緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇網絡安全建設的背景范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

在我國互聯網事業不斷壯大的背景下，網絡安全工作逐漸引起人們的重視。要想進一步提升網絡安全建設工作，就要以數據加密技術為重要手段，從而提升數據保密性和安全性，使網絡環境呈現出安全性高、嚴謹性強及綠色網絡的狀態。對于網絡安全管理工作要進一步加大整合力度，提升對風險威脅的安全防護工作和計算機數據保密和管理工作。下面就以網絡安全為切入點，探討在網絡安全建設工作中如何更好地利用數據加密技術，進一步增強計算機數據的安全性，從而構建符合社會主義社會和諧發展的綠色互聯網網絡環境，提升網絡安全程度，保障人們的數據信息安全。

1.網絡安全與數據加密技術

1.1網絡安全的概述

網絡安全指的是在網絡系統的支配下，計算機中的硬件、軟件以及內含的所有數據信息在安全的環境中生存和作業，被不同形式的保護方式所保護，以免受到惡意病毒程序的攻擊與干擾，從而防止自有數據出現被破壞、被篡改、被竊取及被泄露等情況。網絡安全的維護和安全程度的保證是依靠網絡安全管理獲得的。

1.2數據加密技術的介紹

數據加密技術是以網絡信息數據為對象進行保障性質的計算機技術，目的就是維護計算機數據安全和信息管理系統的正常、穩定運行。數據加密技術是以密碼學為基礎，通過對信息數據進行加密算法的綁定和加密秘鑰的維護，實現數據的不可窺視和隨意調動，起到了數據信息的保護和隱蔽功能。從數據流角度來說，數據加密技術是利用有線路加密方式對信息源頭的終端進行密碼維護，不考慮信號源和數據的只讀性，實現任意數據形式的密鑰產生、分配、保存、更換與銷毀的―系列環節。

2.威脅計算機網絡數據信息安全的原因

2.1計算機數據信息管理系統被入侵

據相關數據統訛黑客通過非法入侵程序攻破對方互聯網防火墻，使計算機數據信息管理系統遭受任意窺視和數據竊取等，對數據安全和信息保密工作產生了很大程度的破壞，導致的后果非常嚴重。伴隨互聯網平臺功能多元化發展，在日常生活中，人們的個人隱私及信息數據等在網絡中的安全性相對來說低了很多。所以，在網絡安全中，針對計算機數據信息管理系統的防護工作非常重要，要進一步保障數據的安全性和保密性。如果計算機數據信息管理系統遭到了破壞，不僅對人們的信息保密帶來消極影響，更對人們的人身安全、財產安全等帶來非常重大的影響。

2.2計算機數據信息管理系統被破壞

當惡意破壞計算機數據信息管理系統時，主要是針對信息庫中的信息數據進行盜取和篡改。不法分子會進一步利用破壞程序對完好的網絡系統進行惡意破壞，讓程序無法正常運轉，并且自動擾亂正常作業程序。系統中的所有信息數據都處于解綁邊緣，只要黑客對數據進行二次復制，眾多數據就會流傳到互聯網中的任意一個角落，使得網絡安全被置于很低的位置。當計算機數據信息管理系統被破壞之后，計算機網絡系統的服務器就會被不法分子占領，其中服務器的密碼、網關掩碼及相關網絡程序的密碼和口令等都已經被對方控制和竊取，不法分子通過盜取密碼或者重新編制密碼之后，對整個計算機實現遠程控制，那么用戶所有的秘密就不再是秘密，會造成不可估量的損失。

3.數據加密技術在計算機網絡安全中的應用價值

3.1嚴格把控計算機數據信息管理

從網絡安全角度而言，要想提升網絡安全程度，最關鍵的就是從計算機數據信息管理系統入手。而計算機數據加密技術對于加強計算機數據信息管理系統的穩定性和防護性都具有非常關鍵的作用。通常情況下，計算機數據加密技術包括對計算機內部的數據維護、數據加密、權限設置、數據流量實時監控技術等。在此基礎上，計算機數據加密技術的數據備份功能能夠嚴格把握和監控數據庫的數據信息資源走向和狀態，將全能性宗旨放在首位，能進一步增強計算機數據管理性能。

3.2維護計算機信息安全

計算機數據加密技術在網絡安全管理體系中占據著非常重要的角色，因此，要科學合理地設計計算機數據加密技術，提升網絡安全工作效率，加強網絡安全性能。比如，通過計算機數據加密技術，使網絡安全中心大大提升對外來信息的審查度和監測度，對本地信息庫中的所有信息都實現了雙重保護功能，在防火墻的下，需要利用數據加密技術對數據信息管理系統中的每個文件進行解鎖，才有可能獲得信息資源。

3.3在電子商務中的加密功能

篇（2）

1前言

隨著工業化與信息化的快速發展以及云、大、物、智、移等新技術的逐步發展和深化實踐，制造業工業控制系統的應用越來越多，隨之而來的網絡安全威脅的問題日益突出。特別是國家重點行業例如能源、水利、交通等的工業控制系統關系到一個國家經濟命脈，工業控制系統網絡一旦出現特殊情況可能會引發直接的人員傷亡和財產損失。本文主要以軌道交通行業CBTC系統業務的安全建設為例介紹工業信息安全防護思路，系統闡述了工業信息安全的發展背景及重要性，以網絡安全法和工業基礎設施的相關法規和要求等為依據，并結合傳統工業控制系統的現狀，從技術設計和管理系統建設兩個方面來構建工控系統網絡安全。

2工業信息安全概述

2.1工控網絡的特點

工業控制系統是指各種自動化組件、過程監控組件共同構成的以完成實時數據采集、工業生產流程監測控制的管控系統，也可以說工業控制系統是控制技術（Control）、計算機技術（Computer）、通信技術（Communication）、圖形顯示技術（CRT）和網絡技術（Network）相結合的產物[1]。工控系統網絡安全是指工業自動控制系統網絡安全，涉及眾多行業例如電力、水利、石油石化、航天、汽車制造等眾多工業領域，其中超過60%的涉及國計民生的關鍵基礎設施（如公路、軌道交通等）都依靠工控系統來實現自動化作業。

2.2國內外工業安全典型事件

眾所周知，工業控制系統是國家工業基礎設施的重要組成部分，近年來由于網絡技術的快速發展，使得工控系統正逐漸成為網絡戰的重點攻擊目標，不斷涌現的安全事件也暴露出工控系統網絡安全正面臨著嚴峻的挑戰。（1）美國列車信號燈宕機事件2003年發生在美國佛羅里達州鐵路服務公司的計算機遭遇震網病毒感染，導致美國東部海岸的列車信號燈系統瞬間宕機，部分地區的高速環線停運。這次事件主要是由于感染震網病毒引起的，而這種病毒常被用來定向攻擊基礎（能源）設施，比如國家電網、水壩、核電站等。（2）烏克蘭電網攻擊事件2015年，烏克蘭的首都和西部地區電網突發停電，調查發現這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統里植入了病毒致使系統癱瘓造成停電事故。（3）舊金山輕軌系統遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統，造成上千臺服務器和工作站感染勒索病毒，數據全部被加密，售票系統全面癱瘓。其實國內也發生過很多工業控制系統里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業務系統里面的一些工作站，例如在軌道交通行業里的典型系統：綜合監控系統、通信系統和信號系統等，其中大部分是由于移動接入設備的不合規使用而帶來的風險。從以上事件可以看出，攻擊者要發動網絡攻擊只需發送一個普通的病毒就可以達到目的，隨著網絡攻擊事件的頻發和各種復雜病毒的出現，讓我們的工業系統安全以及公共利益、人民財產安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規范

作為國家基礎設施的工業控制系統，正面臨著來自網絡攻擊等的威脅，為此針對工控網絡安全，我國制定和了相關法律法規來指導網絡安全建設防護工作。其中有國家標準委在2016年10月的《工業通信網絡網絡和系統安全建立工業自動化和控制系統安全程序》《工業自動化和控制系統網絡安全可編程序控制器（PLC）第1部分：系統要求》等多項國家標準[2]。同年，工信部印發《工業控制系統信息安全防護指南》，該標準以當前我國工業控制系統面臨的安全問題為出發點，分別從技術防護和管理設計兩方面來對工業控制系統的安全防護提出建設防護要求。2017年6月，《網絡安全法》開始實施，網安法從不同的網絡層次規定了網絡安全的檢測、評估以及防護和管理等要求，促進了我國工業控制系統網絡安全的發展。

3工業控制系統網絡安全分析

軌道交通信號系統（CBTC）是基于通信技術的列車控制系統，該系統依靠通信技術實現“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題：（1）網絡邊界無隔離隨著CBTC的集成度越來越高，各個子系統之間的聯系和數據通信也越來越密切，根據地域一般劃分為控制中心、車站、車輛段和停車場，根據業務又劃分為ATO、ATS、CI、DCS等多個子系統，各區域之間沒有做好訪問控制措施，缺失入侵防范和監測的舉措。各個子系統之間一般都是互聯互通的，不同的子系統由于承載的業務的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統和非安全系統之間也都沒有做隔離。（2）網絡異常查不到針對CBTC系統的網絡入侵行為一般隱蔽性很強，沒有專門的設備去檢測的話很難發現入侵行為。出現安全事件后沒有審計記錄和追溯的手段，等下次攻擊發生依然沒有抵抗的能力。沒有對流量進行實時監測和記錄，不能及時發現高級持續威脅、不能有效應對攻擊、不能及時發現各種異常操作。（3）工作站、服務器無防護CBTC系統工作站、服務器的大部分采用Windows系列的操作系統，還有一部分Linux系列的操作系統，系統建設之初基本不會對工作站和服務器的操作系統進行升級，操作系統在使用過程中不斷暴露漏洞，而系統漏洞又無法得到及時的修復，這都會導致工作站和服務器面臨風險。沒有在系統上線前關閉冗余系統服務，沒有加強系統的密碼策略。除此之外，運維人員可以在調試過程中在操作站和服務器上安裝與業務無關的軟件，也可能會開啟操作系統的遠程功能，上線后也不會關閉此功能，這些操作都會使得系統配置簡單，更容易受到攻擊。目前在CBTC系統各個區域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設備的接入行為進行管控，隨意使用移動存儲介質的現象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產系統中。（4）運維管理不完善單位內安全組織機構人員職責不完善，缺乏專業的人員。沒有針對信號系統成立專門的安全管理部門，未明確相關業務部門的安全職責和職員的技能要求，也缺乏專業安全人才。未形成完整的網絡安全管理制度政策來規劃安全建設和設計工控系統安全需求。另外將工業控制系統的運維工作外包給第三方人員后并無相關的審計和監控措施，當第三方運維人員進行設備維護時，業務系統的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統的網絡采用物理隔離，基本可以保證正常生產經營。但是管理網接入工控系統網絡后，工控系統網絡內部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網的數據安全交互必須在工控網絡邊界實現，因此做好邊界保護尤為重要。

4工業控制系統網絡安全防護體系

工控系統信息化建設必須符合國家有關規定，從安全層面來看要符合國家級防護的相關要求，全面規劃設計網絡安全保障體系，使得工控體系符合相關安全標準，確保工控安全保障體系的廣度和深度。根據安全需求建立安全防護體系，通過管理和技術實現主被動安全相結合，有效提升了工控業務系統的安全防護能力。根據業務流量和業務功能特點以及工控系統網絡安全的基本要求來設計不同的項目技術方案，從技術角度來識別系統的安全風險，依據系統架構來設計安全加固措施，同時還要按照安全管理的相關要求建立完善的網絡安全管理制度體系，來確保整體業務系統的安全有效運行。

4.1邊界訪問控制

考慮到資產的價值、重要性、部署位置、系統功能、控制對象等要素，我們將軌道交通信號系統業務網絡劃分為多個子安全域，根據CBTC業務的重要性、實時性、關聯性、功能范圍、資產屬性以及對現場受控設備的影響程度等，將工控網絡劃分成不同的安全防護區域，所有業務子系統都必須置于相應的安全區域內。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現工業現場中的設備登錄控制、應用服務資源訪問的身份認證管理，使得只有獲得授權的用戶才能對現場設備進行數據更新、參數設定，在控制設備及監控設備上運行程序、標識相應的數據集合等操作，防止未經授權的修改或刪除等操作。4.2流量監測與審計網絡入侵檢測主要用于檢測網絡中的惡意探測和惡意攻擊行為，常見有網絡蠕蟲、間諜和木馬軟件、高級持續性威脅攻擊、口令暴力破解、緩沖區溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設備掃描探測操作系統、網絡設備、安全設備、應用系統、中間件、數據庫等網絡資產和應用，及時發現網絡中各種設備和應用的安全漏洞，提出修復和整改建議來保障系統和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發現識別系統設備是否存在不合理的策略配置、系統配置、環境參數配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數據庫訪問審計以及所有設備和系統的日志審計，主要體現在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內容需要包括事件發生的確切時間、用戶名稱、事件的類型、事件執行情況說明等。

4.3建立統一監測管理平臺

根據等級保護制度要求規定，重要等級在第二級以上的信息系統需要在網絡中建立統一集中管理中心，通過統一安全管理平臺能夠對網絡設備、安全設備、各類操作系統等的運行狀況、安全日志、配置策略進行集中監測、采集、日志范化和歸并處理，平臺可以呈現CBTC系統中各類設備間的訪問關系，形成基于網絡訪問關系、業務操作指令的工業控制環境的行為白名單，從而可以及時識別和發現未定義的行為以及重要的業務操作指令的異常行為。可以設置監控指標告警閾值，觸發告警并記錄，對各類報警和日志信息進行關聯分析和預警通報。

4.4編制網絡安全管理制度

設立安全專屬職能的管理部門和領導者及管理成員的崗位，制定總體安全方針，指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規劃并落實，必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經過上層組織機構評審和正式，保持對下發制度的定期評審和落實情況的核查。由專人來負責單位內人員的招聘錄用工作，對人員的專業能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協議和崗位責任書。編制完善的制度規范，編制范圍應涵蓋信息系統在規劃和建設、安全定級與備案、方案設計、開發與實施、驗收與測試以及完成系統交付的整個生命周期。針對不同系統建設階段分別編制軟件開發管理規范、代碼編寫規范、工程監理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設，制定包含物理環境管理、資產管理、系統設備介質管理以及漏洞風險管理等方面的規范要求，對于機房等辦公區域的人員進出、設備進出進行記錄和控制，建立資產管理制度規范系統資質的管理與使用行為，保存相關的資產清單，對各種軟硬件資產做好定期維護，對資產采購、領用和發放制定嚴格的審批流程。針對漏洞做好風險管理，針對發現的安全問題采取相關的應對措施，形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協議，協議中應明確外包工作范圍和具體職責。

5結束語

由于工控系統安全性能不高和頻繁爆發的網絡安全攻擊的趨勢，近年來我國將網絡安全建設提升到了國家安全戰略的高度，并且制定了相關的標準、政策、技術、程序等來積極應對安全風險，業務主管部門還應進一步強化網絡安全意識，開展網絡安全評估，制定網絡安全策略，提高工控網絡安全水平，確保業務的安全穩定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業控制系統（ICS）的安全研究[J].網絡安全技術與應用，2008（4）.

篇（3）

我國信息化安全建設任務非常艱巨，主要包括各種業務的社會公網、行業專網、互聯網等信息基礎設施運營、管理和服務的安全自主保障、安全監管、安全應急和打擊信息犯罪為核心的威懾體系的建設，其內容包括網絡系統安全建設、領域和企業的業務信息化安全建設、網絡內容與行為的安全建設和用戶關注的網絡安全建設等方面。這些安全建設對于不同的領域和領導層面關注的內容、對象和程度各不相同。網絡信息安全是一個完整的、系統的概念。它既是一個理論問題，同時又是一個工程實踐問題。由于互聯網的開發性、復雜性和多樣性，使得網絡安全系統需要有一個完整的、嚴謹的體系結構來保證網絡中信息的安全。

1 信息安全的定義及目標

信息的定義，從廣義上講，信息是任何一個事物的運動狀態以及運動狀態形式的變化，它是一種客觀存在。狹義的信息的含義是指信息接受主體所感覺到并能理解的東西。ISO 13335《信息技術安全管理指南》定義：信息是通過在數據上施加某此約定而賦予這此數據的特殊含義。信息是無形的，借助于信息媒體以多種形式存在和傳播，同時。信息也是一種重要資產，具有價值，需要保護。信息安全的目標是信息資產被泄露意味著保密性受到影響，被更改意味著完整性受到影響，被破壞意味著可用性受到影響。而保密性、完整性和可用性三個基本屬性是信息安全的最終目標。信息安全的保護對象包括了計算機硬件、軟件和數據。就本質而言，信息安全所針對的均是“信息”這種資源的“安全”，對信息安全的理解應從信息化背景出發，最終落實在信息的安全屬性上。

2 構建網絡信息化安全的意義

能否有效地保護信息資源，保護信息化進程健康、有序、可持續發展，直接關乎國家安危，關乎民族興亡，是國家、民族的頭等大事。沒有信息安全，就沒有真正意義上的政治安全，就沒有穩固的經濟安全和軍事安全，更沒有完整意義上的國家安全。信息安全是信息技術發展過程之中提出的課題，在信息化的大背景下被推上了歷史舞臺。信息安全不是最終目的，它只是服務于信息化的一種手段，其針對的是信息化這種戰略資源的安全，其主旨在于為信息化保駕護航。

3 網絡信息化的安全屬性

信息安全的概念與信息的本質屬性有著必然的聯系，它是信息的本質屬性所體現的安全意義。說安全屬性研究首先要從安全定義講起，安全定義分很多的層次，為什么分層次，我們隨著它的演變來看的，信息安全最初目標，叫數據安全，它關心的是數據自身，所以是一個狹義的數據安全，是保護信息自身的安全。

3.1 保密性（Confidentiality）

在傳統信息環境中，普通人通過郵政系統發信件時，為了個人隱私要裝上信封。可是到了信息化時代，信息在網上傳播時，如果沒有這個“信封”，那么所有的信息都是“明信片”，不再有秘密可言，這便是信息安全中的保密性需求。保密性是指信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。保密性不但包括信息內容的保密，還包括信息狀態的保密。

3.2 完整性（Integrality）

完整性是指信息未經授權不能進行更改的特性。即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性與機密性不同，機密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。

3.3 易用性（Availability）

易用性是信息可被授權實體訪問并按需求使用的特性。在授權用戶或實體需要信息服務時，信息服務應該可以使用，或者是信息系統部分受損或需要降級使用時，仍能為授權用戶提供有效服務。易用性一般用系統正常使用時間和整個工作時間之比來度量。

4 構建網絡信息化安全管理體系

在面向網絡信息的安全系統中，安全管理是應得到高度重視的。這是因為，據相關部門統計，在所有的計算機安全事件中，約有52％是人為因素造成的，25％是由火災、水災等自然災害引起的，技術錯誤占10％，組織內部人員作案占10％，僅有3％左右是由外部不法人員攻擊造成的。簡單歸類，屬于管理方面的原因比重高達70％以上，這正應了人們常說的“三分技術，七分管理”的箋言。因此，解決網絡與信息安全問題，不僅應從技術方面著手，更應加強網絡住所的管理工作。

好的網絡信息化安全管理體現在以下幾個方面：在組織內部建立全面的信息安全管理體系，強調信息安全是一個管理過程，而非技術過程；強調信息保密性、完整性、易用性三者在關鍵流程中運用的平衡；把信息提高到組織資產的高度，強調對組織信息資產進行價值及影響評估，對信息資產的脆弱性及其面臨的威脅進行分析，運用風險評估、風險管理手段管理信息安全，使組織風險降低到可接受的水平；從法律和最好的實踐經驗角度，實施全面的控制措施，使組織信息安全威脅的方方面面置于嚴密控制之下；強調領導在信息安全管理中的作用；強調信息安全方針在管理體系中的作用；強調對信息技術及工具的實時和有效管理；強調組織運作的連續性及業務連續性的管理；強調信息安全管理水平的不斷提高及對流程的策劃、實施、檢查和改進的過程；信息安全應該是一個以“價值”為基礎的過程，即信息安全管理應是一個有附加價值，并講究投入產出比的過程。

5 關注信息化安全服務的綜合性、高技術性和對策性特點

信息安全產業有其鮮明的特點，雖然產生于信息化和信息系統，依然與通常的IT服務有許多區別。信息化安全的基本特征是服務性的。這種服務性與一般軟件的服務性是不同的。一般應用系統或產品的服務主要是維護和培訓，通常服務是非對策性的、非動態的和比較固定的。信息化安全服務是對策性的、動態性的、不斷產生新內容的和似乎永遠不能成熟等特性。信息化安全服務范疇幾乎包括了整個信息化所包括的所有產品和系統，其服務的綜合性和復雜性是顯而易見的。信息化安全服務是最高技術的服務，無論從設計角度和使用的角度都要求深入、熟練和非常專業。我們可以驕傲地說，信息化安全服務是世界上最偉大的服務業，也是最困難的服務業。信息化安全服務的復雜性、高成本特性要求信息化安全企業必須在安全服務的遠程化和化的推進方面做出不懈努力，不斷降低服務成本。

6 結語

網絡信息安全不僅僅是一個純技術層面的問題，單靠技術因素不足以保證網絡中信息的安全。網絡信息安全還涉及到法律、管理、標準等多方面的問題。因此，信息安全是一個相當復雜的問題，只有協調好這些體系之間的關系，才能有效保證系統的安全。

篇（4）

在網絡技術快速發展的背景下，醫療行業信息化建設發展得到推動，醫院內的財務管理系統以及行政管理系統已經形成了較為明顯的信息化發展趨勢。現如今計算機網絡以在醫院各個部門全面應用，為醫院醫療工作的高效率開展提供技術支持。由于醫院業務工作的特殊性，因此對醫院的計算機網絡安全要求極高，為了確保醫院信息系統的正常運轉，需要探索計算機網絡安全管理工作，加強對醫院計算機網絡安全管理的重視程度，為醫院的信息化建設發展提供技術支持。

一、醫院計算機網絡安全管理及維護的重要性

在醫院信息化建設過程中，計算機網絡信息技術的應用對于醫院綜合管理水平的提升有著促進作用，因此需要針對計算機網絡信息技術制定網絡安全管理模式工作，繼而實現醫院的可持續發展目標。

（一）為醫院信息化建設提供技術支撐現如今信息化系統以廣泛應用于醫院管理系統之中，計算機網絡技術的應用能夠為醫護人員診療患者提供診療信息，同時也能為醫院行政管理工作的開展提供信息支持。若沒有計算機網絡技術的支持，醫院信息化系統內部各個模塊則無法實現互通，醫院業務功能無法有效開展。為此基于計算機網絡平臺開展的信息化建設，能夠為智慧醫院的建設提供技術支持。

（二）可提供高質量的醫療服務所有患者都希望能夠在醫院內獲得高質量的醫療服務，為此醫院需要對各項業務工作進行有效處理。計算機網絡安全管理工作的開展能夠保證醫院信息安全，為醫院現代化建設創造條件。為此醫院需要加強對計算機網絡信息安全管理維護的重視程度，有效提升醫院的信息技術應用成效。

（三）可提升醫院的業務工作效率在醫院信息化建設過程中，計算機網絡應用較為廣泛，計算機網絡信息管理主要分為信息傳遞以及信息處理。計算機網絡信息安全管理維護工作的開展，能夠幫助醫院構成高效、智能的信息系統，可對信息系統上的醫療業務數據隨時進行查閱應用，全面提升醫院的診療效率。

（四）可確保醫院數據信息安全現階段醫院信息化系統的管理應用是依賴于計算機網絡，一旦醫院發生計算機網絡安全事故，將會導致醫院出現業務工作癱瘓問題，導致醫院診療患者的個人醫療信息被泄露。為此計算機網絡安全管理維護工作的有效開展，能夠推動醫院信息化建設工作，避免醫院診療患者個人隱私被侵犯。

二、信息化建設中醫院計算機網絡安全管理及維護的現狀

（一）醫院網絡系統外部環境有待優化對于醫院管理者而言，信息化系統網絡安全建設離不開安全的外部工作環境。部分醫院管理者并不重視網絡安全信息化建設工作，因此對于網絡信息安全保護以及維護的關注程度不高。此外，醫院投放在網絡保護上的人力、物力相對較少，僅采用簡單的存儲設備開展數據存儲工作，也并不會聘請專業技術水平高的團隊進行網絡系統維護，不僅會影響醫院信息化建設集成，同時也會造成醫院關鍵數據信息的丟失。

（二）醫院信息系統存在系統安全問題醫院信息系統安全問題主要是指系統內部的應用程序安全問題，通過保證醫院操作系統應用的穩定性，繼而保證醫院信息系統的應用安全。數據安全主要是指醫院各個科室的工作數據以及患者數據信息的安全。在網絡信息技術不斷更完善更新的背景下，醫院所應用的信息系統需要進行更新升級，但信息系統存在的網絡安全威脅問題未能得到妥善解決。此外雖然計算機網絡技術在醫院信息系統中廣泛應用，但由于網絡系統的網絡結構極為復雜，讓網絡結構極易成為病毒木馬攻擊的首選目標。不同設備開發應用的技術存在一定的差異性，也因此增加了信息系統出現系統漏洞的機率，導致計算機網絡系統運行不穩定。

（三）醫院系統硬件問題計算機網絡作為連接醫院與客戶端的重要技術，計算機是推動醫院醫患信息共享系統建設的重要設備。部分醫院為了節約硬件資金投入問題，忽略計算機網絡基礎設備更新換代的必要性，繼而導致醫院的信息化建設發生建設滯后的問題。長此以往，計算機在應用過程中極易出現死機、卡頓等情況，不僅會影響醫院信息系統的工作效率，同時也會影響共享系統終端用戶的應用體驗。現階段醫院應用的操作系統為微軟Windows10，但是仍有部分醫院應用的操作系統為XP系統或是低版本操作系統，繼而導致系統硬件漏洞相對較多。醫院業務工作的特殊性，要求信息系統需要二十四小時不間斷的運行，一旦發生電擊、高溫等問題時，極易導致計算機網絡設備發生運行故障，影響醫院診療業務的開展。

（四）人員個人問題醫院的信息化建設能夠提升工作人員的工作效率，實現醫院整體經濟效益的全方面優化，是醫院可持續發展的重要支撐。雖然大多數醫院管理者能夠認可計算機網絡的應用優勢，但仍舊存在醫護人員并不重視計算機網絡安全管理維護工作的問題。如用戶主體不能遵守電子信息系統的應用流程，對于涵蓋病毒的U盤任意拔取，將會導致整個計算機網絡系統發生癱瘓。此外醫院內部缺乏專業的網絡技術人員，其計算機網絡管理維護能力無法達到系統安全防御需求，進而導致醫院信息化建設無法進一步開展。

三、信息化建設中醫院計算機網絡安全管理及維護優化的策略

（一）優化醫院網絡系統的外部環境第一，為了優化醫院信息機房的外部環境，醫院管理層需要配備基礎設施，合理安排信息機房在醫院的具置。第二，在信息機房內部以及室外配設無死角的監控設備，同時為了確保信息機房的安全性需要設置完善的門禁系統，避免外來無關人員進入信息機房。第三，為了確保網絡外部環境安全，管理人員需要對機房內部系統上的硬件設備進行全方面管理，避免機房受到靜電以及電磁的干擾，嚴格按照機房安全指南對信息機房進行有效管理。

（二）強化醫院網絡安全管理信息系統第一，醫院信息化系統所應用的系統軟件較為繁瑣，因此在開展信息系統殺毒處理過程中，需要對殺毒軟件應用進行規劃，避免惡意軟件對信息系統造成破壞。為此管理人員需要應用與信息系統相匹配的殺毒軟件，借助防火墻技術避免病毒木馬入侵信息系統。此外需要根據網絡系統軟件的更新升級情況升級系統殺毒軟件，確保網絡系統應用的安全性。第二，在計算機網絡系統運行過程中，需要對網絡信息進行管理和維護，對沒有應用價值的數據信息進行銷毀處理，確保計算機網絡信息數據的安全性。管理者需要對訪問計算機網絡系統的用戶身份信息進行保密，確保來訪用戶的個人信息不會被泄露，有效保護用戶個人隱私安全。此外需要定期開展系統安全監測工作，對于常規程序進行系統掃描工作。如計算機網絡系統可利用PKI技術開展系統密碼設置工作，對用戶的私密數據進行隔離。第三，服務器作為計算機網絡安全維護的重要部件，服務器的高效運作能夠讓數據在不同主機之間快速傳輸。為此計算機網絡安全維護人員需要正確認識服務器應用的價值作用，對服務器進行優化維護，避免外來入侵者對醫院內重要數據信息進行盜取應用。

（三）加強對計算機硬件設備的安全管理第一，為了推動醫院信息化建設，需要確保計算機硬件應用的安全性，避免由于硬件問題導致計算機網絡系統發生故障，確保醫院信息網絡系統能夠正常運行。為此醫院管理人員需要對計算機主板進行定期檢查，對計算機內部的灰塵雜物進行定期清理，同時還要做好計算機接口的防氧化問題。第二，管理人員需要做好硬件設備的CPU散熱工作，及時更換硬件設備的散熱器，同時還要定期維護管理應用的計算機硬盤，對于已經發生故障的計算機硬盤進行處理換新，對計算機硬盤的醫務信息定期進行備份。此外需要對顯示器、信號源以及顯卡等硬件進行有效維護，確保計算機安全系統能夠正常運行，避免醫院內重要的信息文件丟失。第三，需要保證應用網絡布線的安全性，通過應用優質的網絡布線材料，提升信息系統的應用安全性，避免線路在安置過程中出現纏繞問題。通過將強電流線路距離保持在30cm以上，繼而解決線路之間的電流干擾問題。

篇（5）

1.1 運行環境的安全威脅

互聯網和計算機等設備都是高精度的電子設備，他們在運行過程中對溫度、供電的穩定性以及電磁干擾等都提出了要求，但是這幾點要求我國多數高校圖書館都沒有達到要求，也沒有在機房建設過程中考慮到這些因素。由于外在因素的不齊全也就給高校圖書館的服務器、計算機設備的安全和穩定等帶來了一定的安全隱患。此外，高校數字化圖書館在建設過程中還需要考慮到自然環境給圖書館網絡信息安全可能產生了影響，例如，地震、火災、雷電等一些不可控制因素，都可能傷害到高校圖書館的信息安全，所以需要高校在建設數字化圖書館時做好這方面的工作，最大程度的降低給高校圖書館帶來的傷害。

1.2 硬件環境的安全威脅

強大的服務器、交換機以及計算機是高校圖書館網絡建設的必備設備，只有這三者齊全了才能更好為高校廣大師生提供便利和優質服務，確保高校圖書館網絡應用的順利進行，首先要做到的就是確保高校圖書館服務器的穩定。當前高校圖書館內部始終的操作系統如，Windows， Linux等，這些系統本身存在一定漏洞，這些漏洞的存在就給外界攻擊高校圖書館服務器提供了便利，要確保高校圖書館為廣大師生提供服務工作，高校圖書館網絡的TCP/IP協議都選取系統默認的設置，為更多用戶的接入提供了較大的便利，但卻給高校圖書館內部服務器的安全形成了巨大的威脅和傷害。

1.3 軟件環境安全威脅

高校數字化圖書館的建立本身需要較多數量的軟件應用，而現階段較多的病毒都是潛在于眾多應用軟件中，一旦用戶進行軟件的下載，在整個軟件安裝過程中很容易將病毒傳入到圖書館服務器內，給高校圖書館程度的運行造成威脅，特別是在圖書館和互聯網相接入的狀況下，存在互聯網內部隱藏的、植入和寄生的病毒很容易感染高校圖書館，造成高校圖書館的整體癱瘓。

1.4 網絡系統安全威脅

高校圖書館網絡本身是與互聯網相結合的，這也給黑客攻擊高校圖書館提供了較大的便利，這些黑客可以直接利用網絡中存在的漏洞，進行口令破譯、漏洞掃描以及欺騙等多種方式進入高校網絡圖書館的后臺服務器系統中，將重要的文獻資料刪除，或者是進行信息的篡改和盜用等，給高校圖書館的內部資源產生嚴重的威脅和迫害。

1.5 網絡信息安全意識薄弱

在整個高校圖書館網絡信息安全建設的過程中，多數高校圖書館為了提升自身的數字化建設工作，盡快的實現高校圖書館數字化， 大量的進行電子資源的引進，并存在著“重建設，輕維護”的思想，在這種思想的引導和指揮下，造成了高校圖書館網絡信息安全問題不斷出現，高校圖書館管理人員對于如何保護高校圖書館信息安全，降低圖書館內信息安全隱患沒有一個明確的方向，更不知道如何正確的選擇和使用現有的網絡安全產品，對于高校圖書館內部出現的系統不能及時解決。而且據調查了解得知，高校圖書館網絡信息安全建設中存在的多項問題多數是由內部管理不得位導致的。高校圖書館在網絡安全管理制度上沒有全面的完善和健全，在制度的執行上更是存在很多不到位的狀況，使得高校圖書館內部存在的各類管理機制和采取的安全措施都如同虛設。根本起不到任何作用，也無法確保高校圖書館網絡信息的安全。事實上信息數據的完整性與否和一些更深層次的問題并沒有引起高校圖書館內部網絡管理人員的充分重視，這也是為高校圖書館信息網絡安全建設構成威脅的一個重要原因。

3 高校圖書館的網絡信息安全建設方案

結合現階段高校圖書館網絡信息面臨的各種隱患，需要采用更具有科學性、專業性和高效性的方式進行工作的開展，這樣能夠大大降低圖書館網絡信息的危險性，確保整個高校圖書館網絡系統的順利運行。

3.1 確保高校圖書館內部軟硬件設備的安全

強化各網絡軟件硬件設備，加大硬件設備的投入工作，在軟件應用時一定要購買正版軟件，做好更新工作，從而彌補軟件自身存在的不足和漏洞。還需要確保高校圖書館服務器、存儲設備以及工作用機等硬件的穩定性，及時解決發展的問題。還有就是要提升對主機房環境的重視，做好圖書館內配電系統、空調設施和消防系統等工作，避免出現一切不可能的安全隱患。例如，中國民航飛行學院圖書館內部就是安裝了煙霧感應消防系統，并將主機房的位置設在了二樓，在整體機房內安裝了ups不間斷電源，圖書館內部的管理人員則每天進行空調的切換以及圖書館內部設備的檢查和運行狀況，確保高校圖書館網絡信息系統的高校運行。

3.2 做好高校圖書館網絡管理人員的培養和制度的完善

好的軟件系統和硬件設備需要專業的技術人員操作，才能最大程度的發揮其作用。高校圖書館網絡信息安全的建設中的一項重要任務就是要做好人才的培養和控制工作，高校要讓更多的圖書館網絡管理人員參加專業的培訓工作，甚至可以安排他們到網絡信息建設較為優秀的行業去學習，從而不斷提升自身的網絡專業能力。此外，還需要高校建立健全有關的管理制度，成立專業的安全管理小組進行圖書館網絡信息安全問題處理。同時還需要做好用戶賬號和權限的分級工作，尤其是系統管理員的賬號和密碼，需要進行特別的設定，并做到定期更改工作。更是要結合不同崗位用戶的需求進行權限的設計。提升高校圖書館網絡管理員的責任意識和安全意識，并嚴格遵照有關規定進行操作，確保高校網絡信息的安全。

3.3 提高高校圖書館網絡的防火墻技術

防火墻技術和殺毒軟件，這兩者對黑客的阻止和病毒的抵制上都發揮著巨大的作用。現階段較為普通的網絡安全防火墻只能是對網絡數據的網絡層進行把控和管理，但在網絡用戶的審核和管理上卻不能發揮其重要作用，更是很難適應現階段網絡安全和管理的復雜性。所以在這種網絡安全背景下，需要提升防火墻技術，采用最新的防火墻技術（NGFW），并確保其是基于網絡ISO7層模式的最高層。該防火墻技術具有幾點突出的特征，一是可以識別和有效控制網絡應用層面的網絡數據；二是可以對網絡內部存在的病毒和黑客的攻擊進行防范和抵制；三是能夠對接入網絡的人員和數據進行身份的準確識別、授權以及審計；四是也是最重要的一點就是能夠對可能出現的威脅進行有效防范。所以需要高校圖書館不斷提升自身的防火墻技術，采用最新的防火墻技術，這樣能夠避免管理系統和病毒的入侵，確保高校圖書館網絡信息系統的安全。

3.4 做好高校網絡信息的備份工作

篇（6）

2企業信息化安全建設

當今社會已經步入信息知識經濟時代，信息對企業良性長久的發展尤為關鍵，但目前企業信息系統安全問題無疑是企業發展階段所面臨的重點難點。所謂的企業信息安全就是對企業信息資產采取保護措施，使其不受惡意或偶然侵犯而被破壞、篡改及泄露，確保信息系統可靠正常并連續的運行，最小化安全事件對業務的影響，實現業務運行的連續性。因此筆者認為以下幾方面是關鍵。

2.1做好網絡保護

其實要保證外網安全需要企業加大硬件設備的投入，信息安全產品在網絡經濟發展下正面臨著新的挑戰，傳統防火墻、信息加密、防病毒等已無法有效的抵御外部入侵；同時由于內部操作不當，導致內網感染病毒造成信息泄露的現狀也是信息安全的焦點問題。針對以上情況，建立事前有效防御，事后追究機制是企業信息化安全建設的當務之急。根據現代企業的特點，筆者認為從下面這幾點入手，有助于保護網絡的安全：

（1）身份認證技術。

企業內網操作時，可采用身份認證技術，借助PKI、PKM等工具，控制網絡應用程序的訪問，以及進行身份認證，實現有效資源合法應用和訪問的目的。

（2）審計跟蹤技術。

通過審計跟蹤技術監控和審計網絡，控制外設備如MSN、QQ、端口、打印、光驅、軟驅等，從而實現禁止使用指定程序，并促進員工操作行為及日志審計規范的目的。

（3）企業還應組建自身網絡拓撲結構。

利用嚴格密鑰機制和加密算法，有機的結合加密、認證、授權、審計等功能，保護最底層不同密集評定和授權方式的核心數據，而非限制應用網絡和控制網絡，進而真正實現合理保護，確保企業信息數據資源的安全。

2.2安全邊界的界定和管理

安全邊界的界定通過分析現有網絡邊界安全的需求，筆者認為有幾方面：首先，內部網段。即企業網內網，是防火墻的重點保護對象，安全級別和授信級別更高，主要承載對象是企業所有人員的計算機。其次，外部網段。即邊界路由器以外的網絡，比如移動4G、WIFI互聯等多邊界網絡，安全級別和授信級別最低，是企業信息數據泄露最大的安全隱患，需要嚴格禁止或控制。最后，DMZ網段。即對外服務器，安全級別和授信級別介于內外網絡之間，其資源運行外部網絡訪問。

（1）由于外部用戶訪問DMZ區域中服務器的方式較為特殊，在系統默認情況下是不被允許的。

可實際應用中是需要外部用戶對其進行訪問，所以防火墻上必須增加相應允許外部用戶訪問DMZ區域的訪問控制列表，通過對列表的控制允許用戶行為，并對進行很好的監控管理，保證企業信息的安全性。

（2）內部用戶對外部網絡以及DMZ區域中服務器的訪問。

按照ASA自適應安全算法，在系統默認情況下是允許高安全等級接口流向低安全等級接口流量的，外部網絡安全級別遠沒企業內部網絡安全級別高，所以在默認情況下這種訪問方式是被允許的，不過實際應用過程中，需要限制對外訪問流量。

（3）外部用戶對內部網絡的訪問。

在系統默認情況下這種情況是不被允許的，是對外部用戶非法訪問的有效抵御，能有效的保證企業信息的安全，促進企業信息化的安全建設。

2.3強化系統管理

由于任何安全軟件都有被攻擊或破解的可能性，單純依靠軟件技術來保障企業信息安全是不現實的，只有強化企業內部信息系統的管理才行之有效。所以，企業內部信息管理體制要完善，盡可能促進管理系統規范性和可靠性的提高，才能為企業內部信息的安全提供更高保障。同時，要進行安全風險評估工作。因為各個信息系統使用的都是不同的技術手段和組成方式，其自身優勢及安全漏洞也具有較大的差異，由此在選擇企業所需的信息系統時，一定要先做各個系統的安全風險評估工作，信息安全系統的選擇要針對企業自身特點，降低信息安全問題出現的概率。最后，就是加強系統管理。在實際生活中信息竊取和系統攻擊大多是在網絡上完成的，企業必須要強化網絡管理工作，以便促進企業的運行更安全政策。

2.4加強企業信息安全管理團隊建設

當前，企業信息安全體系的建設中已完全滲透“七分管理，三分技術”的意識，強化企業員工信息安全知識培訓，制定完善合理的信息安全管理制度，是企業信息安全建設順利實施的關鍵保障。企業信息安全建設時要另立專門管理信息安全的部門，負責企業內部的信息安全防護工作，加強對企業內部計算機網絡系統的維護及常規檢查。企業信息安全管理團隊的職責主要包括：工作人員安全操作規范、工作人員守則以及管理制度的制定，再交由上級主管部門審批后監督制度規范的執行；定期組織安全運行和信息網絡建設的檢查監測，掌握公司全面的第一手安全資料，根據資料研究相關的安全對策和措施；負責常規的信息網絡安全管理維護工作；定期制訂安全工作總結，且要接受國家相關信息安全職能部門對信息安全的工作指導。

2.5入侵檢測系統（IDS）與入侵防護系統（IPS）

IDS即入侵檢測系統能夠彌補防火墻的缺陷，能實時的提供給網絡安全入侵檢測，并采取一定的防護手段保護網絡。良好的入侵檢測系統不但可有助于系統管理員隨時了解網絡系統的變更，還能提高可靠的網絡安全策略制訂依據。因此，入侵檢測系統的管理應配置簡單，隨時根據系統構造、網絡規模、安全需求改變。IDS必須布置在能夠監控局域網和Internet之間所有流量的地方，才能第一時間檢測到入侵時，做出及時的響應，比如記錄時間、切斷網絡連接等。

篇（7）

隨著信息技術的發展，社會的信息化程度提高了，為了適應金融業的需要，各家銀行都投資建網。但是，由于各種因素的制約，網絡的安全體系不完善，安全措施不完備，存在嚴重的安全漏洞和安全隱患。因此，必須采取強有力的措施，解決銀行網絡的安全問題。

我國銀行網絡系統監管現狀

網絡銀行由于開辦時間較短，所以存在著很多的問題和不足，特別是在對網絡銀行的立法仍然不夠健全，甚至沒有專門的立法，當網絡銀行的交易雙方出現糾紛的時候，不能得到有效的處理，沒有法律來進行調節。如果網絡銀行作為跨國界的業務交易平臺，網絡銀行容易產生管轄權、法律適用性、知識產權等法律界定問題，但目前尚無專門法規來規范黑客問題深深困擾著網絡銀行。在我國的一些商業法律中的規定，對于黑客問題也是不夠詳盡，不作為故意犯罪，這樣的話，就給網絡銀行內部的工作人員有更大的影響，但是由于一些原因這些都不能得到有效的解決，不能夠用法律來制裁。

我國網絡銀行面臨的主要風險

（1）銀行網絡系統風險

由于金融信息系統中處理、傳輸、存貯的都是金融信息，對其進行攻擊將獲得巨額的金錢，而且，對金融信息系統的攻擊，可能造成國家經濟命脈的癱瘓和國家經濟的崩潰，因此金融信息系統面臨著巨大的風險和威脅。銀行網絡系統面臨的攻擊手段較多，既有來自外部的，也有來自內部的。由于對銀行網絡系統的攻擊可以獲得較大的經濟、政治、軍事利益，因此銀行網絡系統成為敵對國家、犯罪集團、高智商犯罪分子的首選攻擊目標。 在80年代以前，對信息的攻擊主要依賴信號的截獲與破譯，這是一種被動攻擊手段。對于金融信息系統，更嚴重的威脅來自各種主動攻擊手段。主動攻擊手段較多，如偽造票據、假冒客戶、交易信息篡改與重放、交易信息銷毀、交易信息欺詐與抵賴、非授權訪問、網絡間諜、“黑客”人侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成金融信息系統癱瘓、資金流失或失蹤。這些攻擊可能來自內部，也可能來自外部。

（2）操作風險。

網絡銀行的操作風險主要是指系統中存在不利于可靠性、穩定性和安全性要求的重大缺陷而導致損失的可能性。網絡銀行與技術有著直接或間接的關系，因此，操作風險來源于網絡系統在可靠性和完整性方面的重大缺陷。

（3）市場風險。

市場風險，是指由于網絡銀行所提供的金融產品需求隨利率或匯率等市場因素變化所引起的風險。影響網絡銀行市場風險的主要因素有經濟因素，主要包括相關金融資產價格（包括匯率、利率）等的變動，社會經濟周期，國家的經濟制度變革情況等許多方面；政治因素，如國家政治體制的變革、政權的變遷、民族情緒的抵觸、及武裝沖突等；其他因素，包括社會因素、自然因素及技術因素等。

網絡銀行風險監管的意義

對于新興的網絡銀行發展而言，基于全球化的信息和虛擬的金融活動等一些特征，網絡銀行所存在的風險，不僅包括傳統銀行所具有的流動性風險、市場風險、信用風險等，更包括喲與自身特點的業務風險，比如市場信號風險、操作風險、法律風險等。由于這些銀行的風險的存在，它嚴重影響著網絡銀行的健康發展，同時也對于商業銀行的金融體系的安全、消費者利益等也夠成了極大的威脅。由于網上銀行的發展嚴重收到自身因素的影響而阻礙其發展，風險和安全問題首當其沖，所以對網絡銀行的風險監管有著不可替代的作用和意義。網上銀行的風險監管能夠確保金融體系的安全和穩定。因為各個國家和地區的歷史、經濟和文化的背景不同，因此對網絡銀行的風險監管的意義和作用也不盡相同，總體來說，網絡銀行的風險監管對網絡銀行的發展有著非常重要的意義。

銀行網絡安全建設的措施

（1）建立完善的組織機構、管理制度

為確保網絡正常運行，應建立并逐步健全一套自上而下的安全組織機構和有關管理的規章制度。機構的設置盡量與行政隸屬關系一致，借助行政手段確保網絡安全政策的順利實施。遵循國家安全保密部門有關的法規、法則和管理辦法，制定嚴格的內部安全保密制度，明確安全管理的職責和責任人。

（2）加強網絡安全體系的研究

采用信息系統安全工程方法，形成完善的安全體系，才不會遺漏任何威脅因素，不會形成安全漏洞和隱患。安全體系需要研究以下內容：威脅和風險分析、安全策略、組織和管理策略、安全技術和機制、安全產品系列和配置、安全支援措施。

（3）配備反病毒的安全措施。

在總行、分行、支行建立三級反病毒掃描、殺滅的監管系統。對通信中的信息病毒、電子郵件中的病毒進行過濾，對網絡及網絡上的設備系統進行反病毒掃描。

（4）在銀行內部配置層層設防的防火墻

在銀行內部配置相應的防火墻、安全服務器等產品。根據對安全性需求的不同，配置相應的產品。 防火墻通過過濾、網絡地址轉換、服務在網絡中設置一隔離網段，隔離網段內服務器上的服務開放受到極為嚴格的控制，并定期進行安全性檢查，以確保該網段的安全。防火墻的基本類型有過濾型（網絡層）和型（應用層）兩種。

（5）建立網絡安全防預中心

篇（8）

【關鍵詞】APPDRR 風險分析

1 引言

在國家實施科教興國戰略的背景下，校園網絡已經成為職業院校的必備硬件基礎，是衡量職業院校教育現代化、信息化的重要標志。目前，大多數有條件的職業院校在校園網硬件工程建設投入巨資。校園網為職業院校的教學、科研、行政辦公搭建了一個信息平臺，并產生了明顯的效果。

2 APPDRR網絡安全模型

APPDRR（全網動態安全理論）網絡安全模型是一種動態，自適應的現代網絡安全模型，[1]即：網絡安全= 風險分析+ 制定策略+ 系統防護+ 實時監測+ 實時響應+ 災難恢復，本文是基于APPDRR模型的風險分析指導下展開的。

風險分析是APPDRR模型的重要組成部分，通過對資產、脆弱性和威脅，綜合評估分析網絡所面臨的風險，對所發現的風險提出相應的處理意見和安全建議，并指導下一步的網絡安全建設。

3 職業院校網絡風險分析

職業院校網絡面臨著諸多的問題，首先是規劃建設并不是一步到位的，是經過不斷升級改造后才形成的規模。安全設備品牌種類不一，在功能和處理能力上存差別，有的職業院校管理的重點側重于網絡邊界和主機安全等方面，但是在校園網絡的運行過程中，所出現的的威脅，大量集中在應用層攻擊、網絡資源濫用和基于二層的網絡攻擊。

本文從鏈路層、網絡層、操作系統、應用層和網絡管理等6個方面，對職業院校網絡所面臨的風險作一個粗略的分析。

3.1 數據鏈層的安全

數據鏈層位于物理層和網絡層之間，數據鏈層受到的破壞會直接作用到其他各層。數據鏈層的安全隱患又容易被忽略，數據鏈層的安全問題有： MAC 地址泛洪攻擊、ARP攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和VLAN 跳躍攻擊。

3.2 網絡層的安全

網絡層處于數據鏈層和傳輸層之間，是網絡體系結構中的第三層，TCP/IP 協議族中最核心的IP協議就在網絡層，廣泛應用的TCP、UDP、IGMP及ICMP 數據包，都以 IP 數據報文形式傳輸。網絡層封裝 IP 數據包，并路由轉發，解決機器之間的通信問題。網絡層常見安全問題有：明文傳輸面臨的威脅、IP 地址欺騙、源路由欺騙和ICMP 攻擊。

3.3 傳輸層的安全

傳輸層在 OSI 模型中起著關鍵作用，負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議：傳輸控制協議和用戶數據報協議。傳輸層常見安全問題有：TCP"SYN"攻擊、Land 攻擊、TCP 會話劫持和端口掃描攻擊。

3.4 操作系統的安全

目前在職業院校，除了服務器是使用UNIX、Linux外，其它工作站基本是使用微軟操作系統，存在以下風險。

（1）安全隱患的產生，主要是操作系統配置不合理，例如：沒有管理員口令，用戶弱口令，未刪除和禁用不必要的帳號，設置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制，資源共享的訪問權限配置不當等。

（2）操作系統的正常運行需要很多系統服務支撐，這些系統服務向用戶和應用程序提供功能接口，有些是操作系統正常運行必需的，有些則是不必要的。不必要的服務不僅會占用系統資源，還會給操作系統帶來安全威脅。如果用戶不知道自已的操作系統，哪些服務是可以訪問網絡的，就容易被入侵者利用。

3.5 業務應用的安全

職業院校為了滿足科研、教學、辦公的需要，校園網搭建了很多網絡應用系統，如：信息、教務管理、辦公自動化、圖書管理等。這些應用系統很重要，但也存在風險如下：

（1）身份認證：操作系統和應用系統為了保證安全，采取了身份認證措施，這些機制各有特點，但是入侵者仍可以利用網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄，使用系統默認或者弱密碼，并且長期不改動，形同虛設。

（2）WEB 服務：WEB 服務是學校用于對外宣傳、開展網絡遠程教學的重要手段，應用極其普遍，使得 Web 服務經常成為非法攻擊的首選目標。存在的安全隱患較多，網頁代碼本身就存在后門和一些缺陷，比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區溢出等。入侵者一旦攻陷WEB 服務器，可以把WEB 服務器作為跳板，通過中間件或數據庫連接部件，非法訪問學校內部應用系統和數據庫，并可利用網頁腳本訪問本地文件系統和網絡系統中其它資源。

（3）數據庫：數據庫是信息系統的核心，校園網內的業務應用依賴于各種數據庫系統，保證數據的安全和完整，正確配置數據庫系統顯得至關重要。數據庫是個復雜的系統。非專業人員是無法正確配置數據庫系統的。關系型數據庫是可從端口尋址的，通過查詢工具就可建立與數據庫的連接，例如通過 TCP1521 和 1526端口，就能侵入一個弱防護的數據庫；數據庫運行過程中，出現的錯誤信息，可以泄漏數據庫結構，分析這些信息就能實施攻擊。

（4）網絡資源共享：為了工作方便，內部人員經常會使用網絡共享，如果沒有對資源共享，作必要的訪問控制策略，重要的數據信息，就無防護地暴露在網絡中。

3.6 網絡管理的安全

安全管理對于有一定規模的職業院校網絡來說是極其重要的。如果沒有相應制度約束，就會帶來風險：網絡管理人員把校園網絡結構、系統的一些重要信息傳播給外人，會造成信息泄漏；密碼和密鑰管理風險，管理員賬戶及密碼被外人竊取；在約束缺失的情況下，利用網絡和系統的弱點，實施入侵、修改、刪除數據等非法行為；審計不力或無審計，當網絡受到攻擊或其它威脅時，沒有相應的檢測、監控、報告與預警機制。事件發生后，不能提供任何記錄，無法追蹤線索，缺乏對網絡的可控和可審查性。

4 結束語

綜上， 為了把職業院校網絡建成一個全方位、多層次的網絡安全防范體系，從根本上解決校園網絡內外部對網絡安全造成的威脅，首先我們得作風險分析，發現風險，并提出相應的意見和建議，并指導下一步的網絡安全建設。

參考文獻

篇（9）

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）02-0229-01

隨著我國經濟建設和網絡的不斷發展，計算機在生活中得到廣泛應用。但是在計算機發展過程中，局域環境背景下的網絡信息安全問題逐漸受到許多人的關注。計算機網絡安全技術的有效應用，保證了網絡信息的安全性。因此，應有效地將計算機網絡安全技術應用到局域網環境下的計算機網絡中。下文就局域網環境背景下計算機網絡安全存在的威脅和網絡安全技術的應用提出幾點建議。

1 局域網環境背景下的計算機網絡安全的現狀

目前，隨著網絡技術的發展，全球已經進入到信息化和數字化時代。但在普及計算機網絡技術的過程中，出現了一些問題，尤其用戶隱私和機密文件等相關網絡信息的安全問題。隨著廣域網的建立，計算機的安全防御體系也逐漸建立起來，并且在不斷發展和完善中，同時在網絡入口端創建許多的安全監控措施，降低外來的網絡威脅。但相對局域網來說，局域網環境下的計算機網絡安全受到人們的關注，但由于局域網環境下計算機網絡條件的一些限制，許多用于廣域網的監控安全管理手段在局域網環境中并不能完全發揮其作用[1]。

2 局域網環境背景下計算機網絡安全存在的潛在威脅

2.1 計算機病毒

計算機病毒不僅侵擾計算機內部的數據編制程序、內部核心數據理系統，還會破壞計算機指令和程序代碼等，是威脅計算機安全的來源之一。并且隨著網絡技術的發展，各種新型的計算機病毒層出不窮，不僅具有破壞性，而且還有復制功能和傳染性，這給計算機網絡安全造成非常大的影響，影響到局域網環境下的計算機網絡安全。

2.2 缺乏計算機網絡安全意識

隨著通訊技術的發展，應用計算機網絡的人群和行業越來越多，但是人們普遍缺乏計算機網絡安全意識。許多用戶在應用計算機網絡時不使用密碼，而且沒有內外網切換安全意識，并且在使用計算機過程中沒有安裝殺毒軟件，進入不健康的網站等，這些操作都屬于不規范的上網行為，給計算機病毒創造入侵的條件，從而導致數據丟失和信息泄密等，嚴重影響了用戶使用計算機的安全，同時在很大程度上影響網絡正常秩序[2]。

2.3 沒有完善的局域網管理制度

由于我國計算機網絡技術起步較晚，相對局域網的管理方面還不夠完善，無法保障計算機網絡安全，也給計算機網絡安全帶來威脅。另外，由于我國局域網建設處于起步階段，很多技術建設不足，缺乏先進的硬件設施和監控技術等。此外，由于我國沒有完善的局域網管理制度，局域網環境下的計算機網絡存在很大的安全威脅。

3 局域網環境背景下的計算機網絡安全技術應用

3.1 應用計算機防毒技術

首先通過計算機對未知病毒進行查殺，借助人工智能和網絡虛擬技術有效地查殺未知的病毒；其次，通過搜索引擎技術加快掃描病毒的速度，及時有效查找計算機病毒，降低對信息的破壞度；同時還可以通過壓縮智能還原技術，在還原解壓文件時快速查找計算機病毒來源。通過運用計算機防毒技術能夠有效預防計算機病毒的入侵和及時查找已入侵的計算機病毒等。

3.2 應用數據加密技術

首先，在使用計算機的過程中，應該對用戶的個人信息以及機密文件等進行加密設置，從而保證網絡數據下傳輸過程中的安全，在一定程度上避免數據受到他人惡意騷擾、偷聽竊取等；其次，在使用計算機過程中應該運用加密機制的雙重密鑰，能夠有效增加數字傳輸的安全性，保證用戶隱私不外漏。

3.3 強化人們網絡安全意識

人們在使用計算機訪問網絡過程中，許多人都缺乏網絡安全意識。因此，在局域網環境下強化人們的網絡安全意識，定期對一些單位和個人進行網絡安全技術培訓，使人們及時安裝計算機殺毒軟件，培養人們防護計算機網絡安全的意識。

3.4 構建完善的局域網管理制度

為了保障計算機網絡安全，應該構建完善的局域網管理制度。因此，這就要求相關部門應該制定嚴格的計算機網絡安全管理制度，規范外網與內網的訪問，規范網上行為，建立網絡監管機制，避免不規范網上行為將病毒帶入破壞局域網的網絡安全，從而保障局域網環境下計算機網絡的安全。

4 結語

網絡信息安全關乎著每個人的信息安全。因此，針對在局域網環境下計算機網絡存在的病毒入侵、安全意識差、沒有完善的局域網管理制度等潛在威脅，相關部門應該運用相應的網絡安全技術，減少數據信息的外漏。通過運用計算機防毒技術、信息加密技術、構建完善的局域網管理制度等網絡安全技術措施，能夠有效地保證網絡信息的安全，給人們營造安全、舒心的上網環境。

篇（10）

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）04-0000-00

隨著我國社會經濟以及計算機技術的發展，計算機已經成為人們生活與工作中不可或缺的一部分。但是針對計算機網絡方面的安全問題，也引起了人們的普遍關注。尤其是關于局域網的網絡安全，因此應該對網絡中的各種威脅與問題進行針對性的解決，從而促進我國局域網環境的計算機網絡發展。

1局域網環境背景下的計算機網絡安全的現狀分析

當前，全球范圍內的信息化與數字化的利用已經越來越廣泛。然而，在對計算機網絡的應用過程中，也出現了一定的問題，特別是關于網絡安全方面的問題，涉及到用戶與使用單位的隱私與機密性文件。當前，隨著廣域網的積極建立，計算機的安全防御體系已經逐步建立起來，如對漏洞的掃描、防火墻以及網絡邊界等，并且也在不斷地發展與完善中，而且在網絡入口中也集中了許多重要的安全設施，借助監控設施等手段，能夠使來自外網的安全威脅得到極大地降低。相對來說，局域網背景下的安全問題則引起了人們的高度重視，而且在管理手段的作用發揮上也起不到實質性效果[1]。

2局域網環境背景下的計算機網絡安全的威脅

2.1常見的計算機病毒

當前影響局域網計算安全的最普遍的就是計算機病毒。作為一種能夠對計算機各個功能與數據造成破壞的病毒，能夠侵擾計算機內部的數據編制程序，破壞計算機指令以及程序代碼等。由于存在著種類復雜的計算機病毒，而且具有較強的破壞性，自身還具有一定的復制功能，能夠形成一定的轉染性，這對計算機的網絡安全會造成極大的影響。例如，在1988年出現的蠕蟲病毒，將數萬臺電腦造成癱瘓，而當前科學技術的不斷發展，應對計算機的病毒攻克正在進行研究與探討，但當前計算機病毒對網絡安全的威脅仍然比較突出。

2.2計算機的安全意識有待增強

盡管當今社會計算機得到非常迅猛的發展，而且計算機的用戶人群也越來越廣泛，但是從目前來看，計算機用戶的安全意識卻比較薄弱。普遍情況下，大部分的網絡用戶不能運用密碼進行上網，而且頻繁切換內外網的現象比較突出，而且一些用戶不能事先檢查殺毒軟件就進行上傳與下載，這些都屬于不規范的上網行為，也會為計算機病毒的入侵創造條件，嚴重的會造成丟失數據，以及信息的泄密等，因此應該增強計算機用戶的網絡安全意識。

2.3局域網自身的問題

由于計算機的局域網建設還處于初級發展階段，而且局域網的管理方面的建設還不夠完善，而這些都是計算機網絡安全的重要保障。然而不完善的網絡安全管理也會為計算機的安全帶來威脅；另外，我國的局域網建設的經濟保障還不夠，缺乏先進的硬件設施與技術輸出等，這會影響局域網絡管理制度的發展。而對于一種核心問題，計算機的網絡安全應該加強局域網管理制度的完善，使計算機網絡用戶能夠安全、舒心地上網。

3局域網環境背景下應對計算機網絡安全的合理舉措

3.1運用病毒防護技術

首先，要對未知病毒進行查殺，這種技術主要與人工智能技術與虛擬技術進行結合，可以查殺未曾出現過的病毒；其次，可以借助智能引擎技術的作用，可以有效提升病毒的掃描速度，以此實現對病毒的快速查找，使損害信息大大減少；再有，可以運用壓縮智能的還原技術[2]。這種技術手段可以主要是對內存中的壓縮文件而言的，可以還原被解壓的文件，以此實現對病毒來源的快速查找。

3.2數據加密技術的積極運用

在使用計算機網絡過程中，應該進行對個人信息的加密設置，保證網絡數據在傳輸過程中的安全，避免受到他人的惡意破壞、篡改以及竊聽等，因此加密操作是非常必要的。只有通過加密操作，才能防止信息被惡意竊取時間的發生。對于他人來說，如果沒有相應的密鑰就不能還原原來的數據，以此使傳輸數據的安全性與穩定性得到一定的增強。在設置密鑰過程中，應該運用對稱與不對稱相結合的加密機制，能夠有效增加傳輸數據的安全性。除此以外，用戶還要進行兩種密鑰的設置，秘密密鑰與公開密鑰。秘密密鑰只是用戶自身擁有。兩種密鑰可以為信息安全設置雙重保險，從而保證用戶密鑰不致丟失，以此出現信息泄露事件等。

3.3加強對操作人員的網絡安全培訓

操作人員在計算機網絡安全的防護中發揮著重要作用，各種入侵攻擊的積極發現以及防護措施的實施等。因此，應該加強操作人員的培訓工作，才能保證信息安全。努力提升操作人員的安全意識，提升管理人員的總體素質與能力。

3.4構建嚴格的局域網絡管理制度

為了積極保證計算機的網絡安全，應該對局域網絡的安全管理制度進行健全與完善。所以，對于相關部門來說，應該進行計算機網絡安全管理制度的嚴格制定，嚴格限制對內外網的訪問，以免在內外網進行切換過程中帶入病毒到內網中，以此造成對局域網的破壞。

3.5入侵檢測技術的合理運用

作為入侵檢測技術來說，可以對計算機系統中的異常現象進行快速發現，還能察覺未經授權的現象等。與此同時，關于對網絡安全策略的違反行為，入侵檢測技術也能進行檢測與預防。在使用過程中，可以在計算機系統受到侵害之前，察覺到攻擊者的行為，并借助一定的防護手段加以防護，再向報警系統通知，避免攻擊現象繼續進行[3]。此外，入侵檢測系統還具有異常檢測與誤用檢測等，其中的機器學習與統計分析比較普遍。

4結語

綜上，要想促進我國局域網網絡的發展，保障網絡安全只借助殺毒軟件與防火墻是遠遠不夠的。應該將內外部的防護工作合理配合，提升操作人員的安全意識與知識技能等，為保障局域網的網絡安全作出積極貢獻。

參考文獻

[1]沈宇.計算機局域網網絡安全建設的探討[J].科技傳播，2012，（24）：45-46.

[2]陳秀君.計算機網絡安全與防火墻技術探究[J].軟件導刊，2011，（10）：41-42.

篇（11）

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-1302（2016）11-0-03

0 引 言

隨著電子政務外網的發展，各省市電子政務外網平臺的建設均已成熟，多數省市電子政務外網平臺建設之初采用的是物理機傳統架構部署方式。隨著信息技術的發展，云計算技術應運而生，電子政務云平臺的建設風生水起。然而無論是傳統架構還是在云計算環境下，電子政務外網平臺面臨的風險越來越多，本文就這兩種架構下電子政務外網平臺的安全如何建設進行分析，提出相應的解決方案。

1 建設方案

電子政務外網平臺的安全建設應根據業務應用特點及平臺架構層特性，應用入侵檢測、入侵防御、防病毒網關、數據加密、身份認證、安全存儲等安全技術，構建面向應用的縱深安全防御體系。電子政務外網平臺安全建設可從分析確定定級對象及安全等級、構建安全保障體系、明確安全邊界、安全技術保障、安全運維保障、安全制度保障、云計算環境下電子政務外網平臺安全保障幾方面考慮。

1.1 分析確定定級對象及安全等級

信息系統安全等級共分為五級，根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級指南（GB/T 22240-2008）》，結合國家相關行業標準規范，分析確定定級對象及安全等級。本文以構建信息系統安全等級第三級標準安全建設進行探討。

1.2 構建安全保障體系

電子政務外網平臺安全保障可從安全技術保障、安全運維保障、安全制度保障三個方面著手考慮，根據“中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統安全等級保護定級基本要求（GB/T 22239-2008）》進行建設。物理機傳統架構下的電子政務外網平臺安全保障體系架構如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示：

（1）以保障電子政務外網平臺信息系統的業務、管理、控制數據處理活動、數據流的安全為根本出發點，保障平臺安全；

（2）每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環境、安全策略等；

（3）根據“信息安全等保”要求，網絡規劃時避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；

（4）根據《國家電子政務外網跨網數據安全交換技術要求與實施指南》，部署數據安全交換隔離系統，保障數據交換安全；

（5）對接入邊界進行安全防護。

1.3.2 安全邊界劃分

電子政務外網平臺可劃分為DMZ區、內部數據中心、互聯網出口區、安全及運維管理區、邊界接入區五大區域。電子政務外網安全邊界劃分圖如圖2所示。

（1）DMZ區

DMZ區部署面向互聯網的業務系統，包括門戶網站、郵件服務等，應根據實際需求部署相應的安全策略。

（2）內部數據中心

內部數據中心區部署協同辦公等內部應用系統，可根據實際需求分為多個邏輯區域，如辦公業務區、測試區等，應根據實際需求部署相應安全策略。

（3）互聯網出口區

互聯網出口區為電子政務外網平臺互聯網接入邊界，與運營商網絡直連。該區域直接面向互聯網出口區域，易被不法分子利用網絡存在的漏洞和安全缺陷對系統硬件、軟件進行攻擊，可在該區部署相應的防火墻策略，并結合入侵防御、安全審計等技術提供立體的、全面的、有效的安全防護，允許合法用戶通過互聯網訪問電子政務外網。

（4）安全及運維管理區

提供安全管理運維服務，保障電子政務外網平臺的安全。提供統一網絡管控運維服務，保障整網設備及業務系統信息正常運行。

（5）邊界接入區

根據國家相關規范，對專網、企事業接入單位或其它系統接入電子政務外網時，應在訪問邊界部署防火墻、入侵防御系統，與“政務云”實現物理邏輯隔離，進行安全防護。

1.4 安全技術保障

采用傳統架構的電子政務外網平臺技術安全保障可從物理安全、網絡安全、主機安全、應用安全、數據安全五個方面進行考慮，可通過部署相應產品或配置服務進行安全保障。

1.4.1 物理安全

物理安全主要涉及環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面。該部分主要體現為機房及弱電的建設標準、規范，技術環節應符合相關等級保護要求。

1.4.2 網絡安全

網絡安全主要包括網絡結構、網絡邊界以及網絡設備自身安全等，具體包括結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護七個方面，關鍵安全技術保障措施如下所示：

（1）劃分安全域，根據各安全域安全建設需求采用相應的安全策略。

（2）通過合理部署IPS、防火墻對網絡進行邊界隔離和訪問控制，并實現對網絡攻擊的實時監測，即時中斷、調整或隔離一些不正常或具有傷害性的網絡行為。

（3）部署防DDoS攻擊設備，及時發現背景流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進行攔截，保證正常流量通過。

（4）可在互聯網出口處部署鏈路負載均衡設備，加強網絡數據處理能力、提高網絡的靈活性和可用性。

（5）采用上網行為管理、流量控制等設備，對網絡流量進行實時監控管理，實現員工對終端計算機的管理和控制，規范員工上網行為，提高工作效率，實現流量控制和帶寬管理，優化網絡。

（6）對關鍵設備采用冗余設計，并在重要網段配置ACL策略以保障帶寬優先級。

（7）采用安全審計技術，按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能。

1.4.3 主機、應用安全

主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面，關鍵安全技術保障措施如下所示：

（1）惡意代碼可直接利用操作系統或應用程序的漏洞進行傳播，可部署惡意代碼監測、病毒防護系統及漏洞掃描等系統，通過主動防御可有效阻止病毒的傳播，及時發現網絡、主機、應用及數據庫漏洞并修復，保障電子政務外網平臺安全。

（2）利用身份認證技術及訪問控制策略等技術保障主機應用安全，不允許非預期客戶訪問。

（3）運用審計技術保障主機應用安全，實時收集和監控信息系統狀態、安全事件、網絡活動，以便進行集中報警、記錄、分析、處理。

（4）采用應用負載均衡技術、操作系統用戶登錄等技術實現資源的優化控制。

（5）可部署Web應用防火墻、網頁防篡改等系統，做到事前主動防御，智能分析、屏蔽或阻斷對目錄中的網頁、電子文檔、圖片、數據庫等類型文件的非法篡改和破壞，保障系統業務的正常運營，全方位保護Web應用安全。

1.4.4 數據安全

數據安全主要包括數據的保密性、完整性及備份和恢復，關鍵安全技術保障措施如下所示：

（1）可對不同類型業務數據進行物理上或邏輯上隔離，并建設數據交換與隔離系統以保障不同安全等級的網絡間的數據交換安全。

（2）采用雙因素認證進行數據訪問控制，不允許非預期客戶訪問，對違規操作實時審計報警。

（3）采用VPN、數據加密、消息數據簽名、摘要等技術對數據傳輸進行加密，防止越權訪問機密信息或惡意篡改。

（4）采用數據庫冗余部署，防范數據丟失風險，為業務系統穩定運行提供保障，可考慮建設同城或異地容災。

（5）部署數據庫審計設備可在不影響被保護數據庫性能的情況下，對數據庫的操作實現跟蹤記錄、定位，實現數據庫的在線監控，為數據庫系統的安全運行提供了有力保障。

1.5 安全運維保障

安全運維保障可通過安全管理平臺，建立與安全工作相配套的集中管理手段，提供統一展現、統一告警、統一運維流程處理等服務，可使管理人員快速準確的掌握網絡整體運行狀況，整體反映電子政務外網平臺安全問題，體現安全投資的價值，提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統、網管系統和運管系統之間以及上下級系統之間的接口。

1.6 安全制度保障

面對形形的安全解決方案，“三分技術、七分管理”。若僅有安全技術防護，而無嚴格的安全管理相配合，則難以保障網絡系統的運行安全。系統必須有嚴密的安全管理體制來保證系統安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮，建立完善的應急體制。

1.7 云計算環境下電子政務外網平臺的安全保障

云技術是基于云計算商業模式應用的網絡技術、信息技術、整合技術、管理平臺技術、應用技術等的總稱，可以組成資源池，按需所用，靈活便利。隨著時代的發展，云計算技術已變成信息系統主流基礎架構支撐。由于云計算平臺重要支撐技術是采用虛擬化實現資源的邏輯抽象和統一表示，因此在云計算環境下進行電子政務外網云平臺安全保障體系建設，僅僅采用傳統的安全技術是不夠的，除滿足上述物理安全、網絡安全、主機安全、應用安全、數據安全技術保障，運維安全保障，安全制度保障需求之外，還應考慮虛擬化帶來的新的安全風險。云計算環境下電子政務外網云平臺安全保障體系如圖3所示。

1.8 虛擬化安全

當前，云計算虛擬化安全技術還不成熟，對虛擬化的安全防護和保障技術測評則成為云環境等級保護的一大難題，主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風險、虛擬機管理平臺安全等方面。可采取如下安全保障措施[2]：

（1）將可信計算技術與虛擬化技術相結合，構建可信的虛擬化平臺，形成完整的信任鏈；

（2）可建設分級訪問控制機制，根據分層分級原則制定訪問控制策略，實現對平臺中所有虛擬機的監控管理，為數據的安全使用和訪問建立一道屏障；

（3）可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網關等技術實現虛擬機間的安全隔離。

2 SDS安全保障技術簡介

軟件定義安全（Software Defined Security，SDS）是從軟件定義網絡（Software Defined Network，SDN）延伸而來，將安全資源進行池化，通過軟件進行統一調度，以完成相應的安全功能，實現靈活的安全防護。簡單來說，傳統的安全設備是單一防護軟件架構在一臺硬件設備之上，通常串接或旁掛于網絡中，不僅將網絡結構復雜化，對不同廠家的安全設備進行統一管理的復雜度也較高，需單獨的物理安裝空間。而SDS可以將其看作一個軟件，靈活調配安全設備資源，實現靈活的網絡安全防護框架，方便調整。

3 結 語

在大數據時代下，SDS是順應時展趨勢、簡化安全管理的訴求，但由于SDS應用尚未完全成熟，仍需經過實踐的檢驗。