《网络信息安全建设规划方案标准文本》.docVIP

PAGE  -  PAGE 25 - XX网络信息安全建设规划 一、概述 概述xx网络的功能和职责及所处的政治意义。 XX作为xxx。其信息通讯的安全就尤为重要,根据XX网络的复杂运用情况，将通过多种手段的综合运用，最终实现了内外网安全的目的. （一）XX配套设施基本情况 简述xx网络建设的基本情况。 （二）信息化建设中的网络安全； 建立计算机信息系统安全保护，是XX建设计算机信息系统工作中的一件大事，它直接关系到行业内的计算机信息系统建设和管理，是一项复杂的科学化的系统工程，需要投入一定量的精力进行参与。由于Internet是一个开放的网络，存在大量网络黑客甚至黑客组织，出于不同目的，对各站点攻击并篡改页面的事件层出不穷。网上是政府在网上的形象，网上政府发布的一些重要新闻、重大方针政策、法规具有权威性， 如果一旦被黑客篡改，将影响政府形象，甚至造成重大的政治经济损失。为保证信息的准确性时效性我门将在下面全面描述网络安全的设计方案. （三）xx网络建设现状、存在主要问题 针对XX网络建设的情况，结合国家公安部、国家保密局及国家安全评测中心的政策和相关安全建立标准，我们可以把全网的信息安全划分为六个层次：物理层、网络层、操作系统、数据库层、应用层及操作层，然后针对每个层次上可能出现的问题一一分析。 3.1 物理层安全威胁分析 物理层指的是整个网络中存在的所有的信息机房、通信线路、网络设备、安全设备等，保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。然而，这些设备都面临着地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程，设备安全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、电磁干扰、断电、服务器宕机以及物理设备的损坏等等。这些都对整个网络的基础设备及上层的各种应用有着严重的安全威胁，这些事故一旦出现，就会使整个网络不可用，给用户造成极大的损失。 信息机房周边对设备运行产生不良影响的环境条件，如：周边环境温度、空气湿度等。 供电系统产生的安全威胁，UPS自身的安全性。 各种移动存储媒体(如软盘、移动硬盘、USB盘、光盘等)在应用后得不到及时的处置，也会造成机密信息的外泄。 网络安全设备直接暴露在非超级管理人员或外来人员的面前，外来人员有可能直接使安全设备丧失功能，为以后的侵入打下基础，如：直接关掉入侵检测系统的电源、关掉防病毒系统等。 外来人员及非超级管理人员可以直接对一些设备进行操作，更改通信设备(如交换机、路由器的口令)、安全设备(如更改防火墙的安全策略配置)等。 3.2 网络层安全威胁分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出 等手段进行攻击。 下面分几个部分对网络层安全进行分析。 3.2.1 网络设备安全威胁分析 在网络中的重要的安全设备如路由器、三层交换机等有可能存在着以下的安全威胁：（以最常用的路由器为例） 路由器缺省情况下只使用简单的口令验证用户的身份，并且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能的，所有每个人都可以不限数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令，因此，路由器对于谁曾经作过什么修改，系统没有跟踪审计能力。 路由器实现的动态路由协议存在着一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备。 针对路由器的拒绝服务攻击或分布式拒绝服务攻击。 发布假路由，路由欺骗，导致整个网络的路由混乱。 3.2.2 子网边界安全风险分析 网络系统可以看作由多个子网组成，每个子网都是一个独立的系统，各子网之间主要存在的安全风险包括： 内部用户的恶意攻击：就网络安全来说，据统计约有70％左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。 入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序???内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网的重要信息。 入