網(wǎng)絡安全防護方案【優(yōu)選】

　　為了確保事情或工作科學有序進行，常常需要預先制定方案，方案是書面計劃，是具體行動實施辦法細則，步驟等。方案要怎么制定呢？以下是小編幫大家整理的網(wǎng)絡安全防護方案，歡迎大家分享。

網(wǎng)絡安全防護方案1

　　1、引言

　　隨著時代的發(fā)展，社會的進步。衛(wèi)星通信的應用領域不斷拓展。通過此類通信技術可實現(xiàn)基于衛(wèi)星的無線通信功能。如北斗衛(wèi)星通信系統(tǒng)，為我們提供了基于北斗衛(wèi)星的短信息通信及經(jīng)緯度定位功能。如亞洲衛(wèi)星通信公司提供的衛(wèi)星通信服務，為我們提供了基于數(shù)據(jù)鏈路的網(wǎng)絡信息數(shù)據(jù)傳輸。還如G S衛(wèi)星通信系統(tǒng)，可以實現(xiàn)為我們進行車載導航的功能�？傊�，衛(wèi)星通信應用已經(jīng)深入到我們生活的方方面面，深刻變革者我們的通信方式，提高了我們的生活質(zhì)量。

　　眾所周知，衛(wèi)星通信網(wǎng)絡是建立在無線通信基礎之上的。無線通信具有一定的不穩(wěn)定性，其原因在于，無線通信信道的通信質(zhì)量容易受到外界環(huán)境的干擾。如城市樓房、障礙物造成的陰影通信衰減、還如無線信號經(jīng)過多重反射等情況造成的`多路徑信號衰減，還有受到的惡意無線信號同頻干擾，以及基于開放無線環(huán)境的病毒入侵。

　　在此無線通信環(huán)境下，衛(wèi)星通信網(wǎng)絡機房的安全性建設成為社會研究熱點。為了進一步深化此項研究，我們提出了一種衛(wèi)星通信網(wǎng)絡機房體系的構(gòu)建。文中給出了衛(wèi)星通信網(wǎng)絡機房安全威脅因素，并有針對性的給出了安全防護體系構(gòu)建策略，本文方法能夠為衛(wèi)星通信網(wǎng)絡機房信息化建設職能部門提供智力支持。

　　2、安全防護體系總體架構(gòu)概述

　　本文構(gòu)建的衛(wèi)星通信網(wǎng)絡機房安全防護體系分為三個分系統(tǒng)，一是無線干擾測試系統(tǒng)；二是功率自適應分配系統(tǒng)；三是網(wǎng)絡入侵檢測與處理系統(tǒng)。這三個系統(tǒng)通過主干網(wǎng)絡交換機接入衛(wèi)星通信網(wǎng)絡機房，實現(xiàn)機房的安全防護功能。

　　3、安全防護體系詳細設計

　　3.1 無線干擾測試系統(tǒng)設計

　　無線干擾測試系統(tǒng)的功能是對無線空域內(nèi)的無線信號進行感知，對測試到的同頻干擾向用戶進行報知。

　　此系統(tǒng)的主體軟件采用廣州思謀信息科技有限公司開發(fā)和研制的無線通信網(wǎng)絡測試軟件，著作權(quán)號為20xxSR233189。此軟件采用基于TDD的上下行同頻互逆原理，利用反向覆蓋測試替代傳統(tǒng)前向覆蓋測試。實現(xiàn)了較為先進的無線網(wǎng)絡信號感知與測試功能。

　　網(wǎng)絡管理員通過此軟件反饋出來的信息，如果發(fā)現(xiàn)有同頻干擾信號，則可以向衛(wèi)星資源授權(quán)單位及無線電管委會進行申訴，排除此非法干擾，保障信號安全、穩(wěn)定。

　　3.2 功率自適應分配系統(tǒng)設計

　　功率自適應分配系統(tǒng)的功能是通過對信道質(zhì)量的判斷，自動調(diào)節(jié)信號源的發(fā)射功率，提高系統(tǒng)的傳輸質(zhì)量。

　　此系統(tǒng)的主體軟件采用廣州思謀信息科技有限公司的無線通信網(wǎng)格優(yōu)化軟件，著作權(quán)號為20xxSR233184。此軟件采用C#語言編寫，軟件規(guī)模較小，具有較強的靈活性、適用性及可維護性。實現(xiàn)了無線通信頻率信道質(zhì)量檢測，并能實現(xiàn)功率的自適應調(diào)整。

　　自適應調(diào)整過程為：當信道質(zhì)量較低，無線通信BER參數(shù)值升高時，提高無線發(fā)射功率，當信道質(zhì)量較好，發(fā)射功率過大時，可以降低功率，減小對鄰近頻率的用戶影響。

　　3.3 網(wǎng)絡入侵檢測與處理系統(tǒng)

　　網(wǎng)絡入侵檢測與處理系統(tǒng)的硬件組成包括網(wǎng)絡防火墻、入侵檢測設備、殺毒軟件、網(wǎng)絡端口安全防護軟件等。

　　此部分的操作流程為：通過網(wǎng)絡防火墻及網(wǎng)絡端口安全防護軟件，對網(wǎng)絡訪問地址進行黑白名單的設置，開放特定的網(wǎng)絡端口，允許特定的I 地址對網(wǎng)絡設備進行訪問和通信，對不確定網(wǎng)絡地址進行屏蔽，并放入黑名單中。同時開啟入侵檢測設備，對網(wǎng)絡內(nèi)的不安定因素進行控制；另外，定期進行系統(tǒng)殺毒，對潛在的病毒進行查殺，增強系統(tǒng)的安全防護能力。

網(wǎng)絡安全防護方案2

　　1、網(wǎng)絡現(xiàn)狀及防護需求

　　福建省莆田電業(yè)局已構(gòu)建了信息網(wǎng)絡，已經(jīng)穩(wěn)定運行有財務管理、安全生產(chǎn)管理、協(xié)同辦公、電力營銷、ERP等應用系統(tǒng)。隨著國家電網(wǎng)公司“SG186”工程的信息化建設的推進工作，網(wǎng)絡和信息系統(tǒng)情況復雜，迫切需要進行信息安全全面建設。

　　根據(jù)國家《信息安全技術信息系統(tǒng)安全等級保護實施指南》(GB/T22240-2008)、國家《信息安全技術信息系統(tǒng)安全等級保護基本要求》(GB/T-22239-2008)、《國家電網(wǎng)公司“SG186”工程安全防護總體方案》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護基本要求》、《國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護驗收測評要求(試行)》等文件要求，按照統(tǒng)籌資源，重點保護，適度安全的原則，依據(jù)等級保護定級結(jié)果，采用“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”的方法，對信息網(wǎng)絡系統(tǒng)進行分級分域。

　　2、安全防護建設目標

　　通過項目的實施，按照“層層遞進，縱深防御”的思想，從邊界、網(wǎng)絡、主機、應用四個層次進行安全防護等級保護設計和施工，使莆田電業(yè)局信息系統(tǒng)符合國家和國家電網(wǎng)公司的網(wǎng)絡與信息系統(tǒng)等級保護建設要求。

　　3、實施方法

　　信息系統(tǒng)分級分域安全防護建設一般分三個階段：

　　第一階段：合理進行安全域劃分和初步規(guī)劃，針對重要信息進行防護。主要表現(xiàn)在針對業(yè)務安全要求比較高的信息系統(tǒng)如ERP、財務系統(tǒng)域進行防護，以及針對互聯(lián)網(wǎng)出口的應用層防護。

　　第二階段：針對當前信息網(wǎng)絡狀態(tài)，按照等級保護要求進行等級化評估、安全評估和合理定級，全面獲取當前安全現(xiàn)狀以及企業(yè)信息化建設的特殊需求。在評估基礎上，全面從等級保護要求及企業(yè)信息化建設的安全需求出發(fā)，合理進行安全方案設計。

　　第三階段：根據(jù)設計方案，全面開展等級化改造，包括技術措施和管理措施的完善，建立完整的信息安全體系，并且根據(jù)相關要求進行運行維護。

　　4、分級分域安全防護方解決方案

　　信息網(wǎng)絡系統(tǒng)分級分域安全防護建設應當按照國家標準和國家電網(wǎng)公司“SG186”工程相關規(guī)定的要求完成，通過項目建設實施保障莆田電業(yè)局信息化管理系統(tǒng)的安全運營。

　　4.1 分級分域設計方案及安全等級建設要求

　　莆田電業(yè)局信息網(wǎng)絡主要分為兩個部分：信息內(nèi)網(wǎng)和信息外網(wǎng)，兩個網(wǎng)絡之間通過強制隔離設備進行隔離。

　　信息內(nèi)網(wǎng)分級分域及安全等級建設要求：

　　4.1.1二級系統(tǒng)域

　　二級系統(tǒng)域是指協(xié)同辦公系統(tǒng)、財務管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、人力資源管理系統(tǒng)、企業(yè)門戶、ERP等信息系統(tǒng)

　　安全建設等級：基于信息系統(tǒng)的整合，所有二級系統(tǒng)統(tǒng)一部署于二級系統(tǒng)域，并根據(jù)國家安全等級保護標準和國家電網(wǎng)公司“SG186”工程信息系統(tǒng)安全等級保護基本要求等規(guī)范要求，按照安全防護等級二級進行建設。

　　4.1.2內(nèi)網(wǎng)桌面終端域

　　信息內(nèi)網(wǎng)桌面終端是用于內(nèi)網(wǎng)業(yè)務操作及內(nèi)網(wǎng)業(yè)務辦公處理，通過對桌面辦公終端按業(yè)務部門或訪問類型進一步進行VLAN區(qū)域細分，實現(xiàn)不同的業(yè)務訪問需求指定訪問控制及其他防護措施，由于桌面終端的安全防護與應用系統(tǒng)不同，將其劃分為獨立區(qū)域進行安全防護。

　　安全建設等級：按照安全等級二級進行安全建設；

　　信息外網(wǎng)分級分域及安全等級建設要求：

　　4.1.3外網(wǎng)應用系統(tǒng)域

　　需與互聯(lián)網(wǎng)進行數(shù)據(jù)交換的系統(tǒng)統(tǒng)一部署為外網(wǎng)系統(tǒng)域。

　　安全建設等級：按照安全等級二級進行安全建設；

　　4.1.4外網(wǎng)桌面終端域

　　外網(wǎng)桌面終端用于外網(wǎng)業(yè)務辦公及互聯(lián)網(wǎng)訪問，對外網(wǎng)桌面辦公終端按業(yè)務部門或訪問類型進行區(qū)域細分，針對不同業(yè)務訪問需求進行訪問控制及其他防護措施。

　　安全建設等級：按照安全等級二級進行安全建設；

　　4.2 安全防護部署方案

　　4.2.1防火墻等級保護部署方案

　　目前網(wǎng)絡中主要使用防火墻來保證基礎安全。它監(jiān)控可信任網(wǎng)絡和不可信任網(wǎng)絡之間的訪問通道，以防止外部網(wǎng)絡的危險蔓延到內(nèi)部網(wǎng)絡上。

　　項目在四個域與核心交換機的連接點分別部署了啟明星辰天清漢馬USG-FW-4000D防火墻(見圖1)，并進行了相應的配置。

　　防火墻典型的網(wǎng)絡部署模式包括路由模式和透明模式，本項目中，考慮到防火墻負責轉(zhuǎn)發(fā)各個區(qū)域的用戶訪問，采取透明模式部署。

　　根據(jù)企業(yè)安全區(qū)域的劃分，部署防火墻對不同區(qū)域之間的網(wǎng)絡流量進行控制，基本原則為：高安全級別區(qū)域可以訪問低安全級別區(qū)域，低安全級別嚴格受控訪問高安全級別區(qū)域，進行如下基本配置策略：

　　防火墻設置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；

　　配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、Ping of death、udp flood等拒絕服務攻擊進行防范；

　　配置防火墻全面安全防范能力，包括arp欺騙攻擊的防范，提供arp主動反向查詢、tcp報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等。

　　4.2.2入侵防護系統(tǒng)等級保護部署方案

　　在傳統(tǒng)的安全解決方案中，防火墻和入侵檢測系統(tǒng)已經(jīng)無法滿足高危網(wǎng)絡的安全需求，互聯(lián)網(wǎng)上流行的.蠕蟲、P2P、木馬等安全威脅日益滋長，必須有相應的技術手段和解決方案來解決對應用層的安全威脅。以入侵防御系統(tǒng)為代表的應用層安全設備作為防火墻的重要補充，很好地解決了應用層防御的問題，并且變革了管理員構(gòu)建網(wǎng)絡防御的方式。通過部署IPS，可以在線檢測并直接阻斷惡意流量。項目在外網(wǎng)系統(tǒng)部署1臺啟明星辰天清NIPS3060入侵防護系統(tǒng)。

　　4.2.3服務器換機等級保護部署方案

　　服務器交換機采用華為QuidwayS9306高端多業(yè)務路由交換機，該產(chǎn)品基于華為公司自主知識產(chǎn)權(quán)的Comware V5操作系統(tǒng)，融合了MPLS、IPv6、網(wǎng)絡安全等多種業(yè)務，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護等多種可靠技術，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡最大正常運行時間，從而降低企業(yè)的總擁有成本。

　　項目配置兩臺華為QuidwayS9306交換機分別用作內(nèi)網(wǎng)二級系統(tǒng)域和外網(wǎng)應用系統(tǒng)域，配置冗余電源、雙引擎、2塊48端口千兆電口板、1塊48端口SFP千兆光口板卡，保證了服務器換機的安全可靠。

　　4.2.4終端匯聚交換機等級保護部署方案

　　終端匯聚交換機采用華為Quidway LS-S5328C交換機，實現(xiàn)信息內(nèi)外網(wǎng)桌面終端域的安全接入。

　　華為QuidwayLS-S5300系列交換機是華為公司最新開發(fā)的增強型IPv6萬兆以太網(wǎng)交換機，具備業(yè)界盒式交換機最先進的硬件處理能力和豐富的業(yè)務特性。支持最多4個萬兆擴展接口；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)；出色的安全性、可靠性和多業(yè)務支持能力使其成為網(wǎng)絡匯聚和城域網(wǎng)邊緣設備的第一選擇。

　　配置2臺桌面終端匯聚交換機分別部署在信息內(nèi)網(wǎng)和信息外網(wǎng)的桌面終端域接口上。

　　5、網(wǎng)絡安全成果分析

　　福建省莆田電業(yè)局信息網(wǎng)絡系統(tǒng)分級分域安全防護建設項目從邊界、網(wǎng)絡、主機、應用四個層次進行了安全防護等級保護設計及工程實施，對原有網(wǎng)絡、安全設備進行了調(diào)整，實現(xiàn)了安全域的劃分，實現(xiàn)了對關鍵業(yè)務的安全防護，達到了國家和國家電網(wǎng)公司的網(wǎng)絡與信息系統(tǒng)等級保護建設要求，并通過了國家電網(wǎng)公司等級測評驗收。

網(wǎng)絡安全防護方案3

　　廣州某醫(yī)院擁有專業(yè)技術人員1100余人、床位850張、專業(yè)學科43個，現(xiàn)已發(fā)展成為集醫(yī)療、教學、科研、預防、保健、康復功能于一體的、面向海內(nèi)外開放的綜合性現(xiàn)代化醫(yī)院。隨著信息化的發(fā)展，該醫(yī)院的醫(yī)療系統(tǒng)也進入了數(shù)字化和信息化時代，大型的數(shù)字化醫(yī)療設備、各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)在醫(yī)院中得到應用。數(shù)字化醫(yī)療建設，不但使醫(yī)院的工作流程發(fā)生了變化，同時也對醫(yī)院信息化建設提出了更高的要求。

　　目前，該醫(yī)院已應用了HIS、EMR、LIS、PACS等信息系統(tǒng)，涵蓋了醫(yī)院日常工作流程，比如掛號、診療、化驗、劃價、收費等，同時也覆蓋醫(yī)院各個角落，如病房、藥房、醫(yī)療設備等。隨著電子病歷、遠程醫(yī)療的不斷發(fā)展，病人在就醫(yī)過程中的信息將越來越多地以數(shù)字化的方式保存在醫(yī)院的醫(yī)療信息系統(tǒng)中。

　　如何保證這些醫(yī)療數(shù)據(jù)的安全性、有效性，是醫(yī)院信息系統(tǒng)所面臨的.、不可回避的問題。

　　20xx年底，該醫(yī)院新大樓建成，華僑醫(yī)院的信息網(wǎng)絡改造項目也同步啟動。這次改造不僅要提高網(wǎng)絡與信息系統(tǒng)基礎設施建設，而且還將信息系統(tǒng)安全建設納入其中。該醫(yī)院的信息安全主管人員清醒地認識到：醫(yī)院信息系統(tǒng)的正常運行，不僅包含網(wǎng)絡、主機設備的正常運行，還包括存儲在醫(yī)院應用系統(tǒng)中的各種數(shù)據(jù)的安全性和可靠性得到保障。

　　此前，該醫(yī)院的信息系統(tǒng)已部署了防火墻、入侵檢測系統(tǒng)和網(wǎng)絡防病毒系統(tǒng)等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡安全改造建設，醫(yī)院邀請產(chǎn)品供應商和業(yè)界優(yōu)秀的公司共同探討新信息系統(tǒng)的安全建設方案。該醫(yī)院希望其安全建設方案能夠?qū)崿F(xiàn)以下功能：既要考慮現(xiàn)有系統(tǒng)的安全、有效運行，又要兼顧華僑醫(yī)院未來五年的信息化發(fā)展。

　　作為該醫(yī)院原有信息安全產(chǎn)品供應商，北京冠群金辰軟件有限公司（簡稱冠群金辰）也參與了新信息系統(tǒng)的安全建設，并提出針對該醫(yī)院的安全解決方案建議。

　　解決之道冠群金辰認為，該醫(yī)院現(xiàn)有信息安全系統(tǒng)中的防火墻、防毒墻、IDS和防病毒的防護架構(gòu)可以保留，但隨著醫(yī)院新大樓投入使用，網(wǎng)絡中的終端節(jié)點會增多，網(wǎng)絡流量將大幅增長，所以，需要對現(xiàn)有防火墻、IDS等系統(tǒng)進行升級，提升現(xiàn)有防護系統(tǒng)的處理能力，以適應網(wǎng)絡提速的要求，保障正常的網(wǎng)絡業(yè)務運行；同時，針對網(wǎng)絡中新增的客戶端節(jié)點，繼續(xù)部署防病毒系統(tǒng)和終端安全管理系統(tǒng)，以應對越來越復雜的終端安全防護問題。

　　針對目前醫(yī)院網(wǎng)站服務器保護的安全盲點，冠群金辰提出了針對Web網(wǎng)站安全建議：使用專業(yè)的網(wǎng)站防護系統(tǒng)采用層次化的Web主動防護技術，對醫(yī)院網(wǎng)站服務器進行有效防護。

　　實際上，冠群金辰為該醫(yī)院提出的網(wǎng)絡安全整體解決方案涵蓋了從邊界、網(wǎng)絡到主機，多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設備將非法訪問、病毒、入侵攻擊等阻擋在網(wǎng)絡外部。在網(wǎng)絡層面，該解決方案對網(wǎng)絡中的流量進行檢測，查找正在發(fā)生或?qū)⒁�發(fā)生的網(wǎng)絡攻擊，并及時采取措施，比如報警、阻斷、記錄等。

　　對于網(wǎng)絡安全中常見的病毒、信息泄露等安全威脅，該方案中的防病毒軟件和終端安全管理系統(tǒng)為主機系統(tǒng)提供了基本的安全保障。

　　冠群金辰為此方案提供了KILL系列安全產(chǎn)品，即KILL防火墻、KILL入侵檢測系統(tǒng)、KILL上網(wǎng)行為管理系統(tǒng)、KILL防毒墻、KILL網(wǎng)絡防病毒系統(tǒng)、KILL終端安全管理系統(tǒng)和KILL Web安全網(wǎng)關，為該醫(yī)院的網(wǎng)絡構(gòu)筑了一個多層次的安全防護體系。從網(wǎng)絡訪問控制、流量控制、入侵攻擊、病毒查殺、終端準入和Web防護等方面，該方案對該醫(yī)院的網(wǎng)絡提供全面的安全保護。

【網(wǎng)絡安全防護方案】相關文章：

網(wǎng)絡安全防護方案07-08

高壓線防護方案10-10

基礎越冬防護方案11-23

越冬防護方案（精選6篇）12-05

網(wǎng)絡安全方案12-02

網(wǎng)絡安全方案02-16

基礎越冬防護方案11篇12-08

基礎越冬防護方案12篇11-14

基礎越冬防護方案（精選9篇）12-15