開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全等級保護辦法，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

本報訊 7月20日，公安部、國務院信息辦等4部門在北京聯合召開“全國重要信息系統安全等級保護定級工作電視電話會議”，部署在全國范圍內開展重要信息系統安全等級保護定級工作(以下簡稱“定級工作”)。國家信息安全等級保護協調小組組長、公安部副部長張新楓，國務院信息化工作辦公室副主任、國家網絡與信息安全協調小組辦公室主任楊學山出席會議并講話。

張新楓指出，當前，我國信息安全面臨的形勢仍然十分嚴峻，維護國家信息安全的任務非常艱巨、繁重。隨著我國經濟的持續發展和國際地位的不斷提高，我國的基礎信息網絡和重要信息系統面臨的安全威脅及安全隱患比較嚴重，計算機病毒傳播和網絡非法入侵十分猖獗，網絡違法犯罪持續大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技術、網絡釣魚技術、木馬間諜程序等新技術，進行網絡盜竊、網絡詐騙、網絡賭博等違法犯罪，給用戶造成嚴重損失。特別是“科技奧運”和“數字奧運”是2008年北京奧運會的一大亮點，網絡與信息安全已經成為事關北京奧運安全的重大問題之一。

張新楓強調，信息安全等級保護制度是國家信息安全保障工作的基本制度。為了加快推進信息安全等級保護工作，此前，公安部、國務院信息辦等部門已聯合出臺了有關信息安全等級保護工作的實施意見、管理辦法等相關文件。定級是等級保護工作的首要環節，是開展信息系統建設、整改、測評、備案、監督檢查等后續工作的重要基礎。此次定級工作的主要內容：一是開展信息系統基本情況的摸底調查，確定定級對象。二是信息系統主管部門和運營使用單位按照等級保護管理辦法和定級指南，初步確定定級對象的安全保護等級，請專家進行評審，并報經上級行業主管部門審批同意。三是信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安機關備案。公安機關和國家有關部門受理備案后，要對信息系統的安全保護等級和備案情況進行審核、管理。

會議由公安部公共信息網絡安全監察局局長李昭主持，公安部公共信息網絡安全監察局副局長、國家網絡與信息安全信息通報中心主任顧建國對定級工作作了具體說明。

第2篇

關鍵詞：信息安全；等級保護；技術方案

中圖分類號：TP393.092

隨著采供血業務對信息系統的依賴程度越來越高，信息安全問題日益突現，各采供血機構對信息安全保障工作給予了高度重視，各方面的信息安全保障工作都在逐步推進?！缎l生行業信息安全等級保護工作的指導意見》（衛辦發[2011]85號）指出[1]，依據國家信息安全等級保護制度，遵循相關標準規范，全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛生行業信息安全防護能力、隱患發現能力、應急能力，做好信息安全等級保護工作，對于促進采供血機構信息化發展，維護公共利益、社會秩序和國家安全具有重要意義。

1 信息安全等級保護概述

1994年國務院147號令《中華人民共和國計算機信息系統保護條例》，規定我國實行“計算機信息安全等級保護制度”[2]。根據147號令的要求，公安部制定了《計算機信息等級劃分標準》（GB17859-1999以下簡稱GB17859），該標準是我國最早的信息安全等級標準。

當前實施的信息安全等級保護制度是由公安部等四部委聯合發文《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）及《信息安全等級保護管理辦法》（公通字[2007]43號），文件明確了信息安全等級保護制度的原則、內容、工作要求、部門分工和實施計劃，為信息安全工作提供了規范保障。這些信息安全的有關政策法規主要是從管理角度劃分安全等級的要求。

2006年，國家信息安全技術標準化技術委員會以GB17859為基本依據，提出并制定了一系列信息安全國家標準（GB/T20269-2006《信息安全技術 信息系統安全管理要求》等）。這一系列規范性文件體現了從技術角度劃分信息安全等級的要求，主要以信息安全的基本要素為單位，對實現不同安全要求的安全技術和機制提出不同的要求。本文主要討論以GB17859為依據從技術角度探討信息安全等級保護技術在采供血機構中的實踐。

2 等級保護技術方案

信息安全等級保護制度明確了信息安全防護方案，要求確保信息系統安全穩定運行，確保信息內容安全。保證業務數據在生成、存儲、傳輸和使用過程中的安全，重要業務操作行為可審計，保證應用系統可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞，防范惡意人員對信息系統資源的非法、非授權訪問。

2.1 實現要求。三級安全應用平臺安全計算環境的安全目標是保護計算環境的終端、重要服務器、乃至上層的應用安全和數據安全，并對入侵事件進行檢測/發現、防范/阻止和審計/追查。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡、安全管理中心及四個部分，形成“一個中心”三重保障體系[3]。

圖1 三級安全應用平臺TCB模型

2.2 安全計算機環境。安全計算機環境是由安全局域通信網絡連接的各個安全的計算資源所組成的計算環境，其工作方式包括客戶/服務器模式；主機/終端模式；服務器/工作站模式。

2.3 安全區域邊界。是安全計算環境通過安全通信網絡與外部連接的所有接口的總和，包括防火墻、防病毒網關及入侵檢測等共同實現。

2.4 安全通信網絡。實現信息系統中各個安全計算機環境之間互相連接的重要設施。包括安全性檢測、安全審計病毒防殺、備份與故障恢復以及應急計劃與應急反應。

2.5 安全管理中心。針對安全計算機環境、安全區域邊界和安全通信網絡三個部分的安全機制的集中管理設施。針對安全審計網絡管理、防病毒等技術的安全集中管理。

3 采供血機構信息系統等級保護建設

3.1 定級。采供血機構為地市級公益衛生事業單位，信息管理系統受到破壞會嚴重損害社會秩序，采供血業務停滯會嚴重損害公共利益，信息泄露則會嚴重影響公眾利益，按信息系統安全等級保護定級指南，確定采供血信息系統安全保護等級為第三級。

3.2 系統分析。采供血信息系統覆蓋采供血業務和相關服務過程，包括獻血者檔案、血液采集、制備、檢驗和發放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據國家相關法律法規的要求，必須防止泄露，以免產生對國家安全及社會穩定的負面影響。

信息系統核心由兩臺雙機熱備服務器、磁盤陣列柜組成，采用硬件VPN、硬件防火墻作為網絡安全設備。應用VPN技術將遠離采供血機構本部的獻血屋、移動采血車及醫院輸血科使用的業務計算機與站內的服務器聯網。

3.3 等級保護建設。依據GB17859-1999等系列標準把相關技術要求落實到安全計算環境、安全區域邊界和安全通信網絡和安全管理中心四部分。構建“一個中心”管理下的“三重保障體系”，實現拓樸圖如下：

圖2 采供血機構拓撲圖

3.3.1 安全計算環境。系統層主要進行身份認證及用戶管理、訪問控制、安全審計、審惡意代碼防范，補丁升級及系統安全性檢測分析。安全計算環境主要依靠在用戶終端或是服務器中充分挖掘完善現有windows/Linux操作系統本身固有的安全特性來保證其安全性。在應用系統實現身份鑒別、訪問控制、安全審計等安全機制。

3.3.2 安全區域邊界。在網絡邊界處以網關模式部署深信服下一代防火墻AF-1320，電信及聯通兩條線路都接入其中，達到以下防護目的：（1）區域邊界訪問控制：邏輯隔離數據、透明并嚴格進行服務控制，隔離本單位網絡和互聯網，成為網絡之間的邊界屏障，單位內部電腦上網，實施相應訪問控制策略，設置自主和強制訪問控制機制；（2）區域邊界包過濾：通過檢查數據包源地址、過濾與狀態檢測提供靜態的包過濾和動態包過濾功能；（3）區域邊界安全審計：由內置數據中心和獨立數據中心記錄各類詳細事件，并產生統計報表。還可根據管理者定義的風險行為特征自動挖掘并輸出風險行為智能報表；（4）完整性保護：保護計算機網絡免受非授權人員的騷擾與黑客的入侵，過濾所有內部網和外部網之間的信息交換。該防火墻具有IPS入侵防護，防護類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等；具有網絡應用層防護，識別及清殺惡意代碼功能。

3.3.3 安全通信網絡。當用戶跨區域訪問時，根據三級標準要求，需要進行數據傳輸保護。通過部署VPN安全設備構建安全隧道，實施機密性和完整性保護，實現對應用數據的網絡傳輸保護。（1）本單位用采兩臺深信服VPN網關為跨區域邊界的通信雙方建立安全的通道。一臺為IPsec VPN用于連接采供血機構的分支機構如大型獻血屋，另一臺為SSL VPN用于小型捐血屋、流動采血車、各醫院與采供血機構的數據通信。VPN設備可為采供血機構內部網絡與外部網絡間信息的安全傳輸提供加密、身份鑒別、完整性保護及控制等安全機制。另外，VPN安全網關中設計了審計功能來記錄、存儲和分析安全事件，可為安全管理員提供有關追蹤安全事件和入侵行為的有效證據；（2）在防火墻下端部署華為S5700系列三層核心交換機，并在網絡中劃分VLAN，設置部門應用終端的訪問權限，規定哪些部門可以訪問哪些服務器等以減少網絡中的廣播風暴，提高網絡效率；（3）在行政辦公區域利用深信服上網行為管理（Sinfor-M5000-AC）有效管理與利用互聯網資源，合理封堵非業務網絡應用。

3.3.4 安全管理中心。信息安全等級保護三級的信息系統，應建立安全管理中心，主要用于監視和記錄信息系統中比較重要的服務器、網絡設備等環節，以及所有應用系統和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成，配置賽門鐵克賽門鐵克SEP12.1，采用分布式的體系結構部署了防病毒系統中心、防病毒服務器端、防病毒客戶端、防病毒管理員控制臺。防病毒軟件與防火墻、VPN及上網行為管理協同完成通信線路、主機、網絡設備、應用軟件的運行等監測和報警，并形成相關報表。對設備狀態、惡意代碼、補丁升級及安全審計等相關事項進行集中管理。

4 結束語

按照等級保護的相關規范和技術要求，結合采供血機構具體網絡和系統應用，設計三級信息安全等級保護方案并建設，保證采供血機構網絡的安全、穩定、通暢，保障了整個采供血業務的正常運轉，更好地服務于廣大患者。

參考文獻：

[1]網神信息技術（北京）股份有限公司[J].信息網絡安全，2012（10）：28.

[2]郎漫芝，王暉，鄧小虹.醫院信息系統信息安全等級保護的實施探討[J].計算機應用與軟件，2013（01）：206.

[3]胡志昂，范紅.信息系統等級保護安全建設技術方案設計實現與應用[M].北京：電子工業出版社，2011：98-104.

第3篇

關鍵詞:電子政務信息安全

0引言

隨著電子政務不斷推進，社會各階層對電子政務的依賴程度越來越高，信息安全的重要性日益突出，在電子政務的信息安全管理問題中，基于現實特點的電子政務信息安全體系設計和風險評估[1]模型是突出的熱點和難點問題。本文試圖就這兩個問題給出分析和建議。

1電子政務信息安全的總體要求

隨著電子政務應用的不斷深入，信息安全問題日益凸顯，為了高效安全的進行電子政務，迫切需要搞好信息安全保障工作。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行，另一方面要保護運行在內部網上的敏感數據與信息的安全，因此應充分保證以下幾點：

1.1基礎設施的可用性：運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵，網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。

1.2數據機密性：對于內部網絡，保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。

1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下，只有經過認證的設備可以訪問網絡，并且能明確地限定其訪問范圍，這對于電子政務的網絡安全十分重要。

1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失，硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此，在電子政務安全體系中必須包括數據的容災與備份，并且最好是異地備份。

2電子政務信息安全體系模型設計

完整的電子政務安全保障體系從技術層面上來講，必須建立在一個強大的技術支撐平臺之上，同時具有完備的安全管理機制，并針對物理安全，數據存儲安全，數據傳輸安全和應用安全制定完善的安全策略

在技術支撐平臺方面，核心是要解決好權限控制問題。為了解決授權訪問的問題，通常是將基于公鑰證書（PKC）的PKI（PublicKeyInfrastructure）與基于屬性證書（AC）的PMI（PrivilegeManagementInfrastructure)結合起來進行安全性設計，然而由于一個終端用戶可以有許多權限，許多用戶也可能有相同的權限集，這些權限都必須寫入屬性證書的屬性中，這樣就增加了屬性證書的復雜性和存儲空間，從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題，作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成，在該模型中：

2.1終端用戶：向驗證服務器發送請求和證書，并與服務器雙向驗證。

2.2驗證服務器：由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制，是安全模型的關鍵部分。

2.3應用服務器：與資源數據庫連接，根據驗證通過的用戶請求，對資源數據庫的數據進行處理，并把處理結果通過驗證服務器返回給用戶以響應用戶請求。

2.4LDAP目錄服務器：該模型中采用兩個LDAP目錄服務器，一個存放公鑰證書（PKC）和公鑰證書吊銷列表（CRL），另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。

安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理，安全技術實際上只是實現管理的一種手段，再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實；安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。

3電子政務信息安全管理體系中的風險評估

電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析，構建電子政務系統的風險因素集。

3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義，結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素，采取相應的安全保護措施以保障信息和信息系統的安全。

3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子，其他文獻，例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法，另外，一些組織還提出了自己的風險評估工具，例如OCTAVE、CRAMM等。

電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南，從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中，資產的評估主要是對資產進行相對估價，其估價準則依賴于對其影響的分析，主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估，主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

在確定風險評估方法后，還應確定接受風險的準則，識別可接受的風險級別。

4結語

電子政務與傳統政務相比有顯著區別，包括:辦公手段不同，信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同，實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同，直接與公眾溝通是實施電子政務的目的之一，也是與傳統政務的重要區別。在電子政務的信息安全管理中，要抓住其特點，從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案，這樣才能達到全方位實施信息安全管理的目的。

參考文獻：

[1]范紅，馮國登，吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.

第4篇

1計算機網絡安全的應對措施

1.1技術層面

在技術層面，針對廣泛的計算機網絡系統的安全威脅，可以采取相應的應對措施.首先，設置防火墻是一般企業進行網絡防御的基本措施，也是維護網絡安全的重要措施.防火墻的試著一般是進行訪問尺度的控制，將不可訪問的IP進行阻擋，放行允許訪問的IP，這樣的方式可以有效的避免不安全的IP和軟件的侵入和攻擊.其次，在企業網絡中設置關鍵部位的入侵檢測系統也是十分有效的方式，對于網絡中存在的異常行為進線檢測并發出報警信息，不僅能夠檢測到網絡入侵和攻擊，還能檢測企業內網之間的攻擊，在很大程度上彌補了防火墻的不足和功能缺陷，更好的為企業進行網絡攻擊的防御.除了以上所說的系統防護之外，還有相關的物理隔離與信息交換系統，此系統可以將影響到局域網安全的VLAN進行隔離，阻擋了其與企業內網和外網之間的信息傳遞，這樣的系統技術效果優于防火墻和入侵檢測系統.在操作系統安全當中，對于很多不需要使用的端口，可以關掉.對于病毒的防護一般常常采用殺毒軟件和系統檢測軟件相結合的方式，對系統整體的病毒進行查殺和漏洞掃描，時時保證網絡運行的安全性，保證系統能夠安全的運行，系統漏洞能夠及時的更新并得到彌補.對于企業內部沒有得到安全認證的移動設備進行監控，違反企業網絡使用相關制度的操作也進行嚴加控制，將違法的監控設備進行相關的隔離，進行更多的網絡隔離度保障，全面確保網絡安全.技術方面的加強除了以上系統上的防患方法，通過網絡反病毒能力的提高實現病毒和惡意攻擊的防護之外，還應當研發并完善高安全的網絡操作系統，研發網絡系統的操作更加人性化和高安全性能的網絡操作系統，做到系統軟硬件之間更加完善的配合.

1.2管理層面

計算機網絡系統的安全管理，除了技術層面上的完善之外，還要加強管理層面的建設.對于計算機安全保護法律、法規的力度也是十分重要的，只有做到技術防范與相關法律法規的雙項管理，才能保證計算機網絡安全效果更好的實現.計算機網絡的安全管理，首先要建立安全管理機構，加強計算機網絡的立法和執法管理，進行相應的計算機用戶的安全教育，提高計算機用戶的道德意識和安全意識，防止計算機犯罪行為的發生，還可以更好的預防計算機黑客的攻擊，計算機網路安全管理能力的加強也是十分重要的.計算機安全法、犯罪法、數據保護法等的教育和普及也是很重要的.維護計算機網絡和系統的安全，進行更多的計算機安全教育讓使用人員更好的進行使用之外，還應當建立相關的維護和管理制度，對于計算機的使用進行嚴格的管理、控制，對資料、機房等都應當設有專門的安全保護方案，進行嚴格的分工管理和等級管理制度，將企業內部的計算機使用嚴格的控制起來，保證計算機網絡的全面安全.

2計算機網絡安全防范體系的建立

企業要加強計算機網絡安全管理能力，最好的辦法就是建立計算機網絡安全防范體系，完善的安全管理體系是保證計算機網絡安全的有效手段和措施，從全局的觀念入手，進行企業計算機網絡系統的全面監督和控制，這樣的方式可以起到最佳的效果，要實現計算機網絡系統全面的安全維護，建立完善的網絡安全體系是非常有必要的.計算機網絡安全防范體系的建立是企業信息化發展的未來趨勢，是計算機網絡安全環境創造的重要措施，企業要實現信息化和現代化的管理，就必須建立完善的計算機網絡安全防范體系，以確保計算機網絡環境受到全面的監控和管理，全面杜絕安全隱患的產生.計算機網絡安全防范系統的建立，有很多值得注意的方面，要結合企業的實際情況進行相應的計算機系統是設計，構建適合企業自身需求的信息安全和網絡防御系統，以下就安全防御系統建立需要注意的幾點進行具體的討論與介紹:首先，企業網絡應當進行相應的分區，例如企業的生產專用網絡要與企業其他專用網絡進行相應的隔離，這樣是為了防止其中一個專用網絡受到病毒感染或者攻擊時，其他專用網絡不會受到影響和牽連，將外部攻擊和威脅可能造成的傷害降至最低.其次，在網絡防范系統的建立中還應當注意企業信息安全等級的劃分，對于企業的機密信息和重要信息應當進行特別設置，進行信息不同重要程度的劃分是為了設置不同的信息使用權限，進行重要信息更多的安全防護，使用不用的安全區域對不同安全等級的信息進行相應的安全管理和設置.同時，在計算機網絡安全系統建設中，相應的防火墻以、物理隔離以及入侵檢測等系統技術防護措施要堅持使用，用于保證企業系統的正常運行.還有，企業內部的網絡流量也應當有相應的規章和要求，進行流量的使用限制，保證企業內部網絡的暢通和穩定.最后，對于企業內部的系統使用應當進行相應的授權和控制，只有正規的授權管理，才能保證企業內部信息使用的更多安全，企業內部系統能夠更加正常穩定的運行.總而言之，要實現企業計算機網絡安全系統的建立，加強企業網絡安全的管理能力，除了實現計算機網絡防護軟件和硬件設施的完善管理，實現技術管理與行政管理的資額調和做之外，還應當建立層次分明的網絡保護系統防范體系，對于企業的網絡安全系統應當結構應當形成結構完整、由核心到各層次的完美配合，內外之間的嚴格限定和系統保護措施的完善執行，加強企業的層次網絡保護機制建設，將企業網絡進行內網和外網的隔離，進行專用網絡的隔離，進行安全等級的設置等，并結合先進的網絡防護技術和完善的計算機網絡管理措施，進行企業計算機網絡有層次、有規范的管理，實現計算機網絡安全系統安全系數的全面提升.

3結語

隨著信息化的不斷發展，計算機網絡系統安全已經成為企業發展的重要管理工作之一，面對來自內部和外部的眾多系統安全威脅，要加強企業計算機網絡安全管理的能力，就要在技術層面和管理層面采取相應的應對措施，并建立完善的計算機網絡安全防范體系，實現企業全面化的計算機網絡安全，全面提高企業的信息化程度和水平.

作者：李振美單位：濟寧學院計算機科學系

第5篇

[關鍵詞] 網絡 信息安全 法律保障

美國2002年《聯邦信息安全管理法》規定，信息安全指確保信息和信息系統免受非授權訪問、使用、披露、中斷、修改或破壞，以實現完整性、機密性、可用性。那么，網絡信息安全就是指在網絡環境下確保網絡基礎設施免遭干擾、破壞，從而實現網絡信息的完整性、保密性、可用性和真實性。

互聯網是一個開放的網絡，任何團體或個人都可以在網上方便地傳送和獲取各種各樣的信息。由于網絡的迅速發展而自身的安全防護能力很弱，許多應用系統處于不設防狀態，存在著極大的安全風險和隱患。網絡在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全方面的巨大挑戰。近年來，因網絡信息安全而造成的突出事件，如“艷照門事件”、“熊貓燒香事件”等引起了人們的廣泛關注，也使我們認識到建立網絡信息安全的緊迫性與必要性。網絡信息不安全可以毀人一輩子，會帶來嚴重的、惡劣的社會影響和巨大的經濟損失。有人言：電腦不可靠！網絡更不可靠！在互聯網時代是否真的無安全可言？除了本身技術手段之外，我們的法律體系對網絡信息安全還要去如何加強？這都是我們需要繼續努力的方向和思考的問題。從法律的角度來探求網絡信息安全的保障，到底有什么樣的規范和措施呢？

首先，要明確法律責任的責任主體。法律責任就是由特定法律事實所引起的對損害予以賠償、補償或接受懲罰的特殊義務。責任主體是指因違反法律、違約或法律規定的事由而承擔法律責任的人，包括自然人、法人和其他社會組織。責任主體對于法律責任的有無、種類、大小有著密切的關系。

目前，我國法制體系中就網絡信息安全問責中主要是針對違法犯罪的自然人，而忽略了網站的法律責任。本文認為要建立網絡信息安全的保障，需要強化個人與網站雙方的法律責任。在網絡違法犯罪過程中，人是主謀，網站則是主要幫兇。日前，鬧得沸沸揚揚的“艷照門事件”中，我們追究了原始投放者的法律責任和傳播者的法律責任。而且在我國《刑法》中第三百六十四條明確規定：傳播的書刊、影片、音像、圖片或者其他物品，情節嚴重的，處二年以下有期徒刑、拘役或者管制。其別強調了非牟利的傳播也可以構罪。但對于網站傳媒僅僅從道德上予以回擊，而缺乏法律約束及相關法律責任的追究。

按照引起責任的法律事實與責任人的關系的不同，法律責任可以分為直接責任、連帶責任和替代責任。根據法律責任的類型可把法律責任分為民事法律責任、行政法律責任、刑事法律責任和違憲責任。在危害網絡信息安全的法律問責中，原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴重的，應承擔直接法律責任與刑事法律責任。后承違法犯罪人（傳播者等）所造成的不利后果是直接的、有一定危害性的，應承擔直接法律責任與民事法律責任，情節特別嚴重的也應追究其刑事責任，這在我國現有法律體系中已有明確規定。網站傳媒作為社會組織，理應具有職業操守與社會責任感，是公民權利的代言人，是網絡信息安全的管理者與執行者，如在維護網絡信息安全的過程中成為了公民私權的侵犯者，除了予以道德譴責之外，還要承擔一定的法律責任，即相應的連帶法律責任與民事法律責任。

其次，要以法律手段強化網絡監管。俗話說：三分技術，七分管理。這在網絡信息安全領域也同樣適用。據有關部門統計，在所有的網絡安全事件中，約有52%是人為因素造成的，25%由火災、水災等自然災害引起，技術錯誤占10%，組織內部人員作案占10%，僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達70%以上，而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此，在維護網絡信息安全過程中，網絡監管是關鍵，并且應由一定的法律來強制保障實行。

以法律強制手段推行網絡實名制。網絡實名制指在網絡環境中傳遞信息時應使用真實身份資料認證的制度。網絡以計算機為依托，借助一定的計算機符號來承載信息，帶有很強的虛擬性。在這個虛擬性高的空間來實現非虛擬的信息安全管理具有一定的難度，因此就需要用法律的強制手段來推行。比如：上傳網絡信息的法律約束與管理。無論是個人還是集體要在網絡中上傳信息應受到一定的法律約束。不能是任何人任何時候都可以在任何網站上傳任何信息，如要上傳，應有特定的監管程序通過網絡實名制的信息庫檢驗其身份資格的合法性才能進行。當然這其中涉及到一個公民私權（個人隱私權等）的規避問題，但是我們的法律可以先在部分網站、部分領域實行網絡實名制，等到條件成熟之后再全面推行。

進一步推廣與完善電子簽名及相關法律。電子簽名也稱作“數字簽名”，是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章，它采用規范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項數據電文內容信息的認可。2004年8月，我國正式頒布了《中華人民共和國電子簽名法》，并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律化，它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應用電子簽名認證證書實現網上身份識別認證，并確保信息在網絡中傳輸的保密性、完整性、以及行為的不可否認性。針對目前“電子認證”等實踐中的具體問題，應加快相關法律的建設與完善。

落實網絡信息安全等級評價。網絡信息系統的安全等級是指國家信息安全監督管理部門根據計算機網絡處理信息的敏感程度、業務應用性質和部門重要程度所確認的信息網絡安全保護能力的級別。信息系統安全等級評價是指評價機構根據國家信息安全等級技術標準和管理標準，對使用單位的信息網絡進行安全等級檢測、評價和監督的活動。對于網絡信息安全等級評價不合格的單位部門應由法律強制撤消其處理網絡信息等相關職能或給予一定期限進行整改。

加強網絡實名制、電子簽名、網絡信息安全等級評價等一系列法律的建立與完善，是強化網絡信息安全監管的保障。

最后，要進一步制定完善信息安全法律法規，加強網絡信息安全的法律宣傳與教育。國外的信息安全立法活動進行較早，尤其是美國的信息安全法律體系較完備。我國的信息安全立法仍處在起步階段，還沒有形成一個具有完整性、適用性、針對性的法律體系。這個法律體系的形成一方面要依賴我國信息化進程的深化，另一方面要依賴對信息化和信息安全的深刻認識和技術、法學意義上的超前研究。我國已有的法律法規從不同的層次對信息安全問題做出了規范，如《國家安全法》、《中華人民共和國電子簽名法》、《中華人民共和國計算機信息網絡國際互聯網絡安全保護管理辦法》等使我們初步有了處罰網絡信息安全違法犯罪的法律依據，但還有很多領域缺乏對信息犯罪進行定罪處罰的法律依據，有待進一步完善。

安全意味著受到保護，免受那些有意或以其他方式產生危害的人的攻擊。網絡安全是對網絡組件、連接和內容的保護。信息安全是對信息、系統以及使用、存儲和傳輸信息的硬件的保護。網絡信息安全的法律法規教育是計算機信息系統安全教育的重要內容。不管是作為一名計算機工作人員，還是普通計算機用戶，都應該接受相關法律法規的教育。尤其是那些使用網絡機會多而且很活躍的群體，更應該熟悉和掌握我國的信息安全方面的法律法規。法律法規是保證計算機信息系統安全準則，法律法規教育是遵守法律法規的必由之路。

總之，建立網絡信息安全問題日益緊迫，為保障公民的合法權益，健全我國的法制建設，在提高網絡技術的同時，我們也要重視相關法律的完善，使網絡信息安全切實得到法律的保障。

參考文獻:

[1]郭明瑞:民法[M].高等教育出版社，2005.6

[2]張文顯:法理學[M].高等教育出版社，2004.5

[3]田文英符秋艷:論網絡信息安全法的調整對象[J].情報雜志，2005;(4)

[4]周磊劉可靜:我國網絡信息安全問題及其立法探討[J]. 圖書情報工作，2006;(5)

第6篇

不管是過失、疏忽還是惡意行為，信息泄露正成為電子化時代日益凸現的社會問題。目前，采集、保有、使用、傳播、查詢個人信息的一些公眾機構發生信息泄露的頻率比較高，由于他們掌握著公民私人信息，一旦發生不當漏露，輕則個人信息作為商品出售、廣告推銷騷擾纏身，重則身份信息被利用制作成假身份證從事違法活動。

由此，除了保證業務系統正常運轉，不發生中斷，如何有效防止信息泄露開始成為組織信息安全工作的下一個重點。

政策推動

防止信息泄露，特別是防止關系到國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益信息的泄露首先從政策上得到了支持。

2007年6月，我國公安部、國務院信息辦等四部門聯合公布了《信息安全等級保護管理辦法》。根據新辦法，“信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。”

這項政策的出臺無疑將是安全市場新的風向標。在全國各機構和行業信息系統定級工作完成后，他們必然會根據新的級別要求對自己的信息系統安全保護工作進行調整，而調整預示著機遇來臨。

瞄準機遇

盡管是網絡安全市場的后來者，和勤看準了這一機遇，加速了對信息安全領域的產品布局。

2006年和勤先是將成都大東收歸旗下，2007年8月，和勤又接連收購三家國內安全廠商，在不到兩年的時間里形成內容審計、防火墻、網閘、內網及終端安全的產品系列。據和勤信息安全事業部汪輝透露，這些產品系列正是圍繞著信息系統安全等級保護制度來而選擇的，未來還將繼續向用戶提供體現等級保護的建設性規范的產品。

第7篇

關鍵詞：電力營銷；網絡安全；安全建設；安全管理

1 引言

營銷業務作為“SG186”工程的業務系統之一，應用上涵蓋了新裝增容及變更用電、資產管理、計量點管理、抄表管理、核算管理、電費收繳、帳務管理、用電檢查管理、95598業務等領域，需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網公司“SG186”工程的建設標準和信息網絡等級保護要求的基礎上，結合營銷關鍵業務應用，加強信息安全防護，保障營銷系統網絡的安全運行。本文針對新疆電力營銷系統的現狀，給出了一種多層次的安全防護方案，對保障營銷系統網絡穩定運行，保護用戶信息安全，傳輸安全、存儲安全和有效安全管理方面給出了建設意見。

2 新疆營銷網絡系統現狀

新疆電力營銷業務應用經過了多年的建設，目前大部分地區在業擴報裝、電費計算、客戶服務等方面的營銷信息化都基本達到實用化程度，在客戶服務層、業務處理層、管理監控層三個層次上實現了相應的基本功能。結合新疆電力公司的實際情況，主要分析了管理現狀和網絡現狀。

2.1 管理現狀

根據公司總部提出的“集團化運作、集約化發展、精細化管理”的工作思路，從管理的需求上來說，數據越集中，管理的力度越細，越能夠達到精細化的管理的要求。但由于目前各地市公司的管理水平現狀、IT現狀、人員現狀等制約因素的限制，不可能使各地市公司的管理都能夠一步到位，尤其是邊遠地區。因此，營銷業務應用管理在基于現狀的基礎上逐步推進。根據對當前各地市公司的營銷管理現狀和管理目標需求的分析，管理現狀可分為如下三類：實時化、精細化管理；準實時、可控的管理；非實時、粗放式管理。目前大部分管理集中在第二類和第三類。

2.2 網絡現狀

網絡建設水平將直接影響營銷業務應用的系統架構部署，目前新疆公司信息網已經形成，實現了公司總部到網省公司、網省公司本部到下屬地市公司的信息網絡互連互通，但是各地市公司在地市公司到下屬基層供電單位的之間的信息網絡建設情況差別較大，部分地市公司已經全部建成光纖網絡，并且有相應的備用通道，能夠滿足實時通信的要求，部分地市公司通過租用專線方式等實現連接，還有一些地市公司由于受地域條件的限制，尚存在一些信息網絡無法到達的地方，對大批量、實時的數據傳輸要求無法有效保證，通道的可靠性相對較差。

2.3 需求分析

營銷業務系統通常部署在國家電網公司內部信息網絡的核心機房，為國家電網公司內部信息網絡和國家電網公司外部信息網絡的用戶提供相關業務支持。該網絡涉及業務工作和業務應用環境復雜，與外部/內部單位之間存在大量敏感數據交換，使用人員涵蓋國家電網公司內部人員，外部廠商人員，公網用戶等。因此，在網絡身份認證、數據存儲、網絡邊界防護與管理等層面上都有很高的安全需求。[2]

3 關鍵技術和架構

3.1 安全防護體系架構

營銷網絡系統安全防護體系的總體目標是保障營銷系統安全有序的運行，規范國家電網公司內部信息網員工和外部信息網用戶的行為，對違規行為進行報警和處理。營銷網絡系統安全防護體系由3個系統（3維度）接入終端安全、數據傳輸安全和應用系統安全三個方面內容，以及其多個子系統組成，其體系結構如圖1所示。

圖1 營銷系統安全防護總體防護架構

3.2 接入終端安全

接入營銷網的智能終端形式多樣，包括PC終端、智能電表和移動售電終端等。面臨協議不統一，更新換代快，網絡攻擊日新月異，黑客利用安全漏洞的速度越來越快，形式越來越隱蔽等安全問題。傳統的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監管，建立完善的認證、準入和監管機制，對違規行為及時報警、處理和備案，減小終端接入給系統帶來的安全隱患。

3.3 數據傳輸安全

傳統的數據傳輸未采取加密和完整性校驗等保護措施，電力營銷數據涉及國家電網公司和用戶信息，安全等級較高，需要更有效的手段消除數據泄露、非法篡改信息等風險。

市場上常見的安全網關、防火墻、漏洞檢測設備等，都具有數據加密傳輸的功能，能夠有效保證數據傳輸的安全性。但僅僅依靠安全設備來保證數據通道的安全也是不夠的。一旦設備被穿透，將可能造成營銷系統數據和用戶信息的泄露。除此之外，還需要采用更加安全可靠的協議和通信通道保證數據通信的安全。

3.4 應用系統安全

目前營銷系統已經具有針對應用層的基于對象權限和用戶角色概念的認證和授權機制，但是這種機制還不能在網絡層及以下層對接入用戶進行細粒度的身份認證和訪問控制，營銷系統仍然面臨著安全風險。增強網絡層及以下層，比如接入層、鏈路層等的細粒度訪問控制，從而提高應用系統的安全性。

4 安全建設

營銷系統安全建設涉及安全網絡安全、主機操作系統安全、數據庫安全、應用安全以及終端安全幾個層面的安全防護方案，用以解決營銷系統網絡安全目前存在的主要問題。

4.1 終端安全加固

終端作為營銷系統使用操作的發起設備，其安全性直接關系到數據傳輸的安全，乃至內網應用系統的安全。終端不僅是創建和存放重要數據的源頭，而且是攻擊事件、數據泄密和病毒感染的源頭。這需要加強終端自身的安全防護策略的制定，定期檢測被攻擊的風險，對安全漏洞甚至病毒及時處理。對終端設備進行完善的身份認證和權限管理，限制和阻止非授權訪問、濫用、破壞行為。

目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設備、應急指揮車等。由于不同終端采用的操作系統不同，安全防護要求和措施也不同，甚至需要根據不同的終端定制相應的安全模塊和安全策略，主要包括：針對不同終端（定制）的操作系統底層改造加固；終端接入前下載安裝可信任插件；采用兩種以上認證技術驗證用戶身份；嚴格按權限限制用戶的訪問；安裝安全通信模塊，保障加密通訊及連接；安裝監控系統，監控終端操作行為；安裝加密卡/認證卡，如USBKEY/PCMCIA/ TF卡等。

4.2 網絡環境安全

網絡環境安全防護是針對網絡的軟硬件環境、網絡內的信息傳輸情況以及網絡自身邊界的安全狀況進行安全防護。確保軟硬件設備整體在營銷網絡系統中安全有效工作。

4.2.1 網絡設備安全

網絡設備安全包括國家電網公司信息內、外網營銷管理系統域中的網絡基礎設施的安全防護。主要防護措施包括，對網絡設備進行加固，及時安裝殺毒軟件和補丁，定期更新弱點掃描系統，并對掃描出的弱點及時進行處理。采用身份認證、IP、MAC地址控制外來設備的接入安全，采用較為安全的SSH、HTTPS等進行遠程管理。對網絡設備配置文件進行備份。對網絡設備安全事件進行定期或實時審計。采用硬件雙機、冗余備份等方式保證關鍵網絡及設備正常安全工作，保證營銷管理系統域中的關鍵網絡鏈路冗余。

4.2.2 網絡傳輸安全

營銷系統數據經由網絡傳輸時可能會被截獲、篡改、刪除，因此應當建立安全的通信傳輸網絡以保證網絡信息的安全傳輸。

在非邊遠地方建立專用的電力通信網絡方便營銷系統的用戶安全使用、在邊遠的沒有覆蓋電力局和供電營業所的地方，采用建立GPRS、GSM，3G專線或租用運營商ADSL、ISDN網絡專網專用的方式，保障電力通信安全。

電力營銷技術系統與各個銀行網上銀行、郵政儲蓄網點、電費代繳機構進行合作繳費，極大方便電力客戶繳費。為了提高通道的安全性，形成了營銷系統信息內網、銀行郵政等儲蓄系統、internet公網、供電中心網絡的一個封閉環路，利用專網或VPN、加密隧道等技術提高數據傳輸的安全性和可靠性。

在數據傳輸之前需要進行設備間的身份認證，在認證過程中網絡傳輸的口令信息禁止明文傳送，可通過哈希（HASH）單向運算、SSL加密、Secure Shell（SSH）加密、公鑰基礎設施（Public Key Infrastructure 簡稱PKI）等方式實現。

此外，為保證所傳輸數據的完整性需要對傳輸數據加密處理。系統可采用校驗碼等技術以檢測和管理數據、鑒別數據在傳輸過程中完整性是否受到破壞。在檢測到數據完整性被破壞時，采取有效的恢復措施。

4.2.3 網絡邊界防護

網絡邊界防護主要基于根據不同安全等級網絡的要求劃分安全區域的安全防護思想。營銷系統安全域邊界，分為同一安全域內部各個子系統之間的內部邊界，和跨不同安全域之間的網絡外部邊界兩類。依據安全防護等級、邊界防護和深度防護標準，具有相同安全保護需求的網絡或系統，相互信任，具有相同的訪問和控制策略，安全等級相同，被劃分在同一安全域內[3]，采用相同的安全防護措施。

加強外部網絡邊界安全，可以采用部署堡壘機、入侵檢測、審計管理系統等硬件加強邊界防護，同時規范系統操作行為，分區域分級別加強系統保護，減少系統漏洞，提高系統內部的安全等級，從根本上提高系統的抗攻擊性。

跨安全域傳輸的數據傳輸需要進行加密處理。實現數據加密，啟動系統的加密功能或增加相應模塊實現數據加密，也可采用第三方VPN等措施實現數據加密。

4.3 主機安全

從增強主機安全的層面來增強營銷系統安全，采用虛擬專用網絡（Virtual Private Network 簡稱VPN）等技術，在用戶網頁（WEB）瀏覽器和服務器之間進行安全數據通信，提高主機自身安全性，監管主機行，減小用戶錯誤操作對系統的影響。

首先，掃描主機操作系統評估出配置錯誤項，按照系統廠商或安全組織提供的加固列表對操作系統進行安全加固，以達到相關系統安全標準。安裝第三方安全組件加強主機系統安全防護。采用主機防火墻系統、入侵檢測/防御系統（IDS/IPS）、監控軟件等。在服務器和客戶端上部署專用版或網絡版防病毒軟件系統或病毒防護系統等。

此外，還需要制定用戶安全策略，系統用戶管理策略，定義用戶口令管理策略[4]。根據管理用戶角色分配用戶權限，限制管理員使用權限，實現不同管理用戶的權限分離。對資源訪問進行權限控制。依據安全策略對敏感信息資源設置敏感標記，制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作。

4.4 數據庫安全

數據庫安全首要是數據存儲安全，包括敏感口令數據非明文存儲，對關鍵敏感業務數據加密存儲，本地數據備份與恢復，關鍵數據定期備份，備份介質場外存放和異地備份。當環境發生變更時，定期進行備份恢復測試，以保證所備份數據安全可靠。

數據安全管理用于數據庫管理用戶的身份認證，制定用戶安全策略，數據庫系統用戶管理策略，口令管理的相關安全策略，用戶管理策略、用戶訪問控制策略，合理分配用戶權限。

數據庫安全審計采用數據庫內部審計機制或第三方數據庫審計系統進行安全審計，并定期對審計結果進行分析處理。對較敏感的存儲過程加以管理，限制對敏感存儲過程的使用。及時更新數據庫程序補丁。經過安全測試后加載數據庫系統補丁，提升數據庫安全。

數據庫安全控制、在數據庫安裝前，必須創建數據庫的管理員組，服務器進行訪問限制，制定監控方案的具體步驟。工具配置參數，實現同遠程數據庫之間的連接[5]。

數據庫安全恢復，在數據庫導入時，和數據庫發生故障時，數據庫數據冷備份恢復和數據庫熱備份恢復。

4.5 應用安全

應用安全是用戶對營銷系統應用的安全問題。包括應用系統安全和系統的用戶接口和數據接口的安全防護。

4.5.1 應用系統安全防護

應用系統安全防護首先要對應用系統進行安全測評、安全加固，提供系統資源控制功能以保證業務正常運行。定期對應用程序軟件進行弱點掃描，掃描之前應更新掃描器特征代碼；弱點掃描應在非核心業務時段進行，并制定回退計劃。依據掃描結果，及時修復所發現的漏洞，確保系統安全運行。

4.5.2 用戶接口安全防護

對于用戶訪問應用系統的用戶接口需采取必要的安全控制措施，包括對同一用戶采用兩種以上的鑒別技術鑒別用戶身份，如采用用戶名/口令、動態口令、物理識別設備、生物識別技術、數字證書身份鑒別技術等的組合使用。對于用戶認證登陸采用包括認證錯誤及超時鎖定、認證時間超出強制退出、認證情況記錄日志等安全控制措施。采用用戶名/口令認證時，應當對口令長度、復雜度、生存周期進行強制要求。

同時，為保證用戶訪問重要業務數據過程的安全保密，用戶通過客戶端或WEB方式訪問應用系統重要數據應當考慮進行加密傳輸，如網上營業廳等通過Internet等外部公共網絡進行業務系統訪問必須采用SSL等方式對業務數據進行加密傳輸。杜絕經網絡傳輸的用戶名、口令等認證信息應當明文傳輸和用戶口令在應用系統中明文存儲。

4.5.3 數據接口安全防護

數據接口的安全防護分為安全域內數據接口的安全防護和安全域間數據接口的安全防護。安全域內數據接口在同一安全域內部不同應用系統之間，需要通過網絡交換或共享數據而設置的數據接口；安全域間數據接口是跨不同安全域的不同應用系統間，需要交互或共享數據而設置的數據接口。

5 安全管理

安全管理是安全建設的各項技術和措施得以實現不可缺少的保障，從制度和組織機構到安全運行、安全服務和應急安全管理，是一套標準化系統的流程規范，主要包括以下方面。

5.1 安全組織機構

建立營銷業務應用安全防護的組織機構，并將安全防護的責任落實到人，安全防護組織機構可以由專職人員負責，也可由運維人員兼職。

5.2 安全規章制度

建立安全規章制度，加強安全防護策略管理，軟件系統安全生命周期的管理，系統安全運維管理，安全審計與安全監控管理，以及口令管理、權限管理等。確保安全規章制度能夠有效落實執行。

5.3 安全運行管理

在系統上線運行過程中，遵守國家電網公司的安全管理規定，嚴格遵守業務數據安全保密、網絡資源使用、辦公環境等的安全規定。

首先，系統正式上線前應進行專門的系統安全防護測試，應確認軟件系統安全配置項目準確，以使得已經設計、開發的安全防護功能正常工作。

在上線運行維護階段，應定期對系統運行情況進行全面審計，包括網絡審計、主機審計、數據庫審計，業務應用審計等。每次審計應記入審計報告，發現問題應進入問題處理流程。建立集中日志服務器對營銷交易安全域中網絡及安全設備日志進行集中收集存儲和管理。

軟件升級改造可能會對原來的系統做出調整或更改，此時也應從需求、分析、設計、實施上線等的整個生命周期對運行執行新的安全管理。

5.4 安全服務

安全服務的目的是保障系統建設過程中的各個階段的有效執行，問題、變更和偏差有效反饋，及時解決和糾正。從項目層面進行推進和監控系統建設的進展，確保項目建設質量和實現各項指標。

從項目立項、調研、開發到實施、驗收、運維等各個不同階段，可以階段性開展不同的安全服務，包括安全管理、安全評審、安全運維、安全訪談、安全培訓、安全測試、安全認證等安全服務。

5.5 安全評估

安全評估是對營銷系統潛在的風險進行評估（Risk Assessment），在風險尚未發生或產生嚴重后果之前對其造成后果的危險程度進行分析，制定相應的策略減少或杜絕風險的發生概率。

營銷系統的安全評估主要是針對第三方使用人員，評估內容涵蓋，終端安全和接入網絡安全。根據國家電網公司安全等級標準，對核心業務系統接入網絡安全等級進行測評，并給出測評報告和定期加固改造辦法，如安裝終端加固軟件/硬件，安裝監控軟件、增加網絡安全設備、增加安全策略，包括禁止違規操作、禁止越權操作等。

5.6 應急管理

為了營銷系統7×24小時安全運行，必須建立健全快速保障體系，在系統出現突發事件時，有效處理和解決問題，最大限度減小不良影響和損失，制定合理可行的應急預案，主要內容包括：明確目標或要求，設立具有專門的部門或工作小組對突發事件能夠及時反應和處理。加強規范的應急流程管理，明確應急處理的期限和責任人。對于一定安全等級的事件，要及時或上報。

6 實施部署

營銷系統為多級部署系統。根據國家電網信息網絡分區域安全防護的指導思想原則，結合新疆多地市不同安全級別需求的實際情況，營銷系統網絡整體安全部署如圖2所示。

在營銷系統部署中，對安全需求不同的地市子網劃分不同的安全域，網省管控平臺部署在網省信息內網，負責對所有安全防護措施的管控和策略的下發，它是不同安全級別地市子系統信息的管理控制中心，也是聯接總部展示平臺的橋梁，向國網總公司提交營銷系統安全運行的數據和報表等信息。

7 結束語

電力營銷網絡安全技術的發展伴隨電力營銷技術的發展而不斷更新，伴隨安全技術的不斷進步而不斷進步。電力營銷網絡的安全不僅僅屬于業務系統的安全范疇，也屬于網絡信息化建設范疇，其安全工作是一個系統化，多元化的工作，立足于信息內網安全，覆蓋信息外網安全和其他網絡。

本文基于新疆電力營銷系統網絡安全的現狀，結合現有安全技術和安全管理手段來提高營銷系統整體安全水平，為提升原有網絡的安全性，構造一個安全可靠的電力營銷網絡提供了一套安全解決方案，對國家電網其他具有類似需求的網省公司營銷系統網絡安全問題解決提供參考和借鑒。

參考文獻

[1]趙宏斌，陳超.電力營銷數據安全防護體系及其關鍵技術研究[J].電力信息化，2008年6卷7期：135-139.

[2]呂萍萍.當前電力企業電力營銷的現狀與安全防護保障系統構建[J].華東科技：學術版，2012年11期：282.

[3]蔣明，吳斌.電力營銷系統信息安全等級保護的研究與實踐[J].電力信息化，2009年3期：25-27.

[4]朱芳，肖忠良，趙建梅.淺析電力營銷業務應用系統的安全風險[J].黑龍江科技信息，2010年35期：153-154.

[5]李紅文.論加強電力營銷信息系統安全[J].信息通信，2012年1月：115-116.

作者簡介：劉陶（1983-），男，漢族，四川樂山，本科，技師，電力營銷稽查與實施調度。

陳曉云（1974-），女，大專，技師，新疆烏魯木齊，電力營銷稽查。

第8篇

關鍵詞：計算機網絡；安全設計；系統管理

中圖分類號：TP 文獻標識碼：A 文章編號：1009-914x（2014）02-01-01

一 計算機網絡設計的信息安全

當今世界信息的快速傳播得益于計算機網絡的發展，計算機網絡在運用方面最主要的還是在信息的傳播上。因此，計算機網絡的安全設計上，信息安全應該被擺在第一位，信息安全包括信息的保密、信息的不被盜用等等。計算機網絡安全可以說就是信息的安全，計算機網絡設計有義務使信息得到安全防護。

（一）計算機網絡信息安全設計淺析

計算機網絡設計有著繁瑣的設計程序，其主要在技術上要求比較高，其特征有關聯性、開放性和多樣性。因為特征復雜，在安全設計上就要下一定的功夫。在普遍的傳輸方式上面有著兩種網絡模式：廣域網與局域網。傳送路徑的差異，在對網絡設計的潛在安全要求就不同。在各種安全因素交織的情況下，網絡信息的安全設計考慮的范圍廣闊，對差異安全問題采取的設計方案就要有所針對性，并進行全方面的系統設計。

（二）網絡安全設計的信息儲存

網絡安全設計應該做到信息存儲安全，網絡信息存在狀態為傳播與儲存。在儲存安全性上，要保證儲存信息的整體性和秘密性，而且可控與可用。注重儲存位置與安全是信息儲存的重要方面。

在現實生活中，計算機網絡信息儲存易受到以下兩方面的攻擊：1.非法訪問。計算機網絡的非法訪問大多隱蔽性強，防止了安全設置的的阻擋，未經授權用戶進行非法訪問加密文件極易造成信息的泄密。被入侵的信息可能不會直接泄密，但是破壞較為嚴重，信息失去了其完整性。2.基礎性的物理硬件設備的破壞與故障。計算機網絡信息儲存遭到破壞后，信息發生丟失與毀壞的可能性極大，信息完整性喪失，不再可用，失去現實有效性。

為了解決上述安全風險，保護網絡信息的儲存，經研究，可采用以下設計：1.重視對物理基礎硬件設施的保養。信息安全儲存應該重視硬件設備的保養，如果硬件設備一旦損壞或丟失，往往造成無法彌補的后果，所以，對硬件設備的保護應該受到應有的重視。2.設置信息訪問權。從信息安全的訪問要件與非法訪問引起的嚴重后果來看，首先應該在信息訪問上設定安全級別，進行有針對性的設計與控制。作為防止非法訪問的重要手段，安全訪問的信息訪問權設定可采用系統控制與個人設置控制融合使用。可采用的方式多為訪問用戶信息判別、安全等級設計、訪問跟蹤設定、安全文件控制和物理推理位置。此外可下載防毒軟件控制及文件的加密等方式來維護儲存安全。作為挽救辦法，可以采用數據云備份或加密等手段，預防非法訪問后計算機信息儲存完整性的破壞。

二 網絡的信息安全設計

計算機網絡的信息安全保障很多層面上得益于計算機網絡的分層結構，如局域網的安全，最主要的是數據鏈路層的設計。數據鏈路層是局域網用戶間相互交流的橋梁，統一光纜為計算機建立局域網提供了條件。保護局域網的前提首先應保護數據鏈路層。而對其原理的把握，可在設計上提供有效借鑒。

數據鏈路層及用橋接設備把中繼器相連，形成特定網段的整體。分組廣播是數據傳播的主要方式，MAC、信道共享對于接收與否定也是通過分組廣播進行的。為確保信息安全，應該以信息的防泄密、加密傳播與加密的設計為主要方式。

三 計算機網絡安全之系統化管理

計算機的系統化管理即用戶進行的安全管理與設置。與計算機網絡設計以技術人員不同，系統化管理以用戶為主體。用戶要想有效的管理計算機，一般應當進行安全體系的認證：1.安全證書認證。以國際標準開發的安全認證具有加密性。組成部分為注冊、簽發、、查詢和備份系統。2.目錄服務器。這是訪問控制的基礎，因其可用性強，在用戶的管理體系當中居于核心地位。3.服務器上的確證。用戶大多采用內部訪問的方式進行。用戶設置訪問授權與認證，可提高訪問的安全與平穩。

Windows系統是現代計算機網絡系統的主流，以該系統為例，用戶應該著重注意幾方面：1.登錄系統管理。登錄是用戶使用計算機的前提，用戶可設置賬號進行登錄。登錄的安全方面主要考慮授權密碼登錄，用戶設置授權登錄許可與禁止。對于強制性登錄而言，可設置審核程序，再允許繼續操作。2.賬號與密碼管理。用戶可以管理員身份設置Admini5trator，再進行其他操作。用戶可以安全保密性的需要自行設置賬號與密碼?；蛭募恍璋踩O置，也可Admini5trator修改賬戶或刪除。3.多用戶管理設置。多用戶管理一般是以資源共享為目的，是對網絡中存在用戶賬戶而言的。用戶在進行此操作時，應慎重考慮個人文件安全重要性。

四 結語

因計算機網絡有開放性和高速的傳播性。網絡安全設計主要考慮的范圍為信息的傳輸安全及存儲安全。存儲設計以分層結構為原理，主要是數據鏈路層的設計。對于用戶而言，計算機系統的安全管理也是不可忽視的。安全管理主要涉及賬戶設置及訪問密碼設置上。

參考文獻：

[1] 蘇廣文，高翔，高德遠等.計算機網絡三維安全模型[J].微電子學與計算機，2002，19（1）：47-46，53.

[2] 高翔，王敏，蘇廣文等.計算機網絡綜合安全模型[C].//中國計算機學會網絡與數據通信學術會議論文集.2002：451-455.

[3] 張世民.計算機網絡的安全設計與系統化管理探究[J].煤炭技術，2013，（6）：224-225，226.

第9篇

關鍵詞:防火墻;入侵檢測;PKI;數字簽名

中圖分類號:TP309 文獻標識碼:A 文章編號:1009-3044(2010)01-45-03

A Construction Method about the Security System of the Prosecutorial Organization

LIU Lian-hao1, LUO Wei1,2

(1.Central-South University College of Information Science and Engineering, Changsha 410083, China; 2.Hunan Provincial People's Procuratorate, Changsha 410001, China)

Abstract: In recent years, with the popularity of the network, the network information system security incidents break out frequent in large companies and government agencies. This paper analyzes the general types of security incidents, as well as common security technology, based on a more elaborated a complete information security system should have the function, combined with the actual prosecutorial work, put forward a construction method about the security system of the prosecutorial organization.

Key words: firewall; intrusion detection; PKI; digital signature

近年來,隨著網絡的普及,各大公司企業以及政府機構都建成了網絡信息系統,大量信息開始在網絡上傳輸,不少數據都屬于內部信息。大量網絡信息系統的建成使得網絡安全保障體系的建設顯得極為緊迫。1999年至2008年,國家出臺了一系列的規章與標準,逐步開始重視信息安全保障體系的建設。2007年6月四部委聯合出臺了《信息安全等級保護管理辦法》(公通字 [2007]43號),明確了信息安全等級保護制度的基本內容、流程及工作要求,明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務;2007年7月,四部委又聯合下發了《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),就定級范圍、定級工作主要內容、定級工作要求等事項進行了通知。隨著全國各級檢察機關基礎網絡平臺建設的基本完成,信息化為檢察機關提升司法水平、增強法律監督能力提供了很大的幫助。與此同時,信息安全也日益成為各級檢察機關非常關注的問題,建設一個可靠的檢察系統信息安全保障體系顯得日益重要。

1 威脅信息系統的主要方法

在對信息系統的安全威脅中,某些方法被經常和大量使用,因為這些方法具有易學性和易傳播性。這些方法的某一實現或某幾個實現的組合,會直接導致基本威脅演變為成功的攻擊案例。通常黑客常用的方法有以下幾種[1]:

1.1 身份欺騙

某個未授權的實體(人或系統)假裝成另一個不同的實體,使其相信它是一個合法的用戶(比如攻擊者截收有效信息甚至是密文,以后在攻擊時重放這些消息,達到假冒合法用戶的目的),進而非法獲取系統訪問權利或得到額外的特權。冒充通常與某些別的主動攻擊形式一起使用,特別是消息的重放與篡改。攻擊者可以假冒管理者命令和調閱密件,或者假冒主機欺騙合法主機及合法用戶,然后套取或修改使用權限、口令、密鑰等信息,越權使用網絡設備和資源甚至接管合法用戶欺騙系統,占用或支配合法用戶資源。

1.2 破壞信息的完整性

一般網絡黑客可以從三方面破壞信息的完整性,即改變信息流的次序、時序、流向、內容和形式,刪除消息全部或其一部分,或是在消息中插入一些無意義或有害消息。

1.3 破壞系統的可用性

攻擊者可以通過使合法用戶不能正常訪問網絡資源、使有嚴格時間要求的服務不能及時得到響應等方法破壞信息系統的可用性,直至使整個系統癱瘓。

1.4 截收和輻射值測

攻擊者通過搭線竊聽和對電磁輻射探測等方法截獲機密信息,或者從流量、流向、通信總量和長度等參數分析出有用信息。

1.5 后門程序

在某個(硬件或軟件)系統或某個文件中設置的“機關”,使得當提供特定的輸入條件(或某一信號,或某一信息)時,允許違反安全策略而產生非授權的影響。一個典型的例子是口令的有效性可能被修改,使得除了其正常效力之外也使攻擊者的口令生效。例如,一個登錄處理子系統允許處理一個特定的用戶識別號,可以繞過通常的口令檢查?！昂箝T”一般是在程序或系統設計時插入的一小段程序,用來測試這個模塊或者將來為程序員提供一些方便。通常在程序或系統開發后期會去掉這些“后門”,但是由于種種原因,“后門”也可能被保留下來,一旦被人利用,將會帶來嚴重的安全后果。利用“后門”可以在程序中建立隱蔽通道,植入一些隱蔽的病毒程序,還可以使原來相互隔離的網絡信息形成某種隱蔽的關聯,進而可以非法訪問網絡,達到竊取、更改、偽造和破壞信息資料的目的,甚至可能造成系統的大面積癱瘓。

1.6 特洛伊木馬

特洛伊木馬指的是一類惡意的妨害安全的計算機程序或者攻擊手段。它是指一個應用程序表面上在執行一個任務,實際上卻在執行另一個任務。同一般應用程序一樣,能實現任何軟件的任何功能,例如拷貝、刪除文件、格式化硬盤,甚至發電子郵件,而實際上往往會導致意想不到的后果,如用戶名和密碼的泄露等。例如,它有時在用戶合法登錄前偽造一登錄現場,提示用戶輸入賬戶和口令,然后將賬戶和口令保存至一個文件中,顯示登錄錯誤,退出特洛伊木馬程序。用戶還以為自己錯了,再試一次時,已經是正常的登錄了,用戶也就不會有懷疑,其實,特洛伊木馬已完成用戶登錄信息的竊取,更為惡性的特洛伊木馬則會對系統進行全面破壞。

1.7 抵賴

抵賴行為并非來自于攻擊者,而是來自于網絡的通信雙方,即通信雙方中的某一方出于某種目的而否認自己曾經做過的動作,比如發信者事后否認曾經發送過某些消息或收信者事后否認曾經接收過某些消息等。

2 目前安全保障體系中信息安全常用技術

通常我們建設安全保障體系的時候,會從兩個方面去進行考慮,即以防火墻、入侵檢測技術為代表的網絡訪問控制技術和以PKI體系、數字簽名技術為代表的身份認證技術。

2.1 防火墻技術

防火墻用于對網絡之間交換的信息流進行過濾,執行每個網絡的訪問控制策略。防火墻常常保護內部的“可信”網絡,使之免遭“不可信”的外來者的攻擊。它是信息的唯一出入口,能根據安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻實現網與網之間的訪問隔離,以保護整個網絡抵御來自其它網絡的入侵者。防火墻按實現的技術手段總的來說可以分為以下幾種類型:

1)包過濾防火墻

通過檢查數據流中每一個數據包的源地址、目的地址、所用端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。其特點是:速度快、費用低,并且對用戶透明,但是對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。

2)應用級防火墻

工作在應用層,又稱為應用級網關,它此時也起到一個網關的作用。應用級防火墻檢查進出的數據包,通過自身(網關)復制傳遞數據,防止在受信主機與非受信主機間直接建立聯系。其特點是:訪問控制能力強,但對每種應用協議都需提供相應的程序,同時網絡性能比較低。

3)混合型防火墻

既具有包過濾防火墻以及應用級防火墻的特點,同時增加了一些其它功能,如具有狀態檢測技術、應用、NAT、VPN等功能。無論何種類型防火墻,從總體上看,都應具有以下基本功能:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務和端口;網絡地址轉換;記錄通過防火墻的信息內容和活動;對網絡攻擊的檢測和告警[2]。

2.2 入侵檢測技術

利用防火墻并經過嚴格配置,可以阻止各種不安全訪問通過防火墻,從而降低安全風險。但是,網絡安全不可能完全依靠防火墻單一產品來實現,網絡安全是個整體的,必須配相應的安全產品,作為防火墻的必要補充,入侵檢測系統就是最好的安全產品。入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統通過監控來自網絡內部的用戶活動,偵察系統中存在的現有和潛在的威脅,對與安全活動相關的信息進行識別、記錄、存儲和分析[3]。入侵檢測系統可以對突發事件進行報警和響應,通過對計算機網絡或計算機系統中的若干關鍵信息的收集和分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象;通過對安全事件的不斷收集、積累、加以分析后,可有選擇性地對其中的某些特定站點或用戶進行詳細跟蹤,為發現或防止破壞網絡或系統安全的行為提供有力的安全決策依據。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用于制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用于監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此入侵檢測系統的應用不會對網絡系統性能造成多大影響,根據檢測業務流量的多少可選用千兆或百兆入侵監測系統。

2.3 PKI/CA技術

公鑰基礎設施(PKI)是利用公鑰密碼理論和技術建立的提供安全服務的基礎設施。PKI的簡單定義是指一系列基礎服務,這些服務主要用來支持以公開密鑰為基礎的數字簽名和加密技術的廣泛應用。PKI以公鑰加密技術為基本技術手段來實現安全性,它將公鑰密碼和對稱密碼結合起來,希望從技術上解決身份認證、信息的完整性和不可抵賴性等安全問題,為網絡應用提供可靠的安全服務。PKI最基本的元素是數字證書,所有的操作都是通過證書來實現的。一個完整的PKI/CA體系包括簽署數字證書的認證中心CA(Certificate Authority),登記和批正證書簽署的登記機構RA(Registration Authority),數字證書庫CR(Certificate Repository),密鑰備份及恢復系統,證書作廢系統,應用接口等基本構成部分。其中,認證中心CA和數字證書是PKI/CA體系的核心。CA是數字證書的申請及簽發機關,它是PKI/CA的核心執行機構,主要是標識和驗證證書的身份,保證了交易的安全性;數字證書是一個經CA數字簽名的、包含證書申請人信息及公開密鑰的電子文件,可以保證信息在傳輸過程中不被除發送方和接收方以外的其他人竊取和篡改[4]。

基于PKI的數字簽名技術類似于現實中的簽名或印章,保證了傳輸數據的真實性、完整性和不可否認性。其簽名和驗證過程如下(假設簽名方是A,驗證方是B):

步驟1:A使用對稱密鑰將文件加密生成密文,然后使用單向散列函數得到待簽名文件的散列值1;

步驟2:A用自己的私鑰將此散列值1轉換成數字簽名,同時用B的公鑰加密對稱密鑰算法中的密鑰;

步驟3:A將密文、數字簽名、加密密鑰和時間戳放置到數字信封,發送給B;

步驟4:B使用自己的私鑰解密A發送的加密文件的對稱密鑰;再用A的公鑰解密A發送的數字簽名得到文件的散列值1;

步驟5:B用獲得的對稱密鑰解密文件,并使用相同的單向散列函數生成散列值2,若該值與A發送的散列值1相等,則簽名得到驗證。

該簽名方法可在很大的可信PKI域中進行相互認證(或交叉認證),擴展了隸屬于不同CA的實體間的認證范圍。

3 完善的檢察信息安全保障系統的構成

目前,我國的檢察系統已經建成了一套覆蓋全國各級檢察院的信息網絡體系,同時,檢察業務對信息系統的依賴性也越來越強,在檢察系統信息網絡體系中存在著較多的敏感信息,而這些信息通常是控制在一定范圍內的人員才可查看的(如辦案干警、主管領導等),因此對系統的保密性要求很高,一旦對數據庫中的數據進行非法訪問與操作,會造成很大的影響。應用系統中的數據信息將決定業務工作能否順利開展,例如案卡信息等數據一旦被篡改會,將會對辦案干警的工作造成重大影響,甚至可能出現錯案,因此對應用系統的數據完整性要求也很高。結合檢察系統的工作實際,檢察系統信息安全保障體系應由以下幾個方面共同組建而成,其構成如下:

3.1 身份認證系統

全國檢察系統應建立一套基于PKI/CA技術的統一身份認證系統,結合目前檢察系統信息系統中開展的各項應用,嚴格定義和識別信息系統內每個用戶的訪問權限,及時發現并阻止非法用戶的越權限訪問。

3.2 防火墻和入侵檢測系統

各級檢察院應在其本院網絡對外的接口處部署防火墻以及入侵檢測系統,利用防火墻用來阻止非法用戶進入內部網絡系統,入侵檢測系統則是利用審計跟蹤數據監視入侵活動。

3.3 安全的操作系統

針對檢察干警普遍使用微軟操作系統的實際情況,應在全國檢察信息系統中部署一套微軟操作系統補丁分發系統,為各類服務器提供安全運行的平臺,保障操作系統本身是無漏洞的。

3.4 容災備份系統

針對服務器系統可能崩潰以及硬件可能發生損壞等情況,建立容災備份相當有必要,容災備份系統要能夠把數據恢復到損壞發生前的狀態。較為安全的容災系統應在相隔較遠的異地建立多套功能相同的系統,進行監視和功能切換。數據容災是信息安全戰略中非常重要的一個環節。

3.5 防病毒系統

針對目前網絡上病毒泛濫的實際情況,給整個體系中的所有服務器及客戶終端安裝病毒防護軟件相當的有必要。

4 結束語

該文著重介紹了兩個方面的安全保障技術以及檢察信息安全保障體系在技術上需要達到的一些基本要求,但要真正建立起一個完善的安全保障系統,只從技術手段方面著手是遠遠不夠的,只有擁有安全的運行環境、規范化的管理、高素質的人員配備再輔以完善的技術,才能真正建立起一套完整的安全保障體系。

參考文獻:

[1] 嚴偉.成都市保密專用網絡安全設計[D].四川:四川大學,2003.

[2] 朱革娟,周傳華,趙保華.網絡安全與新型防火墻技術[J].計算機工程與技術,2001,1(22):16-19.

第10篇

在省、市局領導正確指導下，計算站全面完成了2018年各項工作任務。統籌規劃網絡工程，保證各級經濟網絡傳輸通暢；加強硬件基礎建設，提高了經濟信息處理能力；領會貫徹省局數管中心部署與技術指導，精心維護全市“企業一套表”平臺，經濟內網、外網網站內容不斷更新；完成了三農普數據處理工作；做好各類小型調查數據處理與后期技術服務；維護“數據城市”管理平臺、經濟客戶端安全管理平臺、視頻會議系統維護、VPN系統管理，網絡安全等級保護建設任務、做好經濟信息化報表任務及其他各項非常規性任務，做好市政府政務公開辦及有關部門布置的各項任務。

2018年主要成績、經驗與做法

一、加快機房硬件更新與管理,網絡運行持續穩定

1、網絡運行高效穩定。按照機房功能區域合理布置網絡設備和各服務器。建立網絡設備資產清單，全年主機運行健康安全。

 2、定期檢查設備，應急突發事件。檢查機房溫度、濕度、空調運行，對突發火災、水災、雷擊、電力系統、不間斷電源系統故障的應急處理，對故障出現原因進行定位，找出問題根源，避免故障再次發生。

二、網絡安全保障與網站建設

為了強化對網絡的安全管理，我們時刻保持著高度警惕，隨時跟蹤查找網絡安全隱患，采取各種措施加強監管。

1、 每工作日對設備狀況檢查一次，一旦發現設備故障報警及時查找問題及時處理排除，處理不了及時將網絡故障有關信息上報單位領導并通知相關網絡運營服務商提供服務支持。

    2、網站建設美觀實用，信息內容更新及時。經濟內網網站頁面設計簡潔、美觀，突出主要信息。信息更新及時，信息采編人員對送來的各類信息按照規定認真把關，及時；網站安全性高。經濟外網功能設置完善、內容信息充實。

三、加強視頻會議管理、保障省市正常互動

定期檢查音視頻設備，保證會議使用。為防止會議過程中信號中斷，我們定期檢查網絡視頻設備運行狀況、在每次視頻會議前做好調試準備，消除故障隱患，保證了會議期間視頻清晰、聲音流暢。

 四、完成各項信息化報表任務。完成了省數管中心布置的信息化年報、網絡安全月報及目，關鍵敏感時期信息安全上報任務等。

五、經濟用戶網絡安全管理。遵照國家和省局對經濟內網網絡安全管理客戶端的要求，及時為各科室安裝經濟內網用小型交換機、各級經濟機構的上網計算機完成用戶安全認證與注冊。

六、完成城市市政務公開辦布置的相關任務。

1、為市目標辦設計群眾滿意度調查問卷，按要求對三區和濉溪縣分類匯總，整理各類匯總數據，以經濟數據和圖表展示的方式，及時提交匯總報表。2、穩步推進“互聯網+政務服務”。創新網上服務模式，引入社會力量，利用第三方平臺，強化數據資源共享交換；積極推動網上服務向移動端、自助服務終端等延伸；通過政府網站、微信、微博、移動客戶端、推進線上線下政務服務融合發展。

3、針對“2018度城市市經濟局網站績效評估簡報”提出的整改建議認真整改，增設相關欄目，包括在線辦事、服務效能投訴，增設公眾參與平臺、站點地圖、網站幫助等功能，及時更新網站信息內容。

七、充分發揮系統管理員在企業一套表中的重要角色

嚴格按照省局要求，有效行使市級系統管理員的全部職能，確保企業能正常登陸填報平臺，確保各專業能正常審核驗收使用；認真熱情的為各專業提供業務咨詢解答和技術支持，任務定制和權限修改等。

八、完成等級保護階段性任務。城市經濟主干網和“數據城市”等級保護這兩個項目已被市公安局確定為二級等級保護系統，與多家專業公司商討研究制定科學合理的等保建設方案

九、完成了第四次全國經濟普查單位清查任務。緊跟省局普查中心、數據管理中心，及時深入領會最新操作方法與要求，上下聯動，指導各縣區普查工作，咨詢解答、PDA數據采集，平臺數據分析匯總。指導各區縣做好經濟普查培訓、PAD操作和清查比對平臺的數據處理任務。

十、增強服務意識，提供日常技術支持與咨詢。為本局各專業提供日常計算機應用支持、聯網故障與計算機硬件維護，為縣區用戶提供技術咨詢與遠程協助。

存在的問題與不足

一、辦公網出口只有1臺防火墻，數據城市”服務器系統無任何防護措施，為安裝防火墻。

二、網站服務器通過交換機連接到核心交換機且無任何防護措施。

三、缺少防病毒攻擊硬件設備。web服務器面對木馬、蠕蟲等非法攻擊缺少必要的防護措施；缺少應用層數據的安全防護和病毒防護功能的設備。

四、缺少整網安全檢測產品。急需定期對全網機器和web掃描，對設備的登錄、權限、經濟沒有集中管理措施，存在較大安全隱患，缺日志經濟設備，按要求需要留存半年以上的日志數據，目前無法滿足要求。

五、機房制度管理尚不完善。需進一步規范機房各項管理措施與規章制度，杜絕不規范操作，需要加強學習網絡安全知識，提高防范技能。

2019年工作思路及重點任務

     一、盡快完成網絡安全二級等保建設。以現有基礎設施，保證今年上半年建設并完成滿足等級保護二級系統基本要求的網絡信息系統。

 二、增設下一代防火墻。在辦公網出口部署下一代防火墻（含AV、IPS模塊），將現有的深信服AF-1210防火墻移至“數據城市”服務器前端。

 三、在專網的安全運維區旁路部署日志經濟設備、運維堡壘機。設備部署完畢后，日志經濟設備可高效統一管理資產日志并為安全事件的事后取證提供依據。堡壘機可集中賬號管理和運維經濟。

     四、機房改造與裝飾。建設配電柜系統、電源防雷接地系統、消防報警系統、網絡綜合布線、機柜設備重整、抗靜電活動地板等。

 五、完善安全管理制度。建立一個完善的網絡安全管理制度，完善機房各項安全管理規章制度、加強計算機安全知識培訓，提高各級經濟人員安全意識。

六、管好“企業一套表”平臺。嚴格按照省局要求，有效行使市級系統管理員的全部職能，確保填報企業能正常登陸填報平臺，確保各專業能正常審核驗收使用；認真熱情的為各專業提供業務咨詢解答和技術支持。

 七、完善網站功能、網站信息及時更新。對送來的各類信息按照規定認真把關，及時到各制定網站；按照市政務公開辦的要求，做好本單位門戶網站集約化建設和政務公開后臺管理，加強對城市經濟微訊、城市經濟微博的信息更新與信息安全監控。

八、管好系統內客戶端安全管理。深入學習、領會上級精神，按照國家局要求，做到各級經濟機構的上網計算機用戶100%與注冊；做好數據安全及備份恢復，對重要信息進行備份，網站后臺安全維護。

九、管好“數字城市”系統平臺。大膽創新、牢記使命、積極采取措施充實完善“數據城市”移動終端信息與終端展示，充分體現現代信息技術、提升經濟服務能力、改進服務方式。

十、繼續做好第四次全國經濟普查數據處理各項具體任務。

及時傳達上級經普辦最新文件精神、指導意見和具體操作辦法，為四經普提供PDA操作咨詢服務、做好普查區電子地圖導出、清查比對平臺底冊導出、MDM平臺的遠程推送與遠程監控，做好四經普非一套表平臺數據審核、匯總、分析及對縣區的任務部署與指導。

第11篇

關鍵詞：策略 系統工程 動態

中圖分類號：TP301 文獻標識碼：A 文章編號：1672-3791（2012）08（c）-0012-01

信息技術、通信技術、計算機技術對各個行業的影響越來越大，已成為國家和社會發展的重要戰略資源。各個行業實現網絡的互動互連、信息的共享已經成為必然趨勢，中國的軍工研究單位也不例外。3G/4G高速數據手機通信也已經滲透到每個人的工作、生活之中，如何在現有形式下保護開放網絡環境下軍工研究單位的軍事秘密信息已經成為當前的重要任務。解決辦法之一是建立獨立的軍隊內部網，在物理上隔開與外界的互連，這樣將直接影響到軍工研究單位與非軍工研究單位的協同工作，對中國武器裝備科研發展帶來不利的影響。最好的解決方法是按照軍事級別的要求提高軍工研究單位的網絡安全，不僅能使用互聯網、通信網絡的優勢，同時也能保護軍事秘密。

1 網絡安全體系

網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊。要提高網絡安全性，任何單位都需要一個完整的網絡安全體系結構，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素造成的安全脆弱性和潛在威脅。要從網絡安全體系的各個層面來分析網絡安全的實現，研究網絡安全模型，來對網絡安全體系進行研究與部署。一般的網絡系統都要涉及到網絡設施、網絡操作系統和網絡應用程序，僅僅從這三個方面實施網絡不能完全保證網絡的整體安全。因為在網絡中信息是核心，如何保證數據的安全性以及使用這些信息的用戶、實體和進程的安全性也是必須考慮，只有從這五個層次綜合考慮，才能總整體上做到安全的防護。

網絡安全體系的五層之間是相互依賴的，呈現了整體性，相互協作以立體化作業來提高整個系統的安全性。網絡安全威脅按照攻擊者的主動性可以分為主動威脅和被動威脅，在合適的網絡安全模型的支持下，網絡系統可以采用對應的主動防御技術和被動防御技術來提高網絡系統的安全性?，F在的網絡主動防御技術和被動防御技術有很多，把最好的、最貴的防御產品部署到軍工單位的網絡中是不能提供足夠的安全，應該按照網絡安全策略指導網絡安全技術來保護好網絡安全，對網絡安全整體體系進行保護，才能即保護了數據，同時也充分利用了網絡的便利性和快捷性。

2 網絡安全策略

網絡安全策略（Security Policy）是指在一個特定的網絡環境里，為保證提供一定級別的安全保護所必須遵守的一系列條例、規則。進行數據訪問時，網絡安全策略規定在安全范圍內什么是允許的，什么是不允許的。網絡安全策略通常不作具體規定，它僅僅提出什么是最重要的，而不確切地說明如何達到所希望的安全性。網絡安全策略建立起安全技術規范的最高一級。安全策略具備普遍的指導意義，它針對網絡系統安全所面臨的各種網絡威脅進行安全風險分析，提出控制策略，建立安全模型和安全等級，對網絡安全系統進行評估并為網絡系統的配置管理和應用提供基本的框架。有了網絡安全策略系統才可能保證整體網絡系統能夠正常有序地運行，也才可能更安全合理地提供網絡服務，有了網絡安全策略才可能更加高效迅速地解決網絡安全問題，使網絡威脅造成的損失降為最小。

制訂軍工單位的安全策略必須以《保密法》、《中華人民共和國保守國家秘密法》、《中國人民保密條例》、《中華人民共和國計算機信息、系統安全保護條例》為根本依據，才能制訂科學的、完善的網絡安全策略。安全策略是規章制度，是網絡安全的高級指導，需要考慮軍工企業的各個方面，不僅僅是網絡安全的技術，還必須包括各個級別的員工的安全教育、安全操作、危機意識的培養。比如現在手機終端功能越來越強大，很多人都喜歡手機終端的通信，這樣就為軍工單位的網絡打開一個缺口，黑客軟件可以控制手機攝像頭的打開和攝像操作，在軍工單位內使用智能手機就有可能泄露軍事秘密。所以軍工單位的安全必須采用系統工程的方法進行，作為一個復雜的系統來考慮，這樣才能制定一個科學的安全策略。軍工單位的網絡安全策略制定是屬于社會領域的研究，可以采用軟系統方法論，采用一個系統方法，以國家法律和法規為基礎，在軍工單位的各個層面的人員進行討論和辯論，使大家從各個層面考慮網絡安全問題，是問題得到充分的認識和問題解決的考慮，使制定的安全策略得到全面的考慮，同樣對軍工單位的人員的一個安全教育。

安全策略出自對軍工單位的要求、網絡設備環境、軍事機構規則、國家軍事秘密法律約束等方面研究，在網絡安全專家的協助下制定詳細的規范，但僅僅使提供安全服務的一套準則，具體的實現需要各種網絡安全防御技術提供的安全服務和安全機制來保障。軍工單位的網絡安全策略是一個動態策略，它是要在安全策略的執行過程中，實時進行監測，實時對各個層面的人員進行安全教育，對于出現的問題及時對安全策略進行修訂和補充。

3 結語

各個國家的軍工單位都是重點保護的對象，因為它擁有軍事秘密信息，也是各種敵對勢力、競爭對象、商業間諜進行網絡攻擊的目標，提高網絡安全是軍工單位網絡邊界的第一道防線，網絡安全策略就是指導各種網絡安全防御技術保障整個網絡體系的安全。不要認為網絡全策略僅僅是一個規則和制度，僅僅采購高級網絡技術就可以了，軍工單位的網絡必須在網絡安全策略的宏觀指導下才能綜合各種網絡安全產品構建一個動態的安全網絡，它是各個部分工作的規范，包括人員。網絡安全策略是一個軍工單位的核心，只有充分認識網絡安全策略的動態發展過程，才能使軍工單位充分使用網絡的優點，也能保護好單位內部秘密。

參考文獻

[1] 尹開賢.軍工單位信息系統的安全保密形勢與對策[C].第十一屆“保密通信與信息安全現狀研討會”，2009（8）：186-187.

第12篇

關鍵詞：互聯網；網絡文化；網絡安全；安全管理

中圖分類號：TP393.08

從傳統的傳媒視角分析的話，媒介的轉換主要可以分為四個階段，分別是口耳相傳階段、手寫傳播階段、印刷傳播階段以及電子傳播的階段。當前我們所處的傳播階段就是電子傳播階段。自從20世紀初以來，不管是產生自美國的廣播傳媒技術還是后來的電視傳媒結束、網絡傳媒技術，這些媒介都是電子傳媒手段。這些手段逐漸的成為了我們日常生活中了解外界咨詢，乃至進行辦公等的重要手段。尤其是在上個世紀末期悄然興起的互聯網技術，成就了傳媒的新輝煌。不管是其對于傳統傳媒手段的沖擊還是其對人們生活的改變，都成為了當代的一個重要的特點?；ヂ摼W技術已經成為了當前人們不得不面對，也是人們必須要適應的一個新的生活方式。同時，我們反觀技術本身，其在產生和興盛知己，給我們的文化留下了深刻的印記。技術本身造就了傳播和溝通的通道，同時傳播的過程也改變了文化的進程。在這樣的背景下，網絡的安全問題和網絡的文化問題也就勢必成為了當代人們不得不關注的一個焦點。

1 網絡文化的內涵

1.1 網絡文化的內涵

網絡文化是伴隨著網絡技術的不斷發展和更新逐漸形成的。對于網絡文化本身來講，其形成的重要事件就是互聯網硬件技術和軟件技術的不斷更新。在互聯網流行的當代，網絡文化本身還是一個全球化的產物。而對于網絡文化來講，其實依賴于互聯網技術所形成的一種現代化的生活方式，也是全球化過程中的重要技術支撐和必然產物。其具備了鮮明的價值判斷和直接的價值取向，直接的體現著現代化社會的精神觀念以及制度標準。

作為迅速興起的媒介形式，網絡文化在長時間的發展過程中也有其本身的形成過程。網絡的生活方式不管是在行為方面還是在生活習慣方面都逐漸的積累起來，成為了一種新的文化范疇。對于互聯網本身來講，掌握信息的處理方式和網絡語言是最基本的生存基礎。而加入到網絡中也意味著進入到了一種新的生活體驗中，在網上更換新的生活方式也就意味著一個新的文化主體誕生，網絡主體本身是語言構成的，是虛擬的。但是，不管是不是虛擬的生活方式，也不管是不是虛擬的事件，只要加入到了網絡中，就必然要按照網絡的邏輯進行。網絡文化也就在這樣的邏輯概念中有了自身的生存空間，逐漸的形成了一個特定的文化范疇。

1.2 網絡文化的特征

1.2.1 網絡文化的最基本特征就是信息的爆炸存在

網絡本身對于任何人來講都不是封閉的，網絡將全球的居民都聯系在一起。網民本身不管是身份如何，都能夠不受任何限制的接受網絡中的內容，資源在網絡中是共享的，當代社會的一個重要的特點就是信息的爆炸式增長，而網絡也就為這樣的信息擴張提供了一定的條件。在網絡出現之前，還沒有任何一種傳媒形式能夠提供如此的信息傳遞方式，包容如此多的信息資源。

1.2.2 網絡文化是虛擬的

我們不能夠否認，網絡文化本身是根植在人類實際文化的基礎上。但是，作為文化的創造者，人類本身也是文化的創造物。如果在網絡的創建之初是人作為主體影響著網絡文化的話，那么到了后期的網絡運行規則和網絡邏輯形成了之后，網絡文化的成熟就使得人們必須要服從網絡文化。網絡邏輯開始成為網絡主體的主導，這樣的話就使得網絡主體要想融入到網絡中，就必須實現自身網絡化。

在現實的世界中，文化空間是由無知和信息共同構成的。但是，在網絡的實際文化層面上，僅僅是信息就能夠構成一定的網絡文化環境。網絡的信息通過虛擬的方式，將現實中的一切體驗都歸結到最后的信息化體驗。虛擬化的現實也促進網絡的使用主體成為了一種虛擬化的生存，這樣的生存模式也就是網絡文化的形成過程。

2 網絡文化與網絡安全管理技術

對于不同的人來講，道德方面的高度有很大的差距。在網絡中，主體之間帶有很強的隱秘性，這樣的話就使得人們的道德底線再也不受任何的人控制，也不受一定的社會規則控制。但是，網絡本身是沒有任何的責任的，這個過程還是網絡使用主體的問題。要想促進網絡管理的安全，就要促進網絡文化的發展和健全。

2.1 密碼技術

對于網絡的安全管理技術來講，密碼技術是比較普遍的一種技術。基于密碼學的基本原理基礎上，所開發建立的密碼體制，本質上就是通過定義一對數據的變換所實現的。當前比較典型的是對稱密碼體制，其特征就是用戶加密和解密的密匙是一樣的，或者是兩者之間非常容易推出。對稱密碼可以分為序列密碼和分組密碼，比較典型的就是DES。

當前，隨著密碼技術的成熟，大量的黑客都喜歡利用密碼的規律和算法上的漏洞對網絡進行攻擊。當前，比較流行的算法有SSL算法（一種基于web的安全傳輸協議），IETF算法（將SSL標準化之后的算法）以及WTLS算法（一種適應無線環境要求下的，WAP環境TLS算法簡化）。對于采用密碼進行等級保護的，應當遵照《信息安全等級保護密碼管理辦法》、《信息安全等級保護商用密碼技術要求》等密碼管理規定和相關標準。

2.2 入侵檢測技術

入侵檢測技術是一個比較新興的安全管理技術。其可以有效的彌補傳統防火墻技術的缺點，能夠有效的抵御網絡內部的攻擊，可以提供實時的入侵檢測和相對應的手段。入侵檢測技術的主要功能就是對網上的用戶和計算機系統自身的行為實行分開檢測，對于系統本身的安全性能，包括漏洞和配置進行一定的分析，對系統自身的安全性進行審計和評估。同時，能夠對于已知的攻擊行為和模式進行自動化的記憶和識別。對于計算機終端的客戶行為和所連接的計算機系統異常行為可以進行統計和分析。對于計算機的操作系統可以進行持續的檢測和跟蹤。我們根據入侵檢測系統的范圍，可以分為主機型、網絡型和型三種基本的方式。當前，隨著IDS技術的不斷完善，IPS系統也日趨完善起來。在IDS檢測技術的功能上增加了主動響應功能。以串聯的方式部署網絡，其流程如下圖1所示：

2.3 陷阱網絡技術

相對于密碼體制和入侵檢測技術來講，陷阱網絡技術是比較新興的技術。隨著網絡攻擊技術的不斷發展，網絡的安全防護一直以來都處在一種被動的防御地位。針對這樣的形式，人們開發了一種主動防御的網絡安全防護技術，也就是我們所說的陷阱網絡技術。

陷阱網絡技術是基于網絡自身的開放性而言的假定網絡上的每一臺主機都可能被攻擊，同時，對于那些帶有某種特定資源的系統所遭受攻擊的概率會進行計算。這樣的話，就能夠提前布設相關的陷阱，從而有可能成功的將入侵者帶入到一個受控環境中，降低正常系統受到攻擊的概率和損失的程度。具體來講依據國家保密標準BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》進行規定。

3 結束語

我們要對網絡的虛擬化現狀有所了解，在網絡極大的拓寬了人們的社會交往的基礎上，也成為了一個社會性的存在。但是其本身也有異化的一個方面。網絡文化的自由程度極其高，這就是異化的一個重要體現。人們社會在本質上是真實體現的，在這個過程中人本身的感性力量發揮了重要的作用。但是文明的基礎永遠不是網絡的虛擬存在，而是人本身的個性張揚所帶來的生命力量。

參考文獻：

[1]樊夢.網絡文化建設視角下的網絡安全管理探析[J].網絡安全技術與應用，2012（03）.

[2]魏友蘇.議網絡文化發展問題與管理思路[J].東南大學學報（哲學社會科學版），2008（S1）.

[3]陳垠亭.加強校園網絡文化建設主動占領網絡思想政治教育新陣地[J].河南教育（高校版），2007（11）.

[4]王淑慧，劉麗萍.網絡文化安全對信息化教育系統的重要性分析[J].信息與電腦（理論版），2011（04）.

[5]姚偉鈞.彭桂芳，構建網絡文化安全的理論思考[J].華中師范大學學報（人文社會科學版），2010（03）.

[6]張懷萍.關于和諧社會建設中網絡文化安全的思考[J].四川省干部函授學院學報.2010（02）.