前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網絡安全加固建設范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

網絡安全加固建設范文第1篇

關鍵詞：等級保護；網絡安全；信息安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經濟的持續發展，我國的網絡信息和重要信息系統面臨越來越多的威脅，網絡違法犯罪持續大幅上升，計算機病毒傳播和網絡非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網絡信息安全的任務非常艱巨、繁重，加強網絡信息安全等級保護建設刻不容緩。

1 網絡信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分，如圖1所示，其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環境安全（防火、防水、防雷擊等）設備和介質的防盜竊防破壞等方面。

2） 主機安全

主機系統安全是計算機設備（包括服務器、終端/工作站等）在操作系統及數據庫系統層面的安全；通過部署終端安全管理系統（TSM），準入認證網關（SACG），以及專業主機安全加固服務，可以實現等級保護對主機安全防護要求。

3） 網絡安全

網絡是保障信息系統互聯互通基礎，網絡安全防護重點是確保網絡之間合法訪問，檢測，阻止內部，外部惡意攻擊；通過部署統一威脅管理網關USG系列，入侵檢測/防御系統NIP，Anti-DDoS等網絡安全產品，為合法的用戶提供合法網絡訪問，及時發現網絡內部惡意攻擊安全威脅。

4） 應用安全

應用安全就是保護系統的各種應用程序安全運行，包括各種基本應用，如：消息發送、web瀏覽等；業務應用，如：電子商務、電子政務等；部署的文檔安全管理系統（DSM），數據庫審計UMA-DB，防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密，數據災備實現企業信息系統數據防護，降低數據因意外事故，或者丟失給造成危害。

5） 數據安全

數據安全主要是保護用戶數據、系統數據、業務數據的保護；通過對所有信息系統，網絡設備，安全設備，服務器，終端機的安全事件日志統一采集，分析，輸出各類法規要求安全事件審計報告，制定標準安全事件應急響應工單流程。

2 應用實例

近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，某醫院的核心系統按照等級保護三級標準建設信息系統安全體系，全面保護醫院內網系統與外網系統的信息安全。

醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護，不是對整個系統進行同一等級的保護，而是針對系統內部的不同業務區域進行不同等級的保護；通過安全域劃分，實現對不同系統的差異防護，并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示，外網是一個星型的快速以太交換網，核心為一臺高性能三層交換機，下聯內網核心交換機，上聯外網服務器區域交換機和DMZ隔離區，外聯互聯網出口路由器，內網交換機向下連接信息點（終端計算機），外網核心交換機與內網核心交換機之間采用千兆光纖鏈路，內網交換機采用百兆雙絞線鏈路下聯終端計算機，外網的網絡安全設計至關重要，直接影響到等級保護系統的安全性能。

圖 2 醫院網絡信息系統安全區域劃分圖

2.1外網網絡安全要求

系統定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇，外網網絡安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結構安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網絡設備防護（G3） 。

2.2網絡安全策略

根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求，制定相應的網絡安全策略

1） 網絡拓撲結構策略

要合理劃分網段，利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施，監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網絡訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內部網絡，那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

3） 網絡入侵檢測策略

系統中應該設置入侵檢測策略，動態地監測網絡內部活動并做出及時的響應。

4） 網絡安全審計策略

系統中應該設置安全審計策略，收集并分析網絡中的訪問數據，從而發現違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網的運行安全評估流程，定期評估和加固網絡設備及安全設備。

2.3網絡安全設計

根據對醫院外網安全保護等級達到安全等級保護3級的基本要求，外網的網絡安全設計包括網絡訪問控制，網絡入侵防護，網絡安全審計和其他安全設計。

1） 網絡訪問控制

實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備，采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。

①外網互聯網邊界防火墻：在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區域和互聯網接入區域，對外網的互聯網接入提供邊界防護和訪問控制。

②對外服務區域邊界防火墻：對外服務區域與安全管理區域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區域交換機，通過雙絞線連接區域內服務器，對其他區域向對外服務區域及安全管理區域的訪問行為進行控制，同時控制兩個區域內部各服務器之間的訪問行為。

③網絡入侵防御系統：在托管機房區域邊界部署一臺網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，為托管機房區域提供邊界防護和訪問控制。

2） 網絡入侵防護

外網局域網的對外服務區域，防護級別為S2A2G2，重點要實現區域邊界處入侵和攻擊行為的檢測，因此在局域網的內部區域邊界部署網絡入侵檢測系統（天融信網絡入侵防御系統TopIDP）；對于外網托管機房的網站系統，防護級別為S3A2G3，由于其直接與互聯網相連，不僅要實現區域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯網進來的攻擊行為，因此在托管機房區域邊界部署網絡入侵防御系統（啟明星辰天闐NS2200）。

①網絡入侵防御系統：在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統，該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機，其主要用來防御來自互聯網的攻擊流量。

②網絡入侵檢測系統：在外網的核心交換機上部署一臺千兆IDS系統，IDS監聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至IDS監聽端口；IDS用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行檢測。

3） 網絡安全審計

信息安全審計管理應該管理最重要的核心網絡邊界，在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量，還要對終端的互聯網訪問行為進行審計；此外重要網絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量，因此在外網的核心交換機上部署網絡行為審計系統（天融信網絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網絡審計引擎通過抓取網絡中的數據包，并對抓到的包進行分析、匹配、統計，從而實現網絡安全審計功能。

①在外網的核心交換機上部署一臺千兆網絡安全審計系統，監聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監聽端口鏡像操作，將對外服務區域與核心交換區域之間鏈路，以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量，鏡像至網絡安全審計系統的監聽端口；

③網絡安全審計系統用于對訪問對外服務區域的數據流量，訪問安全管理區域的數據流量，以及訪問互聯網的數據流量進行安全審計；

④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。

4） 其他網絡安全設計

其他網絡安全設計包括邊界完整性檢查，惡意代碼防范，網絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網絡入侵防御系統外部接口的訪問行為；對服務器系統進行安全加固，提升系統自身的安全訪問控制能力；

②惡意代碼防范：通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網絡設備防護：網絡設備為托管機房單位提供，由其提供網絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網絡啟動和自動從網絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據，在實行安全防護系統建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據分級、分域、分系統進行安全建設的思路，針對一個特定的信息系統（醫院信息管理系統）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網信息安全保障體系初探[J].電腦知識與技術，2013（33）.

網絡安全加固建設范文第2篇

路由器是局域網之中非常重要的一種網絡設備，其主要在網絡層實現子網之間以及內外數據的轉發，是不同網絡之間進行數據交換及通信的一個重要通道。當前，很多路由器可集成防火墻等安全模塊，對網絡起到安全加固的作用。所以，路由器往往是病毒入侵的第一道屏障。目前，各大小石油企業均使用Cisco（思科）路由器及交換機對該企業局域網進行安全加固，從而在很大程度上提高了石油企業的網絡安全以及提高了企業的生產效益。

【關鍵詞】Cisco路由器 交換機 安全加固

由“木桶”原理可以得知，一個木桶可以裝多少水，受到該木桶最短的那塊木板所決定。具體到信息系統的安全也是同樣的道理，整個信息系統的安全程度也受到信息系統之中最薄弱的環節所決定，網絡作為信息系統的主體，其安全需求的重要性是顯而易見的。本文主要對石油企業Cisco路由器及交換機安全加固措施進行分析，旨在為石油企業的網絡安全運行提供一定的參考依據。

1 概述

目前，很多石油企業局域網的建設全部或者部分采用Cisco（“思科”）的路由器與交換機，究其原因，筆者認為，這主要是由于該設備的功能非常強大，工作性能穩定性好，其互聯網操作系統（IOS）在網絡安全策略等方面均具有獨特的考慮，使用IOS的安全策略功能，不需要單獨地購置安全管理軟件，就能夠很好地實現絕大部分的安全功能，使得石油企業局域網運行于較安全的環境之中。

運用Cisco的路由器與交換機，構筑成為一個典型的基于第三層交換技術的高性能千兆石油企業局域網，其具體拓撲結構示意圖如圖1所示，以Catalyst-4006作為核心交換機，5臺Catalyst-2950G構成匯聚層，20臺Catalyst-2924與Catalyst-1924構成接入層，1臺4500型路由器做邊緣路由器，通過2MDDN線路與CERNET地區網絡中心相連接，1臺2511型做遠程訪問服務器，作用是提供撥號用戶使用。

應用Cisco路由器與交換機，石油企業可實現如下幾個方面的網絡安全策略：路由器安全策略、用戶主機安全策略、交換機安全策略、服務器安全策略以及網絡訪問安全策略等。

2 Cisco路由器安全加固策略

眾所周知，對于一個網絡而言，路由器是網絡的核心部分，其實際配置情況對整個網絡的正常工作與運行均具有十分重要的意義與價值，在實際過程中，應只允許授權的主機對路由器進行遠程登錄，而禁止未授權的主機進行登錄。在路由器的全局配置條件下，設置標準訪問控制表，且在全部的虛接口上進行應用，應用的方向為in，如此，就能夠很好地保證只有授權的主機遠程登錄路由器且修改其配置，實際過程中，路由器的主要配置為：

access-list 1 permit 202.115.145.66 line vty 04

access-class 1 in

表示僅允許主機202.115.145.66遠程登錄至路由器。

3 Cisco交換機安全加固策略

3.1 Cisco交換機地址的配置

為了能夠便于管理，可將交換機配置IP地址。例如可將IP地址進行配置，192.168.0.0，就能夠禁止非本企業的主機對交換機進行訪問。將企業內全部的交換機均應置于一個虛擬網絡之中（常見的為VLAN-2）之中，在交換機之中可進行如下配置：

Interface vlan 2

in address 192.168.0.3 255.255.255.0

3.2 配置允許訪問交換機的主機

經過上述的安全加固策略的實施，Cisco交換機的訪問被限制于石油企業內部，而且還能夠在石油企業內部網絡的三層交換機4006上面，將訪問控制表進行配置，將其用于Cisco交換機的虛擬網絡之中，應用的方向屬于in，僅僅允許石油企業內所指定的主機能夠訪問該交換機所在的虛擬網絡，而其他主機（如其他石油企業的主機）不能對該虛擬網絡進行訪問，那么這就阻止了其對本石油企業Cisco交換機的訪問，因此也就無法獲取本企業Cisco交換機中的任何數據。在三層交換機4006型上進行如下的配置：

access-list 10 permit 202.115.145.66

interface vlan 2

in access-group 10 in

經過上述安全加固策略的實施，只有IP地址為202.115.145.66的配置能夠訪問本石油企業局域網網絡交換機。

3.3 允許遠程登錄交換機主機的配置

允許訪問交換機的主機，應該注意對遠程登錄該交換機的過程進行限制。只允許被授權的主機進行登錄，從而對相關的配置參數加以修改。在交換機的全局配置條件下，設置標準的訪問控制表，用于虛擬接口的0～15上面，應用的方向為in。交換機上面的具體配置如下：

access-list 1 permit 202.115.145.66

line vty 0 15

access-class 1 in

如此，僅僅允許主機202.115.145.66對交換機進行遠程登錄，從而能夠修改交換機的具體配置。

4 結論

綜上所述，本研究主要對Cisco路由器與交換機在石油企業網絡之中的安全策略。若在石油企業網絡構建過程中，采用本文所提出的網絡安全解決策略，能夠很好地滿足石油企業的絕大多數安全需求，以最大程度地減少網絡建設所需的各種費用。

參考文獻

[1]張秀梅.網絡入侵防御系統的分析與設計[J].信息與電腦，2009（07）：1-2.

[2]馬麗，袁建生，王雅超.基于行為的入侵防御系統研究[J].網絡安全技術與應用，2010（06）：33-35.

[3]郭翔，謝宇飛，李銳.校園網層次型網絡安全設計[J].科技資訊，2010（9）：26.

[4]楊森.淺談思科路由器使用安全對策[J].房地產導刊，2013（7）：371-372.

[5]王均.楊善林.VLAN技術在網絡中的應用[J].電腦與信息技術，2000，（2）.

作者單位

網絡安全加固建設范文第3篇

【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢，網絡犯罪等威脅日益嚴重，網絡安全管理的任務將會越來越艱巨和復雜，抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。

0引言

美國等發達國家，通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善，我國的電子商務雖已初具規模，但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中，買賣雙方是通過網絡聯系的，由于internet是開放性網絡，建立交易雙方的安全和信任關系較為困難，因此本文對電子商務網絡支付上的安全問題進行探討分析。

1電子商務的概念和特點

1）電子商務的概念：電子商務（Electronic Commerce）是通過電信網絡進行的生產、營銷、銷售、流通等活動，不僅是指基于因特網上的交易，而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。

2）電子商務的特點：（1）電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流，大量減少了人力物力，降低了成本；而且突破了時間空間的限制，使得交易活動可在任何時間、任何地點進行，大大提高了效率。（2）電子商務使企業能以較低成本進入全球電子化市場，也使中小企業可能擁有與大企業一樣的信息資源，提高了中小企業的競爭能力。（3）電子商務重新定義了傳統的流通模式，減少了中間環節，使得生產者和消費者的直接交易成為可能，從而一定程度上改變了社會經濟的運行方式。（4）電子商務提供了豐富的信息資源，為社會經濟要素的重新組合提供了更多的可能，這將影響到社會的經濟布局和結構。

2電子商務安全的技術體系

1）物理安全。首先根據國家標準、信息安全等級和資金狀況，制定適合的物理安全要求，并經建設和管理達到相關標準[2]。再者，關鍵的系統資源（包括主機、應用服務器、安全隔離網閘GAP等設備），通信電路以及物理介質（軟/硬磁盤、光盤、IC卡、PC卡等）、應有加密、電磁屏蔽等保護措施，均應放在物理上安全的地方。

2）網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行，要求電子商務平臺要穩定可靠，能夠不中斷地提供服務。系統的任何中斷（如硬件、軟件錯誤，網絡故障、病毒等）都可能導致電子商務系統不能正常工作，而使貿易數據在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經濟損失。

3）商務安全。主要是指商務交易在網絡媒介中出現的安全問題，包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴，即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現，加解密技術保證了交易信息的保密性，也解決了用戶密碼被盜取的問題；數字簽名是實現對原始報文完整性的鑒別，它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有：在線支付協議（安全套接層SSL協議和安全電子交易SET協議）、文件加密技術、數字簽名技術、電子商務認證中心（CA）。

4）系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全，總體思路是：通過安全加固，解決管理方面安全漏洞；然后采用安全技術設備，增強其安全防護能力。

3安全管理過程監督

3.1加強全過程的安全管理

1）網絡規劃階段，就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2）工程建設階段，建設管理單位要將安全需求的匯總和安全性能功能的測試，列入工程建設各個階段工作的重要內容，要加強對開發（實施）人員、版本控制的管理，要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3）在運行維護階段，要注意以下事項：(1)建立有效的安全管理組織架構，明確職責，理順流程，實施高效管理。(2)按照分級管理原則，嚴格管理內部用戶帳號和密碼，進入系統內部必須通過嚴格的身份確認，防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度，加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系，建立網絡安全維護日志，記錄與安全性相關的信息及事件，有情況出現時便于跟蹤查詢，還要定期檢查日志，以便及時發現潛在的安全威脅。

3.2建立動態的閉環管理流程

網絡處于不斷地建設和調整中，可能發現新的安全漏洞，因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下，通過安全評估和檢測工具（如漏洞掃描，入侵檢測等）及時了解網絡存在的安全問題和安全隱患，據此制定安全建設規劃和加固方案，綜合應用各種安全防護產品（如防火墻、身份認證等手段），將系統調整到相對安全的狀態。并要注意以下兩點：1）對于一個企業而言，安全策略是支付信息安全的核心，因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案，保證這些系列策略規范在整個企業范圍內貫徹實施，從而保護企業的投資和信息資源安全。2）要制定完善的、符合企業實際的信息安全策略，就須先對企業信息網的安全狀況進行評估，即對信息資產的安全技術和管理現狀進行評估，讓企業對自身面臨的安全威脅和問題有全面的了解，從而制定針對性的安全策略，指導信息安全的建設和管理工作。

4結束語

本文分析了目前電子商務網絡支付安全方面的主要技術狀況，安全技術可以說是網絡技術中較為尖端的技術，都是非常先進的技術手段；只要運用得當，配合相應的安全管理措施，基本能夠保證電子商務中網絡支付的安全；但不是100％的絕對安全，而是相對安全。隨著網絡安全技術的進步與信用機制的完善，網絡支付定會越來越安全。

參考文獻

[1]柯新生.網絡支付與結算[M].北京：電子工業出版社，2004.

網絡安全加固建設范文第4篇

關鍵詞：勒索病毒；桌面安全管理系統；網絡安全

一、事件背景介紹

2017年5月12日，WannaCry蠕蟲病毒通過WindowsMS17-010漏洞在全球范圍大規模爆發，感染了大量的計算機，隨后會向計算機中植入敲詐勒索病毒，導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付價值相當于300美元（約合人民幣2069元）的比特幣才可解鎖。很快，WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，即不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度更快。攻擊特點：WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。WannaCry主要利用了微軟“視窗”系統的漏洞，以獲得自動傳播的能力，能夠在數小時內感染一個系統內的全部電腦。勒索病毒被漏洞遠程執行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄，并設置為隱藏?！坝篮阒{”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱。“永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”。

二、油田現階段網絡結構分析

油田網絡屬于小型局域網，能夠實現文件管理、應用軟件共享、打印機共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。拓撲結構采用星型和樹型混合結構。采取這種拓撲結構具有傳輸速度快、網絡構形簡單、建網容易、便于控制和管理的優點。因此，局內基本上所有電腦都在使用文件共享和打印機共享，必然會開放139、445等端口，這就為此次蠕蟲病毒攻擊打開了通道。經分析，總結出以下在平時網絡使用中可能引發的網絡安全問題：1.未能定時更新安全程序。單位所使用的操作系統多數為Windows操作系統。每隔一段時間微軟都會新的安全更新程序，用來修補系統所存在的安全漏洞。但是，很多人認為安裝更新程序耗時長，并且會造成系統運行卡頓，占用內存，因此，基本不會主動更新安全程序，甚至會關閉系統自動更新程序開關，來阻止系統進行安全程序更新。2.未能定時查殺病毒。病毒傳播的途徑有很多，比如：U盤傳播、郵件傳播、光盤傳播和網絡傳播等。由于局內采用的是局域網，并且多臺主機之間實現文件共享，這就容易發生一臺主機癱瘓，其余主機跟著癱瘓的不可控局面。這也是此次蠕蟲病毒的主要攻擊特點。3.安全意識不強。很多人存在僥幸心理，認為病毒的傳播沒有那么快，補丁象征性的安裝一些就行了，沒有必要完全安裝，需要查殺病毒的時候查殺一下，不需要的時候干脆不去理會，這樣的行為就會有很大的安全風險，在病毒爆發的時候，由于沒有及時安裝安全更新程序或者查殺病毒，很容易發生意想不到的局面。4.沒有定期備份文件的習慣。由于單位的計算機主要用于辦公，有很多辦公需要的資料，一次性備份需要花費較長的時間，而且往往沒有如此大內存的存儲設備來備份重要文件，員工多將資料直接存儲于電腦中，即使發生資料變更也不進行備份，這就給資料的安全性帶來了風險，一旦計算機中毒，文件受損，將帶來不可挽回的局面。

三、預防措施

關于網絡安全的管理和預防，一方面，玉門油田遵從總公司的決定進行桌面安全管理系統2.0的部署，另一方面，個人也應培養良好的網絡安全意識，形成良好的網絡安全預防習慣。1.桌面安全管理系統2.0。桌面安全管理系統2.0是桌面安全管理系統1.0的升級版，新建系統加固及管控平臺兩個子系統，替換了原有的防病毒、端點準入產品，升級和優化后臺管理、補丁分發、電子文檔保護三個子系統功能，同時對以上子系統在客戶端進行了整合。（1）防病毒子系統。采用“流行病毒本地定義碼+云端鑒定文件鑒定”防御方案，有效降低客戶端資源占用，同時，構建企業自主控制文件黑白名單能力，實現全網文件樣本的快速發現和查殺。（2）端點準入子系統。通過定制端點準入策略、客戶端和端點準入設備有效聯動，采用旁路部署端點準入設備，對桌面計算機進行合規性檢驗，為各單位提供有效、易用的管理工具和手段，支持修復頁面跳轉和非辦公計算機例外保護，如IP電話、服務器、網絡設備等。（3）后臺管理子系統。具有計算機實名制注冊、軟硬件資產信息收集、策略下發、用戶行為審計和違規日志查詢的管理功能。通過系統進行基礎安全策略的定制，建立桌面計算機安全基礎，提供30類擴展安全策略，各單位可根據實際需求進行策略定制，深入完善桌面安全管理。（4）文檔保護子系統。與中國石油USBKey相結合，為計算機用戶提供登錄保護、重要文件處理區、文件輸出審計、電子文件銷毀等功能，增加基于口令的文檔加密功能，擴展文檔加密功能適用范圍，實現電子文檔在創建、存儲、使用、銷毀等過程的安全保護。（5）補丁分發子系統。對微軟補丁進行人工篩選和測試后，通過補丁分發子系統實現全網桌面計算機操作系統安全統一分發和自動安裝，及時有效的降低操作系統漏洞帶來的安全隱患。此次的勒索病毒WannaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統打補丁是必須的。（6）系統加固子系統。提供安全基線和底層加固兩個功能模塊，通過統一模板控制、操作系統底層加固，實現集團公司安全基線要求在桌面計算機的強制管控，并且降低操作系統脆弱性帶來的安全風險。2.培養個人安全意識。及時更新安全補?。嚎梢栽诠倬W或使用相關安全軟件進行系統安全補丁的更新及安裝，或者選擇自動檢查與安裝。目的就是為了防止病毒利用系統漏洞進行二次攻擊。定時查殺病毒：通過殺毒軟件，如360安全衛士，定時進行病毒查殺與電腦安全診斷與防護。學習網絡安全知識，培養網絡安全意識：單位在安全培訓中，適當加入網絡安全培訓的內容，培養員工的網絡安全意識。定期備份重要文檔資料：及時整理重要的文件資料，并選取適當的存儲設備進行備份，或者將資料存放在不聯網的計算機中，以防止文件遭到黑客病毒攻擊造成損壞。3.防治蠕蟲勒索病毒的步驟（1）關閉445端口等共享文件端口以64位Windows系統為例：在鍵盤上同時按下“WIN+R”后輸入“regedit”圖2運行窗口在注冊表中按以下路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Param-eters添加“SMBDeviceEnable”，并設置鍵值為“0”=圖3注冊表編輯器圖4鍵值單擊“確定”即可。（2）關閉網絡文件與打印機共享（3）安裝系統補丁

四、結論

通過分析整個油田局域網的結構和特點，以及員工日常工作使用電腦的習慣，總結出油田局域網所存在的安全隱患，員工安全意識有待提高等相關問題。及時安裝桌面安全系統2.0，提高網絡安全意識，養成良好的安全上網習慣，將有助于整個油田的網絡安全和安全生產運行。

作者:杜懿珊 單位:玉門油田信息中心

參考文獻

網絡安全加固建設范文第5篇

從2010年至今，短短幾年間，工控網絡安全成了人們關注的焦點，工業控制系統成為國家間網絡空間對抗的主戰場和反恐的新戰場。在工業轉型升級的大潮中，“創新+互聯網”使得加強工控網絡安全防范的迫切性日趨凸顯，也催生了企業對工控網絡安全防護的需求。而這一需求也隨著企業內外網絡應用、交互日趨頻繁和深入變得越來越強烈。

基于此，匡恩網絡在對工業控制系統和關鍵基礎設施安全現狀進行調研和技術產品研發的基礎上，結合網絡化、智能化的發展方向，創新性地提出面向智能工業體系的一體化大安全理念和“4+1”安全防護體系（即立體化的工控網絡安全理念），實現工業控制系統內在安全和體系防護的有機統一。

所謂 “4+1”工控安全體系，即結構安全、本體安全、行為安全、基因安全，以及時間持續性防護。其中，結構安全和行為安全是工控安全體系的主體，是實現工控系統體系防護的關鍵因素，也是匡恩網絡對工業控制系統進行安全改造和加固的切入點?；虬踩捅倔w安全關系到工控安全體系的本質安全，其根本的解決之道是自主可控。但是，我國工業控制系統長期以來主要依賴進口，在裝系統80%以上是國外設備，因此針對本體安全性的檢測和補償性防護措施顯得尤為重要。

結構安全探討的是基礎設施建設過程中的網絡結構，以及區域、層次的劃分能否滿足安全的要求。工業企業可以通過優化網絡結構，以及采用隔離、過濾、認證、加密等技術，實現合理的安全區域劃分、安全層級劃分。對新裝系統，應實現結構安全同步建設；對再裝系統，應進行結構安全改造；對因條件限制無法進行改造的，應建立安全性補償機制。

本體安全是指智能設備自身的安全性。智能設備在基礎設施建設中被廣泛使用，包括感知設備、網絡設備、監控設備等，這些設備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性，工業企業應從智能設備的離線安全、入網安全、在線安全等維度進行持續檢測與防護，檢測工具應該標準化、規范化，并針對行業應用的特點進行優化。在檢測過程中發現問題，而又無法實現升級和替換的設備，應采用外掛式補償性措施予以防護。

行為安全主要包括兩部分：系統內部發起的行為是否具有安全隱患，以及系統外部發起的行為是否具有安全威脅。工業企業的行為安全性防護首先應該具備感知能力，在云端接入大數據感知威脅和安全態勢分析平臺，獲取威脅情報；在本地端通過靶場、蜜罐、審計、溯源等技術，對網絡流量、文件傳輸、訪問記錄等進行綜合分析與數據挖掘，從而實現對已知威脅和未知威脅的感知，以及全局安全態勢和局部安全態勢的感知。其次，行為安全性防護應具備聯動和主動防御能力，與其他安全防護技術聯動，根據行業特點考慮入侵容忍度，避免誤報，并對行為進行審計。

基因安全即CPU、存儲、操作系統內核、基本安全算法與協議等基礎軟硬件的完整可信、自主可控。工業企業在有條件的情況下，可采用經過基因安全性改造的自主工控系統與設備，以及經過基因安全性加固的進口系統與設備。在條件暫不具備的情況下，應采用安全補償機制，在應用層進行完整性驗證，使之具有一定的安全免疫能力。