系统效能网络安全并重

❶ 国家坚持网络安全和信息化发展并重，遵循什么方针

遵循积极利用、科学发展、依法管理、确保安全方针。

将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。

以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。

计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。

(1)系统效能网络安全并重扩展阅读：

在网络中，网络信息与用户信息不同，它是面向网络运行的信息。网络信息是网络内部的专用信息。它仅向通信维护和管理人员提供有限的维护、控制、检测和操作层面的信息资料，其核心部分仍不允许随意访问。

对网络的威胁和攻击不仅是为了获取重要的用户机密信息，得到最大的利益，还把攻击的矛头直接指向网络本身。除对网络硬件攻击外，还会对网络信息进行攻击，严重时能使网络陷于瘫痪，甚至危及国家安全。

❷ 网络安全与信息化发展并重遵循的什么方针

网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针。

根据《中华人民共和国网络安全法》第三条规定：国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

网络主权是国家主权在网络空间的体现和延伸，网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此，《中华人民共和国网络安全法》将“维护网络空间主权和国家安全”作为立法宗旨。

同时，按照安全与发展并重的原则，设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定。

(2)系统效能网络安全并重扩展阅读：

《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。

新出台的《网络安全法》共七章七十九条，内容涉及关键信息基础设施范围的界定、对个人信息保护的加强管理、对攻击和破坏关键信息基础设施的境外组织和个人的惩罚措施，以及惩治网络诈骗等新型网络违法犯罪活动的规定。

《网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法制建设的重要里程碑。近年来，互联网安全问题愈演愈烈，引起了世界各国的关注和重视。针对网络犯罪的界定和具体惩罚措施，各国均出台新方案解决相应问题。

❸ 国家坚持网络安全与信息化发展并重对吗

坚持

❹ 现在的网络环境存在怎样的安全问题

一、网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表现在：开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获得，因而网络所面临的破坏和攻击可能是多方面的，例如：可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击；可以是对软件实施攻击，也可以对硬件实施攻击。国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户，它可以来自Internet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。用户只对自己的行为负责，而没有任何的法律限制。
尽管开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放，使得他们能够利用Internet提高办事效率和市场反应能力，以便更具竞争力。通过Internet，他们可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
1. 什么是安全
安全包括五个要素：机密性、完整性、可用性、可控性与可审查性。
· 机密性：确保信息不暴露给未授权的实体或进程。
· 完整性：只有被允许的人才能修改数据，并能够判别出数据是否已被篡改。
· 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。
· 可控性：可以控制授权范围内的信息流向及行为方式。
· 可审查性：对出现的网络安全问题提供调查的依据和手段。
2. 安全威胁
一般认为，目前网络存在的威胁主要表现在：
· 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。
· 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
· 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。
· 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。
· 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
3. 安全服务、机制与技术
· 安全服务：包括服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务 。
· 安全机制：包括访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制 。
· 安全技术：包括防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术 。
在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。
4. 安全工作目的
安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成以下任务：
· 使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性。
· 使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性。
· 使用加密机制，确保信息不暴露给未授权的实体或进程，即“看不懂”，从而实现信息的保密性。
· 使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”，从而确保信息的完整性。
· 使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。
二、网络安全问题分析
网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害，我们这里主要研究的是前者。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段；病毒与恶意攻击，即通过网络传播病毒或恶意Java、XActive等。
除此之外，Internet非法内容也形成了对网络的另一大威胁。有关部门统计显示，有30%-40%的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。尤其对教育网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些不良网站含有暴力、色情、反动消息等内容，将极大地危害青少年的身心健康。
三、网络安全策略
通过对网络的全面了解，按照安全策略的要求及风险分析的结果，整个网络措施应按系统体系建立，具体的安全控制系统由以下几个方面组成: 物理安全、网络安全、信息安全。
1. 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：
环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；
设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；
媒体安全：包括媒体数据的安全及媒体本身的安全。
显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米，这给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。
2. 网络安全
网络安全，包括:系统（主机、服务器）安全、反病毒、系统安全检测、审计分析网络运行安全、备份与恢复、局域网与子网安全、访问控制（防火墙）、网络安全检测、入侵检测。
3. 信息安全
主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面，具体包括数据加密、数据完整性鉴别、防抵赖、信息存储安全、数据库安全、终端安全、信息的防泄密、信息内容审计、用户授权。
面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，组织管理和人员录用等方面有许多的不安全因素，而这又是计算机网络安全所必须考虑的基本问题，所以应引起网络管理员的重视。
四、防治计算机病毒
计算机病毒在网络中泛滥已久，一旦入侵到本地网络，在本地局域网中会快速繁殖，导致局域网计算机的相互感染，下面介绍一下有关局域网病毒的入侵原理及防范方法。
1. 局域网病毒入侵原理及现象
一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。
1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；
2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；
3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中
4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。
在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。
1）感染速度快
在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在十几分钟内将网上的数百台计算机全部感染。
2）扩散面广
由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。
3）传播的形式复杂多样
计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。
4）难于彻底清除
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。
5）破坏性大
网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使网络服务瘫痪。
2. 局域网病毒防范方法
查杀病毒的基本步骤：
1）首先要断开网络，使受感染的机器隔离；
2）使用杀毒软件进行查杀，可以使用金山或瑞星的专杀工具，彻底清除病毒；
3）安装IE 相应最新补丁或升级IE 版本，如果是服务器还要安装IIS补丁；
4）把系统中出现的一些非法共享（如C、D 等），应该将其共享属性去掉；对于服务器，查看一下Administrators 组中是否加进了“guest”用户，要把guest 用户从Administrators 组中删除。
随着各公司机构内部网不断建立和扩充，用户通过局域网与因特网连接，内部有Web服务器和FTP服务器，一旦网络病毒在内部局域网传播，即便将每台电脑的网线都拔下，也很难彻底查杀干净，另外管理员的工作量也变得很大。实际上目前已经有很多解决这种问题的产品和方案，网络版杀毒软件是其中比较好的一个选择。网络版杀毒软件和单机版杀毒软件最大的区别在于，网络版是针对局域网内部电脑的管理而设置了控制操作平台，供网管统一管理使用，而单机版杀毒软件是不具备管理功能的。并且，随着信息化进程的不断推进，网络环境日益复杂，面对日益复杂的网络环境，以及一些黑客程序和木马程序的攻击，单机版无法保证整个网络安全。如果把单机版杀毒软件当作网络版杀毒软件使用，用户将不能随时了解每台机器的状况。若局域网中的一台机器感染了病毒，将会在很短的时间内传播开，而通过网络版杀毒软件，网络管理员就可以通过一台服务器管理整个局域网的机器，由中心端来对客户端进行统一管理，对客户端自动分发最新病毒码，即便客户端不能访问外网，也可以保持最新的病毒码定义。
五、过滤不良网络信息
网络一项重要的功能就是让用户通过路由器或代理服务器（网关）浏览Internet，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站的娱乐、游戏、甚至暴力、色情、 反动消息等不良内容，将极大地危害青少年学生的身心健康。
许多企业和学校都在努力尝试解决不良信息的浏览问题，由于多数不良信息来源于互联网，解决方法主要是针对互联网进行限制，主要可以分为三类：断开物理连接、地址库过滤和防火墙过滤。
断开物理连接的做法很直接，就是在内网里使用虚拟互联网软件单独设置一个区域给用户用来上网，但是实际上这个区域和互联网是断开的，用户使用浏览器浏览网页的时候实际上是在浏览本地服务器。用户虽然可以用浏览器浏览网页，但是可以浏览的资源有限，而且网页内容也完全取决于本地服务器的更新速度。这样做虽然可以起到一定的作用，但同时也忽视了互联网最大的特点──实时性，而且可浏览的范围太小。而且因为要经常从互联网下载网页，网络管理员的工作量增加，大大降低了网络的使用效率。
地址库过滤则是在局域网连接互联网接口的网关处设置一个软件的“关卡”，这个“关卡”会检查每个HTTP 请求，把每个请求和一个记录着被禁止访问的网站地址库进行比较。这样的处理方式会大大降低浏览互联网的速度，而且地址库的更新也是问题。每天在互联网上出现的新网站有成千上万，不可能被及时的一一检查。
防火墙过滤也是在局域网连接互联网接口的网关处设置软、硬件设施，这类过滤形式可以设置对关键词比如说“性”等的禁止，当软件发现含有关键词的访问请求时，会自动切断访问，但对于打包的邮件无能为力；而且，这种过滤往往矫枉过正，比如说软件发现“正确性”一词中含有“性”，也不分青红皂白一律关闭；由于牵涉到在入口处对内容进行检查，Internet的浏览速度在人数多时奇慢无比；另外从资金角度来看，由于目前适合中小规模局域网使用的低价位防火墙大多依赖于LINUX 操作系统，学校或企业需要另行购买一台防火墙服务器，加大了资金投入。
七、拒绝恶意网页和垃圾邮件
1. 拒绝恶意网页
Internet 网上除了前面说过的不良信息外，还有危害更大的网络陷阱，其中以一些恶意网页为代表，这些网页通过恶意代码纂改注册表中的源代码，达到更改用户主页的目的，轻则造成用户IE 浏览器被锁定、主页无法改回、弹出众多窗口耗尽资源等严重危害，重则通过浏览网页让电脑在不知不觉中被植入木马，传播病毒，或盗取用户重要个人信息，其危害可见一斑。
实际上恶意网页一般都是利用IE的文本漏洞通过编辑的脚本程序修改注册表,以达到篡改用户浏览器设置的目的。我们常见到的比如IE标题栏显示“欢迎访问⋯⋯网站”、默认主页被更改为陌生网址、每次打开IE都自动登录到此网站、右键菜单被添加莫名其妙的广告、用户无法更改IE设置等现象都属此类问题，解决方法有两种：第一种方法是使用注册表编辑器，手动把被篡改的注册表信息改回初始值。第二种方法是使用专门的解锁工具，如着名的“超级兔子”或“3721 网络工具”等可以很简单地解除被修改的IE 浏览器。
另外有的恶意网页是利用IE 的脚本漏洞，用含有有害代码的ActiveX网页文件，让用户自动运行木马程序，因此建议在访问一些陌生网站时在IE 设置中将ActiveX 插件和控件、Java 脚本等禁止。由于IE 是使用频率最高的网络浏览器，因此针对其本身漏洞的攻击也非常多，要保持及时给IE 升级或打补丁，这样才能尽量堵塞漏洞，提高IE 的安全性。
2. 拒绝垃圾邮件
除了猖獗的网络病毒外，垃圾邮件的危害也早已受到了人们的普遍关注，实际上现在网络病毒中有约80%是通过邮件传播的，更不用说一些色情、反动、迷信邮件的危害了。有效地防范垃圾邮件已经成为所有网络用户的共同目标，在学校教育中防范垃圾邮件也是衡量校园网络安全的重要标准之一。
首先要做好预防工作，保护自己的邮箱不会成为垃圾邮件的攻击目标，经查阅有关资料，有关专家提出了以下建议：
1) 给信箱起个相对复杂的名称。如果用户名过于简单或者过于常见，则很容易被当作攻击目标。因为过于简单的名字，垃圾邮件的发送者很可能通过简单排列组合，搜索到用户的邮件地址，从而发送垃圾邮件。因此在申请邮箱时，不妨起个保护性强一点的用户名，比如英文和数字的组合，尽量长一点，可以少受垃圾邮件骚扰。
2) 避免泄露邮件地址。不要随意地在浏览BBS(Bulletin Board Service,公告牌服务)时，公开自己的邮件地址，目前有一些别有用心的人往往在BBS 上散布一些具有诱惑性的消息，诱使其他用户提供电子邮件地址进行收集。
3) 不要轻易回应垃圾邮件。因为一旦回复，就等于告诉垃圾邮件发送者该地址是有效的，这样会招来更多的垃圾邮件。
4) 最实用的是使用邮件客户端程序的邮件管理、过滤功能。
5）最后还可以利用一些专门的防垃圾邮件软件指定条件检测邮件接收服务器，自动删除垃圾邮件。
对于一些恶意的病毒邮件，就不仅是干扰人们正常生活这么简单了，邮件病毒其实和普通的电脑病毒一样，只不过由于它们的传播途径主要是通过电子邮件，所以才被称为邮件病毒。它们一般是通过在邮件中附件夹带的方法进行扩散的，运行了该附件中的病毒程序，才能够使电脑染毒。知道了这一点，我们就不难采取相应的措施进行防范了。
当遇到带有附件的邮件时，如果附件为可执行文件(*.exe、*.com)或word文档时，不要急于打开，可以用两种方法来检测是否带有病毒。一种方法是，利用杀毒软件的邮件病毒监视功能来过滤掉邮件中可能存在的病毒；另一种方法是，把附件先存放在硬盘上，然后利用杀毒软件查毒。所以在邮件接收过程中用一款可靠的防毒软件对邮件进行扫描过滤是非常有效的手段，我们通过设置杀毒软件中的邮件监视功能，在接收邮件过程中对邮件进行处理，可以有效防止邮件病毒的侵入。
八、结语
网络安全的主要问题是网络安全和信息安全，具体可分为预防病毒、访问控制、身份验证和加密技术、系统安全漏洞等问题。
对网络内的网络病毒，处理方法是选择优秀的杀毒软件；对网络不良信息的处理方法应该以使用网络信息过滤系统为主；在面对网络上的各种恶意网页和垃圾邮件时应通过设置邮件系统安全选项，提高安全意识并结合杀毒软件提供保护。
要想建设一个合格的网络，一方面要考虑网络内部的安全性，一方面要关注本网络和外部信息网络互联时的安全性。网络的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统，提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展，网络的安全有待于在实践中进一步研究和探索。在目前的情况下，我们应当全面考虑综合运用防毒软件、防火墙、加密技术等多项措施，互相配合，加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高网络的安全性，从而建立起一套真正适合民众使用的安全体系。

❺ 谈谈网络安全问题

网络对我们来说，可以是离不开它了。网络的信息传输是那么的迅速和快捷，只要我们想找某些方面的信息，你只要上网简单的输入几个关键的字，搜一搜就可以找到你想要的信息了。是那么的快捷，他给了我们很大的方便。现在随着网络的发展，许多以前必须面对面完成的事情，都可以在网络上得以实现了。如：在网上购物，网上办公，远程网络手术，网络游戏等等。现在对我们来说是那么的自然，由于有它，我门的生活变的多采了，社会的发展也迅速了，使地球变成了一个地球村，人们之间的交流更加的方便了。

当然，任何事物都有它的两面性的，网络的发展也给我们带来了一些我们并不想带来的东西。网络是一个虚幻的东西，在上面你可以，以任何一个你想出现的身份出现在网络上，当然这就造成了下信用的下降，使我们感到不是那么的安全。有些不法的分子，就是利用网络技术，制造骗局，使好多无心人上当受骗。给社会带了很大的损失，同时也给他人的人身和财产带了了很大的损失。由于，网络可以以非真实的身份畅游，是网络分子大胆的利用网络，进行各种犯罪活动。这个案件的侦破带来了很大的困难。

❻ 网络安全

网络空间安全专业是网络空间安全一级学科下的专业，学科代码为“083900”，授予“工学”学位，涉及到以信息构建的各种空间领域，研究网络空间的组成、形态、安全、管理等。网络空间安全专业，致力于培养“互联网+”时代能够支撑国家网络空间安全领域的具有较强的工程实践能力，系统掌握网络空间安全的基本理论和关键技术，能够在网络空间安全产业以及其他国民经济部门，从事各类网络空间相关的软硬件开发、系统设计与分析、网络空间安全规划管理等工作，具有强烈的社会责任感和使命感、宽广的国际视野、勇于探索的创新精神和实践能力的拔尖创新人才和行业高级工程人才。
网络空间安全毕业生能够从事网络空间安全领域的科学研究、技术开发与运维、安全管理等方面的工作。其就业方向有政府部分的安全规范和安全管理，包括法律的制定；安全企业的安全产品的研发；一般企业的安全管理和安全防护；国与国之间的空间安全的协调。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全在2020年4月27日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共12个部门联合发布《网络安全审查办法》，于2020年6月1日起实施。网络安全，通常指计算机网络的安全，实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来，在通信软件的支持下，实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的，利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来，并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享，通信网络是实现网络资源共享的途径，因此，计算机网络是安全的，相应的计算机通信网络也必须是安全的，应该能为网络用户实现信息交换与资源共享。下文中，网络安全既指计算机网络安全，又指计算机通信网络安全。网络安全的基本含义：客观上不存在威胁，主观上不存在恐惧。即客体不担心其正常状态受到影响。可以把网络安全定义为：一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能。要使网络能正常地实现资源共享功能，首先要保证网络的硬件、软件能正常运行，然后要保证数据信息交换的安全。从前面两节可以看到，由于资源共享的滥用，导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。

❼ 网络信息系统安全性分析

给我分哦,谢谢

http://bbs.wuyou.net/viewthread.php?tid=8894

网 络 安 全 毕 业 论 文
网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐，同时也避免其它用户的非授权访问和破坏。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。 对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。 从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
不同环境和应用中的网络安全
运行系统安全:即保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。 网络上系统信息的安全:包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。 网络上信息传播安全:即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全:它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私 .
网络安全的结构层次主要包括：物理安全、安全控制和安全服务。
1： 物理安全
物理安全是指在物理介质层次上对存贮和传输的网络信息的安全保护。也就是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。物理安全是网络信息安全的最基本保障，是整个安全系统不可缺少和忽视的组成部分。它主要包括三个方面：
环境安全：对系统所在环境的安全保护。
设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；
媒体安全：包括媒体数据的安全及媒体本身的安全。
目前，该层次上常见的不安全因素包括三大类：
1）自然灾害（比如，地震、火灾、洪水等）、物理损坏（比如，硬盘损坏、设备使用寿命到期、外力破损等）、设备故障（比如，停电断电、电磁干扰等）。此类不安全因素的特点是：突发性、自然性、非针对性。这种不安全因素对网络信息的完整性和可用性威胁最大，而对网络信息的保密性影响却较小，因为在一般情况下，物理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时数据备份等。
2）电磁辐射（比如，侦听微机操作过程），乘机而入（比如，合法用户进入安全进程后半途离开），痕迹泄露（比如，口令密钥等保管不善，被非法用户获得）等。此类不安全因素的特点是：隐蔽性、人为实施的故意性、信息的无意泄露性。这种不安全因素主要破坏网络信息的保密性，而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。
3）操作失误（比如，偶然删除文件，格式化硬盘，线路拆除等），意外疏漏（比如，系统掉电、“死机”等系统崩溃）。此类不安全因素的特点是：人为实施的无意性和非针对性。这种不安全因素主要破坏网络信息的完整性和可用性，而对保密性影响不大。解决此类不安全隐患的有效方法是：状态检测、报警确认、应急恢复等。 显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上探取一定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面：
1、 对主机房及重要信息存储、收发部门进行屏蔽处理 即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓，磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风波导，门的关起等。
2、 对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用了光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。
3、 对终端设备辐射的防范
终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，此类虽降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作。
安全控制是指在网络信息系统中对存贮和传输的信息的操作和进程进行控制和管理，重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次：
1）操作系统的安全控制。包括：对用户的合法身份进行核实（比如，开机时要求键入口令）、对文件的读写存取的控制（比如，文件属性控制机制）。此类安全控制主要保护被存贮数据的安全。
2）网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、审计日志等。
3）网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或路由器配置实现。需要指明的是，安全控制主要通过现有的操作系统或网管软件、路由器配置等实现。安全控制只提供了初步的安全功能和网络信息保护。
安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别，满足用户的安全需求，防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务的主要内容包括：安全机制、安全连接、安全协议、安全策略等。
1）安全机制是利用密码算法对重要而敏感的数据进行处理。比如，以保护网络信息的保密性为目标的数据加密和解密；以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证；以保护网络信息的完整性，防止和检测数据被修改、插入、删除和改变的信息认证等。安全机制是安全服务乃至整个网络信息安全系统的核心和关键。现代密码学在安全机制的设计中扮演着重要的角色。
2）安全连接是在安全处理前与网络通信方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的分配和生成和身份验证。后者旨在保护信息处理和操作的对等双方的身份真实性和合法性。
3）安全协议。协议是多个使用方为完成某些任务所采取的一系列的有序步骤。协议的特性是：预先建立、相互同意、非二义性和完整性。安全协议使网络环境下互不信任的通信方能够相互配合，并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性和公平性。
4）安全策略。安全策略是安全体制、安全连接和安全协议的有机组合方式，是网络信息系统安全性的完整的解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。不同的网络信息系统和不同的应用环境需要不同的安全策略。
网络安全的目标 通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。
1：可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一，是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有效性。
2.抗毁性是指系统在人为破坏下的可靠性。比如，部分线路或节点失效后，系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害（战争、地震等）造成的大面积瘫痪事件。 生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里，随机性破坏是指系统部件因为自然老化等造成的自然失效。 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内，程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色，因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响，受到其技术熟练程度、责任心和品德等素质方面的影响。因此，人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。
3：可用性
可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求：身份识别与确认、访问控制（对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制）、业务流控制（利用均分负荷方法，防止业务流量过度集中而引起网络阻塞）、路由选择控制（选择那些稳定可靠的子网，中继线或链路等）、审计跟踪（把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。）
4： 保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 常用的保密技术包括：防侦收（使对手侦收不到有用的信息）、防辐射（防止有用信息以各种途径辐射出去）、信息加密（在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息）、物理保密（利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露）。

❽ 网络安全涉及哪几个方面.

网络安全主要有系统安全、网络的安全、信息传播安全、信息内容安全。具体如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全，侧重于保证系统正常运行。避免因为系统的崩演和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

2、网络的安全

网络上系统信息的安全，包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

(8)系统效能网络安全并重扩展阅读：

维护网络安全的工具有VIEID、数字证书、数字签名和基于本地或云端的杀毒软体等构成。

1、Internet防火墙

它能增强机构内部网络的安全性。Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。

2、VIEID

在这个网络生态系统内，每个网络用户都可以相互信任彼此的身份，网络用户也可以自主选择是否拥有电子标识。除了能够增加网络安全，电子标识还可以让网络用户通过创建和应用更多可信的虚拟身份，让网络用户少记甚至完全不用去记那些烦人的密码。

3、数字证书

CA中心采用的是以数字加密技术为核心的数字证书认证技术，通过数字证书，CA中心可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理，同时也能保障在数字传输的过程中不被不法分子所侵入，或者即使受到侵入也无法查看其中的内容。

❾ 网络安全都包括什么啊

电信系统网络解决方案

第一章 前 言

第二章 网络安全概述

第三章 网络安全解决方案

第四章 典型应用案例

第五章 未来网络安全解决方案发展趋势

第一章 前 言

当今的网络运营商正在经历一个令人振奋的信息爆炸时代，网络骨干带宽平均每六到九个月就要增加一倍。数据业务作为其中起主导作用的主要业务类型，要求并驱动网络结构开始发生根本性的改变。光互联网的出现为基于IP技术的网络应用奠定了新的基础。伴随网络的普及，信息网络技术的应用、关键业务系统扩展，电信部门业务系统安全成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。由于国际形势的变化，加剧了爆发"网络战争"的可能性，保障网络及信息安全直接关系到国家的经济安全甚至国家安全。因此如何使信息网络系统不受黑客和间谍的入侵，已成为国家电信基础网络健康发展所要考虑的重要问题。

在新的电信市场环境中，需求的多元化和信息消费的个性化逐渐成为必然趋势，这一点在数据通信领域体现得尤为明显。经过几年努力，公用数据通信网络在规模上和技术层次上都有了一个飞跃，用户数持续高速增长，信息业务用户发展尤为迅猛，全国性大集团性用户不断增加，并且开始向企业用户转移；政府上网工程进展顺利，电子商务已全面启动，中国电信安全认证体系通过了中国密码管理委员会和信息产业部举行的联合鉴定，并与金融部门开展了有效的合作。电信同时提供Internet接入业务，IP电话业务以及其他业务．该IP承载网承载图象、语音和数据的统一平台，强调Qos，VPN和计费等，成为新时代的多业务承载网。中国电信数据通信的发展定位于网络服务，实现个性化的服务。事实上，这一类网络功能非常丰富，如储值卡业务、电子商务认证平台、虚拟专用网等。而这一切都依赖于网络安全的保障，如果没有安全，个性化服务就根本无从谈起。只有电信的基础平台完善了，功能强化了，安全问题得到保障了，才能够提供真正个性化的服务。

由于电信部门的特殊性，传递重要信息、是整个国民通信系统的基础。它的安全性是尤其重要的。由于我们的一些技术和国外还有一定差距，国内现有的或正在建设中的网络，采用的网络设备和网络安全产品几乎全是国外厂家的产品。而只有使用国内自主研制的信息安全产品、具有自主版权的安全产品，才能真正掌握信息战场上的主动权，才能从根本上防范来自各种非法的恶意攻击和破坏。现今大多数计算机网络都把安全机制建立在网络层安全机制上，认为网络安全就仅仅是防火墙、加密机等设备。随着网络的互联程度的扩大，具体应用的多元化，这种安全机制对于网络环境来讲是十分有限的。面对种种威胁，必须采取有力的措施来保证计算机网络的安全。必须对网络的情况做深入的了解，对安全要求做严谨的分析，提出一个完善的安全解决方案。本方案根据电信网络的具体网络环境和具体的应用，介绍如何建立一套针对电信部门的完整的网络安全解决方案。

第二章 网络安全概述

网络安全的定义

什么是计算机网络安全，尽管现在这个词很火，但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不容易，困难在于要形成一个足够去全面而有效的定义。通常的感觉下，安全就是"避免冒险和危险"。在计算机科学中，安全就是防止：

未授权的使用者访问信息

未授权而试图破坏或更改信息

这可以重述为"安全就是一个系统保护信息和系统资源相应的机密性和完整性的能力"。注意第二个定义的范围包括系统资源，即CPU、硬盘、程序以及其他信息。

在电信行业中，网络安全的含义包括：关键设备的可靠性；网络结构、路由的安全性；具有网络监控、分析和自动响应的功能；确保网络安全相关的参数正常；能够保护电信网络的公开服务器（如拨号接入服务器等）以及网络数据的安全性等各个方面。其关键是在满足电信网络要求，不影响网络效率的同时保障其安全性。

电信行业的具体网络应用（结合典型案例）

电信整个网络在技术上定位为以光纤为主要传输介质，以IP为主要通信协议。所以我们在选用安防产品时必须要达到电信网络的要求。如防火墙必须满足各种路由协议，QOS的保证、MPLS技术的实现、速率的要求、冗余等多种要求。这些都是电信运营商应该首先考虑的问题。电信网络是提供信道的，所以IP优化尤其重要，至少包括包括如下几个要素：

网络结构的IP优化。网络体系结构以IP为设计基础，体现在网络层的层次化体系结构，可以减少对传统传输体系的依赖。

IP路由协议的优化。

IP包转发的优化。适合大型、高速宽带网络和下一代因特网的特征，提供高速路由查找和包转发机制。

带宽优化。在合理的QoS控制下，最大限度的利用光纤的带宽。

稳定性优化。最大限度的利用光传输在故障恢复方面快速切换的能力，快速恢复网络连接，避免路由表颤动引起的整网震荡，提供符合高速宽带网络要求的可靠性和稳定性。

从骨干层网络承载能力，可靠性，QoS，扩展性，网络互联，通信协议，网管，安全，多业务支持等方面论述某省移动互联网工程的技术要求。

骨干层网络承载能力

骨干网采用的高端骨干路由器设备可提供155M POS端口。进一步，支持密集波分复用(DWDM)技术以提供更高的带宽。网络核心与信息汇聚点的连接速率为155M连接速率，连接全部为光纤连接。

骨干网设备的无阻塞交换容量具备足够的能力满足高速端口之间的无丢包线速交换。骨干网设备的交换模块或接口模块应提供足够的缓存和拥塞控制机制，避免前向拥塞时的丢包。

可靠性和自愈能力

包括链路冗余、模块冗余、设备冗余、路由冗余等要求。对某省移动互联网工程这样的运营级宽带IP骨干网络来说，考虑网络的可靠性及自愈能力是必不可少的。

链路冗余。在骨干设备之间具备可靠的线路冗余方式。建议采用负载均衡的冗余方式，即通常情况下两条连接均提供数据传输，并互为备份。充分体现采用光纤技术的优越性，不会引起业务的瞬间质量恶化，更不会引起业务的中断。

模块冗余。骨干设备的所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒。所有模块具备热插拔的功能。系统具备99.999%以上的可用性。

设备冗余。提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性。切换时间小于3秒，以保证大部分IP应用不会出现超时错误。

路由冗余。网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题，数据流应能寻找其他路径到达目的地址。在一个足够复杂的网络环境中，网络连接发生变化时，路由表的收敛时间应小于30秒。

拥塞控制与服务质量保障

拥塞控制和服务质量保障(QoS)是公众服务网的重要品质。由于接入方式、接入速率、应用方式、数据性质的丰富多样，网络的数据流量突发是不可避免的，因此，网络对拥塞的控制和对不同性质数据流的不同处理是十分重要的。

业务分类。网络设备应支持6~8种业务分类(CoS)。当用户终端不提供业务分类信息时，网络设备应根据用户所在网段、应用类型、流量大小等自动对业务进行分类。

接入速率控制。接入本网络的业务应遵守其接入速率承诺。超过承诺速率的数据将被丢弃或标以最低的优先级。

队列机制。具有先进的队列机制进行拥塞控制，对不同等级的业务进行不同的处理，包括时延的不同和丢包率的不同。

先期拥塞控制。当网络出现真正的拥塞时，瞬间大量的丢包会引起大量TCP数据同时重发，加剧网络拥塞的程度并引起网络的不稳定。网络设备应具备先进的技术，在网路出现拥塞前就自动采取适当的措施，进行先期拥塞控制，避免瞬间大量的丢包现象。

资源预留。对非常重要的特殊应用，应可以采用保留带宽资源的方式保证其QoS。

端口密度扩展。设备的端口密度应能满足网络扩容时设备间互联的需要。

网络的扩展能力

网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、骨干带宽的扩展，以及网络规模的扩展能力。

交换容量扩展。交换容量应具备在现有基础上继续扩充多容量的能力，以适应数据类业务急速膨胀的现实。

骨干带宽扩展。骨干带宽应具备高的带宽扩展能力，以适应数据类业务急速膨胀的现实。

网络规模扩展。网络体系、路由协议的规划和设备的CPU路由处理能力，应能满足本网络覆盖某省移动整个地区的需求。

与其他网络的互联

保证与中国移动互联网，INTERNET国内国际出口的无缝连接。

通信协议的支持

以支持TCP/IP协议为主，兼支持IPX、DECNET、APPLE－TALK等协议。提供服务营运级别的网络通信软件和网际操作系统。

支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由协议。根据本网规模的需求，必须支持OSPF路由协议。然而，由于OSPF协议非常耗费CPU和内存，而本网络未来十分庞大复杂，必须采取合理的区域划分和路由规划(例如网址汇总等)来保证网络的稳定性。

支持BGP4等标准的域间路由协议,保证与其他IP网络的可靠互联。

支持MPLS标准，便于利用MPLS开展增值业务，如VPN、TE流量工程等。

网络管理与安全体系

支持整个网络系统各种网络设备的统一网络管理。

支持故障管理、记帐管理、配置管理、性能管理和安全管理五功能。

支持系统级的管理，包括系统分析、系统规划等；支持基于策略的管理，对策略的修改能够立即反应到所有相关设备中。

网络设备支持多级管理权限，支持RADIUS、TACACS+等认证机制。

对网管、认证计费等网段保证足够的安全性。

IP增值业务的支持

技术的发展和大量用户应用需求将诱发大量的在IP网络基础上的新业务。因此，运营商需要一个简单、集成化的业务平台以快速生成业务。MPLS技术正是这种便于电信运营商大规模地快速开展业务的手段。

传送时延

带宽成本的下降使得当今新型电信服务商在进行其网络规划时，会以系统容量作为其主要考虑的要素。但是，有一点需要提起注意的是，IP技术本身是面向非连接的技术，其最主要的特点是，在突发状态下易于出现拥塞，因此，即使在高带宽的网络中，也要充分考虑端到端的网络传送时延对于那些对时延敏感的业务的影响，如根据ITU－T的标准端到端的VoIP应用要求时延小于150ms。对于应用型实际运营网络，尤其当网络负荷增大时，如何确保时延要求更为至关重要，要确保这一点的关键在于采用设备对于延迟的控制能力，即其延迟能力在小负荷和大量超负荷时延迟是否都控制在敏感业务的可忍受范围内。

RAS (Reliability, Availability, Serviceability)

RAS是运营级网络必须考虑的问题，如何提供具有99.999%的业务可用性的网络是网络规划和设计的主要考虑。在进行网络可靠性设计时，关键点在于网络中不能因出现单点故障而引起全网瘫痪，特别在对于象某省移动这些的全省骨干网而言更是如此。为此，必须从单节点设备和端到端设备提供整体解决方案。Cisco7500系列路由器具有最大的单节点可靠性，包括电源冗余备份，控制板备份，交换矩阵备份，风扇的合理设计等功能；整体上，Cisco通过提供MPLSFRR和MPLS流量工程技术，可以保证通道级的快速保护切换，从而最大程度的保证了端到端的业务可用性。

虚拟专用网(VPN)

虚拟专用网是目前获得广泛应用，也是目前运营商获得利润的一种主要方式。除了原有的基于隧道技术，如IPSec、L2TP等来构造VPN之外，Cisco还利用新型的基于标准的MPLSVPN来构造Intrane和Extranet，并可以通过MPLSVPN技术提供Carrier'sCarrier服务。这从网络的可扩展性，可操作性等方面开拓了一条新的途径；同时，极大地简化了网络运营程序，从而极大地降低了运营费用。另外，采用Cisco跨多个AS及多个域内协议域的技术可使某省移动可随着其网络的不断增长扩展其MPLSVPN业务的实施，并可与其他运营商合作实现更广阔的业务能力。

服务质量保证

通常的Internet排队机制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技术不能完全满足对时延敏感业务所要求的端到端时延指标。为此，选用MDRR/WRED技术，可以为对时延敏感业务生成单独的优先级队列，保证时延要求；同时还专门对基于Multicast的应用提供了专门的队列支持，从而从真正意义上向网上实时多媒体应用迈进一步。

根据以上对电信行业的典型应用的分析，我们认为，以上各条都是运营商最关心的问题，我们在给他们做网络安全解决方案时必须要考虑到是否满足以上要求，不影响电信网络的正常使用，可以看到电信网络对网络安全产品的要求是非常高的。

网络安全风险分析

瞄准网络存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述：

1、物理安全风险分析

我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：

地震、水灾、火灾等环境事故造成整个系统毁灭

电源故障造成设备断电以至操作系统引导失败或数据库信息丢失

电磁辐射可能造成数据信息被窃取或偷阅

不能保证几个不同机密程度网络的物理隔离

2、网络安全风险分析

内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。

内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

3、系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。

4、应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。

4.1 公开服务器应用

电信省中心负责全省的汇接、网络管理、业务管理和信息服务，所以设备较多包括全省用户管理、计费服务器、认证服务器、安全服务器、网管服务器、DNS服务器等公开服务器对外网提供浏览、查录、下载等服务。既然外部用户可以正常访问这些公开服务器，如果没有采取一些访问控制，恶意入侵者就可能利用这些公开服务器存在的安全漏洞（开放的其它协议、端口号等）控制这些服务器，甚至利用公开服务器网络作桥梁入侵到内部局域网，盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的，完成计费、认证等功能，他们的安全性应得到100%的保证。

4.2 病毒传播

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，有些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因素。

4.3信息存储

由于天灾或其它意外事故，数据库服务器造到破坏，如果没有采用相应的安全备份与恢复系统，则可能造成数据丢失后果，至少可能造成长时间的中断服务。

4.4 管理的安全风险分析

管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和技术解决方案的结合。

安全需求分析

1、物理安全需求

针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对存有重要数据库且有实时性服务要求的服务器必须采用UPS不间断稳压电源，且数据库服务器采用双机热备份，数据迁移等方式保证数据库服务器实时对外部用户提供服务并且能快速恢复。

2、系统安全需求

对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等）使用权限进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。

应用系统安全上，主要考虑身份鉴别和审计跟踪记录。这必须加强登录过程的身份认证，通过设置复杂些的口令，确保用户使用的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。我们认为采用的入侵检测系统可以对进出网络的所有访问进行很好的监测、响应并作记录。

3、防火墙需求

防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网络之间的隔离，达到有效的控制对网络访问的作用。

3.1省中心与各下级机构的隔离与访问控制

防火墙可以做到网络间的单向访问需求，过滤一些不安全服务；

防火墙可以针对协议、端口号、时间、流量等条件实现安全的访问控制。

防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。

3.2公开服务器与内部其它子网的隔离与访问控制

利用防火墙可以做到单向访问控制的功能，仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器，而公开服务器不可以主动发起对内部网络的访问，这样，假如公开服务器造受攻击，内部网由于有防火墙的保护，依然是安全的。

4、加密需求

目前，网络运营商所开展的VPN业务类型一般有以下三种：

1．拨号VPN业务（VPDN）2．专线VPN业务3．MPLS的VPN业务

移动互连网络VPN业务应能为用户提供拨号VPN、专线VPN服务，并应考虑MPLSVPN业务的支持与实现。

VPN业务一般由以下几部分组成：

（1）业务承载网络（2）业务管理中心（3）接入系统（4）用户系统

我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。

5、安全评估系统需求

网络系统存在安全漏洞（如安全配置不严密等）、操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且，随着网络的升级或新增应用服务，网络或许会出现新的安全漏洞。因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，并且要经常使用，对扫描结果进行分析审计，及时采取相应的措施填补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。

6、入侵检测系统需求

在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。其实，这是一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。但它是静态的，而网络安全是动态的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。入侵检测系统和防火墙配合使用，这样可以实现多重防护，构成一个整体的、完善的网络安全保护系统。

7、防病毒系统需求

针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。

8、数据备份系统

安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份，通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上，并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时，可以利用灾难恢复系统进行快速恢复。

9、安全管理体制需求

安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现。因些必须在电信部门系统内根据自身的应用与安全需求，制定安全管理制度并严格按执行，并通过安全知识及法律常识的培训，加强整体员工的自身安全意识及防范外部入侵的安全技术。

安全目标

通过以上对网络安全风险分析及需求分析，再根据需求配备相应安全设备，采用上述方案，我们认为一个电信网络应该达到如下的安全目标：

建立一套完整可行的网络安全与网络管理策略并加强培训，提高整体人员的安全意识及反黑技术。

利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日志；

通过防火墙的一次性口令认证机制，实现远程用户对内部网访问的细粒度访问控制；

通过入侵检测系统全面监视进出网络的所有访问行为，及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志；

通过网络及系统的安全扫描系统检测网络安全漏洞，减少可能被黑客利用的不安全因素；

利用全网的防病毒系统软件，保证网络和主机不被病毒的侵害；

备份与灾难恢复---强化系统备份，实现系统快速恢复；

通过安全服务提高整个网络系统的安全性。