网络安全管理总结原则

‘壹’ 网络安全应遵循什么原则

在企业网络安全管理中，为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则：
原则一：最小权限原则。
1.最小权限原则要求是在企业网络安全管理中，为员工仅仅提供完成其本职工作所需要的信息访问权限，而不提供其他额外的权限。如企业的现金流量表等等。此时在设置权限的时候，就要根据最小权限的原则，对于普通员工与高层管理人员进行发开设置，若是普通员工的话，则其职能对其可以访问的文件夹进行查询，对于其没有访问权限的文件夹，则服务器要拒绝其访问。
2.最小权限原则除了在这个访问权限上反映外，最常见的还有读写上面的控制。所以，要保证企业网络应用的安全性，就一定要坚持“最小权限”的原则，而不能因为管理上的便利，而采取了“最大权限”的原则。
原则二：完整性原则。
完整性原则指在企业网络安全管理中，要确保未经授权的个人不能改变或者删除信息，尤其要避免未经授权的人改变公司的关键文档，如企业的财务信息、客户联系方式等等。完整性原则在企业网络安全应用中，主要体现在两个方面：
1.、未经授权的人，不得更改信息记录。如在企业的ERP系统中，财务部门虽然有对客户信息的访问权利，但是，其没有修改权利。
2.、指若有人修改时，必须要保存修改的历史记录，以便后续查询。在某些情况下，若不允许其他人修改创始人的信息，也有些死板。如采购经理有权对采购员下的采购订单进行修改、作废等操作。遇到这种情况该怎么处理呢?在ERP系统中，可以通过采购变更单处理。。所以，完整性原则的第二个要求就是在变更的时候，需要保留必要的变更日志，以方便后续的追踪。 总之，完整性原则要求在安全管理的工作中，要保证未经授权的人对信息的非法修改，及信息的内容修改最好要保留历史记录，比如网络管理员可以使用日事清的日志管理功能，详细的记录每日信息内容的修改情况，可以给日后的回顾和检查做好参考。
原则三：速度与控制之间平衡的原则。
在对信息作了种种限制的时候，必然会对信息的访问速度产生影响。如当采购订单需要变更时，员工不能在原有的单据上直接进行修改，而需要通过采购变更单进行修改等等。这会对工作效率产生一定的影响。这就需要对访问速度与安全控制之间找到一个平衡点，或者说是两者之间进行妥协。

‘贰’ 网络安全防范体系有哪些设计原则

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则： 1．网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。 2．网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 3．安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 4．标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 5．技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6．统筹规划，分步实施原则 由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 7．等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 8．动态发展原则 要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 9．易操作性原则 首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

‘叁’ 信息安全的目标和原则

一、目标：信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性。CIA 概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。

1、保密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。

2、完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。

3、可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

二、原则：

1、最小化原则。受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

2、分权制衡原则。在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果—个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。

3、安全隔离原则。隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。

‘肆’ 网络安全的基本原则是什么

1. 确保数据安全为第一位，数据库一定要设置复杂密码。
2. 确保用户安全，账户名不能有弱口令，且密码要准按时更改。
3. 制度安全，不能所有人都有权限查看数据，或者是更改数据。

‘伍’ 网络安全法的基本原则是什么

《中华人民共和国网络安全法》的基本原则如下：
1、网络空间主权原则。维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现；
2、网络安全与信息化发展并重原则。安全是发展的前提，发展是安全的保障，安全和发展要同步推进；
3、共同治理原则。网络空间安全仅依靠政府无法实现，需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
【法律依据】
《中华人民共和国网络安全法》
第三条 国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

‘陆’ 简述网络安全策略的概念及制定安全策略的原则

网络的安全策略1.引言

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

2.计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

(1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

(3)网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

3.计算机网络的安全策略

3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全角式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

3.2.2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.2.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

3.2.4 属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、、执行修改、显示等。

3.2.5 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

3.2.6 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

3.2.7 网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

3.2.8 防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型；

(1)包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

(2)代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。

(3)双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

4.信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形 色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

5. 网络安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

6. 结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

‘柒’ 良好的网络设备安全配置管理原则

网络配置与管理
第一章
1. 计算机技术与通讯技术的紧密结合产生了计算机网络。它经历了三个阶段的发展过程：
具有通信功能的单机系统、具有通信功能的多机系统和计算机网络。
2. 计算机网络按逻辑功能分为资源子网和通信子网两部分。
资源子网是计算机网络中面向用户的部分，负责数据处理工作。
通信子网是网络中数据通信系统，它用于信息交换的网络节点处理机和通信链路组成，主要负责通信处理工作。
3. 网络设备，在现代网络中，依靠各种网络设备把各个小网络连接起来，形成了一个更大的网络，也就是Internet。网络设备主要包括：网卡（NIC）、调制解调器（Modem）、集线器（Hub）、中继器（Repeater）、网桥（Bridge）、交换机（Switch）、路由器（Router）和网关（Gateway）等。
4. 集线器是一种扩展网络的重要设备，工作在物理层。中继器工作在物理层，是最简单的的局域网延伸设备，主要作用是放大传输介质上传输的信号。网桥，工作在数据链路层，用于连接同类网络。交换机分为二层交换机和三层交换机，二层工作在数据链路层，根据MAC地址转发帧。三层交换机工作在网络层，根据网络地址转发数据包。每个端口都有桥接功能，所有端口都是独立工作的，连接到同一交换机的用户独立享受交换机每个端口提供的带宽，因此用交换机来扩展网络的时候，不会出现网络性能恶化的情况，这是目前使用最多的网络扩展设备。路由器，工作在网络层，它的作用是连接局域网和广域网。网关工作在应用层。
5. 传输介质，可分为有线传输介质和无线传输介质。
6. 计算机网络的分类，根据地理范围可以分为局域网（LAN）、城域网（MAN）、广域网（WAN）、和互联网（Internet）4种。
7. 局域网的分类，局域网主要是以双绞线为传输介质的以太网，基本上是企业和事业的局域网。
8. 以太网分为标准以太网，快速以太网，千兆以太网和10G以太网。
9. 令牌环网，在一种专门的帧称为“令牌”，在环路上持续地传输来确定一个结点何时可以发送包。
10. FDDI网，光纤分布式数据接口。同IBM的令牌环网技术相似，并具有LAN和令牌环网所缺乏的管理、控制和可靠性措施。
11. ATM网，异步传输模式，ATM使用53字节固定长度的单元进行交换。ATM的优点：使用相同的数据单元，可实现广域网和局域网的无缝连接。支持VLAN（虚拟局域网）功能，可以对网络进行灵活的管理和配置。具有不同的速率，分为25、51、155、622Mbps，从而为不同的应用提供不同的速率。ATM采用“信元交换”来代替“包交换”进行实验，发现信元交换的速度是非常快的。
12. 无线局域网，所采用的是802.11系列标准，它也是由IEEE 802标准委员会制定的。目前一系列标准主要有4个标准：802.11b 802.11a 802.11g 802.11z，前三个标准都是针对传输速度进行的改进。802.11b，它的传输速度为11MB/S，因为它的连接速度比较低，随后推出了802.11a标准，它的连接速度可达54MB/S。但由于两者不兼容，所以推出了802.11g，这样原有的802.11b和802.11a标准的设备都可以在同一网络中使用。802.11z是一种专门为了加强无线局域网安全的标准。因为无线局域网的“无线”特点，给网络带来了极大的不安全因素，为此802.11z标准专门就无线网络的安全做了明确规定，加强了用户身份认证制度，并对传输的数据进行加密。
13. 网络协议的三要素为：语法，语义，同步。
14. OSI参考模型是计算机网络的基本体系结构模型，通常使用的协议有：TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
15. OSI模型将通信会话需要的各种进程划分7个相对独立的功能层次，从下到上依次是：物理层 数据链路层 网络层 传输层 会话层 表示层 应用层。
16. TCP/IP参考模型包括4个功能层：应用层 传输层 网际层及接口层
17. 协议组件 IP：网络层协议。 TCP:可靠的主机到主机层协议。 UDP：尽力转发的主机到主机层协议。 ICMP：在IP网络内为控制、测试、管理功能而设计的多协议。
18. IP地址介绍，地址实际上是一种标识符，它能够帮助找到目的站点，起到了确定位置的作用。IP 地址分为A B C DE类地址。
19. IP地址的使用规则：
20. 网络号全0的地址保留，不能作为标识网络使用。主机号全0的地址保留，用来标识网络地址。
网络号全1、主机号全0的地址代表网络的子网掩码。
地址0.0.0.0：表示默认路由。
地址255.255.255.255：代表本地有限广播。
主机号全1的地址表示广播地址，称为直接广播或是有限广播。可以跨越路由器。
21. 划分子网后整个IP地址就分为三个部分：主网号，它对应于标准A,B,C类的网络号部分。借用主机位作为网络号的部分，这个被称为子网号。剩余的主机号。
22. 子网掩码的意义，在掩码中，用1表示网络位，用0表示主机位。
23. IPV4地址不够用了，所以出现了IPV6地址。，在表示和书写时，用冒号将128位分割成8个16位的段，这里的128位表示在一个IPV6地址中包括128个二进制数，每个段包括4位的16进制数字。
第二章
1. 路由器是一种网络连接设备，用来连接不同的网络以及接入Internet。
IOS是路由器的操作系统，是路由器软件商的组成部分。
2. 路由器和PC机一样，也需要操作系统才能运行。Cisco（思科）路由器的操作系统叫做IOS，路由器的平台不同、功能不同，运行的IOS也不相同。IOS是一个特殊格式的文件，对于IOS文件的命名，思科采用了特殊的规则。
4. 网络互连：把自己的网络同其他的网络互连起来，从网络中获取更多的信息和向网络发布自己的消息。网络互连有多种方式，其中执行最多是网桥互连和路由器互连。
5. 路由动作包括两项基本内容：寻径和转发。寻径：判断到达目的地的最佳路径，由路由器选择算法来实现。
6. 路由选择方式有两种：静态路由和动态路由。
7．RIP协议最初是为Xerox网络系统的Xerox parc通用协议设计的，是Internet中常用的路由协议。RIP采用距离向量算法，也称为距离向量协议。 RIP执行非常广泛，它简单，可靠，便于配置。
8．ROP已不能互连，OSPF随机产生。它是网间工程任务组织的内部网关协议工作组为IP网络而开发的一种路由协议。是一种基于链路状态的路由协议。
9.BGP是为TCP/IP互联网设计的外部网关协议，用于多个自治域之间。
10．路由表的优先问题，它们各自维护的路由表都提供给转发程序，但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级，当其他路由表项与它矛盾时，均按静态路由转发。
11. 路由算法有一下几个设计目标：最优化 简洁性 快速收敛性灵活性坚固性
路由算法执行了许多种不同的度量标准去决定最佳路径。
通常所执行的度量有：路径长度。可靠性，时延。带宽。负载通信成本等。
第三章
进入快速以太网接口配置模式命令：Router（Config）#Interface Fasterthernet interface-number
配置IP地址及其掩码的命令：Router（Config-if）#ip address ip-address ip-mask【secondary】
启用接口的命令：Router（Config）#no shutdown
进入接口SO配置模式：Router1（config）#interface serial 0
配置路由器接口SO的IP地址：Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的时钟频率（DCE）:Router1（config-if）#clock rate 64000
开启路由器fastetherner0接口：Router1（config）#no shutdown
第四章
静态路由的优点：1.没有额外的路由器的cpu负担2.节约带宽3.增加安全性
静态路由的缺点：1.网络管理员必须了解网络的整个拓扑结构
2.如果网络拓扑发生变化，管理员要在所有的路由上动手修改路由表
3.不适合于大型网络
默认路由是在路由选择表中没有对应于特定目标网络的条目是使用的路由
华为路由器配置默认路由：【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
静态路由的默认管理距离：1
目前使用的动态路由协议又两种：内部网关协议（IGP）和外部网关协议（RGP）
三种路由协议：距离矢量（Distance vector），链路状态（Link state）和混合型（Hybrid）
RIP目前有两个版本：RIPv1和RIPv2。RIPv1是个有类路由协议，而RIPv2是个无类路由协议
路由更新计时为：30秒 路由无效计时为：180秒保持停止计时为：大于等于180秒 路由刷新时间：240秒
复合度量包括4个元素：带宽、延迟、负载、可靠性
访问控制列表（ACL）是应用路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝
ACL通过在访问控制列表中对目的地进行归类来管理通信流量，处理特定的数据包
ACL适用于所有的路由协议，如IP,IPX等
设置ACL的一些规则：
1. 按顺序地比较，先比较第一行，再比较第二行，直到最后一行
2. 从第一行起，直到一个符合条件的行，符合以后，其余的行就不再继续比较下去
3. 默认在每个ACL中最后一行为隐含的拒绝，如果之前没找到一条许可语句，意味着包将被丢弃
两种主要的访问控制列表：1.标准访问控制列表2.扩展访问控制列表
ACL号为1-99和1300-1999
扩展ACL使用的数字表号在100-199之间
第五章
交换机对数据包的转发是建立在MAC地址基础上
冗余路径带来的问题：广播风暴、重复帧拷贝、MAC地址表表项不稳定
STP（生成树协议）的主要任务是防止2层的循环，STP使用生成树算法（STA）来创建拓扑数据库
IEEE版本的STP的默认优先级是32768，决定谁是根桥。假如优先级一样，那就比较MAC地址，MAC地址小的作为根桥
运行STP的交换机端口的5中状态：堵塞、监听、学习、禁用、转发
交换机对于数据的转发有一下三种方式：1.存储-转发式交换方 2.直通式交换方式 3.消除片断式交换方式
可堆叠交换机就是指一个交换机中一般同时具有UP和DOWN堆叠端口
可堆叠交换机常用的堆叠方式有两种：菊花型和星型
SVI端口的配置第三层逻辑接口称为：SVI P168
交换环境中的两种连接类型：access links、trunk links
附加VLAN 信息的方法，最具代表性的有：Inter-Switch link（ISL）、IEEE 802.1Q(俗称dot 1 Q)
当出现违反端口安全原则的情况时，端口有一下几种措施：
Suspend（挂起）：端口不再工作，直到有数据帧流入并带有合法的地址
Disable（禁用）：端口不再工作，除非人工使其再次启用
Ignore（忽略）：忽略其违反安全性，端口仍可工作
计算机网络按逻辑功能可分为资源子网和通信子网两部分
网卡工作在网络模型的物理层
集线器是多端口中继器，工作在网络模型的物理层，所有端口共享设备
宽带
中继器工作在网络模型的物理层，是局域网的延伸设备。
网桥工作在网络模型的数据链路层，用于连接同类网络
交换机工作在网络模型的数据链路层，根据MAC地址转发数据帧，每个端口
独占宽带。
路由器工作在网络模型的网络层，根据IP地址转发数据包。
网关
网络有线通信介质通常包括双绞线、同轴电缆、光缆等
计算机网络按地里范围可以分为LAN、MAN、WAN、INTERNET
标准以太网宽带为10Mbps,实用CSMA/CD的访问控制方法，遵循
IEEE802.3标准，使用双绞线和同轴电缆为介质
10Base-5，使粗同轴电缆，最大网段长度500M，基带传输
10Base-2，使细同轴电缆，最大网段长度185M，基带传输
10Base-T，使双绞线，最大网段长度100M
快速以太网宽带为100Mbps，使用CSMA/CD的访问控制方法，使用双绞线
和光纤
100Base-TX，使双绞线，使用2对线路传输信号
100Base-T4，使双绞线，使用4对线路传输信号
100Base-FX，使用光纤，使用4B/5B编码方式
令牌环网，使用专门的数据帧称为令牌，传送数据
FDDI光纤分布式数据接口，使用光纤为传输介质，采用令牌传递数据
ATM异步传输模式使用53字节固定长度的信元传输数据
无线局域网WLAN采用802.11系列标准，有802.11a、802.11b、802.11g、
802.11n、802.11z
网络协议是计算机网络体系结构中关键要素之一，它的三要素为：语法、
语义、同步
TCP/IP中文为传输控制协议/互联网协议，是internet的基础协议，使用IP
地址通信
IPX/SPX中文为NetBIOS增强用户接口，特点是简单、通信效率高的广播型协
议
OSI参考模型七层：物理层、数据链路层、网络层、传输层、会话层、表示
层、应用层
物理层：传送单位是比特流，定义物理特性
数据链路层：传送单位是数据帧，确保链路连接
网络层：传送单位是数据包，提供网间通信
传输层：传送单位是信息，提供端到端的可靠传输
会话层：管理通信双发会话
表示层：负责数据编码转换
应用层：提供应用服务接口
TCP/IP模型四层：网络接口层、网际层、传输层、应用层
应用层协议：Telnet、FTP、SMTP、HTTP等 传输层协议：TCP、UDP
网际层协议：IP、ICMP、IGMP
网络接口层协议：ARP、RARP

‘捌’ 网络安全法的基本原则包括哪些

网络安全法的基本原则包括网络空间主权原则、网络安全与信息化发展并重原则、共同治理原则等。网络安全法基本原则包括国家主权原则、信息化和监管并重原则及合作治理原则等。强调主权，就是在我国境内的内外资网络运营商，都要遵守网络安全法，没有特权和法外之地。而共同治理则强调的国际合作，共同维护网络安全。
法律依据：《网络安全法》
第1条规定：要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。
第2条规定：本法适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第3条规定：国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力。
《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作中来。

‘玖’ 网络安全有哪五大原则

我国在维护网络安全方面确立了五个方面的基本原则：
第一，实名制原则。
第二，互联互通原则。
第三，关键数据评估管理原则。
第四，保护个人隐私的原则。
第五，防火墙原则。

‘拾’ 信息安全策略应遵循哪些基本原则

实施原则

1、最小特权原则

最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权利。

2、最小泄露原则

最小泄露原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权利。

3、多级安全策略

多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、机密（C）、秘密（S）、限制（RS）和无级别（U）5级来划分。

(10)网络安全管理总结原则扩展阅读

所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

1、保密性

阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。

而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。

2、完整性

防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。

3、可用性

授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。

4、可控性

对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。

5、不可否认性

在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

除了上述的信息安全五性外，还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。