网络安全加固措施范文

导语：如何才能写好一篇网络安全加固措施，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

商城县公安局网监大队：

我院在接到贵单位发来的《信息系统安全等保限期整改通知书》后，院领导高度重视，责成信息科按照要求进行整改，现在整改情况报告如下。

一、我院网络安全等级保护工作概况

根据上级主管部门和行业主管部门要求，我院高度重视并开展了网络安全等级保护相关工作，工作内容主要包含信息系统梳理、定级、备案、等级保护测评、安全建设整改等。我院目前运行的主要信息系统有：综合业务信息系统。综合业务信息系统是商城县人民医院核心医疗业务信息系统的集合，系统功能模块主要包括医院信息系统(HIS)、检验信息系统(LIS)、电子病历系统(EMRS)、医学影像信息系统(PACS)，其中医院信息系统(HIS)、检验信息系统(LIS)、电子病历系统(EMRS)由福建弘扬软件股份有限公司开发建设并提供技术支持，医学影像信息系统(PACS)由深圳中航信息科技产业股份有限公司开发建设并提供技术支持。

我院已于2018年11月完成了综合业务信息系统的定级、备案、等级保护测评、专家评审等工作，系统安全保护等级为第二级（S2A2G2），等级保护测评机构为河南天祺信息安全技术有限公司，等级保护测评结论为基本符合，综合得分为76.02分。在测评过程中，信息科已根据测评人员建议对能够立即整改的安全问题进行了整改，如：服务器安全加固、访问控制策略调整、安装防病毒软件、增加安全产品等。目前我院正在进行门户网站的网络安全等级保护测评工作。

二、安全问题整改情况

此次整改报告中涉及到的信息系统安全问题是我院于2018年11月委托河南天祺公司对医院信息系统进行测评反馈的内容，主要包括应用服务器、数据库服务器操作系统漏洞和Oracle漏洞等。针对应用服务器系统漏洞，我院及时与安全公司进行沟通，沟通后通过关闭部分系统服务和端口，更新必要的系统升级包等措施进行了及时的处理。针对Oracle数据库存在的安全漏洞问题，我们与安全公司和软件厂商进行了沟通，我院HIS系统于2012年底投入使用，数据库版本为Oracle 11g，投入运行时间较早，且部署于内网环境中未及时进行漏洞修复。

经过软件开发厂商测试发现修复Oracle数据库漏洞会影响HIS系统正常运行，并存在未知风险，为了既保证信息系统安全稳定运行又降低信息系统面临的安全隐患，我们主要采取控制数据库访问权限，切断与服务器不必要的连接、限制数据库管理人员权限等措施来降低数据库安全漏洞造成的风险。具体措施为：第一由不同技术人员分别掌握数据库服务器和数据库的管理权限；第二数据库服务器仅允许有业务需求的应用服务器连接，日常管理数据库采用本地管理方式，数据库不对外提供远程访问；第三对数据库进行了安全加固，设置了强密码、开启了日志审计功能、禁用了数据库默认用户等。

我院高度重视网络安全工作，医院网络中先后配备了防火墙、防毒墙、入侵防御、网络版杀毒软件、桌面终端管理等安全产品，并正在采购网闸、堡垒机、日志审计等安全产品，同时组建了医院网络安全小组，由三名技术人员负责网络安全管理工作，使我院网络安全管理水平大幅提升。

“没有网络安全，就没有国家安全”。作为全县医疗救治中心，医院始终把信息网络安全和医疗安全放在首位，不断紧跟医院发展和形势需要，科学有效的推进网络安全建设工作，并接受各级主管部门的监督和管理。

篇2

在电信部门IDC机房部署应用服务器两台及以上、数据库服务器两台（或者四台）分别做双机热备或多机互备，数据库服务器通过光纤交换机与存储系统相连接，为了便于数据同步，在单位部署一台数据上传服务器和电信部门IDC机房部署一台前置数据库服务器，定期将内部需要在外网查询的内容通过数据上传服务器自动传送到外网前置数据库服务器上，在外网前置数据库服务器上进行数据校验和比对后自动同步到网站数据库服务器上，实现内外网数据的及时更新。

2网络通信建设

由于门户网站的所有硬件都托管在电信部门IDC机房，故在网络通信方面完全利用电信部门IDC机房现有的网络通信设备，对外出口带宽至少为两条100MB链路。

3网络安全防护建设

政府类门户网站的安全建设按照计算机信息系统安全等级保护三级技术标准执行。涉及内容包括：数据机房安全、网络通信安全、主机系统安全、应用安全、数据安全几个部分。

3.1防护对象

政府门户网站信息网络大致可分为管理信息区域和信息区域，管理信息区域用于支撑该系统与业务相关的内部管理信息应用数据。管理信息区域划分为用于承载内部办公的信息内网和用于支撑对外业务和互联网用户的信息外网。信息区为面向公众的信息平台，用于信息查询、政策导向、公众监督等互联网访问需要。

3.2设计思路

政府类门户网站网络安全防护体系是依据以下策略进行建设：双网双机：管理信息区划分为信息内网和信息外网，内外网间采用物理隔离，信息内外网分别采用独立的服务器，数据进行单向流动，通过人工操作实现，极大地保障了信息数据和内部网络的安全。等级防护：管理信息系统将以实现等级保护为基本出发点进行安全防护体系建设，并参照国家等级保护基本要求进行安全防护措施设计；多层防御：在分域防护的基础上，将各安全域的信息系统划分为边界、网络、主机、应用四个层次进行安全防护设计，以实现层层递进，纵深防御。

3.3防护措施

（1）基于网络安全的访问控制。在网络边界部署访问控制设备，启用访问控制功能；根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；在会话处于非活跃时间或会话结束后终止网络连接；限制网络最大流量数及网络连接数；重要网段采取技术手段防止地址欺骗；按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；限制具有拨号访问权限的用户数量。

（2）设备和审计系统结合。对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；能够根据记录数据进行分析，并生成审计报表；对审计记录进行保护，避免受到未预期的删除、修改或覆盖等；实现对应用系统的数据访问与操作进行全面地监控审计，可实时显示和监视操作行为，详细记录所有的操作行为和操作内容，提供审计查询和关联分析，输出完整地审计统计报告。

（3）基于安全事件的防护。能够对非法接入内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

（4）检测和主动防御的融合。在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时提供报警。

（5）病毒防御机制。在网络边界处对恶意代码进行检测和清除；维护恶意代码库的升级和检测系统的更新。

（6）虚拟接入和防篡改技术。对登录网络设备的用户进行身份鉴别；对网络设备的管理员登录地址进行限制；网络设备用户的标识唯一；当对网络设备进行远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听；实现设备特权用户的权限分离。通过主页防篡改系统进一步防止黑客对门户网站设备的入侵。

（7）主机系统防护。主机系统安全防护包括对系统内服务器及存储设备的安全防护。服务器包括业务应用服务器、数据库服务器、WEB服务器、文件与通信服务器等。保护主机系统安全的目标是采用信息保障技术确保业务数据在进入、离开或驻留服务器时保持可用性、完整性和保密性，采用相应的身份认证、访问控制等手段阻止未授权访问，采用主机防火墙、入侵检测等技术确保主机系统的安全，进行事件日志审核以发现入侵企图，在安全事件发生后通过对事件日志的分析进行审计追踪，确认事件对主机的影响以进行后续处理。

3.4安全防护集成

综上所述，政府门户网站信息网络的可靠运转是基于通讯子网、计算机硬件、操作系统、各种应用软件等各方面、各层次的良好运行。因此，其风险将来自对内部和外部的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、病毒防治等。

（1）网络出口边界部署能够防御DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击的下一代防火墙。保证正常访问用户的接入，对内网资源形成进行有效保护。

（2）网络出口部署入侵防御系统，因为内部网络中有很多服务器（如web服务器、通讯服务器、应用服务器集群等等），各种服务器的操作系统和数据库在网络通讯传输中存在天然的安全隐患，如对协议中的异常情况考虑不足。外部非法访问可利用协议的漏洞对服务器发起攻击。向服务器发送非标准或者缓冲区溢出的协议数据，从而夺取服务器控制权或者造成服务器宕机。密切跟踪全球知名安全组织和软件厂商的安全公告，对各种威胁进行分析、验证，保证实时更新签名库，跟进安全威胁的发展状况。不断升级入侵防御系统检测引擎以防护新出现的安全威胁，具备防御0-DAY攻击能力。

（3）网络内部署安全审计系统，在严格执行安全保密规定的基础上，对整个系统的监控审计管理，保证系统的数据完整性、保密性和可信性。实时显示和监视操作行为，详细记录所有的操作行为和操作内容，提供审计查询和关联分析，输出完整地审计统计报告。发生安全问题时，可以从系统的审计记录库中快速查找违规操作活动和留下的痕迹，获取可靠的证据信息，如果发生了安全事故也能够快速查证并追根寻源。

（4）在门户网站服务器前端部署web应用防火墙系统，对web服务器进行全面防护，发现并阻断各种WEB攻击，定期检查网站各种安全隐患，发现问题及时预警并自动采取修补措施；实时防护各种WEB应用攻击、DDOS攻击、网页木马攻击等行为。

（5）在Web服务器上部署网页放篡改系统，采用HTTP请求过滤、核心内嵌等技术；提供实时阻断、事件触发、数字水印和应用防护四种防护措施，通过四种防护措施的合理组合达到起到更好的防护作用。在安全审计系统对Web服务器的所有操作全面监控进行告警、记录的预防措施的前提下，形成一套有机的保护体系，在发生篡改行为后迅速恢复Web网页内容，不影响正常访问，避免业务中断。

（6）网络出口部署的防病毒网关，所有数据流都需要经过防病毒网关。因此防病毒网关能够有效地监控进入内部网络的流量。提供两种方式的病毒扫描，一种传统的扫描方式，文件完全扫描后推送给真正的接收者，主要用来保护安全需求强烈的服务器或者重要区域，另一种是边传输边缓存的方式，允许用户实时接收数据，延时减小。

3.5网络安全技术服务

政府门户网站信息网络投入运行后，如何保障系统的安全运行便成了重中之重。其中涉及的工作量巨大，技术要求亦非常高。因此，政府门户网站常常采取安全服务外包方式聘请具备专业安全服务资质的机构进行网络安全保障。安全服务内容主要包括以下方面：

（1）Web安全监测。针对WEB应用安全，我们所提出日常安全检测内容需包含：XSS跨站攻击检测；SQL注入检测；URL重定向检测；FORM检测（单表逃逸检测）；FORM弱口令检测；网页木马（恶意代码）检测；数据窃取检测；GOOGLE-HACK检测；中间人攻击检测；Oracle密码暴力破解；WebSer-viceXPath注入检测；Web2.0AJAX注入检测；Cookies注入检测；杂项：其他各类CGI弱点检测，如：命令注入检测、LDAP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等。（2）数据库安全监测。数据库安全检测需实现的功能：发现不安全的数据库安装和配置；发现数据库弱口令；发现数据库的变化或潜藏木马；发现数据库弱点和补丁的层次。从而在此基础上形成一个综合的分析报告及修复建议。

（3）漏洞及病毒通报.系统在运行期间，计算机病毒及安全漏洞问题将是直接威胁整个系统运行的重要因素。因此，我们需要安全服务提供商定期提供定向计算机漏洞及病毒情况通报。借此，通过对这些情况的实时动态、快速的掌握，可提高管理部门的快速响应能力。

（4）风险评估。该系统需定期进行风险评估工作。有效地借助专业安全服务提供商的力量，来检测本系统现行情况的安全现状。

（5）系统安全加固。安全服务提供商需指派专业人员定期针对加固的系统进行漏洞扫描、攻击、渗透等方面的测试，确保核心设备、核心系统的加固有效性，并及时报告系统加固现状。在业务系统上线之前检查安全配置情况，并提供安全加固建议。安全加固是指针对政府门户网站的服务器、安全设备的安全加固和安全配置优化，对网络设备的安全加固建议。通过定期的加固工作，将系统的安全状况提升到一个较高的水平。将在漏洞扫描、安全审计、渗透测试的报告结果基础上，对服务器、安全设备等方面存在的各类脆弱性问题进行提炼归纳，提出合理的切实可行的安全加固方案。安全加固方案在提交并经过用户方评审、许可后，进行安全加固实施，同时，必须指导、协助对各应用系统的操作系统、数据库系统、中间件和应用程序的安全配置、安全策略和安全机制进行电子政务云计算中心加固和完善，使应用系统符合安全防护要求，保证该信息系统的安全可靠运行。

3.5.1应急响应目标

及时响应信息系统的安全紧急事件，保证事件的损失降到最小。包括如下目标：

（1）7*24*365快速响应服务（本地），提供全天候的紧急响应服务，本地在2个小时内到达现场；

（2）判定安全事件类型，从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度：

（3）抑制事态发展，抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的；

（4）排除系统故障，针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题；

（5）恢复信息系统正常操作，在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务；

（6）信息系统安全加固，对系统中发现的漏洞进行安全加固，消除安全隐患；

（7）重新评估信息系统的安全性能，重新评价系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

3.5.2应急响应内容

应急响应是处理各种恶意攻击带来的紧急破坏效果，这里包括如下方面：

（1）拒绝服务响应，当网络遭受大量通问而造成我们正常业务无法提供服务的时候，必须采取措施，将恶意访问抵挡在业务范围之外；

（2）数据破坏响应，当服务器的相关环节，包括文件服务器，网站服务器，数据库服务器等的数据被恶意破坏，导致无法正常提供服务，并且此类现象可能还会重现；

（3）病毒蠕虫响应，当网络遭受到病毒蠕虫的攻击，导致正常办公网络瘫痪无法正常实施业务，必须采取根治措施，去除恶意影响；

（4）其他情况应急响应，除了上面列明外，包括恶意窃听、代码攻击、网络欺骗等，需要进一步找到攻击根源，去除漏洞。

3.6等级保护测评

聘请第三方信息安全等级保护测评公司进行网站系统相关软硬件是否达到信息安全等级保护三级的要求，并出具测评证书。

4建立及完善安全管理机制和网站维护队伍

篇3

关键词：4G；无线；通信；网络安全

当前情况下业内人员高度重视4G无线通信的网络安全性，因为它是确保移动无线通信系统使用价值得以实现的重要指标。但是在实际的使用过程中，仍然着许多安全隐患，这对于客户来说，会给客户带来很大的经济损失和不便之处，所以必须制定出相对的策略，这样才能提高4G无线通信的网络的安全性。

1 4G无线通信网络概述

1.1 4G无线通信网络的主要结构和优势

4G无线通信网络能够综合化管理无线局域网与蓝牙等网络之间的信号机卫星通信，还能实现宽带连接技术与网络电视播放技术上的新的突破和革新发展。就目前来说，4G通信体系已经构成了一个比较完善的无线通信网络，可以在室内与室外种种区域中提供无线宽带网络服务，并且连接各个区域中的无线平台，最终搭建起一个高效的移动数据传输平台。在这个通信网络系统下，能够有效的传输图像、声音与文字等信息，这是无线通信系统中的集成化体系。

1.2 4G通信技术的优点

4G无线通信网络具有一些独特的优点，它能满足各个网络之间的无缝联接，这个建立在全IP网络的体系结构就构成了它的核心网，主要涉及到四大元素：

网络维护管理、承载机制、网络资源控制与应用服务。跟3G网络相比，蜂窝网络和电路交换被升级为全IP核心网和分组交换，以便确保4G网络实现网络移动条件下工作站的高速移动，确保最终能提供2-100Mbit/s的数据传输速率。

2 4G无线通信系统的网络安全威胁

2.1 移动终端的安全威胁

① 因为移又斩耸褂昧烁髦掷啾鸬牟僮飨低常而这些移动操作系统还不够完善，里面存在的漏洞比较多，最终给移动终端造成了安全隐患；②由于移动终端能够有效的支持无线网络中的电子商务和电子邮件等运用，这些无线网络运用在程序方面存在较多的漏洞，而且存在较大的安全隐患，也大大增加了病毒感染的渠道，最终直接威胁到无线终端的安全；③随着病毒种类越来越多，以前的防病毒软件在体积上得到了很大程度的增大，而移动终端的计算能力、存储能力和电池容量是有限的，根本不能满足当前的需求；④由于本网络系统在保护验证机制和访问控制机制方面不够完整，不够机密，也不够完善，移动终端硬件平台上的各个模块和内部通行接口比较容易受到攻击者的篡改与非法访问，使得信息被非法窃取和访问。

2.2 无线通信网络的安全威胁

①由于无线网络具有融合和共存等特点，用户可以实现各种系统相互间的切换，使得无线网络移动性管理受到了很大的安全威胁；

②4G网络一定要跟异构非IP网络连接，但是要有可靠的QoS支持，要是不能满足这些要求，就会存在较大的安全隐患；③无线网络的主要构成包括安全机制、协议和体系，无线网络不同会存在一定的差异，在网络融合中会有安全威胁，且无线网络结构的不同也易造成容错性。

2.3 无线业务的安全威胁

①随着基于电子商务的无线应用及增值业务的推陈出新，提出了更加高级的安全需求，但现有的安全机制却难以满足；

②因缺少完善的安全交易凭证，无线业务的利益冲突会越来越多；③由于一次无线移动业务中会涉及多个网络运营商、业务提供商的服务，利益争端更为复杂，业务安全威胁更高。

3 提升4G无线通信网络安全性的措施

因为无线网络在基本特性方面不同于有线网络，所以，在无线通信的网络安全方案设计上，一定要将其兼容性、安全性和效率性等因素充分考虑在内，最终实现4G无线通信网络安全性的有效提升。

3.1 安全防护措施

（1）移动终端的安全防护措施

①在物理硬件的安全防护方面，为削弱物理接口的被攻击性，需要提升集成度，增加电流与电压检测电路，提高启动、检验与存储等方面的完善性；②在操作系统方面，需选用可靠性强的操作系统，并加固操作系统，使系统能够满足混合式访问控制、远程验证、域隔离控制等的安全操作。

（2）无线接入网的安全防护措施

①高可靠性载体是移动终端与无线接入网建立连接的第一道关卡，以数字证书等载体构建双向身份认证机制；②采用相关技术措施（如物理地址过滤、端口访问控制等）设置无线接入网的细粒度访问控制策略；③为防止非可信移动终端接入无线接入网络，需运用无线接入网自身安全策略来实现可信移动终端的安全接入功能，或是借助相关辅助安全设备来实现安全接入；④根据业务需求，移动终端在与无线接入网进行传输过程中需建设加密传输通道，以自主设置数据传输方式来实现安全传输，或是开设专用网络来实现物理、逻辑隔离；⑤满足无线接入网的安全数据过滤功能，发挥该功能对无线接入网资源在内部系统或核心网中的安全性，防止非法数据的侵入；⑥为针对性、有效性分析和记录移动终端的行为规律、异常操作，以保障无线接入网的可靠性与高效性，需要结合移动终端的访问行为、无线接入设备的运作情况来构建统一的监控和审计系统。

3.2 加固保护措施

（1）研发与利用加固型操作系统

为了规避安全问题，在选择操作系统时，应选择满足TMP 需求的操作系统，能够支持远程验证、区域隔离以及混合访问控制等操作。

（2）采取硬件物理保护措施

通过加大无线通信测试平台硬件的集成度，减少存在攻击威胁的接口数量，并适当增加电压、电流以及温度，以此方式达到检测电路的目标，以防采取物理检测措施时被攻击。此外，针对TPM 和全球用户识别卡中的相关数据，还应当根据安全级别进行销毁处理。

（3）不断加固硬件平台

把中国移动互联网可信应用平台视作网络安全问题基本防护对象，除了对其进行全方位检测以及可信启动之外，还应予以存储保护等安全措施。同时，由于4G 无线通信的核心网是TD-SCDMA，尽管不对称管制、起步晚以及备受怀疑等主客观因素对其发展产生了一定的影响，但TD-SCDMA的整体发展趋势十分明朗，同时还取得了较大成功。而随着TD-LTE 的不断推行与普及，其发展事态已远远超TDSCDMA，

全球范围内TD-LTE 的商用网络总数已达到13 个，其发展与应用必定会成为大势所趋。

3.3 提升通信服务效率

因为无线通信在网络资源上比较有限，为了有效确保网络资源的可靠性和安全性，首先应当控制安全协议的信息交互总数，确保安全信息的精准性与短小性。其次，控制移动终端的任务数量，针对4G 无线通信的网络终端制定明确的标准，要求其计算能力具备明显的非对称性。最后，针对处于闲置状态的移动终端，必须加以有效利用，从而实现预计算、预认证的目标。

综上所述，无线网络因为方便安装，使用起来灵活、经济，能在很大程度上提高用户的自由度，大大提升了用户的体验效果，但是不管是2G、3G，还是4G通信，在带来自由和便利的同时也带来了新的威胁和挑战，特别是侵入接入系统和移动终端的黑客和病毒已经越来越严重。相信随着新技术的不断涌现和发展，应用合理的安全防护措施，4G通信的安全性会逐步加强。

参考文献：

篇4

关键词：计算机；信息；技术；网络；安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)15-30722-02

On Information Technology and Computer Network Security

TAN Chun-xia

(CAC Technology, Chengdu, China)

Abstract:With computer networks, communications technology, electronics technology's rapid development, we have entered the information of the 21st century. Human feelNetwork Information System to the community's great contribution, but also recognizes that the issue of network security has become the affected countries, army, the survival and development of enterprises and the need to solve the most crucial problems. Network security is the one involving computer science, network technology, communications technology, the key technology, information security technology, applied mathematics, number theory, and information theory in a variety of disciplines such as a comprehensive. Network security in different environments and applications will have different focus, the nature of the information to ensure security during the network of information flow or static storage when not authorized by the illegal users of illegal visit

Key words:Computer;Information;technology;network;security

1 网络安全的重要性

以Internet国际互联网为代表的信息网络向人们初步展现了未来世纪的信息能力，它遍及全球180多个国家和地区，融入了60多万个网络，连接了2000多万台计算机，为一亿多用户提供多种信息服务，把巨大的地球变成了信息瞬间可达、方便交往的“地球村”。

金融、制造、电信、财税、教育、交通等信息网络运载着大量的客户档案数据、运行数据、物流数据，一旦数据丢失、被篡改，必将造成难以估量的损失。因此，安全问题是当前政府部门、大型企业网络和信息化建设必须解决的基本问题，信息系统及网络系统的安全工作已是他们安全工作的重中之重。在这些网络上，窃密与反窃密、破坏与反破坏的斗争是全方位的，不只是个人、集团级的行为，而且是国家级的行为。在这样的斗争中，要立于不败之地、掌握主动权，就必须对信息系统的服务、传输媒介和协议各个环节，一方面是作为信息系统最核心层的软件、芯片、操作系统(协议和服务)漏洞等可能成为网络信息安全隐患的环节，进行必要的安全防护和加固，而另一方面安全防护与加固的前提则是对信息系统做出全面准确的安全评估，全方位系统化提高整个系统的安全等级。

2 网络安全面临的威胁

一般讲，网络攻击能够成功的主要原因：一是由于现有的网络系统具有内在的安全脆弱性；二是由于管理者思想麻痹，没有重视网络入侵所造成的严重后果，因而舍不得投入必要的人、财、物力来加强网络的安全性。

具体说来，有以下几个方面：

2.1系统漏洞

网络系统普遍采用TCP/IP协议，TCP/IP在设计时以方便应用为首要的任务，许多协议，如文件传输协议(FTP)，缺乏认证和保密措施。网络操作系统和应用程序普遍存在漏洞，黑客和病毒往往利用这些漏洞对网络系统进行破坏。

2.2黑客攻击

黑客会利用网络扫描工具，发现目标系统的漏洞，发动攻击，破坏目标系统的安全，主要有以下3种方法：

2.2.1拒绝服务攻击

主要是指通过制造无用的网络数据，造成网络拥堵或大量占用系统资源，使目标主机或网络失去及时响应访问能力。分布式拒绝服务的危害性更大，黑客首先进入一些易于攻击的系统，然后利用这些被控制的系统向目标系统发动大规模的协同攻击，其威力比拒绝服务攻击大很多。

2.2.2口令破解

网络中的身份鉴别方法中很重要的一种是用户名/口令，它实现起来简单，被广泛地使用。黑客利用黑客程序记录登录过程或用户口令破解器来获取口令，进而在网络上进行身份冒充，从而对网络安全造成威胁。如果黑客获取了系统用户的口令，则将对系统造成灾难性的后果。

2.2.3电子邮件炸弹

黑客通过不断地向某邮箱发电子邮件，从而造成邮箱的崩溃，如果接受为邮件服务器，则可能造成服务器的瘫痪。

2.3 病毒入侵

网络已成为病毒传播的主要途径，病毒通过网络入侵，具有更高的传播速度和更大传播范围，其破坏性也不言而喻，有些恶性的病毒会造成系统瘫痪、数据破坏，严重地危害到网络安全。

2.4网络配置管理不当

网络配置管理不当会造成非授权访问。网络管理员在配置网络时，往往因为用户权限设置过大、开放不必要的服务器端口，或者一般用户因为疏忽，丢失账号和口令，从而造成非授权访问，给网络安全造成危害。

2.5陷门和后门

这是一段非法的操作系统程序，其目的是为闯入者提供后门，它可以在用户主机上没有任何痕迹地运行一次即可安装后门，通过后门实现对计算机的完全控制，而用户可能莫名其妙地丢失文件、或被篡改数据等。

2.6操作人员方面

2.6.1保密观念

部分操作人员保密观念差，缺乏相应的计算机信息安全管理制度，随便让闲散人进入机房重地，随息放置相关密码和系统口令的工作笔记、存储有重要信息的系统磁盘和光盘等。

2.6.2工作责任心

操作人员工作责任心不强。经常擅自离开工作岗位或者疏于定期检查和系统维护，不严格执行安全作规程，这些都可能使非法分子有机可乘。

3 网络安全对策措施

从安全技术保障手段讲，信息系统应当采用先进的网络安全技术、工具、手段和产品，同时一旦防护手段失效时，要有先进的系统恢复、备份技术(工具)。根据网络安全监测软件的实际测试，一个没有安全防护措施的网络，其安全漏洞通常有1500个左右。用户口令的管理对系统安全至关重要。但实际上，网络用户中很谨慎地使用口令的人很少。有人在因特网上用字典攻击法在给出用户名的条件下进行过实际测试，测出70%的用户口令只用了30分钟，80%用了两小时，83%用了48小时。

当能够有效地分析网络信息安全隐患并能有效地了解其可能的攻击方法时，就可以有针对性地采取安全措施。

3.1物理安全管理

计算机网络系统物理安全管理防护对策可归纳为：1对传导发射的防护。可以采取对电源和信号线加装滤波器的方法进行，减小传输阻抗和导线的交叉耦合。2对辐射的防护。可以采取各种电磁屏蔽措施，对机房的下水管、暖气管和金属门窗进行屏蔽和隔离。

3.2访问控制技术

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

3.2.1入网访问控制

它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

3.2.2权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。

3.2.3目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而增加了网络和服务器的安全性。

3.2.4属性安全控制

属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。

3.3安全鉴别技术

一是网络设备的鉴别，即基于VPN设备和IP加密机的鉴别；二是应用程序中的个人身份鉴别；三是远程拨号访问中心加密设备与远程加密设备的鉴别；四是密码设备对用户的鉴别。可采用如下技术实现身份鉴别：数字签名机制、消息鉴别码、校验、口令字、智能片、身份验证服务(如Kerberos和X.509目录身份验证）。

3.4通信保密

一是中心网络中采用IP加密机进行加密；二是远程拨号网络中采用数据密码机进行线路加密；三是使用消息完整性编码MIC（Message Integrity Code，一种HASH函数来计算信息的摘要）

3.5病毒防范及系统安全备份

病毒防范主要是通过杀毒软件和防火墙来实现的。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，是在两个网络之间实行控制策略的系统，通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法入侵，执行安全管制措施，记录所有可疑事件。利用防火墙技术，通过合理地配置，一般能够在内外网络之间提供安全的网络保护，降低网络安全的风险。

3.6网络的入侵检测与漏洞扫描

入侵检测包括：基于应用的监控技术、基于主机的监控技术、基于目标的监控技术、基于网络的监控技术、综合上述4种方法进行监控；漏洞检测包括：基于应用的检测技术、基于主机的检测技术、基于目标的检测技术、基于网络的检测技术、综合上述4种方法进行检测。检测的具体实现与网络拓扑结构有关。

3.7文件传送安全

要求对等实体鉴别、数据加密、完整性检验、数字签名。邮件可以加密或者使用安全PC卡。

3.8网络安全制度管理

对网络进行强有力的安全秩序管理，形成良好的组织管理程序，是克服网络安全脆弱性的重要对策。因此，必须建立完备的网络机房安全管理制度，妥保管备份磁盘和文档资料，防止非法人员进入机房进行偷窃和破坏性操作。

4 网络安全发展趋势

从管理和技术两个维度来推进网络安全工作不仅是现阶段解决好网络安全问题的需要，也是今后网络安全发展的必然趋势。

4.1 管理角度

从管理的角度讲应遵循以下原则：1整体考虑、统一规划；2战略优先、合理保护；3集中管理、重点防护；4重视管理，依靠技术。

4.2技术角度

从技术角度而言，重点发展以下技术有助于网络安全等级的提升：逻辑隔离技术、防病毒技术、身份认证技术、入侵检测和主动防卫技术、加密和虚拟专用网技术、网管技术。

5 结束语

网络安全是一个复杂的问题，它涉及法律、管理和技术等综合方面，只有协调好三者之间的关系，构建完善的安全体系，才能有效地保护网络安全。我国信息网络安全技术的研究

和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。

参考文献：

[1]杨义先.等.编著.网络信息安全与保密[M].北京邮电大学出版社,1999.11.

[2]陈彦军.信息安全理论与实务[M].中国铁道出版社,2001.4.

[3]陈爱民,于康友,管海民.计算机的安全与保密[M].电子工业出版社,1992.9.

篇5

关键词：3G；网络安全；安全体系

中图分类号：TN929.5

随着现代通讯技术的快速发展，通讯行业已经跨入3G（第三代移动通讯技术）时代。2009年1月，工信部为我国三大通信公司发放了3G牌照，随后中国联通公司迅速开通了WCDMA网络3G服务。中国联通通过宣传“沃”品牌，主攻家庭用户，特别是美国苹果公司和中国联通达成三年的合作协议，为中国联通吸引了许多手机高端用户，使中国联通的3G用户呈爆炸式增长。新技术带来新机遇的同时，也提出了新的安全性挑战。3G系统除了提供传统的语音通信业务外，还能够处理图像、音乐、视频流等多种媒体形式，还提供包括网页浏览、电话会议、电子商务、电子贸易等多种信息服务，同时，移动网络的IP化、终端趋智能化、带宽变大，使得手机功能越来越接近电脑的功能，这就将传统的计算机网络诸如病毒攻击、垃圾邮件、隐私泄露等安全隐患引入到移动通信网络中来，这就使得3G系统的安全问题更加复杂化。目前对于移动通信安全方面的讨论逐渐成为热点，国内外研究人员从各个方面进行了研究与探讨，例如安全目标、安全评价、威胁防范、认证技术、加密算法、密钥管理等，并取得了一系列重要成果。

1 3G系统的安全分析

1.1 信息泄露，个人私密信息存在泄露风险。3G终端的智能化，使得用户通过手机可以进行原来在电脑上进行的应用操作，因此智能手机上可存储用户个人的大量秘密信息，如银行账户信息、交易记录、个人资料等私密信息，当用户通过智能手机接入3G网络时，这些信息存在着被黑客进行窃取的危险。

1.2 病毒泛滥。随着3G智能手机的普及，针对手机的病毒与恶意软件也日益增多，而用户对于手机病毒的防范意识却还很薄弱，同时因功能限制，智能手机的病毒防护措施也未能像电脑那样完善，这就给了不法分子提供了可乘之机。

1.3 服务攻击。通过物理手段或协议干扰用户的数据，令用户数据无法在链路上正确传输，或通过使网络服务过载耗尽网络资源，达到使合法用户无法访问的目的。

1.4 不良信息传播。通过3G智能手机进行黄色信息等非法信息的传播，造成了恶劣的社会影响。

2 3G系统安全体系结构

针对上述安全威胁，建立3G通信网络的安全体系结构，从传输层、服务层、应用层进行安全防范。

在3G系统的安全体系中，定义了5个安全特征组，网络接入安全、网络域安全、用户域安全、应用域安全、安全的可知性和可配置性等，涉及传输层、服务层和应用层，同时也涉及移动用户、服务网和归属环境。每一安全特征组用以对抗某些威胁和攻击，实现3G系统的某些安全目标，具体如下：传输层主要是网络的接入安全，保护用户安全的接入3G通信网络，防止来自无线链路的攻击。对移动用户的身份进行保密，包括无法窃听用户身份、无法获取用户位置、无法侦测用户数据等，网络接入安全是安全应用3G通信网络的关键。服务层主要对用户安全与网络安全提供保护。用户安全保证用户在接入3G网络时，USIM与用户间进行认证，经授权后才可以接入网络，这就保证了合法用户进入通信网络。网络安全进行网络实体间的消息认证，并通过密钥分配，实现对数据的加密及数据源的认证，确保核心网络实体间能够安全的交换数据。应用层主要对USIM程序和用户的安全信息进行保护，通过检测确认、身份认证、数据完整性保护等，确保3G通信网络信息传输的安全性。另外，3G网络的安全配置能力定义了用户可知的网络安全特性，并可判断服务是否已安全服务作为基础，接受或拒绝服务。

3 3G系统的安全策略

3.1 技术层面。对设备层的安全加固。当今移动互联网的设备层有：数据库、操作系统、网元设备等，其中网元设备指移动互联网中交换机、路由器、防火墙等其他的内容层设备，对这些设备自身进行安全加固的加固准则是ACL保护、4 A设置等；对操作系统宜进行补丁管理、最小化安装和安装防病毒软件等安全加固对策；数据库的安全加固，现在大多是利用众多的安全备份原则，进而确保数据库的安全可靠。

加强移动互联网安全技术标准制定。在目前国内移动互联网当中，还有如下不足：安全机制缺失、网络域对病毒等异常流量的监控不足或者缺乏终端安全机制和网络设备安全机制等。因此，有必要结合我国密码管理办法规定和已有密码算法，制定相关安全标准，并相应地引入移动互联网安全机制，包括AKA认证和空口加密等机制。同时，引入网络域安全机制。安全域边缘特别是接外网的节点应综合部署具有入侵检测、用户认证、数据加密的安全网关，以起到安全隔离作用。另外，我国目前缺乏移动互联网内容安全方面的技术标准，需要加大对移动互联网内容安全方面的标准制定。

增强和改进3G系统继承于2G系统的安全元素。3G的安全将建立在第二代系统的安全之上，在GSM和其他第二代系统内已经证明是必要的和加强的安全元素应当被3G的安全所采纳；3G的安全要确定和校正第二代系统中的实时的和已认识到的缺点；3G的安全要提供新的安全特征，并保护3G提供的新的业务。这些改进包括对身份验证系统改进、认证方法的改进、数据保密性的改进、数据完整性的改进等。

3.2 管理层面。首先是建立健全通讯网络管理机制，将责任问责制度推广到其中来，对网站的运营商和服务供应商做好登记和备案。完善相关法律法规，增强网络安全问题的管理。其次是建立3G高速通讯系统的安全模型：OSI模型和TCP/IP模型是主要适用于计算机网络的模型，而通讯系统有其自身的特点和发展方向。因此，大力推广IP技术和Adhoc技术才是实现3G网络高效、安全的主要方式。还有就是完善3G安全运行的保障体系，包括地面服务器，网络服务器，服务协议硬件配置，网络覆盖，结构规划等都能够有序的运作。

4 结束语

3G通信业务已成为目前通信行业发展的主流，它给通讯行业带来新的商机，为人们提供了更好的通讯体验，但同时，也带来了巨大的安全隐患，进行3G通信系统的安全性研究，保证其快速、安全的发展，具有十分重要的现实意义。

参考文献：

[1]张帆.某省联通公司3G竞争战略研究[D].华北电力大学，2010（04）.

[2]王慧敏.浅谈3G通信网络的安全问题[J].科技信息，2010（25）.

[3]张海清.浅述移动互联网的安全问题及其对策[J].信息通信，2012（02）.

[4]孔祥浩.关于3G通信网络安全问题的探讨[J].电脑与电信，2010（01）.

[5]张海清.浅述移动互联网的安全问题及其对策[J].信息通信，2012（02）.

篇6

基础设施安全隐患自查报告范文(一)

根据《关于转发<关于开展2019年六安市网络安全检查工作的通知>的通知》(区宣字〔2019〕23号)的要求，椿树镇党委、政府高度重视并迅速开展检查工作，现将检查情况总结报告如下：

一、成立领导小组

为进一步加强网络信息系统安全管理工作，我镇成立了网络信息工作领导小组，由镇长任组长，分管副书记任副组长，下设办公室，做到分工明确，责任具体到人，确保网络信息安全工作顺利实施。

二、网络安全现状

目前我镇共有电脑32台，均采用防火墙对网络进行保护，并安装了杀毒软件对全镇计算机进行病毒防治。

三、网络安全管理措施

为了做好信息化建设，规范政府信息化管理，我镇专门制订了《椿树镇网络安全管理制度》、《椿树镇网络信息安全保障工作方案》、《椿树镇病毒检测和网络安全漏洞检测制度》等多项制度，对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我镇信息安全管理工作。

针对计算机保密工作，我镇制定了《椿树镇镇信息审核、登记制度》、《椿树镇突发信息网络事件应急预案》等相关制度，并定期对网站上的所有信息进行整理，未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《椿树镇网络信息安全管理责任书》，确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理，并及时存档备份;此外，在全镇范围内组织相关计算机安全技术培训，并开展有针对性的“网络信息安全”教育及演练，积极参加其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我镇政府信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我镇网络安全仍然存在以下几点不足：

一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。

针对目前我镇网络安全方面存在的不足，提出以下几点整改意见：

1、进一步加强网络安全小组成员计算机操作技术、网络安全技术方面的培训，强化计算机操作人员对网络病毒、信息安全威胁的防范意识，做到早发现，早报告、早处理。

2、加强干部职工在计算机技术、网络技术方面的学习，不断提高机关干部的计算机技术水平。

基础设施安全隐患自查报告范文(二)

按照《XX市交通局关于开展全市重大交通基础设施安全隐患排查工作的通知》文件的安排部署，10月25日至11月2日，市公路处副处长刘大伦、刘志斌带队赴各县、区(市)，采取检查组重点抽查与各县、区(市)自查结合的方式，检查了全市管养的县公路、乡公路和部分村公路XX县乡公路桥梁情况。现将综合检查情况报告如下：

一、公路检查情况

全面检查了县公路68条，抽查和自查了乡公路692条、村公路310条。查出存在安全隐患的线路有958条，需处治隐患4521处，处治隐患里程1587.464公里，需总投资4307.23万元。没有发现重大安全隐患。检查资料已上报省公路局。

二、桥梁检查情况

抽查农村公路管理养护桥梁211座(不含村道中小桥)，自查管理养护农村公路桥梁499座(不含村道中小桥)。大部分桥梁存在不同类型安全隐患的桥梁。已查出存在安全隐患的管理养护桥梁：二郎小桥、二郎大桥、两河口二桥、两蔑路一桥、梁蔑路二桥、官渡大桥、人仁路孔滩桥、官渡鱼湾大桥、河闪渡大桥、戏子滩大桥、龙塘桥、半坎桥、乐庄桥、盐津河大桥、两河口大桥等，存在的隐患类型主要是超荷、地质灾害、水毁等，隐患程度不一，有的仅需少量人财物即可恢复，有的需列入危桥改造工程维修加固。针对隐患的不同类型和程度，分别采取了设置超载限速标志、落实专人监管、向省公路局上报检查资料等措施。

募溪河桥(XX县)、青杠塘桥(XX县)、进化新桥(XX县)等在建桥梁、危桥维修加固桥梁未发现安全隐患。列入抽查的通村公路桥梁，以及各县、区(市)自查通村公路桥梁，检查中没有发现重大安全隐患。

三、安保工程实施情况

根据省公路局“关于XX市农村公路安全保障工程设计方案的批复”(黔路复〔2019〕169号文)，我市今年18个项目的安保工程计划，中央车购税投资827万元，项目涉及习水、务川、湄潭、仁怀、绥阳、余庆、桐梓、正安、XX县及习赤公司等十个县、区(市)，12月底完成钢筋砼护栏14808米，波型护栏74698米，警示墩3589个，禁令和警告标志898套，地名和指路标志18套，标线4194㎡，处治隐患670处，处治隐患里程309k，完成投资827万元。

四、水毁恢复情况

据统计，进入雨季以来，我市有41条农村公路发生水毁，工程量：损毁路基13906 m3/2365m，冲毁路面砂路87000 m2/4428m，砼或沥青路面14261 m2/4428m;桥梁局部毁20米/1座;涵洞全毁18道，局部毁6道;挡墙15908 m3/193处，坍方259342 m3/620处，需恢复资金810.682万元。今年共安排水毁抢险资金320万元，主要修复路基缺口、山体滑坡造成改移线路段截12月底共完成挡墙修复23500m3， 177处，改线3.2公里，恢复水毁线路37条。

检查表明：我市列入管理养护的农村公路及桥梁，安全形势稳定，无安全事故，

五、下步工作安排

(一)进一步全面了解本辖区内事故事易发路段，建立安保工程数据库。

(二)逐年安排资金消除存在安全隐患的线路。

六、存在问题及建议

(一)我市农村公路点多、线长、面广，公路建设中未考虑安保设施，安全隐患治理资金投入少，急需治理隐患较多，为保障公路安全运行，需各级筹措资金治理现有农村安全隐患。建议今后公路改建安全设施应纳入设计。

(二)汛期水毁灾害有突发性和季节性特征。由于无水毁预备资金，发生灾害后不能及时安排资金处治，计划报送后，往往投资不足，造成水毁工程修复不彻底，部分路段只能设置简易警示标志，建议安排水毁预备金。

基础设施安全隐患自查报告范文(三)

根据南信联发[XX]4号文件《关于开展**市电子政务网信息安全与网络管理专项检查的通知》文件精神，我局积极组织落实，认真对照，对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查，对我局的网络信息安全建设进行了深刻的剖析，现将自查情况报告如下：

一、加强领导，成立了网络与信息安全工作领导小组

为进一步加强全局网络信息系统安全管理工作，我局成立了网络与信息系统安全保密工作领导小组，由局长任组长，下设办公室，做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。

二、我局网络安全现状

我局的统计信息自动化建设从一九九七年开始，经过不断发展，逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机，数据中心采用3com4226交换机，汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机，总共可提供150多个有线接入点，目前为止已使用80个左右。数据中心骨干为千兆交换式，百兆交换到桌面。因特网出口统一由市信息办提供，为双百兆光纤;与自治区统计局采用2兆光纤直联，各县区统计局及三个开发区统计局采用天融信vpn虚拟专用网络软件从互联网上连接进入到自治区统计局的网络，vpn入口总带宽为4兆，然后再连接到我局。横向方面，积极推进市统计局与政府网互联，目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护，采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护，安装正版金山毒霸网络版杀毒软件，对全局计算机进行病毒防治。

三、我局网络信息化安全管理

为了做好信息化建设，规范统计信息化管理，我局专门制订了《**市统计局信息化规章制度》，对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我局信息安全管理工作。

针对计算机保密工作，我局制定了《涉密计算机管理制度》，并由计算机使用人员签订了《**市统计局计算机保密工作岗位责任书》，对计算机使用做到“谁使用谁负责”;对我局内网产生的数据信息进行严格、规范管理。

此外，我局在全局范围内每年都组织相关计算机安全技术培训，计算站的同志还积极参加市信息办及其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我局统计信息网络正常运行。

四、网络安全存在的不足及整改措施

目前，我局网络安全仍然存在以下几点不足：一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。

针对目前我局网络安全方面存在的不足，提出以下几点整改办法：

篇7

关键词：互联网 安全防护 网络边界 应用安全 数据安全

中图分类号：TP393.08 文献标识码：A 文章编号：1674-098X（2017）03（b）-0130-02

1 安全防护的概念

随着互联网技术的发展，信息安全问题日益严峻。信息系统的安全防护，实质就是以系统的概念，从信息系统的物理、边界、应用、数据、主机、网络、终端7个层次进行统一的安全设计，最大限度地保障系统的安全、可靠和稳定运行。

2 能源互联网综合服务平台概况

笔者参与的能源互联网综合服务平台，采用集中部署、分布式计算模式，平台系统主体：采集服务器、SCADA服务器、历史服务器及交换机等设备部署于信息内网，WEB服务器部署于互联网，同时满足从信息内网采集、提取、分析数据，以及通过互联网与用户进行数据交互的需求。

3 平台采取的安全防护措施

3.1 物理安全

能源互网综合服务平台物理安全，主要是按照A级信息机房标准进行建设，配备UPS电源、精密空调及新风系统、动环监控、门禁、消防等分系统，从机房位置选择、机房出入控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温度、湿度控制、电力供应、电磁防护等方面开展防护。

3.2 网络边界安全

边界防护通常采用部署正反向隔离装置和防火墙，实现网络边界的访问控制和安全隔离，通过网络设备安全防护、网络安全审计、入侵防范、抵御来自外部的攻击的目的，实现入侵事件的审计与追踪。

能源互联网综合服务平台存在4类网络边界：信息内网横向域边界、信息内网纵向边界、信息内外网边界、信息外网与第三方网络边界。针对性安全防护措施包括，信息外网第三方边界：网络访问控制、网络入侵检测、日志记录与审计；信息内网横向域边界：网络访问控制、网络入侵检测；信息内外网边界：逻辑强隔离装置、网络入侵检测；信息内网纵向边界：网络访问控制、网络入侵检测、边界流量监测。

3.3 应用安全

应用安全通常采用面向应用系统的身份验证、访问权限控制、安全审计等措施，保证应用系统及子系统间通信的完整性和保密性，保障应用的可用性。能源互联网综合服务平台主要从以下10个方面进行安全防护。

身份认证：单点登录跳转、高强度密码策略、密码加密存储、cookie不存密码，认证信息及时销毁策略；支持锁定账户、实施登录三次失败锁定账户策略；限制同一账号同时在多个IP登录。

授权：基于角色控制访问，细度权限控制{修改、只读、隐藏}。

输入输出验证：URL过滤；正则表达式输入验证；sql注入参数验证。

配置管理：只允许管理员授权；禁止Web页面直接浏览服务端的目录和文件；账户口令加密保存。

会话管理：服务端存储会话认证信息和有效期；会话ID随机；登录信息凭证加密传输，post方式传输会话凭证；网页的头部拥有登出链接；注销即刻清除会话，限制会话时间，超时自动清除。

加密技术：基于DES对称加密算法；密钥通过MD5或DES对称加密算法保存在数据库中。

参数操作：随机会话id标识用户；基于POST方式提交页面表单；客户端js验证和服务端验证两种方式对客户端的输入值校验。

异常管理：统一出错页面，异常出错信息记入日志。

日志与审计：关键操作自动审计；审计日志记录在数据库中；敏感数据强制审计，非敏感数据通过配置方式来开启审计功能；审计信息的页面只能浏览和查询。

应用交互安全：通过WebService接口与第三方系统集成；基于xml方式与第三方系统交互数据，通过WebService方式传输。

3.4 数据安全

数据安全防护主要是采用MD5加密算法处理，实现业务数据在传输过程中的完整性保护。能源互联网综合服务平台数据安全主要从以下3方面进行安全防护。

（1）数据存储安全：用户账号及鉴别信息采用MD5加密算法处理后在数据库中加密存储；用户账号及鉴别信息不在客户端存储；设备台账信息通过程序逻辑校验及数据库约束条件实现完整性，避免非法字符；业务信息存储在数据库中；系统配置信息（用户口令等）采用MD5加密算法处理后在配置文件中存储；移动终端业务数据通过程序逻辑校验及数据库约束条件实现完整性，避免非法数据。

（2）数据传输安全：用户账号及鉴别信息采用MD5加密算法处理后传输；客户端加密后将设备台账信息传输到服务器端；系统配置信息（用户口令等）传输过程中使用MD5加密算法处理；移动终端业务数据通过终端安全专控软件加密后传输至安全接入平台，解密后传输至业务系统。

（3）数据备份安全：用户账号及鉴别信息、设备台账信息、业务信息，实时同步到灾备中心并周期备份；系统配置信息（用户口令等）、移动终端数据进行周期备份。

3.5 主机安全

主机安全主要针对操作系统、数据库系统进行安全防护设计。操作系统安全主要措施是：身份认证、访问控制、病毒、入侵防范、漏洞扫描、更新安全补丁、资源控制、安全审计、数据备份、安全加固；数据库安全措施主要是：身份认证、访问控制、漏洞扫描、数据安全网关、更新补丁。

能源互联网综合服务平台采取的措施主要有：使用国产操作系统及数据库，并采用操作系统账号唯一性机制实现主机身份鉴别、访问控制防护，入侵防范、恶意代码、病毒防护，以及主机安全加固，安全审计等。

3.6 网络安全

城市能源互联网综合服务平台系统的网络环境，包括核心交换设备、汇聚交换设备、接入交换设备、边界防火墙等网络设备。主要从网络设备安全和通道安全两方面进行安全防护。

网络设备安全主要从设备安全管理、设备链路冗余、网络设备处理能力保证、漏洞扫描、设备安全加固、配置文件备份6个方面进行安全管控。

通道安全依据通道类型采用不同的安全防护措施。

电力光纤专网：通道专用；限制终端接入IP地址；开启网络访问控制措施。

运营商无线网络：采用无线APN专网，与公用网络隔离；终端使用安全加密卡与安全接入平台建立加密传输通道。

WiFi：禁用SNMP服务；限制信号覆盖范围；禁止SSID广播；配置MAC地址过滤，使用访问控制列表；禁用DHCP服务；开启WIFI终端审计；开启802.1x认证和密钥管理；使用WPA1或WPA2协议加密机制，对WIFI无线接入的数据流进行加密。

WiMax：开启WiMax终端审计；开启PKM协议，采用公钥密码技术实现身份认证、接入授权以及会话密钥的发放和更新。

3.7 终端安全

通过安全接入平台实现各类接入终端的身份鉴别、数据加密传输安全接入需求。

4 结语

作为沟通企业内部信息系统，面向互联网客户，提供实时精准化定制服务的互联网综合服务平台，在建设之初就必须高度重视信息安全问题。信息系统安全适用“木桶”理论，必须以系统的观念，统筹规划并落实各项信息安全防护设计，才能补齐短板，最大限度地保障系统的安全、可靠和稳定运行。

参考文献

篇8

【关键词】计算机安全 网络安全 硬件设备 软件系统

随着科学技术的不断发展，计算机技术已经广泛应用于社会生产和生活的各个领域中，对社会生产和生活方式都产生了很大的推动作用，促进了现代社会的快速进步。随着计算机的普及，计算机安全问题也随之暴露出来，计算机硬件设备的运行故障、计算机病毒和黑客的入侵等问题都对计算机系统运行的安全性和稳定性产生了极大的影响，对于使用者而言，不仅造成用户信息的破坏和丢失，甚至对国家信息安全造成严重威胁，因此要重视计算机安全问题。

一、计算机安全面临的常见问题

1.硬件问题

硬件系统是计算机的基础组成部分，在计算机硬件系统运行过程中，涉及到的安全问题主要体现在：第一，硬件系统自身的运行故障问题，当计算机系统遇到病毒或者黑客入侵时，通常最先受到攻击的是软件系统，随着病毒的入侵，会导致计算机的运行变得缓慢，进而影响硬件设备的运行，造成硬件故障而导致系统瘫痪。第二，电磁泄漏，这是黑客入侵计算机系统时常用的一种方式，黑客可以根据计算机硬件设备的电磁泄漏情况迅速找到设备的漏洞，并且由此进入到传输程度中对信息进行篡改和窃取，如果计算机的使用者和管理者对电磁泄漏问题不能给予足够的重视，就容易造成安全隐患。第三，计算机网络环境下使用的芯片结构容易受到木马、黑客的攻击，因为互联网自身具有很强的开放性，暴露于网络环境下的芯片系统需要很容易给病毒和黑客造成可乘之机，进而通过芯片系统进入到软件内部，对信息的安全造成威胁。

2.软件问题

在计算机软件运行过程中常见的安全问题有：第一，信息被窃听或者盗取。当计算机软件系统受到危险因素影响而形成漏洞时，最常见的形式就是信息的丢失或者损坏，这不仅会影像信息的安全性，而且对信息的使用者会造成很大的损失。第二，病毒的入侵。计算机病毒具有传播速度快、破坏范围大等特点，一旦病毒进入到软件系统就会快速蔓延，而且病毒具有传染性，可以在短时间内快速进入到各个软件系统中，最终导致整个计算机网络的瘫痪。第三，身份伪装。有些黑客会使用身份伪装的手段获得合理的食用权限进入到系统，再从系统中窃取自己需要的信息，对系统信息进行篡改，影响软件系统的安全性，也容易造成隐私信息和商业信息的暴露。

二、加强计算机安全性的防御对策

1.对文件进行加固处理

通过加固处理后的文件具有更高的安全性和稳定性，抵御外部风险的能力也获得增强，所以在使用计算机的过程中，可以对某些重要文件进行加固处理，运用端口对接的形式对文件进行加固处理。同时，也可以对计算机硬件设备进行加固，如主板线路的维护等，通过有效的加固措施可以为计算机的运行创造良好的环境，减少由于计算机自身的硬件问题对文件安全性造成的影响。

2.网络加密技术

通过网络加密技术可以为计算机系统构建一个屏障，具备解密口令的邮件才能进入到系统，一旦有垃圾邮件进入时系统会产生预警标识，快速识别恶意入侵的信号，并且及时驱除，可以快速阻拦垃圾邮件的入侵。目前使用的网络加密技术，主要有公钥加密和私钥加密两种形式，根据系统运行的需求选择合适的加密技术可以获得更好的效果。另外，认证技术也是计算机网络运行过程中有效的安全强化技术，通过认证的形式可以对访问计算机系统的异常程序进行及时认证和处理，及时阻止存在异常的程序，减少非法访问带来的安全隐患。在运用认证技术时一般是通过电子签名、数字证书等形式对访问者的身份进行确认，再对其访问的权限进行限制，有效的保证信息的安全性。

3.用户安全意识的强化

计算机的使用者自身的安全意识对计算机安全有重要的影响，首先作为用户在访问和接受访问时，要注意对安全信息的识别，通过设置防火墙等形式对外部访问进行控制，减少计算机病毒和黑客的如前进，可以有效的增强计算机系统的安全性。同时，需要通过有效的措施加强计算机的安全管理，构建相应的管理机制，加大对系统安全的防御力度，不断增强计算机系统运行的稳定性，为软件运行提供良好的环境，有利于促进防御措施的实施。

结束语：

综上所述，计算机在现代社会发挥重要的作用，在应用计算机的过程中存在很多影响计算机安全的问题，需要通过相应的防御对策构建起有效的阻隔屏障，减少危险因素对计算机安全造成的不利影响，保证计算机的作用获得充分发挥。

【参考文献】

[1]骆飞.计算机网络安全面临的问题及防范措施[J].计算机光盘软件与应用，2013（17）

篇9

【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢，网络犯罪等威胁日益严重，网络安全管理的任务将会越来越艰巨和复杂，抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。

0引言

美国等发达国家，通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善，我国的电子商务虽已初具规模，但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中，买卖双方是通过网络联系的，由于internet是开放性网络，建立交易双方的安全和信任关系较为困难，因此本文对电子商务网络支付上的安全问题进行探讨分析。

1电子商务的概念和特点

1）电子商务的概念：电子商务（Electronic Commerce）是通过电信网络进行的生产、营销、销售、流通等活动，不仅是指基于因特网上的交易，而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动[1]。

2）电子商务的特点：（1）电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流，大量减少了人力物力，降低了成本；而且突破了时间空间的限制，使得交易活动可在任何时间、任何地点进行，大大提高了效率。（2）电子商务使企业能以较低成本进入全球电子化市场，也使中小企业可能拥有与大企业一样的信息资源，提高了中小企业的竞争能力。（3）电子商务重新定义了传统的流通模式，减少了中间环节，使得生产者和消费者的直接交易成为可能，从而一定程度上改变了社会经济的运行方式。（4）电子商务提供了丰富的信息资源，为社会经济要素的重新组合提供了更多的可能，这将影响到社会的经济布局和结构。

2电子商务安全的技术体系

1）物理安全。首先根据国家标准、信息安全等级和资金状况，制定适合的物理安全要求，并经建设和管理达到相关标准[2]。再者，关键的系统资源（包括主机、应用服务器、安全隔离网闸GAP等设备），通信电路以及物理介质（软/硬磁盘、光盘、IC卡、PC卡等）、应有加密、电磁屏蔽等保护措施，均应放在物理上安全的地方。

2）网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行，要求电子商务平台要稳定可靠，能够不中断地提供服务。系统的任何中断（如硬件、软件错误，网络故障、病毒等）都可能导致电子商务系统不能正常工作，而使贸易数据在确定的时刻和地点的有效性得不到保证，往往会造成巨大的经济损失。

3）商务安全。主要是指商务交易在网络媒介中出现的安全问题，包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖，即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现，加解密技术保证了交易信息的保密性，也解决了用户密码被盗取的问题；数字签名是实现对原始报文完整性的鉴别，它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有：在线支付协议（安全套接层SSL协议和安全电子交易SET协议）、文件加密技术、数字签名技术、电子商务认证中心（CA）。

4）系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全，总体思路是：通过安全加固，解决管理方面安全漏洞；然后采用安全技术设备，增强其安全防护能力。

3安全管理过程监督

3.1加强全过程的安全管理

1）网络规划阶段，就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2）工程建设阶段，建设管理单位要将安全需求的汇总和安全性能功能的测试，列入工程建设各个阶段工作的重要内容，要加强对开发（实施）人员、版本控制的管理，要加强对开发环境、用户路由设置、关键代码的检查[3]。3）在运行维护阶段，要注意以下事项：(1)建立有效的安全管理组织架构，明确职责，理顺流程，实施高效管理。(2)按照分级管理原则，严格管理内部用户帐号和密码，进入系统内部必须通过严格的身份确认，防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度，加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系，建立网络安全维护日志，记录与安全性相关的信息及事件，有情况出现时便于跟踪查询，还要定期检查日志，以便及时发现潜在的安全威胁。

3.2建立动态的闭环管理流程

网络处于不断地建设和调整中，可能发现新的安全漏洞，因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下，通过安全评估和检测工具（如漏洞扫描，入侵检测等）及时了解网络存在的安全问题和安全隐患，据此制定安全建设规划和加固方案，综合应用各种安全防护产品（如防火墙、身份认证等手段），将系统调整到相对安全的状态。并要注意以下两点：1）对于一个企业而言，安全策略是支付信息安全的核心，因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案，保证这些系列策略规范在整个企业范围内贯彻实施，从而保护企业的投资和信息资源安全。2）要制定完善的、符合企业实际的信息安全策略，就须先对企业信息网的安全状况进行评估，即对信息资产的安全技术和管理现状进行评估，让企业对自身面临的安全威胁和问题有全面的了解，从而制定针对性的安全策略，指导信息安全的建设和管理工作。

4结束语

本文分析了目前电子商务网络支付安全方面的主要技术状况，安全技术可以说是网络技术中较为尖端的技术，都是非常先进的技术手段；只要运用得当，配合相应的安全管理措施，基本能够保证电子商务中网络支付的安全；但不是100％的绝对安全，而是相对安全。随着网络安全技术的进步与信用机制的完善，网络支付定会越来越安全。

参考文献

[1]柯新生.网络支付与结算[M].北京：电子工业出版社，2004.

篇10

关键词 计算机网络安全 网络安全 防范措施

中图分类号：TP393.08 文献标识码：A

1局域网计算机网络面临的安全问题

1.1局域网计算机网络安全面临着计算机病毒的破坏

计算机病毒在网络中通常是以网络、光盘、硬盘或者是软盘的方式进行传播的，计算机病毒对于网络安全有非常大的影响，并且具有较强的传染性，一旦计算机被感染上计算机病毒，病毒就能够破坏该计算机内的各类数据资源，尤其是对局域网网络系统中涉及财务以及经营的数据文件进行破坏，严重的时候计算机病毒还会导致局域网网络系统的崩溃和破坏。

1.2局域网计算机网络面临着黑客和木马程序的攻击

黑客攻击以及木马程序的攻击也是威胁局域网计算机网络安全的一项重要的因素，由于计算机网络中的黑客可以利用网络安全的缺陷，入侵进入局域网网络，盗取公司内部的重要信息以涉及经营利润的重大的信息，由于木马的入侵，局域网计算机网络的稳定性也会受到较大的破坏，导致整个局域网的网络都呈现出了瘫痪的状态。

1.3局域网计算机网络本身存在的不稳定性和安全漏洞

局域网计算机网络会有特殊的网络应用环境，甚至会在企业内建立内部专用网络，但是局域网网络在使用的时候也会出现计算机网络的安全漏洞，由于局域网的专用网络的开放性的功能，会被不法的攻击者利用而造成网络的稳定性受到破坏。

1.4局域网计算机网络中存在的间谍软件以及垃圾邮件对网络安全的影响

由于局域网网络内每天都需要花费大量的时间处理业务往来的邮件等等，因此在多数攻击者会利用局域网网络的邮件以及常用的软件进行攻击，由于局域网网络中的电子邮件地址是公开的，网络系统也具有较高的可传播性，由此导致攻击者会向电子邮箱中发送垃圾邮件，并利用间谍软件窃取局域网的登录口令、隐私信息以及金融数据信息等等，这些对于局域网内的正常办公以及未来经营都是极大的威胁。

2局域网计算机网络安全防范措施

2.1提高局域网计算机网络管理人员的网络安全保障意识

不仅是局域网网络安全的维护人员，局域网计算机网络的使用人员在日常的工作使用计算机的过程中也应当注意规范自己的操作方式，在局域网计算机网络稳定运行的时候，应当严格地执行计算机网络安全的操作规范，加强计算机网络安全的相关建设，同时，局域网网络安全的维护人员在日常管理的时候也要时刻铭记自己的责任，遵守职业道德，提高安全防护意识，定期对网络安全性进行检测与维护，提高局域网计算机网络的安全性以及稳定性，同时根据局域网内不同职位人员对网络安全的需求性，设置计算机网络的访问权限，对计算机内的应用程序进行合法性操作，设置严密、安全的口令，防止非法入侵者取得访问口令以及账号，由此来完成局域网计算机网络的安全设置。

2.2对局域网计算机网络系统中存储的文件进行加密和数字签名

为了确保局域网计算机网络内的存储的文件不容易被非法入侵，在存储和保护数据文件的时候可以采用文件加密和数字签名的方式，文件加密以及数字签名技术能够有效地保障局域网计算机网络系统中的文件不轻易的被窃取、篡改和破坏，从而确保计算机系统内的重要数据得到安全保障，文件加密与数字签名技术在局域网计算机网络系统安全保护的各个阶段的都有涉及，包括了数据存储、数据更新以及数据传输等阶段，在使用数字签名技术的同时，局域网网络内的各个系统可以实现对被传输的文档进行验证和辨认，大大提升了局域网计算机网络系统中数据的保密性以及完整性。

2.3采用入侵检测技术对局域网网络进行实时监控

将入侵检测技术应用到局域网计算机网络系统中，可以实现对局域网系统内的联机电脑进行适时地监控以及保护，及时的发现局域网计算机网络系统内的入侵以及网络攻击的行为，在入侵检测技术的辅助下，网站维护人员可以对局域网计算机网络系统的安全性进行分析，主要采用统计分析法以及签名分析法等这两种方法，在这两种方式的辅助之下，分析得出局域网计算机网络系统是否处在正常运行或者是安全运行的状态之中，一旦发现任何威胁局域网计算机网络安全系统的因素，局域网网络安全的维护人员应当及时的采取策略进行网络安全维护，在已知的弱电的驱动之下，对局域网计算机网络系统中的不稳定、不安全的因素进行加固和重建。

2.4对局域网网络系统的硬件设备进行重点管理

威胁局域网网络安全系统的因子不仅有网络环境下的系统攻击，还包括了对局域网计算机网络系统的硬件设备的保护，在局域网日常的工作环境下，网站维护人员应当对计算机网络的端口设备进行检验，检验其网络端口设备是否存在不足，并在提高网络硬件设备的安全性的基础之上有效地防治计算机网络攻击，实现局域网计算机网络的稳定运行以及安全网络的构建。