網(wǎng)絡(luò )安全防護方案【優(yōu)選】

　　為了確保事情或工作科學(xué)有序進(jìn)行，常常需要預先制定方案，方案是書(shū)面計劃，是具體行動(dòng)實(shí)施辦法細則，步驟等。方案要怎么制定呢？以下是小編幫大家整理的網(wǎng)絡(luò )安全防護方案，歡迎大家分享。

網(wǎng)絡(luò )安全防護方案1

　　1、引言

　　隨著(zhù)時(shí)代的發(fā)展，社會(huì )的進(jìn)步。衛星通信的應用領(lǐng)域不斷拓展。通過(guò)此類(lèi)通信技術(shù)可實(shí)現基于衛星的無(wú)線(xiàn)通信功能。如北斗衛星通信系統，為我們提供了基于北斗衛星的短信息通信及經(jīng)緯度定位功能。如亞洲衛星通信公司提供的衛星通信服務(wù)，為我們提供了基于數據鏈路的網(wǎng)絡(luò )信息數據傳輸。還如G S衛星通信系統，可以實(shí)現為我們進(jìn)行車(chē)載導航的功能�？傊�，衛星通信應用已經(jīng)深入到我們生活的方方面面，深刻變革者我們的通信方式，提高了我們的生活質(zhì)量。

　　眾所周知，衛星通信網(wǎng)絡(luò )是建立在無(wú)線(xiàn)通信基礎之上的。無(wú)線(xiàn)通信具有一定的不穩定性，其原因在于，無(wú)線(xiàn)通信信道的通信質(zhì)量容易受到外界環(huán)境的干擾。如城市樓房、障礙物造成的陰影通信衰減、還如無(wú)線(xiàn)信號經(jīng)過(guò)多重反射等情況造成的`多路徑信號衰減，還有受到的惡意無(wú)線(xiàn)信號同頻干擾，以及基于開(kāi)放無(wú)線(xiàn)環(huán)境的病毒入侵。

　　在此無(wú)線(xiàn)通信環(huán)境下，衛星通信網(wǎng)絡(luò )機房的安全性建設成為社會(huì )研究熱點(diǎn)。為了進(jìn)一步深化此項研究，我們提出了一種衛星通信網(wǎng)絡(luò )機房體系的構建。文中給出了衛星通信網(wǎng)絡(luò )機房安全威脅因素，并有針對性的給出了安全防護體系構建策略，本文方法能夠為衛星通信網(wǎng)絡(luò )機房信息化建設職能部門(mén)提供智力支持。

　　2、安全防護體系總體架構概述

　　本文構建的衛星通信網(wǎng)絡(luò )機房安全防護體系分為三個(gè)分系統，一是無(wú)線(xiàn)干擾測試系統；二是功率自適應分配系統；三是網(wǎng)絡(luò )入侵檢測與處理系統。這三個(gè)系統通過(guò)主干網(wǎng)絡(luò )交換機接入衛星通信網(wǎng)絡(luò )機房，實(shí)現機房的安全防護功能。

　　3、安全防護體系詳細設計

　　3.1 無(wú)線(xiàn)干擾測試系統設計

　　無(wú)線(xiàn)干擾測試系統的功能是對無(wú)線(xiàn)空域內的無(wú)線(xiàn)信號進(jìn)行感知，對測試到的同頻干擾向用戶(hù)進(jìn)行報知。

　　此系統的主體軟件采用廣州思謀信息科技有限公司開(kāi)發(fā)和研制的無(wú)線(xiàn)通信網(wǎng)絡(luò )測試軟件，著(zhù)作權號為20xxSR233189。此軟件采用基于TDD的上下行同頻互逆原理，利用反向覆蓋測試替代傳統前向覆蓋測試。實(shí)現了較為先進(jìn)的無(wú)線(xiàn)網(wǎng)絡(luò )信號感知與測試功能。

　　網(wǎng)絡(luò )管理員通過(guò)此軟件反饋出來(lái)的信息，如果發(fā)現有同頻干擾信號，則可以向衛星資源授權單位及無(wú)線(xiàn)電管委會(huì )進(jìn)行申訴，排除此非法干擾，保障信號安全、穩定。

　　3.2 功率自適應分配系統設計

　　功率自適應分配系統的功能是通過(guò)對信道質(zhì)量的判斷，自動(dòng)調節信號源的發(fā)射功率，提高系統的傳輸質(zhì)量。

　　此系統的主體軟件采用廣州思謀信息科技有限公司的無(wú)線(xiàn)通信網(wǎng)格優(yōu)化軟件，著(zhù)作權號為20xxSR233184。此軟件采用C#語(yǔ)言編寫(xiě)，軟件規模較小，具有較強的靈活性、適用性及可維護性。實(shí)現了無(wú)線(xiàn)通信頻率信道質(zhì)量檢測，并能實(shí)現功率的自適應調整。

　　自適應調整過(guò)程為：當信道質(zhì)量較低，無(wú)線(xiàn)通信BER參數值升高時(shí)，提高無(wú)線(xiàn)發(fā)射功率，當信道質(zhì)量較好，發(fā)射功率過(guò)大時(shí)，可以降低功率，減小對鄰近頻率的用戶(hù)影響。

　　3.3 網(wǎng)絡(luò )入侵檢測與處理系統

　　網(wǎng)絡(luò )入侵檢測與處理系統的硬件組成包括網(wǎng)絡(luò )防火墻、入侵檢測設備、殺毒軟件、網(wǎng)絡(luò )端口安全防護軟件等。

　　此部分的操作流程為：通過(guò)網(wǎng)絡(luò )防火墻及網(wǎng)絡(luò )端口安全防護軟件，對網(wǎng)絡(luò )訪(fǎng)問(wèn)地址進(jìn)行黑白名單的設置，開(kāi)放特定的網(wǎng)絡(luò )端口，允許特定的I 地址對網(wǎng)絡(luò )設備進(jìn)行訪(fǎng)問(wèn)和通信，對不確定網(wǎng)絡(luò )地址進(jìn)行屏蔽，并放入黑名單中。同時(shí)開(kāi)啟入侵檢測設備，對網(wǎng)絡(luò )內的不安定因素進(jìn)行控制；另外，定期進(jìn)行系統殺毒，對潛在的病毒進(jìn)行查殺，增強系統的安全防護能力。

網(wǎng)絡(luò )安全防護方案2

　　1、網(wǎng)絡(luò )現狀及防護需求

　　福建省莆田電業(yè)局已構建了信息網(wǎng)絡(luò )，已經(jīng)穩定運行有財務(wù)管理、安全生產(chǎn)管理、協(xié)同辦公、電力營(yíng)銷(xiāo)、ERP等應用系統。隨著(zhù)國家電網(wǎng)公司“SG186”工程的信息化建設的推進(jìn)工作，網(wǎng)絡(luò )和信息系統情況復雜，迫切需要進(jìn)行信息安全全面建設。

　　根據國家《信息安全技術(shù)信息系統安全等級保護實(shí)施指南》(GB/T22240-2008)、國家《信息安全技術(shù)信息系統安全等級保護基本要求》(GB/T-22239-2008)、《國家電網(wǎng)公司“SG186”工程安全防護總體方案》、《國家電網(wǎng)公司“SG186”工程信息系統安全等級保護基本要求》、《國家電網(wǎng)公司“SG186”工程信息系統安全等級保護驗收測評要求(試行)》等文件要求，按照統籌資源，重點(diǎn)保護，適度安全的原則，依據等級保護定級結果，采用“二級系統統一成域，三級系統獨立分域”的方法，對信息網(wǎng)絡(luò )系統進(jìn)行分級分域。

　　2、安全防護建設目標

　　通過(guò)項目的實(shí)施，按照“層層遞進(jìn)，縱深防御”的思想，從邊界、網(wǎng)絡(luò )、主機、應用四個(gè)層次進(jìn)行安全防護等級保護設計和施工，使莆田電業(yè)局信息系統符合國家和國家電網(wǎng)公司的網(wǎng)絡(luò )與信息系統等級保護建設要求。

　　3、實(shí)施方法

　　信息系統分級分域安全防護建設一般分三個(gè)階段：

　　第一階段：合理進(jìn)行安全域劃分和初步規劃，針對重要信息進(jìn)行防護。主要表現在針對業(yè)務(wù)安全要求比較高的信息系統如ERP、財務(wù)系統域進(jìn)行防護，以及針對互聯(lián)網(wǎng)出口的應用層防護。

　　第二階段：針對當前信息網(wǎng)絡(luò )狀態(tài)，按照等級保護要求進(jìn)行等級化評估、安全評估和合理定級，全面獲取當前安全現狀以及企業(yè)信息化建設的特殊需求。在評估基礎上，全面從等級保護要求及企業(yè)信息化建設的安全需求出發(fā)，合理進(jìn)行安全方案設計。

　　第三階段：根據設計方案，全面開(kāi)展等級化改造，包括技術(shù)措施和管理措施的完善，建立完整的信息安全體系，并且根據相關(guān)要求進(jìn)行運行維護。

　　4、分級分域安全防護方解決方案

　　信息網(wǎng)絡(luò )系統分級分域安全防護建設應當按照國家標準和國家電網(wǎng)公司“SG186”工程相關(guān)規定的要求完成，通過(guò)項目建設實(shí)施保障莆田電業(yè)局信息化管理系統的安全運營(yíng)。

　　4.1 分級分域設計方案及安全等級建設要求

　　莆田電業(yè)局信息網(wǎng)絡(luò )主要分為兩個(gè)部分：信息內網(wǎng)和信息外網(wǎng)，兩個(gè)網(wǎng)絡(luò )之間通過(guò)強制隔離設備進(jìn)行隔離。

　　信息內網(wǎng)分級分域及安全等級建設要求：

　　4.1.1二級系統域

　　二級系統域是指協(xié)同辦公系統、財務(wù)管理系統、安全生產(chǎn)管理系統、人力資源管理系統、企業(yè)門(mén)戶(hù)、ERP等信息系統

　　安全建設等級：基于信息系統的整合，所有二級系統統一部署于二級系統域，并根據國家安全等級保護標準和國家電網(wǎng)公司“SG186”工程信息系統安全等級保護基本要求等規范要求，按照安全防護等級二級進(jìn)行建設。

　　4.1.2內網(wǎng)桌面終端域

　　信息內網(wǎng)桌面終端是用于內網(wǎng)業(yè)務(wù)操作及內網(wǎng)業(yè)務(wù)辦公處理，通過(guò)對桌面辦公終端按業(yè)務(wù)部門(mén)或訪(fǎng)問(wèn)類(lèi)型進(jìn)一步進(jìn)行VLAN區域細分，實(shí)現不同的業(yè)務(wù)訪(fǎng)問(wèn)需求指定訪(fǎng)問(wèn)控制及其他防護措施，由于桌面終端的安全防護與應用系統不同，將其劃分為獨立區域進(jìn)行安全防護。

　　安全建設等級：按照安全等級二級進(jìn)行安全建設；

　　信息外網(wǎng)分級分域及安全等級建設要求：

　　4.1.3外網(wǎng)應用系統域

　　需與互聯(lián)網(wǎng)進(jìn)行數據交換的系統統一部署為外網(wǎng)系統域。

　　安全建設等級：按照安全等級二級進(jìn)行安全建設；

　　4.1.4外網(wǎng)桌面終端域

　　外網(wǎng)桌面終端用于外網(wǎng)業(yè)務(wù)辦公及互聯(lián)網(wǎng)訪(fǎng)問(wèn)，對外網(wǎng)桌面辦公終端按業(yè)務(wù)部門(mén)或訪(fǎng)問(wèn)類(lèi)型進(jìn)行區域細分，針對不同業(yè)務(wù)訪(fǎng)問(wèn)需求進(jìn)行訪(fǎng)問(wèn)控制及其他防護措施。

　　安全建設等級：按照安全等級二級進(jìn)行安全建設；

　　4.2 安全防護部署方案

　　4.2.1防火墻等級保護部署方案

　　目前網(wǎng)絡(luò )中主要使用防火墻來(lái)保證基礎安全。它監控可信任網(wǎng)絡(luò )和不可信任網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)通道，以防止外部網(wǎng)絡(luò )的危險蔓延到內部網(wǎng)絡(luò )上。

　　項目在四個(gè)域與核心交換機的連接點(diǎn)分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見(jiàn)圖1)，并進(jìn)行了相應的配置。

　　防火墻典型的網(wǎng)絡(luò )部署模式包括路由模式和透明模式，本項目中，考慮到防火墻負責轉發(fā)各個(gè)區域的用戶(hù)訪(fǎng)問(wèn)，采取透明模式部署。

　　根據企業(yè)安全區域的劃分，部署防火墻對不同區域之間的網(wǎng)絡(luò )流量進(jìn)行控制，基本原則為：高安全級別區域可以訪(fǎng)問(wèn)低安全級別區域，低安全級別嚴格受控訪(fǎng)問(wèn)高安全級別區域，進(jìn)行如下基本配置策略：

　　防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒(méi)有明確的規則允許通過(guò)，全部拒絕以保證安全；

　　配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務(wù)攻擊進(jìn)行防范；

　　配置防火墻全面安全防范能力，包括arp欺騙攻擊的防范，提供arp主動(dòng)反向查詢(xún)、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。

　　4.2.2入侵防護系統等級保護部署方案

　　在傳統的安全解決方案中，防火墻和入侵檢測系統已經(jīng)無(wú)法滿(mǎn)足高危網(wǎng)絡(luò )的安全需求，互聯(lián)網(wǎng)上流行的.蠕蟲(chóng)、P2P、木馬等安全威脅日益滋長(cháng)，必須有相應的技術(shù)手段和解決方案來(lái)解決對應用層的安全威脅。以入侵防御系統為代表的應用層安全設備作為防火墻的重要補充，很好地解決了應用層防御的問(wèn)題，并且變革了管理員構建網(wǎng)絡(luò )防御的方式。通過(guò)部署IPS，可以在線(xiàn)檢測并直接阻斷惡意流量。項目在外網(wǎng)系統部署1臺啟明星辰天清NIPS3060入侵防護系統。

　　4.2.3服務(wù)器換機等級保護部署方案

　　服務(wù)器交換機采用華為QuidwayS9306高端多業(yè)務(wù)路由交換機，該產(chǎn)品基于華為公司自主知識產(chǎn)權的Comware V5操作系統，融合了MPLS、IPv6、網(wǎng)絡(luò )安全等多種業(yè)務(wù)，提供不間斷轉發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種可靠技術(shù)，在提高用戶(hù)生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò )最大正常運行時(shí)間，從而降低企業(yè)的總擁有成本。

　　項目配置兩臺華為QuidwayS9306交換機分別用作內網(wǎng)二級系統域和外網(wǎng)應用系統域，配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡，保證了服務(wù)器換機的安全可靠。

　　4.2.4終端匯聚交換機等級保護部署方案

　　終端匯聚交換機采用華為Quidway LS-S5328C交換機，實(shí)現信息內外網(wǎng)桌面終端域的安全接入。

　　華為QuidwayLS-S5300系列交換機是華為公司最新開(kāi)發(fā)的增強型IPv6萬(wàn)兆以太網(wǎng)交換機，具備業(yè)界盒式交換機最先進(jìn)的硬件處理能力和豐富的業(yè)務(wù)特性。支持最多4個(gè)萬(wàn)兆擴展接口；支持IPv4/IPv6硬件雙棧及線(xiàn)速轉發(fā)；出色的安全性、可靠性和多業(yè)務(wù)支持能力使其成為網(wǎng)絡(luò )匯聚和城域網(wǎng)邊緣設備的第一選擇。

　　配置2臺桌面終端匯聚交換機分別部署在信息內網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

　　5、網(wǎng)絡(luò )安全成果分析

　　福建省莆田電業(yè)局信息網(wǎng)絡(luò )系統分級分域安全防護建設項目從邊界、網(wǎng)絡(luò )、主機、應用四個(gè)層次進(jìn)行了安全防護等級保護設計及工程實(shí)施，對原有網(wǎng)絡(luò )、安全設備進(jìn)行了調整，實(shí)現了安全域的劃分，實(shí)現了對關(guān)鍵業(yè)務(wù)的安全防護，達到了國家和國家電網(wǎng)公司的網(wǎng)絡(luò )與信息系統等級保護建設要求，并通過(guò)了國家電網(wǎng)公司等級測評驗收。

網(wǎng)絡(luò )安全防護方案3

　　廣州某醫院擁有專(zhuān)業(yè)技術(shù)人員1100余人、床位850張、專(zhuān)業(yè)學(xué)科43個(gè)，現已發(fā)展成為集醫療、教學(xué)、科研、預防、保健、康復功能于一體的、面向海內外開(kāi)放的綜合性現代化醫院。隨著(zhù)信息化的發(fā)展，該醫院的醫療系統也進(jìn)入了數字化和信息化時(shí)代，大型的數字化醫療設備、各種醫院管理信息系統和醫療臨床信息系統在醫院中得到應用。數字化醫療建設，不但使醫院的工作流程發(fā)生了變化，同時(shí)也對醫院信息化建設提出了更高的要求。

　　目前，該醫院已應用了HIS、EMR、LIS、PACS等信息系統，涵蓋了醫院日常工作流程，比如掛號、診療、化驗、劃價(jià)、收費等，同時(shí)也覆蓋醫院各個(gè)角落，如病房、藥房、醫療設備等。隨著(zhù)電子病歷、遠程醫療的不斷發(fā)展，病人在就醫過(guò)程中的信息將越來(lái)越多地以數字化的方式保存在醫院的醫療信息系統中。

　　如何保證這些醫療數據的安全性、有效性，是醫院信息系統所面臨的.、不可回避的問(wèn)題。

　　20xx年底，該醫院新大樓建成，華僑醫院的信息網(wǎng)絡(luò )改造項目也同步啟動(dòng)。這次改造不僅要提高網(wǎng)絡(luò )與信息系統基礎設施建設，而且還將信息系統安全建設納入其中。該醫院的信息安全主管人員清醒地認識到：醫院信息系統的正常運行，不僅包含網(wǎng)絡(luò )、主機設備的正常運行，還包括存儲在醫院應用系統中的各種數據的安全性和可靠性得到保障。

　　此前，該醫院的信息系統已部署了防火墻、入侵檢測系統和網(wǎng)絡(luò )防病毒系統等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡(luò )安全改造建設，醫院邀請產(chǎn)品供應商和業(yè)界優(yōu)秀的公司共同探討新信息系統的安全建設方案。該醫院希望其安全建設方案能夠實(shí)現以下功能：既要考慮現有系統的安全、有效運行，又要兼顧華僑醫院未來(lái)五年的信息化發(fā)展。

　　作為該醫院原有信息安全產(chǎn)品供應商，北京冠群金辰軟件有限公司（簡(jiǎn)稱(chēng)冠群金辰）也參與了新信息系統的安全建設，并提出針對該醫院的安全解決方案建議。

　　解決之道冠群金辰認為，該醫院現有信息安全系統中的防火墻、防毒墻、IDS和防病毒的防護架構可以保留，但隨著(zhù)醫院新大樓投入使用，網(wǎng)絡(luò )中的終端節點(diǎn)會(huì )增多，網(wǎng)絡(luò )流量將大幅增長(cháng)，所以，需要對現有防火墻、IDS等系統進(jìn)行升級，提升現有防護系統的處理能力，以適應網(wǎng)絡(luò )提速的要求，保障正常的網(wǎng)絡(luò )業(yè)務(wù)運行；同時(shí)，針對網(wǎng)絡(luò )中新增的客戶(hù)端節點(diǎn)，繼續部署防病毒系統和終端安全管理系統，以應對越來(lái)越復雜的終端安全防護問(wèn)題。

　　針對目前醫院網(wǎng)站服務(wù)器保護的安全盲點(diǎn)，冠群金辰提出了針對Web網(wǎng)站安全建議：使用專(zhuān)業(yè)的網(wǎng)站防護系統采用層次化的Web主動(dòng)防護技術(shù)，對醫院網(wǎng)站服務(wù)器進(jìn)行有效防護。

　　實(shí)際上，冠群金辰為該醫院提出的網(wǎng)絡(luò )安全整體解決方案涵蓋了從邊界、網(wǎng)絡(luò )到主機，多層次的縱深防御體系。該方案在邊界通過(guò)防火墻、物理隔離設備將非法訪(fǎng)問(wèn)、病毒、入侵攻擊等阻擋在網(wǎng)絡(luò )外部。在網(wǎng)絡(luò )層面，該解決方案對網(wǎng)絡(luò )中的流量進(jìn)行檢測，查找正在發(fā)生或將要發(fā)生的網(wǎng)絡(luò )攻擊，并及時(shí)采取措施，比如報警、阻斷、記錄等。

　　對于網(wǎng)絡(luò )安全中常見(jiàn)的病毒、信息泄露等安全威脅，該方案中的防病毒軟件和終端安全管理系統為主機系統提供了基本的安全保障。

　　冠群金辰為此方案提供了KILL系列安全產(chǎn)品，即KILL防火墻、KILL入侵檢測系統、KILL上網(wǎng)行為管理系統、KILL防毒墻、KILL網(wǎng)絡(luò )防病毒系統、KILL終端安全管理系統和KILL Web安全網(wǎng)關(guān)，為該醫院的網(wǎng)絡(luò )構筑了一個(gè)多層次的安全防護體系。從網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、流量控制、入侵攻擊、病毒查殺、終端準入和Web防護等方面，該方案對該醫院的網(wǎng)絡(luò )提供全面的安全保護。

【網(wǎng)絡(luò )安全防護方案】相關(guān)文章：

網(wǎng)絡(luò )安全防護方案07-08

高壓線(xiàn)防護方案10-10

基礎越冬防護方案11-23

越冬防護方案（精選6篇）12-05

網(wǎng)絡(luò )安全方案12-02

網(wǎng)絡(luò )安全方案02-16

基礎越冬防護方案11篇12-08

基礎越冬防護方案12篇11-14

基礎越冬防護方案（精選9篇）12-15