网络安全与规划实验报告.docx

网络安全与规划实训报告郑州轻工业学院院系：计算机与通信工程学院班级：指导老师： 姓名：学号：日期：目录实训目的3小组讨论系统构成3小组分析系统风险4检查系统已有安全措施7评测系统总体安全设计8设计系统安全改进方案和实施步骤8实训心得18实训目的本实训是从系统总体的角度来考察网络信息系统的安全性，审视网络信息系统面临的安全风险，分析网络信息系统的安全设计，检查网络信息系统的安全措施，检测网络信息系统的安全应用，改进网络信息系统的安全防护手段，即：从总体的角度考察，分析，改进网络信息系统的安全性。根据实训要求做出实训分析，进行分组讨论。从以下几个方面展开：系统构成，外部风险，安全审计，安全检查，安全评测和改进设计。本次实训着重的是对系统安全设计方面的改进，故主要以安全设计展开。根据实训要求对每部分进行小组讨论，一一做出分析。小组讨论系统构成网络信息系统是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使得网络高效正常运行。网络信息系统是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效正常运行。网络管理功能一般分为性能管理，配置管理，安全管理，计费管理和故障管理等五大管理功能。网络管理对象一般包括路由器，交换机，HUB等。通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。　构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。　选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。　访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。信息系统纵向构成体系网络信息系统层次结构从下到上通常可以分为：（安保层）、硬件层、系统层、网络层和应用层。信息系统横向构成体系网络信息系统横向范围结构从外到内通常可分为：外部网络、系统边界、内部分区、区内环境、系统主机、服务软件。小组分析系统风险网络信息系统存在的外部风险：入侵、木马、病毒、蠕虫、逻辑炸弹、隐蔽信道、DoS、劫持、垃圾信息、通信信息篡改等。网络信息系统存在的内部风险：非法操作、误操作、信息泄漏、口令丢失、无认证登陆、内部攻击等。网络信息系统自身存在的风险：系统漏洞、系统崩溃、数据损坏、数据丢失、硬件故障、软件故障等。主要可能发生风险原因有，1.系统安全配置不恰当。如：系统虽然设有防火墙，但配置不当，结果只能起部分作用或起不到作用。2.系统本身存在缺陷，有些计算机系统建立是并未采取有效的安全措施，如随便允许与其他网络互联，共享文件没有保护，备份不及时，这样容易被闯入系统或者被使用之轻易地将共享文件修改删除，而且不易恢复。3.系统权限层次设置过少，用户口令短而简单。有些口令没有及时更新。4.审核不严，有的计算机系统曾加新的应用软件或对软件升级前，没有对这些软件进行必要和严格的测试，容易将不安全因素带入系统。可采取对策:信息系统总体规划，制定明确，持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。在网络方面，要将内部和外部隔离，通过防火墙或代理服务器连接。通过隔离连接减少系统暴露面，发现问题系统及时报告处理。在信息系统建设上，借鉴成熟的运行系统，采取成熟的信息技术，加强软件版本管理；在系统运行方面，应建立健全信息系统相关的规章制度，技术规范，明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。安全审计审计风险是指被审计单位财务数据中存在重大错报和漏报，审计人员发表了不恰当审计意见的可能性。审计风险主要由两方面风险构成：一是被审计单位财务数据存在重大错弊未被发现