前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇機房網(wǎng)絡應急預案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

機房網(wǎng)絡應急預案范文第1篇

在現(xiàn)代化信息高度分享的今天，計算機網(wǎng)絡的安全問題也隨之不斷出現(xiàn)，給計算機網(wǎng)絡系統(tǒng)的安全性造成了巨大的影響，影響了許多計算機用戶的正常使用，了解破壞計算機網(wǎng)絡安全性的影響因素至關重要，只有提高了計算機網(wǎng)絡的安全性能，人們才能夠放心自由地使用計算機網(wǎng)絡。

1計算機網(wǎng)絡安全的影響因素

1.1計算機病毒入侵

計算機病毒的入侵具有非常強大的破壞力，給計算機系統(tǒng)的安全性造成了巨大的威脅，而且計算機病毒具有非常強的傳播能力，會把計算機用戶的個人信息傳播到整個網(wǎng)絡系統(tǒng)當中，給人們的經(jīng)濟財產(chǎn)造成巨大的損失。常常會有一些計算機黑客入侵到計算機使用者的個人計算機中，對計算機進行非法訪問，獲取用戶的資料信息以后，對用戶個人信息進行篡改或刪除，給計算機網(wǎng)絡的安全性造成了不可磨滅的損失[1]。

1.2計算機管理者的錯誤操作

有時候，計算機管理者的錯誤操作或不當使用也會對計算機網(wǎng)絡的安全性造成影響，有的計算機管理者自身的網(wǎng)絡安全防范意識比較差，并不會正確使用操作計算機，有可能在計算機各種指令的輸入時出現(xiàn)錯誤。

1.3計算機軟件老化

有的計算機使用時間比較長，計算機自身的一些功能就會出現(xiàn)一定程度的損壞，對計算機正常訪問網(wǎng)絡造成一定的影響。除了受到計算機自身因素的影響以外，網(wǎng)絡系統(tǒng)也會受到計算機所在地點、網(wǎng)絡光纖的使用情況、計算機網(wǎng)線的損壞等也會對計算機網(wǎng)絡的安全性造成影響，甚至引發(fā)網(wǎng)絡安全事故。

2加強計算機網(wǎng)絡安全的防范措施

2.1加強計算機軟件的開發(fā)管理

為了加強計算機網(wǎng)絡系統(tǒng)的安全性，可以研究開發(fā)網(wǎng)絡加密技術，從而保障計算機用戶的個人信息安全，網(wǎng)絡加密技術是計算機系統(tǒng)安全的重要保障措施。其次，要大力開發(fā)計算機防火墻技術，通過對計算機硬件設施進行設置以后，實現(xiàn)對惡意軟件的攔截，要打造高端的防火墻技術，從而減少計算機系統(tǒng)的安全漏洞，并對那些非正規(guī)網(wǎng)站的運行程序進行攔截[2]。最重要的一點，要提高計算機系統(tǒng)的查毒殺毒功能，當計算機病毒入侵到用戶個人電腦以后，可以快速地通過殺毒軟件檢測到病毒，并迅速地將病毒清除，必須要安裝高效快捷的殺毒軟件，計算機使用者還要定期到官方網(wǎng)站上下載補丁漏洞程序，例如安裝360殺毒軟件和360安全衛(wèi)士、電腦管家等對計算機軟件進行下載掃描，定期更新計算機漏洞補丁。加強網(wǎng)絡監(jiān)控系統(tǒng)的設置，有效利用監(jiān)控軟件對計算機網(wǎng)絡進行實時性的監(jiān)控，防止惡意軟件入侵，加強開發(fā)計算機軟件應用，并針對應用效果進行調(diào)整。

2.2強化計算機管理者的安全防范意識

作為計算機用戶管理者，必須要提高自身網(wǎng)絡安全的防范意識，從自身做起，在使用計算機網(wǎng)絡中，對計算機網(wǎng)絡系統(tǒng)的安全性問題進行初步了解，進而在以后的計算機使用中，能夠提高計算機安全使用技能。計算機管理者可以對自身設備設置安全密碼，并定期更換密碼，防止黑客的入侵。因此要強化計算機管理者的安全范圍意識，培養(yǎng)全方面的計算機網(wǎng)絡技術性人才，通過計算機網(wǎng)絡安全專業(yè)性知識的培養(yǎng)教育，提升全民的網(wǎng)絡安全防范意識。要注意對計算機管理者的管理方式和方法，可以建立健全的計算機網(wǎng)絡安全的規(guī)章制度，并且嚴格按章規(guī)章制度進行管理，一旦出現(xiàn)有人做出了違反計算機網(wǎng)絡安全規(guī)章制度的行為，必須對其進行嚴厲處理，防止惡意攻擊他人計算機的事情再次發(fā)生。

2.3更新計算機軟件設施

在計算機系統(tǒng)軟件的使用中，許多人選擇盜版的軟件，但實際上，正版的計算機軟件要比盜版軟件的安全性能強很多，所以在選擇計算機軟件時，要盡量選擇正版的計算機軟件，提高計算機系統(tǒng)的網(wǎng)絡安全防范能力，提高計算機網(wǎng)絡系統(tǒng)的安全性[3]。

3結論

提高計算機網(wǎng)絡的安全性是一項長期且系統(tǒng)的工程，首先要了解影響計算機網(wǎng)絡系統(tǒng)安全性的原因，進而提出加強計算機網(wǎng)絡安全防范的相應措施，還要在一定程度上加強對計算機軟件的開發(fā)管理，強化人們的計算機網(wǎng)絡安全防范意識，并且定期進行更新計算機軟件設施，保證計算機網(wǎng)絡系統(tǒng)的安全使用。

參考文獻

[1]王濤.淺析計算機網(wǎng)絡安全問題及其防范措施[J].科技創(chuàng)新與應用，2013，02：45.

機房網(wǎng)絡應急預案范文第2篇

關鍵詞：油田企業(yè)；網(wǎng)絡安全；防火墻技術；應用

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

計算機從出現(xiàn)到發(fā)展，短短幾十年間，無論從生活、學習，還是工作中都帶來了巨大的影響，使我們的生活、學習和工作都起了翻天覆地的變化。在各個企業(yè)里面，現(xiàn)代化的建設都是建立在計算機網(wǎng)絡技術應用之上的，計算機技術覆蓋了企業(yè)生產(chǎn)的各個大小環(huán)節(jié)。保證企業(yè)中網(wǎng)絡的安全性，使企業(yè)生產(chǎn)順利進行，這是企業(yè)中網(wǎng)絡運行的基本保障。筆者仔細分析了青海油田企業(yè)網(wǎng)絡安全現(xiàn)狀，針對青海油田企業(yè)的網(wǎng)絡安全問題，提出相應的解決策略，結合防火墻技術的應用，提高油田企業(yè)網(wǎng)絡安全性，保證企業(yè)生產(chǎn)的順利進行。

一、青海油田企業(yè)網(wǎng)絡工作概況

青海油田是一家大型企業(yè)，其二級單位網(wǎng)絡中目前包含華為、港灣、華為3COM、Cisco等廠商設備，屬于多廠商互聯(lián)網(wǎng)絡。青海油田企業(yè)的整個網(wǎng)絡主體建設于1999年，逐年累建至今。目前網(wǎng)絡集中問題有多個方面，網(wǎng)絡缺乏管理性；多廠商設備，難以統(tǒng)一管理；大部分設備陳舊，匯聚層性能、帶寬不足；冗余可靠性差。由于這些原因，導致匯聚層設備擴展性不夠，一些單位層層級連網(wǎng)，影響網(wǎng)絡的穩(wěn)定性和可靠性，使得網(wǎng)絡安全問題成為極大的難題。

二、網(wǎng)絡安全風險

網(wǎng)絡安全風險根據(jù)不同的方面，有許多的風險因素，比如網(wǎng)絡外部的環(huán)境是否安全，包括了電源故障、設備被盜、認為操作失誤、線路截獲、高可用性的硬件、機房環(huán)境、雙機多冗余的設計、安全意識、報警系統(tǒng)等。再比如系統(tǒng)完全，包括了整個局域網(wǎng)的網(wǎng)絡硬件平臺、網(wǎng)絡操作系統(tǒng)等。每一個網(wǎng)絡操作系統(tǒng)都有其后門，不可能有絕對安全的操作系統(tǒng)。還有網(wǎng)絡平臺的安全風險，作為企業(yè)信息的公開平臺，要是受到了攻擊或者在運行中間出現(xiàn)了問題，對企業(yè)的聲譽是極大的影響。同時，作為公開的服務器，本身隨時都面臨著黑客的攻擊，安全風險比其他的原本就要高上許多。另外，應用系統(tǒng)安全也是風險因素中的一個，在不斷發(fā)展和增加過程中，其安全漏洞也在日益增加，并且漏洞隱藏得只會越來越深。此外還有管理的安全，管理混亂、責權不分、安全管理制度不健全等都是管理安全的風險因素。

三、油田企業(yè)網(wǎng)絡安全管理工作

隨著油田企業(yè)中網(wǎng)絡用戶的逐漸增多，網(wǎng)絡安全問題也越來越突出、越來越被網(wǎng)絡管理工作人員所重視。在實際工作中，通過增強單位用戶對網(wǎng)絡安全重要性的緊迫性的認識、強化和規(guī)范用戶防病毒意識等手段，全面采用網(wǎng)絡版防病毒系統(tǒng)，部署防病毒服務器和補丁分發(fā)服務器。在網(wǎng)絡管理過程中，技術人員定期檢查、預防、控制和及時更新防病毒系統(tǒng)病毒定義碼，按時向總部上報極度防病毒巡檢表。網(wǎng)絡管理技術人員還積極做好入侵保護系統(tǒng)IPS策略的日常管理和日志審計工作，使有限的網(wǎng)絡資源能用于重點保障業(yè)務工作的正常進行。

四、油田企業(yè)網(wǎng)絡安全防范舉措與防火墻技術應用

在油田企業(yè)網(wǎng)絡運行過程中，安全威脅主要有非授權訪問、信息泄露或丟失、拒絕服務攻擊、破壞數(shù)據(jù)完整性、利用網(wǎng)絡傳播病毒等方面。要防范油田企業(yè)網(wǎng)絡安全，主要的防御體系是由漏洞掃描、入侵檢測和防火墻組成的。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡、內(nèi)部職工網(wǎng)絡、內(nèi)部單位辦公網(wǎng)絡和公開服務器區(qū)域組成。在每一個出口通過安裝硬件防火墻設備，用防火墻來實現(xiàn)內(nèi)部網(wǎng)絡、外部網(wǎng)絡以及公開服務器網(wǎng)的區(qū)分。防火墻對外部的安全威脅起到了抵御的作用，但是從內(nèi)部發(fā)動的安全攻擊卻無能為力。這個時候就需要動態(tài)監(jiān)測網(wǎng)絡內(nèi)部活動以及及時做出響應，將網(wǎng)絡入侵監(jiān)測系統(tǒng)接入到防火墻和交換機上的IDS端口，一旦發(fā)現(xiàn)入侵或者可疑行為之后，立即報告防火墻動態(tài)調(diào)整安全策略，采取相應的防御措施。另外，網(wǎng)絡安全還需要被動的防御體系，它是由VPN路由和防火墻組成，被動防御體系主要實現(xiàn)了外網(wǎng)的安全接入。外網(wǎng)在于企業(yè)網(wǎng)絡之間實現(xiàn)數(shù)據(jù)傳輸?shù)臅r候，經(jīng)過防火墻高強度的加密認證，保證外網(wǎng)接入的安全性。在油田企業(yè)網(wǎng)絡安全與防火墻技術應用中，還需要加對病毒的防范、數(shù)據(jù)安全的保護和數(shù)據(jù)備份與恢復的建設。在服務器上安裝服務器端殺毒軟件，在每一臺網(wǎng)絡用戶電腦上安裝客戶端殺毒軟件，通過及時更新病毒代碼，防范病毒的入侵。采用自動化備份、安裝磁帶機等外部存貯設備等方法，保證數(shù)據(jù)的安全。

五、總結

油田企業(yè)網(wǎng)絡安全不僅關系著企業(yè)的整體發(fā)展，還關系著油田企業(yè)中廣大職工的網(wǎng)絡使用安全，積極采取防火墻技術應用到網(wǎng)絡安全防范之中，以提高青海油田企業(yè)網(wǎng)絡的安全性，保證企業(yè)的正常工作、企業(yè)職工的正常生活。

參考文獻：

[1]何黎明,方風波,王波濤.油田網(wǎng)絡安全風險評估與策略研究[J].石油天然氣學報,2008,3:279-280

[2]陳崗.大型企業(yè)信息網(wǎng)絡安全問題解決方案[J].岳陽師范學院學報(自然科學版),2006,2:168-169

機房網(wǎng)絡應急預案范文第3篇

關鍵字 訪問控制；銀行網(wǎng)絡安全；虛擬局域網(wǎng)；訪問控制列表

1 引言

隨著計算機網(wǎng)絡在銀行各項業(yè)務的應用中不斷普及，各大商業(yè)銀行已把網(wǎng)絡安全放在了金融電子化建設中的一個極其重要的位置上，網(wǎng)絡安全已成為構建銀行計算機網(wǎng)絡體系進程中必須首先需要考慮和解決的問題。在目前國內(nèi)各主要商業(yè)銀行進行金融電子化建設的過程中，訪問控制是保證計算機網(wǎng)絡安全最重要的核心策略之一，同時它也是維護網(wǎng)絡安全、保護網(wǎng)絡資源的一個重要手段，其主要任務是保證網(wǎng)絡資源不被非法使用和非正常訪問。因此，加強以訪問控制為核心的銀行計算機網(wǎng)絡安全，保證銀行的資金安全以及提高銀行風險防范能力已成為當前各大銀行亟待解決的問題。

2 訪問控制的解決方案

目前訪問控制的解決方案主要有以下幾種：MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。

2.1 MAC地址過濾法

MAC地址是網(wǎng)絡設備在全球的惟一編號，它也就是我們通常所說的：物理地址、硬件地址、適配器地址或網(wǎng)卡地址。MAC地址可用于直接標識某個網(wǎng)絡設備，是目前網(wǎng)絡數(shù)據(jù)交換的基礎。

2.2 VLAN隔離法

VLAN(虛擬局域網(wǎng))技術是為了避免當一個網(wǎng)絡系統(tǒng)中網(wǎng)絡設備數(shù)量增加到一定程度后，眾多的網(wǎng)絡廣播報文消耗大量的網(wǎng)絡帶寬，使得真正的數(shù)據(jù)傳遞受到很大的影響，確保部分安全性比較敏感的部門數(shù)據(jù)不被隨意訪問瀏覽而采用一種劃分相互隔離子網(wǎng)的方法。

2.3 基于IP地址的訪問控制列表法

訪問控制列表在路由器和三層交換機中被廣泛采用，它是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據(jù)包是允許通過，還是不允許通過。

2.4 防火墻控制法

防火墻技術首先將網(wǎng)絡劃分為內(nèi)網(wǎng)與外網(wǎng)，它通過分析每一項內(nèi)網(wǎng)與外網(wǎng)通信應用的協(xié)議構成，得出主機IP地址及IP上聯(lián)端口號，從而規(guī)劃出業(yè)務流，對相應的業(yè)務流進行控制。防火墻技術在最大限度上限制了源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號的訪問權限，從而限制了每一業(yè)務流的通斷。

3 訪問控制在銀行網(wǎng)絡安全體系中的應用

銀行網(wǎng)絡安全體系是根據(jù)具體業(yè)務對網(wǎng)絡安全的需求，以訪問控制為核心而構建起來的，其中心思想就是“不同的部門及人員根據(jù)其所從事的工作有不同的網(wǎng)絡使用權限”。

機房網(wǎng)絡應急預案范文第4篇

關鍵詞：計算機；網(wǎng)絡安全；影響因素；防范措施

一、概述

21世紀全世界的計算機都將通過Internet聯(lián)到一起，計算機網(wǎng)絡安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。以下重點分析了影響計算機網(wǎng)絡安全的主要因素，并提出了確保計算機網(wǎng)絡安全的防范措施。

二、影響計算機網(wǎng)絡安全的主要因素

1、網(wǎng)絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

2、網(wǎng)絡硬件的配置不協(xié)調(diào)。一是文件服務器。它是網(wǎng)絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量。網(wǎng)絡的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網(wǎng)絡功能發(fā)揮受阻，影響網(wǎng)絡的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定。

3、缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

4、訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。

5、管理制度不健全，網(wǎng)絡管理、維護不力。

三、確保計算機網(wǎng)絡安全的防范措施

1、網(wǎng)絡系統(tǒng)結構設計合理與否是網(wǎng)絡安全運行的關鍵

全面分析網(wǎng)絡系統(tǒng)設計的每個環(huán)節(jié)是建立安全可靠的計算機網(wǎng)絡工程的首要任務。應在認真的基礎上下大氣力抓好網(wǎng)絡運行質(zhì)量的設計方案。在總體設計時要注意以下幾個問題：由于局域網(wǎng)采用的是以廣播為技術基礎的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅被兩個節(jié)點的網(wǎng)卡所接收，同時也被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關鍵信息。

2、強化計算機管理是網(wǎng)絡系統(tǒng)安全的保證

(1)加強設施管理，確保計算機網(wǎng)絡系統(tǒng)實體安全。建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生；注重在保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等外部設備和能信鏈路上狠下功夫，并不定期的對運行環(huán)境條件(溫度、濕度、清潔度、三防措施、供電接頭、志線及設備)進行檢查、測試和維護；著力改善抑制和防止電磁泄漏的能力，確保計算機系統(tǒng)有一個良好的電磁兼容的工作環(huán)境。

(2)強化訪問控制，力促計算機網(wǎng)絡系統(tǒng)運行正常。訪問控制是網(wǎng)絡安全防范和保護的主要措施，它的任務是保證網(wǎng)絡資源不被非法用戶使用和非常訪問，是網(wǎng)絡安全最重要的核心策略之一。

第一，建立入網(wǎng)訪問功能模塊。入網(wǎng)訪問控制為網(wǎng)絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網(wǎng)絡服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。

用戶的入網(wǎng)訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。在3個過程中如果其中一個不能成立，系統(tǒng)就視為非法用戶，則不能訪問。網(wǎng)絡用戶的用戶名與口令進行驗證是防止非法訪問的第一道防線。網(wǎng)絡用戶注冊時首先輸入用戶名與口令，遠程服務器將驗證所輸入的用戶名是否合法，如果驗證合法，才能進一步驗證口令，否則，用戶將被拒之門外。 網(wǎng)絡管理員將對普通用戶的賬號使用、訪問網(wǎng)絡時間、方式進行管理，還能控制用戶登錄入網(wǎng)的站點以及限制用戶入網(wǎng)的工作站數(shù)量。

第二，建立網(wǎng)絡的權限控制模塊。網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據(jù)訪問權限將用戶分為3種類型：特殊用戶(系統(tǒng)管理員)；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。

第三，建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網(wǎng)絡屬性可以控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立完善的備份及恢復機制。為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統(tǒng)的實時熱備份。同時，建立強大的數(shù)據(jù)庫觸發(fā)器和恢復重要數(shù)據(jù)的操作以及更新任務，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復。第八建立安全管理機構。安全管理機構的健全與否，直接關系到一個計算機系統(tǒng)的安全。其管理機構由安全、審計、系統(tǒng)、軟硬件、通信、保安等有關人員組成。

四、結束語

計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網(wǎng)絡安全解決方案是綜合各種計算機網(wǎng)絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡安全防護體系。我們必須做到管理和技術并重，安全技術必須結合安全措施，并加強計算機立法和執(zhí)法的力度，建立備份和恢復機制，制定相應的安全標準。

參考文獻：

機房網(wǎng)絡應急預案范文第5篇

關鍵詞：網(wǎng)絡安全；入侵防御系統(tǒng)；應急平臺；安全防御

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2011)22-5412-03

Research on Achieving Comprehensive Security and Defense in Emergency Platform Network

PENG Yun-feng

(Anhui Economic Information Center, Hefei 230001, China)

Abstract: This dissertation, based on the network topological structure of emergency platform and network security development trends, from the overall situation, the overall and equipment of joint Angle to solve the problem of network security, according to the unified security strategy, with the safety as the core, puts forward a comprehensive network security defense linkage Model, and gives out the emergency platform comprehensive interaction system network security solutions.

Key words: internet security; intrusion prevention system; emergency platform; security defense

省政府應急平臺是一個涉及圖像、數(shù)據(jù)、語音等信息的復雜系統(tǒng)平臺，既涉及到各種硬件通信設施、服務器、終端設備的安全，又涉及到各種系統(tǒng)軟件、通用應用軟件和自行開發(fā)的應用程序的安全；既涉及各種信息安全技術本身，也涉及保障這些安全技術順利實施的各種安全管理。因此一個可靠穩(wěn)定的支撐網(wǎng)絡平臺是應急平臺穩(wěn)定運行的前提和保障，也可以說直接影響著突發(fā)公共事件處置的效果和效率。

1 綜合聯(lián)動實現(xiàn)網(wǎng)絡安全防御

1.1 應急平臺網(wǎng)絡拓撲分析

省級應急平臺的計算機網(wǎng)絡系統(tǒng)分為省政府應急平臺局域網(wǎng)和連接各市、縣應急平臺的廣域網(wǎng)。省政府應急平臺局域網(wǎng)采用以太網(wǎng)技術進行建設，連接各市、縣應急平臺的廣域網(wǎng)依托全省電子政務網(wǎng)絡資源進行建設，實現(xiàn)與各市、縣政府及省直各專項部門應急平臺的連接，并通過接入到電子政務外網(wǎng)的地面工作站實現(xiàn)與移動應急平臺的連接，主要功能是滿足省應急平臺體系綜合應用系統(tǒng)、視頻會議系統(tǒng)、圖像接入系統(tǒng)、IP語音系統(tǒng)和移動應急平臺等業(yè)務的承載要求。省級應急平臺局域網(wǎng)核心采用兩臺高端交換機，用于連接應急平臺服務器組、內(nèi)部辦公網(wǎng)及應急指揮中心，同時用于各市、縣政府和省直各專項部門應急平臺的訪問連接，接入層采用星形雙歸結構，用于接入應急平臺服務器組及業(yè)務辦公網(wǎng)絡等，以保證系統(tǒng)的穩(wěn)定性。省級應急平臺網(wǎng)絡拓撲結構如圖1所示。

通過對上圖的分析可以得知，由于應急平臺服務器組部署在交換機的后端，應急平臺業(yè)務及應急指揮、辦公等縱向業(yè)務數(shù)據(jù)流都要經(jīng)過兩臺核心交換機轉(zhuǎn)發(fā)，所以通過這兩臺核心交換機的負載較重，流量也比較復雜，數(shù)據(jù)流中包含各類攻擊、病毒等的可能性也最大，對安全性要求較高。應急平臺內(nèi)部各處室、應急指揮中心通過應急平臺網(wǎng)絡訪問互聯(lián)網(wǎng)，目前僅采用防火墻進行隔離，由于互聯(lián)網(wǎng)是一個面向大眾的、開放的網(wǎng)絡，對于信息的保密和系統(tǒng)的安全考慮的并不完備，互聯(lián)網(wǎng)上充斥著各種攻擊、病毒，防火墻并不能保證應急平臺網(wǎng)絡的安全，所以這條路徑上也可最可能包含各種攻擊數(shù)據(jù)。

1.2 實施綜合聯(lián)動的必要性

隨著繁雜的網(wǎng)絡應用和多樣的攻擊入侵，應急平臺網(wǎng)絡所面臨的安全威脅越來越復雜，安全問題日益突出，使得孤立的安全設備難以有效應付，需要從系統(tǒng)全局，從整體和設備聯(lián)動的角度去解決網(wǎng)絡安全問題，依據(jù)統(tǒng)一的安全策略，以安全管理為核心，形成完整的系統(tǒng)安全防護體系。

建立一個整體的網(wǎng)絡安全防護體系的關鍵，在于要求各網(wǎng)絡安全設備之間具有較高的協(xié)同性，即聯(lián)動性。聯(lián)動技術體現(xiàn)了智能化網(wǎng)絡安全管理的潮流，能夠有機整合各種網(wǎng)絡安全技術，全面地保護網(wǎng)絡的安全，提高工作的效率。聯(lián)動的概念最初是由防火墻廠商CheckPoint提出來的，CheckPoint提出了OPSEC開放接口，并與其它廠商密切合作，實現(xiàn)了CheckPoint防火墻和身份認證、內(nèi)容安全、入侵檢測等產(chǎn)品的互動。

1.3 以安全為核心劃分區(qū)域

針對應急平臺現(xiàn)有網(wǎng)絡的實際情況，劃分出不同的安全分區(qū)，如圖2所示。

詳細分區(qū)情況描述如下：

1）DMZ區(qū)。DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該區(qū)域主要包括應急平臺對社會或其它部門提供服務的服務器群，如網(wǎng)站、郵件服務器等。該區(qū)域?qū)Π踩墑e要求比較高。

2）數(shù)據(jù)中心區(qū)。由應急平臺業(yè)務服務器群構成，是應急平臺一切業(yè)務應用活動的基礎。這個區(qū)域的安全性要求最高，對業(yè)務連續(xù)性要求也最高。要求不能隨便進行任何可能影響業(yè)務的操作，包括為服務器打補丁，管理起來也最為復雜。

3）內(nèi)部辦公區(qū)。內(nèi)部辦公計算機構成的安全區(qū)域。安全性和業(yè)務持續(xù)性要求最低，管理難度大，最容易遭受蠕蟲的威脅。

4）遠程接入?yún)^(qū)。該區(qū)域主要指移動辦公人員、移動應急指揮平臺等通過外部互聯(lián)網(wǎng)實現(xiàn)訪問應急平臺業(yè)務應用系統(tǒng)功能的區(qū)域。

5）廣域網(wǎng)接入?yún)^(qū)。在之前的網(wǎng)絡建設中，省級政府應急平臺是通過省電子政務外網(wǎng)實現(xiàn)與市、縣政府和省直各專項部門應急平臺的連接。廣域網(wǎng)接入?yún)^(qū)就是通過專線連接省直各專項部門、市、縣政府應急平臺網(wǎng)絡的區(qū)域，這一安全區(qū)域內(nèi)部沒有具體的應用系統(tǒng)，主要實現(xiàn)網(wǎng)絡互聯(lián)的功能，定義這一安全區(qū)域是為了方便網(wǎng)絡管理。

1.4 綜合聯(lián)動方案設計

目前，已經(jīng)商用的比較成熟的聯(lián)動系統(tǒng)，是通過網(wǎng)絡入侵檢測系統(tǒng)（IDS,Intrusion Detection Systems）和防火墻的聯(lián)動來實現(xiàn)入侵防御。IDS檢測到某種攻擊后，會通知防火墻立刻做出相關策略的動態(tài)修改，對攻擊源進行相應的封堵，例如阻斷源端口、源IP等，從而達到整體安全控制的效果。防火墻與IDS聯(lián)動的設計，充分體現(xiàn)了網(wǎng)絡安全深度防御的思想。但這種方式也有不足，最重要的問題在于，防火墻和入侵檢測產(chǎn)品的互動沒有一個被廣泛認可的通用標準，大多數(shù)安全廠商各行其道，限制了技術的發(fā)展和用戶選擇產(chǎn)品的范圍。

因此，本文提出了綜合的系統(tǒng)聯(lián)動方案。針對應急平臺網(wǎng)絡拓撲結構的特點，在綜合聯(lián)動方案中加入了入侵防御系統(tǒng)（IPS,Intrusion Prevention System）、防火墻、安全管理中心軟件、EAD（Endpoint Admission Defense，端點準入防御）軟件、網(wǎng)絡版防病毒軟件、網(wǎng)管軟件、SSL VPN接入網(wǎng)關等軟硬件設備，提出如下綜合聯(lián)動部署方案，如圖3所示。

綜合聯(lián)動方案配置如表1所示。

具體的部署策略如下：

1）應急平臺網(wǎng)絡的互聯(lián)網(wǎng)出口處部署防火墻和IPS。防火墻對來自外部的訪問進行控制，并對來自外部網(wǎng)絡的2～4層的網(wǎng)絡攻擊進行防護。IPS利用不同的規(guī)則，既對外部網(wǎng)絡的2～7層的攻擊進行防護，又可以對內(nèi)部流量進行監(jiān)控，限制P2P、BT等業(yè)務，保證了應急平臺骨干業(yè)務網(wǎng)絡正常運行。

2）兩臺核心交換機旁路部署SSL VPN設備，并做雙機熱備，在保證應急平臺網(wǎng)絡安全的同時，滿足移動辦公的需要。同時對移動終端訪問應急平臺數(shù)據(jù)時通過加裝數(shù)字證書進行身份認證，保證移動終端訪問的安全性。

3）重要的應急平臺服務器組前端部署IPS和防火墻。IPS防護針對操作系統(tǒng)漏洞進行的攻擊，并防護來自內(nèi)部網(wǎng)絡2～7層的攻擊。防火墻對應急平臺服務器組虛擬出DMZ區(qū)和內(nèi)部受信區(qū)域，對不同單位的訪問進行控制，并防護來自內(nèi)部網(wǎng)絡2～4層的攻擊。

4）DMZ區(qū)部署網(wǎng)絡版防病毒軟件和EAD系統(tǒng)。網(wǎng)絡版防病毒服務器安裝在內(nèi)部網(wǎng)辦公PC和服務器群上，該軟件可定期及時更新病毒庫，保護服務器群及內(nèi)部網(wǎng)辦公電腦免受病毒的攻擊。EAD通過集中部署，實現(xiàn)對用戶終端的安全狀態(tài)評估和訪問權限的動態(tài)控制，從而加強了應急平臺中網(wǎng)絡終端的主動防御能力，控制病毒、蠕蟲的蔓延。

5）安全管理軟件和網(wǎng)管軟件對應急平臺進行集中管理。管理人員可以通過網(wǎng)管軟件對網(wǎng)絡安全和服務器設備進行管理和控制，對設備的配置進行更新和修改，降低管理難度和成本。通過安全管理中心軟件收集網(wǎng)絡、安全以及服務器等設備的安全事件和日志，如攻擊事件記錄、日志等。

1.5 系統(tǒng)聯(lián)動分析

通過上述軟硬件的部署，可以實現(xiàn)省級政府應急平臺網(wǎng)絡設備、安全產(chǎn)品、用戶終端等設備綜合系統(tǒng)的聯(lián)動。該安全聯(lián)動方案由安全管理平臺、安全防護設備和EAD軟件三部分組成，安全管理平臺指安全管理中心系統(tǒng)和智能網(wǎng)管系統(tǒng)，安全防護設備指防火墻、入侵防御系統(tǒng)等。各終端用戶通過EAD軟件接入并由安全管理平臺進行身份認證和終端安全狀態(tài)評估，確保每一個接入端點的安全，預防內(nèi)網(wǎng)病毒、蠕蟲的泛濫。系統(tǒng)聯(lián)動如圖4所示。

位于內(nèi)部辦公區(qū)的終端安裝端點準入系統(tǒng)，當某個用戶試圖非法訪問內(nèi)部服務器時，部署在服務器組前的防火墻設備會阻斷非法訪問連接；當某個用戶感染的病毒向服務器區(qū)傳播或用戶機器上的木馬對服務器區(qū)進行攻擊時，部署在服務器前的IPS設備可以將病毒和攻擊阻斷，防火墻和IPS會將該用戶的非法訪問和攻擊事件實時發(fā)給安全管理中心，安全管理中心根據(jù)定義好的策略，將重要的安全事件信息通過告警方式發(fā)給智能網(wǎng)管中心，智能網(wǎng)管中心上的端點準入管理組件分析安全管理中心發(fā)過來的告警信息，確認非法訪問和攻擊的用戶，然后，通過端點準入管理組件對惡意用戶進行告警或強迫下線，控制攻擊來源，避免威脅的再次發(fā)生，并且為用戶提供整網(wǎng)安全審計報告。

2 結束語

本文研究了省級應急平臺的網(wǎng)絡拓撲結構，分析了網(wǎng)絡所可能面臨的安全風險，根據(jù)應急平臺網(wǎng)絡的特點，基于綜合聯(lián)動的網(wǎng)絡安全策略，可以實現(xiàn)省級政府應急平臺網(wǎng)絡設備、安全產(chǎn)品、用戶終端等設備綜合系統(tǒng)的聯(lián)動，預防內(nèi)網(wǎng)病毒、蠕蟲的泛濫，最大限度地保證應急平臺網(wǎng)絡的安全和業(yè)務系統(tǒng)的正常運行。

參考文獻：

[1] 張千里,陳光英.網(wǎng)絡安全新技術[M].北京:人民郵電出版社,2003.

[2] 卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報.2004(7):19-29.

[3] 黃金蓮,高會生.入侵防護系統(tǒng)IPS探討[J].網(wǎng)絡安全技術與應用,2005(8).

[4] 劉世翔.網(wǎng)絡入侵檢測系統(tǒng)的研究和實現(xiàn)[D].長春:吉林大學,2004.

[5] 周海剛,肖軍模.網(wǎng)絡主動防御體系結構[J].電信科學,2003(1).

[6] 聶林等.入侵防御系統(tǒng)的研究與分析[J].計算機應用研究.2005(9):131-136.

[7] 林延福.入侵防御系統(tǒng)技術研究與設計[D].西安:西安電子科技大學,2005.