&

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全建設(shè)方向主題范文，僅供參考，歡迎閱讀并收藏。

網(wǎng)絡(luò)安全建設(shè)方向

第1篇：網(wǎng)絡(luò)安全建設(shè)方向范文

關(guān)鍵詞：新媒體；意識形態(tài)；創(chuàng)新；對策

1新媒體與意識形態(tài)安全的關(guān)系

新媒體是一個相對的概念，是報刊、廣播、電視等傳統(tǒng)媒體以后發(fā)展起來的新的媒體形態(tài)，包括網(wǎng)絡(luò)媒體、手機媒體、數(shù)字電視等。本篇主要指網(wǎng)絡(luò)新媒體。從哲學上講新媒體與意識形態(tài)安全之間是相輔相成的一個有機整體，保證意識形態(tài)安全是新媒體健康發(fā)展的前提，新媒體健康發(fā)展又促進意識形態(tài)安全建設(shè)，新媒體是否健康發(fā)展，影響著意識形態(tài)未來的發(fā)展方向。目前我國傳統(tǒng)意識形態(tài)不斷面臨來自新媒體的各種挑戰(zhàn)，網(wǎng)絡(luò)成為人們傳播信息，輿論的新場地，為了更好的維護意識形態(tài)安全發(fā)展，必須要加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，規(guī)范網(wǎng)絡(luò)環(huán)境，強化主流意識形態(tài)影響力，積極引導新媒體朝著健康綠色的方向發(fā)展。

2新媒體在創(chuàng)新方面對我國意識形態(tài)安全的挑戰(zhàn)

隨著社交網(wǎng)絡(luò)的不斷發(fā)展，越來越多的人通過網(wǎng)絡(luò)這個社交平臺了解社會信息動向、表達自己的觀點思想，信息網(wǎng)絡(luò)也在時時刻刻對人類的傳統(tǒng)意識發(fā)出沖擊，意識形態(tài)安全面臨新挑戰(zhàn)。

創(chuàng)新一詞英文為innovate，根據(jù)牛津字典的解釋就是引入新事物、思想或方法。當今我國意識形態(tài)安全面對網(wǎng)絡(luò)沖擊，創(chuàng)新能力不足的挑戰(zhàn)主要表現(xiàn)在兩個方面：第一是我國意識形態(tài)安全建設(shè)面對新媒體挑戰(zhàn)，沒有過硬的網(wǎng)絡(luò)技術(shù)，缺乏創(chuàng)新型人才。CNNIC第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》于8月3日?！秷蟾妗凤@示，截至2016年6月，中國網(wǎng)民規(guī)模達7.10億，互聯(lián)網(wǎng)普及率達到51.7%，超過全球平均水平3.1個百分點。[1]當今，網(wǎng)絡(luò)成為人們相互了解的重要途徑，網(wǎng)絡(luò)內(nèi)容豐富多彩，形式花樣繁多，吸引人們眼球，更多的人選擇網(wǎng)絡(luò)溝通交流，網(wǎng)絡(luò)成為人們輿論生活的新場地。但目前我國創(chuàng)新人才不足，沒有過硬的網(wǎng)絡(luò)核心技術(shù)，尚未創(chuàng)立完全屬于自己的網(wǎng)絡(luò)品牌。比如網(wǎng)絡(luò)主要傳播工具-手機分析，蘋果手機受到當下很多年輕人的追捧，出現(xiàn)大量“果粉”。據(jù)中關(guān)村2015-2016年中國手機市場研究年度報告中，2015年度，蘋果iPhone 6系列以8.15%的關(guān)注比例高居榜首，成為最受用戶青睞的產(chǎn)品系列，超過同期上市的很多國產(chǎn)手機。蘋果手機之所以比其他產(chǎn)品手機更受歡迎，原因除了安全性能高，手機殼耐摔防水好外，蘋果手機主要制造團隊善于結(jié)合當下人們生活習慣開發(fā)出時尚又便捷的手機軟件，創(chuàng)新速度特別快，手機功能齊全，得到很多人的青睞。還有知名網(wǎng)絡(luò)阿里巴巴、百度、360網(wǎng)站、騰訊等，很多也是借用國外技術(shù)，仍有許多外資商人控股，長期下去，會使我國意識形態(tài)網(wǎng)絡(luò)安全建設(shè)存在安全隱患。第二是快餐式的網(wǎng)絡(luò)傳播，創(chuàng)新動力不足?，F(xiàn)代數(shù)字網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，互聯(lián)網(wǎng)、移動通信技術(shù)等綜合信息交流平臺大大改變了人們的信息獲取方式。當下無論是突發(fā)事件還是奧運盛世多數(shù)都依靠網(wǎng)絡(luò)傳播，可以說人們?nèi)粘Ｉ钜隆⑹?、住、行等都與網(wǎng)絡(luò)密不可分。人們每天打開手機、電腦，鋪天蓋地的信息不斷沖擊人們的意識價值觀，網(wǎng)絡(luò)信息的這種快餐式的傳播，速度快、信息量大，一方面確實對人們生活、工作交流溝通帶來便利，另一方面，網(wǎng)絡(luò)信息內(nèi)容豐富多彩，人們毫無費力就能得到想要的資源，自主研究思考的機會就少，思想意識也會陷入“疲軟”狀態(tài)，很多人失去創(chuàng)新動力。同時，我們還應(yīng)該意識到網(wǎng)絡(luò)信息多源于國外對中國網(wǎng)絡(luò)的信息的輸送，實質(zhì)是當代很多人在潛移默化的接受外國人的思維模式和生活習慣，網(wǎng)絡(luò)中對于傳統(tǒng)中國文化創(chuàng)新能力低，主流媒體樂于對外國文化宣傳，忽視了中國社會主義核心價值的創(chuàng)新和弘揚，影響我國社會主義意識形態(tài)安全建設(shè)。

3新媒體時代維護我國意識形態(tài)安全建設(shè)的對策

以上分析表明，當今網(wǎng)絡(luò)創(chuàng)新能力不足，對我國意識形態(tài)安全建設(shè)產(chǎn)生了很多不良影響，為了更好維護我國意識形態(tài)安全建設(shè)，我們要做出相應(yīng)的解決對策。

意識形態(tài)安全建設(shè)除了通過傳統(tǒng)手段利用新型的視頻、動畫等把社會正面事件、道德模范人物生動傳播，加強輿論創(chuàng)新外，還需要加強創(chuàng)新型人才培養(yǎng)。主席在主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組第一次會議強調(diào)建設(shè)網(wǎng)絡(luò)強國，要把人才資源匯聚起來，建設(shè)一支政治強、業(yè)務(wù)精、作風好的強大隊伍。"千軍易得，一將難求"，要培養(yǎng)造就世界水平的科學家、網(wǎng)絡(luò)科技領(lǐng)軍人才、卓越工程師、高水平創(chuàng)新團隊。[2]維護我國意識形態(tài)安全建設(shè)，需要過硬的網(wǎng)絡(luò)核心技術(shù)，這就要匯聚網(wǎng)絡(luò)創(chuàng)新人才。首先可以為更多企業(yè)或者個人創(chuàng)業(yè)發(fā)展提供優(yōu)惠的政策，提供技術(shù)支持，資金支持。同時中國可以設(shè)置“諾貝爾網(wǎng)絡(luò)創(chuàng)新獎”，吸納優(yōu)秀網(wǎng)絡(luò)建設(shè)人才，也為網(wǎng)絡(luò)創(chuàng)新提供動力，為正真有才華的人提供施展才能的平臺，將眾多優(yōu)秀人才集聚一起，切磋交流，加強核心技術(shù)創(chuàng)新，創(chuàng)立屬于中國的網(wǎng)絡(luò)品牌，更好應(yīng)對網(wǎng)絡(luò)沖擊，保證我國意識形態(tài)安全建設(shè)。其次，維護我國意識形態(tài)安全建設(shè)，需要結(jié)合我國傳統(tǒng)優(yōu)秀文化才能更容易被接受認可，在網(wǎng)絡(luò)中多舉辦中國文化小知識競賽，不限性別年齡，人人都可以參加；人們生活離不開網(wǎng)絡(luò)，我們可以開發(fā)推廣有關(guān)中國文化休閑娛樂軟件；可多借用中國傳統(tǒng)元素，開發(fā)中國動漫視頻等；還可以在網(wǎng)絡(luò)平臺中，開通網(wǎng)絡(luò)專欄，設(shè)立網(wǎng)絡(luò)創(chuàng)業(yè)基金，專門鼓勵網(wǎng)絡(luò)核心技術(shù)的開發(fā)，為網(wǎng)絡(luò)創(chuàng)業(yè)創(chuàng)新發(fā)展提供動力。

4小結(jié)

網(wǎng)絡(luò)對我國意識形態(tài)的挑戰(zhàn)，是一個不斷發(fā)展的過程，我們要運用堅定的理想信念為指引，自主創(chuàng)新能力為支撐，規(guī)范網(wǎng)絡(luò)平臺，確保我國意識形態(tài)主導地位，促進新媒體和諧健康發(fā)展。

[注釋]

[1]中國互聯(lián)網(wǎng)信息中心：第 38 次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計告 [EB/OL]. http：///info/media/zcjd/news/201609/t20160914_1449106.shtml.

[2]主持召開網(wǎng)絡(luò)安全和信息化工作座談會[N]，人民日報，2016.02.20（1）.

[參考文獻]

[1]王正平，徐鐵光.西方網(wǎng)絡(luò)霸權(quán)主義與發(fā)展中國家的網(wǎng)絡(luò)權(quán)利[J].思想戰(zhàn)線，2011.（2）：105-107.

第2篇：網(wǎng)絡(luò)安全建設(shè)方向范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；部隊；訪問控制列表；防火墻；入侵防御系統(tǒng)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)05-1043-02

Brief Probe into the Question about the Army’s Security of Network

ZHU Wen-long1, YU Hai-ying2

(1.The PLA University of Technology & Science, Nanjing 210007,China；2.The PLA University of Technology & Science, Nanjing 210007, China)

Abstract：The construction of military informationization is a historical topic to our army, and the security of network is the most impor? tant thing in it. Essentially speaking, the network security is really the information security in the internet, and that means the computer us? er can just operate computer upon authorization, so we can guarantee the network’s confidentiality, integrity, availability, authenticity, con? trollability and so on. This paper briefly describes several kinds of network security protection measures, and having assistant function to the network security construction of our army.

Key words: security of network; army; access control list; firewall;intrusion prevention system

克勞塞維茨曾說過：“每個時代均應(yīng)有其特定的戰(zhàn)爭”。隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，歷史的車輪駛進了信息時代，而信息時代的主要戰(zhàn)爭形態(tài)是信息化戰(zhàn)爭，信息安全成為制勝的關(guān)鍵因素。怎樣在信息化條件下打贏現(xiàn)代化戰(zhàn)爭已成為時代的課題。大力發(fā)展網(wǎng)絡(luò)化建設(shè)，提高網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為部隊的重要課題。

經(jīng)過幾年的努力，計算機網(wǎng)絡(luò)已廣泛應(yīng)用于部隊的日常辦公與管理。但由于使用人的技術(shù)水平有限或者安全防范意識薄弱等原因，使得部隊的網(wǎng)絡(luò)泄密事件不斷發(fā)生。提高網(wǎng)絡(luò)安全技術(shù)，強化應(yīng)用系統(tǒng)功能，為部隊建設(shè)一套安全可靠的網(wǎng)絡(luò)體系成為我們思考的方向。下面就計算機網(wǎng)絡(luò)安全問題介紹已有的幾種網(wǎng)絡(luò)安全措施。

1以太網(wǎng)接入控制與認證機制

1.1安全端口建立訪問控制列表

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一，它在以太網(wǎng)交換機的每一個訪問端口都配置訪問控制列表，即Access Control List(ACL)，只有在源MAC地址為訪問控制列表中允許接入的終端MAC地址時，才可以繼續(xù)轉(zhuǎn)發(fā)MAC幀，否則該MAC幀將被丟棄。

1.2 802.1X接入控制機制

由于我們有時需要更換動態(tài)訪問控制列表，所以更重要的是終端MAC地址是可以更改的。如果敵方知道我訪問控制列表中的MAC地址，就可以將自己終端MAC地址設(shè)為列表中的MAC地址而實現(xiàn)非法接入。針對這一現(xiàn)象我們可以采用802.1X接入控制機制。它需要建立一個鑒別數(shù)據(jù)庫，每一個新接入交換機的終端只有輸入用戶名和密碼，經(jīng)由以太網(wǎng)交換機鑒別數(shù)據(jù)庫的鑒定為有效后才可以進入訪問控制列表。其邏輯圖如圖1。

在圖1中注冊數(shù)據(jù)庫中有用戶A與用戶C及其各自的口令，當用戶A、B、C、D接入交換機時，同時啟動鑒別機制，而只有A、C才有登陸用戶名與口令，輸入正確后在訪問控制列表中加入MAC A與MAC C，進而可以訪問敏感信息資源。對于用戶B和C而言，由于注冊數(shù)據(jù)庫中并沒有其數(shù)據(jù)記錄，因而被禁止訪問敏感信息資源。

2防火墻技術(shù)

圖1

防火墻技術(shù)目前已成為部隊用于網(wǎng)絡(luò)安全建設(shè)的主要技術(shù)支撐，其在我軍網(wǎng)絡(luò)防護中起到了重要作用。防火墻通常位于內(nèi)網(wǎng)與外網(wǎng)的連接點，強制所有出入內(nèi)外網(wǎng)的數(shù)據(jù)流都必須經(jīng)過此安全系統(tǒng)，是一種對不同網(wǎng)絡(luò)之間信息傳輸過程實施監(jiān)測和控制的設(shè)備，在邏輯上，防火墻就是一部隔離器、分析器與限制器，用于保護內(nèi)網(wǎng)中的信息資源。其提供的服務(wù)有：

1）行為控制：不同網(wǎng)段間只允許傳輸與行為合理的網(wǎng)絡(luò)資源訪問過程相關(guān)的信息流。2）服務(wù)控制：不同網(wǎng)段間終端只允許傳輸與特定服務(wù)相關(guān)的信息流。

3）方向控制：不同網(wǎng)段間只允許傳輸與由特定網(wǎng)段中終端發(fā)起的會話相關(guān)的信息流。

4）用戶控制：不同網(wǎng)段間只允許傳輸與授權(quán)用戶合法訪問網(wǎng)絡(luò)資源相關(guān)的信息流。

防火墻分為個人防火墻與網(wǎng)絡(luò)防火墻，關(guān)鍵技術(shù)主要有分組過濾器、電路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)。由于分組過濾器對信息的發(fā)送端和接收端是透明的，因此不需要改變終端訪問網(wǎng)絡(luò)的方式。而且隨著有狀態(tài)分組過濾器的產(chǎn)生，它對于內(nèi)外與外網(wǎng)件傳輸?shù)男畔⒘鞯谋O(jiān)控變得更加精確，有狀態(tài)分組過濾器也成為部隊主要的網(wǎng)絡(luò)安全技術(shù)。其邏輯圖如如圖2：

圖2

在圖2中，防火墻將網(wǎng)絡(luò)傳輸系統(tǒng)分為3個區(qū)，分別為命名為信任區(qū)，非軍事區(qū)與非信任區(qū)，我們可以對防火墻進行設(shè)置，令信任區(qū)內(nèi)網(wǎng)絡(luò)可以對非軍事區(qū)以及非信任區(qū)內(nèi)網(wǎng)絡(luò)進行訪問，而非信任區(qū)內(nèi)網(wǎng)絡(luò)只能對非軍事區(qū)網(wǎng)絡(luò)進行訪問，不可以訪問信任區(qū)網(wǎng)絡(luò)。從而達到對信任區(qū)內(nèi)網(wǎng)絡(luò)的保護。

3入侵防御系統(tǒng)（Intrusion Prevention System）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，攻擊者的攻擊工具與手段也日益成熟多樣，外網(wǎng)對內(nèi)網(wǎng)的攻擊往往是在內(nèi)網(wǎng)防火墻訪問控制策略所允許的條件下進行的，如通過惡意代碼傳播控制內(nèi)網(wǎng)終端從而實行對內(nèi)網(wǎng)的攻擊，這樣防火墻就很難進行有效的防御。因此，能對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和處理的系統(tǒng)――入侵防御系統(tǒng)，就凸顯其重要作用。

入侵防御系統(tǒng)主要分為網(wǎng)絡(luò)入侵防御系統(tǒng)（Network Intrusion Prevention System）和主機防御系統(tǒng)（Host Intrusion Prevention Sys? tem），網(wǎng)絡(luò)入侵防御系統(tǒng)能夠有效的對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行檢測并對異常信息的傳輸進行處理，而主機入侵防御系統(tǒng)可以對于主機資源的訪問進行監(jiān)控，對非法訪問進行管制。作為防火墻的合理補充，它提高了安全基礎(chǔ)結(jié)構(gòu)的完整性，被認為是繼防火墻之后的第二道安全閘門。其邏輯圖如圖3：

圖3

在圖3中，路由器連接外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)，在外網(wǎng)與內(nèi)網(wǎng)間接入網(wǎng)絡(luò)入侵防御系統(tǒng)，使得網(wǎng)絡(luò)入侵防御系統(tǒng)可以捕獲外網(wǎng)流入內(nèi)網(wǎng)的異常信息，并做出相應(yīng)的信息反制動作，而在重要終端上安裝的主機入侵防御系統(tǒng)，又可以有效地保護重要終端，從而達到相輔相成，協(xié)調(diào)一致的效果。由此我們也可以看到入侵防御系統(tǒng)發(fā)展前景的廣泛。就目前來看，在部隊中防火墻技術(shù)已經(jīng)相對成熟，應(yīng)用也比較廣泛。但是對于入侵防御系統(tǒng)的應(yīng)用還不夠充分，究其原因，是由于網(wǎng)絡(luò)入侵防御系統(tǒng)只能對部分網(wǎng)絡(luò)資源進行保護，并且在處理未知范圍內(nèi)的異常信息處理能力還略有不足，而主機入侵犯防御系統(tǒng)終究只是一個應(yīng)用程序，屬于被動防御，即只有惡意攻擊到達終端時才做出反應(yīng)，而我們更希望的是主動出擊，即在惡意程序還沒有到達終端之前就將其攔截處理。另外若對每一個重要終端都安裝入侵防御系統(tǒng)，其成本也較大。正是由于其上不足之處，使得入侵防御系統(tǒng)還沒有在網(wǎng)路安全中完全得以應(yīng)用。但相信經(jīng)過一定的發(fā)展與改良，入侵防御系統(tǒng)會成為部隊網(wǎng)絡(luò)安全建設(shè)的一道堅固城墻。

4結(jié)束語

除以上安全措施外，還有很多方法可以提高我們的網(wǎng)絡(luò)安全系數(shù)。如安裝殺毒軟件，對需要傳遞的重要信息進行加密，使用數(shù)字簽名技術(shù)等，都有其獨特的優(yōu)勢來進行網(wǎng)絡(luò)安全防護。但是部隊網(wǎng)絡(luò)安全建設(shè)仍是一項重要的需要不斷發(fā)展研究的課題，尤其是部隊的重要信息更是敵對勢力想法設(shè)法竊取的對象，更加大了我軍網(wǎng)絡(luò)安全的壓力。如今的網(wǎng)絡(luò)安全已經(jīng)是涵蓋了網(wǎng)絡(luò)級與應(yīng)用級在內(nèi)的完整概念，我軍需從整體網(wǎng)絡(luò)管理平臺的角度統(tǒng)一建設(shè)完整的網(wǎng)絡(luò)安全體系，加大網(wǎng)路安全研究力度，以大魄力進行整體改革，全面提升全軍網(wǎng)絡(luò)安全能力，為打贏以后可能發(fā)生的信息化戰(zhàn)爭建立堅實的網(wǎng)絡(luò)基礎(chǔ)。

參考文獻：

[1]沈鑫剡.計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].2版.北京:清華大學出版社,2010.

第3篇：網(wǎng)絡(luò)安全建設(shè)方向范文

網(wǎng)絡(luò)安全的發(fā)展經(jīng)歷了三個階段: 一是防火墻、防病毒與IDS(入侵檢測系統(tǒng))部署的初級階段。二是隨著網(wǎng)絡(luò)擴大，各種業(yè)務(wù)從相互獨立到共同運營，網(wǎng)絡(luò)管理中出現(xiàn)的安全域的概念，利用隔離技術(shù)把網(wǎng)絡(luò)分為邏輯的安全區(qū)域，并大量使用區(qū)域邊界防護與脆弱性掃描與用戶接入控制技術(shù)，此時的安全技術(shù)分為防護、監(jiān)控、審計、認證、掃描等多種體系，紛繁復雜，稱為安全建設(shè)階段。三是把各個分離的安全體系統(tǒng)一管理、統(tǒng)一運營，我們稱為安全管理階段，最典型的就是綜合性安全運營中心(Security Operation Center)SOC的建設(shè)。從這個階段開始，網(wǎng)絡(luò)安全開始走上業(yè)務(wù)安全的新臺階，業(yè)務(wù)連續(xù)性管理BCM(Business Continuity Management)成為業(yè)務(wù)安全評價的重點。

SOC是安全技術(shù)“大集成”過程中產(chǎn)生的，最初是為了解決安全設(shè)備的管理與海量安全事件的集中分析而開發(fā)的平臺，后來由于安全涉及的方面較多，SOC逐漸演化成所有與安全相關(guān)的問題集中處理中心：設(shè)備管理、配置下發(fā)、統(tǒng)一認證、事件分析、安全評估、策略優(yōu)化、應(yīng)急反應(yīng)、行為審計等等。能把全部安全的信息綜合分析，統(tǒng)一的策略調(diào)度當然是理想的，但是SOC要管理的事如此之多，實現(xiàn)就是大難題?；诓煌睦斫?，市場出現(xiàn)的各種SOC也各取所長，有風險評估為基礎(chǔ)的TSOC，有策略管理的NSOC，有審計為主的ASOC，還有干脆是安全日志分析為主的專用平臺。

各種SOC特點各異，但都是圍繞安全管理的過程來進行的，對應(yīng)了安全事件管理的事前、事中、事后三個階段，事前重點是防護措施的部署，排兵布陣；事中是安全的監(jiān)控與應(yīng)急響應(yīng)，對于可以預知的危險可以防護，但對于未知的危險只能是監(jiān)控，先發(fā)現(xiàn)再想辦法解決；事后是對安全事件的分析與取證，對于監(jiān)控中沒有報警的事件的事后分析。由此SOC的功能發(fā)展延伸為下面三個維度：

安全防護管理: 負責安全網(wǎng)絡(luò)設(shè)備的管理與基礎(chǔ)安全體系的運營。是安全事件出現(xiàn)前的各種防護管理，其鮮明的特征就是制定的各種安全策略并下發(fā)到相關(guān)的安全設(shè)備。

監(jiān)控與應(yīng)急調(diào)度中心: 對安全事件綜合分析，根據(jù)威脅程度進行預警，并對各種事件做出及時的應(yīng)對反應(yīng)。

審計管理平臺: 事件的取證與重現(xiàn)、安全合規(guī)性審計、數(shù)據(jù)的統(tǒng)計分析、歷史數(shù)據(jù)的挖掘。安全的審計安全管理的事后“總結(jié)”，也是安全防護的依據(jù)。如圖所示。

第4篇：網(wǎng)絡(luò)安全建設(shè)方向范文

【關(guān)鍵詞】信息安全管理控制構(gòu)建

1 企業(yè)信息安全的現(xiàn)狀

隨著企業(yè)信息化水平的提升，大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備，但信息安全防護理念還停留在防的階段，信息安全策略都是在安全事件發(fā)生后再補救，導致了企業(yè)信息防范的主動性和意識不高，信息安全防護水平已經(jīng)越來越不適應(yīng)當今企業(yè)IT運維環(huán)境和企業(yè)發(fā)展的需求。

2 企業(yè)信息系統(tǒng)安全防護的構(gòu)建原則

企業(yè)信息化安全建設(shè)的目標是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時應(yīng)該遵循以下幾個原則：

2.1 建立企業(yè)完善的信息化安全管理體系

企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范，來保障信息安全制度的落實以及企業(yè)信息化安全體系的不斷完善?；酒髽I(yè)信息安全管理過程包括：分析企業(yè)數(shù)字化資產(chǎn)評估和風險分析、規(guī)劃信息系統(tǒng)動態(tài)安全模型、建立可靠嚴謹?shù)膱?zhí)行策略、選用安全可靠的的防護產(chǎn)品等。

2.2 提高企業(yè)員工自身的信息安全防范意識

在企業(yè)信息化系統(tǒng)安全管理中，防護設(shè)備和防護策略只是其中的一部分，企業(yè)員工的行為也是維護企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實施信息化安全管理時，絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實施企業(yè)信息安全前，應(yīng)制定企業(yè)員工信息安全行為規(guī)范，有效地實現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運行，保證企業(yè)信息安全。其次階段遞進的培訓信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進行逐次的安全培訓，強化企業(yè)員工對信息安全的概念，提升員工的安全意識。使員工的行為符合整個企業(yè)信息安全的防范要求。

2.3 及時優(yōu)化更新企業(yè)信息安全防護技術(shù)

當企業(yè)對自身信息安全做出了一套整體完善的防護規(guī)劃時，就應(yīng)當考慮采用何種安全防護技術(shù)來支撐整個信息安全防護體系。對于安全防護技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實時監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源，并且可以根據(jù)員工級別分配人員訪問權(quán)限，達到企業(yè)敏感信息的安全保障。

3 企業(yè)信息安全體系部署的建議

根據(jù)企業(yè)信息安全建設(shè)架構(gòu)，在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護體系時，我們需要重點關(guān)注以下幾個方面：

3.1 實施終端安全，規(guī)范終端用戶行為

在企業(yè)信息安全事件中，數(shù)字化成果泄漏是屬于危害最為嚴重的一種行為。企業(yè)信息安全體系建立前，企業(yè)員工對自己的個人行為不規(guī)范，造成了員工可以通過很多方式實現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為，我們在建設(shè)安全防護體系時，僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當用戶接入企業(yè)信息化平臺前，就對用戶的終端系統(tǒng)進行安全規(guī)范檢查，符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進行審計，使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范，從終端用戶提升企業(yè)的防護水平。

3.2 建設(shè)安全完善的VPN接入平臺

企業(yè)在信息化建設(shè)中，考慮總部和分支機構(gòu)的信息化需要，必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN，VPN加密傳輸都是通用的選擇。對于分支機構(gòu)可以考慮專用的VPN設(shè)備和總部進行IPSec連接，這種方式更安全可靠穩(wěn)定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下，就必須做好對于移動終端的身份認證識別。其實我們在設(shè)備采購時，可以要求設(shè)備商做好多種接入方式的需求，并且?guī)椭髽I(yè)搭建認證方式。這將有利于企業(yè)日常維護，提升企業(yè)信息系統(tǒng)的VPN接入水平。

3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性

在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時，要面對多個部門和分支結(jié)構(gòu)，合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為：物理層；數(shù)據(jù)鏈路層；網(wǎng)絡(luò)層；傳輸層；會話層；表示層；應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風險的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下，根據(jù)企業(yè)安全優(yōu)先級及面臨的風險程度，做出適合企業(yè)信息安全的防護策略和訪問控制策略。根據(jù)相應(yīng)防護設(shè)備進行深層次的安全防護，真正實現(xiàn)OSI的L2～L7層的安全防護。

3.4 實現(xiàn)企業(yè)信息安全防護體系的統(tǒng)一管理

為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護體系，重要的優(yōu)勢就是能實現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理，做到對整個網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時會產(chǎn)生大量的安全日志，如果單靠相關(guān)人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發(fā)生時，企業(yè)管理員很難實現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時，就必須要考慮安全設(shè)備日志之間的統(tǒng)一化，設(shè)定相應(yīng)的訪問控制和安全策略實現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。

4 結(jié)束語

信息安全的主要內(nèi)容就是保護企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實施信息安全防護過程中是一個長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護規(guī)劃，實施過程中根據(jù)不斷出現(xiàn)的情況及時調(diào)整安全策略和訪問控制，保證備份數(shù)據(jù)的安全性可靠性。同時全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護管理規(guī)定，這樣才能為企業(yè)的信息安全提供生命力和主動性，真正為企業(yè)的核心業(yè)務(wù)提供安全保障。

參考文獻

[1]郝宏志.企業(yè)信息管理師[M].北京：機械工業(yè)出版社，2005.

[2]蔣培靜.歐美國家如何培養(yǎng)網(wǎng)絡(luò)安全意識[J].中國教育網(wǎng)絡(luò)，2008（7）：48-49.

作者簡介

常勝（1982-），男，回族，天津市人。現(xiàn)為中國市政工程華北設(shè)計研究總院有限公司工程師。研究方向為網(wǎng)絡(luò)安全與服務(wù)器規(guī)劃部署。

第5篇：網(wǎng)絡(luò)安全建設(shè)方向范文

【關(guān)鍵詞】網(wǎng)絡(luò)空間拒止威懾

拒止型威懾在于通過指部署強大的防御力量、建立能從攻擊中迅速恢復的彈性系統(tǒng)，令對手相信攻擊得不到預期收益，從而放棄惡意行動，是美國網(wǎng)絡(luò)空間威懾戰(zhàn)略實施的基礎(chǔ)性途徑。美國始終高度重視網(wǎng)絡(luò)空間的防御和恢復能力建設(shè)，2008年《國家網(wǎng)絡(luò)空間安全綜合計劃》中的12條網(wǎng)絡(luò)安全倡議中，有10條與防御和恢復有關(guān)?！毒W(wǎng)絡(luò)威懾戰(zhàn)略》文件表明，拒止型威懾的建設(shè)應(yīng)當從增強防御性、彈性和可重建性三個方面著手，具體從四個方面落實。

一、認定和保護核心關(guān)鍵基礎(chǔ)設(shè)施

五角大樓定義的關(guān)鍵基礎(chǔ)設(shè)施是“對美國來說至關(guān)重要的實際的和虛擬的資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)”。美國所依賴的基礎(chǔ)設(shè)施體系繁雜，軟件問題的普遍性意味著美國不可能確保每個系統(tǒng)將都一直免受入侵或損害。因而美國政府“將認定和保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施作為優(yōu)先選擇，從而政府政策和資源將會被優(yōu)先用于確保特殊系統(tǒng)的安全和關(guān)鍵節(jié)點的防御”。

首先，認定核心關(guān)鍵基礎(chǔ)設(shè)施。2013年白宮頒布的《促進關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全建設(shè)》表明，“國土資源部應(yīng)當使用基于風險的方法認定關(guān)鍵基礎(chǔ)設(shè)施，在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)發(fā)生的網(wǎng)絡(luò)安全事件很可能會在公眾健康、公共安全、經(jīng)濟安全與國家安全等方面產(chǎn)生災難性影響”。國土安全部最終認定出了一份具有高風險的關(guān)鍵基礎(chǔ)設(shè)施名單。

其次，通報網(wǎng)絡(luò)威脅信息。美國國土安全部也努力提高私營部門監(jiān)測和阻止網(wǎng)絡(luò)入侵的能力，了解網(wǎng)絡(luò)攻擊可能帶來的級聯(lián)效應(yīng)。美國正在開發(fā)用于保護關(guān)鍵基礎(chǔ)設(shè)施的新工具，如全球信息柵格、DARPA提出的沖突建模、規(guī)劃與結(jié)果實驗方案（COMPOEX）等。

二、共享威脅信息

共享網(wǎng)絡(luò)威脅信息，可以為防御者提供了理解己方漏洞與對手攻擊計劃的機會，是拒止型威懾建設(shè)的必要步驟。

一方面，促進部門間威脅信息共享。2015年白宮宣布組建網(wǎng)絡(luò)威脅情報集成中心與國家網(wǎng)絡(luò)安全和通信集成中心，負責實時的與聯(lián)邦機構(gòu)、私營部門共享信息。此外還有“國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)安全和信息保障計劃”、“增強網(wǎng)絡(luò)安全服務(wù)計劃”、“關(guān)鍵基礎(chǔ)設(shè)施信息保護計劃”等機制。2016年白宮表示，國會應(yīng)當加強立法，允許企業(yè)在全國范圍內(nèi)與政府分享網(wǎng)絡(luò)安全信息。

另一方面，公民隱私問題持續(xù)受到關(guān)注，隨著“棱鏡門”事件的發(fā)酵，國內(nèi)對政府借維護國家安全之名隨意踐踏公民隱私的擔憂聲音也日漸高漲。因而《網(wǎng)絡(luò)威懾戰(zhàn)略》文件強調(diào)，在有關(guān)威脅信息共享的立法提案當中，政府必須遵守隱私限制規(guī)定，采取措施保護需要共享的個人信息。

三、防御內(nèi)部威脅

防御內(nèi)部威脅是拒止型威懾建設(shè)的重點方向。維基解密泄露美國政府文件、郵件的事件，以及情報計劃泄露等事件，都被認為是內(nèi)部人員泄密或操作不當造成的。

近年來，美國政府加強重要機密情報的安全防護。2011年美國頒布行政命令“致力于保護機密網(wǎng)絡(luò)與可靠分享機密信息的結(jié)構(gòu)性改革”，構(gòu)建了政府內(nèi)部人員管控與危機防范的機制逐漸建立，成立了高級信息共享和安全防護指導委員會、安全防護執(zhí)行局和國家內(nèi)部威脅專案組。在司法部長和國家情報總監(jiān)的聯(lián)合領(lǐng)導下，集合了反間諜、信息安全方面的專家以形成政府維度的內(nèi)部威懾機制，從而威懾、偵測、減輕包括機密情報損害在內(nèi)的內(nèi)部威脅。

四、強化政府網(wǎng)絡(luò)防御

美國網(wǎng)絡(luò)空間拒止性威懾還著眼于政府自身網(wǎng)絡(luò)體系。美國認為許多政府的網(wǎng)絡(luò)非常脆弱，可能成為薄弱環(huán)節(jié)。為了彌補這些缺陷，美國政府正在提升其網(wǎng)絡(luò)防御水平，為各部門和機構(gòu)設(shè)定了明確的網(wǎng)絡(luò)安全目標。同時，美國政府還正在提高政府在網(wǎng)絡(luò)安全方面的跨部門投資的追溯與監(jiān)察，以加強投入的效果。同時，美國國防部也強化了軍方網(wǎng)絡(luò)的防護，保護數(shù)百萬的網(wǎng)絡(luò)設(shè)施和數(shù)千個軍事飛地的機密信息。美國戰(zhàn)略司令部下屬的網(wǎng)絡(luò)司令部與國家安全局、國防信息系統(tǒng)局，共同監(jiān)控國防部網(wǎng)絡(luò)的運行，定時提供威脅和漏洞信息。2014年2月，美國國家標準和技術(shù)研究院了第一個版本的網(wǎng)絡(luò)安全框架，參考了全球公認標準幫助有關(guān)組織理解、管理網(wǎng)絡(luò)風險，敦促各個組織執(zhí)行標準措施，提升其整體網(wǎng)絡(luò)安全。

綜上所述，美國通過認定和保護關(guān)鍵基礎(chǔ)設(shè)施、促進威脅信息共享、防范內(nèi)部威脅與加強政府網(wǎng)絡(luò)防御等四種主要路徑，加強國家網(wǎng)絡(luò)系統(tǒng)面對攻擊時的風險抵御能力?？梢?，美國網(wǎng)絡(luò)空間的拒止型威懾，在于強化自身實力，“以不變應(yīng)萬變”。

參考文獻

[1]呂晶華，《美國網(wǎng)絡(luò)空間戰(zhàn)思想研究》，軍事科學出版社，2014年6月。

第6篇：網(wǎng)絡(luò)安全建設(shè)方向范文

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針，需要全面提高信息安全防護能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進行整體安全體系規(guī)劃設(shè)計，全面提高信息安全防護能力，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保護國家利益，促進貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

1安全規(guī)劃的目標和思路

貴州廣電網(wǎng)絡(luò)目前運營并管理著兩張網(wǎng)絡(luò)：辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公，重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺，其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護制度的認識，我們認為，信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分，是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障，它是一個包含貴州廣電網(wǎng)絡(luò)實體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面，包括保護、檢測、響應(yīng)、恢復四個方面，通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

1.1設(shè)計目標

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進行的初步規(guī)劃，在安全域整改中初見成效，然而，安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界，而且需要明確邊界上的安全策略，提高對核心信息資源的保護意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱，管理細則文件亟需補充，安全管理人員亟需培訓。因此，本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進行了全面梳理，針對業(yè)務(wù)系統(tǒng)中安全措施進行了重點分析，綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向，進行未來五年的信息安全建設(shè)規(guī)劃。

1.2設(shè)計原則

1.2.1合規(guī)性原則

安全設(shè)計要符合國家有關(guān)標準、法規(guī)要求，符合廣電總局對信息安全系統(tǒng)的等級保護技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的，包括對信息數(shù)據(jù)保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)，從而針對不同級別的安全對象，提供全面、可選的安全技術(shù)和安全體制，以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

1.2.2技管結(jié)合原則

信息安全保障體系是一個復雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設(shè)相結(jié)合。

1.2.3實用原則

安全是為了保障業(yè)務(wù)的正常運行，不能為了安全而妨礙業(yè)務(wù)，同時設(shè)計的安全措施要可以落地實現(xiàn)。

1.3設(shè)計依據(jù)

1.3.1“原則”符合法規(guī)要求

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務(wù)院147號令)、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護基本要求》，對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進行規(guī)劃。

1.3.2“策略”符合風險管理

風險管理是基于“資產(chǎn)-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經(jīng)成為國際信息安全的標準。

風險管理是靜態(tài)的防護策略，是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞，包括技術(shù)上的、管理上的，分析面臨的威脅，從而確定防護需求，設(shè)計防護的措施，具體的措施是打補丁，還是調(diào)整管理流程，或者是增加、增強某種安全措施，要根據(jù)用戶對風險的可接受程度，這樣就可以與安全建設(shè)的成本之間做一個平衡。

1.3.3“措施”符合P2DR模型

美國ISS公司(IntemetSecuritySystem，INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(yīng)(Response)四個主要部分，是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞，根據(jù)風險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護，以及如何實現(xiàn)對它們的保護等，策略是模型的核心，所有的防護、檢測和響應(yīng)都是依據(jù)安全策略實施的。

檢測(Detection)、防護(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下，在綜合運用防護工具(如防火墻、身份認證、加密等)的同時，利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風險最低”的狀態(tài)，在安全策略的指導下保證信息系統(tǒng)的安全[3]。

1.4安全規(guī)劃體系架構(gòu)

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上，我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

“一個中心”，以安全管理中心為核心，構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)，確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行，不會進入任何非預期狀態(tài)，從而防止用戶的非授權(quán)訪問和越權(quán)訪問，確保業(yè)務(wù)系統(tǒng)的安全。

“兩種手段”，是安全技術(shù)與安全管理兩種手段，其中安全技術(shù)手段是安全保障的基礎(chǔ)，安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵，管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證，兩者相輔相成，缺一不可。

2安全保陳方案規(guī)劃

2.1總體設(shè)計

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施，分為五個方面：

邊界防護體系：安全域劃分，邊界訪問控制策略的部署，主要是業(yè)務(wù)核心資源的邊界，運維人員的訪問通道。

行為審計體系：通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段，保證用戶行為的合規(guī)性。

安全監(jiān)控體系：監(jiān)控網(wǎng)絡(luò)中的異常，維護業(yè)務(wù)運行的安全基線，包括安全事件與設(shè)備故障，也包括系統(tǒng)漏洞與升級管理。

公共安全輔助：作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

IT基礎(chǔ)設(shè)施：提供智能化、彈能力的基礎(chǔ)設(shè)施，主要的機房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

2.2安全域劃分

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域，服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中，按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶，進一步劃分子區(qū)域;最后，根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng)，梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑，通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

Z3邊界防護體系規(guī)劃

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界，邊界上部署訪問控制措施，是防止非授權(quán)的“外部”用戶訪問“里面”的資源，因此分析業(yè)務(wù)的訪問流向，是訪問控制策略設(shè)計的依據(jù)。

2.3.1邊界措施選擇

在邊界上我們建議四種安全措施：

1.網(wǎng)絡(luò)邊界：與外部網(wǎng)絡(luò)的邊界是安全防護的重點，我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測，采用防火墻(FW)部署訪問控制策略，采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測，采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠程運維工作，與遠程辦公實施，在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān)，對遠程訪問用戶身份鑒別后，分配內(nèi)網(wǎng)地址，給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

3.業(yè)務(wù)流邊界：安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離，采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離，防止二層廣播，通知可以在發(fā)現(xiàn)安全事件時，開啟不同子域的安全隔離。

4.終端邊界：重點業(yè)務(wù)系統(tǒng)的終端，如運維終端，采用終端安全系統(tǒng)，保證終端上系統(tǒng)的安全，如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

2.3.2策略更新管理

邊界是提高入侵者的攻擊“門檻”的，部署安全策略重點有兩個方面：一是有針對性。允許什么，不允許什么，是明確的;二是動態(tài)性。就是策略的定期變化，如訪問者的口令、允許遠程訪問的端口等，變化的周期越短，給入侵者留下的攻擊窗口越小。

2.4行為審計體系規(guī)劃

行為審計是指對網(wǎng)絡(luò)用戶行為進行詳細記錄，直接的好處是可以為事后安全事件取證提供直接證據(jù)，間接的好處乇兩方面：對業(yè)務(wù)操作的日志記錄，可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復時提供操作過程的反向操作，最大程度地減小損失;對系統(tǒng)操作的日志記錄，可以分析攻擊者的行為軌跡，從而判斷安全防御系統(tǒng)的漏洞所在，亡羊補牢，可以彌補入侵者下次入侵的危害。

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網(wǎng)絡(luò)行為審計。

2.5安全監(jiān)控體系規(guī)劃

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺，也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便，在安全監(jiān)控體系上做到幾方面的統(tǒng)一：

1.運維與安全管理的統(tǒng)一：業(yè)務(wù)運維與安全同平臺管理，提高安全事件的應(yīng)急處理速度。

2.曰常安全運維與應(yīng)急指揮統(tǒng)一：隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化，不僅是日常運維發(fā)現(xiàn)異常的平臺，而且作為安全事件應(yīng)急指揮的調(diào)度平臺，隨時了解安全事件波及的范圍、影響的業(yè)務(wù)，同時確定安全措施執(zhí)行的效果。

3.管理與考核的統(tǒng)一：安全運維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位，在安全事件的定位、跟蹤、處理過程中，就體現(xiàn)了安全運維人員服務(wù)的質(zhì)量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺，2.6公共安全輔助系統(tǒng)

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng)，需要建設(shè)公共安全輔助系統(tǒng)：

1.身份認證系統(tǒng)：獨立于所有業(yè)務(wù)系統(tǒng)之外，為業(yè)務(wù)、運維提供身份認證服務(wù)。

2.補丁管理系統(tǒng)：對所有系統(tǒng)、應(yīng)用的補丁進行管理，對于通過測試的補丁、重要的補丁，提供主動推送，或強制執(zhí)行的技術(shù)手段，保證網(wǎng)絡(luò)安全基線。

3.漏洞掃描系統(tǒng)：對于網(wǎng)絡(luò)上設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解，對于不能打補丁的系統(tǒng)，要確認有其他安全策略進行防護。漏洞掃描分為兩個方面，一是系統(tǒng)本身的漏洞，二是安全域邊界部署了安全措施之后，實際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

2.7IT基礎(chǔ)設(shè)施規(guī)劃

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ)，具備一個優(yōu)秀的基礎(chǔ)架構(gòu)，不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運行，而且可以極大地提高基礎(chǔ)IT資源的利用率，節(jié)省資金投入，達到環(huán)保的要求。

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面：智能機房、服務(wù)器虛擬化、存儲虛擬化。

3安全筐理體系規(guī)劃

在系統(tǒng)安全的各項建設(shè)內(nèi)容中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)，建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

3_1安全管理標準依據(jù)

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準，對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進行設(shè)計。

3.2安全管理體系的建設(shè)目標

通過有效的進行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè)，最終要實現(xiàn)的目標是：采取集中控制模式，建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持，實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的安全管理模式，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護。

3.3安全管理建設(shè)指導思想

各種標準體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議，要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系，在建設(shè)過程中應(yīng)當以以下思想作為指導：“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ)，信息安全管理是信息安全的關(guān)鍵，人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則，信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段。”

3.4安全管理體系的建設(shè)具體內(nèi)容

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導和要求。我們應(yīng)以《基本要求》為標準，結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀，對廣電系統(tǒng)的管理機構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進行建設(shè)和加強。同時，由于信息安全是一個動態(tài)的系統(tǒng)工程，所以，貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整，以使管理體系始終適應(yīng)和滿足實際情況的需要，使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機構(gòu)、安全管理制度、安全標準規(guī)范和安全教育培訓等方面。

通過組建完整的信息網(wǎng)絡(luò)安全管理機構(gòu)，設(shè)置安全管理人員，規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施，制定嚴格的安全管理制度，合理地協(xié)調(diào)法律、技術(shù)和管理三種因素，實現(xiàn)對系統(tǒng)安全管理的科學化、系統(tǒng)化、法制化和規(guī)范化，達到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

3.5曰常安全運維3.5.1安全風險評估

安全風險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié)，這環(huán)的工作做好了可以減少大量的安全威脅，提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災難的免疫能力;風險評估是信息安全管理體系建立的基礎(chǔ)，是組織平衡安全風險和安全投入的依據(jù)，也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

3.5.2網(wǎng)絡(luò)管理與安全管理

網(wǎng)絡(luò)管理與安全管理的主要措施包括：出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預防措施。

3.5.3備份與容災管理

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機本地熱備、數(shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

3.5.4應(yīng)急響應(yīng)計劃

通過建立應(yīng)急相應(yīng)機構(gòu)，制定應(yīng)急響應(yīng)預案，通過建立專家資源庫、廠商資源庫等人力資源措施，通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預案不低于一年兩次的演練，可以在發(fā)生緊急事件時，做到規(guī)范化操作，更快的恢復應(yīng)用和數(shù)據(jù)，并最大可能的減少損失

3.6安全人員管理

信息系統(tǒng)的運行是依靠在各級黨政機構(gòu)工作的人員來具體實施的，他們既是信息系統(tǒng)安全的主體，也是系統(tǒng)安全管理的對象。所以，要確保信息系統(tǒng)的安全，首先應(yīng)加強人事安全管理。

安全人員應(yīng)包括：系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔當。3.7技術(shù)安全管理

主要措施包括：軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

4安全規(guī)劃分期建設(shè)路線

信息安全保障重要的是過程，而不一定是結(jié)果，重要的是安全意識的提高，而不一定是安全措施的多少。因此，信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運營為目標，提高用戶自身的安全意識為思路，根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè)，同時還要符合國家與廣電總局關(guān)于等級保護的技術(shù)與管理要求。

4.1主要的工作內(nèi)容

根據(jù)安全保障方案規(guī)劃的設(shè)計，貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容：

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分，網(wǎng)絡(luò)結(jié)構(gòu)的改造。

2.安全措施部署:邊界隔離措施部署，行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

3.基礎(chǔ)設(shè)施改造：主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

4.2分期建設(shè)規(guī)劃

4_2.1達標階段(2015-2017)

1.等保建設(shè)

2.信任體系：網(wǎng)絡(luò)審計、運維審計、日志審計

3.身份鑒別(一次口令)

4.監(jiān)控平臺：入侵檢測、流量監(jiān)測、木馬監(jiān)測

5.安全管理平臺建設(shè)

6.等保測評通過(2級3級系統(tǒng))

7.安全服務(wù)：建立定期模式

8.滲透性測試服務(wù)(外部+內(nèi)部)

9.安全加固服務(wù)，建立服務(wù)器安全底線

10.信息安全管理

11.落實安全管理細則文件制定

12.落實安全運維與應(yīng)急處理流程

13.完善IT服務(wù)流程，建設(shè)安全運維管理平臺

14.定期安全演練與培訓

4.2.2持續(xù)改進階段(2018?2019)

1.等保建設(shè)

2.完善信息安全防護體系

3.提升整體防護能力

4.深度安全服務(wù)

5.有針對性安全演練，協(xié)調(diào)改進管理與技術(shù)措施

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

7.信息安全管理

8.持續(xù)改進運維與應(yīng)急流程與制度，提高應(yīng)急反應(yīng)能力

9.提高運維效率，開拓運維增值模式

5結(jié)東語

第7篇：網(wǎng)絡(luò)安全建設(shè)方向范文

隨著企業(yè)信息化程度的不斷提高，采用IP技術(shù)構(gòu)建覆蓋全國的、技術(shù)先進、功能齊全、面向企業(yè)內(nèi)部應(yīng)用提供服務(wù)的綜合數(shù)據(jù)通信網(wǎng)（DCN網(wǎng)），逐步成為企業(yè)應(yīng)用趨勢。

目前，省內(nèi)DCN網(wǎng)絡(luò)的應(yīng)用主要包括長途網(wǎng)管系統(tǒng)、七號信令系統(tǒng)、電路調(diào)度系統(tǒng)、傳輸綜合網(wǎng)管、本地網(wǎng)管系統(tǒng)、168系統(tǒng)、九七系統(tǒng)、智能網(wǎng)記費、資源管理系統(tǒng)、客服系統(tǒng)、聯(lián)機計費采集系統(tǒng)、IP綜合網(wǎng)管系統(tǒng)、交換接入網(wǎng)綜合網(wǎng)管系統(tǒng)、新九七系統(tǒng)等。而隨著信息化系統(tǒng)整合，Internet和合作伙伴等也會接入到網(wǎng)絡(luò)中，隨著DCN網(wǎng)絡(luò)信息資產(chǎn)價值的提高，其重要性和安全問題日益顯現(xiàn)出來。整體而言，DCN網(wǎng)絡(luò)正面臨著惡意軟件攻擊、內(nèi)部員工誤用、黑客入侵破壞等安全威脅，要建立安全的DCN網(wǎng)，必須滿足一些前提條件。

安全需求具有明顯特點

DCN網(wǎng)絡(luò)分為兩層結(jié)構(gòu):省干核心層和地市匯聚層。全省共設(shè)置了1個省中心節(jié)點、若干個地市中心節(jié)點。

DCN網(wǎng)絡(luò)存在的安全問題主要集中在以下幾個方面：組網(wǎng)方式隨意性很強；網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互通控制管理難度大、效果差，攻擊容易擴散；安全防護手段部署原則不明確，已有設(shè)備也沒有很好地發(fā)揮作用；網(wǎng)絡(luò)資源比較分散，關(guān)鍵數(shù)據(jù)分散管理，部分通信資源無法共享；擴展性差，網(wǎng)絡(luò)層次不清晰，會導致擴展性問題；非均勻的網(wǎng)絡(luò)分布。

作為內(nèi)部支撐業(yè)務(wù)的“數(shù)據(jù)通信網(wǎng)”，DCN網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的安全需求相比存在著明顯的特點。

可用性，可控性需求。作為內(nèi)部承載網(wǎng)絡(luò)，DCN網(wǎng)絡(luò)的可用性需求是最重要的安全需求，由于DCN網(wǎng)絡(luò)的特點，公共網(wǎng)絡(luò)那種以擴大資源（帶寬、設(shè)備處理能力）為主的處理方式很明顯不適合DCN網(wǎng)絡(luò)的具體情況。例如，病毒泛濫，蠕蟲傳播的情況，由于端接入點不可控，采取很具體的控制手段往往是通過增加資源首先保證可用的方式來解決。但對于DCN網(wǎng)絡(luò)，由于全網(wǎng)所有節(jié)點都在可控范圍內(nèi)，可以方便地采用技術(shù)手段和管理手段實現(xiàn)更精細，更有效的可用性管理。

可操作性需求。DCN網(wǎng)絡(luò)覆蓋面廣，承載業(yè)務(wù)系統(tǒng)繁多，情況千差萬別，要搞好這個系統(tǒng)的安全建設(shè)工作，可操作性是目前需要考慮的一個重要問題，沒有可操作性，任何建設(shè)方案，建設(shè)思路都將流于形式。

面臨三大安全威脅

DCN網(wǎng)絡(luò)中的主要威脅除了物理攻擊破壞外，主要包括惡意軟件攻擊、內(nèi)部員工誤用、黑客入侵破壞等三大類，具體描述如下。

1．物理攻擊和破壞

物理攻擊和破壞主要針對DCN的基礎(chǔ)平臺而言，對基礎(chǔ)平臺內(nèi)重要的網(wǎng)絡(luò)設(shè)備、通信鏈路進行的攻擊和破壞，威脅的形式表現(xiàn)為物理臨近攻擊。威脅的主體包括DCN內(nèi)部和外部的破壞者，破壞網(wǎng)絡(luò)設(shè)備使之無法正常提供服務(wù)；侵占網(wǎng)絡(luò)鏈路資源，使DCN網(wǎng)絡(luò)有限的帶寬資源被無目的地浪費等。

2．病毒、蠕蟲和惡意代碼

這種威脅主要針對DCN的應(yīng)用。隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)互聯(lián)范圍的擴大，計算機病毒制造技術(shù)也在不斷地翻新和發(fā)展，傳播方式也有了很大的變化。病毒的發(fā)作具有高發(fā)性、變異性、破壞力強等特點，在短短的時間內(nèi)可以迅速傳播、蔓延，導致計算機網(wǎng)絡(luò)癱瘓，造成DCN網(wǎng)重要數(shù)據(jù)的丟失。

與此同時，還出現(xiàn)了許多具有攻擊性的黑客程序和其他破壞程序。這些有害的程序都是利用計算機網(wǎng)絡(luò)的技術(shù)進行傳播和破壞，使傳統(tǒng)的病毒防范技術(shù)難以防范，大規(guī)模蠕蟲病毒對網(wǎng)絡(luò)資源造成很大的侵占，使系統(tǒng)無法正常支撐業(yè)務(wù)的運作，嚴重的將導致整個系統(tǒng)的崩潰。

防范的主要目標是：能夠掌握DCN網(wǎng)絡(luò)、數(shù)據(jù)中心的資產(chǎn)信息和運行狀態(tài)，每月提供全省病毒攻擊相關(guān)安全事件統(tǒng)計數(shù)據(jù)報告；能夠?qū)κ貲CN網(wǎng)絡(luò)、信息系統(tǒng)的漏洞和威脅進行評估，明確當前省屬DCN網(wǎng)絡(luò)和信息系統(tǒng)存在的風險和被病毒攻擊的可能性，并及時做好加固工作；能夠?qū)κ貲CN關(guān)鍵節(jié)點網(wǎng)絡(luò)流量進行監(jiān)控，對病毒等造成的流量異常進行及時響應(yīng)，快速定位并隔離病毒源頭;能夠通過對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志和告警事件的關(guān)聯(lián)分析，在病毒爆發(fā)初期快速定位并隔離病毒源頭;能夠在接收到安全通告12小時內(nèi)向各地市安全通告;在病毒爆發(fā)時，能夠快速定位接入局域網(wǎng)接入位置，提高安全響應(yīng)時間。

3．垃圾郵件

電子郵件的興起，實現(xiàn)了方便的信息交互和溝通，也為各種攻擊提供了新的傳播手段。典型的基于電子郵件的攻擊就是垃圾郵件，這些垃圾郵件利用郵箱內(nèi)的地址簿，自我進行復制和傳播，從而在網(wǎng)絡(luò)內(nèi)形成大量的郵件風暴，而阻礙了正常郵件的發(fā)送，甚至引起網(wǎng)絡(luò)阻塞，影響其他正常業(yè)務(wù)數(shù)據(jù)的交互。

4．內(nèi)部員工誤用、濫用和誤操作

內(nèi)部員工在使用計算機過程中的一些不當行為，很容易使DCN網(wǎng)遭到外來的攻擊和破壞。比如，下載一些帶有病毒的文件，造成病毒的傳播；對業(yè)務(wù)系統(tǒng)進行誤操作，造成業(yè)務(wù)系統(tǒng)宕機；被植入木馬，從而形成跳板去攻擊DCN其他網(wǎng)絡(luò)資源；對數(shù)據(jù)濫用，造成重要的信息外泄，使重要機密數(shù)據(jù)被竊取。

一般地，內(nèi)部員工誤用、濫用資源和對設(shè)備的誤操作，無論是無意的還是有意的，都將給攻擊者可乘之機。這種行為會給DCN網(wǎng)帶來一些明顯的后果：DCN網(wǎng)機密泄漏和關(guān)鍵數(shù)據(jù)丟失；誤操作導致計算機系統(tǒng)癱瘓、影響業(yè)務(wù)正常運行；誤用和濫用導致業(yè)務(wù)的不穩(wěn)定、被攻擊的可能性增大。

針對此類行為的關(guān)鍵策略是采取集中認證和訪問控制、行為審計等措施進行防范，能夠建立省中心網(wǎng)絡(luò)集中認證授權(quán)(AAA)管理系統(tǒng)，統(tǒng)一用戶的賬號口令管理、統(tǒng)一認證，并能夠?qū)﹃P(guān)鍵網(wǎng)絡(luò)設(shè)備的訪問和操作進行審計等。

5．蓄意破壞

指一些有組織、有預謀的破壞行為。包括采取物理臨近攻擊，進入DCN網(wǎng)絡(luò)而獲得商業(yè)秘密，使機密數(shù)據(jù)被竊?。会槍CN網(wǎng)絡(luò)重要網(wǎng)絡(luò)設(shè)備、重要業(yè)務(wù)服務(wù)器進行暴力攻擊，影響關(guān)鍵業(yè)務(wù)的持續(xù)運行；針對DCN網(wǎng)絡(luò)對外提供服務(wù)的設(shè)備進行拒絕服務(wù)攻擊，中斷其正常服務(wù)的提供，對業(yè)務(wù)的正常開展造成威脅等。

可以采取的措施主要包括：能夠在省屬DCN關(guān)鍵鏈路和關(guān)鍵節(jié)點有相應(yīng)冗余措施；能夠?qū)κ訇P(guān)鍵網(wǎng)絡(luò)設(shè)備的訪問和操作進行審計；出現(xiàn)安全事件和故障能夠快速定位。

6．黑客攻擊和非法入侵

指外部黑客對DCN網(wǎng)絡(luò)進行的強制攻擊行為，攻擊者往往利用DCN網(wǎng)絡(luò)的弱點，獲取訪問權(quán)限，并利用訪問權(quán)限獲得對DCN信息資產(chǎn)的控制，從而進行進一步的攻擊行為，破壞系統(tǒng)的機密性、完整性和可用性，造成系統(tǒng)的崩潰。

防范攻擊的目標為：掌握DCN網(wǎng)絡(luò)、數(shù)據(jù)中心的資產(chǎn)信息和運行狀態(tài)，提供遭受入侵攻擊和安全事件相關(guān)統(tǒng)計數(shù)據(jù)報告；對DCN資產(chǎn)的漏洞和威脅進行評估，明確當前DCN存在的風險和被攻擊的可能性，并及時做好加固工作；對省公司與集團總部數(shù)據(jù)中心接口、Internet 出入口處、合作伙伴接入點進行監(jiān)控，對內(nèi)部黑客攻擊和非常入侵等造成的流量異常進行及時響應(yīng)，能夠快速定位攻擊源，及時切斷攻擊行為；對網(wǎng)絡(luò)的攻擊行為進行記錄和審計；能獲得最新的漏洞報告，并能在全網(wǎng)。

滿足三大前提條件

保證網(wǎng)絡(luò)安全必須有一定的前提條件，主要包括邊界整合和安全域劃分、出口規(guī)劃及控制、業(yè)務(wù)層面的隔離三個方面。

1．邊界整合和安全域劃分

DCN網(wǎng)的邊界包括外部邊界和內(nèi)部系統(tǒng)之間的邊界。外部邊界包括與Internet的接口、上下區(qū)域之間的接口，內(nèi)部邊界是指各業(yè)務(wù)系統(tǒng)之間的邊界。

在省層面，與外界的接口原則上由省的統(tǒng)一節(jié)點管理，并設(shè)置嚴格的安全控制策略。所有對外接口原則上設(shè)置在省公司，在地市公司層面，和其他網(wǎng)絡(luò)沒有連接。在CE層實現(xiàn)MPLS VPN控制。在PE層實現(xiàn)Internet的出入口，在業(yè)務(wù)網(wǎng)的互聯(lián)區(qū)采用邊界防火墻進行隔離。

2．DCN網(wǎng)的Internet出口規(guī)劃及控制

DCN網(wǎng)絡(luò)根據(jù)業(yè)務(wù)發(fā)展的需要應(yīng)該進行Internet接口的整合，統(tǒng)一DCN網(wǎng)的互聯(lián)網(wǎng)出口。在確定Internet接入的情況下，在Internet接口處部署防火墻設(shè)備。

而在Internet出口處部署防火墻必須能夠做到:采用狀態(tài)檢測的機制實現(xiàn);對常見應(yīng)用采用機制，防止反向連接的木馬攻擊程序；防火墻本身應(yīng)能實現(xiàn)HA和Load Balance；在DCN網(wǎng)接入Internet接口處，除了采用防火墻這種通用的、常見的措施外，還應(yīng)采用IPS（入侵防御）技術(shù)/產(chǎn)品和防火墻配合使用。

3．DCN承載業(yè)務(wù)層面的隔離措施

BSS、OSS和MSS在縱向（集團－省公司－地市公司）、跨DCN骨干網(wǎng)的傳輸上采用MPLS VPN方式針對不同業(yè)務(wù)系統(tǒng)進行封包，確保在不同的VPN通道中傳輸不同業(yè)務(wù)系統(tǒng)。

如果BSS、OSS和MSS系統(tǒng)在橫向上同處一個本地網(wǎng)中，則采用路由控制配合其他安全方式來進行安全防護。

4．VPN實現(xiàn)隔離

各地市節(jié)點的路由器用作PE（即SPE），組成一個邏輯PE節(jié)點（HoPE）。在DCN網(wǎng)絡(luò)上形成多個這樣的邏輯PE，邏輯PE之間通過MP-BGP協(xié)議交換VPN路由信息，省中心兩臺核心路由器設(shè)置VPN路由反射器（VRR）。邏輯PE內(nèi)部，SPE和UPE之間運行擴展的MP－BGP協(xié)議，交換本地VPN路由信息。

5．業(yè)務(wù)系統(tǒng)互訪

實現(xiàn)子系統(tǒng)之間受控互訪，可以有兩種方式：利用BGP MPLS VPN提供了extranet VPN的方式，可以方便地控制不同VPN之間的互訪，而且互訪受到嚴格的控制；利用VPN內(nèi)部的路由器（或者防火墻）做地址過濾、報文過濾等。

完善安全建設(shè)思路

針對前面分析的DCN網(wǎng)中主要的三種威脅和三類前提條件，DCN安全建設(shè)的主要思路應(yīng)具體包括以下幾個方面。

1． DCN網(wǎng)關(guān)鍵資產(chǎn)保護

DCN網(wǎng)的關(guān)鍵資產(chǎn)就是網(wǎng)絡(luò)設(shè)備（包括交換機、路由器等）和主機系統(tǒng)，為了提供對關(guān)鍵資產(chǎn)的安全保障，目前最有效和安全性最高的就是采用安全加固措施，對重要資產(chǎn)進行安全評估后，進行技術(shù)性的加固，才能很好地將數(shù)據(jù)庫安全保障達到最可靠的安全等級。

2．防火墻產(chǎn)品部署

在各個通向其它系統(tǒng)或區(qū)域的鏈路上通過防火墻實現(xiàn)邊界保護，控制各個區(qū)域間的訪問和信息流。防火墻根據(jù)實際業(yè)務(wù)情況依據(jù)“一切未明確允許的訪問都禁止”的原則詳細配置訪問策略，只允許授權(quán)地址訪問，過濾兩個區(qū)域之間的通信量和堵塞未授權(quán)訪問。

3．IDS產(chǎn)品部署

采用分級部署方式，在省和地市兩級分別部署入侵檢測探測器和控制臺，實現(xiàn)分級分權(quán)的監(jiān)控和管理。

4．漏洞掃描產(chǎn)品部署

采用分級部署方式，在省公司和地市兩級部署無IP地址限制的漏洞掃描設(shè)備，實現(xiàn)多級的漏洞掃描，以達到了解整個DCN省網(wǎng)的安全現(xiàn)狀。

省網(wǎng)方面，考慮到DCN省網(wǎng)范圍需要檢測的設(shè)備較多，使用一臺無IP限制的設(shè)備。在省網(wǎng)管中心建立一級遠程評估中心，負責DCN省網(wǎng)的脆弱性分析和匯總各個地市的評估數(shù)據(jù);地市網(wǎng)方面，則由于各個地市的信息系統(tǒng)規(guī)模情況不太一致，在規(guī)模較大的地市公司網(wǎng)使用無檢測IP限制的設(shè)備，與省網(wǎng)形成多級部署。在規(guī)模較大地市公司建立二級遠程評估中心，負責DCN地市網(wǎng)絡(luò)的脆弱性評估分析和上報工作

通過IDS產(chǎn)品與漏洞掃描產(chǎn)品的聯(lián)動操作，可以有效地針對保護資產(chǎn)的脆弱性進行安全防護。

5．防DoS攻擊產(chǎn)品部署

在DCN省網(wǎng)骨干和各重要業(yè)務(wù)系統(tǒng)中采用不同的部署方式，從不同方面進行保護。在骨干網(wǎng)采用旁路流量牽引方式進行部署，主要作用是濾除大部分的攻擊流量，減少骨干網(wǎng)絡(luò)帶寬占用，避免網(wǎng)絡(luò)阻塞，針對于流量型DoS攻擊。同時在對外提供服務(wù)的重要業(yè)務(wù)系統(tǒng)出口處串接部署，主要作用是保護內(nèi)部業(yè)務(wù)系統(tǒng)完全免受攻擊，徹底防御各個層次的DoS，針對于協(xié)議缺陷型DoS攻擊。

6．流量分析產(chǎn)品部署

通過流量分析產(chǎn)品的部署，能夠?qū)φwDCN網(wǎng)絡(luò)的安全趨勢進行預測與跟蹤，并針對全網(wǎng)范圍內(nèi)的實時統(tǒng)計數(shù)據(jù)進行安全方面的數(shù)據(jù)挖掘，從而有效地對DCN網(wǎng)絡(luò)的運行情況和安全狀況進行監(jiān)測。在發(fā)生網(wǎng)絡(luò)運行或安全事件時，根據(jù)產(chǎn)品內(nèi)置策略或者管理員指定的方法，第一時間內(nèi)自動告警，進一步協(xié)助管理員分析問題的影響范圍。

7．雙因素認證、防病毒、補丁管理部署

靜態(tài)口令存在很多缺陷，容易被人猜測或通過交際工程學等途徑獲取，輸入口令時容易被人窺視和被很多工具破解，通過實施雙因素認證，增加第二個物理認證因素，從而使認證的確定性按指數(shù)級遞增，提升資源保護的安全級別，可防止機密數(shù)據(jù)、內(nèi)部應(yīng)用等重要資源被非法訪問。

由于在網(wǎng)絡(luò)環(huán)境下計算機病毒有不可估量的威脅性和破壞力，特別是對于Windows操作系統(tǒng)，比較容易感染病毒，因此病毒的防范也是信息系統(tǒng)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預防病毒、檢測病毒和殺毒三種技術(shù)。

在省中心，可以采用一臺或多臺服務(wù)器，安裝相應(yīng)軟件后，作為雙因素認證服務(wù)器、防病毒服務(wù)器、補丁管理服務(wù)器，實現(xiàn)相應(yīng)的安全功能，提高DCN網(wǎng)安全性。

建立安全管理中心

對于安全建設(shè)而言，主要包括安全組織、安全技術(shù)、安全運作、安全策略等方面，單從安全技術(shù)而言，太少的安全設(shè)備和太多的安全設(shè)備一樣存在著比較大的問題，特別是安全設(shè)備布放多的情況下，產(chǎn)生了大量的告警，使網(wǎng)絡(luò)變得非常復雜，同時也會使管理人員無所適從。具體框架如圖所示。從長遠來看，SOC中心的建設(shè)成為安全建設(shè)的主要發(fā)展方向，從而使企業(yè)的網(wǎng)絡(luò)管理向網(wǎng)管中心和安全中心的雙中心方向發(fā)展。

在安全建設(shè)過程中，通常采用不同廠商的安全產(chǎn)品和方案，并引入了相當多異構(gòu)的安全技術(shù)。而來源于防火墻、入侵檢測、防病毒等安全設(shè)備的事件隨著網(wǎng)絡(luò)的發(fā)展，在一個中等規(guī)模的網(wǎng)絡(luò)上就可以形成海量安全事件，這些事件中又存在非常多的誤報和重復現(xiàn)象，技術(shù)人員在維護網(wǎng)絡(luò)系統(tǒng)時，不能清楚了解網(wǎng)絡(luò)系統(tǒng)當前的隱患和狀態(tài)，分別處理了大量信息工作卻效果有限。

第8篇：網(wǎng)絡(luò)安全建設(shè)方向范文

【關(guān)鍵詞】智能時代；云計算；安全架構(gòu)

一、前言

當今世界，新一輪的科技革命和產(chǎn)業(yè)變革正在持續(xù)深入，工業(yè)互聯(lián)網(wǎng)、智能制造、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等領(lǐng)域正在加速布局，“智能時代”企業(yè)信息系統(tǒng)最顯著的變化是虛擬化、數(shù)字化一切、軟件定義，促使企業(yè)信息化的不斷發(fā)展，公司信息化資產(chǎn)數(shù)量日趨增多、系統(tǒng)的關(guān)聯(lián)性和復雜度不斷增強，使企業(yè)信息安全形勢日益嚴峻，信息安全防護工作面臨前所未有的困難和挑戰(zhàn)。為了更好監(jiān)控和保障信息系統(tǒng)運行，及時識別和防范安全風險，同時滿足國家和行業(yè)監(jiān)管要求，保證信息安全管理工作的依法合規(guī)，企業(yè)亟需建立一個全數(shù)據(jù)、集中管理的企業(yè)安全平臺，做到事前預警、事中監(jiān)控、事后分析以及響應(yīng)，全面的提升信息安全管理與防護水平。

二、智能時代的變化趨勢

我們正處在一個變革的時刻，“智能”是這個時代最顯著的標志。在今年春天首屆世界智能大會上馬云提出，智能時代有三個最主要的要素：互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算；李彥宏也指出，未來30年推動社會進步的動力，就是智能科技的進步；浪潮董事長孫丕恕表示，智能從實現(xiàn)形式上就是要通過物聯(lián)網(wǎng)、互聯(lián)網(wǎng)將企業(yè)生產(chǎn)數(shù)據(jù)、互聯(lián)網(wǎng)數(shù)據(jù)和企業(yè)自身的管理數(shù)據(jù)全部打通，實現(xiàn)無邊界信息流和大數(shù)據(jù)分析。由此看來，一個企業(yè)走向智能化首先要完成業(yè)務(wù)在線化和流程服務(wù)軟件化，然后完成應(yīng)用軟件的SaaS(Software-as-a-Service)化，從而助企業(yè)實現(xiàn)智能生產(chǎn)、智能維護、智慧服務(wù)。1.安全技術(shù)的變化基于云計算、虛擬化、大數(shù)據(jù)、智能制造、移動辦公的持續(xù)推進，都是基于企業(yè)信息基礎(chǔ)架構(gòu)所實施的，開放式計算環(huán)境和更靈活的支持架構(gòu)，要求安全技術(shù)隨之匹配發(fā)展，才能適應(yīng)新環(huán)境，新技術(shù)下的安全需求。中國工程院倪光南院士在《云安全的思考》主題演講中指出，云安全一定會呈現(xiàn)出多維度、多層次、跨領(lǐng)域、多學科技術(shù)交叉等方面的特征。對于云計算的安全保護，需要一個完備體系，從技術(shù)、監(jiān)管、法律三個層面上，形成可感知、可預防的智能云安全體系。2.企業(yè)智能架構(gòu)從應(yīng)用架構(gòu)上看，未來的應(yīng)用都是角色化、場景化的，可連接互聯(lián)網(wǎng)資源，全員應(yīng)用，實現(xiàn)移動化和智能化。虛擬化、數(shù)字化一切、軟件定義促使企業(yè)信息架構(gòu)的變革，以業(yè)務(wù)為導向和驅(qū)動，在企業(yè)管理、集成等方向上提供基礎(chǔ)共性平臺，為企業(yè)快速構(gòu)建和集成應(yīng)用軟件提供基礎(chǔ)支持，從而實現(xiàn)工程經(jīng)驗模塊化、產(chǎn)品實際協(xié)同化、項目流程一體化結(jié)構(gòu)，實現(xiàn)由統(tǒng)一業(yè)務(wù)層、統(tǒng)一界面構(gòu)架層、應(yīng)用系統(tǒng)層、統(tǒng)一工作臺面、大數(shù)據(jù)分析、云計算層組成的一種新模式。在企業(yè)IT系統(tǒng)的業(yè)務(wù)基礎(chǔ)機構(gòu)層面，引入先進的統(tǒng)一軟件平臺，為上層應(yīng)用開發(fā)提供統(tǒng)一標準，接口和規(guī)范，同時基于“平臺+組件”的架構(gòu)實現(xiàn)各類應(yīng)用的組合和復用，助企業(yè)實現(xiàn)數(shù)字化轉(zhuǎn)型。3.云架構(gòu)在人工智能一日千里的時代，云計算已成為產(chǎn)業(yè)革新的原動力、新型管理的主平臺、人工智能的強載體。在新的云時代，整個社會都在發(fā)生數(shù)字化的迭代。云成為數(shù)字化最重要的基礎(chǔ)架構(gòu)。騰訊董事局主席兼首席執(zhí)行官馬化騰指出：“用云量將成為一個重要的經(jīng)濟指標，能夠衡量一個行業(yè)數(shù)字經(jīng)濟發(fā)展程度?！彼€表示：“傳統(tǒng)企業(yè)的未來就是在云端用人工智能處理大數(shù)據(jù)。”“云+AI”是當前最主流的方向，其核心包括三項核心能力（計算機視覺、智能語音識別、自然語言處理）。在計算機視覺領(lǐng)域?qū)崿F(xiàn)開放OCR識別、人臉核身、圖片處理等多項智能云服務(wù)；在智能語音識別領(lǐng)域?qū)崿F(xiàn)語音轉(zhuǎn)文字、語音合成、聲紋識別、情緒識別等功能；在自然語言處理領(lǐng)域，以“數(shù)據(jù)+算法+系統(tǒng)”為核心，提供毫秒級響應(yīng)的個性化服務(wù)。

三、企業(yè)信息安全措施

VMware首席執(zhí)行官帕特•基辛格表示：“抵御安全攻擊，響應(yīng)速度不是核心，而是如何將支離破碎的安全保護進行更有效的整合，實現(xiàn)安全架構(gòu)的簡化，這才是企業(yè)安全轉(zhuǎn)型的關(guān)鍵?！卑踩夹g(shù)在智能時代必須跟上發(fā)展的變化，“智慧安全”的理念正在深入，著力點從網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全深入到業(yè)務(wù)應(yīng)用安全等各個層面，AI防火墻、態(tài)勢感知平臺、云安全產(chǎn)品、企業(yè)移動化信息安全管理平臺、智慧眼監(jiān)控雷達、業(yè)務(wù)應(yīng)用安全審計平臺成為保護企業(yè)信息安全的前沿技術(shù)。1.企業(yè)數(shù)據(jù)的安全阿里巴巴董事局主席馬云說：“數(shù)據(jù)是新能源?！彪S著數(shù)據(jù)量的持續(xù)增長，應(yīng)用數(shù)量不斷增加，數(shù)據(jù)將成為社會創(chuàng)新的重要驅(qū)動力。隨著“網(wǎng)絡(luò)強國戰(zhàn)略”、“互聯(lián)網(wǎng)+”行動計劃、大數(shù)據(jù)戰(zhàn)略的推進，網(wǎng)絡(luò)安全風險和威脅也進入到企業(yè)：非對稱的業(yè)務(wù)流量、定制化的應(yīng)用程序、需要被路由到計算層之外并達到數(shù)據(jù)中心周邊的高流量數(shù)據(jù)、跨多個虛擬化應(yīng)用，以及地理上分散的移動應(yīng)用，都造成數(shù)據(jù)泄露的機會，隨著中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組的成立，信息安全已上升到國家安全層面。因此數(shù)據(jù)保護十分重要，最好的選擇是本源的防護，既做到保護數(shù)據(jù)本源的同時，又能靈活應(yīng)對各種安全環(huán)境的需求。而符合這種要求的安全技術(shù)就是基于專業(yè)的安全分析模型和大數(shù)據(jù)管理工具，可準確、高效地感知整個網(wǎng)絡(luò)的安全狀態(tài)以及變化趨勢，通過企業(yè)本地部署安全大數(shù)據(jù)分析平臺，打通云端情報與本地設(shè)備的聯(lián)動，形成情報觸發(fā)預警，預警觸發(fā)防護的閉環(huán)。對外部的攻擊與危害行為可以及時的發(fā)現(xiàn)，并采取相應(yīng)的響應(yīng)措施，保障企業(yè)信息系統(tǒng)安全。2.企業(yè)網(wǎng)絡(luò)安全2016年，在“4.19講話”中再一次強調(diào)網(wǎng)絡(luò)安全建設(shè)的重要性，并提出：“要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力，要加快網(wǎng)絡(luò)立法進程，完善依法監(jiān)管措施，化解網(wǎng)絡(luò)風險。此外根據(jù)網(wǎng)絡(luò)安全法相關(guān)規(guī)定，我們也可以看出，網(wǎng)絡(luò)安全法在原有信息系統(tǒng)安全等級保護制度的基礎(chǔ)上，創(chuàng)新了網(wǎng)絡(luò)安全等級保護的工作方法，企業(yè)的信息安全建設(shè)需在原有信息系統(tǒng)安全等級保護制度建設(shè)的基礎(chǔ)上，將新技術(shù)新應(yīng)用帶來的重要信息系統(tǒng)建設(shè)諸如云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)等領(lǐng)域的國家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)都納入國家安全等級保護制度進行管理，將風險評估、安全監(jiān)測、通報預警、應(yīng)急演練、災難備份、自主可控等重點措施也納入了國家網(wǎng)絡(luò)安全等級保護制度的管理范疇。企業(yè)緊跟網(wǎng)絡(luò)技術(shù)的發(fā)展，以“智慧安全2.0戰(zhàn)略”為指導，將“智慧安全”的核心從網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全深入到業(yè)務(wù)應(yīng)用安全等各個層面?，F(xiàn)在已可以采用AI、機器學習、行為分析等技術(shù)手段進行動態(tài)分析、靜態(tài)分析、異常檢測、深度解析等手段，更有效地防范未知威脅。3.物聯(lián)網(wǎng)安全預計到2021年，全球?qū)⒂谐^460億臺設(shè)備，傳感器和執(zhí)行器連接在一起，更廣闊，更強大和更穩(wěn)定的物聯(lián)網(wǎng)時代即將到來，并且最終將給企業(yè)帶來全新業(yè)務(wù)方式。物聯(lián)網(wǎng)(IoT)為企業(yè)創(chuàng)新提供了廣闊的前景。企業(yè)通過監(jiān)控、分析收集來的數(shù)據(jù)量，來確保業(yè)務(wù)的正常發(fā)展。其中數(shù)據(jù)大都是從傳感器、應(yīng)用、門禁系統(tǒng)、配電單元、UPS、發(fā)電機和太陽能電池板產(chǎn)生的數(shù)據(jù)，但隨著這些應(yīng)用的增長，物聯(lián)網(wǎng)帶給企業(yè)的安全風險也很大。要應(yīng)對物聯(lián)網(wǎng)的安全挑戰(zhàn)，企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進行整體安全檢測與防護，在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢分析平臺，獲取威脅情報；在本地端通過減少威脅“檢測時間（TTD）”，即減少發(fā)生威脅到發(fā)現(xiàn)威脅的時間差，縮短檢測時間，可有效限制攻擊者的操作空間，和最大限度減少損失。①及時更新基礎(chǔ)設(shè)施和應(yīng)用，讓攻擊者無法利用公開的漏洞；②利用集成防御對抗復雜性，采取平衡防御與主動應(yīng)對的安全控制；③密切監(jiān)控網(wǎng)絡(luò)流量（這在網(wǎng)絡(luò)流量模式可預測性非常高的IoT環(huán)境中非常重要）；④追蹤物聯(lián)網(wǎng)設(shè)備如何接觸網(wǎng)絡(luò)并與其他設(shè)備進行交互（例如，如果物聯(lián)網(wǎng)設(shè)備正在掃描其他設(shè)備，則可能是表示惡意活動的紅色警報）。

四、結(jié)論

神州控股董事局主席郭為對未來的預測時說：“云計算將成為未來主流IT運算模式，大數(shù)據(jù)會成為最重要核心資源；自上而下的創(chuàng)新將是智能時代推動社會進步的主流方式，借助云計算、大數(shù)據(jù)這兩項關(guān)鍵技術(shù)實現(xiàn)互聯(lián)網(wǎng)化、協(xié)同化和智能化?！敝悄苁俏覀冞@個時代的標志，對于企業(yè)信息化來說，它的路很長，首先要完成核心業(yè)務(wù)在線化和所有的業(yè)務(wù)流程服務(wù)軟件化，然后完成應(yīng)用軟件的SaaS(Soft-as-a-Service)化，當企業(yè)的核心業(yè)務(wù)完全建立在互聯(lián)網(wǎng)上，并有軟件SaaS平臺驅(qū)動，企業(yè)才能夠向智能化方向演進——低成本積累大數(shù)據(jù)，并通過數(shù)據(jù)分析進行商業(yè)決策，最終向?qū)崟r數(shù)據(jù)分析、實時智能商業(yè)決策演進。由此，企業(yè)信息智能化任重道遠，從現(xiàn)在開始制定適當?shù)陌踩呗?，以此加快IT新趨勢的適應(yīng)能力，在不斷采用新技術(shù)的過程中建立適合企業(yè)的安全管理系統(tǒng)，做到覆蓋企業(yè)安全運維的所有場景，監(jiān)視安全威脅，預測安全風險。

參考文獻

[1]維克多•邁克熱•舍恩伯格.大數(shù)據(jù)時代:生活、工作與思維的大變革[M].浙江人民出版社.

第9篇：網(wǎng)絡(luò)安全建設(shè)方向范文

21世紀，隨著計算機和網(wǎng)絡(luò)通訊技術(shù)的變革，數(shù)字圖書館的理論與技術(shù)迅猛發(fā)展，并成為現(xiàn)代圖書館的發(fā)展方向。在知識經(jīng)濟時代，信息技術(shù)迅速全面地滲入到知識活動的全過程,觸發(fā)知識的生產(chǎn)、加工、傳播、使用等各個環(huán)節(jié)的深刻變革。數(shù)字圖書館的工作重點，正在逐漸向知識傳遞、知識創(chuàng)新轉(zhuǎn)變，工作定位也從信息管理轉(zhuǎn)變到知識管理，圖書館員也要求向?qū)W者化、知識化方向發(fā)展。當前，國內(nèi)外許多學者對數(shù)字圖書館的內(nèi)涵、主要內(nèi)容、實現(xiàn)機制等方面進行了大量的探討，取得了不少研究成果。

⒈高職院校數(shù)字化圖書館的發(fā)展現(xiàn)狀

高職院校文獻信息資源與重點高校相比累積的就少,特別是它的文獻信息典藏和管理要落后于普通本科院校圖書館的整體發(fā)展水平。具體情況體現(xiàn)在:

1）文獻信息資源儲備少,服務(wù)得不到滿足。目前各個高職院校都有自己的專業(yè)設(shè)置和相應(yīng)的人才培養(yǎng)方案,根據(jù)這些需求開發(fā)館藏資源,文獻資源服務(wù)不僅要滿足教學方面的需求，而且對于學院的科研工作也應(yīng)該起到補充輔助作用,圖書館建設(shè)的基本方向是社會需求和專業(yè)建設(shè)需求, 較強的專業(yè)性和職業(yè)性是絕大多數(shù)文獻的特點,文獻的職業(yè)性表現(xiàn)得突出,注重實用性。

2）經(jīng)費普遍緊張,影響資源到位。我國高職院校目前辦學經(jīng)費大都比較緊張。受到人力、財力等多種因素的限制,圖書館收集的各類文獻信息資源也相對有限。教師從事教學、科研所需的較高層次的參考資料特別少。學生在學習過程中,對文獻資料、參考信息的需求上也明顯要低于普通本科院校。

3）辦館理念定位不高,影響效益到位。高職院校圖書館除了發(fā)展資金不足外,還受到體制和服務(wù)觀念的影響,存在管理水平落后,人員素質(zhì)偏低等多種缺陷,極大限制了高職院校圖書館的自身建設(shè)和可持續(xù)發(fā)展。

⒉知識庫建設(shè)

以山東電子職業(yè)技術(shù)學院為例，該學院圖書館舍總面積10000 平方米，館藏總量80萬余冊（其中電子資源30萬余冊）。館藏文獻分別按學科類別，文獻類別和使用要求收藏。1999年開始使用大連博菲特文獻管理軟件系統(tǒng)，實現(xiàn)了圖書館采訪、編目、流通閱覽的計算機自動化管理。2004年轉(zhuǎn)為使用深圳ILASII圖書管理系統(tǒng)?，F(xiàn)設(shè)有系統(tǒng)服務(wù)器2臺，WEB服務(wù)器1臺，采編、流通借還、期刊等業(yè)務(wù)處理實現(xiàn)了辦公自動化和讀者服務(wù)網(wǎng)絡(luò)化。

學院教師一般圍繞教學專業(yè)課程進行借閱，對所借的圖書要求高，大都要求圖書館的專業(yè)書籍能夠滿足其教學參考的要求。學校的學生大都是高考落榜生，對專業(yè)的學習興趣不大，大都偏向于休閑娛樂的書籍，只有部分學生在參加英語和計算機等級考試前，他們才借閱與專業(yè)課和考試復習有關(guān)的書籍。有一部分學生也會準備研究生入學考試，臨畢業(yè)前，圖書館的借閱量明顯下降。學校行政后勤工作人員主要借閱與其工作性質(zhì)相關(guān)的圖書資料，如政治、行政管理及教育管理相關(guān)的圖書。因此圖書館館藏資料重點加強教學科研急需的、具有各專業(yè)特性、能夠取得顯著社會效益和經(jīng)濟效益的數(shù)據(jù)庫。

⒊建立數(shù)字化圖書館的具體措施

3.1人力資源建設(shè)

建設(shè)好圖書館，為讀者提供高質(zhì)量的服務(wù)，真正實現(xiàn)高校數(shù)字圖書館的職能，關(guān)鍵取決于館員隊伍的素質(zhì)。圖書館專業(yè)化人才應(yīng)當具備圖書情報學知識，又要熟練掌握計算機等現(xiàn)代化信息技術(shù)，還要有豐富的專業(yè)文化知識。具體來看，應(yīng)具備以下基本的知識和技能。

首先，館員必須具備熟練的計算機網(wǎng)絡(luò)技術(shù)與開發(fā)利用信息資源的能力,以便準確地為讀者提供所需信息。還需要掌握其他相關(guān)知識技能。主要指公共關(guān)系學、管理學等與未來圖書館工作緊密相關(guān)的知識和技能。這些知識和技能的內(nèi)容,隨著社會發(fā)展和圖書館職能的擴大,其要求會越來越高。相關(guān)知識技能的培養(yǎng)和掌握對于專業(yè)化人才的成功將起促進作用。

其次，應(yīng)精通專業(yè)知識。作為專業(yè)信息工作者,圖書館員應(yīng)具備信息分類、組織與獲取的技能。應(yīng)精通某些學科的專業(yè)知識,達到專家水平并具備一定的學科預測能力,這樣才能成為某一特定專業(yè)文獻信息和相應(yīng)專業(yè)讀者之間的中介和紐帶,為讀者提供廣、快、精、準的高質(zhì)量服務(wù)。再次，要具備較強的分析能力,能夠及時有效地提出最佳的服務(wù)方案。較強的分析能力是要求圖書館管理人員在搜索有關(guān)信息時,能夠挖掘有價值的直接因素和間接因素,從多個角度對信息進行鑒別、歸納和總結(jié),善于交流,并能獨立地提出合理化建議,開展系統(tǒng)的咨詢服務(wù)。最后，館員必須具有高度的責任感和嚴謹細致的工作作風。從事任何一種職業(yè)都必須具有強烈的事業(yè)心和高度負責的精神。圖書館工作技術(shù)性和專業(yè)性都很強，復雜、細致而繁瑣，稍不認真，就會造成失誤。只有具有高度的責任心和嚴謹細致的工作作風，才能建立一個科學的工作秩序和良好的服務(wù)環(huán)境。

3.2 網(wǎng)絡(luò)安全建設(shè)

系統(tǒng)和網(wǎng)絡(luò)是構(gòu)建數(shù)字圖書館的基礎(chǔ)，沒有系統(tǒng)和網(wǎng)絡(luò)也就無從談及數(shù)字圖書館。數(shù)字圖書館安全首先要談的是數(shù)字圖書館系統(tǒng)及網(wǎng)絡(luò)的安全。此方面包括設(shè)備安全、運行安全和網(wǎng)絡(luò)安全。設(shè)備安全是指數(shù)字圖書館系統(tǒng)中的計算機、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、通信設(shè)備、安全設(shè)備等物理保證安全，防止人為和自然的損壞；運行安全是指服務(wù)器操作系統(tǒng)及數(shù)字圖書館軟件運行安全性，防止系統(tǒng)運行軟件故障，減少因軟件故障導致的系統(tǒng)運行不穩(wěn)定；網(wǎng)絡(luò)安全是指服務(wù)器之間的協(xié)同和信息交換的安全，防止信息泄露，抵御黑客攻擊。

首先增加 UPS，防止斷電對數(shù)據(jù)的破壞。其次，使用虛擬網(wǎng)技術(shù)，劃分不同網(wǎng)絡(luò)安全區(qū)域。在數(shù)字圖書館網(wǎng)絡(luò)中，利用虛擬網(wǎng)技術(shù)可實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。再次，設(shè)置多層防火墻。在圖書館內(nèi)部網(wǎng)與教育網(wǎng)和校園網(wǎng)之間使用防火墻。這樣可以在一定程度上阻止互聯(lián)網(wǎng)中的黑客攻擊，保護圖書館內(nèi)網(wǎng)的安全。在圖書館內(nèi)部不同網(wǎng)絡(luò)安全域間設(shè)置防火墻。最后，使用入侵監(jiān)測系統(tǒng)，及早發(fā)現(xiàn)黑客入侵。入侵監(jiān)測系統(tǒng)是一種比較新的軟件系統(tǒng)，能夠發(fā)現(xiàn)正在進行的攻擊，并對攻擊進行實時報警，并通過自動修改路由或防火墻的配置來抵制攻擊；將復雜的日志文件進行分析，為網(wǎng)絡(luò)安全管理人員提供有效的結(jié)果。