都會新的安全更新程序，用來修補系統所存在的安全漏洞。但是，很多人認為安裝更新程序耗時長，并且會造成系統運行卡頓，占用內存，因此，基本不會主動更新安全程序，甚至會關閉系統自動更新程序開關，來阻止系統進行安全程序更新。2.未能定時查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網絡傳播等。由于局內采用的是局域網，并且多臺主機之間實現文件共享，這就容易發生一臺主機癱瘓，其余主機跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點。3.安全意識不強。很多人存在僥幸心理，認為病毒的傳播沒有那么快，補丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時候查殺一下，不需要的時候干脆不去理會，這樣的行為就會有很大的安全風險，在病毒爆發的時候，由于沒有及時安裝安全更新程序或者查殺病毒，很容易發生意想不到的局面。4.沒有定期備份文件的習慣。由于單位的計算機主要用于辦公，有很多辦公需要的資料，一次性備份需要花費較長的時間，而且往往沒有如此大內存的存儲設備來備份重要文件，員工多將資料直接存儲于電腦中，即使發生資料變更也不進行備份，這就給資料的安全性帶來了風險，一旦計算機中毒，文件受損，將帶來不可挽回的局面。

三、預防措施

關于網絡安全的管理和預防，一方面，玉門油田遵從總公司的決定進行桌面安全管理系統2.0的部署，另一方面，個人也應培養良好的網絡安全意識，形成良好的網絡安全預防習慣。1.桌面安全管理系統2.0。桌面安全管理系統2.0是桌面安全管理系統1.0的升級版，新建系統加固及管控平臺兩個子系統，替換了原有的防病毒、端點準入產品，升級和優化后臺管理、補丁分發、電子文檔保護三個子系統功能，同時對以上子系統在客戶端進行了整合。（1）防病毒子系統。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時，構建企業自主控制文件黑白名單能力，實現全網文件樣本的快速發現和查殺。（2）端點準入子系統。通過定制端點準入策略、客戶端和端點準入設備有效聯動，采用旁路部署端點準入設備，對桌面計算機進行合規性檢驗，為各單位提供有效、易用的管理工具和手段，支持修復頁面跳轉和非辦公計算機例外保護，如IP電話、服務器、網絡設備等。（3）后臺管理子系統。具有計算機實名制注冊、軟硬件資產信息收集、策略下發、用戶行為審計和違規日志查詢的管理功能。通過系統進行基礎安全策略的定制，建立桌面計算機安全基礎，提供30類擴展安全策略，各單位可根據實際需求進行策略定制，深入完善桌面安全管理。（4）文檔保護子系統。與中國石油USBKey相結合，為計算機用戶提供登錄保護、重要文件處理區、文件輸出審計、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴展文檔加密功能適用范圍，實現電子文檔在創建、存儲、使用、銷毀等過程的安全保護。（5）補丁分發子系統。對微軟補丁進行人工篩選和測試后，通過補丁分發子系統實現全網桌面計算機操作系統安全統一分發和自動安裝，及時有效的降低操作系統漏洞帶來的安全隱患。此次的勒索病毒WannaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統打補丁是必須的。（6）系統加固子系統。提供安全基線和底層加固兩個功能模塊，通過統一模板控制、操作系統底層加固，實現集團公司安全基線要求在桌面計算機的強制管控，并且降低操作系統脆弱性帶來的安全風險。2.培養個人安全意識。及時更新安全補?。嚎梢栽诠倬W或使用相關安全軟件進行系統安全補丁的更新及安裝，或者選擇自動檢查與安裝。目的就是為了防止病毒利用系統漏洞進行二次攻擊。定時查殺病毒：通過殺毒軟件，如360安全衛士，定時進行病毒查殺與電腦安全診斷與防護。學習網絡安全知識，培養網絡安全意識：單位在安全培訓中，適當加入網絡安全培訓的內容，培養員工的網絡安全意識。定期備份重要文檔資料：及時整理重要的文件資料，并選取適當的存儲設備進行備份，或者將資料存放在不聯網的計算機中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關閉445端口等共享文件端口以64位Windows系統為例：在鍵盤上同時按下“WIN+R”后輸入“regedit”圖2運行窗口在注冊表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設置鍵值為“0”=圖3注冊表編輯器圖4鍵值單擊“確定”即可。（2）關閉網絡文件與打印機共享（3）安裝系統補丁

四、結論

通過分析整個油田局域網的結構和特點，以及員工日常工作使用電腦的習慣，總結出油田局域網所存在的安全隱患，員工安全意識有待提高等相關問題。及時安裝桌面安全系統2.0，提高網絡安全意識，養成良好的安全上網習慣，將有助于整個油田的網絡安全和安全生產運行。

作者:杜懿珊 單位:玉門油田信息中心

篇12

營銷業務作為“SG186”工程的業務系統之一，應用上涵蓋了新裝增容及變更用電、資產管理、計量點管理、抄表管理、核算管理、電費收繳、帳務管理、用電檢查管理、95598業務等領域，需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網公司“SG186”工程的建設標準和信息網絡等級保護要求的基礎上，結合營銷關鍵業務應用，加強信息安全防護，保障營銷系統網絡的安全運行。本文針對新疆電力營銷系統的現狀，給出了一種多層次的安全防護方案，對保障營銷系統網絡穩定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設意見。

2 新疆營銷網絡系統現狀

新疆電力營銷業務應用經過了多年的建設，目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度，在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況，主要分析了管理現狀和網絡現狀。

2.1 管理現狀

根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路，從管理的需求上來說，數據越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區。因此，營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析，管理現狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2 網絡現狀

網絡建設水平將直接影響營銷業務應用的系統架構部署，目前新疆公司信息網已經形成，實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大，部分地市公司已經全部建成光纖網絡，并且有相應的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網絡無法到達的地方，對大批量、實時的數據傳輸要求無法有效保證，通道的可靠性相對較差。

2.3 需求分析

營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房，為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜，與外部/內部單位之間存在大量敏感數據交換，使用人員涵蓋國家電網公司內部人員，外部廠商人員，公網用戶等。因此，在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]

3 關鍵技術和架構

3.1 安全防護體系架構

營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行，規范國家電網公司內部信息網員工和外部信息網用戶的行為，對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統（3維度）接入終端安全、數據傳輸安全和應用系統安全三個方面內容，以及其多個子系統組成，其體系結構如圖1所示。

圖1 營銷系統安全防護總體防護架構

3.2 接入終端安全

接入營銷網的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協議不統一，更新換代快，網絡攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管，建立完善的認證、準入和監管機制，對違規行為及時報警、處理和備案，減小終端接入給系統帶來的安全隱患。

3.3 數據傳輸安全

傳統的數據傳輸未采取加密和完整性校驗等保護措施，電力營銷數據涉及國家電網公司和用戶信息，安全等級較高，需要更有效的手段消除數據泄露、非法篡改信息等風險。

市場上常見的安全網關、防火墻、漏洞檢測設備等，都具有數據加密傳輸的功能，能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透，將可能造成營銷系統數據和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。

3.4 應用系統安全

目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制，但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統仍然面臨著安全風險。增強網絡層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應用系統的安全性。

4 安全建設

營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統網絡安全目前存在的主要問題。

4.1 終端安全加固

終端作為營銷系統使用操作的發起設備，其安全性直接關系到數據傳輸的安全，乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭，而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風險，對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理，限制和阻止非授權訪問、濫用、破壞行為。

目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同，安全防護要求和措施也不同，甚至需要根據不同的終端定制相應的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術驗證用戶身份；嚴格按權限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監控系統，監控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/ TF卡等。

4.2 網絡環境安全

網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。

4.2.1 網絡設備安全

網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括，對網絡設備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作，保證營銷管理系統域中的關鍵網絡鏈路冗余。

4.2.2 網絡傳輸安全

營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除，因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。

在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網絡專網專用的方式，保障電力通信安全。

電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路，利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。

在數據傳輸之前需要進行設備間的身份認證，在認證過程中網絡傳輸的口令信息禁止明文傳送，可通過哈希（HASH）單向運算、SSL加密、Secure Shell（SSH）加密、公鑰基礎設施（Public Key Infrastructure 簡稱PKI）等方式實現。

此外，為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時，采取有效的恢復措施。

4.2.3 網絡邊界防護

網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界，分為同一安全域內部各個子系統之間的內部邊界，和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網絡或系統，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內[3]，采用相同的安全防護措施。

加強外部網絡邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護，同時規范系統操作行為，分區域分級別加強系統保護，減少系統漏洞，提高系統內部的安全等級，從根本上提高系統的抗攻擊性。

跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密，啟動系統的加密功能或增加相應模塊實現數據加密，也可采用第三方VPN等措施實現數據加密。

4.3 主機安全

從增強主機安全的層面來增強營銷系統安全，采用虛擬專用網絡（Virtual Private Network 簡稱VPN）等技術，在用戶網頁（WEB）瀏覽器和服務器之間進行安全數據通信，提高主機自身安全性，監管主機行，減小用戶錯誤操作對系統的影響。

首先，掃描主機操作系統評估出配置錯誤項，按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固，以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統（IDS/IPS）、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。

此外，還需要制定用戶安全策略，系統用戶管理策略，定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限，限制管理員使用權限，實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4 數據庫安全

數據庫安全首要是數據存儲安全，包括敏感口令數據非明文存儲，對關鍵敏感業務數據加密存儲，本地數據備份與恢復，關鍵數據定期備份，備份介質場外存放和異地備份。當環境發生變更時，定期進行備份恢復測試，以保證所備份數據安全可靠。

數據安全管理用于數據庫管理用戶的身份認證，制定用戶安全策略，數據庫系統用戶管理策略，口令管理的相關安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權限。

數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計，并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁，提升數據庫安全。

數據庫安全控制、在數據庫安裝前，必須創建數據庫的管理員組，服務器進行訪問限制，制定監控方案的具體步驟。工具配置參數，實現同遠程數據庫之間的連接[5]。

數據庫安全恢復，在數據庫導入時，和數據庫發生故障時，數據庫數據冷備份恢復和數據庫熱備份恢復。

4.5 應用安全

應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。

4.5.1 應用系統安全防護

應用系統安全防護首先要對應用系統進行安全測評、安全加固，提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描，掃描之前應更新掃描器特征代碼；弱點掃描應在非核心業務時段進行，并制定回退計劃。依據掃描結果，及時修復所發現的漏洞，確保系統安全運行。

4.5.2 用戶接口安全防護

對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份，如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應當對口令長度、復雜度、生存周期進行強制要求。

同時，為保證用戶訪問重要業務數據過程的安全保密，用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸，如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。

4.5.3 數據接口安全防護

數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間，需要通過網絡交換或共享數據而設置的數據接口；安全域間數據接口是跨不同安全域的不同應用系統間，需要交互或共享數據而設置的數據接口。

5 安全管理

安全管理是安全建設的各項技術和措施得以實現不可缺少的保障，從制度和組織機構到安全運行、安全服務和應急安全管理，是一套標準化系統的流程規范，主要包括以下方面。

5.1 安全組織機構

建立營銷業務應用安全防護的組織機構，并將安全防護的責任落實到人，安全防護組織機構可以由專職人員負責，也可由運維人員兼職。

5.2 安全規章制度

建立安全規章制度，加強安全防護策略管理，軟件系統安全生命周期的管理，系統安全運維管理，安全審計與安全監控管理，以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。

5.3 安全運行管理

在系統上線運行過程中，遵守國家電網公司的安全管理規定，嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。

首先，系統正式上線前應進行專門的系統安全防護測試，應確認軟件系統安全配置項目準確，以使得已經設計、開發的安全防護功能正常工作。

在上線運行維護階段，應定期對系統運行情況進行全面審計，包括網絡審計、主機審計、數據庫審計，業務應用審計等。每次審計應記入審計報告，發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。

軟件升級改造可能會對原來的系統做出調整或更改，此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。

5.4 安全服務

安全服務的目的是保障系統建設過程中的各個階段的有效執行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監控系統建設的進展，確保項目建設質量和實現各項指標。

從項目立項、調研、開發到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務，包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。

5.5 安全評估

安全評估是對營銷系統潛在的風險進行評估（Risk Assessment），在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析，制定相應的策略減少或杜絕風險的發生概率。

營銷系統的安全評估主要是針對第三方使用人員，評估內容涵蓋，終端安全和接入網絡安全。根據國家電網公司安全等級標準，對核心業務系統接入網絡安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監控軟件、增加網絡安全設備、增加安全策略，包括禁止違規操作、禁止越權操作等。

5.6 應急管理

為了營銷系統7×24小時安全運行，必須建立健全快速保障體系，在系統出現突發事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應急預案，主要內容包括：明確目標或要求，設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理，明確應急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6 實施部署

營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則，結合新疆多地市不同安全級別需求的實際情況，營銷系統網絡整體安全部署如圖2所示。

在營銷系統部署中，對安全需求不同的地市子網劃分不同的安全域，網省管控平臺部署在網省信息內網，負責對所有安全防護措施的管控和策略的下發，它是不同安全級別地市子系統信息的管理控制中心，也是聯接總部展示平臺的橋梁，向國網總公司提交營銷系統安全運行的數據和報表等信息。

7 結束語

電力營銷網絡安全技術的發展伴隨電力營銷技術的發展而不斷更新，伴隨安全技術的不斷進步而不斷進步。電力營銷網絡的安全不僅僅屬于業務系統的安全范疇，也屬于網絡信息化建設范疇，其安全工作是一個系統化，多元化的工作，立足于信息內網安全，覆蓋信息外網安全和其他網絡。

本文基于新疆電力營銷系統網絡安全的現狀，結合現有安全技術和安全管理手段來提高營銷系統整體安全水平，為提升原有網絡的安全性，構造一個安全可靠的電力營銷網絡提供了一套安全解決方案，對國家電網其他具有類似需求的網省公司營銷系統網絡安全問題解決提供參考和借鑒。

參考文獻

[1]趙宏斌，陳超.電力營銷數據安全防護體系及其關鍵技術研究[J].電力信息化，2008年6卷7期：135-139.

[2]呂萍萍.當前電力企業電力營銷的現狀與安全防護保障系統構建[J].華東科技：學術版，2012年11期：282.

[3]蔣明，吳斌.電力營銷系統信息安全等級保護的研究與實踐[J].電力信息化，2009年3期：25-27.

[4]朱芳，肖忠良，趙建梅.淺析電力營銷業務應用系統的安全風險[J].黑龍江科技信息，2010年35期：153-154.

[5]李紅文.論加強電力營銷信息系統安全[J].信息通信，2012年1月：115-116.

作者簡介：劉陶（1983-），男，漢族，四川樂山，本科，技師，電力營銷稽查與實施調度。

篇13

一、成立領導小組

為進一步加強網絡信息系統安全管理工作，我鎮成立了網絡信息工作領導小組，由鎮長任組長，分管副書記任副組長，下設辦公室，做到分工明確，責任具體到人，確保網絡信息安全工作順利實施。

二、網絡安全現狀

目前我鎮共有電腦32臺，均采用防火墻對網絡進行保護，并安裝了殺毒軟件對全鎮計算機進行病毒防治。

三、網絡安全管理措施

為了做好信息化建設，規范政府信息化管理，我鎮專門制訂了《椿樹鎮網絡安全管理制度》、《椿樹鎮網絡信息安全保障工作方案》、《椿樹鎮病毒檢測和網絡安全漏洞檢測制度》等多項制度，對信息化工作管理、內部電腦安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定，進一步規范了我鎮信息安全管理工作。

針對計算機保密工作，我鎮制定了《椿樹鎮鎮信息審核、登記制度》、《椿樹鎮突發信息網絡事件應急預案》等相關制度，并定期對網站上的所有信息進行整理，未發現涉及到安全保密內容的信息;與網絡安全小組成員簽訂了《椿樹鎮網絡信息安全管理責任書》，確保計算機使用做到“誰使用、誰負責”;對我鎮內網產生的數據信息進行嚴格、規范管理，并及時存檔備份;此外，在全鎮范圍內組織相關計算機安全技術培訓，并開展有針對性的“網絡信息安全”教育及演練，積極參加其他計算機安全技術培訓，提高了網絡維護以及安全防護技能和意識，有力地保障我鎮政府信息網絡正常運行。

四、網絡安全存在的不足及整改措施

目前，我鎮網絡安全仍然存在以下幾點不足：

一是安全防范意識較為薄弱;二是病毒監控能力有待提高;三是對移動存儲介質的使用管理還不夠規范;四是遇到惡意攻擊、計算機病毒侵襲等突發事件處理能力不夠。

針對目前我鎮網絡安全方面存在的不足，提出以下幾點整改意見：

1、進一步加強網絡安全小組成員計算機操作技術、網絡安全技術方面的培訓，強化計算機操作人員對網絡病毒、信息安全威脅的防范意識，做到早發現，早報告、早處理。

2、加強干部職工在計算機技術、網絡技術方面的學習，不斷提高機關干部的計算機技術水平。

基礎設施安全隱患自查報告范文(二)

按照《XX市交通局關于開展全市重大交通基礎設施安全隱患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路處副處長劉大倫、劉志斌帶隊赴各縣、區(市)，采取檢查組重點抽查與各縣、區(市)自查結合的方式，檢查了全市管養的縣公路、鄉公路和部分村公路XX縣鄉公路橋梁情況?，F將綜合檢查情況報告如下：

一、公路檢查情況

全面檢查了縣公路68條，抽查和自查了鄉公路692條、村公路310條。查出存在安全隱患的線路有958條，需處治隱患4521處，處治隱患里程1587.464公里，需總投資4307.23萬元。沒有發現重大安全隱患。檢查資料已上報省公路局。

二、橋梁檢查情況

抽查農村公路管理養護橋梁211座(不含村道中小橋)，自查管理養護農村公路橋梁499座(不含村道中小橋)。大部分橋梁存在不同類型安全隱患的橋梁。已查出存在安全隱患的管理養護橋梁：二郎小橋、二郎大橋、兩河口二橋、兩蔑路一橋、梁蔑路二橋、官渡大橋、人仁路孔灘橋、官渡魚灣大橋、河閃渡大橋、戲子灘大橋、龍塘橋、半坎橋、樂莊橋、鹽津河大橋、兩河口大橋等，存在的隱患類型主要是超荷、地質災害、水毀等，隱患程度不一，有的僅需少量人財物即可恢復，有的需列入危橋改造工程維修加固。針對隱患的不同類型和程度，分別采取了設置超載限速標志、落實專人監管、向省公路局上報檢查資料等措施。

募溪河橋(XX縣)、青杠塘橋(XX縣)、進化新橋(XX縣)等在建橋梁、危橋維修加固橋梁未發現安全隱患。列入抽查的通村公路橋梁，以及各縣、區(市)自查通村公路橋梁，檢查中沒有發現重大安全隱患。

三、安保工程實施情況

根據省公路局“關于XX市農村公路安全保障工程設計方案的批復”(黔路復〔2019〕169號文)，我市今年18個項目的安保工程計劃，中央車購稅投資827萬元，項目涉及習水、務川、湄潭、仁懷、綏陽、余慶、桐梓、正安、XX縣及習赤公司等十個縣、區(市)，12月底完成鋼筋砼護欄14808米，波型護欄74698米，警示墩3589個，禁令和警告標志898套，地名和指路標志18套，標線4194㎡，處治隱患670處，處治隱患里程309k，完成投資827萬元。

四、水毀恢復情況

據統計，進入雨季以來，我市有41條農村公路發生水毀，工程量：損毀路基13906 m3/2365m，沖毀路面砂路87000 m2/4428m，砼或瀝青路面14261 m2/4428m;橋梁局部毀20米/1座;涵洞全毀18道，局部毀6道;擋墻15908 m3/193處，坍方259342 m3/620處，需恢復資金810.682萬元。今年共安排水毀搶險資金320萬元，主要修復路基缺口、山體滑坡造成改移線路段截12月底共完成擋墻修復23500m3， 177處，改線3.2公里，恢復水毀線路37條。

檢查表明：我市列入管理養護的農村公路及橋梁，安全形勢穩定，無安全事故，

五、下步工作安排

(一)進一步全面了解本轄區內事故事易發路段，建立安保工程數據庫。

(二)逐年安排資金消除存在安全隱患的線路。

六、存在問題及建議

(一)我市農村公路點多、線長、面廣，公路建設中未考慮安保設施，安全隱患治理資金投入少，急需治理隱患較多，為保障公路安全運行，需各級籌措資金治理現有農村安全隱患。建議今后公路改建安全設施應納入設計。

(二)汛期水毀災害有突發性和季節性特征。由于無水毀預備資金，發生災害后不能及時安排資金處治，計劃報送后，往往投資不足，造成水毀工程修復不徹底，部分路段只能設置簡易警示標志，建議安排水毀預備金。

基礎設施安全隱患自查報告范文(三)

根據南信聯發[XX]4號文件《關于開展**市電子政務網信息安全與網絡管理專項檢查的通知》文件精神，我局積極組織落實，認真對照，對網絡安全基礎設施建設情況、網絡安全防范技術情況及網絡信息安全保密管理情況進行了自查，對我局的網絡信息安全建設進行了深刻的剖析，現將自查情況報告如下：

一、加強領導，成立了網絡與信息安全工作領導小組

為進一步加強全局網絡信息系統安全管理工作，我局成立了網絡與信息系統安全保密工作領導小組，由局長任組長，下設辦公室，做到分工明確,責任具體到人。確保網絡信息安全工作順利實施。

二、我局網絡安全現狀

我局的統計信息自動化建設從一九九七年開始，經過不斷發展，逐漸由原來的小型局域網發展成為目前與國家局、自治區局以及縣區局實現四級互聯互通網絡。網絡核心采用思科7600和3600交換機，數據中心采用3com4226交換機，匯集層采用3com4226交換機、思科2924交換機和聯想天工ispirit 1208e交換機，總共可提供150多個有線接入點，目前為止已使用80個左右。數據中心骨干為千兆交換式，百兆交換到桌面。因特網出口統一由市信息辦提供，為雙百兆光纖;與自治區統計局采用2兆光纖直聯，各縣區統計局及三個開發區統計局采用天融信vpn虛擬專用網絡軟件從互聯網上連接進入到自治區統計局的網絡，vpn入口總帶寬為4兆，然后再連接到我局。橫向方面，積極推進市統計局與政府網互聯，目前已經實現與100多家市級黨政部門和12個縣區政府的光纖連接。我局采用天融信硬件防火墻對網絡進行保護，采用偉思網絡隔離卡和文件防彈衣軟件對重點計算機進行單機保護，安裝正版金山毒霸網絡版殺毒軟件，對全局計算機進行病毒防治。

三、我局網絡信息化安全管理

為了做好信息化建設，規范統計信息化管理，我局專門制訂了《**市統計局信息化規章制度》，對信息化工作管理、內部電腦安全管理、機房管理、機房環境安全管理、計算機及網絡設備管理、數據、資料和信息的安全管理、網絡安全管理、計算機操作人員管理、網站內容管理、網站維護責任等各方面都作了詳細規定，進一步規范了我局信息安全管理工作。

針對計算機保密工作，我局制定了《涉密計算機管理制度》，并由計算機使用人員簽訂了《**市統計局計算機保密工作崗位責任書》，對計算機使用做到“誰使用誰負責”;對我局內網產生的數據信息進行嚴格、規范管理。

此外，我局在全局范圍內每年都組織相關計算機安全技術培訓，計算站的同志還積極參加市信息辦及其他計算機安全技術培訓，提高了網絡維護以及安全防護技能和意識，有力地保障我局統計信息網絡正常運行。

四、網絡安全存在的不足及整改措施

目前，我局網絡安全仍然存在以下幾點不足：一是安全防范意識較為薄弱;二是病毒監控能力有待提高;三是遇到惡意攻擊、計算機病毒侵襲等突發事件處理不夠及時。