第六章 网络应用服务安全

第六章网络后门与网络隐身1. 留后门的原则是什么？答：后门的好坏取决于被管理员发现的概率，留后门的原则就是不容易被发现，让管理员看了没有感觉、没有任何特别的地方。

2. 如何留后门程序？列举三种后门程序，并阐述原理及如何防御。

答：网络攻击经过踩点、扫描、入侵以后，如果攻击成功，一般就可以拿到管理员密码或者得到管理员权限。

第一，Login后门。

在Unix里，login程序通常用来对telnet来的用户进行口令验证。

入侵者获取login。

c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。

如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。

这将允许入侵者进入任何账号，甚至是root。

由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的，所以入侵者可以登录获取shell却不会暴露该账号。

管理员注意到这种后门后，便用“strings”命令搜索login程序以寻找文本信息。

许多情况下后门口令会原形毕露。

入侵者就开始加密或者更好的隐藏口令，使strings命令失效。

所以更多的管理员是用MD5校验和检测这种后门的。

第二，线程插入后门。

这种后门在运行时没有进程，所有网络操作均播入到其他应用程序的进程中完成。

也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设！这种后门本身的功能比较强大，是现在非常主流的一种，对它的查杀比较困难，很让防护的人头疼。

第三，网页后门。

网页后门其实就是一段网页代码，主要以ASP和PHP代码为主。

由于这些代码都运行在服务器端，攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。

并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

防御后门的方法主要有：建立良好的安全习惯，关闭或删除系统中不需要的服务，经常升级安全补丁，设置复杂的密码，迅速隔离受感染的计算机，经常了解一些反病毒资讯，安装专业的防毒软件进行全面监控等。

网络安全方案设计原则第六章网络安全方案设计原则在进行网络系统安全方案设计、规划时，应遵循以下原则：6.1 需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。

对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。

6.2 综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。

安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。

一个较好的安全措施往往是多种方法适当综合的应用结果。

计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。

不同的安全措施其代价、效果对不同网络并不完全相同。

计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

6.3 一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。

安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。

实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。

6.4 易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

6.5 适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。

6.6 多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。

中华人民共和国网络安全法中华人民共和国主席令第五十三号《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，现予公布，自2017年6月1日起施行。

2016年11月7日中华人民共和国网络安全法目录第一章总则第二章网络安全支持与促进第三章网络运行安全第一节一般规定第二节关键信息基础设施的运行安全第四章网络信息安全第五章监测预警与应急处置第六章法律责任第七章附则第一章总则第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

第四条国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

第五条国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

第六条国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。

国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

一、单选题**1. 计算机网络是按照（）相互通信的。

A.网络协议B. 信息交换方式C. 传输装置D. 分类标准答案A*2.建立计算机网络的最主要的目的是（）。

A. 提高内存容量B. 提高计算精度C. 提高运算速度D. 共享资源答案D*3．要浏览Internet网页，需要知道（）。

A. 网页制作的过程B. 网页设计的风格C. 网页的作者D. 网页的URL地址答案D**4．OSI参考模型是国际标准化组织制定的模型，把计算机之间的通信分成（）个互相连接的协议层A. 6B. 7C. 5D. 8答案B**5. 电子邮件地址有两部分组成。

即：用户名@（）。

A. 邮件服务器名B. 设备名C. 匿名D. 文件名答案A***6．以下为互联网中正确IP地址的是（）。

A. 128.128.1B. 0.0.1.259C. 255.255.258.359D. 128.127.0.1答案D**7．所谓加密是指将一个信息经过（）及加密函数转换，变成无意义的密文，而接受方则将此密文经过解密函数，（）还原成明文。

A. 解密钥匙、解密钥匙B. 解密钥匙、加密钥匙C. 加密钥匙、解密钥匙D. 加密钥匙、加密钥匙答案C**8．下列对Internet说法错误的是（）。

A. 客户机上运行的是WWW浏览器B. 服务器上运行的是Web文件C. 客户机上运行的是Web服务程序D. 服务器上运行的是Web服务程序答案C*9．Internet采用的通信协议是（）。

A. TCP/IPB. FTPC. WWWD. SPX/IP答案A**10．下面关于Internet网上的计算机地址的叙述，错误的是（）。

A. Internet网上的域名是唯一的，不能同时分配给两台计算机B. Internet网上的IP地址是唯一的，不能同时分配给两台计算机C. Internet网上的计算机地址用域名或IP地址表示D. Internet网上的所有计算机的域名的长度是固定相同的答案D*11．接入Internet的主要方式有（）。

网络安全问答题第一章：1.网络攻击和防御分别包括哪些内容？攻击技术主要包括：1)网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

2)网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

3)网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。

4)网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

5)网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括;1)安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。

2)加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。

3)防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。

4)入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。

5)网络安全协议：保证传输的数据不被截获和监听。

2.从层次上，网络安全可以分成哪几层？每层有什么特点？4个层次上的安全：物理安全、逻辑安全、操作系统安全和联网安全。

物理安全：防盗、防火、防静电、防雷击和防电磁泄漏。

逻辑安全：计算机的逻辑安全需要用口令、文件许可等方法来实现。

操作系统安全：操作系统是计算机中最基本、最重要的软件。

联网安全通过以下两方面的安全服务来达到：a：访问控制服务：用来保护计算机和联网资源不被非授权使用。

b：通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

第四章：2、黑客在进攻的过程中需要经过哪些步骤？目的是什么？隐藏IP：通常有两种方式实现IP的隐藏：第一种方法是首先入侵互联网上的一台计算机（俗称“肉鸡”），利用这台计算进行攻击，这样即使被发现了，也是“肉鸡”的IP地址；第二种方式是做多级跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址。

踩点扫描：通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。

第六章应用层6-01 因特网的域名结构是怎么样的？它与目前的电话网的号码结构有何异同之处？答：（1）域名的结构由标号序列组成，各标号之间用点隔开：服务器就以DNS客户的身份向某一个根域名服务器查询。

若根域名服务器有被查询主机的信息，就发送DNS回答报文给本地域名服务器，然后本地域名服务器再回答发起查询的主机。

但当根域名服务器没有被查询的主机的信息时，它一定知道某个保存有被查询的主机名字映射的授权域名服务器的IP地址。

通常根域名服务器用来管辖顶级域。

根域名服务器并不直接对顶级域下面所属的所有的域名进行转换，但它一定能够找到下面的所有二级域名的域名服务器。

每一个主机都必须在授权域名服务器处注册登记。

通常，一个主机的授权域名服务器就是它的主机ISP的一个域名服务器。

授权域名服务器总是能够将其管辖的主机名转换为该主机的IP地址。

6-05 文件传送协议FTP的主要工作过程是怎样的？为什么说FTP是带外传送控制信息？主进程和从属进程各起什么作用？答：（1）FTP使用客户服务器方式。

一个FTP服务器进程可同时为多个客户进程提供服务。

FTP的服务器进程由两大部分组成：一个主进程，负责接受新的请求；另外有若干个从属进程，负责处理单个请求。

主进程的工作步骤：1、打开熟知端口（端口号为21），使客户进程能够连接上。

2、等待客户进程发出连接请求。

数据传送进程实际完成文件的传送，在传送完毕后关闭“数据传送连接”并结束运行。

6-06 简单文件传送协议TFTP与FTP的主要区别是什么？各用在什么场合？答：（1）文件传送协议FTP只提供文件传送的一些基本的服务，它使用TCP可靠的运输服务。

FTP的主要功能是减少或消除在不同操作系统下处理文件的不兼容性。

FTP使用客户服务器方式。

一个FTP服务器进程可同时为多个客户（1）用户用TELNET就可在其所在地通过TCP连接注册（即登录）到远地的另一个主机上（使用主机名或IP地址）。

TELNET能将用户的击键传到远地主机，同时也能将远地主机的输出通过TCP连接返回到用户屏幕。

第六章网络技术应用第一节计算机网络的组成和分类一、计算机网络的概念计算机网络是多台地理上分散的独立计算机系统遵循约定的通信协议,通过传输介质和网络设备互相连接起来,实现数据通信、资源共享的系统。

二、计算机网络的功能(1)数据通信:计算机与计算机之间通过网络能够通信,相互传递数据,从而可以方便地进行信息交换、收集和处理。

数据通信是计算机网络最基本的功能,是实现其他功能的基础。

(2)资源共享:用户通过网络可以共享各地主机上的数据、应用软件及硬件资源。

(3)分布控制与分布处理:通过网络将一件较大的工作分配给网络上多台计算机去共同完成。

在提高单个设备资源利用率的同时,又能通过网络实时地集中控制管理,实现分布与集中相结合的处理方式。

三、计算机网络的组成(1)计算机(服务器、客户机):地理位置不同且具有独立功能的多台计算机。

服务器( SERVER):为客户机提供服务,用于网络管理,运行应用程序,处理客户机请求,连接外部设备等。

客户机(工作站)( WORKSTATION):直接面对用户,提出服务请求,完成用户任务(2)网络传输介质及网络连接设备(网卡、集线器、交換机、路由器等)用于传输信息传输介质有线传输介质:双绞线、同轴电缆、光纤无线传输介质:无线电波、微波、红外线连接设备中继器:接收网络传输介质中的数据信号,复制再生这些信号,确保信号能正常地继续传输集线器(HUB):容易造成网络堵塞。

一般用于家庭或小型局域网。

交换机:不堵塞网络。

一般用于计算机数量较多,传输数据量较大的局域网。

路由器:实现不同网络之间的互连。

如:将局域网和因特网连接(3)网络软件:网络操作系统、网络应用软件、网络协议网络操作系统:是向网络计算机提供服务的特殊的操作系统。

如:windows2003 server、windows2008 server等网络应用软件:指能够为网络用户提供各种服务的软件,它用于提供或获取网络上的共享资源。

如:浏览器软件、文件上传与下载工具等。

《公安计算机信息系统安全保护规定》第一章总则第一条为了加强全国公安计算机信息系统安全保护工作，确保公安信息网络安全运行，根据国家有关法律、法规，制定本规定。

第二条本规定适用于全国公安机关计算机信息系统的安全保护工作。

有关涉密信息系统安全保护的相关规定另行制定。

第三条公安机关计算机信息系统安全保护工作的基本任务是开展安全管理工作，保障计算机信息系统的环境安全、网络系统安全、运行安全和信息安全。

第四条各级公安机关信息通信部门主管公安计算机信息系统安全保护工作，公安计算机信息系统的安全监控和运行由各级公安机关信息中心承担。

第五条公安机关计算机信息系统安全保护工作坚持积极防御、综合防范的方针，坚持安全技术与规范化管理相结合的原则，坚持“专网专用”、“专机专用”的原则，实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制。

第六条公安机关计算机使用单位和个人，都有保护计算机信息系统和信息安全的责任和义务。

第二章组织机构与职责第七条公安部信息通信部门设立专门的公安信息网络安全管理（以下简称“信息安全管理”）机构，各省（自治区、直辖市）公安厅（局）信息通信部门应当设立专门的信息安全管理机构或专门的信息安全管理岗位，各市（地）、县级公安机关可以设立或指定专门的信息安全管理机构或专门的信息安全管理人员，负责和协调本级公安机关计算机信息系统安全保护工作。

第八条各级公安机关计算机使用单位应当明确本单位的信息安全管理人员，有条件的可以确定专职的信息安全管理人员。

第九条对调离信息安全管理岗位的人员，应当履行相应的手续，并更换其使用的系统账号和口令。

第十条信息安全管理机构和信息安全管理人员履行以下职责：（一）组织制定本部门计算机信息系统安全保障体系总体方案及相应的安全策略；（二）指导和监督本级计算机使用单位的信息安全管理工作；（三）采取各种技术措施，保护计算机信息系统和信息的安全；（四）监督、检查、分析计算机信息系统安全运行情况；（五）组织制定信息安全应急预案，建立应急响应机制；（六）对信息安全案（事）件进行技术调查，协助有关单位作好处理工作；（七）负责公安机关使用计算机信息系统安全产品的管理；（八）负责公安身份认证和访问控制系统的建设和运行管理；（九）组织公安计算机信息系统安全教育、培训工作。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

网络安全实用技术答案选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

单位网络安全管理制度制度第一章总则第一条为加强单位网络安全管理工作，保障网络信息系统的安全稳定运行，防止网络攻击和信息泄露，根据国家有关法律法规，制定本规定。

第二条单位网络安全管理制度适用于所有单位内外网的网络设备和系统，包括但不限于服务器、电脑、网络设备、网络数据、网络应用系统等。

第三条单位网络安全管理制度的实施是为了提高网络信息系统的安全性和可靠性，确保单位网络信息资源的保密性、完整性和可用性。

第四条单位网络安全管理工作属于全员参与的工作，全体人员应当加强对网络安全的认识，积极配合网络安全管理工作。

第五条单位网络安全管理工作将成为每个员工的工作标准，所有员工需要严格遵守相关规定，积极履行自己的网络安全管理责任，不得故意或者过失地泄露、篡改、破坏、窃取网络信息资源。

第六条单位网络安全管理工作由网络安全管理部门负责实施和监督，相关责任人应当积极履行网络安全管理职责，不得有违反网络安全管理制度的行为。

第二章网络系统安全管理第七条单位应当建立网络安全管理制度，明确网络安全管理的组织架构、职责分工、工作流程和管理制度。

第八条单位网络安全管理部门应当配备专业技术人员，负责对网络安全事件进行监控、分析、处理和应对。

第九条单位应当建立网络信息的备份系统，根据信息的重要程度和保密级别合理安排备份周期和备份策略。

第十条单位需要建立网络信息的安全准入制度，对外部网络进行访问的人员和设备进行限制，确保网络安全。

第三章网络设备安全管理第十一条单位应当定期对网络设备进行安全检查和维护，及时发现和排除网络设备存在的安全隐患。

第十二条单位应当采取措施对网络设备的物理存储位置和访问权限进行严格管理，保障网络设备的安全。

第十三条单位网络设备应当安装并及时更新安全防护软件和工具，加强对网络设备的安全防护。

第十四条单位网络设备应当建立严格的账号管理制度，确保账号使用的安全和合法性。

第四章网络数据安全管理第十五条单位应当对敏感信息和重要数据进行分类管理和加密存储，确保数据的机密性和完整性。

⼤连理⼯⼤学（城市学院）⽹络安全技术期末知识点第六章第六章：防⽕墙技术⼀．防⽕墙的发展历程1.防⽕墙概述在信任⽹络与⾮信任⽹络之间，通过预定义的安全策略，对内外⽹通信强制实施访问控制的安全应⽤设备。

.防⽕墙的功能：实现内部⽹与internet的隔离；不同安全级别内部⽹之间的隔离。

防⽕墙的功能（1）防⽕墙是⽹络安全的屏障（2）防⽕墙可以强化⽹络安全策略（3）对⽹络存取和访问进⾏监控审计（4）防⽌内部信息的外泄防⽕墙的基本特性（1）内部⽹络和外部⽹络之间的所有⽹络数据流都必须经过防⽕墙（2）只有符合安全策略的数据流才能通过防⽕墙（3）防⽕墙⾃⾝应具有⾮常强的抗攻击免疫⼒常⽤概念外部⽹络（外⽹）：防⽕墙之外的⽹络，⼀般为Internet，默认为风险区域。

内部⽹络（内⽹）：防⽕墙之内的⽹络，⼀般为局域⽹，默认为安全区域。

⾮军事化区（DMZ）：为了配置管理⽅便，内⽹中需要向外⽹提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部⽹络之间⼀个单独的⽹段，这个⽹段便是⾮军事化区。

包过滤，也被称为数据包过滤，是在⽹络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、⽬标地址以及端⼝等信息来确定是否允许数据包通过。

代理服务器，是指代表内部⽹络⽤户向外部⽹络中的服务器进⾏连接请求的程序DMZ简介DMZ⽹络访问控制策略（1）内⽹可以访问外⽹，内⽹的⽤户显然需要⾃由地访问外⽹。

在这⼀策略中，防⽕墙需要进⾏源地址转换。

（2）内⽹可以访问DMZ，此策略是为了⽅便内⽹⽤户使⽤和管理DMZ中的服务器。

（3）外⽹不能访问内⽹，很显然，内⽹中存放的是公司内部数据，这些数据不允许外⽹的⽤户进⾏访问。

（4）外⽹可以访问DMZ，DMZ中的服务器本⾝就是要给外界提供服务的，所以外⽹必须可以访问DMZ。

同时，外⽹访问DMZ需要由防⽕墙完成对外地址到服务器实际地址的转换。