信息安全服务8篇

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇信息安全服务，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

篇1

关键词：服务支持体系；安全动态模型

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

在近些年，金盾工程进一步展开，各项信息网都得到了长足的发展，电子信息技术以计算机为应用基础，网络技术在各行各业中得到了越来越广泛的应用，信息量的传递速度与共享范围达到了前所未有的程度。

一、网络和信息安全存在的威胁因素

计算机网络的应用在日常生活中越来越普及，网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁，具体表现在如下几个方面。

首先，内部人员的错误操作以及违规使用

这一类的情况主要有：蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示，对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用，所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为，在事后能够较为成功的进行定位并及时取证分析。

第二，外部威胁

来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统，进入网络系统，并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺，从而导致网络服务瘫痪乃至整个服务进程的中止。

第三，拒绝服务攻击

表现在对网络服务系统所进行的不间断干扰，有时表现为改变网络服务系统中正常进行的作业流程，或者是执行无关的程序，进而加重整个系统的运转负荷，导致系统响应速度减慢，严重影响正常用户的使用，调查显示，网络因受攻击而拒绝服务的趋势明显上升。

第四，网络病毒

在所有的网络威胁中，网络病毒无疑是最为臭名昭著的，它是最为常见、最重要、最难防范的威胁，它对各种局域网，甚至对整个互联网的安全所产生的威胁是随时存在的。

二、建立网络和信息安全动态策略

网络技术的普及，提高了工作效率，因此构建一个良好的网络环境十分必要，然而，伴随着计算机网络在各行各业中的广泛应用，相关的安全问题也不可避免地日渐突出，如果放任网络上各种安全问题滋生扩大，不仅会严重的降低生产效率和生活质量，还会给人民的生命和财产安全带来极其巨大的威胁和损害。

首先，网络安全主要分为四个主要层面：物理安全、文化安全、信息安全以及系统安全。

第一，物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施，例如：容错、容外部损伤、对干扰的抵抗等。

第二，系统安全。即是指代存在于网络通信中的基础协议，包含了操作系统以及应用系统在内的可用性，包括使用的合法性。例如，遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为：身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为：入侵防范、之后的检测以及响应和系统的恢复。

第三，信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能，在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止，防止恶意篡改信息以及冒名的发送伪造信息等，在所有的安全保障手段中，其最核心的技术则是密码技术。顾名思义，即是在密码技术的支持下，对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现，所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。

三、建立网络与信息安全体系

为了在最大限度上保证全部网络信息合法用户的网络信息安全，应该建立网络与信息安全的一整套体系，其结构可以划分为呈若干层次，所涉及的环节较多，主要包括：网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构，管理人员在规范合理的指导下，得以拥有把握网络整体安全状况的权限，从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理，使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤，分层次低进行。

首先，必须了解当前网络整体的安全状况，即进行安全风险的合理评估（主要指确定网络资产的安全威胁性和脆弱性，并进一步估算由此可能会造成的损失程度和影响的过程）在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时，应该考虑要有一套较为完整及符合实际情况的风险分析方法（包括了对应的安全措施制定方法），网络安全评估的主要内容有如下两个方面，首先，在考虑了回避最为常见的威胁以及漏洞（包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率）。

第二，当安全措施失效从而导致造成了业务的损失（包括到预计中财产信息被公开，还有信息不完整甚至不可用的全面影响）。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据，在进行风险评估分析的基础上，进一步提出网络和信息安全的整体需求，以期能够确定网络所要达到的安全系数和级别，对进一步可能采取的安全措施进行总体计划，有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状，在动态安全体系的正确指导下，制定出更为合理有效的安全措施，并进行较为严格的安全管理。

安全保护及实时监测。即是指选用相关的安全产品（包括前沿技术、能够执行的合适的安全制度）全面的安全管理规章制度的制定，明确安全实施与管理中全部流程，各个方面安全职责的切实确定，提高网络安全性。而安全保护过程中可以使用的手段包括：设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。

四、结语

总之，安全不是一朝一夕的事，所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。

参考文献：

[1]康募建,姚京橙,林鹏.计算机网络动态适应安全系统[J].中国电脑,200l,13(2):73-75

篇2

远望电子已获得浙江省“双软企业”认定及国家级高新技术企业认证，是国家创新基金支持单位、浙江省软件服务业重点扶持企业、“国家863信息系统安全等级保护产业技术创新战略联盟”成员、浙江省计算机学会信息安全专业委员会委员》。

远望电子是浙江省信息安全标准化技术委员会委员、公安部《公安综合信息安全管理平台技术规范》主要起草单位，同时还是浙江省治安监控网络综合保障系统行业标准》、工业和信息化部《信息安全技术政府部门信息安全管理指南》（国家标准），及全国信息安全标准化委员会《信息系统安全管理平台产品技术要求和测试评价方法》（国家标准）参与起草单位。

远望电子本着诚信为本的经营理念，连续多年均被评为AAA级信用等级单位。

远望电子与公安部第一研究所、公安部安全与警用电子产品检测中心、西北工业大学、杭州电子科技大学等科研院所建立了长期友好合作关系，从而提升了公司的软件研发、人力资源开发、人才培养和储备能力。

远望电子自主研发的信息与网络安全管理平台及监管系统等在国内二十余个省市的公安、法院、政府、保密等领域及大型企事业单位得到了广泛应用。近年来，远望电子开发的信息与网络安全平台已在浙江省公安厅及所属116个单位全面部署应用。浙江省公安厅借助该平台建立了较完善的信息安全综合保障体系，连续五年在全国公安信息安全综合评比中名列第一。

远望信息与网络安全管理平台及监管系统，融业务管理（规范、组织、培训、服务）、工作流程、应急响应（预警、查处、通报、报告）和安全技术应用（监测、发现、处置）为一体，集成了各类信息安全监管、分析技术，实现了对网络边界安全、保密安全、网站安全、主机基础安全，以及各类威胁信息安全的违规行为、资源占用行为等的有效监测、处置和管理。

产品同时结合工作流技术，实现了监测、警示、处置、反馈、考核五位一体安全管理工作模式，建立起长效的信息安全管理工作机制，并将其日常化、常态化，实现了信息安全管理工作的信息化、网络化。

远望信息与网络安全产品被列入“2010年度全国公安信息系统安全大检查”指定检查工具，并获得公安部2011年科学技术奖。

远望信息与网络安全管理平台及监管系统针对安全风险产生的根源，对网络中的安全事件和安全风险进行全程全网监测、管控，在技术的层面上突破了网络边界的定位、信息的准确鉴别、网站的定位，以及应用分析和监管等难题。

该平台能对信息网络进行全程全网实时监管，全面、清晰掌握网络系统状况，及时发现并分析、处置各类安全事件和风险隐患。

篇3

研究院的安全服务主要包含四大独立服务：安全服务、监测服务、睿眼通和信息安全应急响应指挥平台。服务内容主要包括以下几个方面：

首先是安全咨询。以“业务需求管理”为核心出发点，依托ISO27001、ISO17799等国际信息安全标准和法规及行业规范，融合自上而下的指导方针、管理策略、业务流程运行规则、系统操作指南，建立信息安全管理体系。

其次是安全培训。安全培训旨在提高客户的信息安全意识和技能，为最大程度上提高客户的整体安全防卫意识和安全防卫技能，真正把信息安全管理体系落到实处，提供强力有效的技术支撑保障。

再次是安全评估。对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性评估，为客户信息安全管理体系策划提供基础。

最后是安全加固。结合等级保护国家政策及行业规范，通过现场调研，合理使用安全加固工具等为客户提供安全加固服务，主要提供主机加固、系统加固、数据库加固、应用服务器加固、应用加固等服务，安全补丁、安全策略调优、配置优化等服务。

七大监测服务主要包括下几个方面：

第一，“睿眼”外网安全监测预警服务平台是一套软硬件一体化监测平台，以大数据技术为依托，集成了Web漏洞扫描检测技术、采用远程监测对外网网站提供7×24小时实时安全监测服务。通过对网站的不间断监测服务及时发现威胁，从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。

第二，“睿眼”移动安全监测预警服务平台，为政府和企事业单位搭建一个应用App统一存放、统一管理、统一安全监测的AppStroe平台，通过此平台进一步提升用户办事体验，同时方便国家、省部级对下级单位进行移动App管理和统计。

第三，“睿眼”内网安全监测预警服务平台，基于对内网网络系统安全运行的考虑，平台提供对内网的实时安全监测、分析和预警功能。

睿眼通

睿眼通是七大监测预警服务平台提供给客户的一款智能移动终端，基于客户对信息安全情况的即时需求，以七大监测预警服务平台监测结果为主线，可以成为客户处理信息安全问题、了解安全状态趋势、掌握最新安全资讯的贴心助手，随时随地了解网站及信息系统等的整体运行情况。

信息安全应急响应指挥平台

应急响应指挥平台通过各大监测预警服务平台实时监测结果，对告警的安全故障或安全威胁，以最短的时间进行故障排查定位和应急处理。

安全产品

公司安全产品包括堡垒主机系统、系统安全加固、审计系统和信息共享管理系统。

（1）堡垒主机系统。堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。堡垒主机系统软件扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。

（2）系统安全加固。系统安全加固V1.0产品是软硬件相结合的产品，通过硬件USB-KEY，提高了服务器系统的安全性，克服单纯使用软件防护的局限性；软件部分包括服务器操作系统安全增强软件、服务器安全，以及统一安全管理平台软件。

（3）审计系统

①日志审计系统。日志审计系统一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生，另一方面日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

②网络安全审计系统。网络安全审计系统主要通过旁路监视并记录对数据库服务器的各类操作行为，通过对各类网络行为的分析，实时地、智能地监控审计，并将审计数据存储，以便日后进行查询、分析，实现对整个网络环境内的操作访问行为的监控和审计。

篇4

现在的社会发展迅速，科技普及，信息传输速度快，人与人之间的交往因为大数据时代的到来变得越来越密切，这与云服务的发展密不可分，它的出现是大数据时代的又一巨变。

【关键词】大数据时代 云服务 信息安全

在大数据快速发展的同时，“云服务”信息安全保护已经延伸到了众多领域。大数据离不开“云服务”，“云服务”离不开信息安全，云数据在为大数据提供平台的同时，要确保数据的私密安全。尤其在一些重要的领域，信息的泄露会对个人、企业、乃至国家造成严重的损失，所以在这种情况下，信息安全保护极其重要，是确保大数据和“云服务”稳定并且持续发展的重要前提。

1 大数据时代“云服务”的特征

在信息发达的现代社会，“云服务”带给我们非常好的数据存储平台。我们可以将自己的信息放到云端，以便于随时随地的应用。将云服务的主要特征划分为以下几个方面：一，方便快捷。“云服务”的普及，使得使用者具有了一个内存大且不易丢失的存储工具，人们只要将数据信息传到上面，就可以放心的查看，使用，大大的节省了时间，给人们的生活带来便捷。二，高性能，高可靠性。“云服务”的各个单元相互独立，不会互相影响，它们有各自的软件及硬件资源，提供了高性能的服务。同时，在云端，提供各种数据的存储以及备份，还可以在工作失误的情况下，提供恢复的服务，大大的提高了使用的可靠性。三，隐私问题的保护和安全性有待提高。每件事情都有两面性，“云服务”也有。如何保证用户的数据不被非法的查看、盗窃、修改，是现在技术方面要着重考虑的问题。

2 “云服务”信息安全隐患产生原因

2.1 前期开发阶段安全性不高

软件在开发过程中，设计者没有考虑到来自互联网方面的各种危害，没有对软件本身的安全度加固。还有就是监管不到位，使用者没有注意到软件的防护与定期监管，就会使得各种恶意软件有了入侵的机会。

2.2 使用者安全意识淡薄

使用者在注册登录的时候设置的密码过于简单，大大的降低了安全度。此外，没有做好安全加固和内部访问设限等都是潜在的安全隐患。

2.3 黑客对信息的窃取

因为“云服务”的大范围使用，用户会将很多重要信息传到云端，这样就吸引大部分的竞争者。他们想要窃取并修改对方的信息，以造成对方的巨大损失，这样就产生了很多侵入别人信息内部的黑客。黑客是“云服务”信息安全的重大隐患。

2.4 相关使用法律不规范

“云服务”的相关法律法规存在不规范之处，其对于使用者缺乏有效的监管与约束，从而造成了大量的使用者肆意妄为的现象频频发生。

3 大数据时代“云服务”信息安全保护的重要性

因为“云服务”使用的范围广泛，大到国家，军队的相关信息，小到企业，个人的相关信息都与“云服务”密切相关。一个信息的泄露有可能影响到全局的发展，所以提高安全性是必要的。

信息是一种资源，而信息安全主要包括信息的完整性、可用性、保密性和可靠性。完整性是指确保信息完整，不能丢失。当用户将数据传输到云端，要确保数据永久存在，这样才可以让广大的使用者产生信任，吸引更多的使用者。可用性是指数据传输成功后，当用户再次使用，应确保数据仍旧可以被使用。保密性是指信息不能被泄露和修改。最后一个可靠性是指这个平台无论是本身存储方面，还是后期的管理方面，都要确保万无一失。这样才能使“云服务”更加广泛、放心地被使用。

4 “云服务”信息安全保护措施

4.1 加强技术保护

技术能力的提高是信息安全保护的直接方式。在网络普及的现代，侵权者的手段在不断的提高，过去保护的方法已经被破解，为了信息的安全存储，技术方面的提高迫在眉睫。在各方面迅速发展的情况下，研究新型的技术，培养高技术人才是网络信息安全保护的重大任务。

4.2 加强监管能力

这里的监管包括软件自身的监管，行政监管和本身使用规范的监管三方面。件自身的监管就是要增强软件自身防恶意侵袭和对软件时刻监管的能力，只有这个能力增强了，软件自身的可靠性也就大大的提高了。行政监管就是网络安全部门要制定相关的制度，必须明确使用者权限以及越权的相关惩罚。本身使用的监管就是使用者本身要有自我约束能力。

4.3 增强加密系统

设置加密系统，首先要设定用户权限。具体表现为；为不同用户设置不同的使用权限，当非本人操作时，就会发出报警和自动加锁。其次要对数据进行加密，当用户申请访问数据时，就会有相应的解密，如果解密成功，就可以访问。反之，就会发出报警。当然，针对时间长久遗忘了相关加密信息的使用者，也应该有相关的验证，然后重新获取。

4.4 增加相关保护法则

近年来，国家越来越致力于大数据的应用，那么越来越多的重要信息被传入到“云服务”。这些数据都是至关重要的，应该添加重要的法则加以约束。

5 结语

大数据和“云服务”的时代已经到来，各行各业得到了迅速的发展，这给我们带来众多益处的同时也带来了更多的机遇和挑战。我们应该积极的面对，不断地发展，提高使用的安全性，让使用者更加放心的使用，让时代快速发展。

参考文献

[1]李佳倩.大数据时代的信息安全问题[J].信息安全导论论文，2015.

篇5

遵循“务实求新”的传统，永达电子潜心研制，大胆创新，积极实践，凭借多年积累的安全管理理论研究基础，形成了以“安全管理与控制平台”为核心的一系列技术成果，并将这些成果产业化，成功地投入到国家重大信息安全等级保护工程建设中。

秉承“卓越创新”的理念，公司获得多项技术专利并成功应用于政府、交通、通信、金融等领域。本着“多元协作”的价值观，公司与国内外众多IT厂商、科研院校广泛合作，分别与IBM、HP建立了“Linux联合实验室”和“IA-64J技术应用研发中心”，主动与各界分享信息安全领域的先进技术和成功经验。

公司获得的资质有：国家信息安全服务二级资质；涉及国家秘密的计算机信息系统集成甲级资质；ISO9001：2008质量管理体系认证、深圳市重点软件企业；计算机信息系统集成二级资质、商用密码产品定点生产与销售单位。

公司获得荣誉有：四川省科技进步二等奖、国家火炬计划项目证书、国家重点新产品证书、奥运政务网络和信息安全优秀服务企业、铁道科技奖励证书、知识产权优势企业、国家“863”立项支持单位。

永达安全管理与控制平台是永达SOC安全体系中的核心，是信息安全的数据中心和分析决策中枢，汇聚并分析信息系统中安全事件，制定并分发安全策略，实现信息系统安全风险集中管理、监控。

篇6

以一种域名系统命名的DNS服务器系统以及在浏览器中输入域名调出，通过浏览器进行远程II管理的WWW服务器配置，可以在任何服务器或者工作站打开浏览器，和FTP服务器配置作为计算机网络的服务器配置的一般分类，从信息安全技术角度来看，以信息安全病毒或者黑客入侵技术等特点作为分析对象，建立服务器安全配置预防机制，首先对服务器自身的安全性进行自主强化。首先加强改版操作系统安全管理软件，做到可以应用服务包来预先防范已知的网络安全漏洞，修复安全补丁。逐步完善计算机操作系统的服务功能，保护登入帐号的安全，删除不经常使用的软件，保证服务器内置的洁净。并且在服务器安全设置能够高效运行的前提下，寻求最高的计算机安全级别，用以强化服务器操作系统。

二、FTP服务器的安全配置

本地用户和组是以管理本地智能网络模块的一项管理工具，存在和运行于Windows的计算机当中，因此在Windows的安全策略中占据重要地位。通过服务器可以控制单独使用的FTP站点，可以确认用户账号安全，控制网络中有不安全性的匿名访问以及IP地址限制。在密码设置时要确认第二到第六个为止中一个或一个以上的符合或字符，并且保证至少七位字符的长度，用以加强密码的安全设置。在主目录的界面上，可以设置出有关于FTP站点的主目录和权限，再通过目录安全性的选项中，如果IP地址方式出现限制用户访问的情况，应该默认FTP服务器中全部IP地址的访问权限。

三、制度Window服务器安全策略

首先需要将远程桌面窗口的默认端口修改，对系统管理员的默认账户进行重命名，同时取消正在网络连接中的文件和页面，停用打印共享，关闭guest用户使用权限。如果出现防护墙高级设置窗口，应该勾选出W服务和安全Web服务。并且还要注意开放短信的发送平台端口，设置开启Windows的防护墙。其次，禁止Printspooler打印服务、Wirelessconfiguration无线服务以及在局域网和广域网环境中为各个企业提供路由器服务的RoutingandRemoteAcces以及远程注册表等无关服务。并且在打开注册表时，禁止IPC空连接，删除默认共享，新建AutoShareServer把值修改为0。在用户权利分配下，通过网络访问计算机时删除权限，启用不可启动的匿名访问账号和共享。点击“开始菜单”在“管理工具”选项中选择本地安全策略，如果在设置审核登陆过程中，在事件查看器里的安全日志记录登陆失败的信息。在服务管理器的管理界面中，从“站点名称”中点击“属性”项目，需要对计算机日志的高级属性进行设置，扩充记录属性界面，保存日志地址。通过“目录安全性”选项，可记录FTP行为日志，以便惊醒计算机系统的分析和管理。以此同时，记录每一个用户的FTP行为日志，在各个FTP站点启用日志访问选项。通过以上的对计算机信息化安全技术的分析和操作，我们确定从传统的计算机安全理念发展到具备可信化为重心的计算机安全，在硬件平台上引入安全芯片。例如TCP的访问控制、TCP安全操作系统的安全应用。

四、结语

篇7

关键词:教学与服务;信息安全;病毒攻击;ips;防火墙

随着全国信息化的高速发展，教学与服务区域建设的速度也是一日千里，教学与服务区域的建设已经不是传统意义上的上网查阅资料、收发邮件等日常的学习和办公。可以说教学与服务区域设的好坏直接关系到学校的教学质量、管理水平、学生和老师的校园生活是否丰富与便捷。丰富的应用服务管理平台(包括:教务系统、迎新和离校系统，财务交费系统，办公自动化系统、人事管理系统等)为广大师生提供一站式的查询、注册、信息等服务。庞大的门户网站管理平台是学校对外的窗口。校园一卡通应用系统为广大师生提供方便快捷高效的安全身份认证和校园网消费，并且在庞大的一卡通数据中做到深度开发，在深度的数据挖掘中做到对广大师生经常性出现的时间点和场所作出数据分析，提交给相关的学校部门利用数据的支持提高相关的教学与服务质量。但是在如此庞大的体系里有太多的服务应用系统，有太多的应用数据，所以教学与服务区网络安全就成了网络管理人员的头等大事。

一、高校教学与服务区域现状

在2000年左右的各地高校开始注重校园网的建设也是传统教育改革的转折点，在校园网建设初期主要是以互联互通为主，以网络信息中心为中心点实现校园内部的全面互联。通常会采用网络标准的三层结构，即接入层，汇聚层和核心层，虽然三层架构在维护和管理上是方便和清晰的，但是由于接入层的单点之间是靠广播来通讯的，所以在同一广播域内是必然会出现像ARP病毒，蠕虫病毒等攻击的出现。当校园发展到今天的阶段，很多高校也可能由于整体规划的问题，资金的问题等等，还是犯着亡羊补牢的毛病，缺乏未雨绸缪的统一完整的教学与服务区安全解决方案。校园网教学与服务区为广大师生提供了方便快捷高效的学习和生活环境，是因为其具有共享性、开放性和互联性，正是这些特点校园网服务器区域也成为了众矢之地，黑客的非法入侵、对外开放端口的恶意扫描，局域网病毒的泛洪，恶意插件的隐蔽安装等等都会对服务器集群起到非常大的影响，甚至导致瘫痪。更加值得关注的是，据统计校园网80%的网络威胁是校园内部发起的。所以在校园网服务区域前面如何建设一面牢固的、经的住考验的城墙，同时又能为广大师生提供高效、快速、稳定的网络服务，是当今校园网管理者非常头疼也非常棘手的任务。高校教学与服务区作为高校信息化建设的支撑平台，在高校的教学、科研和管理等方面的作用越来越大［1］。而校园教学与服务区的安全问题也口益突出，主要集中在两个方面，一是像一所普通的应用型本科院校，师生上万人，校园教学与服务区域带宽不断面临着挑战，二是网络应用越来越多，网络黑客、木马也越泛滥，作为高等院校办公、教学、科研、交流不可少的手段和服务平台的校园网，它的安全性受到前所未有的关注。为师生员工提供高性能、高安全、高可靠、高智能的校园教学与服务区域网络的建设始终是一个热点［2］。

二、高校教学与服务区域存在的问题

(一)DDOS攻击、木马植入、漏洞攻击等防护问题

DDOS攻击、木马植入、漏洞攻击是黑客最常用的攻击手段。DDOS攻击:是分布式拒绝服务(DDOS:Dis-tributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DOS攻击，从而成倍地提高拒绝服务攻击的威力。木马植入:木马，也称特伊洛木马，英文名称为Trojan。其本身就是为了入侵个人电脑而开发的，藏在电脑中和工作的时候是很隐蔽的来盗取个人信息和账号密码，它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。漏洞攻击:漏洞攻击是指网络黑客利用计算机操作系统的缺陷，编制一些软件，对你的计算机系统进行破坏。在服务器区域前端部署IPS产品，用以防护DDOS攻击、木马植入、漏洞攻击，这样的解决方案已被许多高校所采用，是非常必要的。但是IPS的部署位置的问题一直是大家热议的话题，有许多高校直接部署在学校总出口的下面用于过滤外网攻击，也有学校直接部署在教学与服务区前面。关于部署位置讨论都各有利弊。

(二)“新建会话”控制能力的防护问题

目前黑客对目标系统的攻击，已经由最初的流量攻击，转化为会话攻击。因为“会话”不像流量攻击那样需要大量的“肉机”，是攻击成本最低，见效最快的攻击手段。通常，网络及网络安全设备的并发会话数会比较高，从几百万至几千万不等，但每秒新建会话数则是一个软肋。一般网络及安全产品的每秒新建会话是2－5万。如果有恶意人员对该设备(如防火墙)发出了每秒6万条会话，则该设备就会DOWN机，防火墙后端的网络就会中断!因此教学与服务区的前端必须选择大并发和每秒新建并发较高的产品，用以实现被动的攻击防护。同时，该产品还应具备主动的会话防护能力。可以根据IP、服务、应用等多种方式实现对每秒新建会话的控制能力。

(三)ARP欺骗攻击的防护问题

ARP欺骗攻击是利用了ARP协议的先天性缺陷，通过广播虚假的IP和MAC地址信息，致使同网段主机的ARP表混乱，一旦虚假播报的地址是网关地址，则直接导致本网段失去与外界的连接。教学与服务区做为最为重要的核心区域，一但此区域爆发了ARP病毒，则所有系统的服务均会失去响应，影响是全局性的，破坏力巨大。(注:传统的杀毒软件由于采用“病毒特征库”方式的杀毒机制，因此对新的变种ARP病毒无法有效查杀。)

(四)支持服务器负载均衡的功能问题

教学与服务区的重要服务可能会由多台服务器做支持，因此服务器前端的安全网关应支持服务器的负载均衡功能，可将相关的服务请求，均衡的分布到内部多台服务器来处理。

三、教学与服务区的安全防护解决方案

(一)从业人员的工作职责

在此解决方案中这一条是最重要的，从业人员必须每天检查设备的运行情况及日志情况有无报警信息。从业人员定期更换设备密码。从业人员要及时更新设备的病毒库事件库等。从业人员要多学习和专研最新的攻防技术。只有人思维和理念达到一定水平，我们的设备才会发挥更大的作用。

(二)网络安全联动平台应用

在高校中最近正在大面积的应用网络安全联动平台，该平台是一款软件，其主要的功能是:1.网络安全设备的集中式防护和管理，就是把不同厂家的安全设备不同类型的防护办法，整合到一个平台中经行集中式的管理和应用，发挥每个厂家的不同特点，取长补短。2.网络日志服务与安全设备之间的联动。在联动平台中加入了日志服务器，在日志服务器可以设置我们日常所需的安全阀值，如设备的被问次数，设备的CPU，内存的使用情况，流量的占用情况等，当出现有别于平时稳定情况，网络管理人员会收到通知提醒然后经行认为干预。3.沙盒技术，由于攻击的手段层出不穷，事件库和病毒库的更新只能是在威胁发生之后，所以沙盒技术也是最近几年大家热议的话题，所谓的沙盒技术主要是把异常的流量、会话、访问等镜像到联动平台特殊空间，把流量、会话和访问先做一遍展现，观察会不会是攻击和威胁的变种，如果是果断拒绝，如果未对设备和服务应用构成威胁，那么我们可以把其加入白名单。

(三)解决DDOS攻击、木马植入、漏洞攻击的隐患

在普通中等规模的高校一般都100台以上的服务器。最终形成一个小型的数据中心。由于目前多数DDOS攻击、木马植入、漏洞攻击等攻击是有一定特性的。因此通过IPS的部署解决协议异常和应用攻击是十分有效的。衡量利弊之后建议在教学与服务区前端部署IPS产品，而不是在总出口处部署，很重要的原因是服务器区域即提供内部用户的访问，也接受外部互联网用户的访问。如果将IPS功能移值至总出口安全设备上，则内网多人访问服务器区时，由于流量不经过总出口设备，因此将失去内部用户访问服务器的IPS过滤访问。IPS功能能够实现完整的基于状态的检查，从而极大降低误报率。当设备开启多项应用层数据检测功能时，启用IPS功能不会导致设备性能的明显下降。另外，系统每天通过特征服务器自动更新特征库，保证特征的完整性和正确性。

(四)选择新建会话控制能力强的设备阻止会话攻击

一般网络及安全产品的每秒新建会话是2－5万。如果有恶意人员对该设备(如防火墙)发出了每秒6万条会话，则该设备就会DOWN机，防火墙后端的网络就会中断。因此数据中心的前端必须选择大并发和每秒新建并发较高的产品，用以实现被动的攻击防护，可以通过IP、服务、应用、时间等元素进行灵活的会话和新建会话的控制，避免会话形攻击对网络的冲击。

(五)基于PKI架构体系彻底解决ARP防毒的风险

事实表明，在一些Windows平台上，即使部署杀毒软件或者是静态绑定ARP条目仍然可以被ARP攻击改变。为解决ARP欺骗对网络的破坏选择一款高性能防火墙支持一个专有的协议来认证ARP请求和响应。对于那些很难做静态绑定或者不能做静态绑定的网络环境来说，这是一个最好的解决方案。装有特定ARP客户端的PC会与防火墙设备进行基于身份认证的ARP协议通讯，这就保证每台安装客户端的PC能够获得来自于防火墙设备认证过的设备MAC地址。这个交换使用公钥基础设施(PKI)来确保ARP信息的真实性。该协议执行强大的反伪造和防重放机制，使系统免受各种攻击，包括伪造的ARP包和重放的ARP包。ARP客户端还可以监控PC的可疑二层行为并阻断受感染的PC对同一局域网内的其他PC或网络设备发动ARP攻击。此外，防火墙可以探测客户端是否安装了ARP验证工具并且在客户端安装该工具之前拒绝其访问Internet。这一功能帮助管理员强制部署ARP防护策略。这个协议和工具能够向下兼容传统的ARP协议。因此，如果策略允许，将不会出现跟主流设备厂商的设备和客户端的互操作问题。从而可以彻底解决服务器因ARP欺骗攻击导致的断网事故，确保服务器区提供的服务不会因ARP病毒导致中断!

(六)选择支持负载均衡模块的防火墙

许多高校的教学与服务区有多种重要服务，出于稳定性的考虑或性能方面的要求，需要多台SERVER对这些服务器进行支持，这就要求服务器区的安全产品要具备服务器的负载均衡功能。为节省成本可以考虑带有负载功能的防火墙。该设备具备增值的服务器负载均衡功能，通过配置配load－balance参数可以开启负载均衡功能，即均衡流量到不同的内网服务器上。并可以实时的显示负载均衡服务器状态信息。

参考文献:

〔1〕余凯兰．高校校园网的组网现状［J］．中国科技信息，2015，(2):133－34．

篇8

 

现今信息技术在电力行业中广泛应用，双向互动服务由于大量使用了通信、网络和自动化等新技术，使自身的安全问题变得更加复杂、更加紧迫。信息安全问题显得越来越重要，它不仅威胁到电力系统的安全、稳定、经济和优质运行，而且影响着电力系统信息化建设的实现进程。

 

针对上述情况，本文在双向互动服务平台物理架构的基础上，分析双向互动服务的安全防护需求，并由此提出了一套切实有效的保护方案，对跨区通信进行重点防护，提升整体信息安全防护能力，实现对双向互动服务信息的有力支撑和保障。

 

1 双向互动服务平台物理架构

 

双向互动服务平台的物理架构包括：

 

a.安全架构：终端安全接入平台，公网与DMZ区(隔离区)通过防火墙进行防护，DMZ区(隔离区)与信息外网通过防火墙隔离，信息外网与信息内网通过网络物理隔离装置隔离;专网(电力应用专网VPN)越过DMZ区(隔离区)，通过防火墙接入，实现与信息外网通讯，信息外网与信息内网通过安全接入网关实现安全接入。

 

b.内外互动：所有应用部署分信息内网部署和信息外网部署，移动作业、控制类的涉及敏感数据的互动服务部署在信息内网，普通互动服务部署在信息外网。

 

c.通信方式：电力专网(包括电力应用专网VPN)、互联网(家庭宽带)、2G/3G/4G无线公网无线专网(VPN)、电力载波(PLC)、RS485、Zigbee、RFID、其它无线等。

 

2 双向互动服务安全防护需求分析

 

从网络边界安全防护、网络环境安全防护、主站和终端设备的主机安全防护、业务应用系统安全防护等四个方面提出双向互动服务的安全防护需求。

 

(1)网络边界安全防护需求

 

双向互动服务需要对信息数据的流入流出建设相应的边界安全防范措施(如防火墙系统)和数据的入侵检测系统。由于双向互动服务平台中属于企业信息网络的管理大区，同生产大区之间应该实现逻辑隔离，但管理大区和生产大区之间要相互交换数据，所以在网络大区之间应建设安全隔离与信息交换设备，如隔离网闸。

 

(2)网络环境安全防护需求

 

需要针对双向互动服务的整个网络环境建立完整的网络环境安全防护手段。网络环境安全防护需要对系统中的组网方式、网络设备以及经过网络传输的业务信息流进行安全控制措施设计。

 

针对黑客入侵的威胁，需要增加入侵检测系统，以防止黑客的威胁和及时发现入侵;需要对病毒及恶意代码的威胁建立相应的安全措施。

 

(3)主站和终端设备主机安全防护需求

 

需要对操作系统和数据库的漏洞增加相应的安全防范措施，对主站和终端设备提供防窃、防破坏、用电安全的措施。为满足数据终端存储和系统访问控制、终端设备网络安全认证、数据加解密等安全需求，可使用安全认证芯片所提供的密码服务功能，保障主站与终端设备的安全。

 

(4)业务应用安全防护需求

 

业务应用系统安全防护需求应从使用安全和数据安全两个层面进行描述。

 

1)系统使用安全需求。该项需求包括管理规章、系统备份、密码管理、测试及运行、操作记录等方面安全需求。

 

2)系统数据安全需求。该项需求包括系统数据、用户身份数据、传输数据、交易数据、终端数据等安全需求。

 

3 双向互动服务安全防护方案

 

双向互动服务安全防护方案应该基于上述物理架构，从边界防护、网络安全防护、主机安全防护、应用与数据安全防护等四个方面进行设计，具体如下所示：

 

(1)边界防护。1)横向网络边界：横向域间边界安全防护是针对各安全域间的通信数据流传输所制定的安全防护措施，各系统跨安全域进行数据交换时应当采取适当的安全防护措施以保证所交换数据的安全。2)纵向网络边界：信息内网纵向上下级单位边界，此外，如果平级单位间有信息传输，也按照此类边界进行安全防护。3)第三方网络边界：信息内网第三方边界指信息内网与其他第三方网络连接所形成的网络边界，在双向互动服务中指通过公网信道(GPRS、 CDMA)接入信息内网的网络边界。

 

(2)网络安全防护。网络安全防护面向企业的整体支撑性网络，以及为各安全域提供网络支撑平台的网络环境设施，网络环境具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施。

 

(3)主机安全防护。双向互动服务的主机安全防护主要包括系统服务器及用户计算机终端的安全防护。服务器主要包括数据库服务器、应用服务器、网络服务器、WEB服务器、文件与通信服务器、接口服务器等。计算机终端包括各地市供电公司远程工作站、省级公司工作站的台式机与笔记本计算机等。

 

(4)应用数据安全防护。应用安全防护包括对于主站应用系统本身的防护，用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施，保证应用系统自身的安全性，以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。

 

4 结论

 

用户是电力系统服务的最终对象，随着智能电网的发展，对于用户侧信息互动平台的研究越来越多。传统的信息安全防护技术已经不能满足电力系统的安全需求，面对用户侧双向互动功能安全防护的问题，本文阐述了双向互动服务平台物理架构，分析了双向互动服务的安全防护需求，并由此提供了一套可靠的解决方案，为双向互动服务信息安全提供了有力支撑和保障。