四川省邻水县中医院信息安全保障系方案设计v2

第页前言方案规划背景邻水县中医医院是一所集医疗、教学、科研、预防、保健于一体的国家“二级甲等”综合性中医医院。是邻水县城镇职工、居民基本医疗保险、新型农村合作医疗、工伤、生育保险定点医院。是重庆医科大学附属第一医院、第三军医大学附属大坪医院技术指导医院。是三峡医药专科学校、达州职业技术学院、达州中医学校教学实习基地。医院占地面积1.5万平方米，业务用房1.6万平方米（门诊部7500余平方米，住院部8500余平方米），开放床位450张。现有在岗职工510人（其中硕士7人），有高级职称31人、中级职称65人。市级名中医3人，广安市名医4人。年门诊流量约20余万人次、年住院20000人次。根据卫生部制定的《卫生行业信息安全等级保护工作的指导意见》、《四川省重要信息系统安全等级保护工作协调小组，关于开展我市重要信息系统安全等级保护自查整改和等级测评工作的通知》、以及《四川省二级综合医院评审标准》中明确提出二甲医院应通过国家等级保护，为了促进和规范邻水县中医院的信息化建设，提高邻水县中医院的管理与业务工作水平,进一步提高邻水县中医院信息安全保障能力和防护水平，通过国家对医院等级保护认证，建立面向医院、面向社会公众和患者、面向卫生行政部门的高效、快捷、方便、优质的医疗卫生信息共享与服务体系，充分利用医疗卫生资源，利用信息化的战略先进性，努力提高人民群众的健康水平。为了响应国家关于等级保护要求的基础上，维护院方信息安全，保障和促进邻水县中医院信息化建设的健康发展，按照国家有关规定和标准规范要求、医疗行业发文要求，邻水县中医院决定围绕医院核心业务系统深入开展信息安全等级保护工作，并在此基础上指引后续信息化安全建设方向。按照国家等级保护二级的要求，通过对邻水县中医院信息化现状调研、分析，结合等级保护在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全、系统建设、系统运维十个方面的要求，协助邻水县中医院逐步完善信息安全组织、落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使得邻水县中医院信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，并且通过国家对医院等级保护认证，使邻水县中医院达到国家等级保护二级保护水平。为了更好服务社会，加强信息系统的安全性，特根据需求编写信息系统网络安全规划建议书。方案编制依据设计依据及参考规范如下：GB17859-1999计算机信息系统安全保护等级划分准则GB/T22239—2008信息系统安全等级保护基本要求GB/T22240—2008信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南（国标报批稿）信息系统安全等级保护测评要求（国标报批稿）GB/T25058-2010信息系统安全等级保护实施指南GB/T25070-2010信息系统等级保护安全设计技术要求《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年9月四部委局联合签发的《关于信息安全等级保护工作的实施意见》计算机信息网络国际联网保密管理规定国家保密局计算机信息网络国际联网安全保护管理办法中华人民共和国计算机信息系统安全保护条例BS7799信息安全管理体系规范GB18336信息技术安全性评估准则ISO15408（CC）信息安全评估通用准则SSE-CMM信息安全工程模型ISO13335信息技术安全管理指南《计算机信息系统安全等级保护管理要求》《计算机信息系统安全等级保护网络技术要求》《计算机信息系统安全等级保护数据库管理系统技术要求》《计算机信息系统安全等级保护操作系统技术要求》《计算机信息系统安全等级保护通用技术要求》《计算机信息系统安全保护等级划分准则》(GB17859)方案设计原则根据对重庆市邻水县中医院网络系统现状，参考国家相关政策和标准，本次规划与设计工作将严格遵循以下的建设原则：统一领导、统一规划原则重庆市邻水县中医院网络系统安全工程要有长远的规划，对信息系统整体安全需求要有较全面的考虑。同时对整个系统安全设计进行统一的规划和整体性的设计。技术先进性原则安全系统的设计和实现应尽量采用先进的安全体系或技术模型进行结构性设计，选用先进、成熟的安全技术和设备；实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。可控性原则系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。系统的设计与施工单位要有相应资格证明；管理、维护单位和人员需有相应的上岗条件。适度安全性原则系统安全设计应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。系统可扩充性原则安全系统的建设必须考虑网络和应用系统的可升级性和可伸缩性。重要和关键的安全设备不会因网络和应用业务变化而更换或废弃。示范和推广原则安全保障系统对重庆市邻水县中医院网络系统应用的保障作用，将会推动信息系统的应用和进一步完善，带动社会信息化的健康发展。技术与管理相结合原则重庆市邻水县中医院网络系统安全工程是一个复杂的系统工程，其中涉及产品、过程和人的因素，因此它的安全总体解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题，必须坚持技术和管理相结合的原则。为保障重庆市邻水县中医院网络系统的安全，还必须建立较为完善的安全保障体系，安全保障体系由安全技术、管理和人才教育三个子体系组成。分步实施原则在以上的原则上，重庆市邻水县中医院网络系统的安全保障系统建设是个长期的过程，包含了技术、管理、运行三个方面，需要投入大量的人力、财力和物力，因此必须“分阶段、有步骤、有计划”地进行建设，确保信息安全与信息化建设相适应。方案建设目标本项目安全建设的主要目标是：参照国家、国际上安全的一些标准，并重点参照公安部等级保护进行安全建设，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。切实加强网络与信息安全防护水平，确保信息安全存储、共享与流转，确保网络可信可控，建设一个符合二甲医院安全防护要求的计算机网络系统。在安全建设同时平衡安全建设与成本：系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过渡保护。安全分析符合等级化保护的安全需求等级保护是我国安全保障基本制度、基本方法。因此，本次方案重点参考公安部等级保护建设要求。根据等级保护基本安全要求，重庆市邻水县中医院网络系统将暂时参照等级保护二级要求采取相应的安全防护手段，体现出“重点资产、重点防护”的设计思想。未来发展中可进一步参造三级系统进一步加强安全建设。第二级为系统审计级，安全保护能力为实现定级系统的自主访问控制，使系统用户对其所属客体具有自我保护的能力，具备系统安全审计、客体重用等安全功能，并实施以用户为基本粒度的自主访问控制，使系统具有更强的自主安全保护能力。因此该级别的信息应具备对用户数据保密性和完整性保护，以增强系统的安全保护能力，具体的安全需求包括：物理环境的安全措施，确保其能够对抗地震、台风等自然灾害，具有防雷、防水、防火的措施，采用较好的供电措施，能够防止电压异常波动的能力，电源有冗余措施；对计算机、网络的设备、环境和介质采用较严格的防护措施，确保其为信息系统的安全运行提供稳定的支撑，防止由于技术原因造成信息的泄露和破坏；通过对局域计算环境内各组成部分采用网络安全监控、安全审计、数据、设备及系统的备份与恢复、集中统一的病毒监控体系、身份鉴别、细粒度的自主访问控制、满足二级要求的操作系统和数据库、较高强度密码支持的存储和传输数据的加密保护、客体重用等安全机制，实现对局域网计算环境内信息的安全保护和系统安全运行的支持；采取分区域保护和边界保护（如基于内容过滤的防火墙、网络隔离部件、信息过滤和边界完整性检查等），在不同区域边界统一制定边界访问控制策略，实现不同安全等级区域之间安全互操作的较严格控制；信息在传输过程中必须加密，能够抵抗对信息的嗅探攻击；能够抵抗信息的重放攻击；能够检测传输数据的完整性；对系统采取全面的安全审计措施，能够充分核查系统内的访问情况，对关键业务能够进行还原，使系统管理人员对网络的访问情况“一目了然”；按照系统化的要求和层次化结构的方法设计和实现子系统，增强各层面的安全防护能力，通过安全管理中心，在统一安全策略下对系统安全事件集中审计、集中监控和数据分析，并做出响应和处理，从而构件较为全面的动态安全防护体系。等级保护技术预评估表物理安全评估安全措施描述结果注释物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内2-部分符合物理访问控制机房出入口应有专人值守，控制、鉴别和记录进入的人员2-部分符合无值守，控制需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。3-不符合无记录防盗窃和防破坏应将主要设备放置在机房内1-符合应将设备或主要部件进行固定，并设置明显的不易除去的标记2-部分符合部分设备没法固定，无标记应将通信线缆铺设在隐蔽处，可铺设在地下或管道中2-部分符合部分线路是明线应对介质分类标识，存储在介质库或档案室中3-不符合主机房应安装必要的防盗报警设施3-不符合防雷击机房建筑应设置避雷装置3-不符合应设置交流电源地线。1-符合防火机房应设置灭火设备和火灾自动报警系统3-不符合防水和防潮水管安装，不得穿过机房屋顶和活动地板下3-不符合应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透1-符合应采取措施防止机房内水蒸气结露和地下积水的转移与渗透1-符合应采取措施防止室内水蒸气结露和地下积水的转移与渗透1-符合防静电关键设备应采用必要的接地防静电措施3-不符合温度/湿度控制机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内3-不符合电力供应应在机房供电线路上配置稳压器和过电压防护设备3-不符合应提供短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求1-符合电磁防护电源线和通信线缆应隔离铺设，避免互相干扰3-不符合

网络安全评估安全措施访谈内容结果结构安全应保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要1.符合应保证接入网络和核心网络的带宽满足业务高峰期需要1.符合应绘制与当前运行情况相符的网络拓扑结构图1.符合应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段1.符合访问控制应在网络边界部署访问控制设备，启用访问控制功能1.符合应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级1.符合应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户3.不符合应限制具有拨号访问权限的用户数量3.不符合安全审计应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录1.符合审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息3.不符合边界完整性检查应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查3.不符合入侵防范应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等3.不符合网络设备防护应对登录网络设备的用户进行身份鉴别3.不符合应对网络设备的管理员登录地址进行限制3.不符合网络设备的标识应唯一3.不符合身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换2.部分符合应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施3.不符合当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听3.不符合

主机安全评估安全措施访谈内容结果身份鉴别应对登录操作系统和数据库系统的用户进行身份标识和鉴别1.符合操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换1.符合应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施3.不符合当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听3.不符合应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性1.符合访问控制应启用访问控制功能，依据安全策略控制用户对资源的访问1.符合应实现操作系统和数据库系统特权用户的权限分离3.不符合应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令1.符合应及时删除多余的、过期的帐户，避免共享帐户的存在3.不符合安全审计审计范围应覆盖到服务器上的每个操作系统用户和数据库用户3.不符合审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件3.不符合审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等3.不符合应保护审计记录，避免受到未预期的删除、修改或覆盖等3.不符合入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新3.不符合恶意代码防范应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库3.不符合应支持防恶意代码软件的统一管理3.不符合资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录3.不符合应根据安全策略设置登录终端的操作超时锁定3.不符合应限制单个用户对系统资源的最大或最小使用限度3.不符合

应用安全评估安全措施访谈内容结果身份鉴别应提供专用的登录控制模块对登录用户进行身份标识和鉴别3.不符合应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用3.不符合应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施3.不符合应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数3.不符合访问控制应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问3.不符合访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作3.不符合应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限3.不符合应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系3.不符合安全审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计3.不符合应保证无法删除、修改或覆盖审计记录3.不符合审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等3.不符合通信完整性应采用校验码技术保证通信过程中数据的完整性3.不符合通信保密性在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证3.不符合应对通信过程中的敏感信息字段进行加密3.不符合软件容错应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求3.不符合在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施3.不符合资源控制当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话3.不符合应能够对应用系统的最大并发会话连接数进行限制3.不符合应能够对单个帐户的多重并发会话进行限制3.不符合

数据安全及恢复评估安全措施访谈内容结果数据完整性应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏3.不符合数据保密性应采用加密或其他保护措施实现鉴别信息的存储保密性3.不符合备份和恢复应能够对重要信息进行备份和恢复1.符合应提供关键网络设备、通信线路和数据处理系统的硬件冗余，保证系统的可用性1.符合现状与需求分析邻水县中医院当前分为内、外网络混合工作，没有采用任何安全设备；全部运行在互联网上。用户终端总计250台PC。是一个安全几乎为零的状况。建设建议本次方案将通过评估表格中的网络安全、主机安全、应用安全、数据安全进行安全设备建设，不包含物理安全与安全管理部分。详细情况如下：序

号部署设备部署位置解决问题备注网络安全主机安全系统安全数据安全1安全网关互联网出口访问控制安全审计恶意代码防范其他未提高的方式需要加强管理解决2防火墙服务器区域访问控制

安全审计访问控制

安全审计3上网行为管理互联网边界边界完整性检查安全审计4IDS入侵防范身份鉴别

入侵防范5终端管理身份鉴别资源控制身份鉴别6杀毒软件已经具备或可以使用免费版恶意代码防范安全区域划分安全区域划分划分参考原则对于重庆市邻水县中医院网络系统，参考GB/T22240-2008信息安全技术信息系统安全等级保护定级指南，可以将其划分为若干子系统，子系统划分基于以下原则：提供服务的对外业务系统，对内部用户提供服务的内部办公和管理系统；根据该网络现状，系统可能运行在网络不同区域内，不同的区域在重要程度、隔离模式和管理模式上差异较大，所以可以按照系统运行的网络区域进行子系统划分。根据以上两个原则，结合安全区域划分主要针对的是内网环境，且有可能存在与外网的数据交互；我们将该信息网络架构划分为：网络核心交换区、核心数据服务区、安全管理区、基本安全区、外联区安全域划分外联区外联区位于网络的边界，内部数据与外部交换数据，由于该区域的作用是将内网数据同步到外部网络，方便来自互联网的访问，因此该区域的安全不仅需要考虑部署安全设别，还应该在未来的发展中加入对外部网络进行安全防护，并安全加固。核心交换区整个网络中心，由高性能核心交换机组成，本区域主要进行高性能转发，因此区域仅仅的安全考虑是交换机性能、冗余与物理安全。在未来发展中，为保证网络稳定性，可保证双机热备。核心数据服务区从信息资产的角度，该区域是应用服务重点信息资产，因此成为本次安全保障体系规划的重点。因此其边界隔离、入侵检测、网络审计必不可少，同时本区域服务器本身的安全也是需要重点考虑的，服务器加固等服务必不可少。安全管理区本区域重点解决网络安全管理需要用的的软硬件：桌面管理、网络防病毒、入侵检测都是本区域应该部署的设备，同时应该制定相应的安全管理措施，加大本区域管理力度，提高安全性。基本安全区内部终端，楼层交换机安全域，本区域的安全不会威胁网络整体运营，只需要做基本的安全防护。所以，本区域重点考虑的是网络防毒、终端管理等基本保护。

网络安全方案规划技术架构根据安全域划分，整体网络安全技术架构如下图：邻水县中院院网络安全整体设计拓扑图系统部署外联区安全网关通过部署安全网关实现边界访问控制基本安全。连接外网交换数据部署一台东软NetEye千兆级安全网关。提供对数据包的进/出网络接口、协议（TCP、UDP、ICMP、以及其他非IP协议）、源地址、目的地址、源端口、目的端口、以及时间、用户、服务（群组）的过滤以及控制功能，对进入或流出的防火墙系统的数据进行安全检查，只允许符合安全安全策略的数据包通过；同时对连接网络的流量、内容过滤进行管理。边界安全网关承载着所有进出网络流量，其部署重要性不言而喻。防火墙应该具备如下功能：安全网关基于模块化设计，具备VPN、IPS、AV等模块；并可以支持更多的模块设计；安全网关采用双电源冗余，软件上有双系统保证稳定性，每个安全操作系统支持快速升级及回滚，无需重启；安全网关支持路由、透明、混合等部署模式，支持透明模式下的bypass功能；支持基于Sflow的网络流量监控技术，可作为Sflow代理与异常流量分析设备进行联动；支持静态路由与常见动态路由；支持基于DNAT的负载均衡技术并提供多方式链路探测功能；可针对FTP，TFTP，SIP，H.323，RTSP，Tuxedo和Oralce协议设置动态端口打开功能；支持根据安全域，IP地址，MAC地址，以太网帧类型，协议，端口和时间对IP数据包进行控制；支持基于域名的包过滤控制；支持长连接，可针对策略单独设置ICMP，TCPSYN,TCPFIN,TCPEST,TCPCLOSE和UDP的超时时间；支持基于IP地址和MAC地址的黑名单功能，提供临时黑名单和永久黑名单功能，通过简单有效的规则对异常地址进行控制；支持IP/MAC绑定功能；支持基于IP地址和MAC地址的信任地址功能；提供强大的策略管理功能，包括根据多种条件的策略查询功能，策略的分页显示功能，策略备份功能和策略恢复功能；支持虚拟防火墙，支持双机热备上网行为管理网络的内容日益丰富，变得复杂、多样化。当今，互联网进入了应用级网络时代，大量未知的内容和信息纷纷涌进网络，病毒、黑客攻击、内部员工泄密等防不胜防，然而这些问题的本质是“管理”，如何管理员工上网行为，规范上网行为成为了每个企业首要面临的问题。目前，用户面临网络管理问题具体如下：无法为员工的上网行为进行有效管理随着业务不断的扩展，工作人员大大的扩充，现有的设备中已经无法满足公司的对员工上网行为的管理。关键业务流量无法保证，带宽受到严重堵塞虽然企业有很高的带宽，可是网络还是常常造成拥堵，网络中存在着大量的P2P软件，不能有效的管理和封堵，使得办公系统运转不顺畅，办公网页无法打开，严重影响了正常业务的顺利进行。发现异常流量无法有效定位员工的不合理访问网络，带来多种隐患，导致网络中充斥着大量病毒（如ARP病毒）。病毒在局域网内传输，制造网络攻击，常常造成网络的中断。公司机密数据的保密无法得到真正的保障防火墙只能防御外部的侵袭，对于内部数据的泄露显得苍白无力，电子邮件、MSN/QQ以及BBS论坛等网络应用固然给企业带来了网络化使用的方便同时也是造成公司机密文档泄密的途径，必须进行必要的管理。非法网站的访问带来了较多的法律风险员工的上网不节制行为利用企业内部网络访问反动，色情，违反法律等网站，发表不法言论等，这些都会给企业带来负面影响以及需要承担法律责任，必须对这种行为进行限制。上班做私事，利用公司网络享受上网娱乐，降低工作效率员工在工作时间玩网络游戏、看网络电视、炒股等等，既占用公司正常业务流量也严重影响了员工的工作效率，带来企业无形资产的损失。对于邻水县中医院来说，通过部署上网行为管理主要是解决无线AP接入的如下问题：避免部分人暂用太多的带宽，导致其他人无法利用网络资源；通过带宽的合理分配，提供一个好的WIFI接入环境；通过对非法网站、论坛发言等的严密审计、管控，规避法律风险；规范员工使用WIFI过程中的上网行为。核心交换区本区域只包含核心交换机，并配合物理安全、安全管理。不需要单独加设备。核心数据服务区防火墙通过部署防火墙，保证数据吞吐率，提供对数据包的进/出网络接口、协议（TCP、UDP、ICMP、以及其他非IP协议）、源地址、目的地址、源端口、目的端口、以及时间、用户、服务（群组）的过滤以及控制功能，对进入或流出的防火墙系统的数据进行安全检查，只允许符合安全安全策略的数据包通过；同时对连接网络的流量、内容过滤进行管理。安全管理区安全管理区主要是提供整个网络管理所用，必须提供相应的管理工具与边界隔离。入侵检测入侵检测技术IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻下列的网络威胁：（1）黑客的攻击:黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有20多万个黑客网站，这些站点介绍一些攻击方法和攻击软件的使用以及系统存在的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。（2）管理的欠缺：网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备不足。目前，美国75％－85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃，其中25％的企业损失在25万美元以上。（3）网络的缺陷：因特网的共享性和开放性使网上信息安全存在先天不足。因为其赖以生存的TCP/IP协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。（4）软件的漏洞或“后门”：随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。(5)网络内部用户的误操作，资源滥用和恶意行为：再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的资源滥用做出反应。作为入侵检测，是网络安全中不可或缺的系统，具备如下功能：采用旁路检测模式，具备CS或BS管理模式支持4100条以上的入侵事件签名综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，保证IDS检测准确性，极大地降低了漏报率与误报率。除了发送实时报警信息外，还应将检测到的入侵事件和系统自身的审计信息保存在自身携带的硬盘上，避免网络存储可能引发的网络拥堵。生成完整的网络审计日志，并提供对日志的多种查询方式，日志自动备份，可对备份日志离线分析。管理系统必须由安全管理器、报表查看器、集中管理器、审计管理器、实时监控系统、脱机浏览器、用户管理器组成整个管理系统且每个管理子系统相对对立操作。要求IDS具有高度的自身安全性和隐蔽性，检测端口无IP地址。管理员登录控制台需要双口令验证。基本安全区一般来说，基本安全域主要是汇聚交换