那晚越女说我?
作文一:《网络安全建设》27200字
电子商务按商业活动运作方式分类可分为 ( )(5 分 ) A、 完全电子商务 B 、 不完 全电子商务 C 、 企业电子商务 D 、 互联网电子商务 正确答案 :A, B
网络主体要提高自身的道德修养,要做到(ABD )方面。
网民围绕网络编辑已推出的话题各抒己见, 讨论交锋, 发布网络评论文章称之为 (C 网络论坛言论)
在违法犯罪本质上 , 网络违法犯罪与传统违法犯罪具有同质性。 () 正确 法律体系内部的统一 , 为社会得到稳定的秩序提供了前提。 ( 正确 ) 1. 发达国家中第一个对互联网不良言论进行专门立法监管的国家是 (C ) 。 A 、美国 B 、英国 C 、德国 D 、新加坡
Internet 的雏形 ARPANET 是(1969年)建立起来的
网络社会的主体既要遵守现实社会道德又要遵守 () A. 社会规则 B. 法律 C. 网络道德 D. 道 德规 范参考答案 :C
为什么要加强网络媒体的建设 (D) A. 论坛 BBS 、 丧失网络舆论霸主的地位 B. 移动互联崭露头 角 C. 社交网站的社会动员潜力 D. 媒体关注社会生活的角度转向反常
按照交易对象分,电子商务可以分为(AC )
诚信原则是现实社会行为主体进行人际交往额基本准则,同样也是网络主体进行信息交流的 基本保障。(对)
网络社会具有 先进 性、开放性、自由性、虚假性等特点 。错
信息安全是信息时代人类生存和发展的根本条件 。 ( 不正确 )
在瑞典 , 目前 已有约 64%的父母在家用电脑中安装过滤软件 , 约束孩子上网 行为 。 ( ) 正确
在网络知识产品保护方面 , 重点加强 ( BCD ) A 、 加强网络 基础设施 B 、加强网络 管理 C 、 加强知识产 权的技术 保护 D 、加强网络道德建设
下列属于影响网络信息安全的硬件因素 是 (ABCD )
以下属于网络安全影响社会安全的是 ? A. 利用 网络 宣传虚假新闻 B. 制造病毒 , 攻击网络 C. 发布黄色、暴力信息 D. 进行网上转账交易答案 :ABC
对于提高人员安全意识和安全操作技能来说 , 安全管理最有效 的是 (教育培 训 ) 。
实施电子政务的发达国家中 , 起步较早且发展最为迅速的国家是 :( A ) A 美 自主性、自律性、 ()和多元性都是网络道德的特点 。 C 、开放性
世界银行认为电子政府主要关注的是 (ABCD)
网络违法犯罪的客观社会原因主要有 ? A. 互联网立法的不健全性 B. 技术给 网络 违法犯罪的 防治带来挑战 C. 网络违法犯罪的侦破困难 D. 网络 自身所具有的开放性答 案 :ABCD
在线调查进入门槛低 , 信息发布自由度和开放度很高 , 具有跟帖评论、 推荐阅读、 RSS 订阅等的 互动功能。 () 错
全面信息化是信息化的高级阶段 , 它是指一切社会活动领域里实现全面 的信息化。 ( ) 不正确 传播网络 病毒 , 恶意进行网络攻击不属于网络不诚信问题的表现 。 (×)
从法律角度来看 , 信息安全 主要是对 合法网络信息及信息平台 (如操作系统、数据库 ) 等的保护 与违 法网络信息 内容的 法律 管制等两个大方面。 (对 )
专业技术人员树立科学的网络政务安全观是进行网络政务安全管理的前提条件(对) 2012年底我国移动互联网用户突破 ( B ) 亿 A 、 1亿 B 、 6亿 C 、 8亿 D 、 9亿
2、 (D )是加强对互联网不良信息的行政监管
A 、完善目前互联网建设的法律法规 B 、制定治理互联网不良信息的专门性法律 法规 C 、健全互联网的立法体制 D 、设立专门的行政监管部门
3、解决互联网安全问题的根本条件 (B ) 。
A 、提高整个社会网民的互联网道德本质 B 、严格实行互联网监管 C 、采取矿物 学方法进行探测 D 、加强法制手段管理
4、 在电子政务系统的安全措施中 , 用于防止非法用户进入系统的主机进行文件级 访问或数据破坏的是 ( B ) 。
A 、网络级安全措施 B. 系统级安全措施 C 、应用级安全措施 D 、以上均不是 5、 ( B ) 不仅使得信息交流更加广泛、快捷而且也导致有害信息的泛滥 , 引发网络 社会的道德危机问题。
A 、网络社会的隐蔽性 B 、网络社会的开放性 C 、网络社会的虚拟性 D 、网络社 会的真空性
6、下面所列的 (C )安全机制不属于信息安全保障体系中的事先保护环节。 A 、数字证书认证 B 、防火墙 C 、杀毒软件 D 、数据库加密
7、安全管理中采用的“职位轮换”或者“强制休假”办法是为了发现特定的岗 位人员是否存在违规操作行为 , 属于 (B )控制措施。 A 、 管理 B 、 检测 C 、 响应 D 、 运行
8、网络犯罪的表现形式常见得有非法侵入 , 破坏计算机信息系统、网络赌博、网 络盗窃和 (B ) 。
A 、网络诈骗、犯罪动机 B 、网络犯罪、网络色情 C 、网络色情、高智能化 D 、 犯罪动机,高智能化
10、网络不良信息中 , 影响最为严重的是 (A )
A 、网络谣言 B 、网络暴力 C 、网络赌博 D 、网络诈骗
11、网络违法犯罪作为网络发展的一种负面产物 , 是一种典型的 (B )。 A 、高破坏性的违法犯 B 、智能型违法犯罪 C 、高自动化的违法犯罪 D 、高技术 性的违法犯罪
14、有专门制定单行的网络犯罪法律的典型国家是 ( A) 。
A 、美国 B 、英国 C 、德国 D 、新加坡
15、由于网络发展具有超时空性 , 突破了传统时空的界限 , 并且网络的操作具有 ( D ) 、 传播具有广泛性, 网络用户的匿名性等特点 , 因此 , 对违法犯罪行为的侦察、 取证、行为主体的确定等方面都存在很大的难度。
A 、复杂性 B 、简易性 C 、多样性 D 、跨国性
17、截至 2013年 6月底 , 我国网民规模达到 (B )。
A 、 4.91亿 B 、 5.91亿 C 、 6.91亿 D 、 7.91亿
18、通过网络平台建立起来的网络舆论 , 它反映着网民和公众的情绪和意见 , 其中 也混杂着网民和公众一些理性与非理性的成分 , 在一定时间内具有 (B )和一致性。 A 、多样性 B 、持续性 C 、间断性 D 、复杂性
19、 ( A ) 作为互联网的诞生地 , 其互联网发展速度非常之快 , 信息化程度也是世界 之最
A 、美国 B 、日本 C 、中国 D 、德国、
20、在网络安全中 , 截取是指未授权的实体得到了资源的访问权 , 这是对 (C ) A 、可用性的攻 B 、完整性的攻击 C 、保密性的攻击 D 、真实性的攻击 1、人民网的新闻评论性专栏 —— “人民时评”属于网络舆论的(D )表现形式
A 、博客
B 、网络即时评论或跟帖
C 、网络论坛言论
D 、网络评论专栏
2、从静、动角度来看,网络信息的静态安全是指信息在没有传输和处理的状态 下信息内容的秘密性、(B )和真实性
A 、一致性
B 、完整性
C 、重复性
D 、可用性
4、网络政务安全管理主要包括安全管理需求分析,(D ),安全管理的具体实 施三大流程。
A 、安全管理的制定
B 、安全管理流程的规划
C 、安全管理结果的反馈
D 、安全管理规划的评估
5、(B )是互联网最早的雏形
A 、通信协议
B 、阿帕网
C 、 TCP/IP协议
D 、 NSFNET
6、(A )是网络管理的核心
A 、自律
B 、政府
C 、网络技术
D 、网民
网络信息的真实性是要保证数据的 ( A 发送源头 ) 不被伪造 , 对冒充信息 发布者的身份、虚假 信息 发布来源采取身份认证技术、路由认证技术。
7、法律的规制、行政机构的监管、及(D )技术的控制都是我国对不良信息治 理的措施
A 、网络媒体的构建
B 、立法工作的完善
C 、加大道德教育
D 、行业的自律
8、网络道德原则中的(C )是指在网络社会中,在一定的社会和技术允许的条 件下, 网络主体在不对他人造成不良影响的前提下, 有权根据自己的个人意愿选 择自己的生活方式和行为方式的活动原则, 其他任何网络主体和组织不得进行无 理干涉。
A 、全民原则
B 、兼容原则
C 、自由原则
D 、诚信原则
10、按使用网络的类型划分,电子商务可以分为区域化电子商务、远程国内电 子商务、(D )
A 、基于 Intranet 的电子商务
B 、间接电子商务
C 、非完全电子商务
D 、全球电子商务
11、下面哪些不是信息安全基础设施策略的目标 ( C)
A 、指派和传达信息安全责任
B 、概括一个用于部门间安全合作和协调的框架
C 、出于管理和维护书面策略的目的指派所有权
D 、确定寻求组织外包的独立专家建议的好处
12、(C )是世界上首个强制实行网络实名制的国家
A 、日本
B 、美国
C 、韩国
D 、新加坡
13、信息安全领域内最关键和最薄弱的环节是 ( D )。
A 、技术
B 、策略
C 、管理制度
D 、人
( C )是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒 , 被称 为网络“超级武器”。 C、震网 病毒
14、互联网信息安全要求我们必须加强互联网道德建设,下列不包括的是 ( A )。
A 、文明上网
B 、下载歌曲
C 、下载电影
D 、传播**功
15、下列关于互惠原则说法不正确的是 ( C )。
A 、互惠原则是网络道德的主要原则之一
B 、网络信息交流和网络服务具有双向性
C 、网络主体只承担义务
D 、互惠原则本质上体现的是赋予网络主体平等与公正
17、下列的 ( A )犯罪行为不属于我国刑法规定的与计算机有关的犯罪行为。
A 、窃取国家秘密
B 、非法侵入计算机信息系统
C 、破坏计算机信息系统
D 、利用计算机实施金融诈骗
18、数据保密性指的是 ( C )
A 、保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密
B 、提供连接实体身份的鉴别
C 、防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送 的信息完全一致
D 、确保数据是由合法实体发出的
最小特权、纵深防御是网络安全原则之一。()对
我国互联网不良信息的生存空间主要有 ( AD )。 A 、独立的服务器 B、托管 服务器 C、租用服务器 D、国内的一些主流网站
19、信息安全经历了三个发展阶段,以下 ( B)不属于这三个发展阶段。
A 、通信保密阶段
B 、数据加密阶段
C 、信息安全阶段
D 、安全保障阶段
20、 (C )现已是一个国家的重大基础设施。
A 、信息技术
B 、科技化
C 、信息网络
D 、网络经济
1、 2011年, ( D )成为全球年度获得专利最多的公司。
A 、百度
B 、微软
C 、苹果
D 、谷歌
4、从社会层面的角度来分析,信息安全在 ( A )方面得到反映。
A 、舆论导向、社会行为、技术环境
B 、舆论导向、黑客行为、有害信息传播
C 、社会行为、黑客行为、恶意信息传播
D 、社会行为、技术环境、黑客行为
5、 B2B 是指 ( A )
A 、企业对企业的电子商务
B 、企业对消费者的电子商务
C 、企业对政府的电子商务
D 、消费者对政府的电子商务
6、从我国目前的有关网络违法犯罪法律规定来看,网络违法犯罪的处罚手段基 本上是(D )
A 、资格刑
B 、罚金刑
C 、剥夺政治权利
D 、自由刑
9、(B )是网络舆论应急管理的第一要素
A 、事件处置
B 、时间
C 、舆论引导
D 、舆论分析
10、我国对互联网信息安全问题的治理始终处于积极防御的态势,确保一旦遇 到信息安全问题,能够具有 ( A ) 。
A 、及时预警、快速反应、信息恢复
B 、入侵检测、信息备份、信息恢复
C 、及时预警、信息备份、信息恢复
D 、入侵检测、快速反应、信息冗余
11、信息保护技术措施中最古老、最基本的一种是 ( C )。
A 、防火墙
B 、病毒防护
C 、加密
D 、入侵检测
12、我国网络舆论的特点 ( D )。
A 、可操作性
B 、匿名性
C 、社会危害性
D 、信任冲击性
13、我国制订互联网法律、政策的根本出发点 (D )。
A 、加快互联网的发展速度
B 、加快人们生产生活方式
C 、加快互联网对经济社会的推动
D 、加快发展互联网
15、网络道德的特点是 ( D )。
A 、自主性
B 、多元性
C 、开放性
D 、以上皆是
网络道德的特点是(ABCD )
17、网络安全的特征,分为网络安全技术层面和(B )
A 、网络安全法律层面
B 、网络安全社会层面
C 、网络安全管理层面
D 、网络安全发展层面
18、 2012年 12月 28日全国人大常委会通过了(A ),标志着网络信息保护立 法工作翻开了新篇章
A 、《关于加强网络信息保护的决定》
B 、《网络游戏管理暂行办法》
C 、《非金融机构支付服务管理办法》
D 、《互联网信息管理办法》
19、网络“抄袭”纠纷频发反映了(A )
A 、互联网产业创新活力不足
B 、互联网诚信缺失
C 、互联网市场行为亟待规范
D 、互联网立法工作的滞后
2、现当今,全球的四大媒体是报纸、广播、电视和 ( D )。
A 、手机
B 、杂志
C 、电子邮件
D 、网络
4、网络道德与现实社会道德相比具有 ( C )特点。
A 、隐蔽性
B 、超时空性
C 、开放性
D 、平等性
8、下列不属于是对青少年进行教育的主要场所的是 ( C )。
A 、家庭
B 、学校
C 、企业
D 、社会
9、下列属于网络舆论发展的因素之一是 ( A )。
A 、专家分析
B 、虚假新闻泛滥
C 、及时通讯工具
D 、法律的不完善性
10、网络诈骗是违法犯罪行为主体以(A )目的,利用互联网信息交流,通过 虚拟事实或者隐瞒事实真相的方法,骗取受害者数额较大的公私财物的行为。
A 、非法占有
B 、非法侵入计算机信息系统
C 、网络上的财物和货币据为己有
D 、传播木马病毒
11、近年来,我国互联网业界大力倡导文明办网、文明上网,成立 ( C )
A 、网络诚信监察同盟
B 、网络诚信督查同盟
C 、网络诚信自律同盟
D 、网络诚信守护同盟
15、 2008年 5月 1日,我国正式施行 ( A )。
A 、政府信息公开条例
B 、办公业务资源公开条例
C 、政府办公业务公开条例
D 、政务信息公开条例
16、(D )从网络信息的内容来认识互联网不良信息的传播渠道
A 、 HTTP (超文本传输协议)
B 、手机 WAP (无线应用协议)
C 、 IM 方式
D 、即时通讯工具
18、 信息安全等级保护的 5个级别中, ( B )是最高级别, 属于关系到国计民生的 最关键信息系统的保护。
A 、强制保护级
B 、专控保护级
C 、监督保护级
D 、指导保护级
下列不属于行政立法主体的是 (D )
A 、国务院 B 、中国人民银行 C 、审计署 D 、绍兴市人民政府。
1、互联网信息安全的解决最终还是要回到管理中去,需要建立 (B )体系。
A 、发展
B 、管理
C 、监管
D 、利用
2、(B )是法治国家共同提倡和遵守的一项重要原则。
A 、利益平衡理念
B 、法制统一理念
C 、公众参与理念
D 、可操作性理念
5、网络安全一般是指网络系统的硬件、软件及其 (C ) 受到保护,不因偶然的或 者恶意的原因而遭受破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不 中断。
A 、系统中的文件
B 、系统中的图片
C 、系统中的数据
D 、系统中的视频
7、国务院新闻办于 2009年 4月 1日发出 (A ) , 要求给中小学生营造健康、积极 的网络学习环境。
A 、《关于做好中小学校园网络绿色上网过滤软件安装使用工作通知》
B 、《关于计算机预装绿色上网过滤软件的通知》
C 、《关于禁止发布不健康广告的通知》
D 、《关于做好中小学校园计算机预装“绿坝”软件的通知》
8、我国的计算机年犯罪率的增长是 ( B )
A 、大于 10%
B 、大于 60%
C 、大于 160%
D 、大于 300%
9、在互联网环境中,网络舆论的形成变得较为复杂,但大致遵循 (C )模式。
A 、新闻信息 —— 舆论形成
B 、民间舆论 —— 新闻报道
C 、产生话题 —— 话题持续存活 —— 形成网络舆论 —— 网络舆论发展 —— 网络舆 论平息
D 、产生话题 —— 形成网络舆论 —— 网络舆论平息
11、 2008年 5月 1日,我国正式实施 ( B ) ,政府网站的开通,被认为是推动政 府改革的重要措施。
A 、深化政府改革纪要
B 、政府信息公开条例
C 、政府的职能改革
D 、加强政府信息公开
12、毒品、违禁用品、刀具枪械、监听器、假证件、发票属于(B )的不良信息
A 、违反社会道德
B 、违反法律
C 、破坏信息安全
D 、破坏社会秩序
13、(C )是指网民和公众在网络上对流行的社会问题,发表意见而形成一种看 法或言论,具有一定的影响力和倾向性。
A 、网络管理
B 、网络谣言
C 、网络舆论
D 、网络舆情
15、 2012年 3月份,美国总统奥巴马宣布启动 (A ),旨在提高从庞大而复杂的 科学数据中提取知识的能力。
A 、大数据研究与开发计划
B 、大数据获取与提取计划
C 、大数据安全保护计划
D 、 DT 计划
16、网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下 能恢复使用的特征是信息安全的 (B )
A 、授权性
B 、可用性
C 、可控性
D 、保密性
18、(D )是网络道德规范的根据,它贯穿于网络道德规范的全部
A 、自由原则
B 、公正平等原则
C 、兼容原则
D 、网络道德原则
加快网络文化队伍 建立 , 要形成与网络文化建设和管理相适应的 (D)。 ...
3、(B )出台了世界第一部规范互联网传播的法律《多媒体法》
A 、美国
B 、德国
C 、英国
D 、新加坡
4、行为人有意制造和发布有害的、虚假的、过时的和无用的不良信息称为 (D )。
A 、信息污染
B 、网络垃圾
C 、网络谣言
D 、虚假信息
5、广义的网络信息保密性是指(D )
A 、利用密码技术对信息进行加密处理,以防止信息泄漏和保护信息不为非授权 用户掌握
B 、保证数据在传输、存储等过程中不被非法修改
C 、对数据的截获、篡改采取完整性标识的生成与检验技术
D 、保守国家机密,或是未经信息拥有者的许可,不得非法泄漏该保密信息给非 授权人员
6、网络安全技术层面的特性有可控性、可用性、完整性、保密性和(D )
A 、多样性
B 、复杂性
C 、可操作性
D 、不可否认性
4、《计算机病毒防治管理办法》是 (D ) 年颁布的。
A 、 1994
B 、 1997
C 、 1998
D 、 2000
6、截至 2013年 6月底,我国网民规模达到 ( B) 。
A 、 4.91亿
B 、 5.91亿
C 、 6.91亿
D 、 7.91亿
8、(A )就是表现在涉及的具体公共事件能够获得网民的持续关注,从论坛发 帖上具体表现为持续出现相关事件的新帖或跟帖
A 、话题的存活
B 、舆论的形成
C 、网络舆论话题的产生
D 、舆论的发展
13、网络的空前发展对我们的生活产生了积极的影响,但是使用网络必须遵守 一定的网络道德和规范, 同时还要养成良好的行为习惯。 以下符合网络道德规范 和有益的行为习惯是 ( D) 。
A 、在网络上言论自由的,所以你想说什么都可以
B 、未征得同意私自窃取和使用他人资源
C 、沉溺于虚拟的网络交往及网络游戏
D 、参加反盗版公益活动
18、在网络安全中,截取是指未授权的实体得到了资源的访问权,这是对 (C ) A 、可用性的攻击
B 、完整性的攻击
C 、保密性的攻击
D 、真实性的攻击
20、网络犯罪不包括 (C )。
A 、侵害、破坏计算机信息系统
B 、盗用市民上网帐号获利
C 、在网上下载电影
D 、通过网络寻找犯罪目标
全国人民代表大会常务委员会关于加强网络信息保护的决定 (2012年) 电子证据具有 (BC ) 特征 。 A. 无法修正性 B. 无
社会的网络道德建设包括 (ABC)
防火墙虽然是网络层重要的安全机制 , 但是它对于计算机病毒缺乏保护能力 。正确
目前 , 我国关于安全管理 的 规定大多分布在《档案法》 、 《政府信息公开条例》 和《保守国家密码 法》 等法律中。 ( ) 正确
随着网络政务安全问题的日益突出 , 国内外已经形成了完美解决方案 。 ( ) 不正确
不属于加强网民自律建设的是 ABC
1996年 , 著名的科技评论者 ( C ) 在互联网上发表了一个简短的“虚拟空 间独立宣言”。 A 、巴菲特 B 、巴沙特 C 、巴特尔 D 、巴佘尔
二、多选题 (每题 2分 , 共 20题 )
21、网络违法犯罪的表现形式有 ( ABCD )。
A 、网络诈骗
B 、网络色情
C 、网络盗窃
D 、网络赌博
22、影响网络信息安全的硬件因素(ABCD ) P43
A 、基础设施的破坏和机房内部设备
B 、水灾、火灾、雷击、地震
C 、电磁、辐射、温度、湿度
D 、受到外部坏境的影响,设备出现故障
23、 ( ABCD)可能给网络和信息系统带来风险,导致安全事件。
A 、计算机病毒
B 、人员误操作
C 、不可抗灾难事件
D 、软硬件故障
24、引起网络道德问题产生的网络自身原因有 ( ABC )。
A 、网络社会的虚拟性
B 、网络奢华的开放性
C 、网络社会的隐蔽性
D 、网络立法的滞后性
25、网络道德的原则有 ( ABCD )。
A 、全民原则
B 、公正公平原则
C 、兼容性原则
D 、互惠原则
26、(AB )属于网络不诚信问题 P104
A 、发布虚假信息,扩散小道消
B 、网上恶搞、网络暴力、人肉搜索
C 、境外的网络攻击
D 、手机恶意程序
27、从计算机技术方面来了解互联网不良信息的传播方式 ( ABCD )。 P150
A 、 HTTP
B 、手机 WAP
C 、 P2P
D 、 IM
28、网络舆论对事件发展过程与处理结果时刻保持着 ( BC )。
A 、批评
B 、质疑
C 、监督
D 、怀疑
29、专业技术人员需要重点做好的基本工作有 ( ABC )。
A 、做好网络舆论引导工作
B 、抵制网络不良信息
C 、自身网络道德建设
D 、加强专业立法工作
30、软件盗版的主要形式有 ( ABC )。
A 、最终用户盗版
B 、购买硬件预装软件
C 、客户机 —— 服务器连接导致的软件滥用
D 、购买电脑时厂商预装的 OEM 版操作系统
31、网络违法犯罪的主观原因有(A BC )
A 、互联网立法的滞后性、不健全性
B 、为获取巨大的经济利益
C 、道德观念缺乏
D 、法律意识、安全意识、责任意识淡薄
32、网络安全是一门涉及(ABCD )等多种学科的综合性学科
A 、计算机科学、网络技术
B 、通信技术、密码技术
C 、信息安全技术、应用数学
D 、数论、信息论
33、目前,我国网络违法犯罪的具体发展现状有 ( AC )。 P62
A 、互联网财产型违法犯罪日益频发
B 、 QQ 等即时聊天工具使用日益频繁
C 、病毒、木马等网络违法犯罪工具日益蔓延
D 、青少年网络违法犯罪日益下降
34、我国不良信息治理存在的问题有(ABCD )
A 、法制不健全
B 、行政管理不到位
C 、行业自律性不高
D 、技术发展的滞后性
35、网络道德有(ABCD )原则
A 、全民原则和公正平等原则
B 、兼容原则
C 、互惠原则和无害原则
D 、自由原则和诚信原则
36、以打击儿童色情为例,自 1996年以来,美国立法部门通过了 ( ABC )等法 律,对色情网站加以限制。
A 、《通信内容端正法》
B 、《儿童互联网保护法》
C 、《儿童网络隐私规则》
D 、《儿童在线保护》
37、法国对互联网的管理调控经历了(BCD )时期
A 、政府调控
B 、调控
C 、自由调控
D 、共同调控
38、下列说法正确的是 ( AB C)。
A 、家庭、学校和社会是对青少年进行教育的主要场所
B 、我国目前青少年网络不道德行为频频出现
C 、网络中传播着大量的享乐主义、拜金主义思想
D 、网络道德建设在虚拟化社会中很难开展
39、以下行为不属于违反知识产权的是 ( BCD)
A 、修改未经授权软件中的版权信息
B 、参加网络远程学习
C 、通过电子邮件与朋友交流
D 、到 CCTV 网站观看网上直播
40、对电子商务立法范围的理解,应从哪些方面进行考虑? ( )
A 、商务
B 、网络交易客户
C 、网络交易中心
D 、电子商务所包含的通讯手段
24、从网络社会治理的视角来看,电子商务在发展中出现的安全问题主要有 (ABCD )
A 、网络商务诚信安全问题
B 、网络支付安全问题
C 、电子合同安全问题
D 、网络知识产权安全问题
25、网络安全社会层面的特性包括(BCD )
A 、可控性和预测性
B 、技术性和多样性
C 、危害性和预测性
D 、跨国性
26、互联网信息安全要求信息的传输、储存、处理和使用都处于安全的状态, 信息安全应具备以下特征(ABC )
A 、保密性、完整性
B 、真实性、可用性
C 、可审查性、可控性
D 、多样性、复杂性
28、我国在网络社会治理方面采取了 ( ABCD )
A 、从管理格局上探索建立了法律法规、行政监督、行业自律、技术保障相结合 的管理体系
B 、指定了多部针对互联网的法律、行政法规、司法解释和部门规章
C 、初步建立了互联网基础管理制度
D 、初步形成了网络信息安全保障体系
29、 ( ABD )技术的发展,为互联网不良信息的发布传播提供了技术支持。
A 、计算机
B 、互联网
C 、微博客
D 、数字化
30、威胁网络信息安全的软件因素有(BCD )
A 、外部不可抗力
B 、缺乏自主创新的信息核心技术
C 、网络信息安全意识淡薄
D 、网络信息管理存在问题
32、互联网不良信息泛滥的原因是 ( ACD )。
A 、网络社会自身的特点
B 、人们对黄色信息有一定的需求
C 、经济利益驱动
D 、社会监管难以有效实施
33、确立网络道德建设的指导思想的是 ( ABCD )。
A 、以优秀的道德传统作为基础
B 、以社会主义核心价值观作为主体
C 、借鉴他国先进的伦理思想
D 、加强对网络道德的理论研究
34、互联网不良信息的独有特点(AB ) P147
A 、社会危害性
B 、传播更加快捷
C 、匿名性
D 、广泛性
35、《计算机信息网络国际联网安全保护管理办法》规定,任何单位和个人不 得制作、复制、发布、传播的信息内容有 ( AD)P141
A 、损害国家荣誉和利益的信息
B 、个人家庭住址
C 、个人文学作品
D 、淫秽、色情信息
36、根据互联网不良信息的性质,互联网不良信息可分为 ( BCD )。
A 、违反行政管理的信息
B 、违反法律的信息
C 、违反社会道德的信息
D 、破坏信息安全的信息
38、(CD )网络道德问题产生的网络社会的客观原因
A 、网络主体缺失对相关网络行为的道德判断能力
B 、网络主体缺乏自我约束的道德意识
C 、家庭、学校和社会的教育存在问题
D 、意识形态斗争趋于网络化
推动关键网络信息基础设施安全保障工作从 (BCD)入手 。 P25-26
22、我国的立法主体多样,层级复杂,仅就行政立法而言主要包括 ( ABD )。
A 、行政法规
B 、部门规章
C 、地方政府法规
D 、地方政府规章
23、下列说法正确的是 (ACD )。
A 、互联网的发展和广泛应用使得社会生产力获得了极大解放
B 、互联网的发展和广泛应用使得违法犯罪急剧上升
C 、互联网的发展和广泛应用给社会的发展带来前所未有的挑战
D 、互联网的发展和广泛应用成了违法犯罪分子积极开拓的新领域 网络违法犯罪的主观原因是(ABC )
25、电子政务是处理与政府有关的(CD )的综合系统
A 、先进事务
B 、重要事务
C 、公开事务
D 、内部事务
26、网络不良信息的危害性主要表现在 ( ABCD )。
A 、危害国家安全
B 、扰乱社会秩序
C 、诱发犯罪行为的发生
D 、造成巨大的经济损失
属于加强网民自律建设的是 ( ) D. 明确网络舆论应急处理的特点
28、引起网络安全问题的原因主要有 (ABC)。
A 、用户安全意识淡薄
B 、网络安全技术和产业支撑能力不足
C 、网络安全的法律政策不完善
D 、没有自主品牌的网络安全设备
29、完善网络信息安全的法律法规从(ACD )着手
A 、健全、完善我国目前有关网络信息安全的法律体系
B 、在国家层面上制定“互联网信息安全计划
C 、把立法工作纳入国际法律法规体系中,加强国际立法合作
D 、尊重和借鉴互联网发展过程中所形成的“习惯法” 31、(BCD )是有关诈骗类的互联网不良信息
A 、网络销账
B 、股票内幕
C 、彩票
D 、信用卡
33、下列符合我国网络舆论特点的是 ( ABCD )。
A 、参与主体的广泛化与复杂化
B 、互动参与性
C 、时效性
D 、监督性
34、网络信息管理存在的问题主要包括 (ABCD )。
A 、网络信息安全管理方面的综合素质人才缺乏。
B 、互联网信息安全缺乏制度化的防范机制。
C 、信息安全问题缺乏综合性的解决方案。
D 、信息保护的安全措施不到位。
39、(ABCD )会对信息安全所产生的威胁
A 、计算机病毒的扩散与攻击和计算机病毒的扩散与攻击
B 、信息系统自身的脆弱性
C 、有害信息被恶意传播
D 、黑客行为
40、网络违法犯罪主要包括 ( ABC )类型。
A 、传统的违法犯罪活动与互联网相结合而产生的新型违法犯罪形式
B 、以互联网为工具,通过互联网来实施的传统违法犯罪行为
C 、以互联网为直接的侵犯对象,危害互联网安全的违法犯罪行为
D 、以互联网为工具,在线传播计算机病毒
23、专业技术人员提升自身网络道德水平主要包括 ( ABC )
A 、要树立起良好的道德意识,要有维护整体利益的意识。
B 、要有道德自律意识。
C 、坚决同不道德的行为作斗争。
D 、进一步完善信息安全法律体系。
下列属于威胁网络信息安全的软件因素的是(ABC )
25、网络社会治理中存有(ABCD )的问题
A 、互联网诚信缺失
B 、互联网市场行为亟待规范
C 、互联网产业创新活力不足
D 、网络安全问题依然严峻
26、网络违法犯罪具有以下的特点和发展趋势 ( ABCD )。
A 、高智能化的新型违法犯罪
B 、隐蔽性极强,破案取证困难
C 、社会危害性大,涉及面广
D 、网络违法犯罪的跨时空性
27、从事专业技术工作和专业技术管理工作的人员,主要包括 ( ABCD)
A 、教育人员
B 、会计人员
C 、公证人员
D 、翻译人员
29、影响网络安全产生的因素(AD )
A 、网民自身的因素和网络信息因素
B 、社会政治因素
C 、社会主观的环境因素
D 、社会客观的环境因素
30、访问控制分为(AB )两大类
A 、自主访问控制
B 、强制访问控制
C 、授权访问控制
D 、非授权访问控制
31、我国信息安全等级保护的内容包括 ( AC)。
A 、对信息系统中使用的信息安全产品实行按等级管理
B 、对信息安全从业人员实行按等级管理
C 、对信息系统中发生的信息安全事件按照等级进行响应和处置
D 、对信息安全违反行为实行按等级惩处
威胁网络信息安全的软件因素有 (BCD)P43-44
32、网络政务安全领域存在大量的立法空白,主要存在问题是(ABC )
A 、存有的网络政务法规滞后
B 、有关网络政务安全管理的立法稀少,立法层次低
C 、现有网络安全法规混乱,缺乏宏观统一性
D 、网络政务安全具体运行管理还不成熟
34、下列属于网络舆论的表现形式的有(AD )
A 、网络评论专栏
B 、网络谣言
C 、网络游戏
D 、网络即时评论或跟帖
35、我国目前有关网络信息安全的法律体系较为薄弱,主要体现在 ( ABCD )。
A 、网络立法层次较低
B 、缺乏单行法律
C 、现有的法律法规不够完善
D 、部分法律法规存在冲突
38、以下不属于增强网络舆论引导有效方法的是 ( ABD )。
A 、重视国际合作
B 、轻博客取代微博
C 、完善互联网法律制度建设
D 、建立行业移动终端
39、 如果从利用互联网实施的违法犯罪行为来看, 网络违法犯罪的客体有 (BD )
A 、网络计算机本身的软件程序
B 、国家安全、社会秩序
C 、计算机网络处理、存储、传输的数据信息
D 、财产秩序、人身权利、民主权利
40、网络环境下的舆论信息主要来自 (ABCD )。
A 、新闻评论
B 、 BS
C 、博客
D 、聚合新闻
22、下列选项中属于人员安全管理措施的是 ( BCD)。
A 、行为监控
B 、安全培训
C 、人员离岗
D 、背景 /技能审查
24、关于入侵检测技术,下列描述正确的是 ( BCD)。
A 、入侵检测系统不对系统或网络造成任何影响
B 、审计数据或系统日志信息是入侵检测系统的一项主要信息来源
C 、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵
D 、基于网络的入侵检测系统无法检查加密的数据流
31、计算机病毒的主要来源有 ( ABD)。
A 、黑客组织编写
B 、恶作剧
C 、计算机自动产生
D 、恶意编制
32、从网络角度讲,关键之关键是要解决好 ( BCD )这些问题。
A 、加速
B 、接入
C 、互联
D 、智能
37、下列属于国务院新闻办主任王晨在第八届中国网络媒体论坛上概括的网络 不诚信问题的表现的有 (ABCD )
A 、发布虚假信息
B 、网上恶搞
C 、运行不健康的游戏
D 、传播网络病毒
39、互联网不良信息的一般特点有(ABC )
A 、广泛性
B 、匿名性
C 、来源的多渠道性
D 、单一性
21、哈氏假定的理想的演说情景包括(ABCD )
A 、任何具有言说及行动能力的人都可以参加对话
B 、所有人都有平等权利提出任何想讨论的问题,并对别人的论点加以质疑,表 达自己的欲望与需求
C 、每个人都必须真诚的表达自己的主张,不受外在的权利或意识形态的影响
D 、对话的进行只在意谁能提出“较好的论证”,人们理性的接受这些具有说服 力的论证,而不是任何别的外在考虑
24、网络舆论形成之后,其发展取决于一系列因素的相互作用,主要有以下几 个方面 (ABCD )。
A 、政府有关部门的参与
B 、传统媒体的加入
C 、网络舆论领袖的影响
D 、专家分析
26、互联网不良信息的独有特点 ( AC)。
A 、社会危害性
B 、全球性
C 、传播更加快
D 、便捷性
30、我国对不良信息治理的措施有 (ABCD)。
A 、法律规制
B 、行政监督
C 、自律管理
D 、技术控制
37、网络社会治理中存在的问题有 (ABD )
A 、互联网诚信缺失
B 、互联网市场行为亟待规范
C 缺乏集中统一的互联网管理机构
D 、互联网产业诚信活力不足
33、网络社会治理中存在的问题有 (ABCD)
A 、互联网诚信缺失
B 、互联网市场行为亟待规范
C 、网络安全问题依然严峻
D 、互联网产业创新活力不足
34、我国目前的互联网法律制度可以分为 (AC )。
A 、其他法律法规中与网络有关的具体法律规范
B 、单行法
C 、有关互联网方面的专门规范性文件
D 、自律规章
38、我国网络安全问题严峻的表现为(ABD )
A 、遭受境外的网络攻击持续增多
B 、网上银行面临的钓鱼威胁愈演愈烈
C 、传播网络病毒,恶意进行网络攻
D 、手机恶意程序现多发态势
39、加快完善我国网络安全政策法规建设的措施有(ABC )
A 、进一步完善我国信息安全法律体系
B 、建立完善的信息安全监督管理制度体系
C 、参考 WTO 规则制定我国信息安全行业管理规范
D 、树立起良好的道德意识,要有维护整体利益的意识 40、我国网络政务安全管理发展的主要障碍有 (ABCD)
A 、网络政务安全领域存在大量的立法空白
B 、网络安全管理机构缺乏统一性与责任性
C 、网络安全基础设施管理薄弱,应急处理能力差
D 、网络政务安全具体运行管理还不成熟
39、网络舆论最大的特色就是(ABC )
A 、对公共政策的监督
B 、对公共权力的监督
C 、对公众人物的监督
D 、对网民言论的监督
36、电子政务是 ( ABD)的政务管理系统
A 、新型的 B 、先进的 C 、有效的 D 、革命性的
网络道德问题产生的自身原因有 (BCD) A 、 网络 立法的滞后性 B 、网络社会的虚拟性 C 、网 络社会的开放性 D 、网络社会的隐蔽性
三、判断题 (每题 1分 , 共 20题 )
43、网民即是不良信息的受害者 , 也是不良信息的发布与传播者(对) 41、 2011年 5月 4日,我国设立中国互联网协会作为我国互联网信息管理领域 的最高权力部门,这标志着我国互联网管理上了一个新高度。(错) 42、网络犯罪在主观方面表现为无意。()
43、根据《儿童互联网保护法》,美国的公共图书馆都必须给联网计算机安装 色情过滤系统,否则图书馆将无法获得政府提供的技术补助资金。 ( 正确 ) 44、互联网不良信息的泛滥,对整个国家社会、个人都会造成极大的危害甚至 危害青少年的健康成长。 ( 正确 )
45、互联网主体自律和政府引导可以维护网络自由与多元化监管。 ( 正确 ) 46、网络诈骗案件的特点以传播木马病毒来实施网络盗窃违法犯罪。(不正确) 47、在互联网环境中,网络舆论形成的模式:产生话题 —— 话题持续存活 —— 形成网络舆论 —— 网络舆论发展 —— 网络舆论平息(正确)
48、舆论是属于意识形态范畴的东西,舆论引导具有强硬的约束力。 ( 不正确 ) 49、《支付清算组织管理办法》是以规范网络支付企业的主体资格与营业服务 范围。 (正确 )
50、在所有影响网络政务安全管理的因素中,唯有管理制度不具有可变性与随 意性。(不正确)
51、通过超算中心等一体化系统部署的云服务,使企业 IT 投入成本和维护难度 显著增加。 ( 不正确 )
52、构建互联网道德规范体系,是对禁止性规范进行构建(对)
53、网络安全是一个关系国家主权、社会稳定、民族文化的继承和发扬的重要 问题()
54、 网络商务是传统商务活动与网络信息技术发展结合的新型化商务活动。 ( 正 确 )
55、 我国对互联网不良信息的技术治理, 主要体现在不良信息传播的层面上。 ( 正 确 )
网络违法犯罪在本质上和传统的违法犯罪性质一样 , 都是触犯国家法律特别是刑 事法律的行为。 ( ) 正确
网络道德的本质是社会道德 , 是社会道德在网络领域中的新体现 (√)
56、我国对互联网作专门性规定的法律文件只有一部。 (对 )
57、网络信息安全产品从以防治计算机病毒为主发展到现在的多种类、多层次 的安全防护技术体系。 ( √ )
58、非法侵入、破坏计算机信息系统是网络违法犯罪的表现形式之一。(正确) 59、网络主体缺乏自我约束的道德意识是网络道德问题产生的自身原因。(不 正确)
60、网络文化是指网络上的具有网络社会特征的文化活动及文化产品,是以网 络物质的创造发展为基础的网络精神创造。 ( 正确 )
由于互联网具有高度开放性 , 因此无需对其进行管理 (错 )
41、法律相对于社会的快速发展而言在不同程度上具有滞后性。 ( 正确 ) 43、热衷于打擦边球,靠哗众取宠吸引点击是网络不诚信问题的表现。(正确) 44、任何缺失都会如“短板”一样决定信息安全“水桶”的安全程度,因此只 要保护好最短的那块板就行了。 ( ×)
46、我国网络安全防御工程建设还有待加强就是因为我国国家级投入相对较少 (不正确)
互联网不良信息泛滥的原因有多种 , 网络道德观念的缺乏属其中一种 A. 正确 B. 错误答案 : B
电子政务是传统政府和现代网络技术相结合的产物 (√)
电子政务是必须借助于电子信息化硬件系统 、数字网络技术和相关软件技术的综 合服务 系统(正确)
网络道德问题产生的原因有网络自身的原因、 网络主体的主观原因和 ( A ) A 、 网络社会的客 观原因 B 、网络社会的主观原因 C 、网络主体的客观原因 D 、网络本身原因
属于加强网民自律建设的是 ( ) D. 明确网络舆论应急处理的特点
下列哪些是网络社会的基本特征 (ACD) A. 超时空性 B . 物质性 C. 可扩展性 D. 平等性
47、俄罗斯将信息网络安全纳入国家安全战略。 ( 正确 )
51、由于信息系统自身的脆弱性,导致系统自身所存在的某一隐患可能突然在 某个特定的条件下被激活,从而致使系统出现了不可预计的崩溃现象。 ( 正确 ) 52、天猫商城是典型的 B2B 模式。(错)
53、 2013年 3月,瑞星互联网攻防实验室检测到大量针对我国政府类网站的恶 意攻击,这些攻击大都来自国外。 (√ )
54、互联网不良信息是指行为人通过互联网发布的公然违反国家的法律、法规 及政策, 违背社会道德伦理与价值观, 对国家、 社会及个人造成有害影响并为国 家、社会及个人所排斥的,反应现实社会不良现象的互联网信息。(正确)
55、《信息安全国家学说》是美国信息安全基本纲领性文件。 ( 不正确 ) 57、国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取
的技术和管理的安全保护, 保护计算机硬件、 软件数据不因偶然和恶意的原因而 遭到破坏、更改和泄漏。”(正确)
59、专业技术人员树立科学的网络政务安全观是进行网络政务安全管理的前提 条件。()
60、网络舆论互动参与性的日渐增强使党和政府在决策和行政执法中越来越注 重民意。 ( 正确 )
41、“绿坝”软件是一款为净化网络环境,避免青少年受互联网不良信息的影 响和毒害的软件。 ( 正确 )
42、舆论引导是网络舆论应急管理的第一要素。(不正确)
43、访问控制的主要作用是防止非法的主体进入受保护的网络资源,允许合法 用户访问受保护的网络资源, 允许合法的用户对受保护的网络资源进行非授权的 访问。 ( 错 )
44、 2011年在奥巴马总统的推动下, 美国商务部启动了网络身份证战略。 (对)
47、做好网络社会治理工作是网络信息技术发挥积极影响的保证。 (正确 ) 49、网络舆论可以监督公共政策的偏向、公共权力的滥用等,其最大的特点是 真实性。 (×)
50、北京中关村地区教育与科研示范网正式接入国际互联网的 64K 专线开通, 实现了与国际互联网的全功能连接, 这标志着中国正式接入国际互联网。 (正确) 51、网络社会的形成与发展为现实社会中的违法犯罪分子提供了一个新的违法 犯罪领域,但其社会危害性不及现实社会中的违法犯罪。 ( 不正确 )
52、专业技术人员树立科学的网络政务安全观是进行网络政务安全管理的前提 条件。()
法国对互联网的管理调控经历了三个时期 , 由最初的 “ 调控 ” 发展到 “ 自动调控 ”, 当前又进入到 “ 智能调控 ” 时期 。 ( ) 不正确
54、我国现行的有关互联网安全的法律框架有法律、行政法规、行政规章和司 法解释四个层面。 ( 正确 )
55、不良信息发布传播者为获得巨大的经济利益,铤而走险传播不良信息是互 联网不良信息泛滥的重要因素之一。 ( 正确 )
56、制定完备的法律体系是有效治理互联网不良信息的法律前提与制度保障。 ( 正确 )
59、纵向的法制统一均要求下级行政主体立法必须与上级行政主体立法保持一 致。 ( 正确 )
44、对钱财的贪婪也是网络违法犯罪行为的原始动力。(正确)
48、当前互联网信息管理存在的最突出的问题就是安全管理的问题。(×) 50、互惠原则的核心内容是要求消除网络社会由于各种原因造成的网络主体间 的交往不畅通、交往障碍。(正确)
52、从舆论的基本要素来讲,舆论主题的参与与意识觉醒日益增强是网络舆论 的最主要的特点。(对 )
55、自然人违法犯罪比单位实施“网络违法犯罪”具有更大的社会危害性。 ( 不 正确 )
60、加强青少年网络道德建设,家庭教育是基础、网络社区教育是关键、学校 教育是重点。 (对
47、加强互联网行业的技术发展,是对互联网不良信息进行有效治理的重要措 施。 (错 )
48、网络犯罪的主体只是自然人。(错)
51、信息本身具有易传播、易扩散、易损毁等特征使得信息安全容易受到威胁 和损害。 ( 正确 )
53、互联网的发展不能全球合作,那样会有信息安全的隐患。 ( 不正确 ) 55、互联网不良信息的一般特点是社会危害性和传播更加快捷。(不正确) 56、对于财产性的网络违法犯罪,其造成的经济损失是普通违法犯罪难以比拟 的。 ( 正确 )
57、网络道德是社会道德体系中的一个重要组成部分,是社会道德在网络社会 中的一个延伸。(正确)
59、英国等主要欧洲国家对论坛和新闻跟帖管理十分宽松,民众有言论自由权。 (不正确 )
网络舆论的有效管理以妥善处理事件本身为核心 (对 )
任何话题只有积累了足够数量或者分量的帖子 , 才能体现这种持续关注度。 (√ )
给予信息安全产业优惠政策的出发点是追求最大经济效益 。 () 不正确
60、网络安全是一个关系国家主权、社会稳定、民族文化的继承和发扬的重要 问题(对)
43、根据第 33次《中国互联网络发展状况统计报告》显示,截至 2013年 6月 底,我国网民规模达到 6.91亿。 (不正确 )
44、网络信息安全的完整性的主要防范措施是校验与认证技术。(正确) 45、互动参与是网络舆论最吸引网民眼球的焦点。 ( )
447、网络不良信息中,影响最为严重的是网络谣言。(正确)
50、 B2B 模式是根据商务活动的内容划分的电子商务。(不正确) 53、我国互联网技术发展较晚,在 20世纪 80年代通过美国路径才正式加入互 联网。 (不正确 )
54、网络道德问题产生的客观原因是网络社会的社会背景。 ( 正确 ) 55、我国对不良信息治理的主要措施有:法律的规制、行政机构的监管、行业 的自律约束。(不正确)
56、网络垃圾信息是根据互联网不良信息的性质划分的互联网不良信息。(不 正确)
57、信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、 事后恢复起到了统一指导作用。 ( ×)
60、加强互联网行业的技术发展,是对互联网不良信息进行有效治理的重要措 施。 ( )
61、手机已成为重要的个人媒体工具,在手机被视为媒体的初期,指的是对手 机报的传播, 是大众媒介借助手机进行传播的新形式, 在今天, 我们注意到手机 用户利用手机媒体传播新闻、 表达诉求的热情, 通常所说的 “新意见阶层” 、 “自 媒体”、“公民媒体”、“市民媒体”等,都离不开对手机媒体的考察。截至 2009年 12月, 我国网民规模为 3.84亿人, 手机网民占到总网民规模的 60.8%, 这样庞大的用户数量和便捷的移动互联渠道, 意味着手机正成为人们进行新闻和 舆论参与的重要工具。 微博是手机媒体传播的重要形式, 微博通过与手机绑定便 如虎添翼, 2007年墨西哥城地震、 2008年汶川大地震,都是微博用户利用手机 微博最先向世界发布了消息,在国内,多数微博都可以利用短信、飞信或手机 WAP 上网来发布信息。微博与手机相结合,是对互联网交互行为的一种延伸, 网民由此可以保持移动在线状态, 无论走到哪里, 都能即时观察到别人对事件的 评价, 并能发表自己对现实的意见。 更为重要的是, 微博用户可以借助手机媒体 成为即时的报道者, 对正在发生的事情进行简洁而快速的报道, 并有超过传统媒 体报道速度和广度的可能性, 这可以丰富舆论参与者对现实的把握和对意见的表 达。
(1)、具体体现了我国网络舆论(BC )的现状
A 、社交网站(SNS )的社会动员潜力
B 、移动互联网崭露头角
C 、微博大行其道
D 、论坛 /BBS丧失网络舆论“霸主”地位
(2)、网络舆论的发展取决于(ABCD )
A 、政府有关部门的参与
B 、传统媒体的加入
C 、网络舆论领袖的影响
D 、专家分析
62、 B2C 是英文 Business-to-Customer (商家对顾客)的缩写,而其中文简称 为“商对客”。“商对客”是电子商务的一种模式,也就是通常说的商业零售, 直接面向消费者销售产品和服务。这种形式的电子商务一般以网络零售业为主, 主要借助于互联网开展在线销售活动。 B2C 即企业通过互联网为消费者提供一
个新型的购物环境 —— 网上商店, 消费者通过网络在网上购物、 在网上支付。 由 于这种模式节省了客户和企业的时间和空间, 大大提高了交易效率, 特别对于工 作忙碌的上班族,这种模式可以为其节省宝贵的时间。
(1)、以下属于 B2C 模式的为(D )
A 、晴天乐客
B 、海关报税平台
C 、天猫商城
D 、京东商城
(2)、一个好的 B2C 网站最主要的功能,也就是比较共性的功能,从使用角度来 讲主要包括以下几个方面(ABCD )
A 、商品的展现和商品的查找
B 、购物车的添加、查看和配送的方法
C 、订单的结算和支付以及注册登录
D 、客户中心和帮助、规则、联系方式等相关页面展现
63、工业和信息化部在 2009年 5月 19日下发了《关于计算机预装绿色上网过 滤软件的通知》,该通知要求 2009年 7月 1日之后在中华人民共和国境内生产 销售的个人计算机出厂时应预装最新版本的 “绿坝 —— 花季护航” , 软件应预装 在计算机硬盘或随机光盘内。但是,非常遗憾的是“绿坝”在技术上不太成熟, 对于非不良图片,出现黄色背景、黑色为主的情况,会统一过滤为不良图片,这 些问题导致绿坝软件推广困难。
(1)、我国不良信息治理存在的问题 ( ABCD )。
A 、法律的不健全。
B 、行政管理不到位
C 、行业自律性差
D 、技术发展的滞后性
(2)、下列说法正确的是 (A BCD )。
A 、只有商业化才能给网络媒体带来大量的资金支持和技术支持
B 、互联网监管必须符合互联网技术发展的规律
C 、法律不可能完全代替技术
D 、仅依靠政府单方面的努力很难使互联网监管的效果达到最初的立法目的 64、 2012年 4月, 网易公司宣布, 旗下重要的移动互联网产品网易新闻客户端,
遭到腾讯公司腾讯新闻 iPhone 客户端 2.0版本的公然侵权。腾讯该产品在产品 整体布局、 跟帖页面、 图片浏览页面的设计上直接抄袭了网易新闻客户端的相关 功能和设计。 网易公司 “强烈谴责腾讯公司的这种流氓行径, 并要求腾讯公司自 尊自重,自觉主动地将抄袭产品从 App?Store 下架。” ?? 腾讯公司则在向媒体 发布的腾讯新闻客户端 2.0版上线说明中称:“基于底层代码架构的重置式开发, 今年 4月 11日腾讯对新闻客户端进行了升级,在最新版本之中,腾讯新闻客户 端基于产品功能、交互设计、内容框架,进行了大量的创新。”
(1)、网易和腾讯的“抄袭”纠纷体现了网络社会治理中(B )的问题
A 、互联网诚信缺失
B 、互联网产业创新活力不足
C 、互联网市场行为亟待规范
D 、网络安全问题依然严峻
(2)、网络社会治理的基本原则(ABC )
A 、遵循网络社会的基本特点与规律
B 、协同共治的原则
C 、以法治网的原则
D 、引导 -协商 -立法 -自治
65、为引注意散布谣言:4月 22日 8时 30分左右 , 常熟市公安局网络警察大队 民警在网上巡查时发现 , 有一个 QQ 网名为“台湾空军”的网友 , 在群名为“军事 政治兵法历史论” QQ 群里散布关于雅安地震的谣言。 “当发现有人涉嫌在网上 散布谣言后 , 我们要做的第一件事就是找到散布者 , 了解情况 , 核实真实性。”常熟 市公安局网络警察大队民警薛景告诉记者。经过工作 , 很快锁定此言论系常熟市 海虞镇某村村民陆某散布。 4月 23日 , 常熟市公安局网络警察大队会同海虞派出 所对陆某进行了传唤。经询问 , 陆某很快承认了其在网上散布关于雅安地震谣言 的违法事实。据其交代 , 他是在上网时看到别人发布了这样一条消息 , 为了引起他 人注意 , 没多想就把消息在自己所在的 QQ 群里转发了。鉴于陆某认错态度较好 , 主动澄清不当言论 , 积极消除不当言论带来的负面影响 , 且其散布的不当言论并无 产生严重后果 , 海虞镇派出所对其作出教育训诫的处罚。
(1)、这属于网络不良信息中的(A )
A 、网络谣言
B 、网络色情
C 、网络暴力
D 、网络垃圾
(2)、产生网络谣言的原因(ABC )
A 、社会生活的不确定性
B 、科学知识的欠缺
C 、社会信息管理的滞后
D 、国家经济政治不稳定
四、案例分析题 (每题 4分 , 共 5题 )
61、天津市公安网监总队在网络巡查中发现,潘某在互联网“万花楼”网站上 创建了天津地区专版 “天津月季斋” , 大量刊载淫秽色情文章并发布介绍卖淫嫖 娼信息。 2013年 4月 11日,市公安局成立了专案组,权力开展案件侦办工作。 5月 20日, 专案组成立 12个抓捕组, 分别在和平区、 河东区、 河西区、 南开区、 北辰区等地将主要犯罪嫌疑人潘某、冀某某及涉嫌卖淫嫖娼人员李某等 7人抓 获。
(1)、根据互联网不良信息的内容,互联网不良信息可分为 ( ABCD )。
A 、暴力及暴力倾向信息
B 、淫秽色情信息
C 、虚假信息
D 、诱赌信息
(2)、下列关于加强对互联网不良信息的行政监管说法正确的是 ( ABC)。
A 、将专项治理行动制度化和常态化
B 、设立专门的行政监管部门
C 、提高互联网监管执法人员的业务水平
D 、对互联网信息实行严格的隔离、屏蔽手段
63、在 2002年 6月 22日下午 3时 30分左右,山西省山西省繁峙县义兴寨金 矿区发生特大爆炸, 38名金矿矿工不幸罹难。 6月 24日,新华社山西分社的鄯 宝红、安小虎、王东平、谭旭 4名记者,已经在接到繁峙死难矿工家属举报后赶 到了繁峙,但他们并未去矿难现场,而是直接找到了繁峙县的县委、县政府,并 受到了盛情款待,不单单是酒足饭饱,还收受了一定金额的贿赂,直到 2002年 7月 3日才将矿难报道出来。 山西霍宝干河煤矿于 2008年 9月 20日发生矿难, 1人死亡。事故发生后矿方瞒报,引发所谓“封口费”事件。矿方提供的“进门 登记表” 显示, 9月 24日、 25日两天共有 23家 “媒体” 、 总计 28人登记到访。 其中持有新闻出版总署新闻记者证的仅有 2人,而多数“记者”是假记者。山西 霍宝干河煤矿确认, 发生事故以来, 煤矿以订报费、 宣传费等各种名义给 6家媒 体总共支付 125700元。其中,假冒中央媒体的记者获 34500元,被移交司法 立案侦查。
(1)、针对有偿新闻,可以从 ( ABCD )方面进行制约。
A 、完善相关法律
B 、完善新闻法规
C 、加强网络媒体正确引导舆论的功能
D 、加强媒体自身专业素质
(2)、出现有偿新闻的原因有 (ABCD )。
A 、记者职业道德的缺失
B 、新闻单位监管力度不够
C 、有偿新闻的影响力大过一般广告
D 、有偿新闻的隐匿性
64、 2012年, 22岁的山西男子赵某因为抢劫而被捕。究其原因是赵某在忻州一 所武术学校学习曾在网上看过一段劫匪抢劫银行的网络视频。 这段视频使其在生 活费不够挥霍的时候, 萌生了抢劫的念头。 最后, 他在体育用品商店购买了仿真 枪并进行了改装,先后抢劫省城 9家酒店和大型洗浴中心,抢劫现金 4万余元, 全部挥霍一空,最终受到法律制裁。
(1)、这则材料说明了网络不良信息的 ( C )方面社会危害性。
A 、国家安全
B 、经济损失
C 、危害青少年健康成长
D 、社会道德失范
(2)、下列关于网络不良信息危害青少年健康成长说法正确的是 ( ABCD )。
A 、由于青少年的身心发育尚未成熟
B 、青少年的世界观、人生观、价值观正处于一个形成阶段
C 、青少年缺乏对不良信息的基本分析能力、判断能力与辨别能力
D 、青少年对含有色情、暴力及凶杀等内容的有害信息自制能力较弱 61、 20世纪 90年代中期,我国政府全面启动“政府上网工程”。 2004年 12
月,我国提出要“建立健全政府信息公开制度,加强政务信息共享,规范政务信 息资源社会化增值开发利用工作” , 加快推进机关办公业务网、 办公业务资源网、 政府公众信息网和政府办公业务信息资源数据库等“三网一库”建设。 2006年 1月,中央人民政府门户网站开通。截止 2011年底,中国已建立政府门户网站 5万多个, 75个中央和国家机关、 32个省级政府、 333个地级市政府和 80%以 上的县级政府都建立了电子政务网站,提供便于人们工作和生活的各类在线服 务。
(1)、加强政府网络舆论引导能力可以从以下 ( AB )方面进行。
A 、适当调整引导策略
B 、加强新闻网站和政府网站等主流网络媒体建设
C 、取缔非政府网站
D 、培养专门的网络舆论推手
加强政府网络舆论引导能力可以 (BD)A、充分发挥网络舆论“意见领袖”法人作用 B 、加强 新闻
(2)、下列说法正确的是 ( ABD )。
A 、政府网站的建设要突破一般网络媒体的办站方法
B 、政府网站的功能不仅在于提供基本信息,更要对群众关心的热点问题及时跟 进
C 、 2009年 5月 1日,我国正式施行《政府信息公开条例》
D 、政府需要通过加强调控手段来引导舆论
62、丽水的女网民潜丽娜在淘宝网上盗窃文成县金某的游戏充值卡 11万余元 , 贱卖后非法获利 6万余元供自己挥霍 . 自以为神不知鬼不觉的这名女黑客很快就 落入法网 , 前天被文成县人民法院一审判刑 10年 , 并处罚金 2万元 .2008年 2月 20日晚 9时许 , 潜丽娜在丽水市莲都区灯塔小区其家中 , 通过密码找回的功能 , 破 解了金某在淘宝网上的用户名 “ llm78” 的密码 , 并修改了该用户名的密码 . 次日凌 晨 , 潜丽娜在丽水市阳光地带网吧及其家中 , 用修改后的密码登录 “ llm78” 的用户 名 , 窃取了金某所有的 1457张 “征途” 游戏充值卡和 70张盛大游戏充值卡 , 并在 网上以 5至 6折的价格出售 , 非法获利 6万余元人民币 . 第二天早上 , 金某发现自己 的用户名 llm78已不能登录 , 经与淘宝的管理员联系后终于登录上去 , 但发现里面 的游戏卡都已被使用 . 淘宝管理员为他提供了一些账号登录的信息 , 金某随后到文 成县公安局报案 . 网监大队的民警通过淘宝网交易的上网 IP 地址 , 发现交易在丽 水进行 , 迅速锁定了这名女黑客 , 并前往丽水将潜某抓捕归案 . 经文成县涉案物品 价格认证中心鉴定 , 金某被盗游戏充值卡的价值人民币 11.7万元 . 案发后 , 潜某家 属赔偿了经济损失计人民币 6万元 . 文成县人民检察院以盗窃罪对潜某提起了公 诉 , 要求追究其刑事责任 . 法院经审理认为 , 潜某以非法占有为目的 , 通过破解密码 的方式 , 盗取他人能实现财产价值的财物 , 数额特别巨大 , 其行为已构盗窃罪 . 鉴于 家属对经济损失作了部分赔偿 , 酌情从轻处罚 . 判处潜某有期徒刑 10年 , 并处罚金 人民币 2万元 , 同时责令潜某退赔违法所得给金某 .
(1)、材料中的网络违法犯罪体现了(AB )
A 、互联网财产型违法犯罪日益频发
B 、病毒、木马等网络违法犯罪“工具”日益蔓延
C 、利用网络传播有害信息的违法犯罪频发
D 、跨地域、跨国违法犯罪的高发
(2)、完善我国网络违法犯罪的相关立法工作的具体表现(ABCD )
A 、逐渐推进网络违法犯罪立法模式的完善
B 、适当扩大网络违法犯罪的主体
C 、适当提高有关网络违法犯罪的刑罚度,增加一些刑罚的种类
D 、健全网络违法犯罪的证据制度
64、 2013年 6月,前中情局(CIA ) 职员爱德华·斯诺登将美国国家安全局“棱 镜”项目的秘密文档披露给了《卫报》和《华盛顿邮报》。 6月 5日,英国《卫 报》 披露称, 美国国家安全局要求电信巨头威瑞森公司必须每天上交数百万用户 的通话记录。 6月 6日,美国《华盛顿邮报》披露称,美国国家安全局和联邦调 查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民 的电子邮件、聊天记录、视频及照片等秘密资料。
(1)、网络安全工作的目标包括 (ABCD )
A 、信息机密性
B 、信息完整性
C 、服务可用性
D 、可审查性
(2)、实施计算机信息系统安全保护的措施包括 (AB )
A 、安全法规
B 、安全管理
C 、组织建设
D 、制度建设
65、网络作为日益普及的文化传播媒体,其自身的特点决定了它管理起来比较 困难, 其隐秘性又使得许多不良信息得以迅速扩散. 网络掩盖下的违法犯罪活动 日益猖獗,这对青少年的负面影响尤为突出。
(1)、网络传媒使得许多不良信息迅速扩散,网络掩盖下的违法犯罪活动日益猖 獗。引发这一现象的原因是 ( C )。
A 、文化行政部门的管理力度不够
B 、网络文化能够满足人们的精神需求
C 、文化市场的盲目性和传媒的商业性
D 、国家对网络文化消费没有正确引导
(2)、针对网络的负面影响,我们青少年应该 ( ABCD )。
A 、提高辨别落后文化、抵制腐朽文化的能力
B 、加强思想道德修养,自觉进行正确的文化选择
C 、积极投身到中国特色社会主义文化的建设中
D 、合理利用网络,不做网络文化的奴隶
四、案例分析题 (每题 4分 , 共 5题 )
61、 2010年我国软件产业收入为 1.33万亿元,比上年增长 31%。 2010年我国 信息安全产业规模约 300亿元,产品类型日益多样,软硬件系统、防护体系推 进。同时我国宽带网络基础设施深入推进, 3G 网络已覆盖全国所有县城及大部 分乡镇。 三网融合稳步推进, 广电、 电信业务双向进入取得一定进展, 企业合作、 产业协作模式创新力度加大,新业态逐步形成。截至目前,我国颁布、施行的涉 及互联网管理方面的各种文件与法规共有 100多件。 2011年 5月 4日,我国设 立国家互联网信息办公室作为我国互联网信息管理领域的最高权力部门。
(1)、下列说法正确的是 (ABCD )。
A 、互联网产业是我国重点推进的战略性新兴产业。
B 、对信息安全的重视和其本身的重要性推动了我国信息安全产业的发展。
C 、我国配套产品研发、产业支撑能力不断提高。
D 、信息安全产业的发展,对提升国家的信息安全有重要意义。
(2)、我国信息安全取得的主要成就 ( ABC )
A 、信息安全产业发展迅速
B 、信息安全方面的立法工作突出
C 、互联网信息的管理工作进一步得到加强
D 、通过了《关于大力推进信息话发展的若干意见》,支持信息安全产业的发展 63、“维基解密”在 2010年 7月和 10月曾分别公布 9万多份阿富汗战争机密
文件和近 40万份伊拉克战争机密文件。前者将驻阿富汗美军滥杀平民的种种细 节曝光, 后者则指仅在 2004年至 2009年期间, 伊拉克战争就造成 10.9万人死 亡,其中包括 6.6万名平民。“维基解密”公布的秘密文件包括 25万多份外交 电报及八千份外交指示,多数文件的落款日期注明在 2004年以后,更有约九千 份文件的落款日期注明在 2010年 1月至 2月之间。 可以看出网络的全球化也让 网络信息安全的建设, 不仅是某个国家单独责任, 也是整个国际社会的共同责任。 网络信息安全是网络社会有效运行的血液, 网络的良性运行离不开网络信息的安 全保障。
(1)、网络信息安全的基本特征有(ABC )
A 、保密性和完整性
B 、真实性和可用性
C 、可审查性和可控性
D 、统一性和复杂性
(2)、从信息安全所产生的威胁看,以下(ABCD )属于信息安全的表现形式
A 、计算机病毒的扩散与攻击
B 、黑客行为
C 、有害信息被恶意传播
D 、信息系统自身的脆弱性
64、 2007年 7月在江西鄱阳在线网站论坛上出现了《史上最恶毒后妈把女儿打 得狂吐鲜血》,随后江西省电视台都市频道“都市情缘”栏目播发专题节目《为 什么这样对她》 , 报道中六岁女童丁香小慧躺在病床上狂吐鲜血, 身上到处是淤 血青紫。一时间全国 36家网站转载了丁香小慧事件的报道,题为《我所见过的 最没人性的事情!后妈毒打 6岁继女,治疗现场千人哭成一片!!!》的文章。 网络民愤迅即爆发,职责“这样的后妈简直禽兽不如”,还有网友发出网络通缉 令来通缉恶毒后妈。该事件惊动了当地政府, 7月 24日,江西省鄱阳县公安局 向公众通报了丁香小慧被虐事件情况的权威调查通报, 调查的结果表明, 女孩吐 鲜血的真实原因是患有血友病, 该病是一种遗传性出血性疾病, 出血是血友病的 常见症状, 其后妈陈彩诗没有虐待丁香小慧的行为, 丁香小慧体表初始伤是自己 跌倒造成的。 不可思议的是, 时至今日, 只有极少数有正义感的媒体最后澄清了 事实,还“后妈”以公道,而绝大多数当初报道的媒体、网站、论坛却始终沉默 失语。
(1)、 网络舆论形成之后, 其发展取决于一系列因素的相互作用, 这则材料表面 ( A )的重要性。
A 、政府有关部门的参与
B 、传统媒体的加入
C 、网络舆论领袖的影响
D 、专家分析
(2)、加强网络社会舆论的引导应该从 ( ABCD )等方面入手。
A 、完善互联网法律制度建设
B 、加强政府网络舆论引导能力
C 、加强网络媒体建设
D 、专业技术人员加强自律建设
65、 2006年 10月 16日由 25岁的中国湖北武汉新洲区人李俊编写, 2007年 1月初肆虐网络,它主要通过下载的档案传染。对计算机程序、系统破坏严重。其 作者李俊, 仅仅是中专学历, 接触电脑的专业学习也仅仅是在中专二年级时, 学 校开设的计算机一级课程,学习了 DOS 、 Windows 等操作系统和 Office 办公软 件的一些基本操作。 瑞星的反病毒工程师史瑀认为, “李俊的技术水平只能算中 等”, “以李俊的水平,他只能做病毒测试的工作,他不具备编写杀毒软件的水 平”,熊猫烧香编写原理,采用了网上流传已久的一些技术手段,李俊原创的成 分很少。
(1)、下列说法正确的是 ( ABCD )
A 、违法犯罪工具技术含量与自动化程度较高
B 、违法犯罪工具对使用人员的技术水平要求并不高
C 、网络违法犯罪呈现低龄化
D 、技术含量高的违法犯罪工具只有技术性强的人员才能掌握,其数量较少 (2)、下列属于互联网违法犯罪活动的是 ( ACD )
A 、群发垃圾电子邮件
B 、论坛灌水
C 、淘宝刷信誉
D 、发布虚假信息
根据前瞻网。。。。。(1)下列说法正确的是 CD ,(2) ABD
64、中广网北京 2011年 12月 26日消息据经济之声《天下公司》报道,近期, 网络安全问题频发,继知名程序员网站 CSDN 被曝出大量用户账号与密码遭泄 露之后, 社交网站正在成为中标的重灾区。 有媒体爆料说, 国内知名社区网站天 涯社区被黑客攻击, 有近 4000万用户的密码遭到黑客泄漏, 与之前 CSDN 被泄 漏的信息一样, 天涯社区被泄漏的用户密码全部以明文方式保存, 但是数量之大 的确令人乍舌。后来的事态又逐渐扩大起来,除了天涯社区之外,世纪佳缘、珍 爱网、 美空网、 百合网等在内的众多知名网站也同样存在类似问题, 甚至连新浪 微博也出现了用户密码被泄露的情况。 不过, 新浪微博很快就在网上进行了澄清, 声明称, 新浪微博帐号信息采用加密存储, 并未出现被盗情况。 而在近期网络安 全环境严峻的背景下,新浪微博已经推出多项措施确保用户帐号安全。
(1)、这次事件体现了我国目前网络信息安全的(C )现状
A 、基础网络的安全隐患不容忽视
作文二:《高校网络安全建设》1300字
高校网络安全建设 【背景链接】
2015年1月19日,中共中央办公厅、国务院办公厅印发 《关于进一步加强和改进新形势下高校宣传思想工作的意见》,《意见》分为七个部分,强调了做好高校宣传思想工作的重要意义。
在湖南省移动互联网发展高峰论坛上,长沙高新区管委会组织人事局副局长杨峥嵘大为感慨:“园区内不少移动互联企业甚至开出年薪百万的条件,但依然难以招到满意的高端人才。”
2014年11月4日,国内最大的网络安全团队,网络尖刀为响应国家号召,提升网络安全爱好者的自身能力,正式推出“校园安全联盟”活动。2015年1月26日,国内网络知名安全众测平台Sobug拿出上百万资金,携手网络尖刀团队在全国50所高校建立校园安全社团,帮助校园学生在安全领域有更好的成长。目前,校园安全联盟已覆盖17个城市、19所学校。
【政策理论】
《关于进一步加强和改进新形势下高校宣传思想工作的意见》指出,要着力加强高校宣传思想阵地管理。要加强校园网络安全管理,加强高校校园网站联盟建设,加强高校网络信息管理系统建设。 “没有网络安全,就没有国家安全;没有信息化,就没有现代化。”担任中央成立的网络安全与信息化领导小组组长****指出,要加强网络信息安全人才队伍建设。
【重要意义】
高校上网人数比例高,是网络安全问题的高发地,隐私泄露、数据丢失等问题日益严重。作为意识形态工作前沿阵地,做好高校网络安全宣传思想工作,加强高校网络安全管理,是新形势下高校宣传思想工作的重要一环。
【问题阐述】
1、高校是网络运用的最前沿阵地,目前主体年龄结构为90后人员,随着移动互联网信息技术的普及和推广,手机媒体的网络应用已经成为高校主体网络应用重要的部分,而高校网络设施难以进行封闭式管理,主体网络安全意识淡薄,缺乏自我保护意识,导致高校网络安全问题高发。
2、高校对网络安全与管理不够重视。硬件设施投入不足,服务器不能满足批量用户访问,易于发生系统崩溃造成浪费;软件技术更新不及时,网络漏洞较多,易于被攻击;缺乏专业的网络管理维护团队,管理人员知识能力与业务素质有局限性,网络故障及时排除性差,使校园网络安全难以保障;缺乏有效的网络安全管理制度与应对机制,出现问题时不能及时应对,导致数据信息泄露事件频繁发生。
3、网络安全高端技术性人才缺乏,信息安全行业价值观整体有所偏离。互联网技术的共享及开放性导致安全存在技术漏洞,网络安全不可避免,而网络世界的虚拟性和隐蔽性使得网络使用者的网络行为易于偏离社会常态,导致整体社会信任与幸福指数降低。
【解决方案】
1、加大高校网络安全思想工作宣传与知识普及的力度。加强高校内部网络思想工作阵地管理。普及网络安全知识,增强网络安全意识。开展网络安全宣传活动,提升师生网络安全意识和自我保护意识,推进学校网络空间的法治化建设,构建健康有序和谐文明的网络环境。
2、加强高校网络安全与管理。重视网络信息管理系统建设,对硬软件配套设施进行及时升级,为网络安全系统建设提供软硬件支撑;提高管理者网络管理与安全防范技术水平,提高内部防护能力;建立网络安全管理制度和应急防护长效机制,对网络问题进行自查,发现问题及时处理;对网络相关设备及网络系统进行集中管理,责任落实到人。
3、加强高校校园网站联盟建设,储备培养网络安全高级技术人才,在全国校园互联网范围内进行网络安全问题研究与交流,着力解决全国高校网络安全重大难问题。
作文三:《中国网络安全建设》1900字
浅析中国网络安全建设
【摘 要】当今,互联网已成为人们生活中不可或缺的一部分,也是国家利益的核心领域之一,但网络系统的安全性和可靠性却成为世界各国共同关注的焦点。加之我国互联网发展多依靠外国技术,所以建设高质量、稳定可靠的安全网络成为现阶段网络发展的首要任务,笔者从技术研发、法制建设、国际合作、网络教育四个方面提出了可行性路径。
【关键词】安全 创新 合作 教育
近期,美国“棱镜门”事件在斯诺登进一步曝光后愈演愈烈。其关于美国长期对中国移动公司和重点高校进行网络监控和攻击的披露,引发了国内对网络安全的深度热议和思考。
1.我国提升网络安全的必要性
1.1网络隐患突显,国家安全形势日益严峻
“当今社会,以互联网为核心的信息通信技术及其应用和服务正在发生质变,早已远远超越信息通联平台和媒体的范畴,成为关系国家安全、政权稳定和经济发展等核心利益的重大领域。”[1]随着互联网技术的不断发展,国外间谍不断通过网络刺探我国的政治、经济、军事等方面机密信息,使得我国相关情报严重泄漏,给国家安全造成了重大损失;另一方面,国际敌对势力、境内外民族分裂势力等利用网络策划、组织针对中国境内的犯罪、颠覆、分裂和恐怖袭击活动。此类网络安全问题严重地影响着国家政权的稳固和安全。
1.2网络用户众多,网络安全建设迫在眉睫
“现如今,全球网民数量已接近7亿,网络已经成为生活离不开的工具,”[2] 其中我国网民数量在急剧增多。但是,我国关于网络使用的安全教育并没有及时跟进。近年来,上到政府网站,下至普通消费者每天都在经受各种网络病毒的威胁与挑战;另外,相关法律法规也很不完善,加上网络自身的漏洞,这些都导致了黑客等不法之徒通过互联网进行诈骗、网络攻击等违法犯罪活动;淫秽色情和低俗信息、网络赌博等社会毒瘤的传播侵蚀人们的心灵,危害青少年的健康成长,打乱社会的正常秩序;同时,由于缺乏自主技术,我国的网络长期处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全极度脆弱,使得网民个人隐私等各项权利的维护也受到严峻的挑战。
1.3霸权主义扩张,网络成为新的争霸战场
“世纪之交,美国的全球霸权已突破传统国际政治领域,向网络空间不断拓展。通过控制因特网来控制世界已成为美国的主导战略。”美国的网络霸权体现在:一方面通过以互联网和智能手机为平台的脸谱、推特等全球性社交网站掌控国际网络空间话语权,对他国进行政治、文化、价值观的渗透。另一方面,美国政府利用微软、谷歌等网络巨头公司在他国的巨大影响力,凭借技术优势干涉他国内政,谋求本国利益。
2.提升我国网络安全建设的有效路径
2.1加大科研力度,提升我国网络技术
我国虽然可称得上网络大国,但网络设备大多依靠进口,核心技术受制于人,网络防护能力也相对薄弱,因此,我国应不断提升自主创新能力,加大对核心技术的研发。这就要求我们要加大对人才的培养力度,制定相应网络培养机制,增强网络队伍实力,培养出网络技术的人才梯队。此外,国内硬件供应商应不断加强网络设备的生产研发,改善产品套件,逐步降低中国对外国制造部件的依赖性,提高抗网络安全风险的能力。
2.2完善法制建设,构建法律执行体系
要遏制网络犯罪,还需加大法制建设,完善法律体系。对各种信息主体的权利、义务和法律责任给予明确的法律界定,制定相关信息安全的国家标准和网络运行管理机制,改善国家应对机制,不断完善信息安全应急处置预案。在完善立法的同时,严格执法,提升外国软件品牌引入准则,对窃取商业和政府信息的黑客行为对相关外国官员提起诉讼,以提高网络攻击的潜在代价。
2.3促进国际合作,提升网络防御能力
网络安全属于全球性事务,需要中国加强与世界各国合作。依托现有国际组织,如联合国和国际电信联盟等,利用多边合作机制,加强与各国在提高网络安全技术、打击网络犯罪、防范网络恐怖主义、维护网络空间安全性等方面的合作,有计划地举行网络安全模拟演习,建立网络威胁信息共享机制,不断完善司法协助机制,最终建立得到国际社会普遍认可的网络行为准则。
2.4加强网络教育,维护民众网络安全
首先,政府可通过网络、报刊、杂志、电视等媒体,逐步向民众普及网络安全知识,进而不断提升民众网络安全意识和能力;其次,加强对民众的网络道德教育,网络安全培训从中学生抓起;再次,加强对网络的监管力度,从细节做起,这可以从加大对网吧监管力度,实行网络实名注册等方面入手,在一定程度上将不适宜青少年浏览的网站与未成年人隔离,对企图通过网络从事不法活动和发布有害信息的网民形成一种威慑。
参考文献:
[1]唐岚.《网络安全 国家安全核心问题》.[n].人民日报. 2012年08月.
[2]赵治.《浅谈当前我国网络安全形势及今后可采取的应对措施》.[j].通信世界》2006年第43期
(作者单位:河南师范大学;河南 新乡 453007)
作文四:《网络安全建设方案》24400字
? ? ? ?网络安全建?设方案
篇?一:
? 网络安全?设计方案 ?目录
? 1、网络?安全问题…?……………?……………?……………?……3
? 2、设?计的安全性?……………?……………?……………?………3 ?可用性……?……………?……………?……………?……………?..3 机?密
性………?……………?……………?……………?………….?.3 完整?
性…………?……………?……………?……………?………..?3 可控
性?……………?……………?……………?……………?……..3? 可审查
性?……………?……………?……………?……………?…..3 ?访问控
制…?……………?……………?……………?……………?..3 数?据加
密……?……………?……………?……………?………….?.3 安全?审
计………?……………?……………?……………?………..?3
?3、安全设?计方案……?……………?……………?……………?…5 设备?选型………?……………?……………?……………?………..?5 网络安?
全…………?……………?……………?……………?……..7? 访问控
制?……………?……………?……………?……………?…。9 入?侵检
测……?……………?……………?……………?………….?.10
? 4、总?结…………?……………?……………?……………?………11?
1?、网络安全?问题 随着?互联网的飞?速发展,网?络安全逐渐?成为一个潜?在的巨大问?题。网络安?全性是一个?涉及面很广?泛的问题,?其中也会涉?及到是否构?成犯罪行为?的问题。在?其最简单的?形式中,它?主要关心的?是确保无关?人员不能读?取,更不能?修改传送给?其他接收者?的信息。此?时,它关心?的对象是那?些无权使用?,但却试图?获得远程服务的人。安??全性也处理?合法消息被?截获和重播?的问题,以?及发送者是?否曾发送过?该条消息的?问题。
? 大多?数安全性问?题的出现都?是由于有恶?意的人试图?获得某种好?处或损害某?些人而故意?引起的。可?以看出保证?网络安全不?仅仅是使它?没有编程错?误。它包括?要防范那些?聪明的,通?常也是狡猾?的、专业的?,并且在时?间和金钱上?是很充足、?富有的人。?同时,必须?清楚地认识?到,能够制?止偶然实施?破坏行为的?敌人的方法?对那些惯于?作案的老手?来说,收效?甚微。
? 网络?安全性可以?被粗略地分?为4个相互?交织的部分?:
?保密、鉴别?、反拒认以?及完整性控?制。保密是?保护信息不?被未授权者?访问,这是?人们提到的?网络安全性?时最常想到?的内容。鉴?别主要指在?揭示敏感信?息或进行事?务处理之前?先确认对方?的身份。反?拒认主要与?签名有关。?保密和完整?性通过使用?注册过的邮?件和文件锁?来
2?、设计的安?全性 通过?对网络系统?的风险分析?及需要解决?的安全问题?,我们需要?制定合理的?安全策略及?安全方案来?确保网络系?统的机密性?、完整性、?可用性、可?控性与可审?查性。即,? 可用性:?
?授权实体有?权访问数据? 机密性:?
?信息不暴露?给未授权实?体或进程 ?完整性:
? 保?证数据不被?未授权修改? 可控性:?
?控制授权范?围内的信息?流向及操作?方式 可审?查性:
? 对出现?的安全问题?提供依据与?手段 访问?控制:
? 需要由?防火墙将内?部网络与外?部不可信任?的网络隔离?,对与外部?网络交换数?据的内部网?络及其主机?、所交换的?数据进行严?格的访问控?制。同样,?对内部网络?,由于不同?的应用业务?以及不同的?安全级别,?也需要使用?防火墙将不?同的LAN?或网段进行?隔离,并实?现相互的访?问控制。 ?
数?据加密:
? 数据?加密是在数?据传输、存?储过程中防?止非法窃取?、篡改信息?的有效手段?。
? 安全审计?:
? 是识别与?防止网络攻?击行为、追?查网络泄密?行为的重要?措施之一。?具体包括两?方面的内容?,
一?是采用网络?监控与入侵?防范系统,?识别网络各?种违规操作?与攻击行为?,即时响应?(如报警)?并进行阻断?;
二?是对信息内?容的审计,?可以防止内?部机密或敏?感信息的非?法泄漏 针?对企业现阶?段网络系统?的网络结构?和业务流程?,结合企业?今后进行的?网络化应用?范围的拓展?考虑,企业?网主要的安?全威胁和安?全漏洞包括?以下几方面?:
?
(?1)内部窃?密和破坏 ?由于企业网?络上同时接?入了其它部?门的网络系?统,因此容?易出现其它?部门不怀好?意的人员(?或外部非法?人员利用其?它部门的计?算机)通过?网络进入内?部网络,并?进一步窃取?和破坏其中?的重要信息?(如领导的?网络帐号和?口令、重要?文件等),?因此这种风?险是必须采?取措施进行?防范的。 ?
? (2)?搭线(网络?)窃听 这?种威胁是网?络最容易发?生的。攻击?者可以采用?如Snif?fer等网?络协议分析?工具,在I?NTERN?ET网络安?全的薄弱处?进入INT?ERNET?,并非常容?易地在信息?传输过程中?获取所有信?息(尤其是?敏感信息)?的内容。对?企业网络系?统来讲,由?于存在跨越?INTER?NET的内?部通信(与?上级、下级?)这种威胁?等级是相当?高的,因此?也是本方案?考虑的重点?。
?
(?3)假冒 ?这种威胁既?可能来自企?业网内部用?户,也可能?来自INT?ERNET?内的其它用?户。如系统?内部攻击者?伪装成系统?内部的其他?正确用户。?攻击者可能?通过冒充合?法系统用户?,诱骗其他?用户或系统?管理员,从?而获得用户?名/口令等?敏感信息,?进一步窃取?用户网络内?的重要信息?。或者内部?用户通过假?冒的方式获?取其不能阅?读的秘密信?息。
?
?(4)完整?性破坏 这?种威胁主要?指信息在传?输过程中或?者存储期间?被篡改或修?改,使得信?息/数据失?去了原有的?真实性,从?而变得不可?用或造成广?泛的负面影?响。由于X?XX企业网?内有许多重?要信息,因?此那些不怀?好意的用户?和非法用户?就会通过网?络对没有采?取安全措施?的服务器上?的重要文件?进行修改或?传达一些虚?假信息,从?而影响工作?的正常进行?。
?
(?5) 其它?网络的攻击? 企业网络?系统是接入?到INTE?RNET上?的,这样就?有可能会遭?到INTE?RNET上?黑客、恶意?用户等的网?络攻击,如?试图进入网?络系统、窃?取敏
感信息?、破坏系统?数据、设置?恶意代码、?使系统服务?严重降低或?瘫痪等。因?此这也是需?要采取相应?的安全措施?进行防范。?
?
(6?) 管理及?操作人员缺?乏安全知识? 由于信息?和网络技术?发展迅猛,?信息的应用?和安全技术?相对滞后,?用户在引入?和采用安全?设备和系统?时,缺乏全?面和深入的?培训和学习?,对信息安?全的重要性?与技术认识?不足,很容?易使安全设?备/系统成?为摆设,不?能使其发挥?正确的作用?。如本来对?某些通信和?操作需要限?制,为了方?便,设置成?全开放状态?等等,从而?出现网络漏?洞。
? 由于网?络安全产品?的技术含量?大,因此,?对操作管理?人员的培训?显得尤为重?要。这样,?使安全设备?能够尽量发?挥其作用,?避免使用上?的漏洞。 ?
(?7)雷击 ?由于网络系?统中涉及很?多的网络设?备、终端、?线路等,而?这些都是通?过通信电缆?进行传输,?因此极易受?到雷击,造?成连锁反应?,使整个网?络瘫痪,设?备损坏,造?成严重后果?。因此,为?避免遭受感?应雷击的危?害和静电干?扰、电磁辐?射干扰等引?起的瞬间电?压浪涌电压?的损坏,有?必要对整个?网络系统采?取相应的防?雷措施。 ?
? 3、网?络安全设计?方案
? (1)网?络拓扑结构?图 设备选?型 传统的?组网已经不?能满足现在?网络应用的?变化了,在?组网的初期?必须考虑到?安全和网络?的问题,考?虑到这个问?题我们就不?能不考虑免?疫网络的作?用以及前景?如何。
? 免疫?网络—— ?免疫网络是?企业信息网?络的一种安?全形式。 ?
“?免疫”是生?物医学的名?词,它指的?是人体所具?有的“生理?防御、自身?稳定与免疫?监视”的特?定功能。 ?
就?像我们耳熟?能详的电脑?病毒一样,?在电脑行业?,“病毒”?就是对医学?名词形象的?借用。同样?,“免疫”?也被借用于?说明计算机?网络的一种?能力和作用?。免疫就是?让企业的内?部网络也像?人体一样具?备“防御、?稳定、监视?”的功能。?这样的网络?就称之为免?疫网络。 ?
免?疫网络的主?要理念是自?主防御和管?理,它通过?源头抑制、?群防群控、?全网联动使?网络内每一?个节点都具?有安全功能?,在面临攻?击时调动各?种安全资源?进行应对。?
?它具有安全?和网络功能?融合、全网?设备联动、?可信接入、?深度防御和?控制、精细?带宽管理、?业务感知、?全网监测评?估等主要特?征。
? 下面让?我们看看这?几个特征的?距离内容 ?安全和网络?功能的融合?
??网络架构的?融合,主要?包括网关和?终端的融合? 网关方面?:
?ARP先天?免疫原理—?NAT表中?添加源MA?C地址滤窗?防火墙—封?包检测,I?P分片检查? UDP洪?水终端方面?:
?驱动部分—?免疫标记 ?
?网?络协议的融?合—行为特?征和网络行?为的融合 ?全网设备的?联动
? ?驱动与?运营中心的?联动分收策?略
??驱动与驱?动的联动I?P地址冲突?
??网关和驱动?的联动群防?群控
? ?运营中?心和网关的?联动(外网?攻击,上下?线 可信接?入
??MAC地?址的可信(?类似于DN?A),生物?身份
? ?传输的?可信(免疫?标记) 深?度防御和控?制
??深入到每?个终端的网?卡 深入到?协议的最低?层 深入到?二级路由,?多级路由器?下 精细带?宽管理
? ?身份?精细—IP?/MAC的?精确
? ?位置精?确—终端驱?动
??路径细分?(特殊的I?P)
? ?流量去?向(内,公?网)
? ?应用流?控(QQ,?MSN) ?业务感知 ?协议区分和?应用感知 ?它与防火墙?(FW)、?入侵检测系?统(IDS?)、防病毒?等“老三样?”组成的安?全网络相比?,突破了被?动防御、边?界防护的局?限,着重从?内网的角度?解决攻击问?题,应对目?前网络攻击?复杂性、多?样性、更多?从内网发起?的趋势,更?有效地解决?网络威胁。?
?同时,安全?和管理密不?可分。免疫?网络对基于?可信身份的?带宽管理、?业务感知和?控制,以及?对全网安全?问题和工作?效能的监测?、分析、统?计、评估,?保证了企业?网络的可管?可控,大大?提高了通信?效率和可靠?性。
? 安全架?构分析 根?据企业网络?现状及发展?趋势,主要?安全措施从?以下几个方?面进行考虑:?
? 网络传输?保护 主要?是数据加密?保护 主要?网络安全隔?离 通用措?施是采用防?火墙网
络病?毒防护篇二?:
?集团公司网?络安全总体?规划方案 ?昆明钢铁集?团公司 信?息安全建设?规划建议书? 昆明睿哲?科技有限公?司 201?7年11月? 目录 第?1章 综
述? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?3
?1.1 概?
述 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.? 3
? 1.2 ?现状分
析 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.?. 4
? 1.3? 设计目
标? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 8 ?第2章 信?息安全总体?规
划 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。.. 1?0 2.1?设计目标、?依据及原
则? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。 ?10 2.?
1.?1设计目
标? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?10 2.?
1.?2设计依
据? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?10 2.?
1.?3设计原
则? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?11 2.?2总体信息?安全规划方?
案 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 12 2?.2.1信?息安全管理?体
系 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 12 2?.2.2分?阶段建设策?
略 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?. 18 ?第3章 分?阶段安全建?设规
划 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。. 20? 3.1 ?规划原
则 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。 ?20 3.?2 安全基?础框架设
计? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.?. 21 ?第4章 初?期规
。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。划
。。?。。。 2?3 4.1? 建设目
标? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 23 4?.2 建立?信息安全管?理体
系 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 23 4?.3 建立?安全管理组?
织 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 25? 第5章 ?中期规
划 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。 ?28 5.?1 建设目?
标 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 28 ?5.2 建?立基础保障?体
系 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。.. 2?8 5.3? 建立监控?审计体
系 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 28 5?.4 建立?应急响应体?
系 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 30? 5.5 ?建立灾难备?份与恢复体?
系 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。.. 3?4 第6章? 三期规
划? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 37 6?.1 建设?目
标 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。
。。。?。。 37? 6.2 ?建立服务保?障体
系 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。.. ?37 6.?3 保持和?改进
ISM?S 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 38 ?第7章 总?
结 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 39 7?.1 综
述? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。.. ?39 7.?2(本文来?自:
? WwW.?BdfqY?.Com ?千叶帆文摘?:网络安全?建设方案)? 效果预
期? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 39 7?.3 后
期? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。.. ?39 第1?章 综述 ?
1.?1 概述 ?信息技术革?命和经济全?球化的发展?,使企业间?的竞争已经?转为技术和?信息的竞争?,随着企业?的业务的快?速增长、企?业信息系统?规模的不断?扩大,企业?对信息技术?的依赖性也?越来越强,?企业是否能?长期生存、?企业的业务?是否能高效?的运作也越?来越依赖于?是否有一个?稳定、安全?的信息系统?和数据资产?。因此,确?保信息系
证企业知识?资产的安全?,已经成为?现代企业发?展创新的必?统?稳定、安全?的运行,保?
然要求,信?息安全能力?已成为企业?核心竞争力?的重要部分?。
? 企业高度?重视客户及?生产信息,?生产资料,?设计文档,?知识产权之?安全防护。?而终端,服?务器作为信?息数据的载?体,是信息?安全防护的?首要目标。?
?与此同时,?随着企业业?务领域的扩?展和规模的?快速扩张,?为了满足企?业发展和业?务需要,企?业的IT生?产和支撑支?撑系统也进?行了相应规?模的建设和?扩展,为了?满足生产的?高速发展,?市场的大力?扩张,企业?决定在近期?进行信息安?全系统系统?的调研建设?,因此随着?IT系统规?模的扩大和?应用的复杂?化,相关的?信息安全风?险也随之而?来,比如病?毒、蠕虫、?垃圾邮件、?间谍软件、?流氓软件、?数据截获、?嗅探、监听?、肆意泛滥?,内部机密?数据泄漏、?办公系统受?到影响等等?,因此为了?保证企业业?务正常运营?、制卡系统?的高效安全?的运行,不?因各种安全?威胁的破坏?而中断,信?息安全建设?不可或缺,?信息安全建?设必然应该?和当前的信?息化建设进?行统一全局?考虑, 应?该在相关的?重要信息化?建设中进行?安全前置的?考虑和规划?,避免安全?防护措施的?遗漏,安全?防护的滞后?造成的重大?安全事件的?发生。
? 本次?企业信息安?全体系建设?规划主要考?虑采用各种?被证明是行?之有效的各?种信息安全?产品和技术?,帮助企业?建设一个主?动、高效、?全面的信息?安全防御体?系,降低信?息安全风险?,更好的为?企业生产和?运营服务。?
?
1.?2 现状分?析 目前企?业已经在前?期进行了部?分信息安全?的建设,包?括终端上的?一部分防病?毒,网络边?界处的基本?防火墙等安?全软件和设?备,在很大?程度上已经?对外部威胁?能有一个基?本的防护能?力,但是如?今的安全威?胁和攻击手?段日新月异?,层出不穷?,各种高危?零日漏洞不?断被攻击者?挖掘出来,?攻击的目标?越来越有针?对性,目前?的企业所面?临的全球安?全威胁呈现?如下几个新?的趋势:
? ?? 恶意攻击?数量快速增?加,攻击手?段不断丰富?,最新的未?知威胁防不?胜防:
? 如何防?范未知威胁?,抵御不同?攻击手段和?攻击途径带?来的信息安?全冲击? ?? 高级、?有针对性的?高危持续性?攻击APT?已蔓延至各?类规模企业?:
?如何阻止不?同的攻击手?段,不仅仅?是防病毒~?需要服务器?,终端,网?络,数据等?各方面多层?次的防护,?增加威胁防?范能力 ?? 复杂混乱?的应用与外?接设备环境?:
?如何确保应?用和设备的?准入控制,? ? 繁琐?枯燥的系统?维护和安全?管理:
? 如何更?有效利用有?限的信息人?力资源, ?? 工具带?来的新问题?:
?如何保证安?全策略的强?制要求,统?一管理和实?施效果, ?? 终端接?入不受控:?
如?何确保终端?满足制定的?终端安全策?略-终端准?入控制 ?? 网页式攻?击(Web?-base?d Att?ack) ?已成为最主?流的攻击手?法:
? 如何确保?访问可靠网?站, ? ?内外部有意?无意的信息?泄露将严重?影响企业的?声誉和重大?经济损失 ?从目前大多?数企业的信?息安全建设?来看,针对?以上的目前?主流的新形?势的信息威?胁,企业在?安全建设上?还面临安全?防护需要进?一步依靠国?际先进技术?增强主动防?御,纵深防?御的能力,?目前大多数?企业在安全?防护上还有?如下的欠缺?:
?
1?.2.1 ?目前信息安?全存在的问?题 在信息?系统安全评?估中我们对?网络设备、?主机系统、?数据库系统?、应用系统?、网络扫描?、安全管理?等等方面进?行了安全评?估,发现主?要有如下的?问题:
? 网络?设备安全:?
?访问控制问?题 ? 网?络设备安全?漏洞 ? ?设备配置安?全 系统安?全:
? ? 补?丁问题 ?? 运行服务?问题 ? ?安全策略问?题 ? 弱?口令问题 ?? 默认共?享问题 ?? 防病毒情?况 应用安?全:
? ? e?xchan?ge邮件系?统的版本问?题 ? a?pach
? e、?iis、w?eblog?ic的安全?配置问题 ??篇三:
? 银行?网络安全设?计方案 目?录 1 银?行系统的安?全设
计。。?。。。。。?。。。。。?。。。。。?。 1
? 1.1? 银行网络?基本情况 ?。。。。。?。。。。。?。。。。。?。. 1 ?
1.?2 镇银行?各部门分配? 。。。。?。。。。。?。。。。。?。。. 1?
1?.3 银行?网络安全现?状 。。。?。。。。。?。。。。。?。。。. ?2
?1.4 现?象分析 。?。。。。。?。。。。。?。。。。。?。。。 5? 2 银行?系统的网络?拓扑图及说?明。。。。?。。。。。?。。。。。?。. 6 ?3 银行系?统的网络安?全部署图及?说明。。。?。。。。。?。。。。。?。 7 3?.1 敏感?数据区的保?
护 。。。?。。。。。?。。。。。?。。。. ?7 3.2? 通迅线路?数据加
密 ?。。。。。?。。。。。?。。。。。?。. 7 ?3.3 防?火墙自身的?保
护 。。?。。。。。?。。。。。?。。。。.? 8 4 ?系统的网络?设备选型及?说明。。。?。。。。。?。。。。。?。。。 9? 4.1 ?核心层交换?
机 。。。?。。。。。?。。。。。?。。。。.?. 9 4?.2 汇聚?层交换
机 ?。。。。。?。。。。。?。。。。。?。。.. ?9 4.3? 接入层交?换
机 。。?。。。。。?。。。。。?。。。。。?. 10 ?4.4 路?由
器 。。?。。。。。?。。。。。?。。。。。?。。. 1?0 4.5? 防火
墙 ?。。。。。?。。。。。?。。。。。?。。。。.? 11 4?.6 服务?
器 。。。?。。。。。?。。。。。?。。。。。?。. 12? 5 安全?配置说
明。?。。。。。?。。。。。?。。。。。?。。。..? 12 5?.1 防火?墙技术 。?。。。。。?。。。。。?。。。。。?。。 12? 5.2 ?网络防病毒?体系 。。?。。。。。?。。。。。?。。。。.?. 13 ?5.3 网?络入侵检测?技术 。。?。。。。。?。。。。。?。。。。 ?13 5.?4 网络安?全审计技
术? 。。。。?。。。。。?。。。。。?。。 13? 5.5 ?VPN技
术? 。。。。?。。。。。?。。。。。?。。。。.?. 14 ?总
结。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。.1?5 一(银?行系统的安?全设计
? 1.1?银行网络基?本情况 随?着信息技术?的发展,社?会的信息化?程度提高了?,网络银行?、电子银行?出现了,整?个银行业、?金融业都依?赖于信息系?统。交易网?络化、系统?化、快速化?和货币数字?经是当前金?融业的特点?,这对金融?信息系统的?安全保密性?提出了严格?的要求。金?融信息系统?必须保证金?融交易的机?密性、完整?性、访问控?制、鉴别、?审计、追踪?、可用性、?抗抵赖性和?可靠性。为?了适应金融?业的需要,?各家银行都?投资建网。?但是,由于?各种因素的?制约,网络?的安全体系?不完善,安?全措施不完?备,存在严?重的安全漏?洞和安全隐?患。这些安?全漏洞和隐?患有可能造?成中国的金?融风暴,给?国家带来重?大损失,因?此必须采取?强有力的措?施,解决银?行网络的安?全问题。 ?
某?镇浦发银行?系统在镇中?共有两处营?业点,其中?一营业点与?镇分理处相?距1500?米,主要有?一层楼用于?银行办理业?务,另一营?业点与分理?处在一处办?公,是二层?楼,一层是?营业点,二?层是分理处?,各司其职?。
?
1?.2镇银行?各部门分配?
1?.2.1公?司业务部 ?主要负责对?公业务,审?核等。
?
? 1.2.?2个人业务?部 主要负?责个人业务?,居民储蓄?,审核。 ?
? 1.2?.3国际业?务部 主要?负责国际打?包放款,国?际电汇,外?汇结算等。?
?
1.?2.4资金?营运部 主?要是资金结?算。
?
?1.2.5?信贷审批部? 负责各类?贷款审批等?。
?
1?.2.6风?险管理部 ?就是在银行?评估、管理?、解决业务?风险的部门?。银行的业?务风险主要?有:
? 信贷的还?款风险、会?计的结算风?险、新业务?的试水风险?、财务的管?理风险、业?务文件的法?律风险等等?。所有这些?风险的控制?,特别是前?三类业务的?风险控制,?都是由风险?管理部牵头?制订解决办?法的。
?
? 1.2.?7会计结算?部 安全防?范为主题,?强化会计结?算基础管理?工作,揽存?增储、中间?业务、保险?、基金等各?项任务,全?员的防范意?识、业务素?质、核算质?量、服务技?能
工作,加?强管理、监?督、检查与?辅导,指导?全员严格按?照规章制度?和操作流程?办理业务,?加强人员培?训,提高业?务素质和核?算质量。 ?
? 1.2?.8出纳保?卫部 主要?负责现金管?理、安全检?查、监控管?理、消防安?全等安保工?作。
?
?1.2.9?科技部 主?要负责银行?计算机软硬?件方面的维?护。
?
?1.2.1?0人力资源?部 主要负?责银行内部?人员的考勤?。
?
1?.3银行网?络安全现状?
1?.3.1浦?发银行安全?现状 现在?,信息攻击?技术发展很?快,攻击手?段层出不穷?,但银行网络日前的安??全措施大部?分仅是保密?,极少采用?数字签名,?认证机制不?健全,这完?全不适应现?代金融系统?的安全需求?。
? 具体表现?在以下五个?方面:
? 1)?有投入,有?人员,但投?入不够,人?员不固定。?遇有冲突,?立刻舍弃;?只求速上,?不求正常、?配套、协调?建设,从根?本上没有改?变以前轻视?安 全的做?法。
? 2)对?整个网络建?设缺乏深入?、细致、具?体的安全体?系研究,更?缺乏建 立?安全体
? 系的?迫切性。
3?)有制度、?措施、标准?,但不完备?,也没有认?真执行,大?部分流于形? 式,缺乏?安全宣传教?育。
? 4)缺?乏有效的监?督检查措施?。
? 5)从根?本上没有处?理好发展与?安全的关系?。
?
1?.3.2浦?发银行网络?系统所面临?的安全威胁?和风险由于?金融信息系?统中处理、?传输、存贮?的都是金融?信息,对其?进行攻击将?获得巨额的?金钱,而且?,对金融信?息系统的攻?击,可能造?成国家经济?命脉的瘫痪?和国家经济?的崩溃,因?此金融信息?系统面临着?巨大的风险?和威胁。银?行网络系统?面临的攻击?手段较多,?既有来自外?部的,也有?来自内部的?。由于对银?行网络系统?的攻击可以?获得较大的?经济、政治?、军事利益?,因此银行?网络系统成?为敌对国家?、犯罪集团?、高智商犯?罪分子的首?选攻击目标?。针对信息?系统的新型?攻击手段应?运而生,各?种被动攻击?手段、主动?攻击手段层?出不穷。攻?击者利用各?种高科技手?段和仪器,?利用网络协?议本身的不?安全性,路?由器、口令?文件、X
? 11、?Gophe?r的安全隐?患,Jav?aAppl?et、Ac?tivex?,CGI,?数据库的安?全隐患和其?他计算机软?硬件产品的?不安全性,?对信息系统?实施攻击。?对于金融信?息系统,更?严重的威胁?来自各种主?动攻击手段?。主动攻击?手段较多,?如伪造票据?、假冒客户?、交易信息?篡改与重放?、交易信息?销毁、交易?信息欺诈与?抵赖、非授?权访问、网?络间谍、“?黑客”人侵?、病毒传播?、特洛伊木?马、蠕虫程?序、逻辑炸?弹等。这些?攻击完全能?造成金融信?息系统瘫痪?、资金流失?或失踪。这?些攻击可能?来自内部,?也可能来自?外部。
? 各种?攻击将给金?融信息系统?造成以下几?种危害:
? 1?)非法访问?:
?银行网络是?一个远程互?连的金融网?络系统。现?有网络系统?利用操作系?统网络设备?进行访问控?制,而这些?访问控制强?度较弱,攻?击者可以在?任一终端利?用现有的大?量攻击工具?发起攻击;?由于整个网?络通过公用?网络互连同?样存在终端?进行攻击的?可能;另一?方面银行开?发的很多增?值业务、代?理业务,存?在大量与外?界互连的接?口这些接口?现在没有强?的安全保护?措施存在外?部网络通过?这些接口攻?击银行,可?能造成巨大?损失。
? 2)?窃取PIN?/密钥等敏?感数据:
? 银行?信用卡系统?和柜台系统?采用的是软?件加密的形?式保护关键?数据,软件?加密采用的?是公开加密?算法(DE?S),因此?安全的关键?是对加密密?钥的保护,?而软件加密?最大的安全?隐患是无法?安全保存加?密密钥,程?序员可修改?程序使其运?行得到密钥?从而得到主?机中敏感数?据。
? 3)假?冒终端/操?作员:
? 银行网?络中存在大?量远程终端?通过公网与?银行业务前?置机相连国?内银行以出?现多起在传?输线路上搭?接终端的案?例。银行网?络同样存在?大量 类似?安全隐患。?现有操作员?身份识别唯?一,但口令?的安全性非?常弱因此存?在大量操作?员假冒的安?全风险。4?)截获和篡?改传输数据?:
?银行现有网?络系统通过?公网传输大?量的数据没?有加密,由?于信息量大?且采用的是?开放的TC?P/IP,?现有的许多?工具可以很?容易的截获?、分析甚至?修改信息,?主机系统很?容易成为被?攻击对象。?
网络系?统可能面临?病毒的侵袭?和扩散的威?胁: ?5)
? 黑客侵?扰类似于网?络间谍,但?前者没有政?治和经济目?的,利用自?己精通计算?机知识,利?用他人编程?的漏洞,侵?入金融信息?系统,调阅?各种资料,?篡改他人的?资料,将机?密信息在公?用网上散发?广播等。 ?
计?算机病毒是?一种依附在?各种计算机?程序中的一?段具有破坏?性、能自我?繁衍的计算?机程序,它?通过软盘、?终端或其它?方式进入计?算机系统或?计算机网络?,引起整个?系统或网络?紊乱,甚至?造成瘫痪。?
?6)其他安?全风险:
? 主要?有系统安全?(主要有操?作系统、数?据库的安全?配置)以及?系统的安全?备份等。 ?
? 1.3?.3浦发银?行网络系统?安全分析 ?1)没有较?完善的安全?体系:
? 目前?,银行网络?系统的问题?缘自没有进?行安全体系?的研究。采?用的安全方?案比较单一?,仅能防止?从信道上侦?收信息,不?能阻止来自?业务系统和?用户的网络?攻击,不能?适应银行网?络系统的安?全需求。 ?
2?)没有较完?备的安全保?密措施:
? 由?于银行网络?系统没有较?完善的安全?体系,采取?的安全措施?不完备,不?能防御所有?的威胁和攻?击。
? 3)没?有建立安全?预防中心:?
?目前,银行?网络系统没?有建立全网?的安全监控?预警系统,?或称为安全?防预中心。?全网的安全?监控预警系?统备有先进?的安全技术?和设备,监?察网上的异?常活动、非?安全活动,?监视骨干网?、骨干网设?备及信息是?否安全。全?网的安全监?控预警系统?负责
安排骨?干网的安全?技术设备、?措施和程序?,如各种跟?踪、预警和?记录黑客、?破坏者
活动?和重大活动?。
? 4)网络?间没有配置?相应的防火?墙: 在银?行内部各个?业务部门网?络之间、在?等级不
一的?各安全区之?间、在不同?业务系统之?间、在不同?数据库之间?、从不同金?融机构进
入?,一般应有?5,7道安?全措篇四:?
企?业网络安全?解决方案的?设计 摘 ?要 计算机?网络的发展?和技术的提?高给网络的?安
全带来了?很大的冲击?,Inte?rnet的?安全成了新?信息安全的?热点。网络?安全,是计?算机信息系?统安全的一?个重要方面?。如同打开?了的潘多拉?魔盒,计算?机系统的互?联,在
大大?扩展信息资?源的共享空?间的同时,?也将其本身?暴露在更多?恶意攻击之?下。如何
保?证网络信息?存储、处理?的安全和信?息传输安全?的问题,就?是我们所谓?的计算机网?络安全。信?息安全是指?防止信息财?产被故意的?或偶然的非?法授权泄露?、更改、破?坏
或使信息?被非法系统?辩识、控制?;确保信息?的保密性、?完整性、可?用性、可控?性。
信息安?全包括操作?系统安全、?数据库安全?、网络安全?、病毒防护?、访问控制?、加密
和鉴?别七个方面?。设计一个?安全网络系?统,必须做?到既能有效?地防止对网?络系统的
各?种各样的攻?击,保证系?统的安全,?同时又要有?较高的成本?效益,操作?的简易性,?以及对用户?的透明性和?界面的友好?性。
? 针对计?算机网络系?统存在的安?全性和可靠?性问题,本?文从网络安?全的提出及?定
义、网络?系统安全风?险分析,网?络攻击的一?般手段,企?业局域网安?全设计的原?则及
其配置?方案提出一?些见解,并?且进行了总?结,就当前?网络上普遍?的安全威胁?,提出
了网?络安全设计?的重要理念?和安全管理?规范并针对?常见网络故?障进行分析?及解决,
以?使企业中的?用户在计算?机网络方面?增强安全防?范意识,实?现了企业局?域网的网络?安全。
? 关键?词:
? 网络安全?; 路由器?; 防火墙?; 交换机?; VLA?N Abs?tract? The ?devel?opmen?t of ?puter? netw?orks ?and t?echno?logie?s to ?enhan?ce ne?twork? secu?rity ?is a ?big b?low, ?Inter?net s?ecuri?ty ha?s bee? a ne?w hot?spot ?of in?forma?tion ?secur?ity. ?Netwo?rk se?curit?y is ?the s?ecuri?ty of? pute?r inf?ormat?ion s?ystem?s in ?an im?porta?nt as?pect.? Like? open?ing o?f the? Pand?ora s? Box,? the ?puter? syst?ems o?f the? Inte?rnet,? grea?tly e?xpand?ed in?forma?tion ?resou?rces ?shari?ng sp?ace a?t the? same? time?, wil?l be ?its o?wn ex?posur?e to ?the m?ore m?alici?ous a?ttack?s und?er. H?ow to? ensu?re th?at th?e net?work ?of in?forma?tion ?stora?ge, p?roces?sing ?and t?ransm?issio?n of ?infor?matio?n sec?urity? secu?rity,? is t?he so?-call?ed pu?ter n?etwor?k sec?urity?. Inf?ormat?ion s?ecuri?ty is? to p?reven?t inf?ormat?ion f?rom t?he pr?opert?y hav?e bee?n del?ibera?tely ?or ac?ciden?tally? leak?ed au?thori?zed i?llega?l, al?tered?, dam?age o?r ill?egal ?infor?matio?n sys?tem i?denti?ficat?ion, ?contr?ol; e?nsure? conf?ident?ialit?y, in?tegri?ty, a?vaila?bilit?y, co?ntrol?lable?. Inf?ormat?ion s?ecuri?ty, i?nclud?ing t?he sa?fety ?of th?e ope?ratin?g sys?tem, ?datab?ase s?ecuri?ty, n?etwor?k sec?urity?, vir?us pr?otect?ion, ?acces?s con?trol,? encr?yptio?n and? iden?tific?ation? of s?even ?areas?. Des?ign o?f a n?etwor?k sec?urity? syst?em, w?hich ?must ?be do?ne to? effe?ctive?ly pr?event? the ?netwo?rk al?l of ?the a?ttack?s, gu?arant?ee th?e saf?ety o?f the? syst?em, a?nd al?so ha?ve a ?highe?r cos?t-eff?ectiv?eness?, ope?ratio?nal s?impli?city,? and ?trans?paren?t to ?the u?ser i?nterf?ace a?nd fr?iendl?y. Co?mpute?r net?work ?syste?m of ?secur?ity a?nd re?liabi?lity ?probl?ems, ?the p?aper ?from ?the n?etwor?k sec?urity? and ?the p?ropos?ed de?finit?ion, ?Netwo?rk se?curit?y ris?k ana?lysis?, net?work ?attac?ks ge?neral?ly me?ans E?nterp?rise ?LAN s?ecuri?ty de?sign ?princ?iples? and ?dispo?sitio?n
pro?gram ?some ?insig?hts, ?and i?t was? summ?ed up?, on ?the c?urren?t net?work-?wide ?secur?ity
t?hreat?s the? netw?ork s?ecuri?ty of? the ?impor?tant ?desig?n con?cepts? and ?secur?ity m?anage?ment ?norms? and ?again?st mo?n net?work ?fault? anal?ysis ?and s?oluti?on to? enab?le en?terpr?ise c?ustom?ers i?n the? pute?r net?work ?to en?hance? safe?ty, r?ealiz?ing t?he en?terpr?ise L?AN
ne?twork? secu?rity.? Key ?words?:
?Netwo?rk Se?curit?y; Ro?uter;? Fire?wall;? Swit?ch; V?LAN 目? 录 摘 ?要 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 I
A?BSTRA?CT 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。 I?I 目
录? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。 ?III 绪?
论 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。 1 ?1 网络安?全概
述 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。. 2?
1?.1 网络?安全的概
念? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 2 ?
1.?2 网络安?全系统的脆?弱
性 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 2
? 1.3 ?网络安全模?
型 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。 3?
1?.4 企业?局域网的应?
用 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?. 4 2? 网络系统?安全风险分?
析 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 5 2.?1物理安全?风险分
析 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 5 2.?2网络平台?的安全风险?分
析 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。.. ?5 2.3?系统的安全?风险分
析 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。. 6? 2.4来?自局域网内?部的威
胁 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 6 2?.5来自互联网的威?
胁? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.?. 7 2?.6网络的?攻击手
段 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。? 7 3 ?企业局域网?的安全设计?方
案 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?8 3.1?企业局域网?安全设计的?原
则 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。. 8 ?3.2 安?全服务、机?制与技
术 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 9 ?3.3企业?局域网安全?配置方
案 ?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.?. 9 3?.3.1物?理安全技
术? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.?. 9 3?.3.2路?由器安全配?
置 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.? 9 3.?3.3防火?墙技术安全?配
置 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。 12? 3.3.?4内部网络?隔
离 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 16 ?3.3.5?企业局域网?防病毒设
置? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 19 3?.3.6攻?击检测技术?及方法 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。 2?2 3.3?.7审计与?监控技术实?
施 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 27 ?3.4信息?安
。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。全
。。。?。. 30? 4 企业?局域网安全?管
理 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。.. 3?2 4.1? 安全管理?规
范 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。. ?33 4.?
1.?1 安全管?理原
则 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。.. 3?3 4. ? 1.2? 安全管理?的实
现 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?. 334?.2 常见?网络故障及?解
决 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。.? 33 4?.2.1 ?IP冲突解?
决 。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?.. 33? 4.2.?2 DNS?错
误 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。..? 34 结?束
语 。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。 36 ?致
谢 。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。 37? 参考文
献? 。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?。。。。。?
。。。。。?。。.. ?38 绪论? 随着迅速?变化的商业?环境和日益?复杂的网络?, 已经彻?底改变了目?前从事业务?的方式。尽?管企业现在?依赖许多种?安全技术来?保护知识产?权,但它们?经常会遇到?这些技术所?固有的限制?因素难题。?
?无论当今的?技术标榜有?何种能力,?它们通常均?不能够集中?监控和控制?其它第三方?异构安全产?品。大多数?技术都未能?证实有至关?重要的整合?、正常化和?关联层,而?它们正是有?效安全信息?管理基础的?组成部分。?寻求尖端技?术、经验丰?富的人员和?最佳作法与?持续主动进?行企业安全?管理的坚实?整合,是当?今所有IT?安全专业人?士面临的最?严峻挑战。?
?并同时在风?险与性能 ?有效的安全?信息管理主?要关键是要?求企业管理?其企业安全?, 改进间?做到最佳平?衡。拥有良?好的主动企?业安全管理?不应是我们?所有人难以?实现的梦想?。通过本企?业网络安全?技术及解决?方案,使企?业网络可有?效的确保信?息资产保密?性、完整性?和可用性。?
?本方案为企?业局域网网?络安全的解?决方案,包?括原有网络?系统分析、?网络安全风?险分析、安?全体系结构?的设计等。?本安全解决?方案是在不?影响该企业?局域网当前?业务的前提?下,实现对?局域网全面?的安全管理?。
?
(?1) 将安?全策略、硬?件及软件等?方法结合起?来,构成一?个统一的防?御系统,有?效阻止非法?用户进入网?络,减少网?络的安全风?险。
?
? ?(2) 定?期进行漏洞?扫描,审计?跟踪,及时?发现问题,?解决问题。
?
(3?) 通过入?侵检测等方?式实现实时?安全监控,?提供快速响?应故障的手?段,同时具?备很好的安?全取证措施?。
?
(?4) 使网?络管理者能?够很快重新?组织被破坏?了的文件或?应用。使系?统重新恢复?到破坏前的?状态,最大?限度地减少?损失。
?
? (5) ?在服务器上?安装相应的?防病毒软件?,由中央控?制台统一控?制和管理,?实现全网统?一防病毒。?篇五:
? 网络安?全设计方案?
1?.1 某市?政府网络系?统现状分析? 《某市电?子政务工程?总体规划方?案》主要建?设内容为:?
一?个专网(政?务通信专网?),一个平?台(电子政?务基础平台?),一个中?心(安全监?控和备份中?心),七大?数据库(经?济信息数据?库、法人单?位基础信息?数据库、自?然资源和空?间地理信息?数据库、人?口基础信息?库、社会信?用数据库、?海洋经济信?息数据库、?政务动态信?息数据库)?,十二大系?统(政府办?公业务资源?系统、经济?管理信息系?统、政务决?策服务信息?系统、社会?信用信息系?统、城市通?卡信息系统?、多媒体增?值服务信息?系统、综合?地理信息系?统、海洋经?济信息系统?、金农信息?系统、金水?信息系统、?金盾信息系?统、社会保?障信息系统?)。主要包?括:
? 政务通?信专网 电?子政务基础?平台 安全?监控和备份?中心 政府?办公业务资?源系统 政?务决策服务?信息系统 ?综合地理信?息系统 多?媒体增值服?务信息系统?某市政府中?心网络安全?方案设计 ?
1.?2 安全系?统建设目标? 本技术方?案旨在为某?市政府网络?提供全面的?网络系统安?全解决方案?,包括安全?管理制度策?略的制定、?安全策略的?实施体系结?构的设计、?安全产品的?选择和部署?实施,以及?长期的合作?和技术支持?服务。系统?建设目标是?在不影响当?前业务的前?提下,实现?对网络的全?面安全管理?。
? 1) 将?安全策略、?硬件及软件?等方法结合?起来,构成?一个统一的?防御系统,?有效阻止非?法用户进入?网络,减少?网络的安全?风险; 2?) 通过部?署不同类型?的安全产品?,实现对不?同层次、不?同类别网络?安全问题的?防护; 3?) 使网络?管理者能够?很快重新组?织被破坏了?的文件或应?用。使系统?重新恢复到?破坏前的状?态。最大限?度地减少损?失。
? 具体来?说,本安全?方案能够实?现全面网络?访问控制,?并能够对重?要控制点进?行细粒度的?访问控制;? 其次,对?于通过对网?络的流量进?行实时监控?,对重要服?务器的运行状况进行全??面监控。 ?
? 1.2?.1 防火?墙系统设计?方案
? 1.2.?
1.?1 防火墙?对服务器的?安全保护 ?网络中应用?的服务器,?信息量大、?处理能力强?,往往是攻?击的主要对?象。另外,?服务器提供?的各种服务?本身有可能?成为 黑客? 攻击的突?破口,因此?,在实施方?案时要对服?务器的安全?进行一系列?安全保护。?
?如果服务器?没有加任何?安全防护措?施而直接放?在公网上提?供对外服务?,就会面临?黑客 ?各种方式的?攻击,安全?级别很低。?因此当安装?防火墙后,?所有访问服?务器着
的请求?都要经过防?火墙安全规?则的详细检?测。只有访?问服务器的?请求符合防?火墙安全规?则后,才能?通过防火墙?到达内部服?务器。防火?墙本身抵御?了绝大部分?对服务器的?攻击,外界?只能接触到?防火墙上的?特定服务,?从而防止了?绝大部分外?界攻击。 ?
? 1.2?.
1?.2 防火?墙对内部非?法用户的防?范 网络内?部的环境比?较复杂,而?且各子网的?分布地域广?阔,网络用?户、设备接?入的可控性?比较差,因?此,内部网?络用户的可?靠性并不能?得到完全的?保证。特别?是对于存放?敏感数据的?主机的攻击?往往发自内?部用户,如?何对内部用?户进行访问?控制和安全?防范就显得?特别重要。?为了保障内?部网络运行?的可靠性和?安全性,我?们必须要对?它进行详尽?的分析,尽?可能防护到?网络的每一?节点。
? 对于?一般的网络?应用,内部?用户可以直?接接触到网?络内部几乎?所有的服务?,网络服务?器对于内部?用户缺乏基?本的安全防?范,特别是?在内部网络?上,大部分?的主机没有?进行基本的?安全防范处?理,整个系?统的安全性?容易受到内?部用户攻击?的威胁,安?全等级不高?。根据国际?上流行的处?理方法,我?们把内部用?户跨网段的?访问分为两?大类:
? 其一,?是内部网络?用户之间的?访问,即单?机到单机访?问。这一层?次上的应用?主要有用户?共享文件的?传输(NE?TBIOS?)应用;其?次,是内部?网络用户对?内部服务器?的访问,这?一类应用主?要发生在内?部用户的业?务处理时。?一般内部用?户对于网络?安全防范的?意识不高,?如果内部人?员发起攻击?,内部网络?主机将无法?避免地遭到?损害,特别?是针对于N?ETBIO?S文件共享?协议,已经?有很多的漏?洞在网上公?开报道,如?果网络主机?保护不完善?,就可能被?内部用户利?用 黑客 ?工具造成严?重破坏。 ?
? 1.2?.2 入侵?检测系统 ?利用防火墙?技术,经过?仔细的配置?,通常能够?在内外网之?间提供安全?的网络保护?,降低了网?络安全风险?,但是入侵?者可寻找防?火墙背后可?能敞开的后?门,入侵者?也可能就在?防火墙内。?
?网络入侵检?测系统位于?有敏感数据?需要保护的?网络上,通?过实时侦听?网络数据流?,寻找网络?违规模式和?未授权的网?络访问尝试?。当发现网?络违规行为?和未授权的?网络访问时?,网络监控?系统能够根?据系统安全?策略做出反?应,包括实?时报警、事?件登录,或?执行用户自?定义的安全?策略等。网?络监控系统?可以部署在?网络中有安?全风险的地?方,如局域?网出入口、?重点保护主?机、远程接?入服务器、?内部网重点?工作站组等?。在重点保?护区域,可?以单独各部?署一套网络?监控系统(?管理器+探?测引擎),?也可以在每?个需要保护?的地方单独?部署一个探?测引擎,在?全网使用一?个管理器,?这种方式便?于进行集中?管理。
? 在内?部应用网络?中的重要网?段,使用网?络探测引擎?,监视并记?录该网段上?的所有操作?,在一定程?度上防止非?法操作和恶?意攻击网络?中的重要服?务器和主机?。同时,网?络监视器还?可以形象地?重现操作的?过程,可帮?助安全管理?员发现网络?安全的隐患?。
? 需要说明?的是,ID?S是对防火?墙的非常有?必要的附加?而不仅仅是?简单的补充?。
? 按照现阶?段的网络及?系统环境划?分不同的网?络安全风险?区域,xx?x市政府本?期网络安全?系统项目的?需求为:
? 区?域 部署安?全产品 内?网 连接到?Inter?net的出?口处安装两?台互为双机?热备的海信?FW301?0PF-4?000型百?兆防火墙;?在主干交换?机上安装海?信千兆眼镜?蛇入侵检测?系统探测器?;在主干交?换机上安装?NetHa?wk网络安?全监控与审?计系统;在?内部工作站?上安装趋势?防毒墙网络?版防病毒软?件;在各服?务器上安装?趋势防毒墙?服务器版防?病毒软件。?
?DMZ区 ?在服务器上?安装趋势防?毒墙服务器?版防病毒软?件;安装一?台Inte?rScan? Viru?sWall?防病毒网关?;安装百兆?眼镜蛇入侵?检测系统探?测器和Ne?tHawk?网络安全监?控与审计系?统。安全监?控与备份中?心 安装F?W3010?-5000?千兆防火墙?,安装RJ?-iTOP?榕基网络安?全漏洞扫描?器;安装眼?镜蛇入侵检?测系统控制?台和百兆探?测器;安装?趋势防毒墙?服务器版管?理服务器,?趋势防毒墙?网络版管理?服务器,对?各防病毒软?件进行集中?管理。
?
? 1.3 ?防火墙安全?系统技术方?案 某市政?府局域网是?应用的中心?,存在大量?敏感数据和?应用,因此?必须设计一?个高安全性?、高可靠性?及高性能的?防火墙安全?保护系统,?确保数据和?应用万无一?失。
? 所有的?局域网计算?机工作站包?括终端、广?域网路由器?、服务器群?都直接汇接?到主干交换?机上。由于?工作站分布?较广且全部?连接,对中?心的服务器?及应用构成?了极大的威?胁,尤其是?可能通过广?域网上的工?作站直接攻?击服务器。?因此,必须?将中心与广?域网进行隔?离防护。考?虑到效率,?数据主要在?主干交换机?上流通,通?过防火墙流?入流出的流?量不会超过?百兆,因此?使用百兆防?火墙就完全?可以满足要?求。
? 如下图?,我们在中?心机房的D?MZ服务区?上安装两台?互为冗余备?份的海信F?W3010PF-40??00百兆防?火墙,DM?Z口通过交?换机与WW?W/FTP?、DNS/?MAIL服?务
器连接。?同时,安装?一台Fw3?010PF?-5000?千兆防火墙?,将安全与?备份中心与?其他区域逻?辑隔离开来? 通过安装?防火墙,实?现下列的安?全目标:
? 1?) 利用防?火墙将内部?网络、In?terne?t外部网络?、DMZ服?务区、安全?监控与备份?中心进行有?效隔离,避?免与外部网?络直接通信?; 2) ?利用防火墙?建立网络各?终端和服务?器的安全保?护措施,保?证系统安全?; 3) ?利用防火墙?对来自外网?的服务请求?进行控制,?使非法访问?在到达主机?前被拒绝;? 4) 利?用防火墙使?用IP与M?AC地址绑?定功能,加?强终端用户?的访问认证?,同时在不?影响用户正?常访问的基?础上将用户?的访问权限?控制在最低?限度内; ?5) 利用?防火墙全面?监视对服务?器的访问,?及时发现和?阻止非法操?作; 6)? 利用防火?墙及服务器?上的审计记?录,形成一?个完善的审?计体系,建?立第二条防?线; 7)? 根据需要?设置流量控?制规则,实?现网络流量?控制,并设?置基于时间?段的访问控?制。
?
?1.4 入?侵检测系统?技术方案 ?如下图所示?,我们建议?在局域网中?心交换机安?装一台海信?眼镜蛇入侵?检测系统千?兆探测器,?DMZ区交?换机上安装?一台海信眼?镜蛇入侵检?测系统百兆?探测器,用?以实时检测?局域网用户?和外网用户?对主机的访?问,在安全?监控与备份?中心安装一?台海信眼镜?蛇入侵检测?系统百兆探?测器和海信?眼镜蛇入侵?检测系统控?制台,由系?统控制台进?行统一的管?理(统一事?件库升级、?统一安全防?护策略、统?一上报日志?生成报表)?。
?
作文五:《网络安全建设方案》15600字
网络安全建设方案
2016年7月
1. 前言 . ............................................................................................................................................. 3
1.1. 方案涉及范围 .................................................................................................................. 3
1.2. 方案参考标准 .................................................................................................................. 3
1.3. 方案设计原则 .................................................................................................................. 4
2. 安全需求分析 . ............................................................................................................................. 5
2.1. 符合等级保护的安全需求 .............................................................................................. 6
2.1.1. 等级保护框架设计 . ............................................................................................... 6
2.1.2. 相应等级的安全技术要求 . ................................................................................... 6
2.2. 自身安全防护的安全需求 .............................................................................................. 7
2.2.1. 物理层安全需求 . ................................................................................................... 7
2.2.2. 网络层安全需求 . ................................................................................................... 7
2.2.3. 系统层安全需求 . ................................................................................................... 9
2.2.4. 应用层安全需求 . ................................................................................................... 9
3. 网络安全建设内容 . ................................................................................................................... 10
3.1. 边界隔离措施 ................................................................................................................ 11
3.1.1. 下一代防火墙 . ..................................................................................................... 11
3.1.2. 入侵防御系统 . ..................................................................................................... 13
3.1.3. 流量控制系统 . ..................................................................................................... 14
3.1.4. 流量清洗系统 . ..................................................................................................... 15
3.2. 应用安全措施 ................................................................................................................ 16
3.2.1. WEB应用防火墙 . ................................................................................................ 16
3.2.2. 上网行为管理系统 . ............................................................................................. 16
3.2.3. 内网安全准入控制系统 ...................................................................................... 17
3.3. 安全运维措施 ................................................................................................................ 18
3.3.1. 堡垒机 . ................................................................................................................. 18
3.3.2. 漏洞扫描系统 . ..................................................................................................... 19
3.3.3. 网站监控预警平台 . ............................................................................................. 19
3.3.4. 网络防病毒系统 . ................................................................................................. 21
3.3.5. 网络审计系统 . ..................................................................................................... 22
1. 前言
1.1. 方案涉及范围
方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。
学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。
方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。
1.2. 方案参考标准
本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划:
方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。
系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。
本方案参考的指南和标准具体见下表:
1. 前言
1.1. 方案涉及范围
方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。
学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。
方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。
1.2. 方案参考标准
本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划:
方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。
系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。
本方案参考的指南和标准具体见下表:
对学校数据中心安全体系设计时,既要考虑安全风险和需求,又要考虑系统建设的成本,在保证整体安全的前提下,尽可能的减少投资规模,压缩开支。优化系统设计,合理进行系统配置,所采用的产品,要便于操作、实用高效。
标准化原则
技术的标准化是信息系统建设的基本要求,也是电子化和信息化的前提。学校数据中心构成复杂、应用多种多样,为了保证信息的安全互通互连,确保安全保障体系建设的典型意义和全面推广应用价值,必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范,按照统一的标准进行设计。
适度安全原则
任何信息系统都不能做到绝对的安全,学校数据中心也不例外。因此,在安全体系设计时,要在安全需求、安全风险和安全成本之间进行平衡和折中,过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。
统一规划原则
信息安全保障体系的建设必须适应其信息化的要求,必须兼顾核心业务和非核心业务的信息化需求,从安全技术保障、安全组织保障和安全运营保障等角度出发,为学校规划全面的信息安全保障体系。
2. 安全需求分析
从安全建设的角度,本方案认为学校的安全建设来自两个方面,一是从符合国家政策的角度,需要按照公安部的相关标准,按照分级、分域的建设思路,进行总体的安全规划和设计;另外也需要从自身安全防护的角度,分析对抗外部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面的建设需求。具体内容如下:
2.1.1. 等级保护框架设计
本方案中,针对学校数据中心,按照功能类型的方式进行区域的划分,根据信息资产重要性的差别,划分为服务器区域、办公区域、运维区域、数据存储区域等;各区域内设备类型的差别,以及对业务应用影响的区别,导致各个区域应该采用不同的安全防护要求。
其中,服务器区域内主要是各类应用服务器,包括数据库服务器、各类业务系统等,该区域是数据中心最重要的信息资产,必须重点进行防护。
运维区域内主要是目前已经采用的网络管理软件,包括运行网管软件的服务器和数据库系统,在本期项目建设中,还可以将一些软件的安全防护系统部署在该区域内,比如堡垒机、漏洞扫描系统等,其重要性仅次于服务器区域。
数据存储区域则是方案建议规划出的一个区域,作为综合网管区域的本地数据灾备中心,该区域主要部署了磁盘柜等存储设备,由于在物理上该区域与服务器区域紧密相连,因此其重要性也是比较高的;
办公区域:包括学校的办公人员的桌面用机,该区域的设备遭到破坏后,对业务系统不会造成大面积的影响,因此重要性最低,但是该区域要做好防病毒、补丁管理、行为管理等方面,要防止该区域的设备被攻击者利用,作为进一步攻击其他区域的“跳板”;
2.1.2. 相应等级的安全技术要求
综合参考《信息系统安全等级保护定级指南》,我们可将学校网络和信息系统划分为网络基础设施、业务处理平台和应用系统三个层次,其中,业务处理平台包括了本地计算区域和区域边界。对服务器区域的安全防护机制按照二级的要求进行建设,对应用系统的安全防护机制按照二级的要求进行建设,其他区域可参考此标准,根据自身重要性的区别,适当调整技术要求。
从自身安全防护的角度,我们认为学校数据中心除了满足相关标准以外,还需要考虑物理、终端、边界、网络、系统和管理方面的安全风险,并由此产生了以下的安全需求。
2.2.1. 物理层安全需求
保证网络信息系统各种设备的物理安全是保证整个网络信息系统安全的基础。物理安全是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》 ;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
介质安全:包括信息系统数据所依赖的存储介质和传输介质的安全,确保不会因为物理介质的故障导致信息数据受损;
2.2.2. 网络层安全需求
网络是信息系统赖以存在的实体,离开了网络平台,信息的传递、业务的开展将无从依托,因此如何保障网络的安全,是构建学校数据中心系统安全架构的基础性工作,对于数据中心来讲,网络安全主要解决运行环境的安全问题,对应网络层安全威胁,网络安全主要的技术手段包括访问控制技术、加密传输技术、检测与响应技术等,对照学校数据中心的实际情况,我们看到其存在以下的安全需求:
访问控制需求
? 防范非法用户的非法访问
非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。
? 防范合法用户的非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指来自外部网络的合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。
? 防范假冒合法用户的非法访问
从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP 地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而进行的非法访问。
入侵防御需求
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但网络配置了防火墙却不一定安全,防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。因为网络安全是整体的,动态的,不是单一产品能够完全实现,所以确保网络更加安全必须配备入侵检测和响应系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。
2.2.3. 系统层安全需求
安全漏洞检测和修补需求
网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术进行攻击,因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。
安全加固需求
对关键的服务器主机系统进行安全加固,提供用户认证、访问控制和审计,严格控制用户对服务器系统的访问,禁止黑客利用系统的开口隐患和安全管理功能的不足之处进行非法访问,避免内部用户的滥用。
2.2.4. 应用层安全需求
防病毒需求
针对防病毒危害性极大并且传播极为迅速的特点,必须配备涵盖客户端、服务器、邮件系统、互联网网关的整套防病毒体系,实现全网的病毒安全防护,彻底切断病毒繁殖和传播的途径。
防垃圾邮件需求
必须采用有效的手段防范互联网垃圾邮件进入网络内部邮件服务器系统,干扰正常业务通信。
身份认证需求
必须采用必要的用户身份认证和授权管理机制,对网络用户身份的真实性、合法性进行集中的控制。
数据安全需求
对重要的业务数据和管理数据应提供可靠的备份和恢复机制,防止因非法攻
击或意外事件造成数据的破坏或丢失;
3. 网络安全建设内容
建议在本期项目的建设中,重点从网络安全、系统安全、应用安全、管理安全的角度出发,进行建设,同时在本期项目成功建设的基础上,再进一步向物理安全、组织体系、运行体系方面进行扩展,实现全面的安全策略。具体的实施方案可参考下图表示:
图3.1 学校网络安全拓扑示意图
在本方案中,在互联网接入边界处部署防火墙系统,形成层次化的访问控制和区域隔离。特别针对服务器区域,利用安全边界接入平台技术加强访问控制力度,有效保障重要的应用系统不受到非法的访问。
此外,在服务器接入边界处部署入侵防御系统,一方面有效抵抗拒绝服务、扫描、恶意代码、木马、蠕虫等网络攻击行为,降低来自互联网和校园内部的威
胁与风险。在防火墙边界隔离的基础上,部署入侵防御系统可以进行深度的检测与防护,提升系统的检测力度。
同时,还在互联网接入边界处部署流量控制系统,根据应用和用户进行带宽的分配与监控。
在WEB 网站前端部署一台WEB 应用防火墙,防范来自互联网对WEB 网站的攻击行为。
在互联网接入边界处部署上网行为管理系统,规范办公区人员的互联网行为,保障核心业务系统的流量带宽。
同时,还在互联网接入边界处部署流量清洗系统,对网络中的异常流量进行分析和清洗,保障有限带宽的合理化利用。
在内网署一套安全准入控制系统,加强网络安全管理及内部PC 的安全管理。
部署堡垒机来对管理员和第三方维护人员进行设备维护时进行审计管理。 部署漏洞扫描系统对全网的服务器、网络设备、安全设备和终端进行检测,发现网络中存在的安全漏洞,并采用相应的措施填补系统漏洞。
参考图3.1,针对学校数据中心,采取的主要防护措施包括:
3.1. 边界隔离措施
3.1.1. 下一代防火墙
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信,起到安全域划分、访问控制、NAT 转换和杀毒、漏洞检测等防护的作用,同时该防火墙还作为VPN 网关为移动办公BYOD 人员提供远程安全连接。通过使用防火墙过滤不安全的服务,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。
设立防火墙的目的是保护一个网络不受来自另一个网络的攻击,防火墙的主
要功能包括以下几个方面:
1.防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险;
2.防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济;
3.防火墙强化安全认证和监控审计。因为所有进出网络的数据流都必须通过防火墙,防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务;
4.防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对外网的访问。
防火墙设备的部署,可实现以下功能:
1.通过防火墙连接,隔离安全区域
通过对访问请求的审核,我们隔离了内部网络同外部网络连接,可以达到保护脆弱的服务、控制对内部的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。在有不安全网络接入时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全性。
2.过滤网络中不必要传输的垃圾数据
防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加,如果在其上添加一些策略,就可以过滤掉部分无用的信息,在网络中只能传输必要的应用数据。
3.利用防火墙的带宽控制功能,调整链路的带宽利用
防火墙是一种网关型的设备,而且防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽。实现每个用户、服务器的带宽控制,提高链路带宽利用的效率。
4.通过防火墙的保护,隐蔽内部网络信息,提高系统的安全性
使得各个内网区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP 碎片包攻击、DNS / RIP / ICMP攻击、SYN 攻击、拒绝服务等多种攻击。防火墙还具有一定的入侵检测功能,当发现有绕过防火墙攻击重要服务器时,防火墙将
自动报警并根据策略进行响应。
5.强大的应用层控制
防火墙提供应用级透明代理,可以对高层应用(HTTP 、FTP 、SMTP 、POP3、NNTP )做了更详细控制,如HTTP 命令(GET ,POST ,HEAD )及URL ,FTP 命令(GEI ,PUT )及文件控制。这对于提高网络中的应用服务器的安全非常有意义。
3.1.2. 入侵防御系统
刚才提到防火墙实现的是不同安全域之间的访问控制和管理,而入侵防御系统实现的是对整个内网的访问控制、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析等功能,并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,为网络提供完整的立体式网络安全防护。
入侵防御系统是在线部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
3.1.3. 流量控制系统
随着互联网的逐步发展,网上用户和业务流量在不断增长,除传统数据业务外,网络电话、网络视频、P2P下载等新型网络应用使得骨干网络中话音、视频、点到点下载流量在呈几何基数级膨胀趋势。今天的互联网用户中,没有听说或使用过Skype、QQ、MSN、BT、Emule、PPLive等应用的恐怕已经是极少数。网络应用繁荣的同时,网络管理的难度也随之增加。传统的网络设备由于无法识别应用层的流量信息,致使应用级别的管控不到位,网络管理的灰色地带不断增加。主要表现在:
? 网络透明度降低:无法获知网上的各种应用及用户准确分布情况,无法
针对不同用户、不同应用设置差异化的管理策略;
? 网络资源滥用严重,难以进行有效控制管理:如,观看在线视频(网络
电视、在线影视)、利用各种下载工具下载喜欢的音乐/影视等;致使网
络链路经常处于流量饱和的状态,无法满足日益增长的应用需求;
? 关键用户、关键应用的服务质量难以得到有效保障:网络应用流量种类、
数量不断增多,无序化的竞争经常导致关键用户、关键应用的服务体验
的降低;
? 网络安全性降低:由于网络的无序化管理,内部人员对网络应用的滥用,
大量蠕虫病毒、DDOS 攻击趁虚而入,这些以消耗网络资源为目的的流
量类攻击发展迅猛,却没有有效的防范、控制手段,造成网络拥塞,甚
至网络瘫痪,为网络安全带来了重大的隐患;
另外,现有网络设备无法实现应用级别管控还会给各类不同用户带来其它一些严重问题,例如:
? 对于企业网络:用户网络行为监管困难,既便制定了内部网络管理条例,
员工的上网行为也难以进行有效的管理。例如,在工作时间炒股票(大
智慧、通花顺、钱龙等)、玩网络游戏(传奇、魔兽、联众、反恐精英
等)、用MSN 、QQ 等即时通讯工具进行与工作无关的聊天等,这不仅
会影响工作效率,也会给网络管理带来巨大隐患;
? 对于电信运营商网络:对应用管控的缺失,造成非法VoIP 、P2P 应用、
在线视频应用的泛滥,一方面,其占有了大量的网络资源,带来了扩容
压力;另一方面,其也对运营商的主营业务(传统的语音业务、新兴的
IPTV 业务等)收入造成了巨大的影响。
对于今天的网络管理者而言,如何深度感知网络应用,通过适当的带宽管理技术来解决带宽增长与业务收益、网络扩容与用户体验之间的不对称关系,实现对用户和业务的分级化识别管理,和基于用户和用户业务流量的管理和增值显得尤为重要。
在这种背景下,流量控制系统就能够很好的解决上述网络面临的问题,它通过高速数据内容检测、数据流状态监测、IP 隧道和微码固件等方法,在对网络应用深度解析的基础上,实现了2~7层的应用识别分类、流量属性分析、流量策略管理、分类统计报告以及状态预警等多种功能。流控为提高网络透明度,实施网络应用服务管理以及拓展网络增值业务提供了有效和可靠的硬件平台,在对网络流量进行精确识别分析进而达到控制的目的的同时,巩固和加强了网络的安全管理。
3.1.4. 流量清洗系统
随着各种业务对Internet 依赖程度的日益加强,DDoS 攻击所带来的损失也愈加严重。包括运营商、企业及政府机构的各种用户时刻都受到了DDoS 攻击的威胁,而未来更加强大的攻击工具的出现,为日后发动数量更多、破坏力更强的DDoS 攻击带来可能。
正是由于DDoS 攻击非常难于防御,以及其危害严重,所以如何有效的应对DDoS 攻击就成为Internet 使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统,作为整体安全策略中不可缺少的重要模块,都不能有效的提供针对DDoS 攻击完善的防御能力。面对这类给Internet 可用性带来极大损害的攻击,必须采用专门的设备,对攻击进行有效检测及阻断,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。因此,对骨干设备的防护也是整个网络环境的关键,建议在互联网接入处部署专业的DDoS 防护产
品,保障用户网络可用性。
3.2. 应用安全措施
3.2.1. WEB 应用防火墙
随着信息技术的不断发展,互联网已经成为信息传播、流通、交换及存储的重要手段。信息高速公路的兴建使人类完全突破了传统的信息获取方式,存储在计算机中的资料都在逐渐增加,对信息的保护比以往更加重要也更加困难。由于 Internet 是个开放的网络,网站发布的信息一天二十四小时都在被查询、阅读、下载或转载。网站内容复制容易,转载速度快,学校WEB 站点网页如果被篡改,后果难以预料,篡改网页将会被迅速、广泛传播,从而直接危害网站的利益。尤其是网站上发布的重要新闻、重大方针政策以及法规等,一旦被黑客篡改,将严重影响政府形象,甚至造成重大的政治经济损失和恶劣的社会影响。
WEB 服务器前端部署WEB 应用防火墙,可以提高相关WEB 站点的安全性。当出现黑客攻击或工作人员某些操作失误,WEB 应用防火墙能够实时恢复网站文件,保证网站的连续正常运行;同时还能够记录篡改事件的相关资料,从而为安全部门提供调查的线索和证据。WEB 应用防火墙具备实时、低耗等性能指标,既能够保证篡改页面的立即恢复,又能保证网站的正常服务性能不受影响。
WEB 应用防火墙支持全透明部署模式,全面支持HTTPS 协议,在提供
WEB 应用实时深度防御的同时实现WEB 应用加速及敏感信息泄露防护,能够解决应用及业务逻辑层面的安全问题,特别是解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。
3.2.2. 上网行为管理系统
随着信息化建设的开展,工作和生活对于互联网的依赖性越来越强。在学校职工利用互联网获得更多更及时地资源的时候,一些网络性能方面和应用方面的问题被暴露了出来,大量的P2P 等非关键应用无情地吞噬着网络有限的带宽资源,使得网络管理人员头痛不已。在没有对P2P 流量进行策略管理的时间段
内,P2P 等非关键应用的流量几乎占用了60-70%的网络带宽,关键性应用如OA 、Email 、WEB 网站等却得不到保障,会严重影响了机关网络的健康发展。
通过在互联网出口处部署一台上网行为管理系统,对互联网资源做一个合理的流量控制,抑制P2P 的滥用,并保障关键应用的带宽,大幅度提高访问互联网的速度,有效提升带宽利用率。
上网行为管理系统提供了强大的网页过滤功能,屏蔽对非法网站的访问;提供基于时间、用户、应用的精细管理策略,控制职工在上班时间玩网络游戏、炒股、观看在线视频,以及无节制的网络聊天,从而保障工作效率;提供对电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免机密信息泄露或发表反动言论等。
3.2.3. 内网安全准入控制系统
学校业务种类越来越多,重要性越来越突出。所以办公计算机的系统安全以及日常的运行维护显的尤为重要,如果出现安全漏洞或安全事故,将会严重影响整体业务运行安全。由于学校信息化程度较高,终端点数较多,对IT 软硬件的资产管理及故障维护靠人工施行难度较大,且效率低下,迫切需要通过技术手段规范人员入网及日常终端使用行为。
为加强网络安全管理及加强内部PC 的安全管理,建议在内网部署一套安全准入控制系统,这套系统将重点解决以下问题:
? 用户入网身份证书认证化
? 入网终端登记注册认证化
? 违规终端不准入网、入网终端必合规
? 安全检查一目了然、智能傻瓜式修复
? 用户权限的细粒度分派及管理
? 全网终端软硬件资产合理、实时、有序管理
? 终端系统补丁、杀毒软件、应用程序等有效统一管理
安全准入控制系统可以对所有的入网设备进行身份认证,包括MAC 地址、IP 地址、基于用户名和密码的身份、接入设备端口、所在VLAN 等信息,还支持U-KEY 、支持智能卡、数字证书认证、LDAP 、无缝结合域管理。保证接入设
备为合法终端。
3.3. 安全运维措施
3.3.1. 堡垒机
随着信息技术的不断发展和信息化建设的不断进步,业务应用、办公系统不断推出和投入运行,信息系统在政府机构运营中全面渗透。学校信息系统使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,另外黑客的恶意访问也有可能获取系统权限,闯入内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为管理员关心的问题。
通过部署堡垒机,该设备扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此它能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。并能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。因此,堡垒机能够极大的保护内部网络设备及服务器资源的安全性,使得内部网络管理更加合理化和专业化。
3.3.2. 漏洞扫描系统
在内网服务器区部署一台漏洞扫描系统。其主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。漏洞扫描系统通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。先于黑客发现并弥补漏洞,防患于未然。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患,配合行之有效的整改措施,可以将网络系统的运行风险降至最低。
3.3.3. 网站监控预警平台
由于针对Web 系统的网络访问控制措施被广泛采用,且一般只开放HTTP 等必要的服务端口,因此黑客已经难以通过传统网络层攻击方式(查找并攻击操作系统漏洞、数据库漏洞)攻击网站。然而,Web 应用程序漏洞的存在更加普遍,随着Web 应用技术的深入普及,Web 应用程序漏洞发掘和攻击速度越来越块,基于Web 漏洞的攻击更容易被利用,已经成为黑客首选。据统计,现在对
网站成功的攻击中,超过7成都是基于Web 应用层,而非网络层。前不久OWASP (Open Web Application Security Project)机构发布了最新的
《OWASP Top 10 Application Security Risks》,SQL 注入和XSS 攻击
(Cross Site Scripting,跨站脚本攻击)仍旧排名前两位,是目前存在最为普遍、利用最为广泛、造成危害最为严重的两类Web 威胁。
Web 应用与云计算技术具有天然的联姻关系。基于SaaS (软件即服务)的云计算技术模型,对Web 安全监控系统提出好的解决思路。网站监控预警平台与IDC 合作,搭建Web 安全监测系统,对用户提供基于云计算(SaaS )模型的Web 安全监测服务。可提供7×24小时的实时网站安全监测服务。一旦发现您的网站存在风险状况,安全团队会第一时间通知您,并提供专业的安全解决建议。同时,基于SaaS 的Web 安全监测系统结合公司安全专家团队为用户定期提供网站系统评估报告,及时、有效地掌握网站的风险状况及安全趋势,从而提供稳定、安全的Web
应用环境。
3.3.4. 网络防病毒系统
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。 在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个局域网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
第 21 页 共 22 页
3.3.5. 网络审计系统
网络审计系统以旁路的方式部署在网络中,不影响网络的性能,具有即时的网络数据采集能力、强大的审计分析功能以及智能的信息处理能力。通过使用该系统,可以实现如下目标:
? 对用户的网络行为监控、网络传输内容进行审计 (如员工是否在工
作时间上网冲浪、网上聊天、是否访问内容不健康的网站、员工是否
通过网络泄漏了公司的机密信息等等)。
? 实现对单位业务系统核心数据库的操作过程进行审计,有效保护业务
数据的完整性。可以对违规行为进行审计记录与报警。
? 实现网络传输信息的保密存储。
? 实现网络行为后期取证。
? 对网络潜在威胁者予以威慑。
第 22 页 共 22 页
作文六:《信息网络安全防御体系建设》400字
信息网络安全防御体系建设
摘要:公司信息网络从建设伊始,就注意把安全规划贯穿到网络建设的始终,形成了安全可靠和功能实现相并重的网络建设特点。按照信息安全防护等级高于其它公共服务类企业的原则,将公司管理信息网分为信息内网和信息外网。通过信息网络安全防御体系的建设,在各个需要互访的区域网络边界之间,采用了多重手段,如强隔离设备、防火墙、路由器、入侵防御系统、交换机集成设备安全特性等,实现了严格而完善的安全策略,很好的在用户的需求之间和网络的安全方面取得了较好的平衡。
关键词:信息网络 安全 防御体系 建设
公司信息网络从建设伊始,就注意把安全规划贯穿到网络建设的始终,形成了安全可靠和功能实现相并重的网络建设特点。信息网络现分为如下几个安全区域:外网区域,内网区域,特殊系统区域,子公司内网区域。其中外网和内网又分别划分为服务器群子区域和用户终端群子区域。
1 策略及实现方案
1.1 信息外网与信息内网
按照信息安全防护等级高于其它公共服务类企业的原则,将公司管理信息网分为信息内网和信息外网。信息内网部署涉及企业商业秘
作文七:《试沦如何加强网络安全建设》1800字
曼 墨墨 垦 !
塞 全≥ ≥ : >
沦如 试何加强网 安络建设全
◆ 徐 艳
摘要辉 网:安络全 时件事造成 石 油了企重业大的经济损失, 因建此合立理 效有 的网 络安全 体 系已成经石为油业企要任首 ,以实现安全技术务和安全 管共发展理的 企 网业络 息信全建设 安作工本文。主针对要 络信息网安全 的基本结构及 以网安全络构模架的设计型 进行探 。为石油讨企业 在网络信息 全建设安工 作提中 了出种 一理新。 念 键词 关石油企业:;络安网建设 全;架构模型 信安息全工 作,现中在不需要并备技术手准 ,需要更段 一
、
网络信 息安 全 基 结构
本高层上次 的进行作 工也就是 ,络网信安息 的全理 管,管
理层 又是次技术在次层上的。这样看 来 ,技术的基础为
网络信
息安全的结 构层 中次有 理安 全物,安 控 全制
及以全服安务其。物理安中全指 的在物是介质理中
对管理 ,没有管作理业无就完全法挥发技术段手 甚至,成
为种一累拖
储。存 和传 的网络信息进行输安全护 。在这种安全保构结 层次中 的安不因全有素自然 灾 害物理损,坏以设备及故 障具有。发 ,突然自 ,针非对,电磁 辐射等性 质。全
安
( )网三络息安全信组织 体系。对全体安进系行建 设能 进一步够保障 油企业田信息安全 统系正常运行的 在。 网 信络 息安 工全作中提供应全的面持支,其中包括资 投金 入机,构设 ,制建度设建及以作工人培训员。在建立网等
控
方制指 面的是对网信络息统系中的信息进行储 存传
和 输,进对程行控进制 管和 理。为重要最的是 网络在信 息
处理 中
信息对 初步信息对进行护。进行保安控制全的 主
包要 :操括作系统,网络接 模块 ,网口互联络备设 在 。安全务方面服 ,要主指是应用程序在 可 网络信对进行 息 密保,并 障信 息保完的整性,真实 性满足,用 户安全的
需 ,预求防种各安 问全 。题安在服全务 中主包要安括 全
络
信息安的组织体全系 管理体 ,系及技术体系以的基
上础,才 能够建有效立安的防范机全。这三制个层的次内容 和们它之间关的系成构了络信息安网构架模全型。 安全保障体 系构模结型
机 制,安全 策 略,安连全等接 。 中安其机制全的是指 利用密算码法理处感敏的数 。据安连全接指是在全安处理 前 与 通信之方 的连接 间安全。策略 指是障网络信息 系 统 安全保 ,性提出对问 题体的整决方案。解
二、 络网 息信全 架安构 型模的 研 意究义
一 (管理) ,织 组技术和 的
结合 网络。术 日技益发 展 的今 ,操天 系统漏作不断洞被发 现,击手攻段也不断 更
新, 此网络因全时刻安存在胁威近。一期存在油直田
三 结、 语
石在油企 业中 建 设信息 全体安 系 ,先首要保障
企业企联 网内部安互事故 ,使全企得业中 络网系 统 ,不 断被黑 控 制 客机,密文 以件个及信人息 被泄 漏早。 ,期 油在 田业企 对网信息安全络管过程 中理, 对于网 攻击络 和的系统 隐患问 题,主要 是通技过术段手决解 的,缺少 完整 的安全管体理系以 相关及理论 。但是随 的着络网模 规的 不断大 扩用户对,其的信赖程 度以及安 全性的要越求 来 高 。越络网模规不断大 扩使,得结其更加复杂 ,构应
用越来越频繁 因此要。根本上从 网络对全问题安行解进
业信息统 系的物中环理 境,息信源 以资系及中的硬统 软件
,够使 能网络信得系统息常正安运营 。同全时要也提 高 统系 工作人内 的安员全意识以 及体整专业质 ,服素 务水 。平降低系 故 统发障生 率,使油 得企田 能业可持续
够运行性。 帅
参
文献 考
… 孙 国栋. 造制备 设络网 共享化中  ̄ J - l ̄息全技安术 研 究[D ] 华中 .科技 大学, 2 00 .8
决,不仅仅能够依 靠纯 单技术的手段能够就决解 的也, 需要从 管机制 理的角度决解应存相的安在 全问 。
题(
作 单位者:大 庆油田有 限 责公 司任二第采油信厂 中心 系统息络网 室)
(二 网)络信安全管理重息性要 在 油 。田业 企网
络息系统工信 I程 2 01 3 11 2. 0
7
7
作文八:《网络安全建设整改方案》7900字
四川沃联科技有限公司 .valink..
专注系统集成、综合布线、监控系统、网络安全领域
网 络
安
全
建
设
整
改
方
案
设计实施单位:四川沃联科技有限公司
://.valink..
四川沃联科技有限公司|领先的信息与技术服务公司
? 第一章:公司介绍
? 第二章:客户需求
? 现有问题状况
? 第三章:推荐的安全方案
? 应用背景
? 联合防御机制
? 内外中毒PC预警通知
? 反ARP攻击
? 入侵检测
? 阻挡外部病毒入侵
? 第四章:安全方案的实施
? 安装实施杀毒软件
? 安装实施统一威胁安全网关
? 第五章:产品介绍
? AboCom统一威胁网关介绍
://.valink..
四川沃联科技有限公司|领先的信息与技术服务公司
第一章 公司介绍
四川沃联科技有限公司,致力于信息技术及产品的研究、开发与
应用,为政府、教育、企业提供适合、优质、可靠的信息技术产品和
各种类型的解决方案,包括计算机网络系统集成工程、网络安全系统
设计和建设、专业化的网络信息管理系统集成、建筑工程弱电系统设
计和集成、独具特色的行业应用系统以及网络安全和文档安全解决方
案、企业应用软件开发与推广。
公司坚持“客户需求是我们永远的目标”的经营理念,并努力在
内部贯彻高效、和谐、自信、坦诚的企业文化。坚持不断探索、不断
创新的自我超越精神,努力提升团队的服务能力。
“品质与价值、承诺必实现”是沃联对用户不变的保证,我们期待
成为您的IT合作伙伴优先选择。
第二章 客户需求
根据贵公司描述情况,我们发现贵公司有如下安全需求:
1、 内网病毒的防护。保护内网计算机安全
2、 控制上网电脑的一些上网行为,如限制下载、限制即时通信
软件、限制浏览网站、限制BBS等
3、 控制电脑的上网权限,有认证的电脑才能上网
4、 对垃圾邮件、病毒邮件的阻止。对邮件行为控制
5、 保护内部电脑不受黑客攻击
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
第三章 推荐的安全方案
我们提供的安全方案:内外兼具的网络安全管理解决方案
1、应用背景
病毒通常是以被动的方式透过网络浏览、下载,E-mail 及可移动
储存装置等途径传播,通常以吸引人的标题或文件名称诱惑受害者点
选、下载。中毒计算机某些执行文件会相互感染,如 exe、、bat、
scr 格式的档案;而黑客通常会针对特定的目标扫描,寻找出该系统
的漏洞,再以各种方式入侵系统并植入木马程序,也可利用一个个已
被攻陷的计算机组成殭尸网络(Botnet)对特定目标发动大规模的分
布式阻断服务攻击(DDoS) 或 SYN 攻击,藉以把目标的系统资源耗
尽并瘫痪其网络资源,若该目标是企业对外提供服务的服务器,必然
会造成企业若大的损失。
早期的网络用户注重对外部威胁的防范而疏于对内防护,而目前有较
多的安全隐患往往从内部网络产生;友旺科技提供内外兼具的立体安
全防护手段,不仅在网络出口的第一道屏障就防止病毒及攻击进入内
部网络,同时也对从内部发起攻击有针对性防范,为企业网络的安全
层层护航。
2、联合防御机制
我们认为企业内网的防护应该是全方位立体的联合防御机制,网
络防护应该从第二层到第七层综合防护,友旺科技产品独有的联合防
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
御技术将二层的周边交换机及三层的核心交换机有效的整合在一起,
通过联合防御技术达到综合防御管理的目的。把内网有异常的用户所
造成的危害有效控制。达到从第二层就防御的目的。
3、 内网中毒PC预警通知
内部用户中毒特别是中蠕虫病毒后如果不加以重视,采取适当措
施,网络蠕虫病毒会在短时间内对内部网络用户造成极大的危害,如
不采取适当措施,MIS将对局域网络失控; AboCom从2002年开始,
采用先进的内部中毒用户预警防御技术,将可能的网络网络风暴在一
开始就通过多种方式第一时间告知管理员,是哪个用户的哪台PC在
何时出现问题,不会让管理员束手无策,难以定位,从而达到预警可
控的目的。
当察觉内部有 PC 中毒时,不只可以阻挡异常IP发生封包,还会寄
出警讯通知信给系统管理员并发出 NetBIOS 警讯通知中毒 PC,告知
系统管理员是哪个 IP 的计算机疑似中毒,而 PC用户也可及时接获
警讯的通知来得知自己的计算机中毒必须赶紧找 MIS 来处理,这样
管理员便可以迅速地找出中毒的 PC,轻松解决内部PC 中毒的困扰。
4、 反ARP攻击
ARP攻击通过伪装网关的IP地址,不仅可能窃取密码资料,同时
也使内部受攻击用户无法正常上网,使网络造成中断;管理员如不及
时采取措施,受到攻击用户数量可能扩散,因此,友旺科技在网络网
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
关及用户终端同时相互作用,在网关处自动绑定用户端的IP及MAC
地址,将相同MAC地址PC呈现给MIS,同时用户终端通过运行友旺
科技反ARP插件,实时指向正确的网关地址。
5、策略化SPI防火墙管控
先进的SPI防火墙,不同于基于端口过滤的包过滤防火墙,可实
现基于3-7层的防火墙策略;可定义无限制每个端口的IP&MAC地址
及群组、自定义服务及基本服务或群组、定义24 x7 时间表、定义
多组虚拟服务器、定义带宽及用户认证及IM/P2P策略等,支持基于
策略的防火墙控制、及支持DMZ端口的多种模式:NAT模式/透明桥
接模式/透明路由模式等,DMZ口可弹性设置定义成WAN口;内部LAN
口可做路由模式/NAT模式/Multi-NAT/多网段路由模式等,可不改变
原有网络结构,非常灵活;自带IDS / Anti-Hacker(入侵侦测及反
黑客)等近20种反攻击技术,高端方案支持HA双机即时自动备援,
6、IDP抵御内网及外网攻击
AboCom IDP(入侵侦测防御)可有效防护威胁攻击并提供『特
征数据库』(Signature Databas) 2,900个以上;预设最常用攻击模
式,具备异常行为分析,并可主动在线免费更新;而自行定义『特征
数据库』,藉以防范新类型攻击;具备对应用程序(服务)及DoS、DDos
等实时阻断、侦测及防护。具备两种Action的模式 :Pass 及 Drop 。
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
提供威胁攻击记录及报表详细查询功能,可查看Soure IP或
Destination IP相关记录,并提供攻击事件、内容特征、攻击方式、
级别及综合报表等记录(Log)。
7、 阻挡外部各类病毒入侵
AboCom反病毒机制同时内建及使用Clam AV & Sophos两种病毒
过滤引擎,可准确地找出夹藏在邮件(POP3、SMTP)中的病毒或隐藏于
HTTP(Web)及FTP服务内的病毒,且能永久免费的自动更新病毒码
(Clam)。这可让系统的病毒防护功能,能以最少的成本,永远保持在
最新的状态,让网络达到最严密的防护。
每10分钟自动更新病毒码,确保病毒码随时处在最新状态,可
定义广泛而坚实的扫毒解决策略,保护企业网络免于病毒、蠕虫
(Worm)、特洛伊木马、混合式威胁、间谍软件、网络钓鱼
(Anti-Phishing)、垃圾邮件与其它不当的网络内容所造成的危害,
提供完整病毒过滤报表及隔离通知,并支持异常警告(Alarm),可记
录于Log及透过E-mail通知给指定人员。功能优势有:
1 病毒代码数多 总共病毒代码达到50多万个,且不断自动
更新。
2 反病毒功能升级免费 针对病毒代码及引擎的更新做到终身
免费更新。
3 可对IM/P2P等传输文档进行病毒扫描
4 强大的杀毒引擎机制,可终身免费升级
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
第四章 安全方案的实施
1、全网络实施企业版杀毒软件
2、架设企业统一威胁管理网关
网络安全架构图
3、协助完善计算机使用制度(规范)
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
第五章 产品介绍
AboCom 统一威胁管理网关-SMB-SV900
SV900可建立有效的扫毒解决方案,保护企业网络免于病毒、病虫、
特洛伊木马、混合式攻击、垃圾邮件与其它有害的网络内容所造成的
危害。SV900还集成了带宽管理功能QoS、防火墙、VPN虚拟专用网
络、IDP防入侵等功能。使用SV900网关器可在网络的前端就把病毒、
垃圾邮件、有害的网络内容过滤掉,不会增加邮件服务器硬件的负担,
也无须在邮件服务器做任何设定及安装额外的软件。
SV900内置的AboCom专属设计ASIC芯片,每天可过滤高达600,000
封电子邮件,网络传输流量为为 600Mbps,可同时支持
582,000Session,每秒新增Session数更高达 20,000个;硬件平台
为1U机架式结构、2 WAN / 1 LAN / 1 DMZ的10/100/1000M 自适应
以太网接口Ethernet Ports、80GB硬盘。适合 100~150 人的中型企
业用户。
SV900具有易于部署(Plug & Play)与管理的高效能解决方案,其
特色在于自动化的安全响应,可确保网络与远程系统拥有最安全的防
护,避免新威胁的攻击。高效能、高可用性、设定容易、判断率高的
SV900,可一次轻松满足企业邮件安全管控与网络全方位的安全防护
需求。
主要产品特色
垃圾邮件过滤 (Anti-Spam)
SV900自动学习功能,再配合贝氏过滤(Bayesian Filter)、自动学
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
习机制、指纹辨识 (Finger Printing)、ICON Spam(图形Spam过滤)
功能以及使用者可自定义邮件规则与黑白名单使用,让使用者与管理
者随时增加垃圾邮件与病毒邮件数据库,SV900会随时学习最新的过
滤机制,垃圾和病毒邮件判断正确率将近99.9%,误判率低,可随
时取回信件,方便管理与掌握企业重要的电子邮件质量及效率,SV900
人工智能型自动学习机制(Auto-Learning),可将判断标准随时作调
整,以因应网络环境的成长与发信逻辑的改变,以提高判断垃圾邮件
的准确性,同时降低误判的可能性。SV900可做出详细的邮件过滤报
表和多样化的处置方式,以邮件方式通知(Notice)给所有邮件账户使
用者,方便使用者彻底了解被过滤的邮件主题与寄件者名称。SV900
可自动隔离”字典攻击”邮件,保护Mail Server正常运作,同时提
供Gateway/Transparent/Relay Mode,不需额外安装任何软件也不
需要设定过滤关键词,不需改变现有环境与Mail Server,即可轻松
完成垃圾邮件过滤防护。
病毒过滤 (Anti-Virus)
可同时选用内置的Clam 和 Sophos两种病毒过滤引擎,能准确地找
出隐藏在邮件中的病毒或隐藏于HTTP(Web)及FTP服务中的病毒,能
永久免费的自动更新病毒码(Clam)。使得 SV900 的病毒防护功能,
能以最少的成本,永远保持在最新的状态。可以对HTTP(Web)及FTP
的存取做病毒扫描,使网络享有最严密的防护。SV900每十分钟自动
更新一次病毒库,确保病毒库能随时处在最新状态,可建立最有效的
网络解决方案,保护企业网络免于病毒、蠕虫(Worm)、特洛伊木马、
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
混合式威胁、间谍软件、网络钓鱼(Anti-Phishing)、垃圾邮件及其
它有害的内容所造成的危害。
对内负载(Inbound Load Balancing)
SV900内置Smart DNS Server,透过多条ISP线路,提供给Browsers
浏览者更实时、快速与稳定的因特网在线服务。
对外负载(Outbound Load Balancing)
SV900提供双WAN 口可使用多种负载平衡算法,企业可按照自身需求
自行设定负载平衡规则,网络存取可参照所设定的规则,执行网络流
量负载平衡导引。算法则有:
◎ 依序Round Robin
◎ 比重Weighted Round Robin
◎ 流量比例Traffic
◎ 应用别Application
◎ 联机数量Session
◎ 服务别Service
◎ 使用者端User
◎ 自动分配Auto Mode
带宽管理(QoS (Bandwidth Management))
SV900可针对不同的网络使用者以及应用服务类型,提供最大(Max.
Bandwidth)可用带宽及最低保证带宽(Guaranty Bandwidth)。可设定
优先级(Priority)和安排24x7全天候时程的带宽管理,以便每个网
络连接都能得到最佳服务,控制QoS。提供带宽限制(Bandwidth Quota
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
Control)功能,可依联机数目(Per Session)或按每日(Per day)对某
人(或群组)或某服务(或群组)做频宽分配与限量传输。
多子网路由(Multiple-net Routing)
多子网路由(Multiple Subnet)功能,可使不同网域(Subnet)的用户
直接进行路由;支持Transparent / Routing / NAT三种模式,可以
同时运作。
防黑客High Network Security & Anti Hacker & Content Filtering
SV900运用嵌入式硬件防火墙技术,提供策略式防火墙功能,内建十
多种常见的黑客攻击防范模式,可主动拦截多种网络攻击类型,配合
24x7全天候时程管理与预警纪录(Log),可发送Email实时通知,加
强组织内部网络安全的防护。提高黑客预警功能Anti Hacker和网页
内容过滤Content Filtering功能,可以确保企业网络的安全性。
黑客御警(Hacher / Blaster Alert & Blocking)
针对特定IP / MAC / Group的拒绝服务攻击病毒提供入侵侦测、防
御与警告,入侵攻击检测(IDS)系统可记录入侵方式、入侵时间和来
源IP。
(内容过滤)Content Filtering(IM & P2P & URL Blocking)
SV900提供最让MIS人员困扰的IM实时通讯(Skype、ICQ、QQ、MSN、
Yahoo Messanger......)及P2P 点对点下载软件(eDonkey、BT、
WinMX......)的行为模式过滤功能,有别于一般传统阻挡Port方式
过滤,让用户再也无法透过更改Port(端口号)方式来使用IM或P2P
软件,更能有效阻挡HTTP/FTP方式的档案下载与上传行为,并提供
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
URL Blocking网址关键词过滤及Cookie/Pop up/Java Applet/Active
X阻挡过滤功能。
VPN Gateway & VPN Trunk (VPN Load Balance & Backup)
具备VPN (IPSec / PPTP)点对点传输,及DES/3DES与256Bit AES
加解密功能,至多可建立1000多个通道,并提供VPN Qos、Scheduler、
认证功能与网上邻居功能,并提供VPN Trunk 多路负载平衡与备援
功能。
Transparent Mode (DMZ Port)
对大部分企业而言,增加新的网络设备往往需要改变网络原有的设
定,例如需花费大量时间与人力修改IP地址。为解决此问题,SV900
提供实体DMZ Port作Transparent Mode透通模式,完全无须改变原
有的网络架构与配置,同时亦可解决IP地址不足的问题,以Plug &
Play随插即用的方式在不同网络环境中使用,具有灵活应用的特点。
MRTG & SNMP Agent / Trap
提供实时图形化统计分析,所有网络封包的进出流量纪录,并做网络
使用监控稽核及统计记录。更提供SNMP网络管理及网络流量排行
(TOP N)功能,方便MIS工程师统一管理网络设备系统效能,提供事
件警告 (Event Alert)及日志记录(Log)管理功能,具备设定参数组
态异常输出输入功能。
IDP(入侵检测防御)
◎ 可有效防护威胁攻击并提供『特征数据库』(Signature
Databas)2,900个以上预设攻击模式,并可主动线上更新。
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
◎ 预设的『特征数据库』可允许用户自行修改它的Action与级数。
◎ 具备两种Action的模式:Pass 及 Drop 。
◎ 可另外自行定义『特征数据库』,藉以防范新类型攻击。
◎ 提供威胁攻击记录及报表查询功能,以方便分析。
◎ 报表查询可查看以下记录:Source IP or Destination IP相关
记录、特征分类相关记录、相关事件内容记录。
SSL VPN (Web VPN)
为了满足行动使用者需求,让企业员工在任何有网络的地方皆可安全
的存取企业内部网络,SSL VPN无疑是最便利、最经济的安全存取方
式。以往针对行动工作者进行远程访问,企业必须利用PPTP、L2TP、
IPSec 等方式建立VPN联机。然而,PPTP、L2TP即使具有隐密性,
资料被窃取的机率仍然偏高;而安全性较高的IPSec VPN,除了受限
于只允许安装VPN软件的计算机建立联机,又具备设定复杂、管理成
本高、联机不稳定等缺陷。SSL VPN即针对行动工作者提供最佳远程
安全存取解决方案。透过SSL VPN远程安全存取服务,企业仅需透过
最熟悉的网络浏览器接口 (Web Browser),即可轻松联机至企业内部
网络。
四川沃联科技有限公司|领先的信息与技术服务公司 ://.valink..
作文九:《谈网络安全框架的建设》3300字
科赫 信l急I科I学
谈网络安全框架的建设
杨磊
(黑龙江省电力勘察设计研究院档案信息部,黑龙江哈尔滨150001)
摘要:随着计算杌技术的迅速发展,在计算机上处理的业务越来越多,在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日 益突出,计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。
关键词:计算机;网络安全;防火墙
随着计算机技术的迅速发展,在计算机上 何地方管理组件的生命周期的能力。软件组件 收集到的数据传送给检测引擎并被转换成审计 处理的业务也由基于单机的数学运算、文件处 可以从运行中被安装、升级或者移除而不需要 数据的格式。
理,基于简单连接的内部网络的内部业务处理、 中断设备的操作,但是这些方法还有不足之处。 当识别出无线网络攻击假冒AP之后,应 办公自动化等发展到基于复杂的内部网(IIl一本文使用在OSGi服务结构体系之上增加了三 该立即采取的措施就是阻断该AP的连接,有 trailer)、企业外部网(Extranet)、全球互连网(In一 种网络安全服务。 以下方式可以阻断AP连接:a.采用DoS攻击的 temet)的企业级计算机处理系统和世界范围内 一是通过对防火墙进行实时控制和监测 办法,迫使其拒绝对所有客户的无线服务.b.网 的信息共享和业务处理。在系统处理能力提高 来防止拒绝服务攻击。二是无线局域网安全服 络管理员利用网络管理软件,确定该非法AP 的同时,系统的连接能力也在不断的提高。但在 务。通过使用无线局域网来进行无线入侵检测 的物理连接位置,从物理上断开;c.检测出非法 连接能力信息、流通能力提高的同时,基于网络 和移动设备的访问控制。三是域控制器进行用 AP连接在交换机的端口,并禁止该端口。可以 连接的安全问题也日益突出,整体的网络安全 户管理服务。 利用无线网络管理软件来完成该任务。一旦假 主要表现在以下几个方面:网络的物理安全、网 3网络安全服务 冒AP被确认,管理软件查找该AP的MAC地 络拓扑结构安全、网络系统安全、应用系统安全 3.1防火墙 址,然后根据该MAC地址,找到其连接在交换 和网络管理的安全等。 所谓防火墙指的是一个有软件和硬件设 机的哪个端口,从而断开或阻断所有通过该端 因此计算机安全问题,应该象每家每户的 备组合而成、在内部网和外部网之间、专用网与 口的网络流量。这能自动阻止客户连接到该假 防火防盗问题一样,做到防范于未然。甚至不会 公共网之间的界面上构造的保护屏障.是一种 冒AP,而转为向其他相邻AP进行连接。这是 想到你自己也会成为目标的时候,威胁就已经 获取安全陛方法的形象说法,它是一种计算机 一种最有效的方法。
出现了,一旦发生,常常措手不及,造成极大的 硬件和软件的结合,使Intemet与Intranet之间 对于Rogue客户,当确认客户为非法客户 损失。很多大型企业已经意识到了网络安全的 建立起一个安全网关(Security Gateway),从而 时,网络管理员可以断开其网络连接。通常的做 重要性,投入了很大的人力和物力来维护自己 保护内部网免受非法用户的侵入,防火墙主要 法是把非法客户的MAC地址从AP的访问控 的网络,而一些小型的企业或者家庭往往缺乏 由服务访问政策、验证工具、包过滤和应用网关 制列表(ACL)中去除,ACL决定哪些MAC地址 相应的资金以及网络管理人员,从而忽视了网 四个部分组成, 可以接入网络,那些不能接人网络。
络安全这一重要问题,本文给大家介绍一下网 防火墙就是一个位于计算机和它所连接 3.3域用户管理服务
络安全构架的建设,希望能给这样的企业或家 的网络之间的软件或硬件(其中硬件防火墙用 用户管理服务向用户提供认证和授权。我 庭用户些许的帮助。 的很少只有国防部等地才用,因为它价格昂贵)。 们使用基于域的用户管理。域控制器中包含了 1简介 该计算机流人流出的所有网络通信均要经过此 由这个域的账户、密码、属于这个域的计算机等 网络安全是指网络系统的硬件、软件及其 防火墙。 信息构成的数据库。当电脑联入网络时,域控制 系统中的数据受到保护,不受偶然的或者恶意 防火墙对流经它的网络通信进行扫描,这 器首先要鉴别这台电脑是否是属于这个域的, 的原因而遭到破坏、更改、泄露,系统连续可靠 样能够过滤掉一些攻击,以免其在目标计算机 用户使用的登录账号是否存在、密码是否正确。 正常地运行,网络服务不中断。网络安全从其本 上被执行。防火墙还可以关闭不使用的端口。而 如果以上信息有一样不正确,那么域控制器就 质上来讲就是网络上的信息安全。从广义来说, 且它还能禁止特定端口的流出通信,封锁特洛 会拒绝这个用户从这台电脑登录。不能登录,用 凡是涉及到网络上信息的保密性、完整性、可用 伊木马。最后,它可以禁止来自特殊站点的访 户就不能访问服务器上有权限保护的资源,他 性、真实性和可控性的相关技术和理论都是网 问,从而防止来自不明入侵者的所有通信。 只能以对等网用户的方式访问Windows共享 络安全的研究领域。网络安全是一门涉及计算 3.2无线网络的安全 出来的资源,这样就在一定程度上保护了网络 机科学、网络技术、通信技术、密码技术、信息安 无线网络由于其传输媒介的特殊性以及 上的资源。
全技术、应用数学、数论、信息论等多种学科的802.1l标准本身的缺陷,具有很多安全问题,如4结论
综合性学科。 刺探、拒绝服务攻击、监视攻击、中间人(MITM) 以上我们设计和使用了网络安全管理框 网络安全的具体含义会随着“角度”的变 攻击、从客户机到客户机的入侵、Rogue AP, 架,所使用的安全机制是、基于OSGi服务框 化而变化。比如:从用户(个人、企业等)的角度 flooding攻击等,本文中仅研究了对Rogue AP 架。这个框架的中心是综合有线和无线安全机 来说,他们希望涉及个人隐私或商业利益的信 的检测。Rogue AP是现在WLAN中最大的安 制来保护网络免受有线或无线的攻击。为达到 息在网络上传输时受到机密性、完整性和真实 全威胁,黑客在WLAN中安放未经授权的AP 这个目的,我们设计了一个基于传输的防火墙、 性的保护,避免其他人或对手利用窃听、冒充、 或客户机提供对网络的无限制访问,通过欺骗 无线网络安全等等并使之综合成一个解决方 篡改、抵赖等手段侵犯用户的利益和隐私。 得到关键数据。无线局域网的用户在不知情的 案。
对于网络安全需求,我们主要考虑以下因 情况下,以为自己通过很好的信号连人无线局
素:a.对网关的j;釜测和控制.b.对无线局域网的 域网,却不知已遭到黑客的监听了。随着低成本
访问控制和入侵检测;c.用户管理。基于以上囚 和易于配置造成了现在的无线局域网的流行,
素,阐述一个管理网络安全的解决方案。 许多用户也可以在自己的传统局域网架设无线
2综述安全管理框架 基站(WAPS),随之而来的一些用户在网络上
为满足上述安全需求,我们设计并实现了 安装的后门程序,也造成了对黑客开放的不利
一个网络安全框架。本框架是一个基于Open 环境。
Service Gateway initiative(OSGi)的网络中间 无线局域网安全服务具备入侵检测和访
件。OSGi规范为网络服务定义了一个标准的、 问控制的能力。入侵检测系统包括代理搜集和
面向组件的计算环境。将OSGi服务平台添加 入侵检测服务器。代理搜集监察和收集接入点
到一个网络设备中,可以为其增加在网络的任 信息以及通过无线网络传送数据的移动站点。 责任编辑:温雪梅 万 方数据
谈网络安全框架的建设
作者:杨磊
作者单位:黑龙江省电力勘察设计研究院档案信息部,黑龙江,哈尔滨,150001
刊名:
黑龙江科技信息
英文刊名:HEILONGJIANG SCIENCE AND TECHNOLOGY INFORMATION
年,卷(期):2008(20)
被引用次数:1次
引证文献(1条)
1. 张志雄 . 李晓云 企业信息化建设中的网络安全问题探讨 [期刊论文]-中国高新技术企业 2008(20)本文链接:://d.g.wanfangdata../Periodical_hljkjxx200820067.aspx
作文十:《层次化网络安全建设》6700字
No.2
微处理机
第2期Apr..2011
MICROPROCESSORS
2011年4月
层次化网络安全建设
景怀民,陈高辉,秦博,李世红,高省库
(长庆油田通信处,西安710018)
摘要:随着大型企业网络快速发展,部分网络已经实现了核心万兆、千兆接入到桌面,网络流量快速增加,随之而来的网络安全风险加大,对网络安全运行造成的影响变大。通过提出分层网络安全建设建议,可增强大型企业网络的安全。
关键词:ACL策略;P2P下载;DDOS攻击;异常流量DOI编码:10.3969/j.issn.1002—2279.2011.02.008中图分类号:TP393.1
文献标识码:A
文章编号:1002—2279(2011)02—0024—05
Constructionof
a
HierarchicalNetworkSecurity
JINGHuai—min,CHENGao—hui,QINBo,LIShi—hong,GAOSheng—ku
(ChangqingOilfield
CommunicationDepartment,Xi&n
710018,China)
Abstract:Withtherapiddevelopmentoflargeenterprisenetworks,hasformed
acore
part
ofthe
networkGigabit,Gigabit
access
to
thedesktop,arapidincreaseinnetworktraffic,followedbyincreased
riskofnetworksecurity,networksecurityoperationon
theimpactoflargerthattheproposedconstruction
oflayerednetworksecuritysolutions,andenhancelarge—scaleenterprisenetworksecurity.
Keywords:ACLpolicy;P2Pdownload;DDOSattacks;Abnormaltraffic
1引言
地吸引了用户上网;另一方面,传统的通信应用被
移植到Internet上来,例如IP电话、视频会议、远程Intemet是20世纪对人类发展起到巨大推动作教育、视频点播等多媒体应用,使得Internet有取代用的科技发明之一。它提供了全新的通信手段、信其他通信手段的趋势。
息交换及获取手段,极大地加速了社会的信息化发随着光通信技术的发展,通信传输的带宽、可靠
展,满足了社会信息化进步的需要。回顾网络发展
性和价格获得了极大的改善。当网络规模不断发的历史,世界各国电信部门和厂商共同花费巨大人
展,网络流量成指数增长,实时通信和通信质量保证力物力制定的开放系统互连(OSI)标准,其精心设的要求不断增长时,网络设备不堪重负,因此大型企计的分层结构作为网络技术的典范出现在教科书业网络都采用层次化网络体系结构。采用这种新的中。因为OSI协议过于复杂,资料数量巨大、庞杂,网络架构,让网络回归简洁,设备简单、高效;层次化难以读懂而且不能免费阅读,一个具有网络知识的网络体系结构下的网络行为和数据路径的确定性,专业人员,也很难在他(她)的有生之年读完相关的有利于真正实现QoS;网络结构故障和网络失效事件资料,导致OSI协议失败。而TCP/IP协议却相反,
局部化,避免全局网络拓扑结构信息和失效事件,从它的协议十分简单,协议文本易读,易理解,可以免
而避免全局性的震荡、回路以及长的路由收敛时间。
费下载,协议容易实现,各厂商之间的协议容易做到通过分析当前大型企业的网络安全风险,提出互通和兼容,因此TCP/IP协议成为Internet主协一种新的网络安全解决方案一“层次化网络安全方
议。Intemet后来的蓬勃发展,则主要归功于网络应案”。对普遍使用的分层网络架构进行研究,通过
用的功劳。一方面,电子邮件(Email)、电子公告板不同网络层次采用不同的安全解决方案完成企业网(BBS)、万维网(WWw)等应用层协议的出现,极大
络安全的建设(见图1)。
作者简介:景怀民(1963一),男,甘肃灵台人,学士,主研方向:信息工程。收稿日期:2010—10—15
*怀*蟀:目状化目镕安±建设
目I^Ⅲ∞月女m月培*扑目
2企业网络安全风险
2
某单台主机发包速度可达80万PPS.报文都是64字节吼下的小报文。小报文对网络设备性能影响最大.其攻击报文路径l所有的网络设备都会受到影响.设备处理能力太幅下降.甚至导致整个喇络瘫痪。
2
1骨千网安全
大型企业网络用户接^带宽达到干兆.计算机上
网带宽达到百兆部分达到千兆。随着计算机性能提高很快,加之企业内部网络带宽大幅提高.单台计算机时阿络冲击流量达到百兆以上.发包速度达到10万PPS(包每秒)以上甚至上百万PPS。如此多的报史,导致骨干网络流量增大.骨干阿设备负荷增大,处理性能下降.影响骨干网络的稳定运行,严重情况下的DDOS病毒攻击更会造成整个企业阿络的瘫痪。
2
3应用服务器安全
企业网络基础应用服务器DNs、网页、数据等.
用来提供企业应用服务及存储企业关键应用数据。随着企业生产的数字化发展.更多更复杂的应用服务器投人运行,随之而来的应用系统安全漏洞也愈来愈多,需要加强安全防范以抵御网络安全威胁。一旦这些服务器因为安全问题而il起全同瘫痪.则会造成不可弥补的损失。
2互联回出口安全
目前瓦联网资源丰富,阿络用户已经习惯从互
联网下载各种信息。随着BT、迅笛、在线视频等P2P应J}l的广泛使用,互联网下载流量增大.影响到企业办公网络应用的使用。通过对某企业互联网出口流量敷据进行分析,互联网出口流量中上行76%是P2p流量下行35%是P2P,周页浏览占用50%.其它应用占用比例较少。当骨干网和互联网m口流量充斥P2P等非正常应用时.严重影响了网络运行效宰和正常的阿络应用。
通过对企业互联网安全设备记录信息的统计,发现大量DDOS(拒绝式服务攻击)攻击行为。萁中
3层次化网络安全方案
针对层次化网络结构的特点,大型企业阿络安全建没包括:互联削出口架设胁火墙拦截互联网攻击.使用防火墙内置IPS模块检测防范网络人侵行为;核心层网络配置流量清洗设备,对内部网络异常流量清洗过滤;使用流量检测系统分析网络流量构成.采用发送干扰报文形式对互联罔出口P'2P流量进行控制;应用服务器乐统通过防火墙进行安全防护;定期使用安全评估系统对企业阿络主机进行近程安全评估。
3I接入屡安全防范
接^层直接接八H络H】户主机.接人交换机町使用ACI策略埘常见的病毒端口进行关闭。部署^删,策略来用分层方法,对常见病毒端口、用户地址段坡¨标地址段进行控制,保护f11户侧安全;以下ACL配置是楚思科交换机配置柏ACI。示例:
m‘c—11m105
35
n“e—list
denyItl,anyany。n1105denylopanyany。al39
…一11sI
105
deny
l
anyanyeq
445acce—list105deny
IeI…v
anyeq
1023
accc—list1051025
aPre—llstdenylopanyun)eq105
accc—listd…tep
anyanyeq
1026105aece—listdenytopany
8nv
eq
1027
105arce—list
denytcpanyanyeq4000
105
deny”nany
anv
eq
5554
…一list
105denyknanyanyeq9898accc—Iisl
105denyudpanyanleq1023arce—list
105denyudp8nv
anyeq1025access—lisl
105denyudp
8T_v
an)eq
1026
af
ce…list
105anyacce—list
denyudpanyeq】027
105M㈣一11ml∞1…icmpl0
deny
udpⅡ“ya“ycq4000
0255
a…一list
…一㈦1∞permiticmpⅢ1v10
71
0000255∞v71000…一lⅢ1∞permitipl0166deny
icmp…lv
…一listl05
7n000255255any
permitipmlyln7000O255255
…一IIm
105denyipany
anv
3
2核心层安全防范
制对目前发牛在夫型企业网络安争攻击事件多
发生在内部瑚}芹(内阿对外阿攻击行为多.因为互联阿出口NAT原因,外网对内网攻击行为少)的特点.网络安全事件以预防为丰的策略下.需要通过技术手段提的发现肝及时处理网络异常流鼎、DOS攻击及DDOS攻击行为,将网络攻击对骨干网络的影响降到最低。针对大型企业应用H&务器系统集中互联网出口集中的特点.内部流量多为应用系统及互联嘲防刚.对异常流量及DDOS攻击防范.可使用内网异常流量监测和清洗系统达到保护内部阿络安全的gt的.如图2所示。异常流量清洗i殳备选择网络架掏要对阿络用户影响降至最小。可选择旁路部署流量清洗设备,流量监测及分析系统因为使用链路分光旁路部署所“对用户没有影响。异常流量清洗{殳备对企业内咧的重要单位、服务器系统进行有效保护,网络r行流量通过策略路由至清洗设备,清洗
检测后回注,互联网下行流量通过监测分析中心检测发现网络攻击,通过管理中心给清洗设备发送RcP路由控制命令,清洗设备给互联的檀心路由交换设备发布精确的BCP攻击主机路由,攻击流量被引流至清洗设备.清洗设备完成攻击流量清洗后同件数据。
目2
mi&Ⅻj清洗#自目
3
3互联网出口安全防范
互联网出口防火墒是控制内外网访问的关键醴
蔷,大型企业耳联网Ⅲ口流量大.防火墙除了正常的互联网地址转换外.还要对内外网访问进行策略控制.因此对防火墙性能要求较高。目前互联同出口的网络安全事什较多,斟此在互联刚出口配置IPS已经成为出n安全建设的土流。考虑到出口设备的冗余,出u结构就出现2+防火墙+2+IPS的复杂情况。为r减少出口设备的故障点+降低复杂度.建议使用防火墙山置[PS的方式,既保护],互联网出口安全电降低了拓扑复杂度。
大型企、№网部面临互联网出口带宽需求不断增加的难地。分析企业网互联网出L1漉量情况发现P2P业务占用带宽比较大,需要对P2P流量进行监管。通_过限制P2P流罱保证正常札务流的通畅。大型企业网络中的核心刷络都是飙设备冗余架掏,如果采用串联网关式流量分析监管系统结构,会增加闸络内部的单一故障点。同时网关式设备处理性能不能满足大型企业网培需求。因此可采用旁路流量分析监管设备,重点分析核心网关键节点和互联网出口协泌流量情况。对重点业务流进行统计分析,提炼重要业务的特性,建立阿络流量模型.为网络规划建设提供依据。旁路设备通过发送下扰报文的方式对用户P2P下载进行有效干扰.限制P2P、lP
21
.——:!!苎!!!!!!!!!堡
一
二!!:
舟对带宽的一’1用.d:府迎人流最骨干网阳刈用户的影响是蛀小的安辛鄙署l勤如闭3所示.
血用服务器系统.除r需要加强删务器自身的安全防护外(如:烈机热蔷的措施外).为成时柬自网络的安全威胁.还需要通过J|}i务器使用防火墙+lPs系统来保护应川。防火墙针对胍箭器设性定制的安全过滤策略以保护服务器,IPS‘I『以引对DNS/
一妻|
h霹=.胡w
j}
WER/DHCP等流量请求进行检测保护.攻击亩jc量被隔离以避免服务受到影响。
3
5使用远程安全评估系统
企业网络安伞是一项系统工程,除r服务器m
&阿络麒而的安全防护外,需要通过技术千段对企
”I#l
0
@丑≮髻渺旷驴\君§9乓\妒~话g\,~旷,谚。月
90#;m
业阿珞没备、服务器、计算机主机等定Il目进行安全评估。目前比较成熟的足通过远程安全评估系统.对蜘内设蔷进行地址扫描应用类安垒评估。太型企业州需受驶时掌握削内各种设备杖朋户的安全风险.网此使’{1精{|14扣捕技术对网内路巾交换没备、服务器及计蛸.HI终端逊竹‘譬令评估.能够艘现阿络安全隐患.并针埘舭务嚣及剐络设备进}r安仑加固,起到提前预防删络安全风险的作用(见刚4)。
*。%自№二£i髓1【¥i#n
e?一1bE
“一*t÷1
月3Ⅱ联嘲fIj口安全部署目
3
4应用系统安全防范
大颦企业财务、音同、ERP、OA、DNS等煎要的
△
Hn
女*q#
,啵女&
蘑8麴
1078173691078173150
日oE&{¥【硅Lr{ETm§%{g目目Ⅲ0隅月
谢瞄m同iimTELNET璐#&E女噍■,#E涮t{e嗍7#口々.
^TELNE瑗*M■■目设■一十t翻nb口审.
图4安±口估报☆范倒
4结束语
层次化阿络安全建设.能有效降低大型企业网络受到网络崭毒攻击的影响程度。举例某企业同内
单位用户千兆接^企业网,因J{i户主机UDP—FLOOD攻击互联网主机造成其所在单位网络几乎中断.流量清洗设备对攻击流量进行清洗,骨干网及互联网出口网络未受到影响。某病毒主机11日开
散*m机
始攻击嘲络,攻击沉量达到200Mbpg.t3日关闭此{一机后流量正常,核心刚络流世清洗设备髓时检测
到攻击行为井进行攻击流量清洗(见图5
■,*
real
¨-IE3酷1Ⅲ瓤旧^-H
-
e
1*1●
1……91●一1…一i2………0∞1一m…W1●
¨●口mlH"酗…?e
…1■1………l●1…i…1……………1…l………l41………i………1…………………i…1…l………1………………………1………1……………………●1■…●l………1…1…1{1………l……………1
……一…………1●●…一……’一m…∞1B5∞………O∞,一…∞J*’0
…1……一∞∞……………1…l…1W∞*10一……‘I4t■………………1…l……………l…l……
41
i+1枷
s—M…Ms…D●■n…18…o●_●…㈣……D’■●…一s~““…'一
m■
参考女*:
篆b~。
目5目镕&女∞却目
H镕女±,2007(6):36—37
【IJ钱毕#,葛触目.{瘦H☆女*M镕镕§镕掏【M]
北《:清华^{&舨Ⅱ,2009
[2】高P岗实月日络%t**&术fM]北《:自}IⅡ
∞版#.2009
【3]%口奇分布式拒绝m务目击mⅫ宴例分*[J]信息
[4]戚建方互E月##mt镕诜&¥女H自I&宴谁
【D】rH:十Ⅲ大学20。9
[5]华为技术#m公目SIGi#【EB/OL]耀Ⅷ:华为公
目,2008一l
30/2008—9一18
ww
huaweisy—tee
corn/on/downloaddo?id=646363
(}.接第23页
cBIew8v
t±oⅢC口m…on
NcwYork:IEEE
b衄ed…FIx舳…d
CAN『c]2009
Compact
Jnl….
Eleetmaic
1kh∞1w
4结束语
2】
2009t664一fi68
Em菲,H茂#^≈ECUⅫmg十自--I“LEXRAY
(v2I)**规≈[J】R{自*.2006(10):46—47
该篇只是用一个简单的实验米介绍I:%xRay网络的通信原理及通信优势。FlexRay作为一种新型高速具有容错性的总线.在汽车上的应片j.能够保证汽车系统的安全性达到
个新的水平。Flexaay用
在实时性安全性贾求比较高的阿络中.同样也能够在工业控制系统中发挥出巨^的作用。因此FlexRay的r鹾应用也指日可待。
●≈it:
51
3]±*自,候成林.Ⅱ女B#fTJAI∞0∞I;'lexRayn
拽接u*计fJj¥Rn#&^^§‰&月.2007(8)
42-“4】
Rok^Shaw,Bmnd"J∞kmn
An
n“R…ⅡId…d
Ig帕一1854
LIIlui
on
fnl刊u…”
2008:
NeI啪^『c]IEEE
co……Controllerh…ne曲vMd
ZHANG
H∞XIAnlHUANGWen
R杈amh
Mdb-
Aecmisi-76
【I】I:lexRny¨HⅢ,ZHANG
HIIANGWen
H∞,PENGI)柏一(,”g.
u8(c]2009
Int…㈨d
k…¥i口al
DesignandApplicationofCommunication
llon¨dPteceesi”g
NewYork:IEEE.200973
层次化网络安全建设
作者:作者单位:刊名:英文刊名:年,卷(期):
景怀民, 陈高辉, 秦博, 李世红, 高省库, JING Huai-min, CHEN Gao-hui, QIN Bo, LI Shi-hong, GAO Sheng-ku长庆油田通信处,西安,710018微处理机
MICROPROCESSORS 2011,32(2)
本文链接:://d.g.wanfangdata../Periodical_wclj201102008.aspx
