構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系范文

導(dǎo)語(yǔ)：如何才能寫好一篇構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：網(wǎng)絡(luò)信息；安全；防護(hù)體系

1 網(wǎng)絡(luò)信息安全內(nèi)容和技術(shù)防范原則

1.1 網(wǎng)絡(luò)信息安全內(nèi)容

網(wǎng)絡(luò)信息安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其體系中材料得到維護(hù)，不受有時(shí)的或者惡意的因素而受到宣泄、損害、改動(dòng)，體系能夠穩(wěn)固正常的運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)服務(wù)不會(huì)出現(xiàn)中斷。在網(wǎng)絡(luò)信息工作中所面對(duì)的破壞分為兩種，一種是惡意的，一種是有時(shí)的，惡意的又能夠分為主動(dòng)以及被動(dòng)這兩種。主動(dòng)突擊主要是更改數(shù)據(jù)庫(kù)或者建造不正確的數(shù)據(jù)庫(kù)，主要包含切斷、攔截、更改、造假、仿造改動(dòng)資料以及拒絕服務(wù)等；被動(dòng)突擊主要是窺伺或者偷聽，最主要就是想要得到正在輸送的材料。被動(dòng)突擊會(huì)宣泄出材料狀況以及材料量等。按照電腦網(wǎng)絡(luò)所面對(duì)的脅迫，電腦網(wǎng)絡(luò)主要做好下面四個(gè)關(guān)鍵的部分：隱蔽；辨別；訪問(wèn)掌控；病毒預(yù)防。

1.2 網(wǎng)絡(luò)信息安全技術(shù)操作防范原則

1.2.1 買進(jìn)的新軟件與硬件必須進(jìn)行檢測(cè)后使用。

1.2.2 進(jìn)行系統(tǒng)啟動(dòng)時(shí)，采用硬盤進(jìn)行啟動(dòng)。

1.2.3 重點(diǎn)的計(jì)算機(jī)需要進(jìn)行獨(dú)立盤、獨(dú)立人、獨(dú)立機(jī)器、獨(dú)立使用的保護(hù)，在這種狀態(tài)下病毒不會(huì)自動(dòng)滋生。

1.2.4 對(duì)于重要的文件進(jìn)行定期的備份工作。

1.2.5 在發(fā)郵件或者是進(jìn)行網(wǎng)聊的時(shí)候，附件不要輕易的接收，互聯(lián)網(wǎng)中的軟件用不著的避免下載。在可執(zhí)行的文件與辦公文檔里面的病毒卸載量是很高的，減少下載。就算是下載完成了，還必須使用新型的殺毒軟件進(jìn)行病毒的查殺。

1.2.3 下載并安裝官方的殺毒軟件，定期升級(jí)。

1.2.7 下載安裝病毒的防火墻，從根本上保障計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)不受病毒危害。

2 網(wǎng)絡(luò)信息的安全防護(hù)體系

2.1 加強(qiáng)網(wǎng)絡(luò)安全的層次模型

ISO定義了OSI/RM七層網(wǎng)絡(luò)參考模型，不同的網(wǎng)絡(luò)層次完成不同的功能。從安全角度來(lái)看，各層能提供一定的安全手段，針對(duì)不同層次的安全措施是不同的。沒(méi)有哪個(gè)層次能夠單獨(dú)提供全部的網(wǎng)絡(luò)安全服務(wù)，每個(gè)層次都有自己的貢獻(xiàn)。

2.2 加強(qiáng)網(wǎng)絡(luò)安全防火墻的功能

所謂的防火墻不是真正意義上的墻，這是在對(duì)訪問(wèn)進(jìn)行控制的一種方法，這是屬于安全模式狀態(tài)下，也是整個(gè)結(jié)構(gòu)的安全性能的重要組成部分，其作用是阻擋內(nèi)外的不安全的訪問(wèn)以及危險(xiǎn)數(shù)據(jù)的交流。在互聯(lián)網(wǎng)中，它能夠隔離出互聯(lián)網(wǎng)中有風(fēng)險(xiǎn)性的網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的連接，這樣就有效的加強(qiáng)了內(nèi)部網(wǎng)絡(luò)整體的安全性能。二零一零防火墻用途就是在網(wǎng)絡(luò)的接入處對(duì)其通訊的數(shù)據(jù)進(jìn)行檢查，受到了企業(yè)安全政策的控制，進(jìn)行拒絕或允許或是檢測(cè)的情況下的互相交換的信息，其防火墻自身就是有高抗攻擊的，在對(duì)網(wǎng)絡(luò)數(shù)據(jù)交換與訪問(wèn)過(guò)程進(jìn)行檢測(cè)與控制，這樣對(duì)網(wǎng)絡(luò)的安全也是一個(gè)保障，有以下集中功能：有著數(shù)據(jù)在進(jìn)出互聯(lián)網(wǎng)的過(guò)濾作用，對(duì)網(wǎng)絡(luò)進(jìn)出訪問(wèn)做一個(gè)集中的管理，檢查出非法訪問(wèn)的行為，對(duì)其內(nèi)容與活動(dòng)進(jìn)行記錄，針對(duì)網(wǎng)絡(luò)攻擊有著檢測(cè)與警告的作用。

通常防火墻具有以下功能：過(guò)濾進(jìn)出的數(shù)據(jù)；管理進(jìn)出的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警。網(wǎng)絡(luò)級(jí)防火墻可以將從數(shù)據(jù)包中獲取的信息（源地址、目標(biāo)地址、所用端口等）同規(guī)則表進(jìn)行比較。在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。網(wǎng)絡(luò)級(jí)防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。應(yīng)用級(jí)防火墻又稱為應(yīng)用級(jí)網(wǎng)關(guān)，它的另外一個(gè)名字就是服務(wù)器。網(wǎng)絡(luò)級(jí)防火墻可以按照IP地址禁止外部對(duì)內(nèi)部的訪問(wèn)，但不能控制內(nèi)部人員對(duì)外的訪問(wèn)。服務(wù)器隔離在風(fēng)險(xiǎn)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，內(nèi)外不能直接交換數(shù)據(jù)，數(shù)據(jù)交換由服務(wù)器“”完成。

2.3 加強(qiáng)虛擬專用網(wǎng)VPN技術(shù)

VPN就是虛擬專用網(wǎng)絡(luò)，是伴隨著互聯(lián)網(wǎng)的前進(jìn)而飛速壯大起來(lái)的一種措施。在現(xiàn)代化單位的經(jīng)濟(jì)往來(lái)活動(dòng)中以及售前售后的工作中都會(huì)越來(lái)越多的使用到互聯(lián)網(wǎng)技術(shù)，甚至在培訓(xùn)以及合作中都會(huì)使用到。很多單位都慢慢的使用互聯(lián)網(wǎng)架設(shè)到原有的私有網(wǎng)絡(luò)中。這種使用互聯(lián)網(wǎng)來(lái)輸送私有資料慢慢構(gòu)成的邏輯網(wǎng)絡(luò)就是VPN。

隧道措施。隧道措施基于互聯(lián)網(wǎng)為根本，在互聯(lián)網(wǎng)的各項(xiàng)根本設(shè)備中傳輸信息的方法。數(shù)據(jù)資料或者負(fù)荷運(yùn)用隧道的方式進(jìn)行輸送可以是不一樣的條約數(shù)據(jù)幀或者數(shù)據(jù)包。隧道協(xié)議把別的協(xié)議的數(shù)據(jù)幀或者數(shù)據(jù)包再次進(jìn)行封裝然后再進(jìn)行輸送。新的幀頭供應(yīng)路由數(shù)據(jù)，進(jìn)而能夠傳遞再次進(jìn)行封裝進(jìn)行輸送的數(shù)據(jù)經(jīng)過(guò)網(wǎng)絡(luò)進(jìn)行輸送。

加解密技術(shù)。對(duì)通過(guò)公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過(guò)加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無(wú)法讀取該信息。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用。

密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。使用者與設(shè)備身份認(rèn)證技術(shù)。VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問(wèn)VPN。

2.4 完善網(wǎng)絡(luò)信息安全機(jī)制

探索電腦網(wǎng)絡(luò)安全的系統(tǒng)構(gòu)造，就是探索怎樣能夠從管制以及措施上確保網(wǎng)絡(luò)的安全性能夠準(zhǔn)確完好的完成，網(wǎng)絡(luò)對(duì)于安全方面的需要能夠獲得滿足。一定要增強(qiáng)網(wǎng)絡(luò)在安全體制方面的建造，主要包含加密體制、數(shù)字簽名體制、訪問(wèn)掌控體制、數(shù)據(jù)全面性體制、辨別交換體制，信息交流玉傳遞填充體制，路由掌控，公證體制。

2.5 網(wǎng)絡(luò)安全政策法規(guī)與標(biāo)準(zhǔn)

如今，中國(guó)的標(biāo)準(zhǔn)信息安全條例有包括國(guó)內(nèi)外的100多條。信息的安全規(guī)范也是對(duì)于信息保障結(jié)構(gòu)的不可缺少的一部分，也是政府在宏觀調(diào)控上的憑證。信息安全是國(guó)家安全的必然要求，也是對(duì)于我國(guó)利益維護(hù)的重要舉措，做好了信息的安全就能夠提高網(wǎng)絡(luò)上安全產(chǎn)品可信的程度，使產(chǎn)品之間實(shí)現(xiàn)互聯(lián)與安全操作，為計(jì)算機(jī)的安全提供了有效的保障。王麗香（2004）網(wǎng)絡(luò)的信息安全問(wèn)題已經(jīng)引起全社會(huì)的普遍關(guān)注，為了興利除弊，使網(wǎng)絡(luò)健康發(fā)展，維護(hù)國(guó)家安全和社會(huì)共公利益，可以借助法律力量，可以利用法律所具有的嚴(yán)肅性、強(qiáng)制性、不可侵犯性等特點(diǎn)，強(qiáng)有力地規(guī)范約束社會(huì)上種種不利于網(wǎng)絡(luò)安全的行為。為防治網(wǎng)絡(luò)違法、有害信息的傳播，制止網(wǎng)絡(luò)犯罪提供了法律依據(jù)。

2.6 加強(qiáng)網(wǎng)絡(luò)安全管理

在信息安全方面出現(xiàn)威脅百分之六十以上的原因是因?yàn)楣苤撇划?dāng)產(chǎn)生的。網(wǎng)絡(luò)體系的安全管制主要由于三個(gè)準(zhǔn)則：多人承擔(dān)準(zhǔn)則，擔(dān)任時(shí)間有限準(zhǔn)則，職責(zé)相互獨(dú)立準(zhǔn)則。李亮提出增強(qiáng)網(wǎng)絡(luò)內(nèi)部管制工作者以及操作者的安全思想，許多電腦體系大多使用口令密碼進(jìn)行掌控體系中的資源查詢，這是在預(yù)防病毒入侵的措施中，最簡(jiǎn)便容易的辦法之一。網(wǎng)絡(luò)管制工作者以及終端操縱工作者按照自己的工作內(nèi)容，選用不一樣的賬號(hào)密碼，對(duì)運(yùn)用軟件數(shù)據(jù)開展健康合理的操縱，避免顧客搜索到跨級(jí)別的內(nèi)容。

參考文獻(xiàn)

[1]彭 ，高 .計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計(jì)算機(jī)與數(shù)字工程，2011，（1）：121-124.

篇2

關(guān)鍵詞：校園計(jì)算機(jī)；網(wǎng)絡(luò)安全；安全防護(hù)

中圖分類號(hào)：TP393.08

二十一世紀(jì)的今天，信息技術(shù)在不斷地發(fā)展進(jìn)步。為適應(yīng)信息化潮流，教育也開始向信息化的方向發(fā)展，校園網(wǎng)絡(luò)也隨之建設(shè)發(fā)展起來(lái)。許多學(xué)校在教學(xué)管理活動(dòng)中充分運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)通信的便利作用，久而久之，學(xué)校對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依懶性也越來(lái)越高。如果不能保證校園網(wǎng)絡(luò)的安全，校園的各種重要信息將會(huì)被泄露，學(xué)校教學(xué)管理活動(dòng)也將不能正常進(jìn)行。因此，構(gòu)建校園計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系顯得至關(guān)重要。

1 校園計(jì)算機(jī)網(wǎng)絡(luò)的不安全因素

校園計(jì)算機(jī)網(wǎng)絡(luò)存在很多不安全因素，這些不安全因素來(lái)自以下三個(gè)方面：人為因素、偶發(fā)因素和自然因素。人為因素是指，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。自然因素是指，各種自然災(zāi)害對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成嚴(yán)重的威脅。偶發(fā)因素是指，電源故障、設(shè)備的功能失常及軟件開發(fā)過(guò)程中留下的漏洞或邏輯錯(cuò)誤等。其中，人為因素是最大的不安全因素，主要原因在于以下幾個(gè)方面。

1.1 網(wǎng)絡(luò)自身的不安全性

網(wǎng)絡(luò)的最大特點(diǎn)是共享，這個(gè)特點(diǎn)也決定了網(wǎng)絡(luò)的開放性，各種網(wǎng)絡(luò)技術(shù)都是對(duì)外開放的。開放的網(wǎng)絡(luò)技術(shù)增加了網(wǎng)絡(luò)攻擊的多樣性。有些攻擊專門針對(duì)物理傳輸線路，還有一些攻擊是針對(duì)網(wǎng)絡(luò)通信協(xié)議的，最常見的攻擊主要針對(duì)計(jì)算機(jī)軟件的漏洞。網(wǎng)絡(luò)系統(tǒng)并不局限于校園這種小范圍地區(qū)，它是國(guó)際性的，因此，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不僅僅受本地用戶的攻擊，它受世界各地黑客的威脅，即使是校園網(wǎng)絡(luò)也可能被別的地區(qū)的黑客攻擊。我們目前的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是很自由的，即使是沒(méi)有技術(shù)的人員也可以不受約束的使用，用戶可以在網(wǎng)絡(luò)上獲得各種信息。網(wǎng)絡(luò)的這些特性增加了系統(tǒng)的不安全性。

1.2 操作系統(tǒng)存在安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行需要操作系統(tǒng)提供一個(gè)穩(wěn)定的環(huán)境，只有在這種穩(wěn)定的環(huán)境中計(jì)算機(jī)的運(yùn)用系統(tǒng)才能正常運(yùn)行。所以操作系統(tǒng)的安全性對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全起著至關(guān)重要的作用。操作系統(tǒng)主要負(fù)責(zé)對(duì)系統(tǒng)的軟件資源和硬件資源進(jìn)行管理，由于開發(fā)人員的技術(shù)問(wèn)題在操作系統(tǒng)方面造成的不安全性增加了計(jì)算機(jī)網(wǎng)絡(luò)的危險(xiǎn)性。

計(jì)算機(jī)的操作系統(tǒng)結(jié)構(gòu)體系也不夠完善，還存在著一些缺陷。操作系統(tǒng)對(duì)計(jì)算機(jī)內(nèi)部進(jìn)行著多處管理，每一處管理都會(huì)涉及到一系列的程序，這些程序哪怕出現(xiàn)很小的問(wèn)題都會(huì)使計(jì)算機(jī)系統(tǒng)受到巨大的影響。外部網(wǎng)絡(luò)一旦接入出現(xiàn)問(wèn)題的部分，有可能引起計(jì)算機(jī)系統(tǒng)的徹底崩潰，這將會(huì)使校園的教學(xué)管理系統(tǒng)毀壞，教學(xué)活動(dòng)隨之受到巨大影響。

操作系統(tǒng)具有網(wǎng)絡(luò)傳輸功能，這個(gè)功能也增加了網(wǎng)絡(luò)的不安全因素，一些病毒可能會(huì)在接受文件的時(shí)候攻擊計(jì)算機(jī)系統(tǒng)。創(chuàng)建進(jìn)程是操作系統(tǒng)的一大特色，它可以使進(jìn)程進(jìn)行遠(yuǎn)程創(chuàng)建和激活，被創(chuàng)建的進(jìn)程可以繼續(xù)進(jìn)行創(chuàng)建，有些黑客會(huì)利用操作系統(tǒng)的這一特性擺脫操作系統(tǒng)的監(jiān)視，進(jìn)而對(duì)系統(tǒng)進(jìn)行破壞。

目前的計(jì)算機(jī)操作系統(tǒng)依然存在后門和漏洞。通過(guò)避開安全控制的方式對(duì)系統(tǒng)進(jìn)行訪問(wèn)的程序被稱為后門程序。這些后門程序是程序員們?cè)谲浖_發(fā)階段所編制的，編制這些程序是為了完善程序設(shè)計(jì)中的不足之處。有些后門程序在軟件刪除之后并沒(méi)有被刪掉，這就使得一些黑客乘虛而入，對(duì)系統(tǒng)進(jìn)行破壞。

2 構(gòu)建安全的校園計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)體系

2.1 技術(shù)層面的對(duì)策

校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在技術(shù)層面需要提高，實(shí)時(shí)掃描技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)是目前存在的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)。所以在加強(qiáng)技術(shù)方面，我們可以采取以下幾種對(duì)策。

2.1.1 建立安全的校園計(jì)算機(jī)網(wǎng)絡(luò)管理制度

加強(qiáng)校園網(wǎng)絡(luò)用戶的道德修養(yǎng)，提高系統(tǒng)管理員的技術(shù)。對(duì)系統(tǒng)進(jìn)行定期檢查，同時(shí)要對(duì)重要的數(shù)據(jù)進(jìn)行備份。學(xué)校還要控制網(wǎng)絡(luò)訪問(wèn)，盡量減小網(wǎng)絡(luò)訪問(wèn)量。控制網(wǎng)絡(luò)的訪問(wèn)量對(duì)于保護(hù)網(wǎng)絡(luò)安全是很重要的一種方式，校園網(wǎng)絡(luò)的資源可以通過(guò)這種方式得以保護(hù)。控制網(wǎng)絡(luò)訪問(wèn)是目前保護(hù)系統(tǒng)的主要策略。訪問(wèn)控制要從多個(gè)方面進(jìn)行，同時(shí)也涉及了多方面的技術(shù)，入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制都在控制訪問(wèn)之列。同時(shí)還要注意對(duì)數(shù)據(jù)庫(kù)及時(shí)進(jìn)行備份和恢復(fù)。數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)進(jìn)行管理的時(shí)候重要的操作就是對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)，其中的備份是最能防治系統(tǒng)發(fā)生意外的方式，恢復(fù)則是在數(shù)據(jù)受到破壞后減小損失的最主要方式。另外還要提高校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用密碼技術(shù)。信息安全核心技術(shù)就是密碼技術(shù)，通過(guò)密碼技術(shù)可以保證信息安全。當(dāng)前保證信息完整性方法就是密碼的數(shù)字簽名和身份認(rèn)證。

2.1.2 提高校園計(jì)算機(jī)網(wǎng)絡(luò)反病毒技術(shù)

病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)具有很大的破壞作用，所以提高反病毒技術(shù)對(duì)于建立安全防護(hù)系統(tǒng)非常重要。學(xué)校可以安排管理人員安裝病毒防火墻，對(duì)帶有病毒進(jìn)的文件行過(guò)濾。防火墻會(huì)對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行掃描檢測(cè)，一旦發(fā)現(xiàn)可疑文件將采取相應(yīng)措施進(jìn)行控制。此外，還要完善操作系統(tǒng)，加大操作系統(tǒng)對(duì)病毒的檢測(cè)力度，堅(jiān)決不讓病毒鉆空子，保證系統(tǒng)的安全。

2.2 管理層面的對(duì)策

計(jì)算機(jī)網(wǎng)絡(luò)的安全管理包括很多個(gè)方面，它不僅僅只是建立安全管理機(jī)構(gòu)，它還包括了提高計(jì)算機(jī)網(wǎng)絡(luò)用戶網(wǎng)絡(luò)的安全意識(shí)。校園網(wǎng)絡(luò)的用戶多數(shù)為在校師生，所以學(xué)校可以開設(shè)有關(guān)的課程，讓網(wǎng)絡(luò)用戶明白自己該干什么不該干什么，提高學(xué)生在網(wǎng)絡(luò)使用方面的法律意識(shí)。這樣將會(huì)使校園網(wǎng)絡(luò)的威脅減少，對(duì)于那些試圖攻破網(wǎng)絡(luò)系統(tǒng)的人員要采取法律手段對(duì)他們進(jìn)行懲罰。加大網(wǎng)絡(luò)安全方面的宣傳，讓校園用戶明確自己的權(quán)利和義務(wù)。同時(shí)學(xué)校還要調(diào)動(dòng)網(wǎng)絡(luò)用戶的責(zé)任心，如果發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)做破壞的人要及時(shí)舉報(bào)，堅(jiān)決維護(hù)校園計(jì)算機(jī)網(wǎng)絡(luò)的安全，還要建立相應(yīng)的制度，包括資料管理制度、機(jī)房保衛(wèi)管理制度、嚴(yán)格分工等管理制度。

3 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為校園發(fā)展中不可缺少的一部分，保證校園計(jì)算機(jī)網(wǎng)絡(luò)的安全性問(wèn)題也成了很重要的問(wèn)題。校園網(wǎng)絡(luò)的不安全因素來(lái)自多個(gè)方面，所以在建立安全防護(hù)體系的時(shí)候也要考慮到多方面因素。校園計(jì)算機(jī)網(wǎng)絡(luò)在不斷地發(fā)展變化，網(wǎng)絡(luò)的安全問(wèn)題也不是一成不變的，所以網(wǎng)絡(luò)安全防護(hù)體系也要根據(jù)新的安全問(wèn)題及時(shí)更新變化，要保證校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的有效性和先進(jìn)性。

參考文獻(xiàn)：

[1]羅森林.高平.信息系統(tǒng)安全與對(duì)抗技術(shù)實(shí)驗(yàn)教程[M].哈爾濱：黑龍江大學(xué)出版社，2012（49）：50.

[2]潘瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國(guó)鐵道出版社科學(xué)出版社，2010（23）：214.

[3]華師傅資訊.黑客攻防疑難解析與技巧[M].北京：北京理工大學(xué)出版社，2012：24.

[4]郭俊珍.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全[J].武漢大學(xué)報(bào)，2011.

篇3

關(guān)鍵詞：電力企業(yè)；信息網(wǎng)網(wǎng)絡(luò)安全；層次式防護(hù)體系

中圖分類號(hào)：TN915.08

網(wǎng)絡(luò)信息安全的問(wèn)題主要包括了網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護(hù)，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡(luò)安全就需要構(gòu)建一個(gè)層次式防護(hù)體系，這個(gè)防護(hù)體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全所面臨的各種問(wèn)題，給企業(yè)一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

1 信息網(wǎng)絡(luò)安全層次式防護(hù)體系的防護(hù)模式

結(jié)合電力企業(yè)的實(shí)際情況，按照層次式防護(hù)體系的防護(hù)模式，可將電力企業(yè)的網(wǎng)絡(luò)信息安全分為七大模塊，分別是入侵檢測(cè)、環(huán)境與硬件、防火墻、VPN（虛擬專用網(wǎng)）、隱患掃描、病毒防范、PKI（公開密鑰基礎(chǔ)設(shè)施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護(hù)模式的第一、二層，是對(duì)系統(tǒng)安全要求比較高的電網(wǎng)運(yùn)行與安全穩(wěn)定的控制，還包含了電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)等實(shí)時(shí)網(wǎng)絡(luò)，使用防火墻隔離網(wǎng)關(guān)設(shè)備來(lái)連接信息網(wǎng)絡(luò)，這樣就可以獲取實(shí)時(shí)的系統(tǒng)數(shù)據(jù)，不過(guò)這樣仍有一個(gè)小的缺陷，就是不可能直接或間接的修改實(shí)時(shí)系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡(luò)與實(shí)時(shí)網(wǎng)絡(luò)之間在物理網(wǎng)絡(luò)層的隔離，這樣就能從根本上防護(hù)非法用戶的入侵。

另外，也可在信息網(wǎng)的Internet接入口處安裝防火墻，這種防火墻主要防止來(lái)自外部的攻擊，而且企業(yè)內(nèi)各機(jī)構(gòu)之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護(hù)措施。不過(guò)防火墻對(duì)于一些利用合法通道而展開的網(wǎng)絡(luò)內(nèi)部攻擊顯得無(wú)能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網(wǎng)關(guān)，很容易就成為網(wǎng)絡(luò)防護(hù)發(fā)展的頸瓶，不適合做過(guò)多的擴(kuò)展研究。因此，還需要和層次式防護(hù)的第三層入侵檢測(cè)等相關(guān)工具聯(lián)合起來(lái)運(yùn)用，這樣就能提高整個(gè)網(wǎng)絡(luò)的安全。

1.2 入侵檢測(cè)（IDS）

整個(gè)防護(hù)體系的第三層防護(hù)便是入侵檢測(cè)，入侵檢測(cè)不屬于網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，對(duì)通訊流量沒(méi)有任何限制，采用的是一種通過(guò)實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)資源（系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動(dòng)分析和尋找入侵行為的跡象，屬于一種動(dòng)態(tài)的安全防護(hù)技術(shù)。一旦被檢測(cè)到入侵情況就會(huì)立即進(jìn)行日志、安全控制操作以及警告等操作，給網(wǎng)絡(luò)系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進(jìn)行安全防護(hù)。像CA公司的eTrustIntrusionDetection程序就是通過(guò)自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網(wǎng)絡(luò)系統(tǒng)提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。同時(shí)還能在服務(wù)器及相關(guān)業(yè)務(wù)受到影響時(shí)，按照預(yù)先定義好的策略采取相應(yīng)的措施。

1.3 隱患掃描

防護(hù)體系的第四層防護(hù)便是隱患掃描，隱患掃描是一個(gè)全自動(dòng)化的網(wǎng)絡(luò)安全評(píng)估軟件，它以黑客的視角對(duì)被檢測(cè)的系統(tǒng)進(jìn)行是否承受攻擊性的安全漏洞以及隱患掃描，同時(shí)還能夠查到可能危及網(wǎng)絡(luò)或系統(tǒng)安全的弱點(diǎn)，從而提出相應(yīng)的維修措施，提交詳細(xì)的風(fēng)險(xiǎn)評(píng)估報(bào)告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，從而防患于未然，能夠預(yù)防在安全檢查中暴露出存在網(wǎng)絡(luò)系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網(wǎng)絡(luò)系統(tǒng)中運(yùn)行的風(fēng)險(xiǎn)降至最低。

隱患掃描系統(tǒng)的主要應(yīng)用在不同的場(chǎng)合和時(shí)宜，第一，對(duì)信息網(wǎng)作出定期的網(wǎng)絡(luò)安全自我檢測(cè)和評(píng)估。網(wǎng)絡(luò)管理員能夠定期的進(jìn)行網(wǎng)絡(luò)安全檢查服務(wù)，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進(jìn)行修補(bǔ)，從而優(yōu)化資源、提高網(wǎng)絡(luò)的運(yùn)行效率；第二，網(wǎng)絡(luò)建設(shè)以及網(wǎng)絡(luò)改造前后的安全規(guī)劃以及成效檢測(cè)。配備隱患掃描系統(tǒng)能夠方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢測(cè)；第三，網(wǎng)絡(luò)安全隱患突發(fā)后的分析。網(wǎng)絡(luò)安全隱患突發(fā)后可以通過(guò)掃描系統(tǒng)確定網(wǎng)絡(luò)被攻擊的漏洞所在，然后幫助修補(bǔ)漏洞，能夠提供盡可能多的資料來(lái)方便調(diào)查攻擊的來(lái)源。第四，重大網(wǎng)絡(luò)安全事件發(fā)生前的準(zhǔn)備，重大網(wǎng)絡(luò)安全事件發(fā)生以前，掃描系統(tǒng)能夠及時(shí)的幫用戶找出網(wǎng)絡(luò)中存在的漏洞，并及時(shí)將其修補(bǔ)。

1.4 虛擬專用網(wǎng)（VPN）

防護(hù)體系的第五層就是虛擬專用網(wǎng)，其主要為電力企業(yè)上下級(jí)網(wǎng)絡(luò)和外出人員訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)提供一條安全、廉價(jià)的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動(dòng)關(guān)系，這就使得VPN的網(wǎng)絡(luò)安全性大大的得到保障，VPN的網(wǎng)絡(luò)安全性也就得到了保證。不過(guò)，目前雖然實(shí)現(xiàn)VPN的網(wǎng)絡(luò)技術(shù)和方式比較多，但不是所有的VPN均可以保證公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)具有邏輯的、點(diǎn)對(duì)點(diǎn)的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術(shù)對(duì)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎(chǔ)設(shè)施）

PKI作為防護(hù)體系的第六層具有一個(gè)廣泛的接收標(biāo)準(zhǔn)，用來(lái)保護(hù)用戶的應(yīng)用和數(shù)據(jù)安全，許多安全應(yīng)用的安全標(biāo)準(zhǔn)通過(guò)PKI都有了適應(yīng)的安全標(biāo)準(zhǔn)。CA公司的eTrustPKI是個(gè)比較普遍的基礎(chǔ)設(shè)施，具有許多獨(dú)特的特點(diǎn)，如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡(jiǎn)化管理、其擴(kuò)展性比較好、有可選擇的相關(guān)硬件支持。

1.6 對(duì)病毒的防范

對(duì)病毒的防范是防護(hù)體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件，防范病毒系統(tǒng)對(duì)網(wǎng)關(guān)、郵件系統(tǒng)、文件服務(wù)器等進(jìn)行病毒防范，這就要求病毒防范系統(tǒng)做到對(duì)病毒代碼的及時(shí)更新，并保持對(duì)病毒的查殺能力。同時(shí)，當(dāng)防病毒與防火墻一起聯(lián)動(dòng)時(shí)，病毒防護(hù)系統(tǒng)會(huì)自動(dòng)通知防火墻進(jìn)行相關(guān)修改。

2 對(duì)層次式安全防護(hù)體系的規(guī)范管理

層次式安全防護(hù)體系的構(gòu)建是一個(gè)復(fù)雜的系統(tǒng)工程，包含了人力、技術(shù)、以及操作等幾大要素，在整個(gè)防護(hù)體系的運(yùn)行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術(shù)操作，需要建立一道信息安全管理制度來(lái)防止安全防護(hù)系統(tǒng)在運(yùn)行過(guò)程中因?yàn)閮?nèi)部人員出現(xiàn)差錯(cuò)而導(dǎo)致的各種網(wǎng)絡(luò)漏洞和安全隱患，其中建立規(guī)范的管理制度應(yīng)考慮以下幾點(diǎn)：第一，建立對(duì)應(yīng)的事故預(yù)防和應(yīng)急處理方案，每天都要例行檢查備案；第二，制定嚴(yán)格的防護(hù)系統(tǒng)運(yùn)行操作制度，對(duì)網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備以及服務(wù)器等重要部件的運(yùn)行操作制定標(biāo)準(zhǔn)的操作制度，相關(guān)工作人員都必須參與進(jìn)去；第三，強(qiáng)化對(duì)工作人員的安全教育和培訓(xùn)，做好及時(shí)的安全工作；第四，建立日志式的管理制度，對(duì)每位用戶的操作和行為都以日志的形式記載在案，并進(jìn)行及時(shí)的跟蹤調(diào)查和審計(jì)工作。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全防護(hù)是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系能夠有效保護(hù)電力企業(yè)信息網(wǎng)的安全，其中采取層次式安全防護(hù)體系，更是有效的將各個(gè)層次安全構(gòu)建有機(jī)的結(jié)合在一起，從而提高了整個(gè)網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護(hù)措施分析[J].電子技術(shù)與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化，2012（04）.

篇4

學(xué)校信息管理系統(tǒng)受到來(lái)自外部的攻擊等惡意行為,部分系統(tǒng)在受到黑客等外部入侵或者攻擊后,可能變?yōu)楹诳屠玫墓ぞ?然后再次攻擊其它計(jì)算機(jī)。而學(xué)校信息系統(tǒng)的內(nèi)部攻擊主要是內(nèi)部用戶的不當(dāng)行為,內(nèi)部用戶的嘗試授權(quán)訪問(wèn)、探測(cè)預(yù)攻擊等行為,如Satan掃描等都可能影響到校園網(wǎng)絡(luò)的正常運(yùn)行。1.4資源濫用和不良信息的傳播校園網(wǎng)中的一些內(nèi)部用戶濫用網(wǎng)絡(luò)資源,如利用校園網(wǎng)下載商業(yè)資料等,這樣就讓大量校園信息資源被占用。同時(shí)一些用戶會(huì)在有意識(shí)或者無(wú)意識(shí)的情況下,在校園網(wǎng)絡(luò)中傳播不良信息,或者發(fā)送垃圾郵件,這些行為都增加了安全隱患。

2學(xué)校信息管理系統(tǒng)的安全防護(hù)體系模型

學(xué)校信息管理系統(tǒng)的安全建設(shè)屬于一個(gè)系統(tǒng)而復(fù)雜的工程,需要根據(jù)信息系統(tǒng)的實(shí)際需求,構(gòu)建動(dòng)態(tài)的安全防護(hù)體系調(diào)整策略。信息系統(tǒng)的安全建設(shè)過(guò)程不屬于單純的技術(shù)問(wèn)題,也并非將技術(shù)與產(chǎn)品簡(jiǎn)單堆砌在一起,而是需要我們積極轉(zhuǎn)變思想觀念,綜合策略、技術(shù)和管理等多方面的因素,進(jìn)一步形成動(dòng)態(tài)的、可持續(xù)發(fā)展的過(guò)程。學(xué)校信息管理系統(tǒng)的主要服務(wù)對(duì)象是教學(xué)和學(xué)生,而大學(xué)生是網(wǎng)絡(luò)中十分活躍的群體,因此,構(gòu)建校園網(wǎng)絡(luò)信息安全防護(hù)體系是十分必要的。本文結(jié)合P2DR模型,構(gòu)建出了一個(gè)動(dòng)態(tài)、多層次的校園網(wǎng)絡(luò)信息安全防護(hù)體系模型如圖1所示。計(jì)算機(jī)系統(tǒng)中會(huì)出現(xiàn)很多新的漏洞,新的病毒以及黑客攻擊手法也不斷涌現(xiàn),同時(shí)校園網(wǎng)絡(luò)自身也是動(dòng)態(tài)變化的,因此,在構(gòu)建好一個(gè)校園網(wǎng)絡(luò)信息安全防護(hù)體系后,網(wǎng)絡(luò)管理者必須對(duì)該防護(hù)體系進(jìn)行實(shí)時(shí)更新,并定期進(jìn)行維護(hù),以此保障該防范體系的穩(wěn)定運(yùn)行,進(jìn)而保障校園網(wǎng)絡(luò)的安全性和有效性。在校園網(wǎng)絡(luò)信息安全防范體系中,將安全策略作為中心內(nèi)容,而安全技術(shù)為該體系提供支持,安全管理是一種執(zhí)行手段,并積極開展安全培訓(xùn),提高用戶的網(wǎng)絡(luò)信息安全意識(shí),以此讓安全防范體系得以不斷完善。在這個(gè)信息安全防范體系中,安全策略是最為基礎(chǔ)和核心的部分,它可以在檢測(cè)、保護(hù)等過(guò)程中指導(dǎo)和規(guī)范文件。可以說(shuō)該體系中所有活動(dòng)的開展實(shí)施,都是在安全策略的架構(gòu)下完成的。安全技術(shù)為信息安全的實(shí)現(xiàn)提供了支撐,其中涵蓋了產(chǎn)品、工具和服務(wù)等內(nèi)容。信息系統(tǒng)中常用的安全技術(shù)有入侵檢測(cè)、漏洞掃描和系統(tǒng)防火墻等,這些技術(shù)手段是安全防范體系中較為直觀的構(gòu)成部分,也是其中必不可少的內(nèi)容,缺少了任何一項(xiàng)都有可能引發(fā)巨大的威脅。由于學(xué)校的資金等條件有限,在構(gòu)建安全防范體系過(guò)程中,對(duì)于部分技術(shù)無(wú)法及時(shí)部署,這時(shí)候就需要以安全策略作為參考,制定合理的實(shí)施方案,讓所有的安全技術(shù)構(gòu)成一個(gè)有機(jī)整體。

3建設(shè)校園網(wǎng)絡(luò)信息安全防護(hù)體系的目標(biāo)與策略

3.1網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)目標(biāo)

根據(jù)學(xué)校信息管理系統(tǒng)中存在的安全問(wèn)題,綜合考慮安全策略、技術(shù)和管理等多方面的內(nèi)容,制定出一個(gè)動(dòng)態(tài)的信息安全防范方案,并根據(jù)該方案構(gòu)建安全、穩(wěn)定、易于管理的數(shù)字化校園,保障學(xué)校信息管理系統(tǒng)的正常運(yùn)行,這就是網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)目標(biāo)。具體來(lái)講,就是首先提高學(xué)校主干網(wǎng)絡(luò)的穩(wěn)定性,以此保障校園信息系統(tǒng)的可靠性。其次,不斷完善學(xué)校網(wǎng)絡(luò)信息安全管理體制,運(yùn)用有效的安全防護(hù)手段,嚴(yán)格控制訪問(wèn)并核實(shí)用戶身份,確保信息的保密性和真實(shí)性。第三,避免校園網(wǎng)絡(luò)中內(nèi)部或者外部的攻擊、破壞,維護(hù)系統(tǒng)的穩(wěn)定、安全運(yùn)行。第四,在保障安全的基礎(chǔ)上,防護(hù)體系應(yīng)該盡可能地為系統(tǒng)的各項(xiàng)應(yīng)用提供便利,全網(wǎng)的身份認(rèn)證應(yīng)該統(tǒng)一,并對(duì)角色訪問(wèn)進(jìn)行適當(dāng)控制。第五,構(gòu)建穩(wěn)定、安全和操作性強(qiáng)的網(wǎng)絡(luò)信息平臺(tái),為學(xué)校的管理、教學(xué)等活動(dòng)提供支撐。

3.2網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)策略

結(jié)合相關(guān)的安全防范體系模型,我們可以從安全策略、技術(shù)和管理等方面開展安全防護(hù)體系的建設(shè)工作。安全策略是建設(shè)工作的核心內(nèi)容,所有的工作都應(yīng)該以此為參考。在建設(shè)過(guò)程中,首先應(yīng)該制定總體的安全防護(hù)體系建設(shè)方針,然后構(gòu)建網(wǎng)絡(luò)信息安全防范體系,并在這個(gè)基礎(chǔ)上制定相關(guān)的網(wǎng)絡(luò)安全策略,如病毒防護(hù)、系統(tǒng)和數(shù)據(jù)安全等。在這個(gè)過(guò)程中為了確保安全策略的順利實(shí)施,也需要制定相應(yīng)的安全管理體制,并給出規(guī)范的操作流程。

4校園網(wǎng)絡(luò)信息安全防護(hù)體系的總體架構(gòu)

4.1劃分安全區(qū)域

在網(wǎng)絡(luò)信息安全防護(hù)體系的建設(shè)過(guò)程中,分層和分區(qū)防護(hù)是其較為基本的原則,要想保障信息安全防護(hù)體系的完整性,應(yīng)該綜合考慮安全防護(hù)層次和區(qū)域這兩個(gè)方面。根據(jù)校園信息管理系統(tǒng)的實(shí)際需求,可以把安全防護(hù)體系劃分為5個(gè)安全區(qū)域(如下圖2),然后根據(jù)每一個(gè)安全區(qū)域的具體特征,制定相關(guān)的安全防護(hù)策略。在每一個(gè)劃分的安全區(qū)域中,其安全防護(hù)也可以分為物理、系統(tǒng)、應(yīng)用和數(shù)據(jù)安全這5個(gè)層次。

4.2互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)安全區(qū)域的架構(gòu)

為了保障互聯(lián)網(wǎng)邊界和校園骨干網(wǎng)中數(shù)據(jù)的可靠傳輸,以及保障各項(xiàng)業(yè)務(wù)的正常運(yùn)作,可以根據(jù)網(wǎng)絡(luò)的實(shí)際需求,將雙核心冗余結(jié)構(gòu)應(yīng)用于核心交換設(shè)備中,讓核心交換設(shè)備與每一個(gè)匯聚交換設(shè)備實(shí)現(xiàn)雙上聯(lián)。將帶寬管理設(shè)備、防火墻和鏈路負(fù)載均衡設(shè)備設(shè)置在互聯(lián)網(wǎng)邊界上,并在防火墻的隔離區(qū)設(shè)置域名解析和郵件服務(wù)等公共服務(wù)器。首先將防DDoS設(shè)備設(shè)置于外部網(wǎng)絡(luò)中,以此避免校園網(wǎng)絡(luò)以及內(nèi)部用戶受到外界攻擊;將基于端口的地址轉(zhuǎn)換應(yīng)用于互聯(lián)網(wǎng)的出口,這樣外部用戶就得不到真實(shí)的內(nèi)部用戶地址;在系統(tǒng)數(shù)據(jù)中心防火墻的隔離區(qū)放置公共服務(wù)器。

4.3校園數(shù)據(jù)中心安全區(qū)域的架構(gòu)

根據(jù)學(xué)校建設(shè)數(shù)字化校園的實(shí)際情況,以及信息系統(tǒng)各服務(wù)器之間的關(guān)系,可以將校園數(shù)據(jù)中心劃分為多個(gè)安全子區(qū)域,如應(yīng)用服務(wù)器外區(qū)和內(nèi)區(qū)、公共服務(wù)器區(qū)和數(shù)據(jù)庫(kù)服務(wù)區(qū)。其中公共服務(wù)器中有電子郵件、Web等重要服務(wù)器,因此需要配備2臺(tái)以上檔次相同的物理服務(wù)器,服務(wù)器的高性能主要通過(guò)系統(tǒng)的負(fù)載均衡設(shè)備來(lái)體現(xiàn)。在防火墻的隔離區(qū)設(shè)置校園托管服務(wù)器,以避免外部用戶的訪問(wèn)。要想將校園數(shù)據(jù)中心網(wǎng)絡(luò)和校園網(wǎng)連接起來(lái),需要經(jīng)過(guò)核心交換機(jī)中的虛擬防火墻,防火墻隔離區(qū)的公共服務(wù)器能夠?yàn)橥獠烤W(wǎng)絡(luò)提供服務(wù),并可以保護(hù)網(wǎng)絡(luò)免受外界攻擊。數(shù)據(jù)中心的服務(wù)器可以通過(guò)負(fù)載均衡設(shè)備來(lái)均衡負(fù)載,以此優(yōu)化網(wǎng)絡(luò)服務(wù),并發(fā)揮安全冗余的作用;由IPS實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的阻斷,防止超文本傳輸服務(wù)器在統(tǒng)一身份認(rèn)證等過(guò)程中外部用戶的訪問(wèn)。

5結(jié)語(yǔ)

篇5

【關(guān)鍵詞】網(wǎng)絡(luò);數(shù)據(jù);安全

2012年開始，某企業(yè)啟動(dòng)了企業(yè)網(wǎng)絡(luò)安全優(yōu)化工程。目的是為了實(shí)現(xiàn)在企業(yè)系統(tǒng)內(nèi)，進(jìn)行一體化管理，實(shí)現(xiàn)各分支網(wǎng)絡(luò)之間互聯(lián)互通。項(xiàng)目重點(diǎn)是建設(shè)好綜合數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)所屬單位局域網(wǎng)及廠、站信息傳輸通道全面接入;形成該企業(yè)綜合業(yè)務(wù)處理廣域網(wǎng)絡(luò)。同時(shí)還將進(jìn)一步建設(shè)專門的調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)“專網(wǎng)專用”，從而確保生產(chǎn)安全有序的開展。該企業(yè)生產(chǎn)、辦公等各個(gè)領(lǐng)域當(dāng)中，無(wú)論是企業(yè)內(nèi)部管理還是各級(jí)機(jī)構(gòu)間的遠(yuǎn)程信息交互，都將建立在網(wǎng)絡(luò)基礎(chǔ)之上，而通過(guò)網(wǎng)絡(luò)進(jìn)行交互的信息范圍也涵蓋了包括生產(chǎn)調(diào)度數(shù)據(jù)、財(cái)務(wù)人事數(shù)據(jù)、辦公管理數(shù)據(jù)等在內(nèi)的諸多方面，在這樣的前提下，進(jìn)一步完善企業(yè)網(wǎng)絡(luò)架構(gòu)，全局性和系統(tǒng)性地構(gòu)建網(wǎng)絡(luò)安全體系，使其為企業(yè)發(fā)展和信息化提供有力支持，已成為當(dāng)前需要開展的首要工作之一。

1.網(wǎng)絡(luò)安全技術(shù)架構(gòu)策略

網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)系統(tǒng)工程，該企業(yè)網(wǎng)絡(luò)安全體系建設(shè)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則組織實(shí)施，采用先進(jìn)的“平臺(tái)化”建設(shè)思想、模塊化安全隔離技術(shù)，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的關(guān)系，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在該企業(yè)廣域網(wǎng)絡(luò)架構(gòu)建設(shè)中，為了實(shí)現(xiàn)可管理的、可靠的、高性能網(wǎng)絡(luò)，采用層次化的方法，將網(wǎng)絡(luò)分為核心層、分布層和接入層3個(gè)層次，這種層次結(jié)構(gòu)劃分方法也是目前國(guó)內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，3個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。

2.局域網(wǎng)絡(luò)標(biāo)準(zhǔn)化

（1）中心交換區(qū)域

局域網(wǎng)的中心交換區(qū)域負(fù)責(zé)網(wǎng)絡(luò)核心層的高性能交換和傳輸功能，提供各項(xiàng)數(shù)據(jù)業(yè)務(wù)的交換，同時(shí)負(fù)責(zé)連接服務(wù)器區(qū)域、網(wǎng)絡(luò)管理區(qū)域、樓層區(qū)域、廣域網(wǎng)路由器和防火墻設(shè)備等，此外還要提供分布層的統(tǒng)一控制策略功能。具體到安全防護(hù)層面，可通過(guò)部署防火墻模塊、高性能網(wǎng)絡(luò)分析模塊、入侵探測(cè)系統(tǒng)模塊實(shí)現(xiàn)安全加固。

（2）核心數(shù)據(jù)服務(wù)器區(qū)域

因?yàn)閿?shù)據(jù)大集中和存儲(chǔ)中心已經(jīng)勢(shì)在必行，可建設(shè)專門的核心數(shù)據(jù)區(qū)域，并采用2立的具有安全控制能力的局域網(wǎng)交換機(jī)，通過(guò)千兆雙鏈路和服務(wù)器群連接。在安全防護(hù)方面，可在通過(guò)防火墻模塊實(shí)現(xiàn)不同等級(jí)安全區(qū)域劃分的同時(shí)，部署DDOS攻擊檢測(cè)模塊和保護(hù)模塊，以保障關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器的安全不受攻擊。

（3）樓層區(qū)域

樓層交換區(qū)域的交換機(jī)既做接入層又做分布層，將直接連接用戶終端設(shè)備，如PC機(jī)等，因此設(shè)備需要具有能夠?qū)崿F(xiàn)VLAN的合理劃分和基本的VLAN隔離。

（4）合作伙伴和外包區(qū)域

提供合作伙伴的開發(fā)測(cè)試環(huán)境、與內(nèi)部數(shù)據(jù)中心的安全連接及與Internet區(qū)域的連接通路。

（5）外聯(lián)網(wǎng)區(qū)域

企業(yè)營(yíng)銷系統(tǒng)需要與銀行等外聯(lián)網(wǎng)連接，建議部署銀行外聯(lián)匯接交換機(jī)，通過(guò)2條千兆鏈路分別連接到核心交換機(jī)。并通過(guò)防火墻模塊劃分外聯(lián)系統(tǒng)安全區(qū)域。

（6）網(wǎng)絡(luò)和安全管理區(qū)域

為了對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行更加安全可靠的管理，可使用獨(dú)立的安全區(qū)域來(lái)集中管理，通過(guò)防火墻或交換機(jī)模塊來(lái)保護(hù)該區(qū)域，并賦予較高的安全級(jí)別，在邊界進(jìn)行嚴(yán)格安全控制。

3.統(tǒng)一互聯(lián)網(wǎng)出口

對(duì)于該企業(yè)的廣域網(wǎng)絡(luò)，統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，減少企業(yè)廣域網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口，能夠有效減少來(lái)自外網(wǎng)的安全威脅，對(duì)統(tǒng)一出口接點(diǎn)的安全防護(hù)加固，能夠集中實(shí)施安全策略。面對(duì)企業(yè)各個(gè)分支機(jī)構(gòu)局域網(wǎng)絡(luò)都與互聯(lián)網(wǎng)絡(luò)連接的局面，將會(huì)給企業(yè)廣域網(wǎng)絡(luò)安全帶來(lái)更大的威脅。由于綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)作為相對(duì)獨(dú)立的一個(gè)大型企業(yè)網(wǎng)絡(luò)，設(shè)置如此眾多的互聯(lián)網(wǎng)出口，一方面不利于互聯(lián)網(wǎng)出口的安全管理，增加了安全威脅的幾率;另一方面也勢(shì)必增加互聯(lián)網(wǎng)出口的租用費(fèi)用，提高了運(yùn)營(yíng)成本。

由于該企業(yè)綜合數(shù)據(jù)網(wǎng)的骨干帶寬是622M，在綜合數(shù)據(jù)網(wǎng)絡(luò)上利用MPLS VPN開出一個(gè)“互聯(lián)網(wǎng)VPN”，使各分支的互聯(lián)網(wǎng)訪問(wèn)都通過(guò)這個(gè)VPN通道建立鏈接。通過(guò)統(tǒng)一互聯(lián)網(wǎng)絡(luò)出口，強(qiáng)化互聯(lián)網(wǎng)接入?yún)^(qū)域安全控制，可防御來(lái)自Internet的安全威脅，DMZ區(qū)的安全防護(hù)得到進(jìn)一步加強(qiáng);通過(guò)提供安全可靠的VPN遠(yuǎn)程接入，互聯(lián)網(wǎng)出口的負(fù)載均衡策略得到加強(qiáng)，對(duì)不同業(yè)務(wù)和不同用戶組的訪問(wèn)服務(wù)策略控制，有效控制P2P等非工作流量對(duì)有限帶寬的無(wú)限占用，能夠?qū)ヂ?lián)網(wǎng)訪問(wèn)的NAT記錄進(jìn)行保存和查詢。

4.三層四區(qū)規(guī)劃

提出“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)策略，并提出了“三層四區(qū)”安全防護(hù)體系的總體框架。基于這一設(shè)計(jì)規(guī)范，并結(jié)合該企業(yè)網(wǎng)絡(luò)的實(shí)際情況，未來(lái)公司的網(wǎng)絡(luò)區(qū)域可以劃分為企業(yè)生產(chǎn)系統(tǒng)和企業(yè)管理信息系統(tǒng)，其中企業(yè)生產(chǎn)系統(tǒng)包括I區(qū)和II區(qū)的業(yè)務(wù);企業(yè)管理信息系統(tǒng)包括III區(qū)和IV區(qū)的業(yè)務(wù)。I區(qū)到IV區(qū)的安全級(jí)別逐級(jí)降低，I區(qū)最高，IV區(qū)最低。

在上述區(qū)域劃分的基礎(chǔ)上，可在橫向和縱向上采用下列技術(shù)方式實(shí)現(xiàn)不同安全區(qū)域間的隔離。

（1）縱向隔離

在未來(lái)調(diào)度數(shù)據(jù)網(wǎng)建成后，將安全區(qū)I和安全區(qū)II運(yùn)行在獨(dú)立的調(diào)度數(shù)據(jù)網(wǎng)上，安全區(qū)III和安全區(qū)IV運(yùn)行在目前的綜合數(shù)據(jù)網(wǎng)上，達(dá)到2網(wǎng)完全分開，實(shí)現(xiàn)物理隔離。在調(diào)度數(shù)據(jù)網(wǎng)中，采用MPLS VPN將安全區(qū)I和安全區(qū)II的連接分別分隔為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，在綜合數(shù)據(jù)網(wǎng)中，則采用MPLS VPN將互聯(lián)網(wǎng)連接和安全區(qū)III及安全區(qū)IV的連接分開，分為管理信息子網(wǎng)和互聯(lián)網(wǎng)子網(wǎng)。

（2）橫向隔離

考慮到I區(qū)和II區(qū)對(duì)安全性的要求極高，對(duì)于I區(qū)和II區(qū)進(jìn)行重點(diǎn)防護(hù)，采用物理隔離裝置與其他區(qū)域隔離;而在I區(qū)和II區(qū)之間可采用防火墻隔離，配合分布式威脅防御機(jī)制，防范網(wǎng)絡(luò)威脅;考慮到III區(qū)和IV區(qū)之間頻繁的數(shù)據(jù)交換需求，III區(qū)和IV區(qū)之間視情況采用交換機(jī)防火墻模塊進(jìn)行隔離，并在區(qū)域內(nèi)部署IDS等安全監(jiān)控設(shè)備，在骨干網(wǎng)上不再分成2個(gè)不同的VPN;由于外部的威脅主要來(lái)自于Intern過(guò)出口，因此可在全省Internet出口集中的基礎(chǔ)上，統(tǒng)一設(shè)置安全防護(hù)策略，通過(guò)防火墻與III區(qū)、IV區(qū)之間進(jìn)行隔離。

5.綜合數(shù)據(jù)網(wǎng)安全防護(hù)

綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)，主要承載了0A、95598、營(yíng)銷、財(cái)務(wù)等應(yīng)用系統(tǒng)，同時(shí)也在進(jìn)行SCADA/EMS等調(diào)度業(yè)務(wù)的接入試點(diǎn)。

采用網(wǎng)絡(luò)安全監(jiān)控響應(yīng)中心為核心的分布式威脅防御技術(shù)，對(duì)全網(wǎng)的病毒攻擊和病毒傳播進(jìn)行主動(dòng)防護(hù)，通過(guò)關(guān)聯(lián)網(wǎng)絡(luò)和安全設(shè)備配置信息、NetFlow、應(yīng)用日志和安全事件，從中心的控制臺(tái)實(shí)時(shí)發(fā)現(xiàn)、跟蹤、分析、防御、報(bào)告和存儲(chǔ)整個(gè)企業(yè)網(wǎng)絡(luò)中的安全事件和攻擊。同時(shí)分布式威脅防御手段不但用于對(duì)綜合數(shù)據(jù)骨干網(wǎng)進(jìn)行安全防護(hù)，而且通過(guò)建立2級(jí)安全監(jiān)控響應(yīng)中心，對(duì)包括綜合數(shù)據(jù)網(wǎng)、企業(yè)本部局域網(wǎng)、分支機(jī)構(gòu)局域網(wǎng)在內(nèi)的全網(wǎng)設(shè)備進(jìn)行監(jiān)控。

篇6

關(guān)鍵詞：校園網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 管理

高校校園網(wǎng)作為高校這個(gè)特殊環(huán)境中傳遞信息的媒介，是學(xué)校重要的教學(xué)、科研信息基礎(chǔ)設(shè)施，它提供教學(xué)，科研，娛樂(lè)，教育管理，招生。隨著校園網(wǎng)的逐步發(fā)展，網(wǎng)絡(luò)應(yīng)用的逐漸普及，校內(nèi)部的網(wǎng)絡(luò)越來(lái)越多的暴露給了外部世界。因此，在校園網(wǎng)絡(luò)及其信息系統(tǒng)中如何設(shè)置自己的安全措施，使它安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，發(fā)揮其應(yīng)有的作用，成為各校越來(lái)越重視的問(wèn)題。

針對(duì)層出不窮的校園網(wǎng)絡(luò)安全問(wèn)題，高校內(nèi)設(shè)辦公機(jī)構(gòu)和部門都購(gòu)置了各種網(wǎng)絡(luò)安全產(chǎn)品，如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描器、系統(tǒng)實(shí)時(shí)監(jiān)控器、VPN網(wǎng)關(guān)、網(wǎng)絡(luò)防病毒軟件等。毋容置疑，這些產(chǎn)品分別在不同的側(cè)面保護(hù)著網(wǎng)絡(luò)系統(tǒng)。但是，從系統(tǒng)整體安全考慮，這些單一的網(wǎng)絡(luò)安全產(chǎn)品都存在著不同的安全局限性。并且網(wǎng)絡(luò)安全不僅有著眾多的技術(shù)安全因素，更多的在網(wǎng)絡(luò)安全的管理、部署和操作方面，因此，將技術(shù)和管理相結(jié)合，建立一個(gè)多層次的校園網(wǎng)安全防御體系，對(duì)于構(gòu)建安全的校園網(wǎng)環(huán)境有著重大的意義。

保障高校校園網(wǎng)絡(luò)安全應(yīng)該從網(wǎng)絡(luò)安全技術(shù)和安全策略方面去同步加強(qiáng)，安全策略是先導(dǎo)，先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是根本。

網(wǎng)絡(luò)信息安全策略是指為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。信息安全的實(shí)現(xiàn)要依靠先進(jìn)的技術(shù)、嚴(yán)格的安全管理、法律約束和安全教育。本文從此三個(gè)方面去綜合考慮、規(guī)劃建設(shè)校園網(wǎng)絡(luò)，構(gòu)建了一個(gè)多層次的校園網(wǎng)安全主動(dòng)防御體系模型。

一、依托網(wǎng)絡(luò)安全技術(shù)構(gòu)建網(wǎng)絡(luò)安全堡壘

1.合理規(guī)劃設(shè)計(jì)校園網(wǎng)絡(luò)物理結(jié)構(gòu)

校園網(wǎng)絡(luò)是教學(xué)，科研，娛樂(lè)，教務(wù)管理、圖書管管理等活動(dòng)的基礎(chǔ)設(shè)施。特別地，在科研、教務(wù)管理、圖書館管理等方面，對(duì)校園網(wǎng)絡(luò)安全要求很高。對(duì)這些關(guān)鍵部門，構(gòu)建相應(yīng)的辦公網(wǎng)絡(luò)時(shí)，應(yīng)該在物理上獨(dú)立實(shí)施建設(shè)。與其他一些安全級(jí)別不同的部門在物理網(wǎng)絡(luò)建設(shè)上應(yīng)該盡量隔離，這樣的物理安全設(shè)計(jì)為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。

計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。

正常的防范措施主要在三個(gè)方面：對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門的關(guān)起等。對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞剑蠖鄶?shù)均在Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。

2.構(gòu)建應(yīng)用級(jí)網(wǎng)關(guān)、實(shí)時(shí)入侵檢測(cè)(IDS)

應(yīng)用級(jí)網(wǎng)關(guān)作為防火墻（Firewall）中的一個(gè)主要類型，它通過(guò)偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求，檢查并驗(yàn)證其合法性，若合法，它將作為一臺(tái)客戶機(jī)一樣向真正的服務(wù)器發(fā)出請(qǐng)求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。對(duì)于內(nèi)部客戶而言，應(yīng)用級(jí)網(wǎng)關(guān)好像原始的公共服務(wù)器，對(duì)于公共服務(wù)器而言，服務(wù)器好像原始的客戶一樣，亦即應(yīng)用級(jí)網(wǎng)關(guān)充當(dāng)了雙重身份，并將內(nèi)部系統(tǒng)與外界完全隔離開來(lái)，外面只能看到服務(wù)器，而看不到任何內(nèi)部資源。

IDS作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)受到危害之前進(jìn)行攔截和響應(yīng)。防火墻能夠?qū)⒁恍╊A(yù)期的網(wǎng)絡(luò)攻擊阻擋于網(wǎng)絡(luò)外面，而IDS還能對(duì)一些非預(yù)期的攻擊進(jìn)行識(shí)別并做出反應(yīng)。將IDS與防火墻聯(lián)動(dòng)，能更有效地阻止攻擊事件，把網(wǎng)絡(luò)隱患降至較低程度。

3.建立多層次的病毒防護(hù)體系

這里的多層次病毒防護(hù)體系是指在Internet網(wǎng)關(guān)(具有垃圾郵件過(guò)濾功能)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件；在服務(wù)器上安裝基于服務(wù)器的反病毒軟件；在校園網(wǎng)的每個(gè)臺(tái)式機(jī)上安裝臺(tái)式機(jī)的反病毒軟件。同時(shí)，還需要做好如下工作：定時(shí)對(duì)網(wǎng)絡(luò)進(jìn)行殺毒；對(duì)每臺(tái)計(jì)算機(jī)都開啟病毒監(jiān)控；經(jīng)常對(duì)服務(wù)器和客戶機(jī)的殺毒軟件進(jìn)行升級(jí)。

二、加強(qiáng)和規(guī)范校園網(wǎng)絡(luò)安全管理

1.加強(qiáng)黑客入侵檢測(cè)與防范

校園網(wǎng)入侵者一般為校園網(wǎng)內(nèi)部用戶，有著窺探他人隱私的好奇性，攻入私人計(jì)算機(jī)。有的入侵者希望通過(guò)入侵學(xué)校數(shù)據(jù)庫(kù)，以達(dá)到修改個(gè)人資料和學(xué)習(xí)成績(jī)?yōu)槟康摹€(gè)別的電腦高手希望通過(guò)入侵，引起他人注意，以顯示自己的能力，這樣的人不會(huì)盜取別人的電腦資料，但會(huì)故意留下“足跡”，如進(jìn)行破壞或是“留言”。

為了維護(hù)高校教務(wù)系統(tǒng)及圖書館管理系統(tǒng)安全，應(yīng)該特別加強(qiáng)黑客入侵檢測(cè)，并嚴(yán)格防范。主要可以采取以下幾方面的措施：

(1)檢測(cè)網(wǎng)絡(luò)嗅探程序

網(wǎng)絡(luò)嗅探是一種常用的收集網(wǎng)絡(luò)數(shù)據(jù)包的方法，其基本原理是對(duì)經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)包進(jìn)行捕獲和解碼，從鏈路層協(xié)議開始進(jìn)行解碼分析，一直到應(yīng)用層的協(xié)議，最后獲取數(shù)據(jù)包中需要的內(nèi)容，如賬號(hào)、口令等。

當(dāng)電腦系統(tǒng)被一些網(wǎng)絡(luò)嗅探程序跟蹤時(shí)，可能會(huì)出現(xiàn)網(wǎng)絡(luò)通訊丟包率非常高或是網(wǎng)絡(luò)帶寬出現(xiàn)反常，這些情況是網(wǎng)絡(luò)有嗅探器的可能反應(yīng)。網(wǎng)絡(luò)管理員就應(yīng)該及時(shí)加以處理。通常，可以在關(guān)鍵的系統(tǒng)上部署檢測(cè)嗅探器工具，例如AntiSniff工具，來(lái)自動(dòng)檢測(cè)網(wǎng)絡(luò)嗅探程序。

(2)及時(shí)更新IIS漏洞

由于寬帶的普及，給自己的計(jì)算機(jī)裝上簡(jiǎn)單易學(xué)的IIS，搭建一個(gè)ftp或是web站點(diǎn)，已經(jīng)不是什么難事。但是IIS層出不窮的漏洞實(shí)在令人擔(dān)心。遠(yuǎn)程攻擊著只要使用webdavx3這個(gè)漏洞攻擊程序和telnet命令就可以完成一次對(duì)IIS的遠(yuǎn)程攻擊防范措施：關(guān)注微軟官方站點(diǎn)，及時(shí)安裝IIS的漏洞補(bǔ)丁。

(3)選擇性關(guān)閉IPC$共享、防止IPC$共享入侵

IPC$ (Internet Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。2000/XP/2003在提供了IPC$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開了默認(rèn)共享，即所有的邏輯共享(c$，d$，e$)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無(wú)意中，導(dǎo)致了系統(tǒng)安全性的降低。個(gè)人用戶如果無(wú)網(wǎng)絡(luò)服務(wù)的可關(guān)閉IPC$共享，最好的方法是給自己的賬戶加上強(qiáng)口令，并不定期地更換。

2.加強(qiáng)校園網(wǎng)絡(luò)中服務(wù)器安全規(guī)范

(1)制定縝密的服務(wù)器管理制度，對(duì)服務(wù)器的操作從程序上進(jìn)行規(guī)范。確保安裝正版操作系統(tǒng)和殺毒軟件，及時(shí)更新，打上漏洞補(bǔ)丁。各種密碼必須做到定期更換，經(jīng)常對(duì)服務(wù)器進(jìn)行漏洞掃描，確保安全。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

(2)建立定期備份制度，服務(wù)器可以采用RAID5（磁盤陣列）技術(shù)，或者是雙機(jī)容錯(cuò)技術(shù)等等，確保系統(tǒng)能不間斷運(yùn)行。

(3)根據(jù)分配工作的不同，賦予操作人員不同級(jí)別的權(quán)限，同時(shí)建立完備的日志系統(tǒng)，做到出現(xiàn)問(wèn)題能立馬有跡可循。

3.建立校園網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)

認(rèn)證是網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)之一，其目的是實(shí)現(xiàn)身份鑒別服務(wù)、訪問(wèn)控制服務(wù)、機(jī)密和不可否認(rèn)服務(wù)等。校園網(wǎng)與 Internet沒(méi)有實(shí)施物理隔離。但是，對(duì)于運(yùn)行內(nèi)部管理信息系統(tǒng)的內(nèi)網(wǎng)，建立其統(tǒng)一的身份認(rèn)證系統(tǒng)仍然是非常必要的，以便對(duì)數(shù)字證書的生成、審批、發(fā)放、廢止、查詢等進(jìn)行統(tǒng)一管理。

三、加強(qiáng)高校網(wǎng)絡(luò)安全教育

要確保高校網(wǎng)絡(luò)安全，除了依賴最新的網(wǎng)絡(luò)安全技術(shù)去構(gòu)建網(wǎng)絡(luò)安全屏障外，還要加強(qiáng)高校網(wǎng)絡(luò)安全教育。主要有以下幾方面的措施：

1.對(duì)網(wǎng)絡(luò)管理員定期進(jìn)行專業(yè)培訓(xùn)

有些網(wǎng)絡(luò)管理員專業(yè)知識(shí)和技能不夠、責(zé)任心不強(qiáng)，部分網(wǎng)絡(luò)管理員在工作之前沒(méi)有受過(guò)系統(tǒng)的專業(yè)培訓(xùn)。所以，不能很好地勝任本職工作。

嚴(yán)格的管理是校園網(wǎng)安全的重要措施。事實(shí)上，很多學(xué)校都疏于這方面的管理，對(duì)網(wǎng)絡(luò)安全保護(hù)不夠重視。為了確保整個(gè)網(wǎng)絡(luò)的安全有效運(yùn)行，有必要制定出一套滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理制度。

2.在高校師生中普遍開展網(wǎng)絡(luò)安全教育

高校中教師作為知識(shí)的引導(dǎo)傳播者，在信息化教育不斷發(fā)展的高校教育中，教師網(wǎng)絡(luò)安全意識(shí)的提高，首先要從提高教師對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)做起。教師應(yīng)了解相關(guān)的網(wǎng)絡(luò)安全法律、法規(guī)，如內(nèi)容分級(jí)過(guò)濾制度等。教師應(yīng)意識(shí)到無(wú)論是在學(xué)校還是家庭，都應(yīng)加強(qiáng)網(wǎng)絡(luò)安全和道德教育，積極、耐心的引導(dǎo)學(xué)生，使他們形成正確的態(tài)度和觀念去面對(duì)網(wǎng)絡(luò)。同時(shí)，給學(xué)生提供豐富、健康的網(wǎng)絡(luò)資源，為學(xué)生營(yíng)造良好的網(wǎng)絡(luò)學(xué)習(xí)氛圍，并教育學(xué)生在網(wǎng)上自覺(jué)遵守道德規(guī)范，維護(hù)自身和他人的合法權(quán)益。

四、總結(jié)

高校校園網(wǎng)絡(luò)信息安全是我們非常關(guān)注但又難以徹底解決的問(wèn)題。校園網(wǎng)絡(luò)建設(shè)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，目前也沒(méi)專門的技術(shù)或產(chǎn)品能夠完全解決網(wǎng)絡(luò)的安全問(wèn)題。我們只能根據(jù)最新的信息安全保障體系理念，采用安全策略分析、授權(quán)訪問(wèn)、認(rèn)證技術(shù)、密碼技術(shù)、防火墻技術(shù)、IPSec技術(shù)(IP Security)信息與網(wǎng)絡(luò)安全最新的技術(shù)去構(gòu)建校園網(wǎng)絡(luò)的安全體系，另外，我們?cè)谒枷肷弦J(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，在校園網(wǎng)絡(luò)安全建設(shè)硬件方面不但要有資金投入，還要不斷加強(qiáng)校園網(wǎng)絡(luò)管理人員和校園網(wǎng)用戶的網(wǎng)絡(luò)安全知識(shí)教育培訓(xùn)，樹立大家的網(wǎng)絡(luò)安全防范意識(shí)。這樣，就可以使網(wǎng)絡(luò)安全事故發(fā)生的可能性降低到最小。我們相信，隨著教育信息化的發(fā)展，校園網(wǎng)絡(luò)安全也越來(lái)越受到大家的關(guān)注，校園網(wǎng)也會(huì)越來(lái)越安全。

參考文獻(xiàn)：

[1]陳新建.校園網(wǎng)的安全現(xiàn)狀和改進(jìn)對(duì)策[J]．網(wǎng)絡(luò)安全技術(shù)與運(yùn)用．

[2]劉建煒．基于網(wǎng)絡(luò)層次結(jié)構(gòu)安全的校園網(wǎng)絡(luò)安全防護(hù)體系解決方案[J].教育探究，2010，(3)．

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M]．大連：大連理工大學(xué)出版社，2003．

篇7

關(guān)鍵詞：APT攻擊；網(wǎng)絡(luò)安全防御；沖擊；應(yīng)對(duì)

前言

在科學(xué)技術(shù)迅猛發(fā)展的帶動(dòng)下，網(wǎng)絡(luò)信息技術(shù)在人們的日常生活中得到了越發(fā)廣泛的應(yīng)用，如網(wǎng)絡(luò)銀行、網(wǎng)上購(gòu)物等，在潛移默化中改變著人們的生活方式。但是，網(wǎng)絡(luò)本身的開放性為一些不法分子提供的便利，一些比^敏感的數(shù)據(jù)信息可能會(huì)被其竊取和利用，給人們帶來(lái)?yè)p失。在這種情況下，網(wǎng)絡(luò)安全問(wèn)題受到了人們的廣泛關(guān)注。

1 APT攻擊的概念和特點(diǎn)

APT，全稱Advanced Persistent Threat，高級(jí)持續(xù)性威脅，這是信息網(wǎng)絡(luò)背景下的一種新的攻擊方式，屬于特定類型攻擊，具有組織性、針對(duì)性、長(zhǎng)期性的特性，其攻擊持續(xù)的時(shí)間甚至可以長(zhǎng)達(dá)數(shù)年。之所以會(huì)持續(xù)如此之久，主要是由于其前兩個(gè)特性決定的，攻擊者有組織的對(duì)某個(gè)特定目標(biāo)進(jìn)行攻擊，不斷嘗試各種攻擊手段，在滲透到目標(biāo)內(nèi)部網(wǎng)絡(luò)后，會(huì)長(zhǎng)期蟄伏，進(jìn)行信息的收集。

APT攻擊與常規(guī)的攻擊方式相比，在原理上更加高級(jí)，技術(shù)水平更高，在發(fā)動(dòng)攻擊前，會(huì)針對(duì)被攻擊對(duì)象的目標(biāo)系統(tǒng)和業(yè)務(wù)流程進(jìn)行收集，對(duì)其信息系統(tǒng)和應(yīng)用程序中存在的漏洞進(jìn)行主動(dòng)挖掘，然后利用漏洞組件攻擊網(wǎng)絡(luò)，開展攻擊行為[1]。APT攻擊具有幾個(gè)非常顯著的特點(diǎn)，一是潛伏性，在攻破網(wǎng)絡(luò)安全防御后，可能會(huì)在用戶環(huán)境中潛伏較長(zhǎng)的時(shí)間，對(duì)信息進(jìn)行持續(xù)收集，直到找出重要的數(shù)據(jù)。基本上APT攻擊的目標(biāo)并非短期內(nèi)獲利，而是希望將被控主機(jī)作為跳板，進(jìn)行持續(xù)搜索，其實(shí)際應(yīng)該算是一種“惡意商業(yè)間諜威脅”；二是持續(xù)性，APT攻擊的潛伏時(shí)間可以長(zhǎng)達(dá)數(shù)年之久，在攻擊爆發(fā)前，管理人員很難察覺(jué)；三是指向性，即對(duì)于特定攻擊目標(biāo)的鎖定，開展有計(jì)劃、組織的情報(bào)竊取行為。

2 APT攻擊對(duì)于網(wǎng)絡(luò)安全防御的沖擊

相比較其他攻擊方式，APT攻擊對(duì)于網(wǎng)絡(luò)安全防御系統(tǒng)的沖擊是非常巨大的，一般的攻擊都可以被安全防御系統(tǒng)攔截，但是就目前統(tǒng)計(jì)分析結(jié)果，在許多單位，即使已經(jīng)部署了完善的縱深安全防御體系，設(shè)置了針對(duì)單個(gè)安全威脅的安全設(shè)備，并且通過(guò)管理平臺(tái)，實(shí)現(xiàn)了對(duì)于各種安全設(shè)備的整合，安全防御體系覆蓋了事前、事中和事后的各個(gè)階段，想要完全抵御APT攻擊卻仍然是力有不逮。由此可見，APT攻擊對(duì)于網(wǎng)絡(luò)安全防御的影響和威脅不容忽視[2]。

就APT攻擊的特點(diǎn)和原理進(jìn)行分析，其攻擊方式一般包括幾種：一是社交欺騙，通過(guò)收集目標(biāo)成員的興趣愛好、社會(huì)關(guān)系等，設(shè)下圈套，發(fā)送幾可亂真的社交信函等，誘騙目標(biāo)人員訪問(wèn)惡意網(wǎng)站或者下載病毒文件，實(shí)現(xiàn)攻擊代碼的有效滲透；二是漏洞供給，在各類軟禁系統(tǒng)和信息系統(tǒng)中，都必然會(huì)存在漏洞，APT攻擊為了能夠?qū)崿F(xiàn)在目標(biāo)網(wǎng)絡(luò)中的潛伏和隱蔽傳播，通常都是借助漏洞，提升供給代碼的權(quán)限，比較常見的包括火焰病毒、震網(wǎng)病毒、Zero Access等；三是情報(bào)分析，為了能夠更加準(zhǔn)確的獲取目標(biāo)對(duì)象的信息，保證攻擊效果，APT攻擊人員往往會(huì)利用社交網(wǎng)站、論壇、聊天室等，對(duì)目標(biāo)對(duì)象的相關(guān)信息進(jìn)行收集，設(shè)置針對(duì)性的攻擊計(jì)劃。

APT攻擊對(duì)于信息安全的威脅是顯而易見的，需要相關(guān)部門高度重視，做出積極應(yīng)對(duì)，強(qiáng)化APT攻擊防范，保護(hù)重要數(shù)據(jù)的安全。

3 APT攻擊的有效應(yīng)對(duì)

3.1 強(qiáng)化安全意識(shí)

在防范APT攻擊的過(guò)程中，人員是核心也是關(guān)鍵，因此，在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系的過(guò)程中，應(yīng)該考慮人員因素，強(qiáng)化人員的安全防范意識(shí)。從APT攻擊的具體方式可知，在很多時(shí)候都是利用人的心理弱點(diǎn)，通過(guò)欺騙的方式進(jìn)行攻擊滲透。對(duì)此，應(yīng)該針對(duì)人員本身的缺陷進(jìn)行彌補(bǔ)，通過(guò)相應(yīng)的安全培訓(xùn)，提升其安全保密意識(shí)和警惕性，確保人員能夠針對(duì)APT攻擊進(jìn)行準(zhǔn)確鑒別，加強(qiáng)對(duì)于自身的安全防護(hù)。對(duì)于信息系統(tǒng)運(yùn)維管理人員而言，還應(yīng)該強(qiáng)化對(duì)于安全保密制度及規(guī)范的執(zhí)行力，杜絕違規(guī)行為。另外，應(yīng)該提升安全管理工作的效率，盡可能減低安全管理給正常業(yè)務(wù)帶來(lái)的負(fù)面影響，引入先進(jìn)的信息化技術(shù)，對(duì)管理模式進(jìn)行改進(jìn)和創(chuàng)新，提升安全管理工作的針對(duì)性和有效性。

3.2 填補(bǔ)系統(tǒng)漏洞

在軟件系統(tǒng)的設(shè)計(jì)中，缺陷的存在難以避免，而不同的系統(tǒng)在實(shí)現(xiàn)互連互操作時(shí)，由于管理策略、配置等的不一致，同樣會(huì)產(chǎn)生關(guān)聯(lián)漏洞，影響系統(tǒng)的安全性。因此，從防范APT攻擊的角度分析，應(yīng)該盡量對(duì)系統(tǒng)中存在的漏洞進(jìn)行填補(bǔ)。一是應(yīng)該強(qiáng)化對(duì)于項(xiàng)目的測(cè)試以及源代碼的分析，構(gòu)建完善的源代碼測(cè)試分析機(jī)制，開發(fā)出相應(yīng)的漏洞測(cè)試工具；二是應(yīng)該盡量選擇具備自主知識(shí)產(chǎn)權(quán)的設(shè)備和系統(tǒng)，盡量避免漏洞和預(yù)置后門；三是對(duì)于一些通用的商業(yè)軟件，必須強(qiáng)化對(duì)惡意代碼和漏洞的動(dòng)態(tài)監(jiān)測(cè)，確保基礎(chǔ)設(shè)施以及關(guān)鍵性的應(yīng)用服務(wù)系統(tǒng)自主開發(fā)[3]。

3.3 落實(shí)身份認(rèn)證

在網(wǎng)絡(luò)環(huán)境下，用戶之間的信息交互一般都需要進(jìn)行身份認(rèn)證，這個(gè)工作通常由本地計(jì)算環(huán)境中的相關(guān)程序完成，換言之，用戶身份的認(rèn)證實(shí)際上是程序之間的相互認(rèn)證，如果程序本身的真實(shí)性和完整性沒(méi)有得到驗(yàn)證，則無(wú)法對(duì)作為程序運(yùn)行載體的硬件設(shè)備進(jìn)行驗(yàn)證，從而導(dǎo)致漏洞的存在，攻擊者可能冒充用戶身份進(jìn)行攻擊。針對(duì)這個(gè)問(wèn)題，應(yīng)該對(duì)現(xiàn)有的身份認(rèn)證體系進(jìn)行完善，構(gòu)建以硬件可信根為基礎(chǔ)的軟硬件系統(tǒng)認(rèn)證體系，保證用戶的真實(shí)可信，然后才能進(jìn)行用戶之間的身份認(rèn)證。

3.4 構(gòu)建防御機(jī)制

應(yīng)該針對(duì)APT攻擊的特點(diǎn)，構(gòu)建預(yù)應(yīng)力安全防御機(jī)制，以安全策略為核心，結(jié)合可信計(jì)算技術(shù)以及高可信軟硬件技術(shù)，提升網(wǎng)絡(luò)系統(tǒng)對(duì)于攻擊的抵御能力，然后通過(guò)風(fēng)險(xiǎn)評(píng)估，分析系統(tǒng)中存在的不足，采取針對(duì)性的應(yīng)對(duì)措施，提升安全風(fēng)險(xiǎn)管理能力。具體來(lái)講，一是應(yīng)該將數(shù)據(jù)安全分析、漏洞分析、惡意代碼分析等進(jìn)行整合，統(tǒng)一管理；二是應(yīng)該構(gòu)建生態(tài)環(huán)境庫(kù)，對(duì)各種信息進(jìn)行記錄，為安全分析提供數(shù)據(jù)支撐；三是應(yīng)該完善取證系統(tǒng)，為違規(guī)事件的分析和追查奠定良好的基礎(chǔ)[4]。

4 結(jié)束語(yǔ)

總而言之，作為一種新的攻擊方式，APT攻擊對(duì)于網(wǎng)絡(luò)安全的威脅巨大，而且其本身的特性使得管理人員難以及時(shí)發(fā)現(xiàn)，一旦爆發(fā)，可能給被攻擊目標(biāo)造成難以估量的損失。因此，應(yīng)該加強(qiáng)對(duì)于APT攻擊的分析，采取切實(shí)有效的措施進(jìn)行應(yīng)對(duì)，盡可能保障網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性和安全性。

參考文獻(xiàn)

[1]陳偉，趙韶華.APT攻擊威脅網(wǎng)絡(luò)安全的全面解析與防御探討[J].信息化建設(shè)，2015（11）：101.

[2]王宇，韓偉杰.APT攻擊特征分析與對(duì)策研究[J].保密科學(xué)技術(shù)，2013（12）：32-43.

篇8

云計(jì)算是大數(shù)據(jù)時(shí)代基于互聯(lián)網(wǎng)環(huán)境的一種計(jì)算方式，云計(jì)算技術(shù)在運(yùn)行規(guī)模、可靠性、通用性方面具有一定的優(yōu)勢(shì)，對(duì)于用戶需求以及提供基礎(chǔ)服務(wù)和平臺(tái)管理服務(wù)上有著重要的信息價(jià)值，因此探討云計(jì)算環(huán)境的網(wǎng)絡(luò)完全問(wèn)題具有重要的實(shí)踐意義

關(guān)鍵詞：

云計(jì)算安全；加密；機(jī)制

計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，用戶對(duì)數(shù)據(jù)的存儲(chǔ)、運(yùn)算、傳輸都有著更高的要求，加上電子商務(wù)、互聯(lián)網(wǎng)金融、通訊政務(wù)等的發(fā)展中產(chǎn)生了大量的數(shù)據(jù)，信息大數(shù)據(jù)時(shí)代下，為了進(jìn)一步的提升信息服務(wù)能力，研究人員提出了云計(jì)算技術(shù)，這是一種根據(jù)用戶的需求提供軟件和硬件資源信息，形成資源共享機(jī)制，云計(jì)算是基于虛擬化的運(yùn)行環(huán)境，在運(yùn)行規(guī)模和可靠性以及通用性方面具有應(yīng)用優(yōu)勢(shì)。云計(jì)算下的網(wǎng)絡(luò)安全問(wèn)題主要防治木馬和病毒攻擊網(wǎng)絡(luò)和數(shù)據(jù)資源，維護(hù)數(shù)據(jù)的真實(shí)、可靠、完整，保證通信運(yùn)輸服務(wù)的質(zhì)量。

1云計(jì)算環(huán)境所面臨的安全威脅

云計(jì)算技術(shù)的不斷推廣和廣泛適用，其數(shù)據(jù)資源價(jià)值越來(lái)越高，因而也是互聯(lián)網(wǎng)黑客、木馬程序的主要攻擊對(duì)象，安全問(wèn)題令人擔(dān)憂。基于互聯(lián)網(wǎng)安全防御的實(shí)踐，就當(dāng)前云計(jì)算環(huán)境下的安全問(wèn)題主要概括為三類，分別是數(shù)據(jù)的審計(jì)安全、傳輸安全、存儲(chǔ)安全。

1.1數(shù)據(jù)審計(jì)安全威脅對(duì)許多云計(jì)算審計(jì)的工作者來(lái)說(shuō)，尤其是企業(yè)中的工作人員并不都是計(jì)算機(jī)專業(yè)背景的，在數(shù)據(jù)的審計(jì)中缺乏必要的安全意識(shí)，面臨的威脅包括操作中的不規(guī)范，對(duì)設(shè)備的維護(hù)以及網(wǎng)絡(luò)數(shù)據(jù)包重放攻擊、拒絕服務(wù)、網(wǎng)絡(luò)日志篡改等，這些都導(dǎo)致了對(duì)網(wǎng)絡(luò)安全的潛在隱患。審計(jì)中造成數(shù)據(jù)泄露，或是在網(wǎng)絡(luò)攻擊下失去審計(jì)功能，這樣就使得數(shù)據(jù)脫離了審計(jì)功能的保護(hù)。

1.2數(shù)據(jù)存儲(chǔ)安全威脅云計(jì)算的數(shù)據(jù)保存都是基于熱門的服務(wù)器，目的是為了進(jìn)一步的提升用戶的訪問(wèn)和數(shù)據(jù)使用效率，這樣大量的數(shù)據(jù)匯總形成大數(shù)據(jù)中心，有利于對(duì)信息管理的設(shè)備運(yùn)行維護(hù)。但是大數(shù)據(jù)中心的數(shù)據(jù)規(guī)模持續(xù)擴(kuò)大將使得暴擊信息越來(lái)越多，而政府和企業(yè)門戶的數(shù)據(jù)存儲(chǔ)依賴也越來(lái)越集中，而網(wǎng)絡(luò)黑客處于經(jīng)濟(jì)利益，采用高智能化的攻擊方式對(duì)數(shù)據(jù)中心進(jìn)行攻擊，從而獲得數(shù)據(jù)信息，而隨著木馬和病毒開發(fā)技術(shù)的不斷提升，將很容易給數(shù)據(jù)中心帶來(lái)極大的損害。

1.3數(shù)據(jù)傳輸安全威脅云計(jì)算中的數(shù)據(jù)包含了企業(yè)的財(cái)務(wù)、業(yè)務(wù)、客戶等核心的競(jìng)爭(zhēng)力信息，因而企業(yè)在訪問(wèn)數(shù)據(jù)中心，使用數(shù)據(jù)中存在的威脅有：首先是數(shù)據(jù)傳輸中仍然是基于公共的、共享的網(wǎng)絡(luò)環(huán)境，因而數(shù)據(jù)傳輸過(guò)程暴露在外部的黑客、木馬病毒的危險(xiǎn)環(huán)境中，通常采用的供給手段是偵聽傳輸數(shù)據(jù)包以便能夠截取或感染數(shù)據(jù)，將導(dǎo)致數(shù)據(jù)破壞，因而數(shù)據(jù)傳輸?shù)那腊踩珕?wèn)題是亟待解決的問(wèn)題。第二是用戶在連接數(shù)據(jù)中心訪問(wèn)數(shù)據(jù)時(shí)，容易被冒用身份信息，因此需要在數(shù)據(jù)訪問(wèn)的準(zhǔn)入權(quán)限和操作日志上予以安全保護(hù)。

2云計(jì)算的安全保護(hù)對(duì)策

基于云計(jì)算環(huán)境下網(wǎng)絡(luò)安全面臨的現(xiàn)狀以及安全威脅，與計(jì)算的安全體系的構(gòu)架需要從動(dòng)態(tài)、縱深方向進(jìn)行拓展，建立安全防御：

2.1構(gòu)建網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系網(wǎng)絡(luò)安全評(píng)估是指依據(jù)相關(guān)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)的保密性、完整性和可用性等進(jìn)行科學(xué)、公正的綜合評(píng)估活動(dòng)。安全評(píng)估主要包括以下3個(gè)要素：第一是價(jià)值資產(chǎn)，主要對(duì)云計(jì)算中所涉及到計(jì)算機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)、基礎(chǔ)通信設(shè)施、建筑物、信息系統(tǒng)、軟硬件、檔案信息、以及單位職工等。對(duì)信息威脅的評(píng)估，對(duì)可能的潛在隱患、云計(jì)算中心本身的弱點(diǎn)等進(jìn)行評(píng)估。最后是潛在的攻擊點(diǎn)，云計(jì)算的系統(tǒng)中可能被黑客或是木馬病毒所攻擊的系統(tǒng)缺陷。對(duì)云計(jì)算的安全評(píng)估可以根據(jù)安全需求劃分目標(biāo)層、準(zhǔn)則層和指標(biāo)層，基于D—S證據(jù)理論、灰色理論和層次分析等手段進(jìn)行評(píng)估，發(fā)現(xiàn)問(wèn)題，提升安全防護(hù)。

2.2健全網(wǎng)絡(luò)安全接人系統(tǒng)對(duì)云計(jì)算接入端口的防護(hù)要保證接入渠道的安全性，采用身份驗(yàn)證、安全審計(jì)、IPSECVPN和SSLVPN等技術(shù)，對(duì)接入渠道和傳輸渠道進(jìn)行加密，避免被惡意攻擊。

2.3云數(shù)據(jù)存儲(chǔ)共享安全機(jī)制云存儲(chǔ)中首先需保證平臺(tái)的安全性，先通過(guò)特定機(jī)制去除操作系統(tǒng)威脅，填補(bǔ)系統(tǒng)漏洞；然后將相應(yīng)功能和服務(wù)禁用。同時(shí)解決遠(yuǎn)程管理、證書及DNS協(xié)議質(zhì)量以及執(zhí)行不當(dāng)?shù)葐?wèn)題，用戶必須使用攜帶自己私鑰才能存取云中的信息。云數(shù)據(jù)加密存儲(chǔ)后的共享示意圖如圖1所示。

2.4構(gòu)建主動(dòng)式的縱深防御接入端和傳輸端的防御都是被動(dòng)式的防御，除此之外，云計(jì)算應(yīng)主動(dòng)構(gòu)建具有縱深的主動(dòng)式防護(hù)體系，主要包括了對(duì)網(wǎng)絡(luò)的預(yù)警、響應(yīng)、檢測(cè)、保護(hù)、恢復(fù)和反擊等，其主要的核心技術(shù)是預(yù)警和響應(yīng)，強(qiáng)化網(wǎng)絡(luò)安全防御。

3結(jié)語(yǔ)

隨著云計(jì)算技術(shù)的不斷發(fā)展，更多的安全問(wèn)題將暴露出來(lái)，云計(jì)算環(huán)境下的安全防御是一個(gè)動(dòng)態(tài)過(guò)程，隨著攻擊手段和攻擊技術(shù)越來(lái)越高深，云計(jì)算網(wǎng)絡(luò)安全防護(hù)留下更多的擴(kuò)展接口，以便在將來(lái)適應(yīng)安全防御的需求，及時(shí)的升級(jí)和完善，進(jìn)一步提升云計(jì)算安全度。

參考文獻(xiàn)

[1]ZDNet.云計(jì)算安全擴(kuò)展了風(fēng)險(xiǎn)的邊界[J].網(wǎng)絡(luò)與信息,2010(10).

[2]馮登國(guó),張敏,張妍,徐震.云計(jì)算安全研究[J].軟件學(xué)報(bào),2011(01).

篇9

關(guān)鍵詞： APT； 攻擊； 防護(hù)； 訪問(wèn)控制

中圖分類號(hào)： TN915.08?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2013）17?0078?03

0 引 言

APT攻擊，即高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT），指組織或者小團(tuán)體，利用先進(jìn)的復(fù)合式攻擊手段對(duì)特定的數(shù)據(jù)目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式[1]。APT是竊取核心資料為目的所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，其攻擊方式比其他攻擊方式更為隱蔽，在發(fā)動(dòng)APT攻擊前，會(huì)對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)進(jìn)行精確的收集，挖掘攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞。攻擊者會(huì)針對(duì)性的進(jìn)行潛心準(zhǔn)備，熟悉被攻擊者應(yīng)用程序和業(yè)務(wù)流程的安全隱患，定位關(guān)鍵信息的存儲(chǔ)方式與通信方式，使整個(gè)攻擊形成有目的、有組織、有預(yù)謀的攻擊行為。因此傳統(tǒng)的入侵檢測(cè)技術(shù)難以應(yīng)對(duì)。

1 APT攻擊技術(shù)特點(diǎn)及對(duì)傳統(tǒng)入侵檢測(cè)技術(shù)的挑戰(zhàn)

APT攻擊是結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式，整個(gè)攻擊過(guò)程利用包括零日漏洞、網(wǎng)絡(luò)釣魚、掛馬等多種先進(jìn)攻擊技術(shù)和社會(huì)工程學(xué)的方法，一步一步地獲取進(jìn)入組織內(nèi)部的權(quán)限[2]。原來(lái)的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)，而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。從近兩年的幾起安全事件來(lái)看，Yahoo、Google、RSA、Comodo等大型企業(yè)都成為APT攻擊的受害者。在2012年5月被俄羅斯安全機(jī)構(gòu)發(fā)現(xiàn)的“火焰”病毒就是APT的最新發(fā)展模式，據(jù)國(guó)內(nèi)相關(guān)安全機(jī)構(gòu)通報(bào)，該病毒已于2012年6月入侵我國(guó)網(wǎng)絡(luò)。

1.1 APT攻擊的技術(shù)特點(diǎn)

APT攻擊就攻擊方法和模式而言，攻擊者主要利用各種方法特別是社會(huì)工程學(xué)的方法來(lái)收集目標(biāo)信息。其攻擊主要有基于互聯(lián)網(wǎng)惡意軟件的感染、物理惡意軟件的感染和外部入侵等三個(gè)入侵途徑，其典型流程圖如圖1所示。就以2010年影響范圍最廣的GoogleAurora（極光）APT攻擊，攻擊者利用就是利用社交網(wǎng)站，按照社會(huì)工程學(xué)的方法來(lái)收集到目標(biāo)信息，對(duì)目標(biāo)信息制定特定性的攻擊滲透策略，利用即時(shí)信息感染Google的一名目標(biāo)雇員的主機(jī)，通過(guò)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，造成了Google公司多種系統(tǒng)數(shù)據(jù)被竊取的嚴(yán)重后果。

從APT典型的攻擊步驟和幾個(gè)案例來(lái)看，APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點(diǎn)，大量結(jié)合社會(huì)工程學(xué)手段，采用多種途徑來(lái)收集情報(bào)，針對(duì)一些高價(jià)值的信息，利用所有的網(wǎng)絡(luò)漏洞進(jìn)行攻擊，持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的，建立一種類似僵尸網(wǎng)絡(luò)的遠(yuǎn)程控制架構(gòu)，并且通過(guò)多信道、多科學(xué)、多級(jí)別的的團(tuán)隊(duì)持續(xù)滲透的方式對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行監(jiān)視，將潛在價(jià)值文件的副本傳遞給命令控制服務(wù)器審查，將過(guò)濾的敏感機(jī)密信息采用加密的方式進(jìn)行外傳[3]。

1.2 APT攻擊對(duì)傳統(tǒng)檢測(cè)技術(shù)的挑戰(zhàn)

目前，APT攻擊給傳統(tǒng)入侵檢測(cè)技術(shù)帶來(lái)了兩大挑戰(zhàn)：

（1）高級(jí)入侵手段帶來(lái)的挑戰(zhàn)。APT攻擊將被攻擊對(duì)象的可信程序漏洞與業(yè)務(wù)系統(tǒng)漏洞進(jìn)行了融合，由于其攻擊的時(shí)間空間和攻擊渠道不能確定的因素，因此在攻擊模式上帶來(lái)了大量的不確定因素，使得傳統(tǒng)的入侵防御手段難以應(yīng)對(duì)APT入侵手段。

（2）持續(xù)性攻擊方式帶來(lái)的挑戰(zhàn)。APT是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環(huán)境中存在很長(zhǎng)的時(shí)間，一旦入侵成功則會(huì)長(zhǎng)期潛伏在被攻擊者的網(wǎng)絡(luò)環(huán)境中，在此過(guò)程中會(huì)不斷收集用戶的信息，找出系統(tǒng)存在的漏洞，采用低頻攻擊的方式將過(guò)濾后的敏感信息利用數(shù)據(jù)加密的方式進(jìn)行外傳。因此在單個(gè)時(shí)間段上APT網(wǎng)絡(luò)行為不會(huì)產(chǎn)生異常現(xiàn)象，而傳統(tǒng)的實(shí)時(shí)入侵檢測(cè)技術(shù)難以發(fā)現(xiàn)其隱蔽的攻擊行為。

2 安全防護(hù)技術(shù)模型研究

由于APT攻擊方式是多變的，以往的APT攻擊模式和案例并不具有具體的參考性，但是從多起APT攻擊案例的特點(diǎn)中分析來(lái)看，其攻擊目的可以分為兩方面：一是竊密信息，即竊取被攻擊者的敏感機(jī)密信息；二是干擾用戶行為兩方面，即干擾被攻擊者的正常行為。就APT攻擊過(guò)程而言，最終的節(jié)點(diǎn)都是在被攻擊終端。因此防護(hù)的最主要的目標(biāo)就是敏感機(jī)密信息不能被非授權(quán)用戶訪問(wèn)和控制。針對(duì)APT攻擊行為，文中設(shè)計(jì)建立了一種基于靜態(tài)檢測(cè)和動(dòng)態(tài)分析審計(jì)相結(jié)合的訪問(wèn)控制多維度防護(hù)模型，按照用戶終端層、網(wǎng)絡(luò)建模層和安全應(yīng)用層自下而上地構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系[4]，如圖2所示。

2.1 安全防護(hù)模型技術(shù)

整個(gè)安全防護(hù)服務(wù)模型采用靜態(tài)檢測(cè)和動(dòng)態(tài)分析的技術(shù)手段實(shí)時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包全流量監(jiān)控。靜態(tài)檢測(cè)主要是檢測(cè)APT攻擊的模式及其行為，審計(jì)網(wǎng)絡(luò)帶寬流量及使用情況，對(duì)實(shí)時(shí)獲取的攻擊樣本進(jìn)行逆向操作，對(duì)攻擊行為進(jìn)行溯源并提取其功能特征。動(dòng)態(tài)分析主要是利用所構(gòu)建的沙箱模型對(duì)網(wǎng)絡(luò)傳輸文件進(jìn)行關(guān)鍵字檢測(cè)，對(duì)Rootkit、Anti?AV等惡意程序?qū)嵤┰诰€攔截，對(duì)郵件、數(shù)據(jù)包和URL中的可疑代碼實(shí)施在線分析，利用混合型神經(jīng)網(wǎng)絡(luò)和遺傳算法等檢測(cè)技術(shù)對(duì)全流量數(shù)據(jù)包進(jìn)行深度檢測(cè)，結(jié)合入侵檢測(cè)系統(tǒng)審核文件體，分析系統(tǒng)環(huán)境及其文件中異常結(jié)構(gòu)，掃描系統(tǒng)內(nèi)存和CPU的異常調(diào)用。在關(guān)鍵位置上檢測(cè)各類API鉤子和各類可能注入的代碼片段。

2.2 安全防護(hù)模型結(jié)構(gòu)

用戶終端層是整個(gè)模型的基礎(chǔ)設(shè)施層，它主要由用戶身份識(shí)別，利用基于用戶行為的訪問(wèn)控制技術(shù)對(duì)用戶的訪問(wèn)實(shí)施驗(yàn)證和控制，結(jié)合用戶池和權(quán)限池技術(shù)，訪問(wèn)控制系統(tǒng)可以精確地控制管理用戶訪問(wèn)的資源和權(quán)限，同時(shí)訪問(wèn)者根據(jù)授權(quán)和訪問(wèn)控制原則訪問(wèn)權(quán)限范圍內(nèi)的信息資源。

網(wǎng)絡(luò)建模層是整個(gè)安全防護(hù)模型的核心。由內(nèi)網(wǎng)資源表示模型和多種安全訪問(wèn)控制服務(wù)模型共同構(gòu)成。采用對(duì)內(nèi)部資源形式化描述和分類的內(nèi)網(wǎng)資源表示模型為其他安全子模型提供了基礎(chǔ)的操作平臺(tái)。結(jié)合安全存儲(chǔ)、信息加密、網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控回放、操作系統(tǒng)安全、入侵檢測(cè)和信息蜜罐防御[5]，以整個(gè)內(nèi)網(wǎng)資源為處理目標(biāo)，建立基于訪問(wèn)控制技術(shù)的多維度安全防御保障體系。

安全應(yīng)用層是整個(gè)安全防護(hù)模型的最高層，包括操作審計(jì)、日志審查、病毒防御、識(shí)別認(rèn)證、系統(tǒng)和網(wǎng)絡(luò)管理等相關(guān)應(yīng)用擴(kuò)展模塊。在用戶終端層和網(wǎng)絡(luò)建模層的基礎(chǔ)上構(gòu)建整個(gè)安全防護(hù)系統(tǒng)的安全防護(hù)服務(wù)。

基于APT入侵建立安全防護(hù)模型，最關(guān)鍵的就是在現(xiàn)有安全模型上建立用戶身份識(shí)別，用戶行為管控和網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控的機(jī)制，建立安全防護(hù)模型的協(xié)議和標(biāo)準(zhǔn)的安全防御體系，并為整個(gè)安全解決方案和網(wǎng)絡(luò)資源安全實(shí)現(xiàn)原型。

3 網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵技術(shù)

3.1 基于網(wǎng)絡(luò)全流量模塊級(jí)異域沙箱檢測(cè)技術(shù)

原理是將整個(gè)網(wǎng)絡(luò)實(shí)時(shí)流量引入沙箱模型，通過(guò)沙箱模型模擬網(wǎng)絡(luò)中重要數(shù)據(jù)終端的類型和安全結(jié)構(gòu)模式，實(shí)時(shí)對(duì)沙箱系統(tǒng)的文件特征、系統(tǒng)進(jìn)程和網(wǎng)絡(luò)行為實(shí)現(xiàn)整體監(jiān)控，審計(jì)各種進(jìn)程的網(wǎng)絡(luò)流量，通過(guò)代碼檢查器掃描威脅代碼，根據(jù)其危險(xiǎn)度來(lái)動(dòng)態(tài)綁定監(jiān)控策略。利用動(dòng)態(tài)監(jiān)控對(duì)跨域調(diào)用特別是系統(tǒng)調(diào)用以及寄存器跳轉(zhuǎn)執(zhí)行進(jìn)行監(jiān)控和限制，避免由于威脅代碼或程序段躲過(guò)靜態(tài)代碼檢查引起的安全威脅。但整個(gè)模型的難點(diǎn)在于模擬的客戶端類型是否全面，如果缺乏合適的運(yùn)行環(huán)境，會(huì)導(dǎo)致流量中的惡意代碼在檢測(cè)環(huán)境中無(wú)法觸發(fā)，造成漏報(bào)[6]。

3.2 基于身份的行為分析技術(shù)

其原理是通過(guò)發(fā)現(xiàn)系統(tǒng)中行為模式的異常來(lái)檢測(cè)到入侵行為。依據(jù)正常的行為進(jìn)行建模，通過(guò)當(dāng)前主機(jī)和用戶的行為描述與正常行為模型進(jìn)行比對(duì)，根據(jù)差異是否超過(guò)預(yù)先設(shè)置的閥值來(lái)判定當(dāng)前行為是否為入侵行為，從而達(dá)到判定行為是否異常的目的。其核心技術(shù)是元數(shù)據(jù)提取、當(dāng)前行為的分析，正常行為的建模和異常行為檢測(cè)的比對(duì)算法，但由于其檢測(cè)行為基于背景流量中的正常業(yè)務(wù)行為，因而其閥值的選擇不當(dāng)或者業(yè)務(wù)模式發(fā)生偏差可能會(huì)導(dǎo)致誤報(bào)。

3.3 基于網(wǎng)絡(luò)流量檢測(cè)審計(jì)技術(shù)

原理是在傳統(tǒng)的入侵檢測(cè)機(jī)制上對(duì)整個(gè)網(wǎng)絡(luò)流量進(jìn)行深層次的協(xié)議解析和數(shù)據(jù)還原。識(shí)別用于標(biāo)識(shí)傳輸層定義的傳輸協(xié)議類型，解析提取分組中所包含的端口字段值，深度解析網(wǎng)絡(luò)應(yīng)用層協(xié)議信息，尋找符合特定的特征簽名代碼串。利用網(wǎng)絡(luò)數(shù)據(jù)層流量中交互信息的傳輸規(guī)律，匹配識(shí)別未知協(xié)議，從而達(dá)到對(duì)整個(gè)網(wǎng)絡(luò)流量的數(shù)據(jù)檢測(cè)和審計(jì)。利用傳統(tǒng)的入侵檢測(cè)系統(tǒng)檢測(cè)到入侵攻擊引起的策略觸發(fā)，結(jié)合全流量審計(jì)和深度分析還原APT攻擊場(chǎng)景，展現(xiàn)整個(gè)入侵行為的攻擊細(xì)節(jié)和進(jìn)展程度[7]。

3.4 基于網(wǎng)絡(luò)監(jiān)控回放技術(shù)

原理是利用云存儲(chǔ)強(qiáng)大的數(shù)據(jù)存儲(chǔ)能力對(duì)整個(gè)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行在線存儲(chǔ)，當(dāng)檢測(cè)到發(fā)生可疑的網(wǎng)絡(luò)攻擊行為，可以利用數(shù)據(jù)流量回放功能解析可疑攻擊行為，使整個(gè)基于時(shí)間窗的網(wǎng)絡(luò)流量監(jiān)控回放技術(shù)形成具有記憶功能的入侵檢測(cè)機(jī)制，利用其檢測(cè)機(jī)制確認(rèn)APT攻擊的全過(guò)程。比如可以對(duì)網(wǎng)絡(luò)傳輸中的郵件、可疑程序、URL中的異常代碼段實(shí)施檢測(cè)分析，監(jiān)控整個(gè)網(wǎng)絡(luò)中異常加密數(shù)據(jù)傳輸，從而更快地發(fā)現(xiàn)APT攻擊行為。若發(fā)生可疑行為攻擊漏報(bào)時(shí)，可以依據(jù)歷史流量進(jìn)行多次分析和數(shù)據(jù)安全檢測(cè)，形成更強(qiáng)的入侵檢測(cè)能力。由于采用全流量的數(shù)據(jù)存儲(chǔ)，會(huì)顯著影響高速的數(shù)據(jù)交換入侵檢測(cè)中其系統(tǒng)的檢測(cè)處理和分析能力，在這方面可能還存在一定的技術(shù)差距。

4 結(jié) 語(yǔ)

用傳統(tǒng)的入侵檢測(cè)手段很難檢測(cè)到APT攻擊。因此檢測(cè)的策略是要在大量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)APT攻擊的蛛絲馬跡，通過(guò)沙箱模型、網(wǎng)絡(luò)流量檢測(cè)審計(jì)和網(wǎng)絡(luò)監(jiān)控回放技術(shù)結(jié)合入侵檢測(cè)系統(tǒng)和信息蜜罐技術(shù)，形成基于記憶的智能檢測(cè)系統(tǒng)，利用網(wǎng)絡(luò)流量對(duì)攻擊行為進(jìn)行溯源操作，結(jié)合工作流程對(duì)相關(guān)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，提高對(duì)APT攻擊的檢測(cè)能力，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的APT攻擊威脅。在下一步工作中，要結(jié)合當(dāng)前云技術(shù)，在企業(yè)內(nèi)部搭建專屬的私有安全網(wǎng)絡(luò)，建立可信程序基因庫(kù)，完善私有云在防范APT攻擊的應(yīng)用。

參考文獻(xiàn)

[1] GONZALEZ J J， MOORE A P. System dynamics modeling for information security [EB/OL]. [2004?09?10]. http：///research/sdmis/inside?threat?desc.

[2] 余偉.APT攻擊：狼來(lái)了及應(yīng)對(duì)措施思考[J].信息安全與通信保密，2012（7）：9?11.

[3] 陳劍鋒，王強(qiáng)，伍淼，等.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012（7）：16?18.

[4] 王智民，楊聰毅.基于多核的安全網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全與通信保密，2009（6）：101?104.

[5] 胡征昉.蜜罐技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用[D].武漢：武漢理工大學(xué)，2007.

[6] 王曉煌.基于遺傳算法的分布式入侵檢測(cè)模型研究[J].燕山大學(xué)學(xué)報(bào)，2007，28（3）：257?261.

[7] 劉濤，白亮，侯媛彬，等.分布式智能入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)與實(shí)現(xiàn)[J].西安理工大學(xué)學(xué)報(bào)，2008，24（2）：228?231.

[8] Tenable Network Security. Features [EB/OL]. [2009?02?03]. http：///nessus/features/.

[9] 吉雨.APT攻擊漸成氣候企業(yè)需對(duì)抗未知威脅[J].信息安全與通信保密，2012（7）：23?27.

[10] 武興才.網(wǎng)絡(luò)攻擊分析與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（7）：48?50.

[11] 王培國(guó)，范炯.網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)分析與防范對(duì)策[J].通信與信息技術(shù)，2011（3）：86?88.

[12] 王建嶺.基于蜜罐技術(shù)的入侵特征研究[D].西安：西安電子科技大學(xué)，2006.

[13] 李志清.基于模式匹配和協(xié)議分析的入侵檢測(cè)系統(tǒng)研究[D].廣州：廣東工業(yè)大學(xué)，2007.

[14] 李俊婷，王文松.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)措施[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2007（15）：45?46.

[15] 韓冬.網(wǎng)絡(luò)安全信息檢測(cè)與管理[D].北京：北京交通大學(xué)，2008.

作者簡(jiǎn)介：曾瑋琳 男，1975年出生，廣東梅州人，高級(jí)工程師，碩士研究生。主要研究方向?yàn)榫W(wǎng)絡(luò)及網(wǎng)絡(luò)安全。

篇10

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；訪問(wèn)控制；數(shù)據(jù)加密；入侵檢測(cè)

中圖分類號(hào)：G434 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-010X（2015）03-0079-02

一、網(wǎng)絡(luò)安全面臨的問(wèn)題及威脅

網(wǎng)絡(luò)安全是指信息安全和控制安全。其中信息安全包括信息的完整性、可用性、保密性和可靠性；控制安全包括身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問(wèn)控制。信息安全和控制安全在網(wǎng)絡(luò)安全建設(shè)中都很重要，缺一不可。沒(méi)有信息安全，就會(huì)產(chǎn)生決策失誤；沒(méi)有控制安全，網(wǎng)絡(luò)系統(tǒng)就可能崩潰。綜合上述兩方面，計(jì)算機(jī)網(wǎng)絡(luò)安全主要存在以下幾個(gè)問(wèn)題：

（一）人為失誤

網(wǎng)絡(luò)操作人員對(duì)操作系統(tǒng)、硬件設(shè)備和相關(guān)軟件的配置和使用不當(dāng)，造成安全上的漏洞。如用戶安全意識(shí)不強(qiáng)、用戶口令過(guò)于簡(jiǎn)單，用戶將自己的賬號(hào)轉(zhuǎn)借他人或與他人共享等，都會(huì)為網(wǎng)絡(luò)安全帶來(lái)隱患。

（二）軟件漏洞

我們使用的軟件主要有三類：第一類，操作系統(tǒng)；第二類，商用軟件；第三類，自主開發(fā)的應(yīng)用軟件。這些軟件都不可能毫無(wú)缺陷和漏洞。尤其是第三類軟件，是我們根據(jù)本單位需求而自行研發(fā)的，在設(shè)計(jì)上存在一定的缺陷，這些正是網(wǎng)絡(luò)黑客進(jìn)行攻擊的目標(biāo)。

（三）惡意攻擊

惡意的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊是以各種方式有目的地破壞信息的有效性和完整性；被動(dòng)攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下進(jìn)行截獲、竊取、破譯從而獲得重要機(jī)密信息。

（四）受制于人

目前我國(guó)信息化建設(shè)中的核心技術(shù)缺乏技術(shù)支撐，依賴國(guó)外進(jìn)口，比如CPU芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等，這樣就存在許多安全隱患，容易留下嵌入式病毒、隱性通道和可恢復(fù)的密碼等漏洞。

二、網(wǎng)絡(luò)安全防范措施

解決網(wǎng)絡(luò)安全問(wèn)題的關(guān)鍵在于建立和完善計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)體系。一般常用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻技術(shù)、入侵檢測(cè)技術(shù)、訪問(wèn)控制技術(shù)和數(shù)據(jù)加密技術(shù)。

（一）安裝防火墻

防火墻是軟件和硬件的組合，它在內(nèi)網(wǎng)和外網(wǎng)之間建立起一個(gè)安全的網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入，作為一個(gè)分離器、控制器和分析器，用于執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制策略，有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的活動(dòng)。防火墻是目前使用最廣泛的網(wǎng)絡(luò)安全技術(shù)，對(duì)于非法訪問(wèn)具有預(yù)防作用。

（二）設(shè)置訪問(wèn)控制

訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，它是針對(duì)網(wǎng)絡(luò)非法操作而采取的一種安全保護(hù)措施。實(shí)施中需要對(duì)用戶賦予一定的權(quán)限，不同權(quán)限的用戶享有不同的權(quán)力。用戶要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)一般經(jīng)過(guò)三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的限制與檢查。這三個(gè)步驟中任何一關(guān)沒(méi)有通過(guò)，用戶都無(wú)法進(jìn)入網(wǎng)絡(luò)。因此，通過(guò)設(shè)置訪問(wèn)控制可有效地保證網(wǎng)絡(luò)的安全運(yùn)行。

（三）采用數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)是為防止秘密數(shù)據(jù)被外部破解，以提高網(wǎng)絡(luò)傳輸中信息的安全性、完整性所采用的技術(shù)手段，其關(guān)鍵技術(shù)在于密鑰的管理、存儲(chǔ)、分發(fā)等環(huán)節(jié)。一般采用密碼管理系統(tǒng)、密碼防護(hù)設(shè)備、終端加密設(shè)備、數(shù)據(jù)庫(kù)加密設(shè)備、網(wǎng)間密碼加密設(shè)備、撥號(hào)上網(wǎng)加密設(shè)備、遠(yuǎn)程撥號(hào)終端加密設(shè)備等技術(shù)。加密常用的辦法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密。

（四）加強(qiáng)入侵檢測(cè)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而配置的一種能及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是檢測(cè)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。系統(tǒng)日志就是操作系統(tǒng)自身附帶的一種安全監(jiān)測(cè)系統(tǒng)。我們可以定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，了解整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)異常現(xiàn)象。

（五）阻斷傳播途徑

由于網(wǎng)絡(luò)是建立在公開、共享的基礎(chǔ)上，因此各類的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不得直接或間接與互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實(shí)現(xiàn)物理隔離。對(duì)于級(jí)別很高的計(jì)算機(jī)，應(yīng)該建立單獨(dú)機(jī)房，指定專人操作，這樣可以最大程度減少泄密的可能性。另一方面，對(duì)相關(guān)網(wǎng)絡(luò)中的傳輸線路、終端設(shè)備也要進(jìn)行安全處理。對(duì)于計(jì)算機(jī)要使用專用的工具軟件把不需要的文件徹底刪除，對(duì)于廢棄的已格式化的硬盤，有時(shí)仍會(huì)留下可讀信息的痕跡，一定要對(duì)硬盤進(jìn)行物理銷毀，這樣才能把硬盤上的秘密完全清除。因此，對(duì)計(jì)算機(jī)的存儲(chǔ)設(shè)備必須謹(jǐn)慎、規(guī)范處理，杜絕一切安全隱患。

（六）提高人員素質(zhì)

在網(wǎng)絡(luò)安全環(huán)節(jié)中，人員是工作的主體，網(wǎng)絡(luò)安全所涉及的一切問(wèn)題，決定因素是人，因此人員素質(zhì)的高低直接決定著信息網(wǎng)絡(luò)安全工作的好壞。注重人員培訓(xùn)、提高能力素質(zhì)是構(gòu)建網(wǎng)絡(luò)安全體系的重要環(huán)節(jié)。良好的系統(tǒng)管理機(jī)制是增強(qiáng)系統(tǒng)安全性的保證，我們要加強(qiáng)對(duì)維護(hù)人員的安全教育、開展各種有關(guān)網(wǎng)絡(luò)安全檢測(cè)、安全分析、網(wǎng)上糾察等內(nèi)容的專業(yè)技術(shù)培訓(xùn)，保證網(wǎng)絡(luò)的維護(hù)者都能夠成為掌握網(wǎng)絡(luò)安全技能、熟練應(yīng)用網(wǎng)絡(luò)安全技術(shù)、嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全守則和掌握最新安全防范動(dòng)態(tài)與技術(shù)的全能型人才，以適應(yīng)信息化建設(shè)的需要。

網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)安全威脅會(huì)在信息建設(shè)中時(shí)刻相伴。一方面，我們必須增強(qiáng)安全意識(shí)，建立主動(dòng)防范、積極應(yīng)對(duì)的觀念。另一方面，網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)也是可以控制和規(guī)避的，只要我們能夠從技術(shù)上建立完整的解決方案，從人員培養(yǎng)與管理上注重實(shí)效、嚴(yán)格制度，一定能為計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建起堅(jiān)實(shí)的屏障，保證網(wǎng)絡(luò)安全、順暢地在科技和經(jīng)濟(jì)迅猛發(fā)展中發(fā)揮其無(wú)法替代的作用。

參考文獻(xiàn)：

[1]陳建偉.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M].北京：科學(xué)出版社，2006.