序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程，我們?yōu)槟扑]十篇網(wǎng)絡(luò)安全防護(hù)手段范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

網(wǎng)絡(luò)安全域是使網(wǎng)絡(luò)滿足等級保護(hù)要求的關(guān)鍵技術(shù)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全防護(hù)手段。通過建設(shè)基于安全域的網(wǎng)絡(luò)安全防護(hù)體系，我們可以實(shí)現(xiàn)以下的目標(biāo)：通過對系統(tǒng)進(jìn)行分區(qū)域劃分和防護(hù)，構(gòu)建起有效的縱深防護(hù)體系；明確各區(qū)域的防護(hù)重點(diǎn)，有效抵御潛在威脅，降低風(fēng)險(xiǎn)；保證系統(tǒng)的順暢運(yùn)行，保證業(yè)務(wù)服務(wù)的持續(xù)、有效提供。

1安全域劃分

由于安徽中煙網(wǎng)絡(luò)在網(wǎng)絡(luò)的不同層次和區(qū)域所關(guān)注的角度不同，因此進(jìn)行安全域劃分時(shí)，必須兼顧網(wǎng)絡(luò)的管理和業(yè)務(wù)屬性，既保證現(xiàn)有業(yè)務(wù)的正常運(yùn)行，又要考慮劃分方案是否可行。在這樣的情況下，獨(dú)立應(yīng)用任何一種安全域劃分方式都不能實(shí)現(xiàn)網(wǎng)絡(luò)安全域的合理劃分，需要多種方式綜合應(yīng)用，互相取長補(bǔ)短，根據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)和企業(yè)的管理需求，有針對性地選擇合理的安全域劃分方式。

1.1安全域劃分原則

業(yè)務(wù)保障原則安全域劃分應(yīng)結(jié)合煙草業(yè)務(wù)系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機(jī)制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。結(jié)構(gòu)化原則安全域劃分的粒度可以從系統(tǒng)、設(shè)備到服務(wù)、進(jìn)程、會話等不斷細(xì)化，在進(jìn)行安全域劃分時(shí)應(yīng)合理把握劃分粒度，只要利于使用、利于防護(hù)、利于管理即可，不可過繁或過簡。等級保護(hù)原則屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，即保護(hù)需求相同。建立評估與監(jiān)控機(jī)制，設(shè)計(jì)防護(hù)機(jī)制的強(qiáng)度和保護(hù)等級。要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。生命周期原則安全域的劃分不應(yīng)只考慮到靜態(tài)設(shè)計(jì)，還要考慮因需求、環(huán)境不斷變化而產(chǎn)生的安全域的變化，所以需考慮到工程化管理。

1.2安全域劃分方式

1.2.1安全域劃分模型根據(jù)安徽中煙網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀，安徽中煙提出了如下安全域劃分模型，將整個(gè)網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)接口區(qū)、內(nèi)部網(wǎng)絡(luò)接口區(qū)，核心交換區(qū)，核心生產(chǎn)區(qū)四部分：核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價(jià)值最高的設(shè)備位于本區(qū)域，如服務(wù)器群、數(shù)據(jù)庫以及重要存儲設(shè)備，外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)，包括與國家局，商煙以及分支煙草連接的網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)負(fù)責(zé)連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

1.2.2安全域邊界整合1）整合原則邊界整合原則是主要依據(jù)分等級保護(hù)的原則和同類安全域合并。分等級防護(hù)是安全域方法的基本思想，這自然不必多說，同類安全域合并原則在落實(shí)時(shí)應(yīng)以一下思想為指導(dǎo)：集中化：在具備條件的情況下，同一業(yè)務(wù)系統(tǒng)應(yīng)歸并為一個(gè)大的安全域；次之，在每個(gè)機(jī)房的屬于同一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的節(jié)點(diǎn)應(yīng)歸并為一個(gè)大的安全域?？缦到y(tǒng)整合：不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)之間的同類安全域應(yīng)在保證域間互聯(lián)安全要求的情況下進(jìn)行整合，以減小邊界和進(jìn)行防護(hù)。最小化：應(yīng)將與外部、內(nèi)部互聯(lián)的接口數(shù)量最小化，以便于集中、重點(diǎn)防護(hù)。2）整合方法為了指導(dǎo)邊界整合，安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側(cè)重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點(diǎn)間的邊界整合，側(cè)重于數(shù)據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、外部系統(tǒng)間的接口的整合。（1）單一傳輸出口的邊界整合此種整個(gè)方法適用于：具備傳輸條件和網(wǎng)絡(luò)容災(zāi)能力，將現(xiàn)有數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個(gè)互備接口。（2）多個(gè)傳輸出口的邊界整合此種整個(gè)方法適用于：數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)之間有多個(gè)物理位置不同的接口，并且尚不具備傳輸條件整合各接口。

2安全防護(hù)策略

2.1安全防護(hù)原則

集中防護(hù)通過安全域劃分及邊界整合后，可以形成所謂的“大院”，減少了邊界，進(jìn)而可以在安全域的邊界和內(nèi)部部署防火墻、入侵檢測系統(tǒng)的網(wǎng)絡(luò)探頭、異常流量檢測和過濾設(shè)備、網(wǎng)絡(luò)安全管控平臺的采集設(shè)備、防病毒系統(tǒng)的客戶端等基礎(chǔ)安全技術(shù)防護(hù)手段，集中部署基礎(chǔ)安全服務(wù)設(shè)施，對不同業(yè)務(wù)系統(tǒng)、不同的安全子域進(jìn)行防護(hù)，共享其提供的安全服務(wù)。分等級防護(hù)根據(jù)煙草行業(yè)信息安全等級保護(hù)要求，對不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)、不同的安全子域，按照其保護(hù)等級進(jìn)行相應(yīng)的防護(hù)。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進(jìn)行防護(hù)?？v深防護(hù)從外部網(wǎng)絡(luò)到核心生產(chǎn)域，以及沿用戶（或其他系統(tǒng)）訪問（或入侵）系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護(hù)體系，對關(guān)鍵的信息資產(chǎn)進(jìn)行有效保護(hù)。

2.2系統(tǒng)安全防護(hù)

為適應(yīng)安全防護(hù)需求，統(tǒng)一、規(guī)范和提升網(wǎng)絡(luò)和業(yè)務(wù)的安全防護(hù)水平，安徽中煙制定了由安全域劃分和邊界整合、設(shè)備自身安全、基礎(chǔ)安全技術(shù)防護(hù)手段、安全運(yùn)行管理平臺四層構(gòu)成的安全技術(shù)防護(hù)體系架構(gòu)。其中，安全域劃分和邊界整合是防護(hù)體系架構(gòu)的基礎(chǔ)。

2.2.1設(shè)備自身安全功能和配置一旦確定了設(shè)備所在的安全域，就可以根據(jù)其落入的安全域防護(hù)策略對設(shè)備進(jìn)行安全功能設(shè)置和策略部署。針對設(shè)備的安全配置，安徽中煙后期會制定《安徽中煙設(shè)備安全功能和配置系列規(guī)范》提供指導(dǎo)。

2.2.2基礎(chǔ)安全技術(shù)防護(hù)手段業(yè)務(wù)系統(tǒng)的安全防護(hù)應(yīng)以安全域劃分和邊界整合為基礎(chǔ)，通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網(wǎng)絡(luò)安全管控平臺等5類通用的基礎(chǔ)安全技術(shù)防護(hù)手段進(jìn)行防護(hù)。在通用手段的基礎(chǔ)上，還可根據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅種類和特點(diǎn)部署專用的基礎(chǔ)安全技術(shù)防護(hù)手段，如網(wǎng)頁防篡改、垃圾郵件過濾手段等。

防火墻部署防火墻要部署在各種互聯(lián)邊界之處：

–在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻；

–在核心交換區(qū)部署防火墻防護(hù)互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界；

–在內(nèi)部互聯(lián)接口區(qū)和內(nèi)部網(wǎng)絡(luò)的邊界也需部署防火墻?？紤]到內(nèi)部互聯(lián)風(fēng)險(xiǎn)較互聯(lián)網(wǎng)低，內(nèi)部互聯(lián)接口區(qū)防火墻可復(fù)用核心交換區(qū)部署的防火墻。另外，對于同一安全域內(nèi)的不同安全子域，可采用路由或交換設(shè)備進(jìn)行隔離和部署訪問控制策略，或者采用防火墻進(jìn)行隔離并設(shè)置訪問控制策略。入侵檢測設(shè)備的部署應(yīng)在互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)必須部署入侵檢測探頭，并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測中央服務(wù)器的控制。在經(jīng)濟(jì)許可或相應(yīng)合理要求下，也可在核心交換區(qū)部署入侵檢測探頭，實(shí)現(xiàn)對系統(tǒng)間互訪的監(jiān)控。防病毒系統(tǒng)的部署運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端，并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務(wù)器的統(tǒng)一管理。同時(shí)，為了提高可用性和便于防護(hù)，可在內(nèi)部互聯(lián)接口區(qū)部署二級防病毒服務(wù)器。異常流量檢測和過濾可在數(shù)據(jù)業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側(cè)部署異常流量檢測和過濾設(shè)備，防范和過濾來自互聯(lián)網(wǎng)的各類異常流量。

網(wǎng)絡(luò)安全管控平臺網(wǎng)絡(luò)安全管控平臺應(yīng)部署在網(wǎng)管網(wǎng)側(cè)，但為了簡化邊界和便于防護(hù)，建議：

–在內(nèi)部互聯(lián)接口區(qū)部署帳號口令采集設(shè)備以實(shí)現(xiàn)帳號同步等功能。

–在內(nèi)部互聯(lián)接口區(qū)必須部署日志采集設(shè)備，采集業(yè)務(wù)系統(tǒng)各設(shè)備的操作日志。

2.2.3應(yīng)用層安全防護(hù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)用安全防護(hù)主要是防范因業(yè)務(wù)流程、協(xié)議在設(shè)計(jì)或?qū)崿F(xiàn)方面存在的漏洞而發(fā)生安全事件。其安全防護(hù)與系統(tǒng)架構(gòu)、業(yè)務(wù)邏輯及其實(shí)現(xiàn)等系統(tǒng)自身的特點(diǎn)密切相關(guān)。安徽中煙通過參考IAARC模型，提出鑒別和認(rèn)證、授權(quán)與訪問控制、內(nèi)容安全、審計(jì)、代碼安全五個(gè)防護(hù)方面。

篇（2）

1安全域劃分模型。根據(jù)安徽中煙網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀，安徽中煙提出了如下安全域劃分模型，將整個(gè)網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)接口區(qū)、內(nèi)部網(wǎng)絡(luò)接口區(qū)，核心交換區(qū)，核心生產(chǎn)區(qū)四部分：核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價(jià)值最高的設(shè)備位于本區(qū)域，如服務(wù)器群、數(shù)據(jù)庫以及重要存儲設(shè)備，外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)，包括與國家局，商煙以及分支煙草連接的網(wǎng)絡(luò)。互聯(lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)負(fù)責(zé)連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

2安全域邊界整合。1）整合原則。邊界整合原則是主要依據(jù)分等級保護(hù)的原則和同類安全域合并。分等級防護(hù)是安全域方法的基本思想，這自然不必多說，同類安全域合并原則在落實(shí)時(shí)應(yīng)以一下思想為指導(dǎo)：集中化：在具備條件的情況下，同一業(yè)務(wù)系統(tǒng)應(yīng)歸并為一個(gè)大的安全域；次之，在每個(gè)機(jī)房的屬于同一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的節(jié)點(diǎn)應(yīng)歸并為一個(gè)大的安全域。跨系統(tǒng)整合：不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)之間的同類安全域應(yīng)在保證域間互聯(lián)安全要求的情況下進(jìn)行整合，以減小邊界和進(jìn)行防護(hù)。最小化：應(yīng)將與外部、內(nèi)部互聯(lián)的接口數(shù)量最小化，以便于集中、重點(diǎn)防護(hù)。2）整合方法。為了指導(dǎo)邊界整合，安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側(cè)重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點(diǎn)間的邊界整合，側(cè)重于數(shù)據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、外部系統(tǒng)間的接口的整合。（1）單一傳輸出口的邊界整合此種整個(gè)方法適用于：具備傳輸條件和網(wǎng)絡(luò)容災(zāi)能力，將現(xiàn)有數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個(gè)互備接口。（2）多個(gè)傳輸出口的邊界整合此種整個(gè)方法適用于：數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)之間有多個(gè)物理位置不同的接口，并且尚不具備傳輸條件整合各接口。

安全防護(hù)策略

1安全防護(hù)原則

集中防護(hù)。通過安全域劃分及邊界整合后，可以形成所謂的“大院”，減少了邊界，進(jìn)而可以在安全域的邊界和內(nèi)部部署防火墻、入侵檢測系統(tǒng)的網(wǎng)絡(luò)探頭、異常流量檢測和過濾設(shè)備、網(wǎng)絡(luò)安全管控平臺的采集設(shè)備、防病毒系統(tǒng)的客戶端等基礎(chǔ)安全技術(shù)防護(hù)手段，集中部署基礎(chǔ)安全服務(wù)設(shè)施，對不同業(yè)務(wù)系統(tǒng)、不同的安全子域進(jìn)行防護(hù)，共享其提供的安全服務(wù)。分等級防護(hù)。根據(jù)煙草行業(yè)信息安全等級保護(hù)要求，對不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)、不同的安全子域，按照其保護(hù)等級進(jìn)行相應(yīng)的防護(hù)。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進(jìn)行防護(hù)?？v深防護(hù)。從外部網(wǎng)絡(luò)到核心生產(chǎn)域，以及沿用戶（或其他系統(tǒng)）訪問（或入侵）系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護(hù)體系，對關(guān)鍵的信息資產(chǎn)進(jìn)行有效保護(hù)。

2系統(tǒng)安全防護(hù)

為適應(yīng)安全防護(hù)需求，統(tǒng)一、規(guī)范和提升網(wǎng)絡(luò)和業(yè)務(wù)的安全防護(hù)水平，安徽中煙制定了由安全域劃分和邊界整合、設(shè)備自身安全、基礎(chǔ)安全技術(shù)防護(hù)手段、安全運(yùn)行管理平臺四層構(gòu)成的安全技術(shù)防護(hù)體系架構(gòu)。其中，安全域劃分和邊界整合是防護(hù)體系架構(gòu)的基礎(chǔ)。

1）設(shè)備自身安全功能和配置。一旦確定了設(shè)備所在的安全域，就可以根據(jù)其落入的安全域防護(hù)策略對設(shè)備進(jìn)行安全功能設(shè)置和策略部署。針對設(shè)備的安全配置，安徽中煙后期會制定《安徽中煙設(shè)備安全功能和配置系列規(guī)范》提供指導(dǎo)。

篇（3）

1 引言

信息技術(shù)的發(fā)展給人們的生活帶來了天翻地覆的變化，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)融入了人們的日常生活中，改變著也同時(shí)方便了生活和工作。在人們對信息網(wǎng)絡(luò)的需求和依賴程度與日俱增的今天，網(wǎng)絡(luò)安全問題也越來越突出。因此，全面的分析影響網(wǎng)絡(luò)安全的主要原因，有針對性的提出進(jìn)行網(wǎng)絡(luò)安全保護(hù)的相關(guān)對策具有十分重要的意義。Internet的的兩個(gè)重要特點(diǎn)就是開放性和共享性，這也是導(dǎo)致開放的網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)系統(tǒng)安全隱患產(chǎn)生的原因。隨著對網(wǎng)絡(luò)安全問題研究的不斷深入，逐漸產(chǎn)生了不同的安全機(jī)制、安全策略和網(wǎng)絡(luò)安全工具，保障網(wǎng)絡(luò)安全。

計(jì)算機(jī)網(wǎng)絡(luò)安全事實(shí)上是一門涉及多學(xué)科理論知識的綜合性學(xué)科，主要包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、通信技術(shù)、數(shù)論、信息安全技術(shù)和信息論等多種不同學(xué)科。網(wǎng)絡(luò)安全防護(hù)是從硬件和軟件兩方面保護(hù)系統(tǒng)中的數(shù)據(jù)，使其免受惡意的入侵、數(shù)據(jù)更改和泄露、系統(tǒng)破壞，以保證系統(tǒng)能夠正常的連續(xù)運(yùn)行，網(wǎng)絡(luò)不被中斷。

2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅

網(wǎng)絡(luò)面臨的安全威脅也是各種各樣，自然災(zāi)害、網(wǎng)絡(luò)系統(tǒng)自身的脆弱性、誤操作、人為的攻擊和破壞等都是網(wǎng)絡(luò)面臨的威脅。

2.1 自然災(zāi)害

計(jì)算機(jī)網(wǎng)絡(luò)也是由各種硬件搭建而成，因此也是很容易受到外界因素的影響。很多計(jì)算機(jī)安放空間都缺乏防水、防火、防震、防雷、防電磁泄露等相關(guān)措施，因此，一旦發(fā)生自然災(zāi)害，或者外界環(huán)境，包括溫度、濕度等，發(fā)生劇烈變化時(shí)都會破化計(jì)算機(jī)系統(tǒng)的物理結(jié)構(gòu)。

2.2 網(wǎng)絡(luò)自身脆弱性

（1）計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施就是操作系統(tǒng)，是所有軟件運(yùn)行的基礎(chǔ)和保證。然而，操作系統(tǒng)盡管功能強(qiáng)大，具有很強(qiáng)的管理功能，但也有許多不安全因素，這些為網(wǎng)絡(luò)安全埋下了隱患。操作系統(tǒng)的安全漏洞容易被忽視，但卻危害嚴(yán)重。除操作系統(tǒng)外，其他軟件也會存在缺陷和漏洞，使計(jì)算機(jī)面臨危險(xiǎn)，在網(wǎng)絡(luò)連接時(shí)容易出現(xiàn)速度較慢或死機(jī)現(xiàn)象，影響計(jì)算機(jī)的正常使用。

（2）計(jì)算機(jī)網(wǎng)絡(luò)的開放性和自由性，也為攻擊帶來了可能。開放的網(wǎng)絡(luò)技術(shù)，使得物理傳輸線路以及網(wǎng)絡(luò)通信協(xié)議也成為網(wǎng)絡(luò)攻擊的新目標(biāo)，這會使軟件、硬件出現(xiàn)較多的漏洞，進(jìn)而對漏洞進(jìn)行攻擊，嚴(yán)重的還會導(dǎo)致計(jì)算機(jī)系統(tǒng)嚴(yán)重癱瘓。

（3）計(jì)算機(jī)的安全配置也容易出現(xiàn)問題，例如防火墻等，一旦配置出現(xiàn)錯(cuò)誤，就無法起到保護(hù)網(wǎng)絡(luò)安全的作用，很容易產(chǎn)生一些安全缺口，影響計(jì)算機(jī)安全。加之現(xiàn)有的網(wǎng)絡(luò)環(huán)境并沒有對用戶進(jìn)行技術(shù)上的限制，任何用戶可以自由的共享各類信息，這也在一定程度上加大了網(wǎng)絡(luò)的安全防護(hù)難度。

很多網(wǎng)民并不具有很強(qiáng)的安全防范意識，網(wǎng)絡(luò)上的賬戶密碼設(shè)置簡單，并且不注意保護(hù)，甚至很多重要賬戶的密碼都比較簡單，很容易被竊取，威脅賬戶安全。

2.3 人為攻擊

人為的攻擊是網(wǎng)絡(luò)面臨的最大的安全威脅。人為的惡意攻擊分為兩種：主動攻擊和被動攻擊。前者是指采取有效手段破壞制定目標(biāo)信息；后者主要是為了獲取或阻礙重要機(jī)密信息的傳遞，在不影響網(wǎng)絡(luò)正常的工作情況下，進(jìn)行信息的截獲、竊取、破譯。這兩種攻擊都會導(dǎo)致重要數(shù)據(jù)的泄露，對計(jì)算機(jī)網(wǎng)絡(luò)造成很大的危害。黑客們會利用系統(tǒng)或網(wǎng)絡(luò)中的缺陷和漏洞，采用非法入侵的手段，進(jìn)入系統(tǒng)，竊聽重要信息，或者通過修改、破壞信息網(wǎng)絡(luò)的方式，造成系統(tǒng)癱瘓或使數(shù)據(jù)丟失，往往會帶來嚴(yán)重不良影響和重大經(jīng)濟(jì)損失。

計(jì)算機(jī)病毒是一種人為開發(fā)的可執(zhí)行程序，具有潛伏性、傳染性、可觸發(fā)性和嚴(yán)重破壞性的特點(diǎn)。一般可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中，不會被輕易發(fā)現(xiàn)，也就使計(jì)算機(jī)病毒的擴(kuò)散十分迅速和難以防范，在文件的復(fù)制、文件和程序運(yùn)行過程中都會傳播。觸發(fā)病毒后可以迅速的破壞系統(tǒng)，輕則降低系統(tǒng)工作效率，重則破壞、刪除、改寫文件，使數(shù)據(jù)丟失，甚至?xí)茐南到y(tǒng)硬盤。平時(shí)在軟盤、硬盤、光盤和網(wǎng)絡(luò)的使用中都會傳播病毒。近年來也出現(xiàn)了的很多惡性病毒，例如“熊貓燒香病毒”等，在網(wǎng)絡(luò)上迅速傳播，產(chǎn)生了十分嚴(yán)重的不良后果。

除病毒之外，垃圾郵件和間諜軟件等也會威脅用戶的隱私和計(jì)算機(jī)安全。

3 網(wǎng)絡(luò)安全防護(hù)措施

3.1 提高安全防護(hù)技術(shù)手段

計(jì)算機(jī)安全防護(hù)手段主要包括防火墻技術(shù)、加密技術(shù)、訪問控制和病毒防范等?？偟膩碚f，提高防護(hù)手段，主要是從計(jì)算機(jī)系統(tǒng)管理和物理安全兩方面著手。

計(jì)算機(jī)網(wǎng)絡(luò)安全，首先要從管理著手，一是對于使用者要進(jìn)行網(wǎng)絡(luò)安全教育，提高自我防范意識。二是要依靠完整的網(wǎng)絡(luò)安全管理制度，嚴(yán)格網(wǎng)絡(luò)執(zhí)法，打擊不法分子的網(wǎng)絡(luò)犯罪。另外，要加強(qiáng)網(wǎng)絡(luò)用戶的法律法規(guī)意識和道德觀念，減少惡意攻擊，同時(shí)傳播網(wǎng)絡(luò)防范基本技能，使用戶能夠利用計(jì)算機(jī)知識同黑客和計(jì)算機(jī)病毒等相抗衡。

物理安全是提高網(wǎng)絡(luò)安全性和可靠性的基礎(chǔ)。物理安全主要是網(wǎng)絡(luò)的物理環(huán)境和硬件安全。首先，要保證計(jì)算機(jī)系統(tǒng)的實(shí)體在安全的物理環(huán)境中。網(wǎng)絡(luò)的機(jī)房和相關(guān)的設(shè)施，都有嚴(yán)格的標(biāo)準(zhǔn)和要求要遵循。還要控制物理訪問權(quán)限，防止未經(jīng)授權(quán)的個(gè)人，有目的的破壞或篡改網(wǎng)絡(luò)設(shè)施。

3.2 完善漏洞掃描設(shè)施

漏洞掃描是一種采取自動檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)，通過掃描主要的服務(wù)端口，記錄目標(biāo)主機(jī)的響應(yīng)，來收集一些特定的有用信息。漏洞掃描主要就是實(shí)現(xiàn)安全掃描的程序，可以在比較短的時(shí)間內(nèi)查出系統(tǒng)的安全脆弱點(diǎn)，從而為系統(tǒng)的程序開發(fā)者提供有用的參考。這也能及時(shí)的發(fā)現(xiàn)問題，從而盡快的找到解決問題的方法。

4 結(jié)束語

經(jīng)過本文的分析，在通訊技術(shù)高速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也不斷的更新和發(fā)展，我們在使用網(wǎng)絡(luò)的同時(shí)，也要不斷加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)。新的應(yīng)用會不斷產(chǎn)生，網(wǎng)絡(luò)安全的研究也必定會不斷深入，以最大限度地提高計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù)，降低網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)信息平臺交流的安全性和持續(xù)性。

參考文獻(xiàn)

[1]趙真.淺析計(jì)算機(jī)網(wǎng)絡(luò)的安全問題及防護(hù)策略[J].上海工程技術(shù)學(xué)院教育研究，2010，（03）：65-66.

篇（4）

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)22-5312-02

隨著信息軍事時(shí)代的來臨，“網(wǎng)絡(luò)中心戰(zhàn)”、“網(wǎng)絡(luò)中心行動”成為當(dāng)前軍事領(lǐng)域戰(zhàn)爭行動的基本方式。軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)是實(shí)施網(wǎng)絡(luò)中心戰(zhàn)、網(wǎng)絡(luò)中心行動的關(guān)鍵基礎(chǔ)設(shè)施，是敵重點(diǎn)攻擊的對象，其安全防護(hù)情況直接關(guān)系其效能作用的發(fā)揮，關(guān)系到戰(zhàn)爭的勝負(fù)，因此必須認(rèn)真研究分析其安全形勢，剖析存在問題，采取有力措施，提高安全防護(hù)能力。

1軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全形勢分析

1.1形勢的嚴(yán)峻性

信息軍事時(shí)代，信息安全成為軍隊(duì)安全的重中之重。軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)是承載信息的重要平臺，圍繞網(wǎng)絡(luò)展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區(qū)利用網(wǎng)絡(luò)大肆竊取我軍秘密信息，并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰(zhàn)手段對我網(wǎng)絡(luò)進(jìn)行破壞，嚴(yán)重威脅著國家和軍隊(duì)安全。

1.2威脅的多元性

軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)雖然在物理上與其他網(wǎng)絡(luò)隔離，但是由于系統(tǒng)建設(shè)規(guī)模大、涉及領(lǐng)域廣、組織結(jié)構(gòu)復(fù)雜、缺乏嚴(yán)密的法規(guī)標(biāo)準(zhǔn)，使得軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)異常困難，從某種意義上講，計(jì)算機(jī)網(wǎng)絡(luò)上任何一個(gè)環(huán)節(jié)和關(guān)節(jié)點(diǎn)的被突破，都可能使全網(wǎng)和全系統(tǒng)癱瘓，后果不堪設(shè)想。

1.3事件的突發(fā)性

計(jì)算機(jī)網(wǎng)絡(luò)安全威脅往往具有潛伏性和不可預(yù)測性，對被攻擊方而言安全事件呈現(xiàn)出極強(qiáng)的突發(fā)性，被攻擊方往往會喪失寶貴的防御時(shí)間，為信息安全事件處置帶來極大的挑戰(zhàn)，計(jì)算機(jī)網(wǎng)絡(luò)安全威脅中的很多事件還沒有被察覺，就已經(jīng)造成不可預(yù)料的損失。目前，計(jì)算機(jī)芯片、骨干路由器和微機(jī)主板等核心技術(shù)多數(shù)仍由國外進(jìn)口，一旦敵對勢力在特定的時(shí)間激活惡意程序，就可以在我們毫無察覺的情況下瞬間發(fā)起攻擊，造成整個(gè)系統(tǒng)的癱瘓。

1.4處置的艱巨性

信息化條件下，信息爭奪空間巨大、流動性強(qiáng)，領(lǐng)域不斷拓展，安全隱患不斷增多。而當(dāng)前部隊(duì)部分人員信息安全觀念淡?。话踩雷o(hù)技術(shù)手段落后，針對性應(yīng)急處置手段缺乏；法規(guī)制度不完備，組織安全防護(hù)力度差，對部分安全事件防護(hù)處置策略缺少相應(yīng)的規(guī)范和力量。軍事網(wǎng)絡(luò)失泄密一旦發(fā)生，將導(dǎo)致整個(gè)網(wǎng)絡(luò)震蕩，失密影響范圍廣泛，泄密后果十分嚴(yán)重。

2軍隊(duì)計(jì)算絡(luò)安全存在的主要問題

計(jì)算機(jī)網(wǎng)絡(luò)安全保密工作十分重要，目前，我軍計(jì)算機(jī)網(wǎng)絡(luò)安全方面還存在以下問題：

2.1網(wǎng)絡(luò)安全防護(hù)意識比較淡薄

目前，部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)普遍受到高度重視，但是有些單位僅僅看到網(wǎng)絡(luò)建設(shè)帶來的顯著效益和便利，而對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防護(hù)建設(shè)同步規(guī)劃、同步建設(shè)的認(rèn)識較為短淺。從計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)投入看，國外計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)投入占整體投入的10-20%，我國僅占到2-5%，不足國外的四分之一，軍隊(duì)在此方面的投入也明顯不足。同時(shí)，受長期和平環(huán)境影響，“有密難保、無密可?！钡乃枷胍庾R普遍存在，對網(wǎng)絡(luò)安全問題關(guān)注不夠，思想意識比較淡薄，影響到計(jì)算機(jī)網(wǎng)絡(luò)整體安全防護(hù)建設(shè)的發(fā)展。

2.2網(wǎng)絡(luò)安全防護(hù)建設(shè)相對滯后

我軍圍繞作戰(zhàn)應(yīng)用需求，重點(diǎn)加強(qiáng)了光纖傳輸鏈路建設(shè)，網(wǎng)絡(luò)基礎(chǔ)已經(jīng)比較配套，但安全防護(hù)建設(shè)卻明顯滯后。部分單位未對網(wǎng)絡(luò)進(jìn)行防火墻、保密機(jī)配套建設(shè)；相當(dāng)數(shù)量的終端沒有安裝防病毒系統(tǒng)；入侵檢測沒有完全發(fā)揮起作用；安防系統(tǒng)系統(tǒng)建設(shè)各自為戰(zhàn)，無法形成整體安全防護(hù)體系等，這些都制約了計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)整體水平的發(fā)展。。

2.3網(wǎng)絡(luò)安全防護(hù)標(biāo)準(zhǔn)尚未健全

當(dāng)前，我軍陸續(xù)頒布了一系列與網(wǎng)絡(luò)信息安全相關(guān)的法律法規(guī)，但在安全保密等級劃分、網(wǎng)絡(luò)安全體系規(guī)范、網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)防護(hù)手段使用規(guī)范等方面仍存在不足。例如，對軍隊(duì)網(wǎng)絡(luò)安全體系建設(shè)標(biāo)準(zhǔn)中部分設(shè)備、系統(tǒng)未進(jìn)行明確；安全防護(hù)等級雖已明確，但配套手段還沒有統(tǒng)一進(jìn)行明確，無法達(dá)到最佳防護(hù)。同時(shí)，制度標(biāo)準(zhǔn)的落實(shí)情況也令人堪憂，有令不行、有禁不止的現(xiàn)象隨處可見，這些都對軍用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)帶來了巨大的安全隱患。

2.4網(wǎng)絡(luò)核心技術(shù)受制于人

雖然近年來我國的信息技術(shù)得以飛速發(fā)展，但仍沒有擺脫技術(shù)落后的局面，特別是計(jì)算機(jī)芯片、操作系統(tǒng)、路由協(xié)調(diào)等核心技術(shù)仍然沒有擺脫國外的束縛。目前，我軍大多數(shù)信息網(wǎng)絡(luò)采用的都是微軟的windows系列操作系統(tǒng)和TCP／IP、IPX／SPX等網(wǎng)絡(luò)協(xié)議，這些系統(tǒng)的共同特點(diǎn)是在設(shè)計(jì)之初主要考慮了易用性而忽視了系統(tǒng)安全性，使軍事信息網(wǎng)絡(luò)自身從建設(shè)之初就存在安全隱患。

3加強(qiáng)軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的對策措施

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用與安全防護(hù)問題相生相伴，是“矛”和“盾”的關(guān)系，信息安全問題將長期存在，不可能徹底避免和消除。為此，必須著眼防患于未然，積極建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系，有效提升網(wǎng)絡(luò)安全防護(hù)能力，確?！胺欠ㄓ脩暨M(jìn)不來，秘密信息取不走，網(wǎng)絡(luò)平臺摧不垮”。

3.1強(qiáng)化人員安全防護(hù)意識

強(qiáng)化軍隊(duì)人員的信息安全意識，一是通過大眾傳播媒介，增強(qiáng)信息安全意識，普及信息安全知識，依托信息服務(wù)網(wǎng)站開設(shè)信息網(wǎng)絡(luò)安全知識普及專欄，提高安全防護(hù)能力，增強(qiáng)部隊(duì)官兵信息安全防范意識。二是積極組織各種專題討論和培訓(xùn)班，培養(yǎng)信息安全人才，使部隊(duì)有計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)方面的“明白人”。三是要積極開展安全策略研究，明確安全責(zé)任，增強(qiáng)人員的責(zé)任心，全面提高部隊(duì)信息安全防護(hù)能力。

3.2建立健全安全管理機(jī)制

針對我軍軍事信息網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，制定和完善軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)、管理與安全防護(hù)機(jī)制，確立網(wǎng)絡(luò)安全防護(hù)工作科學(xué)、合理的運(yùn)行機(jī)制。一是配套法規(guī)標(biāo)準(zhǔn)。建立健全制度規(guī)定，明確各級責(zé)任、措施、手段；制定標(biāo)準(zhǔn)規(guī)范，明確建設(shè)技術(shù)體制；規(guī)劃安全策略，明確設(shè)備系統(tǒng)防護(hù)標(biāo)準(zhǔn)，以完善網(wǎng)絡(luò)安全法律體系，使信息安全管理走上法制化軌道，確保信息網(wǎng)絡(luò)安全有法可依、有章可循。二是建立協(xié)調(diào)機(jī)制。信息安全防護(hù)工作涉及多個(gè)業(yè)務(wù)職能部門，加強(qiáng)部門之間的相互協(xié)調(diào)、相互補(bǔ)充、統(tǒng)一規(guī)劃、統(tǒng)一管理，提升整體防護(hù)能力。三是組建安全隊(duì)伍。建立計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中心，明確安全防護(hù)機(jī)制，建立安全防護(hù)組織領(lǐng)導(dǎo)管理機(jī)構(gòu)，明確領(lǐng)導(dǎo)及工作人員，制定管理崗位責(zé)任制及有關(guān)措施，嚴(yán)格內(nèi)部安全管理機(jī)制，并對破壞網(wǎng)絡(luò)信息安全的事件進(jìn)行調(diào)查和處理，確保網(wǎng)絡(luò)信息的安全。

3.3構(gòu)建安全技術(shù)防護(hù)體系

重點(diǎn)加強(qiáng)四個(gè)體系建設(shè)：一是安全監(jiān)察體系。建立健全網(wǎng)絡(luò)安全監(jiān)察機(jī)制；配套建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測、流量分析、行為審計(jì)等系統(tǒng)，增強(qiáng)安全事件的融合分析能力；配備安全管理系統(tǒng)，實(shí)現(xiàn)對全網(wǎng)安全策略的統(tǒng)一管理和控制；加強(qiáng)安全服務(wù)保障體系建設(shè)，提供病毒庫升級、補(bǔ)丁分發(fā)、安全預(yù)警等安全服務(wù)，通過各系統(tǒng)的綜合應(yīng)用，提高網(wǎng)絡(luò)的綜合安全分析能力。二是終端防護(hù)體系。建立協(xié)調(diào)管理機(jī)制，規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)；強(qiáng)化系統(tǒng)訪問控制，設(shè)定用戶訪問權(quán)限，防止非法用戶侵入或合法用戶不慎操作所造成的破壞；加強(qiáng)實(shí)體鑒別，保證用戶在獲取信息過程中不受干擾、不被假冒，確保用戶終端實(shí)體的可信；加強(qiáng)身份認(rèn)證，為設(shè)備、用戶、應(yīng)用等頒發(fā)數(shù)字證書，并提供數(shù)字簽名、身份驗(yàn)證、訪問控制等服務(wù)，防止非授權(quán)接入和訪問；加強(qiáng)終端保護(hù)，進(jìn)行終端操作系統(tǒng)的安全加固，防止非法登錄網(wǎng)絡(luò)，保證終端資源的可控；提供病毒防護(hù)功能，適時(shí)查殺病毒、檢查漏洞；提供主機(jī)入侵檢測功能，防止對終端的攻擊行為，從而全面建立終端防護(hù)體系，為終端用戶構(gòu)造一個(gè)安全環(huán)境。三是安全評估體系。按照軍隊(duì)有關(guān)防護(hù)標(biāo)準(zhǔn)，綜合運(yùn)用漏洞掃描、取證分析、滲透測試、入侵檢測等系統(tǒng)和手段對網(wǎng)絡(luò)進(jìn)行掃描分析，客觀分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，對安全事件可能造成的危害程度進(jìn)行科學(xué)的定性定量分析，并提出有針對性的防護(hù)對策和整改措施，全面防范、化解和減少信息安全風(fēng)險(xiǎn)。四是應(yīng)急響應(yīng)體系。加強(qiáng)信息安全應(yīng)急支援隊(duì)伍建設(shè)，明確應(yīng)急響應(yīng)處置方法及原則；充分考慮抗毀性與災(zāi)難恢復(fù)，制定和完善應(yīng)急處置預(yù)案根據(jù)安全級別的要求來制定響應(yīng)策略；建立容災(zāi)備份設(shè)施系統(tǒng)，規(guī)范備份制度與流程，對域名系統(tǒng)、網(wǎng)管系統(tǒng)、郵件系統(tǒng)及重要業(yè)務(wù)系統(tǒng)等重要信息、數(shù)據(jù)適時(shí)進(jìn)行備份，確保系統(tǒng)崩潰以后能夠在最短時(shí)間內(nèi)快速恢復(fù)運(yùn)行，提高信息網(wǎng)絡(luò)的安全性和抗毀性。

3.4發(fā)展自主信息安全產(chǎn)業(yè)

自主信息產(chǎn)業(yè)或信息產(chǎn)品國產(chǎn)化能夠?yàn)樾畔踩峁└弑ＷC。要加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全保密設(shè)備和系統(tǒng)的“軍產(chǎn)化”，“獨(dú)立化”建設(shè)。為此，應(yīng)抓好以下幾個(gè)方面的工作：一是組織核心技術(shù)攻關(guān)，如研發(fā)自主操作系統(tǒng)、密碼專用芯片和安全處理器等，狠抓技術(shù)及系統(tǒng)的綜合集成，以確保軍用計(jì)算機(jī)信息系統(tǒng)安全。二是加強(qiáng)關(guān)鍵技術(shù)研究，如密碼技術(shù)、鑒別技術(shù)、病毒防御技術(shù)、入侵檢測技術(shù)等，有效提高軍用計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)能力。三是尋求監(jiān)測評估手段，如網(wǎng)絡(luò)偵察技術(shù)、信息監(jiān)測技術(shù)、風(fēng)險(xiǎn)管理技術(shù)、測試評估技術(shù)等，構(gòu)建具有我軍特色、行之有效的計(jì)算機(jī)網(wǎng)絡(luò)安全保密平臺，實(shí)現(xiàn)網(wǎng)絡(luò)及終端的可信、可管、可控，擺脫網(wǎng)絡(luò)安全受制于人的被動局面。

軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)涉及要素眾多，是一個(gè)系統(tǒng)的整體的過程。在進(jìn)行防護(hù)時(shí)，要充分認(rèn)清計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢，認(rèn)真查找存在的問題，系統(tǒng)整體的采取有針對性的防范措施，從而提高網(wǎng)絡(luò)安全防護(hù)能力。

參考文獻(xiàn)：

[1]曹旭.計(jì)算機(jī)網(wǎng)絡(luò)安全策略探討[J].計(jì)算機(jī)安全,2011(21).

[2]劉萍.計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)探討[J].科技信息，2010(15).

篇（5）

2網(wǎng)絡(luò)安全防控措施

在醫(yī)院網(wǎng)絡(luò)環(huán)境在面臨著黑客攻擊、病毒入侵等眾多的網(wǎng)絡(luò)安全攻擊手段的安全隱患下，應(yīng)該首先堅(jiān)持以不變應(yīng)萬變處理原則，首先加強(qiáng)醫(yī)院在網(wǎng)絡(luò)方面的安全管理，制定完善的網(wǎng)絡(luò)完全防護(hù)制度，對每一個(gè)參與對醫(yī)院網(wǎng)絡(luò)訪問的工作人員或者管理人員分配響應(yīng)的安全責(zé)任，加強(qiáng)安全意識的培養(yǎng)，最終實(shí)現(xiàn)對網(wǎng)絡(luò)安全環(huán)境的有效監(jiān)控。同時(shí)在日常安全防護(hù)管理過程中，如有發(fā)現(xiàn)問題，應(yīng)當(dāng)立即采取措施予以解決，并總結(jié)經(jīng)驗(yàn)教訓(xùn)，保證以后在出現(xiàn)同樣狀況時(shí)能夠快速正確的解決問題。同時(shí)對工作人員安全意識方面，還需要設(shè)立專門的網(wǎng)絡(luò)安全防護(hù)部門，一方面用于對醫(yī)院網(wǎng)絡(luò)的安全防護(hù)進(jìn)行管理，另外一方面用于對醫(yī)院相關(guān)工作人員做網(wǎng)絡(luò)安全操作培訓(xùn)。在基礎(chǔ)設(shè)計(jì)防護(hù)方面，可以再軟件上面和硬件方面做出不同的安全防護(hù)手段，比如說安裝防火墻、使用殺毒軟件等方式來確保醫(yī)院網(wǎng)絡(luò)系統(tǒng)不會受到網(wǎng)絡(luò)攻擊。

篇（6）

網(wǎng)絡(luò)的安全漏洞一般而言不容易完全避免，在設(shè)計(jì)之初并不能做到盡善盡美。就現(xiàn)在的情況而言，漏洞的蔓延往往防不勝防，很難及時(shí)發(fā)現(xiàn)漏洞侵襲，導(dǎo)致真正需要應(yīng)對時(shí)早已損失慘重。一旦重要部分如操作系統(tǒng)遭到漏洞攻擊，其造成的損害也非常巨大。安全技術(shù)防護(hù)面臨的節(jié)點(diǎn)數(shù)不勝數(shù)，但攻擊者只需要突破其中一點(diǎn)，就可以造成大片的損失，這是由網(wǎng)絡(luò)本身的結(jié)構(gòu)所決定的。

1.2網(wǎng)絡(luò)管理制度缺位

就管理制度而言，現(xiàn)階段網(wǎng)絡(luò)管理缺少一套整體適用的系統(tǒng)方案，在標(biāo)準(zhǔn)方面往往各自為政，大多數(shù)情況下都是根據(jù)各自需要選擇相應(yīng)的安全手段，從而形成一個(gè)配合并不密切的整體。這樣如同臨時(shí)七拼八湊起來的結(jié)構(gòu)，自然無法面對無處不在無從預(yù)防的網(wǎng)絡(luò)侵襲。雖然部分企業(yè)從全局出發(fā)進(jìn)行安全技術(shù)設(shè)計(jì)，但是軟件和硬件本身的隔離，以及國家在系統(tǒng)軟件方面的力不從心，導(dǎo)致其自身的努力并不能完全實(shí)現(xiàn)。要完全改變現(xiàn)狀，就要從整體上重新設(shè)計(jì)架構(gòu)，盡量明確管理，確定責(zé)任，并完善自身的防御功能，以緩解危機(jī)。

1.3網(wǎng)絡(luò)對應(yīng)安全策略缺乏

現(xiàn)階段已正式建立了計(jì)算機(jī)網(wǎng)絡(luò)安全體系，但其應(yīng)變不及時(shí)，在安全體系遭到破壞之后，恢復(fù)和修復(fù)工作不甚理想。而事先預(yù)防的難度又太大，難以完全做到防患未然。因此，企圖依靠預(yù)防來進(jìn)行完全控制并不現(xiàn)實(shí)，而完全依靠恢復(fù)和補(bǔ)救的方式又比較被動。應(yīng)急性的方案并不多，可以操作的臨時(shí)安全系統(tǒng)也缺乏實(shí)用性?！暗诙婪谰€”的建立，還需要付出更多的努力。對應(yīng)的安全策略缺乏，還體現(xiàn)在面對各類不同的網(wǎng)絡(luò)侵襲行為時(shí)，由于相關(guān)的安全防護(hù)手段有其特定的安全防護(hù)范圍，不得不依靠多種安全技術(shù)互相堆疊，而這些技術(shù)可能會互相沖突，或者導(dǎo)致其中一部分失效，從而影響安全技術(shù)的整體應(yīng)用和各個(gè)部分的有效發(fā)揮。

1.4局域網(wǎng)的開放性漏洞

局域網(wǎng)是建立在資源共享的基礎(chǔ)上的，因此其安全防護(hù)并沒有互聯(lián)網(wǎng)那樣嚴(yán)密，但是由于準(zhǔn)入機(jī)制過于疏松，導(dǎo)致內(nèi)部數(shù)據(jù)很容易被混進(jìn)來的操作混亂和遺失。如局域網(wǎng)很容易被網(wǎng)絡(luò)釣魚者接入，然后竊取和篡改其資料，造成巨大的損失?？傮w來說，要在建設(shè)局域網(wǎng)的時(shí)候加強(qiáng)其端口的準(zhǔn)入設(shè)計(jì)，對于連接外網(wǎng)的情況，要有足夠的審核方式來進(jìn)行篩選和控制。

2網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景

當(dāng)前網(wǎng)絡(luò)技術(shù)存在的缺陷是“道高一尺魔高一丈”的狀況的體現(xiàn)，被動的安全技術(shù)對主動的破解技術(shù)而言是處于劣勢狀態(tài)的。但這并不會影響到網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景，正因?yàn)槊媾R著更多安全威脅，才會刺激網(wǎng)絡(luò)安全技術(shù)的進(jìn)一步發(fā)展，從而實(shí)現(xiàn)更高的飛躍。

2.1安全防護(hù)模式進(jìn)入智能控制階段

網(wǎng)絡(luò)安全技術(shù)的發(fā)展是在收集數(shù)據(jù)、分析防御方式、尋找問題的過程中逐步發(fā)展起來的，現(xiàn)階段由于僅限于歸納已有的問題，而陷入被動的窘境之中。隨著網(wǎng)絡(luò)的進(jìn)一步優(yōu)化，相信計(jì)算機(jī)的智能化會帶動安全技術(shù)的智能化，從而自動的進(jìn)行最優(yōu)選擇。而隨著未來完善的NGN網(wǎng)絡(luò)的建立，相信這樣的控制并非虛妄之言。

篇（7）

在信息高速發(fā)展的今天，全球化的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)打破了傳統(tǒng)的地域限制，世界各地應(yīng)用網(wǎng)絡(luò)越來越廣泛。但是隨著通過對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的不斷增加，其不穩(wěn)定因素也隨之增加，為了保障網(wǎng)絡(luò)環(huán)境的動態(tài)安全，應(yīng)采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù)，實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動防御。

1 動態(tài)安全防護(hù)機(jī)理分析

要實(shí)現(xiàn)網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全防護(hù)，必須能夠在保證設(shè)備本身安全的前提下對進(jìn)入設(shè)備的數(shù)據(jù)流進(jìn)行即時(shí)檢測和行為分析，根據(jù)分析結(jié)果匹配相應(yīng)的響應(yīng)策略，并實(shí)時(shí)將策略應(yīng)用于網(wǎng)絡(luò)交換設(shè)備訪問控制硬件，達(dá)到阻斷后續(xù)攻擊、保護(hù)網(wǎng)絡(luò)交換設(shè)備正常業(yè)務(wù)運(yùn)行的目的。

2 設(shè)計(jì)與實(shí)現(xiàn)

2.1 安全主動防御模型設(shè)計(jì)

網(wǎng)絡(luò)安全主動防御通過采用積極主動的網(wǎng)絡(luò)安全防御手段，和傳統(tǒng)的靜態(tài)安全防御手段結(jié)合，構(gòu)筑安全的防御體系模型。網(wǎng)絡(luò)安全主動防御模型是一個(gè)可擴(kuò)展的模型，由管理、策略和技術(shù)三個(gè)層次組成：

1）管理層是整個(gè)安全模型的核心，通過合理的組織體系、規(guī)章制度和措施，把具有信息安全防御功能的軟硬件設(shè)施和使用信息的人整合在一起，確保整個(gè)系統(tǒng)達(dá)到預(yù)定程度的信息安全。

2）策略層是整個(gè)網(wǎng)絡(luò)安全防御的基礎(chǔ)，通過安全策略來融合各種安全技術(shù)達(dá)到網(wǎng)絡(luò)安全最大化。

3）技術(shù)層主要包括監(jiān)測、預(yù)警、保護(hù)、檢測、響應(yīng)。

監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)潛在的隱患，防患于未然。預(yù)警是對可能發(fā)生的網(wǎng)絡(luò)攻擊給出預(yù)先的警告，主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅。保護(hù)是指根據(jù)數(shù)據(jù)流的行為分析結(jié)果所提前采取的技術(shù)防護(hù)手段。檢測是指對系統(tǒng)當(dāng)前運(yùn)行狀態(tài)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者。響應(yīng)是對危及網(wǎng)絡(luò)交換設(shè)備安全的事件和行為做出反應(yīng)，根據(jù)檢測結(jié)果分別采用不同的響應(yīng)策略。

這幾個(gè)部分相輔相成，相互依托，共同構(gòu)建集主動、被動防御于一體的網(wǎng)絡(luò)交換設(shè)備安全立體防護(hù)模型。

網(wǎng)絡(luò)安全預(yù)警模塊通過網(wǎng)絡(luò)主動掃描與探測技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)信息的主動獲取，建立起相對于攻擊者的信息優(yōu)勢。網(wǎng)絡(luò)安全預(yù)警模塊根據(jù)數(shù)據(jù)流行為分析的具體結(jié)果，針對有安全風(fēng)險(xiǎn)的設(shè)備采用通用的網(wǎng)絡(luò)交換設(shè)備掃描與探測技術(shù)進(jìn)行實(shí)時(shí)監(jiān)控，隨時(shí)掌握這些設(shè)備的當(dāng)前狀態(tài)信息，并根據(jù)其狀態(tài)的變化實(shí)時(shí)更新網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的相關(guān)表項(xiàng)，使網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行模式匹配時(shí)所使用的規(guī)則符合當(dāng)前網(wǎng)絡(luò)中的實(shí)際情況，有效地提升系統(tǒng)的安全防護(hù)能力和效率。

安全管理平臺主要由安全策略表、日志報(bào)警管理和用戶操作管理組成。其中，安全策略表是網(wǎng)絡(luò)數(shù)據(jù)流處理的依據(jù)，數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對匹配的數(shù)據(jù)流進(jìn)行相應(yīng)的控制和處理。日志報(bào)警管理通過查詢數(shù)據(jù)流行為安全分析、網(wǎng)絡(luò)安全預(yù)警等模塊產(chǎn)生的工作日志，對其內(nèi)容進(jìn)行動態(tài)監(jiān)視，根據(jù)預(yù)設(shè)報(bào)警級別和報(bào)警方式產(chǎn)生相應(yīng)的報(bào)警信息并通知系統(tǒng)維護(hù)人員進(jìn)行相應(yīng)處理。用戶操作管理實(shí)時(shí)接收用戶輸入命令，完成命令解釋，實(shí)現(xiàn)對安全防護(hù)系統(tǒng)的相關(guān)查詢和配置管理。

2.2 動態(tài)策略聯(lián)動響應(yīng)設(shè)計(jì)

（1）數(shù)據(jù)流分類

網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)入時(shí)，首先根據(jù)訪問控制規(guī)則對數(shù)據(jù)流進(jìn)行過濾，過濾通過的報(bào)文在向上遞交的同時(shí)被鏡像到數(shù)據(jù)流識別及分類處理模塊，該模塊首先通過源IP、目的IP、源端口、目的端口、協(xié)議類型五元組對數(shù)據(jù)流進(jìn)行分類，然后根據(jù)流識別數(shù)據(jù)庫的預(yù)設(shè)規(guī)則確定數(shù)據(jù)流的分類結(jié)果。在分類處理過程中，為提高處理效率，首先將五維分類查找問題分解降維為二維問題，利用成熟的二維IP分類算法進(jìn)行初步分類。由于協(xié)議類型僅限于幾個(gè)值，所以可以壓縮所有分類規(guī)則中協(xié)議類型字段，將其由8位壓縮為3位，節(jié)省數(shù)據(jù)庫空間。由于規(guī)則實(shí)際所用到的端口號為0-65535中極少一部分，協(xié)議值和端口值不同情況的組合數(shù)目遠(yuǎn)遠(yuǎn)小于最大理論值。

（2）深度特征匹配

數(shù)據(jù)流在進(jìn)行分類識別后，送入并行檢測器進(jìn)行深度特征匹配，匹配結(jié)果送入行為安全分析模塊進(jìn)行綜合分析和判斷，并根據(jù)具體分析結(jié)果進(jìn)行相應(yīng)的策略響應(yīng)。檢測器通過預(yù)設(shè)在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對應(yīng)用報(bào)文中的多個(gè)相關(guān)字段進(jìn)行特征檢查和匹配，最終確定該數(shù)據(jù)流的屬性。

為了保證檢測器處理入侵信息的完整性，每個(gè)檢測器只負(fù)責(zé)某一類（或幾類）具體應(yīng)用網(wǎng)絡(luò)流量的檢測，檢測器之間采用基于應(yīng)用的負(fù)載均衡算法，該算法根據(jù)各檢測器的當(dāng)前負(fù)載情況和可用性狀況來動態(tài)調(diào)節(jié)各檢測器負(fù)載，具體原則為：同一類型應(yīng)用報(bào)文分配到同一類檢測器，同類型應(yīng)用報(bào)文基于負(fù)載最小優(yōu)先原則進(jìn)行檢測器分配。

（3）策略聯(lián)動響應(yīng)

檢測到網(wǎng)絡(luò)攻擊時(shí)，數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險(xiǎn)等級采取相應(yīng)的攻擊響應(yīng)機(jī)制，對普通危險(xiǎn)等級的攻擊只報(bào)告和記錄攻擊事件，對高危險(xiǎn)的攻擊使用主動實(shí)時(shí)響應(yīng)機(jī)制。主動響應(yīng)機(jī)制能有效提高系統(tǒng)的防御能力，為了避免產(chǎn)生誤聯(lián)動，主要是為一些關(guān)鍵的敏感業(yè)務(wù)流提供更高等級的保護(hù)。主動響應(yīng)機(jī)制將與安全策略直接聯(lián)動，阻止信息流穿越網(wǎng)絡(luò)邊界，切斷惡意的網(wǎng)絡(luò)連接操作。

3 應(yīng)用驗(yàn)證

通過設(shè)計(jì)一臺基于動態(tài)策略聯(lián)動響應(yīng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)的安全網(wǎng)絡(luò)交換設(shè)備來驗(yàn)證該技術(shù)在實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境中的安全防護(hù)能力。安全網(wǎng)絡(luò)交換設(shè)備的硬件邏輯由數(shù)據(jù)處理模塊，安全監(jiān)測模塊和管理控制模塊組成。

該應(yīng)用驗(yàn)證環(huán)境在設(shè)計(jì)上的主要特點(diǎn)在于：

1）該系統(tǒng)以可自主控制的高性能網(wǎng)絡(luò)交換芯片為硬件核心，并針對網(wǎng)絡(luò)攻擊特點(diǎn)對網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件進(jìn)行修改和完善，從根本上保證了網(wǎng)絡(luò)交換設(shè)備本身的安全性。

2）安全監(jiān)測模塊與網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件相對獨(dú)立，保證了網(wǎng)絡(luò)交換設(shè)備在遭受攻擊時(shí)安全監(jiān)測和處理任務(wù)不受影響。

3）安全監(jiān)測模塊可根據(jù)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)行為分析結(jié)果對網(wǎng)絡(luò)交換設(shè)備硬件進(jìn)行實(shí)時(shí)安全防護(hù)設(shè)置，實(shí)現(xiàn)動態(tài)策略聯(lián)動應(yīng)對。

4 結(jié)論

為了解決網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全問題，采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù)，可實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動防御。通過Snort等常用攻擊軟件對安全網(wǎng)絡(luò)交換設(shè)備進(jìn)行測試，結(jié)果表明，該安全網(wǎng)絡(luò)交換設(shè)備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務(wù)攻擊等多種網(wǎng)絡(luò)攻擊形式，保證網(wǎng)絡(luò)交換設(shè)備的正常業(yè)務(wù)不受影響，同時(shí)能夠正確產(chǎn)生安全日志和相應(yīng)的報(bào)警信息。并且基于該技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)交換設(shè)備已應(yīng)形成產(chǎn)品，實(shí)際使用情況良好。

篇（8）

doi：10.3969/j.issn.1673 - 0194.2016.24.028

[中圖分類號]TP393.08 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2016）24-00-02

隨著信息化的逐步發(fā)展，國內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平，打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來便捷的同時(shí)，也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來的影響。因此，越來越多的煙草企業(yè)對如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。

1 威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素

受各種因素影響，煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。

1.1 人為因素

人為的無意失誤，如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。人為的惡意攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。

1.2 軟硬件因素

網(wǎng)絡(luò)安全設(shè)備投資方面，行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位，但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設(shè)想。另外，各種新型病毒發(fā)展迅速，超出防火墻屏蔽能力等，都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。

1.3 結(jié)構(gòu)性因素

煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，多數(shù)采用的是混合型結(jié)構(gòu)，星形和總線型結(jié)構(gòu)重疊并存，相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網(wǎng)絡(luò)使用者因系統(tǒng)過于復(fù)雜而導(dǎo)致錯(cuò)誤操作，都可能造成網(wǎng)絡(luò)安全問題。

2 煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀

煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，仍然存在著很多不容忽視的問題，亟待引起高度關(guān)注。

2.1 業(yè)務(wù)應(yīng)用集成整合不足

不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性，安全防護(hù)信息沒有實(shí)現(xiàn)跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機(jī)制，滯后的信息資源服務(wù)決策，影響了信息化建設(shè)的整體效率。缺乏對網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì)，致使信息化建設(shè)未能形成整體合力。

2.2 信息化建設(shè)特征不夠明顯

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志，但如基礎(chǔ)平臺的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營煙草業(yè)務(wù)沒有同信息化建設(shè)高度契合，對影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo)，缺乏宏觀角度上的溝通協(xié)調(diào)，致使在信息化建設(shè)中，業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處，影響了網(wǎng)絡(luò)安全防護(hù)的效果。

2.3 安全運(yùn)維保障能力不足

缺乏對運(yùn)維保障工作的正確認(rèn)識，其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié)，加上企業(yè)信息化治理模式構(gòu)建不成熟等原因，制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能，導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動，未能做到主動化、智能化分析，導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。

3 加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略

煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo)，秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭整體推進(jìn)的原則，始終堅(jiān)持兩級主體、協(xié)同建設(shè)和項(xiàng)目帶動的模式，按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺的技術(shù)規(guī)范，才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。

3.1 遵循網(wǎng)絡(luò)防護(hù)基本原則

煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí)，應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則，清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分，不同區(qū)域的防御體系應(yīng)具有針對性，相互之間邏輯清楚、調(diào)用清晰，從而使網(wǎng)絡(luò)邊界更為明確，相互之間更為信任。要對已出現(xiàn)的安全問題進(jìn)行認(rèn)真分析，并歸類統(tǒng)計(jì)，大的問題盡量拆解細(xì)分，類似的問題歸類統(tǒng)一，從而將復(fù)雜問題具體化，降低網(wǎng)絡(luò)防護(hù)工作的難度。對企業(yè)內(nèi)部網(wǎng)絡(luò)來說，應(yīng)以功能為界限來劃分，以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí)，要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn)，打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘，實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通，從而有效地提升自身對網(wǎng)絡(luò)威脅的抵御力。

3.2 合理確定網(wǎng)絡(luò)安全區(qū)域

煙草企業(yè)在使用網(wǎng)絡(luò)過程中，不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此，內(nèi)部網(wǎng)絡(luò)，在設(shè)計(jì)之初，應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對區(qū)域進(jìn)行劃分。同時(shí)，對生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié)，要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對應(yīng)的網(wǎng)絡(luò)使用管理制度，既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù)，也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí)，不能以偏概全、一蹴而就，應(yīng)本著實(shí)事求是的態(tài)度，根據(jù)企業(yè)實(shí)際情況，以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ)，有針對性地進(jìn)行合理的劃分，才能取得更好的防護(hù)效果。

3.3 大力推行動態(tài)防護(hù)措施

根據(jù)網(wǎng)絡(luò)入侵事件可知，較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此，煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí)，應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù)，且系統(tǒng)要能夠隨時(shí)升級換代，從而提升總體防護(hù)力。同時(shí)，要定期對煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析，確定系統(tǒng)存在哪些漏洞、留有什么隱患，實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測和系統(tǒng)動態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制，在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí)，確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能，為后期確定問題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間，并且確保企業(yè)業(yè)務(wù)的開展不被中斷，不會為企業(yè)帶來很大的經(jīng)濟(jì)損失。另外，還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作，構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟，為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。

3.4 構(gòu)建專業(yè)防護(hù)人才隊(duì)伍

人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源，缺少專業(yè)性人才的支撐，再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng)，既要熟知信息安全防護(hù)技術(shù)，也要對煙草企業(yè)生產(chǎn)全過程了然于胸，并熟知國家政策法規(guī)等制度。因此，煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍，要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式，充分挖掘內(nèi)部人力資源，提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì)，也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作，引進(jìn)高素質(zhì)專業(yè)技術(shù)人才，從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。

3.5 提升員工安全防護(hù)意識

技術(shù)防護(hù)手段效果再好，員工信息安全防護(hù)意識不佳，系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心，統(tǒng)一對企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn)，各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位，負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號使用、信息、權(quán)限確定等，都要置于信息管理培訓(xùn)中心的制約監(jiān)督下，都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中，杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡(luò)安全教育，提升其網(wǎng)絡(luò)安全防護(hù)意識，使其認(rèn)識到安全防護(hù)體系的重要性，從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。

4 結(jié) 語

煙草企業(yè)管理者必須清醒認(rèn)識到，利用信息網(wǎng)絡(luò)加快企業(yè)升級換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨，絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來的挑戰(zhàn)，以實(shí)事求是的態(tài)度，大力依托信息網(wǎng)絡(luò)安全技術(shù)，構(gòu)建更為安全的防護(hù)體系，為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。

主要參考文獻(xiàn)

篇（9）

一、網(wǎng)絡(luò)安全

1、網(wǎng)絡(luò)安全的概念。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的各個(gè)部件、軟件以及數(shù)據(jù)的安全，它是通過對網(wǎng)絡(luò)信息的存儲、傳輸和使用的過程實(shí)現(xiàn)，包含兩個(gè)方面，一是物理安全，即保障網(wǎng)絡(luò)設(shè)備的安全，使其能夠正常穩(wěn)定地提供網(wǎng)絡(luò)服務(wù)；二是邏輯安全，即保證在網(wǎng)絡(luò)中存儲和傳輸?shù)男畔⒌陌踩浴?、影響網(wǎng)絡(luò)安全的因素。網(wǎng)絡(luò)安全在現(xiàn)實(shí)生活會受到很多因素的影響，其中有人為的和自然的因素，包括系統(tǒng)配置不當(dāng)，計(jì)算機(jī)病毒木馬，軟件漏洞等，均會對網(wǎng)絡(luò)安全造成極大的危害。

二、網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù)，該技術(shù)致力于解決有效進(jìn)行介入控制，保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。

針對網(wǎng)絡(luò)上各種安全問題和隱患，為了最大程度的減小損失，可以采用如下技術(shù)進(jìn)行網(wǎng)絡(luò)安全防護(hù)。

1、防火墻技術(shù)。防火墻是一種由軟件和硬件結(jié)合構(gòu)成的將內(nèi)部網(wǎng)絡(luò)與公用網(wǎng)絡(luò)分隔開的隔離系統(tǒng)，用來在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行接入控制，從而可以防止非法用戶訪問和修改內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，可以有效的將網(wǎng)絡(luò)分隔開，確保內(nèi)部網(wǎng)絡(luò)安全。

2、數(shù)據(jù)加密技術(shù)。為了提高網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)和信息的安全性，可以采用數(shù)據(jù)加密技術(shù)對重要的數(shù)據(jù)進(jìn)行加密，防止機(jī)密信息被竊取泄露，其中常采用對稱加密和非對稱加密對信息進(jìn)行加密算法，從而實(shí)現(xiàn)對數(shù)據(jù)信息的加密保護(hù)。

3、入侵檢測技術(shù)。通過入侵檢測技術(shù)，可以對網(wǎng)絡(luò)系統(tǒng)中的幾個(gè)節(jié)點(diǎn)進(jìn)行檢測，通過分析采集的數(shù)據(jù)信息，判斷網(wǎng)絡(luò)中是否有不安全操作行為及是否遭到攻擊。入侵檢測系統(tǒng)對網(wǎng)絡(luò)的監(jiān)測不會影響網(wǎng)絡(luò)的正常運(yùn)行，它能實(shí)時(shí)地對網(wǎng)絡(luò)進(jìn)行檢測從而及時(shí)采取防護(hù)手段保護(hù)網(wǎng)絡(luò)安全。

4、網(wǎng)絡(luò)掃描技術(shù)。通過網(wǎng)絡(luò)掃描技術(shù)，可以對復(fù)雜網(wǎng)絡(luò)進(jìn)行掃描從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，并及時(shí)對發(fā)現(xiàn)的漏洞進(jìn)行相應(yīng)的處理，采取必要的措施。網(wǎng)絡(luò)掃描技術(shù)可以強(qiáng)化網(wǎng)絡(luò)系統(tǒng)，是一種主動的防御策略，通過對網(wǎng)絡(luò)系統(tǒng)的強(qiáng)化來防止網(wǎng)絡(luò)安全受到侵害。

5、虛擬專用網(wǎng)。虛擬專用網(wǎng)（VPN）是一種在一定網(wǎng)絡(luò)協(xié)議基礎(chǔ)上，公網(wǎng)中邏輯上獨(dú)立的專用網(wǎng)，通過虛擬專用網(wǎng)，用戶可以通過公網(wǎng)中的虛擬專線實(shí)現(xiàn)數(shù)據(jù)的傳輸，從而保障了傳輸數(shù)據(jù)的安全性。

6、病毒防護(hù)技術(shù)。隨著網(wǎng)絡(luò)的發(fā)展，病毒的傳播也變得更加迅速，對網(wǎng)絡(luò)和計(jì)算機(jī)具有巨大危害。

三、思科網(wǎng)絡(luò)安防系統(tǒng)

思科作為一家世界500強(qiáng)企業(yè)，作為一個(gè)在互聯(lián)網(wǎng)解決方案提供領(lǐng)域的佼佼者，十分重視網(wǎng)絡(luò)安全及防護(hù)，其用戶遍及世界各地各大企業(yè)，領(lǐng)域涉及各個(gè)行業(yè)，可見其網(wǎng)絡(luò)安防系統(tǒng)的安全可靠性。

1、思科的網(wǎng)絡(luò)安全設(shè)計(jì)架構(gòu)。安全域要在五個(gè)層次上隔離，即物理上隔離、邏輯上隔離、策略上隔離、應(yīng)用上隔離、準(zhǔn)入上隔離。而對網(wǎng)絡(luò)安全域的劃分需要對網(wǎng)絡(luò)系統(tǒng)中各個(gè)設(shè)備進(jìn)行集成化、模塊化并實(shí)現(xiàn)階梯式安全。

2、思科自防御網(wǎng)絡(luò)。思科自防御網(wǎng)絡(luò)是針對網(wǎng)絡(luò)中的攻擊和威脅進(jìn)行識別、主動防御和應(yīng)對的新型網(wǎng)絡(luò)戰(zhàn)略，通過三個(gè)階段實(shí)現(xiàn)對網(wǎng)絡(luò)的安全防護(hù)。（1）集成化的安全系統(tǒng)。（2）協(xié)作化的安全系統(tǒng)。（3）智能化的自適應(yīng)安全系統(tǒng)。

3、思科SMB級安全網(wǎng)絡(luò)平臺。采用了思科自防御網(wǎng)絡(luò)安全的組件，思科的SMB級安全網(wǎng)絡(luò)平臺還具備成本較低的優(yōu)勢，非常適合一些中小企業(yè)使用，這一經(jīng)濟(jì)有效的方案保證了連通性、簡潔性、安全性以及可擴(kuò)展性，能夠幫助企業(yè)優(yōu)化其運(yùn)營，提升企業(yè)競爭力。

四、結(jié)語

計(jì)算機(jī)和網(wǎng)絡(luò)的擴(kuò)大與普及已成為不可逆轉(zhuǎn)的趨勢，而網(wǎng)絡(luò)中影響網(wǎng)絡(luò)安全和穩(wěn)定的因素也必將隨之不斷增加，人們越來越開始重視網(wǎng)絡(luò)中數(shù)據(jù)信息的安全可靠性，因此網(wǎng)絡(luò)安全防護(hù)的重要地位將得到進(jìn)一步顯現(xiàn)。

參考文獻(xiàn)

篇（10）

2計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)

網(wǎng)絡(luò)工程安全在某種程度上也是因?yàn)橛?jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)造成的。在網(wǎng)絡(luò)工程中,因?yàn)橄到y(tǒng)中的管理機(jī)構(gòu)和不完美,在上述部門的位置不夠明顯,還不能改善的管理密碼,所以用戶會防守意識相對薄弱,信息系統(tǒng)的風(fēng)險(xiǎn)并不能達(dá)到合理的避免,讓網(wǎng)絡(luò)安全面臨四面楚歌的境地。,這將使計(jì)算機(jī)系統(tǒng)的風(fēng)險(xiǎn)變得越來越嚴(yán)重,甚至使計(jì)算機(jī)不工作,最后讓計(jì)算機(jī)網(wǎng)絡(luò)安全威脅嚴(yán)重。因此,必須加強(qiáng)網(wǎng)絡(luò)安全的工程。

3如何對網(wǎng)絡(luò)工程中的安全防護(hù)技術(shù)進(jìn)行加強(qiáng)

3.1設(shè)置防火墻過濾信息

做好預(yù)防黑客的的措施,最有效的方式是使用防火墻,相應(yīng)的信息過濾防火墻可以在網(wǎng)絡(luò)工程,加強(qiáng)安全防護(hù)技術(shù)。在網(wǎng)絡(luò)中,安裝本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的防火墻是最有效的保護(hù)手段,網(wǎng)絡(luò)防火墻可以分段本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)地址,網(wǎng)絡(luò)通信所有計(jì)算機(jī)必須通過網(wǎng)絡(luò)防火墻,防火墻過濾后,它可以過濾一些網(wǎng)絡(luò)上的攻擊,避免了攻擊在目標(biāo)計(jì)算機(jī)上執(zhí)行,使內(nèi)部網(wǎng)絡(luò)的安全性大大提高。同時(shí),防火墻還可以對一些未使用的端口關(guān)閉操作,還可以進(jìn)行盡職調(diào)查使交流一些特定端口封鎖木馬。對于一些特殊的網(wǎng)站訪問,網(wǎng)絡(luò)防火墻也可以進(jìn)行禁止,防止黑客入侵。分組過濾防火墻和應(yīng)用防火墻分別如以下兩圖所示：

3.2加強(qiáng)病毒防護(hù)措施

在網(wǎng)絡(luò)工程中，病毒的防護(hù)工作無疑是整個(gè)安全防護(hù)技術(shù)中不可分割的環(huán)節(jié)。在計(jì)算機(jī)系統(tǒng)的安全管理和日常維護(hù),病毒防護(hù)是其中幾位關(guān)鍵的內(nèi)容,計(jì)算機(jī)病毒日益呈爆炸式增長,我們越來越難以區(qū)分,它會導(dǎo)致以防止計(jì)算機(jī)網(wǎng)絡(luò)病毒的工作變得越來越困難,我們已經(jīng)不可以僅僅利用技術(shù)的方式去防止病毒,而是選擇技術(shù)和科學(xué)的管理機(jī)制兩者有機(jī)的組合,讓人們提高預(yù)防的意識,可以讓網(wǎng)絡(luò)系統(tǒng)可以從根本上得到保護(hù),促使網(wǎng)絡(luò)安全運(yùn)行。殺毒軟件,常見的金山,瑞星殺毒和卡巴斯基。在通常的情況下,某些定期檢測病毒和病毒殺死在電腦,病毒被發(fā)現(xiàn)后及時(shí)處理。此外,對于一些重要的文件,電腦也應(yīng)該及時(shí)備份,以防止丟失重要文件收到后對計(jì)算機(jī)病毒的入侵。

3.3植入入侵檢測技術(shù)

入侵檢測系統(tǒng)在網(wǎng)絡(luò)工程,是一種主動安全技術(shù),我們可以科學(xué)的進(jìn)行防護(hù)，并且還要逐步加強(qiáng)力度。網(wǎng)絡(luò)工程、惡意入侵檢測技術(shù)可以包含有效的識別在計(jì)算機(jī)網(wǎng)絡(luò)來源,網(wǎng)絡(luò)系統(tǒng)是瀕?；貞?yīng)之前攔截。可以實(shí)時(shí)保護(hù)外部攻擊、內(nèi)部攻擊和誤操作,也可以采取相應(yīng)的安全保護(hù)措施根據(jù)攻擊。現(xiàn)在網(wǎng)絡(luò)監(jiān)控系統(tǒng)的項(xiàng)目,從網(wǎng)絡(luò)安全防御和角度三維深度提供安全服務(wù),可以使來自網(wǎng)絡(luò)的威脅,有效降低損失,以提高今天的探測技術(shù)的關(guān)注。

3.4拒絕垃圾郵件收取

正如上面提到的,垃圾郵件沒有得到用戶授權(quán)卻強(qiáng)制用戶接受郵件的行為。批量發(fā)送可以說是其中重要的特點(diǎn),在這段時(shí)間內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,垃圾郵件已逐漸成為計(jì)算機(jī)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。因此有必要加強(qiáng)網(wǎng)絡(luò)安全工程,必須拒絕垃圾郵件的接受收,拒絕接收垃圾郵件,你必須保護(hù)自身的電子郵件地址,不能自由連接自己的電子郵件地址，更加不能把自身的地質(zhì)給泄露出去,這樣就可以很好的避免接受垃圾郵件了。此外,您還可以使用一些郵件管理來管理自己的電子郵件帳戶,郵件過濾操作,拒絕接受垃圾郵件。

3.5加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范

在網(wǎng)絡(luò)安全防護(hù)工程,也不能忽視網(wǎng)絡(luò)和加強(qiáng)風(fēng)險(xiǎn)防范。想讓網(wǎng)絡(luò)風(fēng)險(xiǎn)防范,可以利用數(shù)據(jù)加密技術(shù),它可以傳輸數(shù)據(jù)在網(wǎng)絡(luò)上訪問限制,設(shè)置專門通過用戶數(shù)據(jù)來指導(dǎo),從而達(dá)到加密的目的。在項(xiàng)目的網(wǎng)絡(luò)數(shù)據(jù)加密的主要方式是,端到端加密,加密等,可以采用不同的數(shù)據(jù)在不同的情況下和加密方法。