昆明消防指揮學校金盾網(wǎng)安全防護體系的研究

周潔

摘 要：信息技術對軍校教育產(chǎn)生了前所未有的巨大沖擊，昆明消防指揮學校金盾網(wǎng)的安全防護體系也需要隨之不斷完善，研究我校金盾網(wǎng)的脆弱性，從金盾網(wǎng)安全管理制度和安全技術兩方面入手進行研究，建立完善的安全防護系統(tǒng)，確保系統(tǒng)安全穩(wěn)定運行。

關鍵詞：金盾網(wǎng)；安全防護體系；信息化

1991年爆發(fā)的海灣戰(zhàn)爭第一次將信息化作戰(zhàn)發(fā)揮到了極致，掀起了世界性新軍事變革大潮，這也促使我國軍事理論從以機械化戰(zhàn)爭為核心向以信息化戰(zhàn)爭為核心轉(zhuǎn)變，十八大政府工作報告中提到要全面加強軍隊革命化現(xiàn)代化正規(guī)化建設，堅定不移把信息化作為軍隊現(xiàn)代化建設發(fā)展方向，推動信息化建設加速發(fā)展。與此同時，在軍隊全面進行信息化建設的過程中，網(wǎng)絡安全問題日益嚴峻，提高軍隊網(wǎng)絡安全防御能力，建立完善的軍隊網(wǎng)絡安全防御體系刻不容緩。

90年代末，我國政府為適應全球信息化趨勢，啟動政府信息化系統(tǒng)工程——“十二金”工程?！敖鸲芄こ獭保ü残畔⒒┳鳛槠渲兄?，自1998年開始實行。消防信息化對實現(xiàn)消防業(yè)務辦公自動化和消防業(yè)務信息共享和綜合利用，提高消防部隊預防和撲救火災以及處置其它災害事故的實戰(zhàn)能力，優(yōu)化消防業(yè)務工作流程，實現(xiàn)消防業(yè)務管理科學化、規(guī)范化，提高工作質(zhì)量和管理水平等方面，都起到了積極作用。與此同時，由于網(wǎng)絡協(xié)議的開放性、系統(tǒng)的通用性、計算機自身的脆弱性及在系統(tǒng)平臺搭建中的一些不穩(wěn)定因素不可避免的產(chǎn)生了一些安全問題，這些安全問題將有可能導致病毒傳播、非法入侵、信息泄漏甚至整個平臺崩潰。因此，如何預防和解決信息化建設中存在的安全問題，使網(wǎng)絡更好的服務于當前的消防工作，是信息化建設中亟待解決的問題。

在信息化建設的浪潮中，信息技術對軍校教育產(chǎn)生了前所未有的巨大沖擊，從教育理念、教育目標到教育環(huán)境、教育模式、教育管理，都在這場沖擊中發(fā)生著變革。我校作為一所培養(yǎng)消防部隊基層指揮人才的專業(yè)學校，也響應消防部隊信息化建設的號召，緊跟網(wǎng)絡建設發(fā)展的步伐，全面推進我校信息化建設。隨著我校規(guī)模逐年擴大，信息化建設全面鋪開，我校金盾網(wǎng)的安全防護體系也需要隨之不斷完善。

1 我校金盾網(wǎng)脆弱性分析

根據(jù)我校金盾網(wǎng)軟硬件部署情況，將我校金盾網(wǎng)脆弱性分析如下：

1.1 軟件弱點

第一：首先我校金盾網(wǎng)覆蓋面較大，金盾網(wǎng)終端數(shù)量大，每臺終端根據(jù)應用需要都運行著操作系統(tǒng)和一定數(shù)量的應用軟件，無論是操作系統(tǒng)還是應用軟件都由大量的計算機代碼構成的。研究表明，正常情況下，每一千行計算機代碼，存在5到15個漏洞，假設在我校金盾網(wǎng)終端中運行的這數(shù)百萬計的計算機代碼行中，存在的漏洞中只有一小部分和網(wǎng)絡安全相關，這一小部分漏洞中又只有一小部分可以被攻擊者利用，那么這樣的安全漏洞也有幾千個，攻擊者往往就是利用剛才所述的漏洞進行攻擊，入侵系統(tǒng)的。

第二：我校金盾網(wǎng)終端均安裝了“一機兩用”監(jiān)控軟件，嚴禁任何終端同時接入金盾網(wǎng)和互聯(lián)網(wǎng)，終端不能通過互聯(lián)下載安裝系統(tǒng)和軟件補丁，這也成為了我校金盾網(wǎng)終端系統(tǒng)和軟件升級難的原因之一，加之使用人員還沒有養(yǎng)成良好的使用習慣，網(wǎng)絡安全意識還比較淡漠，沒有及時在金盾網(wǎng)上下載補丁、升級和更新病毒庫，這就不可避免的造成了軟件漏洞，讓攻擊者有機可乘，為病毒傳播提供了溫床。

1.2 硬件弱點

我校金盾網(wǎng)硬件均使用國產(chǎn)硬件，有效杜絕了國外敵對勢力利用可編程硬件，人為在硬件上設置“后門”進行攻擊。

1.3 配置弱點

第一：我校的金盾網(wǎng)配置了復雜訪問控制策略的防火墻進行保護，防火墻配置了幾百條規(guī)則用于拒絕和允許各種流量， 由于規(guī)則數(shù)量較大，準確無誤的配置規(guī)則對網(wǎng)絡管理人員自身的素質(zhì)要求較高，兩方面因素增加了配置錯誤的幾率。

第二：我校金盾網(wǎng)處于建設階段，各種網(wǎng)絡安全措施在不斷的完善，網(wǎng)絡管理人員對于新的網(wǎng)絡安全措施中的硬件配置規(guī)則掌握不全面，不熟練，也造成了配置上的弱點。

第三：由于我校網(wǎng)絡管理人員自身業(yè)務水平的局限性增加了出現(xiàn)配置錯誤的幾率。

1.4 策略弱點

無論何種網(wǎng)絡，所遵循的安全策略是基本相同的，由安全策略的不完善引發(fā)的安全問題具有一定的普遍性，近年來，各種網(wǎng)絡策略弱點屢屢被曝光，我校網(wǎng)絡管理人員可以通過各種渠道及時掌握網(wǎng)絡安全資訊，調(diào)整我校金盾網(wǎng)安全策略，從而避免策略弱點導致的安全問題。

1.5 使用弱點

我校嚴格執(zhí)行《公安消防部隊計算機信息系統(tǒng)保密管理暫行規(guī)定》等網(wǎng)絡安全的規(guī)章制度，并結合我校實際制定了具體的工作制度。但由于金盾網(wǎng)覆蓋面廣，終端數(shù)量大，干部、士兵以及學員都有一定的權限使用金盾網(wǎng)，使用人員網(wǎng)絡安全意識參差不齊、使用經(jīng)驗不足違反了安全策略，造成使用弱點。

2 金盾網(wǎng)安全防護體系的改善

鞏固和改善我校金盾網(wǎng)安全防護體系是一個長期的、專業(yè)化的、不斷發(fā)展變化的任務。以技術手段為主，以制度建設為輔，兩者相結合，有效的維護我校金盾網(wǎng)的安全、穩(wěn)定和有效運行。

2.1 金盾網(wǎng)安全管理制度的改善

⑴建立健全物理安全制度。我校金盾網(wǎng)覆蓋教學樓、辦公樓和各學員大隊，網(wǎng)絡設備分布廣泛，管理存在一定難度，一旦線路和設備遭到破壞，將引起網(wǎng)絡中斷；包含敏感數(shù)據(jù)的設備被盜或電磁泄漏，將造成信息的泄露，造成無可彌補的損失，所以維護我校金盾網(wǎng)的物理安全是維護我校金盾網(wǎng)安全最基礎的環(huán)節(jié)。在信息中心等重點環(huán)節(jié)安裝門禁系統(tǒng)，可有效防止無關人員有意無意的造成機房安全事故；配備視頻監(jiān)控系統(tǒng)，全面監(jiān)視網(wǎng)絡設備和線路的安全，可有效防止人為破壞和盜竊等安全事故的發(fā)生。為了防止我校金盾網(wǎng)敏感數(shù)據(jù)通過電磁輻射泄露，根據(jù)信息的重要性和防護成本，采取一定的電磁波防護措施；使用磁帶、磁盤存放柜，并采取物理保護措施，對載有機密以上內(nèi)容的磁盤、磁帶，需保存在防磁屏蔽容器內(nèi)；室內(nèi)采用六類屏蔽雙絞線，消除電磁泄漏的隱患，室外遠程傳輸采用光纖。機房內(nèi)的所有設備、物體表面的磁場強度允許范圍在800A/m內(nèi)，以防磁場強度超標對存儲介質(zhì)上的信息造成破壞。

⑵網(wǎng)絡安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡攻擊都來源于網(wǎng)絡內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡行為，制定相應的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學員大隊都應建立一套責任落實、目標明確的管理制度，制定出具體安全操作制度、安全監(jiān)測記錄制度以及軟件升級制度，將日常的安全管理工作落實到人，部門領導承擔起督促的責任。嚴格按《公安機關人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對我校網(wǎng)上違規(guī)行為進行查處，制定責任追究方案，規(guī)范責任追究程序，明確責任追究部門，加大通報力度，制定具體的處罰細則，建立督促整改制度。

⑶建立網(wǎng)絡安全管理人才的培訓制度。提高我校網(wǎng)絡管理人員的業(yè)務素質(zhì)，培養(yǎng)網(wǎng)絡技術人才也是提高金盾網(wǎng)安全的重要手段。先進的安全防范設施只有由精通網(wǎng)絡安全管理技術的人員使用才能發(fā)揮作用。我校未來應該和實力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡安全知識講座，普及網(wǎng)絡安全知識，提高全員網(wǎng)絡安全意識；對本身具有計算機網(wǎng)絡專業(yè)知識的人員進行定期培訓，使之了解網(wǎng)絡安全形勢動態(tài)，掌握網(wǎng)絡安全先進技術，培養(yǎng)優(yōu)秀的網(wǎng)絡安全管理人才為我校信息化建設注入新鮮的血液。

2.2 金盾網(wǎng)安全技術的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務器放置的位置，例如WEB服務器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達Web服務器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務器并獲得遠程超級用戶權限，進而通過Web服務器攻擊內(nèi)部網(wǎng)絡。目前，雖然在整個金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴重的攻擊事件，但從整個網(wǎng)絡環(huán)境上看，網(wǎng)絡安全形勢嚴峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設置了DMZ（停火區(qū)），DMZ的安全性高于外部網(wǎng)絡（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務器，例如WEB、FTP、SMTO、POP3、MAIL等服務器，這些服務器只承擔代理數(shù)據(jù)訪問職責并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫系統(tǒng)、應用程序等涉及敏感數(shù)據(jù)的服務器保護在內(nèi)網(wǎng)當中。內(nèi)部網(wǎng)絡即可訪問DMZ又可訪問外部網(wǎng)絡，但對訪問DMZ做一定的限制，防止內(nèi)部用戶對DMZ進行攻擊；一般情況下，對于內(nèi)部網(wǎng)絡和外部網(wǎng)絡，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡的高安全級別，嚴格限制DMZ訪問內(nèi)部網(wǎng)絡，在必要的情況下，只將內(nèi)部網(wǎng)絡某些特定端口的訪問權限授予DMZ；嚴禁外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡。設置DMZ的優(yōu)點顯而易見，為內(nèi)部網(wǎng)絡設置了一道保護屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡要困難的多。

目前，很流行部署雙防火墻，層次結構為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動機在于用內(nèi)部防火墻來彌補外部防火墻的漏洞，但是防火墻如果沒有達到預期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會增加安全性，并且有成本高、管理復雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認證系統(tǒng)的改善。隨著信息化建設的推進，將從公安部自上而下按照行政層級建立層級式的證書中心CA，部局二級證書中心為我校設立的三級證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時，我校也將部署總隊級權限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權限等服務，對我校金盾網(wǎng)系統(tǒng)資源進行訪問控制，并且可以實現(xiàn)上下級用戶權限的轉(zhuǎn)換以實現(xiàn)與其他各級信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實現(xiàn)使用者每人配備一個身份認證設備，以實現(xiàn)身份認證和權限管理的配合。對于認證系統(tǒng)來說，如何正確使用證書關系到整個金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡安全講座，普及數(shù)字證書安全使用方法以及相關管理規(guī)定，提高全員網(wǎng)絡安全意識；完善數(shù)字證書管理機制，建立專門數(shù)字證書管理臺賬，責任落實到人，“誰使用，誰負責”，數(shù)字證書一旦遺失，及時上報注銷，盡可能降低網(wǎng)絡安全風險；對本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計算機網(wǎng)絡遭受的攻擊和破壞當中，八成來源于網(wǎng)絡內(nèi)部，而防火墻，入侵檢測系統(tǒng)等傳統(tǒng)的安全防護手段往往對來源于網(wǎng)絡內(nèi)部的攻擊和破壞束手無策。我國通常采用制度監(jiān)管的方式監(jiān)控和審計內(nèi)部網(wǎng)絡行為，而國外多采用了先進的技術手段監(jiān)管內(nèi)部網(wǎng)絡行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡安全意識參差不齊，網(wǎng)絡終端安全問題較為突出。從網(wǎng)絡終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機兩網(wǎng)”監(jiān)控軟件、補丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡終端數(shù)量大，任何一臺終端感染病毒，都將威脅整個網(wǎng)絡的安全，影響網(wǎng)絡正常運行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡安全防護系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護系統(tǒng)抵御攻擊、將安全風險降低。我校共設置三個網(wǎng)段，每個網(wǎng)段由一臺病毒防治服務器負責，負責訓練部網(wǎng)段的病毒防治服務器和負責學員隊機關的病毒防治服務器均安裝了瑞星殺毒軟件服務器端，負責多媒體教學網(wǎng)段的病毒防治服務器安裝了卡巴斯基殺毒軟件服務器端，各終端上均安裝防病毒客戶端軟件。這三臺病毒服務器定期升級病毒庫和主程序，然后再升級各自負責的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學樓各層的每間教室，承擔了我校絕大多數(shù)的教學工作，此外還承擔了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風險大，感染病毒的種類雜，在負責這一網(wǎng)段的病毒防治服務器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢嚴峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點也是顯而易見，運行時大量占用內(nèi)存，升級頻繁，影響系統(tǒng)運行速度和功能，鑒于此，在使用人員相對單純的訓練部網(wǎng)段和機關各學員大隊網(wǎng)段安裝了瑞星殺毒軟件服務器端的病毒服務器進行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡管理人員監(jiān)管我校所有的計算機終端和我校終端用戶主動維護計算機終端安全運行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復系統(tǒng)，修補漏洞方面功能非常強大，彌補其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻]

[1]賀雪晨.信息對抗與網(wǎng)絡安全.清華大學出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計算機安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測系統(tǒng)的研究.計算機教學和教育信息化，2008，（1）：91-94.

⑵網(wǎng)絡安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡攻擊都來源于網(wǎng)絡內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡行為，制定相應的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學員大隊都應建立一套責任落實、目標明確的管理制度，制定出具體安全操作制度、安全監(jiān)測記錄制度以及軟件升級制度，將日常的安全管理工作落實到人，部門領導承擔起督促的責任。嚴格按《公安機關人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對我校網(wǎng)上違規(guī)行為進行查處，制定責任追究方案，規(guī)范責任追究程序，明確責任追究部門，加大通報力度，制定具體的處罰細則，建立督促整改制度。

⑶建立網(wǎng)絡安全管理人才的培訓制度。提高我校網(wǎng)絡管理人員的業(yè)務素質(zhì)，培養(yǎng)網(wǎng)絡技術人才也是提高金盾網(wǎng)安全的重要手段。先進的安全防范設施只有由精通網(wǎng)絡安全管理技術的人員使用才能發(fā)揮作用。我校未來應該和實力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡安全知識講座，普及網(wǎng)絡安全知識，提高全員網(wǎng)絡安全意識；對本身具有計算機網(wǎng)絡專業(yè)知識的人員進行定期培訓，使之了解網(wǎng)絡安全形勢動態(tài)，掌握網(wǎng)絡安全先進技術，培養(yǎng)優(yōu)秀的網(wǎng)絡安全管理人才為我校信息化建設注入新鮮的血液。

2.2 金盾網(wǎng)安全技術的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務器放置的位置，例如WEB服務器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達Web服務器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務器并獲得遠程超級用戶權限，進而通過Web服務器攻擊內(nèi)部網(wǎng)絡。目前，雖然在整個金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴重的攻擊事件，但從整個網(wǎng)絡環(huán)境上看，網(wǎng)絡安全形勢嚴峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設置了DMZ（停火區(qū)），DMZ的安全性高于外部網(wǎng)絡（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務器，例如WEB、FTP、SMTO、POP3、MAIL等服務器，這些服務器只承擔代理數(shù)據(jù)訪問職責并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫系統(tǒng)、應用程序等涉及敏感數(shù)據(jù)的服務器保護在內(nèi)網(wǎng)當中。內(nèi)部網(wǎng)絡即可訪問DMZ又可訪問外部網(wǎng)絡，但對訪問DMZ做一定的限制，防止內(nèi)部用戶對DMZ進行攻擊；一般情況下，對于內(nèi)部網(wǎng)絡和外部網(wǎng)絡，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡的高安全級別，嚴格限制DMZ訪問內(nèi)部網(wǎng)絡，在必要的情況下，只將內(nèi)部網(wǎng)絡某些特定端口的訪問權限授予DMZ；嚴禁外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡。設置DMZ的優(yōu)點顯而易見，為內(nèi)部網(wǎng)絡設置了一道保護屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡要困難的多。

目前，很流行部署雙防火墻，層次結構為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動機在于用內(nèi)部防火墻來彌補外部防火墻的漏洞，但是防火墻如果沒有達到預期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會增加安全性，并且有成本高、管理復雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認證系統(tǒng)的改善。隨著信息化建設的推進，將從公安部自上而下按照行政層級建立層級式的證書中心CA，部局二級證書中心為我校設立的三級證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時，我校也將部署總隊級權限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權限等服務，對我校金盾網(wǎng)系統(tǒng)資源進行訪問控制，并且可以實現(xiàn)上下級用戶權限的轉(zhuǎn)換以實現(xiàn)與其他各級信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實現(xiàn)使用者每人配備一個身份認證設備，以實現(xiàn)身份認證和權限管理的配合。對于認證系統(tǒng)來說，如何正確使用證書關系到整個金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡安全講座，普及數(shù)字證書安全使用方法以及相關管理規(guī)定，提高全員網(wǎng)絡安全意識；完善數(shù)字證書管理機制，建立專門數(shù)字證書管理臺賬，責任落實到人，“誰使用，誰負責”，數(shù)字證書一旦遺失，及時上報注銷，盡可能降低網(wǎng)絡安全風險；對本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計算機網(wǎng)絡遭受的攻擊和破壞當中，八成來源于網(wǎng)絡內(nèi)部，而防火墻，入侵檢測系統(tǒng)等傳統(tǒng)的安全防護手段往往對來源于網(wǎng)絡內(nèi)部的攻擊和破壞束手無策。我國通常采用制度監(jiān)管的方式監(jiān)控和審計內(nèi)部網(wǎng)絡行為，而國外多采用了先進的技術手段監(jiān)管內(nèi)部網(wǎng)絡行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡安全意識參差不齊，網(wǎng)絡終端安全問題較為突出。從網(wǎng)絡終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機兩網(wǎng)”監(jiān)控軟件、補丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡終端數(shù)量大，任何一臺終端感染病毒，都將威脅整個網(wǎng)絡的安全，影響網(wǎng)絡正常運行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡安全防護系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護系統(tǒng)抵御攻擊、將安全風險降低。我校共設置三個網(wǎng)段，每個網(wǎng)段由一臺病毒防治服務器負責，負責訓練部網(wǎng)段的病毒防治服務器和負責學員隊機關的病毒防治服務器均安裝了瑞星殺毒軟件服務器端，負責多媒體教學網(wǎng)段的病毒防治服務器安裝了卡巴斯基殺毒軟件服務器端，各終端上均安裝防病毒客戶端軟件。這三臺病毒服務器定期升級病毒庫和主程序，然后再升級各自負責的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學樓各層的每間教室，承擔了我校絕大多數(shù)的教學工作，此外還承擔了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風險大，感染病毒的種類雜，在負責這一網(wǎng)段的病毒防治服務器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢嚴峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點也是顯而易見，運行時大量占用內(nèi)存，升級頻繁，影響系統(tǒng)運行速度和功能，鑒于此，在使用人員相對單純的訓練部網(wǎng)段和機關各學員大隊網(wǎng)段安裝了瑞星殺毒軟件服務器端的病毒服務器進行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡管理人員監(jiān)管我校所有的計算機終端和我校終端用戶主動維護計算機終端安全運行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復系統(tǒng)，修補漏洞方面功能非常強大，彌補其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻]

[1]賀雪晨.信息對抗與網(wǎng)絡安全.清華大學出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計算機安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測系統(tǒng)的研究.計算機教學和教育信息化，2008，（1）：91-94.

⑵網(wǎng)絡安全日常管理制度。據(jù)調(diào)查數(shù)據(jù)表明，80%的網(wǎng)絡攻擊都來源于網(wǎng)絡內(nèi)部，規(guī)范內(nèi)部用戶的網(wǎng)絡行為，制定相應的處罰制度，從源頭上消除安全隱患是保障我校金盾網(wǎng)安全最為行之有效的制度手段。信息中心、教研室和各學員大隊都應建立一套責任落實、目標明確的管理制度，制定出具體安全操作制度、安全監(jiān)測記錄制度以及軟件升級制度，將日常的安全管理工作落實到人，部門領導承擔起督促的責任。嚴格按《公安機關人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》，對我校網(wǎng)上違規(guī)行為進行查處，制定責任追究方案，規(guī)范責任追究程序，明確責任追究部門，加大通報力度，制定具體的處罰細則，建立督促整改制度。

⑶建立網(wǎng)絡安全管理人才的培訓制度。提高我校網(wǎng)絡管理人員的業(yè)務素質(zhì)，培養(yǎng)網(wǎng)絡技術人才也是提高金盾網(wǎng)安全的重要手段。先進的安全防范設施只有由精通網(wǎng)絡安全管理技術的人員使用才能發(fā)揮作用。我校未來應該和實力雄厚的安全公司、廠家積極溝通交流，定期開展網(wǎng)絡安全知識講座，普及網(wǎng)絡安全知識，提高全員網(wǎng)絡安全意識；對本身具有計算機網(wǎng)絡專業(yè)知識的人員進行定期培訓，使之了解網(wǎng)絡安全形勢動態(tài)，掌握網(wǎng)絡安全先進技術，培養(yǎng)優(yōu)秀的網(wǎng)絡安全管理人才為我校信息化建設注入新鮮的血液。

2.2 金盾網(wǎng)安全技術的改善

⑴防火墻系統(tǒng)部署的改善。鑒于我校金盾局域網(wǎng)和整個金盾廣域網(wǎng)的交流聯(lián)系越來越密切，需要重新考慮一些服務器放置的位置，例如WEB服務器，如果直接將其暴露于防火墻外，無疑是不安全的；現(xiàn)狀是：將其放置在防火墻后，防火墻的配置原則是：允許Web信息通過端口80到達Web服務器，這樣的配置可以防止攻擊者直接攻擊網(wǎng)絡內(nèi)部，但是攻擊者可以通過端口80攻擊Web服務器并獲得遠程超級用戶權限，進而通過Web服務器攻擊內(nèi)部網(wǎng)絡。目前，雖然在整個金盾網(wǎng)廣域網(wǎng)的內(nèi)部還沒有發(fā)生嚴重的攻擊事件，但從整個網(wǎng)絡環(huán)境上看，網(wǎng)絡安全形勢嚴峻，其次從發(fā)展變化的角度看，必須未雨綢繆，基于以上理由，提出新的防火墻部署方案。

該部署方案最大的特色就是設置了DMZ（?；饏^(qū)），DMZ的安全性高于外部網(wǎng)絡（除我校金盾網(wǎng)以外的金盾網(wǎng)），低于內(nèi)部網(wǎng)絡（我校內(nèi)部金盾網(wǎng)）。在DMZ中放置公共服務器，例如WEB、FTP、SMTO、POP3、MAIL等服務器，這些服務器只承擔代理數(shù)據(jù)訪問職責并不涉及敏感數(shù)據(jù)，將數(shù)據(jù)庫系統(tǒng)、應用程序等涉及敏感數(shù)據(jù)的服務器保護在內(nèi)網(wǎng)當中。內(nèi)部網(wǎng)絡即可訪問DMZ又可訪問外部網(wǎng)絡，但對訪問DMZ做一定的限制，防止內(nèi)部用戶對DMZ進行攻擊；一般情況下，對于內(nèi)部網(wǎng)絡和外部網(wǎng)絡，DMZ均可訪問，但是為了保持內(nèi)部網(wǎng)絡的高安全級別，嚴格限制DMZ訪問內(nèi)部網(wǎng)絡，在必要的情況下，只將內(nèi)部網(wǎng)絡某些特定端口的訪問權限授予DMZ；嚴禁外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡。設置DMZ的優(yōu)點顯而易見，為內(nèi)部網(wǎng)絡設置了一道保護屏障，任何攻擊者企圖攻擊內(nèi)部網(wǎng)絡必須先突破此道屏障，這顯然比直接攻擊內(nèi)部網(wǎng)絡要困難的多。

目前，很流行部署雙防火墻，層次結構為外部防火墻、DMZ、內(nèi)部防火墻、這種部署方案的動機在于用內(nèi)部防火墻來彌補外部防火墻的漏洞，但是防火墻如果沒有達到預期的安全效果，問題是在于防火墻的安全配置策略有漏洞或者不完善，部署雙層防火墻并不會增加安全性，并且有成本高、管理復雜等一系列問題，基于以上分析，建議我校未來的防火墻部署方案采取以下部署方案，如圖：

⑵認證系統(tǒng)的改善。隨著信息化建設的推進，將從公安部自上而下按照行政層級建立層級式的證書中心CA，部局二級證書中心為我校設立的三級證書中心頒發(fā)身份證書，我校證書中心CA為本信息系統(tǒng)的使用人員頒發(fā)證書。同時，我校也將部署總隊級權限管理中心，為我校信息系統(tǒng)提供分配和回收用戶權限等服務，對我校金盾網(wǎng)系統(tǒng)資源進行訪問控制，并且可以實現(xiàn)上下級用戶權限的轉(zhuǎn)換以實現(xiàn)與其他各級信息系統(tǒng)的互通。我校金盾網(wǎng)信息系統(tǒng)將逐步實現(xiàn)使用者每人配備一個身份認證設備，以實現(xiàn)身份認證和權限管理的配合。對于認證系統(tǒng)來說，如何正確使用證書關系到整個金盾網(wǎng)信息系統(tǒng)的安全，鑒于證書使用的重要性，提出以下建議：

定期開展網(wǎng)絡安全講座，普及數(shù)字證書安全使用方法以及相關管理規(guī)定，提高全員網(wǎng)絡安全意識；完善數(shù)字證書管理機制，建立專門數(shù)字證書管理臺賬，責任落實到人，“誰使用，誰負責”，數(shù)字證書一旦遺失，及時上報注銷，盡可能降低網(wǎng)絡安全風險；對本部門掛職、借調(diào)、轉(zhuǎn)業(yè)、退休人員數(shù)字證書的上繳和變更要做出具體的規(guī)定；定期撰寫我校數(shù)字證書使用情況報告書，分析存在問題，清理從未使用的數(shù)字證書，提高數(shù)字證書的使用率，充分發(fā)揮數(shù)字證書的作用。

⑶終端安全系統(tǒng)的改善。調(diào)查顯示，在全球計算機網(wǎng)絡遭受的攻擊和破壞當中，八成來源于網(wǎng)絡內(nèi)部，而防火墻，入侵檢測系統(tǒng)等傳統(tǒng)的安全防護手段往往對來源于網(wǎng)絡內(nèi)部的攻擊和破壞束手無策。我國通常采用制度監(jiān)管的方式監(jiān)控和審計內(nèi)部網(wǎng)絡行為，而國外多采用了先進的技術手段監(jiān)管內(nèi)部網(wǎng)絡行為，效果更為明顯。我校金盾網(wǎng)終端分布范圍廣，使用人員雜，人員網(wǎng)絡安全意識參差不齊，網(wǎng)絡終端安全問題較為突出。從網(wǎng)絡終端入手，建立牢固的終端安全體系，才能形成全面立體的安全防護系統(tǒng)。

我校的終端安全體系中除按照規(guī)定部署“一機兩網(wǎng)”監(jiān)控軟件、補丁分發(fā)管理系統(tǒng)和桌面管理系統(tǒng)以外，還部署了“360安全衛(wèi)士8.1企業(yè)定制版”和“病毒防治系統(tǒng)，下面重點分析后兩者。

第一：病毒防治系統(tǒng)部署情況

我校網(wǎng)絡終端數(shù)量大，任何一臺終端感染病毒，都將威脅整個網(wǎng)絡的安全，影響網(wǎng)絡正常運行的性能，建立完善的病毒防治系統(tǒng)是我校網(wǎng)絡安全防護系統(tǒng)中必不可少的環(huán)節(jié)。病毒防治系統(tǒng)查殺潛伏病毒、保護系統(tǒng)抵御攻擊、將安全風險降低。我校共設置三個網(wǎng)段，每個網(wǎng)段由一臺病毒防治服務器負責，負責訓練部網(wǎng)段的病毒防治服務器和負責學員隊機關的病毒防治服務器均安裝了瑞星殺毒軟件服務器端，負責多媒體教學網(wǎng)段的病毒防治服務器安裝了卡巴斯基殺毒軟件服務器端，各終端上均安裝防病毒客戶端軟件。這三臺病毒服務器定期升級病毒庫和主程序，然后再升級各自負責的防病毒客戶端，形成了體系化的病毒防治系統(tǒng)。我校多媒體終端分布于教學樓各層的每間教室，承擔了我校絕大多數(shù)的教學工作，此外還承擔了轉(zhuǎn)播教育等一系列日常工作，接觸人員多，使用頻繁，感染病毒的風險大，感染病毒的種類雜，在負責這一網(wǎng)段的病毒防治服務器上安裝卡巴斯基殺毒軟件，是鑒于該軟件在世界殺毒軟件排行榜位居首位，殺毒性能卓越，可實現(xiàn)真正意義上的帶毒殺毒，使用它在這一病毒形勢嚴峻的網(wǎng)段，更能確保全面的查殺病毒。但卡巴斯基殺毒軟件的缺點也是顯而易見，運行時大量占用內(nèi)存，升級頻繁，影響系統(tǒng)運行速度和功能，鑒于此，在使用人員相對單純的訓練部網(wǎng)段和機關各學員大隊網(wǎng)段安裝了瑞星殺毒軟件服務器端的病毒服務器進行管理和控制，既可以保證查殺病毒的需要，又能確保系統(tǒng)性能的穩(wěn)定。

第二：360安全衛(wèi)士8.1企業(yè)定制版部署情況

安裝360安全衛(wèi)士8.1企業(yè)定制版的主要目的在于便于我校信息中心的網(wǎng)絡管理人員監(jiān)管我校所有的計算機終端和我校終端用戶主動維護計算機終端安全運行環(huán)境，360安全衛(wèi)士在查殺插件、木馬，修復系統(tǒng)，修補漏洞方面功能非常強大，彌補其他終端安全手段的不足，鞏固終端安全系統(tǒng)。

[參考文獻]

[1]賀雪晨.信息對抗與網(wǎng)絡安全.清華大學出版社（第2版），2010，5.

[2]陳益均，張小蓉.立體化的校園網(wǎng)安全體系.計算機安全，2008，（5）：67-69.

[3]周凌.基于校園網(wǎng)的入侵檢測系統(tǒng)的研究.計算機教學和教育信息化，2008，（1）：91-94.