導語：如何才能寫好一篇網絡安全等級劃分，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

一、國家等級保護標準

我國的信息安全等級保護工作起步于20世紀90年代，隨后相繼頒布了多個等級保護標準，具體可分為基礎性標準、定級標準、建設標準、測評類標準和管理類標準。基礎性標準包括《計算機信息系統安全等級保護劃分準則》（GB17859-1999）、《信息系統安全等級保護實施指南》（GB25058-2010）以及《信息安全等級保護管理辦法》（公通字[2007]43號）等；定級標準有《信息系統安全等級保護定級指南》（GB/T22240-2008）等；建設標準包括《信息系統安全等級保護基本要求》（GB/T22239-2008）、《信息系統通用安全技術要求》（GB/T20271-2006）以及《信息系統等級保護安全設計技術要求》（GB/T25070-2010）等；測評類標準主要有《信息系統安全等級保護測評要求》（GB/T28448-2012）和《信息系統安全等級保護測評過程指南》（GB/T28449-2012）等；管理類標準主要有《信息系統安全管理要求》（GB/T20269-2006）以及《信息系統安全工程管理要求》（GB/T20282-2006）等。針對單位的普通信息安全工作人員而言，涉及較多的標準主要有定級標準《信息系統安全等級保護定級指南》（GB/T22240-2008）與建設標準《信息系統安全等級保護基本要求》（GB/T22239-2008）等。《信息系統安全等級保護定級指南》主要用于指導信息系統的等級劃分和評定，將信息系統安全保護等級劃分為5級，定級要素有兩個：等級保護對象受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與信息系統安全保護等級的關系見表1。由表1可知，三級及以上系統受到侵害時可能會影響國家安全，而一級、二級系統受到侵害時只會對社會秩序或者個人權益產生影響。在實際系統定級過程中，要從系統的信息安全和服務連續性兩個維度分別定級，最后按就高原則給系統進行定級。《信息系統安全等級保護基本要求》是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求，根據實現方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類等級保護基本要求共有10個部分，技術要求和管理要求各占5個部分。其中，技術類安全要求又細分三個類型。信息安全類（S類）：為保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求。服務保證類（A類）：保護系統連續正常的運行，免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求。通用安全保護類要求（G類）：既考慮信息安全類，又考慮服務保障類，最后選擇就高原則。

二、金融行業信息安全等級保護標準及必要性分析

1.行業標準金融行業作為信息化行業的一個重要組成部分，金融行業信息系統安全直接關系到國家安全、社會穩定以及公民的利益等。為落實國家對金融行業信息系統信息安全等級保護相關工作要求，加強金融行業信息安全管理和技術風險防范，保障金融行業信息系統信息安全等級保護建設、測評、整改工作順利開展，中國人民銀行針對金融行業的信息安全問題，在2012年了三項行業標準：《金融行業信息系統信息安全等級保護實施指引》、《金融行業信息系統信息安全等級保護測評指南》和《金融行業信息安全等級保護測評服務安全指引》。2.必要性分析網絡安全法明確規定國家實行網絡安全等級保護制度，開展等級保護工作是滿足國家法律法規的合規需求。金融行業開展信息安全等級保護工作的必要性有以下3點。（1）理清安全等級，實現分級保護金融行業各類業務系統眾多，系統用途和服務對象差異性大，依據等級保護根據系統可用性和數據重要性開展分級的定級要求，可以有效梳理和分析現有的信息系統，識別出重要的信息系統，將不同系統按照不同重要等級進行分級，按照等級開展適當的安全防護，有效保證了有限資源充分發揮作用。（2）明確保護標準，實現規范保護金融行業信息系統等級保護標準有效解決了金融行業信息系統保護無標準可依的問題。在信息系統全生命周期中注重落實等級保護相關標準和規范要求，在信息系統需求、信息系統建設和信息系統維護階段參照、依據等級保護的標準和要求，基本實現信息系統安全技術措施的同步規劃、同步建設、同步使用，從而保證重要的信息系統能夠抵御網絡攻擊而不造成重大損失或影響。（3）定期開展測評，實現有效保護按照等級保護要求，每年對三級以上信息系統開展測評工作，使得重要信息系統能夠對系統的安全性實現定期回顧、有效評估，從整體上有效發現信息系統存在的安全問題。通過每年開展等級保護測評工作，持續優化金融行業重要信息系統安全防護措施，有效提高了重要信息系統的安全保障能力，加強了信息系統的安全管理水平，保障信息系統的安全穩定運行以及對外業務服務的正常開展。

三、網絡安全法作用下標準的發展

隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對象也在擴展以及等保的體系也在不斷升級，等級保護的發展已經進入到了2.0時代。為了配合網絡安全法的出臺和實施，滿足行業部門、企事業單位、安全廠商開展云計算、大數據、物聯網、移動互聯等新技術、新應用環境下等級保護工作需求，公安部網絡安全保衛局組織對原有的等保系列標準進行修訂，主要從三個方面進行了修訂：標準的名稱、標準的結構以及標準的內容。1.標準名稱的變化為了與網絡安全法提出的“網絡安全等級保護制度”保持一致性，等級保護標準由原來的“信息系統安全等級”修改為“網絡安全等級”。例如：《信息系統安全等級保護基本要求》修改為《網絡安全等級保護基本要求》，《信息系統安全等級保護定級指南》修改為《網絡安全等級保護定級指南》等。2.標準結構的變化為了適應云計算、物聯網、大數據等新技術、新應用情況下網絡安全等級保護工作的開展，等級保護基本要求標準、等級保護測評要求標準的結構均由原來的一部分變為六部分組成，分別為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求與大數據安全擴展要求。3.標準內容的變化各級技術要求分類和管理要求的分類都發生了變化。其中，技術要求“從面到點”提出安全要求，對機房設施、通信網絡、業務應用等提出了要求；管理要求“從元素到活動”，提出了管理必不可少的制度、機構和人員三要素，同時也提出了建設過程和運維過程中的安全活動要求。

篇2

建設財政信息的安全系統是財政管理改革發展中的要求。當下財政信息化的應用在全國各地的財政系統中正逐漸深入，覆蓋了各級財政部門和面向社會公眾的財政信息系統。可以說財政信息系統是各級財政系統進行信息共享的平臺，目前由于大量需要保護的數據和信息存儲在財政信息系統中，所以對系統中運行的安全保障提出了更高的要求。

【關鍵詞】等級保護 財政信息系統 信息安全

在財政信息系統安全建設的過程中，由于系統復雜、數據安全的屬性要求存在著差異，導致系統在不同程度上存在一定的脆弱性；在系統安全的規劃和設計中由于對策略認識不夠，以致風險延續到信息系統的運行和維護管理階段。文章從我國信息安全等級體系的規范和標準著眼，對財政信息系統的安全保護等級模型進行了分析，并提出了進一步完善財政信息系統安全的措施。

1 信息安全的保護等級及其基本流程

目前信息安全技術和管理水平在不斷地提升和發展，人們逐漸意識到要想保障信息系統的安全，就要不斷完善信息安全管理和技術體系，構建完整的信息系統，并且為了把信息和信息系統的殘留風險降低到最小級別，就要提高信息安全應急處置的能力。由于當前不同的信息和信息系統，對其安全級別的要求也不盡相同，應將管理策略、技術、工程過程等多個方面相結合，同時進行客觀的綜合考慮，對信息系統的安全分類需要充分運用信息安全等級保護的思想和方式。

1.1 信息系統安全保護等級

信息系統安全保護等級在《信息安全技術――信息系統安全等級保護基本要求》中劃分為五個等級，信息系統安全保護等級的第一級是用戶自主保護等級，用戶可根據自主訪問控制、身份鑒別和數據的完整性這三個條款進行判斷；第二級是系統審計保護級，在第一級的基礎上增加了兩個條款，分別是客體重用和審計；第三級是安全標記保護級，在第二級的基礎上增加了強制訪問控制、標記等條款；第四級是結構化保護級，在第三級的基礎上增加了可信路徑和隱蔽信道分析；第五級是訪問驗證保護級，在第四級的基礎上增加了可信恢復條款。這五個等級的基本內容以信息安全的屬性為主，即網絡安全、系統安全、應用安全、物理安全以及管理安全等五個方面，根據其不同要求，對安全信息系統的構建、測評和運行過程進行管理和掌控，進而實現對不同信息的類別按照不同的要求進行等級安全保護的目標，盡管不同等級的條款中有些內容是相似的，但在一定程度上仍然存在著差異，安全保護能力的要求會隨著保護等級的提升而逐漸增強。

1.2 信息系統安全等級保護實施的流程

信息系統安全等級保護實施的基本流程包括五個階段，分別是定級階段、備案階段、測評階段、整改階段、運行和維護階段。其中等級保護工作的基本前提是系統劃分和定級工作，定級工作必須要首先確定，否則后面的工作將會無從做起；備案階段中，當專家評審與自定級不同時，要重新定級，才能夠進行備案工作；測評階段中指定的第三方測評機構必須是權威機構，需要公正公平地對系統進行測評；整改和復測階段中對于整改的項目要通過等級保護測評和風險評估的方法進行分析。等級保護工作要隨著信息系統建設的變化和發展而做出不斷循環的工作。

2 財政信息系統的等級保護

2.1 財政信息系統安全的架構

在財政信息系統安全的架構模式中，既包含計算機網絡通信和環境平臺、又有多種相關的業務平臺，并且這些應用的安全等級各不相同，所以采取的安全保護策略也有所不同。財政信息系統規模大、系統復雜，按照系統的功能可以分為核心數據中心、采購管理、預算管理、業務門戶網站等多個子系統，要按照業務應用數據的不同性質進行不同安全等級的保護。總之要根據財政信息系統的實際情況，構建一個相對完善的財政信息系統模型。

2.2 財政信息系統安全的等級區域的劃分

財政信息系統安全等級保護要根據系統的特點和性質進行不同區域的安全劃分，以實現不同強度下的安全保護。針對財政信息系統中不同子系統的實際情況，可以將財政信息網絡劃分為不同的安全保密等級區域，分別為業務核心區，辦公用戶區域、專線用戶區域、內部網與互聯網信息交換的區域等。

3 財政信息系統的等級的保護措施

在財政信息系統安全等級保護的建設工作中，目前采取內網與外網物理隔離的方式，從物理上把財政業務中各個子系統與對外服務區進行劃分，分別劃分到不同的子網，在財政業務的防火墻上可以設置權限為允許的策略，源地址是內部桌面，目的地址是業務服務器，對于其他服務的子系統，同樣需要防火墻進行隔離，使各子系統都有充分的隔離和清晰的界限，同時可以配置漏洞掃描設備的檢測設備，不定期對各個服務器進行掃描。

數據備份能夠進一步保障財政信息系統的安全，在財政信息系統應用中需要配備存儲備份設備以實現數據自動備份，一旦系統出現故障，通過數據備份即可恢復。為了進一步支持財政信息系統的穩步運行，可建立一個異地財政信息數據備份中心，以防財政信息系統發生災難性故障時實現異地遠程恢復的功能。

在財政信息系統安全保障體系建立的過程中，要嚴格依照等級保護下的安全管理制度、系統建設制度和相關財政系信息管理的法律及標準，在建立完善的網絡安全管理機制的同時明確管理人員的職責。

4 結論

綜上所述，文章從我國信息安全等級體系的規范和標準著眼，對財政信息系統的安全保護等級模型進行了分析，并提出了進一步完善財政信息系統安全的有效措施。在財政信息建設的過程中，設計出一個科學合理、全面的信息安全解決方案是一個關鍵的任務，要從我國信息安全等級體系的規范和標準著眼，對財政信息系統安全保障的體系進行深入的探討，以達到切實保護財政信息系統安全的目的。

參考文獻

[1]龔雷.應用安全透明支撐平臺體系結構與模型研究[D].鄭州：信息工程大學，2013.

[2]王會.基于等級保護的黨校網絡安全體系的研究與應用[D].廣州：中山大學，2012.

[3]劉莎莎.NN市委辦政務信息系統安全等級保護策略研究[D].南寧：廣西大學，2012.

[4]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京：北京工業大學，2012.

篇3

內網的安全風險

目前，整個信息安全狀況存在日趨復雜和混亂的趨向：誤報率增大，安全投入不斷增加，維護與管理更加復雜和難以實施、信息系統使用效率大大降低，對新的攻擊入侵毫無防御能力，尤其是對內部沒有重視防范。

據美國FBI統計，83%的信息安全事故為內部人員和內外勾結所為，而且呈上升的趨勢。從這一數字可見，內網安全的重要性不容忽視。據公安部最新統計，70%的泄密犯罪來自于內部，電腦應用單位80%未設立相應的安全管理系統、技術措施和制度。

中國科學院研究生院信息安全國家重點實驗室趙戰生教授表示，目前我國信息與網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態。國防科技大學的一項研究表明，我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是攻擊重點。

“當前的信息與網絡安全研究，處于忙于封堵現有信息系統安全漏洞的階段。”公安部網絡安全保衛局處長郭啟全認為，“要徹底解決這些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。目前，我們迫切需要根據國情，從安全體系整體著手，在建立全方位的防護體系的同時，完善法律體系并加強管理體系。只有這樣，才能保證國家信息化的健康發展，確保國家安全和社會穩定。”

2003年，國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》（簡稱“27號文件”），明確要求我國信息安全保障工作實行等級保護制度，2007年出臺《信息安全等級保護管理辦法》（簡稱“43號文件”）。隨著兩項標志性文件的下發，2007年被稱為等級保護的啟動元年；由于要對現有信息安全系統進行加固，大量產品和服務采購即將開始，2008年則被普遍視為等級保護采購元年。

等級保護政策是信息安全保障的主要環節。在等級保護解決方案中，內網安全產品主要作用是對終端進行防護。

內網是核心

“事實上，信息安全等級保護的核心思想就是根據不同的信息系統保護需求，構建一個完整的信息安全保護體系。分析《計算機信息系統安全保護等級劃分準則（GB 17859-1999）》可以看出，信息安全等級保護的重點在于內網安全措施的建設和落實。建立一個完整的內網安全體系，是信息系統在安全等級保護工作中的一個重點。”郭啟全說。

內網安全理論的提出主要基于兩個根本要素，一是企事業單位業務工作的高度信息化，二是內網中主機數量的大量增加。由此可見，內網安全從其誕生之日起，對主機系統安全的關注就從來沒有忽略過，采用了包括身份認證、授權管理和系統保護等手段對主機進行了多方面的防護。這與等級保護的思想也是相一致的。

鼎普科技股份有限公司總經理于晴認為，大多數用戶網絡拓撲結構相似，用戶對網絡的安全管理比較一致，但由于用戶使用習慣的不同，對終端的管理則千差萬別。

于晴認為，內網安全領域的關鍵技術主要有內部網絡接入、桌面安全管理和內網安全審計等。這些本質上的問題，應該從系統層面來解決，以信息安全等級保護為基礎。內部網絡接入基于等級保護技術，分別從終端自身的安全性評估，到網絡地址的合法性，讓信息系統“對號入座”。桌面安全管理側重于桌面使用者的行為安全，對終端用戶的電腦行為進行監控、管理與控制，來保障終端的安全。內網安全審計從主機和網絡兩個方面對網絡數據和系統操作進行記錄和恢復，強調出現問題后的案情追溯。

篇4

關鍵詞：等級防護；電力企業；網絡安全建設

中圖分類號： F407 文獻標識碼： A 文章編號：

引言

信息化是一把“雙刃劍”，在提高企業工作效率、管理水平以及整體競爭能力的同時，也給企業帶來了一定的安全風險，并且伴隨著企業信息化水平的提高而逐漸增長。因此，提升企業的信息系統安全防護能力，使其滿足國家等級保護的規范性要求，已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言，應等級保護要求，將信息管理網絡劃分為信息內網與信息外網，并根據業務的重要性劃分出相應的二級保護系統與三級保護系統，對三級系統獨立成域，其余二級系統統一成域，并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。

1現階段電力企業網絡風險分析

1.1服務器區域缺少安全防護措施

大部分電力企業的服務器都是直接接入本單位的核心交換機，然而各網段網關都在核心交換機上，未能對服務器區域采取有效的安全防護措施。

1.2服務器區域和桌面終端區域之間的劃分不明確

因服務器和桌面終端的網關都在核心交換機上，不能實現對于域的有效劃分。

1.3網絡安全建設缺乏規劃

就現階段的電力企業網絡安全建設而言，普遍存在著缺乏整體安全設計與規劃的現狀，使整個網絡系統成為了若干個安全產品的堆砌物，從而使各個產品之間失去了相應的聯動，不僅在很大程度上降低了網絡的運營效率，還增加了網絡的復雜程度與維護難度。

1.4系統策略配置有待加強

在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等，但在實際的網絡安裝調試過程中，往往只使用最寬松的配置，然而對于安全保密來說卻恰恰相反，要想確保系統的安全，必須遵循最小化原則，沒有必要的策略在網絡中一律不配置，即使有必要的，也應對其進行嚴格限制。

1.5缺乏相應的安全管理機制

對于一個好的電力企業網絡信息系統而言，安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施，很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言，其目的就是確保網絡的安全穩定運行，并且其自身應該具有良好的自我修復性，一旦發生黑客事件，能夠在最大程度上挽回損失。因此，在現階段的企業網絡安全建設工作過程中，應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級保護要求下電力企業網絡安全建設防護的具體措施

2.1突出保護重點

對于電力企業而言，其投入到信息網絡安全上的資源是一定的。從另外一種意義上講，當一些設備存在相應的安全隱患或者發生破壞之后，其所產生的后果并不嚴重，如果投入和其一樣重要的信息資源來保護它，顯然不滿足科學性的要求。因此，在保護工作過程中，應對需要保護的信息資產進行詳細梳理，以企業的整體利益為出發點，確定出重要的信息資產或系統，然后將有限的資源投入到對于這些重要信息資源的保護當中，在這些重要信息資源得到有效保護的同時，還可以使工作效率得到很大程度的提高。

2.2貫徹實施3層防護方案

在企業網絡安全建設過程中，應充分結合電力企業自身網絡化特點，積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上，實行分級、分域與分層防護的總體策略，以充分實現國家等級防護的基本要求。

(1)分區分域。統一對直屬單位的安全域進行劃分，以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。

(2)等級防護。遵循“二級系統統一成域，三級系統獨立成域”的劃分原則，并根據信息系統的定級情況，進行等級安全防護策略的具體設計。

(3)多層防護。在此項工作的開展過程中，應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。

2.3加強安全域劃分

安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分，可以實現以下目標：

(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言，其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護，是實現重點防護、分級防護的戰略防御理念。

(2)實現對于不同系統的差異防護。基礎網絡服務、業務應用、日常辦公終端之間都存在著一定的差異，并且能夠根據不同的安全防護需求，實現對于不同特性系統的歸類劃分，從而明確各域邊界，對相應的防護措施進行分別考慮。

(3)有效防止安全問題的擴散。進行安全區域劃分，可以將其安全問題限定在其所在的安全域內，從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中，還應充分遵循區域劃分的原則，將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域，并對其分別進行安全防護管理。在二級系統服務器域與桌面域間，采取橫向域間的安全防護措施，以實現域間的安全防護。

2.4加強對于網絡邊界安全的防護

對于電力企業的網絡邊界安全防護工作而言，其目的是使邊界避免來自外部的攻擊，并有效防止內部人員對外界進行攻擊。在安全事件發生之前，能夠通過對安全日志與入侵事件的分析，來發現攻擊企圖，在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。

(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻，以實現對于網絡邊界安全的防護。

(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中，應根據網絡邊界的數據流制定出相應的訪問控制矩陣，并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。

2.5加強對于網絡環境的安全防護

(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包，并通過相應的特征分析、異常統計分析等方法，及時發現并處理網絡攻擊與異常安全事件。在此過程中，設置相應的入侵檢測系統，能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅，能夠有效提高處理安全問題的效率，從而為安全問題的取證提供有力依據。

(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下，對初始配置進行相應的優化，從而提高網絡系統的自身抗攻擊性。因此，在經過相應的安全評估之后，應及時發現其中隱藏的安全問題，對重要的網絡設備進行必要的安全加固。

(3)強化日志審計配置。在此項工作的開展過程中，應根據國家二級等級保護要求，對服務器、安全設備、網絡設備等開啟審計功能，并對這些設備進行日志的集中搜索，對事件進行定期分析，以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。

結語

綜上所述，對于現階段電力企業信息網絡而言，網絡安全建設是一個綜合性的課題，涉及到技術、使用、管理等許多方面，并受到諸多因素的影響。在電力企業網絡安全建設過程中，應加強對于安全防護管理體系的完善與創新，以嚴格的管理制度與高素質管理人才，實現對于信息系統的精細化、準確化管理，從而切實促進企業網絡安全建設的健康、穩步發展。

參考文獻：

[1]張蓓，馮梅，靖小偉，劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).

篇5

 

0 引 言

 

隨著信息化進程的不斷加快，計算機網絡已在各個領域得到廣泛應用，并給人類的生產、生活帶來了極大的便利和巨大的經濟效益;但與此同時，計算機網絡安全問題卻日益突出，如何客觀、科學地評價計算機網絡安全已成為計算機網絡安全研究領域的重要課題。針對此問題，國內許多學者都進行了相關研究并提出了多種評價方法，如層次分析法、模糊綜合評價法、灰色評價法等主觀評價方法[1]。主觀評價法在確定權重時隨意性大，受專家的經驗和知識等因素影響，很難得出被廣為認可的結論。鑒于此，很多學者提出了基于神經網絡的評價方法，并取得了較好的評價效果[2?5]。

 

但是，神經網絡方法存在一些固有的缺點，如網絡的結構不好確定、收斂速度慢、易陷入局部極值、過學習、推廣能力不強和訓練需要大量數據樣本等問題。支持向量機(Support Vector Machine，SVM)是V.Vapnik等人于20世紀90年代在統計學習理論的基礎上發展起來的一種新型機器學習算法，其克服了神經網絡方法很多固有的缺點[6]。它通過結構風險最小化準則較好地解決了以往許多機器學習方法中高維數、非線性和小樣本等難題，具有訓練時間短、全局優化、泛化性能好、適應性強和抗干擾能力強等優點，在預測、模式識別、系統辨識、故障診斷、優化控制和數據挖掘等領域得到了廣泛的應用[7]。支持向量回歸機(Support Vector Regression，SVR)是支持向量機在回歸領域的應用，被廣泛應用于各種預測問題并取得了非常理想的效果。因此，本文利用支持向量回歸機來解決計算機網絡安全評價問題。

 

1 計算機網絡安全評價指標體系的構建

 

建立科學、合理的評價指標體系是進行計算機網絡安全評價的基礎和前提，影響計算機網絡安全評價的因素有很多，并且多種因素相互影響。評價指標過多或過少都會影響評價的效果，評價指標過多，存在重復性，會受干擾;評價指標過少，可能所選的指標缺乏足夠的代表性，會產生片面性。因此，構建計算機網絡安全評價指標體系需要遵循指標體系構建的有關原則。

 

1.1 指標體系構建的原則

 

(1) 系統性原則。指標體系應能全面反映計算機網絡安全的本質特征，指標體系的整體評價功能大于各分項指標的簡單總和。應注意使指標體系層次清楚、結構合理、相互關聯、協調一致，要抓住主要因素，以保證評價的全面性和可信度。

 

(2) 一致性原則。評價指標體系應與計算機網絡安全評價目標一致，從而充分體現評價活動的意圖，所選的指標既能反映直接效果，又要反映間接效果。

 

(3) 獨立性原則。同層次上的指標不應具有包含關系，保證指標能從不同方面反映計算機網絡安全的實際情況。

 

(4) 科學性原則。以科學理論為指導，以計算機網絡安全要素以及其本質聯系為依據，定性與定量分析相結合，正確反映計算機網絡安全整體和內部相互關系的特征。

 

(5) 可比性原則。計算機網絡安全評價的指標體系可比性越強，評價結果的可信度就越大。評價指標和評價標準的制定要符合客觀實際，便于比較。

 

1.2 計算機網絡安全評價指標體系本文在深入分析計算機網絡安全影響因素的基礎上，根據指標體系構建的原則，從管理安全、邏輯安全和物理安全角度出發，構建了如圖1所示的計算機網絡安全評價指標體系。為了便于分析計算，管理安全、邏輯安全和物理安全三個二級指標分別用A，B，C代替，二級指標下的三級指標分別用A1～A4，B1～B9和C1～C6代替。

 

2 計算機網絡安全評價指標的規范化和安全等級

 

在進行計算機網絡安全評價前，必須對通過各種方法得到的指標值進行規范化處理。指標包括定性指標和定量指標。一般來說，定性指標和定量指標的規范化方法有所不同。對于定性指標，由于其可能取值有多種，一般是通過建立一一映射或定性等級量化表來進行規范化;對于定量指標，一般是把指標值映射為上、下限分別為1和0的實數，這種數學變換關系是一個從實數集[R]到[0，1]的函數，稱為指標的規范化函數。定性指標也叫模糊性指標，通過專家打分可以將定性指標轉化為確定指標，這種方法在實踐中經常被采用。定性指標的規范化方法最終歸結為兩種途徑：一是轉化為確定的定量值;二是采用模糊數或區間數的形式表示。本文采取專家打分的方式來評價定性指標，然后將各分值規范化為0～1之間的數值。對于定量指標，考慮到指標體系中的定量指標均為效益型指標，因此可以利用式(1)進行規范化處理。

 

3 支持向量回歸機算法

 

4 基于支持向量回歸機的計算機網絡安全評價

 

模型

 

以上構建了計算機網絡安全評價指標體系，提出了指標的規范化方法和安全等級的劃分方式，在此基礎上，可以構建如圖2所示的基于支持向量回歸機的計算機網絡安全評價模型。

 

5 仿真實例

 

為了驗證所構建的基于支持向量回歸機的計算機網絡安全評價模型的有效性，收集了10組計算機網絡安全相關數據作為樣本，如表2所示。其中前8組數據作為訓練樣本，后2組數據作為校驗樣本。采用Matlab 7.0.1軟件并調用支持向量機工具箱，編寫基于支持向量回歸機的計算機網絡安全評價模型，通過對訓練樣本進行訓練，最終將支持向量回歸機的相關參數分別設置為：不敏感值[ε]=0.001，正則化參數[C=1 000，]徑向基核函數的寬度參數[σ=8]。

 

經過計算，可以得出如表3所示的5～8組訓練樣本的預測誤差，從中可以看出，所建立的基于支持向量回歸機的計算機網絡安全評價模型的訓練效果非常好，4組訓練樣本的絕對誤差均為0.000 1，平均絕對誤差僅為0.022 7%，準確性較高。為了檢驗所建立的評價模型的泛化能力，對后2組樣本進行預測，所得結果和誤差也列于表3。通過計算得到校驗樣本的平均絕對誤差為0.005 8%，遠小于文獻[4]提出的PSO?BP神經網絡模型所預測的平均絕對誤差0.022%，也小于文獻[3]提出的改進型BP神經網絡模型所預測的平均絕對誤差0.01%，這說明本文所建立的評價模型具有較強的泛化能力，預測的準確性較高。

 

6 結 論

 

如何科學有效地對計算機網絡安全等級進行評價，并根據評價結果對安全等級較低的計算機網絡采取有效措施以提高安全等級，最大限度地降低安全風險和可能帶來的損失，是當前計算機網絡安全研究領域的熱點問題。本文針對以往計算機網絡安全評價模型尤其是神經網絡評價模型存在的不足，建立了計算機網絡安全評價指標體系，提出了一種基于支持向量回歸機的計算機網絡安全評價方法。仿真實例的預測結果表明，建立的基于支持向量回歸機的計算機網絡安全評價模型具有較強的泛化能力和較高的預測精度，為計算機網絡安全評價提供了一種新的評價方法。

篇6

關鍵詞：堡壘主機；內控管理；運維審計；實踐案例

中圖分類號： TP393.08 文獻標識碼：A 文章編號：1672-3791（2015）05（c）-0000-00

近年來，筆者所在民航系統內的信息化水平正在逐步從初級應用階段發展至高級應用階段，而伴隨著這個過程產生的信息化應用與信息安全管理的矛盾也愈發突出[1]。筆者所在單位近年來在局域網內先后部署了多項網絡安全和網絡分析產品，已經形成了較為完善的信息安全防護體系，主要技術人員也積累了運維經驗。但信息系統故障等網絡安全問題仍然時有發生。通過分析故障產生的原因，發現大部分違規行為竟然來源于一些合法用戶的例行操作。傳統意義的安全防護系統可以從技術角度解決一些潛在的安全問題，但對于內部人員操作的管理手段不完善帶來的數據破壞和泄露可能比技術原因造成的損害更為嚴重。

國家公安部《信息系統安全等級保護基本要求》中明確規定了二級（含）以上的重要信息系統網絡安全、主機安全、應用安全都需要具備安全審計功能[2]，所以，根據等級保護要求以及本單位的實際情況，我們迫切需要一種有效的手段來對內部人員的設備維護行為進行控制和審計，解決信息安全管理中遇到的難題。難題具體體現在：運維權限分配復雜、系統密碼管理不足、操作風險難以控制、共享賬號安全隱患、系統資源授權不清晰、訪問控制策略不嚴格、重要操作無法有效審計等。而以上這些信息安全問題，通過引入內控堡壘主機并結合管理措施之后基本得到了有效解決。

1 內控堡壘主機介紹

1.1 什么是內控堡壘主機？

最早的堡壘主機主要定位于防御外部進攻[3]。通過將其部署在防火墻或路由器之外，可以使那些需要面向外部的服務集中于堡壘主機上進行集中保護，以此來換取內部網絡的安全。

而隨著信息化應用的日趨復雜，由被動防御型的堡壘主機發展出來了更加偏重于對內部網絡、應用和數據進行綜合安全保護的管理控制平臺，也就是我們所說的內控堡壘主機。它從網絡內部出發，通過多種信息安全技術（訪問控制、身份認證、虛擬化、協議、操作審計等）實現用戶對內部網絡資源的安全訪問，同時對用戶的操作過程形成完整的審計記錄。這樣的內控平臺正可以有效地解決我們在日常運維和內控管理中遇到的難題。

1.2 功能特點

1.2.1 設備的集中管控

內控堡壘主機可以將服務器和網絡設備的信息，以及用戶信息和訪問權限提前配置在堡壘主機中，這樣便從傳統的分布式管理模式轉變成可控的集中式管理模式，以此為基礎帶來了設備管理效率和安全穩定性的提升。

1.2.2 操作的集中審計

內控堡壘主機通過協議的方式，將原來從某臺內網終端直接通過遠程連接對網絡設備和服務器進行操作的不可控的分散管理方式，轉變成為了用戶必須集中至堡壘主機的統一入口再對有授權的設備進行操作。而全部操作都通過協議錄制得到記錄，實現了精細化的集中操作審計。

總之，內控堡壘主機結合了傳統的4A 理念，即賬號管理、認證管理、授權管理、安全審計，與應用技術，形成了一個完善且可控的遠程接入解決方案。一方面，統一身份認證和統一訪問授權使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權管理才可以接入設備，滿足了信息安全等級保護的要求；另一方面，全面的審計功能讓管理員不但可以完整錄制會話過程，還可以實時監視遠程訪問會話并及時終止非法操作。

2 制定解決方案

2.1 信息安全等級保護要求

根據信息安全等級保護第三級[4]的相關要求制定內控堡壘主機的解決方案，可以滿足在要求中涉及到的網絡安全、主機安全、應用安全、數據安全及備份恢復五項技術方面的要求，以及安全管理機構、人員安全管理、系統運維管理三項管理方面的要求。根據要求中的內容以及內控堡壘主機針對每一項提供的解決方案，整理如下表1。

2.2 設計原則

2.2.1 整體安全和全網統一的原則

資源訪問的安全設計需要綜合考慮信息網絡的各個環節和全部實體，然后在不同層次上綜合使用多種安全手段，為內部信息網絡和安全業務提供管理和服務。

2.2.2 標準化原則

項目的安全體系設計嚴格遵循了國家標準，如《信息系統安全等級保護基本要求》。在達到標準要求的同時能夠使企業內部的信息系統在可控范圍內實現安全的互聯互通。

2.2.3 需求、風險、成本平衡原則

任何信息系統都無法做到絕對安全，所以設計時就需要明確性能要求以及側重點，然后從需求出發，在功能、風險和成本之間進行平衡和折中[5]。

2.2.4 實用、高效、可擴展原則

無論現狀如何，隨著技術發展信息系統仍將不斷變化，哪怕在系統實施過程中，系統的結構、配置也會發生變化。所以系統需要有一定的靈活性來適應這些變化，使其符合“有層次、成體系”的標準，既有利于系統安全，又有利于擴展。

2.2.5 技術、管理相結合原則

為了使內控堡壘主機可以發揮其應有的效果，管理者必須首先根據系統的功能特點來重新梳理和完善現有的運行管理機制和安全規章制度，同時對技術人員進行思想教育和技術培訓。通過合理的規定和具體培訓，才能完成系統的應用。

2.3 設計思路

2.3.1 集中管理模式

管理模式決定了管理的高度，所以明確管理模式應當是我們要確定首要因素。根據多年的運維實踐發現，我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強，這樣導致了人為因素造成的運行故障比例居高不下，缺少有效的審計手段。因此迫使我們必須由分散的管理模式轉變為集中的管理模式。集中管理是運維管理思想的必然發展趨勢和唯一選擇[6]。通常，集中管理包括：集中的資源訪問入口、集中的賬號管理、集中的授權管理、集中的認證管理、集中的審計管理等等。

2.3.2 訪問協議

內控堡壘主機通過對各平臺所使用的協議進行來實現對操作行為的審計和監控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺上的訪問協議。

2.3.3 身份授權分離

為避免傳統方式的共享賬號、弱口令賬號等問題導致的安全漏洞，我們的解決思路是將身份和授權分離。首先建立用于身份認證的獨立賬號體系，然后保留各系統賬號但使其由堡壘主機接管并定期更新密碼，使得被管理設備本身的系統賬號僅用于系統授權而剝離其身份認證功能，有效增強了身份認證和系統授權的可靠性。

2.4 系統構架

我們部署的內控堡壘主機由展現層、核心服務層、接口管理層三層結構組成。

展現層面向用戶，集成了多種包括匙扣令牌在內的強身份認證方式，分別對系統管理員和運維用戶提供不同的訪問操作頁面。

核心服務層面向授權和協議，部署在服務器上。在核心服務層上完成賬號管理、授權管理及策略設置等操作。其中的協議包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務，所以具備對用戶行為進行監視、控制和記錄的功能。

接口管理層面向個信息系統，用于實現審計結合、賬號同步、認證結合等方面的數據接口工作。另外它還包含應用服務，以此來實現對B/S、C/S、半B/S半C/S系統的單點登錄及審計工作。

3 內控堡壘主機的實施

系統的實施過程中，我們將堡壘主機及其應用服務器的部署位置單獨剝離開劃分為管理區，把內部網絡的其他設備如服務器、網絡設備、數據庫等等劃分為業務區。在內控堡壘主機部署上架后，運維人員將集中通過內控堡壘主機對業務區的目標設備進行日常運維操作。

設備上架后，我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務器的端口限制。這樣當用戶訪問設備時，堡壘主機才可以完成對TELNET（端口23）、SSH（端口22）、RDP（端口3389）等協議的訪問具體設備，并在堡壘主機上完成對設備的單點登錄及會話的完整審計。

4 結語

在信息化水平快速發展的今天，技術發展與管理模式相輔相成。信息安全不僅需要先進的設備和嫻熟的技術，更需要完善的制度和審計手段。內控堡壘主機的實施切實有效地規范了內外部維護人員對IT基礎設施的維護行為，彌補了操作審計空白。它通過集中管理的模式，借助于協議、身份授權分離等技術，極大地減少了維護人員誤操作或惡意操作的概率，縮短了故障定位時間。這次內控堡壘主機的實施完善了筆者所在單位的信息安全保護體系，將有助于提高信息系統運行的安全性和穩定性。

參考文獻：

[1]潘玉. 新一代堡壘主機[J]. 信息安全與通信保密，2011，05：45.

[2]韓榮杰，于曉誼. 基于堡壘主機概念的運維審計系統[J]. 信息化建設，2012，01：56-59.

[3]趙瑞霞，王會平. 構建堡壘主機抵御網絡攻擊[J]. 網絡安全技術與應用，2010，08：26-27.

[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008， 信息安全技術信息系統安全等級保護基本要求[S]. 北京：中國標準出版社，2008.

[5]韓海航，王久輝. 大型交通網絡系統安全保障體系研究[J]. 計算機安全，2007，10：77-80.

[6]吳國良. 面向NGB的網絡與信息管控建設[J]. 廣播與電視技術，2013，10：28+30-33.

[7]陳旭. IT運維操作管理有效降低企業風險[J]. 高科技與產業化，2010，05：116-119.

篇7

信息安全作為國家安全的重要組成部分,是一項關系全局的戰略任務,具有極端的重要性、緊迫性、長期性和復雜性。可以說,目前我國信息安全產業是通過等級保護、可信計算和產業化發展相互結合,實現網絡虛擬世界秩序的安全和可信。

產業化成為重點

中國的信息安全產業僅有二十多年歷史,快速發展也只是近十年的事,尚存諸多不足。在互聯網應用與普及方面,我國已經進入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。

中國工程院院士方濱興認為,我國在網絡安全方面的解決策略是政府重在行動,企業重在引導,公眾重在宣傳。就是說,凡是政府信息系統,必須接受信息系統安全等級保護條例的約束,以行政的手段來強化信息系統的安全。凡是企業的系統,通過對信息安全產品的市場準入制度,以保證企業所采用的信息安全防護手段符合國家的引導思路。公眾方面則通過對網絡安全方面的廣泛宣傳,讓公眾對網絡安全具有正確的認識,從而提高相應的防范能力。

據悉,教育部、公安部、工業和信息化部、國家標準化管理委員會等單位已經將“為國家信息化建設及國家信息安全基礎設施提供支撐的信息安全產品產業化”作為2009年信息安全重點工作。其中涉及到四個方面:

1.重點支持基于國產可信計算芯片的安全應用產品,以及基于自主密碼技術的高性能集成應用產品的產業化。

2.重點支持移動存儲介質保密管理、惡意代碼防治、電子文檔安全管理、網絡數字版權保護、電子數據取證、安全保密檢查等產品,移動終端、桌面終端安全防護等計算機安全保護產品,以及面向無線網絡的安全管理與安全應用產品的產業化。

3.重點支持安全操作系統、安全數據庫、安全中間件、安全服務器、安全接入設備、安全存儲、容災備份軟件、安全辦公軟件等產品的產業化。

4.重點支持高性能專用安全芯片和專用安全設備,以及適用于新一代網絡環境的具有高性能、多安全功能的軟硬件集成化產品的產業化。

技術成果的產業化過程應當是一個市場化、社會化的過程。將核心技術產品產業化地發展,推動產業結構升級,是提升核心技術發展的破局之舉。

可信計算成為標尺

雖然我國的信息化技術同國際先進技術相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進行可信計算平臺的研究和部署工作。其中,部署可信計算體系中,密碼技術是最重要的核心技術。

絕對的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態,那就是:進不去、看不見、拿不走和賴不掉。總結起來,這12字方針的目標就是可信計算。

中國可信計算工作組組長、中科院軟件所副總工程師馮登國介紹,可信計算的基礎是在每個終端平臺上植入一個信任根,讓PC從BIOS到操作系統內核層,再到應用層,均構建信任關系,由此建立一個能在網絡上廣泛傳遞的信任鏈。這樣,人們將夢想進入一個計算免疫的時代――終端被攻擊時可以實現自我保護、自我管理和自我恢復。

可以說,可信計算根就像是一把丈量計算機可信度的標尺。它會在啟動之初對計算機系統上所有的運行軟件進行可信性(完整性)分析,由此判定它們是否被非授權篡改。若判定不可信則阻止該軟件運行,并自動恢復其合法的版本。所以,計算機一旦嵌入了該技術,即可在啟動操作系統時發現內核已改,并根據用戶需求進行阻止和恢復。

中國可信計算工作組發言人劉曉宇說,隨著《可信計算密碼支撐平臺功能與接口規范》等一系列國家政策的出臺與推動,以可信密碼模塊為TCM核心的PC、筆記本電腦、服務器、加密機等系列產品和解決方案,將逐步被我國政府/軍隊、制造、金融、企業/科研、公共機構、航天等行業在IT領域廣泛采用。

劉曉宇說,我國自主研發的可信技術從芯片到PC硬件到系統/應用軟件以及CA認證,早已形成了一條初具規模的完整產業鏈。

馮登國表示:“2009年將是中國可信計算蓬勃發展的一年,為打造更為強大的可信計算體系,中國可信計算工作組將優化和完善TCM硬件平臺,還將致力于打通產、學、研之間的一切壁壘,促進業內同行實質性的合作交流。”

等級保護推力強勁

信息安全等級保護,是這幾年聽到最多的詞之一。從1994年國務院147號令至今,已經過去了15年。這些年間我國在信息安全領域已經制定了數十個國家標準和行業標準,初步形成了信息安全等級保護標準體系。

方濱興說,目前,政府在信息系統等級保護方面加大了推進力度,已經完成了等級保護的定級工作,接下來的工作就是采取有效措施來實施信息系統的安全等級保護技術。等級保護的大力推動,一方面在國際上展示了我國政府對信息安全和網絡安全的管理決心;另一方面,等級管理制度的建立,突破了我國慣性思維的管理理念。

隨著工業和信息化部的成立,公安部與工業和信息化部在信息系統等級保護管理方面出現了職能交叉,因此,等級保護工作的進一步開展將取決于兩個部委的有效協調和合作。

2003年,國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》(簡稱“27號文件”),明確要求我國信息安全保障工作實行等級保護制度,2007年出臺《信息安全等級保護管理辦法》(簡稱“43號文件”)。隨著兩項標志性文件的下發,2007年被稱為等級保護的啟動元年;由于要對現有信息安全系統進行加固,大量產品和服務采購開始,2008年被普遍視為等級保護采購元年;更有業內人士說,2009年等級保護的好戲才真正上演。

“當前的信息與網絡安全研究,處在忙于封堵現有信息系統安全漏洞的階段。”公安部網絡安全保衛局處長郭啟全認為,“要徹底解決這些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。目前,我們迫切需要根據國情,從安全體系整體著手,在建立全方位的防護體系的同時,完善法律體系,并加強管理體系。只有這樣,才能保證國家信息化的健康發展,確保國家安全和社會穩定。”

“事實上,信息安全等級保護的核心思想就是根據不同的信息系統保護需求,構建一個完整的信息安全保護體系。分析《計算機信息系統安全保護等級劃分準則(GB 17859-1999)》可以看出,信息安全等級保護的重點在于內網安全措施的建設和落實。建立一個完整的內網安全體系,是信息系統在安全等級保護工作中的一個重點。”郭啟全說。

篇8

關鍵詞：堡壘主機；信息系統安全；集中授權；運營維護

0 引言

2008年中華人民共和國國家質量監督檢驗檢疫總局了GB/T 22239-2008《信息安全技術-信息系統安全等級保護基本要求》后，信息安全等級保護制度已經成為我國信息安全保護工作的基本國策，實行信息安全等級保護具有重大的現實和戰略意義。

根據公安部的相關文獻，從近些年來年來等級保護安全測評的結果分析中可以看出，信息系統中容易出問題的部分主要是賬號管理、權限管理和審計分析等幾個方面。例如：多人共用一個賬號；用戶權限分配沒有遵循最小化原則；未限制設備管理方式；未開啟審計或未進行審計分析等。

為解決上述問題，可以通過修改服務器配置信息以及網絡設備的配置可以進行防范，隨著智能終端的出現，網絡傳播技術的不斷提高，交換機、路由器等網絡設備的管理將便捷許多，操作人員可以通過網絡對網絡設備進行遠程操作。然而，由于復雜的網絡環境存在著大量的潛在攻擊行為，在方便快捷的同時，操作人員通過網絡與網絡設備通信存在著嚴重的安全隱患。針對這種情況，需要對現有服務器進行改造，涉及到大量信息系統的安全維護操作，其復雜性和環境的不確定性造成這種方式的實施起來極其困難。

1 企業應用中的安全問題

在企業應用中，目標設備之間通過互聯網絡進行通訊，操作人員也通過互聯網遠程訪問目標設備。

目標設備需要對操作人員開放相應的接口，由于互聯網的開放性，非法操作人員或潛在非法操作人員很容易通過相應的接口登入系統進行操作，給網絡安全帶來隱患。

通過對現有系統在應用中出現問題進行分析，目前系統中存在的安全隱患主要有：（1）存在潛在非法操作人員對網絡終端進行非法操作；（2）目標設備與操作人員無法進行統一管理；（3）操作人員的誤操作無法有效避免；（4）操作人員的操作記錄歷史追蹤無法實現。

通過對現有信息系統以及網絡安全需求分析，結合企業現狀，選取部署相關安全產品到網絡中，作為安全模塊對整個網絡進行安全保護，即堡壘主機。

2 堡壘主機

堡壘主機是一種運維管理系統，可以完成賬戶管理、授權管理和綜合審計等功能，完成集中認證和運維審計的作用。該類產品對操作人員提供多種遠程管理方式，并能夠對操作人員以遠程方式對服務器主機、網絡設備、數據庫的操作行為過程進行監控和審計管理，以及對違規操作行為進行實時報警、阻斷。通過堡壘主機可以有效的提高操作人員與網絡設備之間通信的安全性，并且可以對操作人員及遠程操作進行集中管理，在確保通信安全的基礎上，實現管理的統一。

本文所述的堡壘主機產品為軟件堡壘主機，沒有運輸成本，部署簡單，升級簡便，性能及功能可定制。在部署前，僅需要找到一臺信任主機即可。堡壘主機被部署到內網主機上，并且對要訪問的目標設備進行綁定，設定僅堡壘主機才可以對目標設備進行訪問。所有操作人員都要先登錄到堡壘機上，然后才可以訪問目標設備。堡壘主機自身具有認證及授權等功能，可以有效的屏蔽非法操作人員的訪問。

3 主要功能

本文所述的堡壘主機的主要功能有賬戶管理、角色管理、設備管理、黑名單管理和操作記錄查詢等。

（1）賬戶管理。對于堡壘主機的賬戶，采用"一用戶一賬號"的原則，用戶需要通過自己的賬戶才能登錄堡壘主機。不存在用戶共享同一個賬戶，有效避免出現事故時無法追述問題原因和責任人的問題。另外，在用戶的身份認證時，對用戶的賬號及所在IP進行綁定，如果賬戶與登錄的IP不匹配，將無法登錄，加強了身份認證機制。實現集中身份認證和訪問控制，避免冒名訪問，提高訪問安全性。

（2）角色管理。針對不同的操作人員進行角色管理。不同類別的角色具有不同的操作權限，操作人員需要根據自身賬戶的角色等級來訪問可操作的目標主機及該目標主機的資源。在便于任務分工及責任劃分的同時，有效的降低操作人員錯誤操作的可能。

（3）設備管理。管理目標設備信息，堡壘主機對管理目標設備的數量無限制，可以任意添加。

（4）黑名單管理。堡壘主機將對操作人員的操作進行實時監測，如果某些操作被管理員禁止，那么該操作將無法完成。如：關機、重啟等操作，通過黑名單管理，指定人員將不具備該操作權限，提高操作的安全性。訪問記錄查詢通過該功能可查詢目標主機在某個時間段內，有哪人操作人員登錄過。當目標主機因操作不當而引發障礙時，結合操作記錄查詢，可快速排查障礙原因，并找到責任人，解決問題，避免不必要的損失

（5）操作記錄查詢。對操作人員的所有操作進行記錄，當因操作人員的錯誤操作而引發障礙時，通過該功能可快速找出該操作人員，避免責任劃分不清問題。

4 結語

堡壘主機能夠解決集中賬號管理、細粒度的權限管理和訪問審計的問題，有效加強現有系統的網絡安全性，具有改造成本小，維護容易等特點。本文所述堡壘主機產品在吉林聯通通信網絡中成功應用，有效降低了操作人員的誤操作和網絡信息故障發生的幾率，證明了堡壘主機在加強網絡安全方面的有效性。

篇9

[關鍵詞]交互；電力調度數據網；電能量計量；二次安全防護；四級網：建設和應用

電力調度數據網是為電力調度和生產服務的專用數據網絡，其安全、穩定、可靠的運行是整個電網安全生產的基礎保障。隨著諸暨電網建設的速度加快和規模的擴大，各類調度自動化系統相繼建成，且地調以及縣調各系統之間的業務交互應用也變得比較頻繁。據原國家經貿委頒發的關于《電網和電廠計算機監控系統及調度數據網絡安全防護規定》的第30號令“電力系統中，安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統，各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。”以及“電力監控系統可通過專用局域網實現與本地其他電力監控系統的互聯，或通過電力調度數據網絡實現上下級異地電力監控系統的互聯。各電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時，必須采用經國家有關部門認證的專用、可靠的安全隔離設施”的規定。電力調度數據網之間的業務交互需要遵循一定的原則一“網絡專用，安全分區，橫向隔離，縱向認證”。本文將從諸暨局自動化系統與局系統之間業務應用交互的角度出發，概括介紹諸暨局電力調度數據網的建設和應用情況。

一、諸暨局自動化系統接入地區調度數據網的業務分類

根據電力二次系統的性質，如功能、實時性、傳輸方式、對電力生產和管理業務的重要性等，諸暨供電局自動化業務大概可以劃分為以下三個區，其網絡連接圖如圖1所示：

1　安全1區

數據采集和監控系統(sCADA)：以諸暨局大樓為接入中心，以光纖SDH的n*2Mbit／s鏈路為承載，通過2路模擬專用通道連接各電壓等級的變電所。主要完成諸暨境內5座220kV，21座110kV，13座35kV變電所的數據采集、監視和控制功能，同時通過地調轉發通道向地調轉發部分重要線路的遙測數據。

地區電力調度數據網系統(四級網)：在地區局以1臺路由器作為中心路由設備，以100M雙鏈路接入省電力公司三級網的地調骨干路由器實現了三四級網的互聯，各縣局作為地區電力調度數據網的接入節點。主要完成局境內所有縣局與縣局，縣局與地區局之間安全Ⅰ、Ⅱ區之間數據的共享，是地縣數據交互的骨干網絡路徑。

2　安全Ⅱ區

電能量計量系統：通過專線MODEM采集諸暨境內13座35kV變電所電量數據，通過與局電能量系統在Ⅱ區的接口程序，獲得諸暨境內其他110kV及以上變電所的關口表以及線路的電能量數據，從而系統生成各類報表供相關部門進行電網電量預測，變電所平衡數據分析等應用。

二次安防防病毒服務器系統：以地區四級網系統為業務承載，通過在地區局防病毒服務器下載防病毒軟件和補丁以及升級包，縣局安全Ⅰ、Ⅱ區的Windows工作站和服務器在線升級防病毒軟件的病毒庫。

3　安全Ⅲ區

PI實時數據庫縣局延伸：在地區局建立PI數據庫，縣局通過安裝在安全Ⅲ區的數據庫鏡像服務器，實現與安全Ⅰ區的SCADA參數庫、實時運行信息和圖形的同步。通過應用軟件導出CIMXML模型，SVG圖形，E文件并以FTP的方式定時發送至地區局的PI接口服務器，入庫到PI數據庫。同時通過應用軟件自帶轉發功能，縣局鏡像服務器實時向地區接口服務器發送遙測數據和事項。

二、地縣主要自動化系統之間的業務交互

隨著地調數據網絡(四級網)的建成，縣局自動化系統與地區局自動化系統之間的網絡連接變得比較頻繁。業務交互涉及到了各個系統。接下來主要介紹最近幾年來陸續建成的幾個地縣接口應用系統：地區電力調度數據網系統，地縣電能量計量系統接口，二次安防防病毒服務器系統。

1　地區電力調度數據網系統(四級網)的應用

四級網系統縣局的應用部分網絡結構如圖2所示：

四級網接入的業務是關系到調度生產運行的重要業務，網絡安全是必須考慮的一個重要因素。承載調度業務的調度數據網應通過SDH／PDH的N*2Mbit／s專線組建，實現與其他網絡無理隔離，成為調度業務可信賴網絡。

各單位路由之間采用E1接口通過SDH光纖環網相互通信，路由器配置多個信息接入端口，可接入安全Ⅰ、Ⅱ區業務設備，Ⅰ、Ⅱ區業務在接入時實現邏輯隔離。接入調度網的設備應先接到交換機端口，再由交換機接入相應的端口，禁止應用設備直接接入路由器端口。各縣調四級網服務器利用3700路由器實現與地調局四級網數據庫服務器的連接，從而實現網絡的物理隔離，地調將網絡劃分在10.33.128*。網段，諸暨局四級網服務器地址為10.33.128.50，地調數據服務器地址為10.33.128.8。同時諸暨局四級網服務配置一個SCADA前置網網絡地址192.168.1.36，在服務器上安裝相應的應用軟件，進行必要的遙新、遙測、廠站庫以及通信規約的維護。

當網絡連通后，各縣局以及地調四級網服務器將實時數據存入局四級網服務器數據庫，由此實現各個單位之間實時數據的相互調用和查看，在必要的業務上進行調度員人機界面應用，從而使得調度員能夠實時掌握地調以及其他縣調的網供、電廠及限電計劃等實時數據。隨著各種應用的加深，地縣主站AVC系統的無功、電壓及功率因數限值的定值傳送也可由四級網來實現。

篇10

關鍵詞：微機監測；鐵路信號；設備安全

Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.

Keywords: railway signal microcomputer monitoring; equipment safety;

中圖分類號：F530.3 文獻標識碼：A 文章編號：

1 微機監測系統網絡安全防護現狀

目前的微機監測系統一般都是三層次的網絡結構，既由車站、領工區（車間）、電務段三級構成的計算機網絡，電務段和領工區的管理人員可以通過微機監測網直接看到所轄各站信號設備和戰場運作狀況。目前網絡遭受病毒侵襲的主要途徑有：生產已經網絡化，網絡上任何一點感染病毒后，如不及時處理，容易全網蔓延；隨著移動存儲設備越來越廣泛的使用，病毒通過移動設備感染的機率大大增加。一機多用，如某臺終端機既用于調看生產監控，又兼作辦公機；其他遭受惡意攻擊等非正常感染病毒。

現階段微機監測系統采取的網絡安全防護措施包括以下幾個方面。

1）要求把站機、終端機上的I/0接口，如光驅、歟驅、USB插口等用標簽加封，并在主板BIOS里修改相應項屏蔽設備端口，杜絕在站機、終端機上進行與業務無關的作業。

2）微機檢測安全服務器，站機、終端機，安裝有MCAFEE網絡版防毒軟件或瑞星單機版殺毒軟件，但沒有建立專用的防病毒服務器，病毒庫的更新不及時，單機版的軟件只有維護人員到站上才能更新。

3）清理非法接入局域網的計算機，查清有無一機多用甚至多網的可能，并對非法接人的計算機進行屏蔽。

2 現有系統存在的安全問題及改進的主要參考原則

設計新的網絡安全防護系統，應確保運行數據的完整性、可用性、可控性、可審查性。安全系統的改進可參考以下幾個原則。

1）體系化設計原則。通過分析網絡系統的層次關系．提出科學的安全體系和安全構架，從中分析出存在的各種安全風險，充分利用現有投資，并合理運用當今主流的安全防護技術和手段，最大限度地解決網絡中可能存在的安全問題。

2）全局性、均衡性、綜合性設計原則。從網絡整體建設角度出發，提供一個具有相當高度，可擴展性強的安全防護解決方案，應均衡考慮各種安全措施的效果，提供具有最優性價比的網絡安全防護解決方案。

3）可行性、可靠性、可審查性原則。可行性是設計網絡安全防護方案的根本，它將直接影響到網絡通信平臺的暢通，可靠性是安全系統和網絡通信平臺正常運行的保證，可審查性是對出現的安全問題提供依據與手段。

4）分步實施原則。分級管理，分步實施。

3 系統改進可采取的的主要措施

維護管理方面我們可以做好以下幾點改進。

1）微機監測增設防病毒服務器，定期升級服務器病毒庫，將病毒入侵機率降至最低。安裝防火墻，對連接網絡中的計算機進行統一管理，確保網絡安全。

2）科學處理補丁和病毒之間的矛盾。安裝補丁時，應經過慎重的論證測試，可行在開發系統上進行測試，確保安全的前提下，再進行補丁安裝，因為有些補丁可能與現行的操作系統發生沖突，進而影響整個系統的穩定性。

3）在生產網上組建VPN，創建一個安全的私有鏈接。

同時，為保證系統的安全管理 ，避免人為的安全威脅，應根據運行工作的重要程度劃分系統的安全等級，根據確定的安全等級確定該系統的管理范圍和安全措施。對機房實行安全分區控制，根據工作人員權限限定其工作區域。機房的出入管理可以采取先進的證件識別或安裝自動識別登記系統，采用磁卡，身份證等手段對工作人員進行識別、登記、管理。根據職責分離和多人負責的原則，確定工作系統人員的操作范圍和管理，制定嚴格的操作規程。針對工作調動或離職人員要及時調整相應授權。

4 可采用的網絡安全新技術

建立完善的微機監測系統網絡安全防護系統，需要現有網絡安全防護系統的基礎上，充分考慮防火墻、入侵檢測／防護、漏洞掃描、防病毒系統等安全機制。由于網絡技術的不斷飛速發展，傳統的防護技術已經不能適應復雜多變的新型網絡環境，必須采用安全有效的網絡安全新技術才能防患于未然，提高整個微機監測網絡的安全性。可采用的新型網絡安全技術包括以下幾種。

1）鏈路負載均衡技術。鏈路負載均衡技術是建立在多鏈路網絡結構上的一種網絡流量管理技術。它針對不同鏈路的網絡流量，通信質量以及訪問路徑的長短等諸多因素，對訪問產生的徑路流量所使用的鏈路進行調度和選擇。可最大限度的擴展和利用鏈路的帶寬，當某一鏈路發生故障中斷時，可以自動將其訪問流量分配給其它尚在工作的鏈路，避免IPS鏈路上的單點故障。

2）IPS入侵防御系統。網絡入侵防御系統作為一種在線部署的產品，提供主動的，實時的防護，其設計目的旨在準確檢測網絡異常流量，自動應對各類攻擊性的流量，不將攻擊流量放進內部網絡。

3）上網行為管理系統。上網行為管理系統能夠提供全面的互聯網控制管理，并能實現基于用戶和各種網絡協議的帶寬控制管理。實時監控整個網絡使用情況。

4）網絡帶寬管理系統。對整個網絡狀況進行細致管理，提高網絡使用效率，實現對關鍵人員使用網絡的保障，對關鍵應用性能的保護，對非關鍵應用性能的控制。可根據業務需求和應用自身需求進行帶寬分配。

5）防毒墻。傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統，隨著網絡病毒的日益嚴重和各種網絡威脅的侵害，需要將病毒在通過服務器后企業內部網關之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強大的網絡殺毒機制，網絡層狀態包過濾，敏感信息的加密傳輸，和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網絡前進行全面掃描，適用于各種復雜的網絡拓撲環境。

5 結束語

通過本文的分析，可以看出，我國鐵路信號微機監測系統的應用得到了初步的效果，但是隨著我國鐵路系統的繼續發展，網絡安全是我們不得不考慮的問題，而且隨著網絡安全問題的越來越多，對我國鐵路信號微機監測系統的安全性要求就越高，因此，在未來的發展過程中，我們需要進一步提升鐵路信號微機監測系統的安全等級，只有這樣才能促進我國鐵路信號系統的安全，提升我國鐵路信號系統的繼續發展。

參考文獻

[1]劉琦.鐵路信號安全維護及監控系統設計思路及應用[J].安防科技,2011,03.