為什麼要構造網路安全體系

⑴ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

⑵ 為什麼要研究網路安全

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

1 .網路安全概述

隨著計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互連網（Internet）的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。

因此計算機安全問題，應該象每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

2 .物理安全分析

網路的物理安全是整個網路系統安全的前提。在校園網工程建設中，由於網路系統屬於弱電工程，耐壓值很低。因此，在網路工程的設計和施工中，必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬體；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要盡量避免網路的物理安全風險。

3 .網路結構的安全分析

網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時，內部網路的機器安全就會受到威脅，同時也影響在同一網路上的許多其他系統。透過網路傳播，還會影響到連上Internet/Intrant的其他的網路；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開伺服器（WEB、DNS、EMAIL等）和外網及內部其它業務網路進行必要的隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

4 .系統的安全分析

所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。

5 .應用系統的安全分析

應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。

--應用系統的安全是動態的、不斷變化的。

⑶ 網路安全體系結構的設計目標是什麼

一、 需求與安全
信息——信息是資源，信息是財富。信息化的程度已經成為衡量一個國家，一個單位綜合技術水平，綜合能力的主要標志。從全球范圍來看，發展信息技術和發展信息產業也是當今競爭的一個制高點。
計算機信息技術的焦點集中在網路技術，開放系統，小型化，多媒體這四大技術上。
安全——internet的發展將會對社會、經濟、文化和科技帶來巨大推動和沖擊。但同時，internet在全世界迅速發展也引起了一系列問題。由於internet強調它的開放性和共享性，其採用的tcp/ip、snmp等技術的安全性很弱，本身並不為用戶提供高度的安全保護，internet自身是一個開放系統，因此是一個不設防的網路空間。隨著internet網上用戶的日益增加，網上的犯罪行為也越來越引起人們的重視。
對信息安全的威脅主要包括：
內部泄密
內部工作人員將內部保密信息通過e－mail發送出去或用ftp的方式送出去。
「黑客」入侵
「黑客」入侵是指黑客通過非法連接、非授權訪問、非法得到服務、病毒等方式直接攻入內部網，對其進行侵擾。這可直接破壞重要系統、文件、數據，造成系統崩潰、癱瘓，重要文件與數據被竊取或丟失等嚴重後果。
電子諜報
外部人員通過業務流分析、竊取，獲得內部重要情報。這種攻擊方式主要是通過一些日常社會交往獲取有用信息，從而利用這些有用信息進行攻擊。如通過竊聽別人的談話，通過看被攻擊對象的公報等獲取一些完整或不完整的有用信息，再進行攻擊。
途中侵擾
外部人員在外部線路上進行信息篡改、銷毀、欺騙、假冒。
差錯、誤操作與疏漏及自然災害等。
信息戰——信息系統面臨的威脅大部分來源於上述原因。對於某些組織，其威脅可能有所變化。全球范圍 內的競爭興起，將我們帶入了信息戰時代。
現代文明越來越依賴於信息系統，但也更易遭受信息戰。信息戰是對以下方面數據的蓄意攻擊：
�機密性和佔有性
�完整性和真實性
�可用性與佔用性
信息戰將危及個體、團體；政府部門和機構；國家和國家聯盟組織。信息戰是延伸進和經過cyberspace進行的戰爭新形式。
如果有必要的話，也要考慮到信息戰對網路安全的威脅。一些外國政府和有組織的恐怖分子、間諜可能利用「信息戰」技術來破壞指揮和控制系統、公用交換網和其它國防部依靠的系統和網路以達到破壞軍事行動的目的。造成災難性損失的可能性極大。從防禦角度出發，不僅要考慮把安全策略制定好，而且也要考慮到信息基礎設施應有必要的保護和恢復機制。
經費——是否投資和投資力度
信息系統是指社會賴以對信息進行管理、控制及應用的計算機與網路。其信息受損或丟失的後果將影響到社會各個方面。
在管理中常常視安全為一種保障措施，它是必要的，但又令人討厭。保障措施被認為是一種開支而非一種投資。相反地，基於這樣一個前提，即系統安全可以防止災難。因此它應是一種投資，而不僅僅是為恢復所付出的代價。

二、 風險評估
建網定位的原則：國家利益，企業利益，個人利益。
信息安全的級別：
1.最高級為安全不用
2.秘密級：絕密，機密，秘密
3.內部
4.公開
建網的安全策略，應以建網定位的原則和信息安全級別選擇的基礎上制定。
網路安全策略是網路安全計劃的說明，是設計和構造網路的安全性，以防禦來自內部和外部入侵者的行動 計劃及阻止網上泄密的行動計劃。
保險是對費用和風險的一種均衡。首先，要清楚了解你的系統對你的價值有多大，信息值須從兩方面考慮：它有多關鍵，它有多敏感。其次，你還須測定或者經常的猜測面臨威脅的概率，才有可能合理地制定安全策略和進程。
風險分析法可分為兩類：定量風險分析和定性風險分析。定量風險分析是建立在事件的測量和統計的基礎上，形成概率模型。定量風險分析最難的部分是評估概率。我們不知道事件何時發生，我們不知道這些攻擊的代價有多大或存在多少攻擊；我們不知道外部人員造成的人為威脅的比重為多少。最近，利用適當的概率分布，應用monte carlo(蒙特卡羅)模擬技術進行模塊風險分析。但實用性不強，較多的使用定性風險。
風險分析關心的是信息受到威脅、信息對外的暴露程度、信息的重要性及敏感度等因素，根據這些因素進行綜合評價。
一般可將風險分析列成一個矩陣：
將以上權重組合，即：
得分 = ( 威脅 × 透明 ) ＋ ( 重要性 × 敏感度 )
= ( 3 × 3 ) ＋ ( 5 × 3) = 24
根據風險分析矩陣可得出風險等級為中風險。
網路安全策略開發必須從詳盡分析敏感性和關鍵性上開始。風險分析，在信息戰時代，人為因素也使風險分析變得更難了。

三、體系結構
應用系統工程的觀點、方法來分析網路的安全，根據制定的安全策略，確定合理的網路安全體系結構。
網路劃分：
1、公用網
2、專用網：
（1）保密網
（2）內部網
建網的原則：
從原則上考慮：例如選取國家利益。
從安全級別上：1，最高級為安全不用，無論如何都是不可取的。2，3，4 全部要考慮。
因此按保密網、內部網和公用網或按專用網和公用網來建設，採用在物理上絕對分開，各自獨立的體系結構。

四、公用網
舉例說明（僅供參考），建網初期的原則：
1、任何內部及涉密信息不準上網。
2、以外用為主，獲取最新相關的科技資料，跟蹤前沿科技。
3、只開發e－mail，ftp，www功能，而telnet，bbs不開發，telnet特殊需要的經批准給予臨時支持。說明一下，建網時，www功能還沒有正常使用。
4、撥號上網嚴格控制，除領導，院士，專家外，一般不批准。原因是，撥號上網的隨意性和方便性使得網路安全較難控制。
5、網路用戶嚴格經領導、保密辦及網路部三個部門審批上網。
6、單位上網機器與辦公機器截然分開，定期檢查。
7、簽定上網保證書，確定是否非政治，非保密，非黃毒信息的上網，是否侵犯知識產權，是否嚴格守法。
8、對上網信息的內容進行審查、審批手續。
為了使更多的科技人員及其他需要的人員上網，採用逐步分階段實施，在安全設施配齊後，再全面開放。

五、公用網路安全設施的考慮
1. 信息稽查：從國家利益考慮，對信息內容進行審查、審批手續。
信息截獲，稽查後，再傳輸是最好的辦法。由於機器速度慢，決定了不可能實時地進行信息交流，因而難於實時稽查。
信息復制再分析是可行的辦法。把信件及文件復制下來，再按涉密等關鍵片語檢索進行檢查，防止無意識泄密時有據可查。起到威懾作用和取證作用。
2. 防火牆：常規的安全設施。
3. 網路安全漏洞檢查：各種設備、操作系統、應用軟體都存在安全漏洞，起到堵和防的兩種作用。
4. 信息代理：
（1）主要從保密上考慮。如果一站點的某一重要信息，被某一單位多人次的訪問，按概率分析，是有必然的聯系，因此是否暴露自己所從事的事業。
（2）可以提高信息的交換速度。
（3）可以解決ip地址不足的問題。
5. 入侵網路的安全檢查設施，應該有。但是，由於事件和手法的多樣性、隨機性，難度很大，目前還不具備，只能使用常規辦法，加上人員的分析。

六、 專用網路及單機安全設施的考慮，重點是保密網
1，專用屏蔽機房；
2，低信息輻射泄露網路；
3，低信息輻射泄露單機。

七、安全設備的選擇原則
不能讓外國人給我們守大門
1、按先進國家的經驗，考慮不安全因素，網路介面設備選用本國的，不使用外國貨。
2、網路安全設施使用國產品。
3、自行開發。
網路的拓撲結構：重要的是確定信息安全邊界
1、一般結構：外部區、公共服務區、內部區。
2、考慮國家利益的結構：外部區、公共服務區、內部區及稽查系統和代理伺服器定位。
3、重點考慮撥號上網的安全問題：遠程訪問伺服器，放置在什麼位置上，能滿足安全的需求。

八、 技術和管理同時並舉
為了從技術上保證網路的安全性，除對自身面臨的威脅進行風險評估外，還應決定所需要的安全服務種類，並選擇相應的安全機制，集成先進的安全技術。
歸納起來，考慮網路安全策略時，大致有以下步驟：
� 明確安全問題：明確目前和近期、遠期的網路應用和需求；
� 進行風險分析，形成風險評估報告，決定投資力度；
� 制定網路安全策略；
� 主管安全部門審核；
� 制定網路安全方案，選擇適當的網路安全設備，確定網路安全體系結構；
� 按實際使用情況，檢查和完善網路安全方案。

⑷ 為什麼需要網路體系結構

將數據中固有的模式進行組織，化復雜繁瑣為簡單明晰；創建信息結構或地圖，以便讓他人獲得自身所需的知識。

計算機網路結構可以從網路體系（Network Architecture）結構，網路組織和網路配置三個方面來描述。

網路體系結構是從功能上來描述，指計算機網路層次結構模型和各層協議的集合；網路組織是從網路的物理結構和網路的實現兩方面來描述；網路配置是從網路應用方面來描述計算機網路的布局、硬體、軟體和通信線路。

網路體系結構具有適用性

在所有的計算機網路的研究中，雖然會在一些具體的需求項目上存在差異性和不適用性，但仍能夠滿足大部分用戶對於網路服務的要求，實現網路資源的共享和網路交流。網路技術基本上都追求的是遠距離的信息傳輸和遠程通信和資源共享的實現。

同時，不同的計算機網路雖然會在其覆蓋范圍、通信媒介、設備種類、拓撲結構等存在著或多或少的差別，但同樣的物體必然存在共性，例如計算機網路的結構搭建思想是不變的，協議標準是規定好的，只是不同計算機網路的復雜程度不同，運用到的標准協議的多少有差異而已。

而網路體系結構的研究中，一個重要領域就是對計算機網路中這些具有普遍性的思想和有共性的標准協議進行研究，並由此建立了一整套具有普適性特點的科學的理論研究方法，同時一系列的切實可行的工程技術方法也被開發出來。因此，網路體積結構具有統領所有計算機網路研究的普適性。

⑸ 企業為什麼要建設網路信息安全

網路安全是21世紀世界十大熱門課題之一，已經成為世界關注的焦點。 網路安全威脅對我國安全的影響主要體現在： 對網路安全各種技術及研發和應用，管理（成立中央網路信息安全領導小組等組織機構、經濟和國防等安全保障體系）的加強和改進，以及法律、法規、政策、策略、規范、標准、機制、規劃和措施等。實際上，網路安全是個系統工程，網路安全技術需要與安全管理和保障措施緊密結合，才能更好地發揮作用。 具體參見：上海高校優秀教材獎 賈鐵軍教授主編 網路安全技術及應用（第2版）。

⑹ 談談對網路安全的認識

網路空間安全專業是網路空間安全一級學科下的專業，學科代碼為「083900」，授予「工學」學位，涉及到以信息構建的各種空間領域，研究網路空間的組成、形態、安全、管理等。網路空間安全專業，致力於培養「互聯網+」時代能夠支撐國家網路空間安全領域的具有較強的工程實踐能力，系統掌握網路空間安全的基本理論和關鍵技術，能夠在網路空間安全產業以及其他國民經濟部門，從事各類網路空間相關的軟硬體開發、系統設計與分析、網路空間安全規劃管理等工作，具有強烈的社會責任感和使命感、寬廣的國際視野、勇於探索的創新精神和實踐能力的拔尖創新人才和行業高級工程人才。

⑺ 計算機網路安全體系結構包括什麼

計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的。

對於一個系統而言，首先要以硬體電路等物理設備為載體，然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備，用戶可以搭建自己所需要的通信網路，對於小范圍的無線區域網而言，人們可以使用這 些設備搭建用戶需要的通信網路，最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵，這種防護措施可以作為一種通信協議保護。

計算機網路安全廣泛採用WPA2加密協議實現協議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以講驅動程序看作為操作系統的一部分，經過注冊表注冊後，相應的網路 通信驅動介面才能被通信應用程序所調用。網路安全通常是指網路系統中的硬體、軟體要受到保護，不能被更改、泄露和破壞，能夠使整個網路得到可持續的穩定運 行，信息能夠完整的傳送，並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。

(7)為什麼要構造網路安全體系擴展閱讀

計算機安全的啟示：

1、按先進國家的經驗，考慮不安全因素，網路介面設備選用本國的，不使用外國貨。

2、網路安全設施使用國產品。

3、自行開發。

網路的拓撲結構：重要的是確定信息安全邊界

1、一般結構：外部區、公共服務區、內部區。

2、考慮國家利益的結構：外部區、公共服務區、內部區及稽查系統和代理伺服器定位。

3、重點考慮撥號上網的安全問題：遠程訪問伺服器，放置在什麼位置上，能滿足安全的需求。

⑻ 什麼是網路安全，為何要注重網路安全

網路的安全是指通過採用各種技術和管理措施，使網路系統正常運行，從而確保網路數據的可用性、完整性和保密性。網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護。而從企業的角度來說，最重要的就是內部信息上的安全加密以及保護。
為數據處理系統建立和採用的技術和管理的安全保護，保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露。
選擇適當的技術和產品，如基於NACC、802.1x、EOU技術的UniNAC網路准入、終端安全管理產品，利用此類產品性能制訂靈活的網路安全策略，在保證網路安全的情況下，提供靈活的網路服務通道。
採用適當的安全體系設計和管理計劃，能夠有效降低網路安全對網路性能的影響並降低管理費用。
隨著計算機技術的飛速發展，信息網路已經成為社會發展的重要保證。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。同時，網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。 網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。 網路安全應具有以下四個方面的特徵： 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊； 可控性：對信息的傳播及內容具有控制能力。 從網路運行和管理者角度說，他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅，制止和防禦網路黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網路上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。 隨著計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互連網（Internet）的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。 因此計算機安全問題，應該象每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

⑼ 如何構建企業的網路安全體系

應重點加強對產品研發的信息安全保障，提升企業信息安全防護意識。信息安全保障如下：網路安全、終端安全、數據安全、文檔安全管理等幾個方面。上網行為管理網關、終端安全（列印機、U盤、上網行為管控、移動設備訪問）、數據安全（文件加密、U盤加密等加密類產品）、文檔安全管理（雲文檔存儲、文件外發安全），全方位保護企業信息安全……防患於未然
產品代表天銳綠盾、賽門鐵克，但鐵克做備份和殺毒，天銳綠盾做企業信息安全

⑽ 網路體系結構的內容是什麼，為什麼需要網路體系結構

網路體系結構是指通信系統的整體設計，它為網路硬體、軟體、協議、存取控制和拓撲提供標准。它廣泛採用的是國際標准化組織（ISO）在1979年提出的開放系統互連（OSI-Open System Interconnection)的參考模型。

...