網絡安全體系建設方案范例6篇

前言：中文期刊網精心挑選了網絡安全體系建設方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全體系建設方案范文1

［關鍵詞］ 網絡；安全威脅；中國石油；網絡安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業務靈活性、成本控制成為企業經營者最關心的問題，彈性靈活的業務流程需求日益加強，辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現，促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網，一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理，國家監管部門對企業的內控管理提出了多項規范要求，包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發展，網絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰不斷增加。特別是云的應用，云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系，滿足業務發展的需要，已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。

2 大型企業網絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調查報告》顯示：29％的企業定期遭受網絡攻擊，71％ 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大，信息系統多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業網絡應用存在的安全威脅主要包括：（1）內網應用不規范。企業網絡行為不加限制，P2P下載等信息占據大量的網絡帶寬，同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網，對內網應用系統安全構成威脅。（2）網絡接入控制不嚴。網絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統安全措施不全。企業中的VPN系統，特別是二級單位自建的VPN系統，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統員工用戶，行為難以監管和約束。（4）衛星信號易泄密。衛星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區作業的一線生產單位，通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網絡安全風險較大。無線接入由于靈活方便，常在局域網絡中使用，但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范，大多數二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產網被來自管理網絡的病毒感染。

3 大型企業網絡安全防護體系建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業信息安全保障體系建設列為信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網絡安全域建設是其重要建設內容。

中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統，是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路，承載對內服務業務信息系統的網絡，與外網邏輯隔離。外網是實現對外提供服務和應用的網絡，與互聯網相連（見圖1）。

為了構建安全可靠的中國石油網絡安全架構，中國石油通過劃分中國石油網絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網絡的安全性，同時，為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想，將項目分為：廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。

廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時，還需保障部分自建應用系統的正常運行。現中石油在全國范圍內建立和完善16個互聯網出口的安全防護，所有單位均通過16個互聯網出口對外聯系，規劃DMZ，制定統一的策略，對外服務應用統一部署DMZ，內網與外網邏輯隔離，內網員工能正常收發郵件、瀏覽網頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網與內網接入點進行部署，并根據其在網絡層面由下至上的分布，保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況，將數據中心劃分為4個安全區域，分別是核心網絡、二級系統區、三級系統區、網絡管理區；通過完善數據中心核心網絡與廣域網邊界，二級系統、三級系統、網絡管理區與核心區邊界，二、三級系統區內部各信息系統間的邊界防護，構成數據中心縱深防御的體系，提升整體安全防護水平。

域內防護是指分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準，實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎，并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式，為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎，實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠，從而確保區域網絡中心、數據中心互聯網接入的安全性。

4 結束語

一個穩定安全的企業信息網絡已成為企業正常運營的基本條件，然而信息網絡的安全威脅日益加劇，企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設，系統地解決網絡安全問題，供其他企業參考。

主要參考文獻

［1］王擁軍. 淺談企業網絡安全防護體系的建設 ［J］． 信息安全與通信保密，2011（12）.

網絡安全體系建設方案范文2

關鍵詞：智能電網 信息安全 防護體系 可信平臺

中圖分類號：F49 文獻標識碼：A 文章編號：1007-3973（2013）012-212-02

1 引言

隨著智能電網建設步伐的推進，更多的設備和用戶接入電力系統，例如，智能電表、分布式電源、數字化保護裝置、先進網絡等，這些設備的應用使電網的信息化、自動化、互動化程度比傳統電網大大提高，它們在提升電網監測與管理方面發揮了重要作用，但同時也給數據與信息的安全帶來了隱患。比如黑客通過竊取技術訪問電網公司數據中心的服務器，有可能造成客戶信息泄露或數據安全問題，嚴重時有可能造成國家的重大損失。因此，如何使眾多的用戶能在一個安全的環境下使用電網的服務，成了當前電網信息安全建設的重要內容之一。

2 電力企業信息安全建設的關鍵問題

云計算技術在電力企業的業務管理中已經逐步得到應用，另外，隨著技術的成熟和商業成本的降低，基于可信計算平臺的網絡應用獲得了迅猛發展。如果在電網業務管理體系中將可信計算與云計算結合起來，將會使電網的管理水平如虎添翼。圖1為構建可信平臺模塊間的安全通道示意圖。

在可信計算環境下，每臺主機嵌入一個可信平臺模塊。由于可信平臺模塊內置密鑰，在模塊間能夠構成一個天然的安全通信信道。因此，可以將廣播的內容放在可信平臺模塊中，通過安全通信信道來進行廣播，這樣可以極大地節約通信開銷。

智能電網的體系架構從設備功能上可以分為基礎硬件層、感知測量層、信息通信層和調度運維層四個層次。那么，智能電網的信息安全就必須包括物理安全、網絡安全、數據安全及備份恢復等方面。因此，其涉及到的關鍵問題可從CA體系建設、桌面安全部署、等級防護方案等方面入手。

3 智能電網信息防護體系框架

3.1 數字證書體系

數字證書體系CA是建設一套符合國家政策要求的電子認證系統，并作為電力企業信息化建設的重要基礎設施，實現各實體身份在網絡上的真實映射，滿足各應用系統中關于身份認證、信息保密性、完整性和抗抵賴性等安全性要求。該系統主要包括根CA系統、CA簽發系統、RA注冊管理系統、KM系統、證書狀態查詢系統和LDAP目錄服務系統，總體結構如圖2所示。

3.2 桌面安全管理體系

該體系可為電力企業提供集中的終端（桌面）綜合安全管理的桌面管理產品，打造一個安全、可信、規范、健康的內網環境，如圖3所示。

該體系能滿足用戶：確保入網終端符合要求；全面監測終端健康狀況；保證終端信息安全可控；動態監測內網安全態勢；快速定位解決終端故障；規范員工網絡行為；統一內網用戶身份管理等。

3.3 等級防護體系

此外，在設計信息安全體系時，還需要針對電力企業的業務應用系統，按照不同的安全保護等級，設計信息系統安全等級保護方案，如圖4所示。

根據國家關于《信息系統等級保護基本要求》中關于信息安全管理的規定，該體系應該包括物理安全、網絡安全、主機安全、應用安全、數據安全等方面。

4 結論與展望

本文將電力云技術與可信計算結合起來，設計了面向智能電網的信息安全防護體系框架，從CA體系建設、桌面安全部署、等級防護方案等方面闡述了該框架的內涵。但信息安全是一個沒有盡頭的工作，需要及時與最新的方法相結合，不斷完善信息安全方案，使電網做到真正的智能、堅強。

（基金項目：中央高?；究蒲袠I務費專項資金項目（11MG50）；河北省高等學?？茖W研究項目（Z2013007））

參考文獻：

[1] 陳樹勇，宋書芳，李蘭欣，等.智能電網技術綜述[J].電網技術，2009，33（8）：1-7.

[2] 國家電網.關于加快推進堅強智能電網建設的意見[N].國家電網報，2010-01-12（2）.

[3] 曹軍威，萬宇鑫，涂國煜，等.智能電網信息系統體系結構研究[J].計算機學報，2013，36（1）：143-167.

[4] 陳康，鄭緯民.云計算：系統實例與研究現狀[J].軟件學報，2009（5）：1337-1348.

網絡安全體系建設方案范文3

近年來，隨著我國社會經濟的不斷發展，國家對教育事業的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段，為教育模式的創新、先進教育理念提供了可靠的實現方法。

高校信息化主要以數字化校園建設為主，主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等；大學數字化校園建設通常先提出總體解決方案，確定數字化校園的體系結構，制定數字化校園的信息標準，以及各系統之間的接口標準，然后分階段實施。建立全校的網絡安全體系，保證校園網絡的安全，保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全，實現校園網絡及其應用系統的安全高效運行。

1教育信息化中的安全體系建設

在教育信息化建設過程中，信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系，對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視，也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性，給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例，高校數字校園信息系統的建設是由高校業務需求驅動的，初始的建設大多沒有統一規劃，有些系統是獨立的網絡，有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統，在支撐高校業務運營、發展的同時，信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出，成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中，也曾發生不少信息安全事件，如某高校數據中心一臺服務器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網發包，導致學校網絡出口癱瘓；某高校在高招中發現網站被掛馬、篡改，并且學校內部也曾經發現學生成績的數據庫，有被惡意篡改的痕跡。

2網絡安全威脅分析

（1）高校網站的安全威脅，包括高校門戶網站、高校招生網站、二級各院系等網站，由于高考、招生、學生就業等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，高校網站面臨的主要安全威脅有：網頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網站的管理權限，進而篡改網頁代碼；部分攻擊者將高校網站替換成黃色網站，影響極其惡劣。每年高考招生及高校重要節日期間，高校門戶網站極易被DDOS攻擊，這種由互聯網上發起的大量同時訪問會話，導致高校網站負載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后，以該服務器為跳板，對內網進行探測掃描，發起攻擊，對內網核心數據造成影響。（2）隨著校園網信息化的逐步深入，業務系統眾多，“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用，而這些系統由于管理及防護不到位，面臨著較嚴重的安全威脅：業務系統缺乏必要的入侵防護手段，高校網絡規模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，沒有條件管理和維護數萬臺計算機的安全，一旦受到黑客攻擊，無法阻斷攻擊并發現攻擊源；部分高?！耙豢ㄍā背渲迪到y與銀行互聯，邊界缺乏必要的隔離和審計措施，出現問題不方便定位，難以追查取證；校園網數據中心內的系統應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統實施統一的漏洞管理政策。同時，對于存在安全隱患的配置檢查，也缺乏自動化的高效檢查工具和控制手段；業務系統權限控制不合理，有安全隱患。

3需求分析

根據對高校校園網絡的威脅分析，得出在校園網絡安全體系建設中，各個網絡區域和業務系統的安全需求如下：

（1）校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗，保證網絡出口的暢通，保證骨干鏈路的負載處于正常范圍之內。（2）網絡出口鏈路應有相應措施，對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。（3）DMZ區及內網服務器區出口鏈路上，應對針對WEB應用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。（4）應對流經核心交換區域的所有流量進行深入的檢測，以識別內部各網絡區域之間發生的入侵事件和可疑行為。（5）應對內網用戶的網絡行為，如公網訪問、數據庫訪問等進行全面的記錄和審計，以滿足違規事件發生后的追查取證。（6）應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應對全網的網絡節點進行漏洞風險管理，實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。（7）應對全網的網絡節點進行配置合規管理，實現違規配置及時識別、配置整改全面深入、配置風險全程可控。（8）應對運維管理人員進行詳細嚴格的權限劃分，并通過技術手段控制運維行為權限，對運維行為進行全程審計，對違規運維操作進行實時告警。

4遵循等保要求

2009年11月，教育部為進一步加強教育系統信息安全工作，由辦公廳印發《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統全面開展信息安全等級保護工作；等級保護不僅是對信息安全產品或系統的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合，設計一套符合高校需求的信息安全保障體系，是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。

5網絡安全建設方案

（1）在校園網出口處旁路部署抗拒絕服務攻擊系統（ADS）對拒絕服務攻擊流量進行清洗，并且旁路部署網絡流量分析系統（NTA）對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下，旁路部署的ADS不參與網絡出口流量的路由和交換，邊界路由器通過NETFLOW等技術將流量信息發送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時，NTA將激活ADS，由ADS向邊界路由器發送針對特定防護目標IP的路由，將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發送至目標IP。（2）在出口鏈路部署入侵防護系統，對接入互聯網的訪問流量進行深入過濾，有效抵御源自公網的入侵威脅，消除安全風險。（3）在DMZ區和內網服務器出口處部署WEB應用防火墻，對服務器區的WEB服務器進行全方面的防護，對針對WEB站點的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。（4）在核心交換區旁路部署安全審計系統，通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路，實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略，對違反審計策略的網絡行為進行實時告警。此外，安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發，并實時收集網絡時間日志和告警信息。（5）在核心交換區域的出口鏈路部署下一代防火墻，實現出口鏈路的流量檢測和安全過濾，保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻，通過下一代防火墻對應用層攻擊、病毒進行全面阻斷，可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制，保證不同網絡區域之間的安全防護邊界完整。同時，通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。

網絡安全體系建設方案范文4

關鍵詞：電信；網絡安全；技術防護

從20世紀90年代至今，我國電信行業取得了跨越式發展，電信固定網和移動網的規模均居世界第一，網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面，和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作，是一項重要的工作。筆者結合工作實際，就電信網絡安全及防護工作做了一些思考。

1電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性，按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面；廣義的網絡安全是包括了網絡本身安全這個基本層面，在這個基礎上還有信息安全和業務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設，針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年，原中國電信意識到網絡安全的重要性，并專門成立了相關的網絡安全管理部門，著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此，建立了網絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作，來完成對網絡安全事件的監控，完成對網絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統。

然而，網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等，造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中，安全問題更加暴露。從狹義的網絡安全層面看，隨著攻擊技術的發展，網絡攻擊工具的獲得越來越容易，對網絡發起攻擊變得容易；而運營商網絡分布越來越廣泛，這種分布式的網絡從管理上也容易產生漏洞，容易被攻擊。從廣義的網絡安全層面看，業務欺詐、垃圾郵件、違法違規的SP行為等，也是威脅網絡安全的因素。

2電信網絡安全面臨的形勢及問題

2.1互聯網與電信網的融合，給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送，信令網、網管網等支撐網與業務網隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統，保障了網絡安全。IP電話引入后，需要與傳統電信網互聯互通，電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上，TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現不法行為，無論是運營商還是執法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術、新業務的引入，給電信網的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業務的引入，都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網絡側發送信息的能力大大增強，每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網絡群，其拒絕服務攻擊的破壞力將可能十分巨大。2.3運營商之間網絡規劃、建設缺乏協調配合，網絡出現重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監管措施還不配套，給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面，原來由行業主管部門對電信網絡進行統一規劃、統一建設，現在由各運營企業承擔各自網絡的規劃、建設，行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題，不同運營商之間的網絡能否互相支援配合就存在問題。

2.4相關法規尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網絡安全相關的法律法規還不完備，且缺乏操作性。在規范電信運營企業安全保障建設方面，也缺乏法律依據。運營企業為了在競爭中占據有利地位，更多地關注網絡建設、業務開發、市場份額和投資回報，把經濟效益放在首位，網絡安全相關的建設、運行維護管理等相對滯后。

3電信網絡安全防護的對策思考

強化電信網絡安全，應做到主動防護與被動監控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1發散性的技術方案設計思路

在采用電信行業安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發散性的思路進行安全分析和保護，并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統，使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2網絡層安全解決方案

網絡層安全要基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問；劃分并隔離不同安全域；防止內部訪問者對無權訪問區域的訪問和誤操作?？梢园凑站W絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。同時，應結合網絡系統的安全防護和監控需要，與實際應用環境、工作業務流程以及機構組織形式進行密切結合，在系統中建立一個完善的安全體系，包括企業級的網絡實時監控、入侵檢測和防御，系統訪問控制，網絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統的總體可控性。

3.3網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品，將工作站直接連接到主干交換機的監控端口(SPANPort)，用以監控局域網內各網段間的數據包，并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構，兼呈局域網和廣域網的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產品進行中央管理。

3.5系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統/數據庫漏洞掃描工具。

參考文獻

網絡安全體系建設方案范文5

【關鍵詞】信息安全；影響因素；安全措施

1、引言

隨著計算機網絡的出現和互聯網飛速發展，煙草企業基于網絡信息系統也在迅速增加，現已運行的信息系統有生產經營決策管理系統、網上交易系統、工商營銷協同系統、煙葉生產經營管理系統、公文遠程傳輸系統、專賣準運證管理系統、專賣證件統計報送系統、數字倉儲系統、用友財務管理系統、MES、ERP等?；诰W絡信息系統給企業的經營管理帶來高效和便捷，但隨之而來網絡安全問題也在困擾著終端用戶。木馬、蠕蟲等病毒傳播使企業信息安全狀況進一步惡化，這對企業信息安全管理工作提出了更高的要求。

2、信息系統應用所帶來的網絡安全問題

在煙草企業信息化發展的今天，計算機網絡得到了廣泛應用。互聯網的開放性以及其他因素導致了網絡環境下的信息系統存在很多安全問題，這些安全隱患主要可以歸結為以下幾點：

2.1物理安全

計算機網絡物理安全是指人為對網絡的損害，最常見的是企業的外來施工人員由于對地下電纜走向不了解，容易造成光纜電纜被破壞，引起網絡安全故障；另外計算機用戶由于缺乏相關的硬件知識，人為地非正常操作電腦，容易引起網絡不安全事件發生。

2.2訪問控制安全

網絡安全系統的最外層防線就是網絡用戶登錄，但是隨著企業內部計算機連接的日益廣泛，內部訪問與外部遠程訪問技術的日益開放，計算機用戶的訪問控制安全越來越薄弱，容易造成計算機用戶重要資料泄露等安全事故。

2.3數據傳輸安全

對于缺少安全防患的計算機用戶來說，在實現計算機數據交互的過程中，數據保密是很容易被侵犯的。特別是隨著黑客攻擊手段的不斷更新、升級，計算機用戶的數據傳輸安全面臨著極大地威脅。

2.4病毒隱患

只要有程序，就有可能存在補丁，甚至安全工具和系統工具本身也可能存在安全的漏洞。幾乎每天都有新的病毒被發現，甚至有不法者惡意傳播病毒，導致病毒與殺毒大戰不斷升級，計算機病毒成為網絡安全的一個長久隱患。

2.5移動存儲介質的風險

U盤、移動硬盤等移動存儲介質使用非常普遍，大量企業秘密信息通過移動介質存儲傳播。移動介質不受控，管理難度大，形成泄密隱患；另一方面外來人員帶來移動存儲介質接入企業內網不受限制，存在著惡意復制企業信息或將計算機病毒、間諜軟件等惡意程序傳入內網的安全風險。

3、信息安全防御體系設計原則

重視信息安全工作。技術先進、管理高效、安全可靠的信息安全防御體系是信息系統運維的一個重要防御。安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則，在各級信息中心指導下，對企業信息安全工作進行系統部署和推進，避免重復投入、重復建設，充分考慮整體和局部的利益。

3.1標準化原則

構建信息安全防御體系要按照國家法規、標準、煙草行業標準及規定執行，使安全技術體系建設達到標準化、規范化的要求，為拓展、升級和集中統一管理打好基礎。

3.2系統化原則

信息安全防御體系是一個復雜的系統工程，從信息系統各層次、安全防范各階段全面地進行設計，既注重技術實現，又要加大管理力度，以形成系統化解決方案。

3.3規避風險原則

信息安全防御體系建設涉及網絡、系統、應用等方方面面，任何改造，都可能影響現有網絡暢通或者在用系統連續、穩定運行，這是安全技術體系建設必須面對的最大風險。在規劃設計與應用系統銜接的基礎時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

3.4保護投資原則

由于信息安全理論與技術發展的歷史原因和企業自身的資金能力，分期、分批建設一些整體的或區域的安全技術系統。保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

3.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可以保護其信息安全。

4、構建信息安全防御體系

4.1做好信息系統風險評估

貫徹落實《煙草行業信息安全防御體系建設指南》，構建“組織機制、規章制度、技術架構”三位一體的信息安全防御體系，必須做到信息安全工作與信息化建設同步規劃、同步建設、協調發展。

俗話說：三分技術，七分管理。信息安全設備是網絡安全建設的防護基礎，網絡安全管理將使得網絡安全產品能真正發揮作用。煙草企業首先要構建以信息管理部門專業技術人員為核心，以各部門系統管理員、系統操作員為輔助的三級管理運維體系。將信息安全技術和管理二者有機地結合起來，消除網絡技術壁壘。其次優化企業局域網資源，實現網絡設備的全網監控管理，進一步提升網絡統一性及網絡安全管理水平。

4.2采取各種安全技術，實現不同安全防護策略

企業信息系統應采用各種安全技術，構筑信息安全防御體系。采用的主要安全技術有：

（1） 防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。

（2） VLAN及ACL技術：企業內網的各類交換機上配置VLAN，實現對交換機設備管理、交換機設備間三層互聯管理、各類應用業務的業務VLAN管理和相互間訪問控制。

（3） VPN：虛擬專用網（VPN）是企業內網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個安全的私有連接，為廠家遠程維護企業信息系統提供網絡連接服務。

（4）網絡加密技術（Ipsec） ：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。

（5）端點準入訪問控制：采用H3C的EAD端點準入訪問控制系統，它是基于用戶名和密碼身份與接入主機的MAC地址、IP地址、所在VLAN、接入交換機IP、交換機端口號等信息進行綁定認證，增強身份認證的安全性，確保只有合法用戶和客戶端設備才可訪問企業局域網。防止人為私改IP地址，造成IP地址沖突現象的發生。

（6） 企業級的防病毒系統：采用企業級的網絡防病毒服務器，安裝正版殺毒軟件，對病毒實現全面的防護。同時采用漏洞掃描技術，對內網中主機及時更新漏洞補丁，保證信息系統盡量在最優的狀況下運行。

（7）網絡的實時監測：采用入侵檢測系統，對主機和網絡進行監測和預警，進一步提高網絡防御外來攻擊的能力。

（8）CA安全體系：采用國家局推薦CA認證產品，建立行業二級CA認證體系。通過基于數字證書的身份認證、訪問控制、權限管理等技術措施，實現高強度的身份認證和責任認定機制；保證數據的完整性和保密性，確保用戶來源和行為的真實性和不可否認性。

（9）加強信息安全教育：信息系統運維、操作人員要認識到信息安全的重要性和必要性，加強信息安全理論、技能培訓學習，糾正日常工作中不規范行為，防御系統安全、穩定運行。

（10）加強企業外來人員上網管理：嚴格管理企業外來人員上網行為，防止外來人員筆記本電腦、移動存儲介質任意接入企業內網，惡意復制企業信息或將病毒、間諜軟件等惡意程序傳入內網的安全風險。

總之，只要將信息安全設備和信息技術人員二者緊密結合起來，發揮企業信息技術人員主觀能動性，就能將網絡隱患消滅在萌芽狀態。

參考文獻

[1]蔡立軍，《計算機網絡安全技術》，中國水利水電出版社，2002年6月，第1版

網絡安全體系建設方案范文6

【關鍵詞】電力信息網絡；安全防護；策略

電力系統是個特殊的能源行業，發電、輸電、配電、用電必須同時完成，其覆蓋面之大，結構之復雜，層次之眾多是任何一個行業都無法比擬的。電能，像無形的血液日夜由各條脈絡源源不斷地傳輸流動，與國民經濟和人民群眾的生活息息相關，電能的安全傳輸直接影響每一個人的生產和生活，而電能的安全傳輸又依賴于電力信息網絡的正常工作。因此，電力信息網絡安全體系的建立具有相當重要的意義。

1、電力調度系統對網絡安全防護體系的要求

近年來，特別是隨著電力市場化進程的加快，電力調度自動化的內涵也有了較大的延伸，由原來單一的EMS系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、遙測、電力市場技術支持和調度生產管理系統等。電力信息網絡是支持調度自動化系統的重要技術平臺，實時性要求秒級或微秒級。其中發電報價系統、市場信息等電力市場信息系統由于需要與公網連接，因而還要求做加密和隔離處理。因此，要保障調度自動化的安全運行，就需要信息網絡從應用系統的各個層面出發，按照其不同的安全要求，制定相應的防護策略，形成一整套完善的防護體系。

2、對安全體系建設和完善的幾點思路

2.1對網絡層風險的分析

2.1.1網絡風險來源

（1）網絡中心連通Internet之后，企業網可能遭受到來自Internet惡意攻擊；（2）在Internet上廣為傳播的網絡病毒將通過Web訪問、郵件、新聞組、網絡聊天以及下載軟件、信息等傳播，感染企業網內部的服務器、主機；更有一些黑客程序也將通過這種方式進入企業網；（3）企業網內部連接的用戶很多，很難保證沒有用戶會攻擊企業的服務器。事實上，來自于內部的攻擊，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內部攻擊的目標主要是獲取企業的機密信息，其損失要遠遠高于系統破壞。

2.1.2回避風險措施

基于以上風險，在上述兩層網絡結構中，網絡層安全主要解決企業網絡互聯時和在網絡通訊層安全問題，需要解決的問題有：

（1）企業網絡進出口控制（即IP過濾）；（2）企業網絡和鏈路層數據加密；（3）安全檢測和報警、防殺病毒。

重點在于企業網絡本身內部的安全，如果解決了各個企業網的安全，那么企業互聯掃安全只需解決鏈路層的通訊加密。

2.2對網絡進出口的控制

需要對進入企業內部網進行管理和控制。在每個部門和單位的局域網也需要對進入本局域網進行管理和控制。各網之間通過防火墻或虛擬網段進行分割和訪問權限的控制。同樣需要對內網到公網進行管理和控制。要達到授權用戶可以進出內部網絡，防止非授權用戶進出內部網絡這個基本目標。

對關鍵應用需要進行鏈路層數據加密，特別是最核心的決策層的服務系統，為決策層提供信息共享，需要有高強度的數據加密措施。

2.3安全檢測和報警、防殺病毒

安全檢測是實時對公開網絡和公開服務器進行安全掃描和檢測，及時發現不安全因素，對網絡攻擊進行報警。這主要是提供一種監測手段，保證網絡和服務的正常運行。要實現：

（1）及時發現來自網絡內外對網絡的攻擊行為；（2）詳實地記錄攻擊發生的情況；（3）當發現網絡遭到攻擊時，系統必須能夠向管理員發出報警消息；（4）當發現網絡遭到攻擊時，系統必須能夠及時阻斷攻擊的繼續進行；（5）對防火墻進行安全檢測和分析；（6）對Web服務器檢測進行安全檢測和分析；（7）對操作系統檢測進行安全檢測和分析。

需要采用網絡防病毒機制來防止網絡病毒的攻擊和蔓延。嚴格地講，防殺病毒屬于系統安全需求范疇。

2.4對應用系統安全風險的分析

對應用系統的攻擊可以分為2類。

當攻擊者對網絡結構和系統應用模式不了解時，主要通過對應用服務器進行系統攻擊，破壞操作系統或獲取操作系統管理員的權限，再對應用系統進行攻擊，以獲取企業的重要數據；　在現在通用的三層結構（數據庫服務器—應用服務器—應用客戶端）中，通過對數據庫服務器的重點保護，可以防止大多數攻擊；攻擊者了解了網絡結構和系統應用模式時，可直接通過對應用模式的攻擊，獲取企業的機密信息，這些攻擊包括：

（1）非法用戶獲取應用系統的合法用戶帳號和口令，訪問應用系統；（2）用戶通過系統的合法用戶帳號，利用系統的BUG，訪問其授權范圍以外的信息；（3）攻擊者通過應用系統存在的后門和隱通道（如隱藏的超級用戶帳號、非公開的系統訪問途徑等），訪問應用服務器或數據庫服務器；（4）在數據傳輸過程中，通過竊聽等方式獲取數據包，通過分析、整合，獲取企業的機密信息。

這類攻擊主要來源于企業內部，包括通過授權使用應用系統的員工，開發、維護這些應用系統的員工、開發商。

2.5將系統后臺管理納入安全管理域

在把注意力集中在前臺應用與客戶之間時，不應忽略和忘記內網的后臺管理工作的安全。后臺管理在不同的網絡應用中有不同的內容。其安全問題主要體現在管理員的身份、管理員的操作權限和管理權的操作記錄。后臺管理的安全漏洞主要是口令的泄露。從安全風險的程度來講，來自管理員的安全風險更大。

3、結束語

電力是關系到國計民生的基礎產業，有很強的信息保密與安全需求。由于自身業務的需要，實現內部網絡的互通，以及內部網絡與Internet的互通，要求建立一個權限清晰、服務完善、安全到位的網絡。由于不可避免地與外網相連，就必須時刻防備來自外部的黑客、病毒的威脅。為了維護電力信息安全，確保信息網絡系統穩定可靠，網絡安全體系建設極為重要。

參考文獻

[1]謝楊.構筑珠海供電分公司網絡安全體系[J].電力信息化，2004，（07）.

[2]陳兵，王立松.網絡安全體系結構研究[J].計算機工程與應用，2002，（07）.