如何制定網(wǎng)絡(luò)安全策略精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的如何制定網(wǎng)絡(luò)安全策略主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：如何制定網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：提高；網(wǎng)絡(luò)；安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2009)05-1071-01

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，氣象業(yè)務(wù)現(xiàn)代化、信息化、辦公自動(dòng)化程度的加快，氣象系統(tǒng)內(nèi)部以及與外界的信息交流量和交流面在逐步擴(kuò)大，這給網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理員提出了更高的要求，特別是與Intermet連接后，網(wǎng)絡(luò)病毒的傳播、黑客的攻擊愈來(lái)愈嚴(yán)重，氣象信息的安全性也就受到威脅，因此就目前臺(tái)站氣象網(wǎng)絡(luò)安全隱患和防范措施是值得探討和重視的。

2 重視管理臺(tái)站氣象網(wǎng)絡(luò)安全

2.1 存在隱患

臺(tái)站業(yè)務(wù)人員計(jì)算機(jī)水平的高低參差不齊，且無(wú)專職網(wǎng)絡(luò)管理人員，使氣象網(wǎng)絡(luò)的安全潛伏著極大的危機(jī)，主要表現(xiàn)在以下幾個(gè)方面：

① 隨意使用外來(lái)U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)。由于人們認(rèn)識(shí)不到位，防范意識(shí)差，人人都可以隨意買一些盤(pán)放人計(jì)算機(jī)，用來(lái)玩游戲等非業(yè)務(wù)使用，無(wú)意甚至有意將病毒、黑客程序帶人計(jì)算機(jī)，給計(jì)算機(jī)和網(wǎng)絡(luò)埋下不安全的隱患。

② 隨意使用Intemet網(wǎng)進(jìn)行收、發(fā)信息，電子郵件的普通使用，各種信息來(lái)者不拒，有用無(wú)用程序都去下載，然后在本單位網(wǎng)內(nèi)不加防范地傳播，造成病毒和黑客程序傳播，一旦網(wǎng)絡(luò)防御被攻破，輕者網(wǎng)絡(luò)癱瘓，重者將造成系統(tǒng)損壞或數(shù)據(jù)丟失的惡果。

③ 人為修改設(shè)置，氣象數(shù)據(jù)庫(kù)中的數(shù)據(jù)在不斷更新和增加，部分人員因?yàn)榉N種原因，對(duì)正確的設(shè)置加以修改，致使新的數(shù)據(jù)不能及時(shí)填入，而應(yīng)保留的數(shù)據(jù)被清除，在工作當(dāng)中若不能及時(shí)發(fā)現(xiàn)后果是造成氣象資料數(shù)據(jù)庫(kù)數(shù)據(jù)不完整，資料不準(zhǔn)確，而運(yùn)用這樣的資料做出的資料結(jié)論，其偏差通常較大，甚至?xí)贸鱿喾吹慕Y(jié)論。

2.2 上機(jī)人員的管理

以上三種現(xiàn)象可能會(huì)時(shí)常發(fā)生，要徹底改變這些間題是一個(gè)長(zhǎng)期而重要的工作任務(wù)。就目前來(lái)看，從以下三方面著手解決是比較實(shí)際的：第一，提高業(yè)務(wù)人員的素質(zhì)，加強(qiáng)職業(yè)道德教育，提高思想覺(jué)悟，正確認(rèn)識(shí)氣象網(wǎng)絡(luò)和數(shù)據(jù)安全的熏要意義；第二，加強(qiáng)制度建設(shè)，將氣象計(jì)算機(jī)網(wǎng)絡(luò)管理納人專職管理編制，尤其是臺(tái)站氣象網(wǎng)與資料庫(kù)，目前正處于管理的薄弱環(huán)節(jié)，隨著氣象自動(dòng)化建設(shè)的發(fā)展，必須設(shè)專職管理人員，管理必須有章可尋，責(zé)任明確，對(duì)有意進(jìn)行惡意操作的人和事要嚴(yán)肅處理，有效防止人為破壞；第三，加強(qiáng)計(jì)算機(jī)知識(shí)培訓(xùn)，讓業(yè)務(wù)人員不但能使用計(jì)算機(jī)，還會(huì)保護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、減少無(wú)意損壞、杜絕人為破壞。

3 臺(tái)站氣象網(wǎng)絡(luò)安全管理體系的建立

隨著臺(tái)站大氣監(jiān)測(cè)自動(dòng)化系統(tǒng)、生態(tài)環(huán)境監(jiān)側(cè)，Intemet的不斷應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)、信息傳輸?shù)陌踩珕?wèn)題也日趨突出，這就要求我們，必須根據(jù)臺(tái)站氣象信息網(wǎng)絡(luò)的安金要求，構(gòu)建適用的安全體系，從而有效地保證氣象信息網(wǎng)絡(luò)的安全。

3.1 安全需求分析

“知己知彼，百戰(zhàn)不殆”。只有明確網(wǎng)絡(luò)的安全需求，才能有針對(duì)性地構(gòu)建適合的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

3.2 安全風(fēng)險(xiǎn)管理

妥全風(fēng)險(xiǎn)管理是對(duì)安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，以組織和部門(mén)可以接受的投資，實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評(píng)估為制定組織和部門(mén)的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.3 制定安全策略

根據(jù)組織和部門(mén)的安全需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論，制定組織和部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

3.4 定期安全審核

安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行;其次，由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過(guò)程，組織和部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門(mén)對(duì)安全的需求也會(huì)發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

3.5上下聯(lián)動(dòng)，專業(yè)支持

計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的上下聯(lián)動(dòng)和外部支持是分不開(kāi)的。通過(guò)上下聯(lián)動(dòng)專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

第2篇：如何制定網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：電子政務(wù)外網(wǎng) 安全管理平臺(tái) SOC 安全策略

一、前言

國(guó)家電子政務(wù)外網(wǎng)作為一個(gè)支持跨部門(mén)和地區(qū)業(yè)務(wù)應(yīng)用、數(shù)據(jù)交換和信息共享的電子政務(wù)建設(shè)的新生事物，盡管其建設(shè)規(guī)模還不大，建設(shè)時(shí)間也不長(zhǎng)，但在國(guó)家有關(guān)部門(mén)的指導(dǎo)和支持下，依靠各部委和各地的通力合作，它已經(jīng)充分展現(xiàn)了一個(gè)創(chuàng)新性網(wǎng)絡(luò)巨大的活力，開(kāi)始得到了各部門(mén)和各地的重視和關(guān)注。目前，已有30多個(gè)部門(mén)的系統(tǒng)平臺(tái)接入政務(wù)外網(wǎng)，例如國(guó)務(wù)院應(yīng)急辦國(guó)家應(yīng)急平臺(tái)外網(wǎng)系統(tǒng)、自然資源和地理空間基礎(chǔ)數(shù)據(jù)庫(kù)、文化部文化信息資源共享平臺(tái)等一批關(guān)系國(guó)計(jì)民生的重要系統(tǒng)接入政務(wù)外網(wǎng)。從政務(wù)外網(wǎng)建設(shè)及應(yīng)用情況來(lái)看，各部門(mén)對(duì)政務(wù)外網(wǎng)的需求是緊迫的，同時(shí)也對(duì)政務(wù)外網(wǎng)的安全性有了更高的要求。

二、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)概述

如何對(duì)國(guó)家電子政務(wù)外網(wǎng)的安全進(jìn)行有效的管理，如何保證利用政務(wù)外網(wǎng)開(kāi)展業(yè)務(wù)的應(yīng)用系統(tǒng)的安全性，是對(duì)負(fù)責(zé)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全的人員管理能力的一種考驗(yàn)。傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別管理，這樣導(dǎo)致安全信息分散、互不相通，安全策略難以保持一致。因此這種傳統(tǒng)的管理運(yùn)行方式成為許許多多安全隱患形成的根源，很難對(duì)國(guó)家電子政務(wù)外網(wǎng)進(jìn)行統(tǒng)一的、有效的安全管理。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（Security Operation Center，SOC）為電子政務(wù)外網(wǎng)制定統(tǒng)一安全策略、統(tǒng)一安全標(biāo)準(zhǔn)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一管理和監(jiān)控，保障電子政務(wù)外網(wǎng)安全、穩(wěn)定、高效地運(yùn)行，實(shí)現(xiàn)政務(wù)外網(wǎng)基于安全的互聯(lián)互通。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)實(shí)現(xiàn)了將不同位置、不同類型設(shè)備，不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，得出整個(gè)電子政務(wù)外網(wǎng)的全局安全風(fēng)險(xiǎn)事件，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理，從而保障電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)的真實(shí)性、完整性和保密性。

三、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)框架

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC)的主要思想是采用多種安全產(chǎn)品的Agent和安全控制中心，最大化地利用技術(shù)手段，在統(tǒng)一安全策略的指導(dǎo)下，將系統(tǒng)中的各個(gè)安全部件協(xié)同起來(lái)，實(shí)現(xiàn)對(duì)各種網(wǎng)絡(luò)安全資源的集中監(jiān)控、統(tǒng)一策略管理、智能審計(jì)及多種安全功能模塊之間的互動(dòng)，并且能夠在多個(gè)安全部件協(xié)同的基礎(chǔ)上實(shí)現(xiàn)實(shí)時(shí)監(jiān)控、安全事件預(yù)警、報(bào)表處理、統(tǒng)計(jì)分析、應(yīng)急響應(yīng)等功能，使得網(wǎng)絡(luò)安全管理工作由繁變簡(jiǎn)，更為有效。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）的體系架構(gòu)具備適應(yīng)性強(qiáng)（能夠適用于不同省級(jí)節(jié)點(diǎn)接入網(wǎng)絡(luò)和系統(tǒng)環(huán)境）、可擴(kuò)充性強(qiáng)、集中化安全管理等優(yōu)點(diǎn)，其框架體系主要是為了解決目前各類安全產(chǎn)品各自為陣、難以組成一個(gè)整體安全防御體系的問(wèn)題。真正的整體安全是在一個(gè)整體的安全策略下，安全產(chǎn)品、安全管理、安全服務(wù)以及管理制度相互協(xié)調(diào)的基礎(chǔ)上才能夠?qū)崿F(xiàn)。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）框架如圖1所示。

四、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的主要功能

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)為系統(tǒng)管理員和用戶提供對(duì)系統(tǒng)整體安全的監(jiān)管，它在整個(gè)政務(wù)外網(wǎng)體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的國(guó)家電子政務(wù)外網(wǎng)應(yīng)用體系緊密結(jié)合而實(shí)現(xiàn)無(wú)縫連接，以促成網(wǎng)絡(luò)安全與國(guó)家電子政務(wù)外網(wǎng)應(yīng)用的真正一體化。目前，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)基本實(shí)現(xiàn)了對(duì)國(guó)家電子政務(wù)外網(wǎng)中央城域網(wǎng)、廣域網(wǎng)骨干網(wǎng)的主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備和網(wǎng)絡(luò)承載的業(yè)務(wù)系統(tǒng)的安全事件的管理，并具備監(jiān)控、預(yù)警、響應(yīng)、審計(jì)追蹤等功能。

圖2描述了國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的功能框架。以下對(duì)其功能予以詳細(xì)闡述。

⒈統(tǒng)一管理

政務(wù)外網(wǎng)安全管理平臺(tái)（SOC）建立在安全設(shè)備部署的基礎(chǔ)之上，主要圍繞安全的預(yù)防、發(fā)現(xiàn)、反應(yīng)環(huán)節(jié)搭建，實(shí)現(xiàn)了安全預(yù)警、集中監(jiān)控、安全事件處理等更高層次的安全管理。這些建立在安全設(shè)備部署之上的安全管理包括：預(yù)防環(huán)節(jié)的安全預(yù)警信息通告，安全評(píng)估結(jié)果綜合分析的安全信息庫(kù)；發(fā)現(xiàn)環(huán)節(jié)的收集防火墻、入侵檢測(cè)、日志系統(tǒng)、防病毒系統(tǒng)中的有關(guān)安全事件，呈現(xiàn)安全告警的集中安全監(jiān)控系統(tǒng)；反應(yīng)環(huán)節(jié)的以電子流的方式，進(jìn)行安全事件處理流轉(zhuǎn)，保存安全事件處理經(jīng)驗(yàn)的安全事件運(yùn)行系統(tǒng)。

政務(wù)外網(wǎng)安全管理平臺(tái)（SOC)對(duì)各種安全產(chǎn)品的監(jiān)控和管理，可以利用各個(gè)安全子系統(tǒng)中已有的信息采集和控制機(jī)制來(lái)實(shí)現(xiàn)，也可以采用直接與安全設(shè)備交互的方式進(jìn)行，主要取決于各個(gè)安全子系統(tǒng)自身的構(gòu)架以及提供的管理接口。

⒉安全事件實(shí)時(shí)監(jiān)控與實(shí)時(shí)通報(bào)

網(wǎng)絡(luò)安全工作的本質(zhì)在于控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理是安全管理的核心。考察安全成本和安全威脅后果之間的關(guān)系，以可接受的成本來(lái)降低安全風(fēng)險(xiǎn)到可接受的水平。

國(guó)家電子政務(wù)外網(wǎng)上的各種安全設(shè)備和產(chǎn)品每天都要產(chǎn)生大量的各種安全事件。對(duì)這些事件的集中監(jiān)視是控制網(wǎng)絡(luò)風(fēng)險(xiǎn)、保證網(wǎng)絡(luò)業(yè)務(wù)正常運(yùn)行的重要手段。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)專注于整個(gè)政務(wù)外網(wǎng)安全相關(guān)事件的實(shí)時(shí)監(jiān)控，收集并匯總重大安全事件的數(shù)據(jù)（如：大規(guī)模蠕蟲(chóng)事件，重大攻擊事件等），進(jìn)行關(guān)聯(lián)性分析，全面提高對(duì)網(wǎng)絡(luò)事件的快速反應(yīng)能力；同時(shí)，將安全事件備份到后臺(tái)的數(shù)據(jù)庫(kù)中，以備查詢和生成安全運(yùn)行報(bào)告。

安全事件通報(bào)與業(yè)務(wù)系統(tǒng)、工作流緊密結(jié)合。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)在發(fā)現(xiàn)某政務(wù)外網(wǎng)業(yè)務(wù)系統(tǒng)內(nèi)出現(xiàn)安全事件后，還將及時(shí)把這些安全事件通知各業(yè)務(wù)系統(tǒng)的管理員以便及時(shí)予以處理。

⒊全網(wǎng)統(tǒng)一安全策略

對(duì)于電子政務(wù)外網(wǎng)的安全運(yùn)行維護(hù)，最具有挑戰(zhàn)性的莫過(guò)于保持全網(wǎng)策略的一致性。尤其是對(duì)于日新月異的網(wǎng)絡(luò)安全技術(shù)，需要經(jīng)常性頻繁應(yīng)對(duì)出現(xiàn)的新漏洞，根據(jù)新的業(yè)務(wù)調(diào)整安全策略。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)支持統(tǒng)一、集成的策略管理，包括策略的制定、分發(fā)和策略執(zhí)行情況的檢查。安全策略管理包括設(shè)備安全策略、事件響應(yīng)策略和全局安全策略等。

統(tǒng)一安全策略管理制訂全網(wǎng)的安全策略，這些策略文件可下發(fā)給各相關(guān)部門(mén)，通過(guò)直接（也可以手工）的方式進(jìn)行配置落實(shí)。策略的管理能夠通過(guò)全局策略的調(diào)整、業(yè)務(wù)的變化、各網(wǎng)管和部門(mén)反饋來(lái)的意見(jiàn)等情況，不斷調(diào)整、優(yōu)化安全策略。

⒋基于角色的安全事件可視化

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提供統(tǒng)一的安全管理，并為不同級(jí)別和性質(zhì)的管理員提供不同層次和性質(zhì)的管理視圖。由于電子政務(wù)外網(wǎng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)是一個(gè)復(fù)雜的分布式大規(guī)模網(wǎng)絡(luò)，因此核心層、分布層以及接入層的網(wǎng)絡(luò)管理員具有不同的職責(zé)。系統(tǒng)不但能夠提供運(yùn)行核心層的管理員對(duì)所有安全系統(tǒng)宏觀的管理視圖，也能夠?yàn)楦鞯刂饕獦I(yè)務(wù)網(wǎng)絡(luò)的管理員對(duì)自己管轄區(qū)域內(nèi)的安全設(shè)備和安全系統(tǒng)部件進(jìn)行區(qū)域自治管理，此外，還能夠通過(guò)安全管理平臺(tái)（SOC）對(duì)分布于整個(gè)網(wǎng)絡(luò)的某個(gè)安全子系統(tǒng)，進(jìn)行整體安全策略的發(fā)放和狀態(tài)監(jiān)測(cè)及管理。

安全管理平臺(tái)（SOC）根據(jù)需要設(shè)置可視化條件，實(shí)時(shí)在全網(wǎng)拓?fù)鋱D中顯示最重要的多組事件，包括設(shè)備名稱、事件定位、風(fēng)險(xiǎn)概況、脆弱性等信息（如圖3所示）。

⒌安全事件關(guān)聯(lián)分析

安全管理平臺(tái)（SOC）要對(duì)各個(gè)不同安全設(shè)備（入侵檢測(cè)、漏洞掃描、防火墻等）報(bào)告的安全信息進(jìn)行集中的數(shù)據(jù)挖掘和分析，進(jìn)行全局的相關(guān)性分析和報(bào)表顯示，以發(fā)現(xiàn)低級(jí)安全事件相關(guān)聯(lián)后表現(xiàn)出的高級(jí)安全事件，以及異常行為之間、漏洞和入侵之間的對(duì)應(yīng)關(guān)系，便于對(duì)攻擊的確認(rèn)和安全策略的調(diào)整。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)目前支持基于規(guī)則的關(guān)聯(lián)分析、基于統(tǒng)計(jì)的關(guān)聯(lián)分析和基于漏洞的關(guān)聯(lián)分析等3種形式。根據(jù)此關(guān)聯(lián)分析的功能，結(jié)合國(guó)家電子政務(wù)外網(wǎng)的業(yè)務(wù)應(yīng)用系統(tǒng)的事件特征，通過(guò)分析與制定安全域與業(yè)務(wù)安全控制策略和基于業(yè)務(wù)應(yīng)用的流程異常監(jiān)控，制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則，配合事件監(jiān)控、拓?fù)涔芾砑熬C合顯示等方面的內(nèi)容，從而實(shí)現(xiàn)國(guó)家電子政務(wù)外網(wǎng)業(yè)務(wù)安全監(jiān)控及追蹤功能的事件定位。

⒍宏觀分析與安全決策支持

安全管理平臺(tái)（SOC）應(yīng)支持對(duì)各安全設(shè)備上報(bào)的所有安全數(shù)據(jù)進(jìn)行宏觀統(tǒng)計(jì)、分析和決策支持。宏觀統(tǒng)計(jì)分析主要是在大量數(shù)據(jù)的基礎(chǔ)上，對(duì)安全事件進(jìn)行綜合分析，比如將攻擊信息和安全漏洞信息關(guān)聯(lián)起來(lái)，產(chǎn)生詳盡的安全報(bào)告，提供安全決策支持，強(qiáng)有力地支持全網(wǎng)安全事件的及時(shí)發(fā)現(xiàn)（檢測(cè)）、準(zhǔn)確定位（追蹤）、盡快處理（應(yīng)急響應(yīng)）、進(jìn)一步防范（預(yù)警）以及全網(wǎng)安全策略制定（策略）。國(guó)家電子政務(wù)外網(wǎng)運(yùn)行維護(hù)管理員根據(jù)宏觀分析提供的全局安全狀況和安全態(tài)勢(shì)信息，并結(jié)合電子政務(wù)外網(wǎng)的管理體系、人員管理規(guī)章制度、管理流程以及行政管理規(guī)定,為針對(duì)安全事件的處理決策提供支持。圖4、圖5展示了安全管理人員可以借助安全管理平臺(tái)展示的全方位安全信息對(duì)政務(wù)外網(wǎng)的安全態(tài)勢(shì)進(jìn)行宏觀把握，為決策提供支持。

⒎安全事件全局預(yù)警

對(duì)于像沖擊波、紅色代碼等危害較大的網(wǎng)絡(luò)蠕蟲(chóng)的較大規(guī)模入侵，從一個(gè)地區(qū)向另一地區(qū)滲透可能有一定的延時(shí)。在這段延時(shí)期間，安全管理平臺(tái)（SOC）有義務(wù)將這種警報(bào)到尚未受攻擊的區(qū)域中去，以起到提前布防的預(yù)警作用。

國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)接到的報(bào)警如果符合提前設(shè)定的全局預(yù)警范圍，則將其下發(fā)到非來(lái)源的省級(jí)政務(wù)網(wǎng)絡(luò)中心，結(jié)合報(bào)警信息轉(zhuǎn)發(fā)及上傳的功能，實(shí)現(xiàn)這一報(bào)警事件下發(fā)到所有省級(jí)政務(wù)外網(wǎng)結(jié)點(diǎn)（如圖6所示）。

⒏安全事件知識(shí)庫(kù)

為了實(shí)現(xiàn)安全事件的集中收集、記錄、審計(jì)和流程化處理（集中、分類、入庫(kù)、處理），共享最新安全知識(shí)，保證國(guó)家電子政務(wù)外網(wǎng)安全人才的儲(chǔ)備，安全管理平臺(tái)（SOC）建立安全事件知識(shí)庫(kù)。知識(shí)庫(kù)將國(guó)家電子政務(wù)外網(wǎng)各級(jí)安全管理平臺(tái)的安全管理信息收集起來(lái)，為國(guó)家電子政務(wù)外網(wǎng)各級(jí)安全維護(hù)人員形成統(tǒng)一的安全共享知識(shí)庫(kù)，以完成安全信息管理和WEB，主要實(shí)現(xiàn)安全管理信息、安全事件庫(kù)、安全策略配置庫(kù)、安全技術(shù)信息交流、處置預(yù)案庫(kù)、補(bǔ)丁庫(kù)、安全知識(shí)庫(kù)等欄目的信息管理和瀏覽。安全管理員可以通過(guò)安全知識(shí)庫(kù)的輔助工具學(xué)習(xí)，了解相關(guān)知識(shí)，輔助進(jìn)行運(yùn)維工作。圖7是一個(gè)安全知識(shí)庫(kù)的截屏。

五、國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的部署

根據(jù)國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的組成，政務(wù)外網(wǎng)安全管理平臺(tái)最終建成分層分級(jí)結(jié)構(gòu)：頂級(jí)為國(guó)家級(jí)安全管理平臺(tái)，第二級(jí)為省部級(jí)安全管理平臺(tái)，第三級(jí)為縣市級(jí)安全管理平臺(tái)。各級(jí)網(wǎng)絡(luò)安全管理中心負(fù)責(zé)對(duì)本級(jí)電子政務(wù)外網(wǎng)實(shí)施安全監(jiān)控和集中管理。上級(jí)網(wǎng)絡(luò)安全管理中心可對(duì)下級(jí)網(wǎng)絡(luò)安全管理中心進(jìn)行統(tǒng)一安全策略、運(yùn)行狀態(tài)監(jiān)控、安全信息收集等操作。下級(jí)網(wǎng)絡(luò)安全管理中心可接受上級(jí)網(wǎng)絡(luò)安全管理中心的安全預(yù)警信息。國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)整體部署如圖8所示。

在部署政務(wù)外網(wǎng)各級(jí)安全管理平臺(tái)過(guò)程中，涉及兩類下級(jí)安全管理平臺(tái)：一是新建的安全管理平臺(tái)，另一類是已建的安全管理平臺(tái)。對(duì)于新建的安全管理平臺(tái)在接入上級(jí)安全管理平臺(tái)時(shí)將在統(tǒng)一設(shè)計(jì)、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一技術(shù)規(guī)范、統(tǒng)一部署的原則下進(jìn)行建設(shè)，與上級(jí)安全管理平臺(tái)實(shí)現(xiàn)平滑和無(wú)縫對(duì)接。

部分電子政務(wù)建設(shè)比較好的省市，可能已建成安全管理平臺(tái)。在這種情況下，由于早期建設(shè)的安全管理平臺(tái)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，在管理對(duì)象、管理方式、協(xié)議支持等方面不盡相同，所以此類安全管理平臺(tái)不能直接與國(guó)家級(jí)安全管理平臺(tái)進(jìn)行對(duì)接。因此需要針對(duì)不同的安全管理平臺(tái)進(jìn)行調(diào)研和分析，本著最小改造的原則，為其增加設(shè)備，通過(guò)機(jī)制實(shí)現(xiàn)其與上級(jí)安全管理平臺(tái)的對(duì)接。

六、總結(jié)

目前，國(guó)家電子政務(wù)外網(wǎng)中央安全管理平臺(tái)的建設(shè)已基本建設(shè)完畢。通過(guò)幾個(gè)月的建設(shè)工作，安全管理平臺(tái)的實(shí)施為國(guó)家電子政務(wù)外網(wǎng)的安全運(yùn)轉(zhuǎn)提供了良好的保障。首先，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提升了信息安全事件的處理水平。因?yàn)榇罅康陌踩录ㄟ^(guò)安全管理平臺(tái)的過(guò)濾、歸并和排序后，降低到一個(gè)人工能夠處理的數(shù)量級(jí)。另外，安全管理平臺(tái)（SOC）自帶的專家知識(shí)庫(kù)能夠幫助平臺(tái)管理員正確地處理事件，減低了安全技術(shù)的門(mén)檻，為運(yùn)維人員提供了有力的技術(shù)支持。其次，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)提供了良好的可視化技術(shù)，用圖形化的方法向管理員展示了整個(gè)國(guó)家電子政務(wù)外網(wǎng)的安全整體狀況，便于管理員從宏觀上對(duì)全網(wǎng)的安全態(tài)勢(shì)進(jìn)行整體把握。

綜上所述，國(guó)家電子政務(wù)外網(wǎng)安全管理平臺(tái)的實(shí)施是針對(duì)政務(wù)網(wǎng)絡(luò)系統(tǒng)傳統(tǒng)管理方式的一種重大變革。它結(jié)合政務(wù)網(wǎng)絡(luò)自身的特點(diǎn)，將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過(guò)濾、收集和關(guān)聯(lián)分析，得出全局角度的安全態(tài)勢(shì)，并形成統(tǒng)一的安全決策對(duì)安全事件進(jìn)行響應(yīng)和處理。

作者簡(jiǎn)介：

郭紅，女，1966年生，漢族，北京人，高級(jí)工程師，國(guó)家信息中心網(wǎng)絡(luò)安全部處長(zhǎng)，研究方向：網(wǎng)絡(luò)安全。

王勇，男，1977年生，漢族，山東鄄城人，國(guó)家信息中心網(wǎng)絡(luò)安全部工程師，研究方向：網(wǎng)絡(luò)安全。

第3篇：如何制定網(wǎng)絡(luò)安全策略范文

論文關(guān)鍵詞：醫(yī)院信息系統(tǒng)　安全體系　網(wǎng)絡(luò)安　全數(shù)據(jù)安全

論文摘要：分析了目前威脅醫(yī)院網(wǎng)絡(luò)信息安全的各種因素結(jié)合網(wǎng)絡(luò)安全與管理工作的實(shí)踐，探討了構(gòu)建醫(yī)院信息安全防御體系的措施。

中國(guó)醫(yī)院信息化建設(shè)經(jīng)過(guò)20多年的發(fā)展歷程目前已經(jīng)進(jìn)入了一個(gè)高速發(fā)展時(shí)期。據(jù)2007年衛(wèi)生部統(tǒng)計(jì)信息中心對(duì)全國(guó)3765所醫(yī)院(其中：三級(jí)以上663家：三級(jí)以下31o2家)進(jìn)行信息化現(xiàn)狀調(diào)查顯示，超過(guò)80％的醫(yī)院建立了信息系統(tǒng)…。隨著信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，醫(yī)療和管理工作對(duì)信息系統(tǒng)的依賴性會(huì)越來(lái)越強(qiáng)。信息系統(tǒng)所承載的信息和服務(wù)安全性越發(fā)顯得重要。

1醫(yī)院信息安全現(xiàn)狀分析

隨著我們對(duì)信息安全的認(rèn)識(shí)不斷深入，目前醫(yī)院信息安全建設(shè)存在諸多問(wèn)題。

1．1信息安全策略不明確

醫(yī)院信息化工作的特殊性，對(duì)醫(yī)院信息安全提出了很高的要求。醫(yī)院信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程。有些醫(yī)院只注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu)沒(méi)有制定信息安全的中、長(zhǎng)期規(guī)劃，沒(méi)有根據(jù)自己的信息安全目標(biāo)制定符合醫(yī)院實(shí)際的安全管理策略，或者沒(méi)有根據(jù)網(wǎng)絡(luò)信息安全出現(xiàn)的一些新問(wèn)題，及時(shí)調(diào)整醫(yī)院的信息安全策略。這些現(xiàn)象的出現(xiàn)，使醫(yī)院信息安全產(chǎn)品不能得到合理的配置和適當(dāng)?shù)膬?yōu)化，不能起到應(yīng)有的作用。

1．2以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生，危害日益嚴(yán)重

病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問(wèn)題，已經(jīng)直接影響到醫(yī)院的正常運(yùn)營(yíng)。目前，多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)使用行為引起的。在醫(yī)院網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在；私設(shè)服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開(kāi)了大門(mén)，使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問(wèn)題。

1．3安全孤島現(xiàn)象嚴(yán)重

目前，在醫(yī)院網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)、應(yīng)用系統(tǒng)防護(hù)上雖然采取了防火墻等安全產(chǎn)品和硬件冗余等安全措施，但安全產(chǎn)品之間無(wú)法實(shí)現(xiàn)聯(lián)動(dòng)，安全信息無(wú)法挖掘，安全防護(hù)效果低，投資重復(fù)，存在一定程度的安全孤島現(xiàn)象。另外，安全產(chǎn)品部署不均衡，各個(gè)系統(tǒng)部署了多個(gè)安全產(chǎn)品，但在系統(tǒng)邊界存在安全空白，沒(méi)有形成縱深的安全防護(hù)。

1．4信息安全意識(shí)不強(qiáng)，安全制度不健全

從許多安全案例來(lái)看，很多醫(yī)院要么未制定安全管理制度，要么制定后卻得不到實(shí)施。醫(yī)院內(nèi)部員工計(jì)算機(jī)知識(shí)特別是信息安全知識(shí)和意識(shí)的缺乏是醫(yī)院信息化的一大隱患。加強(qiáng)對(duì)員工安全知識(shí)的培訓(xùn)刻不容緩。

2醫(yī)院信息安全防范措施

醫(yī)院信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，醫(yī)院信息安全應(yīng)該是安全策略、安全技術(shù)和安全管理的完美結(jié)合。

2．1安全策略

醫(yī)院信息系統(tǒng)～旦投入運(yùn)行，其數(shù)據(jù)安全問(wèn)題就成為系統(tǒng)能否持續(xù)正常運(yùn)行的關(guān)鍵。作為一個(gè)聯(lián)機(jī)事務(wù)系統(tǒng)，一些大中型醫(yī)院要求每天二十四小時(shí)不問(wèn)斷運(yùn)行，如門(mén)診掛號(hào)、收費(fèi)、檢驗(yàn)等系統(tǒng)，不能有太長(zhǎng)時(shí)間的中斷，也絕對(duì)不允許數(shù)據(jù)丟失，稍有不慎就會(huì)造成災(zāi)難性后果和巨大損失醫(yī)院信息系統(tǒng)在醫(yī)院各部門(mén)的應(yīng)用，使得各類信息越來(lái)越集中，構(gòu)成醫(yī)院的數(shù)據(jù)、信息中心，如何合理分配訪問(wèn)權(quán)限，控制信息泄露以及惡意的破壞等信息的訪問(wèn)控制尤其重要：pacs系統(tǒng)的應(yīng)用以及電子病歷的應(yīng)用，使得醫(yī)學(xué)數(shù)據(jù)量急劇膨脹，數(shù)據(jù)多樣化，以及數(shù)據(jù)安全性、實(shí)時(shí)性的要求越來(lái)越高，要求醫(yī)院信息系統(tǒng)(his)必須具有高可用性，完備可靠的數(shù)據(jù)存儲(chǔ)、備份。醫(yī)院要根據(jù)自身網(wǎng)絡(luò)的實(shí)際情況確定安全管理等級(jí)和安全管理范圍，制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等，建立適合自身的網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)信息安全是一個(gè)整體的問(wèn)題，需要從管理與技術(shù)相結(jié)合的高度，制定與時(shí)俱進(jìn)的整體管理策略，并切實(shí)認(rèn)真地實(shí)施這些策略，才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

在網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)遵循輪回機(jī)制考慮以下五個(gè)方面的內(nèi)容：制定統(tǒng)一的安全策略、購(gòu)買相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時(shí)可采取安全措施)、主動(dòng)測(cè)試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略。

2．2安全管理

從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，加強(qiáng)安全培訓(xùn)，增強(qiáng)醫(yī)務(wù)人員的安全防范意識(shí)以及制定網(wǎng)絡(luò)安全應(yīng)急方案等。

2．2．1安全機(jī)構(gòu)建設(shè)。設(shè)立專門(mén)的信息安全領(lǐng)導(dǎo)小組，明確主要領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和信息科的相應(yīng)責(zé)任職責(zé)，嚴(yán)格落實(shí)信息管理責(zé)任l。領(lǐng)導(dǎo)小組應(yīng)不定期的組織信息安全檢查和應(yīng)急安全演練。

2．2．2安全隊(duì)伍建設(shè)。通過(guò)引進(jìn)、培訓(xùn)等渠道，建設(shè)一支高水平、穩(wěn)定的安全管理隊(duì)伍，是醫(yī)院信息系統(tǒng)能夠正常運(yùn)行的保證。

2．2．3安全制度建設(shè)。建立一整套切實(shí)可行的安全制度，包括：物理安全、系統(tǒng)與數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、運(yùn)行安全和信息安全等各方面的規(guī)章制度，確保醫(yī)療工作有序進(jìn)行。

2．2．4應(yīng)急預(yù)案的制定與應(yīng)急演練

依據(jù)醫(yī)院業(yè)務(wù)特點(diǎn)，以病人的容忍時(shí)間為衡量指標(biāo)，建立不同層面、不同深度的應(yīng)急演練。定期人為制造“故障點(diǎn)”，進(jìn)行在線的技術(shù)性的分段應(yīng)急演練和集中應(yīng)急演練。同時(shí)信息科定期召開(kāi)“系統(tǒng)安全分析會(huì)”。從技術(shù)層面上通過(guò)數(shù)據(jù)挖掘等手段，分析信息系統(tǒng)的歷史性能數(shù)據(jù)，預(yù)測(cè)信息系統(tǒng)的運(yùn)轉(zhuǎn)趨勢(shì)，提前優(yōu)化系統(tǒng)結(jié)構(gòu)，從而降低信息系統(tǒng)出現(xiàn)故障的概率；另一方面，不斷總結(jié)信息系統(tǒng)既往故障和處理經(jīng)驗(yàn)，不斷調(diào)整技術(shù)安全策略和團(tuán)隊(duì)?wèi)?yīng)急處理能力，確保應(yīng)急流程的時(shí)效性和可用性。不斷人為制造“故障點(diǎn)”不僅是對(duì)技術(shù)架構(gòu)成熟度的考驗(yàn)，而且還促進(jìn)全員熟悉應(yīng)急流程，提高應(yīng)急處理能力，實(shí)現(xiàn)了技術(shù)和非技術(shù)的完美結(jié)合。

2．3安全技術(shù)

從安全技術(shù)實(shí)施上，要進(jìn)行全面的安全漏洞檢測(cè)和分析，針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案。

2．3．1冗余技術(shù)

醫(yī)院信息網(wǎng)絡(luò)由于運(yùn)行整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)，需要保證網(wǎng)絡(luò)的正常運(yùn)行，不因網(wǎng)絡(luò)的故障或變化引起醫(yī)院業(yè)務(wù)的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，應(yīng)充分考慮可靠性。網(wǎng)絡(luò)的可靠性通過(guò)冗余技術(shù)實(shí)現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。

2．3．2建立安全的數(shù)據(jù)中心

醫(yī)療系統(tǒng)的數(shù)據(jù)類型豐富，在不斷的對(duì)數(shù)據(jù)進(jìn)行讀取和存儲(chǔ)的同時(shí)，也帶來(lái)了數(shù)據(jù)丟失，數(shù)據(jù)被非法調(diào)用，數(shù)據(jù)遭惡意破壞等安全隱患。為了保證系統(tǒng)數(shù)據(jù)的安全，建立安全可靠的數(shù)據(jù)中心，能夠很有效的杜絕安全隱患，加強(qiáng)醫(yī)療系統(tǒng)的數(shù)據(jù)安全等級(jí)，保證各個(gè)醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn)，確保病患的及時(shí)信息交互。融合的醫(yī)療系統(tǒng)數(shù)據(jù)中心包括了數(shù)據(jù)交換、安全防護(hù)、數(shù)據(jù)庫(kù)、存儲(chǔ)、服務(wù)器集群、災(zāi)難備份／恢復(fù)，遠(yuǎn)程優(yōu)化等各個(gè)組件。

2．3．3加強(qiáng)客戶機(jī)管理

醫(yī)院信息的特點(diǎn)是分散處理、高度共享，用戶涉及醫(yī)生、護(hù)士、醫(yī)技人員和行政管理人員，因此需要制定一套統(tǒng)一且便于管理的客戶機(jī)管理方案。通過(guò)設(shè)定不同的訪問(wèn)權(quán)限，加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制的安全措施，控制用戶對(duì)特定數(shù)據(jù)的訪問(wèn)，使每個(gè)用戶在整個(gè)系統(tǒng)中具有唯一的帳號(hào)，限定各用戶一定級(jí)別的訪問(wèn)權(quán)限，如對(duì)系統(tǒng)盤(pán)符讀寫(xiě)、光驅(qū)訪問(wèn)、usb口的訪問(wèn)、更改注冊(cè)表和控制面板的限制等。同時(shí)捆綁客戶機(jī)的ip與mac地址以防用戶隨意更改ip地址和隨意更換網(wǎng)絡(luò)插口等惡意行為，檢查用戶終端是否安裝了信息安全部門(mén)規(guī)定的安全軟件、防病毒軟件以及漏洞補(bǔ)丁等，從而阻止非法用戶和非法軟件入網(wǎng)以確保只有符合安全策略規(guī)定的終端才能連入醫(yī)療網(wǎng)絡(luò)。

2．3．4安裝安全監(jiān)控系統(tǒng)

安全監(jiān)控系統(tǒng)可充分利用醫(yī)院現(xiàn)有的網(wǎng)絡(luò)和安全投資，隨時(shí)監(jiān)控和記錄各個(gè)終端以及網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，識(shí)別、隔離被攻擊的組件。與此同時(shí)，它可以強(qiáng)化行為管理，對(duì)各種網(wǎng)絡(luò)行為和操作進(jìn)行實(shí)施監(jiān)控，保持醫(yī)院內(nèi)部安全策略的符合性。

2．3．5物理隔離

根據(jù)物理位置、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等劃分安全區(qū)域，不同的區(qū)域之間進(jìn)行物理隔離。封閉醫(yī)療網(wǎng)絡(luò)中所有對(duì)外的接口，防止黑客、外部攻擊、避免病毒的侵入。

第4篇：如何制定網(wǎng)絡(luò)安全策略范文

一、企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況概述

企業(yè)網(wǎng)絡(luò)是在企業(yè)范圍內(nèi)，在一定的思想和理論指導(dǎo)下，為企業(yè)提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。隨著我國(guó)各地企業(yè)網(wǎng)數(shù)量的迅速增加，如何實(shí)現(xiàn)企業(yè)網(wǎng)之間資源共享、信息交流和協(xié)同工作以及保證企業(yè)網(wǎng)絡(luò)安全的要求是越來(lái)越強(qiáng)烈。與其它網(wǎng)絡(luò)一樣，企業(yè)網(wǎng)也同樣面臨著各種各樣的網(wǎng)絡(luò)安全問(wèn)題。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過(guò)程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在”重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)絡(luò)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問(wèn)題，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩，并且逐漸引起了各方面的重視。

由于Internet上存在各種各樣不可預(yù)知的風(fēng)險(xiǎn)，網(wǎng)絡(luò)入侵者可以通過(guò)多種方式攻擊內(nèi)部網(wǎng)絡(luò)。此外，由于企業(yè)網(wǎng)用戶網(wǎng)絡(luò)安全尚欠缺，很少考慮實(shí)際存在的風(fēng)險(xiǎn)和低效率，很少學(xué)習(xí)防范病毒、漏洞修復(fù)、密碼管理、信息保密的必備知識(shí)以及防止人為破壞系統(tǒng)和篡改敏感數(shù)據(jù)的有關(guān)技術(shù)。

因此，在設(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)網(wǎng)絡(luò)通訊進(jìn)行有效的過(guò)濾，使必要的服務(wù)請(qǐng)求到達(dá)主機(jī)，對(duì)不必要的訪問(wèn)請(qǐng)求加以拒絕。

二、企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)與構(gòu)建

網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程。網(wǎng)絡(luò)安全體系不是一勞永逸地能夠防范任何攻擊的完美系統(tǒng)。人們力圖建立的是一個(gè)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)體系，是動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防御甚至抗擊，是管理加技術(shù)的完整安全觀念。但企業(yè)網(wǎng)絡(luò)安全問(wèn)題不是在網(wǎng)絡(luò)中加一個(gè)防火墻就能解決的問(wèn)題，需要有一個(gè)科學(xué)、系統(tǒng)、全面的網(wǎng)絡(luò)安全結(jié)構(gòu)體系。

（一）企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)

企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的目標(biāo)是使在企業(yè)網(wǎng)絡(luò)中信息的采集、存儲(chǔ)、處理、傳播和運(yùn)用過(guò)程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保護(hù)的一種狀態(tài)。在網(wǎng)絡(luò)上傳遞的信息沒(méi)有被故意的或偶然的非法授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制，網(wǎng)絡(luò)信息的保密性、完整性、可用性、可控性得到良好保護(hù)的狀態(tài)。

（二）企業(yè)網(wǎng)防火墻的部署

1.安全策略。所有的數(shù)據(jù)包都必須經(jīng)過(guò)防火墻;只有被允許的數(shù)據(jù)包才能通過(guò)防火墻;防火墻本身要有預(yù)防入侵的功能;默認(rèn)禁止所有的服務(wù)，除非是必須的服務(wù)才被允許。

2.系統(tǒng)設(shè)計(jì)。在互聯(lián)網(wǎng)與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)硬件防火墻，在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WEB、E一mail、FTP等服務(wù)器放置在防火墻的DMZ區(qū)(即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信以保證內(nèi)網(wǎng)安全)，與內(nèi)網(wǎng)和外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)，外網(wǎng)口通過(guò)電信網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接。

3.入侵檢測(cè)系統(tǒng)的設(shè)計(jì)和部署。入侵檢測(cè)系統(tǒng)主要檢測(cè)對(duì)網(wǎng)絡(luò)系統(tǒng)各主要運(yùn)營(yíng)環(huán)節(jié)的實(shí)時(shí)入侵，在企業(yè)網(wǎng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間設(shè)置瑞星RIDS一100入侵檢測(cè)系統(tǒng)，與防火墻并行的接入網(wǎng)絡(luò)中，監(jiān)測(cè)來(lái)自互聯(lián)網(wǎng)、企業(yè)網(wǎng)內(nèi)部的攻擊行為。發(fā)現(xiàn)入侵行為時(shí)，及時(shí)通知防火墻阻斷攻擊源。

4.企業(yè)網(wǎng)絡(luò)安全體系實(shí)施階段。

第一階段：基本安全需求。第一階段的目標(biāo)是利用已有的技術(shù)，首先滿足企業(yè)網(wǎng)最迫切的安全需求，所涉及到的安全內(nèi)容有：

①滿足設(shè)備物理安全

②VLAN與IP地址的規(guī)劃與實(shí)施

③制定相關(guān)安全策略

④內(nèi)外網(wǎng)隔離與訪問(wèn)控制

⑤內(nèi)網(wǎng)自身病毒防護(hù)

⑥系統(tǒng)自身安全

⑦相關(guān)制度的完善

第二階段：較高的安全需求。這一階段的目標(biāo)是在完成第一階段安全需求的前提下，全面實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)的安全需求。所涉及的安全內(nèi)容有：

①入侵檢測(cè)與保護(hù)

②身份認(rèn)證與安全審計(jì)

③流量控制

④內(nèi)外網(wǎng)病毒防護(hù)與控制

⑤動(dòng)態(tài)調(diào)整安全策略

第5篇：如何制定網(wǎng)絡(luò)安全策略范文

【關(guān)鍵詞】主機(jī)；安全防護(hù)；研究

中圖分類號(hào)：C35文獻(xiàn)標(biāo)識(shí)碼： A

一、前言

近年來(lái)，主機(jī)安全防護(hù)技術(shù)引起了人們的關(guān)注。主機(jī)安全對(duì)網(wǎng)絡(luò)數(shù)據(jù)起著非常重要的作用。在新時(shí)期下，我們要加大對(duì)主機(jī)安全防護(hù)技術(shù)的研究與實(shí)現(xiàn)，確保數(shù)據(jù)庫(kù)的安全。

二、主機(jī)安全防護(hù)的必要性

近年來(lái)，有關(guān)主機(jī)的安全事故不斷出現(xiàn),因此，高度重視主機(jī)安全防護(hù)很有必要。但一直以來(lái)，國(guó)內(nèi)數(shù)據(jù)庫(kù)產(chǎn)業(yè)化發(fā)展緩慢，市場(chǎng)份額中較大一部分被國(guó)外大型數(shù)據(jù)庫(kù)企業(yè)占有。這對(duì)于國(guó)內(nèi)用戶而言，信息的安全性、穩(wěn)定性等方面都會(huì)受到威脅。由此，用戶希望通過(guò)自主安全防護(hù)來(lái)加強(qiáng)系統(tǒng)的安全性。但出于商業(yè)利益及其他緣由，國(guó)外企業(yè)對(duì)安全技術(shù)進(jìn)行嚴(yán)格封鎖，只提供針對(duì)特定數(shù)據(jù)庫(kù)的安全措施，很少提供公開(kāi)調(diào)用的內(nèi)核接口，這些舉措都降低了安全防護(hù)的靈活性，加大了自主安全保護(hù)的技術(shù)難度。此外，應(yīng)用需求正變得越來(lái)越復(fù)雜，對(duì)數(shù)據(jù)庫(kù)安全防護(hù)配置的靈活性以及獨(dú)立性的要求也在提高。面對(duì)這些問(wèn)題，目前的主機(jī)系統(tǒng)自帶的安全防護(hù)配置方式已不能勝任，如何提出一個(gè)靈活獨(dú)立的安全防護(hù)系統(tǒng)迫在眉睫。

三、網(wǎng)絡(luò)安全常見(jiàn)的攻擊手段

1、針對(duì)網(wǎng)絡(luò)通信進(jìn)程的攻擊手段

網(wǎng)絡(luò)平臺(tái)為不同地域、空間的人們創(chuàng)設(shè)了共享交流的平臺(tái)．當(dāng)人們通過(guò)網(wǎng)絡(luò)進(jìn)行通信聯(lián)絡(luò)交流時(shí)，倘若不應(yīng)用有效的保密防護(hù)措施，同樣位于網(wǎng)絡(luò)中的其他人員便有可能偷聽(tīng)或獲取到通信內(nèi)容。該類竊取信息內(nèi)容的攻擊方式主要通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)信息進(jìn)行監(jiān)聽(tīng)進(jìn)而獲取相關(guān)通信內(nèi)容。網(wǎng)絡(luò)黑客常常利用該類監(jiān)聽(tīng)手段對(duì)其想要獲取信息的對(duì)象展開(kāi)攻擊，竊取用戶賬號(hào)、網(wǎng)址或密碼，進(jìn)而引發(fā)各類重要安全保密信息的不良泄漏。掃描攻擊主要由入侵人員借助諸如sniffer等具有嗅探功能的程序進(jìn)行網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)的掃描，發(fā)掘其中蘊(yùn)含的安全漏洞，例如嗅探操作應(yīng)用系統(tǒng)的主體類型、IP地址、具體開(kāi)放了何種TCP端口、口令信息、系統(tǒng)用戶名等內(nèi)容，進(jìn)而采用相應(yīng)攻擊手段、程序?qū)嵤?duì)內(nèi)網(wǎng)的不良攻擊。

2、針對(duì)網(wǎng)絡(luò)系統(tǒng)自身的攻擊手段

排除通信過(guò)程中相關(guān)信息安全問(wèn)題外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身也會(huì)受到一些不良惡意程序的威脅攻擊，例如病毒攻擊、木馬、蠕蟲(chóng)攻擊、邏輯炸彈攻擊等。入侵人員通過(guò)向網(wǎng)絡(luò)系統(tǒng)大量發(fā)送ping包進(jìn)而對(duì)重要的內(nèi)網(wǎng)服務(wù)器展開(kāi)攻擊，令系統(tǒng)服務(wù)器長(zhǎng)期處于超負(fù)荷工作狀態(tài)進(jìn)而拒絕相關(guān)服務(wù)甚至出現(xiàn)系統(tǒng)癱瘓問(wèn)題。許多單位內(nèi)部員工出于各類不滿情緒也會(huì)人為上傳許多破壞程序，并有可能對(duì)公司內(nèi)網(wǎng)安全造成不良威脅。另外入侵者還可通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)發(fā)送不良電子郵件，或單位內(nèi)部人員可通過(guò)投放病毒程序、軟件令主機(jī)系統(tǒng)受到感染，并借助網(wǎng)絡(luò)系統(tǒng)傳播功能令公司整體網(wǎng)絡(luò)的持續(xù)服務(wù)與正常運(yùn)行受到不同程度的影響，還有可能令整體網(wǎng)絡(luò)系統(tǒng)被不良破壞。

四、主機(jī)安全應(yīng)用程序與路由交換設(shè)備聯(lián)動(dòng)

1、通過(guò)內(nèi)網(wǎng)主機(jī)安全應(yīng)用程序與內(nèi)網(wǎng)路由交換設(shè)備之間的聯(lián)動(dòng)，可以實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)在每次聯(lián)入網(wǎng)絡(luò)前都必須先檢查其安全防護(hù)措施是否足夠(如安全軟件是否運(yùn)行，病毒特征庫(kù)/入侵檢測(cè)特征庫(kù)是否及時(shí)升級(jí)等)。如果請(qǐng)求連接的內(nèi)網(wǎng)主機(jī)達(dá)到安全級(jí)別標(biāo)準(zhǔn)，內(nèi)網(wǎng)路由交換設(shè)備才將其動(dòng)態(tài)接入上網(wǎng)；如果沒(méi)有達(dá)到要求的安全級(jí)別標(biāo)準(zhǔn)，則將其強(qiáng)制接入一個(gè)設(shè)定的免疫網(wǎng)段，自動(dòng)執(zhí)行相關(guān)的免疫程序和操作，然后再重復(fù)上述流程，直至最后滿足條件，由內(nèi)網(wǎng)路由交換設(shè)備接續(xù)上網(wǎng)這種聯(lián)動(dòng)控制機(jī)制類似于人類社會(huì)抵抗嚴(yán)重的傳染疾病所采取免疫機(jī)制，人人必須強(qiáng)制接種疫苗形成抗體。因此，我們將這種聯(lián)動(dòng)機(jī)制稱之為“免疫認(rèn)證”。

2、主機(jī)安全應(yīng)用程序與內(nèi)網(wǎng)路由交換設(shè)備的聯(lián)動(dòng)基于標(biāo)準(zhǔn)的802．1x網(wǎng)絡(luò)身份認(rèn)證協(xié)議，它在通常的802．1X用戶名/密碼驗(yàn)證過(guò)程中加入了主機(jī)完整性檢測(cè)過(guò)程。整個(gè)系統(tǒng)由策略管理服務(wù)器、交換機(jī)強(qiáng)制認(rèn)證網(wǎng)關(guān)、主機(jī)安全和認(rèn)證服務(wù)器組成，其功能如下：

(1)策略管理服務(wù)器：它負(fù)責(zé)管理安全策略的制定。修改和分發(fā)，同時(shí)管理服務(wù)器還管理和維護(hù)網(wǎng)絡(luò)中的安全客戶，使得管理員能夠?qū)Σ煌挠脩魧?shí)施不同的安全策略。用來(lái)生成及配置網(wǎng)絡(luò)安全及強(qiáng)制策略，管理用戶和計(jì)算機(jī)群組。

(2)安全：運(yùn)行在網(wǎng)絡(luò)的每一網(wǎng)主機(jī)之上，負(fù)責(zé)收集客戶端信息、認(rèn)知用戶的網(wǎng)絡(luò)行為、監(jiān)控客戶機(jī)的網(wǎng)絡(luò)通訊和安全狀態(tài)并將收集到的信息發(fā)送到策略管理服務(wù)器，以便管理員針對(duì)性地制定安全策略。同時(shí)安全也將自動(dòng)地從策略管理服務(wù)器中下載新的安全策略并在本地執(zhí)行指定的安全策略。

(3)交換機(jī)強(qiáng)制認(rèn)證網(wǎng)關(guān)：即802.1x認(rèn)證交換機(jī)。與策略服務(wù)器一起，負(fù)責(zé)認(rèn)證網(wǎng)絡(luò)客戶端的主機(jī)完整性，它將檢查網(wǎng)絡(luò)客戶機(jī)是否安裝和運(yùn)行了安全，安全是否正確的執(zhí)行了企業(yè)所制定的安全策略，并根據(jù)檢查結(jié)果決定是否允許客戶端訪問(wèn)內(nèi)部網(wǎng)絡(luò)的資源。

五、主機(jī)安全防護(hù)技術(shù)的實(shí)現(xiàn)

USAMS的系統(tǒng)模型與總體設(shè)計(jì)

1、USAMS的系統(tǒng)模型

USAMS的系統(tǒng)模型如圖1所示。

2、USAMS中的主機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)

（1）基于主機(jī)的入侵檢測(cè)技術(shù)HIDS

USAMS采用HIDS實(shí)現(xiàn)對(duì)主機(jī)的保護(hù)。HIDS能實(shí)時(shí)監(jiān)視可疑的連接、檢查系統(tǒng)日志、監(jiān)視非法訪問(wèn)和典型應(yīng)用。還可以針對(duì)不同操作系統(tǒng)的特點(diǎn)判斷應(yīng)用層的入侵事件，對(duì)系統(tǒng)屬性、文件屬性、敏感數(shù)據(jù)、攻擊進(jìn)程結(jié)果進(jìn)行監(jiān)控。它能夠精確地判斷入侵事件，并對(duì)入侵事件迅速做出反應(yīng)，結(jié)合主機(jī)上的包過(guò)濾功能模塊切斷來(lái)自可疑地址的網(wǎng)絡(luò)連接。為了盡可能地減少入侵行為發(fā)生的機(jī)會(huì)，主機(jī)實(shí)行嚴(yán)格的訪問(wèn)控制，其安全規(guī)則結(jié)合了網(wǎng)絡(luò)特性和操作系統(tǒng)特性，做到不同用戶在不同時(shí)間地點(diǎn)對(duì)資源擁有不同的訪問(wèn)權(quán)限。

HIDS運(yùn)行在被保護(hù)的主機(jī)上，監(jiān)視其安全日志、文件系統(tǒng)、進(jìn)程狀態(tài)等信息，一旦發(fā)現(xiàn)異常或可疑操作，即形成新的日志記錄，并與預(yù)定的攻擊特征或入侵邏輯相匹配。如匹配上，HIDS就會(huì)向管理員發(fā)出人侵警報(bào)或采取其他相應(yīng)的操作對(duì)此做出反應(yīng)。

（2）基于多級(jí)安全策略的訪問(wèn)控制PBMAC

USAMS將網(wǎng)絡(luò)訪問(wèn)控制和系統(tǒng)訪問(wèn)控制的特性結(jié)合起來(lái)，實(shí)現(xiàn)嚴(yán)格的、細(xì)粒度的訪問(wèn)控制。網(wǎng)絡(luò)訪問(wèn)控制屬性有：源IP地址、源端口、目的IP地址、目的端口等。系統(tǒng)訪問(wèn)控制(以文件系統(tǒng)為例)屬性有：用戶、組、資源(文件)、權(quán)限等。再加上對(duì)用戶使用時(shí)間段(起、止時(shí)間)的限制，制定相應(yīng)的安全規(guī)則，以實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制。

USAMS針對(duì)目前流行的主機(jī)操作系統(tǒng)只有系統(tǒng)管理員和用戶兩種角色，增加了安全管理員這一角色。安全管理員進(jìn)行管理時(shí)以安全策略為核心，通過(guò)USAMS管理加入系統(tǒng)的主機(jī)群，負(fù)責(zé)各分布主機(jī)的安全管理。系統(tǒng)管理員是各主機(jī)具有系統(tǒng)管理權(quán)限的管理者，負(fù)責(zé)主機(jī)系統(tǒng)的維護(hù)和管理，用戶是指主機(jī)的普通用戶。USAMS以新的網(wǎng)絡(luò)安全模型P2DR為基礎(chǔ)，實(shí)現(xiàn)PBMAC。安全管理員的管理界面是策略管理界面，安全管理員可以通過(guò)該界面對(duì)被保護(hù)主機(jī)的安全策略進(jìn)行配置和修改。

3、USAMS的系統(tǒng)實(shí)現(xiàn)

USAMS已經(jīng)實(shí)現(xiàn)了一個(gè)審計(jì)管理軟件應(yīng)具備的幾種功能，即：系統(tǒng)安全策略配置、在線審計(jì)用戶的行為、實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)、細(xì)粒度的用戶訪問(wèn)控制、事后的審計(jì)及系統(tǒng)漏洞的檢測(cè)。特別是用戶身份認(rèn)證和訪問(wèn)控制策略，已經(jīng)實(shí)現(xiàn)了用戶基于IP和時(shí)間段的登錄及系統(tǒng)資源的使用，達(dá)到了系統(tǒng)設(shè)計(jì)所要求的各項(xiàng)性能指標(biāo)，基本解決了局域網(wǎng)內(nèi)的主機(jī)系統(tǒng)存在的問(wèn)題。USAMS已在IRIX系統(tǒng)上實(shí)現(xiàn)了對(duì)多臺(tái)SGI工作站的安全防護(hù)，正處在試運(yùn)行階段，目前運(yùn)行情況良好。具有管理的便利性、及時(shí)的更新性、靈活的可定制性、有特色的使用時(shí)間控制、方便有效的權(quán)限管理、健壯的體系結(jié)構(gòu)、完善的管理框架等特點(diǎn)。

六、結(jié)束語(yǔ)

綜上可知，主機(jī)安全防護(hù)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的重要性。因此，我們要加強(qiáng)對(duì)主機(jī)安全防護(hù)技術(shù)的重視。

參考文獻(xiàn)

第6篇：如何制定網(wǎng)絡(luò)安全策略范文

一、常見(jiàn)安全威脅

在企業(yè)中，威脅交換機(jī)端口的行為比較多，總結(jié)一下有如下情形：

一是未經(jīng)授權(quán)的用戶主機(jī)隨意連接到企業(yè)的網(wǎng)絡(luò)中。如員工從自己家里拿來(lái)一臺(tái)電腦，可以在不經(jīng)管理員同意的情況下，拔下某臺(tái)主機(jī)的網(wǎng)線，插在自己帶來(lái)的電腦上，然后連入到企業(yè)的網(wǎng)絡(luò)中。這會(huì)帶來(lái)很大的安全隱患。如員工帶來(lái)的電腦可能本身就帶有病毒，從而使得病毒通過(guò)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行傳播。或者非法復(fù)制企業(yè)內(nèi)部的資料等等。

二是未經(jīng)批準(zhǔn)采用集線器等設(shè)備。有些員工為了增加網(wǎng)絡(luò)終端的數(shù)量。會(huì)在未經(jīng)授權(quán)的情況下，將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上。如此的話，會(huì)導(dǎo)致這個(gè)網(wǎng)絡(luò)接口對(duì)應(yīng)的交換機(jī)接口流量增加，從而導(dǎo)致網(wǎng)絡(luò)性能的下降。在企業(yè)網(wǎng)絡(luò)日常管理中，這也是經(jīng)常遇到的一種危險(xiǎn)的行為。

在日常工作中，筆者發(fā)現(xiàn)不少網(wǎng)絡(luò)管理員對(duì)于交換機(jī)端口的安全性不怎么重視。這是他們網(wǎng)絡(luò)安全管理中的一個(gè)盲區(qū)。他們對(duì)此有一個(gè)錯(cuò)誤的認(rèn)識(shí)。以為交換機(jī)鎖在機(jī)房里，不會(huì)出大問(wèn)題。或者說(shuō)。只是將網(wǎng)絡(luò)安全的重點(diǎn)放在防火墻等軟件上，而忽略了交換機(jī)端口等硬件的安全。這是非常致命的。

二、主要的應(yīng)對(duì)措施

從以上的分析中可以看出，企業(yè)現(xiàn)在交換機(jī)端口的安全環(huán)境非常的薄弱。在這種情況下，該如何來(lái)加強(qiáng)端口的安全性呢?如何才能夠阻止非授權(quán)用戶的主機(jī)連入到交換機(jī)的端口上呢?如何才能夠防止未經(jīng)授權(quán)的用戶將集線器、交換機(jī)等設(shè)備插入到辦公室的網(wǎng)絡(luò)接口上呢?對(duì)此筆者有如下幾個(gè)建議：

一是從意識(shí)上要加以重視。筆者認(rèn)為，首先各位網(wǎng)絡(luò)管理員從意識(shí)上要對(duì)此加以重視。特別是要消除輕硬件、重軟件這個(gè)錯(cuò)誤的誤區(qū)。在實(shí)際工作中，要建立一套合理的安全規(guī)劃。如對(duì)于交換機(jī)的端口，要制定一套合理的安全策略，包括是否要對(duì)接入交換機(jī)端口的MAC地址與主機(jī)數(shù)量進(jìn)行限制等等。安全策略制定完之后，再進(jìn)行嚴(yán)格的配置。如此的話，就走完了交換機(jī)端口安全的第一步。根據(jù)交換機(jī)的工作原理，在系統(tǒng)中會(huì)有一個(gè)轉(zhuǎn)發(fā)過(guò)濾數(shù)據(jù)庫(kù)，會(huì)保存MAC地址等相關(guān)的信息。而通過(guò)交換機(jī)的端口安全策略，可以確保只有授權(quán)的用戶才能夠接入到交換機(jī)特定的端口中。為此只要網(wǎng)絡(luò)管理員有這個(gè)心。其實(shí)完全有能力來(lái)保障交換機(jī)的端口安全。

二是從技術(shù)角度來(lái)提高端口的安全性。如比較常用的一種手段是某個(gè)特定的交換機(jī)端口只能夠連接某臺(tái)特定的主機(jī)。如現(xiàn)在用戶從家里拿來(lái)了一臺(tái)筆記本電腦，將自己原先公司的網(wǎng)線接入到這臺(tái)筆記本電腦中，會(huì)發(fā)現(xiàn)無(wú)法連入到企業(yè)的網(wǎng)絡(luò)中。這是因?yàn)閮膳_(tái)電腦的MAC地址不同而造成的。因?yàn)樵诮粨Q機(jī)的這個(gè)端口中，有一個(gè)限制條件。只有特定的IP地址才可以通過(guò)這個(gè)端口連入到網(wǎng)絡(luò)中。如果主機(jī)變更了，還需要讓其允許連接這個(gè)端口的話，那么就需要重新調(diào)整交換機(jī)的MAC地址設(shè)置。這種手段的好處就是可以控制，只有授權(quán)的主機(jī)才能夠連接到交換機(jī)特定的端口中，未經(jīng)授權(quán)的用戶無(wú)法進(jìn)行連接。而缺陷就是配置的工作量會(huì)比較大，在初期的時(shí)候。需要為每個(gè)交換機(jī)的端口進(jìn)行配置。如果后續(xù)主機(jī)有調(diào)整或者網(wǎng)卡有更換的話(如最近打雷損壞的網(wǎng)卡特別多)，那么需要重新配置。這就會(huì)導(dǎo)致后續(xù)工作量的增加。如果需要進(jìn)行這個(gè)MAC地址限制的話，可以通過(guò)使用命令switchport port-security mac-add ress來(lái)進(jìn)行配置。使用這個(gè)命令后，可以將單個(gè)MAC地址分配到交換機(jī)的每個(gè)端口中。正如上面所說(shuō)的，要執(zhí)行這個(gè)限制的話，工作量會(huì)比較大。

三是對(duì)可以接八的設(shè)備進(jìn)行限制。出于客戶端性能的考慮，我們往往需要限制某個(gè)交換機(jī)端口可以連接的最多的主機(jī)數(shù)量。如我們可以將這個(gè)參數(shù)設(shè)置為1，那么就只允許一臺(tái)主機(jī)連接到交換機(jī)的端口中。如此的話，就可以避免用戶私自使用集線器或者交換機(jī)等設(shè)備來(lái)增加端口的數(shù)量。不過(guò)這種策略跟上面的MAC地址策略還是有一定的區(qū)別。對(duì)于MAC地址的安全策略，也只有一臺(tái)主機(jī)可以連接到端口上，而且還必須是MAC地址匹配的主機(jī)才能夠進(jìn)行連接。而現(xiàn)在這個(gè)數(shù)量的限制策略，沒(méi)有MAC地址匹配的要求。也就是說(shuō)，更換一臺(tái)主機(jī)后，仍然可以正常連接到交換機(jī)的端口上。這個(gè)限制措施顯然比上面這個(gè)措施要寬松不少，而且工作量上也會(huì)減少不少。要實(shí)現(xiàn)這個(gè)策略的話，可以通過(guò)命令swichport-security maximun來(lái)實(shí)現(xiàn)。如果將這個(gè)參數(shù)設(shè)置為1，那么就只允許一臺(tái)主機(jī)連接到交換機(jī)的端口之上。這就可以變相地限制接入交換機(jī)或者集線器等設(shè)備。不過(guò)這里需要注意的是。如果用戶違反了這種情況，那么交換機(jī)的端口就會(huì)被關(guān)閉掉。也就是說(shuō)，一臺(tái)主機(jī)都連接不到這個(gè)端口上。在實(shí)際工作中，這可能會(huì)殃及無(wú)辜。所以需要特別的注意。

四是使用sticky參數(shù)來(lái)簡(jiǎn)化管理。在實(shí)際工作中，sticky參數(shù)是一個(gè)很好用的參數(shù)。可以大大地簡(jiǎn)化MAC地址的配置。如企業(yè)現(xiàn)在網(wǎng)絡(luò)部署完畢后，運(yùn)行switchport port-security mac-addresssticky命令。那么交換機(jī)各個(gè)端口就會(huì)自動(dòng)記住當(dāng)前所連接的主機(jī)的MAC地址。如此的話，在后續(xù)工作中，如果更換了主機(jī)的話，只要其MAC地址與原有主機(jī)不匹配的話，交換機(jī)就會(huì)拒絕這臺(tái)主機(jī)的連接請(qǐng)求。這個(gè)參數(shù)主要提供靜態(tài)MAC地址的安全。管理員不需要在網(wǎng)絡(luò)中輸入每個(gè)端口的MAC地址。從而可以簡(jiǎn)化端白配置的工作。不過(guò)如果后續(xù)主機(jī)有調(diào)整，或者新增主機(jī)的話，仍然需要進(jìn)行手工的配置。不過(guò)此時(shí)的配置往往是小范圍的，工作量還可以接受。

第7篇：如何制定網(wǎng)絡(luò)安全策略范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；管理；部署

中圖分類號(hào)：F224.33文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3198（2008）03-0128-02

1 引言

隨著信息化進(jìn)程的提速，越來(lái)越多地企業(yè)信息被披露于企業(yè)內(nèi)外部網(wǎng)絡(luò)環(huán)境中，如何保護(hù)企業(yè)機(jī)密，保障企業(yè)信息安全，成為企業(yè)信息化發(fā)展過(guò)程中必然需要面臨和解決的問(wèn)題。

對(duì)于企業(yè)信息網(wǎng)絡(luò)安全管理需要部署的內(nèi)容，首先要明確企業(yè)的哪些資產(chǎn)需要保護(hù)，確定關(guān)鍵數(shù)據(jù)和相關(guān)業(yè)務(wù)支持技術(shù)資產(chǎn)的價(jià)值，然后在此基礎(chǔ)上，制定并實(shí)施安全策略，完成安全策略的責(zé)任分配，設(shè)立安全標(biāo)準(zhǔn)。

2 企業(yè)網(wǎng)絡(luò)信息安全需求分析

對(duì)企業(yè)網(wǎng)絡(luò)信息安全的網(wǎng)絡(luò)調(diào)查顯示：有超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部；有16%來(lái)自內(nèi)部未授權(quán)的訪問(wèn)；有11%資料或網(wǎng)絡(luò)的破壞。可以看出：來(lái)自于企業(yè)內(nèi)部的安全威脅比來(lái)自于外部的威脅要大得多，必要的安全措施對(duì)企業(yè)是非常重要的。安全風(fēng)險(xiǎn)分析通常包括對(duì)系統(tǒng)資源的價(jià)值屬性的分析、資源面臨的威脅分析、系統(tǒng)的安全缺陷分析等等。分析的目標(biāo)就是確定安全系統(tǒng)的建設(shè)環(huán)境，建立信息系統(tǒng)安全的基本策略。

2.1 企業(yè)信息網(wǎng)絡(luò)安全需求

企業(yè)對(duì)信息網(wǎng)絡(luò)安全方面的需求主要包含：

（1）業(yè)務(wù)系統(tǒng)與其它信息系統(tǒng)充分隔離。

（2）企業(yè)局域網(wǎng)與互聯(lián)的其它網(wǎng)絡(luò)充分隔離。

（3）全面的病毒防御體系，恢復(fù)已被病毒感染的設(shè)備及數(shù)據(jù)。

（4）關(guān)鍵業(yè)務(wù)數(shù)據(jù)必須進(jìn)行備份，具有完善的災(zāi)難恢復(fù)功能。

（5）管理員必須對(duì)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全狀況和安全漏洞進(jìn)行周期性評(píng)估，并根據(jù)評(píng)估結(jié)果采用相應(yīng)措施。

（6）關(guān)鍵業(yè)務(wù)數(shù)據(jù)和敏感數(shù)據(jù)在公網(wǎng)上的傳輸必須加密，防止非法獲取和篡改。

（7）加強(qiáng)內(nèi)部人員操作的技術(shù)監(jiān)控，采用強(qiáng)有力的認(rèn)證系統(tǒng)，代替一些不安全的用戶名/口令系統(tǒng)授權(quán)模式。

（8）建立完善的入侵審計(jì)和監(jiān)控措施，監(jiān)視和記錄外部或者內(nèi)部人員可能發(fā)起的攻擊。

（9）對(duì)整個(gè)信息系統(tǒng)進(jìn)行安全審計(jì)，可預(yù)見(jiàn)管理和總擁有成本控制。

2.2 企業(yè)信息網(wǎng)絡(luò)安全內(nèi)容

從企業(yè)整體考慮，它的信息網(wǎng)絡(luò)安全包括以下六個(gè)方面：

（1）企業(yè)信息網(wǎng)絡(luò)安全策略建設(shè)，它是安全系統(tǒng)執(zhí)行的安全策略建設(shè)的依據(jù)。

（2）企業(yè)信息網(wǎng)絡(luò)管理體系建設(shè)，它是安全系統(tǒng)的安全控制策略和安全系統(tǒng)體系結(jié)構(gòu)建設(shè)的依據(jù)。

（3）企業(yè)信息網(wǎng)絡(luò)資源管理體系建設(shè)，它是安全系統(tǒng)體系結(jié)構(gòu)規(guī)劃的依據(jù)。

（4）企業(yè)信息網(wǎng)絡(luò)人員管理建設(shè)，它是保障安全系統(tǒng)可靠建設(shè)、維護(hù)和應(yīng)用的前提。

（5）企業(yè)信息網(wǎng)絡(luò)工程管理體系建設(shè)，信息安全系統(tǒng)工程必須與它統(tǒng)一規(guī)劃和管理。

（6）企業(yè)信息網(wǎng)絡(luò)事務(wù)持續(xù)性保障規(guī)劃，它是信息安全事件處理和安全恢復(fù)系統(tǒng)建設(shè)的依據(jù)。

3 企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)

3.1 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)如圖1所示。安全系統(tǒng)設(shè)計(jì)的目標(biāo)是設(shè)計(jì)出系統(tǒng)安全防御體系，設(shè)計(jì)和部署體系中各種安全機(jī)制從而形成自動(dòng)的安全防御、監(jiān)察和反應(yīng)體系，忠實(shí)地貫徹系統(tǒng)安全策略。

3.2 企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)組建

安全系統(tǒng)設(shè)計(jì)關(guān)心的是抽象定義的系統(tǒng)。具體系統(tǒng)組建是建立在設(shè)計(jì)基礎(chǔ)上的實(shí)現(xiàn)。通常系統(tǒng)功能組件的實(shí)現(xiàn)方式是軟件、硬件和固體等。安全系統(tǒng)組建的另一項(xiàng)重要內(nèi)容是配制安全系統(tǒng)，并將安全系統(tǒng)與整個(gè)信息系統(tǒng)形成一體。

4 企業(yè)信息網(wǎng)絡(luò)安全工程的部署

信息系統(tǒng)安全是信息系統(tǒng)服務(wù)質(zhì)量的要求，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)當(dāng)融于信息網(wǎng)絡(luò)服務(wù)系統(tǒng)之中，其建設(shè)與維護(hù)應(yīng)當(dāng)與信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和維護(hù)保持一致，遵循系統(tǒng)工程的方法。網(wǎng)絡(luò)安全工程就是應(yīng)用系統(tǒng)工程建設(shè)和維護(hù)網(wǎng)絡(luò)安全系統(tǒng)。

4.1 工程環(huán)節(jié)

系統(tǒng)工程總是與被建設(shè)的系統(tǒng)特性緊密結(jié)合，工程環(huán)節(jié)與系統(tǒng)生命周期保持同步。安全系統(tǒng)的生命周期也是基本如此，因而安全系統(tǒng)工程典型的基本環(huán)節(jié)包括信息系統(tǒng)安全需求分析、安全系統(tǒng)設(shè)計(jì)、安全系統(tǒng)組建、安全系統(tǒng)認(rèn)證、系統(tǒng)安全運(yùn)行維護(hù)和安全系統(tǒng)改造等，如圖2所示。

（1）安全的互聯(lián)網(wǎng)接入。

企業(yè)內(nèi)部網(wǎng)絡(luò)的每位員工要隨時(shí)登錄互聯(lián)網(wǎng)，因此Internet接入平臺(tái)的安全是該企業(yè)信息系統(tǒng)安全的關(guān)鍵部分，可采用外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時(shí)經(jīng)過(guò)內(nèi)部防火墻，再由外部邊緣防火墻映射到互聯(lián)網(wǎng)。外部邊緣防火墻與內(nèi)部防火墻之間形成了DMZ區(qū)。

（2）防火墻訪問(wèn)控制。

外部邊緣防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實(shí)現(xiàn)VPN撥號(hào)連接以及端到端VPN連接，并通過(guò)擴(kuò)展ACL對(duì)進(jìn)出防火墻的流量進(jìn)行嚴(yán)格的端口服務(wù)控制。

內(nèi)部防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機(jī)能夠訪問(wèn)DMZ區(qū)，但DMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)行嚴(yán)格的過(guò)濾。

（3）用戶認(rèn)證系統(tǒng)。

用戶認(rèn)證系統(tǒng)主要用于解決撥號(hào)和VPN接入的安全問(wèn)題，它是從完善系統(tǒng)用戶認(rèn)證、訪問(wèn)控制和使用審計(jì)方面的功能來(lái)增強(qiáng)系統(tǒng)的安全性。

撥號(hào)用戶和VPN用戶身份認(rèn)證在主域服務(wù)器上進(jìn)行，用戶賬號(hào)集中在主域服務(wù)器上開(kāi)設(shè)。系統(tǒng)中設(shè)置嚴(yán)格的用戶訪問(wèn)策略和口令策略，強(qiáng)制用戶定期更改口令。同時(shí)配置VPN日志服務(wù)器，記錄所有VPN用戶的訪問(wèn)，作為系統(tǒng)審計(jì)的依據(jù)。

（4）入侵檢測(cè)系統(tǒng)。

企業(yè)可在互聯(lián)網(wǎng)流量匯聚的交換機(jī)處部署入侵檢測(cè)系統(tǒng)，它可實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)中發(fā)生的安全事件，使得管理員及時(shí)做出反應(yīng)，并可記錄內(nèi)部用戶對(duì)Internet的訪問(wèn)，管理者可審計(jì)Internet接入平臺(tái)是否被濫用。

（5）網(wǎng)絡(luò)防病毒系統(tǒng)。

企業(yè)應(yīng)全面地布置防病毒系統(tǒng)，包括客戶機(jī)、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。

（6）VPN加密系統(tǒng)。

企業(yè)可建立虛擬專網(wǎng)VPN，主要為企業(yè)移動(dòng)辦公的員工提供通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時(shí)為企業(yè)內(nèi)網(wǎng)用戶訪問(wèn)公司的SAP系統(tǒng)提供VPN加密連接。

需要注意的是，由于VPN機(jī)制需要執(zhí)行加密和解密過(guò)程，其傳輸效率將降低30％～40％，因此對(duì)于關(guān)鍵業(yè)務(wù)，如果有條件應(yīng)該盡可能采用數(shù)據(jù)專線方式。

（7）網(wǎng)絡(luò)設(shè)備及服務(wù)器加固。

企業(yè)網(wǎng)絡(luò)管理員應(yīng)定期對(duì)各種網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行安全性掃描和滲透測(cè)試，及時(shí)發(fā)現(xiàn)漏洞并采取補(bǔ)救措施。安全性掃描主要是利用一些掃描工具，模擬黑客的方法和手段，以匿名身份接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行掃描并進(jìn)行分析，目的是發(fā)現(xiàn)系統(tǒng)存在的各種漏洞。

根據(jù)安全掃描和滲透測(cè)試的結(jié)果，網(wǎng)絡(luò)管理員即可有針對(duì)性地進(jìn)行系統(tǒng)加固，具體加固措施包括：關(guān)閉不必要的網(wǎng)絡(luò)端口；視網(wǎng)絡(luò)應(yīng)用情況禁用ICMP、SNMP等協(xié)議；安裝最新系統(tǒng)安全補(bǔ)丁；采用SSH而不是Telnet進(jìn)行遠(yuǎn)程登錄；調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省服務(wù)；啟用系統(tǒng)安全審計(jì)日志。

（8）辦公電腦安全管理系統(tǒng)。

企業(yè)應(yīng)加強(qiáng)對(duì)桌面電腦的安全管理。主要有：

①補(bǔ)丁管理：主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避免蠕蟲(chóng)病毒、黑客攻擊和木馬程序等。

②間諜軟件檢測(cè)：能夠自動(dòng)檢測(cè)和清除來(lái)自間諜軟件、廣告軟件、鍵盤(pán)記錄程序、特洛伊木馬和其他惡意程序的已知威脅。

③安全威脅分析：能夠自動(dòng)檢測(cè)桌面電腦的配置風(fēng)險(xiǎn)，包括共享、口令、瀏覽器等安全問(wèn)題，并自動(dòng)進(jìn)行修補(bǔ)或提出修改建議。

④應(yīng)用程序阻止：用戶隨意安裝的游戲等應(yīng)用程序可能導(dǎo)致系統(tǒng)紊亂、沖突，影響正常辦公。管理員可以通過(guò)遠(yuǎn)程執(zhí)行指令，阻止有關(guān)應(yīng)用程序的運(yùn)行。

⑤設(shè)備訪問(wèn)控制：對(duì)用戶電腦的硬件采用適當(dāng)?shù)脑L問(wèn)控制策略，防止關(guān)鍵數(shù)據(jù)丟失和未授權(quán)訪問(wèn)。

（9）數(shù)據(jù)備份系統(tǒng)。

企業(yè)應(yīng)制定備份策略，定期對(duì)一些重要數(shù)據(jù)進(jìn)行備份。

4.2 持續(xù)性計(jì)劃

（1）架構(gòu)評(píng)估。

企業(yè)網(wǎng)絡(luò)信息安全管理架構(gòu)的評(píng)估應(yīng)由IT部門(mén)、相關(guān)責(zé)任部門(mén)以及終端用戶代表來(lái)共同參與，確保所有的部門(mén)都能納入安全框架中。

（2）系統(tǒng)安全運(yùn)行管理。

要保障信息系統(tǒng)安全，就必須維護(hù)安全系統(tǒng)充分發(fā)揮作用的環(huán)境。這種環(huán)境包括安全系統(tǒng)的配置、系統(tǒng)人員的安全職責(zé)分工與培訓(xùn)。

（3）安全系統(tǒng)改造。

信息系統(tǒng)安全的對(duì)抗性必然導(dǎo)致信息安全系統(tǒng)不斷改造。導(dǎo)致安全系統(tǒng)改造的因素可以歸結(jié)為4個(gè)方面：技術(shù)發(fā)展因素；系統(tǒng)環(huán)境因素；系統(tǒng)需求因素；安全事件因素。

（4）網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識(shí)教育。

企業(yè)應(yīng)當(dāng)采取積極防御措施，主動(dòng)防止非授權(quán)訪問(wèn)操作，從客戶端操作平臺(tái)實(shí)施高等級(jí)防范，使不安全因素在源頭被控制。這對(duì)工作流程相對(duì)固定的重要信息系統(tǒng)顯得更為重要而可行。

需開(kāi)展計(jì)算機(jī)安全意識(shí)教育和培訓(xùn)，加強(qiáng)計(jì)算機(jī)安全檢查，以此提高最終用戶對(duì)計(jì)算機(jī)安全的重視程度。為各級(jí)機(jī)構(gòu)的系統(tǒng)管理員提供信息系統(tǒng)安全方面的專業(yè)培訓(xùn)，提高處理計(jì)算機(jī)系統(tǒng)安全問(wèn)題的能力。

參考文獻(xiàn)

［1］趙迪,趙望達(dá),劉靜.基于B/S架構(gòu)的安全生產(chǎn)監(jiān)督管理信息系統(tǒng)［J］,中國(guó)公共安全(學(xué)術(shù)版),2006,(04).［2］周敏文,譚海文.淺析我國(guó)安全生產(chǎn)信息化建設(shè)的現(xiàn)狀與對(duì)策［J］,露天采礦技術(shù),2005,(06).

［3］［美］Harold F.Tipton，Micki Krause著,張文,鄧芳玲,程向莉,吳娟等譯.信息安全管理手冊(cè)（卷III）（第四版）［M］,北京:電子工業(yè)出版社,2004年6月,237-264.

第8篇：如何制定網(wǎng)絡(luò)安全策略范文

    關(guān)鍵詞:網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問(wèn)

    0 引言

    隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展,企業(yè)數(shù)字化管理作為為網(wǎng)絡(luò)時(shí)代的產(chǎn)物,已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),企業(yè)內(nèi)部網(wǎng)安全問(wèn)題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。

    1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

    1.1 操作系統(tǒng)的安全問(wèn)題 目前,被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等,這些操作系統(tǒng)都存在各種各樣的安全問(wèn)題,許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新,彌補(bǔ)各種漏洞,計(jì)算機(jī)即使安裝了防毒軟件也會(huì)反復(fù)感染。

    1.2 病毒的破壞 計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。

    1.3 黑客 在《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)》中,黑客的定義是:“對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問(wèn)的人員”,這也是目前大多數(shù)人對(duì)黑客的理解。大多數(shù)黑客不會(huì)自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫(xiě)工具,他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有:端口監(jiān)聽(tīng)、端口掃描、口令入侵、JAVA炸彈等。

    1.4 口令入侵 為管理方便,一般來(lái)說(shuō),企業(yè)為每個(gè)上網(wǎng)的領(lǐng)導(dǎo)和工人分配一個(gè)賬號(hào),并根據(jù)其應(yīng)用范圍,分配相應(yīng)的權(quán)限。某些人員為了訪問(wèn)不屬于自己應(yīng)該訪問(wèn)的內(nèi)容,用不正常的手段竊取別人的口令,造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。

    1.5 非正常途徑訪問(wèn)或內(nèi)部破壞 在企業(yè)中,有人為了報(bào)復(fù)而銷毀或篡改人事檔案記錄;有人改變程序設(shè)置,引起系統(tǒng)混亂;有人越權(quán)處理公務(wù),為了個(gè)人私利竊取機(jī)密數(shù)據(jù)。這些安全隱患都嚴(yán)重地破壞了學(xué)校的管理秩序。

    1.6 設(shè)備受損 設(shè)備破壞主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個(gè)企業(yè)內(nèi),管理起來(lái)非常困難,任何安置在不能上鎖的地方的設(shè)施,都有可能被人有意或無(wú)意地?fù)p壞,這樣會(huì)造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果。

    1.7 敏感服務(wù)器使用的受限 由于財(cái)務(wù)等敏感服務(wù)器上存有大量重要數(shù)據(jù)庫(kù)和文件,因擔(dān)心安全性問(wèn)題,不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離,使得應(yīng)用軟件不能發(fā)揮真正的作用。

    1.8 技術(shù)之外的問(wèn)題 企業(yè)內(nèi)部網(wǎng)是一個(gè)比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大,目前,大多數(shù)企業(yè)基本實(shí)現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點(diǎn)的擴(kuò)大,使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于企業(yè)中部分員工對(duì)網(wǎng)絡(luò)知識(shí)很感興趣,而且具有相當(dāng)高的專業(yè)知識(shí)水平,有的員工上學(xué)時(shí)所學(xué)的專業(yè)甚至就是網(wǎng)絡(luò)安全,攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華,甚至是泄私憤的首選。其次,許多領(lǐng)導(dǎo)和員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)薄弱、安全知識(shí)缺乏。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束領(lǐng)導(dǎo)和員工的上網(wǎng)行為。

    2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略

    安全策略是指一個(gè)特定環(huán)境中,為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么,制定恰當(dāng)?shù)臐M足需求的策略方案,然后才考慮技術(shù)上如何實(shí)施。

    2.1 物理安全策略 保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、web 服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。它主要包括兩個(gè)方面:①環(huán)境安全。對(duì)系統(tǒng)所在環(huán)境的安全保護(hù), 確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。②設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護(hù)等。

    2.2 訪問(wèn)控制策略 訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn), 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。主要有以下七種方式:①入網(wǎng)訪問(wèn)控制。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制, 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源;控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。②網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。③目錄級(jí)安全控制。網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。④屬性安全控制。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí),網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。⑤網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控,服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn),對(duì)非法的網(wǎng)絡(luò)訪問(wèn),服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警,以引起網(wǎng)絡(luò)管理員的注意。⑦網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。端口是虛擬的“門(mén)戶”,信息通過(guò)它進(jìn)入和駐留于計(jì)算機(jī)中,網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù),并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。

    2.3 防火墻控制策略 防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來(lái)限制外部非法(未經(jīng)許可)用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。

    2.4 信息加密策略 信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。信息加密過(guò)程是由各種加密算法來(lái)具體實(shí)施。多數(shù)情況下,信息加密是保證信息機(jī)密性的唯一方法。

    2.5 備份和鏡像技術(shù) 用備份和鏡像技術(shù)提高完整性。備份技術(shù)指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作,若其中一個(gè)出現(xiàn)故障,另一個(gè)仍可以繼續(xù)工作。

    2.6 網(wǎng)絡(luò)安全管理規(guī)范 網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入辦公室管理制度; 制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等

    2.7 網(wǎng)絡(luò)入侵檢測(cè)技術(shù) 試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動(dòng),都稱為網(wǎng)絡(luò)入侵。入侵檢測(cè)(IntrusionDeteetion)的定義為:識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為,并對(duì)此做出反應(yīng)的過(guò)程。它不僅檢測(cè)來(lái)自外部的入侵行為,同時(shí)也檢測(cè)來(lái)自內(nèi)部用戶的未授權(quán)活動(dòng)。入侵檢測(cè)應(yīng)用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來(lái)發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

第9篇：如何制定網(wǎng)絡(luò)安全策略范文

【關(guān)鍵詞】:電子商務(wù)信息安全網(wǎng)絡(luò)

人類社會(huì)進(jìn)入20世紀(jì)70年代以來(lái),以微電子技術(shù)為基礎(chǔ)的計(jì)算機(jī)技術(shù)和通信技術(shù)取得了長(zhǎng)足的進(jìn)展,并滲透到經(jīng)濟(jì)和社會(huì)的各個(gè)領(lǐng)域,從而引起了世界范圍內(nèi)的新技術(shù)創(chuàng)新浪潮。信息化建設(shè)受到各國(guó)政府的高度重視,1991年美國(guó)提出"信息高速公路"的設(shè)想,1993年正式實(shí)施"國(guó)家信息基礎(chǔ)結(jié)構(gòu):行動(dòng)計(jì)劃";1978年法國(guó)制定了一項(xiàng)有關(guān)"促進(jìn)社會(huì)信息化的計(jì)劃",從那以后,法國(guó)政府不斷推進(jìn)信息革命,每年投入50億美元巨款改進(jìn)通信設(shè)備;早在1983年,我國(guó)政府就把發(fā)展信息技術(shù)納入了國(guó)家總體科技論文發(fā)展戰(zhàn)略規(guī)劃中,1999年,我國(guó)政府上網(wǎng)工程迅速推進(jìn),國(guó)家信息化戰(zhàn)略、數(shù)字化產(chǎn)品發(fā)展戰(zhàn)略、電子商務(wù)發(fā)展框架也都在加緊研究、制定中。目前全球的計(jì)算機(jī)社會(huì)擁有量迅速增加,互聯(lián)網(wǎng)用戶呈幾何級(jí)數(shù)增長(zhǎng),新的經(jīng)濟(jì)消費(fèi)觀正在逐步形成。電子商務(wù)的社會(huì)基礎(chǔ)已經(jīng)形成。Internet技術(shù)的應(yīng)用普及為電子商務(wù)奠定了基礎(chǔ)條件,萬(wàn)維網(wǎng)及相關(guān)技術(shù)的推出開(kāi)創(chuàng)了電子商務(wù)應(yīng)用的新局面,基于Internet的網(wǎng)絡(luò)環(huán)境建設(shè)是開(kāi)創(chuàng)電子商務(wù)市場(chǎng)的前提,安全保障等核心技術(shù)的實(shí)用化是電子商務(wù)成功的保證,商貿(mào)活動(dòng)的信息網(wǎng)絡(luò)化加快了電子商務(wù)的發(fā)展進(jìn)程,各種解決方案的推出標(biāo)志著電子商務(wù)即將進(jìn)入實(shí)用化階段。

從技術(shù)的角度看,電子商務(wù)的發(fā)展經(jīng)歷了啟蒙階段、商業(yè)化階段、社會(huì)化階段,并開(kāi)始步入智能化時(shí)代。回顧企業(yè)信息化和電子商務(wù)的發(fā)展過(guò)程,從最初各部門(mén)用數(shù)據(jù)庫(kù)管理本部門(mén)的數(shù)據(jù),通過(guò)辦公自動(dòng)化(OA)實(shí)現(xiàn)企業(yè)內(nèi)部辦公文檔傳遞,到建立統(tǒng)一的ERP系統(tǒng)為管理決策提供信息,通過(guò)CRM和SCM將企業(yè)和客戶、供應(yīng)商等整個(gè)供應(yīng)鏈上的各個(gè)環(huán)節(jié)聯(lián)系起來(lái),再到以服務(wù)形式提供各式應(yīng)用,通過(guò)第三方ASP實(shí)現(xiàn)企業(yè)應(yīng)用服務(wù)的外包,這實(shí)際上就是一個(gè)從數(shù)據(jù)、信息到服務(wù)的縱向發(fā)展過(guò)程。互聯(lián)網(wǎng)應(yīng)用的發(fā)展也是這樣,從最初企業(yè)間使用EDI交換數(shù)據(jù),Email通訊傳遞簡(jiǎn)單的信息,到通過(guò)門(mén)戶網(wǎng)站、搜索引擎獲取所需信息,與世界各地的人在BBS上交流信息,再到如今的通過(guò)社會(huì)網(wǎng)絡(luò)SNS拓展自己的交際圈,社會(huì)化程度越來(lái)越高。隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的普及和深入應(yīng)用,電子商務(wù)正在以前所未有的速度發(fā)展,以其方便性和靈活性向傳統(tǒng)商務(wù)模型提出了挑戰(zhàn)。互聯(lián)網(wǎng)的飛速發(fā)展，使得傳統(tǒng)的商業(yè)模式產(chǎn)生了深刻的變化，在相當(dāng)程度上改變著人們的日常生活習(xí)慣。基于網(wǎng)絡(luò)的電子商務(wù)作為一種全新的商業(yè)模式，已經(jīng)得到了快速的發(fā)展，但網(wǎng)絡(luò)交易的安全問(wèn)題始終是阻礙電子商務(wù)全面發(fā)展的巨大障礙。因此采用先進(jìn)的網(wǎng)絡(luò)信息安全防范技術(shù)，為電子商務(wù)提供完整的安全保障體系，進(jìn)而推動(dòng)電子商務(wù)高速發(fā)展。1．電子商務(wù)信息安全要素互聯(lián)網(wǎng)是一個(gè)完全開(kāi)放的網(wǎng)絡(luò),任何一臺(tái)計(jì)算機(jī)、任何一個(gè)網(wǎng)絡(luò)都可以與之聯(lián)接,并借助互聯(lián)網(wǎng)信息,進(jìn)行各種網(wǎng)上商務(wù)活動(dòng)。同時(shí),也給那些別有用心的組織或個(gè)人提供了竊取別人的各種機(jī)密如消費(fèi)者的銀行賬號(hào)、密碼,甚至妨礙或毀壞他人網(wǎng)絡(luò)系統(tǒng)運(yùn)行等各種機(jī)會(huì)。影響電子商務(wù)信息安全要素主要有系統(tǒng)的可靠性，交易的真實(shí)性，資料的安全性，資料的完整性，交易的不可抵賴性等。概括起來(lái),電子商務(wù)面臨的安全威脅主要有以下幾方面。

1．1系統(tǒng)的中斷與癱瘓。網(wǎng)絡(luò)故障、操作失誤、應(yīng)用程序出錯(cuò)、硬件故障、系統(tǒng)軟件設(shè)計(jì)不完善以及計(jì)算機(jī)病毒都有可能導(dǎo)致系統(tǒng)不能正常工作。如在劃撥貨款的過(guò)程中突然出現(xiàn)網(wǎng)絡(luò)中斷等。1．2信息被竊取。電子商務(wù)作為一種全新的貿(mào)易形式,其通訊的信息直接代表著個(gè)人、企業(yè)或國(guó)家的利益。攻擊者可能通過(guò)因特網(wǎng)、公共電話網(wǎng)、搭線或在電磁波輻射范圍內(nèi)安裝截收裝置等方式,截獲傳輸?shù)臋C(jī)密信息,或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)分析,推斷出有用的信息、如消費(fèi)者的銀行賬號(hào)、密碼等。1．3信息被篡改。攻擊者可能從三個(gè)方面破壞信息的完整性。1）篡改。改變信息流的次序,更改信息的內(nèi)容。2)刪除。刪除某個(gè)消息或消息中的某些部分。3)插入。在信息中插入一些其它干擾信息,讓收方讀不懂或接收錯(cuò)誤的信息。腦知識(shí)與技術(shù)1．4信息被偽造。1)虛開(kāi)網(wǎng)站和商店,給用戶發(fā)電子郵件,接受訂單。2）偽造大量用戶,發(fā)電子郵件,窮盡商家資源、使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源。3)冒充他人身份,進(jìn)行消費(fèi)和栽贓等。1．5對(duì)交易行為進(jìn)行抵賴或不承認(rèn)。1)發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息或內(nèi)容。2)收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容。3)購(gòu)買者不承認(rèn)確認(rèn)了的訂單。4)商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。2．電子商務(wù)中的信息安全防范技術(shù)

2．1數(shù)據(jù)加密技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無(wú)意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。按加密密鑰與解密密鑰的對(duì)稱性可分為對(duì)稱型加密、不對(duì)稱型加密、不可逆加密。在網(wǎng)絡(luò)安全技術(shù)中，加密技術(shù)是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，但是由于大部分?jǐn)?shù)據(jù)加密算法都源于美國(guó)，且受到美國(guó)出口管制法的限制，無(wú)法在互聯(lián)網(wǎng)上大規(guī)模使用，從而限制了以加密技術(shù)為基礎(chǔ)網(wǎng)絡(luò)安全解決方案的應(yīng)用。2．2密鑰管理技術(shù)密鑰管理包括確保所產(chǎn)生的密鑰具有必要的屬性，把密鑰提前通知給需要它的特定系統(tǒng)，確保密鑰按要求得到保護(hù)以阻止暴露和／或替代。其中，對(duì)稱密鑰管理是基于共同保守秘密來(lái)實(shí)現(xiàn)的，采用對(duì)稱加密技術(shù)的雙方必須保證采用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時(shí)還要設(shè)定防止密鑰泄漏和更改密鑰的程序。使用公開(kāi)密鑰的交易雙方可以使用證書(shū)(公開(kāi)密鑰證書(shū))來(lái)交換公開(kāi)密鑰。國(guó)際電聯(lián)指定的X509對(duì)37福建電腦2008年第11期數(shù)字證書(shū)進(jìn)行了定義，數(shù)字證書(shū)能夠起到標(biāo)識(shí)交易雙方的作用，是目前電子商務(wù)廣泛使用的技術(shù)之一。2．3身份認(rèn)證技術(shù)網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(shū)。要建立安全的電子商務(wù)系統(tǒng),必須首先建立一個(gè)穩(wěn)固、健全的數(shù)字證書(shū)和認(rèn)證中心(CA)。數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)意義上手書(shū)簽名或印章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。使用數(shù)字簽名可以保證交易中的認(rèn)證性和不可否認(rèn)性。數(shù)字簽名可以防范：接收方偽造、發(fā)送者或接收者否認(rèn)、第三方冒充、接收方篡改。常見(jiàn)的數(shù)字簽名技術(shù)有：RSA數(shù)字簽名、DSA數(shù)字簽名、橢圓曲線數(shù)入侵檢測(cè)技術(shù)通常通過(guò)基于應(yīng)用的監(jiān)控技術(shù)、基于主機(jī)的監(jiān)控技術(shù)、基于目標(biāo)的監(jiān)控技術(shù)和基于網(wǎng)絡(luò)的監(jiān)控技術(shù)四種檢測(cè)技術(shù)來(lái)抵御攻擊。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。認(rèn)證機(jī)制是保護(hù)電子商務(wù)安全的第一條防線。任何一個(gè)在架構(gòu)設(shè)計(jì)上、代碼開(kāi)發(fā)中以及認(rèn)證的實(shí)現(xiàn)時(shí)所出現(xiàn)的小的漏洞或不足，都有可能使電子商務(wù)處在被攻擊的風(fēng)險(xiǎn)中。因此，加強(qiáng)對(duì)認(rèn)證攻擊的充分認(rèn)識(shí)和了解，并在系統(tǒng)開(kāi)發(fā)時(shí)選擇合適的防御措施，就可以從根本上對(duì)某些攻擊進(jìn)行有效的屏蔽，減少后期頻繁維護(hù)所付出的代價(jià)，達(dá)到事半功倍的效果。2．4網(wǎng)絡(luò)安全掃描技術(shù)安全掃描技術(shù)是對(duì)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果，并為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告等。包括端口掃描技術(shù)和漏洞掃描技術(shù)等。2．5病毒防范技術(shù)計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。病毒經(jīng)過(guò)系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序，為以后攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便條件。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)測(cè)，工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。2．6電子認(rèn)證技術(shù)為了保證電子商務(wù)安全因素的順利實(shí)現(xiàn)，在電子商務(wù)中使用了基于公鑰體系的安全系統(tǒng)。基于公鑰體系的加密系統(tǒng)是按對(duì)生成的，每對(duì)密鑰由公鑰和私鑰組成，實(shí)際應(yīng)用中，公鑰是以證書(shū)性質(zhì)存放的，一個(gè)最基本而又是最關(guān)鍵的問(wèn)題是公鑰的分發(fā)，也就是證書(shū)的分發(fā)，如果證書(shū)不能得到有效安全的分發(fā)，所有的上層應(yīng)用軟件就不能得到安全的保障，解決問(wèn)題的方法就是建立認(rèn)證機(jī)構(gòu)體系CA。2．7防火墻技術(shù)防火墻(Firewall)是近年來(lái)發(fā)展最重要的安全技術(shù)，它是通過(guò)對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來(lái)加強(qiáng)網(wǎng)絡(luò)安全的一種手段，核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊，而它所防范的對(duì)象是來(lái)自被保護(hù)網(wǎng)塊外部的安全威脅。目前的防火墻分為兩大類，一類是簡(jiǎn)單的包過(guò)濾技術(shù)，它是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過(guò)濾邏輯，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)。另一類是應(yīng)用網(wǎng)管和服務(wù)器，其顯著的優(yōu)點(diǎn)是較容易提供細(xì)顆粒度的存取控制，其可針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議及數(shù)據(jù)過(guò)濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。通過(guò)應(yīng)用防火墻技術(shù)，可以做到通過(guò)過(guò)濾不安全的服務(wù)，極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)。但防火墻是一種基于網(wǎng)絡(luò)邊界的被動(dòng)安全技術(shù)，對(duì)內(nèi)部未授權(quán)訪問(wèn)難以有效控制，因此較適合于內(nèi)部網(wǎng)絡(luò)相對(duì)獨(dú)立，且與外部網(wǎng)絡(luò)的互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的網(wǎng)絡(luò)。2．8入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息來(lái)有效地發(fā)現(xiàn)來(lái)自外部或內(nèi)部的非法入侵的技術(shù)。它以探測(cè)與控制為技術(shù)本質(zhì)，起著主動(dòng)防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。

3．企業(yè)實(shí)現(xiàn)電子商務(wù)的安全策略安全問(wèn)題是企業(yè)應(yīng)用電子商務(wù)最擔(dān)心的問(wèn)題,如何保障電子商務(wù)活動(dòng)的安全,一直是電子商務(wù)的核心研究領(lǐng)域。作為一個(gè)安全的電子商務(wù)系統(tǒng),必須采用相應(yīng)的網(wǎng)絡(luò)安全策略。安全策略包括網(wǎng)絡(luò)安全問(wèn)題的總原則、對(duì)安全使用的要求以及如何保障網(wǎng)絡(luò)的安全運(yùn)行。3.1制定安全策略時(shí)首先確定的最重要的原則拒絕訪問(wèn)明確準(zhǔn)許以外的所有服務(wù)。當(dāng)前一些電子商務(wù)企業(yè)的安全策略存在兩個(gè)誤區(qū):首先,企業(yè)所采取的操作系統(tǒng)的標(biāo)準(zhǔn)安全策略存在問(wèn)題,這一標(biāo)準(zhǔn)安全策略只能提供一道脆弱的防線,很容易被攻破;其次,為滿足多種安全需求,許多企業(yè)以零碎的方式實(shí)施節(jié)點(diǎn)式解決方案,這雖然對(duì)電子商務(wù)的某些領(lǐng)域提供了有限的保護(hù),但同時(shí)使系統(tǒng)管理更為復(fù)雜。阻止外來(lái)系統(tǒng)入侵只是電子商務(wù)安全的一個(gè)方面。成功的電子商務(wù)安全策略,必須涵蓋身份識(shí)別與認(rèn)證、隱私與欺騙控制、管理與審計(jì)等傳統(tǒng)領(lǐng)域。3.2安全策略制定時(shí)還應(yīng)注意的問(wèn)題3.2.1將需保護(hù)的對(duì)象分類,確定需保護(hù)的資源及其保護(hù)級(jí)別;規(guī)定可以訪問(wèn)資源的實(shí)體和可執(zhí)行的動(dòng)作;規(guī)定審計(jì)功能,記錄用戶活動(dòng)及資源使用情況。3.2.2系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全方位采取措施,相互彌補(bǔ)和完善,盡可能地排除安全漏洞。3.2.3根據(jù)企業(yè)的實(shí)際需要確定內(nèi)部網(wǎng)的服務(wù)類型,規(guī)定內(nèi)部用戶和外部用戶能夠使用的服務(wù)種類,建立網(wǎng)管站,并制定出切實(shí)可行的安全管理制度。此外還需完善電子商務(wù)企業(yè)內(nèi)部安全管理體制,增強(qiáng)相關(guān)人員的安全意識(shí)。

4．結(jié)束語(yǔ)電子商務(wù)尚是一個(gè)機(jī)遇和挑戰(zhàn)共存的新領(lǐng)域,這種挑戰(zhàn)不僅來(lái)源于傳統(tǒng)的習(xí)慣,來(lái)源于計(jì)劃經(jīng)濟(jì)體制和市場(chǎng)經(jīng)濟(jì)體制的沖突,更來(lái)源于對(duì)可使用的安全技術(shù)的信賴。企業(yè)在應(yīng)用電子商務(wù)時(shí),應(yīng)采取一系列的安全技術(shù)和安全策略。這種種安全措施的采用,一定能保證企業(yè)進(jìn)行安全的電子商務(wù)活動(dòng)。

參考文獻(xiàn)：

1.韓磊石松:淺談電子商務(wù)中信息安全問(wèn)題[J].臨沂師范學(xué)院學(xué)報(bào)，2001；(8)：136-139

2.黃發(fā)文:計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)初探[J].計(jì)算機(jī)應(yīng)用研究，2002(5):46-48

3.林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].機(jī)械工業(yè)出版社,2005.

4.曹淑艷.電子商務(wù)應(yīng)用基礎(chǔ)[M].北京:清華大學(xué)出版社,2002.