计算机网络安全管理工作规范

———计算机网络安全管理工作规范

篇1:计算机网络平安管理工作规范

计算机网络平安管理工作规范

1、计算机网络平安管理工作组织结构的设置：

学校设立计算机信息系统平安管理领导小组(以下简称"领导小组')，由一名校级领导挂帅，教务处详细负责，下设电脑技术中心。电脑技术中心在技术上接受领导小组的管理、指导和考核。

2、对信息技术人员的要求

信息技术人员应具备大专以上学历，具有计算机基础理论学问和专业技术阅历。禁止录用有劣迹或违法犯罪记录的人员从事计算机工作。

您正在扫瞄的文章由.glwk8.om(管理文库)整理，版权归原、原出处全部。

3、信息技术人员管理

(1)定期对信息技术人员进行业务培训和技术培训，不合格或未参与培训者严禁上岗;

(2)领导小组应协作人事部门定期对信息技术人员进行考核;

(3)离岗人员必需严格办理离岗手续，明确其离岗后的保密义务，退还全部技术资料，信息系统的口令必需马上更换。

4、计算机机房平安管理制度

(1)建立完整的计算机运行日志、操作记录及其它与平安有关的资料;

(2)严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房;

(3)机房应安装防盗、防火报警装置。

5、建立操作平安管理制度

(1)应实行严密的平安措施防止无关用户进入系统;

(2)数据库管理系统的口令必需由电脑中心专人掌管，并要求定期更换。禁止同一人掌管操作系统口令和数据库管理系统口令;

(3)操作人员应有互不相同的用户名，定期更换操作口令。严禁操作人员泄露自己的操作口令;

(4)各岗位操作权限要严格按岗位职责设置。应定期检查操作员的权限;

(5)重要岗位的登录过程应增加必要的限制措施;

6、计算机病毒防范制度

(1)电脑中心应指定专人负责计算机病毒防范工作，应定期进行病毒检测，发觉病毒马上处理并报告;

(2)应采纳国家许可的正版防病毒软件并准时更新软件版本。

7、技术资料管理

各级管理机构应制定技术资料的管理制度，明确执行管理制度的责任人，重要技术资料应有副本并异地存放。

8、机房供电系统

(1)机房应有单独的配电柜，计算机系统要设有独立于一般照明电的专用的供配电线路，其容量应有肯定的余量，建议采纳双路供电;

(2)机房应配备不间断电源设备，其容量应保证能够持续供电4小时以上;

(3)机房应采纳独立的直流地、沟通工作地和防雷爱护地。

9、机房环境

(1)机房的操作间与设备间应作分隔;

(2)机房宜安装独立空调设备;

(3)机房应有防火、防潮、防尘、防盗、防磁、防鼠、备用应急照明装置等设施。

10、机房防火

机房的防火设施不能使用水喷淋灭火设备，应依据有关国家标准或规定设置防火设施。

11、服务器

服务器应具有肯定的容错特性，服务器应有备品备件。

12、数据备份

(1)必需定期制作数据的备份并异地存放，保证系统发生故障时能够快速恢复;

(2)重要数据(如财务、档案等)的存储应采纳只读式数据记录设备，必需定期、完整、真实、精确     地转储到不行更改的介质上，并要求集中和异地保存，保存期限至少20年;

(3)备份的数据必需指定专人负责保管;

(4)数据保管员必需对备份数据进行规范的登记管理;

(5)备份数据保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

13、备份数据的异地保存

异地保存的主要目的是避开火灾、水灾等灾难给数据带来损害，所以把数据保存在同层、同楼不能很好的规避风险，最好保存在公司以外的其他建筑内。

14、技术故障的处理程序：

(1)消失技术故障时，应报告技术中心，由技术中心负责处理;

(2)技术中心依据详细状况制定处理方案，并向领导小组汇报;

(3)涉密部门的计算机消失故障时，必需在有关人员在场的状况下处理。

(4)进行技术处理时，应先对数据进行备份，并交由原使用部门保管，不得将计算机内的有关数据外泄。

(5)对存有重要数据的硬盘、软盘等无很大修理价值的设备，原则上不送校外修理，实行更换新设备、利用备份数据恢复的方法进行处理，坏设备就地销毁或妥当保存。

(6)技术中心须对有关平安问题作具体记录，并向领导小组汇报。

15、技术故障的事后处理

(1)学校平安管理组织应马上进行事故调查，提出书面调查报告，必要时可组织有关专家鉴定，确定事故的缘由和责任;

(2)对调查中发觉的技术薄弱环节，应限期整改。

篇2:某企业网络平安综合设计方案

重庆工业职业技术学院

《信息平安》课程实训报告

题目：企业网络平安综合设计方案

班级：11信安301

姓名：

指导老师：

责任系部：信息工程学院

**企业网络平安综合设计方案

1、企业网络分析

**科技有限公司是一家以信息平安产品销售为主营业务的小型企业，公司网络通过中国联通光纤接入Internet。

该公司拥有子公司若干，并与其它信息平安产品销售公司建立了兄弟公司关系。为了适应业务的进展的需要，实现信息的共享，协作和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。

2、网络威逼、风险分析

2.1黑客攻击

"黑客'（Hack）对于大家来说可能并不生疏，他们是一群利用自己的技术专长特地攻击网站和计算机而不暴露身份的计算机用户，由于黑客技术渐渐被越来越多的人把握和进展，目前世界上约有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而任何网络系统、站点都有患病黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客们擅长隐藏，攻击"杀伤力'强，这是网络平安的主要威逼。而就目前网络技术的进展趋势来看，黑客攻击的方式也越来越多的采纳了病毒进行破坏，它们采纳的攻击和破坏方式多种多样，对没有网络平安防护设备（防火墙）的网站和系统（或防护级别较低）进行攻击和破坏，这给网络的平安防护带来了严峻的挑战。2.2网络自身和管理存在欠缺

网络的共享性和开放性使网上信息平安存在先天不足，网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上，许多企业、机构及用户的网站或系统都疏于这方面的管理，没有制定严格的管理制度。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击预备不足。目前美国75％－85％的网站都抵抗不住黑客的攻击，约有75％的企业网上信息失窃。

2.3软件设计的漏洞或"后门'而产生的问题

随着软件系统规模的不断增大，新的软件产品开发出来，系统中的平安漏洞或"后门'也不行避开的存在，比如我们常用的操作系统，无论是Windows还是UNI*几乎都存在或多或少的平安漏洞，众多的各类服务器、扫瞄器、一些桌面软件等等都被发觉过存在平安隐患。大家熟识的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会由于程序员的一个疏忽、设计中的一个缺陷等缘由而存在漏洞，不行能完善无缺。

2.5恶意网站设置的陷阱

互联网世界的各类网站，有些网站恶意编制一些盗取他人信息的软件，并且可能隐蔽在下载的信息中，只要登录或者下载网络的信息就会被其掌握和感染病毒，计算机中的全部信息都会被自动盗走，该软件会长期存在你的计算机中，操并不知情，如"木马'病毒。因此，不良网站和担心全网站万不行登录，否则后果不堪设想。

2.6用户网络内部工作人员的不良行为引起的平安问题

网络内部用户的误操作，资源滥用和恶意行为也有可能对网络的平安造成巨大的威逼。由于各行业，各单位现在都在建局域网，计算机使用频繁，但是由于单位管理制度不严，不能严格遵守行业内部关于信息平安的相关规定，都简单引起一系列平安问题。

2.7竞争对手的恶意窃取、破坏以及攻击

**企业是以销售为主的it行业，所以用户信息特别宝贵和重要，假如遭到竞争对手的恶意窃取、破坏以及攻击，后果不堪设想。

3、平安系统建设原则

（1）整体性原则："木桶原理'，单纯一种平安手段不行能解决全部平安问题;

（2）多重爱护原则：不把整个系统的平安寄予在单一平安措施或平安产品上;

（3）性能保障原则：平安产品的性能不能成为影响整个网络传输的瓶颈;

（4）平衡性原则：制定规范措施，实现爱护成本与被爱护信息的价值平衡;

（5）可管理、易操作原则：尽量采纳最新的平安技术，实现平安管理的自动化，以减轻平安管理的负担，同时减小由于管理上的疏漏而对系统平安造成的威逼;

（6）适应性、敏捷性原则：充分考虑今后业务和网络平安协调进展的需求，避开因只满意了系统平安要求，而给业务进展带来障碍的状况发生;

（7）高可用原则：平安方案、平安产品也要遵循网络高可用性原则;

（8）技术与管理并重原则："三分技术，七分管理'，从技术角度动身的平安方案的设计必需有与之相适应的管理制度同步制定，并从管理的角度评估平安设计方案的可操作性

（9）投资爱护原则：要充分发挥现有设备的潜能，避开投资的铺张。

4、网络平安总体设计

4.1需求分析

依据**企业满意内部网络机构，依据***企业各级内部网络机构、广域网结构、和三级网络管理、应用业系统的特点，本方案主要从以下几个方面进行平安设计：

1、数据平安爱护,使用加密技术,爱护重要数据的保密性.

2、网络系统平安,防火墙的设置

3、物理平安,应用硬件等安装配置.

4、应用系统平安,局域网内数据传输的平安保证.

4.2方案综述

1、首先设置VPN,便利内网与外网的连接,虚拟专用网是对企业内部网的扩展.可以关心远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的平安连接，并保证数据(Data)的平安传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现平安连接；可以用于实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网.

2、设置防火墙，防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以假如过滤器对传入的信息数据包进行标记，则不允许该数据包通过。能够保证使用的网站的平安性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数据的平安。防止服务器拒绝服务攻击.

3、网络病毒防护，采纳网络防病毒系统.在网络中部署被动防备体系（防病毒系统）,采纳主动防备机制（防火墙、平安策略、漏洞修复等），将病毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。

4、设置DMZ，数据冗余存储系统.

将需要爱护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统平安供应了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵胜利，还要面临DMZ设置的新的障碍。

5、设置数据备份管理系统，特地备份企业重要数据。为避开客观缘由、自然灾难等缘由造成的数据损坏、丢失，可采纳异地备份方式。

6、双重数据信息爱护，在重要部门以及工作组前设置交换机，可以在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进出的数据都将受到爱护。

7、设置备份服务器，用于因客观缘由、自然灾难等缘由造成的服务器崩溃。

8、广域网接入部分,采纳入侵检测系统（IDS）。对外界入侵和内部人员的越界行为进行报警。在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点爱护网段的局域网交换机上装上IDS。

9、系统漏洞分析。采纳漏洞分析设备。

10、平安设备要求

5.1硬件设备

1、pc机若干台,包括网络管理机,员工工作用机；干台,包括网络管理机,员工工作用机；

2、交换机2台；

3、服务器4台；

4、防火墙5台；

5、内外网隔离卡

6、AMTTinnFORIDS。

5.2软件设备

1、病毒防备系统；

2、查杀病毒软件；

3、访问掌握设置。

6、技术支持与服务

6.1虚拟网技术

虚拟网技术主要基于近年进展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术进展为面对连接的技术。因此，网管系统有力量限制局域网通讯的范围而无需通过开销很大的路由器.由以上运行机制带来的网络平安的好处是显而易见的：信息只到达应当到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问掌握，使在虚拟网外的网络节点不能直接访问虚拟网内节点。以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（转变）问题。但是，采纳基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

6.2防火墙技术

网络防火墙技术是一种用来加强网络之间访问掌握,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的特别网络互联设备.它对两个或多个网络之间传输的数据包如链接方式根据肯定的平安策略来实施检查,以打算网络之间的通信是否被允许,并监视网络运行状态.

6.2.1包过滤型

包过滤型技术是防火墙技术的一种,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为肯定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来推断这些"包"是否来自可信任的平安站点,一旦发觉来自危急站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以依据实际状况敏捷制订推断规章.

6.3病毒防护技术

病毒历来是信息系统平安的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。

我们将病毒的途径分为：

(1)通过FTP，电子邮件传播。

(2)通过软盘、光盘、磁带传播。

(3)通过Web巡游传播，主要是恶意的Java控件网站。

(4)通过群件系统传播。

病毒防护的主要技术如下：

(1)阻挡病毒的传播。

在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

(2)检查和清除病毒。

使用防病毒软件检查和清除病毒。

(3)病毒数据库的升级。

病毒数据库应不断更新，并下发到桌面系统。

(4)在防火墙、代理服务器及PC上安装Java及Active*掌握扫描软件，禁止未经许可的控件下载和安装。

6.4入侵检测技术

入侵检测系统是近年消失的新型网络平安技术，目的是供应实时的入侵检测及实行相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测力量之所以重要首先它能够应付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：

基于主机

基于网络

基于主机及网络的入侵监控系统通常均可配置为分布式模式：

(1)在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，供应跨平台的入侵监视解决方案。

(2)在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，供应跨网络的入侵监视解决方案。

6.5平安扫描技术

平安扫描技术与防火墙、平安监控系统相互协作能够供应很高平安性的网络。

6.6认证和数字签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种详细技术，同时数字签名还可用于通信过程中的不行抵赖要求的实现。

认证技术将应用到企业网络中的以下方面：

(1)路由器认证，路由器和交换机之间的认证。

(2)操作系统认证。操作系统对用户的认证。

(3)网管系统对网管设备之间的认证。

(4)VPN网关设备之间的认证。

(5)拨号访问服务器与客户间的认证。

(6)应用服务器(如WebServer)与客户的认证。

(7)电子邮件通讯双方的认证。

数字签名技术主要用于：

(1)基于PKI认证体系的认证过程。

(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不行抵赖记录。

6.7VPN技术

完整的集成化的企业范围的VPN平安解决方案，供应在INTERNET上平安的双向通讯，以及透亮     的加密方案以保证数据的完整性和保密性。

企业网络的全面平安要求保证：

保密-通讯过程不被窃听。

通讯主体真实性确认-网络上的计算机不被假冒。

6.8应用系统的平安技术

Internet域名服务为Internet/Intranet应用供应了极大的敏捷性。几乎全部的网络应用均利用域名服务。

1、Server常常成为Internet用户访问公司内部资源的通道之一，如Web

server通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。

2、操作系统平安

市场上几乎全部的操作系统均已发觉有平安漏洞，并且越流行的操作系统发觉的问题越多。对操作系统的平安，除了不断地增加平安补丁外，还需要：

(1)检查系统设置(敏感数据的存放方式，访问掌握，口令选择/更新)。

(2)基于系统的平安监控系统。

6.9计算机网络平安措施

计算机网络平安措施主要包括爱护网络平安、爱护应用服务平安和爱护系统平安三个方面，各个方面都要结合考虑平安防护的物理平安、防火墙、信息平安、Web平安、媒体平安等等。

（一）爱护网络平安。

（二）爱护应用平安。

（三）爱护系统平安。

企业网络平安综合设计方案

篇3:学校校内网络平安管理制度

杜集学校校内网络平安管理制度

学校校内网是为教学及学校管理而建立的计算机信息网络，为了爱护校内网络系统的平安、促进学校计算机网络的应用和进展，更好的为教育教学服务，特制定本制度：

1、学校应成立信息平安领导小组，组长由学校法人担当，负责校内内的网络平安和信息平安管理工作，定期对学校网络用户进行有关信息平安和网络平安教育并对上网信息进行审查和监控。

2、全部上网用户必需遵守国家有关法律、法规，严格执行平安保密制度，并对所供应的信息负责。不得利用联网计算机从事危害校内网及本地局域网服务器、工作站的活动。

3、网络管理员负责全校网络及信息的平安工作，要建立定期汇报及网络事故随时报告制度，准时解决突发大事和问题。校内网服务器发生案件、遭到黑客攻击后，网络中心