前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全防護范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

安全防護范文第1篇

在大型的企業網絡中不同的子網各有特點，對于網絡安全防護有不同的等級要求和側重點。因此，網絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網絡安全防護的需求，下面將具體介紹安徽中煙基于安全域的網絡安全防護體系建設思路。

網絡安全域是使網絡滿足等級保護要求的關鍵技術，每一個邏輯區域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全防護手段。通過建設基于安全域的網絡安全防護體系，我們可以實現以下的目標：通過對系統進行分區域劃分和防護，構建起有效的縱深防護體系；明確各區域的防護重點，有效抵御潛在威脅，降低風險；保證系統的順暢運行，保證業務服務的持續、有效提供。

1安全域劃分

由于安徽中煙網絡在網絡的不同層次和區域所關注的角度不同，因此進行安全域劃分時，必須兼顧網絡的管理和業務屬性，既保證現有業務的正常運行，又要考慮劃分方案是否可行。在這樣的情況下，獨立應用任何一種安全域劃分方式都不能實現網絡安全域的合理劃分，需要多種方式綜合應用，互相取長補短，根據網絡承載的業務和企業的管理需求，有針對性地選擇合理的安全域劃分方式。

1.1安全域劃分原則

業務保障原則安全域劃分應結合煙草業務系統的現狀，建立持續保障機制，能夠更好的保障網絡上承載的業務。在保證安全的同時，還要保障業務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統、設備到服務、進程、會話等不斷細化，在進行安全域劃分時應合理把握劃分粒度，只要利于使用、利于防護、利于管理即可，不可過繁或過簡。等級保護原則屬于同一安全域內的系統應互相信任，即保護需求相同。建立評估與監控機制，設計防護機制的強度和保護等級。要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態設計，還要考慮因需求、環境不斷變化而產生的安全域的變化，所以需考慮到工程化管理。

1.2安全域劃分方式

1.2.1安全域劃分模型根據安徽中煙網絡和業務現狀，安徽中煙提出了如下安全域劃分模型，將整個網絡劃分為互聯網接口區、內部網絡接口區，核心交換區，核心生產區四部分：核心生產區本區域僅和該業務系統其它安全子域直接互聯，不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域，如服務器群、數據庫以及重要存儲設備，外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡，包括與國家局，商煙以及分支煙草連接的網絡?；ヂ摼W接口區本區域和互聯網直接連接，主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。

1.2.2安全域邊界整合1）整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想，這自然不必多說，同類安全域合并原則在落實時應以一下思想為指導：集中化：在具備條件的情況下，同一業務系統應歸并為一個大的安全域；次之，在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域?？缦到y整合：不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合，以減小邊界和進行防護。最小化：應將與外部、內部互聯的接口數量最小化，以便于集中、重點防護。2）整合方法為了指導邊界整合，安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合，側重于數據業務系統與互聯網、外部系統間的接口的整合。（1）單一傳輸出口的邊界整合此種整個方法適用于：具備傳輸條件和網絡容災能力，將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。（2）多個傳輸出口的邊界整合此種整個方法適用于：數據業務系統和互聯網之間有多個物理位置不同的接口，并且尚不具備傳輸條件整合各接口。

2安全防護策略

2.1安全防護原則

集中防護通過安全域劃分及邊界整合后，可以形成所謂的“大院”，減少了邊界，進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段，集中部署基礎安全服務設施，對不同業務系統、不同的安全子域進行防護，共享其提供的安全服務。分等級防護根據煙草行業信息安全等級保護要求，對不同的數據業務系統、不同的安全子域，按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護?？v深防護從外部網絡到核心生產域，以及沿用戶（或其他系統）訪問（或入侵）系統的數據流形成縱深的安全防護體系，對關鍵的信息資產進行有效保護。

2.2系統安全防護

為適應安全防護需求，統一、規范和提升網絡和業務的安全防護水平，安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中，安全域劃分和邊界整合是防護體系架構的基礎。

2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域，就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置，安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。

2.2.2基礎安全技術防護手段業務系統的安全防護應以安全域劃分和邊界整合為基礎，通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上，還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段，如網頁防篡改、垃圾郵件過濾手段等。

防火墻部署防火墻要部署在各種互聯邊界之處：

–在互聯網接口區和互聯網的邊界必須部署防火墻；

–在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界；

–在內部互聯接口區和內部網絡的邊界也需部署防火墻?？紤]到內部互聯風險較互聯網低，內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外，對于同一安全域內的不同安全子域，可采用路由或交換設備進行隔離和部署訪問控制策略，或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭，并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下，也可在核心交換區部署入侵檢測探頭，實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端，并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時，為了提高可用性和便于防護，可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備，防范和過濾來自互聯網的各類異常流量。

網絡安全管控平臺網絡安全管控平臺應部署在網管網側，但為了簡化邊界和便于防護，建議：

–在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。

–在內部互聯接口區必須部署日志采集設備，采集業務系統各設備的操作日志。

2.2.3應用層安全防護數據業務系統應用安全防護主要是防范因業務流程、協議在設計或實現方面存在的漏洞而發生安全事件。其安全防護與系統架構、業務邏輯及其實現等系統自身的特點密切相關。安徽中煙通過參考IAARC模型，提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。

2.2.4安全域的管理除了實施必要的安全保障措施控制外，加強安全管理也是不可缺少的一個重要環節。安全域管理主要包括：從安全域邊界的角度考慮，應提高維護、加強對邊界的監控，對業務系統進行定期或不定期的風險評估及實施安全加固；從系統的角度考慮，應規范帳號口令的分配，對服務器應嚴格帳號口令管理，加強補丁的管理等；人員安全培訓。

安全防護范文第2篇

終端安全面臨挑戰

需求是技術進步的最大動力，而推動終端安全防護技術升級的原因就在于安全形勢正在發生重大變化。隨著IT技術應用的逐步深入和Web應用的普及，特別是社交網絡的興起，將現實社會與虛擬網絡連結在一起，現在的終端安全正面臨著新的挑戰。

挑戰之一是病毒種類爆炸性增長。根據賽門鐵克的研究數據顯示，2007年1月，賽門鐵克的全球應急響應中心共發現了病毒25萬種，而到2010年12月份，這個數據則攀升到2.86億。病毒種類太多、變異太快，這使得病毒發現、病毒特征提取、病毒庫更新、病毒攔截這個流程已無法即時響應，終端安全防護的效率也就逐漸下降；同時，病毒特征庫越來越大，不但大量占用用戶電腦的存儲資源，還耗用了大量的CPU和內存資源，用戶的直觀感覺則是電腦越來越慢。

“傳統的防護方法是要先發現并確認這是病毒，然后才能完成后來的病毒特征提取、病毒攔截工作。換而言之，如果不知道它是病毒，就不知道如何防備它。這就是傳統方法的被動之處。”賽門鐵克首席信息安全技術顧問林育民表示。

挑戰之二是病毒設計更有針對性。過去病毒爆發都是大面積甚至全球性的，其波及面達數百萬臺電腦，而今這樣的病毒越來越少。由于病毒設計者從以前的技術迷戀性轉變為追求經濟回報，所以他們會針對某一特定對象編寫病毒。其目標指向非常明確，就是某個網絡甚至某幾臺計算機，通過入侵系統獲取某些信息實現牟利。根據賽門鐵克提供的數據，去年，70%以上的惡意軟件攻擊目標少于50臺，有些甚至只是感染幾臺計算機。這么少的目標使得這種病毒的發現更為困難，即使安全廠商取得樣本，的病毒特征也只對少數這幾臺電腦有效。

挑戰之三是虛擬化的流行。虛擬化改變了IT資源的使用方式，使得應用系統與物理設備徹底分離，而安全防護手段也必須隨之而變?！安渴鹛摂M化技術以后，我們的電腦中可能會有多個虛擬機，有可能某些虛擬機的相似度達到90%以上，如果還是對每個虛擬機上每一個文件進行查殺病毒，不但占用資源，性能也不佳?！绷钟裾f。

終端安全保護產品的選擇

日益嚴峻的終端安全形勢要求我們選擇合適的終端安全防護產品。那么，我們該如何評判一個終端安全防護產品呢？

“對于終端安全防護產品的選擇，有幾個關鍵點必須考慮，即病毒查殺準、性能高、可管理性好，另外還要有一定前瞻性，符合IT技術未來的發展趨勢。”林育民介紹說。

林育民進一步解釋，“病毒查殺準”指病毒識別率高，能識別并攔截絕大多數病毒，這是終端安全防護產品的基本功能，也是評判一個產品好與不好最為重要的指標之一；“性能高”指的是掃描不占用太多的資源以免影響其他軟件的運行，有良好的用戶體驗。

“可管理性”主要是應對中大型企業的各種管理需求的。大型企業的管理需求可能會比較復雜，比如，在管理上可能會要求對文件的讀和寫分別進行控制，還有可能要限制U盤的使用或者限制從U盤運行文件，并且可能還要對某個具體的應用程序進行管理和控制（如P2P下載、QQ等）。

而前瞻性則是對企業把握IT科技未來發展趨勢能力的一種考驗。比如，安全產品中提供對虛擬化的支持就是一種必然的發展趨勢。雖然許多安全廠商注意到這一趨勢，但往往為了追求性能與提高虛擬機密度，犧牲了虛擬化環境的安全防護能力；具有前瞻性的終端安全產品必須能在虛擬化環境下，防護不打折且對虛擬機性能沖擊最小，同時兼顧安全與性能。

在林育民看來，同時滿足這些條件的終端安全防護產品并不多，賽門鐵克即將的Symantec Endpoint Protection 12(SEP 12)無疑是其中之一。它引入一系列創新的技術（包括Insight、SONAR），實現了主動、預防式的病毒查殺功能，可幫助物理和虛擬系統實現高效的防御功能。

安全防護范文第3篇

關鍵詞：安全；智能手機；防護中圖分類號：U664.156文獻標識碼：A

引言

在一個信息泄露陷阱遍地開花的時代，經常有用戶的隱私被竊取，進而被眾人戲謔為“信息裸奔”。現在，這股“裸奔潮”已經蔓延到智能手機這片藍海上。雖然智能手機遭遇的惡意軟件還不像網絡或操作系統那樣泛濫，但是大有愈演愈烈的趨勢。勿庸置疑，手持智能設備在給我們帶來一定便利的同時，也隱藏著一定的安全隱患。

一、智能手機安全問題日益引起人們的高度重視

據CNCERT(國家互聯網應急中心)最新數據顯示，去年我國移動互聯網惡意代碼數量高達16萬行，與前年相比，增加了25倍，而這些惡意程序主要集中在Android平臺上，占總數的82.5%。Android的開放性使得大量的惡意開發者因利益的驅動瞄準了這個巨大的市場。因各下載市場、ROM、刷機、論壇等渠道，缺少嚴格、完善的審核機制，又給了惡意軟件巨大的生存的空間。

在DCCI（互聯網數據中心）的《中國移動安全產業鏈生態發展報告》中，顯示有96.7%的用戶曾遭遇移動安全問題。在下載通道中，通過智能手機瀏覽器訪問的網站中，有0.39%暗藏木馬；在下載站中，木馬占應用市場提交檢測應用次數的11.8%。僅2013年上半年新增病毒樣本數就達到了2012年全年的1.7倍。

有數據顯示，今年我國智能手機出貨量將突破2.7億臺，有將近5億的用戶加入移動互聯網大潮中，這也就意味著，可能遭病毒感染的智能手機基數會增大。從某種意義上說，惡意軟件的市場空間不斷在增加，智能手機安全形勢日益嚴峻。

在應用方面，目前28.3%的應用軟件含有廣告，平均每個廣告軟件被植入2.66個廣告平臺的插件，而每個含廣告軟件大約有2種廣告樣式。廣告條是目前移動端主要的廣告樣式，占比92.6%?；旧厦織l廣告都能連接到外部網絡，這些廣告同時可能獲取用戶的位置信息和讀取用戶的智能手機號碼。

二、各方合力積極應對安全挑戰

盡管圍繞智能手機應用的各方都在積極努力加強防范，但在安全防御和查殺技術進步的同時，智能手機病毒及惡意軟件也在發展，包括其隱蔽程度、危害、反查殺手段都在不斷升級。今天安全廠商改進了查殺方法，智能手機病毒開發者會很快做出反應，想出新的方法來規避安全軟件的查殺。新病毒層出不窮，安全廠商的查殺機制及引擎也需要不斷改進。

截止到2012年第三季度，中國的智能手機安全累計用戶在移動互聯網用戶中的滲透率已經達到63.4%。未來，隨著Android開放平臺智能終端出貨量的繼續增長，這一數字有望在年底突破70%。其實，不斷增長的智能手機用戶，除了給惡意軟件制造者帶來了市場，也給智能手機安全軟件提供了廣闊的市場空間。但智能手機安全軟件并不能從根本上解決安全問題，應用分發平臺作為流通的關鍵環節，有著不可忽視的作用。

智能手機病毒、惡意短信讓用戶們防不勝防，苦不堪言，大有回到互聯網剛開放時全民病毒的年代。網絡不發達的時代電腦中了病毒還只是造成系統變慢、經常死機等狀況，對用戶的經濟利益還沒有太大的影響，而現在的智能手機病毒則不然，取得了最高權限的病毒理論上可以頃刻間揮霍掉你所有話費，這就是對我們經濟利益裸的傷害。國外的統計數據表明，已經有86%的移動互聯網用戶開始擔心終端的安全問題，如欺詐賬單、信息盜用等；34%的用戶開始對目前的終端及其服務的安全質疑。59%的用戶希望運營商能夠把保障終端和業務安全放在首位。

三、智能手機安全防護措施

以下分別針對這三種特殊情況分別討論相應的防護措施：本機防護；手機上網防護；手機操作系統防護等方式進行防范。

1、本機防護

本機防護帶來的安全問題常見的有：手機的通訊錄、短信、通話記錄等用戶私密信息會被竊?。槐凰藗窝b成用戶本人使用手機進行短信詐騙等；被他人使用手機從事其它違法活動?？刹捎迷O置手機開機密碼、手機登陸密碼和SIM卡登陸密碼?；蛘哌M行手機數據加密。也可以使用手機遠程控制銷毀數據。這些方式可以有效地進行本機的防護。

2、手機上網防護。

上網是智能手機的一項基本功能，也是智能手機最容易被攻擊的一種方式。常見的有：用戶信息被竊取、手機被惡意扣費、手機用戶位置被追蹤、通話被監聽、手機行為被控制等。常見的手機惡意代碼植入方式有：手機出廠時被植入手機惡意代碼，主要一些山寨手機中比較常見；手機惡意代碼附帶在一些用戶程序中，用戶安裝過程中植入；手機被他人使用過程被植入；電腦感染病毒后連接電腦的手機被植入手機惡意代碼；利用手機的漏洞植入。手機惡意代碼的安全防護措施主要是避免手機被他人使用，對他人贈與的手機進行徹底檢查，避免手機與他人的電腦進行連接等，另外，借助第三方手機安全軟件或一些手機系統自帶工具可以對手機惡意代碼進行查殺。

3、手機操作系統防護。

手機操作系統安全漏洞帶來的安全隱患和防護措施需要對手機的操作系統進行升級或者進行漏洞修復。常見到的漏洞，一是手機信號被竊取帶來的安全隱患。目前市面上一些比較先進的監聽設備，可以竊取手機信號，達到實時監聽的功能。二是手機接口安全漏洞。手機提供的接口越來越多，包括紅外、藍牙、USB、WIFI、射頻識別、條碼掃描以及GPRS、3G 網絡接口，目前在芯片設計、接口協議、傳輸協議等方面，都可能有安全漏洞。三是手機短信、郵件漏洞。一些手機的存存一些短信、郵件漏洞，利用該漏洞可以造成手機死機、損壞、被植入惡意代碼等后果，從而導致查看該類短信時，手機死機。四是手機破解、越獄利用的相關漏洞，能夠自動對手機進行越獄。值得注意的是，該漏洞可以被利用在手機惡意代碼的遠程植入，另外，對手機進行破解、越獄，等于是解除未簽名、未認證程序的安裝限制，也會給手機帶來很多安全隱患。

智能手機用戶則需要加強智能手機操作系統的學習，減少安全漏洞，對于安全漏洞導致的危害，可以采取以下防范措施：關注手機操作系統更新信息，一些手機漏洞被發現后，手機操作系統研發公司一般會在最短的時間內補丁或升級版本的同件，需要及時進行更新；關閉手機不需要的藍牙、WIFI等接口；利用手機安全軟件，結合手機惡意代碼的查殺進行防護；對手機破解、越獄可能帶來的安全隱患要有足夠的認識，輕易不對手機進行破解、越獄等操作。

結語

總之隨著移動互聯網不斷滲透到人們日常生活中的個個角落，未來智能手機等移動終端的安全將成為日益嚴峻的問題，而它的解決離不開政府、運營商、應用平臺、安全廠商、智能手機廠商、開發者、以及智能手機用戶等各方的共同努力。

參考文獻

安全防護范文第4篇

【 關鍵詞 】 系統安全；安全威脅；安全策略；網絡可靠性

Analysis and Research on the Protection Strategy of IT System Security

Zhang Jie Geng Yu-hua

（China Mobile Group Henan Company Limited HenanZhengzhou 450008）

【 Abstract 】 Based on the analysis of security threats faced by IT system， IT system is divided into a plurality of security sub-domain， by formulating the construction and security strategy of each security sub-domain， system network architecture is more security， system security protection capability is further enhanced.

【 Keywords 】 system security； security threats； security policy； network reliability

1 引言

隨著企業IT支撐系統的逐步建設，IT系統已融入企業生產和管理的各個方面，對企業的正常運行的影響也越來越大。但是，伴隨著網絡規模的不斷擴大和在網絡上運行的業務系統的增多，相關的安全問題也日益嚴重，通過網絡影響業務系統的活動所使用的技術手段越來越高明。系統網絡面臨各種安全威脅，特別是侵入與攻擊事件的發生，會給企業造成極大的經濟損失。

2 系統安全威脅分析

目前威脅IT系統安全的因素主要包括病毒侵襲、黑客攻擊等。

2.1 病毒傳播

隨著網絡技術的日益發展，病毒技術也在不斷發展提高，病毒的傳播途徑越來越廣，傳播速度越來越快，造成的危害也越來越大，病毒已經嚴重威脅著業務支撐系統的安全。尤其近期病毒日益向網絡化和多樣化發展，業務支撐系統中任何一個節點病毒疫情爆發，將波及到網絡中其它所有節點，從而影響整個網絡的正常運行。

2.2 黑客攻擊

暴露于網絡中的IT系統經常存在很多漏洞，由于部分用戶和管理人員的安全意識不強，同時，黑客攻擊的手段在不斷變更，攻擊水平飛速提高，計算機犯罪和非法入侵攻擊對企業造成的危害極其嚴重。通過因特網侵入他國重要部門計算機系統的事例已屢見不鮮，黑客攻擊已經逐漸成為將來信息戰的一種重要手段。

3 系統安全防護原則

安全域劃分與邊界整合是安全工作的基礎。安全域的劃分，就是從安全角度將系統劃分成不同的區域，以便實行分門別類的防護。根據等級保護的要求，確定各安全域的保護等級，并部署相應安全手段。安全域調整的基本原則有幾點。

分區域保護原則：應根據各業務的不同重要性，劃分多個具有不同安全保護等級的安全域，實現不同強度保護；安全域內的系統應具有相同或者相近的保護等級，實施統一的安全策略管理。

重點保護原則：在分區域保護原則基礎上，對于其中某些系統設備由于其存儲數據的性質、或者由于其承載的業務非常關鍵，應得到重點的保護。應集中資源首先確保重點應用安全，安全需求高安全域的重要應用優先保護。

相互信任原則：屬于同一安全域內的系統應互相信任，也就是說即使保護需求相同，如果屬于不同的系統而且互不信任，也不應該納入同一安全域進行保護，“信任”是一個相對的概念。

可行性、可靠性原則：安全系統的方案設計和系統設計，應滿足可用性、高性能及高可靠性要求，保證在采用安全防護手段之后，不會對現有網絡和業務系統有大的影響，在保證網絡和業務系統正常運轉的前提下，提供最優安全保證；同時安全解決方案應具有良好的擴展性，能適應將來的發展。

4 系統安全防護策略

為實現上述安全防護原則，可根據系統體系架構和承載業務不同，將整個IT業務系統劃分為多個安全區域，不同的安全區域采用不同的安全策略，實現安全等級防護。

4.1 安全域劃分

以核心IT業務系統為例，說明安全域劃分和防護策略。系統可主要劃分為核心域和接入域兩個安全域，再根據安全域內部的不同業務類型安全需求采取不同的安全策略，部署相應的安全設備，以實現整體系統的安全。

核心域中承載系統核心數據和業務，包括系統核心主機、網管系統、客服系統等，其安全級別最高的，是系統安全的首要考慮的防護對象。接入域包括內部接口域和外部接口域兩大部分，其中內部接口域是指本系統和本企業內部其他IT系統間的接口；外部接口域是指和銀行、互聯網等外部系統的接口。

接入域雖然安全防護級別相對核心域較低，但由于其和外部進行大量數據交互，是外部惡意攻擊的重要途徑，因此其安全性也非常重要，是防護內部系統安全的的重要屏障。

4.2 安全防護措施

安全防護主要包括安全域技術改造和安全加固二部分內容。

安全域技術改造部分包括根據安全防護要求進行系統核心域、接口域的的安全域構建和系統網絡架構調整等內容，將系統設備根據業務和安全防護要求分別劃分到相對獨立的安全子域中去。

對系統進行安全加固時，可分兩步進行。一是對現有系統的安全加固，采用先進的技術手段對核心業務系統中的主機、操作系統、數據庫、網絡設備進行安全評估，查找系統安全漏洞，并針對發現的安全漏洞進行修補加固。二是針對現有系統安全防火措施的不足增加新的安全設備，并制定全面完善的維護和操作安全管理流程和規范，通過訪問控制策略調查制定新的安全域訪問控制策略。

4.2.1防火墻的設置

在接口子域采用雙層異構防火墻部署，在與外部接口的交換機兩側分別部署不同廠商的防火墻設備，將與外部通信的網絡交換機放置在兩層防火墻之間，在雙層防火墻間的交換機上部署接口服務器，用于處理系統和其他系統的業務和數據交互。

交換機和防火墻都采用主備高可用布署方式，同時在防火墻上進行相應的安全設置，建立訪問控制列表（ACL）和安全過濾策略，限制外部非法系統的接入。

4.2.2部署網絡防毒墻設備

在系統內部部署網絡防毒墻用來抵擋和阻斷網絡蠕蟲和病毒的傳播。網絡防毒墻具備針對網絡蠕蟲、病毒等特征碼的檢測功能，用來監控整個網絡的病毒行為。防毒墻的病毒掃描引擎結合了啟發式掃描等多種技術，能夠檢測已知的和尚未開發出特征碼的新病毒，還可對垃圾郵件進行識別和處理。網絡防毒墻是終端防病毒軟件的重要補充，兩者結合能最大程度消滅網絡病毒，凈化內部系統和網絡。

4.2.3部署網頁防篡改系統

隨著企業業務發展的需要，各種互聯網應用日益增多。網上營業廳、自助服務平臺等通過互聯網提供服務的業務也日益普及，大量系統均采用了B/S架構，為防御黑客對業務系統網頁的進行篡改，確?？蛻糍~戶和密碼安全，需要部署專門的網頁防篡改系統來保護網頁和保障業務系統的安全。

網頁防篡改系統通過采用實時阻斷技術，加載網頁篡改檢測引擎，能夠有效阻斷非授權人員或系統對網頁內容的篡改；在發現網頁內容被非法篡改時，通過事件觸發技術，能夠瞬間清除被非法篡改的網頁，將網頁恢復正常；在客戶訪問系統時，能夠確保每個對外發送的網頁的正確性。

部署網頁防篡改系統，能實現網站監控與恢復、網頁與同步、受攻擊報警、網頁維護日志、系統備份功能，還可進行用戶認證、篡改分析和審計，并可以根據需要靈活構建復雜的網站防護系統。

4.3.4部署入侵檢測系統

在內部接口域和外部接口域部署入侵檢測設備，通過對網絡流量的鏡像監聽來發現網絡中的異常行為。對防火墻進入子系統的數據進行監測，把防火墻與交換機之間的通訊端口鏡像到入侵檢測設備的監聽端口，實現對子系統防火墻之間的通訊數據進行監控的功能。

入侵檢測系統在發現入侵或異常行為后，可提供控制臺報警、郵件報警、聲音報警以及短消息報警、切斷會話等多種報警方式。能夠與路由器、防火墻等網絡及安全設備進行聯動，組成聯合防御體系，解決入侵檢測信息孤島問題。

此外，入侵檢測探測器還能夠發現并記錄網絡中常用的敏感信息，幫助管理員發現內部的網絡濫用行為；能夠對常用的應用協議（HTTP、FTP、SMTP、POP3、TELNET）進行內容恢復，并按照相應的協議格式完整展現，清楚展現入侵者的攻擊過程，重現內部網絡資源濫用時泄漏的保密信息內容。

5 安全防護實施風險控制

在進行IT業務系統安全域劃分以及安全產品部署和安全策略實施的過程中，一定要把對業務系統的影響降到最小，把風險降到最低。

在操作實施前，應制定完善細致的操作步驟和實施方案，考慮各種可能出現的問題，制定相應的應急預案和回退機制。在操作時間的選擇上，要盡量避開業務高峰時段，如在凌晨進行工程實施，使加固行為對業務的影響降到最低。進行操作前，對系統的重要數據和操作系統以及系統配置信息進行備份，對操作流程進行測試驗證，確保操作安全有效。在操作過程中，操作人員應嚴格按照既定流程操作，并由專人對所有操作進行嚴格復查，確保沒有缺少或者多余的操作，以防誤操作對被加固設備帶來不良影響。

參考文獻

[1] 劉化君.網絡安全技術[M]. 北京：人民郵電出版社，2010.

[2] 張玉清.網絡攻擊與防御技術[M]. 北京：清華大學出版社，2011.

[3] 于九紅.網絡安全設計[M]. 北京：電子工業出版社，2012.

[4] 俞承杭.計算機網絡與信息安全技術[M].北京：機械工業出版社，2008.

作者簡介：

安全防護范文第5篇

關鍵詞Web；網絡安全；安全威脅；安全防護

1引言

隨著Internet的普及，人們對其依賴也越來越強，但是由于Internet的開放性，及在設計時對于信息的保密和系統的安全考慮不完備，造成現在網絡的攻擊與破壞事件層出不窮，給人們的日常生活和經濟活動造成了很大麻煩。WWW服務作為現今Internet上使用的最廣泛的服務，Web站點被黑客入侵的事件屢有發生，Web安全問題已引起人們的極大重視。

2Web的安全威脅

來自網絡上的安全威脅與攻擊多種多樣，依照Web訪問的結構，可將其分類為對Web服務器的安全威脅、對Web客戶機的安全威脅和對通信信道的安全威脅三類。

2.1對Web服務器的安全威脅

對于Web服務器、服務器的操作系統、數據庫服務器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務器上的漏洞可以從以下幾方面考慮：

2.1.1在Web服務器上的機密文件或重要數據（如存放用戶名、口令的文件）放置在不安全區域，被入侵后很容易得到。

2.1.2在Web數據庫中，保存的有價值信息（如商業機密數據、用戶信息等），如果數據庫安全配置不當，很容易泄密。

2.1.3Web服務器本身存在一些漏洞，能被黑客利用侵入到系統，破壞一些重要的數據，甚至造成系統癱瘓。

2.1.4程序員的有意或無意在系統中遺漏Bugs給非法黑客創造條件。用CGI腳本編寫的程序中的自身漏洞。

2.2對Web客戶機的安全威脅

現在網頁中的活動內容已被廣泛應用，活動內容的不安全性是造成客戶端的主要威脅。網頁的活動內容是指在靜態網頁中嵌入的對用戶透明的程序，它可以完成一些動作，顯示動態圖像、下載和播放音樂、視頻等。當用戶使用瀏覽器查看帶有活動內容的網頁時，這些應用程序會自動下載并在客戶機上運行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機上的信息。主要用到JavaApplet和ActiveX技術。

JavaApplet使用Java語言開發，隨頁面下載，Java使用沙盒(Sandbox)根據安全模式所定義的規則來限制JavaApplet的活動，它不會訪問系統中規定安全范圍之外的程序代碼。但事實上JavaApplet存在安全漏洞，可能被利用進行破壞。

ActiveX是微軟的一個控件技術，它封裝由網頁設計者放在網頁中來執行特定的任務的程序，可以由微軟支持的多種語言開發但只能運行在Windows平臺。ActiveX在安全性上不如JavaApplet，一旦下載，能像其他程序一樣執行，訪問包括操作系統代碼在內的所有系統資源，這是非常危險的。

Cookie是Netscape公司開發的，用來改善HTTP的無狀態性。無狀態的表現使得制造像購物車這樣要在一定時間內記住用戶動作的東西很難。Cookie實際上是一段小消息，在瀏覽器第一次連接時由HTTP服務器送到瀏覽器端，以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給Web服務器，服務器用這個Cookie來記憶用戶和維護一個跨多個頁面的過程影像。Cookie不能用來竊取關于用戶或用戶計算機系統的信息，它們只能在某種程度上存儲用戶的信息，如計算機名字、IP地址、瀏覽器名稱和訪問的網頁的URL等。所以，Cookie是相對安全的。

2.3對通信信道的安全威脅

Internet是連接Web客戶機和服務器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對信道進行偵聽，竊取機密信息，存在著對保密性的安全威脅。未經授權的用戶可以改變信道中的信息流傳輸內容，造成對信息完整性的安全威脅。此外，還有像利用拒絕服務攻擊，向網站服務器發送大量請求造成主機無法及時響應而癱瘓，或者發送大量的IP數據包來阻塞通信信道，使網絡的速度便緩慢。

3Web的安全防護技術

3.1Web客戶端的安全防護

Web客戶端的防護措施，重點對Web程序組件的安全進行防護，嚴格限制從網絡上任意下載程序并在本地執行?？梢栽跒g覽器進行設置，如MicrosoftInternetExplorer的Internet選項的高級窗口中將Java相關選項關閉。在安全窗口中選擇自定義級別，將ActiveX組件的相關選項選為禁用。在隱私窗口中根據需要選擇Cookie的級別，也可以根據需要將c:\windows\cookie下的所有Cookie相關文件刪除。

3.2通信信道的安全防護

通信信道的防護措施，可在安全性要求較高的環境中，利用HTTPS協議替代HTTP協議。利用安全套接層協議SSL保證安全傳輸文件，SSL通過在客戶端瀏覽器軟件和Web服務器之間建立一條安全通信信道，實現信息在Internet中傳送的保密性和完整性。但SSL會造成Web服務器性能上的一些下降。

3.3Web服務器端的安全防護

限制在Web服務器中賬戶數量，對在Web服務器上建立的賬戶，在口令長度及定期更改方面作出要求，防止被盜用。

Web服務器本身會存在一些安全上的漏洞，需要及時進行版本升級更新。

盡量使EMAIL、數據庫等服務器與Web服務器分開，去掉無關的網絡服務。

在Web服務器上去掉一些不用的如SHELL之類的解釋器。

定期查看服務器中的日志文件，分析一切可疑事件。

設置好Web服務器上系統文件的權限和屬性。

通過限制許可訪問用戶IP或DNS。

從CGI編程角度考慮安全。采用編譯語言比解釋語言會更安全些，并且CGI程序應放在獨立于HTML存放目錄之外的CGI-BIN下等措施。4Web服務器安全防護策略的應用

這里以目前應用較多的Windows2000平臺和IIS的Web服務器為例簡述Web服務器端安全防護的策略應用。

4.1系統安裝的安全策略

安裝Windows2000系統時不要安裝多余的服務和多余的協議，因為有的服務存在有漏洞，多余的協議會占用資源。安裝Windows2000后一定要及時安裝補丁4程序（W2KSP4_CN.exe），立刻安裝防病毒軟件。

4.2系統安全策略的配置

通過“本地安全策略”限制匿名訪問本機用戶、限制遠程用戶對光驅或軟驅的訪問等。通過“組策略”限制遠程用戶對Netmeeting的桌面共享、限制用戶執行Windows安裝任務等安全策略配置。

4.3IIS安全策略的應用

在配置Internet信息服務（IIS）時，不要使用默認的Web站點，刪除默認的虛擬目錄映射；建立新站點，并對主目錄權限進行設置。一般情況下設置成站點管理員和Administrator兩個用戶可完全控制，其他用戶可以讀取文件。

4.4審核日志策略的配置

當Windows2000出現問題的時候，通過對系統日志的分析，可以了解故障發生前系統的運行情況，作為判斷故障原因的根據。一般情況下需要對常用的用戶登錄日志，HTTP和FTP日志進行配置。

4.4.1設置登錄審核日志

審核事件分為成功事件和失敗事件。成功事件表示一個用戶成功地獲得了訪問某種資源的權限，而失敗事件則表明用戶的嘗試失敗。

4.4.2設置HTTP審核日志

通過“Internet服務管理器”選擇Web站點的屬性，進行設置日志的屬性，可根據需要修改日志的存放位置。

4.4.3設置FTP審核日志

設置方法同HTTP的設置基本一樣。選擇FTP站點，對其日志屬性進行設置，然后修改日志的存放位置。

4.5網頁和下載的安全策略

因為Web服務器上的網頁，需要頻繁進行修改。因此，要制定完善的維護策略，才能保證Web服務器的安全。有些管理員為方便起見，采用共享目錄的方法進行網頁的下載和，但共享目錄方法很不安全。因此，在Web服務器上要取消所有的共享目錄。網頁的更新采用FTP方法進行，選擇對該FTP站點的訪問權限有“讀取、寫入”權限。對FTP站點屬性的“目錄安全性”在“拒絕訪問”對話框中輸入管理維護工作站的IP地址，限定只有指定的計算機可以訪問該FTP站點，并只能對站點目錄進行讀寫操作。

5結束語

通過對Web安全威脅的討論及具體Web安全的防護，本文希望為用戶在安全上網或配置Web服務器安全過程中起到借鑒作用。

【參考文獻】