2016新編XX網(wǎng)絡(luò)建議方案

1、 xx網(wǎng)絡(luò)信息安全建設(shè)規(guī)劃 一、概述概述xx網(wǎng)絡(luò)的功能和職責(zé)及所處的政治意義。xx作為xxx。其信息通訊的安全就尤為重要,根據(jù)xx網(wǎng)絡(luò)的復(fù)雜運(yùn)用情況，將通過多種手段的綜合運(yùn)用，最終實(shí)現(xiàn)了內(nèi)外網(wǎng)安全的目的.（一）xx配套設(shè)施基本情況 簡述xx網(wǎng)絡(luò)建設(shè)的基本情況。（二）信息化建設(shè)中的網(wǎng)絡(luò)安全； 建立計(jì)算機(jī)信息系統(tǒng)安全保護(hù)，是xx建設(shè)計(jì)算機(jī)信息系統(tǒng)工作中的一件大事，它直接關(guān)系到行業(yè)內(nèi)的計(jì)算機(jī)信息系統(tǒng)建設(shè)和管理，是一項(xiàng)復(fù)雜的科學(xué)化的系統(tǒng)工程，需要投入一定量的精力進(jìn)行參與。由于internet是一個(gè)開放的網(wǎng)絡(luò)，存在大量網(wǎng)絡(luò)黑客甚至黑客組織，出于不同目的，對(duì)各站點(diǎn)攻擊并篡改頁面的事件層出不窮。網(wǎng)上是政府在

2、網(wǎng)上的形象，網(wǎng)上政府發(fā)布的一些重要新聞、重大方針政策、法規(guī)具有權(quán)威性， 如果一旦被黑客篡改，將影響政府形象，甚至造成重大的政治經(jīng)濟(jì)損失。為保證信息的準(zhǔn)確性時(shí)效性我門將在下面全面描述網(wǎng)絡(luò)安全的設(shè)計(jì)方案.（三）xx網(wǎng)絡(luò)建設(shè)現(xiàn)狀、存在主要問題針對(duì)xx網(wǎng)絡(luò)建設(shè)的情況，結(jié)合國家公安部、國家保密局及國家安全評(píng)測(cè)中心的政策和相關(guān)安全建立標(biāo)準(zhǔn)，我們可以把全網(wǎng)的信息安全劃分為六個(gè)層次：物理層、網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫層、應(yīng)用層及操作層，然后針對(duì)每個(gè)層次上可能出現(xiàn)的問題一一分析。3.1 物理層安全威脅分析物理層指的是整個(gè)網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安

3、全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。然而，這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程，設(shè)備安全威脅主要包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、斷電、服務(wù)器宕機(jī)以及物理設(shè)備的損壞等等。這些都對(duì)整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅，這些事故一旦出現(xiàn)，就會(huì)使整個(gè)網(wǎng)絡(luò)不可用，給用戶造成極大的損失。 信息機(jī)房周邊對(duì)設(shè)備運(yùn)行產(chǎn)生不良影響的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。供電系統(tǒng)產(chǎn)生的安全威脅，ups自身的安全性。各種移動(dòng)存儲(chǔ)媒體(如軟盤、移動(dòng)硬盤、usb盤、光盤等)在應(yīng)用后得不到及時(shí)的處置，也會(huì)造成機(jī)密

4、信息的外泄。 網(wǎng)絡(luò)安全設(shè)備直接暴露在非超級(jí)管理人員或外來人員的面前，外來人員有可能直接使安全設(shè)備喪失功能，為以后的侵入打下基礎(chǔ)，如：直接關(guān)掉入侵檢測(cè)系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。外來人員及非超級(jí)管理人員可以直接對(duì)一些設(shè)備進(jìn)行操作，更改通信設(shè)備(如交換機(jī)、路由器的口令)、安全設(shè)備(如更改防火墻的安全策略配置)等。3.2 網(wǎng)絡(luò)層安全威脅分析網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的tpc/ip協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測(cè)、竊聽等搜集信息，然后利用 ip欺騙、重放或重演、拒絕

5、服務(wù)攻擊（syn flood，ping flood等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出 等手段進(jìn)行攻擊。下面分幾個(gè)部分對(duì)網(wǎng)絡(luò)層安全進(jìn)行分析。3.2.1 網(wǎng)絡(luò)設(shè)備安全威脅分析在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、三層交換機(jī)等有可能存在著以下的安全威脅：（以最常用的路由器為例） 路由器缺省情況下只使用簡單的口令驗(yàn)證用戶的身份，并且遠(yuǎn)程telnet登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)能力。 路由器口令的弱點(diǎn)是沒有計(jì)數(shù)器功能的，所有每個(gè)人都可以不限數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 每個(gè)管理員都可能使用相同的口令，因此，路由器對(duì)于誰曾經(jīng)作過什么修改，系統(tǒng)

6、沒有跟蹤審計(jì)能力。 路由器實(shí)現(xiàn)的動(dòng)態(tài)路由協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鳒?zhǔn)備。 針對(duì)路由器的拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊。 發(fā)布假路由，路由欺騙，導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由混亂。3.2.2 子網(wǎng)邊界安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)系統(tǒng)可以看作由多個(gè)子網(wǎng)組成，每個(gè)子網(wǎng)都是一個(gè)獨(dú)立的系統(tǒng)，各子網(wǎng)之間主要存在的安全風(fēng)險(xiǎn)包括：n 內(nèi)部用戶的惡意攻擊：就網(wǎng)絡(luò)安全來說，據(jù)統(tǒng)計(jì)約有70左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨(dú)厚的優(yōu)勢(shì)，因此，對(duì)內(nèi)部用戶攻擊的防范也很重要。n 入侵者通過sniffer等嗅探程序來探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞

7、，如網(wǎng)絡(luò)ip地址、應(yīng)用操作系統(tǒng)的類型、開放哪些tcp端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。n 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)的重要信息。n 入侵者通過dos攻擊對(duì)內(nèi)部網(wǎng)中重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。 數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)分析xx網(wǎng)絡(luò)采用tcp/ip技術(shù)構(gòu)成開放、互聯(lián)網(wǎng)絡(luò)，因此，它非常容易受到各種信息安全事件的干擾。tcp/ip協(xié)議是當(dāng)前互聯(lián)網(wǎng)的主流通信協(xié)議，已成為網(wǎng)絡(luò)通信和應(yīng)用的實(shí)際標(biāo)準(zhǔn)。然而，基于數(shù)據(jù)流設(shè)計(jì)的tcp/ip

8、協(xié)議自身存在著許多安全漏洞，在internet發(fā)展的早期，由于應(yīng)用范圍和技術(shù)原因，沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點(diǎn)。在企業(yè)信息管理、辦公自動(dòng)化、電子商務(wù)、網(wǎng)上交易等活動(dòng)中，對(duì)tcp/ip網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊，都有可能威脅到用戶機(jī)密信息、密碼等敏感數(shù)據(jù)的安全傳送。因此，針對(duì)網(wǎng)絡(luò)層安全協(xié)議的攻擊將給網(wǎng)絡(luò)帶來嚴(yán)重的后果。n 重要業(yè)務(wù)數(shù)據(jù)的泄漏或欺騙由于在同級(jí)局域網(wǎng)和上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。如果沒有專門的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制，所有的信息通信都將不

9、受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。這種形式的“攻擊”是相對(duì)比較容易成功的，只要使用現(xiàn)成的協(xié)議分析軟件，如sniffer,dump等即可。 n 重要數(shù)據(jù)被破壞如果不對(duì)數(shù)據(jù)庫及個(gè)人終端實(shí)施安全保護(hù)措施，它們將受到來自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫及個(gè)人終端的攻擊。同時(shí)一旦不法分子針對(duì)網(wǎng)上傳輸數(shù)據(jù)做出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。3.3 系統(tǒng)層安全威脅分析系統(tǒng)層的安全威脅主要從操作系統(tǒng)平臺(tái)的安全威脅進(jìn)行分析：操作系統(tǒng)安全也稱主機(jī)安全，由于現(xiàn)代操作系統(tǒng)的代碼龐大，從而不同程度上都存在一些安全漏洞。一些廣泛應(yīng)用的操作系統(tǒng)，如unix，windo

10、w nt/2000，其安全漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或使用人員對(duì)復(fù)雜的操作系統(tǒng)和其自身的安全機(jī)制了解不夠，配置不當(dāng)也會(huì)造成的安全隱患。操作系統(tǒng)自身的脆弱性將直接影響到其上的所有的應(yīng)用系統(tǒng)的安全性。操作系統(tǒng)的安全是網(wǎng)絡(luò)系統(tǒng)信息安全的基礎(chǔ)。各種操作系統(tǒng)之上的應(yīng)用要想獲得運(yùn)行的高可靠性和信息的完整性、機(jī)密性、可用性和可控性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。任何脫離操作系統(tǒng)的應(yīng)用軟件的高安全性都是不可能的。在網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)過程中，必須加強(qiáng)以安全操作系統(tǒng)為基礎(chǔ)的整體安全保障基礎(chǔ)設(shè)施的建設(shè)。3.4 應(yīng)用層安全威脅分析應(yīng)用安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括erp 平臺(tái)、web、

11、郵件系統(tǒng)、dns、ftp等網(wǎng)絡(luò)基本服務(wù)以及財(cái)務(wù)業(yè)務(wù)系統(tǒng)、辦公自動(dòng)化等系統(tǒng)。應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。但一些通用的應(yīng)用程序，如web server程序，ftp服務(wù)程序，e-mail服務(wù)程序，瀏覽器，ms office辦公軟件等這些應(yīng)用程序自身的安全漏洞和由于配置不當(dāng)造成的安全漏洞會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全性下降。3.5 管理層安全威脅分析層次系統(tǒng)安全架構(gòu)的最頂層就是對(duì)集團(tuán)公司全網(wǎng)進(jìn)行操作、維護(hù)和使用的內(nèi)部人員。人員有各種層次，對(duì)人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安

12、全問題。 沒有完善的信息機(jī)房進(jìn)入手續(xù)，或有但沒有嚴(yán)格執(zhí)行； 沒有完善的網(wǎng)絡(luò)與安全人員管理制度； 信息網(wǎng)絡(luò)管理人員技術(shù)水平較低或思想政治覺悟不高； 管理人員對(duì)其下屬?zèng)]有進(jìn)行網(wǎng)絡(luò)操作的嚴(yán)格要求； 網(wǎng)絡(luò)或安全設(shè)備的管理登錄密碼沒有按照制度進(jìn)行更換，或沒有安全密碼的管理制度； 沒有定期的對(duì)現(xiàn)有的操作管理人員進(jìn)行安全培訓(xùn)； 整個(gè)安全管理體系存在著一些問題；2.3.6 安全防范措施網(wǎng)絡(luò)面臨的威脅及相應(yīng)的應(yīng)對(duì)措施如下表：主要安全威脅后果應(yīng)對(duì)措施網(wǎng)絡(luò)硬件設(shè)備、布線系統(tǒng)的電磁泄漏數(shù)據(jù)被竊取采用屏蔽系統(tǒng)，安裝電磁干擾器和視頻干擾儀。外部安全威脅互聯(lián)網(wǎng)黑客攻擊內(nèi)網(wǎng)部署防火墻進(jìn)行訪問控制，記錄來自外部對(duì)內(nèi)網(wǎng)的訪問，以

13、便追查外網(wǎng)竊聽篡改數(shù)據(jù)信息在傳輸過程中被篡改業(yè)務(wù)訪問（web server、oralce）采用認(rèn)證系統(tǒng)并對(duì)信道進(jìn)行加密內(nèi)網(wǎng)竊聽關(guān)鍵主機(jī)的用戶名、口令泄漏；假冒他人進(jìn)入系統(tǒng)；越權(quán)操作部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)；不安全配置；弱帳戶、空口令等利用系統(tǒng)弱點(diǎn)和漏洞侵入系統(tǒng)部署漏洞掃描系統(tǒng)定期檢查內(nèi)部網(wǎng)絡(luò)和系統(tǒng)的安全隱患，并及時(shí)修補(bǔ)漏洞服務(wù)器不必要的服務(wù)攻擊開放的服務(wù)，造成系統(tǒng)崩潰通過網(wǎng)絡(luò)安全評(píng)估，安全配置服務(wù)器系統(tǒng)；部署服務(wù)器動(dòng)態(tài)保護(hù)系統(tǒng)。內(nèi)部人員惡意攻擊數(shù)據(jù)庫被修改、服務(wù)中斷、難以追查部署內(nèi)網(wǎng)監(jiān)控系統(tǒng)，記錄網(wǎng)絡(luò)訪問及安全事件、重現(xiàn)攻擊過程，追究責(zé)任；通過業(yè)務(wù)系統(tǒng)審計(jì)保證操作的責(zé)任性桌

14、面系統(tǒng)防護(hù)薄弱被安裝木馬病毒、惡意代碼爆發(fā)造成網(wǎng)絡(luò)癱瘓、木馬造成信息泄密通過安裝網(wǎng)絡(luò)防病毒系統(tǒng)，強(qiáng)制病毒庫的升級(jí)。備份與容災(zāi)需完善管理復(fù)雜、存儲(chǔ)資源浪費(fèi)嚴(yán)重建設(shè)集中的數(shù)據(jù)存儲(chǔ)與備份系統(tǒng)建設(shè)異地?cái)?shù)據(jù)容災(zāi)系統(tǒng)及網(wǎng)絡(luò)備份內(nèi)部人員違反安全策略撥號(hào)上網(wǎng)撥號(hào)用戶被黑客利用作為攻擊內(nèi)部系統(tǒng)的跳板通過內(nèi)網(wǎng)監(jiān)控系統(tǒng)和一些制度嚴(yán)格限制。 二、規(guī)劃建設(shè)目標(biāo)（一）項(xiàng)目建設(shè)的目標(biāo)和意義實(shí)施網(wǎng)絡(luò)信息安全建設(shè)，從技術(shù)上支撐建立企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)和運(yùn)維，對(duì)先進(jìn)的信息化職能的轉(zhuǎn)變具有高效的安全保障。也有利的保障了在xx安全信息化、管理信息化，以及保證了特殊的政治業(yè)務(wù)的涉密運(yùn)行進(jìn)行；增加了高信息化管理總體附加值，提高業(yè)內(nèi)的競(jìng)爭

15、力。（二）規(guī)劃設(shè)計(jì)理念xx的總體網(wǎng)絡(luò)安全建設(shè)的理念突出地表現(xiàn)為國際公認(rèn)的“三元論”即綜合考慮信息安全的三個(gè)要素：策略、管理和技術(shù)。安全策略包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是信息安全的最核心問題，是整個(gè)信息安全建設(shè)的依據(jù)；安全管理主要是人員、組織和流程的管理，是實(shí)現(xiàn)信息安全的落實(shí)手段；安全技術(shù)包含工具、產(chǎn)品和服務(wù)等，是實(shí)現(xiàn)信息安全的有力保證。安全建設(shè)是一個(gè)不斷的持續(xù)改進(jìn)的過程，在這個(gè)指導(dǎo)思想上，整體安全解決方案如下圖所示：上圖中的策略、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和改善組成的完整模型體系，這個(gè)模型的特點(diǎn)就是動(dòng)態(tài)性和可管理性，可以說對(duì)信息安全的相對(duì)性給予了更好地描述。按照p2dr

16、3模型，xx信息系統(tǒng)安全建設(shè)方案可以最大限度地保護(hù)信息不受諸多威脅的侵犯，確保業(yè)務(wù)運(yùn)行的連續(xù)性，將損失和風(fēng)險(xiǎn)降低到最小程度。在安全策略的基礎(chǔ)之上劃分了管理安全、應(yīng)用與系統(tǒng)安全、網(wǎng)絡(luò)安全和物理安全等多個(gè)層次對(duì)信息進(jìn)行保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和改善，參見下圖。要保證系統(tǒng)安全，還要培養(yǎng)和建立專業(yè)化的系統(tǒng)管理和維護(hù)人員隊(duì)伍，設(shè)置專門化的系統(tǒng)安全管理工作崗位，制定行之有效的系統(tǒng)安全管理規(guī)范。除了進(jìn)行日常的系統(tǒng)安全管理之外，對(duì)系統(tǒng)故障的準(zhǔn)確判斷、能夠快速排除故障、建立有效的系統(tǒng)災(zāi)難處理機(jī)制、恢復(fù)系統(tǒng)數(shù)據(jù)、恢復(fù)系統(tǒng)正常工作狀態(tài)策略，這些都是不能忽略的。（三）規(guī)劃設(shè)計(jì)原則網(wǎng)絡(luò)安全的重要性已經(jīng)被人們所認(rèn)可，而網(wǎng)絡(luò)

17、安全的需求也是包含了從硬件物理到人為的信息安全服務(wù)，但網(wǎng)絡(luò)安全方案要做到全面、可擴(kuò)充，其設(shè)計(jì)須遵循以下原則：n 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定相應(yīng)的規(guī)范和措施，確定系統(tǒng)的安全策略。n 綜合性、整體性原則運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)

18、。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代價(jià)、效果對(duì)不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。n 先進(jìn)性原則采用最新技術(shù)、成熟的網(wǎng)絡(luò)安全產(chǎn)品，最好的發(fā)揮網(wǎng)絡(luò)安全作用。n 可實(shí)施性原則方案設(shè)計(jì)再好，如果無法實(shí)施就變得沒有任何意義。安全實(shí)施需要人去完成，如果實(shí)施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全

19、性。n 可維護(hù)性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)，能夠方便維護(hù)。n 多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。n 可評(píng)價(jià)性原則如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動(dòng)態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、

20、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個(gè)機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會(huì)變的不安全了），原來的系統(tǒng)就會(huì)變的不安全。所以，網(wǎng)絡(luò)安全不是一勞永逸的事情。 （四）總體規(guī)劃設(shè)計(jì)及措施 4.1 物理安全物理安全是整個(gè)系統(tǒng)安全的基礎(chǔ)，要把xx信息系統(tǒng)的危險(xiǎn)減至最低限度，需要選擇適當(dāng)?shù)脑O(shè)施和位置，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。xx的網(wǎng)絡(luò)屬于涉密網(wǎng)，對(duì)物理安全的要求高于其他性質(zhì)

21、的網(wǎng)絡(luò)系統(tǒng)。它主要包括機(jī)房環(huán)境、設(shè)備保護(hù)、綜合布線等幾方面的內(nèi)容。1、 xx網(wǎng)絡(luò)機(jī)房的建設(shè)須符合國家有關(guān)部門要求以及電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范（gb50174-93）、計(jì)算機(jī)場(chǎng)地安全要求（gb9361-88）等國家的相關(guān)安全標(biāo)準(zhǔn)，保證設(shè)備的物理安全，包括防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報(bào)警等。建議機(jī)房建設(shè)按涉密機(jī)房要求來進(jìn)行。應(yīng)遵循涉密機(jī)房的要求，bmb3-1999處理涉密信息的電磁屏蔽室的技術(shù)要求和測(cè)試方法b級(jí)；2、 按照應(yīng)用系統(tǒng)的控制級(jí)別劃分為數(shù)據(jù)交換區(qū)和業(yè)務(wù)區(qū)，對(duì)劃分的區(qū)域?qū)嵭蟹謪^(qū)控制，根據(jù)需要確定能否進(jìn)入相應(yīng)的區(qū)域；采用門禁等安全措施，嚴(yán)格控制進(jìn)入各分區(qū)的人員；3、

22、 對(duì)于重要的數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)的存放位置應(yīng)符合gbj45-82中的規(guī)定，符合防火、防高溫、防水、防震等要求；定期對(duì)備份數(shù)據(jù)進(jìn)行檢查，保證其可用性等；4、內(nèi)網(wǎng)的布線系統(tǒng)采用屏蔽布線系統(tǒng)，工作區(qū)的機(jī)柜采用屏蔽機(jī)柜。4.2 網(wǎng)絡(luò)安全根據(jù)網(wǎng)絡(luò)所處的地位、性質(zhì)和作用的不同，網(wǎng)絡(luò)需要?jiǎng)澐譃椴煌陌踩珔^(qū)域。在不同的安全區(qū)域之間需要采用安全技術(shù)來防范來自不同網(wǎng)絡(luò)的安全威脅。4.2.1網(wǎng)絡(luò)接入點(diǎn)安全網(wǎng)絡(luò)需要接入互聯(lián)網(wǎng)。因此，網(wǎng)絡(luò)接入點(diǎn)的安全至關(guān)重要。為了保證接入點(diǎn)的安全，網(wǎng)絡(luò)邊界處的安全防護(hù)需要達(dá)到以下要求：1. 訪問控制。用戶接入內(nèi)網(wǎng)后，只能按照預(yù)先制定的安全策略（限制訪問ip、端口及時(shí)間等）訪問指定的主

23、機(jī)及服務(wù)，避免內(nèi)部業(yè)務(wù)主機(jī)的漏洞或服務(wù)被利用。2. 訪問審計(jì)。用戶對(duì)內(nèi)網(wǎng)的訪問需要進(jìn)行詳細(xì)的審計(jì)記錄，記錄其訪問的時(shí)間、源ip、目標(biāo)ip、端口等等。以便保證訪問的責(zé)任性和可追查性。為了達(dá)到以上安全要求，可以在邊界接入點(diǎn)部署防火墻系統(tǒng)，在防火墻之后部署互聯(lián)網(wǎng)安全接入認(rèn)證系統(tǒng)。防火墻的目的是要在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。具體地說，設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊，實(shí)現(xiàn)以下基本功能： 禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部機(jī)器； 保證外部用戶可以且只能訪問到某些指定的公開信

24、息； 限制內(nèi)部用戶只能訪問到某些特定的internet資源，如www服務(wù)、ftp服務(wù)、 telnet服務(wù)等；智能的蠕蟲病毒防范功能，內(nèi)置ips模塊，并要求必須具有實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)蠕蟲病毒的方法專利號(hào)，保證了此功能的實(shí)際可靠性應(yīng)用保證網(wǎng)絡(luò)安全的穩(wěn)定；提供端口聚合功能:防火墻多個(gè)接口可以設(shè)置為聚合口，起到鏈路備份的功能;p2p協(xié)議阻斷和流量帶寬管理能夠阻斷常見的p2p協(xié)議，必須支持bt、電驢、 fasttrack、gnutella、 dc、 openft等，同時(shí)支持p2p免屏蔽列表，能夠?qū)2p流量進(jìn)行帶寬管理；具有基于p2p高速下載軟件產(chǎn)生流量的發(fā)現(xiàn)及控制方法的專利號(hào)，可以有保證該功能實(shí)際應(yīng)用的可靠

25、性；具有黑名單功能模塊可以過濾惡意主機(jī)、假冒的ip地址具有白名單模塊對(duì)特權(quán)ip地址可不受規(guī)則限制；具有對(duì)qq、msn軟件管理設(shè)置模塊，可以qq、msn軟件使用的用戶進(jìn)行時(shí)間、帶寬的設(shè)定及阻斷功能，以及提供特權(quán)用戶的設(shè)置；對(duì)帶寬管理必須支持acl規(guī)則的8級(jí)優(yōu)先控制級(jí)別設(shè)置，以及對(duì)時(shí)間、帶寬進(jìn)行設(shè)置，其中對(duì)帶寬的設(shè)置至少保證設(shè)置mk字節(jié)的設(shè)置；支持雙isp出口熱備：當(dāng)一個(gè)出口線路出現(xiàn)故障，系統(tǒng)可以把網(wǎng)絡(luò)數(shù)據(jù)流切換到運(yùn)行狀態(tài)良好的另一個(gè)接口和路由上；生產(chǎn)廠家要具備具備由國家信息安全測(cè)評(píng)認(rèn)證中心認(rèn)可的信息安全服務(wù)資質(zhì)（一級(jí)及以上），保證了日后對(duì)網(wǎng)絡(luò)安全服務(wù)及安全評(píng)估進(jìn)行良好的服務(wù)支持；防火墻除了部署在

26、用戶網(wǎng)絡(luò)邊緣以外，還可以根據(jù)不同的用戶的需求進(jìn)行防火墻的部署，我們建議對(duì)于網(wǎng)絡(luò)內(nèi)部關(guān)鍵服務(wù)器、要害部門（如財(cái)務(wù)部門、研發(fā)部門、機(jī)要室等）等地方都部署防火墻?；ヂ?lián)網(wǎng)安全接入認(rèn)證系統(tǒng)是針對(duì)各種需要高速互聯(lián)網(wǎng)接入訪問服務(wù)的場(chǎng)所定制的一套完整的解決方案。解決了網(wǎng)絡(luò)阻塞、ip盜用、非法登錄以及訪問非法站點(diǎn)等問題。 4.2.2構(gòu)建內(nèi)網(wǎng)的監(jiān)控系統(tǒng)1網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無能為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給與響應(yīng)和處理。網(wǎng)絡(luò)信息審計(jì)技術(shù)還能檢測(cè)到繞過防火墻的攻擊。網(wǎng)

27、絡(luò)入侵檢測(cè)系統(tǒng)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)直接接在交換機(jī)的鏡像端口上，該端口可以將通過交換機(jī)的所有數(shù)據(jù)流量自動(dòng)復(fù)制一份，這樣，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就可以監(jiān)聽到通過交換機(jī)的所有數(shù)據(jù)通信，并對(duì)之進(jìn)行實(shí)時(shí)的協(xié)議分析，根據(jù)其中的一些特征進(jìn)行智能對(duì)比和分析。如果發(fā)現(xiàn)

28、可疑連接請(qǐng)求、網(wǎng)絡(luò)進(jìn)攻和郵件病毒等入侵，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)會(huì)立即報(bào)警并按照管理員所配置的動(dòng)作進(jìn)行反應(yīng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)根據(jù)系統(tǒng)預(yù)裝的關(guān)于異常、攻擊和漏洞信息庫，可以實(shí)時(shí)監(jiān)測(cè)所有網(wǎng)絡(luò)訪問活動(dòng)，并在危害系統(tǒng)安全的事件發(fā)生時(shí)，產(chǎn)生預(yù)先定義的動(dòng)作，以保護(hù)網(wǎng)絡(luò)的安全。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所監(jiān)聽到的網(wǎng)絡(luò)活動(dòng)記錄，也為網(wǎng)絡(luò)管理員進(jìn)行事后分析、網(wǎng)絡(luò)管理等提供了依據(jù)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地、實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。這種領(lǐng)先產(chǎn)品對(duì)網(wǎng)絡(luò)安全輪回監(jiān)控，使用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)安全漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對(duì)安全威脅的自主響應(yīng)為xx提供了

29、最大限度的安全保障。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)報(bào)警以及切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的智能的的防護(hù)體系。在使用入侵檢測(cè)系統(tǒng)設(shè)備必須有以下功能流量分析 支持網(wǎng)段的流量統(tǒng)計(jì)分析功能報(bào)警與流量分析 提供了報(bào)警的總體分布、報(bào)警級(jí)別分布、報(bào)警趨勢(shì)分布、流量趨勢(shì)、包趨勢(shì)、連接量趨勢(shì)、特征協(xié)議趨勢(shì)、安全評(píng)分對(duì)比，統(tǒng)計(jì)威脅對(duì)比、經(jīng)常觸發(fā)的事件等多種報(bào)警內(nèi)容主機(jī)評(píng)估與分析 提供分析評(píng)估中心，可以將網(wǎng)絡(luò)中的數(shù)據(jù)詳細(xì)分類，對(duì)入侵報(bào)警和流量進(jìn)行全面分析可視化和全圖形化挖掘 系統(tǒng)應(yīng)用圖形化分析手段，直觀可視化的展現(xiàn)受到網(wǎng)絡(luò)威脅的全部信息，應(yīng)用了對(duì)比、分布

30、圖、趨勢(shì)圖的方式展現(xiàn)給用戶，阻斷 對(duì)于一些非法的連接也能夠進(jìn)行及時(shí)的阻斷，可以進(jìn)行自動(dòng)阻斷和手工阻斷，支持黑名單斷開、阻塞http請(qǐng)求、中斷tcp會(huì)話、偽造icmp應(yīng)答或通過防火墻阻塞。設(shè)立獨(dú)立阻斷端口 可以對(duì)規(guī)則設(shè)置阻斷規(guī)則，采用了單獨(dú)阻斷端口，在阻斷的時(shí)候不影響數(shù)據(jù)包的收集和檢測(cè)告警的條件過濾 采用圖像化的數(shù)據(jù)來表達(dá)入侵日志，也提供了傳統(tǒng)的日志查詢方式，可以任意的設(shè)定查看方式并在設(shè)置后進(jìn)行二次的排序和條件過濾2主機(jī)監(jiān)管與審計(jì)系統(tǒng)目前，據(jù)統(tǒng)計(jì)超過80%的信息安全隱患是來至組織內(nèi)部的，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。如何解決組織內(nèi)部的網(wǎng)絡(luò)安全已成為擺在每一個(gè)單位、企業(yè)面前亟待解決

31、的問題。如何對(duì)內(nèi)部用戶的進(jìn)行有效管理，防止內(nèi)部用戶越權(quán)訪問、信息泄密等違規(guī)行為發(fā)生，以及在相關(guān)非法事件發(fā)生后,可以對(duì)非法事件進(jìn)行追蹤、取證，也變的極為重要。加強(qiáng)對(duì)內(nèi)部用戶的身份鑒別、權(quán)限控制、角色管理和訪問控制管理，防止對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器及文檔服務(wù)器的非法存取、刪改和破壞。這些問題的解決就需要我們部署主機(jī)監(jiān)管系統(tǒng)。在設(shè)備使用中設(shè)備需要具有以下功能主機(jī)信息獲取 系統(tǒng)能夠自動(dòng)獲取終端的靜態(tài)（ip地址、mac地址、系統(tǒng)內(nèi)存）和動(dòng)態(tài)（設(shè)備使用情況、共享情況、撥號(hào)情況、主機(jī)帳號(hào)等）信息usb分類管理 可以對(duì)usb設(shè)備的進(jìn)行分類管理：包括usb存儲(chǔ)設(shè)備(u盤，活動(dòng)硬盤)，usb輸入設(shè)備(

32、usb鍵盤、鼠標(biāo))，usb-key，并可以自定義設(shè)備存儲(chǔ)透明加解密 文件拷貝到經(jīng)過認(rèn)證的usb存儲(chǔ)設(shè)備里，支持自動(dòng)實(shí)現(xiàn)透明的加解密服務(wù)器級(jí)聯(lián) 支持系統(tǒng)服務(wù)器的多級(jí)級(jí)連，上級(jí)服務(wù)器可以給下級(jí)服務(wù)器下發(fā)策略，可以查看下級(jí)服務(wù)器上的日志和狀態(tài)，可實(shí)現(xiàn)分層次的管理。網(wǎng)絡(luò)連接監(jiān)控 監(jiān)控受控主機(jī)上存在的tcp/udp連接信息，以及網(wǎng)絡(luò)連接關(guān)聯(lián)的進(jìn)程信息打印監(jiān)控 監(jiān)控受控主機(jī)上的打印情況，可以禁止、記錄、允許用戶提交打印任務(wù)，并且可以還原打印信息撥號(hào)監(jiān)控 防止對(duì)撥號(hào)設(shè)備（modem，adsl）的使用，防止非法外聯(lián)共享監(jiān)控 能監(jiān)控受控主機(jī)上共享情況并防止重要信息資源的泄漏文件監(jiān)控 對(duì)主機(jī)上的特定文件，能夠設(shè)置

33、受控機(jī)上制定文件的操作權(quán)限，包括訪問、讀、寫、讀/寫3網(wǎng)絡(luò)管理和網(wǎng)絡(luò)運(yùn)行監(jiān)視系統(tǒng)需要網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備的管理，并提供被管理設(shè)備的性能監(jiān)控、性能指標(biāo)分析等內(nèi)容，可以生產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D。同時(shí)網(wǎng)絡(luò)異常在網(wǎng)絡(luò)運(yùn)行中出現(xiàn)頻率很高，并且產(chǎn)生異常的根源也多種多樣。觀察網(wǎng)絡(luò)指標(biāo)（如：流量、主機(jī)數(shù)等）可以得知異常網(wǎng)絡(luò)的最新癥狀。通過對(duì)現(xiàn)有癥狀的分析和比較可以為網(wǎng)絡(luò)調(diào)整提供依據(jù)。此外也可以提前發(fā)現(xiàn)入侵、病毒等危害網(wǎng)路運(yùn)行的因素。準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)異常對(duì)于設(shè)計(jì)高性能網(wǎng)絡(luò)協(xié)議、高效網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)量預(yù)測(cè)與網(wǎng)絡(luò)規(guī)劃、精確的網(wǎng)絡(luò)性能分析與預(yù)測(cè)、擁塞管理與流量均衡都有重要意義。因此需要我們部署網(wǎng)

34、絡(luò)管理和網(wǎng)絡(luò)運(yùn)行監(jiān)視系統(tǒng)。4.3 系統(tǒng)安全主要指服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，網(wǎng)絡(luò)設(shè)備操作系統(tǒng)以及各類應(yīng)用軟件系統(tǒng)等。針對(duì)系統(tǒng)安全，采取以下的措施：4.3.1 操作系統(tǒng)安全對(duì)于xx網(wǎng)絡(luò)使用的操作系統(tǒng)安全，我們首先提出以下建議：a)針對(duì)unix系統(tǒng)，采取以下措施：1、經(jīng)常變更口令并鼓勵(lì)使用不易猜測(cè)的口令。2、使用公共密鑰密碼體系在 ip 級(jí)對(duì)受信任主機(jī)之間的所有通訊流加密。與 unix捆綁著的 skip 鑒別進(jìn)來的 ip 通訊流，并確保出去的數(shù)據(jù)在途中不被他人改變或查看。3、使用能夠標(biāo)識(shí)受信任主機(jī)并封鎖欺騙性 ip 地址的路由器。4、解決脆弱性并提高您的軟件的抗入侵能力。 5、禁止那些給您的網(wǎng)絡(luò)帶

35、來安全風(fēng)險(xiǎn)的不需要的服務(wù)。unix主機(jī)配置軟件，作為初始安裝進(jìn)程的一部分，可以禁止某些 r 命令，從而保證對(duì)口令的保護(hù)并限制未授權(quán)的個(gè)人對(duì)主機(jī)的訪問。6、只向雇員提供對(duì)工作需要的數(shù)據(jù)或信息的訪問。7、實(shí)施諸如網(wǎng)絡(luò)監(jiān)視和防火墻之類的安全機(jī)制。8、使用seam來支持支持 kerberos v5 鑒別、專用性和綜合性來改進(jìn)系統(tǒng)的安全性。當(dāng)使用kerberos化的登錄機(jī)制時(shí)，通過允許單個(gè)網(wǎng)絡(luò)進(jìn)入和提供kerberos化的nfs(tm)服務(wù)亦應(yīng)當(dāng)使安全性得到提高。9、檢查文件的許可權(quán)限。10、對(duì)啟動(dòng)文件比如：inetd.conf的配置去掉其中不需要的服務(wù)，比如:ftpd，ftp，telnet，finge

36、r，login，shell，bootp，tftp，等等，這些協(xié)議都存在安全隱患。在unix中存在telnet，rlogin，rsh，dns，smtp，ftp，nfs，nis，ntp，x-windows等潛在危險(xiǎn)，必須對(duì)這些風(fēng)險(xiǎn)加以控制。 b) 對(duì)于windows 2003 server系統(tǒng)，采取以下措施:1、使用防火墻屏蔽除應(yīng)用系統(tǒng)本身以外的不必要的其他服務(wù)。2、使用增強(qiáng)的身份驗(yàn)證產(chǎn)品（如基于token的雙因素驗(yàn)證技術(shù)）代替系統(tǒng)本身的口令驗(yàn)證機(jī)制。3、作為服務(wù)器存在的系統(tǒng)上使用訪問控制軟件實(shí)施強(qiáng)制的安全策略。4、及時(shí)安裝操作系統(tǒng)廠商提供的“補(bǔ)丁”程序。5、使用ntfs文件系統(tǒng)，它可以對(duì)文件和目

37、錄使用acl存取控制表。6、將系統(tǒng)管理員賬號(hào)由原先的“administrator”改名，使非法登錄用戶不但要猜準(zhǔn)口令，還要先猜出用戶名。7、對(duì)于提供公共服務(wù)的計(jì)算機(jī)，廢止guest賬號(hào)，移走或限制所有的其他用戶賬號(hào)。8、打開審計(jì)系統(tǒng)，審計(jì)各種操作成功和失敗的情況，及時(shí)發(fā)現(xiàn)問題前兆，定期備份日志文件。9、及時(shí)安裝補(bǔ)丁程序。c) 對(duì)于linux操作系統(tǒng)采取如下措施：1、文件分區(qū)在linux系統(tǒng)中，如果分別為不同的應(yīng)用安裝單獨(dú)的主分區(qū)，再將關(guān)鍵的分區(qū)設(shè)置為只讀，將大大提高文件系統(tǒng)的安全性。linux的文件系統(tǒng)可以分成幾個(gè)主要的分區(qū)，一般情況下至少要建立/、/usr/local、/var和/home等

38、幾個(gè)分區(qū)。其中/usr可以安裝成只讀并且可以被認(rèn)為是不可修改的，如果/usr中有任何文件發(fā)生了改變，那么系統(tǒng)將立即發(fā)出安全報(bào)警。/lib、/boot和/sbin的安裝和設(shè)置也一樣。在安裝時(shí)應(yīng)該盡量將它們?cè)O(shè)置為只讀，這樣 對(duì)它們的文件、目錄和屬性進(jìn)行的任何修改都會(huì)導(dǎo)致系統(tǒng)報(bào)警。當(dāng)然將所有主要的分區(qū)都設(shè)置為只讀是不可能的，有的分區(qū)如/var，其自身的性質(zhì)就決定了不能將它設(shè)置為只讀，但應(yīng)該不允許它具有執(zhí)行權(quán)限。2、擴(kuò)展ext3使用ext3文件系統(tǒng)上的只添加和不可變這兩種文件屬性，可以進(jìn)一步提高文件系統(tǒng)的安全級(jí)別。一個(gè)標(biāo)記為不可變的文件不能被修改，甚至不能被超級(jí)用戶修改。一個(gè)標(biāo)記為只添加的文件可以被修

39、改，但只能在它的后面添加內(nèi)容，即使超級(jí)用戶也只能如此。如果你關(guān)鍵的文件系統(tǒng)安裝成只讀的，并且文件被標(biāo)記為不可變的，入侵者必須重新安裝系統(tǒng)才能刪除這些不可變的文件，但這會(huì)立刻產(chǎn)生報(bào)警，這樣就大大減少了被非法入侵的危險(xiǎn)。3、保護(hù)log文件當(dāng)與log文件和log備份一起使用時(shí)，不可變和只添加這兩種文件屬性特別有用。系統(tǒng)管理員應(yīng)該將活動(dòng)的log文件屬性設(shè)置為只添加。當(dāng)log文件被更新時(shí)，新產(chǎn)生的log備份文件屬性應(yīng)該設(shè)置成不可變的，而新的活動(dòng)的文件屬性又變成了只添加。這通常需要在log更新腳本中添加一些控制命令。4、采用安全穩(wěn)定的內(nèi)核5、單一登錄系統(tǒng)更容易保證安全：維護(hù)分散的大網(wǎng)絡(luò)環(huán)境中的多個(gè)用戶賬號(hào)

40、對(duì)于系統(tǒng)管理員來講是一件非常頭疼的事情?，F(xiàn)在有一些單一的登錄（sign on）系統(tǒng)不僅可以減輕管理員的負(fù)擔(dān)，而且同時(shí)還提高了安全級(jí)別。網(wǎng)絡(luò)信息服務(wù)（nis）是一個(gè)很好的單一登錄系統(tǒng)，它是在sun公司的yellow page服務(wù)的基礎(chǔ)上發(fā)展起來的，它的基本安全特性不夠健壯。nis的更新版本nis+，對(duì)原nis的不足進(jìn)行了改進(jìn)，現(xiàn)在已經(jīng)有了用于linux的nis+版本。4.3.2 應(yīng)用系統(tǒng)安全1服務(wù)器群組安全防護(hù)網(wǎng)絡(luò)安全防護(hù)的核心問題之一就是如何保護(hù)企業(yè)內(nèi)部的核心資源，即保護(hù)企業(yè)核心資源的完整性和機(jī)密性，并限制、審計(jì)對(duì)企業(yè)資源的訪問。目前，企事業(yè)網(wǎng)絡(luò)的核心資源和關(guān)鍵應(yīng)用都依賴于企事業(yè)網(wǎng)絡(luò)中的各種服

41、務(wù)器，包括www服務(wù)器、文件服務(wù)器、郵件服務(wù)器、oa服務(wù)器和各種應(yīng)用服務(wù)器等等。但由于服務(wù)器的開放性和操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的各種安全漏洞，使得對(duì)服務(wù)器群組很容易受到各種網(wǎng)絡(luò)攻擊和入侵的威脅。因此，如何保護(hù)核心服務(wù)器的安全，保護(hù)服務(wù)器上的關(guān)鍵數(shù)據(jù)和業(yè)務(wù)免受各種網(wǎng)絡(luò)攻擊和入侵的危害，是網(wǎng)絡(luò)資源防護(hù)的關(guān)鍵問題。目前，對(duì)服務(wù)器的攻擊主要存在以dos攻擊、ddos攻擊等為代表的網(wǎng)絡(luò)攻擊和以sql數(shù)據(jù)庫注入、iis緩沖器溢出、腳本攻擊等為代表的網(wǎng)絡(luò)入侵兩種形式。網(wǎng)絡(luò)攻擊可以產(chǎn)生大量的無效流量，占用服務(wù)器的性能，從而導(dǎo)致服務(wù)器的響應(yīng)速度下降，甚至服務(wù)癱瘓；網(wǎng)絡(luò)入侵則具有隱蔽性強(qiáng)、危害性大的特點(diǎn)，并將直接

42、導(dǎo)致關(guān)鍵數(shù)據(jù)的丟失、破壞、被篡改等，從而給企業(yè)帶來很大的損失。目前，對(duì)服務(wù)器的安全防護(hù)主要采用防火墻、ids、認(rèn)證系統(tǒng)等通用網(wǎng)絡(luò)安全產(chǎn)品。但防火墻是工作在網(wǎng)絡(luò)層的設(shè)備，無法很好的對(duì)服務(wù)器進(jìn)行應(yīng)用層的防護(hù)，因此防火墻設(shè)備雖然可以對(duì)抗網(wǎng)絡(luò)攻擊，但對(duì)于網(wǎng)絡(luò)入侵，則沒有很好的效果。ids設(shè)備重在檢測(cè)，無法對(duì)服務(wù)器進(jìn)行很好的實(shí)時(shí)防護(hù)。同時(shí)，企事業(yè)內(nèi)部的服務(wù)器訪問具有一些自己的特點(diǎn)，主要體現(xiàn)在基于角色分配權(quán)限，不同的角色針對(duì)不同的服務(wù)存在不同的權(quán)限；基于權(quán)限進(jìn)行訪問控制；基于角色進(jìn)行訪問審計(jì)等等。目前，雖然很多企業(yè)部署了認(rèn)證系統(tǒng)來解決基于用戶角色的認(rèn)證問題，但在防火墻、入侵檢測(cè)系統(tǒng)、認(rèn)證系統(tǒng)之間缺乏有效的

43、集中安全策略管理機(jī)制。我們應(yīng)用服務(wù)器群組動(dòng)態(tài)保護(hù)系統(tǒng)來對(duì)服務(wù)器進(jìn)行防護(hù)。2數(shù)據(jù)庫系統(tǒng)防護(hù)而數(shù)據(jù)庫通常需要注意以下方面：針對(duì)數(shù)據(jù)庫安全的特點(diǎn)，我們應(yīng)該將數(shù)據(jù)庫系統(tǒng)的安全問題歸納為以下幾個(gè)方面： 1）保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的安全性。我們通常采取相應(yīng)的措施：l 數(shù)據(jù)庫系統(tǒng)的用戶身份識(shí)別：保證每個(gè)用戶是合法的，且是可以識(shí)別的；l 數(shù)據(jù)庫系統(tǒng)的訪問控制：控制主體對(duì)客體的訪問，拒絕非授權(quán)訪問，防止信息泄露；l 統(tǒng)計(jì)數(shù)據(jù)庫對(duì)推理攻擊的防范：數(shù)據(jù)庫中存放的數(shù)據(jù)往往具有統(tǒng)計(jì)意義，入侵者往往利用已經(jīng)公開的，安全級(jí)別相對(duì)低的數(shù)據(jù)來推斷出安全級(jí)別高的安全信息；l 數(shù)據(jù)庫系統(tǒng)的可審計(jì)性：即對(duì)非法用戶的入侵行為及信息的泄露與

44、破壞的情況能夠跟蹤審計(jì)；l 防止數(shù)據(jù)庫系統(tǒng)中隱蔽信道的攻擊； 2）保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的完整性。我們通常采取下面措施：l 數(shù)據(jù)庫系統(tǒng)的物理完整性：保障數(shù)據(jù)庫物理存儲(chǔ)介質(zhì)以及物理運(yùn)行環(huán)境的正確與不受到侵害；l 數(shù)據(jù)庫系統(tǒng)的邏輯完整性：包括數(shù)據(jù)庫邏輯結(jié)構(gòu)完整性和數(shù)據(jù)庫主碼完整性兩個(gè)方面； l 數(shù)據(jù)庫系統(tǒng)的元素完整性：保障給客體數(shù)據(jù)元素的合法性，有效性，正確性，一致性，可維護(hù)性，以及防止非授權(quán)修改與破壞； 3）保障業(yè)務(wù)數(shù)據(jù)庫系統(tǒng)的可用性。它需要保障數(shù)據(jù)庫系統(tǒng)資源可以存儲(chǔ)，易于使用，方便操作，界面友好等。 如何維護(hù)xx數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)庫安全，需要建立一整套的數(shù)據(jù)庫基本安全框架：1、用戶分類：不同類型的用戶應(yīng)

45、該授予不同的數(shù)據(jù)庫訪問，管理權(quán)限。比如：數(shù)據(jù)庫系統(tǒng)登陸權(quán)限，資源管理權(quán)限，數(shù)據(jù)庫管理員權(quán)限，遠(yuǎn)程訪問權(quán)限等。2、數(shù)據(jù)分類：對(duì)每類用戶他能夠使用的數(shù)據(jù)庫是不同的，要進(jìn)行數(shù)據(jù)庫分類。不同的用戶訪問不同的數(shù)據(jù)庫系統(tǒng)。3、審計(jì)功能：dbms提供審計(jì)功能對(duì)維護(hù)數(shù)據(jù)庫的安全是十分重要的，它用來監(jiān)視各用戶對(duì)數(shù)據(jù)庫施加的動(dòng)作?？梢酝ㄟ^用戶審計(jì)和系統(tǒng)審計(jì)兩種方式來發(fā)現(xiàn)數(shù)據(jù)庫使用過程中出現(xiàn)的問題，從而找到安全隱患。4、數(shù)據(jù)庫掃描：利用數(shù)據(jù)庫安全掃描軟件可以對(duì)數(shù)據(jù)庫的安全狀況進(jìn)行完整的分析，并給出修補(bǔ)漏洞，增強(qiáng)安全性的建議。周期性的對(duì)數(shù)據(jù)庫進(jìn)行這種掃描可以降低人為造成的（有意或無意的）數(shù)據(jù)庫的安全風(fēng)險(xiǎn)。5、對(duì)于重要

46、的數(shù)據(jù)，可以考慮以加密的形式存儲(chǔ)數(shù)據(jù)。6、數(shù)據(jù)庫備份與恢復(fù)：因?yàn)閿?shù)據(jù)在存儲(chǔ)，傳輸過程中可能出現(xiàn)故障，同時(shí)計(jì)算機(jī)系統(tǒng)本身也可能發(fā)生一些意料之外的事情，如果沒有事先采取數(shù)據(jù)備份措施，將會(huì)導(dǎo)致慘重的損失。因此數(shù)據(jù)庫的備份與恢復(fù)也是數(shù)據(jù)庫的一個(gè)安全功能，它必須提供。4.3.3 網(wǎng)絡(luò)安全評(píng)估對(duì)于黑客的攻擊，除了被動(dòng)防御外，還應(yīng)做到主動(dòng)預(yù)防。為及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全漏洞，消除系統(tǒng)的安全管理隱患，可以在xx內(nèi)網(wǎng)部署漏洞掃描系統(tǒng)。漏洞掃描系統(tǒng)可以對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)及操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、應(yīng)用軟件（數(shù)據(jù)庫、中間件、web服務(wù)器）等進(jìn)行漏洞檢測(cè)，分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)

47、告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議，增強(qiáng)內(nèi)網(wǎng)的安全性。4.4 應(yīng)用安全4.4.1 病毒防護(hù)計(jì)算機(jī)病毒是指一種能使自己附加到目標(biāo)機(jī)系統(tǒng)文件上的程序。病毒的種類多種多樣，99年開始出現(xiàn)了作用于電子郵件系統(tǒng)的病毒。病毒通過自動(dòng)發(fā)送大量的包含病毒的垃圾郵件而導(dǎo)致網(wǎng)絡(luò)或郵件系統(tǒng)癱瘓。計(jì)算機(jī)網(wǎng)絡(luò)成為病毒傳播最快、最好的途徑。在xx信息系統(tǒng)網(wǎng)絡(luò)中，要充分利用原有的網(wǎng)絡(luò)防病毒系統(tǒng)，并建議在網(wǎng)關(guān)處部署硬件防病毒系統(tǒng)，。4.4.2 應(yīng)用開發(fā)xx信息系統(tǒng)網(wǎng)絡(luò)中有各種各樣的具體應(yīng)用，而要保護(hù)其應(yīng)用的安全性，并不是市場(chǎng)上的那些通用產(chǎn)品都能滿足，必須通過詳細(xì)了解、分析，進(jìn)行有針對(duì)性地開發(fā)，量體裁衣

48、，才能切實(shí)用得放心。4.5 信息安全4.5.1 加密傳輸要保護(hù)xx系統(tǒng)的重要數(shù)據(jù)在傳輸過程中不被泄露及篡改，保證數(shù)據(jù)的安全性，考慮對(duì)數(shù)據(jù)進(jìn)行加密。在xx信息系統(tǒng)的對(duì)外出口處配置vpn加密機(jī)，相關(guān)的分支機(jī)構(gòu)同樣配置對(duì)應(yīng)的vpn加密機(jī)或客戶端軟件。vpn加密機(jī)采用標(biāo)準(zhǔn)的ipsec協(xié)議設(shè)計(jì)的高安全性、高可靠性的產(chǎn)品。它實(shí)現(xiàn)了數(shù)據(jù)加密、數(shù)據(jù)完整性認(rèn)證、訪問控制以及審計(jì)等安全機(jī)制；它結(jié)合網(wǎng)絡(luò)訪問控制技術(shù)，抵抗各種外來攻擊；可有效保護(hù)信息的傳輸安全并防范對(duì)內(nèi)網(wǎng)的非法訪問和攻擊，如偵聽破譯、篡改報(bào)文、重發(fā)或少發(fā)報(bào)文、冒名頂替、非法訪問、旁路攻擊等等。為了減少設(shè)備投資費(fèi)用，我們可以考慮在防火墻上支持vpn加密

49、機(jī)的功能，使得用戶盡可能的以最小的投資達(dá)到最大的安全防護(hù)。4.5.2 信息鑒別保護(hù)數(shù)據(jù)的完整性、真實(shí)性、可靠性也是網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的一個(gè)重要方面。數(shù)據(jù)在傳輸過程中存在著被非法竊取、篡改的安全威脅。為了保證數(shù)據(jù)的完整性，就必須采用信息鑒別技術(shù)。身份認(rèn)證是信息鑒別的一種手段，它可以確認(rèn)用戶身份的真實(shí)性和可靠性。在xx網(wǎng)絡(luò)，可以建立統(tǒng)一的用戶管理平臺(tái)，采用統(tǒng)一的身份認(rèn)證機(jī)制，實(shí)現(xiàn)口令管理、用戶管理、用戶操作的安全。4.6 管理安全4.6.1 安全管理的組織體系為了有效地實(shí)現(xiàn)安全管理在整個(gè)信息安全建設(shè)中的作用，必須指定一定的組織體系，執(zhí)行安全管理的不同職能。策略規(guī)劃組織：為xx信息系統(tǒng)信息安全管理建設(shè)

50、制定詳細(xì)的安全策略。技術(shù)咨詢組織：為安全策略的制訂者、執(zhí)行者或者其他和安全相關(guān)的人員提供一定的技術(shù)咨詢服務(wù)。策略執(zhí)行組織：將安全策略真正的應(yīng)用到每一種資源上，并且針對(duì)與實(shí)際環(huán)境相矛盾的安全策略，或者存在安全缺口的策略提出相應(yīng)的解決方案。監(jiān)督組織：為所有組織人員授予一定的權(quán)利，并指定相關(guān)的責(zé)任，并監(jiān)督策略制定的進(jìn)度，策略的執(zhí)行情況等。緊急事件響應(yīng)組織：當(dāng)安全事件突發(fā)時(shí)，以最快的速度進(jìn)行響應(yīng)，通過各種審計(jì)或者檢測(cè)工具對(duì)突發(fā)事件進(jìn)行分析，及時(shí)提出緊急處理措施，和日后進(jìn)一步增強(qiáng)安全性的建議方案。以上為安全管理所建立的各種組織并不是獨(dú)立工作，各個(gè)組織之間為了有效的安全管理，必須進(jìn)行一定的溝通和協(xié)作。4.

51、6.2 安全管理制度在為和安全相關(guān)的某個(gè)人或者組織分配一定權(quán)利的同時(shí)，還要分配一定的責(zé)任，讓他們嚴(yán)格的執(zhí)行和安全相關(guān)的制度。安全制度主要的內(nèi)容包括：1、 為安全相關(guān)的組織或者人員分配一定的責(zé)任。2、 針對(duì)所有安全相關(guān)的組織和人員，如果因?yàn)橥婧雎毷?，沒有擔(dān)負(fù)相應(yīng)的責(zé)任，必須承擔(dān)一定的后果。3、 規(guī)定安全策略的制定周期，并監(jiān)督安全策略的制定進(jìn)程，安全策略的執(zhí)行情況。并規(guī)定每次安全策略修改時(shí)，需要遵守的制度。4、 規(guī)定各個(gè)部門或者組織之間為xx網(wǎng)絡(luò)安全建設(shè)所必須具備的協(xié)作關(guān)系和態(tài)度。5、人員出入重要安全域所需要遵守的制度。等等。4.6.3 安全事故處理和匯報(bào)1事件處理目標(biāo)安全事件處理的目標(biāo)是消除安全

52、事件威脅，避免和減少事件的損失，打擊非法入侵者，健全和改善信息系統(tǒng)的安全措施。2系統(tǒng)安全事件級(jí)別定義一般性網(wǎng)絡(luò)安全問題：影響范圍較小，信息安全的級(jí)別很低，可能產(chǎn)生的后果較小。嚴(yán)重網(wǎng)絡(luò)安全問題：影響范圍較大，或者安全級(jí)別較高，或者造成較嚴(yán)重的后果。3記錄系統(tǒng)安全事件及上報(bào)：各部門員工在遇到或懷疑發(fā)生網(wǎng)絡(luò)安全問題時(shí)，應(yīng)該第一時(shí)間報(bào)告到安全中心。員工在報(bào)告時(shí)，應(yīng)描述問題發(fā)生的地點(diǎn)、時(shí)間、事件經(jīng)過、已經(jīng)造成的損失、相關(guān)人員的聯(lián)系方式。并記錄下報(bào)告內(nèi)容，并及時(shí)告知報(bào)告人應(yīng)采取的措施。對(duì)于嚴(yán)重的網(wǎng)絡(luò)安全問題，應(yīng)迅速向安全中心報(bào)告。對(duì)于不能立即解決的安全問題，安全中心工作組應(yīng)及時(shí)組織其他信息安全機(jī)構(gòu)及相關(guān)部

53、門的業(yè)務(wù)人員進(jìn)行跟蹤、解決，對(duì)于嚴(yán)重程度較高的安全事件，通過成立安全問題應(yīng)急處理小組進(jìn)行解決，應(yīng)急小組在問題解決前應(yīng)盡快采取相應(yīng)應(yīng)急措施防止事件進(jìn)一步擴(kuò)大。在問題接收和處理過程中，接收人和處理負(fù)責(zé)人應(yīng)作好完整的過程記錄。4系統(tǒng)安全事件處理過程安全事件的處理分為五個(gè)步驟：保護(hù)日志、確定問題、控制局面、解決問題、系統(tǒng)恢復(fù)。 （1）保留日志所有安全事件都應(yīng)該有一份書面的經(jīng)過調(diào)查證明足夠客觀的日志，包括：發(fā)生的現(xiàn)象、時(shí)間、受影響的系統(tǒng)和網(wǎng)絡(luò)、相關(guān)人員等等，而且應(yīng)把日志妥善保存以免被篡改。 （2）確定問題通過網(wǎng)絡(luò)分析工具等，找出安全事件發(fā)生的途徑。 （3）控制局面通過隔離措施等等，將安全事件控制在最小范

54、圍之內(nèi)。并通知能夠?qū)Π踩珕栴}的處理作出決策相關(guān)的領(lǐng)導(dǎo)。 （4）解決問題通過更改系統(tǒng)安全配置、更新系統(tǒng)版本或者病毒查殺、安全掃描等措施來排除安全故障。 （5）系統(tǒng)恢復(fù)恢復(fù)系統(tǒng)的正常使用。5系統(tǒng)安全事件后處理在安全事件處理完畢，系統(tǒng)恢復(fù)正常后，應(yīng)針對(duì)事件進(jìn)行分析。集中所有相關(guān)人員來討論所發(fā)生的安全事件，對(duì)現(xiàn)有的相關(guān)流程進(jìn)行評(píng)審，對(duì)不適宜的策略進(jìn)行修改分析事件發(fā)生原因、評(píng)審相關(guān)流程、完善安全策略、彌補(bǔ)系統(tǒng)脆弱性、并追究相關(guān)人員的責(zé)任，加強(qiáng)安全管理制度。4.6.4 安全培訓(xùn)應(yīng)定期對(duì)相關(guān)人員進(jìn)行安全培訓(xùn)，提升安全管理人員的安全技能和操作水平，增強(qiáng)普通工作人員的安全意識(shí)。面向普通工作人員：培養(yǎng)他們的安全意

55、識(shí)，說明禁止下載陌生的文件，不要打開不熟悉的郵件，使用桌面病毒防護(hù)程序，并定期進(jìn)行更新的重要性。面向系統(tǒng)管理員的培訓(xùn)：熟悉并執(zhí)行安全策略，了解安全技術(shù)及產(chǎn)品的配置方法，能夠?qū)ν话l(fā)的安全事件作出及時(shí)響應(yīng)。面向領(lǐng)導(dǎo)人員的培訓(xùn)：加強(qiáng)安全意識(shí)與安全觀念，針對(duì)不同的需求做出相關(guān)信息安全建設(shè)的決策。4.7 網(wǎng)絡(luò)安全服務(wù)由于信息安全領(lǐng)域的技術(shù)具有涉及面廣、復(fù)雜程度高、變化快的特點(diǎn)，很多機(jī)構(gòu)、企業(yè)在如何抵御侵害、加強(qiáng)自身網(wǎng)絡(luò)安全方面面臨諸多困擾。一方面，機(jī)構(gòu)、企業(yè)缺乏精通網(wǎng)絡(luò)安全技術(shù)的專業(yè)人才，另一方面，也缺乏網(wǎng)絡(luò)系統(tǒng)安全維護(hù)的經(jīng)驗(yàn)。因此，專業(yè)化的網(wǎng)絡(luò)安全公司的技術(shù)咨詢和服務(wù)就顯得很有必要。專業(yè)性的網(wǎng)絡(luò)安全服

56、務(wù)公司可以為用戶提供長期、完整、全面的安全咨詢和服務(wù)，更好地滿足機(jī)構(gòu)、單位在發(fā)展的不同時(shí)期對(duì)網(wǎng)絡(luò)信息安全的不同需求，杜絕隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展給機(jī)構(gòu)、單位帶來的新的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)安全服務(wù)主要有：1、安全顧問咨詢 安全技術(shù)咨詢，安全問題解答 安全產(chǎn)品咨詢，安全產(chǎn)品推薦 系統(tǒng)安全評(píng)估，安全風(fēng)險(xiǎn)分析 安全需求分析，確定安全系統(tǒng)建設(shè)目標(biāo) 整體安全方案設(shè)計(jì)，安全系統(tǒng)規(guī)劃 安全事件咨詢，安全最新進(jìn)展通告 安全管理制度制定 安全技術(shù)交流，安全技術(shù)培訓(xùn)2、系統(tǒng)安全評(píng)估系統(tǒng)安全評(píng)估是評(píng)估客戶網(wǎng)絡(luò)系統(tǒng)安全現(xiàn)狀和安全強(qiáng)度的一種服務(wù)。各用戶的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)各不相同，因此其安全需求也不一樣。安全評(píng)估的目標(biāo)是對(duì)客戶的網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)、應(yīng)用等進(jìn)行充分的了解，根據(jù)實(shí)際情況，對(duì)用戶網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)做出診斷，并采用專門的掃描工具對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞檢測(cè)，及時(shí)確定網(wǎng)絡(luò)中的安全漏洞和薄弱環(huán)節(jié)，并在此基礎(chǔ)上，提供相應(yīng)的安全分析報(bào)告、切實(shí)有效的安全建議和安全策略。安全評(píng)估不僅在網(wǎng)絡(luò)建設(shè)的初期是必要的，同時(shí)隨著客戶網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)的不斷變化也要求客戶進(jìn)行新的安全評(píng)估。安全評(píng)估的主要內(nèi)容： 系統(tǒng)現(xiàn)狀分析客戶網(wǎng)絡(luò)系統(tǒng)環(huán)境調(diào)查、狀況分析，如：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，軟、硬件平臺(tái)，現(xiàn)有的安全措施、安全產(chǎn)品及安全管理制度等。 安全漏洞掃描采