近几年的网络安全事件范文

导语：如何才能写好一篇近几年的网络安全事件，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

应急响应彰显技术实力

据悉，中国计算机网络安全年会以“服务信息社会、共建和谐网络”为宗旨，自2004年举办以来，历经十余年的发展，吸引了政府和重要信息系统部门、行业企业、高校和科研院所等组织与机构，目前已成为国内外网络安全领域技术交流的重要平台。

本届年会以“智能网络 安全护航”为主题，围绕网络安全治理、智能网络安全、网络安全与生活、CNCERT-CIE网络安全学术论坛等四个专题设置分论坛，并邀请政府和重要信息系统部门、国内网络安全产业界的领导和知名专家做主题报告。东软研究院副院长闻英友以“智能互联网络应用中的数据融合安全问题探讨”为题，在会上做了主题报告，其新颖的观点、精彩的诠释引起了与会嘉宾的浓厚兴趣。

在本届年会上，每两年举办一次的国家应急响应支撑单位评选宣布了最终的结果，申报的13家单位经过来自国家应急中心领导及各省应急分中心领导的严格评审，以及针对申报企业技术能力、全国服务能力、企业综合实力、全国实践案例等多项指标的打分，东软、安恒、360、安天、启明星辰、天融信、恒安嘉新、中国电信等8家国内安全企业和单位最终入围。

据悉，为了保证评审的公平和严肃，今年主办方增加了评选的难度，将候选单位获得各省中心的一致同意推荐数由不低于5家提升至不低于10家。因此，在本次评选中，各申报单位间的竞争异常激烈。东软网络安全事业部副总经理路娜、咨询总监王军民代表东软安全参加了答辩会，并以优异的成绩得到了评审专家的一致好评。

最终，东软安全在13家候选单位中脱颖而出，再次获得“国家应急响应支撑单位”称号。至此，东软安全已连续第六届获此殊荣。

用技术实力和实践经验说话

以承接国家95信息安全攻关项目为契机，东软NetEye自1996年正式进入信息安全领域，先后在沈阳和北京两地建立了信息安全技术研发基地和解决方案验证中心，并于2000年成立了攻防研究实验室和东软信息安全服务团队，至今已积累了19年的信息安全技术研究和应急响应服务经验。

长期以来，东软积极参与国家信息安全风险评估的一系列标准的制定工作，并多次协助国家有关部门对电信、税务等行业开展了全国性的信息安全大检查。

东软长期配合政府部门进行漏洞挖掘、标准研究、重大安全事件追查处理等技术支持工作。东软还多次配合公安机关追踪调查多项重大计算机案件，承担着国家重大信息安全事件的技术响应支持工作，比如2002年中国跨省现场抓获DDoS攻击者案件、2008年北京奥运会、2009年国庆、2010年世博会、亚运会，以及近几年在国家“两会”期间，为多个国家部委和金融、电力、交通等基础行业的客户提供信息安全保障技术服务。更为难得的是，十多年来，东软NetEye提供的信息安全应急响应服务达到非常高的客户满意度。

近年来，东软NetEye不断总结和完善应急响应机制，制定了一整套应急响应工作规范与流程，从接到应急响应需求的那一刻起，第一时间启动应急机制，判断安全事件类别。东软安全小组会在24小时内赶赴客户现场进行检测、分析与取证，查找系统漏洞、恶意代码或后门等，分析入侵方式，协助客户尽快恢复和加固系统，并持续进行监控与追查，最终形成总结报告。

应急响应服务说到底是依托人来完成的

优秀的人才是东软宝贵的财富。19年来，东软NetEye培养了一批优秀的技术骨干，在全国各个分支机构中都有专职的信息安全工程师，可为全国用户提供7×24小时的不间断服务。不仅在安全领域，就是在用户核心业务系统、网络、主机等方面，东软都拥有强大的专业技术团队，同时与国内外众多厂商结成战略联盟，共享第一手信息资源和技术成果。

安全攻防研究实验室：负责追踪研究国内外新的攻防技术，并提供新的漏洞信息和安全事件信息等。

安全服务部：负责全国范围内重点安全服务项目和重大安全事件应急响应的技术支持。

安全工程实施部：分布在全国八个大区，提供全国范围内安全服务项目及一般性应急响应服务技术支持，具备丰富的一线服务工作经验。

IT服务部：拥有多名通过微软、Cisco、IBM、HP、Oracle等公司专业认证的IT专家，他们组成了安全服务项目中专业的技术支持团队。

自2004年成为国家应急服务技术支持单位以来，东软在大量的实际工作中积累了丰富的经验与成功案例，设计了专门的应急响应培训课程，并已用于大量的用户培训，取得了非常好的效果。

未来，东软计划将这些前端的实战经验融入到东软在沈阳、大连、成都、南海四个学院的高校教材，并进行推广与普及。

更好地提高应急响应工作的效率和质量，是东软NetEye近年来重点考虑的问题。基于大量应急事件分析、总结后产生的需求，东软NetEye自主研发，推出了IDS、IPS、NTARS等一系列产品。由此可见，应急响应工作已经成为东软产品发展的重要推动力之一。

篇2

摘要：本文首先介绍了计算机网络与通信课程的特点，然后分析了该课程原来存在的一些问题，进而阐述了在学校“三创”教育理念指导下计算机网络与通信课程的教学改革。

关键词：计算机网络与通信；三创教育理念；教学方法；教学手段；培养模式

中图分类号：G642 文献标识码：B

1引言

我校“计算机网络与通信”课程是湖北省精品课程，现正在申报国家级精品课程，其前身是“计算机网络”课程，从1985年起便在我校本科生中开设。该课程最初是计算机系统结构专业的必修课，计算机软件专业的指定选修课。随着计算机网络技术及互联网技术的不断发展，计算机网络与通信技术在众多的技术中已处于非常重要的地位，成为促进社会发展的重要技术支柱，“计算机网络与通信”课程因而变得越来越重要，也越来越受到学校和学生们的重视，已成为包括信息安全专业在内所有专业的必修课。

我校作为首批国家“985工程”和“211工程”重点建设高校以及教育部批准的8所创业教育试点院校之一，在新时期对学生的培养提出了新的要求。根据“三创”(创造、创新、创业)教育理念和办学指导思想，学校将培养适应经济、科技和社会发展需要的厚基础、宽口径、高素质、强能力的，特别是具有创造、创新、创业精神和能力的复合型拔尖人才作为人才培养的目标。

要达到上述人才培养目标，迫切要求我们将“三创”教育理念贯彻到实际的教学实践中去，进行切实可行、卓有成效的教学改革。本文将对“三创”教育理念下“计算机网络与通信”课程的教学改革进行一定的探索，以适应新形势下人才培养的需求。

2课程原有问题剖析

2004年7月初，计算机学院院领导、网络课程组所有老师和30多名学生代表齐聚一堂，召开了“计算机网络与通信”课程讨论会。会上师生进行了坦诚且细致深入的面对面交流，并对该门课程教与学中存在的一些问题形成了共识，归纳起来有以下几方面的问题：

(1) 一些授课教师只注重协议的原理、协议性能分析的讲解、没有从应用的角度讲解TCP/IP体系中的每层协议，学生理解起来比较困难，整个教学过程显得有些枯燥乏味。学生都希望老师能注重案例式教学，通过实际的网络规划、协议实现、网络工程、网络测试等案例激发学生学习兴趣，帮助学生加深理解网络知识，促进教学与实践相结合。

(2) 网络实验室的交换机、路由器、防火墙等网络设备台数有限，当多人组成一个实验小组时，有些同学实际动手的机会比较少，这样会影响他们的学习积极性。如果不能在短时间内解决硬件问题，建议老师们讲解一些网络仿真、网络模拟软件的用法，以便让学生自己能利用业余时间做更多的网络实验。

(3) 由于学生的接受能力存在差异，部分学生反映跟不上教学进度。特别是做实验时有些老师演示太快，学生节奏慢，实验做不出来。希望老师们能提供更多更详细的资料，最好是将实验演示过程录制成视频文件，放在网上供学生自主学习。

(4) 部分学生反映“计算机网络与通信”课程学完之后，实际动手及应用知识的能力还是不强，为了达到学以致用的目的，能不能参加到教师的相关科研项目中进行锻炼，或者由老师们指导进行大学生业余科研项目的申报及研究，以将我校的三创精神落到实处。

3“计算机网络与通信”课程改革思路

针对2004年“计算机网络与通信”课程讨论会的主要问题，在“三创”教育理念的指导下，我们网络课程组近几年来对网络课程的教学方式、教学手段、教学模式进行了积极有益的课程改革探索，收到了非常好的效果。

3.1基于“案例”的课堂教学方法

案例教学是教师根据课堂教学目标和教学内容的需要，通过设置具体案例，引导学生参与分析、讨论、表达等活动，进而提高学生分析问题和解决问题的能力的一种教学方法，其本质是理论与实践相结合的互动式教学。与传统的“从概念到概念”的灌输、填鸭式教学方法相比，案例教学法具有理论联系实际、促进学生应用知识能力的培养等优越性。

在“计算机网络与通信”课程中我们充分应用“案例”教学方法，讲解网络体系结构、数据链路层帧的组成、动态路由协议、TCP/UDP和应用层协议等。

例如我们在讲解网络安全知识时，为了让学生掌握防火墙、入侵检测系统、身份认证系统等如何协同构建整体企业安全网络时，通过实际项目中采用的锐捷GSN方案进行讲解，如图1所示。

通过该案例，学生不仅掌握了Firewall和IDS的工作原理，还领会了如何在实际网络中部署这些设备。学生也清楚地理解这些网络安全产品间如何共同构筑防御体系。当用户使用网络前，首先由接入交换机和RG-SAM(身份认证系统)对其进行身份验证，从而拦截了非法用户使用网络。RG-SMP(安全管理平台)学习用户的身份、主机环境等信息，并将制定好的主机完整性策略下发到安全客户端。安全客户端对用户主机进行主机完整性对比检查，并将检查结果反馈回RG-SMP服务器。在用户上网过程中，入侵检测系统RG-IDS对网络安全事件进行检测收集，将安全事件反馈回RG-SMP。RG-SMP对RG-IDS反馈的安全事件进行统一管理，将安全事件关联至用户。RG-SMP还可对每个用户的主机完整性检测结果和安全事件进行处理，生成相应的策略，并下发至交换机执行。

在“计算机网络与通信”课程的教学中，我们几乎用案例教学法贯穿了所有章节，帮助学生直观、形象、深刻地理解所学内容，并进一步提高了他们分析问题和解决问题的综合能力。

3.2虚实结合的实验教学手段

计算机网络是一种高速发展的技术，要取得好的实验效果，就需要为学生提供充分的新技术实验机会，当前网络实验室普遍是利用路由器、交换机、PC机组成实际的网络实验室。这种方法由于经费的限制，只能提供有限数量和型号的实验设备，种类较少，设备更新慢，学生实验机会少，很难达到每人单独使用一套网络实验设备的标准，并无法掌握最新网络技术，实验效果无法保证，不利于学生“三创”能力的培养。

针对上述实验现状，我们充分利用现有的网络模拟仿真软件NS2(Network Simulator Version 2)、Cisco官方模拟器Packet Tracer、网络协议分析器Ethereal等软件，首先让学生在自己的PC机上练习网络设备(如路由器、交换机)的配置、对网络数据包进行捕获和分析、并可对新型网络技术(如Ad Hoc网络、无线传感器网络)进行模拟。在熟练掌握上述虚拟实验方法后，再进行实际网络设备的实验。另外，为培养学生的创造和创新能力，还可先让学生在虚拟实验环境下，设计和实现综合性网络实验，成功后再在实际设备上进行验证。对于硬件设备和NS2模拟器中都没有的新型网络协议和网络技术，则可通过自己动手编程扩展NS2模拟器，来达到加深理解网络新技术的目的。

例如我们在教学过程中使用的Packet Tracer是一款思科路由器、交换机、无线AP和服务器模拟软件，软件中内置了一些定制的实验包，同时也支持自定义网络拓扑结构及连接。通过Packet Tracer的强大功能，学生可掌握路由器、交换机等常用网络设备的配置和管理。另外值得一提的是，在Packet Tracer中支持跟踪数据包，并能实时分析数据包的结构，这对学生理解数据包的封装非常有帮助。图2所示为利用Packet Tracer进行RIP实验的拓扑图。

我们采用的虚实结合实验教学手段一方面充分发挥模拟软件强大的分析、模拟、仿真功能，使学生深刻理解抽象的理论知识；另一方面通过在实际设备上做实验，帮助学生掌握如何架构、配置和管理真实网络，提高实战能力。实践证明，虚实结合实验教学手段极大地促进了教学效果的改善。

3.3教学科研相互促进的培养模式

教学与科研是一个具有内在联系的不可分割的统一体，教学与科研既不互相矛盾，也不能互相代替。没有科研的教学是不完整的教学，没有教学的科研不是高校中的科研。高校的教学与科研作为一个整体，共同构建了高校的教书育人环境。

要培养“三创”型人才，单凭向学生传授书本上的理论知识还远远不够，“三创”能力的培养必须要将理论知识与实际的科研项目相结合，使学生在科研实践中加深对理论知识的理解，甚至可对理论知识进行扩展，从而达到“创造”、“创新”的水平。另外，如果将学生的毕业设计和科研项目紧密结合，不但使学生在毕业设计中真正做到“学以致用”，还可为学生以后的“创业”打下良好的基础。因此“计算机网络与通信”课程在教学过程中需要注重发挥本课程的优势，以科研支持本科教学，将部分科研溶入本科教学。

例如在讲授“TCP拥塞控制机制”和“网络安全”章节时，可以结合国家自然科学基金项目“低速率的拒绝服务攻击模型和防范研究”的研究内容，讲解目前黑客是如何利用TCP拥塞控制机制(慢启动、拥塞避免等)特点而进行低速率拒绝服务攻击，不但使这两方面的知识与实际场景相联系，加深学生的理解，又可以将对课题感兴趣的同学吸引到项目研究中来，从而提高学生的实际动手能力和创新能力。

4结束语

根据“三创”教学理念，并结合“计算机网络与通信”的课程特点，我们提出将基于“案例”的课堂教学方法、虚实结合的实验教学手段和教学科研相互促进的培养模式应用于实际的课程教学中，以培养学生自主学习、勇于创新的能力，在近两年的教学实践过程中已取得良好的教学效果，培养出的本科毕业生在计算机网络应用和创新能力方面有了很大的提高，能够很快的适应该领域的相关工作，为创业打下良好的基础。当然，要培养出具有国际竞争力的计算机网络人才，“计算机网络与通信”课程改革还任重道远，还需要不断地进行更深层次的研究和探索。

参 考 文 献

[1] 马慧麟. “计算机网络”课程教学模式改革探讨[J]. 中央民族大学学报(自然科学版)，2007，15(4)：23-26.

[2] 黄高飞. 关于计算机网络渐进式教学的探讨[J]. 中山大学研究生学刊，2006，3(1)：10-13.

[3] 沈德海，于忠党. 计算机网络教学研究[J]. 四川教育学院学报，2007，4(4)：88-89.

篇3

1 安全隐患

近几年来,随着高校规模的不断扩大,新校区或者合并校区的扩建,高校校园网普遍存在网络规模较大,上网地点较分散,网络监管困难,上网行为不够规范等现象,因而加大了校园网络在使用过程中的安全隐患。

1.1网络自身的安全缺陷

网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。

1.2网络结构、配置、物理设备不安全

最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。并且网络使用中由于所连接的计算机硬件多,一些厂商可能将未经严格测试的产品推向市场,留下大量安全隐患。同时,由于操作人员技术水平有限,所以在网络系统维护阶段会产生某些安全漏洞,尽管某些系统提供了一些安全机制,但由于种种原因使这些安全机制没有发挥其作用。

1.3内部用户的安全威胁

系统内部人员存心攻击、恶作剧或无心之失等原因对网络进行破坏或攻击的行为,将会给网络信息系统带来更加难以预料的重大损失。U盘、移动硬盘等移动介质交叉使用和在联接互联网的电脑上使用,造成病毒交叉感染等等,都会给校园网络带来较大的安全威胁。特别是近年来利用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不断增加,严重影响了网络安全。

1.4软件的漏洞

一般认为,软件中的漏洞和软件的规模成正比,软件越复杂其漏洞也就越多。在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞本身的攻击较多,且影响也较严重。再加之,目前如办公、下载、视频播放、聊天等软件的流行,让使用率较高的程序也成为被攻击的目标。

1.5病毒的传播

网络的发展使资源的共享更加方便,移动设备使资源利用显着提高,但却带来病毒泛滥、网络性能急剧下降,许多重要的数据因此受到破坏或丢失,也就是说,网络在提供方便的同时,也成为了病毒传播最为便捷的途径。例如,“红色代码”、“尼姆达”、“冲击波”、“震荡波”、“欢乐时光”、“熊猫烧香”的爆发无不使成千上万的用户受到影响,再加之,近几年病毒的黑客化,使得病毒的感染和传播更加快速化、多样化,因而网络病毒的防范任务越来越严峻。

1.6各种非法入侵和攻击

由于校园网接入点较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得校园网成为易受攻击的目标。非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。比如:漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务等。

2 校园网安全管理和维护的措施与建议

通过以上安全缺陷分析,校园网络安全的形式依然非常严峻。制定整体的安全部署解决安全隐患和漏洞,是校园网安全、健康运行的保障。

2.1配备高性能的防火墙产品

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对防火墙作好安全设置,设定恰当的访问控制策略,保障网络资源不被非法使用和访问。

2.2网络设计、使用更合理化

在网络设计之初,需要理解终端设备安全事件对网络的影响,确定需要采取的安全措施,通过已知身份验证的设备访问网络,防范未经授权的接触,让入侵者难以进入。这样网络才能提供可预测、可衡量、有保证的安全服务。

2.3软件漏洞修复

在校园网络系统运行过程中,一方面对用户进行分类,划分不同的用户等级,规定不同的用户权限;另一方面对资源进行区分,划分不同的共享级别,例如:只读、安全控制、备份等等。同时,给不同的用户分配不同的帐户、密码,规定密码的有效期,对其进行动态的分配和修改,保证密码的有效性;配合防火墙使用的情况下,对一些IP地址进行过滤,以防止恶意破坏者入侵;建立补丁更新服务器,部署全局更新机制,实时、高效更新软件漏洞。

2.4防杀毒软件系统

在互联网技术飞速发展的今天,病毒以每年两千种新病毒的速度递增。在校园网中使用带防火墙的企业版杀毒软件,就能对整个校园网络的起到安全防护的作用,使计算机免受病毒入侵。

2.5配备入侵检测系统(IDS)并建立蜜罐陷阱系统

入侵检测就是对入侵行为的检测,通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,而蜜罐的目的在于吸引攻击者、然后记录下一举一动的计算机系统,攻击者入侵后,可以随时了解其针对服务器发出的最新的攻击和漏洞,这样系统就可以及时、有针对性的防范攻击和修复漏洞。

2.6系统安全风险评估

互联网的不安全因素无时无刻的威胁着网络安全,只有在网络系统所面临的风险进行了有效评估的基础上,才能掌握网络安全中存在的漏洞和威胁,从而采取有效措施控制网络风险。风险评估过程是一个动态循环的,因此必须进行周期性、长期的评估。

2.7灾难恢复计划

1996年报道的网络攻击方式只有400种,1998年达到4000种。 CERT/CC公布的漏洞数据为,2000年1090个,2002年已经增加至4129个。可以想象,对管理员来说要跟上补丁的步伐是很困难的。而且,入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。尤其是缓冲区溢出类型的漏洞,其危害性非常大而又无处不在,是计算机安全的最大的威胁。我们无论怎么想办法都不可能防止灾难的发生,但为了使灾难发生造成的损失减到最小,就应该在灾难发生之前建立意外事件计划,记录各种灾难发生所产生的影响,并为此作出相应的应对措施。

2.8加强管理

随着网络技术的迅速发展、应用领域的广泛性以及用户对网络的了解程度加深,恶意破坏者或者非法入侵者对网络安全的影响会越来越大,这就使得网络安全管理工作任务更加艰巨而重要。因而,在网络安全管理工作中必须做到及时进行漏洞的修补和日志的查看,保证网络的稳定性。另外,高校也应该颁布网络行为的相关规范和处罚条例,这样才能更有效的控制和减少来自内部网络的安全隐患。

3 结束语

篇4

[关键词]建设信息化 科技强检 快速发表

中图分类号：D926.1 文献标识码：A 文章编号：1009-914X（2015）47-0335-01

一、抚远县检察院科技强检工作的基本情况

1、办公、办案业务软件系统和网络化办公、办案系统的全面更新。在“十一五”期间，我院通过购买和研发等方式，先后在全院安装使用了网络办公系统、文件传输系统、同步录音录像系统、小型网络会议系统、即时通讯系统、文件加密系统等多种软件系统，同时积极在全院推行各类软件系统在各个科室的应用，对各个科室进行系统的软件使用培训，初步实现了办公、办案的网络化应用。这些软件系统的推行在提高工作效率、加快办公、办案速度和质量等方面发挥了重要作用，切实增强了检察工作的科技含量。

2、加强了信息化网络基础设施建设。在“十一五”期间，抚远县检察院全面完成了本院专网的建设，促进了检察信息化工作的提高，为建立检察业务、检察队伍、检察信息化和检务保障“四位一体”的管理机制打下了坚实的基础。2006年，我院完成了视频会议室的建设，实现了于高检院、省院、市院的视频连接，提升沟通效率，减少了不必要的出差，在信息保密性方面也有很大的提高，同时可以及时了解上级院的指示和分派的任务。现在，我院和上级院的会议70%左右都是通过视频会议进行，提高了工作效率。

3、全力推进和完善专业技术门类建设。抚远县检察院建立了信息化工作领导组，检察长任组长。大力加强技术部门的建设与发展，同时设立了信息化工作负责部门，大大增强了技术门类的职能范围。通过配备专职技术人员，逐步完善了检察技术门类建设，规范了管理，促进了技术门类的发展。

二、抚远县检察院在科技强检建设过程中存在的主要问题

抚远院在 “十一五”期间信息化得到提升的同时，也存在一些问题。在信息化建设水平、设备更新与完善、仍有不同程度的不足，“十二五”期间亟待解决。

1、急需提高机房专业化的建设。抚远院属于基层院，机房建设缓慢，设备老化严重，还没有配备UPS不间断电源系统，同时机房环境恶劣，灰尘严重，温度过高，使得各种设备寿命缩短。应在“十二五”期间重新打造新的专业化机房，更换老化设备，加强机房环境处理，把机房改造成优秀级的专业机房。

2、急需改造现有网络线路。抚远院因办公楼年久失修，造成一些网络线路出现断、裂等现象，造成了工作上的很多不便。应在“十二五”期间重新对线路进行检修，让网络覆盖到每一个科室。

三、抚远县检察院“十二五”期间科技强检工作发展思路

1、加强基础网络设施建设，提升检察业务网络化的发展。

根据实际需求，对现有机房的基础硬件设施进行升级和改造，对网络办公、办案系统的升级和研发，构建统一的网络管理平台，加强对网络系统设备和链路的监测管理；加强专线网和局域网设备的维护保养，进一步提高网络通信系统的保密能力，提高网络服务承载能力和范围。继续优化网络视频会议室和完善配置移动型技术侦查装备和讯问监控设备。

2、推进检察信息化在检察业务中的应用。“十二五”期间，抚远院将努力推进检察业务、检察办公信息化应用工作。检察业务信息化应用方面，切实把建设与应用有机地结合起来，大力推动信息化在办公、办案业务中的应用，加快检察业务管理系统的建设，充分利用现有网络资源，建设覆盖政法机关各级各部门之间信息交换和共享的“信息共享平台”，逐步实现案件信息、法律文书的网络流转。

3、加强对网络安全和保密的建设与发展。根据国家对网络信息安全保密要求，通过加大网络安全方面投入，将专线网络中的不安全事件置于可防、可控、可管的安全范围之内。同时，加强对各个部门的干警网络信息安全教育和岗位培训，制定和完善检察信息网络运行管理安全制度。进一步研究制定网络遭遇突发事件时的安全策略，形成统一的网络安全的应急预案，提高信息网络系统的保密能力。今年是“十二五”计划的开局之年，抚远院将把握好未来五年的战略机遇期，认真落实高检院和省院的要求，使抚远县检察信息化建设尽快步入先进化、专业化轨道，将信息化应用更好的融入检察业务工作当中，努力实现抚远县检察院信息化飞速发展。

4、深入推进网上办公办案等无纸化应用，将现代化高科技转化到检察工作中来。

目前我院检察院已经具备了无纸化办公条件，而且也开展了一部分网上办公办案，但是就无纸化办公整体推进方面，还存在较大的问题，主要表现在以下一些方面。首先是部分干警缺乏基本网上办公办案技能，其次是少部分干警存在抵赖心理，不愿意接受新生事物，还有就是检察工作性质决定一部分工作不便于在网上开展。信息化要体现在办公、办案现代化上，要注意解决应用中的不平衡问题和各种老大难问题。推进信息化应用，要自上而下，院领导首先要亲自带头，并将这项工作纳入重要议事日程，纳入对干警的考核当中，深入推进无纸化应用。

篇5

关键词信息安全；PKI；CA；VPN

1引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

图1

2)应用系统

经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析，可得出如下结论：

(1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

(1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

(1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

(4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署，为众多行业提供了网络安全解决手段。

也希望通过本方案的实施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。

篇6

三大措施应对挑战

面对国际金融危机，赛门铁克归纳了企业用户面临的三大IT挑战。

第一，当务之急是如何节省成本，尤其是节省IT成本。例如，过去企业建立了很多数据中心，每个数据中心都是根据一个专门的应用建立的，规模虽然不大，但是造成很大的成本和运维压力。随着大型数据中心的建立，云计算和SaaS等服务方式的兴起，整个业界都在发生转变。

第二，如何让IT与业务有更好的结合。现在，IT人员不仅要懂IT，还要懂业务，这样才能让IT更好地支持业务发展。

第三是风险管理。面对席卷全球的金融危机，核心问题是实现控制和风险管理。

赛门铁克全球副总裁、大中国区总裁吴锡源认为，在当前经济环境下，恰好可以凸显赛门铁克在用户中的价值：第一，赛门铁克数据中心标准化方案可以帮助用户降低服务器采购和运维成本，而存储分级技术可以降低存储采购和运营成本，尽可能地提高整个数据中心的效率；第二，防信息泄密、法规遵从、管理、容灾方案等可以帮助客户做好风险管理；第三，赛门铁克很多安全分析报告可以凸显IT部门的价值，让企业IT部门实现转型，从传统的成本中心变成价值中心。

服务创新实现远景3.0

在去年的用户大会上，赛门铁克提出了远景3.0，并开始加强服务创新，为用户创造价值。

吴锡源强调，所有技术都可以通过服务方式体现。服务是必然趋势。赛门铁克公司目前在专业领域可以提供四级制的服务。技术支持中心拥有几百名工程师。除此之外，赛门铁克公司还可以为一些大型用户提供驻厂服务，帮助用户进行规划、设计、实施、运营和优化。针对中国用户对驻厂服务的强烈需求，赛门铁克在福州、深圳、南京、江西等地提供了此类服务，方便更多服务工程师就近为用户提供服务。

对于大型用户，赛门铁克能提供涉及整个信息生命周期的管理服务；对于小型用户，赛门铁克在近期推出合作伙伴专业化认证体系，借助合作伙伴的力量，提供终端管理、终端安全、灾备、防信息外泄等存储和安全方面的服务。

研发是技术引擎

赛门铁克全球存储和高可用性管理部门高级副总裁Robert Soderbery介绍说：“目前，公司在北京和成都拥有研发中心，技术工程师达数百名。赛门铁克在中国的战略核心是建设一支强大的中国本土开发团队。赛门铁克希望在中国的技术工程师能够达到数千人。”

在云计算以及SaaS领域，赛门铁克也有不少动作。最近，赛门铁克公司完成了对MessageLabs公司的收购。

MessageLabs是一家领先的在线通信和网络安全服务供应商。在SaaS商业模式下，赛门铁克能够更好地发挥在服务、分销以及服务中小型企业方面的优势。此外，赛门铁克还推出了备份服务的SaaS模式。为此，赛门铁克还将所有的SaaS业务和产品归到一个新的部门。这个业务部门的主管就是原MessageLabs公司的首席执行官。

对于云计算以及SaaS，Robert Soderbery认为，尽管赛门铁克已经有了一套完整的基础设施，例如可以通过在美国的数据中心提供在线备份服务，并可通过全球数据中心提供MessageLabs的各项服务，但这些技术还处在发展初期。业内某些厂商将云计算看作公用事业，把计算或存储基础设施作为一个服务交付。赛门铁克则专注于提供信息安全和管理方面的服务。

创新的数据保护

长期以来，数据保护技术的重心在于，防止因员工误操作及业务流程中断而导致敏感数据泄露。然而许多企业认为，当员工处于移动办公状态而未与企业网络连接时，最容易使机密信息受到恶意威胁。

为了解决这一问题，赛门铁克公司不久前推出了数据丢失防护解决方案DLP 9.0。该方案可以帮助企业和组织增强发现、监测和保护机密信息的能力，无论这些信息在何处存储和使用。

赛门铁克数据丢失防护解决方案全球高级主管Ken Kim表示，赛门铁克的数据丢失防护技术可跨越端点、网络和存储系统，通过单一的集成界面为企业和组织提供全面的数据丢失防护覆盖，保护结构化和非结构化数据。赛门铁克DLP 9.0为始于端点的数据丢失事件提供了更广泛的保护，即使员工在不与公司网络连接的情况下使用笔记本电脑发送电子邮件、网络邮件和即时信息，也能进行监控。

在端点处，赛门铁克DLP 9.0不但可以防止对敏感信息的复制或粘贴，而且可以阻止这些信息以电子版方式打印或传真。上述新功能与赛门铁克现有的控制能力相结合，可防止敏感数据被复制到USB装置和CD/DVD盘中。

赛门铁克在内容感知（Content-aware）监测方面的专业技术及识别特殊内容（无论该内容是否被打包）的能力，对成功实现端点数据丢失防护都是至关重要的。有了对端点数据丢失事件的全面保护，赛门铁克可以提供不间断的数据丢失防护。

除了更完善的端点数据保护以外，赛门铁克DLP 9.0还进一步强化了数据发现功能。企业用户通常使用两种发现内容的扫描模式：一种是传统模式，即对内容库中的每个文件是否违反策略进行检查；另一种是合规性模式，即对违反规定的服务器和数据库进行迅速汇总。赛门铁克能够通过单一的解决方案，为用户提供这两种选择。这是目前其他同类产品无法实现的。

完善的端点防护

近几年，受巨大经济利益的诱惑，黑客活动日益猖獗，每天会有数以万计的木马病毒在互联网上传播。企业应该如何去应对这些隐藏在角落中的危机呢?

赛门铁克公司认为，对于企业用户而言，预防大于补救。企业需要一种贯彻始终的解决方案。任何威胁都要通过入侵终端来实现。因此，有效管理好终端是杜绝安全事件的关键所在。可以说，终端是一个企业IT系统中最重要的人机界面。安全是三分技术、七分管理。

IT管理中最大的风险是什么?人的风险最大。因为所有问题都是人造成的。终端安全是企业IT安全的核心所在。随着各种新型攻击方式不断产生、演变，对于企业而言，仅仅通过防病毒的方式来保护终端是根本不够的。企业需要一个可以应对多种攻击方式的全面保护终端解决方案。

在本次用户大会上，赛门铁克展示了最新的端点保护技术Symantec Endpoint Protection 11.0 MR3（SEP11.0 MR3）。该产品对于企业终端可以起到多层保护的作用，不仅拥有防病毒、防间谍的功能，同时结合了防火墙、主机威胁扫描、应用程序控制、外设管理等，可以对企业终端进行全方位保护。

篇7

各种网络安全事故频发使得各个组织对信息安全的重视程度逐渐提高，同时各种专门提供网络安全服务的企业也应运而生。然而，目前大多安全服务都是以主机的安全评估、系统加固、应急响应、应用安全防护、管理层面的安全策略体系制订、应用安全防护、安全产品集成等为主，对于网络架构的安全评估却很少。综观近几年来互连网上不断出现的病毒蠕虫感染等安全事件，不少是由于对网络架构安全的忽视导致了大范围的传播和影响。2003年的27号文件――《国家信息化领导小组关于加强信息安全保障的文件》下发后，对信息系统安全域划分、等级保护、信息安全风险评估、等级保障等需求愈来愈迫切，而做好安全域划分的关键就是对网络架构安全的正确分析。

信息系统的网络架构安全分析是通过对整个组织的网络体系进行深入调研，以国际安全标准和技术框架为指导，全面地对网络架构、网络边界、网络协议、网络流量、网络QoS、网络建设的规范性、网络设备安全、网络管理等多个方面进行深入分析。

网络架构分析

网络架构分析的主要内容包括根据IATF技术框架分析网络设计是否层次分明，是否采用了核心层、汇聚层、接入层等划分原则的网络架构（划分不规范不利于网络优化和调整）; 网络边界是否清晰，是否符合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础设施的深度防御原则（边界不清晰不便于安全控制）。应考虑的安全点主要有:

1. 网络架构设计应符合层次分明、分级管理、统一规划的原则，应便于以后网络整体规划和改造。

2. 根据组织实际情况进行区间划分，Internet、Intranet和Extranet之间以及它们内部各区域之间结构必须使网络应有的性能得到充分发挥。

3. 根据各部门的工作职能、重要性、所涉及信息等级等因素划分不同的子网或网段。

4. 网络规划应考虑把核心网络设备的处理任务分散到边缘设备，使其能将主要的处理能力放在对数据的转发或处理上。

5. 实体的访问权限通常与其真实身份相关，身份不同，工作的内容、性质、所在的部门就不同，因此所应关注的网络操作也不同，授予的权限也就不同。

6. 网络前期建设方案、网络拓扑结构图应和实际的网络结构一致; 所有网络设备（包括交换机、路由器、防火墙、IDS以及其他网络设备）应由组织统一规划部署，并应符合实际需求。

7. 应充分考虑Internet接入的问题，防止出现多Internet接入点，同时限制接入用户的访问数量。

8. 备份也是需要考虑的重要因素，对广域网设备、局域网设备、广域网链路、局域网链路采用物理上的备份和采取冗余协议，防止出现单点故障。

网络边界分析

边界保护不仅存在于组织内部网络与外部网络之间，而且也存在于同一组织内部网络中，特别是不同级别的子网之间边界。有效的边界防护技术措施主要包括网络访问控制、入侵防范、网关防病毒、信息过滤、网络隔离部件、边界完整性检查，以及对于远程用户的标识与鉴别/访问控制。边界划分还应考虑关键业务系统和非关键业务系统之间是否进行了分离，分离后各业务区域之间的逻辑控制是否合理，业务系统之间的交叠不但影响网络的性能还会给网络带来安全上的隐患。应考虑的安全点主要有:

1. Internet、Intranet和Extranet之间及它们内部各VLAN或区域之间边界划分是否合理; 在网络节点（如路由器、交换机、防火墙等设备）互连互通应根据实际需求进行严格控制; 验证设备当前配置的有效策略是否符合组织确定的安全策略。

2. 内网中的安全区域划分和访问控制要合理，各VLAN之间的访问控制要严格，不严格就会越权访问。

3. 可检查网络系统现有的身份鉴别、路由器的访问控制、防火墙的访问控制、NAT等策略配置的安全性; 防止非法数据的流入; 对内防止敏感数据（或重要网段数据）的流出。

4. 防火墙是否划分DMZ区域; 是否配置登录配置的安全参数。例如: 最大鉴别失败次数、最大审计存储容量等数据。

5. 网络隔离部件上的访问通道应该遵循“默认全部关闭，按需求开通的原则”; 拒绝访问除明确许可以外的任何一种服务，也就是拒绝一切未经特许的服务。

6. 实现基于源和目的的IP地址、源和目的端口号、传输层协议的出入接口的访问控制。对外服务采用用户名、IP、MAC 等绑定，并限制变换的MAC地址数量，用以防止会话劫持、中间人攻击。

7. 对于应用层过滤，应设置禁止访问 Java Applet、ActiveX等以降低威胁。

8. 采用业界先进的安全技术对关键业务系统和非关键业务系统进行逻辑隔离，保证各个业务系统间的安全性和高效性，例如: 采用MPLS-VPN对各业务系统间逻辑进行划分并进行互访控制。

9. 必要时对网络系统进行物理隔离; 实现VPN传输系统; 对重要网络和服务器实施动态口令认证; 进行安全域的划分，针对不同的区域的重要程度，有重点、分期进行安全防护，逐步从核心网络向网络边缘延伸。例如，网络可以分成三个区域: 信任域、非信任域和隔离区域。信任域和隔离区域进行重点保护，对于非信任域，可根据不同业务系统的重要程度进行重点保护。

10. 整体网络系统统一策略、统一升级、统一控制。

网络协议分析

深入分析组织整个网络系统的协议设计是否合理，是否存在协议设计混乱、不规范的情况，是否采用安全协议，协议的区域之间是否采用安全防护措施。协议是网络系统运行的神经，协议规划不合理就会影响整个网络系统的运行效率，甚至带来高度隐患和风险。应考虑的安全点主要有:

1. 路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则，应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性，并应启用加密和验证功能。

2. 应合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网络业务流向分布的均衡性。

3. 启用动态路由协议的认证功能，并设置具有一定强度的密钥,相互之间交换路由信息的路由器必须具有相同的密钥。默认的认证密码是明文传输的，建议启用加密认证。

4. 对使用动态路由协议的路由设备设置稳定的逻辑地址，如Loopback地址，以减少路由振荡的可能性。

5. 应禁止路由器上 IP 直接广播、ICMP重定向、Loopback数据包和多目地址数据包，保证网络路径的正确性，防止IP源地址欺骗。如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时禁止非内部网络中的地址访问外部网络。

6. 重要网段应采取IP地址与MAC地址绑定措施，防止ARP欺骗。

7. 如果不需要ARP（ARP Proxy）服务则禁止它。

8. 应限制 SYN 包流量带宽，控制 ICMP、TCP、UDP 的连接数。

9. ICMP协议的安全配置。对于流入的ICMP数据包，只允许Echo Reply、Destination Unreachable、Time Out及其他需要的类型。对于流出的ICMP数据包，只允许Echo及其他必需的类型。

10. SNMP协议的Community String字串长度应大于12位，并由数字、大小写字母和特殊字符共同组成。

11. 禁用HTTP服务，不允许通过HTTP方式访问路由器。如果不得不启用HTTP访问方式，则需要对其进行安全配置。

12. 对于交换机，应防止VLAN穿越攻击。例如，所有连接用户终端的接口都应从VLAN1中排除，将Trunk接口划分到一个单独的VLAN中; 为防止STP攻击，对用户侧端口，禁止发送BPDU; 为防止VTP攻击，应设置口令认证，口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成;尽量将交换机VTP设置为透明(Transparent)模式。

13.采用安全性较高的网络管理协议，如SNMP v3、RMON v2。

网络流量分析

流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。应考虑的安全点主要有:

1. 带宽的网络流量分析。复杂的网络系统中不同的应用需占用不同的带宽，重要的应用是否得到了最佳的带宽？所占比例是多少？队列设置和网络优化是否生效？通过基于带宽的网络流量分析会使其更加明确。采用监控网络链路流量负载的工具软件，通过SNMP协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户，以非常直观的形式显示流量负载。

2. 网络协议流量分析。对网络流量进行协议划分，针对不同的协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常流量暴涨，就有可能是攻击流量或有蠕虫病毒出现。例如: Cisco NetFlow V5可以根据不同的协议对网络流量进行划分，对不同协议流量进行分别汇总。

3. 基于网段的业务流量分析。流量分析系统可以针对不同的VLAN来进行网络流量监控，大多数组织都是基于不同的业务系统通过VLAN来进行逻辑隔离的，所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。例如: Cisco NetFlow V5可以针对不同的VLAN进行流量监控。

4. 网络异常流量分析。异常流量分析系统支持异常流量发现和报警，能够通过对一个时间窗内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为流量异常监测的基础。通过积极主动鉴定和防止针对网络的安全威胁，保证了服务水平协议(SLA)并且改进顾客服务, 从而为组织节约成本。

抗击异常流量系统必须完备，网络系统数据流比较大，而且复杂，如果抗异常流量系统不完备，当网络流量异常时或遭大规模DDOS攻击时，就很难有应对措施。

5. 应用服务异常流量分析。当应用层出现异常流量时，通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析，并通过IPS的安全防护技术进行反击。

网络QoS

合理的QoS配置会增加网络的可用性，保证数据的完整性和安全性，因此应对网络系统的带宽、时延、时延抖动和分组丢失率等方面进行深入分析，进行QoS配置来优化网络系统。应考虑的安全点主要有:

1. 采用RSVP协议。RSVP使IP网络为应用提供所要求的端到端的QoS保证。

2. 采用路由汇聚。路由器把QoS需求相近的业务流看成一个大类进行汇聚，减少流量交叠，保证QoS。

3. 采用MPLSVPN技术。多协议标签交换(MPLS)将灵活的3层IP选路和高速的2层交换技术完美地结合起来，从而弥补了传统IP网络的许多缺陷。

4. 采用队列技术和流量工程。队列技术主要有队列管理机制、队列调度机制、CAR和流量工程。

5. QoS路由。QoS路由的主要目标是为接入的业务选择满足其服务质量要求的传输路径，同时保证网络资源的有效利用路由选择。

6. 应保证正常应用的连通性。保证网络和应用系统的性能不因网络设备上的策略配置而有明显下降，特别是一些重要应用系统。

7. 通过对不同服务类型数据流的带宽管理，保证正常服务有充足的带宽，有效抵御各种拒绝服务类型的攻击。

网络的规范性

应考虑的安全点主要有:

1. IP地址规划是否合理，IP地址规划是否连续，在不同的业务系统采用不同的网段，便于以后网络IP调整。

2. 网络设备命名是否规范，是否有统一的命名原则，并且很容易区分各个设备的。

3. 应合理设计网络地址，应充分考虑地址的连续性管理以及业务流量分布的均衡性。

4. 网络系统建设是否规范，包括机房、线缆、配电等物理安全方面，是否采用标准材料和进行规范设计，设备和线缆是否贴有标签。

5. 网络设备名称应具有合理的命名体系和名称标识，便于网管人员迅速准确识别，所有网络端口应进行充分描述和标记。

6. 应对所有网络设备进行资产登记，登记记录上应该标明硬件型号、厂家、操作系统版本、已安装的补丁程序号、安装和升级的时间等内容。

7. 所有网络设备旁都必须以清晰可见的形式张贴类似声明: “严格禁止未经授权使用此网络设备。

8. 应制定网络设备用户账号的管理制度，对各个网络设备上拥有用户账号的人员、权限以及账号的认证和管理方式做出明确规定。对于重要网络设备应使用Radius或者TACACS+的方式实现对用户的集中管理。

网络设备安全

对设备本身安全进行配置，并建设完备的安全保障体系，包括: 使用访问控制、身份验证配置; 关闭不必要的端口、服务、协议; 用户名口令安全、权限控制、验证; 部署安全产品等。应考虑的安全点主要有:

1. 安全配置是否合理，路由、交换、防火、IDS等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。

2. 在网络建设完成、测试通过、投入使用前，应删除测试用户和口令，最小化合法用户的权限，最优化系统配置。

3. 在接入层交换机中，对于不需要用来进行第三层连接的端口，通过设置使其属于相应的 VLAN，应将所有空闲交换机端口设置为 Disable，防止空闲的交换机端口被非法使用。

4. 应尽量保持防火墙规则的清晰与简洁，并遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则，通过调整规则的次序进行优化。

5. 应为不同的用户建立相应的账号，根据对网络设备安装、配置、升级和管理的需要为用户设置相应的级别，并对各个级别用户能够使用的命令进行限制，严格遵循“不同权限的人执行不同等级的命令集”。同时对网络设备中所有用户账号进行登记备案

6. 应制订网络设备用户账号口令的管理策略，对口令的选取、组成、长度、保存、修改周期以及存储做出规定。

7. 使用强口令认证，对于不宜定期更新的口令，如SNMP字串、VTP认证密码、动态路由协议认证口令等，其口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成。

8. 设置网络登录连接超时，例如，超过60秒无操作应自动退出。

9. 采用带加密保护的远程访问方式，如用SSH代替Telnet。

10. 严格禁止非本系统管理人员直接进入网络设备进行操作，若在特殊情况下（如系统维修、升级等）需要外部人员（主要是指厂家技术工程师、非本系统技术工程师、安全管理员等）进入网络设备进行操作时，必须由本系统管理员登录，并对操作全过程进行记录备案。

11. 对设备进行安全配置和变更管理，并且对设备配置和变更的每一步更改，都必须进行详细的记录备案。

12. 安全存放路由器的配置文件，保护配置文件的备份和不被非法获取。

13. 应立即更改相关网络设备默认的配置和策略。

14. 应充分考虑网络建设时对原有网络的影响，并制定详细的应急计划，避免因网络建设出现意外情况造成原有网络的瘫痪。

15. 关键业务数据在传输时应采用加密手段，以防止被监听或数据泄漏。

16. 对网络设备本身的扩展性、性能和功能、网络负载、网络延迟、网络背板等方面应充分考虑。设备功能的有效性与部署、配置及管理密切相关，倘若功能具备却没有正确配置及管理，就不能发挥其应有的作用。

17. 网络安全技术体系建设主要包括安全评估、安全防护、入侵检测、应急恢复四部分内容，要对其流程完备性进行深入分析。

18. 安全防护体系是否坚固，要分析整个网络系统中是否部署了防火墙及VPN系统、抗拒绝服务系统、漏洞扫描系统、IDS&IPS系统、流量负载均衡系统部署、防病毒网关、网络层验证系统、动态口令认证系统，各个安全系统之间的集成是否合理。

19. 应安全存放防火墙的配置文件，专人保管，保护配置文件不被非法获取。

20. 及时检查入侵检测系统厂商的规则库升级信息，离线下载或使用厂商提供的定期升级包对规则库进行升级。具体包括:

查看硬件和软件系统的运行情况是否正常、稳定;

查看OS版本和补丁是否最新;

OS是否存在已知的系统漏洞或者其他安全缺陷。

网络管理

网络管理和监控系统是整个网络安全防护手段中的重要部分，网络管理应该遵循SDLC(生命周期)的原则，从网络架构前期规划、网络架构开发建设到网络架构运行维护、网络架构系统废弃都应全面考虑安全问题，这样才能够全面分析网络系统存在的风险。应考虑的安全点主要有:

1. 网络设备网管软件的部署和网络安全网管软件的部署; 部署监控软件对内部网络的状态、网络行为和通信内容进行实时有效的监控，既包括对网络内部的计算机违规操作、恶意攻击行为、恶意代码传播等现象进行有效地发现和阻断，又包括对网络进行的安全漏洞评估。

2. 确认网络安全技术人员是否定期通过强加密通道进行远程登录监控网络状况。

3. 应尽可能加强网络设备的安全管理方式，例如应使用SSH代替Telnet，使用HTTPS代替HTTP，并且限定远程登录的超时时间、远程管理的用户数量、远程管理的终端IP地址，同时进行严格的身份认证和访问权限的授予，并在配置完后，立刻关闭此类远程连接; 应尽可能避免使用SNMP协议进行管理。如果的确需要，应使用V3版本替代V1、V2版本，并启用MD5等验证功能。进行远程管理时，应设置控制口和远程登录口的超时时间，让控制口和远程登录口在空闲一定时间后自动断开。

4. 及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新，要求下载补丁程序的站点必须是相应的官方站点，并对更新软件或补丁进行评测，在获得信息安全工作组的批准下，对生产环境实施软件更新或者补丁安装。

5. 应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞，并及时评测对漏洞采取的对策，在获得信息安全工作组的批准的情况下，对生产环境实施评测过的对策，并将整个过程记录备案。

6. 应充分考虑设备认证、用户认证等认证机制，以便在网络建设时采取相应的安全措施。

7. 应定期提交安全事件和相关问题的管理报告，以备管理层检查，以及方便安全策略、预警信息的顺利下发。检测和告警信息的及时上报，保证响应流程的快速、准确而有效。

8. 系统开发建设人员在网络建设时应严格按照网络规划中的设计进行实施，需要变更部分，应在专业人士的配合下，经过严格的变更设计方案论证方可进行。

9. 网络建设的过程中，应严格按照实施计划进行，并对每一步实施，都进行详细记录，最终形成实施报告。

10. 网络建设完成投入使用前，应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试，并做详细记录，最终形成测试报告。测试机构应由专业的信息安全测试机构或第三方安全咨询机构进行。

11. 应对日常运维、监控、配置管理和变更管理在职责上进行分离，由不同的人员负责。

12. 应制订网络设备日志的管理制定，对于日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做明确的规定。对于重要网络设备，应建立集中的日志管理服务器，实现对重要网络设备日志的统一管理，以利于对网络设备日志的审查分析。

13. 应保证各设备的系统日志处于运行状态，每两周对日志做一次全面的分析，对登录的用户、登录时间、所做的配置和操作做检查，在发现有异常的现象时应及时向信息安全工作组报告。

14. 对防火墙管理必须经过安全认证，所有的认证过程都应记录。认证机制应综合使用多种认证方式，如密码认证、令牌认证、会话认证、特定IP地址认证等。

15. 应设置可以管理防火墙的IP范围，对登录防火墙管理界面的权限进行严格限制。

16. 在防火墙和入侵检测系统联动的情况下，最好是手工方式启用联动策略，以避免因入侵检测系统误报造成正常访问被阻断。

17. 部署安全日志审计系统。安全日志审计是指对网络系统中的网络设备、网络流量、运行状况等进行全面的监测、分析、评估，通过这些记录来检查、发现系统或用户行为中的入侵或异常。目前的审计系统可以实现安全审计数据的输入、查询、统计等功能。

18. 安全审计内容包括操作系统的审计、应用系统的审计、设备审计、网络应用的审计等。操作系统的审计、应用系统的审计以及网络应用的审计等内容本文不再赘述。在此仅介绍网络设备中路由器的审计内容：操作系统软件版本、路由器负载、登录密码有无遗漏，enable 密码、telnet 地址限制、HTTP安全限制、SNMP有无安全隐患; 是否关闭无用服务; 必要的端口设置、Cisco发现协议（CDP协议）; 是否已修改了缺省旗标（BANNER）、日志是否开启、是否符合设置RPF的条件、设置防SYN攻击、使用CAR（Control Access Rate）限制ICMP包流量; 设置SYN数据包流量控制（非核心节点）。

19. 通过检查性审计和攻击性审计两种方式分别对网络系统进行全面审计。

20. 应对网络设备物理端口、CPU、内存等硬件方面的性能和功能进行监控和管理。

系统维护中心批准后，根据实际应用情况提出接入需求和方案，向信息安全工作组提交接入申请;

由申请人进行非上线实施测试，并配置其安全策略;