第一篇：移動網(wǎng)絡(luò)安全防護(hù)方案建議書

XX單位網(wǎng)絡(luò)安全防護(hù)方案書

北京天融信公司長春辦事處

2011年9月

一． 前言

隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,信息產(chǎn)業(yè)已經(jīng)成為人類社會的支柱產(chǎn)業(yè)，全球信息化已成為人類社會發(fā)展的大趨勢,由此帶動了計算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展和普遍應(yīng)用。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。這些都使信息安全問題越來越復(fù)雜。所以網(wǎng)絡(luò)的安全性也就成為廣大網(wǎng)絡(luò)用戶普遍關(guān)心的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時進(jìn)一步提高網(wǎng)絡(luò)的安全性，真正做到“既要使網(wǎng)絡(luò)開放又要使網(wǎng)絡(luò)安全”這一問題已成為了網(wǎng)絡(luò)界積極研究的課題。

在我國，近幾年隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的普及和豐富，網(wǎng)絡(luò)安全的問題也日益嚴(yán)重，利用信息技術(shù)進(jìn)行的高科技犯罪事件呈現(xiàn)增長態(tài)勢。根據(jù)國際權(quán)威應(yīng)急組織CERT/CC統(tǒng)計，自1995年以來漏洞累計達(dá)到24313個，2006年第一季度共報告漏洞1597個，平均每天超過17個，超過去年同期2個。CNCERT/CC 2005年共整理發(fā)布漏洞公告75個，CNCERT/CC 2006年上半年共整理發(fā)布漏洞公告34個。從統(tǒng)計情況來看，2006年上半年漏洞報告數(shù)量仍處較高水平，大量漏洞的存在使得網(wǎng)絡(luò)安全總體形勢仍然嚴(yán)峻。

對信息系統(tǒng)的安全威脅，包括網(wǎng)上病毒泛濫和蔓延、信息間諜的潛入和竊密、網(wǎng)絡(luò)恐怖集團(tuán)的攻擊和破壞、內(nèi)部人員的違規(guī)和違法操作、網(wǎng)絡(luò)系統(tǒng)的脆弱和癱瘓、信息產(chǎn)品的失控等，應(yīng)引起足夠警惕，采取安全措施，應(yīng)對這種挑戰(zhàn)。北京天融信公司作為中國信息產(chǎn)業(yè)的排頭兵，決心憑借自身成熟的安全建設(shè)經(jīng)驗，網(wǎng)絡(luò)安全系統(tǒng)出謀劃策。

隨著XX單位網(wǎng)絡(luò)化和信息化建設(shè)的發(fā)展，安全問題對于XX單位信息網(wǎng)絡(luò)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX單位業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個重大問題，所以提升XX單位自身的安全性已經(jīng)成為不可忽視的問題。XX單位的領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展、配合XX單位各方面工作，決定對現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。

本方案主要針對目前XX單位的最重要部分，即財務(wù)系統(tǒng)的安全進(jìn)行重點防護(hù)，提出我們的觀點和意見。

二． 用戶現(xiàn)狀分析 1 用戶網(wǎng)絡(luò)現(xiàn)狀

目前XX單位的網(wǎng)絡(luò)主要是一套星形交換網(wǎng)絡(luò)，辦公網(wǎng)對外出口為互聯(lián)網(wǎng)，辦公網(wǎng)通過部署的一臺核心交換機(jī)分別為辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)兩個子網(wǎng), 具體如下圖所示： 系統(tǒng)資源分析

XX單位網(wǎng)絡(luò)資產(chǎn)主要可以分為三大類： 物理資源； 軟件資源； 其他資源。物理資源：

網(wǎng)絡(luò)基礎(chǔ)設(shè)施：包括連接網(wǎng)絡(luò)的光纜、各個資源內(nèi)網(wǎng)電纜、路由器、交換設(shè)備、數(shù)據(jù)存儲服務(wù)器、光電轉(zhuǎn)換設(shè)備、個人電腦等。

系統(tǒng)運(yùn)營保障設(shè)施：包括供電設(shè)施、供水設(shè)施、機(jī)房、防火設(shè)備、UPS、加濕器、防靜電設(shè)備等。軟件資源：

重要業(yè)務(wù)軟件，如業(yè)務(wù)應(yīng)用軟件以及其他基本的應(yīng)用辦公軟件； 計算機(jī)平臺軟件，包括操作系統(tǒng)、軟件開發(fā)平臺軟件、數(shù)據(jù)庫系統(tǒng)、WEB應(yīng)用軟件等；

工具軟件，如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動庫等。其他資源：

XX單位網(wǎng)絡(luò)中還包括其他重要的資產(chǎn)，如文檔資料等。這些資源在構(gòu)建信息安全保障體系時也應(yīng)當(dāng)被考慮。安全風(fēng)險分析

XX單位信息系統(tǒng)的建設(shè)，給XX單位辦公帶來了極大的便利，利用此信息平臺，極大的提高了辦公的效率，提高了事件處理響應(yīng)速度，同時我們也看到，系統(tǒng)的建設(shè)帶來了許多安全風(fēng)險，必然會受到來自外部或內(nèi)部的各種攻擊，包括信息竊取、病毒入侵和傳播等行為。針對內(nèi)部業(yè)務(wù)網(wǎng)和外部辦公網(wǎng)，要保證網(wǎng)絡(luò)的整體安全，就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動攻擊和修改、偽造、破壞、冒充、病毒擴(kuò)散等主動攻擊。針對主動和被動攻擊，通過對XX單位網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)分析，我們認(rèn)為，網(wǎng)絡(luò)面臨的主要安全威脅包括：物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、應(yīng)用層安全風(fēng)險：（1）

物理層安全風(fēng)險

我們所說的物理層指的是整個網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、網(wǎng) 絡(luò)設(shè)備、安全設(shè)備等，保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個 網(wǎng)絡(luò)系統(tǒng)安全的前提，然而，這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事 故以及人為操作失誤、錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程，設(shè)備安 全威脅主要包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務(wù)器宕機(jī)以及物理設(shè)備的損壞等等。這些都對整個 網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅，這些事故一旦出現(xiàn)，就會使整個網(wǎng)絡(luò)不可用，給內(nèi)網(wǎng)平臺造成極大的損失。

(A)信息機(jī)房周邊對設(shè)備運(yùn)行產(chǎn)生不良影響的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。

(B)供電系統(tǒng)產(chǎn)生的安全威脅，UPS自身的安全性。

(C)各種移動存儲媒體(如軟盤、移動硬盤、USB盤、光盤等)在應(yīng)用后得不到及時的處置，也會造成機(jī)密信息的外泄。

(D)一些重要的數(shù)據(jù)庫服務(wù)器系統(tǒng)的存在著硬件平臺的物理損壞、老化等現(xiàn)象，導(dǎo)致數(shù)據(jù)的丟失。

(E)網(wǎng)絡(luò)安全設(shè)備有直接暴露在非網(wǎng)絡(luò)管理人員或外來人員的面前，外來人有可能直接使安全設(shè)備喪失功能，為以后的侵入打下基礎(chǔ)，如：直接關(guān)掉入侵檢測系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。

(F)外來人員及非網(wǎng)絡(luò)管理人員可以直接對一些設(shè)備進(jìn)行操作，更改通信設(shè)備(如交換機(jī)、路由器)、安全設(shè)備(如更改防火墻的安全策略配置)等。（2）網(wǎng)絡(luò)層安全風(fēng)險

網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測、竊聽等搜集信息，然后利用 IP欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。（A）網(wǎng)絡(luò)設(shè)備存在的風(fēng)險

在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、交換機(jī)等有可能存在著以下的安全威脅：（以最常用的交換機(jī)為例）

a)交換機(jī)缺省情況下只使用簡單的口令驗證用戶的身份，并且遠(yuǎn)程TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)能力。b)交換機(jī)口令的弱點是沒有計數(shù)器功能的，所有每個人都可以不限數(shù)的嘗 試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。c)每個管理員都可能使用相同的口令，因此，交換機(jī)對于誰曾經(jīng)作過什么 修改，系統(tǒng)沒有跟蹤審計能力。

d)交換機(jī)實現(xiàn)的協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用

來破壞網(wǎng)絡(luò)的設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備。

（B）網(wǎng)絡(luò)訪問的合理性

網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序，訪問的目標(biāo)資源是否受控等問題，都會直接影響到內(nèi)網(wǎng)平臺的穩(wěn)定與安全。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對攻擊者也無法進(jìn)行追蹤審計。

對于XX單位的網(wǎng)絡(luò)來講，嚴(yán)格地控制專網(wǎng)內(nèi)終端設(shè)備的操作及使用是非常必要的，例如，一位非法外聯(lián)的撥號用戶將會使在網(wǎng)絡(luò)邊界的防火墻設(shè)備的所有安全策略形同虛設(shè)。

（C）TCP/IP網(wǎng)絡(luò)協(xié)議的缺陷

TCP/IP協(xié)議是當(dāng)前網(wǎng)絡(luò)的主流通信協(xié)議，已成為網(wǎng)絡(luò)通信和應(yīng)用的實際標(biāo)準(zhǔn)。然而，基于數(shù)據(jù)流設(shè)計的TCP/IP協(xié)議自身存在著許多安全漏洞，在網(wǎng)絡(luò)發(fā)展的

早期，由于應(yīng)用范圍和技術(shù)原因，沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點。在網(wǎng)上辦公、網(wǎng)上文件審批、網(wǎng)上數(shù)據(jù)傳遞等活動中，對TCP/IP網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊，都有可能威脅到用戶機(jī)密，都可能使重要的信息，比如重要數(shù)據(jù)、重要的口令在傳遞過程中遭到竊聽和篡改。因此，針對網(wǎng)絡(luò)層安全協(xié)議的攻擊將給網(wǎng)絡(luò)帶來嚴(yán)重的后果。（D）傳輸上存在的風(fēng)險

從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我們看到，現(xiàn)今網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)間只是通過交換機(jī)連接，完全透明，那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進(jìn)行傳遞和交換時，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對數(shù)據(jù)傳輸安全造成威脅的主要行為有：

竊聽、破譯傳輸信息：由于網(wǎng)絡(luò)間的完全透明，攻擊者能夠通過線路偵聽等 方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放環(huán)境中的路由或交 換設(shè)備，非法截取通信信息；

篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進(jìn)行修改，造成收信者的錯誤理解。即使沒有破譯傳輸?shù)男畔?，也可以通過刪減信息內(nèi) 容等方式，造成對信息的破壞，比如將一份報文的后半部分去掉，造成時間、地點等重要內(nèi)容的缺失，導(dǎo)致信息的嚴(yán)重失真；

重放攻擊：即使攻擊者無法破譯報文內(nèi)容，也無法對報文進(jìn)行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。對于一些業(yè)務(wù) 系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會造成數(shù)據(jù)失真以及數(shù)據(jù)錯誤； 偽裝成合法用戶：利用偽造用戶標(biāo)識，通過實時報文或請求文件傳輸?shù)靡赃M(jìn) 入通信信道，實現(xiàn)惡意目的。例如，偽裝成一個合法用戶，參與正常的通信 過程，造成數(shù)據(jù)泄密。

網(wǎng)絡(luò)中病毒的威脅：由于網(wǎng)絡(luò)間都為透明模式，一旦有機(jī)器中病毒，就會在 整個網(wǎng)絡(luò)上大量傳播，造成整個網(wǎng)絡(luò)癱瘓，造成無法辦公。（3）應(yīng)用層安全

操作系統(tǒng)安全即是主機(jī)安全。整個網(wǎng)絡(luò)是一個分布式交換的服務(wù)平臺，其最核心的和需要保護(hù)的是財務(wù)處網(wǎng)絡(luò)中的服務(wù)器，從操作系統(tǒng)本身來講，現(xiàn)在代碼的龐大和程序人員編碼的習(xí)慣等等都會給操作系統(tǒng)留下一些BUG，比如一些鮮為人知的如 WINGDOW 2000的3389、139等等漏洞，都會給財務(wù)處網(wǎng)絡(luò)帶來一定的風(fēng)險。一旦通過其操作系統(tǒng)的問題而造成的網(wǎng)絡(luò)的崩潰，其后果是不可設(shè)想的。

操作系統(tǒng)面臨的安全風(fēng)險主要來自兩個方面，一方面來自操作系統(tǒng)本身的脆弱性，另一方面來自對系統(tǒng)的使用、配置和管理，主要有：

? 操作系統(tǒng)是否安裝補(bǔ)丁和修正程序：由于技術(shù)開發(fā)原因，幾乎所有網(wǎng)絡(luò)中的操作系統(tǒng)在設(shè)計時就存在各種各樣的漏洞，大多數(shù)漏洞直接與系統(tǒng) 的安全有關(guān)，操作系統(tǒng)的開發(fā)公司發(fā)現(xiàn)后都安裝了補(bǔ)丁和修正程序，但這種補(bǔ)丁和修正程序不一定為用戶所知。

? 操作系統(tǒng)的后門：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door，這將成為潛在的安全隱患。

? 系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格管理有很大關(guān)系，一個工作組的打印服務(wù)器和一個機(jī)要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，以正確評定數(shù)據(jù)流向。比如,由于服務(wù)器需要進(jìn)行日常的維護(hù)與管理及內(nèi)容更新，這就要求系統(tǒng)管理員或服務(wù)提供者能登錄到服務(wù)器上。對此類訪問服務(wù)器不應(yīng)拒絕。在使用防火墻之前，服務(wù)器通過簡單靜態(tài)的口令字進(jìn)行身份鑒別（如使用服務(wù)器或數(shù)據(jù)庫的認(rèn)證機(jī)制），一旦身份鑒別通過，用戶即可訪問服務(wù)器。侵襲者可以通過以下幾種方式很容易地獲取口令字：

? 一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密； ? 二是通過在公用網(wǎng)上搭線竊取口令字； ? 三是通過假冒，植入嗅探程序，截獲口令字； ? 四是采用字典攻擊方式，獲得口令字。

侵襲者一旦掌握了某一用戶口令字，就有可能得到管理員的權(quán)限并可造成不可估量的損失。

由于操作系統(tǒng)的配置牽涉到各個方面，上面運(yùn)行的服務(wù)也各種各樣，故在系統(tǒng)的配置上很容易出錯，因此，我們認(rèn)為的系統(tǒng)的配置錯誤地很難避免，但是，我們可以對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

（4）應(yīng)用層安全

數(shù)據(jù)庫安全也是整個財務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用，同時也是需要重點考慮的問題之一。整個網(wǎng)絡(luò)主要的業(yè)務(wù)就是信息的共享和數(shù)據(jù)交換的方便性。從應(yīng)用系統(tǒng)的角度，占據(jù)本網(wǎng)絡(luò)整個信息平臺的就是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個本網(wǎng)絡(luò)的信息中心基本上就是空設(shè)防地帶，數(shù)據(jù)庫管理系統(tǒng)面臨的安全風(fēng)險有：

? 系統(tǒng)認(rèn)證口令強(qiáng)度不夠，過期賬號，登錄攻擊的風(fēng)險； ? 系統(tǒng)授權(quán)。帳號權(quán)限，登錄時間超時的風(fēng)險；

? 系統(tǒng)完整性。如：Y2K兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序； ? 脆弱的帳號設(shè)置。在許多情況下，數(shù)據(jù)庫用戶往往缺乏足夠的安全設(shè)置，例如未禁用缺省用戶帳號和密碼，用戶口令設(shè)置存在脆弱性等。? 缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫管理并沒有“安全管理員(Security Administrator)，這一角色，這就迫使數(shù)據(jù)庫管理員(DBA)既要負(fù)責(zé)帳號的維護(hù)管理，又要專門對數(shù)據(jù)庫執(zhí)行性能和操作行為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致安全管理效率低下。

? 缺乏審計跟蹤。數(shù)據(jù)庫審計經(jīng)常被DBA以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉，這大大降低了安全管理的效率。XX單位財務(wù)系統(tǒng)可能存在的風(fēng)險和問題

1)來自財務(wù)網(wǎng)絡(luò)外部的風(fēng)險

雖然財務(wù)網(wǎng)絡(luò)依托于XX單位的辦公網(wǎng)絡(luò)，但是財務(wù)網(wǎng)絡(luò)畢竟是獨(dú)立的網(wǎng)絡(luò)個體，如果沒有邊界防護(hù)將是危險的。財務(wù)網(wǎng)絡(luò)很容易遭到來自于辦公網(wǎng)絡(luò)可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓在Internet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對蠕蟲病毒在第一時間進(jìn)行隔離，那么蠕蟲的攻擊

將會對網(wǎng)絡(luò)造成致命的影響。2)來自財務(wù)網(wǎng)絡(luò)外部的非授權(quán)訪問

非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。3)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的風(fēng)險

目前財務(wù)網(wǎng)絡(luò)內(nèi)部的財務(wù)主服務(wù)器與財務(wù)辦公主機(jī)，混雜在一臺交換機(jī)上，這對于財務(wù)主服務(wù)器是完全不可取的，由于財務(wù)辦公主機(jī)的使用人員紛雜，計算機(jī)安全意識參差不齊，所以財務(wù)辦公主機(jī)的安全性和可靠性完全不能保證，而財務(wù)辦公主機(jī)與財務(wù)主服務(wù)器之間完全沒有任何防護(hù)手段。4)來自財務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問

對于財務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪問沒有任何的限制，也是不可取的，針對不同用戶的不同訪問需求，應(yīng)給于不同的訪問權(quán)限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡(luò)資源，將會造成網(wǎng)絡(luò)品質(zhì)的整體下降。同時當(dāng)財務(wù)處網(wǎng)絡(luò)中的主機(jī)因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包，沒有相應(yīng)安全防護(hù)設(shè)備，將造成包括辦公網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的癱瘓。同時，沒有完善的日志能力，對于日后的責(zé)任認(rèn)定也造成了很大的麻煩。

5)病毒的風(fēng)險

病毒的危險是現(xiàn)在網(wǎng)絡(luò)最需要解決的問題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒問題的，在網(wǎng)絡(luò)的邊界處，部署網(wǎng)關(guān)防護(hù)設(shè)備，可以有效地抑制病毒的傳播，尤其是當(dāng)出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時候，網(wǎng)關(guān)防護(hù)設(shè)備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi)，而不至于繼續(xù)擴(kuò)散。6)沒有完善的日志系統(tǒng)

財務(wù)處網(wǎng)絡(luò)中數(shù)據(jù)的完整性，可靠性，要求對于任何一次訪問，都要有明確的記錄，以便日后審查使用，而目前XX單位的財務(wù)網(wǎng)絡(luò)中沒有這樣的能力，這對日后的究責(zé)是非常不利的 三．整體方案的設(shè)計

根據(jù)XX單位的現(xiàn)有網(wǎng)絡(luò)環(huán)境，分析可能存在的威脅和風(fēng)險，考慮通過部署

天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)來加固XX單位的信息網(wǎng)絡(luò)。

采用千兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián) 網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護(hù)，百兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)絡(luò)的邊界處，用于隔離財務(wù)網(wǎng)絡(luò)中的工作主機(jī)和內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中的服務(wù)器，通過天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)，保護(hù)服務(wù)器不受外來攻擊。

具體部署如下圖所示：

四．防火墻子系統(tǒng) 1 防火墻部署的意義

防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)區(qū)域邊界處檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)重要網(wǎng)絡(luò)區(qū)域安全的前提下，提供不同網(wǎng)絡(luò)區(qū)域間通信。通過使用防火墻過濾不安全的通信，提高網(wǎng)絡(luò)安全和減少主機(jī)的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。設(shè)立防火墻的目的就是保護(hù)一個網(wǎng)絡(luò)區(qū)域不受來自另一個網(wǎng)絡(luò)區(qū)域的攻擊，防火墻的主要功能包括以下幾個方面：

（A）防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高網(wǎng)絡(luò)安全性，降

低受攻擊的風(fēng)險。

（B）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計等），比分散管理更經(jīng)濟(jì)。

（C）防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計。因為所有進(jìn)出網(wǎng)絡(luò)的通信流都通過防火

墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)。（D）防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防

外，又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機(jī)對服務(wù)器區(qū)域的訪問。防火墻的安裝部署

防火墻部署的目的是隔離不同安全等級的網(wǎng)絡(luò)區(qū)域，所以我們把XX單位辦公網(wǎng)絡(luò)，XX單位財務(wù)網(wǎng)絡(luò)分別看作一個網(wǎng)絡(luò)區(qū)域，同時XX單位辦公網(wǎng)絡(luò)與財務(wù)網(wǎng)絡(luò)之外的所有節(jié)點看作另一個網(wǎng)絡(luò)區(qū)域，防火墻部署在兩個網(wǎng)絡(luò)區(qū)域之間，即部署在財務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的接口處。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。防火墻的工作模式和接入方式

防火墻提供多種工作模式，包括透明接入，路由接入和混合接入。

? 連接方式：將百兆天融信防火墻的接口1連接財務(wù)網(wǎng)絡(luò)區(qū)域交換機(jī)，接口 2連接XX單位辦公網(wǎng)絡(luò)，接口3連接財務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機(jī)，千兆天融信

防火墻接口1連接XX單位辦公網(wǎng)絡(luò)，接口2連接互聯(lián)網(wǎng)區(qū)域，這樣我們使用防火墻實現(xiàn)了各個安全區(qū)域的隔離作用。

? 工作模式：考慮到對XX單位辦公網(wǎng)絡(luò)和財務(wù)網(wǎng)絡(luò)的影響盡可能小，建議將 百兆防火墻配置成透明工作模式，即防火墻本身不參與路由轉(zhuǎn)發(fā)和運(yùn)算，只提供訪問控制等防護(hù)功能，這樣對網(wǎng)絡(luò)中原有IP地址的配置影響小，互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡(luò)需要地址轉(zhuǎn)換，將配置成的路由工作模式。防火墻的配置和功能

1)通過防火墻隔離財務(wù)網(wǎng)絡(luò)的各個區(qū)域

通過防火墻的連接，原本屬于一個網(wǎng)絡(luò)（XX單位辦公網(wǎng)絡(luò)）的節(jié)點，被劃分為不同的網(wǎng)絡(luò)區(qū)域（財務(wù)處辦公區(qū)域、財務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過對訪問請求的審核，我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接，可以達(dá)到保護(hù)脆弱的服務(wù)、控制對財務(wù)服務(wù)器的訪問、記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在工作主機(jī)訪問財務(wù)服務(wù)器時，全部通信都受到防火墻的監(jiān)控，通過防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級別，以保證系統(tǒng)的安全。2)通過防火墻保護(hù)財務(wù)服務(wù)器

通過在防火墻上設(shè)置詳細(xì)的訪問控制規(guī)則，各個區(qū)域，各個IP節(jié)點間的通信，必須要符合防火墻的訪問控制規(guī)則，例如當(dāng)工作主機(jī)向服務(wù)器請求訪問時，也只能訪問服務(wù)器的相應(yīng)服務(wù)端口，在保護(hù)了服務(wù)器的同時，也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個業(yè)務(wù)網(wǎng)絡(luò)的純凈，提高了網(wǎng)絡(luò)的品質(zhì)。通過防火墻的阻斷功能，使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個區(qū)域不受到惡意的攻擊，攻擊者無法通過防火墻進(jìn)行掃描、攻擊等非法動作。防火墻可防止攻擊者對重要服務(wù)器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。測的功能.3)通過防火墻限制對服務(wù)器的訪問權(quán)限

通過在防火墻上進(jìn)行嚴(yán)格的訪問控制，通過對不同的用戶進(jìn)行分組，對于不同的用戶組，給予不同的訪問權(quán)限進(jìn)行訪問服務(wù)器，減小用戶對于服務(wù)器可以進(jìn)行操作的權(quán)限，極大地降低了服務(wù)器面臨的風(fēng)險。

4)通過防火墻限制財務(wù)網(wǎng)用戶向外的訪問

通常大多數(shù)用戶認(rèn)為從財務(wù)網(wǎng)絡(luò)向外部的訪問不會造成風(fēng)險和威脅，這種想法是錯誤的，例如反彈型木馬就是借助這種麻痹大意的想法進(jìn)行侵入的。

缺乏安全控制的濫用互聯(lián)網(wǎng)絡(luò)，可能導(dǎo)致：組織內(nèi)部重要資料和秘密資料通過 BBS、Email、QQ 和 MSN 等途徑向外散發(fā)，或被別有用心的人截獲而加以利用，或是進(jìn)行不當(dāng)互聯(lián)網(wǎng)訪問而引起組織內(nèi)部計算機(jī)感染木馬病毒，加大了組織重要及秘密信息的曝光率，給組織信息安全帶來隱患：對于政府、事業(yè)單位以及其他公共服務(wù)單位，如果互聯(lián)網(wǎng)管理的不夠完善，將會帶來極大信息安全隱患，例如經(jīng)濟(jì)等類型的重要的信息被通過非法渠道泄漏，此舉必然會有損組織的權(quán)威及名譽(yù)，并導(dǎo)致組織的公信力下降。對于公司企業(yè)等盈利性機(jī)構(gòu)而言，企業(yè)的機(jī)密信息等同于企業(yè)的生命。而在互聯(lián)網(wǎng)極度開放的今天，任何的疏忽都有可能導(dǎo)致企業(yè)機(jī)密信息外泄；而一旦發(fā)生企業(yè)機(jī)密信息外泄的情況，企業(yè)因此而投入了的大量人力物力將會付諸東流，此類案例在互聯(lián)網(wǎng)廣泛使用的今天是屢見不鮮的。

5)通過防火墻調(diào)整網(wǎng)絡(luò)使用效率

通過防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中如果有工作主機(jī)向服務(wù)器區(qū)域FTP的訪問、Web訪問等等，可以在防火墻中直接加載控制策略，使FTP訪問、Web訪問按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換。實現(xiàn)每個用戶、每個服務(wù)的帶寬控制，調(diào)整鏈路帶寬利用的效率。

6)通過防火前完善日志

通過防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務(wù)器中，通過日志服務(wù)器的日志分析和統(tǒng)計功能，在對收集的事件進(jìn)行詳盡分析及統(tǒng)計的基礎(chǔ)上輸出豐富的報表，實現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達(dá)300多種的報表模板，不僅支持對網(wǎng)絡(luò)事件按條件統(tǒng)計，更提供了對流量等變化趨勢的形象表現(xiàn)；對于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使管理員一目了然。同時采用多種告警方式，通知網(wǎng)絡(luò)管理人員。7)實現(xiàn)了重要財務(wù)工作人員直接訪問財務(wù)處網(wǎng)絡(luò)

通過天融信防火墻的訪問控制能力，我們可以控制各個訪問者訪問的權(quán)限，同時我們采用用戶名，口令，證書等驗證方式，徹底實現(xiàn)了對于訪問者身份驗證的目的。

五．入侵防御子系統(tǒng)

通常通過防火墻進(jìn)行網(wǎng)絡(luò)安全防范。從理論上分，防火墻可以說是第一層安全防范手段，通常安裝在網(wǎng)絡(luò)入口來保護(hù)來自外部的攻擊。其主要防范原理為基于TCP/IP的IP地址和及端口進(jìn)行過濾、限制。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要經(jīng)過防火墻才能到達(dá)目的地），因此為了提高其過濾、轉(zhuǎn)發(fā)效率，通常不會對每個數(shù)據(jù)報文或者數(shù)據(jù)流進(jìn)行過多的、細(xì)致地分析、檢查。但是恰恰很多符合防火墻的TCP/IP過濾安全策略的數(shù)據(jù)流或者報文中參雜著惡意的攻擊企圖。雖然目前一些防火墻增強(qiáng)了對于應(yīng)用層內(nèi)容分析的功能，但是考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加，因此從其實際應(yīng)用角度來說，存在一些局限性。但是網(wǎng)絡(luò)入侵防御系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡(luò)中，執(zhí)行各種復(fù)雜的應(yīng)用層分析工作。因此可以成為防火墻有效的擴(kuò)展。同時自帶阻斷功能，可以實現(xiàn)整體的安全防范體系。1入侵防御產(chǎn)品概述

天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過濾，并對異常及可疑流量進(jìn)行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地保護(hù)內(nèi)部IT資源。

網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡(luò)行為，提供及時的報警及響應(yīng)機(jī)制。其動態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，大大增強(qiáng)了用戶的整體安全防護(hù)強(qiáng)度。

2入侵防御系統(tǒng)產(chǎn)品特點 強(qiáng)大的高性能并行處理架構(gòu)

TopIDP應(yīng)用了先進(jìn)的多核處理器硬件平臺，將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS（Topsec Operating System）系統(tǒng)，集成多項發(fā)明專利，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡(luò)的安全防護(hù)要求。

精確的基于目標(biāo)系統(tǒng)的流重組檢測引擎

傳統(tǒng)的基于單個數(shù)據(jù)包檢測的入侵防御產(chǎn)品無法有效抵御TCP流分段重疊的攻擊，任何一個攻擊行為通過簡單的TCP流分段組合即可輕松穿透這種引擎，在受保護(hù)的目標(biāo)服務(wù)器主機(jī)上形成真正的攻擊。TopIDP產(chǎn)品采用了先進(jìn)的基于目標(biāo)系統(tǒng)的流重組檢測引擎，首先對到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組，然后對重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。

準(zhǔn)確與完善的檢測能力

TopIDP產(chǎn)品的智能檢測引擎可分析網(wǎng)絡(luò)攻擊的組合行為特征來準(zhǔn)確識別各種攻擊，準(zhǔn)確性更高；可以智能地識別出多種攻擊隱藏手段及變種攻擊，帶來更

高安全性；通過智能化檢測引擎，能夠識別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，達(dá)到防患于未然的目的，帶來更高網(wǎng)絡(luò)安全性；同時新版TopIDP具有強(qiáng)大的木馬檢測與識別能力；完善的應(yīng)用攻擊檢測與防護(hù)能力；豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時的應(yīng)急響應(yīng)能力。豐富靈活的自定義規(guī)則能力

TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力，能夠根據(jù)協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為，其中協(xié)議內(nèi)容支持強(qiáng)大靈活的PCRE（兼容perl的正則表達(dá)式）語法格式，特定協(xié)議支持更多達(dá)10種，包括：ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于靈活的自定義規(guī)則能力，用戶可以輕松定義自己的應(yīng)用層檢測和控制功能。

可視化的實時報表功能

現(xiàn)實網(wǎng)絡(luò)中的攻擊行為紛繁復(fù)雜且瞬息萬變，TopIDP產(chǎn)品提供了可視化的實時報表功能，可以實時顯示按發(fā)生次數(shù)排序的攻擊事件排名，使網(wǎng)絡(luò)攻擊及其威脅程度一目了然。應(yīng)用配套的TopPolicy產(chǎn)品，可以實時顯示Top10攻擊者、Top10被攻擊者、Top10攻擊事件等統(tǒng)計報表，更可以顯示24小時連續(xù)變化的事件發(fā)生統(tǒng)計曲線圖。借助于可視化的實時報表功能，用戶可以輕松實現(xiàn)全網(wǎng)威脅分析。

3入侵防御產(chǎn)品的作用

在基于TCP/IP的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵防御系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵防御系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)）。一旦入侵被檢測到，會引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當(dāng)?shù)胤垂簦?/p>

利用防火墻技術(shù)，經(jīng)過精心的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全風(fēng)險。但是，存在著一些防火墻等其它安全設(shè)備所不能防范的安全威脅，這就需要入侵防御系統(tǒng)提供實時的入侵檢測及采取相應(yīng)的防護(hù)手

段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等，來保護(hù)電子政務(wù)局域網(wǎng)的安全。

入侵防御是防火墻等其它安全措施的補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的流量中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵防御被認(rèn)為是防火墻之后的第二道安全閘門，對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。

除了入侵防御技術(shù)能夠保障系統(tǒng)安全之外，下面幾點也是使用入侵防御的原因：

（1）計算機(jī)安全管理的基本目標(biāo)是規(guī)范單個用戶的行為以保護(hù)信息系統(tǒng)免受安全問題的困擾。入侵檢測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進(jìn)行懲罰，有助于上述目標(biāo)的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。

（2）入侵防御可以檢測其它安全手段無法防止的問題。攻擊者使用越來越容易得到的攻擊技術(shù)，能夠?qū)Υ罅肯到y(tǒng)進(jìn)行非授權(quán)的訪問，尤其是連接到電子政務(wù)局域網(wǎng)的系統(tǒng)，而當(dāng)這些系統(tǒng)具有已知漏洞的時候這種攻擊更容易發(fā)生。盡管開發(fā)商和管理員試圖將漏洞帶來的威脅降到最低程度，但是很多情況下這是不能避免的：

? 很多系統(tǒng)的操作系統(tǒng)不能得到及時的更新

? 有的系統(tǒng)雖然可以及時得到補(bǔ)丁程序，但是管理員沒有時間或者資源進(jìn)行系統(tǒng)更新，這個問題很普遍，特別是在那些具有大量主機(jī)或多種類型的軟硬件的環(huán)境中。

? 正常工作可能需要開啟網(wǎng)絡(luò)服務(wù)，而這些協(xié)議是具有漏洞，容易被攻擊的。

? 用戶和管理員在配置和使用系統(tǒng)時可能犯錯誤。

? 在進(jìn)行系統(tǒng)訪問控制機(jī)制設(shè)置時可能產(chǎn)生矛盾，而這將造成合法用戶逾越他們權(quán)限的錯誤操作。

（3）當(dāng)黑客攻擊一個系統(tǒng)時，他們總是按照一定的步驟進(jìn)行。首先是對系統(tǒng)或網(wǎng)絡(luò)的探測和分析，如果一個系統(tǒng)沒有配置入侵防御，攻擊者可以自

由的進(jìn)行探測而不被發(fā)現(xiàn)，這樣很容易找到最佳攻入點。如果同樣的系統(tǒng)配置了入侵防御，則會對攻擊者的行動帶來一定難度，它可以識別可疑探測行為，阻止攻擊者對目標(biāo)系統(tǒng)的訪問，或者對安全人員報警以便采取響應(yīng)措施阻止攻擊者的下一步行動。

（4）入侵防御證實并且詳細(xì)記錄內(nèi)部和外部的威脅，在制定網(wǎng)絡(luò)安全管理方案時，通常需要證實網(wǎng)絡(luò)很可能或者正在受到攻擊。此外，攻擊的頻率和特征有助于選擇保護(hù)網(wǎng)絡(luò)免受相應(yīng)攻擊的安全手段。

（5）在入侵防御運(yùn)行了一段時間后，系統(tǒng)使用模式和檢測問題變得明顯，這會使系統(tǒng)的安全設(shè)計與管理的問題暴露出來，在還沒有造成損失的時候進(jìn)行糾正。

（6）即使當(dāng)入侵防御不能阻止攻擊時，它仍可以收集該攻擊的可信的詳細(xì)信息進(jìn)行事件處理和恢復(fù)，此外，這些信息在某些情況下可以作為犯罪的佐證。

4入侵防御產(chǎn)品部署

我們建議在XX單位辦公網(wǎng)與財務(wù)網(wǎng)接入處部署一臺天融信百兆入侵防御系統(tǒng)，主要監(jiān)控不同區(qū)域和財務(wù)網(wǎng)服務(wù)器的安全狀況。在互聯(lián)網(wǎng)與XX單位辦公網(wǎng)接入處部署一臺天融信千兆入侵防御系統(tǒng).IDP的探測引擎應(yīng)串連部署在XX單位辦公網(wǎng)與財務(wù)網(wǎng), 互聯(lián)網(wǎng)與XX單位辦公網(wǎng)連接線路上。5入侵防御策略配置

1）配置事件庫升級

配置入侵防御系統(tǒng)進(jìn)行定期的事件庫升級。2）配置服務(wù)器區(qū)網(wǎng)絡(luò)的全局預(yù)警策略

入侵防御系統(tǒng)將發(fā)現(xiàn)的針對XX單位財務(wù)網(wǎng)絡(luò)的入侵事件進(jìn)行整理，并建立戰(zhàn)略級全局預(yù)警事件庫，進(jìn)而可以據(jù)此對XX單位網(wǎng)絡(luò)做出有針對性的全局預(yù)警。

3）配置XX單位網(wǎng)絡(luò)特有的異常事件集策略

修改或定義XX單位網(wǎng)絡(luò)特有的事件，動態(tài)生成XX單位網(wǎng)絡(luò)自己的事件庫，提高入侵防御系統(tǒng)對XX單位網(wǎng)絡(luò)應(yīng)用的適應(yīng)性和事件檢測的準(zhǔn)確性。4）配置XX單位網(wǎng)絡(luò)異常流量分析策略

根據(jù)實時監(jiān)控XX單位網(wǎng)絡(luò)流量，進(jìn)行網(wǎng)絡(luò)流量的分類分析和統(tǒng)計情況，定義XX單位網(wǎng)絡(luò)流量異常的閥值，對異常流量進(jìn)行實時報警。5）配置XX單位網(wǎng)絡(luò)內(nèi)容異常分析策略

配置內(nèi)容異常分析策略對XX單位網(wǎng)絡(luò)所設(shè)定的異常報警內(nèi)容進(jìn)行多方位的定點跟蹤和顯示，對異常內(nèi)容進(jìn)行實時報警。6）配置XX單位網(wǎng)絡(luò)安全報表策略

根據(jù)XX單位網(wǎng)絡(luò)中所需要的事件記錄內(nèi)容，建立報表模板。按照XX單位網(wǎng)絡(luò)中的需求選擇報表類型，定制相應(yīng)的報表。7）配置XX單位網(wǎng)絡(luò)蠕蟲分析策略

XX單位網(wǎng)絡(luò)中心針對當(dāng)前流行的網(wǎng)絡(luò)蠕蟲和病毒進(jìn)行配置網(wǎng)絡(luò)蠕蟲策略，包括Nimda蠕蟲、Sql slammer蠕蟲等。9）配置XX單位網(wǎng)絡(luò)入侵防御管理策略

針對XX單位網(wǎng)絡(luò)不同安全等級的入侵事件進(jìn)行不同的響應(yīng)方式。包括記錄，報警，阻斷。

10）配置日志輸出策略

配置將日志輸出到綜合審計系統(tǒng)上的策略

六．防病毒網(wǎng)關(guān)系統(tǒng)

1XX單位網(wǎng)絡(luò)防毒需求分析和產(chǎn)品選型

通過對XX單位網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境和主要網(wǎng)絡(luò)業(yè)務(wù)狀況進(jìn)行分析，我們認(rèn)為計算機(jī)病毒是威脅系統(tǒng)正常運(yùn)行的一個重要因素。

當(dāng)前的病毒發(fā)展呈現(xiàn)出復(fù)合型威脅態(tài)勢，傳播方式多樣化、速度極快，在網(wǎng)絡(luò)中極易形成交叉感染的狀況，同時計算機(jī)病毒的危害也不再只限于破壞文件和本機(jī)，它甚至可以發(fā)動網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器崩潰。一旦病毒爆發(fā)，肯定會給網(wǎng)絡(luò)系統(tǒng)帶來很大損失。

針對混合型安全威脅攻擊，還需要加強(qiáng)邊界防毒的防范過濾，這樣才能更有效的保證系統(tǒng)的安全性、網(wǎng)絡(luò)的可用性。我們建議在XX單位財務(wù)網(wǎng)絡(luò)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與互聯(lián)網(wǎng)接入處部署天融信防病毒網(wǎng)關(guān)，工作在互

聯(lián)網(wǎng)與XX單位辦公網(wǎng)，XX單位辦公網(wǎng)與財務(wù)網(wǎng)絡(luò)的接入口處。防病網(wǎng)關(guān)可以進(jìn)行病毒特征碼升級。

通過配置防病毒網(wǎng)關(guān)，我們可以實現(xiàn)： ? 保證所有通過郵件/HTTP/FTP等方式進(jìn)入外網(wǎng)辦公網(wǎng)網(wǎng)絡(luò)及用戶系統(tǒng)前都會通過防病毒模塊查殺毒。

2防病毒網(wǎng)關(guān)產(chǎn)品組成

防病毒網(wǎng)關(guān)主要是處理網(wǎng)絡(luò)中數(shù)據(jù)，對數(shù)據(jù)進(jìn)行分析過濾，防止病毒代碼從設(shè)備中穿過滲透到內(nèi)部網(wǎng)絡(luò)。同時防止蠕蟲的攻擊，和垃圾郵件對正常辦公的干擾。

WEB方式管理主要是通過遠(yuǎn)程登陸防火墻，對防病毒網(wǎng)關(guān)進(jìn)行配置和管理。用戶可以遠(yuǎn)程地管理硬件設(shè)備，對要處理的主要網(wǎng)絡(luò)協(xié)議進(jìn)行設(shè)置，設(shè)置相應(yīng)協(xié)議中的方便管理員的操作和管理。同時用戶可以通過WEB方式查詢相應(yīng)的日志和生成所要的報表。

3防病毒網(wǎng)關(guān)產(chǎn)品部署

在本方案中將在XX單位辦公網(wǎng)絡(luò)與財務(wù)處網(wǎng)絡(luò)接入處部署天融信百兆防病毒網(wǎng)關(guān)，XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)接入處部署天融信千兆防病毒網(wǎng)關(guān),對來自互聯(lián)網(wǎng)的數(shù)據(jù)及財務(wù)網(wǎng)絡(luò)區(qū)以外的數(shù)據(jù)，進(jìn)行病毒檢測，針對SMTP、POP3、FTP、HTTP等協(xié)議的數(shù)據(jù)流進(jìn)行病毒掃描，從而提供網(wǎng)關(guān)層次的防毒能力。

天融信防病毒網(wǎng)關(guān)的部署,實現(xiàn)了真正的即插即用，不需要改動現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。部署的位置被確定，只需要為防病毒網(wǎng)關(guān)連接上網(wǎng)線，開啟電源開關(guān)就可以進(jìn)行掃描。管理IP地址就是防病毒網(wǎng)關(guān)管理IP地址。安裝向?qū)笇?dǎo)管理員進(jìn)行基本的設(shè)置，非常簡單易懂。

4防病毒網(wǎng)關(guān)產(chǎn)品功能

天融信防病毒網(wǎng)關(guān)處理所有主要的網(wǎng)絡(luò)協(xié)議，它能處理以下協(xié)議：SMTP、POP3、HTTP、FTP和IMAP。管理員還可以針對每個協(xié)議設(shè)置高級選項，例如：可以選擇清除病毒、刪除文件、隔離病毒或是記錄日志的方式來處理病毒。而且還可以在相應(yīng)的協(xié)議中設(shè)置一些附加功能的設(shè)置，如對關(guān)鍵字的過濾設(shè)置，對文件類型的掃描設(shè)置等。

七 系統(tǒng)層安全設(shè)計

1系統(tǒng)層安全目標(biāo)

? 操作系統(tǒng)：保障操作系統(tǒng)平臺的安全和正常運(yùn)行，為應(yīng)用系統(tǒng)提供及時多樣的服務(wù)；

? 數(shù)據(jù)庫：保證數(shù)據(jù)庫不受到惡意侵害或未經(jīng)授權(quán)的存取與修改。? 應(yīng)用系統(tǒng)：能提供有效的訪問控制和身份驗證手段，保證應(yīng)用平臺的持續(xù)、可靠的提供服務(wù)。

2操作系統(tǒng)安全要求

操作系統(tǒng)是所有計算機(jī)終端、工作站和服務(wù)器等正常運(yùn)行的基礎(chǔ)，操作系統(tǒng)的安全十分重要。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/

2、NOVELL Netware等。這些操作系統(tǒng)大部分獲得了美國政府的C-2級安全性認(rèn)證。但是針對操作系統(tǒng)應(yīng)用環(huán)境對安全要求的不同，公司網(wǎng)絡(luò)對操作系統(tǒng)的不同適用范圍作如下要求：

在XX單位網(wǎng)絡(luò)中關(guān)鍵的服務(wù)器群和工作站（如數(shù)據(jù)庫服務(wù)器、WWW服務(wù)器、代理服務(wù)器、Email服務(wù)器、病毒服務(wù)器、DHCP主域服務(wù)器、備份服務(wù)器和網(wǎng)管工作站）應(yīng)該采用服務(wù)器版本的操作系統(tǒng)。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。網(wǎng)管終端、辦公終端可以采用通用圖形窗口操作系統(tǒng)，如Windows NT Workstation/Server、Windows 2000等。

3操作系統(tǒng)安全管理

操作系統(tǒng)因為設(shè)計和版本的問題，存在許多的安全漏洞；同時因為在使用中安全設(shè)置不當(dāng)，也會增加安全漏洞，帶來安全隱患。在沒有其它更高安全級別的商用操作系統(tǒng)可供選擇的情況下，安全關(guān)鍵在于操作系統(tǒng)的安全管理。

為了加強(qiáng)操作系統(tǒng)的安全管理，要從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機(jī)安全、注冊表安全、RAS安全、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強(qiáng)化安全的措施。

加強(qiáng)物理安全管理，系統(tǒng)要有能力限制對I/O設(shè)備（軟驅(qū)、打印設(shè)備）的訪問。例如：

? 如果沒有必要，建議去掉或鎖死軟盤驅(qū)動器，禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū)；

? 在服務(wù)器上設(shè)置系統(tǒng)啟動口令，設(shè)置BIOS禁用軟盤引導(dǎo)系統(tǒng)； ? 不創(chuàng)建任何DOS分區(qū)； ? 保證機(jī)房的物理安全。

? 下載安裝最新的操作系統(tǒng)及其它應(yīng)用軟件的安全和升級補(bǔ)丁。如用最新的Service Pack（SP6）升級Windows NT Server 4。0，包括所有補(bǔ)丁程序和后來發(fā)表的很多安全補(bǔ)丁程序。

? 掌握并使用操作系統(tǒng)提供的安全功能，關(guān)閉不必要的服務(wù)和端口，專用主機(jī)只開專用功能。例如：運(yùn)行網(wǎng)管、數(shù)據(jù)庫重要進(jìn)程的主機(jī)上不應(yīng)該運(yùn)行如sendmail這種bug比較多的程序。網(wǎng)管網(wǎng)段路由器中的訪問控制應(yīng)該限制在最小限度，與系統(tǒng)集成商研究清楚各進(jìn)程必需的進(jìn)程端口號，關(guān)閉不必要的端口。

? Windows NT缺省安裝未禁用Guest賬號，并且給Everyone（每個人）工作組授予“完全控制”權(quán)限，沒有實施口令策略等，都給網(wǎng)絡(luò)的安全留下了漏洞。要加強(qiáng)服務(wù)器的安全，必須根據(jù)需要設(shè)置這些功能。? 控制授權(quán)用戶的訪問，實行“用戶權(quán)限最小化” 配置原則，將用戶以“組”的方式進(jìn)行管理。例如：“用戶權(quán)限最小化” 配置。域里配置適當(dāng)?shù)腘TFS訪問控制可以增強(qiáng)網(wǎng)絡(luò)的安全。取消或更改缺省情況下的Everyone組的：“完全控制”權(quán)限，要始終設(shè)置用戶所能允許的最小的文件夾和文件的訪問權(quán)限。另外，不要共享任何一個FAT卷。? 避免給用戶定義特定的訪問控制。將用戶以“組”的方式進(jìn)行管理是一個用戶管理的有效方法。如果一個用戶在公司里的角色變了，很難跟蹤并更改他的訪問權(quán)。最明智的作法就是為每個用戶指定一個工作組，為工作組指定文件、文件夾訪問權(quán)。如果要收回或更改某個用戶的訪問權(quán)，只要把該用戶從工作組中刪除或指定另一個工作組。

? 實施賬號及口令策略。配置口令策略，設(shè)置賬號鎖定。主要原則有：登錄名稱中字符不要重復(fù)或循環(huán)；至少包含兩個字母字符和一個非字母字符；至少有6個字符長度；不是用戶的姓名，不是相關(guān)人物、著名人物的姓名，不是用戶的生日和電話號碼及其他容易猜測的字符組合等；要

求用戶定期更改口令；給系統(tǒng)的默認(rèn)用戶特別是Administrator、Root改名，禁用Guest賬號；不要使用無口令的賬號，否則會給安全留下隱患；設(shè)置賬號鎖定，建議設(shè)置嘗試注冊三次后鎖定賬號，在合適的鎖定時間后被鎖定的賬號自動打開，或者只有管理員才能打開，用戶恢復(fù)正常。

? 控制遠(yuǎn)程訪問服務(wù)。遠(yuǎn)程訪問是黑客攻擊系統(tǒng)的常用手段，應(yīng)在系統(tǒng)中集成強(qiáng)認(rèn)證系統(tǒng)，如交換加密用戶ID和口令數(shù)據(jù)，使用專用的挑戰(zhàn)響應(yīng)協(xié)議（Challenge / Response Protocol），確保不會多次出現(xiàn)相同的認(rèn)證數(shù)據(jù)，阻止內(nèi)部黑客捕捉網(wǎng)絡(luò)信息包。同時，如條件允許，應(yīng)該使用回叫安全機(jī)制，并盡量采用數(shù)據(jù)加密技術(shù)，保證數(shù)據(jù)安全。

? 啟用登錄工作站和登錄時間限制。如果每個用戶只有一個PC，并且只允許工作時間登錄，可以把每個用戶的賬號限制在自己的PC上，且在工作時間內(nèi)使用，從而保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全。

? 啟動審查功能。為防止未經(jīng)授權(quán)的訪問，應(yīng)該啟用安全審查功能，以便在事件查看器安全日志中記錄未經(jīng)授權(quán)的訪問企圖，以便盡早發(fā)現(xiàn)安全漏洞。但要結(jié)合工作實際，設(shè)置合理的審計規(guī)則，切忌審查事件太多，以免無時間全部審查安全問題。

? 定期檢查系統(tǒng)日志文件，在備份設(shè)備上及時備份。如對用戶開放的各個主機(jī)的日志文件全部定向到一個syslogd server上，集中管理。服務(wù)器可以由一臺擁有大容量存貯設(shè)備的Unix或NT主機(jī)承擔(dān)。

? 確保注冊表、系統(tǒng)文件、關(guān)鍵配置文件安全。首先，取消或限制對regedit。exe、regedit32。exe的訪問；其次，利用regedit。exe或文件管理器設(shè)置只允許管理員訪問注冊表，其他任何用戶不得訪問注冊表；定期檢查關(guān)鍵配置文件（最長不超過一個月）。? 制定完整的系統(tǒng)備份計劃，并嚴(yán)格實施。

? 制定詳盡的系統(tǒng)漏洞掃描以及匯報制度，及時更新系統(tǒng)安全補(bǔ)丁，完善系統(tǒng)安全設(shè)置，關(guān)閉不必要和危險的服務(wù)。

4應(yīng)用層系統(tǒng)安全

在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如HTTP、FTP、TELNET、RLOGIN等服務(wù)。還有就是加強(qiáng)登錄身份認(rèn)證。確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

5數(shù)據(jù)庫系統(tǒng)安全

數(shù)據(jù)庫管理系統(tǒng)自身安全策略

目前的商用數(shù)據(jù)庫管理系統(tǒng)主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX單位網(wǎng)絡(luò)中的數(shù)據(jù)庫管理系統(tǒng)應(yīng)具有如下安全能力：

? 自主訪問控制（DAC）：DAC用來決定用戶是否有權(quán)訪問數(shù)據(jù)庫對象； ? 驗證：保證只有授權(quán)的合法用戶才能注冊和訪問； ? 授權(quán)：對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限； ? 審計：監(jiān)視各用戶對數(shù)據(jù)庫施加的動作。

? 數(shù)據(jù)庫管理系統(tǒng)應(yīng)能夠提供與安全相關(guān)事件的審計能力： ? 試圖改變訪問控制許可權(quán)

? 試圖創(chuàng)建、拷貝、清除或執(zhí)行數(shù)據(jù)庫。

? 系統(tǒng)應(yīng)能在下面列出的級別對數(shù)據(jù)庫的訪問控制授權(quán)：

表；視圖；紀(jì)錄；或元素。

? 系統(tǒng)應(yīng)提供在數(shù)據(jù)庫級和紀(jì)錄級標(biāo)識數(shù)據(jù)庫信息的能力。

數(shù)據(jù)庫系統(tǒng)的增強(qiáng)加固技術(shù)

數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)策略實現(xiàn)了對數(shù)據(jù)庫中數(shù)據(jù)的有效保護(hù)。而現(xiàn)實中某些應(yīng)用環(huán)境需要保持當(dāng)前主流數(shù)據(jù)庫管理系統(tǒng)的某些特性，同時又需要其滿足一定程度的安全性要求，提供必需的安全功能。針對這種客觀需要，比較直接經(jīng)濟(jì)的方法是對數(shù)據(jù)庫及數(shù)據(jù)庫管理系統(tǒng)進(jìn)行安全增強(qiáng)與加固。

對數(shù)據(jù)庫管理系統(tǒng)的安全功能增強(qiáng)主要是指對已存在的主流數(shù)據(jù)庫管理系統(tǒng)進(jìn)行安全封裝與數(shù)據(jù)過濾，增加數(shù)據(jù)庫管理系統(tǒng)的安全功能，實現(xiàn)數(shù)據(jù)保密性、完整性、可訪問性，最終達(dá)到保護(hù)數(shù)據(jù)的目的。這些數(shù)據(jù)庫管理系統(tǒng)自身缺乏或部分缺乏必要的安全功能，可在其外部增加安全控制模塊，一個或多個安全功能子系統(tǒng)，封裝后對外展現(xiàn)安全特性。一種典型安全增強(qiáng)配置參見下圖?？梢愿郊?的子系統(tǒng)包括：

? 認(rèn)證子系統(tǒng) ? 訪問控制子系統(tǒng)

? 數(shù)據(jù)的加密存儲與解密子系統(tǒng) ? 傳輸加密子系統(tǒng) ? 審計子系統(tǒng)

方案總結(jié)

實施以上方案后，可以解決XX單位網(wǎng)絡(luò)的如下安全問題：

針對網(wǎng)絡(luò)層：在網(wǎng)絡(luò)邊界和內(nèi)部引入了訪問控制措施、對限制措施和強(qiáng)化邊界訪問的授權(quán)、受控。

針對應(yīng)用層：解決應(yīng)用的安全優(yōu)化，,對網(wǎng)絡(luò)攻擊的防護(hù)，對病毒的查殺。針對管理層：建議建立網(wǎng)絡(luò)安全管理組織，結(jié)合實際情況建立完整的一系列安全策略以及安全策略的發(fā)布、執(zhí)行、審查、修訂的相關(guān)流程。對網(wǎng)絡(luò)的安全事件進(jìn)行統(tǒng)一的整理和歸納，確保網(wǎng)絡(luò)系統(tǒng)的整體安全。

第二篇：網(wǎng)絡(luò)安全建議書

網(wǎng)絡(luò)安全建議書

網(wǎng)絡(luò)安全建議書1

親愛的同學(xué)們：

隨著網(wǎng)絡(luò)時代的到來，以信息技術(shù)為代表的科學(xué)技術(shù)迅猛發(fā)展，越來越多的人利用網(wǎng)絡(luò)從事研究、傳遞信息、交流情感，互聯(lián)網(wǎng)得到迅速普及并逐漸滲透到社會生活的各個領(lǐng)域，也成為青少年學(xué)習(xí)知識、獲取信息、交流思想、休閑娛樂的重要平臺。

但互聯(lián)網(wǎng)上信息量大，內(nèi)容繁雜。

網(wǎng)上的腐朽文化，對青少年的人生觀、價值觀、道德觀進(jìn)行腐蝕；網(wǎng)上的黃色流毒，對青少年的身心進(jìn)行摧殘；網(wǎng)上的暴力文化，對青少年的行為進(jìn)行誤導(dǎo)。

一些青少年因受到網(wǎng)絡(luò)的負(fù)面影響，身心健康遭到極大的損害，走上了犯罪的.道路。

為了教育引導(dǎo)學(xué)生養(yǎng)成健康文明的網(wǎng)絡(luò)生活方式，向全班同學(xué)發(fā)出“文明上網(wǎng)、健康上網(wǎng)，做網(wǎng)絡(luò)時代好公民”的建議：

一、要認(rèn)真學(xué)習(xí)、貫徹和踐行以“八榮八恥”為主要內(nèi)容的社會主義榮辱觀，堅持文明上網(wǎng)。

二、互聯(lián)網(wǎng)作為崇尚科學(xué)知識，傳播先進(jìn)文化，塑造美好心靈，弘揚(yáng)社會正氣的主陣地，小學(xué)生有責(zé)任和義務(wù)來共同營造積極向上、和諧文明的網(wǎng)上輿論氛圍。

三、從自身做起，在主觀思想上建立一道防線，抵制網(wǎng)絡(luò)上反動、腐朽、不健康的內(nèi)容對自己精神上的侵蝕，樹立與之斗爭的信念與決心。

四、努力學(xué)習(xí)網(wǎng)絡(luò)知識、技能，提高操作水平，自覺維護(hù)網(wǎng)絡(luò)安全，建設(shè)網(wǎng)絡(luò)文明，勇做倡導(dǎo)和維護(hù)網(wǎng)絡(luò)安全的先鋒。

五、同學(xué)上網(wǎng)要做到“三不”和“三上”，即：不進(jìn)營業(yè)性網(wǎng)吧；不進(jìn)色情、垃圾網(wǎng)站；不沉迷于網(wǎng)絡(luò)游戲；健康上網(wǎng)，把網(wǎng)絡(luò)作為獲取知識的園地；文明上網(wǎng)，正確處理上網(wǎng)與學(xué)習(xí)的關(guān)系；綠色上網(wǎng)，熟悉上網(wǎng)的安全通道。

同學(xué)們，讓我們信守建議，從現(xiàn)在做起，從自我做起，堅持自尊、自律、自強(qiáng)，努力弘揚(yáng)網(wǎng)絡(luò)文明，遵守《全國青少年網(wǎng)絡(luò)文明公約》，自覺遠(yuǎn)離網(wǎng)吧，追求健康時尚的網(wǎng)絡(luò)新生活，為社會的和諧健康發(fā)展做出自己的貢獻(xiàn)！

建議人：XX

20xx年X月X日

網(wǎng)絡(luò)安全建議書2

社會各界朋友們：

為幫助公眾更好地了解、感知身邊的網(wǎng)絡(luò)安全風(fēng)險，增加網(wǎng)絡(luò)安全知識，提高網(wǎng)絡(luò)安全防護(hù)技能，保障廣大網(wǎng)民合法權(quán)益，共同維護(hù)國家網(wǎng)絡(luò)安全，中央網(wǎng)信辦、中央編辦、教育部、科技部、工業(yè)和信息化部、公安部、中國人民銀行、國家新聞出版廣電總局、團(tuán)中央、中國科協(xié)十部門決定于20xx年6月1日至7日開展第二屆國家網(wǎng)絡(luò)安全宣傳周活動。本屆宣傳周活動的主題是“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”，設(shè)立了啟動日、金融日、電信日、政務(wù)日、法制日、科技日、青少年日7個主題日。本屆宣傳周選擇在6月1日國際兒童節(jié)啟動，其目的是突出對青少年的網(wǎng)絡(luò)安全意識、知識與技能教育，為青少年的成長，營造一個健康的網(wǎng)絡(luò)環(huán)境和清朗的網(wǎng)絡(luò)空間。

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，我國網(wǎng)民數(shù)量激劇增長，特別是“互聯(lián)網(wǎng)+”戰(zhàn)略的推進(jìn)，互聯(lián)網(wǎng)已日益成為公眾日常工作、生活、學(xué)習(xí)不可或缺的平臺和助手，深刻地改變著人們的生活方式、行為方式和價值觀念?；ヂ?lián)網(wǎng)為廣大網(wǎng)民打開了認(rèn)識世界的一扇窗，創(chuàng)造了一個求知的廣闊空間，開創(chuàng)了推動經(jīng)濟(jì)社會發(fā)展的新形態(tài)。

但是，互聯(lián)網(wǎng)在帶給人們快捷、方便的同時，也帶來了挑戰(zhàn)。由于大多數(shù)網(wǎng)民網(wǎng)絡(luò)安全意識薄弱，網(wǎng)絡(luò)詐騙、謠言、暴力、色情等事件時有發(fā)生，網(wǎng)絡(luò)安全形勢日趨復(fù)雜，違法不良信息屢屢出現(xiàn)，使互聯(lián)網(wǎng)健康發(fā)展面臨嚴(yán)峻挑戰(zhàn)。尤其是互聯(lián)網(wǎng)已成為青少年學(xué)習(xí)、生活、娛樂的重要工具，網(wǎng)絡(luò)上的色情低俗、血腥暴力等有害信息，嚴(yán)重影響青少年健康成長，廣大家長朋友憂心忡忡，社會各界高度關(guān)注?！肮步ňW(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”已是社會的期盼、人們的心愿。建設(shè)安全的網(wǎng)絡(luò)環(huán)境，打造清朗的網(wǎng)絡(luò)空間，人人有責(zé)、人人參與。為此，射洪縣互聯(lián)網(wǎng)信息辦公室向社會各界朋友倡議：

一、做“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”的踐行者。要自覺遵守憲法和互聯(lián)網(wǎng)相關(guān)法律法規(guī)，自覺選擇健康信息，不參與有害和無用信息的制作和傳播，拒絕傳播違反國家法律、影響國家安全、破壞社會穩(wěn)定、破壞民族團(tuán)結(jié)和宗教信仰的信息，切實履行應(yīng)有的社會責(zé)任。

二、做“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”的宣傳者。要自覺在學(xué)習(xí)工作生活中、在網(wǎng)絡(luò)空間里倡導(dǎo)社會主義核心價值觀，弘揚(yáng)傳播正能量，旗幟鮮明地駁斥雜音噪音，提倡先進(jìn)文化，摒棄消極頹廢，唱響網(wǎng)上“中國好聲音”，促進(jìn)綠色網(wǎng)絡(luò)建設(shè)。

三、做“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”的推進(jìn)者。要不斷加大互聯(lián)網(wǎng)技術(shù)的創(chuàng)新提高，加強(qiáng)網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和應(yīng)用，筑牢網(wǎng)絡(luò)安全防護(hù)欄，防范和減少網(wǎng)絡(luò)安全事件給我們帶來的'麻煩，推進(jìn)互聯(lián)網(wǎng)行業(yè)健康安全發(fā)展。

四、做“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”的保護(hù)者。要敢于擔(dān)當(dāng)，大膽地同網(wǎng)絡(luò)上的雜音噪音、歪風(fēng)邪氣作斗爭，幫助廣大青年增強(qiáng)明辨是非、判別對錯的能力;要提升網(wǎng)絡(luò)素養(yǎng)，爭當(dāng)中國好網(wǎng)民，爭做網(wǎng)絡(luò)時代的新青年，保護(hù)“網(wǎng)絡(luò)原住民”，共同推進(jìn)網(wǎng)絡(luò)空間進(jìn)一步清朗。

五、做“共建網(wǎng)絡(luò)安全，共享網(wǎng)絡(luò)文明”的捍衛(wèi)者。社會各界要切實承擔(dān)起時代重任，要主動拿起法律的武器，履行網(wǎng)民義務(wù)，加大對違法和不良有害網(wǎng)絡(luò)信息的舉報力度，努力維護(hù)國家網(wǎng)絡(luò)主權(quán)，為國家安全和互聯(lián)網(wǎng)發(fā)展作出積極貢獻(xiàn)。

朋友們，網(wǎng)絡(luò)安全事關(guān)國家安全、社會和諧，讓我們從現(xiàn)在做起、從自己做起，堅持文明上網(wǎng)、文明辦網(wǎng)，攜手共建綠色網(wǎng)絡(luò)空間，奏響網(wǎng)絡(luò)文明的和諧之音!

網(wǎng)絡(luò)安全建議書3

親愛的同學(xué)：

在我們建設(shè)和諧社會、和諧學(xué)校、和諧課堂的今天，互聯(lián)網(wǎng)迅速普及到學(xué)習(xí)、生活的各個領(lǐng)域，互聯(lián)網(wǎng)帶給我們大量信息，拓寬了我們交往的渠道，已成為獲取信息、探求新知、交流思想的重要平臺。

通過上網(wǎng)，我們不但可以學(xué)到網(wǎng)絡(luò)知識和網(wǎng)絡(luò)技能，還可以配合課堂教育接受全省最優(yōu)秀教師的同步輔導(dǎo)，更能開闊視野，拓展教育空間，提高綜合素質(zhì)。

同時通過各種網(wǎng)絡(luò)教育，我們還可以根據(jù)個人興趣選擇適合自己的學(xué)習(xí)方式和內(nèi)容，發(fā)展自己的個性化特長。

互聯(lián)網(wǎng)已成為我們尋求知識了解社會的便捷工具。

但任何事物都有兩面性，互聯(lián)網(wǎng)高速傳播的信息中也充斥著諸如色情、暴力等不良內(nèi)容，個別同學(xué)因過分沉溺于虛擬時空而影響了學(xué)習(xí)，這些負(fù)面影響都危害著我們的健康成長。

因此倡導(dǎo)綠色上網(wǎng)，保證青少年有一個健康純凈的網(wǎng)絡(luò)環(huán)境一直是社會各界共同的心愿。

為引導(dǎo)青少年健康上網(wǎng)，提高學(xué)生的'網(wǎng)絡(luò)文明和應(yīng)用意識，學(xué)校現(xiàn)代信息中心、校共青團(tuán)委、少先隊大隊部共同發(fā)起“青少年綠色上網(wǎng)”活動，活動主題為倡導(dǎo)綠色上網(wǎng)，共享健康網(wǎng)絡(luò)，該活動旨在將互聯(lián)網(wǎng)的快速發(fā)展成就更好地服務(wù)于青少年一代的健康成長，使青少年通過互聯(lián)網(wǎng)汲取更多有益的科學(xué)知識和社會知識，鼓勵、引導(dǎo)青少年健康、安全地使用互聯(lián)網(wǎng)，共享與世界同步的網(wǎng)絡(luò)文明和信息文明。

讓我們積極參與到“青少年綠色上網(wǎng)”活動中來，努力學(xué)習(xí)網(wǎng)絡(luò)知識和技能，通過網(wǎng)絡(luò)尋求更多有利于自己成長、學(xué)習(xí)的信息和知識。

抵制網(wǎng)絡(luò)上反動、消極內(nèi)容對自己的侵蝕，并且積極參與到清除網(wǎng)絡(luò)垃圾的行動中去。

樹立健康上網(wǎng)的新風(fēng)尚，創(chuàng)造全新的網(wǎng)上生活方式。

自覺遵守全國青少年網(wǎng)絡(luò)文明公約：

要善于網(wǎng)上學(xué)習(xí)，不瀏覽不良信息。

要誠實友好交流，不侮辱欺詐他人。

要增強(qiáng)保護(hù)意識，不隨意約會網(wǎng)友。

要維護(hù)網(wǎng)絡(luò)安全，不破壞網(wǎng)絡(luò)秩序。

要有益身心健康，不沉溺虛擬時空。

同學(xué)們，讓我們信守建議，從現(xiàn)在做起，從自我做起，自尊、自律、自強(qiáng)，上文明網(wǎng)，文明上網(wǎng)，讓網(wǎng)絡(luò)伴隨我們健康成長！

XX中學(xué)

XX年XX月

網(wǎng)絡(luò)安全建議書4

全縣廣大青少年：

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，互聯(lián)網(wǎng)已日益成為青少年日常生活、學(xué)習(xí)不可或缺的平臺和助手，我們在享受信息時代科技成果的同時，更要努力絡(luò)安全知識，爭做一名“四有好網(wǎng)民”（有高度的安全意識、有明的網(wǎng)絡(luò)素養(yǎng)、有守法的`行為習(xí)慣、有必備的防護(hù)技能），提高警惕，增強(qiáng)自我防范意識，時刻注意保護(hù)人身和財產(chǎn)安全。青少年們更應(yīng)該明辨是非，理智地對待各種不良誘惑，充分利用網(wǎng)絡(luò)有利的一面，讓網(wǎng)絡(luò)成為有益于青少年健康成長的樂園。為此我們倡議以下幾點：

一、青少年依法上網(wǎng)，嚴(yán)格自律。

自覺遵守互聯(lián)網(wǎng)相關(guān)法律法規(guī)，自覺選擇健康信息，不參與有害和無用信息的制作和傳播，拒絕傳播違反國家法律、影響國家安全、破壞社會穩(wěn)定、破壞民族團(tuán)結(jié)和宗教信仰的信息，切實履行應(yīng)有的社會責(zé)任。

二、青少年明上網(wǎng)，傳播正能量。

有責(zé)任和義務(wù)共同營造積極向上、和諧明的網(wǎng)上輿論氛圍，自覺在學(xué)習(xí)、生活中，在網(wǎng)絡(luò)空間里倡導(dǎo)社會主義核心價值觀，弘揚(yáng)正能量，旗幟鮮明地駁斥雜音噪音，提倡先進(jìn)化，摒棄消極頹廢，促進(jìn)綠色網(wǎng)絡(luò)建設(shè)。

三、理性上網(wǎng)，明辨是非。

從自身做起，抵制網(wǎng)絡(luò)上反動、腐朽、不健康的內(nèi)容對自己精神上的侵蝕；樹立與之斗爭的信念與決心；敢于擔(dān)當(dāng)，大膽地同網(wǎng)絡(luò)上的雜音噪音、歪風(fēng)邪氣作斗爭，增強(qiáng)明辨是非、判別對錯的能力；提升網(wǎng)絡(luò)素養(yǎng)，爭做網(wǎng)絡(luò)時代的新青年，共同推進(jìn)網(wǎng)絡(luò)空間進(jìn)一步清朗。

四、善于網(wǎng)上學(xué)習(xí)，自覺維護(hù)網(wǎng)絡(luò)安全。

學(xué)習(xí)一些網(wǎng)絡(luò)知識與技能，提高操作水平，建設(shè)網(wǎng)絡(luò)明，勇做倡導(dǎo)和維護(hù)網(wǎng)絡(luò)安全的先鋒。健康上網(wǎng)，把網(wǎng)絡(luò)作為獲取知識的園地；明上網(wǎng)，正確處理上網(wǎng)與學(xué)習(xí)的關(guān)系；綠色上網(wǎng)，熟悉上網(wǎng)的安全通道。

在此，團(tuán)縣委呼吁全縣廣大青少年，從現(xiàn)在做起，從我做起，讓我們高舉網(wǎng)絡(luò)明的大旗，自覺遵守《全國青少年網(wǎng)絡(luò)明公約》，努力促進(jìn)網(wǎng)上健康明的道德規(guī)范和社會網(wǎng)絡(luò)明的良好氛圍的形成，為全縣精神明建設(shè)做出自己的貢獻(xiàn)！

網(wǎng)絡(luò)安全建議書5

互聯(lián)網(wǎng)的迅猛發(fā)展，以其豐富的內(nèi)容、開闊的眼界、快捷的方式正逐漸地改變著人們的生活和交流方式。微信、微博、qq等網(wǎng)絡(luò)工具已經(jīng)成為信息傳播、人際溝通和文化交流的重要渠道。但是網(wǎng)上的不良、不實信息和不文明行為仍然存在，影響社會健康發(fā)展，對大學(xué)生的身心健康帶來極大的負(fù)面影響。

為提升全院師生的網(wǎng)絡(luò)安全意識，倡導(dǎo)師生文明使用網(wǎng)絡(luò)，構(gòu)建安全、健康、和諧的.校園網(wǎng)絡(luò)環(huán)境，黨委宣傳部面向全院師生發(fā)出如下倡議：

一、自覺遵守《中華人民共和國憲法》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等國家有關(guān)法律、法規(guī)和政策，樹立正確的網(wǎng)絡(luò)觀，抵制不文明行為，爭做文明網(wǎng)民。

二、自覺選擇上網(wǎng)安全通道。主動使用綠色上網(wǎng)過濾軟件，正確把握上網(wǎng)時間和上網(wǎng)時段，嚴(yán)格屏蔽不良網(wǎng)站，確保個人的身心健康。

三、自覺抵制網(wǎng)絡(luò)低俗之風(fēng)。做到不制作、不瀏覽、不、不傳播。

四、增強(qiáng)網(wǎng)絡(luò)道德文明意識。崇尚科學(xué)，追求真知，明確網(wǎng)上的是非觀念，使用網(wǎng)絡(luò)文明語言，明辨網(wǎng)絡(luò)信息真假，增強(qiáng)網(wǎng)絡(luò)文明意識，爭做網(wǎng)絡(luò)文明使者。

五、主動參與到抵制網(wǎng)絡(luò)有害信息的行動中去，積極揭露和舉報網(wǎng)絡(luò)不安全信息。

六、正確使用網(wǎng)絡(luò)資源，堅決杜絕整日沉迷于網(wǎng)絡(luò)游戲，禁止不良網(wǎng)絡(luò)信息的傳播。

七、加強(qiáng)自我學(xué)習(xí)，學(xué)會自我約束，增強(qiáng)辨別謠言、抵制謠言的能力，逐步樹立成熟陽光的上網(wǎng)態(tài)度。

美好的網(wǎng)絡(luò)環(huán)境需要我們共同創(chuàng)造，希望廣大師生能夠自覺、自律地養(yǎng)成安全、文明、健康的上網(wǎng)習(xí)慣。構(gòu)建一個安全、和諧的校園網(wǎng)絡(luò)環(huán)境!

倡議人：

時間：X年XX月XX日

網(wǎng)絡(luò)安全建議書6

6月12日是全國首屆“網(wǎng)絡(luò)誠信宣傳日”，為增強(qiáng)網(wǎng)絡(luò)誠信，凈化網(wǎng)絡(luò)空間，如下倡議：

一、依法誠信辦網(wǎng)。各網(wǎng)站要嚴(yán)格規(guī)范網(wǎng)站建設(shè)與管理，做到“三實”：履行誠信辦網(wǎng)責(zé)任要實，抵制網(wǎng)絡(luò)失信行為要實，宣傳誠信要實。各網(wǎng)站要自覺遵守國家關(guān)于互聯(lián)網(wǎng)發(fā)展和管理的法律、法規(guī)和政策，接受政府主管部門的行政管理和業(yè)務(wù)指導(dǎo)，不違法違規(guī)開展業(yè)務(wù)，切實履行應(yīng)有的社會責(zé)任。

二、文明誠信用網(wǎng)。廣大網(wǎng)民誠信上網(wǎng)，要做到“三主動”：主動維護(hù)網(wǎng)上誠信記錄，主動加強(qiáng)網(wǎng)上誠信自律，主動防范和舉報網(wǎng)絡(luò)失信行為，同時要做到“三斗爭”：堅決與不良交友行為做斗爭，維護(hù)網(wǎng)絡(luò)交友平臺的'誠信;堅決與不法網(wǎng)絡(luò)交易作斗爭，維護(hù)網(wǎng)絡(luò)交易平臺的誠信;堅決與虛假網(wǎng)絡(luò)信息作斗爭，維護(hù)網(wǎng)絡(luò)信息平臺的誠信。廣大網(wǎng)名還要學(xué)習(xí)相關(guān)的法律、法規(guī)，用法律的武器維護(hù)網(wǎng)絡(luò)誠信，切不可以暴制暴通過網(wǎng)絡(luò)暴力來對抗網(wǎng)絡(luò)失信行為。

總之，誠信的網(wǎng)絡(luò)環(huán)境是屬于大家的，維護(hù)網(wǎng)絡(luò)誠信，大家責(zé)無旁貸，只有網(wǎng)站和網(wǎng)民齊心協(xié)力，才能共同營造良好的網(wǎng)絡(luò)誠信氛圍，網(wǎng)絡(luò)空間才會更加清朗，所以讓我們一起做網(wǎng)絡(luò)誠信的踐行者、揭發(fā)者、保衛(wèi)者吧。

倡議人：

時間：X年XX月XX日

網(wǎng)絡(luò)安全建議書7

在互聯(lián)網(wǎng)信息技術(shù)高速發(fā)展、網(wǎng)民人數(shù)迅猛增長的今天，網(wǎng)絡(luò)謠言已成為互聯(lián)網(wǎng)世界里最大的“病毒”，不僅導(dǎo)致社會誠信缺失，危及網(wǎng)絡(luò)事業(yè)健康發(fā)展，而且致使我國青少年是非判斷、道德品質(zhì)以及審美情趣、文化心態(tài)等受到嚴(yán)重沖擊。

為營造良好網(wǎng)絡(luò)文化環(huán)境，引導(dǎo)廣大青少年合理使用網(wǎng)絡(luò)、遠(yuǎn)離網(wǎng)絡(luò)“糟粕”，增強(qiáng)自身辨別是非、抵御網(wǎng)絡(luò)謠言的能力，庫車縣第四中學(xué) 班鄭重倡議：

一、樹立法律意識，嚴(yán)格遵守互聯(lián)網(wǎng)法律法規(guī)，積極踐行文明上網(wǎng)，自覺遠(yuǎn)離網(wǎng)絡(luò)謠言，堅決斬斷網(wǎng)絡(luò)謠言傳播鏈。

二、增強(qiáng)社會責(zé)任感，強(qiáng)化道德正義感，站穩(wěn)立場、明辨是非，切實做到不信謠、不傳謠，讓網(wǎng)絡(luò)謠言失去滋生的土壤。

三、加強(qiáng)自我學(xué)習(xí)，學(xué)會自我約束，增強(qiáng)辨別謠言、抵制謠言的能力，逐步樹立成熟陽光的網(wǎng)絡(luò)公民心態(tài)。

四、主動參與到抵制網(wǎng)絡(luò)謠言的行動中去，積極揭露和舉報網(wǎng)絡(luò)謠言，力爭消滅謠言產(chǎn)生的溫床，堅決做網(wǎng)絡(luò)健康環(huán)境的維護(hù)者。

X班的同學(xué)們，讓我們行動起來，自覺抵制網(wǎng)絡(luò)謠言糟粕，攜手營造一個清新、健康、積極向上的'互聯(lián)網(wǎng)共有家園，為推動我國互聯(lián)網(wǎng)事業(yè)的健康發(fā)展做出自己的貢獻(xiàn)!

倡議人：

時間：X年XX月XX日

第三篇：網(wǎng)絡(luò)安全防護(hù)制度

網(wǎng)絡(luò)安全防護(hù)制度

為加強(qiáng)網(wǎng)絡(luò)管理，保障網(wǎng)絡(luò)暢通，杜絕利用網(wǎng)絡(luò)進(jìn)行非法活動，使之更好地方便游客，特制定本制度。

一、安全教育與培訓(xùn)

1．組織管理員認(rèn)真學(xué)習(xí)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《網(wǎng)絡(luò)安全管理制度》及《信息發(fā)布審核、登記制度》，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。2．對所有網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺遵守和維護(hù)《計算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，具備基本的網(wǎng)絡(luò)安全知識。3．不定期地邀請公安機(jī)關(guān)有關(guān)人員、設(shè)備提供商專業(yè)技術(shù)人員進(jìn)行信息安全方面的培訓(xùn)，加強(qiáng)對有害信息，特別是影射性有害信息的識別能力，提高防范能力。

二、病毒檢測和網(wǎng)絡(luò)安全漏洞檢測

1．服務(wù)器如果發(fā)現(xiàn)漏洞要及時修補(bǔ)漏洞或進(jìn)行系統(tǒng)升級。2．網(wǎng)絡(luò)信息安全員履行對所有上網(wǎng)信息進(jìn)行審查的職責(zé)，根據(jù)需要采取措施，監(jiān)視、記錄、檢測、制止、查處、防范針對其所管轄網(wǎng)絡(luò)或入網(wǎng)計算機(jī)的人或事。3．所有用戶有責(zé)任對所發(fā)現(xiàn)或發(fā)生的違反有關(guān)法律、法規(guī)和規(guī)章制度的人或事予以制止或向相關(guān)部門反映、舉報，協(xié)助有關(guān)部門或管理人員對上述人或事進(jìn)行調(diào)查、取證、處理，應(yīng)該向調(diào)查人員如實提供所需證據(jù)。

4．網(wǎng)絡(luò)管理員應(yīng)根據(jù)實際情況和需要采用新技術(shù)調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)功能，變更系統(tǒng)參數(shù)和使用方法，及時排除系統(tǒng)隱患。

三、網(wǎng)絡(luò)安全管理員崗位職責(zé)

1．保障網(wǎng)絡(luò)暢通和網(wǎng)絡(luò)信息安全。

2．嚴(yán)格遵守國家、省、市制定的相關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行我司制定的《網(wǎng)絡(luò)安全工作制度》，以人為本，依法管理，確保網(wǎng)絡(luò)安全有序。

3．服務(wù)器如果發(fā)現(xiàn)漏洞要及時修補(bǔ)漏洞或進(jìn)行系統(tǒng)升級。4．網(wǎng)絡(luò)信息安全員履行對所有上網(wǎng)信息進(jìn)行審查的職責(zé)，根據(jù)需要采取措施，監(jiān)視、記錄、檢測、制止、查處、防范針對其所管轄網(wǎng)絡(luò)或入網(wǎng)計算機(jī)的人或事。5．所有用戶有責(zé)任對所發(fā)現(xiàn)或發(fā)生的違反有關(guān)法律、法規(guī)和規(guī)章制度的人或事予以制止或向相關(guān)部門反映、舉報，協(xié)助有關(guān)部門或管理人員對上述人或事進(jìn)行調(diào)查、取證、處理，應(yīng)該向調(diào)查人員如實提供所需證據(jù)。

6．網(wǎng)絡(luò)管理員應(yīng)根據(jù)實際情況和需要采用新技術(shù)調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)功能，變更系統(tǒng)參數(shù)和使用方法，及時排除系統(tǒng)隱患。

四、網(wǎng)絡(luò)賬號使用登記和操作權(quán)限

1．上網(wǎng)IP地址是上網(wǎng)主機(jī)在網(wǎng)上的合法用戶身份標(biāo)志，所有上網(wǎng)主機(jī)必須到網(wǎng)絡(luò)管理部門進(jìn)行登記注冊，將本機(jī)的重要網(wǎng)絡(luò)技術(shù)資料（包括主機(jī)型號，技術(shù)參數(shù)，用戶名，主機(jī)名，所在域名或工作組名，網(wǎng)卡類型，網(wǎng)卡的MAC地址，網(wǎng)管部門分配的IP地址）詳盡備案，以備核查。

2．上網(wǎng)用戶未經(jīng)許可，不得擅自改動本機(jī)IP地址的主機(jī)。

3．網(wǎng)絡(luò)管理部門對賬號與權(quán)限劃分要進(jìn)行有效的備份，以便網(wǎng)絡(luò)發(fā)生故障時進(jìn)行恢復(fù)。4．賬號與操作權(quán)限的設(shè)置，必須做到專人專管，不得泄密或外借給他人使用。

五、網(wǎng)絡(luò)違法案件報告和協(xié)助查處

1．落實網(wǎng)絡(luò)安全崗位責(zé)任制，一旦發(fā)現(xiàn)網(wǎng)絡(luò)違法案件，應(yīng)詳細(xì)、如實記錄事件經(jīng)過，保存相關(guān)日志，及時通知有關(guān)人員部門取得聯(lián)系。

2．接到有關(guān)網(wǎng)絡(luò)違法案件舉報時，要詳細(xì)記錄，對舉報人的身份等要嚴(yán)格保密，及時通知有關(guān)人員，并及時與公安部門取得聯(lián)系。

3．當(dāng)有關(guān)網(wǎng)絡(luò)安全監(jiān)察部門進(jìn)行網(wǎng)絡(luò)違法案件及其他網(wǎng)絡(luò)安全檢查時，網(wǎng)絡(luò)安全員和其他有關(guān)人員必須積極配合。

4．以下行為屬于違法使用網(wǎng)絡(luò)：

（1）破壞網(wǎng)絡(luò)通訊設(shè)施，包括光纜、室內(nèi)網(wǎng)絡(luò)布線、室內(nèi)信息插座、配線間網(wǎng)絡(luò)設(shè)備等。（2）隨意改變網(wǎng)絡(luò)接入位置。

（3）盜用他人的IP地址、更改網(wǎng)卡地址、盜用他人賬號（包括系統(tǒng)賬號、電子郵件賬號、信息發(fā)布賬號等）；

（4）通過電子郵件、網(wǎng)絡(luò)、存儲介質(zhì)等途徑故意傳播計算機(jī)病毒。

（5）對網(wǎng)絡(luò)進(jìn)行惡意偵聽和信息截獲，在網(wǎng)絡(luò)上發(fā)送干擾正常通信的數(shù)據(jù)。

（6）對網(wǎng)絡(luò)各種攻擊，包括利用已知的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、安全工具、端口掃描等進(jìn)行攻擊，以后、以及利用IP欺騙手段實施的拒絕服務(wù)攻擊；（7）訪問和傳播色情、反動、邪教、謠言等不良信息的。

第四篇：網(wǎng)絡(luò)安全防護(hù)措施

網(wǎng)絡(luò)安全防護(hù)措施

為保證做好我部門“政務(wù)信息公開”工作，做到非涉密政務(wù)信息100%公開，同時嚴(yán)格執(zhí)行政務(wù)信息公開保密審核制度，則必須保障網(wǎng)絡(luò)安全維護(hù)工作，配備必要的安全防護(hù)設(shè)施及工作，確保信息與網(wǎng)絡(luò)安全。要做到以下幾點：

一、防火墻

在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻設(shè)備。如通過防火墻過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)；對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制和阻斷；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的監(jiān)測和告警。禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部機(jī)器；保證外部用戶可以且只能訪問到某些指定的公開信息；限制內(nèi)部用戶只能訪問到某些特定的Intenet資源，如WWW服務(wù)、FTP服務(wù)、TELNET服務(wù)等；它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)各部門的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。使用硬件防火墻，管理和維護(hù)更加方便有效。防火墻技術(shù)的作用是對網(wǎng)絡(luò)訪問實施訪問控制策略。使用防火墻是一種確保網(wǎng)絡(luò)安全的方法。

二、網(wǎng)絡(luò)漏洞掃描入侵者一般總是通過尋找網(wǎng)絡(luò)中的安全漏洞來尋找入侵點。進(jìn)行系統(tǒng)自身的脆弱性檢查的主要目的是先于入侵者發(fā)現(xiàn)漏洞并及時彌補(bǔ)，從而進(jìn)行安全防護(hù)。由于網(wǎng)絡(luò)是動態(tài)變化的：網(wǎng)絡(luò)結(jié)構(gòu)

不斷發(fā)生變化、主機(jī)軟件不斷更新和增添；所以，我們必須經(jīng)常利用網(wǎng)絡(luò)漏洞掃描器對網(wǎng)絡(luò)設(shè)備進(jìn)行自動的安全漏洞檢測和分析，包括：應(yīng)用服務(wù)器、WWW服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫服務(wù)器、重要的文件服務(wù)器及交換機(jī)等網(wǎng)絡(luò)設(shè)備，通過模擬黑客攻擊手法，探測網(wǎng)絡(luò)設(shè)備中存在的弱點和漏洞，提醒安全管理員，及時完善安全策略，降低安全風(fēng)險。

三、防病毒系統(tǒng)要防止計算機(jī)病毒在網(wǎng)絡(luò)上傳播、擴(kuò)散，需要從Internet、郵件、文件服務(wù)器和用戶終端四個方面來切斷病毒源，才能保證整個網(wǎng)絡(luò)免除計算機(jī)病毒的干擾，避免網(wǎng)絡(luò)上有害信息、垃圾信息的大量產(chǎn)生與傳播。單純的殺毒軟件都是單一版系統(tǒng)，只能在單臺計算機(jī)上使用，只能保證病毒出現(xiàn)后將其殺滅，不能阻止病毒的傳播和未知病毒的感染；若一個用戶沒有這些殺毒軟件，它將成為一個病毒傳染源，影響其它用戶，網(wǎng)絡(luò)傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮，才能較好的達(dá)到徹底預(yù)防和清除病毒的目的。

因此，使用網(wǎng)絡(luò)防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進(jìn)出企業(yè)網(wǎng)的病毒、郵件病毒進(jìn)行有效的清除，并提供基于網(wǎng)絡(luò)的單機(jī)殺毒能力。網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)能保證病毒庫的及時更新，以及對未知病毒的稽查。

四、要求辦公全部使用內(nèi)部網(wǎng)絡(luò)系統(tǒng)，涉密文件數(shù)據(jù)傳輸必須加密，其目的是對傳輸中的數(shù)據(jù)流加密，數(shù)據(jù)存儲加密技術(shù)目的是防止在存儲環(huán)節(jié)的數(shù)據(jù)失密。防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。各

辦公室的涉密文件、資料、信息應(yīng)設(shè)置安全保護(hù)，不得保存于未設(shè)置保密措施的計算機(jī)上。未經(jīng)授權(quán)，不得隨意訪問別人的保密文檔。對已標(biāo)明“秘密”、“機(jī)密”、“絕密”密級標(biāo)識的，或雖未標(biāo)明密級但通過保密審查、審批程序鑒定為國家秘密、工作秘密的，以及未以保密審批、審查的信息，嚴(yán)禁在網(wǎng)上發(fā)布。嚴(yán)禁在外網(wǎng)環(huán)境下辦公及存儲文件和資料。

五、定期排查計算機(jī)使用情況，保證計算機(jī)的使用安全，內(nèi)部網(wǎng)絡(luò)環(huán)境下使用移動存儲設(shè)備必須經(jīng)過檢測，確認(rèn)其安全后方可使用。要提高網(wǎng)絡(luò)運(yùn)行的管理水平，有效地、全方位地保障網(wǎng)絡(luò)安全。

第五篇：網(wǎng)絡(luò)安全防護(hù)策略

網(wǎng)絡(luò)安全防護(hù)策略

大數(shù)據(jù)時代的來臨，為各行各業(yè)的數(shù)據(jù)整理工作都提供了不小的幫助。但同時也由于網(wǎng)絡(luò)環(huán)境的因素，導(dǎo)致數(shù)據(jù)的安全容易出現(xiàn)問題。因此為了保證計算機(jī)網(wǎng)絡(luò)的安全，相關(guān)企業(yè)以及政府部門都在積極分析引發(fā)安全隱患的具體原因，對此進(jìn)行針對性的研究防范。

首先，對于大數(shù)據(jù)時代下計算機(jī)網(wǎng)絡(luò)存在的安全問題主要有以下幾方面原因：第一，自然環(huán)境的原因。主要包括有自然天氣現(xiàn)象，狂風(fēng)、雷電等等。比如風(fēng)很有可能造成電纜的斷裂，從而導(dǎo)致設(shè)備非正常關(guān)機(jī)，就容易造成數(shù)據(jù)丟失的問題。第二，網(wǎng)絡(luò)環(huán)境的原因。主要包括有網(wǎng)絡(luò)上數(shù)據(jù)信息的真假性、一些網(wǎng)絡(luò)漏洞、病毒等問題。比如U盤或者數(shù)據(jù)線在連接機(jī)箱的過程中就會傳遞一些隱藏病毒。

其次，有效處理網(wǎng)絡(luò)安全問題的技術(shù)措施。第一，提升管理人員的監(jiān)管能力。需要從培養(yǎng)高技術(shù)高素質(zhì)的管理人員開始進(jìn)行。各個企業(yè)在招聘管理人員時，就應(yīng)當(dāng)對其操作網(wǎng)絡(luò)技術(shù)的能力進(jìn)行考核，保證其具備處理網(wǎng)絡(luò)安全風(fēng)險的能力。同時，應(yīng)當(dāng)定期在企業(yè)內(nèi)部展開培訓(xùn)工作，對員工的知識技能以及綜合素質(zhì)進(jìn)行培訓(xùn)，在這方面可以邀請專業(yè)的網(wǎng)絡(luò)安全防范技術(shù)研究專家，為企業(yè)管理人員進(jìn)行培訓(xùn)工作。第二，完善監(jiān)管制度。相關(guān)部門應(yīng)當(dāng)建立起健全完善的網(wǎng)絡(luò)管理制度，并利用制度來規(guī)范員工的使用行為。比如，不瀏覽安全性未知的網(wǎng)頁，不使用機(jī)箱接入移動設(shè)備。還可以建立責(zé)任監(jiān)督機(jī)制，對工作流程進(jìn)行監(jiān)督，一旦有人進(jìn)行違規(guī)操作而導(dǎo)致網(wǎng)絡(luò)安全受到影響，可以直接追究相關(guān)責(zé)任人的責(zé)任。同時，還應(yīng)當(dāng)重視起網(wǎng)絡(luò)安全風(fēng)險中的自然因素，組織工作人員定期對電路進(jìn)行故障排查，比如，電源接地問題、電線絕緣體的使用情況，并應(yīng)當(dāng)設(shè)置避雷裝置。第三，網(wǎng)絡(luò)安全檢測及防護(hù)技術(shù)。企業(yè)應(yīng)當(dāng)安排專業(yè)的技術(shù)人員對設(shè)備進(jìn)行定期的體檢，包括設(shè)備硬件以及軟件系統(tǒng)的檢測工作。此外，信息在互動傳輸?shù)倪^程中，也比較容易受到不法分子和網(wǎng)絡(luò)病毒的攻擊，而在這個環(huán)節(jié)，也可以利用信息技術(shù)的加密算法功能，對數(shù)據(jù)信息進(jìn)行加密處理，只有掌握正確的密碼才能查看相應(yīng)的數(shù)據(jù)信息。第四，信息備份與找回功能。安全防御軟件都具備信息自動備份以及丟失信息的找回功能。此外，在網(wǎng)絡(luò)安全防范工作中，鏡像技術(shù)也是十分重要的，它能夠在計算機(jī)出現(xiàn)故障的時候，為系統(tǒng)的正常運(yùn)行提供切實保障。

最后，在實際對網(wǎng)絡(luò)安全進(jìn)行防范時，相關(guān)企業(yè)以及政府部門應(yīng)當(dāng)注重對人才的培養(yǎng)工作，并制定可行的監(jiān)管制度，加大監(jiān)督管理的力度，規(guī)范人們正確使用網(wǎng)絡(luò)的行為。還應(yīng)當(dāng)積極對網(wǎng)絡(luò)安全檢測技術(shù)和防護(hù)技術(shù)進(jìn)行優(yōu)化升級，利用網(wǎng)絡(luò)智能化、自動化的特點，全面消除網(wǎng)絡(luò)安全風(fēng)險。