网络安全应急体系范文

导语：如何才能写好一篇网络安全应急体系，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词 二次系统；网络；安全防护；预案

中图分类号TP39 文献标识码A 文章编号 1674-6708（2010）33-0228-02

Region Scheduling Data Network Security Assessment and Emergency System

CAO Jianfeng

AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.

KeyWordSecondary system；networking；security

0 引言

电力监控系统及调度数据网作为电力系统的重要基础设施，不仅与电力系统生产、经营和服务相关，而且与电网调度、与控制系统的安全运行紧密关联，是电力系统安全的重要组成部分。电力生产直接关系到国计民生，其安全问题一直是国家有关部门关注的重点之一。

随着通信技术和网络技术的发展，接入电力调度数据网的电力控制系统越来越多。电力系统一次设备的改善，其可控性已满足闭环的要求。随着变电集控所模式的建立、变电站减人增效，大量采用远方控制，这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，Internet技术和因特网已得到广泛使用，使得病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，构成了对电网安全运行的严重隐患。除此之外，还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”，进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。

1福州地区电网二次系统网络安全评估概述

1.1 概况

福州地调二次系统安全评估包括：二次系统资产评估、网络与业务构架评估、节点间通信关系分析、二次系统威胁评估、现有防护措施评估、主机安全性评估、网络系统评估、安全管理评估、业务系统安全评估、二次系统风险计算和分析、安全建议等评估内容，评估之后针对系统的薄弱点进行安全加固，并制定《福州局电力调度自动化系统应急预案体系》，提高调度自动化系统运行的可靠性，安全性，有效预防和正确、快速处置电力调度自动化系统瘫痪事件，不断提高福州电网预防和控制调度自动化事件的能力，最大限度地减少其影响和损失，保障电网的安全运行。安全评估的实施基本流程如图1所示。

1.2 网络安全评估的过程

1.2.1资产调查

资产调查作为信息收集的一个关键步骤，是开始安全评估工作的第一步，也是安全加固工作的基础，其主要目的是准确全面的获得被评估系统的信息资产清单。

因此，在进行评估项目实施时，我们很重视资产调查的过程和方法，以期收集到准确、全面的信息资产清单。对于每一个资产来说，都需要比较准确的收集各项属性，因此我们计划整个资产调查过程如下，以确保我们的资产调查目标的实现。

1.2.2采用了正向测试与逆向渗透相结合的漏洞深度检测方法

在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。应用正向测试与逆向渗透相结合的漏洞深度检测方法，对电力二次系统主机信息安全进行分析。

1.2.3采用了远程漏洞扫描与本地主机自动化脚本检测相结合的脆弱性获取方法

渗透测试主要依据安全专家已经掌握的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的测试将在授权和监督下进行。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

1.2.险计算和分析

信息安全风险评估的风险计算部分主要以业务系统作为风险计算和分析的对象，以福州电业局本部为例，本次对福州电业局SCADA系统、电能量采集系统、OMS系统和DMIS网站共4个业务系统进行了评估和测试，各个业务系统的信息资产价值、威胁发生可能性和脆弱性严重程度的进行赋值，并通过风险计算，得出风险计算结果，确定各个系统的危险程度，找到业务系统的安全薄弱点。

1.2.5安全建议

根据计算出来的安全结果，通过管理和技术等两方面来加强网络设备和安全设备的安全性，对访问重要设备的用户应遵循一定规章制度，对网络配置的更改、权限的分配要及时进行记录备份归档。

对重要业务系统和服务器进行定期的漏洞病毒扫描，对扫描结果进行分析记录并归档。对新系统上线前应进行扫描和加固，对扫描的日志及时进行安全审计并归档。

对网络运行日志、操作系统运行日志、数据库运行日志、业务系统运行日志进行定期的安全审计并提交安全审计记录和报告，对报告中的非法行为应及时报告并处理。

对于网络设备和安全设备的配置日志应另存储在日志服务器中，而非存储在本地路由器或是交换机上，并定期的进行备份归档。对于日志的种类应当包括所有用户对网络设备和安全设备的查看、更改等。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

2地区电网自动化系统整体应急预案体系建设

2.1应急预案体系的出现

现阶段地区调度自动化各系统联系紧密，单个系统的故障将连锁影响多个其他系统运行，电力调度数据网建设向县调及110kV变电站延伸，接入系统种类日趋复杂，二次安全防护木桶效应日趋明显。由于系统风险主要来自于病毒及相关联系统的故障，故障类型复杂并存在触发或并况，应急预案的思路逐步摆脱了自动化单个系统预案的思路，慢慢向以自动化二次整体应急预案体系进行转变。该思路面对系统出现严重故障时，整体地考虑恢复手段及措施，隔离故障区域，屏蔽受影响系统的部分功能，将日常人工或自动备份的硬件及软件快速导入故障设备，恢复系统。在日常备份及演练过程中，综合考虑各系统间的互补能力和约束条件，并切合地调实际，高效率低成本地实现该预案体系。该体系重视系统整体恢复的效率和日常投入成本的二维标准，兼收并蓄各种技术手段和管理手段的优势。

2.2 应急预案体系的特点

该预案体系适应自动化系统日益联系紧密的特点，摆脱之前针对某一系统制定预案的思路，采用“整体考虑，互为备用,分散管理,集中恢复”总体思路，避免出现系统孤岛，综合考虑，兼顾各个系统及全面事故预想，具有兼容性强，各子系统预案操作性强，入门要求低，恢复手段有效快速，投资成本低，日常维护工作量少，实用化推广价值高的特点。

预案体系总体框架图各子预案关联关系图

2.3 预案体系各个子预案之间的关系

2.3.1共存关系

各预案体系间存在互相引用，互为补充关系。简化了对预案编写的复杂程度，将复杂的系统问题转化成为多个专项问题来解决。

集控系统资源成为EMS预案中的备用设备，将整体自动化系统一体化考虑，互为备用，充分利用资源，降低预案成本。

2.3.2互斥关系

预案体系中的电源子预案和其他预案间存在互斥关系，当涉及到整体电源异常时，就要考虑牺牲小系统，保全大系统的整体

3 结论

本项目对地区电网二次系统网络安全防御体系开展了专题研究与实践，研究结果有效提高了地区电网二次系统网络的安全防御能力，对网省调度中心乃地市电业局的二次系统安全建设都起到了重要的指导意义。项目根据研究结果构建了调度自动化应急预案体系以及与之相配套开发的快速备份恢复系统，投资少，效益高，为电网的安全可靠运行提供坚强的技术支撑。该项目的开展促进了调度中心对现有二次系统安全现状和存在的各种安全风险有了深入的了解 ，确保调度中心对二次系统中存在的各种安全风险采取相应的网络安全手段和部署选用必要的安全产品 ，对今后全省乃至全国地区电网二次系统网络安全建设具有重要的指导意义。

参考文献

[1]张王俊，唐跃中，顾立新.上海电网调度二次系统安全防护策略分析.电网技术，2004(18).

[2]王治华.安全运营中心及其在调度中心二次系统中的应用.电力系统自动化，2007(22).

[3]陈文斌.电力二次系统网络与信息安全技术研究.电工技术，2008(11).

[4]民，辛耀中，向力，卢长燕，邹国辉，彭清卿.调度自动化系统及数据网络的安全防护.电力系统自动化，2001(21).

[5]葛海慧，卢潇，周振宇.网络安全管理平台中的数据融合技术 .电力系统自动化，2004(24).

[6]胡炎，辛耀中.韩英铎 二次系统安全体系结构化设计方法.电工技术，2003(21).

[7]程碧祥，电力调度自动化系统中物理隔离技术的研究与应用.电工技术，2008(1).

篇2

本文作者：王川作者单位：长沙学院教务处

文件过滤驱动技术对系统的保护

利用文件过滤驱动技术，可以开发专门用于教务系统的文件过滤驱动模块，对教务系统服务器和重要的教务系统客户端安装该模块增强安全性。在基于NT内核的Windows操作系统中，文件系统驱动程序是I/O子系统的一个重要的组件，它为用户提供在磁盘等存储介质上存取数据的服务。如图1，NT的I/O管理器支持分层的内核模式驱动，I/O管理器根据应用程序的I/O请求生成一个IRP（I/O请求包），依次按照驱动创建的设备对象往下层设备对象传递，每一层设备对象对应的驱动程序一次处理该IRP，处理完毕后一次返回至应用程序。根据该模型，文件过滤驱动程序可以在应用程序读写数据的过程中先于文件系统驱动截获所有数据处理相关的IRP，利用IRP就可以实现对文件进行加/解密操作，也可以对需要被保护的文件实施实时的访问控制。在Web服务器端，文件过滤驱动技术可以对教务系统网站的各类网页提供防篡改保护，可以是静态文件，也可以是动态网页，执行准确率和效率都非常高。基于文件过滤驱动的网页防篡改技术的工作流程如图2。在文件过滤驱动模块中加入web服务器防篡改核心程序，对于服务器上的所有文件内容，防篡改核心程序经过内置单向散列函数快速生成文件属性。防篡改核心程序然后通过事件触发方式对网页文件变动情况开始自动监测，收到一个网页的访问请求，先对比网页文件属性签名的变化，如果签名发生异常变化，立即删除被篡改的网页，停止Web服务，同时通过文件安全拷贝将备份服务器中备份网页文件复制到检测文件夹中，替换掉被篡改的文件。防篡改程序通过底层文件过滤驱动技术进行文件恢复的复制速度为毫秒级，使得网站用户无法看到并使用被篡改的页面，其运行性能和监测保护的实时性强、对防止网页被恶意篡改十分有效。

数字认证技术对数据的保护

在教务管理系统的安全保护最终是要保护教务系统的数据安全。数据安全是教务系统的保护的重点，系统中的数据安全需求表现在下面几个方向：信息的保密性、信息的完整性、信息的可重用性、信息的真实性、信息的不可否认性。PKI是一个遵循既定标准的密钥管理平台，为网络应用提供加密和数字签名等服务及服务所需的密钥和证书管理功能，其通过第三方可信机构CA认证系统，把用户公钥和其它标识信息绑定在一起，在Internet上实现用户身份的认证，并且该体系把公钥密码和对称密码相结合，实现密钥的自动管理，保证数据传输和存储的真实性、机密性、完整性和不可否认性。PKI是一个技术框架，其应用实现是CA认证系统。通过建立学校自己内部的CA认证系统，就可以在教务系统中使用数字签名和加密服务，由此解决了公钥在不安全网络环境中的信任问题。校园CA认证的结构设计如图3所示。根CA是学校的根认证中心，负责签发和管理二级CA的证书、制定和审批总体策略，采用物理隔离的方法实现。二级CA是二级单位用来管辖范围之内的证书生成、撤销、更新、核发，根CA和二级CA通过SSL通道、端实体来进行互操作。注册RA作为CA的注册审核机构，完成证书注册申请的审核、将二级CA生成的证书和密钥以安全的方式发送给证书用户。使用数字签名技术后，在教务管理系统中，过去很多使用手写签字的地方都要改用数字签名。根据签名的信息是否能公开传输，可以有两种签名类型，一种是不需要机密的信息，先用单向散列函数（如MD5算法或SHA算法）生成消息摘要，为提高安全性引入时间戳，把生成的消息摘要和时间戳一起签名，可以抵抗重放攻击和代换攻击；另一种是对信息加密后再按第一种方式后续步骤进行签名，那么只有拥有密钥的授权用户才可以查看该信息。数字签名和加密算法有很多种，比较典型的有RSA、DSA、ECC等。除了需要基本的数字签名和加密外，教务系统中还会有大量的教学工作管理流程。对于这些教学工作管理流程，需要使用多重数字签名或群签名来对数据进行数字签名。教务管理系统主要使用以下几种代表性的数字签名流程：1）成绩管理：一般流程为：老师评定成绩院系教学秘书核对教研室主任签字主管教学的院系领导签字教务处签字。在这个流程环节中，强调签名的顺序和对签名内容的控制，这样的流程需要要使用有序多重数字签名。2）公文签收：在公文签收中，统一部门的不同工作人员可以代表其所在部门完成诸如公文签收类的事务性工作，系统只需要判断部门内是否有人收到公文即可，不用管具体接收人员，如果出现争议时，可以检查出当时的签收人。这样的流程要使用群签名，群签名可以并行执行。管理中心判断其签名类型为群签名时，系统将根据签名要求确定参与签名的群组成员，然后向群组成员发出签名要求，在收到若干群组成员的签名回复后，对这些签名进行验证，当确定至少有一个签名有效时，管理中心将告诉签名发起者成功信号，如果没有一个签名有效，则签名失败。3）学籍异动管理：以学生办理休学手续为例，学生提出休学申请，教务处学籍科审批合格后，向学生发出通知单，学生按通知单上的所列项目，前往相关部门盖章认可，学籍异动管理是一种无序多重签名的例子。这样的流程是一种无序多重签名的实例，无序多重签名是有序多重签名的一种特例，由系统初始化时将无序多重签名指定一个顺序，从而转成有序多重签名进行处理。

篇3

关键词：计算机 网络安全 问题 措施

中图分类号：TU2文献标识码：A文章编号：1672-3791(2012)03(a)-0000-00

随着科学技术的不断进步，计算机迅速进入大众的各个生活领域，涉及到人们生活的方方面面，计算机网络技术的不断进步一方面丰富了人们的日常生活内容，提高了人们的生活质量，把人们带入到全新的科技时代中，另一方面也随之带来了很多的问题，如病毒泛滥，黑客猖獗，青少年过早沉迷网络等等，这些网络问题的存在，不仅影响到人们的日常生活，也破坏了社会的稳定，影响到和谐社会的建设，因此解决计算机网络安全问题迫在眉睫，必须引起大家的足够重视。

1 计算机网络安全面临的隐患

计算机网络安全发生频率高，来源广泛，自然因素和人为因素都有可能造成计算机的各种网络安全问题的产生，在使用计算机的过程当中，很容易出现软件漏洞、硬件故障等一系列的物理性安全威胁，人为因素包括操作失误、黑客攻击等，另外，在使用计算机的过程当中也有可能产生一些意外事故，比如自然灾害对计算机也能够造成一定的威胁，我们主要从计算机安全问题的物理威胁、技术隐患、用户自身缺陷以及人为恶意攻击四个方面来分析计算机网络安全的常见问题。

(1)物理威胁。物理威胁能够直接影响到计算机的设备安全，是保障计算机信息安全的基础，主要分为三种类型，第一种类型主要包括计算机自身的设备故障，出现物理性的损坏以及自然灾害等；第二种类型是指痕迹泄露和电磁辐射；第三种类型是指用户在使用过程中操作不当以致出现的一系列操作失误。

(2)技术隐患。计算机的技术隐患是引发计算机网络安全问题的主要因素，也是对计算机网络安全影响最为严重的问题，技术隐患能够直接导致计算机网络系统的崩溃，对计算机的安全问题产生很大的破坏影响。操作系统多自带一些特定的应用程序，这些程序一方面便于用户操作，一方面又存在一定的安全隐患，一旦系统自带的操作系统存在安全隐患，就会使整个的系统处于危险状态，因此用户在使用计算机之初就必须对计算机操作系统做一个准确的认识和了解。其次，网络协议也存在一定的安全隐患，我们现在使用的Internet系统使用的协议是TCP/IP协议，这项协议具有简单、操作性强等特点，它的功能在于传输信息，这项协议在设计的时候由于没有充分考虑到维护计算机网络安全问题，因此其本身就存在着一定的缺陷，攻击者通常会利用TCP/IP协议的缺陷来攻击计算机网络，造成严重的计算机安全隐患。另外，程序员在编程时如果不能充分考虑计算机应用软件的存在缺陷，就会很容易造成计算机应用软件的使用缺陷，比较鲜明的例子是黑客攻击，黑客一旦使用错误程序进行非法操作，就有可能获取用户操作系统的用户使用权限，其结果是相当危险的。

(3)用户自身隐患。如果用户对计算机的操作和网络管理缺乏常识，不懂得如何保护自己的网络安全，又没有强烈的安全保护意识，在使用操作系统的过程中就很有可能无意识地给网络攻击者提供破坏网络安全的机会，主要包括用户的密码可能被破解、网络系统不完整备份等安全隐患。因此操作者在使用计算机网络时，应该了解基本的计算机网络安全保护的常识性知识，加强自己的防范意识，不给攻击者破坏网络安全的机会。

(4)人为的恶意攻击。人为的恶意攻击是计算机网络安全问题面临的最严重威胁，例如计算机犯罪就属于人为恶意攻击的一种主要形式，恶意攻击以各种不同的方式破坏计算机网络信息的完整性和有效性，在不影响计算机网络正常运行的情况下，破译或截取计算机用户的各种重要信息，人为的恶意攻击是当前计算机网络面临的最大敌人，对计算机的网络安全造成了极大的威胁和危害，我们必须采取相应的措施严厉打击计算机人为恶意攻击的现象。

2 应对计算机网络安全问题的具体策略

面对目前计算机网络出现的大量问题，我们必须采取有效的措施进行抵制，不仅要保护网络信息的安全性，同时要加强对整个信息系统和操作系统的保护，提高检测系统入侵的能力以及被入侵后系统的快速恢复能力，加强对整个网络系统安全的保障功能。

(1)国家制定相应的法律法规。国家必须在保护计算机网络安全的问题上起到带头作用，制定相应的法律法规，以法律的形式约束不法分子的行为，制定相应的网络安全管理办法和标准，使社会对网络不法分子的犯罪行为有法可依，规范网络行为，保障用户有一个安全可靠的网络使用环境。

(2)企事业单位实行严格的网络管理。企事业单位以及各个网络使用机构必须制定有效的网络安全管理条例，加强自身的内部管理，加强网络安全隐患的防范意识，建立有效的网络安全保护系统，保障用户的信息安全。

3、加强技术支持。各个网络使用机构必须增强网络安全威胁的防范意识，加强用户和系统管理员的技术含量，各级部门在使用计算机网络时，做好对计算机的开机毒查，学会及时备份数据，掌握应用密码技术、数据库的备份和恢复等专业技术知识，提高网络反病毒的能力和技术，建立安全的网络操作环境。

结语：维护计算机的网络安全意义重大，在这项复杂的工程当中，我们必须不断地学习，不断地深入研究，制定正确有效的防范措施和问题解决措施，做好计算机网络的安全管理工作和技术指导工作，国家必须制定有效的法律法规，加强立法、执法的力度，强化对计算机网络的安全保护。各个用户必须认清计算机网络系统的脆弱性，了解计算机网络存在的潜在威胁，提高自己的安全防范意识，实施有力的安全措施，保障计算机网络的安全性。

参考文献

[1]. 余伟. 计算机网络安全问题剖析[J]. 电脑知识与技术. 2009.(21)

[2]. 万松. 计算机网络安全问题剖析[J]. 华章. 2010.(33)

[3]. 王健. 计算机网络安全问题剖析[J]. 数学学习与研究(教研版). 2009.(14)

[4]. 段新颖. 浅谈计算机网络安全问题[J]. 科技致富向导. 2010.(12)

[5]. 李树田. 计算机中数据备份与恢复之我见[J]. 电脑知识与技术. 2010.(05)

篇4

关键词：校园网络；VPN技术；安全；应用；

中图分类号：TP393.08

伴随着当今社会的进步和经济的快速发展，尤其是科技的逐渐成熟，如今，我国各校园的信息化管理模式也变得越来越成熟，建立了如今的校园网络，这样一来可以更好的促进师生之间的学习和沟通。各个院校的规模也在不断的扩展，校区也都在协调发展。有些学校的分校大都在不同的地方建立，为了要实现协调发展式发展，那就要使用VPN技术来管理，这样一来就能够很好的解决校园网络的地区限制管理，同时也能改善校园网络的应用及管理。

1 VPN技术在校园网中的应用现状

据调查，当前我国校园网对VPN技术的关注已经到达了相对性的，现在有很多高校已经开始实行或者准备使用VPN。

其实各个高校应用VPN的目的大都相同，一是把需要VPN的校外学生或者是教工招进学校，为他们提供VPN的连接服务，如北京航空大学的VPN远程访问系统目前在全面建立；二是必须要确保VPN技术的连接服务仅为授权者，可在总校和分校之间设立一个VPN网络通道，这样就能够进行一系列的信息传递与共享。然而，不同高校对VPN技术的需求都有差异，有些学校需求比较独特，如陕西大学内的VPN技术设立，它的目的主要是给校外师生方位IPV6时提供服务。

当前各个高校对VPN的需求主要有以下几个方面：（1）满足校外的师生对校内网站访问的需要。VPN网络可以在公共IP网络上设立私密的数据输送通道，通过输送来的数据进而对分校各个办公室已经办公人员进行远程连接交流，以此来减低校园网的访问障碍，同时也能节约费用；（2）满足分校间的访问需要。如今有很多高校都在不同程度上的对分校间的服务器进行研究，就是为了方便各校之间的管理及控制，也容易进行资源的统一和分配；（3）处理图书馆资源的访问问题。对于高校数字图书馆的管理，版权问题一直以来都是比较受关注的重要问题，无论哪类的图书资源都要按数字版权进行保护，不仅如此，还要通过加密技术进行安全保护管理，以防这些资源被非法使用。因此，高校数字图书馆里，有很多电子资源都对所访问的IP地址范围进行扫描限制。支付过费用后，数据库要对访问者的IP判断，看这个地址有没有被授权。所以，各个高校都需要一个网络体系，可以管理、判断安全的远程访问资源的处理方案。

2 VPN在高校网络安全体系中的使用原则

安全保证。网络的安全使用是校园网络体系中使用VPN的最基本的保证，也是最根本的原则，因此，高校使用VPN技术是需要充分的安全保障制度，其中最重要的机制分别为身份认证、数据访问安全性以及数据保密。

有效管理。为让VPN用户的使用过程更加方便，对VPN技术服务器来说，就比较需要和VPN相关的客户端与服务台配置工具，同时客户端也要有着优质的界面。VPN用户的操作记录也是配置工具所要具备的功能，只有这样才能更有效的把浏览记录传输给网络的安全审计。

可兼备不同平台。相对于校园VPN服务来说，有多个平台来工作是需要多方面考虑的，只有满足了这样的需求才能把安全的网络连接上，才能更方便给办公用户随时随地使用，还需要有多个平台的多方操作系统平台。

2.1 校园中VPN技术的应用功能模型

VPN技术要在校园内应用一定要把校园网络的使用需求范围完全考虑在内，同时，还要与VPN技术应用的基本原则结合，更具体点来说的话，VPN网络技术在高校中的应用功能模型大概主要有四个模块：（1）后台管理：后台的主要作用就是收集VPN技术服务器的访问记录，然后把这些记录传输给安全审计来管理。同时，后台还对使用客户的操作记录以及详细情况进行总结；（2）浏览控制：这个模块的作用主要就是对VPN浏览控制的方案进行详情设立，给予客户访问准确性；（3）身份验证：对客户端方进行验证，客户端和服务端的认证方式是不同的，把数字认证方式应用到内网中，把用户和用户密码相结合的方式用到外网验证中，把数字认证书用到客户端对服务端的认证中去；（4）数据传输：在如今的网络体系中，数据传输模块被称为核心模块，主要作用是加密数据并且转发数据。

2.2 VPN在校园网络安全体系中的具体应用

某高校是由中国电信供给的光钎连接来实现总校和各分校的网络连接，通过光纤连接能够更好的胡同两校区的管理系统，如一卡通、财物及人事等系统。高校问了更安全的管理数据传输，就将IP SEE应用在内了，为了使得加密系统更加安全，也能使得数据传输更加安全。

有些用户对VPN技术有着很高的安全要求，如财务部、后勤部门等等，在校园内连接网络时，最好使用二层隔离的策略，再向重心交换机进行传输，以这样的方式来传输各分校之间信息。还有些用户因没有高的安全级别，所以就对安全级别降低了要求，这样也使得VPN技术服务器得到很大的提升。

假如移动客户浏览，可使用AccessVPV方案实现，把这种服务器设立在校园网络的内部中，然后移动客户可以用专用的VPN客户端接入到校园网络中。这样使用网络连接方式只需要ISP提供的宽带费用支付费用就可以了，不再需要其他额外的费用。

在建设高校网络的VPN服务器的时候，在基础环境方向上选择了LINUX网络系统，最终通过实践证明，这个系统有着很好的拓展性，而且重要的是不用付任何费用，与Windows Server平台来说，它有着更优越的性能。系统软件方面，很多人都选了openWPN操作系统，这个系统主要是以SSL协议为基础的，所以能够进行SSL VPN系统来建立工作。

3 针对校园内VPN技术的安全措施进行探析

3.1 身份识别安全性

某软件职业技术学院设立校园VPN技术的过程别添加了PKI认证技术，以此来方便进行身份认真，即设立服务器连接前，网络用户要必须进行身份认真才可使用，即用户的计算机上一定要有数字证书，如此才能保证客户连接的安全性，如果不能得到用户的数字证书认证，就算收到用户密码也是不可以建立连接的，这是为了保证合法用户的网络连接。

对于CA数字证书技术，它主要是用来确认身份的，是比较独特的身份认证，其中一方面能够得实现安全政策，还能够让用户和数据产生不可抵赖性，能够保证信息的可靠性，然而通信用的CA证书具有抗重传功用，还能掩盖非法登录。现如今PKI技术已经被成为国际标准网络，有较高的安全性能。PKI技术的引进使得网络安全意义有很大的提升。

3.2 数据访问的安全性

连接可靠性。距今VPN网络技术已经发展了很多年，同时也经过了多年的实践验证，这项技术的连接是比较稳定和可靠的。其实这个网络连接的可靠性和VPN技术中的软件及硬件有很大的联系。我们在河职院校的VPN技术建设中用了一台2万多元的IBM服务器，然后再通过30台客机系统和服务器建立了VPN连接，最后用软件再不断的读取与改正后台数据库里的数据，这些经过一个多月的时间来验证并没有出现暂停的现象。因此，相对于校园网来说，一台2万多元的服务器就能够满足日常的使用。

4 结束语

这篇文章分析了我国当前VPN技术的现状，重点对校园内应用VPN的具体情况进行了论述和探析，还介绍了校园内应用VPN的各种需求。总而言之，本文也是从校园网络的实际情况出发，将VPN技术应用到校园网中，从而设计了VPN安全体系，还对构造这个过程进行了认证和分析，从一定程度上证明了提出这个方案的正确性。

参考文献：

[1]徐迎新.VPN技术在校园网安全体系架构中的应用研究[D].南昌大学，2011.

[2]莫爱民.主流VPN技术的安全性研究与改进[D].南京理工大学，2012.

篇5

关键词：医院信息标准化建设；网络安全；管理体系

由于信息化技术的日益发展，很多医疗信息系统都在发展过程中进行了优化，大大推动了医疗诊断技术水平的提升，使诊断工作更为精细化，有效提升了员工绩效水平和医疗工作的整体品质。与此同时，其复杂性也在日益提高，使得医院安全问题凸显，同时面临多种恶意软件入侵，对医院网络产生了重大的负面影响。因此，在技术水平达标的同时，还需要人工操作来确保网络的安全。2018年4月，国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》，提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”，发展在线医疗，提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导，遵循“一个中心、三个防护”防护工程的基本理念，从安全信息管理服务中心体系建设工作开始，并初步构建了医院网络安全三级防护管理体系，以有效迎接新网络时代的安全管理挑战，确保“互联网健康”，医院安全信息化体系建设稳步健康有序发展。

1医院信息标准化建设中网络安全管理体系建设的重要原因探析

患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外，信息化体系建设还可以有效提高医务人员的日常工作效率，降低医务人员的劳动强度，为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看，医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平，密切各直属科室之间的协作关系，为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件，降低医院的商业保险和运营成本，提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去，医院率先采取了“被动防御”安全战略，并针对安全网络威胁不断采取了安全防护控制措施，缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低，对安全威胁的监测反应慢，难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展，各种新信息技术的不断推广和医院互联网服务的不断普及，医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。

2医院信息标准化建设中网络安全管理体系建设遇到的问题

2.1缺乏统一标准和依据

医院信息化建设具有高度的系统性和复杂性，需要各部门密切配合，对医院进行统一规划，明确每一步的建设目标。但是，从医院信息化建设的现状来看，对医院的实际发展缺乏重视，在投入之前没有充分考虑到医院的长远发展目标。另外，信息化建设没有统一的规则，影响了信息化建设的工作，对新项目的实施也有一定的影响，造成了资源的浪费。

2.2网络安全性较低

医院的网络安全的问题往往是高度复杂动态的，将对医院领导和安全系统运营人员产生重要直接影响。此外，还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题，但由于医疗软件技术能力较差、技术水平不过关等因素，并没有有效地解决这些网络安全上的问题。

3网络安全管理体系建设原则

从医院建设安全网络管理信息中心的总体目标要求出发，在国家标准2.0级网络防护的技术指导下，结合自身医院网络安全管理工作实践经验，医院首先明确了以下网络安全管理原则：①安全管理与网络技术支持并重，同时合理规划医院建设安全管理体系和网络技术支持能力，用安全管理体系建设指导网络技术支持能力体系建设，用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限，整合安全人力资源，提高安全管理效率，注重员工建立准确识别和有效消除快速安全网络威胁的管理能力；通过集中的人力资源综合管理和权力控制，分散对上级行政部门权力的管理限制，以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则，医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。

4网络安全管理体系建设标准

建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求，结合医院自身的安全管理经验，并将实施能力作为重要标准考虑在内，建立2.0级安全管理体系框架，以确保管理体系的管理方向和可行性。为便于实施，医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求，确定医院总体上的网络安全保障政策和发展策略，在此基础上研究构建公立医院第三级安全网络管理体系，定义全球安全要求，并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量，更新和调整物理安全要求、政策和政策，以应用于特定领域。二级安全操作和维护系统，规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求，并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范，以便于确保操作人员的实际操作管理效果能够满足您的预期，并减少故障和其他行为造成的潜在安全风险。例如，确定您的服务器安全技术增强（windowsserversecuritymanual）的项目操作步骤和项目实施经验效果，并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求，并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录，为了减少操作和维护人员的工作量，提高时尚管理的效率，节省纸张，医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性：第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理，根据实际需要进行制定，具有较强的基本相关性和实际适用性，确保一级管理体系的基本灵活性和实际适应性；第三方操作手册特别注重管理细节和长期实施，可根据长期实施管理效果反复迭替换代，这些都是我们确保一级管理体系长期实施管理效果的最终重要目的；四级注册表格针对医院在建立管理体系时，特别注重对人员安全风险的管理和控制，建立持续改进管理体系的能力。成立了“网络和信息安全委员会”，作为主要决策机构。根据网络标准2.0要求，管理员职位分为3个职能：系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为，并初步确定合同员工的安全和财产保密管理责任；同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求，建立促进管理体系建设持续完善改进的长效机制，确保稳定性，实施安全管理体系的灵活性和能力，并明确各级修订和审查体系文件的要求。

5网络安全技术能力建设

在安全维护管理体系中心建设的基础上，医院已经开始研究建设安全技术管理能力，以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域，安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此，建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务，为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务，以及足够的自我保护能力，以确保自身在网络中的安全，避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力，医院在现有网管区域的基础上，采用以下方式完成安全管理建设技术能力。

5.1终端网络保护

前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接，负责从敏感区的核心节点发送数据，仅易受攻击。因此，通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫，并在它们已经进入安全下一阶段之前预先阻止。

5.2区域网络运维安全设计

（1）建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞，检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估，实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险，并提供强有力的网络技术支持。（2）创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析，管理者不仅可以通过搜索和实时分析日常网络使用中的记录，正确维护日志数据，定义日志审核设备，方便员工随时查看，并随时跨平台监控整个数据中心的安全状态。（3）建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统，可以实时部署专门的高标准风险流量检测分析平台，准确快速收集用户流量，进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为，挖掘这些可能使其隐藏的潜在危险，提供会话进程的所有数据审计处理能力，并不断提高其进程追踪和对攻击源的预测能力。

5.3整合现有安全资源

医院将在保障自身安全和区域安全管理的基础上，转移现有的保障功能，包括资源，非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外，通过研究在服务区内设立专用安全通道和具体的基础设施安全设施，优化全市安全设施功能整合，注重安全设施综合利用，减少不必要的安全设备，提高安全设备维护和安全系统运行效率，完成对全市现有安全防护体系的综合优化。

5.4优化集中控制

在完善现行安全监管制度的基础上，该院先后研发了航站楼和门诊部的安全监控和安全管理系统，为弥补医院现有综合门诊终端保障体系的不足，对医院基础设施进行集中控制和建设，以及医院管理系统的现有背景操作和系统维护，抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此，集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。

6医院构建网络安全管理体系

为有效适应未来最严峻的网络安全发展形势，医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成：综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构，确定了医院事件预警分类管理标准，并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定：为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保，使医院应急系统人员在统一系统的技术指导下，能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点，对信息网络保护系统进行了升级，提高了风险信息的准确性，与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关，建立安全网络。然后，在发展安全管理能力的基础上，围绕“响应性”完善安全运行体系建设，提高响应速度和应对网络安全威胁的能力。在技术上，尝试将连接机制引入安全体系，开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系，紧跟医院信息“医疗卫生互联网”建设步伐在网络时代，促进了医院网络安全建设的发展。

参考文献：

[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.

[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.

[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.

[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.

[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.

[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.

[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.

[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.

[9]张宇.医院信息化建设改革实证研究[D].南昌:南昌大学,2012.

篇6

关键词：应急相应;网络安全;安全时间;分类;应急相应体系

一、网络安全事件的相关概念阐述

安全事件囊括的范围是比较大的，将事件的起因或者用意作为出发点的话，计算机安全事件一般情况下是能够被划分为两个类型的。假如说一个事件完全是处于意外或者是一种无意识的行为的话，比方说自然灾害、电力中断等事件致使系统受到一定程度的破坏，是能够划分到第一个类别当中的;假如说事件是处于有意识的、有目的的对系统的安全性造成破坏的一种行为，是可以被划分到第二个类别当中的，上文中所提及到的这个类型的安全事件一般情况下也是能够被称为攻击事件的。

应急相应：在安全事件发生了以后采取的与之相对应的补救措施或者行动，以便于能够使得事件对系统安全性造成的影响变得相对来说比较的小。应急相应主要所针对的就是有目的的、有恶意的对网络系统安全性造成破坏的攻击性事件;对于和自然灾害以及能源之间有着一定程度相互联系的问题，一般情况下都是被叫做“可持续性”或者“可持续性计划”的。

二、对应急相应过程进行分析

应急相应其实就是在网络安全事件发生之后采用的与之相对应的补救措施及行动，以便于能够使得各种类型的网络安全事件对网络系统安全性造成的影响变得相对来说比较的小。依据事件相应的六阶段方法学，响应流程包含的是：准备，检测，抑制，根除，恢复以及跟踪六个阶段。在这里面起到相对来说比较的重要的作用的相应步骤是抑制、根除以及恢复。

抑制是一种过渡性或者暂时性相对来说比较的强的措施，从根本的层面上进行分析，相应其实应当是根除和恢复，并且是需要将引起安全事件的系统漏洞找寻出来的，以免相似的事情再次发生。而系统恢复，则是需要站在事件产生的结果的层面之上对系统受到的影响的程度展开分析的，进而就能够将受到影响和破坏的系统恢复到以往的运行状态。

从上文中进行的相关分析，我们所能够得知的是，从应急响应的过程中这个层面上进行分析，安全事件所涉及到的各个要素当中，系统漏洞以及事件结果这两个层面的相关信息在做出响应决策的过程中起到的作用是相对来说比较的重要的。

三、面对相应的分类方法

时间。分类模型的第一个维度是依据时间发生的时间进行分类的，从时间的层面上进行分析的话，所需要达成的目标就是选择出来正确的相应策略。依据相应的六阶段方法，在事件发生之前实际上是应当进行预期性准备工作的，在事件进行的过程中主要使用到的就是抑制措施，使得攻击的延续性变得相对来说比较的差，使得潜在的威胁受到限制，最大限度的减小系统受到的影响和破坏;在事件发生完毕之后，则是应当展开系统恢复和损失评估等相关的工作的。

事件主体。模型的第二个维度是站在事件主体的层面之上对安全事件进行分类的，在这个维度之上，安全事件又是能够进一步的从事件源数量、事件源未知以及事件源性质这三个层面上展开详细的划分工作的。将事件源数量作为出发点的话，事件是能够划分为单供给源事件和多供给源事件的;将事件源未知作为出发点的话，事件一般情况下是能够划分为内部供给和外部供给这两个类型的;将事件源的性质作为出发点的话，其实也就是对攻击者的性质进行分析，以便于能够确定事件是由普通的抱着恶作剧心态的人员发起的，还是由经济层面之上的对手或者军方组织发起的。

攻击技术。模型的第三个维度是站在攻击技术的层面上对时间进行分类的。Lindqvist在对攻击技术进行分类的过程中使用到的方法是可以在这里进行使用的。对发生的事件所使用到的攻击技术进行分类，是能够在选择抑制措施的过程中提供依据的

四、结语

针对网络安全事件进行分类层面上的研究，是能够为后续的应急相应体系的构建工作的顺利开展奠定坚实的基础的。本文提出了一种面对应急相应体系的网络安全事件分类相关工作进行的过程中所能够使用到的方法，但是这仅仅是工作的第一步。在此基础之上，各种类型的相关工作是可能从以下几个层面之上展开的：对各种类型的事件的报告格式做统一规范的处理，逐步的在实践的过程中构建出准确且及时的安全事件上报体系;在对网络安全事件进行分类的基础之上，找出适应性较强的各种类型的安全事件的应对方法，从而就能够构建出一个较为完善的应急相应决策数据库;应当在实践的过程中逐渐的构建起网络安全事件数据库，这一项工作在事件相应流程当中的最后一个阶段（跟踪）所能够起到的作用是相对来说比较的重要的。

参考文献：

篇7

关键词：一体化；安全域；信息安全

1.引言：

随着全国信息化建设的发展和消防信息化的深入，消防业务应用系统数量和提供服务的用户数不断增加，同时，公安部消防局统一开发的一体化消防业务信息系统逐步在各总队深入推广应用，因此，为保障总队信息系统的稳定可靠运行，总队在部局规划指导下，开展一体化信息系统信息安全保障项目建设，构建设计动态积极安全防御体系，保障全局一体化业务系统稳定可靠地运行。

2.系统特点

一体化消防业务信息系统是公安部消防局根据十一五期间信息化建设项目总体实施方案统一规划设计，根据整体业务进行需求分析研发的信息系统，系统实现了纵贯部局，总队，支队，大队，中队各级，横跨各业务部门的信息资源共享，互联互通。系统以基础数据及公众服务两大平台为建设核心，包含灭火救援指挥系统，消防监督管理系统，部队管理系统，公众服务平台，综合统计分析信息系统五大业务系统。并针对一体化业务平台，提供二次开发接口，保证和其他业务信息系统的衔接。系统采用面向服务的SOA的设计理念，最终实现音频，视频，数据的综合集成，使一体化业务系统能实现互联互通互操作。

系统建设主要依托“金盾工程”，利用“金盾工程”的现有公安网基础网络和信息资源，按照网络应用环境不同，分为公安信息网（以下简称“公安网”）应用系统、互联网应用系统、公安网与互联网同步应用系统。公安网应用系统是指仅在公安网上运行的消防业务信息系统，互联网应用系统是指在非公安网运行的消防业务信息系统。公安网与互联网同步应用系统是指同时在公安网和非公安网开展业务应用、并且相互间有数据交换要求的消防业务信息系统。

根据部局的一体化系统建设指导方案和系统设计架构，总队结合当前实际情况，对一体化消防业务信息系统暂采用混合部署模式，即整个总队的一体化业务系统的应用及服务均部署于总队信息中心，由总队统一规划，统一管理，开展一体化消防业务信息系统体系建设。

3. 系统信息安全管理体系设计

为保证一体化消防业务信息系统的高可用性和高可控性，总队按照武警消防部队信息化建设总体方案的要求，对全总队网络信息安全设备配备及部署进行统一规划、设计，购买相应设备，利用信息安全基础设施和信息系统防护手段，构建与基础网络相适应的信息安全管理体系。

3.1总队信息安全管理体系安全域划分

由于总队内部计算机数量众多，并涉及到公安网，互联网以及政务网多个网络的应用，为便于管理和控制网络广播风暴的发生，应根据计算机所属部门、物理位置、重要性的不同，把局域网划分为多个虚拟子网（VLAN1…VLANn）。根据各VLAN间的安全访问级别不同，实现各VLAN间的安全访问控制。

根据各类软硬件设备提供应用的范围、面向的用户群以及影响面、重要性的不同，站在全局的高度，合理划分安全域，确定安全需求和访问控制策略、安全硬件部署策略。

总队安全域划分：

（1）核心业务处理区：涉及一体化消防业务信息系统中的部分业务系统。该安全域中的业务系统支持本地内网的业务应用，无需与外部实体进行数据或业务的交互。

（2）119接处警系统区：涉及119接处警系统所有应用服务器、数据库服务器、数字录音仪、接处警终端以及其它附属设备。本区域设备支撑119报警的受理、处置、调度、反馈以及灾后数据分析等全流程业务应用，为全内网应用。总队119接处警系统将与一体化消防业务信息系统的灭火救援系统开发数据接口。

（3）特殊业务受理区：涉及一体化消防业务信息系统中部分业务系统，主要是面向移动终端的业务接入，包括灭火救援、消防监督的业务受理系统，特殊业务受理区的受理服务器可以将受理的业务数据“摆渡”到业务处理区进行处理，在得到处理区服务器的反馈后，再将反馈信息回传到移动终端上，完成整个业务处理流程。

（4）特殊业务处理区：涉及灭火救援指挥、消防监督的业务处理系统，实时处理由业务受理平台“摆渡”过来的数据，在处理后反馈给特殊业务受理区的受理服务器。

（5）内网终端区：由内网中的办公终端组成，内网终端区用户可以访问网络中授权访问的业务系统。

（6）内网管理区：将内网中的各类管理服务器置于内网管理中，集中进行安全策略的定制、下发，集中监控各类系统运行状态。主要包括设备管理、终端管理、防病毒管理等。内网管理区由内网中具备相应管理权限的管理员来访问。

3.2信息安全保障体系构成

总队信息系统安全保障技术体系由物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理构成。其中，安全基础支撑为物理安全、网络安全、计算环境安全和数据安全提供支持，安全管理为整个安全保障体系提供全面的管理。

安全基础支撑主要涉及总队一体化系统中的身份认证与授权系统，包括服务器计算机硬件设备以及安全认证网关设备。通过部署身份认证与授权系统及安全认证网关于核心业务处理区，确保总队认证服务及CA系统正常运行，利用数字证书登录访问一体化消防业务信息系统的模式，加强一体化系统的访问控制安全，提高一体化系统的安全级别，是整个系统的基础和支撑，是实现总队信息系统安全保障的共性设施。

数据安全包括数据库入侵检测系统、数据库访问控制系统、数据库审计系统、数据容灾备份系统等，用于保障消防信息系统中的所有数据库安全。

总队通过在涉及到一体化消防业务信息系统的业务区对一体化业务系统数据库部署磁盘阵列以及硬盘自备份和移动存储备份方式，设置全量备份，增量备份策略，执行方式为日备份，周备份，月备份以及临时应急备份，确保一体化系统的数据安全可靠。同时通过部署数据库入侵监测及审计系统，加强系统的数据库安全，确保数据库无故障和稳定运行 。在核心业务信息系统和需要重点保护的信息系统中部署数据审计系统，实时监控数据库各种账户的数据库操作行为（如插入、删除、更新、用户自定义操作等），从而降低数据库安全风险，保护数据库安全。

网络安全包括隔离防火墙、网络入侵检测设备、信息内容审计监控等设备，主要在各级区域网络互连的边界位置进行安全防护和访问控制，对进出网络的数据进行实时的检测与访问控制，以发现异常流量，并进行分析、阻断和报告。

根据安全域划分，总队在各安全域间部署防火墙，并在防火墙上设置相应策略，实现安全域间的访问控制。在核心交换机上部署网络安全审计系统，在网络边界部署一台入侵防护系统，实现对外部流入数据的监测，一旦发现入侵行为及时报警并依据策略进行阻断。同时利用IPS系统的恶意代码防护模块对网络出口处的数据进行恶意代码防护。在核心交换机上利用入侵检测系统针对所要监控流量端口做镜像，实现对流经核心交换机的流量进行监测，一旦发现入侵行为或恶意行为，及时进行报警。

计算环境安全：通过公安网一机两用监控系统以及互联网一机两用监控两套终端安全管理监测系统对安全域内的终端设备进行监测管理及系统补丁集中分发工作，结合部署在公安网和互联网上的防病毒软件系统服务器进行集中控制和病毒防控升级工作，对部署在总队局域网的计算机终端、服务器、及其运行的应用系统进行安全防护。

物理安全包含环境安全，设备安全，介质安全三个方面。通过信息中心机房的门禁系统、防雷设施、防火设施、稳压UPS电源,机房温、湿度监控系统及LED显示，声光报警等多种手段及措施，构筑我总队一体化消防业务信息系统的物理安全防护体系。

安全管理主要指综合安全管理中心，通过集中的安全管理，保障整个安全系统在统一的安全策略指导下运作，通过制定统一的安全管理协议、安全管理接口规范和安全管理数据格式，实现对用户、设备、事件的统一集中管理，实现信息系统中各类安全设备的统一管理，安全服务的实时监控和安全审计，并提供安全策略的实施和维护。

目前，总队通过部署NCC网络监控和BCC业务系监控平台，对安全域的网络设备以及各业务服务器应用，数据库等设置阀值和策略，进行集中管理，通过NCC和BCC进行每日巡检。下一步将通过COSS管理平台并平台的二次开发接口，拟对一体化系统的深入推广应用进行全方位监控管理。

3.3信息安全管理体系应急预案制定演练

信息安全管理体系建设的最终目标是保障一体化业务的正常稳定运行，各类防护措施的应用最大程度的降低了安全风险，但由于各种新的病毒、黑客技术层出不穷，制订完善的应急预案，确保系统遭受安全攻击后的可恢复性就成了系统防御的最后保障。

在应急预案中，应明确从单机故障到全网络瘫痪、从影响个人办公到全单位业务乃至造成重大社会影响的不同级别网络安全事件的定义，逐一制订对应的技术措施和管理、处置、上报机制，明确每一个步骤的责任人、责任单位。在应急预案制订完成后，必须通过至少两到三次的不同级别、层级安全事件应急处置演练进行检验，查找缺陷，完善不足，同时根据单位信息系统建设、应用的发展和网络设备的更新不断进行调整，确保应急预案的最后保障作用。

4.结束语

通过安全技术措施及各类软硬件设备组合构筑一体化消防业务信息系统信息安全管理体系，确保系统稳定运行。但安全事故很多时候不是因为技术原因造成的，二是人们没有认识到信息安全，以至于忽视了安全流程或者躲避技术控制措施，对于各类与外网逻辑隔离或物理隔离的专用网络（如公安网）来说，其源自于内部的网络安全威胁比例更高。因此，建立健全单位内部网络安全管理制度，加强网络安全教育，提升内部人员的信息安全意识就成为了增强内部网络安全管理水平的首选措施。

总队在加强信息化建设过程中必须加强安全保密管理，设置安全保密管理机构，制定严格的安全保密管理制度，采用适当的安全保密管理技术将消防信息系统中的各种安全保密产品进行集成，并加强对涉密人员的管理，形成完整的安全管理体系。同时将各类网路安全技术手段和硬件设备进行有机组合，充分发挥各自的技术特长，以物理安全、通信网络安全、计算环境安全、数据安全、安全基础支撑和安全管理六大模块构成一体化信息安全保障管理体系，并辅之以具有高度可行性和可操作性的应急预案和规范的运维机制，做到网络不断，业务不瘫，数据不丢。

参考文献：

篇8

此次大会由杭州市人民政府、中国网络空间安全协会、浙江省网信办、浙江省公安厅、浙江省经信委、云栖大会组委会指导，中国信息产业商会信息安全产业分会、阿里云计算有限公司、杭州安恒信息技术有限公司主办，浙江省计算机信息系统安全协会、杭州市网络安全协会、北京洋浦伟业科技发展有限公司、飞塔信息科技（北京）有限公司、北京元支点信息安全技术有限公司、北京珊瑚灵御科技有限公司协办。

本届大会以“安若磐石，云之所栖”为主题，以全新的国际视野，洞悉全球云安全发展趋势；围绕“中国网络安全创新分享”这一主题，共同研讨探索适应我国国情的网络安全发展的道路，共商凝聚共识，整合资源的网络安全创新新模式。

大会由公安部第一研究所原所长、计算机安全专委会主任严明主持，并宣读了杭州市委副书记、市政府党组书记、市长张鸿铭对大会发来的贺信。参加本次大会的致辞和重要演讲的嘉宾有，中央网信办网络安全协调局副局长胡啸，浙江省公安厅副厅长石小忠，浙江省经信委总工程师厉敏，中国信息产业商会信息安全产业分会理事长朱胜涛，公安部网络安全保卫局总工程师郭启全，国家信息中心专家委员会副主任、国家信息化专家咨询委员会委员宁家骏等领导和专家。另外，来自全国各地政府机构、公安部门、信息安全科研单位、央企、金融、运营商、互联网、军工各行业信息安全决策人员、信息安全主管、CIO、媒体等1500余人出席了本次大会。

专家论道产业安全

郭启全总工在演讲“加强创新和能力协同 全力保卫国家关键信息基础设施安全”中提到，国家对网络安全提出了新的要求，首先就是要健全和完善国家信息安全等级保护制度，强化关键信息基础设施保护。《网络安全法（草案）》中也提出明确要求，国家实施网络安全等级保护制度。

等级保护在网络安全保障、网络强国建设方面起着至关重要的作用。基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，从2014年3月开始，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代。

全新的《网络安全等级保护基本要求》涵盖了6个部分的内容：安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求以及大数据安全扩展要求。

宁家骏指出，开展关键信息基础设施网络安全检查至关重要，安全检查是从涉及国计民生的关键业务入手，理清可能影响关键业务运转的信息系统和工业控制系统，准确掌握关键信息基础设施的安全状况，科学评估面临的网络安全风险，以查促管、以查促防、以查促改、以查促建，同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。

他建议，充分借鉴国外关键基础设施网络安全保护相关法律，分析我国现有立法的不足和主要问题，抓紧建立我国关键基础设施网络安全法律体系，从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者何所有者的运营资质要求。同时通过关键基础设施网络安全态势感知、积极稳妥推动关键基础设施相关产品的国产替代、开展安全检查评测督促关键基础设施运营单位加强管理等方案促进我国关键基础设施网络安全与信息化的大发展。

聚焦G20杭州峰会安保

安恒信息CSO刘志乐在演讲中表示，杭州安恒信息技术有限公司作为本次大会网络安保和应急支撑工作的主要技术支撑单位，历经近360天精心准备、投入309位技术骨干参与到G20峰会网络安保任务。通过企业自主知识产权的最新大数据态势感知系统及应急处置工具箱、工控检查工具箱等二十多种产品平台，为G20峰会网络安保构建了全网全程网络安保和应急支撑监测体系、防御体系和服务体系，经过G20峰会全程考验，安恒信息圆满完成为本次峰会相关重要信息系统、关键基础设施、省市两级重要信息系统提供网络安全保障的安保任务。

安恒信息网络安保团队以远程和现场人员安全检测，结合部署基于云与大数据技术的远程安全监测、大会系统现场各重要驻点安全值守、会议安保指挥中心四方互联，多地支撑的形式，为大会召开保驾护航。他以本次峰会核心信息系统为例介绍道，安恒信息安保团队共发现高危以上漏洞438个，共拦截3300万次攻击。经风暴中心分析，攻击来自于41个国家和地区。

DT时代的云计算安全

阿里云安全资深总监肖力表示，云计算时代所面临的安全挑战并不比传统安全所面临的问题要少，甚至于相较之下更加复杂。通过10多年在安全领域的积累，阿里云建立了一支全球顶级的云计算安全团队，有完善的基础设施，并且有更快的安全应急时间，能及时发现高危的安全漏洞信息，用最短时间修复，帮助用户应对安全问题。

据普华永道统计，目前69%的企业正在使用基于云的安全服务，阿里云保护云上37%的数百万的网站，每天防御8亿次各类攻击，每天识别并防御35000个恶意IP，每天防御2000次DDoS攻击。安全从来就不是云平台、用户或者安全厂商某一方的单打独斗。云计算厂商需要建立强大的生态让用户个性化的安全需求能够快速有效的解决，云上客户需要与SaaS服务商和安全厂商的虚拟化产品协同作战，目前阿里云安全生态市场已有包括安恒信息在内的79家生态厂商、168款安全产品。

阿里云首席安全研究员、云盾负责人吴翰清在大会上首次了“阿里云云盾混合云解决方案”，混合云解决方案由阿里云安全团队与数梦工场联合开发、交付，支持公共云、专有云、线下IDC全场景覆盖，让企业拥有与阿里云一样的世界级安全能力与体验效果：包括安全态势感知大屏、海量宽带和快速扩容、大数据安全分析、威胁情报支持和0DAY快速反应能力。

模块化是混合云云盾解决方案的一大体验亮点。阿里云云盾的安全能力和服务，用“可插拔”的模式，模块化输入。用户可以按需购买，按需启用，解决以往线下解决方案不灵活、投入大的缺点。

安恒密盾2.0

安恒密盾安全产品经理杨锦峰做题为“打造你的钉钉移动应用安全之路（密盾2.0）”的演讲。

篇9

随着网络时代的发展，人们已经进入了一个全新的信息世界，世界连成了一个整体，实现了“双脚不出门，尽知天下事”的时展目标。计算机技术的快速发展以及网络安全所具有的保密性、完整性、可用性、可控性和可审查性等特征使得网络安全愈发成为各界关注焦点。网络安全能够做到防范于未然，将潜在的网络安全隐患扼杀在摇篮中，以使各自的利益得到保障。不同应用环境有不同的网络安全类型，最常见的网络安全类型有系统安全，网络的安全、网络传播安全和信息内容安全等。计算机技术的快速发展使得网络安全技术相关工作不断面临挑战，网络安全隐患大大增多。因此，利用网络安全技术，解决相关问题，减少安全隐患，提升网络安全性迫在眉睫。

1网络安全问题简析

现阶段的网络安全问题主要体现在存在较多网络隐患上，具体表现为以下六个方面。（1）Internet作为一个没有控制机构的开放网络，其计算机系统很容易遭到黑客入侵，最终导致特权被盗用、重要数据被破坏、机密数据被窃取甚至是系统瘫痪的后果。（2）TCP/IP是一种没有信息安全措施的通信协议，而Internet所有的数据传输都是在此基础上进行的，所以存在一定安全隐患。（3）Unix是一种安全性较弱的操作系统，而Internet中大部分的通信业务都是由该系统支持完成的，因此仍旧存在一定安全隐患。（4）由计算机存储、传输及处理的电子信息的真实性和可靠性还不能保证，其在应用层中的相关服务协议全靠彼此间的君子协定维系，安全性有待加强。（5）电子邮件被误投、拆看以及伪造的情况大量存在，用其传输机密性的信息文件时，安全系数将会大大降低。（6）Internet在传播过程中容易带来计算机病毒，进而导致数据文件丢失、系统瘫痪等较为严重的后果。

2网络安全技术简介

2.1防火墙

防火墙通常被放置在网络边界地带，用于隔离网络内外两部，发挥安全隔离作用，以此监控审核通信信息，确保网络安全。防火墙结合相关安全策略，对网络传输数据进行检测分析，改变所检测到的较为机密的数据，将内部的数据结构以及运行状态等隐藏起来，进而使网络安全得以保障。包过滤技术、技术、状态检测技术以及地址转换技术是最为常见的四种防火墙技术，是依据其所采用的技术标准划分的。防火墙是网络安全的屏障，能够阻止与安全策略不相符合的较为危险的网络信息的传播，进而提高网络安全防护能力。防火墙对用户权限的访问以及数据内容的控制也是其的重要功能。除此之外，防火墙还具有网络访问审计和地址转换的功能，作为连接网络内外两部的唯一通道，防火墙能够记录有关网络的所有访问记录，再对其进行了较为仔细的审计和分析，并以日志信息的形式呈现出来。在此过程中，NAT服务协助防火墙实现内外部网络的地址交换，共享资源，提高其安全性能。

2.2入侵检测

与防火墙不同的是，入侵检测技术在安全防御这个过程中显得更为主动，其实质是一种自我防御技术。入侵检测技术通过“整理收集分析”这一流程对网络中那些较为关键的节点信息进行处理，再判断其是否被人入侵或者攻击。此外，该技术还能监督系统的运转状况，发觉各种各样的进攻计划、行为或者后果，进而保障系统的完整性、机密性以及可用性。入侵检测技术主要有使用主机入侵的检测和使用网络入侵的检测两种方式。前者是以主机为检测对象，将入侵检测设置于系统之上，以避免因网络遭到外部攻击而造成系统不能正常运行的状况发生。后者是以网络为检测对象，又可以称是硬件检测，该检测是将网络中的数据包安插在相对重要的地方，再对其进行分析和配置，一旦发现有攻击行为存在，系统便根据有之前配置的相关安全策略阻断网络，以保证网络安全。

2.3VPN

VPN是一种利用公用网络架设虚拟专用网络的远程访问技术，其实质通过共享网络建立一个能够连接内部网络的隧道。对远程用户来说，VPN非常实用，不仅成本较低，还能够通过其获取可靠安全的资源，并且在此过程中传输数据时的安全性也能够得到相应保障。隧道技术、加密和解密技术、密钥管理技术以及身份认证技术是VPN中最主要的四种安全技术。VPN技术最主要的特点有两个，一是能够保障安全性，二是能够保证QoS的服务质量。前者主要体现在VPN能够保证网络传输中所传输数据的可靠性和保密性。而后者主要体现在能够预测网络在高峰期的使用情况，并建立一定策略机制，设置相关权限以控制执行先后顺序，避免出现拥塞现象。

3网络安全解决方案

3.1构建网络安全体系

网络服务的保密性、完整性和持续性是网络安全体系的最主要体现，现阶段的网络应用中存在不少安全隐患，这在一定程度上影响了网络服务的质量。所以，要提升网络安全系数，保证网络安全质量就不得不首先从构建网络安全体系着手。例如，要构建一个图书馆的网络安全体系，其具体操作流程如下。第一，对具体的业务、系统、网络等实际应用情况做一个全面具体的分析，建立一个初步的、具有一定整体性的安全体系结构框架。图书馆的网络安全体系结构框架可以从存储系统、网络结构和自动化系统这三个方面设计。第二，再对以上三个方面进行详细分点设计，整理出每一方面需要设计的内容。具体如下。（1）存储系统方面，DAS系统的技术相对而言更具成熟性和稳定性，故而该图书馆的存储系统可采用该系统。（2）网络结构方面，为免受设备物理位置的限制，可采用VLAN划分技术，实现每一个职能部门计算机的逻辑划分。（3）自动化系统方面，服务器对应用访问的热备份需求日益增加，为满足这一需求，图书馆在自动化系统方面可以采用双机热备技术。

3.2技术与管理相结合

技术和管理的有机结合能够更好地实现网络安全，控制网络内部的不安全因素的产生。此处仍以图书馆为例，具体操作如下所示。（1）使用防火墙。DDoS和DoS的攻击可能会使得PC机和关键服务器受到损害，这个时候就需要设置防火墙，并制定相关的限制访问策略，以响应各种网络攻击。图书馆可以根据自身实际情况配置防火墙，以防止外部非法用户在该图书馆网络中自由出入，获取资源。另外，为了保证计算机网络系统安全，图书馆还应该随时对系统进行升级。（2）安装防毒软件。安装防毒软件防止病毒入侵的重要方式之一，桌面、服务器、邮件以及网关等随时都有可能遭病毒入侵，所以设置防病毒软件尤为必要。在选择时，一定要选择公认的质量较好的、升级服务较为及时的、响应和跟踪新病毒速度较快的防病毒软件。（3）多重加密技术。网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听，采用多重加密技术，可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程，首先是传输数据的加密，这是保证传输过程的严密，主要有端口加密和线路加密两种方式。其次是数据储存的加密，目的是为了防范数据在储存中失密，主要方式是储存密码控制。最后是数据的鉴别和验证，这包括了对信息传输、储存、提取等多过程的鉴别，是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中，加密技术也常能看见。比如各大社交软件、游戏账号、邮箱等，都设有个人密码，只不过多重加密技术是一种更高级的渗透入网络数据传输各环节的一种加密形式，有效地采用多重加密技术将极大促进网络重要数据的安全性。

3.3制定安全问题应急策略

网络安全事故在所难免，但是可以通过一定的措施控制其发生的频率。制定应急措施便是不错的方法之一。应急策略包括紧急响应计划和灾难恢复计划。前者主要是指出在事故发生之时系统和网络可能遭到的破坏和故障有哪些，而后者主要是指明如何及时地应对这些破坏和故障，使其恢复到正常状态。

3.4注重相关人员技术培训

培训不能仅仅只针对相关技术人员，非技术管理人员的培训也尤为重要。现阶段，无论是技术性还是非技术性员工，对网络安全的重视程度仍旧不够。所以，加强其网络安全意识势在必行。对非技术人员的培训而言，主要是使其了解基本安全技术、能够分辨网络或系统中存在的安全隐患等。而对于技术人员而言，要求则相对较高，必须使其掌握相关的黑客攻击技术，找到应对方法，并将其应用于实际工作中，以保证网络安全等。

4结束语

篇10

关键词：地市烟草；网络安全；技术；管理

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2014） 02-0000-02

烟草行业自1985年有了第一台计算机以来，经过20多年行业信息化工作者孜孜不倦的努力，行业的信息化建设工作取得了长足的发展，建立了涵盖行业各个方面工作的完备的信息网络，为行业工作的便捷开展提供了可靠的信息化助力，为“卷烟上水平”做出了应有的贡献。但不可否认的是，在信息化建设之初，由于经验的缺乏及技术的限制，没有形成一个具有远见性及科学性，能与行业整体业务发展战略紧密融合的信息网络安全建设战略，导致多年来行业信息网络安全建设工作缺乏统一的导向和组织，虽然各省烟草公司都制定并出台了计算机网络建设与管理规范，指导各地市的信息网络建设，但因为制度出台时间较短，及网络改造需要流程与时间，可以说目前各地市网络安全建设水平仍不够理想，信息网络安全建设发展至今，越来越多的困难与矛盾开始逐渐凸显。

一、地市烟草公司信息网络安全建设现状

地市烟草信息网络是构成全省烟草信息网络的个体，因此地市信息网络安全建设水平便直接关系全省信息网络建设水平，是构成全省信息网络安全建设的一环，就像构成木桶的一板，依据管理学上“木桶效应”的短板理论，木桶的盛水量由构成木桶的最短的一板决定，当有一个地市信息网络安全建设水平大大低于平均水平，就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的，一环均不得松懈，一环均不得落后。

地市信息网络安全建设关系到全行业主干的网络的安全与稳定，而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性，决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时，信息网络安全问题也日渐突出，信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结（某地市烟草信息网络安全结构图如下），以及笔者日常的实际工作体会，主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题：

（一）将信息网络安全建设理解为单纯的安全设备采购

经过多年的信息化网络安全建设投入，一种简单的理念容易令一些行业信息化工作从业者产生误解，即所谓的信息网络安全建设就是网络安全设备的采购，只要网络安全设备采购部署到位，信息网络安全便高枕无忧，从一定角度来说，这种观点并没有错误，随着信息技术的发展，日益先进强大的网络安全设备层出不穷，人性化的操作界面也使得设备使用与配置变得不再困难，对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量，网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗？在实际情况中我们仍然会发现，地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划，导致亟需网络设备没有得到采购，或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面，同时设备上线实施后期的运行维护及更新升级，随着时间的流逝，人为的懈怠与忽视，都导致购买的安全设备没有起到最大的作用。

（二）信网络安全建设偏重技术钻研，忽略日常管理

信息网络安全不能完全依赖技术手段来解决，更多的需要从信息安全日常管理上入手，毕竟信息网络的使用者是人，只有对人的管理到位，才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情，但对信息网络安全日常管理方面却显得无能为力，或者说掌控能力还不够，虽然制定并颁布了涵盖网络安全各方面的信息化制度，但相关制度却没有得到很好的贯彻执行，很多制度名存实亡，而行业各级员工良好信息网络安全使用习惯始终没有得到养成，信息安全问责机制得不到很好实施，同时而信息中心作为相关信息安全管理制度的制定者，受限于部门职能及自身管理水平所限，导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下，致使再强大的技术防护都无法避免管理缺失形成的隐患。

（三）信息网络安全建设重视对外防护，忽视对内防护

当前网络安全建设更多的针对外来攻击的防护，而忽视对内的安全防护，更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问，而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明，99.9%的网络安全事件来源于网络内部，而只有0.1%安全事件来自于外部，绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者，他们就能较好的规避防火墙等安全设备的安全策略，并把安全策略转向对于他们有利的一面，对内部网络进行攻击。同时外部的黑客，也能通过木马，能让内部用户运行他们指定的程序，操纵主机，窃取数据，这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱，同时对内部网络准入控制把控力度做得较为不足，虽部署有桌面终端管理系统，但在相应策略部署上，没有及时到位，而该系统特殊的技术阻断方式，也在一定程度容易导致其阻断率无法达到100%。

（四）网络安全建设应急机制不健全

目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作，但是对网络突发事件的应急处置则较为欠缺，地市网络安全建设应急机制建立不健全，缺乏相应网络事故应急预案及相关演练，对突况的应变不熟练，导致出现突发的网络安全事故时则会变得手忙脚乱，无法很好应对突发事件带来的异常，促使事故造成的损失愈发严重，同时没有良好的容灾备份机制，一旦信息安全事故发生，是否能快速有效的恢复关键数据成为疑问。

二、针对当前网络安全建设现状的一些建议

针对当前地市烟草信息网络安全建设过程中存在的问题，通过一定的分析总结，参照最新的技术规范及管理理念，以及上级的制度规定，我们试提出以下几条改进建议，以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果，具体如下：

（一）加强网络安全设备采购的前期规划及合理配置实用

网络安全设备的采购应加强前期规划及需求分析工作，不能无目的，无原则的一味追求高新设备，当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题，存在过大及追高的弊病，形成投资浪费，同时由于项目管控能力较弱，前期规划不足，购置的设备在配置实施后等不到很好的使用，或起不到原先预想的效果。因此要加强项目前期规划，做好需求调研与需求分析工作，对网络安全设备应起到的效果及采购设备级别有准确的预估，加强采购项目的整体实施管控，并重点关注设备采购后的实施上线工作，做好安全策略的制定和部署，要充分利用设备、活用设备，充分达到应起的效用，在设备正式上线运行后，要做好安全防护策略的及时更新与修订，作好安全设备的日常巡检工作，保证安全设备始终发挥作用，而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用，提升资产投资价值，搭建坚固稳妥信息网络安全环境，促进信息网络安全建设的实用性。

（二）建立完善的信息网络安全日常管理体系

加强网络安全建设的日常管理工作，应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术，七分管理”，管理到位，信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护，而管理上存在漏洞，再强大的技术也将一无所用。好的技术，加上完善严密的管理，才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系，加强安全监管和信息安全等级保护工作，要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时，要与接入网内的计算机终端使用者签订信息安全责任状，树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念，严格落实信息安全责任制，确保员工不敢轻易触碰信息安全底限，养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系，增进信息网络建设的科学性。

（三）加强信息网络安全建设对内防护工作

地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备，但由于防火墙的特殊技术架构，其对内部通过防火墙外部的数据是不进行检测的，这就导致黑客可以利用内网主机上的后门程序，建立隐蔽信道，攻破防火墙，因此其在抵御外部攻击上起到较好作用，但面对来自网络内部的攻击就显得束手无策，针对这一情况，在进行信息网络安全建设的同时，应重点加强信息网络安全的内部防护工作，而加强对客户端的上网行为审计及网络准入控制，就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时，通过对其安全状况及授权情况进行检测，只有安全状况符合要求，得到合理授权的客户端才能正常接入办公网络。应在互联网出口处，防火墙之前，部署上网行为管理设备，对客户端出互联网的数据进行检测及筛选，降低客户端进行危险的互联网访问，感染病毒，遭受攻击的分险。通过加强信息网络安全建设的内部防护，提升信息网络安全的全面性。

（四）加强信息网路安全建设应急机制建设及演练

要加强信息网络安全建设的应急机制建设，加强应急预案的实施演练，增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练，模拟网络安全事故发生时可能发生的情况，进行针对性演习。在方案演练前，要做好演练前期的方案策划，演练过程的完全记录，演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作，进行关键网络设备的冗余配置及重要数据库的备份工作，确保发生突发事件后，能够及时进行网络及数据恢复工作，将突发事件带来的影响降到最低，不过多的影响正常办公业务的开展，确保信息网络安全的稳定性。

四、结束语

烟草是个比较特殊的行业，在专卖体制下实行“统一领导?垂直管理?垄断经营”，处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷，高效的开展行业信息化建设工作。地市信息网络安络，作为全省信息网络的组成部分，其信息安全建设水平决定了全省信息网络安全性与稳定性，其重要性不言而喻，只有重视信息网络安全建设，重视当前信息网络安全建设过程中发现的问题，通过科学的规划，合理的布局，周密的实施，去逐渐改变当前的不利局面，才能确保信息网络安全建设的科学性、全面性、稳定性与实用性，确保日常信息网络的平稳运转，为全行业的快速发展提供稳定强大的信息化助力！

参考文献：

[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.

[2]卢昱，王宇.信息网络安全控制[M].北京：国防工业出版社，2011.