前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡安全防護方法范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡安全防護方法范文第1篇

關鍵詞： 網(wǎng)絡信息；安全防護；理論；方法；技術；趨勢

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671－7597（2011）1210007－01

網(wǎng)絡信息安全問題自網(wǎng)絡技術及其應用系統(tǒng)誕生以來，就一直是存在于網(wǎng)絡建設過程當中，給網(wǎng)絡系統(tǒng)使用者與建設者帶來嚴峻挑戰(zhàn)的一個問題。相關工作人員需要認識到在網(wǎng)絡技術與應用系統(tǒng)不斷完善發(fā)展的過程中，網(wǎng)絡信息安全問題是始終存在的，并且它會伴隨著網(wǎng)絡功能的系統(tǒng)化、規(guī)?；?、詳盡化而始終處在變化發(fā)展的過程當中。據(jù)此，在網(wǎng)絡應用系統(tǒng)技術蓬勃發(fā)展的當今社會，正確認識并處理好網(wǎng)絡信息安全防護的相關技術工作，已成為當下相關工作人員最亟待解決的問題之一。

1 網(wǎng)絡信息安全防護的現(xiàn)狀及發(fā)展趨勢分析

就我國而言，在全球經濟一體化進程不斷加劇與計算機網(wǎng)絡技術蓬勃發(fā)展的推動作用下，傳統(tǒng)模式下的網(wǎng)絡信息安全防護思想再也無法適應新時期網(wǎng)絡先進技術與經濟社會安全需求的發(fā)展要求。我們需要認識到盡快建立起一個合理、先進、符合現(xiàn)代網(wǎng)絡科學技術發(fā)展要求的網(wǎng)絡信息安全防護原則，并在此基礎上循序漸進的展開網(wǎng)絡信息安全的研究工作，勢必或已經會成為當前網(wǎng)絡信息安全相關工作人員的工作重心與中心。

1）網(wǎng)絡信息安全的新形勢研究。筆者查閱了大量相關資源，對近些年來我國在網(wǎng)絡信息安全工作中所遇到的新變化、新形勢、新發(fā)展規(guī)律進行了初步認識與總結，認為當前網(wǎng)絡信息安全新形勢當中的“新”可以體現(xiàn)在以下幾個方面。

① 網(wǎng)絡信息攻擊問題已成為網(wǎng)絡信息安全環(huán)節(jié)所面臨的首要問題。在當前的計算機網(wǎng)絡信息系統(tǒng)中各種盜號、釣魚、欺詐網(wǎng)頁或是病毒十分盛行?？梢哉f，網(wǎng)絡信息攻擊問題正在走向與經濟利益相關的發(fā)展方向。

② 傳統(tǒng)網(wǎng)絡時代中以惡作劇、技術炫耀為目的發(fā)起的病毒攻擊數(shù)量和規(guī)模都呈現(xiàn)出逐年下降的趨勢，這些傳統(tǒng)意義上的網(wǎng)絡信息安全問題已非新形勢下計算機網(wǎng)絡信息系統(tǒng)的主流問題。

③ 工業(yè)化生產病毒正成為當前計算機網(wǎng)絡系統(tǒng)信息安全的發(fā)展趨勢，各種以高端無線技術為依托的病毒軟件、間諜程序攻占了當前的網(wǎng)絡信息安全結構，但相應的反病毒、反間諜技術發(fā)展卻始終不夠成熟，整個網(wǎng)絡信息安全防護工作陷入了較為尷尬的發(fā)展局面。

2）網(wǎng)絡信息安全防護工作的發(fā)展趨勢分析。針對當前經濟形勢下計算機網(wǎng)絡乃至整個網(wǎng)絡信息系統(tǒng)呈現(xiàn)出的新形勢分析，網(wǎng)絡信息的安全防護工作也是必要作出相應的變革，其研究工作不僅需要涉及到對各種病毒、間諜程序的有效控制，還需要實現(xiàn)整個計算機網(wǎng)絡系統(tǒng)高效的響應與恢復功能。具體而言，網(wǎng)絡信息安全防護正面臨著以下幾個方面的新發(fā)展趨勢。

① 網(wǎng)絡信息安全防護的地位正發(fā)生著轉變。網(wǎng)絡信息安全在由單機時代向互聯(lián)網(wǎng)時代逐步過渡的過程中開始受到人們日益廣泛的關注。計算機網(wǎng)絡系統(tǒng)與其相關技術的蓬勃發(fā)展也使得網(wǎng)絡信息安全防護由傳統(tǒng)意義上的“有益補充”輔助地位向著“不可或缺”的主體地位發(fā)生轉變。

② 網(wǎng)絡信息安全防護的技術正發(fā)生著轉變?？v觀計算機網(wǎng)絡技術及其應用系統(tǒng)的發(fā)展歷程，我們不難發(fā)現(xiàn)網(wǎng)絡信息安全防護對于整個網(wǎng)絡系統(tǒng)中出現(xiàn)的額安全問題解決思路由傳統(tǒng)的單點防護向著綜合防護轉變。在這一過程中，統(tǒng)一威脅管理成為了當前大部分相關部分解決信息安全問題所采用的關鍵技術之一。但這一技術當中存在的硬件系統(tǒng)性能發(fā)展不夠完善、邏輯協(xié)同問題等也使得這種安全防護技術面臨著前所未有的挑戰(zhàn)。

2 基于網(wǎng)絡信息安全防護新思想及理論的相關技術方法研究

筆者以多層次彈性閉合結構及無差異表示未知因素的基本思想，在預應式及周密性原則的作用下，提出了一種對解決網(wǎng)絡信息安全問題而言極為有效的新技術方法。大量的實踐研究結果表明，將這種網(wǎng)絡信息安全防護理論及相關方法應用在計算機網(wǎng)絡技術及相關應用系統(tǒng)的安全實踐工作中，能夠取得極為深遠且重要的意義。

這種基于多核MIPs64硬件網(wǎng)關的設計方法一般來說是由采用MIPs64型號安全處理犀利的多核處理器加上資源調度系統(tǒng)、控制系統(tǒng)以及通信接口三個模塊共同構成的。在這一系統(tǒng)中，核心處理器不僅具備了高集成化基礎下的系統(tǒng)64位解決方案，同時還能夠在硬件網(wǎng)關加速器與多核技術的加速作用下，達到系統(tǒng)CPU處理頻率與網(wǎng)絡信息安全防護效率的提升。

3 網(wǎng)絡信息安全防護理論與方法的發(fā)展展望

網(wǎng)絡信息安全防護理論與方法從本質上來說是網(wǎng)絡安全實踐工作及經驗總結的構成部分，它從網(wǎng)絡安全實踐中分離出來并最終作用于網(wǎng)絡安全防護工作的踐行。其理論與方法勢必會隨著網(wǎng)絡信息安全威脅對象與威脅范圍的變化而發(fā)生相應的變化。具體而言，可以概括為以下幾個方面。

1）網(wǎng)絡信息安全防護的安全評估范圍發(fā)展展望。在計算機網(wǎng)絡技術及其應用系統(tǒng)所處安全形勢的變化過程中，傳統(tǒng)意義上僅僅依靠硬件系統(tǒng)改造和技術升級來對網(wǎng)絡信息安全問題進行控制與處理的思想也無法適應當前網(wǎng)絡結構的高安全需求。這也就意味著安全評估工作需要從單純的安全環(huán)境問題處理向著安全環(huán)境與系統(tǒng)安全應用能力兼顧的復雜性系統(tǒng)結構方面發(fā)展，逐步上升到硬件系統(tǒng)處理與軟件系統(tǒng)處理并重的地位。

2）網(wǎng)絡信息安全防護的應用方法發(fā)展展望。統(tǒng)一威脅管理系統(tǒng)作為當前應用最為廣泛的網(wǎng)絡信息安全防護技術需要向著提供綜合性安全功能的方向發(fā)展，將病毒入侵功能與檢測功能共同融入到網(wǎng)絡系統(tǒng)防火墻的建設工作當中，使其能夠發(fā)揮在防御網(wǎng)絡信息安全混合型攻擊問題中的重要功能。

4 結束語

伴隨著現(xiàn)代科學技術的發(fā)展與經濟社會不斷進步，人民日益增長的物質與精神文化需求對新時期的網(wǎng)絡信息安全防護工作提出了更為嚴格的要求。本文對新時期網(wǎng)絡信息安全防護的理論與方法做出了簡要分析與說明，希望為今后相關研究工作的開展提供一定的意見與建議。

參考文獻：

[1]陳仕杰，加速成長的X86嵌入式系統(tǒng)（上）搶攻嵌入式市場的X86處理器雙雄AMD vs.VIA.[J].電子與電腦，2007（03）.

[2]俞正方，電信IP承載網(wǎng)安全防御[J].信息安全與技術，2010（08）.

網(wǎng)絡安全防護方法范文第2篇

一、防守技戰(zhàn)法概述

為了順利完成本次護網(wǎng)行動任務，切實加強網(wǎng)絡安全防護能力，XXXX設立HW2019領導組和工作組，工作組下設技術組和協(xié)調組。護網(wǎng)工作組由各部門及各二級單位信息化負責人組成，由股份公司副總裁擔任護網(wǎng)工作組的組長。

為提高護網(wǎng)工作組人員的安全防護能力，對不同重要系統(tǒng)進行分等級安全防護，從互聯(lián)網(wǎng)至目標系統(tǒng)，依次設置如下三道安全防線：

第一道防線：集團總部互聯(lián)網(wǎng)邊界防護、二級單位企業(yè)互聯(lián)網(wǎng)邊界防護。

第二道防線：廣域網(wǎng)邊界防護、DMZ區(qū)邊界防護。

第三道防線：目標系統(tǒng)安全域邊界防護、VPN。

根據(jù)三道防線現(xiàn)狀，梳理出主要防護內容，包括但不限于：梳理對外的互聯(lián)網(wǎng)應用系統(tǒng),設備和安全措施，明確相關責任人，梳理網(wǎng)絡結構，重要的或需要重點保護的信息系統(tǒng)、應用系統(tǒng)與各服務器之間的拓撲結構，網(wǎng)絡安全設備及網(wǎng)絡防護情況， SSLVPN和IPSECVPN接入情況。集團廣域網(wǎng)、集團專線邊界，加強各單位集團廣域網(wǎng)、集團專線邊界防護措施，無線網(wǎng)邊界，加強對無線WIFI、藍牙等無線通信方式的管控，關閉不具備安全條件及不必要開啟的無線功能。

結合信息化資產梳理結果，攻防演習行動安全保障小組對集團信息化資產及重點下屬單位的網(wǎng)絡安全狀況進行安全風險評估和排查，確認薄弱環(huán)節(jié)以便進行整改加固。

二、 防守技戰(zhàn)法詳情

2.1 第一道防線--互聯(lián)網(wǎng)邊界及二級單位防護技戰(zhàn)法

2.1.1 安全感知防御、檢測及響應

構建從“云端、邊界、端點”+“安全感知”的防御機制。相關防護思路如下：

防御能力：是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。

檢測能力：用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡的攻擊，該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵，因為企業(yè)應該假設自己已處在被攻擊狀態(tài)中。

響應能力：系統(tǒng)一旦檢測到入侵，響應系統(tǒng)就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統(tǒng)恢復和信息恢復。

2.1.2 安全可視及治理

l 全網(wǎng)安全可視

結合邊界防護、安全檢測、內網(wǎng)檢測、管理中心、可視化平臺，基于行為和關聯(lián)分析技術，對全網(wǎng)的流量實現(xiàn)全網(wǎng)應用可視化，業(yè)務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。

l 動態(tài)感知

采用大數(shù)據(jù)、人工智能技術安全，建立了安全態(tài)勢感知平臺，為所有業(yè)務場景提供云端的威脅感知能力。通過對邊界網(wǎng)絡流量的全流量的感知和分析，來發(fā)現(xiàn)邊界威脅。通過潛伏威脅探針、安全邊界設備、上網(wǎng)行為感系統(tǒng)，對服務器或終端上面的文件、數(shù)據(jù)與通信進行安全監(jiān)控，利用大數(shù)據(jù)技術感知數(shù)據(jù)來發(fā)現(xiàn)主動發(fā)現(xiàn)威脅。

2.1.3 互聯(lián)網(wǎng)及二級單位的區(qū)域隔離

在互聯(lián)網(wǎng)出口，部署入侵防御IPS、上網(wǎng)行為管理，提供網(wǎng)絡邊界隔離、訪問控制、入侵防護、僵尸網(wǎng)絡防護、木馬防護、病毒防護等。

在廣域網(wǎng)接入?yún)^(qū)邊界透明模式部署入侵防御系統(tǒng)，針對專線接入流量進行控制和過濾。

辦公網(wǎng)區(qū)應部署終端檢測和響應/惡意代碼防護軟件，開啟病毒防護功能、文件監(jiān)測，并及時更新安全規(guī)則庫，保持最新狀態(tài)。

服務器區(qū)部署防火墻和WEB應用防火墻，對數(shù)據(jù)中心威脅進行防護；匯聚交換機處旁路模式部署全流量探針，對流量進行監(jiān)測并同步至態(tài)勢感知平臺；部署數(shù)據(jù)庫審計系統(tǒng)，進行數(shù)據(jù)庫安全審計。

在運維管理區(qū)，部署堡壘機、日志審計、漏洞掃描設備，實現(xiàn)單位的集中運維審計、日志審計和集中漏洞檢查功能。

2.1.3.1 互聯(lián)網(wǎng)出口處安全加固

互聯(lián)網(wǎng)出口處雙機部署了因特網(wǎng)防火墻以及下一代防火墻進行出口處的防護，在攻防演練期間，出口處防火墻通過對各類用戶權限的區(qū)分，不同訪問需求，可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網(wǎng)絡受控有序的運行。

對能夠通過互聯(lián)網(wǎng)訪問內網(wǎng)的網(wǎng)絡對象IP地址進行嚴格管控，將網(wǎng)段內訪問IP地址段進行細化，盡量落實到個人靜態(tài)IP。

開啟精細化應用控制策略，設置多條應用控制策略，指定用戶才可以訪問目標業(yè)務系統(tǒng)應用，防止出現(xiàn)因為粗放控制策略帶來的互聯(lián)網(wǎng)訪問風險。

對所有通過聯(lián)網(wǎng)接入的用戶IP或IP地址段開啟全面安全防護策略，開啟防病毒、防僵尸網(wǎng)絡、防篡改等防護功能。

通過對全網(wǎng)進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發(fā)生，減少安全事件發(fā)生概率。

護網(wǎng)行動開始之前，將防火墻所有安全規(guī)則庫更新到最新，能夠匹配近期發(fā)生的絕大部分已知威脅，并通過SAVE引擎對未知威脅進行有效防護。

攻防演練期間，通過互聯(lián)網(wǎng)訪問的用戶需要進行嚴格的認證策略和上網(wǎng)策略，對上網(wǎng)用戶進行篩選放通合法用戶阻斷非法用戶，同時對于非法url網(wǎng)站、風險應用做出有效管控。根據(jù)企業(yè)實際情況選擇合適流控策略，最后對于所有員工的上網(wǎng)行為進行記錄審計。

攻防演練期間，需要將上網(wǎng)行為管理設備的規(guī)則庫升級到最新，避免近期出現(xiàn)的具備威脅的URL、應用等在訪問時對內網(wǎng)造成危害。

2.1.3.2 DMZ區(qū)應用層安全加固

當前網(wǎng)絡內，DMZ區(qū)部署了WEB應用防火墻對應用層威脅進行防護，保證DMZ區(qū)域內的網(wǎng)站系統(tǒng)、郵件網(wǎng)關、視頻會議系統(tǒng)的安全

攻防演練期間，為了降低用從互聯(lián)網(wǎng)出口處訪問網(wǎng)站、郵件、視頻的風險，防止攻擊手通過互聯(lián)網(wǎng)出口訪問DMZ區(qū)，進行頁面篡改、或通過DMZ區(qū)訪問承載系統(tǒng)數(shù)據(jù)的服務器區(qū)進行破壞，需要設置嚴格的WEB應用層防護策略，保證DMZ區(qū)安全。

通過設置WEB用用防護策略，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。

2.2 第二道防線-數(shù)據(jù)中心防護技戰(zhàn)法

總部數(shù)據(jù)中心從防御層面、檢測層面、響應層面及運營層面構建縱深防御體系。在現(xiàn)有設備的基礎上，解決通號在安全建設初期單純滿足合規(guī)性建設的安全能力，缺乏完善的主動防御技術和持續(xù)檢測技術帶來的風險。主要解決思路如下：

1、基于安全風險評估情況，夯實基礎安全架構

通過持續(xù)性的風險評估，進行安全架構的升級改造，縮小攻擊面、減少風險暴露時間。包括：安全域改造、邊界加固、主機加固等內容。

2、加強持續(xù)檢測和快速響應能力，進一步形成安全體系閉環(huán)

針對內網(wǎng)的資產、威脅及風險，進行持續(xù)性檢測；基于威脅情報驅動，加強云端、邊界、端點的聯(lián)動，實現(xiàn)防御、檢測、響應閉環(huán)。

3、提升企業(yè)安全可視與治理能力，讓安全了然于胸

基于人工智能、大數(shù)據(jù)技術，提升全網(wǎng)安全風險、脆弱性的可視化能力，大幅度提升安全運維能力，以及應急響應和事件追溯能力。

2.2.1 邊界防御層面

原有的邊界防護已較完善，無需進行架構變動，只需要確保防御設備的策略有效性和特征庫的及時更新。針對目標系統(tǒng)，通過在目標系統(tǒng)接入交換機和匯聚交換機之間透明部署一臺下一代防火墻，實現(xiàn)目標系統(tǒng)的針對性防護，防止服務器群內部的橫向威脅。

下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外，針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。通號業(yè)務系統(tǒng)中存在對外的網(wǎng)站、業(yè)務等，因此需要對WEB應用層進行有效防護，通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測與過濾，避免Web服務器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止Web Shell和敏感信息泄露，避免網(wǎng)頁篡改與掛馬，滿足通號Web服務器深層次安全防護需求。

根據(jù)現(xiàn)有網(wǎng)絡，核心交換區(qū)部署了應用性能管理系統(tǒng)，攻防演練期間，需要對應用性能管理系統(tǒng)進行實時關注，應用出現(xiàn)異常立即上報，并定位責任人進行處置，保證網(wǎng)絡性能穩(wěn)定，流暢運行。

核心交換機雙機部署了兩臺防火墻，物理上旁路部署，邏輯上通過引流所有流量都經過防火墻，通過防火墻對服務器區(qū)和運維管理區(qū)提供邊界訪問控制能力，進行安全防護。

攻防演練期間，核心交換區(qū)防火墻進行策略調優(yōu)，對訪問服務器區(qū)和運維管理區(qū)的流量數(shù)據(jù)進行嚴格管控，對訪問服務器區(qū)內目標系統(tǒng)請求進行管控；防止安全威脅入侵運維管理區(qū)，對整體網(wǎng)絡的安全及運維進行破壞，獲取運維權限。

攻防演練期間，在各分支機構的邊界，通過對各類用戶權限的區(qū)分，各分支機構的不同訪問需求，可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網(wǎng)絡受控有序的運行。

專線接入及直連接入分支通過廣域網(wǎng)接入?yún)^(qū)的路由器-下一代防火墻-上網(wǎng)行為管理-核心交換機-服務器區(qū)的路徑進行訪問，因此通過完善下一代防火墻防護策略，達到安全加固的目的。

通過對全網(wǎng)進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發(fā)生，減少安全事件發(fā)生概率。

攻防演練前，需要對下一代防火墻的各類規(guī)則庫、防護策略進行更新和調優(yōu)。

2.2.2 端點防御層面

服務器主機部署終端檢測響應平臺EDR，EDR基于多維度的智能檢測技術，通過人工智能引擎、行為引擎、云查引擎、全網(wǎng)信譽庫對威脅進行防御。

終端主機被入侵攻擊，導致感染勒索病毒或者挖礦病毒，其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。EDR主動檢測暴力破解行為，并對發(fā)現(xiàn)攻擊行為的IP進行封堵響應。針對Web安全攻擊行為，則主動檢測Web后門的文件。針對僵尸網(wǎng)絡的攻擊，則根據(jù)僵尸網(wǎng)絡的活躍行為，快速定位僵尸網(wǎng)絡文件，并進行一鍵查殺。

進行關聯(lián)檢測、取證、響應、溯源等防護措施，與AC產品進行合規(guī)認證審查、安全事件響應等防護措施，形成應對威脅的云管端立體化縱深防護閉環(huán)體系。

2.3 第三道防線-目標系統(tǒng)防護技戰(zhàn)法

本次攻防演練目標系統(tǒng)為資金管理系統(tǒng)及PLM系統(tǒng)，兩個系統(tǒng)安全防護思路及策略一致，通過APDRO模型及安全策略調優(yōu)達到目標系統(tǒng)從技術上不被攻破的目的。

2.3.1 網(wǎng)絡層面

在網(wǎng)絡層面為了防止來自服務器群的橫向攻擊，同時針對業(yè)務系統(tǒng)進行有針對性的防護，通過部署在目標系統(tǒng)邊界的下一代防火墻對這些業(yè)務信息系統(tǒng)提供安全威脅識別及阻斷攻擊行為的能力。

同時通過增加一臺VPN設備單獨目標系統(tǒng)，確保對目標系統(tǒng)的訪問達到最小權限原則。

子公司及辦公樓訪問目標系統(tǒng)，需要通過登錄新建的護網(wǎng)專用VPN系統(tǒng)，再進行目標系統(tǒng)訪問，并通過防火墻實現(xiàn)多重保障機制。

系統(tǒng)多因子認證構建

為了保證攻防演練期間管理人員接入資金管理系統(tǒng)的安全性，接入資金管理系統(tǒng)時，需要具備以下幾項安全能力：一是用戶身份的安全；二是接入終端的安全；三是數(shù)據(jù)傳輸?shù)陌踩凰氖菣嘞拊L問安全；五是審計的安全；六是智能終端訪問業(yè)務系統(tǒng)數(shù)據(jù)安全性。

因此需要對能夠接入資金管理系統(tǒng)的用戶進行統(tǒng)一管理，并且屏蔽有風險訪問以及不可信用戶；使用專用SSL VPN對資金管理系統(tǒng)進行資源；為需要接入資金管理系統(tǒng)的用戶單獨創(chuàng)建SSL VPN賬號，并開啟短信認證+硬件特征碼認證+賬戶名密碼認證，屏蔽所有不可信任用戶訪問，對可信用戶進行強管控。

對接入的可信用戶進行強管控認證仍會存在訪問風險，因此需要邊界安全設備進行邊界安全加固。

系統(tǒng)服務器主機正常運行是業(yè)務系統(tǒng)正常工作的前提，服務器可能會面臨各類型的安全威脅，因此需要建設事前、事中、事后的全覆蓋防護體系：

l 事前，快速的進行風險掃描，幫助用戶快速定位安全風險并智能更新防護策略；

l 事中，有效防止了引起網(wǎng)頁篡改問題、網(wǎng)頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統(tǒng)掃描等攻擊；

l 事后，對服務器外發(fā)內容進行安全檢測，防止攻擊繞過安全防護體系、數(shù)據(jù)泄漏問題。

同時，為了保證安全威脅能夠及時被發(fā)現(xiàn)并處置，因此需要構建一套快速聯(lián)動的處理機制：本地防護與整體網(wǎng)絡聯(lián)動、云端聯(lián)動、終端聯(lián)動，未知威脅預警與防護策略，實時調優(yōu)策略；深度解析內網(wǎng)未知行為，全面安全防護；周期設備巡檢，保障設備穩(wěn)定健康運行；云端工單跟蹤，專家復審，周期性安全匯報；通過關聯(lián)全網(wǎng)安全日志、黑客行為建模，精準預測、定位網(wǎng)絡中存在的高級威脅、僵尸主機，做到實時主動響應。

在業(yè)務系統(tǒng)交換機與匯聚交換機之間部署下一代防火墻，根據(jù)資產梳理中收集到的可信用戶IP、端口號、責任人等信息，在下一代防火墻的訪問控制策略中開啟白名單，將可信用戶名單添加到白名單中，白名單以外的任何用戶訪問業(yè)務系統(tǒng)都會被拒絕，保證了區(qū)域內的服務器、設備安全。

2.3.2 應用層面

下一代防火墻防病毒網(wǎng)關的模塊可實現(xiàn)各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區(qū)域進行交叉感染；

下一代防火墻基于語義分析技術提供標準語義規(guī)范識別能力，進一步還原異變的web攻擊；應用AI人工智能，基于海量web攻擊特征有效識別未知的web威脅?；贏I構建業(yè)務合規(guī)基線，基于廣泛的模式學習提取合規(guī)的業(yè)務操作邏輯，偏離基線行為的將會被判定為web威脅，提升web威脅識別的精準度。

下一代防火墻以人工智能SAVE引擎為WEB應用防火墻的智能檢測核心，輔以云查引擎、行為分析等技術，使達到高檢出率效果并有效洞悉威脅本質。威脅攻擊檢測、多維度處置快速響應，有效解決現(xiàn)有信息系統(tǒng)安全問題。

目前通號服務器區(qū)安全建設存在以下問題一是以邊界防護為核心，缺乏以整體業(yè)務鏈視角的端到端的整體動態(tài)防護的思路；二以本地規(guī)則庫為核心，無法動態(tài)有效檢測已知威脅；三是沒有智能化的大數(shù)據(jù)分析能力，無法感知未知威脅；四是全網(wǎng)安全設備之間的數(shù)據(jù)不能共享，做不到智能聯(lián)動、協(xié)同防御。

在保留傳統(tǒng)安全建設的能力基礎上，將基于人工智能、大數(shù)據(jù)等技術，按照“業(yè)務驅動安全”的理念，采用全網(wǎng)安全可視、動態(tài)感知、閉環(huán)聯(lián)動、軟件定義安全等技術，建立涵蓋數(shù)據(jù)安全、應用安全、終端安全等的“全業(yè)務鏈安全”。

為了保證訪問資金管理系統(tǒng)訪問關系及時預警及安全可視化，需要將訪問目標系統(tǒng)的所有流量進行深度分析，及時發(fā)現(xiàn)攻擊行為。

在在業(yè)務系統(tǒng)交換機旁路部署潛伏威脅探針，對訪問資金管理系統(tǒng)的所有流量進行采集和初步分析，并實時同步到安全態(tài)勢感知平臺進行深度分析，并將分析結果通過可視化界面呈現(xiàn)。

2.3.3 主機層面

下一代防火墻通過服務器防護功能模塊的開啟，可實現(xiàn)對各個區(qū)域的Web服務器、數(shù)據(jù)庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業(yè)務代碼開發(fā)安全保障不利，使得系統(tǒng)可輕易通過Web攻擊實現(xiàn)對Web服務器、數(shù)據(jù)庫的攻擊造成數(shù)據(jù)庫信息被竊取的問題；

下一代防火墻通過風險評估模塊對服務器進行安全體檢，通過一鍵策略部署的功能WAF模塊的對應策略，可幫助管理員的實現(xiàn)針對性的策略配置；

利用下一代防火墻入侵防御模塊可實現(xiàn)對各類服務器操作系統(tǒng)漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數(shù)據(jù)庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區(qū)溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題；

針對系統(tǒng)的服務器主機系統(tǒng)訪問控制策略需要對服務器及終端進行安全加固，加固內容包括但不限于：限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改帳戶的默認口令，刪除操作系統(tǒng)和數(shù)據(jù)庫中過期或多余的賬戶，禁用無用帳戶或共享帳戶；根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授予管理用戶所需的最小權限；啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。

通過終端檢測響應平臺的部署，監(jiān)測服務器主機之間的東西向流量，開啟定時查殺和漏洞補丁、實時文件監(jiān)控功能，限制服務器主機之間互訪，及時進行隔離防止服務器主機實現(xiàn)并橫向傳播威脅。并且通過攻擊鏈舉證進行攻擊溯源。

2.4 攻防演練-檢測與響應技戰(zhàn)法

2.4.1 預警分析

通過7*24小時在線的安全專家團隊和在線安全監(jiān)測與預警通報平臺，即可對互聯(lián)網(wǎng)業(yè)務進行統(tǒng)一監(jiān)測，統(tǒng)一預警。云端專家7*24小時值守，一旦發(fā)現(xiàn)篡改、漏洞等常規(guī)安全事件，即可實時進行處置。對于webshell、后門等高階事件，可以及時升級到技術分析組進行研判，一旦確認，將會實時轉交應急響應組進行處置。

監(jiān)測與相應組成員實時監(jiān)控安全檢測類設備安全告警日志，并根據(jù)攻擊者特征分析入侵事件，記錄事件信息，填寫文件并按照流程上報。

若同一來源IP地址觸發(fā)多條告警，若觸發(fā)告警時間較短，判斷可能為掃描行為，若告警事件的協(xié)議摘要中存在部分探測驗證payload，則確認為漏洞掃描行為，若協(xié)議摘要中出現(xiàn)具有攻擊性的payload，則確認為利用漏洞執(zhí)行惡意代碼。

若告警事件為服務認證錯誤，且錯誤次數(shù)較多，認證錯誤間隔較小，且IP地址為同一IP地址，則判斷為暴力破解事件；若錯誤次數(shù)較少，但超出正常認證錯誤頻率，則判斷為攻擊者手工嘗試弱口令。

2.4.2 應急處置

應急處置組對真實入侵行為及時響應，并開展阻斷工作，協(xié)助排查服務器上的木馬程序，分析攻擊者入侵途徑并溯源。

安全事件的處置步驟如下：

(1)根據(jù)攻擊者入侵痕跡及告警詳情，判斷攻擊者的入侵途徑。

(2)排查服務器上是否留下后門，若存在后門，在相關責任人的陪同下清理后門。

(3)分析攻擊者入侵之后在服務器上的詳細操作，并根據(jù)相應的安全事件應急處置措施及操作手冊展開應對措施。

(4)根據(jù)排查過程中的信息進行溯源。

(5)梳理應急處置過程，輸出安全建議。

網(wǎng)絡安全防護方法范文第3篇

關鍵詞：計算機網(wǎng)絡；安全防護；發(fā)展

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 11-0000-02

隨著信息化時代的來臨和科技的高速發(fā)展，計算機網(wǎng)絡的用戶量在不斷地上升，人們的工作和生活已經越來越離不開計算機網(wǎng)絡，計算機網(wǎng)絡的確給人們帶來了巨大的方便和利益，然而，隨著計算機網(wǎng)絡的發(fā)展，用戶人數(shù)越來越多，用戶的一些個人信息和隱私、以及公司內部重要資料數(shù)據(jù)甚至國家政府的機密等信息也就在計算機網(wǎng)絡上公開了，計算機網(wǎng)絡具有很強的開放性和互聯(lián)性，這些信息對于一些電腦黑客和不法分子來說，獲取簡直輕而易舉，信息若被他們獲取，將會帶來嚴重的后果；再者，計算機病毒在互聯(lián)網(wǎng)上的傳播速度將會越來越快，危害性也越來越大，病毒的傳播與蔓延，將會帶來更大的問題，嚴重者甚至影響國家安全。因此，必須要特別重視而且要全面做好計算機網(wǎng)絡的安全防護與發(fā)展趨勢安全分析。

一、威脅計算機網(wǎng)絡安全的因素

（一）存在一定的無意的人為因素

人為的因素主要是部分的電腦操作者操作不當，比如說沒有進行正常的安全配置，威脅操作系統(tǒng)，沒有較強的計算機安全防護意識，很多時候將自己的個人信息隨意發(fā)送，這有很大可能將威脅到計算機網(wǎng)絡安全。

（二）操作系統(tǒng)存在一定的不安全性

每個操作系統(tǒng)都存在一定的不安全性，操作系統(tǒng)支持數(shù)據(jù)的交換與連接，這對網(wǎng)絡安全來說是一個漏洞；操作系統(tǒng)還可以創(chuàng)建進程，然而這些進程軟件就是系統(tǒng)進程，黑客不法分子經常就利用這些進程軟件竊取信息；再者，操作系統(tǒng)還支持在互聯(lián)網(wǎng)中傳送文件，文件傳輸過程中很有可能附帶一些可執(zhí)行文件，是人為編寫的，一旦出現(xiàn)漏洞被不法分子利用，會對計算機網(wǎng)絡系統(tǒng)帶來很大的破壞。

（三）計算機病毒的威脅和惡意程序的破壞

由于計算機網(wǎng)絡的互聯(lián)性與廣泛性，計算機病毒的傳播速度和威脅力越來越大，病毒其實是一些破壞計算機數(shù)據(jù)或功能、阻礙計算機正常運行的，而且還可以自我復制的一段計算機指令或代碼，而且病毒還有持續(xù)時間特別長、危害性特別大、傳染性特別高的特點，病毒的傳播途經也特別廣，一些光盤和移動硬盤以及其他的硬件設施都是病毒傳播的途徑，一些惡意的程序如木馬程序就是利用一些程序漏洞竊取信息的惡意程序，具有一定的自發(fā)性和隱蔽性。

（四）計算機網(wǎng)絡安全技術人員和用戶安全意識不強，技術人員能力有限

很多用戶缺乏個人信息的安全保護意識，對于重要的信息實行共享、隨意轉借；技術人員水平有限，不能夠建立一個很好的安全機制、提出安全策略。

（五）黑客的惡意攻擊

黑客對計算機網(wǎng)絡安全帶來巨大的威脅，他們通常能夠利用一些軟件來進行網(wǎng)絡上的攻擊，他們經常竊取和篡改計算機中重要的系統(tǒng)數(shù)據(jù)和資源，還能自己編制病毒破壞計算機系統(tǒng)，對計算機的安全防護帶來巨大的影響和威脅。

二、計算機網(wǎng)絡安全防護的主要對策

（一）要健全計算機網(wǎng)絡安全管理的防護機制

建立健全計算機網(wǎng)絡安全防護機制，是規(guī)范計算機用戶和管理員行為的保障，建立健全網(wǎng)絡安全管理機制，有利于提高用戶和計算機系統(tǒng)管理員的職業(yè)水準和專業(yè)素質，有利于使計算機操作人員形成良好的習慣，促使他們及時的對數(shù)據(jù)資料進行備份，促進計算機網(wǎng)絡安全防護的工作能夠順利開展。

（二）要重視加強防火墻技術

采用防火墻技術是一種有效地手段，防火墻是一種網(wǎng)絡的屏障[1]，因為黑客要想竊取重要的機密與信息必須進入計算機內網(wǎng)，而要想訪問內網(wǎng)就必須通過連接外網(wǎng)來實現(xiàn)，采用防火墻技術可以有效地防止這一現(xiàn)象發(fā)生，而且比較經濟。一般把防火墻安裝在內部網(wǎng)絡的出口，這是一個最佳的位置，可以實現(xiàn)內網(wǎng)與外網(wǎng)之間的訪問控制，防火墻具有網(wǎng)址轉換功能，可以使外網(wǎng)連接都要經過保護層，可以對外網(wǎng)的狀態(tài)和活動進行監(jiān)聽，對一些非法入侵的活動進行及時的控制和分析。而且可以通過防火墻保護層的只有被授權的活動，可以起到很大的作用，促使內網(wǎng)重要信息機密免受入侵。

（三）重視加強數(shù)據(jù)加密技術

數(shù)據(jù)加密技術簡單來說就是通過使用一些密碼或代碼將一些重要的信息或數(shù)據(jù)從可以理解明白的明文方式變成一種錯亂的不能理解明白的密文方式，在存儲體內或傳送過程中對信息進行保護，防止以明文方式丟取信息，確保信息安全。數(shù)據(jù)的加密技術包括數(shù)據(jù)傳送、數(shù)據(jù)存儲、密鑰和數(shù)據(jù)的完整性四項[2]，各個部分都能對數(shù)據(jù)信息進行全方位的安全性保護，有轉換加密、增加密碼、身份驗證審核、加密密鑰、端加密、還有口令、身份、密鑰的鑒別，包括最后的自動解密。密鑰在各個環(huán)節(jié)的管理的好壞常常決定數(shù)據(jù)資料的保密安全。

（四）重視加強數(shù)據(jù)的備份工作

及時對一些重要的數(shù)據(jù)資料進行備份工作，通過存儲技術將計算機中的重要的需要被保護的數(shù)據(jù)用其他的存儲設施，如移動硬盤或者光盤進行轉存，以防系統(tǒng)崩潰時數(shù)據(jù)被破壞或者丟失，即使數(shù)據(jù)被破壞或丟失后，也可以依靠備份來進行數(shù)據(jù)的恢復，只是在備份時，不要將源數(shù)據(jù)和備份數(shù)據(jù)放在一個服務器之中，另找一個安全的地方進行存放。要切實建立健全數(shù)據(jù)備份與恢復機制。

（五）進行相關政策法規(guī)的保障，同時提高計算機操作人員與管理人員的專業(yè)能力與素養(yǎng)，提高安全防護意識

頒布相關的法律法規(guī)保障網(wǎng)絡安全，加強管理，同時重視計算機網(wǎng)絡的安全意識教育，再者要提高技術人員的專業(yè)能力與素養(yǎng)，對于一些基本的網(wǎng)絡安全防護措施要很熟悉而且要做到位，及時的對新的技術人員進行培訓與輔導，加強安全防護管理的意識，不斷提高自身的專業(yè)技能與專業(yè)素養(yǎng)。

三、計算機網(wǎng)絡安全防護的發(fā)展

對于計算機網(wǎng)絡安全防護的發(fā)展，我們需要更加的完善網(wǎng)絡安全防護措施，在不斷進行完善更新的基礎上采用更為先進和主動的防護措施，化被動為主動，我們可以采用“云安全”技術，云安全這項新的技術可以大范圍的對網(wǎng)絡中的異常的軟件行為進行檢測，獲取關于病毒、木馬等惡意程序的最新消息，并通過服務端進行自動的處理分析，然后給每一位客戶發(fā)送解決方案。從而整個計算機互聯(lián)網(wǎng)絡就像是一個巨大的殺毒軟件[3]。采用“云安全”等新技術會讓計算機網(wǎng)絡安全防護變得更有力。

四、小結

計算機互聯(lián)網(wǎng)絡是一個龐大而又復雜的信息網(wǎng)絡，在這個信息網(wǎng)絡之中，做好必要的安全防護措施是很重要的，計算機網(wǎng)絡涉及的領域相當?shù)膹V泛，如果不進行計算機網(wǎng)絡的安全防護，那么一旦在計算機網(wǎng)絡中一個領域中出現(xiàn)安全問題，那么其他的領域也會受到連鎖的影響，這樣會導致全社會各個領域的工作受到嚴重阻礙，甚至癱瘓，造成巨大的經濟損失和人員的恐慌，有時甚至會影響到軍事領域，威脅到國家的安全。因此全面認識到計算機網(wǎng)絡中的不安全因素，及時提出實施安全防護措施，及時的讓新技術加盟，我們才能夠更好地確保計算機網(wǎng)絡的安全，促進人們正常的學習、工作、生活，促進經濟平穩(wěn)迅速發(fā)展，確保國家安全。

參考文獻：

[1]楊艷杰.計算機網(wǎng)絡的安全防護與發(fā)展[J].電腦編程技巧與維護,2011,56(12):12-16

網(wǎng)絡安全防護方法范文第4篇

關鍵詞：軍隊計算機網(wǎng)絡；安全防護

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)22-5312-02

隨著信息軍事時代的來臨，“網(wǎng)絡中心戰(zhàn)”、“網(wǎng)絡中心行動”成為當前軍事領域戰(zhàn)爭行動的基本方式。軍隊計算機網(wǎng)絡是實施網(wǎng)絡中心戰(zhàn)、網(wǎng)絡中心行動的關鍵基礎設施，是敵重點攻擊的對象，其安全防護情況直接關系其效能作用的發(fā)揮，關系到戰(zhàn)爭的勝負，因此必須認真研究分析其安全形勢，剖析存在問題，采取有力措施，提高安全防護能力。

1軍隊計算機網(wǎng)絡安全形勢分析

1.1形勢的嚴峻性

信息軍事時代，信息安全成為軍隊安全的重中之重。軍隊計算機網(wǎng)絡是承載信息的重要平臺，圍繞網(wǎng)絡展開的信息竊密與反竊密斗爭正愈演愈烈。一些國家和地區(qū)利用網(wǎng)絡大肆竊取我軍秘密信息，并綜合盜用黑客、木馬、病毒攻擊及竊取等多種信息作戰(zhàn)手段對我網(wǎng)絡進行破壞，嚴重威脅著國家和軍隊安全。

1.2威脅的多元性

軍隊計算機網(wǎng)絡雖然在物理上與其他網(wǎng)絡隔離，但是由于系統(tǒng)建設規(guī)模大、涉及領域廣、組織結構復雜、缺乏嚴密的法規(guī)標準，使得軍隊計算機網(wǎng)絡安全防護異常困難，從某種意義上講，計算機網(wǎng)絡上任何一個環(huán)節(jié)和關節(jié)點的被突破，都可能使全網(wǎng)和全系統(tǒng)癱瘓，后果不堪設想。

1.3事件的突發(fā)性

計算機網(wǎng)絡安全威脅往往具有潛伏性和不可預測性，對被攻擊方而言安全事件呈現(xiàn)出極強的突發(fā)性，被攻擊方往往會喪失寶貴的防御時間，為信息安全事件處置帶來極大的挑戰(zhàn)，計算機網(wǎng)絡安全威脅中的很多事件還沒有被察覺，就已經造成不可預料的損失。目前，計算機芯片、骨干路由器和微機主板等核心技術多數(shù)仍由國外進口，一旦敵對勢力在特定的時間激活惡意程序，就可以在我們毫無察覺的情況下瞬間發(fā)起攻擊，造成整個系統(tǒng)的癱瘓。

1.4處置的艱巨性

信息化條件下，信息爭奪空間巨大、流動性強，領域不斷拓展，安全隱患不斷增多。而當前部隊部分人員信息安全觀念淡?。话踩雷o技術手段落后，針對性應急處置手段缺乏；法規(guī)制度不完備，組織安全防護力度差，對部分安全事件防護處置策略缺少相應的規(guī)范和力量。軍事網(wǎng)絡失泄密一旦發(fā)生，將導致整個網(wǎng)絡震蕩，失密影響范圍廣泛，泄密后果十分嚴重。

2軍隊計算絡安全存在的主要問題

計算機網(wǎng)絡安全保密工作十分重要，目前，我軍計算機網(wǎng)絡安全方面還存在以下問題：

2.1網(wǎng)絡安全防護意識比較淡薄

目前，部隊計算機網(wǎng)絡建設普遍受到高度重視，但是有些單位僅僅看到網(wǎng)絡建設帶來的顯著效益和便利，而對計算機網(wǎng)絡系統(tǒng)安全防護建設同步規(guī)劃、同步建設的認識較為短淺。從計算機網(wǎng)絡安全防護系統(tǒng)建設投入看，國外計算機網(wǎng)絡安全防護投入占整體投入的10-20%，我國僅占到2-5%，不足國外的四分之一，軍隊在此方面的投入也明顯不足。同時，受長期和平環(huán)境影響，“有密難保、無密可?！钡乃枷胍庾R普遍存在，對網(wǎng)絡安全問題關注不夠，思想意識比較淡薄，影響到計算機網(wǎng)絡整體安全防護建設的發(fā)展。

2.2網(wǎng)絡安全防護建設相對滯后

我軍圍繞作戰(zhàn)應用需求，重點加強了光纖傳輸鏈路建設，網(wǎng)絡基礎已經比較配套，但安全防護建設卻明顯滯后。部分單位未對網(wǎng)絡進行防火墻、保密機配套建設；相當數(shù)量的終端沒有安裝防病毒系統(tǒng)；入侵檢測沒有完全發(fā)揮起作用；安防系統(tǒng)系統(tǒng)建設各自為戰(zhàn)，無法形成整體安全防護體系等，這些都制約了計算機網(wǎng)絡安全防護整體水平的發(fā)展。。

2.3網(wǎng)絡安全防護標準尚未健全

當前，我軍陸續(xù)頒布了一系列與網(wǎng)絡信息安全相關的法律法規(guī)，但在安全保密等級劃分、網(wǎng)絡安全體系規(guī)范、網(wǎng)絡安全策略制定、網(wǎng)絡防護手段使用規(guī)范等方面仍存在不足。例如，對軍隊網(wǎng)絡安全體系建設標準中部分設備、系統(tǒng)未進行明確；安全防護等級雖已明確，但配套手段還沒有統(tǒng)一進行明確，無法達到最佳防護。同時，制度標準的落實情況也令人堪憂，有令不行、有禁不止的現(xiàn)象隨處可見，這些都對軍用計算機網(wǎng)絡系統(tǒng)帶來了巨大的安全隱患。

2.4網(wǎng)絡核心技術受制于人

雖然近年來我國的信息技術得以飛速發(fā)展，但仍沒有擺脫技術落后的局面，特別是計算機芯片、操作系統(tǒng)、路由協(xié)調等核心技術仍然沒有擺脫國外的束縛。目前，我軍大多數(shù)信息網(wǎng)絡采用的都是微軟的windows系列操作系統(tǒng)和TCP／IP、IPX／SPX等網(wǎng)絡協(xié)議，這些系統(tǒng)的共同特點是在設計之初主要考慮了易用性而忽視了系統(tǒng)安全性，使軍事信息網(wǎng)絡自身從建設之初就存在安全隱患。

3加強軍隊計算機網(wǎng)絡安全防護的對策措施

計算機網(wǎng)絡應用與安全防護問題相生相伴，是“矛”和“盾”的關系，信息安全問題將長期存在，不可能徹底避免和消除。為此，必須著眼防患于未然，積極建設計算機網(wǎng)絡安全防護體系，有效提升網(wǎng)絡安全防護能力，確保“非法用戶進不來，秘密信息取不走，網(wǎng)絡平臺摧不垮”。

3.1強化人員安全防護意識

強化軍隊人員的信息安全意識，一是通過大眾傳播媒介，增強信息安全意識，普及信息安全知識，依托信息服務網(wǎng)站開設信息網(wǎng)絡安全知識普及專欄，提高安全防護能力，增強部隊官兵信息安全防范意識。二是積極組織各種專題討論和培訓班，培養(yǎng)信息安全人才，使部隊有計算機網(wǎng)絡安全防護方面的“明白人”。三是要積極開展安全策略研究，明確安全責任，增強人員的責任心，全面提高部隊信息安全防護能力。

3.2建立健全安全管理機制

針對我軍軍事信息網(wǎng)絡安全防護現(xiàn)狀，制定和完善軍隊計算機網(wǎng)絡建設、管理與安全防護機制，確立網(wǎng)絡安全防護工作科學、合理的運行機制。一是配套法規(guī)標準。建立健全制度規(guī)定，明確各級責任、措施、手段；制定標準規(guī)范，明確建設技術體制；規(guī)劃安全策略，明確設備系統(tǒng)防護標準，以完善網(wǎng)絡安全法律體系，使信息安全管理走上法制化軌道，確保信息網(wǎng)絡安全有法可依、有章可循。二是建立協(xié)調機制。信息安全防護工作涉及多個業(yè)務職能部門，加強部門之間的相互協(xié)調、相互補充、統(tǒng)一規(guī)劃、統(tǒng)一管理，提升整體防護能力。三是組建安全隊伍。建立計算機網(wǎng)絡安全防護中心，明確安全防護機制，建立安全防護組織領導管理機構，明確領導及工作人員，制定管理崗位責任制及有關措施，嚴格內部安全管理機制，并對破壞網(wǎng)絡信息安全的事件進行調查和處理，確保網(wǎng)絡信息的安全。

3.3構建安全技術防護體系

重點加強四個體系建設：一是安全監(jiān)察體系。建立健全網(wǎng)絡安全監(jiān)察機制；配套建設計算機網(wǎng)絡入侵檢測、流量分析、行為審計等系統(tǒng)，增強安全事件的融合分析能力；配備安全管理系統(tǒng)，實現(xiàn)對全網(wǎng)安全策略的統(tǒng)一管理和控制；加強安全服務保障體系建設，提供病毒庫升級、補丁分發(fā)、安全預警等安全服務，通過各系統(tǒng)的綜合應用，提高網(wǎng)絡的綜合安全分析能力。二是終端防護體系。建立協(xié)調管理機制，規(guī)范和加強以身份認證、授權管理、責任認定等為主要內容的網(wǎng)絡信任體系建設；強化系統(tǒng)訪問控制，設定用戶訪問權限，防止非法用戶侵入或合法用戶不慎操作所造成的破壞；加強實體鑒別，保證用戶在獲取信息過程中不受干擾、不被假冒，確保用戶終端實體的可信；加強身份認證，為設備、用戶、應用等頒發(fā)數(shù)字證書，并提供數(shù)字簽名、身份驗證、訪問控制等服務，防止非授權接入和訪問；加強終端保護，進行終端操作系統(tǒng)的安全加固，防止非法登錄網(wǎng)絡，保證終端資源的可控；提供病毒防護功能，適時查殺病毒、檢查漏洞；提供主機入侵檢測功能，防止對終端的攻擊行為，從而全面建立終端防護體系，為終端用戶構造一個安全環(huán)境。三是安全評估體系。按照軍隊有關防護標準，綜合運用漏洞掃描、取證分析、滲透測試、入侵檢測等系統(tǒng)和手段對網(wǎng)絡進行掃描分析，客觀分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，對安全事件可能造成的危害程度進行科學的定性定量分析，并提出有針對性的防護對策和整改措施，全面防范、化解和減少信息安全風險。四是應急響應體系。加強信息安全應急支援隊伍建設，明確應急響應處置方法及原則；充分考慮抗毀性與災難恢復，制定和完善應急處置預案根據(jù)安全級別的要求來制定響應策略；建立容災備份設施系統(tǒng)，規(guī)范備份制度與流程，對域名系統(tǒng)、網(wǎng)管系統(tǒng)、郵件系統(tǒng)及重要業(yè)務系統(tǒng)等重要信息、數(shù)據(jù)適時進行備份，確保系統(tǒng)崩潰以后能夠在最短時間內快速恢復運行，提高信息網(wǎng)絡的安全性和抗毀性。

3.4發(fā)展自主信息安全產業(yè)

自主信息產業(yè)或信息產品國產化能夠為信息安全提供更高保證。要加強計算機網(wǎng)絡安全保密設備和系統(tǒng)的“軍產化”，“獨立化”建設。為此，應抓好以下幾個方面的工作：一是組織核心技術攻關，如研發(fā)自主操作系統(tǒng)、密碼專用芯片和安全處理器等，狠抓技術及系統(tǒng)的綜合集成，以確保軍用計算機信息系統(tǒng)安全。二是加強關鍵技術研究，如密碼技術、鑒別技術、病毒防御技術、入侵檢測技術等，有效提高軍用計算機網(wǎng)絡的安全防護能力。三是尋求監(jiān)測評估手段，如網(wǎng)絡偵察技術、信息監(jiān)測技術、風險管理技術、測試評估技術等，構建具有我軍特色、行之有效的計算機網(wǎng)絡安全保密平臺，實現(xiàn)網(wǎng)絡及終端的可信、可管、可控，擺脫網(wǎng)絡安全受制于人的被動局面。

軍隊計算機網(wǎng)絡安全防護涉及要素眾多，是一個系統(tǒng)的整體的過程。在進行防護時，要充分認清計算機網(wǎng)絡安全面臨的嚴峻形勢，認真查找存在的問題，系統(tǒng)整體的采取有針對性的防范措施，從而提高網(wǎng)絡安全防護能力。

參考文獻：

[1]曹旭.計算機網(wǎng)絡安全策略探討[J].計算機安全,2011(21).

[2]劉萍.計算機網(wǎng)絡安全及防范技術探討[J].科技信息，2010(15).

[3]吳世忠,江常青.信息安全保障基礎[M].北京:航空工業(yè)出版社,2010.

網(wǎng)絡安全防護方法范文第5篇

隨著全球信息化程度的加深，CDN已經成為互聯(lián)網(wǎng)上向用戶提供服務的重要系統(tǒng)之一，一方面由于CDN位于內容源站和終端用戶之間的特殊物理位置，能夠抵御一部分對源站的安全攻擊，從而提高源站的安全性；另外一方面，隨著CDN越來越多地服務于重要國家部門、金融機構、網(wǎng)絡媒體、商業(yè)大型網(wǎng)站，并經常承擔奧運會、國慶等重大活動，保障CDN自身的安全性、確保源站信息內容安全準確地分發(fā)給用戶也非常重要。一旦CDN出現(xiàn)業(yè)務中斷、數(shù)據(jù)被篡改等安全問題，可能對用戶使用互聯(lián)網(wǎng)服務造成大范圍嚴重影響，甚至可能影響社會穩(wěn)定。

標準工作開展背景

一直以來，國際國內缺乏專門的標準明確CDN應滿足的安全要求，今年《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護要求》和《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護檢測要求》在中國通信標準化協(xié)會（CCSA：ChinaCommunications StandardsAssociation）立項，“電信網(wǎng)安全防護標準起草組”討論了征求意見稿，相信CDN安全的標準化工作，能對促進CDN服務商規(guī)范安全地提供服務，從整體上提高CDN行業(yè)的安全防護水平提供指導。

美英等國家從20世紀70年代就開始研究等級保護、風險評估的相關內容，制訂了彩虹系列、BS7799、ISO27001等具有世界影響力的安全標準。隨著通信網(wǎng)絡在國家政治、經濟和社會發(fā)展過程中的基礎性和全局性作用與日俱增，這些發(fā)達國家越來越重視通信網(wǎng)絡安全，并上升到國家安全高度。我國也越來越重視網(wǎng)絡與信息安全保障，相繼了中辦【2003】27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發(fā)【2006】11號《2006―2020年國家信息化發(fā)展戰(zhàn)略》等文件指導基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全保障體系建設。

近五年通信網(wǎng)絡安全防護工作取得很大成效，指導通信網(wǎng)絡從業(yè)務安全、網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)安全、設備安全、物理環(huán)境安全、管理安全等各方面加固，提高了通信網(wǎng)絡運行的穩(wěn)定性和安全性、基礎電信運營企業(yè)安全管理的規(guī)范性，也促進了通信行業(yè)安全服務產業(yè)的快速發(fā)展。

隨著通信網(wǎng)絡安全防護工作逐步深入規(guī)范開展，2011年工業(yè)和信息化部組織開展了增值運營企業(yè)的安全防護試點，率先對新浪、騰訊、百度、阿里巴巴、萬網(wǎng)、空中信使運營管理的網(wǎng)絡單元進行定級備案、安全符合性評測和風險評估。

2011年，“電信網(wǎng)安全防護標準起草組”組織研究起草《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護要求》和《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護檢測要求》等8項安全防護標準，工業(yè)和信息化部電信研究院、藍汛、網(wǎng)宿、清華大學、中國移動、中國電信、華為、中國互聯(lián)網(wǎng)協(xié)會等單位研究人員參與了標準的起草，目前這兩項標準的征求意見稿已經在CCSA討論通過。

根據(jù)《通信網(wǎng)絡安全防護管理辦法》，按照各通信網(wǎng)絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高可劃分為一級、二級、三級、四級、五級。因此《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護要求》明確了一級至五級CDN系統(tǒng)應該滿足的安全等級保護要求，級別越高，CDN需滿足的安全要求越多或越嚴格。《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護檢測要求》明確了對CDN進行安全符合性評測的方法、內容、評價原則等，有助于深入檢查企業(yè)是否落實了安全防護要求。

CDN安全防護內容

CDN位于內容源站與終端用戶之間，主要通過內容的分布式存儲和就近服務提高內容分發(fā)的效率，改善互聯(lián)網(wǎng)絡的擁塞狀況，進而提升服務質量。通常CDN內部由請求路由系統(tǒng)、邊緣服務器、運營管理系統(tǒng)、監(jiān)控系統(tǒng)組成，CDN外部與內容源站以及終端用戶相連。CDN是基于開放互聯(lián)網(wǎng)的重疊網(wǎng)，與承載網(wǎng)松耦合。

CDN主要是為互聯(lián)網(wǎng)上的各種業(yè)務應用提供內容分發(fā)服務，以顯著提高互聯(lián)網(wǎng)用戶的訪問速度，所以保障CDN分發(fā)的數(shù)據(jù)內容安全和CDN業(yè)務系統(tǒng)安全至關重要，保障CDN的基礎設施安全、管理安全，有效實施災難備份及恢復等也是CDN安全防護應該考慮的重要內容。因此CDN的安全防護可從數(shù)據(jù)內容安全、業(yè)務系統(tǒng)安全、基礎設施安全、管理安全、災難備份及恢復幾方面考慮。

（1）CDN數(shù)據(jù)內容安全

為保障CDN分發(fā)的數(shù)據(jù)內容安全，需要確保CDN與源站數(shù)據(jù)內容一致，并進行版權保護，記錄管理員的操作維護并定期審計，一旦發(fā)現(xiàn)不良信息能夠及時清除，同時提供防御來自互聯(lián)網(wǎng)的網(wǎng)絡攻擊并對源站進行保護的能力。

數(shù)據(jù)一致性：CDN企業(yè)提供對內容污染的防御能力，識別和丟棄污染的內容，保障重要數(shù)據(jù)內容的一致性和完整性；保證CDN平臺內部傳輸數(shù)據(jù)的一致性；防止分發(fā)的內容被非法引用（即防盜鏈）。

版權保護：按照源站要求提供內容鑒權、用戶鑒權、IP地址鑒權、終端鑒別以及組合鑒權等方式對源站內容進行版權保護。

安全審計：記錄管理員（含源站管理員和CDN系統(tǒng)內部管理員）對CDN系統(tǒng)的管理操作，留存日志記錄并定期審計。

不良信息清除：一旦發(fā)現(xiàn)CDN系統(tǒng)內部含不良信息，應在內容源站或主管部門要求時間內，完成全網(wǎng)服務器屏蔽或清除不良信息。

防攻擊和源站保護：引入CDN后不應降低內容源站的安全水平，同時CDN在一定程度上提供對內容源站的抗攻擊保護。

（2）CDN業(yè)務系統(tǒng)安全

為保障CDN的業(yè)務系統(tǒng)安全，需要從結構安全、訪問控制、入侵防范等方面進行安全保護，另外鑒于請求路由系統(tǒng)（即DNS系統(tǒng)）在CDN系統(tǒng)中的重要性以及目前DNS系統(tǒng)存在脆弱性，需要保障請求路由系統(tǒng)的安全。

結構安全：CDN企業(yè)在節(jié)點部署時應考慮防范安全攻擊，如為服務器單節(jié)點服務能力留出足夠的冗余度、配置實時備份節(jié)點等。

訪問控制：對管理員操作維護進行身份認證并進行最小權限分配，從IP地址等方面限制訪問。

入侵防范：關閉不必要的端口和服務，CDN能夠抵御一定的安全攻擊并快速恢復。

請求路由系統(tǒng)安全：部署多個內部DNS節(jié)點進行冗余備份，并對DNS進行安全配置。

（3）CDN基礎設施安全

保障CDN的基礎設施安全，可從主機安全、物理環(huán)境安全、網(wǎng)絡及安全設備防護等方面進行保護。

主機安全：企業(yè)對CDN的操作系統(tǒng)和數(shù)據(jù)庫的訪問進行訪問控制，記錄操作并定期進行安全審計；操作系統(tǒng)遵循最小授權原則，及時更新補丁，防止入侵；對服務器的CPU、硬盤、內存等使用情況進行監(jiān)控，及時處置告警信息。

物理環(huán)境安全：機房應選擇合適的地理位置，對機房訪問應進行控制，防盜竊、防破壞、防雷擊、防火、防水、防潮、防靜電、溫濕度控制、防塵、電磁防護等方面均應采取一定的防護措施，并確保電力持續(xù)供應。

網(wǎng)絡及安全設備防護：IP承載網(wǎng)需要從網(wǎng)絡拓撲結構、網(wǎng)絡保護與恢復、網(wǎng)絡攻擊防范等方面進行保護。

（4）CDN管理安全

規(guī)范有效的管理對于保障信息系統(tǒng)的安全具有重要作用，可從機構、人員、制度等方面進行保障，同時應將安全管理措施貫穿系統(tǒng)建設、系統(tǒng)運維全過程。

機構：通過加強崗位設置、人員配備、授權審批、溝通合作等形成強有力的安全管理機構。

人員：在人員錄用、離崗、考核、安全意識教育和培訓、外部人員訪問等環(huán)節(jié)加強對人員的管理。

制度：對重要的安全工作制訂管理制度，確保制度貫徹執(zhí)行，根據(jù)安全形勢的變化和管理需要及時修訂完善安全制度。

安全建設：在系統(tǒng)定級備案、方案設計、產品采購、系統(tǒng)研發(fā)、工程實施、測試驗收、系統(tǒng)交付、選擇安全服務商等環(huán)節(jié)進行安全管理，分析安全需求、落實安全措施。CDN企業(yè)在新建、改建、擴建CDN時，應當同步建設安全保障設施，并與主體工程同時驗收和投入運行。安全保障設施的新建、改建、擴建費用，需納入建設項目概算。

安全運維：在系統(tǒng)運行維護過程中對物理環(huán)境、介質、網(wǎng)絡、業(yè)務系統(tǒng)、安全監(jiān)測、密碼、備份與恢復等加強安全管理，提高對惡意代碼防范、安全事件處置、應急預案制訂與演練的管理。

（5）災難備份及恢復

可通過配置足夠的冗余系統(tǒng)、設備及鏈路，備份數(shù)據(jù)，提高人員和技術支持能力、運行維護管理能力，制訂完善的災難恢復預案，提高CDN企業(yè)的抗災難和有效恢復CDN的能力。

冗余系統(tǒng)、設備及鏈路：運營管理系統(tǒng)、請求路由系統(tǒng)等核心系統(tǒng)應具備冗余能力，在多個省份備份，發(fā)生故障后能及時切換；CDN設備的處理能力應有足夠的冗余度；核心系統(tǒng)間的鏈路應有冗余備份。

備份數(shù)據(jù)：系統(tǒng)配置數(shù)據(jù)、源站托管數(shù)據(jù)等關鍵數(shù)據(jù)應定期同步備份。

人員和技術支持能力：應為用戶提供7×24小時技術支持，員工應經過培訓并通過考核才能上崗。

運行維護管理能力：運維人員應能及時發(fā)現(xiàn)系統(tǒng)異常事件，在規(guī)定事件內上報企業(yè)管理人員、客服人員，做好對客戶的解釋工作。

災難恢復預案：應根據(jù)可能發(fā)生的系統(tǒng)故障情況制訂詳細的災難恢復預案，組織對預案的教育、培訓和演練。

CDN標準展望

2011年制訂的CDN標準還只是一個嘗試，目前《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護要求》和《互聯(lián)網(wǎng)內容分發(fā)網(wǎng)絡安全防護檢測要求》僅對作為第三方對外提供互聯(lián)網(wǎng)內容分發(fā)服務的CDN提出安全防護要求和檢測要求，隨著后續(xù)CDN安全防護工作的深入開展、CDN面臨的安全風險不斷變化，CDN安全防護標準還會不斷修訂完善。