什么是网络安全策略

1. 网络安全策略都包括哪些方面的策略

（1）物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

（2）访问控制策略：入网访问控制，网络的权限控制，目录级安全控制，属性安全控制，网络监测和锁定控制，网络端口和结点的安全控制。

（3）防火墙控制防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。当前主流的防火墙主要分为三类：包过滤防火墙、代理防火墙和双穴主机防火墙。

（4）信息加密策略网络加密常用的方法有链路加密、端点加密和结点加密三种。链路加密的目的是保护网络结点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；结点加密的目的是对源结点到目的结点之间的传输链路提供保护。

（5）网络安全管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房的管理制度；制订网络系统的维护制度和应急措施等。

2. 网络安全策略

安全策略是指在某个安全区域内（通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息资源不可以给予、不允许访问、不得使用。安全策略基于身份、规则、角色进行分类。

机房组建应按计算机运行特点及设备具体要求确定。机房一般宜由主机房区、基本工作区、辅助机房区等功能区域组成。

主机房区包括服务器机房区、网络通信区、前置机房区和介质库等。

基本工作区包括缓冲区、监控区和软件测试区等。

辅助机房区包括配电区、配线区、UPS 区、消防气瓶间和精密空调区等。

设备标识和鉴别：应对机房中设备的具体位置进行标识，以方便查找和明确责任。机房内关键设备部件应在其上设置标签，以防止随意更换或取走。

设备可靠性：应将主要设备放置在机房内，将设备或主要部件进行固定，并设置明显的不易除去的标记。应对关键的设备关键部件冗余配置，例如电源、主控板、网络接口等。

防静电：机房内设备上线前必须进行正常的接地、放电等操作，对来自静电放电的电磁干扰应有一定的抗扰度能力。机房的活动地板应有稳定的抗静电性能和承载能力，同时耐油、耐腐蚀、柔光、不起尘等。

电磁骚扰：机房内应对设备和部件产生的电磁辐射骚扰、电磁传导骚扰进行防护。

电磁抗扰：机房内设备对来自电磁辐射的电磁干扰和电源端口的感应传导的电磁干扰应有一定的抗扰度。

浪涌抗扰：机房内设备应对来自电源端口的浪涌（冲击）的电磁干扰应有一定的抗扰度。

电源适应能力：机房供电线路上设置稳压器和过电压防护设备。对于直流供电的系统设备，应能在直流电压标称值变化10%的条件下正常工作。

泄漏电流：机房内设备工作时对保护接地端的泄漏电流值不应超过5mA。

电源线：机房内设备应设置交流电源地线，应使用三芯电源线，其中地线应于设备的保护接地端连接牢固。

线缆：机房通信线缆应铺设在隐蔽处，可铺设在地下或管道中。

绝缘电阻：机房内设备的电源插头或电源引入端与设备外壳裸露金属部件之间的绝缘电阻应不小于5MΩ。

场地选择：机房场地选择应避开火灾危险程度高的区域，还应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。机房场地应避开强振动源、强噪声源和强电场干扰的地方。机房不应该选择在楼层的最高层或者最低层地方。

防火：机房应设置火灾自动报警系统，包括火灾自动探测器、区域报警器、集中报警器和控制器等，能对火灾发生的部位以声、光或电的形式发出报警信号，并启动自动灭火设备，切断电源、关闭空调设备等。机房采取区域隔离防火措施，布局要将脆弱区和危险区进行隔离，防止外部火灾进入机房，特别是重要设备地区，安装防火门、使用阻燃材料装修。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

电磁辐射防护：电源线和通信线缆应隔离铺设，避免互相干扰。应对关键设备和磁介质实施电磁屏蔽。通信线采取屏蔽措施，防止外部电磁场对机房内计算机及设备的干扰，同时也抑制电磁信息的泄漏。应采用屏蔽效能良好屏蔽电缆作为机房的引入线。机房的信号电缆线（输入／输出）端口和电源线的进、出端口应适当加装滤波器。电缆连接处应采取屏蔽措施，抑制电磁噪声干扰与电磁信息泄漏。

供电系统：应设置冗余或并行的电力电缆线路为计算机系统供电。应建立备用供电系统。机房供电电源设备的容量应具有一定的余量。机房供电系统应将信息系统设备供电线路与其它供电线路分开，应配备应急照明装置。机房应配置电源保护装置，加装浪涌保护器。机房电源系统的所有接点均应镀锡处理，并且冷压连接。

静电防护：主机房内绝缘体的静电电位不应大于1kV。主机房内的导体应与大地作可靠的连接，不应有对地绝缘的孤立导体。

防雷电：机房系统中所有的设备和部件应安装在有防雷保护的范围内。不得在建筑物屋顶上敷设电源或信号线路。必须敷设时，应穿金属管进行屏蔽防护，金属管应进行等电位连接。机房系统电源及系统输入/输出信号线，应分不同层次，采用多级雷电防护措施。

机房接地：对直流工作接地有特殊要求需单独设置接地装置的系统，接地电阻值及其它接地体之间的距离，应按照机房系统及有关规范的要求确定。

温湿度控制：机房应有较完备的空调系统，保证机房温度的变化在计算机设备运行所允许的范围。当机房采用专用空调设备并与其它系统共享时，应保证空调效果和采取防火措施。机房空气调节控制装置应满足计算机系统对温度、湿度以及防尘的要求。空调系统应支持网络监控管理，通过统一监控，反映系统工作状况。

机房防水：机房水管安装不得穿过屋顶和活动地板，穿过墙壁和楼板的水管应使用套管，并采取可靠的密封措施。机房应有有效的防止给水、排水、雨水通过屋顶和墙壁漫溢和渗漏的措施，应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。机房应安装漏水检测系统，并有报警装置。

入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源，控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行：用户名的识别与验证；用户口令的识别与验证；用户账户的默认权限检查。三道控制关卡中只要任何一关未过，该用户便不能进入网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道关卡。用户登录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在。口令最好是数字、字母和其他字符的组合，长度应不少于6个字符，必须经过加密。口令加密的方法很多，最常见的方法有基于单向函数的口令加密、基于测试模式的口令加密、基于公钥加密方案的口令加密、基于平方剩余的口令加密、基于多项式共享的口令加密、基于数字签名方案的口令加密等。经过各种方法加密的口令，即使是网络管理员也不能够得到。系统还可采用一次性用户口令，或使用如智能卡等便携式验证设施来验证用户的身份。

网络管理员应该可对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户名或用户账户是所有计算机系统中最基本的安全角式。用户账户应只有网络管理员才能建立。用户口令是用户访问网络所必须提交的准入证。用户应该可以修改自己的口令，网络管理员对口令的控制功能包括限制口令的最小长度、强制用户修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数。针对用户登录时多次输入口令不正确的情况，系统应按照非法用户入侵对待并给出报警信息，同时应该能够对允许用户输入口令的次数给予限制。

用户名和口令通过验证之后，系统需要进一步对用户账户的默认权限进行检查。网络应能控制用户登录入网的位置、限制用户登录入网的时间、限制用户入网的主机数量。当交费网络的用户登录时，如果系统发现“资费”用尽，还应能对用户的操作进行限制。

操作权限控制是针对可能出现的网络非法操作而采取安全保护措施。用户和用户组被赋予一定的操作权限。网络管理员能够通过设置，指定用户和用户组可以访问网络中的哪些服务器和计算机，可以在服务器或计算机上操控哪些程序，访问哪些目录、子目录、文件和其他资源。网络管理员还应该可以根据访问权限将用户分为特殊用户、普通用户和审计用户，可以设定用户对可以访问的文件、目录、设备能够执行何种操作。特殊用户是指包括网络管理员的对网络、系统和应用软件服务有特权操作许可的用户；普通用户是指那些由网络管理员根据实际需要为其分配操作权限的用户；审计用户负责网络的安全控制与资源使用情况的审计。系统通常将操作权限控制策略，通过访问控制表来描述用户对网络资源的操作权限。

访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对目录下的子控制目录和文件的权限。对目录和文件的常规操作有：读取(Read)、写入(Write)、创建(Create)、删除(Delete)、修改(Modify)等。网络管理员应当为用户设置适当的操作权限，操作权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对网络资源的访问。

访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。属性安全策略在操作权限安全策略的基础上，提供更进一步的网络安全保障。网络上的资源都应预先标出一组安全属性，用户对网络资源的操作权限对应一张访问控制表，属性安全控制级别高于用户操作权限设置级别。属性设置经常控制的权限包括：向文件或目录写入、文件复制、目录或文件删除、查看目录或文件、执行文件、隐含文件、共享文件或目录等。允许网络管理员在系统一级控制文件或目录等的访问属性，可以保护网络系统中重要的目录和文件，维持系统对普通用户的控制权，防止用户对目录和文件的误删除等操作。

网络系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块，可以安装和删除软件。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改系统、删除重要信息或破坏数据。系统应该提供服务器登录限制、非法访问者检测等功能。

网络管理员应能够对网络实施监控。网络服务器应对用户访问网络资源的情况进行记录。对于非法的网络访问，服务器应以图形、文字或声音等形式报警，引起网络管理员的注意。对于不法分子试图进入网络的活动，网络服务器应能够自动记录这种活动的次数，当次数达到设定数值，该用户账户将被自动锁定。

防火墙是一种保护计算机网络安全的技术性措施，是用来阻止网络黑客进入企业内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种，防火墙通常都安置在网络边界上，通过网络通信监控系统隔离内部网络和外部网络，以阻档来自外部网络的入侵。

域间安全策略用于控制域间流量的转发（此时称为转发策略），适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny）或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访（此时称为本地策略），按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny），允许或拒绝与设备本身的互访。

缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内网所在的安全区域Trust，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量并执行相应动作（permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧，可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作（permit/deny）。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

应制定相应的机房管理制度，规范机房与各种设备的使用和管理，保障机房安全及设备的正常运行，至少包括日常管理、出入管理、设备管理、巡检（环境、设备状态、指示灯等进行检查并记录）等。重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。对机房内的各种介质应进行分类标识，重要介质存储在介质库或档案室中。

加强网络的安全管理，制定有关规章制度，对于确保系统的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和访问主机的管理制度；制订网络系统的维护制度和应急措施等。

3. 简述网络安全策略的概念及制定安全策略的原则

网络的安全策略1.引言

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

2.计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

(1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

(3)网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

3.计算机网络的安全策略

3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。 3.2.1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全角式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

3.2.2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3.2.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

3.2.4 属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、、执行修改、显示等。

3.2.5 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

3.2.6 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

3.2.7 网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

3.2.8 防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型；

(1)包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

(2)代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。

(3)双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

4.信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形 色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

5. 网络安全管理策略

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。

网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

6. 结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

4. 网络安全策略是什么网络安全体系是什么网络安全模型是什么（概念解释，不要一长串的那种。）

网络安全策略：主要表现在系统的可靠性、 可用性、保密性、完整性、 可用性、保密性、完整性、不可抵赖性和可控性等方面。

网络安全体系：这个我都不知道该怎么回答你了...

网络安全模型：是动态网络安全过程的抽象描述，通过对安全模型的研究，通过对安全模型的研究，了解安全动态过程的构成因素，是构建合理而实用的安全策略体系的前提之一。为了达到安全防范的目标，需要建立合理的网络安全模型，立合理的网络安全模型，以指导网络安全工作的 部署和管理。

5. 网络安全策略模型的内容包括哪些

安全策略模型包括了建立安全环境的三个重要组成部分：威严的法律、先进的技术和严格的管理。

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

(5)什么是网络安全策略扩展阅读：

网络信息安全中安全策略模型主要包括：

一、口令策略，主要是加强用户口令管理和服务器口令管理；

二、计算机病毒和恶意代码防治策略，主要是拒绝访问，检测病毒，控制病毒，消除病毒。

三、安全教育和培训策略四、总结及提炼。

网络信息安全主要特征：

1，完整性

指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储、传输，这是最基本的安全特征。

2，保密性

指信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。

3，可用性

指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。

参考资料来源：网络-网络信息安全

6. 信息网络安全的安全策略

信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略，安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很多，如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”，总体安全策略为其它安全策略的制定提供总的依据。
1. 实体可信：实体指构成信息网络的基本要素，主要有网络基础设备，如防火墙、VPN等；软件系统，如Windows7/8系统、UniNAC网络准入系统等；及用户和数据。保证构建网络的基础设备和软件系统安全可信，没有预留后门或逻辑炸弹。保证接入网络的用户是可信的，防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听，非授权访问或恶意篡改。
2. 行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资源 ( 例如：内存、中断、 I / O 端口、硬盘等硬件设备，文件、目录、进程、系统调用等软件资源 ) 不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控，即保证用户接入网络应严格受控，用户上网必须得到申请登记并许可。保证网络行为可控，即保证网络上的通信行为受到监视和控制，防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。
3. 资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、 IP 地址、用户账号、服务端口等网络资源进行统一管理。
4. 事件可查：保证对网络上的各类违规事件进行监控记录，确保日志记录的完整性，为安全事件稽查、取证提供依据。
5. 运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失，并具有较强的应急响应和灾难恢复能力。

7. 网络安全是什么

什么是网络安全？

vpn

虚拟专用网（VPN）： VPN是另一种网络安全类型，能够加密从端点到网络（主要是通过Internet）的连接。远程访问VPN通常使用IPsec或安全套接字层来认证网络和设备之间的通信。

无线安全性：随着无线网络和接入点的发展，移动办公运动正在迅速发展。但是，无线网络不如有线网络安全，这为黑客进入提供了空间。因此，确保无线安全性至关重要。应该注意的是，如果没有严格的安全措施，安装无线局域网可能就像在各处放置以太网端口一样。必须使用专门设计用于保护无线网络的产品，以防止发生利用漏洞。

端点安全性： 端点安全性（也称为网络保护或网络安全性）是一种通过远程设备（例如便携式计算机或其他一些无线设备和移动设备）进行访问时用于保护公司网络的方法。例如，Comodo Advanced Endpoint Protection软件提供了七层防御，包括病毒处理、文件信誉、自动沙盒、主机入侵防护、Web URL过滤、防火墙和防病毒软件。所有这些都在一个产品中提供，以保护它们免受未知和已知威胁的侵害。

网络访问控制（NAC）：此网络安全过程可帮助您控制哪些人可以访问您的网络。必须识别每个设备和用户，以阻止潜在的攻击者。这确实可以帮助您实施安全策略。不合规的端点设备只能被授予有限的访问权限，也可以被阻止。

技术网络保护：技术网络保护用于保护网络中的数据。技术网络保护可以保护恶意软件和未经授权的人员存储和传输中的数据。

物理网络保护：物理网络保护或物理网络安全性是一种网络安全措施，旨在防止未经授权的人员物理干扰网络组件。门锁和ID通行证是物理网络保护的重要组成部分。

管理网络保护：管理网络保护是一种控制用户网络行为和访问的安全方法。它还在执行IT基础结构变更时为IT人员提供了标准的操作程序。