网络安全管理技术与应用

网络安全管理技术与应用31/31长沙理工大学城南学院《计算机网络》课程设计报告院系城南学院专业通信工程班级通信1104学号201185250410学生姓名林凯鹏指导教师刘青课程成绩完成日期2013年6月20日课程设计成绩评定院系计算机与通信工程专业通信工程班级通信1104学号201185250410学生姓名林凯鹏指导教师刘青指导教师对学生在课程设计中的评价课程设计报告的质量指导教师成绩指导教师签字年月日课程设计答辩组对学生在课程设计中的评价课程设计报告的质量课程设计答辩答辩组成绩答辩组长签字年月日课程设计综合成绩注：课程设计综合成绩＝指导教师成绩×60%＋答辩组成绩×40%课程设计任务书____城南_____学院通信工程专业课程名称计算机网络课程设计时间2013～2014学年第二学期16～17周学生姓名林凯鹏指导老师刘青题目网络安全管理技术和应用主要内容：(1)网络安全管理技术分析(2)网络安全管理应用现状(3)网络安全管理技术发展趋势要求：(1)综合运用计算机网络基本理论和通信工程设计的方法设计本系统。(2)学会文献检索的基本方法和综合运用文献的能力。(3)通过课程设计培养严谨的科学态度，认真的工作作风和团队协作精神。应当提交的文件：(1)课程设计学年论文。(2)课程设计附件（相关图纸、设备配置清单、报告等）。网络安全管理与应用HYPERLINK第一章 网络安全概述 5HYPERLINK1网络安全重要性 5HYPERLINK2网络安全技术 5HYPERLINK2.1虚拟网技术 5HYPERLINK2.2防火墙枝术 5HYPERLINK2.3病毒防护技术 6HYPERLINK2.4入侵检测技术 6HYPERLINK第二章 网络安全需求分析 7HYPERLINK1当前网络状况 7HYPERLINK2安全威胁 7HYPERLINK3网络安全需求分析 8HYPERLINK3.1网络层需求分析 8HYPERLINK3.2应用层需求分析 8HYPERLINK3.3安全管理需求分析 9HYPERLINK第三章 安全解决方案 101虚拟网络企业用户安全模拟11HYPERLINK2产品选取及说明 12HYPERLINK2.1防火墙 12HYPERLINK2.2防病毒 14HYPERLINK2.3入侵检测 14HYPERLINK2.4身份认证系统 16HYPERLINK3安全配置说明 17HYPERLINK3.1防火墙配置说明： 17HYPERLINK3.2防病毒配置说明： 18HYPERLINK3.3入侵检测配置说明： 18HYPERLINK3.4身份认证配置说明： 19HYPERLINK第四章 网络安全管理应用现状 23第五章网络安全管理技术发展趋势……………24第六章结束语……………25网络安全概述1网络安全重要性网络现在越来越重要，就我个人观点来说网路安全对大公司非常重要，一旦被黑客侵入失去的不是钱而是形象，试想一个企业对他自己的网络安全都没办法保证，他的产品质量也会打折扣，而且网络安全带来的危害通常是常人无法想象的，例如银行、保险等金融机构，政府等要害部门。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元。2网络安全技术2.1虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。2.2防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。（1）使用Firewall的益处保护脆弱的服务（2）控制对系统的访问（3）集中的安全管理（4）增强的保密性2.3病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。2.4入侵检测技术利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：(1)入侵者可寻找防火墙背后可能敞开的后门。(2)入侵者可能就在防火墙内。(3)由于性能的限制，防火焰通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类：（1）基于主机（2）基于网络基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。网络安全需求分析1当前网络状况太原道路排水系统老化，技术落后，每到下雨时候，就会造成道路拥塞，给人们的出行带来极大的不便，基于上述状况，进行对太原道路进行排水系统改造。由于项目中用到人力资源管理、财务管理、物料管理等信息管理，一个好的网络防范体系能够有效地保护这些数据，尤其是财务管理，假如被入侵、非法篡改，会给项目带来很大的损失。因此我们需要建立一个良好的网络防范系统。2安全威胁由于网络内运行的主要是多种网络协议，而这些都是不安全的，网络应用很容易受到外来攻击。而且网络是外面信息内部信息的大集成，每天会有各种各样的数据产生，这样给维护起来带来一定的困难，如果没有好的安全防范，会给企业带来很大的损失。所以，我们要认清会带来什么样的安全威胁，太原道路排水系统网络可能存在的安全威胁来自以下方面：(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞。操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏的系统。(2)防火墙的安全性。防火墙产品自身是否安全，是否设置错误。(3)来自内部网用户的安全威胁。(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件，本身缺乏安全性。(6)未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在Java/ActiveX控件进行有效控制。(7)应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。3网络安全需求分析网络安全总体安全需求是建立在，对网络安全层次分析基础上确定的。对于以TCP/IP为主的太原道路排水系统网络来说，安全层次是与TCP/IP网络层次相对应的，针对实际情况，我们将安全需求层次归纳为网络层和应用层安全两个技术层次，同时将在每层涉及的安全管理部分单独作为分析内容，具体描述如下：3.1网络层需求分析网络层安全需求是保护网络不受攻击，确保网络服务的可用性。首先，作为项目网络同Internet的互联的边界安全应作为网络层的主要安全需求：（1）需要保证项目网络与Internet安全互联，能够实现网络的安全隔离；（2）必要的信息交互的可信任性；（3）要保证项目网络不能够被Internet访问；（4）项目网络公共资源能够对开放用户提供安全访问能力；（5）对网络安全事件的审计；（6）对于网络安全状态的量化评估；3.2应用层需求分析建设太原道路排水系统项目网络的目的是实现信息共享，资源共享，能够有效地对项目进行管理，提高工作的效率。因此，必须解决项目网在应用层的安全。应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式，应用模式决定了安全需求。应用层的安全需求是针对用户和网络应用资源的，主要包括：（1）合法用户可以以指定的方式访问指定的信息；（2）合法用户不能以任何方式访问不允许其访问的信息；（3）非法用户不能访问任何信息；（4）用户对任何信息的访问都有记录。3.3安全管理需求分析安全管理主要包括三个方面：内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改。网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。应用安全管理：应用系统的安全管理是一件很复杂的事情。由于各个应用系统的安全机制不一样，因此需要通过建立统一的应用安全平台来管理，包括建立建立统一的用户库、统一维护资源目录、统一授权等。安全解决方案3.1设计虚拟网络企业用户本公司有100台左右的计算机，主要使用网络的部门有：生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分，如图3.1所示。网络基本结构为：整个网络中干部分采用3台Catalyst1900网管型交换机（分别命名为：Switch1、Switch2和Switch3，各交换机根据需要下接若干个集线器，主要用于非VLAN用户）、一台Cisco2514路由器，整个网络都通过路由器Cisco2514与外部互联网进行连接。图3.1企业局域网的安全设计方案3.2企业局域网安全设计的原则企业局域网网络系统安全方案设计、规划时，应遵循以下原则：综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需要相当的费用支出。因此分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。防火墙部署在Internet与内网之间部署了一台神州数码防火墙，采用DMZ的防火墙部署方式。也就是在防火墙上多加一块网卡，把提供对外服务的服务器和内网的客户端严格地隔离开来，这样，即算有安全风险和漏洞在DMZ中出现，由此对内部网络造成的危害也可以得到很好的控制，从而避免了一旦共享服务器为黑客攻击和安装木马渗透病毒的话，那么内部网络的客户端及其资源将没有任何安全可言。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。身份认证部署计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。我们在核心交换机上部署身份认证系统。入侵检测系统部署入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其他网络上可以获得的信息以及计算机系统报告中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前的拦截响应入侵。本项目网络采用联想网御入侵检测系统，它能够实时监控网络，一旦发现有可疑的行为发生立即报警,同时记录相关的信息。将入侵检测引擎接入中心交换机上，对来自外部网和内部网的各种行为进行实时检测。防病毒部署分别在服务器和客户机进行防病毒部署。对容易感染的地方进行防毒部署，如中心机房、个人PC等。4产品选取及说明4.1防火墙型号选择：本项目采用采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面，神州数DCFW-1800系列防火墙还内置了VPN功能，可以实现利用Internet构建企业的虚拟专用网络。因为太原排水系统改造网络需要高安全性，而且DCFW-1800E防火墙还可以设计虚拟专用网络，这样给本项目的安全性有了很大的保障，所以采用本防火墙。图3.2神舟数码防火墙DCFW-1800E防火墙特点：神州数码DCFW-1800E-G3防火墙专为千兆位流量的网络服务运营商，大型数据中心等骨干网络而设计,采用2U专用千兆安全平台，完全模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G3防火墙内置6个10/100/1000M自适应以太网电口，具备4个SFP扩展插槽，最多可扩展至10个千兆接口，接口模块类型支持单模、多模光纤，千兆电口。DCFW-1800E防火墙安全参数：过滤带宽2000Mbps人数限制8-256入侵检测dos,ddos主要功能支持多接口链路负载均衡,支持端口备份,提供链路优先选择

具有自主知识产权的64位高安全操作系统

芯片级硬件加速深度包检测、ipsecvpn、sslvpn等功能模块安全标准fccpart15,classa,en55022(cispr22,classa)4.2防病毒产品选择：防病毒具有被动意义，主要是预防和防范，没有病毒时做好预防工作，病毒到来时则被动防范，有一种兵来将敌水来土堰的感觉。防病毒主要以防为主，要提前考虑到了病毒的入侵、破坏方式和途径，从而有效地制定相应的措施。本项目网络防病毒我们采用瑞星杀毒软件，来对整个太原道路排水系统的内部局域网的网关进行防病毒保护。产品优势：瑞星全功能安全软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其“整体防御系统”可将所有互联网威胁拦截在用户电脑以外。深度应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”等技术保证将病毒彻底拦截和查杀。再结合“云安全”系统的自动分析处理病毒流程，能第一时间极速将未知病毒的解决方案实时提供给用户。（1）全面拦截（2）彻底查杀（3）极速响应（4）云安全深度应用4.3入侵检测入侵检测系统选择：联想网御IDS采用了内存零拷贝、零系统调用以及独创的AMPFAT等高性能网络数据包处理技术，结合联想在服务器硬件研发方面的多年经验基础上自主研发而成的硬件平台，能有效降低网络数据包的处理开销，即使在高流量的网络环境下也可以保持出色的运行性能。网御入侵检测系统是基于网络的入侵检测系统（NIDS）。网御入侵检测系统采用分布式入侵检测系统构架，采用联想独创的LEADER入侵检测引擎，综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵分析与检测技术，全面监视和分析网络的通信状态，提供实时的入侵检测及相应的防护手段，为网络创造全面纵深的安全防御体系。产品特点：（1）高效的数据采集采用数据零拷贝技术，报文直接存放在内存数据空间，减少TCP/IP堆栈的处理，从而简化了数据处理流程，加快了数据处理速度。（2）先进的入侵检测独有的专利入侵行为细粒度检测，独创的LEADER入侵检测引擎和事件缩略再分析的多层次检测方法，有效降低了漏报和误报，提高了检测的速度和准确率。（3）强大的日志审计灵活的条件过滤查询和报表预定义，方便的事件归并统计和分层显示，快速的日志备份、检索和还原，真正简化了管理员操作。（4）权威的检测规则与国家反计算机入侵和防病毒研究中心合作，共建入侵检测事件规则库，同时与国际权威的漏洞库保持兼容，保证了与国际标准检测规则的同步。（5）顶尖的入侵管理强大的集中监控管理、灵活的事件聚类显示、统一的安全策略下发，以及事件关联分析与融合、基于web的日志审计等功能，真正实现了多级管理的统一和集中。硬件配置：探测器：控制台（N100N800）：性能指标：4.4身份认证系统方案选择：本项目采用动联身份认证系统，主要分为：动联身份认证软件、动码令认证终端、认证代理软件三大部分。针对不同的应用情况，动联身份认证软件提供企业版、标准版两种。动码令认证终端有硬件动码令硬件令牌K3、K5、K7、K8以及软件令牌、手机令牌、SIM卡令牌、短消息令牌、矩阵卡和刮刮卡。认证代理软件分为：Windows登录代理、Linux/Unix登录代理、Web应用程序登录代理等。5安全配置说明5.1防火墙配置说明：5.1.1防火墙的安全访问策略：配置防火墙安全访问策略如下：(1)在从外面进入总公司局域网的防火墙处建立DMZ区，将办公网内的Web、ftp、mail服务器放置于此，使这些服务器能与外界隔离。(2)在办公网通向中心交换机的路径上分别安装一台防火墙，以避免重要服务器受到来自内网的攻击。(3)定义用户对象，指定用户的认证方式；(4)定义用户认证规则，用户访问数据中心的服务器时需要进行不同级别的用户认证，并由此控制用户的访问权限；(5)定义防止IP地址欺骗的规则，凡是源地址为内网区域的数据包都不允许通过防火墙进入；(6)定义安全策略，允许外部连接可以到达指定服务器的服务端口；(7)定义安全策略，对从内部网络通过防火墙向外发送的数据包进行网络地址转换，完全对外隔离内部网络；(8)定义安全规则，允许指定的应用数据包通过防火墙；(9)定义安全规则，设定对流量和带宽控制的规则，保证对专有服务和专有人员的流量保证；(10)定义安全规则，其他的任何包都不允许通过防火墙；5.1.2防火墙VPN解决方案作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：

（1）标准的IPSEC,IKE与PPTP协议

（2）支持Gateway-to-Gateway网关至网关模式虚拟专网

（3）支持VPN的星形（star）连接方式

（4）VPN隧道的NAT穿越

（5）支持IP与非IP协议通过VPN

（6）支持手工密钥，预共享密钥与X.509V3数字证书,PKI体系支持5.2防病毒配置说明：分别对服务器客户机进行病毒防护。这样能够大大提高对病毒的防护，减少因不必要的因素造成的损失。服务器防病毒系统设计：采用瑞星防毒墙服务器版。在网络其中一台Win2000服务器上安装管理模块、防毒模块和控制台，然后通过控制台对其它服务器进行远程安装。控制台也可以安装在任何一台Windows95/98/Me/NT机器上。捍卫服务器免受病毒、特洛伊木马和其它恶意程序的侵袭，不让其有机会透过文件及数据的分享进而散布到整个企业环境，提供完整的病毒扫描防护功能。客户机防病毒系统设计：采用瑞星防毒墙网络版。管理端安装在各个网络的Windows2000Server平台上。为项目网络提供统一控管,自动更新部署,集中报告的客户端病毒防护。避免个人电脑被病毒入侵。5.3入侵检测配置说明：由于本项目涉及到的网络应用简单，所以采取简单网络结构，监控网络接入点。这种适用于中小企业。内部网为办公局域网，通过一根专线出口连接Internet，无特殊网络应用。方案构建：将网御IDS探测器（百兆）部署在网络Internet出口接入点处，控制台配置在网络安全管理员处。典型方案部署如图所示。5.4身份认证配置说明：动联身份认证系统采用了多项先进的技术，如：伪随机数技术和时间同步技术，使得系统可以充分地满足如下各方面要求；同时系统采用先进的动态关系型存贮数据库结构，大大提高认证速度和适合大用户数的管理；以及先进的管理和监控功能。

根据企业内部应用多样、异构的特点而提供的一套全面、灵活的动态密码认证解决方案。采用动联身份认证软件企业版可以为企业内部的多个应用提供统一的动态密码认证，同样一个令牌可以应用于多个内部应用的用户认证。同时系统支持各种形式的动态密码终端，包括硬件令牌、手机令牌、短信密码等，用户可以自由选择采用何种动态密码终端。网络管理应用现状在当今这个信息化社会中，一方面，硬件平台，操作系统平台，应用软件等IT系统已变得越来越复杂和难以统一管理;另一方面，现代社会生活对网络的高度依赖，使保障网络的通畅、可靠就显得尤其重要。这些都使得网络管理技术成为网络技术中人们公认的关键技术。网络管理从功能上讲一般包括配置管理、性能管理、安全管理、故障管理等。由于网络安全对网络信息系统的性能、管理的关联及影响趋于更复杂、更严重，网络安全管理还逐渐成为网络管理技术中的一个重要分支，正受到业界及用户的日益深切的广泛关注。可能也正是由于网络安全管理技术要解决的问题的突出性和特殊性，使得网络安全管理系统呈现出了从通常网管系统中分离出来的趋势。目前，在网络应用的深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。虽然这些安全产品能够在特定方面发挥一定的作用，但是这些产品大部分功能分散，各自为战，形成了相互没有关联的、隔离的“安全孤岛”;各种安全产品彼此之间没有有效的统一管理调度机制，不能互相支撑、协同工作，从而使安全产品的应用效能无法得到充分的发挥。从网络安全管理员的角度来说，最直接的需求就是在一个统一的界面中监视网络中各种安全设备的运行状态，对产生的大量日志信息和报警信息进行统一汇总、分析和审计;同时在一个界面完成安全产品的升级、攻击事件报警、响应等功能。但是，一方面，由于现今网络中的设备、操作系统、应用系统数量众多、构成复杂，异构性、差异性非常大，而且各自都具有自己的控制管理平台、网络管理员需要学习、了解不同平台的使用及管理方法，并应用这些管理控制平台去管理网络中的对象(设备、系统、用户等)，工作复杂度非常之大。另一方面，应用系统是为业务服务的;企业内的员工在整个业务处理过程中处于不同的工作岗位，其对应用系统的使用权限也不尽相同，网络管理员很难在各个不同的系统中保持用户权限和控制策略的全局一致性。另外，对大型网络而言，管理与安全相关的事件变得越来越复杂;网络管理员必须将各个设备、系统产生的事件、信息关联起来进行分析，才能发现新的或更深层次的安全问题。因此，用户的网络管理需要建立一种新型的整体网络安全管理解决方案——统一安全管理平台，来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。应当说，在这十年来，网络安全产品从简单的防火墙到目前的具备报警、预警、分析、审计、监测等全面功能的网络安全系统，在技术角度已经实现了巨大进步，也为政府和企业在构建网络安全体系方面提供了更加多样化的选择，但是，网络面临的威胁却并未随着技术的进步而有所抑制，反而使矛盾更加突出，从层出不穷的网络犯罪到日益猖獗的黑客攻击，似乎网络世界正面临着前所未有的挑战，下面简单分析网络安全环境的现状。1．在网络和应用系统保护方面采取了安全措施，每个网络/应用系统分别部署了防火墙、访问控制设备等安全产品，采取了备份、负载均衡、硬件冗余等安全措施；2．实现了区域性的集中防病毒，实现了病毒库的升级和防病毒客户端的监控和管理；3．安全工作由各网络/应用系统具体的维护人员兼职负责，安全工作分散到各个维护人员；4．应用系统账号管理、防病毒等方面具有一定流程，在网络安全管理方面的流程相对比较薄弱，需要进一步进行修订；5．员工安全意识有待加强，日常办公中存在一定非安全操作情况，终端使用和接入情况复杂。这可以说是现阶段具有代表性的网络安全建设和使用的现状，从另一个角度来看，单纯依靠网络安全技术的革新，不可能完全解决网络安全的隐患，如果想从根本上克服网络安全问题，我们需要首先分析距真正意义上的网络安全到底存在哪些差距。就目前而言，企业的网络安全还存在这样或那样的问题，离真正的安全的网络还有不可逾越的差距。1.网络安全管理体系不完善，需要通过实施策略对流程进行细化，其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。2.涉及网络安全的各个层次，特别是基层人员对网络安全工作的重要性认识不足，必须强化把网络安全作为一项重点工作开展，并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。3.网络安全管理组织不完整，现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担，安全责任相对比较分散，存在一定程度的安全责任无法落实到具体人的现象。4.具有普及性的安全教育和培训不足，人员完善的网络安全体系应包括安全策略体系、安全组织体系、安全技术体系、安全运作体系。安全策略体系应包括网络安全的目标、方针、策略、规范、标准及流程等，并通过在组织内对安全策略的发布和落实来保证对网络安全的承诺与支持。安全组织体系包括安全组织结构建立、安全角色