前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全技術(shù)服務(wù)方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

當(dāng)前，隨著生產(chǎn)智能化程度的不斷提高，工業(yè)設(shè)備的深度互聯(lián)和信息基礎(chǔ)設(shè)施的廣泛應(yīng)用，對信息安全提出了更高層的要求，云計算、移動互聯(lián)、大數(shù)據(jù)、工業(yè)控制和物聯(lián)網(wǎng)等新技術(shù)也為工業(yè)領(lǐng)域帶來了新的安全風(fēng)險。從2010年到2015年期間，一系列的安全事件陸續(xù)發(fā)生，2010年震驚世界的Stuxnet病毒爆發(fā)、2011年的“Duqu”病毒、2012年的Flame火焰病毒、2014年蜻蜓組織利用havex惡意程序?qū)W美地區(qū)千余家能源企業(yè)所進(jìn)行的攻擊，以及2015年末的烏克蘭變電站被攻擊事件，都是典型的影響深遠(yuǎn)、波及廣泛、造成經(jīng)濟(jì)損失慘重和社會危害性極高的工控安全事件。

據(jù)美國國家網(wǎng)絡(luò)安全和通信綜合中心（NCCIC）統(tǒng)計，近5年來，公開安全漏洞數(shù)達(dá)1300多個，其中2015年安全漏洞就有486個，呈明顯增長趨勢。《2016工業(yè)控制系統(tǒng)漏洞趨勢報告》顯示，工業(yè)控制系統(tǒng)漏洞正在逐步增多，在2014到2015年之間存在著49%的高速增長。

從國家相關(guān)政策頒布來看，自從工業(yè)和信息化部451號文之后，國內(nèi)各行各業(yè)對工控系統(tǒng)安全的認(rèn)識都達(dá)到了一個新的高度。電力、石化、制造和煙草等多個行業(yè)陸續(xù)制定了相應(yīng)的指導(dǎo)性文件，來同步指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動。由此看來，保障工控系統(tǒng)網(wǎng)絡(luò)的安全性，實現(xiàn)工控安全的國產(chǎn)化應(yīng)用是重中之重。

北京中科網(wǎng)威信息技術(shù)有限公司（以下簡稱中科網(wǎng)威）是國內(nèi)最早從事工控安全研究的企業(yè)之一，在自主可控工控安全方面有著專業(yè)、深入的研究。中科網(wǎng)威認(rèn)為，工控網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全在工控網(wǎng)絡(luò)的延伸，指導(dǎo)工控安全建設(shè)的理念和方法論是相同的，即所謂的“老套路”。但工控系統(tǒng)又有別于傳統(tǒng)的信息系統(tǒng)，具備一定的特殊性，如資產(chǎn)變化小、資產(chǎn)訪問關(guān)系清晰、可靠性要求高、通信協(xié)議安全性差等。隨之也產(chǎn)生了一些新問題，傳統(tǒng)的安全防護(hù)手段是無法在工控現(xiàn)場環(huán)境中直接使用的，例如漏洞掃描、攻擊測試等。這些新的問題只要采用新的方法和手段去解決即可，其整體的理念和方法論與傳統(tǒng)的是相同的。

結(jié)合我國傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展?fàn)顩r，中科網(wǎng)威提出了自主可控的工控安全理念。網(wǎng)絡(luò)安全產(chǎn)品自主化進(jìn)程經(jīng)歷了三個階段：無自主可控階段、半自主可控階段和全自主可控階段。如今我國自主品牌的工控安全產(chǎn)品已經(jīng)完全具備了直接進(jìn)入第三階段的技術(shù)水平，即不但軟件要自主，處理器更要自主。

在愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢背景下， 2013年初，中科網(wǎng)威在與申威處理器深度合作的基礎(chǔ)上，打造了基于申威的自主可控品牌――中科神威，以中科神威的自主可控防火墻為例，它已經(jīng)成功替換了部分以國外x86芯片為技術(shù)核心的傳統(tǒng)防火墻，并率先在黨政軍等行業(yè)的核心、敏感、要害部門有了批量應(yīng)用。

網(wǎng)絡(luò)安全產(chǎn)品采用自主可控的處理器，也就意味著在信息化時代掌握了事關(guān)國家經(jīng)濟(jì)安全的重大技術(shù)話語權(quán)。專注網(wǎng)絡(luò)安全領(lǐng)域多年的中科網(wǎng)威，不僅堅信申威處理器的技術(shù)實力和發(fā)展?jié)摿?，而且敏銳地洞察到自主可控市場潛在的巨大發(fā)展空間，并迅速開展了市場推廣工作。

隨著自主可控網(wǎng)絡(luò)安全行業(yè)的不斷細(xì)分，用戶需要的不僅僅是單一的安全產(chǎn)品，更是整體的解決方案與安全技術(shù)服務(wù)。在這個行業(yè)，如果還是一味的銷售產(chǎn)品，不著眼于理念的革新，那么企業(yè)將越做越難，尤其是在國產(chǎn)化安全產(chǎn)品競爭如此激烈的時代。為了推動自主可控網(wǎng)絡(luò)安全市場的發(fā)展，中科網(wǎng)威正與合作伙伴配合，共同推出自主可控的網(wǎng)絡(luò)安全解決方案，與合作伙伴合作共贏，共同推動中國網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展。

中科網(wǎng)威作為網(wǎng)絡(luò)安全民營企業(yè)，擁有多項工業(yè)控制系統(tǒng)安全產(chǎn)品發(fā)明專利和核心技術(shù)。對于網(wǎng)絡(luò)安全行業(yè)的自主可控應(yīng)用，有著自己的見解和應(yīng)對之道，并在業(yè)內(nèi)率先提出了“芯改變，更安全”的安全理念。正是憑借一系列的突破，中科網(wǎng)威在國內(nèi)自主可控網(wǎng)絡(luò)安全領(lǐng)域中占據(jù)了領(lǐng)跑者的地位。

第2篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

所謂電子政務(wù)就是將機(jī)構(gòu)的管理、服務(wù)職能通過計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)放到網(wǎng)絡(luò)上去完成，解決時間、空間和部門的分割制約，實現(xiàn)工作流程的優(yōu)化。伴隨著智能電網(wǎng)技術(shù)的快速發(fā)展，其承載的管理和服務(wù)任務(wù)日益龐雜，這就對智能電網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全性提出了更高的要求，為此，需處理好共享信息與保密性、開放與隱私保護(hù)、互聯(lián)與局部隔離的關(guān)系，以確保智能電網(wǎng)系統(tǒng)的安全。

二、智能電網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)特點及其面臨的安全問題

智能電網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)一般采用“三網(wǎng)架構(gòu)“，具體包括：內(nèi)部的電子化和網(wǎng)絡(luò)化辦公，之間通過網(wǎng)絡(luò)實現(xiàn)的信息共享和實時通信，通過網(wǎng)絡(luò)與公眾間進(jìn)行的雙向信息交流。智能電網(wǎng)系統(tǒng)選用的軟硬件系統(tǒng)本身存在的安全弱點致使其易受到攻擊，具體包括：1.網(wǎng)絡(luò)硬件設(shè)備如服務(wù)器、網(wǎng)絡(luò)設(shè)備等安全問題；2.操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件系統(tǒng)等操作平臺的弱點和漏洞；3.應(yīng)用軟件系統(tǒng)的脆弱性、網(wǎng)絡(luò)協(xié)議的開放性、系統(tǒng)的相互依賴性，這些問題都給智能電網(wǎng)網(wǎng)絡(luò)安全帶來了隱患。智能電網(wǎng)網(wǎng)絡(luò)系統(tǒng)主要面臨來自內(nèi)部和外部的威脅，機(jī)關(guān)內(nèi)部的主要威脅包括：惡意破壞或越權(quán)訪問、職權(quán)濫用、操作失誤、管理疏漏、軟硬件缺陷及自然災(zāi)害等。Internet外網(wǎng)的主要威脅有：黑客攻擊、病毒、信息間諜及恐怖活動、信息戰(zhàn)等。

三、智能電網(wǎng)網(wǎng)絡(luò)安全目標(biāo)和安全方案設(shè)計原則

為了實現(xiàn)最佳的信息服務(wù)效果，智能電網(wǎng)系統(tǒng)必須使信息的擁有者用最小的風(fēng)險獲得最大的安全利益，并對網(wǎng)絡(luò)實行全面訪問控制。通過對網(wǎng)絡(luò)流量、重要服務(wù)器進(jìn)行全面監(jiān)控，將安全策略、軟硬件結(jié)合起來，形成統(tǒng)一的防御系統(tǒng)，減少安全風(fēng)險。為此，網(wǎng)絡(luò)安全建設(shè)需以實現(xiàn)系統(tǒng)的可用性、完整性、保密性、可記賬性和保障性為目標(biāo)?？捎眯裕罕ＷC智能電網(wǎng)系統(tǒng)正常有效地運(yùn)行，使用戶得到準(zhǔn)確的信息和安全的服務(wù)。完整性：保證數(shù)據(jù)和系統(tǒng)的完整性，杜絕未授權(quán)修改的發(fā)生。保密性：保證信息不暴露給未授權(quán)實體或進(jìn)程，不向非授權(quán)個人或部門泄露信息?？捎涃~性：智能電網(wǎng)系統(tǒng)保證能夠?qū)嶓w的全部行為作出記錄，對出現(xiàn)的安全問題提供依據(jù)與手段，為拒絕否認(rèn)、威懾違規(guī)、檢測和防止入侵及法律訴訟等提供證據(jù)。保障性：在用戶、軟件出現(xiàn)無意差錯或出現(xiàn)惡意入侵或破壞的時候，能夠提供充分的保護(hù)。

同時，在智能電網(wǎng)網(wǎng)絡(luò)系統(tǒng)的設(shè)計與建設(shè)中還需保證：第一，實現(xiàn)智能電網(wǎng)內(nèi)網(wǎng)與外網(wǎng)的安全隔離與訪問控制，保證網(wǎng)絡(luò)的邊界安全。第二，定期進(jìn)行網(wǎng)絡(luò)系統(tǒng)漏洞分析、減少惡意入侵的機(jī)會。第三，利用入侵檢測系統(tǒng)阻止來自外部的攻擊行為，并阻止內(nèi)部的違規(guī)操作行為。第四，控制敏感信息的無序傳播及對不合法站點資源的訪問。

智能電網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全體系建設(shè)要在平衡整體與局部利益，避免重復(fù)建設(shè)，遵循當(dāng)前目標(biāo)和長遠(yuǎn)目標(biāo)相結(jié)合的基礎(chǔ)上，采用“ 統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行。同時，安全方案要服務(wù)于業(yè)務(wù)需求，保證系統(tǒng)具有以下特性：實用性，在充分完成行政機(jī)關(guān)辦公工作的業(yè)務(wù)需求的前提下，避免盲目建設(shè)，盲目追求新技術(shù)。先進(jìn)性，保證采用成熟、先進(jìn)的技術(shù)，系統(tǒng)能夠持續(xù)發(fā)展，系統(tǒng)之間互聯(lián)方便?？煽啃?，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選型、技術(shù)服務(wù)及維修響應(yīng)能力等方面考慮，保證系統(tǒng)的可靠性。⑷擴(kuò)展性，要著眼于當(dāng)前現(xiàn)有的技術(shù)，用最小的代價適應(yīng)網(wǎng)絡(luò)技術(shù)不斷的發(fā)展，使系統(tǒng)規(guī)模擴(kuò)大時不需重新進(jìn)行規(guī)劃與設(shè)計。易用性，保證系統(tǒng)要易于理解、界面簡單實用、功能強(qiáng)大、管理方便簡潔、維護(hù)自動容易。規(guī)范性，系統(tǒng)的各種軟、硬件應(yīng)符合國際、國內(nèi)標(biāo)準(zhǔn)，各子系統(tǒng)要保持業(yè)務(wù)、功能、標(biāo)準(zhǔn)的統(tǒng)一。

四、智能電網(wǎng)網(wǎng)絡(luò)安全技術(shù)措施

為實現(xiàn)網(wǎng)絡(luò)安全，可以根據(jù)ISO七層分層網(wǎng)絡(luò)協(xié)議對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全分層，并采取相應(yīng)的安全措施，具體如下：

（一）物理層安全。該層的安全主要包括環(huán)境安全、設(shè)備安全和線路安全。特別指出的是，由于智能電網(wǎng)網(wǎng)絡(luò)系統(tǒng)各層之間存在著信息資源、服務(wù)對象、數(shù)據(jù)通信等方面的差異，需要把不同保密級別的網(wǎng)絡(luò)隔離開。物理隔離就是讓存有用戶重要數(shù)據(jù)的內(nèi)網(wǎng)和互聯(lián)網(wǎng)從物理上斷開，防止因網(wǎng)絡(luò)互聯(lián)而被攻擊以及泄密事件的發(fā)生。同時，為了保證用戶和互聯(lián)網(wǎng)之間能夠完成信息交換，避免信息聯(lián)系被屏蔽，需要保證兩個網(wǎng)絡(luò)在邏輯上是連通的。

（二）數(shù)據(jù)鏈路層安全。為了防止入侵者在數(shù)據(jù)的傳輸過程中竊聽、非法讀取、惡意修改數(shù)據(jù)，保證數(shù)據(jù)的真實性、機(jī)密性、可靠性和完整性，必須使用數(shù)字簽名及認(rèn)證技術(shù)、加密技術(shù)對網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密處理。另外，可以采用虛擬專用網(wǎng)技術(shù)在公網(wǎng)中建立專用網(wǎng)絡(luò)，保證數(shù)據(jù)在安全的“加密通道”中傳播，以有效解決外部用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源的問題。

（三）網(wǎng)絡(luò)層安全。防火墻技術(shù)：該技術(shù)通過建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，根據(jù)防火墻的訪問控制策略對進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控、分析，進(jìn)而達(dá)到保障網(wǎng)絡(luò)安全的目的。防火墻系統(tǒng)能夠攔截從被保護(hù)網(wǎng)絡(luò)向外傳送的信息，并保護(hù)網(wǎng)絡(luò)資源不受外部的攻擊，管理員根據(jù)安全控制策略建立包過濾的準(zhǔn)則，并對該準(zhǔn)則進(jìn)行修改、增加或刪除。利用防火墻可以實現(xiàn)以下功能：

使用IP與MAC地址綁定功能，保證控制用戶訪問權(quán)限到最低限度，但又不影響用戶的正常訪問；通過防火墻實現(xiàn)對服務(wù)器的全面監(jiān)控，發(fā)現(xiàn)并阻止非法操作；利用防火墻采集網(wǎng)絡(luò)使用率統(tǒng)計數(shù)字和試探的證據(jù)。

（四）系統(tǒng)層安全。該層次的安全問題包括操作系統(tǒng)、數(shù)據(jù)庫及相關(guān)應(yīng)用系統(tǒng)的安全。當(dāng)前的網(wǎng)絡(luò)操作系統(tǒng)存在著“后門“和安全漏洞，為此，應(yīng)采用具有自主知識產(chǎn)權(quán)且源代碼對公開的系統(tǒng)并進(jìn)行合理的配置，同時要利用漏洞掃描工具定期掃描漏洞及配置更改情況，并進(jìn)行漏洞的修補(bǔ)和配置的重新優(yōu)化。而數(shù)據(jù)庫則必須進(jìn)行有效的加固以保證重要信息的安全，進(jìn)而從根本上保證整個信息系統(tǒng)的安全。

（五）應(yīng)用層安全。身份認(rèn)證技術(shù)：在智能電網(wǎng)系統(tǒng)中，計算機(jī)只能識別數(shù)字身份，而用戶只有物理身份，為了實現(xiàn)操作者數(shù)字身份與物理身份的對應(yīng)，必須使用身份認(rèn)證系統(tǒng)。該系統(tǒng)通過綁定證據(jù)和實體來標(biāo)識和鑒別用戶身份，進(jìn)而實現(xiàn)用戶身份的判別和確認(rèn)。

第3篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

1.1國家衛(wèi)生部文件

文件明確規(guī)定了信息安全等級保護(hù)工作的工作目標(biāo)、工作原則、工作機(jī)制、工作任務(wù)、工作要求，工作任務(wù)別強(qiáng)調(diào)了“三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)”應(yīng)進(jìn)行定級備案。

1.2浙江省衛(wèi)生廳文件

為加強(qiáng)醫(yī)療衛(wèi)生行業(yè)信息安全管理，提高信息安全意識，以信息安全等級保護(hù)標(biāo)準(zhǔn)促進(jìn)全行業(yè)的信息安全工作，提高全省衛(wèi)生系統(tǒng)信息安全保護(hù)與信息安全技術(shù)水平，強(qiáng)化信息安全的重要性。2011年6月7日，浙江省衛(wèi)生廳和浙江省公安廳聯(lián)合下發(fā)《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護(hù)工作的通知》（浙衛(wèi)發(fā)〔2011〕131號），并一同下發(fā)了《浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護(hù)工作實施方案》和《浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見》。為進(jìn)一步指導(dǎo)我省衛(wèi)生行業(yè)單位開展信息安全等級保持工作，浙江省衛(wèi)生信息中心于2012年4月6日下發(fā)了《關(guān)于印發(fā)<浙江省衛(wèi)生行業(yè)信息安全等級保護(hù)工作指導(dǎo)意見細(xì)則>的函》。上述文件詳細(xì)規(guī)定了工作目標(biāo)、工作流程和工作進(jìn)度，并明確了醫(yī)療衛(wèi)生單位重要信息系統(tǒng)的劃分和定級，具有很強(qiáng)的指導(dǎo)性和操作性。

2醫(yī)院信息安全等級保護(hù)

依據(jù)上述行業(yè)文件要求，全省醫(yī)院重要信息系統(tǒng)信息安全等級保護(hù)工作由省衛(wèi)生廳和各級衛(wèi)生局、公安局分級負(fù)責(zé)，按照系統(tǒng)定級、系統(tǒng)備案、等級測評、安全整改[1]四個工作步驟實施。

2.1系統(tǒng)定級

2.1.1確定對象

我省醫(yī)院信息化發(fā)展較早，各類系統(tǒng)比較完善，但數(shù)量繁多。將出現(xiàn)多達(dá)幾十甚至上百個定級對象的狀況，這與要求重點保護(hù)、控制建設(shè)成本、優(yōu)化資源配置[2]的原則相違背，不利于醫(yī)院重要信息系統(tǒng)開展信息安全等級保護(hù)工作。依據(jù)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859-1999）》等標(biāo)準(zhǔn)，結(jié)合我省醫(yī)院信息化現(xiàn)狀及發(fā)展需要，經(jīng)衛(wèi)生信息化專家和信息安全專家多次論證，本著突出重點、按類歸并、相對獨立、節(jié)約費(fèi)用的原則，從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對象和運(yùn)行環(huán)境等多方面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類，如表1所示。

2.1.2等級評定

醫(yī)院重要信息系統(tǒng)的信息安全和系統(tǒng)服務(wù)應(yīng)用被破壞時，產(chǎn)生的危害主要涉及公民的個人隱私、就醫(yī)權(quán)利及合法權(quán)益，對社會秩序和公共利益的損害屬于“損害”或“嚴(yán)重?fù)p害”程度。參考《信息安全等級保護(hù)管理辦法》及省衛(wèi)生信息中心指導(dǎo)意見細(xì)則要求[3]，即屬于“第二級”或“第三級”范疇。因此醫(yī)院信息系統(tǒng)對信息安全防護(hù)和服務(wù)能力保護(hù)的要求較高，結(jié)合業(yè)務(wù)服務(wù)及系統(tǒng)應(yīng)用范疇，實行保護(hù)重點、以點帶面原則，參考定級如表2所示。

2.2系統(tǒng)定級備案

省衛(wèi)生廳及省級醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)由省公安廳受理備案；各市衛(wèi)生局及其下屬單位、轄區(qū)內(nèi)醫(yī)院信息系統(tǒng)由屬地公安機(jī)關(guān)受理備案。各市衛(wèi)生局應(yīng)將轄區(qū)內(nèi)醫(yī)療衛(wèi)生單位備案匯總情況和《信息系統(tǒng)安全等級保護(hù)備案表》等材料以電子文件形式向省衛(wèi)生廳報備。定級備案流程示意圖如圖1所示。

2.3等級保護(hù)測評

醫(yī)院重要信息系統(tǒng)完成定級備案后，應(yīng)依據(jù)《浙江省信息安全等級保護(hù)工作協(xié)調(diào)小組關(guān)于公布信息安全等級報測評機(jī)構(gòu)的通知》（浙等?！?010〕9號）選擇浙江省信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室推薦的等級測評機(jī)構(gòu)，啟動等級測評工作，結(jié)合所屬等級要求對系統(tǒng)進(jìn)行逐項測評。通過對醫(yī)院系統(tǒng)進(jìn)行查驗、訪談、現(xiàn)場測試等方式收集相關(guān)信息，詳細(xì)了解信息安全保護(hù)現(xiàn)狀，分析所收集的資料和數(shù)據(jù)，查找發(fā)現(xiàn)醫(yī)院重要信息系統(tǒng)漏洞和安全隱患，針對測評報告結(jié)果進(jìn)行分析反饋、溝通協(xié)商，明確等級保護(hù)整改工作目標(biāo)、整改流程及注意事項，共同制定等級保護(hù)整改建議方案用于指導(dǎo)后續(xù)整改工作。對第二級以上的信息系統(tǒng)要定期開展等級測評。信息系統(tǒng)測評后，醫(yī)院應(yīng)及時將測評機(jī)構(gòu)出具的《信息系統(tǒng)等級測評報告》向所屬地公安機(jī)關(guān)報備。

2.4等級保護(hù)規(guī)劃建設(shè)整改

根據(jù)《信息系統(tǒng)安全等級保護(hù)實施指南》及省實施方案，結(jié)合醫(yī)院信息系統(tǒng)的安全需求分析，判斷安全保護(hù)現(xiàn)狀，設(shè)計合理的、滿足等級保護(hù)要求的總體安全方案，并制定出安全實施規(guī)劃[4]等，用以指導(dǎo)信息系統(tǒng)安全建設(shè)工程實施。引進(jìn)第三方安全技術(shù)服務(wù)商，協(xié)助完成系統(tǒng)安全規(guī)劃、建設(shè)及整改工作。建設(shè)，整改實施過程中按照詳細(xì)設(shè)計方案，設(shè)置安全產(chǎn)品采購、安全控制開發(fā)與集成、機(jī)構(gòu)和人員配置、安全管理制度建設(shè)、人員安全技能培訓(xùn)等環(huán)節(jié)[5]，將規(guī)劃設(shè)計階段的安全方針和策略，切實落實到醫(yī)院系統(tǒng)的信息安全規(guī)劃、建設(shè)、評估、運(yùn)行和維護(hù)等各個環(huán)節(jié)。其核心是根據(jù)系統(tǒng)的實際信息安全需求、業(yè)務(wù)特點及應(yīng)用重點，并結(jié)合醫(yī)院自身信息安全建設(shè)的實際需求，建設(shè)一套全面保護(hù)、重點突出、持續(xù)運(yùn)行的安全保障體系，確保醫(yī)院系統(tǒng)的信息安全。等級保護(hù)工程及管理體系建設(shè)整改流程如圖2所示。

3醫(yī)院重要信息系統(tǒng)安全等級保護(hù)成效

各級醫(yī)院按照國家有關(guān)信息安全等級保護(hù)政策、標(biāo)準(zhǔn)，結(jié)合衛(wèi)生行業(yè)政策和要求，全面落實信息系統(tǒng)信息安全等級保護(hù)工作，保障信息系統(tǒng)安全可靠運(yùn)行，提高安全管理運(yùn)維水平。

3.1明確系統(tǒng)安全保護(hù)目標(biāo)

通過推行各級醫(yī)院信息安全等級保護(hù)工作，梳理衛(wèi)生信息系統(tǒng)資產(chǎn)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)安全設(shè)備部署及運(yùn)行狀況。根據(jù)系統(tǒng)風(fēng)險評估、危害的覆蓋范圍及影響性判定安全等級，從而根據(jù)標(biāo)準(zhǔn)全面、系統(tǒng)、深入地掌握系統(tǒng)潛在的風(fēng)險隱患，安全漏洞。明確需要重點保護(hù)的應(yīng)用系統(tǒng)及信息資產(chǎn)，提出行之有效的保護(hù)措施，有針對性地提高保護(hù)等級，實現(xiàn)重點目標(biāo)重點保護(hù)。

3.2建立安全管理保障體系

安全管理保障體系是開展信息安全工作的保障，指導(dǎo)落實各項安全指標(biāo)要求。信息安全等級保護(hù)基本要求中明確要求加強(qiáng)主管及安全責(zé)任部門領(lǐng)導(dǎo)，配備信息安全專員督導(dǎo)安全檢查、維護(hù)、培訓(xùn)工作。建立健全信息安全管理保障制度體系，包括機(jī)房安全管理制度、人員安全管理制度、運(yùn)維安全管理規(guī)范。建立行之有效的安全應(yīng)急響應(yīng)預(yù)案及常規(guī)化的信息安全培訓(xùn)及預(yù)防演練，形成長期的安全風(fēng)險管控機(jī)制。

3.3加強(qiáng)安全意識和管理能力

通過落實等級保護(hù)制度的各項要求，認(rèn)識安全意識在信息安全工作中的重要性和必要性，調(diào)動安全保護(hù)的自覺主動性，加大安全保護(hù)的資金投入力度，優(yōu)化安全管理資源及策略，主動提升安全保護(hù)能力。同時重視常規(guī)化的信息安全管理教育和培訓(xùn)，強(qiáng)化安全管理員和責(zé)任人的安全意識，提高風(fēng)險分析和安全性評估等能力，信息系統(tǒng)安全整體管理水平將得到提高。

3.4強(qiáng)化安全保護(hù)技術(shù)實施

醫(yī)院開展信息安全等級保護(hù)工作可加深分級、分域的縱深防御理念，進(jìn)一步結(jié)合終端安全、身份認(rèn)證、網(wǎng)絡(luò)安全、容災(zāi)技術(shù)，建立統(tǒng)一的安全監(jiān)控平臺和安全運(yùn)行中心。根據(jù)測評報告及建設(shè)整改建議，增強(qiáng)對應(yīng)用系統(tǒng)的授權(quán)訪問，終端計算機(jī)的安全控制，網(wǎng)絡(luò)流量的異常監(jiān)控，業(yè)務(wù)與數(shù)據(jù)安全保障，惡意軟件和攻擊行為的防御、發(fā)現(xiàn)及阻擊等功能，深層次提高抵御外部和內(nèi)部信息安全威脅的能力。

3.5優(yōu)化第三方技術(shù)服務(wù)

與安全技術(shù)服務(wù)機(jī)構(gòu)建立長期穩(wěn)定的合作關(guān)系，引進(jìn)并優(yōu)化第三方技術(shù)資源，搭建安全保護(hù)技術(shù)的學(xué)習(xí)橋梁與交流平臺。在安全技術(shù)與管理方面加固信息安全防護(hù)措施，完善信息安全管理制度，同時通過安全技術(shù)管理培訓(xùn)強(qiáng)化醫(yī)院工作人員信息安全保護(hù)意識，提高信息安全隊伍的技術(shù)與管理水平，共同為醫(yī)院系統(tǒng)信息化建設(shè)的快速發(fā)展保駕護(hù)航?？傊?，醫(yī)院開展信息安全等級保護(hù)工作將有效提高醫(yī)院信息化建設(shè)的整體水平，有利于醫(yī)院信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點保障基礎(chǔ)信息網(wǎng)絡(luò)、個人隱私、醫(yī)療資源和社會公共衛(wèi)生等方面的重要信息系統(tǒng)的安全[6]。

4結(jié)束語

第4篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

關(guān)鍵詞：電子政務(wù)；信息安全

一、電子政務(wù)概述

近幾年來，在很多國家越來越多的政府官員與技術(shù)專家采用e-government或e-governance來代表政府信息化。美國檔案管理員協(xié)會認(rèn)為：e-government是指利用信息技術(shù)，通過簡化流程，整合和減少冗余的系統(tǒng)，進(jìn)而改進(jìn)政府對公民、企業(yè)和政府不同部門的服務(wù)以及它們之間的互動。在我國，電子政務(wù)多數(shù)情況下被定義為借助于電子信息技術(shù)而進(jìn)行的，即政府機(jī)構(gòu)運(yùn)用現(xiàn)代計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進(jìn)行，在網(wǎng)絡(luò)上實現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時間、空間與部門分隔的制約，全方位的向社會提供高效、優(yōu)質(zhì)、規(guī)范、透明、符合國際慣例的管理與服務(wù)。該定義包含三方面的信息，即電子政務(wù)必須借助于電子信息和數(shù)字網(wǎng)絡(luò)技術(shù)，離不開信息基礎(chǔ)設(shè)施和相關(guān)軟件技術(shù)的發(fā)展；電子政務(wù)處理的是與政權(quán)有關(guān)的公開事務(wù)，除了政府機(jī)關(guān)的行政事務(wù)外，還包括立法、司法部門及其它一些公共組織的管理事務(wù)；電子政務(wù)并不是簡單地將傳統(tǒng)的政府管理事務(wù)原封不動地搬到互聯(lián)網(wǎng)上，而是要對其組織結(jié)構(gòu)進(jìn)行重組，并對業(yè)務(wù)流程進(jìn)行再造。

二、電子政務(wù)系統(tǒng)信息安全框架

國務(wù)院辦公廳已為我國電子政務(wù)制訂了“三網(wǎng)一庫”體系，“三網(wǎng)”指政府機(jī)關(guān)的辦公業(yè)務(wù)網(wǎng)、政府部門間用于信息交換的辦公業(yè)務(wù)資源網(wǎng)、以互聯(lián)網(wǎng)為依托的政府公眾信息網(wǎng)；“一庫”指政府系統(tǒng)共建共享的信息資源數(shù)據(jù)庫。從安全的角度出發(fā)，電子政務(wù)的整個系統(tǒng)框架可規(guī)劃為一個四層的安全控制域，第一層是核心決策層，主要為領(lǐng)導(dǎo)決策和指揮提供信息支持和技術(shù)服務(wù)，這是國家的、最核心、最機(jī)密的一層，是政務(wù)信息集中存儲與處理的域；第二層是政府辦公業(yè)務(wù)處理層，是政府內(nèi)部的電子辦公環(huán)境，該層的信息只能在內(nèi)部流動。一、二層合起來就是內(nèi)網(wǎng)；第三層是信息交換層，可實現(xiàn)同一領(lǐng)域各個分支部門間的信息傳輸，還可以將信息從一個內(nèi)網(wǎng)傳送到另一個內(nèi)網(wǎng)區(qū)域，即專網(wǎng)。所涉及的信息主要包括各類公文、一般數(shù)據(jù)以及政府部門之間的各類交換信息，這些信息必須依據(jù)政府內(nèi)部的各類管理權(quán)限傳輸，防止來自內(nèi)部或外部的非法入侵；第四層是最外層，即公共服務(wù)層，是政府部門公共信息的外部網(wǎng)。它面向社會提供的一般應(yīng)用服務(wù)及信息，包括各類公開信息和一般的、非敏感的社會服務(wù)。

三、常用的電子政務(wù)信息安全技術(shù)

1、防火墻技術(shù)。在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊。雖然防火墻技術(shù)可提高內(nèi)部網(wǎng)絡(luò)的安全性，但它側(cè)重于網(wǎng)絡(luò)層至應(yīng)用層的策略隔離，在安全上仍存在著缺陷，如不能防范網(wǎng)絡(luò)內(nèi)部的威脅，也不能保護(hù)網(wǎng)絡(luò)免受病毒或其它方式的攻擊。

2、加密/解密技術(shù)。目的是防止消息的非授權(quán)泄漏，避免各種存儲介質(zhì)上的或通過網(wǎng)絡(luò)傳送的敏感數(shù)據(jù)被攻擊者竊取。按照密鑰的不同，常用的有對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)。前者的加密密鑰和解密密鑰相同，使用的算法比較簡便高效，密鑰簡短，計算時間短，處理速度快，適合加密/解密大文件，且保密強(qiáng)度高；后者的加密方和解密方使用的密鑰互不相同，它便于密鑰的管理和分發(fā)，從而消除了密鑰的安全隱患，加強(qiáng)了保密性，適于對少量數(shù)據(jù)加密/解密。

3、入侵檢測技術(shù)。通過網(wǎng)絡(luò)監(jiān)控軟件或硬件對網(wǎng)絡(luò)上的數(shù)據(jù)流進(jìn)行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進(jìn)行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，或通知防火墻系統(tǒng)對訪問控制策略進(jìn)行調(diào)整等。入侵檢測技術(shù)雖然能作為防火墻技術(shù)的補(bǔ)充，對付來自網(wǎng)絡(luò)內(nèi)部的攻擊，但由于其側(cè)重點在于發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，因此不能代替防火墻執(zhí)行整個網(wǎng)絡(luò)的訪問控制策略。

4、安全掃描技術(shù)。通過范圍寬廣的穿透測試檢測潛在的網(wǎng)絡(luò)漏洞，評估系統(tǒng)安全配置，以提前主動地控制安全危險，它是整個安全系統(tǒng)不可缺少的組成部分。能協(xié)助管理者及早發(fā)現(xiàn)網(wǎng)絡(luò)上可能存在的安全漏洞，是一種主動的防范措施。

5、防病毒技術(shù)。病毒歷來對電子政務(wù)的信息安全威脅最大，它往往通過軟盤、光盤、磁帶和Ftp、Email、Web瀏覽等傳播。電子政務(wù)網(wǎng)絡(luò)設(shè)計中的防病毒技術(shù)及防病毒產(chǎn)品對網(wǎng)絡(luò)安全的影響至關(guān)重要。防病毒技術(shù)主要通過病毒防火墻，阻止病毒的傳播，檢查和清除病毒。

6、數(shù)字簽名技術(shù)。為了防止他人對傳輸?shù)碾娮庸倪M(jìn)行破壞，確定發(fā)信人的身份，避免假、錯文件的出現(xiàn)，需要采用數(shù)字簽名技術(shù)。數(shù)字簽名是通過一個單向函數(shù)對傳送的報文進(jìn)行處理得到的，用以認(rèn)證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。它能夠代替書寫簽名或印章，起到與之相同的法律效用，確定信息發(fā)送方身份。采用數(shù)字簽名能夠確認(rèn)信息是由簽名者發(fā)送的，以及確認(rèn)信息自簽名后到收到為止未曾作過任何修改。

參考文獻(xiàn)：

1、朱方洲,李旭軍.電子政務(wù)安全保障體系的研究[J].電腦學(xué)習(xí),2006(6).

2、侯安才.電子政務(wù)安全中的三網(wǎng)隔離技術(shù)及應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(6).

3、李青.電子政務(wù)安全策略研究[J].中國人民公安大學(xué)學(xué)報,2005(4).

4、夏陽,唐亮,張強(qiáng).電子政務(wù)安全及其解決方案[J].計算機(jī)工程與設(shè)計,2005(1).

第5篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

【 關(guān)鍵詞 】 工控設(shè)備；風(fēng)險評估；安全隱患；安全防護(hù)

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

（Institute of Computer Application， China Academy of Engineering Physics SichuanMianyang 621900）

【 Abstract 】 Security information incidents occur recently shows， industrial system has become the main target of foreign information security attacks， safety protection for industrial control system must be strengthen. Industrial control system， is not office system， it has many intelligent devices、embedded operating system with various special protocols， especially intelligent equipments which has more high integration、specialty-industry， private kernel and lack efficient control technology for data interface， security risk assessment method and standard for industrial control system has not informed. In this paper， security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system， security risk assessment method is given to assess the full life of 840D.Last，some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment； risk assessment； security threat； safety protection

1 引言

近年來，越來越多的數(shù)控設(shè)備和工控系統(tǒng)應(yīng)用到工業(yè)生產(chǎn)中，它們更多地采用了開放性和透明性較強(qiáng)的通用協(xié)議、通用硬件和通用軟件，并通過各種方式與企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接。根據(jù)CNNVD搜集的漏洞數(shù)據(jù)和CNCERT的網(wǎng)絡(luò)安全態(tài)勢報告，這些工控系統(tǒng)中存在的各種漏洞、病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出。

近期披露的信息安全事件表明，信息安全問題已經(jīng)從軟件延伸至硬件，從傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)延伸至工業(yè)控制系統(tǒng)、大型科研裝置、基礎(chǔ)設(shè)施等諸多領(lǐng)域。對于工控系統(tǒng)以及工控設(shè)備的安全性測試和風(fēng)險評估也變得重要起來。

工控系統(tǒng)與辦公系統(tǒng)不同，系統(tǒng)中使用智能設(shè)備、嵌入式操作系統(tǒng)和各種專用協(xié)議，尤其是智能設(shè)備具有集成度高、行業(yè)性強(qiáng)、內(nèi)核不對外開放、數(shù)據(jù)交互接口無法進(jìn)行技術(shù)管控等特點，工控系統(tǒng)的安全風(fēng)險不能直接參照辦公系統(tǒng)的風(fēng)險評估標(biāo)準(zhǔn)，其評估方法、標(biāo)準(zhǔn)還在不斷研究和探索中。

2 工控設(shè)備風(fēng)險評估模型和流程

2.1 工控設(shè)備風(fēng)險評估模型

工控設(shè)備安全保密風(fēng)險需求主要涉及到三大方面：一是工控設(shè)備所處的物理環(huán)境安全，如防偷竊、非授權(quán)接觸、是否有竊聽竊視裝置等；二是工控設(shè)備自身的安全，主要分析包括硬件、軟件、網(wǎng)絡(luò)和電磁等方面的安全；三是工控設(shè)備的安全保密管理問題，包括其管理機(jī)構(gòu)、人員、制度、流程等。在對工控設(shè)備安全保密需求分析的基礎(chǔ)上，本文結(jié)合工控設(shè)備安全檢測的需求，提出了工控設(shè)備安全風(fēng)險評估框架，如圖1所示。

2.2 工控設(shè)備安全保密風(fēng)險評估流程

針對上述評估模型，本文按照檢測對象、風(fēng)險分析、檢測方案、結(jié)果評估的流程開展工控設(shè)備安全保密風(fēng)險評估，如圖2所示。

1）檢測對象：確定設(shè)備用途，分析基本組成；

2）風(fēng)險分析：根據(jù)不同設(shè)備類型，按照風(fēng)險評估模型進(jìn)行風(fēng)險分析；

3）檢測方案：依據(jù)根據(jù)風(fēng)險分析結(jié)果制定檢測方案，準(zhǔn)備檢測工具、環(huán)境，明確檢測項目、要求和方法；

4）結(jié)果評估：依據(jù)檢測方案執(zhí)行檢測，完成所有檢測項，依據(jù)檢測結(jié)果進(jìn)行評估，對發(fā)現(xiàn)的可疑風(fēng)險點進(jìn)行深入檢測，修訂檢測方案，綜合評估。

3 數(shù)控設(shè)備安全保密風(fēng)險評估實踐

3.1 檢測對象

數(shù)控機(jī)床主要用于各種零部件的生產(chǎn)加工，機(jī)床包括機(jī)床主體和核心控制系統(tǒng)。840D控制系統(tǒng)是西門子公司推出的一款功能強(qiáng)大、簡單開放的數(shù)控系統(tǒng)，本次數(shù)控設(shè)備安全保密風(fēng)險評估的主要內(nèi)容也是針對該控制系統(tǒng)。

840D sl將數(shù)控系統(tǒng)（NC、PLC、HMI）與驅(qū)動控制系統(tǒng)集成在一起，可與全數(shù)控鍵盤（垂直型或水平型）直接連接，通過PROFIBUS總線與PLC I/O連接通訊，基于工業(yè)以太網(wǎng)的標(biāo)準(zhǔn)通訊方式，可實現(xiàn)工業(yè)組網(wǎng)。其各部分硬件組成結(jié)構(gòu)、拓?fù)浣Y(jié)構(gòu)、軟件系結(jié)構(gòu)統(tǒng)如圖3、4、5所示。

3.2 風(fēng)險分析及評估

3.2.1 物理安全

通過對840D數(shù)控機(jī)床設(shè)備所處的房間進(jìn)行物理安全檢查，區(qū)域控制符合要求；竊聽竊照檢測，未發(fā)現(xiàn)有竊聽竊照裝置；通過對房間的進(jìn)行聲光泄漏檢測，符合相關(guān)安全要求。

3.3.2 系統(tǒng)自身安全

1） 操作系統(tǒng)

脆弱點分析：

* 基本情況

> SINUMERIK 840D PCU采用Windows XP平臺

> 一般不會對Windows平臺安裝任何補(bǔ)丁

> 微軟停止對Windows XP的技術(shù)服務(wù)

> NCU系統(tǒng)為黑盒系統(tǒng)

* PCU

> RPC遠(yuǎn)程執(zhí)行漏洞（MS08-067）

> 快捷方式文件解析漏洞（MS10-046）

> 打印機(jī)后臺程序服務(wù)漏洞（MS10-061）

> 系統(tǒng)未安裝任何防火墻軟件和殺毒軟件

* NCU（CF卡）

> SINUMERIK 840D系統(tǒng)的NCU采用的西門子自有的內(nèi)嵌式Linux系統(tǒng)，該系統(tǒng)在編譯時經(jīng)過特殊設(shè)計，只能在SINUMERIK系統(tǒng)環(huán)境下運(yùn)行；

> 可以對CF卡進(jìn)行映像和重建，而且新建的CF卡可以在SINUMERIK 840D系統(tǒng)上成功啟動；

> NCU系統(tǒng)中設(shè)定了不同的用戶及權(quán)限，但內(nèi)置的用戶及口令均以默認(rèn)狀態(tài)存在系統(tǒng)存在默認(rèn)用戶及口令；

> SNMP服務(wù)存在可讀口令，遠(yuǎn)程攻擊者可以通過SNMP獲取系統(tǒng)的很多細(xì)節(jié)信息。密碼可暴力猜解，snmp服務(wù)密碼為弱口令“public”。

風(fēng)險：

* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統(tǒng)的PCU，獲取到相應(yīng)操作權(quán)限，對下位機(jī)下達(dá)相應(yīng)指令；

* 由于在CF卡上有用戶數(shù)據(jù)的存放、HMI應(yīng)用程序顯示的數(shù)據(jù)以及系統(tǒng)日志文件，因此通過對CF卡的復(fù)制和研究可還原用戶存放數(shù)據(jù)、PLC加工代碼等信息；

* 只要通過PCU或者直接使用PC安裝相應(yīng)的管理軟件，通過網(wǎng)絡(luò)連接到NCU，即可使用以上用戶和口令進(jìn)行各類操作；

* 攻擊者一旦得到了可寫口令，可以修改系統(tǒng)文件或者執(zhí)行系統(tǒng)命令。

2） 應(yīng)用系統(tǒng)

* 基本情況

> 應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防范規(guī)范；

> 開放應(yīng)用端口，常規(guī)IT防火墻很難保障其安全性；

> 利用一些應(yīng)用軟件的安全漏洞獲取設(shè)備的控制權(quán)。

* 重要應(yīng)用――Winscp

脆弱點分析：是一款遠(yuǎn)程管理軟件，其可通過ssh、SCP、SFTP等加密協(xié)議對下位機(jī)進(jìn)行一定權(quán)限的系統(tǒng)命令操作； 通過winscp軟件可以對NCU進(jìn)行遠(yuǎn)程管理，需要相應(yīng)的用戶賬戶和密碼。賬戶和密碼可通過協(xié)議漏洞獲取，如表1所示。

風(fēng)險評估：攻擊者機(jī)器上直接登錄winscp遠(yuǎn)程控制NCU。進(jìn)一步，可對下位機(jī)NCU進(jìn)行信息的竊?。℅代碼等相關(guān)數(shù)據(jù)均存于此）、系統(tǒng)破壞、上傳病毒、木馬、后門等作進(jìn)一步攻擊。

* 重要應(yīng)用――VNC Viewer

脆弱點分析：VNC是一款功能強(qiáng)大的遠(yuǎn)程管理軟件?？山邮芄芾砣藛T鍵盤、鼠標(biāo)等幾乎全部本地的控制操作；840d工控系統(tǒng)上位機(jī)所采用的VNC遠(yuǎn)程管理軟件為通用軟件，不需要登錄認(rèn)證。

風(fēng)險評估：在內(nèi)網(wǎng)的攻擊者只需一款普通VNC就可以實現(xiàn)對下位機(jī)的遠(yuǎn)程的、完全的控制。

* 重要應(yīng)用――HMI

脆弱點分析：HMI（直接發(fā)出指令操控機(jī)器的計算機(jī)軟件），可裝在任何符合條件的PC上，通過工程調(diào)試模式（直連管理口）連接NCU，進(jìn)行配置信息的查看修改。

風(fēng)險評估：物理接觸、調(diào)試，不僅存在信息泄露、甚至可能存在致使系統(tǒng)崩潰，或者植入軟件后門的風(fēng)險。也可通過網(wǎng)絡(luò)配置實現(xiàn)對下位機(jī)的控制操作 。

3） 通信協(xié)議

> SINUMERIK 840D采用TCP/IP 協(xié)議和OPC 協(xié)議等通信，通信協(xié)議存在潛在威脅；

> 網(wǎng)絡(luò)傳輸?shù)男畔⑹欠癜踩?/p>

> 容易讀取到網(wǎng)絡(luò)上傳輸?shù)南?，也可以冒充其它的結(jié)點。

* 協(xié)議――MPI

脆弱點分析：MPI MPI是一種適用于少數(shù)站點間通信的多點網(wǎng)絡(luò)通信協(xié)議，用于連接上位機(jī)和少量PLC之間近距離通信。MPI協(xié)議為西門子公司內(nèi)部協(xié)議，不對外公開。

風(fēng)險評估：尚未發(fā)現(xiàn)MPI多點通訊協(xié)議的安全問題。

* 協(xié)議――G代碼傳輸協(xié)議

脆弱點分析：G代碼是數(shù)控程序中的指令，它是數(shù)控系統(tǒng)中人與制造機(jī)床的最本質(zhì)橋梁，是上位機(jī)對下位機(jī)及加工部件最直接最根本控制；G代碼傳輸采用的是基于TCP/IP協(xié)議之上的自定義協(xié)議，其傳輸過程中的G代碼裝載、卸載，PC_Panel上按鍵操作等都是進(jìn)行明文傳輸。

風(fēng)險評估：攻擊者不僅可以嗅探到完全的G代碼及上位機(jī)操作信息。而且可以對傳輸過程中的G代碼進(jìn)行篡改、重放，致使下位機(jī)接收錯誤的命令和數(shù)據(jù)，從而使得工業(yè)控制系統(tǒng)不可控，生產(chǎn)制造不合格甚至帶有蓄意破壞性的工件。

4） 其他部分

* 數(shù)據(jù)存儲

脆弱點分析：生產(chǎn)加工數(shù)據(jù)明文存放于PCU上，缺少必要的安全增加及保護(hù)措施。

風(fēng)險評估：數(shù)據(jù)存在被非法獲取的隱患。

* 特定部件

脆弱點分析：G代碼在CF卡上有臨時備份，通過數(shù)據(jù)處理，有可能獲取到加工參數(shù)。

風(fēng)險評估：可通過非法拷貝等方式對加工數(shù)據(jù)進(jìn)行獲取。

* 硬件安全

脆弱點分析：是否存在危險的硬件陷阱，如邏輯鎖等安全問題。

風(fēng)險評估：目前尚未發(fā)現(xiàn)。

3.3.3 管理安全

1）人員安全意識 工業(yè)控制系統(tǒng)在設(shè)計時多考慮系統(tǒng)的可用性，普遍對安全性問題的考慮不足，缺乏相應(yīng)的安全政策、管理制度以及對人員的安全意識培養(yǎng)。

2）安全審計 缺少對系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性等方面的安全審計。

3）安全運(yùn)維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新（補(bǔ)丁管理）、業(yè)務(wù)連續(xù)性管理等關(guān)鍵控制領(lǐng)域?qū)嵤┲贫然?流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設(shè)。

4）核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復(fù)制和保管進(jìn)行安全管理，防止非信任人員的接觸的管理規(guī)定。

4 工控設(shè)備安全防護(hù)建議

1）建立縱深防御安全體系，提高工控系統(tǒng)安全性； 2）針對核心部件加強(qiáng)安全管理，進(jìn)行嚴(yán)格的訪問控制；3）加強(qiáng)網(wǎng)絡(luò)脆弱性的防護(hù)、采用安全的相關(guān)應(yīng)用軟件 、嚴(yán)格控制NCU服務(wù)； 4）加強(qiáng)對工業(yè)控制系統(tǒng)的安全運(yùn)維管理； 5）建立有效的安全應(yīng)急體系；6）從設(shè)備采購、使用、維修、報廢全生命周期關(guān)注其信息安全，定期開展風(fēng)險評估，工控系統(tǒng)全生命周期如圖6所示。

5 結(jié)束語

隨著信息技術(shù)的廣泛應(yīng)用，工控系統(tǒng)已經(jīng)從封閉、孤立的系統(tǒng)走向互聯(lián)體系的IT系統(tǒng)，安全風(fēng)險在不斷增加。做好工控系統(tǒng)安全保密風(fēng)險評估非常重要，研究工控設(shè)備的風(fēng)險評估模型、流程，開展數(shù)控設(shè)備的安全保密風(fēng)險評估實踐，可以為工控系統(tǒng)的安全保密風(fēng)險評估奠定重要的基礎(chǔ)。

參考文獻(xiàn)

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. （2011205221）， http： //.cn/.

[2] CNCERT. 2010年中國互聯(lián)網(wǎng)安全態(tài)勢報告[Z/OL].（2011205221）， CERT. 2010 report on the Internet Security Situation of China [Z/OL]. （2011205221）， .cn.（in Chinese）.

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner， Alice Goguen， and Alexis Feringa. National Institute of Standards and Technology（NIST），2002.

[4] GB/T 20984―2007.信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].北京：中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing： General Administration of Quality Supervision，Inspection and Quarantine of the Peopleps Republic of China，2007. （in Chinese）

[6] 趙冬梅，張玉清，馬建峰.網(wǎng)絡(luò)安全的綜合風(fēng)險評估[J].計算機(jī)科學(xué)， 2004，31（7）： 66-69.

作者簡介：

謝彬（1966-），女，四川安岳人，中國紡織大學(xué)，大學(xué)本科，副主任，高級工程師；長期從事信息系統(tǒng)軟件測評、信息系統(tǒng)安全保密相關(guān)的技術(shù)研究，負(fù)責(zé)了多個項目的技術(shù)安全保密檢測、安全保密防護(hù)方案設(shè)計以及相關(guān)技術(shù)研究工作；主要研究方向和關(guān)注領(lǐng)域：信息安全相關(guān)技術(shù)、信息系統(tǒng)安全、工控系統(tǒng)安全。

賀志強(qiáng)（1983-），男，四川綿陽人，四川大學(xué)，碩士，測評工程師，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全技術(shù)、信息安全及相關(guān)技術(shù)。

第6篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

In-Stat分析師李敏：融合通信現(xiàn)在已經(jīng)成為一個公認(rèn)的理念，它為企業(yè)和行業(yè)部門提供了良好的溝通平臺。

IDC中國電信研究部研究主管經(jīng)理鹿強(qiáng)：對于廠商而言，目前第一步并不是競爭問題，而是應(yīng)該合力推廣融合通信這個理念，把融合通信炒火，一起將市場打開，形成產(chǎn)業(yè)鏈，做大市場。

北京金融街威斯汀大酒店電腦部經(jīng)理張立興：融合通信系統(tǒng)的應(yīng)用為用戶帶來的裨益必然不能直接體現(xiàn)在收入上，但是在改善企業(yè)內(nèi)部協(xié)調(diào)水平、提高服務(wù)質(zhì)量方面，卻能夠帶來革命性的變化。

2006年整個IT業(yè)和通信業(yè)界曝光率最高的名詞，或許非“融合通信”莫屬。從有志于融合通信的設(shè)備廠商和解決方案提供商發(fā)出的聲音看來，融合通信盡管尚未市場化，卻已經(jīng)是一塊巨大的蛋糕。

一系列數(shù)據(jù)為融合通信的應(yīng)用和推廣的必要性提供了解釋。據(jù)Sage數(shù)據(jù)研究機(jī)構(gòu)的統(tǒng)計，平均每個人身上共攜帶6.4種不同的通信設(shè)備,包括固定電話、手機(jī)、電郵、即時通信、Skype、辦公電話等。其中企業(yè)內(nèi)部約有27％的員工需要到外地洽談生意；即使坐在辦公室，也需要使用工作時間的52％選擇不同的方式同人聯(lián)絡(luò)，但有36％的幾率無法在第一時間聯(lián)系上對方。累積下來，平均每月有22％的工作會被拖延。

“融合通信這個理念的出現(xiàn)，其實是要解決用戶在聯(lián)系方面的困難?，F(xiàn)在的通信方式太多了，雖然有許多的方法可以和對方聯(lián)系，但是又不知道用哪種方法最為便捷，這樣就造成時間損耗，融合通信能夠讓這些通信方式更加有效。”In-Stat分析師李敏說。

盡管各廠商對“融合通信”的包裝形式略有差異，但分析師認(rèn)為，以“融合通信”為代表的一系列新名詞背后蘊(yùn)涵的主旨，卻都是指將話音業(yè)務(wù)、在線狀態(tài)、實時通信（即時消息、視頻和應(yīng)用共享）和準(zhǔn)實時通信（電子郵件、語音郵件和短消息業(yè)務(wù)）等通信手段融為一體的新型通信方式。

在設(shè)備廠商和解決方案提供商的搖旗吶喊之下，融合通信所帶來的種種便利迅捷的理念正在迅速被植入行業(yè)用戶的腦海中，在2006年更是進(jìn)一步深入人心。融合通信的應(yīng)用似乎已經(jīng)時不我待。

融合通信提升企業(yè)效率

“融合通信現(xiàn)在已經(jīng)成為一個公認(rèn)的理念，它為企業(yè)和行業(yè)部門提供了一個溝通的良好平臺，為企業(yè)工作效率的提高錦上添花，具有很好的發(fā)展前景?！睂τ谌诤贤ㄐ艦樾袠I(yè)用戶帶來的變革，李敏并不吝贊美之詞。

李敏認(rèn)為，除了減少溝通的時間損失，融合通信還可以有多種應(yīng)用，比如融合通信還可以改進(jìn)傳統(tǒng)call-center（呼叫中心）的應(yīng)用。通過分布式的call-center，本地用戶可以直接接通本地服務(wù)，節(jié)約了資源。另外，行業(yè)用戶網(wǎng)絡(luò)內(nèi)部、外部的溝通非常頻繁，可以通過IP融合通信增進(jìn)通信的有效性。此外，融合通信還可將通信系統(tǒng)和企業(yè)CRM等應(yīng)用系統(tǒng)集成，平臺化的程度非常高。

“通過融合通信，企業(yè)在基于一個良好的虛擬局域網(wǎng)基礎(chǔ)上，實現(xiàn)了短信互通、VoIP等多種溝通方式，這對企業(yè)來說是有一定吸引力的，尤其對于公安、交通等政府部門和一些垂直行業(yè)用戶而言，融合通信整體解決方案對提高政府部門和企業(yè)的工作效率提供了很好的業(yè)務(wù)平臺?！崩蠲粽f。

盡管大部分行業(yè)用戶還在逐漸接受和理解融合通信的理念，但是有一部分敢于吃螃蟹的行業(yè)和企業(yè)已經(jīng)開始了對融合通信的初步運(yùn)用。

北京威斯汀金融街大酒店采用IP和無線技術(shù)，為客人提供一系列快速、靈活、個性化的通信服務(wù)。采用融合通信解決方案后，入住威斯汀大酒店的客人可通過電話、筆記本電腦、掌上電腦等多種設(shè)備實現(xiàn)隨時隨地的通信互連。“我們將酒店傳統(tǒng)的電話系統(tǒng)、客房寬帶網(wǎng)絡(luò)及酒店管理通信網(wǎng)絡(luò)加以整合，集成于統(tǒng)一的融合網(wǎng)絡(luò)之中，以便客人和酒店員工隨時隨地享用通信服務(wù)，實現(xiàn)網(wǎng)絡(luò)連接。”威斯汀大酒店電腦部經(jīng)理張立興說。

使用融合通信技術(shù)提高管理效率的還有安利（中國）、北京東城區(qū)城市管理監(jiān)督中心、新疆國稅、廣東省中山市的小欖人民醫(yī)院等企事業(yè)單位。安利（中國）采用IP解決方案后，從安利總部打電話到180多家店鋪所在的任何一個城市，都不再需要付長途費(fèi)用：所有的語音呼叫先通過安利企業(yè)網(wǎng)絡(luò)“零成本”地與目標(biāo)城市連接，然后再通過該城市的IP電話網(wǎng)關(guān)實現(xiàn)本地呼叫。而北京東城區(qū)城市管理監(jiān)督中心使用的基于無線移動網(wǎng)絡(luò)技術(shù)、用于現(xiàn)場信息采集和傳送的專用工具――城管通，集成了電話接聽、短信群呼、位置定位、圖像采集等多項功能，實現(xiàn)了城市數(shù)字化管理。

融合通信為率先運(yùn)用新技術(shù)的用戶帶來了甜頭。張立興認(rèn)為，融合的通信網(wǎng)絡(luò)為威斯汀酒店帶來的效益不僅體現(xiàn)在避免硬件資源的浪費(fèi)、節(jié)約重復(fù)建設(shè)的成本和提高設(shè)備利用率及管理效率這些方面，更體現(xiàn)在對酒店服務(wù)質(zhì)量的提升上?！白鳛榈谝患也捎萌獻(xiàn)P通信的五星級酒店，我們的客房IP電話在為客人提供更好的服務(wù)的同時，還提高了入住客人的體驗感，給予客人全新的科技享受，這樣就提升了客人的滿意度和威斯汀的競爭優(yōu)勢?！睆埩⑴d說。

概念推廣阻力重重

但是，融合通信的現(xiàn)實發(fā)展是否真的如數(shù)據(jù)顯示的如此時不我待？融合通信解決方案提供商們的各種產(chǎn)品對于行業(yè)用戶是否真的具有巨大的吸引力？

分析師認(rèn)為，融合通信離被用戶普遍接受到規(guī)模應(yīng)用至少還需要2～3年的時間?！皩τ谌诤贤ㄐ攀袌鰜碚f，IP-PBX從2006年開始有一定量的銷售，但是融合通信前期的推廣和最后的市場銷售中間還有一個時間過渡和用戶接受的過程，因此預(yù)計到2008年才會出現(xiàn)融合通信的規(guī)模應(yīng)用?！崩蠲粽f。

“對于融合通信，業(yè)界還有一種提法是‘統(tǒng)一通信（Unified Communications）’?！盜DC中國電信研究部研究主管經(jīng)理鹿強(qiáng)指出。通信和IT行業(yè)的發(fā)展，從當(dāng)初的解決方案，發(fā)展到集成系統(tǒng)，而后又是融合的概念，提的概念逐漸寬泛。為了使融合這個概念進(jìn)一步落地，一些廠商提出了統(tǒng)一通信的概念，這是使融合進(jìn)一步得到實現(xiàn)的步驟。統(tǒng)一通信得到了思科，北電等電信設(shè)備系統(tǒng)廠商的支持，同時也有微軟等軟件廠商進(jìn)一步加入?！拔艺J(rèn)為，融合通信和統(tǒng)一通信是兩個不同的概念，統(tǒng)一通信的概念相對融合通信來得更具體些。統(tǒng)一通信對一些因辦公需要進(jìn)行的語音、電郵、短信、即時通信等溝通方式進(jìn)行統(tǒng)一。”鹿強(qiáng)認(rèn)為。

李敏認(rèn)為，用戶對于融合通信這種IP應(yīng)用目前的認(rèn)知度并不是很高。“用戶都知道融合通信能夠提高效率，但是畢竟提高效率是一個不能夠被感知的東西。因此，在一些垂直行業(yè)用戶、特別是大用戶間，融合通信的接受程度并不高?！?/p>

鹿強(qiáng)則從用戶使用意愿角度指出了融合通信推廣所面臨的困境。“融合通信作為一個更大的工作平臺，看似無時無處的方便也要求更為復(fù)雜的應(yīng)用過程，而目前我國真正熟練使用計算機(jī)的人群是有限的，這對用戶的能力是一個挑戰(zhàn)?！贝送猓箯?qiáng)還指出，融合通信對用戶的使用習(xí)慣也存在挑戰(zhàn)，用戶是否真的愿意無時無刻工作，還是保持一定生活空間？而且如果一個用戶能夠充分使用統(tǒng)一通信帶來的各種應(yīng)用，這樣自然會帶來公司的效率提高，以及一些潛在的回報，但如果使用不夠充分，則相應(yīng)的設(shè)備等投資反而會有所浪費(fèi)。

成本問題也許是困擾融合通信廠商的最重要因素。李敏指出，融合通信推廣的困難在于用戶對于這種新事物的接受程度上，其所宣揚(yáng)的節(jié)約通信資費(fèi)等概念目前對用戶的吸引力正在減小，運(yùn)營商也為企業(yè)提供打包的通信服務(wù)，價格很有競爭力。目前行業(yè)用戶在選擇設(shè)備商和解決方案提供商時所看重的是其是否做過一些成功的案例。

對于融合通信推廣面臨的用戶認(rèn)識問題，率先應(yīng)用融合通信解決方案的用戶表示理解。 張立興認(rèn)為，融合通信系統(tǒng)的應(yīng)用為用戶帶來的裨益必然不能直接體現(xiàn)在收入上，但是在改善企業(yè)內(nèi)部協(xié)調(diào)水平、提高服務(wù)質(zhì)量方面，卻能夠帶來革命性的變化?！捌鋵崿F(xiàn)在不少新建的高級酒店都開始規(guī)劃融合通信應(yīng)用。”張立興說。

諸多廠商誰領(lǐng)先機(jī)？

盡管融合通信尚未打開市場，但意圖在融合通信業(yè)務(wù)分得一塊大蛋糕的眾廠商們已經(jīng)摩拳擦掌，迫不及待地想要做先入為主者，并紛紛推出自己的產(chǎn)品。對此分析師李敏指出，由于業(yè)務(wù)方向的不同，不同廠商的融合通信優(yōu)勢和側(cè)重點也會有所不同。

在通信設(shè)備廠商方面，李敏認(rèn)為，基于自己的電信背景和本身的技術(shù)特點的阿爾卡特等通信設(shè)備廠商，由于考慮到了企業(yè)網(wǎng)和電信網(wǎng)絡(luò)的結(jié)合等方面的很多問題，將來可能做得會好比網(wǎng)絡(luò)設(shè)備廠商和IT廠商好些。

對于網(wǎng)絡(luò)設(shè)備廠商，李敏指出，Avaya作為傳統(tǒng)PBX廠商，在從傳統(tǒng)PBX到IP-PBX的轉(zhuǎn)化過程中，開發(fā)的企業(yè)應(yīng)用相對比較豐富，因此對于call－center的應(yīng)用會比較有優(yōu)勢。而對于以生產(chǎn)路由器為主的思科，由于它有一套自己的Call Manager軟件系統(tǒng)，因此基于自己的路由器、交換機(jī)和軟件來做融合通信或VoIP，優(yōu)勢也比較明顯。

作為傳統(tǒng)軟件廠商，微軟并沒有自己的硬件優(yōu)勢。分析師認(rèn)為，微軟可能會利用自己的桌面優(yōu)勢，采用粘制性的方法推廣其融合通信產(chǎn)品。由于微軟融合通信解決方案的底層設(shè)備需要硬件支撐，所以它如果想在中國推融合通信，必然需要尋找一些合作伙伴。

設(shè)備廠商和解決方案提供商各有優(yōu)勢，但融合通信的技術(shù)應(yīng)以何為關(guān)鍵？鹿強(qiáng)指出，融合通信主要以IP技術(shù)為核心技術(shù)，而其中IP－PBX是核心設(shè)備。目前我國的IP核心技術(shù)正在以每年兩位數(shù)的幅度在增長，市場潛力巨大。

盡管中國的IP核心技術(shù)增長迅速，但根據(jù)IDC對地區(qū)的IP-PBX（IP分組交換機(jī)）進(jìn)行評估分析，中國的IP關(guān)鍵技術(shù)尚未完善，發(fā)展仍舊不容樂觀?！案鶕?jù)我們的分析，如果一個地區(qū)的IP交換機(jī)占該地交換機(jī)比例的30％以上，那么這個地區(qū)具有較好的推廣融合通信的基礎(chǔ)，2006年亞洲這個比例已經(jīng)超過50％，而其中，中國的IP-PBX比例是相對比較低的?！甭箯?qiáng)說。

IP核心技術(shù)水平較低，再加上設(shè)備廠商和解決方案廠商們在融合通信的定義和理念上存在分歧，造成了原本就面臨用戶推廣困境的融合通信市場化進(jìn)程更為艱辛。對此分析師建議，其實目前各廠商應(yīng)該合力推廣融合通信，而不是相互競爭?！皩τ趶S商而言，目前第一步并不是競爭問題，而是應(yīng)該合力推廣融合通信這個理念，把融合通信炒火，一起將市場打開，形成產(chǎn)業(yè)鏈，做大市場。市場做起來、有了規(guī)模之后，再考慮競爭問題并不遲?！甭箯?qiáng)說。

鏈 接：融合從哪里入手？

多WAN寬帶路由器從2005年開始即漸漸為國內(nèi)網(wǎng)吧所采用，隨著2006年政府規(guī)范網(wǎng)吧的政策朝著大型化、合法化、規(guī)范化的方向發(fā)展，多WAN寬帶路由器已成為新設(shè)網(wǎng)吧的標(biāo)準(zhǔn)寬帶接入設(shè)備。在企業(yè)市場方面，眾多企業(yè)用戶也開始漸漸接受多WAN VPN的概念，以多條線路作為VPN建設(shè)的平臺，采用多WAN寬帶路由器實現(xiàn)寬帶接入。

然而由于各種網(wǎng)絡(luò)攻擊的肆虐，如今路由器的概念已經(jīng)不再是只提供接入，而必須在安全方面提供防護(hù)，否則連路由器本身的基本功能也無法發(fā)揮。除了強(qiáng)調(diào)傳統(tǒng)的多WAN接入功能之外，由于定位為中高級的寬帶接入設(shè)備，因此多WAN寬帶路由器也需要增加網(wǎng)絡(luò)安全方面的相關(guān)功能，如防攻擊、權(quán)限控管等。

市場上的安全產(chǎn)品如今五花八門、種類繁多，防病毒、防火墻、信息加密、入侵檢測、安全認(rèn)證等無所不有，但從其應(yīng)用范圍來看，安全廠商們所提供的方案大多是面向政府、電信、教育、銀行、證券等行業(yè)用戶和大型企業(yè)用戶，針對中小企業(yè)的安全解決方案寥寥無幾。由于分布較散，購買力相對較弱，這部分用戶一直沒有得到各大安全廠商的重視。

“多WAN寬帶路由器提供安全功能，是回應(yīng)市場需求的一個必然發(fā)展趨勢。”在網(wǎng)吧路由器市場占據(jù)很高市場份額的俠諾科技公司行銷總監(jiān)張建清認(rèn)為。

據(jù)了解，俠諾科技的產(chǎn)品在網(wǎng)絡(luò)安全方面就提供“適當(dāng)”的安全功能，其中包括：BT及大量下載防制功能、蠕蟲防制功能、沖擊波防制功能、常見即時應(yīng)用一指鍵防制功能、ARP防制功能、ARP偵測機(jī)制等。“事實上，俠諾科技一直是市場上加入網(wǎng)絡(luò)安全功能的領(lǐng)頭羊，除了防火墻外，還提供各種網(wǎng)絡(luò)安全功能。俠諾科技的技術(shù)服務(wù)人員也在隨時關(guān)注并研究新發(fā)生的攻擊軟件及手法，提供防制方式的指導(dǎo)。”張建清告訴記者。

第7篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

關(guān)鍵詞：網(wǎng)絡(luò)金融；特征一、網(wǎng)絡(luò)金融概述

一）網(wǎng)絡(luò)金融內(nèi)涵所謂網(wǎng)絡(luò)金融，又稱電子金融(e-finance)，從狹義上講是指在國際互聯(lián)網(wǎng)(Internet)上開展論文的金融業(yè)務(wù)，包括網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)證券、網(wǎng)絡(luò)保險等金融服務(wù)及相關(guān)內(nèi)容；從廣義上講，網(wǎng)絡(luò)金融就是以網(wǎng)絡(luò)技術(shù)為支撐，在全球范圍內(nèi)的所有金融活動的總稱，它不僅包括狹義的內(nèi)容，還包括網(wǎng)絡(luò)金融安全、網(wǎng)絡(luò)金融監(jiān)管等諸多方面。它不同于傳統(tǒng)的以物理形態(tài)存在的金融活動，是存在于電子空間中的金融活動，其存在形態(tài)是虛擬化的、運(yùn)行方式是網(wǎng)絡(luò)化的。它是信息技術(shù)特別是互聯(lián)網(wǎng)技術(shù)飛速發(fā)展的產(chǎn)物，是適應(yīng)電子商務(wù)(e-commerce)發(fā)展需要而產(chǎn)生的網(wǎng)絡(luò)時代的金融運(yùn)行模式。

二）網(wǎng)絡(luò)金融的特征1、業(yè)務(wù)創(chuàng)新。網(wǎng)絡(luò)金融以客戶為中心的性質(zhì)決定了它的創(chuàng)新性特征。為了滿足客戶的需求，擴(kuò)大市場份額和增強(qiáng)競爭實力，網(wǎng)絡(luò)金融必須進(jìn)行業(yè)務(wù)創(chuàng)新。2、管理創(chuàng)新。管理創(chuàng)新包括兩個方面：一方面，金融機(jī)構(gòu)放棄過去那種以單個機(jī)構(gòu)的實力去拓展業(yè)務(wù)的戰(zhàn)略管理思想，充分重視與其他金融機(jī)構(gòu)、信息技術(shù)服務(wù)商、資訊服務(wù)提供商、電子商務(wù)網(wǎng)站等的業(yè)務(wù)合作，達(dá)到在市場競爭中實現(xiàn)雙贏的局面。另一方面，網(wǎng)絡(luò)金融機(jī)構(gòu)的內(nèi)部管理也趨于網(wǎng)絡(luò)化，傳統(tǒng)商業(yè)模式下的垂直官僚式管理模式將被一種網(wǎng)絡(luò)化的扁平的組織結(jié)構(gòu)所取代。3、市場創(chuàng)新。由于網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，金融市場本身也開始出現(xiàn)創(chuàng)新。一方面，為了滿足客戶全球交易的需求和網(wǎng)絡(luò)世界的競爭新格局，金融市場開始走向國際聯(lián)合。另一方面，迫于競爭壓力一些證券交易所都在制定向上市公司轉(zhuǎn)變的戰(zhàn)略。4、監(jiān)管創(chuàng)新。由于信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)金融監(jiān)管呈現(xiàn)自由化和國際合作兩方面的特點：一方面過去分業(yè)經(jīng)營和防止壟斷傳統(tǒng)金融監(jiān)管政策被市場開放、業(yè)務(wù)融合和機(jī)構(gòu)集團(tuán)化的新模式所取代。另一方面，隨著在網(wǎng)絡(luò)上進(jìn)行的跨國界金融交易量越發(fā)巨大，一國的金融監(jiān)管部門已經(jīng)不能完全控制本國的金融市場活動了。

二、網(wǎng)絡(luò)金融的風(fēng)險從某種意義上來說，網(wǎng)絡(luò)金融的興起使得金融業(yè)變得更加脆弱，網(wǎng)絡(luò)金融所帶來的風(fēng)險大致可分為兩類：基于網(wǎng)絡(luò)信息技術(shù)導(dǎo)致的技術(shù)風(fēng)險和基于網(wǎng)絡(luò)金融業(yè)務(wù)特征導(dǎo)致的經(jīng)濟(jì)風(fēng)險。首先，從技術(shù)風(fēng)險來看，網(wǎng)絡(luò)金融的發(fā)展使得金融業(yè)的安全程度越來越受制于信息技術(shù)和相應(yīng)的安全技術(shù)的發(fā)展?fàn)顩r。第一，信息技術(shù)的發(fā)展如果難以適應(yīng)金融業(yè)網(wǎng)絡(luò)化需求的迅速膨脹，網(wǎng)絡(luò)金融的運(yùn)行無法達(dá)到預(yù)想的高效率，發(fā)生運(yùn)轉(zhuǎn)困難、數(shù)據(jù)丟失甚至非法獲取等，就會給金融業(yè)帶來安全隱患。第二，技術(shù)解決方案的選擇在客觀上造成了技術(shù)選擇失誤風(fēng)險，該風(fēng)險表現(xiàn)在兩個方面：一是所選擇的技術(shù)系統(tǒng)與客戶終端軟件不兼容，這將會降低信息傳輸效率；二是所選擇的技術(shù)方案很快被技術(shù)革新所淘汰，技術(shù)落后將帶來巨大的經(jīng)濟(jì)損失。其次，從經(jīng)濟(jì)風(fēng)險來說，網(wǎng)絡(luò)金融在兩個層面加劇了金融業(yè)的潛在風(fēng)險：其一，網(wǎng)絡(luò)金融的出現(xiàn)推動了混業(yè)經(jīng)營、金融創(chuàng)新和全球金融一體化的發(fā)展，在金融運(yùn)行效率提高，金融行業(yè)融合程度加強(qiáng)的同時，實際上也加大了金融體系的脆弱性；其二，由于網(wǎng)絡(luò)金融具有高效性、一體化的特點，因而一旦出現(xiàn)危機(jī)，即使只是極小的問題都很容易通過網(wǎng)絡(luò)迅速在整個金融體系中引發(fā)連鎖反應(yīng)，并迅速擴(kuò)散。

三、網(wǎng)絡(luò)金融發(fā)展存在的問題務(wù)規(guī)模有限，收入水平不高，基本上處于虧損狀況。第二，網(wǎng)上金融業(yè)務(wù)具有明顯的初級特征。我國的網(wǎng)絡(luò)金融產(chǎn)品和服務(wù)大多是將傳統(tǒng)業(yè)務(wù)簡單地“搬”上網(wǎng)，更多地把網(wǎng)絡(luò)看成是一種銷售方式或渠道，忽視了網(wǎng)絡(luò)金融產(chǎn)品及服務(wù)的創(chuàng)新潛力。在主觀方面，主要存在兩點問題：第一，未能進(jìn)行有效的統(tǒng)一規(guī)劃。我國網(wǎng)絡(luò)金融的發(fā)展因缺乏宏觀統(tǒng)籌，各融機(jī)構(gòu)在發(fā)展模式選擇、電子設(shè)備投入、網(wǎng)絡(luò)建設(shè)諸方面不僅各行其道，甚至還相互保密、相互設(shè)防，造成信息、技術(shù)、資金的浪費(fèi)和內(nèi)部結(jié)構(gòu)的畸形，不僅不利于形成網(wǎng)絡(luò)金融的發(fā)展，還有可能埋下金融業(yè)不穩(wěn)定的因素。第二，立法滯后。一方面與市場經(jīng)濟(jì)發(fā)達(dá)國家相比，我國網(wǎng)絡(luò)金融立法滯后。我國此類法律極為有限，只有《網(wǎng)上證券委托暫行管理辦法》、《證券公司網(wǎng)上委托業(yè)務(wù)核準(zhǔn)程序》等幾部法規(guī)，并且涉及的僅是網(wǎng)上證券業(yè)務(wù)的一小部分。另一方面與傳統(tǒng)金融業(yè)務(wù)健全的法律體系相比，網(wǎng)絡(luò)金融立法同樣滯后。面對網(wǎng)絡(luò)金融的發(fā)展和電子貨幣時代的到來，需要進(jìn)一步研究對現(xiàn)行金融立法框架進(jìn)行修改和完善，適當(dāng)調(diào)整金融業(yè)現(xiàn)有的監(jiān)管和調(diào)控方式，以發(fā)揮其規(guī)范和保障作用，促進(jìn)網(wǎng)絡(luò)金融積極穩(wěn)妥地發(fā)展。

四、建議應(yīng)采取的對策針對上述風(fēng)險和問題，提出以下幾點對策。（1）確立傳統(tǒng)金融與網(wǎng)絡(luò)金融并行發(fā)展的戰(zhàn)略。（2）建立專門的指導(dǎo)和管理機(jī)構(gòu)。（3）加快網(wǎng)絡(luò)金融立法。（4）造就復(fù)合型金融人才。（5）改革分業(yè)管理體制。（6）加快電子商務(wù)和網(wǎng)絡(luò)銀行的立法進(jìn)程。（7）銀監(jiān)會應(yīng)提高對網(wǎng)絡(luò)銀行的監(jiān)管水平。（8）大力發(fā)展先進(jìn)的、具有自主知識產(chǎn)權(quán)的信息技術(shù)，建立網(wǎng)絡(luò)安全防護(hù)體系。（9）建立大型共享型網(wǎng)絡(luò)銀行數(shù)據(jù)庫。（10）建立網(wǎng)絡(luò)金融統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。

【參考文獻(xiàn)】

第8篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

【關(guān)鍵詞】信息安全;風(fēng)險;應(yīng)對

隨著計算機(jī)應(yīng)用范圍日益廣泛，社會發(fā)展和人們生活已經(jīng)離不開信息網(wǎng)絡(luò)。信息技術(shù)成為行政機(jī)構(gòu)中重要的資源之一，很多行政機(jī)構(gòu)都大量引入了信息化辦公手段，運(yùn)行于系統(tǒng)、網(wǎng)絡(luò)和電腦的數(shù)據(jù)安全成為了行政機(jī)構(gòu)信息安全面臨的重大問題。盡管很多行政機(jī)構(gòu)都認(rèn)識到信息安全風(fēng)險管理的重要性，也紛紛從人員配置、資金投入、技術(shù)更新等多方面加強(qiáng)對信息安全風(fēng)險的管理，但是行政機(jī)構(gòu)信息安全風(fēng)險并沒有隨之消失，相反卻在不斷地增長?，F(xiàn)在，機(jī)構(gòu)在越來越多的威脅面前顯得更為脆弱。網(wǎng)絡(luò)攻擊日益頻繁、攻擊手段日益多樣化，從病毒到垃圾郵件，這些方式都被用來竊取機(jī)構(gòu)信息，如不提前防范，一旦被襲，網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等，無疑將給行政機(jī)構(gòu)業(yè)務(wù)帶來極大的負(fù)面影響和經(jīng)濟(jì)損失。因此，行政機(jī)構(gòu)信息安全風(fēng)險控制勢在必行，它不僅是行政機(jī)構(gòu)需要關(guān)注的問題，也是涉及到國家安全的重要課題。

1.行政機(jī)構(gòu)信息安全的風(fēng)險分析

1.1 黑客的入侵和攻擊

行政機(jī)構(gòu)面臨著一系列的信息安全威脅，其中最普遍的一種信息安全威脅就是病毒入侵。黑客技術(shù)的網(wǎng)絡(luò)資源隨處可見，很多年輕人處于好奇或者出于牟利目的，從網(wǎng)上購得黑客技術(shù)，對行政機(jī)構(gòu)網(wǎng)站進(jìn)行攻擊。

1.2 行政機(jī)構(gòu)不重視信息安全的風(fēng)險問題

目前，很多行政機(jī)構(gòu)都加強(qiáng)了信息化建設(shè)，通過資金投入、技術(shù)改造等多方面來加強(qiáng)行政機(jī)構(gòu)信息安全。但是信息風(fēng)險不僅僅是技術(shù)層面的東西，更重要是人的意識層面對安全風(fēng)險的認(rèn)識。在行政機(jī)構(gòu)中，很多部門和個人依然對信息安全風(fēng)險問題不重視，有的認(rèn)為信息風(fēng)險安全是網(wǎng)絡(luò)部門的事情，與其他部門或者員工沒有關(guān)系，而且也幫不上忙;有的人認(rèn)為對信息安全的宣傳有夸張的嫌疑，真正遭受過網(wǎng)絡(luò)攻擊的行政機(jī)構(gòu)屈指可數(shù)，肯定不會發(fā)生在自己身上;有的行政機(jī)構(gòu)缺乏信息安全風(fēng)險管理的制度建設(shè)，沒有出臺具體的故障制度，造成員工無章可循，不知道怎么應(yīng)對網(wǎng)絡(luò)信息風(fēng)險，出現(xiàn)問題也不知道如何化解和處理。有的行政機(jī)構(gòu)盡管已經(jīng)制定了規(guī)章制度，但很多都是流于形式，沒有針對性，也沒有操作性，長年累月不進(jìn)行更新和修改，滯后于信息化時展的要求。

1.3 行政機(jī)構(gòu)信息安全權(quán)限的規(guī)定不嚴(yán)謹(jǐn)

很多行政機(jī)構(gòu)在實際工作制定了大量的安全管理規(guī)定，但是在實際操作中，對行政機(jī)構(gòu)員工以及信息服務(wù)人員的口令卡、數(shù)據(jù)加密等要求很難得到落實。部分員工長期使用初始口令、加密強(qiáng)度較弱的口令，有的員工登陸系統(tǒng)時使用別人的賬號，使用完畢后也沒有及時關(guān)閉賬號，也不關(guān)電腦，外來人員很容易登陸電腦竊取行政機(jī)構(gòu)機(jī)密文件，機(jī)構(gòu)內(nèi)部也缺乏信息安全風(fēng)險管理的意識，員工可以任意下載行政機(jī)構(gòu)資料，可以隨意將行政機(jī)構(gòu)資料設(shè)置成共享狀態(tài)，在拷貝行政機(jī)構(gòu)文件或者數(shù)據(jù)時，也沒有經(jīng)過殺毒過程，直接下載或者用郵件發(fā)送。甚至很多行政機(jī)構(gòu)員工在上班時間看電影、玩游戲、下載文件比較普遍，員工隨意打開一些不安全的網(wǎng)站，隨意接受一些來源可疑的郵件，成病毒傳播、木馬下載、賬號及密碼被盜，自己還渾然不知。這些不良行為都嚴(yán)重威脅行政機(jī)構(gòu)的信息安全，加上現(xiàn)代行政機(jī)構(gòu)人員流動比較頻繁，員工跳槽很普遍，很多員工離職后也沒有上交機(jī)構(gòu)賬號和口令卡，依然可以登錄原機(jī)構(gòu)系統(tǒng)，給行政機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險帶來隱患。行政機(jī)構(gòu)廢棄不用的一些安全設(shè)備也沒有及時進(jìn)行加密和保護(hù)處理，里面的數(shù)據(jù)沒有及時進(jìn)行刪除，安全設(shè)備隨意放置，外人很容易從這些設(shè)備中還原和復(fù)制原有的信息資源。

1.4 行政機(jī)構(gòu)缺乏對信息技術(shù)裝備和設(shè)施的監(jiān)控與維護(hù)

很多行政機(jī)構(gòu)為了加強(qiáng)信息安全風(fēng)險管理，都有針對性的部署了一些信息安全設(shè)備，然后這些從安裝上就很少有人問津，設(shè)備的運(yùn)行狀況和參數(shù)設(shè)置都不合理，都是根據(jù)系統(tǒng)提示采用默認(rèn)設(shè)置，由于行政機(jī)構(gòu)與行政機(jī)構(gòu)之間有很大的不同，行政機(jī)構(gòu)之間的信息安全風(fēng)險也相差迥異，采用默認(rèn)狀態(tài)無法照顧行政機(jī)構(gòu)的真實情況，不能從源頭上有針對性的加強(qiáng)信息安全風(fēng)險管理。很多行政機(jī)構(gòu)缺乏對安全設(shè)備以及運(yùn)行日志的監(jiān)控，不能有效的根據(jù)設(shè)備運(yùn)行狀況進(jìn)行細(xì)致分析，從而采取適當(dāng)措施加強(qiáng)信息風(fēng)險管理?？傊谛姓C(jī)構(gòu)信息安全風(fēng)險管理中被動保護(hù)的情況比較普遍，缺乏主動防御的意識，而且對于大多數(shù)中小行政機(jī)構(gòu)而言，行政機(jī)構(gòu)資金和規(guī)模都比較小，面臨激烈的市場競爭，行政機(jī)構(gòu)將主要精力用于市場開拓和產(chǎn)品的影響，以期在短時間內(nèi)獲得可觀的利潤，行政機(jī)構(gòu)在信息安全風(fēng)險上的投人比較少，很多設(shè)備都老化了，線路都磨損嚴(yán)重，卻沒有得到及時更新和維護(hù)，為行政機(jī)構(gòu)安全風(fēng)險管理埋下了隱患。

2.行政機(jī)構(gòu)信息安全風(fēng)險的應(yīng)對

2.1 機(jī)構(gòu)人員須提高個人信息安全意識

維護(hù)行政機(jī)構(gòu)計算機(jī)網(wǎng)絡(luò)信息安全是行政機(jī)構(gòu)每一位員工都應(yīng)該關(guān)注的課題，行政機(jī)構(gòu)要加強(qiáng)信息安全風(fēng)險防范的宣傳，讓每一位員工都對基本得到網(wǎng)絡(luò)安全信息技術(shù)有所了解，對計算機(jī)風(fēng)險的重要性有清楚的認(rèn)識，每位員工尤其是網(wǎng)絡(luò)技術(shù)服務(wù)人員要把口令卡和賬號管理好，不能泄露或者遺失，使用者的網(wǎng)絡(luò)操作行為和權(quán)限都要進(jìn)行一定的控制，防止行政機(jī)構(gòu)員工越權(quán)瀏覽機(jī)構(gòu)信息，對于一些涉及行政機(jī)構(gòu)機(jī)密的文件要及時進(jìn)行加密，對文件是否可以公開訪問進(jìn)行限制，減少不合法的訪問。還要及時清理文件，一些廢棄的或者沒有價值的文件要及時進(jìn)行刪除，要徹底刪除不能僅僅放到回收站，保證其他人無法通過復(fù)制或者還原電腦設(shè)備中的信息。對于行政機(jī)構(gòu)電腦設(shè)備要注意防磁、防雷擊等保護(hù)措施，行政機(jī)構(gòu)職工要對電腦設(shè)備的基本保養(yǎng)和維護(hù)措施有了解，不要在過于潮濕、氣溫過高的地方使用電腦，要懂得如何對電腦系統(tǒng)繼續(xù)軟件更新和漏洞的修補(bǔ)，從而保證計算機(jī)處在最優(yōu)的防護(hù)狀態(tài)，減少病毒入侵。

2.2 加強(qiáng)信息安全基礎(chǔ)設(shè)施建設(shè)資金投入

行政機(jī)構(gòu)要加強(qiáng)信息安全風(fēng)險防范的資金投入，資金投入主要用于行政機(jī)構(gòu)日常安全信息管理、技術(shù)人員的培訓(xùn)以及安全設(shè)備的購置等等，每年行政機(jī)構(gòu)從行政機(jī)構(gòu)利潤中拿出一定比例的資金來加強(qiáng)信息安全的投入，投入的資金與行政機(jī)構(gòu)規(guī)模、行政機(jī)構(gòu)對信息安全的要求息息相關(guān)。針對很多機(jī)構(gòu)信息化設(shè)備老化，線路損耗嚴(yán)重的現(xiàn)實情況，行政機(jī)構(gòu)要加強(qiáng)線路的維護(hù)和改造，購買新的防火墻和殺毒軟件等等，在采購和使用信息安全產(chǎn)品時，行政機(jī)構(gòu)一定要重視產(chǎn)品的管理功能是否強(qiáng)大、解決方案是否全面，以及行政機(jī)構(gòu)安全管理人員的技術(shù)水平。例如行政機(jī)構(gòu)可以購入UPS電源，突然停電時可以利用該電源用來應(yīng)急，以保證機(jī)構(gòu)信息化建設(shè)中系統(tǒng)的正常運(yùn)行和設(shè)備技術(shù)的及時更新。

2.3 加強(qiáng)行政機(jī)構(gòu)網(wǎng)絡(luò)的防火墻設(shè)計

由員工網(wǎng)絡(luò)操作不當(dāng)造成的黑客入侵、商業(yè)機(jī)密泄露也威脅著行政機(jī)構(gòu)的生存和發(fā)展。一直以來，行政機(jī)構(gòu)信息安全解決方案都需要來自多個制造商的不同產(chǎn)品，需要多個工具和基礎(chǔ)結(jié)構(gòu)來進(jìn)行管理、報告和分析。不同品牌、不同功能的信息安全設(shè)備被雜亂無章地堆疊在行政機(jī)構(gòu)網(wǎng)絡(luò)中，不但兼容性差，還容易造成行政機(jī)構(gòu)網(wǎng)絡(luò)擁堵。正確地部署和配置這些復(fù)雜的解決方案十分困難，而且需要大量時間。另外，大量安全產(chǎn)品互操作性不足，無法與已有的安全和IT基礎(chǔ)結(jié)構(gòu)很好的集成。這樣組成的解決方案難以管理，增加了擁有者總成本，并可能在網(wǎng)絡(luò)上留下安全漏洞。行政機(jī)構(gòu)可以引入終端安全管理系統(tǒng)進(jìn)行信息安全風(fēng)險的防范，例如瑞星終端安全管理系統(tǒng)采用了統(tǒng)一系統(tǒng)平立功能模塊的設(shè)計理念，集病毒查殺雙引擎、專業(yè)防火墻和信息安全審計等于一身，具有網(wǎng)絡(luò)安全管理、客戶端行為審計、即時通訊管理和審計、客戶端漏洞掃描和補(bǔ)丁管理等功能;行政機(jī)構(gòu)信息安全新品還采用了模塊化的新形式，行政機(jī)構(gòu)可以根據(jù)自己的需求定制相應(yīng)的功能組合;通過瑞星在線商店，行政機(jī)構(gòu)也可以隨著信息安全需求的變化添加所需模塊，減輕首次購買的支付成本及后續(xù)的升級成本。

總之，隨著網(wǎng)絡(luò)應(yīng)用的日益普及，行政機(jī)構(gòu)信息安全風(fēng)險問題日益復(fù)雜。要切實加強(qiáng)對信息安全風(fēng)險的認(rèn)識，從規(guī)章制度、技術(shù)手段以及宣傳教育等多方面加強(qiáng)行政機(jī)構(gòu)信息安全風(fēng)險防范，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

參考文獻(xiàn)

[1]徐瑋晟，張保穩(wěn)，李生紅.網(wǎng)絡(luò)安全評估方法研究進(jìn)展[J].專家新論，2009（10）：50-53.

[2]張，慕德俊，任帥等.一種基于風(fēng)險矩陣法的信息安全風(fēng)險評估模型[J].計算機(jī)工程與應(yīng)用，2010，46（5）：93-95.

第9篇：網(wǎng)絡(luò)安全技術(shù)服務(wù)方案范文

關(guān)鍵詞：信息安全；等級保護(hù)；等級測評；實踐教學(xué)；綜合實訓(xùn)

DOIDOI：10.11907/rjdk.161717

中圖分類號：G434

文獻(xiàn)標(biāo)識碼：A文章編號文章編號：16727800（2016）009017303

基金項目基金項目：貴州省科技廳社發(fā)攻關(guān)項目（黔科合SY字2012-3050號）；貴州大學(xué)自然科學(xué)青年基金項目（貴大自青合字2010-026號）；貴州大學(xué)教育教學(xué)改革研究項目（JG2013097）

作者簡介作者簡介：張文勇（1973-），男，貴州臺江人，碩士，貴州大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院講師，研究方向為網(wǎng)絡(luò)與信息安全；李維華（1961-），男，貴州貴陽人，貴州大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院高級實驗師，研究方向為網(wǎng)絡(luò)與信息安全；唐作其（1980-），男，貴州興義人，碩士，貴州大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院副教授，研究方向為信息安全保障體系。

0引言

信息安全等級保護(hù)是國家信息安全保障工作的基本制度、基本策略、基本方法，開展信息安全等級保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。信息安全學(xué)科要求學(xué)生不僅要具備很強(qiáng)的理論知識，更應(yīng)具備較強(qiáng)的實踐能力?，F(xiàn)階段很多高校在理論教學(xué)上有較好的培養(yǎng)方法和模式，學(xué)生具備良好的理論基礎(chǔ)，但在實踐教學(xué)中由于各課程的銜接和關(guān)聯(lián)較少，盡管部分學(xué)校開設(shè)了信息安全實訓(xùn)或信息安全攻防實踐等課程，但基本都是做一些單元實驗，僅局限于某一方面的技能訓(xùn)練，沒有從全局、系統(tǒng)的角度去培養(yǎng)學(xué)生綜合運(yùn)用各種信息安全知識解決實際問題的能力[15]。從貴州大學(xué)信息安全專業(yè)畢業(yè)生就業(yè)情況調(diào)查反饋信息來看，絕大多數(shù)畢業(yè)生主要從事企事業(yè)單位的信息安全管理、信息安全專業(yè)服務(wù)等工作，少數(shù)畢業(yè)生從事信息安全產(chǎn)品研發(fā)，或繼續(xù)碩士博士深造，從事信息安全理論研究。用人單位普遍反映學(xué)生的基本理論掌握相對較好，但實際操作技能、綜合分析能力欠缺。為了解決目前這種狀況，筆者根據(jù)長期從事信息安全等級保護(hù)項目實施工作實踐，提出在信息安全專業(yè)的實踐教學(xué)環(huán)節(jié)中引入信息安全等級保護(hù)相關(guān)內(nèi)容。

1信息安全等級保護(hù)對學(xué)生能力培養(yǎng)的作用

信息安全等級保護(hù)工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段，信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級的評估過程。信息安全等級保護(hù)的知識體系完善，信息安全等級保護(hù)測評人員的技術(shù)要求涵蓋多個方面，包括物理環(huán)境、主機(jī)、操作系統(tǒng)、應(yīng)用安全、安全設(shè)備等，因此國家對于信息安全等級保護(hù)人員的技術(shù)要求十分綜合和全面[3]。如參照信息安全等級保護(hù)專業(yè)人員的技術(shù)要求對學(xué)生開展信息安全綜合實訓(xùn)將滿足社會對信息安全專業(yè)人員的技能和知識結(jié)構(gòu)要求，主要體現(xiàn)在以下4個方面：①培養(yǎng)學(xué)生了解國家關(guān)于非信息系統(tǒng)保護(hù)的基本方針、政策、標(biāo)準(zhǔn)；②培養(yǎng)學(xué)生掌握各種基本信息安全技術(shù)操作技能，熟悉各種信息系統(tǒng)構(gòu)成對象的基本操作，為將來快速融入到信息安全保護(hù)實踐工作奠定基礎(chǔ)；③培養(yǎng)學(xué)生具備從綜合、全面的角度去規(guī)劃、設(shè)計、構(gòu)建符合國家信息安全保障體系要求的信息安全防護(hù)方案能力；④培養(yǎng)學(xué)生建立信息安全等級保護(hù)的基本意識，在工作實踐中自覺按國家信息安全等級保護(hù)要求開展工作，有利于促進(jìn)國家信息安全等級保護(hù)政策實施。

2實訓(xùn)教學(xué)知識體系

信息安全等級保護(hù)的相關(guān)政策和標(biāo)準(zhǔn)是信息安全實訓(xùn)教學(xué)體系建立的基本依據(jù)，GB/T 22239-2008《信息安全等級保護(hù)基本要求》在信息安全等級保護(hù)標(biāo)準(zhǔn)體系中起基礎(chǔ)性作用。信息安全等級保護(hù)基本要求充分體現(xiàn)了“全面防御，縱深防御”的理念，遵循了“技術(shù)和管理并重”的基本原則，而不同級別的業(yè)務(wù)信息系統(tǒng)在控制點要求項上的區(qū)別體現(xiàn)了“適度安全”的根本原則[6]。信息安全保護(hù)測評是信息安全等級保護(hù)的一項重要基礎(chǔ)性工作，GB/T 28449-2012《信息安全等級保護(hù)測評過程指南》是對等級測評的活動、工作任務(wù)以及每項任務(wù)的工作內(nèi)容作出了詳細(xì)建議，等級測評中的單元測評、整體測評、風(fēng)險分析、問題處置及建議環(huán)節(jié)體現(xiàn)了測評工程師對等保項目基本安全保障情況的綜合分析能力[610]。信息安全等級保護(hù)知識體系龐大，不可能兼顧所有方面，因而在信息安全實訓(xùn)教學(xué)知識體系制訂中采用兼顧全局、突出重點的基本原則；在實訓(xùn)教學(xué)知識體系的構(gòu)成中重點以《信息安全等級保護(hù)基本要求》和《信息安全等級保護(hù)測評過程指南》為基礎(chǔ)，包括基本理論培訓(xùn)、基本技能實訓(xùn)、安全管理培訓(xùn)、能力提高實訓(xùn)四大模塊；在實際操作中將重點放在基本技能實訓(xùn)和能力提高實訓(xùn)上。各實訓(xùn)模塊構(gòu)成及關(guān)系如圖1所示。

3實訓(xùn)教學(xué)實施

教學(xué)實施依據(jù)實訓(xùn)教學(xué)知識體系進(jìn)行，教學(xué)方式采用集中課堂基本理論教學(xué)、在信息系統(tǒng)模擬平臺實施現(xiàn)場測評數(shù)據(jù)采集的基本操作實訓(xùn)和以信息安全等級保護(hù)測評報告的編寫為基礎(chǔ)的數(shù)據(jù)分析、數(shù)據(jù)整理、安全方案編寫實訓(xùn)。

3.1基本理論教學(xué)

該環(huán)節(jié)采用集中課堂教學(xué)方式，講解的主要內(nèi)容是信息安全等級保護(hù)政策和標(biāo)準(zhǔn)。講解深度上應(yīng)有所側(cè)重，講解重點包括：①信息安全等級保護(hù)基本要求中層面的劃分原則和依據(jù)、控制點的構(gòu)成、控制點中要求項的解讀；②信息安全保護(hù)過程指南中單元測評、整體測評、風(fēng)險分析、問題處置和建議等部分的解讀。

理論教學(xué)在突出重點的同時，兼顧全局，讓學(xué)生對信息安全等級保護(hù)制度和標(biāo)準(zhǔn)有一個完整、清晰的認(rèn)識。

3.2基本技能實訓(xùn)

基本技能實訓(xùn)環(huán)節(jié)主要是強(qiáng)化學(xué)生各種信息安全技術(shù)的基本操作訓(xùn)練。首先，應(yīng)根據(jù)最真實的企業(yè)內(nèi)部環(huán)境搭建符合信息安全等級保護(hù)要求的模擬信息系統(tǒng)，并編寫好對應(yīng)的信息安全等級保護(hù)現(xiàn)場測評指導(dǎo)書；然后，指導(dǎo)學(xué)生在模擬系統(tǒng)上進(jìn)行現(xiàn)場測評實訓(xùn)，實訓(xùn)過程按信息安全等級保護(hù)現(xiàn)場測評指導(dǎo)書要求進(jìn)行，實訓(xùn)內(nèi)容以獲取信息系統(tǒng)安全配置和運(yùn)行狀態(tài)等原始數(shù)據(jù)為基礎(chǔ)?；炯寄軐嵱?xùn)模塊包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)備份及恢復(fù)、自動化工具掃描這5個層面的訓(xùn)練項目。

（1）網(wǎng)絡(luò)安全。學(xué)生在模擬平臺上開展各種主流的網(wǎng)絡(luò)設(shè)備和安全設(shè)備的基本操作訓(xùn)練，要求學(xué)生理解網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全功能及安全設(shè)置，掌握設(shè)備的運(yùn)行狀態(tài)和信息數(shù)據(jù)采集方法。

（2）主機(jī)安全。學(xué)生在模擬平臺上開展各種主流系統(tǒng)軟件基本操作訓(xùn)練，包括操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、中間件等，要求學(xué)生理解各種系統(tǒng)軟件的安全功能和安全設(shè)置。通過本環(huán)節(jié)的實訓(xùn)，學(xué)生應(yīng)具備系統(tǒng)軟件安全配置核查和運(yùn)行狀態(tài)信息采集能力。

（3）應(yīng)用安全。學(xué)生在模擬平臺上對所安裝的主流商用應(yīng)用軟件和自主開發(fā)軟件進(jìn)行安全配置核查和安全功能驗證訓(xùn)練，要求學(xué)生理解應(yīng)用軟件的安全功能設(shè)計要求，掌握應(yīng)用軟件的安全配置核查和安全功能驗證方法。

（4） 數(shù)據(jù)備份和回復(fù)。通過模擬系統(tǒng)的磁盤冗余陣列進(jìn)行基本操作訓(xùn)練，讓學(xué)生了解磁盤冗余陣列的驗證方法；通過訓(xùn)練學(xué)生在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)上配置計劃備份任務(wù)，使其理解系統(tǒng)軟件的數(shù)據(jù)備份安全功能，掌握系統(tǒng)軟件的備份操作計劃配置和驗證方法。

（5）自動化工具掃描。學(xué)生利用主流的開源掃描工具和商用的掃描工具對模擬系統(tǒng)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器主機(jī)等進(jìn)行掃描，獲取信息系統(tǒng)主要軟硬件的漏洞，并驗證系統(tǒng)的脆弱性。本部分獲取的原始數(shù)據(jù)作為（1）、（2）、（3）部分的補(bǔ)充，通過本環(huán)節(jié)培訓(xùn)學(xué)生整理和分析漏洞掃描結(jié)果以及初步驗證漏洞真實性的能力。

3.3能力提高實訓(xùn)

在學(xué)生掌握信息系統(tǒng)安全配置和運(yùn)行狀態(tài)數(shù)據(jù)采集的基本技能后實施能力提高實訓(xùn)，本模塊主要培訓(xùn)學(xué)生對原始數(shù)據(jù)的分析、整理，并編寫信息安全等級保護(hù)測評報告的能力。能力提高實訓(xùn)模塊主要包括單元測評、整體測評、風(fēng)險分析、問題處置和安全建議4個項目，各項目之間的關(guān)系流程如圖2所示。

（1）通過基本技能實訓(xùn)獲取到原始數(shù)據(jù)后，根據(jù)信息安全等級保護(hù)測評過程要求整理、分析原始數(shù)據(jù)，開展單元測評，并給出各單元層面內(nèi)控制點中檢查項的符合性，分析并給出單元測評結(jié)果，按信息安全等級保護(hù)報告模板編寫單元測評報告。

（2）在完成單元測評后，由于單元測評參照的信息相對獨立，未考慮原始數(shù)據(jù)間的關(guān)聯(lián)性，而實際信息系統(tǒng)的最終安全防護(hù)效力和面臨的風(fēng)險是信息系統(tǒng)安全控制點間、安全層面間、安全區(qū)域間各組成要素共同作用的結(jié)果，因此在完成單元測評后還應(yīng)該進(jìn)行整體測評。整體測評主要是考慮單元測評中的各控制點間、安全層面間、安全區(qū)域間存在某種關(guān)聯(lián)性，這種關(guān)聯(lián)會對信息系統(tǒng)整體的安全防護(hù)效力、面臨的風(fēng)險具有降低或增加的作用，應(yīng)從整體角度對信息系統(tǒng)安全的狀態(tài)進(jìn)行修正。

（3）風(fēng)險分析結(jié)果是制訂信息安全系統(tǒng)防護(hù)措施的重要依據(jù)，風(fēng)險分析能力是體現(xiàn)信息安全工程師水平的一項重要指標(biāo)。在風(fēng)險分析實訓(xùn)項目中結(jié)合單元測評和整體測評結(jié)果利用風(fēng)險分析計算工具對信息系統(tǒng)面臨的風(fēng)險等級大小進(jìn)行定性或定量的分析計算，并編寫風(fēng)險分析報告。

（4）確定信息系統(tǒng)存在的風(fēng)險后，接著應(yīng)分析引起信息系統(tǒng)風(fēng)險的因素，對不可接受風(fēng)險因素或不能滿足等級保護(hù)要求的安全防護(hù)項提出完整的問題處置和整改建議。問題處置和整改建議環(huán)節(jié)要求信息安全工程技術(shù)人員具備扎實理論知識的同時還具備相當(dāng)豐富的實踐經(jīng)驗，工程技術(shù)人員必須熟悉信息安全的各種防護(hù)技術(shù)和目前市場上相關(guān)的信息安全軟硬件安全產(chǎn)品。因此，本實訓(xùn)項目主要是訓(xùn)練并提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實際問題的能力。

4結(jié)語

在信息安全專業(yè)的實踐教學(xué)中引入信息安全等級保護(hù)內(nèi)容，實訓(xùn)教學(xué)知識體系完全參照信息安全等級保護(hù)要求來構(gòu)建，信息安全等級保護(hù)知識體系完善，保證了實訓(xùn)內(nèi)容的廣度和深度。通過信息安全等級保護(hù)現(xiàn)場測評環(huán)節(jié)訓(xùn)練學(xué)生的信息安全技術(shù)基本操作技能，通過信息安全等級保護(hù)測評報告的編制訓(xùn)練學(xué)生運(yùn)用信息安全等級保護(hù)基本知識、理論和方法去分析信息系統(tǒng)存在的漏洞、面臨的安全風(fēng)險，并編制符合信息安全等級保護(hù)要求的安全防護(hù)方案，提高學(xué)生綜合運(yùn)用信息安全技術(shù)解決實際問題的能力，較好地滿足了社會對信息安全人才的需求，深受信息安全等級保護(hù)技術(shù)服務(wù)機(jī)構(gòu)和已開展或擬開展信息系統(tǒng)安全等級保護(hù)的企事業(yè)及機(jī)關(guān)單位的歡迎，為學(xué)生畢業(yè)后盡快適應(yīng)工作要求奠定了基礎(chǔ)。

由于實驗環(huán)境的限制，所制訂的基于信息安全等級保護(hù)的實訓(xùn)教學(xué)知識體系仍存在以下3點不足：①實訓(xùn)教學(xué)體系未涉及虛擬化、云計算、物聯(lián)網(wǎng)安全實訓(xùn)，而這些是當(dāng)前發(fā)展較快且正被廣泛運(yùn)用的信息技術(shù)；②由于滲透測試對測試環(huán)境搭建和學(xué)生基本技能要求較高，因而實訓(xùn)教學(xué)體系中并未涉及滲透測試項目；③信息安全管理在信息安全防護(hù)工作中是非常重要但卻最容易被忽視的工作內(nèi)容，可以說一個組織的信息安全管理水平高低直接決定其信息系統(tǒng)的安全防護(hù)能力。因為安全管理測評基本上采用的是制度類、證據(jù)類、記錄類文檔性資料的核查和訪談，而在實訓(xùn)中難以模擬一個完整的安全管理體系實際案例，所以在實訓(xùn)中安全管理部分更多地是采用課堂教學(xué)講解，沒有操作實訓(xùn)。 這些在后續(xù)教學(xué)實踐工作中都有待改進(jìn)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]楊冬曉，嚴(yán)曉浪，于慧敏.信息類特色專業(yè)建設(shè)的若干實踐[J].中國電子教育，2010（1）：3945.

[2]田秀霞.創(chuàng)新實踐項目驅(qū)動的信息安全專業(yè)教學(xué)改革[J].計算機(jī)教育，2015（23）：3033.

[3]張勝生，呂緒銀.基于信息安全場景下的等級保護(hù)技術(shù)人才培養(yǎng)模式研究[C].第二屆全國信息安全等級保護(hù)測評體系建設(shè)會議論文集，2012：8385.

[4]李琳，陳東方，李濤，等.信息安全專業(yè)實踐教學(xué)體系研究[J].電腦知識與技術(shù).2014，10（35）：85148515.

[5]蔣煒.信息安全等級保護(hù)培訓(xùn)探討[J].現(xiàn)代企業(yè)研究，2015（2）：64.

[6]公安部信息安全等級保護(hù)評估中心.信息安全等級保護(hù)政策培訓(xùn)教程[M].北京：電子工業(yè)出版社，2015.

[7]公安部信息安全等級保護(hù)評估中心.信息安全等級測評師培訓(xùn)教程（中級） [M].北京：電子工業(yè)出版社，2015.

[8]公安部信息安全等級保護(hù)評估中心.信息安全等級測評師培訓(xùn)教程（初級） [M].北京：電子工業(yè)出版社，2015.