网络安全联络机制大全11篇

时间：2023-07-19 17:11:23

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇网络安全联络机制范文，希望它们能为您的写作提供参考和启发。

网络安全联络机制

篇（1）

1 江苏电力职业技能训练基地网络特点

江苏电力职业技能训练基地网络规划开始于07年，是为满足电力行业基础技能实际训练，建立的新型培训中心，中心在建设之初就考虑了各种培训模式，网络作为先进的辅助教学和管理工具是进行现代培训的基础。

基地内部网络虽然采用1000M的网络主干，与江苏省电力公司主网采用单条光纤连接，实现局域网络的运行模式。采用环网运行提高了与公司网络连接安全性，并进一步提高网络运行速度，达到消除拥堵的目的，使仿真、虚拟的培训教学系统运用减少了系统等待和抖动。

职业基地的网络建设扑结构图：

2 内部网络更易受到攻击

为什么内部网络更容易受到攻击呢？主要原因如下：

(1) 信息网络技术的应用正日益普及，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是企业不可缺少的重要的组成部分，基于Web的应用在内部网正日益普及，本企业的财务系统、PDM系统、ERP系统等，这些大规模系统应用密切依赖于内部网络的安全。

(2) 在对Internet严防死守和物理隔离的措施下，对网络的破坏，大多数来自网络内部的安全空隙。黑客工具在Internet上很容易获得，这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员能够对内部网络造成威胁的原因之一。

(3) 内部网络更脆弱。由于网络速度快，千兆的带宽，能让黑客工具大显身手。

(4) 为了简单和易用，在内网传输的数据往往是不加密的，这为别有用心者提供了窃取机密数据的可能性。

(5) 信息不仅仅限于服务器，同时也分布于各个工作计算机中，目前对个人硬盘上的信息缺乏有效的控制和监督管理办法。

(6) 由于人们对口令的不重视，弱口令很容易产生，很多人用诸如生日、姓名等作为口令，在内网中，黑客的口令破解程序更易奏效。

3内部网络的安全现状

在网络平台上建立了内部网络和外部网络，实行内部网络和外部网络的物理隔离；在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的应用如财务系统、PDM系统、教务系统、企业资源计划，逐步实现企业信息的高度集成，构成完善的企事业问题解决链。

在网络安全方面，根据国家和省公司系统内部的相关规定，配置了网络安全产品，如CISCO ASA5510-SEC防火墙等，防止病毒入侵，检测访客，该产品主要是针对外部网络，可能遭受到安全威胁而采取的措施，在内部网络上的使用虽然针对性强，但往往有很大的局限性。

4保护内部网络的安全

内部网络的安全威胁所造成的损失是显而易见的，如何保护内部网络，使遭受的损失减少到最低限度是网络安全不断探索的目标。根据多年的网络系统集成经验，形成自己对网络安全的理解，阐述如下：

4.1内部网络的安全体系

比较完整的内部网络的安全体系包括安全产品以及安全制度等多个方面，整个体系为分层结构，分为水平层面上的安全产品、安全管理等，其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度，从上至下地规定各个水平层面上的安全行为。

4.2安全产品

安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度，但在心理上既不能把制度理想化，也不能把人理想化，因此还必须有好的安全工具把安全管理的措施具体化。

目前市场上的网络安全产品林林总总，功能也千差万别，通常一个厂家的产品只在某个方面占据领先的地位，各个厂家的安全产品在遵守安全标准的同时，会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题，即是选择所需要的每个方面的顶尖产品呢，还是同一厂家联盟的产品。笔者认为选择每个方面的顶尖产品在价格上会居高不下，而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作，不能形成联动的、动态的安全保护层，一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥，另一方面，这些安全产品在技术实现上，有许多重复工作，这也影响了应用的效率。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动，达到动态反应的安全效果。

4.3网络安全技术和策略

内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向，那么安全技术和策略的实现也应从这三个方面来考虑。

积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测层面。内部安全漏洞在于人，而不是技术。因此，应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁，就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能，具体包括：不断地自动监视目录，检查用户权限和用户组帐户有无变更；警惕地监视服务器，检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏，真正的安全管理工具会通知相应管理员，并自动采取预定行动。

在积极查询的同时，也应该采用必要的攻击防范手段。网络中使用的一些应用层协议，如HTTP、Telnet，其中的用户名和密码的传递采用的是明文传递的方式，极易被窃听和获取。因此对于数据的安全保护，理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术，同时采用安全的密钥分发技术，这样既防止用户对业务的否认和抵赖，同时又防止数据遭到窃听后被破解，保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份，在发现遭受攻击后可以利用备份的数据快速的恢复；针对WWW服务器网页安全问题，实施对Web文件内容的实时监控，一旦发现被非法篡改，可及时报警并自动恢复，同时形成监控和恢复日志，并提供友好的用户界面以便用户查看、使用，有效地保证了Web文件的完整性和真实性。

4.4安全管理

安全管理主要是指安全管理人员。有了好的安全工具和策略，还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态，实时监控网络上的用户行为，保障网络设备自身和网上信息的安全，并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施，同时对已经发生的网络破坏行为在最短的时间内做出响应，使企业的损失减少到最低限度。

职训基地领导在认识到网络安全的重要性的同时，应当投入相当的经费用于网络安全管理人员的培训，聘请上级主管部门的专业人员，提供维护内部网络的安全。

4.5网络安全制度

网络安全的威胁来自人对网络的使用，因此好的网络安全管理首先是对人的约束，企业并不缺乏对人的管理办法，在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理，制定相应的政策法规，使网络安全的相关问题做到有法可依、有过必惩等，最大限度地提高员工的安全意识和安全技能，并在一定程度上造成对蓄意破坏分子的心理震慑。

认识到网络安全的重要性，已采取了一些措施并购买了相应的设备，但在网络安全法规上还没有清醒的认识，或者是没有较为系统和完善的制度，这样在企业上下往往会造成对网络安全的忽视，给不法分子以可乘之机。国际上，以ISO17799/BSI7799为基础的信息安全管理体系已经确立，并已被广泛采用，企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其它办公人员等各自的安全职责。安全组织应当有企业高层挂帅，由专职的安全管理员负责安全设备的管理与维护，监督其它人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。

5常见的网络攻击及其防范对策

特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器／客户机的运行方式，从而达到在上网时控制你电脑的目的。

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。

防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。

防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。

过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。

防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来分析问题的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。

正常情况下，TCP连接建立要经历3次握手的过程，即客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送SYN请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。

对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。

6结论

要想保证内部网络的安全，在做好边界防护的同时，更要做好内部网络的管理。所以，安全重在管理的观念已被广泛接受。没有好的管理思想，严格的管理制度，实施到位的管理程序，就没有真正的安全。在有了“法治”的同时，还要有“人治”，即经验丰富的安全管理人员和先进的网络安全工具，有了这两方面的治理，才能得到一个真正安全的网络。

参考文献

1 杨义先、钮心忻，网络安全理论与技术[M.人民邮电出版社，2003

2 Linda McCarthy著，赵学良译，信息安全一企业抵御风险之道[M].清华大学出版社，2003

篇（2）

一、组织指挥机构与职责

（一）组织体系

成立网络与信息安全领导小组，组长由分管副局长担任（特殊情况由局长担任），成员包括：各股室负责人及联络员等。

（二）工作职责

1．研究制订我局网络与信息安全应急处置工作的规划、计划和政策，协调推进我局网络与信息安全应急机制和工作体系建设。

2．研究提出网络与信息安全应急机制建设规划，检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

3．指导应对网络与信息安全突发事件的科学研究、宣传培训，督促应急保障体系建设。

4．及时收集网络与信息安全突发事件相关信息，分析重要信息并提出处置建议。及时向局领导提出启动本预案的建议。

5．负责参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作，进行应急处置工作。

二、工作原则

（一）居安思危，预防为主。立足安全防护，加强预警，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

（二）提高素质，快速反应。加强网络安全风险科学研究和技术开发，采用先进的监测、预测、预警、预防和应急处置技术及设施，充分发挥专业人员的作用，在网络安全风险发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

（三）加强管理，强化责任。建立和完善安全责任制及联动工作机制。加强与相关部门间协调与配合，形成合力，共同履行应急处置工作的管理职责。

三、网络安全风险防范工作流程

（一）信息监测与报告

要进一步完善网络安全风险突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对涉军领域网络安全风险的有关信息的收集、分析判断和持续监测。当发生网络安全风险突发事件时，在按规定向有关部门报告的同时，按紧急信息报送的规定及时向局领导汇报。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（二）预警处理与预警

1．对于可能发生或已经发生的网络安全风险突发事件，系统管理员应立即采取措施控制事态，并第一时间进行风险评估，判定事件等级并预警。必要时应启动相应的预案，同时向信息安全领导小组汇报。

2．领导小组接到汇报后应立即查明事件状态及原因，技术人员应及时对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别。

（三）风险处置

篇（3）

一、工作目标

着力加强关键信息基础设施网络安全防护，统筹网络安全机制、手段、平台建设，推进依法治网，筑牢网络安全屏障为重点工作目标，通过集中整治和引导规范，有效运用分类监管、约谈整改、等多种措施，集中整治全地区网站网络转载、短视频、动漫等领域侵权盗版多发态势，重点规范属地网站网络版权传播秩序，不断巩固网站、新媒体等领域专项整治成果，维护我地区清朗的网络空间秩序。

二、工作部署

积极协调属地网站认真配合版权、通信、公安、文化执法等部门为主的“剑网2019”专项行动，研究制定本部门专项行动工作方案。完成XX地区“剑网2019”专项行动工作任务。成立“剑网2019”专项行动工作领导小组，主动落实责任，进一步规范我地区互联网版权秩序。

三、重点工作

一是以网站为重点，严厉打击未经授权转载新闻作品的侵权行为；严厉打击未经授权摘编整合、歪曲篡改新闻作品的侵权行为；坚决整治通过“洗稿”方式抄袭剽窃，篡改删减原创作品的侵权行为；着力规范网络转载行为。

二是着力加强关键信息基础设施网络安全防护，统筹网络安全机制、手段、平台建设，推进依法治网，筑牢网络安全屏障。

三是联系网络成员单位合作沟通、检查合作、数据检测共享、网络安全员联络等工作机制，落实信息安全等级保护等制度，完善网络安全体系，配合地区版权局、地区专业通信局、地区公安处、地区文化综合执法支队等部门检查整治工作。

四、工作措施

加强协作联动。进一步加强配合地区版权局、地区专业通信局、地区公安处、地区文化综合执法支队等部门，协调作战，充分发挥各自专业优势，形成打击合力。

加强思想重视。牢固树立“四个意识”，旗帜鲜明加强党的领导，推进网信领域党的建设，为全区网信事业的健康发展提供坚强的政治保证。确保网络舆论阵地始终坚持正确政治方向。

加强网络宣传。做好网上正面宣传,提升网络安全防范意识,有效推动地区网络安全各项工作的开展。做好网络统一战线工作，增强广大群众对网络安全工作重要性的认知，提升网络安全防范意识，共同营造健康向上的网络文化氛围。

加强网站自查。网信办对属地内的网站要督促网站自纠自查，对具有一定影响力的新媒体负责人下达自纠自查的指令，并对属地网络进行摸底，查找购物类网站。同时，通过人工浏览和技术监测两种形式，安排专人专门负责，精准、丰富监控软件关键字，定时查看各大新闻网站，并重点对本地网站、论坛、贴吧等进行监测，搜集我地区侵权的相关信息，了解掌握舆论动向。

五、工作要求

加强组织领导。网信办将进一步加强配合，完成分配任务。网工委负责指导、协调、督促网络成员单位加强网络内容管理，有效利用各种手段加强对网络内容的监管。

篇（4）

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2014） 04-0000-01

在互联网和计算机技术飞速发展的推动下，我国的医院已经广泛应用计算机网络技术，并且在很多方面已经发展的很成熟。比如说门诊的信息管理系统、住院信息管理系统、影像管理系统、药品信息管理系统、病案管理系统等，这些应用软件在管理系统中的应用给日常的管理工作带来了十分大的便利，已经成为了医院的日常工作中十分必要的组成部分，因此保障网络的安全就显得很关键。

一、加强医院全体员工的安全意识

（一）医院的领导要给予安全工作足够的重视

无论是网络安全管理策略的制定还是制定之后的落实都需要投入一定量的人力、财力以及物力，要想实现全面的贯彻落实就需要医院各级领导的配合和重视。在提高医院全体工作人员的安全意识之前，各级的领导应该具备网络安全的一些相关的知识，并且应该从思想上认识到网络安全对医院的正常运行的重要意义。要安排专门的网络管理人员，使医院的网络系统走向规范化和专业化，对于网络安全的产品、工具以及技术要进行及时的更新。

（二）操作人员的安全防范意识

我们平常讲到的网络安全问题实际上就是一个十分典型的人机关系的问题，我们要想保障网络使用的安全，就应该把涉及到的计算机的人员作为安全工作的重要起点。医院中所有的操作局域网的工作人员要不断的接受计算机的安全法律教育，具备良好的职业道德，不断的学习计算机安全技术。这些人员要充分的认识到果一台机器出现不安全的隐患会给整个医院系统带来的危害要多大，从而帮助他们认识到网络安全的重要性。

二、健全安全的管理制度并且做好应急预案

（一）硬件设备安全管理制度

首先需要考虑到的就是设备的物理安全问题。针对中心机房、工作间以及设备间的使用功能设立科学的安全管理制度，鉴于医院是一个开放性的公共场所，要十分的注意有关设备的保护措施，确保一些无关的人员不能接触到设备。并且要及时的保护医院中的各类网线，一方面要防止有些人的恶意损坏，另一方面要避免出现施工人员在施工中无意损坏的情况。安全管理制度中应该建立警卫值班防止有些人通过撬门进入而偷盗或者损坏到医院的网络，对网络的供电系统、防静电、防雷击以及是否有效接地进行定期以及不定期的安全检查，密切注意机房中的清洁度、温度以及湿度是否可以达到规定的要求，做到遇事及时上报并且能够迅速做出反应等。

给所有的设备都配备档案管理卡，档案管理卡中应该包含本台计算机的型号、名称、配置、所在的位置和使用的科室、MAC地址、安装的使用程序、IP地址、以及重要的故障维修记录等等一些重要的信息，每一台设备都应该指定负责保管的专员，定期的进行检查和设备的维护。

（二）软件系统安全管理制度

对网络系统进行不断的检测的目的是为了能够及时的填补漏洞，最好能做到对系统进行不断的监视，这样可以大幅度的提高网络抵御危险的能力。一般情况下，医院都会把一些十分重要的数据存储在服务器上，因此，保障服务器的安全是重中之重的工作，其次要在服务器连接局域网之间对其安装和配置要进行科学的规划，其中规划的主要内容有：操作系统的选用、系统补丁文件的准备、禁用不必要的服务、磁盘分区的格式、更改密码、账号锁定、设计网络用户组、更改管理账号名字、时数管理、取消默认共享、安全策略、锁住注册表、设定各项审核、安装病毒监控程序、设置重要文件的位置以及文件的控制权限，保障安装软件的可靠性。当系统进行正常运作之后，必须对系统的安全性以及系统的性能进行监视，最好可以聘请一个安全顾问进行攻击性的分析。

（三）有效的监督机制

由于医院的网络是一个复杂的系统工程，因此要想维护好其安全运行，不仅要抵御来自外部网络所造成的威胁和攻击，还要防止内部人员的犯罪活动，我国的综合性医院中大约能有近千个终端，在很大程度上给网络的安全工作加大的了难度，因此切实可行并且有效的检查机制就显得十分的重要了，其能够帮助各项的安全管理制度能够落实到实处，并且还应该建立督查组织，或者医院的计算机领导小组应该起到督查的作用，对网络的运行以及网络运行记录进行督查，查看每项制度的实际落实情况，对网络定期上报的所有报表要进行审查，以及每个部门的网络安全员所做的工作记录。

（四）应急预案

灾难的发生通常都是突然的而且是不能预测的，所以应急预案应该在事发之前做出周详的应对策略，这样一来当灾难发生时就知道应该采取什么样的步骤能够最大程度的降低损失，在最短时间内实现系统全面运转的过渡，计算机领导小组应该指导应急预案的实施，所作出的应急预案应该包括能够出现的最坏情况，对能够出现的各种问题以及故障进行提前设想，比如：供电系统出现故障后应该采取什么样的措施，尤其是如何保障门诊管理系统的正常运行、主交换机发生故障、如何应对由于故障的发生导致的病人拥堵的现象。在应急预案中不可或缺的就是实施网络安全小组的成员以及他们的联络方式。只有拥有完善的应急预案才能够当灾难来临时应付自如。

三、结束语

网络安全技术不存在最好，只有更好。要想保障网络的安全性，就应该从人员、制度、技术以及医院的相关各方进行着手准备，使建立的安全网络管理策略能够形成一套完善的体系，有效的指导医院的安全网络建设以及网络的维护工作，这需要医院的全员能够对自身的意识进行提高，自觉践行安全制度，和系统软件的开发人员一起努力共同维护医院网络的有效运行。

参考文献：

篇（5）

针对计算机系统及网络固有的开放性等特点，加强网络管理人员的安全观念和技术水平，将固有条件下存在的安全隐患降到最低。安全意识不强、操作技术不熟练、违反安全保密规定和操作规程；明密不清，密件明发；长期重复使用一种密钥将导致密码被破译，下发口令和密码到期后仍能通过其进入网络系统等问题，将造成系统管理的混乱和漏洞。

（一）软硬件设施存在安全隐患

为了方便管理，部分软件在设计时留有远程终端的登录控制通道，同时在软件设计时不可避免的也存在许多不完善或是未发现的漏洞，如果没有必要的安全等级鉴别和防护措施，攻击者可以利用上述软件的漏洞直接侵入网络系统，破坏或窃取通信信息。

（二）传输信道上的安全隐患

如果传输信道没有相应的电磁屏蔽措施，那么在信息传输过程中将会向外产生电磁辐射，从而使得某些不法分子可以利用专门设备接收窃取机密信息。

在通信网建设和管理上目前还普遍存在建设质量低、维护管理差、网络效率不高、人为因素干扰等问题。

二、通信网络安全维护措施及技术

为了防止以上情况发生，在网络的管理和使用中，要大力加强管理人员的安全保密意识。

（一）为了实现对非法入侵的监测、防伪、审查和追踪，从通信线路的建立到进行信息传输，我们可以运用到以下防卫措施：

“身份鉴别”：可以通过用户口令和密码等鉴别方式达到网络系统权限分级，权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽，从而达到网络分级机制的效果。

“网络授权”：通过向终端发放许可证书防止非授权访问网络和网络资源。

“数据保护”：利用数据加密后的数据包发送与访问的指向性，即便被截获也不会由于在不同协议层中加入了不同的加密机制，将密码变得几乎不可破解。

“收发确认”：用发送确认信息的方式表示对发送数据和收方数据的承认，以避免不承认发送过的数据和不承认接受过数据等而引起的争执。

“保证数据的完整性”：一般是通过数据检查核对的方式达成的，数据检查核对方式通常有两种，一种是边发送接收边核对检查；一种是接收完后进行核对检查。

“业务流分析保护”：阻止垃圾信息大量出现造成的拥塞，同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。

（二）采用的多种安全技术

1.防火墙技术

防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。针对网络安全独立元素――防火墙技术，通过对防火墙日志文件的分析，设计相应的数学模型和软件雏形，采用打分制的方法，判断系统的安全等级，实现对目标网络的网络安全风险评估，为提高系统的安全性提供科学依据。

2.入侵检测技术

入侵检测，顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

3.网络加密技术

“加密”是一种限制对网络上传输数据的访问权的技术。原始数据被加密设备和密钥加密而产生的经过编码的数据称为密文。将密文还原为原始明文的过程称为解密，它是加密的反向处理，但解密者必须利用相同类型的加密设备和密钥对密文进行解密。

4.身份认证技术

身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

5.漏洞扫描技术

漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。

篇（6）

总则

1.1

编制目的

建立健全本市网络安全事件应急工作机制，提高应对突发网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序，保障城市安全运行。

1.2

编制依据

《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《突发事件应急预案管理办法》、《国家网络安全事件应急预案》、《XX市实施办法》、《XX市突发公共事件总体应急预案》和《信息安全技术

信息安全事件分类分级指南》（GB/Z

20986—2007）等,编制本预案。

1.3

适用范围

本预案适用于本市行政区域内发生的网络安全事件，以及发生在其他地区且有可能影响XX城市安全运行的网络安全事件的预防和处置工作。其中，有关基础电信网络的通信保障和通信恢复等应急处置工作，适用《XX市通信保障应急预案》;有关信息内容安全事件、涉密网络和系统的网络安全事件的应对，另行制定预案。

1.4

工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

组织体系

2.1

领导机构

市委网络安全和信息化委员会（以下称“市委网信委”）负责统筹协调组织本市网络安全保障工作，对处置本市网络安全事件实施统一指挥。

2.2

应急联动机构

市应急联动中心设在市公安局，作为本市突发事件应急联动先期处置的职能机构和指挥平台，履行应急联动处置较大和一般突发事件、组织联动单位对特别重大或重大突发事件进行先期处置等职责。各联动单位在其职责范围内，负责突发事件应急联动先期处置工作。

2.3

市应急处置指挥部

发生特别重大、重大网络安全事件发生，职能部门报市领导决定后，将市委网信委转为市网络安全事件应急处置指挥部（以下简称“市应急处置指挥部”），统一指挥本市网络安全事件处置工作。总指挥由市领导确定或由市委网信委负责相关工作的领导担任，成员由相关部门和单位领导组成，开设位置根据应急处置需要确定。同时，根据情况需要，设置联络和处置等专业小组，在市应急处置指挥部的统一指挥下开展工作。

2.4

职能部门

市委网络安全和信息化委员会办公室（以下称“市委网信办”）作为市委网信委的办事机构，具体承担统筹协调组织本市网络安全事件应对工作，建立健全跨部门联动处置机制。

2.5

专家咨询机构

市委网信办负责组建处置网络安全事件专家咨询组，为处置网络安全事件提供决策咨询建议和技术支持。

预防预警

3.1

预防

各区、各部门、各单位要做好网络安全事件的风险评估和隐患排查工作，及时采取有效措施，避免和减少网络安全事件的发生及危害。

3.2

预警分级

网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

3.3

预警监测

各区、各部门、各单位按照“谁主管谁负责、谁运行谁负责”的要求，组织对本区域、本单位管理范围内建设运行的网络和信息系统开展网络安全监测工作。各区、各部门、各单位将重要监测信息报市委网信办，市委网信办组织开展跨区、跨部门的网络安全信息共享。

3.4

预警信息

市委网信办根据危害性和紧急程度，适时在一定范围内，网络安全事件预警信息，预警级别可视网络安全事件的发展态势和处置进展情况作出调整。其中，红色、橙色预警信息同时报市委总值班室、市政府总值班室。

预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、机关等。

3.5

预警响应

进入预警期后，有关地区和单位立即采取预防措施，检查可能受到影响的网络和信息系统，做好相关安全风险的排查和修复工作。加强本地区、本单位网络与信息系统安全状况的监测，并将最新情况及时报市委网信办。市网络与信息安全应急管理事务中心根据事件性质，通知相关应急处置支撑队伍处于应急待命状态，并保障所需的应急设备和网络资源处于随时可以调用状态。同时，加强对全市网络与信息系统安全状况的监测，每小时向市委网信办报告最新情况。

3.6

预警解除

市委网信办根据实际情况，确定是否解除预警，及时预警解除信息。

应急响应

4.1

信息报告

4.1.1发生网络安全事件的单位必须在半小时内口头、1小时内书面报告市委网信办值班室、市应急联动中心和事发地区网络安全主管部门。较大以上网络安全事件或特殊情况，必须立即报告。

4.1.2发生重大网络安全事件，市委网信办、市应急联动中心必须在接报后1小时内口头、2小时内书面同时报告市委网信委、市委总值班室、市政府总值班室；发生特别重大网络安全事件或特殊情况，必须立即报告市委网信委、市委总值班室、市政府总值班室。

4.2

响应等级

4.2.1本市处置网络安全事件应急响应等级分为四级：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，分别对应特别重大、重大、较大、一般网络安全事件。事件的响应等级由市委网信办判定。

4.2.2发生一般或较大网络安全事件，由市委网信办和市应急联动中心决定响应等级并组织实施；发生重大或特别重大网络安全事件，由市委网信办和市应急联动中心提出处置建议，报市委网信委（或市应急处置指挥部）批准后组织实施。

4.3

应急处置

4.3.1市网络与信息安全应急管理事务中心应在接报后，立即评估事件影响和可能波及的范围，研判事件发展态势，根据需要，组织各专业机构在职责范围内参与网络安全事件的先期处置，并向市委网信办报告现场动态信息。必要时，由市委网信办牵头成立由市网络与信息安全应急管理事务中心、事发单位、主管机构负责人和相关信息安全专家组成的现场处置工作组，具体负责现场应急处置工作。

4.3.2

一般、较大网络安全事件发生后，事发单位应在第一时间实施即时处置，控制事态发展。市委网信办会同市应急联动中心组织协调相关部门、单位和专业机构以及事发地区政府调度所需应急资源，协助事发单位开展应急处置。一旦事态仍不能得到有效控制，由市委网信办报请市委网信委决定调整应急响应等级和范围，启动相应应急措施。必要时，由市委网信委统一指挥网络安全事件的处置工作。

4.3.3

重大、特别重大网络安全事件发生后，由市委网信办会同市应急联动中心组织事发地区政府和相关专业机构及单位联动实施先期处置。一旦事态仍不能得到有效控制，视情将市委网信委转为市应急处置指挥部，统一指挥、协调有关单位和部门实施应急处置。

4.4

技术实施

4.4.1处置小组制订具体处置建议方案后，组织相关专业机构、事发单位和有关部门进行检验，检验结果上报市应急处置指挥部。

4.4.2检验结果经评估后形成处置正式方案，经批准后由联络小组及有关部门按照方案要求，协调、落实所需的应急资源。

4.4.3处置小组根据市应急指挥部下达的指令，实施应急处置。处置手段主要为：

（1）封锁。对扩散性较强的网络安全事件，立即切断其与网络的连接，保障整个系统的可用性，防止网络安全事件扩散。

（2）缓解。采取有效措施，缓解网络安全事件造成的影响，保障系统的正常运行，尽量降低网络安全事件带来的损失。

（3）追踪。对黑客入侵、DOS攻击等人为破坏，由相关执法部门进行现场取证，并采取一定的技术手段，追踪对方信息。

（4）消除和恢复。根据事件处置效果，采取相应措施，消除事件影响；及时对系统进行检查，排除系统隐患，以免再次发生同类型事件，并恢复受侵害系统运行。

4.5

信息

4.5.1一般或较大网络安全事件信息和舆论引导工作，由市委网信办负责。

4.5.2重大或特别重大网络安全事件信息工作，由市政府新闻办负责，市委网信办负责舆论引导和提供口径。

后期处置

网络安全事件处置后，市委网信办负责会同事发单位和相关部门对网络安全事件的起因、性质、影响、损失、责任和经验教训等进行调查和评估。

应急保障

有关部门和市网络安全重点单位（以下简称“重点单位”）要按照职责分工和相关要求，切实做好应对网络安全事件的人员、物资、通信和经费等保障工作，保证应急处置和救援工作的顺利进行。

6.1

机构和人员

各区、各部门、各单位要落实网络安全工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急工作机制。

各区、各部门、各单位要将网络安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识及技能。

6.2

物资保障

各相关部门、专业机构、重点单位要根据实际需要，做好网络与信息系统设备储备工作，并将储备物资清单报市委网信办备案。

6.3

通信保障

市经济和信息化委员会（市无线电管理局）、市通信管理局等部门要建立无线和有线相结合、基础电信网络与机动通信系统相配套的应急通信系统，确保应急处置时通信畅通。

6.4

经费保障

依照市政府有关处置应急情况的财政保障规定执行。

6.5

责任与奖惩

网络安全事件应急处置工作实行责任追究制。

市委网信办及有关区和部门对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。

市委网信办及有关区和部门对不按规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

附则

7.1

预案解释

本预案由市委网信办负责解释。

7.2

预案修订

市委网信办根据实际情况变化，适时评估修订本预案。

7.3

预案实施

本预案由市委网信办组织实施。

各区、各部门、各单位根据本预案，制定或修订本区、本部门、本单位网络安全事件应急预案，并报市委网信办备案。

本预案自印发之日起实施。

附

件：

网络安全事件分类和分级

篇（7）

一、校园网安全策略部署是重要一环

1、网络中心要做好外网防火墙的部署

校园网中的防火墙缺失或者部署不当将必然导致病毒与木马对学生终端的危害，学校网络管理人员要认研究现有硬件防火墙的安全策略能否满足本校网络安全的需要，在病毒防护、安全策略、访问记录部署上最大限度地利用硬件防火墙保护内网的访问安全。如果经过测试硬件防火墙不能满足需要，要及时进行数据升级或更换。

2、网络中心要做好三层核心交换机的安全策略部署

网络防火墙是保护内网安全的第一道屏障，而三层核心交换机是保障用网安全的第二道屏障。网络中心应该根据自有核心交换机的性能去设计相应的安全策略部署。

包括：（1）按实际需要划分VLAN。（2）根据自身需要制定VLAN间的数据包过滤策略，通过制定协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等包过滤策略，虽然包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，但却可以通过这种访问策略阻隔住非法用户的访问，有效保护不同子网的用户免遭黑客的攻击。

3、网络中心要做好网络安全预警沟通工作

通过调查了解到：学校的网络中心管理人员往往充当“救火队”的角色，师生们要么上不了网找网络管理员、，要么机器坏了或者因中毒遭受到这样那样的损失时才找网洛管理员。而网管工作人员出于领导重视程度、自身工作负担或者是技术水平等方面的因素往往缺乏定期或不定期的网路安全预警工作。网络中心要减轻“救火队”的压力的唯一出路就是做好网络环境的安全工作。而通过路由器、防火墙、核心交换机、网络抓包工具及各大安全网站的记录数据及安全预警提示，网络中心至少应该定期在OA或者其他途径做好网络安全预警工作，让学校全体师生动态了解学习相应的网络安全知识，定期更新终端病毒库。如此方可建立一个群防群治的用网环境。

二、用户终端安全策略部署必不可缺

通过网管中心安全策略的部署，我们可以保障校园网内的基本安全，要做到让学生终端及时更新系统补丁与安装安全杀毒软件、并对安全杀毒软件进行更新。目前互联网上有很多包括针对移动终端和桌面终端的360安全软件、百度安全软件、腾讯安全软件等免费有效的软件。因此软件的获得途径是畅通的，关键是要让大家重视终端安全软件的安装与升级。笔者认为：第一，作为学校的机房管理人员，即使有硬件还原卡，也要定期对机房的系统进行升级，不能只保障机房的系统不崩溃而忽略了学生的用网安全。第二：学校网管工作人员应该定时下载相应的安全软件和更新数据推荐师生安装。第三，中职学校班主任应该在班会课上定期宣传网络安全知识，并检查学生手机和用网电脑的安全软件的安装与更新，对未安装安全软件的同学进行引导，如此才能确保学生在网络下不至于“裸奔”！

三、重视网络安全意识培养

防止网络安全问题的关键是全校重视师生网络安全意识的培养，笔者认为要做好这方面的工作应该从以下几个方面入手。

1、学校要加强中职生网络安全知识教育。

由于专业课程设置的原因，目前中职学校一般只有计算机专业与电子商务专业会涉及到网络安全教育的课程，这些班接受过系统的知识对网络安全的意识会稍微强一点，但由于缺乏长效机制，课程后时间一长又容易麻痹。对于其他专业的学生往往三年里只会开一门计算机基础的课程，课程涉及的内容大部分是计算机基础知识与OFFICE应用，网络安全方面的知识由于不在大纲范围内，基本上是蜻蜓点水，情况不妙。笔者曾经连续两年在所在学校的模具班与数控班做过一个小调查，能够坚持在手机端与自用电脑上安装系统补丁与杀毒软件并定期升级的学生不到20%。而知道杀毒软件不能混合安装的不到5%。究其原因，有的说老师没讲，有的说装了以后系统慢，有的说升级要耗费流量。如此局面，令人揪心。

笔者认为，中职生网络安全意识的培养是需要一定专业知识支撑的，因此学校要在每个专业都开设网络安全课程，每学期的课程不需要多，但是应该贯穿三年，只有这样，才能切实做好中职学生的网络安全教育工作。

2、从心理层面去辅导中职学生如何面对互联网

中职生网络信息甄别能力薄弱，容易受到网络不良信息的影响。有个别学校发现这些问题后，采用禁止带手机和移动设备进校园，希望“一劳永逸”，但笔者认为此种以堵代疏的方式与时展趋势相左，既容易造成学生逆反心理，也不利于网络安全意识的培养。在无线信号全方位覆盖与移动终端普及的今天，禁止带手机很容易变得尴尬无力。

正确的方法应该是：学校德育部门与心理咨询中心要研究移动互联网对中职生心理的影响以及可能出现的问题和疾病，发动班主任班干部或者是每班的心理联络员在中职生群体内部协助做好网络心理服务工作。

3、传递正能量，树立正形象。

篇（8）

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）09-0037-02

1 引言

二十一世纪的今天，伴随着日益发展计算机网络，是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分，硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢？

2 网络安全体系简单构建例

一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。

2.1实施对象概况和安全需求

? 汇聚层交换机，核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。

? 该制衣企业拥有电脑数量约为100台，还有3台网络打印机，一台web兼E-mail服务器，一台FTP服务器，一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。

? 该企业在广域网连接方面，除了要实现因特网接入外，还要提供远程办公和跟合作伙伴、供应商的VPN连接。

? 内部客户端不能直接访问外网，需要通过企业主干网接入INTERNET（全球互联信息网）。供应部、营销部、技术部可以连接Internet。实现供应部与各供应商保持联络，能和接收相关原材料需求和供应信息，但不能访问特定娱乐新闻购物类网站；营销部可以跟各渠道商通过邮件时刻保持联系，在关注现有客户同时发现潜在客户，推广企业的产品，打开市场销路；技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术，为其他部门寻找和准备相对应的网络资源。

? 除以上部门外其他部门除有特殊情况外都不能连接Internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行P2P和BT方式的下载行为。

2.2 利用硬件防火墙完善网络拓扑结构

基于上述的判断，软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任，这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。

在该网络安全体系结构中硬件防火墙主要由神州数码DCFW-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术，拥有包括TCP会话保持与报文重组、VPN、QoS流量管理的芯片级加速方案，并且提供独立的硬件DFA引擎，带有IPS入侵检测模组。辅以高达48Gbps的高速交换总线，以及新一代64位实时并行操作系统DCFOS，确保整个系统不仅在处理网络通讯，而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性，其新一代网络安全架构能提供给用户最大化的可扩展能力，方便日后的升级。

在考虑到网络服务器群组的使用和防护要求，同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式，如图1所示。

在该形式中，专门划分出一个周边网络“非军事区域（DMZ）”，来将对外提供服务的各种服务器放置其中（配置示例如图 2所示），使Internet侧用户访问服务器时不需要进入内部网络，而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络，防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DMZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率，而将原本用于隔离内网络和DMZ区、对内部用户访问DMZ区和外部网络权限进行控制的内部路由器省略，由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的IPS模组对数据流进行再次检查和报警，防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响，还可以将硬件防火墙设定为定时复制对方过滤规则，实现一个联动和备用功能。简单来说外网、DMZ、内网三者主要实现下面三个效果：

? 外网可以访问DMZ，但不能直接访问内部网络。

? DMZ可访问外网，不能访问内网。

? 内网可以访问外网和DMZ。

作为堡垒主机的硬件防火墙除了可以向外部用户提供WWW、FTP、E-mail等应用服务外，还可以在接受外部用户的服务器资源请求同时向内部用户提供DNS、E-mail、FTP等服务，并提供内部网络用户访问外部资源的接口。

2.3搭建网络安全平台

经过防火墙体系结构选型和构建，以及对如何完善安全服务机制的初步探讨后，整个网络安全体系已经初见雏形。而作为网络安全体系中重要一环的网络安全平台，则可以将硬件防火墙设备与相关网络技术结合起来，利用其搭建一个以硬件防火墙为核心的可操作性强的网络安全平台。

2.3.1外部访问认证

由于存在合作伙伴、协力企业、在外出差员工等对企业网络资源访问需求的群体，企业必须为他们提供一种安全的远程连接访问方式。而硬件防火墙上技术成熟、使用广泛的，成本低廉的VPN虚拟专用网络技术则正好能满足企业的需求。

通常来说传统的通过特定VPN连接软件连接的第一代VPN实现方式上有基于数据链路层PPTP、L2TP的VPN实现方式与基于网络层的IPSec的VPN实现方式（如图3所示）。虽然创建基于PPTP和L2TP的VPN的方法较创建IPSec VPN方法要简单许多，但是随着时代的进步和网络安全威胁的日益增加，基于数据链路层的VPN连接已无法完全胜任时代的安全需求了。所以现在进行VPN配置时一般选择使用IPSec技术作为数据传输时安全保障。

从原理上说，IPSec通过使用基于HASH函数的消息摘要来确保数据传输的完整性，使用动态密钥来对数据进行传输加密。也刚正好符合完善网络安全机制的要求。

图3 传统VPN实现方式

在防火墙中创建基于IPSec的VPN时，一般要先创建好IKE（即Internet密钥交换协议）的第一阶段和第二阶段提议，然后继续创建VPN对端，并在接下来创建IPSEC隧道并制定基于隧道的安全策略，最后再创建源NAT策略。在实现过程中有以下几个要点：

? IPSec隧道建立的条件必须要一端触发才可。

? 基于隧道的策略要放在该方向策略的最上方。另外从本地到对端网段的源NAT策略应该放在源NAT策略中的最上方。

? 在IPSEC VPN隧道中关于ID的概念，这个ID是指本地加密子网和对端加密子网。

除上述模式外，硬件防火墙还能支持第二代VPN实现方式SCVPN，即基于传输层的SSL VPN。其优势在于相对IPSec VPN相比，配置和构建相对简单方便，穿透力强能以透明模式功能，而且SSL VPN客户端早已融入到各主流浏览器中。用户只需要通过浏览器登录并通过验证即可使用VPN功能，为用户省去繁琐的客户端携带和安装，大大增强便捷性。但是缺点也很明显，由于SSL 协议的限制，在硬件防火墙上使用SSL VPN性能发挥上远远不如IPSec VPN。

2.3.2内部访问验证

为了对内网用户进行具体的网络行为跟踪监督工作，分配内网用户访问权限。进行内部访问认证从而确认网络行为实施者就变得很有必要了。一般来说，进行网络内部访问认证需要配置Radius认证服务器、Active-Directory认证服务器和LDAP认证服务器中的一种，用来存储用户信息和提供用户验证功能，虽说每一种验证服务器的功能都非常强大，但是部署起来不但需为之投入额外资金和资源，而且配置相对繁琐和维护也相对不易，对于小型企业来说实施起来有一定困难。幸好得益于硬件防火墙强大的性能，我们也可以直接在硬件防火墙上配置本地认证，然后通过web浏览器为客户端进行认证登陆（如图4所示）。当然有条件的企业亦可以通过将硬件防火墙上的WEB访问验证方式跟Radius、Active-Directory、LDAP验证服务器无缝结合起来，减轻硬件防火墙的资源负担，增强整个内部访问验证的可靠性和高效性。

图4 内部WEB认证登陆页面（下转第54页）

（上接第38页）

2.3.3网络层到应用层全面控制

硬件防火墙通过在网络层和传输层通过特定的规则、数据封包的属性来对数据进行检测和过滤，从而抵御非法数据的入侵和黑客的攻击，同时提供多种地址转换方式，这些都是硬件防火墙最传统也最常用的应用。

开启硬件防火墙在应用层上的附加功能以扩展硬件防火墙的安全保护范围，提升整个网络的安全指数。例如通过URL过滤可以屏蔽一些跟工作无关的新闻、娱乐、购物类网站以及恶意网址；通过网页内容过滤来屏蔽一些敏感的关键字；通过开启防病毒检测，从网络外部阻挡病毒木马的入侵；通过上网行为监督，来提高网络的使用效率；通过IM工具过滤来提升员工的工作效率。

3 结束语

随着计算机网络在人们生活的各个领域中广泛应用，以网络为目标的不法行为也日渐增多。为所属网络构建一个完整高效可操作性强的网络安全体系亦越来越重要。而这次通过构建基于实际案例和具体网络安全指标的网络安全体系例子则非常充分地体现了硬件防火墙在网络安全体系中的区域隔离、攻击防护、协议过滤、流量控制、用户认证、上网行为追踪记录与管理、VPN远程访问等核心应用。相信在很长的一段时间内如何有效地和实地利用硬件防火墙在应用上的优势将会是影响整个网络安全体系构建成败的关键因素。

参考文献：

[1] 谢希仁.计算机网络（第6版）[M].北京：电子工业出版社，2013.

篇（9）

中图分类号 TN9 文献标识码 A 文章编号 2095-6363（2015）09-0050-02

校园网络变得更加开放的同时，网络安全正经受更加严格的挑战，网络管理者必须切实了解保护本地网络安全的手段。本文尝试对如何创建安全的校园网络环境并保持其稳定运行提出一些规划原则与管理方法。

1 常见网络安全威胁类型

1）病毒、木马、蠕虫等自动攻击工具。具备自我复制和传播能力的程序可破坏计算机系统，破坏某信息保密性和完整性，使得攻击者从中获得利益。早期一般通过系统漏洞或文件漏洞传播，随着操作系统安全代码的日趋完善，目前主要靠欺骗性下载（如网站挂马或植入恶意代码）并被简单触发。

2）拒绝服务攻击。拒绝服务是攻击者常用攻击手段之一。攻击者通较强计算能力的服务器或大规模肉鸡作为攻击跳板，对目标发起洪水一般的非法请求，使得服务方难以接受正常访问请求或造成缓冲区溢出，服务被迫关闭甚至崩溃。

3）基于服务代码和服务漏洞的攻击。作为官方的网络窗口，运行于服务之上的网站代码并不总是安全的。事实上，国内多数网站都没能做到足够安全的代码防护。运行于非标准的web服务器的web网站，对熟练的站点攻击者而言，仅需几分钟即可获得基本webshell，并据此进行权限提升。从互联网上下载的免费文章系统（如知名的动网模板），由于受到关注，攻击者更容易通过内部技术组织联络获取攻击手段。

笔者所在学校站点早期使用ACCESS数据库，攻击者便经常尝试直接下载数据库；升级为SQL SERVER数据库后，我们发现了大量的SQL注入攻击代码，如晚间的一次攻击尝试代码：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

从日志中很容易看出，攻击者尝试渗透数据库获取关键数值，并对注入代码做了简单伪装。

4）社会工程学攻击渗透。近年来攻击者对攻击目标的检测方法变得多样化，攻击者通过多种渠道了解目标，利用社会工程学手段分析以获得敏感信息，攻击更具效率，大数据技术的快速发展则进一步加剧了此类风险的威胁水平。如网络管理者总是愿意使用有类似特征的密码体系同时管理公用设备和个人信息，一旦个人信息被猜解，所在网络的安全风险便极大增加。

当代网络面临的安全风险越来越多，攻击不可避免，网络攻击的原理趋向复杂，而攻击者更容易获取更具威胁的自动化攻击工具，这意味着攻击变得愈发容易。

2 学校园区网安全体系的规划和建设

1）园区网安全体系的基本涵义。网络安全体系由硬件安全、底层系统安全和服务/软件安全三个方面构成，任何方面存在漏洞，都会导致整个网络面临安全崩溃。我国当前正在推动关键设备国产化进程，即从硬件层面考虑，保护网络敏感信息不被国外生产厂非法商取。完整的网络安全体系应在硬件层面作出合理选择，在底层系统层面进行合理配置，减少系统漏洞暴露，在提供服务时建立多层次风险防控和数据过滤措施，保证网络安全运行。

2）园区网安全体系规划原则。网络安全与提供服务的性能存在矛盾，管理者应以保障网络服务正常提供为前提，评判网络安全风险，适度规划并保留升级弹性，以经济合理的方式规划安全防御系统。网络安全体系需要覆盖到整个网络，对高风险区域应设置网络边界，并指定数据流动规则（ACL）。

3）网段规划。根据功能区分，通常将整个网络划分几个功能独立的子网，至少包括网络设备与网络管理区域、停火区（DMZ）、学生机房、办公区域以及普通联网用户区域等，各子网间保持物理或逻辑上的网段隔离，不同区域用户一般禁止跨越子网互访。这是保护网络安全的最基本手段。

4）安全防护设备选择。传统网络安全体系基于P2DR模型，即策略、防护、检测和响应，设备组成一般包括终端安全（配置杀毒软件）；ACL（设备、端口规则和数据流向规则）；防火墙以及IDS/IPS（应用于DMZ）；它可以实现对多数病毒和传统攻击的有效抵御，以包过滤为基本检测手段，具备部分协议检测能力；对网站注入、渗透等较新的攻击方式防御能力有限。

选择何种设备组建网络安防体系，取决于本地网络规模、提供的服务类型和网络管理者的技能水平。园区网可以考虑在传统安全体系基础上，根据本地网络运行特性有针对性增加管控设备，为保障带宽有效利用，针对内部用户可配置行为管理系统，对用户网络行为进行管控，对占据带宽资源和并发数资源的应用予以限制；针对WEB服务，可以配置WEB防护系统，对数据库注入、代码攻击、跨站脚本等作出有效防护；针对网络内部恶意行为，可以配置网络日志分析记录系统，在恶意行为发生时提供报警，在行为发生后提供记录。

3 学校园区网安全体系运维原则

1）安全网络要求全部终端用户参与。根据“木桶原理”，网络中任一端点的安全风险会扩大到整个网络。园区网络安全体系需要覆盖到整个网络的所有端点。考虑到难以对所有用户实行严格要求，管理者应考虑网络不同区域的安全等级，制定对应安全策略，在不同区域间设立网络边界，保证任意区域故障不会蔓延至其他区域。

2）制度优先。防患于未然，网络安全事件总是发生在未曾受到关注的制度角落。管理者应综合考虑网络整体状态，制定安全事件责任制度，制定应急预案，制定各类安全事件和风险事件的相应制度，制定网络使用制度等；完善的制度是保障网络稳定运行的必要条件。

3）数据备份。数据备份是网络运维的必需手段。精确计算当前数据容量，预估数据增量，考虑数据备份措施，必要时配备数据备份设备。外部攻击者在获取网络权限后，经常造成有意或无意的数据损害，超过50%的情况下数据损失不可逆转。设置数据备份机制，是保障网络服务的最后手段。

4）完善事件记录。园区网历经长期运行后，管理者将能够发现和总结本地网络常见威胁列表，建立网络运维事件日志，能极大节省管理者故障定位和解决问题的时间与精力。这些记录包括下述文件，网络日常监测记录、病毒流行记录、设备故障处置和维修记录、攻击处置记录等。

4 结论

尽管网络总是不安全的，管理者还是可以通过各种手段，以科学、合理的方式建设网络安全体系，不断学习提高技术水平，尽力保护本地网络和服务不受非法攻击侵害。作为多年工作经验的总结，笔者希望通过本文抛砖引玉，提供网络安全运维的方法和原则，谨与同行共同交流。

篇（10）

这是整个开放教育教务管理系统网络安全的关键，实际上网络安全问题的80%是由于管理问题造成的，存在的管理问题包括管理组织、管理规范、技术管理、日常管理等。

(1)管理组织不健全由于网络安全是一个相对较新的问题，绝大多数单位由并没有一个实际的网络安全管理组织。建议各省、市学校要按照“谁主管、谁负责，谁运营、谁负责”的要求，建立以主要领导为第一责任人，校办、网络管理等职部门参加的信息网络安全管理组织，明确网络管理和联络人员。

(2)管理规范不完善对于网络安全管理一定明确真正的责权人，大多数省校、市校及学生中心都只是有一些并不完整的制度，而网格安全是一个整体工程，不完整的制度不能有效的起到规范管理的作用。我们建议要做好网络信息安全防控工作，不但要完善安全防控体系，还要建立值班监控机制，落实内部安全规章制度，要以校内多媒体教室、公共机房、办公网络等公共上网场所为重点，严格落实上网实名登记管理。

(3)技术管理不到位虽然技术管理大概是目前问题最少的，但是这些基本上是网络管理和应用系统的用户管理，一般单位基本上是空白，因为大多数单位只是考虑防火墙、防病毒等基本技术安全措施，没有对网络安全做到进一步的细化管理。要加强对校内IP地址资源和服务器的管理，严格按照省校、市校局域网统一规划的IP地址段分配校内IP地址。对承载有重要数据和交互功能的应用系统，特别是建有互联网网站的部门，要进行安全评估，根据安全评估报告加固系统，使用正版软件。

(4)日常管理不系统现在的教务管理系统安全存在管理不严格、不系统的问题。学校的管理工作人员还具有不稳定性，教务管理人员特别是下设各学习中心的管理人员常常变更，而且管理人员分散在各学习中心，沟通上存在限制，这些都增加了管理工作的难度。建立网络安全管理工作日志台账，制定完善网络安全应急预案，以确保校园网络安全突发事件“发现得早、化解得了、控制得住、处置得好”。

2从技术层面分析

这一层面问题是最早被大家重视的问题，也是网络安全软硬件的技术性问题从数据备份、数据删除及网络协议三个方面来分析：

(1)数据备份数据丢失及破坏通常都是在未知的情况下发生的，因此，数据备份成为数据完整恢复的前提，数据安全提供有力保障。开放教务管理系统是一个网络管理平台，数据备份在服务器上是最好的选择，并选用数据名和备份日期组成备份名称。实施数据定期准确备份，存储重要的数据需要全面保护，但也要分主、次。每学期学生基本信息、学生学生成绩、毕业审核数据要重点备份。确定开放教育教务系统中数据备份的频率及时序。目前我校将数据备份放在00：00，这个时间数据更动性小，并且日期划分清晰。数据备份的频率是每24小时一次，主要是考虑出现问题时对近期数据影响力小。备份数据定期清理工作也是一项非常重要的工作，我校阶段性的对备份数据进行清理，比如：会在清理前一年的备份数据时，除每学期开学后七天、放假前七天及每月第一天的数据外，其它数据将被移动硬盘保存，将不再服务器中存储。适时地进行数据恢复的操作，为遇到紧急情况做好准备工作，确保在出现问题时不慌乱，并能及时处理好数据的恢复工作。

篇（11）

目前，“”利用互联网进行网上境外指挥、境内行动、内外趋动、联合犯罪的趋向日渐明显。从侦查掌握的情况来看，近几年打掉的暴力恐怖团伙中有近50％的团伙使用互联网进行通讯联络，而且呈逐年增加的态势。

在网上非法结社，发展组织、成员

2000年以来，分裂组织、分裂分子相继在境外雅虎等网站的免费空间上建立了十几个维吾尔网民聚集的“电子部落”（又称为“网上沙龙”），逐渐形成了具有分裂倾向的网络群体。他们以“东土耳其斯坦”“维吾尔穆斯林”“世界维吾尔”等为主题，进行分裂和宗教极端思想的交流，并进行勾联活动。

“虚拟社会”反恐治安防控体系明显滞后

进一步完善“虚拟社会”治安综合治理体系

虚拟社会作为“第二社会”和一种“亚社会”状态，具有一定的活动形态和结构层次，对其进行治理防控同样是一项社会综合工程，必须遵循社会治安综合治理的理念和原则，按照“打击、防范、教育、管理、建设、改造”的基本内容，在各级党委、政府的统一领导下，以政府为主体,发动和依靠各职能部门和社会力量，各单位、各部门协调一致，齐抓共管，运用政治的、经济的、行政的、法律的、文化的、教育的综合手段，整治虚拟社会治安问题，不断消除虚拟社会空间滋生犯罪的条件，建立虚拟社会综合治理体系。一是紧紧抓住建设环节。加强对网络运营服务商的监管，坚持“谁运营、谁主管、谁负责”的原则，进一步明确其安全管理责任，责成其在推出各种网络新技术、新应用、新服务时，配套建设各种安全管理系统，使网络安全保护措施与网络应用技术同步发展，实现建设与管理的统一。二是紧紧抓住经营环节。加强对网络应用重点单位、网络经营业主和网民的管理，严格落实“实名上网”制度，虚拟主体参与“虚拟社会”各项活动，均要实行实名申请IP、实名注册账号、实名登录网站、实名验证申请，建立起虚拟身份与现实身份的一一对应关系，通过严格掌握上网人员的真实身份，将主动权牢牢掌控在监管部门手中。三是紧紧抓住管控环节。严格落实互联网信息监控处置属地与准属地“双负责制”和以互联网服务单位开办者所在地为主、以服务器所在地为辅的安全监管“双负责制”。四是紧紧抓住教育环节。在全民中深入开展网络道德建设，大力倡导文明办网、文明上网，自觉抵制不文明网络行为，积极构建和维护文明、健康、有序的“虚拟社会”环境。积极与互联网新闻管理部门配合,通过开展“创建诚信网站”“评选示范网吧”和“推选网络文明单位、网络文明学校”等活动,让全社会共同参与、齐抓共管。

进一步加强“虚拟社会”治安防控体系建设

从公安机关网络监管职责看,必须顺应互联网时展的要求,把严打、严管、严防、严治有机结合起来，构建高效、灵敏的“虚拟社会”治安防控体系。一是坚持“情报导侦”战略,加强虚拟社会情报信息收集机制建设。突出强化网上侦查和情报职能，积极探索网上对敌斗争的规律，增强网上发现、控制、侦查、处置和取证的能力，努力提高网上斗争的能力和水平。要以网上侦查情报为主线，充分发挥安全监督管理和网络技术手段的优势，对虚拟空间中的重点“区域”“空间”进行高效、精确地控制，获取深层次、有价值的网络违法犯罪情报信息。及时发现、严密侦控、有效防范、依法打击境内外敌对势力、敌对分子以及各种违法犯罪分子利用网络进行的煽动、渗透、破坏活动。二是加快建立虚拟社会警务制度和机制,强化网监基础工作建设。搭建公安网络监控部门与各级政府信息中心、各互联网运营单位、上网服务场所、安全行业单位、安全教育研究机构和其他计算机信息系统使用单位的联系渠道,建立网上案件举报机制、查处网络违法犯罪案件快速反应机制和公安机关内部各警种之间的信息共享及网上联动协作等机制。以深化“e网平安”为载体，构建由网络警察、网上协管员、社会信息监督员、网站网吧安全员和举报群众构成的全方位、多层次的虚拟社会巡防力量；建立网上虚拟社区警务制度,建立网上案件报警网站和报警岗亭,对群众的网上求助、咨询,快速反应、热情服务,帮助群众排忧解难。2010年以来，巴音郭楞蒙古自治州公安局制定《巴州公安机关“网上警务室”建设标准》，全州48个派出所建成105个网上警务室；建立民警微博，收集社情民意，拓展公安业务网上服务14项，建立网上信息员队伍195人；召开网上警民恳谈会50次，群众留言148条，通过公布的电子邮箱收到群众建议76条，为群众解疑释惑225次，点击量达11538次。三是加强虚拟社会重点管控阵地建设。发挥网监队伍的技术优势,将网络电视、广播、电话和博客、播客等新兴网络应用纳入网上重点阵地，按照“公秘结合、人防与技防结合”的要求，协同刑侦、治安部门，落实对电子市场、网吧、大专院校等重要场所的控制措施。制定和规范电子市场业主出售计算机及网络设备、手机及手机卡、电视插播器等详细信息登记制度。在当地党委、政府的统一组织领导下,加强与电信、文化、工商部门的协调配合,规范互联网服务营业场所的经营行为,严格安全审核和日常监督管理,切实解决当前“网吧”等互联网上网服务营业场所过多过滥、违法违规经营、管理无序的情况。四是加强网络警察专业队伍建设和能力建设。严格按照公安部“每万名网民配备一名网络警察”的标准，尽快配齐网安警力，建立一支统一指挥、机动精干、正规化、实战化的网络警察队伍；不拘一格吸纳网络技术人才，强化专门力量，通过市场化、社会化选人、用人渠道，把最优秀的网络技术人才引进专门机关，从技术水平、警力人数上不断充实打击网络犯罪的网络警察队伍。五是加强网络舆情引导工作机制建设。建立反应灵敏、高效畅通的网上舆情收集、研判、反馈机制以及应急处置联动机制。及时进行舆情的采集存储、舆情分析和处理，做好不良网络舆情危机的监管和引导工作，提高对不良网络舆情预警的效率。

加强虚拟社会管理法律法规建设，构筑网络安全的法律基础

立法部门要立足我国网络发展现状，准确把握“虚拟社会”特征和网络违法犯罪特点，加快信息网络安全立法，完善现行刑法中计算机犯罪条款，扩大计算机信息系统概念外延，增加利用网络犯罪罪名，明晰网络犯罪立案标准。要借鉴互联网发达国家的经验，将网络运营商的安全管理责任以法律形式确定下来，由运营商同步承担网络安全系统建设的责任。网络信息安全最薄弱的环节不是系统漏洞而是人的漏洞。完善的网络信息安全法制建设应当是建立起一整套网络信息安全评估、网络信息安全责任和网络信息安全应急的法律对策。由此可见，“网络法治”不应过于遥远，它应尽快为人们享受网络技术文明创造安全有序的环境，应尽快为国家提高信息安全保障能力提供法律支持，使政府和民众在面对网络“天灾人祸”的考验和挑衅时，能够变得更加成熟、理性和从容不迫。

上一篇高级会计笔记下一篇高校辅导员网络学习

返回列表