前言：中文期刊網精心挑選了網絡安全建設解決方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全建設解決方案范文1

【關鍵詞】信息系統；安全建設；防護體系

1.企業信息系統安全防護的價值

隨著企業信息化水平的提高，企業對于IT系統的依賴性也越來越高。一方面，“業務系統流程化”正在成為IT安全建設的驅動力。企業的新業務應用正在逐漸標準化和流程化，各種應用系統如ERP、MES為企業的生產效率的提高起到了關鍵的作用。有效的管控IT環境，確保IT業務系統的持續穩定運行作為企業競爭力的一部分，已成為IT系統安全防護的主要目標和關鍵驅動力。另一方面，企業IT安全的建設也是“法規遵從”的需要。IT系統作為企業財務應用系統的重要支撐，必須提供可靠的運行保障和數據正確性保證。

2.企業信息系統安全建設的現狀分析

在企業信息化建設的過程中，業務系統的建設一直是關注的重點，但是IT業務系統的安全保障方面，往往成為整個信息化最薄弱的環節，尤其是在信息化水平還較低的情況下，IT系統的安全建設缺乏統一的策略作為指導。歸結起來，企業在IT系統安全建設的過程中，存在以下幾方面的不足：

2.1 安全危機意識不足，制度和規范不健全

盡管知道IT安全事故后果比較嚴重，但是企業的高層領導心中仍然存在著僥幸心理，更多的時候把IT安全建設的預算挪用到其他的領域。企業在信息安全制度及信息安全緊急事件響應流程等方面缺乏完整的制度和規范保證，由此帶來的后果是諸如對網絡的任意使用，導致公司的機密文檔被擴散。同時在發生網絡安全問題的時候，也因為缺乏預先設置的各種應急防護措施，導致安全風險得不到有效控制。

2.2 應用系統和安全建設相分離，忽視數據安全存儲建設

在企業IT應用系統的建設時期，由于所屬的建設職能部門的不同，或者是因為投資預算的限制，導致在應用系統建設階段并沒有充分考慮到安全防護的需要，為后續的應用系統受到攻擊癱瘓埋下了隱患。數據安全的威脅表現在核心數據的丟失；各種自然災難、IT系統故障，也對數據安全帶來了巨大沖擊。遺憾的是很多企業在數據的安全存儲方面，并沒有意識到同城異地災難備份或遠程災難備份的重要性。

2.3 缺乏整體的安全防護體系，“簡單疊加、七國八制”

對于信息安全系統的建設，“頭痛醫頭、腳痛醫腳”的現象比較普遍。大多數企業仍然停留在出現一個安全事故后再去解決一個安全隱患的階段，缺乏對信息安全的全盤考慮和統一規劃，這樣的后果就是網絡上的設備五花八門，設備方案之間各自為戰，缺乏相互關聯，從而導致了多種問題。

3.企業信息系統安全建設規劃的原則

企業的信息化安全建設的目標是要保證業務系統的正常運轉從而為企業帶來價值，在設計高水平的安全防護體系時應該遵循以下幾個原則：

（1）統一規劃設計。信息安全建設，需要遵循“統一規劃、統一標準、統一設計、統一建設”的原則；應用系統的建設要和信息安全的防護要求統一考慮。

（2）架構先進，突出防護重點。要采用先進的架構，選擇成熟的主流產品和符合技術發展趨勢的產品；明確信息安全建設的重點，重點保護基礎網絡安全及關鍵應用系統的安全，對不同的安全威脅進行有針對性的方案建設。

（3）技術和管理并重，注重系統間的協同防護?！叭旨夹g，七分管理”，合理劃分技術和管理的界面，從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合協同防范。

（4）統一安全管理，考慮合規性要求。建設集中的安全管理平臺，統一處理各種安全事件，實現安全預警和及時響應；基于安全管理平臺，輸出各種合規性要求的報告，為企業的信息安全策略制定提供參考。

（5）高可靠、可擴展的建設原則。這是任何網絡安全建設的必備要求，是業務連續性的需要，是滿足企業發展擴容的需要。

4.企業信息系統安全建設的部署建議

以ISO27001等企業信息安全法規[1]遵從的原則為基礎，通過分析企業信息安全面臨的風險和前期的部署實踐，建立企業信息安全建設模型，如圖1所示。

圖1 企業信息系統安全建設模型

基于上述企業信息安全建設模型，在建設終端安全、網絡安全、應用安全、數據安全、統一安全管理和滿足法規遵從的全面安全防護體系時，需要重點關注以下幾個方面的部署建議：

4.1 實施終端安全，關注完整的用戶行為關聯分析

在企業關注的安全事件中，信息泄漏是屬于危害比較嚴重的行為。現階段由于企業對網絡的管控不嚴，員工可以通過很多方式實現信息外泄，常見的方式有通過桌面終端的存儲介質進行拷貝或是通過QQ/MSN等聊天工具將文件進行上傳等。針對這些高危的行為，企業在建設信息安全防護體系的時候，單純的進行桌面安全控制或者internet上網行為控制都不能完全杜絕這種行為。而在統一規劃實施的安全防護體系中，系統從用戶接入的那一時刻開始，就對用戶的桌面行為進行監控，同時配合internet上網行為審計設備，對該員工的上網行為進行監控和審計，真正做到從員工接入網絡開始的各種操作行為及上網行為都在嚴密的監控之中，提升企業的防護水平。

4.2 建設綜合的VPN接入平臺

無論是IPSec、L2TP，還是SSL VPN，都是企業在VPN建設過程中必然會遇到的需求。當前階段，總部與分支節點的接入方式有廣域網專線接入和通過internet接入兩種。使用VPN進行加密數據傳輸是通用的選擇。對于部分移動用戶接入，也可以考慮部署SSL VPN的接入方式[2]，在這種情況下，如何做好將多種VPN類型客戶的認證方式統一是需要重點考慮的問題。而統一接入認證的方式，如采用USBKEY等，甚至在設備采購時就可以預先要求設備商使用一臺設備同時支持這些需求。這將給管理員的日常維護帶來極大的方便，從而提升企業整體的VPN接入水平。

4.3 優化安全域的隔離和控制，實現L2～L7層的安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理的安全域劃分將是關鍵。按照安全域的劃分原則，企業網絡包括內部園區網絡、Internet邊界、DMZ、數據中心、廣域網分支、網管中心等組成部分，各安全域之間的相互隔離和訪問策略是防止安全風險的重要環節。在多樣化安全域劃分的基礎上，深入分析各安全域內的業務單元，根據企業持續性運行的高低優先級以及面臨風險的嚴重程度，設定合適的域內安全防護策略及安全域之間的訪問控制策略，實現有針對性的安全防護。例如，選擇FW+IPS等設備進行深層次的安全防護，或者提供防垃圾郵件、Web訪問控制等解決方案進行應對，真正實現L2～L7層的安全防護。

4.4 強調網絡和安全方案之間的耦合聯動，實現網絡安全由被動防御到主動防御的轉變

統一規劃的技術方案，可以做到方案之間的有效關聯，實現設備之間的安全聯動。在實際部署過程中，在接入用戶側部署端點準入解決方案，實現客戶端點安全接入網絡。同時啟動安全聯動的特性，一旦安全設備檢測到內部網用戶正在對網絡的服務器進行攻擊，可以實現對攻擊者接入位置的有效定位，并采取類似關閉接入交換機端口的動作響應，真正實現從被動防御向主動防御的轉變。

4.5 實現統一的安全管理，體現對整個網安全事件的“可視、可控和可管”

統一建設的安全防護系統，還有一個最為重要的優勢，就是能實現對全網安全設備及安全事件的統一管理。面對各種安全設備發出來的大量的安全日志，單純靠管理員的人工操作是無能為力的，而不同廠商之間的安全日志可能還存在較大的差異，難以實現對全網安全事件的統一分析和報警管理。因此在規劃之初，就需要考慮到各種安全設備之間的日志格式的統一化，需要考慮設定相關安全策略以實現對日志的歸并分析并最終輸出各種合規性的報表，只有這樣才能做到對全網安全事件的統一可視、安全設備的統一批量配置下發，以及整網安全設備的防控策略的統一管理，最終實現安全運行中心管控平臺的建設。[3]

4.6 關注數據存儲安全，強調本地數據保護和遠程災難備份相結合

在整體數據安全防護策略中，可以采用本地數據保護和遠程災備相結合的方式?；贑DP的數據連續保護技術可以很好地解決數據本地安全防護的問題，與磁帶庫相比，它具有很多的技術優勢。在數據庫的配合下，通過連續數據快照功能實現了對重要數據的連續數據保護，用戶可以選擇在出現災難后恢復到前面保存過的任何時間點的狀態，同時支持對“漸變式災難”的保護和恢復。在建設異地的災備中心時，可以考慮從數據級災備和應用級災備兩個層面進行。生產中心和異地災備中心的網絡連接方式可以靈活選擇，即可采用光纖直連，也可采用足夠帶寬的IP網絡連接。在數據同步方式選擇上，生產中心和災備中心采用基于磁盤陣列的異步復制技術，實現數據的異地災備。異地災備中心還可以有選擇地部署部分關鍵應用服務器，以提供對關鍵業務的應用級接管能力，從而實現對數據安全的有效防護。

5.結束語

企業信息安全防護體系的建設是一個長期的持續的工作，不是一蹴而就的，就像現階段的信息安全威脅也在不斷的發展和更新，針對這些信息安全威脅的防護手段也需要逐步的更新并應用到企業的信息安全建設之中，這種動態的過程將使得企業的信息安全防護更有生命力和主動性，真正為企業的業務永續運行提供保障。

參考文獻

[1]李納.計算機系統安全與計算機網絡安全淺析[J].科技與企業，2013.

[2]李群，周相廣，陳剛.中國石油上游信息系統災難備份技術與實踐[J].信息技術與信息化，2010，06.

網絡安全建設解決方案范文2

隨著教育網基礎建設的逐步完成，其構成的信息化高速公路在學校教學、科研、管理和對外交流等多方面扮演著越來越重要的角色。

楊浦區早在1996年就成立了區教育信息中心，并將其建成了連接各校園網的門戶站點，校際共享的教育教學的資料庫，教育行政部門管理的網絡中心。

全區中小學信息中心網絡實現24小時開通，建立了全區中小學電子郵件系統，通知、提示、文件全部網上運行，加快了信息的傳遞速度，提高了工作效率。分批推進校園網建設，實施“校校通”工程，做到“線路通、資源通、應用通”。

但是，數字化技術的大量應用，也使惡意和非惡意性的侵害和攻擊行為發生的可能性大大提高，如何保障信息系統安全、優良的運行，實行高效、及時的管理?同時維護也成為重點考慮的問題。

楊浦區教育信息系統是教育行業內發展快、基礎架構完善的網絡，承載著整個區的網絡教育以及教職員的研究項目的任務。由于網絡系統比較出名，容易招致黑客的惡意攻擊。

每當攻擊導致網絡出現故障時，學生將無法完成自己的課堂作業，教職人員無法進行自己的研究項目，行政管理人員則無法完成日常的管理任務。攻擊也會給網絡小組造成極大的麻煩，此外，學校還必須投入數十萬元的資金用于恢復網絡。

如何尋求新的解決方案給網絡安全再上一道門。那么，什么樣的門才能實現這個功能呢?防火墻的目標是用于網絡訪問控制，對于黑客使用緩沖區溢出等應用或攻擊OS弱點無能為力。

另外，對于通過郵件傳播的蠕蟲病毒，防火墻也無法阻擋。而且，黑客的攻擊都是利用防火墻允許通過的協議發起的針對主機漏洞的攻擊。IDS只能是被動的報警，有時候還有相當大的漏報和誤報現象發生。

最終，IPS(入侵防護系統)吸引了信息中心同事們的注意。他們發現，IPS不僅具有IDS的預警功能，而且，還可以在報警的同時，截獲惡意的數據包，實現主動防御。

通過對防火墻、IDS以及IPS等安全工具的優劣勢進行比較分析，楊浦區教育信息中心的技術人員都覺得IPS是最佳的選擇，于是，他們決定引進IPS系統。

通過多家公司的產品測試，最后決定購買McAfee的設備。McAfee具有全面的安全產品，如防病毒、病毒網關、入侵防護以及安全風險管理。目前主要是解決網絡安全事情，特別是蠕蟲和非法攻擊。經過嚴格的測試和對比，最后決定選擇McAfee Intrushield 2600。

McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路，做到對網絡入侵攻擊的實時阻斷。提供一對千兆端口和三對百兆快速以太網端口，吞吐量高達600Mb／s，不僅滿足了楊浦區教育信息中心的現有網絡需求，并且為信息中心網絡今后的擴展提供了很大空間。

同時，可以根據楊浦區教育城局域的需求，在McAfee Intrushield2600上針對VLAN和CIDR設定虛擬IPS，以做到更進一步的細致防護，確保整個楊浦區教育城域網網絡的安全。

在安全系統中，將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負載均衡設備Radware LinkProof之間，以做到實時的阻斷整個楊浦區教育城域網內網對外網及外網對內網的入侵攻擊。

一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間，以做到實時的阻斷內部網絡中各學校對信息中心應用服務器群的入侵攻擊，有效的保護信息中心的安全。

MsAfee IntruShield能夠通過先進的簽名檢測、異常檢測以及DoS攻擊檢測來預防各種各樣的攻擊，其先進的功能也使楊浦區教育信息中心的工作人員受益匪淺。自從部署了McAfee IntruShield以后，楊浦區教育城域網被攻擊的次數顯著降低了。

加油IC卡：防毒也“加油”

文　斌

如今80％的病毒通過電子郵件進行傳播，那么加油IC卡系統是如何對整個防病毒系統進行集中管理，如何在網關處就將帶病毒的電子郵件掃除門外?

中國石化加油IC卡系統是中國石化集團公司與銀行合作開展的跨系統、跨地區的特大型IC卡應用項目。

IC卡系統通過以現代支付工具IC卡取代傳統的現金、油票等結算，實現加油款的電子支付和交易數據的自動采集，在各級石油公司和加油站建設零售業務管理信息系統，以高科技的經營管理和服務提高工作效率、降低經營成本，使企業在市場競爭中處于有利的地位。

項目的建設不僅為開展油品電子商務業務奠定基礎，也有利于逐步以加油卡這一現代金融工具替代傳統的現金、油票結算，同時采用銀企合作方式建設通用加油卡系統，也為國有商業銀行開辟了新的業務領域和新的服務市場。由于中國石化加油IC卡系統需要完成各種交易信息的傳送和處理，因此，確保系統的安全可靠至關重要。

全方位保護系統

為了全面實現“中國石化加油Ic卡防病毒管理系統”的目標，最大限度地防范病毒危害，在建立“中國石化加油IC卡防病毒管理系統”時，針對網絡構造和應用環境的實際情況，采用McAfee Active Virus Defense(AVD)和McAfee安全網關解決方案。

建立全方位的、統一完整的加油IC卡防病毒系統，從桌面客戶端、服務器、群件以及網關上進行全方位、多層次的整體防護，并通過McAfee AVD的核心產品ePolicy Orchestrator(ePO)對整個防病毒系統進行集中管理，分級控制，確保保護整個企業網絡遠離各種病毒攻擊。

針對桌面客戶端的防病毒產品VirusScan，VirusScan支持多種操作系統，從而能夠對最廣大的用戶群提供支持，同時集成了一些功能強大的輔助技術，可以自動地保護系統免于崩潰和數據的意外丟失。

針對服務器的防病毒產品NetShield，NetShield支持Novell、Win NT、Win2000S和NetApp等多種操作系統，能夠從一個直觀的控制臺保護整個企業的文件、應用程序和群件服務器，方便地從本地服務器或工作站監測、配置和執行遠程服務。

分別專門針對Lotus Domino和Microsoft Exchange群件環境的防病毒產品GroupShield for Domino和GroupShield for Exchange。

傳統的反病毒產品并不能對專有數據庫內部以及群件環境中使用的通信進行掃 描，但群件服務器級的病毒防護功能對于企業防止病毒的擴散是十分重要的。應用了McAfee高級掃描技術的GroupShield能夠有效防止病毒在信息傳遞過程中發作，在病毒擴散到網絡其他部分時有效地將其查殺。

VirusScan防范多威脅

VirusScan Enterprise 8．Oi使得用戶和管理員能夠從容應對最常見的潛在惡意軟件程序，包括蠕蟲、間諜軟件以及廣告軟件。

VirusScan Enterprise 8．Oi擴展了對新類型惡意代碼的檢測功能，這就意味著它能夠為企業的敏感信息和資產提供更有效、更強大的保護。該產品在初始配置情況下能夠預防約200多種最具危險性的潛在惡意程序，用戶還可以按照計劃在潛在惡意程序安全列表中添加新發現的惡意程序。

網關攔截病毒

電子郵件已經成為計算機病毒傳播的主要媒介，據統計，80％的病毒通過電子郵件進行傳播。

如果能夠在網關處就開始對電子郵件進行掃描，在病毒進入網絡之前就將其截住，從而將對關鍵業務系統可能造成的危害減到最低。

McAfee安全網關全面集成了軟硬件技術的防病毒硬件設備。利用McAfee安全網關，企業用戶能夠對出入網絡的電子郵件、HTTP數據與FTP數據進行掃描以搜尋病毒信號。一旦偵探到病毒信號，能夠將其清除、阻止或隔離該信息或數據。

中國石化加油IC卡系統是中國石化集團公司的重要系統，整個系統的穩定性直接影響著業務的發展。自從利用McAfee構建起全面防病毒系統后，整個系統運行穩定，實現了全方位的病毒防護，確保了整個系統免遭病毒的攻擊和危害，保障了業務的順利發展。

SOC建設劍指金融安全

劉　巖

安全管理已經被業界所認可，那么如何將這些管理上的制度和規范落實，將這些安全管理目標真正用技術手段加以控制?

正如ISO 17799國際標準所強調的，“信息安全是管理的過程，而不能僅僅考慮技術因素。”隨著信息技術的發展，金融領域的科技工作重點已經由網絡建設、數據大集中、安全基礎設施建設，發展到安全管理的階段。

那么如何才能更加體系化、流程化、平臺化的進行信息安全管理系統的建設呢?

從BS7799談起

由英國標準協會(BSI)在1999年首次提出的BS7799安全管理標準，2000年正式成為ISO／IEC 17799，并于2005年發展為最新版本ISO／IEC 27001。

該標準通過11個大類的安全目標和安全控制，構建了信息安全管理系統的框架，為各機構進行信息安全管理工作提供基礎的依據。

七分管理，三分技術，管理和技術在金融領域的安全工作中是密不可分的，管理需要以強大的技術手段作為依托，技術的實施需要以管理目標作為依據。

近年來，國內的各大銀行均在加強安全策略和規范的建設，如人民銀行早在2003年牽頭編制了《銀行和相關金融服務信息安全管理規范》，而交通銀行也正在制定信息安全總體規劃，并制定相應的規范。

國外的同行業機構已經將7799的認證工作確實的落實到具體的安全技術體系之上，例如英國的SmileBank，其網上銀行最早獲得了英國BSI的7799 ISMS認證，并以此認證工作為契機為網銀的客戶提供強有力的安全保障。

如何將安全管理上的目標真正用技術手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環境之下順理成章出現并不斷發展，它是從單一的技術手段向管理過渡的重要里程碑。

四個中心，五個模塊

啟明星辰提出的SOC解決方案，其體系架構如圖1所示，由“四個中心、五個功能模塊”組成：

“四個中心”是漏洞評估中心、事件流量監控中心、綜合分析決策支持與預警中心和響應管理中心；

“五個功能模塊”是策略管理、資產管理、用戶管理、安全知識管理和自身系統維護管理。常用的關鍵系統功能：

脆弱性管理

通過脆弱性管理可以掌握全網各個系統中存在的安全漏洞情況，結合當前安全的安全動態和預警信息，有助于各級安全管理機構及時調整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術手段和安全考核機制可以有效督促各級安全管理機構將安全工作落實。

綜合分析與預警

綜合分析與預警是安全運營中心的核心模塊，依據資產管理和脆弱性管理中心進行綜合的事件協同關聯分析，并基于資產(CIA屬性+價值)進行風險評估分析，按照風險優先級針對各個業務區域和具體事件產生預警，參照網絡安全運行知識管理平臺的信息，并依據安全策略管理平臺的策略驅動響應管理中心進行響應處理。

響應管理

響應管理是根據當前的網絡安全狀態，及時調動有關資源做出響應，降低風險對網絡的負面影響。

網絡安全響應模塊負責根據預定義好的安全策略規則，及時工作指令，調動有關資源做出響應。實現人機接口，通過人工派單方式發送到相應的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。

安全策略管理

網絡安全的整體性要求需要有統一安全策略和基于工作流程的管理。通過為全網安全管理人員提供統一的安全策略，指導各級安全管理機構因地制宜的做好安全策略的部署工作，有利于在全網形成安全防范的合力，提高全網的整體安全防御能力。

同時通過策略和配置管理平臺的建設可以進一步完善整個IP網絡的安全策略體系建設，為指導各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。

安全知識管理

安全信息管理是安全信息的WEB系統，不僅可以充分共享各種安全信息資源，而且也會成為各級網絡安全運行管理機構和技術人員之間進行安全知識和經驗交流的平臺，有助于提高人員的安全技術水平和能力。

實現在安全管理中心WEB門戶提供統一界面以安全WEB的形式最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該信息庫的數據以數據庫的形式存儲及管理，為培養高素質的網絡技術人員提供培訓資源。

SOC架起安全橋梁

SOC是安全管理工作的重要工具之一。機構資產的梳理、防火墻的配置、入侵檢測系統的事件分析、甚至整個信息系統的脆弱性和威脅分析，這些都不能做到整體的安全管理。因為管理者不可能過多的關注某些細節，安全管理需要對整體的安全現狀和態勢進行宏觀地把握，并果斷 有效的傳達旨意，采取措施。所以SOC的首要價值是通過技術的實現手段加強對安全管理的關注。應該關注的問題有：

銜接宏觀與微觀

金融機構的安全建設提出了更多管理層面的問題，需要對多種資源的整合管理更加重視。目前企業的安全運行管理普遍現象是，不同類安全產品分別有其自身的管理控制臺，網絡與主機設備由網管系統管理。特別對于金融行業而言，需要有效地整合各系統，對事件的數據格式、分級進行標準化，從全局上對整個網絡安全事件進行分析。

解決人員依賴性

企業需要解決人力嚴重不足的問題，降低對人員技術水平、經驗以及責任心的依賴，把人員所造成的安全風險降到最低?？紤]到事件優先級判斷與參與人員的技術水平和經驗相關，很難有客觀的分析和判斷，需要建立一套完整的事件采集、統計、判斷和處理機制。

關注業務風險

對于技術型的人員來說，往往采用技術型語言來描述問題。這種情況下，容易與領導和非技術部門人員產生溝通和交流的問題。因此需要將技術型問題上升到管理型的問題，風險數字化，損失數據化。

合規性

BS 7799作為系統的安全管理標準，在國際金融界廣為使用。所謂7分管理、3分技術。管理和技術一直很難整合起來，管理不僅是制度，還需要有一種系統來實現管理的目的。SOC將安全管理需求與安全技術解決方案的整合，將管理和日常技術工作融合在一起。

有效顯示

第一時間發現病毒或者入侵事件源頭和發展趨勢，通過圖形化顯示，直觀了解全網的情況。

SOC能夠把問題顯示出來，能夠量化。每天發現了多少次，解決了多少次，從而了解到網絡安全的真實現狀。

通過監控大屏幕的顯示可以將整個網絡管理的現狀和態勢展示出來，機構領導者可以直觀的在監控中心了解宏觀安全，并指揮各地的安全工作的落實。

例如，交通管理指揮中心人員不需要親自前往各個擁堵的路段，他們只需要通過各種手段采集交通信息作匯總和，統一的指揮調度。安全管理工作也同樣需要這樣的機制進行全局的管控。

有效提煉，實施預警

SOC系統可以從海量的安全事件報警中得出有價值的信息，及時采取報警措施。

有效投資

安全風險是無限的，而安全投資是有限的。應該利用有限的安全投資解決無限的安全風險(安全投資ROI=減少的安全損失／安全投入)。

與安全域劃分相結合

安全域的劃分和賦值是金融行業網絡安全建設的重要環節。啟明星辰的泰合SOC解決方案的另一大特點，也是安全建設非常有價值的功能之一，是可以部署基于安全域的SOC平臺，從而實現多層次可定制的安全域管理，基于域的細粒度風險計算和監控能力，并且以安全域的思想進行風險管理。

安全域作為安全建設的核心，需要長期的管理，SOC是安全域管理監控的有效工具。使用資源管理中的安全域管理的核心功能，可以使安全建設從單純的信息安全工作向業務保障轉換，同時將宏觀的信息安全建設向下落實。

中國的信息安全起步和發展都處于世界前列，特別是在金融領域，2000年以來信息安全的技術和管理層面都已經作了大量的工作。但是行業科技人員和管理者還需要繼續腳踏實地的落實信息安全管理工作，從而切實地為我們的金融客戶提供高可靠、高質量的服務，使金融機構穩步健康地發展。

雙認證護航遠程安全

滿　欣

由于RSA SecurlD認證器上每隔60秒轉換一次6位數的無窮盡無重復口令多么高明的黑客都無法在如此短的時間內猜測出如此復雜的口令。

中國大地財產保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內的10家境內外投資人共同發起設立，總部設在上海，目前全國有15家分公司。

為了建設一個高起點和高標準的信息化系統，大地財險與IBM公司合作，引進國際先進的保險理念和信息技術，初步建立起公司的信息技術基礎平臺。

基于VPN的種種優勢以及最大化保險人的工作效率，大地財險的許多業務資源訪問已經開始通過VPN實現，具備合法身份的工作人員可以利用VPN訪問公司的核心資源。

VPN是把雙刃劍?

大地財險的運營越來越依賴企業的核心力系統和數據，在通過VPN提高工作效率的同時，也看到了潛在的安全風險。

畢竟，VPN所應用的通信隧道，需要通過公共網絡并且必須向各種各樣的用戶打開自己的“網絡之門”。如果是正確的人存取了正確的信息，就等于你找到了一種功能無與倫比的商務工具。但是，當VPN的遠程存取權落入錯誤的掌握之下時，就無疑是一場大災難。

如何為企業的VPN訪問建立一個更加安全的環境，成為大地財險完善VPN服務的一個關鍵因素。

VPN網絡安全認證主要有以下幾種形式：密碼屬于一種最弱的安全形式，密碼公認的優點在于易于部署應用并且費用非常低廉。但是，密碼非常容易被猜中、被竊取或者受到其他的破壞。

雙因素認證必須提供兩種形式的認證內容。這就象是一部銀行的自動取款機(ATM)，用戶既需要知道身份(卡)號碼，還需要擁有認證設備(令牌或者智能卡)。

隨著互聯網交易數量的增長，將數字證書作為一種認證形式變得更加廣泛。數字證書可以幫助識別用戶，因為它要求使用具有唯一性的數字信用證明。

使用智能卡的安全等級最強。這不僅在于使用智能卡得到了雙因素認證保護，而且還因為雙密鑰可以在智能卡上生成并儲存。

生物認證利用的是某個用戶所擁有的唯一生物特征。利用這種技術需要掌握某些生物數據，例如：指紋、視網膜掃描以及聲波紋等等。

最終，大地財險決定采用雙因素認證來保障其VPN網絡的安全登錄。

虛擬專用網絡(VPN)正迅速成為遠程存取應用中最普及的一種方法。通過建立在復雜交織的公共網絡中的一個專用通信隧道，VPN可以使用戶充分利用互聯網的強大功能，不僅大大節省了用戶遠程存取應用的費用，而且還進一步提高了工作效率。

但是，作為個人專用并不一定意味著一個虛擬的個人網絡具備應有的安全性，這是由于VPN經常采用的保護手段僅限于一種門檻偏低的密碼屏障。

大地財險通過對業界知名安全廠商所提供解決方案的對比，最終采用了RSA SecurID和Web Express認證解決方案。

同步令牌雙認證

目前，大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌。RSA SecurID時間同步令牌提供功能強大的雙因素認證，這種技術要求用戶提供他們知道的口令和他們擁有的硬件令牌。

這些令牌被設計成一種易于操作使用并且便于攜帶的小件產品，用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認證形式。

雙因素用戶認證系統能夠代替基本的密碼安全機制，有效抵御非法入侵，使寶貴的網絡資源獲得完善的保護，免受意外造成的破壞及惡意入侵。

RSA SecurID雙因素用戶認證產品的操作，如同使用取款卡一樣簡單方便。用戶只需在進入受保護的網絡前，先行輸入個人識別密碼，以及在RSA SecurlD認證器上每隔60秒轉換一次口令，就能通過認證。

網絡安全建設解決方案范文3

關鍵詞：等級保護分級管理；中小型網絡；安全建設

中圖分類號：TP309文獻標識碼：A文章編號：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部關于等級保護分級管理的要求

如何利用等級保護中分級管理制度，確定不同的系統不同的安全策略，消除內部網向公網傳送的信息可能被他人竊聽或篡改等等安全隱患，對中小網絡而言至關重要。為此，自2010年3月1日起，工業和信息化部了《通信網絡安全防護管理辦法》(以下簡稱《辦法》)開始施行。《辦法》要求通信網絡運行單位應按照各通信網絡單元遭到破壞后可能造成的危害程度，將本單位已正式投入運行的通信網絡單元由低到高分別劃分為一級、二級、三級、四級、五級?！掇k法》要求，通信網絡運行單位應當在通信網絡定級評審通過后三十日內，將通信網絡單元的劃分和定級情況按照有關規定向電信管理機構備案。電信管理機構對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。

二、中小型網絡基本情況與應用特點

中小型計算機網絡主要應用于辦公自動化系統、信息查詢系統、郵件服務、財務、人事、計劃系統等實際工作和WWW應用中。根據中小型計算機網絡的應用特點，需要保證網絡中的數據具有可用性、可靠性、保密性、完整性、安全性等。又由于計算機網絡跨越公共網絡及與Internet網互聯，這就給計算機網絡帶來嚴峻的安全問題，如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。這些安全問題如果得不到解決，那將會給計算機網絡帶來嚴重的安全隱患。所謂可用性是指網絡信息可被授權用戶訪問的特性，即網絡信息服務在需要時，能夠保證授權用戶使用。可靠性是指網絡系統硬件和軟件無故障運行的性能，是網絡系統安全最基本的要求；保密性是指網絡信息不被泄露的特性，保密性是保證信息即使泄露，非授權用戶在有限的時間內也不能識別真正的信息內容；完整性即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，是指網絡信息未經授權不能進行改變的特性，也稱作不可否認性。從技術角度看，網絡安全的內容大體包括四個方面，即：網絡實體安全、軟件安全網絡數據安全和網絡安全管理。由此可見，計算機網絡安全不僅要保護計算機網絡設備安全，還要保護數據安全。因此實施網絡安全保護方案，目的是以保證算機網絡自身的安全。

三、中小型網絡安全解決方案

隨著網絡威脅越來越普遍、破壞性越來越嚴重，網絡入侵者攻擊來源廣泛，形式多樣。通常采用信息收集、探測分析系統的安全弱點和實施攻擊有步驟地進行入侵。如在目標系統安裝木馬程序用來窺探目標，網絡所熟悉的病毒，如紅色代碼、沖擊波，口令蠕蟲等對網絡造成了巨大損失。本文按照安全風險、需求分析結果、安全目標及安全設計原則，為中小型計算機網絡解決網絡安全問題，力求構建一個適合于中小型計算機網絡的安全體系。

（一）外網安全設計

1.防火墻系統：采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。

2.入侵檢測系統：采用入侵檢測設備，作為防火墻的功能互補，提供對監控網段的攻擊的實時報警和積極響應。

3.病毒防護系統：強化病毒防護系統的應用策略和管理策略，增強病毒防護有效性。

4.垃圾郵件過濾系統：過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

（二）內網安全設計

采用訪問控制策略，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。對內部采用：網絡管理軟件系統：使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準，定位網絡流量的基線，及時發現網絡是否出現異常流量并控制帶寬。

具體可采用Juniper的整合式安全設備+三層交換機的配置方案。Juniper的整合式安全設備專為互聯網網絡安全而設，將硬件狀態防火墻、虛擬專用網（IP sec VPN）、入侵防護（IPS）和流量管理等多種安全功能集于一體，可以通過內置的Web UI、命令行界面或中央管理方案進行統一管理。

三層交換機具用于日志審計及監控。根據不同用戶安全級別或者根據不同部門的安全訪問需求，網絡利用三層交換機來劃分虛擬子網（VLAN）。因為三層交換機具有路由功能，在沒有配置路由的情況下，不同虛擬子網間是不能夠互相訪問，同時通過在不同VLAN間做限制來實現不同資源的訪問控制。通過虛擬子網的劃分，既方便局域網絡的互聯，又能夠實現訪問控制。

四、結束語

總之，我們必須不斷強化信息安全觀念，加強網絡與信息系統安全保障工作的檢查和監督，充分利用《通信網絡安全防護管理辦法》關于安全等級劃分的要求制定具體的信息安全防護策略，全面落實各項制度、預案，加強技術積累，定期進行網絡漏洞掃描等安全有效措施，切實加強網絡與信息系統安全保障工作，確保中小型網絡信息系統的安全穩定運行。

參考文獻：

網絡安全建設解決方案范文4

關鍵詞：網絡安全；異常檢測；方案

網絡安全事件異常檢測問題方案，基于網絡安全事件流中頻繁情節發展的研究之上。定義網絡安全異常事件檢測模式，提出網絡頻繁密度概念，針對網絡安全異常事件模式的間隔限制，利用事件流中滑動窗口設計算法，對網絡安全事件流中異常檢測進行探討。但是，由于在網絡協議設計上對安全問題的忽視以及在管理和使用上的不健全，使網絡安全受到嚴重威脅。本文通過針對網絡安全事件流中異常檢測流的特點的探討分析，對此加以系統化的論述并找出合理經濟的解決方案。

1、建立信息安全體系統一管理網絡安全

在綜合考慮各種網絡安全技術的基礎上，網絡安全事件流中異常檢測在未來網絡安全建設中應該采用統一管理系統進行安全防護。直接采用網絡連接記錄中的基本屬性，將基于時間的統計特征屬性考慮在內，這樣可以提高系統的檢測精度。

1.1網絡安全帳號口令管理安全系統建設

終端安全管理系統擴容，擴大其管理的范圍同時考慮網絡系統擴容。完善網絡審計系統、安全管理系統、網絡設備、安全設備、主機和應用系統的部署，采用高新技術流程來實現。采用信息化技術管理需要帳號口令，有效地實現一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統一管理系統，對所有帳號口令進行統一管理，做到職能化、合理化、科學化。

信息安全建設成功結束后，全網安全基本達到規定的標準，各種安全產品充分發揮作用，安全管理也到位和正規化。此時進行安全管理建設，主要完善系統體系架構圖編輯，加強系統平臺建設和專業安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權管理、審計管理，本階段可以考慮成立安全管理部門，聘請專門的安全服務顧問，建立信息安全管理體系，建立PDCA機制，按照專業化的要求進行安全管理通過系統的認證。

邊界安全和網絡安全建設主要考慮安全域劃分和加強安全邊界防護措施，重點考慮Internet外網出口安全問題和各節點對內部流量的集中管控。因此，加強各個局端出口安全防護，并且在各個節點位置部署入侵檢測系統，加強對內部流量的檢測。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全管理等。

1.2綜合考慮和解決各種邊界安全技術問題

隨著網絡病毒攻擊越來越朝著混合性發展的趨勢，在網絡安全建設中采用統一管理系統進行邊界防護，考慮到性價比和防護效果的最大化要求，統一網絡管理系統是最適合的選擇。在各分支節點交換和部署統一網絡管理系統，考慮到以后各節點將實現INITERNET出口的統一，要充分考慮分支節點的internet出口的深度安全防御。采用了UTM統一網絡管理系統，可以實現對內部流量訪問業務系統的流量進行集中的管控，包括進行訪問控制、內容過濾等。

網絡入侵檢測問題通過部署UTM產品可以實現靜態的深度過濾和防護，保證內部用戶和系統的安全。但是安全威脅是動態變化的，因此采用深度檢測和防御還不能最大化安全效果，為此建議采用入侵檢測系統對通過UTM的流量進行動態的檢測，實時發現其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監控，通過入侵檢測系統管理平臺將入侵檢測系統產生的事件進行有效的呈現，從而提高安全維護人員的預警能力。

1.3防護IPS入侵進行internet出口位置的整合

防護IPS入侵進行internet出口位置的整合，可以考慮將新增的服務器放置到服務器區域。同時在核心服務器區域邊界位置采用入侵防護系統進行集中的訪問控制和綜合過濾，采用IPS系統可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發生。

在整合后的internet邊界位置放置一臺IPS設備，實現對internet流量的深度檢測和過濾。安全域劃分和系統安全考慮到自身業務系統的特點，為了更好地對各種服務器進行集中防護和監控，將各種業務服務器進行集中管控，并且考慮到未來發展需要，可以將未來需要新增的服務器進行集中放置，這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區域，前期可以將已有業務系統進行集中管理。

2、科學化進行網絡安全事件流中異常檢測方案的探討

網絡安全事件本身也具有不確定性，在正常和異常行為之間應當有一個平滑的過渡。在網絡安全事件檢測中引入模糊集理論，將其與關聯規則算法結合起來，采用模糊化的關聯算法來挖掘網絡行為的特征，從而提高系統的靈活性和檢測精度。異常檢測系統中，在建立正常模式時必須盡可能多得對網絡行為進行全面的描述，其中包含出現頻率高的模式，也包含低頻率的模式。

2.1基于網絡安全事件流中頻繁情節方法分析

針對網絡安全事件流中異常檢測問題，定義網絡安全異常事件模式為頻繁情節，主要基于無折疊出現的頻繁度研究，提出了網絡安全事件流中頻繁情節發現方法，該方法中針對事件流的特點，提出了頻繁度密度概念。針對網絡安全異常事件模式的時間間隔限制，利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點，對算法進行實驗證明網絡時空的復雜性、漏報率符合網絡安全事件流中異常檢測的需求。

傳統的挖掘定量屬性關聯規則算法，將網絡屬性的取值范圍離散成不同的區間，然后將其轉化為“布爾型”關聯規則算法，這樣做會產生明顯的邊界問題，如果正常或異常略微偏離其規定的范圍，系統就會做出錯誤的判斷。在基于網絡安全事件流中頻繁情節方法分析中，建立網絡安全防火墻，在網絡系統的內部和外網之間構建保護屏障。針對事件流的特點，利用事件流中滑動窗口設計算法，采用復合攻擊模式方法，對算法進行科學化的測試。

2.2采用系統連接方式檢測網絡安全基本屬性

在入侵檢測系統中，直接采用網絡連接記錄中的基本屬性，其檢測效果不理想，如果將基于時間的統計特征屬性考慮在內，可以提高系統的檢測精度。網絡安全事件流中異常檢測引入數據化理論，將其與關聯規則算法結合起來，采用設計化的關聯算法來挖掘網絡行為的特征，從而提高系統的靈活性和檢測精度。異常檢測系統中，在建立正常的數據化模式盡可能多得對網絡行為進行全面的描述，其中包含出現頻率高的模式，也包含低頻率的模式。

在網絡安全數據集的分析中，發現大多數屬性值的分布較稀疏，這意味著對于一個特定的定量屬性，其取值可能只包含它的定義域的一個小子集，屬性值分布也趨向于不均勻。這些統計特征屬性大多是定量屬性，傳統的挖掘定量屬性關聯規則的算法是將屬性的取值范圍離散成不同的區間，然后將其轉化為布爾型關聯規則算法，這樣做會產生明顯的邊界問題，如果正?；虍惓Ｂ晕⑵x其規定的范圍，系統就會做出錯誤的判斷。網絡安全事件本身也具有模糊性，在正常和異常行為之間應當有一個平滑的過渡。

另外，不同的攻擊類型產生的日志記錄分布情況也不同，某些攻擊會產生大量的連續記錄，占總記錄數的比例很大，而某些攻擊只產生一些孤立的記錄，占總記錄數的比例很小。針對網絡數據流中屬性值分布，不均勻性和網絡事件發生的概率不同的情況，采用關聯算法將其與數據邏輯結合起來用于檢測系統。實驗結果證明，設計算法的引入不僅可以提高異常檢測的能力，還顯著減少了規則庫中規則的數量，提高了網絡安全事件異常檢測效率。

2.3建立整體的網絡安全感知系統，提高異常檢測的效率

作為網絡安全態勢感知系統的一部分，建立整體的網絡安全感知系統主要基于netflow的異常檢測。為了提高異常檢測的效率，解決傳統流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網絡的netflow數據流采用，基于高位端口信息的分布式異常檢測算法實現大規模網絡異常檢測。

通過網絡數據設計公式推導出高位端口計算結果，最后采集局域網中的數據，通過對比試驗進行驗證。大規模網絡數據流的特點是數據持續到達、速度快、規模宏大。因此，如何在大規模網絡環境下進行檢測網絡異常并為提供預警信息，是目前需要解決的重要問題。結合入侵檢測技術和數據流挖掘技術，提出了一個大規模網絡數據流頻繁模式挖掘和檢測算法，根據“加權歐幾里得”距離進行模式匹配。

實驗結果表明，該算法可以檢測出網絡流量異常。為增強網絡抵御智能攻擊的能力，提出了一種可控可管的網絡智能體模型。該網絡智能體能夠主動識別潛在異常，及時隔離被攻擊節點阻止危害擴散，并報告攻擊特征實現信息共享。綜合網絡選擇原理和危險理論，提出了一種新的網絡智能體訓練方法，使其在網絡中能更有效的識別節點上的攻擊行為。通過分析智能體與對抗模型，表明網絡智能體模型能夠更好的保障網絡安全。

結語：

伴隨著計算機和通信技術的迅速發展，伴隨著網絡用戶需求的不斷增加，計算機網絡的應用越來越廣泛，其規模也越來越龐大。同時，網絡安全事件層出不窮，使得計算機網絡面臨著嚴峻的信息安全形勢的挑戰，傳統的單一的防御設備或者檢測設備已經無法滿足安全需求。網絡安全安全檢測技術能夠綜合各方面的安全因素，從整體上動態反映網絡安全狀況，并對安全狀況的發展趨勢進行預測和預警，為增強網絡安全性提供可靠的參照依據。因此，針對網絡的安全態勢感知研究已經成為目前網絡安全領域的熱點。

參考文獻：

[1]沈敬彥.網絡安全事件流中異常檢測方法[J].重慶師專學報，2000，(4).

網絡安全建設解決方案范文5

為了確保用戶免受病毒侵擾，切實保護網絡信息系統安全，在微軟終止支持Windows XP的危機時刻，國內各大安全廠商已然挑起了這一重擔。

在政府法律與技術的雙重支持下，目前各安全品牌針對的Windows XP的守護產品橫空出世：奇虎360重磅推出安全衛士Windows XP加固版，騰訊及時實施了“扎籬笆計劃”，北京優炫軟件強力部署Windows XP系統安全加固，北信源構建起金甲防線，瑞星推出漏洞監控服務……

對此，一些業界知名人士提出了建議。其中，金山毒霸安全專家李鐵軍建議，用戶可根據自身情況選擇采用USB設備控制、部署殺毒軟件、使用軟件限制等策略，盡可能避免安全風險。北京大學信息科學技術學院副教授陳江也提出了建議：第一，安裝好殺毒、查殺木馬等防病毒軟件，加強外部保護；第二，做好備份工作，Windows XP系統下的一鍵GHOST很容易操作，一旦被攻擊可迅速恢復；第三，適度斷網，潛在危害多源于網絡，斷網即可解決問題。

從國內外大大小小的安全事件中，不難發現，大到發展戰略，小到產品設計，安全廠商的社會責任感，已實實在在體現在企業的具體行動中，并貫穿了企業發展的始終。重視社會責任，對于安全廠商而言，如同重視技術創新一樣重要。

2014年是我國信息安全建設的關鍵一年。2月底，國家網絡安全和信息化領導小組成立。3月初，網絡信息安全首次被寫入政府工作報告。我國首度從國家戰略層面統一領導信息安全建設，戰略部署、組織架構、法律法規、關鍵基礎設施安全、技術產業的發展、攻防能力建設等方面的頂層設計將被進一步加強，網絡與信息安全領域的立法也將得到更高的重視。

網絡安全建設解決方案范文6

【 關鍵詞 】 高校；科研機構；信息安全；對策

Discussion on Scientific Research Institution of Universities in

Information Security Management and Measures

Zhang Jian-hua

(President Office, Beijing University of Aeronautics and Astronautics Beijing 100191)

【 Abstract 】 In the light of the information security management problems of scientific research institution of universities, the measures are put forward to enhance the construction of information security level strategy from management and technology two respects.

【 Keywords 】 universities; scientific research institution; information security; measures

1 引言

隨著信息技術的發展和信息化應用的日趨深入，信息安全建設及其應用正在成為教育科研單位日常教育管理和科研生產不可或缺的一環。高校等科研單位對信息安全管理的認識程度越來越高，研究院等單位的信息系統規模和水平也在不斷攀升，然而隨著高校各系統建設程度的不斷完善，以高校為代表的科研機構的信息安全管理問題也愈加突出。

2 高校科研機構存在的信息安全管理問題

近年來，高校等科研機構逐步認識到信息安全對于自身的重要性，于是不少單位成立了“信息管理部門”來推行統一的管理規范和進行信息安全知識普及，其主要目的是為了從安全技術和管理兩個方面來解決高校中科研機構的信息安全問題，充分提高機構人員的信息安全管理意識和保密工作的能力。當下，雖然有一些高校的科研單位在信息安全和管理建設方面已經取得了長足的進步，但其科研單位內部仍然存在著很多問題。

(1)首先，在以往長期封閉的科研環境影響下，相關科研人員目前依然不具備良好的安全意識，對于信息安全的認識水平不高。同時高校等相關管理部門較容易忽視信息安全在其科研系統中的發展戰略和計劃，這些都間接導致了信息安全管理制度推行力度不夠，實施安全教育的硬性條件有限。其次，由于學科建設和專業水平所限，也使得國內技術過硬的信息安全專業人才供應不足，間接影響了相關單位的人才儲備水平。

(2)當下許多高校等科研單位在信息系統不斷增加的情況下，對以往基礎設施配備水平存在著一定的依賴性，不能夠很好的適應新環境。在信息系統運作業務的安全風險和意識提升上，又缺乏有效性驗證與評估辦法?，F實中的任何信息系統都是一連串復雜的環節，信息安全措施必須滲透到信息系統的每一個部位，其中一些問題的解決方案，需要信息系統的設計人員、測試人員和使用人員都熟知并能夠成為規范來遵守。

(3)不安全因素對于信息系統而言總是存在的，沒有任何一個信息管理方法能提供絕對的保障。因此，高校等科研單位在認識和進行信息系統安全管理教育的時候，應該著重加強基層人員的信息安全管理實踐教育，應讓相關人員充分意識到，雖然信息安全建設并非意在建設一個創收的平臺，但它是一個保障科研成果和提升工作效率的平臺。管理者有必要做出適合科研單位進行教育實施的信息安全教育發展戰略和計劃，充分加強信息安全教育在管理實踐上的投入，嚴格有效地執行相應的安全策略、安全措施和安全管理制度，以最大限度避免使用和管理信息系統時的固有風險。

(4)近年來，我國大型科研單位相繼出現過不同程度的泄密事件，這些事件的直接后果是不僅導致了科研成果的流失，還造成了較大程度的經濟損失和不良的社會影響。雖然各大信息系統工程和信息化程度要求非常高的相關行業，也都出臺了對信息安全技術產品的應用標準和規范，但只有建立一個嚴格的信息安全管理策略，才能全面的保障其安全性。

3 解決高校科研機構存在的信息安全的對策

3.1 技術層面

在技術層面上：高校科研管理系統是以計算機和數據庫通信網絡為基礎的應用管理系統，是一個開放式的互聯網絡系統，與網絡系統連接的任何終端用戶都可以進人和訪問網絡中的資源。作為信息通訊數據平臺，其所受到的安全威脅主要存在于信息通信傳輸、存儲和加工的各個階段。因此在制定技術對策方面就需要制定統一全面的安全策略，同時也注重建設統一認證和授權管理系統，通過硬件接入設備和定制化管理軟件的配合部署，加強網絡層面和應用層面的安全資源整合，形成覆蓋全網的科研信息化安全保障能力，并充分利用自主創新的科研信息化安全技術，不斷增強基礎運行平臺的網絡安全能力，為科研信息化基礎環境和應用系統提供有力的安全保障。

在保障網絡基礎設施和重要應用系統的安全方面，一方面需要構建身份認證管理系統、網絡安全管理平臺、惡意代碼防護系統、安全審計平臺等面向全網用戶的網絡安全基礎設施，實現實時預警、事件分析、決策支持、資源調度等功能；另一方面需要建立起包括安全咨詢、安全規劃、安全檢測、安全培訓等環節在內的安全服務體系，引入除技術體系和管理體系以外的第三方服務支持，實現安全事件的及時發現。

3.2 管理和教育層面

在管理和教育層面上：以企業為參考標度，對高?？蒲袡C構工作人員進行信息安全意識以及管理實踐知識的普及，將信息安全管理理念提到戰略高度來看待。充分遵循信息安全流程制定相應管理制度，除技術保障外，將人員、網絡、環境有關的技術和管理規程的有機集合充分納入其中。充分認識到信息安全管理實踐是保障信息實現有效管理與控制的重要途徑。所在部門應客觀評估實現信息安全管理的需求水平，落實安全的組織和管理人員，明確每個人的角色與職責；制定并開發安全規劃和策略，定期開展培訓和工作會議；實施風險管理制度，制定業務持續性計劃和災難環境下恢復計劃；選擇實施安全措施；保證配置、變更的正確與安全；進行安全審計；保證維護支持；進行監控、檢查、處理安全事件。針對專業人員的培訓和績效需要有效結合目標管理和信息安全管理兩方面來展開。

3.3 管理政策層面

在整個管理策略的制定上：建議采用分級策略，如果高校對于自身科研信息安全風險水平認定為較高，而自身建設能力有限，則可以考慮與相關專業咨詢機構合作，引入專家機制來完成相關工作，提升建設效率。

4 結束語

在國家大力推行科教興國與自主創新發展戰略的今天，信息安全建設對于保障科技創新自有成果，確保自主知識產權的創造價值，都有著極其重要的作用。而如何確保其信息安全能夠實現自主可控的目標，也是以高校為代表的科研機構行使和保障自身合法權益的重要途徑。因此我們必須綜合多方因素，系統考量，盡可能提供全面的、多方位的信息安全建設策略和信息安全管理與教育規范，以切實滿足高校等科研單位對信息安全保障體系的需求，降低科研成果的安全風險，發揮高效的科研效率，保障科研生產的安全順利進行。

參考文獻

[1] 張廣欽．信息管理教程[M]．北京：北京大學出版社，2005.

[2] 徐茂智．信息安全概論[M]．北京：人民郵電出版社，2007.

[3] 彭盛宏.淺析校園網存在的安全隱患及其對策[J].信息安全與技術，2012，(1).