序論:在您撰寫網(wǎng)絡(luò)安全加固建設(shè)時(shí)�,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度��。
第1篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全�����;校園網(wǎng)���;防火墻
前言
東北財(cái)經(jīng)大學(xué)經(jīng)過不斷發(fā)展��、完善的信息化歷程�����,完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬升級����。同時(shí)學(xué)校數(shù)據(jù)服務(wù)區(qū)運(yùn)行著包括門戶網(wǎng)站��、電子郵箱����、數(shù)字校園、移動辦公等重要業(yè)務(wù)系統(tǒng)��,隨著各類應(yīng)用系統(tǒng)的不斷上線���,逐步構(gòu)成了一個(gè)服務(wù)于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺���。但另一方面�,承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)安全防護(hù)與檢測的技術(shù)手段卻仍然相對落后��。在當(dāng)前復(fù)雜多變的信息安全形勢下�����,無論是外部黑客入侵�����、內(nèi)部惡意使用�,還是大多數(shù)情況下內(nèi)部用戶無意造成的安全隱患����,都給學(xué)校的網(wǎng)絡(luò)安全管理工作帶來較大壓力。而同時(shí)�����,勒索病毒爆發(fā)����、信息泄露����、上級部門要求��、法律法規(guī)監(jiān)管等�����,都在無形中讓學(xué)校的信息安全管理壓力越來越大����。筆者根據(jù)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)的要求,在現(xiàn)有的架構(gòu)下對東北財(cái)經(jīng)大學(xué)校園網(wǎng)絡(luò)進(jìn)行了安全加固設(shè)計(jì)���,提升了校園網(wǎng)主動防御�����、動態(tài)防御����、整體防控和精準(zhǔn)防護(hù)的能力����。
1現(xiàn)狀及問題
在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下����,學(xué)校各類業(yè)務(wù)系統(tǒng)在開發(fā)時(shí)難免遺留一些安全漏洞���,目前學(xué)校安全防護(hù)僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的安全網(wǎng)關(guān)設(shè)備��,傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對層出不窮的應(yīng)用層安全威脅日漸乏力���。黑客利用各種各樣的漏洞發(fā)動緩沖區(qū)溢出,SQL注入���、XSS�����、CSRF等應(yīng)用層攻擊,并獲得系統(tǒng)管理員權(quán)限���,從而進(jìn)行數(shù)據(jù)竊取和破壞�����,對學(xué)校核心業(yè)務(wù)數(shù)據(jù)的安全造成了嚴(yán)重的威脅���。數(shù)據(jù)的重要性不言而喻�����,尤其對學(xué)校的各類學(xué)生信息�、一卡通等財(cái)務(wù)數(shù)據(jù)信息更是安全防護(hù)的重中之重�����,如有閃失��,在損害學(xué)校師生利益的同時(shí)也造成很大的不良影響和法律追責(zé)問題����。東北財(cái)經(jīng)大學(xué)出口7Gbps帶寬,由電信�����、聯(lián)通�、移動、教育網(wǎng)等多家運(yùn)營商組成。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴(kuò)大以及提速降費(fèi)的背景����,互聯(lián)網(wǎng)出口將會達(dá)到15Gbps帶寬以上,原有的帶寬出口網(wǎng)關(guān)弊端顯露:具體包括網(wǎng)關(guān)性能不足���,無法支持大帶寬�,老舊設(shè)備無法勝任大流量的轉(zhuǎn)發(fā)工作�����;IPv6網(wǎng)絡(luò)不兼容��,無法平滑升級����,后續(xù)無法滿足國家政策進(jìn)行IPv6改造的規(guī)劃;上網(wǎng)審計(jì)和流量控制功能不完善����,原有網(wǎng)關(guān)未集成上網(wǎng)行為審計(jì)功能,未能完全滿足網(wǎng)絡(luò)安全法����,保障合規(guī)上網(wǎng);不支持基于應(yīng)用的流量控制�,帶寬出口的流量控制效果不佳;對上網(wǎng)行為缺乏有效管理和分析手段����,針對學(xué)生上網(wǎng)行為沒有好的管理手段和分析方法。同時(shí)等級保護(hù)2.0也對云安全和虛擬化環(huán)境下的網(wǎng)絡(luò)安全問題作了要求����。東北財(cái)經(jīng)大學(xué)信息化建設(shè)起步較早,目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實(shí)現(xiàn)了虛擬化�����,主要業(yè)務(wù)系統(tǒng)均在虛擬機(jī)上運(yùn)行����,虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性,但現(xiàn)有的120余臺虛擬機(jī)的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設(shè)的新問題�。為了響應(yīng)《網(wǎng)絡(luò)安全法》以及國家新頒發(fā)的網(wǎng)絡(luò)安全等級保護(hù)2.0的相關(guān)要求,提高東北財(cái)經(jīng)大學(xué)數(shù)據(jù)中心的整體安全防護(hù)與檢測能力�����,需要在以下幾個(gè)方面進(jìn)行安全建設(shè):(1)構(gòu)建安全有效的網(wǎng)絡(luò)邊界�����。主要通過增加學(xué)校數(shù)據(jù)中心的邊界隔離防護(hù)、入侵防護(hù)�、Web應(yīng)用防護(hù)、惡意代碼檢測�、網(wǎng)頁防篡改等安全防護(hù)能力,減少威脅的攻擊面和漏洞暴露時(shí)間��。(2)加強(qiáng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)識別與威脅檢測��。針對突破或繞過邊界防御的威脅��,需要增強(qiáng)內(nèi)網(wǎng)的持續(xù)檢測和外部的安全風(fēng)險(xiǎn)監(jiān)測能力���,主要技術(shù)手段包括:網(wǎng)絡(luò)流量威脅檢測�、僵尸主機(jī)檢測����、安全事件感知、橫向攻擊檢測����、終端檢測響應(yīng)、異常行為感知等��。(3)形成全網(wǎng)流量與行為可視的能力���。優(yōu)化帶寬分配�,提升師生上網(wǎng)體驗(yàn)�;過濾不良網(wǎng)站和違法言論,保障學(xué)生健康上網(wǎng)和安全上網(wǎng)���;全面審計(jì)所有網(wǎng)絡(luò)行為�����,滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求���;在網(wǎng)絡(luò)行為可視可控的基礎(chǔ)之上,需要進(jìn)一步形成校園網(wǎng)絡(luò)全局態(tài)勢可視的能力��。
2網(wǎng)絡(luò)安全加固技術(shù)方案
按原有拓?fù)?����,將東北財(cái)經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)����、核心網(wǎng)絡(luò)區(qū)域���、數(shù)據(jù)業(yè)務(wù)區(qū)域、運(yùn)維管理區(qū)域�、校園網(wǎng)接入?yún)^(qū)五個(gè)安全區(qū)域,并疊加云端的安全服務(wù)�����。各個(gè)區(qū)域通過核心網(wǎng)絡(luò)區(qū)域的匯聚交換與核心交換機(jī)相互連接��;校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入���,合計(jì)帶寬7Gb���,為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問服務(wù);數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群�,承載了學(xué)校門戶網(wǎng)站、電子郵件��、數(shù)字化校園�、DNS等各類業(yè)務(wù)系統(tǒng);運(yùn)維管理區(qū)域主要負(fù)責(zé)對整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理和日志收集�;校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓�����、圖書館、宿舍樓等子網(wǎng)����,存在大量PC終端供學(xué)校師生使用���;另外學(xué)校的教學(xué)樓���、辦公樓均已實(shí)現(xiàn)了無線網(wǎng)絡(luò)的覆蓋。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺萬兆高性能下一代防火墻�,開啟IPS、WAF�、僵尸網(wǎng)絡(luò)檢測等安全防護(hù)模塊,構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)融合安全邊界����。通過部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問控制能力,能夠?qū)崿F(xiàn)基于IP地址�、源/目的端口、應(yīng)用/服務(wù)�����、用戶、區(qū)域/地域����、時(shí)間等元素進(jìn)行精細(xì)化的訪問控制規(guī)則設(shè)置;提供專業(yè)的漏洞攻擊檢測與防護(hù)能力��,支持對服務(wù)器�、口令暴力破解、惡意軟件等漏洞攻擊防護(hù)��,同時(shí)IPS模塊可結(jié)合最新威脅情報(bào)對高危漏洞進(jìn)行預(yù)警和自動檢測�;提供專業(yè)的Web應(yīng)用防護(hù)能力,針對SQL注入�、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進(jìn)行有效防護(hù)���,同時(shí)提供網(wǎng)頁防篡改���、黑鏈檢測以及惡意掃描防護(hù)能力,全面保障Web業(yè)務(wù)安全�����;提供內(nèi)網(wǎng)僵尸主機(jī)檢測能力,通過雙向流量檢測和熱門威脅特征庫結(jié)合�,實(shí)現(xiàn)對木馬遠(yuǎn)控、惡意腳本��、勒索病毒�����、僵尸網(wǎng)絡(luò)�����、挖礦病毒等威脅進(jìn)行有效識別����,快速定位感染主機(jī)真實(shí)IP地址����。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理,對校園網(wǎng)出口流量進(jìn)行全面管控���,上網(wǎng)行為管理設(shè)備部署在核心交換機(jī)和出口路由器之間��,所有流量都通過上網(wǎng)行為管理處理���,實(shí)現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理���、行為控制、日志審計(jì)等功能�,設(shè)備提供IPv4/IPv6雙棧協(xié)議兼容,有效滿足IPv6建設(shè)趨勢下網(wǎng)絡(luò)的平滑改造���。為了有效管控和審計(jì)�,設(shè)備選型必須能夠全面識別各種應(yīng)用:(1)支持千萬級URL庫��、支持基于關(guān)鍵字管控�����、網(wǎng)頁智能分析系統(tǒng)IWAS從容應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁�、SSL內(nèi)容識別技術(shù);(2)擁有強(qiáng)大的應(yīng)用識別庫����;(3)識別并過濾HTTP、FTP�、mail方式上傳下載的文件;(4)深度內(nèi)容檢測:IM聊天���、網(wǎng)絡(luò)游戲����、在線流媒體、P2P應(yīng)用�����、Email���、常用TCP/IP協(xié)議等���;(5)通過P2P智能識別技術(shù),識別出不常見���、未來可能出現(xiàn)的P2P行為,進(jìn)而封堵�����、流控和審計(jì)��。通過強(qiáng)大的應(yīng)用識別技術(shù)�,無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為���、應(yīng)用行為等都能有效實(shí)現(xiàn)對上網(wǎng)行為的封堵�����、流控���、審計(jì)等管理。同時(shí)��,也要提供網(wǎng)絡(luò)流量可視化方案�,管理員可以查看出口流量曲線圖、當(dāng)前流量應(yīng)用����、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況(包括DOS攻擊���、ARP欺騙等)等信息�,直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況����。對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄���、審計(jì),借助圖形化報(bào)表直觀顯示統(tǒng)計(jì)結(jié)果等�����,幫助管理員了解流量用戶排名�����、應(yīng)用排名等����,并自動形成報(bào)表文檔,全面掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況��,了解流控策略效果��,為帶寬管理的決策提供準(zhǔn)確依據(jù)����。同時(shí)支持多線路復(fù)用和智能選路功能��,通過多線路復(fù)用及帶寬疊加技術(shù)���,復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口���,提升整體帶寬水平��。再結(jié)合多線路智能選路專利技術(shù)�����,將網(wǎng)流量自動匹配最佳出口�����。具備全面的合規(guī)審計(jì)及管控功能����,支持對內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進(jìn)行審計(jì)記錄��,滿足《網(wǎng)絡(luò)安全法》的要求���,能有效防范學(xué)生網(wǎng)上不良言論���、訪問非法網(wǎng)站等高風(fēng)險(xiǎn)行為,規(guī)避法律風(fēng)險(xiǎn)���。在數(shù)據(jù)業(yè)務(wù)區(qū)物理服務(wù)和3個(gè)虛擬化服務(wù)器集群上每臺虛擬機(jī)安裝EDR客戶端�,針對終端維度提供惡意代碼防護(hù)、安全基線核查�、微隔離、攻擊檢測等安全能力�,打通物理服務(wù)器、Vmware集群和超云集群����,進(jìn)行統(tǒng)一的主機(jī)/虛擬機(jī)邏輯安全域劃分,同時(shí)實(shí)現(xiàn)云內(nèi)流量可視�、可控,滿足等保2.0云計(jì)算擴(kuò)展項(xiàng)要求�。通過部署EDR構(gòu)建立體可視的端點(diǎn)安全能力,實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)可視��,展示全網(wǎng)終端狀態(tài)分布�����,顯示當(dāng)前安全事件總覽及安全時(shí)間分布全網(wǎng)終端安全概覽���,支持針對主機(jī)參照等級保護(hù)標(biāo)準(zhǔn)進(jìn)行安全基線核查,快速發(fā)現(xiàn)不合規(guī)項(xiàng)����。部署于每臺VM上的端點(diǎn)agent���,能夠?qū)υ苾?nèi)不同VM、不同業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系��、訪問路徑���、橫向威脅進(jìn)行檢測與響應(yīng)�����,EDR與虛擬化底層平臺解耦合�,解決多虛擬化環(huán)境下的兼容性問題����,構(gòu)建動態(tài)安全邊界。構(gòu)建多維度漏斗型檢測框架���,EDR平臺內(nèi)置文件信譽(yù)檢測引擎��、基因特征檢測引擎�����、人工智能檢測引擎���、行為分析檢測引擎���、安全云檢測引擎,從多維度全面發(fā)現(xiàn)各類終端威脅�����。
3結(jié)語
通過該方案�,提升了威脅防護(hù)、風(fēng)險(xiǎn)應(yīng)對能力���。能夠從容應(yīng)應(yīng)對勒索病毒�����、0Day攻擊�����、APT攻擊�、社會工程學(xué)、釣魚等新型威脅手段�。通過全面的安全可視能力,簡化運(yùn)維壓力�����,可以極大降低運(yùn)維的復(fù)雜度�,提升安全治理水平����,達(dá)到了設(shè)計(jì)要求。
參考文獻(xiàn)
[1]李鍇淞.對于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討[J].?dāng)?shù)字通信世界息�����,2019(8).
[2]李鍇淞�����,鄒鵬.高校校園網(wǎng)合作運(yùn)營探索[J].網(wǎng)絡(luò)安全和信息化�����,2019(9).
[3]臧齊圣.淺談校園網(wǎng)絡(luò)安全防控[J].計(jì)算機(jī)產(chǎn)品與流通�����,2019(9).
[4]王巖紅.高校校園網(wǎng)安全現(xiàn)狀及優(yōu)化探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(8).
第2篇
關(guān)鍵詞:校園網(wǎng)絡(luò)��;安全運(yùn)維��;網(wǎng)絡(luò)安全
隨著高校信息化建設(shè)的全面深入和快速推進(jìn)�,基礎(chǔ)網(wǎng)絡(luò)設(shè)施和信息應(yīng)用系統(tǒng)日趨完備,形成了規(guī)模大����、結(jié)構(gòu)復(fù)雜、系統(tǒng)多��、應(yīng)用全面的網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)��。信息化建設(shè)項(xiàng)目多�����、任務(wù)重���,在高效率����、高質(zhì)量完成建設(shè)任務(wù)的同時(shí),需要保證網(wǎng)絡(luò)運(yùn)維和信息安全運(yùn)維的效果和效率�,為師生提供良好的用戶體驗(yàn),這就對網(wǎng)絡(luò)運(yùn)維提出了更高的要求和標(biāo)準(zhǔn)��。網(wǎng)絡(luò)業(yè)務(wù)日益繁多���、復(fù)雜多變,各種網(wǎng)絡(luò)問題層出不窮�����,如黑客攻擊����、計(jì)算機(jī)病毒泛濫,高校園網(wǎng)絡(luò)運(yùn)維體系面臨新的問題����,能否適應(yīng)新變化就顯得非常重要。建立校園網(wǎng)運(yùn)維體系�、解決校園網(wǎng)面臨的問題對保證高校正常的教學(xué)、科研��、管理等工作有著重要意義���。
1校園網(wǎng)絡(luò)安全運(yùn)維體系架構(gòu)
隨著信息化在高校的發(fā)展��,硬件平臺�、應(yīng)用軟件、操作系統(tǒng)越來越復(fù)雜���,難以集中管理����,加之師生對網(wǎng)絡(luò)的高度依賴性��,使得保障網(wǎng)絡(luò)的可靠性和安全性成為重中之重���。具備故障管理��、配置管理�、變更管理�����、性能管理�����、安全管理等功能的網(wǎng)絡(luò)管理技術(shù)為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中的關(guān)鍵技術(shù)。高校校園網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備���、業(yè)務(wù)系統(tǒng)數(shù)量眾多���、結(jié)構(gòu)復(fù)雜,且管理控制平臺多樣����,網(wǎng)絡(luò)管理員需要掌握不同平臺的管理及使用方法,去管理網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)����,復(fù)雜度高����;網(wǎng)絡(luò)管理員對應(yīng)用系統(tǒng)的使用權(quán)限不同,難以在不同的業(yè)務(wù)應(yīng)用系統(tǒng)中保持控制策略和用戶權(quán)限的全局一致性��,管理網(wǎng)絡(luò)安全事件日趨復(fù)雜化����。只有對所有安全設(shè)備、業(yè)務(wù)系統(tǒng)發(fā)生的安全事件及其運(yùn)行狀態(tài)信息進(jìn)行關(guān)聯(lián)分析�,才能有效發(fā)現(xiàn)新的�、更深層次的安全隱患�。安全管理技術(shù)主要包括安全事件采集、安全事件管理����、安全設(shè)備監(jiān)控三大模塊。安全事件釆集���,用于采集網(wǎng)絡(luò)中所有安全設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)等的安全日志及運(yùn)行狀態(tài)��,這些信息將為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)源��,是安全管理的基礎(chǔ)�����。安全事件管理將采集得到的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析���、風(fēng)險(xiǎn)評估等處理,通過分析可能的安全威脅���,提交安全對象的安全報(bào)告�。安全設(shè)備監(jiān)控�,是通過監(jiān)控各關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)信息�����,及時(shí)發(fā)現(xiàn)安全問題并第一時(shí)間進(jìn)行處理���。
2校園網(wǎng)絡(luò)安全運(yùn)維平臺的組成
校園網(wǎng)絡(luò)安全運(yùn)維平臺由監(jiān)控中心、安全分析中心���、運(yùn)維中心組成�����,為保證高校校園網(wǎng)絡(luò)的安全提供了科學(xué)合理的方法�����,有效保障了校園網(wǎng)絡(luò)的安全和穩(wěn)定。監(jiān)控中心���,通過事件采集器收集監(jiān)控對象日志信息及安全事件��,經(jīng)過標(biāo)準(zhǔn)化����、信息過濾和關(guān)聯(lián)分析后,標(biāo)記安全事件級別同時(shí)存入數(shù)據(jù)庫���。安全分析中心����,通過資產(chǎn)識別����、威脅識別、脆弱性識別����、評價(jià)風(fēng)險(xiǎn)、風(fēng)險(xiǎn)計(jì)算等過程�����,評估校園網(wǎng)絡(luò)綜合資產(chǎn)的重要性��、脆弱性以及面臨的威脅��,為管理員進(jìn)行決策提供依據(jù)�����;采用事件關(guān)聯(lián)分析算法���,尋找海量事件相互關(guān)聯(lián)事件����,提取出真正有價(jià)值的少量安全事件威脅���,包括業(yè)務(wù)連續(xù)性威脅��、數(shù)據(jù)安全威脅��、攻擊威脅����。運(yùn)維中心���,通過安全預(yù)警管理接收業(yè)務(wù)系統(tǒng)防護(hù)平臺產(chǎn)生的自動安全預(yù)警信息或人工預(yù)警信息,再進(jìn)行分級處理��,并按規(guī)定的通知模板將預(yù)警信息傳達(dá)給相關(guān)人員���,并運(yùn)用系統(tǒng)安全策略進(jìn)行準(zhǔn)確的預(yù)警���,其中系統(tǒng)安全策略由告警的觸發(fā)條件�、分析規(guī)則��、風(fēng)險(xiǎn)策略�����、設(shè)施管策略���、存儲策略等組成�。
3安全運(yùn)維的內(nèi)容
3.1安全巡檢
定期對校園網(wǎng)絡(luò)安全設(shè)備的日志進(jìn)行深入分析和審計(jì)���,包括對防火墻���、IDS、防病毒系統(tǒng)���、動態(tài)口令認(rèn)證�、日志分析系統(tǒng)等的運(yùn)行狀態(tài)��、運(yùn)行事件、日志和關(guān)鍵配置文件進(jìn)行收集��、分析����,并形成相應(yīng)的安全建議。安全巡檢內(nèi)容如下:(1)制訂安全設(shè)備巡檢計(jì)劃和巡檢規(guī)范�����;(2)定期對網(wǎng)絡(luò)安全設(shè)備進(jìn)行巡檢�;(3)分析和解決在巡檢中發(fā)現(xiàn)的問題;(4)提交巡檢報(bào)告����。
3.2漏洞掃描
通過漏洞掃描可以全面、準(zhǔn)確發(fā)現(xiàn)校園網(wǎng)絡(luò)中各系統(tǒng)存在的安全隱患及可能被攻擊的方式����,掌握信息系統(tǒng)的安全現(xiàn)狀,為進(jìn)一步保證建設(shè)校園網(wǎng)絡(luò)的安全提供了數(shù)據(jù)參考和實(shí)際的依據(jù)��,具有指導(dǎo)校園網(wǎng)絡(luò)安全建設(shè)的作用����。對信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)的安全探測是漏洞掃描采用的主要技術(shù)手段,通過安全探測可以發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)潛在的安全隱患和薄弱環(huán)節(jié)�。通過漏洞掃描設(shè)備、安全評估工具以掃描的方式對整個(gè)校園網(wǎng)中的信息系統(tǒng)��、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行安全掃描�,從校園內(nèi)網(wǎng)和校園外網(wǎng)絡(luò)兩個(gè)不同的網(wǎng)絡(luò)環(huán)境來探測校園網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備部署����、服務(wù)器主機(jī)配置、數(shù)據(jù)庫管理員賬號/口令等校園網(wǎng)絡(luò)對象目標(biāo)存在的漏洞����、安全風(fēng)險(xiǎn)和潛在的威脅。漏洞掃描有利于發(fā)現(xiàn)系統(tǒng)層����、網(wǎng)絡(luò)層、應(yīng)用層的安全問題�����。(1)系統(tǒng)層安全����。各網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的操作系統(tǒng)�����,主要存在操作系統(tǒng)自身的漏洞��、風(fēng)險(xiǎn)和威脅��,主要包括用戶名���、密碼管理�����、訪問權(quán)限分配和控制�、系統(tǒng)漏洞等��,以及操作系統(tǒng)的安全配置不夠完善��,存在被攻擊的可能�����。(2)網(wǎng)絡(luò)層安全��。網(wǎng)絡(luò)信息是網(wǎng)絡(luò)層的主要安全問題,包括身份認(rèn)證��,控制不同身份對網(wǎng)絡(luò)資源的訪問��、傳輸過程中的信息數(shù)據(jù)保密性與完整性���、校外網(wǎng)絡(luò)遠(yuǎn)程接入、入侵檢測的發(fā)現(xiàn)及處理手段等�����。(3)應(yīng)用層安全��。應(yīng)用軟件和數(shù)據(jù)的安全性是應(yīng)用層安全考慮的主要方面����,主要有:學(xué)工系統(tǒng)、門戶網(wǎng)站�、教務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)����、Web應(yīng)用服務(wù)、電子郵件系統(tǒng)����、防火墻及WAF系統(tǒng)及其他網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)等�����。掃描流程如圖1所示:
3.3安全加固
針對巡檢�、漏洞掃描���、安全評估過程中發(fā)現(xiàn)的各種安全隱患�����、系統(tǒng)漏洞����,通過補(bǔ)丁升級����、漏洞修復(fù)、進(jìn)行更加嚴(yán)格的安全配置�、校園網(wǎng)絡(luò)系統(tǒng)架構(gòu)優(yōu)化與調(diào)整、安全策略升級與完善等方式及時(shí)對系統(tǒng)進(jìn)行安全加固����,范圍可覆蓋資產(chǎn)梳理�、終端檢查���、物理檢查�����、管理體系優(yōu)化、人工檢查�、漏洞掃描結(jié)果加固、滲透測試結(jié)果加固(涉及數(shù)據(jù)庫加固)����,提高校園網(wǎng)絡(luò)的安全性、抗攻擊和防病毒入侵能力����,降低網(wǎng)絡(luò)安全事件發(fā)生的可能性。采用基本安全配置定期檢測和優(yōu)化��,提高各系統(tǒng)��、設(shè)備的密碼復(fù)雜度及修改密碼��,系統(tǒng)漏洞檢測��、修復(fù)處理,訪問控制策略完善配置��,安全的遠(yuǎn)程接入方式����,開啟文件系統(tǒng)的審計(jì)策略,開啟系統(tǒng)日志記錄并定期進(jìn)行分析���,定期升級操作系統(tǒng)及更新安裝補(bǔ)丁等手段對校園網(wǎng)絡(luò)進(jìn)行安全加固��。加固完成后��,定期對校園網(wǎng)絡(luò)的安全性進(jìn)行評估�����,確保校園網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)����、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備具有較高的安全性和抗攻擊能力���。加固流程如圖2所示:
4結(jié)語
科學(xué)合理成體系的校園網(wǎng)絡(luò)安全運(yùn)維能有效緩解校園網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)問題��,將網(wǎng)絡(luò)安全事件從傳統(tǒng)的事后處理逐漸轉(zhuǎn)變?yōu)槭虑胺婪?����,能極大提高網(wǎng)絡(luò)運(yùn)維和安全管理水平��,增強(qiáng)校園網(wǎng)絡(luò)的安全性���,提供更好的用戶體驗(yàn)�����,從而實(shí)現(xiàn)安全、穩(wěn)定���、抗風(fēng)險(xiǎn)能力強(qiáng)的校園網(wǎng)絡(luò)環(huán)境�����。
參考文獻(xiàn)
[1]莊天天.安全運(yùn)維平臺關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2013.
[2]吳京偉.大學(xué)校園網(wǎng)絡(luò)運(yùn)維體系研究[D].合肥:合肥工業(yè)大學(xué),2009.
[3]張先哲.信息系統(tǒng)安全運(yùn)維管理平臺建設(shè)研究[J].軟件工程師,2015(5):38-39.
第3篇
《美軍2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目的預(yù)算需求》中闡述了國防部信息環(huán)境��、聯(lián)合信息環(huán)境��、加固網(wǎng)絡(luò)���、數(shù)據(jù)中心的建設(shè)��、購買設(shè)備�����、企業(yè)級服務(wù)與信息技術(shù)管理����、網(wǎng)絡(luò)安全�����、信息技術(shù)投資計(jì)劃���、人力建設(shè)��、電磁頻譜等十個(gè)方面的建設(shè)需求��,其中的五個(gè)方面則是重中之重����。
美國國防部2013財(cái)年的信息技術(shù)預(yù)算需求大約為370億美元,比2012財(cái)年的預(yù)算略微減少��。這些資金被投資到6000多個(gè)遍布全球的軍事基地��,支持3個(gè)部�、40多個(gè)局以及戰(zhàn)場上的獨(dú)特需求與任務(wù)。下面詳細(xì)介紹美軍2013財(cái)年信息技術(shù)和網(wǎng)絡(luò)安全建設(shè)的五大發(fā)展重點(diǎn)�����。
五大發(fā)展重點(diǎn)
從《美軍2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目的預(yù)算需求》可以發(fā)現(xiàn)�����,美軍2013財(cái)年信息技術(shù)和網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)放在聯(lián)合信息環(huán)境�����、數(shù)據(jù)中心�����、企業(yè)化服務(wù)���、網(wǎng)絡(luò)安全和加固網(wǎng)絡(luò)等五個(gè)方面���。
聯(lián)合信息環(huán)境
聯(lián)合信息環(huán)境是一個(gè)單一、安全��、可靠���、高效和靈活的指揮�����、控制���、通信和計(jì)算機(jī)計(jì)劃,可被聯(lián)合部隊(duì)的任務(wù)合作伙伴在幾乎所有軍事行動��、梯隊(duì)和環(huán)境中廣泛使用���。美軍2013財(cái)年聯(lián)合信息環(huán)境建設(shè)的目標(biāo)主要有兩個(gè):一是使國防部更有效�����、更安全����、更好地彌補(bǔ)弱點(diǎn),更好地應(yīng)對網(wǎng)絡(luò)威脅��;二是簡化�����、集成信息系統(tǒng)��,實(shí)現(xiàn)信息系統(tǒng)的標(biāo)準(zhǔn)化����、自動化,減少國防部信息技術(shù)基礎(chǔ)設(shè)施的相關(guān)費(fèi)用�����。
國防部的信息主管正在指揮著聯(lián)合信息環(huán)境相關(guān)計(jì)劃的實(shí)施���,也同聯(lián)合參謀部����、各軍種及國防部其他部門互相合作�,以更快速地全面實(shí)現(xiàn)國防部信息技術(shù)現(xiàn)代化。國防部正在使用情報(bào)委員會的信息技術(shù)現(xiàn)代化手段來輔助聯(lián)合信息環(huán)境計(jì)劃�。一個(gè)由來自國防部專家組成的小組正在構(gòu)思實(shí)現(xiàn)途徑,制定實(shí)現(xiàn)計(jì)劃與項(xiàng)目時(shí)間表�,并進(jìn)行經(jīng)費(fèi)預(yù)算。在2013財(cái)年���,美軍強(qiáng)調(diào)項(xiàng)目必須集成網(wǎng)絡(luò)安全�����,從操作系統(tǒng)的配置到系統(tǒng)進(jìn)入控制�,到全方位防御系統(tǒng)���,到網(wǎng)絡(luò)入侵探測與診斷��。
美軍將繼續(xù)通過國防信息系統(tǒng)局的Forge.mil與RACE軟件開發(fā)環(huán)境�����,以及通過與研發(fā)平臺匹配的集成測試與安全評估能力�����,加速平臺的研發(fā)��、質(zhì)量控制���、網(wǎng)絡(luò)安全評估�。
數(shù)據(jù)中心
美軍非常重視信息技術(shù)標(biāo)準(zhǔn)建設(shè)�,目前國防部的信息主管在軍種與國防信息局的配合下為數(shù)據(jù)中心建立設(shè)計(jì)的標(biāo)準(zhǔn),堅(jiān)持非保密網(wǎng)絡(luò)�、保密網(wǎng)絡(luò)、物理隔絕網(wǎng)絡(luò)�、加密隔絕網(wǎng)絡(luò)都執(zhí)行同樣標(biāo)準(zhǔn)。這種標(biāo)準(zhǔn)網(wǎng)絡(luò)建設(shè)�����,再加之更多的信息服務(wù)����,使國防部數(shù)據(jù)中心的數(shù)量相應(yīng)減少。
美軍2013財(cái)年重點(diǎn)將現(xiàn)有數(shù)據(jù)中心合并為三類數(shù)據(jù)中心:第一類為核心數(shù)據(jù)中心���,用于國防部各部門都可以使用的信息服務(wù)與應(yīng)用�,以及用于國防部與工業(yè)部門����、公眾交互的對外服務(wù)與應(yīng)用�����;第二類為地區(qū)性數(shù)據(jù)中心,主要用于滿足終端用戶的信息服務(wù)與應(yīng)用需求�����;第三類為部署在戰(zhàn)場前方的前方數(shù)據(jù)中心����,此類數(shù)據(jù)中心很靈活,可以存放地區(qū)性與全局性的服務(wù)與信息����,適合各種任務(wù)情況,速度更快���,網(wǎng)絡(luò)可靠性更好�。
這些數(shù)據(jù)中心的服務(wù)器將普遍高度虛擬化�����,這樣可以更靈活地加入新的信息服務(wù)�,提供最大的使用效率�。
企業(yè)化服務(wù)
目前����,國防部的信息主管正在同五角大樓的高層領(lǐng)導(dǎo)一起合作,以確保對信息技術(shù)投資進(jìn)行企業(yè)化管理�����,使一些信息中心靈活地交付信息能力與解決方案����。
此外,在實(shí)施企業(yè)化方案的過程中�����,美軍也在不斷解決有時(shí)出現(xiàn)的框架結(jié)構(gòu)等方面的問題��。例如��,國防信息主管辦公室為國防部起草了“云計(jì)算”戰(zhàn)略�,并將與軍事部門、國防信息系統(tǒng)局以及其他部門與生產(chǎn)廠家一起合作來實(shí)施該戰(zhàn)略����,以更好地優(yōu)化未來的信息基礎(chǔ)設(shè)施與應(yīng)用��。
網(wǎng)絡(luò)安全
2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目預(yù)算中����,大約34億美元用于國防網(wǎng)絡(luò)安全��,與2012財(cái)年基本相當(dāng)�����,主要用以消除信息�����、信息系統(tǒng)與網(wǎng)絡(luò)已知的脆弱性��,使國防部與國家更好地應(yīng)對網(wǎng)絡(luò)威脅�。
美軍2013財(cái)年制定了網(wǎng)絡(luò)安全工作的五個(gè)重要目標(biāo):第一個(gè)目標(biāo)是當(dāng)面對強(qiáng)敵發(fā)起網(wǎng)絡(luò)戰(zhàn)的時(shí)候��,國防部信息基礎(chǔ)設(shè)施用戶�,包括國防部的合作伙伴,擁有可靠的關(guān)鍵信息與信息基礎(chǔ)設(shè)施�;第二個(gè)目標(biāo)是確保與任務(wù)需要的任何伙伴之間實(shí)現(xiàn)快速、安全的信息共享,而且信息足夠豐富���,對于執(zhí)行任務(wù)是有效的��;第三個(gè)目標(biāo)是保護(hù)美軍重要�、保密的信息��;第四個(gè)目標(biāo)是確保任務(wù)指揮官可以隨時(shí)進(jìn)入網(wǎng)絡(luò)空間��;第五個(gè)目標(biāo)是確保國防部采用的技術(shù)具有靈活性�。
重構(gòu)國防部的網(wǎng)絡(luò)是聯(lián)合信息環(huán)境的核心支柱之一,以使國防部擁有一個(gè)統(tǒng)一的��、滿足不同安全需求的聯(lián)合網(wǎng)絡(luò)體系���。目前��,美軍正在制定這種聯(lián)合信息環(huán)境要素的工程技術(shù)細(xì)節(jié)與體系結(jié)構(gòu)細(xì)節(jié)�����。這將提供更加統(tǒng)一的網(wǎng)絡(luò)防御�����,并將使網(wǎng)絡(luò)司令部可以通過計(jì)算機(jī)掌握全局�����,防止黑客入侵在網(wǎng)絡(luò)中蔓延�,提高聯(lián)合作戰(zhàn)的互操作性與相互依賴性。
加固網(wǎng)絡(luò)
加固網(wǎng)絡(luò)主要有以下內(nèi)容�����。
可靠的兼容性評估解決方案美軍在2012年購買了一種名為“可靠的兼容性評估解決方案”的商業(yè)工具��,使用這種工具可以掃描計(jì)算機(jī)的漏洞�,然后做出報(bào)告并進(jìn)行修復(fù)�。這種工具正在進(jìn)行最終測試,將于2013年夏天部署�,預(yù)計(jì)各部門將在未來18個(gè)月部署與應(yīng)用。
基于主機(jī)的安全系統(tǒng)
目前��,美軍國防部在每一臺與非保密網(wǎng)絡(luò)�����、保密網(wǎng)絡(luò)連接的電腦上安裝“基于主機(jī)的安全系統(tǒng)”工具�����。這種工具可以發(fā)現(xiàn)并報(bào)告漏洞,防止某些類型的網(wǎng)絡(luò)入侵����,探測到其他入侵并作出反應(yīng),提高了國防部網(wǎng)絡(luò)加固�����、態(tài)勢感知����、網(wǎng)絡(luò)入侵探測、診斷與反應(yīng)能力���。2013財(cái)年申請的網(wǎng)絡(luò)安全資金繼續(xù)用于部署與保障新的“基于主機(jī)的安全系統(tǒng)”���,以更好地加固計(jì)算機(jī),提供持續(xù)自動監(jiān)督計(jì)算機(jī)配置的能力�,更好地改善國防部人員與設(shè)備身份管理能力。
公鑰基礎(chǔ)設(shè)施身份識別
美軍網(wǎng)絡(luò)加固工作的另一個(gè)關(guān)鍵部分是去除網(wǎng)絡(luò)匿名����。美軍計(jì)劃在國防部非保密網(wǎng)絡(luò)中使用公鑰基礎(chǔ)設(shè)施身份識別�����,2012年美軍完成向50萬人公鑰基礎(chǔ)設(shè)施身份識別�����,2013年3月份美軍將使用這些身份證�。這不僅可以幫助美軍改善信息使用責(zé)任制���,也可以與政府各部門合作����,使跨部門共享更加安全信息��。
值得信任國防系統(tǒng)/供應(yīng)鏈風(fēng)險(xiǎn)管理 美軍認(rèn)識到盡管先進(jìn)的商業(yè)技術(shù)可以為國防部帶來眾多好處��,但是也為國外惡意分子通過插入惡意程序來獲取��、改變數(shù)據(jù)�����,截取���、阻止通信并危及供應(yīng)鏈安全提供了機(jī)會����。為了應(yīng)對這些風(fēng)險(xiǎn)���,國防部正在使值得信任國防系統(tǒng)/供應(yīng)鏈風(fēng)險(xiǎn)管理制度化����,同時(shí)國防部也正在與其他部門合作研究管理關(guān)鍵基礎(chǔ)設(shè)施中防范供應(yīng)鏈風(fēng)險(xiǎn)的方法���。
國防工業(yè)基地網(wǎng)絡(luò)安全與信息確保項(xiàng)目 由國防部信息主管監(jiān)督的國防工業(yè)基地網(wǎng)絡(luò)安全與信息確保項(xiàng)目是國防部另一個(gè)重要成果����。該項(xiàng)目為政府一工業(yè)部門的合作伙伴關(guān)系提供網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)�����,也為網(wǎng)絡(luò)安全提供一種系統(tǒng)方法���,包括政府間保密威脅信息的共享��、工業(yè)部門數(shù)據(jù)的共享����、搶救與修復(fù)策略的共享、網(wǎng)絡(luò)入侵損害評估����。盡管不能徹底消除威脅,但是這一項(xiàng)目增強(qiáng)了每個(gè)國防工業(yè)基地參與者消除風(fēng)險(xiǎn)的能力�����,進(jìn)一步保護(hù)了在國防工業(yè)基地保密網(wǎng)絡(luò)上存儲或傳輸信息的安全�。
美軍在項(xiàng)目進(jìn)程中積累的經(jīng)驗(yàn)
信息技術(shù)采辦的標(biāo)準(zhǔn)化為美軍節(jié)約大量經(jīng)費(fèi)
為了解決由于國防部“煙囪式”信息體系(“煙囪式”信息體系是指數(shù)據(jù)直接從各個(gè)數(shù)據(jù)源被直接抓取到目的地,中間不留任何縫隙)而產(chǎn)生的問題��,美軍重點(diǎn)改革國防部3個(gè)核心過程:提需求�、預(yù)算與采辦。
國防部信息主管辦公室與主管軍官的辦公室緊密合作制定一種靈活���、快捷的采辦程序,美軍通過企業(yè)化軟件計(jì)劃���,10年期間總共節(jié)省了30億美元��。美軍的信息體系戰(zhàn)略與路線圖強(qiáng)調(diào)了將購買硬件����、軟件與服務(wù)作為提高效率的主要手段。通過共享國防部中各個(gè)組織的購買協(xié)議��,美軍大大減少了中介的數(shù)量��,進(jìn)一步優(yōu)化�����、理順了信息技術(shù)采購過程�����?��?梢哉f���,正是由于美軍注重信息技術(shù)與設(shè)備從需求、預(yù)算到采辦的全程合作與規(guī)范����,才大大縮減了經(jīng)費(fèi)開支。
智能網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)將提高美軍的網(wǎng)絡(luò)防御能力
美軍明確提出要通過“可靠的兼容性評估解決方案”����、“基于主機(jī)的安全系統(tǒng)”等5項(xiàng)工作來提高其加固網(wǎng)絡(luò)�����、態(tài)勢感知�����、網(wǎng)絡(luò)入侵探測����、診斷與反應(yīng)能力�����。美軍計(jì)劃未來幾年逐步從“可靠的兼容性評估解決方案”與“基于主機(jī)的安全系統(tǒng)”來收集關(guān)于國防部每臺計(jì)算機(jī)的配置信息���,并使用這些信息自動生成可供各級指揮官使用的任務(wù)風(fēng)險(xiǎn)數(shù)值����。指揮官可以使用這些信息與風(fēng)險(xiǎn)數(shù)值來修復(fù)漏洞�����,更好地了解到底哪些任務(wù)存在漏洞���。這些智能入侵監(jiān)測系統(tǒng)的應(yīng)用將會大大縮短美軍監(jiān)測網(wǎng)絡(luò)入侵的時(shí)間����,提高美軍應(yīng)對網(wǎng)絡(luò)入侵的反應(yīng)效率���。
聯(lián)合信息環(huán)境將為美軍提供一體化平臺
第4篇
商城縣公安局網(wǎng)監(jiān)大隊(duì):
我院在接到貴單位發(fā)來的《信息系統(tǒng)安全等保限期整改通知書》后����,院領(lǐng)導(dǎo)高度重視�,責(zé)成信息科按照要求進(jìn)行整改,現(xiàn)在整改情況報(bào)告如下�。
一、我院網(wǎng)絡(luò)安全等級保護(hù)工作概況
根據(jù)上級主管部門和行業(yè)主管部門要求����,我院高度重視并開展了網(wǎng)絡(luò)安全等級保護(hù)相關(guān)工作,工作內(nèi)容主要包含信息系統(tǒng)梳理��、定級����、備案�����、等級保護(hù)測評�����、安全建設(shè)整改等�。我院目前運(yùn)行的主要信息系統(tǒng)有:綜合業(yè)務(wù)信息系統(tǒng)��。綜合業(yè)務(wù)信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務(wù)信息系統(tǒng)的集合���,系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)�、檢驗(yàn)信息系統(tǒng)(LIS)����、電子病歷系統(tǒng)(EMRS)、醫(yī)學(xué)影像信息系統(tǒng)(PACS)����,其中醫(yī)院信息系統(tǒng)(HIS)、檢驗(yàn)信息系統(tǒng)(LIS)����、電子病歷系統(tǒng)(EMRS)由福建弘揚(yáng)軟件股份有限公司開發(fā)建設(shè)并提供技術(shù)支持���,醫(yī)學(xué)影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開發(fā)建設(shè)并提供技術(shù)支持���。
我院已于2018年11月完成了綜合業(yè)務(wù)信息系統(tǒng)的定級���、備案、等級保護(hù)測評�、專家評審等工作,系統(tǒng)安全保護(hù)等級為第二級(S2A2G2)����,等級保護(hù)測評機(jī)構(gòu)為河南天祺信息安全技術(shù)有限公司,等級保護(hù)測評結(jié)論為基本符合��,綜合得分為76.02分�����。在測評過程中����,信息科已根據(jù)測評人員建議對能夠立即整改的安全問題進(jìn)行了整改,如:服務(wù)器安全加固、訪問控制策略調(diào)整�、安裝防病毒軟件、增加安全產(chǎn)品等����。目前我院正在進(jìn)行門戶網(wǎng)站的網(wǎng)絡(luò)安全等級保護(hù)測評工作。
二�、安全問題整改情況
此次整改報(bào)告中涉及到的信息系統(tǒng)安全問題是我院于2018年11月委托河南天祺公司對醫(yī)院信息系統(tǒng)進(jìn)行測評反饋的內(nèi)容,主要包括應(yīng)用服務(wù)器�、數(shù)據(jù)庫服務(wù)器操作系統(tǒng)漏洞和Oracle漏洞等。針對應(yīng)用服務(wù)器系統(tǒng)漏洞���,我院及時(shí)與安全公司進(jìn)行溝通�����,溝通后通過關(guān)閉部分系統(tǒng)服務(wù)和端口�,更新必要的系統(tǒng)升級包等措施進(jìn)行了及時(shí)的處理���。針對Oracle數(shù)據(jù)庫存在的安全漏洞問題�����,我們與安全公司和軟件廠商進(jìn)行了溝通�,我院HIS系統(tǒng)于2012年底投入使用,數(shù)據(jù)庫版本為Oracle 11g��,投入運(yùn)行時(shí)間較早�,且部署于內(nèi)網(wǎng)環(huán)境中未及時(shí)進(jìn)行漏洞修復(fù)。
經(jīng)過軟件開發(fā)廠商測試發(fā)現(xiàn)修復(fù)Oracle數(shù)據(jù)庫漏洞會影響HIS系統(tǒng)正常運(yùn)行�,并存在未知風(fēng)險(xiǎn),為了既保證信息系統(tǒng)安全穩(wěn)定運(yùn)行又降低信息系統(tǒng)面臨的安全隱患��,我們主要采取控制數(shù)據(jù)庫訪問權(quán)限�����,切斷與服務(wù)器不必要的連接��、限制數(shù)據(jù)庫管理人員權(quán)限等措施來降低數(shù)據(jù)庫安全漏洞造成的風(fēng)險(xiǎn)����。具體措施為:第一由不同技術(shù)人員分別掌握數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫的管理權(quán)限��;第二數(shù)據(jù)庫服務(wù)器僅允許有業(yè)務(wù)需求的應(yīng)用服務(wù)器連接���,日常管理數(shù)據(jù)庫采用本地管理方式�,數(shù)據(jù)庫不對外提供遠(yuǎn)程訪問����;第三對數(shù)據(jù)庫進(jìn)行了安全加固����,設(shè)置了強(qiáng)密碼���、開啟了日志審計(jì)功能����、禁用了數(shù)據(jù)庫默認(rèn)用戶等��。
我院高度重視網(wǎng)絡(luò)安全工作�,醫(yī)院網(wǎng)絡(luò)中先后配備了防火墻、防毒墻��、入侵防御�����、網(wǎng)絡(luò)版殺毒軟件�����、桌面終端管理等安全產(chǎn)品��,并正在采購網(wǎng)閘、堡壘機(jī)�、日志審計(jì)等安全產(chǎn)品,同時(shí)組建了醫(yī)院網(wǎng)絡(luò)安全小組�����,由三名技術(shù)人員負(fù)責(zé)網(wǎng)絡(luò)安全管理工作�����,使我院網(wǎng)絡(luò)安全管理水平大幅提升�。
“沒有網(wǎng)絡(luò)安全�����,就沒有國家安全”���。作為全縣醫(yī)療救治中心���,醫(yī)院始終把信息網(wǎng)絡(luò)安全和醫(yī)療安全放在首位,不斷緊跟醫(yī)院發(fā)展和形勢需要�,科學(xué)有效的推進(jìn)網(wǎng)絡(luò)安全建設(shè)工作,并接受各級主管部門的監(jiān)督和管理�����。
第5篇
關(guān)鍵詞:等級保護(hù);網(wǎng)絡(luò)安全����;信息安全;安全防范
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)19-4433-03
隨著我國國際地位的不斷提高和經(jīng)濟(jì)的持續(xù)發(fā)展�,我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升����,計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗,犯罪分子利用一些安全漏洞�,使用木馬間諜程序�����、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙�����、網(wǎng)絡(luò)盜竊���、網(wǎng)絡(luò)賭博等違法犯罪��,給用戶造成嚴(yán)重?fù)p失�����,因此����,維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重���,加強(qiáng)網(wǎng)絡(luò)信息安全等級保護(hù)建設(shè)刻不容緩���。
1 網(wǎng)絡(luò)信息安全等級保護(hù)
信息安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲���、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)�����,對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理����,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)���、處置。網(wǎng)絡(luò)信息安全等級保護(hù)體系包括技術(shù)和管理兩大部分�,如圖1所示,其中技術(shù)要求分為數(shù)據(jù)安全����、應(yīng)用安全、網(wǎng)絡(luò)安全����、主機(jī)安全、物理安全五個(gè)方面進(jìn)行建設(shè)����。
圖1 等級保護(hù)基本安全要求
1) 物理安全
物理安全主要涉及的方面包括環(huán)境安全(防火、防水����、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方面。
2) 主機(jī)安全
主機(jī)系統(tǒng)安全是計(jì)算機(jī)設(shè)備(包括服務(wù)器���、終端/工作站等)在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全���;通過部署終端安全管理系統(tǒng)(TSM)���,準(zhǔn)入認(rèn)證網(wǎng)關(guān)(SACG),以及專業(yè)主機(jī)安全加固服務(wù)�����,可以實(shí)現(xiàn)等級保護(hù)對主機(jī)安全防護(hù)要求�����。
3) 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)�����,網(wǎng)絡(luò)安全防護(hù)重點(diǎn)是確保網(wǎng)絡(luò)之間合法訪問���,檢測���,阻止內(nèi)部����,外部惡意攻擊;通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列,入侵檢測/防御系統(tǒng)NIP���,Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品�����,為合法的用戶提供合法網(wǎng)絡(luò)訪問����,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅���。
4) 應(yīng)用安全
應(yīng)用安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行���,包括各種基本應(yīng)用,如:消息發(fā)送�、web瀏覽等;業(yè)務(wù)應(yīng)用�,如:電子商務(wù)、電子政務(wù)等�;部署的文檔安全管理系統(tǒng)(DSM),數(shù)據(jù)庫審計(jì)UMA-DB����,防病毒網(wǎng)關(guān)AVE等產(chǎn)品�。并且通過安全網(wǎng)關(guān)USG實(shí)現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密�����,數(shù)據(jù)災(zāi)備實(shí)現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護(hù)�����,降低數(shù)據(jù)因意外事故�,或者丟失給造成危害。
5) 數(shù)據(jù)安全
數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)��、系統(tǒng)數(shù)據(jù)�、業(yè)務(wù)數(shù)據(jù)的保護(hù);通過對所有信息系統(tǒng)�,網(wǎng)絡(luò)設(shè)備,安全設(shè)備�,服務(wù)器,終端機(jī)的安全事件日志統(tǒng)一采集��,分析��,輸出各類法規(guī)要求安全事件審計(jì)報(bào)告��,制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程�。
2 應(yīng)用實(shí)例
近年來衛(wèi)生行業(yè)全面開展信息安全等級保護(hù)定級備案、建設(shè)整改和等級測評等工作���,某醫(yī)院的核心系統(tǒng)按照等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系��,全面保護(hù)醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全�����。
醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)����,不是對整個(gè)系統(tǒng)進(jìn)行同一等級的保護(hù)����,而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù);通過安全域劃分��,實(shí)現(xiàn)對不同系統(tǒng)的差異防護(hù)���,并防止安全問題擴(kuò)散���。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異����,各自可能具有不同的安全防護(hù)需求�,因此需要將不同特性的系統(tǒng)進(jìn)行歸類劃分安全域�����,并明確各域邊界���,分別考慮防護(hù)措施��。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示��,外網(wǎng)是一個(gè)星型的快速以太交換網(wǎng)�,核心為一臺高性能三層交換機(jī)���,下聯(lián)內(nèi)網(wǎng)核心交換機(jī)���,上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機(jī)和DMZ隔離區(qū),外聯(lián)互聯(lián)網(wǎng)出口路由器�,內(nèi)網(wǎng)交換機(jī)向下連接信息點(diǎn)(終端計(jì)算機(jī)),外網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)核心交換機(jī)之間采用千兆光纖鏈路�����,內(nèi)網(wǎng)交換機(jī)采用百兆雙絞線鏈路下聯(lián)終端計(jì)算機(jī),外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)至關(guān)重要�,直接影響到等級保護(hù)系統(tǒng)的安全性能。
圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖
2.1外網(wǎng)網(wǎng)絡(luò)安全要求
系統(tǒng)定級為3級����,且等級保護(hù)要求選擇為S3A2G3�����,查找《信息系統(tǒng)安全等級保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇���,外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求:邊界完整性檢查(S3) ����、入侵防范(G3) ����、結(jié)構(gòu)安全(G3) 、訪問控制(G3) �、安全審計(jì)(G3) 、惡意代碼防范(G3) 和網(wǎng)絡(luò)設(shè)備防護(hù)(G3) ���。
2.2網(wǎng)絡(luò)安全策略
根據(jù)對醫(yī)院外網(wǎng)機(jī)房區(qū)域安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求��,制定相應(yīng)的網(wǎng)絡(luò)安全策略
1) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略
要合理劃分網(wǎng)段����,利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施�,監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點(diǎn)�����。并利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患�。
2) 訪問控制策略
訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制,它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)�,那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng)��。
3) 網(wǎng)絡(luò)入侵檢測策略
系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略�,動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時(shí)的響應(yīng)。
4) 網(wǎng)絡(luò)安全審計(jì)策略
系統(tǒng)中應(yīng)該設(shè)置安全審計(jì)策略���,收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)��,從而發(fā)現(xiàn)違反安全策略的行為�。
5) 運(yùn)行安全策略
運(yùn)行安全策略包括:建立全網(wǎng)的運(yùn)行安全評估流程,定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備�。
2.3網(wǎng)絡(luò)安全設(shè)計(jì)
根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)包括網(wǎng)絡(luò)訪問控制����,網(wǎng)絡(luò)入侵防護(hù),網(wǎng)絡(luò)安全審計(jì)和其他安全設(shè)計(jì)�����。
1) 網(wǎng)絡(luò)訪問控制
實(shí)現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備�,采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻�����、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP����。
①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻:在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻,該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域���,對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制����。
②對外服務(wù)區(qū)域邊界防火墻:對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻(天融信NGFW4000-UF)���,該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)�����,通過雙絞線連接區(qū)域內(nèi)服務(wù)器����,對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制,同時(shí)控制兩個(gè)區(qū)域內(nèi)部各服務(wù)器之間的訪問行為����。
③網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)���,為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制���。
2) 網(wǎng)絡(luò)入侵防護(hù)
外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域,防護(hù)級別為S2A2G2���,重點(diǎn)要實(shí)現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測�,因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP)�;對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng),防護(hù)級別為S3A2G3,由于其直接與互聯(lián)網(wǎng)相連���,不僅要實(shí)現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測����,還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為�����,因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)(啟明星辰天闐NS2200)��。
①網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)��,該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)�����,其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量��。
②網(wǎng)絡(luò)入侵檢測系統(tǒng):在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)���,IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致;在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作����,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路�����,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量�����,鏡像至IDS監(jiān)聽端口��;IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量�����,訪問安全管理區(qū)域的數(shù)據(jù)流量�����,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測����。
3) 網(wǎng)絡(luò)安全審計(jì)
信息安全審計(jì)管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界����,在外網(wǎng)被審計(jì)對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量����,還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計(jì)��;此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計(jì)和保護(hù)的對象��。
由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量���,因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計(jì)系統(tǒng)(天融信網(wǎng)絡(luò)行為審計(jì)TopAudit)�,交換機(jī)必需映射一個(gè)多對一抓包端口����,網(wǎng)絡(luò)審計(jì)引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包,并對抓到的包進(jìn)行分析��、匹配���、統(tǒng)計(jì),從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)功能��。
①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計(jì)系統(tǒng)��,監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致�����,使用光纖接口;
②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作�����,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路�,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量,鏡像至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的監(jiān)聽端口�����;
③網(wǎng)絡(luò)安全審計(jì)系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量��,訪問安全管理區(qū)域的數(shù)據(jù)流量���,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計(jì)���;
④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計(jì)功能���。
4) 其他網(wǎng)絡(luò)安全設(shè)計(jì)
其他網(wǎng)絡(luò)安全設(shè)計(jì)包括邊界完整性檢查����,惡意代碼防范,網(wǎng)絡(luò)設(shè)備防護(hù)�,邊界完整性檢查等。
①邊界完整性檢查:在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨(dú)立VLAN��,并制定嚴(yán)格的策略�����,禁止其他VLAN的訪問�,只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為;對服務(wù)器系統(tǒng)進(jìn)行安全加固����,提升系統(tǒng)自身的安全訪問控制能力;
②惡意代碼防范:通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類���、拒絕服務(wù)類�����、系統(tǒng)漏洞類����、webcgi類����、蠕蟲類等惡意代碼進(jìn)行檢測和清除;部署服務(wù)器防病毒系統(tǒng)��,定期進(jìn)行病毒庫升級和全面殺毒����,確保服務(wù)器具有良好的防病毒能力。
③網(wǎng)絡(luò)設(shè)備防護(hù):網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供��,由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)�,應(yīng)進(jìn)行以下的安全加固:開啟樓層接入交換機(jī)的接口安全特性,并作MAC綁定����; 關(guān)閉不必要的服務(wù)(如:禁止CDP(Cisco Discovery Protocol),禁止TCP�����、UDP Small服務(wù)等)���, 登錄要求和帳號管理�, 其它安全要求(如:禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件��,禁止未使用或空閑的端口等)。
3 結(jié)束語
信息安全等級保護(hù)是實(shí)施國家信息安全戰(zhàn)略的重大舉措��,也是我國建立信息安全保障體系的基本制度�����。作為國家信息安全保障體系建設(shè)的重要依據(jù)��,在實(shí)行安全防護(hù)系統(tǒng)建設(shè)的過程中��,應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)�����,根據(jù)分級���、分域���、分系統(tǒng)進(jìn)行安全建設(shè)的思路,針對一個(gè)特定的信息系統(tǒng)(醫(yī)院信息管理系統(tǒng))為例����,提出全面的等級保護(hù)技術(shù)建設(shè)方案,希望能夠?yàn)橛脩舻牡燃壉Wo(hù)建設(shè)提出參考。
參考文獻(xiàn):
[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化����,2014(4).
[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)����,2013(33).
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評估�����;安全措施
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注��,列舉的近年來的網(wǎng)絡(luò)突發(fā)事件����,不難發(fā)現(xiàn),強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估意識���、強(qiáng)化信息安全保障為當(dāng)務(wù)之急����。所謂風(fēng)險(xiǎn)評估��,是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),它的原理是��,根據(jù)已知的安全漏洞知識庫��,對目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查����。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)�����。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)�����。隨著新技術(shù)���、新應(yīng)用的不斷出現(xiàn)��,以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變�����,信息安全工作人員要不斷地評估當(dāng)前的安全威脅��,并不斷對當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知�。
2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的現(xiàn)狀
2.1 風(fēng)險(xiǎn)評估的必要性
有人說安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ),但有了安全產(chǎn)品��,不等于用戶可以高枕無憂地應(yīng)用網(wǎng)絡(luò)�。產(chǎn)品是沒有生命的�,需要人來管理與維護(hù),這樣才能最大程度地發(fā)揮其效能�����。病毒和黑客可謂無孔不入����,時(shí)時(shí)伺機(jī)進(jìn)攻。這就更要求對安全產(chǎn)品及時(shí)升級���,不斷完善�,實(shí)時(shí)檢測���,不斷補(bǔ)漏�。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的����,它需要合適的安全體系和合理的安全產(chǎn)品組合�,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶的情況和需求規(guī)劃�����、設(shè)計(jì)和實(shí)施一定的安全策略��。通常�,在一個(gè)企業(yè)中,對安全技術(shù)了如指掌的人員不多�����,大多技術(shù)人員停留在對安全產(chǎn)品的一般使用上���,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓����,他們將束手無策�。這時(shí)他們需要的是安全服務(wù)。而安全評估��,便是安全服務(wù)的重要前期工作���。網(wǎng)絡(luò)信息安全��,需要不斷評估方可安全威脅�。
2.2 安全評估的目標(biāo)、原則及內(nèi)容
安全評估的目標(biāo)通常包括:確定可能對資產(chǎn)造成危害的威脅��;通過對歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性�����;對可能受到威脅影響的資產(chǎn)確定其價(jià)值����、敏感性和嚴(yán)重性����,以及相應(yīng)的級別,確定哪些資產(chǎn)是最重要的�����;準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀����;明晰企業(yè)網(wǎng)的安全需求�;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略�;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案;指導(dǎo)企業(yè)網(wǎng)未來的建設(shè)和投入���;通過項(xiàng)目實(shí)施和培訓(xùn)���,培養(yǎng)用戶自己的安全隊(duì)伍。而在安全評估中必須遵循以下原則:標(biāo)準(zhǔn)性原則�、可控性原則、整體性原則��、最小影響原則�����、保密性原則���。
安全評估的內(nèi)容包括專業(yè)安全評估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)�。專業(yè)安全評估服務(wù)對目標(biāo)系統(tǒng)通過工具掃描和人工檢查�,進(jìn)行專業(yè)安全的技術(shù)評定,并根據(jù)評估結(jié)果提供評估報(bào)告��。
目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng)�,主流數(shù)據(jù)庫系統(tǒng)�,以及主流的網(wǎng)絡(luò)設(shè)備����。使用掃描工具對目標(biāo)系統(tǒng)進(jìn)行掃描,提供原始評估報(bào)告或由專業(yè)安全工程師提供人工分析報(bào)告�。或是人工檢查安全配置檢查��、安全機(jī)制檢查����、入侵追查及事后取證等內(nèi)容。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專業(yè)安全評估結(jié)果�����,制定相應(yīng)的系統(tǒng)加固方案����,針對不同目標(biāo)系統(tǒng)���,通過打補(bǔ)丁����、修改安全配置、增加安全機(jī)制等方法��,合理進(jìn)行安全性加強(qiáng)����。
系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包,必須以選擇ISMR/SSMR/HME服務(wù)包為前提��,針對評估分析報(bào)告�����,提出加固報(bào)告��。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包����,必須以選擇ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報(bào)告��,提出系統(tǒng)加固報(bào)告�,并將系統(tǒng)加固報(bào)告、加固步驟�����、所需補(bǔ)丁程序以光盤形式提交客戶。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包�,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提,針對評估分析報(bào)告�����,提出系統(tǒng)加固報(bào)告��,并將系統(tǒng)加固報(bào)告����、加固步驟、所需補(bǔ)丁程序以光盤形式提交客戶�����,并由專業(yè)安全工程師實(shí)施加固工作��。
3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估系統(tǒng)
討論安全評定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略���,這項(xiàng)工作主要檢測當(dāng)前的安全策略是否被良好的執(zhí)行,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素���。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP����,而該協(xié)議族并沒有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)�����,網(wǎng)絡(luò)安全評定的主要目標(biāo)就是為修補(bǔ)全部的安全問題提供指導(dǎo)�。
評定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài)���,進(jìn)行一些實(shí)際的檢測是非常必要的�����。最簡單的�����,可以通過Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)����,但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會禁止Trackroute流量的通過�。在了解了網(wǎng)絡(luò)拓?fù)渲螅瑧?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名。對于可以訪問的計(jì)算機(jī)�,還應(yīng)該了解其正在運(yùn)行的端口,這可以通過很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)����。當(dāng)對整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后,就可以針對所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了��。通常使用的方法是對協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測試�����。
安全領(lǐng)域的很多專家都提出邊界防御已經(jīng)無法滿足今天的要求�,為了提高安全防御的質(zhì)量,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外����,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對各種訪問進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)��,包括系統(tǒng)日志��、防火墻日志�、入侵檢測報(bào)警等。是否能夠從這些信息中有效的識別出安全風(fēng)險(xiǎn)���,是風(fēng)險(xiǎn)管理中重要一環(huán)�����。目前的技術(shù)手段主要被應(yīng)用于信息的收集�、識別和分析�����,也有很多廠商開發(fā)出了整合式的安全信息管理平臺�����,可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動�����。
數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值�,被直接攻擊和盜取數(shù)據(jù)將對用戶產(chǎn)生極大的危害。正因?yàn)槿绱?���,?shù)據(jù)系統(tǒng)極易受到攻擊。對數(shù)據(jù)庫平臺來說��,應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問,是否存在默認(rèn)用戶名密碼��,密碼的強(qiáng)度是否達(dá)到策略要求等����。而除了數(shù)據(jù)庫平臺之外,數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評估���。不同級別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證����,不但要檢驗(yàn)其是否存在安全問題����,還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證�����,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成���。攻擊者的一個(gè)非常重要目的在于無需授權(quán)訪問某些應(yīng)用�����,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板���。事實(shí)上大部分的安全漏洞都來自于應(yīng)用層面,這使得應(yīng)用程序的安全評定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分�����。與更加規(guī)程化的面向體系底層的安全評定相比���,應(yīng)用安全評定需要工作人員具有豐富的安全知識和堅(jiān)實(shí)的技術(shù)技能����。
4 結(jié)束語
目前我國信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作��,在測試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持�,已經(jīng)成為制約我國風(fēng)險(xiǎn)評估水平的重要因素。需要研究用于評價(jià)信息安全評估效用的理論和方法�����,總結(jié)出一套適用于我國國情的信息安全效用評價(jià)體系����,以保證信息安全風(fēng)險(xiǎn)評估結(jié)果準(zhǔn)確可靠�����,可以為風(fēng)險(xiǎn)管理活動提供有價(jià)值的參考��;加強(qiáng)我國信息安全風(fēng)險(xiǎn)評估隊(duì)伍建設(shè)�,促使我國信息安全評估水平得到持續(xù)改進(jìn)�����。
參考文獻(xiàn):
[1] 陳曉蘇�����,朱國勝��,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001��,32-34.
[2] 賈穎禾.國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2004(7),21-24.
[3] 劉恒,信息安全風(fēng)險(xiǎn)評估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評估與信息安全保障體系建設(shè)研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社���,2000.
[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1)�,40-45
[6] 趙戰(zhàn)生,信息安全風(fēng)險(xiǎn)評估[R],第全國計(jì)算機(jī)學(xué)術(shù)交流會,2004.7.3.
第7篇
【關(guān)鍵詞】數(shù)據(jù)通信��;網(wǎng)絡(luò)維護(hù);網(wǎng)絡(luò)安全���;問題分析
服務(wù)器虛擬化的互感器加密等級越高����,其信息平臺防擴(kuò)散效果越好�。采用位串描述檢測器對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的模式匹配進(jìn)行檢測���,從而提高網(wǎng)絡(luò)安全的防護(hù)等級����。強(qiáng)化對于技術(shù)人員計(jì)算機(jī)網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全管理意識的培養(yǎng)��,操作人員應(yīng)該運(yùn)用計(jì)算機(jī)多進(jìn)制的通信加密方式����,對繁雜的信息大數(shù)據(jù)進(jìn)行傳輸和有效處理,實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的遠(yuǎn)程操縱���,保證服務(wù)器虛擬加密過程不受外界的攻擊�。
1數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析
由于網(wǎng)絡(luò)中由于高速運(yùn)行的過程中�,往往會產(chǎn)生一些漏洞�,這些漏洞一般是由病毒攻擊導(dǎo)致的���。如果出現(xiàn)無人照看的安全漏洞系統(tǒng)進(jìn)一步發(fā)展����,就會造成整個(gè)服務(wù)器癱瘓的嚴(yán)重問題���。提升數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)的安全性�����,技術(shù)人員應(yīng)該定期對計(jì)算機(jī)病毒進(jìn)行查殺���,防止非自體的不良數(shù)據(jù)信息入侵網(wǎng)絡(luò)系統(tǒng)。建立更加安全的計(jì)算機(jī)網(wǎng)絡(luò)免疫系統(tǒng)�����,對非自串進(jìn)行準(zhǔn)確識別��。在網(wǎng)站服務(wù)器搭建的過程中���,針對互聯(lián)網(wǎng)環(huán)境分配的情況不同�����,使用不同的IP段地址來保證信息傳播的安全�����,或者使用劃分VLAN的形式��,對網(wǎng)站信息碼流開展有效的邏輯隔離���。
2數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析及網(wǎng)絡(luò)安全問題探討
2.1運(yùn)用新的防護(hù)墻技術(shù),開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)
由于計(jì)算機(jī)網(wǎng)絡(luò)接入層中涉及到許多的硬件設(shè)備�,硬件條件的穩(wěn)定可靠決定了計(jì)算機(jī)網(wǎng)絡(luò)的可靠程度的高低??蓪⑾噜彽膬蓚€(gè)介入交換機(jī)進(jìn)行堆砌,同時(shí)將終端的服務(wù)器設(shè)備整體介入到連接線路中�,再使用捆綁的形勢將諸多的設(shè)備形成一條效率更高、性能更穩(wěn)定的虛擬鏈接��。開展數(shù)據(jù)通信網(wǎng)絡(luò)狀態(tài)分析����,網(wǎng)絡(luò)工程技術(shù)人員應(yīng)該運(yùn)用新的防護(hù)墻技術(shù),開展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)����。運(yùn)用轉(zhuǎn)入性防火墻技術(shù)規(guī)則結(jié)構(gòu)�,開展網(wǎng)絡(luò)訪問界面的信息過濾探索�����。并且����,每一次登錄后臺系統(tǒng),必須要采用輸入安全密鑰的方式����,才能夠順利進(jìn)入。采用此種登錄方式����,重點(diǎn)在于防止閑雜人員進(jìn)入系統(tǒng)的后臺,對網(wǎng)絡(luò)信息的系統(tǒng)安全造成破壞��。運(yùn)用新的防火墻技術(shù)對系統(tǒng)安全進(jìn)行防護(hù)��,網(wǎng)絡(luò)工程技術(shù)人員必須要使用安全操作允許的數(shù)據(jù)交換方式����,進(jìn)行網(wǎng)絡(luò)后臺系統(tǒng)的層層加固���。在轉(zhuǎn)入性防火墻的技術(shù)保護(hù)規(guī)則之下,用戶訪問的時(shí)候需要提供本身的端口協(xié)議�,采用這種信息過濾技術(shù),能夠?qū)⒉环弦蟮男畔⑦M(jìn)行過濾��。并且����,將帶有安全隱患的信息端口自動轉(zhuǎn)到其他的web控制臺進(jìn)行處理。開展網(wǎng)絡(luò)安全系統(tǒng)加固操作���,技術(shù)人員需要根據(jù)信息反饋進(jìn)行技術(shù)規(guī)則優(yōu)化����。根據(jù)驗(yàn)證用戶提供的端口協(xié)議進(jìn)行分析���,并且建立更加符合操作要求的規(guī)則協(xié)議模塊。為了更好的維護(hù)計(jì)算機(jī)安全����,必須要向廣大的人民群眾普及計(jì)算機(jī)故障排除和預(yù)防方法。從社會宣傳和預(yù)防的角度來說,首先要制定強(qiáng)有力的計(jì)算機(jī)內(nèi)部系統(tǒng)的法律法規(guī)��,加強(qiáng)大眾計(jì)算機(jī)常識性教育���,通過多層網(wǎng)絡(luò)結(jié)構(gòu)有效地隔離各種故障�,簡化網(wǎng)絡(luò)運(yùn)行性�����,切實(shí)提高鏈接線路的使用效率和網(wǎng)卡介入水平����。推行網(wǎng)絡(luò)文明和信息安全,運(yùn)用新的防護(hù)墻技術(shù)��,技術(shù)人員應(yīng)該對網(wǎng)絡(luò)信息安全操作允許的系統(tǒng)記錄和接口進(jìn)行加密����,安全操作的訪問權(quán)限應(yīng)該限制在網(wǎng)絡(luò)內(nèi)部人員中使用。
2.2加強(qiáng)網(wǎng)絡(luò)環(huán)境信道測試���,及時(shí)修復(fù)通信漏洞
采用信道測試的方式���,對當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行安全測試����,能夠及時(shí)地發(fā)現(xiàn)安全系統(tǒng)中的漏洞�,根據(jù)網(wǎng)絡(luò)系統(tǒng)中的安全隱患進(jìn)行修復(fù),從而顯著增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性����。在網(wǎng)絡(luò)性能測試活動中,技術(shù)人員應(yīng)該采用數(shù)據(jù)電路測試的方式��,在DTE的兩端接口處���,進(jìn)行信道測試���。使用調(diào)制解調(diào)器進(jìn)行規(guī)程測試,能夠顯著提升信道測試的有效性�,從而有效排除數(shù)據(jù)電路測試中的信號干擾因素。內(nèi)部系統(tǒng)盤盡量不要與外部信息端口隨意接入�,在網(wǎng)絡(luò)運(yùn)營中必須要進(jìn)行科學(xué)的網(wǎng)絡(luò)系統(tǒng)管理,如果確實(shí)需要進(jìn)行外部端口接入時(shí)�����,一定要對其進(jìn)行信息保障化處理�����。從網(wǎng)絡(luò)安全防護(hù)體系建設(shè)出發(fā)�����,顯著提升網(wǎng)絡(luò)系統(tǒng)的安全性�。對ACL訪問方式進(jìn)行控制,采用信息過濾的方式��,對于不信任的訪問進(jìn)行攔截����,從而有效防范DOS攻擊。使用IPSEC-VPN組網(wǎng)方式�����,對數(shù)據(jù)通訊系統(tǒng)的安全性進(jìn)行加固�����,從而提升數(shù)據(jù)通訊系統(tǒng)的數(shù)據(jù)處理能力���。將NAT地址進(jìn)行隱藏�����,從而減少黑客攻擊的命中率�����。采用一系列的軟件升級新技術(shù)��,對網(wǎng)絡(luò)環(huán)境安全進(jìn)行深度保障性建設(shè)��。
2.3重點(diǎn)防范木馬攻擊�,建立嚴(yán)格的網(wǎng)路安全檢查制度
為了提升數(shù)據(jù)通信的工作效率�,維護(hù)網(wǎng)絡(luò)整體安全,技術(shù)人員應(yīng)該對WEB安全進(jìn)行防護(hù)����,重點(diǎn)防范可能存在的木馬攻擊。對于不明來歷的儲存卡和USB設(shè)備�,應(yīng)該禁止將其接入到內(nèi)部網(wǎng)絡(luò)中,防止出現(xiàn)數(shù)據(jù)系統(tǒng)感染問題���。加強(qiáng)對于WEB系統(tǒng)的安全防范����,經(jīng)常性地檢查內(nèi)部窗口是否處于正常的運(yùn)轉(zhuǎn)狀態(tài)����,防止網(wǎng)頁被惡意篡改。通常多層網(wǎng)絡(luò)結(jié)構(gòu)中包括計(jì)算機(jī)的接入層����、操作室的核心層和內(nèi)部信息的分布層,從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理方面來看����,為了提高網(wǎng)絡(luò)的可靠性,必須要對終端接入的可靠性進(jìn)行穩(wěn)定����。加強(qiáng)設(shè)備自身安全性建設(shè),對系統(tǒng)進(jìn)行定期的檢查����,對于網(wǎng)絡(luò)系統(tǒng)的脆弱部分進(jìn)行定期的優(yōu)化與升級處理。建立能夠抵抗DOS和DDOS攻擊的數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)��。核心設(shè)備的訪問方面�����,應(yīng)該采用管理員SSL加密登錄的方式,實(shí)現(xiàn)業(yè)務(wù)與管理界面分離���。并且登錄密碼應(yīng)該采用防破解設(shè)計(jì)方式�����,采用固定密碼配合動態(tài)密碼的方式���,提升密碼系統(tǒng)的安全性。
3結(jié)束語
為了適應(yīng)經(jīng)濟(jì)社會發(fā)展和辦公環(huán)境的需要���,必須要采取合理有效的措施提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性.可以通過提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性�����,注重計(jì)算機(jī)系統(tǒng)軟件升級��,運(yùn)用新的安全防護(hù)方式��,實(shí)現(xiàn)網(wǎng)絡(luò)通信模式的升級����。
參考文獻(xiàn)
[1]郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問題的探討[J].科技資訊,2011(26):9-9,11.
[2]石加歆.對通信網(wǎng)絡(luò)維護(hù)以及網(wǎng)絡(luò)的安全之我見[J].城市建設(shè)理論研究(電子版),2012(02).
[3]畢麗紅.基于LonWorks智能建筑實(shí)驗(yàn)系統(tǒng)網(wǎng)絡(luò)研究與設(shè)計(jì)[D].保定:華北電力大學(xué),2006.
