網(wǎng)絡(luò)安全防護(hù)方案

　　為了確保事情或工作扎實(shí)開展，常常要根據(jù)具體情況預(yù)先制定方案，方案一般包括指導(dǎo)思想、主要目標(biāo)、工作重點(diǎn)、實(shí)施步驟、政策措施、具體要求等項(xiàng)目。方案的格式和要求是什么樣的呢？以下是小編整理的網(wǎng)絡(luò)安全防護(hù)方案，歡迎閱讀，希望大家能夠喜歡。

網(wǎng)絡(luò)安全防護(hù)方案1

　　1、引言

　　隨著時(shí)代的發(fā)展，社會(huì)的進(jìn)步。衛(wèi)星通信的應(yīng)用領(lǐng)域不斷拓展。通過此類通信技術(shù)可實(shí)現(xiàn)基于衛(wèi)星的無線通信功能。如北斗衛(wèi)星通信系統(tǒng)，為我們提供了基于北斗衛(wèi)星的短信息通信及經(jīng)緯度定位功能。如亞洲衛(wèi)星通信公司提供的衛(wèi)星通信服務(wù)，為我們提供了基于數(shù)據(jù)鏈路的網(wǎng)絡(luò)信息數(shù)據(jù)傳輸。還如G S衛(wèi)星通信系統(tǒng)，可以實(shí)現(xiàn)為我們進(jìn)行車載導(dǎo)航的功能�？傊�，衛(wèi)星通信應(yīng)用已經(jīng)深入到我們生活的方方面面，深刻變革者我們的通信方式，提高了我們的生活質(zhì)量。

　　眾所周知，衛(wèi)星通信網(wǎng)絡(luò)是建立在無線通信基礎(chǔ)之上的。無線通信具有一定的不穩(wěn)定性，其原因在于，無線通信信道的通信質(zhì)量容易受到外界環(huán)境的干擾。如城市樓房、障礙物造成的陰影通信衰減、還如無線信號經(jīng)過多重反射等情況造成的多路徑信號衰減，還有受到的惡意無線信號同頻干擾，以及基于開放無線環(huán)境的'病毒入侵。

　　在此無線通信環(huán)境下，衛(wèi)星通信網(wǎng)絡(luò)機(jī)房的安全性建設(shè)成為社會(huì)研究熱點(diǎn)。為了進(jìn)一步深化此項(xiàng)研究，我們提出了一種衛(wèi)星通信網(wǎng)絡(luò)機(jī)房體系的構(gòu)建。文中給出了衛(wèi)星通信網(wǎng)絡(luò)機(jī)房安全威脅因素，并有針對性的給出了安全防護(hù)體系構(gòu)建策略，本文方法能夠?yàn)樾l(wèi)星通信網(wǎng)絡(luò)機(jī)房信息化建設(shè)職能部門提供智力支持。

　　2、安全防護(hù)體系總體架構(gòu)概述

　　本文構(gòu)建的衛(wèi)星通信網(wǎng)絡(luò)機(jī)房安全防護(hù)體系分為三個(gè)分系統(tǒng)，一是無線干擾測試系統(tǒng)；二是功率自適應(yīng)分配系統(tǒng)；三是網(wǎng)絡(luò)入侵檢測與處理系統(tǒng)。這三個(gè)系統(tǒng)通過主干網(wǎng)絡(luò)交換機(jī)接入衛(wèi)星通信網(wǎng)絡(luò)機(jī)房，實(shí)現(xiàn)機(jī)房的安全防護(hù)功能。

　　3、安全防護(hù)體系詳細(xì)設(shè)計(jì)

　　3.1 無線干擾測試系統(tǒng)設(shè)計(jì)

　　無線干擾測試系統(tǒng)的功能是對無線空域內(nèi)的無線信號進(jìn)行感知，對測試到的同頻干擾向用戶進(jìn)行報(bào)知。

　　此系統(tǒng)的主體軟件采用廣州思謀信息科技有限公司開發(fā)和研制的無線通信網(wǎng)絡(luò)測試軟件，著作權(quán)號為20xxSR233189。此軟件采用基于TDD的上下行同頻互逆原理，利用反向覆蓋測試替代傳統(tǒng)前向覆蓋測試。實(shí)現(xiàn)了較為先進(jìn)的無線網(wǎng)絡(luò)信號感知與測試功能。

　　網(wǎng)絡(luò)管理員通過此軟件反饋出來的信息，如果發(fā)現(xiàn)有同頻干擾信號，則可以向衛(wèi)星資源授權(quán)單位及無線電管委會(huì)進(jìn)行申訴，排除此非法干擾，保障信號安全、穩(wěn)定。

　　3.2 功率自適應(yīng)分配系統(tǒng)設(shè)計(jì)

　　功率自適應(yīng)分配系統(tǒng)的功能是通過對信道質(zhì)量的判斷，自動(dòng)調(diào)節(jié)信號源的發(fā)射功率，提高系統(tǒng)的傳輸質(zhì)量。

　　此系統(tǒng)的主體軟件采用廣州思謀信息科技有限公司的無線通信網(wǎng)格優(yōu)化軟件，著作權(quán)號為20xxSR233184。此軟件采用C#語言編寫，軟件規(guī)模較小，具有較強(qiáng)的靈活性、適用性及可維護(hù)性。實(shí)現(xiàn)了無線通信頻率信道質(zhì)量檢測，并能實(shí)現(xiàn)功率的自適應(yīng)調(diào)整。

　　自適應(yīng)調(diào)整過程為：當(dāng)信道質(zhì)量較低，無線通信BER參數(shù)值升高時(shí)，提高無線發(fā)射功率，當(dāng)信道質(zhì)量較好，發(fā)射功率過大時(shí)，可以降低功率，減小對鄰近頻率的用戶影響。

　　3.3 網(wǎng)絡(luò)入侵檢測與處理系統(tǒng)

　　網(wǎng)絡(luò)入侵檢測與處理系統(tǒng)的硬件組成包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、殺毒軟件、網(wǎng)絡(luò)端口安全防護(hù)軟件等。

　　此部分的操作流程為：通過網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)端口安全防護(hù)軟件，對網(wǎng)絡(luò)訪問地址進(jìn)行黑白名單的設(shè)置，開放特定的網(wǎng)絡(luò)端口，允許特定的I 地址對網(wǎng)絡(luò)設(shè)備進(jìn)行訪問和通信，對不確定網(wǎng)絡(luò)地址進(jìn)行屏蔽，并放入黑名單中。同時(shí)開啟入侵檢測設(shè)備，對網(wǎng)絡(luò)內(nèi)的不安定因素進(jìn)行控制；另外，定期進(jìn)行系統(tǒng)殺毒，對潛在的病毒進(jìn)行查殺，增強(qiáng)系統(tǒng)的安全防護(hù)能力。

網(wǎng)絡(luò)安全防護(hù)方案2

　　近年來，隨著網(wǎng)絡(luò)安全問題的不斷涌現(xiàn)，國家對網(wǎng)絡(luò)安全越來越重視。水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題也越來越多。本文從多個(gè)角度研究了水電廠電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全問題，提出相關(guān)設(shè)計(jì)思路和解決方案，并進(jìn)行系統(tǒng)的描述。電力行業(yè)是我國重要的關(guān)鍵基礎(chǔ)設(shè)施，關(guān)乎國計(jì)民生，其中發(fā)電廠電力監(jiān)控系統(tǒng)是最核心和重要的系統(tǒng)之一。在滿足“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”基本原則的基礎(chǔ)上，結(jié)合國家信息安全等級保護(hù)工作的相關(guān)要求，對電力監(jiān)控系統(tǒng)的綜合安全防護(hù)建設(shè)工作仍需持續(xù)加強(qiáng)。近年來，電力監(jiān)控系統(tǒng)的外部環(huán)境發(fā)生了變化，系統(tǒng)網(wǎng)絡(luò)不再獨(dú)立封閉，更多的系統(tǒng)互聯(lián)。外部攻擊源從單點(diǎn)個(gè)體變化為規(guī)�；瘓F(tuán)體攻擊，攻擊從個(gè)體行為向團(tuán)隊(duì)協(xié)作過渡，甚至部級力量開始介入。攻擊技術(shù)在軟件即服務(wù)等新技術(shù)的加持下，惡意代碼獲得便捷、多元、快速，攻擊行為全天候，產(chǎn)生惡意代碼變種的速度空前加快。攻擊手段趨于定制化、個(gè)性化、復(fù)雜化，APT技術(shù)運(yùn)用越來越多。工業(yè)自動(dòng)化進(jìn)一步發(fā)展，智慧電廠、泛在互聯(lián)如火如荼，廣泛的互聯(lián)互操作使生產(chǎn)網(wǎng)絡(luò)趨向復(fù)雜，風(fēng)險(xiǎn)點(diǎn)增多。

　　1設(shè)計(jì)思路

　　水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案的主要設(shè)計(jì)思路：強(qiáng)化安全區(qū)域邊界訪問控制能力；提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力；提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力；提高系統(tǒng)內(nèi)主機(jī)病毒防范能力；提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制；一鍵式安全加固，提高主機(jī)安全基線；關(guān)閉不必要的服務(wù)端口，提高入侵防范能力；利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改；提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月；加強(qiáng)運(yùn)維人員行為管理；建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力；技術(shù)手段輔助業(yè)主完成定期自檢。風(fēng)險(xiǎn)評估分析是對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)行安全管理的先決條件，其目的`在于識別和評估不同用戶所面臨的生產(chǎn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。工控系統(tǒng)資產(chǎn)梳理，分析價(jià)值；識別已有的安全防護(hù)措施；資產(chǎn)脆弱性及面臨的威脅分析；安全風(fēng)險(xiǎn)綜合分析。

　　2方案介紹

　　2.1強(qiáng)化安全區(qū)域邊界訪問控制能力ACL+應(yīng)用級白名單：配置ACL訪問控制規(guī)則，僅允許業(yè)務(wù)相關(guān)IP通過。工控協(xié)議深度解析，形成協(xié)議白名單，保證只有可信任的協(xié)議、指令才可以通過。針對具體指令的具體值域范圍進(jìn)行保護(hù)。驗(yàn)證工控協(xié)議的合規(guī)性，控制邏輯的合理性，控制協(xié)議功能碼、點(diǎn)值。

　　2.2提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力實(shí)時(shí)監(jiān)測基于白名單的工業(yè)流量、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)基于流量的威脅以及對網(wǎng)絡(luò)威脅感知系統(tǒng)APT攻擊。網(wǎng)絡(luò)威脅感知系統(tǒng)（APT）內(nèi)置威脅情報(bào)檢測，APT情報(bào)檢測能力，內(nèi)置IOC數(shù)據(jù)庫覆蓋主流的APT家族，覆蓋家族數(shù)量≥240個(gè)。采用基因圖譜模糊比對技術(shù)對流量中的文件進(jìn)行靜態(tài)檢測通過結(jié)合圖像文理分析技術(shù)與惡意代碼變種檢測技術(shù)將可疑文件的二進(jìn)制代碼映射為無法壓縮的灰階圖片，與已有的惡意代碼基因庫圖片進(jìn)行相似度匹配，根據(jù)相似度判斷是否為威脅變種。

　　2.3提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力交換機(jī)關(guān)閉不必要端口；進(jìn)行IP/MAC綁定；工控主機(jī)衛(wèi)士開啟非法外聯(lián)策略。

　　2.4提高系統(tǒng)內(nèi)主機(jī)病毒防范能力傳統(tǒng)安全解決方案難以及時(shí)更新、打補(bǔ)��；緩沖區(qū)溢出、0day漏洞利用等攻擊方式，傳統(tǒng)殺毒軟件存在短板；殺毒軟件或?qū)�業(yè)務(wù)軟件誤識為病毒而刪除。切斷惡意代碼/病毒通過U盤擺渡到系統(tǒng)內(nèi)部的途徑；啟動(dòng)文件級白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行。保證只有經(jīng)過授權(quán)的可執(zhí)行程序才可以執(zhí)行，保證只有經(jīng)過授權(quán)的U盤才允許使用。

　　2.5提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制采用靜態(tài)密碼+UKEY，關(guān)鍵服務(wù)器采用雙因子認(rèn)證。

　　2.6一鍵式安全加固，提高主機(jī)安全基線內(nèi)置42條安全基線規(guī)則，一鍵式配置，降低手動(dòng)加固成。根據(jù)不同加固等級，一鍵加固。

　　2.7關(guān)閉不必要的服務(wù)端口，提高入侵防范能力內(nèi)置防火墻功能，關(guān)閉不必要端口；一鍵式配置，降低手動(dòng)加固成本。

　　2.8利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改自主訪問控制，基于標(biāo)記的強(qiáng)制訪問控制。

　　2.9提高日志審計(jì)能力，審計(jì)日志至少保存12個(gè)月范式化多種類設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志，快速準(zhǔn)確的識別安全事件，發(fā)現(xiàn)違規(guī)行為。

　　2.10加強(qiáng)運(yùn)維人員行為管理運(yùn)維人員身份授權(quán)、運(yùn)維人員操作授權(quán)、運(yùn)維人員行為審計(jì)。安全運(yùn)維管理系統(tǒng)進(jìn)行統(tǒng)一賬戶管理。

　　2.11建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力安全產(chǎn)品統(tǒng)一管理，安全管理加密傳輸，高度可視化，雙機(jī)熱備，高度可靠。

　　2.12技術(shù)手段輔助業(yè)主完成定期自檢先進(jìn)行漏洞掃描并生成相關(guān)報(bào)告，給出指導(dǎo)意見。

　　3主要特點(diǎn)

　　3.1廠級統(tǒng)一安全運(yùn)營中心

　　資產(chǎn)可視，自動(dòng)識別工控網(wǎng)的設(shè)備類型、設(shè)備廠商、設(shè)備型號，自動(dòng)識別網(wǎng)絡(luò)拓?fù)�，提供全方位的資產(chǎn)可視化體驗(yàn)。威脅可視，智能分析海量安全設(shè)備日志，通過人工智能的知識圖譜技術(shù)，將資產(chǎn)配置弱點(diǎn)、漏洞、威脅事件關(guān)聯(lián)分析，自動(dòng)發(fā)現(xiàn)攻擊路徑。合規(guī)評估，結(jié)合等級保護(hù)合規(guī)自評和自動(dòng)化的合規(guī)評估技術(shù)，將合規(guī)評估量化分析，提供企業(yè)集團(tuán)量化的健康指數(shù)。

　　3.2安全管理制度完善

　　完善生產(chǎn)網(wǎng)安全制度與標(biāo)準(zhǔn)體系，滿足等級保護(hù)的基本要求、測評要求，規(guī)范網(wǎng)絡(luò)安全管理，保障網(wǎng)絡(luò)安全工作的順利開展；建立企業(yè)自身的工控網(wǎng)絡(luò)安全制度與標(biāo)準(zhǔn)，需要企業(yè)業(yè)務(wù)主管部門、安全管理部門與我司共同配合完成，在滿足國家等級保護(hù)相關(guān)要求基礎(chǔ)上，能夠與企業(yè)自身生產(chǎn)特點(diǎn)相融合。一級文件：電力監(jiān)控系統(tǒng)的工控網(wǎng)絡(luò)安全管理方針，能夠反映最高管理者對工控網(wǎng)絡(luò)安全管理下達(dá)的工作意圖等，能為所有下級文件的編寫提供方向。二級文件：各類屬于電力監(jiān)控系統(tǒng)工控網(wǎng)絡(luò)安全管理的規(guī)范性制度、標(biāo)準(zhǔn)、辦法、策略文件、配置規(guī)范等。三級文件：各種體系運(yùn)行所需的規(guī)范文檔模板。內(nèi)置豐富的攻擊特征庫，結(jié)合硬件加速信息包捕捉技術(shù)來探測包括PLC等控制設(shè)備的拒絕服務(wù)攻擊漏洞、緩沖區(qū)溢出攻擊漏洞等典型工控漏洞的攻擊行為，并及時(shí)告警。采用TCP/IP數(shù)據(jù)重組、目標(biāo)和應(yīng)用程序識別、完整的應(yīng)用層有限狀態(tài)追蹤、應(yīng)用層協(xié)議分析、先進(jìn)的事件關(guān)聯(lián)分析技術(shù)以及多項(xiàng)反IDS逃避技術(shù)，提供業(yè)界超低的誤報(bào)率和漏報(bào)率。能夠?yàn)橛脩籼峁┴S富的動(dòng)態(tài)圖形報(bào)表，以及數(shù)十種分析報(bào)表模版和向?qū)�式的用戶自定義報(bào)表功能。采用旁路部署方式，不會(huì)對網(wǎng)絡(luò)造成任何影響。安全區(qū)域邊界：在生產(chǎn)控制大區(qū)計(jì)算機(jī)監(jiān)控系統(tǒng)地上環(huán)網(wǎng)與地下環(huán)網(wǎng)各就地控制單元（LCU）之間部署工業(yè)防火墻，實(shí)現(xiàn)區(qū)域間的邏輯隔離和網(wǎng)絡(luò)威脅防護(hù)，保證電力監(jiān)控系統(tǒng)區(qū)域邊界安全。安全通信網(wǎng)絡(luò)：在生產(chǎn)控制大區(qū)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署工控安全監(jiān)控與審計(jì)系統(tǒng)和網(wǎng)絡(luò)威脅感知系統(tǒng)，對網(wǎng)絡(luò)中的實(shí)時(shí)流量進(jìn)行監(jiān)測，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、異常操作等行為，特別是新型網(wǎng)絡(luò)攻擊行為，并告警通知安全管理員。安全計(jì)算環(huán)境：在電力監(jiān)控系統(tǒng)中工程師站、操作員站、服務(wù)器和接口機(jī)上安裝工控主機(jī)衛(wèi)士軟件，開啟程序白名單、外設(shè)管控、安全基線及訪問控制等功能，實(shí)現(xiàn)阻攔病毒、木馬等惡意程序的運(yùn)行、主機(jī)安全加固和移動(dòng)介質(zhì)管控等安全需求。安全管理中心：在在生產(chǎn)控制大區(qū)部署統(tǒng)一安全管理平臺和安全運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)安全設(shè)備進(jìn)行集中管控，并對日志數(shù)據(jù)、告警數(shù)據(jù)等進(jìn)行集中分析，同時(shí)對不同權(quán)限賬戶進(jìn)行身份鑒別及權(quán)限管理，保證電力監(jiān)控系統(tǒng)管理安全；同時(shí)配置工控漏洞掃描系統(tǒng)，定期對電力監(jiān)控系統(tǒng)進(jìn)行漏掃掃描，及時(shí)發(fā)現(xiàn)電力監(jiān)控系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。

　　結(jié)論：

　　本文研究了水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的相關(guān)內(nèi)容，并制定了對應(yīng)的方案。該水電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方案提高了工控主機(jī)病毒和惡意代碼防范能力，增強(qiáng)工控主機(jī)安全性；有效檢測工控網(wǎng)絡(luò)中的異常操作行為并加以阻止，避免造成重大安全生產(chǎn)事故、人員傷亡和社會(huì)影響。實(shí)時(shí)檢測工控網(wǎng)絡(luò)中的惡意攻擊、誤操作、違規(guī)行為、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播，幫助客戶及時(shí)采取應(yīng)對措施，避免發(fā)生安全事故；詳實(shí)記錄網(wǎng)絡(luò)通信流量，為安全事故調(diào)查取證提供技術(shù)支撐。

網(wǎng)絡(luò)安全防護(hù)方案3

　　1、網(wǎng)絡(luò)現(xiàn)狀及防護(hù)需求

　　福建省莆田電業(yè)局已構(gòu)建了信息網(wǎng)絡(luò)，已經(jīng)穩(wěn)定運(yùn)行有財(cái)務(wù)管理、安全生產(chǎn)管理、協(xié)同辦公、電力營銷、ERP等應(yīng)用系統(tǒng)。隨著國家電網(wǎng)公司“SG186”工程的信息化建設(shè)的推進(jìn)工作，網(wǎng)絡(luò)和信息系統(tǒng)情況復(fù)雜，迫切需要進(jìn)行信息安全全面建設(shè)。

　　根據(jù)國家《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》(GB/T22240-2008)、國家《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T-22239-2008)、《國家電網(wǎng)公司“SG186”工程安全防護(hù)總體方案》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護(hù)基本要求》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護(hù)驗(yàn)收測評要求(試行)》等文件要求，按照統(tǒng)籌資源，重點(diǎn)保護(hù)，適度安全的原則，依據(jù)等級保護(hù)定級結(jié)果，采用“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨(dú)立分域”的方法，對信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行分級分域。

　　2、安全防護(hù)建設(shè)目標(biāo)

　　通過項(xiàng)目的實(shí)施，按照“層層遞進(jìn)，縱深防御”的思想，從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行安全防護(hù)等級保護(hù)設(shè)計(jì)和施工，使莆田電業(yè)局信息系統(tǒng)符合國家和國家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級保護(hù)建設(shè)要求。

　　3、實(shí)施方法

　　信息系統(tǒng)分級分域安全防護(hù)建設(shè)一般分三個(gè)階段：

　　第一階段：合理進(jìn)行安全域劃分和初步規(guī)劃，針對重要信息進(jìn)行防護(hù)。主要表現(xiàn)在針對業(yè)務(wù)安全要求比較高的信息系統(tǒng)如ERP、財(cái)務(wù)系統(tǒng)域進(jìn)行防護(hù)，以及針對互聯(lián)網(wǎng)出口的應(yīng)用層防護(hù)。

　　第二階段：針對當(dāng)前信息網(wǎng)絡(luò)狀態(tài)，按照等級保護(hù)要求進(jìn)行等級化評估、安全評估和合理定級，全面獲取當(dāng)前安全現(xiàn)狀以及企業(yè)信息化建設(shè)的特殊需求。在評估基礎(chǔ)上，全面從等級保護(hù)要求及企業(yè)信息化建設(shè)的安全需求出發(fā)，合理進(jìn)行安全方案設(shè)計(jì)。

　　第三階段：根據(jù)設(shè)計(jì)方案，全面開展等級化改造，包括技術(shù)措施和管理措施的完善，建立完整的信息安全體系，并且根據(jù)相關(guān)要求進(jìn)行運(yùn)行維護(hù)。

　　4、分級分域安全防護(hù)方解決方案

　　信息網(wǎng)絡(luò)系統(tǒng)分級分域安全防護(hù)建設(shè)應(yīng)當(dāng)按照國家標(biāo)準(zhǔn)和國家電網(wǎng)公司“SG186”工程相關(guān)規(guī)定的.要求完成，通過項(xiàng)目建設(shè)實(shí)施保障莆田電業(yè)局信息化管理系統(tǒng)的安全運(yùn)營。

　　4.1 分級分域設(shè)計(jì)方案及安全等級建設(shè)要求

　　莆田電業(yè)局信息網(wǎng)絡(luò)主要分為兩個(gè)部分：信息內(nèi)網(wǎng)和信息外網(wǎng)，兩個(gè)網(wǎng)絡(luò)之間通過強(qiáng)制隔離設(shè)備進(jìn)行隔離。

　　信息內(nèi)網(wǎng)分級分域及安全等級建設(shè)要求：

　　4.1.1二級系統(tǒng)域

　　二級系統(tǒng)域是指協(xié)同辦公系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、企業(yè)門戶、ERP等信息系統(tǒng)

　　安全建設(shè)等級：基于信息系統(tǒng)的整合，所有二級系統(tǒng)統(tǒng)一部署于二級系統(tǒng)域，并根據(jù)國家安全等級保護(hù)標(biāo)準(zhǔn)和國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護(hù)基本要求等規(guī)范要求，按照安全防護(hù)等級二級進(jìn)行建設(shè)。

　　4.1.2內(nèi)網(wǎng)桌面終端域

　　信息內(nèi)網(wǎng)桌面終端是用于內(nèi)網(wǎng)業(yè)務(wù)操作及內(nèi)網(wǎng)業(yè)務(wù)辦公處理，通過對桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)一步進(jìn)行VLAN區(qū)域細(xì)分，實(shí)現(xiàn)不同的業(yè)務(wù)訪問需求指定訪問控制及其他防護(hù)措施，由于桌面終端的安全防護(hù)與應(yīng)用系統(tǒng)不同，將其劃分為獨(dú)立區(qū)域進(jìn)行安全防護(hù)。

　　安全建設(shè)等級：按照安全等級二級進(jìn)行安全建設(shè)；

　　信息外網(wǎng)分級分域及安全等級建設(shè)要求：

　　4.1.3外網(wǎng)應(yīng)用系統(tǒng)域

　　需與互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交換的系統(tǒng)統(tǒng)一部署為外網(wǎng)系統(tǒng)域。

　　安全建設(shè)等級：按照安全等級二級進(jìn)行安全建設(shè)；

　　4.1.4外網(wǎng)桌面終端域

　　外網(wǎng)桌面終端用于外網(wǎng)業(yè)務(wù)辦公及互聯(lián)網(wǎng)訪問，對外網(wǎng)桌面辦公終端按業(yè)務(wù)部門或訪問類型進(jìn)行區(qū)域細(xì)分，針對不同業(yè)務(wù)訪問需求進(jìn)行訪問控制及其他防護(hù)措施。

　　安全建設(shè)等級：按照安全等級二級進(jìn)行安全建設(shè)；

　　4.2 安全防護(hù)部署方案

　　4.2.1防火墻等級保護(hù)部署方案

　　目前網(wǎng)絡(luò)中主要使用防火墻來保證基礎(chǔ)安全。它監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道，以防止外部網(wǎng)絡(luò)的危險(xiǎn)蔓延到內(nèi)部網(wǎng)絡(luò)上。

　　項(xiàng)目在四個(gè)域與核心交換機(jī)的連接點(diǎn)分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1)，并進(jìn)行了相應(yīng)的配置。

　　防火墻典型的網(wǎng)絡(luò)部署模式包括路由模式和透明模式，本項(xiàng)目中，考慮到防火墻負(fù)責(zé)轉(zhuǎn)發(fā)各個(gè)區(qū)域的用戶訪問，采取透明模式部署。

　　根據(jù)企業(yè)安全區(qū)域的劃分，部署防火墻對不同區(qū)域之間的網(wǎng)絡(luò)流量進(jìn)行控制，基本原則為：高安全級別區(qū)域可以訪問低安全級別區(qū)域，低安全級別嚴(yán)格受控訪問高安全級別區(qū)域，進(jìn)行如下基本配置策略：

　　防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；

　　配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務(wù)攻擊進(jìn)行防范；

　　配置防火墻全面安全防范能力，包括arp欺騙攻擊的防范，提供arp主動(dòng)反向查詢、tcp報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等。

　　4.2.2入侵防護(hù)系統(tǒng)等級保護(hù)部署方案

　　在傳統(tǒng)的安全解決方案中，防火墻和入侵檢測系統(tǒng)已經(jīng)無法滿足高危網(wǎng)絡(luò)的安全需求，互聯(lián)網(wǎng)上流行的蠕蟲、P2P、木馬等安全威脅日益滋長，必須有相應(yīng)的技術(shù)手段和解決方案來解決對應(yīng)用層的安全威脅。以入侵防御系統(tǒng)為代表的應(yīng)用層安全設(shè)備作為防火墻的重要補(bǔ)充，很好地解決了應(yīng)用層防御的問題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。通過部署IPS，可以在線檢測并直接阻斷惡意流量。項(xiàng)目在外網(wǎng)系統(tǒng)部署1臺啟明星辰天清NIPS3060入侵防護(hù)系統(tǒng)。

　　4.2.3服務(wù)器換機(jī)等級保護(hù)部署方案

　　服務(wù)器交換機(jī)采用華為QuidwayS9306高端多業(yè)務(wù)路由交換機(jī)，該產(chǎn)品基于華為公司自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡(luò)安全等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低企業(yè)的總擁有成本。

　　項(xiàng)目配置兩臺華為QuidwayS9306交換機(jī)分別用作內(nèi)網(wǎng)二級系統(tǒng)域和外網(wǎng)應(yīng)用系統(tǒng)域，配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡，保證了服務(wù)器換機(jī)的安全可靠。

　　4.2.4終端匯聚交換機(jī)等級保護(hù)部署方案

　　終端匯聚交換機(jī)采用華為Quidway LS-S5328C交換機(jī)，實(shí)現(xiàn)信息內(nèi)外網(wǎng)桌面終端域的安全接入。

　　華為QuidwayLS-S5300系列交換機(jī)是華為公司最新開發(fā)的增強(qiáng)型IPv6萬兆以太網(wǎng)交換機(jī)，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和豐富的業(yè)務(wù)特性。支持最多4個(gè)萬兆擴(kuò)展接口；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)；出色的安全性、可靠性和多業(yè)務(wù)支持能力使其成為網(wǎng)絡(luò)匯聚和城域網(wǎng)邊緣設(shè)備的第一選擇。

　　配置2臺桌面終端匯聚交換機(jī)分別部署在信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

　　5、網(wǎng)絡(luò)安全成果分析

　　福建省莆田電業(yè)局信息網(wǎng)絡(luò)系統(tǒng)分級分域安全防護(hù)建設(shè)項(xiàng)目從邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用四個(gè)層次進(jìn)行了安全防護(hù)等級保護(hù)設(shè)計(jì)及工程實(shí)施，對原有網(wǎng)絡(luò)、安全設(shè)備進(jìn)行了調(diào)整，實(shí)現(xiàn)了安全域的劃分，實(shí)現(xiàn)了對關(guān)鍵業(yè)務(wù)的安全防護(hù)，達(dá)到了國家和國家電網(wǎng)公司的網(wǎng)絡(luò)與信息系統(tǒng)等級保護(hù)建設(shè)要求，并通過了國家電網(wǎng)公司等級測評驗(yàn)收。

網(wǎng)絡(luò)安全防護(hù)方案4

　　1互聯(lián)網(wǎng)安全現(xiàn)狀

　　隨著互聯(lián)網(wǎng)技術(shù)在我國廣泛應(yīng)用與日漸成熟，計(jì)算機(jī)在人們的生產(chǎn)生活中作用逐漸凸顯，并且成為未來一段時(shí)間內(nèi)我國的高精尖需求。個(gè)人生活、企業(yè)管理、工業(yè)生產(chǎn)、政府與國家部門中都廣泛運(yùn)用計(jì)算機(jī)技術(shù)開展工作。由于網(wǎng)絡(luò)社會(huì)中具有極強(qiáng)的靈活性和共享性，導(dǎo)致設(shè)備極易受到來自黑客、木馬、網(wǎng)絡(luò)的攻擊，影響網(wǎng)絡(luò)安全與健康。怎樣保證互聯(lián)網(wǎng)安全問題已經(jīng)成為我國乃至世界范圍內(nèi)高度關(guān)注的問題�，F(xiàn)階段，世界上各個(gè)領(lǐng)域都通過計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)系在一起，信息技術(shù)的發(fā)展與完善也逐漸呈現(xiàn)多元化、全球化的發(fā)展趨勢，這便要求全球領(lǐng)域針對互聯(lián)網(wǎng)市場的安全性展開研究和整合，進(jìn)而保障信息社會(huì)的安全性。網(wǎng)絡(luò)安全技術(shù)工作的核心環(huán)節(jié)是怎樣有效提升介入控制，保障終端數(shù)據(jù)安全性，其中需要使用的有物理安全分析技術(shù)、網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)、系統(tǒng)安全技術(shù)等手段。在互聯(lián)網(wǎng)社會(huì)逐漸發(fā)展的今天，提升網(wǎng)絡(luò)安全性具有十分重要的作用，這不僅關(guān)系到網(wǎng)民個(gè)體的人身安全，還關(guān)系著眾多平臺經(jīng)營管理，甚至是國家與集體的利益等等。我國互聯(lián)網(wǎng)賬戶在使用的過程中面臨著眾多問題與挑戰(zhàn)。在以上研究的安全事故中，出現(xiàn)賬號密碼被盜現(xiàn)象最為明顯。維護(hù)網(wǎng)絡(luò)安全需要協(xié)調(diào)政府、企業(yè)、個(gè)人等不同環(huán)節(jié)中的力量，引導(dǎo)網(wǎng)民重視個(gè)人信息的防范和維護(hù)，提升自我保護(hù)意識與能力，增強(qiáng)對網(wǎng)絡(luò)信息的識別和判斷能力，以網(wǎng)民為基礎(chǔ)增添網(wǎng)絡(luò)社會(huì)的安全性。根據(jù)本次調(diào)研能夠看出，48%左右網(wǎng)民認(rèn)為當(dāng)下網(wǎng)絡(luò)環(huán)境較為安全，值得網(wǎng)民信任和使用，而49%左右網(wǎng)民則認(rèn)為網(wǎng)絡(luò)社會(huì)中存在很多不安定因素，影響網(wǎng)民的生活與信息安全，隨著消費(fèi)者信息泄露，互聯(lián)網(wǎng)環(huán)境也造成了眾多消費(fèi)者的不信任。由此可見，當(dāng)下互聯(lián)網(wǎng)社會(huì)中的不安定因素對網(wǎng)民生活的影響是十分重要的，應(yīng)當(dāng)利用多樣化的安全教育與引導(dǎo)提升網(wǎng)民安全意識，增強(qiáng)其在互聯(lián)網(wǎng)活動(dòng)中的認(rèn)知感。在網(wǎng)絡(luò)社會(huì)的建設(shè)過程中也需要通過不同方面建立完善的保護(hù)系統(tǒng)，為廣大網(wǎng)民營造健康、積極、和諧的互聯(lián)網(wǎng)環(huán)境。

　　2流量分析系統(tǒng)設(shè)計(jì)

　　隨著我國經(jīng)濟(jì)化建設(shè)逐漸深化，網(wǎng)絡(luò)安全也需要加以保障。根據(jù)我國當(dāng)下網(wǎng)絡(luò)社會(huì)發(fā)展現(xiàn)象而言，網(wǎng)絡(luò)安全的核心內(nèi)容便是提升網(wǎng)絡(luò)中的信息安全。廣義上的信息安全指的是網(wǎng)絡(luò)社會(huì)中蘊(yùn)含的全部信息資源的安全性、穩(wěn)定性、真實(shí)性與可用性。

　　2.1網(wǎng)絡(luò)與流量分析系統(tǒng)的關(guān)聯(lián)性

　　現(xiàn)階段網(wǎng)絡(luò)安全維護(hù)設(shè)備的運(yùn)作流程是進(jìn)行數(shù)據(jù)接入、識別、整合等，進(jìn)而實(shí)現(xiàn)對數(shù)據(jù)的處理。對于硬件資源的'依賴程度和消耗量較大。流量分析指的是對現(xiàn)階段網(wǎng)絡(luò)數(shù)據(jù)安全進(jìn)行物理學(xué)上的分析和分類，將數(shù)據(jù)實(shí)現(xiàn)1—4層不等的處理，以及亂序排列等功能，進(jìn)而能夠?qū)⒎��?wù)器中的資源全部應(yīng)用與數(shù)據(jù)深度整合與處理，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的安全管控。

　　2.2網(wǎng)絡(luò)流量分析系統(tǒng)部署

　　計(jì)算機(jī)惡意攻擊是黑客通過一臺電腦進(jìn)行一對多的命令與控制，這樣一來對移動(dòng)終端中的客戶自身的網(wǎng)絡(luò)操作產(chǎn)生嚴(yán)重的影響，在小規(guī)模的僵尸網(wǎng)絡(luò)影響下能夠?qū)�單一的終端產(chǎn)生極為嚴(yán)重的影響，而大量的僵尸網(wǎng)絡(luò)入侵則會(huì)影響區(qū)域內(nèi)眾多終端的正常使用，甚至造成網(wǎng)絡(luò)癱瘓。一部分惡意攻擊的形式是將移動(dòng)終端地址進(jìn)行惡意更改，偽造虛假的IP地址進(jìn)行終端惡意操作，這種情況下移動(dòng)終端會(huì)被網(wǎng)絡(luò)黑客強(qiáng)行控制，用戶自身信息也會(huì)被迫泄露。出現(xiàn)這類情況主要原因是用戶所使用的APP中存在漏洞，導(dǎo)致不法分子有機(jī)可乘，篡改終端地址、惡意入侵。在通常意義上網(wǎng)絡(luò)安全防護(hù)指的是通過防火墻開展的，防火墻能夠有效控制通過防火墻的數(shù)據(jù)流，以允許、拒絕和重定幾種不同的選項(xiàng)展開數(shù)據(jù)流控制，進(jìn)而能夠?qū)�進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行詳細(xì)控制，繼而提升網(wǎng)絡(luò)抵抗攻擊能力。

　　2.2.1系統(tǒng)網(wǎng)絡(luò)架構(gòu)在傳統(tǒng)防火墻之外進(jìn)行網(wǎng)絡(luò)流量分析平臺能夠?qū)崿F(xiàn)防火墻與流量分析的聯(lián)合作用，在防范網(wǎng)絡(luò)安全攻擊的基礎(chǔ)上還能夠?qū)崿F(xiàn)抵制網(wǎng)絡(luò)威脅的作用。網(wǎng)絡(luò)拓?fù)淙鐖D1所示。數(shù)據(jù)分流設(shè)備將其流量復(fù)制一份網(wǎng)路流量通過外網(wǎng)routeA到達(dá)數(shù)據(jù)分流設(shè)備，經(jīng)源IP、源端口、應(yīng)用協(xié)議過濾和目的IP目的端口，另復(fù)制一份流量按照五元組ACL規(guī)則對流量進(jìn)行區(qū)分輸出至數(shù)據(jù)分析服務(wù)器然后通過防火墻進(jìn)入內(nèi)網(wǎng)數(shù)。服務(wù)器對獲取的數(shù)據(jù)進(jìn)行人工或已設(shè)定條件的程序分析。過濾通往防火墻的網(wǎng)絡(luò)流量對數(shù)據(jù)分流設(shè)備生成新的ACL規(guī)則，以防止內(nèi)網(wǎng)遭受攻擊。

　　2.2.2數(shù)據(jù)分流設(shè)備定位防火墻運(yùn)作的過程中實(shí)行全覆蓋防御，防御范圍較為局限，難以對未知的層次攻擊展開有效抵抗。隨著信息化發(fā)展程度不斷提升，防火墻自身的性能已經(jīng)難以應(yīng)對互聯(lián)網(wǎng)入侵現(xiàn)象。數(shù)據(jù)分流設(shè)備能夠在數(shù)據(jù)數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層進(jìn)行數(shù)據(jù)整合與研究。根據(jù)硬件設(shè)備之間的差異，流量設(shè)備也會(huì)產(chǎn)生一定的變化，現(xiàn)階段其最佳處理能力是單端口1006，總計(jì)帶寬1T。

　　2.3數(shù)據(jù)分流設(shè)備功能模塊

　　計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)流量通過接口模塊將數(shù)據(jù)包送入設(shè)備進(jìn)行處理，計(jì)算機(jī)網(wǎng)絡(luò)也能夠在此基礎(chǔ)上實(shí)現(xiàn)鄰層交換。數(shù)據(jù)包在此完成物理層及數(shù)據(jù)鏈路層檢測，進(jìn)行分流設(shè)備設(shè)計(jì)過程中，可以依照功能與系統(tǒng)進(jìn)行模塊整體劃分，包括以太網(wǎng)數(shù)據(jù)包最小字節(jié)檢測、jabber幀檢測、接口緩存區(qū)溢出檢測、線路信號檢測等。

　　3系統(tǒng)仿真測試與結(jié)果分析

　　網(wǎng)絡(luò)攻擊對軟件系統(tǒng)中的數(shù)據(jù)造成十分嚴(yán)重影響的本質(zhì)是一部分網(wǎng)絡(luò)攻擊是針對平臺中建設(shè)漏洞和安全隱患展開的。根據(jù)現(xiàn)階段對網(wǎng)絡(luò)攻擊的研究能夠采用一部分硬件設(shè)備和網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊防范。但是在最近一段時(shí)間中，網(wǎng)絡(luò)攻擊技術(shù)自身也出現(xiàn)了顯著的變化，攻擊工具逐漸復(fù)雜化，安全漏洞在網(wǎng)絡(luò)事故中頻頻出現(xiàn)，防火墻滲透現(xiàn)象逐漸明顯，攻擊流程逐步轉(zhuǎn)向自動(dòng)化。以上現(xiàn)象都要求人們在網(wǎng)絡(luò)安全防控方面加以重視，并且創(chuàng)新防控措施。

　　3.1仿真實(shí)驗(yàn)環(huán)境

　　無論當(dāng)下網(wǎng)絡(luò)攻擊的形式怎樣變化，在進(jìn)行網(wǎng)絡(luò)維護(hù)的同時(shí)能夠得到數(shù)據(jù)包并且加以分析，便能夠得出較為真實(shí)的反應(yīng)軟件漏洞問題，進(jìn)而得出化解網(wǎng)絡(luò)攻擊的最佳形式�，F(xiàn)階段數(shù)據(jù)分析設(shè)備應(yīng)當(dāng)具備以下幾個(gè)方面的功能。（1）識別主流數(shù)據(jù)報(bào)文。（2）未知報(bào)文輸出。（3）至少達(dá)到線路帶寬的網(wǎng)絡(luò)吞吐能力。由此可見，廣域網(wǎng)出入口進(jìn)行數(shù)據(jù)復(fù)制主要是使用分光器，在數(shù)據(jù)整合與分析設(shè)備中實(shí)現(xiàn)數(shù)據(jù)分類輸出，能夠?yàn)楹笈_設(shè)備提供更加便捷的數(shù)據(jù)支持，進(jìn)而能夠有效抵制網(wǎng)絡(luò)攻擊現(xiàn)象。

　　3.2流量仿真實(shí)驗(yàn)

　　在PC端利用wireshark網(wǎng)絡(luò)數(shù)據(jù)包分析工具對數(shù)據(jù)包進(jìn)行分析，通過分流設(shè)備將數(shù)據(jù)包輸出至后端PC，并通過對比TestCenter所發(fā)數(shù)據(jù)包與PC端接收數(shù)據(jù)包是否一致。

　　3.2.1數(shù)據(jù)流量分流設(shè)備專用設(shè)備通過既定規(guī)則將流量重定向至PC機(jī)，然后用TestCenter構(gòu)造正常tcp數(shù)據(jù)包，當(dāng)數(shù)據(jù)包進(jìn)入專用設(shè)備后PC機(jī)通過wireshark數(shù)據(jù)包分析軟件抓包對比數(shù)據(jù)包差異性。

　　3.2.2仿真實(shí)驗(yàn)配置此次在其length字段配置了一個(gè)非法長768的文件，構(gòu)造了一個(gè)為二層IEEE802.3Ethernet數(shù)據(jù)結(jié)構(gòu)的包頭。

　　4結(jié)語

　　傳統(tǒng)網(wǎng)絡(luò)防范主要是針對已知網(wǎng)絡(luò)風(fēng)險(xiǎn)與威脅的抵抗，主要作用是只允許無害流量通過，難以保障整體網(wǎng)絡(luò)環(huán)境的安全和穩(wěn)定。對于入侵系統(tǒng)的研究僅僅是在保障網(wǎng)絡(luò)安全方面能夠加以預(yù)防，難以從本質(zhì)上避免網(wǎng)絡(luò)環(huán)境遭到攻擊，具有一定不確定因素。流量模型構(gòu)建過程中能夠與傳統(tǒng)的網(wǎng)絡(luò)防范產(chǎn)生一定差異，在吸收其中具有先進(jìn)意義的防御手段基礎(chǔ)上，能夠極大程度增添網(wǎng)絡(luò)設(shè)備的安全性與抵抗入侵的能力。網(wǎng)絡(luò)數(shù)據(jù)流量分析建立在人工分析數(shù)據(jù)中，而后的研究重點(diǎn)則是利用關(guān)鍵字完成流量傳輸工作，依靠詳細(xì)的服務(wù)器分析，發(fā)現(xiàn)危險(xiǎn)因素并發(fā)送給防火墻系統(tǒng)。利用特種數(shù)據(jù)分析平臺能夠有效實(shí)現(xiàn)防火墻聯(lián)動(dòng)工作，提升網(wǎng)絡(luò)安全加大對這一領(lǐng)域的不斷探索，爭取創(chuàng)造一個(gè)更加安全的網(wǎng)絡(luò)環(huán)境，進(jìn)一步促進(jìn)國民經(jīng)濟(jì)的發(fā)展和信息技術(shù)的持續(xù)進(jìn)步；實(shí)現(xiàn)網(wǎng)絡(luò)信心技術(shù)的全球化和專業(yè)化。

網(wǎng)絡(luò)安全防護(hù)方案5

　　廣州某醫(yī)院擁有專業(yè)技術(shù)人員1100余人、床位850張、專業(yè)學(xué)科43個(gè)，現(xiàn)已發(fā)展成為集醫(yī)療、教學(xué)、科研、預(yù)防、保健、康復(fù)功能于一體的、面向海內(nèi)外開放的綜合性現(xiàn)代化醫(yī)院。隨著信息化的發(fā)展，該醫(yī)院的醫(yī)療系統(tǒng)也進(jìn)入了數(shù)字化和信息化時(shí)代，大型的數(shù)字化醫(yī)療設(shè)備、各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)在醫(yī)院中得到應(yīng)用。數(shù)字化醫(yī)療建設(shè)，不但使醫(yī)院的工作流程發(fā)生了變化，同時(shí)也對醫(yī)院信息化建設(shè)提出了更高的要求。

　　目前，該醫(yī)院已應(yīng)用了HIS、EMR、LIS、PACS等信息系統(tǒng)，涵蓋了醫(yī)院日常工作流程，比如掛號、診療、化驗(yàn)、劃價(jià)、收費(fèi)等，同時(shí)也覆蓋醫(yī)院各個(gè)角落，如病房、藥房、醫(yī)療設(shè)備等。隨著電子病歷、遠(yuǎn)程醫(yī)療的不斷發(fā)展，病人在就醫(yī)過程中的信息將越來越多地以數(shù)字化的方式保存在醫(yī)院的醫(yī)療信息系統(tǒng)中。

　　如何保證這些醫(yī)療數(shù)據(jù)的安全性、有效性，是醫(yī)院信息系統(tǒng)所面臨的、不可回避的問題。

　　20xx年底，該醫(yī)院新大樓建成，華僑醫(yī)院的信息網(wǎng)絡(luò)改造項(xiàng)目也同步啟動(dòng)。這次改造不僅要提高網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)，而且還將信息系統(tǒng)安全建設(shè)納入其中。該醫(yī)院的信息安全主管人員清醒地認(rèn)識到：醫(yī)院信息系統(tǒng)的正常運(yùn)行，不僅包含網(wǎng)絡(luò)、主機(jī)設(shè)備的正常運(yùn)行，還包括存儲在醫(yī)院應(yīng)用系統(tǒng)中的各種數(shù)據(jù)的'安全性和可靠性得到保障。

　　此前，該醫(yī)院的信息系統(tǒng)已部署了防火墻、入侵檢測系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡(luò)安全改造建設(shè)，醫(yī)院邀請產(chǎn)品供應(yīng)商和業(yè)界優(yōu)秀的公司共同探討新信息系統(tǒng)的安全建設(shè)方案。該醫(yī)院希望其安全建設(shè)方案能夠?qū)崿F(xiàn)以下功能：既要考慮現(xiàn)有系統(tǒng)的安全、有效運(yùn)行，又要兼顧華僑醫(yī)院未來五年的信息化發(fā)展。

　　作為該醫(yī)院原有信息安全產(chǎn)品供應(yīng)商，北京冠群金辰軟件有限公司（簡稱冠群金辰）也參與了新信息系統(tǒng)的安全建設(shè)，并提出針對該醫(yī)院的安全解決方案建議。

　　解決之道冠群金辰認(rèn)為，該醫(yī)院現(xiàn)有信息安全系統(tǒng)中的防火墻、防毒墻、IDS和防病毒的防護(hù)架構(gòu)可以保留，但隨著醫(yī)院新大樓投入使用，網(wǎng)絡(luò)中的終端節(jié)點(diǎn)會(huì)增多，網(wǎng)絡(luò)流量將大幅增長，所以，需要對現(xiàn)有防火墻、IDS等系統(tǒng)進(jìn)行升級，提升現(xiàn)有防護(hù)系統(tǒng)的處理能力，以適應(yīng)網(wǎng)絡(luò)提速的要求，保障正常的網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行；同時(shí)，針對網(wǎng)絡(luò)中新增的客戶端節(jié)點(diǎn)，繼續(xù)部署防病毒系統(tǒng)和終端安全管理系統(tǒng)，以應(yīng)對越來越復(fù)雜的終端安全防護(hù)問題。

　　針對目前醫(yī)院網(wǎng)站服務(wù)器保護(hù)的安全盲點(diǎn)，冠群金辰提出了針對Web網(wǎng)站安全建議：使用專業(yè)的網(wǎng)站防護(hù)系統(tǒng)采用層次化的Web主動(dòng)防護(hù)技術(shù)，對醫(yī)院網(wǎng)站服務(wù)器進(jìn)行有效防護(hù)。

　　實(shí)際上，冠群金辰為該醫(yī)院提出的網(wǎng)絡(luò)安全整體解決方案涵蓋了從邊界、網(wǎng)絡(luò)到主機(jī)，多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設(shè)備將非法訪問、病毒、入侵攻擊等阻擋在網(wǎng)絡(luò)外部。在網(wǎng)絡(luò)層面，該解決方案對網(wǎng)絡(luò)中的流量進(jìn)行檢測，查找正在發(fā)生或?qū)⒁�發(fā)生的網(wǎng)絡(luò)攻擊，并及時(shí)采取措施，比如報(bào)警、阻斷、記錄等。

　　對于網(wǎng)絡(luò)安全中常見的病毒、信息泄露等安全威脅，該方案中的防病毒軟件和終端安全管理系統(tǒng)為主機(jī)系統(tǒng)提供了基本的安全保障。

　　冠群金辰為此方案提供了KILL系列安全產(chǎn)品，即KILL防火墻、KILL入侵檢測系統(tǒng)、KILL上網(wǎng)行為管理系統(tǒng)、KILL防毒墻、KILL網(wǎng)絡(luò)防病毒系統(tǒng)、KILL終端安全管理系統(tǒng)和KILL Web安全網(wǎng)關(guān)，為該醫(yī)院的網(wǎng)絡(luò)構(gòu)筑了一個(gè)多層次的安全防護(hù)體系。從網(wǎng)絡(luò)訪問控制、流量控制、入侵攻擊、病毒查殺、終端準(zhǔn)入和Web防護(hù)等方面，該方案對該醫(yī)院的網(wǎng)絡(luò)提供全面的安全保護(hù)。

網(wǎng)絡(luò)安全防護(hù)方案6

　　立體安全防護(hù)考慮到了信息安全防范的多個(gè)層次以及各個(gè)方面，是一個(gè)完善的解決方案。

　　信息系統(tǒng)在提高工作效率、輔助決策、優(yōu)化管理的同時(shí)，也帶來了眾多的信息安全風(fēng)險(xiǎn)，比如：黑客的入侵和犯罪、病毒木馬的泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、DDoS攻擊的巨大危害、內(nèi)部人員的違規(guī)和違法操作、用戶上網(wǎng)行為的管理和控制、移動(dòng)存儲介質(zhì)帶來的信息泄密、網(wǎng)絡(luò)與主機(jī)系統(tǒng)、服務(wù)的脆弱和癱瘓，信息產(chǎn)品的管理和失控等等。這些風(fēng)險(xiǎn)時(shí)刻威脅著各項(xiàng)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。一旦風(fēng)險(xiǎn)失控，將可能帶來無法估量的重大損失。

　　針對上述種種安全隱患，同時(shí)為了降低各種信息安全風(fēng)險(xiǎn)，保障業(yè)務(wù)的連續(xù)性，將損失盡可能降到最低點(diǎn)，基于信息安全的“保密性”、“可用性”和“完整性”原則，華為推出了融“慧”貫通的立體安全防護(hù)體系，為客戶業(yè)務(wù)保駕護(hù)航，目前在各行各業(yè)的信息化領(lǐng)域得到了廣泛的成功應(yīng)用。

　　“融”：融合網(wǎng)絡(luò)和內(nèi)容安全

　　“融”是指融合網(wǎng)絡(luò)安全和內(nèi)容安全，包括Web安全、郵件安全、應(yīng)用與通信過程的安全及安全管理平臺。它是方案的全貌。

　　從入口方向，方案要做的是：抑制惡意代碼通過Web應(yīng)用傳播，阻止病毒通過Web下載傳播，對所有的請求進(jìn)行數(shù)據(jù)安全性驗(yàn)證；抑制垃圾郵件傳播、抑制病毒或惡意代碼通過郵件傳播，同時(shí)對郵件服務(wù)系統(tǒng)進(jìn)行加固；阻止利用網(wǎng)站應(yīng)用漏洞使用SQL注入或跨站攻擊等方式獲得系統(tǒng)或數(shù)據(jù)庫管理員權(quán)限，保護(hù)網(wǎng)站W(wǎng)eb應(yīng)用安全；評估與防護(hù)系統(tǒng)漏洞、防止DDoS攻擊。

　　在出口方向，方案要做的是：提供主動(dòng)危害防護(hù)，對惡意內(nèi)容過濾，控制內(nèi)容訪問；對郵件進(jìn)行加密，避免信息泄漏，建立郵件審計(jì)機(jī)制，對用戶惡意行為有追述能力，過濾郵件中的惡意內(nèi)容；基于應(yīng)用和操作識別，控制訪問過程和數(shù)據(jù)傳播過程。

　　俗話說：“三分技術(shù)，七分管理”。優(yōu)秀的產(chǎn)品與技術(shù)需要優(yōu)秀的管理平臺支撐，否則只是一盤散沙，無法發(fā)揮應(yīng)有的作用。在華為立體安全防護(hù)解決方案中，整個(gè)安全體系由統(tǒng)一的安全管理平臺VSM管理，對網(wǎng)絡(luò)中的路由器、交換機(jī)、防火墻、入侵檢測系統(tǒng)、Secospace等網(wǎng)絡(luò)及安全產(chǎn)品進(jìn)行統(tǒng)一的集中管理與監(jiān)控，保證各個(gè)產(chǎn)品的正常運(yùn)行與協(xié)同工作，使安全管理真正落到實(shí)處，真正體現(xiàn)立體安全防護(hù)體系的威力，減少管理環(huán)節(jié)，提高管理效率，降低管理運(yùn)維成本。

　　“慧”：構(gòu)建主動(dòng)安全架構(gòu)

　　“慧”指的是主動(dòng)安全架構(gòu)。

　　安全是動(dòng)態(tài)變化的，安全防護(hù)產(chǎn)品及技術(shù)體系必須時(shí)刻研究變化發(fā)展的安全趨勢，適應(yīng)新的安全形勢。為此，華為提出了業(yè)界領(lǐng)先的主動(dòng)安全架構(gòu)（Proactive Security Frame）模型，它是華為針對未來安全的發(fā)展趨勢，運(yùn)用華為立體安全防護(hù)的理念提出的主動(dòng)安全解決方案的集合，該方案針對網(wǎng)絡(luò)模型中各層威脅的特點(diǎn)，提供應(yīng)用和內(nèi)容的雙向安全管理與防護(hù)。借助華為分布于全球的IP信譽(yù)評估系統(tǒng)，它能夠提供及時(shí)主動(dòng)的、實(shí)時(shí)的在線安全。

　　為了保證能及時(shí)了解變化發(fā)展的安全形勢，華為專門成立了近200人的安全專家團(tuán)隊(duì)。這是國內(nèi)最大的安全技術(shù)預(yù)研小組，專注于對網(wǎng)絡(luò)安全基礎(chǔ)及前沿技術(shù)進(jìn)行深入分析研究，并進(jìn)行協(xié)議分析、防病毒、反垃圾郵件、網(wǎng)絡(luò)攻防技術(shù)的研究和相關(guān)知識庫的積累。這些能力和積累是華為提供優(yōu)質(zhì)安全產(chǎn)品、解決方案和服務(wù)的'最有力的支撐。

　　“貫”：建立縱深安全防御體系

　　“貫”是指建立縱深安全防御體系，實(shí)現(xiàn)“進(jìn)不來”、“看不了”、“拿不走”、“打不開”、“跑不掉”的安全目標(biāo)，保證信息資源的安全，保持業(yè)務(wù)的連續(xù)性。

　　在總部與分支機(jī)構(gòu)、移動(dòng)用戶、合作伙伴等的數(shù)據(jù)傳輸上，通過IPSec/SSL實(shí)現(xiàn)信息的加密安全傳輸，防止被黑客非法竊聽；

　　在網(wǎng)絡(luò)層，通過防火墻、UTM綜合安全網(wǎng)關(guān)堵截網(wǎng)絡(luò)威脅，通過連接控制、認(rèn)證、授權(quán)技術(shù)對訪問者進(jìn)行認(rèn)證授權(quán)，并為事后的追溯提供依據(jù)。

　　通過入侵檢測系統(tǒng)對各類網(wǎng)絡(luò)攻擊、入侵行為進(jìn)行檢測響應(yīng)，及時(shí)報(bào)警通知管理員采取適當(dāng)?shù)姆雷o(hù)措施，同時(shí)可與防火墻、UTM設(shè)備進(jìn)行聯(lián)動(dòng)，及時(shí)阻斷入侵行為的繼續(xù)進(jìn)行，保證內(nèi)部網(wǎng)絡(luò)及業(yè)務(wù)的安全性。

　　Web網(wǎng)關(guān)具備防惡意軟件能力，對Web應(yīng)用程序進(jìn)行控制，通過Web過濾、SSL流量檢測、內(nèi)容檢查和防信息泄漏等技術(shù)，保證Web應(yīng)用安全。

　　郵件安全網(wǎng)關(guān)提供反垃圾郵件、防病毒、內(nèi)容檢測、加密以及信侵檢測等功能。

　　所有的安全功能，均由華為的安全知識庫體系提供有力的技術(shù)支撐。

　　Secospace內(nèi)網(wǎng)終端安全管理系統(tǒng)對內(nèi)網(wǎng)及終端用戶進(jìn)行保護(hù)及控制，可以與已有的用戶認(rèn)證系統(tǒng)結(jié)合，非法用戶將被阻止接入網(wǎng)絡(luò)，合法用戶認(rèn)證通過后，需經(jīng)過安全檢查確認(rèn)該終端的安全性之后方可授權(quán)訪問權(quán)限內(nèi)的資源；同時(shí)能夠規(guī)范員工行為，管理和審計(jì)終端的各種行為舉動(dòng)，監(jiān)測控制非法外聯(lián)、非法存儲介質(zhì)的使用，防止機(jī)密資料的外泄，對安全狀態(tài)進(jìn)行連續(xù)監(jiān)控，實(shí)現(xiàn)不間斷防護(hù)。

　　Secospace文檔安全管理系統(tǒng)可以為機(jī)密文檔加強(qiáng)保護(hù)，保證文檔的權(quán)限不會(huì)擴(kuò)散，即使不慎丟失或者被黑客、間諜竊取也無法使用，防止泄密。

　　日志審計(jì)、流量分析解決方案可以為管理員了解網(wǎng)絡(luò)及業(yè)務(wù)運(yùn)行情況提供有力的數(shù)據(jù)支持，便于管理員提出信息化優(yōu)化方案，進(jìn)一步促進(jìn)業(yè)務(wù)的發(fā)展；在安全事件發(fā)生后，可以為事后追蹤取證提供依據(jù)，防止抵賴。

　　“通”：時(shí)刻保持網(wǎng)絡(luò)的暢通

　　“通”是指保證網(wǎng)絡(luò)出口不受DDoS攻擊的影響，時(shí)刻保持網(wǎng)絡(luò)的暢通，保證業(yè)務(wù)的可用性。

　　華為防DDoS攻擊技術(shù)通過對攻擊指紋信息的匹配與學(xué)習(xí)，采用線速的深度報(bào)文檢測技術(shù)，可以有效抵御各種類型DDoS的攻擊，阻斷僵尸網(wǎng)絡(luò)的傳播與控制途徑。

　　華為防DDoS方案提供10G接口以及20G的流量清洗能力。該方案不僅支持流量型攻擊檢測和清洗，同時(shí)還支持小流量應(yīng)用層的攻擊檢測和清洗，如http get及CC攻擊；同時(shí)開放接口設(shè)計(jì)，可輕松地與統(tǒng)一網(wǎng)關(guān)平臺進(jìn)行對接，為客戶提供安全靈活的組網(wǎng)部署方案。

【網(wǎng)絡(luò)安全防護(hù)方案】相關(guān)文章：

計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)論文10-09

淺議網(wǎng)絡(luò)安全計(jì)算機(jī)通信技術(shù)防護(hù)10-26

計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)與發(fā)展10-07

淺析病毒防護(hù)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用論文10-08

基坑防護(hù)施工方案10-07

基礎(chǔ)越冬防護(hù)方案03-15

電力信息通信系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究論文10-09

計(jì)算機(jī)通信網(wǎng)絡(luò)安全防護(hù)策略04-01

計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)探索04-01