引論：我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全加固措施范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

A Survey of Network Security Risk Assessment

CHEN Jun-wei

(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)

Abstract：To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.

Key words:Network security; risk assessment; security measures

1 引言

頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注，列舉的近年來的網(wǎng)絡(luò)突發(fā)事件，不難發(fā)現(xiàn)，強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估意識(shí)、強(qiáng)化信息安全保障為當(dāng)務(wù)之急。所謂風(fēng)險(xiǎn)評(píng)估，是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，它的原理是，根據(jù)已知的安全漏洞知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)、新應(yīng)用的不斷出現(xiàn)，以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變，信息安全工作人員要不斷地評(píng)估當(dāng)前的安全威脅，并不斷對(duì)當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀

2.1 風(fēng)險(xiǎn)評(píng)估的必要性

有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ)，但有了安全產(chǎn)品，不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)。產(chǎn)品是沒有生命的，需要人來管理與維護(hù)，這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入，時(shí)時(shí)伺機(jī)進(jìn)攻。這就更要求對(duì)安全產(chǎn)品及時(shí)升級(jí)，不斷完善，實(shí)時(shí)檢測(cè)，不斷補(bǔ)漏。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的，它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃、設(shè)計(jì)和實(shí)施一定的安全策略。通常，在一個(gè)企業(yè)中，對(duì)安全技術(shù)了如指掌的人員不多，大多技術(shù)人員停留在對(duì)安全產(chǎn)品的一般使用上，如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓，他們將束手無策。這時(shí)他們需要的是安全服務(wù)。而安全評(píng)估，便是安全服務(wù)的重要前期工作。網(wǎng)絡(luò)信息安全，需要不斷評(píng)估方可安全威脅。

2.2 安全評(píng)估的目標(biāo)、原則及內(nèi)容

安全評(píng)估的目標(biāo)通常包括：確定可能對(duì)資產(chǎn)造成危害的威脅；通過對(duì)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性；對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的級(jí)別，確定哪些資產(chǎn)是最重要的；準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；明晰企業(yè)網(wǎng)的安全需求；制定網(wǎng)絡(luò)和系統(tǒng)的安全策略；制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案；指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入；通過項(xiàng)目實(shí)施和培訓(xùn)，培養(yǎng)用戶自己的安全隊(duì)伍。而在安全評(píng)估中必須遵循以下原則：標(biāo)準(zhǔn)性原則、可控性原則、整體性原則、最小影響原則、保密性原則。

安全評(píng)估的內(nèi)容包括專業(yè)安全評(píng)估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)。專業(yè)安全評(píng)估服務(wù)對(duì)目標(biāo)系統(tǒng)通過工具掃描和人工檢查，進(jìn)行專業(yè)安全的技術(shù)評(píng)定，并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告。

目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng)，主流數(shù)據(jù)庫(kù)系統(tǒng)，以及主流的網(wǎng)絡(luò)設(shè)備。使用掃描工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，提供原始評(píng)估報(bào)告或由專業(yè)安全工程師提供人工分析報(bào)告。或是人工檢查安全配置檢查、安全機(jī)制檢查、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評(píng)估結(jié)果，制定相應(yīng)的系統(tǒng)加固方案，針對(duì)不同目標(biāo)系統(tǒng)，通過打補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，合理進(jìn)行安全性加強(qiáng)。

系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出加固報(bào)告。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包，必須以選擇ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出系統(tǒng)加固報(bào)告，并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包，必須以選擇 ISMR/SSMR/HME服務(wù)包為前提，針對(duì)評(píng)估分析報(bào)告，提出系統(tǒng)加固報(bào)告，并將系統(tǒng)加固報(bào)告、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶，并由專業(yè)安全工程師實(shí)施加固工作。

3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)

討論安全評(píng)定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略，這項(xiàng)工作主要檢測(cè)當(dāng)前的安全策略是否被良好的執(zhí)行，從而發(fā)現(xiàn)系統(tǒng)中的不安全因素。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP，而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)，網(wǎng)絡(luò)安全評(píng)定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)。

評(píng)定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài)，進(jìn)行一些實(shí)際的檢測(cè)是非常必要的。最簡(jiǎn)單的，可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)，但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會(huì)禁止Trackroute流量的通過。在了解了網(wǎng)絡(luò)拓?fù)渲螅瑧?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對(duì)于可以訪問的計(jì)算機(jī)，還應(yīng)該了解其正在運(yùn)行的端口，這可以通過很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)。當(dāng)對(duì)整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后，就可以針對(duì)所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了。通常使用的方法是對(duì)協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測(cè)試。

安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求，為了提高安全防御的質(zhì)量，除了在網(wǎng)絡(luò)邊界防范外部攻擊之外，還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對(duì)各種訪問進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會(huì)從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)，包括系統(tǒng)日志、防火墻日志、入侵檢測(cè)報(bào)警等。是否能夠從這些信息中有效的識(shí)別出安全風(fēng)險(xiǎn)，是風(fēng)險(xiǎn)管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集、識(shí)別和分析，也有很多廠商開發(fā)出了整合式的安全信息管理平臺(tái)，可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動(dòng)。

數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值，被直接攻擊和盜取數(shù)據(jù)將對(duì)用戶產(chǎn)生極大的危害。正因?yàn)槿绱耍瑪?shù)據(jù)系統(tǒng)極易受到攻擊。對(duì)數(shù)據(jù)庫(kù)平臺(tái)來說，應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問，是否存在默認(rèn)用戶名密碼，密碼的強(qiáng)度是否達(dá)到策略要求等。而除了數(shù)據(jù)庫(kù)平臺(tái)之外，數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評(píng)估。不同級(jí)別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證，不但要檢驗(yàn)其是否存在安全問題，還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證，利用這些功能可以很好的完成安全評(píng)定工作并有效的與安全策略管理相集成。攻擊者的一個(gè)非常重要目的在于無需授權(quán)訪問某些應(yīng)用，而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板。事實(shí)上大部分的安全漏洞都來自于應(yīng)用層面，這使得應(yīng)用程序的安全評(píng)定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分。與更加規(guī)程化的面向體系底層的安全評(píng)定相比，應(yīng)用安全評(píng)定需要工作人員具有豐富的安全知識(shí)和堅(jiān)實(shí)的技術(shù)技能。

4 結(jié)束語

目前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作，在測(cè)試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持，已經(jīng)成為制約我國(guó)風(fēng)險(xiǎn)評(píng)估水平的重要因素。需要研究用于評(píng)價(jià)信息安全評(píng)估效用的理論和方法，總結(jié)出一套適用于我國(guó)國(guó)情的信息安全效用評(píng)價(jià)體系，以保證信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確可靠，可以為風(fēng)險(xiǎn)管理活動(dòng)提供有價(jià)值的參考；加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍建設(shè)，促使我國(guó)信息安全評(píng)估水平得到持續(xù)改進(jìn)。

參考文獻(xiàn)：

[1] 陳曉蘇，朱國(guó)勝，肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001，32-34.

[2] 賈穎禾.國(guó)務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評(píng)估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(7)，21-24.

[3] 劉恒,信息安全風(fēng)險(xiǎn)評(píng)估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系建設(shè)研討會(huì),2004.10.12.

[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社，2000.

[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1)，40-45

篇2

1.1 風(fēng)電企業(yè)信息網(wǎng)絡(luò)規(guī)劃

一般情況下，風(fēng)電公司本部均設(shè)在遠(yuǎn)離下屬風(fēng)電場(chǎng)的城市中，下屬風(fēng)電場(chǎng)只做為單純的生產(chǎn)單元，以國(guó)電云南新能源公司為例，本部設(shè)在昆明，在云南省擁有多個(gè)地州上的風(fēng)電場(chǎng)，各項(xiàng)工作點(diǎn)多面廣、戰(zhàn)線長(zhǎng)，為有效提高公司管理效率，已建成全省范圍安全可靠信息傳輸網(wǎng)絡(luò)。本部與各風(fēng)電場(chǎng)通過ISP提供的專線連接，項(xiàng)目部、外地出差、臨時(shí)辦公機(jī)構(gòu)也能通過INTERNET網(wǎng)以VPN方式聯(lián)入公司網(wǎng)絡(luò)，基本滿足公司日常管理和安全生產(chǎn)的需要。

圖1

1.2風(fēng)電企業(yè)信息網(wǎng)絡(luò)安全需求分析

從圖1可以看出，一般現(xiàn)在風(fēng)電場(chǎng)的網(wǎng)絡(luò)不僅要滿足管理的日常信息化需求，還要滿足于電網(wǎng)交換信息的需求，所以風(fēng)電場(chǎng)的網(wǎng)絡(luò)安全任務(wù)就是要符合國(guó)家和集團(tuán)的有關(guān)電力二次安全規(guī)定。嚴(yán)格執(zhí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的要求，以防范對(duì)電網(wǎng)和風(fēng)電場(chǎng)計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障其安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

2 風(fēng)電企業(yè)信息網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

2.1 網(wǎng)絡(luò)安全原則

根據(jù)國(guó)家電監(jiān)辦安全[2012]157號(hào)文《關(guān)于印發(fā)風(fēng)電、光伏和燃?xì)怆姀S二次系統(tǒng)安全防護(hù)技術(shù)規(guī)定（試行）的通知》的相關(guān)要求，風(fēng)電場(chǎng)的網(wǎng)絡(luò)二次安全防護(hù)基本原則是以下幾點(diǎn)：

2.1.1 安全分區(qū)：按照《電力二次系統(tǒng)安全防護(hù)規(guī)定》，將發(fā)電廠基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理性，重點(diǎn)保護(hù)生產(chǎn)控制以及直接影響電力生產(chǎn)運(yùn)行的系統(tǒng)。

2.1.2 網(wǎng)絡(luò)專用：電力調(diào)度數(shù)據(jù)網(wǎng)是與生產(chǎn)控制大區(qū)相連接的專用網(wǎng)絡(luò)，發(fā)電廠段的電力數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，物理上與發(fā)電廠其他管理網(wǎng)絡(luò)和外部公共信息網(wǎng)絡(luò)安全隔離。

2.1.3 橫向隔離：在生產(chǎn)控制大區(qū)域管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用橫向單向隔離裝置。

2.1.4 縱向認(rèn)證：發(fā)電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接處應(yīng)設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)證的電力專用加密認(rèn)證裝置，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。

2.2 安全部署方案

風(fēng)電場(chǎng)業(yè)務(wù)系統(tǒng)較為繁多，根據(jù)相關(guān)規(guī)定，我們對(duì)風(fēng)電場(chǎng)的業(yè)務(wù)系統(tǒng)基本分區(qū)見表1：

根據(jù)劃分結(jié)果，我們針對(duì)不同的分區(qū)之間設(shè)定了防護(hù)方案，部署示意圖如圖2：

2.2.1生產(chǎn)控制大區(qū)與管理信息大區(qū)邊界安全防護(hù)：目前公司從生產(chǎn)控制大區(qū)內(nèi)接出的數(shù)據(jù)只有風(fēng)電場(chǎng)監(jiān)控系統(tǒng)，部署了一套珠海鴻瑞生產(chǎn)的Hrwall-85M-II單比特百兆網(wǎng)閘，保證他們之間的數(shù)據(jù)是完全單向的由生產(chǎn)控制大區(qū)流向管理信息大區(qū)。

2.2.2控制區(qū)與非控制區(qū)邊界安全防護(hù)：在風(fēng)電場(chǎng)監(jiān)控系統(tǒng)與風(fēng)功率預(yù)測(cè)系統(tǒng)、狀態(tài)監(jiān)測(cè)系統(tǒng)等進(jìn)行信息交換的網(wǎng)絡(luò)邊界處安裝了防火墻和符合電網(wǎng)規(guī)定的正方向隔離裝置。

2.2.3系統(tǒng)間的安全防護(hù)：風(fēng)電場(chǎng)同屬控制區(qū)的各監(jiān)控系統(tǒng)之間采用了具有訪問控制功能的防火墻進(jìn)行邏輯隔離。

2.2.4縱向邊界防護(hù)：風(fēng)電場(chǎng)生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)之間采用了符合國(guó)家安全檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置，并配有加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，與調(diào)度段實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)和訪問控制。

2.2.5與本部網(wǎng)絡(luò)邊界安全防護(hù)：風(fēng)電場(chǎng)監(jiān)控系統(tǒng)與生產(chǎn)廠家、公司SIS系統(tǒng)之間進(jìn)行數(shù)據(jù)交換，均采用了符合國(guó)家和集團(tuán)規(guī)定的單向單比特隔離網(wǎng)閘。同時(shí)禁止廠商以任何方式遠(yuǎn)程直接接入風(fēng)電場(chǎng)網(wǎng)絡(luò)。

2.3 防病毒措施

從某種意義上說，防止病毒對(duì)網(wǎng)絡(luò)的危害關(guān)系到整個(gè)系統(tǒng)的安全。防病毒軟件要求覆蓋所有服務(wù)器及客戶端。對(duì)關(guān)鍵服務(wù)器實(shí)時(shí)查毒，對(duì)于客戶端定期進(jìn)行查毒，制定查毒策略，并備有查殺記錄。病毒防護(hù)是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必須的安全措施。病毒的防護(hù)應(yīng)該覆蓋所有生產(chǎn)控制大區(qū)和管理信息大區(qū)的主機(jī)與工作站。特別在風(fēng)電場(chǎng)要建立獨(dú)立的防病毒中心，病毒特征碼要求必須以離線的方式及時(shí)更新。

2.4 其他安全防護(hù)措施

2.4.1 數(shù)據(jù)與系統(tǒng)備份。對(duì)風(fēng)電場(chǎng)SIS系統(tǒng)和MIS系統(tǒng)等關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。

2.4.2 主機(jī)防護(hù)。主機(jī)安全防護(hù)主要的方式包括：安全配置、安全補(bǔ)丁、安全主機(jī)加固。

安全配置：通過合理地設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點(diǎn)。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機(jī)或者工作站， 嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。

安全補(bǔ)丁：通過及時(shí)更新系統(tǒng)安全補(bǔ)丁，消除系統(tǒng)內(nèi)核漏洞與后門。

主機(jī)加固：安裝主機(jī)加固軟件，強(qiáng)制進(jìn)行權(quán)限分配，保證對(duì)系統(tǒng)的資源（包括數(shù)據(jù)與進(jìn)程）的訪問符合定義的主機(jī)安全策略，防止主機(jī)權(quán)限被濫用。

3 建立健全安全管理的工作體系

安全防護(hù)工作涉及企業(yè)的建設(shè)、運(yùn)行、檢修和信息化等多個(gè)部門，是跨專業(yè)的系統(tǒng)性工作，加強(qiáng)和規(guī)范管理是確實(shí)保障電力二次系統(tǒng)的重要措施，管理到位才能杜絕許多不安全事件的發(fā)生。因此建立健全安全管理的工作體系，第一是要建立完善的安全管理制度，第二是要明確各級(jí)的人員的安全職責(zé)。

參考文獻(xiàn)

篇3

1 現(xiàn)代通信網(wǎng)絡(luò)入侵特點(diǎn)概述

犯罪分子的犯罪技術(shù)隨著現(xiàn)代化的網(wǎng)絡(luò)技術(shù)發(fā)展也水漲船高，這就給維護(hù)網(wǎng)絡(luò)安全帶來了難度。分析近幾年的網(wǎng)絡(luò)犯罪，不難發(fā)現(xiàn)當(dāng)前的網(wǎng)絡(luò)犯罪逐漸顯現(xiàn)出周期長(zhǎng)、波及范圍大、入侵方式不可預(yù)期的特點(diǎn)。知己知彼，方能百戰(zhàn)不殆，下面就這幾方面的犯罪趨勢(shì)進(jìn)行分析。

1.1 周期變長(zhǎng)

電子技術(shù)的發(fā)展也使得病毒、木馬的編寫技術(shù)也發(fā)生了巨大的變革，這些威脅因素在通信網(wǎng)絡(luò)中隱藏的時(shí)間也變得更長(zhǎng)。調(diào)查結(jié)束顯示，病毒、木馬的潛伏時(shí)間發(fā)生了質(zhì)的變化，從之前幾毫秒已經(jīng)發(fā)展到現(xiàn)今以年為單位的潛伏周期。并且隱藏的方式也可謂是無孔不入，一張圖片，一個(gè)文本，一段視頻都能成為病毒的藏身之所。

1.2 波及范圍大

網(wǎng)絡(luò)通信技術(shù)不斷的更新?lián)Q代，大大增加信息的傳播速度，但同時(shí)也無形中使得病毒的擴(kuò)散更加不易控制，現(xiàn)階段，一旦病毒被激活就有可能依托現(xiàn)在網(wǎng)絡(luò)的飛速傳輸速度，在短時(shí)間快速的傳播，使大范圍的用戶受到影響，給通信安全帶來巨大影響。

1.3 進(jìn)攻手段不可預(yù)期

現(xiàn)代電子設(shè)備類型做種多樣，和通信網(wǎng)絡(luò)相連的除了傳統(tǒng)的臺(tái)式電腦之外還有手機(jī)、平板電腦、筆記本電腦等多種更多樣的電子設(shè)備，這些設(shè)備一旦接入了通信網(wǎng)絡(luò)也就有了被入侵的可能性，也給預(yù)防入侵工作帶來了不確定性。

2 通信系統(tǒng)的主動(dòng)防御

由上文分析可見，傳統(tǒng)的防御措施無論在時(shí)效上還是范圍上，都能以適應(yīng)現(xiàn)代的通信網(wǎng)絡(luò)需求。這也就是需要網(wǎng)絡(luò)安全工作者們根據(jù)時(shí)代的特點(diǎn)，和前沿的科學(xué)技術(shù)發(fā)展出一套新的、切實(shí)可行的防御系統(tǒng)。

2.1 強(qiáng)化入侵檢測(cè)環(huán)節(jié)

現(xiàn)階段對(duì)于網(wǎng)絡(luò)完全的防御工作已經(jīng)不再是以往的被動(dòng)式防御，現(xiàn)代通信網(wǎng)絡(luò)安全系統(tǒng)能夠通過入侵檢測(cè)系統(tǒng)更加積極地實(shí)行通信網(wǎng)絡(luò)防御。入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)，并且在收集的基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)行分析操作，判斷通信網(wǎng)絡(luò)中是否暗藏了木馬或者病毒，這種積極地防御措施能夠有效的進(jìn)行清查網(wǎng)絡(luò)中已經(jīng)存在但未激活的病毒，保護(hù)通信網(wǎng)絡(luò)的正常運(yùn)行。

2.2 安全保護(hù)

傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)包括很多，分別是殺毒工具、防火墻、訪問控制列表、虛擬專用網(wǎng)等，這些技術(shù)單一部署在安全管理系統(tǒng)中時(shí)防御能力不足，因此主動(dòng)防御系統(tǒng)采用積極的防御思想，將這些技術(shù)集成在一起，實(shí)現(xiàn)網(wǎng)絡(luò)病毒、木馬的查殺，避免網(wǎng)絡(luò)木馬和病毒蔓延，防止大數(shù)據(jù)應(yīng)用中心被攻擊和感染而擾亂大數(shù)據(jù)應(yīng)用中心正常使用。

2.3 系統(tǒng)恢復(fù)

通信網(wǎng)絡(luò)運(yùn)行和操作過程中，許多網(wǎng)絡(luò)管理人員容易攜帶有病毒的U盤、硬盤接人系統(tǒng)，造成網(wǎng)絡(luò)系統(tǒng)文件受到病毒感染，并且在網(wǎng)絡(luò)中進(jìn)行傳播，導(dǎo)致通信網(wǎng)絡(luò)中心中止運(yùn)行。如果通信網(wǎng)絡(luò)系統(tǒng)一旦受到威脅，可以采用系統(tǒng)恢復(fù)技術(shù)，將系統(tǒng)恢復(fù)到一個(gè)正常的狀態(tài)。通信網(wǎng)絡(luò)系統(tǒng)恢復(fù)技術(shù)包括多種，分別是系統(tǒng)在線備份、增量備份、階段備份等，具體而言，可以單獨(dú)或融合使用這些備份技術(shù)，備份正常運(yùn)行的系統(tǒng)。通信網(wǎng)絡(luò)采用在線增量備份模式，可以定期對(duì)信息資源進(jìn)行增量備份，如果其遭受攻擊，可以將信息資源恢復(fù)到最新的備份狀態(tài)，以降低損失。

3 主動(dòng)防御在通信網(wǎng)絡(luò)安全保障中的應(yīng)用

通信網(wǎng)絡(luò)主動(dòng)防御網(wǎng)絡(luò)體系遵循策略、管理和技術(shù)相結(jié)合的原則。主動(dòng)防御網(wǎng)絡(luò)體系是在安全標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下進(jìn)行設(shè)計(jì)的，規(guī)范不僅僅包含通用規(guī)范，還包含行業(yè)安全規(guī)范，即為了通信網(wǎng)絡(luò)安全保障，制定的適應(yīng)本行業(yè)的相關(guān)規(guī)范。為了使整改系統(tǒng)的主動(dòng)防御體系發(fā)揮充分作用，必須對(duì)應(yīng)的建立相應(yīng)的安全服務(wù)體系，包括風(fēng)險(xiǎn)評(píng)估、安全加固、安全培訓(xùn)、安全巡檢、安全應(yīng)急等。風(fēng)險(xiǎn)評(píng)估評(píng)估通信網(wǎng)絡(luò)的整體安全風(fēng)險(xiǎn)。安全加固對(duì)現(xiàn)有的通信網(wǎng)絡(luò)采取適當(dāng)?shù)募庸檀胧瑥亩岣呔W(wǎng)絡(luò)安全能力。網(wǎng)絡(luò)安全的保障離不開人員的管理，安全培訓(xùn)對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)，提高相關(guān)人員的安全管理能力。安全應(yīng)急是防范網(wǎng)絡(luò)安全事件是的應(yīng)急措施，做到有備無患。網(wǎng)絡(luò)體系的主動(dòng)防御從三個(gè)層面進(jìn)行，包括終端層主動(dòng)防御、網(wǎng)絡(luò)層主動(dòng)防御、應(yīng)用層主動(dòng)防御。其中，應(yīng)用層主動(dòng)防御包括安全態(tài)勢(shì)分析與展現(xiàn)，安全策略規(guī)劃與調(diào)整，風(fēng)險(xiǎn)評(píng)價(jià)與監(jiān)控和應(yīng)急響應(yīng)聯(lián)動(dòng)。網(wǎng)絡(luò)層的主動(dòng)防御和終端層終端防御都從主動(dòng)檢測(cè)和主動(dòng)響應(yīng)恢復(fù)兩個(gè)層面來進(jìn)行主動(dòng)防御的設(shè)計(jì)。網(wǎng)絡(luò)主動(dòng)防御體系包括主動(dòng)安全檢測(cè)、主動(dòng)響應(yīng)恢復(fù)兩大部分，并且能夠構(gòu)成一個(gè)基于“檢測(cè)、響應(yīng)、恢復(fù)”的反饋控制模型，進(jìn)一步提升對(duì)網(wǎng)絡(luò)攻擊的反制能力。其中主動(dòng)檢測(cè)包括終端主動(dòng)檢測(cè)和網(wǎng)絡(luò)主動(dòng)檢測(cè)，響應(yīng)和恢復(fù)則主要采用現(xiàn)有的安全防護(hù)技術(shù)手段和產(chǎn)品，如防火墻、防病毒系統(tǒng)、主機(jī)管控系統(tǒng)等，通過調(diào)整防火墻、主機(jī)管理系統(tǒng)等的安全策略，下發(fā)病毒查殺特征碼，安裝系統(tǒng)補(bǔ)丁等方式，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的反制。

結(jié)束語

在這個(gè)時(shí)代網(wǎng)絡(luò)通信技術(shù)史無前例的方便人們的生活，但也史無前例的將人們的個(gè)人隱私、個(gè)人財(cái)產(chǎn)暴露在了網(wǎng)絡(luò)之上。在大力發(fā)展通信網(wǎng)絡(luò)技術(shù)的同時(shí)也要加強(qiáng)對(duì)于通信網(wǎng)絡(luò)的安全建設(shè)。現(xiàn)代互聯(lián)網(wǎng)的發(fā)張也催生出一系列的網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上投票的新型辦公、參政形式，由此通信網(wǎng)絡(luò)的安全運(yùn)行，不只保護(hù)了人民的財(cái)產(chǎn)安全，對(duì)于社會(huì)的正常運(yùn)行，國(guó)家的長(zhǎng)治久安都有著極其重要的意義。通信網(wǎng)絡(luò)的安全和全社會(huì)息息相關(guān)，也就需要全社會(huì)能投入大量的精力，不斷完善通信網(wǎng)絡(luò)的安全，為人民生產(chǎn)生活、國(guó)家繁榮昌盛提供有力的保證。

參考文獻(xiàn)

篇4

0.引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，各種新型的網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全的問題成為計(jì)算機(jī)網(wǎng)絡(luò)使用者和管理員們高度關(guān)注的問題。由于各行各業(yè)活動(dòng)都開始線上線下共同發(fā)展，因而網(wǎng)絡(luò)作為現(xiàn)代人們活動(dòng)的主要場(chǎng)所，其安全性也成為了現(xiàn)代社會(huì)關(guān)注的焦點(diǎn)問題之一。由于網(wǎng)絡(luò)信息交流主要依賴于數(shù)字化信息，而數(shù)字信息容易受到攻擊，而被破壞盜用，引發(fā)諸多不安全問題。傳統(tǒng)的網(wǎng)絡(luò)安全防御措施，如：查看安全日志、添加和配置網(wǎng)絡(luò)安全設(shè)備（防火墻、路由器訪問控制列表、IDS等）無法全局地分析網(wǎng)絡(luò)的安全狀況和預(yù)測(cè)網(wǎng)絡(luò)安全的態(tài)勢(shì)發(fā)展。網(wǎng)絡(luò)安全技術(shù)也在不斷變革，從傳統(tǒng)的入侵檢測(cè)、入侵防御到入侵容忍、可生存性研究等。

網(wǎng)絡(luò)安全態(tài)勢(shì)是一種通過現(xiàn)有的網(wǎng)絡(luò)信息進(jìn)行實(shí)施評(píng)估系統(tǒng)安全的研究領(lǐng)域，通過對(duì)信息的分析，為網(wǎng)絡(luò)管理員的操作提供依據(jù)，避免即將到來的網(wǎng)絡(luò)不安因素和風(fēng)險(xiǎn)，將損失降到最低，安全態(tài)勢(shì)評(píng)估準(zhǔn)確性提高，可以為網(wǎng)絡(luò)管理員決策提供更加有力的信息支持。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知NSSA（network security situ-ation awareness）是目前的研究熱點(diǎn)，它能實(shí)時(shí)感知安全風(fēng)險(xiǎn)，使安全分析員可以掌握網(wǎng)絡(luò)安全狀況，從而為準(zhǔn)確決策提供可靠依據(jù)，將安全事件帶來的風(fēng)險(xiǎn)和損失降低到最低限度。網(wǎng)絡(luò)安全態(tài)勢(shì)感知通過分析威脅傳播對(duì)網(wǎng)絡(luò)系統(tǒng)的影響，對(duì)系統(tǒng)的安全性進(jìn)行全面、準(zhǔn)確地評(píng)估，并提供出對(duì)應(yīng)的系統(tǒng)加固方法，通過不同的數(shù)據(jù)模型進(jìn)行相關(guān)算法的優(yōu)化分析，有效地抑制威脅的擴(kuò)散。

1.基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

空間數(shù)據(jù)發(fā)覺理論是針對(duì)實(shí)體的幾何形狀、物理位置、拓?fù)浣Y(jié)構(gòu)、維度等進(jìn)行研究的空間特性的理論和方法，早期主要應(yīng)用于環(huán)境研究、地理信息系統(tǒng)、交通控制、醫(yī)學(xué)影像識(shí)別等領(lǐng)域。后來，由于具有空間特性的網(wǎng)絡(luò)數(shù)據(jù)也逐漸被引用到網(wǎng)絡(luò)安全領(lǐng)域中了。

基于時(shí)間維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)模型對(duì)已經(jīng)出現(xiàn)的攻擊序列Asi進(jìn)行攻擊追蹤分析，在攻已成功實(shí)施攻擊的情況下，不存在繼續(xù)被攻擊序列利用的脆弱性，所以該攻擊序列不會(huì)再發(fā)生變化；其次，對(duì)已攻擊序列進(jìn)行時(shí)間序列的分析，由于時(shí)空維度模型（ARMA）在安全態(tài)勢(shì)領(lǐng)域的預(yù)測(cè)結(jié)果誤差較小，所以選用ARMA模型進(jìn)行分析。ARMA模型首先進(jìn)行平穩(wěn)性檢測(cè)。

基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，從網(wǎng)絡(luò)體系中的進(jìn)攻方、防御方、環(huán)境三方進(jìn)行安全態(tài)勢(shì)的要素集收集，然后在時(shí)空維度上進(jìn)行對(duì)未來各個(gè)時(shí)間段內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)要素集的預(yù)測(cè)，并根據(jù)要素集之間的關(guān)聯(lián)性在空間維度模型上進(jìn)行數(shù)據(jù)發(fā)掘計(jì)算網(wǎng)絡(luò)的安全態(tài)勢(shì)。最后利用公用數(shù)據(jù)集DARPA進(jìn)行結(jié)果驗(yàn)證，證明基于時(shí)間維度的感知模型是可以提高安全態(tài)勢(shì)的預(yù)測(cè)能力的。

2.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

傳統(tǒng)認(rèn)知態(tài)勢(shì)感知的核心是對(duì)態(tài)勢(shì)量化進(jìn)行評(píng)估。我們首先要對(duì)數(shù)據(jù)進(jìn)行采集，將其中檢測(cè)出的安全類數(shù)據(jù)進(jìn)行融合并進(jìn)行歸類，如：威脅集合、信息集合、脆弱性集合和網(wǎng)絡(luò)架構(gòu)等信息。將這部分?jǐn)?shù)據(jù)進(jìn)行格式規(guī)范化并保存在數(shù)據(jù)庫(kù)中，這樣就可以進(jìn)行數(shù)據(jù)地實(shí)時(shí)操作了；其次，對(duì)集合中的每個(gè)威脅元素建立TPN；并對(duì)用戶、管理者、威脅進(jìn)行Markov模型的博弈分析，評(píng)估單個(gè)威脅的保密性態(tài)勢(shì)以此來給出優(yōu)化的系統(tǒng)加固方案；最終，對(duì)威脅集合中的保密性態(tài)勢(shì)進(jìn)行綜合分析進(jìn)而評(píng)估系統(tǒng)的保密性安全態(tài)勢(shì)；同理，我們可以評(píng)估系統(tǒng)的可用性態(tài)勢(shì)和完整性態(tài)勢(shì)。針對(duì)不同的網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境和需求，對(duì)系統(tǒng)的完整性、保密性、安全性、可用性態(tài)勢(shì)加權(quán)，以此評(píng)估整個(gè)系統(tǒng)當(dāng)前的安全態(tài)勢(shì)情況。

系統(tǒng)在不同的時(shí)間段內(nèi)安全態(tài)勢(shì)是相互關(guān)聯(lián)的，態(tài)勢(shì)預(yù)測(cè)模塊以態(tài)勢(shì)評(píng)估結(jié)果為基礎(chǔ)。我們可以利用此種相關(guān)聯(lián)的態(tài)勢(shì)變化規(guī)律結(jié)果進(jìn)行分析和預(yù)測(cè)。

Markov博弈模型通過態(tài)勢(shì)評(píng)估將資產(chǎn)、威脅、脆弱性之間的關(guān)系進(jìn)行了詳細(xì)地描述，評(píng)估結(jié)果準(zhǔn)確、全面、具有科學(xué)客觀性，為管理者提供的系統(tǒng)加固方案能很好地針對(duì)具體的某個(gè)威脅找到其路徑和節(jié)點(diǎn)，有效地提供了系統(tǒng)安全性、抑制了威脅的擴(kuò)散。

3.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

BP神經(jīng)網(wǎng)絡(luò)模型的并行處理能力，自適應(yīng)性相對(duì)較強(qiáng)，因而靈活性相對(duì)較高，能夠利用任意精度處理函數(shù)關(guān)系。除此之外，由于不確定的非線性態(tài)勢(shì)值，傳統(tǒng)模型的預(yù)測(cè)結(jié)果誤差相對(duì)較大。RBF網(wǎng)絡(luò)在對(duì)復(fù)雜系統(tǒng)的描述中，可以進(jìn)行非線性系統(tǒng)描述，因而在網(wǎng)絡(luò)安全預(yù)測(cè)中可以發(fā)揮巨大的作用，因此神經(jīng)網(wǎng)絡(luò)參數(shù)優(yōu)化可以通過遺傳算法進(jìn)行。

RBF態(tài)勢(shì)預(yù)測(cè)模型最主要進(jìn)行基函數(shù)中心、寬度的計(jì)算以及隱節(jié)點(diǎn)數(shù)目和隱層的計(jì)算，從而降低預(yù)測(cè)誤差，建立相對(duì)精確到網(wǎng)絡(luò)。遺傳算法的全局搜索性相對(duì)較高，因而局部極值出現(xiàn)的可能性有效降低，基于這一點(diǎn)，RBF網(wǎng)絡(luò)利用遺傳算法可以有效優(yōu)化參數(shù)、結(jié)構(gòu)。

基于BP神經(jīng)網(wǎng)絡(luò)評(píng)估模型，引入了遺傳算法，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)相關(guān)參數(shù)進(jìn)行有效優(yōu)化，從而提高態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性、有效性。

結(jié)語

本文綜述了3種基于數(shù)學(xué)模型建立的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，從網(wǎng)絡(luò)安全態(tài)勢(shì)感知的預(yù)測(cè)、發(fā)現(xiàn)、解決、系統(tǒng)的加固給出了具體的方法，針對(duì)不同算法的優(yōu)化進(jìn)行了簡(jiǎn)要的描述。在實(shí)際網(wǎng)絡(luò)應(yīng)用中應(yīng)根據(jù)不同的情況進(jìn)行感知系統(tǒng)的選擇。

參考文獻(xiàn)

篇5

天梭的核心產(chǎn)品涉及Web應(yīng)用防火墻，專利級(jí)Web入侵異常檢測(cè)技術(shù)，對(duì)Web應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的Web應(yīng)用黑客攻擊 （如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等）。

Web弱點(diǎn)掃描器：以Web漏洞風(fēng)險(xiǎn)為導(dǎo)向，通過對(duì)Web應(yīng)用（包括Web2.0、JavaScript、Flash等）進(jìn)行深度遍歷，以安全風(fēng)險(xiǎn)管理為基礎(chǔ)，支持各類web應(yīng)用程序的掃描。

智能流量管理系統(tǒng)：作為業(yè)界領(lǐng)先的應(yīng)用優(yōu)化與流量管控解決方案，Maxnet AOS以DPI（ Deep Packet Inspect，深度包檢測(cè)）和DFI （Deep/Dynamic Flow Inspection，深度流行為檢測(cè)）技術(shù)為核心，結(jié)合帶寬自動(dòng)分配算法、令牌桶算法、隨機(jī)公平隊(duì)列等技術(shù)， 能夠全面識(shí)別和控制包括P2P、VoIP、視頻流媒體、HTTP、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫(kù)及中間件等在內(nèi)的多種應(yīng)用，提供虛擬帶寬通道劃分、 最大帶寬限制、保證帶寬、帶寬租借、應(yīng)用優(yōu)先級(jí)、Per-IP帶寬控制、Per-Net帶寬控制、隨機(jī)公平隊(duì)列等一系列帶寬管理功能，為用戶提供主動(dòng)式、智能化、可視化的帶寬管理服務(wù)，為用戶應(yīng)用優(yōu)化與帶寬管控、流量管理以及網(wǎng)絡(luò)規(guī)劃提供科學(xué)的依據(jù)。

篇6

1大數(shù)據(jù)的認(rèn)知

大數(shù)據(jù)是互聯(lián)網(wǎng)、移動(dòng)應(yīng)用、社交網(wǎng)絡(luò)和物聯(lián)網(wǎng)等技術(shù)發(fā)展的必然趨勢(shì)，大數(shù)據(jù)應(yīng)用成為當(dāng)前最為熱門的信息技術(shù)應(yīng)用領(lǐng)域。信息時(shí)代下，傳統(tǒng)的信息系統(tǒng)已經(jīng)不能夠滿足需求，而單純運(yùn)用大數(shù)據(jù)，也不會(huì)取得理想的效果，因此需要將傳統(tǒng)信息系統(tǒng)與大數(shù)據(jù)平臺(tái)進(jìn)行整合，且在實(shí)踐中進(jìn)行創(chuàng)新和反思，形成一個(gè)系統(tǒng)，既能夠保證信息的安全，還能夠使大數(shù)據(jù)的優(yōu)勢(shì)得到發(fā)揮。大數(shù)據(jù)的出現(xiàn)具有一定的必然性，它是信息爆炸已經(jīng)積累到一種程度，必定要發(fā)生變革。加里金教授曾經(jīng)說過“大數(shù)據(jù)就猶如異常革命，龐大的數(shù)據(jù)資源使得社會(huì)的各個(gè)領(lǐng)域都開始了量變的進(jìn)程”。放眼當(dāng)前的社會(huì)可以發(fā)現(xiàn)，學(xué)術(shù)界、商界、政界都已經(jīng)開始了量變的進(jìn)程。大數(shù)據(jù)已經(jīng)對(duì)我們的生活、工作以及思維產(chǎn)生了影響，必須要正確的認(rèn)知“大數(shù)據(jù)”，且能夠運(yùn)用大數(shù)據(jù)，才能夠立足當(dāng)前的社會(huì)。

2大數(shù)據(jù)與網(wǎng)絡(luò)安全問題

大數(shù)據(jù)與網(wǎng)絡(luò)安全成為了當(dāng)前的學(xué)術(shù)熱詞，因?yàn)樵诖髷?shù)據(jù)背景下，網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)，且要想充分發(fā)揮大數(shù)據(jù)的優(yōu)勢(shì)，就必須要有一個(gè)安全性高的網(wǎng)絡(luò)。

2.1隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，當(dāng)代人的生活與網(wǎng)絡(luò)越來越密不可分

而我國(guó)的網(wǎng)絡(luò)安全空間存在著隱患，因而我國(guó)網(wǎng)絡(luò)安全問題呈現(xiàn)在多樣化，手段更加復(fù)雜，對(duì)象更廣泛，后果嚴(yán)重等問題。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)在安全方面存在著很大的弊端。例如：黑客攻擊、木馬病毒等網(wǎng)絡(luò)安全問題正不斷在想數(shù)據(jù)領(lǐng)域滲透，同時(shí)也給大數(shù)據(jù)的發(fā)展帶來新的問題。

2.2大數(shù)據(jù)時(shí)代背景下，每個(gè)人的生活都不再是絕對(duì)的秘密，只能夠說是相對(duì)“秘密”

因?yàn)橥ㄟ^分析網(wǎng)絡(luò)上的數(shù)據(jù)信息，就能夠了解一個(gè)人的生活痕跡，所以要認(rèn)識(shí)到信息安全的重要性，特別是在大數(shù)據(jù)背景下，更要確保信息的安全性。為了解決當(dāng)前網(wǎng)絡(luò)安全中存在的問題，可以控制訪問網(wǎng)絡(luò)的權(quán)限、強(qiáng)化數(shù)據(jù)加密、加固智能終端等方式，這些方式運(yùn)用起來，定能夠?yàn)樾畔踩峁┮粋€(gè)保障作用。強(qiáng)化數(shù)據(jù)加密：控制網(wǎng)絡(luò)訪問的權(quán)限后，對(duì)數(shù)據(jù)進(jìn)行加密，切實(shí)是一種有效的手段，能夠?yàn)榫W(wǎng)絡(luò)安全的運(yùn)行提供保障作用。數(shù)據(jù)加密就是將明文轉(zhuǎn)變?yōu)槊芪模话銜?huì)通過加密算法、加密鑰匙實(shí)現(xiàn)，它是一種相對(duì)較為可靠的辦法。從某種程度來講，數(shù)據(jù)加急就是網(wǎng)絡(luò)安全的第二道防護(hù)門，具體來講：一是，控制網(wǎng)絡(luò)訪問權(quán)限是網(wǎng)絡(luò)安全的第一道防護(hù)門，能夠確保信息訪問權(quán)限的清晰，實(shí)質(zhì)上就是要向訪問，就必須要具有獲取相應(yīng)的資格，否則就不能夠進(jìn)行網(wǎng)絡(luò)訪問；二是，訪問者獲取訪問權(quán)限的情況下，對(duì)數(shù)據(jù)又進(jìn)行了一層保護(hù)，即使獲得訪問資格后，也不能夠順利的訪問數(shù)據(jù)，更不可能基礎(chǔ)秘密的數(shù)據(jù)。這無疑提高了網(wǎng)絡(luò)信息的安全性。加固智能終端：智能終端往往會(huì)儲(chǔ)存海量的數(shù)據(jù)信息，因此必須要認(rèn)識(shí)到智能終端的重要性，且能夠?qū)ζ溥M(jìn)行加固，不僅能夠提高網(wǎng)絡(luò)信息的安全，還有助于互聯(lián)網(wǎng)管理有條不紊的進(jìn)行。智能終端加固需要高超的大數(shù)據(jù)處理技術(shù)，不能夠再被動(dòng)的補(bǔ)漏洞，而是要積極主動(dòng)地的防治。通過大數(shù)據(jù)安全技術(shù)研發(fā)、云計(jì)算方式的更新、軟件工具的整合等等措施，針對(duì)攻擊力非常強(qiáng)的病毒、惡意代碼進(jìn)行徹底的清除，并及時(shí)挖掘潛在的大數(shù)據(jù)安全隱患，確保智能終端在安全的網(wǎng)絡(luò)環(huán)境下運(yùn)行。通過一系列技術(shù)手段，構(gòu)建一個(gè)高級(jí)的智慧平臺(tái)，引領(lǐng)我們朝著大數(shù)據(jù)時(shí)代邁進(jìn)。

3結(jié)束語

大數(shù)據(jù)背景下，網(wǎng)絡(luò)安全確實(shí)受到了前所未有的挑戰(zhàn)，因此我們必須要解決的一個(gè)問題就是“大數(shù)據(jù)安全”問題。“大數(shù)據(jù)安全”問題已經(jīng)成為當(dāng)前政府、運(yùn)營(yíng)商、互聯(lián)網(wǎng)企業(yè)以及安全企業(yè)不可回避的一個(gè)問題，更是一個(gè)迫切需要解決的問題。做好大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全工作可以從重學(xué)習(xí)，抓機(jī)遇，貫徹落實(shí)總書記重要講話精神；推立法，定標(biāo)準(zhǔn)，完善網(wǎng)絡(luò)安全管理制度體系；強(qiáng)技術(shù)，建手段，健全網(wǎng)絡(luò)安全技術(shù)保障體系；嚴(yán)監(jiān)管，強(qiáng)責(zé)任，落實(shí)網(wǎng)絡(luò)安全監(jiān)管要求；聚人才，謀合作，為網(wǎng)絡(luò)安全事業(yè)提供有利支撐五個(gè)方面著手，促使網(wǎng)絡(luò)安全與大數(shù)據(jù)能夠同發(fā)展，共進(jìn)步。

參考文獻(xiàn)：

篇7

一、概述

隨著時(shí)代的發(fā)展，計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)收到了人們的極大關(guān)注，并且其在各個(gè)方面的應(yīng)用都在很大程度上促進(jìn)了工作的開展和進(jìn)行，其管理信息的方式簡(jiǎn)單快捷，提高了學(xué)校的管理水平，想要利用好這一優(yōu)勢(shì)，必須解決好網(wǎng)絡(luò)安全這一問題。TCP/IP協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，問題出現(xiàn)在其本身具有很大的開放性，另外用戶本身也無法避免的出現(xiàn)操作不當(dāng)?shù)那闆r，對(duì)高校的管理工作帶來很大的麻煩。

二、網(wǎng)絡(luò)安全存在的安全問題分析

（一）計(jì)算機(jī)軟件的安全問題一些操作性軟件和應(yīng)用軟件是引發(fā)計(jì)算機(jī)網(wǎng)絡(luò)安全問題的主要原因。操作系統(tǒng)是連接多個(gè)系統(tǒng)的核心，他不僅是計(jì)算機(jī)和用戶的接口，還是軟件和硬件的連接器，如果操作系統(tǒng)受到威脅，將導(dǎo)致所有的應(yīng)用軟件瓦解。操作系統(tǒng)并不是十分的嚴(yán)謹(jǐn)，很多時(shí)候會(huì)存在著很大的缺陷或者是漏洞，而這些容易被黑客鉆了空子，利用這些漏洞黑客可以對(duì)計(jì)算機(jī)進(jìn)行惡意攻擊，能夠?qū)⒂脩魝€(gè)人的信息全部搬走泄露，讓計(jì)算機(jī)遭受很大的威脅。另外，計(jì)算機(jī)安裝的一些應(yīng)用軟件也會(huì)存在著很大的漏洞，而這些漏洞給了很多非法侵犯者很大的機(jī)會(huì)，讓整個(gè)計(jì)算機(jī)信息系統(tǒng)處于高危狀態(tài)。

（二）計(jì)算機(jī)硬件的安全問題計(jì)算機(jī)的硬件系統(tǒng)也是導(dǎo)致安全問題的原因之一。我們知道硬件產(chǎn)品是多種多樣的，除此之外其的功能性而有很大的不同，所以說他們的兼容性也不是很強(qiáng)，這樣一來十分容易使得信息系統(tǒng)產(chǎn)生安全性問題，網(wǎng)絡(luò)硬件設(shè)備包括：交換機(jī)、路由器、網(wǎng)橋等，這些設(shè)備容易發(fā)生故障和老化等問題，這些都會(huì)嚴(yán)重的影響到計(jì)算機(jī)網(wǎng)絡(luò)的安全。

（三）黑客攻擊產(chǎn)生的安全問題黑客攻擊是當(dāng)前無法徹底解決的網(wǎng)絡(luò)安全問題，黑客攻擊可以根據(jù)破壞結(jié)果的不同分為兩類，分別是非破壞性攻擊和破壞性攻擊。非破壞性攻擊主要是黑客只是進(jìn)入到用戶的電腦中，使得用戶不能夠正常的使用電腦，對(duì)于用戶的個(gè)人信息和財(cái)產(chǎn)安全沒有產(chǎn)生任何的侵害；但是破壞性的黑客攻擊是一種十分嚴(yán)重的安全信息管理問題，黑客在對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行攻擊時(shí)不僅僅竊取其的私人信息，還會(huì)對(duì)用戶的財(cái)產(chǎn)安全完成一定的消極影響。

（四）病毒木馬程序產(chǎn)生的安全問題木馬威脅是計(jì)算機(jī)網(wǎng)絡(luò)安全問題的又一影響因素。病毒木馬的有極強(qiáng)的破壞性、傳染性和隱蔽性，對(duì)計(jì)算機(jī)本身的影響是相當(dāng)大的。而且其類似于強(qiáng)力傳染病，傳染能力和傳染速度都是非常快的，可能會(huì)導(dǎo)致用戶的計(jì)算機(jī)迅速癱瘓，使整個(gè)電腦的各個(gè)系統(tǒng)土崩瓦解。木馬主要指的是木馬程序，同時(shí)也可以認(rèn)為是一種惡意的代碼，其主要是可以有效的潛伏在計(jì)算機(jī)系統(tǒng)中，可以受到外部的控制，可以達(dá)到竊取信息的結(jié)果。

三、提高計(jì)算機(jī)安全性的有效解決方法

（一）加強(qiáng)對(duì)計(jì)算機(jī)安全相關(guān)法律法規(guī)的完善為了讓計(jì)算機(jī)的安全得到有效保障，需要對(duì)有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī)進(jìn)行充分完善，宣傳這些法律，將一些不法用戶入侵系統(tǒng)的想法扼殺在搖籃里，有效提高計(jì)算機(jī)的安全性能。另外，要積極的利用相關(guān)的法律法規(guī)進(jìn)行規(guī)范，培養(yǎng)良好習(xí)慣，要有意識(shí)培養(yǎng)明辨是非，吸收正能量的良好習(xí)慣。

（二）加強(qiáng)計(jì)算機(jī)使用人員安全防范意識(shí)提高計(jì)算機(jī)使用人員的安全意識(shí)，也是保障計(jì)算機(jī)系統(tǒng)安全的有效措施，定期對(duì)計(jì)算機(jī)工作人員進(jìn)行安全培訓(xùn)，提高他們的安全意識(shí)，尋找一些有效的防范舉措讓其學(xué)習(xí)，不給不法用戶任何下手的機(jī)會(huì)。另外，遇到問題要及時(shí)進(jìn)行解決，盡量將危險(xiǎn)降到最小，安全防范意識(shí)增強(qiáng)了，安全系數(shù)就提高了。

（三）網(wǎng)絡(luò)病毒的防范網(wǎng)絡(luò)病毒主要是因?yàn)橐恍┎僮鬈浖蛘呤菓?yīng)用軟件所攜帶的，對(duì)于這些病毒的有效防范主要是不斷的安裝和更新計(jì)算機(jī)病毒軟件，因?yàn)椴《镜膫鞑ニ俣仁呛芸斓模涣硗猓艘酝猓F(xiàn)在的病毒是多種多樣的，所以說單一的清除病毒的方法不是十分有效的，所以要建立完善的病毒清除系統(tǒng)，比如可以下載相關(guān)的殺毒軟件，有針對(duì)性的保護(hù)相關(guān)系統(tǒng)，要是連接互聯(lián)網(wǎng)，還需要網(wǎng)關(guān)的防病毒軟件。另外，作為操作計(jì)算機(jī)的我們更要積極的去學(xué)習(xí)防范知識(shí)，保護(hù)我們的計(jì)算機(jī)系統(tǒng)。

（四）對(duì)計(jì)算機(jī)進(jìn)行備份在高校的信息管理系統(tǒng)中，往往會(huì)蘊(yùn)藏著十分重要的信息，這些信息一旦被泄露就會(huì)使得使得學(xué)校的信息管理工作出錯(cuò)，甚至?xí)瓿墒謬?yán)重的危害。對(duì)重要的信息進(jìn)行備份則可以很好的解決這個(gè)問題，即使被破壞的文件丟失，也可以迅速找回。

（五）提高瀏覽網(wǎng)頁的安全性和不輕易打開來歷不明的郵件當(dāng)前，計(jì)算機(jī)上存在很多垃圾網(wǎng)頁和不明來歷的郵件，即使我們只是點(diǎn)開查看了一下，也會(huì)造成安全問題，所以我們要杜絕這些行為的發(fā)生，在進(jìn)行網(wǎng)頁的瀏覽時(shí)需要提高安全意識(shí)，對(duì)于一些違規(guī)的網(wǎng)站進(jìn)行有效的規(guī)避，及時(shí)的檢查瀏覽器的版本，及時(shí)的更新版本，另外對(duì)于瀏覽器中存在的廣告窗口也需要進(jìn)行有效的規(guī)避。除此之外，還需要對(duì)于一些電子郵件的要進(jìn)行嚴(yán)格的控制，不要點(diǎn)擊，另外，要對(duì)硬盤進(jìn)行及時(shí)的查殺。

（六）硬件與軟件防范措施常見的計(jì)算機(jī)硬件加固有，密封加固、防震加固、防腐加固和溫度環(huán)境加固等。在有關(guān)計(jì)算機(jī)的軟件方面需要進(jìn)行有效的加密，由于密碼具有一定的時(shí)效性，所以用戶應(yīng)定期更改密碼，以保護(hù)計(jì)算機(jī)軟件的安全性。在使用的過程中，我們要及時(shí)發(fā)現(xiàn)硬件存在的問題，然后馬上采取救補(bǔ)措施，給予軟件運(yùn)行有效的安全保證，從而降低安全風(fēng)險(xiǎn)系數(shù)。

（七）充分了解防火墻作用與局限性防火墻是每臺(tái)電腦必備的保護(hù)隔墻，是計(jì)算機(jī)設(shè)備中不能夠缺少的一個(gè)設(shè)備，這樣一來就相當(dāng)于在計(jì)算機(jī)中安裝了套硬件或者是軟件，能夠有效的防止外來黑客的沖擊和病毒木馬的侵害。但防火墻的功能是有限的，他雖然可以有效隔離外界網(wǎng)絡(luò)與內(nèi)部數(shù)據(jù)，但隨著技術(shù)愈加先進(jìn)，防火墻已經(jīng)可以輕易被不法用戶輕破壞，局限性較大。

篇8

一、高速公路網(wǎng)絡(luò)信息安全分析

針對(duì)目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學(xué)者都提出自己的觀點(diǎn)和看法，例如：北京交科公路勘察設(shè)計(jì)研究院盛剛談到網(wǎng)絡(luò)安全問題時(shí)指出：一方面，不管是在設(shè)計(jì)還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點(diǎn)放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識(shí)，忽視培養(yǎng)技術(shù)人員，技術(shù)儲(chǔ)備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對(duì)高速收費(fèi)、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運(yùn)營(yíng)單位的認(rèn)識(shí)和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴(yán)格按照國(guó)際相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行，提出的技術(shù)不具備針對(duì)性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動(dòng)，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實(shí)際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點(diǎn)。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴(yán)重，已成為當(dāng)前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學(xué)者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運(yùn)維體系、管理體系和標(biāo)準(zhǔn)體系。技術(shù)體系主要從主機(jī)安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運(yùn)維體系分為四個(gè)部分：風(fēng)險(xiǎn)管理安全、安全體系的推廣落實(shí)、安全維護(hù)、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標(biāo)，以及在完成這些目標(biāo)的過程中所使用的體系方法；標(biāo)準(zhǔn)體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對(duì)各省份出現(xiàn)的安全問題，各自根據(jù)實(shí)際情況提出不同的解決方案，例如山西省針對(duì)本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運(yùn)維管理、管理制度安全、安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機(jī)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護(hù)系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實(shí)施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機(jī)設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機(jī)系統(tǒng)安全、行為操作安全等各類隱患，針對(duì)具體存在的安全問題，對(duì)癥下藥，采取實(shí)施有效的安全防護(hù)措施。

篇9

近幾年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷豐富，用戶可存在于網(wǎng)絡(luò)空間的活動(dòng)越來越多，上至六七十的老人，下到小學(xué)生都加入了這個(gè)行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多，設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實(shí)際工作中，簡(jiǎn)單的擴(kuò)充網(wǎng)絡(luò)帶寬來提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析，采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性，對(duì)于訪問速度的提高，用戶體驗(yàn)十分顯著。網(wǎng)絡(luò)速度實(shí)際是恒定的，用戶上網(wǎng)訪問快慢的感受實(shí)際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜，需要更多的功能、更好地控制網(wǎng)絡(luò)組建。

二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究

網(wǎng)絡(luò)穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗(yàn)就不會(huì)出現(xiàn)高低起伏，但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性，首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因，并結(jié)合實(shí)際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多，總結(jié)起來主要表現(xiàn)在五個(gè)方面：網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前，對(duì)企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下：

（1）企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級(jí)”架構(gòu)（核心、匯聚、接入）。總體思路很明確，但隨著網(wǎng)絡(luò)的不斷延伸，接入用戶的不斷增加和新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

（2）隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來的路由體系是否適合現(xiàn)在不斷擴(kuò)展的企業(yè)網(wǎng)絡(luò)，如何找出路由體系中關(guān)鍵技術(shù)的平衡點(diǎn)這都是技術(shù)難點(diǎn)。

（3）網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升，尤其是網(wǎng)絡(luò)安全域劃分的實(shí)施。

（4）桌面安全和系統(tǒng)安全對(duì)網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準(zhǔn)入系統(tǒng)的實(shí)施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預(yù)測(cè)和提前相應(yīng)提供了支持。

2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā)，我們結(jié)合業(yè)界的相關(guān)技術(shù)，提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。

（1）網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡(luò)之間邊界不夠清晰，沒有使用安全設(shè)備進(jìn)行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計(jì)原則，靈活性欠佳，且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理，造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。

針對(duì)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進(jìn)行構(gòu)造網(wǎng)絡(luò)，增加統(tǒng)一的三網(wǎng)絡(luò)核心，整合網(wǎng)絡(luò)安全邊界，優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測(cè)試區(qū)，增強(qiáng)開發(fā)測(cè)試類應(yīng)用的獨(dú)立性和安全性；增加運(yùn)行管理區(qū)，為企業(yè)網(wǎng)絡(luò)運(yùn)行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺(tái)；增加數(shù)據(jù)擺渡區(qū)，隔離保護(hù)生產(chǎn)和科研網(wǎng)絡(luò)，以保障企業(yè)核心業(yè)務(wù)；針對(duì)各網(wǎng)絡(luò)功能區(qū)，定義網(wǎng)絡(luò)安全邊界，實(shí)施網(wǎng)絡(luò)安全控制；增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性，提高網(wǎng)絡(luò)的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜，在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù)，也就增加了故障點(diǎn)：上聯(lián)設(shè)備故障，直接影響其下聯(lián)設(shè)備。對(duì)用戶來說直接影響了其上網(wǎng)體驗(yàn)。

（2）路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴(kuò)展性、靈活性和可管理性等方面，進(jìn)行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點(diǎn)和需注意的問題。

根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu)，考慮各種路由協(xié)議的特點(diǎn)，企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個(gè)層面的內(nèi)容：網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全，并通過不斷的評(píng)估和規(guī)劃，提高企業(yè)整體的安全水平。對(duì)企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析，考慮認(rèn)證鑒權(quán)、訪問控制、審計(jì)跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個(gè)方面。安全應(yīng)該貫徹到整個(gè)IT架構(gòu)中的各個(gè)層次，網(wǎng)絡(luò)設(shè)備配置安全也非常重要，利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù)，可以大大增強(qiáng)網(wǎng)絡(luò)設(shè)備的安全性，從而為整個(gè)網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個(gè)方面，提出網(wǎng)絡(luò)設(shè)備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截取；

②服務(wù)管理：強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù)，減少被攻擊者利用的可能；

③訪問控制和管理：要求對(duì)客戶端的操作進(jìn)行嚴(yán)格的認(rèn)證、授權(quán)和審計(jì)；

④攻擊防范：增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置，減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風(fēng)險(xiǎn)；

⑤路由安全：關(guān)注路由協(xié)議認(rèn)證，消除路由安全問題。

（4）桌面安全和系統(tǒng)安全。信息安全風(fēng)險(xiǎn)管理就是可以接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風(fēng)險(xiǎn)管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個(gè)問題：

①不能確保所有計(jì)算機(jī)都安裝了防火墻和殺毒軟件；

②不能及時(shí)對(duì)殺毒軟件、防火墻進(jìn)行更新；

③不知道怎樣對(duì)系統(tǒng)防護(hù)進(jìn)行策略配置，不知道怎樣對(duì)漏洞進(jìn)行補(bǔ)丁安裝。

近兩年企業(yè)部署的桌面安全準(zhǔn)入系統(tǒng)的實(shí)施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準(zhǔn)入客戶端的安裝率，挖掘該系統(tǒng)的深入應(yīng)用，提高系統(tǒng)補(bǔ)丁的安裝出發(fā)來解決這些問題。

三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實(shí)踐方案

本實(shí)踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上，通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實(shí)踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā)，詳細(xì)闡述該實(shí)踐方案。

1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下，采用“三級(jí)”架構(gòu)，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實(shí)現(xiàn)核心A和核心B熱備，無論核心A或B其中任何一個(gè)故障，各二級(jí)匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源，進(jìn)行日常辦公。從而加固了網(wǎng)絡(luò)核心，明晰了網(wǎng)絡(luò)邊界，提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。

圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點(diǎn)，結(jié)合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個(gè)原則：（1）動(dòng)靜路由的選擇。

（2）減少路由器同步和收斂時(shí)間。

（3）明晰并統(tǒng)一語法。

企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式，這兩種方式各有優(yōu)缺點(diǎn)。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓?fù)渥兓敲词謩?dòng)配置方式將導(dǎo)致靜態(tài)路由的管理工作根本無法進(jìn)行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動(dòng)地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓５珜?duì)于任何程序而言，自動(dòng)化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，即減少各片區(qū)路由收斂對(duì)整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。

企業(yè)網(wǎng)絡(luò)核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡(luò)迅速并自動(dòng)地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓瑴p少路由維護(hù)工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，減少各片區(qū)路由收斂對(duì)整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動(dòng)態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點(diǎn)：

（1）RID（router id）是用來唯一表示OSPF網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，為避免由于組網(wǎng)不當(dāng)造成相同自治系統(tǒng)中的RID沖突，路由器均需設(shè)置RID，RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址；

（2）合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則，規(guī)范了路由的語法和規(guī)則，從而避免了路由配置錯(cuò)誤；并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡(luò)穩(wěn)定性。

3.網(wǎng)絡(luò)安全。啟用接入層交換機(jī)端口安全，采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實(shí)際情況，提出從兩方面出發(fā)：（1）把IPS桌面化和桌面防火墻的使用實(shí)現(xiàn)防攻擊。

（2）提高終端計(jì)算機(jī)補(bǔ)丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準(zhǔn)入系統(tǒng)）策略服務(wù)器上制定詳細(xì)的wsus（）策略來控制計(jì)算機(jī)的補(bǔ)丁更新，安裝了sep客戶端計(jì)算機(jī)只要接入網(wǎng)絡(luò)，sep客戶端就會(huì)執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器，策略服務(wù)器在收到客戶端傳來檢查結(jié)果后和制定的wsus策略進(jìn)行比對(duì)，如客戶端計(jì)算機(jī)滿足wsus策略才被允許使用網(wǎng)絡(luò)，否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對(duì)不同區(qū)域?qū)嵤┎煌呗裕瑢?shí)現(xiàn)多組wsus服務(wù)器之間負(fù)載均衡，使客戶端能在最短時(shí)間內(nèi)獲取補(bǔ)丁資源 。

5.實(shí)踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴(kuò)展，各種新技術(shù)也是層出不窮，如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當(dāng)今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無法適應(yīng)當(dāng)下網(wǎng)絡(luò)的運(yùn)維工作；并且要從體系角度進(jìn)行網(wǎng)絡(luò)建設(shè)和維護(hù)，改變簡(jiǎn)單的把“網(wǎng)絡(luò)維護(hù)”看成“網(wǎng)絡(luò)設(shè)備維護(hù)”的傳統(tǒng)思想。

參考文獻(xiàn)：

篇10

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規(guī)模爆發(fā)，感染了大量的計(jì)算機(jī)，隨后會(huì)向計(jì)算機(jī)中植入敲詐勒索病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個(gè)變種取消了KillSwitch，即不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點(diǎn)：WannaCry利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動(dòng)傳播的特性。WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動(dòng)傳播的能力，能夠在數(shù)小時(shí)內(nèi)感染一個(gè)系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國(guó)語言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。“永恒之藍(lán)”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱。“永恒之藍(lán)”是指NSA泄露的危險(xiǎn)漏洞“EternalBlue”。

二、油田現(xiàn)階段網(wǎng)絡(luò)結(jié)構(gòu)分析

油田網(wǎng)絡(luò)屬于小型局域網(wǎng)，能夠?qū)崿F(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。拓?fù)浣Y(jié)構(gòu)采用星型和樹型混合結(jié)構(gòu)。采取這種拓?fù)浣Y(jié)構(gòu)具有傳輸速度快、網(wǎng)絡(luò)構(gòu)形簡(jiǎn)單、建網(wǎng)容易、便于控制和管理的優(yōu)點(diǎn)。因此，局內(nèi)基本上所有電腦都在使用文件共享和打印機(jī)共享，必然會(huì)開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經(jīng)分析，總結(jié)出以下在平時(shí)網(wǎng)絡(luò)使用中可能引發(fā)的網(wǎng)絡(luò)安全問題：1.未能定時(shí)更新安全程序。單位所使用的操作系統(tǒng)多數(shù)為Windows操作系統(tǒng)。每隔一段時(shí)間微軟都會(huì)新的安全更新程序，用來修補(bǔ)系統(tǒng)所存在的安全漏洞。但是，很多人認(rèn)為安裝更新程序耗時(shí)長(zhǎng)，并且會(huì)造成系統(tǒng)運(yùn)行卡頓，占用內(nèi)存，因此，基本不會(huì)主動(dòng)更新安全程序，甚至?xí)P(guān)閉系統(tǒng)自動(dòng)更新程序開關(guān)，來阻止系統(tǒng)進(jìn)行安全程序更新。2.未能定時(shí)查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網(wǎng)絡(luò)傳播等。由于局內(nèi)采用的是局域網(wǎng)，并且多臺(tái)主機(jī)之間實(shí)現(xiàn)文件共享，這就容易發(fā)生一臺(tái)主機(jī)癱瘓，其余主機(jī)跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點(diǎn)。3.安全意識(shí)不強(qiáng)。很多人存在僥幸心理，認(rèn)為病毒的傳播沒有那么快，補(bǔ)丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時(shí)候查殺一下，不需要的時(shí)候干脆不去理會(huì)，這樣的行為就會(huì)有很大的安全風(fēng)險(xiǎn)，在病毒爆發(fā)的時(shí)候，由于沒有及時(shí)安裝安全更新程序或者查殺病毒，很容易發(fā)生意想不到的局面。4.沒有定期備份文件的習(xí)慣。由于單位的計(jì)算機(jī)主要用于辦公，有很多辦公需要的資料，一次性備份需要花費(fèi)較長(zhǎng)的時(shí)間，而且往往沒有如此大內(nèi)存的存儲(chǔ)設(shè)備來備份重要文件，員工多將資料直接存儲(chǔ)于電腦中，即使發(fā)生資料變更也不進(jìn)行備份，這就給資料的安全性帶來了風(fēng)險(xiǎn)，一旦計(jì)算機(jī)中毒，文件受損，將帶來不可挽回的局面。

三、預(yù)防措施

關(guān)于網(wǎng)絡(luò)安全的管理和預(yù)防，一方面，玉門油田遵從總公司的決定進(jìn)行桌面安全管理系統(tǒng)2.0的部署，另一方面，個(gè)人也應(yīng)培養(yǎng)良好的網(wǎng)絡(luò)安全意識(shí)，形成良好的網(wǎng)絡(luò)安全預(yù)防習(xí)慣。1.桌面安全管理系統(tǒng)2.0。桌面安全管理系統(tǒng)2.0是桌面安全管理系統(tǒng)1.0的升級(jí)版，新建系統(tǒng)加固及管控平臺(tái)兩個(gè)子系統(tǒng)，替換了原有的防病毒、端點(diǎn)準(zhǔn)入產(chǎn)品，升級(jí)和優(yōu)化后臺(tái)管理、補(bǔ)丁分發(fā)、電子文檔保護(hù)三個(gè)子系統(tǒng)功能，同時(shí)對(duì)以上子系統(tǒng)在客戶端進(jìn)行了整合。（1）防病毒子系統(tǒng)。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時(shí)，構(gòu)建企業(yè)自主控制文件黑白名單能力，實(shí)現(xiàn)全網(wǎng)文件樣本的快速發(fā)現(xiàn)和查殺。（2）端點(diǎn)準(zhǔn)入子系統(tǒng)。通過定制端點(diǎn)準(zhǔn)入策略、客戶端和端點(diǎn)準(zhǔn)入設(shè)備有效聯(lián)動(dòng)，采用旁路部署端點(diǎn)準(zhǔn)入設(shè)備，對(duì)桌面計(jì)算機(jī)進(jìn)行合規(guī)性檢驗(yàn)，為各單位提供有效、易用的管理工具和手段，支持修復(fù)頁面跳轉(zhuǎn)和非辦公計(jì)算機(jī)例外保護(hù)，如IP電話、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。（3）后臺(tái)管理子系統(tǒng)。具有計(jì)算機(jī)實(shí)名制注冊(cè)、軟硬件資產(chǎn)信息收集、策略下發(fā)、用戶行為審計(jì)和違規(guī)日志查詢的管理功能。通過系統(tǒng)進(jìn)行基礎(chǔ)安全策略的定制，建立桌面計(jì)算機(jī)安全基礎(chǔ)，提供30類擴(kuò)展安全策略，各單位可根據(jù)實(shí)際需求進(jìn)行策略定制，深入完善桌面安全管理。（4）文檔保護(hù)子系統(tǒng)。與中國(guó)石油USBKey相結(jié)合，為計(jì)算機(jī)用戶提供登錄保護(hù)、重要文件處理區(qū)、文件輸出審計(jì)、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴(kuò)展文檔加密功能適用范圍，實(shí)現(xiàn)電子文檔在創(chuàng)建、存儲(chǔ)、使用、銷毀等過程的安全保護(hù)。（5）補(bǔ)丁分發(fā)子系統(tǒng)。對(duì)微軟補(bǔ)丁進(jìn)行人工篩選和測(cè)試后，通過補(bǔ)丁分發(fā)子系統(tǒng)實(shí)現(xiàn)全網(wǎng)桌面計(jì)算機(jī)操作系統(tǒng)安全統(tǒng)一分發(fā)和自動(dòng)安裝，及時(shí)有效的降低操作系統(tǒng)漏洞帶來的安全隱患。此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過“永恒之藍(lán)”這個(gè)漏洞傳播，因此給系統(tǒng)打補(bǔ)丁是必須的。（6）系統(tǒng)加固子系統(tǒng)。提供安全基線和底層加固兩個(gè)功能模塊，通過統(tǒng)一模板控制、操作系統(tǒng)底層加固，實(shí)現(xiàn)集團(tuán)公司安全基線要求在桌面計(jì)算機(jī)的強(qiáng)制管控，并且降低操作系統(tǒng)脆弱性帶來的安全風(fēng)險(xiǎn)。2.培養(yǎng)個(gè)人安全意識(shí)。及時(shí)更新安全補(bǔ)丁：可以在官網(wǎng)或使用相關(guān)安全軟件進(jìn)行系統(tǒng)安全補(bǔ)丁的更新及安裝，或者選擇自動(dòng)檢查與安裝。目的就是為了防止病毒利用系統(tǒng)漏洞進(jìn)行二次攻擊。定時(shí)查殺病毒：通過殺毒軟件，如360安全衛(wèi)士，定時(shí)進(jìn)行病毒查殺與電腦安全診斷與防護(hù)。學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)，培養(yǎng)網(wǎng)絡(luò)安全意識(shí)：?jiǎn)挝辉诎踩嘤?xùn)中，適當(dāng)加入網(wǎng)絡(luò)安全培訓(xùn)的內(nèi)容，培養(yǎng)員工的網(wǎng)絡(luò)安全意識(shí)。定期備份重要文檔資料：及時(shí)整理重要的文件資料，并選取適當(dāng)?shù)拇鎯?chǔ)設(shè)備進(jìn)行備份，或者將資料存放在不聯(lián)網(wǎng)的計(jì)算機(jī)中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關(guān)閉445端口等共享文件端口以64位Windows系統(tǒng)為例：在鍵盤上同時(shí)按下“WIN+R”后輸入“regedit”圖2運(yùn)行窗口在注冊(cè)表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設(shè)置鍵值為“0”=圖3注冊(cè)表編輯器圖4鍵值單擊“確定”即可。（2）關(guān)閉網(wǎng)絡(luò)文件與打印機(jī)共享（3）安裝系統(tǒng)補(bǔ)丁

四、結(jié)論

通過分析整個(gè)油田局域網(wǎng)的結(jié)構(gòu)和特點(diǎn)，以及員工日常工作使用電腦的習(xí)慣，總結(jié)出油田局域網(wǎng)所存在的安全隱患，員工安全意識(shí)有待提高等相關(guān)問題。及時(shí)安裝桌面安全系統(tǒng)2.0，提高網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成良好的安全上網(wǎng)習(xí)慣，將有助于整個(gè)油田的網(wǎng)絡(luò)安全和安全生產(chǎn)運(yùn)行。

作者:杜懿珊 單位:玉門油田信息中心

篇11

Enterprise Network Security Management

Chen Xianhai

(Telecommunication&Information Center State Administration of Work Safety,Beijing100013,China)

Abstract:With the rapid development of computer network,our society is undergoing great changes,and enterprise’s network security is increasingly subject to greater attention.Therefore,in order to ensure the smooth running and ensure the effective transfer of information,we must emphasis on enterprise network security management.

Keywords:Enterprise;Network;Security

企業(yè)運(yùn)行過程中需要大量的信息，同時(shí)很多信息將會(huì)通過網(wǎng)絡(luò)進(jìn)行上傳下達(dá)，在企業(yè)運(yùn)行期間是不允許中斷的，一旦斷網(wǎng)將會(huì)對(duì)企業(yè)運(yùn)行產(chǎn)生重大的負(fù)面影響。但目前而言，企業(yè)網(wǎng)絡(luò)安全仍然存在一些不安全因素，因此，為了保證企業(yè)順利運(yùn)行，保證信息的有效傳遞，研究企業(yè)網(wǎng)絡(luò)的安全是很現(xiàn)實(shí)也是很有必要的。

一、企業(yè)網(wǎng)絡(luò)的特點(diǎn)

（一）企業(yè)內(nèi)部網(wǎng)絡(luò)與外界絕對(duì)隔絕。企業(yè)內(nèi)部網(wǎng)絡(luò)是單獨(dú)的一個(gè)互聯(lián)專網(wǎng)，它沒有與Internet的接入口，而且，企業(yè)網(wǎng)絡(luò)的所有接入端都是在企業(yè)內(nèi)部，其他人員輕易不可能接觸到接入點(diǎn)，所以，通過Internet將無法連接到企業(yè)內(nèi)部網(wǎng)絡(luò)。

（二）實(shí)時(shí)性要求高。企業(yè)網(wǎng)絡(luò)大部分時(shí)間主要傳遞企業(yè)本文資料，視頻和圖形圖象的傳遞較少，因此流量不是很大，但是，有時(shí)也需要將一些特殊資料如視頻、圖形、會(huì)議等通過網(wǎng)絡(luò)實(shí)時(shí)的傳遞到各部門、各分支機(jī)構(gòu)，所以要保證這些信息能夠在快速高效的傳遞，網(wǎng)絡(luò)的接入端也應(yīng)采用高帶寬，以免為企業(yè)決策造成貽誤。

（三）絕大部分接入點(diǎn)在企業(yè)內(nèi)部。企業(yè)網(wǎng)絡(luò)的接入點(diǎn)大都是在企業(yè)內(nèi)部，盡量做到集中管理，盡量降低信息接入點(diǎn)被其他個(gè)人或機(jī)構(gòu)影響的可能性。

（四）企業(yè)網(wǎng)絡(luò)出問題帶來的后果比Internet出問題大得多。企業(yè)網(wǎng)絡(luò)如果出現(xiàn)服務(wù)器被攻擊癱瘓、網(wǎng)絡(luò)設(shè)備被堵塞，造成斷網(wǎng)或者服務(wù)器不能訪問，在企業(yè)管理中各個(gè)部門將無法獲取所需信息，嚴(yán)重得的話將會(huì)影響到企業(yè)的戰(zhàn)略決策。

從以上分析比較可知，盡管互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)原理一樣，結(jié)構(gòu)上卻存在較大的差異，也正是企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的特殊性，大大增加了企業(yè)網(wǎng)絡(luò)的安全，但它仍然存在一些不安全的因素。

二、企業(yè)網(wǎng)絡(luò)不安全的因素

（一）物理鏈路的不安全。有的企業(yè)各分支機(jī)構(gòu)分布在全國(guó)來說是比較分散的，要使各分支機(jī)構(gòu)全部納入統(tǒng)一管理必然將部分物理鏈路分散管理，這樣地方人員將能夠接觸到這些鏈路，使這部分物理鏈路有可能成為攻擊、竊取的目標(biāo)，這是對(duì)企業(yè)網(wǎng)絡(luò)安全管理最大的威脅，同時(shí)也是企業(yè)內(nèi)信息最可能泄露的地域。另外，如果有人對(duì)物理鏈路進(jìn)行竊聽或者剪斷，將會(huì)使這些單位造成長(zhǎng)時(shí)間斷網(wǎng)，無法發(fā)送和接收信息，或者傳遞的信息將可能被竊取，造成泄密。

（二）接入端信息接入點(diǎn)的不安全。對(duì)企業(yè)網(wǎng)絡(luò)來說，接入端也有不安全因素，這些接入點(diǎn)將最有可能被竊取，只要一個(gè)信息接入點(diǎn)被成功竊入，那么信息就有可能借此被竊取，為企業(yè)信息管理帶來麻煩。

（三）違規(guī)使用造成的不安全。由于人員結(jié)構(gòu)的復(fù)雜性，導(dǎo)致有些員工私自使用軟件、存儲(chǔ)介質(zhì)，甚至個(gè)人PC，從而可能導(dǎo)致病毒在網(wǎng)絡(luò)上的傳播；同時(shí)，將企業(yè)專用的存儲(chǔ)介質(zhì)在企業(yè)網(wǎng)絡(luò)和Internet之間互用，造成企業(yè)信息在Internet上的泄露，同時(shí)將病毒帶入網(wǎng)絡(luò)，對(duì)企業(yè)造成危害。

從上述分析可知，盡管企業(yè)網(wǎng)絡(luò)從結(jié)構(gòu)上解決了一定的安全問題，但是由于其特殊性，它仍然存在一些不安全因素，這些不安全因素將會(huì)是企業(yè)網(wǎng)絡(luò)的薄弱點(diǎn)，也是企業(yè)網(wǎng)絡(luò)安全管理應(yīng)特別注重的地方。

三、解決企業(yè)網(wǎng)絡(luò)不安全因素的幾點(diǎn)建議

（一）技術(shù)方面：一是對(duì)核心的數(shù)據(jù)庫(kù)服務(wù)器和網(wǎng)頁服務(wù)器要運(yùn)用高性能防火墻保護(hù)；二是對(duì)整個(gè)系統(tǒng)部署統(tǒng)一的防病毒軟件，安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)加強(qiáng)對(duì)入侵行為的監(jiān)控；三是對(duì)異地連接的系統(tǒng)要運(yùn)用數(shù)據(jù)加密技術(shù)；四是對(duì)應(yīng)用系統(tǒng)要強(qiáng)化口令和賬號(hào)設(shè)置，提高對(duì)使用人員的身份鑒別與認(rèn)證的可靠性；五是強(qiáng)化對(duì)重要業(yè)務(wù)系統(tǒng)的操作審計(jì)；六是重要數(shù)據(jù)進(jìn)行異地備份存儲(chǔ)等。

（二）管理方面：一是結(jié)合系統(tǒng)實(shí)際制定統(tǒng)一的安全管理制度和操作規(guī)程指導(dǎo)安全操作；二是指點(diǎn)專人負(fù)責(zé)對(duì)系統(tǒng)的日常運(yùn)行與維護(hù)工作；三是要對(duì)安全產(chǎn)品配置進(jìn)行定期審計(jì)；四是對(duì)系統(tǒng)和漏洞要進(jìn)行制度化的加固和修補(bǔ)；五是要制訂應(yīng)急措施，制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小；六是對(duì)安全等級(jí)要求較高的系統(tǒng)，實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；七是強(qiáng)化物理訪問控制，設(shè)置警示牌、欄桿、柵欄和崗哨，加固門窗等。

（三）制度方面：對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)性控制，必須有嚴(yán)格的制度作保證。通過將有效的風(fēng)險(xiǎn)控制活動(dòng)，用條文的形式固定下來，列入企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)章制度，要求組織內(nèi)的成員必須遵照?qǐng)?zhí)行，使對(duì)風(fēng)險(xiǎn)的控制步入到經(jīng)常化和制度化的軌道上來。

（四）教育培訓(xùn)方面。在信息安全風(fēng)險(xiǎn)管理控制的過程中，人的因素至關(guān)重要，如果組織只是實(shí)施了技術(shù)性的控制措施，但卻忽略了與計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)的操作人員、管理人員和用戶的安全意識(shí)的提升及安全技能的掌握，安全控制措施就不可能穩(wěn)定而持續(xù)地發(fā)揮效力，因此應(yīng)加強(qiáng)對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)人員的教育和培訓(xùn)。

總之，對(duì)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的控制是一項(xiàng)系統(tǒng)工程，必須綜合考慮多種控制措施，才能提高控制的有效性和針對(duì)性，實(shí)現(xiàn)控制的目的。

參考文獻(xiàn)：

篇12

揮失靈、決策失誤，嚴(yán)重地危及到政府、軍事和商業(yè)的安全。因此，計(jì)算機(jī)安全問題的解決對(duì)于保護(hù)計(jì)算機(jī)的安全具有十分重要的現(xiàn)實(shí)意義與價(jià)值。

一 計(jì)算機(jī)安全問題的具體表現(xiàn)

（一）硬件方面面臨的安全問題

首先是計(jì)算機(jī)的芯片問題，計(jì)算機(jī)所使用的芯片中常常暗含著我們無從知道的秘密功能，成為最大的安全隱患。據(jù)有關(guān)資料透漏，國(guó)外針對(duì)中國(guó)的所用CPU都集成了陷阱指令、病毒指令。他們可以利用無線代碼激活CPU的這些內(nèi)部指令，造成內(nèi)部信息外泄，或致使計(jì)算機(jī)系統(tǒng)災(zāi)難性崩潰。在一些板卡里，比如顯卡、聲卡、網(wǎng)卡等的指令集里，都可以集成有病毒程序，同樣可以激活而造成系統(tǒng)崩潰。其次是電磁泄露：計(jì)算機(jī)運(yùn)行時(shí)會(huì)像電臺(tái)一樣向空間輻射強(qiáng)大的電磁脈沖，盜竊者可以接收計(jì)算機(jī)輻射出來的電磁波進(jìn)行復(fù)原，獲取計(jì)算機(jī)中的數(shù)據(jù)。利用特殊設(shè)備，在電源線上就可以把信號(hào)截取下來還原。最后硬件故障：計(jì)算機(jī)存儲(chǔ)器硬件損壞也會(huì)使存儲(chǔ)數(shù)據(jù)讀不出來。為提高數(shù)據(jù)存儲(chǔ)的安全性，一種方法是采用數(shù)據(jù)備份，將有用數(shù)據(jù)定期復(fù)制出來保存。另一種方法是系統(tǒng)備份，使用雙硬盤，同時(shí)將數(shù)據(jù)存在兩個(gè)或多個(gè)硬盤上。在安全性要求高的特殊場(chǎng)合，還可以采用帶有電插撥保障的方法對(duì)雙機(jī)雙硬盤備份，即在計(jì)算機(jī)正常運(yùn)行時(shí)，可以插撥任何有問題部件，進(jìn)行更換和修理，保證計(jì)算機(jī)連續(xù)運(yùn)行。

（二）計(jì)算機(jī)軟件和網(wǎng)絡(luò)面臨的問題

計(jì)算機(jī)軟件與網(wǎng)絡(luò)安全主要面臨的問題是竊取信息、篡改信息、身份假冒和惡意破壞等。其主要形式有：（1）電腦病毒：電腦病毒可能會(huì)自行復(fù)制，更改應(yīng)用軟件、刪除檔案、更改資料等；（2）后門或特洛伊木馬：未經(jīng)授權(quán)的程序透過合法程序的掩護(hù)來執(zhí)行某些不被察覺的惡意流程；（3）竊聽：資料數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被非法的第三者非法獲取；（4）偽裝：攻擊者假裝是某合法使用者，而獲得使用權(quán)限；（5）資料篡改：儲(chǔ)存或傳輸中的資料，其完整性被毀壞；（6）阻絕服務(wù)：數(shù)據(jù)存取被中斷或是阻止，讓使用者無法獲得服務(wù)，或是造成某些即時(shí)系統(tǒng)的延誤或中止；（7）否認(rèn)（Repudiation）：使用者拒絕承認(rèn)曾使用過某一電腦或網(wǎng)絡(luò)資，或曾寄出（收到）某一文件（8）網(wǎng)絡(luò)釣魚：建立或‘虛設(shè)’、‘仿冒’的網(wǎng)絡(luò)商店，來輕易獲取網(wǎng)友的機(jī)密資料；（9）雙面惡魔：指的是一種常出現(xiàn)在機(jī)場(chǎng)、旅館、咖啡廳等地方，假裝可提供正當(dāng)無線網(wǎng)絡(luò)連結(jié)到Internet的應(yīng)用服務(wù)，當(dāng)使用者不知情登上此網(wǎng)絡(luò)時(shí)，就會(huì)被竊取其密碼或信用卡資訊。（10）網(wǎng)址轉(zhuǎn)嫁連結(jié)：犯罪者常侵入ISP的服務(wù)器中修改內(nèi)部IP的資訊并將其轉(zhuǎn)接到犯罪者偽造的網(wǎng)站，所以即使使用者建入正確的IP也會(huì)透過轉(zhuǎn)接到犯罪者的網(wǎng)站，而被截取資訊。

二、計(jì)算機(jī)安全問題的防范與控制

（一）硬件方面安全問題防范與控制

采用加固技術(shù)能夠提高計(jì)算機(jī)硬件的安全性。常見的有防震加固、密封加固、防腐加固、溫度環(huán)境加固。防輻射加固措施是從芯片，電磁器件到線路板、電源、轉(zhuǎn)盤、硬盤、顯示器及連接線，都全面屏蔽起來，以防電磁波輻射。更進(jìn)一步，可將機(jī)房或整個(gè)辦公大樓都屏蔽起來，如沒有條件建屏蔽機(jī)房，可以使用干擾器，發(fā)出干擾信號(hào)，使接收者無法正常接收有用信號(hào)。

隨著計(jì)算機(jī)的發(fā)展，我們手上的移動(dòng)設(shè)備越來越多，這些移動(dòng)設(shè)備給我們的信息存儲(chǔ)和轉(zhuǎn)移帶來了方便，但也帶來了不少的安全隱患。由于移動(dòng)設(shè)備的特點(diǎn)，使得移動(dòng)設(shè)備中往往隱藏著不少的病毒文件，一旦我們?cè)谧约旱挠?jì)算機(jī)上打開攜帶病毒的移動(dòng)設(shè)備后，我們的計(jì)算機(jī)就會(huì)被感染病毒。因此，在日常生活中使用不確定的移動(dòng)設(shè)備時(shí)，應(yīng)該在未打開移動(dòng)設(shè)備的狀態(tài)下先殺毒再使用。

（二）網(wǎng)絡(luò)安全的基本措施

首先要利用加密技術(shù)，加密技術(shù)是防止信息竊取的基本安全措施，分為對(duì)稱加密和非對(duì)稱加密兩類。對(duì)稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。非對(duì)稱加密又稱公鑰加密，使用一對(duì)密鑰來分別完成加密和解密操作，其中一個(gè)公開（即公鑰），另一個(gè)由用戶自己秘密保存（即私鑰）。其次安裝必要的安全軟件，還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻。在上網(wǎng)時(shí)打開它們，并經(jīng)常更新它們，檢測(cè)木馬病毒程序，這樣即使有黑客進(jìn)攻，我們也有安全保證。第三計(jì)算機(jī)安全監(jiān)控：計(jì)算機(jī)安全監(jiān)控系統(tǒng)是一種保障信息安全的有效機(jī)制在信息安全保護(hù)、實(shí)時(shí)運(yùn)行記錄和違規(guī)操作攔截等方面都有廣泛的應(yīng)用。通常，計(jì)算機(jī)安全監(jiān)控的對(duì)象可分成兩類：信息及操作。其中，信息主要是指系統(tǒng)的文件和文本信息，操作主要是指用戶人為產(chǎn)生的操作行為。監(jiān)控系統(tǒng)要對(duì)文件信息的變更，文本信息的復(fù)制傳播以及人為操作

進(jìn)行記錄、甄別，必要時(shí)要能阻止有威脅的信息傳播。文件是信息的主要載體，在信息安全領(lǐng)域，對(duì)文件的保護(hù)至關(guān)重要，要求必須全面監(jiān)控計(jì)算機(jī)的文件操作對(duì)文件的新建、修改、刪除等操作進(jìn)行準(zhǔn)確的記錄，甚至要依據(jù)判別規(guī)則進(jìn)行操作干預(yù)，防止受保護(hù)的文件被非法修改、刪除或復(fù)制傳播。文本是大部分信息的直接表現(xiàn)形式，它可以來自文件，網(wǎng)絡(luò)等多種渠道，文本的監(jiān)控保護(hù)主要體現(xiàn)在對(duì)文本內(nèi)容復(fù)制的監(jiān)控，記錄復(fù)制的相關(guān)信息阻止敏感信息的。

三、結(jié)論

現(xiàn)代社會(huì)計(jì)算機(jī)安全是我們工作、學(xué)習(xí)的保證。當(dāng)我們運(yùn)用正確的方法理性的面對(duì)時(shí)，我們就可以讓計(jì)算機(jī)在相對(duì)安全的環(huán)境中為我們提供高效地、優(yōu)質(zhì)地服務(wù)。只要我們加強(qiáng)了計(jì)算機(jī)的安全意識(shí)，加強(qiáng)計(jì)算機(jī)安全問題的防范與控制，對(duì)于確保信息系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)的安全具有重要的意義。

參考文獻(xiàn)

篇13

安全防護(hù)的目的是通過系統(tǒng)加固、安全設(shè)備部署等網(wǎng)絡(luò)安全技術(shù)手段，實(shí)現(xiàn)對(duì)惡意或非惡意攻擊行為的防御，根據(jù)防護(hù)對(duì)象的不同，又可以分成四個(gè)維度。

1.1網(wǎng)絡(luò)層

網(wǎng)絡(luò)層的安全防護(hù)主要通過在網(wǎng)絡(luò)設(shè)備層面設(shè)置安全加固措施，保障數(shù)據(jù)傳送的底層網(wǎng)絡(luò)能夠持續(xù)穩(wěn)定的運(yùn)行。首先需要保證網(wǎng)絡(luò)拓?fù)涞暮侠硇裕鰪?qiáng)網(wǎng)絡(luò)設(shè)計(jì)時(shí)的健壯性。在網(wǎng)絡(luò)架構(gòu)上保證內(nèi)外網(wǎng)的物理隔離，防止外網(wǎng)的安全威脅蔓延至內(nèi)網(wǎng)中；確保網(wǎng)絡(luò)具備冗余倒換能力，不存在網(wǎng)絡(luò)的單點(diǎn)故障；將不同的業(yè)務(wù)、不同的用戶在網(wǎng)絡(luò)層面進(jìn)行隔離，降低用戶非授權(quán)訪問的可能性；在關(guān)鍵網(wǎng)絡(luò)出口處部署防火墻設(shè)備或者設(shè)置訪問控制列表，限定外部網(wǎng)絡(luò)與受控業(yè)務(wù)系統(tǒng)之間可以進(jìn)行交互的應(yīng)用類型；避免網(wǎng)絡(luò)設(shè)計(jì)中存在可旁路繞過安全防護(hù)設(shè)備的鏈路。其次啟用相應(yīng)的內(nèi)網(wǎng)、外網(wǎng)防護(hù)技術(shù)手段，降低網(wǎng)絡(luò)層面遭遇攻擊的幾率。啟用網(wǎng)絡(luò)接入的準(zhǔn)入機(jī)制，只有通過認(rèn)證的設(shè)備才允許進(jìn)行網(wǎng)絡(luò)訪問；通過在網(wǎng)絡(luò)層部署反向路由檢測(cè)機(jī)制，阻斷惡意用戶使用仿冒地址發(fā)起攻擊；通過在網(wǎng)絡(luò)層部署MAC地址綁定機(jī)制，防止局域網(wǎng)內(nèi)的ARP攻擊；在業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處啟用動(dòng)態(tài)路由協(xié)議的Peer認(rèn)證機(jī)制，防止非授權(quán)的設(shè)備參與進(jìn)路由廣播和分發(fā)中，造成網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的異常。

1.2系統(tǒng)層

系統(tǒng)層的安全防護(hù)主要著眼于業(yè)務(wù)服務(wù)器、維護(hù)終端及辦公終端操作系統(tǒng)的安全措施部署。通過設(shè)置統(tǒng)一的補(bǔ)丁服務(wù)器、病毒防護(hù)服務(wù)器，實(shí)現(xiàn)各類主機(jī)系統(tǒng)升級(jí)補(bǔ)丁和病毒特征更新包的統(tǒng)一管理、及時(shí)，避免因操作系統(tǒng)漏洞未及時(shí)修補(bǔ)造成網(wǎng)絡(luò)安全的發(fā)生；部署統(tǒng)一的集中認(rèn)證授權(quán)系統(tǒng)，實(shí)現(xiàn)基于手機(jī)短信認(rèn)證、令牌環(huán)認(rèn)證等方式的雙因子認(rèn)證機(jī)制，根據(jù)認(rèn)證的結(jié)果分配給用戶對(duì)應(yīng)的訪問權(quán)限，確保登錄用戶所能進(jìn)行的操作合法性。

1.3應(yīng)用層

所有的業(yè)務(wù)提供能力最終都是體現(xiàn)為各種業(yè)務(wù)應(yīng)用，因此應(yīng)用層的防護(hù)能力高低，直接決定了一個(gè)業(yè)務(wù)網(wǎng)絡(luò)的安全程度。在應(yīng)用層面需要實(shí)現(xiàn)最小化服務(wù)的原則，對(duì)于與業(yè)務(wù)和維護(hù)沒有關(guān)聯(lián)的應(yīng)用服務(wù)端口，都應(yīng)予以關(guān)閉；針對(duì)所提供的Web應(yīng)用，應(yīng)該部署WAF設(shè)備，阻隔針對(duì)應(yīng)用的網(wǎng)絡(luò)攻擊行為。

1.4數(shù)據(jù)層

數(shù)據(jù)層次主要數(shù)據(jù)的加密傳輸和保存，客戶端和服務(wù)端之間使用SSL、SSH之類的安全加密傳輸協(xié)議進(jìn)行數(shù)據(jù)的交互，確保數(shù)據(jù)在高強(qiáng)度的加密通道中進(jìn)行傳輸，不被篡改、不被截獲，通過對(duì)應(yīng)用系統(tǒng)的改造優(yōu)化，實(shí)現(xiàn)在服務(wù)器上存儲(chǔ)關(guān)鍵數(shù)據(jù)時(shí)使用MD5加密等方式進(jìn)行數(shù)據(jù)存儲(chǔ)，降低存儲(chǔ)文件外泄后數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

2自動(dòng)化安全檢測(cè)能力

安全檢測(cè)是通過主動(dòng)自主的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行審視，及早的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全問題，安全檢測(cè)技術(shù)能力的提升，有助于企業(yè)能夠更為快速準(zhǔn)備的定位網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，通過及時(shí)采取安全防護(hù)措施，降低網(wǎng)絡(luò)安全隱患。

2.1漏洞掃描

漏洞掃描技術(shù)是在網(wǎng)絡(luò)安全檢測(cè)方面使用的最為廣泛的一種手段，通過自動(dòng)化的掃描工具和被檢測(cè)的系統(tǒng)進(jìn)行連接，并讀取內(nèi)置的漏洞數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交互情況的匹配，以判斷目標(biāo)系統(tǒng)是否存在相應(yīng)的網(wǎng)絡(luò)安全漏洞。根據(jù)掃描對(duì)象的不同，漏洞掃描又可分為系統(tǒng)掃描和Web應(yīng)用掃描。為保證漏洞掃描技術(shù)手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數(shù)據(jù)庫(kù)，漏洞判定的原理依據(jù)是否合理有效，漏洞掃描任務(wù)執(zhí)行速度是否快速；另一方面需要系統(tǒng)化的考慮漏洞掃描工具的布放，通過集中管控，分級(jí)部署的方式，使得漏洞掃描工具能夠通過遠(yuǎn)程管理和控制，跨區(qū)域覆蓋到所有需檢測(cè)的網(wǎng)絡(luò)系統(tǒng)，自動(dòng)化執(zhí)行周期性的掃描任務(wù)，提升漏洞掃描工作任務(wù)執(zhí)行的效率。

2.2基線檢查

基線檢查系統(tǒng)通過遠(yuǎn)程登錄目標(biāo)系統(tǒng)或者通過在目標(biāo)主機(jī)上運(yùn)行采集腳本，獲取目標(biāo)主機(jī)的實(shí)際配置情況，與系統(tǒng)內(nèi)設(shè)置的各種系統(tǒng)、應(yīng)用的配置的標(biāo)準(zhǔn)項(xiàng)進(jìn)行對(duì)比核對(duì)，找出其中的差異，即不合規(guī)項(xiàng)，形成直觀的統(tǒng)計(jì)報(bào)表。

3全方位安全審計(jì)能力

通過安全審計(jì)技術(shù)手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)操作、流量特征行為進(jìn)行審核，發(fā)現(xiàn)網(wǎng)絡(luò)中所存在的違背安全策略的行為，根據(jù)審計(jì)的結(jié)果，做好事中處理或者事后補(bǔ)救的措施，保障企業(yè)的網(wǎng)絡(luò)安全。

3.1操作審計(jì)

各運(yùn)維部門負(fù)責(zé)運(yùn)維種類繁多，數(shù)量龐大的各式通信網(wǎng)元，且參與運(yùn)維的人員眾多，但是相應(yīng)的運(yùn)維操作并沒有全部進(jìn)行審計(jì)管控，存在網(wǎng)絡(luò)安全管控上的盲點(diǎn)，因此完善在操作審計(jì)上的能力也是優(yōu)化網(wǎng)絡(luò)安全管理體系的重要環(huán)節(jié)。通過全覆蓋式操作審計(jì)系統(tǒng)的覆蓋，實(shí)現(xiàn)對(duì)現(xiàn)網(wǎng)設(shè)備及應(yīng)用的集中操作審計(jì)，對(duì)運(yùn)營(yíng)商日常運(yùn)維操作的情況進(jìn)行記錄，保存運(yùn)維人員的登錄賬號(hào)名，登錄時(shí)間，登錄結(jié)果，登錄IP地址以及操作帳號(hào)，操作時(shí)間，操作命令，操作結(jié)果等一系列操作信息，周期性的對(duì)操作的情況進(jìn)行審核，是否存在異常的操作行為，同時(shí)在發(fā)生安全事件時(shí)，也可通過操作審計(jì)系統(tǒng)進(jìn)行設(shè)備操作記錄的回溯，發(fā)現(xiàn)問題關(guān)鍵點(diǎn)。

3.2流量分析

在運(yùn)營(yíng)網(wǎng)絡(luò)中不光存在著正常的業(yè)務(wù)流量，還有眾多的網(wǎng)絡(luò)攻擊、垃圾郵件、蠕蟲病毒等產(chǎn)生的異常流量，對(duì)于這些異常流量的及時(shí)甄別、快速處置是優(yōu)化網(wǎng)絡(luò)安全環(huán)境的關(guān)鍵步驟。運(yùn)營(yíng)商應(yīng)該在流量分析的手段上進(jìn)行補(bǔ)充完善，形成以下幾個(gè)層次的分析能力：第一層次是基于SNMP協(xié)議，采集平臺(tái)網(wǎng)絡(luò)出口設(shè)備的端口進(jìn)出字節(jié)情況，構(gòu)造出日常的流量圖形情況，通過實(shí)施監(jiān)測(cè)發(fā)現(xiàn)流量突增突減的情況，可以粗略的判斷是否存在網(wǎng)絡(luò)攻擊行為，及時(shí)對(duì)異常行為做出響應(yīng)；第二層次是基于netflow技術(shù)，通過提取數(shù)據(jù)包的包頭，獲取IP地址、協(xié)議類型、應(yīng)用端口、數(shù)據(jù)包進(jìn)出的設(shè)備端口、字節(jié)數(shù)等一系列信息，構(gòu)建出整個(gè)網(wǎng)絡(luò)流量的整體視圖，分析網(wǎng)絡(luò)中存在的異常流量情況并進(jìn)行對(duì)應(yīng)的溯源，準(zhǔn)確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，具備快速響應(yīng)能力，及時(shí)獲取事件發(fā)生時(shí)，被攻擊網(wǎng)絡(luò)的交互數(shù)據(jù)包情況，通過對(duì)這些數(shù)據(jù)包的精準(zhǔn)分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的方式方法，采取針對(duì)性的防護(hù)措施進(jìn)行防御。

3.3日志分析

網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用、安全設(shè)備所產(chǎn)生的記錄用戶的行為、系統(tǒng)狀態(tài)的日志，為網(wǎng)絡(luò)安全事件的處置提供了大量重要的信息，通過對(duì)來自網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的日志進(jìn)行關(guān)聯(lián)性分析，可以判定出攻擊者什么時(shí)候通過什么手段發(fā)起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應(yīng)當(dāng)建立集中式的日志收集分析系統(tǒng)，提高自身在網(wǎng)絡(luò)安全事中的技術(shù)處理手段。

總之，網(wǎng)絡(luò)運(yùn)營(yíng)商在整個(gè)互聯(lián)網(wǎng)生態(tài)圈中提供最為基礎(chǔ)的通信管道，承擔(dān)著公共網(wǎng)絡(luò)的建設(shè)和維護(hù)的職責(zé)，因此一旦運(yùn)營(yíng)商的網(wǎng)絡(luò)遭遇黑客的惡意攻擊或者發(fā)生其他類似的安全問題，所影響到的互聯(lián)網(wǎng)用戶范圍非常廣，造成的社會(huì)影響非常大。技術(shù)手段作為網(wǎng)絡(luò)安全的重中之重，本文對(duì)其進(jìn)行了重點(diǎn)探討，希望能對(duì)未來網(wǎng)絡(luò)安全的發(fā)展貢獻(xiàn)一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊(duì)

引用：

[1]上官曉麗.國(guó)際信息安全管理標(biāo)準(zhǔn)的相關(guān)研究[J].信息技術(shù)與標(biāo)準(zhǔn)化，2014.

[2]侯繼江.中國(guó)網(wǎng)絡(luò)安全防護(hù)工作開展思路及經(jīng)驗(yàn)總結(jié)[J].電信網(wǎng)技術(shù)，2011.