網絡安全等級保護重要性范例6篇

前言：中文期刊網精心挑選了網絡安全等級保護重要性范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全等級保護重要性范文1

關鍵詞：漏洞；檢測；計算機信息系統安全

中圖分類號：G203

基于全面的掃描檢測，計算機信息安全管理工作者可以直觀的了解系統內的安全配置和運行的應用服務，及時發現安全漏洞，客觀評估網站風險等級。此外，由于計算機信息安全系統問題是綜合性、多元化的問題，包括系統安全、數據安全等。全方位解決網站漏洞問題，需要完善的管理機制與技術保障。

1 信息系統安全等級保護概述

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領域的工作。信息系統安全漏洞指計算機系統存在可以利用的一個缺陷或者一個弱點，它能破壞計算機信息安全系統，威脅系統正常運營。據統計，有超過80%的計算機信息安全系統存在網站安全漏洞，嚴重威脅計算機信息系統內部重要信息的保密。信息系統安全檢測是一項為了防止計算機信息安全系統被非法入侵，對Web網站進行的授權漏洞檢測和安全防御工作。通過對系統內部的各種漏洞進行有效檢測，將很大程度上確保網站的安全運行。

2 計算機信息系統安全工作重要性

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段，作為公安部授權的第三方測評機構，為企事業單位提供免費專業的信息安全等級測評咨詢服務。信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關聯關系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

計算機在日趨進步的現代化生活中，愈來愈占據著日常生活和工作中不可或缺的地位。計算機系統內部的數據也顯得尤為重要。加強信息系統安全工作這一內容不可忽視。除了外部網絡環境中各類病毒、黑客等不安全因素可以對計算機系統內部做出干擾和破壞，內部維護和使用人員在工作中的操作不當和不規范使用，同樣可以導致計算機系統內部數據的混亂和丟失。諸如這類或那樣的問題，計算機系統不能正常運行會嚴重影響人們的生活和工作，為人們帶來不便。反之，加強對計算機信息系統安全的保護工作可以更好的方便人們的工作和生活，將人們生活和工作質量提上更高的一層。

3 計算機信息系統防護策略

（1）強化信息系統管理，明確安全管理范圍和任務，確保信息持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性；

（2）全面落實上級公司下發的各項方案要求，實行信息內外網完全隔離，杜絕一機兩用，確保內外網出口安全；

（3）建立信息安全管理職責和管理措施，加強信息系統運行全過程管理，提高全員信息系統安全意識；

（4）設置防止非法進入及越權訪問的安全機制，防止網絡黑客利用網絡設備和協議的安全漏洞進行網絡攻擊和信息竊取；

（5）對公司內部重要和敏感信息實行加密傳輸和存儲，對門戶網站頁面建立防護機制和措施，確保信息系統安全管理；

（6）進一步統一思想、提高認識、狠抓落實，全面推進現場標準化作業，夯實安全生產管理基礎；

（7）是認真開展定期和不定期網絡安全檢查工作，加強安全生產管理，做到責任落實、措施有力、監督到位；

（8）加強電網運行監控，對重載、重要設備和老舊設備設施、重點部位進行紅外線測溫工作，及時消除隱患缺陷，確保電網安全穩定運行；

（9）建立安全管理制度體系。制定《網絡管理制度》、《網絡與信息安全管理制度》、《計算機內外網管理規定》等一整套計算機管理制度和規定，工作中嚴格執行，形成了計算機網絡安全的制度保障；

（10）抽調公司業務骨干，組建網絡與安全工作小組，負責公司所有計算機的管理，明確各部門負責人是網絡安全管理第一責任人，并對重要的或的崗位簽定《保密工作責任書》；

（11）對公司每臺計算機都安裝了包括防火墻、入侵檢測、漏洞掃描、殺毒軟件等防病毒系統，軟件及時升級，要求公司干部增強病毒防范意識，定期檢測和殺毒；

（12）對能上外網的部室上互聯網的計算機只設一個獨立IP，與內網進行絕對物理隔離；

（13）實行數據本地備份機制和異地容災備份，確保各類數據安全。

4 計算器信息系統安全工作其他建議

4.1 強化計算機信息系統安全意識：由專業技術人員進行安全維護

由于部分計算機系統是交予外包開發，而計算機系統程序的開發人員不具備豐富的安全編程經驗，極易造成漏洞產生。

4.2 定期進行計算機信息系統安全檢測

通過國內最全的計算機系統漏洞檢測庫，強大的蜜罐集群檢測系統，第一時間為高危漏洞提供修復建議以及完整的解決方案。

4.3 實時監控計算機信息系統安全狀況

目前越來越多的黑客利用計算機系統自身存在的安全漏洞進入站點進行掛碼等操作，甚至破壞、篡改、刪除站內文件。對計算機系統，特別是盈利企業的正常運營帶來了極大的影響。在此推薦運用計算機信息系統安全漏洞檢測工具，利用它們，我們可以提前發現計算機系統存在的安全漏洞，并進行針對性操作以避免由此帶來的計算機信息系統安全隱患。對于進行過計算機系統優化操作的站點來講，計算機系統掛馬有可能影響計算機系統打開速度、內容以及功能結構。這些都是影響計算機系統排名的重要因素，計算機系統因此被K也不無可能。

5 結束語

計算機安全系統一旦被掛馬，將會在各種搜索引擎的結果中被攔截，客戶桌面客戶端的殺毒軟件會阻斷用戶訪問并報警，將會導致網站訪問量急劇下滑及用戶數據被竊取的后果。網站設計者在設計網站時，一般將大多數精力都花在考慮滿足用戶應用，如何實現業務等方面，而很少考慮網站開發過程中所存在的安全漏洞，這些漏洞在不關注信息系統安全的用戶眼里幾乎不可見，在正常的網站訪問過程中，這些漏洞也不會被察覺。但對于別有用心的攻擊者而言，這些漏洞很可能會對計算機系統帶來致使的傷害。

新興技術應用范圍日益拓展，網絡犯罪技術方式不斷革新，網絡安全損失日趨嚴重，計算機信息系統安全威脅將持續加大。因此，在未來勢必要完善信息安全策略，加強對網絡安全技術研發和人員培養來確保系統安全。

參考文獻：

[1]龔奕.計算機網絡安全問題和對策研究[J].軟件導刊，2009（02）.

[2]劉陽.淺談計算機網絡安全問題[J].科教文匯（下旬刊），2009（02）.

[3]周.計算機網絡安全的防范策略分析[J].電腦知識與技術，2009（05）.

[4]盧鵬.計算機網絡安全及其防護策略探析[J].硅谷，2009（12）.

網絡安全等級保護重要性范文2

隨著信息安全等級保護工作的不斷深化，已延伸到醫療衛生行業。衛計委要求三級醫院核心業務系統定級不低于第三級。本文結合醫院實際，介紹了醫院信息安全等級保護工作的建設，闡明了信息系統的定級、備案、整改、測評四個實施步驟，以供大家探討。

關鍵詞：

醫院信息安全；等級保護工作；等級測評

一、引言

隨著我國信息化建設的快速發展與廣泛應用，信息安全的重要性愈發突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統一管理規范和技術標準，公安部等四部委聯合了《信息安全等級保護管理辦法》（公通字[2007]43號）。隨著等級保護工作的深入開展，原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號），進一步規范和指導了我國醫療衛生行業信息安全等級保護工作，并對三級甲等醫院核心業務信息系統的安全等級作了要求，原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分，并按等級對信息安全事件響應[1]。

二、醫院信息安全等級保護工作實施步驟

2.1定級與備案[2]。

根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》，有兩個定級要素決定了信息系統的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。對于三級醫院，門診量與床位相對較多，影響范圍較廣，一旦信息系統遭到破壞，將會給患者造成生命財產損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關辦理備案手續，在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊，同時也是我市信息安全等級保護工作領導小組辦公室，提交了定級報告與備案表。

2.2安全建設與整改[3]。

在完成定級備案后，就要結合醫院實際，分析信息安全現狀，進行合理規劃與整改。

2.2.1等保差距分析與風險評估。

了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求?；炯夹g要求包括五個方面：物理安全、網絡安全、主機安全、應用安全和數據安全，主要是由在信息系統中使用的網絡安全產品（包括硬件和軟件）及安全配置來實現；基本管理要求也包括五個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理，主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制，以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類：業務信息安全類（S類）、系統服務安全類（A類）、通用安全保護類（G類）。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況，選擇其中一個標準進行差距分析。管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發現醫院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫院，可以先進行風險評估，通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅，形成《風險評估報告》。經過與三級基本要求對照，我院還存在一定差距。比如：在物理環境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當前的安全設備產品較少，不能很好的應對網絡入侵。在運維管理方面，缺乏預警機制，無法提前判斷系統潛在威脅等。

2.2.2建設整改方案。

根據差距分析情況，結合醫院信息系統安全實際需求和建設目標，著重于保證業務的連續性與數據隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則：安全技術和安全管理相結合，技術作保障，管理是更好的落實安全措施；從安全區域邊界、安全計算環境和安全通信網絡進行三維防護，建立安全管理中心[6]。方案設計完成后，應組織專家或經過第三方測評機構進行評審，以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合，并根據實際情況適當調整安全措施，提高整體保護水平。我院整改方案是先由醫院內部自查，再邀請等級測評公司進行預測評，結合醫院實際最終形成的方案。網絡技術人員熟悉系統現狀，易于發現潛在安全威脅，所以醫院要先自查，對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院，經過與醫院技術人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導意義。

2.3開展等級保護測評[7]。

下一步工作就是開展等級測評。在測評機構的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當地公安部門進行備案，還可以到中國信息安全等級保護網站進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準備階段。

醫院與測評機構共同成立項目領導小組，制定工作任務與測評計劃等前期準備工作。項目啟動前，為防止醫院信息泄露，還需要簽訂保密協議。項目啟動后，測評機構要進行前期調研，主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況，然后再選擇相應的測評工具和文檔。在測評準備階段，主要是做好組織機構建設工作，配合等級測評公司人員的調查工作。

2.3.2測評方案編制階段。

測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通，制定工具測試方法與測評指導書，編制測評方案。在此階段，主要工作由等級測評機構來完成。

2.3.3現場測評階段。

在經過實施準備后，測評機構要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫院業務正常開展，測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期，可以選擇下班時間或晚上。為避免對現有業務造成影響，測評工具應在接入前進行測試，同時要做好應急預案準備，一旦影響醫院業務，應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認，并將資料歸還醫院。該階段是從真實情況中了解信息系統全面具體的主要工作，也是技術人員比較辛苦的階段。除了要密切配合測評，還不能影響醫院業務開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。

通過判定測評單項，測評機構對單項測評結果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講，醫院能否通過等級測評的主要標準就是測評結果。因此，測評報告的結果至關重要。測評結果分為：不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結果，需要醫院落實安全整改方案。

2.4安全運維。

我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設規劃中考慮，還要在日常運維管理中重視，是不斷循環的過程。按照等級保護制度要求，信息系統等級保護級別定為三級的三甲醫院每年要自查一次，還要邀請測評機構進行測評并進行整改，監管部門每年要抽查一次。因此，醫院要按照PDCA的循環工作機制，不斷改進安全技術與管理上，完善安全措施，更好地保障醫院信息系統持續穩定運行[10]。

三、結語

醫院信息安全工作是信息化建設的一部分，是一項長期的系統工程，需要分批分期的循序改建。還要結合醫院實際，考慮安全產品的實用性，不能盲目的進行投資。醫院通過實施等級保護工作，可以有效增強網絡與信息系統整體安全性，有力保障醫院各項業務的持續開展，適應醫院信息化不斷發展的需求。

作者：王磊 單位：蚌埠醫學院第二附屬醫院

參考文獻

[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術信息系統安全等級保護定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術信息系統安全等級保護實施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術信息系統安全等級保護基本要求[S],2008-06-19.

[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術信息系統安全等級保護測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統信息安全等級保護測評指標體系研究[J].鐵路計算機應用,2015,24(2):59-61.

網絡安全等級保護重要性范文3

1.1來自醫院內部的信息系統安全威脅

一個是來自工作人員的威脅，例如有的工作人員胡亂操作系統，訪問來源不明的網站，將感染有病毒的U盤插入接入醫院信息系統的計算機，在不具有權限的情況下，采用欺騙或是技術手段訪問醫院信息系統數據庫等等，都會給醫院的信息系統帶來安全問題；另一個是設備軟硬件故障，醫院信息系統需要7*24小時不間斷運行，例如存儲設備故障、網絡系統故障、服務器故障等，都會對信息系統的運行效率與安全造成威脅。

1.2來自醫院外部的信息系統安全威脅

來自醫院外部的信息系統安全威脅主要是指黑客的攻擊，病毒、木馬的入侵等等，這可能會導致醫院信息系統崩潰，患者的病歷資料信息被竊取、篡改等等。

2數字化時代下醫院信息安全建設措施

醫院信息安全的建設，應當分為兩個層面進行，一個是管理層面的建設措施，另一個是技術層面的建設措施。

2.1管理措施

第一，提高醫院整體對信息安全的重視力度。加強宣傳，讓每個工作人員都知道在當前的數字化時代下，醫院臨床工作的開展，各部門、各系統的管理，患者信息資料的存儲、查閱、分析，都必須要依靠信息系統，如果出現了信息安全問題，就會對整個醫院系統造成影響，降低醫院運轉效率，還可能會導致患者的隱私泄露，使患者對醫院的可靠性產生質疑，不利于醫院的發展。同時，還要加強對所有醫務人員的信息安全培訓教育，讓他們熟練掌握相關的信息安全技術技巧，防止由于操作方面的失誤，對信息系統安全造成威脅。第二，健全完善信息系統安全管理制度。要針對醫院信息系統的特點，制定總體安全方針與安全策略，將醫院信息安全的基本原則、范圍、目標明確下來，對管理人員或操作人員執行的日常管理操作建立操作規程，并在實踐中總結經驗，針對信息系統操作應用中所遇到的實際情況，不斷完善規程，以制度化的途徑推進醫院信息安全建設。第三，推行信息安全等級保護。醫院應結合自身信息系統的特點，以國家頒布的信息安全等級保護相關文件為標準，逐步開展信息安全等級保護工作。建設過程中要優先保護重要信息系統，優先滿足重點信息安全的需求。在重點建設的基礎上，全面推行醫院信息安全等級保護的實施。對于新建、改建、擴建的信息系統，嚴格按照信息安全等級保護的管理規范和技術標準進行規劃設計、建設施工.要通過建立管理制度，落實管理措施，完善保護設施這一系列舉措，形成信息安全技術防護體系與管理體系，有效保障醫院信息系統安全。醫院在信息安全等級保護建設工作中應科學規劃，嚴格以國家相關標準為依據，遵循自主保護、重點保護、同步建設、動態調整等基本原則，穩步地開展信息安全等級建設。第四，完善信息安全應急預案。為提高醫院信息系統的安全穩定運行和處置突發事件的能力，最大程度地預防和減少因為信息系統突發事件使醫院正常工作中斷而造成的嚴重后果，保障信息系統對醫療系統的平穩支撐，需根據實際情況不斷完善應急預案管理制度。

2.2技術措施

第一，改善環境安全。在信息安全等級保護規定中，機房屬于物理部分，每個醫院都有一個或數個用于存放主要信息系統硬件設備的機房，是醫院信息系統的核心物理區域。信息系統的安全在很大程度上受著機房環境條件的影響，因此必須要通過加強環境安全建設，來確保信息系統的安全。機房的建設規劃最好是采用“異地雙機房模式”，并且要避免將機房安置在地下室或建筑高層，機房隔壁或上層最好不要有大型的供水、用水設備，且要具有良好的防水能力、防震能力。為確保信息系統的持續高效運轉，應當配備不間斷的冗余電源，機房室內安裝可調節空氣溫度與濕度的設備，在進出和主要的區域安裝攝像頭，基本的防火、防盜保護要做到位。第二，加強設備安全管理。設備安全包括服務器、交換機、存儲、終端主機等設備的安全。醫院信息系統中的重要設備需盡可能的采用冗余方式配置，以提高系統的穩定性。同時服務器應嚴格限制默認賬戶的訪問權限。及時刪除多余的、過期的賬戶，避免共享賬戶的存在。依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作，啟用訪問控制功能，依據安全策略控制用戶對資源的訪問。根據管理用戶的角色分配權限，實現管理用戶的權限分離。另外，所有服務器均需開啟全部安全審核策略，所有數據庫開啟C2審核跟蹤，同時安裝主機入侵防御系統及最新操作系統補丁。服務器還應安裝統一的防病毒軟件。在終端主機方面，利用桌面管理軟件對設備接口進行管理和控制，例如USB接口管理，禁止外來移動存儲隨意接入電腦，防止病毒感染。終端電腦除了及時安裝系統補丁和更新防病毒軟件外，還需加強密碼復雜度和開啟賬戶鎖定策略。人員離開后，一定時間內自動退出和鎖定。第三，嚴防網絡威脅。在現代網絡的作用下，不論是醫院內部各科室、各部門，還是醫院外部的任何機構單位，都可以進行高效率的溝通交流與信息共享，這在很大程度上提高了醫院的業務處理能力。但由于目前的網絡缺少強有力的監管，所以有大量的不安全因素活躍在網絡中，例如上面所提到的病毒、木馬以及黑客等，這對醫院的信息安全造成了極大的威脅。所以，醫院應當建立信息系統網絡安全訪問路徑，采用路由控制的方式，來確保客戶端與服務器之間的安全連接。對不同醫療部門根據工作職能、重要程度和信息敏感性等要素劃分不同的網段，并對不同網段按照重要程度劃分安全域，對信息敏感、重要性程度高的網段，應進行IP與MAC綁定，避免遭到ARP欺騙攻擊。在信息系統的網絡邊界，應當安裝防火墻，部署入侵檢測系統，對蠕蟲攻擊、緩沖區溢出攻擊、木馬攻擊、端口掃描等惡意操作進行監測，將攻擊發生的時間、類型以及攻擊源IP等信息詳細的記錄下來，提供給網絡安全部門。第四，保障數據安全。在醫院的信息系統當中，存儲著大量的數據，這些數據既包括患者的個人隱私資料，也包括醫院自身運轉所需的各種基礎信息，這些信息的準確性對臨床工作的開展來說，具有非常大的影響。為了保障信息系統的數據安全，數據庫管理賬戶的登錄方式應當設置為KEY+口令的方式，且口令的設置要負責、隨機，并且要定時更換。不同崗位對數據庫的訪問權限應當進行合理的劃分，僅需要確保人員能夠獲得開展工作所需的數據即可。采用數據庫審計設備對各個賬戶的行為進行監控、記錄，如果發現有違規操作，應當及時通報并查明原因。為了確保信息系統數據的可用性與完整性，在傳輸醫療數據的時候，必須要進行完整性檢測，如果發現數據破壞，應重新傳輸數據或是進行數據修復。所有的數據信息都應當進行定時備份，最好是異地備份，防止數據庫服務器受到外力破壞，例如水淹、火燒，導致原始數據和備份數據一同丟失。

3結語

網絡安全等級保護重要性范文4

【 關鍵詞 】 云計算；云安全；等級保護；虛擬化安全

1 引言

自2006年云計算的概念產生以來，各類與云計算相關的服務紛紛涌現，隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案，大都根據自己企業對云平臺安全的理解，結合本企業專長，專注于某一方面的安全。然而，對于用戶來說云平臺是一個整體，需要構建云平臺的整體安全防護體系。

因此，針對云計算中心的安全需求建立信息安全防護體系已經是大勢所趨，云安全防護體系的建立，必將使云計算得以更加健康、有序的發展。

2 云計算的安全問題解析

云計算模式當前已得到業界普遍認同，成為信息技術領域新的發展方向。但是，隨著云計算的大量應用，云環境的安全問題也日益突出。我們如果不能很好地解決相關的安全管理問題，云計算就會成為過眼“浮云”。在眾多對云計算的討論中，SafeNet的調查非常具有代表性：“對于云計算面臨的安全問題，88.5%的企業對云計算安全擔憂”。各種調研數據也表明：安全性是用戶選擇云計算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。

2.1 云安全與傳統安全技術的關系

云計算引入了虛擬化技術，改變了服務方式，但并沒有顛覆傳統的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計算環境下，由于虛擬化技術的引入，需要納入虛擬化安全的防護措施。而在基礎層面上，仍然可依靠成熟的傳統安全技術來提供安全防護。

如圖1所示，云計算安全和傳統安全在安全目標、系統資源類型、基礎安全技術方面是相同的，而云計算又有其特有的安全問題，主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上，我們可以把云安全看做傳統安全的一個超集，或者換句話說，云安全是傳統安全在云計算環境下的繼承和發展。

綜合前面的討論，可以推導出一個基本的認識，云計算的模式是革命性的：虛擬化安全、數據安全和隱私保護是云安全的重點和難點，云安全將基于傳統安全技術獲得發展。

2.2 云計算的安全需求與防護技術

解決安全問題的出發點是風險分析，CSA云安全聯盟提出了所謂“七重罪”的云安全重點風險域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計算的濫用、惡用、拒絕服務攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內部員工）；

Threat 4： Shared Technology Issues（共享技術產生的問題）；

Threat 5： Data Loss or Leakage（數據泄漏）；

Threat 6： Account or Service Hijacking（賬號和服務劫持）；

Threat 7： Unknown Risk Profile（未知的風險場景）。

信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性，用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。

機密性安全需求：要求上傳到云端的信息及其處理結果以及所要求的云計算服務具有排他性，只能被授權人訪問或使用，不會被非法泄露。

完整性安全需求：要求與云計算相關的數據或服務是完備、有效、真實的，不會被非法操縱、破壞、篡改、偽造，并且不可否認或抵賴。

可用性安全需求：要求網絡、數據和服務具有連續性、準時性，不會中斷或延遲，以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。

根據云計算中心的安全需求，我們會相應得到一個安全防護技術的層次結構：底層是基礎設施安全，包括基礎平臺安全、虛擬化安全和安全管理；中間是數據安全，上層是安全服務層面，還包括安全接入相關的防護技術。

3 等級保護背景下的云安全體系

3.1 等級保護標準與云安全

自1994年國務院147號令開始，信息安全等級保護體系歷經近20年的發展，從政策法規、國家標準、到測評管理都建立了完備的體系，自2010年以來，在公安部的領導下，信息安全等級保護落地實施開展得如火如荼，信息安全等級保護已經成為我國信息化建設的重要安全指導方針。

圖3表明了等級保護標準體系放發展歷程。

盡管引入了虛擬化等新興技術，運營模式也從出租機房進化到出租虛擬資源，乃至出租服務。但從其本質上看，云計算中心仍然是一類信息系統，需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外，云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。

因此，云計算中心防護體系應當是以等級保護為指導思想，從云計算中心的安全需求出發，從技術和管理兩個層面全方位保護云計算中心的信息安全；全生命周期保證云計算中心的安全建設符合等保要求；將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計算中心的安全框架

一個云計算中心的安全防護體系的構建，應以等級保護為系統指導思想，能夠充分滿足云計算中心的安全需求為目標。根據前面的研究，我們提出一個云計算中心的安全框架，包括傳統安全技術、云安全技術和安全運維管理三個層面的安全防護。

云安全框架以云安全管理平臺為中心，綜合安全技術和管理運維兩個方面的手段確保系統的整體安全。在安全技術方面，除了傳統的物理安全、網絡安全、主機安全、應用安全、數據安全、備份恢復等保障措施，還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。

3.3 云安全防護體系架構

在實際的云安全防護體系建設中，首先要在網絡和主機等傳統的安全設備層面建立基礎信息系統安全防護系統。基礎信息安全防護體系是以等級保護標準為指導進行構建，符合等級保護標準對相應安全級別的基本安全要求。

在此基礎上，通過SOC安全集中管理系統、虛擬安全組件、SMC安全運維管理系統和等保合規管理系統四個安全子系統共同組成云安全管理中心，如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協同工作，為云計算中心提供從實體設備到虛擬化系統的全面深度安全防護，同時通過專業的SLC等保合規管理系統來確保云安全體系對于等級保護標準的合規性。

參考文獻

[1] 郝斐，王雷，荊繼武等.云存儲安全增強系統的設計與實現[J].信息網絡安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計算安全模型與架構設計研究[J].信息網絡安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務外網安全防護體系研究[J].信息網絡安全，2012，（07）：3-5.

[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網絡安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計算安全需求分析研究[J].信息網絡安全，2012，（08）：75-78.

[6] 海然.云計算風險分析[J].信息網絡安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計算技術的信息安全試驗系統設計與實現[J].信息網絡安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統安全的研究與分析[J].信息網絡安全，2012，（05）：43-45.

[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計算及安全分析[J].計算機技術與發展，2010，20（2）：99.102.

[11] 馮登國，孫悅，張陽.信息安全體系結構[M].清華大學出版社，2008：43-81.

[12] 張水平，李紀真.基于云計算的數據中心安全體系研究與實現[J].計算機工程與設計，2011，12（32）：3965.

[13] 質監局，國標委.信息系統安全等級保護基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等?！睘楹诵牡男畔踩芾砉ぷ髌脚_設計[J].實踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡介：

白秀杰（1973-），男，碩士，系統分析師；研究方向：云安全技術。

李汝鑫（1983-），男，本科，項目管理師；研究方向：信息安全技術。

網絡安全等級保護重要性范文5

 

近年來，隨著信息安全等級保護工作機制的不斷完善，主管部門監督檢查力度的不斷加大，信息系統開展等級測評的數量穩步增長，測評覆蓋率顯著提升。通過統計分析本單位近些年測評的數百個信息系統的數據，可以得出以下結論：一是較早開展等級測評的行業，經過測評和整改建設，測評符合率逐年提高;二是隨著等級測評工作的持續推進，近期才開展首次測評的行業特別是基層單位的信息安全工作基礎較薄弱，測評得分明顯偏低。通過對物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等10個層面的測評結果進行統計，其中網絡安全、主機安全、應用安全、系統運維管理等方面的不符合率相對較高，信息系統的建設、使用、運維階段存在一些較普遍的問題。

 

信息系統安全保護措施落實情況分析

 

整體而言，隨著等級測評工作的持續推進，黨政機關、企事業單位對信息系統安全等級保護的認識和重視程度得到普遍提升，在管理和技術兩方面主要采取了以下安全措施：

 

信息安全管理措施落實情況

 

在信息安全管理方面呈現出兩級分化的特點。一些重點行業的業務信息化程度高、自身信息技術隊伍力量足、信息安全投入經費有保障，其安全管理措施一般也能得到有效落實，在機構、人員、制度、建設管理、運維管理等方面均能較好地符合相關標準的要求。這一類的典型包括銀行、證券、電力等行業主管部門對信息安全監管嚴格的幾大行業。相反，部分對信息系統管控相對松散的單位如大專院校、在信息安全投入方面得不到充分保障的單位如基層政府部門，其信息安全專業人員的配備達不到標準規范的要求，安全責任部門地位偏低權限不足，很難制定并有效貫徹落實結合本單位實際的信息安全管理制度。

 

信息安全技術措施落實情況

 

多數單位通過部署邊界安全設備，強化入侵防范措施來提高網絡的安全性;通過加固操作系統和數據庫的安全策略，啟用安全審計，安裝殺毒軟件等措施，來提高主機安全防護水平;通過開發應用系統的安全模塊，從身份鑒別、訪問控制、日志記錄等方面，強化業務應用的安全性;通過部署數據備份設備、加密措施，加強對數據安全的保護。

 

信息系統常見安全問題分析

 

隨著等級測評工作的覆蓋面進一步擴大，近年來初次測評的單位和基層部門仍發現一些典型問題。

 

信息安全意識有待提高

 

很多單位對當前日趨嚴峻的網絡安全形勢認識不足，將信息安全工作視為被動應付上級檢查、被動應對安全事件的任務來消極對待。一些單位認為取得“基本符合”的測評結論就高枕無憂，完成測評備案就完成了等級保護。由此造成對信息安全合規的落實不夠、資金和人員投入不足、重建設輕運維、有制度無執行、有預案不演練等問題，根源還是安全意識薄弱。

 

信息安全管理有待加強

 

信息安全管理不到位主要表現在安全管理制度、系統建設管理、系統運維管理等方面。

 

信息安全管理制度不完善?；鶎訂挝恍畔踩芾碇贫炔蝗?、人員配備不足、授權審批流于形式、執行記錄缺失等問題較為常見。部分單位的信息安全管理制度照搬模版，未結合本單位實際進行修訂，導致缺乏可操作性。

 

系統建設管理不到位。系統建設過程中落實信息安全“同步建設”原則不到位。在軟件開發階段較普遍未遵循安全編碼規范，導致安全功能缺失、應用層漏洞頻現。在系統驗收階段，很多單位僅注重業務功能驗收，缺乏專門的安全性測試;電子政務類項目較普遍未按規定在項目驗收環節完成“一證兩報告”(即等級測評報告、風險評估報告和系統備案證明)。

 

系統運維管理不到位。在系統運維管理方面，部分單位運維和開發崗位不分，職責不清，存在一人身兼數職現象。很多單位在信息資產管理、介質管理、變更管理等方面缺乏操作規程和相關記錄，數據備份策略不明，應急預案不完善并缺乏演練。

 

關鍵技術措施有待落實

 

分析近年來的測評結果，安全技術措施不足問題主要體現在以下幾個方面：

 

在物理安全方面，隨著電子政務集約化建設的推進，大量信息系統已經集中到高規格的專業機房，但仍有部分單位自有機房條件簡陋，位置選擇不規范，出入管理較隨意，防盜防破壞、防雷防火防潮能力較差，環境監控措施不足。

 

在網絡安全方面，常見網絡和安全設備的配置不到位，如未合理劃分區域、未精細配置訪問控制策略、未對重要設備做地址綁定等;較普遍缺少專業審計系統。部分單位設備老舊，安全產品本身存在一定缺陷導致無法滿足等級保護要求。個別單位用于生產控制的重要信息系統在網絡層面未采取必要安全措施的同時，還違規接通互聯網，存在極大的安全隱患。

 

在主機安全方面，部分單位存在弱口令、不啟用登錄失敗處理和安全審計功能、不及時更新補丁、不關閉非必要服務等問題。此外，由于主流操作系統和數據庫很少支持強制訪問控制機制，相關要求普遍未落實。

 

在應用安全方面，很多應用軟件安全功能不足，缺少身份鑒別、審計日志、信息加密等能力。由于很少進行安全掃描、滲透測試，相當一部分系統存在高危風險，如SQL注入、跨站腳本、文件上傳等漏洞，以及弱口令、網頁木馬等問題。

 

在數據安全方面，較常見的是數據保密性和完整性措施薄弱。此外，部分信息系統的備份和恢復措施欠完善，缺乏有效的災難恢復手段。

 

針對新技術的等級保護測評標準有待出臺

 

隨著浙江政務服務網的大力推進，省內各級政務云平臺的建設使用已全面開展，有相當數量的電子政務系統已遷移上云。同時涉及城市公共設施、水電氣等工控系統密集的行業對等級保護工作越來越重視，對云計算、工控系統、移動APP等的測評需求不斷加大。但現有的《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》未涉及云計算、工業控制、移動互聯等領域，在測評實踐中已遇到諸多不適應情況。針對這些新技術新應用的等級保護測評標準需求已非常迫切。

 

重要信息系統安全保護對策建議

 

針對上述存在的問題，本文提出以下對策建議，以供參考。

 

提高信息安全意識

 

提高全員信息安全意識是全面提升信息安全保障水平的根本解決之道。要樹立全體人員的安全觀念，加強信息安全培訓。除了通過強化工作考核和安全檢查來督促信息安全工作的深入開展，還應通過多種方式開展信息安全政策解讀和信息安全標準宣貫，強化對全員的安全意識教育和考查。建議結合一些合適的安全職業技能培訓，落實信息安全相關崗位“持證上崗”的要求。

 

加強信息安全管理

 

“三分技術，七分管理”，各單位應轉變觀念，將“信息安全”與“系統穩定、功能正?！蓖戎匾暺饋?，將安全管理要求與自身業務緊密結合，制訂完善的體系化的安全管理制度。

 

在系統建設管理過程中，應要求開發人員遵循安全編碼規范進行開發;在系統驗收環節，應認真做好安全性驗收測試。在電子政務領域應落實國家對電子政務項目管理的制度要求，驗收階段完成等級測評，未通過測評的應不予驗收。

 

在系統運維管理方面，應加強制定信息系統日常管理操作的詳細規范，明確定義工作流程和操作步驟，使日常運行管理制度化、規范化。對信息資產按重要性進行分類梳理，建立完善應急災備措施，定期開展演練，確保備份的有效性。

 

落實關鍵技術措施

 

針對測評發現的問題，各單位應根據系統所定級別，結合自身條件，綜合考慮問題的影響范圍、嚴重程度、整改難度等因素，制定整改計劃，有步驟地落實相關技術措施。對于策略配置類的問題及時糾正;對于整改難度大、需要添置硬件或修改代碼的問題，應在充分測試和試運行的基礎上實施整改。對于強制訪問控制、敏感標記、雙因子鑒別等難點問題，建議國家加強相關產業政策的引導，促進安全廠商研發技術、推出產品，解決市場供應問題。各級主管部門應通過測評、整改、監督檢查、再測評的閉環管理，督促關鍵技術措施的落實。

 

加快新技術的等級保護測評標準編制工作

 

目前公安部信息安全等級保護評估中心在牽頭起草針對云計算安全的等級保護標準，尚處于征求意見階段。其余新技術領域的等級保護標準制定工作進度更晚，隨著智慧城市、云計算、大數據、移動互聯、工業控制等新技術的快速應用，安全標準相對滯后的問題更加突出，應進一步加快相關新標準的制定。

網絡安全等級保護重要性范文6

［關鍵詞］網絡安全；校園網；防火墻

前言

東北財經大學經過不斷發展、完善的信息化歷程，完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統，隨著各類應用系統的不斷上線，逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面，承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內部惡意使用，還是大多數情況下內部用戶無意造成的安全隱患，都給學校的網絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2．0標準的要求，在現有的架構下對東北財經大學校園網絡進行了安全加固設計，提升了校園網主動防御、動態防御、整體防控和精準防護的能力。

1現狀及問題

在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下，學校各類業務系統在開發時難免遺留一些安全漏洞，目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備，傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統管理員權限，從而進行數據竊取和破壞，對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬，由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景，互聯網出口將會達到15Gbps帶寬以上，原有的帶寬出口網關弊端顯露：具體包括網關性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉發工作；IPv6網絡不兼容，無法平滑升級，后續無法滿足國家政策進行IPv6改造的規劃；上網審計和流量控制功能不完善，原有網關未集成上網行為審計功能，未能完全滿足網絡安全法，保障合規上網；不支持基于應用的流量控制，帶寬出口的流量控制效果不佳；對上網行為缺乏有效管理和分析手段，針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2．0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早，目前校內數據中心的絕大部分已經實現了虛擬化，主要業務系統均在虛擬機上運行，虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性，但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2．0的相關要求，提高東北財經大學數據中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：（1）構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內網的持續檢測和外部的安全風險監測能力，主要技術手段包括：網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。（3）形成全網流量與行為可視的能力。優化帶寬分配，提升師生上網體驗；過濾不良網站和違法言論，保障學生健康上網和安全上網；全面審計所有網絡行為，滿足《網絡安全法》等法律法規要求；在網絡行為可視可控的基礎之上，需要進一步形成校園網絡全局態勢可視的能力。

2網絡安全加固技術方案

按原有拓撲，將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域，并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接；校園網出口區域有多條外網線路接入，合計帶寬7Gb，為校園網提供互聯網及教育網資源訪問服務；數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統；運維管理區域主要負責對整體網絡進行統一安全管理和日志收集；校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網，存在大量PC終端供學校師生使用；另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網絡檢測等安全防護模塊，構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力，能夠實現基于IP地址、源／目的端口、應用／服務、用戶、區域／地域、時間等元素進行精細化的訪問控制規則設置；提供專業的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測；提供專業的Web應用防護能力，針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護，同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業務安全；提供內網僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結合，實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理，對校園網出口流量進行全面管控，上網行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網行為管理處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能，設備提供IPv4／IPv6雙棧協議兼容，有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計，設備選型必須能夠全面識別各種應用：（1）支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術；（2）擁有強大的應用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內容檢測：IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP／IP協議等；（5）通過P2P智能識別技術，識別出不常見、未來可能出現的P2P行為，進而封堵、流控和審計。通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時，也要提供網絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術，復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，將網流量自動匹配最佳出口。具備全面的合規審計及管控功能，支持對內網用戶的所有上網行為進行審計記錄，滿足《網絡安全法》的要求，能有效防范學生網上不良言論、訪問非法網站等高風險行為，規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統一的主機／虛擬機邏輯安全域劃分，同時實現云內流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力，實現全網風險可視，展示全網終端狀態分布，顯示當前安全事件總覽及安全時間分布全網終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發現不合規項。部署于每臺VM上的端點agent，能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環境下的兼容性問題，構建動態安全邊界。構建多維度漏斗型檢測框架，EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發現各類終端威脅。

3結語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

參考文獻

［1］李鍇淞．對于校園網絡建設及網絡安全的探討［J］．數字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網合作運營探索［J］．網絡安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網絡安全防控［J］．計算機產品與流通，2019（9）．

［4］王巖紅．高校校園網安全現狀及優化探討［J］．網絡安全技術與應用，2019（8）．