衛星通信網路安全防護體系

❶ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

❷ 衛星通信網的信息安全技術分析與實現

氣象衛星可以比較准確地預報作戰地區的氣象情況，為制定作戰計劃提供更充分的依據。
無線電通信中繼站的人造地球衛星。通信衛星反射或轉發無線電信號，實現衛星通信地球站之間或地球站與航天器之間的通信。通信衛星是各類衛星通信系統或衛星廣播系統的空間部分。一顆靜止軌道通信衛星大約能夠覆蓋地球表面的40％，使覆蓋區內的任何地面、海上、空中的通信站能同時相互通信 。在赤道上空等間隔分布的3顆靜止通信衛星可以實現除兩極部分地區外的全球通信。1958年12月美國發射世界上第一顆試驗通信衛星 。1963年美國和日本通過中繼1號衛星第一次進行了橫跨太平洋的電視傳輸。中國於1984年4月8日發射了一顆地球靜止軌道試驗通信衛星。通信衛星按軌道分為靜止通信衛星和非靜止通信衛星；按服務區域不同可分為國際通信衛星和區域通信衛星或國內通信衛星；按用途可分為專用通信衛星和多用途通信衛星，前者如電視廣播衛星、軍用通信衛星、海事通信衛星、跟蹤和數據中繼衛星等，後者如軍民合用的通信衛星，兼有通信、氣象和廣播功能的多用途衛星等。

作為無線電通信中繼站。通信衛星像一個國際信使，收集來自地面的各種「信件」，然後再「投遞」到另一個地方的用戶手裡。由於它是「站」在36000 公里的高空，所以它的「投遞」覆蓋面特別大，一顆衛星就可以負責 1/3地球表面的通信。如果在地球靜止軌道上均勻地放置三顆通信衛星，便可以實現除南北極之外的全球通信。當衛星接收到從一個地面站發來的微弱無線電信號後，會自動把它變成大功率信號，然後發到另一個地面站，或傳送到另一顆通信衛星上後，再發到地球另一側的地面站上，這樣，我們就收到了從很遠的地方發出的信號。

通信衛星一般採用地球靜止軌道，這條軌道位於地球赤道上空 35786公里處。衛星在這條軌道上以每秒3075米的速度自西向東繞地球旋轉，繞地球一周的時間為 23小時56分4秒，恰與地球自轉一周的時間相等。因此從地面上看，衛星象掛在天上不動，這就使地面接收站的工作方便多了。接收站的天線可以固定對准衛星，晝夜不間斷地進行通信，不必像跟蹤那些移動不定的衛星一樣而四處「晃動」，使通信時間時斷時續。現在，通信衛星已承擔了全部洲際通信業務和電視傳輸。

通信衛星是世界上應用最早、應用最廣的衛星之一，許多國家都發射了通信衛星。

1965年4月6日美國成功發射了世界第一顆實用靜止軌道通信衛星：國際通信衛星1號。到目前為止，該型衛星已發展到了第八代，每一代都在體積、重量、技術性、通信能力、衛星壽命等方面有一定提高。

前蘇聯的通信衛星命名為「閃電號」， 包括閃電1、2、3號等。由於前蘇聯國土遼闊，「閃電號」衛星大多數不在靜止軌道上，而在一條偏心率很大的橢圓軌道上。

中國的第一顆靜止軌道通信衛星是1984年4月8日發射的，命名為「東方紅二號」，至今已發射成功了五顆。這些衛星先後承擔了廣播、電視信號傳輸，遠程通訊等工作，為國民經濟建設發揮了巨大作用。

❸ 簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

❹ 網路安全防範體系的層次

物理環境的安全性
該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性（線路備份、網管軟體、傳輸介質），軟硬體設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環境（溫度、濕度、煙塵），不間斷電源保障，等等。 操作系統的安全性
該層次的安全問題來自網路內使用的操作系統的安全，如Windows NT，Windows 2000等。主要表現在三方面，一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等。二是對操作系統的安全配置問題。三是病毒對操作系統的威脅。 網路的安全性
該層次的安全問題主要體現在網路方面的安全性，包括網路層身份認證，網路資源的訪問控制，數據傳輸的保密與完整性，遠程接入的安全，域名系統的安全，路由系統的安全，入侵檢測的手段，網路設施防病毒等。 應用的安全性
該層次的安全問題主要由提供服務所採用的應用軟體和數據的安全性產生，包括Web服務、電子郵件系統、DNS等。此外，還包括病毒對系統的威脅。 管理的安全性
安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網路的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。

❺ 信息安全防護體系的四個維度

系統安全
網路安全
物理安全
管理安全

❻ 工信部：車聯網網路安全和數據安全標准體系建設指南發布

易車訊 近日，工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》，目標到2023年底，初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准，完成50項以上急需標準的研製。到2025年，形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製，提升標准對細分領域的覆蓋程度，加強標准服務能力，提高標准應用水平，支撐車聯網產業安全健康發展。

標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向，提出以下內容：

1、總體與基礎共性標准

總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准，包括術語和定義、總體架構、密碼應用等3類標准。

術語和定義標准主要規范車聯網網路安全和數據安全主要概念，為相關標准中的術語和定義提供依據支撐。

總體架構標准主要規范車聯網網路安全總體架構要求，明確和界定防護對象、防護方法、防護機制，指導企業體系化開展網路安全防護工作。

密碼應用標准主要規范車聯網密碼應用通用要求，明確數字證書格式、數字證書應用、設備密碼應用等要求。

2、終端與設施網路安全標准終端與設施網路安全標准

主要規范車聯網終端和基礎設施等相關網路安全要求，包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。

車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求，包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。

車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。

路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。

3、網聯通信安全標准

網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求，包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網（C-V2X），以及應用於車聯網的蜂窩移動通信（4G/5G）、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗（BLE）紫蜂（Zigbee）、超寬頻（UWB）等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。

4、數據安全標准

數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求，句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等，包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求，制定數據分類分級的維度、方法、示例等標准，明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求，句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求，明確用戶敏感數據和個人信息保護的場景、規則、技術方法，包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動，包括車聯網平台、網約車、車載應用程序等數據安全標准。

5、應用服務安全標准

應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求，以及典型業務應用服務場景下的安全要求，包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級（OTA）服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求，包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。

6、安全保障與支撐標准

安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求，包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求，明確安全風險評估流程和方法，提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求，以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關（HI）介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施，提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。

❼ 名詞解釋網路安全防禦體系

信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷。信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
信息系統是指基於計算機技術和網路通信技術的系統，是人，規程，資料庫，硬體和軟體等各種設備、工具的有機集合。

❽ 網路安全防範體系有哪些設計原則

根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理標准)等國際標准，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網路安全防範體系在整體設計過程中應遵循以下9項原則： 1．網路信息安全的木桶原則 網路信息安全的木桶原則是指對信息均衡、全面的進行保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的「最易滲透原則」，必然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統的"安全最低點"的安全性能。 2．網路信息安全的整體性原則 要求在網路發生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網路信息中心的服務，減少損失。因此，信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅採取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統的運行情況，及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。 3．安全性評價與平衡原則 對任何網路，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執行。評價信息是否安全，沒有絕對的評判標准和衡量指標，只能決定於系統的用戶需求和具體的應用環境，具體取決於系統的規模和范圍，系統的性質和信息的重要程度。 4．標准化與一致性原則 系統是一個龐大的系統工程，其安全體系的設計必須遵循一系列的標准，這樣才能確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。 5．技術與管理相結合原則 安全體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 6．統籌規劃，分步實施原則 由於政策規定、服務需求的不明朗，環境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規劃下，根據網路的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今後隨著網路規模的擴大及應用的增加，網路應用和復雜程度的變化，網路脆弱性也會不斷增加，調整或增強安全防護力度，保證整個網路最根本的安全需求。 7．等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的，包括對信息保密程度分級，對用戶操作許可權分級，對網路安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網路層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全演算法和安全體制，以滿足網路中不同層次的各種實際需求。 8．動態發展原則 要根據網路安全的變化不斷調整安全措施，適應新的網路環境，滿足新的網路安全需求。 9．易操作性原則 首先，安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。

❾ 網路安全防護體系是如何架構的

還是B/S架構的應用，如何保證數據傳輸的安全是管理員要面對的問題，安全的關注點主要在三個方面：

用戶身份驗證的安全性：

用戶身份驗證的安全主要包括用戶身份密碼的安全和驗證安全兩個環節，傳統的應用體系中，用戶驗證通常有用戶名/密碼驗證、USB key驗證及智能卡驗證等方法。在EWEBS 2008 中，採用用戶帳號和Windows帳號關聯的方式，在EWEBS 2008中存儲用戶密碼，用戶訪問應用程序時不直接使用Windows 帳號密碼，而是使用EWEBS 2008中為用戶單獨創建的帳號。用戶帳號的身份驗證支持用戶名/密碼、USB Key驗證、智能卡、指紋或視網膜等生物學身份驗證方法。

伺服器的安全性：

在傳統的遠程接入模式中，因為用戶的應用直接在伺服器端運行，如何保證伺服器的安全性是管理員面臨的一個大問題，一般都採用Windows 組策略等手段來保護服務的安全，但是組策略配置的復雜性、效果都不盡如人意。

在EWEBS 2008中，直接內嵌了Windows Active Directory 組策略的配置設置，管理員無需熟悉組策略的具體配置，只需要進行簡單的選擇，就可以輕松的限制用戶對某個具體的硬碟、系統任務欄或IE等伺服器端資源的訪問。

數據傳輸的安全性：

在傳統的應用模式中，客戶端和伺服器端需要傳送應用程序相關的數據記錄，如資料庫的查詢結果集等，這就對數據在網路上的傳輸安全提出了較高的要求，通常採用VPN加密、SSL加密等技術來保證應用數據的安全。在EWEBS 2008中，由於所有的應用程序都在伺服器(集群)上運行，所以客戶端和伺服器端傳送的僅僅是應用程序的輸入輸出邏輯，在沒有特別授權的情況下，數據無法離開伺服器(集群)，保證了數據的安全。EWEBS 2008中還內嵌了SSL通信技術來保證客戶端和伺服器端網路通訊的安全。

除了上述的三個方面的安全之外，在EWEBS 2008中，管理員還可以輕松的對客戶端進行控制，可以根據用戶帳號、訪問時間、客戶端IP地址、客戶端MAC地址、客戶端機器特徵碼（從CPU、主板、硬碟等硬體計算而來）等來限制客戶端對應用程序的訪問，從而做到即使用戶帳號信息泄露，第三方也無法盜用應用程序，有效的保證了用戶關鍵應用和數據的安全。

❿ 通信網路安全防護管理辦法建立了哪些安全防護制度

一是通信網路單元的分級和備案制度。《辦法》規定通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分，並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為五級。為便於電信管理機構掌握有關情況，通信網路運行單位應當將通信網路單元的劃分和定級情況向電信管理機構備案。
二是安全防護措施的符合性評測制度。為確保通信網路單元安全防護措施落實到位，《辦法》規定通信網路運行單位應當按照標准落實與通信網路單元級別相適應的安全防護措施，並進行符合性評測。其中三級及三級以上通信網路單元應當每年進行一次符合性評測，二級通信網路單元應當每兩年進行一次符合性評測。
三是通信網路安全風險評估制度。《辦法》規定通信網路運行單位應當組織對通信網路單元進行安全風險評估，及時發現並消除重大網路安全隱患。其中三級及三級以上通信網路單元應當每年進行一次安全風險評估，二級通信網路單元應當每兩年進行一次安全風險評估。
四是通信網路安全防護檢查制度。《辦法》規定電信管理機構要對通信網路運行單位開展通信網路安全防護工作的情況進行檢查，並明確了檢查工作方式和有關要求。
此外，《辦法》還對通信網路運行單位開展容災備份、事件監測和演練等工作提出了明確要求。