第一篇：XX設計公司網(wǎng)絡安全應用方案

XX設計公司網(wǎng)絡安全應用方案

一：目前公司現(xiàn)狀以及存在的安全隱患：

整個網(wǎng)絡由內(nèi)外網(wǎng)組成，內(nèi)網(wǎng)是員工設計繪圖專用網(wǎng)絡。包括：建筑專業(yè)、結構專業(yè)、給排水專業(yè)、電氣專業(yè)、暖通專業(yè)、概預算專業(yè)等部門。外網(wǎng)是聯(lián)接Internet的辦公室部門網(wǎng)絡，可以與外界交換數(shù)據(jù)、獲取信息。

目前存在的問題：

１.內(nèi)網(wǎng)用戶之間是工作組的方式聯(lián)網(wǎng)，相互之間通過飛鴿傳書軟件傳送文件，每個員工可以任意添加、刪除、修改本機數(shù)據(jù)，隨意安裝軟件、文件傳送混亂，不利于管理。

２.每個人的工作都在自己計算機上存儲文件，對員工的工作量檢查、工作內(nèi)容的管理非常麻煩。一旦有不滿的員工離開公司，可隨意破壞數(shù)據(jù)，且已發(fā)生此類事件。

３.可以用移動介質比如Ｕ盤，盜取、拷貝數(shù)據(jù)。為了公司數(shù)據(jù)的安全，要屏蔽每臺計算機的Ｕ盤功能。但是有的計算機又必須開啟Ｕ盤功能才能使用ＵＳＢ的加密狗。這樣對公司數(shù)據(jù)的保密構成威脅。

４.由于每個人的工作文件都存在單個的計算機上，這樣不便于公司文檔的收集、整理、歸類、存儲、備份，急需改進。

５.由于每臺計算機的密碼保護工作很麻煩，目前的電腦有的有密碼，有的沒有，極易造成數(shù)據(jù)的泄密工作。

６.由于工作組計算機的分散，不利于每臺計算機的病毒庫更新、系統(tǒng)或應用軟件補丁的安裝，對系統(tǒng)維護增加了困難。

針對以上情況，我們建議貴公司的網(wǎng)絡升級到域，即用活動目錄的方式對計算機及公司人員進行管理，達到提高效率，保護網(wǎng)絡系統(tǒng)數(shù)據(jù)安全，規(guī)范公司管理的目的。

二：解決方案

為了更好的管理網(wǎng)絡建議把網(wǎng)絡升級到域環(huán)境，可以用微軟的利用Microsoft? Active Directory? 服務對網(wǎng)絡進行管理。

Microsoft? Active Directory? 服務是Windows?平臺的核心組件，它為用戶管理網(wǎng)絡環(huán)境各個組成要素的標識和關系提供了一種有力的手段。

1． 回收每臺計算機的管理權限，并把每臺計算機加入到公司域環(huán)境。每個人都用域用戶登錄，使每個內(nèi)網(wǎng)員工只有應用設計軟件進行設計工作的權限，不能任意添加、刪除、修改每臺計算機的配置及應用程序的權限，只有經(jīng)過公司允許才能安裝刪除文件。這樣就保證了每臺計算機應用程序的安全，是員工專心于工作。減少了應用程序出處及系統(tǒng)感染病毒的可能。2． 通過在服務器和每個人的本地計算機上建立文件目錄規(guī)范公司文檔的管理。比如：在用戶登錄到域后，會看登錄用戶名一樣的主目錄，用戶可以對該目錄進行自由的讀寫，用戶可以在下面建立“工作和共享”兩個文件夾，工作目錄存放自己工作的文件，共享目錄存放與別人交流的文件。共享目錄的權限對其他人是只讀的，其他人可以讀和拷貝文件，但不能修改刪除。這樣可以不使用飛鴿傳書軟件，造成軟件、文檔亂傳的情況。存儲在本地的文件其他人（除了管理員）是沒有權限看到的。這樣每個人的工作在自己的計算機上保留一份，在服務器上再保留一份。且不被其他無關人員讀取，有效的保證了數(shù)據(jù)的安全、備份、容錯功能。同時可以按裝比飛鴿傳書功能更強大的騰訊的ＲＴＸ及時通訊軟件，使內(nèi)部員工之間可以相互交流。由于員工的數(shù)據(jù)存儲在服務器上，可以方便的對數(shù)據(jù)進行歸檔和備份。對于特別重要的數(shù)據(jù)還應該刻錄成光盤，異地存儲保存

3． 打開注冊表編輯器，依次展開如下分支

[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右側的窗格中找到名為“Start”的DWORD值，雙擊，在彈出的編輯對話框中將其數(shù)值數(shù)據(jù)修改為十六位進制數(shù)值“4”。點“確定”按鈕并關閉注冊表編輯器，重新啟動計算機，使設置生效。這樣做的前提是必須回收每臺計算機的管理員權限。

4． 網(wǎng)絡不是絕對安全的，通過詳細的規(guī)劃，安全的設置，以及公司良好的行政管理。建立一整套完整的與外界以及公司內(nèi)部人員文件交換機制，才能有效的杜絕數(shù)據(jù)泄密，破壞等問題。

5． 網(wǎng)絡建立以后，必須定期指派專人對網(wǎng)絡進行升級和維護，以達到網(wǎng)絡高效，快速的目的，同時也方便領導的檢查，監(jiān)督，了解每個員工的工作學習情況。

第二篇：企業(yè)網(wǎng)絡安全方案的設計

信息安全課程設計

xx網(wǎng)絡安全方案的設計

海南經(jīng)貿(mào)職業(yè)技術學院信息技術系

︽ 網(wǎng) 絡

安

課 全

程 ︾

設

計

報

告

題 目 XX網(wǎng)絡安全方案的設計

學 號 310609040104

班 級 網(wǎng)絡工程06-1班

姓 名 王某某

指導老師 王天明

信息安全課程設計

xx網(wǎng)絡安全方案的設計設計企業(yè)網(wǎng)絡安全方案

摘 要：在這個信息技術飛速發(fā)展的時代，許多有遠見的企業(yè)都認識到很有必要依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺來極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業(yè)整體網(wǎng)絡安全方案以及該方案的組織和實施等方面的闡述，為企業(yè)提供一個可靠地、完整的方案。

關鍵詞： 信息安全、企業(yè)網(wǎng)絡安全、安全防護

一、引言

隨著國內(nèi)計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應此如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結構也會變得越來越復雜，應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡系統(tǒng)存在三個方面的安全問題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調查顯示，在受調查的企業(yè)中60%以上的員 信息安全課程設計

xx網(wǎng)絡安全方案的設計工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。

（3）內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明 圖一 企業(yè)網(wǎng)絡簡圖

對該公司的信息安全系統(tǒng)無論在總體構成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

（2）原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產(chǎn)品亟待升級。

（3）經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

（4）計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

（2）網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。（3）信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

（4）信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。具體如下： 1.標準化原則

信息安全課程設計

xx網(wǎng)絡安全方案的設計2.系統(tǒng)化原則 3.規(guī)避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則

四、企業(yè)網(wǎng)絡安全解決方案的思路

1.安全系統(tǒng)架構

安全方案必須架構在科學網(wǎng)絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護體系

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。如圖二所示：

圖說明 圖二 網(wǎng)絡與信息安全防范體系模型

信息安全課程設計

xx網(wǎng)絡安全方案的設計3.企業(yè)網(wǎng)絡安全結構圖

通過以上分析可得總體安全結構應實現(xiàn)大致如圖三所示的功能:

圖說明 圖三

總體安全結構圖

五、整體網(wǎng)絡安全方案

1.網(wǎng)絡安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(Public Key Infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

1）身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

信息安全課程設計

xx網(wǎng)絡安全方案的設計

2）數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

4）不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

3.網(wǎng)絡防火墻

采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行防護。其網(wǎng)絡結構一般如下：

圖說明 圖四 防火墻

此外在實際中可以增加入侵檢測系統(tǒng)，作為防火墻的功能互補，提供對監(jiān)控 信息安全課程設計

xx網(wǎng)絡安全方案的設計網(wǎng)段的攻擊的實時報警和積極響應等功能。4.病毒防護系統(tǒng)

應強化病毒防護系統(tǒng)的應用策略和管理策略，增強勤業(yè)網(wǎng)絡的病毒防護功能。這里我們可以選擇瑞星網(wǎng)絡版殺毒軟件企業(yè)版。瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內(nèi)客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡內(nèi)的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護

在一個企業(yè)中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護的簡圖（透明方式）:

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明

圖五

郵件系統(tǒng)保護 6.關鍵網(wǎng)段保護

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應此對外應是保密的。所以這些網(wǎng)段我們也應給予特別的防護。簡圖如下圖六所示。

圖說明

圖六

關鍵網(wǎng)段的防護 7.日志分析和統(tǒng)計報表能力

對網(wǎng)絡內(nèi)的安全事件也應都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)還應自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目 信息安全課程設計

xx網(wǎng)絡安全方案的設計標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。8.內(nèi)部網(wǎng)絡行為的管理和監(jiān)控

除對外的防護外，對網(wǎng)絡內(nèi)的上網(wǎng)行為也應該進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網(wǎng)絡內(nèi)部網(wǎng)絡行為的監(jiān)控可以規(guī)范網(wǎng)絡內(nèi)部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護簡圖如下圖七所示：

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明

圖七

內(nèi)網(wǎng)綜合保護 9.移動用戶管理系統(tǒng)

對于企業(yè)內(nèi)部的筆記本電腦在外工作，當要接入內(nèi)部網(wǎng)也應進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。10.身份認證的解決方案

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實施方式

由以上的分析及設計，可知網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 信息安全課程設計

xx網(wǎng)絡安全方案的設計流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖說明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

（4）在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

七、總結

本課程設計以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。也希望通過本方 信息安全課程設計

xx網(wǎng)絡安全方案的設計案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

本次課程設計的完成，首先應感謝劉老師的指導。由于剛開始選題不恰當，所以完成的不理想，后來和劉老師交流后決定用這個項目來做。此外，也感謝同學的幫助。特別是在課程設計中需要繪制圖形時，給我推薦了“億圖”繪圖工具，使得本課程設計中所需的圖形都得以順利繪制出來，能較好的展示出整個設計的過程。

教師評語：

第三篇：企業(yè)網(wǎng)絡安全方案的設計

信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

河 南 理 工 大 學 計 算 機 學 院

︽ 信 息

安

課 全

程 ︾

設

計

報

告

題 目 企業(yè)網(wǎng)絡安全方案的設計

學 號 310609040104

班 級 網(wǎng)絡工程06-1班

姓 名 嚴茵茵

指導老師 劉 琨

信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計設計企業(yè)網(wǎng)絡安全方案

摘 要：在這個信息技術飛速發(fā)展的時代，許多有遠見的企業(yè)都認識到很有必要依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺來極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業(yè)整體網(wǎng)絡安全方案以及該方案的組織和實施等方面的闡述，為企業(yè)提供一個可靠地、完整的方案。

關鍵詞： 信息安全、企業(yè)網(wǎng)絡安全、安全防護

一、引言

隨著國內(nèi)計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應此如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結構也會變得越來越復雜，應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡系統(tǒng)存在三個方面的安全問題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調查顯示，在受調查的企業(yè)中60%以上的員信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。

（3）內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明 圖一 企業(yè)網(wǎng)絡簡圖

對該公司的信息安全系統(tǒng)無論在總體構成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

（2）原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產(chǎn)品亟待升級。

（3）經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

（4）計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

（2）網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。（3）信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

（4）信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。具體如下： 1.標準化原則 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計2.系統(tǒng)化原則 3.規(guī)避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則

四、企業(yè)網(wǎng)絡安全解決方案的思路

1.安全系統(tǒng)架構

安全方案必須架構在科學網(wǎng)絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護體系

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。如圖二所示：

圖說明 圖二 網(wǎng)絡與信息安全防范體系模型 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計3.企業(yè)網(wǎng)絡安全結構圖

通過以上分析可得總體安全結構應實現(xiàn)大致如圖三所示的功能:

圖說明 圖三

總體安全結構圖

五、整體網(wǎng)絡安全方案

1.網(wǎng)絡安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(Public Key Infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

1）身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

2）數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

4）不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

3.網(wǎng)絡防火墻

采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行防護。其網(wǎng)絡結構一般如下：

圖說明 圖四 防火墻

此外在實際中可以增加入侵檢測系統(tǒng)，作為防火墻的功能互補，提供對監(jiān)控信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計網(wǎng)段的攻擊的實時報警和積極響應等功能。4.病毒防護系統(tǒng)

應強化病毒防護系統(tǒng)的應用策略和管理策略，增強勤業(yè)網(wǎng)絡的病毒防護功能。這里我們可以選擇瑞星網(wǎng)絡版殺毒軟件企業(yè)版。瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內(nèi)客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡內(nèi)的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護

在一個企業(yè)中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護的簡圖（透明方式）: 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明

圖五

郵件系統(tǒng)保護 6.關鍵網(wǎng)段保護

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應此對外應是保密的。所以這些網(wǎng)段我們也應給予特別的防護。簡圖如下圖六所示。

圖說明

圖六

關鍵網(wǎng)段的防護 7.日志分析和統(tǒng)計報表能力

對網(wǎng)絡內(nèi)的安全事件也應都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)還應自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。8.內(nèi)部網(wǎng)絡行為的管理和監(jiān)控

除對外的防護外，對網(wǎng)絡內(nèi)的上網(wǎng)行為也應該進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網(wǎng)絡內(nèi)部網(wǎng)絡行為的監(jiān)控可以規(guī)范網(wǎng)絡內(nèi)部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護簡圖如下圖七所示： 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明

圖七

內(nèi)網(wǎng)綜合保護 9.移動用戶管理系統(tǒng)

對于企業(yè)內(nèi)部的筆記本電腦在外工作，當要接入內(nèi)部網(wǎng)也應進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。10.身份認證的解決方案

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實施方式

由以上的分析及設計，可知網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖說明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

（4）在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

七、總結

本課程設計以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。也希望通過本方信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

本次課程設計的完成，首先應感謝劉老師的指導。由于剛開始選題不恰當，所以完成的不理想，后來和劉老師交流后決定用這個項目來做。此外，也感謝同學的幫助。特別是在課程設計中需要繪制圖形時，給我推薦了“億圖”繪圖工具，使得本課程設計中所需的圖形都得以順利繪制出來，能較好的展示出整個設計的過程。

教師評語：

第四篇：中小企業(yè)網(wǎng)絡安全應用研究報告

中小企業(yè)網(wǎng)絡安全應用研究報告

一．研究內(nèi)容

本報告研究內(nèi)容主要包括以下幾個方面：1．中小企業(yè)網(wǎng)絡安全的需求特點。根據(jù)對中小企業(yè)的分類（見報告正文），分別對初級、中級、高級中小企業(yè)網(wǎng)絡安全的需求特點做了分析。

2．針對初級、中級、高級中小企業(yè)的網(wǎng)絡安全需求分別研究了解決方案。

3．對中小企業(yè)網(wǎng)絡安全市場做了增長趨勢預測。

4．分析了網(wǎng)絡安全廠商的捆綁策略，并對網(wǎng)絡安全廠商合作中需要注意的問題和選擇合作伙伴的標準做了建議。

二．中小企業(yè)網(wǎng)絡安全的需求

1．中級中小企業(yè)防入侵、防垃圾郵件的需求沒有得到中小企業(yè)的足夠重視，這兩個方面的需求沒有得到有效的滿足。市場上雖然有解決此類問題的產(chǎn)品，但由于中級中小企業(yè)防護意識的缺乏，以及存在信息不對稱和相關知識缺乏的問題，需求并沒有被滿足。這需要廠商加強宣傳和引導。

2．高級中小企業(yè)的網(wǎng)絡安全方面，防止內(nèi)部人員竊取和攻擊、防止無線數(shù)據(jù)的攔截這兩方面沒有得到中小企業(yè)的足夠重視。網(wǎng)絡安全廠商所關注的重點，仍主要集中于防病毒、防垃圾郵件、防止非法入侵、身份識別與訪問控制、反端口掃描、數(shù)據(jù)的備份和恢復等方面，對防止內(nèi)部人員竊取和攻擊、防止無線數(shù)據(jù)的攔截這兩方面重視程度不夠。例如防止無線數(shù)據(jù)的攔截方面，網(wǎng)絡安全市場就缺乏針對中小企業(yè)此方面需求的相關產(chǎn)品。

三．中小企業(yè)網(wǎng)絡安全市場的增長趨勢

1．初級中小企業(yè)網(wǎng)絡安全的市場價值2004年為0.7億元人民幣。在2007年，市場價值將增加到1.6億元人民幣，但年增長率由2005年的42.9降低到2007年的23.1。

2．中級中小企業(yè)網(wǎng)絡安全的市場價值在2004年為2.2億元人民幣。2007年市場價值將增加到5.3億元人民幣，但年增長率由2005年的45.5降低到2007年的23.3。

3．高級中小企業(yè)網(wǎng)絡安全的市場價值在2004年為2.4億元人民幣。2007年，市場價值將增加到5.7億元人民幣，但年增長率由2005年的41.7降低到2007年的23.9。

4．國內(nèi)中小企業(yè)網(wǎng)絡安全硬件、軟件及服務市場價值逐年增長。2004年網(wǎng)絡安全硬件的市場價值為3.0億元人民幣，而軟件及服務的市場價值為2.3億元人民幣。到2007年網(wǎng)絡安全硬件的市場價值增加到6.3億元人民幣，而軟件及服務的市場價值增加到6.4億元人民幣，網(wǎng)絡安全軟件及服務方面的市場將首次超過硬件。

第五篇：公司網(wǎng)絡安全管理制度

上海好司機網(wǎng)絡科技有限公司

網(wǎng)絡安全管理制度 機房管理規(guī)定

1.1、機房環(huán)境

1.1.1、機房環(huán)境實施集中監(jiān)控和巡檢登記制度。環(huán)境監(jiān)控應包括：煙霧、溫濕度、防盜系統(tǒng)。

1.1.2、機房應保持整齊、清潔。進入機房應更換專用工作服和工作鞋。

1.1.3、機房應滿足溫濕度的要求,配有監(jiān)視溫濕度的儀表或裝置。

溫度：低于28°C

濕度：小于80%

1.1.4、機房的照明及直流應急備用照明電源切換正常，照明亮度應滿足運行維護的要求，照明設備設專人管理，定期檢修。

1.1.5、門窗應密封,防止塵埃、蚊蟲及小動物侵入。

1.1.6、樓頂及門窗防雨水滲漏措施完善；一樓機房地面要進行防潮處理，在滿足凈空高度的原則下,離室外地面高度不得小于15CM。

1.2、機房安全

1.2.1、機房內(nèi)用電要注意安全，防止明火的發(fā)生，嚴禁使用電焊和氣焊。

1.2.2、機房內(nèi)消防系統(tǒng)及消防設備應定期按規(guī)定的檢查周期及項目進行檢查，消防系統(tǒng)自動噴淋裝置應處于自動狀態(tài)。

1.2.3、機房內(nèi)消防系統(tǒng)及消防設備應設專人管理，擺放位置適當，任何人不得擅自挪用和毀壞；嚴禁在消防系統(tǒng)及消防設備周圍堆放雜物，維護值班人員要掌握滅火器的使用方法。

1.2.4、機房內(nèi)嚴禁堆放汽油、酒精等易燃易爆物品。機房樓層間的電纜槽道要用防火泥進行封堵隔離。嚴禁在機房內(nèi)大面積使用化學溶劑。

1.2.5、無人值守機房的安全防范措施要更加嚴格，重要機房應安裝視像監(jiān)視系統(tǒng)。

1.3、設備安全

1.3.1、每年雷雨季節(jié)到來之前的要做好雷電傷害的預防工作，主要檢查機房設備與接地系統(tǒng)與連接處是否緊固、接觸是否良好、接地引下線有無銹蝕、接地體附近地面有無異常，必要時挖開地面抽查地下掩蔽部分銹蝕情況，如發(fā)現(xiàn)問題應及時處理。

1.3.2、接地網(wǎng)的接地電阻宜每年測量一次，測量方法按DL548—94標準附錄B，接地電阻符合該標準附錄A的表1所列接地電阻的要求，要防止設備地電位升高,擊穿電器絕緣,引發(fā)通信事故。

1.3.3、每年雷雨季節(jié)到來之前應對運行中的防雷元器件進行一次檢測，雷雨季節(jié)中要加強外觀巡視，發(fā)現(xiàn)異常應及時處理。

1.3.4、房設備應有適當?shù)姆勒鸫胧?/p>

1.4、接地要求

1.4.1、獨立的數(shù)據(jù)網(wǎng)絡機房必須有完善的接地系統(tǒng)，靠近建筑物或變電站的數(shù)據(jù)網(wǎng)絡機房接地系統(tǒng)必須在本接地系統(tǒng)滿足DL548—94標準附錄A的表1所列接地電阻的要求后才可與附近建筑物或變電站的接地系統(tǒng)連接，連接點不得少于兩點。

1.4.2、機房內(nèi)接地體必須成環(huán)，與接地系統(tǒng)的連接點不得少于兩點，機房內(nèi)設備應就近可靠接地。

1.5、人身安全

1.5.1、檢修及值班人員要嚴格遵守安全制度，樹立安全第一的思想,確保設備和人身的安全。

1.5.2、通信站保衛(wèi)值班人員不得在通信設備與電器設備上作業(yè)。通信站內(nèi)高壓設備出現(xiàn)故障應立即通知高壓檢修人員搶修,保衛(wèi)值班、通信檢修人員不得進入高壓場地安全區(qū)內(nèi)。帳戶管理規(guī)定

帳戶是用戶訪問網(wǎng)絡資源的入口，它控制哪些用戶能夠登錄到網(wǎng)絡并獲取對那些網(wǎng)絡資源有何種級別的訪問權限。帳戶作為網(wǎng)絡訪問的第一層訪問控制，其安全管理策略在全網(wǎng)占有至關重要的地位。

在日常運維中發(fā)生的許多安全問題很大程度上是由于內(nèi)部的安全防范及安全管理的強度不夠。帳戶管理混亂、弱口令、授權不嚴格、口令不及時更新、舊帳號及默認帳號不及時清除等都是引起安全問題的重要原因。

對于賬戶的管理可從三個方面進行：用戶名的管理、用戶口令的管理、用戶授權的管理。

2.1、用戶名管理

用戶注冊時，服務器首先驗證所輸入的用戶名是否合法，如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒于網(wǎng)絡之外。用戶名的管理應注意以下幾個方面：

隱藏上一次注冊用戶名

更改或刪除默認管理員用戶名

更改或刪除系統(tǒng)默認帳號

及時刪除作費帳號

清晰合理地規(guī)劃和命名用戶帳號及組帳號

根據(jù)組織結構設計帳戶結構

不采用易于猜測的用戶名

用戶帳號只有系統(tǒng)管理員才能建立

2.2、口令管理

用戶的口令是對系統(tǒng)安全的最大安全威脅，對網(wǎng)絡用戶的口令進行驗證是防止非法訪問的第一道防線。用戶不像系統(tǒng)管理員對系統(tǒng)安全要求那樣嚴格，他們對系統(tǒng)的要求是簡單易用。而簡單和安全是互相矛盾的兩個因素，簡單就不安全，安全就不簡單。簡單的密碼是暴露自己隱私最危險的途徑，是對自己郵件服務器上的他人利益的不負責任，是對系統(tǒng)安全最嚴重的威脅，為保證口令的安全性，首先應當明確目前的機器上有沒有絕對安全的口令，口令的安全一味靠密碼的長度是不可以的。安全的口令真的可以讓機器算幾千年，不安全的口令只需要一次就能猜出。

不安全的口令有如下幾種情況：

（1）使用用戶名（賬號）作為口令。盡管這種方法在便于記憶上有著相當?shù)膬?yōu)勢，可是在安全上幾乎是不堪一擊。幾乎所有以破解口令為手段的黑客軟件，都首先會將用戶名作為口令的突破口，而破解這種口令幾乎不需要時間。在一個用戶數(shù)超過一千的電腦網(wǎng)絡中，一般可以找到10至20個這樣的用戶。

（2）使用用戶名（賬號）的變換形式作為口令。將用戶名顛倒或者加前后綴作為口令，既容易記憶又可以防止許多黑客軟件。不錯，對于這種方法的確是有相當一部分黑客軟件無用武之地，不過那只是一些初級的軟件。比如說著名的黑客軟件John，如果你的用戶名是fool，那么它在嘗試使用fool作為口令之后，還會試著使用諸如fool123、fool1、loof、loof123、lofo等作為口令，只要是你想得到的變換方法，John也會想得到，它破解這種口令，幾乎也不需要時間。

（3）使用自己或者親友的生日作為口令。這種口令有著很大的欺騙性，因為這樣往往可以得到一個6位或者8位的口令，但實際上可能的表達方式只有100×12×31=37200種，即使再考慮到年月日三者共有六種排列順序，一共也只有37200×6=223200種。

（4）使用常用的英文單詞作為口令。這種方法比前幾種方法要安全一些。如果你選用的單詞是十分偏僻的，那么黑客軟件就可能無能為力了。不過黑客多有一個很大的字典庫，一般包含10萬～20萬的英文單詞以及相應的組合，如果你不是研究英語的專家，那么你選擇的英文單詞恐怕十之八九可以在黑客的字典庫中找到。如果是那樣的話，以20萬單詞的字典庫計算，再考慮到一些DES(數(shù)據(jù)加密算法)的加密運算，每秒1800個的搜索速度也不過只需要110秒。

（5）使用5位或5位以下的字符作為口令。從理論上來說，一個系統(tǒng)包括大小寫、控制符等可以作為口令的一共有95個，5位就是7737809375種可能性，使用P200破解雖說要多花些時間，最多也只需53個小時，可見5位的口令是很不可靠的，而6位口令也不過將破解的時間延長到一周左右。

不安全的口令很容易導致口令被盜，口令被盜將導致用戶在這臺機器上的一切信息將全部喪失，并且危及他人信息安全，計算機只認口令不認人。最常見的是電子郵件被非法截獲，上網(wǎng)時被盜用。而且黑客可以利用一般用戶用不到的功能給主機帶來更大的破壞。例如利用主機和Internet連接高帶寬的特點出國下載大型軟件，然后在從國內(nèi)主機下載；利用系統(tǒng)管理員給用戶開的shell和unix系統(tǒng)的本身技術漏洞獲得超級用戶的權利；進入其他用戶目錄拷貝用戶信息。獲得主機口令的途徑有兩個： 利用技術漏洞。如緩沖區(qū)溢出，Sendmail漏洞，Sun的ftpd漏洞，Ultrix的fingerd，AIX的rlogin等等。?

利用管理漏洞。如root身份運行httpd，建立shadow的備份但是忘記更改其屬性，用電子郵件寄送密碼等等。?

安全的口令應有以下特點：

用戶口令不能未經(jīng)加密顯示在顯示屏上

設置最小口令長度

強制修改口令的時間間隔

口令字符最好是數(shù)字、字母和其他字符的混合 用戶口令必須經(jīng)過加密

口令的唯一性

限制登錄失敗次數(shù)

制定口令更改策略

確?？诹钗募?jīng)過加密

確?？诹钗募粫槐I取

對于系統(tǒng)管理員的口令即使是8位帶～!@?！纾＆＊的也不代表是很安全的，安全的口令應當是每月更換的帶～!@＃％^...的口令。而且如果一個管理員管理多臺機器，請不要將每臺機器的密碼設成一樣的，防止黑客攻破一臺機器后就可攻擊所有機器。

對于用戶的口令，目前的情況下系統(tǒng)管理員還不能依靠用戶自覺保證口令的安全，管理員應當經(jīng)常運用口令破解工具對自己機器上的用戶口令進行檢查，發(fā)現(xiàn)如在不安全之列的口令應當立即通知用戶修改口令。郵件服務器不應該給用戶進shell的權利，新加用戶時直接將其shell指向/bin/passwd。對能進shell的用戶更要小心保護其口令，一個能進shell的用戶等于半個超級用戶。保護好/etc/passwd和/etc/shadow當然是首要的事情。

不應該將口令以明碼的形式放在任何地方，系統(tǒng)管理員口令不應該很多人都知道。

另外，還應從技術上保密，最好不要讓root遠程登錄，少用Telnet或安裝SSL加密Telnet信息。另外保護用戶名也是很重要的事情。登錄一臺機器需要知道兩個部分——用戶名和口令。如果要攻擊的機器用戶名都需要猜測，可以說攻破這臺機器是不可能的。

2.3、授權管理

帳戶的權限控制是針對網(wǎng)絡非法操作所進行的一種安全保護措施。在用戶登錄網(wǎng)絡時，用戶名和口令驗證有效之后，再經(jīng)進一步履行用戶帳號的缺省限制檢查，用戶被賦予一定的權限，具備了合法訪問網(wǎng)絡的資格。我們可以根據(jù)訪問權限將用戶分為以下幾類：

特殊用戶（即系統(tǒng)管理員）；

一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限；

審計用戶，負責網(wǎng)絡的安全控制與資源使用情況的審計。用戶對網(wǎng)絡資源的訪問權限可以用一個訪問控制表來描述。

授權管理控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。同時對所有用戶的訪問進行審計和安全報警，具體策略如下：

2.4、目錄級安全控制

控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：

系統(tǒng)管理員權限（Supervisor）

讀權限（Read）

寫權限（Write）

創(chuàng)建權限（Create）

刪除權限（Erase）

修改權限（Modify）

文件查找權限（File Scan）

存取控制權限（Access Control）

網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網(wǎng)絡和服務器的安全性。

2.5、屬性級安全控制

當使用文件、目錄時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。

網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力，避免引起不同的帳戶獲得其不該擁有的訪問權限。屬性設置可以覆蓋已經(jīng)指定的任何有效權限。屬性往往能控制以下幾個方面的權限：

向某個文件寫數(shù)據(jù)

拷貝一個文件

刪除目錄或文件

查看目錄和文件

執(zhí)行文件

隱含文件

共享

系統(tǒng)屬性

網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

網(wǎng)絡管理員還應對網(wǎng)絡資源實施監(jiān)控，網(wǎng)絡服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。

定期掃描與帳戶安全有關的問題。由于帳戶設置的問題使得系統(tǒng)用戶可以有意或無意地插入帳戶。用戶帳號檢測可以在系統(tǒng)的口令文件中尋找這類問題，同時尋找非活動帳號，它們往往是被攻擊的對象。對帳戶進行安全問題的檢測，應使第三方掃描軟件搜索不到您的內(nèi)部帳戶名稱和口令，將可能出現(xiàn)的安全問題提前處理掉，并將當前系統(tǒng)帳戶設置同上一次系統(tǒng)安全掃描評價時的設置相比較，將發(fā)現(xiàn)的新增的未認證帳戶和用戶修改過的標識刪除，及時將發(fā)現(xiàn)的其它安全問題修正。運行網(wǎng)絡安全管理

3.1、目的

保障秦熱運行網(wǎng)絡的安全運行，明確日常運行網(wǎng)絡管理責任。

3.2、范圍

本制度適應于對秦熱網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)。

3.3、定義

運行網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)在運行過程中的訪問控制和數(shù)據(jù)的安全性。包括資源管理、入侵檢測、日常安全監(jiān)控與應急響應、人員管理和安全防范。

3.4、日常安全監(jiān)控

3.4.1、值班操作員每隔50分鐘檢查一次業(yè)務系統(tǒng)的可用性、與相關主機的連通性及安全日志中的警報。

3.4.2、網(wǎng)絡管理員每天對安全日志進行一次以上的檢查、分析。檢查內(nèi)容包括防火墻日志、IDS日志、病毒防護日志、漏洞掃描日志等。

3.4.3、網(wǎng)絡管理員每天出一份安全報告，安全報告送網(wǎng)絡處主管領導。重要安全報告由主管領導轉送部門領導、安全小組和相關部門。所有安全報告存檔科技部綜合處，網(wǎng)絡管理員在分析處理異常情況時能夠隨時調閱。文檔的密級為A級，保存期限為二年。

3.4.4、安全日志納入系統(tǒng)正常備份，安全日志的調閱執(zhí)行相關手續(xù)，以磁介質形式存放，文檔的密級為B級，保存期限為一年。

3.5、安全響應

3.5.1、發(fā)現(xiàn)異常情況，及時通知網(wǎng)絡管理員及網(wǎng)絡處主管領導，并按照授權的應急措施及時處理。

3.5.2、黑客入侵和不明系統(tǒng)訪問等安全事故，半小時內(nèi)報知部門領導和安全小組。

3.5.3、對異常情況確認為安全事故或安全隱患時，確認當天報知部門領導和安全小組。

3.5.4、系統(tǒng)計劃中斷服務15分鐘以上，提前一天通知業(yè)務部門、安全小組。系統(tǒng)計劃中斷服務1小時以上時，提前一天報業(yè)務領導。文檔的密級為C級，保存期限為半年。

3.5.5、非計劃中斷服務，一經(jīng)發(fā)現(xiàn)即作為事故及時報計算機中心管理處、安全小組、科技部部門領導。非計劃中斷服務半小時以上，查清原因后，提交事故報告給安全小組、科技部部門領導。文檔的密級為A級，保存期限為兩年。

3.6、運行網(wǎng)絡安全防范制度

3.6.1、網(wǎng)絡管理員每一周對病毒防火墻進行一次病毒碼的升級。

3.6.2、網(wǎng)絡管理員每個月對網(wǎng)絡結構進行分析，優(yōu)化網(wǎng)絡，節(jié)約網(wǎng)絡資源，優(yōu)化結果形成文檔存檔，文檔的密級為A級，保存期限為二年。

3.6.3、網(wǎng)絡管理員每個月對路由器、防火墻、安全監(jiān)控系統(tǒng)的安全策略進行一次審查和必要的修改，并對修改部分進行備份保存，以確保安全策略的完整性和一致性。對審查和修改的過程和結果要有詳細的記錄，形成必要的文檔存檔，文檔的密級為A級，保存期限為二年。

3.6.4、網(wǎng)絡管理員每個月對網(wǎng)絡、系統(tǒng)進行一次安全掃描，包括NETRECON的檢測，及時發(fā)現(xiàn)并修補漏洞，檢測結果形成文檔，文檔密級為B級，保存期限為一年。

3.6.5、新增加應用、設備或進行大的系統(tǒng)調整時，必須進行安全論證并進行系統(tǒng)掃描和檢測，系統(tǒng)漏洞修補后，符合安全要求才可以正式運行。

3.6.6、重大系統(tǒng)修改、網(wǎng)絡優(yōu)化、安全策略調整、應用或設備新增時，必須經(jīng)過詳細研究討論和全面測試，并要通過安全方案審核，確保網(wǎng)絡和業(yè)務系統(tǒng)的安全和正常運行。

3.6.7、系統(tǒng)內(nèi)部IP地址需要嚴格遵守相關的IP地址規(guī)定。

3.6.8、嚴格禁止泄露IP地址、防火墻策略、監(jiān)控策略等信息。

3.7、運行網(wǎng)絡人員管理制度

3.7.1、嚴格限制每個用戶的權限，嚴格執(zhí)行用戶增設、修改、刪除制度，防止非授權用戶進行系統(tǒng)登錄和數(shù)據(jù)存取。

3.7.2、嚴格網(wǎng)絡管理人員、系統(tǒng)管理人員的管理，嚴格執(zhí)行離崗審計制度。

3.7.3、對公司技術支持人員進行備案登記制度，登記結果存檔，密級為C級，保存期限為半年。數(shù)據(jù)備份

4.1、目的

規(guī)范業(yè)務數(shù)據(jù)備份和恢復操作，確保業(yè)務系統(tǒng)和數(shù)據(jù)安全。

4.2、適用范圍

業(yè)務系統(tǒng)各服務器的磁帶備份和硬盤備份。其它服務器備份可參考本制度。

4.3、定義

循環(huán)日志備份方式，也稱為脫機備份方式，是指當備份任務運行時，只有備份任務可以與數(shù)據(jù)庫連接，其他任務都不能與數(shù)據(jù)庫連接。利用數(shù)據(jù)庫的脫機備份映像（Image）文件可以恢復數(shù)據(jù)庫到與備份時間點一致的狀態(tài)。

歸檔日志備份方式，也稱為聯(lián)機備份方式，是指當備份任務運行的同時，其他應用程序或者進程可以繼續(xù)與該數(shù)據(jù)庫連接并繼續(xù)讀取盒修改數(shù)據(jù)。利用數(shù)據(jù)庫的聯(lián)機備份映像文件和日志（Log）文件，可以恢復數(shù)據(jù)庫到與日志文件相符的某個時間點一致的狀態(tài)。

4.4、規(guī)定

4.4.1、系統(tǒng)和配置備份

系統(tǒng)安裝、升級、調整和配置修改時做系統(tǒng)備份。包括系統(tǒng)備份和數(shù)據(jù)庫備份。數(shù)據(jù)庫采用循環(huán)日志備份方式，也就是脫機備份方式。備份由管理員執(zhí)行。備份一份。長期保存。

4.4.2、應用數(shù)據(jù)備份

4.4.3、日備份

日備份的數(shù)據(jù)庫，分別采用兩盤磁帶進行備份，備份的數(shù)據(jù)保留三個月。為了實現(xiàn)業(yè)務系統(tǒng)24小時的不間斷對外服務，數(shù)據(jù)庫的備份方式是歸檔日志備份方式，也就是聯(lián)機備份方式。采用這種方式進行備份，系統(tǒng)的服務不需要停止，數(shù)據(jù)庫采用其內(nèi)部的機制實現(xiàn)備份前后數(shù)據(jù)的一致。備份由操作員執(zhí)行。

4.4.4、月備份

系統(tǒng)每月進行一次月備份。備份的內(nèi)容包括應用程序、數(shù)據(jù)庫應用程序以及進行數(shù)據(jù)庫的循環(huán)日志備份。備份由管理員執(zhí)行。備份一份。長期保存。

4.4.5、應用變更備份

應用系統(tǒng)應用變更時，做一次系統(tǒng)備份。備份由管理員執(zhí)行。備份一份，長期保存。

4.5、備份磁帶命名

依據(jù)設備或者秦熱的相關設備命名規(guī)范。

4.6、備份數(shù)據(jù)的保管

需要專人和專用設備進行保管。

4.7、備份數(shù)據(jù)的使用

參考秦熱的相關規(guī)定。應急方案

5.1、目的

確保網(wǎng)絡和業(yè)務系統(tǒng)安全有效運行，及時、有效處理各種突發(fā)事件，防范降低風險，提高計算機系統(tǒng)的運行效率。

5.2、定義

應急方案包括：主機系統(tǒng)故障應急方案、通信系統(tǒng)故障應急方案、系統(tǒng)和數(shù)據(jù)的災難備份與恢復、黑客攻擊的應急方案、主機感染病毒后的應急方案、安全體系受損或癱瘓的應急方案。

5.3、應急方案

5.3.1、主機系統(tǒng)故障應急方案

5.3.2、通信系統(tǒng)故障應急方案

5.3.3、系統(tǒng)和數(shù)據(jù)的災難備份與恢復

5.3.4、黑客攻擊的應急方案

5.3.5、主機感染病毒后的應急方案

5.3.6、安全體系受損或癱瘓的應急方案。

5.4、應急方案的管理

5.4.1、應急方案要歸檔管理。

5.4.2、應急方案隨著網(wǎng)絡和業(yè)務系統(tǒng)的改變而即時進行修改。

5.4.3、要保證應急方案啟動的快速性、實施的高效性、結果的正確性。

5.4.4、定時進行應急演練。計算機安全產(chǎn)品管理制度

6.1、安全產(chǎn)品的管理

1．目的

規(guī)范計算機安全產(chǎn)品的使用和管理，合理使用和管理現(xiàn)有的計算機安全產(chǎn)品，防范風險堵塞漏洞，提高秦熱的計算機信息系統(tǒng)的安全等級。

2．定義

計算機安全產(chǎn)品包括：防火墻產(chǎn)品、防病毒產(chǎn)品、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等。

3．適用范圍

適用于秦熱網(wǎng)絡環(huán)境和應用環(huán)境。

4．管理原則

防病毒安全產(chǎn)品遵循公安部病毒防護的有關管理制度；

其他安全產(chǎn)品遵守國家的相關安全管理規(guī)定。

6.2、防火墻的管理制度

1．目的

加強和統(tǒng)一防火墻的管理和使用，保證防火墻的安全可靠運行，保障各種網(wǎng)絡和業(yè)務系統(tǒng)的安全運行，2．定義

防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器。防火墻有硬件的，也有軟件的。

3．適用范圍

所有的防火墻產(chǎn)品。

4．防火墻的購置和使用

4.1 遵循安全最大化的原則和有關程序進行購置。

4.2 防火墻必須是其所隔離的網(wǎng)絡之間的唯一信息通道。

5．管理規(guī)定

5.1 防火墻要有專人管理和維護，任務是：

1）整理防火墻的有關的配置、技術資料以及相關軟件，并進行備份和歸檔。

2）負責防火墻的日常管理和維護。

3）定期查看和備份日志信息，日志信息要歸檔長期保存。

4）經(jīng)授權后方可修改防火墻的有關配置，修改過程要記錄備案。

5）經(jīng)授權后方可對防火墻的內(nèi)核和管理軟件的進行升級，升級的詳細過程要記錄備案。

5.2 防火墻的安全策略要參考廠家或安全公司的意見，結合秦熱的網(wǎng)絡環(huán)境和安全建設需求，由計算機中心根據(jù)實際的安全需求負責制訂和實施配置。由廠家或者安全公司提供技術支持。

5.3 防火墻的安全策略和配置參數(shù)一經(jīng)確定和完成，任何人不得隨意修改。若確有需求，由當事人或部門提出書面申請，提交安全主管，獲準后，由專管人員進行修改或升級，詳細記錄有關修改升級情況并上報有關部門備案。

5.4 防火墻的有關技術資料、安全策略、重要參數(shù)的配置以及修改記錄等要整理歸檔，作為絕密資料保存。

5.5 防火墻出現(xiàn)故障后，要立即啟用備用防火墻，并盡可能在最短的時間內(nèi)排除故障。

附防火墻修改、升級記錄格式：

1）申請人（部）、申請時間

2）申請原因

3）安全主管批示

4）相關領導批示

5）修改、升級情況記錄

6）結果

7）操作人簽字

6.3、防病毒的管理制度

1．目的

統(tǒng)一及加強對防病毒軟件的管理，保證防病毒軟件的合法運行，提高使用效率，合理、充分利用該系統(tǒng)，避免非法使用及秦熱系統(tǒng)的重復開發(fā)和資源浪費。

2．適用范圍

防病毒軟件產(chǎn)品；

防病毒軟件的硬件載體即計算機設備；

防病毒軟件載體即磁盤、光盤、資料與手冊等。

3．防病毒軟件的使用

3.1 各部門使用軟件時應提出書面申請，經(jīng)計算機中心領導簽字后交防病毒主管人員審核同意，交由相關技術人員實施。

3.2 外單位需使用有關軟件產(chǎn)品，必須持有關證明，并報請部門領導審核后，再交由文檔資料管理員辦理有關手續(xù)。

3.3 存檔保管的軟件產(chǎn)品屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則，將承擔法律責任。

4．防病毒軟件的管理與維護

4.1 防病毒軟件管理人員與任務

防病毒軟件管理由計算機中心相關領導負責，并做下列工作：

1)對防病毒軟件歸檔入庫并進行登錄、保管；

2)防病毒軟件拷貝和資料印刷等工作；

3)防病毒軟件的安裝、調試及卸載；

4)制定防病毒軟件的安全策略；

5)一周三次定期查看防病毒系統(tǒng)的日志記錄，并做備份。

6)如發(fā)現(xiàn)異常報警或情況需及時通知相關負責人。

4.2 防病毒軟件的登記

4.2.1、運行于本網(wǎng)絡的防病毒軟件系統(tǒng)的安全策略，均需由計算機中心相關領導批準并登記在案方可進行。

4.2.2、凡使用其他的防病毒軟件也應由使用人將其名稱和使用記錄交給計算機中心文檔資料管理員登記、存檔。

4.2.3、凡第三方公司使用本系統(tǒng)軟件，均需得到計算機中心領導批準并登記在案方可進行。防病毒軟件的登記格式如附錄。

附錄：

（1）防病毒軟件的使用者姓名或單位；（2）開始、結束或使用時間：

（3）服務器的情況：IP地址，服務器的類型，服務器的用途；（4）防病毒軟件使用情況；（5）安全策略的詳細說明；（6）管理人員的簽字。

6.4、入侵檢測的管理制度

1．目的

統(tǒng)一及加強對入侵檢測系統(tǒng)軟（硬）件的管理，保證入侵檢測系統(tǒng)的合法運行，提高使用效率，合理、充分利用該系統(tǒng)，避免非法使用及秦熱系統(tǒng)的重復開發(fā)和資源浪費。

2．適用范圍

a）入侵檢測系統(tǒng)軟件產(chǎn)品；

b）入侵檢測系統(tǒng)的硬件載體即計算機設備；

c）入侵檢測系統(tǒng)的軟件載體即磁盤、光盤、資料與手冊等。

3．入侵檢測系統(tǒng)的使用

3.1 存檔保管的入侵檢測資料屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則，將承擔法律責任。

3.2 正常運行的入侵檢測系統(tǒng)必須由專人負責，相關規(guī)則設計屬秦熱內(nèi)部機密，不得外傳，否則，將承擔法律責任。

4．入侵檢測系統(tǒng)的管理與維護

4.1 入侵檢測系統(tǒng)管理人員與任務

入侵檢測系統(tǒng)管理由計算機中心相關領導負責，并做下列工作：

1）對入侵檢測系統(tǒng)軟件及相關資料歸檔入庫并進行登錄、保管；

2）入侵檢測系統(tǒng)軟件拷貝和資料印刷等工作；

3）入侵檢測系統(tǒng)的安裝、調試及卸載；

4）一周三次定期查看入侵檢測系統(tǒng)日志記錄，并做備份。

5）如發(fā)現(xiàn)異常報警或情況需及時通知相關負責人。

4.2 入侵檢測系統(tǒng)的登記

4.2.1、運行于本網(wǎng)絡的入侵檢測系統(tǒng)的各條規(guī)則設計，均需由計算機中心相關領導批準并登記在案方可進行。

4.2.2、凡引進（包括其它方式）的入侵檢測系統(tǒng)軟件也應由承辦人將其交給計算機中心文檔資料管理員登記、存檔。

4.2.3、凡第三方公司對本網(wǎng)絡進行入侵檢測測試，均需得到計算機中心相關領導批準并登記在案方可進行。入侵檢測的登記格式如附錄。

附錄：

（1）入侵檢測系統(tǒng)使用者姓名或單位；（2）開始、結束或使用時間：

（3）服務器的情況：IP地址，服務器的類型，服務器的用途；（4）入侵檢測系統(tǒng)情況；

6.5、漏洞掃描的管理制度

1．目的

統(tǒng)一管理漏洞掃描，加強漏洞掃描軟件的管理，保證漏洞掃描的合法進行，提高使用效率，合理、充分進行漏洞掃描，避免不正當非法使用。

2．適用范圍

日常漏洞掃描:

上述漏洞掃描軟件的載體即磁盤、光盤、資料與手冊等。

3．漏洞掃描軟件使用

a）秦熱各部門如果需要使用本軟件時應提出書面申請，經(jīng)該計算機中心相關領導簽字后交計算機中心相關負責人審核同意。

b）外單位如果需使用有關軟件產(chǎn)品，必須持有關證明，并報請計算機中心相關領導審核后，再交由文檔資料管理員辦理有關手續(xù)。

c）存檔保管的軟件產(chǎn)品屬秦熱的資產(chǎn)，不得隨意復制和外傳，否則，將承擔法律責任。

4．漏洞掃描的管理與維護

4.1 漏洞掃描管理人員與任務

漏洞掃描管理由計算機中心領導負責，并做下列工作：

4.1.1、對漏洞掃描軟件歸檔入庫并進行登錄、保管；

4.2.1、漏洞掃描軟件拷貝和資料印刷等工作；

4.3.1、一個月一次定期對本網(wǎng)絡進行漏洞掃描檢查。

4.2 漏洞掃描的登記

4.2.1、凡對本網(wǎng)絡進行漏洞掃描，均需由計算機中心領導批準并登記在案方可進行。

4.2.2、凡引進（包括其它方式）的漏洞掃描軟件也應由承辦人將其交給主管安全部門文檔資料管理員登記、存檔。

4.2.3、凡第三方公司對本網(wǎng)絡進行漏洞掃描，均需得到計算機中心相關領導批準并登記在案方可進行。漏洞掃描的登記格式如附錄。

附錄：

a）漏洞掃描者姓名或單位； b）開始、結束或使用時間：

c）服務器的情況：IP地址，服務器的類型，服務器的用途；

d）漏洞掃描情況：有潛在危險的服務器，漏洞的等級，漏洞的簡要說明； e）漏洞的詳細說明； f）漏洞的解決方案； g）管理人員的簽字。日常審計管理

7.1、目的

保障秦熱網(wǎng)絡和業(yè)務系統(tǒng)的安全運行，明確網(wǎng)絡和業(yè)務系統(tǒng)的審計責任。

7.2、范圍

本制度適應于對網(wǎng)絡和業(yè)務系統(tǒng)的安全審計。

7.3、定義

安全審計指對秦熱網(wǎng)絡和業(yè)務安全與運行網(wǎng)絡安全的審計，主要指業(yè)務審計、投產(chǎn)審計、安全策略與制度的審計、安全評估、制度與規(guī)范執(zhí)行情況的審計。

7.4、規(guī)定

7.4.1、業(yè)務審計由業(yè)務管理人員與信心中心相關領導按項目管理辦法執(zhí)行。

7.4.2、由安全小組每月組織一次關于網(wǎng)絡和業(yè)務使用情況的審計。審計內(nèi)容包括：上月安全報告的內(nèi)容及歸檔情況、安全日志的歸檔情況、計劃中斷報告的歸檔情況、病毒代碼的升級更新情況、外來人員管理情況、IP地址的更新情況。審計結果報計算機中心領導和負責信息化的廠領導，同時抄送相關單位的網(wǎng)絡處、綜合處。

7.4.3、安全小組組織審議安全策略更新報告、漏洞檢測與處理報告、網(wǎng)絡拓樸結構。

7.4.4、小組組織審議關于網(wǎng)絡和業(yè)務的安全事故報告、安全隱患報告、非計劃中斷報告。

7.4.5、由安全小組組織進行安全評估。

7.4.6、由安全小組組織審議關于網(wǎng)絡管理人員、系統(tǒng)管理人員的離崗審計報告。

7.5、安全教育培訓

由安全小組定期組織網(wǎng)絡管理人員和系統(tǒng)維護人員進行安全教育培訓。主要有法制教育、安全意識教育和安全防范技能訓練。安全教育培訓內(nèi)容：保護計算機和專有數(shù)據(jù)；保護文件和專有信息；計算機安全管理；信息安全保密；防范計算機病毒和黑客；預防計算機犯罪；相關的法律法規(guī)等。

7.6、安全檢查考核

由安全小組定期組織安全檢查考核，網(wǎng)絡和系統(tǒng)的工作人員要從政治思想、業(yè)務水平、工作表現(xiàn)、遵守安全規(guī)程等方面進行考核，對考核發(fā)現(xiàn)有違反安全法規(guī)的人員或不適合接觸計算機信息系統(tǒng)的人員要及時調離崗位，不應讓其再接觸系統(tǒng)，對情節(jié)嚴重的要追究其法律責任。應急演練

8.1、目的

測試應急方案，確保應急方案的正確性、有效性、快速性。

8.2、適用范圍

網(wǎng)絡和業(yè)務系統(tǒng)的各種應急方案。

8.3、規(guī)定

8.3.1、每一種應急方案都要經(jīng)過兩次以上的應急演練。

8.3.2、由安全小組制定和組織實施應急演練，并對演練結果進行分析研究，查找問題，將存在的問題反饋給方案的制定部門，要求其對應急方案進行修訂。修訂后的應急方案要重新進行測試演練。安全方案審核

9.1、目的

保障重大方案的安全實施。

9.2、定義

安全方案包括： 變更運行機房現(xiàn)有環(huán)境及設備、設施；修改系統(tǒng)參數(shù)；查詢、修改、恢復業(yè)務數(shù)據(jù)庫數(shù)據(jù)；增加、刪除網(wǎng)絡節(jié)點；修改網(wǎng)絡參數(shù)。修改有關安全產(chǎn)品（如防火墻、IDS）的安全策略、重要參數(shù)；遠程主機系統(tǒng)登錄；系統(tǒng)軟件的升級和安裝、系統(tǒng)切換；應用軟件的維護修改、升級換版；應急計劃的實施；結息、年終結轉。

9.3、適用范圍

計算機網(wǎng)絡系統(tǒng)和業(yè)務系統(tǒng)。

9.4、規(guī)定

9.4.1、安全小組負責安全方案可行性的論證工作。

9.4.2、安全小組負責實施安全方案的審批工作。

9.4.3、安全小組負責監(jiān)控安全方案的實施情況。事故響應及處理

10.1、目的

確保計算機系統(tǒng)安全有效運行，及時響應和處理各種計算機事故。

10.2、定義

計算機事故的定義可以參見計算機中心的有關規(guī)定。

10.3、適用范圍

計算機系統(tǒng)事故的響應和處理。

10.4、規(guī)定

10.4.1、發(fā)生計算機事故時，當事人要迅速報告安全小組以及相關部門，并詳細記錄事故發(fā)生的時間、地點、現(xiàn)象以及可能的原因。

10.4.2、安全小組接到報告后，根據(jù)事故的嚴重程度，決定啟動何種形式的應急方案，并上報計算機中心和相關業(yè)務領導。事故結束后，要和有關人員、部門分析事故發(fā)生的原因，并根據(jù)情節(jié)的輕重對事故責任人作出相應的處理。

10.4.3、出現(xiàn)重大計算機事故，有計算機犯罪嫌疑的，除了采取相應的補救措施外，還要及時上報公安機關，依法追究事故責任人的法律責任。技術檔案管理制度

11.1、目的

規(guī)范所有技術檔案的管理，嚴格有關借閱手續(xù)。

11.2、定義

技術檔案是指各種硬件、系統(tǒng)軟件、數(shù)據(jù)庫的技術資料，應用軟件使用說明、運營維護手冊，以及各種設備、應用軟件的運行檔案

11.3、適用范圍

計算機系統(tǒng)中各種軟、硬件產(chǎn)品的技術檔案以及相應的載體。

11.4、規(guī)定

11.4.1、技術檔案要有專人負責保管，也可一主一輔進行管理。

11.4.2、技術檔案管理人員要對檔案登錄《技術檔案歸檔登記簿》造冊，注明名稱、類別、數(shù)量、存放位置和入庫時間等，正式入檔保管。

11.4.3、根據(jù)有關檔案管理規(guī)定，對技術資料按其重要價值進行密級分類管理，要有一套技術檔案作為永久保存，此套技術檔案一般不外借。

11.4.4、技術檔案保管環(huán)境須滿足防盜、防火、防潮、防水、防鼠、防蟲、防磁、防震等要求，重要技術檔案應有冗余保護措施。

11.4.5、備份介質要存放在專用的介質庫內(nèi)，重要的系統(tǒng)軟件、應用軟件，以及業(yè)務數(shù)據(jù)備份還須異地保存，填寫數(shù)據(jù)介質檔案登記簿。

11.4.6、定期檢查技術檔案的完整性及有效性，對受損檔案要及時整理和修復，對介質檔案還應定期進行重繞、重寫、復制等維護措施。

11.4.7、借閱技術檔案要向管理人員提出口頭申請，填寫《技術檔案借閱登記簿》，借閱檔案要及時歸還，借閱永久保存的技術資料要經(jīng)領導同意。

11.4.8、檔案工作人員應嚴格按照檔案工作的各項規(guī)定、制度辦事，嚴格遵守國家的保密制度，不得擅自提供檔案或向他人泄露檔案內(nèi)容，不得擅自轉移、分散和銷毀檔案。

11.4.9、過期和報廢技術檔案銷毀時，應嚴格履行審批手續(xù)、登記《過期、報廢技術檔案銷毀登記簿》，并采取嚴格的監(jiān)銷制度。安全保密制度

遵循國電對電力行業(yè)的有關規(guī)定和國家經(jīng)貿(mào)委30號令，遵守國家相應的保密制度。