网络信息安全系统设计和实现

1、定义：主域控制器 PDCPrimary Domain Con troller ）是负责整个域的用户、权限、安全 性等管理的机器，安全数据库等存放在此机器上。备份域控制器 BDCBackup Domain Controller ）是主域的备份。 信息系统安全规划框架与方法 信息系统安全规划的范围 信息系统安全规划的范围应该是多方面的，涉及技术安全、规范管理、组织结构。技 术安全是以往人们谈论比较多的话题，也是以往在安全规划中描述较重的地方，用的最多 的是一些如：防火墙、入侵检测、漏洞扫描、防病毒、VPN、访问控制、备份恢复等安全 产品。但是信息系统安全是一个动态发展的过程，过去依靠技术就可以解决

2、的大部分安全 问题，但是现在仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持 续有效的。规范管理包括风险管理、安全策略、规章制度和安全教育。信息系统安全规划 需要有规划的依据，这个依据就是企业的信息化战略规划，同时更需要有组织与人员结构 的合理布局来保证。b5E2RGbCAP 三、信息系统安全规划框架与方法 下面用图-1表示信息系统安全体系的框架。 法 环境安全 嬴疑妄金 仝 一侵兰 计 审 I J 略 I 怯息霍统安全休岳箍袈 人审 fa鎳休系 图-1信息系统安全体系 从上图可以看出，信息系统安全体系主要是由技术体系、组织机构体系和管理体系三部 分共同构成的。技术体系是全面提

3、供信息系统安全保护的技术保障系统，该体系由物理安 全技术和系统安全技术两大类构成。组织体系是信息系统的组织保障系统，由机构、岗位 和人事三个模块构成。机构分为：领导决策层、日常管理层和具体执行层；岗位是信息系 统安全管理部门根据系统安全需要设定的负责某一个或某几个安全事务的职位；人事是根 据管理机构设定的岗位，对岗位上在职、待职和离职的员工进行素质教育、业绩考核和安 全监管的机构。管理体系由法律管理、制度管理和培训管理三部分组成。p1EanqFDPw 信息系统安全体系清楚了之后，就可以针对以上描述的内容进行全面的规划。信息系统 安全规划的层次方法与步骤可以有不同，但是规划内容与层次应该是相同，

4、规划的具体环 节、相互之间的关系和具体方法用图 -2表示：DXDiTa9E3d ft息系境找息话遽 魏件晴堆*应闊粘统營理系轨、韭务杲炖 辛理席息业务席息，車场僧息决襄依息 蓝图吕現垠匚二慌家n摘摊 J1田匚片现状匚二雷弹匚相施 图-2信息系统安全规划框架图 1、信息系统安全规划依托企业信息化战略规划 信息化战略规划是以整个企业的发展目标、发展战略和企业各部门的业务需求为基础， 结合行业信息化方面的需求分析、环境分析和对信息技术发展趋势的掌握，定义出企业信 息化建设的远景、使命、目标和战略，规划出企业信息化建设的未来架构，为信息化建设 的实施提供一副完整的蓝图，全面系统地指导企业信息化建设的进

5、程。信息系统安全规划 依托企业信息化战略规划，对信息化战略的实施起到保驾护航的作用。信息系统安全规划 的目标应该与企业信息化的目标是一致的，而且应该比企业信息化的目标更具体明确、更 贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。RTCrpUDGiT 2、信息系统安全规划需要围绕技术安全、管理安全、组织安全考虑 信息系统安全规划的方法可以不同、侧重点可以不同，但是需要围绕技术安全、管理安 全、组织安全进行全面的考虑。规划的内容基本上应该涵盖有：确定信息系统安全的任 务、目标、战略以及战略部门和战略人员，并在此基础上制定出物理安全、网络安全、系 统安全、运营安全、人员安全的信息

6、系统安全的总体规划。物理安全包括环境设备安全、 信息设备安全、网络设备安全、信息资产设备的物理分布安全等。网络安全包括网络拓扑 结构安全、网络的物理线路安全、网络访问安全防火墙、入侵检测系统、VPN等）等。 系统安全包括操作系统安全、应用软件安全、应用策略安全等。运营安全应在控制层面和 管理层面保障，包括备份与恢复系统安全、入侵检测功能、加密认证功能、漏洞检查及系 统补丁功能、口令管理等。人员安全包括安全管理的组织机构、人员安全教育与意识机 制、人员招聘及离职管理、第三方人员安全管理等。5PCzVD7HxA 3、信息系统安全规划的影响力在信息系统与信息资源 信息系统安全规划的最终效果应该体现在

7、对信息系统与信息资源的安全保护上，因此规 划工作需要围绕着信息系统与信息资源的开发、利用和保护工作进行，要包括蓝图、现 状、需求、措施四个方面。首先，对信息系统与信息资源的规划需要从信息化建设的蓝图 入手，知道企业信息化发展策略的总体目标和各阶段的实施目标，制定出信息系统安全的 发展目标；第二，对企业的信息化工作现状进行整体的、综合、全面的分析，找出过去工 作中的优势与不足；第三，根据信息化建设的目标提出未来几年的需求，这个需求最好可 以分解成若干个小的方面，以便于今后的落实与实施；第四，要写明在实施工作阶段的具 体措施与办法，提高规划工作的执行力度。jLBHrnAlLg 网络信息安全系统的设

8、计和实现 网络信息安全与保密系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输 三部分。 安全体制包括：安全算法库、安全信息库和用户接口界面。 安全算法库包括：私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生成 程序等等安全处理算法等；XHAQX74J0X 安全信息库包括：用户口令和密钥、安全管理参数及权限、系统当前运行状态等等安全 信息等； 用户接口界面包括：安全服务操作界面和安全信息管理界面等； 网络安全连接包括安全协议和网络通信接口模块： 安全协议包括：安全连接协议、身份验证协议、密钥分配协议等； 网络通信接口模块根据安全协议实现安全连接。一般有两种方式实现： 1

9、）安全服务和安全体制在应用层实现，经过安全处理后的加密信息送到网络层和数据链 路层，进行透明的网络传输和交换，这种方式的优点是实现简单，不需要对现有系统做任 何修改，用户投资数额较小； LDAYtRyKfE 2）对现有的网络通信协议进行修改，在应用层和网络层之间加一个安全子层，实现安全 处理和操作的自动性和透明性。 Zzz6ZB2Ltk 网络安全传输包括：网络安全管理系统、网络安全支撑系统和网络安全传输系统： 网络安全管理系统。安全管理系统安装于用户终端或网络节点上，是由若干可执行程序 所组成的软件包，提供窗口化、交互化的安全管理器”界面，由用户或网管人员配置、控 制和管理数据信息的安全传输，

10、兼容现有通信网络管理标准，实现安全功能；dvzfvkwMI1 网络安全支撑系统。整个信息安全系统的可信方，是由网络安全管理人员维护和管理的 安全设备和安全信息的总和。包括：1）密钥管理分配中心，负责身份密钥、公开钥和秘密 钥等密钥的生成、分发、管理和销毁；2）认证鉴别中心，负责对数字签名等信息进行鉴别 和裁决。网络安全支撑系统的物理和逻辑安全都是至关重要的，必须受到最严密和全面的 保护。同时，也要防止管理人员内部的非法攻击和误操作，在必要的应用环境，可以引入 秘密分享机制来解决这个问题。 rqyn14ZNXI 网络安全传输系统。包括防火墙、安全控制、流量控制、路由选择、审计报警等。 为了完成网

11、络信息安全与保密系统的设计和实现，遵从适当的步骤肯定是有益的。以下是 对设计和实现网络信息安全与保密系统所采取的实施步骤的参考建议：EmxvxOtOco 第一步：确定面临的各种攻击和风险。信息安全系统的设计和实现必须根据具体的系统和 环境，考察、分析、评估、检测包括模拟攻击）和确定系统存在的安全漏洞和安全威 胁；SixE2yXPq5 第二步：明确安全策略。安全策略是信息安全系统设计的目标和原则，是对应用系统完整 的安全解决方案。安全策略要综合以下几方面优化确定：6ewMyirQFL 系统整体安全性，由应用环境和用户需求决定，包括各个安全机制的子系统的安全目标 和性能指标； 对原系统的运行造成的

12、负荷和影响，如网络通信时延、数据扩展等； 便于网络管理人员进行控制、管理和配置； 可扩展的编程接口，便于更新和升级； 用户界面的友好性和使用方便性； 投资总额和工程时间等。 第三步：建立安全模型。模型的建立可以使复杂的问题简化，更好的解决和安全策略有关 的问题。安全模型包括信息安全系统的各个子系统。信息安全系统的设计和实现可以分为 安全体制、网络安全连接和网络安全传输三部分。其中，安全体制包括：安全算法库、安 全信息库和用户接口界面：kavU42VRUs 安全算法库。包括：私钥算法库、公钥算法库、Hash函数库、密钥生成程序、随机数生 成程序等等安全处理算法；y6v3ALoS89 安全信息库。

13、包括：用户口令和密钥、安全管理参数及权限、系统当前运行状态等等安 全信息； 用户接口界面。包括：安全服务操作界面和安全信息管理界面等； 网络安全连接包括网络通信接口模块和安全协议： 安全协议。包括：安全连接协议、身份验证协议、密钥分配协议等； 网络通信接口模块。网络通信模块根据安全协议实现安全连接。一般有两种方式实现： 1）安全服务和安全体制在应用层实现，经过安全处理后的加密信息送到网络层和数据链路 层，进行透明的网络传输和交换，这种方式的优点是实现简单，不需要对现有系统做任何 修改，用户投资数额较小；2）对现有的网络通信协议进行修改，在应用层和网络层之间加 一个安全子层，实现安全处理和操作的

14、自动性和透明性。M2ub6vSTnP 网络安全传输包括：网络安全管理系统、网络安全支撑系统和网络安全传输系统： 网络安全管理系统。安全管理系统安装于用户终端或网络节点上，是由若干可执行程序 所组成的软件包，提供窗口化、交互化的安全管理器”界面，由用户或网管人员配置、控 制和管理数据信息的安全传输，兼容现有通信网络管理标准，实现安全功能；OYujCfmUCw 网络安全支撑系统。整个信息安全系统的可信方，是由网络安全管理人员维护和管理的 安全设备和安全信息的总和。包括：1）密钥管理分配中心，负责身份密钥、公开钥和秘密 钥等密钥的生成、分发、管理和销毁；2）认证鉴别中心，负责对数字签名等信息进行鉴别

15、 和裁决。网络安全支撑系统的物理和逻辑安全都是至关重要的，必须受到最严密和全面的 保护。同时，也要防止管理人员内部的非法攻击和误操作，在必要的应用环境，可以引入 秘密分享机制来解决这个问题。 eUts8ZQVRd 网络安全传输系统。包括防火墙、安全控制、流量控制、路由选择、审计报警等。 第四步：选择并实现安全服务。这是现代密码技术的具体应用，也是信息安全系统的安全 性保障。安全服务可以通过软件编程或硬件芯片实现，在软件编程中应该注意解决内存管 理、优化流程以提高程序运行的稳定性和运算时间。sQsAEJkW5T 第五步：将安全服务配置到具体协议里。安全体制和密码技术本身不能解决信息安全问 题，必

16、须在一个完整、全面、安全的安全协议里实现。安全协议是安全策略的最终实现形 式，构成整个系统的安全环境。 GMslasNXkA 计算机控制系统设计原则与步骤 计算机控制系统的设计，既是一个理论问题，又是一个工程问题。计算机控制系统的理论 设计包括：建立被控对象的数学模型；确定满足一定技术经济指标的系统目标函数，寻求 满足该目标函数的控制规律；选择适宜的计算方法和程序设计语言；进行系统功能的软、 硬件界面划分，并对硬件提出具体要求。进行计算机控制系统的工程设计，不仅要掌握生 产过程的工艺要求，以及被控对象的动态和静态特性，而且要熟悉自动检测技术、计算机 技术、通信技术、自动控制技术、微电子技术等。

17、TIrRGchYzg 计算机系统设计的原则与步骤、计算机控制系统的工程设计与实现。 10.1.1计算机控制系统设计原则 1. 操作性能好，维护与维修方便 2. 通用性好，便于扩展 3. 可靠性高 4. 实时性好，适应性强 5. 经济效益好 10.1.2计算机控制系统设计步骤 计算机控制系统的设计虽然随被控对象、控制方式、系统规模的变化而有所差异，但系统 设计与实施的基本内容和主要步骤大致相同，一般分为四个阶段：确定任务阶段、工程设 计阶段、离线仿真和调试阶段以及在线调试和投运阶段。下面对这四个阶段作必要说明。 7EqZcWLZNX 1. 确定任务阶段 2. 工程设计阶段 该阶段主要包括组建工程

18、研制小组、系统总体方案设计、方案论证与评审、硬件和软件的 细化设计、硬件和软件的调试、系统组装。lzq7IGfO2E 3. 离线仿真和调试阶段 所谓离线仿真和调试是指在实验室而不是在工业现场进行的仿真和调试。离线仿真和调试 实验后，还要进行考机运行。考机的目的是要在连续不停机运行中暴露问题和解决问题。 zvpgeqJIhk 4. 在线调试和运行阶段 系统离线仿真和调试后便可进行在线调试和运行。所谓在线调试和运行就是将系统和生产 过程联接在一起，进行现场调试和运行。不管上述离线仿真和调试工作多么认真、仔细， 现场调试和运行仍可能出现问题，因此必须认真分析加以解决。系统正常运行后，再仔细 试运行一

19、段时间，如果不出现其他问题，即可组织验收。验收是系统工程最终完成的标 志，应由甲方主持乙方参加，双方协同办理。验收完毕应形成文件存档。NrpoJac3v1 10.2系统工程设计与实施 10.2.1计算机控制系统总体方案设计 设计一个性能优良的计算机控制系统，要注重对实际问题的调查研究。通过对生产过程的 深入了解和分析，以及对工作过程和环境的熟悉，才能确定系统的控制任务。进而提出切 实可行的系统设计方案。1nowfTG4KI 1. 硬件总体方案设计 依据合同的设计要求和已经作过的初步方案，开展系统的硬件总体设计。 硬件总体方案设计主要包含以下几个方面的内容。 1）确定系统的结构和类型 2）确定系

20、统的构成方式 3）现场设备选择 4）其他方面的考虑 2. 软件总体方案设计 依据用户任务的技术要求和已作过的初步方案，进行软件的总体设计。软件总体设计和硬 件总体设计一样，也是采用结构化的“黑箱”设计法。先画出较高一级的方框图，然后再 将大的方框分解成小的方框，直到能表达清楚功能为止。软件总体方案还应考虑确定系统 的数学模型、控制策略、控制算法等。fjnFLDa5Zo 3. 系统总体方案 将上面的硬件总体方案和软件总体方案合在一起构成系统的总体方案。总体方案论证可行 后，要形成文件，建立总体方案文档。系统总体文件的内容包括：tfnNhnE6e5 1）系统的主要功能、技术指标、原理性方框图及文字

21、说明。 2）控制策略和控制算法，例如PID控制、Smith补偿控制、最少拍控制、串级控制、前 馈控制、解耦控制、模糊控制、最优控制等。HbmVN777sL 3）系统的硬件结构及配置，主要的软件功能、结构及框图。 4）方案比较和选择。 5）保证性能指标要求的技术措施。 6）抗干扰和可靠性设计。 7）机柜或机箱的机构设计。 8）经费和进度计划的安排。 对所提出的总体设计方案合理性、经济性、可靠性以及可行性的论证。论证通过后，便可 形成作为系统设计依据的系统总体方案图和设计任务书，用以指导具体的系统设计过程。 V7l4jRB8Hs 1022硬件工程设计与实现 1. 选择系统的总线和主机机型 1）选择

22、系统的总线 系统采用总线结构，具有很多优点。采用总线，可以简化硬件设计，用户可根据需要直接 选用符合总线标准的功能模板，而不必考虑模板插件之间的匹配问题，使系统硬件设计大 大简化；系统可扩性好，仅需将按总线标准研制的新的功能模板插在总线槽中即可；系统 更新性好，一旦出现新的微处理器、存储器芯片和接口电路，只要将这些新的芯片按总线 标准研制成各类插件，即可取代原来的模板而升级更新系统。83ICPA59W9 2）选择主机机型 在总线式工业控制机中，有许多机型，都因采用的CPU不同而不同。以 PC总线工业控制 机为例，其 CPU 有 8088、80286、80386、80486、Pentium586

23、 ）等多种型号，内存、硬 盘、主频、显示卡、CRT显示器也有多种规格。设计人员可根据要求合理地进行选型。 mZkklkzaaP 2. 选择输人输出通道模板 一个典型的计算机控制系统，除了工业控制机的主机以外，还必须有各种输入输出通道模 板，其中包括数字量 1/0即DI/DO ）、模拟量l/OAI/AO ）等模板。AVktR43bpw 3. 选择变送器和执行机构 10.2.3软件工程设计与实现 1. 数据类型和数据结构规划 在系统总体方案设计中，系统的各个模块之间有着各种因果关系，互相之间要进行各种信 息传递。如数据处理模块和数据采集模块之间的关系，数据采集模块的输出信息就是数据 处理模块的输入

24、信息，同样，数据处理模块和显示模块、打印模块之间也有这种产销关 系。各模块之间的关系体现在它们的接口条件上，即输入条件和输出结果上。为了避免产 销脱节现象，就必须严格规定好各个接口条件，即各接口参数的数据结构和数据类型。 ORjBnOwcEd 2. 资源分配 完成数据类型和数据结构的规划后，便可开始分配系统的资源了。系统资源包括ROM、 RAM、定时器/计数器、中断源、I/O地址等。ROM资源用来存放程序和表格，这也是明 显的。定时器/计数器、中断源、I/O地址在任务分析时已经分配好了。因此，资源分配的 主要工作是 RAM资源的分配。RAM资源规划好后，应列出一张RAM资源的详细分配清 单，作

25、为编程依据。2MiJTy0dTT 3. 实时控制软件设计 1）数据采集及数据处理程序2）控制算法程序3 ）控制量输出程序4 ）实时时钟和中断 处理程序5）数据管理程序6）数据通信程序gIiSpiue7A 1024系统调试与运行 1. 离线仿真和调试 1）硬件调试2 ）软件调试 3 ）系统仿真 2. 在现场调试和运行 现场调试与运行过程是从小到大，从易到难，从手动到自动，从简单回路到复杂回路逐步 过渡。为了做到有把握，现场安装及在线调试前先要进行下列检查：uEh0U1Yfmh 1 ）检测元件、变送器、显示仪表、调节阀等必须通过校验，保证精确度要求。作为检 查，可进行一些现场校验。IAg9qLsg

26、BX 2 ）各种接线和导管必须经过检查，保证连接正确。例如，孔板的上下游接压导管要与差 压变送器的正负压输入端极性一致；热电偶的正负端与相应的补偿导线相连接，并与温度 变送器的正负输入端极性一致等。除了极性不得接反以外，对号位置都不应接错。引压导 管和气动导管必须畅通，不能中间堵塞。WwghWvVhPE 3）对在流量中采用隔离液的系统，要在清洗好引压导管以后，灌入隔离液 封液）。 4）检查调节阀能否正确工作。旁路阀及上下游截断阀关闭或打开，要搞正确。 5）检查系统的干扰情况和接地情况，如果不符合要求，应采取措施。 6）对安全防护措施也要检查。 经过检查并已安装正确后。即可进行系统的投运和参数的

27、整定。投运时应先切入手动，等 系统运行接近于给定值时再切入自动。asfpsfpi4k 计算机控制系统的投运是个系统工程，要特别注意到一些容易忽视的问题，如现场仪表与 执行机构的安装位置、现场校验，各种接线与导管的正确连接，系统的抗干扰措施，供电 与接地，安全防护措施等。在现场调试的过程中，往往会出现错综复杂、时隐时现的奇怪 现象，一时难以找到问题的根源。此时此刻，计算机控制系统设计者们要认真地共同分 析，每个人自己不要轻易地怀疑别人所做的工作，以免掩盖问题的根源所在。ooeyYZTjj1 信息安全管理体系模型 信息安全管理体系模型一般被认为是安全策略的正式陈述vformalpresentati

28、on ），并由系 统组织强制实施，用以检验安全策略的完整性和一致性，它描述的是组织为贯彻实施安全 策略而必须采取的所有安全机制的组合。信息安全管理是一个持续发展的过程，像其他管 理过程那样，它也遵循着一般性的循环模式，信息安全管理体系模型就是我们常说的 PDCA 模型，见图 5.1。BkeGuInkxI 计划Plan) 5.1PDCA 模型 这是信息安全管理周期的起点，作为安全管理的准备阶段，为后续活动 提供基础和依据。计划阶段的活动包括：建立组织机构，明晰责任，确定安全目标、战略 和策略，进行风险评估，选择安全措施，并在明确安全需求的基础上制定安全计划、业务 连续性计划、意识培训等信息安全管

29、理程序和过程。PgdOOsRIMo 实施D0)实施阶段是实现计划阶段确定目标的过程，包括安全策略、所选择的安 全措施或控制、安全意识和培训程序等。3cdXwckm15 检查Check)信息安全实施过程的效果如何，需要通过监视、审计、复查、评估等 手段来进行检查，检查的依据就是计划阶段建立的安全策略、目标、程序，以及标准、法 律法规和实践经验，检查的结果是进一步采取措施的依据。h8c52WOngM 改进Action)如果检查发现安全实施的效果不能满足计划阶段建立的需求，或者有 意外事件发生，或者某些因素引起了新的变化，经过管理层认可，需要采取应对措施进行 改进，并按照已经建立的响应机制来行事，必

30、要时进入新的一轮信息安全管理周期，以便 持续改进和发展信息安全。v4bdyGious 五、信息安全管理体系建设思路 信息安全管理体系ISMS )是一个系统化、程序化和文件化的管理体系，属于风险管理 的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISM体现预防控制为主 的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用 与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的 保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。J0bm4qMpJ9 构建信息安全管理体系ISMS )不是一蹴而就的，也不是每个企业都使用一个

31、统一的模 板，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取 不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤： XVauA9grYP 1、信息安全管理体系策划与准备 策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培 训、拟定计划、安全管理发展情况调研，以及人力资源的配置与管理。bR9C6TJscw 2、确定信息安全管理体系适用的范围 信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际 情况，可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将 组织划分成不同的信息安

32、全控制领域，这样做易于组织对有不同需求的领域进行适当的信 息安全管理。在定义适用范围时，应重点考虑组织的适用环境、适用人员、现有IT技术、 现有信息资产等。pN9LBDdtrd 3、现状调查与风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密 性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致 安全事件发生的可能性，并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生 对组织造成的影响。DJ8T7nHuGT 4、建立信息安全管理框架 建立信息安全管理体系要规划和建立一个合理的信息安全管理框架，要从整体和全局的 视角，从信息系统

33、的所有层面进行整体安全建设，从信息系统本身出发，根据业务性质、 组织特征、信息资产状况和技术条件，建立信息资产清单，进行风险分析、需求分析和选 择安全控制，准备适用性声明等步骤，从而建立安全体系并提出安全解决方案。 QF81D7bvUA 5、信息安全管理体系文件编写 建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求，编 写信息安全管理体系文件是建立信息安全管理体系的基础工作，也是一个组织实现风险控 制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建 立的文件中应该包含有：安全方针文档、适用范围文档、风险评估文档、实施与控制文

34、档、适用性声明文档。4B7a9QFw9h 6、信息安全管理体系的运行与改进 信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准并发 布实施，至此，信息安全管理体系将进入运行阶段。在此期间，组织应加强运作力度，充 分发挥体系本身的各项功能，及时发现体系策划中存在的问题，找出问题根源，采取纠正 措施，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的 目的。ix6iFA8xoX 7、信息安全管理体系审核 体系审核是为获得审核证据，对体系进行客观的评价，以确定满足审核准则的程度所进 行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核（第

35、三方审 核 。内部审核一般以组织名义进行，可作为组织自我合格检查的基础；外部审核由外部 独立的组织进行，可以提供符合要求如ISO/IEC27001 ）的认证或注册。wt6qbkCyDE 信息安全管理体系的建立是一个目标叠加的过程，是在不断发展变化的技术环境中进行 的，是一个动态的、闭环的风险管理过程，要想获得有效的成果，需要从评估、防护、监 管、响应到恢复，这些都需要从上到下的参与和重视，否则只能是流于形式与过程，起不 到真正有效的安全控制的目的和作用。Kp5zH46zRk 企业网络安全规划发展方案 企业网络安全规划流程如下图所示: 网络安全整休设计流程 网络系统现状 分析后得出 潜金的安金风

36、除 安全解决方案 进行 底全需求与目 企业安全管理 1搭建网络安全设施 2、制定安全实施策略3、建立安全管理制度 企业安全服务： 1网络安全咨询 2、网络安全检测 3、网络安全管理4、应急响应服务5、网络安全培训 企业网络安全规划建议方案： 随着网络安全基础设施后期完善，为了提高整体的网络安全防护能力，建议采用安全防 护措施。制定原则：可操作性，易管理、维护、实施，典型安全事件主动预防。 企业边界部署网络防毒墙 防毒墙部署在企业网络出口网关。把网络病毒和黑客攻击隔绝在网络之外，能够满足各类 企业复杂网络的基本需求。和传统的防病毒软件相比，防毒墙不仅配置简单有效，可减轻 网络管理员的工作量，而且

37、可以防止病毒肆意在网络中传播，让病毒无处藏身。防毒墙还 可放置在企业内部，对一些特殊部门和重点服务器进行保护。防毒墙的部署只要遵循把安 全区域和非安全区域隔离的思想就可，防毒墙即插即用，无须重定向路由的流向。 flrl.t|P. ir until u 图一2 YI4HdOAA61 优化现有防火墙规则策略： 建立有效的防火墙访问规则，防止客户机对服务器的任意访问，降低对服务器受网络攻击 的风险，有效抵御跨网段系统漏洞端口的病毒传播，规划服务器访问规则，提高网络整体 安全防护能力。ch4PJx4BII 网络资源统一安全规划 桌面办公计算机安全防护规划 企业服务器安全防护规划 企业网 络 边界 安全

38、 防 护规 划 企业网络 核 心规划 网络安 全 访问控 制 企业安全管理制度方案规划 对网络系统安全风险隐患建立前期预防措施： 网络的安全需要是完整和连续的，网络安全服务也具有专业性强的特点。通过资深安全顾 问提供一对一的服务，可以随时随地获得网络安全方面的咨询和指导。 同时病毒的传播、黑客的入侵和破坏给企业正常工作带来的影响和造成的损失是惊人的。 网络安全评估系统可以找出和分析系统中的安全隐患，并提供安全加固建议，使系统被攻 击的几率大大降低。qd3YfhxCzo 快速获得网络安全防护咨询动态： 只有及时掌握病毒和非法入侵者的信息，了解网络安全产品的发展和更新，客户才能实现 对自己网络最大

39、程度的保护。为此，定期将重大病毒疫情、网络安全漏洞的最新情况、产 品的更新信息和重大病毒解决方案通过电子邮件通知客户。E836L11DO5 周期性现场网络系统安全维护检测： 定期进行安全排查和维护是保障计算机系统，特别是整个网络安全的必要工作。每次维护 既保障安全防范体系的正常运转，同时排除可以预知的安全隐患，创造一个安全健康的网 络环境。 在维护过程中对前段时间的杀毒日志和网络情况进行分析统计，形成文档报表，提出安全 建议，最大程度地避免病毒感染和网络攻击。S42ehLvE3M 1对于突发网络安全事件做到快速响应并措施救援。 如果计算机或网络发生紧急安全故障或灾难，通过安全响应在最短的时间内

40、赶赴现场，充 分利用工程师技术优势和丰富的经验提供解决方案并协助解决问题。501nNvZFis 提高员工整体安全防范意识，规范网络安全管理制度。 提高网络安全防护能力，定期接受专业网络安全技术培训。 基础知识： 数据通信过程分五个阶段 第一阶段：建立物理连接 第二阶段：建立数据链路 第三阶段：数据传送 第四阶段：传送结束，拆除数据链路 第五阶段：拆除物理连接 计算机网 络 技 术模拟试卷1 ) 一填空题 每 空1分，共36分 ) 1 通信网络的交换方式大致有. 二种， 即 电路交换、包交换 。 2数据链路层的任务是将有噪声线路变成无传输差错的通信线路，为达此目的，数据被分 割成帧，为防止发送过

41、快，总是提供流控制 3 网络层向运输层提供服务，主要任务是为从终端点到终端点的信息传送作网桥。 4 网络互联在链路层一般用，在网络层一般用。 5. 运输层中提供的服务是传输连接的建立 、拆除 、管理 。 6 应用层是向网络的使用者提供一个有效和方便的网络应用环境。 7 .电子邮件的传递都是要通过邮件网卡来完成的。 8 .局域网使用的三种典型拓朴结构是星型、环型、总线 型 9 局域网的体系结构中逻辑链路控制层LLC ) MAC )相 当 于 10 .以太网为了检测和防止冲突而采用的是 CSMA/CD 11 . 和介质访问控制层 数 据 链 路 层 。 带冲突检测的载波侦听多路访问 机制。 12.

42、 13. 波 14 . 缆 进行通信时，数据将转换为信号进行传输，信号有两种表现方式：模拟 数字信号 交换方式是一种直接的交换方式，提供 传输通道 、时分复用、码分复用 和 用 在众多的传输媒介中，主要用于长距离传输和网络主干线的传输介质是光 信号 在数据交换方式中，电路 线路也可 条专用 目前常用的四种信道复用方式有：频分复用 分复 15 . 16数据通信时的差错控制是指在数据通信时，如何发现传送的信息是否有错，并且如何 进 行 处 理 计算机网络中的子网分为 通信 子网和 资源 子网。 服务器 、服务器和 O 后台数 网络层 由纯硬件组成的。 、目录索引类搜索引 擎 17 .在 Clie

43、nt/Server网络中，必须至少有一台计算机作为 18多层的B/S应用将数据库应用分成三个逻辑单元：浏览器 据库 19 . IP地址和路由器工作在OSI参考模型中 20 . OSI参考模型的最低层物理层 索引 的形式运行在普通计算机上，也可以以 21搜索引擎按其工作方式一般分为三种全文搜索引擎 擎 计 在 选择 路 题 由 器 2 之 中 30 分 。 ) 每 题 分， 共 1 .在 OSI参与模型的各 层中 , D )的数据 传送 单位 是报文 。 A. 物理 层 B .数 据 链 路 层 C. 网络 层 D. 运 输 层 2 . 在如下网络拓朴结构中， 具有- 定集 中控制功能的网络是

44、B ) A . 总线型 网络 B . 星型网 络 C . 环 形 网络 D . 全 连接 型网 络 3 .计算机 网 络 通信的一 一个 显著特 点是 B ) A . 稳 疋 性 B .间 歇 性、 突发 性 C 安 全 性 D 易用 性 4 . 下列哪 -一- 项不是 网卡 的基 本功能 B ) A . 数据转 换 B . 路 由选 择 C . 网 络 存 取控 制 D .数据缓 存 5.文件 传 输 协 议是 C ) 上 的 协议 。 A 网 络 层 B 运输 层 C 应 有 层 D 物理 层 6 . 控制相邻两个结点间链路上 的流 量的工作在 A )完成 。 A . 链 路 层 B .

45、物: 理层 C 网 络 层 D 运输 层 防火墙可以以软件 硬件 的形式设 22. 7 计算机网络中信息传递的调度控制技术可分为三类，以下不属于此控制技术的是 D) A .流量控制B .拥塞控制 C .防止死锁D .时延控制 8 .下 述协议 中，不建立于 IP协 议之 人的协议 是A ) A . ARP B ICMP C . SNMP D TCP 9 . 以 下网络 技术中不能用于城 域网 的是 C . DQDB D ISDN 10 . 下述论 :述中不正确的是 C ) A . IPV6 具有高效 IP包头 B . IPV6增强了安全性 C . IPV6地址采用64 位D .IPV6 采用主

46、机地址自动配置 11 .采用个人拨号 上网的方式时，其| 中的 IP 地址是 C )。 A 由个 人 在 TCP/IP设 置时 随 意 设 定 的。 B 由ISP 给个 人入网用户分 配的 永久地址。 C 由 Internet 服务商自 动 分 配。 D 个 人上网无须 IP 地 址。 12 下列 关于 FTP 下载的说 法错 误的是 :C ) A FTP采用 C/S工作 方式，由用户提出请求 ,FTP 服务器做 出回应。 B使用IE浏览器进行FTP下载前的身份验证时，可以使用匿名登陆的方式。 C FTP 只 适用于 文 件的 上传 和下 载 。 DFTP 的客户机和服务器直接采用TCP 相连

47、，保证了数据传输的可靠性和独占性。 13 . 按照 网 络的覆盖范围进行网络分类- 可以将网络分为 :A ) A 广 域网、 城域 网和 局域 网 B 内 联网、夕卜 联网和国 际互 联 网 C 公用 网和 专 用 网 D 公 用 数据网、数 字 数据网； 和综合 业务数 据网 14 . 下列 哪 一个选项按照顺 序 包括了 OSI 模型的 七个层次 : A ) A 物理 层 数据链路层网 络 层 传输层 会话层 表示层 应 用层 B 网络 层 传输层物理层 数据链路层 会话层 表示层 应 用层 C 物理 层 数据链路层传 输 层网络层 会话层 表示层 应 用层 D 物理 层 数据链路层会 话

48、 层网络层 传输层 表示层 应 用层 15 .下 面哪种 协 议 运行在 应用 层： D ) A IP BFTP C TCP D DNS -三 判 断题 每 题1分 ,共10 分 ) 1. 双 绞 线只能用于传输 音 频信号，不 能传输 视频信号 。 S ) 2. 在C/S网络中，所有的客户机都将调用服务器，容易造成网络堵塞， 因此C/S网络规 模 不: 宜 太 大，适 用于小 型网 络 。 ) 3. C/S 应 用与多层B/S应用相比具有信息共享度更高的特点 。 S ) 4. 在 OSI参考模型中， 物 理层是唯一 由纯硬 件组成的 。 A ) 5. 在星型拓扑中，网络中的工作站均连接到一个

49、中心设备上, 因此对网络的调试和维护 十 分困 难 。 S ) 6. 网络的安全问题就是计算机系 统的安 全问题。 ) 不 同 占 八、 : TCP 是 面 向 连接 的，而 UDP是 无 连 接的 。 TCP 是 高 度 可靠 的，而 UDP是 不可 靠的 。 3 简述为什么 要对计 算机网络分 层以及分 层的一 般原则。 (1因为计算机网络是个复杂的网络系统，采用层次化结构的方法来描述它，可以将复杂 的网络问题分解为许多比较小的、界线比较清晰简单的部分来处理。 (2分层的一般原则是将一组相近的功能放在一起，形成一个网络的结构层次 模 1 拟 试 电 卷 路 1 交 参 换 考 填 答 空

50、包 案： 题： 交 换 2 帧 流控 制 3 网 桥 路由 器 4 路 由 选 择 5 建立 拆除 管 理 6 网 络 应 用 环 境 7 邮 件 网 关 8 星型 环形 总线 型 9 逻辑链 路控 制层 LLC ) 介质访 问控 制层MAC ) 10 带冲 突 检测 的载 波侦 听多 路访 问CSMA/CD 11 模 拟 数 字 12. 电 路 相 同 占： 八、 TCP 与 UDP 都 (2 不 TCP 是 面 向 连 接 的 ， TCP 是 高 度 可 靠 的 ， 3 网 络 层。 是基 于 IP 协 议的 传 输 协议。 同 占 八、 : 而 UDP 是 无 连 接 的 。 而 UDP

51、 是 不 可 靠 的 。 （1因为计算机网络是个复杂的网络系统，采用层次化结构的方法来描述它，可以将复杂 的网络问题分解为许多比较小的、界线比较清晰简单的部分来处理。 （2分层的一般原则是将一组相近的功能放在一起，形成一个网络的结构层次。 计 算 机 网 络 技 术 模 拟 试 卷 2） 一、单项选择题（本大题共20小题，每小题1分，共20分在每小题列出的四个选项中只 有一个选项是符合题目要求的，请将正确选项前的字母填在题后的括号内。 1.采 用全双工通信方 式，数据传输 的方向 性结构 为（ A. 可 以 在两 个 方向 上同时 传 输 B. 只 能 在 -一- 个方 向 上 传 输 C.

52、可 以 在1 两个方 向上 传输， 但不 能同 时进 行 D. 以 上 均 不 对 2.采用异步传输方式， 设数据位为 7位，1 位校验位， 1位停止位， 则其通信效率为 ( A. 30% B. 70% C. 80% D. 20% 3.T1 载 波 的 数据 传输 率 为（ A. 1Mbps B. 10Mbps C. 2.048Mbps D. 1.544Mbps 4.采用相位幅度调制 PAM技术， 可以提高数据传输速率，例如采用 8种相位， 每种相位取 2种 幅度 值， 可使一 个码元 表示的二 进制数 的位数 为（ A.2位 B. 8 位 C.16位 D 4 位 5.若网络形状是由站点和连接

53、站点的链路组成的一个闭合环，则称这种拓扑结构为 ( A.星形拓扑 B. 总 线拓 扑 C.环形拓扑 D. 树 形拓 扑 6.采用海明码纠正一位差 错，若信息位为4 位， 则冗余位至少应为（ A.2位 B. 3 位 C.5位 D. 4 位 7.在 RS-232C 接口 信号中 ,数据终端就绪（DTR 信号的连接方 向为（ A.DTE t DCE B. DCE t DTE C.DCE t DCE D. DTE t DTE 8.RS 232C 的机械特 性规定使用的 连 接 器类 型 为（ A.DB 15 连接器 B.DB 25 连接 器 C. DB 20 连接器 D.RJ 45 连接 器 9.采用

54、AT命令集对 MODEM 进行编程设置，现要让 MODEM 兀成用 音频先拨外线 （拨 0，然后停顿 2秒再拨 62753321 ”的操作，则应向 MODEM 发出的 AT命令为 ( A.ATDP0 ,62753321 B. ATDT 62753321 C.ATDT0,62753321 D. ATDT0262753321 10.RS232C 的电气特性规定逻辑 “1 ”的 电 平 范围分别 为（ A.+5V至 +15V B. -5V 至 -15V C.0V至 +5V D. 0V 至 -5V 11.若BSC帧的数据段中出现字符串“ ADLE STX”，则字符填充后的输出为（ A. A C. A

55、DLE STX STX DLE DLE STX B. A A DLE STX A DLE DLE DLE STX 12.若HDLC帧的数据段 中出现比特串 “01011111001, ”则比特 填充 后的输 出为（ A. 010011111001 B. 010111110001 C. 010111101001 D. 010111110010 13. 对于无序接收的滑 动窗口协议，若序 号位数为 n,则发送 窗口 最大尺 寸为（ A. 2n-1 B.2n C. 2n-1 D ).2n-1 14. 以下各项 中 , 不是数 据报 操作特 占 八、 的是 ( D. CSMA/CD而言，为了确保发送站

56、点在传输时能检测到可能存在的冲突，数据 输时延至少要等于信号传播时延的 倍 倍 B. D. ( 2 2.5 是( A. 每个 分组自身携带有足够 的信息 ,它的传送是被单独处理的 B. 在 整个 传 送 过 程 中 ,不 需 建 立 虚 电 路 C. 使 所 有 分 组 按 顺序 到达目的端 系统 D. 网 络节点 要 为每 个 分 组做出 路 由 选择 15.TCP/IP 体系结构中的 TCP 和IP 所提供的服务分别为（ A. 链路 层服务和网络层服务 B.网络层服务和运输层服务 C. 运输 层服务和应用层服务 D.运输层服务和网络层服务 16.对于基带 的 A. C. 17.以下各项中，

57、是令牌总线媒体访问控制方法的标准 IEEE802.4 A. IEEE802.3B. C. IEEE802.6 D. IEEE802.5 18. 采用曼彻斯特编码， 100Mbps传输速率所需要的调制速 率为（ A. 200MBaud B. 400MBaud C. 50MBaud D. 100MBaud 19.若信道的复用是以信息在一帧中的时间位置（时隙 来区分，不需要另外的信息头来标志 信 息 的 身分， 贝y这 种 复 用 方 式 为 ( A. 异步时分复用 B.频分多 路 复用 C. 同步时分复用 D.以上 均 不对 20.由于帧中继可以使用链路层来实现复用和转接, 所以帧中继网中间节点中

58、只有 ( A. 物理层和链路层 B.链路层和 网 络层 C. 物理层和网络层 D.网络层和 运 输层 二 、填空题（ 每空 0.5 分 ,共30 分 1计算机网络的发展和演变可概括为 、和开放式标准化网络三个阶段。 2. 计算机网络的功能主要表现在硬件资源共享、和三个方面。 3. 串行数据通信的方向性结构有三种，即单工、和。 4模拟信号传输的基础是载波，载波具有三个要素，即 、和。数字 数据可以针对载波的不同要素或它们的组合进行调制，有三种基本的数字调制形式，即 、 和 。 5最常用的两种多路复用技术为 和，其中，前者是同一时间同时传送多路 信号，而后者是将一条物理信道按时间分成若干个时间片轮

59、流分配给多个信号使用。 6. HDLC 有三种不同类型的帧，分另U为、和 。 7. X.25协议的分组级相当于 OSI参考模型中的层，其主要功能是向主机提供多信道 的 服务。 8到达通信子网中某一部分的分组数量过多，使得该部分乃至整个网络性能下降的现象， 称为 现象。严重时甚至导致网络通信业务陷入停顿，即出现现象。 9.OSI的会话层处于层提供的服务之上，为层提供服务。 10会话层定义了两类同步点，分别为 和。其中后者用于在一个对话单元内 部实现数据结构化。 11.OSI表示层的主要功能为、和连接管理。 12. FTAM是一个用于传输、和开放系统中文件的信息标准。它使用户即使 不了解所使用的实

60、际文件系统的实现细节，也能对该文件系统进行操作。 13. 在TCP/IP层次模型中与 OSI参考模型第四层（运输层 相对应的主要协议有 和 , 其中后者提供无连接的不可靠传输服务。 14. 在TCP/IP层次模型的第三层 （网络层 中包括的协议主要有IP、ICMP、及 15载波监听多路访问 CSMA技术，需要一种退避算法来决定避让的时间，常用的退避算法 有 、 和 三种。 16. ATM的信元具有固定的长度，即总是 字节，其中 字节是信头（Header, 字节是信息段。 17. WWW 上的每一个网页 （Home Page都有一个独立的地址，这些地址称为 。 18 .信道是信号的传输通道，它分