導言：作為寫作愛好者，不可錯過為您精心挑選的10篇網(wǎng)絡安全方案，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

在現(xiàn)代企業(yè)的生存與發(fā)展過程中，企業(yè)網(wǎng)絡安全威脅與企業(yè)網(wǎng)絡安全防護是并行存在的。雖然企業(yè)網(wǎng)絡安全技術與以往相比取得了突破性的進展，但過去企業(yè)網(wǎng)絡處于一個封閉或者是半封閉的狀態(tài)，只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數(shù)企業(yè)網(wǎng)絡幾乎處于全球互聯(lián)的狀態(tài)，這種時空的無限制性和準入的開放性間接增加了企業(yè)網(wǎng)絡安全的影響因素，自然給企業(yè)網(wǎng)絡安全帶來了更多的威脅。因此，企業(yè)網(wǎng)絡安全防護一個永無止境的過程，對其進行研究無論是對于網(wǎng)絡安全技術的應用，還是對于企業(yè)的持續(xù)發(fā)展，都具有重要的意義。

1企業(yè)網(wǎng)絡安全問題分析

基于企業(yè)網(wǎng)絡的構成要素以及運行維護條件，目前企業(yè)網(wǎng)絡典型的安全問題主要表現(xiàn)于以下幾個方面。

1.1網(wǎng)絡設備安全問題

企業(yè)網(wǎng)絡系統(tǒng)服務器、網(wǎng)絡交換機、個人電腦、備用電源等硬件設備，時常會發(fā)生安全問題，而這些設備一旦產(chǎn)生安全事故很有可能會泄露企業(yè)的機密信息，進而給企業(yè)帶來不可估量經(jīng)濟損失。以某企業(yè)為例，該企業(yè)網(wǎng)絡的服務器及相關網(wǎng)絡設備的運行電力由UPS接12V的SOAK蓄電池組提供，該蓄電池組使用年限行、容量低，在長時間停電的情況下，很容易由于蓄電池的電量耗盡而導致整個企業(yè)網(wǎng)絡的停運。當然，除了電源問題外，服務器、交換機也存在諸多安全隱患。

1.2服務器操作系統(tǒng)安全問題

隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務的拓展，對企業(yè)網(wǎng)絡服務器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡服務器采用的是WindowsXP或Windows7操作系統(tǒng)，由于這些操作系統(tǒng)存在安全漏洞，自然會降低服務器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權限賬號管理等問題的存在，在不同程度上增加了服務器的安全威脅。

1.3訪問控制問題

企業(yè)網(wǎng)絡訪問控制安全問題也是較為常見的，以某企業(yè)為例，該企業(yè)采用Websense管理軟件來監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為，但未限制存在安全隱患的上網(wǎng)活動。同時對于內(nèi)部上網(wǎng)終端及外來電腦未設置入網(wǎng)認證及無線網(wǎng)絡訪問節(jié)點安全檢查，任何電腦都可在信號區(qū)內(nèi)接入到無線網(wǎng)絡。

2企業(yè)網(wǎng)絡安全防護方案

基于上述企業(yè)網(wǎng)絡普遍性的安全問題，可以針對性的提出以下綜合性的安全防護方案來提高企業(yè)網(wǎng)絡的整體安全性能。

2.1網(wǎng)絡設備安全方案

企業(yè)網(wǎng)絡相關設備的安全性能是保證整個企業(yè)網(wǎng)絡安全的基本前提，為了提高網(wǎng)絡設備的整體安全指數(shù)，可采取以下具體措施。首先，合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì)，例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡相關主干設備對交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標提出了更高的要求，這就要求對企業(yè)網(wǎng)絡的供電系統(tǒng)進行優(yōu)化。以上述某企業(yè)網(wǎng)絡系統(tǒng)電源供電不足問題為例，為了徹底解決傳統(tǒng)電源供給不足問題，可以更換為大容量的蓄電池組，并安裝固定式發(fā)電機組，進而保證在長時間停電狀態(tài)下企業(yè)網(wǎng)絡設備的可持續(xù)供電，避免因為斷電而導致文件損壞及數(shù)據(jù)丟失等安全問題的發(fā)生。

2.2服務器系統(tǒng)安全方案

企業(yè)網(wǎng)絡服務器系統(tǒng)的安全尤為重要，然而其安全問題的產(chǎn)生又是多方面因素所導致的，需要從多個層面來構建安全防護方案。

2.2.1操作系統(tǒng)漏洞安全

目前企業(yè)網(wǎng)絡服務器操作系統(tǒng)以Windows為主，該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點對象，除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補丁外，還應針對企業(yè)網(wǎng)絡服務器及個人電腦的操作系統(tǒng)使用實際情況，實施專門的漏洞掃描和檢測，并根據(jù)掃描結果做出科學、客觀、全面的安全評估，如圖1所示，將證書授權入侵檢測系統(tǒng)部署在核心交換機的監(jiān)控端口，并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡入侵檢測，以此來檢測和響應網(wǎng)絡入侵威脅。圖1漏洞掃描及檢測系統(tǒng)

2.2.2Windows端口安全

在Windows系統(tǒng)中，端口是企業(yè)實現(xiàn)網(wǎng)絡信息服務主要通道，一般一臺服務器會綁定多個IP，而這些IP又通過多個端口來提高企業(yè)網(wǎng)絡服務能力，這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網(wǎng)絡攻擊的運行路徑來看，大多數(shù)都要通過服務器TCP/UDP端口，可充分這一點來預防各種網(wǎng)絡攻擊，只需通過命令或端口管理軟件來實現(xiàn)系統(tǒng)端口的控制管理即可。

2.2.3Internet信息服務安全

Internet信息服務是以TCP/IP為基礎的，可通過諸多措施來提高Internet信息服務安全。（1）基于IP地址實現(xiàn)訪問控制。通過對IIS配置，可實現(xiàn)對來訪IP地址的檢測，進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。（2）在非系統(tǒng)分區(qū)上安裝IIS服務器。若在系統(tǒng)分區(qū)上安裝IIS，IIS就會具備非法訪問屬性，給非法用戶侵入系統(tǒng)分區(qū)提供便利，因此，在非系統(tǒng)分區(qū)上安全IIS服務器較為科學。（3）NTFS文件系統(tǒng)的應用。NTFS文件系統(tǒng)具有文件及目錄管理功能，服務器Windows2000的安全機制是基于NTFS文件系統(tǒng)的，因此Windows2000安裝時選用NTFS文件系統(tǒng)，安全性能更高。（4）服務端口號的修改。雖然IIS網(wǎng)絡服務默認端口的使用為訪問提供了諸多便捷，但會降低安全性，更容易受到基于端口程序漏洞的服務器攻擊，因此，通過修改部分服務器的網(wǎng)絡服務端口可提高企業(yè)網(wǎng)絡服務器的安全性。

2.3網(wǎng)絡結構安全方案

2.3.1強化網(wǎng)絡設備安全

強化企業(yè)網(wǎng)絡設備的自身安全是保障企業(yè)網(wǎng)絡安全的基礎措施，具體包含以下措施。（1）網(wǎng)絡設備運行安全。對各設備、各端口運行狀態(tài)的實時監(jiān)控能有效發(fā)現(xiàn)各種異常，進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現(xiàn)上述目標，例如What’supGold能實現(xiàn)對企業(yè)網(wǎng)絡設備狀態(tài)的監(jiān)控，而SolarWindsNetworkPerformancemonitor可實現(xiàn)對各個端口流量的實時監(jiān)控。（2）網(wǎng)絡設備登錄安全。為了保證網(wǎng)絡設備登錄安全指數(shù)，對于企業(yè)網(wǎng)絡中的核心設備應配置專用的localuser用戶名，用戶名級別設置的一級，該級別用戶只具備讀權限，一般用于console、遠程telnet登錄等需求。除此之外，還可設置一個單獨的super密碼，只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。（3）無線AP安全。一般在企業(yè)內(nèi)部有多個無線AP設備，應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰，從而確保無線接入網(wǎng)的安全性。

2.3.2細分網(wǎng)絡安全區(qū)域

目前，廣播式局域的企業(yè)網(wǎng)絡組網(wǎng)模式存在著一個嚴重缺陷就是當其中各個局域網(wǎng)存在ARP病毒時，未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統(tǒng)，同時還可能泄露重要信息。為了解決這種問題，可對整個網(wǎng)絡進行細分，即按某種規(guī)則如企業(yè)職能部門將企業(yè)網(wǎng)絡終端設備劃分為多個網(wǎng)段，在每個網(wǎng)段均有不同的vlan，從而保證安全性。

2.3.3加強通問控制

針對企業(yè)各個部門對網(wǎng)絡資源的需求，在通問控制時需要注意以下幾點：對內(nèi)服務器應根據(jù)提供的業(yè)務與對口部門互通；對內(nèi)服務器需要與互聯(lián)網(wǎng)隔離；體驗區(qū)只能訪問互聯(lián)網(wǎng)，不能訪問辦公網(wǎng)。以上功能的實現(xiàn)，可在核心路由器和防火墻上共同配合完成。

篇2

2.網(wǎng)絡防火墻系統(tǒng)設計方案

網(wǎng)絡安全是按照網(wǎng)絡協(xié)議(TCP/IP協(xié)議)的2－7層來進行劃分的，要想保證網(wǎng)絡的安全，就一定保證網(wǎng)絡協(xié)議的2至7層每一層的安全。而防火墻負責的是網(wǎng)絡協(xié)議2至4層的網(wǎng)絡安全。以下為防火墻可以實現(xiàn)的功能:第一，網(wǎng)絡隔離。將網(wǎng)絡分割為不同的網(wǎng)絡區(qū)域，進而控制不同區(qū)域之間的數(shù)據(jù)交流，作用于網(wǎng)絡協(xié)議的2－4層，把可能出現(xiàn)的安全風險分別局限于相對獨立的網(wǎng)絡區(qū)域內(nèi)，使風險不至于大規(guī)模擴散。第二，網(wǎng)絡協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端，沒有考慮到足夠的安全特性，因此，給網(wǎng)絡用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患，而防火墻可以彌補TCP/IP協(xié)議本身的漏洞，能夠有效地檢測和防范對2至4層的攻擊行為。第三，流量管理。首先為了保證關鍵用戶和關鍵應用的網(wǎng)絡帶寬，防火墻可以提供靈活的流量管理能力，同時要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，還可以對4至7層的常見網(wǎng)絡協(xié)議提供某些控制和過濾的能力，例如，可以支持EMAIL的過濾能力。第四，用戶管理。學校檔案系統(tǒng)內(nèi)部用戶接入外網(wǎng)Internet，在不影響正常業(yè)務需要的情況下，控制用戶對外網(wǎng)的應用行為。例如，控制上網(wǎng)時間，不可訪問網(wǎng)站，禁用一些軟件的網(wǎng)絡端口等等。

3.網(wǎng)絡入侵防御系統(tǒng)設計方案

防火墻只針對網(wǎng)絡安全2至4層，難以防御對網(wǎng)絡協(xié)議4至7層的網(wǎng)絡威脅，不可能識別出偽裝成正常業(yè)務的蠕蟲、攻擊、間諜軟件等的非法數(shù)據(jù)流，缺乏對經(jīng)過自身的數(shù)據(jù)流進行全面、深度監(jiān)測的能力。入侵防御系統(tǒng)(IPS)就是專門針對網(wǎng)絡協(xié)議的4至7層對數(shù)據(jù)流進行分析并實時采用防御措施的系統(tǒng)，與防火墻進行安全層次的互補，豐富了網(wǎng)絡傳輸過程中的安全層次，對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡中部署防火墻+IPS，可使網(wǎng)絡更加安全、健壯，更好地抵御來自外部網(wǎng)絡的威脅。

4.外網(wǎng)主網(wǎng)絡設計

為了保證檔案系統(tǒng)網(wǎng)絡數(shù)據(jù)安全，需要通過網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進行“網(wǎng)絡隔離”，并進行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù)，互聯(lián)網(wǎng)用戶及高校外網(wǎng)用戶訪問內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)，對數(shù)據(jù)區(qū)形成了嚴重的威脅，通過部署網(wǎng)閘，在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實現(xiàn)業(yè)務的正常訪問，并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來自于《遼寧醫(yī)學院學報(社會科學版)》雜志。遼寧醫(yī)學院學報(社會科學版)雜志簡介詳見

篇3

當前網(wǎng)絡技術的快速發(fā)展，大部分高校已經(jīng)建立了學校校園網(wǎng)絡，為學校師生提供了更好的工作及學習環(huán)境，有效實現(xiàn)了資源共享，加快了信息的處理，提高了工作效率【1】。然而校園網(wǎng)網(wǎng)絡在使用過程中還存在著安全問題，極易導致學校的網(wǎng)絡系統(tǒng)出現(xiàn)問題，因此，要想保證校園網(wǎng)的安全性，首先要對校園網(wǎng)網(wǎng)絡安全問題深入了解，并提出有效的網(wǎng)絡安全方案設計，合理構建網(wǎng)絡安全體系。本文就對校園網(wǎng)網(wǎng)絡安全方案設計與工程實踐深入探討。

1.校園網(wǎng)網(wǎng)絡安全問題分析

1.1操作系統(tǒng)的漏洞

當前大多數(shù)學校的校園網(wǎng)都是采用windows操作系統(tǒng)，這就加大了安全的漏洞，服務器以及個人PC內(nèi)部都會存在著大量的安全漏洞【2】。隨著時間的推移，會導致這些漏洞被人發(fā)現(xiàn)并利用，極大的破壞了網(wǎng)絡系統(tǒng)的運行，給校園網(wǎng)絡的安全帶來不利的影響。

1.2網(wǎng)絡病毒的破壞

網(wǎng)絡病毒是校園網(wǎng)絡安全中最為常見的問題，其能夠使校園網(wǎng)網(wǎng)絡的性能變得較為低下，減慢了上網(wǎng)的速度，使計算機軟件出現(xiàn)安全隱患，對其中的重要數(shù)據(jù)帶來破壞，嚴重的情況下還會造成計算機的網(wǎng)絡系統(tǒng)癱瘓。

1.3來自外部網(wǎng)絡的入侵和攻擊等惡意破壞行為

校園網(wǎng)只有連接到互聯(lián)網(wǎng)上，才能實現(xiàn)與外界的聯(lián)系，使校園網(wǎng)發(fā)揮出重要的作用。但是，校園網(wǎng)在使用過程中，會遭到外部黑客的入侵和攻擊的危險，給校園互聯(lián)網(wǎng)內(nèi)部的服務器以及數(shù)據(jù)庫帶來不利的影響，使一些重要的數(shù)據(jù)遭到破壞，給電腦系統(tǒng)造成極大的危害。

1.4來自校園網(wǎng)內(nèi)部的攻擊和破壞

由于大多數(shù)高校都開設了計算機專業(yè)，一些學生在進行實驗操作的時候，由于缺乏專業(yè)知識，出于對網(wǎng)絡的興趣，不經(jīng)意間會使用一些網(wǎng)絡攻擊工具進行測試，這就給校園網(wǎng)絡系統(tǒng)帶來一定的安全威脅。

2.校園網(wǎng)網(wǎng)絡安全的設計思路

2.1根據(jù)安全需求劃分相關區(qū)域

當前高校校園網(wǎng)都沒有重視到安全的問題，一般都是根據(jù)網(wǎng)絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現(xiàn)校園網(wǎng)的安全性。將校園網(wǎng)絡分為不同的安全區(qū)域，并對各個區(qū)域進行安全設置。其中可以對高校校園網(wǎng)網(wǎng)絡安全的互聯(lián)網(wǎng)服務區(qū)、廣域網(wǎng)分區(qū)、遠程接入?yún)^(qū)、數(shù)據(jù)中心區(qū)等進行不同的安全區(qū)域。

2.2用防火墻隔離各安全區(qū)域

通過防火墻設備對各安全區(qū)域進行隔離，同時防火墻作為不同網(wǎng)絡或網(wǎng)絡安全區(qū)域之間信息的出入口，配置不同的安全策略監(jiān)督和控制出入網(wǎng)絡的數(shù)據(jù)流，防火墻本身具有一定的抗攻擊能力。防火墻把網(wǎng)絡隔離成兩個區(qū)域，分別為受信任的區(qū)域和不被信任的區(qū)域，其中對信任的區(qū)域?qū)ζ溥M行安全策略的保護，設置有效的安全保護措施，防火墻在接入的網(wǎng)絡間實現(xiàn)接入訪問控制。

3.校園網(wǎng)網(wǎng)絡安全方案設計

3.1主干網(wǎng)設計主干網(wǎng)可采用三層網(wǎng)絡構架，將原本較為復雜的網(wǎng)絡設計分為三個層次，分別為接入層、匯聚層、核心層。每個層次注重特有的功能，這樣就將大問題簡化成多個小問題。

3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網(wǎng)是一項廣泛使用的基礎，將其應用于校園網(wǎng)絡當中，能夠有效的實現(xiàn)虛擬網(wǎng)的劃分，形成一個邏輯網(wǎng)絡。使用這些技術，能夠優(yōu)化校園網(wǎng)網(wǎng)絡的設計、管理以及維護。

3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能，而且還有交換機支持的訪問控制列表功能。應用于校園網(wǎng)絡當中，能夠合理的限制網(wǎng)絡非法流量，從而實現(xiàn)訪問控制。

3.3防火墻的使用防火墻是建立在兩個不同網(wǎng)絡的基礎之間，首先對其設置安全規(guī)則，決定網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包是否允許通過，并對網(wǎng)絡運行狀態(tài)進行監(jiān)視，使得內(nèi)部的結構與運行狀況都對外屏蔽，從而達到內(nèi)部網(wǎng)絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面：一是防火墻能夠把內(nèi)、外網(wǎng)絡、對外服務器網(wǎng)絡實行分區(qū)域隔離，從而達到與外網(wǎng)相互隔離。二是防火墻能夠?qū)ν夥掌?、網(wǎng)絡上的主機隔離在一個區(qū)域內(nèi)，并對其進行安全防護，以此提升網(wǎng)絡系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權限，有效杜絕非法用戶的訪問。四是防火墻能夠?qū)崿F(xiàn)對訪問服務器的請求控制，一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄，有助于完善審計體系。

4.結語

總而言之，校園網(wǎng)絡的安全是各大院校所關注的問題，當前校園網(wǎng)網(wǎng)絡安全的主要問題有操作系統(tǒng)的漏洞、網(wǎng)絡病毒的破壞、來自外部網(wǎng)絡的入侵和攻擊等惡意破壞行為、來自校園網(wǎng)內(nèi)部的攻擊和破壞等【4】。要想保障校園網(wǎng)網(wǎng)絡的安全性，在校園網(wǎng)網(wǎng)絡安全的設計方面，應當根據(jù)安全需求劃分相關區(qū)域，用防火墻隔離各安全區(qū)域。設計一個安全的校園網(wǎng)絡方案，將重點放在主干網(wǎng)設計、安全技術的應用以及防火墻的使用上，不斷更新與改進校園網(wǎng)絡安全技術，從而提升校園網(wǎng)的安全性。

作者:金茂 單位:杭州技師學院

參考文獻：

[1]余思東,黃欣.校園網(wǎng)網(wǎng)絡安全方案設計[J]軟件導刊,2012,06:138-139

篇4

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2013）13-0153-01

學籍管理制度是一項基本的教育管理制度，學籍管理是學校和教育行政部門重要的日常工作。為規(guī)范中小學學生學籍管理，加快推進中小學學生學籍管理信息化工作，某省教育廳決定組織建設省級中小學學籍管理系統(tǒng)平臺，實現(xiàn)義務教育階段、高中教育階段的學籍管理信息化、網(wǎng)絡化和規(guī)范化，為教育規(guī)劃、行政決策提供了科學的依據(jù)，并為省內(nèi)其他教育業(yè)務管理系統(tǒng)提供所需的基礎數(shù)據(jù)服務。

1 物理安全

我們認為，物理安全是系統(tǒng)安全的第一道關口，所以，我們采取嚴格的中心機房建設和管理規(guī)范，采取雙回路UPS供電和嚴格的防火、防盜、防靜電、防雷擊等措施，對進入中心機房的人員進行嚴格管理。網(wǎng)絡線路盡可能進橋架、管道，注意設備的安裝環(huán)境，特別是室外設備的物理安全。

2 接入安全

為了保證內(nèi)部網(wǎng)的安全，防止外部對內(nèi)部網(wǎng)絡的攻擊，我們在網(wǎng)絡邊界部署一臺華為USG 3030防火墻，USG 3030華為公司新一代網(wǎng)關型安全防護設備，基于華為專業(yè)的硬件平臺以及強大的VRP軟件平臺，不僅具備優(yōu)異的攻擊防范處理能力，而且能夠提供完善的虛擬專網(wǎng)（VPN）功能以及完備的地址轉換（NAT）功能，實現(xiàn)基于安全區(qū)域的隔離和防護。我們在防火墻中制定了如下規(guī)則：允許外部網(wǎng)絡訪問我們DMZ區(qū)的WEB SERVER及 MAIL SERVER，但只能訪問幾個特定的端口，如80/tcp（http），25/tcp（smtp），110/tcp（pop3）等，允許內(nèi)部網(wǎng)絡訪問DMZ區(qū)和外部網(wǎng)絡；拒絕所有的外部IP地址對內(nèi)部網(wǎng)絡的訪問，拒絕DMZ區(qū)對內(nèi)部網(wǎng)絡的訪問；內(nèi)部網(wǎng)絡有限制的訪問數(shù)據(jù)庫服務器和文件服務器；為出差人員建立了安全、可靠的VPN通道，他們可以通過VPN方式接入到內(nèi)部網(wǎng)絡。這樣，首先可以保證我們的學籍管理系統(tǒng)對外服務不受影響，同時可以保證我們內(nèi)部系統(tǒng)的安全。

3 虛擬網(wǎng)絡（VLAN）劃分

內(nèi)部網(wǎng)絡的核心交換機采用一臺華為S5328C-EI三層交換機。該交換機能夠識別和處理四到七層的應用業(yè)務流，能根據(jù)不同的業(yè)務流進行不同的管理和控制。我們使用華為S5328C-EI三層交換機將內(nèi)部網(wǎng)劃分為10個VLAN，VLAN 1-VLAN 8分配給不同的科室和部門，VLAN9分配給信息中心，VLAN10分配給內(nèi)部服務器組（數(shù)據(jù)庫服務器和文件服務器），不同的VLAN之間通過三層交換機通訊，并根據(jù)實際需要設置不同的訪問權限；通過合理劃分VLAN，隔離了不同VLAN之間的廣播包，提高了網(wǎng)絡的性能，同時大大增強了內(nèi)部網(wǎng)絡的安全性

4 防病毒技術

為實現(xiàn)病毒的全面防范，我們部署了瑞星殺毒軟件網(wǎng)絡版 2008。首先，在信息中心建立一個一級系統(tǒng)中心，在科室和其他部門分別建立二級系統(tǒng)中心。上級中心統(tǒng)一發(fā)送查殺病毒命令、下達版本升級提示，并及時掌握全部系統(tǒng)中心的病毒分布情況等。另外，下級中心既可以在收到上級中心的命令后做出響應，也可以管理本級，并主動向上級中心發(fā)送請求和匯報信息。通過該系統(tǒng)，可實現(xiàn)反病毒的統(tǒng)一管理和分級管理。通過部署網(wǎng)絡版反病毒軟件，整個單位和省級數(shù)據(jù)中心的計算機受到病毒和惡意軟件破壞的情況得到明顯改善。

5 健全網(wǎng)絡安全管理機制

網(wǎng)絡安全問題不是單純的技術問題，影響網(wǎng)絡安全的因素有很多，但其中最重要的因素是人的因素。在省級數(shù)據(jù)中心建成之后，我們制訂了網(wǎng)絡安全管理辦法，主要措施如下：多人負責原則，每一項與安全有關的活動，都必須有兩人或多人在場，并且一人操作一人復核；任期有限原則，技術人員不定期輪崗；職責分離原則，非本崗人員不得掌握用戶名、密碼等關鍵信息；及時升級系統(tǒng)補丁，關閉不用的服務和端口；對重要的數(shù)據(jù)服務器，每日必須進行數(shù)據(jù)備份；管理員的密碼必須達到一定的強度并且每周修改一次等等。

目前，省級數(shù)據(jù)中心網(wǎng)絡系統(tǒng)運行良好，網(wǎng)絡安全狀況大大改善，網(wǎng)絡系統(tǒng)的安全性有很大程度的提高。但還存在不少問題，比如說防止網(wǎng)絡攻擊方面，盡管使用了防火墻，但是，對內(nèi)部網(wǎng)絡的攻擊防范力度有限，我們計劃在下一步部署入侵檢測系統(tǒng)，并與防火墻實現(xiàn)聯(lián)動，進一步提高防范內(nèi)外網(wǎng)攻擊的能力。網(wǎng)絡系統(tǒng)的安全是一項長期的工作，需要我們不斷地學習新技術、不斷地積累和借鑒經(jīng)驗，并及時付諸實施，才能確保省級數(shù)據(jù)中心網(wǎng)絡系統(tǒng)的安全。

參考文獻

篇5

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01

1 企業(yè)內(nèi)部網(wǎng)絡安全面臨的主要威脅

一般來說,計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自以下幾個方面:

1)計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡,對網(wǎng)絡資源進行破壞,使網(wǎng)絡不能正常工作,甚至造成整個網(wǎng)絡的癱瘓;

2)黑客侵襲。黑客非法進入網(wǎng)絡使用網(wǎng)絡資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;

3)拒絕服務攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機,網(wǎng)絡癱瘓;

4)通用網(wǎng)關接口(CGI)漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務;

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡安全目標

1)建立一套完整可行的網(wǎng)絡安全與管理策略,將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度,全面監(jiān)視對公開服務器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡、公開服務器的訪問行為,形成完整的系統(tǒng)日志備份與災難恢復;6)提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術。

3 安全方案設計原則

對企業(yè)局域網(wǎng)網(wǎng)絡安全方案設計、規(guī)劃時,應遵循以下原則:

1)綜合性、整體性原則:應用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全措施。即計算機網(wǎng)絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結構。

2)需求、風險、代價平衡的原則:對任一網(wǎng)絡,絕對安全難以達到,也不一定必要。對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法。

3)一致性原則:網(wǎng)絡安全問題貫穿整個網(wǎng)絡的生命周期,因此制定的安全體系結構必須與網(wǎng)絡的安全需求相一致。在網(wǎng)絡建設開始就考慮網(wǎng)絡安全對策,比在網(wǎng)絡建設好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。

5)分步實施原則:由于網(wǎng)絡規(guī)模的擴展及應用的增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的,費用支出也較大。因此可以分步實施,即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全。

4 主要防范措施

1)依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡安全教育和培訓。

2)網(wǎng)絡病毒的防范。作為企業(yè)應用網(wǎng)絡,同時需要基于服務器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡,同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4)采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術,用于檢測計算機網(wǎng)絡中違反安全策略行為。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。最好采用混合入侵檢測,同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),構架成一套完整立體的主動防御體系。

5)漏洞掃描系統(tǒng)。解決網(wǎng)絡安全問題,要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

篇6

前言

電力調(diào)度數(shù)據(jù)網(wǎng)絡在電力系統(tǒng)的運行中起到不可忽視的重要作用，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡環(huán)境有效保證電網(wǎng)經(jīng)濟、安全、可靠、穩(wěn)定的運行，為電力系統(tǒng)中的電力生產(chǎn)、燃料調(diào)度、水庫調(diào)度以及電網(wǎng)調(diào)度自動化、繼電保護等提供了便捷的通信條件，它為電力企業(yè)的生產(chǎn)與管理提供了良好保障。為了滿足基于虛擬專用網(wǎng)的電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全性需求，相關技術人員要不斷在實際工作中總結經(jīng)驗，設計出合理、科學的安全方案，以保證電力調(diào)度數(shù)據(jù)網(wǎng)絡更好地服務于企業(yè)，為企業(yè)帶來更多的經(jīng)濟效益。

1電力調(diào)度數(shù)據(jù)網(wǎng)絡建設的必要性

隨著經(jīng)濟社會的快速發(fā)展，各種現(xiàn)代化管理方式應運而生，電網(wǎng)管理方式的創(chuàng)新與管理水平的提高，帶動了電力調(diào)度業(yè)務的發(fā)展，良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡能夠有效保障電網(wǎng)系統(tǒng)的安全性與經(jīng)濟性，確保電網(wǎng)運行的穩(wěn)定性。目前我國電力調(diào)度數(shù)據(jù)業(yè)務還局限在傳統(tǒng)模式上，運用的是傳統(tǒng)的數(shù)字專線模式，這種傳統(tǒng)電力調(diào)度數(shù)據(jù)模式使信息共享受到阻礙，造成了通信資源的浪費，隨著各種高科技產(chǎn)品的生產(chǎn)，各種電力調(diào)度業(yè)務不斷上線，對電網(wǎng)通道資源與數(shù)據(jù)共享的需求也逐漸增高。只有建設良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡，才能保證電力系統(tǒng)的經(jīng)濟性與安全性。

1.1電力調(diào)度數(shù)據(jù)網(wǎng)絡建設是自動化系統(tǒng)發(fā)展的需要

人們在經(jīng)營各種生產(chǎn)生活等的活動中，都離不開電網(wǎng)的支持，為了更好地適應電網(wǎng)的發(fā)展需求，調(diào)度自動化系統(tǒng)在其功能上得到不斷的改進和完善，除了安全自動裝置、繼電保護以及傳統(tǒng)的調(diào)度自動化系統(tǒng)之外，一些現(xiàn)代化的系統(tǒng)諸如配網(wǎng)自動化系統(tǒng)、電能量計量系統(tǒng)、無人值班變電站監(jiān)控設備等逐漸應用到電網(wǎng)系統(tǒng)中，這些新型系統(tǒng)設備的有效運用，使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加，各個調(diào)度系統(tǒng)之間要進行更多的信息共享與數(shù)據(jù)轉換，這就對通信網(wǎng)絡的要求越來越高，傳統(tǒng)的通信網(wǎng)絡在傳統(tǒng)實時數(shù)據(jù)時其數(shù)量和質(zhì)量都受到了很大的局限，不能夠再適應現(xiàn)代電網(wǎng)自動化應用系統(tǒng)的需求。建立安全的基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡，在一些地區(qū)已經(jīng)得到運用，其運行情況很好，對信息數(shù)據(jù)的傳輸速率與質(zhì)量都有了明顯的提高，有效保證了自動化應用系統(tǒng)的發(fā)展需求。建立一個基于VPN的電力調(diào)度數(shù)據(jù)安全網(wǎng)絡，能夠有效提高電網(wǎng)運行的信息共享程度、傳輸速率，滿足電網(wǎng)自動化系統(tǒng)發(fā)展的需求。

1.2電力調(diào)度數(shù)據(jù)網(wǎng)絡建設是提高實時數(shù)據(jù)傳輸可靠性的需要

目前我國一些電力系統(tǒng)變電站的實時監(jiān)控信息采用的是模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)相結合的通信方式，每臺終端設備和地調(diào)之間要獨自單用一條或者是兩條專用的數(shù)據(jù)通道。這種采用模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)進行通信的模式在通信傳輸時速率普遍較低，傳輸?shù)男盘枙艿酵ǖ垒^大的干擾，傳輸?shù)臄?shù)據(jù)不穩(wěn)定，也沒有網(wǎng)絡層間的保護系統(tǒng)，如果數(shù)據(jù)通道出現(xiàn)故障，那么數(shù)據(jù)信息就會立即丟失并且不能夠進行數(shù)據(jù)的恢復，這種點對點的傳輸方式需要在主站端設置較多的接口設備，由于操作配置的復雜性，使其在后期維護時工作量增大。建立電力調(diào)度數(shù)據(jù)網(wǎng)，能夠?qū)崿F(xiàn)調(diào)度生產(chǎn)應用系統(tǒng)的網(wǎng)絡性模式，通過直接上網(wǎng)的方式來進行數(shù)據(jù)交換，有效的提高了信息傳輸?shù)目煽啃?。基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡的建設，能夠保證信息數(shù)據(jù)傳輸?shù)目煽啃裕粫驗橥ǖ莱霈F(xiàn)故障而導致數(shù)據(jù)丟失的情況，主站端不必要設置大量的終端設備，方便了工作人員進行設備維護。

2基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡安全方案

基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡安全方案在設計時要遵循經(jīng)濟性、流量優(yōu)化、擴展性、節(jié)點可靠性以及拓撲可靠性等的原則。設計電力調(diào)度數(shù)據(jù)網(wǎng)絡安全方案時，在充分確保電力調(diào)度數(shù)據(jù)網(wǎng)絡的暢通性和可靠性的前提下，最大限度的減少網(wǎng)絡電路的數(shù)量、網(wǎng)絡電路的總里程以及寬帶，以此來盡量減小網(wǎng)絡的運行費用，為企業(yè)帶來更多的經(jīng)濟效益。根據(jù)電力調(diào)度數(shù)據(jù)網(wǎng)絡的流量以及流向，在設置電路和寬帶時要保證其合理性配置，均勻的將網(wǎng)絡流量分布開來，保證各個電路寬帶均能充分的利用網(wǎng)絡流量，避免使網(wǎng)絡帶寬達到瓶頸，影響電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全性。進行主干網(wǎng)絡的拓撲設計時，要充分遵循N-1的設備可靠性和電路可靠性原則，增加、修改或者減少網(wǎng)絡電路和節(jié)點時，要保證網(wǎng)絡的總體拓撲不受到影響。在設置網(wǎng)絡中各個骨干、核心的節(jié)點時，要采用雙設備配置，根據(jù)實際情況需求，進行設備的風扇、引擎以及電源燈冗余設計，注意電力調(diào)度數(shù)據(jù)網(wǎng)絡節(jié)點的熱插撥等特性。

在網(wǎng)絡設計中包括電力調(diào)度數(shù)據(jù)網(wǎng)絡的核心層、匯聚層以及接入層三層的設計。在核心層中進行核心路由器和核心層交換機的聯(lián)通性時，要注意保證核心層交換機的業(yè)務服務器在傳輸數(shù)據(jù)時具有不間斷性，順暢地發(fā)送到核心層路由器，再由核心層路由器再次轉發(fā)數(shù)據(jù)。核心層交換機要具備全局的地址，能夠保證網(wǎng)管服務器的正常訪問。核心層與匯聚層進行具體網(wǎng)絡的聯(lián)通時，要注意核心層交換機下聯(lián)的網(wǎng)絡管理服務器可以正常的對匯聚層的設備進行訪問，下聯(lián)的業(yè)務服務器能夠順利的連接匯聚層的業(yè)務地址并進行正常訪問。即使發(fā)生部分線路中斷的情況，匯聚層的各個業(yè)務地址仍然可以在冗余的網(wǎng)絡拓撲結構中進行數(shù)據(jù)的傳輸，或者是通過高可靠性的路由協(xié)議來完成數(shù)據(jù)的上傳，保證業(yè)務或者網(wǎng)管服務器正常接收數(shù)據(jù)。此外還應當注意匯聚層的不同站點業(yè)務地址不需要進行互通。電力調(diào)度數(shù)據(jù)網(wǎng)的核心層和骨干層的數(shù)據(jù)處理能力較強，因此在設計方案中將仿真分析集中于接入層。對于電力調(diào)度數(shù)據(jù)網(wǎng)絡安全方案的接入層設計，應當保證接入層中的業(yè)務流量可以進行不間斷的數(shù)據(jù)發(fā)送，接入層中的業(yè)務終端可以與核心層的業(yè)務服務器進行正?；ネ?，接入層的網(wǎng)絡設備可以與核心層的網(wǎng)絡管理服務器進行正常的互通，只有同時達到這三個要求，才能保證接入層的網(wǎng)絡連通性。接入層采用的是低端網(wǎng)絡的嵌入式遠動監(jiān)控設備，在安全方案設計中將基于IPSec的VPN內(nèi)核進一步裁剪，在裁剪后的VPN安全框架中融入新的身份認證和密鑰協(xié)商算法，這樣能夠有利于新設計安全方案的實現(xiàn)，同時可以大幅度降低接入層設備在安全數(shù)據(jù)處理中的費用，減少電力調(diào)度數(shù)據(jù)網(wǎng)絡安全方案的設計投入。

3結語

總而言之，在電力系統(tǒng)的生產(chǎn)管理工作中，電力調(diào)度數(shù)據(jù)網(wǎng)絡起到對其的直接控制作用，電力調(diào)度數(shù)據(jù)網(wǎng)的重要性不容忽視。電力企業(yè)一定要重視電力調(diào)度數(shù)據(jù)網(wǎng)的安全性和實時性，不斷借鑒國外先進的技術，在實際運行工作中，注意總結和歸納，設計出一種合理的基于VPN的身份認證與密鑰協(xié)商相互融合的安全方案，消除電力調(diào)度數(shù)據(jù)網(wǎng)絡中實時性與安全性兩者之間的矛盾，使其為企業(yè)帶來更多的應用價值。

篇7

計算機網(wǎng)絡受到威脅后果嚴重

1.國家安全將遭受到威脅

網(wǎng)絡黑客攻擊的目標常包括銀行、政府及軍事部門，竊取和修改信息。這會對社會和國家安全造成嚴重威脅，有可能帶來無法挽回的損失。

2.損失巨大

很多網(wǎng)絡是大型網(wǎng)絡，像互聯(lián)網(wǎng)是全球性網(wǎng)絡，這些網(wǎng)絡上連接著無數(shù)計算機及網(wǎng)絡設備，如果攻擊者攻擊入侵連接在網(wǎng)絡上的計算機和網(wǎng)絡設備，會破壞成千上萬臺計算機，從而給用戶造成巨大經(jīng)濟損失。

3.手段多樣，手法隱蔽

網(wǎng)絡攻擊所需設備簡單，所花時間短，某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來盜取他人的保密信息；可以通過截取他人的帳號和口令潛入他人的計算機系統(tǒng)；可以通過一些方法來繞過或破壞他人安裝的防火墻等等。

網(wǎng)絡安全防范技術

1.病毒的防范

計算機病毒變得越來越復雜，對計算機信息系統(tǒng)構成極大的威脅。在網(wǎng)絡環(huán)境中對計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。它的入侵檢測技術包括基于主機和基于網(wǎng)絡兩種。單機防病毒軟件一般安裝在單臺PC上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網(wǎng)絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網(wǎng)絡版防病毒系統(tǒng)包括：（1）系統(tǒng)中心：系統(tǒng)中心實時記錄計算機的病毒監(jiān)控、檢測和清除的信息，實現(xiàn)對整個防護系統(tǒng)的自動控制。（2）服務器端：服務器端為網(wǎng)絡服務器操作系統(tǒng)應用而設計。（3）客戶端：客戶端對當前工作站上病毒監(jiān)控、檢測和清除，并在需要時向系統(tǒng)中心發(fā)送病毒監(jiān)測報告。（4）管理控制臺：管理控制臺是為了網(wǎng)絡管理員的應用而設計的，通過它可以集中管理網(wǎng)絡上所有已安裝的防病毒系統(tǒng)防護軟件的計算機。

2.防火墻的配置

首先我們了解防火墻所處的位置決定了一些特點包括（1）所有的從外部到內(nèi)部的通信都必須經(jīng)過它（。2）只有有內(nèi)部訪問策略授權的通信才能被允許通過。（3）系統(tǒng)本身具有很強的高可靠性。所以防火墻是網(wǎng)絡安全的屏障，配置防火墑是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內(nèi)部信任網(wǎng)絡和其他任何非信任網(wǎng)絡上提供了不同的規(guī)則進行判斷和驗證，確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標，而每個目標通常都不是通過一個單獨的設備或軟件來實現(xiàn)的。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。也可對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時，也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當有網(wǎng)絡入侵或攻擊時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次，利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響，防止內(nèi)部信息的外泄。

3.數(shù)據(jù)加密與用戶授權訪問控制技術

與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密包括傳輸過程中的數(shù)據(jù)加密和存儲數(shù)據(jù)加密，對于傳輸加密，一般有硬件加密和軟件加密兩種方法實現(xiàn)。網(wǎng)絡中的數(shù)據(jù)加密，要選擇加密算法和密鑰，可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中，收發(fā)雙方使用相同的密鑰。比較著名的對稱密鑰算法有：美國的DES、歐洲的IDEA等。

4.應用入侵檢測技術

入侵檢測系統(tǒng)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。入侵檢測系統(tǒng)的功能包括：監(jiān)控和分析系統(tǒng)、用戶的行為；評估系統(tǒng)文件與數(shù)據(jù)文件的完整性，檢查系統(tǒng)漏洞；對系統(tǒng)的異常行為進行分析和識別，及時向網(wǎng)絡管理人員報警；跟蹤管理操作系統(tǒng)，識別無授僅用戶活動。具體應用就是指對那些面向系統(tǒng)資源和網(wǎng)絡資源的未經(jīng)授權的行為進行識別和響應。入侵檢測通過監(jiān)控系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。目前主要有兩類入侵檢測系統(tǒng)基于主機的和基于網(wǎng)絡的。前者檢查某臺主機系統(tǒng)日志中記錄的未經(jīng)授權的可疑行為，并及時做出響應。后者是在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，并對發(fā)現(xiàn)的人侵做出及時的響應。

5.規(guī)范安全管理行為

篇8

狹義的電信網(wǎng)絡安全是指電信網(wǎng)絡本身的安全性，按照網(wǎng)絡對象的不同包括了PSTN網(wǎng)絡的安全、IP/Internet網(wǎng)絡安全、傳輸網(wǎng)絡安全、電信運營商內(nèi)部網(wǎng)絡安全等幾個方面；廣義的網(wǎng)絡安全是包括了網(wǎng)絡本身安全這個基本層面，在這個基礎上還有信息安全和業(yè)務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡安全的建設，針對網(wǎng)絡特點、業(yè)務特點建立了系統(tǒng)的網(wǎng)絡安全保障體系。我國電信的網(wǎng)絡安全保障體系建設起步較早。2000年，原中國電信意識到網(wǎng)絡安全的重要性，并專門成立了相關的網(wǎng)絡安全管理部門，著力建立中國電信自己的網(wǎng)絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導、保障機制支撐的原則。隨著網(wǎng)絡規(guī)模的不斷擴大和業(yè)務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網(wǎng)絡安全方面的工作。為此，建立了網(wǎng)絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡安全事件的監(jiān)控，完成對網(wǎng)絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡安全是相對的。網(wǎng)絡開放互聯(lián)、設備引進、新技術引入、自然災害和突發(fā)事件的存在等，造成了網(wǎng)絡的脆弱性。當電信網(wǎng)絡由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務轉型中，安全問題更加暴露。從狹義的網(wǎng)絡安全層面看，隨著攻擊技術的發(fā)展，網(wǎng)絡攻擊工具的獲得越來越容易，對網(wǎng)絡發(fā)起攻擊變得容易；而運營商網(wǎng)絡分布越來越廣泛，這種分布式的網(wǎng)絡從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡安全層面看，業(yè)務欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡安全的因素。

2電信網(wǎng)絡安全面臨的形勢及問題

2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡控制系統(tǒng)，保障了網(wǎng)絡安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2新技術、新業(yè)務的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務網(wǎng)分別建設、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網(wǎng)絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業(yè)務的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡側發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡發(fā)起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡群，其拒絕服務攻擊的破壞力將可能十分巨大。

2.3運營商之間網(wǎng)絡規(guī)劃、建設缺乏協(xié)調(diào)配合，網(wǎng)絡出現(xiàn)重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡安全帶來了新的威脅。如在網(wǎng)絡規(guī)劃建設方面，原來由行業(yè)主管部門對電信網(wǎng)絡進行統(tǒng)一規(guī)劃、統(tǒng)一建設，現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡的規(guī)劃、建設，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡癱瘓問題，不同運營商之間的網(wǎng)絡能否互相支援配合就存在問題。

2.4相關法規(guī)尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡安全相關的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關注網(wǎng)絡建設、業(yè)務開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡安全相關的建設、運行維護管理等相對滯后。

3電信網(wǎng)絡安全防護的對策思考

強化電信網(wǎng)絡安全，應做到主動防護與被動監(jiān)控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1發(fā)散性的技術方案設計思路

在采用電信行業(yè)安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2網(wǎng)絡層安全解決方案

網(wǎng)絡層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡和設備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權訪問區(qū)域的訪問和誤操作?？梢园凑站W(wǎng)絡區(qū)域安全級別把網(wǎng)絡劃分成兩大安全區(qū)域，即關鍵服務器區(qū)域和外部接入網(wǎng)絡區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應結合網(wǎng)絡系統(tǒng)的安全防護和監(jiān)控需要，與實際應用環(huán)境、工作業(yè)務流程以及機構組織形式進行密切結合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3網(wǎng)絡層方案配置

在電信網(wǎng)絡系統(tǒng)核心網(wǎng)段應該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應的監(jiān)測。

3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

篇9

從20世紀90年代至今，我國電信行業(yè)取得了跨越式發(fā)展，電信固定網(wǎng)和移動網(wǎng)的規(guī)模均居世界第一，網(wǎng)絡的技術水平也居世界前列。電信已經(jīng)深入到人類生活的方方面面，和日常生活的結合越來越緊密。電信網(wǎng)的安全狀況直接影響這些基礎設施的正常運行。加強電信網(wǎng)絡的安全防護工作，是一項重要的工作。筆者結合工作實際，就電信網(wǎng)絡安全及防護工作做了一些思考。

1 電信網(wǎng)絡安全及其現(xiàn)狀

狹義的電信網(wǎng)絡安全是指電信網(wǎng)絡本身的安全性，按照網(wǎng)絡對象的不同包括了PSTN網(wǎng)絡的安全、IP/Internet網(wǎng)絡安全、傳輸網(wǎng)絡安全、電信運營商內(nèi)部網(wǎng)絡安全等幾個方面；廣義的網(wǎng)絡安全是包括了網(wǎng)絡本身安全這個基本層面，在這個基礎上還有信息安全和業(yè)務安全的層面，幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網(wǎng)絡安全的建設，針對網(wǎng)絡特點、業(yè)務特點建立了系統(tǒng)的網(wǎng)絡安全保障體系。我國電信的網(wǎng)絡安全保障體系建設起步較早。2000年，原中國電信意識到網(wǎng)絡安全的重要性，并專門成立了相關的網(wǎng)絡安全管理部門，著力建立中國電信自己的網(wǎng)絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中，包括組織體系、策略體系和保障的機制，依據(jù)組織保障策略引導、保障機制支撐的原則。隨著網(wǎng)絡規(guī)模的不斷擴大和業(yè)務的突飛猛進，單靠純粹的管理和應急相應很難完成有關網(wǎng)絡安全方面的工作。為此，建立了網(wǎng)絡安全基礎支撐的平臺，也就是SOC平臺，形成了手段保障、技術保障和完備的技術管理體系，以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作，來完成對網(wǎng)絡安全事件的監(jiān)控，完成對網(wǎng)絡安全工作處理過程中的支撐，還包括垃圾郵件獨立處理的支持系統(tǒng)。

然而，網(wǎng)絡安全是相對的。網(wǎng)絡開放互聯(lián)、設備引進、新技術引入、自然災害和突發(fā)事件的存在等，造成了網(wǎng)絡的脆弱性。當電信網(wǎng)絡由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務轉型中，安全問題更加暴露。從狹義的網(wǎng)絡安全層面看，隨著攻擊技術的發(fā)展，網(wǎng)絡攻擊工具的獲得越來越容易，對網(wǎng)絡發(fā)起攻擊變得容易；而運營商網(wǎng)絡分布越來越廣泛，這種分布式的網(wǎng)絡從管理上也容易產(chǎn)生漏洞，容易被攻擊。從廣義的網(wǎng)絡安全層面看，業(yè)務欺詐、垃圾郵件、違法違規(guī)的SP行為等，也是威脅網(wǎng)絡安全的因素。

2 電信網(wǎng)絡安全面臨的形勢及問題

2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合，給電信網(wǎng)帶來新的安全威脅

傳統(tǒng)電信網(wǎng)的業(yè)務網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務網(wǎng)中傳送，信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務網(wǎng)隔離，完全由運營商控制，電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡控制系統(tǒng)，保障了網(wǎng)絡安全。IP電話引入后，需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通，電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎上，TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送，一旦出現(xiàn)不法行為，無論是運營商還是執(zhí)法機關，確認這些用戶的身份需要費一番周折，加大了打擊難度。

2.2 新技術、新業(yè)務的引入，給電信網(wǎng)的安全保障帶來不確定因素

NGN的引入，徹底打破了電信網(wǎng)根據(jù)不同業(yè)務網(wǎng)分別建設、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的，但從網(wǎng)絡安全方面看，如果采取的措施不當，NGN的引入可能會增加網(wǎng)絡的復雜性和不可控性。此外，3G、WMiAX、IPTV等新技術、新業(yè)務的引入，都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及，用戶向網(wǎng)絡側發(fā)送信息的能力大大增強，每一個用戶都有能力對網(wǎng)絡發(fā)起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制，組成僵尸網(wǎng)絡群，其拒絕服務攻擊的破壞力將可能十分巨大。

2.3 運營商之間網(wǎng)絡規(guī)劃、建設缺乏協(xié)調(diào)配合，網(wǎng)絡出現(xiàn)重大事故時難以迅速恢復

目前，我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備，電信市場多運營商條件下的監(jiān)管措施還不配套，給電信網(wǎng)絡安全帶來了新的威脅。如在網(wǎng)絡規(guī)劃建設方面，原來由行業(yè)主管部門對電信網(wǎng)絡進行統(tǒng)一規(guī)劃、統(tǒng)一建設，現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡的規(guī)劃、建設，行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡癱瘓問題，不同運營商之間的網(wǎng)絡能否互相支援配合就存在問題。

2.4 相關法規(guī)尚不完善，落實保障措施缺乏力度

當前我國《電信法》還沒有出臺，《信息安全法》還處于研究過程中，與網(wǎng)絡安全相關的法律法規(guī)還不完備，且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設方面，也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位，更多地關注網(wǎng)絡建設、業(yè)務開發(fā)、市場份額和投資回報，把經(jīng)濟效益放在首位，網(wǎng)絡安全相關的建設、運行維護管理等相對滯后。

3 電信網(wǎng)絡安全防護的對策思考

強化電信網(wǎng)絡安全，應做到主動防護與被動監(jiān)控、全面防護與重點防護相結合，著重考慮以下幾方面。

3.1 發(fā)散性的技術方案設計思路

在采用電信行業(yè)安全解決方案時，首先需要對關鍵資源進行定位，然后以關鍵資源為基點，按照發(fā)散性的思路進行安全分析和保護，并將方案的目的確定為電信網(wǎng)絡系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng)，使其具有統(tǒng)一的業(yè)務處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。

3.2 網(wǎng)絡層安全解決方案

網(wǎng)絡層安全要基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡和設備的訪問；劃分并隔離不同安全域；防止內(nèi)部訪問者對無權訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡區(qū)域安全級別把網(wǎng)絡劃分成兩大安全區(qū)域，即關鍵服務器區(qū)域和外部接入網(wǎng)絡區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。同時，應結合網(wǎng)絡系統(tǒng)的安全防護和監(jiān)控需要，與實際應用環(huán)境、工作業(yè)務流程以及機構組織形式進行密切結合，在系統(tǒng)中建立一個完善的安全體系，包括企業(yè)級的網(wǎng)絡實時監(jiān)控、入侵檢測和防御，系統(tǒng)訪問控制，網(wǎng)絡入侵行為取證等，形成綜合的和全面的端到端安全管理解決方案，從而大大加強系統(tǒng)的總體可控性。

3.3 網(wǎng)絡層方案配置

在電信網(wǎng)絡系統(tǒng)核心網(wǎng)段應該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品，將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort)，用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包，并可在關鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應的監(jiān)測。

3.4 主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案

由于電信行業(yè)的網(wǎng)絡系統(tǒng)基于Intranet體系結構，兼呈局域網(wǎng)和廣域網(wǎng)的特性，是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網(wǎng)絡，它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產(chǎn)品進行防范，并在中央安全管理平臺上部署中央管理控制臺，對全部的核心防護產(chǎn)品進行中央管理。

3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描

系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡而言，具有重要的意義。充分利用已有的掃描工具完成這方面的工作，可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。

篇10

一、公安網(wǎng)絡系統(tǒng)中存在的安全問題

1、公安系統(tǒng)存在問題的特征。1）系統(tǒng)安全問題具有動態(tài)性。隨著信息技術的飛速發(fā)展，不同時期有不同的安全問題，安全問題不斷地被解決，但也不斷地出現(xiàn)新的安全問題。例如線路竊聽劫持事件會因為加密協(xié)議層的使用而減少。安全問題具有動態(tài)性特點，造成系統(tǒng)安全問題不可能擁有一勞永逸的解決措施。2）系統(tǒng)安全問題來自于管理層、邏輯層和物理層，并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標方面的內(nèi)容。邏輯層的安全主要涉及到信息保密性，也就是在授權情況下，高密級信息向低密級的主體及客體傳遞，確保信息雙方的完整性，信息不會被隨意篡改，可以保證信息的一致性。一旦雙方完成信息交易，任何一方均不可單方面否認這筆交易。物理層的安全涉及的內(nèi)容是多個關鍵設備、信息存放地點等，如計算機主機、網(wǎng)絡等，防止信息丟失和破壞。

2、公安網(wǎng)絡系統(tǒng)中存在的安全問題。1）一機兩用的現(xiàn)象比較普遍。部分公安值班人員在公安網(wǎng)絡中接入自己的私人電腦，同時還包括一些無線上網(wǎng)設備等。外接上網(wǎng)設備通常安裝了無線網(wǎng)卡，外界侵入公安網(wǎng)絡的可能性增大，公安網(wǎng)絡的安全隱患擴大。此外，公安系統(tǒng)中的計算機出現(xiàn)故障，需要檢查維修時，沒有事先格式化計算機，導致系統(tǒng)計算機中的資料泄露，甚至出現(xiàn)“一機兩用”的情況，可以將病毒引入系統(tǒng)中引起信息泄露。

3、安全意識淡薄。公安網(wǎng)絡中的計算機存在濫用的情況，非在編的基層人員在未經(jīng)允許、教育培訓的情況私自使用公安網(wǎng)絡，從而出現(xiàn)信息泄露的情況，給網(wǎng)絡帶來嚴重的安全隱患。此外，公安部門人員缺乏安全意識，辦公室計算機的保密性不強，安全等級不高，重要軟件、文件等均沒有進行必要的加密處理，很多人員可以隨意訪問公安網(wǎng)絡，降低了公安網(wǎng)絡中計算機及其信息的安全性。

二、網(wǎng)絡安全技術與公安網(wǎng)絡系統(tǒng)的維護方案

1、積極建設網(wǎng)絡信息安全管理隊伍。網(wǎng)絡安全管理隊伍對管理公安網(wǎng)絡具有重要作用。為提升公安網(wǎng)絡的安全性與穩(wěn)定性，可以定期組織信息安全管理人員進行培訓，強化技術教育與培訓，增強網(wǎng)絡安全管理人員的責任意識，改善管理效率，提升管理水平。

2、充分運用網(wǎng)絡安全技術。1）防毒技術。隨著病毒的傳播速度、頻率、范圍的不斷擴大，公安網(wǎng)絡系統(tǒng)中也需要建立全方位、立體化的防御體系，運用全平臺反病毒技術、自動解壓縮技術與實時監(jiān)視技術等完善病毒防御方案。為了實現(xiàn)系統(tǒng)低層和反病毒軟件之間的相互配合，達到殺除病毒的目的，公安網(wǎng)絡中的計算機應運用全平臺反病毒技術。利用光盤、網(wǎng)絡等媒介所傳播的軟件通常是以壓縮狀態(tài)存在的，反病毒軟件要對系統(tǒng)內(nèi)部所有的壓縮文件進行解壓縮，清除壓縮包內(nèi)的病毒，若不運用自動解壓技術，存在于文件中的病毒會隨意傳播。

3、提高系統(tǒng)的可靠性。安網(wǎng)絡系統(tǒng)中一般是以敏感性資料、社會安全資料為主，這些資料被泄漏或者損壞均會產(chǎn)生嚴重后果。為了提升信息資料的安全性，必須定期備份，同時還應增強系統(tǒng)的可靠性。此外，還應明確系統(tǒng)災難的原因，如雷電、地震等環(huán)境因素，資源共享中，人為入侵等，針對可能出現(xiàn)的系統(tǒng)災難，可以建立起對應的災難備份系統(tǒng)。災難恢復指的是計算機系統(tǒng)遭遇災難之后，重組各種資源并恢復系統(tǒng)運行。