網(wǎng)絡安全常識精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L格的5篇網(wǎng)絡安全常識，期待它們能激發(fā)您的靈感。

篇1

關(guān)鍵詞：計算機 網(wǎng)絡安全 問題 措施

中圖分類號：TU2文獻標識碼：A文章編號：1672-3791(2012)03(a)-0000-00

隨著科學技術(shù)的不斷進步，計算機迅速進入大眾的各個生活領(lǐng)域，涉及到人們生活的方方面面，計算機網(wǎng)絡技術(shù)的不斷進步一方面豐富了人們的日常生活內(nèi)容，提高了人們的生活質(zhì)量，把人們帶入到全新的科技時代中，另一方面也隨之帶來了很多的問題，如病毒泛濫，黑客猖獗，青少年過早沉迷網(wǎng)絡等等，這些網(wǎng)絡問題的存在，不僅影響到人們的日常生活，也破壞了社會的穩(wěn)定，影響到和諧社會的建設，因此解決計算機網(wǎng)絡安全問題迫在眉睫，必須引起大家的足夠重視。

1 計算機網(wǎng)絡安全面臨的隱患

計算機網(wǎng)絡安全發(fā)生頻率高，來源廣泛，自然因素和人為因素都有可能造成計算機的各種網(wǎng)絡安全問題的產(chǎn)生，在使用計算機的過程當中，很容易出現(xiàn)軟件漏洞、硬件故障等一系列的物理性安全威脅，人為因素包括操作失誤、黑客攻擊等，另外，在使用計算機的過程當中也有可能產(chǎn)生一些意外事故，比如自然災害對計算機也能夠造成一定的威脅，我們主要從計算機安全問題的物理威脅、技術(shù)隱患、用戶自身缺陷以及人為惡意攻擊四個方面來分析計算機網(wǎng)絡安全的常見問題。

(1)物理威脅。物理威脅能夠直接影響到計算機的設備安全，是保障計算機信息安全的基礎，主要分為三種類型，第一種類型主要包括計算機自身的設備故障，出現(xiàn)物理性的損壞以及自然災害等；第二種類型是指痕跡泄露和電磁輻射；第三種類型是指用戶在使用過程中操作不當以致出現(xiàn)的一系列操作失誤。

(2)技術(shù)隱患。計算機的技術(shù)隱患是引發(fā)計算機網(wǎng)絡安全問題的主要因素，也是對計算機網(wǎng)絡安全影響最為嚴重的問題，技術(shù)隱患能夠直接導致計算機網(wǎng)絡系統(tǒng)的崩潰，對計算機的安全問題產(chǎn)生很大的破壞影響。操作系統(tǒng)多自帶一些特定的應用程序，這些程序一方面便于用戶操作，一方面又存在一定的安全隱患，一旦系統(tǒng)自帶的操作系統(tǒng)存在安全隱患，就會使整個的系統(tǒng)處于危險狀態(tài)，因此用戶在使用計算機之初就必須對計算機操作系統(tǒng)做一個準確的認識和了解。其次，網(wǎng)絡協(xié)議也存在一定的安全隱患，我們現(xiàn)在使用的Internet系統(tǒng)使用的協(xié)議是TCP/IP協(xié)議，這項協(xié)議具有簡單、操作性強等特點，它的功能在于傳輸信息，這項協(xié)議在設計的時候由于沒有充分考慮到維護計算機網(wǎng)絡安全問題，因此其本身就存在著一定的缺陷，攻擊者通常會利用TCP/IP協(xié)議的缺陷來攻擊計算機網(wǎng)絡，造成嚴重的計算機安全隱患。另外，程序員在編程時如果不能充分考慮計算機應用軟件的存在缺陷，就會很容易造成計算機應用軟件的使用缺陷，比較鮮明的例子是黑客攻擊，黑客一旦使用錯誤程序進行非法操作，就有可能獲取用戶操作系統(tǒng)的用戶使用權(quán)限，其結(jié)果是相當危險的。

(3)用戶自身隱患。如果用戶對計算機的操作和網(wǎng)絡管理缺乏常識，不懂得如何保護自己的網(wǎng)絡安全，又沒有強烈的安全保護意識，在使用操作系統(tǒng)的過程中就很有可能無意識地給網(wǎng)絡攻擊者提供破壞網(wǎng)絡安全的機會，主要包括用戶的密碼可能被破解、網(wǎng)絡系統(tǒng)不完整備份等安全隱患。因此操作者在使用計算機網(wǎng)絡時，應該了解基本的計算機網(wǎng)絡安全保護的常識性知識，加強自己的防范意識，不給攻擊者破壞網(wǎng)絡安全的機會。

(4)人為的惡意攻擊。人為的惡意攻擊是計算機網(wǎng)絡安全問題面臨的最嚴重威脅，例如計算機犯罪就屬于人為惡意攻擊的一種主要形式，惡意攻擊以各種不同的方式破壞計算機網(wǎng)絡信息的完整性和有效性，在不影響計算機網(wǎng)絡正常運行的情況下，破譯或截取計算機用戶的各種重要信息，人為的惡意攻擊是當前計算機網(wǎng)絡面臨的最大敵人，對計算機的網(wǎng)絡安全造成了極大的威脅和危害，我們必須采取相應的措施嚴厲打擊計算機人為惡意攻擊的現(xiàn)象。

2 應對計算機網(wǎng)絡安全問題的具體策略

面對目前計算機網(wǎng)絡出現(xiàn)的大量問題，我們必須采取有效的措施進行抵制，不僅要保護網(wǎng)絡信息的安全性，同時要加強對整個信息系統(tǒng)和操作系統(tǒng)的保護，提高檢測系統(tǒng)入侵的能力以及被入侵后系統(tǒng)的快速恢復能力，加強對整個網(wǎng)絡系統(tǒng)安全的保障功能。

(1)國家制定相應的法律法規(guī)。國家必須在保護計算機網(wǎng)絡安全的問題上起到帶頭作用，制定相應的法律法規(guī)，以法律的形式約束不法分子的行為，制定相應的網(wǎng)絡安全管理辦法和標準，使社會對網(wǎng)絡不法分子的犯罪行為有法可依，規(guī)范網(wǎng)絡行為，保障用戶有一個安全可靠的網(wǎng)絡使用環(huán)境。

(2)企事業(yè)單位實行嚴格的網(wǎng)絡管理。企事業(yè)單位以及各個網(wǎng)絡使用機構(gòu)必須制定有效的網(wǎng)絡安全管理條例，加強自身的內(nèi)部管理，加強網(wǎng)絡安全隱患的防范意識，建立有效的網(wǎng)絡安全保護系統(tǒng)，保障用戶的信息安全。

3、加強技術(shù)支持。各個網(wǎng)絡使用機構(gòu)必須增強網(wǎng)絡安全威脅的防范意識，加強用戶和系統(tǒng)管理員的技術(shù)含量，各級部門在使用計算機網(wǎng)絡時，做好對計算機的開機毒查，學會及時備份數(shù)據(jù)，掌握應用密碼技術(shù)、數(shù)據(jù)庫的備份和恢復等專業(yè)技術(shù)知識，提高網(wǎng)絡反病毒的能力和技術(shù)，建立安全的網(wǎng)絡操作環(huán)境。

結(jié)語：維護計算機的網(wǎng)絡安全意義重大，在這項復雜的工程當中，我們必須不斷地學習，不斷地深入研究，制定正確有效的防范措施和問題解決措施，做好計算機網(wǎng)絡的安全管理工作和技術(shù)指導工作，國家必須制定有效的法律法規(guī)，加強立法、執(zhí)法的力度，強化對計算機網(wǎng)絡的安全保護。各個用戶必須認清計算機網(wǎng)絡系統(tǒng)的脆弱性，了解計算機網(wǎng)絡存在的潛在威脅，提高自己的安全防范意識，實施有力的安全措施，保障計算機網(wǎng)絡的安全性。

參考文獻

[1]. 余偉. 計算機網(wǎng)絡安全問題剖析[J]. 電腦知識與技術(shù). 2009.(21)

[2]. 萬松. 計算機網(wǎng)絡安全問題剖析[J]. 華章. 2010.(33)

[3]. 王健. 計算機網(wǎng)絡安全問題剖析[J]. 數(shù)學學習與研究(教研版). 2009.(14)

[4]. 段新穎. 淺談計算機網(wǎng)絡安全問題[J]. 科技致富向?qū)? 2010.(12)

[5]. 李樹田. 計算機中數(shù)據(jù)備份與恢復之我見[J]. 電腦知識與技術(shù). 2010.(05)

篇2

3月25日，山石科技公司在北京高調(diào)亮相，宣布攜全新的防火墻及路由器等網(wǎng)絡安全設備以及全新的領(lǐng)導班子，全面進軍中國的信息安全市場。

這一舉措不同尋常的地方在于，目前國內(nèi)的信息安全市場，尤其是防火墻、路由器領(lǐng)域，已經(jīng)處于充分的競爭狀態(tài)，前有思科、Juniper、H3C等老牌的網(wǎng)絡設備廠商虎踞龍盤、后有天融信、啟明星辰、聯(lián)想網(wǎng)御等一大批新興的國內(nèi)信息安全品牌在虎口奪食，市場競爭異常殘酷激烈。熟知這一切的鄧鋒為什么在這種背景下選擇了以這種產(chǎn)品重新切入安全市場？

據(jù)任山石科技董事長的鄧鋒介紹，風投看中的三個主要因素是：人、人、人。現(xiàn)任山石科技公司總裁兼CEO的童建，是鄧鋒在NetScreen公司一起工作了10多年的同事，在后被Juniper收購的NetScreen公司中，一直擔任技術(shù)研發(fā)總裁的職位，有很強的技術(shù)背景。此外，他認為，山石公司目前并不是只推防火墻一種產(chǎn)品，而是同時推路由器等設備，形成一套“安全+網(wǎng)絡”的整體方案，以應對目前的安全環(huán)境。“現(xiàn)在的市場雖然競爭激烈，但比當初NetScreen公司推防火墻時更有優(yōu)勢，因為我們不必要教育市場什么是防火墻了。”他說。

篇3

關(guān)鍵詞：網(wǎng)絡安全；異常檢測；方案

網(wǎng)絡安全事件異常檢測問題方案，基于網(wǎng)絡安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡安全異常事件檢測模式，提出網(wǎng)絡頻繁密度概念，針對網(wǎng)絡安全異常事件模式的間隔限制，利用事件流中滑動窗口設計算法，對網(wǎng)絡安全事件流中異常檢測進行探討。但是，由于在網(wǎng)絡協(xié)議設計上對安全問題的忽視以及在管理和使用上的不健全，使網(wǎng)絡安全受到嚴重威脅。本文通過針對網(wǎng)絡安全事件流中異常檢測流的特點的探討分析，對此加以系統(tǒng)化的論述并找出合理經(jīng)濟的解決方案。

1、建立信息安全體系統(tǒng)一管理網(wǎng)絡安全

在綜合考慮各種網(wǎng)絡安全技術(shù)的基礎上，網(wǎng)絡安全事件流中異常檢測在未來網(wǎng)絡安全建設中應該采用統(tǒng)一管理系統(tǒng)進行安全防護。直接采用網(wǎng)絡連接記錄中的基本屬性，將基于時間的統(tǒng)計特征屬性考慮在內(nèi)，這樣可以提高系統(tǒng)的檢測精度。

1.1網(wǎng)絡安全帳號口令管理安全系統(tǒng)建設

終端安全管理系統(tǒng)擴容，擴大其管理的范圍同時考慮網(wǎng)絡系統(tǒng)擴容。完善網(wǎng)絡審計系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)的部署，采用高新技術(shù)流程來實現(xiàn)。采用信息化技術(shù)管理需要帳號口令，有效地實現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng)，對所有帳號口令進行統(tǒng)一管理，做到職能化、合理化、科學化。

信息安全建設成功結(jié)束后，全網(wǎng)安全基本達到規(guī)定的標準，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也到位和正規(guī)化。此時進行安全管理建設，主要完善系統(tǒng)體系架構(gòu)圖編輯，加強系統(tǒng)平臺建設和專業(yè)安全服務。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權(quán)管理、審計管理，本階段可以考慮成立安全管理部門，聘請專門的安全服務顧問，建立信息安全管理體系，建立PDCA機制，按照專業(yè)化的要求進行安全管理通過系統(tǒng)的認證。

邊界安全和網(wǎng)絡安全建設主要考慮安全域劃分和加強安全邊界防護措施，重點考慮Internet外網(wǎng)出口安全問題和各節(jié)點對內(nèi)部流量的集中管控。因此，加強各個局端出口安全防護，并且在各個節(jié)點位置部署入侵檢測系統(tǒng)，加強對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡邊界隔離、網(wǎng)絡邊界入侵防護、網(wǎng)絡邊界防病毒、內(nèi)容安全管理等。

1.2綜合考慮和解決各種邊界安全技術(shù)問題

隨著網(wǎng)絡病毒攻擊越來越朝著混合性發(fā)展的趨勢，在網(wǎng)絡安全建設中采用統(tǒng)一管理系統(tǒng)進行邊界防護，考慮到性價比和防護效果的最大化要求，統(tǒng)一網(wǎng)絡管理系統(tǒng)是最適合的選擇。在各分支節(jié)點交換和部署統(tǒng)一網(wǎng)絡管理系統(tǒng)，考慮到以后各節(jié)點將實現(xiàn)INITERNET出口的統(tǒng)一，要充分考慮分支節(jié)點的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡管理系統(tǒng)，可以實現(xiàn)對內(nèi)部流量訪問業(yè)務系統(tǒng)的流量進行集中的管控，包括進行訪問控制、內(nèi)容過濾等。

網(wǎng)絡入侵檢測問題通過部署UTM產(chǎn)品可以實現(xiàn)靜態(tài)的深度過濾和防護，保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動態(tài)變化的，因此采用深度檢測和防御還不能最大化安全效果，為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進行動態(tài)的檢測，實時發(fā)現(xiàn)其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監(jiān)控，通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn)，從而提高安全維護人員的預警能力。

1.3防護IPS入侵進行internet出口位置的整合

防護IPS入侵進行internet出口位置的整合，可以考慮將新增的服務器放置到服務器區(qū)域。同時在核心服務器區(qū)域邊界位置采用入侵防護系統(tǒng)進行集中的訪問控制和綜合過濾，采用IPS系統(tǒng)可以預防服務器因為沒有及時添加補丁而導致的攻擊等事件的發(fā)生。

在整合后的internet邊界位置放置一臺IPS設備，實現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務系統(tǒng)的特點，為了更好地對各種服務器進行集中防護和監(jiān)控，將各種業(yè)務服務器進行集中管控，并且考慮到未來發(fā)展需要，可以將未來需要新增的服務器進行集中放置，這樣我們可以保證對服務器進行同樣等級的保護。在接入交換機上劃出一個服務器區(qū)域，前期可以將已有業(yè)務系統(tǒng)進行集中管理。

2、科學化進行網(wǎng)絡安全事件流中異常檢測方案的探討

網(wǎng)絡安全事件本身也具有不確定性，在正常和異常行為之間應當有一個平滑的過渡。在網(wǎng)絡安全事件檢測中引入模糊集理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來，采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常模式時必須盡可能多得對網(wǎng)絡行為進行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

2.1基于網(wǎng)絡安全事件流中頻繁情節(jié)方法分析

針對網(wǎng)絡安全事件流中異常檢測問題，定義網(wǎng)絡安全異常事件模式為頻繁情節(jié)，主要基于無折疊出現(xiàn)的頻繁度研究，提出了網(wǎng)絡安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法，該方法中針對事件流的特點，提出了頻繁度密度概念。針對網(wǎng)絡安全異常事件模式的時間間隔限制，利用事件流中滑動窗口設計算法。針對復合攻擊模式的特點，對算法進行實驗證明網(wǎng)絡時空的復雜性、漏報率符合網(wǎng)絡安全事件流中異常檢測的需求。

傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法，將網(wǎng)絡屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正常或異常略微偏離其規(guī)定的范圍，系統(tǒng)就會做出錯誤的判斷。在基于網(wǎng)絡安全事件流中頻繁情節(jié)方法分析中，建立網(wǎng)絡安全防火墻，在網(wǎng)絡系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護屏障。針對事件流的特點，利用事件流中滑動窗口設計算法，采用復合攻擊模式方法，對算法進行科學化的測試。

2.2采用系統(tǒng)連接方式檢測網(wǎng)絡安全基本屬性

在入侵檢測系統(tǒng)中，直接采用網(wǎng)絡連接記錄中的基本屬性，其檢測效果不理想，如果將基于時間的統(tǒng)計特征屬性考慮在內(nèi)，可以提高系統(tǒng)的檢測精度。網(wǎng)絡安全事件流中異常檢測引入數(shù)據(jù)化理論，將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來，采用設計化的關(guān)聯(lián)算法來挖掘網(wǎng)絡行為的特征，從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中，在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡行為進行全面的描述，其中包含出現(xiàn)頻率高的模式，也包含低頻率的模式。

在網(wǎng)絡安全數(shù)據(jù)集的分析中，發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏，這意味著對于一個特定的定量屬性，其取值可能只包含它的定義域的一個小子集，屬性值分布也趨向于不均勻。這些統(tǒng)計特征屬性大多是定量屬性，傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間，然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法，這樣做會產(chǎn)生明顯的邊界問題，如果正常或異常略微偏離其規(guī)定的范圍，系統(tǒng)就會做出錯誤的判斷。網(wǎng)絡安全事件本身也具有模糊性，在正常和異常行為之間應當有一個平滑的過渡。

另外，不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同，某些攻擊會產(chǎn)生大量的連續(xù)記錄，占總記錄數(shù)的比例很大，而某些攻擊只產(chǎn)生一些孤立的記錄，占總記錄數(shù)的比例很小。針對網(wǎng)絡數(shù)據(jù)流中屬性值分布，不均勻性和網(wǎng)絡事件發(fā)生的概率不同的情況，采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)。實驗結(jié)果證明，設計算法的引入不僅可以提高異常檢測的能力，還顯著減少了規(guī)則庫中規(guī)則的數(shù)量，提高了網(wǎng)絡安全事件異常檢測效率。

2.3建立整體的網(wǎng)絡安全感知系統(tǒng)，提高異常檢測的效率

作為網(wǎng)絡安全態(tài)勢感知系統(tǒng)的一部分，建立整體的網(wǎng)絡安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率，解決傳統(tǒng)流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡的netflow數(shù)據(jù)流采用，基于高位端口信息的分布式異常檢測算法實現(xiàn)大規(guī)模網(wǎng)絡異常檢測。

通過網(wǎng)絡數(shù)據(jù)設計公式推導出高位端口計算結(jié)果，最后采集局域網(wǎng)中的數(shù)據(jù)，通過對比試驗進行驗證。大規(guī)模網(wǎng)絡數(shù)據(jù)流的特點是數(shù)據(jù)持續(xù)到達、速度快、規(guī)模宏大。因此，如何在大規(guī)模網(wǎng)絡環(huán)境下進行檢測網(wǎng)絡異常并為提供預警信息，是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù)，提出了一個大規(guī)模網(wǎng)絡數(shù)據(jù)流頻繁模式挖掘和檢測算法，根據(jù)“加權(quán)歐幾里得”距離進行模式匹配。

實驗結(jié)果表明，該算法可以檢測出網(wǎng)絡流量異常。為增強網(wǎng)絡抵御智能攻擊的能力，提出了一種可控可管的網(wǎng)絡智能體模型。該網(wǎng)絡智能體能夠主動識別潛在異常，及時隔離被攻擊節(jié)點阻止危害擴散，并報告攻擊特征實現(xiàn)信息共享。綜合網(wǎng)絡選擇原理和危險理論，提出了一種新的網(wǎng)絡智能體訓練方法，使其在網(wǎng)絡中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型，表明網(wǎng)絡智能體模型能夠更好的保障網(wǎng)絡安全。

結(jié)語：

伴隨著計算機和通信技術(shù)的迅速發(fā)展，伴隨著網(wǎng)絡用戶需求的不斷增加，計算機網(wǎng)絡的應用越來越廣泛，其規(guī)模也越來越龐大。同時，網(wǎng)絡安全事件層出不窮，使得計算機網(wǎng)絡面臨著嚴峻的信息安全形勢的挑戰(zhàn)，傳統(tǒng)的單一的防御設備或者檢測設備已經(jīng)無法滿足安全需求。網(wǎng)絡安全安全檢測技術(shù)能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡安全狀況，并對安全狀況的發(fā)展趨勢進行預測和預警，為增強網(wǎng)絡安全性提供可靠的參照依據(jù)。因此，針對網(wǎng)絡的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡安全領(lǐng)域的熱點。

參考文獻：

[1]沈敬彥.網(wǎng)絡安全事件流中異常檢測方法[J].重慶師專學報，2000，(4).

篇4

鑒于此，新一代網(wǎng)絡安全平臺設計思路不僅要考慮不斷增加的網(wǎng)絡流量，還需呼應網(wǎng)絡無所不在的趨勢。一方面順應移動通信蓬勃興起的脈絡，將觸角擴展到電信機房，另一方面須全面考量各種通信協(xié)定的攻擊防御需求，在一般的以太網(wǎng)絡外，針對ZigBee、Wi-Fi、EtherCAT等其他通信網(wǎng)絡，強化監(jiān)控與解析能力，以滿足M2M（機對機）與工業(yè)網(wǎng)絡的安全需求。

新漢電腦股份有限公司（NEXCOM，簡稱新漢）網(wǎng)絡通訊事業(yè)部產(chǎn)品規(guī)劃處處長劉宏益認為，隨著應用觸角擴張、網(wǎng)絡流量爆增，網(wǎng)絡安全系統(tǒng)所需監(jiān)管的封包大小、數(shù)量必定急劇成長，單憑現(xiàn)有架構(gòu)勢必窮于應付，因此位于系統(tǒng)底層的硬件平臺應有所變革。

邁入高技術(shù)整合新紀元

劉宏益強調(diào)，鑒于高頻寬、高速封包處理需求的提升，網(wǎng)安平臺絕不能只是單純伺服器，需要與交換器、網(wǎng)絡處理器（NPU）等技術(shù)充分整合，才能最佳化封包處理效率。因此對于x86運算系統(tǒng)來說，交換器、NPU不再只是溝通媒介或是配套的Add-on卡，而應深入平臺架構(gòu)的核心。簡言之，新一代網(wǎng)安平臺應更加智能，善用NPU簡化封包處理，大幅分攤中央處理器的工作負載，以應付倍數(shù)成長的網(wǎng)絡流量。

網(wǎng)安硬件平臺亟需具備高吞吐能力。一來，封包夾帶內(nèi)容多屬于多媒體影像等大型文件，前段封包檢查確認安全后便可通過，以避免造成網(wǎng)路堵塞；二來，M2M產(chǎn)生的數(shù)據(jù)規(guī)模龐大，現(xiàn)有架構(gòu)亟需變革。

專用機思維再進化

當網(wǎng)安平臺開始走入不同應用環(huán)境，承載不同的流量負荷時，便須較從前更為專用化。所謂專用并不僅限于外觀造型差異，還需與網(wǎng)安軟件高度相容，使客戶省去整合負擔；此外還須通過不同認證考驗，以便使客戶直接獲取垂直應用領(lǐng)域的入場券。劉宏益補充，由于M2M暨工業(yè)控制的關(guān)鍵任務導向，防水、防塵、抗震等嚴苛環(huán)境的適應能力也是網(wǎng)安平臺的必備條件。

以新漢為例，2013年間其推出的網(wǎng)安新機便依電信、工業(yè)控制、高吞吐量等不同應用需求分門別類。在電信領(lǐng)域，推出ATCA刀鋒伺服器及機架式伺服器，并通過NEBS Level 3認證；在工業(yè)控制領(lǐng)域，則推出了通過EN50155認證的車載系統(tǒng)，以及適用于工廠環(huán)境的DIN-rail導軌型平臺。另外，新漢還可根據(jù)客戶需求，搭配不同中央處理器、NPU、網(wǎng)路交換晶片，為客戶量身打造專屬的網(wǎng)安平臺解決方案。

篇5

由于金融證券領(lǐng)域是一個信息化程度非常高的領(lǐng)域，所以中科信證券成立之后的頭等大事，就是將分布在全國的23家營業(yè)部聯(lián)網(wǎng)，為公司集中交易系統(tǒng)建設網(wǎng)絡通訊平臺，同時為公司的財務及辦公網(wǎng)絡建設廣域網(wǎng)平臺。建成后的網(wǎng)絡要能夠?qū)崿F(xiàn)五大功能：交易功能、財務功能、Internet接入功能、辦公網(wǎng)絡功能以及未來的可擴展功能。

SAFE理念助競標成功

網(wǎng)絡系統(tǒng)是證券公司的“中樞神經(jīng)系統(tǒng)”，關(guān)系到證券公司現(xiàn)有業(yè)務的運行以及未來業(yè)務的拓展。中科信證券為了給自己打造一個強大的“神經(jīng)系統(tǒng)”，進行了嚴格的招標，對建成后的系統(tǒng)提出如下要求：

第一，系統(tǒng)要具有高可靠性、高安全性。系統(tǒng)不能有單點故障；系統(tǒng)要能有效地防止外界的非法入侵；系統(tǒng)在發(fā)生故障的情況下，要能夠迅速找出最佳方法來恢復業(yè)務。

第二，系統(tǒng)要具有高實用性，網(wǎng)絡具有足夠的帶寬，保障各種業(yè)務的順暢進行，尤其是證券交易相關(guān)業(yè)務的迅速處理。

第三，系統(tǒng)要有高先進性，要考慮到公司未來三到五年的發(fā)展需要，可適應公司不斷發(fā)展而增長的業(yè)務和管理需求。核心設備要具有相當?shù)母挥嗖宀叟c處理能力，以滿足業(yè)務發(fā)展和營業(yè)部增加的需要。邊緣設備具有足夠的處理能力，要能滿足可預見的多種需求。

第四，系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術(shù)的發(fā)展不斷升級。網(wǎng)絡的配置和帶寬應該是靈活和可擴展的。

第五，系統(tǒng)要易于維護管理，由于新的廣域網(wǎng)網(wǎng)絡系統(tǒng)規(guī)模較大，設備復雜，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測、故障診斷、故障隔離、過濾設置等功能，以便于系統(tǒng)的管理和維護。

第六，廣域網(wǎng)可以對流量進行分級控制，交易數(shù)據(jù)流和財務數(shù)據(jù)流及辦公數(shù)據(jù)流處理優(yōu)先級應有區(qū)別，任何情況下交易數(shù)據(jù)流是最優(yōu)先保證的，其次是財務數(shù)據(jù)流。

中科信證券以上幾點要求都是建立在“安全性，可靠性”的基礎上的，而思科的方案也是以“高安全性，高可靠性”作為系統(tǒng)建設的首要原則。基于“SAFE藍圖”，思科提出，“安全應是整體策略，而不僅僅是單點產(chǎn)品的集合”，“安全應該是集成在網(wǎng)絡系統(tǒng)中的，而不能是事后加在系統(tǒng)中的”。思科認為只有建立在深度防御基礎上的整體安全系統(tǒng)，才能有效地保護系統(tǒng)中每一個點的安全；才能有效地防止外界的非法入侵；才能在發(fā)生故障的情況下，迅速找出最佳方法來恢復業(yè)務。思科的這些關(guān)于網(wǎng)絡安全方面的先進理念，得到了中科信證券的認同和贊賞。于是，思科順理成章地成為了該網(wǎng)絡工程的建設者。

安全部署，策略先行

思科認為網(wǎng)絡安全并不僅僅是一項技術(shù)，更重要的是策略規(guī)劃。思科把安全問題產(chǎn)生的來源歸納為三類：技術(shù)的漏洞、策略的漏洞和人員管理上的漏洞。其中最難防范的就是由于內(nèi)部人員管理不善造成的漏洞。思科針對中科信證券的行業(yè)特點提出，加強內(nèi)部安全的防范。加強對中科信證券的計算機系統(tǒng)的用戶、資源的安全保護，防止無關(guān)人員訪問敏感數(shù)據(jù)。所以，思科對中科信證券網(wǎng)絡安全提出：以制定合理的安全策略為主，輔以適當?shù)脑O備安全，訪問控制的方式來實現(xiàn)現(xiàn)行網(wǎng)絡的安全防范。具體安全策略包括：第一，確保設備的物理安全，保證只有有關(guān)的人員才可以接近網(wǎng)絡設備；第二，用設置密碼的方式控制內(nèi)部人員登陸設備，不同的設備設立不同級別的安全密碼，限制可以改動設備配置信息的人數(shù)；第三，通過對內(nèi)部用戶設置虛網(wǎng)（VLAN），對用戶群體進行隔離。

四道防線組成的立體防護

思科在部署了安全策略的基礎上，又為中科信的網(wǎng)絡設置四道防線。這四道防線既分工明確，又相互配合，構(gòu)成了一套嚴密的防護體系。這四道防線具體包括：

第一， 用防火墻保護本網(wǎng)和其它網(wǎng)絡互聯(lián)的安全。

第二， 用ACS對撥號用戶和網(wǎng)絡設備訪問進行集中安全認證。為作為AAA client的網(wǎng)絡設備以及撥號用戶提供AAA（Authentication，Authorization，Accounting）的認證服務。

第三， 用IDS實時監(jiān)測網(wǎng)絡入侵。IDS是Cisco安全系列產(chǎn)品（包括防火墻、加密組件和認證組件）中的動態(tài)安全組件。IDS可以在Intranet和Internet的環(huán)境中運行，從而保護用戶整個網(wǎng)絡的安全。

第四， 路由器級的安全控制由四部分組成，包括使用訪問控制列表（ACL）技術(shù)、IP地址轉(zhuǎn)換技術(shù)、路由認證技術(shù)和路由器的自身保護等。