网络安全应急响应服务方案精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全应急响应服务方案主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全应急响应服务方案范文

关键词：校园网；网络安全；网络管理

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校园网络作为信息化校园的重要组成部分，在全国各高校大规模展开，已近十年的历程。校园网的建设重点已从最初单纯的网络硬件铺设，简单的Internet接入，小规模离散的应用，发展到大规模成系统的网络应用。近年随着网络技术的快速发展，网络应用日益普及，学校的教学和管理对校园网的依赖程度不断加大。网络的脆弱性，使得依赖于网络的教学与管理面临着安全威胁，网络安全成了校园网建设的焦点问题。构建安全的校园网并不是简单的堆砌网络安全技术或安全产品，它不仅涉及到技术层面，也涉及到非技术层面。本文似从技术和管理两个层面来探讨如何构建安全的校园网络系统。

2 校园网的特点及安全现状分析

校园网有着自己鲜明的特点：一是大规模、高速网络环境，主要表现为用户数据庞大、地域分布的多校区网络和快速局域网技术；二是复杂的应用和业务类型，主要表现为公共服务、科研应用、教学辅助、学生管理、行政管理、教学管理和普通上网应用等；三是活跃的、不同使用水平的网络用户群体，即有普通的用户群、又有管理用户群，还有网络相关专业的学生用户群，他们网络应用目的不同，对网络的熟悉程度不同；三是大量的非正版软件和电子资源；五是开放的环境和宽松的安全管理体制；六有限的资金投入。这些特点使得校园网既不像Internet那样毫无限制，又不像电子商务企业那样为强化安全与保密而严加管理和控制。

校园网的上述特点，使得校园网一方面要面临一般企业网络所必须面对的各种安全威胁，如：普遍存在的计算机系统漏洞产生的各种安全隐患；计算机蠕虫、木马、病毒泛滥，对用户主机、应用系统和网络运行构成的严重威胁；外来的攻击、入侵等恶意行为、垃圾信息和不良信息的传播行为等。另一方面校园网又不得不应付来自内部的安全威胁，如内部用户的攻击行为，对网络资源的滥用行为等等。

3 校园网安全需求分析

在校园网的安全设计中，必须考虑到校园网的上述特殊性。不能将整个校园网作为单一的安全区域，必须根据不同的应用类型、不同的服务对象将校园网划分为具有不同安全等级的区域，并针对这些区域进行专门的安全设计。一般来说，我们可以将校园网分为：学生网络、教学管理网络、公共应用服务网络、网络管理系统和分校区网络等几个部分。下面对这些网络的安全需求进行分析。

3.1 Internet连通性的安全需求

Internet连通性是校园网最重要的功能，一方面要满足内部用户的Internet访问要求，另一方面又要对外Web服务、电子邮件服务和FTP服务等公共服务。而Internet却是攻击和威胁的重要来源，阻断所有不能接受的访问流量是最基本的安全需求，同时保持对来自Internet的网络攻击的检测能力，是防范求知攻击的必然要求。与内部用户的上网需求相比，校网园对外的公共服务应该受到更好的安全保护，在设计时必须给予重点考虑。

3.2 学生网络的安全需求

学生网络两大特点：一是用户数量多数据流量大，学生是P2P(peer-to-peer)应用的热衷者，而P2P应用则是网络带宽的“杀手”，2006年我院对拥有1100多用户的学生网络进行了一项测试，使用一款“P2P终结者”软件来屏蔽P2P数据包，结果网络出口总流量骤降一半，据此可以估算有50%网络带宽被P2P软件所消耗。事实上这个估算是保守的，有研究表明，P2P流量取代了HTTP流量成为Internet流量的主体，占Internet中总流量的60%~70%，占最后一公里接入网流量的80%[1]；二是用户类型复杂，2007年我院的一次问卷调查表明，85%以上的学生缺乏网络安全意识，近5%的学生用户偶尔尝试过网络攻击，近0.2%的学生在研究网络攻击技术，他们是内部攻击的主要来源，也是最主要的病毒源和木马源。因此在进行网络安全考虑时，首先要对来自学生网络的带宽进行限制，以保证网络资源的合理分配；其次要约束学生网络对校园网关键服务的访问，尽最大努力过滤其运行特定应用程序的能力；同时还需要加强对网络流量嗅探和中间人攻击(MITM)的防范能力，以减少学生相互间的攻击。

3.3 教学管理网络的安全需求

鉴于教学管理数据的安全性需求高，教学管理网络与学生网络绝对不能位于同一个信任级别，应该有更高的安全需求，给予保护并与校园网络的其他部分进行隔离。主要有以下三项安全措施，一是设置防火墙实施访问控制；二是设置入侵检测系统进行网络安全监测；三是强化论证，虽然加密所有教学管理应用程序太过繁重，但是对于某些关键系统（会计和学生记录）应该要求强认证。

3.4 网络管理系统的安全需求

网络管理系统负责整个校园网的通畅和安全管理工作，确保网络管理系统的安全是非常重要的工作，因此应该设置防火墙将管理网络与校园网的其它部分进行隔离加以保护。

3.5 分校区网络连接的安全需求

分校区和远程用户都需要直接访问校园网内部的服务，出于资金考虑，多数的分校网络都没有专线连通，部分学校尝试无线通信，实际情况看来，其保密性和稳定性都不高。比较经济实用的解决方案就是，使用虚拟专用网（VPN）技术穿过广域网(WAN)。

4 校园网结构的安全设计

基于上述校园网安全的分析，我们可以设计出如图1所示的安全校园网络系统。

4.1 校园网边界安全设计

Internet接入是校园网最基本的业务需求，与Internet相比，校园网内部自然是一块相对单纯的可信任安全区域，为保证校园网内部的安全性和校园网公共服务的可访问性，需在校园网边界进行如下安全设置。

一是设置防火墙：防火墙首先要提供入网级的访问控制功能，以有效地阻断来自Internet的非法访问；其次要提供虚拟专用网（VPN）功能，借助广域网实现远程分校区网络的安全连接，使得访问远程校园网络，如同访问本地网络一个方便安全，在保证安全性的同时还可以节省出专线费用；最后还应具备网络地址转换功能（NAT），使得Internet用户可以访问校园网内部的公共服务。二是设置AAA认证服务器，提供对用户身份认证、安全管理、安全责任跟踪和计费等功能。三是设置网络入侵检测系统（NIDS），同时可在边界路由器上启用NetFlow功能，以加强对非法入侵和恶意攻击行为的检测和发现能力，为网络管理员提供网络异常事件的处理能力。

4.2 学生网络的安全设计

从前面的校园网业务需求的安全性分析可知，校园网内部并非铁板一块，不同的业务需求对安全性的要求是不同的，相对来说学生网络的安全级别最低。针对学生网络用户数量庞大、用户类型的复杂性的特点，主要可采取以下安全措施：一是为保证网络资源的合理有效分配，必须进行网络流量限制；二是在交换机处提供必要的第二层安全控制，以减少网络流量嗅探攻击，中间人攻击(Man-in-the-middle-attacks，简称:MITM攻击)；三是在不同学生网段的路由器上设置无状态ACL，以实现数据过滤。后两项措施可以缓解学生系统之间的相互攻击。总体上讲，学生网络的安全防护功能是相当弱的，主要的安全防护功能落在了学生主机上，因此必须加强网络安全教育，提高学生的安全防范意识和能力。但是较低的安全防护设计却给学生创造了一个相当宽松的网络环境。

4.3 教学管理网络和公共服务网络的安全设计

教学管理网络和公共服务网络的服务器中存在着大量敏感的数据，比如说学生成绩和学生注册信息，它们极易受到来自于Internet及学生网络的攻击，因此也就提出了更高的安全需求。对教学管理网络和公共服务网络的安全设计，相当于在校网络的基础上建立起一个安全性更高的内部网络。其安全设置类似于校园网与Internet之间的安全设计，如添加防火墙进行访问控制，增加NIDS进行入侵检测。从图中可以看到，对学生网络来说，它有一道防护屏障，而相对于Internet再说，它受到两道防护屏障的保护。这是一个合理的安全等级层次。

4.4 管理网络的安全设计

管理网络看似类似于行政网管，需要使用防火墙进行保护。但是它有完全不同的业务需求，它负责整个网络的安全管理，要根据各种校园网络设备的管理需求，设置允许入站和出站的特定连接。因为它的周围有许多不可信的网络，在网络设备与管理网络进行数据传送时，必须保证数据的安全保密性，因此数据传递过程中的安全要求较高，在数据通信需要使用SSH/SSL等安全通信协议。对于那些不支持SSH/SSL的网络设置，只能使用如Telnet之类的明文管理协议，在这种缺乏安全协议的情况下，应该限制可访问Telnet后台程序的IP地址，以增加这些网络设备管理的安全性。

5 校园网安全管理

校园网的安全性不仅仅是一个技术问题，还需要安全管理的支持。安全的校园网络系统是安全技术与安全管理有机结合的整体，它遵循所谓的“木桶原理”。正如木桶的容积决定于它最短的木板一样，校园网系统的安全强度等于它最薄弱环节的安全强度。经验表明，得不到足够重视的网络安全管理恰恰是校园网安全系统中最薄弱的一个环节。安全专家们则强调网络安全靠的是“三分技术，七分管理”。

为加强校园网的管理，需要做好以下四项工作：一是观念的更新，网络安全不止是技术部门和专业人员的责任，应该得到学校高层的充分重视，需要所有的网络用户的共同遵循安全规则；二是建立网络安全管理机构，明确权力和负责，从组织机构上保障网络安全管理的有效实施；三是制订网络安全管理制度，明确校园网用户的权利和义务，使用户共同遵循校园网使用规则；四是建立完善的安全管理及应急响应机制，以对突发性安全事件做出迅速准确的处理，最大限度地减少损失。

安全事件处理机制的建立往往是校园网安全管理的盲区。与国防、金融等机构比起来校园网的安全级别低，应付安全突发事件的重要性并不是太突出。而且在一般情况下，意外事件发生的几率不高，应付安全突发事件的必要性也往往被忽视。但是100%安全的网络是不存在的，如果不能对网络安全事件做出迅速而准确的响应，就有可能造成重大的损失。事实是，历史上几次重大的安全突发事件所造成的恶劣影响，使得各国都非常重视紧急事件响应处理。美国国防部于1989年资助卡内基.梅隆大学建立了世界上第一个计算机紧急响应小组CERT（Computer Emergency Response Team）及其协调中心CC(Coordination Center)。CERT/CC的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。此后在20世纪90年代，计算机安全应急处理得到了广泛而深入的研究。在我国，中国计算机教育与科研网(CERNET)于1999年成立计算机紧急事件响应组织(CCERT)，是国内第一个安全事件响应组织；2000年3月，中国计算机网络应急处理协调中心(CNCERT/CC)成立，该中心在国家因特网应急小组协调办公室的直接领导下，协调全国范围内计算机安全事件响应小组的工作，并加强与国际计算机安全组织的交流。

在校园网建设中，借助CERT的理念和研究成果，建立必要的网络管理和应急响应机制将有利于规范和提高校园网安全管理能力。图2所示，是一个可行的网络管理和应急响应机制构建方案，说明如下。

1) 网络安全的日常管理：在校园网的关键部分加强网络安全的日常管理，使日志检查、漏洞扫描、系统升级、病毒防御等工作制度化、常规化，尽量减少因管理员疏忽等主观因素而引起的安全事件。建立责任追究制度，强化网络管理人员的责任心。

2) 网络安全应急小组：接收并处理来自用户的安全突发事件，NetFowl等流量分析的异常报告、入侵检测系统的入侵警告和日常管理中的安全事件报告。通过分析调查，决定采取相应的应急处理措施，如系统隔离、事件跟踪、漏洞修补、安全策略调整、系统恢复和统计报告等等。同时为广大用户提供各种安全服务，如安全咨询、安全教育和安全工具等等。

6 小结

网络安全是当前校园网建设和应用的焦点问题，本文从技术和管理层面深入地讨论了安全校园网系统的建设问题。在技术层面上，需要根据校园网应用的不同，划分不同的安全等级区域，并针对各个区域的应用需求进行安全设计；在管理层面上，特别强调建立网络安全管理及应急响应机制，保障网络管理的规范化、制度化，提高网络安全管理能力。

参考文献：

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.网络安全体系结构[M].江魁,译.北京:人民邮电出版社,2005.

[3] 连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.

第2篇：网络安全应急响应服务方案范文

事件发生以来，业界反应极为迅速，一批网络安全企业和科研单位通过官方网站和社交媒体等多种渠道，不断更新威胁动态，共享技术情报，及时技术保护措施和应对方案；政府部门和专业机构也及时公告和处置指南，增进了社会公众的关注度，加强了对基本防护信息的认知，降低了本次事件的影响程度。由于各方应对及时，“永恒之蓝”勒索蠕虫爆发在5月13日达到高峰后，感染率快速下降，周一上班并未出现更大规模的爆发，总体传播感染趋势得到快速控制。事件过后，对网络安全行业敲响了警钟，也有必要对这次事件进行经验总结，现将对勒索蠕虫病毒事件的一些思考分享出来。

“永恒之蓝”事件回溯

2017年4月期间，微软以及国内的主要安全公司都已经提示客户升级微软的相关补丁修复“永恒之蓝”漏洞，部分IPS技术提供厂商也提供了IPS规则阻止利用“永恒之蓝“的网络行为；（预警提示）

2017年5月12日下午，病毒爆发；（开始）

2017年5月12日爆发后几个小时，大部分网络安全厂商包括360企业安全、安天、亚信安全、深信服等均发出防护通告，提醒用户关闭445等敏感端口；（围堵）

2017年5月13日，微软总部决定公开已停服的XP特别安全补丁；国内瑞星、360企业安全、腾讯、深信服、蓝盾等均推出病毒免疫工具，用于防御永恒之蓝病毒；（补漏）

2017年5月13日晚，来自英国的网络安全工程师分析了其行为，注册了MalwareTech域名，使勒索蠕虫攻击暂缓了攻击的脚步；（分析）

2017年5月15日，厂商陆续“文件恢复”工具，工作机制本质上是采用“删除文件”恢复原理/机制，即恢复“非粉碎性删除文件”；（删除文件恢复）

2017年5月20日，阿里云安全团队推出“从内存中提取私钥”的方法，试图解密加密文件；生效的前提是中毒后电脑没重启、中毒后运行时间不能过长（否则会造成粉碎性文件删除）；（侥幸解密恢复）

2017年5月20日之后，亚信安全等网络安全公司推出基于该病毒行为分析的病毒防护工具，用于预防该病毒变种入侵；（未知变种预防）

2017年6月2日，国内网络安全企业找到了简单灵活的、可以解决类似网络攻击（勒索病毒）方法的防护方案，需要进一步软件开发。

事件处理显示我国网络安全能力提升

（一）网络安全产业有能力应对这次“永恒之蓝”勒索蠕虫事件

早在4月15日，NSA泄漏“永恒之蓝”利用工具，国内不少主力网络安全企业就针对勒索软件等新安全威胁进行了技术和产品的准备，例如深信服等部分企业就提取了“永恒之蓝”的防护规则，并部分升级产品，还有部分企业识别并提前向客户和社会了预警信息，例如，在这次事件爆发时，亚信安全等网络安全企业保证了客户的“零损失”。

事件发生后，国内网络安全企业积极行动，各主要网络安全企业都进行了紧急动员，全力应对WannaCry/Wcry等勒索病毒及其种的入侵，帮助受到侵害的客户尽快恢复数据和业务，尽量减少损失。同时，也积极更新未受到侵害客户的系统和安全策略，提高其防护能力。360企业安全集团、安天等公司及时病毒防范信息，并持续更新补丁工具。此次“永恒之蓝” 勒索蠕虫被迅速遏制，我国网络安全企业发挥了重要作用，帮助客户避免被病毒侵害而遭受损失，帮助受到感染的客户最大限度地减少损失。

（二）网络安全防护组织架构体系科学、组织协调得力

随着《中国人民共和国网络安全法》的颁布实施，我国已经初步建立了一个以网信部门负责统筹协调和监督管理，以工信、公安、保密等其他相关部门依法在各自职责范围内负责网络安全保护和监督管理工作的管理体系。既统筹协调、又各自分工，我国的网络安全管理体系在应对此次事件中发挥了重要作用。

依照相关法律规范，在有关部门指导下，众多网信企业与国家网络安全应急响应机构积极协同，快速开展威胁情报、技术方案、通道、宣传资源、客户服务等方面的协作，有效地遏制住了事态发展、减少了损失。

安全事件暴露出的问题

（一）网络安全意识不强，对安全威胁（漏洞）重视不够

4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。

针对此次泄露的漏洞，微软提前了安全公告 MS17-010，修复了泄露的多个 SMB 远程命令执行漏洞。国内网络安全厂商也提前了针对此次漏洞的安全公告和安全预警。但是国内大部分行业及企事业单位并没有给予足够的重视，没有及时对系统打补丁，导致“永恒之蓝”大范围爆发后，遭受到“永恒之蓝”及其变种勒索软件的攻击，数据被挟持勒索，业务被中断。

在服务过程中发现，大量用户没有“数据备份”的习惯，这些用户遭受“永恒之蓝”攻击侵入后，损失很大。

（二）安全技术有待提高（安全攻防工具）

继2016年8月份黑客组织 Shadow Brokers 放出第一批 NSA“方程式小组”内部黑客工具后，2017年4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一个攻击框架和多个Windows 漏洞利用工具。攻击者利用这些漏洞可以远程获取 Windows 系统权限并植入后门。

目前，我国在网络安全攻防工具方面的研发与欧美国家相比还存在较大差距，我国在网络安全漏洞分析、安全防护能力上需进一步加强。勒索蠕虫入侵一些行业和单位表明不少单位的安全运维水平较低。

实际上，防御这次勒索蠕虫攻击并不需要特别的网络安全新技术，各单位只需要踏踏实实地做好网络安全运维工作就可以基本避免受到侵害。具体而言，各单位切实落实好安全管理的基础性工作――漏洞闭环管理和防火墙或网络核心交换设备策略最小化就可以基本防御此次安全事件。

在漏洞管理中运用系统论的观点和方法，按照时间和工作顺序，通过引入过程反馈机制，实现整个管理链条的闭环衔接。也就是运用PDCA的管理模式，实现漏洞管理中，计划、实施、检查、改进各工作环节的衔接、叠加和演进。要尽力避免重发现、轻修复的情况出现。及时总结问题处置经验，进行能力和经验积累，不断优化安全管理制度体系，落实严格、明确的责任制度。需要从脆弱性管理的高度，对系统和软件补丁、配置缺陷、应用系统问题、业务逻辑缺陷等问题进行集中管理。通过这些规范、扎实的工作，切实地提升安全运维能力。

基础工作做到位，防护能力确保了，可以有效避免大量网络安全事件。

对提升网络安全防护能力的建议

（一）完善隔离网的纵深防御，内网没有免死金牌！

这次事件的爆发也反映出不少行业和单位的网络安全管理意识陈旧落后。部分决策者和运维管理人员盲目地认为网络隔离是解决安全问题最有效的方式，简单地认为只要采取了隔离方案就可以高枕无忧。一些单位在内网中没有设置有效的网络安全防护手段，一旦被入侵，内网可谓千疮百孔、一泻千里。部分单位的内网甚至还缺乏有效的集中化管理手段和工具，对于网络设备、网络拓扑、数据资产等不能够实现有效的统一管理，这给系统排查、业务恢复、应急响应都带来了很大的困难，也大幅度地增加了响应时间和响应成本。这次事件中一些使用网络隔离手段的行业损失惨重，这种情况需要高度警醒。

在4・19重要讲话中专门指出：“‘物理隔离’防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。”

一定要破除“物理隔离就安全”的迷信。随着IT新技术的不断涌现和信息化的深入发展，现实中的网络边界越来越模糊，业务应用场景越来越复杂，IT 系统越来越庞大，管理疏忽、技术漏洞、人为失误等都可能被利用，有多种途径和方法突破隔离网的边界阻隔。网络隔离不是万能的，不能一隔了之，隔离网依然需要完善其纵深防御体系。

在网络安全建设和运营中，一定要坚持实事求是的科学精神。在全社会，特别是在政府、重点行业的企事业单位各级领导应树立正确的网络安全观仍是当今重要的紧迫工作。

（二）强化协同协作，进一步发挥国家队的作用

面对日益复杂的网络空间安全威胁，需要建立体系化的主动防御能力，既有全网安全态势感知和分析能力，又有纵深的响应和对抗能力。动态防御、整体防御才能有效地应对未知的安全威胁。体系化能力建设的关键在于协同和协作，协同协作不仅仅是在网络安全厂商之间、网信企业之间、网络安全厂商与客户之间、网信企业与专业机构之间，国家的相关部门也要参与其中。国家的相关专业机构，如国家互联网应急中心（CNCERT）等应在其中承担重要角色。

在安全事件初期，各种信息比较繁杂，并可能存在不准确的信息。建议国家信息安全应急响应机构作为国家队的代表，在出现重大安全事件时，积极参与并给出一个更独立、权威的解决方案，必要时可以购买经过验证的第三方可靠解决方案，通过多种公众信息平台，免费提供给社会，以快速高效地应对大规模的网络攻击事件。

（三）进一步加强网络安全意识建设和管理体系建设

三分技术、七分管理、十二分落实。安全意识和责任制度是落的基本保障。

加强网络安全检查机制。加强对国家关键基础设施的安全检查，特别是可能导致大规模安全事件的高危安全漏洞的检查。定期开展网络安全巡检，把网络安全工作常态化。把安全保障工作的重心放在事前，强化网络安全运营的理念和作业体系，把网络安全保障融入到日常工作和管理之中。

采用科学的网络安全建设模型和工具，做好顶层设计，推进体系化和全生命周期的网络安全建设与运营。尽力避免事后打补丁式的网络安全建设模式，把动态发展、整体的网络安全观念落实到信息化规划、建设和运营之中。

安全建设不要仅考虑产品，同时要重视制度、流程和规范的建设，并要加强人的管理和培训。

加强网络安全意识教育宣传。通过互联网、微信、海报、报刊等各种形式的宣传，加强全民网络安全意识教育的普及与重视。在中小学普及网络安全基础知识和意识教育。借助“国家网络安全宣传周”等重大活动，发动社会资源进行全民宣传教育，让“网络安全为人民、网络安全靠人民”的思想深入人心。

（四）进一步加强整体能力建设

切实落实“4・19讲话”精神，加快构建关键信息基础设施安全保障体系，建立全天候全方位感知网络安全态势的国家能力与产业能力，增强网络安全防御能力和威慑能力。不仅要建立政府和企业网络安全信息共享机制，同时要积极推进企业之间的网络安全信息共享，探索产业组织在其中能够发挥的积极作用。

加强网络安全核心技术攻关。针对大型网络安全攻击，开发具有普适性的核心网络安全关键技术，例如可以有效防御各类数据破坏攻击（数据删除、数据加密、数据修改）的安全技术。

完善国家网络安全产业结构。按照国家网络安全战略方针、战略目标，加强网络某些安全产品（安全检测、数据防护等）的研发。

加强网络安全高端人才培养。加强网络安全高端人才培养，特别是网络安全管理、技术专家培养，尤其是网络安全事件分析、网络安全应急与防护，密码学等高级人才的培养。

加强网络安全攻防演练。演练优化安全协调机制，提高安全技能和安全应急响应效率。

（五）加强对网络安全犯罪行为的惩罚

第3篇：网络安全应急响应服务方案范文

[关键词]电子政务；信息安全

随着计算机网络技术和Internet技术的飞速发展和广泛应用，电子政务在政府实际工作中已经发挥了越来越重要的作用。由于电子政务的业务范围包括政府机关内部的信息，也包括机关内部部门之间一定范围内交流的信息，还包含可以公开的信息。因此如何保证这种基于网络的、符合Intenet技术标准的、面向政府机关内部和社会公众提供信息服务和信息处理的系统安全、正常运转，是电子政务建设的关键。

一、电子政务的安全架构

由于电子政务中的部分信息涉及国家秘密、国家安全，因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向，是为社会提供行政监管的渠道，为社会提供公共服务，同时又需要一定程度的开放。所以，解决电子政务安全问题应从物理安全设计、网络安全设计、信息安全管理等多角度、全方位考虑。

二、系统设计安全

1．物理层安全解决方案：自然环境事故，电源故障，人为操作失误或错误，电磁干扰，线路截获等，都可以对信息系统的安全构成威胁，因此，如何保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安，全设计应从环境安全、设备安全、线路安全三个方面来考虑。采取的主要措施包括：机房屏蔽，电源接地，布线隐蔽，传输加密。另外，根据中央保密委有关文件规定，凡是计算机同时具有内网和外网的应用需求，必须采取网络安全隔离技术，在计算机终端安装隔离卡，使内网与外网之间从根本上实现物理隔离，防止信息通过外网泄漏。

2．数据链路层安全解决方案：主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网，从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。

3．网络层安全解决方案：①防火墙技术建议：防火墙是实现网络信息安全的最基本设施，采用包过滤或技术使数据有选择的通过，有效监控内部网和外部网之间的任何活动，防止恶意或非法访问，保证内部网络的安全。②入侵检测技术(IDS)建议：IDS是近年出现的新型网络安全技术，通过从计算机网络系统中若干关键节点收集信息并加以分析，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，它能提供安全审计、监视、攻击识别和反攻击等多项功能，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等，是安全防御体系的一个重要组成部分。

4．应用层安全解决方案：根据电子政务专用网络的业务和服务内容，采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络系统在应用层的安全。①身份认证技术：公共密钥基础设施(简称PKl)是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构，正是由于它的存在，才能在电子事务处理中建立信任和信心。PKI可以做到：确认发送方的身份；保证发送方所发信息的机密性；保证发送方所发信息不被篡改；发送方无法否认已发该信息的事实。公钥基础设施是电子政务在技术上和法规上最重要的基础设施之一，它以公开密钥技术为基础，以数据机密性、完整性、身份认证和行为的不可否认为安全目的。从电子政务的发展看，为了确保政务的安全可靠运行和政府通信的保密和安全，应该由政府来规划和组建专门为政府部门服务的“证书管理机构”。②防病毒技术：计算机病毒对电子政务系统安全威胁很大。但是一般情况，病毒总有一段时间的潜伏期。如果在其发作之前，就采取了清除措施，则可以避免或减少危害。所以发现病毒是关键。对于电子政务系统维护人员，应树立“预防为主，治预结合”安全防范意识。

5．系统层安全解决方案：系统层安全主要包括两个部分：操作系统安全以及数据库安全。操作系统是电子政务的基础平台，应根据计算机系统评级准则要求，对操作系统安全加固，提高操作系统的安全级别。对于重要的应用信息系统和数据库系统，除了对操作系统加固外，还应将数据库系统和应用系统加固，这样整个信息系统的安全性才有比较根本的保障。对于操作系统的安全防范，可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置；关闭一些不常用却存在安全隐患的应用；对一些保存有用户信息及其口令的关键文件如UNIX下的etc/host、shadow、group等，Windows NT下的SAM、LMHOST的使用权限进行严格限制；加强口令编排的保密性；及时给系统打补丁；配备操作系统安全扫描系统，并及时升级系统。

数据库管理系统应具有如下能力：自主访问控制(DAC)：用来决定用户是否有权访问数据库对象；验证：保证只有授权的合法用户才能注册和访问；授权：对不同的用户访问数据库授予不同的权限；审计：监视各用户对数据库施加的动作；数据库管理系统应能够提供与安全相关事件的审计能力。

6．应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备份，一旦信息网络出现意外事故，将对长期积累的网络信息造成灾难性损失，并且会束手无策。所以，要尽快建立网络安全管理中心和数据备份中心，健全灾难恢复与紧急响应机制，加强管理，确保信息网络的数据安全和运行安全。建立电子政务网络安全事件预警与应急响应体系，通过整体部署入侵检测与预警系统作为有效的技术手段，建立以客户安全队伍为基础、技术服务队伍为后备的组织管理、预案流程、制度规范等综合措施，以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认，并对其进行响应，以降低可能造成的风险和损失的综合安全体系。

综上所述，由于电子政务的最终目标是建设政府办公自动化、面向决策支持、面向公众服务的资源共享的综合信息系统，它涉及诸多方面，包括技术、设备、各类人员、管理制度、法律等，需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列的保护措施。应该坚持“安全为先，应用为本，整体规划、稳步发展”的思路，推进我国电子政务健康、有序发展。

参考文献：

[1]邓长春．浅谈网络信息安全面临的问题

和对策[J]．网络天地，2005，(7)．

[2]刘洋．浅谈信息安全[J]．科技咨询导报，

2007，(8)．

[3]冯卓，任然． 信息安全的现阶段问题分

析与发展动向[J]． 安全与环境学报，

2007，(4)．

[4]段海新，吴建平． 计算机网络安全体系

第4篇：网络安全应急响应服务方案范文

关键词：计算机 网络 安全 隐患 应急响应 技术

中图分类号：TN711 文献标识码：A 文章编号：

1.计算机网络安全隐患因素

1.1 由于计算机网络的犯罪过程是极易进行操作的，它并不会受到地点、时间以及条件的限制，只是通过网络进行诈骗，而实施这种网络威胁的活动具有很强的隐蔽性，也是简单易施的一种方法，可以应用较低的成本从而得到较高的效润。此外，网络空间也具有异地性和虚拟性等一些相应的特征，并且在很大程度上也增加了犯罪的机率。当前，由于全球都受到了经济危机的重要影响，这就给网络犯罪提供了一个良好的机会，促使这种犯罪快速的发展、增长，给社会造成了巨大的经济损失。

1.2通过实践证明，病毒从编写，到传播的速度，再到出售的过程当中，其病毒的产业链已经开始快速的互联网化了。在公安部的调查过程中发现，一般计算机病毒会显现出非常活跃的一种态势，而互联网当中的木马传播则是最为主要的一种传播方式。此外，当前的计算机病毒以及木马程序等都已经绕过的一些较为安全杀毒系统的查杀或者是被发现威胁的能力，而这些病毒破坏安全系统的能力却越来越强了，由此可见，目前计算机网络受到潜在威胁的情况是非常严重了。

1.3 在一些企业单位中，对内部威胁没有一个足够的认识，也并没有对计算机网络做好防范的安全措施，这就给内部的网络安全造成事故的发生，并存在上升的趋势，所以，网络的内部威胁也是比较严重的一个安全隐患。当网络安全的策略显现出不能执行或者是未知的情况下，其用户如果应用不安全的网站，或者是点击电子邮件当中的非法链接，也并没有对数据进行加密处理等一些防患行为，这些漏洞都会给非法分子造成可乘之机。人员的移动性在随着不断的变化当中，所应用的未加密设备也会给网络发展存在很大的风险。此外，在现阶段，由于会存在一机两用的情况，或者存在一机多用的情况出现，无形中在计算机内网和外网之间就会出现频繁的切换，从而给病毒传播以及泄密信息的机率则会大大提高。

2.安全防范策略

2.1在设置网络的安全系统当中，免疫墙和防火墙是确保网络自身不会受到破坏以及侵入安全设备的保护装置，然而这二者在应用的过程当中所起到的作用却有所不同。由于防火墙的应用主要就是在内网与外网之间，或者是公网与专网之间在边界上对其构建一个屏障，从而确保其内部网不会受到非法侵入。但免疫墙主要是由电脑的终端、服务器、网关以及免疫协议的硬软件来组成的，而对于内网的管理以及安全防范措施等方案，主要是来自于内部的攻击保护以及防御。由于防火墙主是应用于有服务器的对外信息，或者是储存重要信息的场合来应用。而免疫墙则是进行管理内网时应用的，比如卡滞、掉线等一些相关问题。因此，对于企业网络的安全来讲，免疫墙与防火墙都要各尽其责，也是缺一不可的防患措施。

2.2由于网络安全管理指的就是要在所有网络的应用体系当中对其每个方面的产品技术都要进行统一协调和管理，并且要从整体上来提高计算机网络系统的防御能力，可以抵抗恶意攻击的能力。我们在考察内部网络是否安全时，它不能只看技术手段，而是应该全面的，更加具有综合性的进行观察，并采取相应的措施，注重提高人员的管理素质，因此，安全是源于管理的，也是从管理当中获取安全的。

2.3目前，随着网络系统漏洞不断的在曝光，也不断的被黑客常常利用，所以就必须要及时的堵住漏洞，从而提高网络的安全性。对此，在使用计算机的过程当中，必须要及时的对程序安装补丁，这是非常好的一种提高网络安全的手段。而对于系统本身所出现的漏洞，则可以对其安装一些软件补丁，做好防范措施。此外，作为网络管理员也应当对其做好防范工作，保管好管理员的账户，以提高计算机的网络安全性。

3.网络安全应急响应

3.1应急响应的对象

计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标，可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为。

3.2应急响应内容

应急响应的活动应该主要包括两个方面：第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以安全通告的方式进行的预警、以及各种防范措施；第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

3.3计算机网络安全响应技术

3.3.1. 网络防欺诈技术。网络陷阱及诱骗技术是近期发展起来的一种网络安全动态防护技术，它通过一个精心设计的、存在明显安全弱点的特殊系统来诱骗攻击者，将黑客的入侵行为引入一个可以控制的范围，消耗其资源，了解其使用的方法和技术，追踪其来源，记录其犯罪证据。不但可研究和防止黑客攻击行为，增加攻击者的工作量和攻击复杂度，为真实系统做好防御准备赢得宝贵时间，还可为打击计算机犯罪提供举证。

3.3.2. 数据控制技术。是指对蜜罐系统的 连接控制和路由控制。防火墙实现边接控制；允许所有外部数据包进入蜜罐，但对蜜罐主机的对外边接进行追踪限制；路由器实现路由控制；防止基于蜜罐主机 IP 的跳转攻击。数据控制的关键是必须在黑客没的察觉的情况下监视并控制所有进出蜜罐的数据流量。

3.3.3. 数据捕获。是指获取入侵者的活动信息，如攻击者键盘操作、屏幕信息以及曾使用过的工具等。并分析攻击者所要进行的下一步活动。难点在于如何获取尽可能多的数据而又不让攻击者发觉。捕获到的数据也不能存放在蜜罐主机上，应进行异地存储。实现这些要求的关键是分层捕获数据。首先是通过防火墙来实现数据捕获，这层主要是对出入蜜罐系统的网络连接进行日志记录。其次是由入侵检测系统来实现，这层主要是捕获所有系统日志、用户击键序列和屏幕显示等。这些数据通过网络传送到远程日志服务器上，防止黑客销毁证据。

结语：

计算机的网络发展，是建立在安全性与开放性基础之上的，但其本身却是存在矛盾的，从根本上并不能进行良好的调和，此外，由于在网络系统中会存在很多未知威胁因素，比如技术安全或者是人为因素造成的安全隐患，因此计算机网络是很难实现对其本身进行保护的。网络的健康发展需要依靠技术，但最关键的一点还是要通过良好的内部管理以及详细的安全策略来解决。

参考文献：

[1]杨峥.浅谈计算机网络信息与安全的防护策略[J].计算机光盘软件与应用，2011（5）.

第5篇：网络安全应急响应服务方案范文

关键词：医院信息标准化建设；网络安全；管理体系

由于信息化技术的日益发展，很多医疗信息系统都在发展过程中进行了优化，大大推动了医疗诊断技术水平的提升，使诊断工作更为精细化，有效提升了员工绩效水平和医疗工作的整体品质。与此同时，其复杂性也在日益提高，使得医院安全问题凸显，同时面临多种恶意软件入侵，对医院网络产生了重大的负面影响。因此，在技术水平达标的同时，还需要人工操作来确保网络的安全。2018年4月，国务院印发《国务院关于推进“推进互联网在线医药卫生”发展的意见》，提出各类医疗机构今年要逐步完善和继续完善“互联网医疗卫生体系”，发展在线医疗，提高医院管理水平。通过《国务院关于推进“推进互联网在线医药卫生”发展的意见》宣告了“互联网医疗健康”安全时代的正式到来。以国家标准2.0级网络防护工程为指导，遵循“一个中心、三个防护”防护工程的基本理念，从安全信息管理服务中心体系建设工作开始，并初步构建了医院网络安全三级防护管理体系，以有效迎接新网络时代的安全管理挑战，确保“互联网健康”，医院安全信息化体系建设稳步健康有序发展。

1医院信息标准化建设中网络安全管理体系建设的重要原因探析

患者只需在线注册、就诊、付款、入住和离开医院即可完成医疗流程。此外，信息化体系建设还可以有效提高医务人员的日常工作效率，降低医务人员的劳动强度，为患者及时提供便捷高质量的基本医疗健康服务。从各级医院的财务角度看，医院财务信息化体系建设不仅可以有效提高各级医院财务管理水平，密切各直属科室之间的协作关系，为加强医院医务档案管理进行信息化、财务管理和物资管理工作创造条件，降低医院的商业保险和运营成本，提高医院的整体效益。网络安全管理体系主要是广泛指负责管理网络系统安全管理策略、安全动态计算网络环境、安全网络区域活动限制和安全网络通信等网络安全防护机制的管理平台或服务区域。过去，医院率先采取了“被动防御”安全战略，并针对安全网络威胁不断采取了安全防护控制措施，缺乏安全统一规划和安全集中管理。安全信息资源综合使用管理效率低，对安全威胁的监测反应慢，难以建立形成有效的安全威胁防护管理体系。随着我国医院安全信息化体系建设的不断发展，各种新信息技术的不断推广和医院互联网服务的不断普及，医院必然需要自主开发一套能够适应当前网络健康管理时代的网络安全管理系统。

2医院信息标准化建设中网络安全管理体系建设遇到的问题

2.1缺乏统一标准和依据

医院信息化建设具有高度的系统性和复杂性，需要各部门密切配合，对医院进行统一规划，明确每一步的建设目标。但是，从医院信息化建设的现状来看，对医院的实际发展缺乏重视，在投入之前没有充分考虑到医院的长远发展目标。另外，信息化建设没有统一的规则，影响了信息化建设的工作，对新项目的实施也有一定的影响，造成了资源的浪费。

2.2网络安全性较低

医院的网络安全的问题往往是高度复杂动态的，将对医院领导和安全系统运营人员产生重要直接影响。此外，还有一些新型网络安全病毒和一些黑客在网络安全应用方面的潜在问题。虽然很多大型医院都已经采取了一些相应的技术措施手段来彻底解决这些安全问题，但由于医疗软件技术能力较差、技术水平不过关等因素，并没有有效地解决这些网络安全上的问题。

3网络安全管理体系建设原则

从医院建设安全网络管理信息中心的总体目标要求出发，在国家标准2.0级网络防护的技术指导下，结合自身医院网络安全管理工作实践经验，医院首先明确了以下网络安全管理原则：①安全管理与网络技术支持并重，同时合理规划医院建设安全管理体系和网络技术支持能力，用安全管理体系建设指导网络技术支持能力体系建设，用网络技术支持能力建设确保安全管理体系的有效实施。②集中控制安全能力和分散安全管理权限，整合安全人力资源，提高安全管理效率，注重员工建立准确识别和有效消除快速安全网络威胁的管理能力；通过集中的人力资源综合管理和权力控制，分散对上级行政部门权力的管理限制，以及通过依靠集中审计行政能力控制来有效降低医院员工违法越权的安全风险。基于上述安全原则，医院已已经开始对公司现有的医院网络安全保障管理能力系统和网络技术支持管理能力体系进行不断改造和升级完善。

4网络安全管理体系建设标准

建立安全管理中心的前提是医院应有一套合法、兼容、可行的安全管理体系。通过验证基本2.0级防护要求，结合医院自身的安全管理经验，并将实施能力作为重要标准考虑在内，建立2.0级安全管理体系框架，以确保管理体系的管理方向和可行性。为便于实施，医院将管理体系文件分为4个层次。一级安全文件根据有关国家安全法律法规、相关安全行业政策法规和公立医院安全管理要求，确定医院总体上的网络安全保障政策和发展策略，在此基础上研究构建公立医院第三级安全网络管理体系，定义全球安全要求，并在安保管理、人员管理、资产管理、安保大楼管理和维护以及应急支持管理的组织中建立安全标准。辅助文档中的信息总量，更新和调整物理安全要求、政策和政策，以应用于特定领域。二级安全操作和维护系统，规定了适用于文件安全系统维护和维护管理第一级操作和操作的安全要求，并规定了操作和禁止规则。三级规范文件要求是具体的企业工作人员操作管理规范，以便于确保操作人员的实际操作管理效果能够满足您的预期，并减少故障和其他行为造成的潜在安全风险。例如，确定您的服务器安全技术增强（windowsserversecuritymanual）的项目操作步骤和项目实施经验效果，并及时制定技术要求以便于确保您的服务器安全满足特定项目安全要求，并制定安全增强管理体系安全增强基础的各项相关技术要求。四级文件是用于数据筛选、跟踪和分析的安全操作管理记录，为了减少操作和维护人员的工作量，提高时尚管理的效率，节省纸张，医院开始尝试非常规检查表。四层文件管理体系四级文件管理体系有效提高了人民医院安全生产管理体系的工作灵活性和市场适应性：第一层体系决定了整体网络安全政策和策略以及其他体系制定的方向。二级管理体系手册侧重于对个别具体管理问题的有效管理，根据实际需要进行制定，具有较强的基本相关性和实际适用性，确保一级管理体系的基本灵活性和实际适应性；第三方操作手册特别注重管理细节和长期实施，可根据长期实施管理效果反复迭替换代，这些都是我们确保一级管理体系长期实施管理效果的最终重要目的；四级注册表格针对医院在建立管理体系时，特别注重对人员安全风险的管理和控制，建立持续改进管理体系的能力。成立了“网络和信息安全委员会”，作为主要决策机构。根据网络标准2.0要求，管理员职位分为3个职能：系统管理员、审核管理员和安全管理员。医院和外部员工通过一系列系统文件进行标准化。合同检查员工的安全日常行为，并初步确定合同员工的安全和财产保密管理责任；同时提出关于修订企业管理体系目标评审和上层建筑管理要求的具体要求，建立促进管理体系建设持续完善改进的长效机制，确保稳定性，实施安全管理体系的灵活性和能力，并明确各级修订和审查体系文件的要求。

5网络安全技术能力建设

在安全维护管理体系中心建设的基础上，医院已经开始研究建设安全技术管理能力，以便于满足安全维护管理系统中心的要求。医院作为一个安全系统管理区域，安全维护管理系统中心负责系统的安全管理操作、维护和监督管理。因此，建立安全维护管理体系中心的主要目标是建立一个完全具有高度完善集中控制管理能力的安全维护管理域。安全维护管理区域主应负责执行包括收集和管理综合安全管理数据、运行安全设备以及安全维护和监督管理整个医院网络的安全任务，为整个医院网络过程提供必要的医院网络安全基础硬件设施和安全维护服务，以及足够的自我保护能力，以确保自身在网络中的安全，避免对重要的安全、审计和管理服务造成损害。由于原有医院网管区域具有一定的集中控制能力，医院在现有网管区域的基础上，采用以下方式完成安全管理建设技术能力。

5.1终端网络保护

前端计算机通信系统的网络终端担保是整个网络敏感区域的一个核心。其终端主要是连接内联网和连接外联网之间的网络连接，负责从敏感区的核心节点发送数据，仅易受攻击。因此，通常可以为每个主机66学术论坛/AcademicForum系统部署一个安全网络管理文件系统。为了提高主机服务器系统的网络安全级别。可以从根本上对来自网络连接终端的安全攻击进行免疫，并在它们已经进入安全下一阶段之前预先阻止。

5.2区域网络运维安全设计

（1）建立检测网络安全漏洞的系统。通过自动部署互联网络检测安全漏洞，检测中心系统人员可以24h时间扫描和自动检测指定区域内的互联网。对系统性能进行安全特性评估，实现技术、管理、安全防护的有效集成。为全球用户同时使用各种区域性的网络服务降低安全风险，并提供强有力的网络技术支持。（2）创建审核和运维系统。通过对网络安全管理设备、网络安全管理设备、应用管理系统、安全事件等网络日志相关信息数据进行全面的网络日志相关信息分析收集和日志相关性信息分析，管理者不仅可以通过搜索和实时分析日常网络使用中的记录，正确维护日志数据，定义日志审核设备，方便员工随时查看，并随时跨平台监控整个数据中心的安全状态。（3）建立完整的微观分析和深度流量跟踪系统。通过自动建立完整的用户微观数据分析和用户深度风险流量检测跟踪分析系统，可以实时部署专门的高标准风险流量检测分析平台，准确快速收集用户流量，进行深度恢复和全面分析。为了在大量会话流量中快速发现这些隐藏的整个会话进程行为，挖掘这些可能使其隐藏的潜在危险，提供会话进程的所有数据审计处理能力，并不断提高其进程追踪和对攻击源的预测能力。

5.3整合现有安全资源

医院将在保障自身安全和区域安全管理的基础上，转移现有的保障功能，包括资源，非病毒系统、维持和平行动管理系统和安全系统纳入安全管理领域。此外，通过研究在服务区内设立专用安全通道和具体的基础设施安全设施，优化全市安全设施功能整合，注重安全设施综合利用，减少不必要的安全设备，提高安全设备维护和安全系统运行效率，完成对全市现有安全防护体系的综合优化。

5.4优化集中控制

在完善现行安全监管制度的基础上，该院先后研发了航站楼和门诊部的安全监控和安全管理系统，为弥补医院现有综合门诊终端保障体系的不足，对医院基础设施进行集中控制和建设，以及医院管理系统的现有背景操作和系统维护，抗病毒防御系统与医院客户犯罪风险检查系统密切配合。因此，集中审计和宣传系统完成了建立集中管理和维护系统进行审计和宣传的任务。预防和控制覆盖整个医院网络的信息资源。

6医院构建网络安全管理体系

为有效适应未来最严峻的网络安全发展形势，医院还对各级应急保障体系进行了修订。新的应急支持系统由两部分组成：综合计划和专项计划。总体实施计划详细规定了医院应急救援支持的主要组织职能结构，确定了医院事件预警分类管理标准，并详细规定了事件预警和应急响应工作程序、物资供应支持、培训和其他一般工作规定：为特定类型的紧急情况和医院系统的关键系统制定详细的应急和应急方案服务按照“目标选择、非目标选择、综合规划”的医院应急救援管理机制可以确保，使医院应急系统人员在统一系统的技术指导下，能够有效应对网络上的各种突发事件。以安全网络管理中心为工作起点，对信息网络保护系统进行了升级，提高了风险信息的准确性，与公立医院安全信息网络资源管理、网络资源安全风险管理及威胁有关，建立安全网络。然后，在发展安全管理能力的基础上，围绕“响应性”完善安全运行体系建设，提高响应速度和应对网络安全威胁的能力。在技术上，尝试将连接机制引入安全体系，开发建设“主动防护、动态防护、全局防护、精确防护”的网络安全防护体系，紧跟医院信息“医疗卫生互联网”建设步伐在网络时代，促进了医院网络安全建设的发展。

参考文献：

[1]胡列伦,李倩.医院信息化建设中网络安全保护研究[J].中国宽带,2021(07):31.

[2]龚克.分析医院信息化建设中网络安全保护方案设计[J].数码设计(上),2021,10(06):18.

[3]詹振坤.医院信息化建设中计算机网络安全管理与维护工作思考[J].无线互联科技,2021,18(10):25-26.

[4]巫新玲,李文侠.人工智能下医院网络安全信息化的建设路径探索[J].大众标准化,2021(11):182-184.

[5]廖文韬.医院信息化建设中的网络安全体系建构[J].电脑编程技巧与维护,2021(07):163-164.

[6]刘小洲,黄桂新,张武军,等.现代医院管理制度下的医院信息化建设推进机制探讨[J].现代医院,2018,18(03):368-371.

[7]姜涛.宁夏医科大学总医院医院集团信息化建设优化[D].银川:宁夏大学,2014.

[8]谢言.国家扶贫开发工作重点县中医医院信息化建设现状调查及影响因素分析[D].武汉:湖北中医药大学,2013.

[9]张宇.医院信息化建设改革实证研究[D].南昌:南昌大学,2012.

第6篇：网络安全应急响应服务方案范文

关键词： 安全隐患； 全网动态安全体系模型； 信息安全化； 安全防御

中图分类号：TP393 文献标志码：A 文章编号：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

随着现代校园网接入互联网以及各种应用急剧增加，在享受高速互联网带来无限方便的同时，我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程，必须要对现代校园网进行全方位多层次安全分析，综合运用先进的安全技术和产品，制定相应的安全策略，建立一套深度防御体系[1]，以自动适应现代校园网的动态安全需求。

1 现代校园网络的安全隐患分析

现代校园网作为信息交换平台重要的基础设施，承担着教学、科研、办公等各种应用，信息安全隐患重重，面临的安全威胁可以分为以下几个层面。

⑴ 物理层的安全分析：物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏，造成现代校园网不能正常运行。在考虑现代校园网安全时，首先要考虑到物理安全风险，它是整个网络系统安全的前提保障。

⑵ 网络层的安全分析：网络层处于网络体系结构中物理层和传输层之间，是网络入侵者进入信息系统的渠道和通路，网络核心协议TCP/IP并非专为安全通信而设计，所以网络系统存在大量安全隐患和威胁。

⑶ 系统层的安全分析：现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性，并且当今漏洞被发现与漏洞被利用之间的时间差越来越小，这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。

⑷ 数据层的安全分析：数据审计平台的原始数据来源各种应用系统及设备，采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集，采用多种方式和被收集设备进行数据交互，主要面临着基于应用层数据的攻击。

⑸ 应用层的安全分析[2]：为满足学校教学、科研、办公等需要，在现代校园网中提供了各层次的网络应用，用户提交的业务信息被监听或篡改等存在很多的信息安全隐患，主机系统上运行的应用软件系统采购自第三方，直接使用造成诸多安全要素。

⑹ 管理层的安全分析：人员有各种层次，对人员的管理和安全制度的制订是否有效，影响由这一层次所引发的安全问题。

⑺ 非法入侵后果风险分析：非法入侵者一旦获得对资源的控制权，就可以随意对数据和文件进行删除和修改，主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。

2 现代校园网安全APPDRR模型提出

全网动态安全体系模型[3]（APPDRR）从建立全网自适应的、动态安全体系的角度出发，充分考虑了涉及网络安全技术的六方面，如风险分析（Analysis）、安全策略（Policy）、安全防护（Protection）、安全检测（Detection）、实时响应（Response）、数据恢复（Recovery）等，并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示，该模型紧紧围绕安全策略构建了五道防线：第一道防线是风险分析，这是整体安全的前提和基础；第二道防线是安全防护，阻止对现代校园网的入侵和破坏；第三道防线是安全监测，及时跟踪发现；第四道防线是实时响应，保证现代校园网的可用性和可靠性；第五道防线是数据恢复，保证有用的数据在系统被入侵后能迅速恢复，并把灾难降到最低程度。

3 现代校园网主流网络信息安全化的技术研究

为了保护现代校园网的信息安全，结合福建农业职业技术学院网络的实际需求，现代校园网信息中心将多种安全措施进行整合，建立一个立体的、完善的、多层次的现代校园网安全防御体系，主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等，如图2所示。

3.1 加解密技术

现代校园网中将部署各种应用系统，许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性，需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。

3.2 防火墙技术

防火墙技术是网络基础设施必要的不可分割的组成元素，是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则，对进出内外网之间的信息数据流进行监测、限制和过滤，只允许匹配规则的数据通过，并能够记录相关的访问连接信息、通信服务量以及试图入侵事件，以便管理员分析检测、迅速响应和反馈调整。

3.3 防病毒系统

抗病毒技术可以及时发现内外网病毒的入侵和破坏，并通过以下两种有效的手段进行相应地控制：一是有效阻止网络病毒的广泛传播，采用蜜罐技术、隔离技术等；二是杀毒技术，使用网络型防病毒系统进行预防、实时检测和杀毒技术，让现代校园网系统免受其危害。

3.4 虚拟专用网

虚拟专用网（全称为Virtual Private NetWork，简称VPN）指的是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展，由若干个不同的站点组成的集合，一个站点可以属于不同的VPN，站点具有IP连通性，VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率，而且学校各校区间的连接更加灵活。只要能够上网，各校区均可以安全访问到主校区网。使用VPN数据加密传输，保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有：①数据链路层有PPTP、L2F和L2TP；②网络层有GRE、IPSEC、 MPLS和DMVPN；③应用层有SSL。

3.5 入侵防护技术

入侵防护技术包含入侵检测系统（IDS）和入侵防御系统（IPS）。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为，并能对此及时作出防控。IDS不仅能够检测未授权对象（人或程序）针对系统的入侵企图或行为，同时能监控授权对象对系统资源的非法操作，提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和及时响应），提高现代校园网基础结构的完整性。

3.6 身份认证系统

现代校园网殊部门（如档案、财务、招生等）要建设成系统。要采用身份认证系统[5]，应建立相应的身份认证基础平台，加强用户的身份认证，防止对网络资源的非授权访问以及越权操作，加强口令的管理。

3.7 数据备份系统

在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段，可保证在灾难突发时，系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份，备份策略采用完全备份与增量备份相结合的方式。

3.8 预警防控系统

现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级，严格履行国家标准的信息安全管理制度，构建现代校园网统一的安全管理与监控机制，能实行现代校园网统一安全配置，调控多层面分布式的安全问题，提高现代校园网的安全预警能力，加强对现代校园网应急事件的处理能力，切实建立起一个方便快捷、安全高效的现代校园网预警防控系统，实现现代校园网信息安全化的可控性。

4 现代校园网络安全问题的解决方案

通过对现代校园网主流网络信息安全化技术的深入研究，针对现代校园网的安全隐患，提出现代校园网络安全问题的各层解决方案。

⑴ 物理层安全：主要指物理设备的安全，机房的安全等，包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。

⑵ 网络层安全：针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分，并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6]，采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。

⑶ 系统层安全：现代校园网管理平台的主机选择安全可靠的操作系统，采取以下技术手段进行安全防护：补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。

⑷ 数据层安全：主要使用数据库审计系统进行监控管理，对审计记录结果进行保存，检索和查询，按需审计；同时还能够对危险行为进行报警及阻断，并提供对数据库访问的统计和分析，实现分析结果的可视化，能够针对数据库性能进行改进提供参考依据。

⑸ 应用层安全：应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密，并通过审计和记录机制，确保服务请求和资源访问的防抵赖。

⑹ 管理层安全：现代校园网应依法来制订安全管理制度，提供数据审计平台。一方面，对站点的访问活动进行多层次的记录，及时发现非法入侵行为。另一方面，当事故发生后，提供黑客攻击行为的追踪线索及破案依据，实现对网络的可控性与可审查性。

5 构筑现代校园网的整体安全防御体系

现代校园网络安全问题的各层解决方案综合应用到实际工作环境中，在配套安全管理制度规范下[7]，现代校园网可实现全方位多层次的信息安全化管理，配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系，可有效防范、阻止和切断各种入侵者，构筑现代校园网的整体安全屏障。

6 结束语

信息安全化是现代校园网实施安全的有效举措，并建立一套切实可行的现代校园网络安全保护措施，提高现代校园网信息和应急处置能力，发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素，时时威胁现代校园网的健康发展，要至始至终保持与时俱进的思想，适时调整相应的网络安全设备。

参考文献（Reference）：

[1] [美]Sean Convery著，王迎春，谢琳，江魁译.网络安全体系结

构[M].人民邮电出版社，2005.

[2] Cbris McNab著，王景新译.网络安全评估[M].中国电力出版

社，2006.

[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学

位论文，2010.

[4] Teare D.著，袁国忠译.Cisco CCNP Route学习指南[M].北京

人民邮电出版社.2011.

[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].

电子科技大学硕士学位论文，2015.5.

[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术，

2012.11.

第7篇：网络安全应急响应服务方案范文

【关键词】 企业局域网；信息安全；管理制度

随着企业科学管理水平的提高，企业管理信息化越来越受到企业的重视。企业ERP（企业资源计划）系统、企业电子邮局系统和OA办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。企业局域网与国际互联网（Internet）联接，形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时，也面临着外部环境――国际互联网的种种危险。如病毒，黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题。

1.网络安全及影响网络安全的因素

网络安全一直都是困扰企业用户的一道难题，影响企业局域网的稳定性和安全性的因素是多方面的，主要表现在以下几个方面：

1.1外网安全。骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。

1.2内网安全最新调查显示。在受调查的企业中60%以上的员工利用网络处理私人事务对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业局域网络资源、并引入病毒和间谍.或者使得不法员工可以通过网络泄漏企业机密。

1.3内部网络之间、内外网络之间的连接安全。随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享.又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作。

2.企业局域网信息安全风险

随着企业局域网应用的增加，很大的提高了企业的生产率，同时企业对局域网的依赖也越来越强。很多企业局域网一旦中断，整个业务都将陷入瘫痪。实际使用中企业局域网信息安全面临着多种多样的挑战，主要的安全风险可以归结为以下几类：

2.1 主动网络攻击。来自对企业有恶意的实体对企业局域网发动的主动的网络攻击。恶意的实体包括有商业竞争的对手公司，企业内部有仇恨情绪的员工，甚至对企业持不满态度的顾客等，出于获得不当利益或报复情绪都可能对企业网络进行破坏与窃密。另外还有一类可能本身与企业没有直接利益关系的群体，他们试网通过对企业局域网的入侵或攻击来证明其个人价值、使用企业内部信息牟取非法利益更或者通过攻击企业局域网进行网络敲诈。

2.2 病毒木马的扩散。如今的计算机网络世界，病毒和木马泛滥，每一天都会有成千上百种病毒或者木马产生。而在很多企业局域网中，安全技术力量不足，信息安全管理松散、员工安全意识淡薄等问题广泛存。随着企业局域网与网外数据交流联系日益紧密.病毒木马更容易在企业局域网内传播并造成危害，严重时甚至有可能造成整个企业网络的中断，导致企业业务不可用。病毒木马扩散类安全风险，危害方式多种多样，技术特性发展变化迅速、危害多发易发、后果可轻可重。

2.3 非技术安全风险。非技术安全风险是指诸如员工误操作、偶然事故等造成的企业局域网信息安全风险。由于日前企业员工普遍存在安全知识缺乏、安全意识薄弱、偶尔操作过程不够谨慎仔细，很可能造成误操作或信息泄漏。偶然事故类则包含软硬件设施的偶然故障，电力供应中断，网络服务线路故障等等。

3.企业的网络安全技术防护体系

主要包括入侵检测系统、漏洞扫描系统、病毒防护、防火墙、认证系统和网络行为监控等几大安全系统。

3.1 入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系，同时采用基于网络和基于主机的入侵检测系统，在重要的服务器上（如WEB服务器，邮件服务器，协同办公服务器等）安装基于主机的入侵检测系统，对该主机的网络实时连接以及系统审计日志进行智能分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。

3.2漏洞扫描系统。解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

3.3病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系。特别是针对重要的网段和服务器。要进行彻底堵截。

3.4 防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界，从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙，它只允许与屏蔽子网中的应用服务器有关的数据包通过，其他所有类型的数据包都被丢弃，从而把外界网络对屏蔽子网的访问限制在特定的服务器的范围内，保证内部网络的安全。

3.5认证系统。比如网络内应使用固定IP、绑定MAC地址；结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度，未经过安全认证的计算机不能接人企业局域网络。

4.企业局域网安全管理措施

虽然先进完善的网络安全技术保护体系，如果日常的安全管理跟不上，同样也不能保证企业网络的绝对安全，一套完整的安全管理措施是必不可缺少的。

4.1为了避免在紧急情况下预先制定的安全体系无法发挥作用时，应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门，事先做好多级的安全响应方案，才能在企业网络遇到毁灭性破坏时将损失降低到最低，并能尽快恢复网络到正常状态；

4.2对各类恶意攻击要有积极的响应措施，并制定详尽的入侵应急措施以及汇报制度。发现入侵迹象，尽力定位入侵者的位置，如有必要，断开网络连接在服务主机不能继续服务的情况下，应该有能力从备份磁盘中恢复服务到备份主机上。

4.3扎实做好网络安全的基础防护工作，建立完善的日志监控措施，加强日志记录，以报告网络的异常以及跟踪入侵者的踪迹。

第8篇：网络安全应急响应服务方案范文

关键词：网络与信息；安全；体系；模型

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2012）18-0158-02

0 引言

信息与网络安全体系整体安全模型：网络与信息安全是一个以全面安全策略为核心不断循环的动态闭环。参考国内外各种模型，结合我校实际情况，提出如下模型（图1）。

1 信息与网络安全策略

安全策略是一套既定的规则，信息安全所有行为必须遵循此套规则，其制定必须紧密结合用户信息系统的功能和运作以及信息管理策略，具体来说必须遵循以下五个原则：需求、风险和代价三者平衡原则；综合性、整体性和一致性原则；易操作性原则；适应性和灵活性原则；多重保护原则。

制定好的安全策略必须先进行详细的资产调查、威胁评估、风险评估，再根据评估结论，制定符合适合本单位安全策略。因为安全策略的核心地位，所以必须在整个安全体系运转时动态调整，以期更准确、更安全。

信息与网络安全策略制定后，网络与信息安全专责（策略的制定者）、计算机信息运行专责（执行者）和业务使用者（最终用户）在系统运行过程中要各司其职，分工协作，确保整个安全策略有效实施。

2 安全保护

2.1 身份认证系统 当前常用的“用户名＋口令”的身份认证方式，安全性非常弱，用户名和口令易被窃取。建议采用动态密码系统，其由用户端的密码令牌和应用系统端的认证服务器组成。用户登录应用系统时，依据安全算法，认证系统会在密码令牌的专用芯片和认证服务器上同时生成动态密码，若双方密码相同，则为合法用户，否则为非法用户。用户登录前，只要根据令牌上显示的当前动态密码，再加上一个个人识别码登录即可。每个认证令牌拥有特定的键值，正是基于这一种子和某一功能强大的随机运算法则，在每分钟都会生成一个唯一与该身份认证令牌对应的新密码；在用户与认证值组合中，只有服务器能够分辨该时刻哪一个密码合法。

2.2 加密（数据加密与通信加密） 虚拟专用网（VirtualPrivate Network，VPN）运用于：本校与县级电大之间的Intranet VPN；校信息网与远程（移动）人员之间的远程访问（Remote Access）VPN；VPN是集合了数字加密验证和授权来保护经过INTERNET的信息的技术。它可以在远程用户和本信息系统网络之间建立一个安全管道。

2.3 备份与容灾 对于一些关键部门，比如教务系统的数据中心，只有本地数据备份是远远不够的。这些关键业务对数据的可用性要求极高，数据的丢失或损坏都会造成无法弥补的损失；当数据中心被突发因素破坏时，比如火灾、地震、爆炸，要求在远程有数据的备份并能在短时间内恢复业务的运行。这就是容灾解决方案要解决的问题。

灾难备份是为在数据生产中心现场整体发生瘫痪故障时，备份中心以适当方式接管工作，从而保证业务连续性的一种解决方案。目前使用基于网络的容灾方案。

通过在存储交换网络中接入虚拟化存储管理平台进行存储设备之间的数据复制它的优点是：①支持异构存储系统；②不消耗主机资源；③支持任意数量的主机；④减少管理成本；⑤可以基于IP或者FC链路。

2.4 边界防护 必须建立以防火墙为核心的边界防护体系。防火墙是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部地结构、信息和运行情况，以此来实现内部网络地安全保护。

但在边界处只部属防火墙，无法阻止来自正常开放端口的病毒、木马、蠕虫、间谍软件、黑客攻击等恶意的网站威胁和基于内容的威胁。应在边界处（特别在Internet边界）部属类似于Secure Web Gateway(SWG)的邮件、WEB网关设备及IPS等设备。

我校信息网络现在与省校之间采用防火墙进行安全隔离，按照最小化原则开放最少的端口；切断原先与旧校区的物理连接；在Internet边界处安装邮件网关，对邮件病毒进行有效清除。并规定所有外网与校信息网的的业务接入，必须报批信息中心，并在连接边界安装符合相关规定的防火墙，才能投入使用。

2.5 防病毒 病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面利用病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力，形成基于网络的病毒防治体系。

网络病毒发现及恶意代码过滤技术能对疫情情况进行统计分析，能主动对INTERNET中的网站进行病毒和病毒源代码检测；可利用静态的特征代码技术和动态行为特征综合判定未知病毒。

2.6 用户桌面安全 保证终端节点安全是整个安全体系中最基础、最易被忽视的一环。为此必须做到以下几点：资产管理、桌面防病毒与反间谍软件、桌面补丁管理、违规外联自动阻断、桌面主机防火墙、主机入侵防护，接入强制认证等功能。

3 监测与应急响应与事故恢复

安全监控和审计在信息安全防范体系中是重要环节，在这一环节中要注意以下两个方面。

3.1 入侵检测系统：它是防火墙的合理补充，应部署在所有网络边界处和重要网段入口处。它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从网络系统中的若干关键点收集信息，并分析是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

3.2 应急响应与事故恢复：在发现入侵行为后，要及时切断入侵、抵抗攻击者的进一步破坏行动，作出及时准确的响应。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，使用完善备份与容灾机制，将损失降至最低。

4 系统漏洞检测与安全评估软件

系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞；安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测，其主要是系统提供的网络应用和服务及相关的协议分析和检测。

系统漏洞检测与安全评估软件完成的任务：

对网络的拓扑结构和环境的变化必须进行定期的分析，并且及时调整安全策略；

定期分析有关网络设备的安全性，检查配置文件和日志文件；

定期分析操作系统和应用软件，一旦发现安全漏洞，应该及时修补；

检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否可以抗击有关攻击，从而判定系统的安全风险。

5 安全信息管理与安全加固

5.1 信息安全工作重在管理 安全管理工作涉及：安全策略管理、业务流程管理、应用软件开发管理、操作系统管理、网络安全管理、应急备份措施、运行流程管理、场所管理、安全法律法规的执行等等，其中，安全策略管理是首要工作。

5.2 安全加固 除了根据安全评估结果增加必要的投入外，必须对现有的安全设施与系统进行加固。用户桌面系统，操作系统，数据库系统，应用系统，网络设备，安全设备与系统必然存在各式的漏洞，应及时不断跟踪各类产品产家的漏洞，及时发现潜在的威胁，并进行漏洞修补，它将帮助保护您的计算机免受恶意攻击。如微软操作系统的Microsoft Update会在计算机运行并连接至Internet 时自动下载并安装最新的Windows安全更新。

总之，网络与信息安全体系是一个有机、动态的整体，要建立相对完善的网络与信息安全体系，必须做到：体系整体动态地循环，根据不断变化的软、硬件环境，各个组成部分有机地交互，不断地调整，不断提高本身的自适应性，以适应新的应用环境。

参考文献：

[1]羊兴.网络信息安全技术及其应用.科技创新导报，2009（08）.

第9篇：网络安全应急响应服务方案范文

【关键词】 网络 信息 安全 防范

Abstract ： The paper mainly discusses the network information security.

1.网络安全的含义

1.1含义 网络安全是指：为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时，能使网络得到保护，正常运行。

它具有三方面内容：①保密性：指网络能够阻止未经授权的用户读取保密信息。②完整性：包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。③可用性：指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。

1.2特征 网络安全根据其本质的界定，应具有以下基本特征：①机密性：是指信息不泄露给非授权的个人、实体和过程，或供其使用的特性。②完整性：是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性：是指授权的用户能够正常的按照顺序使用的特征，也就是能够保证授权使用者在需要的时候可以访问并查询资料。

2.网络安全现状

网络目前的发展已经与当初设计网络的初衷大相径庭，安全问题已经摆在了非常重要的位置上，安全问题如果不能解决，会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性，例如网络的互联性，共享性，开放性等，现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻，不法分子的手段越来越先进，系统的安全漏洞往往给他们可趁之机，因此网络安全的防范措施要能够应付不同的威胁，保障网络信息的保密性、完整性和可用性。

3.网络安全解决方案

要解决网络安全，首先要明确实现目标：①身份真实性：对通信实体身份的真实性进行识别。②信息机密性：保证机密信息不会泄露给非授权的人或实体。③信息完整性：保证数据的一致性，防止非授权用户或实体对数据进行任何破坏。④服务可用性：防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性：建立有效的责任机智，防止实体否认其行为。⑥系统可控性：能够控制使用资源的人或实体的使用方式。⑦系统易用性：在满足安全要求的条件下，系统应该操作简单、维护方便。⑧可审查性：对出现问题的网络安全问题提供调查的依据和手段。

4.如何保障网络信息安全

网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术：

4.1防病毒技术。病毒因网络而猖獗，对计算机系统安全威胁也最大，做好防护至关重要。应采取全方位的企业防毒产品，实施层层设防、集中控制、以防为主、防杀结合的策略。

4.2防火墙技术。通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

4.3入侵检测技术。入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控，从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动；系统构造和弱点审计；识别反映已进攻的活动规模并报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

4.4安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合，对网络安全的提高非常有效。通过对系统以及网络的扫描，能够对自身系统和网络环境有一个整体的评价，并得出网络安全风险级别，还能够及时的发现系统内的安全漏洞，并自动修补。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，做到防患于未然。

4.5网络安全紧急响应体系。网络安全作为一项动态工程，意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略，并及时组建网络安全紧急响应体系，专人负责，防范安全突发事件。

4.6安全加密技术。加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

小结