網絡安全體系建設范文

導語：如何才能寫好一篇網絡安全體系建設，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：安全；信息化；規劃

中圖分類號：TP393　文獻標識碼：A

1　校園網安全運行現狀與需求

1.1校園網安全建設現狀分析

網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。隨著高校的發展，用網人數的增加，校園網用戶對信息與網絡安全的要求也越來越高。大部分高校以往的網絡建設，重點是“建設”，強調網絡的覆蓋范圍，出口帶寬，基礎應用等，而對網絡安全的關注度不夠，往往是“想起一個建一個，需要一個建～個”，沒有形成系統、全面、高效的網絡安全體系。隨著高?！靶畔⒒苯ㄔO的呼聲越來越高，網絡安全體系的建設也在逐步受到學校各級領導的重視。

1.2校園網安全體系建設需求

網絡安全建設一直是各高校網絡建設的難點和薄弱環節，一方面，技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度；另一方面，校園網用戶甚至是系統管理員的安全意識淡漠，以及學生用戶網絡行為的不確定性成為各高校網絡安全工作的瓶頸。因此，網絡中心需要通過采取一系列的網絡安全措施、制定一系列的網絡安全管理制度，在提高網絡管理技術手段的同時，逐步增強用戶的網絡安全意識，構建穩定、安全、綠色的校園網。

2　網絡安全體系建設規劃

隨著學校網絡與信息化建設的逐步深入，網絡安全問題、信息數據安全問題日益突出。建立一套網絡安全體系，是各高校在信息化過程中的重要任務之一。

2.1校園網安全建設規劃

根據各高校網絡建設規劃，結合現有的網絡安全技術手段，應從以下幾個方面做好校園網安全建設工作。

2.1.1加強網絡設施安全建設

網絡設施安全主要指網絡設備、服務器等硬件設備的物理安全。某高校網絡中心曾經發生過同批次多塊硬盤損壞，機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設中，保證設備的物理安全尤為重要。

建立機房、設備間的防火、防盜、監控和報警方案：

對一些關鍵設備。系統和鏈路，應設置冗余備份系統，避免網絡設備因天災或人為因素對網絡造成的影響。

2.1.2終端安全防范措施

隨著各高校網絡覆蓋范圍的逐步增加，用網人數不斷增多(如某高校校園網同時在線用戶已經達到4500人)，用戶終端的安全問題成為校園網內網安全的主要問題之一。由于用網人員的計算機水平參差不齊，以及學生用戶網絡行為的不可控性，給網絡安全帶來了很大的隱患，因此需要從以下幾個方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網絡版殺毒軟件，以及校內WSUS服務，逐步建立“沒有殺毒軟件”、“不打系統補丁”不上網的安全意識；

對校內突發的終端安全事故進行監控，及時提供必要的專殺工具、漏洞補?。?/p>

提高技術人員的技術水平，采取相應的檢測手段，利用先進的儀器設備，減少用戶端安全事故的排查和定位時間。

2.1.3應用服務器安全措施

應用服務器是數字化校園的基礎，是各個業務系統的載體，所以它的安全是至關重要的，因此，系統管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。

制定相關技術文檔，規范應用服務器上線前的安全檢查，督促管理員使用正版操作系統、安裝殺毒軟件、防火墻、自動更新等，并且定期掃描系統漏洞，更改系統密碼。保證操作系統安全；

建立完善可靠的容災恢復方案，對關鍵服務器采用雙機熱備方式，并且提供可靠的數據備份系統，如采用RAID技術以及利用磁帶備份數據，確保事故發生時業務數據不丟失，系統能夠快速恢復；

建立授權控制體系，對不同管理員設定不同的系統、數據庫管理權限：

完善訪問日志分析系統，定期對日志進行整理和分析，制定相應的安全策略。

2.1.4網絡出口及邊界安全

目前高校網絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備，網絡出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面，需要在出口及邊界設備的管理中做到以下幾點：

建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細的ACL策略，限制登錄設備的IP地址；

采取NAT機制。在保證校內用戶正常上網的同時，繼續優化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規劃SSL VPN的用戶權限；

建立IDS+IPS的聯動機制。完善網絡監控與入侵防范；

建立出入雙向的訪問日志系統。

2.1.5應用分析控制技術的應用

在網絡安全管理中，網絡流量、網絡應用的分析至關重要，網絡管理人員需要明確地知道網絡中有哪些網絡應用，各種應用在網絡中所占的帶寬以及是否存在不良應用，如圖1。

隨著上網人數的增多，網絡出口不可避免地出現擁堵現象，因此，需要進一步對網絡應用進行分析，并制定有效的控制策略。

實時記錄出口帶寬使用情況，對惡意占用帶寬的應用進行限制，確?；緫玫母咝н\行；

對網絡流量進行監控，利用相關協議分析工具對網絡應用進行深層坎的分析。

2.2信息安全建設規劃

信息安全指保證系統中的信息不被破壞、不被竊取、不被非法復制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲時的安全。

建立完善的實名上網制度，并且與各系統的日志配合，建立“上網ID+上網時間+上網IP+上網入”的一一對應關系；

建立合理的文件上傳、審查制度，對關鍵數據采取數字簽名技術，做到誰上傳誰負責，安全事故責任到人；

對論壇、留言板等提供用戶交流的版塊加強監管力度。對有害和敏感信息進行監控；

數字校園關鍵服務器問數據傳輸采取加密方式，防止網絡竊聽、數據泄露等安全事故的發生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。

2.2.2數據安全建設

隨著高校信息化建設的推進，各部門工作信息化的程度也將越來越高，如何保證數據安全，提高管理信息系統(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關管理制度：

制定MIS系統數據備份、災難恢復方案；

定期對MIS漏洞進行修補。防止數據泄露。

2.3全局安全體系建設

根據對網絡體系分層的概念，針對不同的層次制定不同的網絡安全措施。做到有的放矢，從技術上實現檢測、上報和控制一體化。例如銳捷公司提出的全局安全網絡(GSN)，如圖2。

整合已建立的安全措施，增加針對上網用戶的準入策略。在用戶連入網絡之前先進行客戶端病毒及漏洞掃描，保證連入網絡的客戶端的安全性，從而最大限度地降低網絡安全風險：

建立統一的安全管理平臺(SMP)，通過下發警告消息，下發修復程序，下發阻斷或者隔離策略等手段智能處理安全事件。

篇2

隨著電子政務的飛速發展，其承載的政府管理和服務系統日趨龐雜，這就對電子政務網絡系統的安全性提出了更高的要求。因此，建立與網絡信息安全相適應的安全策略和安全設施，構筑完整的網絡安全體系，是電子政務發展的一個重要內容。

2 電子政務網絡面臨的安全問題

（1）網絡的規劃缺乏合理性。由于技術和資金投入方面的原因，電子政務網絡在規劃建設時往往會在一些方面缺少前瞻性的考慮，而隨著電子政務應用需求的與日俱增，這些問題直接表現為網絡在功能上和性能上的相對滯后。

（2）網絡病毒問題比較突出。病毒問題對電子政務網絡的安全應用造成了很大的威脅，在實際中往往會忽視全網防毒的重要性，并且對未知病毒的防范上缺乏必要的措施。

（3）網絡攻擊事件日益增多。隨著網絡攻擊技術的發展，對電子政務網絡的攻擊行為日益增多，包括物理通路竊聽、鏈路數據被截獲、非法用戶入侵、政府網頁被惡意篡改等等，都對電子政務網絡的安全性提出了更高的要求。

（4）災難恢復機制不夠完善。在電子政務網絡建設中，存在著單點故障的隱患，這些都是電子政務網絡在安全防范和恢復能力方面存在的薄弱環節。

（5）網絡安全管理相對滯后。電子政務網絡的安全三分靠建設、七分靠管理，而在目前的電子政務網絡建設中，與網絡安全相關的規范、措施、預案相對較少，安全管理的意識還很淡薄。

3安全體系的設計

電子政務網絡安全是個復雜的綜合性問題，不能簡單地理解成為一些安全產品的集合，而是要形成體系化的建設，可以從安全技術和安全管理兩個方面實現：

（1）安全技術

安全技術是實現電子政務網絡安全最直接、最普遍的方法，因而在電子政務網絡安全保障上應考慮以下安全技術的應用：應用防火墻技術，隔離內外網絡、控制訪問權限，防止非法訪問和惡意攻擊；應用主動入侵防御技術保護核心服務器和內部網絡，進行深層防御、精確阻斷；應用安全掃描技術主動探測網絡安全漏洞，進行網絡安全評估，保持網絡系統安全的一致性和連續性；應用審計技術對業務數據流和人員上網行為進行審計，防止網絡濫用情況的發生，進一步規范上網行為；應用流量分析技術，優化網絡帶寬，實現網絡資源和網絡應用的可控制性；應用網絡負載均衡技術，提高不同網絡之間訪問速度；應用統一管理技術，實現對網絡設備、服務器和基礎設施的統一監測管理。

（2）安全管理

網絡安全的核心是安全管理，安全管理是確保安全技術得以有效實施的保障，可以考慮兩方面的措施：一是制定本地區、本部門的電子政務網絡安全管理規范，充分發揮網絡在信息化建設中的基礎性作用，促進信息化建設健康、快速、協調發展；二是制定電子政務網絡突發事件應急預案，建立起完善的電子政務網絡系統保障和恢復應急工作機制，有效預防、及時控制和最大限度地消除突發網絡事件的危害和影響，確保電子政務網絡系統的安全、穩定運行。

4安全體系的建設原則

（1）完整性。單一的技術手段或管理手段對安全問題的發現、處理、控制等能力各有優劣，所以應該從整體安全性的角度考慮需要不同安全策略和安全設施之間的安全互補，提高對安全事件響應的準確性和全面性。

（2）經濟性。安全體系建設要因地制宜，從本地區、本部門電子政務網絡建設發展的實際出發，根據對安全方面的需求，制定合理的保護策略，使安全和投資達到均衡，做到低投入、高產出。

（3）動態性。網絡的安全是一個全動態的過程，無論是安全產品的選用，還是安全策略的制定，都必須具有延續性和前瞻性，能夠針對新的安全需求，不斷地進行技術和設備的升級換代，進行安全策略的調整，以適應新的發展需要。

（4）標準性。在電子政務網絡安全體系建設中，要遵守國家標準、行業標準以及國際相關的安全標準，這是構建系統安全的保障和基礎。

（5）可操作性。安全體系的任何一個環節都應該有很好的可控性，包括安全產品的易用性、安全技術手段的針對性、安全管理制度規范的可實施性，確保安全體系建設能收到良好的實際效果。

5 結束語

網絡安全是相對的，安全體系的建設也并非一勞永逸。隨著電子政務的進一步發展，必然會對網絡安全提出更高的要求，這就需要用動態的、前進的、創新的眼光來認識安全，定期進行安全評估、合理運用安全技術、加強安全管理措施，建立起更加完善的電子政務網絡安全體系。

參考文獻

篇3

網絡武器民用化

將導致勒索成為最流行模式

齊向東在演講中稱，網絡戰“不費一槍一炮”，就能達到傳統戰爭破壞政府、經濟、社會正常秩序的系列目的，勒索病毒攻擊就是這種形式。

在剛剛過去的6月底，勒索病毒變種Petya卷土重來，距Wannacry事件僅過去了一個多月。齊向東總結說，經過對比分析，勒索病毒變種有傳播速度更快、破壞性更強以及目的性更復雜的趨勢。

傳播速度上，新病毒變種的傳播速度達到了每10分鐘感染5000余臺電腦；破壞性上，大量基礎設施遭到攻擊，危害性極大；目的性上，“黑客”不再單純地以盈利為目的，而是為了搞破壞，而帶有國家背景的攻擊極有可能隱藏在黑產面具的背后。

齊向東認為，以“永恒之藍”勒索病毒為標志，網絡攻擊已經從過去的“弱感知”變成了“強感知”，大部分人從“圍觀者”被迫成為了“受害者”。同時，“網絡武器民用化”的趨勢將導致勒索成為未來最流行的模式。

“以前網絡攻擊的目的是破壞，但在大數據時代，用網絡漏洞進行勒索不僅能快速地破壞企業和機構的基礎設施，還能實現盈利?！饼R向東說。安全行業將演變為

人才密集型的服務行業

面對越來越復雜的網絡攻擊，傳統的安全防護思路和技術已經失效，建設全新的網絡安全體系迫在眉睫。

齊向東表示，在建設全新的網絡安全體系時，人的作用會越來越大，安全行業將演變為人才密集型的服務行業。原來用硬件設備和軟件構成的、以防護為主的安全體系已經不適用了，取而代之的將是防護系統與安全人員應急處置相結合的新體系。

除了強調人的作用，齊向東認為，網絡安全態勢感知與應急響應是網絡安全系統的核心。勒索病毒事件充分證明，安全應急響應的速度和質量，對保障網絡安全至關重要，而態勢感知系統能夠自動感知預警，為應急響應提供保證。

此外，終端、網絡、服務器三方聯動的防護體系是應急響應結果的關鍵。齊向東說，360對100余家機構抽樣統計表明，即便是大型的機構，建設了終端管控體系，也存在明顯的安全死角，導致應急措施無法有效執行。如果能組成三方聯動的防護體系最好，如果不能，至少三條線分別能自動響應，比如在云端“一鍵執行”統一安全策略，這能為響應贏得寶貴時間。

我國網絡安全建設的投入

與美國相差15倍

齊向東認為，一直以來，我國在網絡建設上存在著重業務應用、輕網絡安全的現象。目前，我網絡安全建設的投入與美國相差15倍，應盡快補齊。

“我國網絡安全投資占整體信息化建設經費的比例不足1%，與美國的15%、歐洲的10%相比存在巨大差距。”齊向東說。

篇4

關鍵詞：校園網絡；建設；安全

隨著科學技術的不斷發展，以電子計算機為媒介的信息技術不斷成熟，信息技術現在已經成為人們工作和生活中必不可少的一項生活需求。校園網絡是整個校園區域內的電腦信息信號，通過鏈接從而形成網絡。校園內的網絡不僅僅能夠使校園內各個角落中的網絡節點聯系在一起，方便管理，還能對校園內的資源進行有序和集中的整合，從而能夠滿足學校內教學、辦公甚至科研等工作的需求。

一、校園網絡存在的問題

隨著校園網絡的不斷普及和發展，不可避免地出現很多問題，下面筆者將對校園網絡中存在的問題進行分析。

校園網的網絡資源是要求公開的，并且能夠和互聯網連接，所以就要求校園內的整個網絡環境必須是安全的。因此，在校園網絡的建設和日常維護中，如何保證校園網絡的安全性就成為了最重要的問題。

1.系統安全

對于計算機來說，操作系統是非常重要的，它是保證計算機能夠正常運行的基礎，所有軟件的運行和網絡的瀏覽也都是在操作系統的平臺上得以實現的。在目前廣泛應用的操作系統中，每個系統的開發本身都存在著一定的漏洞，這些漏洞是非常大的安全隱患，如果沒有對操作系統進行安全配置，那么就會對電腦內的文件及其他機密材料帶來非常大的隱患。

2.互聯網安全

互聯網有著豐富的資源，也必定充斥著大量的計算機網絡病毒，計算機網絡病毒的傳播速度非常快，并且覆蓋的層面也非常廣，如果學校沒有采取適當的保護措施，那么計算機網絡病毒對于校園網絡所造成的傷害是非常巨大的，甚至有可能造成網絡的癱瘓和報廢。很多學校由于建設校園網的過程中接入了互聯網，及時設置了防火墻，但是由于其他安全技術工作不到位，導致校園網絡頻繁地受到病毒的侵蝕和黑客的攻擊。

3.客觀因素

影響校園網絡安全的還有很多客觀因素，如設備的毀壞、自然災害、通信光纜的損壞和雷電破壞、設備的老化及未及時更新等，都會造成整個校園網絡出現安全事故。

二、校園網絡安全維護策略

所謂網絡安全，就是指網絡硬件和軟件以及網絡中的數據系統能夠得到良好的保護，從而不受惡意破壞，維持數據的保密性和系統的正常運行，保證網絡服務不被中斷。筆者根據自身實際工作經驗，認為提高校園網絡安全維護的策略應該從以下幾個方面進行：

1.防火墻

網絡防火墻能夠區分公眾網和內部網，它能夠限制被保護的網絡與互聯網及其他網絡之間的信息傳遞。在構架校園網絡安全的工作中，防火墻是最重要的一道程序。在可適用校園網絡安全的防火墻上，分為軟件和硬件兩種，它不僅僅能夠控制兩個網絡之間的信息交換，還能夠對網絡的訪問者進行監控和圍堵，在整個校園網絡安全的構建中是最為重要的。

2.入侵檢測技術

入侵檢測能夠將電腦和網絡上的惡意行為進行細致的識別，入侵檢測技術就是基于這種識別能力的系統。入侵檢測技術能夠檢測出外部用戶在非授權情況下進行訪問的行為，不僅能夠計算出計算機系統安全的配置，還能夠檢測出違反技術安全政策的不法分子，從而給校園的網絡提供一個良好、有序的環境，以隔絕沒有訪問權限的非法訪問者。

3.認證技術

認證技術是計算機網絡安全技術中一項重要的技術，現如今校園內網絡使用的認證技術多為身份驗證，認證技術能夠為用戶對網絡的訪問營造出一道良好的保障。首先，校園網絡內的用戶都擁有屬于自己身份的安全認證權限，在對網絡進行訪問的時候，輸入自己的認證信息，通過身份識別系統進行檢查，檢查通過方能夠對網絡進行訪問，根據用戶不同身份還能設計出不同的認證技術手段。另外，認證技術系統管理員也可以根據所需對數據庫進行配置，從而建立好監控系統，這樣能夠更好地檢測是否有入侵，從而保證網絡的安全，這是最為基礎的安全保證。

4.訪問控制技術

訪問控制技術是對用戶身份定義的系統，這樣能夠限制校園用戶訪問某些不在權限之內的信息和資源，或者能夠達到對于某些機密材料的限制訪問工作。在網絡安全中，訪問控制是主要的工作，能夠保證網絡的資源不被惡意和非法使用，從而保證網絡的安全。

校園網絡在建成和管理中應注意良好的安全管理。由于網絡的外部發展使得網絡安全變得隱患多多，在校園網絡的管理中，通過防火墻、入侵檢測技術、認證技術、訪問控制技術等安全技術能夠較好地保證校園網絡安全，進而實現校園網絡正常、平穩地運行。

參考文獻：

[1]樂寧麗.淺談構建完善的校園網絡安全防范體系[J].福建商業高等專科學校學報，2009（6）.

篇5

關鍵詞：網絡安全；實驗教學；課程體系

作者簡介：廉龍穎（1981-），女，遼寧莊河人，黑龍江科技大學計算機學院，講師。

基金項目：本文系黑龍江省高教學會十二五教研課題（項目編號：HGJXH C110918）、黑龍江科技學院青年才俊資助項目的研究成果。

中圖分類號：G642.0 文獻標識碼：A 文章編號：1007-0079（2013）14-0089-02

“網絡安全”課程是黑龍江科技學院（以下簡稱“我?！保┽槍W絡工程專業本科生開設的一門專業主干課程。根據調查問卷顯示，現代企業對所需網絡安全人才的職業素質要求排序，第一為工程實踐能力（87%），其次為工作責任心（9%）、團隊協作能力（4%）。這些數據表明，“網絡安全”課程必須強化實踐能力培養，而培養實踐能力的基礎和重點來自于實驗課程。實驗教學直接影響到學生的實踐能力和職業素質，加強實驗課程體系建設，有利于為開展后續實踐教學任務打下一個堅實的基礎，有利于進一步推動大學生實踐教學的改革和發展。

課程組通過對網絡安全實驗教學進行改革，建設了一套完整的網絡安全實驗課程體系，不僅提高了“網絡安全”課程的教學質量，而且大大提高了學生的就業競爭能力，為學生今后從事網絡安全管理以及網絡安全產品研發打下了堅實的基礎。本文以“網絡安全”課程教學改革為出發點，搭建了網絡安全實驗教學軟環境，闡述了網絡安全教學內容設置情況，改革了實驗教學方法，最終構建了適合我校特點的網絡安全實驗課程體系。

一、網絡安全技術實驗教學中存在的問題

“網絡安全”是與實踐結合非常緊密的應用型課程，2010年課程組對學生進行了抽樣調查，如圖1所示。根據抽樣調查統計發現82.4%的學生缺乏實踐能力，當遇到實際網絡安全問題時想用理論知識解決但又不知如何使用。之所以導致這一狀況，主要原因是網絡安全實驗教學過程中存在著實驗軟硬件環境落后，實驗教學內容單一，實驗教學方法守舊等問題，理論教學與實驗教學嚴重脫節，能力培養未能具體落實，導致學生對一些網絡安全的知識沒有真正理解，同時也為開展后續的課程設計、工程實訓以及畢業設計等實踐環節帶來一定的困難。

二、構建網絡安全實驗課程體系

1.實驗教學環境建設

網絡安全實驗具有綜合性、應用性、攻防性、工程性等特點，對實驗環境提出了更高的要求。為全面提高“網絡安全”課程教學質量，提高學生的網絡安全實踐能力，學校建設專業的網絡安全實驗環境是十分必要的。網絡安全實驗環境建設采用插件化無縫建設模式，建成后的實驗教學環境拓撲結構如圖2所示，各高?？筛鶕嶋H教學情況進行個性化結構調整，為學生實驗提供全方位的支持。網絡安全實驗環境應具備以下特點：

（1）實戰性。實驗環境中選取Web服務器、數據庫服務器、郵件服務器等Internet中廣泛應用的信息系統，模擬出復雜的企業網絡結構作為網絡攻防實戰對象。

（2）真實性。在網絡攻防實戰對象中存在的各種漏洞均來源于真實的網絡應用，各服務器系統應用不同的安全級別，以交互式體現網絡攻擊和防御過程。

（3）合作性。每個實驗小組由五名學生組成，小組內部形成一個小型局域網，實驗項目由小組協作完成，在培養學生獨立思維能力的同時，注重增強學生的團隊合作意識。

2.實驗教學內容設置

實驗教學內容包含網絡安全基礎、網絡安全編程、隱藏IP技術、網絡掃描與網絡監聽、網絡攻擊、網絡后門與清除日志、病毒攻防、防火墻技術、入侵檢測、信息加密等十大專題，為每一專題中的重點理論教學內容設計一個配套的具有綜合性、典型性、真實性、障礙性的實驗項目，實驗項目的設計采用由演示到應用再到設計的“進階式”方式。學生完成各種攻防式實驗項目，不僅可以增強學生的學習興趣，促進學生加深對理論知識的理解，還可以鍛煉學生的工程實踐能力。在實驗教學項目的選取上應注重以下幾點：

（1）綜合性。將課程中的基本原理和方法與基本實驗內容進行有機融合，設置綜合的項目式實驗教學內容，每個實驗項目相對獨立和完整，使學生能夠對各種網絡安全問題形成一種感性認識，通過完成實驗項目，提高解決實際網絡安全問題的能力。

（2）典型性。實驗項目能突出某個網絡安全理論在實踐中的典型應用，通過完成這些典型實驗項目，當學生在實際工作中遇到相似問題時，能夠借鑒這些典型實驗項目的解決方法。

（3）真實性。每個實驗項目都從某一個網絡安全事件入手，通過新聞視頻對本項目所依托的真實案例進行闡述，從而引發學生濃厚的興趣，引出實驗目標。

（4）障礙性。在網絡配置和服務器配置上使用多個網絡安全技術進行保護，這樣，學生在進行網絡安全攻擊實驗時，將遇到一些實際的障礙，學生需要根據所學的網絡安全知識來進行創造性的發揮，找出解決障礙的方法和途徑。設計障礙性的實驗項目，可以大大提高實驗教學的吸引力，充分鍛煉學生解決實際網絡安全問題的能力。所開設的實驗內容見表1。

實驗項目從“攻擊準備”開始，到“網絡攻擊”，再到“網絡防御”，其中包括黑客攻擊步驟以及網絡安全防御方法，完整再現了一個“網絡安全”課程的攻防體系，從而讓學生在完成實驗的過程中真正體會到一個網絡安全工程師的工作過程。

3.實驗教學方法實施

在實驗教學方法實施過程中，采用開放性的方式進行，不強求實驗進度、不要求實驗結果，給學生一定的自由發揮的空間，重點考查學生的學習效果和實踐能力。

（1）實驗指導改“細”為“粗”。在實驗課堂中，將采用學生為主體、教師適當引導和個別輔導的方式。教師僅提出實驗項目需要解決的問題和達到的實驗效果，不規定具體的實驗步驟和方法，具體實驗方案的設計、實驗軟件的選擇、實驗步驟的實施都由學生獨立思考來完成，培養學生開放性思維，鼓勵學生提出不同的解決方案，結合實驗結果進行探討。

（2）實驗項目改“實”為“虛”。不對實驗項目固定化、模式化，鼓勵學生根據理論教學內容查閱資料、確定方案、選用軟件、分析效果來自行設計實驗步驟，在設計實驗步驟的過程中培養學生發現、分析、解決問題的能力。

（3）成績評定改“一”為“多”。在實驗成績評定中，摒棄單一的由教師評定成績的方式，采用教師評定、學生互評以及學生自評相結合的方式，提高學生的積極性和主動性。

通過對網絡安全實驗課程體系的建設研究，建立以網絡安全攻防體系為核心，以實驗環境建設為基礎，以實驗項目為驅動，以改革實驗教學方法為依托的實驗課程體系，力求讓學生體驗實際網絡安全攻防場景，充分發揮學生的創新潛能，真正鍛煉出解決實際網絡安全問題的能力。

三、結語

經過近3年的教學實踐，“網絡安全”課程的實驗課程體系建設已取得初步成效。實踐證明，建立完善的實驗課程體系，開展攻防式的網絡安全實驗項目，不僅使理論課程與實驗課程同步進行，實驗項目和課程內容結合十分緊密，更重要的是拓寬了學生的知識面，激發了學生的學習熱情，培養了學生的網絡安全管理能力和工程素質。

參考文獻：

篇6

關鍵詞：企業；計算機網絡；信息安全

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Network Security Problems in the Construction of Enterprise Informatization

Li Xiaoning

(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)

Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.

Keywords:Enterprises;Computer network;Information security

一、企業信息化建設中網絡安全存在的問題

（一）安全漏洞

在計算機技術中，任何一種程序都有可能存在漏洞，當前各種操作系統以及相關軟件都存在一些漏洞，幾乎每一天都有漏洞被發現，此外，操作系統通常還存在一些隱藏的通道，而這些通道往往成為黑客的便利通道。與此同時，系統中還存在著一些通用服務，如果在安裝程序的時候沒有注意到這些，那么也會給黑客創造可乘之機。一些企業的競爭對手或者對企業心存不滿的員工或客戶都可能利用這些漏洞，對企業進行攻擊，進而使得整個企業網絡喪失相應的使用能力或丟失企業資料和秘密等，給企業的網絡安全帶來了巨大的安全隱患。

（二）計算機病毒感染

通常情況下，計算機病毒是通過下載或者電子郵件的形式進行傳播，還有的可以通過即時的網絡信息進行傳播，可以說有計算機的地方，就會存在電腦病毒的問題。病毒通常具有傳播快、影響巨大的特點，給企業的網絡安全造成巨大的影響。這些年來，木馬病毒是計算機病毒中的主要傳播形式，根據有關的統計，木馬病毒占到所有計算機病毒的四分之一以上。木馬病毒是一種特殊的病毒形式，如果用戶錯將其按照應用軟件來實用的話，所使用的電腦就會被移植上木馬病毒，從而將電腦的控制權完全交到了黑客的手中，黑客能夠通過木馬盜取計算機上使用的一些銀行密碼、卡號、機密信息等，而且能夠對計算機實施實時的監控、查看等，給企業的網絡安全帶來巨大的威脅。

（三）惡意攻擊和非法入侵

在當前的企業網絡信息安全問題中，黑客利用惡意攻擊和非法入侵的手段阻止企業利用網絡或進行網絡商業活動的行為，已經成為讓每一個企業頭疼不已的問題。通常情況下，黑客通過惡意攻擊和非法入侵的手段對企業造成的危害表現為：組織企業利用網絡資源；利用大量信息來阻塞企業通信網絡；植入木馬等程序對企業的實時動態進行監控；復制、刪除、盜取企業重要信息等。不管黑客的目的是什么，這樣的入侵行為都會給企業帶來巨大的影響，使得企業重要信息的泄露甚至是企業正常生產的停止。

（四）相關人員管理上的失誤

對企業來說，由于相關人員管理上的失誤也會給企業網絡信息安全帶來巨大的威脅。當前，許多企業缺乏網絡信息安全的管理機制，而且相應的系統安全維護習慣欠缺。有的企業在發現病毒和漏洞的時候，并沒有對其引起重視，只是采取簡單的殺毒和修補等措施，相關員工的安全意識匱乏，沒有對系統進行全面的維護，從而給黑客的入侵創造了機會。此外，有的企業在內部分工上存在不明了的情況，從而使得網絡使用權限與行政管理出現矛盾?？傊?，由于管理上存在的問題，給企業的網絡安全埋下了許多的隱患。

二、企業信息化建設中網絡安全問題的解決措施

（一）加強相關人員的素質及意識

企業應該對其網絡管理人員進行專業的技術培訓，強化相關人員的能力，尤其是網絡安全新技術方面的知識。另外，還應該對非技術人員進行培訓，增加他們必要的網絡安全常識和基本的網絡防御知識。

（二）企業網絡安全可以采用的相關技術

防火墻技術：通常防火墻技術分為網絡防火墻和應用級防火墻兩大類。前者的主要作用是防止整個企業網絡中出現非法入侵等行為，而后者主要是對計算機中的應用程序進行必要的應用控制。大多數情況下采用應用網關或者服務器對二者進行區分。當前防火墻所采用的技術主要包括以下幾種：屏蔽路由技術、基于技術、包過濾技術、動態防火墻技術。

虛擬專用網：虛擬專用網是企業網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個私有的連接。因此，從本質上說VPN是一個虛擬通道，它可用來連接兩個專用網，通過可靠的加密技術方法保證其他安全性，并且是作為一個公共網絡的一部分存在的。

加密技術：加密技術分為對稱加密和非對稱加密兩類，對稱加密技術有DES、3DES、IDEA，對稱加密技術是指加密系統的加密密鑰和解密密鑰相同，也就是說一把鑰匙開一把鎖。非對稱密鑰技術主要有RSA．非對稱密鑰技術也稱為公鑰算法，是指加密系統的加密密鑰和解密密鑰完全不同，這種加密方式廣泛應用于身份驗證、數字簽名、數據傳輸。

入侵檢測技術：入侵檢測技術的核心包括兩個方面，一是如何充分并可靠地提取描述行為的特征數據；二是如何根據特征數據，高效并準確地判斷行為的性質。它通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

總之，今后的企業信息化建設中，網絡安全就顯得尤為重要，如果企業不重視信息化的網絡安全工作。信息化不僅無法提高企業的工作效率，還會讓企業蒙受巨大的經濟損失。

參考文獻：

[1]黃現代.企業信息化建設中的網絡安全問題研究[J].科技信息(學術版),2007,31

篇7

 

1 網絡信息安全的內涵

 

網絡信息安全定義是：計算機網絡系統中的硬件、數據、程序等不會因為無意或惡意的原因遭到破壞、篡改、泄露，防止非授權的單位使用[1]。網絡系統能夠保持服務不受中斷，維持可靠運行。

 

不同的用戶對網絡信息安全的定義有所不同。作為普通民眾，他們希望自己的隱私信息能夠得到有效保護，不被他人竊取利用。對網絡安全管理員來說，他們希望始終有權限管控自己的網絡，并不受外界惡意入侵和破壞。對于國家安全部門而言，阻擋一切可能造成威脅的信息，并防止任何信息外泄是他們的工作目標。網絡信息安全，離不開技術和治理兩方面的努力。

 

2 目前網絡安全的主要技術

 

2.1 防火墻

 

防火墻是一個或一組網絡設備。防火墻的主要作用是加強兩個或兩個以上網絡中的訪問控制[2]。防火墻主要目的是保護網絡不受外界攻擊。通過對網絡設定防火墻，能對來自外部網絡的信息進行有效篩查，將安全的信息放行，將存在威脅的信息過濾。達到保護網絡安全的目的。

 

防火墻具有以下特點：(1)網絡之間的信息傳遞，都需要經過防火墻篩查;(2)只有符合安全策略的信息數據才能通過防火墻;(3)防火墻兼具保護和預防外部網絡入侵的功能。雖然防火墻對保護網絡安全具有良好效果，但其最大的缺陷在于會造成網絡服務于網絡間的數據傳輸速度大幅下降。這也是為了達到保護網絡安全所必須付出的代價。

 

2.2 數據加密技術

 

當今時代，信息是一把雙刃劍。它既能幫助團體或個人，令他們從中受益，同時也能成為威脅和破壞的工具。因此這就要求出現某種安全技術對信息進行有效保護，防止被惡意竊取或利用。

 

數據加密技術，是通過使用數字，對原有的信息進行重新組織。經過數字加密技術處理后的數據，除了合法使用者外，其他人難以將信息進行恢復。數據加密主要是對傳輸中的數據流進行加密。加密方法有線路加密與端對端加密兩種。線路加密側重于對傳輸線路加密，端對端加密是使用者在段的兩頭對信息進行加密處理，再經過TCP/IP數據包封裝后通過互聯網傳輸到目的地。到達目的地后收件人用相應的密匙對數據包解密，將信息恢復。

 

2.3 入侵檢測系統

 

入侵檢測技術是對外部網絡入侵行為進行檢測[3]。它通過不斷收集和分析網絡行為、安全日志并對數據進行審計，及時獲取系統中關鍵點信息，檢查網絡或系統是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務主要包括：(1)對系統中用戶的各種活動進行監視;(2)檢查網絡系統存在的弱點;(3)將工作中的異常情況進行記錄和報告;(4)對數據完整性進行檢查;(5)遭受外來攻擊時報警。

 

3 加強計算機網絡信息安全對策

 

3.1 強化網絡安全保障體系建設

 

強化網絡安全保障體系建設，離不開多方面的共同努力。當前國家信息安全保障體系建設，應當圍繞以下幾方面：(1)深入研究和開發信息加密技術;(2)健全網絡信息安全體系;(3)強化網絡信息安全風險評估;(4)建立健全信息安全監控體系;(5)加大對信息安全應急處理工作的重視度。

 

在面對網絡信息安全威脅時，作為普通用戶應當提高自身網絡安全意識。在學習必要的網絡安全知識外，對來自外部網絡的突然進攻應當保持冷靜。作為企業用戶，網絡安全建設更加復雜，保護網絡信息安全的意義也更為深遠。首先，企業應當設計符合自身需要的安全策略，對重點對象提供有效保護。第二加強對用戶訪問權的控制，對非法用戶的操作進行嚴格限制，保護企業信息不受侵犯。

 

3.2 構建信息安全體系的措施

 

目前我國信息安全保障水平偏低，構建有效的網絡信息安全體系，需要社會各界的共同努力。沒有通力合作，難以應對日益復雜的網絡安全事件，而且網絡信息安全技術涉及面廣，技術難度大，單一組織或個人的網絡安全技術難以滿足各方面需求。

 

(1)加強國家宏觀調控。吸收發達國家網絡信息安全管理經驗，建立具有國家權威的網絡信息安全部門，由該部門對我國網絡信息安全體系建設路線、方針進行統籌規劃。

 

(2)完善相關法律法規。進一步完善我國相關網絡安全法律法規，保障信息安全產業的權益，加大對危害信息安全行為的處罰力度。

 

(3)鼓勵網絡安全技術領域投資。從國家的角度，鼓勵網絡安全技術領域投資包括加大財政對信息安全產業的直接投入，和給予信息安全產業相關企業、團體政策支持和補貼，擴大其發展規模。

 

(4)加強信息安全技術創新。我國目前正掀起“大眾創業，萬眾創新”的社會浪潮。在此背景之下，鼓勵安全信息技術創新，并給予高額獎勵，推動我國信息安全技術的發展。

 

4 結語

 

綜上，目前網絡信息安全正越來越受到關注。雖然目前有許多網絡安全產品保護用戶信息，但由于網絡自身仍存在安全隱患，因而來自外部攻擊難以從根本上消除。建立健全網絡信息安全體系，對未來促進我國互聯網發展將發揮巨大作用。

篇8

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

篇9

關鍵詞 園區網；安全體系；規劃；運維

中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363（2015）09-0050-02

校園網絡變得更加開放的同時，網絡安全正經受更加嚴格的挑戰，網絡管理者必須切實了解保護本地網絡安全的手段。本文嘗試對如何創建安全的校園網絡環境并保持其穩定運行提出一些規劃原則與管理方法。

1 常見網絡安全威脅類型

1）病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統，破壞某信息保密性和完整性，使得攻擊者從中獲得利益。早期一般通過系統漏洞或文件漏洞傳播，隨著操作系統安全代碼的日趨完善，目前主要靠欺騙性下載（如網站掛馬或植入惡意代碼）并被簡單觸發。

2）拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規模肉雞作為攻擊跳板，對目標發起洪水一般的非法請求，使得服務方難以接受正常訪問請求或造成緩沖區溢出，服務被迫關閉甚至崩潰。

3）基于服務代碼和服務漏洞的攻擊。作為官方的網絡窗口，運行于服務之上的網站代碼并不總是安全的。事實上，國內多數網站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網站，對熟練的站點攻擊者而言，僅需幾分鐘即可獲得基本webshell，并據此進行權限提升。從互聯網上下載的免費文章系統（如知名的動網模板），由于受到關注，攻擊者更容易通過內部技術組織聯絡獲取攻擊手段。

筆者所在學校站點早期使用ACCESS數據庫，攻擊者便經常嘗試直接下載數據庫；升級為SQL SERVER數據庫后，我們發現了大量的SQL注入攻擊代碼，如晚間的一次攻擊嘗試代碼：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

從日志中很容易看出，攻擊者嘗試滲透數據庫獲取關鍵數值，并對注入代碼做了簡單偽裝。

4）社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化，攻擊者通過多種渠道了解目標，利用社會工程學手段分析以獲得敏感信息，攻擊更具效率，大數據技術的快速發展則進一步加劇了此類風險的威脅水平。如網絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息，一旦個人信息被猜解，所在網絡的安全風險便極大增加。

當代網絡面臨的安全風險越來越多，攻擊不可避免，網絡攻擊的原理趨向復雜，而攻擊者更容易獲取更具威脅的自動化攻擊工具，這意味著攻擊變得愈發容易。

2 學校園區網安全體系的規劃和建設

1）園區網安全體系的基本涵義。網絡安全體系由硬件安全、底層系統安全和服務/軟件安全三個方面構成，任何方面存在漏洞，都會導致整個網絡面臨安全崩潰。我國當前正在推動關鍵設備國產化進程，即從硬件層面考慮，保護網絡敏感信息不被國外生產廠非法商取。完整的網絡安全體系應在硬件層面作出合理選擇，在底層系統層面進行合理配置，減少系統漏洞暴露，在提供服務時建立多層次風險防控和數據過濾措施，保證網絡安全運行。

2）園區網安全體系規劃原則。網絡安全與提供服務的性能存在矛盾，管理者應以保障網絡服務正常提供為前提，評判網絡安全風險，適度規劃并保留升級彈性，以經濟合理的方式規劃安全防御系統。網絡安全體系需要覆蓋到整個網絡，對高風險區域應設置網絡邊界，并指定數據流動規則（ACL）。

3）網段規劃。根據功能區分，通常將整個網絡劃分幾個功能獨立的子網，至少包括網絡設備與網絡管理區域、?；饏^（DMZ）、學生機房、辦公區域以及普通聯網用戶區域等，各子網間保持物理或邏輯上的網段隔離，不同區域用戶一般禁止跨越子網互訪。這是保護網絡安全的最基本手段。

4）安全防護設備選擇。傳統網絡安全體系基于P2DR模型，即策略、防護、檢測和響應，設備組成一般包括終端安全（配置殺毒軟件）；ACL（設備、端口規則和數據流向規則）；防火墻以及IDS/IPS（應用于DMZ）；它可以實現對多數病毒和傳統攻擊的有效抵御，以包過濾為基本檢測手段，具備部分協議檢測能力；對網站注入、滲透等較新的攻擊方式防御能力有限。

選擇何種設備組建網絡安防體系，取決于本地網絡規模、提供的服務類型和網絡管理者的技能水平。園區網可以考慮在傳統安全體系基礎上，根據本地網絡運行特性有針對性增加管控設備，為保障帶寬有效利用，針對內部用戶可配置行為管理系統，對用戶網絡行為進行管控，對占據帶寬資源和并發數資源的應用予以限制；針對WEB服務，可以配置WEB防護系統，對數據庫注入、代碼攻擊、跨站腳本等作出有效防護；針對網絡內部惡意行為，可以配置網絡日志分析記錄系統，在惡意行為發生時提供報警，在行為發生后提供記錄。

3 學校園區網安全體系運維原則

1）安全網絡要求全部終端用戶參與。根據“木桶原理”，網絡中任一端點的安全風險會擴大到整個網絡。園區網絡安全體系需要覆蓋到整個網絡的所有端點?？紤]到難以對所有用戶實行嚴格要求，管理者應考慮網絡不同區域的安全等級，制定對應安全策略，在不同區域間設立網絡邊界，保證任意區域故障不會蔓延至其他區域。

2）制度優先。防患于未然，網絡安全事件總是發生在未曾受到關注的制度角落。管理者應綜合考慮網絡整體狀態，制定安全事件責任制度，制定應急預案，制定各類安全事件和風險事件的相應制度，制定網絡使用制度等；完善的制度是保障網絡穩定運行的必要條件。

3）數據備份。數據備份是網絡運維的必需手段。精確計算當前數據容量，預估數據增量，考慮數據備份措施，必要時配備數據備份設備。外部攻擊者在獲取網絡權限后，經常造成有意或無意的數據損害，超過50%的情況下數據損失不可逆轉。設置數據備份機制，是保障網絡服務的最后手段。

4）完善事件記錄。園區網歷經長期運行后，管理者將能夠發現和總結本地網絡常見威脅列表，建立網絡運維事件日志，能極大節省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件，網絡日常監測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。

4 結論

盡管網絡總是不安全的，管理者還是可以通過各種手段，以科學、合理的方式建設網絡安全體系，不斷學習提高技術水平，盡力保護本地網絡和服務不受非法攻擊侵害。作為多年工作經驗的總結，筆者希望通過本文拋磚引玉，提供網絡安全運維的方法和原則，謹與同行共同交流。

參考文獻

篇10

近年來，隨著我國社會經濟的不斷發展，國家對教育事業的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段，為教育模式的創新、先進教育理念提供了可靠的實現方法。

高校信息化主要以數字化校園建設為主，主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等；大學數字化校園建設通常先提出總體解決方案，確定數字化校園的體系結構，制定數字化校園的信息標準，以及各系統之間的接口標準，然后分階段實施。建立全校的網絡安全體系，保證校園網絡的安全，保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全，實現校園網絡及其應用系統的安全高效運行。

1教育信息化中的安全體系建設

在教育信息化建設過程中，信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系，對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視，也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性，給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例，高校數字校園信息系統的建設是由高校業務需求驅動的，初始的建設大多沒有統一規劃，有些系統是獨立的網絡，有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統，在支撐高校業務運營、發展的同時，信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出，成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中，也曾發生不少信息安全事件，如某高校數據中心一臺服務器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網發包，導致學校網絡出口癱瘓；某高校在高招中發現網站被掛馬、篡改，并且學校內部也曾經發現學生成績的數據庫，有被惡意篡改的痕跡。

2網絡安全威脅分析

（1）高校網站的安全威脅，包括高校門戶網站、高校招生網站、二級各院系等網站，由于高考、招生、學生就業等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，高校網站面臨的主要安全威脅有：網頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網站的管理權限，進而篡改網頁代碼；部分攻擊者將高校網站替換成黃色網站，影響極其惡劣。每年高考招生及高校重要節日期間，高校門戶網站極易被DDOS攻擊，這種由互聯網上發起的大量同時訪問會話，導致高校網站負載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后，以該服務器為跳板，對內網進行探測掃描，發起攻擊，對內網核心數據造成影響。（2）隨著校園網信息化的逐步深入，業務系統眾多，“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用，而這些系統由于管理及防護不到位，面臨著較嚴重的安全威脅：業務系統缺乏必要的入侵防護手段，高校網絡規模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，沒有條件管理和維護數萬臺計算機的安全，一旦受到黑客攻擊，無法阻斷攻擊并發現攻擊源；部分高?！耙豢ㄍā背渲迪到y與銀行互聯，邊界缺乏必要的隔離和審計措施，出現問題不方便定位，難以追查取證；校園網數據中心內的系統應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統實施統一的漏洞管理政策。同時，對于存在安全隱患的配置檢查，也缺乏自動化的高效檢查工具和控制手段；業務系統權限控制不合理，有安全隱患。

3需求分析

根據對高校校園網絡的威脅分析，得出在校園網絡安全體系建設中，各個網絡區域和業務系統的安全需求如下：

（1）校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗，保證網絡出口的暢通，保證骨干鏈路的負載處于正常范圍之內。（2）網絡出口鏈路應有相應措施，對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。（3）DMZ區及內網服務器區出口鏈路上，應對針對WEB應用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。（4）應對流經核心交換區域的所有流量進行深入的檢測，以識別內部各網絡區域之間發生的入侵事件和可疑行為。（5）應對內網用戶的網絡行為，如公網訪問、數據庫訪問等進行全面的記錄和審計，以滿足違規事件發生后的追查取證。（6）應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應對全網的網絡節點進行漏洞風險管理，實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。（7）應對全網的網絡節點進行配置合規管理，實現違規配置及時識別、配置整改全面深入、配置風險全程可控。（8）應對運維管理人員進行詳細嚴格的權限劃分，并通過技術手段控制運維行為權限，對運維行為進行全程審計，對違規運維操作進行實時告警。

4遵循等保要求

2009年11月，教育部為進一步加強教育系統信息安全工作，由辦公廳印發《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統全面開展信息安全等級保護工作；等級保護不僅是對信息安全產品或系統的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合，設計一套符合高校需求的信息安全保障體系，是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。

5網絡安全建設方案

（1）在校園網出口處旁路部署抗拒絕服務攻擊系統（ADS）對拒絕服務攻擊流量進行清洗，并且旁路部署網絡流量分析系統（NTA）對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下，旁路部署的ADS不參與網絡出口流量的路由和交換，邊界路由器通過NETFLOW等技術將流量信息發送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時，NTA將激活ADS，由ADS向邊界路由器發送針對特定防護目標IP的路由，將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發送至目標IP。（2）在出口鏈路部署入侵防護系統，對接入互聯網的訪問流量進行深入過濾，有效抵御源自公網的入侵威脅，消除安全風險。（3）在DMZ區和內網服務器出口處部署WEB應用防火墻，對服務器區的WEB服務器進行全方面的防護，對針對WEB站點的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。（4）在核心交換區旁路部署安全審計系統，通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路，實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略，對違反審計策略的網絡行為進行實時告警。此外，安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發，并實時收集網絡時間日志和告警信息。（5）在核心交換區域的出口鏈路部署下一代防火墻，實現出口鏈路的流量檢測和安全過濾，保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻，通過下一代防火墻對應用層攻擊、病毒進行全面阻斷，可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制，保證不同網絡區域之間的安全防護邊界完整。同時，通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。