前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全加固建設(shè)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全加固建設(shè)范文第1篇

關(guān)鍵詞：等級保護(hù)；網(wǎng)絡(luò)安全；信息安全；安全防范

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經(jīng)濟(jì)的持續(xù)發(fā)展，我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴(yán)重?fù)p失，因此，維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重，加強網(wǎng)絡(luò)信息安全等級保護(hù)建設(shè)刻不容緩。

1 網(wǎng)絡(luò)信息安全等級保護(hù)

信息安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護(hù)體系包括技術(shù)和管理兩大部分，如圖1所示，其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、物理安全五個方面進(jìn)行建設(shè)。

圖1 等級保護(hù)基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。

2） 主機(jī)安全

主機(jī)系統(tǒng)安全是計算機(jī)設(shè)備（包括服務(wù)器、終端/工作站等）在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全；通過部署終端安全管理系統(tǒng)（TSM），準(zhǔn)入認(rèn)證網(wǎng)關(guān)（SACG），以及專業(yè)主機(jī)安全加固服務(wù)，可以實現(xiàn)等級保護(hù)對主機(jī)安全防護(hù)要求。

3） 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護(hù)重點是確保網(wǎng)絡(luò)之間合法訪問，檢測，阻止內(nèi)部，外部惡意攻擊；通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為合法的用戶提供合法網(wǎng)絡(luò)訪問，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。

4） 應(yīng)用安全

應(yīng)用安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運行，包括各種基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等；部署的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密，數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護(hù)，降低數(shù)據(jù)因意外事故，或者丟失給造成危害。

5） 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)；通過對所有信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機(jī)的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)要求安全事件審計報告，制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程。

2 應(yīng)用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護(hù)定級備案、建設(shè)整改和等級測評等工作，某醫(yī)院的核心系統(tǒng)按照等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系，全面保護(hù)醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)，不是對整個系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)；通過安全域劃分，實現(xiàn)對不同系統(tǒng)的差異防護(hù)，并防止安全問題擴(kuò)散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護(hù)需求，因此需要將不同特性的系統(tǒng)進(jìn)行歸類劃分安全域，并明確各域邊界，分別考慮防護(hù)措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示，外網(wǎng)是一個星型的快速以太交換網(wǎng)，核心為一臺高性能三層交換機(jī)，下聯(lián)內(nèi)網(wǎng)核心交換機(jī)，上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機(jī)和DMZ隔離區(qū)，外聯(lián)互聯(lián)網(wǎng)出口路由器，內(nèi)網(wǎng)交換機(jī)向下連接信息點（終端計算機(jī)），外網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)核心交換機(jī)之間采用千兆光纖鏈路，內(nèi)網(wǎng)交換機(jī)采用百兆雙絞線鏈路下聯(lián)終端計算機(jī)，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要，直接影響到等級保護(hù)系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡(luò)安全要求

系統(tǒng)定級為3級，且等級保護(hù)要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇，外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結(jié)構(gòu)安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網(wǎng)絡(luò)設(shè)備防護(hù)（G3） 。

2.2網(wǎng)絡(luò)安全策略

根據(jù)對醫(yī)院外網(wǎng)機(jī)房區(qū)域安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，制定相應(yīng)的網(wǎng)絡(luò)安全策略

1） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略

要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施，監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)，那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

3） 網(wǎng)絡(luò)入侵檢測策略

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護(hù)，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制。

2） 網(wǎng)絡(luò)入侵防護(hù)

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護(hù)級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)，防護(hù)級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為，因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致；在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護(hù)的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機(jī)必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進(jìn)行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致，使用光纖接口；

②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護(hù)，邊界完整性檢查等。

①邊界完整性檢查：在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN，并制定嚴(yán)格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進(jìn)行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進(jìn)行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進(jìn)行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護(hù)：網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進(jìn)行以下的安全加固：開啟樓層接入交換機(jī)的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護(hù)是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護(hù)系統(tǒng)建設(shè)的過程中，應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進(jìn)行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護(hù)技術(shù)建設(shè)方案，希望能夠為用戶的等級保護(hù)建設(shè)提出參考。

參考文獻(xiàn)：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)，2013（33）.

網(wǎng)絡(luò)安全加固建設(shè)范文第2篇

路由器是局域網(wǎng)之中非常重要的一種網(wǎng)絡(luò)設(shè)備，其主要在網(wǎng)絡(luò)層實現(xiàn)子網(wǎng)之間以及內(nèi)外數(shù)據(jù)的轉(zhuǎn)發(fā)，是不同網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換及通信的一個重要通道。當(dāng)前，很多路由器可集成防火墻等安全模塊，對網(wǎng)絡(luò)起到安全加固的作用。所以，路由器往往是病毒入侵的第一道屏障。目前，各大小石油企業(yè)均使用Cisco（思科）路由器及交換機(jī)對該企業(yè)局域網(wǎng)進(jìn)行安全加固，從而在很大程度上提高了石油企業(yè)的網(wǎng)絡(luò)安全以及提高了企業(yè)的生產(chǎn)效益。

【關(guān)鍵詞】Cisco路由器 交換機(jī) 安全加固

由“木桶”原理可以得知，一個木桶可以裝多少水，受到該木桶最短的那塊木板所決定。具體到信息系統(tǒng)的安全也是同樣的道理，整個信息系統(tǒng)的安全程度也受到信息系統(tǒng)之中最薄弱的環(huán)節(jié)所決定，網(wǎng)絡(luò)作為信息系統(tǒng)的主體，其安全需求的重要性是顯而易見的。本文主要對石油企業(yè)Cisco路由器及交換機(jī)安全加固措施進(jìn)行分析，旨在為石油企業(yè)的網(wǎng)絡(luò)安全運行提供一定的參考依據(jù)。

1 概述

目前，很多石油企業(yè)局域網(wǎng)的建設(shè)全部或者部分采用Cisco（“思科”）的路由器與交換機(jī)，究其原因，筆者認(rèn)為，這主要是由于該設(shè)備的功能非常強大，工作性能穩(wěn)定性好，其互聯(lián)網(wǎng)操作系統(tǒng)（IOS）在網(wǎng)絡(luò)安全策略等方面均具有獨特的考慮，使用IOS的安全策略功能，不需要單獨地購置安全管理軟件，就能夠很好地實現(xiàn)絕大部分的安全功能，使得石油企業(yè)局域網(wǎng)運行于較安全的環(huán)境之中。

運用Cisco的路由器與交換機(jī)，構(gòu)筑成為一個典型的基于第三層交換技術(shù)的高性能千兆石油企業(yè)局域網(wǎng)，其具體拓?fù)浣Y(jié)構(gòu)示意圖如圖1所示，以Catalyst-4006作為核心交換機(jī)，5臺Catalyst-2950G構(gòu)成匯聚層，20臺Catalyst-2924與Catalyst-1924構(gòu)成接入層，1臺4500型路由器做邊緣路由器，通過2MDDN線路與CERNET地區(qū)網(wǎng)絡(luò)中心相連接，1臺2511型做遠(yuǎn)程訪問服務(wù)器，作用是提供撥號用戶使用。

應(yīng)用Cisco路由器與交換機(jī)，石油企業(yè)可實現(xiàn)如下幾個方面的網(wǎng)絡(luò)安全策略：路由器安全策略、用戶主機(jī)安全策略、交換機(jī)安全策略、服務(wù)器安全策略以及網(wǎng)絡(luò)訪問安全策略等。

2 Cisco路由器安全加固策略

眾所周知，對于一個網(wǎng)絡(luò)而言，路由器是網(wǎng)絡(luò)的核心部分，其實際配置情況對整個網(wǎng)絡(luò)的正常工作與運行均具有十分重要的意義與價值，在實際過程中，應(yīng)只允許授權(quán)的主機(jī)對路由器進(jìn)行遠(yuǎn)程登錄，而禁止未授權(quán)的主機(jī)進(jìn)行登錄。在路由器的全局配置條件下，設(shè)置標(biāo)準(zhǔn)訪問控制表，且在全部的虛接口上進(jìn)行應(yīng)用，應(yīng)用的方向為in，如此，就能夠很好地保證只有授權(quán)的主機(jī)遠(yuǎn)程登錄路由器且修改其配置，實際過程中，路由器的主要配置為：

access-list 1 permit 202.115.145.66 line vty 04

access-class 1 in

表示僅允許主機(jī)202.115.145.66遠(yuǎn)程登錄至路由器。

3 Cisco交換機(jī)安全加固策略

3.1 Cisco交換機(jī)地址的配置

為了能夠便于管理，可將交換機(jī)配置IP地址。例如可將IP地址進(jìn)行配置，192.168.0.0，就能夠禁止非本企業(yè)的主機(jī)對交換機(jī)進(jìn)行訪問。將企業(yè)內(nèi)全部的交換機(jī)均應(yīng)置于一個虛擬網(wǎng)絡(luò)之中（常見的為VLAN-2）之中，在交換機(jī)之中可進(jìn)行如下配置：

Interface vlan 2

in address 192.168.0.3 255.255.255.0

3.2 配置允許訪問交換機(jī)的主機(jī)

經(jīng)過上述的安全加固策略的實施，Cisco交換機(jī)的訪問被限制于石油企業(yè)內(nèi)部，而且還能夠在石油企業(yè)內(nèi)部網(wǎng)絡(luò)的三層交換機(jī)4006上面，將訪問控制表進(jìn)行配置，將其用于Cisco交換機(jī)的虛擬網(wǎng)絡(luò)之中，應(yīng)用的方向?qū)儆趇n，僅僅允許石油企業(yè)內(nèi)所指定的主機(jī)能夠訪問該交換機(jī)所在的虛擬網(wǎng)絡(luò)，而其他主機(jī)（如其他石油企業(yè)的主機(jī)）不能對該虛擬網(wǎng)絡(luò)進(jìn)行訪問，那么這就阻止了其對本石油企業(yè)Cisco交換機(jī)的訪問，因此也就無法獲取本企業(yè)Cisco交換機(jī)中的任何數(shù)據(jù)。在三層交換機(jī)4006型上進(jìn)行如下的配置：

access-list 10 permit 202.115.145.66

interface vlan 2

in access-group 10 in

經(jīng)過上述安全加固策略的實施，只有IP地址為202.115.145.66的配置能夠訪問本石油企業(yè)局域網(wǎng)網(wǎng)絡(luò)交換機(jī)。

3.3 允許遠(yuǎn)程登錄交換機(jī)主機(jī)的配置

允許訪問交換機(jī)的主機(jī)，應(yīng)該注意對遠(yuǎn)程登錄該交換機(jī)的過程進(jìn)行限制。只允許被授權(quán)的主機(jī)進(jìn)行登錄，從而對相關(guān)的配置參數(shù)加以修改。在交換機(jī)的全局配置條件下，設(shè)置標(biāo)準(zhǔn)的訪問控制表，用于虛擬接口的0～15上面，應(yīng)用的方向為in。交換機(jī)上面的具體配置如下：

access-list 1 permit 202.115.145.66

line vty 0 15

access-class 1 in

如此，僅僅允許主機(jī)202.115.145.66對交換機(jī)進(jìn)行遠(yuǎn)程登錄，從而能夠修改交換機(jī)的具體配置。

4 結(jié)論

綜上所述，本研究主要對Cisco路由器與交換機(jī)在石油企業(yè)網(wǎng)絡(luò)之中的安全策略。若在石油企業(yè)網(wǎng)絡(luò)構(gòu)建過程中，采用本文所提出的網(wǎng)絡(luò)安全解決策略，能夠很好地滿足石油企業(yè)的絕大多數(shù)安全需求，以最大程度地減少網(wǎng)絡(luò)建設(shè)所需的各種費用。

參考文獻(xiàn)

[1]張秀梅.網(wǎng)絡(luò)入侵防御系統(tǒng)的分析與設(shè)計[J].信息與電腦，2009（07）：1-2.

[2]馬麗，袁建生，王雅超.基于行為的入侵防御系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（06）：33-35.

[3]郭翔，謝宇飛，李銳.校園網(wǎng)層次型網(wǎng)絡(luò)安全設(shè)計[J].科技資訊，2010（9）：26.

[4]楊森.淺談思科路由器使用安全對策[J].房地產(chǎn)導(dǎo)刊，2013（7）：371-372.

[5]王均.楊善林.VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J].電腦與信息技術(shù)，2000，（2）.

作者單位

網(wǎng)絡(luò)安全加固建設(shè)范文第3篇

【論文摘要】計算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速。隨著互聯(lián)網(wǎng)上黑客病毒泛溢，網(wǎng)絡(luò)犯罪等威脅日益嚴(yán)重，網(wǎng)絡(luò)安全管理的任務(wù)將會越來越艱巨和復(fù)雜，抓好網(wǎng)絡(luò)安全問題對保障網(wǎng)絡(luò)信息安全至關(guān)重要。因此文章對電子商務(wù)網(wǎng)絡(luò)支付安全問題進(jìn)行探討分析。

0引言

美國等發(fā)達(dá)國家，通過Internet進(jìn)行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，我國的電子商務(wù)雖已初具規(guī)模，但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題。電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的，由于internet是開放性網(wǎng)絡(luò)，建立交易雙方的安全和信任關(guān)系較為困難，因此本文對電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析。

1電子商務(wù)的概念和特點

1）電子商務(wù)的概念：電子商務(wù)（Electronic Commerce）是通過電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營銷、銷售、流通等活動，不僅是指基于因特網(wǎng)上的交易，而且還指利用電子信息技術(shù)實現(xiàn)解決問題、降低成本、增加價值、創(chuàng)造商機(jī)的商務(wù)活動[1]。

2）電子商務(wù)的特點：（1）電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實物流，大量減少了人力物力，降低了成本；而且突破了時間空間的限制，使得交易活動可在任何時間、任何地點進(jìn)行，大大提高了效率。（2）電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場，也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源，提高了中小企業(yè)的競爭能力。（3）電子商務(wù)重新定義了傳統(tǒng)的流通模式，減少了中間環(huán)節(jié)，使得生產(chǎn)者和消費者的直接交易成為可能，從而一定程度上改變了社會經(jīng)濟(jì)的運行方式。（4）電子商務(wù)提供了豐富的信息資源，為社會經(jīng)濟(jì)要素的重新組合提供了更多的可能，這將影響到社會的經(jīng)濟(jì)布局和結(jié)構(gòu)。

2電子商務(wù)安全的技術(shù)體系

1）物理安全。首先根據(jù)國家標(biāo)準(zhǔn)、信息安全等級和資金狀況，制定適合的物理安全要求，并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者，關(guān)鍵的系統(tǒng)資源（包括主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備），通信電路以及物理介質(zhì)（軟/硬磁盤、光盤、IC卡、PC卡等）、應(yīng)有加密、電磁屏蔽等保護(hù)措施，均應(yīng)放在物理上安全的地方。

2）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷（如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等）都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟(jì)損失。

3）商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題，包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴，即要實現(xiàn)電子商務(wù)的保密性、完整性、真實性、不可抵賴性。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實現(xiàn)，加解密技術(shù)保證了交易信息的保密性，也解決了用戶密碼被盜取的問題；數(shù)字簽名是實現(xiàn)對原始報文完整性的鑒別，它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有：在線支付協(xié)議（安全套接層SSL協(xié)議和安全電子交易SET協(xié)議）、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認(rèn)證中心（CA）。

4）系統(tǒng)安全。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對于保護(hù)系統(tǒng)安全，總體思路是：通過安全加固，解決管理方面安全漏洞；然后采用安全技術(shù)設(shè)備，增強其安全防護(hù)能力。

3安全管理過程監(jiān)督

3.1加強全過程的安全管理

1）網(wǎng)絡(luò)規(guī)劃階段，就要加強對信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財力。要根據(jù)狀況實事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實施、降低投資風(fēng)險。2）工程建設(shè)階段，建設(shè)管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設(shè)各個階段工作的重要內(nèi)容，要加強對開發(fā)（實施）人員、版本控制的管理，要加強對開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。3）在運行維護(hù)階段，要注意以下事項：(1)建立有效的安全管理組織架構(gòu)，明確職責(zé)，理順流程，實施高效管理。(2)按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度，加強信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系，建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢，還要定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

3.2建立動態(tài)的閉環(huán)管理流程

網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中，可能發(fā)現(xiàn)新的安全漏洞，因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下，通過安全評估和檢測工具（如漏洞掃描，入侵檢測等）及時了解網(wǎng)絡(luò)存在的安全問題和安全隱患，據(jù)此制定安全建設(shè)規(guī)劃和加固方案，綜合應(yīng)用各種安全防護(hù)產(chǎn)品（如防火墻、身份認(rèn)證等手段），將系統(tǒng)調(diào)整到相對安全的狀態(tài)。并要注意以下兩點：1）對于一個企業(yè)而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案，保證這些系列策略規(guī)范在整個企業(yè)范圍內(nèi)貫徹實施，從而保護(hù)企業(yè)的投資和信息資源安全。2）要制定完善的、符合企業(yè)實際的信息安全策略，就須先對企業(yè)信息網(wǎng)的安全狀況進(jìn)行評估，即對信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評估，讓企業(yè)對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導(dǎo)信息安全的建設(shè)和管理工作。

4結(jié)束語

本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況，安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù)，都是非常先進(jìn)的技術(shù)手段；只要運用得當(dāng)，配合相應(yīng)的安全管理措施，基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全；但不是100％的絕對安全，而是相對安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善，網(wǎng)絡(luò)支付定會越來越安全。

參考文獻(xiàn)

[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算[M].北京：電子工業(yè)出版社，2004.

網(wǎng)絡(luò)安全加固建設(shè)范文第4篇

關(guān)鍵詞：勒索病毒；桌面安全管理系統(tǒng)；網(wǎng)絡(luò)安全

一、事件背景介紹

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規(guī)模爆發(fā)，感染了大量的計算機(jī)，隨后會向計算機(jī)中植入敲詐勒索病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當(dāng)于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，即不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點：WannaCry利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動傳播的特性。WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動傳播的能力，能夠在數(shù)小時內(nèi)感染一個系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內(nèi)存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設(shè)置為隱藏?！坝篮阒{(lán)”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱?！坝篮阒{(lán)”是指NSA泄露的危險漏洞“EternalBlue”。

二、油田現(xiàn)階段網(wǎng)絡(luò)結(jié)構(gòu)分析

油田網(wǎng)絡(luò)屬于小型局域網(wǎng)，能夠?qū)崿F(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。拓?fù)浣Y(jié)構(gòu)采用星型和樹型混合結(jié)構(gòu)。采取這種拓?fù)浣Y(jié)構(gòu)具有傳輸速度快、網(wǎng)絡(luò)構(gòu)形簡單、建網(wǎng)容易、便于控制和管理的優(yōu)點。因此，局內(nèi)基本上所有電腦都在使用文件共享和打印機(jī)共享，必然會開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經(jīng)分析，總結(jié)出以下在平時網(wǎng)絡(luò)使用中可能引發(fā)的網(wǎng)絡(luò)安全問題：1.未能定時更新安全程序。單位所使用的操作系統(tǒng)多數(shù)為Windows操作系統(tǒng)。每隔一段時間微軟都會新的安全更新程序，用來修補系統(tǒng)所存在的安全漏洞。但是，很多人認(rèn)為安裝更新程序耗時長，并且會造成系統(tǒng)運行卡頓，占用內(nèi)存，因此，基本不會主動更新安全程序，甚至?xí)P(guān)閉系統(tǒng)自動更新程序開關(guān)，來阻止系統(tǒng)進(jìn)行安全程序更新。2.未能定時查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網(wǎng)絡(luò)傳播等。由于局內(nèi)采用的是局域網(wǎng)，并且多臺主機(jī)之間實現(xiàn)文件共享，這就容易發(fā)生一臺主機(jī)癱瘓，其余主機(jī)跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點。3.安全意識不強。很多人存在僥幸心理，認(rèn)為病毒的傳播沒有那么快，補丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時候查殺一下，不需要的時候干脆不去理會，這樣的行為就會有很大的安全風(fēng)險，在病毒爆發(fā)的時候，由于沒有及時安裝安全更新程序或者查殺病毒，很容易發(fā)生意想不到的局面。4.沒有定期備份文件的習(xí)慣。由于單位的計算機(jī)主要用于辦公，有很多辦公需要的資料，一次性備份需要花費較長的時間，而且往往沒有如此大內(nèi)存的存儲設(shè)備來備份重要文件，員工多將資料直接存儲于電腦中，即使發(fā)生資料變更也不進(jìn)行備份，這就給資料的安全性帶來了風(fēng)險，一旦計算機(jī)中毒，文件受損，將帶來不可挽回的局面。

三、預(yù)防措施

關(guān)于網(wǎng)絡(luò)安全的管理和預(yù)防，一方面，玉門油田遵從總公司的決定進(jìn)行桌面安全管理系統(tǒng)2.0的部署，另一方面，個人也應(yīng)培養(yǎng)良好的網(wǎng)絡(luò)安全意識，形成良好的網(wǎng)絡(luò)安全預(yù)防習(xí)慣。1.桌面安全管理系統(tǒng)2.0。桌面安全管理系統(tǒng)2.0是桌面安全管理系統(tǒng)1.0的升級版，新建系統(tǒng)加固及管控平臺兩個子系統(tǒng)，替換了原有的防病毒、端點準(zhǔn)入產(chǎn)品，升級和優(yōu)化后臺管理、補丁分發(fā)、電子文檔保護(hù)三個子系統(tǒng)功能，同時對以上子系統(tǒng)在客戶端進(jìn)行了整合。（1）防病毒子系統(tǒng)。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時，構(gòu)建企業(yè)自主控制文件黑白名單能力，實現(xiàn)全網(wǎng)文件樣本的快速發(fā)現(xiàn)和查殺。（2）端點準(zhǔn)入子系統(tǒng)。通過定制端點準(zhǔn)入策略、客戶端和端點準(zhǔn)入設(shè)備有效聯(lián)動，采用旁路部署端點準(zhǔn)入設(shè)備，對桌面計算機(jī)進(jìn)行合規(guī)性檢驗，為各單位提供有效、易用的管理工具和手段，支持修復(fù)頁面跳轉(zhuǎn)和非辦公計算機(jī)例外保護(hù)，如IP電話、服務(wù)器、網(wǎng)絡(luò)設(shè)備等。（3）后臺管理子系統(tǒng)。具有計算機(jī)實名制注冊、軟硬件資產(chǎn)信息收集、策略下發(fā)、用戶行為審計和違規(guī)日志查詢的管理功能。通過系統(tǒng)進(jìn)行基礎(chǔ)安全策略的定制，建立桌面計算機(jī)安全基礎(chǔ)，提供30類擴(kuò)展安全策略，各單位可根據(jù)實際需求進(jìn)行策略定制，深入完善桌面安全管理。（4）文檔保護(hù)子系統(tǒng)。與中國石油USBKey相結(jié)合，為計算機(jī)用戶提供登錄保護(hù)、重要文件處理區(qū)、文件輸出審計、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴(kuò)展文檔加密功能適用范圍，實現(xiàn)電子文檔在創(chuàng)建、存儲、使用、銷毀等過程的安全保護(hù)。（5）補丁分發(fā)子系統(tǒng)。對微軟補丁進(jìn)行人工篩選和測試后，通過補丁分發(fā)子系統(tǒng)實現(xiàn)全網(wǎng)桌面計算機(jī)操作系統(tǒng)安全統(tǒng)一分發(fā)和自動安裝，及時有效的降低操作系統(tǒng)漏洞帶來的安全隱患。此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過“永恒之藍(lán)”這個漏洞傳播，因此給系統(tǒng)打補丁是必須的。（6）系統(tǒng)加固子系統(tǒng)。提供安全基線和底層加固兩個功能模塊，通過統(tǒng)一模板控制、操作系統(tǒng)底層加固，實現(xiàn)集團(tuán)公司安全基線要求在桌面計算機(jī)的強制管控，并且降低操作系統(tǒng)脆弱性帶來的安全風(fēng)險。2.培養(yǎng)個人安全意識。及時更新安全補?。嚎梢栽诠倬W(wǎng)或使用相關(guān)安全軟件進(jìn)行系統(tǒng)安全補丁的更新及安裝，或者選擇自動檢查與安裝。目的就是為了防止病毒利用系統(tǒng)漏洞進(jìn)行二次攻擊。定時查殺病毒：通過殺毒軟件，如360安全衛(wèi)士，定時進(jìn)行病毒查殺與電腦安全診斷與防護(hù)。學(xué)習(xí)網(wǎng)絡(luò)安全知識，培養(yǎng)網(wǎng)絡(luò)安全意識：單位在安全培訓(xùn)中，適當(dāng)加入網(wǎng)絡(luò)安全培訓(xùn)的內(nèi)容，培養(yǎng)員工的網(wǎng)絡(luò)安全意識。定期備份重要文檔資料：及時整理重要的文件資料，并選取適當(dāng)?shù)拇鎯υO(shè)備進(jìn)行備份，或者將資料存放在不聯(lián)網(wǎng)的計算機(jī)中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關(guān)閉445端口等共享文件端口以64位Windows系統(tǒng)為例：在鍵盤上同時按下“WIN+R”后輸入“regedit”圖2運行窗口在注冊表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設(shè)置鍵值為“0”=圖3注冊表編輯器圖4鍵值單擊“確定”即可。（2）關(guān)閉網(wǎng)絡(luò)文件與打印機(jī)共享（3）安裝系統(tǒng)補丁

四、結(jié)論

通過分析整個油田局域網(wǎng)的結(jié)構(gòu)和特點，以及員工日常工作使用電腦的習(xí)慣，總結(jié)出油田局域網(wǎng)所存在的安全隱患，員工安全意識有待提高等相關(guān)問題。及時安裝桌面安全系統(tǒng)2.0，提高網(wǎng)絡(luò)安全意識，養(yǎng)成良好的安全上網(wǎng)習(xí)慣，將有助于整個油田的網(wǎng)絡(luò)安全和安全生產(chǎn)運行。

作者:杜懿珊 單位:玉門油田信息中心

參考文獻(xiàn)

網(wǎng)絡(luò)安全加固建設(shè)范文第5篇

從2010年至今，短短幾年間，工控網(wǎng)絡(luò)安全成了人們關(guān)注的焦點，工業(yè)控制系統(tǒng)成為國家間網(wǎng)絡(luò)空間對抗的主戰(zhàn)場和反恐的新戰(zhàn)場。在工業(yè)轉(zhuǎn)型升級的大潮中，“創(chuàng)新+互聯(lián)網(wǎng)”使得加強工控網(wǎng)絡(luò)安全防范的迫切性日趨凸顯，也催生了企業(yè)對工控網(wǎng)絡(luò)安全防護(hù)的需求。而這一需求也隨著企業(yè)內(nèi)外網(wǎng)絡(luò)應(yīng)用、交互日趨頻繁和深入變得越來越強烈。

基于此，匡恩網(wǎng)絡(luò)在對工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施安全現(xiàn)狀進(jìn)行調(diào)研和技術(shù)產(chǎn)品研發(fā)的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)化、智能化的發(fā)展方向，創(chuàng)新性地提出面向智能工業(yè)體系的一體化大安全理念和“4+1”安全防護(hù)體系（即立體化的工控網(wǎng)絡(luò)安全理念），實現(xiàn)工業(yè)控制系統(tǒng)內(nèi)在安全和體系防護(hù)的有機(jī)統(tǒng)一。

所謂 “4+1”工控安全體系，即結(jié)構(gòu)安全、本體安全、行為安全、基因安全，以及時間持續(xù)性防護(hù)。其中，結(jié)構(gòu)安全和行為安全是工控安全體系的主體，是實現(xiàn)工控系統(tǒng)體系防護(hù)的關(guān)鍵因素，也是匡恩網(wǎng)絡(luò)對工業(yè)控制系統(tǒng)進(jìn)行安全改造和加固的切入點。基因安全和本體安全關(guān)系到工控安全體系的本質(zhì)安全，其根本的解決之道是自主可控。但是，我國工業(yè)控制系統(tǒng)長期以來主要依賴進(jìn)口，在裝系統(tǒng)80%以上是國外設(shè)備，因此針對本體安全性的檢測和補償性防護(hù)措施顯得尤為重要。

結(jié)構(gòu)安全探討的是基礎(chǔ)設(shè)施建設(shè)過程中的網(wǎng)絡(luò)結(jié)構(gòu)，以及區(qū)域、層次的劃分能否滿足安全的要求。工業(yè)企業(yè)可以通過優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，以及采用隔離、過濾、認(rèn)證、加密等技術(shù)，實現(xiàn)合理的安全區(qū)域劃分、安全層級劃分。對新裝系統(tǒng)，應(yīng)實現(xiàn)結(jié)構(gòu)安全同步建設(shè)；對再裝系統(tǒng)，應(yīng)進(jìn)行結(jié)構(gòu)安全改造；對因條件限制無法進(jìn)行改造的，應(yīng)建立安全性補償機(jī)制。

本體安全是指智能設(shè)備自身的安全性。智能設(shè)備在基礎(chǔ)設(shè)施建設(shè)中被廣泛使用，包括感知設(shè)備、網(wǎng)絡(luò)設(shè)備、監(jiān)控設(shè)備等，這些設(shè)備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性，工業(yè)企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進(jìn)行持續(xù)檢測與防護(hù)，檢測工具應(yīng)該標(biāo)準(zhǔn)化、規(guī)范化，并針對行業(yè)應(yīng)用的特點進(jìn)行優(yōu)化。在檢測過程中發(fā)現(xiàn)問題，而又無法實現(xiàn)升級和替換的設(shè)備，應(yīng)采用外掛式補償性措施予以防護(hù)。

行為安全主要包括兩部分：系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患，以及系統(tǒng)外部發(fā)起的行為是否具有安全威脅。工業(yè)企業(yè)的行為安全性防護(hù)首先應(yīng)該具備感知能力，在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢分析平臺，獲取威脅情報；在本地端通過靶場、蜜罐、審計、溯源等技術(shù)，對網(wǎng)絡(luò)流量、文件傳輸、訪問記錄等進(jìn)行綜合分析與數(shù)據(jù)挖掘，從而實現(xiàn)對已知威脅和未知威脅的感知，以及全局安全態(tài)勢和局部安全態(tài)勢的感知。其次，行為安全性防護(hù)應(yīng)具備聯(lián)動和主動防御能力，與其他安全防護(hù)技術(shù)聯(lián)動，根據(jù)行業(yè)特點考慮入侵容忍度，避免誤報，并對行為進(jìn)行審計。

基因安全即CPU、存儲、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下，可采用經(jīng)過基因安全性改造的自主工控系統(tǒng)與設(shè)備，以及經(jīng)過基因安全性加固的進(jìn)口系統(tǒng)與設(shè)備。在條件暫不具備的情況下，應(yīng)采用安全補償機(jī)制，在應(yīng)用層進(jìn)行完整性驗證，使之具有一定的安全免疫能力。