導語：如何才能寫好一篇高級網絡信息安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：網絡安全；高校；信息技術；互聯網

信息傳播與重大科技進步相伴而生，人類已進入大眾傳播時代、網絡傳播時代。互聯網向國民經濟各領域快速滲透，促進信息的交互和匯集，經濟形態向網絡平臺經濟快速轉變。基于平臺的應用快速拓展、不斷衍生并進化出新的網絡經濟生態體系。這一生態體系集聚了新的創新要素、創新主體，重塑了創新的組織方式，創新的速度和創新的內容都在不斷演變，新的產業鏈和價值鏈正在加快構建，這對經濟社會將產生顛覆性影響。

1互聯網對高校信息技術的影響

隨著計算機和網絡技術的快速發展，我國各高校已經通過使用網絡和各類教育軟件、信息化平臺來進行教育教學管理，且隨著信息化程度的不斷提高，各高校紛紛創建了校園網和網站，將校園的介紹、規劃、招生、研究成果等在網站上，讓師生對校園有更多的了解，甚至在網上即時進行學術交流等，從而顯著提高了我國高校教育的信息化水平。但是，互聯網、教育軟件和信息化平臺的應用在為高校信息技術發展帶來便捷的同時，也帶來了急劇增長的教育數據以及這些數據背后隱藏的許多重要信息。隨著互聯網的快速發展，網絡入侵、非法獲取信息等網絡安全問題日益突出。目前，我國已超越美國，成為世界上智能終端最多的國家，用戶數量近2.5億。在信息互聯的大背景下，網絡安全事件也頻繁發生。而高校上網人數比例較高，是網絡安全問題的高發地，隱私泄露、科研成果等重要數據丟失問題日益嚴重。通常，不法分子會利用高校網站的安全漏洞竊取教職工及學生的個人信息，然后再將其轉賣給各種培訓機構、商家，甚至詐騙者。近年來，各高校的科研成果等重要資料極易遭到竊取，有針對性的網絡安全事件增多，造成的經濟和社會影響將進一步加深。各類網絡犯罪帶來的經濟損失不斷增加，從而引起社會的廣泛關注。此外，帶有政治意圖的黑客大量增加，針對性越來越強。高校是網絡運用的最前沿陣地。目前，高校的年齡結構主體為“90后”，隨著移動互聯網信息技術的普及和推廣，手機媒體的網絡應用已經成為高校主體網絡應用的重要部分。在移動互聯網方面，安卓平臺和蘋果平臺的安全漏洞都在不斷增多，而高校難以對網絡設施進行封閉式管理，主體網絡安全意識淡薄，缺乏自我保護意識，導致高校網絡安全問題頻發。高校對網絡安全管理不夠重視。硬件設施投入不足，服務器不能滿足批量用戶訪問需求，極易發生系統崩潰而造成浪費；軟件技術更新不及時，網絡漏洞較多，易被攻擊；缺乏專業的網絡管理維護團隊，管理人員專業技術和業務素質有一定的局限性，不能及時排除網絡故障，校園網絡安全難以保障；缺乏有效的網絡安全管理制度和應對機制，出現問題時不能及時應對，導致數據信息泄露事件頻繁發生。當前，云計算、移動互聯網等新興技術的應用日趨深入，信息安全問題更加突出。此外，在云計算方面，平臺數據安全和用戶信息安全仍存在隱患。互聯網是在美國發展起來的，到目前為止，美國仍為網絡大國，是“游戲規則”的制定者。目前，有組織的網絡攻擊和間諜行為增多，影響日益加大，美國情報機構領銜的大規模網絡間諜行為被曝光，具有國家背景的網絡安全行為增多。因此，要保障互聯網安全，就需要我國自主制訂國家新網絡安全戰略，重視自主研發可控的互聯網技術。而當前我國相當一部分技術都不能自主控制，很多高校都是借助美國的操作系統開發自己的網站。底層技術沒有安全保障，上層的開發應用自然也就沒有安全保障。因此，及早解決核心技術受制于人這個問題具有緊迫性和重要性。

2高校網絡安全問題的解決措施

2.1加大對網絡安全思想工作的宣傳力度

高校應該建立信息安全協調（領導）機構。該機構是校園網信息和網絡安全的領導機構。加強高校內部網絡思想工作陣地管理，推進學校網絡空間的法治化建設，創造健康、有序、和諧、文明的網絡環境。秘書單位由高校黨委辦公室、保衛處、宣傳部、學生處、網絡與信息技術中心組成。高校黨委辦公室負責統一協調各部門的工作；保衛處負責信息內容的監控；宣傳部、學生處負責網絡輿情引導，普及網絡安全知識，開展網絡安全宣傳活動，提升師生的網絡安全意識和自我保護意識；而網絡與信息技術中心負責提供技術保障。

2.2加強高校網絡安全管理

重視對網絡信息管理系統的建設，及時升級軟、硬件配套設施，為網絡安全系統建設提供支撐；提高管理者網絡管理與安全防范的技術水平，從而提高內部防護能力；建立網絡安全管理制度和應急防護長效機制，對網絡安全問題進行自查，發現問題及時處理；對網絡相關設備及網絡系統進行集中管理，落實信息安全責任制。高校的網絡與信息技術中心應做好安全基礎設施建設和運維、信息系統和網站安全保護、用戶終端安全保護、應急響應及事件處置、信息安全教育、學校保密工作技術支持、信息安全相關規章制度的制訂等信息安全保障工作。高校信息系統的使用單位負責業務數據維護、信息、使用授權等用戶授權系統的日常工作。

2.3設置專職人員

設置從事信息安全管理工作的專職人員，注重人員技能的培訓。除專職人員外，高校其他網絡管理員和系統管理員也應參與信息安全保密工作，并接受相應的信息安全等級保護培訓。

2.4加強高校校園網站聯盟建設

加強高校校園網站聯盟建設，儲備網絡安全高級技術人才，在全國校園互聯網范圍內進行網絡安全問題的研究與交流，著力解決全國高校網絡安全重大問題。

3結束語

篇2

關鍵詞：提高；網絡；安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044(2009)05-1071-01

1 引言

隨著計算機網絡的不斷發展，氣象業務現代化、信息化、辦公自動化程度的加快，氣象系統內部以及與外界的信息交流量和交流面在逐步擴大，這給網絡安全和網絡管理員提出了更高的要求，特別是與Intermet連接后，網絡病毒的傳播、黑客的攻擊愈來愈嚴重，氣象信息的安全性也就受到威脅，因此就目前臺站氣象網絡安全隱患和防范措施是值得探討和重視的。

2 重視管理臺站氣象網絡安全

2.1 存在隱患

臺站業務人員計算機水平的高低參差不齊，且無專職網絡管理人員，使氣象網絡的安全潛伏著極大的危機，主要表現在以下幾個方面：

① 隨意使用外來U盤、移動硬盤、光盤。由于人們認識不到位，防范意識差，人人都可以隨意買一些盤放人計算機，用來玩游戲等非業務使用，無意甚至有意將病毒、黑客程序帶人計算機，給計算機和網絡埋下不安全的隱患。

② 隨意使用Intemet網進行收、發信息，電子郵件的普通使用，各種信息來者不拒，有用無用程序都去下載，然后在本單位網內不加防范地傳播，造成病毒和黑客程序傳播，一旦網絡防御被攻破，輕者網絡癱瘓，重者將造成系統損壞或數據丟失的惡果。

③ 人為修改設置，氣象數據庫中的數據在不斷更新和增加，部分人員因為種種原因，對正確的設置加以修改，致使新的數據不能及時填入，而應保留的數據被清除，在工作當中若不能及時發現后果是造成氣象資料數據庫數據不完整，資料不準確，而運用這樣的資料做出的資料結論，其偏差通常較大，甚至會得出相反的結論。

2.2 上機人員的管理

以上三種現象可能會時常發生，要徹底改變這些間題是一個長期而重要的工作任務。就目前來看，從以下三方面著手解決是比較實際的：第一，提高業務人員的素質，加強職業道德教育，提高思想覺悟，正確認識氣象網絡和數據安全的熏要意義；第二，加強制度建設，將氣象計算機網絡管理納人專職管理編制，尤其是臺站氣象網與資料庫，目前正處于管理的薄弱環節，隨著氣象自動化建設的發展，必須設專職管理人員，管理必須有章可尋，責任明確，對有意進行惡意操作的人和事要嚴肅處理，有效防止人為破壞；第三，加強計算機知識培訓，讓業務人員不但能使用計算機，還會保護網絡安全、數據安全、減少無意損壞、杜絕人為破壞。

3 臺站氣象網絡安全管理體系的建立

隨著臺站大氣監測自動化系統、生態環境監側，Intemet的不斷應用、計算機網絡、信息傳輸的安全問題也日趨突出，這就要求我們，必須根據臺站氣象信息網絡的安金要求，構建適用的安全體系，從而有效地保證氣象信息網絡的安全。

3.1 安全需求分析

“知己知彼，百戰不殆”。只有明確網絡的安全需求，才能有針對性地構建適合的安全體系結構，從而有效地保證網絡系統的安全。

3.2 安全風險管理

妥全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估，以組織和部門可以接受的投資，實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。

3.3 制定安全策略

根據組織和部門的安全需求和風險評估的結論，制定組織和部門的計算機網絡安全策略。

3.4 定期安全審核

安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行;其次，由于網絡安全是一個動態的過程，組織和部門的計算機網絡的配置可能經常變化，因此組織和部門對安全的需求也會發生變化，組織的安全策略需要進行相應地調整。為了在發生變化時，安全策略和控制措施能夠及時反映這種變化，必須進行定期安全審核。

3.5上下聯動，專業支持

計算機網絡安全同必要的上下聯動和外部支持是分不開的。通過上下聯動專業的安全服務機構的支持，將使網絡安全體系更加完善，并可以得到更新的安全資訊，為計算機網絡安全提供安全預警。

篇3

關鍵詞：網絡會計信息系統　風險因素　安全防范

中圖分類號：F233　文獻標識碼：A

文章編號：1004―4914(2010)09-150-02

網絡會計信息系統是基于互聯網和信息技術，以財務管理為核心，融業務管理與財務管理于一體，能夠提供互聯網環境下遠程會計處理方式、集團財務管理模式的各項功能，實現各種遠程操作、事中動態核算、在線財務管理的一種財務管理系統。它是電子商務的重要組成部分；它具有高效、動態管理，多功能模塊集成，全面監控、實時反饋以及系統可移植性高，維護成本節約等特點；它的應用使得財務管理超越了時空障礙，極大地拓展了企業會計核算和管理職能的作用。同時，與封閉式單機和局域網會計信息系統相比，系統面臨的各種風險更高，更容易出現因信息泄密或遭受攻擊從而導致業務中斷、癱瘓，使企業蒙受巨大經濟損失。

一、網絡會計信息系統面臨的風險因素

網絡會計信息系統的安全風險是指由于客觀或人為的因素使會計信息系統保護安全的能力減弱，從而產生會計信息失真、失竊，使企業的商業機密信息泄露從而造成重大資產損失，以及系統的硬件、軟件無法正常運行等災害結果發生的可能性。其具有難以預見性、隱蔽性和災難性等特點。

1.會計信息采集過程中所面臨的風險。

首先，系統內部控制風險。在互聯網環境下，會計信息采集能夠將許多不相容工作自動合并完成，很容易形成內部控制隱患。系統管理員、數據錄入員、數據管理員和專職會計員等崗位分工不清是造成安全隱患的重要原因。如果不能有效地定義和實施會計崗位的分工和相互監督，操作人員就可以越權篡改程序和數據文件，導致系統采集的會計信息不真實可靠，以此達到某種非法目的，從而造成重大資產損失。

其次，系統相關人員職業素質和道德風險。系統內部人員在會計信息輸入過程中，對交易或事項的虛構或篡改；在信息加工過程中，會計人員職業判斷的失誤或操作誤差、數據輸出錯誤等方面的風險。隨著企業信息化水平的提升，會計信息系統日益與企業管理信息系統的其他子系統緊密集成，除了會計人員，企業其他部門人員可能會進入或接觸會計信息系統，這為其他內部人員濫用、越權訪問提供了可能。另外，網絡會計信息系統的研發人員或系統實施人員利用工作的職業便利，掌握了系統密碼，為私自違法篡改財務數據提供了可能。

2.會計信息處理過程中所面臨的風險。系統運行過程中的軟、硬件技術缺陷風險。現代操作系統、數據庫系統和應用軟件規模日益龐大、功能日趨復雜，軟件中必然存在設計錯誤和漏洞。軟件質量缺陷為外部互聯網攻擊提供了可趁之機。另外，微電子設備精密而復雜，也極易發生故障，如硬盤故障、內存芯片老化、線路截斷等。

3.會計信息存儲過程中所面臨的風險。

首先，數據中心的物理安全風險。一般的信息數據服務器放置在專門的信息中心來管理，信息中心的物理安全就成了安全風險的叉一來源。信息中心的消防設施，冗余電源以及門禁控制是我們必須重視的安全風險。很多企業對這一方而不是很重視，信息中心沒有統一的門禁控制，對進入信息中心的人員也沒有限制，敏感的財務信息數據很容易從信息中心被竊取出來，造成對企業的損害。

其次，系統數據檔案的管理和備份不當也是一個重大的安全隱患。由于信息數據備份策略和方法不科學，很可能造成備份資料失去時效性，或由于信息數據備份介質保存的客觀條件不合適，導致數據備份介質失效，造成企業不可挽回的資產損失。

最后，來自互聯網的惡意攻擊風險。互聯網上的黑客惡意攻擊愈演愈烈，已成為影響系統安全的重要因素。黑客攻擊往往針對系統的技術或管理漏洞發起，通過掃描、惡意入侵、病毒或木馬、欺騙、服務中斷、竊聽、篡改、假冒等方式攻擊系統實體安全，從而造成系統癱瘓以及重要會計信息丟失或泄露。

二、網絡會計信息系統應強化的安全風險防范策略

1.強化內部管理，制定完善的內部管理制度。

(1)加強系統內部控制，實行用戶分級授權管理，建立崗位責任制。要保證會計數據的安全，首先就要完善相關人員職能控制制度，明確分工，規定每一個崗位的職責。企業應將這些崗位予以分離，特別是系統操作人員、管理人員和維護人員這三類不相容職務一定要相互分離，互不兼任。在各崗位之間建立起相互聯系、相互監督、相互牽制的關系。

在系統中進行分級管理，對各種數據的讀、寫、修改權限進行嚴格限制，把各項業務的授權、執行、記錄以及資產保管等職能授予不同崗位的用戶，并賦予不同的操作權限，拒絕其他非授權用戶的訪問。

會計信息系統是企業的關鍵系統，各類賬號的增加或減少應當記錄在案，新增賬號應該有相應的審批流程。人員變動以后，賬號要及時調整。同時應加強對財務人員工作規范教育，例如：上機人員操作完畢后，必須及時退出系統，以防他人利用自己的身份進入系統。

(2)定期審核，完善內部審計制度。引進定期的審核制度，對財務系統的各類人員職責進行審計。內部審計部門是強化內部控制制度的一項基本措施。內部審計部門不僅應審核日常會計賬目，以保證網絡環境下會計信息系統的正常運行，還應對內部控制體系進行系統的檢查，對企業內部控制體系的有效性進行評估，并提出改進建議。運用會計手段，建立完善的電子對賬系統，及時檢查總賬、明細賬、銀行日記賬和記賬憑證金額是否一致；運用審計手段，在網絡會計軟件內設置審計監督程序，用來收集審計資料并加以保存，記錄程序和數據的異常操作，及時發現刪除、修改數據的行為。

2.采取多種技術措施，強化網絡運行平臺安全。

(1)具備高效的容災和容錯技術。容災包括數據容災和應用容災。前者通過設計并實施充分的數據備份方案來保證，如本地或異地保存的磁帶、磁盤、光盤冷備份，異地熱備份數據中心，活動互援備份。后者在數據容災的基礎上，異地建立一套完整的備份系統。當災難破壞主系統時，遠程備份系統迅速接管業務，提供不間斷的應用服務。容災系統的關鍵在于數據同步復制技術。

容錯系統包含額外的硬件、軟件、電源部件或錯誤處理模塊作為系統的后援，防止因各種故障、錯誤導致系統運行中斷。如在系統里增設內存、CPU、磁盤存儲設備的冗余，通過特別設計的自檢查、診斷功能模塊，在系統硬件發生故障時，自動切換至備份硬件。常用的技術手段有雙磁盤鏡像技術、雙機熱備份等。

(2)及時下載和安裝補丁程序，消除網絡安全漏洞。防止黑客攻擊首先要及時下載和安裝系統補丁，堵住操作系統、數據庫管理系統、網絡服務軟件的漏洞。其次要熟悉黑客攻擊的原理和一般過程，采取相應的防范措施，保護網絡安全。如關閉不需要的端口，關閉FTP匿名訪問、WEB服務器的文件夾瀏覽，在路由器前組織TCP攔截對付拒絕服務攻擊，嚴

格程序數組邊界檢查，防止緩沖區溢出攻擊，拋棄以IP地址為基礎的信任策略，不允許使用R類遠程調用命令等。另外，還應及時升級補丁程序和修補系統漏洞，并且安裝性能優良的殺毒和防黑軟件，定期升級病毒庫，定期整機掃描殺毒。此外，還應加強對網絡使用的控制以減少感染病毒的機會，如禁止訪問有安全風險的站點，不下載和安裝未經認證的程序和外掛，不打開不明郵件的附件等。

(3)建立健全系統訪問控制權限設器。訪問控制通常有三層：一是入網訪問控制，對任何試圖進入系統的用戶進行基于賬號加密碼的身份驗證。合理設置并保護用戶密碼，密碼長度應大于六位字符，其中字母、數字和其他字符應混合使用，避免使用英文單詞或用戶個人信息(如姓名、生日、電話、身份證號碼等)；強制定期更改密碼。啟用賬戶鎖定，防止非法猜測密碼，控制用戶訪問時間、站點和次數。二是權限訪問控制，為每一用戶分配合理適當的訪問權限，明確界定用戶對包括目錄、文件和設備在內的系統資源擁有的權限，如讀、寫、建立、刪除、更改等。三是屬性訪問控制，面向系統資源設置屬性，進一步控制用戶對文件或設備等資源的訪問，使所有用戶都不得超越屬性所指定的權限范圍操作系統。

(4)安裝硬件防火墻系統，確保網絡傳輸安全。防火墻是架構在本地網絡與外部互聯網之間的通信控制設施，對雙向的訪問數據流實施逐一檢查，允許符合企業安全政策的訪問，攔截可能危害企業網絡安全的訪問。它能隔離外部互聯網的安全風險，防止其向內蔓延，也能對內外網間的訪問、通信進行安全審查。防火墻應用時需對企業內網的主機、服務、資源進行詳盡的敏感度和保護必要性分析，正確劃分資源保護和開放的邊界，據此定義訪問權限控制表。

(5)建立健全入侵檢測和應急響應機制。對于利用新發現的系統漏洞、新攻擊手段的入侵事件，將防護、檢測和響應綜合成一循環體，才是更完整的安全策略。在網絡會計信息系統內安裝入侵檢測系統，通過對用戶行為、系統資源狀態變更的監視，可及時發現入侵事件和系統新的威脅、弱點，識別防火墻等防護設施不能識別的攻擊(如來自企業內部的攻擊)，向系統管理員發出安全警報，并迅速切斷遭受攻擊的網絡連接，記錄事件日志。

3.加強信息中心的安全管理，確保信息數據安全。信息中心的安全管理主要指信息中心的防火、防水、防潮、防塵、防磁、恒溫等物理環境管理。同時特別要加強信息中心的門禁管理，只有經授權的相關人員才允許進入機房。信息中心供配電系統要求能保證對機房內的主機、服務器、網絡設備、通訊設備等的電源供應，在任何情況下都不能間斷，做到無單點失效和平穩可靠。

4.適時更新網絡會計信息系統的補丁程序。使其更具專業化、人性化和安全化。隨著程序的編輯語言(如jsP、vc++、DELPHI、POWERBULIDER)的不斷推陳出新，網絡應用技術的日益完善，操作系統、數據庫系統(sQL 2000)和新型電腦硬件和輔助設備不斷更新換代，以及企業網絡會計業務范圍的不斷延伸拓展，原先的網絡會計信息系統亦不能支持企業對安全性、易用性和專業性的需要。需適時更新升級其程序，使其更具會計專業化，操作人性化、數據安全化、努力滿足企業不斷增長的會計業務要求。

5.完善財務信息檔案及存儲介質的管理。鑒于財務信息的重要性，日常必須對財務數據進行備份。一般可用磁帶、光盤作為數據備份介質。除了每天的數據備份外，定期的數據恢復也是很重要的。根據需要一般可以每季度作一次歸檔備份和周備份的數據恢復測試，確保備份內容的可用性。對記賬憑證、總賬、現金日記賬和銀行存款日記賬等重要賬冊，都應按照有關會計、稅務和審計等管理部門的要求及時打印輸出，并應有專人妥善保管。另外，還應加強系統檔案保管人員的權責管理，建立嚴格的借用、歸還手續制度，杜絕未經授權的人員通過計算機和網絡瀏覽全部數據資料，復制、偽造、銷毀一些重要的會計數據信息。

6.堤高會計人員素質，增強其安全風險防范意識。針對會計人員的特點和企業工作要求，科學地確定培訓內容，更新會計人員的知識。把網絡知識和常用的辦公自動化軟件操作知識列入每年會計培訓范圍之內。通過抓好在職會計人員的知識更新，使其在實踐中不斷豐富自己的工作經驗，提高會計人員的職業道德和思想修養，使其在嚴格遵守各種規章制度和操作規程的同時，自覺抵制各種誘惑，減少實際工作中的差錯。加強其對網絡和應用軟件安全風險的認識和教育，提高會計人員安全意識和保護系統安全的自覺性。

篇4

[關鍵詞]電力系統；計算機網絡；信息安全

doi：10.3969/j.issn.1673 - 0194.2017.02.029

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2017）02-00-02

目前，我國電力系統計算機網絡信息有著較好的發展。但仍存在一些問題，只有加強對電力系統計算機網絡信息的管理工作、強化安全運行及操作管理、加強電力系統計算機網絡信息風險的防范及加大系統運行的技術投入，才能確保電力系統計算機網絡信息安全、穩定的運行，并將其發揮到最大作用。電力系統信息網絡的管理是我國信息安全產業建設與發展的重要組成部分，但電力系統信息化管理的安全研究還存在很多不足，仍需加強對計算機網絡信息安全方面的研究。

1 計算機信息安全的概述

不少發達國家的政治、經濟及文化開始依賴于計算機信息的基礎設施，但同時也出現了強大的黑客攻擊，信息技術猶如新型的作戰技術，在當前的形式下，計算機信息的安全問題已成為各國面臨的巨大挑戰。因此，還需進一步加強對計算機信息安全的風險管理。1990年，英、法、荷蘭等歐共體國家聯合了關于信息技術安全評估的準則。1991年，頒布了關于計算機信息安全管理實用規則。這兩大準則的頒布，直接推動了計算機信息安全風險管理的發展。計算機信息安全的風險管理的研究內容有很多，比如，相關的制作規范和調節機制、業務信息和數據范圍、動態和靜態的數據管理要求、對交換的業務進行統一的規范、構建安全、協調、科學的管理體系和溝通協作模型、建立安全的管理支撐平臺等。2001年，國際標準化組織頒布了《信息安全管理實施指南》，其主要提出了關于風險管理的信息安全管理體系的構建，信息安全管理體系是一個以構建信息系統安全的縱深防御體系，這也推動了我國計算機信息安全風險管理的進一步發展，使其進入了深層次研究的階段。

目前，我國的計算機信息技術還處于發展階段，比較脆弱，可能會對個體及整個國家的電網帶來安全威脅。因此，還需構建規范的管理機制，建立高效、便捷的信息溝通管理平臺，并通過相關機制對計算機信息進行集中管理，提高調控的管理水平，只有這樣才能更好地確保計算機信息安全、穩定的運行。

2 計算機網絡信息安全在電力系統中的重要性

隨著我國經濟體制的深入改革，我國對計算機網絡信息管理安全的研究有了更進一步的發展。計算機網絡信息管理建設中常常會出現軟件、硬件、數據、病毒侵蝕等問題。對于電力企業來說，如果軟件中出現問題，會降低工作人員的工作效率；當硬件出現問題時，會影響到計算機的正常運作；當數據出現問題時，這些機密性、不可外泄的信息就會泄漏；當運行中出現問題時，會直接影響到網絡系統的正常運行；當計算機受到病毒侵蝕時，會造成整個系統的崩潰，直接影響網絡的安全性建設等。在某種意義上，計算機網絡信息安全在電力系統中實現了數據和信息資源直接的共享、數據之間的交換，構建了安全管理機制和支撐平臺，保障了溝通的方式的安全、科學、智能，可以說，其安全智能管理體系的建立不僅滿足了計算機行業可持續發展的要求，還提高了電力系統計算機網絡信息安全的水平。因此，加強計算機網絡信息管理建設的安全研究具有非常重要的現實意義，其在一定程度上關系到我國信息安全產業的健康發展。

3 我國電力系統信息網絡安全中存在的主要問題

隨著我國信息技術的不斷發展，我國電力系統計算機網絡信息的安全研究也有了進一步的發展。我國電力系統計算機網絡信息的安全研究直接影響到個人的工作效率，國家的未來發展等。由于信息安全題日益突出，大家對計算機信息安全的風險管理及發展趨勢有了更多的研究。我國電力系統信息網絡建設中還存在一些安全隱患，比如網絡安全、系統安全、數據安全等，電力系統信息網絡管理也存在很多問題，比如：缺少專業技術人才、安全管理制度不健全、網絡安全管理意識淡薄、沒有健全的信息化管理的標準體系等。

為了能科學、合理地構建規范的管理機制，還需建立高效、便捷的電力系統計算機網絡信息安全的制度，并通過相關機制進行集中管理，提高調控的管理水平，從而更好地確保電力系統計算機網絡信息的安全運行。總的來說，我國的電力系統信息網絡管理安全體系還處于發展的初級階段，缺乏先進的技術和創新型的人才。為了確保網絡系統的安全，仍需加強安全管理機制，且當務之急還是要迅速地建立起電力系統計算機網絡信息的標準體系，只有這樣才能進一步展現出我國科學、合理、完善的電力系統計算機網絡信息。

4 提高電力系統計算機網絡信息安全水平的策略

4.1 強化安全運行及操作管理

為了能更好地確保電力系統計算機網絡信息管理的正常運行，強化安全運行及科學的操作管理是必不可少的內容。由于我國的計算機網絡信息管理并不安全，所以，需通過強化安全運行，實施科學的網絡安全管理措施，采用規范的方法進行管理和改善，比如，采取雙機備、雙機容錯等方式，對一些關鍵的設備需要避免突發事件，對網絡架構方面的設計，要提高主干網絡鏈路的準確性。管理者也要加強自身科學文化、思想品德方面的教育，要做到與員工溝通，提高員工的思想認識和個人素質等。強化安全運行及操作管理能有效地解決我國計算機網絡信息化管理中的安全風險問題，這也是降低計算機網絡信息化管理中風險的有效策略。

4.2 強化密碼管理及計算機網絡信息化管理風險防范

為了能確保電力系統計算機網絡的正常運行，強化密碼管理、加強計算機網絡信息化管理風險的防范是必不可少的內容。由于我國當下的電力系統計算機網絡運行狀況并不安全，丟失的密碼很難找到，因此，對計算機網絡設置密碼時，不可設置默認密碼，還需定期修改密碼，強化密碼管理，加強安全運行及操作，使用科學、規范的渠道和方法進行管理和改善。而計算機網絡信息化管理本身就存在一定的風險，加強計算機網絡信息化管理風險的規范和指導能將運行的風險降至最低，同時，這也是對計算機網絡信息化管理安全運行的有力保障。此外，領導層需要重視計算機網絡信息化管理安全的管理工作，改變陳舊的觀念，對計算機網絡信息化安全管理投入一定的資金和人才，才能使計算機網絡信息安全系統不斷地完善與成熟。

4.3 加大系統運行的技術投入，提高安全監控技術水平

加大系統運行的技術投入是確保計算機網絡信息化管理安全的重要內容，是電力企業進行轉型升級必不可少的一個環節。一般情況下，電力企業可以通過采用以計算機為基礎的自動化技術，為計算機網絡信息化管理的運行提供相關的技術支持和安全保障。計算機為基礎的自動化技術是在網絡運行中采集電度、保護系統等，也是常用的分布式綜合自動化系統。為了能有效提升計算機網絡信息化管理的安全監控技術水平，還需分析與研究黑客入侵的手段、網絡防病毒的進展、檢測報警技術、系統訪問控制和審計技術及計算機網絡信息化管理安全產品的研發等，探討計算機網絡信息化管理中的安全控制策略，建立全面、科學、合理的管理體系，實現各種數據之間的及時溝通和互動，確保信息安全產業的穩定運行。

5 結 語

由于我國電力系統計算機網絡信息化管理的建設起步較晚、發展較慢，在安全風險管理體系的應用和建設上還存在很多的不足，所以，我國電力系統計算機網絡信息化管理建設安全的風險管理工作還需進一步改善和管理。

加強對計算機網絡信息化管理的管理工作、強化安全運行及操作管理、加強計算機網絡信息化管理風險防范及加大系y運行的技術投入等，能有效確保計算機網絡信息化管理安全、穩定地運行。此外，還要進一步加強對計算機網絡信息化的研究和管理工作，對出現的問題要及時解決，這對我國電力系統計算機網絡信息化管理的安全運行和未來發展都起到了直接的推動作用。

以上就是對電力系統計算機網絡信息安全的具體介紹，筆者對其研究還不太全面，還存在一些不足之處，這也是筆者以后繼續努力學習和探索的方向。

主要參考文獻

[1]林萬孝.計算機局域網絡技術及其應用[J].今日科技，2001（3）.

篇5

從教師的角度來講，在某些高級職業技術院校開設了必修的網絡信息安全的相關課程，希望通過該課程提高學生們對網絡信息安全的重視。然而，這樣的課程并不能在日常課程學習中很好的貫徹落實。一些教師缺乏上課的激情，認為網絡信息安全并不能夠成為課程學習的重點，由此導致了，高職院校的教師不夠重視課程，造成了學生更加不重視網絡信息安全教育的問題。教師上課時不能夠很好的講解，學生們自然不能夠在課堂上認真的聽講，導致對課堂內容不重視，以及出現學生敷衍的現象。老師作為高職院校學生的引導者必然要做好對信息安全教育的先前準備工作，才能夠使得學生們能夠有充分的興趣和正確的態度對待信息安全教育課程。

然后，在從學生本身的角度出發，由于在校高職學校中的學生往往學歷水平相對較低，網絡信息安全的素養也相對缺乏，由此造成了這個群體就不夠重視網絡信息安全。還有，重要的一點，在校學生畢竟還沒有走進社會，不夠了解社會現狀的復雜性，加之在校學生抵抗誘惑的能力相對較弱，對于網絡上一些信息的善惡分辨能力有限，導致高職院校在校學生成為網絡信息安全教育的盲區。例如，由于網絡是一個虛擬的社會環境，原則上來講，是不可以在一些不具備相應的保密措施的網站上透露個人的相關信息的，然而有一些網民為了達到某種利益，例如得到一定的贈品等等，而透露出自己的相關信息，就可能導致網絡信息的泄漏，出現網絡信息安全問題。還有，一些高職院校的在校學生，缺乏一定的法律素養，和有關的網絡信息安全的知識，就會出現一些學生做出破壞網絡信息安全的事情，造成了網絡的不穩定，導致網絡安全產生漏洞。一些不知道違法，無意中破壞政府或者相關社會公共網絡的事情，多見諸于報紙、電視、以及網絡，所以，由此帶來的危害不容小覷。加強對高級職業技術院校學生的網絡信息安全教育，是一項艱巨而又偉大的任務。不得不承認，這對于網絡信息安全問題來講，是一個嚴峻的挑戰。

最后，從社會環境的角度來講這個問題。自從1978年改革開放以來，我國逐步實現了解放思想實事求是的方針政策。正由于解放思想的緣故，在社會中，出現了有悖于社會主流的思想，加之進入二十一世紀，網絡的不斷普及，網民人數的不斷增加，導致各種各樣的思想在網絡上蔓延開來，使得網絡環境魚龍混雜。這樣不單純的網絡環境，就造成了一部分思想意志力不夠堅強的人，產生了對自己已有思想的動搖，甚至出現了一些網民收到不良思想的誘惑，引導者他們走向了違法犯罪的道路。正由于網絡環境的復雜性，所以要求高級職業技術學校要加強對學生的網絡信息安全問題的教育。

社會是各種各樣的人組成的，每個人都擁有著不同于其他人的獨立的思想，但是有的人的思想并不符合當代中國提倡的和諧社會主義的基本原則，由于網絡環境的隱蔽性、復雜性，存在著監管方面的漏洞，就使得這樣的思想在網絡中不斷的傳播，存在著消極糟粕思想的網絡環境中，存在著一些為了攫取個人利益，而損害他人利益的犯罪分子，這些犯罪分子存在于網絡的每個角落，讓廣大的網民防不勝防，嚴重破壞了我國良好的網絡環境，擾亂了我國有序網絡秩序。所以，社會存在的問題，更是當前高職院校存在網絡安全教育問題的關鍵，和基礎的前提，只有當大的社會環境提供了一個良好的網絡環境時，無論高職院校的在校生還是普通的網民，才能夠真正的享受網絡帶給人們的輕松便捷的生活，才能夠忘記由于信息泄露造成的不愉快。

2相應的對策

首先，從社會角度出發，國家相關部門應該對網絡環境進行徹底的清查，實現一個透明公開健康的網絡環境，在這樣的網絡環境下，每個網民都擁有著自己應有的隱私權。國家相關部門，應該加強對網絡信息安全教育的硬性規定，并且進行定期的檢查，從而進行相應的監督。

其次，從學校和老師的角度來講，學校和老師應該充分認識到加強對學生的網絡信息安全教育的重要性。并且努力將網絡信息安全教育提高到日常教學的高度上來，實現網絡信息安全教育的日常化和規范化。只有學校和老師重視，才能夠引起學生們的重視，引導學生們自主地對網絡信息安全進行相應的學習，并且學會在網絡環境中保護自身的信息安全，同時保證自己在網絡環境中不做違法犯罪的事情，不竊取他人的網絡信息，破壞網絡信息安全。

最后，從學生自身的角度來講，學生是上網的主體，同樣也是進行網絡信息安全教育的主要對象，盡管學校和老師對學生進行正確的引導，但由于高職院校在校學生已經具備了一定的判斷能力，有可能做出錯誤的判斷。所以，學生自身更應該加強自身的網絡安全素養，實現健康上網，保護自身的網絡信息安全，同時維護正常的安全的網絡環境。

3總結

篇6

關鍵詞：電力企業；信息安全；管理；探討

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Electric Power Enterprise Information Security Risk Analysis and Prevention Measures

Cai Wenjian

(Fujian Shishi Electric Power Co.,Ltd.,Shishi362700,China)

Abstract:Power Information Network and application security is the safe operation of power systems and reliable power supply to ensure the community is directly related to the development of China's industries,social stability and people's points of improvement of living standards.This paper introduces the basic concepts of the power of information security,information security risks in the analysis of power based on the power of information technology for the characteristics of the power proposed to protect the basic information system security policy.

Keywords:Electric Power;Information security;Management;Study

電力企業的信息化建設在生產自動化、管理信息化、營銷現代化等方面發揮了重要作用。然而，隨著網絡的延伸、應用的普及和不斷深化，特別是隨著網絡技術的迅速發展，信息安全問題日益突出。研究電力系統信息安全問題、制定和實施電力系統信息安全戰略、建立全方位、動態的電力信息系統安全保障體系，己成為當前電力系統信息化工作的重要內容。

一、電力信息安全的含義

電力信息安全是指電力主營業務系統及企業信息安全，保障不被未經授權者訪問、利用和修改，為合法用戶提供安全、可信的信息服務，保證信息和信息系統的機密性、完整性、可用性、真實性和不可否認性。

二、電力企業信息安全風險分析

（一）電力信息安全管理風險分析。管理是網絡中安全得到保證的重要組成部分，是防止來自內部網絡入侵必須的部分。由于近年計算機信息技術高速發展，計算機信息安全策略和技術也取得了非常大的進展，但在電力系統各種計算機應用中，對信息安全的認識跟實際需要差距較大安全意識薄弱、責權不明、安全管理制度不健全及缺乏可操作性等都可能引起安全管理的風險。

（二）網絡基礎設施的安全風險分析。網絡基礎設施的安全是整個網絡系統安全的前提。目前電力企業在機房建設（包括水源、消防、門禁等）、重要設備的訪問管理方面都存在缺陷，亟待解決。如在網絡介質的安全方面由于大都采用內部專用網絡，但樓層交換機的機柜位置不安全，非管理人員可以隨時接觸到，這給內部的攻擊或竊密行為提供方便之門。

（三）電力企業信息網絡連接安全風險分析。電力企業的部分用戶由于工作需要連接了因特網，同時沒有服務器供外部訪問，用戶連接因特網時沒有做到與內網的物理隔離，這給網絡帶來危害；局域網內部用戶有意或無意對系統進行了攻擊和竊密行為；內部其它單位用戶對本網絡的攻擊行為，類似因特網外部連接風險等眾多因素也都對網絡安全構成了威脅。此外，受人員水平、設備性能等方面因素制約，使整個電力信息網的外部邊界保護能力存在一定差異，必然降低整體邊界安全防護能力。

（四）支撐基礎設施的安全風險分析。許多電力企業沒有完整的備份策略，備份工作沒有計劃，備份不及時，沒有備份恢復預案；介質管理不規范，沒有對備份介質做庫存、領取、使用、借用、存放等方面的跟蹤記錄。需要特別指出的是災難恢復計劃要素的所處的水平較低，應重點加快制定有關災難恢復的管理制度，以及備份設備的更新。

三、電力企業信息安全防范措施

（一）電力信息安全管理措施。1.健全信息安全組織保證體系。成立信息安全管理部門，至少應配備2名安全專職管理人員，明確權利與責任，分別負責各系統的安全審計，并相互制約。2.完善信息安全管理制度。參照國際最佳實踐，建立一套完整的制度體系，形成省、地兩級安全管理體系。3.加強信息安全教育培訓。安全意識和相關技能的教育是企業安全管理中的重要內容。高級管理部門應當對全體員工，特別是中高級管理人員進行信息安全管理制度培訓，強化信息安全意識。

（二）電力信息安全技術措施。1.加強網絡信息安全基礎設施建設。建立電力企業信息系統物理各環境的安全目標防止對企業工作場所和信息的非法訪問、破壞和干擾或避免造成資產的流失、受損。建立省電網級認證授權中心，提供目錄服務、身份管理、認證管理、訪問管理等功能，實現主機系統、網絡設備、安全設備、應用系統等的統一身份認證管理。對電力企業重要網絡設備配置文件進行完整性檢查保護，防止主機系統及網絡設備配置文件的篡改，對系統文件遭到修改及破壞可以及時發現修復。2.網絡控制技術。網絡控制是網絡安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和非法訪問。主要包括：（1）防火墻技術。（2）審計技術。（3）訪問控制技術。（4）安全協議。3.備份恢復技術。備份恢復技術主要包括備份技術、冗余技術、容錯技術和不間斷電源保護4個方面的內容。備份恢復與容災中心具有關聯性，建立容災中心的單位應每年至少進行一次災備恢復的演練，沒有容災中心的單位應將營銷、生產、財務等核心數據定期進行異地備份，并定期進行備份恢復演練，提升應對自然災害的能力。

四、結束語

篇7

鉆研技術 開拓市場

經過十多年的技術累積和市場開拓，伊時代客戶群已囊括政府、軍工、金融、電信、電力、教育、醫院、科研機構等機關/企事業單位，同時積極嘗試開拓海外市場。公司建立了以北京、上海、南京、福州為核心點輻射全國三十多個省的業務和支撐平臺，擁有多個產學研共建實驗室，強大的服務團隊已形成以信息安全技術和海量數據技術為主的核心競爭優勢。

隨著公司的不斷發展，公司已擁有員工近300人，擁有價值5000萬元的軟硬件研發、試驗設備和機房建設投入、大型軟件設計和測試平臺、大型軟件分析與設計建模平臺、網絡數據庫平臺和100M獨享主桿網光纖等雄厚的軟硬件實力，同時擁有一座超過1萬平方米的獨立研發大樓（福州總部），其座落在美麗的福州經濟技術開發區。信達資本為公司的戰略投資方、第二大股東。

班底扎實 技術可靠

篇8

一、國家電網公司信息安全的特點：

1.規模大：國家電網公司信息系統信息安全涉及電網調度自動化、生產管理系統、營銷管理系統、供電服務、電子商務、協同辦公、ERP等有關生產、經營和管理方面的多個領域，是一個復雜的大型系統工程；

2.點多面廣：國家電網公司下屬單位多、分布范圍廣，網絡更加復雜，對如何保證邊界清晰、管理要求實時準確落實等方面提出了更高的要求；

3.智能電網：同時隨著智能電網的建設，網絡邊界向發電側、用戶側延伸覆蓋至智能電網各環節，具有點多、面廣、技術復雜的特點，信息安全風險隱患更為突出；

4.新技術廣泛應用：云計算、物聯網、大數據等新技術的不斷引入，對公司信息安全構成了新的挑戰。

二、國家電網公司信息安全保護總體思路：

堅持“三同步”、“三個納入”、“四全”、“四防”，信息安全全面融入公司安全生產管理體系。多年來，嚴格貫徹國資委、公安部、國家電監會工作要求，在國家主管部委、專家的指導幫助下，公司領導高度重視信息安全工作，堅持兩手抓，一手抓信息化建設，一手抓信息安全：

1）堅持信息安全與信息化工作同步規劃、同步建設、同步投入運行的“三同步”原則；2）堅持三個納入，等級保護納入信息安全工作中，將信息安全納入信息化中，將信息安全納入公司安全生產管理體系中；3）按照“人員、時間、精力”三個百分之百的原則、實現了全面、全員、全過程、全方位的安全管理；4）全面加強“人防、制防、技防、物防”的“四防”工作，落實安全責任，嚴肅安全運行紀律，確保公司網絡與信息系統安全。

三、國家電網公司信息安全保護工作機制：

按照國家等級保護管理要求，結合電網企業長期以來的安全文化，建立了覆蓋信息系統全生命周期的54項管理措施，形成了8項工作機制：

公司按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則，公司各級單位成立了信息化工作領導小組，統一部署信息安全工作，逐級落實信息安全防護責任。

1）信息化管理部門歸口管理本單位網絡與信息安全管理。2）網絡與信息系統建設、運維和使用部門分別負責信息系統建設、運行維護和使用環節的網絡與信息安全保障。3）業務部門在業務分管范圍內協助做好相關系統的安全管理的檢查監督和業務指導。4）總部、分部及公司級信息安全督查隊伍負責開展信息安全技術督查。5）各單位與總部簽定保密責任書和員工承諾書，建立自上而下、層層負責的保密責任體系。6）“不上網、上網不”。嚴禁計算機與信息內外網連接；嚴禁在連接外網的計算機上處理、存儲信息；嚴禁信息內網和外網計算機交叉使用；嚴禁普通移動存儲介質在內網和外網交叉使用；嚴禁掃描儀、打印機等計算機外設在內網和外網上交叉使用。7）技防：內外網強邏輯隔離+部署安全移動存儲介質+安裝桌面計算機監控系統+安裝企業級防病毒系統+360衛士防護軟件+對互聯網出口+外網郵件內容+門戶網站內容進行監控8）人防：培訓競賽+警示教育+檢查+責任追究+《信息安全管理手冊》+《信息系統安全典型案例手冊》9）物防：保密管理系統，保密機及介質統一備案

四、國家電網公司信息安全的督察體系

建立公司級、省級兩級信息安全技術督查體系，依托中國電科院、省電科院信息安全技術隊伍，獨立于日常安全建設和運行工作，有效監督檢查、督促公司信息安全管理、技術要求和措施落實，及時發現各層面安全隱患，快速堵漏保全，消除短板，支撐公司網絡與信息系統安全防御體系有效運轉。

1）兩級共計502人的信息安全技術督查隊伍。2）開展常態、專項、年度和高級督查工作。3）督查覆蓋各級單位，延伸至信息系統生命周期各環節。4）建立閉環整改、紅黃牌督辦、督查通報、群眾舉報等督查工作機制。5）充實督查技術裝備，加強人員技能培養。6）2005年，電監會5號令，確立“安全分區、網絡專用、橫向隔離、縱向認證”的二次系統安全防護策略；。7）2007年，公司制定“雙網雙機、分區分域、等級防護、多層防御”的管理大區信息安全縱深防御策略。8）2010年，深化等級保護安全設計技術要求，結合智能電網防護需求深化完善，形成“雙網雙機、分區分域、安全接入、動態感知、全面防護”的管理大區信息安全主動防御策略。

五、國家電網公司信息安全的技術措施

1.信息安全的總體架構

a.雙網雙機。已完成信息內外網獨立部署服務器及桌面主機，并安裝安全防護措施。b.分區分域。依據等保定級情況及系統重要性，已基本實現各類邊界、安全域的劃分及差異化防護。c.安全接入。已實現對接入信息內外網各類終端采用安全加固、安全通道、加密、認證等措施，確保接入邊界、終端及數據安全。d.動態感知。不斷完善內外網安全監測與審計，實現事前預警、事中監測和事后審計。e.全面防護。對物理、網絡邊界、主機、應用和數據等進行深度防護，加強安全基礎設施建設，覆蓋防護各層次、各環節、各對象。

2.信息安全的邊界安全

公司網絡劃生產控制大區和管理信息大區，同時在管理信息大區的基礎上進一步劃分信息內網和信息外網，形成“兩個大區、九大邊界”。針對信息內網邊界重點區域進一步制定安全防護策略。a.內外網隔離策略：四特定特定業務應用、特定數據庫、特定表單、特定操作指令。b.內網邊界安全接入策略：五限制內網安全終端、無線加密專網、數據傳輸加密、交互操作固定、終端入網檢測c.第三方專線接入防護策略：五專用專線連接、專區接入、特定內容交互、專機專用、專用程序、邊界防護-邏輯強隔離設備。d.邊界防護-內網安全接入平臺。

1）保障非公司信息內網區域終端以安全專網方式接入信息內網；2）設備接入認證；3）數據隔離交換；4）實時安全監測；5）數據安全檢查。

3.信息安全的安全檢測

外網監測-信息外網安全監測系統。對互聯網出口網絡攻擊事件、網絡流量、敏感信息、病毒木馬、用戶上網行為、信息外網桌面終端安全態勢進行實時監測與深度分析，日均監測并阻截外網邊界高風險惡意攻擊達2000余次，及時掌握全網互聯網出口和信息外網實時安全態勢。內網監測-信息運維綜合監管系統對網絡設備、383個骨干網節點、近400個業務指標。

1）內網邊界實時監控2）網絡設備、流量實時監控3）主機安全實時監控4）應用運行狀態實時監控5）桌面終端標準化管理。

4.信息安全的數據保密

篇9

【關鍵詞】企業網絡 深度防御 安全管理

信息技術快速發展，計算機網絡的應用日益廣泛，企業的生產和管理越來越依賴于網絡。但是，網絡本身所具有的一些比如聯結性、開放性等屬性，導致其難以徹底避免一些惡意行為的攻擊。一方面給企業帶來巨大的利益損失，另一方面也影響了企業正常生產辦公。因此，怎樣提升企業網絡的可靠性，逐步受到企業管理者的重視。

一、企業網絡系統的安全現狀

隨著企業信息化管理的發展，企業的網絡規模也在持續增加，隨之增大的是企業網絡的信息安全風險。由于企業在網絡建設方面的投入，新的信息終端和交換設備不斷增加，因此其內部網絡所受安全事件的威脅的幾率也在隨時增大，大型的企業往往具有不少的分支機構，造成了網絡設備分布的地理位置比較分散，網內計算機安全問題亟待解決，這是所有大型企業必須面對的問題。所以，企業必須構建一套信息安全管理軟件，才能實時監控網絡內部的各終端設備，使之受到盡可能小的安全威脅。此外，無論是核心網絡還是分支部門的網絡，都必須定期進行統一的補丁分發與移動存儲管理，以保障基本的信息安全。

二、企業網絡安全實現的目標

結合現階段企業內部網絡的安全現狀，企業網絡安全需實現的目標至少包括：嚴密監視來自業務支撐網外部的各種類型訪問，必須掌握每一次訪問的來源、所讀取的具體對象和訪問的具體類型，一方面支持合法訪問，另一方面杜絕非法訪問；對異常訪問能夠做到預防和處理；對流經支撐網內的所有數據包進行有效監控，實時分析這些數據包的協議類型、目的地等，從而防止信息安全隱患。有效監控的內容有：對網絡中的黑客入侵行為進行檢測；對各種主機設備的數據流量進行實時分析，實現信息安全的動態防護；結合具體的標準和方法對企業內部網絡信息安全進行周期性評估，及時補救網絡安全弱點，排查安全隱患。

三、企業網絡安全系統的設計及實現

（一）安全規則層的設計

在這一層次中，為了保證企業內部運營中的網絡資源及客戶機的安全，首先結合企業實際情況，定義一系列規則，當發生違反這些規則的網絡行為時，則觸發系統的風險應急機制。在制定規則時，對每一類網絡行為對企業信息安全造成的風險歸納為不同的等級。制定這些等級的一句是該企業運營對這些信息在機密性、可用性、完整性及不可抵賴性的具體要求。在所指定的等級之下對企業信息安全造成威脅的行為進行分類。

與此同時，對攻擊所帶來的風險進行等級劃分，依次劃分為低級風險、中級風險與高級風險。所謂低風險，指的是網絡系統遭受入侵之后，并不會造成任何資金流失，也不會擾亂運營管理。所謂中級風險，指的是網絡系統遭受入侵之后，會造成輕度資金流失，在一定程度上擾亂運營管理。所謂高級風險，指的是網絡系統遭受入侵之后，會造成比較明顯的資金流失，極大程度地擾亂運營管理。

（二）安全措施層的設計

在這一層次中，主要設定在網絡安全之下所具體選用的安全技術與采納的實施方法，結合企業信息系統的安全目標，結合安全規則層所指定的安全事件和安全等級，給出有針對性的解決方案。安全措施層對于一種類型的安全行為可以給出多個安全方案，舉例來講，在發現有用戶進行非法授權的訪問操作時，一個可能是由于遭受了網絡攻擊，另一個可能則是用戶的誤操作。此時可以采取的方案包括對用戶發出警告、阻止連接和強制關閉主機等。

（三）安全決策層的設計

在這一層次中，主要任務是結合具體的方案來解決信息系統安全問題。依舊延續安全措施層的實例，當用戶的非法授權訪問時首次發生的，則方案（1）對用戶發出警告則可以解決；而假若該用戶反復進行非法訪問，則方案（3）強制關閉主機效果最好。

四、企業網絡安全解決方案實例

本文選擇安全防御系統中相對重要的功能模塊--重定向模塊，并闡述其具體設計方法。企業網絡在遭受外界攻擊時，首先丟失的是被黑客掃描竊取的內部主機的操作系統、服務、端口等信息。在獲取這些信息之后，便會通過緩沖溢出或者蠕蟲等方法找到主機本身所存在的安全漏洞，對主機系統進行操縱。本文引入蜜罐技術，所設計的重定向模塊的主要功能便是在攻擊發生的初期，快速隔斷為企業網絡帶來安全威脅的連接。具體實現方法為，該模塊首先在網絡驅動接口規范中間層進行數據過濾，獲取從外部流進企業內網主機的數據包，針對具體類型的端口，以網絡主機事先所維護的可疑端口表，對這些數據包進行過濾，一旦找到對可疑端口進行訪問的數據包，則將其判定為一次可疑訪問，此時，修改該數據包的相關參數和屬性，同時，把此次訪問列為可疑訪問，并引導進通信隊列之中，這些數據包直接越過系統的上層協議，轉發至蜜罐來繼續跟蹤和分析。以相同的方法將蜜網所反饋的數據處理后發送給可能的攻擊者。

為了使蜜罐系統能夠有更加逼真的模擬效果，本設計在蜜罐系統上完全仿照實際網絡系統的主機而部署相同的OS、協議棧、以及相關服務，從而在最大限度上使蜜罐與實際系統中的客戶機或服務器相類似。具體的操作為，啟動蜜罐設置系統，進入蜜罐的配置菜單。

在進行配置的時候，使用蜜罐系統所提供的menu命令進入界面，結合企業網絡的實際特征，本文所配置的內容有：管理機IP、蜜罐IP、TCP連接以及Secure Shell管理連接等。然后在蜜罐系統對客戶機進行模擬，并配置諸如辦公軟件等常用軟件，對服務器進行模擬，開通各類網絡應用服務，從而基于典型服務端口來對多個可以訪問進行引誘。同時，出于進一步迷惑網絡攻擊者的目的，還要設置成允許網絡攻擊者進行更多的操作，而蜜罐系統中并未存儲企業真正的數據與信息。在對具體連接方式進行設置的時候，通過custom使之能夠鏈接vmnet2，并通過蜜罐系統抵達外網。在安裝Sebek時，考慮到其Linux版本與Windows版本，分別進行不同安裝文件的配置。

總之，企業在日常的信息化管理中，必須通過合理有效的安全措施，來避免由于網絡安全而帶來的不必要經濟損失。

篇10

關鍵詞：APT攻擊；網絡安全；入侵檢測

中圖分類號：TP393.08

1 概述

1.1 什么是APT

APT（Advanced Persistent Threat）高級持續性威脅這種新攻擊方式在2010年Google承認遭受嚴重黑客攻擊之后逐漸被大家熟知，并且已經造成了嚴重破壞，成為近幾年來網絡安全最為熱門的話題，這種攻擊行為具有極強的隱蔽性，攻擊對象通常是政府、軍隊、金融、能源、運營商、大企業網絡。

近幾年世界各地發生了多起名噪一時的APT攻擊事件，主要有：2010年1月，極光行動（Operation Aurora）攻擊GMail。2010年7月，震網（Stuxnet）攻擊伊朗布什爾核電站。2011年5月，美國軍火大廠洛克希德馬丁（Lockheed Martin）的被入侵。2011年6月，CIA被入侵。2011年11月，日本總務省發現計算機遭木馬入侵已三個月。2012年3月，央視3.15晚會曝光招商銀行、中國工商銀行、中國農業銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。

APT攻擊與普通攻擊兩者并無本質的區別，都是網絡攻擊行為，但前者相對于后者主要體現在攻擊三要素就是“APT”，但不是“Advanced Persistent Threat”而是“Advanced Persistent Targeted”，即針對性、高級性、持續性攻。

A：攻擊手段高級，由于攻擊過程的高難度，決定了攻擊手段必須高級，主要體現在人力、物力及財力的大量投入和高級技術的大量運用。

P：攻擊過程時間長，由于攻擊過程的高難度性決定了要尋找機會進行縱向突破攻擊目標網絡，再進行橫向摸索滲透，為了避免暴露需隱藏在目標網絡正常行為中，整個過程需要經歷數月甚至數年。

T：攻擊目標、目的明確，攻擊目標通常都具有深厚背景，包括政府、軍隊、金融、能源、運營商、大企業等組織，攻擊目的通常都是竊取、控制、破壞攻擊目標所掌握的重要資源。

1.2 APT攻擊典型案例

極光行動（2009-2010）。針對GOOGLE等三十多個高科技公司的極光攻擊。攻擊者通過FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個員工和他的一個喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的電腦，然后偽造了一個照片服務器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發送IM消息邀請他來看最新的照片，其實URL指向了這個IE 0DAY的頁面。GOOGLE的員工相信之后打開了這個頁面然后中招，攻擊者利用GOOGLE這個員工的身份在內網內持續滲透，直到獲得了GMAIL系統中很多敏感用戶的訪問權限。竊取了MAIL系統中的敏感信息后，攻擊者通過合法加密信道將數據傳出。事后調查，不止是GOOGLE中招了，三十多家美國高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣的安全廠商。

1.3 APT攻擊過程

（1）信息搜集。攻擊過程首先要了解攻擊目標，主要包括目的組織的網絡系統和人員信息，主要途徑是現實生活世界和虛擬網絡世界。從目前所發現的APT攻擊手法來看，大多數APT攻擊都是從組織人員入手，搜集人員的信息，然后攻擊該人員電腦，從而進入目標組織網絡；（2）縱向攻擊突破。攻擊者在掌握了攻擊目標的足夠信息之后，就開始尋找機會進入目標組織網絡。攻擊的途徑包括外部（外部滲透攻擊或者外部誘騙攻擊）和內部（間諜攻擊或物理擺渡攻擊）突破。攻擊方法包括：社會工程學方法、遠程漏洞攻擊方法、物理擺渡攻擊及間諜攻擊等；（3）隱蔽信道構建。攻擊者控制了電腦后，需要構建某種隱蔽信道長期與其保持聯系，發出攻擊指令及數據回傳。為了避免被發現，通常會采用合法網絡協議搭建隱蔽信道，包括HTTP、HTTPS、DNS、ICMP協議等；（4）橫向摸索滲透；首先攻入的人員電腦只是跳板，通過跳板進行橫向滲透找到目標的重要資源。（5）完成最終攻擊目的。通過長期摸索滲透得到重要資源的控制權限后，就可以完成最終目的，包括操控、破壞、竊取資源。

2 APT攻擊防范四大策略

國內外很多廠商都提出了自己的APT防范策略和解決方案，可以概括為四類：（1）主機文件保護類。多數APT攻擊行為都是以攻擊目標內部人員的主機為跳板，因此如果能夠確保終端的安全則可以有效防止APT攻擊。主要思路是監控終端上應用程序加載和執行情況，采用白名單機制防止惡意代碼程序的加載和運行；（2）惡意代碼檢測類。主要是通過對網絡出口處設置關卡，對所有通過的郵件、URL、共享文件等進行掃描及分析，防止惡意、未知代碼進入內部網絡，最終阻止APT攻擊的縱向突破；（3）入侵檢測類。攻擊者需建立隱蔽信道用于長期控制及橫向摸索滲透，通常利用HTTP、HTTPS、DNS、ICMP協議來實現，所以可以采用傳統入侵檢測方法來檢測；（4）數據分析檢測類。數據分析檢測類重點在于事后分析。該類方案通過全面采集網絡設備的流量以及終端和服務器上的日志，在一旦發現APT攻擊的蛛絲馬跡后，對這些日志數據進行關聯分析，能夠還原整個APT攻擊過程。

3 思考

目前所推出的APT檢測防御方法都具有一定的局限性，主要表現為：很多APT攻擊檢測和防御方案都只能覆蓋到APT攻擊的某個階段，從而可能導致漏報。于是我思考出一種綜合的解決方案，包括三部分內容，如下圖所示：

圖1

（1）安全網關部分。安全網關負責網絡行為數據采集、分析、控制。具體包括：入侵檢測：基于傳統的入侵檢測技術，對已知網絡攻擊進行檢測；流量審計：基于傳統的FlOW技術對網絡進/出流量進行審計；協議審計：對網絡傳輸中所使用的應用協議進行識別審計；深度分析：在協議審計的基礎上，對特定應用協議進行深度解析和分析；黑白名單：系統內置域名、IP地址、URL、代碼樣本的黑名單和白名單庫，用于快速判斷網絡行為是否存在異常，當遇到無法判斷的情況時則將提交給安全中心進行深入分析；（2）安全中心部分。安全中心主要完成三個主要功能：流量及日志等數據的采集、存儲、集成分析；惡意代碼分析；知識庫的存儲與分享；（3）安全終端部分。安全終端主要實現對終端主機行為進行監控，具體包括：黑白名單；進程監控；網絡審計。

參考文獻：

[1]張帥.對APrr攻擊的檢測與防御[J].信息安全與技術，2011（09）：125-127.

[2]陳劍鋒，王強，伍淼.網絡APT攻擊及防范策略[J].信息安全與通信保密，2012（07）：16-18.