B
28
网络安全
对应用系统实施网络分层防护，有效地增加了系 统的安全防护纵深，使得外部的侵入需要穿过多层防 护机制，不仅增加恶意攻击的难度，还为主动防御提 供了时间上的保证。当外部攻击穿过外层防护机制进 入计算中心隔离区后，进一步的侵入受到应用层和核 心层防护机制的制约。由于外层防护机制已经检测到 入侵，并及时通知了管理中心。当黑客再次试图进入 应用区时，管理员可以监控到黑客的行为，收集相关 证据，并随时切断黑客的攻击路径。
B
27
网络安全
核心层：安全等级为1，主要存放核心国土资源 基础数据和核心主机应用服务；
应用层：安全等级为2，主要存放国土资源主要 业务应用服务和局部数据；
隔离层：安全等级为3，主要存放国土资源前置 设备、WEB服务器、应用隔离机等，作为安全访问缓 冲区；
接入层：安全等级为4：主要存放各种网络接入 设备，用于连接被防护单位以外的客户端和隔离/应用 服务器。
• 完整性：数据未经授权不能进行改变的特性，即信息在存储或传
输过程中保持不被修改、不被破坏和丢失的特性；
• 可用性：可被授权实体访问并按需求使用的特性，即当需要时应
能存取所需的信息，网络环境下拒绝服务、破坏网络和有关系统 的正常运行等都属于对可用性的攻击；
• 可控性：对信息的传播及内容具有控制能力。
网络安全
B
16
网络安全
防火墙技术 ：
网络防火墙技术是一种用来加强网络之间访问控 制,防止外部网络用户以非法手段通过外部网络进入内 部网络,访问内部网络资源,保护内部网络操作环境的 特殊网络互联设备.它对两个或多个网络之间传输的数 据包如链接方式按照一定的安全策略来实施检查,以决 定网络之间的通信是否被允许,并监视网络运行状态。
B
31
网络安全
安全检查措施：
1、网络边界防护是否完成。 2、安全防护策略：服务器、网络设备、安全设备端口开放
B
29
网络安全
制定安全策略涉及四方面
• 网络用户的安全责任 • 系统管理员的安全责任 • 正确利用网络资源 • 检测到安全问题时的对策
B
30
应急处突发性事故的最佳手段， 能帮助我们将损失降低到最低。
应急处置：
1、建立信息安全应急预案
预案应该包括组织结构、机构职责、突发事件报告制度、
B
26
网络安全
安全域技术： 安全域是指同一环境内有相同的安全保护需求、
相互信任、并具有相同的安全访问控制和边界控制策 略的网络或系统。
根据网络安全分区防护的要求，结合应用系统服 务器之间服务层次关系的分析，将应用系统服务器分 为4个网络安全层次，分别对应由高到低的4个安全防 护等级---核心层、应用层、隔离层、接入层，每个网 络安全层次内部包含的服务器具有相似的应用处理功 能和相同的安全防护等级。
（1）运行系统安全，即保证信息处理和传输系统 的安全。
（2）网络上系统信息的安全。
（3）网络上信息传播的安全，即信息传播后果的安全。
（4）网络上信息内容的安全，即我们讨论的狭义的 “信息安全”。
B
13
网络安全
网络安全应具备四个特征
• 保密性：信息不泄露给非授权的用户、实体或过程，或供其利用
的特性；
网络管理
1. 从网络系统的角度考虑 （1）硬件管理 其中包括：
[1] 计算机设备：各类服务器、储存设备等。 [2] 网络互联设备：交换机、路由器、网闸等。 [3] 安全类设备：防火墙、防病毒网关、入侵检 测设备、UTM等。 [4] 机房其他设施：门禁系统、UPS系统、新风 排风系统（精密空调）、监控系统、防雷防火系 统等。
站。 (4) 通过群件系统传播。
B
18
网络安全
病毒防护的主要技术如下： (1) 阻止病毒的传播。 在防火墙、代理服务器、SMTP服务器、网络服务
器、群件服务器上安装病毒过滤软件。在桌面PC安 装病毒监控软件。
(2) 检查和清除病毒。 使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。 病毒数据库应不断更新，并下发到桌面系统。 (4) 在防火墙、代理服务器及PC上安装Java及 ActiveX控制扫描软件，禁止未经许可的控件下载和 安装。
B
21
网络安全
安全扫描技术： 网络安全技术中，另一类重要技术为安全扫描技
术。安全扫描技术与防火墙、安全监控系统互相配合 能够提供很高安全性的网络。
安全扫描工具源于黑客在入侵网络系统时采用的 工具。商品化的安全扫描工具为网络安全漏洞的发现 提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络 的扫描器。
各类信息安全事件应急流程与方法、事后追责流程以及合作公 司或维保公司联系方式等。
2、应急演练
每年应至少开展一次应急演练，已检验应急预案小股和单 位应急能力。
灾难备份：
主要分为同城灾备方式和异地灾备方式两种。按国土资源 部最新要求，建议采用异地灾备方式。
对数据的备份方式也分为两种：即时级和数据级，根据国 土部门对数据使用情况，一般建议采用数据级。
B
20
网络安全
入侵检测系统是近年出现的新型网络安全技术， 目的是提供实时的入侵检测及采取相应的防护手段， 如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来 自内部网络的攻击，其次它能够缩短黑客入侵的时间。
入侵检测系统可分为两类：
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服 务器，实时监视可疑的连接、系统日志检查，非法访 问的闯入等，并且提供对典型应用的监视如Web服务 器应用。
网络管理及网络安全
四川省国土资源厅信息中心 运维科
2012年11月
B
1
网络管理
B
2
一、什么是网络管理
网络管理
通过技术手段收集、监控网络中各种设备和
设施的工作参数、工作状态信息，显示给管理员 并接受处理，从而控制网络中的设备、设施的工 作参数和工作状态，以保证网络安全、可靠、高 效地运行。
B
3
二、网络管理的范围
的程度，网络瓶颈及响应等，对这些参数进行控制和 优化的任务。
[3]对收集的数据要进行分析和计算，从中提取与 性能有关的管理信息，以便发现问题。
B
10
网络管理
4.安全管理: 包括发现安全漏洞；设计和改进安全策略；根据
管理记录产生安全事件报告；维护安全业务等功能。
其中包括三个基本安全机制：
[1] 访问控制：限制与关键系统建立联系；限制 对关键信息的操作（读写删除等）；控制关键信息传 输；防止未经授权的用户初始化关键系统。
(2)数据存储加密技术
目是防止在存储环节上的数据失密，可分为密文
存储和存取控制两种。前者一般是通过加密算法转换、 附加密码、加密模块等方法实现；后者则是对用户资 格、格限加以审查和限制，防止非法用户存取数据或 合法用户越权存取数据。
B
25
网络安全
(3)数据完整性鉴别技术 目的是对介入信息的传送、存取、处理的人的身
B
23
网络安全
加密技术： 数据加密技术是为提高信息系统及数据的安全性
和保密性，防止秘密数据被外部破析所采用的主要技 术手段之一。随着信息技术的发展，网络安全与信息 保密日益引起人们的关注。目前各国除了从法律上、 管理上加强数据的安全保护外，从技术上分别在软件 和硬件两方面采取措施，推动着数据加密技术和物理 防范技术的不断发展。按作用不同，数据加密技术主 要分为数据传输、数据存储、数据完整性的鉴别以及 密钥管理技术四种。
配置管理的作用：确定设备的地理位置，名称和
有关细节，记录并维护设备参数表；用适当的软件设 置参数值和配置设备功能。
其中包括：
1、对网络的划分
2、对服务器和存储设备的配置
3、对交换机和路由器的配置
4、对其他设备的配置
5、建立硬件设备台帐、机房进出登记台帐、机 房巡检台帐、操作记录、重大事故记录等。
B
8
防火墙产品主要有堡垒主机,包过滤路由器,应用 层网关(代理服务器)以及电路层网关,屏蔽主机防火墙, 双宿主机等类型。
B
17
网络安全
病毒防治技术： 病毒历来是信息系统安全的主要问题之一。由于网
络的广泛互联，病毒的传播途径和速度大大加快。 我们将病毒的途径分为： (1 ) 通过FTP，电子邮件传播。 (2) 通过软盘、光盘、U盘传播。 (3) 通过Web游览传播，主要是恶意的Java控件网
B
19
网络安全
入侵检测技术 ： 利用防火墙技术，经过仔细的配置，通常能够在
内外网之间提供安全的网络保护，降低了网络安全风 险。但是，仅仅使用防火墙、网络安全还远远不够：
(1) 入侵者可寻找防火墙背后可能敞开的后门。 (2) 入侵者可能就在防火墙内。 (3) 由于性能的限制，防火焰通常不能提供实时 的入侵检测能力。
B
4
网络管理
（2）软件系统 [1]系统软件、操作系统:windows、unix、Linux等。 [2]管理软件：网管软件、活动目录（Active
Directory）等。 [3]应用软件：杀毒软件、Sql、Oracle、业务审批
系统等。
B
5
２. 从网络资源的角度考虑 （1）被管理节点 （2）代理 （3）网络管理工作站 （4）网络管理协议 ３. 从网络维护的角度考虑 （1）网络建设 （2）网络维护 （3）网络服务
[2]安全告警：对关键系统或关键数据在出现违反 安全规定的情况时，应发出安全警告信息。
[3]安全审计试验：有关安全的事件保留在安全审 计记录中，供以后进行分析。
B
11
网络安全
B
12
网络安全定义
网络安全