_-李紫嫣
作文一:《互联网安全》600字
互联网已成为一个关联着无数人的巨大全球网络。通过互联网,你可以找到几乎所有事物的信息,也可以购物、理财、玩游戏、分享照片、看电影、听音乐等。
上网可以带来许多乐趣,因此年轻人为之吸引并以此作为互相联系的手段并不令人惊讶。但互联网同时也吸引着一些坏人,因为他们可以在网上轻易发布攻击性或极端的内容,或者找到那些毫无戒心的人进行坑蒙拐骗。
所有上网的青少年都需要警惕网上的各种危险、骗局和盗窃行为,并学会如何避开它们。
相关资源
·“聪明上网”是一个政府网站,提供许多确保电脑安全、安全在线交易(比如理财和购物)、以及人身安全的帮助信息:://.staysmartonline.gov.au/teens
·澳大利亚儿童与媒体委员会:.youngmedia.org.au/
帮助热线 1800 700 357
·“学聪明”。可以看到四位青少年的上网遇险经历视频,你还可以索要免费DVD:://.cybersmart.gov.au/wiseuptoit/
·“上网窍门”。在这个游戏中你需要扮演一个角色,与各种对象互动,从中学会如何安全上网:://.cybersmart.gov.au/cybernetrix/index.html
寻求帮助
如果你遇到任何形式的网络骚扰,正确的办法是告诉某个人,比如朋友或者家庭成员。心理辅导员也可以为你提供支援,帮你说出内心的感受。
你也可以通知你的ISP(网络服务提供商),看看他们能否帮上忙。
如果情况严重到让你非常不安,那么你应该报警。比如,一旦出现身体接触的情况或者对方有身体接触的企图,就打电话报警。
相关阅读:“网络暴力”
作文二:《移动互联网安全分析》4500字
移动互联网安全热点分析
://.cww.net. 2011年3月30日 09:21 通信世界网
作 者:杨光华
中国移动通信研究院安全研究所
一直以来,互联网信息安全的问题都是业内外关注的焦点,而移动互联网的安全也是移动互联网健康可持续发展的关键所在。在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在,同时,还体现出一些新的安全问题和需求。在网络安全方面,以LTE+、P2P技术等为代表的网络扁平化、分布式网络架构的发展,对建立基于分布式架构的可信网络提出了要求;在复杂的异构网络环境下,需要基于统一的鉴权控制体系确保用户的严格接入控制、实现可靠的行为溯源能力;随着带宽的迅猛增长和协议类型的极大丰富,需要建立更加有效的流量管控能力,包括网络、业务语义监控和安全监控机制与能力。在终端与业务安全方面,由于移动互联网中用户可以永久在线,加之智能终端日益普及,手机病毒、木马等对终端的攻击将更加显著;在内容安全方面,非法、有害和垃圾信息的大量传播严重污染了信息环境,干扰和妨碍了人们的信息利用。
对于2011年的移动互联网安全,笔者认为主要存在如下几方面的热点技术问题:
一 手机病毒将呈多发趋势,需预先准备防护手段
日前,国家计算机病毒应急处理中心通过监测发现,手机病毒Spy.Flexispy出现新变种即“X卧底”,不但可以监控用户收发短信和通话记录,还可远程开启手机听筒,监听手机周围声音,实时监听部分用户的通话,并且利用GPS功能监测到手机用户所在位置,给用户安全隐私造成极大威胁。
手机病毒是一种具有破坏性的恶意手机程序,一般利用短信、彩信、电子邮件、浏览网站等方式在移动通信网内传播;同时可利用红外、蓝牙等方式在手机终端间传播。
随着智能终端的普及和操作系统的统一,手机病毒的影响面将逐步扩大。手机病毒的传播和爆发可能会造成用户隐私泄露、信息丢失、设备损坏、话费损失等危害,并对通信网的运行安全造成一定威胁。
由于手机病毒是随着移动互联网的发展而产生的新型问题,目前国家尚未出台相关法律法规明确手机病毒防治的责任主体、防治要求;手机病毒界定范围、判定标准也尚未发布,现有防治工作尚无标准可以遵循。
据Gartner预计,到2013年,全球PC保有量将达到16.2亿部,而智能手机和具备浏览器的传统手机的保有量将达到16.9亿部。手机将超越PC而成为人们的主要上网工具。随着终端操作系统统一手机病毒将呈现多发趋势。手机存量市场上Symbian 已经超过70%的市场,在此操作系统上能够感染的手机病毒占病毒总数的九成以上。随着基于Adroid开放操作系统的智能手机快速发展,基于此种操作系统的手机也日渐成为黑客攻击的目标;
因此,为保证网络和业务正常运营,保护用户合法权益,需预先采取有效措施应对手机病毒的泛滥,手机病毒防护技术成为安全领域热点。通过建立检测、研判、控制、预警以及应急响应等一系列的防护流程促使手机病毒不在泛滥。
二 数据泄露将成为热点安全问题
随着信息化的全面普及和应用,数据资产已经成为各部门、团体和企业的核心资产,敏感数据的安全已经成为关系到企业生存的关键问题,敏感信息防泄露技术已经成为一项提高运营安全、确保竞争力的重要安全技术。
自2007年以来,赛门铁克、麦咖啡、趋势科技等跨国信息安全巨头,纷纷收购数据泄露防护(DLP)公司、技术和产品,在全球推出以内容检测为核心技术、辅以身份认证和访问控制、日志审计等技术的DLP产品。而国内产品的技术水平相对于国外的同类产品还比较落后,产业化水平较低,目前DLP尚无成熟标准可遵循。
当前主流的敏感信息防泄露技术主要有三类:控制类技术,通过权限的设置,对数据进行集中控制和管理,并定期进行检查和事后审计,实现对关键数据的传输进行控制,防止未经授权的数据外泄;加密类技术,主要包含:文件级加密技术、磁盘级加密技术、硬件级
加密技术和网络级加密技术;过滤类技术,在内网的出口,即网关处安装内容过滤设备,这些设备可以分析HTTP、POP3、FTP、即时通讯等常见网络协议,并且对协议的内容进行分析及过滤。
三 WLAN安全运营需注重可控可管
据不完全统计,目前中国移动全国的WiFi热点已经达到12万个,中国联通有近5万个,而中国电信的WiFi热点数已经超过了10万个。目前,三大运营商都将WiFi建设提到重要3G时期发展的议程。WLAN作为蜂窝网络的重要补充,是移动运管商进入宽带市场的重要基础和切入点,在WLAN推广建设过程中,WLAN网络存在的网络与信息安全问题必须引起高度重视。
在WLAN的建设与运营过程中,在认证与信息安全、网络安全等方面存在多项安全问题,其中比较有代表性的有,伪AP钓鱼攻击风险;利用DNS端口绕开计费问题;Web Portal安全问题。
目前在WLAN领域的安全标准主要是IEEE制定的802.11i标准和国内自主制定的WAPI标准。802.11i采用基于共享密钥的方式实现认证,并定义了WPA2/TKIP加密算法,WAPI采用基于数字证书的机制实现认证,并定义了国内自主的SMS4加密算法。两项标准主要都是解决无线接入段(用户到AP)的认证和加密问题,目前运营商WLAN网络是在用户接入AP后访问网络时进行Web认证,同时用户Internet访问的加密需求不强,因此并未实施上述标准。
四 云计算安全风险应重点防护
云计算对传统计算模式和商业服务模式带来了巨大改变,但却面临极大的安全风险,云安全也成为云计算领域的热点。一方面是云计算平台和系统自身的安全问题,云计算的虚拟化、多租户和动态性不仅加重了传统的安全问题,同时也引入了一些新的安全问题,云计算环境下用户信息安全保护、虚拟化安全环境、动态安全防护服务等安全问题需要引起高度重视。另一方面,基于云安全概念,业界安全厂商纷纷利用云计算技术实现传统的病毒查杀等安全服务和能力,从而提供分布、高效和低成本的安全服务。
云计算应用环境下,安全问题在如下几个方面体现出新的特点:
?客户数据安全和隐私保护:由于云计算模式下数据资产的所有权和管理权分离,客户对数据资产安全的担忧成为云计算推广普及的重要障碍。对于敏感数据的保护,通过单一的手段是远远不够的,需要有一个完备的体系,涉及用户认证、数据完整性保护、对象访问控制、资源访问审计等多个层面。
?虚拟化运行环境安全:虚拟机间通过硬件的背板而不是网络进行通信,因此,这些通信流量对标准的网络安全控制来说是不可见的,无法对它们进行监测、在线封堵,类似这些安全控制功能在虚拟化环境中都需要采用新的形式。需重点关注虚拟机隔离、监控、安全迁移及镜像文件的安全存储,以及虚拟对象存储、块对象存储等云计算存储服务的安全。
?云安全服务:一方面,是指业界流行的基于分布式收集安全信息、集中云节点进行安全检测的基于云模式的安全服务,如病毒查杀服务、Web信誉服务等;同时,也要求在提供云计算服务时要考虑到不同企业、不同应用的差异化的安全需求,根据用户需求,提供动态差异化的云安全服务。
目前,国内外有不少标准化组织开展云计算标准研究工作,国外杀毒软件厂商如赛门铁克正在与云安全联盟合作,积极加入到云安全的标准化制定工作中。迈克菲云安全计划融合了一流认证机构提供的云安全认证服务以及迈克菲提供的自动审核、修复和报告功能。国内如:CCSA、中国电子学会云计算专家委员会、全国信息技术标准化技术委员会TI服务标准工作组、SOA标准共组,国外如:TMF、ITUT-T FG Cloud、DMTF等。
五 物联网的群组认证成为重要的安全需求
目前,现有网络认证体系是针对单个对象的一对一的认证方式,通过1-2轮的用户和归属服务器之间的交互完成对用户的认证。
但是对于拥有大量用户且这些用户的属性基本一致的某些业务,尤其是M2M的一些具体业务,很可能业务的用户终端会按照一定的原则(同属一个应用/在同一个区域/有相同的行为特征)形成组,各组内终端设备的数量可能不等,但业务都是基于组来提供的,例如智能抄表业务。
国家“十二五”规划明确提出,物联网将会在智能电网、智能交通、智能物流、金融与服务业、国防军事十大领域重点部署。
在这些应用场景下,当组内用户和终端同时接入网络时,若采用现有的一对一的认证方式,不仅会增加网络信令,容易导致网络拥塞,且会占用大量宝贵的网络资源,因此现有网络认证体系则不再适用。
这种情况下,为降低认证资源消耗,减少网络拥塞,需要一次针对组内多个或所有用户进行认证。这种认证被称为群组认证。
而群组认证是一种网络一次认证多个用户或终端的认证技术。这种认证技术能够将一个组内的用户作为一个整体进行认证,这个整体将具有唯一的标识。群组认证可以通过借助认证代理或网关或主设备来完成。用户设备和网络侧实体可以根据组认证来共享某些密钥,同时在需要的情况下,单个用户设备也能与网络侧实体产生独立的密钥。
此外,群组认证与传统计算机网络中的群认证有所不同。计算机网络中的群认证是为了验证某一个用户是否属于特定群,而群组认证则是网络将一组用户作为一个整体进行认证。
目前,群组认证的标准化工作尚在进行中,大多数标准化组织中只体现了群组认证对应的安全威胁和需求,群组认证的具体机制和流程尚未得以体现。
六 大规模网络安全态势感知的需求将日益凸显
随着互联网的发展,网络重要性的日益提高,安全问题逐渐突出,入侵、攻击和病毒行为正向分布化、规模化、趋利化、复杂化和间接化等方向发展。因此,在网络中依靠传统孤立的采用一种安全产品或技术,部署在局部范围内,来识别和发现网络中的安全事件已经非常困难或有失准确性,迫切需要一种新技术实现大规模网络的安全事态监控。
安全态势感知技术是目前安全领域的研究热点。态势感知(Situation wareness)这个概念源于航天飞行研究,此后在军事战场、核反应控制和空中交通及医疗应急调度等方面被广泛研究。
要实现大规模网络的安全事态监控就要解决态势获取要素、态势理解和态势预测三个重要环节,在此基础上,需要进一步实现对上述态势获取要素发现事件的数据融合和关联分析,进入到态势理解阶段。
目前,安全态势感知包括安全事件的收集、安全事件分析和预测两个层面:安全事件收集主要分为主动和被动收集,安全事件分析和预测主要包括数据挖掘,数据融合和态势可视化等部分。
安全态势感知技术正是将业务系统和脆弱性分布与其受攻击的状态有效的结合,分析和预测全网的安全态势和安全事件下一步发展的状态,提供给安全管理者进行准确及时的决策。
可以说,安全态势感知技术未在标准化组织中进行探讨,但在学术界已成为热点研究方向。主要研究方法采用多传感器数据融合、分层分析、基于数据流和数据包分析等技术,围绕安全态势的主动实时评估和感知开展研究。
小结
随着移动网络与互联网的不断融合,网络开放化、业务多样化、终端智能化的特点在移动互联网环境中将体现的日趋明显,伴随这些技术特点的变化,安全问题也会出现新的特征。本文对移动互联网将出现的热点安全技术问题进行了初步分析,希望对移动互联网安全技术研究工作提供有益的借鉴
作文三:《互联网安全审计系统》9400字
互联网安全审计系统
(V2.25)
技
术
白
皮
书
目 录
1.产品简介 ...................................... 3
1.1产品概述 ............................................................................. 3
1.2功能简介 ............................................................................. 3
2.系统架构 ...................................... 5
2.1系统组成 ............................................... 错误!未定义书签。
2.2系统架构 ............................................... 错误!未定义书签。
3.产品功能 ...................................... 5
3.1行为审计功能 ...................................................................... 5
3.2内容审计功能 ...................................................................... 7
3.3流量审计功能 ...................................................................... 8
3.4管理控制功能 ...................................................................... 8
3.5定制黑白名单 ...................................................................... 8
3.6审计数据查询功能 . .............................................................. 8
3.7报表分析功能 ...................................................................... 8
3.8用户及角色管理功能 ........................................................... 9
3.9数据备份功能 .................................................................... 10
3.10在线升级功能 .................................................................. 10
3.11其他功能 ......................................................................... 10
4.产品特点 ..................................... 11
4.1
4.2
4.3
4.4
4.5
4.6
4.7审计协议丰富 ..................................................................... 11 外发(接收)数据审计功能强大 . ........................................ 11 管理策略可精细定制 .......................................................... 11 审计对象管理灵活 . ............................................................ 13 自身安全性 ....................................................................... 13 内置强大过滤库 ................................................................ 14 辅助功能齐全 .................................................................... 14
5.系统信息 ..................................... 14
5.1硬件信息 ........................................................................... 14
5.2技术指标 ........................................................................... 15
6.服务支持 ..................................... 15
1.产品简介
1.1产品概述
中科新业互联网安全审计系统网络哨兵V2.25(以下简称“网
络哨兵2.25”)是深圳市中科新业信息科技发展有限公司自行研制开发的新一代互联网安全审计系统。网络哨兵2.25通过旁路侦听的方式对内部网络连接到互联网(以下称“互联网”)的数据流进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,发现对互联网滥用,过滤不良信息,并对上网的相关行为、发送和接收的相关内容进行控制、存储、分析和查询。
随着人们对互联网的使用越来越普及,互联网给我们带来许多
方便的同时,也带来了许多风险和挑战,例如:在工作时间发送即时信息等滥用互联网活动而产生的效率成本过高;大量员工有收听在线音乐、观看在线视频剪辑,P2P 下载等消耗大量带宽的活动;员工利用互联网泄露公司敏感和机密信息;未成年人访问含有不良信息的网站;少数人利用互联网发布和传播不利于社会稳定言论;这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求,中科新业互联网安全审计系统网络哨兵2.25正是在这样的需求下产生的。中科新业凭借在安全审计领域多年的技术积累和研发经验,在成功开发网络哨兵2.0基础上,推出了适用于多种网络环境的互联网安全审计系统。它通过先进的“零驱动”网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善分类的URL 过滤库分类网址和管理规则,帮助用户应对来自互联网的风险和挑战。
1.2功能简介
作为互联网安全审计系统,网络哨兵2.25主要用于对互联网上网行为和
内容的事后查询和分析,并具有功能强大的对多种上网行为和内容的管理功能。网络哨兵2.25部署于内部网络到互联网的连接处,对整个内部网络客户机的上网行为和内容进行审计和管理。如网页浏览、收发邮件、聊天、音视频、游戏等。
功能体现:
? 审计和控制上网行为,实时追踪记录;
? 审计和控制员工外发数据内容,防止公司资料泄密;
? 减少员工因互联网活动所带来的法律责任风险;
? 优化使用 IT 资源,包括带宽和计算机资源;
? 实施因特网和应用程序使用策略;
? 通过配置合理的策略,禁止网络滥用,提高员工效率;
1.3应用领域
企业网络管理中心;
学校教育行业网络管理部门;
政府机关网络管理部门;
公安、保密、安全机关等国家授权的网络安全监察部门;
金融、电信、电力、保险、海关、商检、司法机关等各行业网络管理中心; Internet 互联网及接入管理单位;
Internet 服务提供商(各ISP 、ICP );
其他任何要求对互联网进行安全审计的单位与部门;
2.系统架构
示意图1 网络哨兵2.25基本部署示意图
3.产品功能
审计对象(用户):网络哨兵2.25所指的审计对象是指网络哨兵2.25逻辑上能够审计的计算机或者依赖于这些计算机的帐户,网络哨兵2.25可以设置多级组管理审计对象,并且在网络哨兵2.25内部可以按照多种方式来表示审计对象。
3.1行为审计功能
3.1.1网页浏览(HTTP 协议)审计
网络哨兵2.25记录用户网页浏览的时间、URL 地址、标题、源目的IP 地
址、源MAC 地址、源目的端口、网址分类信息、机器名称、使用者;并且网络哨兵支持对指定的计算机和帐户访问的网页进行还原。
3.1.2搜索关键词审计
网络哨兵2.25支持对常见的搜索引擎进行搜索关键字审计,并且支持对搜索关键字进行排名。(系统支持的搜索引擎详见附件)
3.1.3收发邮件(POP3、SMTP 、WEBMAIL 、LOTUS 、EXCHANGE )审计
网络哨兵2.25记录用户收发邮件的时间、收发件人、主题、附件名、源目的IP 地址、源MAC 地址、源目的端口、机器名称、使用者。内容审计部分支持邮件的内容和附件审计,并且支持Webmail 内容审计。(内容审计详见3.2内容审计功能)
3.1.4远程登录(TELNET 协议)审计
网络哨兵2.25记录用户远程登录的时间、命令、源目的IP 地址、源MAC 地址、源目的端口、机器名称、使用者,并且可以根据用户设定的还原关键字,对TELNET 内容进行还原。(支持内容还原的TELNET 站点详见附件)
3.1.5文件传输(FTP 协议)审计
网络哨兵2.25记录用户传输文件的时间、命令、文件传输名、源目的IP 地址、源MAC 地址、源目的端口、机器名称、使用者。
3.1.6 P2P协议审计
网络哨兵2.25可以审计通过P2P 文件传输时种子链接所访问的URL ,用户可以根据URL 对种子文件进行封堵。(网络哨兵支持的P2P 工具详见附件)
3.1.7音视频审计
网络哨兵2.25记录用户在线使用音视频开始时间、音视频协议、源目的IP 地址、源MAC 地址、音视频文件链接(根据此链接可以下载音视频文件)、机器名称、使用者。
3.1.8网络聊天(QQ 、MSN 、ICQ 、YAHOO MESSENGER 、网易泡泡、淘宝汪汪、UC 、QQ 聊天室私聊)审计
网络哨兵2.25记录用户聊天的时间、聊天工具、聊天帐号、源IP 地址、
源MAC 地址、机器名称、使用者。
3.1.9网络游戏审计
网络哨兵2.25记录用户网络游戏在线开始时间、结束时间、游戏时间段、源IP 地址、源MAC 地址、游戏名称、机器名称、使用者。(网络哨兵所支持的游戏种类详见附件)
3.2内容审计功能
3.2.1网页发贴和BBS 发帖审计
网络哨兵2.25除记录用户网页浏览(行为审计)的所有信息外,还能记录通过网页发送信息(POST )的内容。(网页发帖和BBS 发帖内容审计所支持的网站详见附件)
3.2.2收发邮件内容审计
网络哨兵2.25除记录用户收发邮件(行为审计)的所有信息以外。还能记录收发邮件的抄送人、暗送人、邮件内容、附件内容。WEBMAIL 不仅支持发送邮件内容的审计,还支持接收邮件内容的审计。(WEBMAIL 内容审计支持的网站详见附件)
3.2.3聊天内容审计
网络哨兵2.25除记录用户网络聊天(行为审计)的所有信息以外。还能记录通过MSN 、ICQ 、YAHOO MESSENGER、QQ 聊天室私聊的内容和通过聊天工具传输的文件。
3.2.4文件传输内容审计
网络哨兵2.25除记录用户文件传输(FTP 行为审计)的所有信息外,还能记录包括BT 在内的文件传输行为的传输方向,上传文件名,文件大小,状态,传输类型。
3.3流量审计功能
网络哨兵2.25能实时显示各个审计对象(组)、多种协议流量,并且支持对任意时间段内的机器进行流量排名,以图形显示输出。
3.4管理控制功能
网络哨兵2.25能够按照审计对象各种上网行为(内容)的审计信息灵活制定管理控制策略。如按照网页浏览中的URL 关键字,目的IP 地址,端口等设置是否允许网页浏览等。
3.5定制黑白名单
网络哨兵2.25可以按照用户的需要定制内外网黑白名单,加入内网黑名单的审计对象将不允许进行任何上网行为,一旦进行网络行为,连接将被中断;加入内网白名单的审计对象不执行任何审计管理策略;同样对加入外网黑名单的地址,不允许审计对象与其连接,一旦审计对象试图进行连接,连接将被中断;对加入外网白名单的地址的所有连接信息不进行审计管理。
3.6审计数据查询功能
用户可以按照不同的协议(行为和内容)在网络哨兵2.25通过相应关键字查询所需要的审计信息。如查询收发邮件行为的信息,即可以按照机器名称、使用者、时间、收件人、发件人、主题、附件名、源目的IP 地址等查询
查询记录可导出为TXT 、HTML 、EXCEL 等格式。
3.7报表分析功能
3.7.1统计排名
网络哨兵2.25支持多种排名统计报表:
网站排名:网络哨兵2.25对所有审计对象的网页访问行为进行统计,得出
指定时间段内的网站访问次数排名;
网址类型排名:网络哨兵2.25对所有审计对象的网页访问行为进行统计,
得出指定时间段内的网站类型访问次数排名;
流量排名、统计和分析:网络哨兵2.25对所有审计对象的总流量/流入流
量/流出流量进行统计、排名,并且可以统计指定审计对象的流量占总流量/流入流量/流出流量的百分比,也可以统计指定审计对象各种协议所占流量的百分比;
BBS 访问排名:网络哨兵2.25可以对所有审计对象访问BBS 的行为进行统
计,并且可以按照BBS 的访问次数对BBS 进行排名;
搜索关键字排名:网络哨兵2.25可以对审计对象利用搜索引擎进行关键字
搜索的行为进行审计和统计,可以对搜索关键字进行排名。
3.7.2自定义报表
网络哨兵2.25提供丰富多样化的报表查询功能
按时间有:日报表,周报表,月报表,季报表,年报表;可以自定义统计
日期;可以自定义做报表的时间段;
可按照网络应用:网页次数,FTP 次数,TELNET 次数,邮件次数,游戏时间,游戏
次数,音视频时间,网络聊天时间,网络聊天次数,文件传输次数。
可按照操作结果;访问量(所有日志的条数),流量,报警,封堵,耗时型(游戏
时间、聊天时间、音视频时间之和),耗资源型(下载文件大小)。
按照审计对象可对单个机器、组(可以包括子组)、用户、用户组生成报表; 已经生成的报表界面内,可以按照需要生成不同形状的报表:柱状图,横向
图,柱状均势图,折线图,折线填充图,饼状图,平面饼状图。
用户可以自定义报表标题,报表类型,报表时间,报表对象。 报表可以导出为TXT 、HTML 、EXCEL 等格式。
3.8用户及角色管理功能
网络哨兵2.25具有强大的用户和角色管理功能。管理员可以根据需求为不同的用户分配不同的角色,不同的角色可以设置有不同的权限,同时可以定义角色能够管理的审计对象(组)的范围。
如按照公司的行政管理模式设置公司管理员、部门管理员,公司管理员可以管理整个公司的审计对象、查看整个公司的审计信息,部门管理员只能管理本部门的审计对象、查看本部门的审计信息。
提示:用户使用以上不同的功能需要在网络哨兵2.25内有相应的权限
3.9数据备份功能
网络哨兵2.25提供多种数据备份方式,可以备份全部数据,也可以只备份
管理数据或者业务数据;
数据备份的时间可以灵活设置:按日备份、按周备份、按月备份,用户可
以设置备份的时间点;
数据备份的目标也可以灵活设置:可以备份到本地,也可以备份到FTP 服
务器(可以设定FTP 服务器的地址)
3.10在线升级功能
网络哨兵支持3种升级方式:
服务器升级:可以手动检测升级服务器上是否具有最新的升级包; 本地升级:可以将升级包上传到网络哨兵实现自动升级;
自动更新:网络哨兵界面每次运行,都会自动连接升级服务器,查找并安
装最新的更新程序。
3.11其他功能
系统支持简体中文、繁体中文、英文三种语言;
系统运行日志:网络哨兵2.25能够完整记录下每一个用户的每一次登陆所
执行的动作;
内置强大的过滤库:网络哨兵2.25集成国内最强大的过滤库系统,过滤库
分类齐全(10个大类、80多个小类)、网址丰富(400多万个网站、其中包含140多万个黄赌毒邪非法网站,共1亿多条网址),并且支持过滤库的自定义。
4.产品特点
4.1审计协议丰富
网络哨兵2.25可以对基于HTTP (WEB ,POST )、FTP 、BT 、邮件(SMTP ,POP3,
WEBMAIL 、LOTUS 、EXCHANGE )聊天(QQ 、MSN 、ICQ 、网易泡泡、YAHOO MESSENGER 、UC 、淘宝、QQ 聊天室私聊)、TELNET 、游戏、音视频、P2P 等协议的行为进行记录。
4.2外发(接收)数据审计功能强大
网络哨兵2.25能通过SMTP 、POP3协议收发的邮件内容及附件进行审计,
也可以对通过网页收发的邮件内容及附件进行审计,还可以对通过网页发送的其他数据内容进行审计;对于聊天:网络哨兵2.25能审计通过ICQ 、MSN 、网易
泡泡、YAHOO MESSENGER 、QQ 聊天室私聊等聊天工具发送的即时信息内容和文件,
同时还能审计其他如FTP (等工具)上传文件的文件内容。最大限度的保证内部敏感信息不能通过互联网外泄。
4.3管理策略可精细定制
时间段控制策略
控制每一种上网行为在从周日到周六任意的时间段,在允许的时间段内对应的上网行为可以正常进行,在禁止的时间段系统对对应的上网行为采用封堵策略;
IP 控制策略
对网络连接的源/目的IP 进行控制,限制到指定IP/IP地址段的连接,设立外网黑/白名单,对来自黑/白名单地址的连接分别应用不同管理控制策略;针对每一种上网行为的目的IP 设立对应过滤策略库进行控制;
端口控制策略
通过封堵指定端口限制对应的上网行为; 只开放指定端口库里的端口;
禁止使用指定端口库里的端口;
网页浏览过滤策略
只允许访问包含关键字的URL ; 过滤含有关键字的URL ; 是否允许通过IP 访问网页; 搜索关键字过滤;
基于URL 过滤库进行分类过滤; 禁止下载指定后缀名的文件; 禁止下载超大文件;
是否记录通过网页上传的内容(网页发帖或从网页上传文件); 禁止网页上传过多内容或超大文件;
邮件控制策略
只允许使用指定的邮件服务器收发邮件;
定义敏感邮箱地址,禁止向敏感邮箱地址发送邮件; 是否记录不超过特定大小的发送/接收邮件内容; 是否记录发送/接收邮件的附件; 禁止发送/接收超大邮件;
网络聊天控制策略
是否允许MSN 、ICQ 、YAHOO 、UC 传输文件; 是否记录MSN 、ICQ 、YAHOOA 、UC 的聊天内容;
文件传输控制策略
只能/禁止从指定的FTP 服务器上传/下载文件; 限制可传输的文件的大小; 记录上传文件内容; 禁止上传或下载超大文件;
远程登录控制
是否记录远程登录的行为; 只能/禁止远程登录到指定服务器; 设置远程登录还原的关键字;
BT 下载控制
禁止访问BT 相关URL ;
禁止访问常见的BT 服务器地址;
报警设置
可以按照网页、邮件、聊天内容关键字报警; 可以设置接收报警信息的邮件地址和聊天帐号;
4.4审计对象管理灵活
自动解析所有审计对象的机器名、获得对象的IP 地址、MAC 地址; 手动绑定审计对象的IP 与MAC 地址;
根据用户组织结构或IP 地址分配特点划分不同的审计对象组; 支持用户域认证和哨兵本地认证,支持按照用户帐号进行管理; 系统启动后,对应组里的审计对象将被自动分配到该组中;
通过使用“使用者”,系统管理员等可以以直观的人名来管理机器等信息; 系统管理员可以对审计对象部分信息进行手动修改;
系统可以在组中对审计对象进行添加、删除或更改机器组的操作; 系统管理员可以把审计对象分别添加到黑名单与白名单中,并应用不同的
审计管理策略;
系统可以在全局、本地、审计组以及单个审计对象四个级别部署对应审计
控制策略;
4.5自身安全性
网络哨兵2.25采用多种措施保障产品自身的安全性; 基于Linux 内核定制的安全操作系统;
网络哨兵2.25探测引擎抓包口采用无IP 技术,管理口可通过专用网络连
接到管理机;
数据通过SSL 加密传输;
多种权限设置,保证不同的权限完成不同的操作,同时对各种操作进行详
细的审计;
能够限制/开放指定的地址访问网络哨兵。
4.6内置强大过滤库
集成国内最全的网页分类过滤库,针对每一类网站的访问行为进行控制,过滤不良网页;网络哨兵拥有专业的分类URL 过滤库,包含400万个站点以上记录,含有超过一亿以上的网页,其中不良信息库(即黄、赌、毒、邪类)有一百四十万条以上。
同时具备过滤库实时自动更新功能。(需要网络的支持)
4.7辅助功能齐全
数据自动清除。
根据用户设定的数据保留时间和硬盘的利用率进行数据的自动清除。如果用户设定三个月的数据保留时间,系统将清除三个月以前的数据,如果硬盘不能保存三个月的数据,则根据硬盘使用情况进行提前清除,保证系统正常运转。 数据导出
如果用户需要备份较早的数据,则用户可以在界面上导出较早的数据,此数据的安全性由用户自行维护。
5.系统信息
5.1硬件信息
网络哨兵2.25采用专用的服务器:
提示:其他型号配置略有不同
5.2技术指标
提示:其他技术指标请和你最近的服务支持联系
6.服务支持
深圳市中科新业信息科技发展有限公司
技术支持:0755-86185185
市场热线:0755-86185191 86185192 86185193 传真: 0755-86185178
地址:深圳市南山区高新区科技中二路软件园6栋3层 邮编:518057
深圳市中科新业信息科技发展有限公司北京办事处
地 址:北京市海淀区西三环北路50号豪柏公寓B1座2201室 邮 编:100044
电 话:010-51901281 010-51901282/51901283-808 传 真:010-51901282-806
E - mail: yuanw@seentech..
深圳市中科新业信息科技发展有限公司广州办事处
地 址:广州市天河区天河路351号外经贸大厦3003室 邮 编:510620
电 话:020-22644460 13798050007 传 真:020-22645156
E - mail:
深圳市中科新业信息科技发展有限公司上海办事处
地 址: 上海市虹口区惠民路95号 邮 编: 200082 电 话: 021-29616908
E - mail:zhangy@seentech..
深圳市中科新业信息科技发展有限公司佛山办事处
地 址: 佛山市禅城区大福路8号10座202 邮 编: 528000
电 话: 0757-83998886
深圳市中科新业信息科技发展有限公司杭州办事处
地 址: 杭州市拱墅区文晖路大塘新村1栋102 电 话: 0571-88051400 E-mail: wuwx@seentech..
作文四:《互联网安全防护方案》700字
互联网安全防护方案
为确保我段互联网系统信息安全,降低系统和外界对内网数据的安全威胁,特制定此安全防护方案:
1. 网关处部署防火墙保证网关的安全,抵御黑客攻击。
2. 在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,规范P2P 下载等一些上网行为。
3. 按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动。
4. 实行专机专用,不得“一机两网”,且对接入互联网的终端机实行绑定IP 、MAC 地址的措施,实现专机专用。
5. 针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
6. 严格执行互联网相关制度,严禁在访问互联网的计算机终端上存储、处理和传输国家秘密信息和工作秘密、商业秘密等内部敏感信息;严禁通过互联网电子邮箱、即时通信工具等办理涉密业务;互联网终端不得 上网看电影、聊天、玩游戏等做与工作无关事情;互联网终端不得从事危害国家
安全、泄露国家秘密、工作秘密和商业秘密的活动,不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动如不遵守此规定上网,发生违法、违纪后果者责任自负,并考核科室相关负责人。
7. 互联网机器必须安装杀毒软件,并定期升级杀毒软件,防止病毒扩散至局域网。
8. 需要使用互联网下载相关内容时,存至U 盘后需对U 盘进行杀毒,防止病毒扩散至局域网。
9. 全面细致实行上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理,有效解决互联网带来的管理、安全、效率、资源、法律等问题。
作文五:《移动互联网安全报告》1200字
移动互联网安全
我是谁
? ? ? ? ? ? ? ?
姓名:宗泽 英文名:Apollozong Nickname:菠萝 2005年7月加入腾讯安全中心 PC game,手游爱好者 一切有关科幻的Fans 2008年北京奥运深圳站火炬手 梦想:在有生之年,去宇宙中尽 可能多的地方
从一个问题开始
你的手机丢了,会发生什么?
互联网的变迁
从书房到任何的角落
从工具到贴身的管家
资源宝贵(续航,硬件,网络)
移动互联网发展迅速
使用手机上网的网民增加,移动互联网时代开幕
移动互联网发展迅速
时代变迁:进入智能设备时代
移动互联网发展迅速
手机APP应用大爆炸
移动互联网安全问题
移动互联网安全吗?
移动互联网安全形势
Environment
GSM、WiFi、NFC……
OS
Android、iOS
移动互联网 安全形势
APP
各种APP
移动互联网安全威胁
基础环境安全
GSM安全
伪基站与GSM短信嗅探
GSM安全
伪基站
GSM安全
GSM短信嗅探
WiFi安全
WiFi密码破解与中间人攻击
WiFi安全
中间人攻击(MITM,Man-in-Middle Attack)
WiFi安全
WiFi密码破解 不要不加密 不要使用弱口令 加密方式不要用WEP,要用WPA 不要开启QSS/WPS
WiFi安全
WiFi信号劫持
Tencent-FreeWiFi Tencent-FreeWiFi
Tencent-FreeWiFi
WiFi安全
WiFi自动连接
RFID安全
NFC卡破解与复制
RFID安全
Mifare Classic的key可以被暴力破解
RFID安全
复制卡
RFID安全
修改卡
移动互联网安全威胁
开放的Android存在更多安全问题
OS安全
Android是安全问题重灾区
OS安全
Android碎片化,难以升级
各手机厂商推 出定制版本, 大量复用代码
OS安全
Android Webview 远程代码执行漏洞
OS安全
iOS加密传输漏洞
iOS特殊字符处理DoS漏洞
OS安全
影响面广、绕过Android系统 签名校验的Master Key漏洞
移动互联网安全威胁
恶意APP
APP安全
真假李逵:恶意APP
【广告】手机安全管理就用
APP安全
特洛伊APP:手机木马
APP安全
GPS信息
通讯录
照片/视频
通话录音/信息
APP安全
设计安全:漏洞
APP安全
外部对移动APP的关注度上升
对Android应用商店APP抽查, 某类漏洞国内比例 ≈ 20%
移动互联网安全威胁
钓鱼欺诈
传统短信欺诈
移动互联网欺诈
腾讯安全中心的工作
审计
漏洞发现
移动互联网 安全问题
加固
安全组件
研究
新趋势、新技术、新模式预研
腾讯安全中心的工作
审计:移动终端安全审计系统
腾讯安全中心的工作
腾讯安全中心的工作
加固:移动终端安全模块
腾讯安全中心的工作
预研:移动终端安全研究联合团队
移动终端安全的未来
广告时间
如果你发现腾讯产品安全漏洞,欢迎参加漏洞奖励计划 security.tencent.
欢迎有志于从事互联网安
全的同学加入我们 简历给我 mrhupo@qq.
作文六:《无线互联网安全》900字
互联网最初很少或根本没有安全的概念。作为政府开办的学术研究试验平台,用户利用这个平台在社区间进行合作,没有人去考虑去损害他人的可能性。在20世纪90年代初期到中期,互联网的商业化造成了日益增多的潜在的敌对行为,这些行为被各种有害的利害关系所推动:不劳而获的对利润的欲望,通过破坏去证明技术威力的需要,等等。90年代末广泛推广的价格低廉的无线接人互联网为这种破坏提供了更多的机会。与有线连接不同,无线连接没有物理限制。因此物理安全措施对终端连接到有线网络的端点是有效的,但是对无线连接却无效。一些初期的保证无线连接安全的尝试起到了相反的效果:虽然提供貌似安全的外观,而实际上却把终端用户暴露在复杂的攻击之下。因此,无线网络安全已成为一个重要的技术课题有待去研究、开发和标准化。
本书从网络架构的开发和加密算法的工具基础出发,站在系统架构的角度阐述无线网络安全问题。重点是了解在无线互联网系统中广泛使用的现有互联网安全协议的系统架构,以及发展和改变网络架构去面对新的威胁。
本书包括7章:1.安全性基础;2.网络系统体系结构基础;3.加密算法和安全基元;4.无线IP网络的访问控制;5.当地IP子网的配置和地址解决方案安全性,6.全球IP移动性的安全;7.位置隐私。本书首先介绍了无线网络的安全威胁,对付这些威胁的安全服务,网络系统功能架构的定义过程这些主题。在给出了加密算法的例子之后,作者接着讨论了无线互联网安全系统的其它例子,如无线网络访问控制,当地的IP子网的配置和地址解析、IP移动性和位置的隐私等。每章介绍了所讨论系统的基本网络结构和协议,面临的安全威胁,减轻威胁的安全体系的功能架构,以及去实现该架构的重要的互联网协议。本书是电气工程和计算机科学专业大学生以及无线网络行业的工程师和系统架构师的理想参考书。
作者詹姆斯?肯普福是美国DoCoMo的实验室的研究员,自从1983年于美国亚利桑那大学被授予系统工程博士学位以来一直活跃在系统和软件的研究领域。之前,肯普福博士供职于Sun微系统公司13年,在那里他参与了各种研究项目。其中包括在1994年研发了基于SPARC的支持早期802.11协议的平板电脑。他的研究兴趣包括无线互联网的安全、新的互联网架构、无线终端的沉浸式用户界面等。
张文涛,助理研究员
作文七:《互联网安全审计系统》10600字
互联网安全审计系统V2.25
互联网安全审计系统
(V2.25)
技
术
白
皮
书
第 1 页 共 16 页
互联网安全审计系统V2.25
目 录
1(产品简介 ....................................... 3
1.1产品概述 .......................................................................... 3
1.2功能简介 .......................................................................... 3 2(系统架构 ....................................... 5
2.1系统组成 ........................................... 错误~未定义书签。6
2.2系统架构 ........................................... 错误~未定义书签。7 3(产品功能 ....................................... 5
3.1行为审计功能.................................................................... 5
3.2内容审计功能.................................................................... 7
3.3流量审计功能.................................................................... 8
3.4管理控制功能.................................................................... 8
3.5定制黑白名单.................................................................... 8
3.6审计数据查询功能 ............................................................. 8
3.7报表分析功能.................................................................... 8
3.8用户及角色管理功能 ......................................................... 9
3.9数据备份功能................................................................... 10
3.10在线升级功能 ................................................................. 10
3.11其他功能 ........................................................................ 10 4(产品特点 ...................................... 11
4.1审计协议丰富................................................................... 11
4.2外发(接收)数据审计功能强大 ....................................... 11
4.3管理策略可精细定制 ........................................................ 11
4.4审计对象管理灵活 ............................................................ 13
4.5自身安全性 ...................................................................... 13
4.6内置强大过滤库 ............................................................... 14
4.7辅助功能齐全................................................................... 14 5(系统信息 ...................................... 14
5.1硬件信息 ......................................................................... 14
5.2技术指标 ......................................................................... 15 6(服务支持 ...................................... 15
第 2 页 共 16 页
互联网安全审计系统V2.25 1(产品简介
1.1产品概述
中科新业互联网安全审计系统网络哨兵V2.25(以下简称“网络哨兵2.25”)是深圳市中科新业信息科技发展有限公司自行研制开发的新一代互联网安全审计系统。网络哨兵2.25通过旁路侦听的方式对内部网络连接到互联网(以下称“互联网”)的数据流进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,发现对互联网滥用,过滤不良信息,并对上网的相关行为、发送和接收的相关内容进行控制、存储、分析和查询。
随着人们对互联网的使用越来越普及,互联网给我们带来许多方便的同时,也带来了许多风险和挑战,例如:在工作时间发送即时信息等滥用互联网活动而产生的效率成本过高;大量员工有收听在线音乐、观看在线视频剪辑,P2P下载等消耗大量带宽的活动;员工利用互联网泄露公司敏感和机密信息;未成年人访问含有不良信息的网站;少数人利用互联网发布和传播不利于社会稳定言论;这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求,中科新业互联网安全审计系统网络哨兵2.25正是在这样的需求下产生的。中科新业凭借在安全审计领域多年的技术积累和研发经验,在成功开发网络哨兵2.0基础上,推出了适用于多种网络环境的互联网安全审计系统。它通过先进的“零驱动”网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善分类的URL过滤库分类网址和管理规则,帮助用户应对来自互联网的风险和挑战。
1.2功能简介
作为互联网安全审计系统,网络哨兵2.25主要用于对互联网上网行为和
第 3 页 共 16 页
互联网安全审计系统V2.25 内容的事后查询和分析,并具有功能强大的对多种上网行为和内容的管理功能。网络哨兵2.25部署于内部网络到互联网的连接处,对整个内部网络客户机的上网行为和内容进行审计和管理。如网页浏览、收发邮件、聊天、音视频、游戏等。
功能体现:
, 审计和控制上网行为,实时追踪记录;
, 审计和控制员工外发数据内容,防止公司资料泄密;
, 减少员工因互联网活动所带来的法律责任风险;
, 优化使用 IT 资源,包括带宽和计算机资源;
, 实施因特网和应用程序使用策略;
, 通过配置合理的策略,禁止网络滥用,提高员工效率; 1.3应用领域
企业网络管理中心;
; 学校教育行业网络管理部门
政府机关网络管理部门;
公安、保密、安全机关等国家授权的网络安全监察部门;
金融、电信、电力、保险、海关、商检、司法机关等各行业网络管理中心;
Internet互联网及接入管理单位;
Internet服务提供商(各ISP、ICP);
其他任何要求对互联网进行安全审计的单位与部门;
第 4 页 共 16 页
互联网安全审计系统V2.25 2(系统架构
示意图1 网络哨兵2.25基本部署示意图 3(产品功能
审计对象(用户):网络哨兵2.25所指的审计对象是指网络哨兵2.25逻辑上能够审计的计算机或者依赖于这些计算机的帐户,网络哨兵2.25可以设置多级组管理审计对象,并且在网络哨兵2.25内部可以按照多种方式来表示审计对象。
3.1行为审计功能
3.1.1网页浏览(HTTP协议)审计
网络哨兵2.25记录用户网页浏览的时间、URL地址、标题、源目的IP地址、源MAC地址、源目的端口、网址分类信息、机器名称、使用者;并且网络哨兵支持对指定的计算机和帐户访问的网页进行还原。
3.1.2搜索关键词审计
第 5 页 共 16 页
互联网安全审计系统V2.25
网络哨兵2.25支持对常见的搜索引擎进行搜索关键字审计,并且支持对搜索关键字进行排名。(系统支持的搜索引擎详见附件)
、SMTP、WEBMAIL、LOTUS、EXCHANGE)审计 3.1.3收发邮件(POP3
网络哨兵2.25记录用户收发邮件的时间、收发件人、主题、附件名、源目的IP地址、源MAC地址、源目的端口、机器名称、使用者。内容审计部分支持邮件的内容和附件审计,并且支持Webmail内容审计。(内容审计详见3.2内容审计功能)
3.1.4远程登录(TELNET协议)审计
网络哨兵2.25记录用户远程登录的时间、命令、源目的IP地址、源MAC地址、源目的端口、机器名称、使用者,并且可以根据用户设定的还原关键字,对TELNET内容进行还原。(支持内容还原的TELNET站点详见附件)
3.1.5文件传输(FTP协议)审计
网络哨兵2.25记录用户传输文件的时间、命令、文件传输名、源目的IP地址、源MAC地址、源目的端口、机器名称、使用者。
3.1.6 P2P协议审计
网络哨兵2.25可以审计通过P2P文件传输时种子链接所访问的URL,用户可以根据URL对种子文件进行封堵。(网络哨兵支持的P2P工具详见附件)
3.1.7音视频审计
网络哨兵2.25记录用户在线使用音视频开始时间、音视频协议、源目的IP地址、源MAC地址、音视频文件链接(根据此链接可以下载音视频文件)、机器名称、使用者。
3.1.8网络聊天(QQ、MSN、ICQ、YAHOO MESSENGER、网易泡泡、淘宝汪汪、UC、QQ聊天室私聊)审计
网络哨兵2.25记录用户聊天的时间、聊天工具、聊天帐号、源IP地址、
第 6 页 共 16 页
互联网安全审计系统V2.25 源MAC地址、机器名称、使用者。
3.1.9网络游戏审计
网络哨兵2.25记录用户网络游戏在线开始时间、结束时间、游戏时间段、源IP地址、源MAC地址、游戏名称、机器名称、使用者。(网络哨兵所支持的游戏种类详见附件)
3.2内容审计功能
3.2.1网页发贴和BBS发帖审计
网络哨兵2.25除记录用户网页浏览(行为审计)的所有信息外,还能记录通过网页发送信息(POST)的内容。(网页发帖和BBS发帖内容审计所支持的网站详见附件)
3.2.2收发邮件内容审计
网络哨兵2.25除记录用户收发邮件(行为审计)的所有信息以外。还能记录收发邮件的抄送人、暗送人、邮件内容、附件内容。WEBMAIL不仅支持发送邮件内容的审计,还支持接收邮件内容的审计。(WEBMAIL内容审计支持的网站详见附件)
3.2.3聊天内容审计
网络哨兵2.25除记录用户网络聊天(行为审计)的所有信息以外。还能记录通过MSN、ICQ、YAHOO MESSENGER、QQ聊天室私聊的内容和通过聊天工具传输的文件。
3.2.4文件传输内容审计
网络哨兵2.25除记录用户文件传输(FTP行为审计)的所有信息外,还能记录包括BT在内的文件传输行为的传输方向,上传文件名,文件大小,状态,传输类型。
第 7 页 共 16 页
互联网安全审计系统V2.25 3.3流量审计功能
网络哨兵2.25能实时显示各个审计对象(组)、多种协议流量,并且支持对任意时间段内的机器进行流量排名,以图形显示输出。
3.4管理控制功能
网络哨兵2.25能够按照审计对象各种上网行为(内容)的审计信息灵活制定管理控制策略。如按照网页浏览中的URL关键字,目的IP地址,端口等设置是否允许网页浏览等。
3.5定制黑白名单
网络哨兵2.25可以按照用户的需要定制内外网黑白名单,加入内网黑名单的审计对象将不允许进行任何上网行为,一旦进行网络行为,连接将被中断;加入内网白名单的审计对象不执行任何审计管理策略;同样对加入外网黑名单的地址,不允许审计对象与其连接,一旦审计对象试图进行连接,连接将被中断;对加入外网白名单的地址的所有连接信息不进行审计管理。 3.6审计数据查询功能
用户可以按照不同的协议(行为和内容)在网络哨兵2.25通过相应关键字查询所需要的审计信息。如查询收发邮件行为的信息,即可以按照机器名称、使用者、时间、收件人、发件人、主题、附件名、源目的IP地址等查询
查询记录可导出为TXT、HTML、EXCEL等格式。
3.7报表分析功能
3.7.1统计排名
网络哨兵2.25支持多种排名统计报表:
, 网站排名:网络哨兵2.25对所有审计对象的网页访问行为进行统计,得出
指定时间段内的网站访问次数排名;
第 8 页 共 16 页
互联网安全审计系统V2.25 , 网址类型排名:网络哨兵2.25对所有审计对象的网页访问行为进行统计,
得出指定时间段内的网站类型访问次数排名;
, 流量排名、统计和分析:网络哨兵2.25对所有审计对象的总流量/流入流
量/流出流量进行统计、排名,并且可以统计指定审计对象的流量占总流量
/流入流量/流出流量的百分比,也可以统计指定审计对象各种协议所占流
量的百分比;
, BBS访问排名:网络哨兵2.25可以对所有审计对象访问BBS的行为进行统
计,并且可以按照BBS的访问次数对BBS进行排名;
, 搜索关键字排名:网络哨兵2.25可以对审计对象利用搜索引擎进行关键字
搜索的行为进行审计和统计,可以对搜索关键字进行排名。
3.7.2自定义报表
网络哨兵2.25提供丰富多样化的报表查询功能
, 按时间有:日报表,周报表,月报表,季报表,年报表;可以自定义统计
日期;可以自定义做报表的时间段;
, 可按照网络应用:网页次数,FTP次数,TELNET次数,邮件次数,游戏时间,游戏
次数,音视频时间,网络聊天时间,网络聊天次数,文件传输次数。 , 可按照操作结果;访问量(所有日志的条数),流量,报警,封堵,耗时型(游戏
时间、聊天时间、音视频时间之和),耗资源型(下载文件大小)。 , 按照审计对象可对单个机器、组(可以包括子组)、用户、用户组生成报表; , 已经生成的报表界面内,可以按照需要生成不同形状的报表:柱状图,横向
图,柱状均势图,折线图,折线填充图,饼状图,平面饼状图。
, 用户可以自定义报表标题,报表类型,报表时间,报表对象。
, 报表可以导出为TXT、HTML、EXCEL等格式。
3.8用户及角色管理功能
网络哨兵2.25具有强大的用户和角色管理功能。管理员可以根据需求为不同的用户分配不同的角色,不同的角色可以设置有不同的权限,同时可以定义角色能够管理的审计对象(组)的范围。
第 9 页 共 16 页
互联网安全审计系统V2.25
如按照公司的行政管理模式设置公司管理员、部门管理员,公司管理员可以管理整个公司的审计对象、查看整个公司的审计信息,部门管理员只能管理本部门的审计对象、查看本部门的审计信息。
提示:用户使用以上不同的功能需要在网络哨兵2.25内有相应的权限 3.9数据备份功能
, 网络哨兵2.25提供多种数据备份方式,可以备份全部数据,也可以只备份
管理数据或者业务数据;
, 数据备份的时间可以灵活设置:按日备份、按周备份、按月备份,用户可
以设置备份的时间点;
, 数据备份的目标也可以灵活设置:可以备份到本地,也可以备份到FTP服
务器(可以设定FTP服务器的地址)
3.10在线升级功能
网络哨兵支持3种升级方式:
, 服务器升级:可以手动检测升级服务器上是否具有最新的升级包; , 本地升级:可以将升级包上传到网络哨兵实现自动升级; , 自动更新:网络哨兵界面每次运行,都会自动连接升级服务器,查找并安
装最新的更新程序。
3.11其他功能
, 系统支持简体中文、繁体中文、英文三种语言;
, 系统运行日志:网络哨兵2.25能够完整记录下每一个用户的每一次登陆所
执行的动作;
, 内置强大的过滤库:网络哨兵2.25集成国内最强大的过滤库系统,过滤库
分类齐全(10个大类、80多个小类)、网址丰富(400多万个网站、其中包
含140多万个黄赌毒邪非法网站,共1亿多条网址),并且支持过滤库的自
定义。
第 10 页 共 16 页
互联网安全审计系统V2.25 4(产品特点
4.1审计协议丰富
网络哨兵2.25可以对基于HTTP(WEB,POST)、FTP、BT、邮件(SMTP,POP3,WEBMAIL、LOTUS、EXCHANGE)聊天(QQ、MSN、ICQ、网易泡泡、YAHOO MESSENGER、UC、淘宝、QQ聊天室私聊)、TELNET、游戏、音视频、P2P等协议的行为进行记录。
4.2外发(接收)数据审计功能强大
网络哨兵2.25能通过SMTP、POP3协议收发的邮件内容及附件进行审计,也可以对通过网页收发的邮件内容及附件进行审计,还可以对通过网页发送的其他数据内容进行审计;对于聊天:网络哨兵2.25能审计通过ICQ、MSN、网易泡泡、YAHOO MESSENGER、QQ聊天室私聊等聊天工具发送的即时信息内容和文件,同时还能审计其他如FTP(等工具)上传文件的文件内容。最大限度的保证内部敏感信息不能通过互联网外泄。
4.3管理策略可精细定制
, 时间段控制策略
控制每一种上网行为在从周日到周六任意的时间段,在允许的时间段内对应的上网行为可以正常进行,在禁止的时间段系统对对应的上网行为采用封堵策略;
, IP控制策略
对网络连接的源/目的IP进行控制,限制到指定IP/IP地址段的连接,设立外网黑/白名单,对来自黑/白名单地址的连接分别应用不同管理控制策略;针对每一种上网行为的目的IP设立对应过滤策略库进行控制;
, 端口控制策略
通过封堵指定端口限制对应的上网行为;
只开放指定端口库里的端口;
第 11 页 共 16 页
互联网安全审计系统V2.25
禁止使用指定端口库里的端口;
, 网页浏览过滤策略
只允许访问包含关键字的URL;
过滤含有关键字的URL;
是否允许通过IP访问网页;
搜索关键字过滤;
基于URL过滤库进行分类过滤;
禁止下载指定后缀名的文件;
禁止下载超大文件;
是否记录通过网页上传的内容(网页发帖或从网页上传文件);
禁止网页上传过多内容或超大文件;
, 邮件控制策略
只允许使用指定的邮件服务器收发邮件; 定义敏感邮箱地址,禁止向敏感邮箱地址发送邮件; 是否记录不超过特定大小的发送/接收邮件内容; 是否记录发送/接收邮件的附件;
禁止发送/接收超大邮件;
, 网络聊天控制策略
是否允许MSN、ICQ、YAHOO、UC传输文件; 是否记录MSN、ICQ、YAHOOA、UC的聊天内容; , 文件传输控制策略
只能/禁止从指定的FTP服务器上传/下载文件; 限制可传输的文件的大小;
记录上传文件内容;
禁止上传或下载超大文件;
, 远程登录控制
是否记录远程登录的行为;
只能/禁止远程登录到指定服务器;
设置远程登录还原的关键字;
第 12 页 共 16 页
互联网安全审计系统V2.25 , BT下载控制
禁止访问BT相关URL;
禁止访问常见的BT服务器地址;
, 报警设置
可以按照网页、邮件、聊天内容关键字报警;
可以设置接收报警信息的邮件地址和聊天帐号;
4.4审计对象管理灵活
, 自动解析所有审计对象的机器名、获得对象的IP地址、MAC地址; , 手动绑定审计对象的IP与MAC地址;
, 根据用户组织结构或IP地址分配特点划分不同的审计对象组; , 支持用户域认证和哨兵本地认证,支持按照用户帐号进行管理; , 系统启动后,对应组里的审计对象将被自动分配到该组中; , 通过使用“使用者”,系统管理员等可以以直观的人名来管理机器等信息; , 系统管理员可以对审计对象部分信息进行手动修改;
, 系统可以在组中对审计对象进行添加、删除或更改机器组的操作; , 系统管理员可以把审计对象分别添加到黑名单与白名单中,并应用不同的
审计管理策略;
, 系统可以在全局、本地、审计组以及单个审计对象四个级别部署对应审计
控制策略;
4.5自身安全性
, 网络哨兵2.25采用多种措施保障产品自身的安全性;
, 基于Linux内核定制的安全操作系统;
, 网络哨兵2.25探测引擎抓包口采用无IP技术,管理口可通过专用网络连
接到管理机;
, 数据通过SSL加密传输;
, 多种权限设置,保证不同的权限完成不同的操作,同时对各种操作进行详
细的审计;
, 能够限制/开放指定的地址访问网络哨兵。
第 13 页 共 16 页
互联网安全审计系统V2.25 4.6内置强大过滤库
集成国内最全的网页分类过滤库,针对每一类网站的访问行为进行控制,过滤不良网页;网络哨兵拥有专业的分类URL过滤库,包含400万个站点以上记录,含有超过一亿以上的网页,其中不良信息库(即黄、赌、毒、邪类)有一百四十万条以上。
同时具备过滤库实时自动更新功能。(需要网络的支持) 4.7辅助功能齐全
, 数据自动清除。
根据用户设定的数据保留时间和硬盘的利用率进行数据的自动清除。如果用户设定三个月的数据保留时间,系统将清除三个月以前的数据,如果硬盘不能保存三个月的数据,则根据硬盘使用情况进行提前清除,保证系统正常运转。 , 数据导出
如果用户需要备份较早的数据,则用户可以在界面上导出较早的数据,此数据的安全性由用户自行维护。
5(系统信息
5.1硬件信息
网络哨兵2.25采用专用的服务器:
操作系统 基于优化的的Linux系统
处理器 P4/2.4G
内存 1G
存储空间 不低于75G
网络接口 4个10/100M RJ45口
其他接口 1个串口 9600 RJ45口
尺寸规格 1U标准19”
第 14 页 共 16 页
互联网安全审计系统V2.25
电磁兼容性 国家标准Class A 以上
操作温度 0?,45?
存储温度: -20?,80?
相对湿度: 0%,95%
提示:其他型号配置略有不同
5.2技术指标
网卡最大捕包速度 50000—120000pps(每秒数据包)
支持最大网络带宽 百兆/千兆
数据保存时间 最少60天(不记录审计内容)
提示:其他技术指标请和你最近的服务支持联系
6(服务支持
深圳市中科新业信息科技发展有限公司
技术支持:0755-86185185
市场热线:0755-86185191 86185192 86185193 传真: 0755-86185178
地址:深圳市南山区高新区科技中二路软件园6栋3层
邮编:518057
深圳市中科新业信息科技发展有限公司北京办事处
地 址:北京市海淀区西三环北路50号豪柏公寓B1座2201室 邮 编:100044
电 话:010-51901281 010-51901282/51901283-808 传 真:010-51901282-806
E - mail: yuanw@seentech..
第 15 页 共 16 页
互联网安全审计系统V2.25
深圳市中科新业信息科技发展有限公司广州办事处 地 址:广州市天河区天河路351号外经贸大厦3003室 邮 编:510620
电 话:020-22644460 13798050007 传 真:020-22645156
E - mail:xuel@seentech..
深圳市中科新业信息科技发展有限公司上海办事处 地 址: 上海市虹口区惠民路95号
邮 编: 200082
电 话: 021-29616908
E - mail:zhangy@seentech..
深圳市中科新业信息科技发展有限公司佛山办事处 地 址: 佛山市禅城区大福路8号10座202 邮 编: 528000
电 话: 0757-83998886
深圳市中科新业信息科技发展有限公司杭州办事处 地 址: 杭州市拱墅区文晖路大塘新村1栋102 电 话: 0571-88051400
E-mail: wuwx@seentech..
第 16 页 共 16 页
作文八:《互联网安全责任书》3800字
互联网安全责任书
成立信息网络安全组织~制定信息安全管理制度~应当有指定的计算机安全管理责任人和信息安全审查员~且该岗位人员应参加公安网监部门认可的计算机安全员培训且取得安全技术培训合格证书~并向公安机关备案~实行信息安全管理人员责任制:以下内容是本站小编为您精心整理的关于互联网网络信息安全的责任书~欢迎参考:
互联网安全责任书 为明确各互联网接入单位(ISP)、互联网数据中心(IDC)、互联网信息服务单位(ICP)~联网单位和开展托管主机、虚拟空间服务的单位应履行的安全管理责任~确保互联网络与信息安全~营造安全洁净的网络环境~根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定~责任单位应落实如下责任:
一、自觉遵守法律、行政法规和其他有关规定~接受公安机关监督、检查和指导~如实向公安机关提供有关安全保护的信息、资料及数据文件~协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
二、不利用国际联网危害国家安全、泄露国家秘密~不侵犯国家的、社会的、集体的利益和公民合法权益~不从事
1 / 9
违法犯罪活动~不利用国际联网制作、复制、查阅和传播法律法规规定的各类有害信息。不从事危害计算机信息网络安全的活动。
三、在网络正式联通后的三十日内~或变更名称、住所、法定代表人或主要负责人、网络资源或者经营活动发生变更~到公安机关办理备案或进行补充、变更备案登记;
四、建立和完善计算机网络安全组织:
1、建立信息网络安全领导小组~确定安全领导小组负责人和信息网络安全管理责任人;
2、制定并落实安全领导小组负责人、安全管理责任人岗位责任制;
3、配备与经营规模相适应的计算机信息网络安全专业技术人员~必须经过公安机关组织的安全技术培训~考核合格后持证上岗~并定期参加信息网络安全专业技术人员继续教育培训;
4、保持与公安机关联系渠道畅通~自觉接受公安机关网监部门业务监督检查;
5、制定网络安全事故应急处置措施。
五、建立安全保护管理制度:
1、信息发布审核、登记制度;
2、信息监控、保存、清除和备份制度;
3、病毒检测和网络安全漏洞检测制度;
2 / 9
4、违法案件报告和协助查处制度;
5、电子公告系统用户登记制度;
6、帐号使用登记和操作权限管理制度;
7、安全教育和培训制度;
8、其他与安全保护相关的管理制度。
六、建立和健全以下信息网络安全保护技术措施:
1、互联网接入单位应提供网络拓扑结构和IP地址及分配使用情况。
2、在计算机主机、网关和防火墙上建立完备的系统运行日志~日志保存的时间至少为60天。
3、用户上网行为审计日志保存60日以上~包括登陆帐号、登陆时间、源IP地址、目的IP地址、连接时间、、登陆行为等信息记录。
4、具有信息安全审计或预警功能~有害信息封堵、过滤功能
5、开设邮件服务的~具有垃圾邮件清理功能;
6、开设交互式信息栏目的~具有身份登记和识别确认功能;
7、计算机病毒、网络攻击等防护功能;
8、关键字过滤技术;
9、其他保护信息和系统网络安全的技术措施。
七、本责任书自签署之日起生效。
3 / 9
责任单位(盖章):
法人代表(签字):
签署日期:
互联网安全责任书 为进一步加强网络安全管理~落实安全责任制~严防网络安全事故的发生~共同营造安全和谐的网络信息环境~根据《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法规规定~特制定本责任书。
一、不利用互联网危害国家安全、泄漏国家秘密~不侵犯国家、社会、集体的利益和公民的合法权益~不从事犯罪活动。
二、不利用互联网制作、复制、查阅和传播下列信息:
1.煽动抗拒、破坏宪法和法律、行政法规实施的;
2.煽动颠覆国家政权~推翻社会主义制度的;
3.煽动分裂国家、破坏国家统一的;
4.煽动民族仇恨、民族歧视~破坏民族团结的;
5.捏造或者歪曲事实~散布谣言~扰乱社会秩序的;
6.宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖~教唆犯罪的;
7.公然侮辱他人或者捏造事实诽谤他人的;
8.损害国家机关信誉的;(消防安全责任书)
9.其他违反宪法和法律、行政法规的。
4 / 9
三、不从事下列危害网络信息安全的行为:
1.制作或者故意传播计算机病毒以及其他破坏性程序;
2.非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序;
3.法律、行政法规禁止的其他行为。
四、严格遵守国家有关法律法规~做好本部门信息网络安全管理工作~对发布的信息进行实时审核~发现有以上所列情形之一的~应当保留有关原始记录并在24小时内向XXXX报告。在工作中~服从监督~对出现重大事故并造成重大损失和恶劣影响的~承担由此引起的一切法律责任~并将依法追究部门负责人的管理责任。
五、本责任书的执行情况纳入年度绩效考核。签订本责任书的责任人工作如有调整~继任者承担本责任书的责任。
XXXXXXX责任单位:
负责人:
XXXX年XX月XX日
互联网安全责任书 根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定~凡是在宁波市行政区域范围内的互联网站均应履行以下法定义务:
5 / 9
一、物理地址建立在宁波市行政区域内的互联网站的任何单位和个人在互联网站开通后的三十日内~到宁波市公安局网上备案管理系统联网单位部分进行备案登记;
二、成立信息网络安全组织~制定信息安全管理制度~应当有指定的计算机安全管理责任人和信息安全审查员~且该岗位人员应参加公安网监部门认可的计算机安全员培训且取得安全技术培训合格证书~并向公安机关备案~实行信息安全管理人员责任制;
三、 互联网站要落实以下网络信息安全保护管理制度:
1、信息发布审核、登记制度;
2、信息巡视、保存、清除和备份制度;
3、落实违法案件报告和协助查处制度~实行24小时信息安全值班制度~发现有害信息及时上报公安机关~与公安机关网监部门建立网上违法犯罪案件协助配合调查的工作程序;
4、建立用户发布信息责任公告制度和有害信息用户举报渠道~配合公安机关开展网上公开管理~在网站首页、论坛、聊天室等按《宁波市互联网公开管理工作中“报警岗亭”和“虚拟警察”形象设置的相关要求》放置“报警岗亭”和“虚拟警察”;
5、落实帐号使用登记~并向公安机关提供管理员帐号~以便公安机关快速处置网上有害信息和违法案件;
6 / 9
6、建立信息安全管理人员教育和培训制度~定期参加公安网监部门组织的安全员培训班;
7、专职人员信息审核制度;
8、制定信息网络安全突发事件应急预案;
9、定期进行病毒检测和网络安全漏洞检测~并对计算机信息网络安全评估~及时发现信息安全隐患并采取整改措施;
10、落实计算机网络安全事件、事故报告制度~发现危害信息网络或者危害信息系统安全的行为~应当保存相关记录~并向公安机关报告~当发生危害社会稳定、互联网安全的重要事件时~及时配合公安机关采取暂时中断连接、中止服务的措施;
11、法律、法规和规章规定应当落实的其他与安全保护工作相关的管理制度。
四、互联网站要建立和健全以下信息网络安全保护技术措施:
1、网站所使用的互联网信息服务系统要符合公共安全行业标准(即互联网信息服务系统安全保护技术措施)的相关技术要求和通讯标准;
2、在公共信息服务中发现、停止传输违法信息~并保留相关记录;
3、开办门户网站、新闻网站、电子商务网站的~能够
7 / 9
防范网站、网页被篡改~被篡改后能够自动恢复;
4、开设交互式信息栏目的~需记录并留存用户注册信息~用户登录和退出的互联网地址、账号、时间和发布的信息~并至少保存六十天记录备份~对发布的文字信息以及图片、音频、视频等多媒体信息要求严格把关发布的信息内容~落实信息先审后发制度和关键字实时过滤技术措施~保存并及时将过滤的信息统一发送到公安机关指定邮箱;
5、开设邮件服务的~需能够记录用户登陆时间、IP、行为(收、发内容)和涉及对象~落实关键字过滤措施~具有基于邮件信头、内容和附件的关键字(地址、特征字符串)过滤功能~并具有阻断突发性大量有害垃圾电子邮件的功能~保存并及时将过滤的信息统一发送到公安机关指定的邮箱~如果是提供公众电子邮件服务~必须安装专业的反有害垃圾电子邮件系统;
6、防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
7、重要数据库和系统主要设备的冗灾备份措施;
8、系统时钟统一~采取核对北京时间的措施;
9、针对提供服务种类的不同~提供信息服务的单位应按其提供的服务种类落实相应的安全保护技术措施和安全管理制度(详细参见《宁波市互联网信息服务单位安全管理细则》);
8 / 9
10、法律、法规和规章规定应当落实的其他安全保护技
术措施。
甲方:宁波市公安局 乙方:
(公章) (公章)
代表签字: 代表签字:
日期: 日期:
9 / 9
作文九:《互联网安全防护要求》19400字
ICS 35(110
M 11
Y口
中华人民共和国通信行业标准
YD厂r 1 736-
代替YD厂r 2009
1736-2008
互联网安全防护要求
for internetSecurity protection requirements
2009—12—11发布 20lO-Ol-Ol实施
中华人民共和国工业和信息化部发布
YD厂厂1 736-2009
目 次
前言 II l范围 l
2规范性引用文件13术语和定义 1 4缩略语 3 5互联网安全防护概述 3
5(1互联网安全防护范围 3
5(2互联网安全防护内容 4
6互联网定级对象和安全等级确定 4
7互联网资产、脆弱性、威胁分析 5 7(1资产分析 5 7(2脆弱性分析 5 713威胁分析 6 8互联网安全等级保护要求 7
8 l第1级要求 7 8(2第2级要求 7 8(3第3 1级要求 11 8(4第3(2级要求 14
8(5第4级要求 - ”14 8(6第5级要求 - ”14 9互联网灾难备份及恢复要求 14
9(1互联网灾难备份及恢复等级要求 14 9(2第l级要求 14 9(3第2级要求 14 9(4第3(1级要求 15 9(5第3(2级要求 16 9(6第4级要求 16 9 7第5级要求 16
17 参考文献
1 YD厂r 736-2009
前 言
本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下
1( 《电信网和互联网安全防护管理指南》
2( 《电信网和互联网安全等级保护实施指南》3( 《电信网和互联网安全风险评估实施指南》 4( 《电信网和互联网灾难备份及恢复实施指南》 5 《同定通信网安全防护要求》 6( 《移动通信网安全防护要求》
7( 《互联网安全防护要求》(本标准)
8 《增值业务网一消息网安全防护要求》 9( 《增值业务网一智能网安全防护要求》 10( 《接入网安全防护要求》
11 《传送网安全防护要求》 12 《IP承载网安全防护要求》
13( 《信令网安全防护要求》
14( 《同步网安全防护要求》
15( 《支撑网安全防护要求》
16 《非核心生产单元安全防护要求》
17 《电信网和互联网物理环境安全等级保护要求》 18( 《电信网和互联网管理安全等级保护要求》 19( 《固定通信网安全防护检测要求》
20( 《移动通信网安全防护检测要求》
21( 《互联网安全防护检测要求》
22( 《增值业务网一消息网安全防护检测要求》 23( 《增值业务网一智能网安全防护检测要求》 24 《接入网安全防护检测要求》
25( 《传送网安全防护检测要求》
26( 《口承载网安全防护检测要求》
27( 《信令网安全防护检测要求》 28( 《同步网安全防护检测要求》
29( 《支撑网安全防护检测要求》
30( 《非核心生产单元安全防护检测要求》 31( 《电信网和互联网物理环境安全等级保护检测要求》 32( 《电信网和互联网管理安全等级保护检测要求》 33( 《域名系统安全防护要求》
II
YDfl 1736-2009 34( 《域名系统安全防护检测要求》
35( 《网上营业厅安全防护要求》
36( 《网上营业厅安全防护检测要求》
本标准与YD厂r 1737—2009《互联网安全防护检测要求》(恸,TYDCr 1737—2008《互联网安全防护检测要求》)配套使用。
本标准是YD,r 1736—2008《互联网安全防护要求》的修订版本。本标准与YD仃1736-2008的主要差
异在于: 1(本标准的第2章“规范性引用文件”中补充和更新了标准正文中引用的规范文件。 2本标准的第4章“缩略语”中补充和更新了标准正文中适用的缩略语。 3-本标准的第5章“互联网安全防护概述”中增加了“互联网安全等级保护”相关“业务及应用系
统安全”要求的内容和说明。 4t本标准的第7章“互联网资产、脆弱性、威胁分析”中增加了‘‘环境和设施”类资产及其主要产说明。 资
5本标准的第8章“互联网安全等级保护要求”中修改和补充了安全等级保护相关要求和内容,主 要涉及8(2节、8(3书-。其中,“业务及应用安全要求”部分增加了‘‘互联网虚拟专用网服务,,相关内土要涉及8(2(1(6节、8(3(1 6节;增加了“业务及应用系统安全要求’’相关内容,主要涉及8(2(2节、容,
8(3(2节:修改了“设备安全要求”相关内容,主要涉及8(2(3(2节、8 3 3 2节;增加了“物理环境安全要求,,的树
2(4节、8(3 内容,主要涉及8 4节:删除了“移动互联网信息服务安全要求?桕关内容,主要涉及原8 2 关 1 7 节、原8(3(1(7 节。 随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:工业和信息化部电信研究院、中国电信集团公司、中国移动通信集团公司、中幽
联合网络通信集团有限公司。
本标准主要起草人:杨剑锋、杨洋、田慧蓉、赵阳、刘楠、李金玉、杜之亭、张云勇。 本标准于2008年1月首次发布,本次为第一次修订。
I?
YD厂r 1736—2009
互联网安全防护要求 1范围
本标准规定了互联网业务及应用系统在安全等级保护、安全风险评估、灾难备份及恢复等方面的安 全防护要求。 本标准适用于互联网业务及应
用系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YDfT 1728—2008电信网和互联网安全防护管理指南
YD,T 1729—2008 电信网和互联网安全等级保护实施指南
yD(rI'1730—2008 电信网和互联网安全风险评估实施指南
yD,rI'1731-2008电信网和互联网灾难备份及恢复实旌指南
YD,T 1742—2008接入网安全防护要求
YD,T 1744--'2007传送网安全防护要求
YD,T 1746-2008 IP承载网安全防护要求
YD,T 1754-2008 电信网和互联网物理环境安全防护要求
YD,T YD1756—2008电信网和互联网管理安全防护要求
2052—2009域名系统安全防护要求 ,TYD,T 1658—2007宽带网络接入服务器安全技术要求
YD,T 1045—2000网络接入服务器技术规范 YD,T 1392—2005无线应用协议(WAP)网关设备技术要求
YD,T 131l一2004防范互联网垃圾电子邮件技术要求
YDN 增值电信业务网络信息安全保障基本要求 126-2009 3术语和定义
下列术语和定义适用于本标准。
3(1( 1 of Internet互联网相关系统systems
组成互联网的相关系统,包括接入网、传送网和口承载网等。其中,接入网包括各种有线、无线和 卫星接入网等,传送网包括光缆、波分、SDH和卫星等。
3(1(2 classification of Internet 互联网安全等级security
互联网及相关系统重要程度的表征。重要程度从互联网及相关系统受到破坏后,对国家安全、社会 秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
1 YD厂r 73昏(2009 3(1(3
互联网安全等级保护classified of Intemet security protection
对互联网及相关系统分等级实施安全保护。
3(1(4 组织Organization
由互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构。组织的特性在于为完 成目标而分工、合作;一个单位是一个组织,某个业务部门也可以是一个组织。
3(1(5 risk of Internet互联网安全风险security
人为或自然的威胁可能利用互联网及相关系统中存在的脆弱性导致安全事件的发生及其对组织造成 的影响。 3(1(6 dsk assessment of Intemet 互联网安全风险评估security
运用科学的方法和手段,系统地分析互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全 事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全措施,防范和化解互联 网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障互联网及相关系统的安全提供 科学依据。
3 1(7
of Intemet 互联网资产asset
互联网及相关系统中具有价值的资源,是安全防护体系保护的对象。互联网及相关系统中的资产可 能以多种形式存在,如无形的和有形的或硬件和软件,包括物理布局、通信设备、物理线路、数据、软 件、文档、规程、业务、人员和管理等各种类型的资源,如口承载网中的路由器、传送网的网络布局。 3(1(8
of 互联网资产价值asset value Internet
互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性,也是进行资产识别的主 要内容, 3(1(9
互联网威胁threat of Internet
可能导致对互联网及相关系统产生危害的不希望事故潜在起因,它可能是人为的,也可能是非人为 的;可能是无意失误,也可能是恶意攻击。
3(1(10 of Internet互联网脆弱性vulnerability
互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对互联网资产造成危害,但可能被互联 网威胁所利用从而危害互联网资产的安全。
3(1(11
of Intemet互联网灾难disaster
2
YD厂r 1 736-2009 由于各种原因,造成互联网及相关系统故障或瘫痪,互联网及相关系统支持的业务功能停顿或服务 水平不可接受、达到特定的时间的突发性事件。
3(1(12 for disaster of Internet 互联网灾难备份backup recovery
为了互联网及相关系统灾难恢复而对相关网络要素进行备份的过程。
3(1(13 of Internet互联网灾难恢复disaster recovery
为了将互联网及相关系统从灾难造成的故障或瘫痪状态恢复到正常运行状态或部分正常运行状态、 并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。 4缩略语 下列缩略语适用于本标准。
ASP Service Provider 应用服务提供商 Application
CDN Content Network 内容分发网络 Delivery
DDoS Distributed Denial of Service 分布式拒绝服务
DoS Denial of Service 拒绝服务
DNS Domain Name 域名系统System
File Transfer Protocol FTP文件传输协议
Text Transfer m’rP Protocol 超文本传输协议 Hyper
Provider ICPInternet 互联网内容提供商 Content
IDC Internet Data Center 互联网数据中心
IP Internet Protocol 网际协议
POP3 Post Office Protocol v3 邮政代理协议第3
SIP Session Initiation Protocol 会话初始化协议 版 SMTP Mall Transfer Protocol 简单邮件传输协议 Simple
VPN Virtual Network 虚拟专用网 Private
WAP Wireless Protocol 无线应用协议Application
5互联网安全防护概述
5(1 互联网安全防护范围
互联网泛指包括广域网、局域网及终端(如个人计算机终端、移动手机终端)等在内的,通过数据 网络设备(如交换机、路由器)、接入设备(如宽带网络接入服务器、WAP网关)等基于一定的通讯协 议连接形成的,功能和逻辑上的大型网络。
目前我国(国内)互联网业务主要包括互联网域名服务、互联网数据中心、互联网接入服务、互联 网信息服务(如互联网信息浏览服务、互联网信息发布服务、互联网电子邮件服务、互联网用户通信服 务等)、互联网虚拟专用网服务、在线数据处理与交易处理等。
互联网安全防护范围包括互联网各类业务和应用系统、以及与各类业务和应用接入、承载、传输等相关的互联网相关系统。互联网相关系统组成如图1所示。
YD厂r 1 736- 2009
图1互联网相关系统
本标准主要对互联网业务及应用系统提出安全防护要求,随着互联网业务及应用的发展,本标准将
1742-2008,传送网安全防护的具 不断补充完善。互联网相关系统中接入网安全防护的具体要求见YD,T
1746-2008。体要求见YDfr 1744-2009,IP承载网安全防护的具体要求见YD,T
512互联网安全防护内容
根据YD,T 1728-2008中电信网和互联网安全防护体系的要求,本标准的互联网安全防护内容分为安 全等级保护、安全风险评估和灾难备份及恢复等3个部分:
?互联网安全等级保护 主要包括定级对象和安全等级确定、业务及应用安全、业务及应用系统安
全、设备安全、物理环境
安全和管理安全等。 业务及应用安全指互联网相关业务及应用实现、业务管理和控制等方面的安全要
求;业务及应用系
统安全指由特定的业务及应用主机、服务器及附属设备和链路等构成的互联网业务及应用系统在结构(如系统平台架构、系统内部拓扑)、功能(如系统管理功能、攻击防范能力)等方面的安全要求;设备安全 特指各类互联网业务及应用相关主机、服务器和系统数据库及业务相关接入设备的安全要求。互联网业 务及应用涉及的各相关系统(如接入网、承载网、传送网)网络安全、设备安全等方面要求参见各相关 系统安全防护要求的行业标准;物理环境安全指互联网相关业务及应用系统所处机房环境、辅助设施等 方面的安全要求:管理安全指互联网相关业务及应用相关管理制度、机构、人员等方面的安全要求。
?互联网安全风险评估 主要包括互联网业务及应用相关资产识别、脆弱性识别、威胁识别、已有安
全措施确认、安全风险
分析、安全风险评估文件处理等,本标准仅对互联网业务及应用系统进行资产分析、脆弱性分析、威胁 分析,在互联网业务及应用系统安全风险评估过程中对资产、脆弱性、威胁的赋值方法及资产价值、风
1730-2008。险值的计算方法见YD(Cr
?互联网灾难备份及恢复
主要包括互联网业务及应用相关灾难备份及恢复等级确定、针对灾难备份及恢复各资源要素的具体 实施等。 6互联网定级对象和安全等级确定 我国具有管辖权的互联网业务及应用系统的定级对象
为各个互联网业务及应用系统。
网络和业务运营商应根据YDTI"1729--2008附录A中确定网络安全等级的方法对各互联网业务及应用系统定级。针对各业务及应用系统,可根据相应的社会影响力、所提供服务的重要性、服务用户数的 大小进行定级,权重a、卢、y可根据具体业务及应用的情况进行调节。
4
YD厂r 1 736—2009 7互联网资产、脆弱性、威胁分析
7(1资产分析 互联网业务及应用系统的资产至少应包括设备硬件、设备软件、重要数据、提供的应用、文档和人 员等,见表1。 表1资产列 表分 类 主要资产 各类业务及应用涉及的主机、服务器和数据
库(如DNS服务器、Web服务器、电子邮件服务器等),各设备及链路 类业务及应用相关辅助设各(如安全过滤、入侵检测和防护设备),系统内部网络设各(如系统内部组
网路由器、交换机等设备)、系统内部链路
独立软件 有必要独立识别的软件(如,相关应用软件、数据库软件、业务控制和运维管理软件等) 保证互联网相
关业务和应用正常提供的数据和信息(如业务数据、系统配置数据、管理员操作维护记录、数据和信息 用户信息等) 互联网及有关业务系统可提供的各类业务及应用(如域名服务、接入服务、信息浏览和发布服务、电子 业务及应用邮件服务、多方通信服务、在线数据处理与交易处理等) 纸质以及保存在存储介质中的各种文件资料(如设计文档、技术要求、管理规定、工作计划、技术或财 文档和资料务报告、用户手册等)
人员 相关管理、维护、开发、数据备份人员等
环境和设施 业务及应用系统和设备所处的物理环境,机房、电力、防火、防水、防静电、温湿度控制等相关设施 7(2脆弱性分析 互联网业务及应用系统的脆弱性可以从技术脆弱性和管理脆弱性两个方面考虑。脆弱性识别对象应 以资产为核心。表2给出了主要的脆弱性识别内容。 表2脆弱性分析表
类 型 对 象 存在的主要脆弱性 相关服务器来进行合
理备份,重要数据未及时进行备份; 相关业务,应用协议存在漏洞,相 关服务器的应用代码存在漏洞、后f1;业务及应相关服务器存在过多不必要的开放端口;
用 相关服务器配置不合理,访问控制镱略存在漏洞;
相关服务器的日志功能没有启用或不够详细; 系统规划、设备部署、链路部署、资
源配置、业务保护和恢复能力、安全技术措施 和策略等方面的缺陷 相关设备存在硬件隐患或质量问题: 技术脆弱性相关设备的操作系统存在安全隐患; 相关口令不够复杂、合理或没有经常更新; 设备设备重要部件未配置主备用保护;
相关设备超过使用年限或核心部件老化;
相关设备发生故障后来及时告警 机房场 地选择不合理:物理环境 防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制不符合规范;
通信线路、相关服务器、主机等设备的保护不符合规范
表2 续』类 型 I 对 象 存在的主要脆弱性 安全管理机构方面:岗位设置
不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等: 安全管理制度方面:管理制
度不完善、制度评审和修订不及时等: 人员安全管理方面:人员录用不符合程序、
人员离岗未办理安全手续、人员未进行 安全培训、对于第三方人员未进行限制访问 等:管理脆弱性 建设管理方面:安全方案不完善、软件开发不符合程序、工程实施未进行安全验收
或验收不严格等: 运维管理方面:物理环境管理措施简单、存储介质使用不受限、设
备没有定期维护、 厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防
范措施、无数据备 份和恢复策略、访问控制不严格、操作管理不规范等,应急保障 措施不到位,灾难 恢复预案不完善7(3威胁分析
互联网业务及应用系统面临的威胁可分为技术威胁、环境威胁和人为威胁。环境威胁包括自然界不 可抗的威胁和其他物理威胁。根据威胁的动机,人为威胁又可分为恶意和非恶意两种。表3列举出互联 网主要面临的威胁。
表3威胁来源列 表来 源 主要威胁描述 相关主机和服务器、及系统网
络设备使用时间过长或质量问题等导致硬件故障: 系统链路发生故障;技术威胁 相关设各的操作系统软件、应用软件运行故障:
相关设各数据丢失或系统运行中断: 存储介质老 化或质量问题等导致不可用 断电、静电、灰尘、潮湿、温湿度异常、电磁干扰等; 物理环境环境威胁 意外事故或通信线路方面的故障
自然灾害 鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷击、闪电 不满的或有
预谋的内部人员滥用权限进行恶意破坏: 攻击者利用非法手段进入机房内部盗窃、
破坏等,攻击者非法物理访问相关设备、 存储介质等: 攻击者利用网络协议、操作 系统、应用系统漏洞,越权访问相关设备的文件、数据或其他资源; 恶意人员攻击者利用各种工具获取相关设备身份鉴别数据,并对鉴别数据进行分析和解剖,
获得鉴别信息,未授权访问应用系统,或非法使用相关文件和数据: 人为威胁 攻击者利用应用系统扩散病毒、蠕虫、木马、垃圾IU子邮件,利用相关攻击工具恶
意消耗应用系统资源,导致系统能力下降或瘫痪、无法正常提供应用服务; 攻击者
截获数据(进行篡改、插入,并重发,造成数据的完整性、真实性丧失 内部人员
由于缺乏责任心或者无作为而应该执行而没有执行相应的操作,或无意地 执行了错
误或危险的操作导致安全事件;无恶意人员 内部人员没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏
培训、专业技能不足、不具各岗位技能要求而导致故障或攻击; 安全管理制度不完
善、落实不到位造成安全管理不规范或者管理混乱导致安全事件 6
YD,q『_1 736-2009 8互联网安全等级保护要求
8(1第1级要
不作要求 求。
8(2第2级要求 8(2(1业务及应用安全要求
8(21 1通用安全要求
除物理空问和资源出租类IDC业务(如机房,机柜出租、主机,服务器出租)、设备托管和代维类IDC 业务(如主机托管、设备代维)、虚拟空间和资源出租类IDC业务(如虚拟主机服务)以外,互联网相关 业务及应用应满足:
a)业务提供、控制与管理过程应保护用户隐私,不泄漏用户相关敏感信息;
b)业务控制与管理应提供并启用身份鉴别、标识唯一性检查、鉴别信息复杂度检查及登录失败处理 功能,保证系统中不存在重复用户身份标识,身份鉴别信息不易被冒用,并根据安全策略对登录失败可 采取结束会话、限制非法登录次数和自动退出等措施:
c)业务控制与管理应严格限制默认账号的权限,各账号应依据最小授权原则授予为完成各自承担任 务所需的权限,按安全策略要求控制对文件、数据库表等内容的访问;
d)系统访问控制策略应由授权主体配置: e)业务控制与管理应提供覆盖到每个账号的安全审计功
f)业务相关审计记录的内容至少应包括事件日期、时能,应保证无法删除、修改或覆盖审计记录;
间、发起者信息、类型、描述和结果等:
g)对业务管理和控制应符合国家、企业的相关规定及要求。
8(2(21 互联网域名服务
互联网域名服务安全应满足YDfr 2052—2009《域名系统安全防护要求》中第2级要求。 8(2(1(3互联网数据中心安全要求
除物理空间和资源出租类IDC业务(如机房,机柜出租、主机,服务器出租)、设备托管和代维类IDC 业务(如主机托管、设备代维)、虚拟空间和资源出租类IDC业务(如虚拟主机服务)以外,互联网数据 中心业务应满足8(2(1(1节和本节要求:
a)对用户信息、数据应提供严格的本地访问控制机制,保证业务信息、数据授权访问;
b)ASP类IDC业务(如应用业务出租、内容制作和包装服务)应具备为用户(如ICP)提供信息和数 据安全保护(如发布信息检杏、内容过滤和屏蔽)的技术支撑能力;
C)附加增值服务类IDC业务(如业务质量和流量监测、附加安全增值服务)应提供专门的用户信息 保护措施(如加密机制)保护用户相关信息和数据的安全性;
d)应记录并留存业务控制和管理相关的日志信息(如登录和登出时间、用户名称、登录账号、使用 的地址和端L1等),并且保留一定期限(至少60天);
e)网络和业务运营商提供的相关ASP类IDC业务(如邮件业务平台出租、Web业务平台出租)应符 合本标准中有关的业务及应用安全要求;
126—2009附录F。f)业务相关其他安全要求见YDN
8(2(1(4互联网接入服务安全要求 互联网接入服
务应满足8(2(1(1节和本节要求:
7
YD几1 736—2009 a)心提供有效可靠的用户接入、认证、授权和计费机制;
b)在管辖网络内,应提供业务管理、控制相关信息的溯源能力(如记录用户设备地址和账号相关分 配信息、记录用户登录,登出时间、记录用户地址转换相关信息); c)在管辖网络内,应采取有效技术手
段保证用户数据包的真实性; d)应记录用户业务相关日志(如用户接入时间和时长、用户账号、使用
的地址和端El、主叫号码等), 并且保留一定期限(至少60天);
e)业务相关其他安全要求见YDN 126—2009附录A。
8(2(1(5互联网信息服务安全要求 互联网信息服务应满足8(2(1(1节和本节要求: a)应保护业务相关
信息的安全,避免相关数据和页面被篡改和破坏; b)应禁止不必要的内嵌网络服务,应禁止在用户
c)提供信息服务的平台不应向公众发布有害信息,应采用自动技术手段和人端自动安装恶意软件; 工手段结合的方式对各
类文本、图像、音频、视频等信息进行有效的监控、屏蔽和过滤,以有效阻止有害信息通过业务网络向 公众传播;
d)提供电子邮件服务的平台应按照相关规定要求,提供相应的安全措施(如垃圾邮件防范和过滤等) 保证用户邮件业务的正常:
e)提供网络存储和转发的平台应对用户上传、下载等操作行为进行监控,防止用户的非授权的读写 操作,应能拒绝来自未被允许的地址、用户名、子网域的操作请求,应能够限制单个地址(地址段)、 用户名、子网域的连接数量和连接频率;
f)提供互联网短消息服务的平台,应能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标 记的短信息; g)提供用户问通信服务的平台(如即时消息服务、基于互联网的音视频通话服务等),应提供必要 的保护措施(如加密机制)保护用户问通信数据的机密性和完整性:
h)提供内容推送服务的平台(如cDN服务),应能对各类无效连接,请求进行有效管理,有效保护 或隔离核心服务器相关资源;
i)提供内容推送服务的平台,应能对各边缘,缓存服务器流量、响应、负载等运行状况进行实时监测 和管理,应能对平台内、外部相关的端到端性能(如丢包率、延时等)进行实时监测,并及时处置各类 告警和异常;
i)应建立有害信息检查机制和投诉处理机制;
k)应记录并留存业务控制和管理相关的日志信息,应记录用户发布信息、浏览信息、评论、邮件收 发、文件上传和下载等相关日志信息(如操作内容、操作时间、使用的网络地址或者域名、操作等), 并且保留一定期限(至少60天):
1)业务相关其他安全要求见YDN 126—2009附录B。
8 2(1(6互联网虚拟专用网服务 互联网虚拟专用网服务应满足8(2(1(1节
和本节要求: a)应提供严格的用户信息、数据访问控制机制,保证用户数据
的受控访问;
YD,T 1 736-2009
b)应提供有效可靠的用户数据信息安全保护措施和机制(如逻辑隔离、数据加密),以保证其机密 性和完整性:
c)应具备有效的业务管理和控制技术手段(如用户数据流向识别、用户业务行为分析等),在必要 的情况下实现对VPNl为用户相关业务的规范化管理和控制;
d)业务相关其他安全要求见YDN 126—2009附录G。
8(2(1(7在线数据处理与交易处理安全要求 互联网在线数据处理与交易处理服务应满足8(2(1(1节和本节
a)应提供可靠的用户接入认证与授权机制,以保证使用业务相关用户的合法性以及业务本身要求:
的安全
性:
b)应利用密码技术进行业务会话初始化验证,应采用校验码技术保证通信过程中数据的完整性,应 对通信过程中的敏感信息进行加密; C)应能够记录用户业务日志(如详细的交易事件信息、操作步骤、时
间等),并且保留一定期限(至
少60天);
d)业务相关数据应定期进行备份,并按照有关要求对各份数据进行有效性验证,重要业务数据应加 密存储,保证业务数据的安全;
e)业务相关其他安全要求见YDN 126—2009附录D。
8(2(2业务及应用系统安全要求 除物理空间和资源出租类IDC业务(如机房,机柜出租、主机朋,务器
出租)、设备托管和代维类IDC
业务(如主机托管、设备代维)以外(互联网相关业务及应用系统应满足: a)应绘制与当前运行情况相符
b)应根据应用和服务的特点。在满足高峰期流量需求的基础上,合理设计带的系统拓扑结构图; 宽; c)应根据系统内部网络结构特点,按照统一的管理和控制原则划分不同的子网或网段,设备依
照功
能划分及其重要性等因素分区部署;
d)应在系统边界部署访问控制设备(启用访问控制功能,应能根据会话状态信息为数据流提供明确 的允许,拒绝访问的能力;
e)应对系统管理用户进行有效的身份标识和鉴别,并确保用户标识(用户名)具有唯一性和不易被 冒用的特点,相关用户口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、小写字母、数字、 标点及特殊字符4种字符中至少3种的组合,且与用户名或?无相关性)并定期更换(更新周期不大于90 天):
f)应按系统管理用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问, 控制粒度为单个用户;
g)应对系统中的重要设备运行状况、网络流量监测信息、系统管理及维护等进行日志记录(并且保 留一定期限(至少180天); h)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其
他与审计相关的信息: i)应在系统边界处对发生的端口扫描、强力攻击、木马后门攻击、DoS,
DDoS攻击、缓冲区溢出攻
击、P碎片攻击和网络蠕虫攻击等攻击和入侵事件提供有效的抵御和防范能力: 9
YD厂r 1736—2009 i)互联网数据中心业务内部网络应能提供有效的安全防护技术手段(如防火墙、入侵检测、漏洞扫 描);
k)系统年宕机时间不超过8 76h,可靠性应达到99(9,以上。
8(2(3设备安全要求
8(2(3( 1电信设备安全要求 互联网业务和应用系统涉及的电信设备主要包括各类数据网络设备(如路由
器、交换机)和业务相
关接入设备(如宽带网络接入服务器、WAP网关)等,相关设备应满足:
a)应对构建相关业务及应用系统内部网络结构的数据网络设备,如各类路由器、交换机等,进行必 要的安全检测:
b)业务及应用系统相关设备的安全应满足相应设备技术规范、设备安全要求等行业标准的有关规定(如,宽带网络接入服务器安全要求见yD(rI'1658-2007、网络接入服务器设备安全要求见YD,T 1045"'2000、WAP网关设备安全要求见YD,T 1392—2005);
c)应对登录设备的用户进行有效的身份标识和鉴别,确保用户名具有唯一性,应为不同用户分配不 同的权限,相关用户口令长度应不小于8字节,口令应有一定的复杂度,并定期更换;
d)业务及应用系统相关设备应符合设备入网管理相关要求的规定,应符合网络和业务运营商相关设 器的要求。
8 2(3(2通用设备安全要求
除物理空间和资源出租类IDC业务(如机房,机柜出租、主机绡R务器出租)以外,互联网业务和应用 糸统涉及的通用设备主要包括各类主机、服务器、数据库(如域名服务器、Web服务器、电子邮件
器)等,相关设备应满足: 服务
a)应对提供相关应用和服务的各类通用计算机、服务器等主机设备进行必要的安全检测,出具安全测试及验收报告并妥善保存:
b)各类计算机、服务器设备应符合并满足相关行业标准(如电子邮件服务器设备安全要求见yD(rI" 1311--2004),以及网络和业务运营商相关通用设备的要求;
c)应对登录操作系统和数据库系统的用户进行身份标识和鉴别,应为操作系统和数据库系统的不州 用户分配不同的用户名,确保用户名具有唯一性,通用主机操作系统和数据库系统管理用户身份标识商 具有不易被冒用的特点,相关用户口令长度应不小于8字节,口令应有复杂度要求(使用大写字母、小写 字母、数字、标点及特殊字符4种字符中至少3种的组合,且与用户名或D无相关性)并定期更换(更新 周期不大于60天);
d)当对各类主机进行远程管理时,应采取必要措施,防止鉴别信息在传输过程中被窃听;
e)应启用访问控制功能,依据安全策略控制用户对资源的访问,应及时删除多余的、过期的账户, 避免共享账户的存在; f)应实现操作系统和数据库系统特权用户的权限分离,应限制或禁止默认账户的访
问权限: g)应通过设定终端接入方式、网络地址范围等条件限制终端登录,应根据安全策略设置登
录终端的
操作超时锁定:
h)审计范围应覆盖到主机朋,务器上的每个操作系统用户和数据库用户;
10
YD厂r 1 736-2009 i)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全 相关事件,审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; J)应保护审计记
录,避免其受到未预期的删除、修改或覆盖等,保留一定期限(至少180天); k)通用主机操作系
统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过安全的方式(如 设置升级服务器)保持系统补丁及时得到更新;
1)通用主机应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 2 8 4物理环境安全要求
a)应满足YDfr 1754--2008中第2级要求;
b)互联网相关业务及应用系统所处机房整体抗震能力应不低于里氏7级,相关楼层承重能力不低于 750kg,m‘;
C)互联网相关业务及应用系统所处机房机架,机柜应以交替模式排列布局(即相邻列的机架或机柜朝 向以相向,相背的设置布局交替排列);
d)互联网相关业务及应用系统所处机房应具备防虫防鼠等相关措施,以有效防范鼠虫蚁害。 8(2(5管理安全要求
应满足YD,T 1756—2008中第2级要求。 8(3第31级要求 8(3(1业务及应用安全要求
8(3(1(1通用安全要求
除物理空间和资源出租类IDC业务(如机房,机柜出租、主机,月,务器出租)、设备托管和代维类IDC 业务(如主机托管、设备代维)、虚拟空间和资源出租类IDC业务(如虚拟主机服务)以外,互联网相关 业务及应用应满足8(2(1(1节和本节要求:
a)应能根据需要对业务及应用相关通信过程中的全部报文或整个会话过程提供必要的保护(如进行 通信数据加密),,{:提供业务及应用相关访问、通信等数据的防抵赖功能;
b)应能够对业务及应用服务水平进行检测,具有当服务水平降低到预先规定的阈值时进行告警的功 能。 8 3(1(2互联网域名服务安全要求
互联网域名服务安全应满足YD,T 2052-'-2009《域名系统安全防护要求》中第3(1级要求。 8(3(1(3互联网数据中心安全要求 除物理空间和资源出租类IDC业务(如机房,机柜出租、主机,服务
器出租)、设备托管和代维类IDC业务(如主机托管、设备代维)、虚拟空间和资源出租类IDC业务(如虚拟主机服务)以外,互联网数据
2(1 中心业务应满足8 3节、8(3(1(1节和本节要求: a)应能提供有效的安全保护及隔离技术手段为服务对
象的有关系统提供有效安全隔离和保护; b)应能按照服务对象的需求,根据优先级、安全策略等对
有关服务涉及的相关资源进行统一分配和
控制。 8(3(1(4互联网接入服务安全要求 互联网接、。服务成满足
8(2(1(4节、8(3(1(1节和本节要求: a)应可选择小同的
认证协议对用户身份进行组合验证;
YD厂r 1736—2009 ? b)对不同类型用户(如不同地址,地址段、不同域)应设置不同的控制策略来分配或限制占用相关资 源的最大限额和最小限额。
8(3(1(5互联网信息服务安全要求
互联网信息服务应满足8 2(1(5节、8_3(1(1节和本节要求:
a)提供信息浏览和发布服务的平台应拒绝由未被允许的地址、子网域发起的请求(如浏览、发布、 评论等),应拒绝以未授权的方式访问服务器上有限公开的相关内容和资源;
b)提供电子邮件服务的平台应强制使用SMTP认证,应支持限制和禁止自动转发电子邮件的功能:
c)提供电子邮件服务的平台应拒绝由未被允许的地址、用户名、子网域发起的电子邮件服务连接请 求,应拒绝电子邮件转发次数超过预定上限的电子邮件的继续转发操作,应拒绝收信人数量超过预定上 限的电子邮件的发送操作,应拒绝附件数量超过预定上限的电子邮件的发送操作,应拒绝邮件大小超过 预定上限的电子邮件的发送操作,应限制单个m地址或用户名的连接数量和连接频率:
d)提供电子邮件服务的平台应对进入电子邮件服务器的电子邮件相关的关键信息(如发送地址、接收地址、标题等)进行必要的检测,应能按一定的规则和方式(如黑名单、白名单)对匹配的电子邮件 进行过滤和拦截,并向用户通知有关处理结果;
e)提供内容推送服务的平台,应能为承载内容(如静态页面、流媒体等)的特点提供差异化的业务 质量控制和管理策略,根据平台内、外部性能监测的状况,实时智能的平衡和优化网络流量:
f)公众用户登录访问的相关业务及应用平台(或模块),对公众用户访问和操作的有关环节(如注 册、登录、操作、管理、浏览等)应提供有效的保护措施(如用户注册口令进行强度检查、用户m检测 和账号保护、以图形验证码保护各类提交信息、对用户重要操作进行确认和验证、授权访问页面使用安 全连接等);
g)应提供有效的恶意代码检测和过滤技术手段,对相关业务及应用中用户发布、传送的各类文件(如 用户发布和上传的文件、资源站点可供下载的文件、即时通信用户间传送的文件、电子邮件附件)进行 必要的安全检查和过滤。
8。3(1(6互联网虚拟专用网服务互联网虚拟专用网服务应满足 8(2(1(6节、8(3(1(1节和本节要求: a)应能
够为服务对象提供有效的VPN内部安全防护手段(例如虚拟防火墙、VPN用户接入认证、VPN
用户安全检测等),以保证服务对象VPN内部有关应用的安全。
8(3(1(7在线数据处理与交易处理安全要求 互联网在线数据处理与交易处理服务应满足8(2(1(7节、
8(3(1(1节和本节要求: a)应采用两种或两种以上组合的鉴权方式对用户进行身份鉴别和认证;
b)应采用有效的加密和验证技术保证业务数据传输和存储安全,应采用安全可靠的技术手段(如数 字签名技术)保证业务信息真实性:
c)业务平台采用的相关安全技术手段、措施应符合国家以及电子商务行业相关标准的要求。 8(3_2业务及应用系统安全要求
除物理空间和资源出租类IDC业务(如机房,机柜出租、主机,服务器出租)、设备托管和代维类IDC 业务(如主机托管、设备代维)以外,互联网相关业务及应用系统应满足8(2(2节和本节要求:
12
1 YD厂r 736-2009 a)业务系统中控制、管理终端与服务器间通信中的敏感信息应采取有效的安全措施(如加密机制) 进行保护;
b)应避免将重要设备部署在网络边界处且直接连接外部网络,系统,重要网段与其他网段之间采取可 靠的技术隔离手段,重要网段应采取技术手段防止地址欺骗;
c)应按照对业务和应用的重要程度来指定系统内部网络带宽分配优先级别,保证在系统内网络发生 拥塞时优先保护重要设备的通信;
d)系统相关用户口令更新周期应不大于60天:
e)应对进出系统的信息内容进行过滤,实现对相关协议(如HTI'P、FTP、Telnet、SMTP、POP3、 SIP等)命令级的控制:
f)应对系统重要资源进行有效管理和保护(如限制系统访问,连接数上限、限制系统出口带宽使用率 等): g)应对系统相关重要数据、信息进行定期的自动备份; h)在系统边界处应能对恶意代码进行检测
和清除,应维护恶意代码库的升级和检测系统的更新; i)当检测到入侵行为时,应记录攻击源口、
攻击类型、攻击目的地址、攻击时间,在发生严重入侵
事件时应提供报警; j)应对系统允许的最大并发会话连接数进行限制,应可对特定用户账号的并发会
话数进行限制; k)系统年宕机时间不超过0(88h,可靠性应达到99(99,以上。
8 3(3设备安全要求
8(3(3( 1电信设备安全要求
同第2级的要求。
8(3 3(2通用设备安全要求
除物理空间和资源出租类IDC业务(如机房,机柜出租、主机,服务器出租)以外,互联网业务和应用 系统涉及的通用设备主要包括各类主机、服务器、数据库(如域名服务器、web服务器、电子邮件服务 器)等,相关设备应满足8(2 3(2节和本节要求:
a)应采用两种或两种以上组合的鉴别技术对相关设备的管理用户进行身份鉴别;
b)应根据最小权限分配原则,按设备相关各类管理、维护账号的角色分配权限,实现管理账号与操 作、维护账号的权限分离;
c)设备相关口令更新周期应不大于30天,重要主机、数据库可使用安全性较高的身份鉴别措施(如 数字证书)对用户进行身份鉴别;
d)应对重要信息资源设置敏感标记,应依据安全策略严格控制有关用户对有敏感标记重要信息资源 的操作; e)应对重要主机进行性能监测,包括监测主机的CPU、硬盘、内存、网络等资源的使用情况;
f)应能够对服务器、数据库等系统的服务水平设定报警阈值,当监测到服务水平降低到阈值时应能 进行报警;
2)审计范围应覆盖到系统中重要客户端上的每个操作系统用户和数据库用户;
h)应保护审计进程,避免受到未预期的中断;
1 YD,T 736-2009
i)应对重要主机进行入侵行为的监测,能够记录入侵的源m、攻击的类型、攻击的目的地址、攻击 的时间,并在发生严重入侵事件时提供报警:
j)重要的通用主机应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的 措施;
k)通用主机防恶意代码产品应使用与网络,系统防恶意代码产品不同的恶意代码库。 8(3(4物理环境安全要求
a)应满足YDIT 1754'-2008中第3(1级的安全要求;
b)互联网相关业务及应用系统所处机房整体抗震能力应不低于里氏8级,相关机架及设备需进行必 要的抗震加固,相关楼层承重能力不低于1000kg,m2。
8(3(5管理安全要求
应满足YD,T 1756--'2008中第3(1级的安全要求。
8(4第3(2级要求 同第3(1级要求。 8(5第4级要求
同第3(2级要
求。
8 6第5级要
待研求
究。
9互联网灾难备份及恢复要求 1 9 互联网灾难备份及恢复等级要求
根据yD(r,"1731-"2008第5(1节要求,灾难备份及恢复定级应与安全等级保护确定的安全等级一致。 9(2第1级要
不作要求 求。
9(3第2级要求
9(3(1冗余系统、冗余设备及冗余链路要求 a)业务及应用系统相关设备的处理能力应具备一定
的冗余,应满足业务高峰期需要; b)关键设备的重要部件应采用冗余的方式提供保护; c)系
统应具备一定的灾难备份和恢复的能力,关键设各、重要线路应采用冗余的保护方式。 9(3-2备份数据要求 a)应建立对业务及应用关键数据和重要信息进行备份和恢复的管理和控制机制;
b)相关业务及应用的关键数据(如业务数据、计费数据、系统配置数据、管理员操作维护记录、用 户信息等)应有必要的容灾备份;
c)相关业务及应用的数据备份范围和时间间隔、数据恢复能力应满足行业管理、网络和业务运营商 应急预案相关要求。
9(3(3人员和技术支持能力要求 a)业务及应用系统的运维应有专职的管理责任
人; b)应有系统业务管理和控制,以及设备操作、维护、管理等相关技术人
员;
14
1 YD,r 736-2009 c)相关管理和技术人员应通过技术培训和考核。
9(3(4运行维护管理能力要求
a)应具有完善运行维护管理制度,管理制度应涵盖业务管理和控制、系统运行、设备操作和维护等 方面: b)应按照统一的运行维护要求,对业务及应用系统进行规范化的维护; c)应有业务及应用系统相关
介质存取、验证和转储的管理制度,确保有关备份数据、信息的授权访
问; d)应保持与其他部门、外部单位间良好的联络和协作能力。
9(3(5灾难恢复预案要求 a)应建立相关业务及应用
b)应对灾难恢复预案的系统的灾难恢复预案; 进行教育、培训和演练;
c)互联网业务及应用灾难恢复能力应满足行业管理、网络和业务运营商应急预案相关要求,相关系
126"-2009。 统可用性、业务恢复时间要求见YDN
9(4第3(1级要求
9(4( 1冗余系统、冗余设备及冗余链路要求 除满足9(3(1
节的要求之外,还应满足: a)重要设备、线路应采用热
备份的保护方式进行保护; b)系统应有必要的流量负
荷分担设计:c)系统应具备较好的灾难备份和业务恢复的能力,提供重要服务的业务及应用系统应进行系统级备 份,以保证其业务连续性。
9(4(2备份数据要求 除满足9(3(2节的要求之外,还应满足: a)应建立对业务及应用全部数据、
信息进行备份和恢复的管理和控制机制; b)系统重要的业务及应用相关数据应进行异址备
c)系统应提供数据自动保护功能,当发生故障后应保证系统能够恢复到故障前的业务状份: 态。
9(4(3人员和技术支持能力要求 除满足9(3(3节的要求之外,还应满足: a)应有专职
的系统业务管理和控制,以及设备操作、维护、管理等相关技术人员; b)相关管理
和技术人员应定期组织安全技术培训和考核。
9(4(4运行维护管理能力要求
除满足9(3(4节的要求之外,还应满足: a)应按介质特性对业务及应用、系统、设备相关
各类备份数据进行定期的有效性验证; b)应制定针对业务及应用恢复、系统灾难备份的
应急运行管理制度。
9(4(5灾难恢复预案要求
3 除满足9 5节的要求之外,还应满足: a)应定期对灾难恢复预案的进行教
育、培训和演练: b)应按照统一的灾难恢复预案管理制度对业务及应用相关
的预案进行管理。
YDrr 1736-2009 9(5第3(2级要求 同第3(1级要求。
9(6第4级要求
同第3(2级要求。
9(7第5级要求
待研究。
16
YD厂r 1736-2009
参考文献
1(GB厂r 18336—2000 信息技术信息技术安全性评估准则
2(GB,T 19716-2005 信息技术信息安全管理实用规则
3,GB,r 19715(2—2005 信息技术信息安全管理指南第2部分
4(GB 17859-1999 计算机信息系统安全等级划分准则
5(中华人民共和国信息产业部令(第30号j 中国互联网络域名管理办法
6中华人民共和国国务院令(第292号) 互联网信息服务管理办法
7
中华人民共和国
通信行业标准
互联网安全防护要求
YD,T 1736-2009 ^ 人民邮电出版社出版发行 北京
市崇文区夕照寺街14号A座 邮北京新瑞铭印政编码:100061 刷有限公司印刷
版权所有不得翻印 ^ 开本:880x0 1116 20lO年1月第1
印张:l 75 20lO年1月北京第1次版 字数:39千字 印刷
ISBN 978(7-115-2014,10?76 定价:15元 本书如有印装质
量问题,请与本社联系电话:(010)67114922
作文十:《互联网安全责任书》1500字
郑州市互联网安全责任书
管理监察单位:河南带宽网络技术有限公司
责任单位:
为了明确各虚拟主机用户单位和个人所应履行的安全管理职责,确保互联网与信息安全同时为客户营造一个安全洁净的网络环境,根据《计算机信息网络国际联网安全保护管理办法》等有关法律法规的规定,责任单位或个人将认真落实如下责任:
一、自觉遵守法律、行政法律规和其他有关规定,接受公安机关的安全监督、检查和指导,
如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国
际联网的计算机信息网络的违法犯罪行为。
二、不利用国际联网危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和
公民的合法权益,不从事犯罪活动。
三、不利用国际联网互联网制作、复制、发布、传播含有以下内容的信息:
(1)煽动抗拒、破坏宪法和法律、行政法规实施的;
(2)煽动颠覆国家政权,推翻社会主义制度的;
(3)煽动分裂国家、破坏国家统一的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)捏造或者歪曲事实,散布谣言、扰乱社会秩序的;
(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖;教唆犯罪的;
(7)公然侮辱他人或者捏造事实诽谤他人的;
(8)损害国家机信誉的;
(9)其他违反宪法和法律、行政法规的。
(10)、表现或隐晦表现性行为、令人产生性联想、具有挑逗性或者侮辱性的内容;
(11)、对人体性部位的直接暴露和描写;
(12)、对性行为、性过程、性方式的描述或者带有性暗示、性挑逗的语言;
(13)、对性部位描述、暴露,或者只用很小遮盖物的内容;
(14)、全身或者隐私部位未着衣物,仅用肢体遮盖隐私部位的内容;
(15)、带有侵犯个人隐私性质的走光、偷拍、漏点等内容;
(16)、以挑逗性标题吸引点击的;
(17)、相关部门禁止传播的色情、低俗小说,音视频内容,包括一些电影的删节片段;
(18)、一夜情、换妻、SM等不正当交友信息;
(19)、情色动漫;
(20)、宣扬血腥暴力、恶意谩骂、侮辱他人等内容;
(21)、非法“性药品”广告和性病治疗广告;
(22)、未经他人允许或利用“人肉搜索”恶意传播他人隐私信息。 四、不从事下列危害计算机信息网络安全的活动:
(1)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(2)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改增加的;
(3)故意制作、传播计算机病毒等破坏性程序的;
4)其他危害计算机信息网络安全的。 (
五、建立安全保护管理制度,落实各项安全保护技术措施,保障本单位网络运行安全和信息安全;
六、与本单位所属接入用户及主机租用、托管用户和虚拟主机用户签订互联网信息安全承诺
书,明确其责任、规范其管理维护行为。所有虚拟主机接入用户不得开办留言版、BBS、
聊天室、交互式网站等电子公告服务,凡开办者必须提出专项申请或者专项备案。 七、凡虚拟主机接入用户的网站都需加入我公司的白名单列表,经审查无不良信息者尚可开
通,各用户需要提供其网站地址加入白名单列表:
网站域名 网站类型 备案号 管理人姓名 管理人电话
八、变更名称、住所、法定代表人或者主要负责人、网络资源或者终止经营活动,须到公安
机关办理有关手续或者备案。
八、本责任书自签署之日起生效。
责任单位(盖章):
法人代表(签字):
年 月 日
