信息安全与安全建设论文

摘要：本文讨论企业信息安全建设的体系化方法，提出了一个企业进行信息安全建设的体系化模型。同时，本文讨论了调查问卷设计方法，讨论通过调查问卷收集的信息全面地了解一家企业的信息安全现状。关键词：企业信息安全；体系化建设；调查；问卷设计1介绍现在的社会是信息化的社会，信息流动渗透到社会的方方面面。下面小编整理了一些《信息安全与安全建设论文(精选3篇)》，仅供参考，希望能够帮助到大家。

信息安全与安全建设论文 篇1：

浅析税务系统网络与信息安全建设

摘要：税务作为国家财政收入的来源，一直受到广泛的关注与重视，在信息技术不断发展的情况下，税务系统也在不断地完善，税务信息化成为一种趋势，税务网络与外界信息的交流日益密切，税务网络的开放度与透明度也日益提高，但是，隨之，税务系统网络信息安全问题也越来越凸显，税务安全得不到保障，极易受到网络攻击，影响税务系统网络的安全性，不利于信息安全建设，无法达到理想的税务系统网络与信息安全建设效果。基于此，为解决此问题，需要研究相关问题，需要加强税务系统网络与信息安全建设的研究，该文的研究具有价值。

关键词：税务系统；网络；信息安全；建设

现阶段，已经进入了信息时代，网络无处不在，越来越多的人利用网络进行工作，生活，娱乐，网络发挥了重要的作用，将网络与税务工作相结合，建立税务信息系统十分重要，可以加强税务系统的安全性，提高税务工作效率与质量，确保税收的合理性，维护国家的切身利益。由此可见，加强税务系统网络与信息安全建设十分重要，可以提升税务的安全性，健全信息安全建设，发挥重要的作用。

1 税务系统网络存在的问题

经过调查研究发现，税务信息系统主要存在以下几点隐患，第一，税收征管软件的加密度不高，很容易受到攻击，防火墙也很容易被破解，部分密码保密性较差，甚至趋近于公开，其中的数据很容易被修改，从而导致出现数据不准确，无法核实等问题。第二，目前，虽然计算机技术快速发展，我国已经进入了信息时代，但是，还没有达到一人一台计算机的地步，一台计算机多是由多个人进行操作的，因此，职能划分不清，无法对相关内容进行严格的执行，极易出现问题，计算机网络的监控行为无法发挥重要的作用，影响了税务系统网络的安全性，不利于税务网络系统的安全开展。第三，税务局没有备用服务器，一旦服务器出现故障，网络就会陷入瘫痪，无法顺利开展税务工作，面临较多问题，降低了税务工作的安全性。加上征管数据庞大，软件备份无法满足，需要用磁带与光盘进行备份，还需要购买一些其他设备，还有设备比较昂贵，大部分单位都没有，因此，一旦出现故障，极易造成网络瘫痪，无法进行数据备份，极易出现数据丢失问题。第四，税收电子化，随着信息技术的快速发展，税收电子化成为一种趋势，网络的安全性直接会影响到税收的准确性，关系到税收的数据，会直接影响局域网的应用范围，会造成计算机网站被病毒侵入等问题影响税务系统的安全性。

税务系统网络安全存在的问题主要可以分为3大类，第一类，计算机病毒，计算机病毒是影响计算机工作的主要问题，会影响互联网传播的速度，甚至会造成计算机的瘫痪，可见，计算机病毒是税务系统网络安全中存在的主要问题。税务系统的内部网络会受到较大的冲击，影响国家机密数据的安全性，无法规避病毒带来的危险性。第二类，网络攻击，税务系统的网络主要采用tcp/ip协议，极易受到网络攻击，会影响系统内部网络的安全性，导致税务系统不够严密，面临着更大的危险。第三类，身份验证，通过身份验证，可以实现网上办公，提高政府办事效率，提高税收的准确性，保证公文的机密性与合法性，保证数据无法篡改，但是身份验证也存在安全隐患，身份无法明确，影响信息的安全性。

2 税务系统网络与信息安全建设

2.1 建立严格的安全管理制度

规章制度是各项工作顺利开展的标准准则，税务系统也是如此，通过建立严格的安全管理制度，有助于建设税务系统网络，提高税务系统的安全性，促进税务系统工作的顺利开展。税务信息系统对数据信息的安全性具有较高的要求，建立严格的安全管理制度，需要从以下几个方面着手，第一，需要加强领导，明确按照上级信息管理部门的要求建立规章制度，根据税务系统的特点与相关情况，制定出完善的业务部门与信息部门的规章制度，根据系统权限，对管理办法进行分配与制约，健全管理体制，采用负责制方式进行管理，即明确责任，谁赋予，谁负责，加强管理。第二，需要对各个科室以及分局进行分别管理，将责任落实到个人，要求每台计算机都需要具有专人负责，需要进行操作系统加密，还需要设置密码，防火墙等，通过设置层层权限，确保信息的安全性，消除安全隐患。除此之外，为了防止口令外泄，需要实行口令即责任原则，对口令泄露，执法过错等问题进行追究，明确责任人，加强管理，建立严格的安全管理制度。

2.2 建立安全响应体系，加强基础资金投入

一方面，建立安全响应体系，可以对相关信息与数据进行备份，可以最大可能保护税务信息的安全性，最大可能防止意外的发生，发挥了重要的作用。因此，建立安全响应体系，对重要信息数据进行双重备份发挥了重要的作用，首先，需要在上级税务机关进行备份，要求上级税务机关代为备份管理，以免出现意外情况，有备无患。其次，需要在本级税务机关进行备份，确保数据的安全性，最大可能保证数据信息的可恢复性。除此之外，还需要对各部门进行分类，制定分类的标准，为每一类计算机都做一个镜像，并单独放在计算机上，保证在计算机系统遭受破坏时，可以第一时间进行恢复，提高税务信息系统的安全性。另一方面，加强基础资金投入，通过加大资金投入，可以增加防雷措施，改造电路，将老化设备进行替换更新，降低计算机出现故障的可能性，将计算机突然故障导致数据丢失的可能性降到最低。加强资金基础投入，需要要求上级税务机关设立专项资金，加大基础资金的投入，专款专用，提高税务系统硬件设施，为税务系统的发展创造有利的条件。

2.3 计算机病毒的防范方案

计算机病毒侵入是影响税务信息系统的安全性的主要问题，因此，做好计算机病毒的防范工作十分重要，制定计算机病毒防范方案，做好防范工作具有重要的意义。第一，做好预防措施，查杀病毒是一种被动的方式，预防病毒才能够更好的对付计算机病毒，才能有效地扫描并清除计算机病毒，做好防范工作，因此，利用传统的方式进行改变，以防治为主十分重要。第二，选择优秀的防病毒软件，现阶段，税务系统的应用水平不高，主要采用单机版杀毒，很难对网络病毒进行彻底的消除，可见，防病毒是一个动态的，技术对抗过程，选择优秀的计算机病毒软件，可以做好维护功能，为用户提供方便。除此之外，病毒更新速度较快，杀毒软件的病毒库更新速度也较快，需要选择优秀的防病毒软件，有效解决计算机病毒侵入问题。第三，安装防火墙，做好以网为本，进行多层防御。防治网络病毒，可以透过网络管理pc机，发挥网络的唤醒功能，进行扫描，检查病毒情况，做好防范工作，形成覆盖全网的防御体系，安装防火墙，做好安全防线，利用防火墙进行监控，及时发现病毒，及时消灭病毒，做好防御工作。第四，需要及时安装操作系统，目前，大多数病毒都是针对操作系统漏洞的，主要对数据库的漏洞进行攻击，因此，安装操作系统，对数据库进行补充十分重要，是降低病毒攻击几率的主要方式，会提高税务信息系统的安全性，通过程序升级，防范风险，保证税务信息系统的安全性。

3 网络攻击的防范方案

互联网常见的攻击手段与防范方法主要分為以下几种，第一，扫描攻击，目前，常见的攻击形式就是扫描攻击，常见的扫描攻击方式就是探测tcp、探测bogus、无碎片标记等，扫描攻击主要依靠一些特殊的扫描包，获取一些重要的信息，达到攻击目的。面对这种攻击，需要加强防火墙设置，对一些不明安装包进行阻截，保护数据信息，降低攻击的几率。第二，木马攻击，木马攻击是一种十分常见的攻击方式，主要分为两个部分，第一部分，主要安装在被攻击的主机上，由攻击者自己操控，木马病毒打开一个缺口后，可以对主机进行监控，对计算机网络进行攻击。第二部分，对客户端服务器进行攻击，造成网络瘫痪。针对木马攻击，最为常见的就是禁止内外网主动连接，以此达到阻断外部链接的目的，组织外部与内部机器的通信，使木马病毒无法发动攻击。

4 身份鉴别的解决方案

首先，在税务信息系统接受网上申报过程中，需要严格按照申报流程办事，需要保证信息的保密性与完整性，需要确保身份的确定性，保证发送方不可以否认。其次，需要颁发数字证书，通过颁发数字证书，发挥数字证书的强大功能，合理利用其密钥系统，发挥重要作用，达到身份鉴别的目的。保证发送信息出除接收方与发送方外，无他人窃取，保证信息过程不被篡改，保证发送方对信息不能抵赖。最后，需要采用自己的私钥对数据进行处理，确保信息的安全性，在利用数字证书进行加密后，用户也需要自己进行加密，保证信息的安全性，有效进行身份鉴别。

5 总结

综上所述，税务信息系统建设工作是一个长期的，艰巨的工作，任重而道远，加强信息系统建设，提升税务系统的安全性尤为重要，是保障信息安全，维护网络稳定，提高税收准确性，保证税收工作顺利开展实施的关键，需要税务工作者共同努力，为税务系统网络与信息安全建设贡献力量。

参考文献：

[1] 陆长虹，侯整风.金税工程（三期）信息安全保障体系的研究[J].微计算机信息，2008（6）.

[2] 徐炜，陶翔，徐国永.税收信息化建设中PKI技术的应用研究[J].计算机工程与设计，2007（9）.

[3] 朱永高.税务网络与信息安全问题浅析[J].企业经济，2005（4）.

[4] 黄俊波.浅析税务系统网络与信息安全风险及防范[J].现代经济信息，2010（6）：2-3.

[5] 李小明.浅析税务系统网络与信息安全建设[J].民营科技，2010（1）：116.

作者：管佩龙

信息安全与安全建设论文 篇2：

企业信息安全建设分析与调查问卷设计

摘要：本文讨论企业信息安全建设的体系化方法，提出了一个企业进行信息安全建设的体系化模型。同时，本文讨论了调查问卷设计方法，讨论通过调查问卷收集的信息全面地了解一家企业的信息安全现状。

关键词：企业信息安全；体系化建设；调查；问卷设计

1 介绍

现在的社会是信息化的社会，信息流动渗透到社会的方方面面。作为经济活动主体的企业，信息化程度与日俱增，无论信息化的深度还是广度都在不断扩大中。但是随着应用范围的提高，以及信息系统在生产各个环节中发挥的作用不断增大，企业信息化的安全性问题日渐突出。经常可以在新闻中看到，国内以及跨国的企业遭受攻击，或者其他原因的危害，导致电子化信息不安全，直接损失和间接损失也是很大的。

企业信息安全是必须重视的问题，对于一家独立的企业，如何掌握其信息安全现状，是评价其信息系统安全性、风险评估、实施安全防范措施等工作的前提。在各种可以使用的掌握企业信息安全现状的方法中，“调查”是一种有效的手段。其具有灵活性大、覆盖面全、伸缩性强、节约成本等优点。

如何通过合理的调查手段掌握企业的信息安全相关的资料？应该从两个方面入手，保证调查的成果：

(1) 首先是认清企业信息安全建设的体系。信息安全涵盖的内容与范围就是调查所要设计的范围，不完整的调查内容，其结果也是不可信的。

(2) 调查方法的研究。调查方法有很多可以选择的形式，针对企业的信息安全调查，应选择相匹配的形式，保证调查的成果符合预期效果。

2 企业信息安全建设体系

从目前的发展趋向看，企业信息化涉及到企业生产、经营、管理、决策等各个方面。因为信息化带来的好处，企业正在一步步进入信息化更广、更深的层次。企业信息化的过程也由最早的使用财务软件、建设企业内网、建设无纸化办公系统，发展到企业门户、电子商务平台、物联网等更新、更全的应用上。信息化给企业带来了效率提高、管理高效、竞争优势等诸多好处。同时，也在对外拓展和与互联网更深入交互的过程中，将自身的信息系统以及企业各类信息暴露在各种危险之中。

现在的企业越来越依赖这种信息系统提供的功能。面对越来越多的信息化系统，以及越来越多的脆弱点，企业如何进行信息安全建设，保障企业经营活动正常进行，进而保证企业正常运转！

企业信息安全建设是一项系统工程，自上而下包括信息安全规划与信息安全策略、软件安全管理、物理安全管理、防护措施以及安全基础等部分，如下图所示：[1]

2.1 信息安全规划与信息安全策略

信息安全规划是指企业在未来几年时间内，对其信息安全建设进行的规划，包括要做哪些事情，要分几个步骤完成等内容。信息安全规划是信息安全建设的指导性文件，为信息安全建设指明了方向和推进步骤。

信息安全策略是信息安全建设的核心，它描述了在信息安全建设过程中，需要对哪些主要信息资产进行保护，以及如何保护。[2]

2.2 软件安全管理

企业使用的信息系统包括软件和硬件两部分。软件包括的内容，从下至上有：

(1) 操作系统：计算机操作系统；

(2) 基础软件：运行业务软件所需要的一些软件，如：中间件、数据库等软件；

(3) 业务软件：为完成某些业务要求开发的软件；

(4) 业务数据：业务活动产生的电子化数据，这些数据是业务活动的核心内容，也是被盗取的目标。

软件的安全是信息安全必备条件之一，同时，软件安全也是受到威胁最多，保护难度最大的一部分。

2.3 物理安全管理

物理设备是信息系统运行的基础，因此物理安全也是信息安全的基础条件。物理安全管理包括：

(1) 主机终端：主机指的是信息系统的服务器，终端指的是各种PC机、笔记本等设备；

(2) 机房环境：主要包括机架、供电、空调、门禁等设备；

(3) 网络架构：主要指构建企业内部、外包网络的基础设备，如：交换机、路由器等，以

及网络架构设计情况；

(4) 通信设备：主要指企业多地连接、企业之间连接、企业与互联网连接等保证企业与外部进行连接的设备。

由于物理设备是信息系统运行的基础，因此对其进行安全管理也是必须的工作。

2.4 防护措施

防护措施是针对软件安全和物理安全采取的防护手段和方法。包括以下内容：

(1) 安全防护：安全防护的目的是为了保证软件或者硬件不被外部威胁所伤害，安全防护是加强防护性，提高被防护对象的安全强度；

(2) 安全审计：安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统、独立地检查验证，并作出相应评价。安全审计的作用是审视安全防护的水平，补充防护不足之处；

(3) 监控机制：监控是对系统、软件、硬件等对象的运行状态进行监视，并对异常现象进行快速报警以及相应的处理。监控的目的是要在被监控对象出现问题时，第一时间作出相应处理；

(4) 备份机制：是一种防范于未然的手段，当主用系统或者设备出现问题时，可以有备用系统或者设备快速接替其位置，继续提供功能或者服务；

(5) 应急机制：应急机制可以理解为应付突发事件而采取的一些应急措施安排和制度。通常包括预防机制、预警机制、反应机制、控制机制、恢复机制等五个主要部分。

2.5 防护措施与防护对象关系

通过一个二维表，可以说明防护措施与防护对象之间的关系，以及具体可以采取的措施。

2.6 安全基础

安全基础是进行信息安全建设的基础部分，有了相应的安全制度、资金投入以及组织人员配备，相应的安全措施就可以有效地实行。

安全制度：安全制度有很强的行业特性，也会根据各个企业管理思想不同而不同。

资金投入：信息安全建设需要软硬件设备建设、制度建设、推广实行等多方面工作，这些工作需要资金给予支持。只要信息安全建设不停止，资金投入就不能停止。

组织人员：信息安全建设和信息安全日常管理都需要配置相应的组织机构和合适的人员。同时，对于企业生产等环节的人员也要进行安全培训。

3 调查方法分析

社会调查（survey reseach），指的是一种采用自填式问卷或结构式访问的方法，系统地、直接地从一个取自总体的样本那里收集量化资料，并通过对这些资料的统计分析来认识社会现象及其规律的社会研究方式。[3]

问卷调查法也称问卷法，它是调查者运用统一设计的问卷向被选取的调查对象了解情况或征询意见的调查方法。问卷调查是以书面提出问题的方式搜集资料的一种研究方法。研究者将所要研究的问题编制成问题表格，以邮寄方式、当面作答或者追踪访问方式填答，从而了解被试对某一现象或问题的看法和意见，所以又称问题表格法。问卷法的运用，关键在于编制问卷，选择被试和结果分析。

3.1 编制调查问题

3.1.1 问题的种类

编制的问题应该包括以下内容：

(1) 背景性的问题：是指被调查企业的基础情况。

(2) 客观性问题：是指关于企业信息安全建设现状的各种问题。

(3) 校验性问题：为检验回答是否真实、准确而设计的问题。

3.1.2 问题的结构

问题应该包括以下内容：

(1) 背景性的问题：是指被调查企业的基础情况。

(2) 关于信息安全建设问题：从企业信息安全建设所涉及的各个方面进行调查。相关的问题可以归类按照一定的逻辑顺序排列。如下面的排列方法：

a) 信息安全组织情况

b) 信息安全人员管理情况

c) 信息安全资金投入情况

d) 信息安全制度保障情况

e) 通信线路保障情况

f) 网络架构建设与管理情况

g) 机房建设情况

h) 主机情况

i) 信息系统情况

j) 业务数据保护情况

3.1.3 问题的粒度

调查问题的粒度也是一个考虑因素。举例说明：调查维护信息系统的系统管理员的更换频率，人员更迭期由于人员交接和磨合，对信息系统的安全保障可能会产生风险。一种选择是只调查一年内更换系统管理员的人次，另一种方法是将更换的系统管理员的基本信息也收集起来，如从业年限、行业经验、最高学历、交接时长等，这些细粒度的信息对于后续的信息安全评估与风险分析等工作会有很大帮助，但是其必然会增加调查的难度，采用何种粒度的调查项进行调查则要根据实际情况来确定。

3.2 调查形式

有别于普通的面向社会个人的社会调查，这种以企业为对象的调查活动，有特定的时间，由专门人员来完成。

结合特定的行政手段，对于保障调查结果的真实性和有效性是非常有帮助的。

3.3 调查范围

针对被调查对象范围的不同，可以将调查活动分为两类：

(1) 个体调查

就是针对某企业的信息安全情况进行的调查活动。

(2) 普查

指的是对构成总体的所有个体无一例外地逐个进行调查。如：对行业内所有企业进行的调查活动就是对特定行业的企业进行的普查活动。

参考文献

[1]ISO/IEC 27001:2005信息安全管理体系[S].

[2]袁京军. 信息安全规划指导.http://wenku.baiducom/view/7bc104eb172ded630b1cb602.html.

[3]风笑天. 现代社会调查方法.第3板. 华中科技大学出版社, 2009.

——————————

基金申请人：陈鹏

基金资助项目(作者申报的项目)名称：证券期货行业信息技术应急保障管理平台

国家基金项目编号：2009BAH47B02

作者：陈鹏,李毅

信息安全与安全建设论文 篇3：

高校教学信息化系统信息安全建设的思考与实践

摘 要：随着高校教学信息化系统的深入建设与扩展，教学信息化系统对日常教学的支撑和服务日益显露出其重要性与必要性。新一代网络安全技术和产品的引入对在现有网络环境下加强教学信息化系统安全保证其安全稳定运行给出了有益的帮助。本文从闽南师范大学教学信息化系统的安全建设的现状和实践出发就此问题进行研究和思考。

关键词：教学信息化系统;信息安全;态势感知;行为管理

一、建设现状

闽南师范大学教务处作为本校教学信息化系统的建设和管理单位多年来对教学信息化系统进行了持续的投入和建设，目前已初步建成了覆盖“一江两校区”的教学信息化系统。其中包括覆盖两校区所有教学楼和附属设施的教学专用网络和覆盖全校238间教室的云多媒体教室系统，以及教务管理系统、教学可视化管理系统、音视频信息发布系统、标准化考试巡考系统、智慧教学系统、在线教学直播录播系统、教室物联网管理系统等各种教学信息化应用系统。其中教学专用网络是闽南师范大学各大教学信息化业务平台及教务处信息系统的基础核心，是校园网的一个重要的子网。因为有大量为广大师生服务的重要信息（數据）平台，所以信息系统安全是网络保护的核心。

在现有系统结构下，闽南师范大学教学信息系统已稳定运行多年。但随着国家关于等级保护要求的提高以及信息系统在学校整体运行中的重要性日益提高，在现有教学专用网络结构和安全设备基础上，实施重点保护，对各应用系统深入开展信息安全保护工作，并在此基础上指引后续信息化安全建设方向成为信息化系统建设新的工作重心。

二、现存问题

如闽南师范大学教学信息化系统拓扑图所示，目前教学信息化系统全网使用RG-S8605E作为单独核心，使用千兆光纤下联RG-S2910接入交换机，由接入交换机接入RG-CT6300云桌面终端，其云桌面服务器及其他应用系统服务器全部通过直连千兆电缆接入核心交换机部署。该拓扑结构较为简洁，但因此带来的问题十分明显：

（1）全网拓扑结构中现有设备，使用目的均为保障日常办公、教学业务的开展，专网网络出口及各分区均无安全设备部署。虽然学校校园网络出口有网络安全设备，但随着信息化发展，专网内部各系统面临的安全防护、应用控制、安全连接等各类安全问题的解决迫在眉睫;

（2）在目前情况下无法对用户日常使用各类应用所产生的数据进行全面检查和分析，对于可能存在的违规行为无法进行及时有效的深度识别、管控和审计;

（3）在网络潜在攻击和威胁层面，现有设备架构无法对网络流量进行审计，无法对重要原始网络数据包的保存、威胁情报检测、攻击检测等进行操作，对于各类高风险的运维访问协议，并在连接过程进行身份识别、行为分析、风险鉴别。

三、建设思路及方案

（一）建设思路

根据闽南师范大学教学信息化系统的现状和存在的问题，笔者及团队从以下几个角度出发进行思考，开展如何实行信息系统及配套网络系统的安全建设改造，力求通过从整个系统顶层架构的调整来解决现存的问题并为今后信息系统的建设做好准备。

1.网络架构调整

通过在教学信息化专用网络与校园网连接的边界安全域部署防火墙，在各个安全域边界部署防火墙实现各个安全域的边界隔离和划分，在防火墙上配置访问控制策略对外部访问和内部数据访问进行控制。防火墙可根据会话状态信息，对源地址、目的地址、源端口、目的端口和协议等进行访问控制，做到允许/拒绝访问，控制力度可设置为端口级。

2.建立访问控制体系

通过在安全区域边界设置自主和强制访问控制机制，应对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证，对进出安全区域边界的数据信息进行控制，阻止非授权访问。

3.建立态势感知系统

考虑在教学信息化专网内部建设态势感知系统，对专网内部数据访问进行动态监控。该系统可根据采集的攻击信息，对攻击来源、目标等进行统计和计算，对攻击来源进行溯源，让管理员对全网的攻击态势进行动态的跟踪了解，以及时进行处置干预，保证网内信息安全。

4.建设安全管理中心系统

安全管理中心是为提供集中安全管理功能的系统，是安全应用系统安全策略部署和控制的中心，对安全通信网络、安全区域边界和安全计算环境上的安全机制实施统一集中管理。安全管理中以大数据框架为基础，结合威胁情报系统，协助建立和完善对网络内部的安全态势监控、安全威胁实时预警、安全事故紧急响应的能力，利用智能化预警协助管理员快速发现和分析安全问题，并通过技术手段，实现安全问题闭环管理。

（二）设备选型要求

1.下一代防火墙设备

网关类安全产品作为整个网络安全架构中的关键组成部分，承担着安全防护、应用控制、安全连接、多运营商链路加速等多维度的复杂任务，因此在建设中要求具备以下要求：

（1）采用CPU+ASIC硬件芯片融合技术，以此解决现在设备采用的传统X86架构在应用层数据检测方面存在的性能瓶颈问题;

（2）在支持NAT、ACL、DDoS防御等传统安全功能的同时也应支持多样化的应用级安全功能，包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等;

（3）可对大量的网络应用和地址进行快速识别，要求可识别超过3000个以上的互联网应用和超过2.5亿个URL地址;

（4）可针对应用、用户、内容关联分析，审计全网的事件日志并通过数据分析处理，将事件日志分类、整合，提供潜在威胁的预警;

（5）支持与在线安全系统如线上云安全中心的联动，可以在线获取有效的针对未知威胁的防护方案，以便应对超出传统防御手段的威胁与攻击。

2.上网行为管理设备

行为管理设备可以针对性的对系统和网内用户的数据访问和分发等行为进行管控，对特征用户进行预警和跟踪，对信息化系统的内部管理有重要的意义，因此从以下几方面提出设备要求：

（1）可以精确识别用户上网的URL、网络搜索、外发文件、邮件、微博等，支持移动APP识别、用户终端关联无线AP MAC、SSID识别、HTTPS网页及SSL加密邮件识别，可以进行全面的内容审计精细透视网络行为;

（2）需要支持用户、协议、接口上下行流量管理，支持带宽多级嵌套管理、上网应用细分控制、上网总时长管理、会话控制，并可通过设置优先级保障关键业务带宽，实现多级带宽管理;

（3）可以进行邮件收发管理和附件过滤、不良网站封堵、HTTP/FTP文件传输控制、搜索关键字过滤，异常流量检测告警、异常行为检测告警等精细化信息管理;

（4）要求具备上网行为审计许可及公共场所无线上网服务许可，满足6个月以上的上网日志存储要求，支持和上级网络管理平台数据对接;

（5）支持本地认证、支持微信认证、短信认证、LDAP、Radius、AD域認证，轻松满足身份系统对接。

3.流量态势感知系统

流量态势感知设备可以进一步完善在网络安全数据采集能力，在高速网络环境下实行对主流网络数据包的解码、协议识别及会话重组/保存、重要原始网络数据包的保存、威胁情报检测、攻击检测等;对于相关重要的会话信息、攻击检测、威胁情报检测等生成的安全事件转发至BDS上层模块作为进一步分析的数据来源，是对传统安全防御系统的进一步完善和补充。其具体特点和选型要求有：

（1）要求采用零拷贝、全程无锁化技术处理网络流量数据包，利用CPU向量化指令对各类模式进行识别或匹配，保证在超大流量情况下，系统整体处理无延时;

（2）要求采用向量机、马尔科夫转移概率分析、距离分析、参数及非参数假设检验分析等智能分析方法对各类网络连接及流量进行分析，对可能隐藏的问题进行深层级挖掘;

（3）可从已知签名检测、行为检测、网络会话异常检测、威胁情报检测及事件关联分析等多个维度对URL、邮件、网络通道、流量等威胁载体中各类安全威胁进行深度检测，并在高级持续威胁的漏洞利用、后门植入、后门网络通道，C&C回连、流量异常等多个阶段、多个攻击环节上形成比较纵深、完备的检测体系;

（4）可对于HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等应用协议的元数据及会话数据，进行大数据存储、搜索分析，识别、挖掘其中可疑的攻击行为，进行安全分析效能持续改进。

结语

闽南师范大学教学信息化系统的安全建设方案依照“化被动为主动，防内与防外并重”的思路进行了整体设计，通过安全设备的多层级多方位部署防御，将原来的被动防御和消极防御转变为主动防御，在信息系统和专网的管理中掌握优先权。管理员可以跟踪用户在服务器上的操作，防御黑客的入侵攻击，加强安全网络的防御，及加强高级威胁检测能力。并通过“文件+流量”双维度分析，完善各信息系统和专用网络的“安全墙”，把网络中的非法分子挡在墙外，也对内部进行审计管理，将内部的“病魔”驱除。

同时安全设备尽量采用旁挂方式部署，避免了整体方案因为安全加固而出现新的安全问题。建设的中心思想是要解决当前安全问题，因此在增加安全设备为网络保驾护航同时也考虑到安全设备造成的与校园网主连接出口单点故障风险，通过网络架构和设备的合理配置尽量降低因物理链路原因而产生的新问题。

目前，以上建设方案已经进入分期建设阶段，第一期专用网络改造调整和流量分析系统、网络运维管理平台等安全系统已经采购安装建设到位，完成经费投入约200万元。目前，已经建设完成的系统和设备已经在日常教学信息化应用中发挥应有的作用。

参考文献：

[1]熊书明，王谦，吴继英.基于物联网的统计大数据安全采集系统构建探索[J].统计与咨询，2016.

[2]马玉鹏.基于移动物联网的安全生产系统构建及评价分析[D].中国科学院大学，2015.

[3]傅川，陈云.高校信息系统安全体系研究与实践[J].中山大学学报（自然科学版），2009（增刊）：16-18.

[4]刘辉，葛淑杰，韩微微.数字化校园信息安全防护体系的设计[J].通信技术，2009（2）：20-21.

[5]王延明，许宁.高校信息安全风险分析与保障策略研究[J].情报科学，2014（10）：134-138.

[6]王宇.利用云桌面技术管理多媒体教室的应用研究[J].中国校外教育，2014（8）.

基金项目：福建省中青年教师教育科研项目：云安全技术在云多媒体教室系统中的整合和运用（项目编号：JAT191920）

作者简介：董征（1981— ），男，福建漳州人，硕士，闽南师范大学助理研究员，研究方向：现代教育技术。

作者：董征