導(dǎo)語：如何才能寫好一篇近幾年的網(wǎng)絡(luò)安全事件，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

應(yīng)急響應(yīng)彰顯技術(shù)實(shí)力

據(jù)悉，中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)以“服務(wù)信息社會(huì)、共建和諧網(wǎng)絡(luò)”為宗旨，自2004年舉辦以來，歷經(jīng)十余年的發(fā)展，吸引了政府和重要信息系統(tǒng)部門、行業(yè)企業(yè)、高校和科研院所等組織與機(jī)構(gòu)，目前已成為國(guó)內(nèi)外網(wǎng)絡(luò)安全領(lǐng)域技術(shù)交流的重要平臺(tái)。

本屆年會(huì)以“智能網(wǎng)絡(luò) 安全護(hù)航”為主題，圍繞網(wǎng)絡(luò)安全治理、智能網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全與生活、CNCERT-CIE網(wǎng)絡(luò)安全學(xué)術(shù)論壇等四個(gè)專題設(shè)置分論壇，并邀請(qǐng)政府和重要信息系統(tǒng)部門、國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)界的領(lǐng)導(dǎo)和知名專家做主題報(bào)告。東軟研究院副院長(zhǎng)聞?dòng)⒂岩浴爸悄芑ヂ?lián)網(wǎng)絡(luò)應(yīng)用中的數(shù)據(jù)融合安全問題探討”為題，在會(huì)上做了主題報(bào)告，其新穎的觀點(diǎn)、精彩的詮釋引起了與會(huì)嘉賓的濃厚興趣。

在本屆年會(huì)上，每?jī)赡昱e辦一次的國(guó)家應(yīng)急響應(yīng)支撐單位評(píng)選宣布了最終的結(jié)果，申報(bào)的13家單位經(jīng)過來自國(guó)家應(yīng)急中心領(lǐng)導(dǎo)及各省應(yīng)急分中心領(lǐng)導(dǎo)的嚴(yán)格評(píng)審，以及針對(duì)申報(bào)企業(yè)技術(shù)能力、全國(guó)服務(wù)能力、企業(yè)綜合實(shí)力、全國(guó)實(shí)踐案例等多項(xiàng)指標(biāo)的打分，東軟、安恒、360、安天、啟明星辰、天融信、恒安嘉新、中國(guó)電信等8家國(guó)內(nèi)安全企業(yè)和單位最終入圍。

據(jù)悉，為了保證評(píng)審的公平和嚴(yán)肅，今年主辦方增加了評(píng)選的難度，將候選單位獲得各省中心的一致同意推薦數(shù)由不低于5家提升至不低于10家。因此，在本次評(píng)選中，各申報(bào)單位間的競(jìng)爭(zhēng)異常激烈。東軟網(wǎng)絡(luò)安全事業(yè)部副總經(jīng)理路娜、咨詢總監(jiān)王軍民代表東軟安全參加了答辯會(huì)，并以優(yōu)異的成績(jī)得到了評(píng)審專家的一致好評(píng)。

最終，東軟安全在13家候選單位中脫穎而出，再次獲得“國(guó)家應(yīng)急響應(yīng)支撐單位”稱號(hào)。至此，東軟安全已連續(xù)第六屆獲此殊榮。

用技術(shù)實(shí)力和實(shí)踐經(jīng)驗(yàn)說話

以承接國(guó)家95信息安全攻關(guān)項(xiàng)目為契機(jī)，東軟NetEye自1996年正式進(jìn)入信息安全領(lǐng)域，先后在沈陽和北京兩地建立了信息安全技術(shù)研發(fā)基地和解決方案驗(yàn)證中心，并于2000年成立了攻防研究實(shí)驗(yàn)室和東軟信息安全服務(wù)團(tuán)隊(duì)，至今已積累了19年的信息安全技術(shù)研究和應(yīng)急響應(yīng)服務(wù)經(jīng)驗(yàn)。

長(zhǎng)期以來，東軟積極參與國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估的一系列標(biāo)準(zhǔn)的制定工作，并多次協(xié)助國(guó)家有關(guān)部門對(duì)電信、稅務(wù)等行業(yè)開展了全國(guó)性的信息安全大檢查。

東軟長(zhǎng)期配合政府部門進(jìn)行漏洞挖掘、標(biāo)準(zhǔn)研究、重大安全事件追查處理等技術(shù)支持工作。東軟還多次配合公安機(jī)關(guān)追蹤調(diào)查多項(xiàng)重大計(jì)算機(jī)案件，承擔(dān)著國(guó)家重大信息安全事件的技術(shù)響應(yīng)支持工作，比如2002年中國(guó)跨省現(xiàn)場(chǎng)抓獲DDoS攻擊者案件、2008年北京奧運(yùn)會(huì)、2009年國(guó)慶、2010年世博會(huì)、亞運(yùn)會(huì)，以及近幾年在國(guó)家“兩會(huì)”期間，為多個(gè)國(guó)家部委和金融、電力、交通等基礎(chǔ)行業(yè)的客戶提供信息安全保障技術(shù)服務(wù)。更為難得的是，十多年來，東軟NetEye提供的信息安全應(yīng)急響應(yīng)服務(wù)達(dá)到非常高的客戶滿意度。

近年來，東軟NetEye不斷總結(jié)和完善應(yīng)急響應(yīng)機(jī)制，制定了一整套應(yīng)急響應(yīng)工作規(guī)范與流程，從接到應(yīng)急響應(yīng)需求的那一刻起，第一時(shí)間啟動(dòng)應(yīng)急機(jī)制，判斷安全事件類別。東軟安全小組會(huì)在24小時(shí)內(nèi)趕赴客戶現(xiàn)場(chǎng)進(jìn)行檢測(cè)、分析與取證，查找系統(tǒng)漏洞、惡意代碼或后門等，分析入侵方式，協(xié)助客戶盡快恢復(fù)和加固系統(tǒng)，并持續(xù)進(jìn)行監(jiān)控與追查，最終形成總結(jié)報(bào)告。

應(yīng)急響應(yīng)服務(wù)說到底是依托人來完成的

優(yōu)秀的人才是東軟寶貴的財(cái)富。19年來，東軟NetEye培養(yǎng)了一批優(yōu)秀的技術(shù)骨干，在全國(guó)各個(gè)分支機(jī)構(gòu)中都有專職的信息安全工程師，可為全國(guó)用戶提供7×24小時(shí)的不間斷服務(wù)。不僅在安全領(lǐng)域，就是在用戶核心業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、主機(jī)等方面，東軟都擁有強(qiáng)大的專業(yè)技術(shù)團(tuán)隊(duì)，同時(shí)與國(guó)內(nèi)外眾多廠商結(jié)成戰(zhàn)略聯(lián)盟，共享第一手信息資源和技術(shù)成果。

安全攻防研究實(shí)驗(yàn)室：負(fù)責(zé)追蹤研究國(guó)內(nèi)外新的攻防技術(shù)，并提供新的漏洞信息和安全事件信息等。

安全服務(wù)部：負(fù)責(zé)全國(guó)范圍內(nèi)重點(diǎn)安全服務(wù)項(xiàng)目和重大安全事件應(yīng)急響應(yīng)的技術(shù)支持。

安全工程實(shí)施部：分布在全國(guó)八個(gè)大區(qū)，提供全國(guó)范圍內(nèi)安全服務(wù)項(xiàng)目及一般性應(yīng)急響應(yīng)服務(wù)技術(shù)支持，具備豐富的一線服務(wù)工作經(jīng)驗(yàn)。

IT服務(wù)部：擁有多名通過微軟、Cisco、IBM、HP、Oracle等公司專業(yè)認(rèn)證的IT專家，他們組成了安全服務(wù)項(xiàng)目中專業(yè)的技術(shù)支持團(tuán)隊(duì)。

自2004年成為國(guó)家應(yīng)急服務(wù)技術(shù)支持單位以來，東軟在大量的實(shí)際工作中積累了豐富的經(jīng)驗(yàn)與成功案例，設(shè)計(jì)了專門的應(yīng)急響應(yīng)培訓(xùn)課程，并已用于大量的用戶培訓(xùn)，取得了非常好的效果。

未來，東軟計(jì)劃將這些前端的實(shí)戰(zhàn)經(jīng)驗(yàn)融入到東軟在沈陽、大連、成都、南海四個(gè)學(xué)院的高校教材，并進(jìn)行推廣與普及。

更好地提高應(yīng)急響應(yīng)工作的效率和質(zhì)量，是東軟NetEye近年來重點(diǎn)考慮的問題。基于大量應(yīng)急事件分析、總結(jié)后產(chǎn)生的需求，東軟NetEye自主研發(fā)，推出了IDS、IPS、NTARS等一系列產(chǎn)品。由此可見，應(yīng)急響應(yīng)工作已經(jīng)成為東軟產(chǎn)品發(fā)展的重要推動(dòng)力之一。

篇2

摘要：本文首先介紹了計(jì)算機(jī)網(wǎng)絡(luò)與通信課程的特點(diǎn)，然后分析了該課程原來存在的一些問題，進(jìn)而闡述了在學(xué)校“三創(chuàng)”教育理念指導(dǎo)下計(jì)算機(jī)網(wǎng)絡(luò)與通信課程的教學(xué)改革。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)與通信；三創(chuàng)教育理念；教學(xué)方法；教學(xué)手段；培養(yǎng)模式

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：B

1引言

我校“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程是湖北省精品課程，現(xiàn)正在申報(bào)國(guó)家級(jí)精品課程，其前身是“計(jì)算機(jī)網(wǎng)絡(luò)”課程，從1985年起便在我校本科生中開設(shè)。該課程最初是計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專業(yè)的必修課，計(jì)算機(jī)軟件專業(yè)的指定選修課。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)在眾多的技術(shù)中已處于非常重要的地位，成為促進(jìn)社會(huì)發(fā)展的重要技術(shù)支柱，“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程因而變得越來越重要，也越來越受到學(xué)校和學(xué)生們的重視，已成為包括信息安全專業(yè)在內(nèi)所有專業(yè)的必修課。

我校作為首批國(guó)家“985工程”和“211工程”重點(diǎn)建設(shè)高校以及教育部批準(zhǔn)的8所創(chuàng)業(yè)教育試點(diǎn)院校之一，在新時(shí)期對(duì)學(xué)生的培養(yǎng)提出了新的要求。根據(jù)“三創(chuàng)”(創(chuàng)造、創(chuàng)新、創(chuàng)業(yè))教育理念和辦學(xué)指導(dǎo)思想，學(xué)校將培養(yǎng)適應(yīng)經(jīng)濟(jì)、科技和社會(huì)發(fā)展需要的厚基礎(chǔ)、寬口徑、高素質(zhì)、強(qiáng)能力的，特別是具有創(chuàng)造、創(chuàng)新、創(chuàng)業(yè)精神和能力的復(fù)合型拔尖人才作為人才培養(yǎng)的目標(biāo)。

要達(dá)到上述人才培養(yǎng)目標(biāo)，迫切要求我們將“三創(chuàng)”教育理念貫徹到實(shí)際的教學(xué)實(shí)踐中去，進(jìn)行切實(shí)可行、卓有成效的教學(xué)改革。本文將對(duì)“三創(chuàng)”教育理念下“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程的教學(xué)改革進(jìn)行一定的探索，以適應(yīng)新形勢(shì)下人才培養(yǎng)的需求。

2課程原有問題剖析

2004年7月初，計(jì)算機(jī)學(xué)院院領(lǐng)導(dǎo)、網(wǎng)絡(luò)課程組所有老師和30多名學(xué)生代表齊聚一堂，召開了“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程討論會(huì)。會(huì)上師生進(jìn)行了坦誠(chéng)且細(xì)致深入的面對(duì)面交流，并對(duì)該門課程教與學(xué)中存在的一些問題形成了共識(shí)，歸納起來有以下幾方面的問題：

(1) 一些授課教師只注重協(xié)議的原理、協(xié)議性能分析的講解、沒有從應(yīng)用的角度講解TCP/IP體系中的每層協(xié)議，學(xué)生理解起來比較困難，整個(gè)教學(xué)過程顯得有些枯燥乏味。學(xué)生都希望老師能注重案例式教學(xué)，通過實(shí)際的網(wǎng)絡(luò)規(guī)劃、協(xié)議實(shí)現(xiàn)、網(wǎng)絡(luò)工程、網(wǎng)絡(luò)測(cè)試等案例激發(fā)學(xué)生學(xué)習(xí)興趣，幫助學(xué)生加深理解網(wǎng)絡(luò)知識(shí)，促進(jìn)教學(xué)與實(shí)踐相結(jié)合。

(2) 網(wǎng)絡(luò)實(shí)驗(yàn)室的交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)設(shè)備臺(tái)數(shù)有限，當(dāng)多人組成一個(gè)實(shí)驗(yàn)小組時(shí)，有些同學(xué)實(shí)際動(dòng)手的機(jī)會(huì)比較少，這樣會(huì)影響他們的學(xué)習(xí)積極性。如果不能在短時(shí)間內(nèi)解決硬件問題，建議老師們講解一些網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)模擬軟件的用法，以便讓學(xué)生自己能利用業(yè)余時(shí)間做更多的網(wǎng)絡(luò)實(shí)驗(yàn)。

(3) 由于學(xué)生的接受能力存在差異，部分學(xué)生反映跟不上教學(xué)進(jìn)度。特別是做實(shí)驗(yàn)時(shí)有些老師演示太快，學(xué)生節(jié)奏慢，實(shí)驗(yàn)做不出來。希望老師們能提供更多更詳細(xì)的資料，最好是將實(shí)驗(yàn)演示過程錄制成視頻文件，放在網(wǎng)上供學(xué)生自主學(xué)習(xí)。

(4) 部分學(xué)生反映“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程學(xué)完之后，實(shí)際動(dòng)手及應(yīng)用知識(shí)的能力還是不強(qiáng)，為了達(dá)到學(xué)以致用的目的，能不能參加到教師的相關(guān)科研項(xiàng)目中進(jìn)行鍛煉，或者由老師們指導(dǎo)進(jìn)行大學(xué)生業(yè)余科研項(xiàng)目的申報(bào)及研究，以將我校的三創(chuàng)精神落到實(shí)處。

3“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程改革思路

針對(duì)2004年“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程討論會(huì)的主要問題，在“三創(chuàng)”教育理念的指導(dǎo)下，我們網(wǎng)絡(luò)課程組近幾年來對(duì)網(wǎng)絡(luò)課程的教學(xué)方式、教學(xué)手段、教學(xué)模式進(jìn)行了積極有益的課程改革探索，收到了非常好的效果。

3.1基于“案例”的課堂教學(xué)方法

案例教學(xué)是教師根據(jù)課堂教學(xué)目標(biāo)和教學(xué)內(nèi)容的需要，通過設(shè)置具體案例，引導(dǎo)學(xué)生參與分析、討論、表達(dá)等活動(dòng)，進(jìn)而提高學(xué)生分析問題和解決問題的能力的一種教學(xué)方法，其本質(zhì)是理論與實(shí)踐相結(jié)合的互動(dòng)式教學(xué)。與傳統(tǒng)的“從概念到概念”的灌輸、填鴨式教學(xué)方法相比，案例教學(xué)法具有理論聯(lián)系實(shí)際、促進(jìn)學(xué)生應(yīng)用知識(shí)能力的培養(yǎng)等優(yōu)越性。

在“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程中我們充分應(yīng)用“案例”教學(xué)方法，講解網(wǎng)絡(luò)體系結(jié)構(gòu)、數(shù)據(jù)鏈路層幀的組成、動(dòng)態(tài)路由協(xié)議、TCP/UDP和應(yīng)用層協(xié)議等。

例如我們?cè)谥v解網(wǎng)絡(luò)安全知識(shí)時(shí)，為了讓學(xué)生掌握防火墻、入侵檢測(cè)系統(tǒng)、身份認(rèn)證系統(tǒng)等如何協(xié)同構(gòu)建整體企業(yè)安全網(wǎng)絡(luò)時(shí)，通過實(shí)際項(xiàng)目中采用的銳捷GSN方案進(jìn)行講解，如圖1所示。

通過該案例，學(xué)生不僅掌握了Firewall和IDS的工作原理，還領(lǐng)會(huì)了如何在實(shí)際網(wǎng)絡(luò)中部署這些設(shè)備。學(xué)生也清楚地理解這些網(wǎng)絡(luò)安全產(chǎn)品間如何共同構(gòu)筑防御體系。當(dāng)用戶使用網(wǎng)絡(luò)前，首先由接入交換機(jī)和RG-SAM(身份認(rèn)證系統(tǒng))對(duì)其進(jìn)行身份驗(yàn)證，從而攔截了非法用戶使用網(wǎng)絡(luò)。RG-SMP(安全管理平臺(tái))學(xué)習(xí)用戶的身份、主機(jī)環(huán)境等信息，并將制定好的主機(jī)完整性策略下發(fā)到安全客戶端。安全客戶端對(duì)用戶主機(jī)進(jìn)行主機(jī)完整性對(duì)比檢查，并將檢查結(jié)果反饋回RG-SMP服務(wù)器。在用戶上網(wǎng)過程中，入侵檢測(cè)系統(tǒng)RG-IDS對(duì)網(wǎng)絡(luò)安全事件進(jìn)行檢測(cè)收集，將安全事件反饋回RG-SMP。RG-SMP對(duì)RG-IDS反饋的安全事件進(jìn)行統(tǒng)一管理，將安全事件關(guān)聯(lián)至用戶。RG-SMP還可對(duì)每個(gè)用戶的主機(jī)完整性檢測(cè)結(jié)果和安全事件進(jìn)行處理，生成相應(yīng)的策略，并下發(fā)至交換機(jī)執(zhí)行。

在“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程的教學(xué)中，我們幾乎用案例教學(xué)法貫穿了所有章節(jié)，幫助學(xué)生直觀、形象、深刻地理解所學(xué)內(nèi)容，并進(jìn)一步提高了他們分析問題和解決問題的綜合能力。

3.2虛實(shí)結(jié)合的實(shí)驗(yàn)教學(xué)手段

計(jì)算機(jī)網(wǎng)絡(luò)是一種高速發(fā)展的技術(shù)，要取得好的實(shí)驗(yàn)效果，就需要為學(xué)生提供充分的新技術(shù)實(shí)驗(yàn)機(jī)會(huì)，當(dāng)前網(wǎng)絡(luò)實(shí)驗(yàn)室普遍是利用路由器、交換機(jī)、PC機(jī)組成實(shí)際的網(wǎng)絡(luò)實(shí)驗(yàn)室。這種方法由于經(jīng)費(fèi)的限制，只能提供有限數(shù)量和型號(hào)的實(shí)驗(yàn)設(shè)備，種類較少，設(shè)備更新慢，學(xué)生實(shí)驗(yàn)機(jī)會(huì)少，很難達(dá)到每人單獨(dú)使用一套網(wǎng)絡(luò)實(shí)驗(yàn)設(shè)備的標(biāo)準(zhǔn)，并無法掌握最新網(wǎng)絡(luò)技術(shù)，實(shí)驗(yàn)效果無法保證，不利于學(xué)生“三創(chuàng)”能力的培養(yǎng)。

針對(duì)上述實(shí)驗(yàn)現(xiàn)狀，我們充分利用現(xiàn)有的網(wǎng)絡(luò)模擬仿真軟件NS2(Network Simulator Version 2)、Cisco官方模擬器Packet Tracer、網(wǎng)絡(luò)協(xié)議分析器Ethereal等軟件，首先讓學(xué)生在自己的PC機(jī)上練習(xí)網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī))的配置、對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和分析、并可對(duì)新型網(wǎng)絡(luò)技術(shù)(如Ad Hoc網(wǎng)絡(luò)、無線傳感器網(wǎng)絡(luò))進(jìn)行模擬。在熟練掌握上述虛擬實(shí)驗(yàn)方法后，再進(jìn)行實(shí)際網(wǎng)絡(luò)設(shè)備的實(shí)驗(yàn)。另外，為培養(yǎng)學(xué)生的創(chuàng)造和創(chuàng)新能力，還可先讓學(xué)生在虛擬實(shí)驗(yàn)環(huán)境下，設(shè)計(jì)和實(shí)現(xiàn)綜合性網(wǎng)絡(luò)實(shí)驗(yàn)，成功后再在實(shí)際設(shè)備上進(jìn)行驗(yàn)證。對(duì)于硬件設(shè)備和NS2模擬器中都沒有的新型網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)技術(shù)，則可通過自己動(dòng)手編程擴(kuò)展NS2模擬器，來達(dá)到加深理解網(wǎng)絡(luò)新技術(shù)的目的。

例如我們?cè)诮虒W(xué)過程中使用的Packet Tracer是一款思科路由器、交換機(jī)、無線AP和服務(wù)器模擬軟件，軟件中內(nèi)置了一些定制的實(shí)驗(yàn)包，同時(shí)也支持自定義網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及連接。通過Packet Tracer的強(qiáng)大功能，學(xué)生可掌握路由器、交換機(jī)等常用網(wǎng)絡(luò)設(shè)備的配置和管理。另外值得一提的是，在Packet Tracer中支持跟蹤數(shù)據(jù)包，并能實(shí)時(shí)分析數(shù)據(jù)包的結(jié)構(gòu)，這對(duì)學(xué)生理解數(shù)據(jù)包的封裝非常有幫助。圖2所示為利用Packet Tracer進(jìn)行RIP實(shí)驗(yàn)的拓?fù)鋱D。

我們采用的虛實(shí)結(jié)合實(shí)驗(yàn)教學(xué)手段一方面充分發(fā)揮模擬軟件強(qiáng)大的分析、模擬、仿真功能，使學(xué)生深刻理解抽象的理論知識(shí)；另一方面通過在實(shí)際設(shè)備上做實(shí)驗(yàn)，幫助學(xué)生掌握如何架構(gòu)、配置和管理真實(shí)網(wǎng)絡(luò)，提高實(shí)戰(zhàn)能力。實(shí)踐證明，虛實(shí)結(jié)合實(shí)驗(yàn)教學(xué)手段極大地促進(jìn)了教學(xué)效果的改善。

3.3教學(xué)科研相互促進(jìn)的培養(yǎng)模式

教學(xué)與科研是一個(gè)具有內(nèi)在聯(lián)系的不可分割的統(tǒng)一體，教學(xué)與科研既不互相矛盾，也不能互相代替。沒有科研的教學(xué)是不完整的教學(xué)，沒有教學(xué)的科研不是高校中的科研。高校的教學(xué)與科研作為一個(gè)整體，共同構(gòu)建了高校的教書育人環(huán)境。

要培養(yǎng)“三創(chuàng)”型人才，單憑向?qū)W生傳授書本上的理論知識(shí)還遠(yuǎn)遠(yuǎn)不夠，“三創(chuàng)”能力的培養(yǎng)必須要將理論知識(shí)與實(shí)際的科研項(xiàng)目相結(jié)合，使學(xué)生在科研實(shí)踐中加深對(duì)理論知識(shí)的理解，甚至可對(duì)理論知識(shí)進(jìn)行擴(kuò)展，從而達(dá)到“創(chuàng)造”、“創(chuàng)新”的水平。另外，如果將學(xué)生的畢業(yè)設(shè)計(jì)和科研項(xiàng)目緊密結(jié)合，不但使學(xué)生在畢業(yè)設(shè)計(jì)中真正做到“學(xué)以致用”，還可為學(xué)生以后的“創(chuàng)業(yè)”打下良好的基礎(chǔ)。因此“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程在教學(xué)過程中需要注重發(fā)揮本課程的優(yōu)勢(shì)，以科研支持本科教學(xué)，將部分科研溶入本科教學(xué)。

例如在講授“TCP擁塞控制機(jī)制”和“網(wǎng)絡(luò)安全”章節(jié)時(shí)，可以結(jié)合國(guó)家自然科學(xué)基金項(xiàng)目“低速率的拒絕服務(wù)攻擊模型和防范研究”的研究?jī)?nèi)容，講解目前黑客是如何利用TCP擁塞控制機(jī)制(慢啟動(dòng)、擁塞避免等)特點(diǎn)而進(jìn)行低速率拒絕服務(wù)攻擊，不但使這兩方面的知識(shí)與實(shí)際場(chǎng)景相聯(lián)系，加深學(xué)生的理解，又可以將對(duì)課題感興趣的同學(xué)吸引到項(xiàng)目研究中來，從而提高學(xué)生的實(shí)際動(dòng)手能力和創(chuàng)新能力。

4結(jié)束語

根據(jù)“三創(chuàng)”教學(xué)理念，并結(jié)合“計(jì)算機(jī)網(wǎng)絡(luò)與通信”的課程特點(diǎn)，我們提出將基于“案例”的課堂教學(xué)方法、虛實(shí)結(jié)合的實(shí)驗(yàn)教學(xué)手段和教學(xué)科研相互促進(jìn)的培養(yǎng)模式應(yīng)用于實(shí)際的課程教學(xué)中，以培養(yǎng)學(xué)生自主學(xué)習(xí)、勇于創(chuàng)新的能力，在近兩年的教學(xué)實(shí)踐過程中已取得良好的教學(xué)效果，培養(yǎng)出的本科畢業(yè)生在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用和創(chuàng)新能力方面有了很大的提高，能夠很快的適應(yīng)該領(lǐng)域的相關(guān)工作，為創(chuàng)業(yè)打下良好的基礎(chǔ)。當(dāng)然，要培養(yǎng)出具有國(guó)際競(jìng)爭(zhēng)力的計(jì)算機(jī)網(wǎng)絡(luò)人才，“計(jì)算機(jī)網(wǎng)絡(luò)與通信”課程改革還任重道遠(yuǎn)，還需要不斷地進(jìn)行更深層次的研究和探索。

參 考 文 獻(xiàn)

[1] 馬慧麟. “計(jì)算機(jī)網(wǎng)絡(luò)”課程教學(xué)模式改革探討[J]. 中央民族大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007，15(4)：23-26.

[2] 黃高飛. 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)漸進(jìn)式教學(xué)的探討[J]. 中山大學(xué)研究生學(xué)刊，2006，3(1)：10-13.

[3] 沈德海，于忠黨. 計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)研究[J]. 四川教育學(xué)院學(xué)報(bào)，2007，4(4)：88-89.

篇3

1 安全隱患

近幾年來,隨著高校規(guī)模的不斷擴(kuò)大,新校區(qū)或者合并校區(qū)的擴(kuò)建,高校校園網(wǎng)普遍存在網(wǎng)絡(luò)規(guī)模較大,上網(wǎng)地點(diǎn)較分散,網(wǎng)絡(luò)監(jiān)管困難,上網(wǎng)行為不夠規(guī)范等現(xiàn)象,因而加大了校園網(wǎng)絡(luò)在使用過程中的安全隱患。

1.1網(wǎng)絡(luò)自身的安全缺陷

網(wǎng)絡(luò)是一個(gè)開放的環(huán)境,TCP/IP是一個(gè)通用的協(xié)議,即通過IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),基于IP地址進(jìn)行多用戶的認(rèn)證和授權(quán),并根據(jù)IP包中源IP地址判斷數(shù)據(jù)的真實(shí)和安全性,但該協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù),缺乏對(duì)源IP地址真實(shí)性的認(rèn)證機(jī)制,這就是TCP/IP協(xié)議不安全的根本所在。通過TCP/IP協(xié)議缺陷進(jìn)行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協(xié)議攻擊、SYN攻擊等等。

1.2網(wǎng)絡(luò)結(jié)構(gòu)、配置、物理設(shè)備不安全

最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體,因此設(shè)計(jì)時(shí)沒有充分考慮安全威脅,互聯(lián)網(wǎng)和所連接的計(jì)算機(jī)系統(tǒng)在實(shí)現(xiàn)階段也留下了大量的安全漏洞。并且網(wǎng)絡(luò)使用中由于所連接的計(jì)算機(jī)硬件多,一些廠商可能將未經(jīng)嚴(yán)格測(cè)試的產(chǎn)品推向市場(chǎng),留下大量安全隱患。同時(shí),由于操作人員技術(shù)水平有限,所以在網(wǎng)絡(luò)系統(tǒng)維護(hù)階段會(huì)產(chǎn)生某些安全漏洞,盡管某些系統(tǒng)提供了一些安全機(jī)制,但由于種種原因使這些安全機(jī)制沒有發(fā)揮其作用。

1.3內(nèi)部用戶的安全威脅

系統(tǒng)內(nèi)部人員存心攻擊、惡作劇或無心之失等原因?qū)W(wǎng)絡(luò)進(jìn)行破壞或攻擊的行為,將會(huì)給網(wǎng)絡(luò)信息系統(tǒng)帶來更加難以預(yù)料的重大損失。U盤、移動(dòng)硬盤等移動(dòng)介質(zhì)交叉使用和在聯(lián)接互聯(lián)網(wǎng)的電腦上使用,造成病毒交叉感染等等,都會(huì)給校園網(wǎng)絡(luò)帶來較大的安全威脅。特別是近年來利用ARP協(xié)議漏洞進(jìn)行竊聽、流量分析、DNS劫持、資源非授權(quán)使用、植入木馬病毒不斷增加,嚴(yán)重影響了網(wǎng)絡(luò)安全。

1.4軟件的漏洞

一般認(rèn)為,軟件中的漏洞和軟件的規(guī)模成正比,軟件越復(fù)雜其漏洞也就越多。在網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,由于操作系統(tǒng)自身不夠完善,針對(duì)系統(tǒng)漏洞本身的攻擊較多,且影響也較嚴(yán)重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標(biāo)。

1.5病毒的傳播

網(wǎng)絡(luò)的發(fā)展使資源的共享更加方便,移動(dòng)設(shè)備使資源利用顯著提高,但卻帶來病毒泛濫、網(wǎng)絡(luò)性能急劇下降,許多重要的數(shù)據(jù)因此受到破壞或丟失,也就是說,網(wǎng)絡(luò)在提供方便的同時(shí),也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達(dá)”、“沖擊波”、“震蕩波”、“歡樂時(shí)光”、“熊貓燒香”的爆發(fā)無不使成千上萬的用戶受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。

1.6各種非法入侵和攻擊

由于校園網(wǎng)接入點(diǎn)較多,擁有眾多的公共資源,并且使用者安全意識(shí)淡薄,安全防護(hù)比較薄弱,使得校園網(wǎng)成為易受攻擊的目標(biāo)。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。比如:漏洞、薄弱點(diǎn)掃描,口令破解;非授權(quán)訪問或在非授權(quán)和不能監(jiān)測(cè)的方式下對(duì)數(shù)據(jù)進(jìn)行修改;通過網(wǎng)絡(luò)傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統(tǒng)資源導(dǎo)致授權(quán)的用戶不能獲得應(yīng)有的訪問或操作被延遲產(chǎn)生了拒絕服務(wù)等。

2 校園網(wǎng)安全管理和維護(hù)的措施與建議

通過以上安全缺陷分析,校園網(wǎng)絡(luò)安全的形式依然非常嚴(yán)峻。制定整體的安全部署解決安全隱患和漏洞,是校園網(wǎng)安全、健康運(yùn)行的保障。

2.1配備高性能的防火墻產(chǎn)品

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般來說,防火墻設(shè)置在可信賴的內(nèi)部網(wǎng)絡(luò)和不可信賴的外部網(wǎng)絡(luò)之間。防火墻相當(dāng)于分析器,可用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù),防火墻也可以在網(wǎng)絡(luò)層和傳輸層運(yùn)行,根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過濾規(guī)則來拒絕或允許報(bào)文分組通過。所以對(duì)防火墻作好安全設(shè)置,設(shè)定恰當(dāng)?shù)脑L問控制策略,保障網(wǎng)絡(luò)資源不被非法使用和訪問。

2.2網(wǎng)絡(luò)設(shè)計(jì)、使用更合理化

在網(wǎng)絡(luò)設(shè)計(jì)之初,需要理解終端設(shè)備安全事件對(duì)網(wǎng)絡(luò)的影響,確定需要采取的安全措施,通過已知身份驗(yàn)證的設(shè)備訪問網(wǎng)絡(luò),防范未經(jīng)授權(quán)的接觸,讓入侵者難以進(jìn)入。這樣網(wǎng)絡(luò)才能提供可預(yù)測(cè)、可衡量、有保證的安全服務(wù)。

2.3軟件漏洞修復(fù)

在校園網(wǎng)絡(luò)系統(tǒng)運(yùn)行過程中,一方面對(duì)用戶進(jìn)行分類,劃分不同的用戶等級(jí),規(guī)定不同的用戶權(quán)限;另一方面對(duì)資源進(jìn)行區(qū)分,劃分不同的共享級(jí)別,例如:只讀、安全控制、備份等等。同時(shí),給不同的用戶分配不同的帳戶、密碼,規(guī)定密碼的有效期,對(duì)其進(jìn)行動(dòng)態(tài)的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對(duì)一些IP地址進(jìn)行過濾,以防止惡意破壞者入侵;建立補(bǔ)丁更新服務(wù)器,部署全局更新機(jī)制,實(shí)時(shí)、高效更新軟件漏洞。

2.4防殺毒軟件系統(tǒng)

在互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網(wǎng)中使用帶防火墻的企業(yè)版殺毒軟件,就能對(duì)整個(gè)校園網(wǎng)絡(luò)的起到安全防護(hù)的作用,使計(jì)算機(jī)免受病毒入侵。

2.5配備入侵檢測(cè)系統(tǒng)(IDS)并建立蜜罐陷阱系統(tǒng)

入侵檢測(cè)就是對(duì)入侵行為的檢測(cè),通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動(dòng)的計(jì)算機(jī)系統(tǒng),攻擊者入侵后,可以隨時(shí)了解其針對(duì)服務(wù)器發(fā)出的最新的攻擊和漏洞,這樣系統(tǒng)就可以及時(shí)、有針對(duì)性的防范攻擊和修復(fù)漏洞。

2.6系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

互聯(lián)網(wǎng)的不安全因素?zé)o時(shí)無刻的威脅著網(wǎng)絡(luò)安全,只有在網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行了有效評(píng)估的基礎(chǔ)上,才能掌握網(wǎng)絡(luò)安全中存在的漏洞和威脅,從而采取有效措施控制網(wǎng)絡(luò)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估過程是一個(gè)動(dòng)態(tài)循環(huán)的,因此必須進(jìn)行周期性、長(zhǎng)期的評(píng)估。

2.7災(zāi)難恢復(fù)計(jì)劃

1996年報(bào)道的網(wǎng)絡(luò)攻擊方式只有400種,1998年達(dá)到4000種。 CERT/CC公布的漏洞數(shù)據(jù)為,2000年1090個(gè),2002年已經(jīng)增加至4129個(gè)。可以想象,對(duì)管理員來說要跟上補(bǔ)丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞。尤其是緩沖區(qū)溢出類型的漏洞,其危害性非常大而又無處不在,是計(jì)算機(jī)安全的最大的威脅。我們無論怎么想辦法都不可能防止災(zāi)難的發(fā)生,但為了使災(zāi)難發(fā)生造成的損失減到最小,就應(yīng)該在災(zāi)難發(fā)生之前建立意外事件計(jì)劃,記錄各種災(zāi)難發(fā)生所產(chǎn)生的影響,并為此作出相應(yīng)的應(yīng)對(duì)措施。

2.8加強(qiáng)管理

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展、應(yīng)用領(lǐng)域的廣泛性以及用戶對(duì)網(wǎng)絡(luò)的了解程度加深,惡意破壞者或者非法入侵者對(duì)網(wǎng)絡(luò)安全的影響會(huì)越來越大,這就使得網(wǎng)絡(luò)安全管理工作任務(wù)更加艱巨而重要。因而,在網(wǎng)絡(luò)安全管理工作中必須做到及時(shí)進(jìn)行漏洞的修補(bǔ)和日志的查看,保證網(wǎng)絡(luò)的穩(wěn)定性。另外,高校也應(yīng)該頒布網(wǎng)絡(luò)行為的相關(guān)規(guī)范和處罰條例,這樣才能更有效的控制和減少來自內(nèi)部網(wǎng)絡(luò)的安全隱患。

3 結(jié)束語

篇4

[關(guān)鍵詞]建設(shè)信息化 科技強(qiáng)檢 快速發(fā)表

中圖分類號(hào)：D926.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2015）47-0335-01

一、撫遠(yuǎn)縣檢察院科技強(qiáng)檢工作的基本情況

1、辦公、辦案業(yè)務(wù)軟件系統(tǒng)和網(wǎng)絡(luò)化辦公、辦案系統(tǒng)的全面更新。在“十一五”期間，我院通過購(gòu)買和研發(fā)等方式，先后在全院安裝使用了網(wǎng)絡(luò)辦公系統(tǒng)、文件傳輸系統(tǒng)、同步錄音錄像系統(tǒng)、小型網(wǎng)絡(luò)會(huì)議系統(tǒng)、即時(shí)通訊系統(tǒng)、文件加密系統(tǒng)等多種軟件系統(tǒng)，同時(shí)積極在全院推行各類軟件系統(tǒng)在各個(gè)科室的應(yīng)用，對(duì)各個(gè)科室進(jìn)行系統(tǒng)的軟件使用培訓(xùn)，初步實(shí)現(xiàn)了辦公、辦案的網(wǎng)絡(luò)化應(yīng)用。這些軟件系統(tǒng)的推行在提高工作效率、加快辦公、辦案速度和質(zhì)量等方面發(fā)揮了重要作用，切實(shí)增強(qiáng)了檢察工作的科技含量。

2、加強(qiáng)了信息化網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。在“十一五”期間，撫遠(yuǎn)縣檢察院全面完成了本院專網(wǎng)的建設(shè)，促進(jìn)了檢察信息化工作的提高，為建立檢察業(yè)務(wù)、檢察隊(duì)伍、檢察信息化和檢務(wù)保障“四位一體”的管理機(jī)制打下了堅(jiān)實(shí)的基礎(chǔ)。2006年，我院完成了視頻會(huì)議室的建設(shè)，實(shí)現(xiàn)了于高檢院、省院、市院的視頻連接，提升溝通效率，減少了不必要的出差，在信息保密性方面也有很大的提高，同時(shí)可以及時(shí)了解上級(jí)院的指示和分派的任務(wù)。現(xiàn)在，我院和上級(jí)院的會(huì)議70%左右都是通過視頻會(huì)議進(jìn)行，提高了工作效率。

3、全力推進(jìn)和完善專業(yè)技術(shù)門類建設(shè)。撫遠(yuǎn)縣檢察院建立了信息化工作領(lǐng)導(dǎo)組，檢察長(zhǎng)任組長(zhǎng)。大力加強(qiáng)技術(shù)部門的建設(shè)與發(fā)展，同時(shí)設(shè)立了信息化工作負(fù)責(zé)部門，大大增強(qiáng)了技術(shù)門類的職能范圍。通過配備專職技術(shù)人員，逐步完善了檢察技術(shù)門類建設(shè)，規(guī)范了管理，促進(jìn)了技術(shù)門類的發(fā)展。

二、撫遠(yuǎn)縣檢察院在科技強(qiáng)檢建設(shè)過程中存在的主要問題

撫遠(yuǎn)院在 “十一五”期間信息化得到提升的同時(shí)，也存在一些問題。在信息化建設(shè)水平、設(shè)備更新與完善、仍有不同程度的不足，“十二五”期間亟待解決。

1、急需提高機(jī)房專業(yè)化的建設(shè)。撫遠(yuǎn)院屬于基層院，機(jī)房建設(shè)緩慢，設(shè)備老化嚴(yán)重，還沒有配備UPS不間斷電源系統(tǒng)，同時(shí)機(jī)房環(huán)境惡劣，灰塵嚴(yán)重，溫度過高，使得各種設(shè)備壽命縮短。應(yīng)在“十二五”期間重新打造新的專業(yè)化機(jī)房，更換老化設(shè)備，加強(qiáng)機(jī)房環(huán)境處理，把機(jī)房改造成優(yōu)秀級(jí)的專業(yè)機(jī)房。

2、急需改造現(xiàn)有網(wǎng)絡(luò)線路。撫遠(yuǎn)院因辦公樓年久失修，造成一些網(wǎng)絡(luò)線路出現(xiàn)斷、裂等現(xiàn)象，造成了工作上的很多不便。應(yīng)在“十二五”期間重新對(duì)線路進(jìn)行檢修，讓網(wǎng)絡(luò)覆蓋到每一個(gè)科室。

三、撫遠(yuǎn)縣檢察院“十二五”期間科技強(qiáng)檢工作發(fā)展思路

1、加強(qiáng)基礎(chǔ)網(wǎng)絡(luò)設(shè)施建設(shè)，提升檢察業(yè)務(wù)網(wǎng)絡(luò)化的發(fā)展。

根據(jù)實(shí)際需求，對(duì)現(xiàn)有機(jī)房的基礎(chǔ)硬件設(shè)施進(jìn)行升級(jí)和改造，對(duì)網(wǎng)絡(luò)辦公、辦案系統(tǒng)的升級(jí)和研發(fā)，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)管理平臺(tái)，加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)設(shè)備和鏈路的監(jiān)測(cè)管理；加強(qiáng)專線網(wǎng)和局域網(wǎng)設(shè)備的維護(hù)保養(yǎng)，進(jìn)一步提高網(wǎng)絡(luò)通信系統(tǒng)的保密能力，提高網(wǎng)絡(luò)服務(wù)承載能力和范圍。繼續(xù)優(yōu)化網(wǎng)絡(luò)視頻會(huì)議室和完善配置移動(dòng)型技術(shù)偵查裝備和訊問監(jiān)控設(shè)備。

2、推進(jìn)檢察信息化在檢察業(yè)務(wù)中的應(yīng)用。“十二五”期間，撫遠(yuǎn)院將努力推進(jìn)檢察業(yè)務(wù)、檢察辦公信息化應(yīng)用工作。檢察業(yè)務(wù)信息化應(yīng)用方面，切實(shí)把建設(shè)與應(yīng)用有機(jī)地結(jié)合起來，大力推動(dòng)信息化在辦公、辦案業(yè)務(wù)中的應(yīng)用，加快檢察業(yè)務(wù)管理系統(tǒng)的建設(shè)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，建設(shè)覆蓋政法機(jī)關(guān)各級(jí)各部門之間信息交換和共享的“信息共享平臺(tái)”，逐步實(shí)現(xiàn)案件信息、法律文書的網(wǎng)絡(luò)流轉(zhuǎn)。

3、加強(qiáng)對(duì)網(wǎng)絡(luò)安全和保密的建設(shè)與發(fā)展。根據(jù)國(guó)家對(duì)網(wǎng)絡(luò)信息安全保密要求，通過加大網(wǎng)絡(luò)安全方面投入，將專線網(wǎng)絡(luò)中的不安全事件置于可防、可控、可管的安全范圍之內(nèi)。同時(shí)，加強(qiáng)對(duì)各個(gè)部門的干警網(wǎng)絡(luò)信息安全教育和崗位培訓(xùn)，制定和完善檢察信息網(wǎng)絡(luò)運(yùn)行管理安全制度。進(jìn)一步研究制定網(wǎng)絡(luò)遭遇突發(fā)事件時(shí)的安全策略，形成統(tǒng)一的網(wǎng)絡(luò)安全的應(yīng)急預(yù)案，提高信息網(wǎng)絡(luò)系統(tǒng)的保密能力。今年是“十二五”計(jì)劃的開局之年，撫遠(yuǎn)院將把握好未來五年的戰(zhàn)略機(jī)遇期，認(rèn)真落實(shí)高檢院和省院的要求，使撫遠(yuǎn)縣檢察信息化建設(shè)盡快步入先進(jìn)化、專業(yè)化軌道，將信息化應(yīng)用更好的融入檢察業(yè)務(wù)工作當(dāng)中，努力實(shí)現(xiàn)撫遠(yuǎn)縣檢察院信息化飛速發(fā)展。

4、深入推進(jìn)網(wǎng)上辦公辦案等無紙化應(yīng)用，將現(xiàn)代化高科技轉(zhuǎn)化到檢察工作中來。

目前我院檢察院已經(jīng)具備了無紙化辦公條件，而且也開展了一部分網(wǎng)上辦公辦案，但是就無紙化辦公整體推進(jìn)方面，還存在較大的問題，主要表現(xiàn)在以下一些方面。首先是部分干警缺乏基本網(wǎng)上辦公辦案技能，其次是少部分干警存在抵賴心理，不愿意接受新生事物，還有就是檢察工作性質(zhì)決定一部分工作不便于在網(wǎng)上開展。信息化要體現(xiàn)在辦公、辦案現(xiàn)代化上，要注意解決應(yīng)用中的不平衡問題和各種老大難問題。推進(jìn)信息化應(yīng)用，要自上而下，院領(lǐng)導(dǎo)首先要親自帶頭，并將這項(xiàng)工作納入重要議事日程，納入對(duì)干警的考核當(dāng)中，深入推進(jìn)無紙化應(yīng)用。

篇5

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

篇6

三大措施應(yīng)對(duì)挑戰(zhàn)

面對(duì)國(guó)際金融危機(jī)，賽門鐵克歸納了企業(yè)用戶面臨的三大IT挑戰(zhàn)。

第一，當(dāng)務(wù)之急是如何節(jié)省成本，尤其是節(jié)省IT成本。例如，過去企業(yè)建立了很多數(shù)據(jù)中心，每個(gè)數(shù)據(jù)中心都是根據(jù)一個(gè)專門的應(yīng)用建立的，規(guī)模雖然不大，但是造成很大的成本和運(yùn)維壓力。隨著大型數(shù)據(jù)中心的建立，云計(jì)算和SaaS等服務(wù)方式的興起，整個(gè)業(yè)界都在發(fā)生轉(zhuǎn)變。

第二，如何讓IT與業(yè)務(wù)有更好的結(jié)合。現(xiàn)在，IT人員不僅要懂IT，還要懂業(yè)務(wù)，這樣才能讓IT更好地支持業(yè)務(wù)發(fā)展。

第三是風(fēng)險(xiǎn)管理。面對(duì)席卷全球的金融危機(jī)，核心問題是實(shí)現(xiàn)控制和風(fēng)險(xiǎn)管理。

賽門鐵克全球副總裁、大中國(guó)區(qū)總裁吳錫源認(rèn)為，在當(dāng)前經(jīng)濟(jì)環(huán)境下，恰好可以凸顯賽門鐵克在用戶中的價(jià)值：第一，賽門鐵克數(shù)據(jù)中心標(biāo)準(zhǔn)化方案可以幫助用戶降低服務(wù)器采購(gòu)和運(yùn)維成本，而存儲(chǔ)分級(jí)技術(shù)可以降低存儲(chǔ)采購(gòu)和運(yùn)營(yíng)成本，盡可能地提高整個(gè)數(shù)據(jù)中心的效率；第二，防信息泄密、法規(guī)遵從、管理、容災(zāi)方案等可以幫助客戶做好風(fēng)險(xiǎn)管理；第三，賽門鐵克很多安全分析報(bào)告可以凸顯IT部門的價(jià)值，讓企業(yè)IT部門實(shí)現(xiàn)轉(zhuǎn)型，從傳統(tǒng)的成本中心變成價(jià)值中心。

服務(wù)創(chuàng)新實(shí)現(xiàn)遠(yuǎn)景3.0

在去年的用戶大會(huì)上，賽門鐵克提出了遠(yuǎn)景3.0，并開始加強(qiáng)服務(wù)創(chuàng)新，為用戶創(chuàng)造價(jià)值。

吳錫源強(qiáng)調(diào)，所有技術(shù)都可以通過服務(wù)方式體現(xiàn)。服務(wù)是必然趨勢(shì)。賽門鐵克公司目前在專業(yè)領(lǐng)域可以提供四級(jí)制的服務(wù)。技術(shù)支持中心擁有幾百名工程師。除此之外，賽門鐵克公司還可以為一些大型用戶提供駐廠服務(wù)，幫助用戶進(jìn)行規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)營(yíng)和優(yōu)化。針對(duì)中國(guó)用戶對(duì)駐廠服務(wù)的強(qiáng)烈需求，賽門鐵克在福州、深圳、南京、江西等地提供了此類服務(wù)，方便更多服務(wù)工程師就近為用戶提供服務(wù)。

對(duì)于大型用戶，賽門鐵克能提供涉及整個(gè)信息生命周期的管理服務(wù)；對(duì)于小型用戶，賽門鐵克在近期推出合作伙伴專業(yè)化認(rèn)證體系，借助合作伙伴的力量，提供終端管理、終端安全、災(zāi)備、防信息外泄等存儲(chǔ)和安全方面的服務(wù)。

研發(fā)是技術(shù)引擎

賽門鐵克全球存儲(chǔ)和高可用性管理部門高級(jí)副總裁Robert Soderbery介紹說：“目前，公司在北京和成都擁有研發(fā)中心，技術(shù)工程師達(dá)數(shù)百名。賽門鐵克在中國(guó)的戰(zhàn)略核心是建設(shè)一支強(qiáng)大的中國(guó)本土開發(fā)團(tuán)隊(duì)。賽門鐵克希望在中國(guó)的技術(shù)工程師能夠達(dá)到數(shù)千人。”

在云計(jì)算以及SaaS領(lǐng)域，賽門鐵克也有不少動(dòng)作。最近，賽門鐵克公司完成了對(duì)MessageLabs公司的收購(gòu)。

MessageLabs是一家領(lǐng)先的在線通信和網(wǎng)絡(luò)安全服務(wù)供應(yīng)商。在SaaS商業(yè)模式下，賽門鐵克能夠更好地發(fā)揮在服務(wù)、分銷以及服務(wù)中小型企業(yè)方面的優(yōu)勢(shì)。此外，賽門鐵克還推出了備份服務(wù)的SaaS模式。為此，賽門鐵克還將所有的SaaS業(yè)務(wù)和產(chǎn)品歸到一個(gè)新的部門。這個(gè)業(yè)務(wù)部門的主管就是原MessageLabs公司的首席執(zhí)行官。

對(duì)于云計(jì)算以及SaaS，Robert Soderbery認(rèn)為，盡管賽門鐵克已經(jīng)有了一套完整的基礎(chǔ)設(shè)施，例如可以通過在美國(guó)的數(shù)據(jù)中心提供在線備份服務(wù)，并可通過全球數(shù)據(jù)中心提供MessageLabs的各項(xiàng)服務(wù)，但這些技術(shù)還處在發(fā)展初期。業(yè)內(nèi)某些廠商將云計(jì)算看作公用事業(yè)，把計(jì)算或存儲(chǔ)基礎(chǔ)設(shè)施作為一個(gè)服務(wù)交付。賽門鐵克則專注于提供信息安全和管理方面的服務(wù)。

創(chuàng)新的數(shù)據(jù)保護(hù)

長(zhǎng)期以來，數(shù)據(jù)保護(hù)技術(shù)的重心在于，防止因員工誤操作及業(yè)務(wù)流程中斷而導(dǎo)致敏感數(shù)據(jù)泄露。然而許多企業(yè)認(rèn)為，當(dāng)員工處于移動(dòng)辦公狀態(tài)而未與企業(yè)網(wǎng)絡(luò)連接時(shí)，最容易使機(jī)密信息受到惡意威脅。

為了解決這一問題，賽門鐵克公司不久前推出了數(shù)據(jù)丟失防護(hù)解決方案DLP 9.0。該方案可以幫助企業(yè)和組織增強(qiáng)發(fā)現(xiàn)、監(jiān)測(cè)和保護(hù)機(jī)密信息的能力，無論這些信息在何處存儲(chǔ)和使用。

賽門鐵克數(shù)據(jù)丟失防護(hù)解決方案全球高級(jí)主管Ken Kim表示，賽門鐵克的數(shù)據(jù)丟失防護(hù)技術(shù)可跨越端點(diǎn)、網(wǎng)絡(luò)和存儲(chǔ)系統(tǒng)，通過單一的集成界面為企業(yè)和組織提供全面的數(shù)據(jù)丟失防護(hù)覆蓋，保護(hù)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)。賽門鐵克DLP 9.0為始于端點(diǎn)的數(shù)據(jù)丟失事件提供了更廣泛的保護(hù)，即使員工在不與公司網(wǎng)絡(luò)連接的情況下使用筆記本電腦發(fā)送電子郵件、網(wǎng)絡(luò)郵件和即時(shí)信息，也能進(jìn)行監(jiān)控。

在端點(diǎn)處，賽門鐵克DLP 9.0不但可以防止對(duì)敏感信息的復(fù)制或粘貼，而且可以阻止這些信息以電子版方式打印或傳真。上述新功能與賽門鐵克現(xiàn)有的控制能力相結(jié)合，可防止敏感數(shù)據(jù)被復(fù)制到USB裝置和CD/DVD盤中。

賽門鐵克在內(nèi)容感知（Content-aware）監(jiān)測(cè)方面的專業(yè)技術(shù)及識(shí)別特殊內(nèi)容（無論該內(nèi)容是否被打包）的能力，對(duì)成功實(shí)現(xiàn)端點(diǎn)數(shù)據(jù)丟失防護(hù)都是至關(guān)重要的。有了對(duì)端點(diǎn)數(shù)據(jù)丟失事件的全面保護(hù)，賽門鐵克可以提供不間斷的數(shù)據(jù)丟失防護(hù)。

除了更完善的端點(diǎn)數(shù)據(jù)保護(hù)以外，賽門鐵克DLP 9.0還進(jìn)一步強(qiáng)化了數(shù)據(jù)發(fā)現(xiàn)功能。企業(yè)用戶通常使用兩種發(fā)現(xiàn)內(nèi)容的掃描模式：一種是傳統(tǒng)模式，即對(duì)內(nèi)容庫中的每個(gè)文件是否違反策略進(jìn)行檢查；另一種是合規(guī)性模式，即對(duì)違反規(guī)定的服務(wù)器和數(shù)據(jù)庫進(jìn)行迅速匯總。賽門鐵克能夠通過單一的解決方案，為用戶提供這兩種選擇。這是目前其他同類產(chǎn)品無法實(shí)現(xiàn)的。

完善的端點(diǎn)防護(hù)

近幾年，受巨大經(jīng)濟(jì)利益的誘惑，黑客活動(dòng)日益猖獗，每天會(huì)有數(shù)以萬計(jì)的木馬病毒在互聯(lián)網(wǎng)上傳播。企業(yè)應(yīng)該如何去應(yīng)對(duì)這些隱藏在角落中的危機(jī)呢?

賽門鐵克公司認(rèn)為，對(duì)于企業(yè)用戶而言，預(yù)防大于補(bǔ)救。企業(yè)需要一種貫徹始終的解決方案。任何威脅都要通過入侵終端來實(shí)現(xiàn)。因此，有效管理好終端是杜絕安全事件的關(guān)鍵所在。可以說，終端是一個(gè)企業(yè)IT系統(tǒng)中最重要的人機(jī)界面。安全是三分技術(shù)、七分管理。

IT管理中最大的風(fēng)險(xiǎn)是什么?人的風(fēng)險(xiǎn)最大。因?yàn)樗袉栴}都是人造成的。終端安全是企業(yè)IT安全的核心所在。隨著各種新型攻擊方式不斷產(chǎn)生、演變，對(duì)于企業(yè)而言，僅僅通過防病毒的方式來保護(hù)終端是根本不夠的。企業(yè)需要一個(gè)可以應(yīng)對(duì)多種攻擊方式的全面保護(hù)終端解決方案。

在本次用戶大會(huì)上，賽門鐵克展示了最新的端點(diǎn)保護(hù)技術(shù)Symantec Endpoint Protection 11.0 MR3（SEP11.0 MR3）。該產(chǎn)品對(duì)于企業(yè)終端可以起到多層保護(hù)的作用，不僅擁有防病毒、防間諜的功能，同時(shí)結(jié)合了防火墻、主機(jī)威脅掃描、應(yīng)用程序控制、外設(shè)管理等，可以對(duì)企業(yè)終端進(jìn)行全方位保護(hù)。

篇7

各種網(wǎng)絡(luò)安全事故頻發(fā)使得各個(gè)組織對(duì)信息安全的重視程度逐漸提高，同時(shí)各種專門提供網(wǎng)絡(luò)安全服務(wù)的企業(yè)也應(yīng)運(yùn)而生。然而，目前大多安全服務(wù)都是以主機(jī)的安全評(píng)估、系統(tǒng)加固、應(yīng)急響應(yīng)、應(yīng)用安全防護(hù)、管理層面的安全策略體系制訂、應(yīng)用安全防護(hù)、安全產(chǎn)品集成等為主，對(duì)于網(wǎng)絡(luò)架構(gòu)的安全評(píng)估卻很少。綜觀近幾年來互連網(wǎng)上不斷出現(xiàn)的病毒蠕蟲感染等安全事件，不少是由于對(duì)網(wǎng)絡(luò)架構(gòu)安全的忽視導(dǎo)致了大范圍的傳播和影響。2003年的27號(hào)文件――《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障的文件》下發(fā)后，對(duì)信息系統(tǒng)安全域劃分、等級(jí)保護(hù)、信息安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保障等需求愈來愈迫切，而做好安全域劃分的關(guān)鍵就是對(duì)網(wǎng)絡(luò)架構(gòu)安全的正確分析。

信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)安全分析是通過對(duì)整個(gè)組織的網(wǎng)絡(luò)體系進(jìn)行深入調(diào)研，以國(guó)際安全標(biāo)準(zhǔn)和技術(shù)框架為指導(dǎo)，全面地對(duì)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)QoS、網(wǎng)絡(luò)建設(shè)的規(guī)范性、網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)管理等多個(gè)方面進(jìn)行深入分析。

網(wǎng)絡(luò)架構(gòu)分析

網(wǎng)絡(luò)架構(gòu)分析的主要內(nèi)容包括根據(jù)IATF技術(shù)框架分析網(wǎng)絡(luò)設(shè)計(jì)是否層次分明，是否采用了核心層、匯聚層、接入層等劃分原則的網(wǎng)絡(luò)架構(gòu)（劃分不規(guī)范不利于網(wǎng)絡(luò)優(yōu)化和調(diào)整）; 網(wǎng)絡(luò)邊界是否清晰，是否符合IATF的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、邊界/外部連接、計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施的深度防御原則（邊界不清晰不便于安全控制）。應(yīng)考慮的安全點(diǎn)主要有:

1. 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)應(yīng)符合層次分明、分級(jí)管理、統(tǒng)一規(guī)劃的原則，應(yīng)便于以后網(wǎng)絡(luò)整體規(guī)劃和改造。

2. 根據(jù)組織實(shí)際情況進(jìn)行區(qū)間劃分，Internet、Intranet和Extranet之間以及它們內(nèi)部各區(qū)域之間結(jié)構(gòu)必須使網(wǎng)絡(luò)應(yīng)有的性能得到充分發(fā)揮。

3. 根據(jù)各部門的工作職能、重要性、所涉及信息等級(jí)等因素劃分不同的子網(wǎng)或網(wǎng)段。

4. 網(wǎng)絡(luò)規(guī)劃應(yīng)考慮把核心網(wǎng)絡(luò)設(shè)備的處理任務(wù)分散到邊緣設(shè)備，使其能將主要的處理能力放在對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)或處理上。

5. 實(shí)體的訪問權(quán)限通常與其真實(shí)身份相關(guān)，身份不同，工作的內(nèi)容、性質(zhì)、所在的部門就不同，因此所應(yīng)關(guān)注的網(wǎng)絡(luò)操作也不同，授予的權(quán)限也就不同。

6. 網(wǎng)絡(luò)前期建設(shè)方案、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖應(yīng)和實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)一致; 所有網(wǎng)絡(luò)設(shè)備（包括交換機(jī)、路由器、防火墻、IDS以及其他網(wǎng)絡(luò)設(shè)備）應(yīng)由組織統(tǒng)一規(guī)劃部署，并應(yīng)符合實(shí)際需求。

7. 應(yīng)充分考慮Internet接入的問題，防止出現(xiàn)多Internet接入點(diǎn)，同時(shí)限制接入用戶的訪問數(shù)量。

8. 備份也是需要考慮的重要因素，對(duì)廣域網(wǎng)設(shè)備、局域網(wǎng)設(shè)備、廣域網(wǎng)鏈路、局域網(wǎng)鏈路采用物理上的備份和采取冗余協(xié)議，防止出現(xiàn)單點(diǎn)故障。

網(wǎng)絡(luò)邊界分析

邊界保護(hù)不僅存在于組織內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，而且也存在于同一組織內(nèi)部網(wǎng)絡(luò)中，特別是不同級(jí)別的子網(wǎng)之間邊界。有效的邊界防護(hù)技術(shù)措施主要包括網(wǎng)絡(luò)訪問控制、入侵防范、網(wǎng)關(guān)防病毒、信息過濾、網(wǎng)絡(luò)隔離部件、邊界完整性檢查，以及對(duì)于遠(yuǎn)程用戶的標(biāo)識(shí)與鑒別/訪問控制。邊界劃分還應(yīng)考慮關(guān)鍵業(yè)務(wù)系統(tǒng)和非關(guān)鍵業(yè)務(wù)系統(tǒng)之間是否進(jìn)行了分離，分離后各業(yè)務(wù)區(qū)域之間的邏輯控制是否合理，業(yè)務(wù)系統(tǒng)之間的交疊不但影響網(wǎng)絡(luò)的性能還會(huì)給網(wǎng)絡(luò)帶來安全上的隱患。應(yīng)考慮的安全點(diǎn)主要有:

1. Internet、Intranet和Extranet之間及它們內(nèi)部各VLAN或區(qū)域之間邊界劃分是否合理; 在網(wǎng)絡(luò)節(jié)點(diǎn)（如路由器、交換機(jī)、防火墻等設(shè)備）互連互通應(yīng)根據(jù)實(shí)際需求進(jìn)行嚴(yán)格控制; 驗(yàn)證設(shè)備當(dāng)前配置的有效策略是否符合組織確定的安全策略。

2. 內(nèi)網(wǎng)中的安全區(qū)域劃分和訪問控制要合理，各VLAN之間的訪問控制要嚴(yán)格，不嚴(yán)格就會(huì)越權(quán)訪問。

3. 可檢查網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的身份鑒別、路由器的訪問控制、防火墻的訪問控制、NAT等策略配置的安全性; 防止非法數(shù)據(jù)的流入; 對(duì)內(nèi)防止敏感數(shù)據(jù)（或重要網(wǎng)段數(shù)據(jù)）的流出。

4. 防火墻是否劃分DMZ區(qū)域; 是否配置登錄配置的安全參數(shù)。例如: 最大鑒別失敗次數(shù)、最大審計(jì)存儲(chǔ)容量等數(shù)據(jù)。

5. 網(wǎng)絡(luò)隔離部件上的訪問通道應(yīng)該遵循“默認(rèn)全部關(guān)閉，按需求開通的原則”; 拒絕訪問除明確許可以外的任何一種服務(wù)，也就是拒絕一切未經(jīng)特許的服務(wù)。

6. 實(shí)現(xiàn)基于源和目的的IP地址、源和目的端口號(hào)、傳輸層協(xié)議的出入接口的訪問控制。對(duì)外服務(wù)采用用戶名、IP、MAC 等綁定，并限制變換的MAC地址數(shù)量，用以防止會(huì)話劫持、中間人攻擊。

7. 對(duì)于應(yīng)用層過濾，應(yīng)設(shè)置禁止訪問 Java Applet、ActiveX等以降低威脅。

8. 采用業(yè)界先進(jìn)的安全技術(shù)對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)和非關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行邏輯隔離，保證各個(gè)業(yè)務(wù)系統(tǒng)間的安全性和高效性，例如: 采用MPLS-VPN對(duì)各業(yè)務(wù)系統(tǒng)間邏輯進(jìn)行劃分并進(jìn)行互訪控制。

9. 必要時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行物理隔離; 實(shí)現(xiàn)VPN傳輸系統(tǒng); 對(duì)重要網(wǎng)絡(luò)和服務(wù)器實(shí)施動(dòng)態(tài)口令認(rèn)證; 進(jìn)行安全域的劃分，針對(duì)不同的區(qū)域的重要程度，有重點(diǎn)、分期進(jìn)行安全防護(hù)，逐步從核心網(wǎng)絡(luò)向網(wǎng)絡(luò)邊緣延伸。例如，網(wǎng)絡(luò)可以分成三個(gè)區(qū)域: 信任域、非信任域和隔離區(qū)域。信任域和隔離區(qū)域進(jìn)行重點(diǎn)保護(hù)，對(duì)于非信任域，可根據(jù)不同業(yè)務(wù)系統(tǒng)的重要程度進(jìn)行重點(diǎn)保護(hù)。

10. 整體網(wǎng)絡(luò)系統(tǒng)統(tǒng)一策略、統(tǒng)一升級(jí)、統(tǒng)一控制。

網(wǎng)絡(luò)協(xié)議分析

深入分析組織整個(gè)網(wǎng)絡(luò)系統(tǒng)的協(xié)議設(shè)計(jì)是否合理，是否存在協(xié)議設(shè)計(jì)混亂、不規(guī)范的情況，是否采用安全協(xié)議，協(xié)議的區(qū)域之間是否采用安全防護(hù)措施。協(xié)議是網(wǎng)絡(luò)系統(tǒng)運(yùn)行的神經(jīng)，協(xié)議規(guī)劃不合理就會(huì)影響整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，甚至帶來高度隱患和風(fēng)險(xiǎn)。應(yīng)考慮的安全點(diǎn)主要有:

1. 路由協(xié)議、路由相關(guān)的協(xié)議及交換協(xié)議應(yīng)以安全的、對(duì)網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)方便為原則，應(yīng)充分考慮局域網(wǎng)絡(luò)的規(guī)劃、建設(shè)、擴(kuò)充、性能、故障排除、安全隱患、被攻擊可能性，并應(yīng)啟用加密和驗(yàn)證功能。

2. 應(yīng)合理設(shè)計(jì)網(wǎng)絡(luò)路由協(xié)議和路由策略，保證網(wǎng)絡(luò)的連通性、可達(dá)性，以及網(wǎng)絡(luò)業(yè)務(wù)流向分布的均衡性。

3. 啟用動(dòng)態(tài)路由協(xié)議的認(rèn)證功能，并設(shè)置具有一定強(qiáng)度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認(rèn)的認(rèn)證密碼是明文傳輸?shù)模ㄗh啟用加密認(rèn)證。

4. 對(duì)使用動(dòng)態(tài)路由協(xié)議的路由設(shè)備設(shè)置穩(wěn)定的邏輯地址，如Loopback地址，以減少路由振蕩的可能性。

5. 應(yīng)禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數(shù)據(jù)包和多目地址數(shù)據(jù)包，保證網(wǎng)絡(luò)路徑的正確性，防止IP源地址欺騙。如禁止非公有地址、組播地址、全網(wǎng)絡(luò)地址和自己內(nèi)部的網(wǎng)絡(luò)地址訪問內(nèi)部網(wǎng)絡(luò)，同時(shí)禁止非內(nèi)部網(wǎng)絡(luò)中的地址訪問外部網(wǎng)絡(luò)。

6. 重要網(wǎng)段應(yīng)采取IP地址與MAC地址綁定措施，防止ARP欺騙。

7. 如果不需要ARP（ARP Proxy）服務(wù)則禁止它。

8. 應(yīng)限制 SYN 包流量帶寬，控制 ICMP、TCP、UDP 的連接數(shù)。

9. ICMP協(xié)議的安全配置。對(duì)于流入的ICMP數(shù)據(jù)包，只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對(duì)于流出的ICMP數(shù)據(jù)包，只允許Echo及其他必需的類型。

10. SNMP協(xié)議的Community String字串長(zhǎng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成。

11. 禁用HTTP服務(wù)，不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式，則需要對(duì)其進(jìn)行安全配置。

12. 對(duì)于交換機(jī)，應(yīng)防止VLAN穿越攻擊。例如，所有連接用戶終端的接口都應(yīng)從VLAN1中排除，將Trunk接口劃分到一個(gè)單獨(dú)的VLAN中; 為防止STP攻擊，對(duì)用戶側(cè)端口，禁止發(fā)送BPDU; 為防止VTP攻擊，應(yīng)設(shè)置口令認(rèn)證，口令強(qiáng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成;盡量將交換機(jī)VTP設(shè)置為透明(Transparent)模式。

13.采用安全性較高的網(wǎng)絡(luò)管理協(xié)議，如SNMP v3、RMON v2。

網(wǎng)絡(luò)流量分析

流量分析系統(tǒng)主要從帶寬的網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)協(xié)議流量分析、基于網(wǎng)段的業(yè)務(wù)流量分析、網(wǎng)絡(luò)異常流量分析、應(yīng)用服務(wù)異常流量分析等五個(gè)方面對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行綜合流量分析。應(yīng)考慮的安全點(diǎn)主要有:

1. 帶寬的網(wǎng)絡(luò)流量分析。復(fù)雜的網(wǎng)絡(luò)系統(tǒng)中不同的應(yīng)用需占用不同的帶寬，重要的應(yīng)用是否得到了最佳的帶寬？所占比例是多少？隊(duì)列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效？通過基于帶寬的網(wǎng)絡(luò)流量分析會(huì)使其更加明確。采用監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件，通過SNMP協(xié)議從設(shè)備得到設(shè)備的流量信息，并將流量負(fù)載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負(fù)載。

2. 網(wǎng)絡(luò)協(xié)議流量分析。對(duì)網(wǎng)絡(luò)流量進(jìn)行協(xié)議劃分，針對(duì)不同的協(xié)議進(jìn)行流量監(jiān)控和分析,如果某一個(gè)協(xié)議在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常流量暴漲，就有可能是攻擊流量或有蠕蟲病毒出現(xiàn)。例如: Cisco NetFlow V5可以根據(jù)不同的協(xié)議對(duì)網(wǎng)絡(luò)流量進(jìn)行劃分，對(duì)不同協(xié)議流量進(jìn)行分別匯總。

3. 基于網(wǎng)段的業(yè)務(wù)流量分析。流量分析系統(tǒng)可以針對(duì)不同的VLAN來進(jìn)行網(wǎng)絡(luò)流量監(jiān)控，大多數(shù)組織都是基于不同的業(yè)務(wù)系統(tǒng)通過VLAN來進(jìn)行邏輯隔離的，所以可以通過流量分析系統(tǒng)針對(duì)不同的VLAN 來對(duì)不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進(jìn)行監(jiān)控。例如: Cisco NetFlow V5可以針對(duì)不同的VLAN進(jìn)行流量監(jiān)控。

4. 網(wǎng)絡(luò)異常流量分析。異常流量分析系統(tǒng)支持異常流量發(fā)現(xiàn)和報(bào)警，能夠通過對(duì)一個(gè)時(shí)間窗內(nèi)歷史數(shù)據(jù)的自動(dòng)學(xué)習(xí)，獲取包括總體網(wǎng)絡(luò)流量水平、流量波動(dòng)、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測(cè)度，并自動(dòng)建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測(cè)的基礎(chǔ)。通過積極主動(dòng)鑒定和防止針對(duì)網(wǎng)絡(luò)的安全威脅，保證了服務(wù)水平協(xié)議(SLA)并且改進(jìn)顧客服務(wù), 從而為組織節(jié)約成本。

抗擊異常流量系統(tǒng)必須完備，網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)流比較大，而且復(fù)雜，如果抗異常流量系統(tǒng)不完備，當(dāng)網(wǎng)絡(luò)流量異常時(shí)或遭大規(guī)模DDOS攻擊時(shí)，就很難有應(yīng)對(duì)措施。

5. 應(yīng)用服務(wù)異常流量分析。當(dāng)應(yīng)用層出現(xiàn)異常流量時(shí)，通過IDS&IPS的協(xié)議分析、協(xié)議識(shí)別技術(shù)可以對(duì)應(yīng)用層進(jìn)行深層的流量分析，并通過IPS的安全防護(hù)技術(shù)進(jìn)行反擊。

網(wǎng)絡(luò)QoS

合理的QoS配置會(huì)增加網(wǎng)絡(luò)的可用性，保證數(shù)據(jù)的完整性和安全性，因此應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)的帶寬、時(shí)延、時(shí)延抖動(dòng)和分組丟失率等方面進(jìn)行深入分析，進(jìn)行QoS配置來優(yōu)化網(wǎng)絡(luò)系統(tǒng)。應(yīng)考慮的安全點(diǎn)主要有:

1. 采用RSVP協(xié)議。RSVP使IP網(wǎng)絡(luò)為應(yīng)用提供所要求的端到端的QoS保證。

2. 采用路由匯聚。路由器把QoS需求相近的業(yè)務(wù)流看成一個(gè)大類進(jìn)行匯聚，減少流量交疊，保證QoS。

3. 采用MPLSVPN技術(shù)。多協(xié)議標(biāo)簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術(shù)完美地結(jié)合起來，從而彌補(bǔ)了傳統(tǒng)IP網(wǎng)絡(luò)的許多缺陷。

4. 采用隊(duì)列技術(shù)和流量工程。隊(duì)列技術(shù)主要有隊(duì)列管理機(jī)制、隊(duì)列調(diào)度機(jī)制、CAR和流量工程。

5. QoS路由。QoS路由的主要目標(biāo)是為接入的業(yè)務(wù)選擇滿足其服務(wù)質(zhì)量要求的傳輸路徑，同時(shí)保證網(wǎng)絡(luò)資源的有效利用路由選擇。

6. 應(yīng)保證正常應(yīng)用的連通性。保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的性能不因網(wǎng)絡(luò)設(shè)備上的策略配置而有明顯下降，特別是一些重要應(yīng)用系統(tǒng)。

7. 通過對(duì)不同服務(wù)類型數(shù)據(jù)流的帶寬管理，保證正常服務(wù)有充足的帶寬，有效抵御各種拒絕服務(wù)類型的攻擊。

網(wǎng)絡(luò)的規(guī)范性

應(yīng)考慮的安全點(diǎn)主要有:

1. IP地址規(guī)劃是否合理，IP地址規(guī)劃是否連續(xù)，在不同的業(yè)務(wù)系統(tǒng)采用不同的網(wǎng)段，便于以后網(wǎng)絡(luò)IP調(diào)整。

2. 網(wǎng)絡(luò)設(shè)備命名是否規(guī)范，是否有統(tǒng)一的命名原則，并且很容易區(qū)分各個(gè)設(shè)備的。

3. 應(yīng)合理設(shè)計(jì)網(wǎng)絡(luò)地址，應(yīng)充分考慮地址的連續(xù)性管理以及業(yè)務(wù)流量分布的均衡性。

4. 網(wǎng)絡(luò)系統(tǒng)建設(shè)是否規(guī)范，包括機(jī)房、線纜、配電等物理安全方面，是否采用標(biāo)準(zhǔn)材料和進(jìn)行規(guī)范設(shè)計(jì)，設(shè)備和線纜是否貼有標(biāo)簽。

5. 網(wǎng)絡(luò)設(shè)備名稱應(yīng)具有合理的命名體系和名稱標(biāo)識(shí)，便于網(wǎng)管人員迅速準(zhǔn)確識(shí)別，所有網(wǎng)絡(luò)端口應(yīng)進(jìn)行充分描述和標(biāo)記。

6. 應(yīng)對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行資產(chǎn)登記，登記記錄上應(yīng)該標(biāo)明硬件型號(hào)、廠家、操作系統(tǒng)版本、已安裝的補(bǔ)丁程序號(hào)、安裝和升級(jí)的時(shí)間等內(nèi)容。

7. 所有網(wǎng)絡(luò)設(shè)備旁都必須以清晰可見的形式張貼類似聲明: “嚴(yán)格禁止未經(jīng)授權(quán)使用此網(wǎng)絡(luò)設(shè)備。

8. 應(yīng)制定網(wǎng)絡(luò)設(shè)備用戶賬號(hào)的管理制度，對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備上擁有用戶賬號(hào)的人員、權(quán)限以及賬號(hào)的認(rèn)證和管理方式做出明確規(guī)定。對(duì)于重要網(wǎng)絡(luò)設(shè)備應(yīng)使用Radius或者TACACS+的方式實(shí)現(xiàn)對(duì)用戶的集中管理。

網(wǎng)絡(luò)設(shè)備安全

對(duì)設(shè)備本身安全進(jìn)行配置，并建設(shè)完備的安全保障體系，包括: 使用訪問控制、身份驗(yàn)證配置; 關(guān)閉不必要的端口、服務(wù)、協(xié)議; 用戶名口令安全、權(quán)限控制、驗(yàn)證; 部署安全產(chǎn)品等。應(yīng)考慮的安全點(diǎn)主要有:

1. 安全配置是否合理，路由、交換、防火、IDS等網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全產(chǎn)品的不必要的服務(wù)、端口、協(xié)議是否關(guān)閉，網(wǎng)絡(luò)設(shè)備的安全漏洞及其脆弱的安全配置方面的優(yōu)化，如路由器的安全漏洞、訪問控制設(shè)置不嚴(yán)密、數(shù)據(jù)傳輸未加密、網(wǎng)絡(luò)邊界未完全隔離等。

2. 在網(wǎng)絡(luò)建設(shè)完成、測(cè)試通過、投入使用前，應(yīng)刪除測(cè)試用戶和口令，最小化合法用戶的權(quán)限，最優(yōu)化系統(tǒng)配置。

3. 在接入層交換機(jī)中，對(duì)于不需要用來進(jìn)行第三層連接的端口，通過設(shè)置使其屬于相應(yīng)的 VLAN，應(yīng)將所有空閑交換機(jī)端口設(shè)置為 Disable，防止空閑的交換機(jī)端口被非法使用。

4. 應(yīng)盡量保持防火墻規(guī)則的清晰與簡(jiǎn)潔，并遵循“默認(rèn)拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復(fù)”的原則，通過調(diào)整規(guī)則的次序進(jìn)行優(yōu)化。

5. 應(yīng)為不同的用戶建立相應(yīng)的賬號(hào)，根據(jù)對(duì)網(wǎng)絡(luò)設(shè)備安裝、配置、升級(jí)和管理的需要為用戶設(shè)置相應(yīng)的級(jí)別，并對(duì)各個(gè)級(jí)別用戶能夠使用的命令進(jìn)行限制，嚴(yán)格遵循“不同權(quán)限的人執(zhí)行不同等級(jí)的命令集”。同時(shí)對(duì)網(wǎng)絡(luò)設(shè)備中所有用戶賬號(hào)進(jìn)行登記備案

6. 應(yīng)制訂網(wǎng)絡(luò)設(shè)備用戶賬號(hào)口令的管理策略，對(duì)口令的選取、組成、長(zhǎng)度、保存、修改周期以及存儲(chǔ)做出規(guī)定。

7. 使用強(qiáng)口令認(rèn)證，對(duì)于不宜定期更新的口令，如SNMP字串、VTP認(rèn)證密碼、動(dòng)態(tài)路由協(xié)議認(rèn)證口令等，其口令強(qiáng)度應(yīng)大于12位，并由數(shù)字、大小寫字母和特殊字符共同組成。

8. 設(shè)置網(wǎng)絡(luò)登錄連接超時(shí)，例如，超過60秒無操作應(yīng)自動(dòng)退出。

9. 采用帶加密保護(hù)的遠(yuǎn)程訪問方式，如用SSH代替Telnet。

10. 嚴(yán)格禁止非本系統(tǒng)管理人員直接進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作，若在特殊情況下（如系統(tǒng)維修、升級(jí)等）需要外部人員（主要是指廠家技術(shù)工程師、非本系統(tǒng)技術(shù)工程師、安全管理員等）進(jìn)入網(wǎng)絡(luò)設(shè)備進(jìn)行操作時(shí)，必須由本系統(tǒng)管理員登錄，并對(duì)操作全過程進(jìn)行記錄備案。

11. 對(duì)設(shè)備進(jìn)行安全配置和變更管理，并且對(duì)設(shè)備配置和變更的每一步更改，都必須進(jìn)行詳細(xì)的記錄備案。

12. 安全存放路由器的配置文件，保護(hù)配置文件的備份和不被非法獲取。

13. 應(yīng)立即更改相關(guān)網(wǎng)絡(luò)設(shè)備默認(rèn)的配置和策略。

14. 應(yīng)充分考慮網(wǎng)絡(luò)建設(shè)時(shí)對(duì)原有網(wǎng)絡(luò)的影響，并制定詳細(xì)的應(yīng)急計(jì)劃，避免因網(wǎng)絡(luò)建設(shè)出現(xiàn)意外情況造成原有網(wǎng)絡(luò)的癱瘓。

15. 關(guān)鍵業(yè)務(wù)數(shù)據(jù)在傳輸時(shí)應(yīng)采用加密手段，以防止被監(jiān)聽或數(shù)據(jù)泄漏。

16. 對(duì)網(wǎng)絡(luò)設(shè)備本身的擴(kuò)展性、性能和功能、網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)背板等方面應(yīng)充分考慮。設(shè)備功能的有效性與部署、配置及管理密切相關(guān)，倘若功能具備卻沒有正確配置及管理，就不能發(fā)揮其應(yīng)有的作用。

17. 網(wǎng)絡(luò)安全技術(shù)體系建設(shè)主要包括安全評(píng)估、安全防護(hù)、入侵檢測(cè)、應(yīng)急恢復(fù)四部分內(nèi)容，要對(duì)其流程完備性進(jìn)行深入分析。

18. 安全防護(hù)體系是否堅(jiān)固，要分析整個(gè)網(wǎng)絡(luò)系統(tǒng)中是否部署了防火墻及VPN系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描系統(tǒng)、IDS&IPS系統(tǒng)、流量負(fù)載均衡系統(tǒng)部署、防病毒網(wǎng)關(guān)、網(wǎng)絡(luò)層驗(yàn)證系統(tǒng)、動(dòng)態(tài)口令認(rèn)證系統(tǒng)，各個(gè)安全系統(tǒng)之間的集成是否合理。

19. 應(yīng)安全存放防火墻的配置文件，專人保管，保護(hù)配置文件不被非法獲取。

20. 及時(shí)檢查入侵檢測(cè)系統(tǒng)廠商的規(guī)則庫升級(jí)信息，離線下載或使用廠商提供的定期升級(jí)包對(duì)規(guī)則庫進(jìn)行升級(jí)。具體包括:

查看硬件和軟件系統(tǒng)的運(yùn)行情況是否正常、穩(wěn)定;

查看OS版本和補(bǔ)丁是否最新;

OS是否存在已知的系統(tǒng)漏洞或者其他安全缺陷。

網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理和監(jiān)控系統(tǒng)是整個(gè)網(wǎng)絡(luò)安全防護(hù)手段中的重要部分，網(wǎng)絡(luò)管理應(yīng)該遵循SDLC(生命周期)的原則，從網(wǎng)絡(luò)架構(gòu)前期規(guī)劃、網(wǎng)絡(luò)架構(gòu)開發(fā)建設(shè)到網(wǎng)絡(luò)架構(gòu)運(yùn)行維護(hù)、網(wǎng)絡(luò)架構(gòu)系統(tǒng)廢棄都應(yīng)全面考慮安全問題，這樣才能夠全面分析網(wǎng)絡(luò)系統(tǒng)存在的風(fēng)險(xiǎn)。應(yīng)考慮的安全點(diǎn)主要有:

1. 網(wǎng)絡(luò)設(shè)備網(wǎng)管軟件的部署和網(wǎng)絡(luò)安全網(wǎng)管軟件的部署; 部署監(jiān)控軟件對(duì)內(nèi)部網(wǎng)絡(luò)的狀態(tài)、網(wǎng)絡(luò)行為和通信內(nèi)容進(jìn)行實(shí)時(shí)有效的監(jiān)控，既包括對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)違規(guī)操作、惡意攻擊行為、惡意代碼傳播等現(xiàn)象進(jìn)行有效地發(fā)現(xiàn)和阻斷，又包括對(duì)網(wǎng)絡(luò)進(jìn)行的安全漏洞評(píng)估。

2. 確認(rèn)網(wǎng)絡(luò)安全技術(shù)人員是否定期通過強(qiáng)加密通道進(jìn)行遠(yuǎn)程登錄監(jiān)控網(wǎng)絡(luò)狀況。

3. 應(yīng)盡可能加強(qiáng)網(wǎng)絡(luò)設(shè)備的安全管理方式，例如應(yīng)使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠(yuǎn)程登錄的超時(shí)時(shí)間、遠(yuǎn)程管理的用戶數(shù)量、遠(yuǎn)程管理的終端IP地址，同時(shí)進(jìn)行嚴(yán)格的身份認(rèn)證和訪問權(quán)限的授予，并在配置完后，立刻關(guān)閉此類遠(yuǎn)程連接; 應(yīng)盡可能避免使用SNMP協(xié)議進(jìn)行管理。如果的確需要，應(yīng)使用V3版本替代V1、V2版本，并啟用MD5等驗(yàn)證功能。進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)設(shè)置控制口和遠(yuǎn)程登錄口的超時(shí)時(shí)間，讓控制口和遠(yuǎn)程登錄口在空閑一定時(shí)間后自動(dòng)斷開。

4. 及時(shí)監(jiān)視、收集網(wǎng)絡(luò)以及安全設(shè)備生產(chǎn)廠商公布的軟件以及補(bǔ)丁更新，要求下載補(bǔ)丁程序的站點(diǎn)必須是相應(yīng)的官方站點(diǎn)，并對(duì)更新軟件或補(bǔ)丁進(jìn)行評(píng)測(cè)，在獲得信息安全工作組的批準(zhǔn)下，對(duì)生產(chǎn)環(huán)境實(shí)施軟件更新或者補(bǔ)丁安裝。

5. 應(yīng)立即提醒信息安全工作組任何可能影響網(wǎng)絡(luò)正常運(yùn)行的漏洞，并及時(shí)評(píng)測(cè)對(duì)漏洞采取的對(duì)策，在獲得信息安全工作組的批準(zhǔn)的情況下，對(duì)生產(chǎn)環(huán)境實(shí)施評(píng)測(cè)過的對(duì)策，并將整個(gè)過程記錄備案。

6. 應(yīng)充分考慮設(shè)備認(rèn)證、用戶認(rèn)證等認(rèn)證機(jī)制，以便在網(wǎng)絡(luò)建設(shè)時(shí)采取相應(yīng)的安全措施。

7. 應(yīng)定期提交安全事件和相關(guān)問題的管理報(bào)告，以備管理層檢查，以及方便安全策略、預(yù)警信息的順利下發(fā)。檢測(cè)和告警信息的及時(shí)上報(bào)，保證響應(yīng)流程的快速、準(zhǔn)確而有效。

8. 系統(tǒng)開發(fā)建設(shè)人員在網(wǎng)絡(luò)建設(shè)時(shí)應(yīng)嚴(yán)格按照網(wǎng)絡(luò)規(guī)劃中的設(shè)計(jì)進(jìn)行實(shí)施，需要變更部分，應(yīng)在專業(yè)人士的配合下，經(jīng)過嚴(yán)格的變更設(shè)計(jì)方案論證方可進(jìn)行。

9. 網(wǎng)絡(luò)建設(shè)的過程中，應(yīng)嚴(yán)格按照實(shí)施計(jì)劃進(jìn)行，并對(duì)每一步實(shí)施，都進(jìn)行詳細(xì)記錄，最終形成實(shí)施報(bào)告。

10. 網(wǎng)絡(luò)建設(shè)完成投入使用前，應(yīng)對(duì)所有組件包括設(shè)備、服務(wù)或應(yīng)用進(jìn)行連通性測(cè)試、性能測(cè)試、安全性測(cè)試，并做詳細(xì)記錄，最終形成測(cè)試報(bào)告。測(cè)試機(jī)構(gòu)應(yīng)由專業(yè)的信息安全測(cè)試機(jī)構(gòu)或第三方安全咨詢機(jī)構(gòu)進(jìn)行。

11. 應(yīng)對(duì)日常運(yùn)維、監(jiān)控、配置管理和變更管理在職責(zé)上進(jìn)行分離，由不同的人員負(fù)責(zé)。

12. 應(yīng)制訂網(wǎng)絡(luò)設(shè)備日志的管理制定，對(duì)于日志功能的啟用、日志記錄的內(nèi)容、日志的管理形式、日志的審查分析做明確的規(guī)定。對(duì)于重要網(wǎng)絡(luò)設(shè)備，應(yīng)建立集中的日志管理服務(wù)器，實(shí)現(xiàn)對(duì)重要網(wǎng)絡(luò)設(shè)備日志的統(tǒng)一管理，以利于對(duì)網(wǎng)絡(luò)設(shè)備日志的審查分析。

13. 應(yīng)保證各設(shè)備的系統(tǒng)日志處于運(yùn)行狀態(tài)，每?jī)芍軐?duì)日志做一次全面的分析，對(duì)登錄的用戶、登錄時(shí)間、所做的配置和操作做檢查，在發(fā)現(xiàn)有異常的現(xiàn)象時(shí)應(yīng)及時(shí)向信息安全工作組報(bào)告。

14. 對(duì)防火墻管理必須經(jīng)過安全認(rèn)證，所有的認(rèn)證過程都應(yīng)記錄。認(rèn)證機(jī)制應(yīng)綜合使用多種認(rèn)證方式，如密碼認(rèn)證、令牌認(rèn)證、會(huì)話認(rèn)證、特定IP地址認(rèn)證等。

15. 應(yīng)設(shè)置可以管理防火墻的IP范圍，對(duì)登錄防火墻管理界面的權(quán)限進(jìn)行嚴(yán)格限制。

16. 在防火墻和入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的情況下，最好是手工方式啟用聯(lián)動(dòng)策略，以避免因入侵檢測(cè)系統(tǒng)誤報(bào)造成正常訪問被阻斷。

17. 部署安全日志審計(jì)系統(tǒng)。安全日志審計(jì)是指對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)流量、運(yùn)行狀況等進(jìn)行全面的監(jiān)測(cè)、分析、評(píng)估，通過這些記錄來檢查、發(fā)現(xiàn)系統(tǒng)或用戶行為中的入侵或異常。目前的審計(jì)系統(tǒng)可以實(shí)現(xiàn)安全審計(jì)數(shù)據(jù)的輸入、查詢、統(tǒng)計(jì)等功能。

18. 安全審計(jì)內(nèi)容包括操作系統(tǒng)的審計(jì)、應(yīng)用系統(tǒng)的審計(jì)、設(shè)備審計(jì)、網(wǎng)絡(luò)應(yīng)用的審計(jì)等。操作系統(tǒng)的審計(jì)、應(yīng)用系統(tǒng)的審計(jì)以及網(wǎng)絡(luò)應(yīng)用的審計(jì)等內(nèi)容本文不再贅述。在此僅介紹網(wǎng)絡(luò)設(shè)備中路由器的審計(jì)內(nèi)容：操作系統(tǒng)軟件版本、路由器負(fù)載、登錄密碼有無遺漏，enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關(guān)閉無用服務(wù); 必要的端口設(shè)置、Cisco發(fā)現(xiàn)協(xié)議（CDP協(xié)議）; 是否已修改了缺省旗標(biāo)（BANNER）、日志是否開啟、是否符合設(shè)置RPF的條件、設(shè)置防SYN攻擊、使用CAR（Control Access Rate）限制ICMP包流量; 設(shè)置SYN數(shù)據(jù)包流量控制（非核心節(jié)點(diǎn)）。

19. 通過檢查性審計(jì)和攻擊性審計(jì)兩種方式分別對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面審計(jì)。

20. 應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備物理端口、CPU、內(nèi)存等硬件方面的性能和功能進(jìn)行監(jiān)控和管理。

系統(tǒng)維護(hù)中心批準(zhǔn)后，根據(jù)實(shí)際應(yīng)用情況提出接入需求和方案，向信息安全工作組提交接入申請(qǐng);

由申請(qǐng)人進(jìn)行非上線實(shí)施測(cè)試，并配置其安全策略;