近幾年的網絡安全事件范文

導語：如何才能寫好一篇近幾年的網絡安全事件，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

應急響應彰顯技術實力

據悉，中國計算機網絡安全年會以“服務信息社會、共建和諧網絡”為宗旨，自2004年舉辦以來，歷經十余年的發展，吸引了政府和重要信息系統部門、行業企業、高校和科研院所等組織與機構，目前已成為國內外網絡安全領域技術交流的重要平臺。

本屆年會以“智能網絡 安全護航”為主題，圍繞網絡安全治理、智能網絡安全、網絡安全與生活、CNCERT-CIE網絡安全學術論壇等四個專題設置分論壇，并邀請政府和重要信息系統部門、國內網絡安全產業界的領導和知名專家做主題報告。東軟研究院副院長聞英友以“智能互聯網絡應用中的數據融合安全問題探討”為題，在會上做了主題報告，其新穎的觀點、精彩的詮釋引起了與會嘉賓的濃厚興趣。

在本屆年會上，每兩年舉辦一次的國家應急響應支撐單位評選宣布了最終的結果，申報的13家單位經過來自國家應急中心領導及各省應急分中心領導的嚴格評審，以及針對申報企業技術能力、全國服務能力、企業綜合實力、全國實踐案例等多項指標的打分，東軟、安恒、360、安天、啟明星辰、天融信、恒安嘉新、中國電信等8家國內安全企業和單位最終入圍。

據悉，為了保證評審的公平和嚴肅，今年主辦方增加了評選的難度，將候選單位獲得各省中心的一致同意推薦數由不低于5家提升至不低于10家。因此，在本次評選中，各申報單位間的競爭異常激烈。東軟網絡安全事業部副總經理路娜、咨詢總監王軍民代表東軟安全參加了答辯會，并以優異的成績得到了評審專家的一致好評。

最終，東軟安全在13家候選單位中脫穎而出，再次獲得“國家應急響應支撐單位”稱號。至此，東軟安全已連續第六屆獲此殊榮。

用技術實力和實踐經驗說話

以承接國家95信息安全攻關項目為契機，東軟NetEye自1996年正式進入信息安全領域，先后在沈陽和北京兩地建立了信息安全技術研發基地和解決方案驗證中心，并于2000年成立了攻防研究實驗室和東軟信息安全服務團隊，至今已積累了19年的信息安全技術研究和應急響應服務經驗。

長期以來，東軟積極參與國家信息安全風險評估的一系列標準的制定工作，并多次協助國家有關部門對電信、稅務等行業開展了全國性的信息安全大檢查。

東軟長期配合政府部門進行漏洞挖掘、標準研究、重大安全事件追查處理等技術支持工作。東軟還多次配合公安機關追蹤調查多項重大計算機案件，承擔著國家重大信息安全事件的技術響應支持工作，比如2002年中國跨省現場抓獲DDoS攻擊者案件、2008年北京奧運會、2009年國慶、2010年世博會、亞運會，以及近幾年在國家“兩會”期間，為多個國家部委和金融、電力、交通等基礎行業的客戶提供信息安全保障技術服務。更為難得的是，十多年來，東軟NetEye提供的信息安全應急響應服務達到非常高的客戶滿意度。

近年來，東軟NetEye不斷總結和完善應急響應機制，制定了一整套應急響應工作規范與流程，從接到應急響應需求的那一刻起，第一時間啟動應急機制，判斷安全事件類別。東軟安全小組會在24小時內趕赴客戶現場進行檢測、分析與取證，查找系統漏洞、惡意代碼或后門等，分析入侵方式，協助客戶盡快恢復和加固系統，并持續進行監控與追查，最終形成總結報告。

應急響應服務說到底是依托人來完成的

優秀的人才是東軟寶貴的財富。19年來，東軟NetEye培養了一批優秀的技術骨干，在全國各個分支機構中都有專職的信息安全工程師，可為全國用戶提供7×24小時的不間斷服務。不僅在安全領域，就是在用戶核心業務系統、網絡、主機等方面，東軟都擁有強大的專業技術團隊，同時與國內外眾多廠商結成戰略聯盟，共享第一手信息資源和技術成果。

安全攻防研究實驗室：負責追蹤研究國內外新的攻防技術，并提供新的漏洞信息和安全事件信息等。

安全服務部：負責全國范圍內重點安全服務項目和重大安全事件應急響應的技術支持。

安全工程實施部：分布在全國八個大區，提供全國范圍內安全服務項目及一般性應急響應服務技術支持，具備豐富的一線服務工作經驗。

IT服務部：擁有多名通過微軟、Cisco、IBM、HP、Oracle等公司專業認證的IT專家，他們組成了安全服務項目中專業的技術支持團隊。

自2004年成為國家應急服務技術支持單位以來，東軟在大量的實際工作中積累了豐富的經驗與成功案例，設計了專門的應急響應培訓課程，并已用于大量的用戶培訓，取得了非常好的效果。

未來，東軟計劃將這些前端的實戰經驗融入到東軟在沈陽、大連、成都、南海四個學院的高校教材，并進行推廣與普及。

更好地提高應急響應工作的效率和質量，是東軟NetEye近年來重點考慮的問題?；诖罅繎笔录治?、總結后產生的需求，東軟NetEye自主研發，推出了IDS、IPS、NTARS等一系列產品。由此可見，應急響應工作已經成為東軟產品發展的重要推動力之一。

篇2

摘要：本文首先介紹了計算機網絡與通信課程的特點，然后分析了該課程原來存在的一些問題，進而闡述了在學?！叭齽摗苯逃砟钪笇掠嬎銠C網絡與通信課程的教學改革。

關鍵詞：計算機網絡與通信；三創教育理念；教學方法；教學手段；培養模式

中圖分類號：G642 文獻標識碼：B

1引言

我?！坝嬎銠C網絡與通信”課程是湖北省精品課程，現正在申報國家級精品課程，其前身是“計算機網絡”課程，從1985年起便在我校本科生中開設。該課程最初是計算機系統結構專業的必修課，計算機軟件專業的指定選修課。隨著計算機網絡技術及互聯網技術的不斷發展，計算機網絡與通信技術在眾多的技術中已處于非常重要的地位，成為促進社會發展的重要技術支柱，“計算機網絡與通信”課程因而變得越來越重要，也越來越受到學校和學生們的重視，已成為包括信息安全專業在內所有專業的必修課。

我校作為首批國家“985工程”和“211工程”重點建設高校以及教育部批準的8所創業教育試點院校之一，在新時期對學生的培養提出了新的要求。根據“三創”(創造、創新、創業)教育理念和辦學指導思想，學校將培養適應經濟、科技和社會發展需要的厚基礎、寬口徑、高素質、強能力的，特別是具有創造、創新、創業精神和能力的復合型拔尖人才作為人才培養的目標。

要達到上述人才培養目標，迫切要求我們將“三創”教育理念貫徹到實際的教學實踐中去，進行切實可行、卓有成效的教學改革。本文將對“三創”教育理念下“計算機網絡與通信”課程的教學改革進行一定的探索，以適應新形勢下人才培養的需求。

2課程原有問題剖析

2004年7月初，計算機學院院領導、網絡課程組所有老師和30多名學生代表齊聚一堂，召開了“計算機網絡與通信”課程討論會。會上師生進行了坦誠且細致深入的面對面交流，并對該門課程教與學中存在的一些問題形成了共識，歸納起來有以下幾方面的問題：

(1) 一些授課教師只注重協議的原理、協議性能分析的講解、沒有從應用的角度講解TCP/IP體系中的每層協議，學生理解起來比較困難，整個教學過程顯得有些枯燥乏味。學生都希望老師能注重案例式教學，通過實際的網絡規劃、協議實現、網絡工程、網絡測試等案例激發學生學習興趣，幫助學生加深理解網絡知識，促進教學與實踐相結合。

(2) 網絡實驗室的交換機、路由器、防火墻等網絡設備臺數有限，當多人組成一個實驗小組時，有些同學實際動手的機會比較少，這樣會影響他們的學習積極性。如果不能在短時間內解決硬件問題，建議老師們講解一些網絡仿真、網絡模擬軟件的用法，以便讓學生自己能利用業余時間做更多的網絡實驗。

(3) 由于學生的接受能力存在差異，部分學生反映跟不上教學進度。特別是做實驗時有些老師演示太快，學生節奏慢，實驗做不出來。希望老師們能提供更多更詳細的資料，最好是將實驗演示過程錄制成視頻文件，放在網上供學生自主學習。

(4) 部分學生反映“計算機網絡與通信”課程學完之后，實際動手及應用知識的能力還是不強，為了達到學以致用的目的，能不能參加到教師的相關科研項目中進行鍛煉，或者由老師們指導進行大學生業余科研項目的申報及研究，以將我校的三創精神落到實處。

3“計算機網絡與通信”課程改革思路

針對2004年“計算機網絡與通信”課程討論會的主要問題，在“三創”教育理念的指導下，我們網絡課程組近幾年來對網絡課程的教學方式、教學手段、教學模式進行了積極有益的課程改革探索，收到了非常好的效果。

3.1基于“案例”的課堂教學方法

案例教學是教師根據課堂教學目標和教學內容的需要，通過設置具體案例，引導學生參與分析、討論、表達等活動，進而提高學生分析問題和解決問題的能力的一種教學方法，其本質是理論與實踐相結合的互動式教學。與傳統的“從概念到概念”的灌輸、填鴨式教學方法相比，案例教學法具有理論聯系實際、促進學生應用知識能力的培養等優越性。

在“計算機網絡與通信”課程中我們充分應用“案例”教學方法，講解網絡體系結構、數據鏈路層幀的組成、動態路由協議、TCP/UDP和應用層協議等。

例如我們在講解網絡安全知識時，為了讓學生掌握防火墻、入侵檢測系統、身份認證系統等如何協同構建整體企業安全網絡時，通過實際項目中采用的銳捷GSN方案進行講解，如圖1所示。

通過該案例，學生不僅掌握了Firewall和IDS的工作原理，還領會了如何在實際網絡中部署這些設備。學生也清楚地理解這些網絡安全產品間如何共同構筑防御體系。當用戶使用網絡前，首先由接入交換機和RG-SAM(身份認證系統)對其進行身份驗證，從而攔截了非法用戶使用網絡。RG-SMP(安全管理平臺)學習用戶的身份、主機環境等信息，并將制定好的主機完整性策略下發到安全客戶端。安全客戶端對用戶主機進行主機完整性對比檢查，并將檢查結果反饋回RG-SMP服務器。在用戶上網過程中，入侵檢測系統RG-IDS對網絡安全事件進行檢測收集，將安全事件反饋回RG-SMP。RG-SMP對RG-IDS反饋的安全事件進行統一管理，將安全事件關聯至用戶。RG-SMP還可對每個用戶的主機完整性檢測結果和安全事件進行處理，生成相應的策略，并下發至交換機執行。

在“計算機網絡與通信”課程的教學中，我們幾乎用案例教學法貫穿了所有章節，幫助學生直觀、形象、深刻地理解所學內容，并進一步提高了他們分析問題和解決問題的綜合能力。

3.2虛實結合的實驗教學手段

計算機網絡是一種高速發展的技術，要取得好的實驗效果，就需要為學生提供充分的新技術實驗機會，當前網絡實驗室普遍是利用路由器、交換機、PC機組成實際的網絡實驗室。這種方法由于經費的限制，只能提供有限數量和型號的實驗設備，種類較少，設備更新慢，學生實驗機會少，很難達到每人單獨使用一套網絡實驗設備的標準，并無法掌握最新網絡技術，實驗效果無法保證，不利于學生“三創”能力的培養。

針對上述實驗現狀，我們充分利用現有的網絡模擬仿真軟件NS2(Network Simulator Version 2)、Cisco官方模擬器Packet Tracer、網絡協議分析器Ethereal等軟件，首先讓學生在自己的PC機上練習網絡設備(如路由器、交換機)的配置、對網絡數據包進行捕獲和分析、并可對新型網絡技術(如Ad Hoc網絡、無線傳感器網絡)進行模擬。在熟練掌握上述虛擬實驗方法后，再進行實際網絡設備的實驗。另外，為培養學生的創造和創新能力，還可先讓學生在虛擬實驗環境下，設計和實現綜合性網絡實驗，成功后再在實際設備上進行驗證。對于硬件設備和NS2模擬器中都沒有的新型網絡協議和網絡技術，則可通過自己動手編程擴展NS2模擬器，來達到加深理解網絡新技術的目的。

例如我們在教學過程中使用的Packet Tracer是一款思科路由器、交換機、無線AP和服務器模擬軟件，軟件中內置了一些定制的實驗包，同時也支持自定義網絡拓撲結構及連接。通過Packet Tracer的強大功能，學生可掌握路由器、交換機等常用網絡設備的配置和管理。另外值得一提的是，在Packet Tracer中支持跟蹤數據包，并能實時分析數據包的結構，這對學生理解數據包的封裝非常有幫助。圖2所示為利用Packet Tracer進行RIP實驗的拓撲圖。

我們采用的虛實結合實驗教學手段一方面充分發揮模擬軟件強大的分析、模擬、仿真功能，使學生深刻理解抽象的理論知識；另一方面通過在實際設備上做實驗，幫助學生掌握如何架構、配置和管理真實網絡，提高實戰能力。實踐證明，虛實結合實驗教學手段極大地促進了教學效果的改善。

3.3教學科研相互促進的培養模式

教學與科研是一個具有內在聯系的不可分割的統一體，教學與科研既不互相矛盾，也不能互相代替。沒有科研的教學是不完整的教學，沒有教學的科研不是高校中的科研。高校的教學與科研作為一個整體，共同構建了高校的教書育人環境。

要培養“三創”型人才，單憑向學生傳授書本上的理論知識還遠遠不夠，“三創”能力的培養必須要將理論知識與實際的科研項目相結合，使學生在科研實踐中加深對理論知識的理解，甚至可對理論知識進行擴展，從而達到“創造”、“創新”的水平。另外，如果將學生的畢業設計和科研項目緊密結合，不但使學生在畢業設計中真正做到“學以致用”，還可為學生以后的“創業”打下良好的基礎。因此“計算機網絡與通信”課程在教學過程中需要注重發揮本課程的優勢，以科研支持本科教學，將部分科研溶入本科教學。

例如在講授“TCP擁塞控制機制”和“網絡安全”章節時，可以結合國家自然科學基金項目“低速率的拒絕服務攻擊模型和防范研究”的研究內容，講解目前黑客是如何利用TCP擁塞控制機制(慢啟動、擁塞避免等)特點而進行低速率拒絕服務攻擊，不但使這兩方面的知識與實際場景相聯系，加深學生的理解，又可以將對課題感興趣的同學吸引到項目研究中來，從而提高學生的實際動手能力和創新能力。

4結束語

根據“三創”教學理念，并結合“計算機網絡與通信”的課程特點，我們提出將基于“案例”的課堂教學方法、虛實結合的實驗教學手段和教學科研相互促進的培養模式應用于實際的課程教學中，以培養學生自主學習、勇于創新的能力，在近兩年的教學實踐過程中已取得良好的教學效果，培養出的本科畢業生在計算機網絡應用和創新能力方面有了很大的提高，能夠很快的適應該領域的相關工作，為創業打下良好的基礎。當然，要培養出具有國際競爭力的計算機網絡人才，“計算機網絡與通信”課程改革還任重道遠，還需要不斷地進行更深層次的研究和探索。

參 考 文 獻

[1] 馬慧麟. “計算機網絡”課程教學模式改革探討[J]. 中央民族大學學報(自然科學版)，2007，15(4)：23-26.

[2] 黃高飛. 關于計算機網絡漸進式教學的探討[J]. 中山大學研究生學刊，2006，3(1)：10-13.

[3] 沈德海，于忠黨. 計算機網絡教學研究[J]. 四川教育學院學報，2007，4(4)：88-89.

篇3

1 安全隱患

近幾年來,隨著高校規模的不斷擴大,新校區或者合并校區的擴建,高校校園網普遍存在網絡規模較大,上網地點較分散,網絡監管困難,上網行為不夠規范等現象,因而加大了校園網絡在使用過程中的安全隱患。

1.1網絡自身的安全缺陷

網絡是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網絡節點的唯一標識,基于IP地址進行多用戶的認證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。

1.2網絡結構、配置、物理設備不安全

最初的互聯網只是用于少數可信的用戶群體,因此設計時沒有充分考慮安全威脅,互聯網和所連接的計算機系統在實現階段也留下了大量的安全漏洞。并且網絡使用中由于所連接的計算機硬件多,一些廠商可能將未經嚴格測試的產品推向市場,留下大量安全隱患。同時,由于操作人員技術水平有限,所以在網絡系統維護階段會產生某些安全漏洞,盡管某些系統提供了一些安全機制,但由于種種原因使這些安全機制沒有發揮其作用。

1.3內部用戶的安全威脅

系統內部人員存心攻擊、惡作劇或無心之失等原因對網絡進行破壞或攻擊的行為,將會給網絡信息系統帶來更加難以預料的重大損失。U盤、移動硬盤等移動介質交叉使用和在聯接互聯網的電腦上使用,造成病毒交叉感染等等,都會給校園網絡帶來較大的安全威脅。特別是近年來利用ARP協議漏洞進行竊聽、流量分析、DNS劫持、資源非授權使用、植入木馬病毒不斷增加,嚴重影響了網絡安全。

1.4軟件的漏洞

一般認為,軟件中的漏洞和軟件的規模成正比,軟件越復雜其漏洞也就越多。在網絡系統運行過程中,由于操作系統自身不夠完善,針對系統漏洞本身的攻擊較多,且影響也較嚴重。再加之,目前如辦公、下載、視頻播放、聊天等軟件的流行,讓使用率較高的程序也成為被攻擊的目標。

1.5病毒的傳播

網絡的發展使資源的共享更加方便,移動設備使資源利用顯著提高,但卻帶來病毒泛濫、網絡性能急劇下降,許多重要的數據因此受到破壞或丟失,也就是說,網絡在提供方便的同時,也成為了病毒傳播最為便捷的途徑。例如,“紅色代碼”、“尼姆達”、“沖擊波”、“震蕩波”、“歡樂時光”、“熊貓燒香”的爆發無不使成千上萬的用戶受到影響,再加之,近幾年病毒的黑客化,使得病毒的感染和傳播更加快速化、多樣化,因而網絡病毒的防范任務越來越嚴峻。

1.6各種非法入侵和攻擊

由于校園網接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得校園網成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數據,非法搶占系統控制權、占用系統資源。比如:漏洞、薄弱點掃描,口令破解;非授權訪問或在非授權和不能監測的方式下對數據進行修改;通過網絡傳播病毒或惡意腳本,干擾用戶正常使用或者占用過多的系統資源導致授權的用戶不能獲得應有的訪問或操作被延遲產生了拒絕服務等。

2 校園網安全管理和維護的措施與建議

通過以上安全缺陷分析,校園網絡安全的形式依然非常嚴峻。制定整體的安全部署解決安全隱患和漏洞,是校園網安全、健康運行的保障。

2.1配備高性能的防火墻產品

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。一般來說,防火墻設置在可信賴的內部網絡和不可信賴的外部網絡之間。防火墻相當于分析器,可用來監視或拒絕應用層的通信業務,防火墻也可以在網絡層和傳輸層運行,根據預先設計的報文分組過濾規則來拒絕或允許報文分組通過。所以對防火墻作好安全設置,設定恰當的訪問控制策略,保障網絡資源不被非法使用和訪問。

2.2網絡設計、使用更合理化

在網絡設計之初,需要理解終端設備安全事件對網絡的影響,確定需要采取的安全措施,通過已知身份驗證的設備訪問網絡,防范未經授權的接觸,讓入侵者難以進入。這樣網絡才能提供可預測、可衡量、有保證的安全服務。

2.3軟件漏洞修復

在校園網絡系統運行過程中,一方面對用戶進行分類,劃分不同的用戶等級,規定不同的用戶權限;另一方面對資源進行區分,劃分不同的共享級別,例如:只讀、安全控制、備份等等。同時,給不同的用戶分配不同的帳戶、密碼,規定密碼的有效期,對其進行動態的分配和修改,保證密碼的有效性;配合防火墻使用的情況下,對一些IP地址進行過濾,以防止惡意破壞者入侵;建立補丁更新服務器,部署全局更新機制,實時、高效更新軟件漏洞。

2.4防殺毒軟件系統

在互聯網技術飛速發展的今天,病毒以每年兩千種新病毒的速度遞增。在校園網中使用帶防火墻的企業版殺毒軟件,就能對整個校園網絡的起到安全防護的作用,使計算機免受病毒入侵。

2.5配備入侵檢測系統(IDS)并建立蜜罐陷阱系統

入侵檢測就是對入侵行為的檢測,通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象,而蜜罐的目的在于吸引攻擊者、然后記錄下一舉一動的計算機系統,攻擊者入侵后,可以隨時了解其針對服務器發出的最新的攻擊和漏洞,這樣系統就可以及時、有針對性的防范攻擊和修復漏洞。

2.6系統安全風險評估

互聯網的不安全因素無時無刻的威脅著網絡安全,只有在網絡系統所面臨的風險進行了有效評估的基礎上,才能掌握網絡安全中存在的漏洞和威脅,從而采取有效措施控制網絡風險。風險評估過程是一個動態循環的,因此必須進行周期性、長期的評估。

2.7災難恢復計劃

1996年報道的網絡攻擊方式只有400種,1998年達到4000種。 CERT/CC公布的漏洞數據為,2000年1090個,2002年已經增加至4129個?？梢韵胂?對管理員來說要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這些漏洞之前首先發現這些漏洞。尤其是緩沖區溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。我們無論怎么想辦法都不可能防止災難的發生,但為了使災難發生造成的損失減到最小,就應該在災難發生之前建立意外事件計劃,記錄各種災難發生所產生的影響,并為此作出相應的應對措施。

2.8加強管理

隨著網絡技術的迅速發展、應用領域的廣泛性以及用戶對網絡的了解程度加深,惡意破壞者或者非法入侵者對網絡安全的影響會越來越大,這就使得網絡安全管理工作任務更加艱巨而重要。因而,在網絡安全管理工作中必須做到及時進行漏洞的修補和日志的查看,保證網絡的穩定性。另外,高校也應該頒布網絡行為的相關規范和處罰條例,這樣才能更有效的控制和減少來自內部網絡的安全隱患。

3 結束語

篇4

[關鍵詞]建設信息化 科技強檢 快速發表

中圖分類號：D926.1 文獻標識碼：A 文章編號：1009-914X（2015）47-0335-01

一、撫遠縣檢察院科技強檢工作的基本情況

1、辦公、辦案業務軟件系統和網絡化辦公、辦案系統的全面更新。在“十一五”期間，我院通過購買和研發等方式，先后在全院安裝使用了網絡辦公系統、文件傳輸系統、同步錄音錄像系統、小型網絡會議系統、即時通訊系統、文件加密系統等多種軟件系統，同時積極在全院推行各類軟件系統在各個科室的應用，對各個科室進行系統的軟件使用培訓，初步實現了辦公、辦案的網絡化應用。這些軟件系統的推行在提高工作效率、加快辦公、辦案速度和質量等方面發揮了重要作用，切實增強了檢察工作的科技含量。

2、加強了信息化網絡基礎設施建設。在“十一五”期間，撫遠縣檢察院全面完成了本院專網的建設，促進了檢察信息化工作的提高，為建立檢察業務、檢察隊伍、檢察信息化和檢務保障“四位一體”的管理機制打下了堅實的基礎。2006年，我院完成了視頻會議室的建設，實現了于高檢院、省院、市院的視頻連接，提升溝通效率，減少了不必要的出差，在信息保密性方面也有很大的提高，同時可以及時了解上級院的指示和分派的任務。現在，我院和上級院的會議70%左右都是通過視頻會議進行，提高了工作效率。

3、全力推進和完善專業技術門類建設。撫遠縣檢察院建立了信息化工作領導組，檢察長任組長。大力加強技術部門的建設與發展，同時設立了信息化工作負責部門，大大增強了技術門類的職能范圍。通過配備專職技術人員，逐步完善了檢察技術門類建設，規范了管理，促進了技術門類的發展。

二、撫遠縣檢察院在科技強檢建設過程中存在的主要問題

撫遠院在 “十一五”期間信息化得到提升的同時，也存在一些問題。在信息化建設水平、設備更新與完善、仍有不同程度的不足，“十二五”期間亟待解決。

1、急需提高機房專業化的建設。撫遠院屬于基層院，機房建設緩慢，設備老化嚴重，還沒有配備UPS不間斷電源系統，同時機房環境惡劣，灰塵嚴重，溫度過高，使得各種設備壽命縮短。應在“十二五”期間重新打造新的專業化機房，更換老化設備，加強機房環境處理，把機房改造成優秀級的專業機房。

2、急需改造現有網絡線路。撫遠院因辦公樓年久失修，造成一些網絡線路出現斷、裂等現象，造成了工作上的很多不便。應在“十二五”期間重新對線路進行檢修，讓網絡覆蓋到每一個科室。

三、撫遠縣檢察院“十二五”期間科技強檢工作發展思路

1、加強基礎網絡設施建設，提升檢察業務網絡化的發展。

根據實際需求，對現有機房的基礎硬件設施進行升級和改造，對網絡辦公、辦案系統的升級和研發，構建統一的網絡管理平臺，加強對網絡系統設備和鏈路的監測管理；加強專線網和局域網設備的維護保養，進一步提高網絡通信系統的保密能力，提高網絡服務承載能力和范圍。繼續優化網絡視頻會議室和完善配置移動型技術偵查裝備和訊問監控設備。

2、推進檢察信息化在檢察業務中的應用?！笆濉逼陂g，撫遠院將努力推進檢察業務、檢察辦公信息化應用工作。檢察業務信息化應用方面，切實把建設與應用有機地結合起來，大力推動信息化在辦公、辦案業務中的應用，加快檢察業務管理系統的建設，充分利用現有網絡資源，建設覆蓋政法機關各級各部門之間信息交換和共享的“信息共享平臺”，逐步實現案件信息、法律文書的網絡流轉。

3、加強對網絡安全和保密的建設與發展。根據國家對網絡信息安全保密要求，通過加大網絡安全方面投入，將專線網絡中的不安全事件置于可防、可控、可管的安全范圍之內。同時，加強對各個部門的干警網絡信息安全教育和崗位培訓，制定和完善檢察信息網絡運行管理安全制度。進一步研究制定網絡遭遇突發事件時的安全策略，形成統一的網絡安全的應急預案，提高信息網絡系統的保密能力。今年是“十二五”計劃的開局之年，撫遠院將把握好未來五年的戰略機遇期，認真落實高檢院和省院的要求，使撫遠縣檢察信息化建設盡快步入先進化、專業化軌道，將信息化應用更好的融入檢察業務工作當中，努力實現撫遠縣檢察院信息化飛速發展。

4、深入推進網上辦公辦案等無紙化應用，將現代化高科技轉化到檢察工作中來。

目前我院檢察院已經具備了無紙化辦公條件，而且也開展了一部分網上辦公辦案，但是就無紙化辦公整體推進方面，還存在較大的問題，主要表現在以下一些方面。首先是部分干警缺乏基本網上辦公辦案技能，其次是少部分干警存在抵賴心理，不愿意接受新生事物，還有就是檢察工作性質決定一部分工作不便于在網上開展。信息化要體現在辦公、辦案現代化上，要注意解決應用中的不平衡問題和各種老大難問題。推進信息化應用，要自上而下，院領導首先要親自帶頭，并將這項工作納入重要議事日程，納入對干警的考核當中，深入推進無紙化應用。

篇5

關鍵詞信息安全；PKI；CA；VPN

1引言

隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進行說明。

2信息系統現狀2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

圖1

2)應用系統

經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統現狀的分析，可得出如下結論：

(1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：

(1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。

已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：

(1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：

身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。

數據的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程?；赑KI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。

(4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。

篇6

三大措施應對挑戰

面對國際金融危機，賽門鐵克歸納了企業用戶面臨的三大IT挑戰。

第一，當務之急是如何節省成本，尤其是節省IT成本。例如，過去企業建立了很多數據中心，每個數據中心都是根據一個專門的應用建立的，規模雖然不大，但是造成很大的成本和運維壓力。隨著大型數據中心的建立，云計算和SaaS等服務方式的興起，整個業界都在發生轉變。

第二，如何讓IT與業務有更好的結合?，F在，IT人員不僅要懂IT，還要懂業務，這樣才能讓IT更好地支持業務發展。

第三是風險管理。面對席卷全球的金融危機，核心問題是實現控制和風險管理。

賽門鐵克全球副總裁、大中國區總裁吳錫源認為，在當前經濟環境下，恰好可以凸顯賽門鐵克在用戶中的價值：第一，賽門鐵克數據中心標準化方案可以幫助用戶降低服務器采購和運維成本，而存儲分級技術可以降低存儲采購和運營成本，盡可能地提高整個數據中心的效率；第二，防信息泄密、法規遵從、管理、容災方案等可以幫助客戶做好風險管理；第三，賽門鐵克很多安全分析報告可以凸顯IT部門的價值，讓企業IT部門實現轉型，從傳統的成本中心變成價值中心。

服務創新實現遠景3.0

在去年的用戶大會上，賽門鐵克提出了遠景3.0，并開始加強服務創新，為用戶創造價值。

吳錫源強調，所有技術都可以通過服務方式體現。服務是必然趨勢。賽門鐵克公司目前在專業領域可以提供四級制的服務。技術支持中心擁有幾百名工程師。除此之外，賽門鐵克公司還可以為一些大型用戶提供駐廠服務，幫助用戶進行規劃、設計、實施、運營和優化。針對中國用戶對駐廠服務的強烈需求，賽門鐵克在福州、深圳、南京、江西等地提供了此類服務，方便更多服務工程師就近為用戶提供服務。

對于大型用戶，賽門鐵克能提供涉及整個信息生命周期的管理服務；對于小型用戶，賽門鐵克在近期推出合作伙伴專業化認證體系，借助合作伙伴的力量，提供終端管理、終端安全、災備、防信息外泄等存儲和安全方面的服務。

研發是技術引擎

賽門鐵克全球存儲和高可用性管理部門高級副總裁Robert Soderbery介紹說：“目前，公司在北京和成都擁有研發中心，技術工程師達數百名。賽門鐵克在中國的戰略核心是建設一支強大的中國本土開發團隊。賽門鐵克希望在中國的技術工程師能夠達到數千人?！?/p>

在云計算以及SaaS領域，賽門鐵克也有不少動作。最近，賽門鐵克公司完成了對MessageLabs公司的收購。

MessageLabs是一家領先的在線通信和網絡安全服務供應商。在SaaS商業模式下，賽門鐵克能夠更好地發揮在服務、分銷以及服務中小型企業方面的優勢。此外，賽門鐵克還推出了備份服務的SaaS模式。為此，賽門鐵克還將所有的SaaS業務和產品歸到一個新的部門。這個業務部門的主管就是原MessageLabs公司的首席執行官。

對于云計算以及SaaS，Robert Soderbery認為，盡管賽門鐵克已經有了一套完整的基礎設施，例如可以通過在美國的數據中心提供在線備份服務，并可通過全球數據中心提供MessageLabs的各項服務，但這些技術還處在發展初期。業內某些廠商將云計算看作公用事業，把計算或存儲基礎設施作為一個服務交付。賽門鐵克則專注于提供信息安全和管理方面的服務。

創新的數據保護

長期以來，數據保護技術的重心在于，防止因員工誤操作及業務流程中斷而導致敏感數據泄露。然而許多企業認為，當員工處于移動辦公狀態而未與企業網絡連接時，最容易使機密信息受到惡意威脅。

為了解決這一問題，賽門鐵克公司不久前推出了數據丟失防護解決方案DLP 9.0。該方案可以幫助企業和組織增強發現、監測和保護機密信息的能力，無論這些信息在何處存儲和使用。

賽門鐵克數據丟失防護解決方案全球高級主管Ken Kim表示，賽門鐵克的數據丟失防護技術可跨越端點、網絡和存儲系統，通過單一的集成界面為企業和組織提供全面的數據丟失防護覆蓋，保護結構化和非結構化數據。賽門鐵克DLP 9.0為始于端點的數據丟失事件提供了更廣泛的保護，即使員工在不與公司網絡連接的情況下使用筆記本電腦發送電子郵件、網絡郵件和即時信息，也能進行監控。

在端點處，賽門鐵克DLP 9.0不但可以防止對敏感信息的復制或粘貼，而且可以阻止這些信息以電子版方式打印或傳真。上述新功能與賽門鐵克現有的控制能力相結合，可防止敏感數據被復制到USB裝置和CD/DVD盤中。

賽門鐵克在內容感知（Content-aware）監測方面的專業技術及識別特殊內容（無論該內容是否被打包）的能力，對成功實現端點數據丟失防護都是至關重要的。有了對端點數據丟失事件的全面保護，賽門鐵克可以提供不間斷的數據丟失防護。

除了更完善的端點數據保護以外，賽門鐵克DLP 9.0還進一步強化了數據發現功能。企業用戶通常使用兩種發現內容的掃描模式：一種是傳統模式，即對內容庫中的每個文件是否違反策略進行檢查；另一種是合規性模式，即對違反規定的服務器和數據庫進行迅速匯總。賽門鐵克能夠通過單一的解決方案，為用戶提供這兩種選擇。這是目前其他同類產品無法實現的。

完善的端點防護

近幾年，受巨大經濟利益的誘惑，黑客活動日益猖獗，每天會有數以萬計的木馬病毒在互聯網上傳播。企業應該如何去應對這些隱藏在角落中的危機呢?

賽門鐵克公司認為，對于企業用戶而言，預防大于補救。企業需要一種貫徹始終的解決方案。任何威脅都要通過入侵終端來實現。因此，有效管理好終端是杜絕安全事件的關鍵所在?？梢哉f，終端是一個企業IT系統中最重要的人機界面。安全是三分技術、七分管理。

IT管理中最大的風險是什么?人的風險最大。因為所有問題都是人造成的。終端安全是企業IT安全的核心所在。隨著各種新型攻擊方式不斷產生、演變，對于企業而言，僅僅通過防病毒的方式來保護終端是根本不夠的。企業需要一個可以應對多種攻擊方式的全面保護終端解決方案。

在本次用戶大會上，賽門鐵克展示了最新的端點保護技術Symantec Endpoint Protection 11.0 MR3（SEP11.0 MR3）。該產品對于企業終端可以起到多層保護的作用，不僅擁有防病毒、防間諜的功能，同時結合了防火墻、主機威脅掃描、應用程序控制、外設管理等，可以對企業終端進行全方位保護。

篇7

各種網絡安全事故頻發使得各個組織對信息安全的重視程度逐漸提高，同時各種專門提供網絡安全服務的企業也應運而生。然而，目前大多安全服務都是以主機的安全評估、系統加固、應急響應、應用安全防護、管理層面的安全策略體系制訂、應用安全防護、安全產品集成等為主，對于網絡架構的安全評估卻很少。綜觀近幾年來互連網上不斷出現的病毒蠕蟲感染等安全事件，不少是由于對網絡架構安全的忽視導致了大范圍的傳播和影響。2003年的27號文件――《國家信息化領導小組關于加強信息安全保障的文件》下發后，對信息系統安全域劃分、等級保護、信息安全風險評估、等級保障等需求愈來愈迫切，而做好安全域劃分的關鍵就是對網絡架構安全的正確分析。

信息系統的網絡架構安全分析是通過對整個組織的網絡體系進行深入調研，以國際安全標準和技術框架為指導，全面地對網絡架構、網絡邊界、網絡協議、網絡流量、網絡QoS、網絡建設的規范性、網絡設備安全、網絡管理等多個方面進行深入分析。

網絡架構分析

網絡架構分析的主要內容包括根據IATF技術框架分析網絡設計是否層次分明，是否采用了核心層、匯聚層、接入層等劃分原則的網絡架構（劃分不規范不利于網絡優化和調整）; 網絡邊界是否清晰，是否符合IATF的網絡基礎設施、邊界/外部連接、計算環境、支撐基礎設施的深度防御原則（邊界不清晰不便于安全控制）。應考慮的安全點主要有:

1. 網絡架構設計應符合層次分明、分級管理、統一規劃的原則，應便于以后網絡整體規劃和改造。

2. 根據組織實際情況進行區間劃分，Internet、Intranet和Extranet之間以及它們內部各區域之間結構必須使網絡應有的性能得到充分發揮。

3. 根據各部門的工作職能、重要性、所涉及信息等級等因素劃分不同的子網或網段。

4. 網絡規劃應考慮把核心網絡設備的處理任務分散到邊緣設備，使其能將主要的處理能力放在對數據的轉發或處理上。

5. 實體的訪問權限通常與其真實身份相關，身份不同，工作的內容、性質、所在的部門就不同，因此所應關注的網絡操作也不同，授予的權限也就不同。

6. 網絡前期建設方案、網絡拓撲結構圖應和實際的網絡結構一致; 所有網絡設備（包括交換機、路由器、防火墻、IDS以及其他網絡設備）應由組織統一規劃部署，并應符合實際需求。

7. 應充分考慮Internet接入的問題，防止出現多Internet接入點，同時限制接入用戶的訪問數量。

8. 備份也是需要考慮的重要因素，對廣域網設備、局域網設備、廣域網鏈路、局域網鏈路采用物理上的備份和采取冗余協議，防止出現單點故障。

網絡邊界分析

邊界保護不僅存在于組織內部網絡與外部網絡之間，而且也存在于同一組織內部網絡中，特別是不同級別的子網之間邊界。有效的邊界防護技術措施主要包括網絡訪問控制、入侵防范、網關防病毒、信息過濾、網絡隔離部件、邊界完整性檢查，以及對于遠程用戶的標識與鑒別/訪問控制。邊界劃分還應考慮關鍵業務系統和非關鍵業務系統之間是否進行了分離，分離后各業務區域之間的邏輯控制是否合理，業務系統之間的交疊不但影響網絡的性能還會給網絡帶來安全上的隱患。應考慮的安全點主要有:

1. Internet、Intranet和Extranet之間及它們內部各VLAN或區域之間邊界劃分是否合理; 在網絡節點（如路由器、交換機、防火墻等設備）互連互通應根據實際需求進行嚴格控制; 驗證設備當前配置的有效策略是否符合組織確定的安全策略。

2. 內網中的安全區域劃分和訪問控制要合理，各VLAN之間的訪問控制要嚴格，不嚴格就會越權訪問。

3. 可檢查網絡系統現有的身份鑒別、路由器的訪問控制、防火墻的訪問控制、NAT等策略配置的安全性; 防止非法數據的流入; 對內防止敏感數據（或重要網段數據）的流出。

4. 防火墻是否劃分DMZ區域; 是否配置登錄配置的安全參數。例如: 最大鑒別失敗次數、最大審計存儲容量等數據。

5. 網絡隔離部件上的訪問通道應該遵循“默認全部關閉，按需求開通的原則”; 拒絕訪問除明確許可以外的任何一種服務，也就是拒絕一切未經特許的服務。

6. 實現基于源和目的的IP地址、源和目的端口號、傳輸層協議的出入接口的訪問控制。對外服務采用用戶名、IP、MAC 等綁定，并限制變換的MAC地址數量，用以防止會話劫持、中間人攻擊。

7. 對于應用層過濾，應設置禁止訪問 Java Applet、ActiveX等以降低威脅。

8. 采用業界先進的安全技術對關鍵業務系統和非關鍵業務系統進行邏輯隔離，保證各個業務系統間的安全性和高效性，例如: 采用MPLS-VPN對各業務系統間邏輯進行劃分并進行互訪控制。

9. 必要時對網絡系統進行物理隔離; 實現VPN傳輸系統; 對重要網絡和服務器實施動態口令認證; 進行安全域的劃分，針對不同的區域的重要程度，有重點、分期進行安全防護，逐步從核心網絡向網絡邊緣延伸。例如，網絡可以分成三個區域: 信任域、非信任域和隔離區域。信任域和隔離區域進行重點保護，對于非信任域，可根據不同業務系統的重要程度進行重點保護。

10. 整體網絡系統統一策略、統一升級、統一控制。

網絡協議分析

深入分析組織整個網絡系統的協議設計是否合理，是否存在協議設計混亂、不規范的情況，是否采用安全協議，協議的區域之間是否采用安全防護措施。協議是網絡系統運行的神經，協議規劃不合理就會影響整個網絡系統的運行效率，甚至帶來高度隱患和風險。應考慮的安全點主要有:

1. 路由協議、路由相關的協議及交換協議應以安全的、對網絡規劃和設計方便為原則，應充分考慮局域網絡的規劃、建設、擴充、性能、故障排除、安全隱患、被攻擊可能性，并應啟用加密和驗證功能。

2. 應合理設計網絡路由協議和路由策略，保證網絡的連通性、可達性，以及網絡業務流向分布的均衡性。

3. 啟用動態路由協議的認證功能，并設置具有一定強度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認的認證密碼是明文傳輸的，建議啟用加密認證。

4. 對使用動態路由協議的路由設備設置穩定的邏輯地址，如Loopback地址，以減少路由振蕩的可能性。

5. 應禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數據包和多目地址數據包，保證網絡路徑的正確性，防止IP源地址欺騙。如禁止非公有地址、組播地址、全網絡地址和自己內部的網絡地址訪問內部網絡，同時禁止非內部網絡中的地址訪問外部網絡。

6. 重要網段應采取IP地址與MAC地址綁定措施，防止ARP欺騙。

7. 如果不需要ARP（ARP Proxy）服務則禁止它。

8. 應限制 SYN 包流量帶寬，控制 ICMP、TCP、UDP 的連接數。

9. ICMP協議的安全配置。對于流入的ICMP數據包，只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對于流出的ICMP數據包，只允許Echo及其他必需的類型。

10. SNMP協議的Community String字串長度應大于12位，并由數字、大小寫字母和特殊字符共同組成。

11. 禁用HTTP服務，不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式，則需要對其進行安全配置。

12. 對于交換機，應防止VLAN穿越攻擊。例如，所有連接用戶終端的接口都應從VLAN1中排除，將Trunk接口劃分到一個單獨的VLAN中; 為防止STP攻擊，對用戶側端口，禁止發送BPDU; 為防止VTP攻擊，應設置口令認證，口令強度應大于12位，并由數字、大小寫字母和特殊字符共同組成;盡量將交換機VTP設置為透明(Transparent)模式。

13.采用安全性較高的網絡管理協議，如SNMP v3、RMON v2。

網絡流量分析

流量分析系統主要從帶寬的網絡流量分析、網絡協議流量分析、基于網段的業務流量分析、網絡異常流量分析、應用服務異常流量分析等五個方面對網絡系統進行綜合流量分析。應考慮的安全點主要有:

1. 帶寬的網絡流量分析。復雜的網絡系統中不同的應用需占用不同的帶寬，重要的應用是否得到了最佳的帶寬？所占比例是多少？隊列設置和網絡優化是否生效？通過基于帶寬的網絡流量分析會使其更加明確。采用監控網絡鏈路流量負載的工具軟件，通過SNMP協議從設備得到設備的流量信息，并將流量負載以包含PNG格式的圖形的HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。

2. 網絡協議流量分析。對網絡流量進行協議劃分，針對不同的協議進行流量監控和分析,如果某一個協議在一個時間段內出現超常流量暴漲，就有可能是攻擊流量或有蠕蟲病毒出現。例如: Cisco NetFlow V5可以根據不同的協議對網絡流量進行劃分，對不同協議流量進行分別匯總。

3. 基于網段的業務流量分析。流量分析系統可以針對不同的VLAN來進行網絡流量監控，大多數組織都是基于不同的業務系統通過VLAN來進行邏輯隔離的，所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。例如: Cisco NetFlow V5可以針對不同的VLAN進行流量監控。

4. 網絡異常流量分析。異常流量分析系統支持異常流量發現和報警，能夠通過對一個時間窗內歷史數據的自動學習，獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度，并自動建立當前流量的置信度區間作為流量異常監測的基礎。通過積極主動鑒定和防止針對網絡的安全威脅，保證了服務水平協議(SLA)并且改進顧客服務, 從而為組織節約成本。

抗擊異常流量系統必須完備，網絡系統數據流比較大，而且復雜，如果抗異常流量系統不完備，當網絡流量異常時或遭大規模DDOS攻擊時，就很難有應對措施。

5. 應用服務異常流量分析。當應用層出現異常流量時，通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析，并通過IPS的安全防護技術進行反擊。

網絡QoS

合理的QoS配置會增加網絡的可用性，保證數據的完整性和安全性，因此應對網絡系統的帶寬、時延、時延抖動和分組丟失率等方面進行深入分析，進行QoS配置來優化網絡系統。應考慮的安全點主要有:

1. 采用RSVP協議。RSVP使IP網絡為應用提供所要求的端到端的QoS保證。

2. 采用路由匯聚。路由器把QoS需求相近的業務流看成一個大類進行匯聚，減少流量交疊，保證QoS。

3. 采用MPLSVPN技術。多協議標簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術完美地結合起來，從而彌補了傳統IP網絡的許多缺陷。

4. 采用隊列技術和流量工程。隊列技術主要有隊列管理機制、隊列調度機制、CAR和流量工程。

5. QoS路由。QoS路由的主要目標是為接入的業務選擇滿足其服務質量要求的傳輸路徑，同時保證網絡資源的有效利用路由選擇。

6. 應保證正常應用的連通性。保證網絡和應用系統的性能不因網絡設備上的策略配置而有明顯下降，特別是一些重要應用系統。

7. 通過對不同服務類型數據流的帶寬管理，保證正常服務有充足的帶寬，有效抵御各種拒絕服務類型的攻擊。

網絡的規范性

應考慮的安全點主要有:

1. IP地址規劃是否合理，IP地址規劃是否連續，在不同的業務系統采用不同的網段，便于以后網絡IP調整。

2. 網絡設備命名是否規范，是否有統一的命名原則，并且很容易區分各個設備的。

3. 應合理設計網絡地址，應充分考慮地址的連續性管理以及業務流量分布的均衡性。

4. 網絡系統建設是否規范，包括機房、線纜、配電等物理安全方面，是否采用標準材料和進行規范設計，設備和線纜是否貼有標簽。

5. 網絡設備名稱應具有合理的命名體系和名稱標識，便于網管人員迅速準確識別，所有網絡端口應進行充分描述和標記。

6. 應對所有網絡設備進行資產登記，登記記錄上應該標明硬件型號、廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容。

7. 所有網絡設備旁都必須以清晰可見的形式張貼類似聲明: “嚴格禁止未經授權使用此網絡設備。

8. 應制定網絡設備用戶賬號的管理制度，對各個網絡設備上擁有用戶賬號的人員、權限以及賬號的認證和管理方式做出明確規定。對于重要網絡設備應使用Radius或者TACACS+的方式實現對用戶的集中管理。

網絡設備安全

對設備本身安全進行配置，并建設完備的安全保障體系，包括: 使用訪問控制、身份驗證配置; 關閉不必要的端口、服務、協議; 用戶名口令安全、權限控制、驗證; 部署安全產品等。應考慮的安全點主要有:

1. 安全配置是否合理，路由、交換、防火、IDS等網絡設備及網絡安全產品的不必要的服務、端口、協議是否關閉，網絡設備的安全漏洞及其脆弱的安全配置方面的優化，如路由器的安全漏洞、訪問控制設置不嚴密、數據傳輸未加密、網絡邊界未完全隔離等。

2. 在網絡建設完成、測試通過、投入使用前，應刪除測試用戶和口令，最小化合法用戶的權限，最優化系統配置。

3. 在接入層交換機中，對于不需要用來進行第三層連接的端口，通過設置使其屬于相應的 VLAN，應將所有空閑交換機端口設置為 Disable，防止空閑的交換機端口被非法使用。

4. 應盡量保持防火墻規則的清晰與簡潔，并遵循“默認拒絕，特殊規則靠前，普通規則靠后，規則不重復”的原則，通過調整規則的次序進行優化。

5. 應為不同的用戶建立相應的賬號，根據對網絡設備安裝、配置、升級和管理的需要為用戶設置相應的級別，并對各個級別用戶能夠使用的命令進行限制，嚴格遵循“不同權限的人執行不同等級的命令集”。同時對網絡設備中所有用戶賬號進行登記備案

6. 應制訂網絡設備用戶賬號口令的管理策略，對口令的選取、組成、長度、保存、修改周期以及存儲做出規定。

7. 使用強口令認證，對于不宜定期更新的口令，如SNMP字串、VTP認證密碼、動態路由協議認證口令等，其口令強度應大于12位，并由數字、大小寫字母和特殊字符共同組成。

8. 設置網絡登錄連接超時，例如，超過60秒無操作應自動退出。

9. 采用帶加密保護的遠程訪問方式，如用SSH代替Telnet。

10. 嚴格禁止非本系統管理人員直接進入網絡設備進行操作，若在特殊情況下（如系統維修、升級等）需要外部人員（主要是指廠家技術工程師、非本系統技術工程師、安全管理員等）進入網絡設備進行操作時，必須由本系統管理員登錄，并對操作全過程進行記錄備案。

11. 對設備進行安全配置和變更管理，并且對設備配置和變更的每一步更改，都必須進行詳細的記錄備案。

12. 安全存放路由器的配置文件，保護配置文件的備份和不被非法獲取。

13. 應立即更改相關網絡設備默認的配置和策略。

14. 應充分考慮網絡建設時對原有網絡的影響，并制定詳細的應急計劃，避免因網絡建設出現意外情況造成原有網絡的癱瘓。

15. 關鍵業務數據在傳輸時應采用加密手段，以防止被監聽或數據泄漏。

16. 對網絡設備本身的擴展性、性能和功能、網絡負載、網絡延遲、網絡背板等方面應充分考慮。設備功能的有效性與部署、配置及管理密切相關，倘若功能具備卻沒有正確配置及管理，就不能發揮其應有的作用。

17. 網絡安全技術體系建設主要包括安全評估、安全防護、入侵檢測、應急恢復四部分內容，要對其流程完備性進行深入分析。

18. 安全防護體系是否堅固，要分析整個網絡系統中是否部署了防火墻及VPN系統、抗拒絕服務系統、漏洞掃描系統、IDS&IPS系統、流量負載均衡系統部署、防病毒網關、網絡層驗證系統、動態口令認證系統，各個安全系統之間的集成是否合理。

19. 應安全存放防火墻的配置文件，專人保管，保護配置文件不被非法獲取。

20. 及時檢查入侵檢測系統廠商的規則庫升級信息，離線下載或使用廠商提供的定期升級包對規則庫進行升級。具體包括:

查看硬件和軟件系統的運行情況是否正常、穩定;

查看OS版本和補丁是否最新;

OS是否存在已知的系統漏洞或者其他安全缺陷。

網絡管理

網絡管理和監控系統是整個網絡安全防護手段中的重要部分，網絡管理應該遵循SDLC(生命周期)的原則，從網絡架構前期規劃、網絡架構開發建設到網絡架構運行維護、網絡架構系統廢棄都應全面考慮安全問題，這樣才能夠全面分析網絡系統存在的風險。應考慮的安全點主要有:

1. 網絡設備網管軟件的部署和網絡安全網管軟件的部署; 部署監控軟件對內部網絡的狀態、網絡行為和通信內容進行實時有效的監控，既包括對網絡內部的計算機違規操作、惡意攻擊行為、惡意代碼傳播等現象進行有效地發現和阻斷，又包括對網絡進行的安全漏洞評估。

2. 確認網絡安全技術人員是否定期通過強加密通道進行遠程登錄監控網絡狀況。

3. 應盡可能加強網絡設備的安全管理方式，例如應使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定遠程登錄的超時時間、遠程管理的用戶數量、遠程管理的終端IP地址，同時進行嚴格的身份認證和訪問權限的授予，并在配置完后，立刻關閉此類遠程連接; 應盡可能避免使用SNMP協議進行管理。如果的確需要，應使用V3版本替代V1、V2版本，并啟用MD5等驗證功能。進行遠程管理時，應設置控制口和遠程登錄口的超時時間，讓控制口和遠程登錄口在空閑一定時間后自動斷開。

4. 及時監視、收集網絡以及安全設備生產廠商公布的軟件以及補丁更新，要求下載補丁程序的站點必須是相應的官方站點，并對更新軟件或補丁進行評測，在獲得信息安全工作組的批準下，對生產環境實施軟件更新或者補丁安裝。

5. 應立即提醒信息安全工作組任何可能影響網絡正常運行的漏洞，并及時評測對漏洞采取的對策，在獲得信息安全工作組的批準的情況下，對生產環境實施評測過的對策，并將整個過程記錄備案。

6. 應充分考慮設備認證、用戶認證等認證機制，以便在網絡建設時采取相應的安全措施。

7. 應定期提交安全事件和相關問題的管理報告，以備管理層檢查，以及方便安全策略、預警信息的順利下發。檢測和告警信息的及時上報，保證響應流程的快速、準確而有效。

8. 系統開發建設人員在網絡建設時應嚴格按照網絡規劃中的設計進行實施，需要變更部分，應在專業人士的配合下，經過嚴格的變更設計方案論證方可進行。

9. 網絡建設的過程中，應嚴格按照實施計劃進行，并對每一步實施，都進行詳細記錄，最終形成實施報告。

10. 網絡建設完成投入使用前，應對所有組件包括設備、服務或應用進行連通性測試、性能測試、安全性測試，并做詳細記錄，最終形成測試報告。測試機構應由專業的信息安全測試機構或第三方安全咨詢機構進行。

11. 應對日常運維、監控、配置管理和變更管理在職責上進行分離，由不同的人員負責。

12. 應制訂網絡設備日志的管理制定，對于日志功能的啟用、日志記錄的內容、日志的管理形式、日志的審查分析做明確的規定。對于重要網絡設備，應建立集中的日志管理服務器，實現對重要網絡設備日志的統一管理，以利于對網絡設備日志的審查分析。

13. 應保證各設備的系統日志處于運行狀態，每兩周對日志做一次全面的分析，對登錄的用戶、登錄時間、所做的配置和操作做檢查，在發現有異常的現象時應及時向信息安全工作組報告。

14. 對防火墻管理必須經過安全認證，所有的認證過程都應記錄。認證機制應綜合使用多種認證方式，如密碼認證、令牌認證、會話認證、特定IP地址認證等。

15. 應設置可以管理防火墻的IP范圍，對登錄防火墻管理界面的權限進行嚴格限制。

16. 在防火墻和入侵檢測系統聯動的情況下，最好是手工方式啟用聯動策略，以避免因入侵檢測系統誤報造成正常訪問被阻斷。

17. 部署安全日志審計系統。安全日志審計是指對網絡系統中的網絡設備、網絡流量、運行狀況等進行全面的監測、分析、評估，通過這些記錄來檢查、發現系統或用戶行為中的入侵或異常。目前的審計系統可以實現安全審計數據的輸入、查詢、統計等功能。

18. 安全審計內容包括操作系統的審計、應用系統的審計、設備審計、網絡應用的審計等。操作系統的審計、應用系統的審計以及網絡應用的審計等內容本文不再贅述。在此僅介紹網絡設備中路由器的審計內容：操作系統軟件版本、路由器負載、登錄密碼有無遺漏，enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關閉無用服務; 必要的端口設置、Cisco發現協議（CDP協議）; 是否已修改了缺省旗標（BANNER）、日志是否開啟、是否符合設置RPF的條件、設置防SYN攻擊、使用CAR（Control Access Rate）限制ICMP包流量; 設置SYN數據包流量控制（非核心節點）。

19. 通過檢查性審計和攻擊性審計兩種方式分別對網絡系統進行全面審計。

20. 應對網絡設備物理端口、CPU、內存等硬件方面的性能和功能進行監控和管理。

系統維護中心批準后，根據實際應用情況提出接入需求和方案，向信息安全工作組提交接入申請;

由申請人進行非上線實施測試，并配置其安全策略;