关于在全公司开展互联网接入安全检查的通知

各公司、厂、中心、院、部、处、室：

近年来，公司全面推进信息化建设，信息系统数量大幅增加，业务依赖程度也大幅增强，公司计算机主干网络已经成为重要的基础设施。为优化公司主干网络的运行环境，根据集团公司统一安排和部署，现就开展全公司互联网接入安全检查工作通知如下。

一、各级单位接到通知后，立即展开本单位互联网接入安全的自查工作，重点检查本单位的互联网出口情况。

部分单位除公司主干网络以外，还拥有其他的互联网出口，各级单位要重视这些出口的安全状况。采用专线方式接入互联网的，须配备防火墙并制定有效的安全策略，并可以加装上网管理系统，增强安全审计能力；对特殊需要，采用ADSL方式接入互联网的，须严格保证与公司主干网络的物理隔离。

二、各单位在互联网接入安全自查结束后，要根据自查工作中暴露出的问题，制定本单位整改方案和时间计划，积极展开整改工作，保证公司主干网络运行使用的安全。

三、各单位完成互联网接入安全自查和制定整改计划后，请填写附件《巨化集团公司各级单位互联网接入自查表》，并加盖本单位公章，于20##年6月6日前报送集团公司信息中心，同时提交电子版。

联系人：王婧，电话：3098476，电子邮件: wangjing@juhua.com.cn 。

附件：《巨化集团公司各级单位互联网接入自查表》

巨化集团公司办公室

20##年5月31日

巨化集团公司各级单位互联网接入自查表

填表单位： 工程公司                               填表人：  金罡             填表时间：2012.5.4

第二篇：计算机网络安全研究

提要 ..

1 1 计算机网络安全的含义 ............................................................................................................. 1 2 常见的几种网络入侵方法 ........................................................................................................... 1 3 网络的安全策略分析 .................................. 2 3.1 防火墙 .............. 23.2 VPN ...................................................... 3 3.3 防毒

墙 .................... 3 4 网络检测技术分析 ................................ 3

4.1 入侵检测 ......................................................................................................................... 4 4.2 入侵防御 ........................................................................................................................... 4 4.3 漏洞扫描 ........................................................................................................................... 4 5 计算机网络的潜在威胁 ............................................................................................................... 5 6 计算机网络的脆弱性 ................................................................................................................. 5 7 操作系统存在的安全问题 ........................................................................................................... 5 8 结束语........................................................................................................................................... 6 参考文献........................................................................................................................................... 6 提提提提要要要要 随着计算机技术和网络技术的发展， 网络安全问题， 在今天已经成为网络世界里最为人关注的问题之一 危害网络安全的因素很多， 它们主要依附于各种恶意软件， 其中病毒和木马最为一般网民所熟悉。针对这些危害因素， 网络安全技术得以快速发展， 这也大大提高了网络的安全性。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。 1 1 1 1 计算机网络安全的含义计算机网络安全的含义计算机网络安全的含义计算机网络安全的含义 计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护， 避免被窃听、篡改和伪造； 而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、 军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信， 保持网络通信的连续性。 从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致 因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。2 2 2 2 常见的几种网络入侵方法常见的几种网络入侵方法常见的几种网络入侵方法常见的几种网络入侵方法 由于计算机网络的设计初衷是资源共享、分散控制、分组交换，这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络，并将破坏行为迅速地在网络中传播。同时，计算机网络还有着自然社会中所不具有的隐蔽性：无法有效识别网络用户的真实身份；由于互联网上信息以二进制数码，即数字化的形式存在，所以操作者能比较容易地在

数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞，从而导致各种被攻击的潜在危险层出不穷，这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战，黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法： 1.通过伪装发动攻击 2.利用开放端口漏洞发动攻击 3.通过木马程序进行入侵或发动攻击 4.嗅探器和扫描攻击 为了应对不断更新的网络攻击手段，网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括：防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术，入侵检测、入侵防御和漏洞扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息安全产品的基础。 3 3 3 3 网络的安全策略分析网络的安全策略分析网络的安全策略分析网络的安全策略分析 早期的网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括： 3.13.13.13.1 防火墙防火墙防火墙防火墙 防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。 3.2 3.2 3.2 3.2 VPN VPN VPN VPN VPN（Virtual Private Network）即虚拟专用网络，它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接，并保证数据的安全传输。为了保障信息的安全，VPN技术采用了鉴别、访问控制、保密性和完整性等措施，以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现，如在应用层有SSL协议，它广泛应用于Web浏览程序和Web服务器程序，提供对等的身份认证和应用数据的加密；在会话层有Socks协议，在该协议中，客户程序通过Socks客户端的1080端口透过防火墙发起连接，建立到Socks服务器的VPN隧道；在网络层有IPSec协议，它是一种由IETF设计的端到端的确保IP层通信安全的机制，对IP包进行的IPSec处理有AH（Authentication Header）和ESP（Encapsulating Security Payload）两种方式。 3.3 3.3 3.3 3.3 防毒墙防毒墙防毒墙防毒墙 防毒墙是指位于网络入口处，用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外，管理人员能够定义分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址，以及TCP/UDP端口和协议。 4444 网络检测技术分析网络检测技术分析网络检测技术分析网络检测技术分析 人们意识到仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有。 网络地址转化—NAT。网络地址转换是一种用于把IP地址转换成临时的、

外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 代理型。代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 4.1 4.1 4.1 4.1 入侵检测入侵检测入侵检测入侵检测 入侵检测系统（Intrusion Detection System,IDS）是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充，入侵检测技术能够帮助系统对付已知和未知网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 4.2

4.2 4.2 4.2 入侵防御入侵防御入侵防御入侵防御 入侵防御系统（Intrusion Prevention System,IPS）则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术，IPS的检测功能类似于IDS，防御功能类似于防火墙。IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限；而IPS部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，同时具备网络地址转换、服务代理、流量统计、VPN等功能。 4.3 4.3 4.3 4.3 漏洞扫描漏洞扫描漏洞扫描漏洞扫描 漏洞扫描技术是一项重要的主动防范安全技术，它主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统，它是故意让人攻击的目标，引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析，来发现攻击者的攻击方法及系统存在的漏洞。 5555 计算机网络的计算机网络的计算机网络的计算机网络的潜在威胁潜在威胁潜在威胁潜在威胁 对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法

获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。 6666 计算机网

络的脆弱性计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性 计

算机网络的脆弱性 互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便

地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安

全提出了挑战。互联网的不安全性主要有以下几项： 1）网络的开放性，网络的技术是全

开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网

络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。 2）网络的国际性，意味

着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。 3）网络的自由性，大多数的网络对用户的使用没有技

术上的约束，用户可以自由的上网，发布和获取各类信息。 7777 操作系统存在

的安全问题操作系统存在的安全问题操作系统存在的安全问题操作系统存在的安全问题 操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自

身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。 1）操作系

统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到

一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连

接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫

痪。 2）操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能

也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序

经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装

间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量

少使用一些来历不明，或者无法证明它的安全性的软件。 3）操作系统不安全的一个原因

在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这

些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”

在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与

作业的监视程序监测不到它的存在。 4）操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些

处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一

有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7 月1 日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7 月1 日，它才发生作用，如果操作系统有些守护进程被人破

坏掉就会出现这种不安全的情况。 5）操作系统会提供一些远程调用功能，所谓远程调用

就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务

器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等

安全的问题。 6）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序

或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序

设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成

漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一

大隐患。 7） 尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个

安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的

漏洞就足以使你的整个网络瘫痪掉。 2.3 数据库存储的内容存在的安全问题 数据库管

理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。

个人电脑的入侵与防御探讨

来源：本站转载 作者：佚名 时间：2010-10-22 21:29:40

一、引言

随着个人电脑的普及和互联网的发展,越来越多人上网获取知识和信息,但网络并不是那么平静的,病毒和木马日益威胁着个人电脑及其运行,掌握一定的安全知识必要的。 与网络上的服务器比,个人电脑起来还是相对安全的,这是由于首先由于个人电脑并不象服务器那样长期联在网络上,其次,个人电脑开的服务远比服务器少,开的服务越多出现的漏洞的可能性也越大。

二、个人电脑的防御措施

(一)基本的安全设置。

1、及时下载补丁。系统的补丁可以到我微软的网站下载,也可用系统自带的自动更新来完成。还有一个不可忽视的补丁,就是应用软件的补丁。如果不及时安装相关的补丁程序,计算机被攻击甚至攻破的可能性就会变大。

2、安装防火墙。现在的个人电脑几乎都装有防火墙,而防火墙分为网络防火墙和病毒防火墙,前者是为了防止网络入侵用的,后者就是经常用到的杀毒软件。如果没有安装防火墙,XP系统也有自带的防火墙,用户可以自行开起。方法是在“网络连接-本地连接-属性-高级”里勾选“internet连接防火墙”。

但在安装完防火墙后还需要修改设置,一般防火墙如金山、瑞星、天网等都有IP规则编辑器,选上“防止别人用ping命令探测”,当外部机器用ping命令探测你的机器时,对方发出的ICMP包会被该规则拦截,使对方无法用这种方法确定你存在。ping命令选上“防御ICMP攻击”,可防御ICMP flood攻击程序的攻击。

3、关闭危险的端口。电脑有1-65535个端,1-1023是系统用的端口,1024以上为动态端口,因为它一般不固定分配给某个服务,而是动态分配,动态分配指当一个系统进程或程序需要网络通讯时,主机从可用的端口号中分配一个供它使用。当这个进程关闭时,同时也就释放了所占用的端口号。用户可在CMD即命令提示符下netstat –an来查看开放的端口。关闭端口可用TCP/IP筛选在“管理工作-本地安全设置”里。一般防火墙都有IP规则编辑器,可以添加要关闭的端口。

4、禁止文件共享。在局域网为了方便共享一个文件夹或共享一个盘,而不设密码或设很简单的密码,如123456,111等,这都是弱口令,只要挂一个字典是很容易破解的。

5、加密技术。对于特别敏感的通讯,要考虑对PC上的通讯进行加密。带有VPN保护的防火墙可以保护远程站点的敏感数据,并防止来自这些计算机的拒绝服务攻击。VPN,SSL提供了电子商务交易的安全方法。根据业务需要,可以采用PGP,PKI这样的产品。

(二)做好本机的安全设置。

1、删掉不必要的帐号。可以禁用Guest帐号。并且还要设置好本地安全策略。在“管理工具-本地安全策略”里开启安全审核可以检测入侵。

2、关闭空连接(IP$)。IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道。其实用处不大,但是却很多时候是被黑客利用了,他们可以用net use来连接,连接上可以得到很多信息。如果有系统的用户名和密码,那用IP$连上后,可以上传文件,删除文件,所以危害还是很大的。

3、关闭默认共享(如C$,D$)。此共享与一般的文件夹共享不同,自从WIN2K以来,就有了这个默认共享。在cmd下输入net share就可以看到,如C$,有几个盘就有几个这样的共享,还有一个是admin$,是c:\windows\system32系统文件夹。

4、关闭不用的服务。在XP中,系统把所有的应用程序都注册为一个服务。所以可以说每个应用程序都拥有一个自己的套接字,拥有了自己的套接字就说明了该应用程序可以独立地在网络与其他主机的相同的应用程序进行通信。如果该应用程序有可利用的漏洞那就危险了。在“控制面板-管理工具- 服务”里可以修改。有一些服务普通单机电脑基本用不上,但黑客却可以利用,是一些比较危险的服务,如:远程注册表服务,用户可以通过Internet修改注册表。远程登陆该服务允许用户从远程计算机上登陆本系统,并且使用命令行方式操作这台计算机。对于一般用户还是禁用掉,因为它可能带来很大的安全性问题。

(三)浏览网页时应做好的设置。

1、禁用或限制Cookie。Cookie好处在于用户首次Web页时,Cookie记住有关信息,以后每次连接该站点时,服务器自动搜索有关信息,客户机就提供这些预选信息,不再需要输入用户标识,使用户省去了一些步骤。缺陷在与Cookie包含用户IP和密码等重要信息。解决方法是:可以指定在某站点要在你的计算机上创建Cookie时是否给出提示,这样可以选择允许或拒绝创建Cookie,也可以禁止浏览器接受任何Cookie。

2、防止IP地址的泄露。IP是许多黑客软件的定位工具,所以在上网时要使用Proxy Server(代理服务器),使用代理服务器后,在WEB浏览器上所进行的一切操作都是代理服务器发出的,电脑并不直接和提供页面的服务器连接,因此IP地址就不会被泄露出去了。

3、禁止或限制Java、Java小程序脚本,ActiveX控件和插件。由于网上经常有用Java、JavaApplet、ActiveX编写的脚本,它们可能会获得电脑的用户标识,IP地址乃至相关口令,它们甚至会在电脑上安装某些程序或进行其他操作。因此应对Java、Java小程序脚本,ActiveX控件和插件的使用进行限制。

三、结语

由于互联网络的开放性和病毒的日益增多,数据信息很容易泄露和被破坏,网络受到的

安全攻击也非常频繁和严重,因此在发展互联网的同时必须密切注意网络安全,不仅要做好安全防护,还要有安全意识,这样才能使电脑做到的真正安全