構(gòu)建網(wǎng)絡(luò)安全體系范文

導(dǎo)語(yǔ)：如何才能寫好一篇構(gòu)建網(wǎng)絡(luò)安全體系，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;PKI技術(shù)

一、防火墻技術(shù)

包封過(guò)濾型：封包過(guò)濾型的控制方式會(huì)檢查所有進(jìn)出防火墻的封包標(biāo)頭內(nèi)容，如對(duì)來(lái)源及目地IP、使用協(xié)定、TCP或UDP的Port等信息進(jìn)行控制管理。現(xiàn)在的路由器、SwitchRouter以及某些操作系統(tǒng)已經(jīng)具有用PacketFilter控制的能力。封包過(guò)濾型控制方式最大的好處是效率高，但卻有幾個(gè)嚴(yán)重缺點(diǎn)：管理復(fù)雜，無(wú)法對(duì)連線作完全的控制，規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果，不易維護(hù)以及記錄功能少。

封包檢驗(yàn)型：封包檢驗(yàn)型的控制機(jī)制是通過(guò)一個(gè)檢驗(yàn)?zāi)＝M對(duì)封包中的各個(gè)層次做檢驗(yàn)。封包檢驗(yàn)型可謂是封包過(guò)濾型的加強(qiáng)版，目的是增加封包過(guò)濾型的安全性，增加控制“連線”的能力。但由于封包檢驗(yàn)的主要檢查對(duì)象仍是個(gè)別的封包，不同的封包檢驗(yàn)方式可能會(huì)產(chǎn)生極大的差異。其檢查的層面越廣將會(huì)越安全，但其相對(duì)效能也越低。

封包檢驗(yàn)型防火墻在檢查不完全的情況下，可能會(huì)造成問(wèn)題。被公布的有關(guān)Firewall-1的FastModeTCPFragment的安全弱點(diǎn)就是其中一例。這個(gè)為了增加效能的設(shè)計(jì)反而成了安全弱點(diǎn)。

應(yīng)用層閘通道型：應(yīng)用層閘通道型的防火墻采用將連線動(dòng)作攔截，由一個(gè)特殊的程序來(lái)處理兩端間的連線的方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。這種方式的控制機(jī)制可以從頭到尾有效地控制整個(gè)連線的動(dòng)作，而不會(huì)被client端或server端欺騙，在管理上也不會(huì)像封包過(guò)濾型那么復(fù)雜。但必須針對(duì)每一種應(yīng)用寫一個(gè)專屬的程序，或用一個(gè)一般用途的程序來(lái)處理大部分連線。這種運(yùn)作方式是最安全的方式，但也是效能最低的一種方式。

防火墻是為保護(hù)安全性而設(shè)計(jì)的，安全應(yīng)是其主要考慮。因此，與其一味地要求效能，不如去思考如何在不影響效能的情況下提供最大的安全保護(hù)。

二、加密技術(shù)

信息交換加密技術(shù)分為兩類：即對(duì)稱加密和非對(duì)稱加密。

1、對(duì)稱加密技術(shù)。在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說(shuō)一把鑰匙開(kāi)一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密，從而使有效密鑰長(zhǎng)度達(dá)到112位。

2、非對(duì)稱加密/公開(kāi)密鑰加密。在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開(kāi)密鑰和私有密鑰）。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰（加密密鑰）通過(guò)非保密方式向他人公開(kāi)，而另一把作為私有密鑰（解密密鑰）加以保存。公開(kāi)密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開(kāi)密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

三、PKI技術(shù)

PKI（PublieKeyInfrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸，因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。

1、認(rèn)證機(jī)構(gòu)。CA（CertificationAuthorty）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵，它不需支持各種通用的國(guó)際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。

2、注冊(cè)機(jī)構(gòu)。RA（RegistrationAuthorty）是用戶和CA的接口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3、密鑰備份和恢復(fù)。為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4、證書管理與撤消系統(tǒng)。證書是用來(lái)證明證書持有者身份的電子介質(zhì)，它是用來(lái)綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。但是，有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的機(jī)制撤消證書或采用在線查詢機(jī)制，隨時(shí)查詢被撤消的證書。

篇2

關(guān)鍵詞：3G網(wǎng)絡(luò)；網(wǎng)絡(luò)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 03-0000-01

Analysis of 3G Network Security System

Zhang Kewei

(Baoding Branch of China Tietong,Baoding071000,China)

Abstract:With the continuous progress of the times,the rapid development of 3G networks has become a sign of the times,and we are eager to solve the problems and concerns is the security of 3G networks.This article on the current status of 3G network security analysis,and the 3G network problems and loopholes to be discussed,thereby enhancing the safety factor of the network to ensure the safe use of the user.

Keywords:3G networks;Network

安全體系的不斷發(fā)展，網(wǎng)絡(luò)的不斷升級(jí)，3G網(wǎng)絡(luò)系統(tǒng)已趨于全球化。如今的信息傳輸不僅可以通過(guò)全開(kāi)放的無(wú)線鏈路，也可以通過(guò)全球有線網(wǎng)絡(luò)進(jìn)行傳輸信息。在多種信息服務(wù)于我們的同時(shí)，相應(yīng)的網(wǎng)絡(luò)安全性就成為我們關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)的安全性將會(huì)嚴(yán)重阻礙3G的未來(lái)發(fā)展空間。

一、3G第三代移動(dòng)通信技術(shù)

3G第三代移動(dòng)通信技術(shù)，指的是支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通訊技術(shù)。它可以在傳送聲音的時(shí)候同步傳送郵件等數(shù)據(jù)信息。其特點(diǎn)是提供數(shù)據(jù)業(yè)務(wù)的速度。3G的安全技術(shù)是建立在GSM網(wǎng)絡(luò)安全基礎(chǔ)上的，這一技術(shù)不但在安全功能上給予了大幅度提升，而且還克服了GSM的一些安全隱患，給用戶提供了更穩(wěn)定的平臺(tái)，并受到用戶的極大歡迎，它將無(wú)線通信技術(shù)與因特網(wǎng)技術(shù)有機(jī)的融合在一起，并引入了因特網(wǎng)中的加密技術(shù)，給3G的業(yè)務(wù)拓展帶來(lái)了極大的發(fā)展空間。

二、3G的安全漏洞3G網(wǎng)絡(luò)的安全性雖然得到了大幅度的提升，但是隨著網(wǎng)絡(luò)技術(shù)的不斷革新，3G網(wǎng)絡(luò)的漏洞也相形見(jiàn)影

（一）通過(guò)非法手段獲取敏感數(shù)據(jù)以及保密信息 攻擊者通過(guò)偽裝成為合法的身份切入用戶網(wǎng)絡(luò)，在用戶不知情的情況下對(duì)用戶進(jìn)行偵聽(tīng)，獲取有價(jià)值信息，并進(jìn)行非法活動(dòng)，只是用戶經(jīng)濟(jì)以及其他方面的損失。

（二）干擾網(wǎng)絡(luò)服務(wù)攻擊者通過(guò)非法手段獲取用戶的使用特權(quán)，獲取一些非授權(quán)信息，并通過(guò)非法手段對(duì)于網(wǎng)絡(luò)系統(tǒng)以及服務(wù)器進(jìn)行干擾，濫用系統(tǒng)中的服務(wù)功能，已達(dá)到為其獲取利益的目的。

（三）服務(wù)的非法訪問(wèn)這一攻擊主要包括兩個(gè)方面：一是攻擊者偽裝成網(wǎng)絡(luò)和用戶實(shí)體，非法竊入訪問(wèn)系統(tǒng)服務(wù)器，盜用訪問(wèn)權(quán)限，獲取非法服務(wù)。

三、3G安全技術(shù)分析

（一）2G網(wǎng)絡(luò)的接入都采用無(wú)線信道，因此極易受到攻擊，移動(dòng)臺(tái)到無(wú)線網(wǎng)絡(luò)接入這一部分是移動(dòng)通信系統(tǒng)的關(guān)鍵，在進(jìn)入到3G系統(tǒng)時(shí)，對(duì)于接入控制的安全性給予了加強(qiáng)，同時(shí)有兼顧到了與GSM的兼容性。3G與GSM的相似之處在于，用戶接入網(wǎng)的安全依靠于USIM（物理和邏輯上均獨(dú)立的智能卡）設(shè)備。

（二）3GPP在發(fā)展的初期與移動(dòng)通信系統(tǒng)第二代一樣，都對(duì)核心網(wǎng)的安全技術(shù)未定義。核心網(wǎng)的安全性隨著網(wǎng)絡(luò)的進(jìn)步、發(fā)展在全球的普遍應(yīng)用，越來(lái)越成為人們關(guān)注的焦點(diǎn)。在今后網(wǎng)絡(luò)發(fā)展的道路上，它也將會(huì)列入到3GPP標(biāo)準(zhǔn)化規(guī)定中。當(dāng)前，3G核心網(wǎng)住處于一種向IP網(wǎng)過(guò)渡的一個(gè)時(shí)期，所以IP網(wǎng)所存在的一些問(wèn)題核心網(wǎng)也必然會(huì)面對(duì)。因此，在3G網(wǎng)中因特網(wǎng)的安全技術(shù)也發(fā)揮了非常重要的作用。移動(dòng)無(wú)線因特網(wǎng)為3GPP定義一個(gè)統(tǒng)一的結(jié)構(gòu)。

（三）在3G系統(tǒng)中，保障應(yīng)用層的安全性，除要提供傳統(tǒng)的話音通話業(yè)務(wù)外，3G發(fā)展的熱點(diǎn)將致力于電子商務(wù)、電子貿(mào)易、網(wǎng)絡(luò)服務(wù)等新型業(yè)務(wù)。業(yè)務(wù)圈的不斷擴(kuò)大，使得3G的網(wǎng)絡(luò)安全性越來(lái)越成為人們關(guān)注的重點(diǎn)。可以通過(guò)SIM應(yīng)用工具包來(lái)達(dá)到完成端到端的安全和數(shù)字化簽名認(rèn)證。它也為SIM/USIM和網(wǎng)絡(luò)SIM應(yīng)用工具提供商之間建立一條安全紐帶。

（四）代碼安全。與第二代移動(dòng)通信系統(tǒng)相比較，第三代移動(dòng)通信系統(tǒng)定義的標(biāo)準(zhǔn)化工具包可以用來(lái)實(shí)現(xiàn)各種服務(wù)（比如3GPP TS 23.057定義的MexE），而第二代移動(dòng)通信系統(tǒng)就是固定標(biāo)準(zhǔn)化的服務(wù)模式。MExE的安全保護(hù)機(jī)制雖然是相對(duì)有限的，但是它可以提供下載手機(jī)終端的一系列的服務(wù)（比如下載新功能、新業(yè)務(wù)等）。

（五）個(gè)人無(wú)線網(wǎng)絡(luò)安全3G終端的硬件設(shè)備形式多樣，其中包括手機(jī)電話、PDA、電子錢包以及一些共享設(shè)備等，他們也可以通過(guò)設(shè)備自帶的藍(lán)牙技術(shù)組建局域網(wǎng)，允許各終端設(shè)備的自由加入和退出，因此，局域網(wǎng)內(nèi)的安全也成為了我們值得關(guān)注的焦點(diǎn)。

四、3G系統(tǒng)中安全特性的優(yōu)缺點(diǎn)

（一）相對(duì)于2G網(wǎng)絡(luò)系統(tǒng)而言，3G系統(tǒng)在以下幾個(gè)方面上有優(yōu)于2G系統(tǒng)：雙向鑒權(quán)認(rèn)證：是指MS與基站之間的互相認(rèn)證，既防止了一些為基站的攻擊傷害，同時(shí)也可以及時(shí)避免了一些不良現(xiàn)象。為接入鏈路信令數(shù)據(jù)的完整性上提供了保護(hù)。增加了密鑰的長(zhǎng)度，對(duì)算法也進(jìn)行了改進(jìn)。3GPP接入鏈路數(shù)據(jù)加密延伸至無(wú)線接入控制器RNS。為了使將來(lái)在新業(yè)務(wù)上提供安全保護(hù)措施，3G的安全機(jī)制還具有可拓展性，可以對(duì)自己的安全模式、級(jí)別等隨時(shí)查看具有安全可視性的功能。

（二）與2G相比在密鑰的長(zhǎng)度和算法的選定上還有鑒別機(jī)制和數(shù)據(jù)完整性檢驗(yàn)等一系列的問(wèn)題上3G要遠(yuǎn)遠(yuǎn)超越于2G。但依然存在著缺陷：公鑰密碼提職尚沒(méi)有建立，用戶簽名認(rèn)證難以實(shí)現(xiàn)。然而隨著移動(dòng)存儲(chǔ)器容量的不斷增大，無(wú)線帶寬增容，以及CUP處理能力也在不斷提升，這也迫使要建立無(wú)線公鑰設(shè)施。3G中密碼學(xué)的最新研究成果也并未得到發(fā)揮。而在密鑰產(chǎn)生機(jī)制和認(rèn)證協(xié)議上也有一定的安全性問(wèn)題。

五、結(jié)束語(yǔ)

3G系統(tǒng)的逐步發(fā)展，給信息革命帶來(lái)新的要求，隨之也有許多的弊端出現(xiàn)，因此，更好的建設(shè)3G網(wǎng)絡(luò)，需要我們認(rèn)清目前3G網(wǎng)絡(luò)的現(xiàn)狀，以及存在問(wèn)題，尋找更好的方法與手段予以解決。隨著網(wǎng)絡(luò)飛速的發(fā)展，3G在未來(lái)還有很大的發(fā)展空間，所以研究3G網(wǎng)絡(luò)系統(tǒng)的安全任重而道遠(yuǎn)。

參考文獻(xiàn)：

篇3

關(guān)鍵詞：網(wǎng)絡(luò)安全體系；信息加密技術(shù)；防火墻技術(shù)

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2013）005-0137-02

0、引言

互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用推進(jìn)了數(shù)據(jù)信息在全球范圍的共享，人們通過(guò)客戶端即可搜索和獲取所需信息，并通過(guò)計(jì)算機(jī)技術(shù)上傳。公共通信網(wǎng)絡(luò)具備豐富的傳輸和存儲(chǔ)功能，在為人們提供有效信息的同時(shí)也增添了信息泄露的風(fēng)險(xiǎn)，存在不法分子利用通信平臺(tái)來(lái)毀壞或竊聽(tīng)相關(guān)信息，使得個(gè)人和隱秘信息遭遇泄露，造成財(cái)產(chǎn)或文化上的種種損失。政府、銀行等事業(yè)單位系統(tǒng)對(duì)數(shù)據(jù)安全的要求極高，一旦傳輸和存儲(chǔ)過(guò)程出現(xiàn)問(wèn)題即會(huì)引發(fā)重大的信息泄露隱患，將客戶或部門信息置于危險(xiǎn)的邊緣，所以構(gòu)建敏感系統(tǒng)和部門的網(wǎng)絡(luò)安全體系至關(guān)重要。數(shù)據(jù)信息安全問(wèn)題并不是阻止人們使用互聯(lián)網(wǎng)的原因，為了正確看待網(wǎng)絡(luò)的利與弊，需要在資源利用和效率提高上深入分析，進(jìn)一步研發(fā)更科學(xué)、有效的安全系統(tǒng)。在網(wǎng)絡(luò)信息化過(guò)程中縮短服務(wù)端和用戶端之間的距離，使得全球用戶能夠隨時(shí)隨地獲取自己所需的資源和信息。網(wǎng)絡(luò)信息系統(tǒng)在早期建設(shè)過(guò)程中并未考慮用戶的身份和目的，所以埋下了一定的安全隱患，而現(xiàn)階段只有真正意識(shí)到問(wèn)題的重要性并投入研究和設(shè)計(jì)才能解決用戶安全問(wèn)題，不斷提高人們對(duì)互聯(lián)網(wǎng)技術(shù)的信心。

1、網(wǎng)絡(luò)安全特征與網(wǎng)絡(luò)安全體系結(jié)構(gòu)

計(jì)算機(jī)網(wǎng)絡(luò)安全特征眾多，為用戶安全設(shè)置了多層保障。最基本的真實(shí)性、保密性是技術(shù)運(yùn)用的基礎(chǔ)，除授權(quán)用戶外其他人不能接觸到相關(guān)信息。可用性和可靠性是實(shí)行保密性的前提，可控性和不可否認(rèn)性是為網(wǎng)絡(luò)使用的后續(xù)工作提供借鑒和屬性，七項(xiàng)網(wǎng)絡(luò)主要安全特征決定了其安全體系結(jié)構(gòu)的好壞。

真實(shí)性要求使用網(wǎng)絡(luò)的用戶身份得到確認(rèn)，網(wǎng)絡(luò)并不會(huì)單純相信用戶口頭或單方面的身份承認(rèn)，因?yàn)橐紤]到冒充和鑒別問(wèn)題，所以真實(shí)性要重點(diǎn)致力于用戶實(shí)體身份的確定。完整性要求用戶在未授權(quán)的情況下不能修改、刪除、破壞網(wǎng)絡(luò)信息，進(jìn)一步保證信息的安全性和正確性，這提高了網(wǎng)絡(luò)系統(tǒng)的警惕度，當(dāng)出現(xiàn)人為攻擊、設(shè)備故障、誤碼等情況時(shí)能及時(shí)阻止和調(diào)整過(guò)來(lái)。對(duì)可靠性的定義更多是從規(guī)定范圍出發(fā)，指在一定條件或時(shí)間下實(shí)現(xiàn)某類功能達(dá)到的程度，網(wǎng)絡(luò)信息系統(tǒng)穩(wěn)定運(yùn)行和投入建設(shè)都需要極強(qiáng)的可靠性才能實(shí)現(xiàn)。被授權(quán)實(shí)體或用戶在擁有訪問(wèn)需求時(shí)會(huì)選擇所需功能或模塊，可用性決定了用戶能否實(shí)現(xiàn)自身需求的機(jī)會(huì)，在安全性上也有所保障，滿足用戶在時(shí)間、實(shí)體等方面的要求。為了有效判斷實(shí)用性，一般對(duì)比工作時(shí)間和系統(tǒng)正常使用時(shí)間的差值，以便做出準(zhǔn)確判斷。不可否認(rèn)性是指用戶與用戶之間如果參與了信息交互活動(dòng)，那么要對(duì)參與者信任并配合，保證彼此的真實(shí)統(tǒng)一性，不能對(duì)完成的操作或承諾做出否認(rèn)，而為了防止一方用戶抵賴的事情發(fā)生，可以將所持證據(jù)和信息保存?zhèn)鬏斀o終端，幫助解決糾葛，而現(xiàn)階段常用數(shù)字簽名技術(shù)來(lái)予以保護(hù)。可控性重點(diǎn)把握控制范圍，將不良內(nèi)容或信息阻止在外，保證和控制公共網(wǎng)絡(luò)的清潔度、科學(xué)性。

計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)側(cè)重功能的實(shí)現(xiàn)與服務(wù)的安排，使得安全機(jī)制和安全服務(wù)符合相關(guān)法律法規(guī)，同時(shí)能真正提供有效數(shù)據(jù)信息和維護(hù)用戶信息安全。系統(tǒng)安全元素是組成整個(gè)系統(tǒng)的根基之一，所以不但要保證各個(gè)元素的實(shí)現(xiàn)，還要聯(lián)系和維護(hù)好元素之間的關(guān)系。無(wú)論是國(guó)家公眾信息網(wǎng)還是企業(yè)內(nèi)外聯(lián)網(wǎng)，都需要一個(gè)完善的安全機(jī)制來(lái)提供服務(wù)，安全機(jī)制和安全服務(wù)之間已經(jīng)搭建起了穩(wěn)定的橋梁，兩者相輔相成、相得益彰。安全服務(wù)能夠有效地處理數(shù)據(jù)及數(shù)據(jù)傳輸問(wèn)題，要利用信息網(wǎng)絡(luò)來(lái)保證安全性。安全功能匯總起來(lái)即為安全服務(wù)，底層協(xié)議會(huì)保證安全服務(wù)的如序進(jìn)行，對(duì)進(jìn)入系統(tǒng)的信息實(shí)施屏蔽活動(dòng)，讓安全體系穩(wěn)定運(yùn)行，而這個(gè)過(guò)程實(shí)現(xiàn)了五類安全服務(wù)，以數(shù)據(jù)保密、認(rèn)證、訪問(wèn)控制等服務(wù)為主。安全管理并不是單純從安全或管理角度出發(fā)，而是兩者的綜合體，實(shí)現(xiàn)安全的管理和管理的安全并重，為用戶提供分配密鑰參數(shù)及認(rèn)證服務(wù)，針對(duì)有激活加密要求的客戶進(jìn)行相關(guān)介紹和配合，而為了保證管理的安全，要從系統(tǒng)和信息兩方面出發(fā)，真正意義上打造可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2、網(wǎng)絡(luò)安全體系的三維結(jié)構(gòu)

設(shè)計(jì)出合理的網(wǎng)絡(luò)安全體系框架才能實(shí)現(xiàn)用戶和終端需求的安全需求。網(wǎng)絡(luò)安全主要是指軟件或系統(tǒng)數(shù)據(jù)的安全問(wèn)題，網(wǎng)絡(luò)安全結(jié)構(gòu)的構(gòu)建并不是從體系或功能上就能實(shí)現(xiàn)的，而需要從安全服務(wù)、實(shí)體單元、協(xié)議層次3個(gè)方面共同完成。圖1所示的計(jì)算機(jī)網(wǎng)絡(luò)安全體系三維結(jié)構(gòu)模式很清晰地羅列出了三者及其分支項(xiàng)目的關(guān)系，以進(jìn)一步鞏固安全體系。

（1）國(guó)際標(biāo)準(zhǔn)組織早期推出的一款安全體系結(jié)構(gòu)模型就羅列了安全服務(wù)平面這一項(xiàng)，而安全服務(wù)一項(xiàng)在認(rèn)證、抗抵賴的基礎(chǔ)上增加了可用性。應(yīng)用環(huán)境會(huì)在用戶動(dòng)態(tài)要求或市場(chǎng)變化中發(fā)生變化，而這種變化會(huì)直接導(dǎo)致安全服務(wù)需求的改變。但是考慮到安全服務(wù)之間的依賴性，所以完全獨(dú)立和依賴的情況都不可能出現(xiàn)，當(dāng)出現(xiàn)特殊情況時(shí)不同安全服務(wù)之間會(huì)根據(jù)具體要求進(jìn)行組合，保證最終提供的服務(wù)能滿足終端和用戶的雙層要求。

（2）網(wǎng)絡(luò)通訊協(xié)議為協(xié)議層次平面提供了分層基礎(chǔ)，分層的安全管理主要從物理層、網(wǎng)絡(luò)層、應(yīng)用層等方面出發(fā)，形成環(huán)環(huán)相扣的聯(lián)系和服務(wù)。雖然提供的安全服務(wù)不同，可因?yàn)楦黜?xiàng)之間的依賴性而彼此存在著。

（3）實(shí)體安全單元管理從應(yīng)用系統(tǒng)、計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)三方面出發(fā)來(lái)設(shè)計(jì)和執(zhí)行。基本單元的分層為安全技術(shù)和系統(tǒng)運(yùn)行提供了有效條件，使其成為三維結(jié)構(gòu)中的基礎(chǔ)工程。

（4）安全管理包括安全服務(wù)和安全機(jī)制、協(xié)議層次三方面，但它并不處于正常通信的范圍內(nèi)，而是一類為正常通信業(yè)務(wù)提供安全索引和保障的服務(wù)。執(zhí)行安全機(jī)制或平面管理都需要依靠安全管理展開(kāi)活動(dòng)，保證整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的有序運(yùn)行。

計(jì)算機(jī)網(wǎng)絡(luò)安全體系三維結(jié)構(gòu)模型依靠三個(gè)平面來(lái)形成穩(wěn)固的結(jié)構(gòu)。為了提供最科學(xué)、有效的用戶身份驗(yàn)證服務(wù)，客戶會(huì)選擇隨意的3個(gè)坐標(biāo)來(lái)表明自身身份，這項(xiàng)服務(wù)在初始進(jìn)入網(wǎng)絡(luò)系統(tǒng)時(shí)就會(huì)出現(xiàn)，用戶直接輸入用戶名和用戶口令，驗(yàn)證正確后就能順利進(jìn)入下一個(gè)界面。網(wǎng)絡(luò)層會(huì)提供計(jì)算機(jī)系統(tǒng)有效的身份驗(yàn)證服務(wù)，使得用戶端和服務(wù)端能形成良好的互動(dòng)和契合，使得對(duì)IP地址的認(rèn)證變得更加簡(jiǎn)單便捷。對(duì)防火墻系統(tǒng)的應(yīng)用通常會(huì)采取訪問(wèn)控制模式，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)授權(quán)范圍安全可靠。

3、網(wǎng)絡(luò)安全體系構(gòu)建

3.1 加強(qiáng)訪問(wèn)控制策略

訪問(wèn)控制是為用戶和終端做出的強(qiáng)制，旨在進(jìn)一步防范不良信息的侵入，這種保護(hù)措施從源頭就掐斷了危險(xiǎn)，防止非法訪問(wèn)對(duì)網(wǎng)絡(luò)系統(tǒng)或用戶造成傷害。訪問(wèn)控制的目的是為了構(gòu)建起一層網(wǎng)絡(luò)系統(tǒng)安全屏障，被授權(quán)用戶擁有自己的賬號(hào)和口令，以此作為鑒別授權(quán)和非授權(quán)用戶之間區(qū)別的標(biāo)志，網(wǎng)絡(luò)訪問(wèn)權(quán)限將無(wú)訪問(wèn)權(quán)的用戶排除在外，針對(duì)設(shè)備、目錄、文件都會(huì)設(shè)置不同的訪問(wèn)空間，而并非全部開(kāi)放給用戶。通過(guò)加強(qiáng)訪問(wèn)控制策略來(lái)保護(hù)網(wǎng)絡(luò)資源，對(duì)互聯(lián)網(wǎng)的長(zhǎng)期、穩(wěn)定發(fā)展都是有益的，不斷從內(nèi)部防御上尋找方法，形成有效的驗(yàn)證和甄別功能。

3.2 信息加密技術(shù)

對(duì)網(wǎng)絡(luò)安全體系的構(gòu)建不僅要從策略上加強(qiáng)，還需要開(kāi)發(fā)出具有強(qiáng)大功能的信息加密技術(shù)，真正意義上做到對(duì)有效網(wǎng)絡(luò)資源的保護(hù)。為了解決非法用戶截取、刪除、修改、打亂網(wǎng)絡(luò)數(shù)據(jù)的問(wèn)題，應(yīng)該使用密碼、口令、文件的形式來(lái)設(shè)置屏障，而信息加密技術(shù)正是為了阻止傳輸過(guò)程中的不法行為，經(jīng)常使用節(jié)點(diǎn)、端點(diǎn)、鏈路3種加密方式來(lái)提升網(wǎng)絡(luò)系統(tǒng)可靠性。信息數(shù)據(jù)的安全性尤為重要，所以從資源上進(jìn)行保護(hù)是首要選擇。windows XP系統(tǒng)是微軟公司重點(diǎn)推出的一款產(chǎn)品，它在信息加密上的作用十分顯著，一旦出現(xiàn)非法截獲的情況，信息傳輸并未完全受到非法影響，此時(shí)解密規(guī)則會(huì)建立起相應(yīng)的保護(hù)屏障，非法截獲者在無(wú)解密規(guī)則的前提下無(wú)法對(duì)傳輸?shù)娜魏涡畔?shí)施不良的措施，通過(guò)信息加密技術(shù)來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)安全無(wú)疑是一種科學(xué)、有效的方式。

3.3 病毒防范體系

為了解決系統(tǒng)漏洞問(wèn)題，建立起相應(yīng)的病毒防范系統(tǒng)很有必要，預(yù)防信息泄露、系統(tǒng)崩潰的情況出現(xiàn)。現(xiàn)階段網(wǎng)絡(luò)技術(shù)快速發(fā)展，病毒侵入的概率也越來(lái)越大，為研究和開(kāi)發(fā)專門針對(duì)病毒的檢測(cè)軟件提供了巨大的空間。網(wǎng)絡(luò)系統(tǒng)中的病毒防范體系涉及多方面的工作，最基本的功能包括病毒的預(yù)防、清理和查殺，還需要定時(shí)或不定時(shí)地檢測(cè)和修補(bǔ)漏洞，降低和組織病毒入侵系統(tǒng)的概率。針對(duì)病毒庫(kù)的管理也不是單純檢測(cè)或修補(bǔ)可以完成的，還應(yīng)該不斷更新?lián)Q代，以便提高對(duì)新型病毒的防御能力，同時(shí)能快速地處理好頑固病毒，以免出現(xiàn)二次傳播的情況，構(gòu)建病毒防范體系無(wú)疑對(duì)提高系統(tǒng)安全性有重要作用。

3.4 防火墻技術(shù)

防火墻是一類解決不同區(qū)域網(wǎng)絡(luò)保護(hù)問(wèn)題的技術(shù)，通過(guò)屏蔽路由器、服務(wù)器來(lái)形成一道關(guān)卡，使得本地和外地網(wǎng)絡(luò)能抵抗非法訪問(wèn)和控制。防火墻和包過(guò)濾防火墻最為常見(jiàn)，在企業(yè)網(wǎng)絡(luò)安全體系中應(yīng)用廣泛，而雙穴防火墻較少使用。包過(guò)濾防火墻的優(yōu)點(diǎn)在于能有效地對(duì)網(wǎng)絡(luò)信息流進(jìn)行調(diào)配，缺點(diǎn)是不具備內(nèi)容檢查功能。防火墻則具備了良好的內(nèi)容檢查功能，因此將兩種防火墻技術(shù)結(jié)合起來(lái)能很好地保護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。

3.5 建立安全實(shí)時(shí)防御和恢復(fù)系統(tǒng)

計(jì)算機(jī)系統(tǒng)附帶的檢測(cè)系統(tǒng)漏洞、查殺病毒功能并不能完全將所有病毒阻擋在外，目前病毒更新的速度極快，無(wú)疑增加了系統(tǒng)被病毒侵入的風(fēng)險(xiǎn)。網(wǎng)絡(luò)資源作為一個(gè)對(duì)多數(shù)用戶開(kāi)放的空間，要完全做到保密是不切實(shí)際的，而為了提高網(wǎng)絡(luò)系統(tǒng)安全性，建立安全實(shí)時(shí)防御和恢復(fù)系統(tǒng)很有必要，使系統(tǒng)在意外遭受病毒侵害時(shí)能最快速、有效地恢復(fù)傳輸信息和數(shù)據(jù)，降低系統(tǒng)侵入損失程度。首先要建立安全反映機(jī)制，使得系統(tǒng)第一時(shí)間接收入侵部分信息，通過(guò)入侵檢測(cè)機(jī)制和安全檢測(cè)預(yù)警機(jī)制來(lái)構(gòu)建預(yù)防系統(tǒng)，繼而發(fā)揮安全恢復(fù)機(jī)制的作用，保證信息恢復(fù)的速度和質(zhì)量。

篇4

關(guān)鍵詞：銀行網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 防火墻 安全體系

新世紀(jì)以現(xiàn)代信息技術(shù)為代表的高新技術(shù)迅猛發(fā)展，將徹底改變?nèi)祟惖纳罘绞剑偈菇鹑谛袠I(yè)產(chǎn)生根本性的變革。特別是在我國(guó)加入世貿(mào)組織、金融業(yè)務(wù)全面開(kāi)放后，國(guó)內(nèi)外同行業(yè)的競(jìng)爭(zhēng)將更加激烈。面對(duì)科技的不斷發(fā)展和金融的日益全球化，建立一個(gè)安全、高效的計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)前亟待解決的重要課題。

1 銀行計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅

銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題一般來(lái)說(shuō)，計(jì)算機(jī)網(wǎng)絡(luò)安全包括物理安全和邏輯安全兩大部分[1]。物理安全指的是網(wǎng)絡(luò)系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于被破壞、被丟失等。邏輯安全包括信息完整性、保密性和可用性。銀行網(wǎng)絡(luò)安全的威脅主要是來(lái)自于網(wǎng)絡(luò)傳送過(guò)程、網(wǎng)絡(luò)服務(wù)過(guò)程、企業(yè)內(nèi)部病毒傳輸及軟件應(yīng)用過(guò)程中的威脅[2]。

2 銀行網(wǎng)絡(luò)安全體系設(shè)計(jì)

為了構(gòu)筑銀行網(wǎng)絡(luò)安全體系，將銀行網(wǎng)絡(luò)安全體系的構(gòu)建分布到廣域網(wǎng)、局域網(wǎng)、外聯(lián)網(wǎng)等處，不同的功能區(qū)域設(shè)置不同的安全防范體系。

2.1 廣域網(wǎng)安全 廣域網(wǎng)部分網(wǎng)絡(luò)安全重點(diǎn)關(guān)注是網(wǎng)絡(luò)自身安全及數(shù)據(jù)傳送安全，廣域網(wǎng)的設(shè)計(jì)可靠性及安全性主要涉及的網(wǎng)絡(luò)協(xié)議層次及以下。解決網(wǎng)絡(luò)設(shè)備安全、組網(wǎng)安全及數(shù)據(jù)傳送安全是提高廣域網(wǎng)安全性的有效方式。①設(shè)備安全。主要通過(guò)路由器的ISPKeeper功能流量的檢測(cè)、分析及流量處理等方式來(lái)預(yù)防流量攻擊。②組網(wǎng)安全。通過(guò)OSPF+BGP的路由方案，BGP在自身功能的管理和控制上比較嚴(yán)格，使得數(shù)據(jù)重心和各一、二級(jí)網(wǎng)點(diǎn)局域網(wǎng)絡(luò)的路由到廣域網(wǎng)時(shí)嚴(yán)格受控。③數(shù)據(jù)傳送安全。通過(guò)IPSec技術(shù)進(jìn)行數(shù)據(jù)加密，加密操作通常通過(guò)主機(jī)或網(wǎng)絡(luò)兩端來(lái)進(jìn)行，中間網(wǎng)絡(luò)數(shù)據(jù)傳輸透明化。如有必要也可對(duì)個(gè)別線路進(jìn)行IPSec加密。

2.2 局域網(wǎng)安全 銀行各網(wǎng)點(diǎn)局域網(wǎng)實(shí)現(xiàn)的功能較多，設(shè)計(jì)復(fù)雜，包括多個(gè)網(wǎng)絡(luò)模塊，網(wǎng)絡(luò)安全的構(gòu)建大致涵蓋了核心交換區(qū)、服務(wù)器群、大前置機(jī)處理中心區(qū)等，針對(duì)各功能區(qū)特點(diǎn)使用與之對(duì)應(yīng)的安全措施。①銀行網(wǎng)絡(luò)核心交換區(qū)。局域網(wǎng)的核心是銀行中心機(jī)房。局域網(wǎng)的路由處理、數(shù)據(jù)高速轉(zhuǎn)發(fā)和流量交換全部通過(guò)中心機(jī)房來(lái)完成，該部分的安全處理并不復(fù)雜，設(shè)備安全是重點(diǎn)。操作過(guò)程中，可以在核心交換設(shè)備上利用端口鏡像功能，把符合條件的流量鏡像到流量分析設(shè)備上，進(jìn)行更高級(jí)別的網(wǎng)絡(luò)流量分析，如有安全隱患，可及時(shí)對(duì)網(wǎng)絡(luò)規(guī)劃進(jìn)行調(diào)整。②銀行網(wǎng)絡(luò)服務(wù)器群。中心機(jī)房關(guān)系整個(gè)局域網(wǎng)的安全運(yùn)行，此區(qū)域集中了很多服務(wù)器，應(yīng)該嚴(yán)格控制用戶對(duì)該中心機(jī)房區(qū)域的訪問(wèn)行為。如有需要，可將防火墻設(shè)在核心交換機(jī)與服務(wù)器換機(jī)之間。以服務(wù)器的功能特點(diǎn)為依據(jù)劃分為不同功能類別的VLAN，功能相同的服務(wù)器與同一VLAN連接，按要求對(duì)用戶的訪問(wèn)行為嚴(yán)加控制。③處理中心區(qū)、開(kāi)發(fā)環(huán)境區(qū)、測(cè)試環(huán)境區(qū)及監(jiān)控中心區(qū)。這幾部分雖然各自的功能不同，但是安全設(shè)計(jì)的重點(diǎn)都是對(duì)接入用戶/主機(jī)的管理。在此類區(qū)域中，先以該區(qū)域內(nèi)用戶/主機(jī)的功能和訪問(wèn)權(quán)限為依據(jù)劃分VLAN，在終結(jié)VLAN的三層交換機(jī)上，利用ACL對(duì)各VLAN之間互訪以及VLAN訪問(wèn)其它網(wǎng)絡(luò)資源的權(quán)限進(jìn)行控制。

2.3 外聯(lián)網(wǎng)絡(luò) 該區(qū)域的安全設(shè)計(jì)重點(diǎn)是防范來(lái)自外部的攻擊。主要采用在機(jī)構(gòu)/Internet接入路由器的后面設(shè)置防火墻的方式。部署防火墻時(shí)，基于安全因素的考慮，必須應(yīng)遵循幾個(gè)基本原則：一是最小授權(quán)，只有必要的流量，才能被授權(quán)通過(guò)防火墻；二是高度容錯(cuò)，即使防火墻出現(xiàn)問(wèn)題，也不能降低內(nèi)部系統(tǒng)的安全程度；三是深度防御，雖然系統(tǒng)已有防火墻的相關(guān)配置，內(nèi)部網(wǎng)絡(luò)仍有必要采用獨(dú)立于防火墻的安全措施。

3 服務(wù)器安全及計(jì)算機(jī)病毒防治

3.1 服務(wù)器系統(tǒng)安全 為了確保服務(wù)器系統(tǒng)的安全使用性能，筆者建議使用安全掃描軟件，定期掃描比較重要的主機(jī)系統(tǒng)及網(wǎng)絡(luò)，從而找出網(wǎng)絡(luò)弱點(diǎn)以及策略配置方面的缺陷。根據(jù)掃描結(jié)果，及時(shí)更新操作系統(tǒng)補(bǔ)丁，進(jìn)行病毒查殺，更新安全策略。

3.2 計(jì)算機(jī)病毒防治 蠕蟲病毒通過(guò)大量繁殖，以主機(jī)為點(diǎn)、通過(guò)網(wǎng)絡(luò)構(gòu)成面的計(jì)算機(jī)自我復(fù)制機(jī)制對(duì)現(xiàn)有網(wǎng)絡(luò)展開(kāi)了大規(guī)模的網(wǎng)絡(luò)流量攻擊，所以在網(wǎng)絡(luò)技術(shù)上防止蠕蟲病毒，可以從設(shè)備選擇及組網(wǎng)技術(shù)兩個(gè)方面進(jìn)行考慮。為防止病毒攻擊引起的局域網(wǎng)絡(luò)癱瘓，很多情況下是與交換機(jī)的交換方式相關(guān)的，如很多中低端交換機(jī)甚至一些主流廠商早期的高端交換機(jī)都采用了流交換方式，當(dāng)網(wǎng)絡(luò)感染蠕蟲病毒后，病毒不斷變化IP發(fā)起網(wǎng)絡(luò)流量攻擊，導(dǎo)致網(wǎng)絡(luò)中的流不斷更新，流數(shù)目迅速增長(zhǎng)，超出交換機(jī)能處理的流數(shù)目，交換機(jī)轉(zhuǎn)而將報(bào)文交給CPU處理，由于交換機(jī)的CPU處理能力低，最終造成設(shè)備癱瘓。因此建議采用支持逐包轉(zhuǎn)發(fā)模式的交換機(jī)，尤其是在高端。

4 結(jié)束語(yǔ)

構(gòu)建完全徹底的安全網(wǎng)絡(luò)只是一個(gè)神話，安全只是相對(duì)而言，安全保護(hù)是一個(gè)有始有終的過(guò)程，不斷的分析、計(jì)劃、實(shí)施和維護(hù)，以最具有成本——效益的方式降低風(fēng)險(xiǎn)，時(shí)刻提高警惕，保持系統(tǒng)穩(wěn)固。

參考文獻(xiàn)：

[1]吳蓓，劉海光.銀行網(wǎng)絡(luò)安全管理體系構(gòu)建路徑探討.電腦知識(shí)與技術(shù)，2010-07-25.

[2]董會(huì)敏.銀行網(wǎng)絡(luò)信息安全的實(shí)現(xiàn).華東師范大學(xué)，2011-05-01.

[3]張明賢.當(dāng)前銀行網(wǎng)絡(luò)安全的主要威脅及防范策略探析.科技與企業(yè)，2011-12-22.

篇5

[關(guān)鍵詞]網(wǎng)絡(luò)安全 管理流程 安全體系框架 安全防護(hù)策略

中圖分類號(hào)：TP 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2017）01-0394-01

企業(yè)在網(wǎng)絡(luò)安全方面的整體需求涵蓋基礎(chǔ)網(wǎng)絡(luò)、系統(tǒng)運(yùn)行和信息內(nèi)容安全、運(yùn)行維護(hù)的多個(gè)方面，包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、網(wǎng)站安全、應(yīng)急管理、數(shù)據(jù)安全及備份恢復(fù)等內(nèi)容，這些方方面面的安全需求，也就要求企業(yè)要有一流的安全隊(duì)伍、合理的安全體系框架以及切實(shí)可行的安全防護(hù)策略。

一、強(qiáng)化安全隊(duì)伍建設(shè)和管理要求

企業(yè)要做好、做優(yōu)網(wǎng)絡(luò)安全工作，首先要面臨的就是組織機(jī)構(gòu)和人才隊(duì)伍建設(shè)問(wèn)題，因此，專門的網(wǎng)絡(luò)安全組織機(jī)構(gòu)對(duì)每個(gè)企業(yè)來(lái)講都是必不可少的。在此基礎(chǔ)上，企業(yè)要結(jié)合每季度或者每月的網(wǎng)絡(luò)安全演練、安全檢查等工作成果和反饋意見(jiàn)，持續(xù)加強(qiáng)網(wǎng)絡(luò)安全管理隊(duì)伍建設(shè)，細(xì)化安全管理員和系統(tǒng)管理員的安全責(zé)任，進(jìn)一步明確具體的分工安排及責(zé)任人，形成清晰的權(quán)責(zé)體系。同時(shí)，在企業(yè)網(wǎng)絡(luò)自查工作部署上，也要形成正式的檢查結(jié)果反饋意見(jiàn)，并在網(wǎng)絡(luò)安全工作會(huì)議上明確檢查的形式、流程及相關(guān)的文件和工作記錄安排，做到分工明確、責(zé)任到人，做到規(guī)范化、流程化、痕跡化管理，形成規(guī)范的檢查過(guò)程和完整的工作記錄，從而完成管理流程和要求的塑造，為企業(yè)后續(xù)的網(wǎng)絡(luò)安全工作提供強(qiáng)勁、持久的源動(dòng)力和執(zhí)行力。

二、搭建科學(xué)合理的安全體系框架

一般來(lái)講，我國(guó)有不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)是以策略為核心，以管理體系、技術(shù)體系和運(yùn)維體系共同支撐的一個(gè)框架，其較為明顯的特點(diǎn)是：上下貫通、前后協(xié)同、分級(jí)分域、動(dòng)態(tài)管理、積極預(yù)防。

上下貫通，就是要求企業(yè)整個(gè)網(wǎng)絡(luò)安全工作的引領(lǐng)與落實(shí)貫通一致，即企業(yè)整體的網(wǎng)絡(luò)安全方針和策略要在實(shí)際的工作中得到貫徹實(shí)施；前后協(xié)同，就是要求企業(yè)得網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員，要積極總結(jié)實(shí)際的工作經(jīng)驗(yàn)和成果，結(jié)合企業(yè)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)，最新的國(guó)際、國(guó)內(nèi)安全形勢(shì)變化，每年對(duì)企業(yè)的網(wǎng)絡(luò)安全方針和策略進(jìn)行不斷的修正，達(dá)到前后協(xié)同的效果。分級(jí)分域，就是要求企業(yè)要結(jié)合自身的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、各個(gè)業(yè)務(wù)系統(tǒng)及辦公系統(tǒng)的安全需求、企業(yè)存儲(chǔ)及使用的相關(guān)數(shù)據(jù)重要程度、各個(gè)系統(tǒng)及服務(wù)的使用人員等情況，明確劃分每個(gè)員工的系統(tǒng)權(quán)限、網(wǎng)絡(luò)權(quán)限，對(duì)使用人員進(jìn)行分級(jí)管理，并對(duì)相關(guān)網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器等進(jìn)行分區(qū)域管理，針對(duì)不同區(qū)域的設(shè)備設(shè)定不同的安全級(jí)別。

動(dòng)態(tài)管理，就是要求企業(yè)的整體安全策略和方針、每個(gè)階段的安全計(jì)劃和工作內(nèi)容，都要緊密跟蹤自身的信息化發(fā)展變化情況，并要在國(guó)內(nèi)突發(fā)或重大安全事件的引導(dǎo)下，適時(shí)調(diào)整、完善和創(chuàng)新安全管理模式和要求，持續(xù)提升、改進(jìn)和強(qiáng)化技術(shù)防護(hù)手段，保證網(wǎng)絡(luò)安全水平與企業(yè)的信息化發(fā)展水平相適應(yīng)，與國(guó)內(nèi)的信息安全形勢(shì)相契合；積極預(yù)防就是要求企業(yè)在業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)全過(guò)程，包括可研分析、經(jīng)濟(jì)效益分析、安全分析、系統(tǒng)規(guī)劃設(shè)計(jì)、開(kāi)工實(shí)施、上線運(yùn)行、維護(hù)保障等多個(gè)環(huán)節(jié)上要抱有主動(dòng)的態(tài)度，采取積極的防護(hù)措施，不要等到問(wèn)題發(fā)生了再去想對(duì)策、想辦法，要盡可能的提前評(píng)估潛在的安全隱患，并著手落實(shí)各種預(yù)防性措施，并運(yùn)用多種監(jiān)控工具和手段，定期感知企業(yè)的網(wǎng)絡(luò)安全狀態(tài)，提升網(wǎng)絡(luò)安全事故的預(yù)警能力和應(yīng)急處置能力。

三、落實(shí)切實(shí)可行的安全防護(hù)策略

在安全策略方面，企業(yè)的安全防護(hù)策略制定思路可以概括為：依據(jù)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的方針政策、法律法規(guī)、制度，按照相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范要求，結(jié)合自身的安全環(huán)境和信息化發(fā)展戰(zhàn)略，契合最新的安全形勢(shì)和安全事件，從總體方針和分項(xiàng)策略兩個(gè)方面進(jìn)行制定并完善網(wǎng)絡(luò)安全策略體系，并在后續(xù)的工作中，以總方針為指導(dǎo)，逐步建立覆蓋網(wǎng)絡(luò)安全各個(gè)環(huán)節(jié)的網(wǎng)絡(luò)安全分項(xiàng)策略，作為各項(xiàng)網(wǎng)絡(luò)安全工作的開(kāi)展、建立目標(biāo)和原則。

在網(wǎng)絡(luò)安全管理體系方面，企業(yè)要將上述安全策略、方針?biāo)婕暗南嚓P(guān)細(xì)化目標(biāo)、步驟、環(huán)節(jié)形成具體可行的企業(yè)管理制度，以制度的形勢(shì)固化下來(lái)，并強(qiáng)化對(duì)相關(guān)企業(yè)領(lǐng)導(dǎo)、安全機(jī)構(gòu)管理人員、業(yè)務(wù)辦公人員的安全形勢(shì)和常識(shí)培訓(xùn)，提高企業(yè)從上至下的安全防護(hù)能力和安全水平；在運(yùn)維管理體系建設(shè)方面，企業(yè)要對(duì)每個(gè)運(yùn)維操作進(jìn)行實(shí)時(shí)化監(jiān)控，在不借助第三方監(jiān)控工具如堡壘機(jī)的條件下，要由專人進(jìn)行監(jiān)管，以防止運(yùn)維操作帶來(lái)的安全隱患，同時(shí)，企業(yè)也要階段性的對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)、安全設(shè)備等進(jìn)行安全評(píng)估，分析存在的安全漏洞或隱患，制定合理的解決措施，從而形成日常安全運(yùn)維、定期安全評(píng)估、季度安全分析等流程化管理要求和思路。

在技術(shù)防護(hù)體系建設(shè)方面，企業(yè)可以參照PPDRR模型，通過(guò)“策略、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)”這五個(gè)環(huán)節(jié)，不斷進(jìn)行技術(shù)策略及體系的修正，從而搭建一套縱向關(guān)聯(lián)、橫向支撐的架構(gòu)體系，完成對(duì)主機(jī)安全、終端安全、應(yīng)用安全、網(wǎng)絡(luò)安全、物理安全等各個(gè)層面的覆蓋，實(shí)現(xiàn)技術(shù)體系的完整性和完備性。企業(yè)常用的技術(shù)防護(hù)體系建設(shè)可以從以下幾個(gè)方面考慮：

（1）區(qū)域邊界防護(hù)策略：企業(yè)可以考慮在各個(gè)區(qū)域的邊界、互聯(lián)網(wǎng)或者局域網(wǎng)出口部署下一代防火墻、入侵檢測(cè)與防御設(shè)備（如果條件合適，可以考慮選擇入侵防御設(shè)備）、上網(wǎng)行為管理、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全新技術(shù)和新設(shè)備，從而對(duì)互聯(lián)網(wǎng)出口或者重要區(qū)域邊界進(jìn)行全面的防護(hù)，提高內(nèi)網(wǎng)出入接口的安全保障水平。此外，針對(duì)有企業(yè)生產(chǎn)網(wǎng)的情況，要對(duì)生產(chǎn)網(wǎng)與內(nèi)網(wǎng)進(jìn)行物理隔離，并對(duì)接入生產(chǎn)網(wǎng)的各種終端設(shè)備進(jìn)行防病毒查收、報(bào)備，防止影響生產(chǎn)安全的各種事件發(fā)生，保障企業(yè)的財(cái)產(chǎn)安全。

篇6

1.1網(wǎng)絡(luò)信息安全隱患

由于互聯(lián)網(wǎng)具有開(kāi)放性特征，受不規(guī)范的資源共享行為、網(wǎng)絡(luò)自身漏洞等因素影響，其客觀存在一定的安全風(fēng)險(xiǎn)，常見(jiàn)問(wèn)題包括網(wǎng)絡(luò)信息遭受非正常授權(quán)使用、資源共享無(wú)法精準(zhǔn)控制共享范圍、無(wú)法有效管理U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備以及網(wǎng)絡(luò)安全技術(shù)防護(hù)措施缺失等問(wèn)題。

1.2網(wǎng)絡(luò)信息使用人員安全意識(shí)不足

雖然近幾年計(jì)算機(jī)技術(shù)得到了較為廣泛的應(yīng)用，但部分操作人員仍不具備相應(yīng)的網(wǎng)絡(luò)信息安全使用意識(shí)，從而導(dǎo)致各種類型的網(wǎng)絡(luò)安全問(wèn)題，具體包括：忽略安全口令作用，對(duì)于必要的安全防護(hù)漠不關(guān)心；計(jì)算機(jī)未安裝軟件防火墻和相關(guān)殺毒軟件；系統(tǒng)補(bǔ)丁更新不及時(shí)等。

1.3網(wǎng)絡(luò)安全管理缺失

就目前企業(yè)網(wǎng)絡(luò)信息管理而言，普遍缺乏對(duì)于信息安全的規(guī)范化管理，多數(shù)企業(yè)不具備相應(yīng)系統(tǒng)、完整、有效的安全管理制度及管理流程。并且，企業(yè)缺乏有效的實(shí)時(shí)網(wǎng)絡(luò)信息安全監(jiān)控手段，對(duì)于網(wǎng)絡(luò)信息安全隱患，不能滿足及時(shí)發(fā)現(xiàn)和消除的管理要求。

1.4網(wǎng)絡(luò)惡意攻擊行為

現(xiàn)代社會(huì)逐漸趨向于向信息化方向發(fā)展，就企業(yè)網(wǎng)絡(luò)信息而言，普遍蘊(yùn)含著巨大的商業(yè)價(jià)值和經(jīng)濟(jì)價(jià)值。在經(jīng)濟(jì)利益的誘導(dǎo)下，網(wǎng)絡(luò)上存在部分非法分子，使用惡意攻擊性軟件，竊取、損壞或篡改目標(biāo)計(jì)算機(jī)信息，以獲取不正當(dāng)?shù)睦妫@種惡意攻擊行為嚴(yán)重威脅著網(wǎng)絡(luò)信息的安全。并且隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊逐漸從單一性向多樣性發(fā)展，相應(yīng)增加了網(wǎng)絡(luò)信息安全保護(hù)的難度。

2、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全體系的構(gòu)建

2.1劃分不同安全級(jí)別的安全域

劃分不同安全級(jí)別的安全域，建立安全邊界防護(hù)，設(shè)置不同的安全訪問(wèn)控制策略，防止惡意攻擊和非法訪問(wèn)。整個(gè)網(wǎng)絡(luò)的縱向通過(guò)防火墻來(lái)實(shí)現(xiàn)服務(wù)器安全域與終端設(shè)備安全域的劃分；在服務(wù)器與終端設(shè)備的安全域邊界部署防火墻、入侵檢測(cè)和防病毒墻等安全產(chǎn)品；通過(guò)防火墻，訪問(wèn)用戶終端、被訪問(wèn)的服務(wù)器及應(yīng)用端口的控制、入侵檢測(cè)設(shè)備對(duì)訪問(wèn)行為的檢測(cè)及網(wǎng)絡(luò)安全設(shè)備（如，防火墻、網(wǎng)絡(luò)設(shè)備）的聯(lián)動(dòng)、防毒墻對(duì)傳輸中病毒過(guò)濾來(lái)加強(qiáng)服務(wù)器的保護(hù)，減少通過(guò)終端設(shè)備域給服務(wù)器域帶來(lái)的攻擊、病毒傳遞擴(kuò)散等安全影響；整個(gè)網(wǎng)絡(luò)的橫向通過(guò)網(wǎng)絡(luò)設(shè)備的VLAN來(lái)實(shí)現(xiàn)服務(wù)器間和終端設(shè)備間不同安全級(jí)別的劃分，并通過(guò)網(wǎng)絡(luò)設(shè)備的ACL控制技術(shù)來(lái)實(shí)現(xiàn)不同級(jí)別的服務(wù)器安全域和不同級(jí)別終端設(shè)備安全域間的控制，降低不同安全域間的相互影響，保證各自安全域的安全。

2.2以企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)保護(hù)為核心

加強(qiáng)用戶訪問(wèn)服務(wù)器的合法性，統(tǒng)一合法用戶和規(guī)范授權(quán)訪問(wèn)，確保重要信息不被非授權(quán)訪問(wèn)，保證關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)及重要數(shù)據(jù)的信息安全。應(yīng)用系統(tǒng)及數(shù)據(jù)的運(yùn)行安全，可將應(yīng)用服務(wù)與數(shù)據(jù)庫(kù)分開(kāi)部署，數(shù)據(jù)采取統(tǒng)一集中存儲(chǔ)，統(tǒng)一備份的方式；重要數(shù)據(jù)采取在線（通過(guò)應(yīng)用系統(tǒng)自身的備份機(jī)制，定期進(jìn)行數(shù)據(jù)備份）、近線（通過(guò)備份軟件工具定期對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行備份）、離線（將備份出來(lái)的數(shù)據(jù)定期寫入磁帶庫(kù)中磁帶后進(jìn)行磁帶取出存檔備份）的三級(jí)備份要求。關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)需要建立應(yīng)用系統(tǒng)的自身備份系統(tǒng)，定期開(kāi)展備份數(shù)據(jù)恢復(fù)測(cè)試工作。同時(shí)，通過(guò)安全NAS等安全產(chǎn)品的部署應(yīng)用，對(duì)關(guān)鍵及重要數(shù)據(jù)進(jìn)行加密保存。

2.3建立信息安全管理制度，健全信息管理人員配置

2.3.1計(jì)算機(jī)設(shè)備管理制度。（1）計(jì)算機(jī)出現(xiàn)重大故障時(shí)，應(yīng)及時(shí)向信息管理技術(shù)部門報(bào)告，不允許私自處理或找非本單位技術(shù)人員進(jìn)行維修及操作；（2）業(yè)務(wù)部門的計(jì)算機(jī)開(kāi)啟審核功能，由信息終端維護(hù)人員定期導(dǎo)出系統(tǒng)審核日志。

2.3.2信息系統(tǒng)管理制度。（1）信息系統(tǒng)管理及使用權(quán)限方案應(yīng)根據(jù)崗位職責(zé)明確到人；（2）信息系統(tǒng)管理員負(fù)責(zé)各項(xiàng)應(yīng)用系統(tǒng)的環(huán)境生成、維護(hù)，負(fù)責(zé)一般操作代碼的生成和維護(hù)，負(fù)責(zé)故障恢復(fù)等管理及維護(hù)；（3）涉及數(shù)據(jù)整理、故障恢復(fù)等操作，須有系統(tǒng)管理上級(jí)及相關(guān)業(yè)務(wù)部門授權(quán)；（4）系統(tǒng)管理員及一般操作人員調(diào)離崗位，應(yīng)及時(shí)注銷其代碼并生成新的操作員代碼；（5）一般操作員不得使用他人帳戶進(jìn)行業(yè)務(wù)操作。

2.3.3密碼與權(quán)限管理制度。（1）密碼設(shè)置應(yīng)具有安全性、保密性，不能使用簡(jiǎn)單的代碼和標(biāo)記。密碼是保護(hù)系統(tǒng)和數(shù)據(jù)安全的控制代碼，也是保護(hù)用戶自身權(quán)益的控制代碼。密碼分設(shè)為用戶密碼和操作密碼，用戶密碼是登陸系統(tǒng)時(shí)所設(shè)的密碼，操作密碼是進(jìn)入各應(yīng)用系統(tǒng)的操作員密碼。系統(tǒng)應(yīng)有檢驗(yàn)密碼安全強(qiáng)度的設(shè)置；（2）密碼應(yīng)設(shè)定定期修改設(shè)置，間隔時(shí)間不得超過(guò)一個(gè)月，如發(fā)現(xiàn)或懷疑密碼遺失或泄漏應(yīng)立即聯(lián)系管理人員進(jìn)行修改，并記錄用戶名、修改時(shí)間、修改人等內(nèi)容；（3）服務(wù)器、路由器等重要設(shè)備的超級(jí)用戶密碼由運(yùn)行機(jī)構(gòu)負(fù)責(zé)人指定專人（不參與系統(tǒng)開(kāi)發(fā)和維護(hù)的人員）設(shè)置和管理。

2.4嚴(yán)格控制傳播途徑

如果是在不使用網(wǎng)絡(luò)傳輸?shù)那闆r下，一定要將傳播的途徑切斷，進(jìn)而有效地避兔不明U盤或者是程序傳輸，能夠使網(wǎng)絡(luò)可疑的信息被嚴(yán)格控制在用戶系統(tǒng)之外。另外，這種方法也能夠避兔硬盤受到感染，確保計(jì)算機(jī)殺毒處理工作的有效性。

總之，從目前企業(yè)網(wǎng)絡(luò)信息安全中存在的問(wèn)題入手，構(gòu)建信息安全體系，具有十分重要的現(xiàn)實(shí)意義，需要引起我們的重視。

參考文獻(xiàn)：

[1]張文婷.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的信息安全體系結(jié)構(gòu)[J].東方企業(yè)文化，2012，20：207.

[2]劉智能.淺談構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)安全的管理體系[J].電腦知識(shí)與技術(shù)，2013，29：6517-6518.

[3]尉韜.計(jì)算機(jī)網(wǎng)絡(luò)信息安全和防護(hù)體系構(gòu)建[J].數(shù)碼世界，2015，09：35-36.

篇7

【關(guān)鍵詞】動(dòng)態(tài)自治 網(wǎng)絡(luò)安全管理

計(jì)算機(jī)技術(shù)的不斷更新帶動(dòng)了網(wǎng)絡(luò)的發(fā)展壯大，如今社會(huì)各行各業(yè)都和網(wǎng)絡(luò)接軌，帶來(lái)了信息通訊的極大便利，也帶來(lái)了相當(dāng)嚴(yán)重的安全隱患。利用計(jì)算機(jī)和網(wǎng)絡(luò)實(shí)施犯罪的行為不斷增多，給個(gè)人乃至集體都造成了重大的損失。在當(dāng)前的網(wǎng)絡(luò)安全管理體系下，只能在某種程度上解決一些常見(jiàn)的網(wǎng)絡(luò)防御問(wèn)題，對(duì)一些有針對(duì)性的問(wèn)題甚至攻擊，還難以應(yīng)對(duì)。本文所闡述的構(gòu)建動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系，是一種可以滿足了全網(wǎng)安全要求并且具有動(dòng)態(tài)的可變化的特點(diǎn)的全新體系，可針對(duì)實(shí)際情況進(jìn)行有效的應(yīng)對(duì)，將網(wǎng)絡(luò)信息進(jìn)行集中管理，保證能夠及時(shí)響應(yīng)并處理安全管理事件。

1 動(dòng)態(tài)自治網(wǎng)絡(luò)安全管理體系的定義

動(dòng)態(tài)自治網(wǎng)絡(luò)安全管理體系的實(shí)質(zhì)就是構(gòu)建一種動(dòng)態(tài)的，能夠靈活自主應(yīng)對(duì)安全問(wèn)題的網(wǎng)絡(luò)。它之所以具有動(dòng)態(tài)性是因?yàn)楫?dāng)該體系接入網(wǎng)絡(luò)系統(tǒng)后，能夠自動(dòng)變?yōu)檎麄€(gè)網(wǎng)絡(luò)的一部分。它的安全管理系統(tǒng)是將處于同一個(gè)網(wǎng)絡(luò)管理系統(tǒng)管理下的所有安全設(shè)備和節(jié)點(diǎn)集合起來(lái)統(tǒng)一管理。制定一致的策略以保證所有設(shè)備都能夠遵循并實(shí)施。動(dòng)態(tài)自治網(wǎng)絡(luò)只是一個(gè)相對(duì)的概念，它的動(dòng)態(tài)性是相對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)的，而它的自治性體現(xiàn)在整個(gè)系統(tǒng)的設(shè)備和節(jié)點(diǎn)與網(wǎng)絡(luò)安全管理系統(tǒng)相互聯(lián)系并一起構(gòu)成了一個(gè)可控的網(wǎng)絡(luò)。

2 構(gòu)建動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理的必要性

科學(xué)技術(shù)的高速發(fā)展帶動(dòng)了計(jì)算機(jī)的普及應(yīng)用和網(wǎng)絡(luò)的更新?lián)Q代，人們的觀念也在隨之不斷變化。因此只是依靠一種單純的靜態(tài)網(wǎng)絡(luò)安全管理系統(tǒng)，已經(jīng)無(wú)法滿足要求越來(lái)越苛刻的用戶們了。從主觀方面來(lái)說(shuō)，人們需要一個(gè)更加完善的能夠進(jìn)行自治的動(dòng)態(tài)網(wǎng)絡(luò)安全管理體系，來(lái)幫助彌補(bǔ)操作系統(tǒng)的不足以及保護(hù)用戶的隱私信息。從客觀角度來(lái)說(shuō)，目前的網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)所打下的基礎(chǔ)已經(jīng)達(dá)到一定的程度，適合建立起一種動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架。因此，動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系應(yīng)運(yùn)而生。這種體系與過(guò)去的傳統(tǒng)網(wǎng)絡(luò)安全管理系統(tǒng)相比，具有處理問(wèn)題更加靈活、收集信息更加全面、相對(duì)于主操作系統(tǒng)更加獨(dú)立的諸多特點(diǎn)。它還具有廣泛應(yīng)用性，能夠很好地適用于多種不同類型的網(wǎng)絡(luò)；它的實(shí)用價(jià)值極高，對(duì)于不同用戶的各種要求都能達(dá)到最大限度的滿足；同時(shí)它的安全性更有保障，因?yàn)樗⒉皇且揽磕硞€(gè)單一的軟件或獨(dú)立系統(tǒng)去進(jìn)行整個(gè)網(wǎng)絡(luò)的安全保障與日常維護(hù)。并且當(dāng)網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題時(shí)，它會(huì)立刻聯(lián)合主操作電腦，共同實(shí)施防御策略。動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系要比平常的普通網(wǎng)絡(luò)具有更多的優(yōu)越性，比如它的動(dòng)態(tài)性主動(dòng)防御的能力；出現(xiàn)安全問(wèn)題時(shí)，能夠快速的調(diào)動(dòng)整個(gè)網(wǎng)絡(luò)的資源，表現(xiàn)出了非凡的聯(lián)動(dòng)性和積極的防御性。動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系還能對(duì)內(nèi)部所得到的信息進(jìn)行有針對(duì)性的分級(jí)分層次的保護(hù)，真正地實(shí)現(xiàn)了獨(dú)立自主的網(wǎng)絡(luò)安全體系，不再盲目依賴于任何一種單一的殺毒軟件或系統(tǒng)防御。這也是它為何更能滿足人們對(duì)于實(shí)現(xiàn)安全快速和綠色健康網(wǎng)絡(luò)的要求的原因。

3 影響網(wǎng)絡(luò)安全管理的因素

（1）一些未經(jīng)過(guò)授權(quán)的非法訪問(wèn)，有些甚至?xí)俺浜戏ㄓ脩魜?lái)進(jìn)行不正當(dāng)?shù)脑L問(wèn)。未經(jīng)授權(quán)就是超越了自身權(quán)限，不正當(dāng)?shù)刈x取網(wǎng)絡(luò)公共信息甚至是私人信息；冒充合法用戶則是利用欺騙的手段來(lái)獲取正當(dāng)用戶的使用權(quán)限，進(jìn)而非法侵害用戶自身及他人的權(quán)益，進(jìn)而占用甚至搶奪更多的網(wǎng)絡(luò)資源，這是一種嚴(yán)重的違法行為。

（2）有目的有計(jì)劃地對(duì)一些數(shù)據(jù)進(jìn)行刪改甚至破壞，有時(shí)會(huì)未經(jīng)系統(tǒng)統(tǒng)一就進(jìn)行流量分析。刪改和破壞數(shù)據(jù)是以蓄意破壞為目的，將所涉及到的信息進(jìn)行隨意修改和刪除，會(huì)給用戶造成極大的損失；流量分析則是在未經(jīng)系統(tǒng)授權(quán)或者同意的情況下，自行分析觀察網(wǎng)絡(luò)的信息流，從中篩取有用的信息，進(jìn)而非法獲取利益。

（3）網(wǎng)絡(luò)接入遭到拒絕和病毒木馬的惡意侵入。當(dāng)用戶擁有正常訪問(wèn)權(quán)，卻在訪問(wèn)時(shí)未能獲取應(yīng)有的信息資源，一般被稱為網(wǎng)絡(luò)接入遭到拒絕，是用戶自己被網(wǎng)絡(luò)拒絕服務(wù)；而病毒木馬的惡意侵入是由于黑客的蓄意破壞，人為植入病毒或者木馬程序，導(dǎo)致用戶的私人信息泄密甚至丟失，整個(gè)計(jì)算機(jī)系統(tǒng)也會(huì)因中毒而無(wú)法正常工作。

4 動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)

（1）要從全網(wǎng)全局的宏觀角度出發(fā)考慮，對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況進(jìn)行詳細(xì)正確的分析評(píng)估，進(jìn)而對(duì)現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行有效地整合，這樣才能有針對(duì)性地實(shí)施網(wǎng)絡(luò)安全防御措施。同時(shí)通過(guò)制定相對(duì)應(yīng)的響應(yīng)策略以使網(wǎng)絡(luò)安全管理系統(tǒng)能夠自動(dòng)地完成對(duì)網(wǎng)絡(luò)內(nèi)一切設(shè)備資源的響應(yīng)與安全問(wèn)題的處理。

（2）要以高度的自治方式來(lái)保證網(wǎng)絡(luò)的自主性和開(kāi)放性，真正實(shí)現(xiàn)網(wǎng)絡(luò)安全管理系統(tǒng)的自我完善。只有當(dāng)網(wǎng)絡(luò)系統(tǒng)具有很高的安全性時(shí)，才能有效保證任何接入網(wǎng)絡(luò)的信息和資源都會(huì)受到切實(shí)的保護(hù)。

（3）對(duì)實(shí)施接入控制的策略進(jìn)行詳細(xì)有效的分類管理，既要保證所構(gòu)建的網(wǎng)絡(luò)安全管理體系具有自治性和動(dòng)態(tài)性，又要實(shí)現(xiàn)全網(wǎng)絡(luò)的擴(kuò)展管理，能夠保證最大限度地連接網(wǎng)絡(luò)內(nèi)的一切設(shè)備資源，同時(shí)通過(guò)管理接入控制的方式來(lái)確保網(wǎng)絡(luò)安全的方法也為增加網(wǎng)絡(luò)安全管理體系的動(dòng)態(tài)性提供了必要的幫助。

5 動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系的基本模型

建立動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理模型是為了保證所有接入網(wǎng)絡(luò)的設(shè)備和資源的安全性，用戶在接入網(wǎng)絡(luò)的過(guò)程中，其信息和資源能夠得到一定的安全保證。通過(guò)使用類似的系統(tǒng)模型，規(guī)避接入網(wǎng)絡(luò)的過(guò)程中可能帶來(lái)的風(fēng)險(xiǎn)，進(jìn)一步確保整體網(wǎng)絡(luò)的安全可靠性。常見(jiàn)的網(wǎng)絡(luò)安全管理模型是一個(gè)動(dòng)態(tài)的自治的網(wǎng)絡(luò)，它是多種不同的網(wǎng)絡(luò)產(chǎn)品的集合體，通過(guò)內(nèi)部協(xié)議以相互協(xié)調(diào)，共同構(gòu)成虛擬的網(wǎng)絡(luò)環(huán)境。盡管內(nèi)部成分復(fù)雜，但也要對(duì)其自身的安全策略和安全分析進(jìn)行統(tǒng)一管理。同時(shí)，從全局宏觀角度出發(fā)，為了使網(wǎng)絡(luò)內(nèi)的相關(guān)設(shè)備能夠?qū)崿F(xiàn)統(tǒng)一管理，統(tǒng)一配置，就要通過(guò)自治來(lái)使得網(wǎng)絡(luò)按照既定的策略進(jìn)行工作。自治還包括網(wǎng)絡(luò)應(yīng)急預(yù)案和緊急響應(yīng)處理。經(jīng)過(guò)以上的一系列的管理流程，對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)的資源設(shè)備進(jìn)行統(tǒng)一配置，最終使網(wǎng)絡(luò)系統(tǒng)的安全性大大提高。然后在保證安全性的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)內(nèi)的安全設(shè)備和相關(guān)系統(tǒng)進(jìn)行集中管理。這是為了在配置相關(guān)安全節(jié)點(diǎn)的參數(shù)時(shí)，能夠使資源的利用率達(dá)到最大，同時(shí)也有利于網(wǎng)絡(luò)自身的更新配置，以達(dá)到動(dòng)態(tài)的管理模式。另外，網(wǎng)絡(luò)中的應(yīng)急響應(yīng)流程應(yīng)該具有一致性，它主要是指網(wǎng)絡(luò)中的安全事故處理流程要與響應(yīng)程序的流程一致，以保證處理問(wèn)題的及時(shí)性和有效性。

動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系模型還要滿足以下三個(gè)方面的要求：

（1）網(wǎng)絡(luò)體系要具備高度的擴(kuò)展性，建立網(wǎng)絡(luò)架構(gòu)以保證能對(duì)各種安全資源進(jìn)行統(tǒng)一的管理。要及時(shí)了解市場(chǎng)上最新的安全技術(shù)和設(shè)備，在建立時(shí)為其保留相應(yīng)的接口。這樣有利于網(wǎng)絡(luò)自身的更新配置，進(jìn)一步保證網(wǎng)絡(luò)的實(shí)時(shí)性。

（2）網(wǎng)絡(luò)體系應(yīng)具有高度的可控性，建立網(wǎng)絡(luò)架構(gòu)不僅要對(duì)接入網(wǎng)絡(luò)內(nèi)的所有設(shè)備進(jìn)行統(tǒng)一配置，同時(shí)還要具有信息收集和資源優(yōu)化的能力。對(duì)于網(wǎng)絡(luò)中安全設(shè)備在運(yùn)行過(guò)程中產(chǎn)生的一系列的配置信息及安全信息等數(shù)據(jù)，要及時(shí)保存并進(jìn)行分析。這樣也有利于用戶全面地掌握網(wǎng)絡(luò)體系的安全狀況。

（3）網(wǎng)絡(luò)體系應(yīng)擁有良好的操作性，保證網(wǎng)絡(luò)在其應(yīng)用的范圍內(nèi)，實(shí)現(xiàn)相關(guān)設(shè)備的安全維護(hù)和配置的綜合管理。系統(tǒng)的動(dòng)態(tài)自治安全管理模型可以分成狀態(tài)監(jiān)控、系統(tǒng)管理、策略管理等三個(gè)部分。其中策略管理以及系統(tǒng)管理主要是作為系統(tǒng)的支持部分，狀態(tài)監(jiān)控作為了應(yīng)用系統(tǒng)的部分 。

6 總結(jié)

隨著科學(xué)技術(shù)的發(fā)展和計(jì)算機(jī)的普及，互聯(lián)網(wǎng)技術(shù)已經(jīng)融入了千家萬(wàn)戶。隨之產(chǎn)生的網(wǎng)絡(luò)安全和信息保護(hù)等問(wèn)題越來(lái)越受到人們的重視。動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理體系作為一種新的網(wǎng)絡(luò)安全管理技術(shù)，其動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理方式能夠從全局角度出發(fā)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行分析和評(píng)估，有效地管理網(wǎng)絡(luò)，將安全風(fēng)險(xiǎn)降低至最小，確保用戶的信息和數(shù)據(jù)能夠得到更好的保護(hù)。動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理系統(tǒng)重點(diǎn)用于信息數(shù)據(jù)的處理，通過(guò)對(duì)動(dòng)態(tài)控制機(jī)制的接入，安全策略重新的部署和響應(yīng)，使系統(tǒng)有效地避免了更多的風(fēng)險(xiǎn)。

參考文獻(xiàn)

[1]吳多萬(wàn).動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2012，（6）.

[2]胡琳.基于動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)論析[J].煤炭技術(shù).2013，（10）.

[3]周毅超.動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理構(gòu)架論析[J].科學(xué)與財(cái)富.2011，（9）.

[4]劉蘭.一種動(dòng)態(tài)自治的網(wǎng)絡(luò)安全管理架構(gòu)[J].廣東技術(shù)師范學(xué)院學(xué)報(bào).2010，（3）.

篇8

[關(guān)鍵詞]數(shù)據(jù)庫(kù) 中間層 應(yīng)用層 三層架構(gòu)

中圖分類號(hào)：X936 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）17-0299-01

筆者從事計(jì)算機(jī)十多年的教學(xué)，又參與了軟件Java與的開(kāi)發(fā)及應(yīng)用。在這里，我想針對(duì)網(wǎng)絡(luò)安全監(jiān)察維護(hù)模式，由淺入深地談?wù)剳?yīng)該如何建立良好的信息系統(tǒng)體系結(jié)構(gòu)模式。

一、認(rèn)識(shí)信息系統(tǒng)體系結(jié)構(gòu)的重大意義

首先，我們必須清楚地認(rèn)識(shí)到良好的信息系統(tǒng)體系結(jié)構(gòu)對(duì)于網(wǎng)絡(luò)安全監(jiān)察維護(hù)模式的意義重大。如果我們有一個(gè)良好的信息系統(tǒng)體系結(jié)構(gòu)，我們完全可以抵御或者減少病毒入侵，如網(wǎng)頁(yè)掛馬等。

閱讀計(jì)算機(jī)之類的報(bào)刊、雜志，我們總有一些不解，什么是中間層，什么是接口，什么是修改參數(shù)，什么是模擬仿真，那么我以Java程序或程序?yàn)槔M(jìn)行闡述。

Java程序和程序，我認(rèn)為是目前最好的系統(tǒng)程序，因?yàn)樗鼈冇幸环N很好的思想值得我們?nèi)W(xué)習(xí)，去采納。作為一名學(xué)者，不能只是一味地去學(xué)習(xí)、接納別人的東西，而是要理解事物的本質(zhì)，所謂必定要透過(guò)事物的表象去看清里面的內(nèi)涵，與實(shí)質(zhì)，不能一味地去抄襲或者盜竊他人的原代碼之類的東西。這樣做，既無(wú)科學(xué)道德，也無(wú)太多的實(shí)際價(jià)值，同時(shí)也不能在專業(yè)術(shù)語(yǔ)、英文字母上徘徊不前，大道理小道理地講，又有什么用。

二、程序三層架構(gòu)思想

Java程序和程序，基本的三層架構(gòu)思想，這給我們的信息體系結(jié)構(gòu)帶來(lái)不少的沖擊。數(shù)據(jù)結(jié)構(gòu)體系的基本三層模式（圖1）：

當(dāng)然你可以在信息體系結(jié)構(gòu)的基本三層的基礎(chǔ)上發(fā)展五六層、七八層都可以，但是我們要知道是上一層調(diào)用下一層的命令。應(yīng)用層，就是我們常說(shuō)的界面、窗口；數(shù)據(jù)庫(kù)層，就是我們大量信息儲(chǔ)存的地方；中間層，就是在應(yīng)用層需要數(shù)據(jù)庫(kù)時(shí)，依靠中間層進(jìn)行層層轉(zhuǎn)運(yùn)，即應(yīng)用層程序先調(diào)用中間層命令，由中間層程序再調(diào)用數(shù)據(jù)庫(kù)層里的文件信息。這里要注意的問(wèn)題是，應(yīng)用層是永遠(yuǎn)不可能直接調(diào)用數(shù)據(jù)庫(kù)層的信息。同樣，箭頭永遠(yuǎn)不可能反過(guò)來(lái)，也就是說(shuō)數(shù)據(jù)庫(kù)層不可能去調(diào)用中間層或應(yīng)用層的程序，他們是獨(dú)立、有序的。這樣就做到了信息體系結(jié)構(gòu)的良性循環(huán)。所謂“君是君，臣是臣，哪里是主語(yǔ)，哪里是謂語(yǔ)”。

說(shuō)到這里，有朋友會(huì)問(wèn)，這與我們的“網(wǎng)絡(luò)安全監(jiān)察維護(hù)”有什么聯(lián)系。試想，這樣一個(gè)有序的信息體系結(jié)構(gòu)，如果在每一層都進(jìn)行打包、封裝、加密，甚至工具式的異類化，直接調(diào)用，那么病毒怎么進(jìn)得來(lái)，計(jì)算機(jī)的安全監(jiān)察與維護(hù)技術(shù)工作不是變得更加容易！

接著，便存在層與層之間的通信連接問(wèn)題，這就是我們常閱讀報(bào)刊雜志上所看見(jiàn)的專業(yè)術(shù)語(yǔ)“接口”。有讀者會(huì)問(wèn)“接口”是個(gè)什么層。這里我們首先要清楚地認(rèn)識(shí)到，各層之間的聯(lián)系，其實(shí)就在于各層文件名的命名及其附加參數(shù)，還有上一層可以插入下一層的文件名及其附加參數(shù)。文件名在本層中，既是一個(gè)程序文件的標(biāo)志，同時(shí)對(duì)上一層來(lái)說(shuō)，是調(diào)用下一層的命令，也就是說(shuō)上一層只要輸入下一層的文件名及其實(shí)參，就可以調(diào)用下一層的文件。文件名及其附加參數(shù)在本層中是一個(gè)功能塊或者稱為過(guò)程調(diào)用和形參，在調(diào)用層則為命令和實(shí)參，只有符合條件的參數(shù)才可以配合命令去調(diào)用下一層的功能塊。如此反復(fù)，我們便可以在界面上看到了不斷更新的數(shù)據(jù)、動(dòng)態(tài)的網(wǎng)頁(yè)。不符合條件的實(shí)參是不可以配合命令去調(diào)用下一層的功能塊。舉個(gè)淺顯的例子說(shuō)下，如果下一層的程序塊的內(nèi)容是10除以多少，條件是有限制的，如不能為0或其他字母，如果輸入0或者其他字母，那么程序會(huì)馬上終止，進(jìn)入退出狀態(tài)，不再運(yùn)行。我們?cè)倏聪路抡孳浖碚撋现灰薷膮?shù)，就知道故障就在哪里，然后通過(guò)模擬故障去排除故障，如仿真戰(zhàn)機(jī)、空中大戰(zhàn)、仿真系統(tǒng)維修軟件等，它們的故障就是實(shí)參輸入不合條件，出現(xiàn)故障，導(dǎo)致局部程序無(wú)法運(yùn)行，上一層功能塊只有調(diào)用其他的功能塊才能解決故障問(wèn)題，使模擬仿真安然進(jìn)行。仿真軟件的設(shè)計(jì)，使現(xiàn)實(shí)事物并不需要出現(xiàn)，也不要去實(shí)驗(yàn)，如空中大戰(zhàn)，達(dá)到理想的訓(xùn)練效果，又節(jié)省了人、材、機(jī)，同時(shí)又避免了環(huán)境污染和資源浪費(fèi)。但是仿真系統(tǒng)與現(xiàn)實(shí)社會(huì)還是有一定距離，還是有必要去和現(xiàn)實(shí)數(shù)據(jù)進(jìn)行吻合。我們可以應(yīng)用這種理論進(jìn)行網(wǎng)絡(luò)安全監(jiān)察維護(hù)的仿真檢測(cè)。

中間層是一個(gè)封裝的程序，如果需要執(zhí)行多個(gè)命令，就封裝多個(gè)中間層。各層只要有必要，可以從這個(gè)項(xiàng)目中分離開(kāi)，進(jìn)入另外一個(gè)項(xiàng)目，只要提供一個(gè)接口。

程序的工具性異類化。為什么稱為程序的工具性異類化？程序包或功能塊經(jīng)過(guò)一系列的代碼轉(zhuǎn)換命令，完全變成了一個(gè)工具，直接拿來(lái)用即可，你無(wú)須知道它的源代碼，更確切地說(shuō)，你根本不知道，也許永遠(yuǎn)不知道它的源代碼 ，你只是利用這個(gè)工具去做你想去做的事情，現(xiàn)代計(jì)算機(jī)中稱工具的專業(yè)名稱為“對(duì)象”。所以工具性程序與普通程序完全不同，有些需要轉(zhuǎn)換代碼后才能調(diào)用，有些只是通過(guò)實(shí)參配合命令進(jìn)行調(diào)用，不符合要求的實(shí)參根本無(wú)法進(jìn)行調(diào)用。那么有人會(huì)問(wèn)，能不能破譯“對(duì)象”的源代碼？所謂“解鈴還須系鈴人”，破譯源代碼除了“系鈴人”之外，別無(wú)他人。那么有人會(huì)說(shuō)木馬病毒可以破譯，我個(gè)人認(rèn)為，木馬病毒只是侵入，無(wú)法破譯并獲得源代碼。現(xiàn)代軟件加密技術(shù)非常強(qiáng)，里三圈外三圈，攔了個(gè)水泄不通，木馬技術(shù)最多也只是個(gè)別侵入與替換與復(fù)制，除非知道程序的破譯方法，一般不可以破譯并獲得源代碼的。

在項(xiàng)目做好后，經(jīng)過(guò)系統(tǒng)軟件生成器平臺(tái)轉(zhuǎn)化成獨(dú)立代碼，直接運(yùn)行在計(jì)算機(jī)操作系統(tǒng)中。

這里有兩個(gè)問(wèn)題仍需解決，第一個(gè)問(wèn)題是系統(tǒng)軟件生成器平臺(tái)是如何將程序打包并工具化的，第二個(gè)問(wèn)題是不同版本的系統(tǒng)軟件之間是如何兼容的。

當(dāng)我們還常常夸C語(yǔ)言、C++語(yǔ)言源代碼開(kāi)放，功能如何之強(qiáng)大時(shí)，其實(shí)，我們?cè)诔绦驊?yīng)用上還是未能解決根本問(wèn)題。信息系統(tǒng)結(jié)構(gòu)的未來(lái)發(fā)展趨向，就是進(jìn)行程序的快速打包封裝，快速便捷地進(jìn)行功能調(diào)用，快速地組裝并且達(dá)到新的適用功能，而并不是程序的源代碼如何地強(qiáng)大。軟件業(yè)的發(fā)展必須將程序進(jìn)行工具性的“異類化”，成為程序的新品種，直接拿過(guò)來(lái)用即可，我們并不需要其內(nèi)部的源代碼是什么。除此之外，我們要清楚地認(rèn)識(shí)到，有些操作系統(tǒng)具有兼容其他語(yǔ)言的能力，以致我們的系統(tǒng)軟件能輕而易舉地應(yīng)用到某些操作系統(tǒng)上。

我們常說(shuō)要自動(dòng)化，不僅指硬件的自動(dòng)化，更是要指軟件的自動(dòng)化。軟件要自動(dòng)化，必須要有獨(dú)立、有序、反應(yīng)敏捷的信息體系結(jié)構(gòu)，加上調(diào)用封裝好的工具性軟件，優(yōu)良的獨(dú)立接口軟件，達(dá)到與各種系統(tǒng)軟件平臺(tái)的兼容，同時(shí)也使計(jì)算安全監(jiān)察維護(hù)技術(shù)工作變得相當(dāng)簡(jiǎn)單。哪一部分出了問(wèn)題，我們就維護(hù)哪一部分，并不需要從頭至尾個(gè)個(gè)檢查。這樣，有利于減少工作量，提高工作效率。

三、結(jié)語(yǔ)

寫到這里，我希望廣大軟件開(kāi)發(fā)的工作者門，開(kāi)發(fā)出更好的、有利于國(guó)人的軟件產(chǎn)品，從根本上解決我們計(jì)算機(jī)網(wǎng)絡(luò)安全監(jiān)察與維護(hù)的技術(shù)工作問(wèn)題。

參考文獻(xiàn)

[1] 尚宇峰.網(wǎng)絡(luò)可靠性研究[J].2006.12-16

篇9

關(guān)鍵字：企業(yè)網(wǎng)絡(luò)   醫(yī)院網(wǎng)絡(luò)   網(wǎng)絡(luò)安全   網(wǎng)絡(luò)體系  技術(shù)手段

前言：

隨著信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)越來(lái)越被人們所重視，從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競(jìng)爭(zhēng)。企業(yè)對(duì)網(wǎng)絡(luò)的依存度越來(lái)越高，網(wǎng)絡(luò)在企業(yè)中所處的位置也越來(lái)越重要，系統(tǒng)中存儲(chǔ)著維系企業(yè)生存與競(jìng)爭(zhēng)的重要資產(chǎn)-------企業(yè)信息資源。但是,諸多因素威脅著計(jì)算機(jī)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如,自然災(zāi)害、人員的誤操作等,不僅會(huì)造成系統(tǒng)信息丟失甚至完全癱瘓,而且會(huì)給企業(yè)造成無(wú)法估量的損失。因此,企業(yè)必須有一套完整的安全管理措施,以確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運(yùn)行。本文就影響醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對(duì)策略三個(gè)方面進(jìn)行了做了論述。

 

一、醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)及其原因

1.自然因素：

1.1病毒攻擊

   因?yàn)獒t(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個(gè)網(wǎng)絡(luò)，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒(méi)有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險(xiǎn)病毒。病毒一方面會(huì)感染大量的機(jī)器，造成機(jī)器“罷工“并成為感染添另一方面會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時(shí)延是完全可能的。但是由于一些工作人員的疏忽，使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來(lái)越高，所以病毒的攻擊應(yīng)該引起我們的關(guān)注。

1.2軟件漏洞

任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無(wú)缺陷和無(wú)漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊，主要在以下幾個(gè)方面：

1.2.1、協(xié)議漏洞。例如，IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級(jí)用戶的特權(quán)。

1.2.2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長(zhǎng)度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，來(lái)造成系統(tǒng)不穩(wěn)定狀態(tài)。

1.2.3、口令攻擊。例如，U nix系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中，而該文件可通過(guò)拷貝或口令破譯方法受到入侵。因此，任何不及時(shí)更新的系統(tǒng)，都是容易被攻擊的。

 

2、人為因素：

2.1操作失誤

操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng).用戶口令選擇不慎.用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使用初期較常見(jiàn)，隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn)，此種情況逐漸減少.對(duì)網(wǎng)絡(luò)安全己不構(gòu)成主要威脅。   

2.2惡意攻擊

這是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下.進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信急。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計(jì)算機(jī)病毒對(duì)企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商都要花費(fèi)大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)。

二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)

1.設(shè)計(jì)網(wǎng)絡(luò)安全體系的原則

     1.1、體系的安全性：設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標(biāo)。要保證體系的安全性，必須保證體系的完備性和可擴(kuò)展性。

     1.2、系統(tǒng)的高效性：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件，它們也會(huì)占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)必須考慮系統(tǒng)資源的開(kāi)銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

   1.3、體系的可行性：設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實(shí)際因素，也只能是一些廢紙。設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，如果實(shí)施的難度太大以至于無(wú)法實(shí)施，那么網(wǎng)絡(luò)安全體系本身也就沒(méi)有了實(shí)際價(jià)值。

1.4、體系的可承擔(dān)性：網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn)等各個(gè)方面的工作都要由企業(yè)來(lái)支持，要為此付出一定的代價(jià)和開(kāi)銷如果我們付出的代價(jià)比從安全體系中獲得的利益還要多，那么我們就不該采用這個(gè)方案。所以，在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)，必須考慮企業(yè)的業(yè)務(wù)特點(diǎn)和實(shí)際承受能力，沒(méi)有必要按電信級(jí)、銀行級(jí)標(biāo)準(zhǔn)來(lái)設(shè)計(jì)這四個(gè)原則，可以簡(jiǎn)單的歸納為：安全第一、保障性能、投入合理、考慮發(fā)展。

2、網(wǎng)絡(luò)安全體系的建立

    網(wǎng)絡(luò)安全體系的定義：網(wǎng)絡(luò)安全管理體系是一個(gè)在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全

技術(shù)與安全管理，以實(shí)現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。

網(wǎng)絡(luò)系統(tǒng)完整的安全體系

系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠，確保應(yīng)用系統(tǒng)正常運(yùn)行。主要包括以下幾個(gè)方面：

    (1)防止非法用戶破壞系統(tǒng)設(shè)備，干擾系統(tǒng)的正常運(yùn)行。

    (2)防止內(nèi)部用戶通過(guò)物理手段接近或竊取系統(tǒng)設(shè)備，非法取得其中的數(shù)據(jù)。

 (3 )為系統(tǒng)關(guān)鍵設(shè)備的運(yùn)行提供安全、適宜的物理空間，確保系統(tǒng)能夠長(zhǎng)期、穩(wěn)定和高效的運(yùn)行。例如:中心機(jī)房配置溫控、除塵設(shè)備等。

    網(wǎng)絡(luò)安全性主要包括以下幾個(gè)方面：

    (1)限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)。

    (2)確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。

    (3)網(wǎng)絡(luò)通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

篇10

關(guān)鍵詞:高職;網(wǎng)絡(luò)安全技術(shù);課程改革

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)18-5009-02

'Network Security Technology' in Higher Vocational Curriculum Reform Shallow

YANG Xing, YANG Li-sha, CHEN Ming, LIU Tao

(1.Department of information engineering, Hunan Industry Polytechnic, Changsha 410208, China)

Abstract: The computer network technology training in network engineering technology, network management, website construction technology, capable of network planning and design, network construction, network management and maintenance, website construction and so on the work of higher technology applied talents. The technology is developing rapidly, but the curriculum content renewal speed, so urgently needed reforms relatively slow. This is the computer network professional core courses of the network security technology "the curriculum reform is explored.

Key words: higher vocational; network security; curriculum reform

隨著網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)用戶數(shù)量的急劇上升,網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)重。計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)學(xué)生在具備組網(wǎng)、建網(wǎng)、管網(wǎng)等能力的同時(shí),也必須具備一定的構(gòu)建網(wǎng)絡(luò)安全體系能力。高職教育由于其特有的目的性――偏重實(shí)踐動(dòng)手能力,無(wú)法照搬本科的教育體系,因此,作為本專業(yè)核心課程《網(wǎng)絡(luò)安全技術(shù)》,進(jìn)行課程改革必須符合高職教育的特點(diǎn)。

1 課程改革的背景和意義

1.1 教改前課程存在的不足

本課程為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)核心課程,旨在培養(yǎng)學(xué)生構(gòu)建安全的網(wǎng)絡(luò)防范體系的能力。目前,該課程存在以下幾點(diǎn)不足:

1)課程內(nèi)容陳舊

網(wǎng)絡(luò)安全技術(shù)日新月異,而課程內(nèi)容的更新速度相對(duì)緩慢。一方面是網(wǎng)絡(luò)安全技術(shù)不斷加速的變革性;另一方面是課程體系及教學(xué)內(nèi)容的相對(duì)穩(wěn)定性,從而導(dǎo)致網(wǎng)絡(luò)安全方面的許多新技術(shù)、新知識(shí)不能很快出現(xiàn)在教科書上,教學(xué)內(nèi)容的陳舊使培養(yǎng)出來(lái)的學(xué)生落后于時(shí)代的發(fā)展,體現(xiàn)不出高等教育先進(jìn)性,與社會(huì)對(duì)人才的需求不相適應(yīng)。

2)教學(xué)方式單調(diào)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是當(dāng)今發(fā)展變化最快的技術(shù)之一,目前,《網(wǎng)絡(luò)安全技術(shù)》課程的理論授課雖全部在多媒體機(jī)房進(jìn)行,但現(xiàn)在的教學(xué)還是處在“演示”的初級(jí)階段,大多時(shí)候,仍然是被動(dòng)的聽(tīng)、看;另外,該課程主要是講授網(wǎng)絡(luò)安全體系的構(gòu)建以及具體的攻擊、防范方法,操作性強(qiáng),然而由于教學(xué)信息量較大,在教學(xué)的過(guò)程中學(xué)生能進(jìn)行基本功能的操作,但學(xué)生普遍反映課堂上會(huì)操作,下課后就將很多操作方法忘了,教學(xué)效果并不是很理想。

3)學(xué)生計(jì)算機(jī)知識(shí)水平參差不齊

由于自身因素、客觀因素等多方面的影響,學(xué)生的計(jì)算機(jī)基礎(chǔ)知識(shí)水平參差不齊,給教師的課堂教學(xué)增加了一定的難度。理論課就形成了好的不想聽(tīng)、差的聽(tīng)不懂的局面,嚴(yán)重影響教學(xué)效果和教學(xué)質(zhì)量。上機(jī)輔導(dǎo)時(shí),基礎(chǔ)差的學(xué)生開(kāi)機(jī)都有問(wèn)題,需要教師進(jìn)行輔導(dǎo),由于人數(shù)過(guò)多,教師照顧不到所有的學(xué)生,這樣,基礎(chǔ)好的學(xué)生把上機(jī)課變成了他們專門的上網(wǎng)時(shí)間、游戲時(shí)間。

1.2 課程改革的意義

上述問(wèn)題在高職院校中帶有普遍性,對(duì)實(shí)現(xiàn)高職教育目標(biāo)有重大影響,因此,進(jìn)行高職《網(wǎng)絡(luò)安全技術(shù)》課程改革是十分必要和緊迫的,也是一項(xiàng)艱巨而有意義的創(chuàng)新課題。若能成功地完成該項(xiàng)課題,不但可以解決長(zhǎng)期困擾高職《網(wǎng)絡(luò)安全技術(shù)》教學(xué)的若干難題,也可為高職院校課程的改革提供可借鑒的經(jīng)驗(yàn)。

2 課程改革的目標(biāo)

高職教育應(yīng) “以就業(yè)為導(dǎo)向,培養(yǎng)高等計(jì)算機(jī)應(yīng)用型專業(yè)人才為根本任務(wù)”,畢業(yè)生應(yīng)具有“基礎(chǔ)理論知識(shí)適度、技術(shù)應(yīng)用能力強(qiáng)、知識(shí)面較寬”等特點(diǎn),結(jié)合高職教育和高職學(xué)生的特點(diǎn),《網(wǎng)絡(luò)安全技術(shù)》課程的培養(yǎng)目標(biāo),應(yīng)是動(dòng)手能力強(qiáng)的網(wǎng)絡(luò)維護(hù)者和網(wǎng)絡(luò)安全實(shí)現(xiàn)者。

3 課程改革的措施

3.1 根據(jù)TCP/IP參考模型來(lái)制訂教學(xué)內(nèi)容。

網(wǎng)絡(luò)隱患的出現(xiàn)歸根結(jié)底就是因?yàn)榫W(wǎng)絡(luò)結(jié)構(gòu)本身的安全問(wèn)題,將網(wǎng)絡(luò)隱患進(jìn)行細(xì)化,會(huì)發(fā)現(xiàn)這些隱患都可以劃歸為TCP/IP參考模型各層的安全問(wèn)題,比如線路安全屬于網(wǎng)絡(luò)接口層的安全問(wèn)題,IP地址欺騙屬于網(wǎng)絡(luò)層的安全問(wèn)題,認(rèn)證和加密屬于應(yīng)用層的安全問(wèn)題等等,因此,可以針對(duì)各層的安全隱患來(lái)制訂教學(xué)內(nèi)容。

3.2 以項(xiàng)目為單位組織教學(xué),注重學(xué)生能力培養(yǎng)

根據(jù)本課程的教學(xué)目標(biāo),緊密結(jié)合網(wǎng)絡(luò)管理員職業(yè)資格證書技能考核要求,確定課程的教學(xué)內(nèi)容,在此基礎(chǔ)上形成項(xiàng)目,并對(duì)項(xiàng)目進(jìn)行分解,使基本知識(shí)點(diǎn)和技能要素直接切入到項(xiàng)目和工作任務(wù)的各個(gè)環(huán)節(jié)中,課程內(nèi)容呈技能遞進(jìn)方式。以項(xiàng)目為單位組織教學(xué),讓學(xué)生在技能訓(xùn)練過(guò)程中加深對(duì)專業(yè)知識(shí)、技能的理解和應(yīng)用,培養(yǎng)學(xué)生的綜合職業(yè)能力,滿足學(xué)生職業(yè)生涯發(fā)展的需要。

3.3 改革考核方式,建立了形成性評(píng)價(jià)體系

改革傳統(tǒng)考核方式,注重過(guò)程評(píng)價(jià),著重考查學(xué)生在項(xiàng)目任務(wù)中表現(xiàn)出來(lái)的職業(yè)能力和職業(yè)素養(yǎng)。將學(xué)生的職業(yè)素養(yǎng)、工作責(zé)任心、團(tuán)隊(duì)協(xié)作、學(xué)習(xí)態(tài)度、職業(yè)能力和工作績(jī)效等納入評(píng)價(jià)范圍,建立科學(xué)可行的評(píng)價(jià)體系,對(duì)學(xué)生職業(yè)素養(yǎng)的養(yǎng)成和職業(yè)能力訓(xùn)練方面進(jìn)行全面評(píng)價(jià),充分發(fā)揮評(píng)價(jià)的導(dǎo)向功能。

3.4 注重學(xué)生自主學(xué)習(xí)能力培養(yǎng)

教學(xué)過(guò)程中,注重“六階段”教學(xué)法,讓學(xué)生在教師的指導(dǎo)下,有目的、有計(jì)劃、大膽地、主動(dòng)地去學(xué)習(xí),在學(xué)習(xí)過(guò)程中,老師根據(jù)學(xué)習(xí)內(nèi)容和學(xué)生實(shí)際,適時(shí)地給學(xué)生指導(dǎo)點(diǎn)撥,啟發(fā)誘導(dǎo),充分調(diào)動(dòng)學(xué)生學(xué)習(xí)的積極、主動(dòng)性與創(chuàng)造性,讓學(xué)生在學(xué)習(xí)中積極思考,主動(dòng)探究,發(fā)現(xiàn)問(wèn)題,分析問(wèn)題和解決問(wèn)題,使學(xué)生在學(xué)習(xí)過(guò)程中構(gòu)建新知,提高能力。課后作業(yè),教師布置一些具有探索性課題,讓學(xué)生自主查閱資料,收集所需的知識(shí)與信息,提出自己解決問(wèn)題方案。例如,安全風(fēng)險(xiǎn)分析教學(xué)課后作業(yè)要求學(xué)生調(diào)查學(xué)校及周圍街區(qū)網(wǎng)絡(luò)安全情況,若發(fā)現(xiàn)存在不安全現(xiàn)象,提出整改方案。

3.5 改革教學(xué)方法

1)注重“六階段”教學(xué)法

教學(xué)過(guò)程中,采用依據(jù)基于工作過(guò)程的課程開(kāi)發(fā)理論所揭示的“資訊、決策、計(jì)劃、實(shí)施、檢查、評(píng)價(jià)”六階段法組織教學(xué)。

資訊階段――多個(gè)學(xué)生為一個(gè)小組,教師以任務(wù)單形式下達(dá)教學(xué)單元的任務(wù),并提出具體要求。每個(gè)小組成員在教師指導(dǎo)下查閱相關(guān)資料,收集工作任務(wù)所需的知識(shí)與信息并提出自己的見(jiàn)解,并學(xué)會(huì)與小組成員、教師的溝通與交流。

決策階段――以小組討論的方式對(duì)每個(gè)學(xué)員的方案進(jìn)行論證,在教師的指導(dǎo)和幫助下確定一個(gè)實(shí)施性的方案。在這一過(guò)程中學(xué)員相互啟發(fā),相互學(xué)習(xí),個(gè)人的知識(shí)欠缺將通過(guò)共同討論、集思廣益來(lái)彌補(bǔ),同時(shí)也鍛煉學(xué)員解決問(wèn)題和創(chuàng)造性思維能力。

計(jì)劃階段――針對(duì)實(shí)施方案,教師指導(dǎo)學(xué)員制定設(shè)計(jì)體系的工作計(jì)劃。包括:安全策略的制定、安全措施的執(zhí)行等。

實(shí)施階段――小組成員針對(duì)工作計(jì)劃實(shí)施操作。教師重點(diǎn)指導(dǎo)學(xué)生完成實(shí)施準(zhǔn)備工作,并對(duì)學(xué)生的實(shí)施操作進(jìn)行全方位的監(jiān)控,確保實(shí)施過(guò)程的用電安全并關(guān)注學(xué)生團(tuán)隊(duì)合作、成本節(jié)約等意識(shí)。

檢查階段――學(xué)生對(duì)照上述階段進(jìn)行自查,找到存在的問(wèn)題并提出改進(jìn)措施等。

評(píng)價(jià)階段――采用形成性評(píng)價(jià)方式進(jìn)行考核。

2)技能考證獎(jiǎng)勵(lì)法

將網(wǎng)絡(luò)管理員考核標(biāo)準(zhǔn)融入課程教學(xué)內(nèi)容與評(píng)價(jià)體系,使專業(yè)課程的教學(xué)過(guò)程和技能培訓(xùn)過(guò)程相互融合,課程考核與技能鑒定相結(jié)合,實(shí)行學(xué)生參與技能鑒定可取代對(duì)應(yīng)課程考核的制度。課余時(shí)間開(kāi)放實(shí)訓(xùn)室,拓展第二課堂活動(dòng),促進(jìn)學(xué)生主動(dòng)學(xué)習(xí)專業(yè)有關(guān)知識(shí),加深學(xué)生對(duì)知識(shí)的理解和掌握,提高學(xué)生的學(xué)習(xí)興趣,培養(yǎng)學(xué)生實(shí)踐技能和創(chuàng)新能力。

3.6 引入企業(yè)文化

校內(nèi)實(shí)訓(xùn),模擬企業(yè)真實(shí)的工作氛圍,每個(gè)學(xué)生就像企業(yè)中的員工,組成工作小組,設(shè)立組長(zhǎng),教師充當(dāng)部門經(jīng)理,負(fù)責(zé)分配工作任務(wù),并要求學(xué)生按企業(yè)工作流程要求,在整個(gè)實(shí)訓(xùn)過(guò)程中嚴(yán)格把關(guān),實(shí)行層層審核負(fù)責(zé)制,培養(yǎng)學(xué)生的工作責(zé)任心、獨(dú)立工作能力和良好的職業(yè)素質(zhì),工作結(jié)束后要清場(chǎng)并填寫工作報(bào)告(實(shí)訓(xùn)報(bào)告),使學(xué)生在學(xué)校就體會(huì)崗位的工作情境。

通過(guò)本課程的學(xué)習(xí),使學(xué)生掌握基于TCP/IP體系協(xié)議的安全體系構(gòu)建等方面的知識(shí),具備安全策略制定的能力,養(yǎng)成良好的團(tuán)隊(duì)合作等習(xí)慣。

參考文獻(xiàn):

[1] 時(shí)代教育技術(shù)學(xué)專業(yè)課程體系研究(一)[M].現(xiàn)代教育技術(shù),2004.

[2] 盧紅學(xué),高職課程體系改革的目標(biāo)與思路[M].職教論壇,2005.