前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全管控措施范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網絡安全管控措施范文第1篇

關鍵詞：內部信息網絡；信息安全；管理

中圖分類號：F270.7 文獻標志碼：A 文章編號：1674-9324（2014）21-0018-02

做好企業(yè)信息安全管控工作，首先要結合所在企業(yè)的實際情況，了解來自內部和外部環(huán)境的主要威脅，抓住工作重點，發(fā)現(xiàn)解決難點問題。下面就信息安全管控的一些重點和難點問題，談一點看法。

一、信息安全管控的重點

我們常說，“信息安全控制三分靠技術、七分靠管理”，尤其是對非IT行業(yè)來說，它首先是信息系統(tǒng)的使用者，其次才是運行和維護者。它的內部信息網絡運行人員，可能僅占到總人數(shù)的1%甚至更低。所以技術措施主要是作為管理人員的手段來發(fā)揮作用，維持信息網絡安全穩(wěn)定運行，最重要的還是明確管理制度、細化安全職責、加強監(jiān)督考核。大部分企業(yè)的內部網絡出口，都裝有防火墻和入侵檢測系統(tǒng)，理論上說一個外界的入侵者想繞過防火墻和入侵檢測系統(tǒng)進入到企業(yè)內部網絡進行非法操作，難度很大。

二、信息安全管控的難點

隨著企業(yè)各項業(yè)務的信息化，其信息資產的價值也在迅速提升，這勢必會吸引一些有目的性的內部或外部威脅，從而帶來信息安全性的下降。信息系統(tǒng)可用性已經不再是信息安全管控的唯一目標，系統(tǒng)數(shù)據(jù)的保密性和完整性也已經成為了信息安全工作的重要內容。在信息網絡運行工作中，這就需要我們關注更廣的范圍，監(jiān)控更多的節(jié)點，進入更多的層面。

同時我們必須認識到，在某些方面，信息安全性的提高是以降低應用的便利性為代價的。例如：一些員工為了避免一系列限制，不使用企業(yè)統(tǒng)一的外網出口，而是自己利用3G上網，雖然有很強的自由性，也能提高訪問速度，但是這樣就打開了一個不經過防火墻和入侵檢測系統(tǒng)的外網接口，一旦外部有影響惡劣的新型病毒爆發(fā)，病毒就可以在信息管理人員做好準備之前入侵內部網絡，造成較大的安全事故。安全性和便利性的這種沖突，需要我們針對網絡和信息系統(tǒng)重要程度，劃分級別，尋找一個兩者之間的平衡，在達到安全標準的前提下，提高應用的便利性。

三、安全管控的實施原則

基于以上理解，在企業(yè)內部信息網絡中進行安全管控措施規(guī)劃、實施時，可以遵循以下原則。

1.整體性原則。從應用系統(tǒng)的視角，分析信息網絡的安全的具體措施。安全措施主要包括各種管理制度以及專業(yè)技術措施等。一個較好的安全措施往往是多種方法適當綜合的應用結果，只有從系統(tǒng)綜合整體的角度去看待、分析，才能選取有效可行的措施，著重加以落實。

2.平衡性原則。對于一個計算機網絡，絕對的安全很難達到，也不一定非要達到不可。應結合企業(yè)實際，對其內部網絡的性能結構進行研究，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后選取急需落實執(zhí)行的規(guī)范和措施，確定當前一個時間段的重點安全策略。

3.一致性原則。一致性原則主要是指網絡安全措施應與整個網絡的生命周期同時存在，制定的安全體系結構必須與網絡的安全需求相一致。實際上，在網絡建設的開始就有前瞻性的考慮到網絡安全問題，比在網絡建設好后再考慮安全措施，不但容易，且花費也小得多。

4.容易性原則。安全制度需要人去遵守，安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。

5.動態(tài)性原則。企業(yè)信息系統(tǒng)的應用范圍將越來越廣闊，隨著網絡規(guī)模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現(xiàn)實的。應該隨著企業(yè)信息化的發(fā)展，不斷完善現(xiàn)有網絡安全體系結構，適時增加或減少應該重點落實的安全措施。

6.多重性原則。任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，采取多項安全措施進行多層防護，各層防護相互補充，當一層保護出現(xiàn)漏洞時，其他層仍可保護信息網絡的安全。

四、安全管控的重點措施

信息安全的保障，還要靠制度細則的執(zhí)行，具體措施的落實。近幾年來，在電力行業(yè)內部，各級單位制定了一系列的安全管理措施，來保障內部信息網絡的安全可靠。

1.“不上網、上網不”，切實避免將的計算機、存儲設備與信息網絡連接，避免在接入外部網絡或互聯(lián)網的計算機設備上存儲、處理、傳遞信息或內部辦公信息。

2.計算機接入信息內網必須嚴格執(zhí)行審批登記制度，使用規(guī)范的計算機名稱，實現(xiàn)IP和MAC綁定。必須納入企業(yè)統(tǒng)一的域安全管理，接受統(tǒng)一的監(jiān)管。

3.執(zhí)行統(tǒng)一的互聯(lián)網出口策略，禁止單位和個人私自設置互聯(lián)網出口。

4.接入企業(yè)信息內網的計算機設備，應嚴禁配置、使用無線上網卡等無線設備，嚴禁通過電話撥號、無線技術等各種方式與互聯(lián)網互聯(lián)。信息內網應避免使用無線網絡組網方式。

5.在計算機的運行使用中，所涉及到的用戶帳戶應執(zhí)行口令強度的要求與定期更換的規(guī)定，采取有效措施監(jiān)控、發(fā)現(xiàn)、并及時修改弱口令，防止被他人利用。應禁止內部員工未經授權侵犯他人通信秘密，擅自利用他人業(yè)務系統(tǒng)權限獲取企業(yè)電子商密信息。

6.應使用企業(yè)集中統(tǒng)一的內外網郵件系統(tǒng)，接受統(tǒng)一的內容審計管理。對于在外部網絡和互聯(lián)網上傳輸?shù)膬热?，也要采用加密壓縮方式進行傳輸。

7.連接內網的傳真、打印、復印一體機，應切斷電話線連接，取消智能存儲功能。應禁止將普通移動存儲介質和掃描儀、打印機等計算機外設在信息內網和外部網絡上交叉使用。

網絡安全管控措施范文第2篇

關鍵詞：地縣一體化；后臺網絡；MAC地址綁定；安全管控

中圖分類號：F270.7 ； ； ； ； ；文獻標識碼：A ； ； ； ； ；文章編號：1007-0079（2014）17-0123-02

調度是智能電網六大環(huán)節(jié)（發(fā)電、輸電、變電、配電、用電和調度）之一，是電網運行的中樞，指導電力系統(tǒng)的整體運行，負責系統(tǒng)內重要操作和事故處理。調度自動化系統(tǒng)作為電網運行控制的基礎，其性能好壞對電網的安全經濟運行起著重要作用。

為滿足國家電網公司“大運行”體系建設的要求，實現(xiàn)調控運行的“標準化、一體化建設，精益化、集約化管理”，合理利用調度自動化系統(tǒng)建設資金，優(yōu)化配置大二次系統(tǒng)運行維護資源和技術資源，近年來許多地區(qū)開展了地縣調控一體化自動化系統(tǒng)建設。地縣調控一體化自動化系統(tǒng)建設的快速推進使計算機網絡成為電網調度機構的主要技術支撐平臺。隨著地區(qū)調度自動化系統(tǒng)后臺網絡覆蓋面快速擴大，系統(tǒng)接入信息點數(shù)量倍增，系統(tǒng)后臺網絡的安全隱患也在逐漸增大。系統(tǒng)網絡應用和功能不斷增加，促使電力生產對調度自動化系統(tǒng)后臺網絡的安全性、穩(wěn)定性、可靠性提出了更高的要求。[1]本研究通過分析地縣調控一體化自動化系統(tǒng)后臺網絡安全現(xiàn)狀，采取相應的技術措施完善交換機配置，并制定配套的設備接入管理措施，為地縣調控一體化自動化系統(tǒng)后臺網絡管理工作提供了一種行之有效的安全管控策略。

一、當前系統(tǒng)網絡安全存在的問題

在地縣調控一體化自動化系統(tǒng)中，后臺網絡作為整個系統(tǒng)的骨架，承擔著傳輸前置實時數(shù)據(jù)以及后臺同步數(shù)據(jù)的重要責任，是實現(xiàn)自動化數(shù)據(jù)采集和系統(tǒng)有序工作的基礎設施，網絡的安全穩(wěn)定是保證地縣一體化系統(tǒng)安全、正確運行的基礎。據(jù)統(tǒng)計，目前地縣調控一體化自動化系統(tǒng)后臺網絡安全工作存在以下幾個問題：第一，調度自動化系統(tǒng)實行地縣調控一體化后，任何一臺存在錯誤配置的服務器或工作站接入后臺網絡都可能引起自動化系統(tǒng)SCADA（數(shù)據(jù)采集與監(jiān)控）服務器消息接收異常，嚴重時甚至會帶來網絡風暴，影響整個一體化系統(tǒng)的運行。由于缺乏規(guī)范的設備接入管理措施，該類故障發(fā)生后故障源難以快速定位，對調控運行人員的監(jiān)控工作帶來影響。第二，調度自動化系統(tǒng)后臺網絡接入信息點的增多，超出了網絡管理員的人工監(jiān)管范圍。許多縣局存在私自從接入層交換機或現(xiàn)有接入點掛接HUB等網絡設備的情況，任意接入或搬移工作站的行為在給系統(tǒng)安全帶來威脅的同時也會導致自動化資產管理混亂。第三，外部人員（如廠家）所攜帶的計算機設備隨意接入后臺網絡，極有可能給電力調度自動化系統(tǒng)帶來病毒、木馬甚至惡意攻擊。[2]第四，地縣調控一體化運行模式實施后，每個地區(qū)分別配備兩臺接入交換機。除地調接入交換機與地縣一體化匯聚交換機置于地調外，其他接入交換機分別布置于備調及各個縣局。當前接入交換機設備未開啟遠程訪問功能，給網絡維護人員的故障排查及處理帶來困難。同時，接入交換機設備未配置任何登陸身份認證機制，交換機配置可輕易被篡改，存在安全隱患。

綜上所述，網絡維護人員急需對地縣調控一體化自動化系統(tǒng)后臺網絡采取一定的整改措施，以實現(xiàn)對網絡中接入的交換機、工作站及服務器等設備的有效管理，確保一體化系統(tǒng)后臺網絡的安全穩(wěn)定運行。

二、制定解決方案及措施

地縣調控一體化調度自動化系統(tǒng)改變了過去地區(qū)、縣局自動化系統(tǒng)分散建設的模式，其網絡運行、維護管理模式也必須與之相適應，做出適當調整。本文提出的地縣調控一體化自動化系統(tǒng)后臺網安全管控策略通過對調度自動化系統(tǒng)后臺網交換機實施一系列的安全措施，同時配合后臺網設備接入相關管理流程的制定，達到對后臺網的安全管控目的，防止電網調度自動化系統(tǒng)后臺網遭受非法設備入侵。

1.主要實施步驟

一是開啟基于口令的SSH遠程訪問功能，設置交換機console口登陸密碼與IP訪問控制表，指定所有接入層交換機只能通過地調指定服務器進行遠程登陸訪問。該措施可有效提升網絡設備的安全性，并縮短網絡故障排查及處理時間。二是通過交換機指令查詢各端口的狀態(tài)信息。根據(jù)圖1所示方法對交換機端口進行歸類，制作《地縣調控一體化后臺網設備接入信息表》。表格主要登記了一體化系統(tǒng)后臺網絡所有接入層交換機各端口的設備連接信息，內容主要包括接入設備的機器名、IP地址、MAC地址、所連端口號、所連交換機名稱等。然后關閉無任何設備連接的閑置端口。三是核查《地縣調控一體化自動化系統(tǒng)后臺網工作站接入信息登記表》的信息與實際情況是否相符，糾正不正確的設備連接，并及時更新信息登記表。四是根據(jù)核查更新后的《地縣調控一體化自動化系統(tǒng)后臺網工作站接入信息登記表》，對有設備接入的非級聯(lián)端口進行端口MAC地址綁定，交換機級聯(lián)端口不做綁定。

2.交換機配置方法

本文提出的后臺網絡安全管控策略的關鍵措施是實施了交換機端口MAC地址綁定技術。以下以思科C3560交換機為例闡述該技術的主要實現(xiàn)方法：[3]

（1）當交換機端口只連接一臺工作站時，可進行如下配置：

Switch#config terminal

Switch（config）#interface 端口號

//輸入配置端口號

Switch（config-if）#switchport port-security mac-address Mac地址//給端口添加安全MAC地址

Switch（config-if）#switchport port-security maximum 1 //限制此端口允許通過的MAC地址為1

Switch（config-if）#switchport port-security violation protect //丟棄違規(guī)訪問設備的數(shù)據(jù)包，不發(fā)警告

（2）當交換機端口通過掛接HUB或其他交換機設備（非接入交換機）連接多臺終端設備時，使用如下配置方法：

Switch#config terminal

Switch（config）#interface 端口號//輸入配置端口號

Switch（config-if）#switchport port-security mac-addressMac地址1 //給端口添加安全MAC地址1

Switch（config-if）#switchport port-security mac-addressMac地址2 //給端口添加安全MAC地址2

Switch（config-if）#switchport port-security mac-addressMac地址N //給端口添加安全MAC地址N

Switch（config-if）#switchport port-security maximum N //限制此端口允許通過的MAC地址數(shù)量為N

Switch（config-if）#switchport port-security violation protect //丟棄違規(guī)訪問設備的數(shù)據(jù)包，不發(fā)警告

三、制定相應的安全管理流程

接入交換機安全配置的完善及端口安全技術的實施是一個可行的局域網管理方法，但在使用該策略時，必須建立配套的管理制度并有效執(zhí)行，這樣才能使該安全策略起到良好的持續(xù)的效果。[4]本文提出的安全管控策略除了實施相關技術措施外，還制定了配套的管理措施：

第一，根據(jù)《地縣調控一體化自動化系統(tǒng)后臺網工作站接入信息登記表》繪制了《溫州地縣調控一體化自動化系統(tǒng)后臺網交換機連接拓撲圖》及各接入層交換機設備連接狀況拓撲圖，為網絡維護與故障排缺工作帶來極大便利。第二，制定《地縣調控一體化后臺網設備接入管理規(guī)程》，規(guī)定當新設備需接入后臺網或老設備需更換接入端口時，必須按要求填寫《地縣調控一體化后臺網設備接入申請表》，地調側網絡管理人員與縣調側維護人員確定設備接入時間后，按照申請表信息對相應交換機進行具體安全配置。當有多臺設備需要接入網絡時須按順序逐臺連接。每接入一臺設備必須檢查地縣調控一體化自動化系統(tǒng)應用及網絡狀態(tài)是否異常，若一切正常再繼續(xù)接入第二臺設備。若系統(tǒng)有異?，F(xiàn)象出現(xiàn)（如其他工作站的網速被明顯拖慢），則立即將該設備斷網，檢查該設備是否存在配置錯誤，錯誤消除后方可接入后臺網，以此實現(xiàn)對接入設備的風險管控。

自動化網絡管理員對交換機實施安全措施的流程如圖2所示。

四、 結語

基于地縣調控一體化調度自動化系統(tǒng)的后臺網安全管控策略目前已實際應用于溫州地縣調控一體化自動化系統(tǒng)的網絡安全管理。該策略的實施有效降低了溫州地區(qū)自動化系統(tǒng)后臺網絡的故障發(fā)生率，提升了網絡運行的穩(wěn)定性，并推進了地縣調控一體化建設管理工作的規(guī)范化。

參考文獻：

[1]葉蕓.淺議電力調度自動化網絡安全與實現(xiàn)[J].科技傳播，2011，

（4）：161-162.

[2]張才俊.交換機端口安全策略在網絡中的應用案例[J].科技資訊，2009，（31）.

[3]汪宇昕.MAC地址與交換機端口的綁定――交換機端口安全配置[J].統(tǒng)計與管理，2009，（10）：28.

網絡安全管控措施范文第3篇

【關鍵詞】現(xiàn)代網絡安全；云安全技術；模式

1云安全技術概述

1.1云安全技術內涵分析

近幾年，由于網絡技術的大面積普及，網絡安全問題成為了社會關注的重點，如何建構系統(tǒng)化的網絡管理模型，需要相關部門結合實際需求提升管控層級的實際水平，并且利用新型管理技術進行管理升級。云安全技術是一種新興技術，是在云計算和云存儲項目發(fā)展起來后產生的技術體系。并且，在經過網絡技術和云計算技術后，云安全技術融合了相關優(yōu)勢，提升整體管理效果和管控需求，確保升級模型和運行維度的最優(yōu)化。在技術運行機制建立過程中，不僅能有效處理網絡計算過程以及未知病毒，也能對不安全行為進行集中判斷，從而建構系統(tǒng)化的升級模型和安全控制規(guī)劃，從根本上升級網絡信息安全要求。在云安全技術實際操作過程中，能實現(xiàn)對數(shù)據(jù)和信息的綜合管理，確保相關管理維度能得到有效傳遞，通過網狀客戶端有效監(jiān)測網絡中相關軟件的實際問題，并且針對具體問題提出有效的改善措施。值得一提的是，能對互聯(lián)網結構中的木馬病毒以及惡性程序軟件進行集中的處理和消除。并且，要對其進行綜合維護和集中管理，確保新信息傳達機制能得到有效處理和綜合控制，利用Server端自行分析和系統(tǒng)化處理。從而有效升級整體控制模型的實際效果，積極建構優(yōu)化客戶端模型。也就是說，在云安全技術應用模型中，要結合互聯(lián)網維度提升整體管理效果，確保相關平臺的有效性。既能監(jiān)測帶有惡意性的軟件，也能有效處理系統(tǒng)中的病毒，確保管理效果和應用模型的最優(yōu)化。云安全技術不再是以往的單機殺毒模式，轉變成為網絡化防毒模式，將傳統(tǒng)被動管理維度轉變?yōu)橹鲃庸芾怼?/p>

1.2云安全技術特征分析

在云安全技術運行過程中，要結合技術模型的基本特征，建立健全完整的管控模型，能實現(xiàn)病毒查殺能力的縱向提高。也就是說，在技術應用體系中，能結合相關管理維度和處理措施，對“云安全”項目進行綜合分析，確保病毒軟件體系的穩(wěn)定性。在云技術應用過程中，需要結合相關技術模型進行綜合分析，并且根據(jù)實際情況進行自身改良。其一，多數(shù)安全廠商會結合市場要求和具體軟件結構，開始改進自己的病毒軟件，以滿足市場。在實際軟件結構應用過程中，其實際的病毒處理能力以及收集能力都會得到有效提升。不僅僅是病毒處理能力，對于一些特殊問題也能建立具有針對性的系統(tǒng)模塊。其二，在軟件升級的過程中，技術人員能對相關參數(shù)進行系統(tǒng)化升級，并且保證其反病毒對抗時間，一定程度上優(yōu)化了實際處理效率，也就是說，在樣本采集后能直接建立有效的處理措施，保證病毒處理效果的最優(yōu)化。其三，在實際技術應用和處理過程中，逐步實現(xiàn)了智能化發(fā)展框架，也能為用戶提供更到位的服務，從根本上減少相關處理機制對于用戶的影響。

1.3云安全技術優(yōu)勢分析

在云安全技術應用過程中，具有一定的軟件處理優(yōu)勢。對于安全廠商來說，只需要借助網絡渠道實現(xiàn)殺毒處理，減少了人力物力投資，不僅能提升工作效率也能有效處理相關問題。對于用戶而說，要在實際管理機制建立過程中，為了不損壞電腦的能源，提升殺毒效率也能實現(xiàn)資源的有效利用，提高病毒查殺能力，減少消耗水平。

2現(xiàn)代網絡安全中應用云安全技術的模式分析

在網絡安全中應用云安全技術，針對廣大互聯(lián)網用戶，能在提高管理效果的同時，確保管理維度和管理效果的最優(yōu)化。第一種模式，主要集中在國內，一些軟件安全廠商針對實際問題建立并設計了相關軟件，在軟件中能對病毒以及具體問題進行有效處理。面對的對象主要集中在互聯(lián)網用戶，要想實現(xiàn)有效的殺毒操作，就要在用戶的客戶端上安裝相應的軟件，從而對異常情況集中提取并消除，建立針對性的處理報告，根據(jù)用戶需求進行系統(tǒng)漏洞查殺。在這種處理模式中，對于發(fā)現(xiàn)的惡性程序以及木馬病毒要對其特征進行集中收集和上傳，具體軟件就會在服務器上對其展開有效分析和解構，提出相應的解決方案和相關補丁，對病毒和木馬進行集中處理。第二種模式，是一部分科技公司提出的安全云系統(tǒng)，是一種云端客戶端，能保證其安全性，建立在Web信譽服務體系上。在實際應用過程中，病毒特征會以文件的形式保留在互聯(lián)網的云端數(shù)據(jù)庫中，進行集中驗證和校對，利用服務器群對其進行綜合處理，優(yōu)化并行能力的同時，對威脅用戶的病毒展開阻攔操作，從而有效處理，充分發(fā)揮其保護網絡的重要作用。在系統(tǒng)運行過程中，不僅僅能有效感知未知威脅，也能提升客戶的實際體驗。

3結束語

總而言之，在云安全技術應用過程中，要建立健全完善的管理機制和控制模型，確保防御水平的綜合提升，優(yōu)化用戶的實際體驗，實現(xiàn)計算機保護機制的可持續(xù)發(fā)展。

參考文獻

[1]湯永利,李偉杰,于金霞等.基于改進D-S證據(jù)理論的網絡安全態(tài)勢評估方法[J].南京理工大學學報（自然科學版）,2015,34(04):405-411.

[2]劉玉嶺,馮登國,連一峰等.基于時空維度分析的網絡安全態(tài)勢預測方法[J].計算機研究與發(fā)展,2014,51(08):1681-1694.

[3]李賽飛,閆連山,郭偉等.高速鐵路信號系統(tǒng)網絡安全與統(tǒng)一管控[J].西南交通大學學報,2015,26(03):478-484,503.

網絡安全管控措施范文第4篇

關鍵詞：民航空管；計算機；網絡安全

0引言

保障民航空管的信息網絡的安全性，是國家維護網絡信心安全工作的重中之重。但是因為網絡存在一定的開放性，因此很容易受到各種因素的影響與攻擊，導致民航空管的機密性或重要文件與信息被不法分子竊取與泄露。因此我國民航空管要加強對計算機的網絡信息安全的管控與保護。

1民航空管的計算機網絡安全重要性

在“互聯(lián)網+”發(fā)展的新業(yè)態(tài)環(huán)境之下，各行各業(yè)都逐漸開始憑借互聯(lián)網技術來獲取更強的競爭力。而民航空管部門也需要與時代相掛鉤，將信息技術、計算機技術、互聯(lián)網通訊技術融合起來，從而提高民航空管的現(xiàn)代化管理水平以及數(shù)據(jù)處理能力。另一方面，計算機網絡技術為民航空管實現(xiàn)了信息的共享、資源的優(yōu)化配置。但是由于計算機網絡安全問題一直在困擾著民航空管部門，以及網絡環(huán)境的復雜、病毒入侵的手段日益更新，使得民航空管的重要文件與機密信息的安全性得不到確定的保障。如果被黑客入侵，就對國家的民航空管信息造成泄露與丟失，給民航企業(yè)造成嚴重打擊。因此加強對計算機系統(tǒng)的安全管理，是目前民航空管部門迫切解決的問題之一。

2民航空管的計算機網絡安全存在的問題

2.1操作系統(tǒng)不完善

大部分電腦黑客多數(shù)情況會首先從計算機的操作系統(tǒng)下手，如果操作系統(tǒng)存在漏洞，就很容易遭到外網的攻擊，通過植入病毒文件，致使電腦系統(tǒng)癱瘓。而且在網絡環(huán)境中傳輸文件，計算機對安裝程序的執(zhí)行系統(tǒng)也存在缺陷，如果在加載程序中或者是文件傳輸?shù)倪^程中，一旦某一環(huán)節(jié)出現(xiàn)漏洞，就會致使系統(tǒng)整個癱瘓，機密文件被竊取或者丟失。而在調用和創(chuàng)建程序時，如果中間任意環(huán)節(jié)出現(xiàn)問題，將有可能致使通信環(huán)節(jié)遭到監(jiān)控，甚至有可能被破壞。另外電腦黑客也會充分利用民航空管的計算機操作系統(tǒng)后門，以防止安全控制，從而為民航空管的計算機網絡安全造成重大的威脅。

2.2網絡環(huán)境問題

隨著互聯(lián)網的功能越來越復雜，支持的數(shù)據(jù)系統(tǒng)也越來越復雜，從而給民航空管部門的計算機網絡安全管理提出了更高的要求。大多數(shù)的民航空管的計算機網絡信息都需要通過利用電信的網絡基礎設施，并且對重要信息進行遠程的維護與管理。一切工作都是需要借助電信運營商來進行的，因此在這樣網絡環(huán)境中，民航空管的重要信息就很容易遭到篡改與竊取。另外很多民航空管部門在創(chuàng)建計算機網絡安全管理系統(tǒng)時，容易出現(xiàn)重功能輕安全的情況。還有網絡技術人員對于安全防護的意識不強，技術水平較低，也是導致網絡安全問題遲遲得不到解決的重要原因。

3民航空管中計算機網絡安全管理策略

3.1健全計算機網絡安全管理規(guī)章

制度是保障與約束管理行為的根本手段，民航空管部門應該建立健全計算機網絡的安全管理規(guī)范條例，制度措施等，讓安全管理趨于系統(tǒng)化、科學化與合理化。并明確計算機網絡安全系統(tǒng)的建立、維護與管理等目標與要求。建立責任追求制度與獎懲措施，并將制定完善的制度規(guī)章嚴格貫徹落實。

3.2加強計算機網絡的安全監(jiān)管

由于計算機網絡具有較強的變化性與開放性，所以安全監(jiān)管也要將各種影響因素考慮進去。與時俱進，學習與借鑒先進的民航空管的計算機網絡安全監(jiān)管技術與手段，從而將不安全因素排除出去。在日常的安全監(jiān)管中，要充分利用檢查列表、資產信息收集系統(tǒng)等手段來把控計算機網絡的風險性。此外還要加大科研的力量，不斷創(chuàng)新監(jiān)管技術，從而提高計算機對數(shù)據(jù)分析以及安全隱患的排查能力。

4培養(yǎng)專業(yè)化的技術人才

專業(yè)的技術人才是保護民航空管的計算機網絡信息的主力軍。強化引進機制與培訓機制，引進有創(chuàng)新意識、安全技術與有經驗的復合型人才，其次要加強崗前培訓與崗中學習，實行“走出去”與“走進來”，派遣優(yōu)秀技術人員到國外學習先進的技術與安全管理手段；還可以讓國外優(yōu)秀的技術人員到部門進行系統(tǒng)的指導與傳授。此外還要不斷加強計算機網絡技術人員的法律意識、責任意識以及職業(yè)道德素養(yǎng)水平。

5民航空管中的安全管理的技術手段

5.1防病毒技術

防病毒技術主要包括三個方面：預防病毒、檢測病毒與消除病毒。預防病毒技術，主要是指要監(jiān)測計算機系統(tǒng)的運行、保護磁盤以及控制計算機的讀寫、加密技術的執(zhí)行等，旨在防止?jié)撛诓《镜娜肭?。病毒檢測技術能夠有效降低病毒對數(shù)據(jù)的影響程度，加強對病毒的防范與抵制，組織病毒的入侵。病毒檢測技術主要是圍繞病毒的特征、關鍵字以及傳播方式進行分類病毒與檢測病毒。而消除病毒就是在檢測的條件下，運用殺毒技術來對計算機病毒進行消除。而現(xiàn)階段病毒預防技術的最新功能就是將檢測與消除功能完美的融合在一起。不只包括對病毒的自動、準確的識別功能，更能對計算機系統(tǒng)進行殺毒，能夠有效地清除計算機中的病毒。但是對病毒的消除勢必是滯后的，一旦病毒類型更新，消除技術就失去了對病毒的控制能力。

5.2用戶認證技術

對不同級別的用戶給予相對應的授權，也就是用戶信息技術的運用。通過數(shù)字簽名、人臉識別、指紋認證以及身份信息認證等技術手段，成功抵制非法用戶侵犯計算機，竊取文件信息。比如說數(shù)字簽名的用戶認證技術，主要是保障用戶簽名信息的完整性與真實性，并且也包括了認證信息發(fā)送方的身份信息的功能。數(shù)字簽名技術的應用主要是根據(jù)非對稱性的加密算法實現(xiàn)的，也就是指用戶相當于擁有了一對密鑰。數(shù)字簽名的具體過程是：首先由信息發(fā)送方對擬簽名信息采取數(shù)字摘要運算法進行計算，然后將運算出來的摘要信息和上下文信息或者是認證算法等隨機信息進行語法組合之后，利用密鑰進行加密之后繼而可以生成數(shù)字簽名信息。而已被簽名的數(shù)字信息會對會話密鑰進行加密之后一并傳送給對方。信息的接受方收到以后，就會通過會話密鑰對原始信息進行解密并運算，然后與發(fā)送方所得出的摘要信息進行比較，如果相同則信息真實。而對摘要信息引入隨機的信息則是為了提高數(shù)字簽名技術的隨機性。

6防止不法人員入侵檢測技術

防入侵檢測技術又簡稱為IDS，它主要負責對非法與非授權用戶以及授權合法的誤用用戶的權限與行為進行識別，可以檢測到非授權用戶對計算機系統(tǒng)文件、用戶文件與信息、網絡組件中表信息以及計算機資源的篡改與使用?，F(xiàn)在不法入侵檢測技術已經得到廣泛應用，并取得較為顯著的效果。防止不法人員入侵的檢測技術是將異常的檢測與特征檢測相結合，并對其進行全面與系統(tǒng)的檢測，從而防止系統(tǒng)與操作程序存在漏洞。檢測技術不僅對計算機網絡信息系統(tǒng)中的外部入侵有效，更加能對內部入侵起到檢測與防控效果，通過采取警報與攔截等措施，比如說防火墻對存在問題的操作系統(tǒng)的檢測。防入侵檢測方法主要包括以下幾種：

（1）異常檢測。該方法也被叫做是基本行為檢測，是對系統(tǒng)或者用戶非正常操作行為以及計算機資源在非正常情況下使用行為進行檢測。比如說如果用戶使用計算機的時間是早上9點到下午5點，而在晚上用戶對計算機的操作是異常的，則很有可能計算機被非法或非授權用戶入侵了。異常檢測最大的優(yōu)勢在于可以對未知的入侵方法進行檢測，但是由于無法對用戶行為進行全面描述，因此誤檢率很高。

（2）統(tǒng)計異常檢測。該法主要是運用異常檢測器來對主體活動進行觀察，最終刻畫出該主體的行為輪廓，并定時將存儲輪廓與當前輪廓進行合并，通過二者之間的重合度來判斷主體的異常行為。其最大的優(yōu)勢在于可以掌握用戶對計算機的使用習慣，來提高檢測率與實用性。

（3）誤用檢測是通過已知的入侵模式來檢測。誤用檢測可以通過匯總過往的入侵模式來對新入侵者進行匹配，如果正好符合模式庫中的一種，即被檢測出來，入侵模式表明了誤用事件中的條件、特征、關系與排列。

7安全掃描技術

安全掃描技術可以將安全隱患進行深度排查，在為進行入侵動作時，就將危險因子掃描出來，提高計算機網絡信息的安全性，是屬于主動防范的一種安全措施?，F(xiàn)階段我國的計算機網絡信息系統(tǒng)中的安全掃描技術有兩種，一種是檢測計算機網絡，提前設計好腳本文件，對計算機網絡系統(tǒng)攻擊，并發(fā)現(xiàn)其系統(tǒng)漏洞。另一種是計算機的主機對于系統(tǒng)的檢測，檢測對象是計算機系統(tǒng)中是否含有不合理的設置與口令，是否存在與網絡安全法令法規(guī)不相符的內容等。到現(xiàn)在為止，計算機的完全掃描技術已日漸成熟。安全掃描技術主要分為主機形安全掃描器與網絡型安全掃描器。主機型安全掃描器主要對本地的主機進行木馬、病毒、蠕蟲等惡意程序的查殺，還包括口令解密、補丁等功能。網絡型的安全掃描器主要是運用網絡來對主機的安全性進行測試，主要對可能被遠程惡意攻擊的安全隱患、漏洞以及安全脆弱點進行查殺。

8結束語

綜上所述，民航空管部門加大對計算機網絡的安全管理對保障民航安全以及提高國家的綜合實力都有著非常重要的推動作用。民航企業(yè)要積極引進新的計算機病毒查殺技術，結合本國實情，將安全防護手段有效融合在日常的計算機系統(tǒng)的安全管理中。通過建立完善的操作系統(tǒng)、健全病毒檢測、防入侵以及查殺功能等措施，讓病毒無機可乘；保護好民航空管的計算機網絡系統(tǒng)。

參考文獻：

[1]許婷.民航空管中計算機網絡信息安全分析[J].硅谷，2014.

[2]張瑞.民航空管中的計算機網絡安全分析[J].信息通信，2015.

[3]丁亞平.關于民航空管中計算機網絡信息安全探討[J].現(xiàn)代經濟信息，2015.

[4]趙世季.民航空管網絡信息安全對策分析[J].硅谷，2013.

[5]靳紅志，于洋.對確保民航空管網絡信息安全可靠的措施分析[J].電子制作，2013.

[6]蔡明.民航空管網絡與信息安全保障的實踐與思考[J].中國民用航空，2016.

[7]尚杰.民航空管中計算機網絡信息安全分析[J].文摘版:自然科學，2015.

網絡安全管控措施范文第5篇

關鍵詞：生物免疫； 多維網絡安全； 開放式管理框架； 安全聯(lián)動

中圖分類號：TN915.08-34; TP393文獻標識碼：A文章編號：1004-373X(2011)21-0122-03

Research on Security Model of Multi-dimensional Campus Network

SUN Xiao-le， GAO Dong-huai， JIN Hao-jie

(Network Center, Fourth Military Medical University, Xi’an 710032，China)

Abstract：

The basic principle of biological immunology is introduced, which was used in the design of multidimensional campus network security model. Several important clues for constructing a robust network security system by biological immunology system are analyzed. Moreover, the inter-operation and interaction management requirements of network security products (belongs to the network security layer) are analyzed. The related technologies of open system management framework OPSEC are introduced. The implementation of interaction management between network security monitoring system and other security products is studied, such as firewall and IDS. All of these make campus network more secure.

Keywords： biological immunology; multi-dimensional network security; OPSEC; interaction of security

1 校園網絡存在的嚴峻安全問題

隨著網絡應用的深入，校園網所面臨的安全問題也日益嚴峻。當前校園網絡采取的安全防御技術手段主要有部署安全路由器，加強用戶接入認證等等，這些防御手段對防止系統(tǒng)被非法入侵有一定效果，但由于它們是被動方式的防御，針對性和靈活性不強，對未知攻擊的防御效果不明顯，防護措施的有效程度僅在網絡層以下［1］，不能起到很好的整體防御效果。

防火墻和入侵檢測系統(tǒng)在一定程度上能有效彌補被動防御的不足，提供對內、外部攻擊和誤操作的實時保護。但是傳統(tǒng)集中式架構是在網絡的不同網段放置一個或者多個傳感器來搜集信息, 然后將這些信息傳送到控制中心進行處理和分析［2］。這樣的集中處理存在著如控制中心負荷太大、網絡傳輸時延較為嚴重、網絡性能降低等諸多問題，特別是在異構、高速的校園網絡中這些問題就顯得尤為突出。校園網安全面臨著各種挑戰(zhàn)，這也對網絡安全技術提出了更高要求。智能聯(lián)動管理機制、生物神經網絡和免疫原理等在計算機網絡安全領域的融合和使用已成為行業(yè)主要發(fā)展趨勢。本文主要研究怎樣借鑒生物免疫原理和智能聯(lián)動管理機制來構建一個安全可信的網絡計算環(huán)境。

2 生物免疫原理與應用

網絡安全問題與生物免疫問題具有驚人的相似性：二者都要在不斷變化、惡意叢生的外在環(huán)境中維持系統(tǒng)的內在安全［3］。計算機安全系統(tǒng)的構建可以借鑒生物免疫系統(tǒng)多種有效的問題解決機制。

生物免疫系統(tǒng)是生物體長期進化過程中不斷地適應環(huán)境而產生的，它包括天然免疫和獲得性免疫。天然免疫與生俱來，對各種病原體都有一定的防御功能；獲得性免疫主要由自適應免疫系統(tǒng)(由淋巴細胞組成)產生。根據(jù)免疫功能的不同，淋巴細胞可以分為B，T兩種［4］。B細胞通過分泌抗體與抗原相結合，以實現(xiàn)對抗原的清除，T細胞在免疫反應過程中能刺激和抑制B細胞的增殖和分化［5］。對免疫調節(jié)有重要的作用。獲得性免疫系統(tǒng)在“初次響應”抗原之后，免疫系統(tǒng)便使用免疫記憶來記住抗原特征；當再次遇到時會產生“再次響應”，從而迅速、有效地消除病原體［6］。

3 基于免疫原理的多維網絡安全系統(tǒng)的構建

綜上所述，可以看到生物免疫系統(tǒng)是一個復雜的多層系統(tǒng)［7］。尊重生物免疫的多層保護機制、高度分布機制和獨特性等原理，這里為校園網絡設計了三層安全防護技體系：

用戶安全 向用戶提供網絡版的終端殺毒軟件、系統(tǒng)補丁自動更新服務，并且要求用戶設立三級密碼。

接入安全 接入終端根據(jù)不同的物理環(huán)境、業(yè)務要求和保密等級，嚴格執(zhí)行“專機入網，專線連接，專室放置，專盤存儲，專人管理”的“五專”要求，根據(jù)安全級別要求采用IP和MAC綁定、802.1X接入認證，用戶名、計算機、交換機和IP地址“四綁定”以及出口網關控制等管控措施。

網絡安全 在網絡重要區(qū)域部署防火墻、防毒墻、入侵檢測、漏洞掃描、信息審計、防篡改等系統(tǒng)安全防護設施。

用戶安全和接入安全相關措施能在一定程度上防御外網風險，但對于IP/MAC欺騙攻擊或從校園網內部發(fā)起的攻擊沒有很好的防御效果。在校園網的相應安全管控措施中，針對不同級別的校內用戶開放不同權限的服務，對于內網重要服務器和網站指定專人授權管理并定時更換各級管理員賬號密碼；監(jiān)督校內用戶及時升級殺毒軟件、更新病毒庫，打造相對安全的校園網絡環(huán)境；及時升級網絡出口、提高網速，做到主干萬兆、區(qū)域千兆、桌面百兆，盡量降低IP欺騙攻擊中TCP會話劫持的可能性；對于校外用戶的訪問實現(xiàn)端口限制，關閉不必要的端口，部分對外開放校園網絡訪問功能，以降低風險。

網絡安全這一層面需要的是一個綜合的解決方案，木桶原理就形象地說明了這一點。面對層出不窮的網絡安全問題，各種品牌的網絡安全產品應運而生，如防火墻、網絡安全隱患掃描器、系統(tǒng)實時監(jiān)控器、VPN網關、網絡防病毒軟件等。目前單一的網絡安全產品已經遠遠不能滿足網絡安全方面的諸多需要；多個網絡安全產品的簡單堆疊也只是各個單一功能的組合，甚至還可能出現(xiàn)功能方面的相互制約。