網絡安全運營體系范例6篇

前言：中文期刊網精心挑選了網絡安全運營體系范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全運營體系范文1

1電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設，針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。

2電信網絡安全面臨的形勢及問題

2.1互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統，保障了網絡安全。IP電話引入后，需要與傳統電信網互聯互通，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上，TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術、新業務的引入，給電信網的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網絡側發送信息的能力大大增強，每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。

2.3運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。

2.4相關法規尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網絡安全相關的法律法規還不完備，且缺乏操作性。在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益放在首位，網絡安全相關的建設、運行維護管理等相對滯后。

3電信網絡安全防護的對策思考

強化電信網絡安全，應做到主動防護與被動監控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2網絡層安全解決方案

網絡層安全要基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作?？梢园凑站W絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。同時，應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3.3網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品，將工作站直接連接到主干交換機的監控端口(SPANPort)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

網絡安全運營體系范文2

世界電信日

信息產業部在北京隆重舉行第38屆世界電信日暨首屆世界信息社會日紀念大會。圍繞世界電信日主題“讓全球網絡更安全”，信息產業部副部長奚國華在講話中呼吁社會各界攜起手來，保障網絡與信息安全，為建立一個和諧、文明、繁榮的信息社會而共同努力。

奚國華指出，國際電聯今年確定的世界電信日主題“讓全球網絡更安全”，具有鮮明的時代特色和很強的現實意義。當前，在全球范圍內，計算機病毒、各種有害信息、系統安全漏洞和網絡違法犯罪等網絡與信息安全問題日漸突出。如何保障信息網絡的安全可靠運行，已成為世界各國政府主管部門、企業界和廣大用戶共同面臨的一個嚴峻挑戰。中國政府對網絡和信息安全問題給予了密切關注和高度重視，制定并實施了國家信息安全戰略，在加強網絡安全事件監測、完善協調處置機制、開展網絡安全技術研究、建設網絡安全應急體系等方面做了大量工作，基礎信息網絡和重要信息系統的安全防護能力顯著增強。今年2月份，信息產業部還啟動了以“倡導網絡文明、構建和諧環境”為主題的“陽光綠色網絡工程”系列活動，在凈化網絡環境和促進網絡文明方面起到了積極作用。

奚國華強調，信息產業部將進一步樹立和落實科學發展觀，按照建設社會主義和諧社會的要求，堅決打擊網絡犯罪，切實維護網絡與信息安全，為推進信息社會建設提供堅實保障。

——堅持網絡發展與網絡安全兩手抓，推動信息通信業的和諧、有序、健康發展。網絡安全是信息社會健康發展的基本前提，要像重視網絡發展那樣重視網絡安全，以發展促安全、以安全保發展。一方面，要繼續加大信息通信基礎設施建設力度，積極推進信息技術的廣泛應用和信息資源的開發利用，以滿足社會日益增長的信息通信需求；另一方面，針對各種網絡安全問題，采取切實有效的對策措施，不斷提高防范和保障能力，創造一個放心、安全的網絡應用環境，使網絡能夠更好地服務于人們的工作和生活。

——樹立和落實社會主義榮辱觀，構建健康和諧的網絡環境。信息產業部將以社會主義榮辱觀為指導，繼續組織開展“陽光綠色網絡工程”，倡導網絡文明，推進網絡文明建設和網絡誠信體系建設，努力形成政府、企業、行業組織和社會公眾共同參與的治理機制。電信運營企業，包括I、ICP、等各類增值服務經營企業，要強化社會責任意識，依法經營，文明辦網，以形式多樣、健康向上的業務占領網絡陣地，積極參與和培育健康、和諧的網絡空間。中國互聯網協會等行業組織要加大宣傳力度，積極開展各種健康向上、豐富多彩的網絡文化活動，組織開發綠色上網產品，幫助廣大網民提高自我保護的能力。廣大網民應當知榮辱、明善惡，遵紀守法、文明上網，自覺抵制各種不良信息的侵蝕，并積極向有關部門舉報不文明行為，共同努力，形成健康向上的網絡文明風尚。版權所有

——加強科學管理和技術創新，建立完善的網絡安全保障體系。信息產業部將堅持積極防御、綜合防范的方針，進一步健全信息安全等級保護制度，加強信息安全風險評估工作，高度重視應急體系和災難備份系統的建設，完善網絡信息安全監控體系，全面加強網絡與信息安全保障體系建設，提高對網絡和信息安全突發事件的應對和防范能力。大力提高公眾網絡安全意識，加強政府部門、運營企業、重要系統用戶和應急組織之間的協作配合，建立主動、開放、有效的網絡安全保障機制，充分發揮各方面的優勢，形成工作合力。同時，加強網絡安全領域關鍵核心技術的研發，加快網絡安全技術平臺建設，盡快建立完善的網絡安全技術保障體系。

網絡安全運營體系范文3

此次大會由杭州市人民政府、中國網絡空間安全協會、浙江省網信辦、浙江省公安廳、浙江省經信委、云棲大會組委會指導，中國信息產業商會信息安全產業分會、阿里云計算有限公司、杭州安恒信息技術有限公司主辦，浙江省計算機信息系統安全協會、杭州市網絡安全協會、北京洋浦偉業科技發展有限公司、飛塔信息科技（北京）有限公司、北京元支點信息安全技術有限公司、北京珊瑚靈御科技有限公司協辦。

本屆大會以“安若磐石，云之所棲”為主題，以全新的國際視野，洞悉全球云安全發展趨勢；圍繞“中國網絡安全創新分享”這一主題，共同研討探索適應我國國情的網絡安全發展的道路，共商凝聚共識，整合資源的網絡安全創新新模式。

大會由公安部第一研究所原所長、計算機安全專委會主任嚴明主持，并宣讀了杭州市委副書記、市政府黨組書記、市長張鴻銘對大會發來的賀信。參加本次大會的致辭和重要演講的嘉賓有，中央網信辦網絡安全協調局副局長胡嘯，浙江省公安廳副廳長石小忠，浙江省經信委總工程師厲敏，中國信息產業商會信息安全產業分會理事長朱勝濤，公安部網絡安全保衛局總工程師郭啟全，國家信息中心專家委員會副主任、國家信息化專家咨詢委員會委員寧家駿等領導和專家。另外，來自全國各地政府機構、公安部門、信息安全科研單位、央企、金融、運營商、互聯網、軍工各行業信息安全決策人員、信息安全主管、CIO、媒體等1500余人出席了本次大會。

專家論道產業安全

郭啟全總工在演講“加強創新和能力協同 全力保衛國家關鍵信息基礎設施安全”中提到，國家對網絡安全提出了新的要求，首先就是要健全和完善國家信息安全等級保護制度，強化關鍵信息基礎設施保護?！毒W絡安全法（草案）》中也提出明確要求，國家實施網絡安全等級保護制度。

等級保護在網絡安全保障、網絡強國建設方面起著至關重要的作用?；A信息網絡與重要信息系統面臨著日益嚴峻的威脅與挑戰。

為適應新技術的發展，解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要，從2014年3月開始，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入了2.0時代。

全新的《網絡安全等級保護基本要求》涵蓋了6個部分的內容：安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制安全擴展要求以及大數據安全擴展要求。

寧家駿指出，開展關鍵信息基礎設施網絡安全檢查至關重要，安全檢查是從涉及國計民生的關鍵業務入手，理清可能影響關鍵業務運轉的信息系統和工業控制系統，準確掌握關鍵信息基礎設施的安全狀況，科學評估面臨的網絡安全風險，以查促管、以查促防、以查促改、以查促建，同時為構建關鍵信息基礎設施安全保障體系提供基礎性數據和參考。

他建議，充分借鑒國外關鍵基礎設施網絡安全保護相關法律，分析我國現有立法的不足和主要問題，抓緊建立我國關鍵基礎設施網絡安全法律體系，從法律層面明確關鍵基礎設施的定義和范圍、界定政府部門的職責、規范運營者何所有者的運營資質要求。同時通過關鍵基礎設施網絡安全態勢感知、積極穩妥推動關鍵基礎設施相關產品的國產替代、開展安全檢查評測督促關鍵基礎設施運營單位加強管理等方案促進我國關鍵基礎設施網絡安全與信息化的大發展。

聚焦G20杭州峰會安保

安恒信息CSO劉志樂在演講中表示，杭州安恒信息技術有限公司作為本次大會網絡安保和應急支撐工作的主要技術支撐單位，歷經近360天精心準備、投入309位技術骨干參與到G20峰會網絡安保任務。通過企業自主知識產權的最新大數據態勢感知系統及應急處置工具箱、工控檢查工具箱等二十多種產品平臺，為G20峰會網絡安保構建了全網全程網絡安保和應急支撐監測體系、防御體系和服務體系，經過G20峰會全程考驗，安恒信息圓滿完成為本次峰會相關重要信息系統、關鍵基礎設施、省市兩級重要信息系統提供網絡安全保障的安保任務。

安恒信息網絡安保團隊以遠程和現場人員安全檢測，結合部署基于云與大數據技術的遠程安全監測、大會系統現場各重要駐點安全值守、會議安保指揮中心四方互聯，多地支撐的形式，為大會召開保駕護航。他以本次峰會核心信息系統為例介紹道，安恒信息安保團隊共發現高危以上漏洞438個，共攔截3300萬次攻擊。經風暴中心分析，攻擊來自于41個國家和地區。

DT時代的云計算安全

阿里云安全資深總監肖力表示，云計算時代所面臨的安全挑戰并不比傳統安全所面臨的問題要少，甚至于相較之下更加復雜。通過10多年在安全領域的積累，阿里云建立了一支全球頂級的云計算安全團隊，有完善的基礎設施，并且有更快的安全應急時間，能及時發現高危的安全漏洞信息，用最短時間修復，幫助用戶應對安全問題。

據普華永道統計，目前69%的企業正在使用基于云的安全服務，阿里云保護云上37%的數百萬的網站，每天防御8億次各類攻擊，每天識別并防御35000個惡意IP，每天防御2000次DDoS攻擊。安全從來就不是云平臺、用戶或者安全廠商某一方的單打獨斗。云計算廠商需要建立強大的生態讓用戶個性化的安全需求能夠快速有效的解決，云上客戶需要與SaaS服務商和安全廠商的虛擬化產品協同作戰，目前阿里云安全生態市場已有包括安恒信息在內的79家生態廠商、168款安全產品。

阿里云首席安全研究員、云盾負責人吳翰清在大會上首次了“阿里云云盾混合云解決方案”，混合云解決方案由阿里云安全團隊與數夢工場聯合開發、交付，支持公共云、專有云、線下IDC全場景覆蓋，讓企業擁有與阿里云一樣的世界級安全能力與體驗效果：包括安全態勢感知大屏、海量寬帶和快速擴容、大數據安全分析、威脅情報支持和0DAY快速反應能力。

模塊化是混合云云盾解決方案的一大體驗亮點。阿里云云盾的安全能力和服務，用“可插拔”的模式，模塊化輸入。用戶可以按需購買，按需啟用，解決以往線下解決方案不靈活、投入大的缺點。

安恒密盾2.0

安恒密盾安全產品經理楊錦峰做題為“打造你的釘釘移動應用安全之路（密盾2.0）”的演講。

網絡安全運營體系范文4

關鍵詞：3G；移動通信；平臺管理；對策

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712 （2013） 24-0000-02

一、引言

3G時代的到來，真正意義上實現了網絡的無縫連接，但是，也導致了木馬、病毒以及蠕蟲的傳播。比如，監聽電話、隱私泄露等現象威脅著移動通信的安全。隨著我國移動手機用戶的不斷增加，根據現有的經驗教訓，不斷分析網絡安全隱患，制定相應的安全問題防范對策，對于我國移動互聯網絡的發展，具有重要的現實意義。

二、網絡安全結構系統概述

在3G網絡出現之前，安全結構系統主要是對網元實體或者是操作進行安全保護。由于3G網絡對傳統的通信層進行了整合，在提高網絡效率的同時，也增加了網絡安全的威脅因素。

（一）核心網絡安全

該網絡主要是對用戶的交互數據進行安全保護，比如認證消息、加密數據以及身份驗證等。目前，在我國移動通信技術中，使用最為廣泛是WCDMA與TD-SCDMA。核心網絡的安全機制主要是對內網與用戶終端進行安全保護，并在二者之間搭建了安全隧道，這樣就可以對鏈路的安全訪問進行控制。盡管不同的安全機制采用的是不同的算法與思想，但是由于都涉及到了安全隧道與協議轉換等內容，所以其核心思想與3G網絡是基本相同的。

（二）接入網安全

接入網主要是對路由攻擊進行防護，比如消息認證、實體身份認證、用戶行蹤保密以及身份保密等。目前，3G網絡使用的是五元組鑒權機制，其基本原理如圖1所示。

由圖1可知，鑒權中心首先對用戶進行身份驗證，然后利用f1算法對數據進行加密，并將驗證碼發送給客戶端，接著再用f2算法進行加密，從而實現了網絡與用戶的雙向認證。

（三）網絡應用安全

網絡應用安全是實現用戶、服務提供商以及應用程序之間安全交互的重要基礎。由于3G業務的快速發展，應用領域遍布電子商務、電子政務、娛樂以及咨詢等多個行業。對不同的領域制定合理的安全策略與機制，是保證3G網絡安全的基礎。

三、3G網絡存在的安全隱患

目前，我國的3G網絡產業不斷成熟與發展，為我國的經濟發展提供了重要的支持，但是其安全問題也得到了 社會各界的關注。不論使用哪種技術、頻段或者標準，最終都要把用戶接入到移動網絡中，那么所有用戶就會有受到互聯網病毒攻擊的可能。

（一）移動終端安全隱患

3G網絡中的移動終端是用戶體驗的主要平臺，那么終端的安全是影響3G網絡安全的重要因素。具體來說，3G網絡終端主要包括上網本、手機等。

隨著手機訪問頻率的不斷增加，傳輸接口數據量越來越大，但是除了基本的用戶鑒權外，缺乏相應的接口安全設計，使得移動數據收到攻擊的可能性不斷增加。對于手機用戶來說，病毒可能會利用軟件與硬件的缺陷，使得手機出現顯示錯誤、死機等現象，還有可能會出現惡意扣費、垃圾信息等現象，降低了用戶體驗。

（二）3G系統存在的安全隱患

3G網絡主要是依賴IP網絡進行數據傳輸，那么IP網絡的開放性就影響了3G網絡的安全。以TD-SCDMA為例，其SGSN通過手機探測出其與GGSN的聯通性，然后再建立相應的安全隧道，最后SGSN數據被封裝在IP地址中，最后再由GGSN將用戶接入互聯網。在整個過程中，Tunnel可以對攻擊報文進行封裝，從而實現網絡攻擊?；蛘撸捎?G系統安全算法的缺陷，就會導致密碼泄露以及密鑰質量低等安全隱患。

四、3G網絡安全問題防范對策

（一）強化運營商網絡安全意識

由于運營商在安全制度與管理人員方面的缺乏，使得3G網絡受到了相應的安全因素的影響。那么，運營商必須從用戶的角度對安全保障體系進行研究。首先，提高網絡的防御能力，尤其是限制非法用戶接入以及抵御攻擊的能力，實現“可用”到“可信”的轉變；第二，加強移動終端管理，由于終端數量的不斷增加，必須對在線用戶的安全狀態進行實時評估，限制非法終端的接入，并且進行嚴格的權限控制；第三，加強應用層的隔離與防護，運營商要以“集中部署，邊緣管理”為原則，對不同的服務等級進行分類，制定有效的認證與加密。

（二）完善移動互聯網絡監控平臺

3G網絡和2G網絡相比，有著本質上的區別。比如，占用頻段不重合等。所以，要建立適用于3G網絡的安全監控平臺，防止木馬襲擊、病毒侵入的威脅，還可以提高對3G手機保密設備的研究力度。

（三）搭建專用虛擬3G網絡

由于技術的不斷發展，木馬以及病毒的破壞手段不斷增加，擴大了網絡安全攻擊的范圍。因此，對于特殊的網絡環境，可以建立起虛擬的專用3G網絡，比如政府、軍方等重點用戶集中的單位。通過對傳輸、視頻以及上網等功能進行限制，實現特殊單位的重點監控。

（四）完善移動終端保密機制

對于移動終端用戶的保密機制，盡量避免“先混亂，再管理”的現象發生。在正式運營之間，就應該建立起切實可行的安全管理機制，并且對于手機或上網本的申請、購買、使用以及維修等多個環節進行具體的規范，建立起完整的責任體制，并且可以對服務商、運營商以及手機型號進行備案管理。

五、結束語

3G網絡不僅要具有2G網絡的傳統優勢，同時還要對安全管理進行更新與升級。此外，結合IP技術的要求，必須制定有針對性的措施來保護傳統IP網絡安全體系的缺陷。根據我國移動通信的網絡現狀，建立起有效的網絡安全監控管理平臺，從技術上實現3G網絡的安全管理。3G網絡安全建設并非運營商的專項任務，必須依靠全社會的力量，才能建立一個健康、穩固、和諧的移動互聯網環境。

參考文獻：

[1]蘇洪斌.新技術下的移動通信網絡安全[J].信息安全與通信保密，2011（21）：131-135.

[2]蔣繼洪.計算機系統、數據庫系統和通信網絡的安全與保密[M].北京：電子科技大學出版社，1995：77-79.

[3]胡愛群.無線通信網絡的安全問題及對策[J].電信科學，2013（17）：19-22.

[4]吳新民.3G無線網絡安全問題的研究[J].通信技術，2009（41）：127-129.

網絡安全運營體系范文5

關鍵字：企業網絡   醫院網絡   網絡安全   網絡體系  技術手段

前言：

隨著信息技術的高速發展，互聯網越來越被人們所重視，從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高，網絡在企業中所處的位置也越來越重要，系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是,諸多因素威脅著計算機系統的正常運轉。如,自然災害、人員的誤操作等,不僅會造成系統信息丟失甚至完全癱瘓,而且會給企業造成無法估量的損失。因此,企業必須有一套完整的安全管理措施,以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。

 

一、醫院網絡安全存在的風險及其原因

1.自然因素：

1.1病毒攻擊

   因為醫院網絡同樣也是連接在互聯網上的一個網絡，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬，阻塞正常流量，形成拒絕服務攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽，使得醫院網絡被病毒攻擊的頻率越來越高，所以病毒的攻擊應該引起我們的關注。

1.2軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

1.2.1、協議漏洞。例如，IMAP和POP3協議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶的特權。

1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令，來造成系統不穩定狀態。

1.2.3、口令攻擊。例如，U nix系統軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統，都是容易被攻擊的。

 

2、人為因素：

2.1操作失誤

操作員安全配置不當造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網絡安全己不構成主要威脅。   

2.2惡意攻擊

這是醫院計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅，每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范，因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。

二、構建安全的網絡體系結構

1.設計網絡安全體系的原則

     1.1、體系的安全性：設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

     1.2、系統的高效性：構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件，它們也會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

   1.3、體系的可行性：設計網絡安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設計網絡安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網絡安全體系本身也就沒有了實際價值。

1.4、體系的可承擔性：網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持，要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。所以，在設計網絡安全體系時，必須考慮企業的業務特點和實際承受能力，沒有必要按電信級、銀行級標準來設計這四個原則，可以簡單的歸納為：安全第一、保障性能、投入合理、考慮發展。

2、網絡安全體系的建立

    網絡安全體系的定義：網絡安全管理體系是一個在網絡系統內結合安全

技術與安全管理，以實現系統多層次安全保證的應用體系。

網絡系統完整的安全體系

系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠，確保應用系統正常運行。主要包括以下幾個方面：

    (1)防止非法用戶破壞系統設備，干擾系統的正常運行。

    (2)防止內部用戶通過物理手段接近或竊取系統設備，非法取得其中的數據。

 (3 )為系統關鍵設備的運行提供安全、適宜的物理空間，確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。

    網絡安全性主要包括以下幾個方面：

    (1)限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據。

    (2)確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

    (3)網絡通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

網絡安全運營體系范文6

近幾年中，網絡運營商逐步認識到網絡安全的重要性，通過部署防火墻、入侵防護設備、VPN等一系列的技術手段和措施來提高電信網絡的安全性，但是整體的效果并不理想，由于網絡安全問題導致的網絡癱瘓、流量異常、數據泄露等情況仍然時有發生，而造成這些安全事件根本性的原因很大一部分是安全防護技術手段的缺失。比如沒有形成全公司統一的網絡安全技術實施總體規劃，在實際的技術部署中缺乏縱深一體化的防護，在系統規劃、設計、建設階段缺乏對于網絡安全技術防護方面的考慮，導致部分系統中沒有部署必要的安全防護設備；而部分系統中即使部署了安全設備但是策略配置不合理，導致相應的系統弱點完全暴露在公眾網絡中；網絡層沒有統一采用MAC綁定52的策略，網內時常發生ARP攻擊情況；系統口令認證方式單一，容易被破解；運行系統上的服務端口沒有實施最小化的控制。此外在檢測手段上，漏洞檢測設備分布零星，沒有形成遠程控制、覆蓋全系統的部署方式，檢測的效率相對低下。在審計技術手段上，部分關鍵業務系統缺乏操作審計的管控能力，對于流量分析缺少數據包分析能力。因此，本文從層次化安全防護部署、自動化安全檢測能力、全方位安全審計能力三個方面對網絡安全技術手段進行分析。

1層次化安全防護部署

安全防護的目的是通過系統加固、安全設備部署等網絡安全技術手段，實現對惡意或非惡意攻擊行為的防御，根據防護對象的不同，又可以分成四個維度。

1.1網絡層

網絡層的安全防護主要通過在網絡設備層面設置安全加固措施，保障數據傳送的底層網絡能夠持續穩定的運行。首先需要保證網絡拓撲的合理性，增強網絡設計時的健壯性。在網絡架構上保證內外網的物理隔離，防止外網的安全威脅蔓延至內網中；確保網絡具備冗余倒換能力，不存在網絡的單點故障；將不同的業務、不同的用戶在網絡層面進行隔離，降低用戶非授權訪問的可能性；在關鍵網絡出口處部署防火墻設備或者設置訪問控制列表，限定外部網絡與受控業務系統之間可以進行交互的應用類型；避免網絡設計中存在可旁路繞過安全防護設備的鏈路。其次啟用相應的內網、外網防護技術手段，降低網絡層面遭遇攻擊的幾率。啟用網絡接入的準入機制，只有通過認證的設備才允許進行網絡訪問；通過在網絡層部署反向路由檢測機制，阻斷惡意用戶使用仿冒地址發起攻擊；通過在網絡層部署MAC地址綁定機制，防止局域網內的ARP攻擊；在業務系統的網絡出口處啟用動態路由協議的Peer認證機制，防止非授權的設備參與進路由廣播和分發中，造成網絡數據轉發的異常。

1.2系統層

系統層的安全防護主要著眼于業務服務器、維護終端及辦公終端操作系統的安全措施部署。通過設置統一的補丁服務器、病毒防護服務器，實現各類主機系統升級補丁和病毒特征更新包的統一管理、及時，避免因操作系統漏洞未及時修補造成網絡安全的發生；部署統一的集中認證授權系統，實現基于手機短信認證、令牌環認證等方式的雙因子認證機制，根據認證的結果分配給用戶對應的訪問權限，確保登錄用戶所能進行的操作合法性。

1.3應用層

所有的業務提供能力最終都是體現為各種業務應用，因此應用層的防護能力高低，直接決定了一個業務網絡的安全程度。在應用層面需要實現最小化服務的原則，對于與業務和維護沒有關聯的應用服務端口，都應予以關閉；針對所提供的Web應用，應該部署WAF設備，阻隔針對應用的網絡攻擊行為。

1.4數據層

數據層次主要數據的加密傳輸和保存，客戶端和服務端之間使用SSL、SSH之類的安全加密傳輸協議進行數據的交互，確保數據在高強度的加密通道中進行傳輸，不被篡改、不被截獲，通過對應用系統的改造優化，實現在服務器上存儲關鍵數據時使用MD5加密等方式進行數據存儲，降低存儲文件外泄后數據泄漏的風險。

2自動化安全檢測能力

安全檢測是通過主動自主的對網絡系統進行審視，及早的發現網絡系統中存在的安全問題，安全檢測技術能力的提升，有助于企業能夠更為快速準備的定位網絡系統的薄弱環節，通過及時采取安全防護措施，降低網絡安全隱患。

2.1漏洞掃描

漏洞掃描技術是在網絡安全檢測方面使用的最為廣泛的一種手段，通過自動化的掃描工具和被檢測的系統進行連接，并讀取內置的漏洞數據庫進行數據交互情況的匹配，以判斷目標系統是否存在相應的網絡安全漏洞。根據掃描對象的不同，漏洞掃描又可分為系統掃描和Web應用掃描。為保證漏洞掃描技術手段部署的有效性，一方面需要考慮漏洞掃描工具選用的合理性，工具是否具備較為完備的安全漏洞數據庫，漏洞判定的原理依據是否合理有效，漏洞掃描任務執行速度是否快速；另一方面需要系統化的考慮漏洞掃描工具的布放，通過集中管控，分級部署的方式，使得漏洞掃描工具能夠通過遠程管理和控制，跨區域覆蓋到所有需檢測的網絡系統，自動化執行周期性的掃描任務，提升漏洞掃描工作任務執行的效率。

2.2基線檢查

基線檢查系統通過遠程登錄目標系統或者通過在目標主機上運行采集腳本，獲取目標主機的實際配置情況，與系統內設置的各種系統、應用的配置的標準項進行對比核對，找出其中的差異，即不合規項，形成直觀的統計報表。

3全方位安全審計能力

通過安全審計技術手段，實現對網絡操作、流量特征行為進行審核，發現網絡中所存在的違背安全策略的行為，根據審計的結果，做好事中處理或者事后補救的措施，保障企業的網絡安全。

3.1操作審計

各運維部門負責運維種類繁多，數量龐大的各式通信網元，且參與運維的人員眾多，但是相應的運維操作并沒有全部進行審計管控，存在網絡安全管控上的盲點，因此完善在操作審計上的能力也是優化網絡安全管理體系的重要環節。通過全覆蓋式操作審計系統的覆蓋，實現對現網設備及應用的集中操作審計，對運營商日常運維操作的情況進行記錄，保存運維人員的登錄賬號名，登錄時間，登錄結果，登錄IP地址以及操作帳號，操作時間，操作命令，操作結果等一系列操作信息，周期性的對操作的情況進行審核，是否存在異常的操作行為，同時在發生安全事件時，也可通過操作審計系統進行設備操作記錄的回溯，發現問題關鍵點。

3.2流量分析

在運營網絡中不光存在著正常的業務流量，還有眾多的網絡攻擊、垃圾郵件、蠕蟲病毒等產生的異常流量，對于這些異常流量的及時甄別、快速處置是優化網絡安全環境的關鍵步驟。運營商應該在流量分析的手段上進行補充完善，形成以下幾個層次的分析能力：第一層次是基于SNMP協議，采集平臺網絡出口設備的端口進出字節情況，構造出日常的流量圖形情況，通過實施監測發現流量突增突減的情況，可以粗略的判斷是否存在網絡攻擊行為，及時對異常行為做出響應；第二層次是基于netflow技術，通過提取數據包的包頭，獲取IP地址、協議類型、應用端口、數據包進出的設備端口、字節數等一系列信息，構建出整個網絡流量的整體視圖，分析網絡中存在的異常流量情況并進行對應的溯源，準確定位攻擊的源頭所在；第三層次是部署鏡像或者分光抓包的能力，在網絡安全事件發生時，具備快速響應能力，及時獲取事件發生時，被攻擊網絡的交互數據包情況，通過對這些數據包的精準分析，發現網絡攻擊的方式方法，采取針對性的防護措施進行防御。

3.3日志分析

網絡中系統、應用、安全設備所產生的記錄用戶的行為、系統狀態的日志，為網絡安全事件的處置提供了大量重要的信息，通過對來自網絡中各種設備和應用的日志進行關聯性分析，可以判定出攻擊者什么時候通過什么手段發起的哪種類型的攻擊，攻擊影響的范圍是多大。因此，應當建立集中式的日志收集分析系統，提高自身在網絡安全事中的技術處理手段。

總之，網絡運營商在整個互聯網生態圈中提供最為基礎的通信管道，承擔著公共網絡的建設和維護的職責，因此一旦運營商的網絡遭遇黑客的惡意攻擊或者發生其他類似的安全問題，所影響到的互聯網用戶范圍非常廣，造成的社會影響非常大。技術手段作為網絡安全的重中之重，本文對其進行了重點探討，希望能對未來網絡安全的發展貢獻一定的力量。

作者:楊鈞 單位:烏魯木齊69022部隊

引用：

[1]上官曉麗.國際信息安全管理標準的相關研究[J].信息技術與標準化，2014.

[2]侯繼江.中國網絡安全防護工作開展思路及經驗總結[J].電信網技術，2011.

[3]楊雪梅.基于PPDR模型的關鍵應用信息系統防御體系[J].計算機與應用化學，2015.