如圖2-1示，國家局網(wǎng)絡(luò)一方面通過寬帶網(wǎng)與國家局直屬單位互連，另一方面國家局網(wǎng)絡(luò)經(jīng)電信公司的專網(wǎng)與各省局單位網(wǎng)絡(luò)互連；而各省局單位又通過專網(wǎng)與其各自的下屬地市局單位互連。本行業(yè)系統(tǒng)各局域網(wǎng)經(jīng)廣域線路互連構(gòu)成一個全國性的企業(yè)網(wǎng)（Intranet）。

    2.2 網(wǎng)絡(luò)應(yīng)用

    對于各級網(wǎng)絡(luò)系統(tǒng)通過本地局域網(wǎng)，用戶間可以共享網(wǎng)絡(luò)資源（如：文件服務(wù)器、打印機等）

    對于各級用戶之間，根據(jù)用戶應(yīng)用需要，通過廣域網(wǎng)絡(luò)，各級用戶之間可以利用電子郵件互相進行信息交流。

    而單位間通過網(wǎng)絡(luò)互相提供瀏覽器訪問方式對外部用戶發(fā)布信息，提供游覽、查詢等服務(wù)。如發(fā)布一些政策、規(guī)劃；網(wǎng)上報稅等。

    各級用戶間還有行業(yè)數(shù)據(jù)需要通過網(wǎng)絡(luò)進行交換。而這些數(shù)據(jù)大多都可能涉及到秘密信息。

    各級單位通過網(wǎng)絡(luò)召開電視電話會議，比如計論有關(guān)一些國家政策性的內(nèi)容，因此其內(nèi)容在網(wǎng)上傳輸也需要保密。

    通過網(wǎng)絡(luò)使用單位系統(tǒng)內(nèi)部的IP電話。

第三章 網(wǎng)絡(luò)安全風(fēng)險分析

    網(wǎng)絡(luò)應(yīng)用給人們帶來了無盡的好處，但隨著網(wǎng)絡(luò)應(yīng)用擴大網(wǎng)絡(luò)安全風(fēng)險也變得更加嚴重和復(fù)雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)和主機， 引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對網(wǎng)絡(luò)安全政策及防護意識的認識不足，這些風(fēng)險正日益加重。而這些風(fēng)險與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等 因素密切相關(guān)。下面從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進行分類描述：

    3.1 物理安全風(fēng)險分析

    網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有：

·地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；
·電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；
·設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；
·電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；
·報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。

    3.2 鏈路傳輸風(fēng)險分析

    網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀 出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴重的安全危脅。因此，對于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù) 據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。

    3.3 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

    3.3.1 來自與公網(wǎng)互聯(lián)的安全危脅

    如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴重的安全危脅。因為，每天黑客 都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其 辦公系統(tǒng)及各人主機上都有涉密信息。假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播， 還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間 接與相連。

    3.3.2 內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

    如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。如：

    入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊。

    入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

    惡意攻擊:入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

    3.3.3 內(nèi)部局域網(wǎng)的安全威脅

    據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部不懷 好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很的威脅。

    3.4 系統(tǒng)的安全風(fēng)險分析

    所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的 應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些"后門"或安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng) 的安全程度跟對其進行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如 果進行安全配置，比如，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當(dāng) 高的技術(shù)水平及相當(dāng)長時間。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。

wanglin