推动网络安全建设范文

导语：如何才能写好一篇推动网络安全建设，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

一、高度重视，精心部署

由局领导班子召开部署会。会议强调，网络安全至关重要，要把网络安全建设列入到安全议事日程，加大网络安全宣传教育，提高网络安全意识，注重网络安全建设，配齐相关网络安全设备，提升统计网络安全防御能力，营造安全、可靠高效的网络环境，确保各项统计业务工作顺利开展。

二、加强领导，落实责任

按照《中华人民共和国网络安全法》相关规定，成立网络安全管理领导机构，明确责任，夯实责任。制定相关网络安全有关规章制度，对网络设备、网络安全管理、网络维护责任等各方面都做详细规定，进一步规范我局网络安全管理工作，明确网络安全责任，强化网络安全工作，定期组织全局工作人员学习有关网络知识，提高网络安全意识，确保网络安全。

三、加强网络边界管理

细化防火墙安全策略，关闭不必要的应用、服务和端口，利用杀毒软件和安全客户端进行极端及病毒查杀，强化Ip地址与U盘使用管理，开展计算机弱口令自查工作，继续完善网络信息安全技术防护设施，配备必要的安全防御和监测准入制度，从根本上降低安全风险定期对服务器操作系统进行漏洞扫描和隐患排查，建立针对性的主动防护体系

四、全面开展信息系统等级保护工作，完成所有在线系统的定级、备案工作

积极创造条件开展后续定级测评、整改工作。加强应急管理，修订应急预案，组建以技术人员为骨干、重要系统管理员参加的应急支援技术队伍，加强部门间协作，做好应急演练，将安全事件的影响降到最低。

五、加强技术学习，提高安全意识

认真开展网络信息(数据)安全教育学习活动、组织学习计算机及网络安全保密法律和相关保密规定、法规、操作方法。明确系统严禁与外网链接，严禁在非网络上传输信息，严禁使用非专业的移动存储介质在系统上拷贝文件。要求所有的网络接入终端及时更新补丁，定期查杀木马病毒，确保无安全漏洞、无木马病毒感染。

六、加强软硬件建设，防患于未然

做到软、硬件建设结合，硬件上下功夫，件上重管理，在做好局网络安全日常管理的同时，定期检查网络节点，定时进行漏洞扫描，落实网络安全区域边界的访问措施和策略。同时，加强纵横向沟通，在敏感时期和日常维护中对上积极做好网络与网络信息安全情况汇报，对下经常性开展网络监测指导，对危害计算机存在的因素做到早提醒、早防范、早部署形成网络信息安全的良好工作环境。

篇2

关键词：绿色；通信网络；电力企业；信息安全

中图分类号：TN915.08

2014年的通信行业将仍延续之前的光明景气，但行业整体的利润规模缩小，可见利润的上升空间较大。眼下，4G牌照的发放正是得益于产业链发展如日中天的东风和政策性支持的充分肯定，使2013年的通信行业出现了新的经济增长点。基于此，可以预想，未来的通信行业及其相关行业的发展势头将一片大好。

1 通信网络与信息安全的关系

通信网络完全是国家信息安全建设的重要内容，所以电力企业信息安全与之有着密切联系。通信网络安全，就是将数据和信息被攻占的可能性降至最低，这些信息时电力企业的经济命脉，若是出现安全问题，将带来不可估量的经济损失。而通信网络在电力信息化建设过程中扮演着三大角色：不同性质计算机应用系统的信息网络公共平台的提供者；通信技术资源的开发、维护和管理者；与业务管理相关的计算机应用系统的开发、建设和使用者。

电力企业的正常运行和经营管理都离不开通信网络系统，它不仅承载企业内部的电力调度数据网络系统，而且承载着网络的互联网连接，确保其安全性是电力企业信息安全建设的重中之重，电力企业信息安全性在很大程度上决定着电力生产控制系统的安全性。所以，电力企业要加强绿色通信网络体系的构建，做好等级保护、风险评估以及安全备份等工作，全面提高通信网络安全的应急能力和风险规避能力，提高通信网络安全的管理水平，为电力企业的可持续发展奠定坚实技术基础。

2 构建绿色通信网络的必要性

目前，大部分企业依然采用普通网络进行信息互动，尽管也具有一定的安全性，但信息被盗的安全问题却时有发生，之所以会出现这种现象，主要是由于：计算机应用系统自身的开放性、互动性和共享性；新型计算机病毒的不断出现与传播；商用软件源代码的公开化问题；上述这三大方面对电力企业的信息安全造成了巨大威胁，所以必须要加以重视。电力企业必须通过构建绿色通信网络系统，将信息安全风险降至最低，为了实现这一目标，首先要做好构建完善安全机制和不断加强技术创新。

首先，构建立体化、层次化的安全管控体系。电力企业要想全面提高通信网络的技术安全水平，就要加强现有资源的优化整合，提高通信网络系统的自修复能力、应急能力和安全备份能力，具体来讲，就是要提高通信网络系统在安全漏洞自发现与修复、全程事件监控和分析、网络安全态势的综合分析、网络安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比较广泛，所以要构建与之相应的安全技术体系。

其次，加强IP承载网的安全优化设计，利用安全管理中心来提高绿色通信网络系统的安全性。加强对普通计算机应用系统的管控，并在实际管理和使用过程中，加强对相关技术人员的安全教育，提高他们的保密意识和技术能力，尽量将安全风险降至可控制范围内的最低。在管理方面，要加强长效的安全管理机制的构建，确保网络管理人员及时到位，构建完善的安全评估和应急体制，等等。特别需要提出的是，为了提高系统应急能力，必须要构建完善的安全应急处理协调机制，加强应急预案体系和应急指挥体系的构建，全面加强应急队伍和技术保障建设。要做好基础信息网络建设、重要信息安全备份和安全应急处理工作，一旦出现安全故障，要确保在最短时间内加以解决，将风险和损失降至最低。

3 规划绿色通信网络的四步骤

规划绿色通信网络系统是电力企业信息建设的重要前提和基础保障，具有非常重要的现实意义。为为了实现这一目标，不仅需要严格遵守电力系统的相关规定，而且还要严格遵循相关的技术标准，所以，要想实现绿色通信网络的科学规划，需要立足于传送网络层和业务网络层，加强所用设备的检查、巡视与监控，确保信息系统安全稳定运行，强化信息通讯安全保障，主要做好以下几个方面的工作才可以：

3.1 做好业务网络规划。具体来讲，就是对提供不同业务的网络加以科学规划，包括数据网、移动通信网和计算机网等核心业务网络。业务网络规划在绿色通信网络系统构建中具有重要作用，是电力企业实现信息化的关键环节。电力企业要在既有业务网络的基础上加强安全建设，灵活利用各种手段加强对安全技术人员和管理人员的业务培训，提高电力企业业务系统的技术能力和安全意识，确保各大业务系统的正常运作。

3.2 做好传送网络规划。具体来讲，就是构建完善的业务技术支撑体系，对交换机、无线网络、移动网络和服务器等进行规划。目前，国家对信息安全问题日益重视，而电力企业信息系统的安全建设也开始提上日程，如何加强传输网络层的规范化和标准化，已经成为通信领域的一大课题。根据通信网络系统对信息传输安全性、保密性和规范性的要求，电力企业要实现对信息传输的实时监控，强化网络管理人员的保密意识，避免管理人员将重要信息外泄的非法操作现象出现，确保信息传输的安全性。

3.3 做好安全保障规划。具体来讲，就是通过成立专门的组织机构，明确各科室信息人员及时处理设备故障的工作，及时处理信息通信出现的突发事件。坚持“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，完善各项防护措施，加强运行管理，开展防病毒、防攻击、防破坏等安全防范工作；开展全方位的通信网络隐患排查和治理工作，做好基础设备防火、防盗及电源检查与保障工作；建立特巡机制，重点监控网络设备、重要应用系统与数据库等；加强网络通道保障机制，对值班人员提出密切监控的严要求，发现问题及时解决，全面保障通信网络安全。

3.4 做好基础设施规划。具体来讲，就是对计算机、服务器等硬件设施的规划，这些硬件设施是确保通信网络系统正常运作的前提。在信息系统中，服务器承载量非常大，在信息传输过程中数据的处理工作量也急剧增长，只有实现对路由器的实时监控，定期检查路由器故障，加强基础设施建设力度，才能确保其企业通信网络系统的安全运作。此外，为了构建长效绿色通信网络系统，还要对网络安全预防、网络综合化等因素加以全面考虑，在做好信息传送网络层和业务网络层规划基础上，积极采取有效的安全预防措施，以便尽快实现绿色通信网络系统构建的信息化建设目标，实现电力企业的可持续发展。

4 结语

现代通信网络日益呈现多元化发展，数字化、宽带化和智能化已经成为必然趋势，做好网络规划和绿色通信网络系统构建，不仅可以确保电力企业的信息安全，而且还可以创造良好的社会效益和经济效益。所以，电力企业必须加强对绿色通信网络系统的构建，全面提高企业信息技术创新能力和信息安全管理能力，将企业的信息安全风险降至最低，全面提高电力企业通信网络系统的安全防护能力和安全管理水平。

参考文献：

[1]张礼莉.浅析电力企业信息网络的安全及防范措施[J].通讯世界，2013（11）.

[2]郭建，顾志强.电力企业信息安全现状分析及管理对策[J].信息通信，2013（03）.

[3]李艳.绿色信息通信网络中的节能减排技术应用[J].数字技术与应用，2013（08）.

篇3

在当今社会，上网即对互联网的使用，已经成为人们工作、生活不可分隔的重要组成部分。作为重要的信息“源地”的图书馆，在现代信息技术快速发展和应用的时代，同样也面临者提供数字化服务的新要求，并推动图书馆朝着信息化、处理自动化、媒体多样化、馆藏数字化、通信网络化和服务手段渠道多样化的方向转型和发展。以有线网络和无线网络为基础，以智能手机为代表的移动终端，在互联网应用技术的支持下，大有“一部手机走天下”的气势。许多图书馆都在建设和不断完善数字化服务体系，尤其是国家“211”，“985”高校图书馆在这方面表现的更为突出，其中一些高校已初步实现了如短信、微信、WAP移动数字化图书馆在线服务。但随着图书馆数字化服务步伐的加快以及基于数字化服务路径的增加，数字化图书馆体系所面临的网络信息安全问题日益突出。作为互联网世界应用的主要组成部分，同样也面临着各种不安全因素的威胁。就目前而言，更多的图书馆机构首先关注的图书馆数字化服务功能的实现，由于资金、安全意识等原因，对于实现数字化多路径服务时产生的安全问题重视不够，安全体系建设与数字化服务功能建设不够同步。因此，本文着重对数字化多路径服务过程中图书馆数字化网络信息安全问题的综合防护措施进行研究分析。

1当前数字化图书馆网络信息安全面临的问题

1.1我国网络信息安全的总体态势

根据中国互联网络信息中心（CNNIC）的第35次“中国互联网络发展状况统计报告”，截至2014年12月，我国网民规模达6.49亿，全年共计新增网民3117万人。互联网普及率为47.9%，较2013年底提升了2.1个百分点。到2014年12月，我国手机网民规模达5.57亿，较2013年增加5672万人。网民中使用手机上网的人群提升至85.8%。2014年3月21日，中国互联网协会、国家互联网应急中心在京“中国互联网站发展状况及其安全报告（2014年）”中指出，中国网站安全问题形势严峻，受境外攻击、控制明显增多，是网络安全问题的受害者。在篡改问题上，2013年被篡改的中国网站数量为24034个，增长了46.7%；其中被篡改的政府网站数量为2430个，大幅增长了34.9%。在植入后门问题上，2013年76160个中国网站被植入网站后门，其中政府网站有2425个。“中国互联网络发展状况统计报告”指出：2014年，总体网民中有46.3%的网民遭遇过网络安全问题。本次调查显示，49.0%的网民表示互联网不太安全或非常不安全。我国互联网使用的安全状况不容乐观。今天，图书馆尤其是高校图书馆在不断引进数字资源，丰富图书馆的馆藏数字资源的同时，数字化、网络化的图书馆在网络信息安全方面的问题日益突出，受到的各种安全威胁越来越多。

1.2数字化图书馆网络信息安全的涵义

网络信息安全是指防止信息网络本身的安全，包括采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。具体到数字图书馆网络信息安全是指数字化图书馆网络系统的硬件、软件及其系统中的数据受到保护，不受偶然和恶意因素而遭到破坏、更改、泄露，系统连续正常运行，网络服务不中断。

1.3图书馆网络信息安全面临的威胁

数字化图书馆系统受到安全威胁，总的来看，主要来自外部和内部两个方面。1.3.1外部安全威胁（1）病毒破坏。病毒威胁同样也是数字化图书馆所面临的安全问题，数字图书馆大多由内、外网构成，一旦内网中的服务器感染病毒就有可能危及整个图书馆信息的安全。（2）后门木马。它的危害大多是隐形的，由于后门木马是以窃取信息同时还能对服务器时行操控，可在管理者不知情的情况下窃取信息，对数字化图书馆有较大的威胁。（3）黑客攻击和信息间谍。这是人为的一种形式，对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动，因为数字化图书馆有大量的资源，其又以破坏或盗窃资源为目的，因此具有很大的威胁性。（4）信息恐怖活动和信息战争。主要是国与国层面的信息战争，这种威胁虽然不是经常出现，但它的危害不容小视。（5）自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏，这种危害发生的几率较小，但一旦发生，后果往往是灾难性的。1.3.2图书馆数字化的内部安全威胁（1）安全意识不强。主要体现在系统管理员和大多数的内部使用者身上，导致信息保护弱化。（2）恶意破坏。主要是内部安全管理人员对内部服务器和网络设备进行的破坏，甚至人为设置故障活动等。（3）内外勾结。主要是内部人员为了金钱等个人利益，给外部人员出卖信息情报资源、透露口令、入侵系统、破坏数据、盗窃资源、破坏系统等。（4）。非职责者，非职权者使用系统等。（5）管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。

2图书馆数字化网络安全的保障策略

图书馆数字化网络安全需要进行全面详细的考虑。对于常规如有线网络，主要从物理安全、网络安全、软件平台安全和应用安全几个方面相融合考虑安全策略。首先，建立一个全面立体的安全防护墙，以保证图书馆数字化系统其它层的安全。其次，防范病毒也是图书馆数字化系统需要考虑的问题，通过对图书馆数字化网络中服务器和客户端的防护以及在网关处对病毒进行拦截，可以有效预防病毒侵入。针对图书馆数字化网络安全要解决来自外部和内部的各种非法入侵和攻击、非授权的访问、信息泄露和被窃取等行为，在建立有线图书馆数字化网络安全体系时，要根据图书馆数字化所提供服务路径特征，结合各种网络信息安全防护技术，进行综合保护。如图1所示，给出根据开放式系统互联OSI（OpenSystemInterconnection）模型的常规网络安全结构防护方式。（1）应用层。主要研究事故原因，评估事故的破坏程度。涉及到网络管理，网络监控和系统管理。（2）网络层。一旦发现在任何时间发生意外事故及危险，立即终止该进程，最大限度地减少运行时间的事故，将事故损害降到最低。技术手段的使用包括应用访问控制，安全过滤，入侵检测，病毒防护。（3）物理层。使网络系统从通信开始最大限度地降低风险。包括网络分析和规划设计，同时使用网络安全漏洞扫描技术，及时发现事故征兆，并加以控制。可进行预防性安全检查，找到网络安全系统中存在的最大的风险，进行有效纠正。对于一个可提供完整数字化服务的数字图书馆网络系统来说，一般由单位内网、外部网络和门户网站构成。可在内部网络和外网间设置物理隔离；由于还需要进行数据交换，在外网与门户网站间可采用网闸定时交换所需数据信息，实现逻辑隔离，强化保护。结构如图2所示。

3基于图书馆数字化服务的移动网络安全保护

3.1图书馆数字化移动服务概述

图书馆数字化移动服务实际上是依托国际互联网、无线移动通讯技术以及多媒体技术，通过使用智能手机、掌上电脑、笔记本电脑等便携式移动设备，自由访问数字图书馆系统，方便灵活地进行图书馆文献信息咨询、浏览、检索及获取的一种新型文献信息服务方式。数字化图书馆为读者提供移动、交互、便捷、自由服务。但同时数字化移动图书馆所面临的安全问题也越来越严峻。只有建立一个综合、安全、可靠的移动图书馆信息平台，才能为用户提供长久安全的服务。

3.2完善数字化图书馆移动安全系统总体结构设计

上面主要分析了基于有线网络路径提供数字化服务网络信息安全的保护方式。在以数字化图书馆以移动路径方式提供数字化服务时，由于其服务更加灵活和开发，其安全保障体系更显得十分重要。其移动安全系统应进一步完善，应当由安全信息服务平台和移动终端设备组成，总体架构如图3所示。数字化图书馆安全信息服务平台应具有身份认证、密钥管理、用户权限管理、数据加解密、信息查询、数据存储管理、网络状态监视和日志管理等功能融为一体；安全信息服务平台能对移动设备用户进行身份认证、加解密与移动设备用之同传输的信息，要根据移动设备用户提供的关键字，从后台数据库中查询相应的数据，并返回给用户，对移动设备用户上传的文件进行统一存储管理；信息服务平台的日志管理模块实时记录不同用户所执行的操作，包括所进行的查询、上传的文件和系统异常，日志中所记录的字段可由系统管理员自由设定。

3.3完善数字化图书馆移动安全技术保障

就目前来看，图书馆数字化环境常用的移动网络安全架构还不够完善，对其进行改进完善是数字化图书馆移动服务快速发展的必然要求，可考虑采用如下两个技术措施进一步完善移动网络体系安全：（1）在移动终端增加安全措施。这样不至于因使用者出现安全问题而祸及图书馆数字化环境。因此，可在移动终端增加具有移动可信计算功能的独立模块。该模块使其具有安全计算和识别能力，能计算出移动终端中所有软件的完整性，检查所安装和所执行软件的合法性，如果没有授权，就不能安装和执行，但它可与安全服务提供者实现安全通信，并把计算发现的情况随时报告给安全服务提供者。（2）在移动网络中再添加安全服务提供者角色。在互联网中，软件提供商向移动用户提供的软件让其必须持有安全服务提供者签发的数字证书，只有这样该软件才能被安装和运行使用。因此增加安全服务提供者角色后，可通过其为移动终端提供软件合法性证明，从而避免对图书馆数字化安全体系所造成的威胁和破坏。如图4所示，给出了加上可信服务的移动网络安全结构。在如图4的安全结构中，安全服务提供者的服务器是直接接入网络服务器的，因此对已经有的移动网络安全系统结构不会造成大的改动。如果安全服务提供者检查发现软件完整性遭到破坏，则说明终端可能已经染毒了，为了避免终端将病毒扩散到数字化图书馆环境中，就主动不允许其进一步接入图书馆网络系统，以保障数字化图书馆移动服务功能的安全。

4图字化图书馆基于IPSecVPN访问方式实现移动服务的安全保障

使用移动通讯终端设备尤其是智能手机可随时随地接人因特网，但接入Internet不等于不受限制地访问获取图书馆所有资源。比如高校数字化图书馆服务对象主要是本校教职工，是有身份限制的，为了识别访问者身份和信息的安全传输，大多采用了VPN技术。4.1IPSecVPN分析虚拟专用网VPN（VirtualPrivateNetwork）实现不同网络组件和资源之问的相互连接，同时对用户提供透明的服务，利用Internet或其他公共互联网络设施为用户创建一个传输的逻辑隧道，在一个公共网上传输信息时，其它用户不能进入此隧道，这样就为使用者提供一个专用网络信息通道，起到了对资源提供者和访问者的安全保障。IPSecVPN即指采用IPSec（InternetProtocolSecurity）协议来实现远程接入的一种VPN技术。在VPN技术中可提供公用和专用网络的端对端加密和验证服务。IPsec提供IP层上的安全服务，这样系统就可以选择所要求的安全协议，以决定服务所使用的算法、配置所需要的密钥，实现数据传输的机密性和完整性。4.2完善IPSecVPN接入安全布置为通过IPSecVPN实现移动用户和数字图书馆的端到端的加密传输。在移动终端可安装安全卡和安全软件；在移动公网部署二层隧道协议访问集中器LAC（1ayer2tunnelprotocolaccessconcentrator）、二层隧道协议访问服务器LNS（1ayer2tunnelprotocolnetworkserver）和验证授权以及帐户AAA（authentication、authorization、accounting）提供虚拟专用拨号网服务；对移动安全接入部署防火墙、VPN网关、身份认证鉴别管理、安全策略和评估、监控审计和应用隔离系统进行完善，具体如图5所示。（1）为了使移动终端系统对移动用户的身份识别更加准确，可采用开机密码或硬件双要素的认证方式；（2）针对无线虚拟专用拨号网，在拨号过程中加强网络运营商对拨号终端身份认证采用“用户名@域名/口令”的方式；（3）在移动终端接入IPSecVPN网关时，要对移动终端接入采用数字签名认证。采用通过三次握手周期性对端的身份进行校验，同时在初始链路建立完成时，以及在链路建立之后重复进行。改善审计记录的关联性，以增强安全强度。

5系统认证方式

在数字化图书馆基于局域网、有线网络以及无线网络针对特定对象提供多路径数字化服务这一特点，如何识别服务对象、发现非服务对象甚至恶意侵入者，对保护图书馆数字化环境体系安全具有十分重要的作用。数字化图书馆虽然大多都有认证功能，但总的来说认证方式比较单一，不能完全适应多路径数字化服务的发展要求。建立一个统一的，各种认证方式相融合、互为补充的身份认证系统迫在眉睫，可考虑将以下认证方式进行融合使用。5.1系统接入虚拟专用网的认证现在数字化图书馆大多采用以VPN的方式进行访问接入，IPSec基于证书认证的方式非常适合大型VPN，这也符合数字化图书馆用户不断增加的趋势。它所采用的PKI（PublicKeyInfrastructure）安全体系架构，保证了VPN的安全性，并可在必要时，重新颁发证书来增加用户数量。5.2SD扩展卡与终端之间的认证增加安全数码SD（SecureDigita）扩展卡与终端之间的认证，分别针对扩展卡和读写设备的合法性认证。一是可验证终端卡的合法性，杜绝伪造卡使用的可能；二是可用卡来验证终端的合法性，以判定此终端是否具有读写卡的权限。5.3对持卡人的身份认证SD扩展卡需要持有人使用PIN（PersonalIdentificationNumber）码，即SIM卡的个人识别密码，证明它的身份。当用户将SD扩展卡插入移动终端，在使用之前，系统要求用户要输入只有其本人知道的PIN码，若输入正确，则表明用户为该SD扩展卡的合法拥有者，系统也才能进行SD读写操作，反之就拒绝。

6用好其它常规安全技术和安全管理措施

（1）其它常规安全技术保护措施。比如设置防火墙，安装使用网络管理软件，本地与在线杀毒等，这里不作过多叙述。（2）加强管理体系的建设①坚持功能规划、建设与网络信息安全建设同步的思想，确保安全的基础条件达标。②加快建立图书馆数字化安全机制。完善组织机构，加快建立完善图书馆数字化各项安全制度。加大使用安全宣传，共建数字化图书馆网络安全环境。③对图书馆工作人员进行网络信息安全知识、技能的培训，提高基于数字化服务的安全能力。

7结语

篇4

关键词：网络信息；安全技术；发展前景

随着科学技术的不断发展，计算机网络技术以及信息技术都得到了突飞猛进的发展，同时，网络技术也在多方面推动了社会的发展和进步。然而，在运用网络技术的同时也面临着网络安全和信息安全的现实问题，如果这个问题不能得到妥善的解决，将给网络使用者带来不可估量的损失。笔者将以网络与信息安全技术的重要性及发展前景为课题，展开本次研究。首先明确网络与信息安全的含义，就是计算机系统能够在正常情况下进行网络服务，其软硬件设备不受到外来因素攻击以及运行数据不被剽窃和泄露。加强网络与信息安全建设尤为重要，事关国家的安全和社会的稳定。

1当前网络与信息安全的现状

我们有必要对当前网络与信息安全的现状进行细致的分析，这有助于我们认清形势。近年来，我国在网络安全方面的技术还不够成熟，对网络安全的认识比较肤浅，大多停留在计算机病毒的防范，根本没有从整体上认识到网络安全的重要性。这种意识和技术层面的缺失给我国的政府部门和金融机构都带来了惨痛的教训，他们都曾遭遇过系统攻击，大多是通过电子邮件、木马或者文件共享的方式。综合分析现在网络容易遭受病毒攻击的原因，可以概括为以下几个方面：（1）互联网的网络协议自身存在很多漏洞使得病毒有机可乘；（2）大家普遍使用的插件很容易被黑客破解并作为攻击的手段；（3）软件升级的周期越来越短，每一次升级都是一次风险，不仅给操作的程序提出新要求，同时也对操作系统提出新的问题；（4）国家对于网络安全方面的法律规定不够健全，对于网络信息保护方面的条款也没有明确规定，实际执行情况不佳；（5）一些单位和管理人员没有充分认识到网络信息安全的重要性，缺乏对单位网络安全管理规定的制定，更没有委派专人来负责网络信息安全的维护，给网络犯罪行为提供了机会。

2网络与信息安全技术的重要性

2.1确保国家安全和社会稳定的重要因素

科学技术的稳步发展带动了计算机网络技术的发展，目前，计算机网络已经渗透到社会的各行各业，在人民生活、社会发展和国家进步中扮演着越来越重要的角色。正是在这样的背景下，网络信息安全显得尤为重要，不仅关乎个人和单位的信息安全，同时也影响着社会的稳定甚至是国家的安全。所以，一定要对网络信息安全技术格外的关注，只有这样才能够维持社会的稳定，确保国家的安全发展。

2.2提高用户安全意识

伴随互联网技术的推陈出新，信息的运用方式也发生了很大的变化。很多个人和公司在纷纷出现信息外漏的现象后开始对网络信息安全加以重视。因此，无论是个人还是单位，在运用计算机网络进行信息的保存、传输的过程中一定要把安全问题摆在首位，加强对网络信息安全的重视，这样才能确保信息的不外漏。

2.3经济领域中互联网技术的广泛应用

由于中国是一个人口大国，所以运用计算机网络的人数也是巨大的。根据国家互联网信息技术中心的一次调查统计数据显示，几年前，中国实用互联网的人数就位于世界互联网实用人数的前列，在这些人当中又以商业性实用人群为主。通过这个数据可以从侧面反映出我国对于电子商务的运用广泛，越来越多的人接受了电子商务。与此同时，电子商务也给社会经济产值带来巨大的增长。在这样的背景下，营造一个安全的网络信息平台对于维护电子商务交易安全和促进国民经济稳步发展都具有不可忽视的意义。

2.4网络发展需要

社会的进步离不开科技的手段，互联网技术作为目前人们生活息息相关的技术，其位置不可动摇。在倡导网络信息共享机制的同时也给网络信息安全带来一次前所未有的挑战，信息的共享就需要信息传递，而每一次传递的过程都有可能成为黑客入侵的切入点，或者是病毒繁殖的温床。众所周知，网络技术能够带动社会的发展，那么保证网络技术的健康发展尤为重要，网络技术的发展最根本的需要就是一个安全的空间。

3网络与信息安全技术的发展前景

通过上述分析，网络与信息安全的意义重大，因此，关注网络与信息安全技术的发展前景梳理成章。在实际生活中发生的网络与信息威胁有的来自于客观的原因，而多数来自于主管的人为攻击，这对网络与信息安全技术的发展来说是一块绊脚石。概况来说，在未来网络与信息安全技术的发展将朝着以下几个方向：

3.1网络安全维护软件销量将迅速增长

随着科学技术的不断发展，人们对于网络与信息安全的认识也会逐渐加深，将采取更多的手段来维护网络与信息的安全，而网络安全维护软件就是他们不错的选择。今后，网络安全维护软件的市场必定是供不应求，并且有望成为互联网中各种应用软件的市场销量的领头羊。

3.2网络安全维护类软件的开发向多元化发展

随着市场对网络安全维护类软件的需求越来越大，软件的发展也将朝着多元化的方向迈进。这种多元化的发展趋势有助于用户解决不同类型的网络安全问题，使得一些复杂的网络安全威胁得以化解。具体来说，网络信息安全的技术种类将包括以下几种甚至更多：信息加密技术、用户身份认证技术、防火墙技术、杀毒软件等。

3.3不断学习西方的现金技术

虽然我国的网络信息安全技术在近年来得到了一定的发展，但是同西方的发达国家相比，我过仍然处于落后的阶段，所以要不断地向西方先进的国家学习最新的网络安全维护技术。国家和企业要定期组织单位或者专业的技术人员到国外学习先进的理念和技术，从而带动软件开发商研制、生产出更有实效的网络信息安全维护软件。

4结论

综上所述，目前我国的网络信息安全存在的漏洞很多，主要是由于受到技术水平和意识淡薄等因素的影响。网络与信息安全技术的意义重大，不仅关乎到个人信息的安全，也关乎到商业的稳定发展以及国家的发展、社会的稳定。这就要求我们充分重视网络和信息安全技术的发展，不断学习西方的先进技术，不断研发出更好的网络安全维护软件，让更多的人参与到网络信息维护的队伍中来，同一切威胁网络信息安全的行为作战。相信通过全民的努力，我国未来网络信息安全定会拥有美好的前景。

参考文献

[1]胡刚.网络与信息安全技术的重要性及发展前景分析[J].计算机光盘软件与应用,2013,06(13):167-168.

[2]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2011,07(19):322-326.

篇5

【 关键词 】 高级隐遁技术；高级持续性攻击；检测方法

China’s Situation of Protection Techniques against Special Network Attacks

Xu Jin-wei

（The Chinese PLA Zongcan a Research Institute Beijing 100091）

【 Abstract 】 By the end of 2013，the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit， the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks， as an inspiration to the colleagues？and units in the information security industry.

【 Keywords 】 advanced evasion techniques； advanced persistent threat； detection methods

1 引言

2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件，标志着信息安全进入了一个全新的时代：新型攻击者（国家组织的专业团队），采用全新的方式（APT[注1]）攻击国家的重要基础设施。

APT攻击因其采用了各种组合隐遁技术，具有极强的隐蔽攻击能力，传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在，APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动，一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动，APT的出现给网络安全带来了极大危害。目前在西方先进国家，APT攻击已经成为国家网络安全防御战略的重要环节。例如，美国国防部的High Level网络作战原则中，明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。

从资料中得知，国外有些著名的信息安全厂商和研究机构，例如美国电信公司Verizon Business的ICSA实验室，芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究；2013年美国的网络安全公司FireEye（FEYE）受到市场追捧，因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击，即所谓的“零天（Zeroday）”攻击和“高级持续性威胁（APT）”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击，也就是说，黑客在发现漏洞的当天就发动攻击，而不会有延迟到后几天再发动攻击，软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能，可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为，进而发现黑客的攻击行为。

APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中，首次明确指明“高级可持续威胁（APT）安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段？2013年底，带着这个疑问专门走访了几家对此有研究和技术积累的公司，听取了他们近年来在研究防护APT攻击方面所取得的成果介绍，并与技术人员进行了技术交流。

2 高级隐遁技术（AET[注2]）

根据IMB X-force小组针对2011年典型攻击情况的采样分析调查，如图1所示可以看出，有许多的攻击是未知（Unknown）原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时，NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》，已经把layered evasion（也就是AET）作为必须的测试项。

结合近年情况，各国基础网络和重要信息系统所面临的最新和最大的信息安全问题，即APT攻击，我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。

目前，各企事业单位为了应对网络外部攻击威胁，均在网络边界部署了入侵检测系统（简称IDS）和入侵防御系统（简称IPS），这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测，使用了大量的逃避技术。近年来，国外信息安全机构发现了一套新型逃避技术，即将以前的逃避技术进行各种新的组合，以增加IPS对入侵检测的难度。这些新型逃避技术，我们称之为高级隐遁技术（AET）。AET可利用协议的弱点以及网络通信的随意性，从而使逃避技术的数量呈指数级增长，这些技术的出现对信息安全而言无疑是个新的挑战。

使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理：包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测，悄悄渗透到企业网中；之后，这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常，但这样的IP包经目标终端翻译后，则会形成一个可攻击终端系统的漏洞利用程序，从而给企业的信息资源造成大规模破坏，只留下少量或根本不会留下任何审计数据痕迹，这类攻击就是所谓的隐遁攻击。

2.1 常见的高级隐遁技术攻击方法

常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术，实际上高级隐遁技术千变万化，种类叠加后更是天文数字。

2.2 高级隐遁技术的测试

为了研究AET的特点，研发AET检测、防护工具，国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析，并根据检测结果来改进或重新部署现有网络中的网络安全设备。

国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具，从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合，同一层内的隐遁技术也可以互相叠加组合。

测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。

CNGate-TES测试环境部署如图2所示。

3 下一代威胁与 APT

下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式（未知漏洞利用、已知漏洞变形、特种木马等），组合各种其他手段（社会工程、钓鱼、供应链植入等），有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系，攻击者成功控制了内网主机之后，再进行内部渗透或收集信息。

对信息系统的下一代威胁和特征有几点。

0DAY漏洞威胁：0DAY漏洞由于系统还未修补，而大多数用户、厂商也不知道漏洞的存在，因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞，但由于补丁修复不普遍（如第三方软件），通过变形绕过现有基于签名的检测体系而发起攻击的案例。

多态病毒木马威胁：已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马，而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马，他们可以绕过现有基于签名的检测体系发起攻击。

混合性威胁：攻击者混合多种路径、手段和目标来发起攻击，如果防御体系中存在着一个薄弱点就会被攻破，而现有安全防御体系之间缺乏关联而是独立防御，即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。

定向攻击威胁：攻击者发起针对具体目标的攻击，大多数情况下是从邮件、IM、SNS发起，因为这些系统账户背后标记的都是一个真实固定的人，而定向到人与他周边的关系，是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起，并和多种渗透手段组合起来，就是一种APT攻击，不过定向攻击也有大范围发起的，这种情况下攻击者出于成本和曝光风险考虑，攻击者往往使用已知的安全漏洞来大规模发起，用于撒网和捞鱼（攻击一大片潜在受害者，再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点）。

高级持续性威胁： APT是以上各种手段（甚至包括传统间谍等非IT技术手段）的组合，是威胁中最可怕的威胁。APT是由黑客团队精心策划，为了达成即定的目标，长期持续的攻击行为。攻击者一旦攻入系统，会长期持续的控制、窃取系统信息，关键时也可能大范围破坏系统，会给受害者带来重大的损失（但受害者可能浑然不知）。APT攻击，其实是一种网络情报、间谍和军事行为。很多时候，APT都具有国家和有政治目的组织的背景，但为了商业、知识产权和经济目的的APT攻击，也不少见。

3.1 APT攻击过程和技术手段

APT攻击可以分为大的三个环节，每个环节具体的工作内容，如图3所示。

在攻击前奏环节，攻击者主要是做入侵前的准备工作。主要是收集信息：了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息，用于指导制定入侵方案，开发特定的攻击工具。在收集信息时，攻击者可以利用多种方式来收集信息，主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等，信息收集是贯穿全攻击生命周期的，攻击者在攻击计划中每获得一个新的控制点，就能掌握更多的信息，指导后续的攻击。

技术准备：根据获取的信息，攻击者做相应的技术准备，主要有入侵路径设计并选定初始目标，寻找漏洞和可利用代码及木马（漏洞、利用代码和木马，我们统称为攻击负载），选择控制服务器和跳板。

周边渗透准备：入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。

在入侵实施环节，攻击者针对实际的攻击目标，展开攻击；主要内容有攻击者利用常规的手段，将恶意代码植入到系统中；常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标，利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。

SHELLCODE执行：大多数情况攻击者利用漏洞触发成功后，攻击者可以在漏洞触发的应用母体内执行一段特定的代码（由于这段代码在受信应用空间内执行，很难被检测），实现提权并植入木马。

木马植入：木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。

渗透提权：攻击者控制了内网某个用户的一台主机控制权之后，还需要在内部继续进行渗透和提权，最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上，到此攻击者已经成功完成了入侵。

在后续攻击环节，攻击者窃取大量的信息资产或进行破坏，同时还在内部进行深度的渗透以保证发现后难以全部清除，主要环节有价值信息收集、传送与控制、等待与破坏；一些破坏性木马，不需要传送和控制，就可以进行长期潜伏和等待，并按照事先确定的逻辑条件，触发破坏流程，如震网，探测到是伊朗核电站的离心机环境，就触发了修改离心机转速的破坏活动，导致1000台离心机瘫痪。

深度渗透：攻击者为了长期控制，保证被受害者发现后还能复活，攻击者会渗透周边的一些机器，然后植入木马。

痕迹抹除：为了避免被发现，攻击者需要做很多痕迹抹除的工作，主要是销毁一些日志，躲避一些常规的检测手段等。

3.2 APT检测方法

随着APT攻击被各国重视以来，一些国际安全厂商逐步提出了一些新的检测技术并用于产品中，并且取得了良好的效果，这些检测技术主要有两种。

虚拟执行分析检测：通过在虚拟机上执行检测对抗，基于运行行为来判定攻击。这种检测技术原理和主动防御类似，但由于不影响用户使用，可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外，可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。

内容无签名算法检测：针对内容深度分析发现可疑特征，再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究，并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本，降低虚拟执行分析检测的性能压力，同时虚拟执行分析检测容易被对抗，而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。

国内某公司总结了近年来对APT攻击特点的研究和检测实践，提出了建立新一代安全检测体系的设想。

3.2.1基于攻击生命周期的纵深检测体系

从攻击者发起的攻击生命周期角度，可以建立一个纵深检测体系，覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过，也可以在后续的点进行补充，让攻击者很难整体逃逸检测。

信息收集环节的检测：攻击者在这个环节，会进行扫描、钓鱼邮件等类型的刺探活动，这些刺探活动的信息传递到受害者网络环境中，因此可以去识别这类的行为来发现攻击准备。

入侵实施环节的检测：攻击者在这个环节，会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中，因此可以去识别这类的行为和载体来发现攻击发起。

木马植入环节：攻击者在这个环节，会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。

控制窃取与渗透环节：攻击者在这个环节，会收集敏感信息，传递敏感信息出去，与控制服务器通讯，在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。

3.2.2基于信息来源的多覆盖检测

从攻击者可能采用的攻击路径的角度，可以建立一个覆盖广泛的检测体系，覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过，同时增加信息的来源度进行检测。

从攻击载体角度覆盖：攻击者发起攻击的内容载体主要包括：数据文件、可执行文件、URL、HTML、数据报文等，主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。

双向流量覆盖：攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节，则包含了双向的流量。对内部到外部的流量的检测，可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。

从攻击类型角度覆盖：覆盖主要的可以到达企业内容的攻击类型，包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。

从信息来源角度覆盖：主要覆盖网络流来收集流量，但是考虑到加密流量、移动介质带入的攻击等方式，还需要补充客户端检测机制。同时为了发现更多的可疑点，针对主机的日志挖掘，也是一个非常重要的信息补充。

3.2.3基于攻击载体的多维度检测

针对每个具体攻击载体点的检测，则需要考虑多维度的深度检测机制，保证攻击者难以逃过检测。

基于签名的检测：采用传统的签名技术，可以快速识别一些已知的威胁。

基于深度内容的检测：通过对深度内容的分析，发现可能会导致危害的内容，或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术，让攻击者很难逃逸，但是又可以有效筛选样本，降低后续其他深度分析的工作量。

基于虚拟行为的检测：通过在沙箱中，虚拟执行漏洞触发、木马执行、行为判定的检测技术，可以分析和判定相关威胁。

基于事件关联的检测：可以从网络和主机异常行为事件角度，通过分析异常事件与发现的可疑内容事件的时间关联，辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。

基于全局数据分析的检测：通过全局收集攻击样本并分析，可以获得攻击者全局资源的信息，如攻击者控制服务器、协议特征、攻击发起方式，这些信息又可以用于对攻击者的检测。

对抗处理与检测：另外需要考虑的就是，攻击者可以采用的对抗手段有哪些，被动的对抗手段（条件触发）可以通过哪些模拟环境手段仿真，主动的对抗手段（环境检测）可以通过哪些方式检测其对抗行为。

综上所述，新一代的威胁检测思想，就是由时间线（攻击的生命周期）、内容线（信息来源覆盖）、深度线（多维度检测），构成一个立体的网状检测体系，攻击者可能会饶过一个点或一个面的检测，但想全面地逃避掉检测，则非常困难。只有逐步实现了以上的检测体系，才是一个最终完备的可以应对下一代威胁（包括APT）的新一代安全检测体系。

4 结束语

结合目前我国防护特种网络攻击技术现状，针对AET和APT的防护提出三点建议。

一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项，引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发，推动我国具有自主知识产权的新一代IDS和IPS产品产业化。

二是有条件的网络安全设备厂商应建设网络攻防实验室，搭建仿真实验环境，对网络IDS/IPS进行高级隐遁技术和APT的攻防测试，收集此类攻击的案例，积累检测和防御此类攻击的方法和经验。

三是在业界成立“防御特种网络攻击”学术联盟，定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。

[注1] APT（Advanced Persistent Threat）直译为高级持续性威胁。这种威胁的特点：一是具有极强的隐蔽能力和很强的针对性；二是一种长期而复杂的威胁方式。它通常使用特种攻击技术（包括高级隐遁技术）对目标进行长期的、不定期的探测（攻击）。

[注2] AET（Advanced Evasion Techniques），有的文章译为高级逃避技术、高级逃逸技术，笔者认为译为高级隐遁技术比较贴切，即说明采用这种技术的攻击不留痕迹，又可躲避IDS、IPS的检测和阻拦。

参考文献

[1] 关于防御高级逃逸技术攻击的专题报告.

[2] Mark Boltz、Mika Jalava、Jack Walsh（ICSA实验室）Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .

[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术（北京）有限公司.

[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.

[5] 张帅.APT攻击那些事.金山网络企业安全事业部.

[6] 徐金伟，徐圣凡.我国信息安全产业现状调研报告.2012.5.

[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.

[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.

[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.