公司網(wǎng)絡(luò)安全管理體系(共11頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上公司網(wǎng)絡(luò)安全管理策略一、網(wǎng)絡(luò)概況隨著公司信息化水平的逐步提高，網(wǎng)絡(luò)安全與否，直接關(guān)系到油田生產(chǎn)和科研的正常進(jìn)行。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個(gè)漏洞，都會導(dǎo)致全網(wǎng)的安全問題。如果不進(jìn)行有效的安全防護(hù)，網(wǎng)絡(luò)信息系統(tǒng)將會受到具有破壞性的攻擊和危害。公司網(wǎng)絡(luò)按訪問區(qū)域可以劃分為四個(gè)主要的區(qū)域：公司內(nèi)部局域網(wǎng)、服務(wù)器群、外部Internet區(qū)域。二、 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 隨著公司客戶和內(nèi)部局域網(wǎng)上網(wǎng)用戶迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。有一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境對于公司的運(yùn)營來說至關(guān)重要。 針對公司網(wǎng)絡(luò)中存在的安全隱患，下述安全風(fēng)險(xiǎn)我們必須要認(rèn)真考慮，

2、并且要針對面臨的風(fēng)險(xiǎn)，采取相應(yīng)的安全措施。下述風(fēng)險(xiǎn)由多種因素引起，與公司網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險(xiǎn)因素： 網(wǎng)絡(luò)安全可以從以下三個(gè)方面來理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺是否安全；3 系統(tǒng)是否安全；4 應(yīng)用是否安全；5 管理是否安全。針對每一類安全風(fēng)險(xiǎn)，結(jié)合公司網(wǎng)絡(luò)的實(shí)際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。2.1物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全的風(fēng)險(xiǎn)是多種多樣的。 網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警

3、系統(tǒng)、安全意識等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，所以要制定制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。2.2網(wǎng)絡(luò)平臺的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。公開服務(wù)器面臨的威脅 公司網(wǎng)絡(luò)內(nèi)公開服務(wù)器區(qū)作為公司的繳費(fèi)運(yùn)營平臺，一旦不能運(yùn)行后者受到攻擊，對企業(yè)的運(yùn)營影響巨大。同時(shí)公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)，因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對Internet安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正

4、常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。這些任務(wù)主要通過對路由、防火墻的設(shè)置來實(shí)現(xiàn)。2.3系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全顯而易見是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和

5、硬件平臺。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。2.4應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對于公司開發(fā)的軟件的數(shù)據(jù)安全性問題，可以針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。2.5管理的安全風(fēng)險(xiǎn)分析管理是網(wǎng)絡(luò)安全中最重要的部分 管理是網(wǎng)

6、絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。2.6黑客攻擊 黑客們的攻擊行動是無時(shí)無刻不在進(jìn)行的，而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到服務(wù)器的口令并將之送回。黑客侵入服務(wù)器后，有可能

7、修改特權(quán)，從普通用戶變?yōu)楦呒売脩?，一旦成功，黑客可以直接進(jìn)入口令。在公司的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護(hù)技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。2.7病毒的攻擊 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅?，F(xiàn)在很多病毒都是通過Internet傳播，并且病毒的種類和傳染方式也在增加，這就增加了這種威脅的程度。瀏覽不安全的網(wǎng)頁、下載可執(zhí)行文件和接收來歷不明的文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。2.8網(wǎng)絡(luò)的攻擊手段一般認(rèn)為，目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在： 非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪

8、問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏，信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。 破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。 拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常

9、用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。 利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。三、 安全需求與安全目標(biāo)3.1安全需求分析 通過前面我們對公司網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：公開服務(wù)器的安全保護(hù) 防止黑客從外部攻擊 入侵檢測與監(jiān)控 信息審計(jì)與記錄 病毒防護(hù) 數(shù)據(jù)安全保護(hù) 數(shù)據(jù)備份與恢復(fù) 網(wǎng)絡(luò)的安全管理針對公司網(wǎng)絡(luò)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題

10、的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：1.大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；2.保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置； 3.易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作； 4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 5.安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用； 6.安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證； 3.2網(wǎng)絡(luò)安全策略 安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個(gè)重要組成部分，即： 威嚴(yán)的法律：安

11、全的基石是社會法律、法規(guī)、與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。 先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。 嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識。3.3系統(tǒng)安全目標(biāo)基于以上的分析，我們認(rèn)為這個(gè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與

12、外部網(wǎng)絡(luò)的直接通信 建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全 對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕 加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度 全面監(jiān)視對公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為 加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完 整的系統(tǒng)日志 備份與災(zāi)難恢復(fù)強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù) 加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)四、 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控

13、制系統(tǒng)由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理4.1物理安全 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。 它主要包括三個(gè)方面： 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn)GB5017393電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、國標(biāo)GB288789計(jì)算站場地技術(shù)條件、GB936188計(jì)算站場地安全要求 設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電

14、源保護(hù)等； 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。 在網(wǎng)絡(luò)的安全方面，主要考慮兩個(gè)大的層次，一是整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。4.2.1網(wǎng)絡(luò)結(jié)構(gòu) 安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上的，網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，主要考慮網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。 網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和實(shí)用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計(jì)，充分利用現(xiàn)有資源，具有運(yùn)營管理的簡便性，完善的安全保障體系。網(wǎng)絡(luò)結(jié)構(gòu)采用分層的

15、體系結(jié)構(gòu)，利于維護(hù)管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。 網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖现饕紤]到冗余鏈路；防火墻的設(shè)置和入侵檢測的實(shí)時(shí)監(jiān)控等。4.2.2網(wǎng)絡(luò)系統(tǒng)安全4.2.2.1 訪問控制及內(nèi)外網(wǎng)的隔離訪問控制訪問控制可以通過如下幾個(gè)方面來實(shí)現(xiàn)：1.制訂嚴(yán)格的管理制度:可制定的相應(yīng)：用戶授權(quán)實(shí)施細(xì)則、口令字及帳戶管理規(guī)范、權(quán)限管理制度。 2.配備相應(yīng)的安全設(shè)備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。 防火墻主要的種類是包過濾型，包過濾防火墻一般利用IP和TCP包的

16、頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上，因此也對被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。 防火墻具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。4.2.2.2網(wǎng)絡(luò)安全檢測 網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，

17、及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。 網(wǎng)絡(luò)安全檢測工具通常是一個(gè)網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。檢測工具應(yīng)具備以下功能：具備網(wǎng)絡(luò)監(jiān)控、分析和自動響應(yīng)功能找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時(shí)刻被糾正；控制各種網(wǎng)絡(luò)安全危險(xiǎn)。 漏洞分析和響應(yīng) 配置分析和響應(yīng) 漏洞形勢分析和響應(yīng) 認(rèn)證和趨勢分析具體體現(xiàn)在以下方面：防火墻得到合理配置 內(nèi)外WEB站點(diǎn)的安全漏洞減為最低 網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性 各種服務(wù)器操作系統(tǒng)，如WEB服務(wù)器、應(yīng)用服務(wù)器、，將受黑客攻擊的可能降為最低 對網(wǎng)

18、絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害4.2.2.3 審計(jì)與監(jiān)控 審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對于去定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。 因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為

19、成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測設(shè)備，以便對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。4.2.2.4 網(wǎng)絡(luò)防病毒 由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)：1.預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。 2.檢測病毒技術(shù)：它是通過對計(jì)算機(jī)病毒的特征來進(jìn)行判斷

20、的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等。 4.2.2.5 網(wǎng)絡(luò)備份系統(tǒng) 備份系統(tǒng)為一個(gè)目的而存在：盡可能快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。在確定備份的指導(dǎo)思想和備份方案之后，就要選擇安全的存儲媒介和技術(shù)進(jìn)行數(shù)據(jù)備份。4.3系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略： 對操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對Internet公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。 應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化的開發(fā)過程，盡可能的減少應(yīng)用系統(tǒng)的漏洞； 通過專業(yè)的安全工具（安全檢測系統(tǒng)

21、）定期對網(wǎng)絡(luò)進(jìn)行安全評估。4.4信息安全 因?yàn)楣镜姆?wù)平臺是對Internet公開，所以在軟件設(shè)計(jì)的時(shí)候要考慮到信息的安全，要對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的傳輸安全。4.5應(yīng)用安全 在應(yīng)用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲?jì)記錄。這必須加強(qiáng)登錄過程的認(rèn)證（特別使在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。另外，在加強(qiáng)主機(jī)的管理上，除了上面談的訪問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對權(quán)限進(jìn)行分割和管理。應(yīng)用安全平臺要加強(qiáng)資源目錄管理和授權(quán)管理、傳輸加密、審計(jì)記錄和安全管理。對應(yīng)用安全，主要考慮確定不

22、同服務(wù)的應(yīng)用軟件并緊密注視其Bug。4.6安全管理 為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規(guī)范來實(shí)現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺（包括網(wǎng)絡(luò)管理和安全管理）。安全管理策略主要有：定義完善的安全管理模型；建立長遠(yuǎn)的并且可實(shí)施的安全策略；徹底貫徹規(guī)范的安全防范措施；建立恰當(dāng)?shù)陌踩u估尺度，并且進(jìn)行經(jīng)常性的規(guī)則審核。當(dāng)然，還需要建立高效的管理平臺。4.6.1安全管理規(guī)范 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安

23、全管理規(guī)范的建立，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。1.安全管理原則 網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個(gè)原則。 多人負(fù)責(zé)原則：每一項(xiàng)與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有：訪問控制使用證件的發(fā)放與回收； 信息處理系統(tǒng)使用的媒介發(fā)放與回收； 處理保密信息； 硬件和軟件的維護(hù)； 系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改； 重要程序和數(shù)據(jù)的刪除和銷毀等； 任期有限原則：一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。 職責(zé)分離原則：在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。計(jì)算機(jī)操作與計(jì)算機(jī)編程； 機(jī)密資料的接收和傳送； 安全管理和系統(tǒng)管理； 應(yīng)用程序和系統(tǒng)程序的編制； 訪問證件的管理與其它工作； 計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。2.安全