導語：如何才能寫好一篇網絡安全制度體系建設，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

本文闡述了國內煙草企業面對的網絡信息安全的主要威脅，分析其網絡安全防護體系建設的應用現狀，指出其中存在的問題，之后，從科學設定防護目標原則、合理確定網絡安全區域、大力推行動態防護措施、構建專業防護人才隊伍、提升員工安全防護意識等方面，提出加強煙草企業網絡安全防護體系建設的策略，希望對相關工作有所幫助。

關鍵詞：

煙草企業；網絡安全防護；體系建設

隨著信息化的逐步發展，國內煙草企業也愈加重視利用網絡提高生產管理銷售水平，打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時，也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此，越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。

1威脅煙草企業網絡信息體系安全的因素

受各種因素影響，煙草企業網絡信息體系正遭受到各種各樣的威脅。

1.1人為因素

人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊，這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一種是被動攻擊，他是在不影響網絡正常工作的情況下，進行截獲、竊取與破譯等行為獲得重要機密信息。

1.2軟硬件因素

網絡安全設備投資方面，行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位，但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的，如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件，其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦被破解，其造成的后果將不堪設想。另外，各種新型病毒發展迅速，超出防火墻屏蔽能力等，都使企業安全防護網絡遭受嚴重威脅。

1.3結構性因素

煙草企業現有的網絡安全防護體系結構，多數采用的是混合型結構，星形和總線型結構重疊并存，相互之間極易產生干擾。利用系統存在的漏洞和“后門”，黑客就可以利用病毒等入侵開展攻擊，或者，網絡使用者因系統過于復雜而導致錯誤操作，都可能造成網絡安全問題。

2煙草企業網絡安全防護體系建設現狀

煙草企業網絡安全防護體系建設，仍然存在著很多不容忽視的問題，亟待引起高度關注。

2.1業務應用集成整合不足

不少煙草企業防護系統在建設上過于單一化、條線化，影響了其縱向管控上的集成性和橫向供應鏈上的協同性，安全防護信息沒有實現跨部門、跨單位、跨層級上的交流，相互之間不健全的信息共享機制，滯后的信息資源服務決策，影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計，致使信息化建設未能形成整體合力。

2.2信息化建設特征不夠明顯

網絡安全防護體系建設是現代煙草企業的重要標志，但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合，對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標，缺乏宏觀角度上的溝通協調，致使在信息化建設中，業務、管理、技術“三位一體”的要求并未落到實處，影響了網絡安全防護的效果。

2.3安全運維保障能力不足

缺乏對運維保障工作的正確認識，其尚未完全融入企業信息化建設的各個環節，加上企業信息化治理模式構建不成熟等原因，制約了企業安全綜合防范能力與運維保障體系建設的整體效能，導致在網絡威脅的防護上較為被動，未能做到主動化、智能化分析，導致遭受病毒、木馬、釣魚網站等反復侵襲。

3加強煙草企業網絡安全防護體系建設的策略

煙草企業應以實現一體化數字煙草作為建設目標，秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則，始終堅持兩級主體、協同建設和項目帶動的模式，按照統一架構、安全同步、統一平臺的技術規范，才能持續推動產業發展同信息化建設和諧共生。

3.1遵循網絡防護基本原則

煙草企業在建設安全防護網絡時，應明白建設安全防護網絡的目標與原則，清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分，不同區域的防御體系應具有針對性，相互之間邏輯清楚、調用清晰，從而使網絡邊界更為明確，相互之間更為信任。要對已出現的安全問題進行認真分析，并歸類統計，大的問題盡量拆解細分，類似的問題歸類統一，從而將復雜問題具體化，降低網絡防護工作的難度。對企業內部網絡來說，應以功能為界限來劃分，以劃分區域為安全防護區域。同時，要不斷地完善安全防護體系建設標準，打破不同企業之間網絡安全防護體系的壁壘，實現信息資源更大程度上的互聯互通，從而有效地提升自身對網絡威脅的抵御力。

3.2合理確定網絡安全區域

煙草企業在使用網絡過程中，不同的區域所擔負的角色是不同的。為此，內部網絡，在設計之初，應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時，對生產、監管、流通、銷售等各個環節，要根據其業務特點強化對應的網絡使用管理制度，既能實現網絡安全更好防護，也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時，不能以偏概全、一蹴而就，應本著實事求是的態度，根據企業實際情況，以現有的網絡安全防護為基礎，有針對性地進行合理的劃分，才能取得更好的防護效果。

3.3大力推行動態防護措施

根據網絡入侵事件可知，較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此，煙草企業在構建網絡安全防護體系時，應根據不同的威脅形式確定相應的防護技術，且系統要能夠隨時升級換代，從而提升總體防護力。同時，要定期對煙草企業所遭受的網絡威脅進行分析，確定系統存在哪些漏洞、留有什么隱患，實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制，在系統遭受重大網絡威脅而癱瘓時，確保在最短的時間內恢復系統的基本功能，為后期確定問題原因與及時恢復系統留下時間，并且確保企業業務的開展不被中斷，不會為企業帶來很大的經濟損失。另外，還應大力提倡煙草企業同專業信息防護企業合作，構建病毒防護戰略聯盟，為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。

3.4構建專業防護人才隊伍

人才是網絡安全防護體系的首要資源，缺少專業性人才的支撐，再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強，既要熟知信息安全防護技術，也要對煙草企業生產全過程了然于胸，并熟知國家政策法規等制度。因此，煙草企業要大力構建專業的網絡信息安全防護人才隊伍，要采取定期選送、校企聯訓、崗位培訓等方式，充分挖掘內部人力資源，提升企業現有信息安全防護人員的能力素質，也要積極同病毒防護企業、專業院校和科研院所合作，引進高素質專業技術人才，從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。

3.5提升員工安全防護意識

技術防護手段效果再好，員工信息安全防護意識不佳，系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心，統一對企業網絡安全防護系統進行管理培訓，各部門、各環節也要設立相應崗位，負責本崗位的網絡使用情況。賬號使用、信息、權限確定等，都要置于信息管理培訓中心的制約監督下，都要在網絡使用制度的規則框架中，杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育，提升其網絡安全防護意識，使其認識到安全防護體系的重要性，從而使每個人都能依法依規地使用信息網絡。

4結語

煙草企業管理者必須清醒認識到，利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨，絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰，以實事求是的態度，大力依托信息網絡安全技術，構建更為安全的防護體系，為企業做大做強奠定堅實的基礎。

參考文獻：

［1］楊波.基于安全域的煙草工業公司網絡安全防護體系研究［J］.計算機與信息技術,2012(5).

［2］賴如勤,郭翔飛,于閩.地市煙草信息安全防護模型的構建與應用［J］.中國煙草學報,2016(4).

篇2

企業按照分級部署網絡版殺毒及管理軟件等終端計算機安全軟件，做到每臺計算機可管理可控制，并掌握整體終端計算機安全動態。通過桌面安全軟件部署，保證病毒定義碼和補丁更新，也可自動分發企業定制的安全策略，如安全基線設置、違規接入審計、系統補丁等，保證企業信息安全政策連貫執行，達到統一標準。

2運行環境安全

在終端計算機安全防護體系建設中，運行環境至關重要。運行環境主要有物理環境、網絡環境等。本文主要介紹網絡環境，在網絡環境中給終端計算機加幾把鎖，把握其方向軌跡和動態。

2.1IP地址固定

在網絡中，IP地址固定可以解決信息安全事故溯源、IP地址沖突、準確掌握上網計算機數量等問題。實施中通過管理和技術相結合的辦法，技術上在網絡設備里通過DHCPSnooping和A－CL列表，實現IP和MAC地址綁定。

2.2控制上互聯網計算機

因工作性質和安全考慮,部分終端計算機僅處理企業內部業務不需上互聯網。因此加大終端計算機上互聯網權限審核力度，技術上實施是在IP地址固定的前提下，在網絡設備通過訪問控制列表ACL或者互聯網出口安全設備里進行配置。

2.3部署準入設備

為保證網絡安全，在網絡邊界或內部部署準入設備，設立終端計算機入網規則，如必須安裝企業桌面安全軟件和配置安全基線等等，通過進程檢測合規后入網或可訪問關鍵業務。

2.4部署內容審計系統

在互聯網出口邊界部署內容審計系統，在線對終端計算機訪問互聯網的行為進行2~7層的識別，可進行關鍵字的設置過濾、URL過濾，對于計算機的互聯網行為做到可控制、可管理、可審計，以保證網絡信息的安全。

2.5部署服務器

為保證終端計算機上網安全，一般建議在互聯網出口設置服務器，用戶通過服務器訪問互聯網。通過服務器訪問互聯網可以提高訪問速度，方便對用戶行為進行管理和審計，起到防火墻作用，保護局域網安全。

3安全管理

三分技術七分管理，是終端計算機安全防護體系建設的準繩。在自身系統和運行環境建設中，技術操作都是通過管理來實施的，因此形成一套安全管理機制并始終貫徹運行，是十分重要的。

3.1建立終端計算機管理制度

建立終端計算機管理制度也是終端計算機安全防護體系建設的組成部分和重要措施，如《計算機信息系統管理》《計算機安全管理實施細則》《計算機工作考核評比細則》《計算機保密管理規定》《信息化考核體系》等都是非常重要的制度，通過建立健全這些制度，形成信息化考核機制，使得終端計算機安全工作有章可循。

3.2提高計算機安全管理的力度和深度

在企業計算機安全管理管理中，管理人員首先要提高各級領導和員工網絡安全重視程度，其次定期通過各種手段完成終端計算機安全檢查工作，如通過桌面安全系統、審計系統檢查計算機違規行為，根據規定實施處罰等，最后安全管理人員要主動識別和評估安全風險，制定和落實安全整改措施，確保終端計算機持續安全穩定運行。

3.3建設完整的計算機實名庫

通過建設終端計算機實名庫，掌握計算機管理動態，實現計算機資產管理，給領導提供決策依據。實名庫建設可采用各單位簽字蓋章上報、在桌面安全管理系統里注冊、定期現場抽查等，從而完成終端計算機實名庫的建設。

3.4建立網絡建設標準

通過網絡建設標準的建立，保障終端計算機安全運行環境，也加強了桌面安全防護體系在網絡體系建設中的作用。

3.5建設一支過硬的信息化隊伍

在企業中，建立信息安全組織架構、明確組織責任、設置相應崗位，建立一支過硬的專業信息化安全隊伍,切實加強計算機管理、維護終端計算機安全。

4結語

篇3

【關鍵詞】電子政務 信息安全 體系建設

當前我國交通電子政務實施過程的兩大矛盾的解決，依賴于安全、穩定、可靠的交通運輸電子政務平臺信息安全保障體系。對于電子政務平臺實施過程中所面臨的信息安全保障問題，我國早在2003年9月頒發的《關于加強信息安全保障工作的意見》中明確提出了建立等級保護制度和風險管理體系的要求。2004年11月，公安部等國家四部委聯合推出信息安全等級保護要求、測評準則和實施指南，為政務領域進一步建立政務信息系統風險管理體系提供了技術基礎和指導。交通運輸部也于2008年12月頒布的《交通運輸電子政務網絡及業務應用系統建設技術指南》中對交通電子政務平臺的安全保障體系作了詳細的技術規范。

隨著交通政府機構的信息安全基礎建設日趨完善，建立一套信息安全管理平臺，既滿足電子政務平臺的開放性和可訪問性，又保證電子政務平臺的安全性，也日益迫切。交通電子政務信息安全保障體系可從以下幾個角度進行充分構建：

1信息安全保障體系及其基本要求

信息安全保障體系是基于PKI體系而開發的為多個應用系統提供統一認證、訪問控制、應用審計和遠程接入的應用安全網關系統，它可以將不同地理位置、不同基礎設施（主機、網絡設備和安全設備等）中分散且海量的安全信息進行樣式化、匯總、過濾和關聯分析，形成基于基礎設施與域的統一等級的威脅與風險管理，并依托安全知識庫和工作流程驅動，對威脅與風險進行響應和處理。信息安全保障體系的基本要求主要體現在以下幾個方面：

1）保密性。主要體現在誰能擁有信息，如何保證秘密和敏感信息僅為授權者享有。

2）完整性。主要體現在擁有的信息是否正確以及如何保證信息從真實的信源發往真實的信宿，傳輸、存儲、處理中未被刪改、增添、替換。

3）可用性。主要體現在信息和信息系統是否能夠使用以及如何保證信息和信息系統隨時可為授權者提供服務而不被非授權者濫用。

4）可控性。主要體現在是否能夠監控管理信息和系統以及如何保證信息和信息系統的授權認證和監控管理。

5）不可否認性。主要體現在信息行為人為信息行為承擔責任，保證信息行為人不能否認其信息行為。

總之，信息安全保障體系的基本要求主要從技術和管理兩個層面得以實現。技術層面在實現信息資源的公開性、共享性和可訪問性的同時，通過主機安全、網絡安全、物理安全、數據安全和應用安全等技術要素保障信息的安全性。管理層面則可通過安全管理機制、安全管理制度、人員安全管理、系統建設管理以及系統運營管理等規范化機制得以保障信息的安全性。

2交通電子政務平臺信息安全保障體系的構建

交通電子政務平臺的信息安全保障體系，應該由組織體系、技術體系、運營體系、策略體系和保障對象體系等共同組成。

2.1安全組織體系。政府高度重視交通運輸信息化工作的同時，堅持把“積極防御，綜合防范”放在優先位置，首先要求成立專門的信息安全領導小組。信息安全領導小組可由交通主管領導擔任領導小組組長主管信息安全工作，下設信息安全工作組，各管理部門負責人、業務部門負責人為成員。

2.2安全技術體系。交通電子政務平臺的安全技術體系可搭建專業的安全管理運營中心，并從基礎設施安全和應用安全兩個方面去搭建安全技術支撐體系。

2.3安全運營體系。交通電子政務的安全運營體系一般可由安全體系推廣與落實、項目建設的安全管理、安全風險管理與控制和日常安全運行與維護四個部分組成。安全運營體系是一個完整的過程體系，在交通電子政務平臺的整個過程中，正常的運作流程，其信息流遵循自上而下的流程，即交通上級部門根據電子政務平臺信息安全需求的目標、規劃和控制要求做計劃，下級交通部門根據計劃進行執行、檢查和改進。而若交通電子政務平臺其安全性出現威脅，影響正常的運作流程時，此時信息流則遵循自下而上的逆向過程，下級交通部門向上級部門報送安全事件，上級部門根據其安全事件進行分析、總結和改進。

2.4安全策略體系。網絡安全策略是為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和，因此信息安全策略是信息安全保障體系建設和實施的指導和依據，全面科學的安全策略體系應貫穿信息安全保障體系建設的始終。安全策略體系，主要包含安全政策體系、安全組織體系、安全技術體系和安全運行體系四個方面的要素，在采用各種安全技術控制措施的同時，必須制訂層次化的安全策略，完善安全管理組織機構和人員配備，提高安全管理人員的安全意識和技術水平，完善各種安全策略和安全機制，利用多種安全技術實施和網絡安全管理實現對網絡的多層保護，減小網絡受到攻擊的可能性，防范網絡安全事件的發生，提高對安全事件的反應處理能力，并在網絡安全事件發生時盡量減少事件造成的損失。

篇4

關鍵詞：檔案；信息安全；管理體系；

中圖分類號：G270 文獻標識碼：A 文章編號：1674-3520（2015）-01-00-01

檔案信息化是云計算環境下檔案部門加快檔案管理現代化步伐，實現檔案信息資源共享，提高工作效率，加快檔案事業發展的重要手段和基礎。順利推進云計算環境下檔案信息化建設的前提是營造一個可靠的檔案信息安全管理體系，所以構筑安全的檔案信息管理體系，必將成為檔案部門今后很長時期安全管理中不可忽視的課題。

一、建設檔案信息安全管理體系的意義

提高員工信息安全意識，提升檔案信息安全管理的水平，增強檔案系統抵御災難性事件的能力，是檔案信息化建設中的重要環節，可大幅提高信息管理工作的安全性和可靠性。有效提高對信息安全風險的管控能力，使得信息安全管理更加科學有效。

（一）檔案信息安全管理現狀

中原油田系統內聯網主要以局域網聯接，屬于油田二級單位的檔案系統的網絡環境是在油田骨干信息網絡系統上建設自己的子系統，各類系統間相互獨立，因此，檔案信息化系統面臨的威脅大體可分為兩種：1、對網絡中信息的威脅；2、對網絡中設備的威脅。

（二）影響檔案信息安全體系建設的威脅主要有二個方面：

1、外部隱患：計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網絡的潛在威脅。信息網絡化使信息公開化、信息利用自由化，其結果是信息資源的共享和互動，任何人都可以在網上信息和獲取信息，這樣，網絡信息安全問題就成為危害網絡發展的核心問題，與外界的因特網連接使信息受侵害的問題尤其嚴重。目前檔案信息的不安全因素來自病毒、黑客、木馬等方面。

2、企業局域網內部的信息安全更是不容忽視的。網絡內部各節點之間通過網絡共享網絡資源，就可能因無意中把重要的信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏，甚至存在內部人員編寫程序通過網絡進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網絡安全不僅要防范外部網，更要防范內部網。一旦低級別的數據信息出現安全問題，將直接影響核心保密信息的安全完整。

二、建設檔案信息安全管理體系的措施 通過細化檔案內部相應的安全管理體系，采取集中控制、分級管理的模式

建立起完整的安全管理體系并加以實施與保持，實現動態的、系統的、全員參與的、制度化的以預防為主的安全管理模式，從而在管理上確保全方位，多層次、快速有效的檔案信息安全防護。

（一）外部入侵的防范措施

1、網絡加密（Ipsec）IP層是TCP/IP網絡中最關鍵的一層，IP作為網絡層協議，其安全機制可對上層各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全基礎，是網絡安全核心。IPSec為網絡數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公共網絡傳輸時，不用擔心被監視、篡改和偽造。

2、防火墻。防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度，主要目標是通過控制進出網絡權限，在內部和外部兩個網絡之間建立一個安全控制點，對進出內部網絡的服務和訪問進行控制和審計，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問、干擾和破壞內部網絡資源。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效監視內部網絡和Internet之間的任何活動，保證內部網絡的安全。

（二）身份認證是網絡安全的關鍵

1、網絡安全身份認證是指登錄計算機網絡時系統對用戶身份的確認技術。是網絡安全的第一道防線，也是最重要的一道防線。黑客攻擊的目標往往就是身份認證系統，一旦身份認證系統被攻破，那么系統的所有安全措施將形同虛設。

2、訪問控制是保證信息安全的重要措施。訪問控制決定用戶可以訪問的網絡范圍、使用的協議、端口，能訪問系統何種資源以及如何使用這些資源。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予權限限制其對資源的利用范圍和程度。

三、建立部門信息員體系，強化事件管理與應急管理機制

檔案系統應在所屬各部門內部設立兼職信息員管理網絡，當系統發生安全事件時，能夠及時為應用業務提供保護，并嚴格按照相關程序，謹慎披露安全事件信息，避免不良影響。

計算機受故障影響、遭受病毒等攻擊是不可能完全避免的，部門信息員能在第一時間向所屬信息部門上報網絡安全情況，并能夠按應急方案，處理流程，采取相應的技術措施將網絡安全隱患化解。

在部門設立信息員還可以定期對應急計劃相關的備份與恢復流程進行可靠性測試，并可有的放矢的對三級單位網絡關四、加強安全教育培訓，深化檔案系統內部管理

（一）定期對信息系統運行、使用和管理的管理人員和技術人員進行培訓，主要內容包括安全事件和安全案例分析總結、安全價值觀、國家相關法律法規、國際國內標準、種類安全戰略、安全制度、網絡和主機設備安全配置管理、網絡攻擊與防御、安全體系、防病毒技術、入侵檢測技術、安全管理技術、防火墻技術、認證與加密技術等。

（二）加強人員安全管理，特別是信息管理系統用戶的管理和核心運行維護人員的管理。對于關健崗位人員要進行技術類、個人技能類和安全價值觀的培訓。對一般計算機系統用戶進行基本安全技能和安全文化教育。

篇5

【關鍵詞】內網建設 疾控中心 信息安全

隨著計算機技術的快速發展，信息網絡系統在疾控系統中得到良好應用，為疾控系統的發展提供了良好的外部展示和溝通平臺，提高了工作效率，奠定了疾控現代化的基礎。計算機技術在給人帶來便利的同時也存在不少隱患，計算機硬件故障、網絡癱瘓、網絡運行故障等都為網絡帶來了巨大的風險，同時由于互聯網的開放性、自由性、國際性等特點，一旦出現數據丟失、數據破壞等現象，就會帶來不可估量的損失。因此，要推進內網安全保障體系建設并將其更好地應用于疾控系統中就需要有效實施內網建設和為信息化安全技術提供安全保障。

1 網絡系統安全技術的風險分析

1.1 技術風險

技術風險是指在網絡運行安全方面的風險，主要包括網絡結構風險、操作系統風險、應用安全風險和管理安全風險。目前疾控系統中存在著網絡建設體系不完善、拓撲結構搭建不合理、關鍵設備未考慮冗余、機密電腦直接與因特網連接、網絡資源配置不科學合理、未將網絡系統按應用劃分不同網段、硬件設備使用維護不當、操作系統本身存在的漏洞、業務軟件不夠完善存在重大缺陷或漏洞、技術人員綜合素質較低等問題，使信息安全得不到應有的保障。其中，網絡安全風險主要表現在非授權訪問、冒充合法用戶、數據完整性被破壞、系統正常運行擾、病毒與惡意攻擊、線路被竊聽等方面。由于疾控中心網絡需要與Internet連接以進行業務活動，在信息共享的同時也存在被攻擊的危險。Internet的基本協議時TCP/IP協議，該協議強調開放性和便利性，存在安全隱患，TCP協議運用三次握手建立連接，其中第三次握手報文僅僅只是應答，攻擊者可以通過監聽前兩次響應方報文，再假冒連接方發送報文，得到響應方響應后再假冒響應方向連接方發送響應方發硬報文，如此一來，攻擊者便可借此插入有害數據，對網絡安全造成極大破壞。

2 內網信息安全保障體系建設探討

2.1 服務器方面的安全策略

服務器必須安置在標準化機房中，機房應采取雙路供電，有條件可配備監控管理系統以便于對電量、電壓、溫度、濕度等環境信息和進出人員進行實時監控，及時掌控相關信息以備不時之需，同時要定期對機房環境進行評估，評估標準包括溫度、濕度、噪音控制、電磁強度、防塵埃、防雷與接地、防火、防盜等，防患于未然。對于服務器本身也需要樹立評估制度并定期進行安全評估，對服務器的評估內容應包括硬件和操作系統的定期檢測和升級，對于不必要的服務和端口可禁用、殺毒軟件狀況和病毒庫版本、定期查看系統日志等。對于服務器中的數據要進行多次備份，包括但不限于多介質備份、異地備份等，從而為數據安全提供保障。

2.2 網絡設備方面的安全策略

根據設備的重要程度定期對網絡設備硬件進行檢查和維護，軟件需要定期進行升級，重要網絡配置需要定期進行備份，對網絡拓撲圖、各信息接入點位置等重要信息做好記錄，以保證在出現故障時快速定位以排除故障。要對整個網絡的運行情況進行實時監測，根據制定的規則跟蹤記錄網絡活動，定期對各活動記錄進行查詢和分析，檢查是否存在非法利用網絡資源、網絡資源配置不合理、泄密、信息系統破壞等安全問題，及時解決問題以保障網絡信息安全性。

2.3 終端用戶方面的安全策略

信息網絡系統管理的重點之一是終端用戶，由于工作人員個人操作水平、設備配置等各方面情況不一，因此需要對用戶配置固定IP地址，根據業務內容和范圍劃分不同網絡時段并分配相應的網絡訪問權限，所有用戶必須登記在案，新用戶需要在提交申請通過后才能獲得網絡訪問權限，定期對工作人員展開技術和安全培訓，提高工作人員技術水平和安全意識，進一步確保信息網絡安全性。

2.4 業務系統方面的安全策略

業務系統的安全策略應以系統級安全、程序資源訪問控制、功能性安全和數據域安全四個方面為切入點，制定業務系統管理和使用辦法。由于疾控中心涉及業務種類繁雜，各部門工作職能和職責范圍不盡相同，因此系統管理員要根據具體的崗位和職責分配權限，該權限只能用于相應的模塊和功能。所有應用軟件必須通過相應的軟件測試，對軟件認證部分的數據進行加密，軟件投入使用后定期使用殺毒軟件進行檢查，例如金山、瑞星、卡巴斯基等，及時發現軟件漏洞并進行更新，同時對軟件使用者信息進行檢測，記錄軟件使用者的具體信息，保留使用痕跡。同時應用防火墻和入侵檢測系統，安裝在內部受保護的網絡連接到外部Internet節點上，從內部網或者互聯網上進行的活動，比如文件傳輸、收發電子郵件、搜索等必須通過防火墻，過濾經過的數據信息的攻擊行為，避免各類攻擊行為通過互聯網活動到達目標設備。

2.5 內外網物理隔開

根據國家保密局頒布的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定，為了保證內部網不會受到來自外部公共網絡的惡意攻擊，內部網與公共網必須實行物理隔離。物理隔離技術的工作原理是明確定義正常業務傳輸和交換的合法數據，將合法數據列入“白名單”，在兩方網絡邊界僅允許“白名單”上的數據通過，未列入“白名單”的數據無法通過。這一機制可通過專用硬件固化形成專門的物理隔離裝置，改善傳統物理隔離技術的被動性，從消極仿佛變為主動防御。

3 結束語

信息系統安全工作貫是疾控系統現代化建設的重要內容，任重而道遠，需要給予足夠的重視，時刻關注各類新技術發展情況并不斷學習，完善各項管理制度以更好地應對隨著新技術的發展而涌現出的新的安全隱患，以將內網建設更好地運用于集控系統中。

參考文獻

[1]周瑩，王磊，聶武等.內網建設信息安全的保障及在疾控系統中的應用[J].中國工業醫學雜志，2012，02：157-158.

[2]丁焰.內網信息安全保障體系建設探討[J].硅谷，2013，16：129+121.

[3]張靳冬，錢建東，潘明珠.疾控中心信息網絡系統安全建設策略探討[J].現代預防醫學，2013，16：3054-3055+3058.

篇6

關鍵詞：醫院；信息化；網絡；安全

中圖分類號：TP309.2

隨著醫改的不斷深入，借助信息化提高醫院的管理水平和服務質量已成為大勢所趨，伴著網絡技術的迅猛發展，Web化應用呈現出爆發式增長趨勢，一方面，增強了各行業及部門間的協作能力，提高了生產效率，另一方面也不可避免的帶來了新的安全威脅。從國家到地方，衛生行政主管部門非常重視醫院信息安全，與公安部門聯合發文，要求醫院完成等級保護工作。

1 我院網絡安全建設現狀

1.1 醫院信息系統現狀

我院的信息信息系統主要有：醫院信息管理系統（HIS）、醫學影像信息系統（PACS）、臨床實驗室檢驗信息系統（LIS）、電子病歷系統（EMR）、手術麻醉信息系統（AIMS）、醫院辦公自動化系統（HOA）等。隨著各系統應用的不斷深入，以及這些系統與醫保、合療、健康檔案、財務、銀行一卡通等系統的直連，安全問題已越來越突顯，網絡安全作為信息安全的基礎，變得尤為重要。

1.2 網絡安全現狀與不足

1.2.1 網絡安全現狀

（1）我們采用內外網物理隔離，內網所有U口禁用。對開放的U口通過北信源的桌面管理軟件進行管理；（2）內外網都使用了賽門鐵克的網絡殺毒軟件，對網絡病毒進行了防范；（3）與外部連接。

內網與省醫保是通過思科防火墻、路由器和醫保專線連接進行通信；與市醫保是通過聯想網御的網閘、醫保路由器與醫保專線連接進行通信；與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯網進行通信；與健康檔案是通過天融信的VPN與互聯網進行通信的。另外，內網與財務專用軟件、一卡通也是通過網閘及防火墻進行通信的。

另外，我們有較完善的網絡安全管理制度體系，這里不再贅述。

1.2.2 網絡安全存在的問題

（1）由于醫院信息系統與外部業務連接不斷增長，專線與安全設備比較繁雜，運維復雜度較高；（2）通過部署網絡殺毒軟件及安全設備，雖然提升了網絡的安全性，但卻帶來了系統性能下降的問題，如何在不過多影響整體網絡性能的前提下，又可以完善整網的安全策略的部署，是后續網絡優化所需要重點關注的；（3）終端用戶接入網絡后所進行的網絡訪問行為無法進行審計和追溯。

2 醫院網絡層安全策略部署規劃

在等級保護安全策略指導下，我們將整個醫院的安全保障體系設計分為安全管理體系建設和安全技術體系建設兩個方面，其中安全技術體系建設的內容包括安全基礎設施（主要包括安全網關、入侵防護系統、安全審計系統等），安全管理體系建設的內容包括組織、制度、管理手段等。通過建立醫院安全技術體系、安全服務體系和安全管理體系，提供身份認證、訪問控制、抗抵賴和數據機密性、完整性、可用性、可控性等安全服務，形成集防護、檢測、響應于一體的安全防護體系，實現實體安全、應用安全、系統安全、網絡安全、管理安全，以滿足醫院安全的需求[1]。

在這里，我主要從安全技術體系建設方面闡述醫院網絡層安全策略。

網絡層安全主要涉及的方面包括結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業務保障原則。安全域方法的根本目標是能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率；（2）適度安全原則。在安全域劃分時會面臨有些業務緊密相連，但是根據安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業務按安全域的要求強性劃分，還是合并安全域以滿足業務要求？必須綜合考慮業務隔離的難度和合并安全域的風險（會出現有些資產保護級別不夠），從而給出合適的安全域劃分；（3）結構簡化原則。安全域方法的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數量過多過雜可能導致安全域的管理過于復雜和困難；（4）等級保護原則。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級安全環境安全策略等；（5）立體協防原則。安全域的主要對象是網絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路網絡主機系統應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內容檢測等各種安全功能實現協防；（6）生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮不斷的變化；另外，在安全域的建設和調整過程中要考慮工程化的管理。

2.2.2 區域劃分

業務網內部根據業務類型及安全需求劃分為如圖1所示的幾個個安全區域，也可以根據醫院自己的業務實際情況，添加刪減相關的安全域，網絡規劃拓撲圖[3]如下：

圖1

（1）外聯區：主要與醫保網、外聯單位進行互聯，此區域與數據中心核心交換機互聯；在外聯區接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產品，添加IPS功能模塊、殺毒功能模塊，通過防火墻、IPS、殺毒進行訪問控制，實現安全隔離；與數據中心核心交換機處部署網閘設備，實現物理隔離；（2）運維管理區：主要負責運維管理醫院信息化系統，此區域與數據中心核心交換機互聯；在運維管理區與核心交換機之間部署堡壘機（SAS-H），對運維操作進行身份識別與行為管控；部署遠程安全評估系統（RSAS），對系統的漏洞進行安全評估；部署安全配置核查系統，對系統的安全配置做定期檢查；部署日志管理軟件，對網絡設備、安全設備、重要服務器的日志做收集整理和報表呈現；部署網絡版殺毒系統，與硬件殺毒墻非同一品牌；部署網絡審計系統，對全網所有用戶行為進行網絡審計；部署主機加固系統，對重要服務器定期進行安全加固，以符合等保的安全配置要求；（3）辦公接入區：主要負責在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網絡接入；接入匯聚交換機旁路部署IDS；與核心交換機接入采用防火墻進行訪問控制；重要辦公用戶安裝桌面終端系統控制非法接入問題；（4）核心交換區：主要負責各個安全域的接入與VLAN之間的訪問控制；在兩臺核心交換機上采用防火墻板卡，來實現各個區域的訪問控制。在核心交換機旁路部署安全審計系統，對全網數據進行內容審計，可以與運維管理區的網絡審計使用同一臺；（5）互聯網接入區：主要負責為辦公區用戶訪問互聯網提供服務，以及互聯網用戶訪問門戶網站及網上預約等業務提供服務；在互聯網出口處，部署負載均衡設備對鏈路做負載處理；部署下一代防火墻設備（IPS+AV+行為管理），對進出互聯網的數據進行安全審計和管控；在門戶服務器與匯聚交換機之間部署硬件WEB應用防火墻，對WEB服務器進行安全防護；在門戶服務器上安裝防篡改軟件，來實現對服務器的防篡改的要求；部署網閘系統，實現互聯網與業務內網的物理隔離要求；（6）數據中心區：此區域主要為醫院信息系統防護的核心，可分為關鍵業務服務器群和非關鍵業務服務器群，為整個醫院內網業務提供運算平臺；在非關鍵業務服務器群與核心交換區之間部署防火墻和入侵保護系統，對服務器做基礎的安全防護；在關鍵業務服務器群與核心交換機之間部署防火墻、入侵保護系統、WEB應用防護系統，對服務器做安全防護；（7）開發測試區：為軟件開發機第三方運維人員提供接入醫院內網服務，與核心交換機互聯；部署防火墻進行訪問控制，所有的開發測試區的用戶必須通過堡壘機訪問醫院內網；（8）存儲備份區：此區域主要為醫院信息化系統數據做存儲備份，與核心交換機互聯。

2.2 邊界訪問控制[1]

在網絡結構中，需要對各區域的邊界進行訪問控制，對于醫院外網邊界、數據交換區邊界、應用服務區域邊界及核心數據區邊界，需采取部署防火墻的方式實現高級別的訪問控制，各區域訪問控制方式說明如下：

（1）外聯區：通過部署高性能防火墻，實現數據中心網絡與醫院外網之間的訪問控制；（2）核心交換區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對數據交換區的訪問控制；（3）數據中心區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（4）運維區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對核心數據區的訪問控制；（5）互聯網區：與內網核心交換區采用網閘系統進行物理隔離；與互聯網出口采用防火墻實現訪問控制；（6）開發測試區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（7）辦公網接入區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制；（8）備份存儲區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制。

2.3 網絡審計[1]

網絡安全審計系統主要用于監視并記錄網絡中的各類操作，偵查系統中存在的現有和潛在的威脅，實時地綜合分析出網絡中發生的安全事件，包括各種外部事件和內部事件。在數據中心核心交換機處旁路部署網絡行為監控與審計系統，形成對全網網絡數據的流量檢測并進行相應安全審計，同時和其他網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。

網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據匯聚點設備上，對網絡中的數據包進行分析、匹配、統計，通過特定的協議算法，從而實現入侵檢測、信息還原等網絡審計功能，根據記錄生成詳細的審計報表。網絡行為監控和審計系統采取旁路技術，不用在目標主機中安裝任何組件。同時玩了個審計系統可以與其他網絡安全設備進行聯動，將各自的監控記錄送往安全管理安全域中的安全管理服務器，集中對網絡異常、攻擊和病毒進行分析和檢測。

2.4 網絡入侵防范[1]

根據數據中心的業務安全需求和等級保護三級對入侵防范的要求，需要在網絡中部署入侵防護產品。

入侵防護和產品通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產品應支持深度內容檢測、技術。配合實時更新的入侵攻擊特征庫，可檢測網絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網絡威脅。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

入侵防護產品部署在數據中心與核心交換機之間，繼防火墻邊界訪問控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據數據中心業務風險分析和等級保護三級對邊界惡意代碼防范的要求，需要在互聯網邊界部署防病毒產品，也可以在下一代防火墻添加防病毒模塊來實現此功能；防病毒產品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容檢查、清除病毒的能力。支持查殺引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對病毒庫版本的升級。

2.6 網絡設備保護[1]

對于網絡中關鍵的交換機、路由器設備，也需要采用一定的安全設置及安全保障手段來實現網絡層的控制。主要是根據等級保護基本要求配置網絡設備自身的身份鑒別與權限控制，包括：登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網絡設備進行安全加固。

由于不同網絡設備安全配置的不同、配置維護工作繁雜，且信息安全是動態變化的，因此這里推薦通過自動化的配置核查設備，對網絡層面和主機層的安全配置進行定期掃描核查，及時發現不滿足基線要求的相關配置，并根據等級保護的安全配置要求提供相對應的安全配置加固指導。

3 結束語

通過以上六個方面的安全加固，重點解決了醫院當前網絡安全環境中面臨的主要問題。隨著醫院數字化進程的不斷深入，我們還將重點跟蹤網絡安全方面出現的新問題、新的技術思路和新的技術解決方案，做好醫院的網絡安全工作，為醫院信息化建設保駕護航。

目前，網絡已經深刻影響與改變現有的醫療模式[4]，網絡安全已成為醫院信息化建設中的重中之重，它是一項復雜而艱巨的系統工程，需全方位入手，切實保障醫院各信息系統安全穩定的運行、醫院各項工作順利的開展，真正為廣大患者提供優質便捷的服務。

參考文獻：

[1]GB/T 22239-2008，信息系統安全等級保護基本要求[S].

[2]GB/T 9387.2-1995，開放系統互連基本參考模型第2部分：安全體系結構《醫療機構》，P14-P18：安全服務與安全機制的配置[S].

[3]ISO 10181：1996 信息技術開放系統互連開放系統安全框架[S].

[4]陳理兵，陳起燕.論醫院網絡應用系統的安全設計[J].福建電腦，2013（11）.

篇7

關鍵詞:消防網絡；建設；思考；問題分析

Abstract: Fire Fire is a modern expression network construction to build the necessary work for the fire department's disaster relief played an important role in the process. In the era after the advent of the information society, computer networks in various industries in the use of more extensive and advanced network system has been extended. In order to meet the social technology trends, the fire department also actively create a network system to serve the fire service. Networks in building fire must be in-depth understanding of network-building elements, of which there are network problems preventing effective treatment strategies, the paper described on this issue.

Keywords: fire network; construction; thinking; Analysis

通過將傳統消防網絡與計算機聯網，既能實現整體上的網絡控制，也能協調好各個環節之間的連接運行，保證了各項消防數據信息得到充分運用。但在消防網絡構建時，對于一些潛在的安全問題也要及時處理，避免消防數據庫被入侵者襲擊，阻礙了網絡功能的有效發揮。

一、消防網絡化建設的具體內容

若想在全國范圍內推廣網絡化消防模式還存在較大的難度，這是由于國內各個地區之間的經濟條件與技術條件還存在很大的差異，這些都是阻礙網絡化消防建設的主要因素。而對于經濟發達的城市地區，在構建網絡消防是必須要深入分析網絡化模式的具體內容，這樣才能更好地指導網絡化模式的創建。從現有的技術水平看，我國消防網絡化建設需涉及到以下幾點內容：

1、消防信息化。計算機網絡技術和信息技術是同步發展的，兩種技術之間相互聯系、相互促進。在信息化時代到來之后，國內計算機技術的運用也更為廣泛，就消防網絡建設來說，其必須要實現消防信息化的改革[1]。消防信息化融合了現代計算機、互聯網絡、通信技術等內容，實現了消防信息進行采集、儲存、處理、分析、挖掘的信息化處理。

2、通信網絡化。傳統的消防網絡結構中采用的都是有線通信設施，而消防網絡模式的構建需使用互聯網絡實現數據信息的傳輸，達到無線通信的操作要求。網絡通信主要涉及：通信網絡基礎設施建設、信息系統建設及應用、安全保障體系建設、運行管理體系建設、標準規范體系建設等方面的內容。此外，在信息報警上也創建新的模式，如圖一：

圖一 消防網絡報警系統

3、級別全面化。消防網絡是一個綜合性的功能體系，其在網絡化建設期間要考慮到地區之間的差異性，建立不同級別的消防網絡才能適應消防需要。國內的消防網絡可具體劃分為三級：從部消防局到各省(區、市)消防總隊以及相關的消防科研機構和消防院校；各省(區、市)消防總隊到市(地、州)消防支隊；各市(地、州)消防支隊到基層消防大隊及中隊。

4、保障的完整化。構建消防網絡不僅要注重網絡內部結構的需要，還要對網絡之外的建設內容給予重視。對消防網絡設計完整的保障體系也是建設階段的重點，這是維持消防網絡正常運行的基礎[2]。在安全保障體系建設階段，應維持保障網絡安全、可靠、持續運行，避免網絡內部受到外在因素的干擾，讓網絡內部的數據信息都能實現有效傳輸。

二、消防網絡化面臨的安全問題

計算機網絡本身就是一個多風險的功能體系，在構建消防網絡時同樣會面臨來自網絡的各種安全隱患，給消防網絡的運用帶來諸多不便。消防部門在利用網絡開展消防指導時，也要注意保護網絡內部的資源信息，避免數據失竊而引起的各種問題。目前，消防網絡建設存在的安全問題受到了普遍關注。

1、操作系統安全。計算機網絡是消防網絡的根本，而操作系統則是計算機運行的控制核心。若構架消防網絡時選用的操作系統不當，會給后期的消防控制帶來很大的安全隱患。如：操作系統結構組成；操作系統支持的傳輸文件、安裝程序等等，一旦系統出現問題則會給網絡管理造成困難，或直接讓管理權被入侵者掌控，原先穩定的操作系統性能受損。

2、網絡運行安全。消防網絡在運行期間也是安全問題多發的階段，因為Internet／Intmnet的形成造成了更多的網絡安全問題。如：在TCP／IP協議下，網絡創建的FTP、E-Mail、RPC和NFS均有安全漏洞，使得網絡傳輸時的文件容易被竊取、損壞、丟失[3]。另外，Intemet網絡屬于開放性的網絡，在滿足用戶資源共享的同時也為安全問題的發生提供條件。

3、數據管理安全。數據庫是龐大的信息資源構成體，消防網絡的數據庫中儲存了諸多消防信息。隨著數據庫信息量的增長，其面臨的數據安全隱患也更為多樣。如：防火墻在運行時難以抵擋龐大數據量造成的安全襲擊，雖然防火墻的設置能夠避免安全網免受外部黑客的攻擊，但這種安全防范并不是絕對的，對于一些新型的網絡攻擊手段抵抗力很弱。

4、服務流程安全。網絡服務是消防網絡作用發的基礎，只有利用服務器來控制各項網絡結構才能發揮消防調控作用。如：IIS服務、FTP服務、E-Mail服務等，這些都是網絡消防必須具備的服務構成。在服務流程中常會面臨著：分布式拒絕服務攻擊。入侵者對系統或網絡傳輸有害信息，導致系統或網絡癱瘓，中斷了服務器裝置的運行功能。

三、消防網絡安全對策問題的思考

科學的消防網絡不僅降低了消防部門的工作難度，也能通過網絡監控及時發現各種災情。互諒網絡運用于消防事業是一項工作模式的創新，也是現代化消防系統的必然要求。為了更好地利用消防網絡，消防部門必須針對網絡化建設存在的問題制定有效的處理方案，保證網絡模式的正常運行。

1、規范管理流程。消防部門領導者要制定嚴格的管理制度，日常工作中加強網絡安全建設，對網絡化運行期間存在的安全隱患及時防范。如：制定系統維護制度，每隔一周對部門內部的消防網進行檢測，對潛在的安全隱患提前處理。只有優化管理流程，才能改善消防網絡的運行質量。

2、優化網絡結構。從消防部門內部結構設置看，其在網絡建設中也要注重各個部門之間的協調性，讓消防網絡的作用得到充分發揮。大隊網絡結構則是一個接入層的路由器，由可網管的交換機、視頻會議終端、IP電話等構成，如圖三；支隊網絡結構則是匯聚層的路由器，由召開會議的MCU、硬件防火墻、DMZ區域等，同時具備了保護支隊的網站、ftp服務器、視頻服務器、辦公自動化業務系統服務器等等[4]。

圖二 消防大隊網絡結構

3、創建領導小組。考慮到消防網絡是一項新事物，在構建網絡模式時應創建領導小組，從網絡技術、系統維護、信息建設等方面維護網絡系統的安全性。如：創建“信息化建設領導小組”，從消防部門、辦事部門、網絡建設人員等綜合領導，營造良好的網絡環境。

4、引進網控技術。科學的網絡安全技術能減少網絡被入侵的次數，讓消防網絡建設工作有序進行。如：網絡管理人員需防止消防網與Internet連接直接接入，要添加一個合適的服務器，使得上網的終端在Internet上無法顯示真實IP的，有效抵制了攻擊[5]。同時，也在消防網絡控制中可引進分布式檢測模式，如圖三，防止網絡出現入侵故障。

圖三 分布式網絡檢測原理

5、維護數據安全。當前，消防部門采用的是Microsoft的Access，這種數據庫的網絡功能必須要借助于ASP、PHP等動態網頁平臺才能實現。利用 SQL查詢語句與頁面進行數據交換，既能維持消防網絡系統的安全，也能避免數據庫受到外在因素的襲擊。此外，Microsoft的SQL Server和Oracle也是常用的。

結論

總之，消防網絡化模式的構建不僅是消防工作的需要，也是新時期網絡技術推廣的必然要求。在構建消防網絡時，消防部門不能僅考慮網絡運行的性能，還要重點考慮網絡運行的安全問題，防止重要的信息數據被竊取或丟失，加強消防網絡安全工作是網絡建設的重中之重。

參考文獻：

[1]石小琳.消防網絡建設中的安全防范策略[J].消防科技，2010,14（12）：48-51.

[2]朱家林.計算機網絡技術運用于消防建設[J].計算機應用技術，2009,33（16）：32-35.

[3]呂軍德.現代消防模式中的安全控制技術[J].中小企業管理，2009,26（15）：76-78.

[4]歐佳華.分析消防網絡模式的服務功能優化問題[J].網絡技術，2010,18（14）：34-37.

[5]王書汶.有關消防網絡建設工程的思考[J].消防工程建設，2009,30（18）：42-44.

篇8

關鍵詞：大數據；計算機；網絡；安全防范

1引言

大數據技術的研究應用對于眾多企事業單位自身的發展起了較大的促進作用，并提供了重要的數據支撐。但是，在大數據技術應用的過程中，計算機網絡安全成為了較大的問題。因此，如何在大數據技術引入的情況下，強化計算機網絡安全防范是值得研究的問題。本文指出了在大數據時代計算機網絡安全存在的問題，提出了完善的策略，為做好計算機安全防護工作提供支持。

2大數據時代計算機網絡安全存在的問題

結合筆者的實際探究來看，大數據時代網絡安全問題主要包括以下幾個層面：第一，網絡系統漏洞問題。新時期計算機技術迅速發展，很多的系統設計相比過去無論是在效率還是在質量上都提升了很多，不過網絡系統不是萬能的，更不是完美的。任何新系統都會存在漏洞，這就會使得網絡安全問題以及相關的漏洞不可能完全解決，只能盡量降低其中存在的安全隱患，因此這方面的問題會使相關的數據安全性受到一定的制約。第二，主要體現在信息內容安全隱患上。在大數據時代，數據的數量相比過去成幾何倍數增長，計算機和網絡空間也要實時接收大量的數據，這就使得其內容日漸豐富，數據量不斷增加，在自由度相對較高的環境下，整體的安全性和可靠性逐步降低。這類的安全隱患不僅在硬件方面可能會造成一定的損害，也有可能使得整個數據體系造成一定的損失。第三，主要體現在人為操作的不安全上。新時期雖然很多業務的操作已經進入了半自動化或全自動化處理模式。不過依舊有很多業務是需要人工操作的，特別是對于一些數據問題而言，計算機操作中用戶的水平參差不齊，一些缺乏安全認知的用戶的不當操作會導致很多問題的發生，特別是在數據方面，比如數據泄露、密碼丟失、數據損壞等，都會使整體的系統安全性下降，因此這方面的問題也需要格外注意。

3大數據時代計算機網絡安全防范策略

在大數據時代網絡安全防范措施方面，可以從以下幾個角度入手來開展相關的研究。第一，提升網絡系統整體的可靠性，盡量降低因漏洞出現而造成的風險和損失。雖然計算機網絡系統的漏洞是不可避免的，但是結合新的防護軟件和防火墻體系建設可以盡量降低因系統漏洞所帶來的各類問題。所以對于企事業單位而言，應當及時安裝最新的殺毒軟件和防火墻程序，使得安全隱患系數降到最低，這對于提升整體的安全性而言很有幫助。第二，做好信息內容數量和質量的保證工作。在信息數量不斷提升的基礎之上，盡量提升數據的質量。結合著國家及社會機構制定的各類標準來起草本單位內部的內容質量規范，提升數據使用的安全性和可靠性，在正確的操作規范引領下提升整體的業務水平，保證信息內容的安全可靠。第三，提升相關工作人員及實際用戶的個人操作能力，提升他們的網絡安全感知能力，這可以有效地防止計算機遭受網絡的攻擊。在提升網絡安全感知能力方面應當建立完善的安全管理機制，結合脆弱性感知、資產管理、錯誤操作、安全事件研究等方面來全方位地提供相應的業務課程，這對于提升工作人員和用戶的個人網絡操作能力而言都很有幫助。

篇9

關鍵詞：智慧城市；智慧徐州；網絡安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）27-0037-03

Abstract： Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network （VPN） technology， security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project， enhance the efficiency of data transmission， and support the rapid creation of new security environment to meet the new application process requirements.

Key words： smart city； Xuzhou； network security； security

隨著信息技術的迅速發展，世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合，旨在改變政府、企業和市民交互的方式，提高明確性、效率、靈活性和響應速度，促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發展，關注提高城市經濟和社會活動的綜合競爭力，越來越受到中國各個城市領導者的認同和肯定。

徐州市在“十二五”伊始，深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發展方式、加強社會建設與管理，解決發展深層次問題等方面的重要作用，將“智慧徐州”建設納入了未來城市發展的戰略主題，希望通過智慧徐州建設，以信息資源整合、共享、利用為抓手，健全公共服務，增進民生幸福，科技創新驅動產業轉型升級，智能手段創新城市管理模式，采約建設實現信息基礎全面領先，為把我市建設成“同類城市中環境最為秀美、文化事業最為繁榮、富民強市最為協調的江南名城”提供有力支撐。

網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載，需通過網絡系統進行數據傳輸，規劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩定、高速地運行。

1 網絡安全建設

由于智慧徐州信息資源樞紐工程的信息資源的高度集中，帶來的安全事件后果與風險也較傳統應用高出很多，因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面：

1.1 安全的網絡結構

安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業務處理時能夠有足夠的冗余空間，來滿足處理高峰業務時期帶來的需求；確保網絡各部分的帶寬能夠滿足高峰業務時期的需要；安全的訪問路徑則通過路由控制可以在終端與服務器之間建立；按照提出需求的業務的重要性進行排序來指定分配帶寬優先級別，如果網絡發生擁堵，則優先保護重要的主機；能夠繪制出當前網絡運行情況的拓撲結構圖；參考不同部門之間的工作職能和涉及相關信息的重要程度等因素，來劃分成不同的子網和網段，與此同時在以方便管理和控制的前提下，進行地址分配；重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接，應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。

1.2 訪問控制安全

當在網絡邊界對控制設備進行訪問時，能夠啟動訪問控制功能；對實現過濾信息內容的功能，并且能對應用層的各種網絡協議實現命令級的控制；能自動根據會話的狀態信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力，將控制粒度設為端口級；能夠及時限制網絡的最大流量數和網絡的連接數量；當會話結束或非活躍狀態的會話處于一段時間后將終止網絡的連接；要采取有效的技術手段防止對重要的網段地址欺騙；能在遵守系統和用戶之間的訪問規則條件下，來決定用戶對受控系統進行資源的訪問是否被允許或拒絕，同時將單個用戶設置為控制粒度；具有撥號訪問權限的用戶數量受到限制。

在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑，政務網接入邊界安全網關：為內部區域提供邊界防護、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄；并且能夠分析所記錄的數據，生成相關的報表；為避免審計記錄受到未預期的修改、覆蓋或刪除等操作，應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。

網絡的審計安全主要內容有：為能夠有效記錄網絡設備、各區域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為，應在這些設備上開啟相應的審計功能，由安全管理員定期對日志信息和活動狀態進行分析，并發現深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯到內部網絡的非授權設備行為進行安全檢查，邊界完整性檢查要求能夠準確定出其位置，并進行有效的阻斷。

實現邊界完整性檢查的相關技術：

1）制定嚴格的檢查策略，將服務器區域在網絡設備上劃分為具有獨立功能的VLAN，同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問；

2）為提升系統自身的安全訪問控制能力，應對安全加固服務器系統采取相應措施。

1.5 入侵防范

網絡的入侵防范應能在網絡邊界處監視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區溢出攻擊等攻擊行為。當攻擊行為被檢測到時，應能記錄攻擊的時間、源IP、目的和類型，如果發生較為嚴重的入侵事件，應及時提供警報信息。通過前置防火墻實現入侵防御的功能。

1.6 惡意代碼防范

在網絡邊界處檢測和清除惡意代碼，對惡意代碼數據庫的升級和系統檢測的更新等，是惡意代碼防范的范疇。目前，主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。

1.7 網絡設備的安全防護

網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址；在網絡設備用戶的標識唯一的伯伯下，要能鑒別出登錄用戶的身份；主要網絡設備對同一用戶進行身份時鑒別時，應當選擇幾種組合的鑒別技術來鑒別，避免只使用一種鑒別技術；鑒別身份的信息應不易被冒用，網絡口令應定期更換而且要有一定的復雜度，不易破解；當登錄失敗時，能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施；當網絡設備被用戶遠程管理時，能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。

網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務，根據前面的網絡結構分析，系統采用若干臺核心交換機、匯聚交換機和接入交換機，實現各個安全區域的連接。

對于網絡設備，應進行相應的安全加固：

1）將樓層接入交換機的接口安全特性開啟，并將MAC進行綁定。

2）關閉不必要的服務，包括關閉CDP、Finger服務、NTP服務、BOOTp服務（路由器適用）等。

3）登錄要求和帳號管理，包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。

4）SNMP協議設置和日志審計，包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發起連接源地址、開啟日志審計功能。

5）其它安全要求，包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查（路由器適用）等。

2 網絡安全防護

邊界防護：在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施，具體到智慧徐州信息資源樞紐工程中邊界，就是在平臺的物理網絡之間，智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。

區域防護：比邊界防護更小的范圍是區域防護，指在一個區域設立的安全防護措施，具體到智慧徐州信息資源樞紐工程中，區域是比較小的網段或者網絡，智慧徐州信息資源樞紐工程的區域防護技術和產品采用接入防火墻。

節點防護：節點防護主要是指系統健壯性的保護，查堵系統的漏洞，它已經具體到其中某一臺主機或服務器的防護措施，建議智慧徐州信息資源樞紐工程中的產品和節點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。

3 網絡高可用

在智慧徐州信息資源樞紐工程網絡建設中，網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩定性，在智慧徐州信息資源樞紐工程核心網絡部分，核心交換機、接入防火墻等設備全部采用冗余配置，包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式，包括與電子政務局域網互聯，與服務器接入交換機互聯。在數據應用區，服務器通過雙網卡與服務器接入交換機互聯，保障了服務器連接的高可靠性。

4 數據安全

4.1 數據安全建設

數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業務的相關數據在存儲過程中進行檢測，如檢測到數據完整性有錯誤時采取必要的恢復措施，并且能對這些數據采用加密措施，以保證數據傳輸的保密性。

對于資源共享平臺系統的數據安全及備份恢復要求如下：

1）對于鑒別信息數據存儲的保密性要求，均可以通過加強物理安全及網絡安全，并實施操作系統級數據庫加固的方式進行保護；

2）對于備份及恢復要求，配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份；

3）需要通過制定并嚴格執行備份與恢復管理制度和備份與恢復流程，加強各系統備份恢復能力。

4.2 數據安全加密傳輸（VPN）

針對數據傳輸的安全性，部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議，保證數據在傳輸過程中的端到端安全性。

4.3 數據交換過程的安全保障

平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。

平臺業務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗，校驗方法是由發送消息的業務系統提供消息的原始長度和根據某種約定的驗證碼生成規則（比如 MD5 校驗規則）生成的驗證碼。

4.4 數據交換接口安全設計

平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業務系統來說，在調用平臺的Web Service接口時使用HTTPS 協議，保證了傳輸層面的安全；而對于安全性不那么重要，只想通過很少的改動使用平臺功能的業務系統來說，可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。

5 安全管理體系建設

在智慧徐州信息資源樞紐工程安全保障體系建設中，應該建立相應的安全管理體系，而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下，安全技術和安全產品的保障下，一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括：安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理，確保重點設施的安全，應該加強安全管理體系的建設。

5.1 安全策略

安全策略是管理體系的核心，在對信息系統進行細致的調查、評估之后，結合智慧徐州信息資源樞紐工程的流程，制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導，是安全策略體系基本結構的最高層，它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。

在安全方針的指導下，主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責，明確了子策略的管理和實施要求，它是子策略的上層策略，子策略內容的制定和執行不能與主策略相違背。安全策略體系的最低層是子策略，也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高，信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此，需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系，以跟蹤行業趨勢，監督安全標準和評估方法，并在處理安全事故時提供適當的聯絡渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高，因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統管理等，明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

智慧徐州信息資源樞紐工程建成后，需要針對各系統制定完善的動作體系，保證系統的安全運行。

參考文獻：

[1] 吳小坤，吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發展，2013（10）：50-54.

[2] 婁歡，竇孝晨，黃志華，等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化，2015（5）：214-215.

[3] 趙軍.信息安全體系下的東營智慧城市建設研究[J].中國安防，2014（9）：84-89.

篇10

美國網絡空間安全戰略啟示

美國現在在信息安全、網絡空間安全上占據絕對的優勢，他們試圖確立霸主地位，制定規則謀求優勢來控制世界。

2005 年4 月，美國政府公布了總統IT 咨詢委員會向總統提交的《網絡空間安全：迫在眉睫的危機》的緊急報告，對美國網絡空間安全戰略提出不同看法，指出過去10 年美國保護國家信息技術基礎建設工作是失敗的。

2006 年4 月，信息安全研究委員會的《聯邦網絡空間安全及信息保障研究與發展計劃（CSIA）》確定了14個技術優先研究領域，13 個重要投入領域。改變無窮無盡打補丁和封堵的被動防御策略。

2009 年5 月29 日，奧巴馬公布了名為《網絡空間政策評估――保障可信和強健的信息和通信基礎設施》的報告，并在其講話中強調網絡空間安全威脅是“舉國面臨的最嚴重的國家經濟和國家安全挑戰之一”。

2009 年6 月，美國建立網絡空間司令部，統一協調保障美軍網絡安全和開展網絡戰等與網絡有關的軍事行動。

2011 年5 月，美國白宮網絡安全協調員施密特美國首份《網絡空間國際戰略》，闡述美國“在日益以網絡相聯的世界如何建立繁榮、增進安全和保護開放”。

7 月14 日，美國國防部的《網絡空間行動戰略》再次強調：“網絡安全威脅是我們作為一個國家所面臨的最嚴重的國家安全、公共安全和經濟安全挑戰”。該戰略將指導美國國防部捍衛美國在網絡空間的利益，使得美國及其盟國和國際合作伙伴可繼續從信息時代的創新中獲益。

2013 年2 月，奧巴馬第13636 號行政命令《增強關鍵基礎設施網絡安全》，明確指出“這是美國提升國家關鍵基礎設施并維護環境安全與恢復能力的政策，在提升安全性、商業機密、隱私和公民自由的同時提升效率、創新與繁榮”。

2014 年2 月，美國國家標準與技術研究所提出了《美國增強關鍵基礎設施網絡安全框架》（V1.0），強調利用業務驅動指導網絡安全行動，并考慮網絡安全風險作為組織風險管理進程的一部分。

美國網絡空間戰略表明，網絡空間已成為第五大領域空間，也是國際戰略在軍事領域的演進。我們應積極應對，加快建設網絡安全保障體系，捍衛我國網絡安全和國家。

加強網絡安全保障體系建設

面對日益嚴峻的形勢，我們該怎么辦？要構架主動防御的技術保障體系，當前大部分網絡安全系統主要是由防火墻、入侵檢測和病毒防范等組成，成為“老三樣”，然而消極被動的封堵查殺是防不勝防的。

2005年美國已經否定了這樣的做法，我們認為應該有一個好的、可信的計算機體系結構，可信的計算是什么？它是一個計算模式，而不是一個帶一點安全技巧的。可信計算就是計算運算的同時進行安全防護，使得計算結果總是與預期是一樣的，全程可測可控，不擾，是一種運算和防護并存的主動棉衣的新計算模式。同時要有主動免疫，識別“自己”和“非己”的成份，從而破壞與排斥進入機體的有害物質。可信計算發展的結果是從數字計算到數值計算到事務計算，我們從可靠性可用性發展到可信性。我們還提出了建立運算和和防御并行的雙重體系結構，一邊是原來PC機的結構，另一邊是一個主動防御的免疫的結構雙體系結構。

尤其是現在云計算、大數據、移動互聯網、虛擬動態異構計算環境更需要可信。我們有可信的辦法做到體系結構、操作行為、資源配置、數據存儲、策略管理都可信，構成可信的體系架構。我們國家等級保護的基礎設施安全的要求，構成了三重防御體系，在安全管理中心支持下的三重防護體系，在系統安全審計三個管理方向的支撐下進行。這樣做的效果怎么樣？攻擊者進不去，非授權者拿不到重要信息，竊取保密信息也看不懂，系統和信息篡改不了，還有系統工作癱不成，攻擊行為因此也賴不掉。

在可信計算上我國是原始結構創新和體系結構創新。我國可信計算源于1992年國家正式立項研究并規模應用，TCG是2000年正式成立的，經過長期攻關，形成了自主創新的體系。我國可信計算技術的結構框架是以密碼為基礎，芯片為支柱、主辦為平臺、軟件為核心、網絡為紐帶、應用成體系。

標準是先制定的，其次要構建主體芯片、主板、軟件、網絡，此外還要搞配套，要把服務做好，服務器、存儲器……都要可信，對應用來講要辦公、網站以及其他新的云計算，這樣來構成體系。

為什么我們比TCG好呢？TCG有兩大局限性，第一是密碼體制的局限性。因為TCG有100多家核心的有用的企業構成的，密碼是每個國家的，各國都有政策與法令，借助企業性的、行業性的國際組織，因此采用了公開的密碼RSA，不安全且管理復雜。第二是體系結構不合理。目前還主要停留在工程層面，尚缺乏比較完善的理論模型，TPM外掛，子程序調用被動模式。

而我們是以密碼為基礎，主動認證、主動度量、主動安全防御存儲。其次，我們是一個雙體系結構，構成一個可信計算的節點要有芯片層面做成可信的CPU。更重要的是平臺要構成雙節點的體系，一邊計算一邊防護。軟件我們采用的是基礎軟件基，改變了TCG的被動調動的局面，在網絡層面我們提出了三元三層對等的架構。

如今我國已經具備了可信計算產業化條件。《國家中長期科學技術發展（2006-2020）》明確提出“以發展高可信網絡為重點，開發網絡安全技術地相關產品，建立網絡安全技術保障體系” 。“十二五”規劃了一些重大項目都把可信列為重點，尤其是我國可信計算標準正逐步制定，先后有幾十個單位共同努力，不少單位和部門已按有關標準研制了芯片、整機、軟件和網絡連接等可信設備，并得到了廣泛的應用，尤其是今年4月16日成立了中關村可信計算產業聯盟，大力推進產業化和市場化。

XP停止服務以后，全國約2億臺運行XP操作系統的終端面臨無人服務的局面，安全操作風險將顯著增加。升級為Windows8不僅耗費巨資，還是去安全控制權和二次開發權。因此我們建議開發自己的系統，不允許網絡提升到Windows8，國家要求信息類采購的時候禁止裝Windows8。這也給我們產業化提供了很好的契機，我們也抓住了這個機遇大力推進基于可信計算的創新的制度、可控安全可信的創新系統研發和產業化。

盡管國產化產品存在更多的缺陷和漏洞，有可信保障，使得缺陷和漏洞不被攻擊利用，確保比國外產品更安全，為國產化自主可控、安全可信保駕護航。