網(wǎng)絡(luò)安全方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全方案范文

網(wǎng)絡(luò)系統(tǒng)嚴(yán)格遵循層次化、模塊化、扁平化的設(shè)計(jì)思想，整體采用核心、接入的二層交換架構(gòu)，支持IPv6，大大提高網(wǎng)絡(luò)通訊的效率和整體網(wǎng)絡(luò)的數(shù)據(jù)交換性能。網(wǎng)絡(luò)主體分為4個(gè)部分，分別為:(1)網(wǎng)絡(luò)核心部分:高速數(shù)據(jù)交換、高可靠、靈活網(wǎng)絡(luò)互連能力，數(shù)據(jù)交換無(wú)瓶頸。(2)網(wǎng)絡(luò)內(nèi)網(wǎng)接入部分:提供用戶(hù)快速的網(wǎng)絡(luò)訪(fǎng)問(wèn)能力。(3)服務(wù)器部分:為服務(wù)器提供高速連接、快速訪(fǎng)問(wèn)、負(fù)載均衡等高級(jí)應(yīng)用能力。(4)外網(wǎng)區(qū)域部分:提供高速的、安全的外網(wǎng)(intnet)接入能力，為外網(wǎng)提供網(wǎng)絡(luò)服務(wù)。(5)網(wǎng)絡(luò)安全部分:提供全方位網(wǎng)絡(luò)安全，保證網(wǎng)絡(luò)的安全性。(6)網(wǎng)絡(luò)管理部分:通過(guò)方便化、直觀化、統(tǒng)一化的網(wǎng)絡(luò)設(shè)備管理方式。

2.網(wǎng)絡(luò)防火墻系統(tǒng)設(shè)計(jì)方案

網(wǎng)絡(luò)安全是按照網(wǎng)絡(luò)協(xié)議(TCP/IP協(xié)議)的2－7層來(lái)進(jìn)行劃分的，要想保證網(wǎng)絡(luò)的安全，就一定保證網(wǎng)絡(luò)協(xié)議的2至7層每一層的安全。而防火墻負(fù)責(zé)的是網(wǎng)絡(luò)協(xié)議2至4層的網(wǎng)絡(luò)安全。以下為防火墻可以實(shí)現(xiàn)的功能:第一，網(wǎng)絡(luò)隔離。將網(wǎng)絡(luò)分割為不同的網(wǎng)絡(luò)區(qū)域，進(jìn)而控制不同區(qū)域之間的數(shù)據(jù)交流，作用于網(wǎng)絡(luò)協(xié)議的2－4層，把可能出現(xiàn)的安全風(fēng)險(xiǎn)分別局限于相對(duì)獨(dú)立的網(wǎng)絡(luò)區(qū)域內(nèi)，使風(fēng)險(xiǎn)不至于大規(guī)模擴(kuò)散。第二，網(wǎng)絡(luò)協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端，沒(méi)有考慮到足夠的安全特性，因此，給網(wǎng)絡(luò)用戶(hù)帶來(lái)了諸如IP地址竊取、IP地址假冒等非常大的安全隱患，而防火墻可以彌補(bǔ)TCP/IP協(xié)議本身的漏洞，能夠有效地檢測(cè)和防范對(duì)2至4層的攻擊行為。第三，流量管理。首先為了保證關(guān)鍵用戶(hù)和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，防火墻可以提供靈活的流量管理能力，同時(shí)要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，還可以對(duì)4至7層的常見(jiàn)網(wǎng)絡(luò)協(xié)議提供某些控制和過(guò)濾的能力，例如，可以支持EMAIL的過(guò)濾能力。第四，用戶(hù)管理。學(xué)校檔案系統(tǒng)內(nèi)部用戶(hù)接入外網(wǎng)Internet，在不影響正常業(yè)務(wù)需要的情況下，控制用戶(hù)對(duì)外網(wǎng)的應(yīng)用行為。例如，控制上網(wǎng)時(shí)間，不可訪(fǎng)問(wèn)網(wǎng)站，禁用一些軟件的網(wǎng)絡(luò)端口等等。

3.網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計(jì)方案

防火墻只針對(duì)網(wǎng)絡(luò)安全2至4層，難以防御對(duì)網(wǎng)絡(luò)協(xié)議4至7層的網(wǎng)絡(luò)威脅，不可能識(shí)別出偽裝成正常業(yè)務(wù)的蠕蟲(chóng)、攻擊、間諜軟件等的非法數(shù)據(jù)流，缺乏對(duì)經(jīng)過(guò)自身的數(shù)據(jù)流進(jìn)行全面、深度監(jiān)測(cè)的能力。入侵防御系統(tǒng)(IPS)就是專(zhuān)門(mén)針對(duì)網(wǎng)絡(luò)協(xié)議的4至7層對(duì)數(shù)據(jù)流進(jìn)行分析并實(shí)時(shí)采用防御措施的系統(tǒng)，與防火墻進(jìn)行安全層次的互補(bǔ)，豐富了網(wǎng)絡(luò)傳輸過(guò)程中的安全層次，對(duì)于在阻止蠕蟲(chóng)病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡(luò)中部署防火墻+IPS，可使網(wǎng)絡(luò)更加安全、健壯，更好地抵御來(lái)自外部網(wǎng)絡(luò)的威脅。

4.外網(wǎng)主網(wǎng)絡(luò)設(shè)計(jì)

為了保證檔案系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全，需要通過(guò)網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進(jìn)行“網(wǎng)絡(luò)隔離”，并進(jìn)行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù)，互聯(lián)網(wǎng)用戶(hù)及高校外網(wǎng)用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)，對(duì)數(shù)據(jù)區(qū)形成了嚴(yán)重的威脅，通過(guò)部署網(wǎng)閘，在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實(shí)現(xiàn)業(yè)務(wù)的正常訪(fǎng)問(wèn)，并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來(lái)自于《遼寧醫(yī)學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版)》雜志。遼寧醫(yī)學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版)雜志簡(jiǎn)介詳見(jiàn)

5.系統(tǒng)數(shù)據(jù)的安全管理

第2篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞 網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)防御;網(wǎng)絡(luò)安全;防火墻

中圖分類(lèi)號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2010)31-0211-01

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅

一般來(lái)說(shuō),計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自以下幾個(gè)方面:

1)計(jì)算機(jī)病毒的侵襲。計(jì)算機(jī)病毒侵入網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓;

2)黑客侵襲。黑客非法進(jìn)入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng);采用匿名用戶(hù)訪(fǎng)問(wèn)進(jìn)行攻擊;通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶(hù)賬號(hào)和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;

3)拒絕服務(wù)攻擊。例如“郵件炸彈”,使用戶(hù)在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓;

4)通用網(wǎng)關(guān)接口(CGI)漏洞。搜索引擎是通過(guò)CGI腳本執(zhí)行的方式實(shí)現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲(chóng)、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡(luò)安全目標(biāo)

1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離;2)建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施,保證系統(tǒng)安全;3)對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制,使非法訪(fǎng)問(wèn)在到達(dá)主機(jī)前被拒絕;4)加強(qiáng)合法用戶(hù)的訪(fǎng)問(wèn)認(rèn)證,同時(shí)將用戶(hù)的訪(fǎng)問(wèn)權(quán)限控制在最低限度,全面監(jiān)視對(duì)公開(kāi)服務(wù)器的訪(fǎng)問(wèn),及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強(qiáng)對(duì)各種訪(fǎng)問(wèn)的審計(jì)工作,詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開(kāi)服務(wù)器的訪(fǎng)問(wèn)行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。

3 安全方案設(shè)計(jì)原則

對(duì)企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)、規(guī)劃時(shí),應(yīng)遵循以下原則:

1)綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則:對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定必要。對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟(jì)的方法。

3)一致性原則:網(wǎng)絡(luò)安全問(wèn)題貫穿整個(gè)網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過(guò)于復(fù)雜,對(duì)人的要求過(guò)高,本身就降低了安全性。

5)分步實(shí)施原則:由于網(wǎng)絡(luò)規(guī)模的擴(kuò)展及應(yīng)用的增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的,費(fèi)用支出也較大。因此可以分步實(shí)施,即可滿(mǎn)足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費(fèi)用開(kāi)支。

6)多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。因此需要建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它保護(hù)仍可保護(hù)信息安全。

4 主要防范措施

1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》建立健全各種安全機(jī)制和安全制度,加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)。

2)網(wǎng)絡(luò)病毒的防范。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時(shí)需要基于服務(wù)器操作系統(tǒng)平臺(tái)、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺(tái)的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制。利用防火墻執(zhí)行一種訪(fǎng)問(wèn)控制尺度,將不允許的用戶(hù)與數(shù)據(jù)拒之門(mén)外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪(fǎng)問(wèn)自己的網(wǎng)絡(luò),同時(shí)防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4)采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為。利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。最好采用混合入侵檢測(cè),同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),構(gòu)架成一套完整立體的主動(dòng)防御體系。

5)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)安全問(wèn)題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估顯然是不現(xiàn)實(shí)的。能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

6)IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪(fǎng)問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

7)利用網(wǎng)絡(luò)監(jiān)聽(tīng)維護(hù)子網(wǎng)系統(tǒng)安全。對(duì)于網(wǎng)絡(luò)外部的入侵可以通過(guò)安裝防火墻來(lái)解決,但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無(wú)能為力。在這種情況下,可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件,為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專(zhuān)用的監(jiān)聽(tīng)程序,長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況,為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。

第3篇：網(wǎng)絡(luò)安全方案范文

1電信網(wǎng)絡(luò)安全及其現(xiàn)狀

狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾個(gè)方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩?hù)提供一個(gè)整體的安全體驗(yàn)。

電信運(yùn)營(yíng)商都比較重視網(wǎng)絡(luò)安全的建設(shè)，針對(duì)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國(guó)電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年，原中國(guó)電信意識(shí)到網(wǎng)絡(luò)安全的重要性，并專(zhuān)門(mén)成立了相關(guān)的網(wǎng)絡(luò)安全管理部門(mén)，著力建立中國(guó)電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中，包括組織體系、策略體系和保障的機(jī)制，依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn)，單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此，建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺(tái)，也就是SOC平臺(tái)，形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系，以完成中國(guó)電信互聯(lián)網(wǎng)的安全保障工作。這個(gè)系統(tǒng)通過(guò)幾個(gè)模塊協(xié)同工作，來(lái)完成對(duì)網(wǎng)絡(luò)安全事件的監(jiān)控，完成對(duì)網(wǎng)絡(luò)安全工作處理過(guò)程中的支撐，還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。

然而，網(wǎng)絡(luò)安全是相對(duì)的。網(wǎng)絡(luò)開(kāi)放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等，造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開(kāi)放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中，安全問(wèn)題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看，隨著攻擊技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具的獲得越來(lái)越容易，對(duì)網(wǎng)絡(luò)發(fā)起攻擊變得容易；而運(yùn)營(yíng)商網(wǎng)絡(luò)分布越來(lái)越廣泛，這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看，業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡(luò)安全的因素。

2電信網(wǎng)絡(luò)安全面臨的形勢(shì)及問(wèn)題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來(lái)新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶(hù)信息僅在業(yè)務(wù)網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離，完全由運(yùn)營(yíng)商控制，電信用戶(hù)無(wú)法進(jìn)入。這種機(jī)制有效地避免了電信用戶(hù)非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng)，保障了網(wǎng)絡(luò)安全。IP電話(huà)引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話(huà)的實(shí)現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上，TCP/IP協(xié)議面臨的所有安全問(wèn)題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話(huà)的主叫用戶(hù)號(hào)碼不在IP包中傳送，一旦出現(xiàn)不法行為，無(wú)論是運(yùn)營(yíng)商還是執(zhí)法機(jī)關(guān)，確認(rèn)這些用戶(hù)的身份需要費(fèi)一番周折，加大了打擊難度。

2.2新技術(shù)、新業(yè)務(wù)的引入，給電信網(wǎng)的安全保障帶來(lái)不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營(yíng)商帶來(lái)的好處是顯而易見(jiàn)的，但從網(wǎng)絡(luò)安全方面看，如果采取的措施不當(dāng)，NGN的引入可能會(huì)增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外，3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入，都有可能給電信網(wǎng)的安全帶來(lái)不確定因素。特別是隨著寬帶接入的普及，用戶(hù)向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng)，每一個(gè)用戶(hù)都有能力對(duì)網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡(luò)群，其拒絕服務(wù)攻擊的破壞力將可能十分巨大。

2.3運(yùn)營(yíng)商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合，網(wǎng)絡(luò)出現(xiàn)重大事故時(shí)難以迅速恢復(fù)

目前，我國(guó)電信領(lǐng)域基本形成了有效的競(jìng)爭(zhēng)格局。但由于改革的配套措施還不盡完備，電信市場(chǎng)多運(yùn)營(yíng)商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡(luò)安全帶來(lái)了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面，原來(lái)由行業(yè)主管部門(mén)對(duì)電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)，現(xiàn)在由各運(yùn)營(yíng)企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè)，行業(yè)主管部門(mén)在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問(wèn)題，不同運(yùn)營(yíng)商之間的網(wǎng)絡(luò)能否互相支援配合就存在問(wèn)題。

2.4相關(guān)法規(guī)尚不完善，落實(shí)保障措施缺乏力度

當(dāng)前我國(guó)《電信法》還沒(méi)有出臺(tái)，《信息安全法》還處于研究過(guò)程中，與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運(yùn)營(yíng)企業(yè)安全保障建設(shè)方面，也缺乏法律依據(jù)。運(yùn)營(yíng)企業(yè)為了在競(jìng)爭(zhēng)中占據(jù)有利地位，更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開(kāi)發(fā)、市場(chǎng)份額和投資回報(bào)，把經(jīng)濟(jì)效益放在首位，網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對(duì)滯后。

3電信網(wǎng)絡(luò)安全防護(hù)的對(duì)策思考

強(qiáng)化電信網(wǎng)絡(luò)安全，應(yīng)做到主動(dòng)防護(hù)與被動(dòng)監(jiān)控、全面防護(hù)與重點(diǎn)防護(hù)相結(jié)合，著重考慮以下幾方面。

3.1發(fā)散性的技術(shù)方案設(shè)計(jì)思路

在采用電信行業(yè)安全解決方案時(shí)，首先需要對(duì)關(guān)鍵資源進(jìn)行定位，然后以關(guān)鍵資源為基點(diǎn)，按照發(fā)散性的思路進(jìn)行安全分析和保護(hù)，并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個(gè)統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡(luò)層安全解決方案

網(wǎng)絡(luò)層安全要基于以下幾點(diǎn)考慮：控制不同的訪(fǎng)問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪(fǎng)問(wèn)；劃分并隔離不同安全域；防止內(nèi)部訪(fǎng)問(wèn)者對(duì)無(wú)權(quán)訪(fǎng)問(wèn)區(qū)域的訪(fǎng)問(wèn)和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時(shí)，應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合，在系統(tǒng)中建立一個(gè)完善的安全體系，包括企業(yè)級(jí)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控、入侵檢測(cè)和防御，系統(tǒng)訪(fǎng)問(wèn)控制，網(wǎng)絡(luò)入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強(qiáng)系統(tǒng)的總體可控性。

3.3網(wǎng)絡(luò)層方案配置

在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺(tái)專(zhuān)用的安全工作站安裝入侵檢測(cè)產(chǎn)品，將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個(gè)網(wǎng)卡并分別連接到多個(gè)子網(wǎng)的入侵檢測(cè)工作站進(jìn)行相應(yīng)的監(jiān)測(cè)。

3.4主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)配置方案

由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu)，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個(gè)充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計(jì)算機(jī)網(wǎng)絡(luò)，它面臨的安全性威脅來(lái)自于方方面面。每一個(gè)需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范，并在中央安全管理平臺(tái)上部署中央管理控制臺(tái)，對(duì)全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。

第4篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案

中圖分類(lèi)號(hào)：TN711文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，自由的、開(kāi)放的、國(guó)際化的Internet給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了前所未有的變革，使得企事業(yè)單位能夠利用Internet提高辦事效率和市場(chǎng)反應(yīng)能力，進(jìn)而提高競(jìng)爭(zhēng)力。另外，網(wǎng)絡(luò)安全問(wèn)題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多，凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇上，與會(huì)者首次觸及了互聯(lián)網(wǎng)安全問(wèn)題，表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問(wèn)題。由于因特網(wǎng)所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，網(wǎng)絡(luò)安全隱患也越來(lái)越大，如何針對(duì)企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)出先進(jìn)的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品，以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是擺在計(jì)算機(jī)工作者面前的巨大課題。

一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過(guò)Internet獲取重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開(kāi)放性帶來(lái)的數(shù)據(jù)安全問(wèn)題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示：2009年，被調(diào)查的企業(yè)有49%發(fā)生過(guò)網(wǎng)絡(luò)信息安全事件。在發(fā)生過(guò)安全事件的企業(yè)中，83%的企業(yè)感染了計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序，36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描，拒絕服務(wù)攻擊和網(wǎng)頁(yè)篡改等安全危機(jī)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的攻擊，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項(xiàng)重要工作。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進(jìn)、隱蔽性強(qiáng)、傳播速度快、破壞力強(qiáng)等特點(diǎn)。這主要表現(xiàn)在： 1.網(wǎng)絡(luò)安全所面臨的是一個(gè)國(guó)際化的挑戰(zhàn)，網(wǎng)絡(luò)的攻擊不僅僅來(lái)自本地網(wǎng)絡(luò)的用戶(hù)，而是可以來(lái)自Internet上的任何一個(gè)終端機(jī)器。2.由于網(wǎng)絡(luò)技術(shù)是全開(kāi)放的，任何一個(gè)團(tuán)體組織或者個(gè)人都可能獲得，開(kāi)放性的網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的，例如：對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，對(duì)物理傳輸線(xiàn)路的攻擊，對(duì)硬件的攻擊，也可以是對(duì)軟件的攻擊等等。3.用戶(hù)可以自由地使用和各種類(lèi)型的信息，自由地訪(fǎng)問(wèn)網(wǎng)絡(luò)服務(wù)器，因?yàn)榫W(wǎng)絡(luò)最初對(duì)用戶(hù)的使用并沒(méi)有提供任何的技術(shù)約束。

二、企業(yè)網(wǎng)絡(luò)安全解決方案

（一）物理隔離方案。其基本原理為：從物理上來(lái)隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征，如：沒(méi)有連接、沒(méi)有命令、沒(méi)有協(xié)議、沒(méi)有TCP/IP連接，沒(méi)有應(yīng)用連接、沒(méi)有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對(duì)固態(tài)介質(zhì)只有讀和寫(xiě)兩個(gè)命令。其結(jié)果是無(wú)法攻擊、無(wú)法入侵、無(wú)法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。

（二）網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個(gè)很重要的部分，網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件，管理并控制著計(jì)算機(jī)軟硬件資源，并在用戶(hù)與計(jì)算之間擔(dān)任著重要的橋梁作用。一般對(duì)其采用下列設(shè)置保障其基本安全

1.關(guān)閉不必要的服務(wù)。2.制定嚴(yán)格的賬戶(hù)策略。3.科學(xué)的分配用戶(hù)賬戶(hù)權(quán)限。4.科學(xué)的安全配置和分析。 （三）入侵檢測(cè)解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中，大部分企業(yè)都部署了防火墻對(duì)企業(yè)進(jìn)行保護(hù)。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點(diǎn)。如果操作系統(tǒng)由于自身的漏洞也有可能帶來(lái)較大的安全風(fēng)險(xiǎn)。根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際應(yīng)用情況，對(duì)網(wǎng)絡(luò)環(huán)境安全狀況進(jìn)行詳細(xì)的分析研究認(rèn)為，對(duì)外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點(diǎn)的監(jiān)控和防護(hù)。在這一區(qū)域部署入侵檢測(cè)系統(tǒng)，這樣可以充分發(fā)揮IDS的優(yōu)勢(shì)，形成防火墻后的第二道防線(xiàn)，如果充分利用IDS與防火墻的互動(dòng)功能優(yōu)勢(shì)，則可以大大提升動(dòng)態(tài)防護(hù)的效果。

（四）安全管理解決方案。信息系統(tǒng)安全管理機(jī)構(gòu)是負(fù)責(zé)信息安全日常事務(wù)工作的，應(yīng)按照國(guó)家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標(biāo)，結(jié)合自身信息系統(tǒng)的安全需求建立安全實(shí)施細(xì)則，并負(fù)責(zé)貫徹實(shí)施。 單位安全網(wǎng)（即內(nèi)網(wǎng)）系統(tǒng)安全管理機(jī)構(gòu)主要實(shí)現(xiàn)以下職能：

1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。

2.確定信息安全各崗位人員的職責(zé)和權(quán)限，實(shí)行相互授權(quán)、相互牽連，建立崗位責(zé)任制。

3.審議并通過(guò)安全規(guī)劃，年度安全報(bào)告，有關(guān)安全的宣傳、教育、培訓(xùn)計(jì)劃。

第5篇：網(wǎng)絡(luò)安全方案范文

【關(guān)鍵詞】：調(diào)度數(shù)據(jù)網(wǎng)；網(wǎng)絡(luò)安全；分析

中圖分類(lèi)號(hào)： TN919.25 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

國(guó)家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)，簡(jiǎn)稱(chēng)為調(diào)度數(shù)據(jù)網(wǎng)，是我國(guó)電力調(diào)度專(zhuān)用的數(shù)據(jù)網(wǎng)絡(luò)，是實(shí)現(xiàn)各級(jí)調(diào)度中心和調(diào)度中心和電廠(chǎng)與電站之間進(jìn)行生產(chǎn)數(shù)據(jù)傳輸和交換的重要的服務(wù)系統(tǒng)，是國(guó)家電網(wǎng)公司實(shí)行統(tǒng)一電網(wǎng)調(diào)度的重要基礎(chǔ)。

一、國(guó)家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)組織分析

目前我國(guó)的國(guó)家電網(wǎng)公司的調(diào)度數(shù)據(jù)網(wǎng)是一種單一的平面組織，從發(fā)電廠(chǎng)或者電站到調(diào)度端的信息傳輸通道為數(shù)據(jù)網(wǎng)通道和專(zhuān)線(xiàn)通道。隨著一些地區(qū)的特高壓電網(wǎng)的架設(shè)，以及智能電網(wǎng)建設(shè)的發(fā)展，傳統(tǒng)的調(diào)度數(shù)據(jù)網(wǎng)已經(jīng)不能夠滿(mǎn)足使用的需要，不能保證電網(wǎng)調(diào)度系統(tǒng)的安全運(yùn)行。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在運(yùn)行過(guò)程中具有可靠性高、實(shí)時(shí)性強(qiáng)的技術(shù)要求，所以在安全方面的要求比較高，直接關(guān)系到了電網(wǎng)的正常運(yùn)行[1]。因此需要進(jìn)一步的完善調(diào)度數(shù)據(jù)網(wǎng)的建設(shè)，對(duì)現(xiàn)有的網(wǎng)絡(luò)資料實(shí)行不斷的升級(jí)優(yōu)化，建設(shè)可靠、安全的智能電網(wǎng)調(diào)度系統(tǒng)。

1.調(diào)度數(shù)據(jù)網(wǎng)的傳輸現(xiàn)狀。目前我國(guó)的電力系統(tǒng)方面的傳輸方式主要有光纖、載波、微波三種方式，其中光纖通信的使用頻率遠(yuǎn)遠(yuǎn)的高于其它兩種通信方式，光纖通信具有傳輸容量大、損耗低、抗干擾能力強(qiáng)等非常優(yōu)良的特點(diǎn)，成為我國(guó)電力系統(tǒng)主要的通信方式。我國(guó)的電力系統(tǒng)通信網(wǎng)絡(luò)中已經(jīng)建設(shè)成為光纖通信為主，其它兩種通信方式為輔的格局。國(guó)家電網(wǎng)和其它的省分公司建成了密集型波分復(fù)用系統(tǒng)和SDH光傳輸雙系統(tǒng)的結(jié)構(gòu)，省級(jí)電網(wǎng)公司和其它地區(qū)基本建成了SDH光環(huán)網(wǎng)絡(luò)，基本上能夠滿(mǎn)足調(diào)度數(shù)據(jù)網(wǎng)的使用要求[2]。

2.調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)組織。已經(jīng)建成的單一平面調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)升級(jí)改造的過(guò)程中，對(duì)于電網(wǎng)的正常運(yùn)行有比較大的影響，而且選擇的調(diào)度通信網(wǎng)絡(luò)的專(zhuān)線(xiàn)傳輸方式可靠性不夠高。在的省級(jí)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中220kv變電站內(nèi)基本上只安裝了一臺(tái)路由器，在電力的調(diào)度過(guò)程中容易發(fā)生數(shù)據(jù)丟失的現(xiàn)象，影響了電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性和可靠性。在傳輸設(shè)備上以前的設(shè)備對(duì)于網(wǎng)絡(luò)的安全維護(hù)帶來(lái)了極大的困難，而且其專(zhuān)線(xiàn)方式也不能夠滿(mǎn)足日益增長(zhǎng)的業(yè)務(wù)需求，和對(duì)數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性、安全的要求。從2009開(kāi)始，國(guó)家電網(wǎng)公司開(kāi)始對(duì)原來(lái)的電網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行升級(jí)，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)組織的雙平面擴(kuò)充，通過(guò)對(duì)網(wǎng)絡(luò)組織結(jié)構(gòu)的調(diào)整，進(jìn)一步的提高調(diào)度數(shù)據(jù)網(wǎng)絡(luò)運(yùn)行的安全性和可靠性。國(guó)家電網(wǎng)的調(diào)度數(shù)據(jù)網(wǎng)具有網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)節(jié)點(diǎn)多的特點(diǎn)，所以一般采用多層、多級(jí)的結(jié)構(gòu)。我國(guó)現(xiàn)行的調(diào)度數(shù)據(jù)網(wǎng)為單一平面結(jié)構(gòu)，網(wǎng)絡(luò)包含了國(guó)家電網(wǎng)調(diào)度中心、網(wǎng)絡(luò)調(diào)度中心、省級(jí)調(diào)度中心、地區(qū)調(diào)度中心、220kv變電站和發(fā)電廠(chǎng)，采用了分層、分級(jí)的設(shè)計(jì)方案。我國(guó)的調(diào)度數(shù)據(jù)網(wǎng)主要分為骨干網(wǎng)和省級(jí)網(wǎng)兩個(gè)級(jí)別，其中骨干網(wǎng)有國(guó)家調(diào)度中心負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行和管理工作，其工作范圍包含國(guó)家電網(wǎng)公司和所有的省級(jí)調(diào)度中心、直調(diào)廠(chǎng)站等；省級(jí)網(wǎng)主要有各個(gè)省調(diào)度中心負(fù)責(zé)運(yùn)行管理，包含了其管轄地區(qū)的調(diào)度中心和220kv及以上的廠(chǎng)站。

二、電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)

智能電網(wǎng)具有技術(shù)新、交互廣、網(wǎng)絡(luò)多等一系列的特點(diǎn)，使它在運(yùn)行方面具有特殊的安全風(fēng)險(xiǎn)。同時(shí)，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中包含了各種通信網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議，使電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)變的更加的復(fù)雜，信息是傳輸過(guò)程中容易發(fā)生丟失、竊聽(tīng)、篡改等安全問(wèn)題。

1.電力的發(fā)展使調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)變的困難。由于人民生活水平的不斷提高，各種家用電器的廣泛使用，使得網(wǎng)絡(luò)中的業(yè)務(wù)服務(wù)系統(tǒng)之間，業(yè)務(wù)服務(wù)系統(tǒng)和用戶(hù)之間的交流和溝通更加的頻繁。在這種交互的過(guò)程中自然而然的產(chǎn)生了海量的數(shù)據(jù)信息，容易造成網(wǎng)絡(luò)的擁堵和波動(dòng)，業(yè)務(wù)過(guò)載的現(xiàn)象，同時(shí)也增加了用戶(hù)的個(gè)人信息存在篡改、泄露和丟失的安全風(fēng)險(xiǎn)。

2.不斷的加強(qiáng)網(wǎng)絡(luò)的安全建設(shè)。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是我國(guó)智能電網(wǎng)中重要的信息傳輸系統(tǒng)，它涵蓋了應(yīng)急、電量統(tǒng)計(jì)、調(diào)度指令等重要的信息，如果被黑客入侵，將會(huì)對(duì)電網(wǎng)的正常運(yùn)行產(chǎn)生巨大的安全威脅，影響了電網(wǎng)的正常運(yùn)行。因此需要不斷的加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)安全建設(shè)工作，提高網(wǎng)絡(luò)的安全防護(hù)性能，杜絕網(wǎng)絡(luò)被滲透或者入侵，保證電力系統(tǒng)的運(yùn)行安全和數(shù)據(jù)安全。調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和一般的通信網(wǎng)絡(luò)在結(jié)構(gòu)和系統(tǒng)上具有非常強(qiáng)的相似性，所以在安全方案的選擇和使用上也具有共同的特點(diǎn)，其中主要應(yīng)用安全防護(hù)方案有物理隔離、數(shù)據(jù)加密和驗(yàn)證、防火墻、訪(fǎng)問(wèn)控制、信息過(guò)濾、數(shù)據(jù)備份、入侵檢測(cè)、查殺木馬和病毒等，一般企業(yè)在網(wǎng)絡(luò)安全方案的選擇上比較有效的方案有防火墻、安全路由器、web安全和郵件安全。在調(diào)度數(shù)據(jù)網(wǎng)中主要使用防火墻技術(shù)和縱向加密的技術(shù)來(lái)實(shí)現(xiàn)安全防護(hù)，一般在調(diào)度中心端和廠(chǎng)站端實(shí)行縱向加密認(rèn)證措施，對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)端對(duì)端的保護(hù)；在實(shí)時(shí)業(yè)務(wù)和路由器之間也進(jìn)行縱向加密認(rèn)證措施，在非實(shí)時(shí)業(yè)務(wù)和路由器之間可以選擇硬件防火墻或者縱向加密認(rèn)證措施。通過(guò)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密認(rèn)證，防止數(shù)據(jù)在網(wǎng)絡(luò)的傳輸過(guò)程中出現(xiàn)破壞和篡改的現(xiàn)象，保證數(shù)據(jù)的安全性[4]。限制其它用戶(hù)對(duì)電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的訪(fǎng)問(wèn)權(quán)限，保證信息的安全性。同時(shí)，對(duì)于電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)上，還應(yīng)當(dāng)加強(qiáng)內(nèi)部的信息安全防護(hù)，在內(nèi)部的數(shù)據(jù)交換中常常容易發(fā)生信息安全問(wèn)題。

三、結(jié)束語(yǔ)

隨著我國(guó)電網(wǎng)結(jié)構(gòu)的升級(jí)和電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的不斷完善優(yōu)化，將使國(guó)家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)發(fā)生質(zhì)的變化，將進(jìn)一步的提高電網(wǎng)運(yùn)行的安全性和可靠性，我國(guó)的現(xiàn)代化建設(shè)提供能源保障。同時(shí)，電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)和一般的通信網(wǎng)絡(luò)在運(yùn)行結(jié)構(gòu)上具有相似性，所以加強(qiáng)和維護(hù)電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性也是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)中的重要問(wèn)題，需要認(rèn)真的對(duì)待。

【參考文獻(xiàn)】：

[1]高夏生,程俊,張先亮等.安徽電力調(diào)度數(shù)據(jù)網(wǎng)優(yōu)化設(shè)計(jì)[J].人類(lèi)工效學(xué),2012,18(3):66-70.

[2]劉麗榕,王玉東,肖智宏等.國(guó)家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)方案研究[J].電力系統(tǒng)通信,2011,32(2):18-21.

[3]吳強(qiáng).貴州電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)接入安全防護(hù)方案設(shè)計(jì)[J].廣東輸電與變電技術(shù),2010,12(3):65-66,70.

第6篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；防護(hù)；防火墻

中圖分類(lèi)號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)14-3302-02

隨著企業(yè)信息化進(jìn)程的不斷發(fā)展，網(wǎng)絡(luò)已成為提高企業(yè)生產(chǎn)效率和企業(yè)競(jìng)爭(zhēng)力的有力手段。目前，石化企業(yè)網(wǎng)絡(luò)各類(lèi)系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線(xiàn)運(yùn)行，信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式，實(shí)現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益突出，各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊層出不窮，病毒威脅無(wú)處不在。

因此，了解網(wǎng)絡(luò)安全，做好防范措施，保證系統(tǒng)安全可靠地運(yùn)行已成為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基本職能，也是企業(yè)本質(zhì)安全的重要一環(huán)。

1 石化企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務(wù)器和辦公區(qū)客戶(hù)機(jī)，通過(guò)內(nèi)部網(wǎng)相互連接，經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)處在同一網(wǎng)段或通過(guò)Vlan（虛擬網(wǎng)絡(luò)）技術(shù)把企業(yè)不同業(yè)務(wù)部門(mén)相互隔離。

2 企業(yè)網(wǎng)絡(luò)安全概述

企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，網(wǎng)絡(luò)安全系統(tǒng)所要防范的不僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪(fǎng)問(wèn)。企業(yè)網(wǎng)絡(luò)安全隱患主要如下：

1) 操作系統(tǒng)本身存在的安全問(wèn)題

2) 病毒、木馬和惡意軟件的入侵

3) 網(wǎng)絡(luò)黑客的攻擊

4) 管理及操作人員安全知識(shí)缺乏

5) 備份數(shù)據(jù)和存儲(chǔ)媒體的損壞

針對(duì)上述安全隱患，可采取安裝專(zhuān)業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理；配置好防火墻過(guò)濾策略，及時(shí)安裝系統(tǒng)安全補(bǔ)丁；在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、入侵檢測(cè)系統(tǒng)，配置網(wǎng)絡(luò)安全隔離系統(tǒng)等。

3 網(wǎng)絡(luò)安全解決方案

一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包含許多方面，主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全等。

3.1 物理安全

物理安全主要指環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪(fǎng)問(wèn)控制和應(yīng)急處置計(jì)劃等，包括機(jī)房環(huán)境安全、通信線(xiàn)路安全、設(shè)備安全、電源安全。

主要考慮：自然災(zāi)害、物理?yè)p壞和設(shè)備故障；選用合適的傳輸介質(zhì)；供電安全可靠及網(wǎng)絡(luò)防雷等。

3.2 網(wǎng)絡(luò)安全

石化企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)及Internet互連。

3.2.1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng)。是通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。

借助VLAN技術(shù)，可將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶(hù)組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。一般分為：基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術(shù)

1) 防火墻體系結(jié)構(gòu)

① 雙重宿主主機(jī)體系結(jié)構(gòu)

防火墻的雙重宿主主機(jī)體系結(jié)構(gòu)是指一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)。

② 被屏蔽主機(jī)體系結(jié)構(gòu)

被屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連，而不讓其與內(nèi)部主機(jī)相連。

③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類(lèi)型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由器。

2) 企業(yè)防火墻應(yīng)用

① 企業(yè)網(wǎng)絡(luò)體系中的三個(gè)區(qū)域

邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過(guò)路由器直接面向Internet，通過(guò)防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。

網(wǎng)絡(luò)。即DMZ，將用戶(hù)連接到Web服務(wù)器或其他服務(wù)器，Web服務(wù)器通過(guò)內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。

內(nèi)部網(wǎng)絡(luò)。連接各個(gè)內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶(hù)。

② 防火墻及其功能

在企業(yè)網(wǎng)絡(luò)中，常常有兩個(gè)不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務(wù)相似，但側(cè)重點(diǎn)不同，防火墻主要提供對(duì)不受信任的外部用戶(hù)的限制，而內(nèi)部防火墻主要防止外部用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶(hù)非授權(quán)的操作。

在以上3個(gè)區(qū)域中，雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級(jí)別不同，對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般禁止所有來(lái)自Internet用戶(hù)的訪(fǎng)問(wèn)；而企業(yè)DMZ區(qū)，限制則沒(méi)有那么嚴(yán)格。

3.2.3 VPN技術(shù)

VPN(Virtual Private Network)虛擬專(zhuān)用網(wǎng)絡(luò)，一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的連接方式。位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間就好像架設(shè)了一條專(zhuān)線(xiàn)，但它并不需要真正地去鋪設(shè)光纜之類(lèi)的物理線(xiàn)路。

企業(yè)用戶(hù)采用VPN技術(shù)來(lái)構(gòu)建其跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，與Internet進(jìn)行隔離，控制內(nèi)網(wǎng)與Internet的相互訪(fǎng)問(wèn)。VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪(fǎng)問(wèn)內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪(fǎng)問(wèn)。

3.3 應(yīng)用系統(tǒng)安全

企業(yè)應(yīng)用系統(tǒng)安全包括兩方面。一方面涉及用戶(hù)進(jìn)入系統(tǒng)的身份鑒別與控制，對(duì)安全相關(guān)操作進(jìn)行審核等。另一方面涉及各種數(shù)據(jù)庫(kù)系統(tǒng)、Web、FTP服務(wù)、E-MAIL等

病毒防護(hù)是企業(yè)應(yīng)用系統(tǒng)安全的重要組成部分，企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)全方位地布置企業(yè)防毒產(chǎn)品。

在網(wǎng)絡(luò)骨干接入處，安裝防毒墻，對(duì)主要網(wǎng)絡(luò)協(xié)議（SMTP、FTP、HTTP）進(jìn)行殺毒處理；在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，各用戶(hù)安裝網(wǎng)絡(luò)版殺毒軟件客戶(hù)端；對(duì)郵件系統(tǒng)，可采取安裝專(zhuān)用郵件殺毒產(chǎn)品。

4 結(jié)束語(yǔ)

該文從網(wǎng)絡(luò)安全及其建設(shè)原則進(jìn)行了論述，對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)的解決方案進(jìn)行了探討和總結(jié)。石化企業(yè)日新月異，網(wǎng)絡(luò)安全管理任重道遠(yuǎn)，網(wǎng)絡(luò)安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，確保網(wǎng)絡(luò)安全運(yùn)行勢(shì)在必行。

參考文獻(xiàn)：

[1] 王達(dá). 路由器配置與管理完全手冊(cè)――H3C篇[M]. 武漢:華中科技大學(xué)出版社,2010．

[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M]. 北京:清華大學(xué)出版社,2007．

第7篇：網(wǎng)絡(luò)安全方案范文

隨著計(jì)算機(jī)信息技術(shù)的高速發(fā)展，人們工作、生活越來(lái)越離不開(kāi)網(wǎng)絡(luò)，網(wǎng)絡(luò)是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡(luò)的普及不但提高了人們的工作效率，微信等通訊工具使人們通訊和交流變得越來(lái)越簡(jiǎn)單，各種云端存儲(chǔ)使海量信息儲(chǔ)存成為現(xiàn)實(shí)。

2石油行業(yè)信息網(wǎng)絡(luò)安全管理存在的安全隱患

無(wú)論是反病毒還是反入侵，或者對(duì)其他安全威脅的防范，其目的主要都是保護(hù)數(shù)據(jù)的安全———避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無(wú)意識(shí)泄密、違反制度的泄密、主動(dòng)泄密等行為。

2.1外部非法接入。

包括客戶(hù)、訪(fǎng)客、合作商、合作伙伴等在不經(jīng)過(guò)部門(mén)信息中心允許情況下與油田公司網(wǎng)絡(luò)的連接，而這些電腦在很多時(shí)候是游離于企業(yè)安全體系的有效管理之外的。

2.2局域網(wǎng)病毒、惡意軟件的泛濫。

公司內(nèi)部員工對(duì)電腦的了解甚少，沒(méi)有良好的防范意識(shí)，造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

2.3資產(chǎn)管理失控。

網(wǎng)絡(luò)用戶(hù)存在不確定性，每個(gè)資產(chǎn)硬件配件（cpu、硬盤(pán)、內(nèi)存等）隨意拆卸組裝，隨意更換計(jì)算機(jī)系統(tǒng)，應(yīng)用軟件安裝混亂，外設(shè)（U盤(pán)、移動(dòng)硬盤(pán)等）無(wú)節(jié)制使用。

2.4網(wǎng)絡(luò)資源濫用。

IP未經(jīng)允許被占用，違規(guī)使用，瘋狂下載電影占用網(wǎng)絡(luò)帶寬和流量，上班時(shí)間聊天、游戲等行為，影響網(wǎng)絡(luò)的穩(wěn)定，降低了運(yùn)行效率。

3常用技術(shù)防范措施與應(yīng)用缺陷

3.1防火墻技術(shù)。

目前，防火墻技術(shù)已經(jīng)成為網(wǎng)絡(luò)中必不可少的環(huán)節(jié)，通過(guò)防火墻技術(shù)，實(shí)現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離，使用有效的安全設(shè)置一定程度上保障了企業(yè)局域網(wǎng)的安全。

3.2計(jì)算機(jī)病毒防護(hù)技術(shù)。

即通過(guò)建立SYMANTEC網(wǎng)絡(luò)防病毒軟件系統(tǒng)，為企業(yè)內(nèi)部員工提供有效的桌面安全防護(hù)技術(shù)手段，提高了計(jì)算機(jī)終端防病毒與查殺病毒的能力。

3.3入侵檢測(cè)系統(tǒng)。

入侵檢測(cè)幫助辦公計(jì)算機(jī)系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。從網(wǎng)絡(luò)中的各個(gè)關(guān)鍵點(diǎn)收集和分析信息，確認(rèn)網(wǎng)絡(luò)中是否存在違反安全策略的行為和遭到網(wǎng)絡(luò)攻擊的可疑跡象。

3.4應(yīng)用網(wǎng)絡(luò)分析器檢測(cè)網(wǎng)絡(luò)運(yùn)行狀況。

部署如Sniffer等掃描工具，通過(guò)其對(duì)網(wǎng)絡(luò)中某臺(tái)主機(jī)或整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測(cè)、分析、診斷、將網(wǎng)絡(luò)中的故障、安全、性能問(wèn)題形象地展現(xiàn)出來(lái)。為監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況等提供了有效的管理手段。

3.5交換機(jī)安全管理配置策略。

綜合評(píng)估石油企業(yè)網(wǎng)絡(luò)，在節(jié)點(diǎn)設(shè)備部署上以可控設(shè)備為主，通常的可控設(shè)備都具備遵循標(biāo)準(zhǔn)協(xié)議的網(wǎng)絡(luò)安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪(fǎng)問(wèn)控制、QOS等。通過(guò)一系列的安全策略，有效提高了對(duì)企業(yè)網(wǎng)絡(luò)的管理。

3.6部署內(nèi)網(wǎng)安全管理系統(tǒng)。

目前，企業(yè)局域網(wǎng)的安全威脅70%來(lái)自于內(nèi)部員工的計(jì)算機(jī)。針對(duì)計(jì)算機(jī)終端桌面存在的問(wèn)題，目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)終端的強(qiáng)制性管理方法。后臺(tái)管理中心采取B/S結(jié)構(gòu)，實(shí)現(xiàn)與管理終端交互式管控。

4多種技術(shù)措施聯(lián)動(dòng)，保障網(wǎng)絡(luò)與信息安全

4.1網(wǎng)絡(luò)邊界管理

①防火墻。通過(guò)包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)允許或阻隔訪(fǎng)問(wèn)與被訪(fǎng)問(wèn)的對(duì)象，對(duì)通過(guò)內(nèi)容進(jìn)行過(guò)濾以保護(hù)用戶(hù)有效合法獲取網(wǎng)絡(luò)信息；通過(guò)防火墻上的NAT技術(shù)實(shí)現(xiàn)內(nèi)外地址動(dòng)態(tài)轉(zhuǎn)換，使需要保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測(cè)系統(tǒng)。入侵檢測(cè)作為防火墻的合理補(bǔ)充，幫助辦公計(jì)算機(jī)系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊，提高了系統(tǒng)安全管理員的管理能力，保持了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。③防病毒系統(tǒng)。應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系；在網(wǎng)絡(luò)中心或匯聚中心選擇部署諸如Symantec等防病毒服務(wù)器，按照分級(jí)方式，實(shí)行服務(wù)器到終端機(jī)強(qiáng)制管理方式，實(shí)現(xiàn)逐級(jí)升級(jí)病毒定義文件，制定定期病毒庫(kù)升級(jí)與掃描策略，提高計(jì)算機(jī)終端防病毒與查殺病毒的能力。

4.2安全桌面管理。

桌面安全管理產(chǎn)品能夠解決網(wǎng)絡(luò)安全管理工作中遇到的常見(jiàn)問(wèn)題。在網(wǎng)絡(luò)安全管理中提高了對(duì)計(jì)算機(jī)終端的控制能力，企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補(bǔ)丁分發(fā)、數(shù)據(jù)查詢(xún)、終端管理、運(yùn)維監(jiān)控、報(bào)表管理、報(bào)警管理、級(jí)聯(lián)總控、系統(tǒng)維護(hù)等。

4.3網(wǎng)絡(luò)信息管理。

對(duì)于網(wǎng)絡(luò)信息要按等級(jí)采取相應(yīng)必要的隔離手段：①建立專(zhuān)網(wǎng)，達(dá)到專(zhuān)網(wǎng)專(zhuān)用；②信息通過(guò)技術(shù)手段進(jìn)行加密管理；③信息與互聯(lián)網(wǎng)隔離。

4.4網(wǎng)絡(luò)安全管理防范體系。

根據(jù)防范網(wǎng)絡(luò)安全攻擊的需求、對(duì)應(yīng)安全機(jī)制需要的安全服務(wù)等因素以及需要達(dá)到的安全目標(biāo)，參照“系統(tǒng)安全工程能力成熟模型”和信息安全管理標(biāo)準(zhǔn)等國(guó)際標(biāo)準(zhǔn)。

5結(jié)束語(yǔ)

第8篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞：全局安全；校園網(wǎng)；安全體系

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)31-0000-0c

An Design Proposal of Campus Network Based on Global Security

HUANG Xin1,2, ZHAO Zhi-gang1

(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)

Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.

Key words: global security; campus network; security structure

高校校園網(wǎng)作為高校信息化的重要基礎(chǔ)，承擔(dān)著學(xué)校教學(xué)、科研、管理和社會(huì)服務(wù)等重要角色，給教師和學(xué)生的工作、學(xué)習(xí)、生活帶來(lái)了很多便利。但當(dāng)今校園網(wǎng)面臨著嚴(yán)峻的威脅網(wǎng)絡(luò)安全問(wèn)題，目前面對(duì)威脅，應(yīng)對(duì)問(wèn)題的主要技術(shù)有身份認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。這些技術(shù)都只是針對(duì)局部威脅的安全措施，無(wú)法保障校園網(wǎng)的整體安全。因此，新的校園網(wǎng)安全思路，注重從“局部防御”到“整體防范”的轉(zhuǎn)變，將安全理念融合到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中，依靠多種安全組件聯(lián)動(dòng)，實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全，即全局安全解決方案。

1 農(nóng)職院網(wǎng)絡(luò)安全現(xiàn)狀

廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)始建于2002年，通過(guò)100M鏈路CERNET、30M電信鏈路接入Internet，己形成覆蓋教學(xué)、科研、辦公、宿舍等區(qū)域的所有建筑物，“千兆主干、百兆到桌面”的網(wǎng)絡(luò)帶寬格局。計(jì)算機(jī)網(wǎng)絡(luò)自身的開(kāi)放性、互聯(lián)性和共享性，使之不可避免地會(huì)受到病毒、黑客、木馬等安全威脅和攻擊，校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡(luò)癱瘓的情形常有發(fā)生。其原因主要如下：

① 缺乏有效的身份管理系統(tǒng)

校園網(wǎng)缺少用戶(hù)身份認(rèn)證機(jī)制，外來(lái)用戶(hù)、非法用戶(hù)隨意接入；缺少可控的身份集中認(rèn)證系統(tǒng)，對(duì)用戶(hù)進(jìn)行管理難度大；用戶(hù)賬號(hào)存在被盜用的風(fēng)險(xiǎn)，安全審計(jì)無(wú)法有效進(jìn)行，在實(shí)際發(fā)生問(wèn)題后不能夠迅速定位及取證分析。

② 無(wú)法保證用戶(hù)終端合法性

Windows系列系統(tǒng)存在致命漏洞，系統(tǒng)補(bǔ)丁沒(méi)有及時(shí)更新；沒(méi)有按要求安裝殺毒軟件，安裝后從來(lái)不升級(jí)或者從來(lái)不主動(dòng)查殺；隨意下載違禁軟件，不規(guī)范使用網(wǎng)絡(luò)；上述問(wèn)題造成了病毒和攻擊在校園網(wǎng)內(nèi)泛濫，嚴(yán)重影響正常應(yīng)用。

③ 網(wǎng)絡(luò)安全無(wú)法有效控制

校園網(wǎng)內(nèi)部分用戶(hù)出于對(duì)網(wǎng)絡(luò)的好奇，經(jīng)常會(huì)用學(xué)習(xí)到的各種方法，非法攻擊校園網(wǎng)絡(luò)核心設(shè)備及應(yīng)用系統(tǒng)，嚴(yán)重影響校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行和校園管理秩序。目前互聯(lián)網(wǎng)上相關(guān)的黑客工具種類(lèi)繁多、功能豐富、設(shè)置簡(jiǎn)單、使用方便、破壞力大，給這類(lèi)學(xué)生提供了攻擊的便利。

2 全局安全校園網(wǎng)絡(luò)的設(shè)計(jì)

校園網(wǎng)全局安全理念，由銳捷網(wǎng)絡(luò)公司于2005年提出，即GSN（ Global Security Network），由安全交換機(jī)、安全管理平臺(tái)、安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成，能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng)，使每個(gè)設(shè)備都發(fā)揮安全防護(hù)作用的新型網(wǎng)絡(luò)安全模式。具體構(gòu)架如圖1所示，其由三個(gè)層面、五個(gè)部分組成。

hx01.tif

圖1 全局安全網(wǎng)絡(luò)

校園網(wǎng)全局安全方案通過(guò)將校園網(wǎng)用戶(hù)入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成起來(lái)，從而對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件防范目的。其工作原理如下：

1) 用戶(hù)使用網(wǎng)絡(luò)之前，首先由接入的交換機(jī)+SAM對(duì)其進(jìn)行身份認(rèn)證。

2) SAM檢查用戶(hù)身份，批準(zhǔn)或拒絕用戶(hù)的接入請(qǐng)求。

3) SAM學(xué)習(xí)用戶(hù)的身份、主機(jī)環(huán)境等信息，并將制定好的策略發(fā)送多SU客戶(hù)端。

4) SU對(duì)用戶(hù)主機(jī)進(jìn)行健康性檢查，并將檢查結(jié)果反饋回SMP服務(wù)器。

5) IDS對(duì)網(wǎng)絡(luò)安全事件進(jìn)行檢測(cè)收集，將安全事件報(bào)告給SEP（安全事件解析器），并由SEP反饋至SMP。

6) SMP對(duì)IDS反饋的安全事件進(jìn)行統(tǒng)一管理，將安全事件關(guān)聯(lián)至用戶(hù)。

7) SMP對(duì)每個(gè)用戶(hù)的健康性檢測(cè)結(jié)果和安全事件進(jìn)行處理，生成相應(yīng)的策略，并下發(fā)至交換機(jī)執(zhí)行。

3 全局安全網(wǎng)絡(luò)在我院的部署

根據(jù)校園網(wǎng)全局安全設(shè)計(jì)方案，可把服務(wù)器部署在校園網(wǎng)的服務(wù)器群中，而IDS的傳感器則可根據(jù)需要部署在核心或者匯聚層上，越靠近邊緣則效果越好，而安全智能交換機(jī)則要部署在接入層，保障客戶(hù)的安全。構(gòu)建好的廣西農(nóng)職院部署的典型拓?fù)淙鐖D2所示。

hx02.tif

圖2 典型的全局安全校園網(wǎng)部署拓?fù)鋱D

3.1 身份認(rèn)證系統(tǒng)的部署

作為全局安全的身份基礎(chǔ)平臺(tái)，SAM系統(tǒng)實(shí)現(xiàn)了廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院全體學(xué)生宿舍、教師宿舍、辦公和公共機(jī)房身份認(rèn)證。該系統(tǒng)基于802.lx技術(shù)，實(shí)現(xiàn)了對(duì)用戶(hù)的身份和IP、MAC、交換機(jī)端口、交換機(jī)IP等信息嚴(yán)格綁定。 SAM系統(tǒng)提供的完善的計(jì)費(fèi)運(yùn)營(yíng)功能，為校園網(wǎng)運(yùn)營(yíng)提供了足夠的數(shù)據(jù)支撐。通過(guò)該系統(tǒng)的部署，有效的防止了IP地址盜用，極大的減輕了校園網(wǎng)管理的運(yùn)營(yíng)負(fù)擔(dān)，并為全局網(wǎng)絡(luò)安全提供了基礎(chǔ)身份平臺(tái)。如圖3。

其次，SAM提供了完善的自助服務(wù)系統(tǒng)，包括快捷注冊(cè)，個(gè)人信息、密碼進(jìn)行修改，上網(wǎng)明細(xì)、交費(fèi)記錄、余額查詢(xún)，在線(xiàn)充值、注銷(xiāo)用戶(hù)等功能。不但方便了終端用戶(hù)繳費(fèi)，同時(shí)也極大地減輕管理者的管理和收費(fèi)工作負(fù)擔(dān)，有效緩解學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。而入網(wǎng)身份驗(yàn)證的多元素綁定，也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生，用戶(hù)漫游功能，實(shí)現(xiàn)了用戶(hù)在不同地區(qū)認(rèn)證上網(wǎng)的需求。

hx03.tif

圖3 身份認(rèn)證

3.2 安全管理平臺(tái)的部署

第9篇：網(wǎng)絡(luò)安全方案范文

關(guān)鍵詞:跨區(qū)IP專(zhuān)用網(wǎng)絡(luò);網(wǎng)絡(luò)安全防范;網(wǎng)絡(luò)安全防范方案

中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 09-0000-01

Cross-IP Specific Network Security System

Zheng Haoyu

(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)

Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.

Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.

And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.

Keywords:Cross-IP private network;Network security;Network security program

跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)是內(nèi)部管理及對(duì)外交流的重要平臺(tái)。但在進(jìn)行信息資源共享的同時(shí),跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)系統(tǒng)卻也處于被病毒攻擊侵害的威脅,隨時(shí)都可能出現(xiàn)信息丟失、數(shù)據(jù)損壞、系統(tǒng)癱瘓的局面。所以,我們要對(duì)跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)的安全的框架體系、安全防范的層次結(jié)構(gòu)進(jìn)行細(xì)致的分析研究,合理的設(shè)計(jì)設(shè)置,提高跨區(qū)網(wǎng)絡(luò)安全防范水平,減少系統(tǒng)與數(shù)據(jù)的安全風(fēng)險(xiǎn)。

一、跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)安全存在的問(wèn)題

(一)網(wǎng)絡(luò)缺陷

IP專(zhuān)用網(wǎng)絡(luò)不可或缺的TCP/IP協(xié)議,沒(méi)有相應(yīng)的安全保障機(jī)制,而且最初設(shè)計(jì)因特網(wǎng)時(shí)考慮的是局部故障不會(huì)影響信息的傳輸,幾乎沒(méi)有意識(shí)到安全問(wèn)題。因此,在安全可靠性及服務(wù)質(zhì)量等方面它存在不適應(yīng)性。

(二)系統(tǒng)漏洞

網(wǎng)絡(luò)系統(tǒng)安全性取決于網(wǎng)絡(luò)各主機(jī)系統(tǒng)的安全性,而各主機(jī)系統(tǒng)的安全性又是由操作系統(tǒng)的安全性所決定的。這也是網(wǎng)絡(luò)容易被人為破壞的不安全因素。

(三)病毒傳播

大多數(shù)病毒具有傳播快,擴(kuò)散廣,難以防范,難于清除徹底等特點(diǎn)。令人防不勝防。

(四)黑客入侵

黑客借助挖掘邏輯漏洞,采用欺騙手段進(jìn)行信息搜集,尋找薄弱環(huán)節(jié)和介入機(jī)會(huì),迅速竊取到網(wǎng)絡(luò)用戶(hù)的身份信息,進(jìn)而實(shí)施對(duì)整個(gè)網(wǎng)絡(luò)的入侵和攻擊,致使內(nèi)部信息被盜,甚至機(jī)密泄露。

二、跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)安全防范體系設(shè)計(jì)思路

安全服務(wù)、系統(tǒng)單元、結(jié)構(gòu)層次的分項(xiàng)交叉的三維立體的框架結(jié)構(gòu)設(shè)計(jì),能使網(wǎng)絡(luò)安全防范體系更具備科學(xué)性和可行性。

(一)體系框架設(shè)計(jì)思路

框架結(jié)構(gòu)中每個(gè)系統(tǒng)單元都要與某個(gè)協(xié)議層次相對(duì)應(yīng),并采取多種安全服務(wù)以保證其系統(tǒng)單元的安全性;網(wǎng)絡(luò)平臺(tái)要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證和訪(fǎng)問(wèn)控制;應(yīng)用平臺(tái)要有針對(duì)用戶(hù)的認(rèn)證和訪(fǎng)問(wèn)控制;數(shù)據(jù)傳輸要保證完整性和保密性;應(yīng)用系統(tǒng)要保證可用性和可靠性;要有抗抵賴(lài)及審計(jì)功能。這樣一個(gè)在各個(gè)系統(tǒng)單元都有對(duì)應(yīng)的安全措施滿(mǎn)足其安全需求的信息網(wǎng)絡(luò)系統(tǒng),應(yīng)該是安全的。

(二)體系層次設(shè)計(jì)思路

作為整體的、全方位的網(wǎng)絡(luò)安全防范體系,不僅要對(duì)橫向系統(tǒng)單元進(jìn)行防范設(shè)計(jì),還需對(duì)其縱向進(jìn)行分層次考量。針對(duì)不同層次所反映的不同安全問(wèn)題,根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀情況及網(wǎng)絡(luò)結(jié)構(gòu),可將安全防范體系的層次劃分為物理環(huán)境的安全性、操作系統(tǒng)的安全性、網(wǎng)絡(luò)的安全性、應(yīng)用的安全性、管理的安全性等。

三、構(gòu)建跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)安全防范體系方案

(一)安全組件

1.路由器:通過(guò)在路由器上安裝必要的過(guò)濾,濾掉被屏蔽的IP地址與服務(wù)協(xié)議,并屏蔽存在安全隱患的協(xié)議。

2.入侵監(jiān)測(cè)系統(tǒng):監(jiān)測(cè)網(wǎng)絡(luò)上的所有包,捕捉有惡意或危險(xiǎn)的目標(biāo),及時(shí)發(fā)出警告。

3.防火墻:可以防止“黑客”入侵網(wǎng)絡(luò)防御體系,限制外部用戶(hù)進(jìn)入內(nèi)部網(wǎng),并過(guò)濾掉可能危及網(wǎng)絡(luò)的不安全服務(wù),拒絕非法用戶(hù)進(jìn)入。

4.物理隔離與信息交換系統(tǒng):具有比防火墻和入侵檢測(cè)技術(shù)更強(qiáng)的安全性能。對(duì)內(nèi)部網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)實(shí)行物理隔斷,阻止各種已知與未知網(wǎng)絡(luò)層及操作系統(tǒng)層的攻擊。

5.交換機(jī):利用訪(fǎng)問(wèn)控制列表,實(shí)現(xiàn)用戶(hù)以不同要求進(jìn)行的對(duì)數(shù)據(jù)包源和目的地址和協(xié)議以及源和目的端口各項(xiàng)的篩選與過(guò)濾。

6.應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持:實(shí)行在輸入級(jí)、對(duì)話(huà)路徑級(jí)與事務(wù)處理三級(jí)無(wú)漏洞。使集成的系統(tǒng)具有良好恢復(fù)能力,避免系統(tǒng)因受攻擊而癱瘓、數(shù)據(jù)被破壞或丟失。

(二)安全設(shè)計(jì)

可有效利用和發(fā)揮系統(tǒng)平臺(tái)自身的安全環(huán)節(jié),保證系統(tǒng)及數(shù)據(jù)庫(kù)的使用安全。

1.身份標(biāo)識(shí)和鑒別:計(jì)算機(jī)初始時(shí),系統(tǒng)首先會(huì)對(duì)用戶(hù)標(biāo)識(shí)的身份及提供的證明依據(jù)進(jìn)行鑒別。

2.訪(fǎng)問(wèn)控制:分“自主訪(fǎng)問(wèn)控制”與“強(qiáng)制訪(fǎng)問(wèn)控制”兩種。“自主訪(fǎng)問(wèn)控制”Unix及Windows NT操作系統(tǒng)都使用DAC。“強(qiáng)制訪(fǎng)問(wèn)控制”能防范特洛伊木馬,阻止用戶(hù)濫用權(quán)限,具備更高的安全性。

3.審計(jì):安全系統(tǒng)使用審計(jì)把包括主題與對(duì)象標(biāo)識(shí)、日期和時(shí)間、訪(fǎng)問(wèn)權(quán)限請(qǐng)求、參考請(qǐng)求結(jié)果等活動(dòng)信息記錄下來(lái)。

(三)安全機(jī)制

采用有針對(duì)性的技術(shù),提高系統(tǒng)的安全可控性,以建立高度安全的信息系統(tǒng)。

1.安全審核:通過(guò)完善系統(tǒng)基本安全設(shè)計(jì),包括安全機(jī)制的實(shí)現(xiàn)和使用,增強(qiáng)了系統(tǒng)安全性,如設(shè)置網(wǎng)絡(luò)掃描器,對(duì)系統(tǒng)運(yùn)行周期性安全問(wèn)題進(jìn)行統(tǒng)計(jì)分析,研判針對(duì)性方案節(jié)省防護(hù)投入提高使用功效。

2.信息加密:增設(shè)可信系統(tǒng)內(nèi)部加密存儲(chǔ)、跨越不可信系統(tǒng)在可信系統(tǒng)間傳輸受控信息等機(jī)制。考慮建設(shè)環(huán)境和經(jīng)費(fèi)預(yù)算控制,結(jié)合使用自建CA與第三方CA對(duì)專(zhuān)用網(wǎng)絡(luò)通道進(jìn)行加密認(rèn)證,常應(yīng)用信息加密技術(shù)和基于加密與通道技術(shù)上的VPN系統(tǒng)。

3.災(zāi)難恢復(fù):對(duì)重要數(shù)據(jù)定期進(jìn)行備份,保證重要數(shù)據(jù)在系統(tǒng)出現(xiàn)故障時(shí)仍能準(zhǔn)確無(wú)誤。

四、結(jié)束語(yǔ)

保證跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)安全,需要在采用相應(yīng)的技術(shù)措施的基礎(chǔ)上,加強(qiáng)網(wǎng)絡(luò)安全管理;制定相關(guān)的規(guī)章制度、使用規(guī)程以及應(yīng)急措施,在提高工作人員的業(yè)務(wù)能力的同時(shí),增強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)、保密觀念與責(zé)任心,使網(wǎng)絡(luò)安全防范體系有效發(fā)揮作用;引入安全風(fēng)險(xiǎn)評(píng)估體系,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和檢查,對(duì)內(nèi)外部環(huán)境變化產(chǎn)生的新安全問(wèn)題進(jìn)行快速評(píng)估以改進(jìn)完善安全設(shè)計(jì)方案,建立專(zhuān)用網(wǎng)絡(luò)安全的長(zhǎng)效機(jī)制。

參考文獻(xiàn):

[1]賈金嶺.構(gòu)建跨區(qū)IP專(zhuān)用網(wǎng)絡(luò)安全防范體系的探討[J].網(wǎng)絡(luò)與信息.2010,5

[2]徐濤.網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原則分析[J].電腦知識(shí)與技術(shù),2009,9