緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇信息安全應急預案范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

為做好應對網絡與信息安全事件的各項準備工作，提高應急處理能力，結合本市實際，制定本預案。

1.1編制依據

《中華人民共和國突發事件應對法》、《北京市實施辦法》、《北京市信息化促進條例》等法律法規，《國家突發公共事件總體應急預案》、《國家網絡與信息安全事件應急預案》、《北京市突發公共事件應急總體預案》、《信息安全事件分類分級指南》(GB/Z20986-2007)等相關規定。

1.2事件分類分級

1.2.1事件分類

網絡與信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障和災害性事件等。

(1)有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。

(2)網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。

(3)信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

(4)信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。

(5)設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。

(6)災害性事件是指由自然災害等其他突發事件導致的網絡與信息安全事件。

1.2.2事件分級

網絡與信息安全事件分為四級：特別重大(Ⅰ級)、重大(Ⅱ級)、較大(Ⅲ級)、一般(Ⅳ級)。

(1)符合下列情形之一的，為特別重大網絡與信息安全事件(Ⅰ級)：

①信息系統中斷運行2小時以上、影響人數100萬人以上。

②信息系統中的數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成特別嚴重威脅，或導致10億元人民幣以上的經濟損失。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡與信息安全事件。

(2)符合下列情形之一且未達到特別重大網絡與信息安全事件(Ⅰ級)的，為重大網絡與信息安全事件(Ⅱ級)：

①信息系統中斷運行30分鐘以上、影響人數10萬人以上。

②信息系統中的數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成嚴重威脅，或導致1億元人民幣以上的經濟損失。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡與信息安全事件。

(3)符合下列情形之一且未達到重大網絡與信息安全事件(Ⅱ級)的，為較大網絡與信息安全事件(Ⅲ級)：

①信息系統中斷運行造成較嚴重影響的。

②信息系統中的數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成較嚴重威脅，或導致1000萬元人民幣以上的經濟損失。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網絡與信息安全事件。

(4)除上述情形外，對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡與信息安全事件，為一般網絡與信息安全事件(Ⅳ級)。

2組織機構與職責

2.1辦事機構及其職責

市通信保障和信息安全應急指揮部辦公室作為市通信保障和信息安全應急指揮部常設辦事機構，設在市經濟信息化委，辦公室主任由市經濟信息化委主任擔任。主要職責是：

(1)承擔本指揮部值守應急工作；

(2)收集、分析工作信息，及時上報重要信息；

(3)負責本市網絡與信息安全的監測預警和風險評估控制、隱患排查整改工作；

(4)負責和取消藍色、黃色預警信息，向市應急辦提出和取消橙色、紅色預警信息的建議；

(5)負責本市網絡與信息安全突發事件新聞報道相關工作；

(6)組織制訂、修訂與本指揮部職能相關的專項應急預案，指導區縣、部門、單位制定、修訂網絡與信息安全突發事件相關的應急預案；

(7)負責組織協調網絡與信息安全突發事件應急演練；

(8)負責本市應對網絡與信息安全突發事件的宣傳教育與培訓。

2.2網絡與信息安全專家顧問組

專家顧問組的職責：

(1)在網絡與信息安全突發事件預防與應急處置時，提供咨詢與建議，必要時參與值班；

(2)在制定網絡與信息安全應急有關規定、預案、制度和項目建設的過程中提供參考意見；

(3)及時反映網絡與信息安全應急工作中存在的問題與不足，并提出改進建議；

(4)對本市網絡與信息安全突發事件發生和發展趨勢、處置措施、恢復方案等進行研究、評估，并提出相關建議；

(5)參與網絡與信息安全突發事件應急培訓及相關教材編審等工作。

3監測預警

3.1監測

建立網絡與信息安全事件信息接收機制

市通信保障和信息安全應急指揮部辦公室、市經濟信息化委、市公安局、市通信管理局、市廣播電影電視局、市國家保密局以及市級應急救援機構應通過媒體、網站等途徑公布網絡與信息安全事件接報電話、傳真、電子郵箱等信息，加強宣傳培訓，做好來自社會公眾和網絡與信息系統運營使用管理單位的預警信息、事件信息的接收，建立并完善網絡與信息安全事件信息的接收機制。

3.2預警分級及

預警分級

根據監測信息或是相關單位提供的預警信息，分析研判，對可能發生的網絡與信息安全事件進行預警。預警級別分為四級，從低到高表示為：藍色預警、黃色預警、橙色預警和紅色預警。

3.3預警響應

預警信息后，各相關部門、單位應依據的預警級別，啟動相應的應急預案，組織部署所屬技術力量、應急救援隊伍立即響應，進入應急狀態，履行承擔的職責。

3.3.1藍色預警響應

(1)市通信保障和信息安全應急指揮部辦公室及各成員單位實行24小時值班，保持通信聯絡暢通，市通信保障和信息安全應急指揮部辦公室要密切關注事態發展，收集、匯總監測信息，重要信息及時向指揮部領導、市應急辦報告。

(2)市級網絡與信息安全應急隊伍進入應急狀態，確保60%應急技術人員處于待命狀態，檢查應急車輛、設備、軟件工具等，確保處于可用狀態；針對預警內容研究制定防范措施，指導各網絡與信息系統運營使用管理單位做好安全加固和預防工作；聯系社會應急力量做好應急支援準備工作。

3.3.2黃色預警響應

(1)在藍色預警響應的基礎上，加強領導帶班和24小時值班，保持通信聯絡暢通；實行每日信息報送制度，各單位、各行業主管部門、監管部門指揮部辦公室逐級上報相關信息；指揮部辦公室及時聯系專家顧問組相關專業專家，組織專家和市級應急隊伍及時對預警信息和事態發展進行研判，制定防范措施，指導各網絡與信息系統運營使用管理單位做好預防工作。

(2)市級網絡與信息安全應急隊伍進入應急狀態，確保80%應急技術人員處于待命狀態，檢查應急車輛、設備、軟件工具等，確保處于可用狀態；聯系相關社會應急力量進入應急支援狀態。

3.3.3橙色預警響應

在黃色預警響應的基礎上，市通信保障和信息安全應急指揮部第一副總指揮應全面掌握情況，部署預警響應措施；各行業主管部門和監管部門加強監測和情報搜集工作，每天兩次向指揮部辦公室報送相關信息，重要信息隨時報告，市通信保障和信息安全應急指揮部辦公室及時向市應急辦報告相關信息；市級應急隊伍在開展應急處置的同時，制定預警防范措施，指導其他網絡與信息系統運營使用管理單位開展風險控制工作；各網絡與信息系統運營使用管理單位加強風險評估與控制工作，做好數據備份等技術防范工作。

3.3.4紅色預警響應

在橙色預警響應的基礎上，市通信保障和信息安全應急指揮部進入應急狀態，在國家指揮部的領導下開展預警響應工作。市通信保障和信息安全應急指揮部總指揮掌握情況，部署預警響應措施，市通信保障和信息安全應急指揮部辦公室、各行業主管部門、監管部門、市級應急隊伍要加強與國家相關部門、國家網絡與信息安全應急技術支援隊伍的溝通、聯系、協調，加強綜合研判和情報共享，高度關注事態發展，本市各級、各類網絡與信息安全應急隊伍和支撐力量除參與應急處置工作的，要全面做好應急準備，并指導其他網絡與信息系統運營使用管理單位開展風險控制工作。

4應急響應

4.1基本響應

網絡與信息安全事件發生后，事發單位應立即啟動相關應急預案，實施處置并及時報送信息。

(1)控制事態發展，防控蔓延。事發單位先期處置，采取各種技術措施，及時控制事態發展，最大限度地防止事件蔓延。

(2)快速判斷事件性質和危害程度。盡快分析事件發生原因，根據網絡與信息系統運行和承載業務情況，初步判斷事件的影響、危害和可能波及的范圍，提出應對措施建議。

(3)及時報告信息。事發單位在先期處置的同時要按照預案要求，及時向上級主管部門、屬地區縣、市通信保障和信息安全應急指揮部辦公室報告事件信息。

(4)做好事件發生、發展、處置的記錄和證據留存。

4.2分級響應

4.2.1Ⅰ級響應

Ⅰ級響應由國家指揮部啟動，市通信保障和信息安全應急指揮部在國家指揮部的統一指揮下，開展應急處置工作。

(1)啟動指揮體系。

市通信保障和信息安全應急指揮部辦公室組織專家顧問組專家、人才庫專家及專業技術人員研究對策，提出處置方案建議，為領導決策提供支撐。

(2)掌握事件動態。

事件影響單位及時將事態發展變化情況和處置進展情況及時上報，市通信保障和信息安全應急指揮部辦公室組織全面了解本市行政區域內的基礎網絡和信息系統受到事件波及或影響情況，及時匯總并上報市應急辦、國家指揮部辦公室。

(3)處置實施。

①控制事態防止蔓延。現場指揮部根據國家指揮的部署，組織事發單位及應急隊伍，采取各種技術措施、管控手段，最大限度地阻止和控制事態發展；市通信保障和信息安全應急指揮部辦公室全面啟動預警機制，及時督促、指導本市網絡與信息系統運營使用管理單位有針對性地加強防范，防止事件進一步蔓延。

②做好處置消除隱患。現場指揮部組織專家、應急技術力量、事發單位盡快分析事件發生原因、特點、發展趨勢，快速制定具體的解決方案，組織實施處置，對業務連續性要求高的受破壞網絡與信息系統要及時組織恢復。

4.2.2Ⅱ級響應

市應急辦或市通信保障和信息安全應急指揮部啟動Ⅱ級響應，統一指揮、協調、組織應急處置工作。

(1)啟動指揮體系。

市通信保障和信息安全應急指揮部辦公室組織專家顧問組專家、人才庫專家及專業技術人員研究對策，提出處置方案建議，為領導決策提供支撐。

(2)掌握事件動態。

事件影響單位及時將事態發展變化情況和處置進展情況及時上報，市通信保障和信息安全應急指揮部辦公室組織全面了解本市網絡與信息系統運行情況，及時匯總有關情況并上報市應急辦、國家指揮部辦公室。

(3)處置實施。

①控制事態防止蔓延。現場指揮部全力組織事發單位及應急隊伍，采取各種技術措施、管理手段，最大限度地阻止和控制事態發展；市通信保障和信息安全應急指揮部辦公室全面啟動預警機制，及時督促、指導本市網絡與信息系統運營使用管理單位有針對性地加強防范，防止事件蔓延到其他信息系統。

②做好處置消除隱患。現場指揮部組織專家、應急技術力量、事發單位盡快分析事件發生原因、特點、發展趨勢，快速制定具體的解決方案，組織實施處置，對業務連續性要求高的受破壞網絡與信息系統要及時組織恢復。

4.2.3Ⅲ級響應

事件發生單位主管部門或屬地區縣啟動Ⅲ級響應，按照相關預案進行應急處置，市通信保障和信息安全應急指揮部辦公室根據需要指導、檢查、協助應急處置工作。

(1)啟動指揮體系。

市通信保障和信息安全應急指揮部辦公室組織相關專家指導現場處置。

(2)掌握事件動態。

現場指揮部及時了解事發單位主管范圍內的信息系統是否受到事件的波及或影響，并將有關情況及時報市通信保障和信息安全應急指揮部辦公室。

(3)處置實施。

①控制事態防止蔓延。現場指揮部及時采取技術措施阻止事件蔓延；市通信保障和信息安全應急指揮部辦公室向全市預警信息，督促、指導相關運行單位有針對性地加強防范。

②做好處置消除隱患。盡快分析事件發生原因，并根據原因有針對性地采取措施，恢復受破壞信息系統正常運行。

4.2.4Ⅳ級響應

事件發生區縣、部門、單位啟動Ⅳ級響應，按照相關預案進行應急處置，事件發生區縣、部門、單位負責同志及時趕赴現場，組織協調、指揮所屬技術力量進行事件處置工作，必要時請求市網絡與信息安全應急隊伍支援處置；事發單位負責將事件信息、處置進展情況及時向市通信保障和信息安全應急指揮部辦公室報告；根據需要，市通信保障和信息安全應急指揮部辦公室有關人員及時趕赴現場，指導、檢查事發單位開展應急處置工作，協調相關專家、應急隊伍參加應急救援。

5信息管理

5.1信息報告

各相關部門和機構應根據各自職責分工，及時收集、分析、匯總本地區、本部門或本系統網絡與信息系統安全運行情況信息，安全風險及事件信息及時報告市指揮辦公室。

倡導社會公眾參與網絡、網站和信息系統安全運行的監督和信息報告，發現本市網絡、網站和信息系統發生安全事件時，應及時報告。

5.2信息報告內容

事件信息一般包括以下要素：事件發生時間、發生事故網絡信息系統名稱及運營使用管理單位、地點、原因、信息來源、事件類型及性質、危害和損失程度、影響單位及業務、事件發展趨勢、采取的處置措施等。

5.3信息和新聞報道

5.3.1網絡與信息安全事件的新聞報道工作，須遵守相關法律法規以及《北京市突發公共事件新聞應急預案》的相關規定

5.3.2網絡與信息安全事件發生后，需要開展新聞報道時，在市突發公共事件新聞工作協調小組的領導下，市通信保障和信息安全應急指揮部成立新聞宣傳組，指派專人負責新聞報道工作，起草新聞稿和情況公告，及時、準確、客觀報道事件信息，正確引導輿論導向

6后期處置

恢復重建

恢復重建工作按照“誰主管誰負責，誰運行誰負責”的原則，由事發單位負責組織制定恢復、整改或重建方案，報相關主管部門審核實施。

7保障措施

7.1專業支撐隊伍

7.1.1加強市網絡與信息安全應急隊伍建設

加強北京市政務信息安全應急處置中心、北京網絡行業協會信息安全應急響應和處置中心、北京信息安全測評中心、北京市廣播電視監測中心、北京市保密技術檢查中心等應急隊伍建設，作為市網絡與信息安全應急隊伍做好網絡與信息安全事件的應急救援和支援工作。

市網絡與信息安全應急隊伍承擔以下主要職責：

(1)按照市通信保障和信息安全應急指揮部及其辦公室的指令，開展應急救援；

(2)承辦網絡與信息安全事件應急處置培訓工作；

(3)負責搶險隊伍設備、器材及相關軟件的日常管理和維護工作；

(4)負責網絡與信息安全社會應急力量的聯系和組織工作；

(5)負責協助市通信保障和信息安全應急指揮部辦公室做好網絡與信息安全事件應急演練工作；

(6)根據事發單位應急支援請求，提供應急救援服務；

(7)承辦市通信保障和信息安全應急指揮部交辦的其他事項。

7.1.2加強本市網絡與信息安全人才庫和志愿者隊伍建設

依托優秀信息安全企業建立本市網絡與信息安全事件應急處置社會網絡，發揮社會力量和人才在本市網絡與信息安全事件應對工作中的積極作用，提高本市網絡與信息安全事件應對能力和水平。

7.2合作機制建設

市通信保障和信息安全應急指揮部辦公室負責本市網絡與信息安全應急合作機制建設。

8宣傳、培訓和演練

8.1宣傳教育

市通信保障和信息安全應急指揮部辦公室制定應對網絡與信息安全事件的宣傳教育規劃，組織有關部門、專家、應急隊伍編制公眾預防、應對信息安全事件宣傳資料，組織開展宣傳教育活動。

各區縣、各部門應充分利用各種傳播媒介及其他有效的宣傳形式，加強網絡與信息安全事件預防和處置的有關法律、法規和政策的宣傳，開展網絡與信息安全基本知識和技能的宣講活動。

8.2培訓

市通信保障和信息安全應急指揮部辦公室組織各有關單位，開展信息安全法規標準、信息安全預案編制、風險評估、事件分析處置、容災備份等方面的專業技術培訓。

8.3演練

市通信保障和信息安全應急指揮部每年至少組織一次預案演練，模擬處置重大或較大網絡與信息安全事件，提高實戰能力，檢驗和完善預案。

9預案體系

本市網絡與信息安全事件應急預案分為專項預案、部門預案和單位預案，分市、區(縣)兩級管理。

市級部門預案由市通信保障和信息安全應急指揮部根據本預案要求，負責制定和修訂，依據處置網絡與信息安全事件分工，由相關成員單位負責起草和解釋；

市級單位預案由市級網絡與信息系統運營使用管理單位負責制定、修訂；

各區縣政府根據本預案和相關市級部門預案規定，結合本地區實際情況負責建立與完善本地區網絡與信息安全應急預案體系。

目錄

1總則

1.1編制依據

1.2事件分類分級

2組織機構與職責

2.1辦事機構及其職責

2.2網絡與信息安全專家顧問組

3監測預警

3.1監測

3.2預警分級及

3.3預警響應

4應急響應

4.1基本響應

4.2分級響應

5信息管理

5.1信息報告

5.2信息報告內容

5.3信息和新聞報道

6后期處置

恢復重建

7保障措施

7.1專業支撐隊伍

7.2合作機制建設

8宣傳、培訓和演練

8.1宣傳教育

8.2培訓

8.3演練

篇（2）

前言：網絡與信息安全事件的發生是世界性問題，我國的網絡與信息安全事件發生率一直高居不下，隨著信息化社會的不斷發展，網絡與信息安全事件的頻發，受到了我國各級政府和相關企業的高度關注，而預防與保障此事件發生的方法與手段也愈加關鍵。我國針對此應急事件的處理方法分為分類、預警、響應三步，全面預防與控制網絡與信息安全事件的發生。

一、網絡與信息安全的概述

隨著現代信息社會的發展與進步，網絡為人們的生活、工作、學習等帶來了一定的便捷，由于網絡的開放性、通用性、分散性等原因，很容易發生網絡與信息安全事件。對于網絡與信息安全事件的發生，已經對社會造成嚴重的影響，對此我國頒布的《中華人民共和國突發事件應對法》中有提到：需要建立一定的應急處理方法來應對由自然災害、事故災害、公共衛生災害和社會安全引起的安全事故。對于網絡安全事件的應急處置工作也有了明確的分類，《國家信息化領導小組關于加強信息安全保障工作的意見》中將網絡與信息安全事件歸納為：由網絡和信息系統直接產生對國家、社會、經濟、公眾等方面產生的利益損害事件。

網絡與信息安全事件是世界各國重點關注的問題之一，就我國而言，我國網民數量多達4億多，通過互聯網產生的消費額已經超過6000億元。信息安全問題已經影響到我國社會、經濟、公眾的利益，從過去發生過的網絡與信息安全事件中可以看出，引起信息安全事件的因素多為以經濟利益為目的的安全事件，另一部分是以非經濟利益為目的的安全事件。由于網絡與信息安全事件的發生具有無征兆且擴散十分迅速、傳播范圍廣、對周邊網絡或計算機信息的危害大等特征，建立起完備的網絡與信息安全事件應急處置體系十分必要。

二、建立網絡與信息安全事件的應急處置體系

最初的網絡與計算機信息技術應用范圍較為狹隘，僅限于國家的軍事、管理或社會經濟、產業、技術等方面。目前網絡與計算機信息技術已經涉及到社會中各層面、各行業的領域中，因此，出現的網絡與信息安全事件便成為一個社會性問題。我國對此提出的建議是：由國家宏觀調控指揮、各部門密切配合，建立起能夠針對網絡與信息安全事件的應急處理體系，對影響國家信息安全、社會經濟發展、公眾利益等方面作出一定的防范措施。對于建立的應急處置體系，還需要具有科學性、合理性：以預防為主，不能單純的事后補救；以處置為主，不能放縱危險事件的發生。在各方面的努力下，我國的網絡與信息安全事件的應急處置體系配備相應的法律法規，成為網絡與信息安全事件的一項保障。信息安全是一種新興的安全問題，不同于自然災害、人為災害或直接經濟損失的危險事件，而是一種虛擬信息的泄露，這需要對網絡與信息安全事件重新定位，建立統一的定位標準。我國對網絡與信息安全事件的分類方法為：按照信息安全事件的引發因素、事件表現、影響等將信息安全分類為程序損害事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障事件和信息災害事件等6大類，其中細節劃分為40余種。再按照事件危害等級、預警等級將其劃分為四個事件等級：A級：特大網絡與信息安全事件；B級：重大網絡與信息安全事件；C級網絡與信息安全事件；D級一般網絡與信息安全事件。

對于網絡與信息安全事件的應急處置工作，我國已經將其納入國家突發事件應對體系中。建立的應急預案分為國家、地區、單位的三級應急處置體系，并在此體系中建立具有高度統一、十分便捷、方便協調的組織機構，如遇網絡與信息安全事件，通過綜合分析，判定網絡與信息安全事件的形勢，再制定應急處置預案，經協調指揮相關技術人員落實預案。

在此系統中，地方政府和相關機構對本轄區內的網絡與信息安全事件直接負責，負責的內容包括網絡與信息安全事件的預防、監測、報告和應急處理工作。我國需要建立起網絡與信息安全事件應急處理咨詢機構，為此提供預防和處置技術的咨詢。另外，需要向社會公眾建立起信息通報機制，如報警電話等。由群眾提供網絡與信息安全事件信息，作為緊急事件預警的基礎，根據建立起科學、有序的網絡與信息安全事件的規章制度，全面控制網絡與信息安全事件。

二、網絡與信息安全的應急處置體系內容

（一）預警

預警包括對安全事件監測的預警、預警判定、預警審定、預警、預警響應和最終的預警解除。

預警機制的健全，能夠全面避免安全事件發生后的擴展和對人類財產的損失擴大，為了防止這一問題，可根據上文所提到的事件發生的緊急程度和危害程度分級處理，按照不同級別進行不同預警。

（二）響應

響應的理論基礎是在預警過后產生的事件起因預測、事件結果評估。響應工作是確定響應等級后開啟響應指揮，迅速了解事件動態并進行部署，然后實施處置工作，最后對本次應急事件進行評估。響應也包括四個等級，根據預警等級不同，實施不同的響應等級工作。

結論：綜上所述，網絡與信息安全事件的發生十分迅速、不可預估，并且危害大、擴展性強，我國對此已經作出一系列法律法規的約束，但對于網絡與信息安全事件的發生還需作應急處理，制定相應的應急處理機制，以預防為主，需要培養發現和控制事件的能力，減輕和消除由突發事件所引起的社會危害事件，并且需要在事件發生后第一時間做出總結，以防同樣事件再次發生。

參考文獻：

篇（3）

Research About the Information Security Protection and Emergency Response Mechanism

in Anhui Earthquake administration Website

Chen Liang

（Anhui Earthquake Administration HefeiAnhui 230031）

【 Abstract 】 With the increasing application of computers and websites，the safety of websites becomes more and more important. This paper discussed the the website features and potential safety hazard，constructed a integrated website security protection system. Finally，it designed the emergency response mechanism procedure.

【 Keywords 】 website； security； emergency response； mechanism

1 前言

安徽省防震減災信息網（以下簡稱“網站”）是安徽省地震局實現政務信息公開，服務社會公眾和穩定社會秩序的重要渠道，網站的信息具有高度的權威性和嚴肅性。而地震行業的敏感及特殊性決定了防震減災信息網可能遭遇的突發事件龐雜、不可預測，如網站非法言論、感染病毒、網絡中斷、并發訪問堵塞、網站攻擊篡改等，其中后兩種突發事件造成的社會影響更加惡劣，應對能力的提高是解決問題的關鍵。

2008年5月12日汶川8.0級強震、2009年4月6日肥東3.5級地震發生后，網站訪問量驟然增加，網絡堵塞嚴重，信息部門緊急調配高性能服務器，將門戶網站轉移以便緩解。之后經聯系，省電信部門決定短期援助互聯網出口帶寬由10M升級至100M。近年來全球地震頻發，社會公眾關注度逐漸加深，對地震信息的需求越來越高，網站的正常運行和訪問、信息的即時都需要應急體系的支撐。

在網絡攻擊愈演愈烈的大環境下，政府門戶網站遭受攻擊的幾率越來越高。2008年5月31日、6月1日和6月2日，廣西防震減災網被黑客工具多次侵入，網站內容被惡意篡改，服務器全部數據被徹底刪除，網站癱瘓。時值汶川震后敏感時期，犯罪分子的地震謠言制造了社會恐慌，嚴重擾亂了社會秩序，危害了社會穩定。前車之鑒，嚴峻的現實表明，我局要高度關注網站的安全運行。

隨著網站的深入應用，網站的安全性問題也越來越得到人們的重視。國家及各級政府部門相繼出臺了一系列法律法規、文件精神，從政策角度對網絡信息安全進行規范和部署，確保政府網站的安全運行，各行業部門對本行業所可能產生的安全事件及相應的解決措施進行研究，并據此制定了本部門相應的網站信息安全應急預案。2010年1月12日百度公司網站突然無法訪問使得網絡安全問題引起了社會各界的廣泛關注，安徽省信息化主管部門省經濟和信息化工作委員會通過此事件清醒地認識到信息安全的極端重要性，已出臺《安徽省網絡與信息安全事件應急預案》，全力保障我省網絡信息安全。

綜上所述，為妥善應對和處置各種網站安全突發事件，確保網站和重要信息系統的安全可靠運行，研究網站應急響應機制，在此基礎上建立一套行之有效滿足安徽省防震減災信息網網站需求的應急預案是必不可少的措施之一。

2 網站特征及存在的問題

2.1 版塊多，更新不易

目前，網站新版本已上線運行。新網站采用PHP腳本語言編寫，數據庫使用My SQL進行管理。涉及頁面數量多，版塊塊類型豐富，不僅有震情、省局動態、直屬單位動態、市縣機構動態、行業動態、綜合減災等需每日更新的版塊，還包括監測預報、震災預防、應急救援、群團組織等需定期更新的業務版塊。有的信息需從后臺直接上傳，有的則需要進行網頁的編輯更新，豐富的內容需要組織較多人力進行更新。

2.2 部門多，協調不易

網站的管理主要包括網站信息、網站應用程序開發、功能升級、服務器運行和安全維護等工作。一般情況下，日常更新版塊由省局及市縣各所屬部門指定專人通過網站后臺上傳，辦公室進行審核后；定期更新版塊由各所屬部門提供審核后的信息由局網站技術人員上傳。網站應用程序開發、功能升級、服務器運行和安全維護則有局網站技術人員負責。參與網站管理的部門較多，需要完善的網站管理制度來進行管理協調工作。

2.3 內容多，備份不易

隨著網站版塊的增加和運行時間的延續，網站容量不斷加大，不能及時清理的垃圾文件也隨之增多。我局網站容量逐年增加，并還將有上漲的趨勢。如果今后沒有專門的設備和技術，網站的集中備份難度將很大。

2.4 人員多，管理不易

參與網站管理人員不僅包括省局各部門，還包括了大量市縣局、臺站的工作人員，變化快，網絡知識不足，很多管理人員會辦公自動化軟件的操作，但是普遍缺少網絡安全知識和安全技術，安全意識淡薄。

3 可能存在的網站安全隱患

3.1 客觀因素

（1）病毒。目前網站安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。

（2）軟件漏洞。每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網，將成為眾矢之的。

（3）黑客。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統，危害非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。

3.2 人為因素

（1）安全意識不強。網站管理人員不在崗，用戶口令選擇不慎，將自己的賬號隨意轉借給他人或與別人共享等都會對網站安全帶來威脅。

（2）網站后臺配置不當。安全配置不當造成安全漏洞。例如防火墻軟件的配置不正確。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置。否則，安全隱患始終存在。

4 網站信息安全防護體系建設

4.1 防護體系設計

中科院劉寶旭等設計了一個基于模型的網絡安全綜合防護系統（PERR），該模型由防護（Protection）、預警檢測（Early warning & Detection）、響應（Response）、恢復（Recovery）四個部分構成一個動態的信息安全周期，同樣可以適用于我局網站信息安全的防護與應急工作。

4.2 防護體系建設

4.2.1安全防護中心

網站目前安全防護主要采用硬件防火墻、Webgard軟件防火墻、瑞星殺毒、清除木馬、360安全衛士及系統安全設置來進行日常的防護。

安全防護中心的主要職能是通過安全產品、技術、制度等手段，達到提高被保護網絡信息系統對安全威脅的防御能力和抗攻擊能力，同時，加強管理人員對信息系統的安全控管能力。其建設可從安全加固和安全管理兩個角度來考慮。通過對網絡拓撲結構的調整、系統配置的優化，并部署入侵檢測、防病毒、反垃圾郵件、身份認證、數據加密等安全產品和系統進行安全加固；通過制定管理制度進行安全管理，使用安全管理平臺等技術手段，統一配置管理系統中的主機、網絡設備及安全設備，增強監控能力，使其運轉更為協調，最大程度地發揮安全防護效能。

4.2.2安全預警檢測中心

網站目前安全檢測主要采用IDS（Intrusion Detection Systems ）入侵檢測、防病毒熊貓網關、防火墻等來進行安全預警檢測。

安全預警中心的主要職能：（1）預警，可通過漏洞掃描、網絡異常監控、日志分析、問題主機發現等技術手段以及評估、審計等安全服務來實現；（2）檢測，可使用入侵檢測、病毒檢測（防病毒墻）等工具和異常流量、異常網絡行為發現等手段和工具。

4.2.3應急響應中心

安全問題發生時需要盡快響應，以阻止攻擊行為的進一步破壞。所以需要建立一個完善的的應急響應中心，對安全事件、行為、過程及時做出響應和處理，對可能發生的入侵行為進行限制，杜絕危害的進一步蔓延擴大，最大程度降低其造成的影響，避免出現業務中斷等安全事故。

應急響應中心處理的手段包括阻斷、隔離、轉移、取證、分析、系統恢復、手工加固、跟蹤攻擊源甚至實施反擊等。可通過制定應急響應制度、規范操作流程，并輔以緊急響應工具和服務來實現。

4.2.4災備恢復中心

網站災備恢復目前主要采取人工定期備份的方式。災備恢復中心建設主要通過冗余備份等方式，確保在被保護網絡信息系統發生了意想不到的安全事故之后，被破壞的業務系統和關鍵數據能夠迅速得到恢復，從而達到降低網絡信息系統遭受災難性破壞的風險的目的。備份包括本地、異地、冷備、熱備等多種方式，按照不同備份策略，利用不同設備和技術手段來實現。

5 應急預案規劃設計

5.1 應急隊伍建設

組建一支專業化程度較高、技術一流的信息安全技術服務隊伍是網站信息安全應急預案規劃設計的人員保障。為保證應急情況下應急機制的迅速啟動和指揮順暢，應急組織應設立領導組和技術組。

領導組主要職責包括：（1）研究布置應急行動有關具體事宜；（2）應急行動期間的總體組織指揮；（3）向上級匯報應急行動的進展情況和向有關部門通報相關情況；（4）負責與有關部門進行重大事項的工作協調；（5）負責應急行動其它的有關組織領導工作。

技術組主要職責包括：（1）執行領導組下達的應急指令；（2）負責應急行動物資器材的準備；（3）負責處理現場一切故障現象；（4）隨時向領導小組匯報應急工作的進展情況；（5）負責聯系相關廠商和技術人員，獲取技術支持。

5.2 應急標準

研究網站安全隱患，結合我局網站管理現狀，確立應急標準：（1）網站、網頁出現非法言論；（2）黑客攻擊、網頁被篡改；（3）突發事件發生后大量并發訪問；（4）軟件系統遭受破壞性攻擊；（5）設備安全故障；（6）數據庫安全受侵害；（7）感染病毒。

5.3 應急流程圖設計

如圖2所示。

6 結束語

網站信息安全防護與應急是一項綜合性和專業化程度較高的安全技術服務措施，制度建設是基礎，隊伍建設是保證，技術手段是根本。網站安全隱患和安全時間是所有網站管理人員不想遇到但又不可避免的事件，只有通過加強日常的管理和維護，不斷完善防護與應急機制，提高技術水平和工作的責任心，才可以有效抑制網站安全事件的發生，保障網站的安全正常運行。

參考文獻

[1] 劉寶旭，陳秦偉，池亞平等.基于模型的網絡安全綜合防護系統研究[J].計算機工程，2007，33（12）：151～153.

[2] 張帆，劉智.網站安全事件的應急響應措施討論[J].黃石理工學院學報，2008，24（2）：38～40.

[3] 陳勝權.基于USB Key的政府門戶網站保護方案[J].信息安全與通信保密，2007（11）：36～39.

[4] 張薇.論政府門戶網站安全保障體系建設[J].黑龍江科技信息，2008年（21）：66～66.

[5] 劉少英.防病毒策略在政府門戶網站中的應用[J].網絡安全技術與應用，2003（5）：20.

[6] 楊莉.政府網站的安全性問題研究[J].科技管理研究，2001（6）：77～79.

[7] 曹颯.信息整合是地震政務網站建設的基礎和關鍵[J].國際地震動態，2008，1（1）：34～38.

[8] 陳錦華.計算機網絡應急響應研究[J].計算機安全，2007（12）：50～52.

基金項目：

篇（4）

[中圖分類號] tp39； tu714 [文獻標識碼] a [文章編號] 1673 - 0194（2013）07- 0059- 03

1 引 言

為加強企業安全生產應急管理，完善應急預測預警、信息報送、輔助決策、指揮調度和總結評估等應急管理工作，嚴格企業安全管理，及時排查治理安全隱患，有效預防和妥善處置安全生產事故，加強安全應急信息系統的建設已成為實現上述管理目標的必要手段。

從應急業務本身特點來看，突發事件的應急救援指揮需要上級機關、國家主管部門參與決策。因此，企業需要建立應急管理平臺，使參與應急救援指揮的各部門都能夠基于該平臺開展救援任務下達、作戰指揮部署、救援分析決策、指揮意圖展示等工作，從而為實現快速的應急救援指揮提供保障。

從應急管理現狀來看，突發事件情況下現場災情、事故發展態勢、周邊信息難以獲取。企業需要將生產環境和實際狀況真實再現，基于此真實場景進行災情的模擬，將獲取的災情信息直觀展示，在突發事件情況下快速定位到現場場景，為人員快速疏散提供幫助。

因此，無論是企業的日常安全監管和應急管理，還是突發事件的應急救援，都需要一個基礎可視化的信息平臺進行信息的直觀展示和有效管理，為企業的安全平穩運行提供有力的保障。

2 需求分析

應急管理需解決平時針對應急預案模擬演練的有效性，突發應急事件發生時應急響應的速效性，并驗證應急預案的實用性。

充分利用現有信息系統，進行信息整合，實現信息綜合管理，為突發事件發生時的應急響應提供支持。

需要將裝置區域、設備設施以及管線清晰直觀展示，并關聯查詢詳細屬性信息。

需要建立一套隱患動態管理機制，將廠區內各隱患從排查、整改到消除全過程管理起來，及時有效消除裝置存在的隱患。

需要將日常設備檢修維護信息統一儲存管理，便于直觀查詢調閱。

3 系統建設

3.1 系統設計策略

系統設計策略參見圖1。

3.2 系統總體架構

三維應急管理系統是安全應急管理的現代化管理手段，是企業信息化的發展趨勢。系統層次結構如圖2所示。

本系統是建立在三維gis平臺基礎之上的，將廠區設備、設施管線各類基礎數據進行采集、整合與植入，包括基礎地理要素、設計施工數據、廠區運營數據、周邊社會經濟信息等。完成三維gis平臺建設和基礎的數據整合后，就可根據業務需求建設三維應急管理系統，開發其上的各個應用模塊。同時，結合企業實際情況，可以擴展其他業務，如設備完整性管理、相關外系統的信息集成。

該層次結構充分考慮到系統的靈活性和未來的擴展性，無論是擴展更多的地理場景、業務數據、專業模型，還是開發更多的應用系統，都能借助平臺提供的各類服務來方便快速地完成。

3.3 系?a href="baidu.com" target="_blank" class="keylink">陳嘸仄松杓?

擁有web服務器，3d-gis服務器，應用服務器及數據庫服務器。服務器的描述為：

3.3.1 web服務器

以web的形式數據、進行數據交互。web程序操作快捷、方便，集成支持系統功能和集成其他服務器功能靈活，可以超鏈接的形式集成支持系統web服務器，也可以com組件、網絡等形式集成應用服務器、3d-gis服務器、數據庫服務器功能。

3.3.2 3d-gis服務器

存放地理信息數據、數字場景數據、各種模型等。為空間量計算等gis操作功能提供支持。

3.3.3 應用服務器

進行用戶登錄的認證管理，可根據負載來自動調整用戶使用的服務器。提供系統的自動升級功能，當系統的版本改變時，可以進行客戶端的自動升級功能，不用每個客戶端進行重新安裝。

3.3.4 數據庫服務器

安裝數據庫軟件，存放除地理信息數據以外的所有數據，并對數據進行管理，如：生產工藝流程、危險源、應急預案、歷史災情、系統配置等，并

對所存數據進行同步管理操作。

3.4 數據庫設計方案

各業務系統通過地理信息共享平臺（中間層）訪問數據層，實現信息的共享、交互、集成。數據層包括基礎地理信息數據庫、設備監控數據庫、動態業務數據。基礎地理信息數據庫包括各類地圖數據、遙感影像數據、周邊社會環境數據。業務數據是指各業務部門日常工作流程所產生的數據。

三維應急管理信息系統是個復雜的大系統，一方面需要在應用層與數據層之間加入中間層，從技術層面上進行信息采集整理、信息分析處理、信息輸出，實現空間數據的共享、融合；另一方面需建立一整套完整的數據組織標準、數據維護標準、數據管理標準，保證地理信息共享平臺的正常運行。中間層還需要提供系統安全管理、系統性能監控、均衡網絡負載、標準數據交換等功能，在應用層與數據層之間建立一條安全、可靠的“訪問通道”。使用sql server 2005標準版，可滿足系統對數據庫的安全性、高性能、可靠性的要求，且實施性價比高。后期系統的可擴展性好。

4 系統功能及要求

4.1 地理信息及場景全息化展示

4.1.1 三維地理信息構建

三維場景中的廠區建筑、設施設備等均采用實體建模，用戶可以實時查看關注實體的地理位置，并可以編輯和拖放，便于用戶根據生產規劃調整和改擴建項目情況自行更新場景信息，提高系統使用維護效率，降低維護成本。系統支持實時地理信息查詢、標繪等功能，用戶可以在三維場景下進行道路、建筑物、區域等信息的標繪。

4.1.2 工藝流程信息管理

系統提供工藝流程可視化制作工具，不僅可以顯示整個工藝流程的線路、流經設備的名稱和屬性參數，而且可以通過對工藝流程動態演示的方式實現對員工的生產工藝培訓。通過生產過程中的主要設備、工藝流程的查看功能，了解介質名稱、流向等信息。

當突發事故發生時，可以通過工藝流程的動態演示查看與事發設備相關聯的設備、管線、閥門等，以便于應急指揮人員根據事故情況及時關斷受影響的工藝過程，避免次生、衍生事故的發生，最大限度地減少事故損失。

4.1.3 設備設施可視化管理

系統可對廠區內設備設施進行管理。將設施設備分類管理，可在三維場景中查詢設備設施的地理位置、基本屬性等信息，通過系統設備編輯器實時動態編輯設備屬性信息。可對任意設施或裝置提供多種查看方式，包括隱藏外層、透視、超視圖瀏覽等。在三維場景中系統可以顯示地下設施的位置，在場景中點擊目標對象就會將地表其他覆蓋物隱去或半透從而實現直觀查看的效果。

4.1.4 地質災害區域查詢

對廠區內容易遭受大風、暴雨等氣象災害的地點，可以在系統三維地景中標繪其位置或影響范圍，實現邏輯信息可視化。通過錄入歷史災情信息和可能引發災害的氣象條件進行地質災害預警，當可能有惡劣天氣出現時，系統可根據前期標繪的地質災害和氣象災害易發地點、災害條件，自動篩選排查可能發生的災害，并可自動鎖定報警地點。

4.1.5 空間測量標繪

系統可通過對圖進行空間量測等操作，支持地表距離、直線距離、投影距離測量，地表面積、投影面積測量，高度、坡度、北向夾角測量等。

4.1.6 系統設置維護

系統提供豐富的管理維護功能，可以對系統中所有信息進行實時的日常維護，實現數據同步；還可以根據實際角色需要進行設置管理；保證系統正常運行，當災情發生時數據能夠及時更新。

4.2 日常安全生產管理

4.2.1 安全設備設施信息管理

通過系統可直觀地查看廠區內的消防設備、設施的位置，用戶不但可以查詢消防水、消防炮等設備的屬性信息，還可動態展示消防設備的有效作用半徑，為突發事故的應急救援提供決策支持。

4.2.2 重大危險源信息管理

將企業內的重大危險源信息進行分類匯總并保存，用戶可以在三維場景下全方位、多角度地定位查看危險源的空間分布，如查看儲罐等重大危險源的基本屬性信息及圖片。在查看重大危險源的基本信息時，可隨時調閱相關聯的應急預案。

4.2.3 重大危險源風險評估

系統提供兩種風險評估的方法。一種是通過集成的火災、爆炸、擴散專業事故后果評價模型，結合廠區的實際天氣狀況、事發設備類型、事故類型等分析出重大危險源的事故影響范圍和后果

。另外一種是根據企業的安全預評價報告，將某些重大危險源的泄漏擴散、火災爆炸事故的危險評價結果進行集成并可視化展現，用戶只需選擇關注的區域、設備、事故類型等，系統會給出模擬計算的結果，并結合三維場景進行可視化展現。

4.3 全息化應急預案管理

系統可提供專門的全息化預案制作工具，結合真實的三維可視化場景，可將文本預案進行全息化制作，并將全息化預案進行保存和動態展示。在平時可作為預案培訓教材，并在突發事故情況下輔助應急指揮人員正確下達指令，快速、有效地應對突發事故。

企業上級部門或當地政府安全監管部門也可以通過各自的三維應急平臺查看企業已制訂的各種預案情況，并可通過預案推演驗證預案的合理性。

4.4 應急響應與輔助決策

4.4.1 應急資源查詢管理

應急資源查詢管理模塊可以對企業內應急人員和機構、應急裝備物資、周邊應急救援力量、救援專家信息、應急避難場所等進行管理及可視化查詢顯示。通過系統分類列表可以定位查詢和顯示某一類或某一個應急救援機構及應急物資情況，并以著色、閃爍、圖標、動態標牌等方式立體展示應急資源的數量和分布情況、救援力量的分布和救援路線、道路封閉情況等信息。

4.4.2 現場災情三維再現

系統可將整個救援過程進行全息化制作，并傳給不同的人員。通過上報的事故信息以及對應的三維畫面，分公司、總公司的領導、專家及其他應急相關人員能夠及時、詳細地了解現場情況，結合歷史類似事故的處置措施及結果，采取相應的救援措施。

4.4.3 救援路線尋優

系統提供路由分析功能，可按時間最短、路程最短等方式規劃出最佳的應急疏散及救援路線，同時三維顯示需疏散區域及應急避難場所，通過將所規劃路線與事故推演結果進行對比，對可能受到影響的道路會做出警戒提示。

4.4.4 災情推演與輔助決策

系統可模擬火災、爆炸、氣體泄漏擴散事故，通過集成專業的事故后果分析數學模型，根據事故情況和實際環境參數進行災情推演，在系統中輸入災情發生的位置、事發物質的特性，結合風向、風速、溫度、濕度等氣象信息，可通過數學模型分析出事故的爆炸范圍、擴散范圍、死亡半徑、重傷半徑、安全距離等關鍵數據，并能夠通過三維畫面展示模擬分析的結果。根據事故狀況，可以提出初步的行動方案，并可對周邊的環境、建筑物的影響進行風險分析，為事故救援決策提供依據。

4.4.5 救援評估

在事故應急救援過程中，系統可以記錄現場匯報的事故災情、應急決策信息、應急資源調配過程、現場應急行動過程、應急決策指令等重要信息和經過，并實時更新傷亡人員數量、財產損失數量、調用應急力量的名稱和數量等，在應急救援（或應急演練）結束后可以將上述記錄的信息再現為一個完整的事故發展過程，可以為事故救援評估或演習點評提供參考依據。

4.5 無線視頻遠程監控系統集成

無線視頻監控系統的信息集成到三維應急信息展示平臺后，可借助該可視化平臺實現視頻監控設備的可視化查詢，在三維場景中調閱相應的視頻監控畫面，還可控制監控設備的云臺參數。通過與平臺的全息視頻監控畫面進行對比顯示，可彌補在突發事件或惡劣天氣情況下真實視頻監控畫面不清晰，無法快速掌握監控范圍內設備設施信息的缺陷，為突發事件的快速救援指揮提供有力的支持。

4.6 dcs系統集成

通過集成dcs系統的實時數據信息，實時監測相關設備參數的實時數值，可在平臺中直觀看到實時數據的分布情況及分類，查看重大危險源的實時數據，為事故應急救援提供準確的數據支持。

5 結 語

通過三維安全應急管理信息系統，建立了應對突發事件的的應急聯動機制；提高了企業應急管理信息系統的整體管理水平，適應企業高速發展帶來的應急管理新需求；有機整合現有應急信息資源，建立統一、集成、可控、共享的應急信息化協同平臺；基于“平戰結合”的理念，利于平時有效預防事故的發生和應急狀態下的快速應急響應； 集成實時數據，使安全應急與生產緊密結合； 提供可擴展應用的三維平臺，為建設“數字企業”，促進“兩化融合”奠定了基礎。

主要參考文獻

[1] 李永麗. 應急平臺建設若干問題研究[d]. 長春：吉林大學，2010：27-43.

[2] 李娜. 基于soa架構的應急管理信息系統

篇（5）

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2013）03-0197-02

隨著網絡技術發展和Internet 的普及，網絡信息安全的內涵也就發生了根本的變化。從本質上來講，網絡安全就是網絡上的信息安全，是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

在當今網絡互連的環境中，網絡安全體系結構的考量和選擇顯得尤為重要.采用傳統的防火墻網絡安全體系結構不失為一種簡單有效的選擇方案。

1 防火墻的定義及分類

防火墻是用來對因特網種特定的連接段進行隔離的任何一臺設備或一組設備，他們提供單一的控制點，從而允許或禁止在網絡中的傳輸流。通常有兩種實現方案，即采用應用網關的應用層防火墻和采用過濾路由器的網絡層防火墻。防火墻的結構模型可劃分為策略（policy）和控制（control）兩部分，前者是指是否賦予服務請求著相應的訪問權限，后者對授權訪問著的資源存取進行控制。

1.1 應用層防火墻（application-layer firewall）

應用層防火墻可由下圖簡單示例：

圖1 應用層防火墻

其中C代表客戶；F代表防火墻而居于客戶和提供相應服務的服務器S之間[2]。客戶首先建立與防火墻間的運輸層連接，而不是與服務器建立相應的連接。域名服務器DNS受到客戶對服務器S的域名解析請求后，返回給客戶一個服務重定向紀錄（service redirection record），其中包含有防火墻的IP地址。然后，客戶與防火墻進行會話，從而使防火墻能夠確定客戶的標識，與此同時包含對服務器S的服務請求。接下來防火墻F判斷客戶C是否被授權訪問相應的服務，若結果肯定，防火墻F建立自身同服務器S鍵的運輸層連接，并充當二者間交互的中介。應用層防火墻不同于網絡層防火墻之處在于，其可處理和檢驗任何通過的數據。但必須指出的是，針對不同的應用它并沒有一個統一的解決方案，而必須分別編碼，這嚴重制約了它的可用性和通用性。另外，一旦防火墻崩潰，整個應用也將隨之崩潰；由于其自身的特殊機制，帶來的性能損失要比網絡層防火墻要大。

1.2 網絡層防火墻（IP-layer firewall）

網絡層防火墻的基本模型為一個多端口的IP層路由器，它對每個IP數據報都運用一系列規則進行匹配運算[3]，借以判斷該數據報是否被前傳或丟棄，也就是利用數據包頭所提供的信息，IP數據報進行過濾（filter）處理。

防火墻路由器具有一系列規則（rule），每條規則由分組刻面（packet profile）和動作（action）組成。分組刻面用來描述分組頭部某些域的值，主要有源IP地址，目的IP地址，協議號和其他關于源端和目的端的信息。防火墻的高速數據報前傳路徑（high_speed datagram forwarding path）對每個分組應用相應規則進行分組刻面的匹配。若結果匹配，則執行相應動作。典型的動作包括：前傳（forwarding），丟棄（dropping），返回失敗信息（sending a failure response）和異常登記（logging for exception tacking）。一般而言，應包含一個缺省的規則，以便當所有規則均不匹配時，能夠留一個出口，該規則通常對應一個丟棄動作。

1.3 策略控制層 （policy control level）

現在引入策略控制層的概念，正是它在防火墻路由器中設置過濾器，以對客戶的請求進行認證和權限校驗，策略控制層由認證功能和權限校驗功能兩部分組成。前者用來驗證用戶的身份，而后者用來判斷用戶是否具有相應資源的訪問權限。

圖2 策略控制層

如上圖所示，C為客戶，S為服務器，F1、F2為處于其間的兩個防火墻。A1和X1分別為認證服務器和權限驗證服務器。首先由C向S發送一個數據報開始整個會話過程，客戶C使用通常的DNSlookup和網絡層路由機制。當分組到達防火墻F1時，F1將會進行一系列上述的匹配。由于該分組不可能與任何可接受的分組刻面匹配，所以返回一個“Authentication Required”的標錯信息給C，其中包括F1所信任的認證/權限校驗服務器列表。然后客戶C根據所返回的標錯信息，箱認證服務器A1發出認證請求。利用從A1返回的票據，客戶C向全縣校驗服務器Z1發出權限校驗請求，其中包括所需的服務和匹配防火墻所需的刻面。Z1隨之進行相應的校驗操作，若校驗結果正確，權限校驗服務器Z1知會防火墻F1允許該分組通過。在客戶器C的分組通過F1后，在防火墻F2處還會被拒絕，從而各部分重復上述過程，通過下圖可清晰的看到上述過程中各事件的發生和處理。

網絡防火墻技術是一項安全有效的防范技術，主要功能是控制對內部網絡的非法訪問。通過監視等措施，限制或更改進出網絡的數據流，從而對外屏蔽內部網的拓撲結構，對內屏蔽外部危險站點。防火墻將提供給外部使用的服務器，通過一定技術的設備隔離開來，使這些設備形成一個保護區，即防火區。它隔離內部網與外部網，并提供存取機制與保密服務，使內部網有選擇的與外部網進行信息交換；根據需要對內部網絡訪問的INTERNET進行控制，包括設計流量，訪問內容等方面，使內部網絡與INTERNET的網絡得到隔離，內部網絡的IP地址范圍就不會受到INTERNET的IP地址的影響，保證了內部網絡的獨立性和可擴展性（如圖3）。

目前的防火墻產品主要有堡壘主機，包過濾路由器，應用層網關（服務器）以及電路層網關，屏蔽主機防火墻，雙宿主機等類型。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但防火墻并不是萬能的，自身存在缺陷，使它無法避免某些安全風險，而且層出不窮的攻擊技術又令防火墻防不勝防。

2 結語

隨著INTERNET在我國的迅速發展，防火墻技術引起了各方面的廣泛關注，一方面在對國外信息安全和防火墻技術的發展進行跟蹤，另一方面也已經自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術提供安全保證，對其他方面的技術尚缺乏深入了解。防火墻技術還處在一個發展階段，仍有許多問題有待解決。因此，密切關注防火墻的最新發展，對推動INTERNET在我國的健康發展有著重要的意義。

參考文獻

篇（6）

監獄信息化系統是建立在計算機和網絡技術的基礎之上,實現起公共管理和服務職能的數字化和網絡化,將廣大干警從手工記錄中解脫出來,實現了信息共享,也使得各項工作更規范、準確,合乎法規要求。

1. 監獄信息網絡的基本構架

監獄信息網絡系統的基本構架為監獄內部辦公網(內部網)、對外信息網(外部網)和監獄信息資源庫。其中不公開的數據,只在內部網上實現信息共享;外部網是監獄向公眾公開網站,通過網絡實現監獄與民眾之間的雙向交流;監獄信息資源庫主要是存放監獄獄政信息和監獄共享資源信息等。無論是內網、外網之間都是通過TCP/IP協議進行構建,內網和外網之間需要物理隔離。

2. 監獄信息系統的安全需求。由于監獄部門的特殊性,對內部信息的保密程度要求也非常的高,對信息安全提出以下要求。

2.1 技術方面安全要求

(1) 物理層。保障網絡的物理環境、網絡設備和通訊線路的安全。防止天災人禍對環境、設備、線路造成危害,導致系統無法正常運行。

(2) 網絡層。信息在網絡上傳輸安全、防止外界入侵、以及加強由于網絡結構的共享性和開放性造成的網絡脆弱性。

(3) 系統層。保障操作系統和數據庫等系統軟件的安全。無論是Windows、Unix還是Linux系統,以及Oracle、SQL Server等數據庫系統,本身就存在一些已知和未知的漏洞,預防這些漏洞對系統造成安全隱患。

(4) 應用層。保證數據、文件及各種形式的信息的機密性、完整性及不可否認性。針對不同的應用,通過檢測其安全漏洞,采取相應的安全措施,來降低應用的安全風險。

2.2 管理方面安全要求。監獄信息化網絡系統是由人來操作,由于工作人員的違規操作,很容易對系統造成破壞或癱瘓;或者內部人員利用職務之便,進行違法操作,對系統和整個社會來說都是一個的威脅。所以還應建立相關政策、法規約束內部人員的行為。

3. 監獄信息安全的系統構架

3.1 技術安全體系設計。物理層安全是整個網絡安全系統的前提,其安全設計要通過環境、設備、線路三方面進行設計。

(1) 對機房的建設進行防火、防雷、放震等特殊設計,并且要進行機房屏蔽設計防止電磁輻射、電源接地和配置不間斷電源(UPS)保證服務器的正常工作。

(2) 重要的服務器、交換機、路由器要安排專人看管,配合安全管理手冊,限制人員的出入。控制單位內部員工的訪問操作,防止由于內部員工的操作,造成泄密事件的發生。

(3) 確保線路上分離內網和外網,將內部網和外部網徹底的物理隔離開,沒有任何線路連接,這樣可保證公共網上黑客無法連接內部網,保證極高的安全性。

網絡層安全包括設置防火墻、入侵檢測和VPN等方面的設計。

(1) 通過配置防火墻中的安全策略來有效阻斷網絡外部的攻擊和非法訪問。

(2) 利用"入侵檢測系統"連續監視網絡通訊情況,尋找已知的攻擊模式,當它檢測到一個未授權活動時,軟件會以預定方式自動進行響應,報告攻擊、記錄該事件或是斷開未授權連接。"入侵檢測系統"能夠與其他安全機制協同工作,提供有效的安全保障。

(3) 利用MPLS(Multiprotocol Label Switching多協議標簽交換技術)VPN構建了一個跨越不同地域的上下級之間和內部網絡之間的虛擬專用網,通過對網絡數據的封包和加密傳輸,在因特網上建立一個臨時的、安全的連接,從而實現在公網上傳輸私有數據、達到私有網絡的安全級別,就相當于建立一條專線連接遠程的辦公室,降低網絡設備的投入和線路的投資,同時實現了網絡之間的安全通訊。

系統層安全主要針對操作系統安全和數據庫管理系統安全。服務器端采用Windows 2000 Advance Server操作系統,客戶端采用Windows 2000操作系統,合理配置系統自身所提供的安全機制并定時掃描系統漏洞,及時發現并彌補系統漏洞。采用了SQL Server數據庫管理系統,定期對系統和數據進行備份,以保證系統和數據的安全。

應用層主要是應用軟件保證安全,包括身份認證和訪問控制、數據安全管理、有效的防病毒系統和監控系統的建立。

(1) 身份認證與訪問控制系統是以密碼技術和公鑰基礎設施PKI(Public Key Infrastructure) 技術為核心,以數據加密、訪問控制等安全技術為基礎,在網絡上實現了強有力的身份認證和訪問控制功能。CA證書服務器主要負責接收證書申請、驗證申請中的信息和申請者的身份、頒發證書、吊銷證書以及證書吊銷列表(CRL);數字證書庫保存了已經簽發的數字證書及公鑰,并且為用戶提供下載所需其他用戶的證書及公鑰;RA服務器主要負責處理用戶申請、用戶撤銷等請求,管理用戶信息。

(2) 每個合法用戶分配私有目錄-文件保密柜。所有進入該私有目錄的文件都將被自動加密,移出該目錄的文件將被自動解密。為保證私有信息的私密性,任何用戶都不能查看和操作其他用戶文件保密柜內的文件。

(3) 建立有效的防病毒系統,對網絡通訊中的數據實行監控,并對系統進行定時掃描、殺毒,減少病毒侵害帶來的損失。

(4) 建立有效的監控系統,對計算機用戶的行為進行監督管理,將使用過程中重要信息(機號,操作人等)記錄到審計文件中,管理人員可以由此發現"可疑"情況,及時追查安全事故責任。

3.2 管理安全體系設計

(1) 建立一套職責明確的管理制度,以便分清職責,互相監管。

(2) 建立密碼管理制度,由工作人員分段掌握,定期更換和控制擴散。

(3) 加強有關資料的檔案管理,嚴格配置修改的批準程序和檔案入庫登記,防止外流、外泄。

(4) 依法管理,追究行為人因故意或過失對網絡造成危害的法律責任。

好的網絡安全解決方案,可以有效的保證監獄信息的安全。從監獄特殊化安全著手,對其信息系統的安全問題進行了探討研究,并提出了有效的解決方法,實施到實際當中,取得了很好的效果。

參考文獻

[1]蔡立軍.計算機網絡安全技術[M]

篇（7）

中圖分類號TP3 文獻標識碼A 文章編號 1674—6708（2012）76—0221—02

煤礦是我國重要的能源產業支柱，它在我國的國民經濟中占有不可替代的重要作用。但是煤礦的安全問題，一直是困擾行業的重點問題，隨著煤炭行業的發展，各種安全事故也頻繁發生。現代計算機信息技術的飛速發展，使煤礦的安全管理問題得到了有效的改善。將計算機信息技術運用到煤礦安全管理當中，不僅能夠解決安全問題，還能夠大大提高管理效率，是一種既科學又實用的管理手段。

1 基于計算機信息技術的煤礦安全管理系統

煤礦安全管理系統主要是應用計算機的信息技術，對各種安全信息進行高效、科學的處理。計算機安全管理系統可以說是煤礦持續發展基礎，其主要的管理內容是對安全信息進行采集、傳輸、處理及應用。目前煤礦安全管理信息系統主要依據C/S（客戶與服務器）、B/S（瀏覽器與服務器）兩種模式來進行開發。其中網絡技術的不斷發展，使B/S這種模式在煤礦安全管理方面的應用優勢更加明顯。對于煤礦來說，采用基于互聯網形式的煤礦安全管理系統，不但能夠滿足企業自身安全發展的需要，還能將企業的影響力通過網絡系統擴大到各個領域，使煤礦的安全管理系統發展成具有綜合功能的計算機管理系統。

2 計算機信息技術的作用

2.1 集中管理的高效性

在煤礦安全管理中，采用計算機進行集中管理，并對各種安全隱患信息進行處理具有一定的高效性。采用計算機信息技術進行管理，能夠使礦區的管理者通過網絡以最快的速度了解全礦的安全現狀；礦區領導也能夠以最快的速度，對生產現場所存在的安全隱患進行及時有效的控制；基層單位也能夠通過計算機信息技術快速的落實上級有關安全管理方面的政策和要求。采用計算機信息技術從根本上解決了信息傳遞不流通的問題，也有效改善了安全隱患整改不徹底現象，使礦領導能夠高效、集中地對諸多安全問題進行處理。

2.2 安全監控的實時性

計算機信息技術的有效應用不僅能夠規范管理領導、區隊、安監人員等管理人員的監督工作，還能夠對各井的安全管理進行實時監控。對抓“三違”和查隱患工作進行靜態監控和動態的考核。使安全監控工作全面落實到全礦的每個環節、每個角落。

2.3 信息交流的公開性

基于計算機信息技術建立起的網絡交流平臺，能夠有效的促進基層區隊與礦領導的溝通和交流，并使這種溝通和交流方式更具公開性和公平性。這就能夠使礦區領導更加及時地掌握和了解基層職工的工作狀態和生活困難。從而使各種信息能夠在網絡中傳達通暢。

2.4 隱患處理的科學性

基于計算機信息技術的實時監控系統，能夠及時發現各種安全隱患，并進行預警處理。計算機信息處理系統能夠對隱患進行科學的統計和分析，并使這種分析流程更加簡化和快速，對隱患分類更加明確。通過計算機對隱患進行專業的類別分析，從而使安全管理人員能夠直觀地對隱患的危險等級進行了解；安全管理人員也可第一時間將隱患傳遞給責任單位和負責人員。并在電腦上進行不斷的預警，督促責任單位或者人員對隱患進行及時處理，進而避免安全事故的發生。

3 計算機信息在煤礦安全管理的具體應用分析

近年來，各軟件和系統的開發商們對煤礦安全管理系統進行了深入的研究和分析，也研發了一些比較成功的安全管理系統。但是無論哪種軟件產品從總體上來講，都可以劃分為安全檢測、安全監控、實時通訊和信息管理等幾大部分。從研發的目標上來看，一般系統都可分為以下幾個模塊：

1）安全信息收集

對安全信息進行收集，主要通過安全人員對檢查過程中的安全信息進行錄入，將安全信息錄入到電腦以后，通過信息處理系統進行分析和處理，從而方便管理人員對安全信息進行全面掌控。

2）交接班管理

這種模塊主要用于安檢人員對交接班過程中的問題進行記錄和處理。當班次交接時，可方便對上班次發現的未解決問題和還沒有檢查到的控制點信息進行確認，從而為本班次的安檢人員提供參考信息，同時也為明確責任提供依據。

3）安全規章制度

該模塊為煤礦各種安全管理規章制度的匯總，方便相關人員進行查詢、學習和參考。

4）病毒防治

病毒防治是每個計算機系統都必須具備的安全程序。它能夠有效預防各種計算機病毒對系統的危害。從而避免煤礦安全管理系統受到病毒侵害而發生崩潰、文件丟失或者設備損壞等問題。

5）安全報表管理

安全綜合報表是煤礦安全管理信息的匯總，通過報表可以使相關領導對煤礦的安全管理工作進行全面的了解和審核。

6）安全事故管理

此模塊能夠幫助煤礦正確記錄所有發生的安全事故，從而及時查明事故原因，并對事故原因進行綜合分析和警示預防。以此來作為安全事故預防和管理的重要依據。

7）安全技術措施管理

此模塊主要包括了安全技術措施制定、安全技術的流程和審核等。安全技術模塊從技術的角度出發，為預防安全事故提供了前提保證。

8）人員定位查詢

這個模塊通常由一些終端設備將井下人員的當前位置進行定位，使安檢人員能夠實時了解井下人員的運行狀況，為井下人員提供安全保障。

9）安全生產考核

安全生產考核模塊能夠對各部門或者個人的安全生產情況進行考核，制定嚴格的獎懲制度。此模塊能夠通過考核來對各部門或個人的獎懲情況進行記錄和評定，從而提高職工的安全意識。

4 結論

煤礦安全事故的預防工作是煤礦日常管理的重要內容，采用計算機信息技術來作為煤礦安全管理的主要手段，既直接的提高了安全管理的工作效率，也間接的提高了煤礦的生產效益，從而保證了煤礦能夠在安全的環境下平穩發展。

參考文獻

篇（8）

1 計算機信息系統安全技術

1.1 計算機信息系統安全體系結構

系統安全及信息安全保護兩個方面的內容構成了計算機信息系統。第一、為系統安全的提供更加有效完善的服務[2]。第二、信息系統的安全保護主要有可用性、保密性；完整性等特點。

1.2 網絡安全

社會的進步，帶動計算機信息系統不斷的向前進步，全球信息化的大環境必然更進一步深化。因為計算機網絡終端有分布不均勻性，網絡開放性、互聯性，聯結形式的多樣性等特點，這樣會使計算機網絡容易受惡意軟件、及其他非法途徑的侵襲[3]。因此，網絡信息的保密和安全問題成了網絡發展的關鍵，計算機網絡的安全措施更該重點治理各種各樣的脆弱性和威脅，網絡信息的完整性、可用性及保密性才能保證。

1.3 數據庫安全

網絡數據庫是計算機網絡技術的重要應用之一，可以為許多事件提供共同享有的數據庫，在計算機信息系統的安全技術的運營中，為使各用戶之間相互協調工作，數據參與共享。數據庫的每一個部分在沒有授權的情況下被修改或者存儲以及被惡意軟件攻擊是數據庫安全性的主要內容，為保證數據庫的安全運行，合理的預防和控制措施相當重要的。

2 信息系統應用的安全策略

2.1 信息系統及其特點

計算機信息系統是在通信系統和計算機系統之上的一種很復雜難辨的現代信息資源網絡系統。計算機網絡、通信網絡和工作站三部分構成了通信系統，在計算機和線絡之間或者計算機終端設備和線路間傳輸傳輸數據。軟件和硬件是構成計算機系統的重要部分，通過系統才能保證系統信息自動處理過程中終端設備及線路更好的順對接。

2.2 信息系統的結構模型

如果從結構角度方面分析，計算機信息系統網絡分為基礎功能、基礎設施、體系結構三個部分。

2.3 信息系統的安全性原理

計算機信息系統的技術安全就是為了控制對系統資源的非法使用和存取操作，信息系統內部通過各種技術方法得以保證。計算機信息信息資源的安全性一般分為靜態安全性和動態安全性，信息在存儲和傳輸過程中的密碼設置為靜態，數據信息存儲操作過程中的一系列措施為動態。針對計算機信息系統安全保護技術措施，網絡中的數據加密、存取控制、防火墻、殺毒程序、對用戶的身份驗證構成了計算機信息系統安全保護技術的主要措施。

2.4 信息系統安全性采取的措施

為了保證計算機信息系統功能的正常發揮不受影響，我們可以通過制定更為準確的有效改善方法。這其中包含審計跟蹤、數據備份恢復、風險分析等，根據這些操作性制度的實施，對信息進行制約是很有必要的。

3 信息系統開發的安全策略

3.1 信息系統開發的安全性原則

只有在操作系統的正常運營下信息系統才具有開發價值，在數據庫管理系統來使應用軟件版主完成。應用系統的安全性還要依托操作系統，DBMS等，更要依托當前計算機信息系統安全技術中核心部分應用軟件的安全性能。所以，把防范策略與技術及安全管理運用在計算機信息管理系統蓬勃發展的過程及開發階段中，才能將蓄意的位授權存取能力和系統抵御意外的能力不斷提升，使未授權的數據仔仔任意傳播利用，因此企業信息安全的完整性、有效性及機密性得到了保證。

3.2 信息系統開發的安全層次

以往的C/S模式被B/S模式取代，是很多問題得到了解決，這樣更加方便廣域的分部管理、性能穩定、操作方便、遠程數據傳輸安全更可靠，客戶端軟件對平臺無關性等多方面的優勢，當前發展中，B/S模式已經成了網絡應用系統的最主要體系。

3.3 信息系統的安全服務

第一、數據的保密性，操作信息系統中有需要進行保密的信息要通過合理的方式向相關人員透露，例如數據加密等。第二、數據的完整性，保證數據有效、精確及安全，數據完整性受損、非法用戶級合法用戶對數據的不合理利用電腦病毒破壞等都是威脅數據庫完整的因素。第三、身份鑒別，當用戶想要進入信息系統時，應該對用戶進行合法的身份驗證，通常所用的身份鑒別可以通過用戶名/口令體系或者ID磁卡等設備來完成。第四、訪問控制、進行身份驗證的即使用戶是合法的也要根據用戶的不同級別設定權限才能進行訪問加以限制。

3.4 信息系統的安全結構模型

一種或多種安全對策保障安全服務，一種或多種安全服務可通過一種安全對策來保證，不同的安全對策在進行安全服務時，可以通過一個或者多個層次進行。

[參考文獻]

篇（9）

中圖分類號：TP3　文獻標識碼：A　文章編號：1007-3973(2010)010-050-02

現代信息技術發展迅猛，Intemet已經在全球范圍內得到普及和應用，計算機網絡技術也越來越多的服務于人類生活，并給信息技術行業帶來了更多的發展機會和經濟效益。目前，有大部分的網絡攻擊事件都是由內部人員發起的攻擊或者濫用網絡資源而造成的，該類攻擊占網絡攻擊的多數，因此，內部網絡安全問題應及時解決，確保局域網的安全穩定運行

1、無線局域網安全發展概況

無線局域網802.11b公布之后，已迅速成為真實標準。但自從它開始實施以來，當中的安全協議WEP就遭到人們的質疑。例如，美國加州大學伯克利分校的Borisov，Goldberg和Wagner最早提出WEP中協議存在設計問題。而我國自2001年開始著手制定無線局域網安全標準，再通過各大科技院校的聯合協作，經過2年多的努力，終于制定出無線認證和保密基礎設施WAPI，現已成為國家標準。

2、局域網網絡安全設計的原則

2.1　網絡信息系統安全與保密的“木桶原則”

計算機網絡系統結構復雜，在操作和管理過程中，會因為各種漏洞而引起系統安全問題，由于多用戶的網絡系統本身的情況復雜，數據資源在共享時容易遭到非法用戶的竊取，安全性差。攻擊者尋找最容易滲透的部位，在系統的薄弱地區進行攻擊。因此，我們應全面的做好系統安全漏洞修補、對一系列的安全做具體分析、并評估和檢測，這是保證系統設計安全的關鍵。

2.2　信息安全系統的“有效性與實用性”原則

在保護局域網系統安全的同時，不得影響系統的正常運行以及合法用戶的正常活動，但網絡信息的安全和信息資源的共享還存在一些矛盾：首先，為了更好的修補系統漏洞，技術人員會采取各種技術手段進行修補；其次，系統漏洞的修補必會給用戶的使用帶來不便，在當前的網絡環境下，網絡服務要求具備實時性，容忍安全連接和安全處理造成延誤和數據擴張都會影響網絡服務的質量。如何在確保安全性的基礎上，將安全處理的運算量減到最小，減少不必要的服務器儲存量，是現代計算機網絡信息設計者迫切需要解決的問題。

3、局域網的不安全因素

3.1　局域網網絡安全管理體系需建立完善

網絡用戶數量大，對局域網的網絡安全見解并不清晰，他們認為：網絡安全的關鍵還在于網絡管理員的技術投入，只要實現必要的技術投入，網絡安全問題必可迎刃而解。實際上，技術上的加強只是保護網絡安全的一個方面，而系統上的安全管理才是重點。俗話說“三分技術、七分管理”，這樣的道理同樣適用于局域網安全管理。例如，我國勝利油田制定的網絡安全管理制度過于宏觀，不利于各二級單位具體執行操作，甚至連花費大量經費買回的軟件也無法保證正常使用，雖然技術上符合國家要求，但由于勝利油田的相關標準太宏觀，難以操作，執行力不強，有時出現隨意更換IP地址，導致地址沖突而無法上網，網絡服務器難以履行下載任務，而病毒庫也無法升級，系統中的殺毒軟件形同虛設。因此，我們應根據網絡安全的要求和服務規范建設合理的安全制度，健立完備的、具有指導性和可操作性的標準、規范，并不斷完善制度，提高可執行性。

3.2　網絡安全意識淡薄

網絡是現代信息科技技術發展中新事物，大多數人利用網絡進行休閑、娛樂等活動，卻常常忽略網絡安全問題，在使用過程中存在僥幸心理，缺乏安全意識。甚至有人認為，網絡安全問題只是小問題，即使開展網絡安全管理，也很難取得實質的經濟效益，安全技術投資難以見效；還有人認為，網絡安全問題與個人無關，只需要網絡管理員加強安全技術，網絡的安全威脅問題就不會出現。由于網絡安全意識的淡薄，導致網絡安全問題愈發嚴重。

3.3　網絡安全維護資金投入嚴重不足

很多網絡管理部門不想投入過多的資金進行網絡維護，也沒有指定正確的網絡維護費用量，導致費用年年萎縮，計算機信息系統未得到更新，信息數據易被人盜取，所以，大多網絡管理部門只能力爭，能否爭取到或者能爭取多少運維費用存在很大變數，造成計算機系統硬件設備的落后，網絡安全無法得到保障。

4、安全機制與策略

4.1　建立MAC地址表，減少非法用戶的侵入

如果網絡用戶接入不多，可通過其提供地唯一合法MAC地址在其接入的核心交換機上建立MAC地址表，對所有進入的用戶進行身份驗證，預防非法用戶的非法接入。同時。可以在AP中對批準接入的MAC地址列表進行手工維護，這個物理的地址過濾方案要求AP中的MAC地址列表能隨時更新，但擴展性差，難以實現服務器在不同AP之間的漫游，而且MAC地址被認為是可以偽造的，因此，這是比較低級的地址授權。

4.2　采用有線等效保密改進方案

(WEP2)IEEE802.11標準中對一種被稱為有線等效保密(WEP)的可選加密方案做了規定，其目標是為WLAN提供相同級別的網絡有效使用。WEP在鏈路層采用RC4對稱加密算法，可以禁止非法用戶的進入和非法接聽使用。有線等效保密(WEP)方案主要是為了實現三個目標：接入控制、數據保密性和數據完整性。

4.2.1　認證

當兩個站點之間要建立網絡連接時，首先應通過認證，執行認證管理的站點應管理認證幀到一個相應的站點，IEEE802.1Ib標準對兩種認證任務有所定義：第一是開放性的認證，即802.11b默認的認證方式，這是認證方法中較簡單的一種，分為兩步，首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀：然后，接收站發回一個提醒它是否識別認證站點身份的幀。第二是共享密鑰認證，這種認證先假定每一個站點都需要有獨立的802.11網絡的安全信道，已經接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密(WEP)。

4.2.2　WEP-WiredEquivalentPrivaey加密技術

WEP安全技術來自于RC4的RSA數據加密技術，它可以滿足高層次的網絡安全要求。WEP為無線局域網提供了一種安全運行方式，WEP是一種對稱加密，加密和解密的密鑰及算法相同，WEP的目的是控制接入，預防未被授權的網絡訪問。安全維護的方式是通過加密和只允許有正確WEP密鑰的用戶解密來保證數據的安全流通。IEEE802.11b標準一共提出了兩種網絡WEP加密方案。一是提供四個缺省密鑰，為所有的用戶終端提供包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統進行安

全通信和數據共享了，缺省密鑰所存在的安全問題就是，它在被廣泛分配的過程中容易遭到漏洞威脅。二是，在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全，但在用戶終端增加的過程中，終端分配密鑰也會更加困難。

4.3　IEEE802.11i的設計和實現

限于篇幅，本文僅介紹802.11i的核心部分TKIP算法的實現。

MSDU的加密和解密

規范中對MIc的算法定義如下：輸入：Key(KO，K1)和MI-Mn-I輸出：MICvalue(VO，VI)K，M和v都代表了32位的字。其中密鑰KO，KI是從TK2的第0-63位映射過來的。MO-Mn_I表示填充了的數據(sA+DA+protrity+DATA)。MIC函數還調用了規范中定義的b(L，R)的函數。TKlP的MSDU加密過程其實就是計算MIC值的過程，而MSDU的解密過程其實就是驗證MIC值的過程。

MDPU的加密和解密它們分為兩步，首先通過混合函數生成WEP密鑰和Iv，然后進行加密。TKIP的混合函數是要生成wEP的128位的加密(包括24位的IV)密鑰。它由兩個階段的混合函數組成，它們的實現在規范中都由詳細的說明。

階段一和階段二都依賴s一盒，其定義

如下：#define s-(v16)(sbOx[O][L08(v16)Sbox[1][Hi8(v16)])其中Sbox為二維常量數組，eonstul6bSbox[21[256]=“…)，(…))。L08是獲得16位參數v16的低八位的函數，Hi8是獲得高八位的函數。規范對階段一的定義如下：入：傳送方的地址TAO…TA5，臨時密鑰TKO…TKl5-HTSCO…TSC5。輸出：中間階段密鑰TTAKO…TTAK4規范對階段二的定義如下：輸入：中間階段密鑰TTAKO…TTAK4，TK-glTSC輸出：WEP的種子WEPSEEDO…W EPSeedl5發送的時候從priv獲得tx-iv32(TSC[2…5])]I和TKl(key[0…15])和發送緩沖區skbuff獲得傳送地址TA[O…5]，輸入到階段一的混合函數計算出臨時TTAK[0…5]。然后再把TTAK[O…5]-tx-ivl6(TSC[O…l])輸入到階段二的混合函數，計算出WEP IV和密鑰。生成的WEP密鑰后，就可以用它們加密數據，最后擴展skbuff把TSC等數據加密到頭部。接收的時候同樣先計算出wEP IV和密鑰，不過此時TSC是從緩7-Oskbuff獲得的。

4.4　無線入侵檢測系統

無線入侵檢測可以隨時監控計算機網絡的安全情況，但無線入侵檢測系統可以加強無線局域網的檢測以及對系統破壞的反應能力。無線入侵檢測系統可以以最快的速度找出入侵者，同時進行防御。通過該系統強有力的防范，保證局域網可以更安全的運行。

5、總　結

如今，網絡發展速度快，并且不斷更新完善，當我們在享受網絡給我們的生活帶來各種便捷的同時，還要清晰的認識到，各種局域網安全問題還是依然存在的。而網絡安全技術是系統綜合系統中的一部分，需要對局域網的各部分加強技術分析，利用各種安全技術，積極發揮局域網應有的安全服務功能，并對各種安全技術實行完善更新，及時適應現代局域網的發展，促進局域網安全治療的提高。

參考文獻：

[1]王順滿，陶然，陳朔鷹，等，無線局域網技術與安全[M]，北京：機械工業出版社，2005，09

[2]孫宏，楊義先，無線局域網協議802.11安全性分析[J]，電子學報，2003，07

[3]韓旭東，IEEE 802.11i研究綜述[J]，信息技術與標準化，2004，11

[4]李勤，張浩軍，楊峰，等，無線局域網安全協議的研究和實現[J]，計算機應用，2005，01

篇（10）

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（201 6）29-0062-02

1云計算的基本概念與應用

1.1云計算的基本概念

業界對云計算的各種定義有許多，以下對從美國國家標準和技術研究所提取的定義比較受業界認可，云計算的付費方式按使用多少計算，此類方式為用戶供應可用的，便利的，按需網絡訪問，加入到可配置的籌劃資源共享池，這些資源可以被快速供給，人員只要參與較少的管理工作，或更少的與服務提供單位從事交互。（其中包括網絡，存儲，服務器，應用與服務）對云計算應用的形式有很多種，比如當你應用一個資源的時候，客戶端不需要過高的配置，只需要基本處理能力，大部分的文件與數據處理都通過服務器來運行，并將處理后的內容通過壓縮經過互聯網傳遞給用戶。用戶則可以省去購買高配置硬件的資金，而運營商也無需花大量的精力財力來研發新的硬件設備，只需要對服務器進行升級。這樣運營商與客戶就可以在一定程度上達到雙贏的局面。

1.2云計算技術在企業層面應用

在云計算技術方面走在世界前列的甲骨文公司與海天輕紡集團合作海天輕紡集團的主要業務是進行高科技紡織產品的研發生產，集團是一家高科技公司，早已形成規模化的產業鏈。公司在產品的研發不斷成熟的過程中，其對ERP的需求也愈加強烈。甲骨文憑借一個全面的，全球和集成的企業資源計劃，以幫助財政部門，使用，項目組合管理和供應鏈管理。幫助進行財務、采用、項目組合管理和供應鏈管理。甲骨文云服務上使用最新的移動互聯網技術，關注客戶的用戶習慣和用戶體驗信息，對其進行分析和處理，用戶的采用程度可以提高。甲骨文的ERP套件支持金融財務、風險和控制管理、采購、庫存和項目組合管理。通過支持多個通用會計準則、多貨幣、多語言、多分支的全球企業，通過使用“甲骨文”，以確保客戶可以保持所有分支的客戶端從一個到另一個保持相同的過程。

1.3云計算技術在國家層面應用

在剛結束不久的G20峰會上，阿里云計算有限公司就為保障G20峰會的安全領域做出貢獻，在峰會準備過程中，阿里云對中國200多家政府網站進行了全面檢測，查找并處理漏洞，并在峰會期間攔截超1億次針對網站的攻擊，為峰會期間的重要網站安全做出貢獻。依照對未來的判斷，2018年全世界云算的市場容量有望突破790多億美元。由此可見云計算對國家安全與經濟發展有這舉足輕重的地位。

2云計算的安全事故

隨著移動互聯技術的不斷普及，云計算安全對國家安全與經濟發展的影響愈加重要。因此用戶在享受云計算帶來的利益的同時云計算的安全問題同樣的給予重視。微軟在2010年發生了云服務中斷的事故，事故造成美國多地用戶受到影響，隨后微軟聲稱故障得到解決，并說明是由于網絡基礎設施的問題造成的本次事故。可隨后的一個月內有發生了兩次同樣的事故。2011年同樣作為提供云計算服務的IT大亨也爆發安全事故，此次谷歌郵箱爆發了大規模的用戶信息泄流事件，15以上的用戶聊天記錄甚至帳號消失，谷歌極力發展云計算，但云計算中的存儲卻一再發生事故。亞馬遜，Facebook，Twitter等云計算的企業都曾因為云計算安全事故受到影響。

3云計算安全問題

3.1內部安全

現如今大部分安全系統都可以阻止來自外部網絡的攻擊，其實內部的安全問題往往更容易導致信息的泄漏。而對內部的安全問題也最容易被人們所忽視，內部工作人員如安全專家，工程師與系統管理員這些內部工作人員有較大的權限，并且更容易接觸到企業的核心信息，一旦企業工作人員通過合法的身份泄漏或損害信息完整性，就會對組織造成嚴重影響。

3.2云存儲與訪問安全

隨著信息技術的發展數據管理不僅僅是存儲和管理數據。而轉化為客戶所需的各種數據管理方式，云存儲的數據安全也存在各方面的威脅，如何建立安全可靠的云存儲機制與如何通過訪問控制來保護云數據安全成為服務提供商的重大課題。當用戶將數據傳輸到“云”時服務商同時擁有了對數據進行訪問的權限，云計算服務商自身權限管理存在疏忽就很容易通過非法的渠道得到用戶數據，導致用戶信息被泄露。同樣在用戶向“云端”傳輸數據時不嚴格加密也會導致用戶所傳輸的數據可能泄漏或影響數據的完整性。

3.3安全事故處理

為保證云計算核心資源的完整也就是數據的完整性。一旦放生災難，保護數據的完整性就變得尤為重要，不少企業就應為核心數據的丟失導致經濟利益受到巨大損害，安全事故處理不當極有可能造成數據的二次損壞，甚至威脅的運營商的存亡，因此如何在遇到安全事故的情況下保護云計算數據安全是擺在每個企業面前的課題。

4云計算安全對策

4.1云計算內部員工安全策略

云計算技術在引進在企業內部以前，企業的管理者和信息技術部門人員應當根據所在單位本身的詳細需要，以需求為根據對現實情況引進到公司內部的云計算戰略對風險性開始評估，根據計劃來評價云計算，并且到底會給所在單位帶來什么，是利潤還是威脅，利潤是多少，威脅在何處。企業IT管理部門需要認識到，云服務提供商可以作為企業內部IT部門的一個擴展。危機可能存在于企業內部與此同時云服務商也面臨這危機。關鍵的區別是，在企業內部可以更容易地驗證，執行和管理控制這些風險。

如今不少云計算服務商的方案內中都包括了例如SSAE審計和數據訪問以及數據中心等安全掌控和數據加密等類型標準，這些準則的達成不但能夠提升云計算安全方案的可靠性與安全性，在一般情況下的管理同樣提供了保障。

不管是私有云還是公有云，企業采納一種與本單位要求相適應的云計算部署方案而且以最快效率轉移到另一種新的信息技術服務形式當中，這中間必定有巨大的數據量，必定要用強大的加密技術來保證其安全。

4.2用戶身份安全加密認證

基于身份的安全技術意味著你可以跟蹤用戶的身份、機器用戶、數據、服務等，以便您可以仔細管理安全問題，確定誰可以訪問特定的服務，以及他們能夠通過這些服務做什么。例如，我們知道機器的特定身份可以調用服務，因為機器在允許呼叫服務之前已經被授權了。身份管理安全軟件系統通常需要一個資源庫來跟蹤身份，需要能夠對所有的參與者進行授權和認證。

加密是另一個標準的云服務安全機制。客戶和服務提供商應該能夠提供加密措施，在有需求的時候，以確保服務提供商和客戶的談話是保密的。當加密數據從一個系統中傳輸到另一個系統中，我們稱之為動態加密。

4.3確認云存儲數據的完整性

如今云存儲是云計算公司的重要業務之一，例如谷歌公司，亞馬遜公司，都推出了自己的云存儲業務，用戶可以將信息通過互聯網傳遞到網云當中，但在傳輸過程中有一些潛在的威脅篡改用戶數據，因此保護數據傳輸的完整性成為了一大問題，Hash算法可以保證輸入數據的完整性，當數據是散列算法時，會對數據進行處理，并輸出相應的代碼，稱之為信息摘要。在用戶發送的過程中會加人摘要來保護數據的完整性。

4.4訪問控制與權限設置

設立可靠的訪問控制策略從而有效的保護云資源的安全。根據設立的權限來控制用戶對資源的訪問，對不被授權的用戶無法訪問資源。保證了資源的完整性與保密性。在建立訪問控制策略時，主要遵循以下三個原則：最小特權原則、職責分離原則和多級安全原則。最小特權原則指用戶只能使用完成任務所要用到合理資源進行操作，不得進行其他不必要的操作也不得L問其他無關任務的資源。例如在企業當中員工可以訪問企業的一些保密資源，而不可隨意對企業的保密資源進行修改。職責分離原則指把管理權限進行分割處理，不同的權限交由不同的管理員。防止權力過大的同時，防止對權限的不合理運用。多級安全原則對不同的資源設立各級管理等級。根據訪問者的等級來設立相應的資源訪問，從而對云計算資源進行合理的保護與分配。

4.5解決安全事故標準方式

云計算企業在投入使用的過程中應建立一套標準的安全事故處理規范，一旦放生云計算安全事故，企業員工應按照科學的規章制度進行標準化的處理，保證事故影響降到最低。首先，員工應對安全事故進行評估，評估安全事故所造成的影響范圍。并聯系相關的安全處置部門尋求幫助，有必要的情況下需即使聯系警方協同處理。處置事故的成員在進行相應工作的同時需記錄人員名單及工作中的各種信息。響應安全事故的小組成員按標準化規章來處理，使處理過程變得高效。

4.6制定災難恢復體制

災難備份系統可以有效減少災難所造成的損失，此系統可以在數據受到不可預知損壞的情況下，通過其他的備份數據中心繼續為用戶提供服務。現如今無論是政府機關，交通，金融等行業都逐漸應用云計算服務，建立災害備份中心可提高了服務的可依靠度。

4.7建立系統的法律法規

篇（11）

事實并非如此，今年2月，Google Gmail郵箱爆發全球性故障，服務中斷時間長達4小時。據悉，此次故障是由于位十歐洲的數據中心例行性維護，導致歐洲另一個數據中心過載，連鎖效應擴及其他數據杯口，最終致使全球性的斷線。

3月中旬，微軟的云計算平臺Azure停止運行約22個小時，微軟至今沒有給出詳細的故障原因。不過，業內人士分析認為，Azure平臺的這次宕機與其中心處理和存儲設備故障有關。

除了Google和微軟的云計算服務出狀況外，去年亞馬遜S3服務曾斷網6小時。由此看來，云計算也未必百分百安全。雖然云計算廠商們屢次信誓以旦地宣稱，能夠保證高達99.99%的可靠性與安全，但用戶要相信，那0.01%微小的可能萬一降臨到自己的頭上，帶來的損失也是不可估量的。

當然，除了系統故障外，還存在以下隱患：

云計算安全缺乏標準

現在有一大批標準適用于IT安全與法規遵從，其中包括SAS交互管理(SAS Interaction Management)等服務，這此標準用于管理大部分業務交互關系，而這些交互關系肯定會不斷遷移到云計算環境上。

而與此同時，除非出現針對云計算架構的安全模型和標準，否則大部分風險以及出現問題后的責怪會直接落在IT部門的肩上，而不是云計算服務提供商。

IBM公司的安全、治理和風險管理部門主管Kristin Lovejoy也認為，最終，云服務的消費者要負責維護數據的保密性、完整性和可用性。所以對企業來說，必須有選擇地采用云服務，如果是非關鍵任務，可以放在云計算環境電如果是核心的、又是關鍵任務，肯定要把它放在防火墻后面。

云計算面臨潛在的隱私問題

據世界隱私論壇近日的一份報告聲稱，如果企業期望通過利用云計算服務來降低IT成本和復雜性，那么占先應確保在這個過程中不會帶來任何潛在的隱私問題。

你一旦把數據交給外人存儲，就會面臨潛在問題。企業可能常常甚至不知道自己的數據到底存儲在什么地方。信息有時最終出現在多個地方，每個地方可能需要遵守不同的隱私需求。企業還應當事先對托管服務提供商作一番調查，確保云環境中的數據安全和隱私措施至少與自己的措施一樣可靠知道云計算服務提供商落實了哪種業務連續性和災難恢復措施以及處理數據泄密事件的政策也很重要。一心想通過云計算削減成本的用戶往往會忽視這類問題，需要在合同中闡明隱私保護方面的內容。

那么是不是我們就對云計算可能存在的風險而對其避而遠之呢?事實上，任何創新都會有風險，我們總會找到降低和消除風險的辦法：

(1)控制數據位置。影響大小客戶的另一個問題就是數據所在位置，因為不同國家適用不同的隱私和數據管理法律.所以這對從事跨國生意的公司來說特別重要。比方說，歐盟對于個人方面的哪典數據可以保存及保存多久有著嚴格規定。許多銀行監管部門也要求客戶的財務數據保留在本國，而許多遵從法規要求數據不能與共享服務器或者數據庫上面的其他數據放在一起。

如今，用戶可能根本不知道自己的數據放在云計算環境中的哪個地方。而這個事實帶來了數據隱私、隔離和安全等方面的各種法規遵從問題。但數據位置不確定的這個問題正在開始變化，比如Google允許客戶指定把自己的Google Apps數據保存在何處，這歸功于它收購了電子郵件安全公司Postinie再比如瑞士銀行要求客戶數據文件保存在瑞士本國，Google現在就能做到這一點。

更深入一步就是能夠在云計算環境的多租戶架構上，把用戶的數據與其他客戶的數據實現物理隔離。但這種隔離技術有望通過目前尚處于初級階段但功能日益強大的虛擬化技術來實現。

(2)數據加密。數據加密能緩解無意或惡意透露信息有關的一部分隱私風險—這種加密既針對存儲在云計算服務提供商的服務器上的數據，還針對傳送給最終用戶的數據。另外，實施雙因子驗證方案來控制有人訪問云計算服務提供商存儲的數據，有望確保只有可以訪問數據的用戶才能看到數據。當然，如果企業各方面都做到位，并且事先都做好了工作，那么是自己存儲數據還是由云計算服務提供商存儲數據并沒有太大區別。