网络安全建设技术建议书(完整版)资料

网络安全建设技术建议书（完整版）资料(可以直接使用，可编辑优秀版资料，欢迎下载）

网络安全建设技术建议书（完整版）资料(可以直接使用，可编辑优秀版资料，欢迎下载）目录1. XX网络安全风险 22. 建设原则及设计思路 42.1. 安全平台设计思路 4 以安全为核心划分区域 4 用防火墙隔离各安全区域 5 对关键路径进行深入检测防护 5 对全网设备进行统一安全管理 6 根据实际需要部署其他安全系统 63. XXXX网络安全解决方案 7 互联接口区域 7 数据中心 9 统一安全管理中心 104. 安全管理建议（供参考） 114.1. 安全管理组织结构 11 人员需求与技能要求 11 岗位职责 114.2. 安全管理制度 12 业务网服务器上线及日常管理制度 12 安全产品管理制度 13 应急响应制度 13 制度运行监督 13XX网络安全风险随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性，互连性，共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务，电子现金，数字货币，网络银行等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失十分巨大，仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元以上。在全球平均每二十秒就发生一次网上入侵事件。有近80%的公司至少每周在网络上要被大规模的入侵一次，并且一旦黑客找到系统的薄弱环节，所有用户都会遭殃。面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。此外，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络管理也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理，就很难向广大用户提供令人满意的服务。因此，找到一种使网络运作更高效，更实用，更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现，并为越来越多的人所认识，可迄今为止，在网络管理领域里仍有许多漏洞和亟待完善的问题存在。目前，网络技术已在XX行业得到了全面应用，大大提高了XX行业的业务处理效率和管理水平，促成了各项创新的金融业务的开展，改善了整个XX行业的经营环境，增强了金融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网络安全风险的阴霾如同网络技术的孪生子，伴随着网络技术在XX行业的全面应用而全面笼罩在XX行业的每个业务角落。而有别于其他一般行业，XX行业的网络系统中处理、传输、存储的都是金融信息，对其进行攻击将获得巨大的利益，如果这些机密信息在网上传输过程中泄密，其造成的损失将是不可估量的；而且，对XX行业网络系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此XX行业的网络安全问题是一个关系到国计民生的重大问题，也是所有网络安全厂商非常关心的问题。银行网络系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，面临的网络安全风险叙述如下。非法访问：现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面XX行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。内部人员破坏：内部人员熟悉XX行业网络系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。黑客入侵：利用黑客技术非法侵入XX行业的网络系统，调阅各种资料，篡改他人的资料，破坏系统运行，或者进行有目的的金融犯罪活动。假冒和伪造：假冒和伪造是XX行业网络系统中经常遇见的攻击手段。如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性，假冒合法用户实施金融欺诈等。蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致XX行业的重要信息遭到损坏，或者导致XX行业网络系统瘫痪，如2003年初的SQLSlammer蠕虫，导致了全国金融业务的大面积中断。拒绝服务：拒绝服务攻击使XX行业的电子商务网站无法为客户提供正常服务，造成经济损失，同时也使行业形象受到损害。建设原则及设计思路安全平台设计思路XXXXXX的网络应用对安全的要求比较高，根据对XXXXXX网络和应用的理解，结合在XX行业的成功经验，提出了如下安全建设思路。以安全为核心划分区域现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔离，比如采用防火墙隔离业务网和办公网。针对XXXXX网络安全实际情况，可划分出不同的安全分区级别，详细定义如下：DMZ区：DMZ区包括省级网络连接贵州省电子政务网区域、INTERNET服务区以及贵州省劳动和社会保障厅对社会公众提供服务的服务群（如：对外发布系统服务器区等），该区域都是暴露在外面的系统，因此，对安全级别要求比较高。互联网服务区：互联网业务应用系统集合构成的安全区域，主要实现公开网站、外部邮件系统、远程办公用户、部分分支机构以及部分合作伙伴的VPN接入等功能。远程接入区：合作业务应用系统集合构成的安全区域，主要实现与原材料供应商、渠道商等合作伙伴的业务应用功能。考虑到部分合作伙伴会采用VPN方式接入，基于安全性考虑，其与互联网服务区应该有独立的物理连接。根据应用要求，可以进一步划分为互联网业务区、VPN接入区等。广域网分区：在之前的网络建设中，企业通过专线连接国内的分支机构。广域网连接区就是专线网络的链路及全部路由器构成的安全区域，这一安全区域内部没有具体的应用系统，主要实现网络连接功能，定义这一安全区域是为了方便网络管理。数据中心区：由贵州省金保业务服务区服务群构成，是贵州省金保一切业务应用活动的基础，包括生产区、交换区、决策区。这个区域的安全性要求最高，对业务连续性要求也最高。要求不能随便进行任何可能影响业务的操作，包括为服务器打补丁，管理起来也最为复杂。网络管理区：网络管理员及网管应用系统构成的安全区域，一切网络及安全的管理和维护工作都在这一区域完成。网络管理区域的资产在定义中属于支撑部门资产集合，但是鉴于网络管理的特殊性，将这一部分资产独立设置安全区域。内部办公区：数据中心内部办公计算机构成的安全区域。安全性和业务持续性要求最低，管理难度大，最容易遭受蠕虫的威胁。用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为‘被信任应受保护的网络’，另外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网络上的信息。对关键路径进行深入检测防护虽然，网络中已部署了防火墙等基础网络安全产品，但是，在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙等安全产品其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。因此在关键路径上部署独立的具有深度检测防御的IPS（入侵防御系统）就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有：入侵——非法用户的违规行为；滥用——用户的违规行为；深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。对全网设备进行统一安全管理日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护，不断追求多层次、立体化的安全防御体系，逐步引入了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防御技术，再加上交换机、路由器等网络设备，网络结构日益复杂。然而，现有网络安全防御体系还是以孤立的单点防御为主，彼此间缺乏有效的协作，不同的设备之间的信息也无法共享，从而形成了一个个安全的“信息孤岛”。通过统一安全管理平台，可以对网络中的网络设备、安全设备、服务器等进行统一管理，收集相关信息，进行关联分析，形成安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，提供相关解决办法和建议。根据实际需要部署其他安全系统以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评估等操作。在XXXXXX网络中，还需要以下安全系统和安全工具：补丁管理系统从公开的统计资料可以看到，在2003年全球有80%的大型企业遭受病毒感染而使得业务系统运作受到干扰，即使这些大型企业已经具备了良好的边界安全措施，也普遍部署了病毒防御机制。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于现有的边界防御、基于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进行感染的病毒，单单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏洞进行感染的病毒传播速度极快，以至来不及采取措施，病毒就已经大规模爆发了。这恰好说明企业需要一些应付这种情况的措施，最好在病毒前面就消灭漏洞隐患，杜绝病毒传播的可能。补丁管理就是这一思想的产物，因为它的原理就是对软件进行修补从而根本上消灭漏洞，杜绝了病毒利用漏洞的可能。漏洞扫描工具如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。一般来说，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。因此XXXXXX需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。网络流量监测与审计对网络流量进行监测和分析是十分必要的，尤其是在大型的网络环境中。利用网络流量监测与分析系统可以实时监测网络流量峰值，以及方便管理员根据分析报告来排除网络故障，所以目前很多的大型企业都部署了专业的网络流量监测与分析系统。XXXX网络安全解决方案在XXXX总体安全规划设计中，我们将按照安全风险防护与安全投资之间的平衡原则（主要包括层次化的综合防护原则和不同层次重点防护原则），提出以下的安全风险和防护措施，从而建立起全防御体系的信息安全框架。互联接口区域XXXXX网络包括了省中心、地市中心、县级中心、外联单位等不同级别的安全区域，由于各区域的管理员和使用者安全防护能力参差不齐，如有防护不当，极有可能由于个别的漏洞而导致整个网络的崩溃，因此针对这些区域的安全防护是要考虑的重点内容。同时，纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成，两个网络采用统一接口的方式互联。考虑到纵向办公网将来会预留与Internet的接口，纵向业务网在物理上与办公网互联就导致了业务网间接的暴露在Internet环境下。分析目前主要的安全威胁状况，要求XXXXX纵向业务网与办公网的接口区域安全设备的部署可以提供以下功能：采用在线模式部署在优先保证业务持续的基础上提供全面的防护；基于状态的链路检测功能；能够有效抵御DoS/DDoS攻击；对网络蠕虫病毒进行有效防护；可以针对数据进行2~7层的深度安全防护；监控并屏蔽恶意软件；提供对网络设备、主机、链路的保护；能够抵御ZeroDayAttack；具备实时的升级特性；提供可供分析的标准日志结构；便捷的统一的管理；保护有效数据带宽，针对P2P协议对数据流可以灵活控制带宽；根据以上要求，这里采用防火墙设备和入侵抵御设备（IPS）共同部署完成互联接口区域的安全保护。具体部署见下图。图XXXXXX互联接口区域安全拓扑示意图数据中心对于业务网数据中心，办公网对它所有的数据调用都需要通过互联区域，并不直接面对Internet。因此主要考虑的来自于业务网内部的安全威胁。针对业务网内部进行分析，其威胁的主要入口是终端设备的接入。要求数据中心区域的安全设备部署提供以下功能：采用在线模式部署在优先保证业务持续的基础上提供全面的防护对操作系统漏洞可以提供补丁功能；对网络蠕虫病毒进行有效防护；可以针对数据进行4~7层的深度安全防护；提供对服务器集群的有效保护；具备实时的升级特性；提供可供分析的标准日志结构；便捷的统一的管理；考虑到数据中心防护更重要的是对操作系统和数据的保护，在这里根据以上要求，部署入侵抵御设备（IPS）完成数据中心区域的安全保护。具体部署见下图。图XXXXXX数据中心安全拓扑示意图统一安全管理中心为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对全网设备，包括主机和数据交互设备进行统一的日志收集和日志分析。这样就要求必须在网络当中部署安全管理中心来完成统一的策略规划和分析。安全管理中心并不是一个威胁抵御的直接发起者，而是一个系统规划的首脑。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影响正常业务和造成瓶颈；具有广泛的日志采集功能，要求可以对网络当中的所有设备（防火墙、IPS、交换机、路由器、PC、Server等）进行日志分析；采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析；对安全威胁的实时监控功能；对网络流量的实时监控功能；可支持多家厂商的设备日志采集；提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障；对网络故障提供多种迅速的告警机制；具有完善的安全审计功能；对历史数据进行压缩并可提供高效的查询机制；根据需要提供多种报表；根据需求可分步实施的灵活部署方式；根据以上需求，这里采用一台安全管理中心作为整个网络的安全管理中心，对全网设备进行日志分析，帮助定制安全策略。仅仅需要路由可达即可完成上述功能，部署位置相对灵活，建议可以和网络管理软件服务器部署在一起，以方便硬件的管理。安全管理建议（供参考）安全管理组织结构人员需求与技能要求安全总监CSO一人，熟悉信息技术和信息安全，有5年以上整个机构信息技术和安全管理经验。经理一人，熟悉信息技术和信息安全，具有2年以上部门级信息安全技术和管理经验；安全专员四人，精通各种需要的安全工具的使用，认真、细心、负责。网络小组二人，精通网络和各种安全工具的使用。 系统小组二人，精通操作系统和安全工具的使用。岗位职责1、总经理职责为整个机构的安全管理活动提供必要的人力、物力、财力等方面的资源支持。负责主持年度安全管理评审活动。2、安全总监职责负责整个机构信息安全，协调机构的安全资源开展安全管理活动，审批安全政策。指导信息安全部筹建应急响应中心。负责指导每月督查活动。负责组织领导季度安全管理审核活动。负责向年度安全管理评审会议报告安全管理制度的运行情况。负责批准发布安全管理制度的更新版本。3、信息安全部经理职责协调整个信息安全部的工作，对部门的安全管理活动提供指导。建立应急响应中心，对安全事件实施应急响应。制定和实施安全策略，实施审计检查。负责组织领导每月督查活动。负责组织更新安全管理制度。4、信息安全专员职责负责为其它部门分配或撤销IP地址、捆绑或撤销捆绑IP和MAC地址。负责为其它部门配置防火墙策略。负责病毒防护软件（包括病毒库）和漏洞扫描软件（包括漏洞库）的管理、更新和公布。负责对网上交易系统所有服务器和专用网络设备的首次、周期性和紧急的病毒防护和漏洞扫描。系统小组组长进行上线前安全配置和运行中的日常维护。负责监督开发和维护过程中安全管理的实施，评审、验证系统的安全性。负责参与每月督查、季度安全管理审核、年度安全管理评审、安全管理制度更新活动。负责安全记录的保管。安全管理制度业务网服务器上线及日常管理制度1、上线前安全配置制度执行者：系统小组组长；任务：重要服务器上线前必须配置为C2级安全性；进行漏洞扫描和弥补，参照病毒和恶意代码防护制度；安装病毒防护软件；安装业务系统软件；将配置记录在案，适当保存，供以后复审用；部署后填写《服务器配置表》，提交硬件、软件、配置文档。2、运行中的日常维护执行者：系统小组组长；任务：定期进行漏洞扫描；定期（一般为每周）进行审计日志的检查；定期（一般为每周）进行应用系统日志的检查；检查后填写《服务器检查表》。安全产品管理制度应该建立以下安全产品管理制度：防火墙管理制度；入侵抵御系统管理制度；漏洞扫描系统管理制度；网络防病毒系统管理制度。应急响应制度负责管理安全事件，制订和完善应急计划；负责甄别和现场处理安全事件；负责编写安全事件处理报告以及制订和推行预防措施。信息安全部建立计算机应急响应小组（ComputerEmergencyResponseTeam/ComputerSecurityIncidentResponseTeams，CERT/CSIRT）作为处理突发事件的基本中心。应急响应小组组长由部门经理担任，组员包括：事件处理人员、咨询人员、安全技术研究与跟踪人员。制度运行监督安全管理制度运行监督的三种方式，即三个层次的监督活动是：每月督查、每季审核、年度安全管理评审。1、每月检查信息安全部经理主持每月督查活动，信息安全部员工参与每月督查活动。安全总监指导每月督查活动。2、每季审核安全总监主持季度安全管理审核活动；安全专员参与季度安全管理审核活动。3、年度安全管理评审总经理主持年度安全管理评审活动。安全总监负责管理评审的组织协调工作，向年度安全管理评审会议报告安全管理制度的运行情况，追踪纠正措施的实施。计算机网络安全概述及防范策略摘要众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种联网的计算机，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。本文主要介绍了有关网络信息安全的基础知识：网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展，网络信息安全问题终究会得到解决，信息网络已经成为社会发展的重要保证。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。

关键词：数据加密，黑客，后门，信息加密，防火墙目录摘要4一.绪论5(一).计算机网络安全的概念5(二).计算机网络安全的现状5(三).计算机遭受攻击的危害5二.计算机网络面临的威胁6(一).现有网络安全技术的缺陷6(二).信息安全的原因和威胁6三计算机网络安全防范策略8(一).物理安全策略8(二).访问控制策略8(三).信息加密策略9(四).网络安全管理策略10结论11致谢12参考文献13第一章绪论计算机网络的概念国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。1.2计算机网络安全的现状计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。1.3计算机遭受攻击的危害据美国联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件，1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆?塞特尔称：给我精选10名“黑客”，组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：“如果给我一台普通计算机、一条线和一个调制解调器，就可以令某个地区的网络运行失常。”

据了解，从1997年底至今，我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。1.4计算机被攻击的原因当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因：

(1)Internet所用底层TCP/IP网络协议本身易受到攻击，该协议本身的安全问题极大地影响到上层应用的安全。(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。(3)快速的软件升级周期，会造成问题软件的出现，经常会出现操作系统和应用程序存在新的攻击漏洞。(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致，网上保密的法规制度可操作性不强，执行不力。同时，不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施，甚至有一些网络管理员利用职务之便从事网上违法行为。1.5计算机网络攻击的特点损失巨大由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中

的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计

算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经

济损失是一般案件的几十到几百倍。威胁社会和国家安全一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作

为攻击目标,从而对社会和国家安全造成威胁。手段多样,手法隐蔽计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获

取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还

可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很

短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。以软件攻击为主几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统

的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通

信过程中的信息流)进行严格的保护。第二章计算机网络面临的威胁2.1现有网络安全技术的缺陷现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的，它只能相应地在一定程度上解决这一个或几个方面的网络安全问题，无法防范和解决其他的问题，更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题，但却无法防止确认的用户之间传递的信息是否安全的问题，而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害，但却无法识别和确认网络上用户的身份等等。2.2信息安全的原因信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全，即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。计算机信息系统之所以存在着脆弱性，主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外，主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。2.3网络安全的威胁由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”，因而，成为一些人窥视的目标。再者，由于计算机信息系统自身所固有的脆弱性，使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面：自然灾害计算机信息系统仅仅是一个智能的机器，易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前，我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施，接地系统也疏于周到考虑，抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射，导致网络信噪比下降，误码率增加，信息的安全性、完整性和可用性受到威胁。网络软件的漏洞和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

黑客的威胁和攻击计算机信息网络上的黑客攻击事件越演越烈，已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识，能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重，他们通常采用非法侵人重要信息系统，窃听、获取、攻击侵人网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。黑客问题的出现，并非黑客能够制造入侵的机会，从没有路的地方走出一条路，只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷，成为被攻击的目标或利用为攻击的途径，其信息网络脆弱性引发了信息社会脆弱性和安全问题，并构成了自然或人为破坏的威胁。

计算机病毒90年代，出现了曾引起世界性恐慌的“计算机病毒”，其蔓延范围广，增长速度惊人，损失难以估计。它像灰色的幽灵将自己附在其他程序上，在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。

垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动，把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受垃圾邮件。与计算机病毒不同，间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息。事实上，间谍软件日前还是一个具有争议的概念，一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影，并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能小同程度的影响系统性。

信息战的严重威胁信息战，即为了国家的军事战略而采取行动，取得信息优势，干扰敌方的信息和信息系统，同时保卫自己的信息和信息系统。这种对抗形式的目标，不是集中打击敌方的人员或战斗技术装备，而是集中打击敌方的计算机信息系统，使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法，其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统，信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说，未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。

计算机犯罪计算机犯罪，通常是利用窃取口令等手段非法侵人计算机信息系统，传播有害信息，恶意破坏计算机系统，实施贪污、盗窃、诈骗和金融犯罪等活动。

在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。第三章攻击的各种方式3.1间谍软件所谓“间谍软件”,一般指从计算机上搜集信息,并在未得到该计算机用户许

可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号

、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其

影响下这些行为不可避免的响网络性能,减慢系统速度,进而影响整个商业进程。3.2混合攻击混合攻击集合了多种不同类型的攻击方式,它们集病毒,蠕虫以及其他恶意代

码于一身,针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散,从而导致

极大范围内的破坏。3.3绕道攻击网关级别的安全防护无法保护电脑免遭来自CD,USB设备或者闪盘上的恶意软

件攻击。同理,那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假

如你将电脑拿到一个无线热点区域之中,那么窃听者以及AP盗用者都有可能拦截到

电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些

攻击,我们就将其称为“绕道攻击”。3.4网页及浏览器攻击网页漏洞攻击试图通过Web服务器来破坏安全防护,比如微软的

IISApache,Sunday的JavaWeb服务器,以及IBM的WebSphere。3.5蠕虫及病毒感染现有计算机程序的病毒,以及那些本身就是可执行文件的蠕虫,是最广为

人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中,然

后通过电子邮件进行传播,而蠕虫通常是直接通过网络对自身进行传播。一旦病毒

或者蠕虫感染了一台电脑,它不仅会试图感染其他系统,同时还会对现有系统大搞

破坏。3.6网络欺诈网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、或网站,这些网站

往往和网上银行或支付服务相关,让你认为它们是合法的,而其意图则是让用户提

交自己的私人信息,或是下载恶意程序来感染用户的计算机。3.7击键记录击键记录,或者输人记录,指的都是那些对用户键盘输人(可能还有鼠标移动)

进行记录的程序,那些程序以此来获取用户的用户名、密码、电子邮件地址,即时

通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄的将这些文件转发出去,供记录者进行不法活动。第四章计算机网络安全防范策略4.1提高安全意识不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；尽量避免从Internet下载不知名的软件、游戏程序；密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举；及时下载安装系统补丁程序；不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。4.2防火墙技术防火墙的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一

种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不

可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全

域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网

络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和

信息安全的基础设施。4.3建立安全实时相应和应急恢复的整体防御没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及

时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。4.5数据传输加密技术目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前

者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密

钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封

,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将

被自动重组、解密,成为可读数据。4.6密钥管理技术为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥

往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。4.7加强网络安全的人为管理在网络安全中,除了采用上述技术措施之外,加强网络的安全管理、制定有效

的规章制度,对于确保网络的安全、可靠运行,将起到十分有效的作用。加强网络

的安全管理包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。首先是加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识,提高人员的安全素质。另外还需要健全的规章制度和有效易于操作的网络安全管理平台。4.8使用防毒、防黑等防火墙软件防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。4.9设置代理服务器，隐藏自己的IP地址保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。4.11提高警惕由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。4.12备份资料在信息化的潮流中，在信息化与否之间没有第二种选择，只有选择如何更好地让信息化为提高单位工作效率，为增强企业竞争力服务。如何让信息化建设真正有效地为单位或企业服务，是个颇费心思的问题；这也是一个不断尝试，不断改进和完善的过程。在单位或企业的业务平台真正实现完全向信息系统转移，运作非常依赖信息资产前，企业管理层安全意识薄弱的问题是有一定的客观原因的；随着企业信息化水平的不断加深，管理层网络安全意识应该会逐步得到增强，并逐步会主动去思考如何更好地构筑信息平台的安全保障体系。这一点，从电信、金融、电力等极度依赖信息系统的领域可以看出来。鉴于当前世界网络面临如此多的安全隐患，世界各国均十分重视，纷纷采取对策。4.13物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。4.14访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。

4.14.3网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。

4.14.4当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。4.14.5网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

4.14.6网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。4.15信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

常规密码收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

4.15.2收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，以确保信息安全。参考文献2.信息管理系列编委会．网络安全管理.中国人民大学出版社，20033.张红旗．信息网络安全[M]．清华大学出版社，20024.朱理森，张守连.计算机网络应用技术[M].北京:专利文献出版社，20015.许治坤王伟郭添森杨冀龙.网络渗透技术.电子工业出版社，2005致谢毕业设计与论文即将完成之际，回想起开始工作的不知所措，以及调研、调试过程中的多次遇阻，真是说不出的艰辛。幸好，有许多老师、同学的帮助，我才得以调试成功，一次次的改进自己的程序，实现各种功能。正是在这些朋友的帮助下，我才及时纠正了自己的错误。中国联合网络通信集团（成都）分公司集团客户网络安全及故障应急预案客户名称**********************客户地址**********************中国联合网络通信成都分公司年月日尊敬的客户：感谢您使用中国联合网络通信成都市分公司（简称“成都联通”）的通信业务！也谨向您长期以来给予我公司的信任与支持表示由衷的感谢！联通公司秉承“以客户为中心，用服务促发展”的服务理念，以覆盖全国的网络资源、优质卓越的通信技术、周到细致的客户服务竭诚为您提供全方位的综合通信服务。集团客户是联通公司的宝贵财富，是我们不断创新、持续发展的动力。联通公司已在全国建立了覆盖售前、售中、售后全过程的专属服务队伍，为集团客户提供个性化、全方位、一站式的专业通信服务。联通公司将以“信息生活的创新服务领先者”为发展愿景，通过优质的通信服务“让客户放心，让社会满意”。再次对您选择浙江联通作为合作伙伴表示最诚挚的感谢，也衷心希望能与您携手共创信息化的美好明天。中国联合网络通信成都市分公司

*****客户网络安全及故障应急预案客户网络资料客户基础资料1、客户名称：××××××2、客户地址:××××××3、客户联系人:××××××4、客户SLA等级：××××××5、所属行业：××××××6、客户经理：王冶××××××6、客户经理：王冶××××××客户业务资料序号业务号码电路编号电路类型速率(Mbps)客户地址（A端）客户地址（Z端）客户网络拓扑图

电路路由资料序号电路编号速率(Mbps)客户地址（A端）客户地址（Z端）路由1接入段光路资料：1、A点位（***）接入光缆路由：2、B点位（***）接入光缆路由：接入段设备资料1、A点位（***）设备情况：为2021年投资的华为metro1000传输设备，接入成都联通传输C面网络。目前运行正常稳定，备件充足。2、B点位（***）设备情况：为2021年投资的华为metro1000传输设备，接入成都联通传输C面网络。目前运行正常稳定，备件充足。3、客户接入汇聚网络设备，采用华为OSN传输设备组成全保护网络，运行稳定正常，备件充足。4、用户自有设备情况：重要机房资料1、A点位上端机房（*****）：该机房系我司自有产权，现场核查机房内动力环境良好，蓄电池已为********，电源参数配置正常。2、B点位上端机房（*****）：该机房系我司自有产权，现场核查机房内动力环境良好，蓄电池已为*******，电源参数配置正常。3、客户机房情况：

网络风险评估（一）网络拓扑与光缆路由省邮政ODF3-7盘-