网络安全建设的背景模板(10篇)

导言：作为写作爱好者，不可错过为您精心挑选的10篇网络安全建设的背景，它们将为您的写作提供全新的视角，我们衷心期待您的阅读，并希望这些内容能为您提供灵感和参考。

篇1

中图分类号:TP393.18文献标识码:A文章编号:1007-9599 (2010) 11-0000-01

The Network Security Problem Analysis Under the Informatization Construction

Li Xiang,Bai Jiantao

(North China Engineering Investigation Institute Limited Company,Shijiazhuang050000,China)

Abstract:This paper discusses the perspective of network security in the importance of information technology as well as the major challenges facing,finally the path proposed to solve the problem.

Keywords:Network security;Informatization;Challenge

网络与信息安全不仅关系到信息化的健康发展,而且关系到国家的政治安全、经济安全、国防安全和社会稳定。随着信息化在社会、经济、军事等领域作用的日益增强,信息安全对经济发展、国家安全和社会稳定的影响也日益突出。

一、网络安全在信息化建设中的重要性

人类在享受网络、信息所带来的文明的同时,也受到了网络信息不安全的困扰甚至威胁。不论从硬件、软件及系统本身,还是从管理角度来看,都还不同程度地存在着各种安全隐患,因重大故障而引发系统停机、业务停顿的现象也曾有发生;被黑客攻击,病毒传染致使系统瘫痪,数据丢失也不乏其例。这些事实都告诉我们在大力发展信息化的同时,必须十分重视并妥善解决好网络与信息安全问题。

二、网络安全在信息化建设中面临的挑战

(一)物理层面的挑战

信息化建设网络安全的物理性危害主要来自静电、雷击、自然灾害以及生物活动等方面,在这里笔者主要讨论最常见的静电威胁。由于种种原因而产生的静电,是发生最频繁,最难消除的危害之一。静电不仅会对计算机运行出现随机故障,而且还会导致某些元器件,如CMOS、MOS电路,双级性电路等的击穿和毁坏。此外,还会影响操作人员和维护人员的正常的工作和身心健康。计算机在国民经济各个领域,诸如气象预测预报、航空管理、铁路运输、邮电业务、微波通信、证券营运、财政金融、人造卫星、导弹发射等方面的应用日益普及和深入,这些领域都是与国民经济息息相关的,一旦计算机系统在运行中发生故障,特别是重大的故障会给国民经济带来巨大的损失,造成的政治影响更不容忽视。

(二)技术层面的挑战

网络安全技术层面的挑战最常见的是网络病毒的传播和黑客的入侵。具体到网络病毒方面来讲,在网络环境下,病毒可以按指数增长模式进行传染。病毒一旦侵入计算机网络,会导致计算机效率急剧下降、系统资源遭到严重破坏,并在短时间内造成网络系统的瘫痪。因此网络环境下的病毒防治也是计算机反病毒领域的研究重点。其传播的方式很多。

黑客入侵者,相对于网络病毒来讲更具破坏力,因为入侵者的行为都具有恶意。入侵者是指那些强行闯入远端系统或者以某种恶意的目的破坏远端系统完整性的人。他们利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了达到自己的目的而制造一些麻烦。黑客进行攻击,最直接、最明显的目的就是窃取信息。黑客可不只是为了逛庙会,他们选定的攻击目标往往有许多重要的信息与数据,他们窃取了这些信息与数据之后,进行各种犯罪活动。政府、军事、邮电和金融网络是他们攻击的主要目标。随着计算机网络在政府、军事、金融、医疗卫生、交通、电力等各个领域发挥的作用越来越大,黑客的各种破坏活动也随之猖獗。

三、解决的对策

(一)加强措施预防静电危害

1.要铺设防静电地板。在建设和管理计算机房时,分析静电对计算机的影响,研究其故障特性,找出产生静电的根源,制定减少以至消除静电的措施,始终是一个重要课题。其中,铺设防静电地板是主要措施之一。2.拆装检修机器时带上防静电手环。工作人员在拆装和检修机器时,为防止静电和人体在交流电场里的感应电位对计算机的影响,应当在手腕上带上防静电手环,该手环通过柔软的导线良好接地。无关人员应当限制进入现场,以避免静电危害的发生。3.尽量不穿着会引起静电的衣物。机房工作人员的衣服鞋袜不要使用化纤或塑料等容易摩擦产生静电的材料的制成品。如果你穿着了容易产生静电的大衣,应当在隔离区之外把它脱下来。尤其要引起注意的是有时会有一些领导或来宾到机房参观,一般以在隔离区外通过大玻璃窗观看比较安全,因为你很难限制他们的着装。

(二)加强安全系统维护,防止病毒传播

1.保护计算机系统不受来自于任何方面病毒的危害。这里所说的“任何方面”,一方面指计算机的本地资源,比如传统的磁盘介质等,另一方面指相对于“本地”而言的“远程”网络资源,比如用户使用的互联网等;2.对计算机系统提供的保护应该着眼于整个系统并且是双向的,也就是说病毒实时检测和清除系统还应该能对本地系统内的病毒进行“过滤”,防止它向网络或传统的存储介质扩散。这就更加要求病毒实时检测和清除系统具有很好的实时性――在病毒入侵系统并实施感染行为之前,就将其彻底地“过滤”。

(三)ps、w和who这些命令可以报告每一个用户使用的终端

如果黑客是从一个终端访问系统,这种情况不太好,因为这需要事先与电话公司联系。使用who和netstat可以发现入侵者从哪个主机上过来,然后可以使用finger命令来查看哪些用户登录进远程系统。最后,修复安全漏洞并恢复系统,不给黑客留有可乘之机。除以上措施外,选择合适的IDS,也尤为重要。

四、结束语

我们必须采取有效措施,切实保障网络与信息安全。要把采取技术手段与加强日常管理和健全体制紧密结合起来,加快国家信息和网络安全保障体系建设。有效防范各种对信息网络的攻击,保障网络与信息内容的安全,促进国家信息化顺利发展。

篇2

财政，作为一个国家、一个地区的核心工作之一。财政安全就是国家最高层次、地区最高层次的安全问题，而财政安全又关乎到国计民生、国家命脉，所以就需要做好财政系统网络信息安全建设，才能够满足财政系统整体的要求。

1财政系统网络信息安全面临的问题

基于财政系统网络信息安全建设分析，其主要面临的问题在于：（1）计算机系统本身漏洞计算机系统本身是通过人类的不断研究开发与更新才能够实现的，但是不能够将所有的问题都考虑进去，这样也使得系统漏洞的存在是无法避免的。存在漏洞，就代表会给黑客留下入侵的机会。在当前的大数据时代背景下，财政系统的数据被大量的收集与使用，这也给黑客更多的入侵机会，一旦成功，财政系统数据就会毫无保留地被黑客获取，这样就会面临大数据信息泄漏的危机，这样也会让财政系统的信息安全得不到保障[1]。（2）信息传输中面临的隐患在信息的实际传输环节，财政系统信息安全还会受到信息损耗、被窃取等威胁。为了避免通信传输之中出现信息篡改和窃取的问题，就需要懂得利用IDS监控、VPN加密等安全手段，这样才可以确保网络传输协议之中网络层的安全性，通过系统安全对应的加固，才能够避免财政系统传输过程之中出现信息安全方面的隐患。（3）数据多样化，影响网络信息安全管理在当前的大数据环境中，数据使用相对广泛，这样会影响数据的有效控制。庞大的数据量，使得财政系统的信息越来越多，这样无疑就会增大管理难度，并且数据传播途径也会变得多样化，使得数据传输也越来越快速，最终就有可能会脱离有效的控制范围，常规化的管理就无法满足多样化的数据要求，最终就会影响系统网络信息的安全性。

2加强财政系统网络信息安全建设的有效途径

基于财政系统网络信息安全建设可能面临的难点汇总之中，首先，我们就需要找准网络信息安全建设的目标，这样才能够提出财政系统网络信息安全建设的有效途径，最终推动财政系统的可持续发展要求。

2.1网络信息安全建设的目标

通过财政系统网络信息安全建设，就可以实现用户行为规范化的管理，能够实现安全管理制度的有效完善，并且也可以将临时用户和内部用户的行为直接限定在可控的范围之中，这样就可以落实制度，让网络信息安全的理念真正深入人心；保证财政系统的正常运行，需要完善的网络应急机制和保障预案的支持，在面临突发网络安全事件的时候，财政系统的服务不会出现中断，单位能够实现资金的正常运转；积极抵御非法入侵，做好网络之中可疑行为的严密监控；保证财政系统网络信息数据的安全，确保数据本身的完整性，实现对各种信息数据丢失风险的有效抵御，在安全事件发生之后，能够及时的进行恢复[2]。

2.2财政系统网络信息安全建设的有效途径

篇3

1前言

随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践，制造业工业控制系统的应用越来越多，随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉，工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路，系统阐述了工业信息安全的发展背景及重要性，以网络安全法和工业基础设施的相关法规和要求等为依据，并结合传统工业控制系统的现状，从技术设计和管理系统建设两个方面来构建工控系统网络安全。

2工业信息安全概述

2.1工控网络的特点

工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统，也可以说工业控制系统是控制技术（Control）、计算机技术（Computer）、通信技术（Communication）、图形显示技术（CRT）和网络技术（Network）相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全，涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域，其中超过60%的涉及国计民生的关键基础设施（如公路、轨道交通等）都依靠工控系统来实现自动化作业。

2.2国内外工业安全典型事件

众所周知，工业控制系统是国家工业基础设施的重要组成部分，近年来由于网络技术的快速发展，使得工控系统正逐渐成为网络战的重点攻击目标，不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。（1）美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染，导致美国东部海岸的列车信号灯系统瞬间宕机，部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的，而这种病毒常被用来定向攻击基础（能源）设施，比如国家电网、水坝、核电站等。（2）乌克兰电网攻击事件2015年，乌克兰的首都和西部地区电网突发停电，调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站，在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。（3）旧金山轻轨系统遭勒索病毒攻击事件2016年，黑客攻击美国旧金山轻轨系统，造成上千台服务器和工作站感染勒索病毒，数据全部被加密，售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件，主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站，例如在轨道交通行业里的典型系统：综合监控系统、通信系统和信号系统等，其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出，攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的，随着网络攻击事件的频发和各种复杂病毒的出现，让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。

2.3工控安全参考标准、规范

作为国家基础设施的工业控制系统，正面临着来自网络攻击等的威胁，为此针对工控网络安全，我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器（PLC）第1部分：系统要求》等多项国家标准[2]。同年，工信部印发《工业控制系统信息安全防护指南》，该标准以当前我国工业控制系统面临的安全问题为出发点，分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月，《网络安全法》开始实施，网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求，促进了我国工业控制系统网络安全的发展。

3工业控制系统网络安全分析

轨道交通信号系统（CBTC）是基于通信技术的列车控制系统，该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBTC安全建设存在以下问题：（1）网络边界无隔离随着CBTC的集成度越来越高，各个子系统之间的联系和数据通信也越来越密切，根据地域一般划分为控制中心、车站、车辆段和停车场，根据业务又划分为ATO、ATS、CI、DCS等多个子系统，各区域之间没有做好访问控制措施，缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的，不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的，还有一些安全系统和非安全系统之间也都没有做隔离。（2）网络异常查不到针对CBTC系统的网络入侵行为一般隐蔽性很强，没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段，等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录，不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。（3）工作站、服务器无防护CBTC系统工作站、服务器的大部分采用Windows系列的操作系统，还有一部分Linux系列的操作系统，系统建设之初基本不会对工作站和服务器的操作系统进行升级，操作系统在使用过程中不断暴露漏洞，而系统漏洞又无法得到及时的修复，这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务，没有加强系统的密码策略。除此之外，运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件，也可能会开启操作系统的远程功能，上线后也不会关闭此功能，这些操作都会使得系统配置简单，更容易受到攻击。目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件，无法对USB等外接设备的接入行为进行管控，随意使用移动存储介质的现象非常普遍，这种行为极易将病毒、木马等威胁带入到生产系统中。（4）运维管理不完善单位内安全组织机构人员职责不完善，缺乏专业的人员。没有针对信号系统成立专门的安全管理部门，未明确相关业务部门的安全职责和职员的技能要求，也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施，当第三方运维人员进行设备维护时，业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为，一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。目前CBTC系统的网络采用物理隔离，基本可以保证正常生产经营。但是管理网接入工控系统网络后，工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁，而且由于与管理网的数据安全交互必须在工控网络边界实现，因此做好边界保护尤为重要。

4工业控制系统网络安全防护体系

工控系统信息化建设必须符合国家有关规定，从安全层面来看要符合国家级防护的相关要求，全面规划设计网络安全保障体系，使得工控体系符合相关安全标准，确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系，通过管理和技术实现主被动安全相结合，有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案，从技术角度来识别系统的安全风险，依据系统架构来设计安全加固措施，同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系，来确保整体业务系统的安全有效运行。

4.1边界访问控制

考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素，我们将轨道交通信号系统业务网络划分为多个子安全域，根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等，将工控网络划分成不同的安全防护区域，所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理，使得只有获得授权的用户才能对现场设备进行数据更新、参数设定，在控制设备及监控设备上运行程序、标识相应的数据集合等操作，防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为，常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用，及时发现网络中各种设备和应用的安全漏洞，提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒，如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理，通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计，主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计，审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。

4.3建立统一监测管理平台

根据等级保护制度要求规定，重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心，通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理，平台可以呈现CBTC系统中各类设备间的访问关系，形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单，从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值，触发告警并记录，对各类报警和日志信息进行关联分析和预警通报。

4.4编制网络安全管理制度

设立安全专属职能的管理部门和领导者及管理成员的岗位，制定总体安全方针，指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实，必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度，而且制度要经过上层组织机构评审和正式，保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作，对人员的专业能力、背景及任职资格进行审核和考察，人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范，编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度，在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设，制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求，对于机房等办公区域的人员进出、设备进出进行记录和控制，建立资产管理制度规范系统资质的管理与使用行为，保存相关的资产清单，对各种软硬件资产做好定期维护，对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理，针对发现的安全问题采取相关的应对措施，形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议，协议中应明确外包工作范围和具体职责。

5结束语

由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势，近年来我国将网络安全建设提升到了国家安全战略的高度，并且制定了相关的标准、政策、技术、程序等来积极应对安全风险，业务主管部门还应进一步强化网络安全意识，开展网络安全评估，制定网络安全策略，提高工控网络安全水平，确保业务的安全稳定运行。

参考文献：

[1]石勇，刘巍伟，刘博.工业控制系统（ICS）的安全研究[J].网络安全技术与应用，2008（4）.

篇4

(讯)网络空间在2015年新颁布的《国家安全法》中被正式确定为国家第五疆域，与传统的海、陆、空、天并驾齐驱，网络安全建设上升至战略高度。“十三五”期间，网络安全建设已确定性成为政府投入重点，并将在未来五年步入建设高峰期。在信息安全投入现状较低的情况下，未来千亿增量空间正逐步被打开。目前，国家对于信息安全建设工作的意愿和目标明确，自2014年起可以看到，政府的支持政策就连续不断出台，政策力度逐步递升。2016年，在顶层设计的逐步完成后，“十三五”期间信息安全有望在政府监督和指导下，正式步入建设项目实施兑现期。当下，我国的信息安全投入仅占IT总投入的1-3%，远低于发达国家8%-12%的水平，按10%的平均水平匡算，我国信息安全市场已具备千亿市场空间等待挖掘。

未来随着信息安全建设周期的开始，在政府相关支持政策的持续高压下(短期《网络安全法》值得期待)，各行业领域对信息安全的需求释放，使得信息安全行业整体增速上升到一个新的台阶，从原来的15%-20%提升为20%-30%，成为行业新业态。在此过程中，党政军方面的需求将成为增速的主引擎。根据CCID预计，未来三年我国信息安全市场将保持25%左右的高速增长，2019年信息安全市场规模将达到约合396亿元。而在信息安全行业快速发展的过程中，由于军政领域国家涉密信息最多，对信息安全的保护等级始终最高，我们认为该领域将成为拉动信息安全需求增长的主力军。与此同时，考虑到当前国家意志在需求拉动中的关键作用，以及《网络安全法》等法律细则尚未出台，企业级客户合规需求尚未启动的背景下，党政军方面需求有望率先快速增长(预计未来两到三年党政军细分领域需求增速将超过行业平均增速，达到30%-40%)，成为拉动我国信息安全行业步入高速增长周期的第一级驱动力。

细分市场上我们认为，随着信息窃取数量快速增长，经济代价加大，信息安全防护需求等级将逐渐提升，高端的信息加密细分市场将迎来春天。随着政府、军队、金融和能源等关键领域数据泄露次数爆发式增加，信息安全需求等级逐渐提升，普通的网络防护已不再能满足高安全等级的要求，能够对数据源头进行加密的产品在这些重点领域需求快速提升。预计密码产品整体市场增速未来三年有望保持30%-40%超越行业平均增速的高水平状态。信息行业整体上，我们则认为行业将呈现集中度逐步提升的状态，综合厂商竞争优势将会越来越明显。目前，由于所面临的网络攻击方式多样，企业对于全方位的信息安全防护需求明显。而出于对企业成本及自身数据保密性的考虑，能提供完整软硬件解决方案的综合厂商将更能获得合作的机会。因此，我们认为目前国内正处于不断完善自身产业链的龙头型企业未来将会更具竞争力，在品牌、研发、技术、产品、客户上获得更大优势并进一步拉开与后面企业的差距，占领更多市场份额。

在传统安全应用领域之外，云计算、移动互联网等新应用领域的兴起带来了对安全的新需求，这些蓝海市场未来前景广阔，空间巨大，未来将成为企业争夺的新焦点。目前，云计算已成为IT领域未来的必然趋势，我国云服务也正快速增长。但云服务产生的数据所有权和管理权的分离使得安全疑虑成为其大规模商用的最大桎梏。凭借安全需求在云计算中的特殊地位，未来云安全有望跟随云计算实现快速发展。据计世资讯预测，2017年中国云计算市场规模将突破800亿大关，复合增速达80%以上。而我国的云安全市场2017预计将达到41亿美元的市场规模。移动安全领域，由于手机在移动办公、移动支付、物联网中逐渐起到的控制终端作用，承载信息价值量快速提升，安全需求随之扩大形成新兴的蓝海市场。目前根据细分市场规模测算，移动端信息安全市场容量已达27亿，并将以每年30%的速度增长，成为安全企业争夺的新焦点。

投资策略：首先，信息安全将在“十三五”期间快速迈入建设高峰期，信息安全市场千亿市场空间有待挖掘。其次，随着信息安全建设周期开启，行业整体增速有望提升至20%~30%。党政军方面的需求将增长最快，成为拉动我国信息安全行业的主引擎。再次，细分市场上高端信息加密产品将随着信息安全需求等级的提升，迎来结构性机会。整体行业则有望集中度提升，综合厂商竞争优势将逐渐明显。最后，云计算、移动互联网领域对安全的新需求，有望为信息安全行业带来广阔新市场。因此，我们建议从以下四个路径把握投资机会，尽享“十三五”期间信息安全行业即将带来的饕餮盛宴：重点推荐启明星辰、立思辰、优炫软件。(来源：中泰证券 文/李振亚 编选：中国电子商务研究中心）

篇5

所谓大数据即是指需要新处理模式才能具有更强决策力、洞察力和流程优化能力的海量、高增长率和多样化的信息资产，其核心价值在于巨量资料中对有意义数据的专业化处理，代表着一个新时代最明显的特征。基于大数据的计算机网络安全环境触涉到的内容极其复杂，客户端、服务端等多元化系统集成，在为用户提供便捷的同时，亦带来了更加严峻的计算机网络安全问题。具体而言，基于大数据的计算机网络安全建设是一项复杂的系统工程，除了必要的日常维护管理之外，还需紧密关注计算机网络安全环境的动态变化，继而针对性地采取有效预防措施。但事实上，多数计算机网络管理员的安全意识匮乏，相关工作细化不足，导致数据信息泄露甚至被破坏，带来了不可估量的损失。同时，信息技术的高速发展亦加大了黑客攻击、病毒传播等风险，其高度的隐蔽性不易识别。另外，在计算机网络的使用过程中，账号密码及权限设置的缺失，造成了较为严重的安全风险，损害了用户权益。

2基于大数据的计算机网络安全构建策略

2.1强化主动意识

思想意识是行为实践的基础，对计算机网络安全体系建构至关重要，决定了此项工程实效。对此，应针对对象主体的差异化采取有效举措，主要包括管理员和用户。在具体的践行过程中，应依托互联网传播的便捷性、广泛性，加大对用户安全意识的宣传，提示网络安全风险，规范上网行为，禁止不良信息流通，尤其是对部分高技术用户而言，普及国家相关法律法规，严禁做违法犯罪的事情，净化网络环境，提高用户安全体验。同时，进一步强化网络管理员的主动安全意识，制定完善的工作制度流程，严格控制不同权限账号的知悉范围，要求紧密关注行业发展动态，及时更新计算机安全防护软件和杀毒软件等，针对计算机操作系统中存在的安全漏洞予以修复，不断提高防火墙的防火等级，确保安全的网络应用环境。对此，相关单位应加强内部培训教育工作，及时更新管理员学识构成，深度解析大数据环境下计算机网络安全因素，协同商定科学的防护方案，分享有效实践经验，提高他们的综合服务水平。

2.2完善管理机制

时至今日，计算机网络应用越发普范，改变了人们的生产生活方式，并为之带来了前所未有的服务体验，成为了当下社会创新发展的基础着力点，但基于大数据影响，其运行环境越发复杂多变，用户面临着越发严峻的安全问题。对此，英、美等发达国家已将个人数据保护纳入到宪法规制范畴，事实上对维护计算机网络安全发挥了重要作用。相比之下，我国的相关法制建设尚不健全，是基于大数据的计算机网络安全建设重点。建议国家立法部门结合实际情况，出台系列保护个人信息安全的法规制度，明确各种以数据信息为目标的违法性行为，严厉打击破坏、盗取他人计算机网络信息数据的行为，予以恰当的处罚，发挥强有力的威慑作用。在高成本的违法犯罪面前，人们的自我约束性将得到明显提升。同时，以政府为引导，加强企业、高校以及专家团队的进一步合作，给予必要的政策支持，并建立一个健全的管理体系，明确其彼此间的合作关系，保护好各方合法利益，从而产生强大的聚合力，最大限度地降低网络攻击危害。

2.3导入先进科技

知识经济时代，科技创新是社会发展的恒动力，更是解决计算机网络安全问题的利剑。近年来，基于大数据的计算机网络安全研究有了很多新的进展，并取得了显著成果，如云库、人工智能等，不仅有效降低了计算机网络安全威胁，还减少了相应的人力、物力等成本消耗。例如，基于大数据分析技术应用的计算机网络安全保障得到了大幅提升。在计算机网络的具体应用实践中，系统会伴有大量日志产生，针对此类数据的分析可依托大数据分析技术进行，实现统计、挖掘等使用需求，旨在全面搜索计算机网络浏览中的病毒攻击痕迹，继而做出有效防御方案。事实上，中国移动基于大数据技术现已成功建立了诈骗电话拦截系统-天盾，有效维护了用户信息安全。因此，应加大对计算机网络安全与大数据创新技术的导入，组织相关人员认真学习，激发更多创新思维。值得客观指出的是，在面对越发复杂的计算机网络应用环境下，单一的防护及管理技术已难满足需求，应在充分发挥各种技术优势的上促进融合。

3结语

总而言之，基于大数据的计算机网络安全建设十分重要和必要，其面临着越来越多的挑战，同时其作为一项系统化工程，需要从技术、管理等多个方面入手，结合实际情况，不断完善管理机制，及时导入先进技术。作者希望学术界大家持续关注此课题研究，结合实际情况，针对性地提出更多基于大数据的计算机网络安全发展建议，为用户带来更加便捷、安全的服务体验。

参考文献

篇6

1.1 运行环境的安全威胁

互联网和计算机等设备都是高精度的电子设备，他们在运行过程中对温度、供电的稳定性以及电磁干扰等都提出了要求，但是这几点要求我国多数高校图书馆都没有达到要求，也没有在机房建设过程中考虑到这些因素。由于外在因素的不齐全也就给高校图书馆的服务器、计算机设备的安全和稳定等带来了一定的安全隐患。此外，高校数字化图书馆在建设过程中还需要考虑到自然环境给图书馆网络信息安全可能产生了影响，例如，地震、火灾、雷电等一些不可控制因素，都可能伤害到高校图书馆的信息安全，所以需要高校在建设数字化图书馆时做好这方面的工作，最大程度的降低给高校图书馆带来的伤害。

1.2 硬件环境的安全威胁

强大的服务器、交换机以及计算机是高校图书馆网络建设的必备设备，只有这三者齐全了才能更好为高校广大师生提供便利和优质服务，确保高校图书馆网络应用的顺利进行，首先要做到的就是确保高校图书馆服务器的稳定。当前高校图书馆内部始终的操作系统如，Windows， Linux等，这些系统本身存在一定漏洞，这些漏洞的存在就给外界攻击高校图书馆服务器提供了便利，要确保高校图书馆为广大师生提供服务工作，高校图书馆网络的TCP/IP协议都选取系统默认的设置，为更多用户的接入提供了较大的便利，但却给高校图书馆内部服务器的安全形成了巨大的威胁和伤害。

1.3 软件环境安全威胁

高校数字化图书馆的建立本身需要较多数量的软件应用，而现阶段较多的病毒都是潜在于众多应用软件中，一旦用户进行软件的下载，在整个软件安装过程中很容易将病毒传入到图书馆服务器内，给高校图书馆程度的运行造成威胁，特别是在图书馆和互联网相接入的状况下，存在互联网内部隐藏的、植入和寄生的病毒很容易感染高校图书馆，造成高校图书馆的整体瘫痪。

1.4 网络系统安全威胁

高校图书馆网络本身是与互联网相结合的，这也给黑客攻击高校图书馆提供了较大的便利，这些黑客可以直接利用网络中存在的漏洞，进行口令破译、漏洞扫描以及欺骗等多种方式进入高校网络图书馆的后台服务器系统中，将重要的文献资料删除，或者是进行信息的篡改和盗用等，给高校图书馆的内部资源产生严重的威胁和迫害。

1.5 网络信息安全意识薄弱

在整个高校图书馆网络信息安全建设的过程中，多数高校图书馆为了提升自身的数字化建设工作，尽快的实现高校图书馆数字化， 大量的进行电子资源的引进，并存在着“重建设，轻维护”的思想，在这种思想的引导和指挥下，造成了高校图书馆网络信息安全问题不断出现，高校图书馆管理人员对于如何保护高校图书馆信息安全，降低图书馆内信息安全隐患没有一个明确的方向，更不知道如何正确的选择和使用现有的网络安全产品，对于高校图书馆内部出现的系统不能及时解决。而且据调查了解得知，高校图书馆网络信息安全建设中存在的多项问题多数是由内部管理不得位导致的。高校图书馆在网络安全管理制度上没有全面的完善和健全，在制度的执行上更是存在很多不到位的状况，使得高校图书馆内部存在的各类管理机制和采取的安全措施都如同虚设。根本起不到任何作用，也无法确保高校图书馆网络信息的安全。事实上信息数据的完整性与否和一些更深层次的问题并没有引起高校图书馆内部网络管理人员的充分重视，这也是为高校图书馆信息网络安全建设构成威胁的一个重要原因。

3 高校图书馆的网络信息安全建设方案

结合现阶段高校图书馆网络信息面临的各种隐患，需要采用更具有科学性、专业性和高效性的方式进行工作的开展，这样能够大大降低图书馆网络信息的危险性，确保整个高校图书馆网络系统的顺利运行。

3.1 确保高校图书馆内部软硬件设备的安全

强化各网络软件硬件设备，加大硬件设备的投入工作，在软件应用时一定要购买正版软件，做好更新工作，从而弥补软件自身存在的不足和漏洞。还需要确保高校图书馆服务器、存储设备以及工作用机等硬件的稳定性，及时解决发展的问题。还有就是要提升对主机房环境的重视，做好图书馆内配电系统、空调设施和消防系统等工作，避免出现一切不可能的安全隐患。例如，中国民航飞行学院图书馆内部就是安装了烟雾感应消防系统，并将主机房的位置设在了二楼，在整体机房内安装了ups不间断电源，图书馆内部的管理人员则每天进行空调的切换以及图书馆内部设备的检查和运行状况，确保高校图书馆网络信息系统的高校运行。

3.2 做好高校图书馆网络管理人员的培养和制度的完善

好的软件系统和硬件设备需要专业的技术人员操作，才能最大程度的发挥其作用。高校图书馆网络信息安全的建设中的一项重要任务就是要做好人才的培养和控制工作，高校要让更多的图书馆网络管理人员参加专业的培训工作，甚至可以安排他们到网络信息建设较为优秀的行业去学习，从而不断提升自身的网络专业能力。此外，还需要高校建立健全有关的管理制度，成立专业的安全管理小组进行图书馆网络信息安全问题处理。同时还需要做好用户账号和权限的分级工作，尤其是系统管理员的账号和密码，需要进行特别的设定，并做到定期更改工作。更是要结合不同岗位用户的需求进行权限的设计。提升高校图书馆网络管理员的责任意识和安全意识，并严格遵照有关规定进行操作，确保高校网络信息的安全。

3.3 提高高校图书馆网络的防火墙技术

防火墙技术和杀毒软件，这两者对黑客的阻止和病毒的抵制上都发挥着巨大的作用。现阶段较为普通的网络安全防火墙只能是对网络数据的网络层进行把控和管理，但在网络用户的审核和管理上却不能发挥其重要作用，更是很难适应现阶段网络安全和管理的复杂性。所以在这种网络安全背景下，需要提升防火墙技术，采用最新的防火墙技术（NGFW），并确保其是基于网络ISO7层模式的最高层。该防火墙技术具有几点突出的特征，一是可以识别和有效控制网络应用层面的网络数据；二是可以对网络内部存在的病毒和黑客的攻击进行防范和抵制；三是能够对接入网络的人员和数据进行身份的准确识别、授权以及审计；四是也是最重要的一点就是能够对可能出现的威胁进行有效防范。所以需要高校图书馆不断提升自身的防火墙技术，采用最新的防火墙技术，这样能够避免管理系统和病毒的入侵，确保高校图书馆网络信息系统的安全。

3.4 做好高校网络信息的备份工作

篇7

1 企业计算机网络安全方案的构建意义

目前，我国大中型企业信息化建设中的关键部分就是信息安全建设，解决信息安全问题有利于企业信息化建设工作的全面推进。企业信息安全建设的最终目的是要真正做到“防患于未然”，信息安全的有效性建设能够控制企业信息化建设的总体成本，为企业节约大量资金，实现资源优化配置。企业计算机网络安全建设工作要始终坚持等级保护理念，才能促进企业信息安全建设工作的稳步实施，保证企业信息管理系统的建设符合行业标准和政策规定，全面提升企业在激烈的市场竞争中的竞争力。

2 企业计算机网络安全的弱点和威胁

2.1 信息安全弱点

信息安全弱点与企业信息资源密切相关，信息安全弱点的暴露很有可能导致企业资产的严重损失。但是，信息安全弱点本身并不会为企业带来损失，只是在特定的环境下被非法者利用后才会造成企业资产损失，例如，企业信息系统开发过程中的脆弱性问题，管理员的管理措施问题等，这些信息安全弱点都为非法攻击者提供了非法入侵的可能。

2.2 信息安全威胁

信息安全威胁指的是对企业资产构成潜在性的破坏因素，信息安全威胁的产生包括人为因素和自然环境因素。信息安全威胁可能是偶然发生的事件，也有可能是人为蓄意制造的时间，包括信息泄露、信息篡改等，这些事件都会导致企业信息的可用性、完整性和保密性遭到破坏，属于对企业信息的恶意攻击。

2.3 网络安全事件

由于网络特有的开放性特点，造成了非法攻击、黑客入侵、病毒传播等海量安全事件发生，信息安全领域对于网络安全的研究也日益重视。根据大量网络安全事件分析来看，企业信息管理系统的应用设计存在着诸多缺陷和弊端，给情报机构的非法入侵提供了极大的可能性。由此，内容分级制度、脆弱性检测技术、智能分析技术已经广泛应用于企业信息系统开发过程中。

3 企业计算机网络安全存在的主要问题

⑴企业分部采用宽带拨号上网的方式与企业总部实现通信传输，这种落后的网络通信方式难以保证数据传输的安全性。企业信息安全级别较高的部门通过互联网实现数据传输的过程中，没有采取任何数据加密措施，非常容易造成数据信息的泄露和篡改，同时，企业信息管理系统的操作应用没有设置明确的管理人员，导致其他非法用户也可以入侵到企业内部网络中，对服务器数据进行窃取和篡改。以上两种网络安全问题都容易造成企业重要数据的泄露，甚至给企业带来不看估计的损失。

⑵随着企业网络规模的日益扩大，在网络边界如果仍然采用路由器连接企业内部网络和外部网络，已经无法适应飞速发展的网络互连技术。企业虽然可以在网络边界的路由器中设置访问控制策略，但是仍然存在来自互联网的各种非法攻击、IP地址攻击、ARP协议欺骗等问题，这表明了企业需要一善可靠的防火墙设备，来对企业网络的数据传输提供有效控制和保护。

⑶由于互联网技术的飞速发展，为企业提供了丰富的信息资源，除了企业日常运营需要使用网络资源，其他工作人员也有可能通过网络获取信息资源，例如使用迅雷、BT等软件下载视音频信息等，网络下载会占用企业大部分带宽资源，严重的会导致系统管理员无法对网络终端的访问情况进行有效管理，或者某一个计算机终端因下载感染病毒而引发ARP欺骗。

⑷随着互联网应用的日益普及，木马病毒的广泛传播，企业员工计算机使用水平参差不齐，不能保证对网络中的有害信息进行有效识别，由此导致了木马病毒在企业内部网络的感染和传播。因此，需要定期对企业数据传输的原始数据流进行病毒查杀和威胁分析，以此起到有害信息过滤的作用，使流入企业内部网络的数据信息能够安全可靠，真正降低企业信息安全风险。同时，企业可以采用网关防病毒产品，在企业内部网络与外部网络处进行隔离保护，当木马病毒出现时可以被拦截在企业内部网络之外，为企业提供可靠的安全边界保护。

4 企业计算机网络安全方案的构建实施

企业总部需要与企业分部，以及其他合作企业之间实现数据传输与交换，企业派往外地出差的员工也需要通过远程网络访问企业总部内网的信息管理系统，因此，不同用户企业总部内部网络的访问有着不同需求，企业必须具有安全可靠、性能较高、成本较低的网络接入方式。由于企业分部大部分与企业总部不在一个城市，在企业总部与企业分部之间铺设光缆线路是极为不现实的；如果租用专用光纤网络通信线路，高额的租赁费用会严重增加企业运营发展的经济负担；如果将企业总部内部网络的应用服务器映射在网关位置，虽然能够方面用户远程访问企业内部信息管理系统，但会给企业网络带来巨大的安全隐患。本文基于以上分析，本文选择利用VPN技术（虚拟局域网）在企业内部网络出口处，虚拟设置一条网络专线，以此将企业总部与企业分部网络进行有效连接，形成一个规模较大的局域网，真正实现了用户远程访问和接入。VPN技术不仅能够满足异地用户对企业总部网络信息管理系统的访问需求，而且充分保证了用户访问的安全性，避免了单点登录技术对企业整个网络构成的安全威胁。

企业在部署上网行为管理设备（SINFOR M5X00-AC）时，应该开启VPN功能，在企业总部内部网络的边界防火墙设备中进行端口映射，同时在企业分部网络中安装上网行为管理设备，并且与企业总部的上网行为管理设备共同利用VPN技术建立虚拟专用网络，在对数据信息进行加密后在互联网上传输。企业在构建虚拟专用网络时，只要在任何一端的连接管理设置中输入对方网络地址，VPN设备就可以自动进行虚拟局域网组建，网络中的任何计算机终端都可以通过虚拟专用网实现数据传输与共享。如果还有其他分部需要加入到虚拟局域网中，则可以通过输入加密的访问WAN扣地址实现。需要注意的是，已将连通的虚拟局域网的内网网段不能完全相同。

企业在部署上网行为管理设备时，由于访问控制策略是信息安全策略的核心部分，也是对网络中数据传输的关键保护措施，由此，需要对接入企业总部网络的用户进行身份认证，根据不同用户的身份授予不同权限，再利用配置逻辑隔离服务器实现不同用户身份对不同应用服务器的接入，从而对企业内部网络中的业务信息管理系统进行访问和使用。同时，安全级别为五级的QoS安全机制能够为企业不同信息系统提供相应的安全服务保障，并且可以按照业务类别划分优先级别，重要的数据信息将会获得优先传输的权限。对用户访问权限的细致划分可以限制非法用户对网络资源的访问和使用，防止非法用户入侵企业内部网络进行破坏性操作，直接对接入企业内部网络的各项访问应用进行管控，真正提高了企业网络系统的安全性。

在企业内部网络部署应用安全产品过程中，需要综合考虑如何完成安全产品的部署策略，才能使安全产品的性能充分发挥，同时，企业内部网络还可以将不同的安全产品集成应用，使其发挥最大功能，充分提高企业信息管理系统的安全性和可靠性。

本文基于信息安全等级指导思想下，对企业内部网络存在的问题进行了分析，并提出了良好的解决方案，包括防火墙的部署、入侵检测设备的部署、上网行为管理设备的部署、防毒墙的部署、企业版杀毒软件的部署等。

5 结论

综上所述，本文在网络信息安全等级保护理念下，将企业内部网络的安全防护的有效性作为最终目标，对企业网络信息安全存在的风险进行深入分析，结合企业实际情况，提出了企业计算机网络安全设计方案，保障了企业总部内部网络与分部网络之间数据传输通信的安全性和可靠性。

[参考文献]

[1]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信，2013，09：25-27.

[2]王迅.电信企业计算机网络安全构建策略分析[J].科技传播，2013，07：217+209.

篇8

1智慧校园内涵

目前，iot、aiot和ai等互联网教育技术在国内已逐步得到广泛应用和有效普及，在国家互联网+智慧教育创新理念的强大影响下，国内高校出现了多所学校的教育跨专业领域教育理念智慧教育，学校的教育信息化专业教育已由传统数字化教育走向专业信息化和智慧教育化。在宏观政策层面上，构建高校校园信息化体育教学管理体系，可以为促进学校的自身发展和推进校园教育改革建设提供有力支撑，可以为高校不断寻找自身发展的新方向。实际上在教学管理改革过程中，积极探索构建一所智慧素质校园，是直接促进高校师生综合素质不断提高的有利驱动因素，可以做到实现高校不断创新管理机制，不断加强高校的教育组织管理机构，为广大学生家长提供优质全方位的素质教育，主要包括教育学习、研究、教育、服务、管理教育文化和信息科技等领域内容。“智慧校园”是指运用“互联网+”的思维方式，结合物联网、云计算、大数据、人工智能等新一代信息技术，将分散的、各自为政的学校信息化系统与资源整合为一个有机整体，构建具有高度感知、协作和服务能力的新型信息化校园环境，提供网络化、智能化、一体化的教学、科研、管理和服务支撑平台，推动教育教学体制改革，提高教育教学质量和教学效益，促进师生成长和发展。“互联网+”信息时代，伴随着现代物联网、云计算、大数据、移动互联网、人工智能等各种新一代校园信息基础技术的不断出现及在专业校园教育中的广泛应用，高校专业校园教育信息化建设发展已经进入了一个全新的发展阶段，智能自动感知的校园网络学习环境、云端服务平台上的支持信息服务、大规模数据中心的智能建设、业务管理系统的智能集成化与整合、一站式校园信息服务入口、可视化信息展示等，使我国校园教育信息化从数字化发展阶段逐步进入智慧化发展阶段。

2新时代背景下高校智慧校园网络安全问题

在“智慧校园”的时代背景下，校园一卡通、校园安全无线网络、网络安全检测设备等被广泛地深入应用于大学校园环境安全建设宣传活动中，在取得促进大学校园环境安全建设成效的同时，也给大学校园文化环境建设工作带来了安全隐患。

2.1校园一卡通系统中的安全问题

校园管理网络服务是我国现代化大学校园服务建设的一个重要组成部分，教师和在校学生可随时通过各级校园服务网络直接开展学校图书管理借阅、成绩管理查询、信息管理登记、饮食娱乐消费等服务活动。校园网络一卡通通信系统能否安全稳定运行，会直接影响到全体师生的正常学习生活，是学校网络通信系统安全规范建设重要的技术出发点和落脚点。一般而言，如果学校计算机在个人信息的收集记录、统计、处理、归档等操作过程中一旦出现安全漏洞，教师和在校学生一卡通就很有可能被不法分子利用网络病毒进行攻击。计算机病毒因其具有场域性和空间联动性，一旦学校计算机电脑控制器和系统硬件受到严重破坏，整个大学校园的网络计算机安全系统就可能会因此受到严重影响，最终可能导致整个校园内的网络安全系统瘫痪。与此同时，校园一卡通也是一种学生电子货币，一旦受到黑客攻击，不仅可能会直接泄露整个校园的管理系统信息，包括教师和学生的个人信息，还可能直接给整个校园师生造成不同程度的生命财产安全威胁。

2.2校园无线网的网络安全问题

校园无线网以利用电磁波传播作为学校信息网络传播的主要载体，不法分子通过借助一些专业通信设备和其他专业通信技术，可以对校园无线网络连接造成一定的网络干扰，从而容易产生非法窃听他人信息、盗窃他人信息、篡改他人信息等不法行为;有的学校市场营销工作人员还可以利用一些个人电脑设备或者虚拟电脑处理一些校园无线网络中的热点，创建网络钓鱼软件网站，窃取网络用户的电子账户登录信息、密码验证信息等。

2.3校内设备的网络安全问题

校园网络安全技术设备配置是有效解决当前校园网络安全问题的重要技术手段，是引导学校深入开展校园网络安全建设的关键。但就目前校园网络安全管理设备的实际应用而言，由于长期受到网络硬件管理设备运行质量、软件管理系统工作性能及其他网络相关设备配置软件属性等诸多因素的双重影响，其实际使用时的安全性相对较低，工作效率不高，在整个设备运行使用过程中，容易受到各种不法分子的恶意攻击。

2.4校园网络系统漏洞的安全问题

“网络系统漏洞”安全泛指一个网络安全系统在日常设计使用过程中所不能忽视的或固有的主要缺陷，这些主要缺陷很有可能是由于网络技术不断发展却不及时更新所导致的安全问题。理论上讲，随着网络系统的不断升级和网络技术的不断改进，网络安全系统可能会不断出现各种形式的安全漏洞。网络安全漏洞的不断产生，会不断加大网络病毒和其他网络攻击对系统的直接危害，因此，必须不断提高系统的安全故障保护意识，把网络安全系统保障维护作为一个长期的重要工作目标去抓。当前最常见的一种计算机操作系统就是Windows，在实际系统设计中也同样可能存在一些缺陷，而且大多数勒索病毒都不只是针对一个Windows系统而设计的。例如2006年，我国第一个专门用于恶意敲诈其他用户系统数据的恶意木马病毒被警方发现并进行拦截，称其代码为“敲诈者”，该木马病毒软件可以在用户系统文件遭到恶意攻击并隐藏其他用户系统数据后，以恶意修复系统文件的加密名义向其他用户进行敲诈。在勒索病毒被警方截获后的几天内，国内成千上万的个人计算机受到了严重危害，大部分的个人和事业单位也都遭受了严重损失。

3新时代背景下高校智慧校园网络安全问题的解决策略

3.1接入层安全优化

高校需要建立一个智慧大学校园系统网络安全监控平台，实现接入层对整个智慧校园系统的安全进行全面监控优化。为了有效优化学校接入到基层学校设备的网络安全性，需要从整个学校正常办公或其他教学使用区域中自动抽取学校静态i和ip，以有效保证学校静态i和ip的地址唯一性，同时也要保证整个智慧校园在正常使用网络过程中完全不会因学校地址的自动变化而产生一系列复杂的学校网络安全问题。总体而言，相关端口管理人员通常可以利用端口提取器输出的一个静态端口ip值来过滤出一些不可靠的端口信息，配置不可靠的配置端口，将旧的配置端口设备与新的mac端口绑定。同时，相关网络管理者也希望可以通过网络端口配置设计来不断提高网络安全性，主要就是依靠学校相关网络管理者在配置交换机网络端口、mac通讯地址等方面的综合能力合理设计，并从具体网络通讯地址配置入手，不断完善优化整个大学校园网络，最终真正达到网络整体安全的效果。

3.2数据信息安全优化

网络环境下校园数据安全保护问题还需要从访问控制、数据安全隔离、数据安全加密等多个方面对其进行深入探讨，以有效保证我国校园网络数据的信息完整性和数据有效性。实施虚拟数据资源隔离处理技术时，需要考虑建立一个新的虚拟数据资源库，即系统用户可将数据通过这种虚拟资源技术直接导入并将其存储到一个数据共享式的物理资源数据库中。这样的虚拟存储应用环境仍然存在许多数据安全隐患，需要根据高校应用发展需求及时采取安全隔离保护措施，对相关学校现有数据资源进行实时分类采集处理，以有效提高学校数据的使用安全性。并且它还要特别重视访问控制，采用系统数据远程加密技术，明确不同级别用户的系统访问权限，用户每次输入新的用户名、密码后，就已经可以实时查询整个系统的相关信息。为了有效顺利进行手机数据安全访问，建立手机身份信息认证管理平台，加强手机用户端的身份认证管理，是保证数据安全访问有序顺利进行的关键。对于出现多用户访问情况，一般建议采用数字签名、双重访问登录身份认证等多种技术手段来同时实现多个用户的同时访问登录权限和用户身份信息认证实时管理，使多个用户能够同时对整个数据库的信息安全进行实时查询。另外，还逐步加强了对敏感数据安全加密的高度重视，可以通过数据加密技术提高手机用户及其个人敏感数据的安全，尤其是可以保证用户敏感数据的安全私密性，在现有数据被非法恶意窃取的危险情况下，保证数据的商业机密不被恶意泄露。目前我国有很多不同类型的校园数据信息加密传输算法，需要根据我国校园加密网络使用规模和各种数据加密传输方式分别选择合适的加密算法，为数据的加密传输和数据存储处理提供可靠的网络外部环境。

3.3云安全技术优化

云安全技术的应用，可以把平面变成立体。在智能校园建设中，传统的杀毒软件只对安装在本地硬盘上的软件程序进行杀毒，通过对病毒信息的对比分析，实现杀毒效果。但这种杀毒方法不能对恶意程序进行拦截处理，同时国内还有许多手机木马程序不能正常检测。利用云安全识别技术，可以对多个病毒节点进行快速自动识别，在整个中国智慧大学校园网络结构中对病毒传感器中的节点群病毒进行全方位、立体化的病毒查杀。云安全管理技术把整个智慧型的校园病毒网络系统看作一个庞大的自动杀毒管理软件，几乎可以在多个病毒传感器中的节点上同时进行自动定位，实时跟踪采集和分析整理恶意病毒信息，防止恶意病毒在快速查杀文件过程中被漏杀。

3.4网络设备安全优化

篇9

【关键词】APPDRR 风险分析

1 引言

在国家实施科教兴国战略的背景下，校园网络已经成为职业院校的必备硬件基础，是衡量职业院校教育现代化、信息化的重要标志。目前，大多数有条件的职业院校在校园网硬件工程建设投入巨资。校园网为职业院校的教学、科研、行政办公搭建了一个信息平台，并产生了明显的效果。

2 APPDRR网络安全模型

APPDRR（全网动态安全理论）网络安全模型是一种动态，自适应的现代网络安全模型，[1]即：网络安全= 风险分析+ 制定策略+ 系统防护+ 实时监测+ 实时响应+ 灾难恢复，本文是基于APPDRR模型的风险分析指导下展开的。

风险分析是APPDRR模型的重要组成部分，通过对资产、脆弱性和威胁，综合评估分析网络所面临的风险，对所发现的风险提出相应的处理意见和安全建议，并指导下一步的网络安全建设。

3 职业院校网络风险分析

职业院校网络面临着诸多的问题，首先是规划建设并不是一步到位的，是经过不断升级改造后才形成的规模。安全设备品牌种类不一，在功能和处理能力上存差别，有的职业院校管理的重点侧重于网络边界和主机安全等方面，但是在校园网络的运行过程中，所出现的的威胁，大量集中在应用层攻击、网络资源滥用和基于二层的网络攻击。

本文从链路层、网络层、操作系统、应用层和网络管理等6个方面，对职业院校网络所面临的风险作一个粗略的分析。

3.1 数据链层的安全

数据链层位于物理层和网络层之间，数据链层受到的破坏会直接作用到其他各层。数据链层的安全隐患又容易被忽略，数据链层的安全问题有： MAC 地址泛洪攻击、ARP攻击、存取控制地址欺骗、VLAN 攻击、VTP 攻击和VLAN 跳跃攻击。

3.2 网络层的安全

网络层处于数据链层和传输层之间，是网络体系结构中的第三层，TCP/IP 协议族中最核心的IP协议就在网络层，广泛应用的TCP、UDP、IGMP及ICMP 数据包，都以 IP 数据报文形式传输。网络层封装 IP 数据包，并路由转发，解决机器之间的通信问题。网络层常见安全问题有：明文传输面临的威胁、IP 地址欺骗、源路由欺骗和ICMP 攻击。

3.3 传输层的安全

传输层在 OSI 模型中起着关键作用，负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议：传输控制协议和用户数据报协议。传输层常见安全问题有：TCP"SYN"攻击、Land 攻击、TCP 会话劫持和端口扫描攻击。

3.4 操作系统的安全

目前在职业院校，除了服务器是使用UNIX、Linux外，其它工作站基本是使用微软操作系统，存在以下风险。

（1）安全隐患的产生，主要是操作系统配置不合理，例如：没有管理员口令，用户弱口令，未删除和禁用不必要的帐号，设置完全共享的目录、没有防病毒软件、不合理的访问控制，资源共享的访问权限配置不当等。

（2）操作系统的正常运行需要很多系统服务支撑，这些系统服务向用户和应用程序提供功能接口，有些是操作系统正常运行必需的，有些则是不必要的。不必要的服务不仅会占用系统资源，还会给操作系统带来安全威胁。如果用户不知道自已的操作系统，哪些服务是可以访问网络的，就容易被入侵者利用。

3.5 业务应用的安全

职业院校为了满足科研、教学、办公的需要，校园网搭建了很多网络应用系统，如：信息、教务管理、办公自动化、图书管理等。这些应用系统很重要，但也存在风险如下：

（1）身份认证：操作系统和应用系统为了保证安全，采取了身份认证措施，这些机制各有特点，但是入侵者仍可以利用网络窃听、非法数据库访问、穷举攻击、重放攻击手段获取口令。用户安全意识淡薄，使用系统默认或者弱密码，并且长期不改动，形同虚设。

（2）WEB 服务：WEB 服务是学校用于对外宣传、开展网络远程教学的重要手段，应用极其普遍，使得 Web 服务经常成为非法攻击的首选目标。存在的安全隐患较多，网页代码本身就存在后门和一些缺陷，比如 IIS 漏洞、ASP 的上传漏洞、SQL 注入、缓冲区溢出等。入侵者一旦攻陷WEB 服务器，可以把WEB 服务器作为跳板，通过中间件或数据库连接部件，非法访问学校内部应用系统和数据库，并可利用网页脚本访问本地文件系统和网络系统中其它资源。

（3）数据库：数据库是信息系统的核心，校园网内的业务应用依赖于各种数据库系统，保证数据的安全和完整，正确配置数据库系统显得至关重要。数据库是个复杂的系统。非专业人员是无法正确配置数据库系统的。关系型数据库是可从端口寻址的，通过查询工具就可建立与数据库的连接，例如通过 TCP1521 和 1526端口，就能侵入一个弱防护的数据库；数据库运行过程中，出现的错误信息，可以泄漏数据库结构，分析这些信息就能实施攻击。

（4）网络资源共享：为了工作方便，内部人员经常会使用网络共享，如果没有对资源共享，作必要的访问控制策略，重要的数据信息，就无防护地暴露在网络中。

3.6 网络管理的安全

安全管理对于有一定规模的职业院校网络来说是极其重要的。如果没有相应制度约束，就会带来风险：网络管理人员把校园网络结构、系统的一些重要信息传播给外人，会造成信息泄漏；密码和密钥管理风险，管理员账户及密码被外人窃取；在约束缺失的情况下，利用网络和系统的弱点，实施入侵、修改、删除数据等非法行为；审计不力或无审计，当网络受到攻击或其它威胁时，没有相应的检测、监控、报告与预警机制。事件发生后，不能提供任何记录，无法追踪线索，缺乏对网络的可控和可审查性。

4 结束语

综上， 为了把职业院校网络建成一个全方位、多层次的网络安全防范体系，从根本上解决校园网络内外部对网络安全造成的威胁，首先我们得作风险分析，发现风险，并提出相应的意见和建议，并指导下一步的网络安全建设。

参考文献

篇10

0引言

互联网+医疗健康模式下要求医院的信息系统功能向外扩展，实现在线预约、挂号、缴费和诊疗服务。为了实现在线服务的功能，势必要将医院局域网与互联网打通，来进行数据交互，但只有在网络与安全的建设达标的情况下，才能开展相关业务。同国内一些大型企业比较，医院的网络安全建设相对薄弱，这与医院信息系统的特殊性和信息化的发展历程有关。最初的网络建设是为局域网系统提供服务，没有与外部系统互联的需求。如今面对越来越开放的服务需求，信息网络的安全性面临着极大的挑战。网络安全作为信息化建设的基石，如何在现有医院网络基础上实施安全防护，为互联网医院需要开展的业务提供高速、可靠的网络环境，是管理者面临的又一挑战。

1医院网络安全发展历程

医院信息系统发展[1]的不同时期，对网络安全建设要求不同。

1.1最初的内外网隔离时期

医院在建设信息系统初期，多数选择内外网隔离的网络方案，内网负责承载医疗业务，外网负责承载办公业务。内网常见有数据库服务器、文件服务器，外网有邮件服务器和网站服务器等。当时的信息系统多为客户端/服务器（C/S）架构，信息系统功能局限在局域网内，数据不用穿越防火墙，信息系统架构简洁，实施与维护方便。网络上通常采用二层树状架构，结构简单、部署迅速。内外网隔离的方式，可以阻断全部来自外网的攻击，将防护重点集中在内网终端上。采用的方法是在服务器与客户端安装杀毒软件。虽然，在这个时期网络安全风险低，但是面对一波又一波的网络病毒，如蓝色代码、熊猫烧香、冲击波、震荡波等病毒，还是暴露了医院终端防护水平低、安全建设滞后的问题。

1.2接入专线网络外联

医院的信息系统发展很快，为了方便患者就医，优化就医流程，新的应用、功能需求层出不穷。其中，包括医保实时结算、银医结算与医疗数据共享等应用。由于早期完全隔离的网络使得系统无法与外界交互，这就需要在独立封闭的网络中“开孔出气”。网络的基础上，与外界系统交互只通过专线的方式，边界清晰、业务明确。在这个时期的应用中，院方系统作为请求发起方即客户端，院内系统不需要对外部系统开放接口或者服务，并且与内网系统联通的专线网络属于“可信”环境。在此基础上，只需要在前置服务器外联边界设置防火墙，阻断由外向内的所有连接，允许由内向外的请求。

1.3划分虚拟专网方式接入

随着医院信息系统的进一步发展，医生远程办公、分院业务系统交互，以及患者自助查询、缴费等新需求应运而生，简单的外联已经不能满足新业务开展的要求。此时，就需要进一步对网络进行开放。远程办公可以使用互联网虚拟专用网络（VPN）接入，患者检查结果查询方式为互联网接入。与以往不同，这些应用的开展，都是以内网信息系统的数据为最终请求目标。不管数据包如何跳转，最终需要到达内网服务端。这一时期的服务从面向医务工作者，扩展到了面向部分就诊患者，请求量有所提升。但最根本的转变在于内网系统面向部分外网客户端，提供多样化的服务。虽然，服务对象是特定人群，但是面向互联网开放了“窗口”，见图2。不管是通过前置机中转，还是地址变换、隐藏等手段提供服务，都不能回避互联网上存在的扫描、攻击等潜在风险。这类应用一般为非必要医疗业务环节，面对互联网上的威胁、风险，还可以忍受一定程度上的服务中断。通过接入物理专线的方式，将医保中心、银行及相关卫生主管部门联通。在相关业务系统外围增加前置服务器，作为院方与互联单位的数据中转站，并负责将相关数据、表格保持同步，将上报数据、业务请求发送至外网服务端。这个时期的网络防护也较为轻松。因为在原有封闭但在网络安全方面，是不能允许存在任何非授权访问和入侵破坏的。

1.4互联网+医疗背景下的网络融合

在互联网+医疗时代背景下，医院信息系统将达到前所未有的开放程度。医院将从医疗、公共卫生、家庭医生签约、药品供应保障、医保结算、医学教育和科普等方面推动互联网与医疗健康服务相融合，涵盖医疗、医药、医保“三医联动”诸多方面[2]。医院还将制订、完善相关配套政策，加快实现医疗健康信息互通互享，提高医院管理和便民服务水平[3]。这就需要医院要将网络大门打开，将网络进行融合设计，让患者可以通过互联网上的多种方式享受就医服务。在医疗业务不断向互联网开放后，对于系统中断服务的容忍度基本为零。医院既要保障服务的敏捷性和持续性，又要保障数据的安全性和保密性，还要防止原有系统被入侵和攻击行为所破坏。同时，需要从多角度、多层次对系统进行网络防护。

2网络安全措施

在已有医院信息系统（HIS）等系统的情况下，医院如何进行“开放系统”的防护工作。保护的指导方针是根据国家信息安全等级保护要求，按等保要求系统应具备抗分布式拒绝服务（distributeddenialofservice，DDOS）攻击、入侵、病毒的防御能力和控制端口、行为等控制能力[4].

2.1流量清洗

在互联网上众多的网络请求中，充斥着大量的无用请求、恶意访问[5]。如果不对互联网中的流量进行清洗，将对系统的可用性构成极大威胁。该部分清洗主要是针对DDOS攻击流量。常见DDOS攻击类型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。应根据自身情况选择专用设备或运营商服务进行DDOS攻击流量清洗。

2.2入侵防御

清洗完的流量中还存在着扫描、嗅探、恶意代码等威胁，它们通过系统漏洞，绕过防护，对系统实施入侵行为，达到控制主机的目的。一旦入侵成功，造成的后果和损失是巨大的。通过部署入侵防御系统（intrusionpreventionsystem，IPS）对那些被明确判断为攻击行为，会对网络、主机造成危害的恶意行为进行检测和防御。深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包[6]。基于特征的入侵防御系统无法对高级持续性威胁（advancedpersistentthreat，APT）攻击进行防护，因此在建设入侵防御系统时，要特别注意该类型的攻击防护。可增加态势感知系统辅助IPS，将全网流量威胁可视化，进一步消除0day漏洞隐患。

2.3防病毒

根据国际著名病毒研究机构国际计算机安全联盟（internationalcomputersecurityassociation，ICSA）的统计，目前通过磁盘传播的病毒仅占7%，剩下93%的病毒来自网络。其中，包括Email、网页、QQ和MSN等传播渠道。计算机病毒网络化的趋势愈加明显，需要企业部署防毒墙/防病毒网关，以进一步保障网络的安全。防毒墙/防毒网关能够检测进出网络内部的数据，对HTTP、FTP、SMTP、IMAP等协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面可起到非常大的作用.

2.4访问控制

在经过流量清洗、入侵防御、防病毒3道工序处理后，访问控制系统是主机最“贴身”的一道防线。它是帮助保护服务器，按照个体情况来制定防护策略，精细防护到开几扇门，允许什么人、什么时间、什么方式访问主机。通常用硬件防火墙来进行访问控制[7]。常见防火墙类型有网络层防火墙、应用层防火墙以及数据库防火墙，可实现针对来源IP地址、来源端口号、目的IP地址、目的端口号、数据库语句、应用层指令、速率等属性进行控制。还有一种特殊的访问控制系统——“安全隔离与信息交换系统”即网闸[8]。主要功能有安全隔离、协议转换、内核防护功能。由于网闸在所连接的两个独立系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议；不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。网闸设备通常由3部分组成：外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内、外部处理单元连接，从而创建一个内、外网物理断开的环境，从物理上隔离、阻断了具有潜在攻击可能的连接，使“黑客”无法入侵、无法攻击、无法破坏。

2.5负载均衡

在面对互联网中大量的网络请求时，必须要增加负载均衡设备，扩展网络设备和服务器的带宽、吞吐量、数据处理能力，从而提高网络的灵活性和可用性[9]。负载均衡有多种算法，可以实现基于轮询、连接数、源IP和端口、响应时间的算法。负载均衡设备增加了应用系统处理能力，不法分子想要攻瘫系统的难度将成倍增加。

2.6日志审计与事后分析

日志审计与事后分析非常重要[10]，必须将拦截和放行的网络请求记录下来。一方面，统计攻击日志，分析网络运行风险；另一方面，记录放行的流量，对各个防护环节进行查漏、补缺，优化防护策略。日志审计越全面，对优化网络、提升系统服务水平的帮助越大。日志审计的范围包括：应用系统日志、数据库日志、操作系统日志、网络安全防护日志等。还可将日志系统与网络安全态势感知系统相结合，使分析结果更全面、更准确。日志存储时间应大于6个月。

3具体实例