網絡安全檢查方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全檢查方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全檢查方案范文

在個性化服務方面，安檢部門應該時刻堅持“以人為本，服務于民”的服務理念，不斷設計出滿足旅客不同需求的個性化服務。比如在通道設計方面，在旅客流量高峰時期，可以效仿大型超市的做法，開通一條特殊的快速通道，對于攜帶行李物品非常少、物件小、著裝輕便的旅客可以引導從此通道安檢，大大縮短其排隊等候的時間；同時在旅客物品存留服務的基礎上，安檢部門還可以提供旅客遺留物品的快遞服務，以便旅客在最短的時間內能拿回自己的物品；個性化服務的內容或項目越多，越能以旅客為本，旅客對安檢工作的服務感知必然會大大提升。

3.3 利用現代化的信息平臺加強公眾對安檢工作的認知和理解

目前的社會是一個信息化，國際化的社會，各種現代化的信息手段拉近了彼此的距離，在傳統服務的基礎上，通過信息化的平臺和網絡技術，可以為大眾提供越來越多、越來越便捷的增值服務。安全檢查部門也可以在當今信息化的潮流中，利用現代化的技術手段，實現部分服務的網絡化，比如利用移動自助終端的行李物品暫存服務、證件檢查服務等。同時，以前很多乘機旅客不懂得民航安檢的許多規定，都是到了過安檢的時候，才知道很多物品是在限制攜帶的行列中，而且很多旅客對于民航安檢的相關規定也不能理解，所以造成了安檢工作中的很多矛盾。究其原因，筆者認為癥結問題在于機場安全檢查部門對于安全檢的政策、規定和解釋宣傳的太少，大多數旅客只能在機場，或偶爾在電視節目中，才能了解一點有關安全檢查的知識，而且上述途徑并不能讓旅客對對其產生深刻的印象。

為了解決這個關鍵問題，安檢部門可以在傳統方法的基礎上，利用現代化的交流平臺，如現在流行的微博、微信等平臺，創建一個公共的官方服務平臺，通過此平臺加強與旅客的交流和互動，并提供一些安全檢查的基本知識、規定和小貼士等。通過該平臺，旅客能夠獲得大量的有關安全檢查的相關信息，也能提升旅客對安全檢查的認識和理解，自覺改善其行為，減少服務中的矛盾和沖突。

【參考文獻】

[1]劉光才，龍繼林.從旅客投訴內容看中國機場服務質量改進重點[J].經濟研究導刊，2012（19）.

[2]邱琳雁.關于如何提高民航安檢服務質量的探索與研究[J].科技資訊，2013（06）.

【摘 要】隨著我國經濟化發展，網絡信息化已成為這個時代的必然產物，對于網絡上所出現的黃賭毒等不良現象，作為現代技術的主要應用者――高校大學生應該怎樣避免。如何提高網絡安全教育成為大學生安全教育的首要課題，本文從熟悉法律法規，提高網絡防范意識，建立網絡安全網站等方面闡述應如何提高網絡安全教育。

【關鍵詞】網絡安全；計算機病毒；宣傳講座

隨著現代化技術的飛速發展，網絡已成為一個大眾化的名詞。而隨著網絡的普及化，青少年已成為網絡使用者的主力軍。然而，對于這樣一個思想智育建設還不完全的群體來說，如何安全使用網絡成為重中之重。如何面對網絡上的不良信息，如何避免自己陷入網絡騙局？網絡安全教育成為大學生安全教育的首要課題。

熟悉網絡法律法規是提高高校學生網絡安全教育的首要任務。現如今，高校大學生幾乎人手一臺電腦，他們駕馭網絡的能力越來越強，然而對于相關網絡法律法規的了解卻是少之又少，網絡安全防范意識更是聊勝于無。越來越多的QQ詐騙短信充斥著學生的聊天記錄，越來越多的黃色信息也被學生無意識的搜索出來。要想真正杜絕網絡黃賭毒現象，就應該從學生自身抓起，提高學生的網絡安全教育，使學生熟悉網絡法律法規。高校大學生熟悉了法律法規，就會真正的學會用法律的手段保護自己。

加強網絡安全教育意識是提高高校大學生網絡安全教育的必要渠道，在現代化教育中，高校大學生能夠熟練地應用相關技能，但是更多的大學生并沒有掌握安全上網知識，因此強化安全上網意識、形成自覺的安全上網行為，是避免各類網絡安全事故發生的基本方法。只有高校學生的自我教育意識提高了，社會才有可能從根本上杜絕這一不良現象的發生，也只有高校大學生提高自身教育意識，才會從根本解決這一問題。

建立網絡安全網站是提高高校大學生網絡安全教育的主要前提。目前，被廣泛使用的網絡操作系統主要是UNIX、WINDOWS和Linux等系統，這些操作系統都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如果不對操作系統進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復感染。所以，要想提高網絡安全教育，就必須建立網絡安全網站，實時更新最新病毒并及時上傳殺毒軟件，保證高校大學生可以進行自主軟件殺毒甚至是系統重做。讓高校學生真正成為網絡達人。

定期開展網絡安全教育講座是推廣高校大學生網絡安全教育的重要途徑。迄今為止，雖然國內外的很多大學都開始注重網絡安全教育，但都遠沒達到有計劃、有目標、規范化教育的層次。網絡安全教育決不是可有可無，可做可不做的事情。當前，大學生網絡安全意識普遍不強，主要體現在學生網絡安全知識缺乏和網絡安全意識淡薄兩個方面。因此，定期進行網絡安全宣傳可以加強學生的自身安全意識，將網絡安全教育進行推廣。

總而言之，要想加強學生的網絡安全教育就得從學生自身做起，加強學生的網絡安全意識。除此之外，學生也要加強自身網絡修養，將網絡的用途多專注于學習上。不讓不法分子有可乘之機。

【參考文獻】

[1]張千里. 網絡安全新技術[J].信息網絡安全，2003（3）：35-35.

第2篇：網絡安全檢查方案范文

賽博興安的網絡安全管理與監察系統的應用情況到底如何？為客戶帶來了怎樣的價值？產品具有哪些特點和優勢？賽博興安副總裁胡托任對這些問題進行了回答。

胡托任介紹，賽博興安成立于2009年，是國家高新技術企業、軟件企業，主要從事信息系統安全體系結構規劃與設計、信息安全技術研究與核心產品開發、信息系統集成和信息安全服務等業務，在不同安全域網絡互聯、接入控制、網絡安管、授權認證、信息加密、互聯網大流量數據監控及數據挖掘等方面具有相當優勢，在大型信息網絡安全防護和整體解決方案和產品研制方面積累了豐富的經驗。

賽博興安業務主要面向大型行業用戶，是國內某行業用戶的網絡安防技術總體單位。公司堅持以自主研發為核心，始終把產品研發能力作為核心競爭力。公司通過了國標和國軍標質量管理體系認證，獲得了國家二級保密資質及多項專有技術和軟件著作權。2014年，賽博興安完成了對北京賽搏長城信息科技有限公司的收購與整合，使公司的產品領域進一步拓展，技術能力進一步增強。目前，公司與北京郵電大學國家重點實驗室建立了長期戰略合作伙伴關系，與北方工業大學建立了信息安全聯合實驗室。

據悉，賽博興安的研發技術人員人數占公司總人數的70%。胡托任說，這與賽博興安成立的背景相關，因為公司的創始人都有很資深的技術背景，均具有15年以上的網絡安全從業經驗。賽博興安自成立以來，始終把培養研發團隊、積累核心技術作為立足之本。

胡托任指出，這幾年賽博興安的業績取得持續、快速增長，一方面，得益于客戶方對于賽博興安的產品和服務的認可；另一方面，得益于公司注重研發團隊的建設和技術的積累。著眼未來，國家對網絡安全越來越重視，賽博興安將把握這一良好機遇，持續加大研發投入，吸納技術人才，不斷推動技術創新。

“我們相信實實在在做技術、本本分分搞研發的企業會越來越得到市場的認可。”胡托任說。

網絡安全管理平臺是近年來信息安全領域的一個熱點，市場上涌現出各種網絡安全管理平臺類的產品，賽博興安的網絡安全管理與監察系統就是其一。

胡托任介紹，賽博興安的網絡安全管理與監察系統立足于特定行業需求，為該行業構建了從上級到下級縱向級聯貫通，最高達到5級級聯的多級安防體系，為行業用戶解決實實在在的安全問題。通過系統部署應用，用戶在一級系統上能夠實時監控所有下級系統的工作狀態，包括所有下級節點所部署的網絡安全設備的工作狀態和安全防護策略應用情況。比如說，下級單位的防火墻設備是否正常工作，業務是否跳開防火墻進行網絡訪問，防火墻策略配置是否合理，防病毒系統的病毒庫是否更新到最新。

第3篇：網絡安全檢查方案范文

啟明星辰技術專家鋒介紹，公司之所以這一款服務新產品，是因為發現，許多企業隨著Web應用的深入，Web漏洞、網頁掛馬成為困擾網絡安全的兩大突出問題，僅依靠防火墻、防病毒等傳統的安全措施無法奏效，以至于用戶往往在網站被入侵很久之后才察覺到Web漏洞；而網站是否被掛馬，也通常是在訪問者投訴或被監管部門查處后才知曉。因此，若能事先發現Web漏洞以及網頁木馬，并采取補救措施，就可以降低網站安全風險，減少損失，而這一切都需要從建立一個主動的網站安全檢查機制入手。

啟明星辰從這個需求出發，結合自身安全檢測服務的技術和經驗，提出了“網站安全體檢”的概念，利用安星遠程網站安全檢查服務，幫用戶建立一個主動的網站安全檢查機制。

該產品融合了啟明星辰多年來的安全檢測技術成果和安全服務經驗，由啟明星辰的專業安全服務團隊負責實施，能夠在不對用戶網站做任何改變的情況下，以遠程方式，定期對網站進行網頁木馬以及Web應用程序漏洞檢查，并提供標準的“網站安全體檢”報告，給出修復和安全建議。這樣的定時檢查機制，讓用戶不用自己購買檢測工具，也無需聘請專業安全人員，就能夠及時獲得值得信賴的網站安全檢查結果，不失為一個既省時，又省力的解決方案。

第4篇：網絡安全檢查方案范文

關鍵詞：中小學校園網；信息安全；保障機制

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1007-9599 （2013） 02-0000-02

1 引言

隨著新的信息時代的到來，我們生活的世界已經越來越超出了我們的認知范圍，我們已經漸漸形成了以網絡為基礎的信息化和數字化的社會。在信息社會里面，人們已經建立了一個與現實社會互為影響的生存空間，里面包含著非常重要的社會化、經濟化和戰略化的信息，可以說網絡社會已經成為了世界的主宰，具有至關重要的戰略價值和經濟價值。我國廣大中小學已經普及校園網，這給我國廣大師生學習生活帶來巨大便利，但是由于我國中小學校園網絡的安全設施較差，使得發生了很多網絡安全事件，校園網內大量師生信息泄露，且很多校園網內的電腦被黑客控制，從事很多不法活動，本文就此問題進行了研究，主要從整體構架與具體措施方面探討了一些網絡安全控制方法。

2 提高中小學網絡安全水平的整體措施

對于中小學網絡安全問題，應該首先從宏觀的角度，制定相關安全措施，構建安全體系。一般對中小學網絡安全來說，應該成立專門的管理機構對網絡安全進行管理，同時在日常上網應用的過程中應該建立一批網絡安全制度，比如說“網絡安全檢查制度”、“網絡安全管理制度”、“安全日志登記制度”和“網絡安全審計制度”，在這些制度的協助下，對網絡安全進行確保，具體來說，有如下網絡安全措施：

（1）制定“分級安全策略”，這種安全策略的中心思想是進行分層次的安全實施策略，對網絡中的現有安全項目進行劃分，同時細分安全隱患。依據隱患的細分，進行安全等級評定，按照不同的安全等級制定相應的解決策略，并建立詳細的安全檢查表和安全數據庫。

（2）策略審核。采取進一步的審核策略對前面的“分級安全策略”進行審核和驗證。這些工作一般都是在校園網絡第一次集成和建立的過程中進行的。在網絡安全管理的過程之中，具體的安全策略往往以審核策略為標準，這樣通過審核對系統的安全性進行檢測。且在網絡安全體系的運營過程之中，對存在問題進行及時發現，并迅速響應找到解決措施。同時，系統網絡安全員應該對當前網絡安全最新技術動態和報道進行幫助，以便通過獲得最新的安全報道和最有效的安全策略，依據這些信息進一步做出相應的網絡安全策略。

（3）安全監控。利用最新和現有網絡安全檢測技術，如流量監控和網絡掃描等，通過流量記錄分析或掃描報告對網絡是否正常進行判斷，對于可能引起黑客入侵的網絡漏洞進行及時發現。同時定期對系統的關鍵部位如：服務器、工作站、交換機、數據庫等進行掃描，并將掃描結果以報告的形式，向系統管理員進行提供。

（4）安全響應。對于網絡安全問題進行及時的分析，并檢測出現問題的原因，依據原因找到相應的解決辦法，制定一系列的網絡安全響應辦法、措施及緊急事件處理辦法，以保證網絡的正常運行。同時，對于重大安全事件，可以采用切斷與Internet連接的特殊手段，以確保系統的決定安全。總之，對于網絡系統的安全事件，一定要快速響應，辦法必須有利，措施必須得當。

（5）安全EI志登記。網絡安全管理基本手段就是安全日志登記，網絡安全管理人員以不超過一天的頻率，進行安全檢查記錄進行登記。并及時登記網絡安全事件中出現的不安全因素，為后續的安全工作提供方便。

（6）跟蹤最新網絡安全技術。這是指網絡管理員應該時時觀察最新的網絡安全動態及Internet網絡技術資源。對互聯網的發展及最新的網絡安全技術進行及時的了解，特別是對一些國家和權威網站提供的解決策略和解決方案進行完善和補充。這樣將這些安全策略和最新的網絡安全方式及時應用到中小學互聯網網絡安全策略之中。

（7）動態完善安全策略。網絡安全檢測的一部分工作就是完善安全策略。根據Internet最新安全信息和新的安全問題，及時完善和更新網絡安全策略。并利用這些測量及時完善中小學網絡安全體系，確保中小學網絡信息安全。

3 提高中小學校園網網絡安全水平的具體措施

3.1 加強用戶賬號的安全

中小學校園網的賬號涉及面很廣，包括學生信息賬號和教師信息賬號等等。黑客往往利用這些賬號信息進行違法活動。因此，在日常網絡維護過程中，需要加強對學生和教師的教育，具體有以下途徑：首先盡量將密碼設置復雜化，這樣可以降低密碼丟失的危險，其次，盡量不要設置相同或者相似的賬號，盡量采用字母與數字、特殊符號的組合的方式設置賬號和密碼，并養成定期更換密碼的習慣。

3.2 安裝防火墻和殺毒軟件

防火墻和殺毒軟件是用來防止網絡攻擊的有效手段，在校園網構建的過程中，應該設置防火墻，以防止網絡攻擊。一般來說，防火墻分為以下幾種類型：過濾型、地址轉換型、型和監測型，每一種防火墻都有其獨特的用途。因此，在處理不同網絡安全問題時，應該選用不同的防火墻，對于校園網內部用戶，一般標準配置為防火墻、殺毒軟件等等，殺毒軟件主要是針對病毒設計的軟件程序，其可以有效阻止病毒及黑客程序的入侵。但殺毒軟件必須進行及時升級，保證殺毒軟件病毒庫的更新，這樣可以有效阻止病毒的入侵。

3.3 及時安裝漏洞補丁程序

漏洞是指黑客攻擊過程中可以理論的弱點，可以是軟件弱點、程序弱點也可以是系統功能設計存在的各種問題。當前幾乎所有的黑客攻擊都是利用這些弱點進行網絡攻擊的。因此，及時發現這些漏洞，做到查缺補漏非常重要。具體辦法是：定期安裝Windows推出的系統補丁，再有就是利用各主流殺毒及系統管理軟件進行漏洞掃描，并進行系統的漏洞安裝。主流軟件包括：COPS、tripwire、tiger、360安全衛士、瑞星卡卡等軟件。

3.4 人侵檢測和網絡監控技術

對于不良入侵者進行檢測就是所謂的入侵檢測技術，他是近年來，根據網絡安全動態的發展起來的最新和最規范的方式。這種技術是一種統計性的技術，他凝聚了多學科的精華，主要包括：人工智能、統計技術、密碼學、網絡通信技術、推理等方法和技術。這種技術的作用就是通過分析網絡訪問者的行為，來分析網絡是否對入侵者占用，是否存在安全隱患。這種技術根據具體的技術特點可以分類為：統計分析法和簽名分析法，所謂統計分析法是一種以統計學為基礎，通過相關的用戶操作模式，對網絡訪問者進行判斷的一種方法，而簽名分析法：用來監測對系統的已知弱點進行攻擊的行為，通過獲取用戶攻擊網絡過程中留下的簽名獲取用戶的信息，同時也作為用戶是否危險的一種判據。

4 結論

本文對新時代中小學校園網網絡信息安全與對策進行了分析，得出如下結論：

（1）對提高中小學網絡安全水平的整體措施進行了分析，主要包括：制定“分級安全策略”；進行網絡安全策略審核；對網絡安全行為進行監控；進行及時的網絡安全響應；完善網絡安全EI日志登記制度；對最新網絡安全技術進行跟蹤；制定動態完善安全策略。

（2）分析了提高中小學校園網網絡安全水平的具體措施，主要有：加強用戶賬號的安全；安裝防火墻和殺毒軟件；及時安裝漏洞補丁程序；人侵檢測和網絡監控技術。

參考文獻：

[1]韓放.計算機信息電磁泄漏與防護[M].北京：科學出版社，1993.

第5篇：網絡安全檢查方案范文

事件發生以來，業界反應極為迅速，一批網絡安全企業和科研單位通過官方網站和社交媒體等多種渠道，不斷更新威脅動態，共享技術情報，及時技術保護措施和應對方案；政府部門和專業機構也及時公告和處置指南，增進了社會公眾的關注度，加強了對基本防護信息的認知，降低了本次事件的影響程度。由于各方應對及時，“永恒之藍”勒索蠕蟲爆發在5月13日達到高峰后，感染率快速下降，周一上班并未出現更大規模的爆發，總體傳播感染趨勢得到快速控制。事件過后，對網絡安全行業敲響了警鐘，也有必要對這次事件進行經驗總結，現將對勒索蠕蟲病毒事件的一些思考分享出來。

“永恒之藍”事件回溯

2017年4月期間，微軟以及國內的主要安全公司都已經提示客戶升級微軟的相關補丁修復“永恒之藍”漏洞，部分IPS技術提供廠商也提供了IPS規則阻止利用“永恒之藍“的網絡行為；（預警提示）

2017年5月12日下午，病毒爆發；（開始）

2017年5月12日爆發后幾個小時，大部分網絡安全廠商包括360企業安全、安天、亞信安全、深信服等均發出防護通告，提醒用戶關閉445等敏感端口；（圍堵）

2017年5月13日，微軟總部決定公開已停服的XP特別安全補丁；國內瑞星、360企業安全、騰訊、深信服、藍盾等均推出病毒免疫工具，用于防御永恒之藍病毒；（補漏）

2017年5月13日晚，來自英國的網絡安全工程師分析了其行為，注冊了MalwareTech域名，使勒索蠕蟲攻擊暫緩了攻擊的腳步；（分析）

2017年5月15日，廠商陸續“文件恢復”工具，工作機制本質上是采用“刪除文件”恢復原理/機制，即恢復“非粉碎性刪除文件”；（刪除文件恢復）

2017年5月20日，阿里云安全團隊推出“從內存中提取私鑰”的方法，試圖解密加密文件；生效的前提是中毒后電腦沒重啟、中毒后運行時間不能過長（否則會造成粉碎性文件刪除）；（僥幸解密恢復）

2017年5月20日之后，亞信安全等網絡安全公司推出基于該病毒行為分析的病毒防護工具，用于預防該病毒變種入侵；（未知變種預防）

2017年6月2日，國內網絡安全企業找到了簡單靈活的、可以解決類似網絡攻擊（勒索病毒）方法的防護方案，需要進一步軟件開發。

事件處理顯示我國網絡安全能力提升

（一）網絡安全產業有能力應對這次“永恒之藍”勒索蠕蟲事件

早在4月15日，NSA泄漏“永恒之藍”利用工具，國內不少主力網絡安全企業就針對勒索軟件等新安全威脅進行了技術和產品的準備，例如深信服等部分企業就提取了“永恒之藍”的防護規則，并部分升級產品，還有部分企業識別并提前向客戶和社會了預警信息，例如，在這次事件爆發時，亞信安全等網絡安全企業保證了客戶的“零損失”。

事件發生后，國內網絡安全企業積極行動，各主要網絡安全企業都進行了緊急動員，全力應對WannaCry/Wcry等勒索病毒及其種的入侵，幫助受到侵害的客戶盡快恢復數據和業務，盡量減少損失。同時，也積極更新未受到侵害客戶的系統和安全策略，提高其防護能力。360企業安全集團、安天等公司及時病毒防范信息，并持續更新補丁工具。此次“永恒之藍” 勒索蠕蟲被迅速遏制，我國網絡安全企業發揮了重要作用，幫助客戶避免被病毒侵害而遭受損失，幫助受到感染的客戶最大限度地減少損失。

（二）網絡安全防護組織架構體系科學、組織協調得力

隨著《中國人民共和國網絡安全法》的頒布實施，我國已經初步建立了一個以網信部門負責統籌協調和監督管理，以工信、公安、保密等其他相關部門依法在各自職責范圍內負責網絡安全保護和監督管理工作的管理體系。既統籌協調、又各自分工，我國的網絡安全管理體系在應對此次事件中發揮了重要作用。

依照相關法律規范，在有關部門指導下，眾多網信企業與國家網絡安全應急響應機構積極協同，快速開展威脅情報、技術方案、通道、宣傳資源、客戶服務等方面的協作，有效地遏制住了事態發展、減少了損失。

安全事件暴露出的問題

（一）網絡安全意識不強，對安全威脅（漏洞）重視不夠

4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。

針對此次泄露的漏洞，微軟提前了安全公告 MS17-010，修復了泄露的多個 SMB 遠程命令執行漏洞。國內網絡安全廠商也提前了針對此次漏洞的安全公告和安全預警。但是國內大部分行業及企事業單位并沒有給予足夠的重視，沒有及時對系統打補丁，導致“永恒之藍”大范圍爆發后，遭受到“永恒之藍”及其變種勒索軟件的攻擊，數據被挾持勒索，業務被中斷。

在服務過程中發現，大量用戶沒有“數據備份”的習慣，這些用戶遭受“永恒之藍”攻擊侵入后，損失很大。

（二）安全技術有待提高（安全攻防工具）

繼2016年8月份黑客組織 Shadow Brokers 放出第一批 NSA“方程式小組”內部黑客工具后，2017年4月14日，Shadow Brokers 再次公布了一批新的 NSA 黑客工具，其中包含了一個攻擊框架和多個Windows 漏洞利用工具。攻擊者利用這些漏洞可以遠程獲取 Windows 系統權限并植入后門。

目前，我國在網絡安全攻防工具方面的研發與歐美國家相比還存在較大差距，我國在網絡安全漏洞分析、安全防護能力上需進一步加強。勒索蠕蟲入侵一些行業和單位表明不少單位的安全運維水平較低。

實際上，防御這次勒索蠕蟲攻擊并不需要特別的網絡安全新技術，各單位只需要踏踏實實地做好網絡安全運維工作就可以基本避免受到侵害。具體而言，各單位切實落實好安全管理的基礎性工作――漏洞閉環管理和防火墻或網絡核心交換設備策略最小化就可以基本防御此次安全事件。

在漏洞管理中運用系統論的觀點和方法，按照時間和工作順序，通過引入過程反饋機制，實現整個管理鏈條的閉環銜接。也就是運用PDCA的管理模式，實現漏洞管理中，計劃、實施、檢查、改進各工作環節的銜接、疊加和演進。要盡力避免重發現、輕修復的情況出現。及時總結問題處置經驗，進行能力和經驗積累，不斷優化安全管理制度體系，落實嚴格、明確的責任制度。需要從脆弱性管理的高度，對系統和軟件補丁、配置缺陷、應用系統問題、業務邏輯缺陷等問題進行集中管理。通過這些規范、扎實的工作，切實地提升安全運維能力。

基礎工作做到位，防護能力確保了，可以有效避免大量網絡安全事件。

對提升網絡安全防護能力的建議

（一）完善隔離網的縱深防御，內網沒有免死金牌！

這次事件的爆發也反映出不少行業和單位的網絡安全管理意識陳舊落后。部分決策者和運維管理人員盲目地認為網絡隔離是解決安全問題最有效的方式，簡單地認為只要采取了隔離方案就可以高枕無憂。一些單位在內網中沒有設置有效的網絡安全防護手段，一旦被入侵，內網可謂千瘡百孔、一瀉千里。部分單位的內網甚至還缺乏有效的集中化管理手段和工具，對于網絡設備、網絡拓撲、數據資產等不能夠實現有效的統一管理，這給系統排查、業務恢復、應急響應都帶來了很大的困難，也大幅度地增加了響應時間和響應成本。這次事件中一些使用網絡隔離手段的行業損失慘重，這種情況需要高度警醒。

在4?19重要講話中專門指出：“‘物理隔離’防線可被跨網入侵，電力調配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風險隱患。”

一定要破除“物理隔離就安全”的迷信。隨著IT新技術的不斷涌現和信息化的深入發展，現實中的網絡邊界越來越模糊，業務應用場景越來越復雜，IT 系統越來越龐大，管理疏忽、技術漏洞、人為失誤等都可能被利用，有多種途徑和方法突破隔離網的邊界阻隔。網絡隔離不是萬能的，不能一隔了之，隔離網依然需要完善其縱深防御體系。

在網絡安全建設和運營中，一定要堅持實事求是的科學精神。在全社會，特別是在政府、重點行業的企事業單位各級領導應樹立正確的網絡安全觀仍是當今重要的緊迫工作。

（二）強化協同協作，進一步發揮國家隊的作用

面對日益復雜的網絡空間安全威脅，需要建立體系化的主動防御能力，既有全網安全態勢感知和分析能力，又有縱深的響應和對抗能力。動態防御、整體防御才能有效地應對未知的安全威脅。體系化能力建設的關鍵在于協同和協作，協同協作不僅僅是在網絡安全廠商之間、網信企業之間、網絡安全廠商與客戶之間、網信企業與專業機構之間，國家的相關部門也要參與其中。國家的相關專業機構，如國家互聯網應急中心（CNCERT）等應在其中承擔重要角色。

在安全事件初期，各種信息比較繁雜，并可能存在不準確的信息。建議國家信息安全應急響應機構作為國家隊的代表，在出現重大安全事件時，積極參與并給出一個更獨立、權威的解決方案，必要時可以購買經過驗證的第三方可靠解決方案，通過多種公眾信息平臺，免費提供給社會，以快速高效地應對大規模的網絡攻擊事件。

（三）進一步加強網絡安全意識建設和管理體系建設

三分技術、七分管理、十二分落實。安全意識和責任制度是落的基本保障。

加強網絡安全檢查機制。加強對國家關鍵基礎設施的安全檢查，特別是可能導致大規模安全事件的高危安全漏洞的檢查。定期開展網絡安全巡檢，把網絡安全工作常態化。把安全保障工作的重心放在事前，強化網絡安全運營的理念和作業體系，把網絡安全保障融入到日常工作和管理之中。

采用科學的網絡安全建設模型和工具，做好頂層設計，推進體系化和全生命周期的網絡安全建設與運營。盡力避免事后打補丁式的網絡安全建設模式，把動態發展、整體的網絡安全觀念落實到信息化規劃、建設和運營之中。

安全建設不要僅考慮產品，同時要重視制度、流程和規范的建設，并要加強人的管理和培訓。

加強網絡安全意識教育宣傳。通過互聯網、微信、海報、報刊等各種形式的宣傳，加強全民網絡安全意識教育的普及與重視。在中小學普及網絡安全基礎知識和意識教育。借助“國家網絡安全宣傳周”等重大活動，發動社會資源進行全民宣傳教育，讓“網絡安全為人民、網絡安全靠人民”的思想深入人心。

（四）進一步加強整體能力建設

切實落實“4?19講話”精神，加快構建關鍵信息基礎設施安全保障體系，建立全天候全方位感知網絡安全態勢的國家能力與產業能力，增強網絡安全防御能力和威懾能力。不僅要建立政府和企業網絡安全信息共享機制，同時要積極推進企業之間的網絡安全信息共享，探索產業組織在其中能夠發揮的積極作用。

加強網絡安全核心技術攻關。針對大型網絡安全攻擊，開發具有普適性的核心網絡安全關鍵技術，例如可以有效防御各類數據破壞攻擊（數據刪除、數據加密、數據修改）的安全技術。

完善國家網絡安全產業結構。按照國家網絡安全戰略方針、戰略目標，加強網絡某些安全產品（安全檢測、數據防護等）的研發。

加強網絡安全高端人才培養。加強網絡安全高端人才培養，特別是網絡安全管理、技術專家培養，尤其是網絡安全事件分析、網絡安全應急與防護，密碼學等高級人才的培養。

加強網絡安全攻防演練。演練優化安全協調機制，提高安全技能和安全應急響應效率。

（五）加強對網絡安全犯罪行為的懲罰

第6篇：網絡安全檢查方案范文

淮海工學院電子工程系  丁彤（助教）

連云港市職業大學電子系  裴詠之（講師）

 

摘要：本文介紹加密網卡的性能及其原理，給出了一個用加密網卡建立加密網絡的示例。

關鍵詞：內部網，加密，信息安全

 

目前大家討論網絡安全比較多的是如何防止非法用戶侵入內部網，目前世界上公認的有以下幾個方案：

l         在兩個網之間設置防火墻軟件；

l         安全檢查（身份認證）；

l         加密

l         數字簽名

l         內容檢查

l         通過網絡的邏輯分段（虛擬網）和物理分段并實現網絡的交換化，將不同的網段相互隔離，除了可以防止網絡風暴，還可以防止數據的流失。

由于以上幾個方面已經討論了很多了，在這里我們就不詳細討論了。下面我們著重討論一下內部網數據的安全問題。

第7篇：網絡安全檢查方案范文

一、強化組織領導

為深入開展網絡安全執法檢查工作，確保工作得到有效落實，2020年5月18日，交通運輸局組織全局黨員、干部職工召開“縣交通運輸局網絡安全執法檢查工作專題部署會議”，要求全局上下充分認識開展網絡安全執法檢查工作的必要性和急迫性，成立由主要負責人任組長，班子成員為副組長，各科（股）室及全局黨員、干部職工為成員的網絡安全整治專項行動領導小組，同時強化交通運輸行業領域各涉網運輸企業的監督監管，暢通舉報發現，進一步細化各部門工作措施，突出重點任務，確保工作實效。

二、成立機關網絡安全工作領導小組

縣交通運輸局網絡安全檢查工作領導小組名單：負責推進日常工作事務。

三、高度重視防范

網絡竊密是信息化條件下保密管理工作的重中之重。把保密工作作為一項重要工作常抓不懈明確了保密工作的領導機構和人員，成立了保密工作領導小組，制定了保密工作崗位負責制和“屬地管理”原則，做到到了保密工作機構、人員、職責、制度“四落實”。

第8篇：網絡安全檢查方案范文

關鍵字：計算機網絡；網絡安全；防火墻技術

一、前言

企業內部辦公自動化網絡一般是基于TCP/IP協議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現商業秘密泄漏、設備損壞、數據丟失、系統癱瘓等嚴重后果，給正常的企業經營活動造成極大的負面影響。因此企業需要一個更安全的辦公自動化網絡系統。

目前企業內部辦公網絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數據監聽等，在這眾多的安全隱患中要數黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業網絡中應該以防范黑客和病毒為首。

針對企業辦公網絡存在的眾多隱患，各個企業也實施了安全防御措施，其中包括防火墻技術、數據加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業辦公中的應用給予探討，希望能給廣大企業辦公網絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內部網絡安全的一道防護墻。從理論上講，網絡防火墻服務的原理與其類似，它用來防止外部網上的各類危險傳播到某個受保護網內。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質上來說防火墻是一種保護裝置，用來保護網絡數據、資源和用戶的聲譽；從技術上來說，網絡防火墻是一種訪問控制技術，在某個機構的網絡和不安全的網絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網絡免受來自不安全網絡的入侵，如安全網絡可能是企業的內部網絡，不安全網絡是因特網，當然，防火墻不只是用于某個網絡與因特網的隔離，也可用于企業內部網絡中的部門網絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規定好的配置和規則，監控所有通過防火墻

的數據流，只允許授權的數據通過，同時記錄有關的聯接來源、服務器提供的

通信量以及試圖闖入者的任何企圖，以方便管理員的監測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能：

①能夠防止非法用戶進入內部網絡。

②可以很方便地監視網絡的安全性，并報警。

③可以作為部署NAT（NetworkAddressTranslation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網段上，從物理上和內部網段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部內部信息的地點。從技術角度來講，就是所謂的停火區（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screeningrouter)或網絡層防火墻(Networklevelfirewall)，它工作在網絡層和傳輸層。它基于單個數據包實施網絡控制，根據所收到的數據包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協議類型和數據包中的各種標志等為參數，與用戶預定的訪問控制表進行比較，決定數據是否符合預先制定的安全策略，決定數據包的轉發或丟棄，即實施過濾。

②服務器型防火墻

服務器型防火墻通過在主機上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的服務器進程，它代替網絡用戶完成特定的TCP/IP功能。一個服務器實際上是一個為特定網絡應用而連接兩個網絡的網關。

③復合型防火墻

由于對更高安全性的要求，通常把數據包過濾和服務系統的功能和特點綜合起來，構成復合型防火墻系統。所用主機稱為堡壘主機，負責服務。各種類型的防火墻都有其各自的優缺點。當前的防火墻產品己不再是單一的包過濾型或服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術:①動態包過濾；②內核透明技術；③用戶認證機制；④內容和策略感知能力:⑤內部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網絡防火墻的設計

1.防火墻的系統總體設計思想

1.1設計防火墻系統的拓撲結構

在確定防火墻系統的拓撲結構時，首先必須確定被保護網絡的安全級別。從整個系統的成本、安全保護的實現、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統的拓撲結構。

1.2制定網絡安全策略

在實現過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發所有的信息，逐項刪除被禁止的服務。

1.3確定包過濾規則

包過濾規則是以處理IP包頭信息為基礎，設計在包過濾規則時，一般先組織好包過濾規則，然后再進行具體設置。

1.4設計服務

服務器接受外部網絡節點提出的服務請求，如果此請求被接受，服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網絡安全性，解決包過濾所不能解決的問題。

1.5嚴格定義功能模塊，分散實現

防火墻由各種功能模塊組成，如包過濾器、服務器、認證服務器、域名服務器、通信監控器等。這些功能模塊最好由路由器和單獨的主機實現，功能分散減少了實現的難度，增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計，發現入侵和非法訪問情況。據此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據網絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優化其性能，以保證網絡極其信息的安全性。

2.一種典型防火墻設計實例——數據包防火墻設計

數據包過濾防火墻工作于DOD(DepartmentofDefense)模型的網絡層，其技術核心是對是流經防火墻每個數據包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協議(TCP，UDP、ICMP，IPTunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統預先設定的安全策略相匹配，以決定允許或拒絕該數據包的通過。從而起到保護內部網絡的作用，這一過程就稱為數據包過濾。

本例中網絡環境為：內部網絡使用的網段為192.168.1.0，eth0為防火墻與Internet接口的網卡，eth1為防火墻與內部網絡接口的網卡。

數據包過濾規則的設計如下：

2.1與服務有關的安全檢查規則

這類安全檢查是根據特定服務的需要來決定是否允許相關的數據包被傳輸.這類服務包括WWW，FTP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數據包過濾的實現.

WWW數據包采用TCP或UDP協議，其端口為80，設置安全規則為允許內部網絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內部網部的WWW服務器，(假定其IP地址為192.168.1.11)。

要實現上述WWW安全規則，設置WWW數據包過濾為，在防火eth0端僅允許目的地址為內部網絡WWW服務器地址數據包通過，而在防火墻eth1端允許所有來自內部網絡WWW數據包通過。

#DefineHTTPpackets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/01024:-d192.168.1.11/32www-ieth0–jACCEPT

/sbin/ipchains-Ainput-ptcp-s0.0.0.0/fl1024:-d192.168.1.11132www-ieth0–jACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-Ainput-ptcp-s192.168.1.11/32www:-d0.0.0.0/01024:-iethl–jACCEPT

/sbin/ipchains-Ainput-pudp-s192.168.1.11/32www:-d0.0.0.0/01024:-ieth1–jACCEPT

顯然，設置此類數據過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數據包檢查規則；

2.2與服務無關的安全檢查規則

這類安全規則是通過對路由表、數據包的特定IP選項和特定段等內容的檢查來實現的，主要有以下幾點：

①數據包完整性檢查(TinyFragment):安全規則為拒絕不完整數據包進人Ipchains本身并不具備碎片過濾功能，實現完整性檢查的方法是利用REDHAT，在編譯其內核時設定IP；alwaysdefraymentssetto‘y’。REDHAT檢查進人的數據包的完整性，合并片段而拋棄碎片。

②源地址IP(SourceIPAddressSpoofing)欺騙:安全規則為拒絕從外部傳輸來的數據包偽裝成來自某一內部網絡主機，以期能滲透到內部網絡中.要實現這一安全規則，設置拒絕數據包過濾規則為，在防火墻eth0端拒絕1P源地址為內部網絡地址的數據包通過。

③源路由(SourceRouting)欺騙:安全規則為拒絕從外部傳輸來的數據包包含自行指定的路由信息，實現的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數據包。

總之，放火墻優點眾多，但也并非萬無一失。所以，安全人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到應有的效果。

參考文獻：

[1]張曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統應用,1999

[2]王麗艷.淺談防火墻技術與防火墻系統設計.遼寧工學院學報.2001

[3]郭偉.數據包過濾技術與防火墻的設計.江漢大學學報.2001

[4]AnthonyNorthup.NTNetworkPlumbing:Routers,Proxies,andWebServices[M].

第9篇：網絡安全檢查方案范文

關鍵詞：網絡安全；病毒防護；主機安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)05-11353-02

1 引言

隨著網絡技術的發展,電信企業的內部網絡（DCN）覆蓋范圍越來越大，網上應用系統不斷增多。已有的內部信息系統包括綜合業務支撐系統、計費帳務系統、本地網聯機工單系統、本地網“112”自動障礙系統、本地網客戶服務系統、“180”系統、大客戶管理系統、辦公自動化系統、財務管理系統、維護資源管理系統、本地網管監控系統、物資管理系統等。隨著網絡平臺的擴大和網上應用的增加，原有的安全隱患也不斷暴露出來，迫切需要加強網絡信息安全。

可以把網絡信息安全技術分為以下幾方面：網絡安全、病毒防護和主機系統（服務器）安全等。

2 網絡安全的實現

目前，保護內部網免遭外部入侵的比較有效的方法為防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它是一個系統或一組系統，在企業內部網與Internet間執行一定的安全策略。一個有效的防火墻應該能夠確保：所有從Internet流入或流向Internet的信息都將經過防火墻；所有流經防火墻的信息都應接受檢查。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。可以采取如下兩種之一理念來定義防火墻應遵循的準則：其一、未經說明允可的就是拒絕。防火墻阻塞所有流經的信息，每一個服務請求或應用的實現都基于逐項審查的基礎上。這是一個值得推薦的方法，它將創建一個非常安全的環境。當然，該理念的不足在于過于強調安全而減弱了可用性，限制了用戶可以申請的服務的數量；其二、未說明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基于逐項審查而被杜絕。當然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證私有網安全性的難度。目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關（服務器）以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

那么我們究竟應該在哪些地方部署防火墻呢？首先，應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，在各個VLAN之間設置防火墻，如果有條件，還應該同時將總部與各分支機構的重要部門組成虛擬專用網(VPN)，第三，各重要應用系統的入口處也應該設置防火墻，如計費帳務系統、資源管理系統和綜合業務支撐系統等。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

3 網絡病毒防護

目前，病毒到底有多少？各反病毒公司說法不一。隨著計算機的不斷發展，和歷史原因，以及軟件、硬件上技術的壟斷與操作系統、辦公集成系統在習慣上根深蒂固的壟斷及延續，造成了計算機所固有的脆弱性。DCN上病毒泛濫已成為一種共識。所以，我們必須加強反病毒手段的研究和全方位信息安全的研究。

病毒都具有一定的基本特性，這些基本特性主要指的是病毒的傳染性、繁殖性、破壞性、惡作劇等表現，這是普通病毒所應具備的基本特性。在互聯網時代，病毒會在互聯網上通過一臺機器自動傳播到另一臺機器上，一臺機器中只有一個蠕蟲病毒，當然，也有的蠕蟲可以在當前機器中感染大量文件。我們必須正視如下現實：(1)防病毒軟硬件不可能自動防今后一切病毒；(2)查解病毒軟硬件不可能自動查解今后一切病毒而又能正確自動恢復被這些新病毒感染的文件；(3)防、查、解病毒軟件和硬件，如果其對付的病毒種類越多，越會有誤查誤報現象，也不排除有誤解或解壞現象。所以，殺病毒時，用戶應遵循一查找、二備份、三解除的原則；(4)目前的防、查、解病毒軟件和硬件是易耗品， 必須經常更新、升級或自我升級。

對病毒的防治應該遵循如下原則：

(1)制定安全策略：一定要端正態度，不要以為安裝了殺病毒軟件就沒事了；要根據信息系統的價值選用適當的防火墻產品，進行適度的投資；要保持產品的連續使用性，做到物盡其用，可以找專業的安全公司進行第三方安全建議評估，進行監理，保護投資；另處應建立應急方案，如果遇到緊急情況應怎么辦，是否可以實現緊急救援，這點是很重要的。

(2)在安全管理上下功夫：對用戶進行專業的安全講座，提高用戶的安全觀念；建立安全制度，“三分技術，七分管理”，可以看出管理的重要性，所有必須通過一個安全制度來落實。

(3)用安全技術做支撐，要求具備如下安全技術：1、數據備份與恢復:包括本地備份，異地備份，數據如何最快的恢復等等；2、硬盤數據修復技術：對于硬盤上的數據如何修復等等。

病毒防護是一項長期的工作，需要所有微機使用者的共同努力。作為系統維護和管理人員應致力于提高大家的防病毒意識和防病毒能力，在網絡上使用防病毒服務器并實時進行升級。建議采用如下策略進行病毒防護：1、經常跟隨微軟進行安全升級；2、隨時保證病毒防火墻的打開，定期升級病毒代碼庫；3、下載或郵件附件存盤后用殺毒軟件查毒再執行；4、共享目錄要加口令保護；5、數據要多臺，多處備份；6、經常查看Windows系統中自啟動項的程序；7、如能夠使用英文操作系統盡量使用英文操作系統。

4 主機系統安全

防火墻的最大缺點就是它的防外不防內的特點，而服務器經常是對外提供服務，這樣實際上防火墻并不能從根本上解決主機安全問題。操作系統本身雖然提供了一些安全措施，但是其功能非常有限，并且經常存在各種漏洞，這只有經驗豐富的系統管理員才能保證操作系統的安全。因此，如何保證主機安全，同時防止內、外非法用戶的攻擊就成為我們當前信息系統建設中一個至關重要的問題。

計算機安全通常與三個方面相關，它們可以簡寫為“ CIA”：

保密性（Confidentiality）―確保信息不被非授權用戶訪問。

完整性（Integrity）―確保信息不被未授權用戶更改，但對授權用戶開放。

確定性（Authentication）―確保用戶就是它所聲明的使用者。

一個強壯的安全協議強調所有這三個方面。例如Netscape的SSL（Secure Sockets Layer）協議能夠發現哪些是真正可信的（更確切地說是不可信的）。SSL克服了事務處理中缺少可信度的問題，如通過譯碼確保保密性，通過校驗和來確保完整性，通過服務器認證保證確定性。

計算機安全并不限于這三個概念。在為計算機安全分類時還有一些需要考慮：

訪問控制―確保用戶僅能訪問那些被授權訪問的資源和服務，使有資格的用戶能夠使用他們想得到的合法服務。

無可拒認―確保消息的發出者不能拒認發送消息的事實[9]。

可用性―保證一個系統在給定時刻是可以正常操作的，通常通過冗余來提供；失去可用性通常指“拒絕服務”。

隱私權―保證個人擁有控制自己信息的權利，如怎樣使用，誰能夠使用，誰來維護和為了什么目的使用等。

4.1 系統目標

主機安全系統應實現下列目標：

①把整個系統的用戶根據需要分為不同級別；不同級別的用戶享有對系統的文件、數據、網絡、進程等資源的權限，并進行記費管理；還可根據不同的用戶設置不同的安全策略，將超級用戶的權限細化（可分為系統管理員、安全管理員、數據庫管理員、用戶管理員等）[1]。

②所有用戶的登錄都要進行認證，并且用戶和主機之間的關鍵信息的傳輸，都采取加密的方式進行傳輸。

③對訪問系統的數據包進行分析，整個系統應能識別合法數據包和非法數據包；并可設置合法及非法地址的訪問；建設攻擊特征庫，力圖實現智能化，爭取實現自學習能力，不斷增強識別包內容的能力。

④應能克服操作系統本身存在的漏洞，防止TROJAN 和系統的后門，不斷發現新的漏洞并進行補救。

⑤能對系統用戶的行為進行跟蹤，確保其對自己的行為負責，預測并阻止其非法行為對系統造成的損害。

4.2 系統的設計原則

主機安全系統的設計按下列原則進行詳細的描述：①不修改系統內核程序；②系統的安裝和拆卸不停機；③用戶的進入不需要繁瑣的輸入；④是一種預防和保衛系統，但不影響訪問信息和資源的方便性。

下面對整個系統結構進行詳細描述：

安全管理員主要有兩個工作界面，一個就是整個系統的安全策略管理（相當于一個防火墻，對來訪或出去的數據的協議，端口，來源等做限制）；另外一個就是對系統的用戶的管理界面（包括用戶級別的管理、權利管理。在實現上有兩個模塊：對主機上資源的訪問控制和對網絡資源的訪問控制）。

安全特征數據庫是系統的一個關鍵部件，系統具有一個安全數據庫，不斷的補充新發現的網絡安全漏洞，攻擊手段和系統漏洞。

如下圖所示，系統包含用戶認證、安全檢查、用戶訪問控制（包括外部資源訪問控制、內部資源訪問控制）等部件，各模塊主要功能如下：

主機網絡安全系統結構

用戶認證是對訪問系統的用戶進行比現有的操作系統所提供的口令認證更高安全性的認證。

安全檢查中包括對外部進來的可疑信息的檢查、對系統漏洞的補救、發現并防止攻擊。它還執行一部分防火墻的執能，對系統與網絡之間的數據報交換進行相應控制（可以根據IP和端口號）。

用戶訪問控制對系統的用戶權限進行更加詳細的劃分，并對用戶的行為進行跟蹤、非法行為的發現和控制。它主要包括兩個模塊：內部資源訪問控制和外部資源訪問控制。

內部資源訪問控制：主要是對內部合法用戶的權限進行限制，規范用戶的行為。包括對用戶的權限進行詳細的分類控制，跟蹤（這一部分是執行傳統的IDS）并阻止非法行為，防止用戶利用系統存在的安全漏洞所進行的攻擊。

外部資源訪問控制：對用戶訪問系統之外信息資源（網絡上其他資源）的控制，并進行計費管理。

主控制模塊是對安全檢查的策略和用戶的訪問控制進行設置，同時也可以提供WWW服務，便于遠程安全管理員進行設置。

5 結束語

隨著網絡攻擊手段不斷多樣化，簡單的采用多種孤立的安全手段已不能滿足我們的需求。企業內部信息系統安全應對內部網絡上各種可能發生的攻擊進行安全防護，結合了主機的網絡特性和操作系統特性，為各信息系統提供更為完善的保護。隨著網絡技術的發展，內部信息系統安全技術在計算機安全領域將占有越來越重要的地位。

參考文獻：