万方数据
根据对煤业集团信息系统安全的评估，提出网络整体 安全设计方案，根据网络安全建设原则和目标，建立不同 的安全子系统，从不同层面对煤业集团信息系统进行保护。
2．1网络安全建设原则和目标
网络安全建设是一个系统工程，煤业集团的安全体系 建设应按照“统一规划、统筹安排、统一标准，相互配套” 的原则进行，采用先进的“平台化”建设思想，避免重复 投入、重复建设，充分考虑整体和局部的利益，坚持近期
目标与远期目标相结合。在进行网络系统安全方案设计、规
划时，遵循以下原则和目标：
——完整性：网络安全建设必须保证整个防御体系的完整性。
——机密性：为保护数据的安全性和保密性，通过访
问控制机制来对数据进行保护。
——可管理性：鉴于煤炭行业特有的管理特色，安全
系统在部署的时候也要适合这种管理体系，如分布，集中，

分级的管理方式在一个系统中同时要求满足。
——可控性：系统安全的任何一个环节都应有很好的 可控性，它可以有效地保证系统安全在可以控制的范围，这 也是安全的核心。
2．2安全系统实施子系统 综合采用西安交大捷普公司全线网络安全产品和技术
手段，为煤业集团建立一个多层次的纵深立体防御系统，用 以防御来自网络外部的攻击，同时也能够防御内外勾结的 攻击，即使系统的某一层或者某一类保护功能被攻破后，仍 无法攻击整个信息安全基础设施，更无法攻击整个网络，以 确保系统核心信息资产和关键业务连续安全地运行。下面 针对不同的安全子系统进行详细描述：
(1)安全系统集中管理平台。安全系统集中管理平台为 信息系统提供了一个监测、控制、响应、记录、追究的安 全防范管理机制，并且为集中统一的管理、配置各种安全 产品和网络设备提供一个整合的平台，对信息资源进行统 一的分类，分级管理，建立网络环境数据的集中安全管理 机制，对内部网络中出现的违规行为，攻击和入侵进行有 效的监测、响应。
(2)防火墙系统。防火墙是煤业集团网络中重要的安全 设备，防火墙是指设置在不同网络(如可信任的煤业集团内 部网和不可信的公共网、外部网络)或网络安全域之间的一 系列部件的组合。它是不同网络或网络安全域之间信息的 唯一出入口，能根据煤业集团网络的安全策略(允许、拒绝、 监测)控制出入网络的信息流，防火墙可以确定哪些内部服 务允许外部访问，哪些外人被许可访问所允许的内部服务， 哪些外部服务可由内部人员访问。它是提供信息安全服务， 实现网络和信息安全的基础设施。
(5)入侵检测系统。入侵检测系统是实时的网络违规自 动识别和响应系统。它运行于敏感数据需要保护的网络上， 通过实时监听网络数据流，识别，记录入侵和破坏性代码 流，寻找网络违规模式和未授权的网络访问尝试。当发现 网络违规模式和未授权的网络访问尝试时，网络信息安全 检测预警系统能够根据系统安全策略做出反应。
该系统可安装于防火墙之后，能对攻击防火墙本身的 数据流进行响应，同时可以对穿透防火墙进行攻击的数据 流进行响应。在被保护的局域网中，入侵检测设备安装于 易受到攻击的服务器或防火墙附近，这样是为了监控经过 出口及对重点服务器进行访问的数据流。
由于网络攻击大多来自于网络的出口位置，入侵检测 在此处将承担实时监测大量出入整个网络的具有破坏性的 数据流。这些数据流引起的报警日志，是作为受到网络攻

88  I凹凹晒。cis哪ag。④①回。④田
万方数据
击的主要证据。
网络入侵检测能对煤业集团网络进行实时监控与阻断 响应，是具有网络入侵监测，入侵即时处理、离线入侵分 析、入侵侦测查询、报告生成等多项功能的安全系统，不 仅能即时监控网络资源运行状况，为网络管理员及时提供 网络入侵预警和防范解决方案，还使得检查黑客入侵变得 有迹可寻，为用户采取进一步行动提供了强有力的技术支 持，大大加强了对恶意黑客的威慑力量。
(4)漏洞扫描系统。漏洞的扫描与评估是一种安全风险 评估技术，这一技术的应用可以帮助人们识别所检查对象 的系统资源，分析这一资源被攻击的可能性，了解系统本 身的脆弱性，进而评估所有潜在的安全风险。
漏洞扫描与评估系统通过两种方法来找出和报告安全 漏洞。第一种是“消极”扫描。它可以检查系统设置，如 关键文件的属主身份、路径等；第二种方法是“积极”扫 描，它重现已发生过的黑客攻击，记录攻击的后果；并且 还可以检查出容易被黑客猜解的口令。漏洞扫描与评估系 统是任何组织安全管理模式的重要组成部分，它给系统安 全设定了一条基准线，会对计算机系统进行定期的安全审 计，并对扫描结果进行保存和差异分析，当发现意外的变 化或新的漏洞时给予警报。
漏洞扫描与入侵检测形成了很好的互补关系：漏洞扫 描与评估系统使系统管理员在事前掌握主动地位，在攻击 事件发生前找出并关闭安全漏洞；而入侵检测系统则对系 统进行监测以期在系统被破坏之前阻止攻击得逞。
(5)信息审计系统。信息审计系统是一个网络安全实时 审计工具，通过透明地、实时地、高速地对进出内部网络 的数据流进行数据采集、分析、还原、审计、记录，从而 防止内部网络敏感信息的泄漏以及各种非法信息的传播。
(6)安全认证系统。安全认证系统具有高效的数据吞吐 率、可靠的安全性、强大的访问控制功能；能方便地管理 内部网络用户，限制用户访问权限，对用户访问日志事后 查询、分析。
在物理视图中，各个下属企业的用户拥有自己企业的 权限，煤业集团可以根据需要建立用户安全策略，将有必 要的用户升级为全局用户，全局用户享有全局用户的策略， 只需通过煤业集团的用户认证就可以访问下属企业的资源， 而不需要反复认证。               ’
(7)内网监控系统。加强对内部用户的身份鉴别、权 限控制、角色管理和访问控制管理，防止对应用系统的数 据库服务器、邮件服务器及文档服务器的非法存取、删改 和破坏。
Acade哦，R学es术ear研‘堍究黛嚣燃(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）