Ⅰ 網路安全策略
安全策略是指在某個安全區域內(通常是指屬於某個組織的一系列處理和通信資源),用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的,並由安全控制機構來描述、實施或實現的。安全策略通常建立在授權的基礎之上,未經適當授權的實體,信息資源不可以給予、不允許訪問、不得使用。安全策略基於身份、規則、角色進行分類。
機房組建應按計算機運行特點及設備具體要求確定。機房一般宜由主機房區、基本工作區、輔助機房區等功能區域組成。
主機房區包括伺服器機房區、網路通信區、前置機房區和介質庫等。
基本工作區包括緩沖區、監控區和軟體測試區等。
輔助機房區包括配電區、配線區、UPS 區、消防氣瓶間和精密空調區等。
設備標識和鑒別:應對機房中設備的具體位置進行標識,以方便查找和明確責任。機房內關鍵設備部件應在其上設置標簽,以防止隨意更換或取走。
設備可靠性:應將主要設備放置在機房內,將設備或主要部件進行固定,並設置明顯的不易除去的標記。應對關鍵的設備關鍵部件冗餘配置,例如電源、主控板、網路介面等。
防靜電:機房內設備上線前必須進行正常的接地、放電等操作,對來自靜電放電的電磁干擾應有一定的抗擾度能力。機房的活動地板應有穩定的抗靜電性能和承載能力,同時耐油、耐腐蝕、柔光、不起塵等。
電磁騷擾:機房內應對設備和部件產生的電磁輻射騷擾、電磁傳導騷擾進行防護。
電磁抗擾:機房內設備對來自電磁輻射的電磁干擾和電源埠的感應傳導的電磁干擾應有一定的抗擾度。
浪涌抗擾:機房內設備應對來自電源埠的浪涌(沖擊)的電磁干擾應有一定的抗擾度。
電源適應能力:機房供電線路上設置穩壓器和過電壓防護設備。對於直流供電的系統設備,應能在直流電壓標稱值變化10%的條件下正常工作。
泄漏電流:機房內設備工作時對保護接地端的泄漏電流值不應超過5mA。
電源線:機房內設備應設置交流電源地線,應使用三芯電源線,其中地線應於設備的保護接地端連接牢固。
線纜:機房通信線纜應鋪設在隱蔽處,可鋪設在地下或管道中。
絕緣電阻:機房內設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小於5MΩ。
場地選擇:機房場地選擇應避開火災危險程度高的區域,還應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。機房場地應避開強振動源、強雜訊源和強電場干擾的地方。機房不應該選擇在樓層的最高層或者最低層地方。
防火:機房應設置火災自動報警系統,包括火災自動探測器、區域報警器、集中報警器和控制器等,能對火災發生的部位以聲、光或電的形式發出報警信號,並啟動自動滅火設備,切斷電源、關閉空調設備等。機房採取區域隔離防火措施,布局要將脆弱區和危險區進行隔離,防止外部火災進入機房,特別是重要設備地區,安裝防火門、使用阻燃材料裝修。機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料。
電磁輻射防護:電源線和通信線纜應隔離鋪設,避免互相干擾。應對關鍵設備和磁介質實施電磁屏蔽。通信線採取屏蔽措施,防止外部電磁場對機房內計算機及設備的干擾,同時也抑制電磁信息的泄漏。應採用屏蔽效能良好屏蔽電纜作為機房的引入線。機房的信號電纜線(輸入/輸出)埠和電源線的進、出埠應適當加裝濾波器。電纜連接處應採取屏蔽措施,抑制電磁雜訊干擾與電磁信息泄漏。
供電系統:應設置冗餘或並行的電力電纜線路為計算機系統供電。應建立備用供電系統。機房供電電源設備的容量應具有一定的餘量。機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。機房應配置電源保護裝置,加裝浪涌保護器。機房電源系統的所有接點均應鍍錫處理,並且冷壓連接。
靜電防護:主機房內絕緣體的靜電電位不應大於1kV。主機房內的導體應與大地作可靠的連接,不應有對地絕緣的孤立導體。
防雷電:機房系統中所有的設備和部件應安裝在有防雷保護的范圍內。不得在建築物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。機房系統電源及系統輸入/輸出信號線,應分不同層次,採用多級雷電防護措施。
機房接地:對直流工作接地有特殊要求需單獨設置接地裝置的系統,接地電阻值及其它接地體之間的距離,應按照機房系統及有關規范的要求確定。
溫濕度控制:機房應有較完備的空調系統,保證機房溫度的變化在計算機設備運行所允許的范圍。當機房採用專用空調設備並與其它系統共享時,應保證空調效果和採取防火措施。機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。空調系統應支持網路監控管理,通過統一監控,反映系統工作狀況。
機房防水:機房水管安裝不得穿過屋頂和活動地板,穿過牆壁和樓板的水管應使用套管,並採取可靠的密封措施。機房應有有效的防止給水、排水、雨水通過屋頂和牆壁漫溢和滲漏的措施,應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。機房應安裝漏水檢測系統,並有報警裝置。
入網訪問控制是網路訪問的第1層安全機制。它控制哪些用戶能夠登錄到伺服器並獲准使用網路資源,控制准許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認許可權檢查。三道控制關卡中只要任何一關未過,該用戶便不能進入網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道關卡。用戶登錄時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在。口令最好是數字、字母和其他字元的組合,長度應不少於6個字元,必須經過加密。口令加密的方法很多,最常見的方法有基於單向函數的口令加密、基於測試模式的口令加密、基於公鑰加密方案的口令加密、基於平方剩餘的口令加密、基於多項式共享的口令加密、基於數字簽名方案的口令加密等。經過各種方法加密的口令,即使是網路管理員也不能夠得到。系統還可採用一次性用戶口令,或使用如智能卡等攜帶型驗證設施來驗證用戶的身份。
網路管理員應該可對用戶賬戶的使用、用戶訪問網路的時間和方式進行控制和限制。用戶名或用戶賬戶是所有計算機系統中最基本的安全形式。用戶賬戶應只有網路管理員才能建立。用戶口令是用戶訪問網路所必須提交的准入證。用戶應該可以修改自己的口令,網路管理員對口令的控制功能包括限制口令的最小長度、強制用戶修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。針對用戶登錄時多次輸入口令不正確的情況,系統應按照非法用戶入侵對待並給出報警信息,同時應該能夠對允許用戶輸入口令的次數給予限制。
用戶名和口令通過驗證之後,系統需要進一步對用戶賬戶的默認許可權進行檢查。網路應能控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網路的用戶登錄時,如果系統發現「資費」用盡,還應能對用戶的操作進行限制。
操作許可權控制是針對可能出現的網路非法操作而採取安全保護措施。用戶和用戶組被賦予一定的操作許可權。網路管理員能夠通過設置,指定用戶和用戶組可以訪問網路中的哪些伺服器和計算機,可以在伺服器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源。網路管理員還應該可以根據訪問許可權將用戶分為特殊用戶、普通用戶和審計用戶,可以設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。特殊用戶是指包括網路管理員的對網路、系統和應用軟體服務有特權操作許可的用戶;普通用戶是指那些由網路管理員根據實際需要為其分配操作許可權的用戶;審計用戶負責網路的安全控制與資源使用情況的審計。系統通常將操作許可權控制策略,通過訪問控製表來描述用戶對網路資源的操作許可權。
訪問控制策略應該允許網路管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶還可進一步自行設置對目錄下的子控制目錄和文件的許可權。對目錄和文件的常規操作有:讀取(Read)、寫入(Write)、創建(Create)、刪除(Delete)、修改(Modify)等。網路管理員應當為用戶設置適當的操作許可權,操作許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對網路資源的訪問。
訪問控制策略還應該允許網路管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全策略在操作許可權安全策略的基礎上,提供更進一步的網路安全保障。網路上的資源都應預先標出一組安全屬性,用戶對網路資源的操作許可權對應一張訪問控製表,屬性安全控制級別高於用戶操作許可權設置級別。屬性設置經常控制的許可權包括:向文件或目錄寫入、文件復制、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網路管理員在系統一級控制文件或目錄等的訪問屬性,可以保護網路系統中重要的目錄和文件,維持系統對普通用戶的控制權,防止用戶對目錄和文件的誤刪除等操作。
網路系統允許在伺服器控制台上執行一系列操作。用戶通過控制台可以載入和卸載系統模塊,可以安裝和刪除軟體。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供伺服器登錄限制、非法訪問者檢測等功能。
網路管理員應能夠對網路實施監控。網路伺服器應對用戶訪問網路資源的情況進行記錄。對於非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,引起網路管理員的注意。對於不法分子試圖進入網路的活動,網路伺服器應能夠自動記錄這種活動的次數,當次數達到設定數值,該用戶賬戶將被自動鎖定。
防火牆是一種保護計算機網路安全的技術性措施,是用來阻止網路黑客進入企業內部網的屏障。防火牆分為專門設備構成的硬體防火牆和運行在伺服器或計算機上的軟體防火牆。無論哪一種,防火牆通常都安置在網路邊界上,通過網路通信監控系統隔離內部網路和外部網路,以阻檔來自外部網路的入侵。
域間安全策略用於控制域間流量的轉發(此時稱為轉發策略),適用於介面加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應用層檢測。域間安全策略也用於控制外界與設備本身的互訪(此時稱為本地策略),按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny),允許或拒絕與設備本身的互訪。
預設情況下域內數據流動不受限制,如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,然後對流量進行安全檢查。例如:市場部和財務部都屬於內網所在的安全區域Trust,可以正常互訪。但是財務部是企業重要數據所在的部門,需要防止內部員工對伺服器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測,阻斷惡意員工的非法訪問。
當介面未加入安全區域的情況下,通過介麵包過濾控制介面接收和發送的IP報文,可以按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量並執行相應動作(permit/deny)。基於MAC地址的包過濾用來控制介面可以接收哪些乙太網幀,可以按MAC地址、幀的協議類型和幀的優先順序匹配流量並執行相應動作(permit/deny)。硬體包過濾是在特定的二層硬體介面卡上實現的,用來控制介面卡上的介面可以接收哪些流量。硬體包過濾直接通過硬體實現,所以過濾速度更快。
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。
密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
應制定相應的機房管理制度,規范機房與各種設備的使用和管理,保障機房安全及設備的正常運行,至少包括日常管理、出入管理、設備管理、巡檢(環境、設備狀態、指示燈等進行檢查並記錄)等。重要區域應配置電子門禁系統,控制、鑒別和記錄進入的人員。對機房內的各種介質應進行分類標識,重要介質存儲在介質庫或檔案室中。
加強網路的安全管理,制定有關規章制度,對於確保系統的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和訪問主機的管理制度;制訂網路系統的維護制度和應急措施等。
Ⅱ 校園網基本網路搭建及網路安全設計分析
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感數據有可能泄露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被「黑」或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中,即使是兩台計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中。例如,一個交換機的1,2,3,4,5埠被定義為虛擬網AAA,同一交換機的6,7,8埠組成虛擬網BBB。這樣做允許各埠之間的通訊,並允許共享型網路的升級。
但是,這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN,不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術,防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,並且藉助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護伺服器和網路中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基於網路的防病毒技術。這些技術包括:基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如,我們准備在主機上統一安裝網路防病毒產品套間,並在計算機信息網路中設置防病毒中央控制台,從控制台給所有的網路用戶進行防病毒軟體的分發,從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後,不但可以做到主機防範病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網路信息安全。形成的整體拓撲圖。
第二,防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備,專門用於TCP/IP體系的網路層提供鑒別,訪問控制,安全審計,網路地址轉換(NAT),IDS,,應用代理等功能,保護內部 區域網安全 接入INTERNET或者公共網路,解決內部計算機信息網路出入口的安全問題。
校園網的一些信息不能公布於眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網路的訪問管理,杜絕敏感信息的泄漏。通過防火牆,嚴格控制外來用戶對校園網網路的訪問,對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監視INTERNET安全和預警,系統認證,利用日誌功能進行訪問情況分析等。通過防火牆,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網路完全性。校園網網路結構分為各部門區域網(內部安全子網)和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部伺服器,該網段對外部分開,禁止外部非法入侵和攻擊,並控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和伺服器,通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器,隱藏伺服器的其它服務,減少系統漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.
Ⅲ 中華人民共和國網路安全法要求
法律分析:1、要求依據網路安全法,保障網路安全,維護網路空間主權和國家安全、社會公共利益。2、要求採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。3、要求依法懲治網路違法犯罪活動,維護網路空間安全和秩序。
法律依據:《中華人民共和國網路安全法》第一條 為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
Ⅳ 網路安全法律要求
網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。《網路安全法》第二十二條,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。網路產品、服務具有收集用戶信息功能的,其提供者應當向用戶明示並取得同意;涉及用戶個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。
Ⅳ 計算機網路安全技術措施有哪些
對計算機信息構成不安全的因素很多, 其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素,垃圾郵件和間諜軟體也都在侵犯著我們的計算機網路。計算機網路不安全因素主要表現在以下幾個方面:
1、 計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
(1)網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
(2)網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
(3)網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由地上網,發布和獲取各類信息。
2、操作系統存在的安全問題
操作系統是作為一個支撐軟體,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
(2)操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
(3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到5月1日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如5月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
(6)操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
(7)盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
3、資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
4 、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
5、其他方面的因素
計算機系統硬體和通訊設施極易遭受到自然的影響,如:各種自然災害(如地震、泥石流、水災、風暴、物破壞等)對構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
計算機網路安全的對策,可以從一下幾個方面進行防護:
1、 技術層面對策
對於技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(3)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網路可疑信息。
(6)提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
(7)研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
Ⅵ 網路信息系統安全性分析
給我分哦,謝謝
http://bbs.wuyou.net/viewthread.php?tid=8894
網 絡 安 全 畢 業 論 文
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,同時也避免其它用戶的非授權訪問和破壞。從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。 對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。 從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。 從本質上來講,網路安全就是網路上的信息安全,是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全所要研究的領域。網路安全涉及的內容既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。技術方面主要側重於防範外部非法用戶的攻擊,管理方面則側重於內部人為因素的管理。如何更有效地保護重要的信息數據、提高計算機網路系統的安全性已經成為所有計算機網路應用必須考慮和必須解決的一個重要問題。
不同環境和應用中的網路安全
運行系統安全:即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄露,干擾他人,受他人干擾。 網路上系統信息的安全:包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。 網路上信息傳播安全:即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。 網路上信息內容的安全:它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私 .
網路安全的結構層次主要包括:物理安全、安全控制和安全服務。
1: 物理安全
物理安全是指在物理介質層次上對存貯和傳輸的網路信息的安全保護。也就是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。物理安全是網路信息安全的最基本保障,是整個安全系統不可缺少和忽視的組成部分。它主要包括三個方面:
環境安全:對系統所在環境的安全保護。
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
目前,該層次上常見的不安全因素包括三大類:
1)自然災害(比如,地震、火災、洪水等)、物理損壞(比如,硬碟損壞、設備使用壽命到期、外力破損等)、設備故障(比如,停電斷電、電磁干擾等)。此類不安全因素的特點是:突發性、自然性、非針對性。這種不安全因素對網路信息的完整性和可用性威脅最大,而對網路信息的保密性影響卻較小,因為在一般情況下,物理上的破壞將銷毀網路信息本身。解決此類不安全隱患的有效方法是採取各種防護措施、制定安全規章、隨時數據備份等。
2)電磁輻射(比如,偵聽微機操作過程),乘機而入(比如,合法用戶進入安全進程後半途離開),痕跡泄露(比如,口令密鑰等保管不善,被非法用戶獲得)等。此類不安全因素的特點是:隱蔽性、人為實施的故意性、信息的無意泄露性。這種不安全因素主要破壞網路信息的保密性,而對網路信息的完整性和可用性影響不大。解決此類不安全隱患的有效方法是採取輻射防護、屏幕口令、隱藏銷毀等手段。
3)操作失誤(比如,偶然刪除文件,格式化硬碟,線路拆除等),意外疏漏(比如,系統掉電、「死機」等系統崩潰)。此類不安全因素的特點是:人為實施的無意性和非針對性。這種不安全因素主要破壞網路信息的完整性和可用性,而對保密性影響不大。解決此類不安全隱患的有效方法是:狀態檢測、報警確認、應急恢復等。 顯然,為保證信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上探取一定的防護措施,來減少或干擾擴散出去的空間信號。這對重要的政策、軍隊、金融機構在興建信息中心時都將成為首要設置的條件。
正常的防範措施主要在三個方面:
1、 對主機房及重要信息存儲、收發部門進行屏蔽處理 即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓,磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風波導,門的關起等。
2、 對本地網、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用了光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
3、 對終端設備輻射的防範
終端機尤其是CRT顯示器,由於上萬伏高壓電子流的作用,輻射有極強的信號外泄,但又因終端分散使用不宜集中採用屏蔽室的辦法來防止,故現在的要求除在訂購設備上盡量選取低輻射產品外,目前主要採取主動式的干擾設備如干擾機來破壞對應信息的竊復,個別重要的首腦或集中的終端也可考慮採用有窗子的裝飾性屏蔽室,此類雖降低了部份屏蔽效能,但可大大改善工作環境,使人感到在普通機房內一樣工作。
安全控制是指在網路信息系統中對存貯和傳輸的信息的操作和進程進行控制和管理,重點是在網路信息處理層次上對信息進行初步的安全保護。安全控制可以分為以下三個層次:
1)操作系統的安全控制。包括:對用戶的合法身份進行核實(比如,開機時要求鍵入口令)、對文件的讀寫存取的控制(比如,文件屬性控制機制)。此類安全控制主要保護被存貯數據的安全。
2)網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。此類控制主要包括身份認證、客戶許可權設置與判別、審計日誌等。
3)網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。此類控制主要通過網管軟體或路由器配置實現。需要指明的是,安全控制主要通過現有的操作系統或網管軟體、路由器配置等實現。安全控制只提供了初步的安全功能和網路信息保護。
安全服務是指在應用程序層對網路信息的保密性、完整性和信源的真實性進行保護和鑒別,滿足用戶的安全需求,防止和抵禦各種安全威脅和攻擊手段。安全服務可以在一定程度上彌補和完善現有操作系統和網路信息系統的安全漏洞。安全服務的主要內容包括:安全機制、安全連接、安全協議、安全策略等。
1)安全機制是利用密碼演算法對重要而敏感的數據進行處理。比如,以保護網路信息的保密性為目標的數據加密和解密;以保證網路信息來源的真實性和合法性為目標的數字簽名和簽名驗證;以保護網路信息的完整性,防止和檢測數據被修改、插入、刪除和改變的信息認證等。安全機制是安全服務乃至整個網路信息安全系統的核心和關鍵。現代密碼學在安全機制的設計中扮演著重要的角色。
2)安全連接是在安全處理前與網路通信方之間的連接過程。安全連接為安全處理進行了必要的准備工作。安全連接主要包括會話密鑰的分配和生成和身份驗證。後者旨在保護信息處理和操作的對等雙方的身份真實性和合法性。
3)安全協議。協議是多個使用方為完成某些任務所採取的一系列的有序步驟。協議的特性是:預先建立、相互同意、非二義性和完整性。安全協議使網路環境下互不信任的通信方能夠相互配合,並通過安全連接和安全機制的實現來保證通信過程的安全性、可靠性和公平性。
4)安全策略。安全策略是安全體制、安全連接和安全協議的有機組合方式,是網路信息系統安全性的完整的解決方案。安全策略決定了網路信息安全系統的整體安全性和實用性。不同的網路信息系統和不同的應用環境需要不同的安全策略。
網路安全的目標 通俗地說,網路信息安全與保密主要是指保護網路信息系統,使其沒有危險、不受威脅、不出事故。從技術角度來說,網路信息安全與保密的目標主要表現在系統的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。
1:可靠性
可靠性是網路信息系統能夠在規定條件下和規定的時間內完成規定的功能的特性。可靠性是系統安全的最基於要求之一,是所有網路信息系統的建設和運行目標。網路信息系統的可靠性測度主要有三種:抗毀性、生存性和有效性。
2.抗毀性是指系統在人為破壞下的可靠性。比如,部分線路或節點失效後,系統是否仍然能夠提供一定程度的服務。增強抗毀性可以有效地避免因各種災害(戰爭、地震等)造成的大面積癱瘓事件。 生存性是在隨機破壞下系統的可靠性。生存性主要反映隨機性破壞和網路拓撲結構對系統可靠性的影響。這里,隨機性破壞是指系統部件因為自然老化等造成的自然失效。 有效性是一種基於業務性能的可靠性。有效性主要反映在網路信息系統的部件失效情況下,滿足業務性能要求的程度。比如,網路部件失效雖然沒有引起連接性故障,但是卻造成質量指標下降、平均延時增加、線路阻塞等現象。 可靠性主要表現在硬體可靠性、軟體可靠性、人員可靠性、環境可靠性等方面。硬體可靠性最為直觀和常見。軟體可靠性是指在規定的時間內,程序成功運行的概率。人員可靠性是指人員成功地完成工作或任務的概率。人員可靠性在整個系統可靠性中扮演重要角色,因為系統失效的大部分原因是人為差錯造成的。人的行為要受到生理和心理的影響,受到其技術熟練程度、責任心和品德等素質方面的影響。因此,人員的教育、培養、訓練和管理以及合理的人機界面是提高可靠性的重要方面。環境可靠性是指在規定的環境內,保證網路成功運行的概率。這里的環境主要是指自然環境和電磁環境。
3:可用性
可用性是網路信息可被授權實體訪問並按需求使用的特性。即網路信息服務在需要時,允許授權用戶或實體使用的特性,或者是網路部分受損或需要降級使用時,仍能為授權用戶提供有效服務的特性。可用性是網路信息系統面向用戶的安全性能。網路信息系統最基本的功能是向用戶提供服務,而用戶的需求是隨機的、多方面的、有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。可用性還應該滿足以下要求:身份識別與確認、訪問控制(對用戶的許可權進行控制,只能訪問相應許可權的資源,防止或限制經隱蔽通道的非法訪問。包括自主訪問控制和強制訪問控制)、業務流控制(利用均分負荷方法,防止業務流量過度集中而引起網路阻塞)、路由選擇控制(選擇那些穩定可靠的子網,中繼線或鏈路等)、審計跟蹤(把網路信息系統中發生的所有安全事件情況存儲在安全審計跟蹤之中,以便分析原因,分清責任,及時採取相應的措施。審計跟蹤的信息主要包括:事件類型、被管客體等級、事件時間、事件信息、事件回答以及事件統計等方面的信息。)
4: 保密性
保密性是網路信息不被泄露給非授權的用戶、實體或過程,或供其利用的特性。即,防止信息泄漏給非授權個人或實體,信息只為授權用戶使用的特性。保密性是在可靠性和可用性基礎之上,保障網路信息安全的重要手段。 常用的保密技術包括:防偵收(使對手偵收不到有用的信息)、防輻射(防止有用信息以各種途徑輻射出去)、信息加密(在密鑰的控制下,用加密演算法對信息進行加密處理。即使對手得到了加密後的信息也會因為沒有密鑰而無法讀懂有效信息)、物理保密(利用各種物理方法,如限制、隔離、掩蔽、控制等措施,保護信息不被泄露)。
Ⅶ 天津市公共計算機信息網路安全保護規定
第一條為保護公共計算機信息網路的安全,促進公共計算機信息網路的健康發展,維護治安秩序和社會穩定,根據法律、法規和國家有關規定,結合我市實際情況,制定本規定。第二條本規定所稱公共計算機信息網路是指向社會提供計算機信息服務、網路服務的計算機信息網路。第三條公安機關是本市公共計算機信息網路安全保護的主管機關。
公安機關應當監督、檢查向社會提供計算機信息服務、網路服務的單位和個人及有關用戶,落實安全保護管理制度和安全技術保護措施,查處違反網路安全管理規定的行為。第四條任何單位和個人不得利用公共計算機住處網路製作、復制、傳播和查閱下列信息:
(一)煽動抗拒、破壞憲法和法律、法規實施的;
(二)煽動顛覆國家政權,推翻社會主義制度的;
(三)煽動分裂國家、破壞國家統一的;
(四)煽動民族仇恨、民族歧視,破壞民族團結的;
(五)捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
(七)侮辱他人或者捏造事實誹謗他人的;
(八)損害國家機關信譽的;
(九)進行其他違法犯罪活動的。第五條任何單位和個人不得從事下列危害公共計算機信息網路安全的行為;
(一)未經允許,進入公共計算機信息網路或者使用公共計算機信息網路資源的;
(二)未經允許,對公共計算機住處網路功能進行刪除、修改或者增加的;
(三)未經允許,對公共計算機信息網路中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的;
(四)故意製作、傳播計算機病毒等破壞性程序的;
(五)其他危害公共計算機住處網路安全的。
前款所稱未經允許是指違反國家法律、法規、規章和行業管理規定及當事人的約定,擅自或者超越許可權進入公共計算機信息網路或者使用、刪除、修改、增加計算機信息網路數據等情形。第六條在公共計算機信息網路上從事接入服務、信息服務的單位和個人應當遵守下列規定:
(一)按照國家和本市有關規定建立健全安全保護管理制度;
(二)落實安全技術保護措施;
(三)協助公安機關查處公共計算機信息網路的違法犯罪行為,向公安機關提供有關安全保護的信息、資料及數據文件;
(四)提供互動式信息服務的公共計算機信息網路應當具有識別、確認用戶身份的功能並保存6個月以上的原始記錄;
前款第(四)項規定的原始記錄是指有關信息或行為在網路上出現或者發生時,計算機記錄、存儲的時間、內容、來源及系統網路運行日誌、用戶使用日誌等所有相關數據。第七條提供公共計算機住處網路信息發布服務的單位和個人,應當遵守下列規定:
(一)對發布信息的單位名稱和個人身份進行登記;
(二)對發布的信息內容按照本規定第四條進行審核;
(三)發現有本規定第四條、第五條所列情形之一的,應當在保留有關原始記錄後,刪除本網路中含有本規定第四條內容的地址、目錄或者關閉伺服器,並立即向當地公安機關報告。第八條向社會提供信息服務、網路服務的單位應當設立專職或兼職公共計算機信息網路安全管理人員。
公共計算機信息網路安全管理人員應當經過公安機關安全培訓考核合格。第九條開辦互聯網上網服務的營業場所應當向所在地公安機關申請登記。
公安機關接到申請之日起30日內對互聯網上網服務營業場所的經營人員、營業場地等進行審核,並簽署《互聯網上網服務營業場所安全審核意見書》。第十條互聯網上網服務營業場所變更名稱、地點、法定代表人的,應當在變更後30日內向公安機關備案。第十一條互聯網上網服務營業場所應當安裝符合國家或者行業技術標準的安全管理軟體。第十二條互聯網上網服務營業場所應當對上網人員的身份證件和上網情況進行登記。第十三條違反本規定第四條、第五條、第六條、第七條、第八條、第十一條、第十二條規定的,由公安機關責令限期整改,情節嚴重的,責令6個月以內停機整頓,可以處警告或200元以上1000元以下罰款;構成犯罪的,依法追究刑事責任。
在經營活動中有前款所列行為的,可以處1000元以上1萬元以下罰款,有違法所得的處3000元以上3萬元以下罰款。
Ⅷ 中等職業中學 網路中心機房建設 按什麼標准建設
機房建設是一個系統工程,要切實做到從工作需要出發,以人為本,滿足功能需要,兼顧美觀實用,為設備提供一個安全運行的空間,為從事計算機操作的工作人員創造良好的工作環境。
選擇機房位置時,應遠離強雜訊源、粉塵、油煙、有害氣體,避開強電磁場干擾。
安裝場地准備
在准備安裝場地時,可參考如下國家標准:
1、 GB50174-2008《電子信息系統機房設計規范》
2、 GB2887-2000《計算站場地技術條件》
3、 GB9361-2011《計算站場地安全要求》
機房、走廊等有關地段的土建工程須全部竣工,室內牆壁充分乾燥。
機房主要門的大小應滿足設備的搬運需要,房門鎖和鑰匙齊全。
具備通風設備。
機房地面平整光潔。
電源已接入機房,滿足施工要求。
機房內應有地線排,以便設備地線連接。
機房環境的要求
環境清潔、無塵,防止任何腐蝕性氣體、廢氣的侵入,機房內不允許水、氣管道通過,空氣調節設備應能滿足設備正常運行的溫度與濕度要求。
防塵要求:直徑大於5微米灰塵的濃度小於3×104粒/m3,灰塵粒子為非導電、非導磁和非腐蝕性。
機房內需安裝空調,設備在長期工作條件下,室內溫度要求15℃~30℃,相對濕度要求40%~65%。
雜訊:室內雜訊≤70分貝
無線電干擾場強,頻率為0.15-500MHz時,應不大於126dBv/m;磁場干擾場強應不大於800A/m(相當於10奧斯特)。
空氣污染要求:機房內無腐蝕性氣體及煙霧,機房內禁止吸煙。
安全要求
施工現場應有性能良好的消防器材。
機房內不同電壓的電源插座,應有明顯標志。
機房內嚴禁存放易燃、易爆等危險物品。
樓板預留孔洞應配有安全蓋板。
地線
地線的具體指標要求:交流配電系統安全地、設備工作地和總配線架防雷地應採用聯合接地,接地電阻不大於1 Ω。
終端設備接地要求: 給計算機終端提供交流電源只需火線與零線 ,計算機終端保護地線不得使 用交流配電系統的保護地線,需與交換機GND相連。
總配線架防雷地線要求:能泄放異常情況引起的過剩電荷,滿足國標對配線架的接地的要求,外線電纜屏蔽層在總配線架處應與防雷地相連。
接地處理
從接地樁到設備上接地螺杠的連接電纜應採用銅芯,盡可能縮短長度。
所有的接地連接件應加防腐保護。
接地螺杠必須用機械方法加以緊固
在准備安裝場地時,可參考如下國家標准:
1、 GB50173-93《電子計算機機房設計規范》
2、 GB2887-89《計算站場地技術條件》
3、 GB9361-88《計算站場地安全要求》
機房的要求
機房、走廊等有關地段的土建工程須全部竣工,室內牆壁充分乾燥。
機房地面負荷:每平方米不小於450kg。
機房凈高:2.7米以上。
機房主要門的大小應滿足設備的搬運需要,房門鎖和鑰匙齊全。
具備通風設備。
機房頂棚、牆、門、窗、地面應不脫落,不易起塵,不易積灰,並能防塵砂侵入。要求屋頂不漏水,不掉灰,裝飾材料應用非燃燒材料或難燃材料。
各種溝槽採用防潮措施,其邊角應平整,地面與蓋板應縫隙嚴密,照明線與電力管線應盡量採用暗鋪設。
機房顏色:牆、頂顏色以明朗淡雅為宜,塗料應為無光漆或不含硅化物的油漆。
機房地板:水泥地面應鋪設惠華防靜電地板,防靜電地板應經限流電阻及連接線與接地裝置相連,限流電阻的阻值為1MΩ。
機房地面平整光潔。
電源已接入機房,滿足施工要求。
機房內應有地線排,以便設備地線連接。
機房環境的要求
空氣污染要求:機房內無腐蝕性氣體及煙霧,機房內禁止吸煙。
安全要求
施工現場應有性能良好的消防器材。
機房內不同電壓的電源插座,應有明顯標志。
機房內嚴禁存放易燃、易爆等危險物品。
樓板預留孔洞應配有安全蓋板。
接地處理
所有的接地連接件應加防腐保護。
接地螺杠必須用機械方法加以緊固
計算機機房集電氣、安裝、網路等多個方面於一體,計算機房設計與施工的優劣直接關繫到機房內計算機系統是否能穩定可靠地運行,是否能保證各類信息通訊暢通無阻。
由於計算機機房的環境必須滿足計算機等各種微機電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、防漏、電源質量、振動、防雷和接地等的要求。所以,一個合格的現代化計算機機房,應該是一個安全可靠、舒適實用、節能高效和具有可擴充性的機房。
機房建設包括防塵防靜電、供配電、空調系統、電視監控、消防系統、安全系統(門禁)等六大部分。本應根據國家標准及行業標准設計和施工。參照標准包括:
★ ISO,IEEE,IETF等數據中心機房的系統需求
★ 國際標准:
◎ IEEE802.3 Ethernet
◎ IEEE802.5 TokenRing
◎ EIA/TIA568 工業標准及國際商務建築布線標准
◎ ANSI X3T9.5
◎ FDDI
建築部分參照標准
◎ 國家標准《電子計算機機房設計規范》(GB50174-93)
◎ 國家標准《計算站場地技術要求》(GB2887-89)
◎ 國家標准《計算站場地安全技術》(GB9361-88)
◎ 國家標准《計算機機房用活動地板的技術要求》(GB6650-86)
◎ 國家標准《電子計算機機房施工及驗收規范》(SJ/T30003)
電力保障部分參照標准
◎ 《低壓配電設計規范》(GB50054-95);
◎ 《電子計算機機房設計規范》(GB50714-93);
◎ 《計算站場地技術要求》(GB2887-89);
◎ 《供配電系統設計規范》(GB50052-95);
◎ 《高層民用建築設計防火規范》(GB50045-95);
◎ 《電氣裝置安裝工程接地裝置施工及驗收規范》(GB50169-92);
綜合布線部分參照標准
◎ 中國工程建設標准化協會標准-建築與建築群綜合布線系統工程設計規范CECS72:95
◎ Lucent SYSTIMAX結構化布線系統設計總則
當遇到網路布線困難或成本過高時,可採用無線網路或有線與無線相結合方式。無線網路採用802.11b協議,帶寬為11M。採用802.11g協議,帶寬為56M。每基站通信范圍可達300米—500米,工作站採用無線網卡,接入和移動都非常方便
Ⅸ 網路安全責任承諾書
文明上網,快樂健康;文明上網,利於成長;文明上網,提升修養;文明上網,放飛夢想。下面我整理了網路安全責任承諾書,希望對你們有用!
網路安全責任承諾書一
為確保本單位信息網路、重要信息系統和網站安全、可靠、穩定地運行,作為本單位網路與信息安全工作的主要負責人,對本單位的網路與信息安全工作負總責,並做如下承諾:
一、加強本單位網路與信息安全工作的組織領導,建立健全網路與信息安全工作機構和工作機制,保證網路與信息安全工作渠道的暢通。
二、明確本單位信息安全工作責任,按照“誰主管,誰負責;誰運營,誰負責”的原則,將安全職責層層落實到具體部門、具體崗位和具體人員。
三、加強本單位信息系統安全等級保護管理工作,在公安機關的監督、檢查、指導下,自覺、主動按照等級保護管理規范的要求完成信息系統定級、備案,
對存在的安全隱患或未達到相關技術標準的方面進行建設整改,隨信息系統的實際建設、應用情況對安全保護等級進行動態調整。
四、加強本單位各節點信息安全應急工作。制定信息安全保障方案,加強應急隊伍建設和人員培訓,組織開展安全檢查、安全測試和應急演練。
重大節日及敏感節點期間,加強對重要信息系統的安全監控,加強值班,嚴防死守,隨時應對各類突發事件。
五、按照《信息安全等級保護管理辦法》、《互聯網信息管理服務辦法》等規定,進一步加強網路與信息安全的監督管理,
嚴格落實信息安全突發事件“每日零報告制度”,
對本單位出現信息安全事件隱瞞不報、謊報或拖延不報的,要按照有關規定,給予責任人行政處理;出現重大信息安全事件,
造成重大損失和影響的,要依法追究有關單位和人員的責任。
六、作為本單位網路與信息安全工作的責任人,如出現重大信息安全事件,對國家安全、社會秩序、公共利益、公民法人及其他組織造成影響的,本人承擔主要領導責任。
違反上述承諾,自願承擔相應主體責任和法律後果。
網路安全責任承諾書二
學校網路安全承諾書
我作為 學校(學區)的法定代表人(實際控制人、經營主要負責人),就做好本單位XXX至XXX年的安全生產工作做如下鄭重承諾:
一、牢固樹立科學發展、安全發展理念,增強“底線思維”、“紅線意識”,正確處理安全與發展的關系。
切實落實法人主體責任,嚴格安全管理,努力做到不發生死亡事故,不造成重大財產損失。
二、堅決貫徹安全第一的方針,認真履行安全生產第一責任人責任,按規定設立安全生產管理機構,配備專職管理人員;
每月至少主持召開一次安全生產專題會議,及時研究和解決本單位安全生產重要問題。
三、嚴格遵守安全生產法律法規,深化“三項制度”,建立健全學習安全管理規章制度,並認真落實。
四、強化重大危險源監管,按規定設置必要的防護設施,落實監管措施和監管責任。
五、健全隱患排查機制,督促各部門認真執行隱患排查治理制度,每月開展一次隱患排查治理專題調度會,
對排查出的隱患做到“五落實”,年內消除重大安全隱患。
六、認真落實預防為主的要求,保證安全設施完好達標,保證學校安全經費投入。
七、嚴格落實職業健康有關規定,確保作業環境符合法律法規和行業標准要求,對接害職工提供必要防護措施,
按規定進行體檢,建立健全《職業衛生檔案》和《職業健康監護檔案》,確保不發生職業病例。
八、落實安全培訓相關規定,完成年度培訓任務。
特種崗位未經培訓不安排上崗。
認真開展安全生產宣傳教育、典型事故警示教育活動。
九、按照有關規定和要求,制定和完善應急救援預案,配備必要的人員和裝備器材,每學期至少組織一次應急疏散演練。
十、承諾做好以下幾項重點工作:
1、建立健全學生集體活動安全管理制度,大型集體活動嚴格按照擬定計劃、制定預案、過細准備、動員教育、
落實安全措施、認真總結改進的程序進行組織,確保學生的人身安全;
2、按要求配備消防設施和應急救援器材,確保消防設施和應急救援器材處於完好狀態;
3、每月對實驗室、校辦工廠、實習車間和學生宿舍、食堂等關鍵部位進行檢查,消除事故隱患;實驗室化學危險品要設專用安全櫃存放,雙人雙鎖進行管理;
學生宿舍設專人24小時值班,確保安全疏散通道暢通;
4、建立健全學校自有車輛及其駕駛人安全管理制度,加強對車輛駕駛人的`安全教育,做好車輛的維護、保養和安全檢查工作;
5、嚴格對出租的商貿場地管理,每年簽訂一次安全協議,每半年組織一次承租方負責人安全教育培訓,每月進行一次用電、消防設備安全檢查,及時消除事故隱患。
十一、將承諾內容公開、公示,接受社會、安全監管部門及本企業員工監督。
每年末,向上級主管行政部門進行安全述職,每半年向職代會進行一次安全述職。
不履行承諾條款,自願接受失信懲戒措施的制裁和相關法律規定的上限處罰;
發生責任安全事故本人自願接受政府的相關處分。
承諾人:XXX
時間:XXXX年XX月XX日
網路安全責任承諾書三
個人網路安全承諾書
本單位鄭重承諾遵守本承諾書的有關條款,如有違反本承諾書有關條款的行為,本單位承擔由此帶來的一切民事、行政和刑事責任。
一、本單位承諾遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網路國際聯網安全保護管理辦法》及有關法律、法規和行政規章制度、文件規定。
二、本單位保證不利用網路危害國家安全、泄露國家秘密,不侵犯國家的、社會的、集體的利益和第三方的合法權益,不從事違法犯罪活動。
三、本單位承諾嚴格按照國家相關法律法規做好本單位網站的信息安全管理工作,按政府有關部門要求設立信息安全責任人和信息安全審查員,
信息安全責任人和信息安全審查員應在通過公安機關的安全技術培訓後,持證上崗。
四、本單位承諾健全各項網路安全管理制度和落實各項安全保護技術措施。
五、本單位承諾接受公安機關的監督和檢查,如實主動提供有關安全保護的信息、資料及數據文件,積極協助查處通過國際聯網的計算機信息網路違法犯罪行為。
六、本單位承諾不通過互聯網製作、復制、查閱和傳播下列信息:
1、反對憲法所確定的基本原則的。
2、危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的。
3、損害國家榮譽和利益的。
4、煽動民族仇恨、民族歧視,破壞民族團結的。
5、破壞國家宗教政策,宣揚邪教和封建迷信的。
6、散布謠言,擾亂社會秩序,破壞社會穩定的。
7、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的。
8、侮辱或者誹謗他人,侵害他人合法權益的。
9、含有法律法規禁止的其他內容的。
七、本單位承諾不從事任何危害計算機信息網路安全的活動,包括但不限於:
1、未經允許,進入計算機信息網路或者使用計算機信息網路資源的。
2、未經允許,對計算機信息網路功能進行刪除、修改或者增加的。
3、未經允許,對計算機信息網路中存儲或者傳輸的數據和應用程序進行刪除、修改或者增加的。
4、故意製作、傳播計算機病毒等破壞性程序的。
5、其他危害計算機信息網路安全的。
八、本單位承諾,當計算機信息系統發生重大安全事故時,立即採取應急措施,保留有關原始記錄,並在24小時內向政府監管部門報告,並書面知會貴單位。
九、若違反本承諾書有關條款和國家相關法律法規的,本單位直接承擔相應法律責任,造成財產損失的,由本單位直接賠償。
同時,貴單位有權暫停提供雲主機租用服務直至解除雙方間《雲主機租用協議》。
十、用戶承諾與最終用戶參照簽訂此類《網路信息安全承諾書》,並督促最終用戶履行相應責任,否則,用戶承擔連帶責任。
十一、本承諾書自簽署之日起生效並遵行。