河北白沙煙草有限責(zé)任公司信息中心 張 磊

1.前言

隨著信息化技術(shù)的高速發(fā)展，計(jì)算機(jī)、移動(dòng)終端和智能手機(jī)已經(jīng)滲透到我們工作和生活的各個(gè)環(huán)節(jié)，我們的許多重要信息都在上面運(yùn)行和存儲(chǔ)，信息資源已經(jīng)成為了生產(chǎn)力，全社會(huì)特別是重要行業(yè)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高。正是因?yàn)樾畔⒃絹?lái)越重要，所以針對(duì)信息系統(tǒng)的攻擊越來(lái)越多，我們國(guó)家所面臨的信息安全形勢(shì)異常嚴(yán)峻?；诖?，網(wǎng)絡(luò)安全防護(hù)技術(shù)正受到政府和全社會(huì)的高度重視[1]。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的實(shí)施，較好地支撐了國(guó)家信息安全保障體系建設(shè)，有力的促進(jìn)了各單位的安全保障能力，提升了我國(guó)整體層面的安全意識(shí)，在維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益方強(qiáng)起到了很好的推動(dòng)作用。

2.等保安全體系實(shí)現(xiàn)

本文將從單位實(shí)際安全需求出發(fā)，根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)要求，按照網(wǎng)絡(luò)架構(gòu)、計(jì)算環(huán)境、邊界安全、通信網(wǎng)絡(luò)、管理中心和物理安全方面分層設(shè)計(jì)模式，通過(guò)設(shè)備部署、策略配置、安全聯(lián)動(dòng)，實(shí)現(xiàn)從邊界防護(hù)到內(nèi)部監(jiān)測(cè)的主動(dòng)防護(hù)體系。

2.1 合理劃分區(qū)域，域間互通管控

應(yīng)根據(jù)系統(tǒng)或設(shè)備所處的物理位置、功能特性、網(wǎng)絡(luò)拓?fù)涞葎澐职踩?，區(qū)域之間要形成數(shù)據(jù)流互通和管控策略；外聯(lián)接入?yún)^(qū)和重要區(qū)域（服務(wù)器區(qū)）前段應(yīng)部署安全設(shè)備，保護(hù)內(nèi)部重要計(jì)算資源。具體網(wǎng)絡(luò)結(jié)構(gòu)可參照《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》設(shè)計(jì)，基本區(qū)域應(yīng)包括：互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)接入?yún)^(qū)、核心交換區(qū)、終端辦公區(qū)、服務(wù)器區(qū)、運(yùn)維審計(jì)區(qū)和安全管理區(qū)等，如果單位要求外網(wǎng)和內(nèi)網(wǎng)物理隔離，雙網(wǎng)之間數(shù)據(jù)交換應(yīng)通過(guò)網(wǎng)閘進(jìn)行擺渡[2]。

2.2 保障計(jì)算環(huán)境安全，實(shí)施數(shù)據(jù)訪問(wèn)審計(jì)

計(jì)算安全方面主要通過(guò)以下措施實(shí)現(xiàn)：

2.2.1 主機(jī)加固：對(duì)服務(wù)器、終端等設(shè)備操作系統(tǒng)、數(shù)據(jù)庫(kù)等系統(tǒng)軟件進(jìn)行安全加固，在操作系統(tǒng)核心層和系統(tǒng)層設(shè)置以強(qiáng)制訪問(wèn)控制為主體的系統(tǒng)安全機(jī)制，形成嚴(yán)密的安全保護(hù)環(huán)境[3]，實(shí)現(xiàn)對(duì)用戶行為的控制，具體實(shí)施方式可參照相關(guān)行業(yè)的基線配置核查標(biāo)準(zhǔn)進(jìn)行；

2.2.2 安全配置：通過(guò)安全配置，啟用用戶登錄、密碼復(fù)雜度、賬戶鎖定、日志審計(jì)、系統(tǒng)更新等策略，提升系統(tǒng)自身防護(hù)機(jī)制的有效性；

2.2.3 防病毒軟件：在服務(wù)器、終端等設(shè)備上安裝網(wǎng)絡(luò)版殺毒軟件，實(shí)現(xiàn)對(duì)主機(jī)惡意代碼的集中監(jiān)控與查殺；在網(wǎng)絡(luò)內(nèi)部部署殺毒服務(wù)器，及時(shí)更新殺毒軟件版本和病毒庫(kù)并下發(fā)至各服務(wù)器和終端；

2.2.4 部署運(yùn)維審計(jì)系統(tǒng)，監(jiān)視服務(wù)器管理員的行為操作，并保存操作行為記錄，以便發(fā)生問(wèn)題時(shí)的倒查工作；

2.2.5 在重要內(nèi)部器區(qū)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和數(shù)據(jù)庫(kù)防護(hù)系統(tǒng)，監(jiān)視、記錄并限制對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為；

2.2.6 服務(wù)器建立備份體系，保證關(guān)鍵服務(wù)的持續(xù)可用，具體方式可采用群集、超融合或虛擬化等技術(shù)；

2.2.7 部署SSL卸載產(chǎn)品，將原有的基于Http的應(yīng)用透明遷移至Https架構(gòu)，保障重要數(shù)據(jù)私密性和完整性；

2.2.8 在外網(wǎng)應(yīng)用服務(wù)器區(qū)域前配置WEB應(yīng)用防火墻，攔截SQL注入、XSS跨站、網(wǎng)站掛馬、篡改等黑客攻擊；

2.2.9 部署異地容災(zāi)系統(tǒng)，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復(fù)。

2.3 邊界安全控制

在外網(wǎng)邊界區(qū)和重要區(qū)域（各服務(wù)器區(qū)）邊界部署安全設(shè)備，保護(hù)內(nèi)部重要計(jì)算資源。

2.3.1 在外網(wǎng)邊界區(qū)部署下一代防火墻系統(tǒng)NGAF，對(duì)進(jìn)入單位網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問(wèn)；

2.3.2 在外網(wǎng)邊界區(qū)部署入侵防御系統(tǒng)（可集成在NGAF中），對(duì)上層應(yīng)用進(jìn)行分析，對(duì)攻擊、違規(guī)行為及時(shí)報(bào)警；

2.3.3 在外網(wǎng)邊界區(qū)部署防惡意代碼網(wǎng)關(guān)（可集成NGAF中），對(duì)惡意代碼進(jìn)行查殺；

2.3.4 在外網(wǎng)邊界區(qū)部署上網(wǎng)行為管理系統(tǒng)，對(duì)流經(jīng)數(shù)據(jù)進(jìn)行全面應(yīng)用識(shí)別，優(yōu)化帶寬使用，實(shí)現(xiàn)流量可視；并通過(guò)設(shè)置探測(cè)器，探測(cè)非法外聯(lián)等行為，并及時(shí)報(bào)告安全管理中心；

2.3.5 在互聯(lián)區(qū)、內(nèi)部服務(wù)器區(qū)和安全管理區(qū)域前部署應(yīng)用級(jí)防火墻系統(tǒng)，精確識(shí)別用戶、應(yīng)用和內(nèi)容，具備完整安全防護(hù)能力；

2.3.6 在內(nèi)外網(wǎng)交互區(qū)域部署網(wǎng)閘設(shè)備，對(duì)進(jìn)出數(shù)據(jù)進(jìn)行單向或雙向控制，通過(guò)擺渡方式進(jìn)行數(shù)據(jù)交互，避免常見TCP等網(wǎng)絡(luò)協(xié)議攻擊；

2.3.7 在外網(wǎng)邊界部署流量清洗設(shè)備，對(duì)進(jìn)出網(wǎng)絡(luò)流量進(jìn)行清洗，防止DDos攻擊造成網(wǎng)絡(luò)擁堵。

2.4 通信網(wǎng)絡(luò)安全

網(wǎng)絡(luò)基礎(chǔ)設(shè)施包括機(jī)房物理環(huán)境、網(wǎng)絡(luò)互連設(shè)備、無(wú)線接入設(shè)備、網(wǎng)絡(luò)運(yùn)維系統(tǒng)等。作為上層應(yīng)用的支撐設(shè)施，網(wǎng)絡(luò)通訊安全應(yīng)重點(diǎn)關(guān)注物理安全、架構(gòu)安全和設(shè)備自身安全。

2.4.1 物理場(chǎng)所安全設(shè)計(jì)結(jié)合系統(tǒng)建設(shè)的需求，參照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》(GB50174-2008)B級(jí)以上標(biāo)準(zhǔn)，制定物理場(chǎng)所安全保障策略和技術(shù)措施，提高場(chǎng)所安全性和可靠性；

2.4.2 網(wǎng)絡(luò)拓?fù)洳捎脧椥约軜?gòu)，核心層、匯聚層設(shè)備應(yīng)采用雙機(jī)熱備、超融合架構(gòu)或者虛擬化技術(shù)部署，接入層設(shè)備雙鏈路上聯(lián)；

2.4.3 終端設(shè)備做好準(zhǔn)入控制和非法外聯(lián)，尤其要關(guān)注無(wú)線網(wǎng)絡(luò)接入，強(qiáng)化終端接入認(rèn)證和訪問(wèn)審計(jì)；

2.4.4 對(duì)外發(fā)布的信息系統(tǒng)，與內(nèi)部數(shù)據(jù)交互需采用VPN技術(shù)，加強(qiáng)數(shù)據(jù)保密性和抗抵賴能力；

2.4.5 網(wǎng)絡(luò)設(shè)備自身安全應(yīng)采用部件冗余技術(shù)、加強(qiáng)設(shè)備身份鑒別、采用加密的管理協(xié)議、限制管理終端等措施入手，保障設(shè)備安全，優(yōu)化信息通道；

2.4.6 網(wǎng)絡(luò)內(nèi)部做好對(duì)網(wǎng)絡(luò)流量和用戶行為的監(jiān)控，通過(guò)網(wǎng)絡(luò)審計(jì)設(shè)備的旁路接入，監(jiān)聽捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包，還原出完整的協(xié)議原始信息，準(zhǔn)確記錄網(wǎng)絡(luò)訪問(wèn)的關(guān)鍵信息，實(shí)現(xiàn)對(duì)內(nèi)部重要服務(wù)的訪問(wèn)記錄和分析；

2.4.7 在核心區(qū)旁路部署入侵檢測(cè)設(shè)備，對(duì)網(wǎng)絡(luò)流量鏡像分析，實(shí)現(xiàn)數(shù)據(jù)外發(fā)檢測(cè)、客戶端攻擊檢測(cè)、服務(wù)器非法外聯(lián)檢測(cè)、僵尸網(wǎng)絡(luò)檢測(cè)等功能，對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊威脅和流經(jīng)核心交換機(jī)的外網(wǎng)攻擊進(jìn)行檢測(cè)和報(bào)警；

2.4.8 在核心區(qū)旁路部署APT（高級(jí)持續(xù)性威脅）攻擊檢測(cè)設(shè)備，對(duì)網(wǎng)絡(luò)內(nèi)流量進(jìn)行分析，及時(shí)發(fā)現(xiàn)系統(tǒng)網(wǎng)絡(luò)中存在的0day攻擊、已知漏洞進(jìn)行檢測(cè)，深度分析系統(tǒng)威脅和異常行為；可利用云端資源，更為及時(shí)有效的利用大數(shù)據(jù)的能力提升APT檢測(cè)的效果；

2.4.9 在核心區(qū)旁路無(wú)線WIFI控制系統(tǒng)，對(duì)接入WIFI用戶進(jìn)行身份認(rèn)證，同時(shí)無(wú)線接入有線網(wǎng)絡(luò)需進(jìn)行安全防護(hù)隔離。

2.5 安全管理中心

安全管理中心實(shí)施對(duì)計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)統(tǒng)一的安全策略管理，確保系統(tǒng)配置完整可信，確定用戶操作權(quán)限，實(shí)施全程審計(jì)追蹤，從功能上可細(xì)分為系統(tǒng)管理、安全管理和審計(jì)管理。

2.5.1 部署日志審計(jì)系統(tǒng)，監(jiān)測(cè)并發(fā)現(xiàn)各設(shè)備異常事件，準(zhǔn)確發(fā)出實(shí)時(shí)告警；

2.5.2 部署IT 運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)對(duì)信息系統(tǒng)資源統(tǒng)一的監(jiān)控與管理，全面監(jiān)視網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)的健康狀態(tài)；

2.5.3 部署漏洞掃描設(shè)備，定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)存在的安全漏洞；

2.5.4 部署SOC安全管理平臺(tái)，全面收集網(wǎng)絡(luò)日志和流量，深度分析用戶行為，綜合關(guān)聯(lián)各區(qū)域時(shí)間，形成圖形化報(bào)表，形象展示安全事件和發(fā)展態(tài)勢(shì)；

2.5.5 部署堡壘機(jī)系統(tǒng)，對(duì)主要網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、主機(jī)系統(tǒng)的運(yùn)維集中管控和審計(jì)。

2.6 物理環(huán)境安全

物理機(jī)房環(huán)境是系統(tǒng)設(shè)備運(yùn)行的基本保障，因此需要機(jī)房的功能性、安全性和可靠性的保障?？梢源笾聞澐譃槲锢砦恢谩⒃L問(wèn)控制、設(shè)備物理防護(hù)、設(shè)備供電和環(huán)境監(jiān)控等方面。

2.6.1 機(jī)房的建設(shè)需要完善，做好漏水的防護(hù)，若有對(duì)外的窗戶需要進(jìn)行防漏水處理；機(jī)房有水管穿過(guò)，設(shè)置攔水壩，防止漏水后積水的轉(zhuǎn)移和滲漏；

2.6.2 需要做好物理機(jī)房的訪問(wèn)控制，安排人員值守，對(duì)進(jìn)出機(jī)房人員身份鑒別；安裝門禁控制裝置，鑒別記錄進(jìn)出機(jī)房的人員；

2.6.3 通過(guò)安裝空氣調(diào)節(jié)設(shè)備，對(duì)機(jī)房的溫濕度進(jìn)行調(diào)節(jié)控制，保證機(jī)房環(huán)境處于設(shè)備運(yùn)行所需的正常范圍；

2.6.4 通過(guò)安裝視頻監(jiān)控系統(tǒng)和紅外入侵報(bào)警系統(tǒng)，對(duì)機(jī)房人員出入情況和物理入侵行為進(jìn)行實(shí)時(shí)監(jiān)控和報(bào)警；

2.6.5 安裝火災(zāi)自動(dòng)滅火系統(tǒng)，可采用氣體滅火與火災(zāi)探測(cè)聯(lián)動(dòng)，及時(shí)發(fā)現(xiàn)火情并觸發(fā)進(jìn)行滅火；

2.6.6 安裝防靜電地板，并將設(shè)備機(jī)柜可靠接地，避免和消除靜電的產(chǎn)生；

2.6.7 配備短期供電設(shè)備（UPS）和備用供電設(shè)備（發(fā)電機(jī)組），當(dāng)市電供電出現(xiàn)問(wèn)題時(shí)，繼續(xù)供電，保證系統(tǒng)的正常運(yùn)行；

2.6.8 做好避雷措施，機(jī)房所在建筑安裝避雷器裝置，機(jī)房電源安裝防雷安保器，防止感應(yīng)雷產(chǎn)生和危害；

2.6.9 部署動(dòng)力環(huán)境監(jiān)控系統(tǒng)，安裝防水檢測(cè)繩、溫濕度監(jiān)控裝置等，并將供電電源、空調(diào)接入該系統(tǒng)，實(shí)現(xiàn)對(duì)機(jī)房環(huán)境的監(jiān)控，并可對(duì)異常情況進(jìn)行報(bào)警。

以上述設(shè)計(jì)為根本，在安全建設(shè)過(guò)程中遵循《基本要求》和《建設(shè)管理規(guī)范》，通過(guò)設(shè)備部署、安全加固配置和應(yīng)用軟件開發(fā)安全多種方式互為補(bǔ)充，最終滿足第三級(jí)系統(tǒng)應(yīng)的安全防護(hù)要求。

3.等保心得

在多年的等級(jí)保護(hù)工作實(shí)踐中，筆者也有一些心得體會(huì)，現(xiàn)分享給大家，期許在日常工作中能為讀者帶來(lái)部分實(shí)效。

3.1 網(wǎng)絡(luò)安全不只是安全產(chǎn)品的堆積，安全的實(shí)現(xiàn)不僅要有相關(guān)的安全防護(hù)設(shè)施，如：防火墻+IDS+防病毒+掃描器等，同時(shí)要求這些設(shè)備部署在合理的位置，并開啟嚴(yán)格的訪問(wèn)控制策略，方能夠有效的阻止不同區(qū)域間的安全攻擊。這些設(shè)備之間應(yīng)最終遵循統(tǒng)一的協(xié)調(diào)標(biāo)準(zhǔn)，做到互通聯(lián)動(dòng)，如在IDS發(fā)現(xiàn)攻擊的時(shí)候，能夠?qū)Σ煌瑥S商的防火墻發(fā)出指令，防火墻自動(dòng)產(chǎn)生一條策略，阻止相關(guān)攻擊數(shù)據(jù)流，真正做到主動(dòng)防御。

3.2 等級(jí)保護(hù)能有效阻止外部攻擊的同時(shí)，更能有效防范內(nèi)部的非法行為，根據(jù)20/80原則，雖然內(nèi)部攻擊較少，但是產(chǎn)生的危害巨大，筆者在實(shí)際工作中經(jīng)常遇到一下情況，部分單位做到了內(nèi)外網(wǎng)隔離，認(rèn)為內(nèi)網(wǎng)是安全的，殊不知內(nèi)網(wǎng)是由一系列設(shè)備和計(jì)算環(huán)境組成，這些設(shè)備本身存在一系列漏洞和錯(cuò)弱性，在內(nèi)部網(wǎng)絡(luò)往往缺乏訪問(wèn)控制措施，一旦接入內(nèi)部網(wǎng)絡(luò)，通過(guò)探測(cè)、滲透發(fā)現(xiàn)某個(gè)脆弱主機(jī)，通過(guò)利用工具將能輕易攻破脆弱主機(jī)，并將其作為跳板對(duì)全網(wǎng)進(jìn)行攻擊。因此，筆者建議，在內(nèi)部網(wǎng)絡(luò)需部署準(zhǔn)入安全設(shè)備，禁用無(wú)用交換端口，嚴(yán)格限制非授權(quán)終端接入。

3.3 要切實(shí)通過(guò)建立縱深防御體系，不僅在外部網(wǎng)絡(luò)邊界進(jìn)行訪問(wèn)控制，同時(shí)要在系統(tǒng)內(nèi)部邊界、服務(wù)器邊界部署應(yīng)用級(jí)防火墻，服務(wù)器本身也要開啟主機(jī)版防火墻，從而建立起一個(gè)立體的防御體系，最大程度的保證服務(wù)器的安全，同時(shí)也可通過(guò)防火墻，隔離內(nèi)部終端區(qū)以及系統(tǒng)內(nèi)部其他區(qū)域的網(wǎng)絡(luò)攻擊行為。

3.4 在主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)中使用復(fù)雜度高的口令，避免使用弱口令、默認(rèn)口令和空口令，做到定期修改口令，同時(shí)啟用密碼驗(yàn)證失敗鎖定策略，防止非授權(quán)用戶對(duì)口令進(jìn)行暴力破解。

3.5 近期永恒之藍(lán)病毒的泛濫，國(guó)內(nèi)多行業(yè)遭受勒索攻擊。此次攻擊事件，表明多數(shù)行業(yè)的服務(wù)器及終端存在著安全漏洞，未及時(shí)安裝系統(tǒng)重要更新補(bǔ)丁。如何有效防范類似攻擊呢？從等級(jí)保護(hù)角度上來(lái)看，應(yīng)在相關(guān)操作系統(tǒng)上安裝主機(jī)防火墻，并啟用IPS功能，僅開放必須的服務(wù)端口，對(duì)于共享服務(wù)或者無(wú)用的端口要及時(shí)篩查并封堵，同時(shí)利用主機(jī)IPS的功能，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和文件篡改行為，并在發(fā)現(xiàn)威脅時(shí)自動(dòng)阻斷。

3.6 對(duì)安全攻擊的即時(shí)發(fā)現(xiàn)，對(duì)大多數(shù)行業(yè)來(lái)說(shuō)是一個(gè)難題，但通過(guò)部署安全審計(jì)措施，并定期檢查相關(guān)的安全態(tài)勢(shì)和綜合日志，可以做到發(fā)現(xiàn)隱患，并審計(jì)溯源。因此，在日常工作運(yùn)維中，建議單位部署日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)流量分析系統(tǒng)、IT運(yùn)維管理系統(tǒng)，如果資金許可，可部署APT攻擊監(jiān)測(cè)設(shè)備，對(duì)全網(wǎng)流量、威脅和攻擊事件進(jìn)行及時(shí)發(fā)現(xiàn)。

3.7 病毒和木馬的入侵，對(duì)服務(wù)器的破壞力巨大，因此，對(duì)于病毒的及時(shí)查殺非常重要，但大量單位并未及時(shí)升級(jí)病毒庫(kù)，也未定期進(jìn)行病毒掃描，導(dǎo)致了病毒和木馬潛伏，產(chǎn)生數(shù)據(jù)竊密和破壞事件。因此，筆者建議單位對(duì)病毒的查殺和分析要在日常管理中常態(tài)化、制度后。

4.總結(jié)

等級(jí)保護(hù)工作是一個(gè)體系化的工作，除了標(biāo)準(zhǔn)要求的防護(hù)、監(jiān)測(cè)和相應(yīng)措施外，應(yīng)還要加強(qiáng)滲透測(cè)試、安全運(yùn)維方面的工作。主要是：滲透測(cè)試服務(wù)，通過(guò)模擬黑客攻擊來(lái)主動(dòng)發(fā)現(xiàn)系統(tǒng)可利用的漏洞；系統(tǒng)上線前安全測(cè)試服務(wù)，在新系統(tǒng)上線前對(duì)系統(tǒng)進(jìn)行全面的安全測(cè)試，及時(shí)發(fā)現(xiàn)系統(tǒng)在開發(fā)設(shè)計(jì)時(shí)就有的一些安全問(wèn)題，降低系統(tǒng)帶病上線的風(fēng)險(xiǎn)；安全運(yùn)維服務(wù)，這個(gè)不是普通的駐場(chǎng)日常運(yùn)維，而是針對(duì)我們的網(wǎng)絡(luò)及系統(tǒng)定期的進(jìn)行漏洞掃描，策略檢查，安全加固及日志分析等服務(wù)，通過(guò)安全運(yùn)維服務(wù)，及時(shí)發(fā)現(xiàn)潛在的安全隱患，尋找有無(wú)被黑客攻擊的痕跡，及時(shí)查漏補(bǔ)缺。另外在系統(tǒng)管理上對(duì)重要的操作需要進(jìn)行不同用戶多重授權(quán)，杜絕超級(jí)管理員的存在，采用三權(quán)分立等管理方式，加強(qiáng)安全管理，三分技術(shù)，七分管理，管理也很重要。

經(jīng)過(guò)以上幾方面安全網(wǎng)絡(luò)安全等級(jí)保護(hù)防護(hù)體系的建設(shè)，可以建成一個(gè)較好的主動(dòng)防御體系，基本能夠達(dá)到主動(dòng)發(fā)現(xiàn)安全隱患，及時(shí)阻斷各類攻擊的效果。

[1]宋蔚．淺析中央電視臺(tái)新址播出系統(tǒng)信息安全等級(jí)保護(hù)方案的設(shè)計(jì)與實(shí)施[J]．現(xiàn)代電視技術(shù),2013,(08)∶70-73+110．

[2]周成兵,張瑋,夏國(guó)光． 信息系統(tǒng)安全等級(jí)保護(hù)整改建設(shè)研究[J]．計(jì)算機(jī)安全,2014,(01)∶60-64．

[3]劉巍偉．基于可信計(jì)算技術(shù)的移動(dòng)代碼安全研究[D]．北京交通大學(xué),2009．