網(wǎng)絡(luò)安全體系解決方案

前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全體系解決方案范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

網(wǎng)絡(luò)安全體系解決方案范文第1篇

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全問(wèn)題 對(duì)策解決

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2014）07（b）-0188-01

伴隨著我國(guó)各個(gè)高校的教育信息量不斷的增加，這個(gè)時(shí)候校園網(wǎng)就需要提供更多的服務(wù)與網(wǎng)絡(luò)應(yīng)用，這個(gè)時(shí)候網(wǎng)絡(luò)上的安全問(wèn)題也會(huì)應(yīng)運(yùn)而生。

1 校園網(wǎng)網(wǎng)絡(luò)特點(diǎn)

在高校當(dāng)中的校園網(wǎng)絡(luò)給學(xué)生的師生們提供了諸多的便利。因此，在某種的程度上學(xué)校只有把校園網(wǎng)絡(luò)當(dāng)中的特點(diǎn)掌握清楚，這樣才有利于其管理與維護(hù)，確保校園網(wǎng)絡(luò)的安全性。

1.1 使用速度大、規(guī)模大

網(wǎng)絡(luò)使用的時(shí)候其速度是極為重要的，尤其是在學(xué)校的網(wǎng)絡(luò)當(dāng)中，在學(xué)校中使用的人群是非常廣泛的，同時(shí)信息流量是及其大與重要。一般情況下，在各個(gè)高校中都是采用的是太網(wǎng)技術(shù)，這種網(wǎng)的網(wǎng)絡(luò)速度快，適合在學(xué)校中使用，但是不可否認(rèn)的是這種網(wǎng)絡(luò)中存在著大量的問(wèn)題，會(huì)給學(xué)校在進(jìn)行管理的時(shí)候帶來(lái)諸多的不便利。

1.2 使用的群體較多較活躍

在各個(gè)高校中一般使用的群體是廣大學(xué)生，同時(shí)廣大學(xué)生也是學(xué)校當(dāng)中使用網(wǎng)絡(luò)的積極份子。處于學(xué)生時(shí)代，由于他們對(duì)計(jì)算機(jī)的好奇，這樣他們就會(huì)常常去利用網(wǎng)絡(luò)娛樂(lè)與學(xué)習(xí)。在學(xué)生利用網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)與娛樂(lè)的時(shí)候就會(huì)常常受到來(lái)自不同程度上的攻擊，這樣在一定的程度上就會(huì)導(dǎo)致其安全性能降低。在我國(guó)的一些高校中，會(huì)利用網(wǎng)絡(luò)處理學(xué)校內(nèi)的各種事宜，這樣在處理事物的時(shí)候就會(huì)使網(wǎng)絡(luò)上各種問(wèn)題應(yīng)運(yùn)產(chǎn)生。

1.3 校園網(wǎng)絡(luò)處于開(kāi)放的環(huán)境

各個(gè)高校的網(wǎng)絡(luò)主要就是為廣大學(xué)生提供更多的資源，因此，在校園網(wǎng)絡(luò)的使用，最為突出的就是其具有強(qiáng)大的開(kāi)放性。一般情況下來(lái)說(shuō)，學(xué)校在進(jìn)行教學(xué)的研究時(shí)候就要求其網(wǎng)絡(luò)環(huán)境是開(kāi)放的，這樣在一定程度上對(duì)于學(xué)生的學(xué)習(xí)是非常便利的。因?yàn)椋谀撤N意義上來(lái)說(shuō)，只有在校園網(wǎng)絡(luò)處于一定的開(kāi)放性的環(huán)境中，這樣才有利于學(xué)生獲得更多的知識(shí)，有利于學(xué)生們之間的交流。正是因?yàn)檫@樣，校園網(wǎng)絡(luò)當(dāng)中目前有著各種各樣的安全性問(wèn)題。

2 校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題

2.1 網(wǎng)絡(luò)設(shè)備對(duì)校園網(wǎng)絡(luò)安全威脅

在校園網(wǎng)絡(luò)當(dāng)中，有著一定的安全問(wèn)題，其中就包括網(wǎng)絡(luò)操作人員與網(wǎng)絡(luò)設(shè)施帶來(lái)的問(wèn)題。在高校中很多的學(xué)生都會(huì)私自的安裝路由器，這樣在一定的程度上就會(huì)導(dǎo)致校園網(wǎng)絡(luò)速度變得緩慢，同時(shí)也會(huì)給其他同學(xué)的計(jì)算機(jī)帶來(lái)一定的危險(xiǎn)性。另一方面，則是操作人員帶來(lái)的安全問(wèn)題，在學(xué)校中的網(wǎng)絡(luò)通信設(shè)備機(jī)房是極為重要的，若是發(fā)生火災(zāi)等情況，這樣在一定的程度上就會(huì)威脅網(wǎng)絡(luò)的安全問(wèn)題。

2.2 校園網(wǎng)絡(luò)外部問(wèn)題對(duì)校園網(wǎng)絡(luò)安全威脅

一般情況下，我們都會(huì)知道互聯(lián)網(wǎng)上病毒會(huì)影響著校園網(wǎng)絡(luò)的安全，這里主要就是指黑客。校園網(wǎng)絡(luò)在各個(gè)高校中的網(wǎng)絡(luò)接口，在一個(gè)意義上來(lái)說(shuō)都是容易導(dǎo)致病毒侵入，若是沒(méi)有一定的安全措施，必定會(huì)造成一定的損失。

2.3 校園網(wǎng)絡(luò)內(nèi)部問(wèn)題對(duì)網(wǎng)絡(luò)安全問(wèn)題威脅

在目前的很多高校校園網(wǎng)絡(luò)中，依然停留在是個(gè)人的安全管理當(dāng)中，這樣在一般情況下是不能夠進(jìn)行統(tǒng)一安裝病毒預(yù)防口令，這樣就會(huì)導(dǎo)致其安全策略沒(méi)有發(fā)揮其應(yīng)有的作用。因此，就會(huì)導(dǎo)致在出現(xiàn)問(wèn)題的時(shí)候就會(huì)沒(méi)有辦法找到負(fù)責(zé)人。

2.4 校園網(wǎng)絡(luò)缺少一定的統(tǒng)一管理

在很多高校當(dāng)中他們的硬件設(shè)施的安全性是非常高的，但是他們沒(méi)有很好的進(jìn)行網(wǎng)路安全的管理。這樣在一定的程度上就會(huì)導(dǎo)致校園網(wǎng)絡(luò)的安全性及其低，同時(shí)也不能夠?qū)π@網(wǎng)絡(luò)產(chǎn)生的安全問(wèn)題進(jìn)行評(píng)估，這樣就會(huì)嚴(yán)重的影響該校校園網(wǎng)絡(luò)的安全性。

3 校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題對(duì)策

3.1 防范網(wǎng)絡(luò)系統(tǒng)上安全漏洞

（1）在針對(duì)網(wǎng)絡(luò)上的各種漏洞應(yīng)該進(jìn)行及時(shí)的安裝各種補(bǔ)丁程序，這樣在一定的程度上才增加安全性。（2）加強(qiáng)防火墻的建設(shè)，這樣才能加強(qiáng)校網(wǎng)網(wǎng)絡(luò)的防御系統(tǒng)，保護(hù)其不受到外部的攻擊。（3）進(jìn)行數(shù)據(jù)備份，主要就針對(duì)核心設(shè)備，核心配置等進(jìn)行備份，這樣就會(huì)在很大程度上避免了若是出現(xiàn)故障之后不能夠恢復(fù)的問(wèn)題。

3.2 防范網(wǎng)絡(luò)上病毒

對(duì)于計(jì)算機(jī)上的病毒進(jìn)行防御可以算得上是在學(xué)校的網(wǎng)絡(luò)安全問(wèn)題管理中的重要一方面，因此，學(xué)校應(yīng)該建立起病毒防范的體系，比如說(shuō)在網(wǎng)絡(luò)訪(fǎng)問(wèn)的限制帳號(hào)設(shè)置等的監(jiān)控。同時(shí)還需要?dú)⒍拒浖@樣在一定程度上就會(huì)防范病毒的侵入。

3.3 進(jìn)行統(tǒng)一管理

各個(gè)高校應(yīng)該針對(duì)本學(xué)校的發(fā)展不同特點(diǎn)進(jìn)行制定管理方案，高校除了要增加其技術(shù)上的完善，一般情況也是需要制定一系列的管理制度，比如說(shuō)可以建立一個(gè)有關(guān)的管理部門(mén)，之后在校網(wǎng)中應(yīng)該要讓學(xué)生對(duì)網(wǎng)絡(luò)安全問(wèn)題有著一定了解，將網(wǎng)絡(luò)知識(shí)發(fā)到網(wǎng)絡(luò)上，這樣在才能使校園網(wǎng)絡(luò)的安全性有著一定的保障。

4 結(jié)語(yǔ)

校園網(wǎng)絡(luò)安全這個(gè)問(wèn)題在某種程度上來(lái)說(shuō)是極其復(fù)雜，因材對(duì)其安全問(wèn)題進(jìn)行管理應(yīng)該從全方位來(lái)進(jìn)行考慮，只有這樣，能夠建立起來(lái)有利于校園網(wǎng)絡(luò)安全的防線(xiàn)。

參考文獻(xiàn)

[1] 楊宇紅.校園網(wǎng)絡(luò)的安全問(wèn)題分析與對(duì)策[J].信息安全與技術(shù)，2011（4）：30-32.

[2] 陳軍.校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策研究[J].數(shù)字技術(shù)與應(yīng)用，2012（9）：175.

[3] 關(guān)啟云.校園網(wǎng)絡(luò)安全問(wèn)題分析及對(duì)策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）：88-89.

網(wǎng)絡(luò)安全體系解決方案范文第2篇

1.1部署入侵網(wǎng)絡(luò)檢測(cè)系統(tǒng)入侵網(wǎng)絡(luò)檢測(cè)系統(tǒng)是通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)信息進(jìn)行收集與分析，從而發(fā)現(xiàn)是否有被攻擊或違反安全策略的跡象，協(xié)助系統(tǒng)管理員進(jìn)行安全管理或?qū)ο到y(tǒng)所收到的攻擊采取相應(yīng)的對(duì)策。

1.2漏洞掃描系統(tǒng)的建立對(duì)服務(wù)器、工作站以及交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備的檢查其必須要采用當(dāng)前最為先進(jìn)的漏洞掃描系統(tǒng)，同時(shí)定期對(duì)上述關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行檢查，并對(duì)檢測(cè)的報(bào)告進(jìn)行分析，從而為網(wǎng)絡(luò)的安全提供保障。

1.3培養(yǎng)網(wǎng)絡(luò)安全人才網(wǎng)絡(luò)安全人才的培養(yǎng)是一個(gè)很重要的問(wèn)題。在我國(guó)，專(zhuān)門(mén)從事網(wǎng)絡(luò)安全問(wèn)題的部門(mén)、單位比較少，技術(shù)人員十分缺乏，并且網(wǎng)絡(luò)人員以及網(wǎng)絡(luò)管理人員網(wǎng)絡(luò)安全意識(shí)比較淡薄，缺乏必備的安全知識(shí)。所以，我國(guó)急切需要培養(yǎng)大量的網(wǎng)絡(luò)安全人才，并提高他們的網(wǎng)絡(luò)安全意識(shí)和學(xué)習(xí)必備的安全知識(shí)。只有這樣，我國(guó)才能在網(wǎng)絡(luò)安全領(lǐng)域的研發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)等方面更快發(fā)展，縮小和國(guó)外的，是我國(guó)的網(wǎng)絡(luò)更加的安全，國(guó)家更加的安全。

1.4大力發(fā)展自主性網(wǎng)絡(luò)安全產(chǎn)業(yè)大力開(kāi)發(fā)有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品可以有效提高網(wǎng)絡(luò)安全性能，是徹底擺脫進(jìn)口設(shè)備的有效途徑，自己掌握關(guān)鍵技術(shù)是大力發(fā)展自主性網(wǎng)絡(luò)安全產(chǎn)業(yè)的關(guān)鍵。通過(guò)加大對(duì)網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全技術(shù)研究開(kāi)發(fā)與研究的投人，可以使網(wǎng)絡(luò)安全技術(shù)水平得到進(jìn)一步的提高。

2網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)

隨著我國(guó)當(dāng)前網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，原來(lái)的采用單點(diǎn)疊加方式的網(wǎng)絡(luò)防護(hù)手段已經(jīng)不能抵御當(dāng)前混合型的網(wǎng)絡(luò)威脅。因此，構(gòu)建考慮局部安全、智能安全和全局安全的一個(gè)安全體系，以此為廣大的網(wǎng)絡(luò)用戶(hù)提供更為全方位和多層次的立體防護(hù)體系，是當(dāng)前做好網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要的理念，同時(shí)也是網(wǎng)絡(luò)安全未來(lái)發(fā)展趨勢(shì)。

2.1網(wǎng)絡(luò)安全技術(shù)的融合發(fā)展在網(wǎng)絡(luò)普及率不斷提高的情況下，網(wǎng)絡(luò)所面臨的威脅也日益加劇。傳統(tǒng)的以單一防護(hù)的方式已經(jīng)成為過(guò)去。因此，只有通過(guò)技術(shù)的融合，建立更加智能化、集中化的管理體系，成為未來(lái)網(wǎng)絡(luò)安全的必然。未來(lái)網(wǎng)絡(luò)的規(guī)模會(huì)越來(lái)越龐大和復(fù)雜，網(wǎng)絡(luò)層的安全和暢通已經(jīng)不能僅僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備來(lái)保證，因此整體的安全解決方案開(kāi)始融合以終端準(zhǔn)入解決方案為代表的網(wǎng)絡(luò)管理軟件。終端準(zhǔn)入解決方案為網(wǎng)絡(luò)安全提供了有效保障，幫助用戶(hù)實(shí)現(xiàn)了更加主動(dòng)的安全防護(hù)，實(shí)現(xiàn)了更加高效、便捷地網(wǎng)絡(luò)管理目標(biāo)，全面推動(dòng)了網(wǎng)絡(luò)整體安全體系建設(shè)的進(jìn)程。

2.2網(wǎng)絡(luò)主動(dòng)防御的發(fā)展網(wǎng)絡(luò)主動(dòng)防御的理念已經(jīng)被提出來(lái)很多年了，但是和其他理論一樣，在其發(fā)展的時(shí)候遇到了很多阻礙。所謂的網(wǎng)絡(luò)主動(dòng)防御，其實(shí)質(zhì)就是通過(guò)對(duì)指定程序或者是線(xiàn)程方面的行為，并按照事先設(shè)定的規(guī)則，從而判斷該行為是否是屬于病毒或者是比較危險(xiǎn)的程序，以此對(duì)其進(jìn)行清除。通過(guò)主動(dòng)防御可有效的提高系統(tǒng)整體的安全策略，并推進(jìn)整個(gè)互聯(lián)網(wǎng)絡(luò)的智能化的建設(shè)。該產(chǎn)品在現(xiàn)階段的發(fā)展中還不夠成熟，但是未來(lái)隨著技術(shù)的進(jìn)步，該技術(shù)會(huì)更為完善，從而成為未來(lái)互聯(lián)網(wǎng)的發(fā)展趨勢(shì)。

3結(jié)語(yǔ)

網(wǎng)絡(luò)安全體系解決方案范文第3篇

現(xiàn)今，無(wú)論是網(wǎng)吧、企業(yè)、學(xué)校或者其他行業(yè)，對(duì)網(wǎng)絡(luò)的安全已成為關(guān)注的焦點(diǎn)，各科基于防火墻、安全網(wǎng)關(guān)等設(shè)備的防毒、防攻擊技術(shù)層出不窮。然而，在各方面利益的驅(qū)使下，病毒和黑客的進(jìn)步更加迅猛。逐漸呈現(xiàn)出病毒智能化、變種、繁殖化及黑客工具“傻瓜”化等發(fā)展趨勢(shì)。使得傳統(tǒng)的網(wǎng)絡(luò)安全體系防不勝防，網(wǎng)絡(luò)隨時(shí)面臨癱瘓的危險(xiǎn)。

面臨的問(wèn)題

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，由防火墻、安全網(wǎng)關(guān)等各自為政的安全產(chǎn)品所打造的防線(xiàn)，面對(duì)不斷更新的病毒和網(wǎng)絡(luò)攻擊，已變得不堪一擊。

建設(shè)綠色健康、安全穩(wěn)定的網(wǎng)絡(luò)需要解決以下問(wèn)題：

1網(wǎng)關(guān)常常被欺騙信息“迷惑”；

2各類(lèi)應(yīng)用搶占帶寬資源；

3惡意信息和網(wǎng)絡(luò)攻擊肆虐；

4關(guān)鍵業(yè)務(wù)無(wú)法得到保障；

5內(nèi)網(wǎng)充斥著海量的垃圾信息；

6設(shè)備性能和網(wǎng)絡(luò)資源被惡意訪(fǎng)問(wèn)消耗殆盡。

切斷傳染途徑

內(nèi)網(wǎng)不安全，大多數(shù)來(lái)自對(duì)帶有病毒或木馬網(wǎng)站的訪(fǎng)問(wèn)和文件下載，導(dǎo)致電腦中毒，從而出現(xiàn)上網(wǎng)緩慢、掉線(xiàn)等異常現(xiàn)象。為防止電腦中毒，在飛魚(yú)星VE上網(wǎng)行為管理路由器中提供了網(wǎng)址分類(lèi)管理、WEB安全、防火墻設(shè)置等功能，可防止用戶(hù)訪(fǎng)問(wèn)高危的網(wǎng)站和帶有病毒或者木馬的各種文件，切斷病毒和木馬入侵電腦的途徑，有效保護(hù)電腦的安全。

保護(hù)易感染電腦

而在飛魚(yú)星VS安全聯(lián)動(dòng)交換機(jī)系列中，內(nèi)嵌的飛魚(yú)星安全系統(tǒng)和硬件防火墻，能徹底防御ARP病毒、蠕蟲(chóng)病毒和DDOS攻擊；過(guò)濾非法網(wǎng)絡(luò)流量，避免路由器遭受各種異常流量攻擊，減輕路由器負(fù)擔(dān)。同時(shí)，交換機(jī)的每一個(gè)端口可自動(dòng)診斷出中毒電腦的異常情況(如：流量過(guò)大)，并主動(dòng)識(shí)別其電腦異常情況，自動(dòng)隔離中毒電腦，抑制病毒的蔓延，從而保護(hù)未中毒電腦的安全性和可使用性。

整體安全解決方案

VE(上網(wǎng)行為管理路由器)+VS(安全聯(lián)動(dòng)交換機(jī))所組成的飛魚(yú)星安全聯(lián)動(dòng)系統(tǒng)(ASN)是一套即時(shí)、互動(dòng)和統(tǒng)一的網(wǎng)絡(luò)安全新架構(gòu)，能有效解決內(nèi)網(wǎng)的安全問(wèn)題，重建和優(yōu)化內(nèi)網(wǎng)秩序。它通過(guò)路由器和安全交換機(jī)的聯(lián)動(dòng)協(xié)作，共同構(gòu)成一套完整的網(wǎng)絡(luò)安全體系。安全策略和QoS策略都被部署到交換機(jī)的每個(gè)接入端口，極大增強(qiáng)網(wǎng)絡(luò)的主動(dòng)防御能力，為用戶(hù)創(chuàng)建一個(gè)內(nèi)外兼“固”的安全環(huán)境。整個(gè)網(wǎng)絡(luò)類(lèi)似井然有序的機(jī)場(chǎng)，安檢嚴(yán)格，層層把關(guān)；調(diào)度有序，進(jìn)出港快速穩(wěn)定；內(nèi)網(wǎng)關(guān)鍵業(yè)務(wù)和重要應(yīng)用優(yōu)先級(jí)得到保障，猶如機(jī)場(chǎng)的VIP通道。

此套方案中，路由器和交換機(jī)不再各自為政，雙劍出擊，保證網(wǎng)絡(luò)安全。且交換機(jī)不僅是數(shù)據(jù)交換的核心。還具備專(zhuān)業(yè)安全產(chǎn)品的性能。通過(guò)安全交換機(jī)串聯(lián)服務(wù)器、安全網(wǎng)關(guān)、終端電腦，組成貫穿整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系。

同時(shí)，在綠色節(jié)能方面，交換機(jī)將自動(dòng)偵測(cè)端口狀態(tài)，在某端口空閑、沒(méi)有連接其它網(wǎng)絡(luò)設(shè)備或沒(méi)有數(shù)據(jù)交換時(shí)。該端口將自動(dòng)轉(zhuǎn)為“睡眠模式”，降低端口的電量從而節(jié)省能源；同時(shí)，能夠?qū)€(xiàn)纜長(zhǎng)度進(jìn)行偵測(cè)，精確劃分該條網(wǎng)絡(luò)線(xiàn)路正常工作所需的電量，再予以供給。可以使能源耗費(fèi)量大幅度地降低。

網(wǎng)絡(luò)安全體系解決方案范文第4篇

關(guān)鍵詞 信息安全；PKI；CA；VPN

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問(wèn)題也在困擾著用戶(hù)，在2003年后，木馬、蠕蟲(chóng)的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題，而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說(shuō)明。

2 信息系統(tǒng)現(xiàn)狀

2.1 信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。

2)應(yīng)用系統(tǒng)

經(jīng)過(guò)多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2 信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3 風(fēng)險(xiǎn)與需求分析

3.1 風(fēng)險(xiǎn)分析

通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴(lài)性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶(hù)管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類(lèi)的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)都停留在用戶(hù)名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶(hù)都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶(hù)都是不可信的。在這種信任模型中，假設(shè)所有用戶(hù)都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

已購(gòu)買(mǎi)的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿(mǎn)足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門(mén)和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶(hù)才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2 需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專(zhuān)業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4 設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1 標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。

4.2 系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3 規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4 保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5 多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6 分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開(kāi)銷(xiāo)的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿(mǎn)足某公司安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。

5 設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)與計(jì)算機(jī)專(zhuān)業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線(xiàn)身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴(lài)等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶(hù)提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書(shū)加密來(lái)完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

不可抵賴(lài)性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。

5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專(zhuān)用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專(zhuān)用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道，使得合法的用戶(hù)可以安全的訪(fǎng)問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專(zhuān)線(xiàn)方式，實(shí)現(xiàn)移動(dòng)用戶(hù)、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪(fǎng)問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3 安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開(kāi)放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶(hù)端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴(lài)于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書(shū)由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書(shū))之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹(shù)狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4 桌面安全防護(hù)

對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專(zhuān)利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶(hù)端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對(duì)稱(chēng)密鑰體系保證了文檔的完整性和不可抵賴(lài)性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶(hù)可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶(hù)如果需要離開(kāi)計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5 身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶(hù)集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶(hù)端安全組件和證書(shū)管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪(fǎng)問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴(lài)性的總體要求。

6 方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專(zhuān)業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7 結(jié)論

網(wǎng)絡(luò)安全體系解決方案范文第5篇

關(guān)鍵詞 WMN網(wǎng)絡(luò)；安全體系；入侵檢測(cè)

中圖分類(lèi)號(hào) TP 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)031-0113-01

因?yàn)闊o(wú)線(xiàn)接入?yún)f(xié)議的完善、電子產(chǎn)品的改良，WLAN的技術(shù)越來(lái)越成熟，在100 m范圍內(nèi)的無(wú)線(xiàn)上網(wǎng)可以通過(guò)WI-FI技術(shù)成熟解決，AP通過(guò)有線(xiàn)鏈路接入局域網(wǎng)，STA通過(guò)一跳無(wú)線(xiàn)鏈路接入AP。無(wú)線(xiàn)設(shè)備如果要在很大的范圍內(nèi)移動(dòng)，就需要很多AP接入互聯(lián)網(wǎng)，這樣就會(huì)帶來(lái)一系列的問(wèn)題，如信號(hào)干擾、成本提高，為解決這些問(wèn)題，就提出了WMN網(wǎng)絡(luò)，它是通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)連接AP和骨干網(wǎng)絡(luò)，用多個(gè)無(wú)線(xiàn)中繼連接有線(xiàn)網(wǎng)絡(luò)，這樣就組建了一個(gè)很大覆蓋范圍的無(wú)線(xiàn)網(wǎng)絡(luò)，并且網(wǎng)絡(luò)信號(hào)良好。

WMN網(wǎng)絡(luò)可以分為三種結(jié)構(gòu)的形式：一種是基于客戶(hù)的網(wǎng)絡(luò)，該種類(lèi)型的網(wǎng)絡(luò)不需要MR的參與，用戶(hù)間是通過(guò)P2P連接，MC承擔(dān)了所有的路由、配置、終端管理任務(wù)，因而需要MC的功能相當(dāng)強(qiáng)大，也注定這種網(wǎng)絡(luò)的移動(dòng)性相當(dāng)好，魯棒性就差了許多；一種是基于基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)主要由MR作為中堅(jiān)力量組成MESH骨干網(wǎng)，用戶(hù)直接或者通過(guò)AP接入MESH骨干網(wǎng)絡(luò)，MESH骨干網(wǎng)絡(luò)通過(guò)有線(xiàn)接入互聯(lián)網(wǎng)絡(luò)，這種網(wǎng)絡(luò)層次清晰、路由算法簡(jiǎn)單，能提供高效的網(wǎng)絡(luò)服務(wù)，不足之處是MR承擔(dān)了所有任務(wù)，MC沒(méi)有充分發(fā)揮作用，不能起到接力的作用，需要的MR數(shù)目太多；還有一種是混合類(lèi)型的網(wǎng)絡(luò)，這種網(wǎng)絡(luò)結(jié)合了上兩種的優(yōu)勢(shì)，MC可以直接接入MR，也可以通過(guò)別的MC接入，真正做到了完全無(wú)縫覆蓋效果，也支持異構(gòu)網(wǎng)絡(luò)。

WMN網(wǎng)絡(luò)具有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)靈活，網(wǎng)絡(luò)拓?fù)鋽U(kuò)展性良好，魯棒性好，路由算法先進(jìn)，可以自動(dòng)迂回路由等一般網(wǎng)絡(luò)無(wú)法比擬的優(yōu)越性，部署一個(gè)WMN網(wǎng)絡(luò)最少只需要一個(gè)有線(xiàn)網(wǎng)絡(luò)的接口，其它的AP都可以通過(guò)無(wú)線(xiàn)鏈路彼此相連，當(dāng)某些節(jié)點(diǎn)的數(shù)據(jù)量突然擁塞時(shí)候，這些節(jié)點(diǎn)可以智能的選擇別的節(jié)點(diǎn)，均衡流量，每個(gè)AP都與幾個(gè)和它相鄰的AP具有連接性，當(dāng)某個(gè)AP失效，它就自動(dòng)路由到別的有效的AP上，保障網(wǎng)絡(luò)的健壯性，要擴(kuò)大無(wú)線(xiàn)網(wǎng)絡(luò)的覆蓋范圍時(shí)候，就只要在無(wú)線(xiàn)網(wǎng)絡(luò)的邊緣增加AP即可，增加的AP就會(huì)連接原有的AP，從而擴(kuò)大無(wú)線(xiàn)網(wǎng)絡(luò)的范圍，從而使系統(tǒng)始終都在高效率運(yùn)轉(zhuǎn)。WMN網(wǎng)絡(luò)可以與其他無(wú)線(xiàn)網(wǎng)絡(luò)兼容并可以互操作，WMN網(wǎng)絡(luò)具有很強(qiáng)的自我修復(fù)、自我形成、自我組織的能力，它整合了包括無(wú)線(xiàn)和有線(xiàn)的各種異構(gòu)網(wǎng)絡(luò)，能被無(wú)線(xiàn)基礎(chǔ)設(shè)施方便的支持移動(dòng)性，形成了一種無(wú)線(xiàn)骨干網(wǎng)絡(luò)的多跳網(wǎng)絡(luò)，它應(yīng)用了許多WLAN網(wǎng)絡(luò)和Ad hoc網(wǎng)絡(luò)的成熟技術(shù)，融合了兩種網(wǎng)絡(luò)的優(yōu)勢(shì)，可以提供大容量，高速度，寬覆蓋的無(wú)線(xiàn)網(wǎng)絡(luò)接入技術(shù)，解決了無(wú)線(xiàn)網(wǎng)絡(luò)布線(xiàn)的終端移動(dòng)性的重要問(wèn)題，適應(yīng)在學(xué)校、醫(yī)院、辦公場(chǎng)所等人口密集區(qū)應(yīng)用。

1 WMN 的安全問(wèn)題

WMN的STA和MAP之間的鏈路使用的是WLAN連接，MP，MAP，MPP之間使用的是Ad Hoc網(wǎng)絡(luò)連接，WMN吸收了WLAN網(wǎng)絡(luò)和Ad Hoc網(wǎng)絡(luò)的優(yōu)勢(shì)，是兩者的集大成。WMN網(wǎng)絡(luò)的安全體系主要存在如下幾種網(wǎng)絡(luò)安全問(wèn)題：第一個(gè)大的安全問(wèn)題就是網(wǎng)絡(luò)是否可用的可用性問(wèn)題。這個(gè)問(wèn)題分為如下三種情況：第一種情況是惡意節(jié)點(diǎn)占據(jù)無(wú)線(xiàn)鏈路信道，長(zhǎng)時(shí)間不歸還，使得其他合法節(jié)點(diǎn)無(wú)法正常獲得發(fā)送數(shù)據(jù)的權(quán)利，從而造成信號(hào)阻塞，致使該節(jié)點(diǎn)報(bào)廢，網(wǎng)絡(luò)不可用。第二種情況是通過(guò)惡意節(jié)點(diǎn)和被其控制的節(jié)點(diǎn)向正常的節(jié)點(diǎn)無(wú)休止的發(fā)送數(shù)據(jù)或者路由信息，搞得正常節(jié)點(diǎn)無(wú)法正常工作，進(jìn)行Dos攻擊，最后讓整個(gè)網(wǎng)絡(luò)癱瘓，不可用。第三種情況是攻擊者使用各種各樣的辦法耗盡被攻擊者的各種資源，如電源、CPU、帶寬等有限資源，最后迫使網(wǎng)絡(luò)不可用；第二個(gè)大的安全問(wèn)題是怎么樣保護(hù)合法節(jié)點(diǎn)不被俘獲或者假冒，因?yàn)閃MN網(wǎng)絡(luò)的MP經(jīng)常安裝在室外，這樣保護(hù)的就不夠好，經(jīng)常很容易就被攻擊者接近，獲得對(duì)稱(chēng)密鑰，認(rèn)證信息等這些節(jié)點(diǎn)的內(nèi)部保密信息，并利用這些信息假冒為合法節(jié)點(diǎn)，進(jìn)而變更鄰居節(jié)點(diǎn)的信息，達(dá)到變更相關(guān)的路由信息，它通過(guò)惡意廣播非法路由，使網(wǎng)絡(luò)阻塞，甚至于癱瘓，整個(gè)網(wǎng)絡(luò)不可用；第三個(gè)大的安全問(wèn)題就是信息的完整性問(wèn)題，因?yàn)閃MN網(wǎng)絡(luò)是多跳網(wǎng)絡(luò)，信息從發(fā)出點(diǎn)到接受點(diǎn)，中間要經(jīng)過(guò)多跳無(wú)線(xiàn)鏈路MC，還要經(jīng)過(guò)多個(gè)MR，中間中轉(zhuǎn)環(huán)節(jié)很多，破壞者可以在無(wú)線(xiàn)鏈路中間截獲信息，對(duì)信息進(jìn)行篡改，然后再以合法身份發(fā)出去，迷惑接受者，破壞信息的完整性，達(dá)到篡改信息的目的；第四個(gè)大的安全問(wèn)題就是信息的機(jī)密性問(wèn)題，因?yàn)閃MN主要是通過(guò)無(wú)線(xiàn)鏈路傳輸信息，這樣信息破壞者就可以在信息在STA到AP，或者M(jìn)P之間傳輸時(shí)進(jìn)行竊聽(tīng)，把竊聽(tīng)到得信息進(jìn)行解密，然后加以利用，這樣就破壞了信息的機(jī)密性；第五個(gè)大的安全問(wèn)題就是無(wú)線(xiàn)路由安全問(wèn)題，由于WMN網(wǎng)絡(luò)中的無(wú)線(xiàn)路由是動(dòng)態(tài)的，當(dāng)被攻擊時(shí)就比固定路由難以檢測(cè)，非法用戶(hù)容易偽裝成合法用戶(hù)發(fā)出路由信息，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的時(shí)候還使網(wǎng)絡(luò)癱瘓。第六個(gè)大的安全問(wèn)題就是STA的身份認(rèn)證問(wèn)題。

2 WMN 的安全解決方案

目前WMN網(wǎng)絡(luò)針對(duì)以上提出的安全問(wèn)題，有針對(duì)性的提出了如下的幾個(gè)網(wǎng)絡(luò)安全解決方案。

1）嚴(yán)格控制節(jié)點(diǎn)的身份認(rèn)證機(jī)制，嚴(yán)格杜絕未授權(quán)節(jié)點(diǎn)在在WMN網(wǎng)絡(luò)中的內(nèi)部路由和外部路由中信息，阻止非法的MESH網(wǎng)絡(luò)服務(wù)，每個(gè)新加入的節(jié)點(diǎn)都要得到鄰近節(jié)點(diǎn)的認(rèn)證才可加入，新節(jié)點(diǎn)是認(rèn)證的申請(qǐng)者，鄰近節(jié)點(diǎn)是認(rèn)證的審批者，認(rèn)證方式可以是分布式和集中式兩者的結(jié)合。

2）對(duì)路由信息進(jìn)行加密，利用選舉方式定期更換路由表，避免被俘獲的路由信息，確保路由信息的完整性。分為針對(duì)內(nèi)部攻擊的安全路由協(xié)議和針對(duì)外部攻擊的安全路由協(xié)議，其中針對(duì)外部攻擊的安全路由協(xié)議又有基于非對(duì)稱(chēng)加密的安全路由、基于對(duì)稱(chēng)加密的安全路由、基于混合加密的安全路由，針對(duì)內(nèi)部攻擊的安全路由協(xié)議解決方案主要是要加強(qiáng)內(nèi)部檢測(cè)，一個(gè)是對(duì)整個(gè)網(wǎng)絡(luò)范圍的惡意行為檢測(cè)，另一個(gè)就是對(duì)相鄰節(jié)點(diǎn)的惡意行為檢測(cè)，完善路由機(jī)制，確保路由安全。

3）建立完善的密鑰生產(chǎn)，分發(fā)，保管體系，使節(jié)點(diǎn)認(rèn)證，數(shù)據(jù)加密等安全操作時(shí)使用的密鑰能具有高度的安全性和保密性。第三個(gè)解決方案就是利用入侵檢測(cè)技術(shù)防止從WMN網(wǎng)絡(luò)內(nèi)部進(jìn)行入侵操作，采用了三種入侵檢測(cè)技術(shù)，分別是獨(dú)立入侵檢測(cè)技術(shù)，分布式入侵檢測(cè)技術(shù)，層次式入侵檢測(cè)技術(shù)。

4）利用數(shù)字簽名和信息加密來(lái)進(jìn)行身份認(rèn)證和數(shù)據(jù)完整性的保證。對(duì)身份的認(rèn)證使用了證書(shū)系統(tǒng)，由申請(qǐng)者，認(rèn)證者，認(rèn)證服務(wù)器三者組成，申請(qǐng)者發(fā)出認(rèn)證請(qǐng)求，認(rèn)證者把申請(qǐng)者的認(rèn)證申請(qǐng)和認(rèn)證信息發(fā)送給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器把認(rèn)證結(jié)果發(fā)給認(rèn)證者，認(rèn)證者再把認(rèn)證結(jié)果發(fā)給申請(qǐng)者。

3 結(jié)束語(yǔ)

WMN 是無(wú)中心節(jié)點(diǎn)的多跳網(wǎng)絡(luò)，它具有其他無(wú)線(xiàn)局域網(wǎng)無(wú)可比擬的優(yōu)勢(shì)，本文主要在對(duì)WMN網(wǎng)絡(luò)從網(wǎng)絡(luò)體系結(jié)構(gòu)、功能優(yōu)勢(shì)的方面進(jìn)行了概述，提出了WMN網(wǎng)絡(luò)的網(wǎng)絡(luò)的可用性問(wèn)題、保護(hù)合法節(jié)點(diǎn)不被俘獲或者假冒問(wèn)題、 信息的完整性問(wèn)題、信息的機(jī)密性問(wèn)題、 無(wú)線(xiàn)路由安全問(wèn)題、STA的身份認(rèn)證問(wèn)題等網(wǎng)絡(luò)安全體系問(wèn)題，并相應(yīng)的給出了對(duì)應(yīng)的安全解決方案，對(duì)目前無(wú)線(xiàn)網(wǎng)狀網(wǎng)（WMN）的安全體系研究進(jìn)行了一個(gè)較好的綜述。如何在大規(guī)模實(shí)際WMN中進(jìn)行應(yīng)用，是未來(lái)進(jìn)一步研究的新課題。

基金項(xiàng)目：湖南省教育廳科學(xué)研究項(xiàng)目《無(wú)線(xiàn)網(wǎng)狀網(wǎng)（WMN）的入侵檢測(cè)模型研究》，項(xiàng)目編號(hào)10C0087。

參考文獻(xiàn)

[1]陳琳琳,劉乃安.無(wú)線(xiàn) Mesh 網(wǎng)絡(luò)與 IEEE802 系列標(biāo)準(zhǔn).2008.