安全防护系统建设方案范文

导语：如何才能写好一篇安全防护系统建设方案，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词： 网络信息系统；信息安全；措施；检测；方案设计

随着信息化的高速发展，信息安全已成为网络信息系统能否正常运行所必须面对的问题，它贯穿于网络信息系统的整个生命周期。安全检测是保障网络信息系统安全的重要手段，通过安全检测，我们可以提前发现系统漏洞，分析安全风险，及时采取安全措施。

1 物理安全措施和检测方法

物理安全是信息系统安全中的基础，如果无法保证实体设备的安全，就会使计算机设备遭到破坏或是被不法分子入侵，计算机系统中的物理安全，首先要采取有效的技术控制手段来控制接触计算机系统的人员，确保计算机系统物理环境的安全；其次要采取是设备标记、计算机设备维护以及机房防盗等安全措施，确保计算机设备的安全。另外，通信线路是网络信息系统正常运行的信息管道，物理安全还包括通信线路实体的安全。检测网络信息系统物理安全的主要方法是现场检查、方案审查以及调查问卷检查等。

2 网络安全措施及检测方法

网络的开放性带来了方便的可用性，但也使其更容易受到外界的攻击和威胁。入侵者可以利用系统中的安全漏洞，采用恶意程序来攻击网络，篡改、窃取网络信息，从而导致网络瘫痪、系统停止运行。在网络维护过程中，应采用合适的检测手段，采用严格的措施与网络攻防行为对抗，保障网络安全。检测方法可从下面三个角度考虑。

2.1 网络结构安全要求

网络信息系统为了保证内部网络拓扑信息不被非法获得，在不对性能造成影响的前提下，采用动态地址映射隔离内部网络；在网络信息系统内部采用使用加密设备以及划分VLAN的方法来防止非法窃听；采取监控、隔离的措施来保护重要的服务器。网络结构安全可以采取方案审查和现场检查的方法来检测网络信息系统网络结构是否合理，是否安全。

2.2 网络系统设备安全要求

网络系统的网络设备包括防火墙、入侵检测系统、以及安全评估系统等。1）防火墙。防火墙的抗攻击能力特别强，它是不同网络以及网络安全域信息交换的唯一出入口，在检测网络信息系统安全时，需检测防火墙功能是否正常，包括：网络数据包过滤功能、访问控制功能、网络访问行为功能以及安全审计、安全告警功能；2）路由器。路由器的检测主要包括对其管理功能的检测以及基本功能的检测，路由器是否具备路由加密功能、访问控制功能、审计数据生成功能以及身份鉴别等功能，是否只有授权的管理员才能对路由器进行管理；3）入侵检测系统。入侵检测系统可以它可以协助系统对付网络攻击，主动保护自己免受攻击，使信息安全基础的结构更加的完整。入侵检测系统的检测主要包括：实时监测网络上的数据流，分析处理和过滤生成的审计数据；联动功能和自动响应功能是否正常；身份认识功能是否合理有效，什么权限的授权人员才有资格设置入侵管理规则，才能查阅、统计、管理以及维护日志记录，其他人不能任意的更改或删除日志记录；4）病毒防范系统。病毒防范系统应保证以下功能正常运行：病毒防范功能、病毒特征库更新功能以及审计数据生成与管理。病毒防范系统安全检测包括：系统是否能控制病毒侵入途径，控制并阻断病毒在系统内传播；系统是否能在病毒侵入时应及时的隔离、清除病毒，在日志上详细记录病毒时间的发生及处理过程；病毒特征库是否定期更新，定期统计和分析病毒的相关日志记录，及时的对病毒防范策略进行调整；5）漏洞扫描仪。漏洞扫描仪可定期扫描系统，发现系统漏洞，防范于未然。系统漏洞信息具有双面性，维护人员尽早发现它可采取措施填补，不法份子也可利用它搞破坏。在检测网络信息系统的安全时，应考虑到系统安全设备中是否包括有安全漏洞扫描系统，只有授权人员才能对漏洞扫描器进行查阅、管理、统计、维护扫描报告，只有授权人员才能制定扫描规则，比如说定义攻击类型、标准服务类型以及IP地址，授权使用者要定期的更新扫描特征数据库，并及时的调整安全策略，更新反病毒数据库或设置更高的保护级别。6）安全审计系统。审计数据是系统根据设置的审计规则产生的，审计系统应具备审计查阅功能、选择性审计功能。只有授权人才有权查阅审计系统的日志记录；采取加密保护措施来确保日志的安全，任何人不得随意更改日志记录。

2.3 网络系统可用性要求

网络系统的可用性是网络信息系统安全要求的重要组成部分，保证网络系统安全的技术手段有：网络冗余、技术方案验证、网络管理和监控等方面。其中，网络冗余是解决网络故障的重要措施，备份重要的网络设备和网络线路，实时监控网络的运行状态，一旦网络出现故障或是信息流量突变可以及时的切换分配，确保网络的正常运行。我们应适当的采用网络监控系统、网络管理系统这些网络管理和监控手段，或是运用网络故障发现、网络异常报警等功能来确保网络运行的安全。

3 运行安全措施和检测方法

信息系统的安全与运行密不可分，网络信息系统的运行安全主要包括以下几个方面的内容：

3.1 备份与恢复

为了使数据保持一致和完整，需要对网络系统的数据进行备份，以此来确保整体网络系统数据的安全。备份和恢复的检测方案是：1）如果系统的硬件或存储媒体发生故障，使用系统自带的备份功能，进行单机备份，然后将数据存储到其他存储设备；2）使用经过认证的备份软件进行数据备份。在计算机信息系统中，系统应能提供定时的自动备份，备份的自动化，降低由维护员的操作带来的风险；在自动备份的过程中，如果出现异常情况，可自动报警；为了确保备份的实时性，应该进行事务跟踪；应该指派专人来负责备份和恢复；应按照数据等级对备份数据进行分级管理；使用的备份软件应该先经过认证再进行数据备份，并能够与操作系统兼容。3）在建立系统时要进行设备备份冗余备份。局域网内存在备份服务器，备份的数据保存在本地和异地；为了确保备份的高效性，要采用多个磁带机并行的方法共同执行的方法；采用RAID等技术，确保备份的容错性。

3.2 恶意代码

恶意代码是指没有作用却会带来危险的代码。恶意代码本身是程序，通过执行可能会利用网络信息系统的漏洞来攻击和破坏系统。处理恶意代码的类别有两种：1）系统应审查从非安全途径，比如网络、光盘等途径获取的文件的安全；一旦发现恶意代码，要及时的采取有效措施最大限度的清除恶意代码；2）系统应审查所有从外界获取的文件；在一定范围内建立防恶意代码体系，具有防恶意代码工具，在造成损失之前彻底清除恶意代码。

3.3 入侵检测

入侵检测可以实时保护和防范网络恶意攻击以及误操作，它能够提前拦截和响应系统的入侵。入侵检测应保证在线有效运行：1）可分析处理和过滤安全事件报警记录，全方位的反映系统的安全情况；2）支持用户根据系统安全需求定义用户规则模板；3）能实时监测系统活动，寻找敏感或可疑的系统活动；4）和防火墙机及其他网络设备联动，实施阻断连接。

3.4 应急响应

应急响应的目的是在发生紧急事件或是安全事件时，确保系统不中断或紧急恢复。应急响应方案应包括的措施有：1）能够在发生安全事件或是紧急事件时及时的做出影响分析，并组成应急小组，在法定时间内对发生的事件做出响应；2）具有完善的应急计划和多种切实可行的备选方案，要有由外地和本地专家组成的应急小组，在法定时间内对发生的事件做出响应。

3.5 系统维护

维护的目的是确保系统的正常运行，减少安全风险，不同信息系统的安全要求不同，其维护安全的要求也会不同，可以分这几种：一种是对所有系统进行一般性的检测和维护，这是几乎所有计算机信息系统都需注意到的问题。另一种是对特殊的设备进行特别维护，对特殊设备进行维护，要针对特殊设备自身的特点进行。无论是一般性的检测和维护，还是特殊设备的特殊维护，在维护过程中，都要考虑到可能造成数据的丢失的问题，并提出相应的解决方案，使系统具有完善的维护设备。

4 系统软件安全措施及检测方法

软件安全是网络信息安全应考虑的一部分。软件安全是指确保计算机软件的完整性以及不被破坏或是泄漏。软件的完整性指的是系统应用软件、数据库管理软件等相关资料的完整性，系统软件在保证网络系统正常运行中发挥着重要的作用。

4.1 系统软件安全检查与验收

定期检查软件，对软件进行有效管理，定期的检查是为了及时的发现安全隐患，针对存在的问题来适当的改进现行的软件，以保证软件的安全。

在正式对软件进行加载之前，应该先检测软件，确定软件和其他应用软件之间是否兼容，检测人员必须对检测结果的真实性、准确性负责，对检测软件的结果应做好完整的记录。

4.2 软件安全的检测方法

软件安全的检测方法有两种：双份比较法和软件安全设置支持系统法。双份比较法是指在计算机中安装两份软件，一份运行，一份备份，当运行的软件出现问题影响到系统的正常运行时，就运行备份软件。比较这两个软件，如果备份软件也在运行中出现问题，则说明该软件存在造成网络信息系统出现故障的隐患，面临着安全的威胁；如果备份软件在运行过程中是正常的，就将备份软件复制一份，再进行相同的检测。

5 应用安全措施及检测方法

网络信息系统的安全因素是动态变化的，其中，应用安全指的是解决用户在应用业务程序过程中的安全问题。应用系统的服务将网络用户连接起来，一般包括电子邮件服务、FTP服务、WWW服务、以及文件共享等应用，无论信息的传递，还是信息的共享，在检测网络信息系统的安全时，必须对网络和信息系统的安全性进行测试。

5.1 电子邮件服务

电子邮件服务安全可以借助病毒防火墙等工具，查杀和过滤病毒，过滤收发电子邮件中可能隐藏的对邮件客户端形成危害的恶意代码；安装电子邮件过滤工具，以有效防御拒绝服务攻击，比如说垃圾邮件或是电子邮件炸弹等；应使服务器只提供电子邮件服务，并安装电子邮件服务检测引擎。

5.2 FTP服务

FTP服务器的应采取的安全措施是：应该在FTP服务器中安装检测引擎；应该使用强鉴别机制来认证FTP的用户身份；应该使用安全工具来保护FIP会话；应加密FTP的数据传输；采取专机专用的形式；另外，对FTP服务器的访问要进行日志审计。

5.3 WWW服务

WWW服务是目前应用最广的一种基本互联网应用，WWW服务的安全措施包括服务器安全状态、服务器操作系统平台、服务器配置以及服务器软件等方面，在查找、检索、浏览及添加信息时，应使用网页防篡改工具来实时监测和刷新WWW服务器的内容。

参考文献：

[1]叶里莎，网络信息系统安全检测方案设计[D].四川大学，2004（9）.

[2]王永刚，浅析网络信息系统技术安全与防范[J].科技创新与应用，2012（4）.

[3]赵军勇，网络信息系统技术安全与防范[J].视听界，2011（8）.

[4]李曼、台飞，网络信息系统技术安全与防范[J].科技风，2009（6）.

[5]张茹冰，网络信息系统技术安全与防范[J].计算机光盘软件与应用，2012（2）.

[6]宫兆斌，网络入侵检测技术研究与应用[J].大连海事大学，2010（5）.

篇2

1入侵防护系统功能分析

1.1多种入侵检测机制相互结合

入侵防护系统以协议为基础，结合智能协议识别、专家系统、异常检测以及状态防火墙技术，为用户提供多层次的网络安全防护功能。协议识别和分析机制可对网络报文中的协议特征进行动态分析，还能在无人操作的情况下快速准确地检测入侵行为，发现入侵木马和后门。专家知识库将攻击特征与已知攻击特征库进行匹配和识别，记录新的攻击特征，不断丰富数据库，为及时监测攻击行为提供了保障。异常检测机制包括流量异常和协议异常检测机制。流量异常检测机制以“正常流量值”为标准，及时发现非预期的异常流量，从而防范未知蠕虫、分布式拒绝服务器攻击以及其他零日攻击。协议异常检测机制以RFC为标准，检测操作行为是否符合RFC规定。协议异常检测机制可发现未知的溢出攻击、拒绝服务器攻击和零日攻击。

1.2防御深度入侵

入侵防护系统可通过精细的检测和防御措施，阻断SQL注入、拒绝服务器、蠕虫病毒等多种入侵行为。同时，入侵防护系统还能阻断广告或间谍软件、木马等非法程序扩散。最后，入侵防护系统重组IP碎片能力强大，并可追踪数据流，可有效阻断任意分片式攻击行为。

1.3防御病毒

入侵防护系统可对HTTP、IMAP、SMTP等协议进行特征和启发式扫描，检测和控制协议的病毒流量，并及时查杀病毒，防范病毒对网络造成损害。

1.4防御Web的威胁

由于病毒种类越来越多，木马传播方式和途径也更加隐蔽，Web危险具有新的特点，web威胁呈混合性、渗透性、和利益驱动性特点，web威胁也已经成为增速碎块、危害最大的网络风险因素之一。而网络是办公的重要措施，对网络的依赖性使网络遭受web威胁的几率更高。而入侵防护系统可根据web信誉评价技术和URL过滤技术检测web，对植入木马的web网页发出警报，提醒操作人员，达到预防低于web威胁入侵网络的目的。

1.5流量管理功能

流量管具有全局维度、局部维度、时间维度、流量维度流量控制四元组，并基于内容和面向对象提供流量保护对策，为用户提供丰富的、灵活性更强的流量管理功能。入侵防护系统可对流量进行智能识别和分类，根据流量管理协议对流量许可和优先级进行控制，阻断非授权用户的流量，管理合法网络资源，优化各类型流量的比例和分布情况，在保证最小宽带和限制最大宽带的基础上，确保关键程序能够正常稳定地运行。

2入侵防护系统在供电局网络安全建设中的应用分析

2.1入侵防护系统部署方式

入侵防护系统包括两种在部署方式，一是在线部署，二是旁路部署。除特殊情况外，入侵防护系统选择直接串联介入网络，以实现有效管理和控制所有流经入侵防护系统的数据流量，而采用路旁部署方式接入入侵防护系统无法完全发挥防护系统功能，系统只能发挥入侵检测的作用，系统设备也只能监视流量使用情况，无法及时控制异常流量。

2.2系统部署方式选择

入侵防护系统部署方式影响流经防护系统的流量，并对入侵防护系统的防护作用和防护范围造成影响。因此，要充分发挥入侵防护系统的功能，更大范围的提供保护作用，应采用在线部署方式。通常情况下，可采用透明式串联部署，并将入侵防护系统部署在网络关键出口位置。该部署方式不仅能够发挥入侵防护系统实时监测网络流量、过滤和阻断非法网络流量的功能，还能更好的发挥系统BYPAASS容错功能，使系统软件或硬件发生故障后依然能维持正常网络通信。但是，还需根据供电局网络具体情况，选择最恰当的入侵防护系统部署方式。（1）部署在内网核心交换机与出口防火墙之间。采用该部署方式无需改变现有网络及业务模式，还能对内网客户端进行严格的管理、观察客户端的IP，以便准确定位攻击源。入侵防护系统还能防护向外和向内的攻击和流量，而且由于防火墙已经过滤多数非法攻击和流量，流经入侵防护系统的攻击流量更少，系统复杂轻。（2）布置在出口防火墙与出口路由器之间，该部署方式无需改变的现有网络结构和业务模式。同时，部署方式将入入侵防护系统作为最外层防护网关，可有效放于外部攻击流量，入侵防护系统日志会清楚记录外部攻击信息。由于外来攻击流量都必须经过入侵防护系统，因而流经防火墙的攻击流量较少，防火墙的负载更轻。最后，采用该方式部署后，入侵防护系统对对内网客户端的入侵行为防护措施简单，只有事件设置策略，如目的any。该不是方式的缺点也较为明显。如内网客户端访问外网需通过防火墙NAT地址翻译，而无法在入侵防护系统内查询内网客户端的真实IP地质，而只能观察NAT后的地址，造成入侵防护系统无法准确定位内部攻击源，也无法针对不同客户端IP设置入侵保护策略。

2.3系统部署

从入侵防护系统两种部署方式可以看到，入侵防护系统部署在内网核心交换机与出口防火墙之间的优势更多，更适合我国供电局网络安全建设需求。这种部署方式在防放于外来攻击的同时，还能避免入侵防护系统受防火墙NAT地质翻译的影响，对内网不同IP设置不同入侵范湖策略，有效阻断和定位内部攻击行为。例如，供电网可采用透明方式，将入侵防护系统部署在内网核心交换机与出口防火墙之间，部署拓扑结构如图1所示。该部署方式具有以下四个优点。第一，入侵防护系统设备配置简单，安装更加方便；第二，入侵防护系统对内网客户端管理更加有效，可对内网客户端的行为和流量进行有效管理和控制。第三，可观察内网客户端的真实IP地址，电网运行管理人员也更容易快速查找和定位内网攻击源。第四，入侵防护系统部署在内网核心交换机与出口防火墙之间，系统防护可同时监控和控制内网向外的流量和来透过防火墙的外网攻击流量，系统在监控和管理流入电网系统攻击流量和流向电网外部流量之前，电网的防火墙的访问控制级攻击防护系统已经对多数外网攻击进行了过滤处理，最终流经入侵防护系统的外网攻击流量大大减少，入侵防护系统的负载也更轻，入侵防护系统传输内外网数据的效率显著提高。

3结语

供电局网络安全建设应用入侵防护系统后，系统能够实施主动拦截攻击、木马和而言流量等，避免用户操作时被植入恶意代码，有效的保证了关键系统业务正常应用，净化了局域网使用环境，提高企业生产和办公效率。最后，入侵防护系不仅提高了电网防御能力，管理员的工作量减轻，管理员可将时间和精力用于分析网络安全时间，及时发现全局网络安全中存在的不足，为开展下一步工作提供参考。

作者:阮俊杰 单位:广东电网有限责任公司佛山供电局

引用：

[1]张文明.浅谈入侵防护系统在供电局网络安全建设中的应用[J].无线互联科技，2013.

[2]莫若节.供电局互联网访问存在的安全问题及对策探讨[J].技术与市场，2013.

[3]吕维新.入侵防护系统在昆明供电局网络安全建设中的应用[J].电力信息化，2010.

[4]谢群.昆明供电局综合数据网三层网络架构研究与应用[J].电子制作，2014.

篇3

关键词：大数据；计算机信息安全；企业；防护策略

大数据（bigdata）形成于传统计算机网络技术应用中，并不能将它理解为传统意义中大量数据的集合，而是其中涵盖了更多的数据信息处理技术、传输技术和应用技术。正如国际信息咨询公司Gartner所言“大数据在某些层面已经超越了现有计算机信息技术处理能力范围，它是一种极端信息资源。[1]”正是基于此，社会各个领域行业才应用大数据技术来为计算机信息安全提供防范措施，尤其是企业计算机信息网络，更需要它来构建网络信息防护体系，迎接来自于企业外部不同背景下的不同安全威胁。

1关于企业计算机信息安全防护体系的建设需求

企业计算机系统涉及海量数据和多种关键技术，它是企业正常运营的大脑，为了避免来自于内外因素的干扰，确保企业正常运转，必须为“大脑”建立计算机信息安全防护体系，基于信息安全水平评价目标来确立各项预订指标性能，确保企业计算机系统不会遭遇侵犯威胁，保护重要信息安全。因此企业所希望的安全防护体系建设应该满足以下3项需要。首先，该安全防护体系能够系统的从企业内外部环境、生产及销售业务流程来综合判断和考虑企业计算机信息安全技术、制度及管理相关问题，并同时快速分析出企业在计算机信息管理过程中可能存在的各种安全隐患及危险因素。指出防护体系中所存在的缺陷，并提出相应的防护措施。其次，可以对潜在威胁企业计算机系统的不安定因素进行定性、定量分析，有必要时还要建立全面评价模型来展开分析预测，提出能够确保体系信息安全水平提升的优质方案。第三，可以利用体系评价结果来确定企业信息安全水平与企业规模，同时评价该防护体系能为企业带来多大收益，确保防护体系能与企业所投入发展状况相互吻合。

2大数据环境对企业计算机信息安全建设的影响

大数据环境改变了企业计算机信息安全建设的思路与格局，应该从技术与管理维度两个层面来看这些影响变化。

2.1基于企业计算机信息安全建设的技术维度影响

大数据所蕴含技术丰富，它可以运用分布式并行处理机制来管理企业计算机信息安全。它不仅仅能确保企业信息的可用性与完整性，还能提高信息处理的准确性与传输连续性。因为在大数据背景下，复杂数据类型处理案例比比皆是，必须要避免信息处理过程错误所带来的企业信息资源安全损失，所以应该采取大数据环境技术来展开新的信息处理方式及存储方式，像以Hadoop平台为主的Mapreduce分布式计算就能启动云存储方式，对企业计算机信息进行有效存储、转移和管理，提高其信息安全水平。分布式计算会为企业计算机信息建立大型数据库，或者采用第三方云服务提供商所提供的虚拟平台来管理信息，这种做法可以为企业省下防火墙、数据库、基础性安防技术等等建设环节的大笔成本费用。在信息传递方面，大数据环境主要能够干预企业信息传递，例如为企业计算机系统提供高速不中断的传递功能模块，以确保企业信息传递的完整性与可持续性。在此过程中为了确保企业计算机信息传输的安全可靠，就会基于大数据技术来为企业提供数据加密服务，确保数据传输整个过程都处于安全状态，避免任何信息泄露、被盗取现象的发生。

2.2基于企业计算机信息安全建设的管理维度影响

在大数据环境下，企业计算机信息安全的管理维度影响不容忽视，它体现在人员管理、大数据管理与第三方信息安全等多个方面。在人员管理管理方面，大数据为企业所提供的是由传统集中办公向分散式办公的工作模式转变，它创建了企业自带办公设备BYOD（BringYourOwnDevice），BYOD一方面能有效提高员工积极性，一方面也能为企业购置办公设备节约成本，不过它也能影响到企业计算机的信息安全管理事项，移动设备大幅度降低了企业对计算机系统安全的可控度，可能会难以发现来自于外部黑客及安全漏洞、计算机病毒对系统的入侵，一定程度上增加了信息泄漏的安全隐患。在第三方信息安全管理方面，它可能会对企业信息安全带来巨大影响，因为第三方信息是需要用来进行加工分析的，但它对于企业计算机系统是否能形成保障实际上是难以被企业稳定控制的，所以企业要确切保证第三方信息安全管理的有效性，基于大数据强化企业信息安全水平，利用分权式组织结构来提高企业计算机系统及信息的利用效率，同时也增强大数据之于企业计算机系统的应用实效性。

3基于大数据优化环境下的企业计算机信息安全防护策略

企业计算机信息安全对企业发展至关重要，为其建立安全防护体系首先要明确其信息安全管理是一项动态复杂的系统性工程。企业需要从管理、人员和技术3方面来渗透大数据意识及相关技术理念，为企业计算机系统构筑防线，保护信息安全。

3.1基于管理层面的计算机信息安全防护策略

社会企业其实就是大数据的主要来源，所以企业在对自身计算机信息安全进行保护过程中需要面临可能存在的技术单一、难以满足企业信息安全需求等问题。企业需要基于大数据技术来建立计算机信息安全防护机制，从大数据本身出发，做到对数据的有效收集和合理分析，准确排查安全问题，建立企业计算机信息安全组织机构。本文认为，该计算机信息安全防护策略中应该包含安全运行监管机制、信息安全快速响应机制、信息访问控制机制、信息安全管理机制以及灾难备份机制等等。在面对企业的关键性信息时，应该在计算机系统中设置信息共享圈，尽可能降低外部不相关人员对于某些机密信息的接触可能性，所以在此共享圈中还应该设置信息共享层次安全结构，为信息安全施加“双保险”。另一方面，企业管理层也应该为计算机系统建立信息安全生态体系，一方面为保护管理层信息流通与共享，一方面也希望在大数据环境下实现信息技术的有效交流，为管理层提出企业决策提供有力技术支持。再者，企业应该完善大数据管理制度。首先企业应该明确大数据主要由非结构化和半结构化数据共同组成，所以要明确计算机系统中的所有大数据信息应该通过周密分析与计算才能最终获取，做到对系统中大数据存储、分析、应用与管理等流程的有效规范。举例来说，某些企业在管理存储于云端的第三方信息时，就应该履行与云服务商所签订的第三方协议，在此基础上来为企业自身计算机系统设置单独隔离单元，防止信息泄露现象。另一方面，企业必须实施基于大数据的组织结构扁平化建设，这样也能确保计算机系统信息流转速度无限加快，有效降低企业基层员工与高层管理人员及领导之间的信息交流障碍[2]。

3.2基于人员层面的计算机信息安全防护策略

目前企业人员所应用计算机个人系统已经趋向于移动智能终端化，许多BYOD工作方案纷纷出现。这些工作方案利用智能移动终端连接企业内部网络，可以实现对企业数据库及内部信息的有效访问，这虽然能够提高员工的工作积极性，节约企业购置办公设备成本，但实际上它也间接加大了企业对计算机信息安全的管理难度。具体来说，企业无法跟踪员工的移动终端来监控黑客行踪，无法第一时间发现潜藏病毒对企业计算机系统及内网安全的潜在威胁。因此企业需要针对员工个人来展开大数据背景下的信息流通及共享统计，明确员工在工作进程中信息的实际利用状况。而且企业也应该在基于保护大数据安全的背景下来强化员工信息安全教育，培养他们的信息安全意识，让员工在使用BYOD进行企业内部计算机数据库访问及相关信息共享过程中提前主动做好数据防护工作，辅助企业共同保护内部重要机密信息。

3.3基于安全监管技术层面的计算机信息安全防护策略

在大数据环境中，企业如果仅仅依靠计算机软件来维持信息安全已经无法满足现实安全需求，如果能从安全监管技术层面来提出相应保护方案则要配合大数据相关技术来实施。考虑到企业容易受到高级可持续攻击（AdvancedPersistentThreat）载体的威胁（形成隐藏APT），不易被计算机系统发觉，为企业信息带来不可估量威胁，所以企业应该基于大数据技术来寻找APT在实施网络攻击时所留下的隐藏攻击记录，利用大数据配合计算机系统分析来找到APT攻击源头，从源头遏制它所带来的安全威胁，这种方法在企业已经被证实为可行方案。另外，也可以考虑对企业计算系统中重要信息进行隔离存储，利用较为完整的身份识别来访问企业计算机管理系统。在这里会为每一位员工发放唯一的账号密码，并利用大数据来记录员工在系统中操作的实时动态，监控他们的一切行为。企业要意识到大数据的财富化可能会导致计算机系统大量信息泄露，从而产生内部威胁。所以在大数据背景下，应该为计算机系统建立信息安全模式，利用其智能数据管理来实现系统的安全管理与自我监控，尽可能减少人为操作所带来的不必要失误和信息篡改等安全问题。除此之外，企业也可以考虑建立大数据实时风险模型，对计算机系统中所涉及的所有信息安全事件进行有效管理，协助企业完成预警报告、应急响应以及风险分析，做好对内外部违规、误操作行为的有效审计，提高企业信息安全防护水平[3]。

4总结

现代企业为保护计算机信息数据安全就必须与时俱进，结合大数据环境，利用信息管理、情报、数学模型构建等多种科学理论来付诸实践，分析大数据环境下可能影响到企业信息安全水平的各个因素，最后做出科学合理评价。本文仅仅从较浅角度分析了公司企业在大数据背景下对自身计算机信息安全的相关防护策略，希望为企业安全稳定发展提供有益参考。

参考文献：

[1]尹淋雨.大数据环境下企业信息安全水平综合评价模型研究[D].安徽财经大学,2014:49-51.

[2]雷邦兰,龙张华.基于大数据背景的计算机信息安全及防护研讨[J].网络安全技术与应用,2016(5):56,58.

篇4

随着计算机技术、通信技术和网络技术的发展，电力系统网上开展的业务及应用系统越来越多，电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。

根据《全国电力二次系统安全防护总体方案》的要求，调度自动化系统分为4个安全域，分别是：安全区Ⅰ（实时控制区）它是电力二次系统中最重要系统，安全等级最高，是安全防护的重点与核心；安全区Ⅱ（非控制生产区）；安全区Ⅲ（生产管理区）；安全区IV（管理信息区）。

因此，根据以上区域的划分，确立了安全解决方案的总的指导原则：分区防护、突出重点；区域隔离、网络专用；设备独立、纵向防护 。

具体策略如下：

安全Ⅰ区、安全Ⅱ区的防护策略

实时控制区与非控制区的业务系统都属电力生产系统，都采用电力调度数据网络，都在线运行，数据交换较多，关系比较密切，可以作为一个逻辑大区（生产控制区）。

安全Ⅲ区、安全IV区的防护策略

生产管理区和管理信息区均采用电力数据通信网络(ATM)，数据交换较多，关系比较密切。

安全Ⅰ区、Ⅱ区与安全Ⅲ区的防护策略

实时控制区和非控制区不得与管理信息区直接联系，实时控制区和非控制区与生产管理区的信息交换必须是单向方式，仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施，仅允许纯文本数据通过，并严格进行病毒、木马等恶意代码的查杀。

安全区域纵向防护策略

在专用通道上建立调度专用数据网络，实现与其他数据网络物理隔离。

高可靠性和防止单点失效策略

I区、II区、III区都属于调度中心管理范畴，IV区属于信息中心管理范畴，I区的高可用性要求非常高，要求达到秒级，而且是实时系统；II区的高可用性达到分钟级，III区IV区的管理系统对于高可用性也非常高，在使用防火墙作为网络隔离设备的时候，使用双机热备的方式，以防止单点失效，提高可用性。

防火墙系统建设方案部署

防火墙系统采用联想网御自主研发的防火墙。首先在电力网络系统I区与II区之间，III区与IV区之间，部署千兆防火墙，防火墙工作在双机热备状态，以全链路冗余方式，分别与两个区的核心交换机相连。正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通信。当其中一台防火墙发生故障时，网络通信自动切换到另外一台防火墙。切换过程不需要人为操作和其他系统的参与。

篇5

总的来讲，我们目前对信息系统的安全保障工作处在初级阶段，主要表现在信息系统安全建设和管理的目标不明确，信息安全保障工作的重点不突出，信息安全监管体系尚待完善。为了实施信息系统的安全保护，我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准，随后又制定了一系列相关的国家标准，对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级，针对不同的安全等级采取不同的保护措施，以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2]，保护能力随着安全保护等级的增高，逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上，需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上，要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上，划分安全保护机制为两部分，关键部分和非关键部分，对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能，负责访问者对所有访问对象的访问活动进行仲裁。

2．企业信息安全等级保护的实施流程

在实施企业信息安全等级保护流程时，主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。

2.1信息系统定级

系统定级是根据整个系统要求达到的防护水平，确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节，根据其重要性和复杂性划分为各个子系统，描述子系统的组成和边界，以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果，对信息系统及其子系统制定全套的安全防护解决方案，并根据方案选取相应的软、硬件防护产品进行具体实施的阶段，这个阶段的工作主要可以归纳为以下三个方面的内容：

2.2.1系统对象的分类划分及相应保护框架的确立。

企业需要对信息系统进行保护对象进行分类和划分，建立起一个企业信息系统保护的框架，根据系统功能的差异和安全要求不同对系统进行分域、分级防护。

2.2.2选择安全措施并根据需要进行调整。

在确定了企业信息系统及各个子系统的安全等级以后，根据需要选择相应的等级安全要求。根据对系统评估的结果，确定出主系统、子系统和各保护对象的安全措施，并根据项目实施过程中的需要进行适当的调整。

2.2.3安全措施规划和安全方案实施。

确定需要的安全措施以后，定制相应安全解决方案和运维管理方案，以此为依据采购必要的安全保护软、硬件及安全服务。

2.3实施、等级评估和改进[4]

依照此前确定的安全措施和解决方案，在企业中进行方案实施。实施完毕之后，对照“信息安全等级保护”相关标准，评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。

3.企业信息安全等级保护体系的主要内容

3.1安全体系设计的原则及设计目标

信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则，达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。

3.2基本技术措施

3.2.1物理安全

物理安全是信息系统安全的基础，物理安全主要内容包括环境安全（防火、防水、防雷击等）、设备和介质的防盗窃、防破坏等方面。

3.2.2网络安全

网络是若干网络设备组成的可用于数据传输的网络环境，是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为，可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别，使网络最基本具备基本的防护能力。[5]

3.2.3主机安全

主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面：一是操作系统的脆弱性，二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。

3.2.4应用系统安全

应用系统是提供给用户真正可使用的功能，是以物理层、网络层和主机层为基础的，是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险，对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容，一般需要通过安全审计系统和专业的安全服务来实现。

3.2.5数据安全

数据是指用户真正的数据，信息系统数据安全所面临的主要风险包括：数据遭到盗窃；数据被恶意删除或篡改。在考虑数据安全方案时，除了使用从物理层到应用层的各种层次的安全产品，更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性，制定好数据存储与备份方案，来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、审核和修订等工作，需要在信息安全领导小组的统筹下，按照安全工作的总体方案，根据系统应用安全的实际情况，组织相关人员进行，并进行定期的审核和修订。

3.3.2安全管理机构

要根据要求建立专门的安全职能部门，配置专门的安全管理人员，并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计，内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。

3.3.3人员安全管理

人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。

3.3.4系统建设过程管理

要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控，对所有涉及安全保护的方面提出具体要求。

3.3.5系统运行和维护管理

信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容，可以是内部人员管理维护，也可以根据需要采用内部人员和专业安全厂商相结合的方式。

4.总结

篇6

关键词：校园网；建设；安全；高职院校

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 16-0000-01

The Construction and Security of the Campus Network

Shao Bole1,2

(1. Hubei University of Technology,Wuhan430068,China;2.Bozhou Vocational and Technical College Network Center,Bozhou236800,China)

Abstract:With the computer network technology,modern education and gradually realized the information and network changes,the campus network construction has become the focus of schools at all levels of construction projects,maintenance of campus network security has become an important part of the school day to day management of.Article analyzes the construction of the campus network of vocational institutions and security maintenance,with a view to vocational schools to provide relevant guidance.

Keywords:Campus network;Construction;Security;Vocational school

一、方案设计的原则

校园网的方案设计需要遵循实用性原则，必须满足学校对网络应用的要求，但并不是越高标准越好；需要遵循安全性原则，必须设置必要的安全防护措施，确保数据传输通畅、安全；需要遵循稳定性原则，硬件系统必须具备一定的容错能力，可操作、可管理性强；需要遵循经济性原则，校园网建设必须考虑经济效益，在学校能够承受的合理范围之内，尽量提高性价比，使用尽量少的费用建设高质量的校园网；需要遵循先进性原则，校园网建设不仅要满足学校目前对网络的需求，又要保证校园网的可升级、可扩展。

二、校园网建设需求分析

随着我国教育事业的发展，高职院校师生对校园网的需求不断增加，因而需要认真调查、分析校园网建设需求，保证校园网满足实际的需要。例如，结合本校实际情况，架设服务器群，负责校园网站、FTP、教务系统、电子图书、cams认证、bbs等，针对视频业务、数据业务的不断增加，提高了校园网带宽，保证网络设备具备较为高速的处理能力，以满足网络教学系统、课件学习点播等应用的需要，以及未来一段时间对校园网带宽的需求。

三、校园网建设

（一）硬件系统建设。校园网规划需要进行经济、技术的可行性研究，并进行学校对网络应用的需求分析，在经济性合理的同时满足学校的实际需要，并且考虑到校园网基础设施、技术的稳定与安全，确保校园网硬件系统的建设质量。

1.方案设计。校园网方案设计包括网络中心、教学子网、图书馆子网、宿舍子网、后勤子网设计以及内部信息和外部信息资源建设。方案设计包括以下内容：使用VLAN划分或是身份认验证802.1x等技术控制用户对Internet的访问，实现对每个用户的有效管理；使用千兆以太网技术，并使用1000M连接各交换机，并将拓扑设计设计为三层结构；接入层设备具备10M/100M/1000M自适应连接功能，光纤跳线可以使接入、汇聚、核心交换机实现直接连接；为保证校园网安全，使用支持dot1X认知的产品；采用数字化校园解决方案对学生实现全面的网络管理，与电信等合作实现校园内无线网络的全面覆盖。2.设备选型。校园网建设需要的设备主要包括光缆、中继器、集线器、连接器、网桥、网关、交换机等等，在设备选型时应考虑设备技术的可维持性，选择主流的、可靠的产品，以备日后技术更新。（二）软件系统建设。软件系统建设包括网络操作系统与应用系统软件，网络操作系统软件是校园网系统运作与基础设施的核心，为用户提供资源管理、基本通信、网络安全等网络服务，其是校园网与用户相连的接口，能够使计算机终端有效而便利的共享网络资源；应用系统软件包括各种具体的课件开发软件，例如素材制作、图形开发、表格处理、文字处理、声音录制、声音编辑、动画制作、视频捕获、视频处理等工具。（三）资源库建设。校园网资源库建设需要遵循系统性原则、可行性原则、科学性原则、层次性原则和实用性原则。资源库是一个庞大的系统，需要从系统角度、结合学校实际进行建设，保证数据库内容、结构的科学性与合理性、规范性、层次性，讲究经济实用，以最小投资获取最大效益。数据库内容主要包括高职院校各专业的学习资料资源、教师教案资源、专题性资源、教师评估资源和学校管理资源，为学生学习、教师教学、教师评估、学校管理提供数据服务。数据库建设需要考虑组织领导与工作制度两方面的问题，必须建立一支精干的组织领导队伍，必须建立完善的规则制度为数据库建设提供保障。

四、校园网安全

（一）校园网安全隐患。首先，校园网需要与外部网络连接，容易遭受互联网上的攻击；其次，校园网内存在一定的安全隐患，内部管理人员的安全意识不强、安全管理体系不健全、一些师生缺乏安全意思和网络安全知识等都会影响到校园网的安全与稳定；校园网操作系统本身存在的漏洞，例如系统漏洞、病毒木马、浏览器漏洞等都会对校园网安全造成威胁；随着校园网的不断扩建，节点数大量增加，由于没有及时采取防护措施，极可能造成网络被攻击、病毒泛滥、数据损坏、系统瘫痪、信息丢失等严重后果。（二）安全防范措施。首先，需要加强安全管理制度建设，明确允许、不允许、犯法的行为，并制定相应的处罚措施，在明确职责的同时提高全校师生的安全意识；其次，加强安全管理工作的组织与协调，由于安全管理工作涉及不同部门的人员和业务，需要学校领导做好组织、协调工作，成立相应的管理机构，加强安全管理知识的培训；再次，做好软硬件系统的安全防护工作，及时安装、升级杀毒软件，修补系统漏洞，做好数据备份，隔离带病毒的计算机等等。

五、总结

综上所述，高职院校的校园网建设需要从实际出发，遵循实用性等原则，切实做好硬件系统、软件系统和数据库的建设，并提高全校师生网络安全意识，做好安全管理工作，以保障校园网的安全运行。

参考文献：

[1]孔樟军.校园网维护与管理的保障机制研究[J].浙江现代教育技术,2009,2

[2]万进,兰斌霞.论校园网的建设和管理[J].职业,2008,12

篇7

论文摘要：互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。该文首先分析了计算机网络信息管理工作中的安全问题，其次，从多个方面就如何有效加强计算机网络信息安全防护进行了深入的探讨，具有一定的参考价值。

1概述

互联网技术给我们带来很大的方便，同时也带来了许多的网络安全隐患，诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全，特别是计算机数据安全，目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理，即便如此，仍然存在着很多的问题，严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战，如何在计算机网络这个大环境之下，确保其安全运行，完善安全防护策略，已经成为了相关工作人员最亟待解决的问题之一。

2计算机网络信息管理工作中的安全问题分析

计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务，但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时，应该将管理工作的重点放在网络信息的和访问方面，确保计算机网络系统免受干扰和非法攻击。

2.1安全指标分析

（1）保密性

通过加密技术，能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求，只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。

（2）授权性

用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关，我们一般都是采取策略标签或者控制列表的形式来进行访问，这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。

（3）完整性

可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统，以此来确保所储存数据的完整性。

（4）可用性

在计算机网络信息系统的设计环节，应该要确保信息资源具有可用性，在突然遇到攻击的时候，能够及时使得各类信息资源恢复到正常运行的状态。

（5）认证性

为了确保权限所有者和权限提供者都是同一用户，目前应用较为广泛的计算机网络信息系统认证方式一般有两种，分别是数据源认证和实体性认证两种，这两种方式都能够得到在当前技术条件支持。

2.2计算机网络信息管理中的安全性问题

大量的实践证明，计算机网络信息管理中存在的安全性问题主要有两种类型，第一种主要针对计算机网络信息管理工作的可用性和完整性，属于信息安全监测问题；第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性，属于信息访问控制问题。

（1）信息安全监测

有效地实施信息安全监测工作，可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾，能够使得网络信息安全的管理人员及时发现安全隐患源，及时预警处理遭受攻击的对象，然后再确保计算机网络信息系统中的关键数据能够得以恢复。

（2）信息访问控制问题

整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之，整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。

3如何有效加强计算机网络信息安全防护

（1）高度重视，完善制度

根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班，完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度，为规范管理夯实了基础。同时，明确责任，强化监督。严格按照保密规定，明确涉密信息录入及流程，定期进行安全保密检查，及时消除保密隐患，对检查中发现的问题，提出整改时限和具体要求，确保工作不出差错。此外，加强培训，广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训，利用每周学习日集中收看网络信息安全知识讲座，使信息安全意识深入人心。 　（2）合理配置，注重防范

第一，加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件，并及时在线升级。严格区分访问内、外网客户端，对机房设备实行双人双查，定期做好网络维护及各项数据备份工作，对重要数据实时备份，异地储存。同时，严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件，有可能携带病毒的情况，要求接收它们之前使用杀毒软件进行病毒扫描。第二，加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备，在所有弱电机房安装强电防雷保护器，保障雷雨季节主要设备的安全运行。第三，加强应急管理。建立应急管理机制，完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施，并定期开展进行预演，确保事件发生时能够从容应对。第四，加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”，通过隔离实现有效防护外来攻击，防止内、外网串联。第五，严格移动存储介质应用管理。对单位所有的移动存储介质进行登记，要求使用人员严格执行《移动存储介质管理制度》，杜绝外来病毒的入侵和泄密事件的发生。同时，严格安全密码管理。所有工作用机设置开机密码，且密码长度不得少于8位，定期更换密码。第六，严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统，实现了对计算机设备软、硬件变动情况的适时监控。第七，严格数据备份管理。除了信息中心对全局数据定期备份外，要求个人对重要数据也定期备份，把备份数据保存在安全介质上。

（3）坚持以信息安全等级保护工作为核心

把等级保护的相关政策和技术标准与自身的安全需求深度融合，采取一系列有效措施，使等级保护制度在全局得到有效落实，有效的保障业务信息系统安全。

第一，领导高度重视，组织保障有力。单位领导应该高度重视信息化和信息安全工作，成立专门的信息中心，具体负责等级保护相关工作，统筹全局的信息安全工作。建立可靠的信息安全基础设施，重点强化第二级信息系统的合规建设，加强了信息系统的运维管理，对重要信息系统建立了灾难备份及应急预案，有效提高了系统的安全防护水平。

第二，完善措施，保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。

第三，建立完善各项安全保护技术措施和管理制度，有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》，提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则，对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主，建章立制，加强管理，重在治本”的原则，坚持管理与技术并重的原则，对信息安全工作的有效开展起到了很好的指导和规范作用。

（4）采用专业性解决方案保护网络信息安全

大型的单位，如政府、高校、大型企业由于网络信息资源庞大，可以采用专业性解决方案来保护网络信息安全，诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到web层的全面防护；其中防火墙、ids分别提供网络层和应用层防护，ace对web服务提供带宽保障；而方案的主体产品锐捷webguard（wg）进行web攻击防御，方案能给客户带来的价值：

防网页篡改、挂马

许多大型的单位作为公共信息提供者，网页被篡改、挂马将造成不良社会影响，降低单位声誉。目前客户常用的防火墙、ids/ ips、网页防篡改，无法解决通过80端口、无特征库、针对动态页面的web攻击。webguard ddse深度解码检测引擎有效防御sql注入、跨站脚本等。

高性能，一站式保护各院系网站

对于大型单位客户，往往拥有众多部门，而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱，经常成为攻击重点。webguard利用高性能多核架构，提供并行处理。支持在网络出口部署，一站式保护各部门网站。

“零配置”运行，简化部署

webguard针对用户，集成默认配置模板，支持“零配置”运行。一旦上线，即可防护绝大多数攻击。后续用户可以根据网络情况，进行优化策略。避免同类产品常见繁琐配置，毋须客户具备专业的安全技能，即可拥有良好的体验。

满足合规性检查要求

继08年北京奥运、09年国庆60周年后，10年上海世博会、广州亚运会先后举行。在重大活动前后，各级主管单位和公安部门，纷纷发文，要求针对网站安全采取措施。webguard恰好能很好的满足合规性检查的需求，帮助用户顺利通过检查。

4结束语

新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展，但是网络信息安全问题日益突出，值得我们大力关注，有效加强计算机网络信息安全防护是极为重要的，具有较大的经济价值和社会效益。

参考文献：

[1]段盛.企业计算机网络信息管理系统可靠性探讨[j].湖南农业大学学报:自然科学版,2000(26):134-136.

[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[j].医疗装备,2003.(16):109-113.

[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[j].中国妇幼保健,2010(25):156-158.

[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[j].交通科技,2009.(1):120-125.

[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.

篇8

关键词：高校；图书馆；网络安全；设计与实现

中图分类号：TP393.08

随着网络阅读形式的普及，高校作为文化与技术资源的汇聚地，图书馆的运作逐渐走向网络化和数字化。高校图书馆的数据库系统具有资源覆盖范围广、学科与技术种类丰富、数字资源量大等特点，能够为广大的高校教师与学生提供全面的学术研究信息服务。然而同时高校图书馆也将面临着网络安全的问题。图书馆资源网络化是将图书馆资源面向更加广泛的受众用户群，而网络中存在着木马、病毒、黑客等安全隐患，同时环境因素、认为因素等也威胁着高校图书馆网络的安全，因此，在高校图书馆网络安全建设上采用完善的安全防护设计和制定相应的安全防护制度对于高校图书馆网络安全都具有非常重要的意义。

1 高校图书馆网络面临的安全威胁

1.1 运行环境安全威胁

计算机与联网设备属于高精度电子设备，其运行环境对于温度、湿度、供电稳定性、电磁干扰等具有一定的要求，而在这方面大多数高校图书馆并没有在机房建设时充分考虑到这些方面的因素，因此，对图书馆服务器、计算机设备的稳定性和安全性带来一定的隐患。同时，数字图书馆的建设要考虑到一些自然环境因素对图书馆网络安全的影响，譬如：雷电、火灾、地震、腐蚀性物质等，对于图书馆的网络安全都具有一定的威胁性。

1.2 硬件环境安全威胁

高校图书馆拥有强大的服务器和交换机，能够为近千台终端计算机提供服务，图书馆服务器的稳定是图书馆网络应用的关键。由于目前所使用的操作系统，无论是Windows、Linux还是UNIX都存在一定的系统漏洞，因此，在网络攻击上，对于图书馆服务器的攻击形式非常的多，譬如：DOS攻击、ARP入侵、SQL注入、木马植入等。此外，为了更好的服务于高校师生，大多数高校图书馆网络TCP/IP协议采用的是系统默认设置，方便多用户接入，但是这给图书馆服务器安全带来了较大的威胁。

1.3 软件环境安全威胁

数字图书馆的建设需要大量的软件应用，而目前很多病毒都集成在应用软件中，用户下载软件、安装软件过程中容易携带对图书馆服务器造成破坏的恶意程序，尤其是当图书馆与互联网相接入后，各种具有隐藏性、触发性、植入性、寄生性的病毒隐藏在互联网应用中，而高校图书馆网络互连很容易相互传染，最终导致整体瘫痪。

1.4 网络系统安全威胁

高校图书馆网络与互联网连接，给黑客攻击创造了条件，他们利用网路漏洞扫描、嗅探、欺骗、后门、口令破译等手段直接进入高校网络图书馆后台服务器管理系统中，删除重要文献资料、篡改信息、盗用资源等，给高校数字图书馆造成了严重的威胁。

2 高校图书馆网络安全建设的设计与实现

2.1 高校图书馆网络安全运行环境设计与实现

高校图书馆系统运行的安全是数字图书馆建设的首要环节，在建设运行环境方面要对图书馆服务器主机房的选址和环境布置进行科学的规划，并采用多种安全防护系统加以保护，譬如：建设稳定的供电系统、防火系统、通风系统和安保系统。

高校数字图书馆用电量大，对电压的稳定性要求高，因此，在供电系统设计上要采用具有功率大、耐用时间长、防雷电等性能的双机并联UPS系统。

高校图书馆服务器机房防火系统建设可以采用针对计算机等大用电量的电子设备专用灭火系统，譬如：采用七氟丙烷气体自动灭火系统，具有较好的清洁、绝缘、高效能等特点，同时该系统要具备自动火灾探测预警系统和火灾环境超标自动灭火机制。

高校图书馆主机房由于设备散热量较大，应配备24小时运转的机房专用空调，机房专用空调具有上送、下回送风功能，能够保证高校图书馆主机房各个方向的温度均衡。同时，机房专用空调具有温度自动探测功能和温度超标预警功能，条件允许的状况下，可配置双空调系统，为出现故障时可备用。

由于高校图书馆主机房设备具有很高的价值，因此，对于防盗监控应专门设计安保系统。安保系统应具备机房各个角落全方位监控功能，并具备红外预警装置，当发生偷盗设备时，可及时发出警告，并通过校园网直接连入校园保安室。在管理上可采用专人专管，设置门禁系统。

2.2 高校图书馆网络安全硬件系统设计与实现

高校图书馆硬件配置要首先具备双机热备系统，可确保图书馆服务器安全运转。其次，要具备数字图书馆资源独立存储系统和独立应用系统，图书资源存放在存储系统中，不附加应用软件，降低被恶意攻击的威胁，应用系统在调用存储系统中资源时需要提供正确的密钥，确保资源调出安全。第三，数字图书馆与校园网络相连接要建立安全防护机制，譬如建立防火墙等。第四，硬件选择要具备国家认可的相关合格证明，同时设备要具备后续改造升级的能力，设备接口采用标准化接入，具有良好的兼容性，以降低升级改造费用。

2.3 高校图书馆网络安全软件系统设计与实现

高校图书馆网络安全软件系统包括系统软件和应用软件。在系统软件设计上采用稳定性、安全性高的操作系统，通常在UNIX系统环境下的操作系统抗威胁能力较Windows和Linux更强，尤其是UNIX所衍生出的针对于图书馆应用的操作系统，如：AIX、Solaris等。在操作系统安装过程中，选择自定义安装，根据需要设置较为安全的权限管理，同时为操作系统安装最新的安全补丁、杀毒软件、防火墙等。停止使用Guest用户登陆，设计较为复杂的管理员用户名及密码，将IIS访问权限设为高级。

在应用软件应用上，在应用系统中安装正版的应用软件，并根据用户级别设置数据库的访问权限，加强应用软件安装的安全检测能力，如检测到用户安装的应用软件携带病毒或者木马则强行停止安装。

2.4 高校图书馆网络安全网络系统设计与实现

目前，高校图书馆面向社会化开放，这就导致来自互联网的威胁给高校图书馆网络安全性面临着严峻的考验。高校图书馆与外部网络连接需要通过高端的防火墙和完善的用户认证，阻止外部用户直接访问高校图书馆数据库，并且对外隐藏IP、网关等信息。在高校图书馆内部网络建设上要建立独立的局域网络，采用VLAN技术对不同图书馆资源利用区域进行划分管理，设置自动软件升级、防火墙升级和定期杀毒。

3 高校图书馆网络安全防护对策

建设高校图书馆网络安全防护体系，需要对高校图书馆网络构建成为多层次、多方面监管的安全防护网络，在安全防护对策上应遵循以下几方面原则，确保高校图书馆网络安全运转。

3.1 安全防护的全面性

在构建高校图书馆网络安全体系时，要从软、硬件、环境等方面进行物理性安全防护，还要不断的提高安全技术能力和监管力度，确保图书馆机房的安全运转。同时，要做好突发问题应急处理机制，当出现故障时能够将损失降到最低。

3.2 安全防护的最小权限性

构建高校图书馆网络安全等级权限分类，以可提供最少服务权限为原则，建立最大安全防护措施，权限等级要分明，严格执行权限管理制度。将数据库系统与应用系统区分管理，数据库管理权限设置管理人数越少越好，尽量避免用户浏览非图书馆允许类网站，将恶意网站登记到应用数据库中，禁止访问。

3.3 安全防护的集中管理性

高校图书馆网络安全集中管理是将多种安全防护措施进行统一管理，由专业的网络安全管理专家进行监控。在管理上不仅要从技术上进行研究，而且需要在制度上进行严格管理，譬如：建立安全责任制度、日常维护制度、数字图书馆应用制度、资料备份制度、保密制度等。对于各项制度的落实要进行统一集中的管理，方便制度的执行与落实。

3.4安全防护的长期性

网络环境更新速度快，恶意攻击、病毒类型等不断演变，新型的攻击手段和木马病毒不断涌现，这就要求高校图书馆网络安全建设要具有可升级、可扩建能力，不仅要及时更近防火墙、杀毒软件，在硬件设备上要具备可扩展性，能够提高硬件安全，建立长期的安全防护机制，做到实时监管、实时控制。

4 结束语

高校图书馆是高校文化与技术资源聚集融汇的地方，在面对数字化图书馆的需求方面，高校图书馆不仅要建立丰富的资源网络，而且要确保高校数字图书馆的应用安全。在高校图书馆网络安全建设上，环境、设备、软件、管理要统一目标，科学建设、加强监管，利用先进的网络安全技术和完善的管理制度实现高校图书馆数字化安全运转。

参考文献：

[1]马敏，刘芳兰，宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报，2010（04）：130-135.

[2]高琦.数字图书馆网络信息安全分析及对策研究[J].图书馆学刊，2012（06）：132-133.

[3]王元.高校数字图书馆信息安全保障研究[J].图书情报工作（增刊），2010（02）：327-331.

[4]颜昌茂，周吟剑，.高校图书馆网络安全系统的构建[J].情报探索，2014（01）108-111.

[5]金文新，高校图书馆计算机网络系统安全策略的设计与实现[J].图书馆论坛，2009（06）80-83.

篇9

【关键词】云终端 安全 漏洞策略

云终端采用“集中终端，分布显示”的架构，通过虚拟化技术，将所有桌面终端机合为一体，在服务器端进行集中处理，桌面终端设备仅负责输入输出与界面显示，不参与任何终端和应用，具有高效、可靠，安全的特点。构建集中式云终端资源中心是集约化、一体化的信息系统建设需要，也是将来发展的必然趋势。云终端模式通过将数据统一存储在云终端服务器中，加强对核心数据的集中管控，比传统分布在大量终端上的数据更安全。由于数据的集中，使得安全运维、安全评估、安全审计等行为更加简单易行，云终端系统还具有较高的可用性，系统容错率，冗余及灾备恢复。但云终端在带来方便快捷的同时也带来一系列新的安全问题。

1 云终端的特点

在共享的工作模式下，所有的软件均安装、运行在服务器上，只是将运行的结果送往云终端显示，云终端只负责显示及输入，不运行软件。云终端机基本上无须维护和升级，一切软硬件升级和维护都只须在服务器端进行。

2 云终端跟传统终端的区别

2.1 传统PC终端

2.1.1 安全漏洞问题层出不穷

杀毒软件安装不同，各自独立，整体维护困难。极易造成一个点感染病毒，直至传染全网。系统违规外联，存在很大安全漏洞。

2.1.2 安全边界问题难以防护

桌面PC硬件绑定。终端分散，数据随便拷贝，U盘等丢失。硬盘损坏造成数据丢失。

2.1.3 数据泄密问题难以防范

重要数据无管控，极易出现泄密。离职员工、外来运维人员泄密以及一些无意识泄密、有意识泄密。

2.2 云终端

2.2.1 统一防护，有效降低漏洞风险

杀毒软件、安全防范统一、后台统一维护、外设严格管控、权限分明、病毒感染可快速隔离、快速虚拟机重新分配、可控制外联行为。

2.2.2 安全边界划分相对比较清晰，桌面与数据分离

桌面与操作系统、数据等硬件环境分离、终端分散但数据集中、系统统一运行维护运行硬件抗损坏性高、自备份、可恢复数据强。

2.2.3 防范数据泄密相对较强

重要数据均集中管理，有效减少外流及泄密。

3 云终端面临的一些安全隐患

包括应用配置不当，平台构建漏洞，可用性、完整性差，平台漏洞，软件漏洞，编程环境的漏洞，堆栈溢出的漏洞，Web服务器的承受能力不强，非法获取高权限，协议及部署缺陷，云数据中的非安全访问许可，数据安全问题，垃圾邮件与病毒，操作系统以及浏览器的安全漏洞以及人员管理以及制度管理的缺陷等等。

4 云终端的安全解决方案

相比于传统的数据中心，云端数据更注重安全的访问，数据安全核心密钥管理；云端存储的文件和数据的安全性及终端网络基础架构的安全。

4.1 划分安全域以及分别网络隔离

安全域是由一组具有同样安全保护需求、并且相互信任的系统所构建成的逻辑区域，在同一安全域中的系统配备有相同的安全策略，通过安全域的划分把一个大规模复杂系统的安全问题，化分为许多更小区域的安全问题，实现大规模复杂的信息系统安全保护的逐层防护。安全域划分以保障云终端业务安全出发，把网络系统划分为不同安全区域，并进行纵深防护。对于云终端平台的安全防护，要根据云平台安全防护技术实现架构，选择和部署相应的，合理有效的安全防护措施，恰当的策略，实现多层次、纵深一体的防御体系，有效保证云平台资源及服务的安全。同时还可根据网络所承载的数据种类及功能，进行单独组网。以实现网络划区域的隔离防护。

4.2 安全防护

云终端系统也具有传统IT系统的一些特点，针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。

4.2.1 虚拟化安全

拟化安全涉及虚拟化组件及其管理的安全，包括虚拟化交换机、虚拟主机、虚拟化操作系统、虚拟存储及虚拟化安全管理等。

4.2.2 网络安全

网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、Web应用防护、VPN接入、安全审计等内容。

4.2.3 防火墙及边界防护

安全域需要隔离，并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有VLAN、网络设备ACL、防火墙、IPS设备等。

5 结束语

目前没有一种技术能够完全彻底解决云终端安全问题，但可以通过技术组合、管理等方面的手段去优化从而降低问题产生概率。云终端系统作为一种新的办公系统已经逐步被企业所接受，必将改变信息化的构建和管理方式。

参考文献

[1]邓华国，王刚，鲍娌娜.云终端资源中心的桌面资源优化研究[J].中国新通信， 2015.

[2]何永远.桌面云终端系统在电力行业中的典型应用[J].电力信息通信技术，2014.

作者简介

梁雨（1990-），男，四川省乐山市人。大学本科学历。现供职于国网四川雅安电力（集团）股份有限公司。研究方向为信息系统运维检。

篇10

关键词：CORS；卫星跟踪基准站；建设；分析

中图分类号：P185.18 文献标识码：A 文章编号：

随着现代GPS技术的发展与应用，其趋势必然趋向于CORS，CORS系统的出现是在计算机网络技术、现代卫星定位技术及数字通讯技术水平的提高基础上，利用计算机来实现对卫星观测数据进行传输，在数字通讯技术的基础上实现远距离用户之间发播，新的算法使得这项技术也逐渐走向成熟，连续的数据发播与存储在对数据研究、空间定位等方面呈现出较好的发展前景。

CORS系统包括系统控制中心及卫星跟踪基准站两个部分。其中系统控制中心的主要作用是对数据进行管理和计算、系统管理及监护、用户管理等方面，系统整体功能的实现离不开系统控制中心的设计，这是CORS系统的核心。作为CORS系统基础的卫星跟踪基准站，其网形设计、施工设计、站址选择、设备选型及安全防护等都影响着该系统的精度指标、控制范围、日常维护等安全指标。根据该系统的使用范围不同，其设计也不同，本文对此不作过多说明，本文主要基于浙江嘉兴连续运行卫星定位服务系统的建设进行分析，讨论基准站建设中应该考虑及注意的问题。

1、卫星跟踪基准站设计

对卫星跟踪基准站的设计主要包括两个部分：网形设计和类型选择。基准站网形设计主要考虑的因素是CORS系统的应用功能，其功能主要涵盖实时动态定位及静态服务两部分，前者是在后者的基础上采用新技术进行的拓展。第一，静态数据服务功能基准站在站间的距离上是可以加长的，距离在200千米以内都是可以满足要求的，通过观测时间及控制观测点满足观测的精度。与此同时，可以适当放宽网络条件要求，对于基准站的观测数据而言，24小时回传一次就可以，不需要实时回传。第二，实时动态定位的实现要综合其它因素进行考虑，如计算机网络的时间可用性，CORS系统的精度设计及观测条件等。浙江嘉兴地区CORS系统设计精度为厘米级，该地区的电离层活动比较活跃，所以，在设计时站间距离设计为三十到五十千米，选择SDH数据进行专线实时回传。

根据基准站的类别可以将卫星跟踪基准站划分为楼顶站及基岩站，这两种类别中基岩站的稳定性较好，而楼顶站在供电、安全防护及网络上较好。首先，基岩站在大区域CORS系统建设中较为适用，不需要太多，区域内只需要三至五个即可。其次，楼顶站由于在设计要求上容易达到，因此建议在实际使用中广泛采用，大型CORS系统的局部及小型CORS系统的全部都可以采用楼顶站。

2、基准站站址的选择

对基准站的大致位置确定之后，要详细的选择具置，满足基准站选址要求的条件主要包括：较好的GPS数据观测质量、稳固的基础、便捷的计算机网络、可靠的供电系统及完备的安全防护系统。基岩站的具置选择要考虑风化层钱的岩层，建立在基础较为稳固的板块之上；楼顶站的具置要安置在结构稳定的建筑物之上，保证楼顶站的稳定性。

卫星跟踪基准站要求全天候都要观测到最多的卫星数，还要考虑干扰信号不影响观测数据的质量，一般在位置确定之前要进行测试，包括强磁场测试、GPS观测数据质量分析等，最终却行具置。便捷的计算机网络、稳定的供电系统及可行的安全防护措施保证了基准站全天候观测卫星的实现，一般这些都要建立在网络RTK及120报警系统基础上。

3、基准站的建设

仪器室和观测墩构成计转站，仪器室主要用于安放GPS接收机、网络设备、UPS电源及计算机等辅助设备；观测墩用于安放GPS天线、仪器室与同轴电缆的连接等。设计观测墩时，要考虑基础的稳固、防水、防虫、防风、防尘、防日照等因素，仪器室则要考虑防水、防尘，稳定恒定等因素。

浙江嘉兴卫星跟踪基准站全部采用楼顶站，观测墩也都安放在建筑物的支撑柱上，对观测墩全部采用隔离的措施，解决了防风、防水、防尘、防虫及防日照的问题，通过特殊的设计，也解决了内部通风的问题。

4、基准站的防护

对基准站进行良好的保护，是保证基准站正常工作的基础，基准站防护主要包括电气设备防电涌、室外设备防雷、网络设备放射频干扰等，还有就是所有设备的防盗问题。防雷主要是针对室外设备，而基准站最直接的室外设备就是观测墩，因此防雷主要针对是就是观测墩的防雷。要使得观测数据准确，就需要使观测墩处于突出的地理位置，地势要凸起。但是这种凸出的地理位置也是最容易受到雷击的位置。一般采用避雷针防雷措施，在避雷针的选择上，主要采用主动放电式避雷针和被动式避雷针，嘉兴市基准站采用高脉冲主动放电式避雷针，也取得较好的效果。电气设备防电涌是在设备未接入电源之前，在设备上安装电涌保护装置，防止由于瞬间高压造成电气设备的损坏或者降低其使用寿命。计算机网络接入及GPS传输线接入时要采用射频保护。

5、基准站设备的选型

根据区域内的实际情况及CORS系统的设计，基准站设备在选择时有多种选择，要根据基准站有可能存在的问题及出现的情况，对设备进行选择，一般从以下几个方面进行考虑：

5.1GPS设备选型

基准站的核心设备就是GPS设备，其天线的型号有多种，主要有电子改正相位中心和固定相位中心。建议在基准站GPS天线的使用上采用扼流圈天线，这样就可以保证基准站坐标的稳定，且对抗强干扰能力较强，随着该系统的应用，市场上出现多种GPS接收机，一般选择多种输出方式的接收机。尤其要选择带网络输出接口的，便于多方案的制定与选择。

5.2计算机网络

CORS系统网络方案的设计及基准站计算机的使用都与计算机网络连接方式有关。根据不同的网络方案，要清楚其核心问题： IP地址是动态的还是静态的。静态IP地址可以采用GPS接收机上传网络，通过CORS系统控制中心固定IP与GPS接收机相连，基准站做好备份即可；动态IP地址要求基准站计算机直接与控制中心连接，便于在掉线后的系统自动连接。

5.3应急供电系统

在正常供电系统刚出现问题后，应急供电系统应该发挥其作用，保证基准站设备的正常运行，在应急供电系统设备选型时要考虑系统供电的时间及远程监控问题。随着供电系统远程监控技术的发展，其可选择的产品有很多，基本都能满足基准站的使用要求，需要注意的是应急供电系统要根据基准站负载及维修响应时间来确定电池的容量。

结束语

卫星跟踪基准站作为CORS系统的重要组成环节，其运行的稳定、高效及安全，保证了整个系统的正常运行，基准站的设计与建设，需要在一套完善的管理体系的基础上进行，事先进行设计与规划，利用已有资源，不断提升系统的技术含量及应用范围。

参考文献

[1]高伟,李本玉.数字泰山风景区CORS系统的建设与应用[J].矿山测量.2008(1).