計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)管理

1、第七章 計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)管理 教學(xué)內(nèi)容：7 1 計算機(jī)網(wǎng)絡(luò)安全7 2 網(wǎng)絡(luò)管理7 3 指揮自動化計算機(jī)網(wǎng)絡(luò)要求教學(xué)重點(diǎn)：計算機(jī)網(wǎng)絡(luò)安全教學(xué)難點(diǎn)：計算機(jī)網(wǎng)絡(luò)安全教學(xué)時間： 4 學(xué)時課程性質(zhì)： 計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)學(xué)科?；纠砟睿?網(wǎng)絡(luò)技術(shù)主要是以硬件和協(xié)議分析，以及相關(guān)的通 信技術(shù)，網(wǎng)絡(luò)互連和數(shù)據(jù)安全等各個方面的學(xué)習(xí)。教學(xué)思路： 是以計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的安全為主，為學(xué)生簡單介紹 常用的用于保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全的策略和算法，主要 是以實際應(yīng)用過程和方法為主。內(nèi)容目標(biāo)： 本章是要通過學(xué)習(xí)，使學(xué)生了解網(wǎng)絡(luò)安全的基礎(chǔ)知 識，特別是用于計算機(jī)安全的相關(guān)策略、應(yīng)用和特 點(diǎn)作出說明。實踐分析： 因為內(nèi)容和實際應(yīng)

2、用有一定的聯(lián)系，所以可以通過 實例分析和說明的方式更生動的講述相關(guān)內(nèi)容。問題思考： 對一些重要的內(nèi)容，對學(xué)生提出問題，使他們能夠 自己思考理解。具體問題： 1、網(wǎng)絡(luò)安全的威脅因素有哪些？2、網(wǎng)絡(luò)安全策略有哪些？3、密鑰密碼體制有幾種？4、防火墻實現(xiàn)技術(shù)有幾種？5、如果你要組建一個網(wǎng)絡(luò)，你會采用什么安全策 略。#第七章 計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)管理第一節(jié) 計算機(jī)網(wǎng)絡(luò)安全計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全和網(wǎng)絡(luò)管理在網(wǎng)絡(luò)中是十分重要的概 念。包括計算機(jī)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，數(shù)據(jù)加密技術(shù)中 DES和RS基 本概念以及防火墻技術(shù)等。一、網(wǎng)絡(luò)安全的威脅因素 威脅可分為兩種：對網(wǎng)絡(luò)中信息的威脅和對網(wǎng)絡(luò)中設(shè)備的 威脅。威脅網(wǎng)絡(luò)安全

3、的因素很多， 有些因素可能是人為的破壞， 也有的可能是非人為的失誤。網(wǎng)絡(luò)安全的威脅因素：(1) 物理破壞。 對于一個網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)絡(luò)設(shè)備可能會遇到諸如地 震、雷擊、 火災(zāi)、水災(zāi)等一類天災(zāi)的破壞， 以及由于設(shè)備被盜、 鼠咬、靜電燒毀等而引起的系統(tǒng)損壞。(2) 系統(tǒng)軟件缺陷。 網(wǎng)絡(luò)系統(tǒng)軟件，包括網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用程序等，不可能 百分之百的無缺陷和無漏洞。無論是 Windows或者UNIX都存 在或多或少的安全漏洞，這些漏洞恰恰是黑客進(jìn)行攻擊的首選 目標(biāo)。有些軟件公司的設(shè)計編程人員為了方便調(diào)試程序，在軟 件中設(shè)置了“后門”。(3) 人為失誤。 系統(tǒng)管理員在進(jìn)行網(wǎng)絡(luò)管理時，難免出現(xiàn)人為失誤。這些

4、人為失誤包括諸如對防火墻配置不當(dāng)而造成安全漏洞；用戶口 令選擇不慎或長期沒有變動；訪問權(quán)限設(shè)置不當(dāng)；內(nèi)部人員之間口令管理不嚴(yán)格，以及無意識的誤操作。(4) 網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。網(wǎng)絡(luò)攻擊可以 分為兩種：主動攻擊和被動攻擊。主動攻擊是以中斷、篡改、偽造等多種方式，破壞信息的 有效性和完整性，或冒充合法數(shù)據(jù)進(jìn)行欺騙，以至破壞整個網(wǎng) 絡(luò)系統(tǒng)的正常工作。被動攻擊則是在不影響網(wǎng)絡(luò)正常工作的情況下，通過監(jiān)聽、竊取、破譯等非法手段，以獲得重要的網(wǎng)絡(luò)機(jī)密信息。(5) 計算機(jī)病毒。如今網(wǎng)絡(luò)上傳播的計算機(jī)病毒，其傳播范圍更廣，破壞性 更大。病毒對網(wǎng)絡(luò)資源進(jìn)行破壞，干擾網(wǎng)絡(luò)的正常工作，甚至

5、 造成整個網(wǎng)絡(luò)癱瘓，破壞硬件。二、網(wǎng)絡(luò)安全的要素和安全等級1 網(wǎng)絡(luò)安全的要素網(wǎng)絡(luò)安全的要素涉及保密性、完整性、可用性、可控性和 可審查性。(1) 保密性：只有獲得授權(quán)的用戶才允許訪問數(shù)據(jù)，包括 顯示、打印。(2) 完整性：只有獲得授權(quán)的用戶才允許增加、刪除和修 改數(shù)據(jù)，即確保數(shù)據(jù)傳遞的一致性。(3) 可用性：獲得授權(quán)的合法用戶或進(jìn)程，只要需要就可 以隨時訪問相應(yīng)的數(shù)據(jù)。(4) 可控性：對授權(quán)范圍內(nèi)的信息可以對其流向及行為方 式進(jìn)行控制。(5) 可審查性：能對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù) 和手段。2 網(wǎng)絡(luò)安全的安全等級 為了判斷一個計算機(jī)系統(tǒng)的安全性是否得當(dāng)，幫助用戶解 決網(wǎng)絡(luò)安全問題，一些

6、組織各自制定了一套安全評估準(zhǔn)則。其 中國外一些重要的安全評估準(zhǔn)則有如下幾種：(1) 美國國防部(DOD)的可信計算機(jī)系統(tǒng)評估準(zhǔn)則 (TCSEC)。(2) 歐洲共同體的信息技術(shù)安全評測準(zhǔn)則 (ITSEC) 。(3) ISO 國際標(biāo)準(zhǔn)。(4) 美國聯(lián)邦標(biāo)準(zhǔn)。TCSEC 準(zhǔn)則將計算機(jī)的安全等級分為四類七級，由低到高 依次為D1、C1、C2 B1、B2、B3 A1。從D1到A1，對安全的 要求逐漸變得越來越苛刻，能夠得到的安全保障也越來越高， 但安全處理所需費(fèi)用也相應(yīng)提高。了解各級標(biāo)準(zhǔn)，有利于衡量 一個計算機(jī)平臺的安全性，包括系統(tǒng)硬件及其操作系統(tǒng)的安全 性，以及更好地防范各種安全風(fēng)險。TCSEC 準(zhǔn)則

7、中各級的名稱如下：Al ：可驗證安全設(shè)計級B3 ：安全域級B2 ：結(jié)構(gòu)化安全保護(hù)級B1 ：標(biāo)記安全保護(hù)級C2 ：受控訪問保護(hù)級C1 ：自主安全保護(hù)級D1 ：最低的保護(hù)級在上述七個級別中，A1和B3級是最高安全的等級。它們 經(jīng)得起程度不同的嚴(yán)格測試和攻擊，但成本也很高，只用于極 其重要的應(yīng)用。B2級和B1級屬于中等安全保護(hù)級別，可滿足 重要應(yīng)用的安全要求。目前，我國普遍應(yīng)用的計算機(jī)，其操作 系統(tǒng)大都是引進(jìn)國外的屬于 C1級和C2級產(chǎn)品。對于一般商業(yè) 環(huán)境中的操作系統(tǒng)，C2級安全保護(hù)已經(jīng)夠用了。常見的 MS-DOS、Windows3.xWindows 95（非工作組方式 ） 計算機(jī)系統(tǒng)屬于 Dl

8、級。三、網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全受到多方面的威脅，必需采用必要的安全策略， 以保證網(wǎng)絡(luò)正常運(yùn)行。下面介紹幾種常見的網(wǎng)絡(luò)安全策略：1 物理安全物理安全是指保護(hù)網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)服務(wù)器、工作站和 其他計算機(jī)設(shè)備等軟硬件實體，以及通信鏈路和配套設(shè)施，不 被人為破壞或免受自然災(zāi)害損害?！炯訌?qiáng)設(shè)備運(yùn)行環(huán)境的安全保護(hù)和嚴(yán)格安全管理制度】2 訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。其目的是保 護(hù)網(wǎng)絡(luò)資源不被非法使用和非法訪問。具體方法包括：(1) 身份認(rèn)證。 身份認(rèn)證是對用戶入網(wǎng)訪問時進(jìn)行身份識別。常用的技術(shù) 是驗證用戶的用戶名和口令 ( 密碼) ，只有全部確認(rèn)無誤，用戶 才能進(jìn)入網(wǎng)絡(luò)系統(tǒng)，否則系統(tǒng)將

9、拒絕。(2) 權(quán)限控制。 進(jìn)入系統(tǒng)的用戶被授予一定的操作權(quán)限。這些權(quán)限控制用 戶只能訪問某些目錄、文件和其它資源，并只能進(jìn)行指定的相 關(guān)操作，不能越權(quán)使用系統(tǒng)，因而可以防止造成系統(tǒng)的破壞或 者泄露機(jī)密信息。3 數(shù)據(jù)加密 數(shù)據(jù)加密技術(shù)是保證網(wǎng)絡(luò)安全的重要手段，具體實現(xiàn)技術(shù) 包括對稱性加密和非對稱性加密兩類。4 防火墻 防火墻技術(shù)是一種由軟、硬件構(gòu)成的安全系統(tǒng)。它設(shè)置在 外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間。通過一定的安全策略，可以抵御外 部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的非法訪問和攻擊。【包過濾和代理服務(wù)】四、數(shù)據(jù)加密技術(shù) 數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，由于網(wǎng)絡(luò)的不安全性，往往需要對 數(shù)據(jù)進(jìn)行加密，即將傳輸?shù)拿魑募用艹擅芪摹? 數(shù)據(jù)加

10、密模型數(shù)據(jù)加密技術(shù)中截馭若加密密鑰kt解雷議鑰kd數(shù)據(jù)加密過程中涉及到加密密鑰和解密密鑰，根據(jù)加密密 鑰和解密密鑰是否相同，常規(guī)密鑰密碼體制和公開密鑰密碼體制。【對稱性加密和非對稱性】2 .密鑰密碼體制(1) 常規(guī)密鑰密碼體制。常規(guī)密鑰密碼體制中，加密密鑰和解密密鑰是相同的，因 此又稱為對稱密鑰體制或單密鑰體制。在常規(guī)加密的模型中，輸入的信息包括明文和密鑰，經(jīng)加 密算法操作后將輸出密文?！具@種加密技術(shù)計算量小，加密效率高。安全地傳輸和管 理密鑰是一個比較困難的工作】常規(guī)密鑰密碼體制中的典型代表是計算機(jī)網(wǎng)絡(luò)中廣泛使用的 DES(Digital EncryptionStandard)算法。其保密性

11、主要取決于密鑰的保密程度。(2) 公開密鑰密碼體制。公開密鑰密碼體制中，加密密鑰和解密密鑰是不相同 的。其中加密密鑰是公開的，在網(wǎng)上公布，稱為“公用密鑰” ； 解密密鑰是保密的，由接收方妥善保管，稱為“私有密鑰” 。 因此這種密鑰體制又稱為非對稱密鑰體制或雙密鑰體制。公開 密鑰密碼體制的密鑰分配簡單，管理方便。也可以進(jìn)行數(shù)字簽名，可以保證數(shù)據(jù)完整性和不可否認(rèn) 性。這種情況下，發(fā)送方使用自己的私有密鑰對數(shù)據(jù)進(jìn)行加密， 接收方則使用發(fā)送方已公開的公用密鑰對該“數(shù)字簽名”施行 “解密”?！綬SA (Rivets Shamir Adlema n)算法】五、防火墻技術(shù) 防火墻技術(shù)被認(rèn)為是一種十分有效的防

12、止外部入侵的工 具。防火墻是一種隔離控制技術(shù)。設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng) 絡(luò)之間，通過監(jiān)測、限制某些數(shù)據(jù)的進(jìn)入或發(fā)出，盡可能地對 外屏蔽網(wǎng)絡(luò)內(nèi)部的信息?？梢宰柚雇獠烤W(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的非法訪問，防止內(nèi)部信息 資源泄露、竊取和篡改，并且可以阻止內(nèi)部信息從網(wǎng)絡(luò)非法輸 出?！静捎梅舛露丝诘姆绞健糠阑饓κ且环N被動防衛(wèi)技術(shù)，防止非法用戶入侵內(nèi)部網(wǎng) 絡(luò)，對內(nèi)部的非法訪問難以有效地控制。防火墻是在內(nèi)部網(wǎng)絡(luò) Interanet 和外部網(wǎng)絡(luò) Internet 之 間建立一道安全屏障。1 防火墻的實現(xiàn)技術(shù)包括包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。 包過濾(Packet Filter) 。包過濾技術(shù)中使用的主要設(shè)備是帶有包過濾功能的

13、路由 器或者是使用軟件進(jìn)行包過濾的主機(jī)。通過在路由器上設(shè)置過 濾規(guī)則，檢查數(shù)據(jù)包中的源IP地址、目的IP地址、源TCP端 口號、目的TCP端口號和TCP鏈路狀態(tài)等信息。路由器能進(jìn)行 路由選擇，在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行有選擇地通過或阻斷。規(guī)則鼻TP地址冃的IP地址功作AI34.LI.O尤許B拒絕C允許A 規(guī)則表示允許 網(wǎng)絡(luò)訪問 網(wǎng)絡(luò)。 B規(guī)則表示拒絕網(wǎng)絡(luò)訪問網(wǎng)絡(luò)。C規(guī) 則表示允許 網(wǎng)絡(luò)訪問0 號主機(jī)。包過濾技術(shù)在網(wǎng)絡(luò)層實現(xiàn)，具有處理速度快，對用戶透明的優(yōu)點(diǎn)。但是配置繁瑣，維護(hù)

14、比較困難，而且阻止外部IP欺騙的能力差，因此難于防范人為攻擊。(2) 應(yīng)用級網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾。應(yīng)用級網(wǎng)關(guān)防火墻控制著對應(yīng)用程序的訪 問，即允許或阻止某些應(yīng)用程序訪問其他應(yīng)用程序，在應(yīng)用層 上實現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)。同時，還對數(shù)據(jù)包進(jìn)行必要的分析和 統(tǒng)計。目前常用的應(yīng)用網(wǎng)關(guān)技術(shù)是代理服務(wù)（Proxy Server）。代 理服務(wù)是運(yùn)行在專用工作站（雙重宿主主機(jī)）上的專用應(yīng)用級 程序。這種程序使所有外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的通信鏈路分為兩段。由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)應(yīng)用層的“鏈接”變成了兩個終 止于代理服務(wù)的“鏈接”，因而成功地實現(xiàn)了防火

15、墻的隔離功外部網(wǎng)絡(luò) 應(yīng)用麗務(wù)器代理雎務(wù)器應(yīng)用網(wǎng)關(guān)社理噩務(wù)程序內(nèi)韶兩堵 工作站代理服務(wù)包括服務(wù)器端程序和客戶端程序。對于內(nèi)部網(wǎng)絡(luò) 的客戶來說，它是一臺服務(wù)器，而對于外部網(wǎng)絡(luò)的服務(wù)器來說， 它是一臺客戶機(jī)。這種代理服務(wù)都是針對特定的應(yīng)用層服務(wù) 的，允許或拒絕特定的應(yīng)用程序。代理工作時，內(nèi)部網(wǎng)絡(luò)客戶首先與代理服務(wù)器建立連接， 經(jīng)過代理確認(rèn)合法后，代理服務(wù)器再與外部網(wǎng)絡(luò)服務(wù)器建立連 接。應(yīng)用網(wǎng)關(guān)代理是目前認(rèn)為最安全的防火墻技術(shù)。從上面的 分析來看，它具有如下優(yōu)點(diǎn)：1）將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離，起到屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和11信息的作用，例如屏蔽內(nèi)部網(wǎng)絡(luò)的 IP 地址。2) 可實現(xiàn)較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄

16、和報告等功能。3) 針對特定應(yīng)用協(xié)議的過濾規(guī)則變得相對簡單，并能達(dá)到 更高程度的安全性要求。但是由于應(yīng)用網(wǎng)關(guān)代理工作在應(yīng)用層，將導(dǎo)致網(wǎng)絡(luò)整體性 能下降。同時應(yīng)用代理是針對特定應(yīng)用的，新的應(yīng)用協(xié)議必須 開發(fā)新的應(yīng)用代理，以致于程序開發(fā)工作量大。2 防火墻的結(jié)構(gòu) 包過濾路由器和應(yīng)用級網(wǎng)關(guān)是防火墻的兩種基本技術(shù)。它 們各自有自己的優(yōu)缺點(diǎn)。常見的防火墻結(jié)構(gòu)包括包過濾路由器、雙宿主主機(jī)防火 墻，以及基于包過濾和代理服務(wù)技術(shù)結(jié)合而形成的屏蔽式主機(jī) (Screened Host) 防火墻和屏蔽式子網(wǎng) (Screened Subnet) 防 火墻。(1) 包過濾路由器。 這種防火墻是將外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通過一

17、個包過濾路 由器連接起來。包過濾路由器除完成路由功能以外，還利用其 上的過濾規(guī)則，實現(xiàn)防火墻功能。這是一種常見的最簡單的防 火墻。#主機(jī)(2) 雙宿主主機(jī)。雙宿主主機(jī)是指一臺安裝了兩塊網(wǎng)絡(luò)接口卡(NIC)的主#機(jī)，其中一塊網(wǎng)卡連接外部網(wǎng)絡(luò)，另一塊連接內(nèi)部網(wǎng)絡(luò)，每塊 網(wǎng)卡上都有一個IP地址。雙宿主主機(jī)運(yùn)行代理軟件而構(gòu)成代理服務(wù)器時，同時要求 關(guān)閉操作系統(tǒng)的IP路由功能。此時，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的 通信完全由防火墻的代理服務(wù)程序進(jìn)行轉(zhuǎn)發(fā)。(3) 屏蔽式主機(jī)。屏蔽式主機(jī)防火墻系統(tǒng)由一臺包過濾路由器和一臺“堡壘主機(jī)”組成。包過濾路由器與外部網(wǎng)絡(luò)In ternet 相聯(lián)，堡壘主 機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，如圖

18、7-5所示。ntemet由部轉(zhuǎn)膳包過攏幅由器 1理組主機(jī)：屏蔽式主機(jī)防火墻系統(tǒng)所謂堡壘主機(jī)是指采取了相應(yīng)的保護(hù)措施，可以防御外界 進(jìn)攻的，形如“堡壘”的計算機(jī)。這種主機(jī)位于內(nèi)部網(wǎng)絡(luò)之上。通常，運(yùn)行通用的操作系統(tǒng)和代理程序，為內(nèi)部網(wǎng)絡(luò)主機(jī)提供 代理服務(wù)。包過濾路由器只允許堡壘主機(jī)和外部網(wǎng)絡(luò)通信，使堡壘主 機(jī)成為外部網(wǎng)絡(luò)所能達(dá)到的惟一結(jié)點(diǎn)。并且通過其上設(shè)立的過 濾規(guī)則，控制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信，從而確保內(nèi)部 網(wǎng)絡(luò)不受未授權(quán)者的外部攻擊。(4) 屏蔽式子網(wǎng)。通過建立一個屏蔽式子網(wǎng)將外部網(wǎng)絡(luò)In ternet和內(nèi)部網(wǎng) 絡(luò)分開。屏蔽式子網(wǎng)由兩臺包過濾路由器和一臺堡壘主機(jī)構(gòu) 成。一臺路由器和外部網(wǎng)

19、絡(luò)相連，稱為外部路由器；另一臺與 內(nèi)部網(wǎng)絡(luò)相連，稱為內(nèi)部路由器。屏蔽式子網(wǎng)中不僅可以有堡 壘主機(jī)，還可以包括 WW服務(wù)器、FTP服務(wù)器等，如圖7-6所示。防屏蔽式子網(wǎng)防火墻系統(tǒng)由于屏蔽式子網(wǎng)可以構(gòu)成一個禁止穿行區(qū)，即外部網(wǎng)絡(luò)和 內(nèi)部網(wǎng)絡(luò)均可訪問屏蔽式子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)進(jìn)行 通信，因此屏蔽式子網(wǎng)又稱為非軍事區(qū)（DMZ），保護(hù)內(nèi)部網(wǎng)絡(luò) 不受到安全威脅。15第二節(jié) 網(wǎng)絡(luò)管理為了使計算機(jī)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)，各種網(wǎng)絡(luò)資源高效利用，并 能及時報告和處理網(wǎng)絡(luò)故障，必須采用高效的網(wǎng)絡(luò)管理系統(tǒng)對 網(wǎng)絡(luò)進(jìn)行管理。二、網(wǎng)絡(luò)管理功能在OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中，網(wǎng)絡(luò)管理功能分為5個基本模塊：(1) 配置管理模塊，完成定

20、義和刪除網(wǎng)絡(luò)資源，監(jiān)測和控 制網(wǎng)絡(luò)資源的活動狀態(tài)和相互關(guān)系等。(2) 故障管理模塊，完成對故障的檢測、診斷、恢復(fù)，對 資源運(yùn)行的跟蹤，差錯報告和分析等。(3) 性能管理模塊，持續(xù)收集網(wǎng)絡(luò)性能數(shù)據(jù)，評判網(wǎng)絡(luò)系 統(tǒng)的主要性能指標(biāo)，以檢驗網(wǎng)絡(luò)服務(wù)水平，并作預(yù)測分析，發(fā) 現(xiàn)潛在問題等。(4) 安全管理模塊，利用多種安全措施，如權(quán)限設(shè)置、安 全記錄、密鑰分配等，以保證網(wǎng)絡(luò)資源的安全。(5) 計費(fèi)管理模塊，根據(jù)用戶使用網(wǎng)絡(luò)資源的情況，按照一 定的計費(fèi)方法，自動進(jìn)行費(fèi)用核收。二、簡單網(wǎng)絡(luò)管理協(xié)議 (SNMP)目前， Internet 上廣泛使用的一種網(wǎng)絡(luò)管理協(xié)議是簡單網(wǎng) 絡(luò)管理協(xié)議 (SNMP)。SNMP建

21、立在TCP/IP協(xié)議簇中的UDP協(xié)議之上，提供無連接服務(wù)。盡管這是一種不可靠的服務(wù)， 但保證了信息快速傳遞。SNM模型由3部分組成：管理進(jìn)程(Manager)、管理代理(Agent) 和管理信息庫 (MIB) 。1 管理進(jìn)程 管理進(jìn)程處于管理模型的核心。它是一組運(yùn)行于網(wǎng)絡(luò)管理中心主機(jī)上的軟件程序。它可以在 SNMP勺支持下，通過管理 代理來對各種資源執(zhí)行監(jiān)測、配置等管理操作。管理進(jìn)程可以 通過圖形介面顯示網(wǎng)絡(luò)中各管理代理的配置及其它網(wǎng)絡(luò)信息， 為管理人員管理網(wǎng)絡(luò)提供方便。2 管理代理 管理代理是運(yùn)行在被管理設(shè)備中的軟件。網(wǎng)絡(luò)中被管理的設(shè)備可以是主機(jī)、 路由器、集線器等。 它監(jiān)視設(shè)備的工作狀態(tài)、

22、 使用狀況等，并收集相關(guān)網(wǎng)絡(luò)管理信息。這些信息都存儲在管 理信息庫 (MIB) 中。每一個管理代理都擁有一個包含代管設(shè)備 相關(guān)信息的本地管理信息庫。在管理進(jìn)程的指令下，管理代理 一方面從MIB中讀取信息提交給管理進(jìn)程，另一方面修改 MIB 中的信息。3 管理信息庫 管理信息庫包括的數(shù)據(jù)項因管理設(shè)備不同而不同，例如一個 路由器的管理信息可能包括關(guān)于路由選擇表的信息。每個管理 代理，管理MIB中屬于本地的管理對象。各管理代理控制的被 管理對象共同構(gòu)成全網(wǎng)的管理信息庫。19SNMP管理模型第三節(jié) 指揮自動化計算機(jī)網(wǎng)絡(luò)安全要求一、范圍1. 主題內(nèi)容和適用范圍(1) 本標(biāo)準(zhǔn)規(guī)定了全軍指揮自動化計算機(jī)網(wǎng)絡(luò)

23、在實體、網(wǎng) 絡(luò)和管理等方面的安全要求(未涉及可靠性安全要求)?？勺?為論證、招標(biāo)、研制、驗收和應(yīng)用的基本依據(jù)。其它計算機(jī)網(wǎng) 絡(luò)，特別是國家重點(diǎn)要害部門的計算機(jī)網(wǎng)絡(luò)也可參照采用。(2) 本標(biāo)準(zhǔn)適用于指揮自動化廣域網(wǎng)和局域網(wǎng)。 二、引用文件GB 2887 計算站場地技術(shù)要求GB 4943 數(shù)據(jù)處理設(shè)備的安全GB 9361 計算站場地安全要求GJB 141.1 用于數(shù)據(jù)傳輸?shù)囊话銓Ｓ脴?biāo)準(zhǔn)電話電路特性GJB 141.2 用于數(shù)據(jù)傳輸?shù)膬?yōu)質(zhì)專用標(biāo)準(zhǔn)電話電路特性GJB 148 數(shù)據(jù)傳輸質(zhì)量維護(hù)極限及維護(hù)標(biāo)準(zhǔn)GJB 151 軍用設(shè)備和分系統(tǒng)電磁發(fā)射和敏感度要求GJB 663 軍用通信系統(tǒng)、設(shè)備安全要求三、定

24、義1. 信息破壞由于偶然事故或人為因素而破壞信息的正確性、完整性和 可用性。2. 網(wǎng)絡(luò)實體計算機(jī)網(wǎng)絡(luò)中各類設(shè)備（包括節(jié)點(diǎn)機(jī)設(shè)備、通信設(shè)備、終 端設(shè)備、存儲設(shè)備、電源系統(tǒng)等）以及為此服務(wù)的其他硬件設(shè) 備的總稱。3. 計算機(jī)病毒 依附在計算機(jī)程序中的一種可以繁衍的程序。它象生物病 毒一樣使計算機(jī)程序感染 , 并在計算機(jī)網(wǎng)絡(luò)中再生和擴(kuò)散，造 成其紊亂或癱瘓。4. 最小特權(quán) 在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體（用戶或進(jìn)程） 必不可少的特權(quán)。5. 主動威脅 非法占用網(wǎng)絡(luò)處理信息、侵入文件、修改程序，造成在錯 誤狀態(tài)下運(yùn)行。6. 被動威脅 當(dāng)網(wǎng)絡(luò)正常運(yùn)行時，由于系統(tǒng)單元暴露或輸入輸出等管理 不嚴(yán)造成信息

25、泄露或被非法截取而產(chǎn)生的威脅。7. 實體安全（物理安全） 為確保網(wǎng)絡(luò)在信息的采集、處理、傳輸、存儲過程中，不 致受到人為或自然因素的危害，而對網(wǎng)絡(luò)設(shè)備、設(shè)施、環(huán)境、 人員等所采取的安全措施。8. 災(zāi)難事件 因人為或自然災(zāi)害造成的涉及全局的一時難以恢復(fù)的破 壞性事件。四、一般要求1. 目標(biāo) 網(wǎng)絡(luò)安全設(shè)計應(yīng)與論證、招標(biāo)、研制、驗收和應(yīng)用工作同 步進(jìn)行，并根據(jù)需求，分階段、分層次逐步實施和完善，以達(dá) 到如下目標(biāo)：a. 保證網(wǎng)絡(luò)正常運(yùn)行，避免各種非故意的錯誤與損失；b. 保證信息的正確性、完整性和可用性，防止網(wǎng)絡(luò)及數(shù)據(jù) 遇到偶然的、被動的和主動的威脅，以及自然災(zāi)害的破壞；c. 對影響網(wǎng)絡(luò)的意外事故具有

26、應(yīng)急措施。2. 基本原則(1) 特權(quán)分散原理 把實現(xiàn)某一重要功能的特權(quán)分散給若干個程序、節(jié)點(diǎn)或用 戶，必須由規(guī)定的若干個具有特權(quán)的程序、節(jié)點(diǎn)或用戶到齊后 才能實現(xiàn)該功能。(2) 最小特權(quán)原理 應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小 特權(quán)，確?？赡艿氖鹿?、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的 損失最小。(3) 安全控制和對象的獨(dú)立性 安全控制的設(shè)計、實現(xiàn)和操作應(yīng)隔離。(4) 分割和分區(qū)化 對網(wǎng)絡(luò)中受保護(hù)的內(nèi)容分割成幾個部分，并分別加以保 護(hù)。(5) 參數(shù)化安全控制設(shè)計應(yīng)參數(shù)化，以便授權(quán)時加以調(diào)節(jié)。(6) 隱蔽 對工作人員和受控對象(用戶)隱蔽控制手段及其操作詳 情。(7) 經(jīng)濟(jì)性 對網(wǎng)絡(luò)中須保密的設(shè)備，采

27、用經(jīng)濟(jì)有效的控制設(shè)計達(dá)到要 求。所占資源應(yīng)少于系統(tǒng)資源的 10%。(8) 安全形象 全網(wǎng)絡(luò)在用戶和公眾面前應(yīng)具有完整的安全形象。3. 基本要求(1) 應(yīng)具有對全網(wǎng)網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置及網(wǎng)絡(luò)參數(shù)的統(tǒng)一 管理，監(jiān)督與控制功能。(2) 對網(wǎng)絡(luò)實體的環(huán)境安全、電磁干擾和輻射的保護(hù)應(yīng)有 安全措施。(3) 網(wǎng)絡(luò)系統(tǒng)應(yīng)有技術(shù)安全手段，確保數(shù)據(jù)傳輸、交換、 存儲處理及通信控制的安全。(4) 網(wǎng)絡(luò)應(yīng)具有計算機(jī)病毒的預(yù)防措施。(5) 對災(zāi)難性事件應(yīng)有應(yīng)急措施。(6) 網(wǎng)絡(luò)應(yīng)具有必要的冗余度和降級處理能力。(7) 網(wǎng)絡(luò)安全設(shè)施的接口設(shè)備應(yīng)方便用戶并實現(xiàn)透明操 作。(8) 網(wǎng)絡(luò)應(yīng)具有承受允許的最嚴(yán)重錯誤的能力。(9)

28、在確保安全的前提下應(yīng)充分發(fā)揮資源共享的效能。(10) 網(wǎng)絡(luò)應(yīng)采取多重安全控制手段。每個安全控制手段均 能產(chǎn)生充分的證據(jù)，以表明所完成操作的正確性。(11) 網(wǎng)絡(luò)應(yīng)登記用戶進(jìn)入網(wǎng)絡(luò)的各種活動，以提供事后檢 查。(12) 存取控制應(yīng)是逐級授權(quán)的。網(wǎng)絡(luò)在為授權(quán)用戶提供合 法服務(wù)的同時，應(yīng)具有拒絕非法訪問的功能。(13) 應(yīng)具有監(jiān)視和控制網(wǎng)絡(luò)負(fù)載狀態(tài)的功能，以防止其崩 潰和癱瘓。五、詳細(xì)要求1. 實體安全(物理安全)威脅實體安全的具體表現(xiàn)如下：a. 人為破壞；b. 各種自然災(zāi)害；c. 各類媒體失竊和散失；d. 設(shè)備故障；e. 環(huán)境和場地因素；f. 電磁發(fā)射及敏感度；g. 戰(zhàn)爭的破壞等。(1) 網(wǎng)絡(luò)節(jié)點(diǎn)

29、場地環(huán)境安全要求網(wǎng)絡(luò)節(jié)點(diǎn)中心應(yīng)設(shè)專用機(jī)房，裝備空調(diào)、在線式不間斷供 電電源、報警、防水、防盜、防鼠和消防設(shè)備以及電磁防護(hù)、 接地及避雷裝置。1）設(shè)計或改建網(wǎng)絡(luò)節(jié)點(diǎn)機(jī)房時必須符合 GB2887和GB9361 的規(guī)定。2）網(wǎng)絡(luò)節(jié)點(diǎn)機(jī)房建筑和結(jié)構(gòu)還應(yīng)注意下列問題：a. 宜為專用建筑；b. 在電梯或樓梯應(yīng)設(shè)置不能直接進(jìn)入機(jī)房的場所；c. 應(yīng)與外部人員頻繁出入的場所隔離；d. 周圍應(yīng)設(shè)有防止非法進(jìn)入的設(shè)施；e. 建筑物周圍應(yīng)有足夠照度的照明設(shè)施；f. 外部容易接近的窗口應(yīng)采取防范措施。無人值守時應(yīng)有 自動報警設(shè)備；g. 應(yīng)只有一個出入口，并在合適的位置上開設(shè)應(yīng)急出入 口，作為應(yīng)急疏散通道。出入口處均應(yīng)安

30、裝出入控制裝置；h. 內(nèi)部設(shè)計應(yīng)便于出入控制和分區(qū)控制。3）安全設(shè)備除符合GB9361規(guī)定外，還應(yīng)滿足下列要求：a. 機(jī)房進(jìn)出口須設(shè)置應(yīng)急電話；b. 各房間應(yīng)有聲光報警裝置；c. 進(jìn)出口應(yīng)派警衛(wèi)或設(shè)置識別與記錄進(jìn)出人員的設(shè)備及 防范措施；d. 機(jī)房內(nèi)用于動力、照明的供電線路應(yīng)與計算機(jī)系統(tǒng)的供 電線路分開；e. 機(jī)房內(nèi)不同電壓的供電系統(tǒng)應(yīng)安裝互不兼容的插座； f. 應(yīng)配備溫、濕度自動記錄儀及溫、濕度報警設(shè)備和碎紙機(jī)；g. 機(jī)房及疏散通道須配備應(yīng)急照明裝置（ 5 勒克斯）。（2）網(wǎng)絡(luò)終端場地環(huán)境安全要求1）終端室的環(huán)境a. 應(yīng)具備適當(dāng)?shù)耐L(fēng)和空調(diào)；b. 應(yīng)清潔無塵；c. 應(yīng)具備防靜電措施；d. 應(yīng)

31、設(shè)置溫、濕度計、吸塵器以及碎紙機(jī)；e. 終端宜采取屏蔽措施，如屏蔽罩等；f. 處理密級數(shù)據(jù)的遠(yuǎn)程終端應(yīng)放置在相應(yīng)的安全環(huán)境中。2）終端室電源防護(hù)應(yīng)根據(jù)需要選用離線式或在線式不間 斷供電電源。3）防火、防煙、防水和防鼠害a. 應(yīng)設(shè)置滅火器，并根據(jù)需要安裝火災(zāi)探測器；b. 將當(dāng)?shù)叵狸犽娫捥柎a張貼在電話機(jī)附近；c. 定期檢查火災(zāi)探測設(shè)備或滅火器以及水敏傳感器，并保 存這類檢查的書面報告。d. 指定并訓(xùn)練人員擔(dān)任撲滅小火或悶燃火災(zāi)的消防員；e. 終端室嚴(yán)禁吸煙；f. 禁止使用延伸接線盒和多通電源插座；g. 機(jī)房窗簾使用阻燃材料制作；h. 應(yīng)有應(yīng)急供電的備用照明；i. 設(shè)備不得緊靠墻壁放置；j. 在設(shè)

32、備周圍不要堆積大量紙張，以免堵住設(shè)備的通風(fēng) 孔；25k. 設(shè)備上嚴(yán)禁放置無關(guān)物品；l. 終端室不要有水管、蒸汽管道通過天花板；m. 如果終端室屋頂有水塔或冷卻器，必須采用防護(hù)裝置；n. 每臺設(shè)備應(yīng)配置防水罩；o. 在易受鼠害的場所，電纜和電線上應(yīng)涂驅(qū)鼠藥劑；.應(yīng)設(shè)置捕鼠和驅(qū)鼠裝置。4）防盜a. 采用特殊門鎖；b. 每個設(shè)備都應(yīng)附有標(biāo)簽或標(biāo)記；.應(yīng)設(shè)警報器；d. 可采用錨式鎖固定終端設(shè)備；e. 可在終端上加裝鎖式電源開關(guān)；f. 如果用戶不愿在設(shè)備上打孔安裝鎖或開關(guān)，可在靠近終 端處安裝獨(dú)立的鎖式電源開關(guān)。開關(guān)的導(dǎo)線應(yīng)聯(lián)至電源插座， 終端電源線聯(lián)到開關(guān)。（3）網(wǎng)絡(luò)通信系統(tǒng)安全要求1）網(wǎng)絡(luò)通信系統(tǒng)安

33、全應(yīng)符合 GJB663規(guī)定。2）網(wǎng)絡(luò)通信系統(tǒng)傳輸線路的安全應(yīng)注意下列問題：a. 傳輸線路應(yīng)符合標(biāo)準(zhǔn)。用于數(shù)據(jù)傳輸?shù)碾娫掚娐诽匦詰?yīng)符合GJB147.1和GJB147.2。定期檢查各線段及接點(diǎn)，更換老化變質(zhì)的電纜；b. 傳輸線路應(yīng)采用屏蔽電纜并有露天保護(hù)或埋于地下，要 求遠(yuǎn)離強(qiáng)電線路或強(qiáng)電磁場發(fā)射源，以減少由于干擾引起的數(shù) 據(jù)錯誤；c. 鋪設(shè)電纜應(yīng)采用金屬鎧裝、屏蔽電纜或加裝金屬套管， 以減少各種監(jiān)控輻射對線路的干擾；d. 加裝中和變壓器、屏蔽變壓器和絕緣變壓器；e. 宜采用光纖電纜；f. 定期測試信號強(qiáng)度，檢查是否有非法裝置接入線路；g. 定期檢查接線盒及其它易被人接近的線路部位；h. 調(diào)制解調(diào)

34、器應(yīng)放置在受監(jiān)視的區(qū)域，以防止外來連接的 企圖。調(diào)制解調(diào)器的連接應(yīng)定期檢驗， 以檢驗是否有篡改行為(4) 電磁兼容和防護(hù)1) 網(wǎng)絡(luò)設(shè)備的電磁兼容，按 GJB151有關(guān)規(guī)定限值選用。2) 要防止電磁輻射被截收。a. 入網(wǎng)設(shè)備必須符合 GJB151規(guī)定；b. 重要場合應(yīng)對機(jī)房進(jìn)行屏蔽；c. 可采取區(qū)域控制的辦法；d. 采取主動有源干擾等技術(shù)；e. 機(jī)房宜設(shè)在地下室或底層。3) 網(wǎng)絡(luò)通信系統(tǒng)必須具有防止電磁干擾和泄漏的措施。(5) 記錄媒體的保護(hù)(1) 載有關(guān)鍵性程序、主記錄、設(shè)備分配圖表、加密算法、 密鑰等記錄媒體應(yīng)按其密級及其產(chǎn)生的難易程序分級管理和 保護(hù)。(2) 載有關(guān)鍵記錄的磁盤、磁帶等磁媒

35、體應(yīng)加防磁場保護(hù) 措施，必要時需進(jìn)行備份保護(hù)。2. 網(wǎng)絡(luò)系統(tǒng)安全(1) 信息傳輸安全a. 密級信息到達(dá)終點(diǎn)之前，嚴(yán)禁呈現(xiàn)明文狀態(tài)；b. 傳輸密級信息時必須進(jìn)行網(wǎng)絡(luò)加密，如鏈路加密、節(jié)點(diǎn) 加密和用戶加密等；c. 為保證密級數(shù)據(jù)的安全傳遞，網(wǎng)絡(luò)節(jié)點(diǎn)機(jī)宜有備份；d. 不傳送信息時接口應(yīng)阻斷；e. 設(shè)置辯認(rèn)正當(dāng)通信伙伴的功能；f. 用撥號線能接觸網(wǎng)絡(luò)時，撥號碼應(yīng)予以保護(hù)。同時保密 信息不宜存放在節(jié)點(diǎn)機(jī)內(nèi)。(2) 鑒別1) 為了防止非法修改節(jié)點(diǎn)機(jī)中的通行字表，應(yīng)具備鑒別用 戶通行字真實性的能力；2) 對用戶密鑰應(yīng)鑒別；3) 在數(shù)據(jù)通信中，應(yīng)有驗證接收到的數(shù)據(jù)是否真實的能 力；4) 應(yīng)能識別非法入網(wǎng)的終端

36、和用戶。遇有多次不成功的聯(lián) 機(jī)嘗試時，應(yīng)及時記錄并分析結(jié)果，采取相應(yīng)的處理。（3）輸入輸出控制1）明確網(wǎng)絡(luò)系統(tǒng)各環(huán)節(jié)工作人員的職責(zé)a. 設(shè)計人員與操作人員必須分離；b. 重要事務(wù)處理項目，必須由法定人辦理；c. 工作期間至少應(yīng)有二人在場，以防止非法使用網(wǎng)絡(luò)；d. 必須保存控制臺打印記錄。2）制訂統(tǒng)一的數(shù)據(jù)格式并使用標(biāo)準(zhǔn)編碼。3）操作控制a. 對特定的終端設(shè)備，應(yīng)采用通行字、卡片、識別碼、鑰 匙等辦法限定操作人員。b. 操作人員操作應(yīng)符合有關(guān)操作規(guī)程和輸入/輸出數(shù)據(jù)處 理的規(guī)定；c. 應(yīng)建立良好的人機(jī)操作環(huán)境，以減少失誤；d. 處理密級數(shù)據(jù)的各終端應(yīng)予隔離。4）數(shù)據(jù)在投入使用前，必須確保其準(zhǔn)確可

37、靠。5）輸出控制a. 各業(yè)務(wù)部門終端數(shù)據(jù)輸出控制應(yīng)有專人負(fù)責(zé)；b. 輸出文件必須有明顯的、可讀的密級標(biāo)志；c. 輸出文件的發(fā)放應(yīng)按規(guī)定生成所申請數(shù)量的拷貝。網(wǎng)上 傳輸文件，收方應(yīng)給回執(zhí)；d. 打印過保密數(shù)據(jù)的色帶，應(yīng)妥善保管或銷毀。6）內(nèi)存的殘留信息應(yīng)及時清除，以防止引起信息泄漏。297）設(shè)備無人值守運(yùn)行時，應(yīng)切實地對運(yùn)行狀態(tài)進(jìn)行監(jiān)視、控制及記錄。如運(yùn)行狀態(tài)的監(jiān)視、運(yùn)行控制、記錄運(yùn)行狀態(tài)。8）在互通的計算機(jī)系統(tǒng)之間，建立能檢查判斷對方是否正 常工作的功能。9）應(yīng)具有檢測不正當(dāng)使用和非法存取的監(jiān)視 （記錄）功能。 如存取監(jiān)視功能、 控制臺記錄功能、 系統(tǒng)使用狀況記錄功能等。10）對不設(shè)在專用機(jī)房

38、的計算機(jī)，應(yīng)采取下列措施以預(yù)防 程序及數(shù)據(jù)不正當(dāng)使用的更改。a. 下線的計算機(jī)不應(yīng)保存重要的程序及數(shù)據(jù)文件；b. 上線時應(yīng)對重要程序及數(shù)據(jù)文件進(jìn)行必要的檢測，以避 免不正當(dāng)更改；c. 對上線計算機(jī)應(yīng)設(shè)置監(jiān)視功能，以對不正當(dāng)輸入及事件 進(jìn)行檢查。（4）聯(lián)網(wǎng)處理聯(lián)網(wǎng)時不得影響互聯(lián)雙方原有的安全性。（5）密碼保護(hù)1）密碼算法的設(shè)計、研制、投入使用必須報請密碼主管部 門批準(zhǔn)，并由指定的密碼研制單位研制生產(chǎn)。2）網(wǎng)絡(luò)應(yīng)根據(jù)劃分的密級處理相應(yīng)的信息。密碼算法的保 密強(qiáng)度必須與被保護(hù)信息的密級相適應(yīng)，嚴(yán)禁在低密級環(huán)境中 處理、傳輸、存儲高密級信息。3）網(wǎng)絡(luò)的關(guān)鍵程序、密碼算法、密鑰等軟件數(shù)據(jù)，必須受 到保密

39、保護(hù)或其它形式的有效保護(hù)。but there are still some 304) 用于鏈路加密、 節(jié)點(diǎn)加密、終端加密的算法要相互分割。5) 不同系統(tǒng)間的密碼體制既要相互分割，又要能保證系統(tǒng) 間通信。6) 在緊急情況下，密鑰受到意外破壞時的恢復(fù)等問題，要 有妥善可行的應(yīng)急措施。3. 計算機(jī)病毒的預(yù)防(1) 不要用非發(fā)行包軟盤引導(dǎo)系統(tǒng)。(2) 基于軟盤的計算機(jī)，應(yīng)使用確認(rèn)無病毒的磁盤啟動系 統(tǒng)，該盤應(yīng)貼上作為系統(tǒng)引導(dǎo)盤的標(biāo)簽。(3) 基本硬盤的計算機(jī)應(yīng)盡可能的避免由軟盤引導(dǎo)。(4) 謹(jǐn)慎使用公共軟件和共享軟件。公用和共享軟件切勿 放在根目錄中。(5) 格式化時為所有硬、軟盤建立卷標(biāo)，且在每次執(zhí)

40、行目 錄命令時檢查卷標(biāo)，注意卷標(biāo)的任何變化。(6) 監(jiān)視系統(tǒng)運(yùn)行方式的變化，記錄并分析異?，F(xiàn)象。(7) 系統(tǒng)之間應(yīng)盡可能地減少可執(zhí)行代碼的交換。(8) 所有的引導(dǎo)軟盤均應(yīng)是寫保護(hù)的。對某些高保安環(huán)境， 應(yīng)使用硬盤寫保護(hù)系統(tǒng)。(9) 當(dāng)軟盤片不經(jīng)常使用時，應(yīng)從驅(qū)動器中取出，并作為 文件歸檔。(10) 禁止在聯(lián)網(wǎng)計算機(jī)上運(yùn)行任何游戲盤。(11) 禁止使用非本單位軟盤。 重要部門要使用專機(jī)、 專盤。(12) 非本機(jī)使用的軟盤或新開發(fā)的軟件，須經(jīng)檢測，確認(rèn) 沒有病毒方可在系統(tǒng)上使用。(13) 本機(jī)使用的軟盤不得外借或使用者隨意攜帶外出。(14) 系統(tǒng)中的數(shù)據(jù)要定期考貝。(15) 網(wǎng)絡(luò)中所用記錄媒體應(yīng)經(jīng)常進(jìn)行病毒檢測，當(dāng)發(fā)現(xiàn)病 毒時，應(yīng)立即采取隔離措施，防止病毒在網(wǎng)上擴(kuò)散，并設(shè)法消 除之。(16) 宜采取信號抗病毒措施，防止病毒依附著無線電信號 進(jìn)入接收機(jī)、處理機(jī)；(17) 購置、引進(jìn)設(shè)備或?qū)⒃O(shè)備送外維修，要考