社区民意系统安全策略

《社区民意系统安全策略》由会员分享，可在线阅读，更多相关《社区民意系统安全策略（12页珍藏版）》请在装配图网上搜索。

1、太原市欧深电子科技有限公司社情民意系统安全策略随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。因此，网络系统必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。计算网络面临的威胁计算机网络络所面临临的威胁胁大体可可分为两两种：一一是对网网络中信信息的威威胁；二二是对网网络中设设备的威威胁

2、。影影响计算算机网络络的因素素很多，有有些因素素可能是是有意的的，也可可能是无无意的；可能是是人为的的，也可可能是非非人为的的；可能能是外来来黑客对对网络系系统资源源的非法法使有，归归结起来来，针对对网络安安全的威威胁主要要有三：(1)人为为的无意意失误：如操作作员安全全配置不不当造成成的安全全漏洞，用用户安全全意识不不强，用用户口令令选择不不慎，用用户将自自己的帐帐号随意意转借他他人或与与别人共共享等都都会对网网络安全全带来威威胁。(2)人为为的恶意意攻击：这是计计算机网网络所面面临的最最大威胁胁，黑客客的攻击击和计算算机犯罪罪就属于于这一类类。此类类攻击又又可以分分为以下下两种：一种是是主

3、动攻攻击，它它以各种种方式有有选择地地破坏信信息的有有效性和和完整性性；另一一类是被被动攻击击，它是是在不影影响网络络正常工工作的情情况下，进进行截获获、窃取取、破译译以获得得重要机机密信息息。这两两种攻击击均可对对计算机机网络造造成极大大的危害害，并导导致机密密数据的的泄漏。(3)网络络软件的的漏洞和和“后门门”：网网络软件件不可能能是百分分之百的的无缺陷陷和无漏漏洞的，然然而，这这些漏洞洞和缺陷陷恰恰是是黑客进进行攻击击的首选选目标，曾曾经出现现过的黑黑客攻入入网络内内部的事事件，这这些事件件的大部部分就是是因为安安全措施施不完善善所招致致的苦果果。另外外，软件件的“后后门”都都是软件件公

4、司的的设计编编程人员员为了自自便而设设置的，一一般不为为外人所所知，但但一旦“后后门”洞洞开，其其造成的的后果将将不堪设设想。系统构架本系统由信信访系统统为核心心，邮件件系统与与网站为为外围的的软件系系统，其其核心软软件硬件件结构与与防范示示意图如下软件防范图图软件部分除除采用授授客户端端访问服服务器结结构，杜杜绝由客客户端带带来的数数据安全全隐患外外，另利利用通用用防火墙墙，病毒毒过滤等等防范软软件对各各种恶意意攻击与与病毒进进行过滤滤扫描。以以保证系系统的正正常运行行。安全策略1、物理安安全策略略物理安全策策略的目目的是保保护计算算机系统统、网络络服务器器、打印印机等硬硬件实体体和通信信链

5、路免免受自然然灾害、人人为破坏坏和搭线线攻击；验证用用户的身身份和使使用权限限、防止止用户越越权操作作；确保保计算机机系统有有一个良良好的电电磁兼容容工作环环境；建建立完备备的安全全管理制制度，防防止非法法进入计计算机控控制室和和各种偷偷窃、破破坏活动动的发生生。抑制和防止止电磁泄泄漏（即即TEMMPESST技术术）是物物理安全全策略的的一个主主要问题题。目前前主要防防护措施施有两类类：一类类是对传传导发射射的防护护，主要要采取对对电源线线和信号号线加装装性能良良好的滤滤波器，减减小传输输阻抗和和导线间间的交叉叉耦合。另另一类是是对辐射射的防护护，这类类防护措措施又可可分为以以下两种种：一是是

6、采用各各种电磁磁屏蔽措措施，如如对设备备的金属属屏蔽和和各种接接插件的的屏蔽，同同时对机机房的下下水管、暖暖气管和和金属门门窗进行行屏蔽和和隔离；二是干干扰的防防护措施施，即在在计算机机系统工工作的同同时，利利用干扰扰装置产产生一种种与计算算机系统统辐射相相关的伪伪噪声向向空间辐辐射来掩掩盖计算算机系统统的工作作频率和和信息特特征。2、访问控控制策略略访问控制是是网络安安全防范范和保护护的主要要策略，它它的主要要任务是是保证网网络资源源不被非非法使用用和非常常访问。它它也是维维护网络络系统安安全、保保护网络络资源的的重要手手段。各各种安全全策略必必须相互互配合才才能真正正起到保保护作用用，但访

7、访问控制制可以说说是保证证网络安安全最重重要的核核心策略略之一。下下面我们们分述各各种访问问控制策策略。 1)入网访访问控制制入网访问控控制为网网络访问问提供了了第一层层访问控控制。它它控制哪哪些用户户能够登登录到服服务器并并获取网网络资源源，控制制准许用用户入网网的时间间和准许许他们在在哪台工工作站入入网。用户的入网网访问控控制可分分为三个个步骤：用户名名的识别别与验证证、用户户口令的的识别与与验证、用用户帐号号的缺省省限制检检查。三三道关卡卡中只要要任何一一关未过过，该用用户便不不能进入入该网络络。对网络用户户的用户户名和口口令进行行验证是是防止非非法访问问的第一一道防线线。用户户注册时时

8、首先输输入用户户名和口口令，服服务器将将验证所所输入的的用户名名是否合合法。如如果验证证合法，才才继续验验证用户户输入的的口令，否否则，用用户将被被拒之网网络之外外。用户户的口令令是用户户入网的的关键所所在。为为保证口口令的安安全性，用用户口令令不能显显示在显显示屏上上，口令令长度应应不少于于6个字字符，口口令字符符最好是是数字、字字母和其其他字符符的混合合，用户户口令必必须经过过加密，加加密的方方法很多多，其中中最常见见的方法法有：基基于单向向函数的的口令加加密，基基于测试试模式的的口令加加密，基基于公钥钥加密方方案的口口令加密密，基于于平方剩剩余的口口令加密密，基于于多项式式共享的的口令加

9、加密，基基于数字字签名方方案的口口令加密密等。经经过上述述方法加加密的口口令，即即使是系系统管理理员也难难以得到到它。用用户还可可采用一一次性用用户口令令，也可可用便携携式验证证器（如如智能卡卡）来验验证用户户的身份份。网络管理员员应该可可以控制制和限制制普通用用户的帐帐号使用用、访问问网络的的时间、方方式。用用户名或或用户帐帐号是所所有计算算机系统统中最基基本的安安全形式式。用户户帐号应应只有系系统管理理员才能能建立。用用户口令令应是每每用户访访问网络络所必须须提交的的“证件件”、用用户可以以修改自自己的口口令，但但系统管管理员应应该可以以控制口口令的以以下几个个方面的的限制：最小口口令长度

10、度、强制制修改口口令的时时间间隔隔、口令令的唯一一性、口口令过期期失效后后允许入入网的宽宽限次数数。用户名和口口令验证证有效之之后，再再进一步步履行用用户帐号号的缺省省限制检检查。网网络应能能控制用用户登录录入网的的站点、限限制用户户入网的的时间、限限制用户户入网的的工作站站数量。当当用户对对交费网网络的访访问“资资费”用用尽时，网网络还应应能对用用户的帐帐号加以以限制，用用户此时时应无法法进入网网络访问问网络资资源。网网络应对对所有用用户的访访问进行行审计。如如果多次次输入口口令不正正确，则则认为是是非法用用户的入入侵，应应给出报报警信息息。2)网络的的权限控控制网络的权限限控制是是针对网网

11、络非法法操作所所提出的的一种安安全保护护措施。用用户和用用户组被被赋予一一定的权权限。网网络控制制用户和和用户组组可以访访问哪些些目录、子子目录、文文件和其其他资源源。可以以指定用用户对这这些文件件、目录录、设备备能够执执行哪些些操作。受受托者指指派和继继承权限限屏蔽（IIRM）可可作为其其两种实实现方式式。受托托者指派派控制用用户和用用户组如如何使用用网络服服务器的的目录、文文件和设设备。继继承权限限屏蔽相相当于一一个过滤滤器，可可以限制制子目录录从父目目录那里里继承哪哪些权限限。我们们可以根根据访问问权限将将用户分分为以下下几类：（1）特特殊用户户（即系系统管理理员）；（2）一一般用户户，

12、系统统管理员员根据他他们的实实际需要要为他们们分配操操作权限限；（33）审计计用户，负负责网络络的安全全控制与与资源使使用情况况的审计计。用户户对网络络资源的的访问权权限可以以用一个个访问控控制表来来描述。3)目录级级安全控控制网络应允许许控制用用户对目目录、文文件、设设备的访访问。用用户在目目录一级级指定的的权限对对所有文文件和子子目录有有效，用用户还可可进一步步指定对对目录下下的子目目录和文文件的权权限。对对目录和和文件的的访问权权限一般般有八种种：系统统管理员员权限（SSupeerviisorr）、读读权限（RReadd）、写写权限（WWritte）、创创建权限限（Crreatte）、删

13、删除权限限（Errasee）、修修改权限限（Moodiffy）、文文件查找找权限（FFilee Sccan）、存存取控制制权限（AAcceess Conntrool）。用用户对文文件或目目标的有有效权限限取决于于以下二二个因素素：用户户的受托托者指派派、用户户所在组组的受托托者指派派、继承承权限屏屏蔽取消消的用户户权限。一一个网络络系统管管理员应应当为用用户指定定适当的的访问权权限，这这些访问问权限控控制着用用户对服服务器的的访问。八八种访问问权限的的有效组组合可以以让用户户有效地地完成工工作，同同时又能能有效地地控制用用户对服服务器资资源的访访问 ，从从而加强强了网络络和服务务器的安安全性。

14、4)属性安安全控制制当用文件、目目录和网网络设备备时，网网络系统统管理员员应给文文件、目目录等指指定访问问属性。属属性安全全控制可可以将给给定的属属性与网网络服务务器的文文件、目目录和网网络设备备联系起起来。属属性安全全在权限限安全的的基础上上提供更更进一步步的安全全性。网网络上的的资源都都应预先先标出一一组安全全属性。用用户对网网络资源源的访问问权限对对应一张张访问控控制表，用用以表明明用户对对网络资资源的访访问能力力。属性性设置可可以覆盖盖已经指指定的任任何受托托者指派派和有效效权限。属属性往往往能控制制以下几几个方面面的权限限：向某某个文件件写数据据、拷贝贝一个文文件、删删除目录录或文件

15、件、查看看目录和和文件、执执行文件件、隐含含文件、共共享、系系统属性性等。网网络的属属性可以以保护重重要的目目录和文文件，防防止用户户对目录录和文件件的误删删除、执执行修改改、显示示等。5)网络服服务器安安全控制制网络允许在在服务器器控制台台上执行行一系列列操作。用用户使用用控制台台可以装装载和卸卸载模块块，可以以安装和和删除软软件等操操作。网网络服务务器的安安全控制制包括可可以设置置口令锁锁定服务务器控制制台，以以防止非非法用户户修改、删删除重要要信息或或破坏数数据；可可以设定定服务器器登录时时间限制制、非法法访问者者检测和和关闭的的时间间间隔。6)网络监监测和锁锁定控制制网络管理员员应对网

16、网络实施施监控，服服务器应应记录用用户对网网络资源源的访问问，对非非法的网网络访问问，服务务器应以以图形或或文字或或声音等等形式报报警，以以引起网网络管理理员的注注意。如如果不法法之徒试试图进入入网络，网网络服务务器应会会自动记记录企图图尝试进进入网络络的次数数，如果果非法访访问的次次数达到到设定数数值，那那么该帐帐户将被被自动锁锁定。7)网络端端口和节节点的安安全控制制网络中服务务器的端端口往往往使用自自动回呼呼设备、静静默调制制解调器器加以保保护，并并以加密密的形式式来识别别节点的的身份。自自动回呼呼设备用用于防止止假冒合合法用户户，静默默调制解解调器用用以防范范黑客的的自动拨拨号程序序对

17、计算算机进行行攻击。网网络还常常对服务务器端和和用户端端采取控控制，用用户必须须携带证证实身份份的验证证器（如如智能卡卡、磁卡卡、安全全密码发发生器）。在在对用户户的身份份进行验验证之后后，才允允许用户户进入用用户端。然然后，用用户端和和服务器器端再进进行相互互验证。8)防火墙墙控制防火墙是近近期发展展起来的的一种保保护计算算机网络络安全的的技术性性措施，它它是一个个用以阻阻止网络络中的黑黑客访问问某个机机构网络络的屏障障，也可可称之为为控制进进/出两两个方向向通信的的门槛。在在网络边边界上通通过建立立起来的的相应网网络通信信监控系系统来隔隔离内部部和外部部网络，以以阻档外外部网络络的侵入入。

18、目前前的防火火墙主要要有以下下三种类类型；(1)包过过滤防火火墙：包包过滤防防火墙设设置在网网络层，可可以在路路由器上上实现包包过滤。首首先应建建立一定定数量的的信息过过滤表，信信息过滤滤表是以以其收到到的数据据包头信信息为基基础而建建成的。信信息包头头含有数数据包源源IP地地址、目目的IPP地址、传传输协议议类型（TTCP、UUDP、IICMPP等）、协协议源端端口号、协协议目的的端口号号、连接接请求方方向、IICMPP报文类类型等。当当一个数数据包满满足过滤滤表中的的规则时时，则允允许数据据包通过过，否则则禁止通通过。这这种防火火墙可以以用于禁禁止外部部不合法法用户对对内部的的访问，也也可

19、以用用来禁止止访问某某些服务务类型。但但包过滤滤技术不不能识别别有危险险的信息息包，无无法实施施对应用用级协议议的处理理，也无无法处理理UDPP、RPPC或动动态的协协议。(2)代理理防火墙墙：代理理防火墙墙又称应应用层网网关级防防火墙，它它由代理理服务器器和过滤滤路由器器组成，是是目前较较流行的的一种防防火墙。它它将过滤滤路由器器和软件件代理技技术结合合在一起起。过滤滤路由器器负责网网络互连连，并对对数据进进行严格格选择，然然后将筛筛选过的的数据传传送给代代理服务务器。代代理服务务器起到到外部网网络申请请访问内内部网络络的中间间转接作作用，其其功能类类似于一一个数据据转发器器，它主主要控制制

20、哪些用用户能访访问哪些些服务类类型。当当外部网网络向内内部网络络申请某某种网络络服务时时，代理理服务器器接受申申请，然然后它根根据其服服务类型型、服务务内容、被被服务的的对象、服服务者申申请的时时间、申申请者的的域名范范围等来来决定是是否接受受此项服服务，如如果接受受，它就就向内部部网络转转发这项项请求。代代理防火火墙无法法快速支支持一些些新出现现的业务务（如多多媒体）。现现要较为为流行的的代理服服务器软软件是WWinGGatee和Prroxyy Seerveer。(3)双穴穴主机防防火墙：该防火火墙是用用主机来来执行安安全控制制功能。一一台双穴穴主机配配有多个个网卡，分分别连接接不同的的网络

21、。双双穴主机机从一个个网络收收集数据据，并且且有选择择地把它它发送到到另一个个网络上上。网络络服务由由双穴主主机上的的服务代代理来提提供。内内部网和和外部网网的用户户可通过过双穴主主机的共共享数据据区传递递数据，从从而保护护了内部部网络不不被非法法访问。3、信息加加密策略略信息加密的的目的是是保护网网内的数数据、文文件、口口令和控控制信息息，保护护网上传传输的数数据。网网络加密密常用的的方法有有链路加加密、端端点加密密和节点点加密三三种。链链路加密密的目的的是保护护网络节节点之间间的链路路信息安安全；端端-端加加密的目目的是对对源端用用户到目目的端用用户的数数据提供供保护；节点加加密的目目的是

22、对对源节点点到目的的节点之之间的传传输链路路提供保保护。用用户可根根据网络络情况酌酌情选择择上述加加密方式式。信息加密过过程是由由形形 色色的的加密算算法来具具体实施施，它以以很小的的代价提提供很大大的安全全保护。在在多数情情况下，信信息加密密是保证证信息机机密性的的唯一方方法。据据不完全全统计，到到目前为为止，已已经公开开发表的的各种加加密算法法多达数数百种。如如果按照照收发双双方密钥钥是否相相同来分分类，可可以将这这些加密密算法分分为常规规密码算算法和公公钥密码码算法。4. 网络络安全管管理策略略在网络安全全中，除除了采用用上述技技术措施施之外，加加强网络络的安全全管理，制制定有关关规章制制度，对对于确保保网络的的安全、可可靠地运运行，将将起到十十分有效效的作用用。网络的安全全管理策策略包括括：确定定安全管管理等级级和安全全管理范范围；制制订有关关网络操操作使用用规程和和人员出出入机房房管理制制度；制制定网络络系统的的维护制制度和应应急措施施等。12