機(jī)關(guān)單位網(wǎng)絡(luò)安全使用管理辦法

機(jī)關(guān)單位網(wǎng)絡(luò)安全使用管理辦法日常工作中經(jīng)常需要參考借鑒網(wǎng)絡(luò)安全,管理辦法,機(jī)關(guān),單位相關(guān)內(nèi)容？不知道網(wǎng)絡(luò)安全,管理辦法,機(jī)關(guān),單位相關(guān)文章寫作格式寫法？閱讀以下為您編輯的機(jī)關(guān)單位網(wǎng)絡(luò)安全使用管理辦法文章，希望對(duì)您能有所幫助。

篇1:機(jī)關(guān)單位網(wǎng)絡(luò)安全使用管理辦法

**機(jī)關(guān)單位網(wǎng)絡(luò)安全使用管理辦法

第一章

總則

第一條

為加強(qiáng)我單位網(wǎng)絡(luò)安全使用的管理，實(shí)現(xiàn)管理的科學(xué)化、規(guī)范化和制度化，依據(jù)國(guó)家對(duì)網(wǎng)絡(luò)系統(tǒng)管理的相關(guān)規(guī)定，特制定本辦法。

第二條

本辦法適用于接入本大廈網(wǎng)絡(luò)的相關(guān)單位。

第三條

內(nèi)網(wǎng)是指使用私網(wǎng)IP地址為**.**.**.**的整個(gè)B類地址范圍內(nèi)的機(jī)器設(shè)備。外網(wǎng)是指使用公網(wǎng)IP地址為**.**.**.**的整個(gè)C類地址范圍內(nèi)的機(jī)器設(shè)備。

第二章

管理機(jī)構(gòu)及其職責(zé)

第四條

安全工作委員會(huì)是網(wǎng)絡(luò)安全使用的管理機(jī)構(gòu)。安全工作委員會(huì)辦公室（以下簡(jiǎn)稱辦公室）、下屬單位辦公室和接入本大廈網(wǎng)絡(luò)的相關(guān)單位辦公室協(xié)同負(fù)責(zé)網(wǎng)絡(luò)安全使用管理。

第五條

辦公室負(fù)責(zé)網(wǎng)絡(luò)IP地址和無(wú)線路由器使用的登記備案管理工作，召集下屬單位辦公室主任會(huì)，及時(shí)傳達(dá)國(guó)家互聯(lián)網(wǎng)管理要求。

第六條

保衛(wèi)處負(fù)責(zé)主干網(wǎng)絡(luò)設(shè)備的運(yùn)營(yíng)與維護(hù)，負(fù)責(zé)各單位網(wǎng)管員登記備案和技術(shù)培訓(xùn)，并依據(jù)辦公室下發(fā)的IP地址登記備案表對(duì)IP地址進(jìn)行分配管理和上網(wǎng)行為監(jiān)控。

第七條

各單位辦公室要指定網(wǎng)管員負(fù)責(zé)本單位的IP地址分配、登記及本單位網(wǎng)絡(luò)設(shè)備的維護(hù)管理,并負(fù)責(zé)相應(yīng)的安全管理工作。

第八條

下屬單位辦公室作為責(zé)任部門向辦公室負(fù)責(zé)；辦公室向安全工作委員會(huì)及上級(jí)管理部門負(fù)責(zé)。

第三章

內(nèi)網(wǎng)IP地址的管理

第九條

各單位要嚴(yán)格管理現(xiàn)在使用的互聯(lián)網(wǎng)內(nèi)網(wǎng)IP地址,要做到內(nèi)網(wǎng)IP地址與MAC地址及人員一一對(duì)應(yīng)；互聯(lián)網(wǎng)內(nèi)網(wǎng)IP地址應(yīng)由各單位指定網(wǎng)管員負(fù)責(zé)分配,統(tǒng)一管理,并進(jìn)行備案。備案表要上報(bào)辦公室備案管理人。發(fā)生內(nèi)網(wǎng)IP地址的增減應(yīng)及時(shí)更改備案表，并及時(shí)通知辦公室備案管理人進(jìn)行備案表的更改，內(nèi)網(wǎng)IP地址備案后方可使用。（見(jiàn)附表1）

第十條

辦公室分配給各單位的VLAN

地址使用及管理權(quán)在單位辦公室；各單位要加強(qiáng)管理，杜絕違反國(guó)家互聯(lián)網(wǎng)管理?xiàng)l例的事件發(fā)生。

第十一條

各單位使用無(wú)線網(wǎng)絡(luò)設(shè)備必須向辦公室申請(qǐng)，經(jīng)辦公室批準(zhǔn)及備案后方可使用；無(wú)線網(wǎng)絡(luò)設(shè)備每月要定期更改密碼，對(duì)使用無(wú)線網(wǎng)絡(luò)人員要有備案；禁止員工私自架設(shè)無(wú)線網(wǎng)絡(luò)設(shè)備。（見(jiàn)附表2）

第四章

外網(wǎng)IP地址的管理

第十二條

各單位如需設(shè)立網(wǎng)站、郵件服務(wù)器等公網(wǎng)服務(wù)器，必須將服務(wù)器統(tǒng)一安置到主機(jī)房，并按照保衛(wèi)處網(wǎng)管人員安排放置入指定機(jī)柜中，各單位應(yīng)當(dāng)保持服務(wù)器清潔、干凈，對(duì)放置于機(jī)柜的服務(wù)器必須做好公司標(biāo)識(shí)。

第十三條

各單位使用公網(wǎng)IP地址必須向辦提出申請(qǐng)，經(jīng)辦同意后，由保衛(wèi)處網(wǎng)管人員統(tǒng)一分配。IP地址一經(jīng)分配后，單位要指定網(wǎng)管員負(fù)責(zé)管理,及時(shí)填好備案表,并上報(bào)辦公室備案管理人。IP地址不用時(shí)應(yīng)當(dāng)及時(shí)上報(bào)撤銷。

第五章

上網(wǎng)行為管理

第十四條

各單位必須嚴(yán)格按照國(guó)家互聯(lián)網(wǎng)相關(guān)規(guī)定規(guī)范員工的上網(wǎng)行為，對(duì)違反國(guó)家互聯(lián)網(wǎng)規(guī)定的行為必須嚴(yán)格禁止，一經(jīng)發(fā)現(xiàn)將按國(guó)家互聯(lián)網(wǎng)相關(guān)規(guī)定及相關(guān)規(guī)定進(jìn)行處罰。違反法律規(guī)定,構(gòu)成犯罪的,將依法追究刑事責(zé)任。

第十五條

上班時(shí)間禁止玩網(wǎng)絡(luò)游戲，禁止使用多線程下載工具，禁止在網(wǎng)絡(luò)上做有關(guān)部門明令禁止的網(wǎng)絡(luò)行為。管理系統(tǒng)將對(duì)所有網(wǎng)絡(luò)用戶進(jìn)行實(shí)時(shí)監(jiān)控，并保留用戶的上網(wǎng)行為日志，以備日后查詢。

第十六條

科研測(cè)試系統(tǒng)如需接入大廈網(wǎng)絡(luò)，須經(jīng)保衛(wèi)處審查同意后，報(bào)辦公室審批。

第十七條

所有網(wǎng)絡(luò)用戶不得制作、復(fù)制、發(fā)布、傳播含有下列內(nèi)容的信息：

（一）反對(duì)憲法所確定的基本原則的；

（二）危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的；

（三）損害國(guó)家榮譽(yù)和利益的；

（四）煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的；

（五）破壞國(guó)家宗教政策，宣揚(yáng)*和封建迷信的；

（六）散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定的；

（七）散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；

（八）侮辱或者誹謗他人，侵害他人合法權(quán)益的；

（九）含有法律、行政法規(guī)禁止的其他內(nèi)容的。

第六章

主機(jī)房管理

第十八條

各單位網(wǎng)管員要嚴(yán)格管理機(jī)房門禁密碼，禁止將機(jī)房門密碼透露給其它人員，禁止帶領(lǐng)與工作無(wú)關(guān)的人員進(jìn)入機(jī)房。

第十九條

工作人員、到訪人員出入要進(jìn)行登記。（附表3：機(jī)房出入登記單）。進(jìn)入機(jī)房后，在指定的工作區(qū)作業(yè)，禁止操作非本單位的設(shè)備、設(shè)施。機(jī)房視頻監(jiān)控系統(tǒng)對(duì)機(jī)房?jī)?nèi)所有活動(dòng)進(jìn)行24小時(shí)監(jiān)控，以備日后查詢。

第二十條

各單位網(wǎng)管員必須嚴(yán)格遵守著作權(quán)法，禁止使用盜版軟件、非法軟件、淫穢軟件，并負(fù)有對(duì)網(wǎng)絡(luò)用戶的監(jiān)督職責(zé)。一經(jīng)發(fā)現(xiàn)上述違法行為，立即銷毀軟件、并追究行為人的法律責(zé)任。

第二十一條

禁止在服務(wù)器上進(jìn)行試驗(yàn)性質(zhì)的軟件調(diào)試，禁止在服務(wù)器上隨意安裝軟件。需要對(duì)服務(wù)器進(jìn)行配置的，必須在其它可進(jìn)行試驗(yàn)的機(jī)器上調(diào)試通過(guò)并確認(rèn)可行后，才能在服務(wù)器上實(shí)施。

第七章

匯聚層機(jī)房管理

第二十二條

機(jī)房由所在層網(wǎng)管人員負(fù)責(zé)管理和維護(hù)，無(wú)關(guān)人員未經(jīng)許可不得進(jìn)入機(jī)房。

第二十三條

機(jī)房?jī)?nèi)交換機(jī)和通信配線柜是大廈網(wǎng)絡(luò)通信系統(tǒng)的關(guān)鍵設(shè)備，任何單位和個(gè)人不得擅自更改或挪動(dòng)。

第二十四條

保持場(chǎng)地清潔、衛(wèi)生，不得存放易燃易爆和強(qiáng)磁物品及其它與機(jī)房工作無(wú)關(guān)的物品，杜絕安全隱患。

第八章

附則

第二十五條

凡違反網(wǎng)絡(luò)管理辦法的單位和個(gè)人，將依情節(jié)輕重給予批評(píng)教育，責(zé)令整改；對(duì)情節(jié)特別嚴(yán)重的或造成經(jīng)濟(jì)損失的，將通報(bào)批評(píng)、追究責(zé)任并禁止接入網(wǎng)絡(luò);對(duì)違反國(guó)家法律法規(guī),構(gòu)成犯罪的,依法追究刑事責(zé)任。

第二十六條

本辦法自發(fā)布之日起執(zhí)行。

附表1IP地址備案表

單位名稱:

責(zé)任人:

聯(lián)系電話:

所屬部門

使用者

IP地址

MAC地址

聯(lián)系電話

制表人（網(wǎng)管員）：年

附表2無(wú)線網(wǎng)絡(luò)備案表

單位名稱:

責(zé)任人:

聯(lián)系電話:

所屬部門

設(shè)備管理人

無(wú)線設(shè)備IP地址

DHCP地址池

聯(lián)系電話

附表3機(jī)房出入登記單

年度

月/日

來(lái)賓姓名

來(lái)賓單位

攜帶物品

工作內(nèi)容

進(jìn)入時(shí)間

離開時(shí)間

陪同人（簽字）

備注

時(shí)分

篇2:校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)計(jì)

1、網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問(wèn)INTERNET的時(shí)候，通過(guò)局域網(wǎng)共享文件的時(shí)候，通過(guò)U盤，光盤拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。

病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬(wàn)兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問(wèn)得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫(kù)、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無(wú)意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來(lái)，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)?lái)很多麻煩的網(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬(wàn)的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。

3、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶

安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶原因：

國(guó)家的要求：2002年，*簽署了282號(hào)令，要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。

校園網(wǎng)正常運(yùn)行的需求：如果說(shuō)不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無(wú)忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成"黑客"娛樂(lè)的天堂，更嚴(yán)重的是，如果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的比如法*的言論，這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無(wú)法處理，學(xué)?；蛘哒f(shuō)網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。

安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是大有影響的。

5、用戶上網(wǎng)時(shí)間的控制

無(wú)法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來(lái)限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期發(fā)展是及其不利的。

6、用戶網(wǎng)絡(luò)權(quán)限的控制

在校園網(wǎng)中，不同用戶的訪問(wèn)權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問(wèn)資源服務(wù)器，上網(wǎng)，不能訪問(wèn)辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問(wèn)財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽

校園網(wǎng)中常見(jiàn)的網(wǎng)絡(luò)攻擊比如MAC

FLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了校園網(wǎng)的效率。

網(wǎng)絡(luò)攻擊的防范

1、常見(jiàn)網(wǎng)絡(luò)病毒的防范

對(duì)于常見(jiàn)的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過(guò)部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。

2、未知網(wǎng)絡(luò)病毒的防范

對(duì)于未知的網(wǎng)絡(luò)病毒，通過(guò)在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫(kù)、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。

3、防止IP地址盜用和ARP攻擊

通過(guò)對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC

Flood/SYNFlood攻擊

通過(guò)部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問(wèn)，追查惡意用戶。有效的防止通過(guò)假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。

6、對(duì)DOS攻擊，掃描攻擊的屏蔽

通過(guò)在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。

篇3:某企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案

重慶工業(yè)職業(yè)技術(shù)學(xué)院

《信息安全》課程實(shí)訓(xùn)報(bào)告

題目：企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案

班級(jí)：11信安301

姓名：

指導(dǎo)老師：

責(zé)任系部：信息工程學(xué)院

**企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案

1、企業(yè)網(wǎng)絡(luò)分析

**科技有限公司是一家以信息安全產(chǎn)品銷售為主營(yíng)業(yè)務(wù)的小型企業(yè)，公司網(wǎng)絡(luò)通過(guò)中國(guó)聯(lián)通光纖接入Internet。

該公司擁有子公司若干，并與其它信息安全產(chǎn)品銷售公司建立了兄弟公司關(guān)系。為了適應(yīng)業(yè)務(wù)的發(fā)展的需要，實(shí)現(xiàn)信息的共享，協(xié)作和通訊，并和各個(gè)部門互連，對(duì)該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。

2、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析

2.1黑客攻擊

"黑客"（Hack）對(duì)于大家來(lái)說(shuō)可能并不陌生，他們是一群利用自己的技術(shù)專長(zhǎng)專門攻擊網(wǎng)站和計(jì)算機(jī)而不暴露身份的計(jì)算機(jī)用戶，由于黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展，目前世界上約有20多萬(wàn)個(gè)黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊"殺傷力"強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)來(lái)看，黑客攻擊的方式也越來(lái)越多的采用了病毒進(jìn)行破壞，它們采用的攻擊和破壞方式多種多樣，對(duì)沒(méi)有網(wǎng)絡(luò)安全防護(hù)設(shè)備（防火墻）的網(wǎng)站和系統(tǒng)（或防護(hù)級(jí)別較低）進(jìn)行攻擊和破壞，這給網(wǎng)絡(luò)的安全防護(hù)帶來(lái)了嚴(yán)峻的挑戰(zhàn)。2.2網(wǎng)絡(luò)自身和管理存在欠缺

網(wǎng)絡(luò)的共享性和開放性使網(wǎng)上信息安全存在先天不足，網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理，沒(méi)有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國(guó)90％的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前美國(guó)75％－85％的網(wǎng)站都抵擋不住黑客的攻擊，約有75％的企業(yè)網(wǎng)上信息失竊。

2.3軟件設(shè)計(jì)的漏洞或"后門"而產(chǎn)生的問(wèn)題

隨著軟件系統(tǒng)規(guī)模的不斷增大，新的軟件產(chǎn)品開發(fā)出來(lái)，系統(tǒng)中的安全漏洞或"后門"也不可避免的存在，比如我們常用的操作系統(tǒng)，無(wú)論是Windows還是UNI*幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過(guò)存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞，不可能完美無(wú)缺。

2.5惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)站惡意編制一些盜取他人信息的軟件，并且可能隱藏在下載的信息中，只要登錄或者下載網(wǎng)絡(luò)的信息就會(huì)被其控制和感染病毒，計(jì)算機(jī)中的所有信息都會(huì)被自動(dòng)盜走，該軟件會(huì)長(zhǎng)期存在你的計(jì)算機(jī)中，操作者并不知情，如"木馬"病毒。因此，不良網(wǎng)站和不安全網(wǎng)站萬(wàn)不可登錄，否則后果不堪設(shè)想。

2.6用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問(wèn)題

網(wǎng)絡(luò)內(nèi)部用戶的誤操作，資源濫用和惡意行為也有可能對(duì)網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè)，各單位現(xiàn)在都在建局域網(wǎng)，計(jì)算機(jī)使用頻繁，但是由于單位管理制度不嚴(yán)，不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定，都容易引起一系列安全問(wèn)題。

2.7競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊

**企業(yè)是以銷售為主的it行業(yè)，所以用戶信息異常珍貴和重要，如果遭到競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊，后果不堪設(shè)想。

3、安全系統(tǒng)建設(shè)原則

（1）整體性原則："木桶原理"，單純一種安全手段不可能解決全部安全問(wèn)題;

（2）多重保護(hù)原則：不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;

（3）性能保障原則：安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i;

（4）平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡;

（5）可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動(dòng)化，以減輕安全管理的負(fù)擔(dān)，同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅;

（6）適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來(lái)障礙的情況發(fā)生;

（7）高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;

（8）技術(shù)與管理并重原則："三分技術(shù)，七分管理"，從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定，并從管理的角度評(píng)估安全設(shè)計(jì)方案的可操作性

（9）投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi)。

4、網(wǎng)絡(luò)安全總體設(shè)計(jì)

4.1需求分析

根據(jù)**企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)，根據(jù)***企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)：

1、數(shù)據(jù)安全保護(hù),使用加密技術(shù),保護(hù)重要數(shù)據(jù)的保密性.

2、網(wǎng)絡(luò)系統(tǒng)安全,防火墻的設(shè)置

3、物理安全,應(yīng)用硬件等安裝配置.

4、應(yīng)用系統(tǒng)安全,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩ＷC.

4.2方案綜述

1、首先設(shè)置VPN,方便內(nèi)網(wǎng)與外網(wǎng)的連接,虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).

2、設(shè)置防火墻，防火墻是對(duì)通過(guò)互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的信息進(jìn)行過(guò)濾的程序或硬件設(shè)備。所以如果過(guò)濾器對(duì)傳入的信息數(shù)據(jù)包進(jìn)行標(biāo)記，則不允許該數(shù)據(jù)包通過(guò)。能夠保證使用的網(wǎng)站的安全性，以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡(luò)正常運(yùn)行和軟硬件，數(shù)據(jù)的安全。防止服務(wù)器拒絕服務(wù)攻擊.

3、網(wǎng)絡(luò)病毒防護(hù)，采用網(wǎng)絡(luò)防病毒系統(tǒng).在網(wǎng)絡(luò)中部署被動(dòng)防御體系（防病毒系統(tǒng)）,采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。

4、設(shè)置DMZ，數(shù)據(jù)冗余存儲(chǔ)系統(tǒng).

將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中，把沒(méi)有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問(wèn)職責(zé)的主機(jī)放置于DMZ中，這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設(shè)置的新的障礙。

5、設(shè)置數(shù)據(jù)備份管理系統(tǒng)，專門備份企業(yè)重要數(shù)據(jù)。為避免客觀原因、自然災(zāi)害等原因造成的數(shù)據(jù)損壞、丟失，可采用異地備份方式。

6、雙重?cái)?shù)據(jù)信息保護(hù)，在重要部門以及工作組前設(shè)置交換機(jī)，可以在必要時(shí)候斷開網(wǎng)絡(luò)連接，防止網(wǎng)絡(luò)攻擊，并且設(shè)置雙重防火墻，進(jìn)出的數(shù)據(jù)都將受到保護(hù)。

7、設(shè)置備份服務(wù)器，用于因客觀原因、自然災(zāi)害等原因造成的服務(wù)器崩潰。

8、廣域網(wǎng)接入部分,采用入侵檢測(cè)系統(tǒng)（IDS）。對(duì)外界入侵和內(nèi)部人員的越界行為進(jìn)行報(bào)警。在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺(tái)交換機(jī)上和重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上裝上IDS。

9、系統(tǒng)漏洞分析。采用漏洞分析設(shè)備。

10、安全設(shè)備要求

5.1硬件設(shè)備

1、pc機(jī)若干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)；干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)；

2、交換機(jī)2臺(tái)；

3、服務(wù)器4臺(tái)；

4、防火墻5臺(tái)；

5、內(nèi)外網(wǎng)隔離卡

6、AMTTinnFORIDS。

5.2軟件設(shè)備

1、病毒防御系統(tǒng)；

2、查殺病毒軟件；

3、訪問(wèn)控制設(shè)置。

6、技術(shù)支持與服務(wù)

6.1虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開銷很大的路由器.由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽(tīng)口，信息交換也不會(huì)存在監(jiān)聽(tīng)和插入（改變）問(wèn)題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。

6.2防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).

6.2.1包過(guò)濾型

包過(guò)濾型技術(shù)是防火墻技術(shù)的一種,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù).網(wǎng)絡(luò)上的數(shù)據(jù)都是以"包"為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址,目標(biāo)地址,TCP/UDP源端口和目標(biāo)端口等.防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些"包"是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則.

6.3病毒防護(hù)技術(shù)

病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。

我們將病毒的途徑分為：

(1)通過(guò)FTP，電子郵件傳播。

(2)通過(guò)軟盤、光盤、磁帶傳播。

(3)通過(guò)Web游覽傳播，主要是惡意的Java控件網(wǎng)站。

(4)通過(guò)群件系統(tǒng)傳播。

病毒防護(hù)的主要技術(shù)如下：

(1)阻止病毒的傳播。

在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

(2)檢查和清除病毒。

使用防病毒軟件檢查和清除病毒。

(3)病毒數(shù)據(jù)庫(kù)的升級(jí)。

病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。

(4)在防火墻、代理服務(wù)器及PC上安裝Java及Active*控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

6.4入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。

實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時(shí)間。

入侵檢測(cè)系統(tǒng)可分為兩類：

基于主機(jī)

基于網(wǎng)絡(luò)

基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：

(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向