社区民意系统安全策略

1、太原市欧深电子科技有限公司PAGE PAGE 9社情民意系统安全策略随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。因此，网络系统必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。计算网络面临的威胁计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影

2、响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：(1)人人为的无无意失误误：如操操作员安安全配置置不当造造成的安安全漏洞洞，用户户安全意意识不强强，用户户口令选选择不慎慎，用户户将自己己的帐号号随意转转借他人人或与别别人共享享等都会会对网络络安全带带来威胁胁。(2)人人为的恶恶意攻击击：这是是计算机机网络所所面临的的最大威威胁，黑黑客的攻攻击和计计算机犯犯罪就属属于这一一类。此此类攻击击又可以以分为以以下两种种：一种种是主动动攻击，它以各各种方式式有选择择地破坏坏信息的的

3、有效性性和完整整性；另另一类是是被动攻攻击，它它是在不不影响网网络正常常工作的的情况下下，进行行截获、窃取、破译以以获得重重要机密密信息。这两种种攻击均均可对计计算机网网络造成成极大的的危害，并导致致机密数数据的泄泄漏。(3)网网络软件件的漏洞洞和“后后门”：网络软软件不可可能是百百分之百百的无缺缺陷和无无漏洞的的，然而而，这些些漏洞和和缺陷恰恰恰是黑黑客进行行攻击的的首选目目标，曾曾经出现现过的黑黑客攻入入网络内内部的事事件，这这些事件件的大部部分就是是因为安安全措施施不完善善所招致致的苦果果。另外外，软件件的“后后门”都都是软件件公司的的设计编编程人员员为了自自便而设设置的，一般不不为外人

4、人所知，但一旦旦“后门门”洞开开，其造造成的后后果将不不堪设想想。系统构架架本系统由由信访系系统为核核心，邮邮件系统统与网站站为外围围的软件件系统，其核心心软件硬硬件结构构与防范范示意图如下软件防范范图软件部分分除采用授授客户端端访问服服务器结结构，杜杜绝由客客户端带带来的数数据安全全隐患外外，另利利用通用用防火墙墙，病毒毒过滤等等防范软软件对各各种恶意意攻击与与病毒进进行过滤滤扫描。以保证证系统的的正常运运行。安全策略略1、物理理安全策策略物理安全全策略的的目的是是保护计计算机系系统、网网络服务务器、打打印机等等硬件实实体和通通信链路路免受自自然灾害害、人为为破坏和和搭线攻攻击；验验证用户户

5、的身份份和使用用权限、防止用用户越权权操作；确保计计算机系系统有一一个良好好的电磁磁兼容工工作环境境；建立立完备的的安全管管理制度度，防止止非法进进入计算算机控制制室和各各种偷窃窃、破坏坏活动的的发生。抑制和防防止电磁磁泄漏（即TEEMPEEST技技术）是是物理安安全策略略的一个个主要问问题。目目前主要要防护措措施有两两类：一一类是对对传导发发射的防防护，主主要采取取对电源源线和信信号线加加装性能能良好的的滤波器器，减小小传输阻阻抗和导导线间的的交叉耦耦合。另另一类是是对辐射射的防护护，这类类防护措措施又可可分为以以下两种种：一是是采用各各种电磁磁屏蔽措措施，如如对设备备的金属属屏蔽和和各种接

6、接插件的的屏蔽，同时对对机房的的下水管管、暖气气管和金金属门窗窗进行屏屏蔽和隔隔离；二二是干扰扰的防护护措施，即在计计算机系系统工作作的同时时，利用用干扰装装置产生生一种与与计算机机系统辐辐射相关关的伪噪噪声向空空间辐射射来掩盖盖计算机机系统的的工作频频率和信信息特征征。2、访问问控制策策略访问控制制是网络络安全防防范和保保护的主主要策略略，它的的主要任任务是保保证网络络资源不不被非法法使用和和非常访访问。它它也是维维护网络络系统安安全、保保护网络络资源的的重要手手段。各各种安全全策略必必须相互互配合才才能真正正起到保保护作用用，但访访问控制制可以说说是保证证网络安安全最重重要的核核心策略略之

7、一。下面我我们分述述各种访访问控制制策略。 1)入网网访问控控制入网访问问控制为为网络访访问提供供了第一一层访问问控制。它控制制哪些用用户能够够登录到到服务器器并获取取网络资资源，控控制准许许用户入入网的时时间和准准许他们们在哪台台工作站站入网。用户的入入网访问问控制可可分为三三个步骤骤：用户户名的识识别与验验证、用用户口令令的识别别与验证证、用户户帐号的的缺省限限制检查查。三道道关卡中中只要任任何一关关未过，该用户户便不能能进入该该网络。对网络用用户的用用户名和和口令进进行验证证是防止止非法访访问的第第一道防防线。用用户注册册时首先先输入用用户名和和口令，服务器器将验证证所输入入的用户户名是

8、否否合法。如果验验证合法法，才继继续验证证用户输输入的口口令，否否则，用用户将被被拒之网网络之外外。用户户的口令令是用户户入网的的关键所所在。为为保证口口令的安安全性，用户口口令不能能显示在在显示屏屏上，口口令长度度应不少少于6个个字符，口令字字符最好好是数字字、字母母和其他他字符的的混合，用户口口令必须须经过加加密，加加密的方方法很多多，其中中最常见见的方法法有：基基于单向向函数的的口令加加密，基基于测试试模式的的口令加加密，基基于公钥钥加密方方案的口口令加密密，基于于平方剩剩余的口口令加密密，基于于多项式式共享的的口令加加密，基基于数字字签名方方案的口口令加密密等。经经过上述述方法加加密的

9、口口令，即即使是系系统管理理员也难难以得到到它。用用户还可可采用一一次性用用户口令令，也可可用便携携式验证证器（如如智能卡卡）来验验证用户户的身份份。网络管理理员应该该可以控控制和限限制普通通用户的的帐号使使用、访访问网络络的时间间、方式式。用户户名或用用户帐号号是所有有计算机机系统中中最基本本的安全全形式。用户帐帐号应只只有系统统管理员员才能建建立。用用户口令令应是每每用户访访问网络络所必须须提交的的“证件件”、用用户可以以修改自自己的口口令，但但系统管管理员应应该可以以控制口口令的以以下几个个方面的的限制：最小口口令长度度、强制制修改口口令的时时间间隔隔、口令令的唯一一性、口口令过期期失效

10、后后允许入入网的宽宽限次数数。用户名和和口令验验证有效效之后，再进一一步履行行用户帐帐号的缺缺省限制制检查。网络应应能控制制用户登登录入网网的站点点、限制制用户入入网的时时间、限限制用户户入网的的工作站站数量。当用户户对交费费网络的的访问“资费”用尽时时，网络络还应能能对用户户的帐号号加以限限制，用用户此时时应无法法进入网网络访问问网络资资源。网网络应对对所有用用户的访访问进行行审计。如果多多次输入入口令不不正确，则认为为是非法法用户的的入侵，应给出出报警信信息。2)网络络的权限限控制网络的权权限控制制是针对对网络非非法操作作所提出出的一种种安全保保护措施施。用户户和用户户组被赋赋予一定定的权

11、限限。网络络控制用用户和用用户组可可以访问问哪些目目录、子子目录、文件和和其他资资源。可可以指定定用户对对这些文文件、目目录、设设备能够够执行哪哪些操作作。受托托者指派派和继承承权限屏屏蔽（IIRM）可作为为其两种种实现方方式。受受托者指指派控制制用户和和用户组组如何使使用网络络服务器器的目录录、文件件和设备备。继承承权限屏屏蔽相当当于一个个过滤器器，可以以限制子子目录从从父目录录那里继继承哪些些权限。我们可可以根据据访问权权限将用用户分为为以下几几类：（1）特特殊用户户（即系系统管理理员）；（2）一般用用户，系系统管理理员根据据他们的的实际需需要为他他们分配配操作权权限；（3）审审计用户户，

12、负责责网络的的安全控控制与资资源使用用情况的的审计。用户对对网络资资源的访访问权限限可以用用一个访访问控制制表来描描述。3)目录录级安全全控制网络应允允许控制制用户对对目录、文件、设备的的访问。用户在在目录一一级指定定的权限限对所有有文件和和子目录录有效，用户还还可进一一步指定定对目录录下的子子目录和和文件的的权限。对目录录和文件件的访问问权限一一般有八八种：系系统管理理员权限限（Suuperrvissor）、读权权限（RReadd）、写写权限（Wriite）、创建建权限（Creeatee）、删删除权限限（Errasee）、修修改权限限（Moodiffy）、文件查查找权限限（Fiile Sca

13、an）、存取控控制权限限（Acccesss CConttroll）。用用户对文文件或目目标的有有效权限限取决于于以下二二个因素素：用户户的受托托者指派派、用户户所在组组的受托托者指派派、继承承权限屏屏蔽取消消的用户户权限。一个网网络系统统管理员员应当为为用户指指定适当当的访问问权限，这些访访问权限限控制着着用户对对服务器器的访问问。八种种访问权权限的有有效组合合可以让让用户有有效地完完成工作作，同时时又能有有效地控控制用户户对服务务器资源源的访问问 ，从从而加强强了网络络和服务务器的安安全性。4)属性性安全控控制当用文件件、目录录和网络络设备时时，网络络系统管管理员应应给文件件、目录录等指定定

14、访问属属性。属属性安全全控制可可以将给给定的属属性与网网络服务务器的文文件、目目录和网网络设备备联系起起来。属属性安全全在权限限安全的的基础上上提供更更进一步步的安全全性。网网络上的的资源都都应预先先标出一一组安全全属性。用户对对网络资资源的访访问权限限对应一一张访问问控制表表，用以以表明用用户对网网络资源源的访问问能力。属性设设置可以以覆盖已已经指定定的任何何受托者者指派和和有效权权限。属属性往往往能控制制以下几几个方面面的权限限：向某某个文件件写数据据、拷贝贝一个文文件、删删除目录录或文件件、查看看目录和和文件、执行文文件、隐隐含文件件、共享享、系统统属性等等。网络络的属性性可以保保护重要

15、要的目录录和文件件，防止止用户对对目录和和文件的的误删除除、执执行修改改、显示示等。5)网络络服务器器安全控控制网络允许许在服务务器控制制台上执执行一系系列操作作。用户户使用控控制台可可以装载载和卸载载模块，可以安安装和删删除软件件等操作作。网络络服务器器的安全全控制包包括可以以设置口口令锁定定服务器器控制台台，以防防止非法法用户修修改、删删除重要要信息或或破坏数数据；可可以设定定服务器器登录时时间限制制、非法法访问者者检测和和关闭的的时间间间隔。6)网络络监测和和锁定控控制网络管理理员应对对网络实实施监控控，服务务器应记记录用户户对网络络资源的的访问，对非法法的网络络访问，服务器器应以图图形

16、或文文字或声声音等形形式报警警，以引引起网络络管理员员的注意意。如果果不法之之徒试图图进入网网络，网网络服务务器应会会自动记记录企图图尝试进进入网络络的次数数，如果果非法访访问的次次数达到到设定数数值，那那么该帐帐户将被被自动锁锁定。7)网络络端口和和节点的的安全控控制网络中服服务器的的端口往往往使用用自动回回呼设备备、静默默调制解解调器加加以保护护，并以以加密的的形式来来识别节节点的身身份。自自动回呼呼设备用用于防止止假冒合合法用户户，静默默调制解解调器用用以防范范黑客的的自动拨拨号程序序对计算算机进行行攻击。网络还还常对服服务器端端和用户户端采取取控制，用户必必须携带带证实身身份的验验证器

17、（如智能能卡、磁磁卡、安安全密码码发生器器）。在在对用户户的身份份进行验验证之后后，才允允许用户户进入用用户端。然后，用户端端和服务务器端再再进行相相互验证证。8)防火火墙控制制防火墙是是近期发发展起来来的一种种保护计计算机网网络安全全的技术术性措施施，它是是一个用用以阻止止网络中中的黑客客访问某某个机构构网络的的屏障，也可称称之为控控制进/出两个个方向通通信的门门槛。在在网络边边界上通通过建立立起来的的相应网网络通信信监控系系统来隔隔离内部部和外部部网络，以阻档档外部网网络的侵侵入。目目前的防防火墙主主要有以以下三种种类型；(1)包包过滤防防火墙：包过滤滤防火墙墙设置在在网络层层，可以以在路

18、由由器上实实现包过过滤。首首先应建建立一定定数量的的信息过过滤表，信息过过滤表是是以其收收到的数数据包头头信息为为基础而而建成的的。信息息包头含含有数据据包源IIP地址址、目的的IP地地址、传传输协议议类型（TCPP、UDDP、IICMPP等）、协议源源端口号号、协议议目的端端口号、连接请请求方向向、ICCMP报报文类型型等。当当一个数数据包满满足过滤滤表中的的规则时时，则允允许数据据包通过过，否则则禁止通通过。这这种防火火墙可以以用于禁禁止外部部不合法法用户对对内部的的访问，也可以以用来禁禁止访问问某些服服务类型型。但包包过滤技技术不能能识别有有危险的的信息包包，无法法实施对对应用级级协议的

19、的处理，也无法法处理UUDP、RPCC或动态态的协议议。(2)代代理防火火墙：代代理防火火墙又称称应用层层网关级级防火墙墙，它由由代理服服务器和和过滤路路由器组组成，是是目前较较流行的的一种防防火墙。它将过过滤路由由器和软软件代理理技术结结合在一一起。过过滤路由由器负责责网络互互连，并并对数据据进行严严格选择择，然后后将筛选选过的数数据传送送给代理理服务器器。代理理服务器器起到外外部网络络申请访访问内部部网络的的中间转转接作用用，其功功能类似似于一个个数据转转发器，它主要要控制哪哪些用户户能访问问哪些服服务类型型。当外外部网络络向内部部网络申申请某种种网络服服务时，代理服服务器接接受申请请，然后后它根据据其服务务类型、服务内内容、被被服务的的对象、服务者者申请的的时间、申请者者的域名名范围等等来决定定是否接接受此项项服务，如果接接受，它它就向内内部网络络转发这这项请求求。代理理防火墙墙无法快快速支持持一些新新出现的的业务（如多媒媒体）。现要较较为流行行的代理理服务器器软件是是WinnGatte和PProxxy SServver。(3)双双穴主机机防火墙墙：该防防火墙是是用主机机来执行行安全控控制功能能。一台台双穴主主机配有有多个网网卡，分分别连接接不同的的网络。双穴主主机从一一个网络络收集数数据，并并且有选选择地把把它发送送到另一一个网络络上。网网络服务务由双穴穴主机上