前言：中文期刊網(wǎng)精心挑選了網(wǎng)絡(luò)安全防護體系建設(shè)范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

網(wǎng)絡(luò)安全防護體系建設(shè)范文1

現(xiàn)在企業(yè)很多商業(yè)業(yè)務(wù)、商業(yè)活動和財務(wù)管理系統(tǒng)協(xié)同工作等，都需要借助計算機網(wǎng)絡(luò)進行。如果沒有網(wǎng)絡(luò)安全性的保障，就會發(fā)生系統(tǒng)延遲、拒絕服務(wù)、程序錯誤、數(shù)據(jù)篡改等現(xiàn)象，甚至很多情況下會發(fā)生木馬病毒的侵蝕。過去企業(yè)數(shù)據(jù)是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網(wǎng)絡(luò)時代財務(wù)數(shù)據(jù)流能夠?qū)崿F(xiàn)財務(wù)數(shù)據(jù)的快速傳遞，但是在數(shù)據(jù)傳輸?shù)倪^程中安全性難以得到有效的保障。所以在企業(yè)數(shù)據(jù)信息管理的過程中需要有保密性和可靠性的保障，維護企業(yè)的商業(yè)機密。其次，網(wǎng)絡(luò)交易渠道容易發(fā)生數(shù)據(jù)信息丟失或損壞，交易雙方的信息結(jié)果發(fā)生差異的現(xiàn)象時有發(fā)生，嚴(yán)重影響了企業(yè)數(shù)據(jù)的精準(zhǔn)性。所以企業(yè)急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數(shù)據(jù)的一致性[1]。

2企業(yè)網(wǎng)絡(luò)面臨的安全風(fēng)險

2.1物理安全風(fēng)險

近年來，很多現(xiàn)代化企業(yè)加大信息建設(shè)，一些下屬公司的網(wǎng)絡(luò)接入企業(yè)總網(wǎng)絡(luò)，企業(yè)網(wǎng)路物理層邊界限制模糊，而電子商務(wù)的業(yè)務(wù)發(fā)展需求要求企業(yè)網(wǎng)絡(luò)具有共享性，能夠在一定權(quán)限下實現(xiàn)網(wǎng)絡(luò)交易，這也使得企業(yè)內(nèi)部網(wǎng)絡(luò)邊界成為一個邏輯邊界，防火墻在網(wǎng)絡(luò)邊界上的設(shè)置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前，很多企業(yè)缺乏完善的入侵審計和防御體系，企業(yè)網(wǎng)絡(luò)的主動防御和智能分析能力明顯不足，檢查監(jiān)控效率低，缺乏一致性的安全防護規(guī)范，安全策略落實不到位。

2.3管理安全的風(fēng)險

企業(yè)網(wǎng)絡(luò)與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業(yè)經(jīng)常由于管理的疏忽，造成嚴(yán)重的網(wǎng)絡(luò)信息安全風(fēng)險。具體管理安全的風(fēng)險主要表現(xiàn)在以下幾個方面：企業(yè)沒有健全和完善的網(wǎng)絡(luò)安全管理制度，難以落實安全追責(zé)；技術(shù)人員的操作技術(shù)能力缺陷，導(dǎo)致操作混亂；缺乏網(wǎng)絡(luò)信息安全管理的意識，沒有健全的網(wǎng)絡(luò)信息安全培訓(xùn)體系等。

3構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護體系

3.1加強規(guī)劃、預(yù)防和動態(tài)管理

首先，企業(yè)需要建立完善的網(wǎng)絡(luò)信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標(biāo)準(zhǔn)和要求。對自身潛在的信息安全風(fēng)險進行統(tǒng)籌規(guī)劃，針對性的展開安全防護系統(tǒng)的設(shè)計。其次，企業(yè)應(yīng)該加強對安全防護系統(tǒng)建設(shè)的資金投入，建立適合自己網(wǎng)絡(luò)信息應(yīng)用需求的防護體系，并且定期進行安全系統(tǒng)的維護和升級。最后，加強預(yù)防與動態(tài)化的管理，要制定安全風(fēng)險處理的應(yīng)急預(yù)案，有效降低網(wǎng)絡(luò)信息安全事故的發(fā)生。并且根據(jù)網(wǎng)絡(luò)信息動態(tài)的變化，采取動態(tài)化的管理措施，將網(wǎng)絡(luò)與信息安全風(fēng)險控制在可接受的范圍。

3.2合理劃分安全域

現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護等級和業(yè)務(wù)系統(tǒng)這三種方式來劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同，因此在劃分企業(yè)網(wǎng)絡(luò)安全域時，應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理，不僅要確保企業(yè)正常的生產(chǎn)運營，還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對這個問題，企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式，應(yīng)綜合應(yīng)用多種方式，充分發(fā)揮不同方式的優(yōu)勢，結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求，有針對性地進行企業(yè)網(wǎng)絡(luò)安全域劃分。

首先，根據(jù)業(yè)務(wù)需求，可以將企業(yè)網(wǎng)絡(luò)分為兩部分：外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng)，企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離，使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離，隔離各種安全威脅，確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次，按照企業(yè)業(yè)務(wù)系統(tǒng)方式，分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域，企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項目網(wǎng)絡(luò)、對外服務(wù)網(wǎng)絡(luò)等子網(wǎng)，內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng)，其中再細(xì)分出材料采購網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng)，通過合理劃分安全域，確定明確的網(wǎng)絡(luò)邊界，明確安全防護范圍和對象目標(biāo)。最后，按照網(wǎng)絡(luò)安全防護等級和系統(tǒng)行為，細(xì)分各個子網(wǎng)的安全域，劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域。基礎(chǔ)保障域主要用來防護網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備，服務(wù)集中域主要用于防護企業(yè)網(wǎng)絡(luò)的信息系統(tǒng)，包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。

3.3信息安全技術(shù)的應(yīng)用

（1）防火墻技術(shù)

防火墻主要的作用是對不安全的服務(wù)進行過濾和攔截，對企業(yè)網(wǎng)絡(luò)的信息加強訪問限制，提高網(wǎng)絡(luò)安全防護。例如，企業(yè)的信息數(shù)據(jù)庫只能在企業(yè)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統(tǒng)計數(shù)據(jù)，對可能存在的攻擊、侵入行為精心預(yù)測預(yù)警，最大限度地保障了企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。隨著業(yè)務(wù)模式的不斷發(fā)展，簡單的業(yè)務(wù)（端口）封堵已經(jīng)不能適應(yīng)動態(tài)的業(yè)務(wù)需要，需要采用基于內(nèi)容的深度檢測技術(shù)對區(qū)域間的業(yè)務(wù)流進行過濾。并借助于大數(shù)據(jù)分析能力對異常業(yè)務(wù)流進行智能分析判斷。

（2）終端準(zhǔn)入防御技術(shù)

終端準(zhǔn)入防御技術(shù)主要是以用戶終端作為切入點，對網(wǎng)絡(luò)的接入進行控制，利用安全服務(wù)器、安全網(wǎng)絡(luò)設(shè)備等聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，實時掌控用戶端的網(wǎng)絡(luò)信息操作行為，提高用戶端的風(fēng)險主動防御能力。

4結(jié)束語

綜上所述，計算機網(wǎng)絡(luò)有效提高了企業(yè)業(yè)務(wù)工作的效率，實現(xiàn)企業(yè)計算機網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)分類、整理、資源的共享。但是，系統(tǒng)數(shù)據(jù)的保密、安全方面還存在技術(shù)上的一些欠缺，經(jīng)常會發(fā)生數(shù)據(jù)被非法侵入和截取的現(xiàn)象，造成了嚴(yán)重的數(shù)據(jù)安全風(fēng)險。企業(yè)應(yīng)該科學(xué)分析網(wǎng)絡(luò)與信息安全風(fēng)險類型，加強規(guī)劃、預(yù)防利用防火墻技術(shù)、終端準(zhǔn)入防御技術(shù)等，提高企業(yè)網(wǎng)絡(luò)與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯(lián)網(wǎng)時代信息安全應(yīng)對策略分析[J].科技與創(chuàng)新，2016，（1）：36.

網(wǎng)絡(luò)安全防護體系建設(shè)范文2

關(guān)鍵詞 計算機網(wǎng)絡(luò)；安全防護；關(guān)鍵技術(shù)

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2013）15-0065-01

計算機網(wǎng)絡(luò)是現(xiàn)代數(shù)字信息傳輸與存儲的主要通道之一，隨著其在日常應(yīng)用中的深入，基于網(wǎng)絡(luò)的信息安全問題越來越多，針對網(wǎng)絡(luò)信息的信息竊取與泄露事件時有發(fā)生，因此建立完善可用的計算機網(wǎng)絡(luò)安全防護體系顯得日趨重要。為提供高效可靠的安全防護性能，諸多安全防護技術(shù)被應(yīng)用到計算機網(wǎng)絡(luò)，如數(shù)據(jù)加密與簽名認(rèn)證、主動防御技術(shù)、網(wǎng)絡(luò)訪問控制技術(shù)、防火墻技術(shù)等。這些技術(shù)在某些方面具有良好的應(yīng)用效果，但是存在一定的應(yīng)用局限性。為提升計算機網(wǎng)絡(luò)的適應(yīng)性、動態(tài)性和靈活性，必須應(yīng)用多種相互匹配的安全防護技術(shù)構(gòu)成安全防護體系，為計算機網(wǎng)絡(luò)提供足夠的安全防護措施。

1 計算機網(wǎng)絡(luò)安全防護體系

傳統(tǒng)的計算機網(wǎng)絡(luò)安全防護更多集中在網(wǎng)絡(luò)運行過程的安全防護技術(shù)應(yīng)用，但是隨著網(wǎng)絡(luò)攻擊手段的演變與增加，傳統(tǒng)的防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、用戶身份認(rèn)證技術(shù)等安全防護手段已經(jīng)無法滿足應(yīng)用需求，針對計算機網(wǎng)絡(luò)的安全防護開始從被動防御向主動防御轉(zhuǎn)變，由單獨安全防護技術(shù)應(yīng)用向網(wǎng)絡(luò)安全防護體系建設(shè)發(fā)展。綜合來看，計算機網(wǎng)絡(luò)安全防護體系主要由三部分內(nèi)容構(gòu)成：網(wǎng)絡(luò)安全評估部分、安全防護相關(guān)技術(shù)部分以及網(wǎng)絡(luò)安全服務(wù)部分。每一部分中又包含若干具體的網(wǎng)絡(luò)安全防護措施，他們共同作用向計算機網(wǎng)絡(luò)提供安全防護服務(wù)。計算機網(wǎng)絡(luò)的安全防護體系結(jié)構(gòu)圖如圖1所示。

2 計算機網(wǎng)絡(luò)安全防護體系中的關(guān)鍵技術(shù)

2.1 系統(tǒng)漏洞掃描

任何計算機網(wǎng)絡(luò)中都不可避免的存在漏洞或缺陷，這些漏洞或缺陷一旦被惡意利用即有可能對計算機網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的用戶造成安全威脅。為解決和預(yù)防因漏洞所帶來的安全問題，要定期對計算機網(wǎng)絡(luò)進行漏洞掃描和漏洞修復(fù)。

2.2 網(wǎng)絡(luò)訪問與應(yīng)用管理技術(shù)

為增強網(wǎng)絡(luò)應(yīng)用的規(guī)范性，同時提升網(wǎng)絡(luò)安全問題發(fā)生后的追溯與分析能力，可以使用身份認(rèn)證技術(shù)對網(wǎng)絡(luò)用戶進行身份認(rèn)證，并為用戶分配對應(yīng)的網(wǎng)絡(luò)操作權(quán)限。這一方面可以提升非法用戶訪問網(wǎng)絡(luò)的難度，另一方面還可以對網(wǎng)絡(luò)用戶的異常操作行為進行記錄與追蹤。

2.3 防火墻技術(shù)

防火墻技術(shù)是一種內(nèi)網(wǎng)與外網(wǎng)通信過程中的網(wǎng)絡(luò)訪問控制技術(shù)。該技術(shù)可以按照用戶設(shè)定的安全防護策略對不同網(wǎng)絡(luò)之間的信息傳輸與網(wǎng)絡(luò)訪問等行為進行監(jiān)控與數(shù)據(jù)檢查，以確認(rèn)網(wǎng)絡(luò)運行是否正常，數(shù)據(jù)通信是否被允許。目前常用的防火墻技術(shù)有包過濾防火墻、地址轉(zhuǎn)換防火墻以及防火墻等三種。

其中，包過濾防火墻技術(shù)會對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進行地址審查，確認(rèn)數(shù)據(jù)傳輸域發(fā)送地址是否可信任，若地址不可信則濾除該信息的接收與發(fā)送操作；地址轉(zhuǎn)換防火墻技術(shù)可以將內(nèi)網(wǎng)的IP地址轉(zhuǎn)換為外網(wǎng)的IP地址，從而隱藏通信終端的真實地址，避免外網(wǎng)與內(nèi)網(wǎng)終端之間建立直接通信連接；防火墻技術(shù)使用服務(wù)器技術(shù)將通信雙方的通信數(shù)據(jù)進行接收與轉(zhuǎn)發(fā)，使得客戶端與網(wǎng)絡(luò)服務(wù)器之間的數(shù)據(jù)通信需要經(jīng)過兩次通路才能夠?qū)崿F(xiàn)，這樣便提升了內(nèi)網(wǎng)的安全性。

2.4 入侵檢測技術(shù)

入侵檢測技術(shù)是一種主動防御技術(shù)，該技術(shù)可以應(yīng)用多種相關(guān)技術(shù)制定與網(wǎng)絡(luò)環(huán)境相匹配的安全規(guī)則，并利用該規(guī)則對從網(wǎng)絡(luò)中獲取的數(shù)據(jù)信息進行分析，進而對網(wǎng)絡(luò)的運行狀態(tài)進行監(jiān)控，判斷網(wǎng)絡(luò)中是否存在安全威脅。入侵檢測技術(shù)根據(jù)檢測數(shù)據(jù)的類型可以分為異常檢測與濫用監(jiān)測兩種。前者以用戶的統(tǒng)計行為習(xí)慣作為特征參量來辨認(rèn)網(wǎng)絡(luò)中是否存在入侵行為，該技術(shù)是一種自適應(yīng)技術(shù)，可用于對未知攻擊行為進行檢測與防御；后者則是以網(wǎng)絡(luò)信息檢測規(guī)則來判斷是否存在入侵行為，由于該技術(shù)是基于規(guī)則而實現(xiàn)的，因而其主要用于對已知的攻擊類型與攻擊行為進行檢測與防御。

2.5 數(shù)據(jù)加密與數(shù)字簽名技術(shù)

數(shù)據(jù)加密技術(shù)主要用于防止數(shù)據(jù)在計算機網(wǎng)絡(luò)傳輸過程中產(chǎn)生的信息泄露或竊取，其根據(jù)加密數(shù)據(jù)應(yīng)用類型不同可以分為傳輸加密、存儲加密以及完整性驗證等三種。

在傳輸加密中，端加密技術(shù)可以將需要傳輸?shù)拿魑臄?shù)據(jù)信息轉(zhuǎn)變?yōu)槊芪男畔ⅲ撔畔⒅挥惺褂门c之相匹配的解密算法和解密密鑰才能夠恢復(fù)成為正確的明文信息，線路加密技術(shù)可以對信息傳輸?shù)穆窂竭M行加密，使數(shù)據(jù)的傳輸路徑得到安全保護。

在存儲加密中，數(shù)據(jù)加密算法可以將需要存儲的信息轉(zhuǎn)換為密文信息，該密文信息在需要存取時需要進行用戶身份驗證與權(quán)限審查，只有合法用戶在其權(quán)限范圍內(nèi)才能夠?qū)?shù)據(jù)進行相應(yīng)的操作。

在數(shù)據(jù)完整性驗證中，數(shù)據(jù)中包含了發(fā)件人、收件人以及數(shù)據(jù)相關(guān)內(nèi)容的驗證與鑒別信息，在驗證數(shù)據(jù)完整性時需要數(shù)據(jù)使用對象按照相應(yīng)的驗證參數(shù)進行特征驗證，確認(rèn)信息是否完整或受到篡改。數(shù)字簽名技術(shù)在數(shù)據(jù)完整性驗證中具有非常重要的應(yīng)用意義。

2.6 其他網(wǎng)絡(luò)安全服務(wù)

為構(gòu)成一個完整有效的網(wǎng)絡(luò)安全服務(wù)體系，除了上述安全防護技術(shù)外，還應(yīng)該在網(wǎng)絡(luò)中提供應(yīng)急保障服務(wù)，以確保出現(xiàn)安全問題時能夠盡量減小問題所造成的影響，最短時間內(nèi)將網(wǎng)絡(luò)恢復(fù)到正常運行狀態(tài)。這就要求一方面要建立和完善應(yīng)急服務(wù)體系，如雙系統(tǒng)待機等，保證一條網(wǎng)絡(luò)出現(xiàn)問題時可以及時切換到備用網(wǎng)絡(luò)；另一方面要建立和完善數(shù)據(jù)恢復(fù)體系，如服務(wù)器雙熱備份等，保證網(wǎng)絡(luò)服務(wù)器出現(xiàn)數(shù)據(jù)損毀或缺失時能夠存在備用數(shù)據(jù)庫將其恢復(fù)。此外，科學(xué)規(guī)范的網(wǎng)絡(luò)安全使用培訓(xùn)也是非常有必要的，其可以降低人為因素所帶來的網(wǎng)絡(luò)安全威脅。

參考文獻

[1]彭珺，高珺.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].計算機與數(shù)字工程，2011，39（1）.

網(wǎng)絡(luò)安全防護體系建設(shè)范文3

【關(guān)鍵詞】企業(yè)數(shù)據(jù)網(wǎng)；信息安全；防護

計算機網(wǎng)絡(luò)的發(fā)展日理萬機，“地球村”的實現(xiàn)早已不是夢想，人類的生活越來越離不開網(wǎng)絡(luò)，受自身開放性和共享性等特征的影響，網(wǎng)絡(luò)極易受黑客、病毒、惡意軟件等侵害，因此網(wǎng)絡(luò)數(shù)據(jù)信息的安全防護十分關(guān)鍵。企業(yè)的數(shù)據(jù)網(wǎng)包含企業(yè)內(nèi)部的全部數(shù)據(jù)信息，對企業(yè)的正常運轉(zhuǎn)起著決定性作用，因此企業(yè)的數(shù)據(jù)網(wǎng)安全防護體系的建立是企業(yè)健康發(fā)展的核心。

一、企業(yè)監(jiān)測攻擊行為的系統(tǒng)現(xiàn)狀

就目前而言，網(wǎng)絡(luò)攻擊行為的技術(shù)特征主要為拒絕服務(wù)、惡意軟件的安裝、利用計算機網(wǎng)絡(luò)的脆弱性偽裝欺騙、內(nèi)部攻擊、高低級CGI攻擊等，企業(yè)對于這些攻擊行為的檢測存在一些不足。第一，企業(yè)缺乏解決大型集體攻擊情況方案，攻擊者的技術(shù)不斷提高，企業(yè)的安全防護技術(shù)沒有及時跟上腳步；第二，目前的網(wǎng)絡(luò)攻擊檢測系統(tǒng)有待完善，通常攻擊者會利用更改信息或重新編碼等欺騙手段來獲取攻擊檢測系統(tǒng)的通行；第三，網(wǎng)絡(luò)設(shè)備趨于復(fù)雜多樣化，相應(yīng)的檢測攻擊行為的系統(tǒng)就必須及時更新技術(shù)手段以適應(yīng)外部日新月異的環(huán)境；第四，攻擊行為檢測系統(tǒng)的自行反應(yīng)活動會給自身帶來一定困擾，影響自身的工作效應(yīng)，因為它一般與防火墻的工作互相配合，一旦其發(fā)現(xiàn)有入侵行為時就會將所有網(wǎng)絡(luò)攻擊者的IP數(shù)據(jù)包過濾掉，若同一個攻擊者冒充大批不一樣的IP來虛擬進攻，那么檢測系統(tǒng)就將實質(zhì)上并沒有產(chǎn)生進攻的IP過濾掉，導(dǎo)致新的拒絕服務(wù)訪問產(chǎn)生；第五，IDS自身存在一些安全漏洞，如果對IDS進行入侵并且取得成功，那么就會致使報警無效，攻擊者的后臺行為就沒有記錄下來，所以系統(tǒng)應(yīng)當(dāng)結(jié)合多種安全產(chǎn)品以形成聯(lián)合防護機制。

二、網(wǎng)絡(luò)安全防護體系實現(xiàn)策略

企業(yè)建立了基礎(chǔ)的防護體系，其中包囊防火墻、攻擊行為檢測系統(tǒng)、病毒防范、集中認(rèn)證、終端管理、漏洞掃描、安全數(shù)據(jù)庫等，而隨著企業(yè)網(wǎng)絡(luò)完全防護體系建設(shè)的不斷深入開展，對于安全建設(shè)的要求僅靠安全基礎(chǔ)層的防護無法達到，如何使現(xiàn)有的安全設(shè)備的功效發(fā)揮出來、使安全的管理與安全防護技術(shù)完美結(jié)合以及如何快速有效地發(fā)現(xiàn)并解決漏洞和攻擊行為等安全隱患是我們急需解決的問題。就企業(yè)數(shù)據(jù)網(wǎng)安全防護系統(tǒng)的現(xiàn)狀，得出企業(yè)需要從網(wǎng)絡(luò)安全防護和數(shù)據(jù)安全防護兩方面來建設(shè)網(wǎng)絡(luò)安全防護體系。

網(wǎng)絡(luò)安全防護策略為建立全面的網(wǎng)絡(luò)拓?fù)洌唤⑦吘壏阑饓Α⒕W(wǎng)絡(luò)防火墻、主機防火墻等多重防火墻；改進VPN技術(shù)的功能；加大對漏洞的掃描力度；加強安全檢測儀對網(wǎng)絡(luò)數(shù)據(jù)的檢測和審計功能。

數(shù)據(jù)安全的防護策略為利用可靠的操作系統(tǒng)來操縱全部服務(wù)器以保證數(shù)據(jù)的完整性；開通SSL加密通道、使用為通信進行加密的軟件、應(yīng)用內(nèi)容監(jiān)控的軟件以阻止內(nèi)部人員查看非法網(wǎng)頁來確保數(shù)據(jù)的保密性；數(shù)據(jù)即使遭到破壞也能通過備份的數(shù)據(jù)來恢復(fù)，因此系統(tǒng)設(shè)備應(yīng)該將所有數(shù)據(jù)都儲存到一個專門的容量大、不再工作時所有的網(wǎng)絡(luò)連接都能中斷、質(zhì)量可靠且用戶信息及口令都有安全保密的服務(wù)器中，確保整個系統(tǒng)能夠安全、正常運轉(zhuǎn)。

三、企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的實現(xiàn)

（一）安全管理系統(tǒng)建設(shè)的內(nèi)容

1.日志審計的管理

在安全管理區(qū)增添日志審計系統(tǒng)來審計網(wǎng)管中心、短信中心以及智能網(wǎng)的日志，該系統(tǒng)需要負(fù)責(zé)審計所有日志的核心服務(wù)器、負(fù)責(zé)收集網(wǎng)管中心本地運行日志的服務(wù)器、記錄網(wǎng)管中心本地的安全訪問網(wǎng)關(guān)以記錄管理員的操作日志并將其發(fā)到審計日志的核心服務(wù)器上的服務(wù)器。

2.安全事件監(jiān)控系統(tǒng)

擴充現(xiàn)有的安全信息庫，添加安全事件統(tǒng)一監(jiān)控模塊以及自主掃描漏洞管理系統(tǒng)，與當(dāng)下的資產(chǎn)管理模塊相結(jié)合，形成全面動態(tài)的安全威脅管理以及安全漏洞管理系統(tǒng)。

3.賬號口令的管理

賬號口令管理系統(tǒng)以薩班斯法案對審計信息化的要求作為方向，建立一個智能化、自動化的賬號和口令管理的信息平臺。在安全管理服務(wù)區(qū)內(nèi)增加兩臺服務(wù)器，以備后用，保障網(wǎng)管中心賬號的集中管理。

4.日志的保存

日志的保存期限是半年，要提供3T的儲存空間。儲存設(shè)備應(yīng)當(dāng)達到既能將日志直接通過網(wǎng)絡(luò)全部備份保存起來，又能直接連接到服務(wù)器上以提供日志審計系統(tǒng)在線保存日志的功能的雙重目的。

（二）完善安全基礎(chǔ)設(shè)施

1.優(yōu)化安全域

首先，要調(diào)整安全服務(wù)區(qū)，把同安全管理有關(guān)的服務(wù)器轉(zhuǎn)至安全管理服務(wù)區(qū)，上述所添加的服務(wù)器也集中布置在該區(qū)域。安全服務(wù)區(qū)的劃分居于核心交換機6509上，添設(shè)一臺防火墻并與6509相連接，還要增設(shè)一臺24口的百兆交換機來接替。此外，在網(wǎng)絡(luò)入口可以設(shè)立能夠過濾網(wǎng)絡(luò)傳輸過程中的病毒的設(shè)備。

其次，在VPN接入?yún)^(qū)的防火墻可以更新為提供硬件加速功能的VPN高性能防火墻。

再者，將于核心交換機6509上獨立劃分的信令檢測VLAN由原有的接入到網(wǎng)管網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榻尤氲叫帕顧z測系統(tǒng)，并且在信令檢測系統(tǒng)的接口處增設(shè)一臺IDS用來對該區(qū)域的網(wǎng)絡(luò)攻擊行為進行檢測。

最后，盡管兩臺防火墻已經(jīng)在網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)業(yè)務(wù)系統(tǒng)的接口處增設(shè)，但是對于攻擊行為仍舊難以及時發(fā)現(xiàn)，所以要增設(shè)一臺具備兩個監(jiān)聽口的攻擊行為檢測設(shè)備，接口接入交換機上，將管理口接到安全管理區(qū)域以便統(tǒng)一管理。

2.完善入侵檢測系統(tǒng)

隨著技術(shù)的不斷更近以及網(wǎng)絡(luò)的日益復(fù)雜，防火墻的諸多漏洞逐漸暴露出來，防火墻的缺陷可以由網(wǎng)絡(luò)入侵檢測系統(tǒng)來提供后續(xù)幫助，因此開發(fā)出完善的入侵檢測系統(tǒng)尤為重要，它可以為網(wǎng)絡(luò)安全提供具體、及時的入侵檢測和相關(guān)的防護措施，例如，斷開網(wǎng)絡(luò)連接、記錄下入侵證據(jù)、跟蹤入侵行蹤等。該系統(tǒng)具有以下幾點優(yōu)點：檢測無訪問權(quán)限的非法入侵行為；系統(tǒng)出現(xiàn)故障不會對正常的業(yè)務(wù)運行產(chǎn)生影響；不會影響服務(wù)器等主機的內(nèi)存、磁盤等空間資源的使用；安裝簡便。同時，該系統(tǒng)也有一些不足之處：該系統(tǒng)只能檢測與它直接相連的網(wǎng)段的網(wǎng)絡(luò)包；對某些必須經(jīng)過大量計算和分析的入侵難以檢測出；有傳輸回大量數(shù)據(jù)到分析系統(tǒng)中的可能等。

3.保證終端安全

由于現(xiàn)階段的LANDESK系統(tǒng)不能自主分發(fā)和管理補丁，并且沒有桌面安全管理的功能，所以要升級該軟件至安全套件，自動查殺修復(fù)漏洞，為桌面安全提供保障。

（三）服務(wù)器性能管理系統(tǒng)

在安全管理服務(wù)區(qū)增設(shè)性能管理的服務(wù)器以對性能數(shù)據(jù)進行分析、處理和保存。安裝性能管理門戶到該服務(wù)器上，該門戶要統(tǒng)一標(biāo)準(zhǔn)，以用戶為對象，以瀏覽器為基礎(chǔ)。可以在各服務(wù)器上裝置監(jiān)控用來保存系統(tǒng)的各項性能和可利用的信息，傳輸至管理服務(wù)器上。

四、總結(jié)

經(jīng)濟社會的發(fā)展趨向網(wǎng)絡(luò)信息化，是社會現(xiàn)代化進程的主要標(biāo)志。由于網(wǎng)絡(luò)的開放性和共享性等自帶特征的存在，網(wǎng)絡(luò)信息安全犯罪事件也在不斷上升，對數(shù)據(jù)網(wǎng)的入侵技術(shù)手段也在不斷變更，對于企業(yè)來說，無疑是其信息化發(fā)展的障礙物，因此，健全企業(yè)數(shù)據(jù)網(wǎng)安全防護體系迫在眉睫。網(wǎng)絡(luò)的安全防護問題并非易事，某項技術(shù)的成功研發(fā)或某個制度的頒布并不能起到遏制作用，必須將網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全管理等結(jié)合起來，才能解決網(wǎng)絡(luò)安全問題。

參考文獻

[1]喬偉.企業(yè)數(shù)據(jù)網(wǎng)安全防護體系的研究與實現(xiàn)[M].計算機科學(xué)與技術(shù)，2009.

[2]唐曉蘭，劉中臨，劉嘉勇.一種基于知識庫的行為特征檢測模型[J].信息安全與通信保密，2012（02）.

[3]羅麗華.上海電力數(shù)據(jù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)[J].中國電機工程學(xué)全電力通信專業(yè)委員第5屆學(xué)術(shù)會議論文，2009（11）.

[4]張明浩.計算機病毒防范藝術(shù)[J].科技信息，2007（04）.

網(wǎng)絡(luò)安全防護體系建設(shè)范文4

關(guān)鍵詞：醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)；網(wǎng)絡(luò)安全；管理體系

由于信息化技術(shù)的日益發(fā)展，很多醫(yī)療信息系統(tǒng)都在發(fā)展過程中進行了優(yōu)化，大大推動了醫(yī)療診斷技術(shù)水平的提升，使診斷工作更為精細(xì)化，有效提升了員工績效水平和醫(yī)療工作的整體品質(zhì)。與此同時，其復(fù)雜性也在日益提高，使得醫(yī)院安全問題凸顯，同時面臨多種惡意軟件入侵，對醫(yī)院網(wǎng)絡(luò)產(chǎn)生了重大的負(fù)面影響。因此，在技術(shù)水平達標(biāo)的同時，還需要人工操作來確保網(wǎng)絡(luò)的安全。2018年4月，國務(wù)院印發(fā)《國務(wù)院關(guān)于推進“推進互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》，提出各類醫(yī)療機構(gòu)今年要逐步完善和繼續(xù)完善“互聯(lián)網(wǎng)醫(yī)療衛(wèi)生體系”，發(fā)展在線醫(yī)療，提高醫(yī)院管理水平。通過《國務(wù)院關(guān)于推進“推進互聯(lián)網(wǎng)在線醫(yī)藥衛(wèi)生”發(fā)展的意見》宣告了“互聯(lián)網(wǎng)醫(yī)療健康”安全時代的正式到來。以國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護工程為指導(dǎo)，遵循“一個中心、三個防護”防護工程的基本理念，從安全信息管理服務(wù)中心體系建設(shè)工作開始，并初步構(gòu)建了醫(yī)院網(wǎng)絡(luò)安全三級防護管理體系，以有效迎接新網(wǎng)絡(luò)時代的安全管理挑戰(zhàn)，確保“互聯(lián)網(wǎng)健康”，醫(yī)院安全信息化體系建設(shè)穩(wěn)步健康有序發(fā)展。

1醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)的重要原因探析

患者只需在線注冊、就診、付款、入住和離開醫(yī)院即可完成醫(yī)療流程。此外，信息化體系建設(shè)還可以有效提高醫(yī)務(wù)人員的日常工作效率，降低醫(yī)務(wù)人員的勞動強度，為患者及時提供便捷高質(zhì)量的基本醫(yī)療健康服務(wù)。從各級醫(yī)院的財務(wù)角度看，醫(yī)院財務(wù)信息化體系建設(shè)不僅可以有效提高各級醫(yī)院財務(wù)管理水平，密切各直屬科室之間的協(xié)作關(guān)系，為加強醫(yī)院醫(yī)務(wù)檔案管理進行信息化、財務(wù)管理和物資管理工作創(chuàng)造條件，降低醫(yī)院的商業(yè)保險和運營成本，提高醫(yī)院的整體效益。網(wǎng)絡(luò)安全管理體系主要是廣泛指負(fù)責(zé)管理網(wǎng)絡(luò)系統(tǒng)安全管理策略、安全動態(tài)計算網(wǎng)絡(luò)環(huán)境、安全網(wǎng)絡(luò)區(qū)域活動限制和安全網(wǎng)絡(luò)通信等網(wǎng)絡(luò)安全防護機制的管理平臺或服務(wù)區(qū)域。過去，醫(yī)院率先采取了“被動防御”安全戰(zhàn)略，并針對安全網(wǎng)絡(luò)威脅不斷采取了安全防護控制措施，缺乏安全統(tǒng)一規(guī)劃和安全集中管理。安全信息資源綜合使用管理效率低，對安全威脅的監(jiān)測反應(yīng)慢，難以建立形成有效的安全威脅防護管理體系。隨著我國醫(yī)院安全信息化體系建設(shè)的不斷發(fā)展，各種新信息技術(shù)的不斷推廣和醫(yī)院互聯(lián)網(wǎng)服務(wù)的不斷普及，醫(yī)院必然需要自主開發(fā)一套能夠適應(yīng)當(dāng)前網(wǎng)絡(luò)健康管理時代的網(wǎng)絡(luò)安全管理系統(tǒng)。

2醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)中網(wǎng)絡(luò)安全管理體系建設(shè)遇到的問題

2.1缺乏統(tǒng)一標(biāo)準(zhǔn)和依據(jù)

醫(yī)院信息化建設(shè)具有高度的系統(tǒng)性和復(fù)雜性，需要各部門密切配合，對醫(yī)院進行統(tǒng)一規(guī)劃，明確每一步的建設(shè)目標(biāo)。但是，從醫(yī)院信息化建設(shè)的現(xiàn)狀來看，對醫(yī)院的實際發(fā)展缺乏重視，在投入之前沒有充分考慮到醫(yī)院的長遠(yuǎn)發(fā)展目標(biāo)。另外，信息化建設(shè)沒有統(tǒng)一的規(guī)則，影響了信息化建設(shè)的工作，對新項目的實施也有一定的影響，造成了資源的浪費。

2.2網(wǎng)絡(luò)安全性較低

醫(yī)院的網(wǎng)絡(luò)安全的問題往往是高度復(fù)雜動態(tài)的，將對醫(yī)院領(lǐng)導(dǎo)和安全系統(tǒng)運營人員產(chǎn)生重要直接影響。此外，還有一些新型網(wǎng)絡(luò)安全病毒和一些黑客在網(wǎng)絡(luò)安全應(yīng)用方面的潛在問題。雖然很多大型醫(yī)院都已經(jīng)采取了一些相應(yīng)的技術(shù)措施手段來徹底解決這些安全問題，但由于醫(yī)療軟件技術(shù)能力較差、技術(shù)水平不過關(guān)等因素，并沒有有效地解決這些網(wǎng)絡(luò)安全上的問題。

3網(wǎng)絡(luò)安全管理體系建設(shè)原則

從醫(yī)院建設(shè)安全網(wǎng)絡(luò)管理信息中心的總體目標(biāo)要求出發(fā)，在國家標(biāo)準(zhǔn)2.0級網(wǎng)絡(luò)防護的技術(shù)指導(dǎo)下，結(jié)合自身醫(yī)院網(wǎng)絡(luò)安全管理工作實踐經(jīng)驗，醫(yī)院首先明確了以下網(wǎng)絡(luò)安全管理原則：①安全管理與網(wǎng)絡(luò)技術(shù)支持并重，同時合理規(guī)劃醫(yī)院建設(shè)安全管理體系和網(wǎng)絡(luò)技術(shù)支持能力，用安全管理體系建設(shè)指導(dǎo)網(wǎng)絡(luò)技術(shù)支持能力體系建設(shè)，用網(wǎng)絡(luò)技術(shù)支持能力建設(shè)確保安全管理體系的有效實施。②集中控制安全能力和分散安全管理權(quán)限，整合安全人力資源，提高安全管理效率，注重員工建立準(zhǔn)確識別和有效消除快速安全網(wǎng)絡(luò)威脅的管理能力；通過集中的人力資源綜合管理和權(quán)力控制，分散對上級行政部門權(quán)力的管理限制，以及通過依靠集中審計行政能力控制來有效降低醫(yī)院員工違法越權(quán)的安全風(fēng)險。基于上述安全原則，醫(yī)院已已經(jīng)開始對公司現(xiàn)有的醫(yī)院網(wǎng)絡(luò)安全保障管理能力系統(tǒng)和網(wǎng)絡(luò)技術(shù)支持管理能力體系進行不斷改造和升級完善。

4網(wǎng)絡(luò)安全管理體系建設(shè)標(biāo)準(zhǔn)

建立安全管理中心的前提是醫(yī)院應(yīng)有一套合法、兼容、可行的安全管理體系。通過驗證基本2.0級防護要求，結(jié)合醫(yī)院自身的安全管理經(jīng)驗，并將實施能力作為重要標(biāo)準(zhǔn)考慮在內(nèi)，建立2.0級安全管理體系框架，以確保管理體系的管理方向和可行性。為便于實施，醫(yī)院將管理體系文件分為4個層次。一級安全文件根據(jù)有關(guān)國家安全法律法規(guī)、相關(guān)安全行業(yè)政策法規(guī)和公立醫(yī)院安全管理要求，確定醫(yī)院總體上的網(wǎng)絡(luò)安全保障政策和發(fā)展策略，在此基礎(chǔ)上研究構(gòu)建公立醫(yī)院第三級安全網(wǎng)絡(luò)管理體系，定義全球安全要求，并在安保管理、人員管理、資產(chǎn)管理、安保大樓管理和維護以及應(yīng)急支持管理的組織中建立安全標(biāo)準(zhǔn)。輔助文檔中的信息總量，更新和調(diào)整物理安全要求、政策和政策，以應(yīng)用于特定領(lǐng)域。二級安全操作和維護系統(tǒng)，規(guī)定了適用于文件安全系統(tǒng)維護和維護管理第一級操作和操作的安全要求，并規(guī)定了操作和禁止規(guī)則。三級規(guī)范文件要求是具體的企業(yè)工作人員操作管理規(guī)范，以便于確保操作人員的實際操作管理效果能夠滿足您的預(yù)期，并減少故障和其他行為造成的潛在安全風(fēng)險。例如，確定您的服務(wù)器安全技術(shù)增強（windowsserversecuritymanual）的項目操作步驟和項目實施經(jīng)驗效果，并及時制定技術(shù)要求以便于確保您的服務(wù)器安全滿足特定項目安全要求，并制定安全增強管理體系安全增強基礎(chǔ)的各項相關(guān)技術(shù)要求。四級文件是用于數(shù)據(jù)篩選、跟蹤和分析的安全操作管理記錄，為了減少操作和維護人員的工作量，提高時尚管理的效率，節(jié)省紙張，醫(yī)院開始嘗試非常規(guī)檢查表。四層文件管理體系四級文件管理體系有效提高了人民醫(yī)院安全生產(chǎn)管理體系的工作靈活性和市場適應(yīng)性：第一層體系決定了整體網(wǎng)絡(luò)安全政策和策略以及其他體系制定的方向。二級管理體系手冊側(cè)重于對個別具體管理問題的有效管理，根據(jù)實際需要進行制定，具有較強的基本相關(guān)性和實際適用性，確保一級管理體系的基本靈活性和實際適應(yīng)性；第三方操作手冊特別注重管理細(xì)節(jié)和長期實施，可根據(jù)長期實施管理效果反復(fù)迭替換代，這些都是我們確保一級管理體系長期實施管理效果的最終重要目的；四級注冊表格針對醫(yī)院在建立管理體系時，特別注重對人員安全風(fēng)險的管理和控制，建立持續(xù)改進管理體系的能力。成立了“網(wǎng)絡(luò)和信息安全委員會”，作為主要決策機構(gòu)。根據(jù)網(wǎng)絡(luò)標(biāo)準(zhǔn)2.0要求，管理員職位分為3個職能：系統(tǒng)管理員、審核管理員和安全管理員。醫(yī)院和外部員工通過一系列系統(tǒng)文件進行標(biāo)準(zhǔn)化。合同檢查員工的安全日常行為，并初步確定合同員工的安全和財產(chǎn)保密管理責(zé)任；同時提出關(guān)于修訂企業(yè)管理體系目標(biāo)評審和上層建筑管理要求的具體要求，建立促進管理體系建設(shè)持續(xù)完善改進的長效機制，確保穩(wěn)定性，實施安全管理體系的靈活性和能力，并明確各級修訂和審查體系文件的要求。

5網(wǎng)絡(luò)安全技術(shù)能力建設(shè)

在安全維護管理體系中心建設(shè)的基礎(chǔ)上，醫(yī)院已經(jīng)開始研究建設(shè)安全技術(shù)管理能力，以便于滿足安全維護管理系統(tǒng)中心的要求。醫(yī)院作為一個安全系統(tǒng)管理區(qū)域，安全維護管理系統(tǒng)中心負(fù)責(zé)系統(tǒng)的安全管理操作、維護和監(jiān)督管理。因此，建立安全維護管理體系中心的主要目標(biāo)是建立一個完全具有高度完善集中控制管理能力的安全維護管理域。安全維護管理區(qū)域主應(yīng)負(fù)責(zé)執(zhí)行包括收集和管理綜合安全管理數(shù)據(jù)、運行安全設(shè)備以及安全維護和監(jiān)督管理整個醫(yī)院網(wǎng)絡(luò)的安全任務(wù)，為整個醫(yī)院網(wǎng)絡(luò)過程提供必要的醫(yī)院網(wǎng)絡(luò)安全基礎(chǔ)硬件設(shè)施和安全維護服務(wù)，以及足夠的自我保護能力，以確保自身在網(wǎng)絡(luò)中的安全，避免對重要的安全、審計和管理服務(wù)造成損害。由于原有醫(yī)院網(wǎng)管區(qū)域具有一定的集中控制能力，醫(yī)院在現(xiàn)有網(wǎng)管區(qū)域的基礎(chǔ)上，采用以下方式完成安全管理建設(shè)技術(shù)能力。

5.1終端網(wǎng)絡(luò)保護

前端計算機通信系統(tǒng)的網(wǎng)絡(luò)終端擔(dān)保是整個網(wǎng)絡(luò)敏感區(qū)域的一個核心。其終端主要是連接內(nèi)聯(lián)網(wǎng)和連接外聯(lián)網(wǎng)之間的網(wǎng)絡(luò)連接，負(fù)責(zé)從敏感區(qū)的核心節(jié)點發(fā)送數(shù)據(jù)，僅易受攻擊。因此，通常可以為每個主機66學(xué)術(shù)論壇/AcademicForum系統(tǒng)部署一個安全網(wǎng)絡(luò)管理文件系統(tǒng)。為了提高主機服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全級別。可以從根本上對來自網(wǎng)絡(luò)連接終端的安全攻擊進行免疫，并在它們已經(jīng)進入安全下一階段之前預(yù)先阻止。

5.2區(qū)域網(wǎng)絡(luò)運維安全設(shè)計

（1）建立檢測網(wǎng)絡(luò)安全漏洞的系統(tǒng)。通過自動部署互聯(lián)網(wǎng)絡(luò)檢測安全漏洞，檢測中心系統(tǒng)人員可以24h時間掃描和自動檢測指定區(qū)域內(nèi)的互聯(lián)網(wǎng)。對系統(tǒng)性能進行安全特性評估，實現(xiàn)技術(shù)、管理、安全防護的有效集成。為全球用戶同時使用各種區(qū)域性的網(wǎng)絡(luò)服務(wù)降低安全風(fēng)險，并提供強有力的網(wǎng)絡(luò)技術(shù)支持。（2）創(chuàng)建審核和運維系統(tǒng)。通過對網(wǎng)絡(luò)安全管理設(shè)備、網(wǎng)絡(luò)安全管理設(shè)備、應(yīng)用管理系統(tǒng)、安全事件等網(wǎng)絡(luò)日志相關(guān)信息數(shù)據(jù)進行全面的網(wǎng)絡(luò)日志相關(guān)信息分析收集和日志相關(guān)性信息分析，管理者不僅可以通過搜索和實時分析日常網(wǎng)絡(luò)使用中的記錄，正確維護日志數(shù)據(jù)，定義日志審核設(shè)備，方便員工隨時查看，并隨時跨平臺監(jiān)控整個數(shù)據(jù)中心的安全狀態(tài)。（3）建立完整的微觀分析和深度流量跟蹤系統(tǒng)。通過自動建立完整的用戶微觀數(shù)據(jù)分析和用戶深度風(fēng)險流量檢測跟蹤分析系統(tǒng)，可以實時部署專門的高標(biāo)準(zhǔn)風(fēng)險流量檢測分析平臺，準(zhǔn)確快速收集用戶流量，進行深度恢復(fù)和全面分析。為了在大量會話流量中快速發(fā)現(xiàn)這些隱藏的整個會話進程行為，挖掘這些可能使其隱藏的潛在危險，提供會話進程的所有數(shù)據(jù)審計處理能力，并不斷提高其進程追蹤和對攻擊源的預(yù)測能力。

5.3整合現(xiàn)有安全資源

醫(yī)院將在保障自身安全和區(qū)域安全管理的基礎(chǔ)上，轉(zhuǎn)移現(xiàn)有的保障功能，包括資源，非病毒系統(tǒng)、維持和平行動管理系統(tǒng)和安全系統(tǒng)納入安全管理領(lǐng)域。此外，通過研究在服務(wù)區(qū)內(nèi)設(shè)立專用安全通道和具體的基礎(chǔ)設(shè)施安全設(shè)施，優(yōu)化全市安全設(shè)施功能整合，注重安全設(shè)施綜合利用，減少不必要的安全設(shè)備，提高安全設(shè)備維護和安全系統(tǒng)運行效率，完成對全市現(xiàn)有安全防護體系的綜合優(yōu)化。

5.4優(yōu)化集中控制

在完善現(xiàn)行安全監(jiān)管制度的基礎(chǔ)上，該院先后研發(fā)了航站樓和門診部的安全監(jiān)控和安全管理系統(tǒng)，為彌補醫(yī)院現(xiàn)有綜合門診終端保障體系的不足，對醫(yī)院基礎(chǔ)設(shè)施進行集中控制和建設(shè)，以及醫(yī)院管理系統(tǒng)的現(xiàn)有背景操作和系統(tǒng)維護，抗病毒防御系統(tǒng)與醫(yī)院客戶犯罪風(fēng)險檢查系統(tǒng)密切配合。因此，集中審計和宣傳系統(tǒng)完成了建立集中管理和維護系統(tǒng)進行審計和宣傳的任務(wù)。預(yù)防和控制覆蓋整個醫(yī)院網(wǎng)絡(luò)的信息資源。

6醫(yī)院構(gòu)建網(wǎng)絡(luò)安全管理體系

為有效適應(yīng)未來最嚴(yán)峻的網(wǎng)絡(luò)安全發(fā)展形勢，醫(yī)院還對各級應(yīng)急保障體系進行了修訂。新的應(yīng)急支持系統(tǒng)由兩部分組成：綜合計劃和專項計劃。總體實施計劃詳細(xì)規(guī)定了醫(yī)院應(yīng)急救援支持的主要組織職能結(jié)構(gòu)，確定了醫(yī)院事件預(yù)警分類管理標(biāo)準(zhǔn)，并詳細(xì)規(guī)定了事件預(yù)警和應(yīng)急響應(yīng)工作程序、物資供應(yīng)支持、培訓(xùn)和其他一般工作規(guī)定：為特定類型的緊急情況和醫(yī)院系統(tǒng)的關(guān)鍵系統(tǒng)制定詳細(xì)的應(yīng)急和應(yīng)急方案服務(wù)按照“目標(biāo)選擇、非目標(biāo)選擇、綜合規(guī)劃”的醫(yī)院應(yīng)急救援管理機制可以確保，使醫(yī)院應(yīng)急系統(tǒng)人員在統(tǒng)一系統(tǒng)的技術(shù)指導(dǎo)下，能夠有效應(yīng)對網(wǎng)絡(luò)上的各種突發(fā)事件。以安全網(wǎng)絡(luò)管理中心為工作起點，對信息網(wǎng)絡(luò)保護系統(tǒng)進行了升級，提高了風(fēng)險信息的準(zhǔn)確性，與公立醫(yī)院安全信息網(wǎng)絡(luò)資源管理、網(wǎng)絡(luò)資源安全風(fēng)險管理及威脅有關(guān)，建立安全網(wǎng)絡(luò)。然后，在發(fā)展安全管理能力的基礎(chǔ)上，圍繞“響應(yīng)性”完善安全運行體系建設(shè)，提高響應(yīng)速度和應(yīng)對網(wǎng)絡(luò)安全威脅的能力。在技術(shù)上，嘗試將連接機制引入安全體系，開發(fā)建設(shè)“主動防護、動態(tài)防護、全局防護、精確防護”的網(wǎng)絡(luò)安全防護體系，緊跟醫(yī)院信息“醫(yī)療衛(wèi)生互聯(lián)網(wǎng)”建設(shè)步伐在網(wǎng)絡(luò)時代，促進了醫(yī)院網(wǎng)絡(luò)安全建設(shè)的發(fā)展。

參考文獻：

[1]胡列倫,李倩.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護研究[J].中國寬帶,2021(07):31.

[2]龔克.分析醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護方案設(shè)計[J].數(shù)碼設(shè)計(上),2021,10(06):18.

[3]詹振坤.醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)安全管理與維護工作思考[J].無線互聯(lián)科技,2021,18(10):25-26.

[4]巫新玲,李文俠.人工智能下醫(yī)院網(wǎng)絡(luò)安全信息化的建設(shè)路徑探索[J].大眾標(biāo)準(zhǔn)化,2021(11):182-184.

[5]廖文韜.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全體系建構(gòu)[J].電腦編程技巧與維護,2021(07):163-164.

[6]劉小洲,黃桂新,張武軍,等.現(xiàn)代醫(yī)院管理制度下的醫(yī)院信息化建設(shè)推進機制探討[J].現(xiàn)代醫(yī)院,2018,18(03):368-371.

[7]姜濤.寧夏醫(yī)科大學(xué)總醫(yī)院醫(yī)院集團信息化建設(shè)優(yōu)化[D].銀川:寧夏大學(xué),2014.

[8]謝言.國家扶貧開發(fā)工作重點縣中醫(yī)醫(yī)院信息化建設(shè)現(xiàn)狀調(diào)查及影響因素分析[D].武漢:湖北中醫(yī)藥大學(xué),2013.

[9]張宇.醫(yī)院信息化建設(shè)改革實證研究[D].南昌:南昌大學(xué),2012.

網(wǎng)絡(luò)安全防護體系建設(shè)范文5

關(guān)鍵詞：電力二次系統(tǒng);安全防護體系;安全區(qū);措施

中圖分類號：TM727 文獻標(biāo)識碼：A 文章編號：1007-0079（2014）33-0180-02

隨著電網(wǎng)自動化、計算機網(wǎng)絡(luò)及通信技術(shù)的飛速發(fā)展，電力系統(tǒng)自動化、信息化水平迅速提高。同時，電力調(diào)度系統(tǒng)的業(yè)務(wù)也不斷豐富，很多系統(tǒng)存在著相互之間的數(shù)據(jù)業(yè)務(wù)交換，這些對系統(tǒng)的網(wǎng)絡(luò)安全問題提出了更高的要求，電力二次系統(tǒng)的安全防護也變得更加重要和嚴(yán)峻起來。[1]為此，針對調(diào)度系統(tǒng)二次安全防護，相繼出臺了原國家電監(jiān)會第5號令《電力二次系統(tǒng)安全防護規(guī)定》以及《電力二次系統(tǒng)安全防護總體方案》等指導(dǎo)性文件從政策和技術(shù)的層面明確了電力調(diào)度部門信息安全建設(shè)的具體措施。

為保障地區(qū)電網(wǎng)安全、穩(wěn)定運行，抵御黑客、病毒、惡意代碼等通過各種形式對電力二次系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓，依據(jù)相關(guān)政策文件，結(jié)合地區(qū)電網(wǎng)實際情況，設(shè)計和制定了地區(qū)調(diào)度控制中心二次系統(tǒng)安全防護方案。

一、電力二次系統(tǒng)安全防護體系

1.二次系統(tǒng)安全防護的相關(guān)原則

電力調(diào)度二次系統(tǒng)安全防護包括調(diào)度端、變電站內(nèi)及縱向安全防護，按照國家電力監(jiān)管委員會《電力二次系統(tǒng)安全防護規(guī)定》，電力二次系統(tǒng)安全防護的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。安全防護主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，重點強化邊界防護，提高內(nèi)部安全防護能力，保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全，同時有效抵御外部的惡意攻擊，防止發(fā)生電力二次系統(tǒng)安全事件或由此導(dǎo)致的一次系統(tǒng)事故、大面積停電事故，達到保障電網(wǎng)安全穩(wěn)定運行的目的。[2，3]

“安全分區(qū)”是電力二次系統(tǒng)安全防護體系的結(jié)構(gòu)基礎(chǔ)，原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（又稱安全區(qū)I）和非控制區(qū)（又稱安全區(qū)II），管理信息大區(qū)可以分為生產(chǎn)管理區(qū)（又稱安全區(qū)III）和管理信息區(qū)（又稱安全區(qū)IV）;“網(wǎng)絡(luò)專用”，是指生產(chǎn)大區(qū)的數(shù)據(jù)網(wǎng)絡(luò)必須使用專網(wǎng)――電力調(diào)度數(shù)據(jù)網(wǎng)，其中電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別連接控制區(qū)和非控制區(qū);“橫向隔離”，是指在控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強度應(yīng)接近或達到物理隔離;“縱向認(rèn)證”是指采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護。對于重點防護的調(diào)度控制中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施，實現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。[4，5]

電力二次系統(tǒng)安全防護的基本原則是，系統(tǒng)中安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠的自身安全防護措施，不得與安全等級較低的系統(tǒng)直接連接。

2.二次系統(tǒng)中安全區(qū)的劃分

從橫向角度看，為強化安全區(qū)的隔離，采用不同強度的網(wǎng)絡(luò)安全設(shè)備，使得各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護。安全區(qū)I與安全區(qū)II之間采用硬件防火墻進行隔離;生產(chǎn)控制大區(qū)與管理信息大區(qū)之間采用電力專用隔離裝置進行隔離，并且限制數(shù)據(jù)業(yè)務(wù)的流向;從安全區(qū)I、安全區(qū)II去往安全區(qū)III單向傳輸信息必須采用正向隔離裝置，由安全區(qū)III去往安全區(qū)I、安全區(qū)II的單向傳輸信息必須采用反向隔離裝置。安全區(qū)III與安全區(qū)IV之間采用硬件防火墻進行隔離。[6]

安全區(qū)I中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：是電力生產(chǎn)的重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ溃前踩雷o的重點與核心。典型業(yè)務(wù)系統(tǒng)包括能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)等。

安全區(qū)II中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：是電力生產(chǎn)的必要環(huán)節(jié)，在線運行但不具備控制功能，使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密。典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、電能量計量系統(tǒng)等。

安全區(qū)III中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：實現(xiàn)電力生產(chǎn)的管理功能，但不具備控制功能，不在線運行，可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，與調(diào)度控制中心工作人員桌面終端直接相關(guān)，與安全區(qū)IV的辦公自動化系統(tǒng)關(guān)系密切。

安全區(qū)IV中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為：實現(xiàn)電力信息管理和辦公自動化功能，使用電力數(shù)據(jù)通信網(wǎng)絡(luò)，業(yè)務(wù)系統(tǒng)的訪問界面主要為桌面終端，包括辦公自動化系統(tǒng)和管理信息系統(tǒng)等。[6]

二、地區(qū)電力二次系統(tǒng)安全防護體系

1.二次系統(tǒng)現(xiàn)有業(yè)務(wù)

某地調(diào)現(xiàn)有自動化系統(tǒng)包括：南瑞OPEN2000調(diào)度自動化系統(tǒng)、南瑞OPEN3000調(diào)度自動化系統(tǒng)、北京煜邦電能量計量采集系統(tǒng)、北京殷圖變電站圖像監(jiān)控系統(tǒng)、電力調(diào)度運行管理系統(tǒng)（OMS）等。

其中，南瑞OPEN2000調(diào)度自動化系統(tǒng)SCADA部分于2000年7月投入運行，該系統(tǒng)在電網(wǎng)調(diào)度、運方、負(fù)荷預(yù)測等方面發(fā)揮著重要的作用。南瑞OPEN3000自動化系統(tǒng)是于2010年6月正式投入運行，實現(xiàn)了對地區(qū)電網(wǎng)的可靠運行控制，保證了地區(qū)電網(wǎng)監(jiān)視、控制手段的完好，確保了地區(qū)電網(wǎng)的安全、穩(wěn)定運行。北京煜邦電能量采集系統(tǒng)主要實現(xiàn)地調(diào)所有無人值班變電站的電能量信息、瞬時量信息的采集功能，完成變電站電能量數(shù)據(jù)的采集與處理、母線平衡計算、報表統(tǒng)計、線損統(tǒng)計分析等。北京殷圖變電站圖像監(jiān)控系統(tǒng)實現(xiàn)了無人值班變電站空間范圍內(nèi)的建筑安全、防火、防盜，保障了站內(nèi)輸變電設(shè)備的正常運行，并在事故時保持與主站的圖像通信。電力調(diào)度運行管理系統(tǒng)（OMS）涵蓋了電網(wǎng)調(diào)度、運方、繼保、自動化等各專業(yè)，是地調(diào)管理與生產(chǎn)的重要組成部分。

其中，OPEN2000調(diào)度自動化系統(tǒng)、OPEN3000調(diào)度自動化系統(tǒng)、電能量計量采集系統(tǒng)、變電站圖像監(jiān)控系統(tǒng)等均為獨立建設(shè)的自動化系統(tǒng)，同時均開通了Web瀏覽業(yè)務(wù)。

2.二次系統(tǒng)安全防護的實施

依據(jù)電力二次系統(tǒng)安全防護方案，結(jié)合地區(qū)電網(wǎng)實際情況，電力二次系統(tǒng)劃分為三個安全區(qū)。安全區(qū)I為內(nèi)網(wǎng)，安全區(qū)III、安全區(qū)IV為外網(wǎng)，內(nèi)網(wǎng)和外網(wǎng)之間通過電力二次系統(tǒng)專用安全隔離裝置保證了內(nèi)網(wǎng)和外網(wǎng)之間的安全程度很高的可控通信。

安全區(qū)I的網(wǎng)絡(luò)邊界通過電力通信專用網(wǎng)與三級數(shù)據(jù)網(wǎng)進行通信。安全區(qū)I的數(shù)據(jù)通過匯聚交換機和安全隔離裝置實現(xiàn)與安全區(qū)III實時Web的通信。

安全區(qū)III的網(wǎng)絡(luò)邊界通過電力通信專用網(wǎng)與三級數(shù)據(jù)網(wǎng)進行通信，同時通過防火墻過濾與安全區(qū)IV的通信，安全區(qū)III的主要業(yè)務(wù)是電力市場模擬系統(tǒng)、開放了Web瀏覽業(yè)務(wù)的各系統(tǒng)等。安全區(qū)IV直接面向廣域網(wǎng)，通過防火墻過濾與安全區(qū)III的通信，主要業(yè)務(wù)包括信息通信中心OA系統(tǒng)。

電力二次系統(tǒng)安全防護的實施選用的相關(guān)主要網(wǎng)絡(luò)設(shè)備包括：

（1）安全隔離裝置。通過部署安全隔離裝置保證安全區(qū)I的網(wǎng)絡(luò)安全性，使得整個二次系統(tǒng)網(wǎng)絡(luò)的規(guī)劃完全符合電力二次系統(tǒng)安全防護方案的部署要求，保證電力二次系統(tǒng)的安全性。

（2）華為網(wǎng)絡(luò)交換機。為適應(yīng)對電力二次系統(tǒng)的安全分區(qū)的改造，在安全區(qū)I布置了一臺二層交換機，在安全區(qū)III布置了一臺三層核心交換機，通過部署這兩臺交換機起到了分區(qū)隔離、專網(wǎng)專用的作用。同時，也是將安全區(qū)III和安全區(qū)IV劃分清楚的重要措施。

（3）天融信防火墻。通過在安全區(qū)III、安全區(qū)IV之間部署國產(chǎn)防火墻，起到報文過濾的作用，保證安全區(qū)III的相對安全性。

（4）瑞星企業(yè)防病毒套件。為了進一步保證安全區(qū)III的安全穩(wěn)定運行，在安全區(qū)III安裝瑞星企業(yè)防病毒軟件，增加安全區(qū)III的防病毒的能力。

3.二次系統(tǒng)安全防護設(shè)備的部署

正向隔離裝置涉及到的業(yè)務(wù)為安全區(qū)I內(nèi)EMS系統(tǒng)的實時通信、報表同步和負(fù)荷預(yù)測文本傳輸。其中EMS系統(tǒng)運行在主備網(wǎng)絡(luò)結(jié)構(gòu)上，主要的通信通過A網(wǎng)進行，實時通信和報表同步通過同一條鏈路實現(xiàn)。為了完成EMS系統(tǒng)的應(yīng)用改造，通過在安全區(qū)I的華為S3025C二層交換機上劃分一個單獨的VLAN與正向隔離裝置內(nèi)網(wǎng)口的通信;外網(wǎng)直接接入安全區(qū)III的核心交換機華為S6502的專用于安全隔離裝置的VLAN接口上。對于安全區(qū)I與安全區(qū)III的通信，安全區(qū)I的華為S3025C交換機與安全隔離裝置相連的方式為普通二層交換機的連接方式，而安全區(qū)III與安全隔離裝置外網(wǎng)的連接是基于路由的模式，需要配置MAC綁定和ARP報文通信。

反向隔離裝置涉及到的業(yè)務(wù)為：安全區(qū)IV負(fù)荷預(yù)測計劃信息文本反向傳入安全區(qū)I內(nèi)的EMS工作站。對于安全區(qū)I與安全區(qū)IV的通信，安全區(qū)I華為S3025C交換機與安全隔離裝置相連的方式，相當(dāng)于普通二層交換機的連接方式，而安全區(qū)IV與安全隔離裝置外網(wǎng)的連接是基于路由的模式，需要配置MAC綁定和ARP報文通信。

在不改變安全區(qū)IV的網(wǎng)絡(luò)通信環(huán)境，維持現(xiàn)有的工作狀況下，將相關(guān)的系統(tǒng)劃分到安全III區(qū)，接入到華為S6502網(wǎng)絡(luò)核心交換機，基于不影響安全區(qū)IV原有網(wǎng)絡(luò)通信環(huán)境的原則，防火墻運行在路由模式下應(yīng)用地址轉(zhuǎn)換規(guī)則，可以將安全區(qū)III和安全區(qū)IV的網(wǎng)段完全劃分開來。

三、二次系統(tǒng)安全防護的有效措施

病毒防護是實時系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)的安全措施之一，病毒的防護應(yīng)該覆蓋所有安全區(qū)I、III、IV的主機與工作站。安全區(qū)I的病毒特征碼要求必須以離線的方式及時更新。

主機安全防護主要的方式包括：安全配置、安全補丁和安全主機加固。安裝主機加固軟件，強制訪問符合定義的主機安全策略，防止主機權(quán)限被濫用。通過及時更新系統(tǒng)安全補丁，消除系統(tǒng)內(nèi)核漏洞與后門。

通過合理設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限，減少安全弱點。禁止不必要的應(yīng)用，作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機或者工作站，嚴(yán)格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。定期對關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份，確保數(shù)據(jù)損壞及系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。[4]

縱向安全防護體系的建設(shè)，可以完善電力二次系統(tǒng)的安全防護體系，避免出現(xiàn)安全防護中的“木桶現(xiàn)象”。縱向加密認(rèn)證是安全防護核心的縱向防線，其具體實現(xiàn)是通過專用的電力加密認(rèn)證網(wǎng)關(guān)來實現(xiàn)，目的是通過采用認(rèn)證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護[7]。

四、結(jié)語

地區(qū)電力調(diào)度控制中心電力二次系統(tǒng)的安全運行是地區(qū)電網(wǎng)安全運行的重要保證，根據(jù)電力調(diào)度控制中心電力二次系統(tǒng)的實際情況，嚴(yán)格按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的電力二次系統(tǒng)安全防護總體原則，設(shè)計、制訂并實施了地區(qū)電力調(diào)度控制中心二次系統(tǒng)安全防護方案，就二次系統(tǒng)安全防護設(shè)備的部署以及防護方案的具體實施進行了詳細(xì)的敘述，結(jié)合行之有效的各種措施，有力保障了電力二次系統(tǒng)的安全運行。

同時，鑒于電力二次系統(tǒng)安全防護工程是一個長期的動態(tài)工程，二次系統(tǒng)的安全防護體系要在實施過程中根據(jù)生產(chǎn)實際需要不斷加以修正和完善，以滿足政策和文件中對電力二次系統(tǒng)安全防護所要求的系統(tǒng)性原則和螺旋上升的周期性原則。

參考文獻：

[1]謝善益，梁智強.電力二次系統(tǒng)安全防護設(shè)備技術(shù)[M].北京：中國電力出版社，2012.

[2]陳霖.淺談地區(qū)電網(wǎng)二次系統(tǒng)的安全防護[J].江西電力，2005，

29（3）：10-12.

[3]張建庭，朱輝強.電力二次系統(tǒng)安全防護體系建設(shè)要點淺析[J].信息通信，2012，（6）：279.

[4]周小燕，楊宏宇，崔恒志，等.地區(qū)電力調(diào)度中心二次系統(tǒng)安全防護[J].江蘇電機工程，2005，24（2）：50-52.

[5]臧琦，鄒倩，郭娟莉，等.電網(wǎng)調(diào)度自動化二次系統(tǒng)安全防護實踐[J].電子設(shè)計工程，2011，19（20）：47-49.

網(wǎng)絡(luò)安全防護體系建設(shè)范文6

關(guān)鍵詞：信息 安全

1.現(xiàn)狀分析

當(dāng)前海口航標(biāo)處信息化網(wǎng)絡(luò)主要分為海事內(nèi)網(wǎng)（簡稱內(nèi)網(wǎng)）與互聯(lián)網(wǎng)（簡稱外網(wǎng)），內(nèi)網(wǎng)與外網(wǎng)之間通過網(wǎng)閘設(shè)備實現(xiàn)物理隔離，外網(wǎng)安全設(shè)備主要有防火墻、上網(wǎng)行為管理設(shè)備；內(nèi)網(wǎng)安全設(shè)備主要是防火墻設(shè)備。內(nèi)網(wǎng)、外網(wǎng)均有網(wǎng)絡(luò)版殺毒軟件中心。在整個網(wǎng)絡(luò)體系中，已經(jīng)在互聯(lián)網(wǎng)出口邊界部署防火墻、網(wǎng)閘等安全設(shè)備，但是網(wǎng)絡(luò)安全防護是一個體系，在網(wǎng)絡(luò)終端防護、全網(wǎng)安全監(jiān)控等方面還比較薄弱，主要體現(xiàn)在以下幾個方面：

（1）網(wǎng)絡(luò)沒有安全區(qū)域劃分。由于缺乏網(wǎng)絡(luò)安全區(qū)域劃分，在內(nèi)網(wǎng)中，辦公用戶與業(yè)務(wù)服務(wù)器之間訪問沒有任何控制措施。業(yè)務(wù)服務(wù)器是重要數(shù)據(jù)存儲區(qū)域，需要加強該區(qū)域數(shù)據(jù)保護。

（2）缺乏網(wǎng)絡(luò)準(zhǔn)入防護。內(nèi)網(wǎng)中沒有部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對于外來用戶，只要獲取到IP地址，就可以訪問內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器，為了保證內(nèi)網(wǎng)用戶，業(yè)務(wù)服務(wù)器的安全，需要對外來用戶進行準(zhǔn)入控制，分配訪問權(quán)限，入網(wǎng)安全檢查。只有合格的用戶終端才能訪問內(nèi)網(wǎng)。

（3）缺乏網(wǎng)絡(luò)檢測系統(tǒng)。對于整個內(nèi)網(wǎng)中用戶相互之間的訪問行為、用戶與服務(wù)器之間的訪問行為，不能有效實時監(jiān)控，當(dāng)內(nèi)網(wǎng)中用戶終端之間存在相互感染，沒有任何網(wǎng)絡(luò)預(yù)警措施。

（4）服務(wù)器或者用戶終端漏洞無法檢測。內(nèi)網(wǎng)中沒有部署補丁服務(wù)器，內(nèi)部用戶也沒有及時自動打補丁，導(dǎo)致各個用戶終端存在著系統(tǒng)漏洞，業(yè)務(wù)服務(wù)器也沒有及時更新操作系統(tǒng)補丁，也存在很大的網(wǎng)絡(luò)風(fēng)險。

2.安全需求分析

當(dāng)前網(wǎng)絡(luò)安全需求主要有以下幾個方面：

（1）建立有效的安全區(qū)域防護。根據(jù)航標(biāo)處本身網(wǎng)絡(luò)系統(tǒng)實際安全需求，進行合理的安全域劃分和分區(qū)域安全防護設(shè)計、實施，通過一定的技術(shù)手段，對區(qū)域內(nèi)和區(qū)域間的流量行為進行邏輯隔離和防護，對惡意代碼和黑客入侵進行阻隔，保護區(qū)域間的安全。

（2）部署終端安全管理系統(tǒng)。終端安全管理系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的終端電腦進行統(tǒng)一管理和策略下發(fā)，以達到通過技術(shù)手段對終端電腦的操作行為和運行狀態(tài)的可控、可管，防止終端用戶隨意接入網(wǎng)絡(luò)和任意操作而造成的數(shù)據(jù)泄密事故的發(fā)生。

（3）針對全網(wǎng)實現(xiàn)可行的行為分析。通過此次安全系統(tǒng)的建設(shè)，對全網(wǎng)流行為進行全方位、多視角、細(xì)粒度的實時監(jiān)測、統(tǒng)計分析、查詢、追溯、可視化分析展示等。有效管理和發(fā)現(xiàn)流量的異常波動行為，并能及時發(fā)出預(yù)警機制。

（4）部署安全審計系統(tǒng)。內(nèi)網(wǎng)中可能存在內(nèi)部系統(tǒng)維護人員對業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問、違規(guī)操作，損害業(yè)務(wù)系統(tǒng)的運行安全，或者員工隨意通過網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生。因此為了能夠有效發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄、定位，最終實現(xiàn)追蹤溯源，需要部署網(wǎng)絡(luò)安全審計系統(tǒng)。

（5）戰(zhàn)略發(fā)展要求。信息系統(tǒng)安全已上升到國家戰(zhàn)略層面，為此，應(yīng)加強信息安全建設(shè)，有效提高信息安全保障能力和水平，以保障和促進信息化健康有序發(fā)展。

3.建設(shè)方案

（1）建設(shè)目標(biāo)。按照處信息化整體規(guī)劃方向，結(jié)合信息安全現(xiàn)狀，參照當(dāng)前主流網(wǎng)絡(luò)安全、信息安全技術(shù)，建設(shè)一個安全可靠、可擴展、可管理運維的一體化信息安全防護支撐系統(tǒng)，同時建立一套有效、可持續(xù)性的信息安全管理流程與制度。

（2）建設(shè)內(nèi)容。航標(biāo)處安全防護體系建設(shè)項目包含以下內(nèi)容。檢測防御類系統(tǒng)：防火墻系統(tǒng)、網(wǎng)絡(luò)入侵防護系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)；安全評估類系統(tǒng)：漏洞掃描系統(tǒng)；安全監(jiān)管類系統(tǒng)：安全審計系統(tǒng)、堡壘機系統(tǒng)、企業(yè)安全管理系統(tǒng)；終端管理系統(tǒng)： 終端安全管理軟件。

（3）方案詳細(xì)設(shè)計。

①網(wǎng)絡(luò)拓?fù)鋱D如圖1。

②具體設(shè)計內(nèi)容

?防火墻系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)出口處部署一臺防火墻設(shè)備，橋接模式部署，實現(xiàn)內(nèi)網(wǎng)服務(wù)器群區(qū)與其他區(qū)域之間邏輯隔離，保護內(nèi)網(wǎng)服務(wù)器免受其他區(qū)域不安全終端電腦的感染。

?入侵防護系統(tǒng)

在內(nèi)網(wǎng)服務(wù)器群區(qū)域出口處串接部署一臺網(wǎng)絡(luò)入侵防護系統(tǒng)，針對日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，適應(yīng)攻防的最新發(fā)展，準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各層面安全隱患，第一時間將安全威脅阻隔在服務(wù)器群區(qū)域外部。

?入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)旁路部署在核心交換區(qū)域核心交換機上，通過核心網(wǎng)絡(luò)鏡像，把所通過核心的所有網(wǎng)絡(luò)訪問進行監(jiān)測，檢測與智能分析系統(tǒng)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測效果，并通過簡單易懂的去技術(shù)化語言幫助用戶分析威脅，對威脅進行有效處理。

?安全審計系統(tǒng)

安全審計系統(tǒng)旁路部署在核心交換區(qū)，通過核心網(wǎng)絡(luò)鏡像，把所通過該匯聚的所有網(wǎng)絡(luò)訪問進行審計。基于網(wǎng)絡(luò)行為、數(shù)據(jù)流內(nèi)容等多個層次，實現(xiàn)對用戶上網(wǎng)行為的精細(xì)化審計；支持“零管理”技術(shù)從實時升級系統(tǒng)到報表系統(tǒng)，從審計告警到日志備份，所有管理員需要日常進行的操作均可由系統(tǒng)定時自動后臺運行。系統(tǒng)提供全面的事件日志信息的備份、恢復(fù)、清除、歸并等功能；并提供基于時間、IP地址、用戶、事件類別等條件的檢索功能；

?堡壘機系統(tǒng)

安全審計系統(tǒng)堡壘機旁路部署在安全管理上，通過運維管理人員通過訪問該系統(tǒng)進行單點訪問操作系統(tǒng)、數(shù)據(jù)庫等，通過該設(shè)備進行運維管理與審計，有效管控內(nèi)部人員操作的安全隱患、第三方維護人員安全隱患、高權(quán)限賬號濫用等所帶來的風(fēng)險。實現(xiàn)自然人對資源的統(tǒng)一授權(quán)，同時授權(quán)人員的運維操作進行記錄、分析、展現(xiàn)，以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤回放，加強內(nèi)部業(yè)務(wù)操作行為監(jiān)管。

4.預(yù)計效果分析

通過對航標(biāo)處網(wǎng)絡(luò)系統(tǒng)安全防護現(xiàn)狀的充分分析，結(jié)合業(yè)務(wù)系統(tǒng)的實際安全需求，對整個網(wǎng)絡(luò)系統(tǒng)進行安全區(qū)域劃分，實現(xiàn)區(qū)域之間相互訪問控制，重點對外網(wǎng)區(qū)、內(nèi)網(wǎng)服務(wù)器區(qū)、核心交換區(qū)進行安全防護建設(shè)，分別從網(wǎng)絡(luò)安全、數(shù)據(jù)安全、終端安全三個方面進行網(wǎng)絡(luò)安全規(guī)劃，部署網(wǎng)絡(luò)安全管理區(qū)，完善安全管理制度，在整個航標(biāo)處網(wǎng)絡(luò)系統(tǒng)中建立一體化安全防護體系。具體效果如下：

（1）安全區(qū)域劃分。對整個航標(biāo)處網(wǎng)絡(luò)系統(tǒng)進行安全區(qū)域劃分，實現(xiàn)業(yè)務(wù)系統(tǒng)區(qū)、訪問用戶、互聯(lián)網(wǎng)出口、核心交換區(qū)之間相互訪問可以權(quán)限控制。通過安全區(qū)域劃分，為提升整個安全防護水準(zhǔn)提供基礎(chǔ)。

（2）提升網(wǎng)絡(luò)安全防護水平。通過在外網(wǎng)區(qū)、業(yè)務(wù)服務(wù)器區(qū)部署防火墻、入侵防護系統(tǒng)等設(shè)備，提升互聯(lián)網(wǎng)出口防護水平，保護業(yè)務(wù)服務(wù)器免受黑客入侵。