前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇機房網絡應急預案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

機房網絡應急預案范文第1篇

在現(xiàn)代化信息高度分享的今天，計算機網絡的安全問題也隨之不斷出現(xiàn)，給計算機網絡系統(tǒng)的安全性造成了巨大的影響，影響了許多計算機用戶的正常使用，了解破壞計算機網絡安全性的影響因素至關重要，只有提高了計算機網絡的安全性能，人們才能夠放心自由地使用計算機網絡。

1計算機網絡安全的影響因素

1.1計算機病毒入侵

計算機病毒的入侵具有非常強大的破壞力，給計算機系統(tǒng)的安全性造成了巨大的威脅，而且計算機病毒具有非常強的傳播能力，會把計算機用戶的個人信息傳播到整個網絡系統(tǒng)當中，給人們的經濟財產造成巨大的損失。常常會有一些計算機黑客入侵到計算機使用者的個人計算機中，對計算機進行非法訪問，獲取用戶的資料信息以后，對用戶個人信息進行篡改或刪除，給計算機網絡的安全性造成了不可磨滅的損失[1]。

1.2計算機管理者的錯誤操作

有時候，計算機管理者的錯誤操作或不當使用也會對計算機網絡的安全性造成影響，有的計算機管理者自身的網絡安全防范意識比較差，并不會正確使用操作計算機，有可能在計算機各種指令的輸入時出現(xiàn)錯誤。

1.3計算機軟件老化

有的計算機使用時間比較長，計算機自身的一些功能就會出現(xiàn)一定程度的損壞，對計算機正常訪問網絡造成一定的影響。除了受到計算機自身因素的影響以外，網絡系統(tǒng)也會受到計算機所在地點、網絡光纖的使用情況、計算機網線的損壞等也會對計算機網絡的安全性造成影響，甚至引發(fā)網絡安全事故。

2加強計算機網絡安全的防范措施

2.1加強計算機軟件的開發(fā)管理

為了加強計算機網絡系統(tǒng)的安全性，可以研究開發(fā)網絡加密技術，從而保障計算機用戶的個人信息安全，網絡加密技術是計算機系統(tǒng)安全的重要保障措施。其次，要大力開發(fā)計算機防火墻技術，通過對計算機硬件設施進行設置以后，實現(xiàn)對惡意軟件的攔截，要打造高端的防火墻技術，從而減少計算機系統(tǒng)的安全漏洞，并對那些非正規(guī)網站的運行程序進行攔截[2]。最重要的一點，要提高計算機系統(tǒng)的查毒殺毒功能，當計算機病毒入侵到用戶個人電腦以后，可以快速地通過殺毒軟件檢測到病毒，并迅速地將病毒清除，必須要安裝高效快捷的殺毒軟件，計算機使用者還要定期到官方網站上下載補丁漏洞程序，例如安裝360殺毒軟件和360安全衛(wèi)士、電腦管家等對計算機軟件進行下載掃描，定期更新計算機漏洞補丁。加強網絡監(jiān)控系統(tǒng)的設置，有效利用監(jiān)控軟件對計算機網絡進行實時性的監(jiān)控，防止惡意軟件入侵，加強開發(fā)計算機軟件應用，并針對應用效果進行調整。

2.2強化計算機管理者的安全防范意識

作為計算機用戶管理者，必須要提高自身網絡安全的防范意識，從自身做起，在使用計算機網絡中，對計算機網絡系統(tǒng)的安全性問題進行初步了解，進而在以后的計算機使用中，能夠提高計算機安全使用技能。計算機管理者可以對自身設備設置安全密碼，并定期更換密碼，防止黑客的入侵。因此要強化計算機管理者的安全范圍意識，培養(yǎng)全方面的計算機網絡技術性人才，通過計算機網絡安全專業(yè)性知識的培養(yǎng)教育，提升全民的網絡安全防范意識。要注意對計算機管理者的管理方式和方法，可以建立健全的計算機網絡安全的規(guī)章制度，并且嚴格按章規(guī)章制度進行管理，一旦出現(xiàn)有人做出了違反計算機網絡安全規(guī)章制度的行為，必須對其進行嚴厲處理，防止惡意攻擊他人計算機的事情再次發(fā)生。

2.3更新計算機軟件設施

在計算機系統(tǒng)軟件的使用中，許多人選擇盜版的軟件，但實際上，正版的計算機軟件要比盜版軟件的安全性能強很多，所以在選擇計算機軟件時，要盡量選擇正版的計算機軟件，提高計算機系統(tǒng)的網絡安全防范能力，提高計算機網絡系統(tǒng)的安全性[3]。

3結論

提高計算機網絡的安全性是一項長期且系統(tǒng)的工程，首先要了解影響計算機網絡系統(tǒng)安全性的原因，進而提出加強計算機網絡安全防范的相應措施，還要在一定程度上加強對計算機軟件的開發(fā)管理，強化人們的計算機網絡安全防范意識，并且定期進行更新計算機軟件設施，保證計算機網絡系統(tǒng)的安全使用。

參考文獻

[1]王濤.淺析計算機網絡安全問題及其防范措施[J].科技創(chuàng)新與應用，2013，02：45.

機房網絡應急預案范文第2篇

關鍵詞：油田企業(yè)；網絡安全；防火墻技術；應用

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 15-0000-01

Application of Oilfield Enterprise Network Security and Firewall Technology

Hou Haidong

(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)

Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.

Keywords:Oilfield enterprise;Network security;Firewall technology;Application

計算機從出現(xiàn)到發(fā)展，短短幾十年間，無論從生活、學習，還是工作中都帶來了巨大的影響，使我們的生活、學習和工作都起了翻天覆地的變化。在各個企業(yè)里面，現(xiàn)代化的建設都是建立在計算機網絡技術應用之上的，計算機技術覆蓋了企業(yè)生產的各個大小環(huán)節(jié)。保證企業(yè)中網絡的安全性，使企業(yè)生產順利進行，這是企業(yè)中網絡運行的基本保障。筆者仔細分析了青海油田企業(yè)網絡安全現(xiàn)狀，針對青海油田企業(yè)的網絡安全問題，提出相應的解決策略，結合防火墻技術的應用，提高油田企業(yè)網絡安全性，保證企業(yè)生產的順利進行。

一、青海油田企業(yè)網絡工作概況

青海油田是一家大型企業(yè)，其二級單位網絡中目前包含華為、港灣、華為3COM、Cisco等廠商設備，屬于多廠商互聯(lián)網絡。青海油田企業(yè)的整個網絡主體建設于1999年，逐年累建至今。目前網絡集中問題有多個方面，網絡缺乏管理性；多廠商設備，難以統(tǒng)一管理；大部分設備陳舊，匯聚層性能、帶寬不足；冗余可靠性差。由于這些原因，導致匯聚層設備擴展性不夠，一些單位層層級連網，影響網絡的穩(wěn)定性和可靠性，使得網絡安全問題成為極大的難題。

二、網絡安全風險

網絡安全風險根據不同的方面，有許多的風險因素，比如網絡外部的環(huán)境是否安全，包括了電源故障、設備被盜、認為操作失誤、線路截獲、高可用性的硬件、機房環(huán)境、雙機多冗余的設計、安全意識、報警系統(tǒng)等。再比如系統(tǒng)完全，包括了整個局域網的網絡硬件平臺、網絡操作系統(tǒng)等。每一個網絡操作系統(tǒng)都有其后門，不可能有絕對安全的操作系統(tǒng)。還有網絡平臺的安全風險，作為企業(yè)信息的公開平臺，要是受到了攻擊或者在運行中間出現(xiàn)了問題，對企業(yè)的聲譽是極大的影響。同時，作為公開的服務器，本身隨時都面臨著黑客的攻擊，安全風險比其他的原本就要高上許多。另外，應用系統(tǒng)安全也是風險因素中的一個，在不斷發(fā)展和增加過程中，其安全漏洞也在日益增加，并且漏洞隱藏得只會越來越深。此外還有管理的安全，管理混亂、責權不分、安全管理制度不健全等都是管理安全的風險因素。

三、油田企業(yè)網絡安全管理工作

隨著油田企業(yè)中網絡用戶的逐漸增多，網絡安全問題也越來越突出、越來越被網絡管理工作人員所重視。在實際工作中，通過增強單位用戶對網絡安全重要性的緊迫性的認識、強化和規(guī)范用戶防病毒意識等手段，全面采用網絡版防病毒系統(tǒng)，部署防病毒服務器和補丁分發(fā)服務器。在網絡管理過程中，技術人員定期檢查、預防、控制和及時更新防病毒系統(tǒng)病毒定義碼，按時向總部上報極度防病毒巡檢表。網絡管理技術人員還積極做好入侵保護系統(tǒng)IPS策略的日常管理和日志審計工作，使有限的網絡資源能用于重點保障業(yè)務工作的正常進行。

四、油田企業(yè)網絡安全防范舉措與防火墻技術應用

在油田企業(yè)網絡運行過程中，安全威脅主要有非授權訪問、信息泄露或丟失、拒絕服務攻擊、破壞數(shù)據完整性、利用網絡傳播病毒等方面。要防范油田企業(yè)網絡安全，主要的防御體系是由漏洞掃描、入侵檢測和防火墻組成的。油田企業(yè)的局域網主要又外部網絡、內部職工網絡、內部單位辦公網絡和公開服務器區(qū)域組成。在每一個出口通過安裝硬件防火墻設備，用防火墻來實現(xiàn)內部網絡、外部網絡以及公開服務器網的區(qū)分。防火墻對外部的安全威脅起到了抵御的作用，但是從內部發(fā)動的安全攻擊卻無能為力。這個時候就需要動態(tài)監(jiān)測網絡內部活動以及及時做出響應，將網絡入侵監(jiān)測系統(tǒng)接入到防火墻和交換機上的IDS端口，一旦發(fā)現(xiàn)入侵或者可疑行為之后，立即報告防火墻動態(tài)調整安全策略，采取相應的防御措施。另外，網絡安全還需要被動的防御體系，它是由VPN路由和防火墻組成，被動防御體系主要實現(xiàn)了外網的安全接入。外網在于企業(yè)網絡之間實現(xiàn)數(shù)據傳輸?shù)臅r候，經過防火墻高強度的加密認證，保證外網接入的安全性。在油田企業(yè)網絡安全與防火墻技術應用中，還需要加對病毒的防范、數(shù)據安全的保護和數(shù)據備份與恢復的建設。在服務器上安裝服務器端殺毒軟件，在每一臺網絡用戶電腦上安裝客戶端殺毒軟件，通過及時更新病毒代碼，防范病毒的入侵。采用自動化備份、安裝磁帶機等外部存貯設備等方法，保證數(shù)據的安全。

五、總結

油田企業(yè)網絡安全不僅關系著企業(yè)的整體發(fā)展，還關系著油田企業(yè)中廣大職工的網絡使用安全，積極采取防火墻技術應用到網絡安全防范之中，以提高青海油田企業(yè)網絡的安全性，保證企業(yè)的正常工作、企業(yè)職工的正常生活。

參考文獻：

[1]何黎明,方風波,王波濤.油田網絡安全風險評估與策略研究[J].石油天然氣學報,2008,3:279-280

[2]陳崗.大型企業(yè)信息網絡安全問題解決方案[J].岳陽師范學院學報(自然科學版),2006,2:168-169

機房網絡應急預案范文第3篇

關鍵字 訪問控制；銀行網絡安全；虛擬局域網；訪問控制列表

1 引言

隨著計算機網絡在銀行各項業(yè)務的應用中不斷普及，各大商業(yè)銀行已把網絡安全放在了金融電子化建設中的一個極其重要的位置上，網絡安全已成為構建銀行計算機網絡體系進程中必須首先需要考慮和解決的問題。在目前國內各主要商業(yè)銀行進行金融電子化建設的過程中，訪問控制是保證計算機網絡安全最重要的核心策略之一，同時它也是維護網絡安全、保護網絡資源的一個重要手段，其主要任務是保證網絡資源不被非法使用和非正常訪問。因此，加強以訪問控制為核心的銀行計算機網絡安全，保證銀行的資金安全以及提高銀行風險防范能力已成為當前各大銀行亟待解決的問題。

2 訪問控制的解決方案

目前訪問控制的解決方案主要有以下幾種：MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。

2.1 MAC地址過濾法

MAC地址是網絡設備在全球的惟一編號，它也就是我們通常所說的：物理地址、硬件地址、適配器地址或網卡地址。MAC地址可用于直接標識某個網絡設備，是目前網絡數(shù)據交換的基礎。

2.2 VLAN隔離法

VLAN(虛擬局域網)技術是為了避免當一個網絡系統(tǒng)中網絡設備數(shù)量增加到一定程度后，眾多的網絡廣播報文消耗大量的網絡帶寬，使得真正的數(shù)據傳遞受到很大的影響，確保部分安全性比較敏感的部門數(shù)據不被隨意訪問瀏覽而采用一種劃分相互隔離子網的方法。

2.3 基于IP地址的訪問控制列表法

訪問控制列表在路由器和三層交換機中被廣泛采用，它是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數(shù)據包檢查的基本元素，并可以規(guī)定符合檢查條件的數(shù)據包是允許通過，還是不允許通過。

2.4 防火墻控制法

防火墻技術首先將網絡劃分為內網與外網，它通過分析每一項內網與外網通信應用的協(xié)議構成，得出主機IP地址及IP上聯(lián)端口號，從而規(guī)劃出業(yè)務流，對相應的業(yè)務流進行控制。防火墻技術在最大限度上限制了源IP地址、目的IP地址、源上聯(lián)端口號、目的上聯(lián)端口號的訪問權限，從而限制了每一業(yè)務流的通斷。

3 訪問控制在銀行網絡安全體系中的應用

銀行網絡安全體系是根據具體業(yè)務對網絡安全的需求，以訪問控制為核心而構建起來的，其中心思想就是“不同的部門及人員根據其所從事的工作有不同的網絡使用權限”。

機房網絡應急預案范文第4篇

關鍵詞：計算機；網絡安全；影響因素；防范措施

一、概述

21世紀全世界的計算機都將通過Internet聯(lián)到一起，計算機網絡安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環(huán)境里，數(shù)據的保密性、完整性及可使用性受到保護。以下重點分析了影響計算機網絡安全的主要因素，并提出了確保計算機網絡安全的防范措施。

二、影響計算機網絡安全的主要因素

1、網絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

2、網絡硬件的配置不協(xié)調。一是文件服務器。它是網絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網絡系統(tǒng)的質量。網絡的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網絡功能發(fā)揮受阻，影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩(wěn)定。

3、缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

4、訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。

5、管理制度不健全，網絡管理、維護不力。

三、確保計算機網絡安全的防范措施

1、網絡系統(tǒng)結構設計合理與否是網絡安全運行的關鍵

全面分析網絡系統(tǒng)設計的每個環(huán)節(jié)是建立安全可靠的計算機網絡工程的首要任務。應在認真的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題：由于局域網采用的是以廣播為技術基礎的以太網，任何兩個節(jié)點之間的通信數(shù)據包，不僅被兩個節(jié)點的網卡所接收，同時也被處在同一以太網上的任何一個節(jié)點的網卡所截取。因此，只要接入以太網上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網上的所有數(shù)據包，對其進行解包分析，從而竊取關鍵信息。

2、強化計算機管理是網絡系統(tǒng)安全的保證

(1)加強設施管理，確保計算機網絡系統(tǒng)實體安全。建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生；注重在保護計算機系統(tǒng)、網絡服務器、打印機等外部設備和能信鏈路上狠下功夫，并不定期的對運行環(huán)境條件(溫度、濕度、清潔度、三防措施、供電接頭、志線及設備)進行檢查、測試和維護；著力改善抑制和防止電磁泄漏的能力，確保計算機系統(tǒng)有一個良好的電磁兼容的工作環(huán)境。

(2)強化訪問控制，力促計算機網絡系統(tǒng)運行正常。訪問控制是網絡安全防范和保護的主要措施，它的任務是保證網絡資源不被非法用戶使用和非常訪問，是網絡安全最重要的核心策略之一。

第一，建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

用戶的入網訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。在3個過程中如果其中一個不能成立，系統(tǒng)就視為非法用戶，則不能訪問。網絡用戶的用戶名與口令進行驗證是防止非法訪問的第一道防線。網絡用戶注冊時首先輸入用戶名與口令，遠程服務器將驗證所輸入的用戶名是否合法，如果驗證合法，才能進一步驗證口令，否則，用戶將被拒之門外。 網絡管理員將對普通用戶的賬號使用、訪問網絡時間、方式進行管理，還能控制用戶登錄入網的站點以及限制用戶入網的工作站數(shù)量。

第二，建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限?？梢愿鶕L問權限將用戶分為3種類型：特殊用戶(系統(tǒng)管理員)；一般用戶，系統(tǒng)管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。

第三，建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限：向某個文件寫數(shù)據、拷貝一個文件、刪除目錄或文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立完善的備份及恢復機制。為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統(tǒng)的實時熱備份。同時，建立強大的數(shù)據庫觸發(fā)器和恢復重要數(shù)據的操作以及更新任務，確保在任何情況下使重要數(shù)據均能最大限度地得到恢復。第八建立安全管理機構。安全管理機構的健全與否，直接關系到一個計算機系統(tǒng)的安全。其管理機構由安全、審計、系統(tǒng)、軟硬件、通信、保安等有關人員組成。

四、結束語

計算機網絡安全是一項復雜的系統(tǒng)工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協(xié)調一致的網絡安全防護體系。我們必須做到管理和技術并重，安全技術必須結合安全措施，并加強計算機立法和執(zhí)法的力度，建立備份和恢復機制，制定相應的安全標準。

參考文獻：

機房網絡應急預案范文第5篇

關鍵詞：網絡安全；入侵防御系統(tǒng)；應急平臺；安全防御

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2011)22-5412-03

Research on Achieving Comprehensive Security and Defense in Emergency Platform Network

PENG Yun-feng

(Anhui Economic Information Center, Hefei 230001, China)

Abstract: This dissertation, based on the network topological structure of emergency platform and network security development trends, from the overall situation, the overall and equipment of joint Angle to solve the problem of network security, according to the unified security strategy, with the safety as the core, puts forward a comprehensive network security defense linkage Model, and gives out the emergency platform comprehensive interaction system network security solutions.

Key words: internet security; intrusion prevention system; emergency platform; security defense

省政府應急平臺是一個涉及圖像、數(shù)據、語音等信息的復雜系統(tǒng)平臺，既涉及到各種硬件通信設施、服務器、終端設備的安全，又涉及到各種系統(tǒng)軟件、通用應用軟件和自行開發(fā)的應用程序的安全；既涉及各種信息安全技術本身，也涉及保障這些安全技術順利實施的各種安全管理。因此一個可靠穩(wěn)定的支撐網絡平臺是應急平臺穩(wěn)定運行的前提和保障，也可以說直接影響著突發(fā)公共事件處置的效果和效率。

1 綜合聯(lián)動實現(xiàn)網絡安全防御

1.1 應急平臺網絡拓撲分析

省級應急平臺的計算機網絡系統(tǒng)分為省政府應急平臺局域網和連接各市、縣應急平臺的廣域網。省政府應急平臺局域網采用以太網技術進行建設，連接各市、縣應急平臺的廣域網依托全省電子政務網絡資源進行建設，實現(xiàn)與各市、縣政府及省直各專項部門應急平臺的連接，并通過接入到電子政務外網的地面工作站實現(xiàn)與移動應急平臺的連接，主要功能是滿足省應急平臺體系綜合應用系統(tǒng)、視頻會議系統(tǒng)、圖像接入系統(tǒng)、IP語音系統(tǒng)和移動應急平臺等業(yè)務的承載要求。省級應急平臺局域網核心采用兩臺高端交換機，用于連接應急平臺服務器組、內部辦公網及應急指揮中心，同時用于各市、縣政府和省直各專項部門應急平臺的訪問連接，接入層采用星形雙歸結構，用于接入應急平臺服務器組及業(yè)務辦公網絡等，以保證系統(tǒng)的穩(wěn)定性。省級應急平臺網絡拓撲結構如圖1所示。

通過對上圖的分析可以得知，由于應急平臺服務器組部署在交換機的后端，應急平臺業(yè)務及應急指揮、辦公等縱向業(yè)務數(shù)據流都要經過兩臺核心交換機轉發(fā)，所以通過這兩臺核心交換機的負載較重，流量也比較復雜，數(shù)據流中包含各類攻擊、病毒等的可能性也最大，對安全性要求較高。應急平臺內部各處室、應急指揮中心通過應急平臺網絡訪問互聯(lián)網，目前僅采用防火墻進行隔離，由于互聯(lián)網是一個面向大眾的、開放的網絡，對于信息的保密和系統(tǒng)的安全考慮的并不完備，互聯(lián)網上充斥著各種攻擊、病毒，防火墻并不能保證應急平臺網絡的安全，所以這條路徑上也可最可能包含各種攻擊數(shù)據。

1.2 實施綜合聯(lián)動的必要性

隨著繁雜的網絡應用和多樣的攻擊入侵，應急平臺網絡所面臨的安全威脅越來越復雜，安全問題日益突出，使得孤立的安全設備難以有效應付，需要從系統(tǒng)全局，從整體和設備聯(lián)動的角度去解決網絡安全問題，依據統(tǒng)一的安全策略，以安全管理為核心，形成完整的系統(tǒng)安全防護體系。

建立一個整體的網絡安全防護體系的關鍵，在于要求各網絡安全設備之間具有較高的協(xié)同性，即聯(lián)動性。聯(lián)動技術體現(xiàn)了智能化網絡安全管理的潮流，能夠有機整合各種網絡安全技術，全面地保護網絡的安全，提高工作的效率。聯(lián)動的概念最初是由防火墻廠商CheckPoint提出來的，CheckPoint提出了OPSEC開放接口，并與其它廠商密切合作，實現(xiàn)了CheckPoint防火墻和身份認證、內容安全、入侵檢測等產品的互動。

1.3 以安全為核心劃分區(qū)域

針對應急平臺現(xiàn)有網絡的實際情況，劃分出不同的安全分區(qū)，如圖2所示。

詳細分區(qū)情況描述如下：

1）DMZ區(qū)。DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”，它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該區(qū)域主要包括應急平臺對社會或其它部門提供服務的服務器群，如網站、郵件服務器等。該區(qū)域對安全級別要求比較高。

2）數(shù)據中心區(qū)。由應急平臺業(yè)務服務器群構成，是應急平臺一切業(yè)務應用活動的基礎。這個區(qū)域的安全性要求最高，對業(yè)務連續(xù)性要求也最高。要求不能隨便進行任何可能影響業(yè)務的操作，包括為服務器打補丁，管理起來也最為復雜。

3）內部辦公區(qū)。內部辦公計算機構成的安全區(qū)域。安全性和業(yè)務持續(xù)性要求最低，管理難度大，最容易遭受蠕蟲的威脅。

4）遠程接入區(qū)。該區(qū)域主要指移動辦公人員、移動應急指揮平臺等通過外部互聯(lián)網實現(xiàn)訪問應急平臺業(yè)務應用系統(tǒng)功能的區(qū)域。

5）廣域網接入區(qū)。在之前的網絡建設中，省級政府應急平臺是通過省電子政務外網實現(xiàn)與市、縣政府和省直各專項部門應急平臺的連接。廣域網接入區(qū)就是通過專線連接省直各專項部門、市、縣政府應急平臺網絡的區(qū)域，這一安全區(qū)域內部沒有具體的應用系統(tǒng)，主要實現(xiàn)網絡互聯(lián)的功能，定義這一安全區(qū)域是為了方便網絡管理。

1.4 綜合聯(lián)動方案設計

目前，已經商用的比較成熟的聯(lián)動系統(tǒng)，是通過網絡入侵檢測系統(tǒng)（IDS,Intrusion Detection Systems）和防火墻的聯(lián)動來實現(xiàn)入侵防御。IDS檢測到某種攻擊后，會通知防火墻立刻做出相關策略的動態(tài)修改，對攻擊源進行相應的封堵，例如阻斷源端口、源IP等，從而達到整體安全控制的效果。防火墻與IDS聯(lián)動的設計，充分體現(xiàn)了網絡安全深度防御的思想。但這種方式也有不足，最重要的問題在于，防火墻和入侵檢測產品的互動沒有一個被廣泛認可的通用標準，大多數(shù)安全廠商各行其道，限制了技術的發(fā)展和用戶選擇產品的范圍。

因此，本文提出了綜合的系統(tǒng)聯(lián)動方案。針對應急平臺網絡拓撲結構的特點，在綜合聯(lián)動方案中加入了入侵防御系統(tǒng)（IPS,Intrusion Prevention System）、防火墻、安全管理中心軟件、EAD（Endpoint Admission Defense，端點準入防御）軟件、網絡版防病毒軟件、網管軟件、SSL VPN接入網關等軟硬件設備，提出如下綜合聯(lián)動部署方案，如圖3所示。

綜合聯(lián)動方案配置如表1所示。

具體的部署策略如下：

1）應急平臺網絡的互聯(lián)網出口處部署防火墻和IPS。防火墻對來自外部的訪問進行控制，并對來自外部網絡的2～4層的網絡攻擊進行防護。IPS利用不同的規(guī)則，既對外部網絡的2～7層的攻擊進行防護，又可以對內部流量進行監(jiān)控，限制P2P、BT等業(yè)務，保證了應急平臺骨干業(yè)務網絡正常運行。

2）兩臺核心交換機旁路部署SSL VPN設備，并做雙機熱備，在保證應急平臺網絡安全的同時，滿足移動辦公的需要。同時對移動終端訪問應急平臺數(shù)據時通過加裝數(shù)字證書進行身份認證，保證移動終端訪問的安全性。

3）重要的應急平臺服務器組前端部署IPS和防火墻。IPS防護針對操作系統(tǒng)漏洞進行的攻擊，并防護來自內部網絡2～7層的攻擊。防火墻對應急平臺服務器組虛擬出DMZ區(qū)和內部受信區(qū)域，對不同單位的訪問進行控制，并防護來自內部網絡2～4層的攻擊。

4）DMZ區(qū)部署網絡版防病毒軟件和EAD系統(tǒng)。網絡版防病毒服務器安裝在內部網辦公PC和服務器群上，該軟件可定期及時更新病毒庫，保護服務器群及內部網辦公電腦免受病毒的攻擊。EAD通過集中部署，實現(xiàn)對用戶終端的安全狀態(tài)評估和訪問權限的動態(tài)控制，從而加強了應急平臺中網絡終端的主動防御能力，控制病毒、蠕蟲的蔓延。

5）安全管理軟件和網管軟件對應急平臺進行集中管理。管理人員可以通過網管軟件對網絡安全和服務器設備進行管理和控制，對設備的配置進行更新和修改，降低管理難度和成本。通過安全管理中心軟件收集網絡、安全以及服務器等設備的安全事件和日志，如攻擊事件記錄、日志等。

1.5 系統(tǒng)聯(lián)動分析

通過上述軟硬件的部署，可以實現(xiàn)省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統(tǒng)的聯(lián)動。該安全聯(lián)動方案由安全管理平臺、安全防護設備和EAD軟件三部分組成，安全管理平臺指安全管理中心系統(tǒng)和智能網管系統(tǒng)，安全防護設備指防火墻、入侵防御系統(tǒng)等。各終端用戶通過EAD軟件接入并由安全管理平臺進行身份認證和終端安全狀態(tài)評估，確保每一個接入端點的安全，預防內網病毒、蠕蟲的泛濫。系統(tǒng)聯(lián)動如圖4所示。

位于內部辦公區(qū)的終端安裝端點準入系統(tǒng)，當某個用戶試圖非法訪問內部服務器時，部署在服務器組前的防火墻設備會阻斷非法訪問連接；當某個用戶感染的病毒向服務器區(qū)傳播或用戶機器上的木馬對服務器區(qū)進行攻擊時，部署在服務器前的IPS設備可以將病毒和攻擊阻斷，防火墻和IPS會將該用戶的非法訪問和攻擊事件實時發(fā)給安全管理中心，安全管理中心根據定義好的策略，將重要的安全事件信息通過告警方式發(fā)給智能網管中心，智能網管中心上的端點準入管理組件分析安全管理中心發(fā)過來的告警信息，確認非法訪問和攻擊的用戶，然后，通過端點準入管理組件對惡意用戶進行告警或強迫下線，控制攻擊來源，避免威脅的再次發(fā)生，并且為用戶提供整網安全審計報告。

2 結束語

本文研究了省級應急平臺的網絡拓撲結構，分析了網絡所可能面臨的安全風險，根據應急平臺網絡的特點，基于綜合聯(lián)動的網絡安全策略，可以實現(xiàn)省級政府應急平臺網絡設備、安全產品、用戶終端等設備綜合系統(tǒng)的聯(lián)動，預防內網病毒、蠕蟲的泛濫，最大限度地保證應急平臺網絡的安全和業(yè)務系統(tǒng)的正常運行。

參考文獻：

[1] 張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003.

[2] 卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報.2004(7):19-29.

[3] 黃金蓮,高會生.入侵防護系統(tǒng)IPS探討[J].網絡安全技術與應用,2005(8).

[4] 劉世翔.網絡入侵檢測系統(tǒng)的研究和實現(xiàn)[D].長春:吉林大學,2004.

[5] 周海剛,肖軍模.網絡主動防御體系結構[J].電信科學,2003(1).

[6] 聶林等.入侵防御系統(tǒng)的研究與分析[J].計算機應用研究.2005(9):131-136.

[7] 林延福.入侵防御系統(tǒng)技術研究與設計[D].西安:西安電子科技大學,2005.