前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全防護(hù)范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

安全防護(hù)范文第1篇

在大型的企業(yè)網(wǎng)絡(luò)中不同的子網(wǎng)各有特點(diǎn)，對(duì)于網(wǎng)絡(luò)安全防護(hù)有不同的等級(jí)要求和側(cè)重點(diǎn)。因此，網(wǎng)絡(luò)安全域的“同構(gòu)性簡(jiǎn)化”思路就顯得非常適合安徽中煙網(wǎng)絡(luò)安全防護(hù)的需求，下面將具體介紹安徽中煙基于安全域的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)思路。

網(wǎng)絡(luò)安全域是使網(wǎng)絡(luò)滿足等級(jí)保護(hù)要求的關(guān)鍵技術(shù)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問(wèn)控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全防護(hù)手段。通過(guò)建設(shè)基于安全域的網(wǎng)絡(luò)安全防護(hù)體系，我們可以實(shí)現(xiàn)以下的目標(biāo)：通過(guò)對(duì)系統(tǒng)進(jìn)行分區(qū)域劃分和防護(hù)，構(gòu)建起有效的縱深防護(hù)體系；明確各區(qū)域的防護(hù)重點(diǎn)，有效抵御潛在威脅，降低風(fēng)險(xiǎn)；保證系統(tǒng)的順暢運(yùn)行，保證業(yè)務(wù)服務(wù)的持續(xù)、有效提供。

1安全域劃分

由于安徽中煙網(wǎng)絡(luò)在網(wǎng)絡(luò)的不同層次和區(qū)域所關(guān)注的角度不同，因此進(jìn)行安全域劃分時(shí)，必須兼顧網(wǎng)絡(luò)的管理和業(yè)務(wù)屬性，既保證現(xiàn)有業(yè)務(wù)的正常運(yùn)行，又要考慮劃分方案是否可行。在這樣的情況下，獨(dú)立應(yīng)用任何一種安全域劃分方式都不能實(shí)現(xiàn)網(wǎng)絡(luò)安全域的合理劃分，需要多種方式綜合應(yīng)用，互相取長(zhǎng)補(bǔ)短，根據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)和企業(yè)的管理需求，有針對(duì)性地選擇合理的安全域劃分方式。

1.1安全域劃分原則

業(yè)務(wù)保障原則安全域劃分應(yīng)結(jié)合煙草業(yè)務(wù)系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機(jī)制，能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率。結(jié)構(gòu)化原則安全域劃分的粒度可以從系統(tǒng)、設(shè)備到服務(wù)、進(jìn)程、會(huì)話等不斷細(xì)化，在進(jìn)行安全域劃分時(shí)應(yīng)合理把握劃分粒度，只要利于使用、利于防護(hù)、利于管理即可，不可過(guò)繁或過(guò)簡(jiǎn)。等級(jí)保護(hù)原則屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，即保護(hù)需求相同。建立評(píng)估與監(jiān)控機(jī)制，設(shè)計(jì)防護(hù)機(jī)制的強(qiáng)度和保護(hù)等級(jí)。要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。生命周期原則安全域的劃分不應(yīng)只考慮到靜態(tài)設(shè)計(jì)，還要考慮因需求、環(huán)境不斷變化而產(chǎn)生的安全域的變化，所以需考慮到工程化管理。

1.2安全域劃分方式

1.2.1安全域劃分模型根據(jù)安徽中煙網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀，安徽中煙提出了如下安全域劃分模型，將整個(gè)網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)接口區(qū)、內(nèi)部網(wǎng)絡(luò)接口區(qū)，核心交換區(qū)，核心生產(chǎn)區(qū)四部分：核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價(jià)值最高的設(shè)備位于本區(qū)域，如服務(wù)器群、數(shù)據(jù)庫(kù)以及重要存儲(chǔ)設(shè)備，外部不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)該區(qū)域內(nèi)設(shè)備。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)，包括與國(guó)家局，商煙以及分支煙草連接的網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接，主要放置互聯(lián)網(wǎng)直接訪問(wèn)的設(shè)備。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)負(fù)責(zé)連接核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

1.2.2安全域邊界整合1）整合原則邊界整合原則是主要依據(jù)分等級(jí)保護(hù)的原則和同類安全域合并。分等級(jí)防護(hù)是安全域方法的基本思想，這自然不必多說(shuō)，同類安全域合并原則在落實(shí)時(shí)應(yīng)以一下思想為指導(dǎo)：集中化：在具備條件的情況下，同一業(yè)務(wù)系統(tǒng)應(yīng)歸并為一個(gè)大的安全域；次之，在每個(gè)機(jī)房的屬于同一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的節(jié)點(diǎn)應(yīng)歸并為一個(gè)大的安全域?？缦到y(tǒng)整合：不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)之間的同類安全域應(yīng)在保證域間互聯(lián)安全要求的情況下進(jìn)行整合，以減小邊界和進(jìn)行防護(hù)。最小化：應(yīng)將與外部、內(nèi)部互聯(lián)的接口數(shù)量最小化，以便于集中、重點(diǎn)防護(hù)。2）整合方法為了指導(dǎo)邊界整合，安徽中煙提出了兩種邊界整合方法、適用場(chǎng)景。這些邊界整合方法都側(cè)重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點(diǎn)間的邊界整合，側(cè)重于數(shù)據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、外部系統(tǒng)間的接口的整合。（1）單一傳輸出口的邊界整合此種整個(gè)方法適用于：具備傳輸條件和網(wǎng)絡(luò)容災(zāi)能力，將現(xiàn)有數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個(gè)互備接口。（2）多個(gè)傳輸出口的邊界整合此種整個(gè)方法適用于：數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)之間有多個(gè)物理位置不同的接口，并且尚不具備傳輸條件整合各接口。

2安全防護(hù)策略

2.1安全防護(hù)原則

集中防護(hù)通過(guò)安全域劃分及邊界整合后，可以形成所謂的“大院”，減少了邊界，進(jìn)而可以在安全域的邊界和內(nèi)部部署防火墻、入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)探頭、異常流量檢測(cè)和過(guò)濾設(shè)備、網(wǎng)絡(luò)安全管控平臺(tái)的采集設(shè)備、防病毒系統(tǒng)的客戶端等基礎(chǔ)安全技術(shù)防護(hù)手段，集中部署基礎(chǔ)安全服務(wù)設(shè)施，對(duì)不同業(yè)務(wù)系統(tǒng)、不同的安全子域進(jìn)行防護(hù)，共享其提供的安全服務(wù)。分等級(jí)防護(hù)根據(jù)煙草行業(yè)信息安全等級(jí)保護(hù)要求，對(duì)不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)、不同的安全子域，按照其保護(hù)等級(jí)進(jìn)行相應(yīng)的防護(hù)。對(duì)于各系統(tǒng)共享的邊界按“就高不就低”的原則進(jìn)行防護(hù)?？v深防護(hù)從外部網(wǎng)絡(luò)到核心生產(chǎn)域，以及沿用戶（或其他系統(tǒng)）訪問(wèn)（或入侵）系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護(hù)體系，對(duì)關(guān)鍵的信息資產(chǎn)進(jìn)行有效保護(hù)。

2.2系統(tǒng)安全防護(hù)

為適應(yīng)安全防護(hù)需求，統(tǒng)一、規(guī)范和提升網(wǎng)絡(luò)和業(yè)務(wù)的安全防護(hù)水平，安徽中煙制定了由安全域劃分和邊界整合、設(shè)備自身安全、基礎(chǔ)安全技術(shù)防護(hù)手段、安全運(yùn)行管理平臺(tái)四層構(gòu)成的安全技術(shù)防護(hù)體系架構(gòu)。其中，安全域劃分和邊界整合是防護(hù)體系架構(gòu)的基礎(chǔ)。

2.2.1設(shè)備自身安全功能和配置一旦確定了設(shè)備所在的安全域，就可以根據(jù)其落入的安全域防護(hù)策略對(duì)設(shè)備進(jìn)行安全功能設(shè)置和策略部署。針對(duì)設(shè)備的安全配置，安徽中煙后期會(huì)制定《安徽中煙設(shè)備安全功能和配置系列規(guī)范》提供指導(dǎo)。

2.2.2基礎(chǔ)安全技術(shù)防護(hù)手段業(yè)務(wù)系統(tǒng)的安全防護(hù)應(yīng)以安全域劃分和邊界整合為基礎(chǔ)，通過(guò)部署防火墻、入侵檢測(cè)、防病毒、異常流量檢測(cè)和過(guò)濾、網(wǎng)絡(luò)安全管控平臺(tái)等5類通用的基礎(chǔ)安全技術(shù)防護(hù)手段進(jìn)行防護(hù)。在通用手段的基礎(chǔ)上，還可根據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅種類和特點(diǎn)部署專用的基礎(chǔ)安全技術(shù)防護(hù)手段，如網(wǎng)頁(yè)防篡改、垃圾郵件過(guò)濾手段等。

防火墻部署防火墻要部署在各種互聯(lián)邊界之處：

–在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻；

–在核心交換區(qū)部署防火墻防護(hù)互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界；

–在內(nèi)部互聯(lián)接口區(qū)和內(nèi)部網(wǎng)絡(luò)的邊界也需部署防火墻?？紤]到內(nèi)部互聯(lián)風(fēng)險(xiǎn)較互聯(lián)網(wǎng)低，內(nèi)部互聯(lián)接口區(qū)防火墻可復(fù)用核心交換區(qū)部署的防火墻。另外，對(duì)于同一安全域內(nèi)的不同安全子域，可采用路由或交換設(shè)備進(jìn)行隔離和部署訪問(wèn)控制策略，或者采用防火墻進(jìn)行隔離并設(shè)置訪問(wèn)控制策略。入侵檢測(cè)設(shè)備的部署應(yīng)在互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)必須部署入侵檢測(cè)探頭，并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測(cè)中央服務(wù)器的控制。在經(jīng)濟(jì)許可或相應(yīng)合理要求下，也可在核心交換區(qū)部署入侵檢測(cè)探頭，實(shí)現(xiàn)對(duì)系統(tǒng)間互訪的監(jiān)控。防病毒系統(tǒng)的部署運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端，并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務(wù)器的統(tǒng)一管理。同時(shí)，為了提高可用性和便于防護(hù)，可在內(nèi)部互聯(lián)接口區(qū)部署二級(jí)防病毒服務(wù)器。異常流量檢測(cè)和過(guò)濾可在數(shù)據(jù)業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側(cè)部署異常流量檢測(cè)和過(guò)濾設(shè)備，防范和過(guò)濾來(lái)自互聯(lián)網(wǎng)的各類異常流量。

網(wǎng)絡(luò)安全管控平臺(tái)網(wǎng)絡(luò)安全管控平臺(tái)應(yīng)部署在網(wǎng)管網(wǎng)側(cè)，但為了簡(jiǎn)化邊界和便于防護(hù)，建議：

–在內(nèi)部互聯(lián)接口區(qū)部署帳號(hào)口令采集設(shè)備以實(shí)現(xiàn)帳號(hào)同步等功能。

–在內(nèi)部互聯(lián)接口區(qū)必須部署日志采集設(shè)備，采集業(yè)務(wù)系統(tǒng)各設(shè)備的操作日志。

2.2.3應(yīng)用層安全防護(hù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)用安全防護(hù)主要是防范因業(yè)務(wù)流程、協(xié)議在設(shè)計(jì)或?qū)崿F(xiàn)方面存在的漏洞而發(fā)生安全事件。其安全防護(hù)與系統(tǒng)架構(gòu)、業(yè)務(wù)邏輯及其實(shí)現(xiàn)等系統(tǒng)自身的特點(diǎn)密切相關(guān)。安徽中煙通過(guò)參考IAARC模型，提出鑒別和認(rèn)證、授權(quán)與訪問(wèn)控制、內(nèi)容安全、審計(jì)、代碼安全五個(gè)防護(hù)方面。

2.2.4安全域的管理除了實(shí)施必要的安全保障措施控制外，加強(qiáng)安全管理也是不可缺少的一個(gè)重要環(huán)節(jié)。安全域管理主要包括：從安全域邊界的角度考慮，應(yīng)提高維護(hù)、加強(qiáng)對(duì)邊界的監(jiān)控，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行定期或不定期的風(fēng)險(xiǎn)評(píng)估及實(shí)施安全加固；從系統(tǒng)的角度考慮，應(yīng)規(guī)范帳號(hào)口令的分配，對(duì)服務(wù)器應(yīng)嚴(yán)格帳號(hào)口令管理，加強(qiáng)補(bǔ)丁的管理等；人員安全培訓(xùn)。

安全防護(hù)范文第2篇

終端安全面臨挑戰(zhàn)

需求是技術(shù)進(jìn)步的最大動(dòng)力，而推動(dòng)終端安全防護(hù)技術(shù)升級(jí)的原因就在于安全形勢(shì)正在發(fā)生重大變化。隨著IT技術(shù)應(yīng)用的逐步深入和Web應(yīng)用的普及，特別是社交網(wǎng)絡(luò)的興起，將現(xiàn)實(shí)社會(huì)與虛擬網(wǎng)絡(luò)連結(jié)在一起，現(xiàn)在的終端安全正面臨著新的挑戰(zhàn)。

挑戰(zhàn)之一是病毒種類爆炸性增長(zhǎng)。根據(jù)賽門(mén)鐵克的研究數(shù)據(jù)顯示，2007年1月，賽門(mén)鐵克的全球應(yīng)急響應(yīng)中心共發(fā)現(xiàn)了病毒25萬(wàn)種，而到2010年12月份，這個(gè)數(shù)據(jù)則攀升到2.86億。病毒種類太多、變異太快，這使得病毒發(fā)現(xiàn)、病毒特征提取、病毒庫(kù)更新、病毒攔截這個(gè)流程已無(wú)法即時(shí)響應(yīng)，終端安全防護(hù)的效率也就逐漸下降；同時(shí)，病毒特征庫(kù)越來(lái)越大，不但大量占用用戶電腦的存儲(chǔ)資源，還耗用了大量的CPU和內(nèi)存資源，用戶的直觀感覺(jué)則是電腦越來(lái)越慢。

“傳統(tǒng)的防護(hù)方法是要先發(fā)現(xiàn)并確認(rèn)這是病毒，然后才能完成后來(lái)的病毒特征提取、病毒攔截工作。換而言之，如果不知道它是病毒，就不知道如何防備它。這就是傳統(tǒng)方法的被動(dòng)之處?！辟愰T(mén)鐵克首席信息安全技術(shù)顧問(wèn)林育民表示。

挑戰(zhàn)之二是病毒設(shè)計(jì)更有針對(duì)性。過(guò)去病毒爆發(fā)都是大面積甚至全球性的，其波及面達(dá)數(shù)百萬(wàn)臺(tái)電腦，而今這樣的病毒越來(lái)越少。由于病毒設(shè)計(jì)者從以前的技術(shù)迷戀性轉(zhuǎn)變?yōu)樽非蠼?jīng)濟(jì)回報(bào)，所以他們會(huì)針對(duì)某一特定對(duì)象編寫(xiě)病毒。其目標(biāo)指向非常明確，就是某個(gè)網(wǎng)絡(luò)甚至某幾臺(tái)計(jì)算機(jī)，通過(guò)入侵系統(tǒng)獲取某些信息實(shí)現(xiàn)牟利。根據(jù)賽門(mén)鐵克提供的數(shù)據(jù)，去年，70%以上的惡意軟件攻擊目標(biāo)少于50臺(tái)，有些甚至只是感染幾臺(tái)計(jì)算機(jī)。這么少的目標(biāo)使得這種病毒的發(fā)現(xiàn)更為困難，即使安全廠商取得樣本，的病毒特征也只對(duì)少數(shù)這幾臺(tái)電腦有效。

挑戰(zhàn)之三是虛擬化的流行。虛擬化改變了IT資源的使用方式，使得應(yīng)用系統(tǒng)與物理設(shè)備徹底分離，而安全防護(hù)手段也必須隨之而變?！安渴鹛摂M化技術(shù)以后，我們的電腦中可能會(huì)有多個(gè)虛擬機(jī)，有可能某些虛擬機(jī)的相似度達(dá)到90%以上，如果還是對(duì)每個(gè)虛擬機(jī)上每一個(gè)文件進(jìn)行查殺病毒，不但占用資源，性能也不佳。”林育民說(shuō)。

終端安全保護(hù)產(chǎn)品的選擇

日益嚴(yán)峻的終端安全形勢(shì)要求我們選擇合適的終端安全防護(hù)產(chǎn)品。那么，我們?cè)撊绾卧u(píng)判一個(gè)終端安全防護(hù)產(chǎn)品呢？

“對(duì)于終端安全防護(hù)產(chǎn)品的選擇，有幾個(gè)關(guān)鍵點(diǎn)必須考慮，即病毒查殺準(zhǔn)、性能高、可管理性好，另外還要有一定前瞻性，符合IT技術(shù)未來(lái)的發(fā)展趨勢(shì)?！绷钟窠榻B說(shuō)。

林育民進(jìn)一步解釋，“病毒查殺準(zhǔn)”指病毒識(shí)別率高，能識(shí)別并攔截絕大多數(shù)病毒，這是終端安全防護(hù)產(chǎn)品的基本功能，也是評(píng)判一個(gè)產(chǎn)品好與不好最為重要的指標(biāo)之一；“性能高”指的是掃描不占用太多的資源以免影響其他軟件的運(yùn)行，有良好的用戶體驗(yàn)。

“可管理性”主要是應(yīng)對(duì)中大型企業(yè)的各種管理需求的。大型企業(yè)的管理需求可能會(huì)比較復(fù)雜，比如，在管理上可能會(huì)要求對(duì)文件的讀和寫(xiě)分別進(jìn)行控制，還有可能要限制U盤(pán)的使用或者限制從U盤(pán)運(yùn)行文件，并且可能還要對(duì)某個(gè)具體的應(yīng)用程序進(jìn)行管理和控制（如P2P下載、QQ等）。

而前瞻性則是對(duì)企業(yè)把握IT科技未來(lái)發(fā)展趨勢(shì)能力的一種考驗(yàn)。比如，安全產(chǎn)品中提供對(duì)虛擬化的支持就是一種必然的發(fā)展趨勢(shì)。雖然許多安全廠商注意到這一趨勢(shì)，但往往為了追求性能與提高虛擬機(jī)密度，犧牲了虛擬化環(huán)境的安全防護(hù)能力；具有前瞻性的終端安全產(chǎn)品必須能在虛擬化環(huán)境下，防護(hù)不打折且對(duì)虛擬機(jī)性能沖擊最小，同時(shí)兼顧安全與性能。

在林育民看來(lái)，同時(shí)滿足這些條件的終端安全防護(hù)產(chǎn)品并不多，賽門(mén)鐵克即將的Symantec Endpoint Protection 12(SEP 12)無(wú)疑是其中之一。它引入一系列創(chuàng)新的技術(shù)（包括Insight、SONAR），實(shí)現(xiàn)了主動(dòng)、預(yù)防式的病毒查殺功能，可幫助物理和虛擬系統(tǒng)實(shí)現(xiàn)高效的防御功能。

安全防護(hù)范文第3篇

關(guān)鍵詞：安全；智能手機(jī)；防護(hù)中圖分類號(hào)：U664.156文獻(xiàn)標(biāo)識(shí)碼：A

引言

在一個(gè)信息泄露陷阱遍地開(kāi)花的時(shí)代，經(jīng)常有用戶的隱私被竊取，進(jìn)而被眾人戲謔為“信息裸奔”?，F(xiàn)在，這股“裸奔潮”已經(jīng)蔓延到智能手機(jī)這片藍(lán)海上。雖然智能手機(jī)遭遇的惡意軟件還不像網(wǎng)絡(luò)或操作系統(tǒng)那樣泛濫，但是大有愈演愈烈的趨勢(shì)。勿庸置疑，手持智能設(shè)備在給我們帶來(lái)一定便利的同時(shí)，也隱藏著一定的安全隱患。

一、智能手機(jī)安全問(wèn)題日益引起人們的高度重視

據(jù)CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)最新數(shù)據(jù)顯示，去年我國(guó)移動(dòng)互聯(lián)網(wǎng)惡意代碼數(shù)量高達(dá)16萬(wàn)行，與前年相比，增加了25倍，而這些惡意程序主要集中在Android平臺(tái)上，占總數(shù)的82.5%。Android的開(kāi)放性使得大量的惡意開(kāi)發(fā)者因利益的驅(qū)動(dòng)瞄準(zhǔn)了這個(gè)巨大的市場(chǎng)。因各下載市場(chǎng)、ROM、刷機(jī)、論壇等渠道，缺少嚴(yán)格、完善的審核機(jī)制，又給了惡意軟件巨大的生存的空間。

在DCCI（互聯(lián)網(wǎng)數(shù)據(jù)中心）的《中國(guó)移動(dòng)安全產(chǎn)業(yè)鏈生態(tài)發(fā)展報(bào)告》中，顯示有96.7%的用戶曾遭遇移動(dòng)安全問(wèn)題。在下載通道中，通過(guò)智能手機(jī)瀏覽器訪問(wèn)的網(wǎng)站中，有0.39%暗藏木馬；在下載站中，木馬占應(yīng)用市場(chǎng)提交檢測(cè)應(yīng)用次數(shù)的11.8%。僅2013年上半年新增病毒樣本數(shù)就達(dá)到了2012年全年的1.7倍。

有數(shù)據(jù)顯示，今年我國(guó)智能手機(jī)出貨量將突破2.7億臺(tái)，有將近5億的用戶加入移動(dòng)互聯(lián)網(wǎng)大潮中，這也就意味著，可能遭病毒感染的智能手機(jī)基數(shù)會(huì)增大。從某種意義上說(shuō)，惡意軟件的市場(chǎng)空間不斷在增加，智能手機(jī)安全形勢(shì)日益嚴(yán)峻。

在應(yīng)用方面，目前28.3%的應(yīng)用軟件含有廣告，平均每個(gè)廣告軟件被植入2.66個(gè)廣告平臺(tái)的插件，而每個(gè)含廣告軟件大約有2種廣告樣式。廣告條是目前移動(dòng)端主要的廣告樣式，占比92.6%?；旧厦織l廣告都能連接到外部網(wǎng)絡(luò)，這些廣告同時(shí)可能獲取用戶的位置信息和讀取用戶的智能手機(jī)號(hào)碼。

二、各方合力積極應(yīng)對(duì)安全挑戰(zhàn)

盡管圍繞智能手機(jī)應(yīng)用的各方都在積極努力加強(qiáng)防范，但在安全防御和查殺技術(shù)進(jìn)步的同時(shí)，智能手機(jī)病毒及惡意軟件也在發(fā)展，包括其隱蔽程度、危害、反查殺手段都在不斷升級(jí)。今天安全廠商改進(jìn)了查殺方法，智能手機(jī)病毒開(kāi)發(fā)者會(huì)很快做出反應(yīng)，想出新的方法來(lái)規(guī)避安全軟件的查殺。新病毒層出不窮，安全廠商的查殺機(jī)制及引擎也需要不斷改進(jìn)。

截止到2012年第三季度，中國(guó)的智能手機(jī)安全累計(jì)用戶在移動(dòng)互聯(lián)網(wǎng)用戶中的滲透率已經(jīng)達(dá)到63.4%。未來(lái)，隨著Android開(kāi)放平臺(tái)智能終端出貨量的繼續(xù)增長(zhǎng)，這一數(shù)字有望在年底突破70%。其實(shí)，不斷增長(zhǎng)的智能手機(jī)用戶，除了給惡意軟件制造者帶來(lái)了市場(chǎng)，也給智能手機(jī)安全軟件提供了廣闊的市場(chǎng)空間。但智能手機(jī)安全軟件并不能從根本上解決安全問(wèn)題，應(yīng)用分發(fā)平臺(tái)作為流通的關(guān)鍵環(huán)節(jié)，有著不可忽視的作用。

智能手機(jī)病毒、惡意短信讓用戶們防不勝防，苦不堪言，大有回到互聯(lián)網(wǎng)剛開(kāi)放時(shí)全民病毒的年代。網(wǎng)絡(luò)不發(fā)達(dá)的時(shí)代電腦中了病毒還只是造成系統(tǒng)變慢、經(jīng)常死機(jī)等狀況，對(duì)用戶的經(jīng)濟(jì)利益還沒(méi)有太大的影響，而現(xiàn)在的智能手機(jī)病毒則不然，取得了最高權(quán)限的病毒理論上可以頃刻間揮霍掉你所有話費(fèi)，這就是對(duì)我們經(jīng)濟(jì)利益裸的傷害。國(guó)外的統(tǒng)計(jì)數(shù)據(jù)表明，已經(jīng)有86%的移動(dòng)互聯(lián)網(wǎng)用戶開(kāi)始擔(dān)心終端的安全問(wèn)題，如欺詐賬單、信息盜用等；34%的用戶開(kāi)始對(duì)目前的終端及其服務(wù)的安全質(zhì)疑。59%的用戶希望運(yùn)營(yíng)商能夠把保障終端和業(yè)務(wù)安全放在首位。

三、智能手機(jī)安全防護(hù)措施

以下分別針對(duì)這三種特殊情況分別討論相應(yīng)的防護(hù)措施：本機(jī)防護(hù)；手機(jī)上網(wǎng)防護(hù)；手機(jī)操作系統(tǒng)防護(hù)等方式進(jìn)行防范。

1、本機(jī)防護(hù)

本機(jī)防護(hù)帶來(lái)的安全問(wèn)題常見(jiàn)的有：手機(jī)的通訊錄、短信、通話記錄等用戶私密信息會(huì)被竊取；被他人偽裝成用戶本人使用手機(jī)進(jìn)行短信詐騙等；被他人使用手機(jī)從事其它違法活動(dòng)?？刹捎迷O(shè)置手機(jī)開(kāi)機(jī)密碼、手機(jī)登陸密碼和SIM卡登陸密碼。或者進(jìn)行手機(jī)數(shù)據(jù)加密。也可以使用手機(jī)遠(yuǎn)程控制銷毀數(shù)據(jù)。這些方式可以有效地進(jìn)行本機(jī)的防護(hù)。

2、手機(jī)上網(wǎng)防護(hù)。

上網(wǎng)是智能手機(jī)的一項(xiàng)基本功能，也是智能手機(jī)最容易被攻擊的一種方式。常見(jiàn)的有：用戶信息被竊取、手機(jī)被惡意扣費(fèi)、手機(jī)用戶位置被追蹤、通話被監(jiān)聽(tīng)、手機(jī)行為被控制等。常見(jiàn)的手機(jī)惡意代碼植入方式有：手機(jī)出廠時(shí)被植入手機(jī)惡意代碼，主要一些山寨手機(jī)中比較常見(jiàn)；手機(jī)惡意代碼附帶在一些用戶程序中，用戶安裝過(guò)程中植入；手機(jī)被他人使用過(guò)程被植入；電腦感染病毒后連接電腦的手機(jī)被植入手機(jī)惡意代碼；利用手機(jī)的漏洞植入。手機(jī)惡意代碼的安全防護(hù)措施主要是避免手機(jī)被他人使用，對(duì)他人贈(zèng)與的手機(jī)進(jìn)行徹底檢查，避免手機(jī)與他人的電腦進(jìn)行連接等，另外，借助第三方手機(jī)安全軟件或一些手機(jī)系統(tǒng)自帶工具可以對(duì)手機(jī)惡意代碼進(jìn)行查殺。

3、手機(jī)操作系統(tǒng)防護(hù)。

手機(jī)操作系統(tǒng)安全漏洞帶來(lái)的安全隱患和防護(hù)措施需要對(duì)手機(jī)的操作系統(tǒng)進(jìn)行升級(jí)或者進(jìn)行漏洞修復(fù)。常見(jiàn)到的漏洞，一是手機(jī)信號(hào)被竊取帶來(lái)的安全隱患。目前市面上一些比較先進(jìn)的監(jiān)聽(tīng)設(shè)備，可以竊取手機(jī)信號(hào)，達(dá)到實(shí)時(shí)監(jiān)聽(tīng)的功能。二是手機(jī)接口安全漏洞。手機(jī)提供的接口越來(lái)越多，包括紅外、藍(lán)牙、USB、WIFI、射頻識(shí)別、條碼掃描以及GPRS、3G 網(wǎng)絡(luò)接口，目前在芯片設(shè)計(jì)、接口協(xié)議、傳輸協(xié)議等方面，都可能有安全漏洞。三是手機(jī)短信、郵件漏洞。一些手機(jī)的存存一些短信、郵件漏洞，利用該漏洞可以造成手機(jī)死機(jī)、損壞、被植入惡意代碼等后果，從而導(dǎo)致查看該類短信時(shí)，手機(jī)死機(jī)。四是手機(jī)破解、越獄利用的相關(guān)漏洞，能夠自動(dòng)對(duì)手機(jī)進(jìn)行越獄。值得注意的是，該漏洞可以被利用在手機(jī)惡意代碼的遠(yuǎn)程植入，另外，對(duì)手機(jī)進(jìn)行破解、越獄，等于是解除未簽名、未認(rèn)證程序的安裝限制，也會(huì)給手機(jī)帶來(lái)很多安全隱患。

智能手機(jī)用戶則需要加強(qiáng)智能手機(jī)操作系統(tǒng)的學(xué)習(xí)，減少安全漏洞，對(duì)于安全漏洞導(dǎo)致的危害，可以采取以下防范措施：關(guān)注手機(jī)操作系統(tǒng)更新信息，一些手機(jī)漏洞被發(fā)現(xiàn)后，手機(jī)操作系統(tǒng)研發(fā)公司一般會(huì)在最短的時(shí)間內(nèi)補(bǔ)丁或升級(jí)版本的同件，需要及時(shí)進(jìn)行更新；關(guān)閉手機(jī)不需要的藍(lán)牙、WIFI等接口；利用手機(jī)安全軟件，結(jié)合手機(jī)惡意代碼的查殺進(jìn)行防護(hù)；對(duì)手機(jī)破解、越獄可能帶來(lái)的安全隱患要有足夠的認(rèn)識(shí)，輕易不對(duì)手機(jī)進(jìn)行破解、越獄等操作。

結(jié)語(yǔ)

總之隨著移動(dòng)互聯(lián)網(wǎng)不斷滲透到人們?nèi)粘Ｉ钪械膫€(gè)個(gè)角落，未來(lái)智能手機(jī)等移動(dòng)終端的安全將成為日益嚴(yán)峻的問(wèn)題，而它的解決離不開(kāi)政府、運(yùn)營(yíng)商、應(yīng)用平臺(tái)、安全廠商、智能手機(jī)廠商、開(kāi)發(fā)者、以及智能手機(jī)用戶等各方的共同努力。

參考文獻(xiàn)

安全防護(hù)范文第4篇

【 關(guān)鍵詞 】 系統(tǒng)安全；安全威脅；安全策略；網(wǎng)絡(luò)可靠性

Analysis and Research on the Protection Strategy of IT System Security

Zhang Jie Geng Yu-hua

（China Mobile Group Henan Company Limited HenanZhengzhou 450008）

【 Abstract 】 Based on the analysis of security threats faced by IT system， IT system is divided into a plurality of security sub-domain， by formulating the construction and security strategy of each security sub-domain， system network architecture is more security， system security protection capability is further enhanced.

【 Keywords 】 system security； security threats； security policy； network reliability

1 引言

隨著企業(yè)IT支撐系統(tǒng)的逐步建設(shè)，IT系統(tǒng)已融入企業(yè)生產(chǎn)和管理的各個(gè)方面，對(duì)企業(yè)的正常運(yùn)行的影響也越來(lái)越大。但是，伴隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和在網(wǎng)絡(luò)上運(yùn)行的業(yè)務(wù)系統(tǒng)的增多，相關(guān)的安全問(wèn)題也日益嚴(yán)重，通過(guò)網(wǎng)絡(luò)影響業(yè)務(wù)系統(tǒng)的活動(dòng)所使用的技術(shù)手段越來(lái)越高明。系統(tǒng)網(wǎng)絡(luò)面臨各種安全威脅，特別是侵入與攻擊事件的發(fā)生，會(huì)給企業(yè)造成極大的經(jīng)濟(jì)損失。

2 系統(tǒng)安全威脅分析

目前威脅IT系統(tǒng)安全的因素主要包括病毒侵襲、黑客攻擊等。

2.1 病毒傳播

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，病毒技術(shù)也在不斷發(fā)展提高，病毒的傳播途徑越來(lái)越廣，傳播速度越來(lái)越快，造成的危害也越來(lái)越大，病毒已經(jīng)嚴(yán)重威脅著業(yè)務(wù)支撐系統(tǒng)的安全。尤其近期病毒日益向網(wǎng)絡(luò)化和多樣化發(fā)展，業(yè)務(wù)支撐系統(tǒng)中任何一個(gè)節(jié)點(diǎn)病毒疫情爆發(fā)，將波及到網(wǎng)絡(luò)中其它所有節(jié)點(diǎn)，從而影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。

2.2 黑客攻擊

暴露于網(wǎng)絡(luò)中的IT系統(tǒng)經(jīng)常存在很多漏洞，由于部分用戶和管理人員的安全意識(shí)不強(qiáng)，同時(shí)，黑客攻擊的手段在不斷變更，攻擊水平飛速提高，計(jì)算機(jī)犯罪和非法入侵攻擊對(duì)企業(yè)造成的危害極其嚴(yán)重。通過(guò)因特網(wǎng)侵入他國(guó)重要部門(mén)計(jì)算機(jī)系統(tǒng)的事例已屢見(jiàn)不鮮，黑客攻擊已經(jīng)逐漸成為將來(lái)信息戰(zhàn)的一種重要手段。

3 系統(tǒng)安全防護(hù)原則

安全域劃分與邊界整合是安全工作的基礎(chǔ)。安全域的劃分，就是從安全角度將系統(tǒng)劃分成不同的區(qū)域，以便實(shí)行分門(mén)別類的防護(hù)。根據(jù)等級(jí)保護(hù)的要求，確定各安全域的保護(hù)等級(jí)，并部署相應(yīng)安全手段。安全域調(diào)整的基本原則有幾點(diǎn)。

分區(qū)域保護(hù)原則：應(yīng)根據(jù)各業(yè)務(wù)的不同重要性，劃分多個(gè)具有不同安全保護(hù)等級(jí)的安全域，實(shí)現(xiàn)不同強(qiáng)度保護(hù)；安全域內(nèi)的系統(tǒng)應(yīng)具有相同或者相近的保護(hù)等級(jí)，實(shí)施統(tǒng)一的安全策略管理。

重點(diǎn)保護(hù)原則：在分區(qū)域保護(hù)原則基礎(chǔ)上，對(duì)于其中某些系統(tǒng)設(shè)備由于其存儲(chǔ)數(shù)據(jù)的性質(zhì)、或者由于其承載的業(yè)務(wù)非常關(guān)鍵，應(yīng)得到重點(diǎn)的保護(hù)。應(yīng)集中資源首先確保重點(diǎn)應(yīng)用安全，安全需求高安全域的重要應(yīng)用優(yōu)先保護(hù)。

相互信任原則：屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任，也就是說(shuō)即使保護(hù)需求相同，如果屬于不同的系統(tǒng)而且互不信任，也不應(yīng)該納入同一安全域進(jìn)行保護(hù)，“信任”是一個(gè)相對(duì)的概念。

可行性、可靠性原則：安全系統(tǒng)的方案設(shè)計(jì)和系統(tǒng)設(shè)計(jì)，應(yīng)滿足可用性、高性能及高可靠性要求，保證在采用安全防護(hù)手段之后，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)有大的影響，在保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，提供最優(yōu)安全保證；同時(shí)安全解決方案應(yīng)具有良好的擴(kuò)展性，能適應(yīng)將來(lái)的發(fā)展。

4 系統(tǒng)安全防護(hù)策略

為實(shí)現(xiàn)上述安全防護(hù)原則，可根據(jù)系統(tǒng)體系架構(gòu)和承載業(yè)務(wù)不同，將整個(gè)IT業(yè)務(wù)系統(tǒng)劃分為多個(gè)安全區(qū)域，不同的安全區(qū)域采用不同的安全策略，實(shí)現(xiàn)安全等級(jí)防護(hù)。

4.1 安全域劃分

以核心IT業(yè)務(wù)系統(tǒng)為例，說(shuō)明安全域劃分和防護(hù)策略。系統(tǒng)可主要?jiǎng)澐譃楹诵挠蚝徒尤胗騼蓚€(gè)安全域，再根據(jù)安全域內(nèi)部的不同業(yè)務(wù)類型安全需求采取不同的安全策略，部署相應(yīng)的安全設(shè)備，以實(shí)現(xiàn)整體系統(tǒng)的安全。

核心域中承載系統(tǒng)核心數(shù)據(jù)和業(yè)務(wù)，包括系統(tǒng)核心主機(jī)、網(wǎng)管系統(tǒng)、客服系統(tǒng)等，其安全級(jí)別最高的，是系統(tǒng)安全的首要考慮的防護(hù)對(duì)象。接入域包括內(nèi)部接口域和外部接口域兩大部分，其中內(nèi)部接口域是指本系統(tǒng)和本企業(yè)內(nèi)部其他IT系統(tǒng)間的接口；外部接口域是指和銀行、互聯(lián)網(wǎng)等外部系統(tǒng)的接口。

接入域雖然安全防護(hù)級(jí)別相對(duì)核心域較低，但由于其和外部進(jìn)行大量數(shù)據(jù)交互，是外部惡意攻擊的重要途徑，因此其安全性也非常重要，是防護(hù)內(nèi)部系統(tǒng)安全的的重要屏障。

4.2 安全防護(hù)措施

安全防護(hù)主要包括安全域技術(shù)改造和安全加固二部分內(nèi)容。

安全域技術(shù)改造部分包括根據(jù)安全防護(hù)要求進(jìn)行系統(tǒng)核心域、接口域的的安全域構(gòu)建和系統(tǒng)網(wǎng)絡(luò)架構(gòu)調(diào)整等內(nèi)容，將系統(tǒng)設(shè)備根據(jù)業(yè)務(wù)和安全防護(hù)要求分別劃分到相對(duì)獨(dú)立的安全子域中去。

對(duì)系統(tǒng)進(jìn)行安全加固時(shí)，可分兩步進(jìn)行。一是對(duì)現(xiàn)有系統(tǒng)的安全加固，采用先進(jìn)的技術(shù)手段對(duì)核心業(yè)務(wù)系統(tǒng)中的主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備進(jìn)行安全評(píng)估，查找系統(tǒng)安全漏洞，并針對(duì)發(fā)現(xiàn)的安全漏洞進(jìn)行修補(bǔ)加固。二是針對(duì)現(xiàn)有系統(tǒng)安全防火措施的不足增加新的安全設(shè)備，并制定全面完善的維護(hù)和操作安全管理流程和規(guī)范，通過(guò)訪問(wèn)控制策略調(diào)查制定新的安全域訪問(wèn)控制策略。

4.2.1防火墻的設(shè)置

在接口子域采用雙層異構(gòu)防火墻部署，在與外部接口的交換機(jī)兩側(cè)分別部署不同廠商的防火墻設(shè)備，將與外部通信的網(wǎng)絡(luò)交換機(jī)放置在兩層防火墻之間，在雙層防火墻間的交換機(jī)上部署接口服務(wù)器，用于處理系統(tǒng)和其他系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)交互。

交換機(jī)和防火墻都采用主備高可用布署方式，同時(shí)在防火墻上進(jìn)行相應(yīng)的安全設(shè)置，建立訪問(wèn)控制列表（ACL）和安全過(guò)濾策略，限制外部非法系統(tǒng)的接入。

4.2.2部署網(wǎng)絡(luò)防毒墻設(shè)備

在系統(tǒng)內(nèi)部部署網(wǎng)絡(luò)防毒墻用來(lái)抵擋和阻斷網(wǎng)絡(luò)蠕蟲(chóng)和病毒的傳播。網(wǎng)絡(luò)防毒墻具備針對(duì)網(wǎng)絡(luò)蠕蟲(chóng)、病毒等特征碼的檢測(cè)功能，用來(lái)監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒行為。防毒墻的病毒掃描引擎結(jié)合了啟發(fā)式掃描等多種技術(shù)，能夠檢測(cè)已知的和尚未開(kāi)發(fā)出特征碼的新病毒，還可對(duì)垃圾郵件進(jìn)行識(shí)別和處理。網(wǎng)絡(luò)防毒墻是終端防病毒軟件的重要補(bǔ)充，兩者結(jié)合能最大程度消滅網(wǎng)絡(luò)病毒，凈化內(nèi)部系統(tǒng)和網(wǎng)絡(luò)。

4.2.3部署網(wǎng)頁(yè)防篡改系統(tǒng)

隨著企業(yè)業(yè)務(wù)發(fā)展的需要，各種互聯(lián)網(wǎng)應(yīng)用日益增多。網(wǎng)上營(yíng)業(yè)廳、自助服務(wù)平臺(tái)等通過(guò)互聯(lián)網(wǎng)提供服務(wù)的業(yè)務(wù)也日益普及，大量系統(tǒng)均采用了B/S架構(gòu)，為防御黑客對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)頁(yè)的進(jìn)行篡改，確?？蛻糍~戶和密碼安全，需要部署專門(mén)的網(wǎng)頁(yè)防篡改系統(tǒng)來(lái)保護(hù)網(wǎng)頁(yè)和保障業(yè)務(wù)系統(tǒng)的安全。

網(wǎng)頁(yè)防篡改系統(tǒng)通過(guò)采用實(shí)時(shí)阻斷技術(shù)，加載網(wǎng)頁(yè)篡改檢測(cè)引擎，能夠有效阻斷非授權(quán)人員或系統(tǒng)對(duì)網(wǎng)頁(yè)內(nèi)容的篡改；在發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容被非法篡改時(shí)，通過(guò)事件觸發(fā)技術(shù)，能夠瞬間清除被非法篡改的網(wǎng)頁(yè)，將網(wǎng)頁(yè)恢復(fù)正常；在客戶訪問(wèn)系統(tǒng)時(shí)，能夠確保每個(gè)對(duì)外發(fā)送的網(wǎng)頁(yè)的正確性。

部署網(wǎng)頁(yè)防篡改系統(tǒng)，能實(shí)現(xiàn)網(wǎng)站監(jiān)控與恢復(fù)、網(wǎng)頁(yè)與同步、受攻擊報(bào)警、網(wǎng)頁(yè)維護(hù)日志、系統(tǒng)備份功能，還可進(jìn)行用戶認(rèn)證、篡改分析和審計(jì)，并可以根據(jù)需要靈活構(gòu)建復(fù)雜的網(wǎng)站防護(hù)系統(tǒng)。

4.3.4部署入侵檢測(cè)系統(tǒng)

在內(nèi)部接口域和外部接口域部署入侵檢測(cè)設(shè)備，通過(guò)對(duì)網(wǎng)絡(luò)流量的鏡像監(jiān)聽(tīng)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為。對(duì)防火墻進(jìn)入子系統(tǒng)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，把防火墻與交換機(jī)之間的通訊端口鏡像到入侵檢測(cè)設(shè)備的監(jiān)聽(tīng)端口，實(shí)現(xiàn)對(duì)子系統(tǒng)防火墻之間的通訊數(shù)據(jù)進(jìn)行監(jiān)控的功能。

入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵或異常行為后，可提供控制臺(tái)報(bào)警、郵件報(bào)警、聲音報(bào)警以及短消息報(bào)警、切斷會(huì)話等多種報(bào)警方式。能夠與路由器、防火墻等網(wǎng)絡(luò)及安全設(shè)備進(jìn)行聯(lián)動(dòng)，組成聯(lián)合防御體系，解決入侵檢測(cè)信息孤島問(wèn)題。

此外，入侵檢測(cè)探測(cè)器還能夠發(fā)現(xiàn)并記錄網(wǎng)絡(luò)中常用的敏感信息，幫助管理員發(fā)現(xiàn)內(nèi)部的網(wǎng)絡(luò)濫用行為；能夠?qū)ΤＳ玫膽?yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET）進(jìn)行內(nèi)容恢復(fù)，并按照相應(yīng)的協(xié)議格式完整展現(xiàn)，清楚展現(xiàn)入侵者的攻擊過(guò)程，重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時(shí)泄漏的保密信息內(nèi)容。

5 安全防護(hù)實(shí)施風(fēng)險(xiǎn)控制

在進(jìn)行IT業(yè)務(wù)系統(tǒng)安全域劃分以及安全產(chǎn)品部署和安全策略實(shí)施的過(guò)程中，一定要把對(duì)業(yè)務(wù)系統(tǒng)的影響降到最小，把風(fēng)險(xiǎn)降到最低。

在操作實(shí)施前，應(yīng)制定完善細(xì)致的操作步驟和實(shí)施方案，考慮各種可能出現(xiàn)的問(wèn)題，制定相應(yīng)的應(yīng)急預(yù)案和回退機(jī)制。在操作時(shí)間的選擇上，要盡量避開(kāi)業(yè)務(wù)高峰時(shí)段，如在凌晨進(jìn)行工程實(shí)施，使加固行為對(duì)業(yè)務(wù)的影響降到最低。進(jìn)行操作前，對(duì)系統(tǒng)的重要數(shù)據(jù)和操作系統(tǒng)以及系統(tǒng)配置信息進(jìn)行備份，對(duì)操作流程進(jìn)行測(cè)試驗(yàn)證，確保操作安全有效。在操作過(guò)程中，操作人員應(yīng)嚴(yán)格按照既定流程操作，并由專人對(duì)所有操作進(jìn)行嚴(yán)格復(fù)查，確保沒(méi)有缺少或者多余的操作，以防誤操作對(duì)被加固設(shè)備帶來(lái)不良影響。

參考文獻(xiàn)

[1] 劉化君.網(wǎng)絡(luò)安全技術(shù)[M]. 北京：人民郵電出版社，2010.

[2] 張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M]. 北京：清華大學(xué)出版社，2011.

[3] 于九紅.網(wǎng)絡(luò)安全設(shè)計(jì)[M]. 北京：電子工業(yè)出版社，2012.

[4] 俞承杭.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2008.

作者簡(jiǎn)介：

安全防護(hù)范文第5篇

關(guān)鍵詞Web；網(wǎng)絡(luò)安全；安全威脅；安全防護(hù)

1引言

隨著Internet的普及，人們對(duì)其依賴也越來(lái)越強(qiáng)，但是由于Internet的開(kāi)放性，及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備，造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮，給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)，Web站點(diǎn)被黑客入侵的事件屢有發(fā)生，Web安全問(wèn)題已引起人們的極大重視。

2Web的安全威脅

來(lái)自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣，依照Web訪問(wèn)的結(jié)構(gòu)，可將其分類為對(duì)Web服務(wù)器的安全威脅、對(duì)Web客戶機(jī)的安全威脅和對(duì)通信信道的安全威脅三類。

2.1對(duì)Web服務(wù)器的安全威脅

對(duì)于Web服務(wù)器、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞，惡意用戶都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮：

2.1.1在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)（如存放用戶名、口令的文件）放置在不安全區(qū)域，被入侵后很容易得到。

2.1.2在Web數(shù)據(jù)庫(kù)中，保存的有價(jià)值信息（如商業(yè)機(jī)密數(shù)據(jù)、用戶信息等），如果數(shù)據(jù)庫(kù)安全配置不當(dāng)，很容易泄密。

2.1.3Web服務(wù)器本身存在一些漏洞，能被黑客利用侵入到系統(tǒng)，破壞一些重要的數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。

2.1.4程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件。用CGI腳本編寫(xiě)的程序中的自身漏洞。

2.2對(duì)Web客戶機(jī)的安全威脅

現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用，活動(dòng)內(nèi)容的不安全性是造成客戶端的主要威脅。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶透明的程序，它可以完成一些動(dòng)作，顯示動(dòng)態(tài)圖像、下載和播放音樂(lè)、視頻等。當(dāng)用戶使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)，這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶機(jī)上運(yùn)行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。主要用到JavaApplet和ActiveX技術(shù)。

JavaApplet使用Java語(yǔ)言開(kāi)發(fā)，隨頁(yè)面下載，Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng)，它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定安全范圍之外的程序代碼。但事實(shí)上JavaApplet存在安全漏洞，可能被利用進(jìn)行破壞。

ActiveX是微軟的一個(gè)控件技術(shù)，它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序，可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)。ActiveX在安全性上不如JavaApplet，一旦下載，能像其他程序一樣執(zhí)行，訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這是非常危險(xiǎn)的。

Cookie是Netscape公司開(kāi)發(fā)的，用來(lái)改善HTTP的無(wú)狀態(tài)性。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車這樣要在一定時(shí)間內(nèi)記住用戶動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息，在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端，以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器，服務(wù)器用這個(gè)Cookie來(lái)記憶用戶和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像。Cookie不能用來(lái)竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息，它們只能在某種程度上存儲(chǔ)用戶的信息，如計(jì)算機(jī)名字、IP地址、瀏覽器名稱和訪問(wèn)的網(wǎng)頁(yè)的URL等。所以，Cookie是相對(duì)安全的。

2.3對(duì)通信信道的安全威脅

Internet是連接Web客戶機(jī)和服務(wù)器通信的信道，是不安全的。像Sniffer這樣的嗅探程序，可對(duì)信道進(jìn)行偵聽(tīng)，竊取機(jī)密信息，存在著對(duì)保密性的安全威脅。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容，造成對(duì)信息完整性的安全威脅。此外，還有像利用拒絕服務(wù)攻擊，向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓，或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道，使網(wǎng)絡(luò)的速度便緩慢。

3Web的安全防護(hù)技術(shù)

3.1Web客戶端的安全防護(hù)

Web客戶端的防護(hù)措施，重點(diǎn)對(duì)Web程序組件的安全進(jìn)行防護(hù)，嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行。可以在瀏覽器進(jìn)行設(shè)置，如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉。在安全窗口中選擇自定義級(jí)別，將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別，也可以根據(jù)需要將c:\windows\cookie下的所有Cookie相關(guān)文件刪除。

3.2通信信道的安全防護(hù)

通信信道的防護(hù)措施，可在安全性要求較高的環(huán)境中，利用HTTPS協(xié)議替代HTTP協(xié)議。利用安全套接層協(xié)議SSL保證安全傳輸文件，SSL通過(guò)在客戶端瀏覽器軟件和Web服務(wù)器之間建立一條安全通信信道，實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性。但SSL會(huì)造成Web服務(wù)器性能上的一些下降。

3.3Web服務(wù)器端的安全防護(hù)

限制在Web服務(wù)器中賬戶數(shù)量，對(duì)在Web服務(wù)器上建立的賬戶，在口令長(zhǎng)度及定期更改方面作出要求，防止被盜用。

Web服務(wù)器本身會(huì)存在一些安全上的漏洞，需要及時(shí)進(jìn)行版本升級(jí)更新。

盡量使EMAIL、數(shù)據(jù)庫(kù)等服務(wù)器與Web服務(wù)器分開(kāi)，去掉無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)。

在Web服務(wù)器上去掉一些不用的如SHELL之類的解釋器。

定期查看服務(wù)器中的日志文件，分析一切可疑事件。

設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性。

通過(guò)限制許可訪問(wèn)用戶IP或DNS。

從CGI編程角度考慮安全。采用編譯語(yǔ)言比解釋語(yǔ)言會(huì)更安全些，并且CGI程序應(yīng)放在獨(dú)立于HTML存放目錄之外的CGI-BIN下等措施。4Web服務(wù)器安全防護(hù)策略的應(yīng)用

這里以目前應(yīng)用較多的Windows2000平臺(tái)和IIS的Web服務(wù)器為例簡(jiǎn)述Web服務(wù)器端安全防護(hù)的策略應(yīng)用。

4.1系統(tǒng)安裝的安全策略

安裝Windows2000系統(tǒng)時(shí)不要安裝多余的服務(wù)和多余的協(xié)議，因?yàn)橛械姆?wù)存在有漏洞，多余的協(xié)議會(huì)占用資源。安裝Windows2000后一定要及時(shí)安裝補(bǔ)丁4程序（W2KSP4_CN.exe），立刻安裝防病毒軟件。

4.2系統(tǒng)安全策略的配置

通過(guò)“本地安全策略”限制匿名訪問(wèn)本機(jī)用戶、限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)等。通過(guò)“組策略”限制遠(yuǎn)程用戶對(duì)Netmeeting的桌面共享、限制用戶執(zhí)行Windows安裝任務(wù)等安全策略配置。

4.3IIS安全策略的應(yīng)用

在配置Internet信息服務(wù)（IIS）時(shí)，不要使用默認(rèn)的Web站點(diǎn)，刪除默認(rèn)的虛擬目錄映射；建立新站點(diǎn)，并對(duì)主目錄權(quán)限進(jìn)行設(shè)置。一般情況下設(shè)置成站點(diǎn)管理員和Administrator兩個(gè)用戶可完全控制，其他用戶可以讀取文件。

4.4審核日志策略的配置

當(dāng)Windows2000出現(xiàn)問(wèn)題的時(shí)候，通過(guò)對(duì)系統(tǒng)日志的分析，可以了解故障發(fā)生前系統(tǒng)的運(yùn)行情況，作為判斷故障原因的根據(jù)。一般情況下需要對(duì)常用的用戶登錄日志，HTTP和FTP日志進(jìn)行配置。

4.4.1設(shè)置登錄審核日志

審核事件分為成功事件和失敗事件。成功事件表示一個(gè)用戶成功地獲得了訪問(wèn)某種資源的權(quán)限，而失敗事件則表明用戶的嘗試失敗。

4.4.2設(shè)置HTTP審核日志

通過(guò)“Internet服務(wù)管理器”選擇Web站點(diǎn)的屬性，進(jìn)行設(shè)置日志的屬性，可根據(jù)需要修改日志的存放位置。

4.4.3設(shè)置FTP審核日志

設(shè)置方法同HTTP的設(shè)置基本一樣。選擇FTP站點(diǎn)，對(duì)其日志屬性進(jìn)行設(shè)置，然后修改日志的存放位置。

4.5網(wǎng)頁(yè)和下載的安全策略

因?yàn)閃eb服務(wù)器上的網(wǎng)頁(yè)，需要頻繁進(jìn)行修改。因此，要制定完善的維護(hù)策略，才能保證Web服務(wù)器的安全。有些管理員為方便起見(jiàn)，采用共享目錄的方法進(jìn)行網(wǎng)頁(yè)的下載和，但共享目錄方法很不安全。因此，在Web服務(wù)器上要取消所有的共享目錄。網(wǎng)頁(yè)的更新采用FTP方法進(jìn)行，選擇對(duì)該FTP站點(diǎn)的訪問(wèn)權(quán)限有“讀取、寫(xiě)入”權(quán)限。對(duì)FTP站點(diǎn)屬性的“目錄安全性”在“拒絕訪問(wèn)”對(duì)話框中輸入管理維護(hù)工作站的IP地址，限定只有指定的計(jì)算機(jī)可以訪問(wèn)該FTP站點(diǎn)，并只能對(duì)站點(diǎn)目錄進(jìn)行讀寫(xiě)操作。

5結(jié)束語(yǔ)

通過(guò)對(duì)Web安全威脅的討論及具體Web安全的防護(hù)，本文希望為用戶在安全上網(wǎng)或配置Web服務(wù)器安全過(guò)程中起到借鑒作用。

【參考文獻(xiàn)】