工業(yè)互聯(lián)網安全防護體系精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的工業(yè)互聯(lián)網安全防護體系主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：工業(yè)互聯(lián)網安全防護體系范文

以下是《通信網絡安全防護監(jiān)督管理辦法(征求意見稿)》全文：

為切實履行通信網絡安全管理職責，提高通信網絡安全防護水平，依據《中華人民共和國電信條例》，工業(yè)和信息化部起草了《通信網絡安全防護監(jiān)督管理辦法(征求意見稿)》，現(xiàn)予以公告，征求意見。請于2009年9月4日前反饋意見。

聯(lián)系地址:北京西長安街13號工業(yè)和信息化部政策法規(guī)司(郵編:100804)

電子郵件:wangxiaofei@miit.gov.cn

附件:《通信網絡安全防護監(jiān)督管理辦法(征求意見稿)》

通信網絡安全防護監(jiān)督管理辦法

(征求意見稿)

第一條(目的依據)為加強對通信網絡安全的管理，提高通信網絡安全防護能力，保障通信網絡安全暢通，根據《中華人民共和國電信條例》，制定本辦法。

第二條(適用范圍)中華人民共和國境內的電信業(yè)務經營者和互聯(lián)網域名服務提供者(以下統(tǒng)稱“通信網絡運行單位”)管理和運行的公用通信網和互聯(lián)網(以下統(tǒng)稱“通信網絡”)的網絡安全防護工作，適用本辦法。

本辦法所稱互聯(lián)網域名服務，是指設置域名數據庫或域名解析服務器，為域名持有者提供域名注冊或權威解析服務的行為。

本辦法所稱網絡安全防護工作，是指為防止通信網絡阻塞、中斷、癱瘓或被非法控制等以及通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改等而開展的相關工作。

第三條(管轄職責)中華人民共和國工業(yè)和信息化部(以下簡稱工業(yè)和信息化部)負責全國通信網絡安全防護工作的統(tǒng)一指導、協(xié)調、監(jiān)督和檢查，建立健全通信網絡安全防護體系，制訂通信網絡安全防護標準。

省、自治區(qū)、直轄市通信管理局(以下簡稱“通信管理局”)依據本辦法的規(guī)定，對本行政區(qū)域內通信網絡安全防護工作進行指導、協(xié)調、監(jiān)督和檢查。

工業(yè)和信息化部和通信管理局統(tǒng)稱“電信管理機構”。

第四條(責任主體)通信網絡運行單位應當按照本辦法和通信網絡安全防護政策、標準的要求開展通信網絡安全防護工作，對本單位通信網絡安全負責。

第五條(方針原則)通信網絡安全防護工作堅持積極防御、綜合防范的方針，實行分級保護的原則。

第六條(同步要求)通信網絡運行單位規(guī)劃、設計、新建、改建通信網絡工程項目，應當同步規(guī)劃、設計、建設滿足通信網絡安全防護標準要求的通信網絡安全保障設施，并與主體工程同時進行驗收和投入運行。

已經投入運行的通信網絡安全保障設施沒有滿足通信網絡安全防護標準要求的，通信網絡運行單位應當進行改建。

通信網絡安全保障設施的規(guī)劃、設計、新建、改建費用，應當納入本單位建設項目預算。

第七條(分級保護要求)通信網絡運行單位應當按照通信網絡安全防護標準規(guī)定的方法，對本單位已正式投入運行的通信網絡進行單元劃分，將各通信網絡單元按照其對國家和社會經濟發(fā)展的重要程度由低到高分別劃分為一級、二級、三級、四級、五級。

通信網絡單元的分級結果應由接受其備案的電信管理機構組織專家進行評審。

通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別。通信網絡運行單位調整通信網絡單元的劃分和級別的，應當按照前款規(guī)定重新進行評審。

第八條(備案要求1)通信網絡運行單位應當按照下列規(guī)定在通信網絡投入運行后30日內將通信網絡單元向電信管理機構備案:

(一)基礎電信業(yè)務經營者集團公司直接管理的通信網絡單元，向工業(yè)和信息化部備案；基礎電信業(yè)務經營者各省(自治區(qū)、直轄市)子公司、分公司負責管理的通信網絡單元，向當地通信管理局備案。

(二)增值電信業(yè)務經營者的通信網絡單元，向電信業(yè)務經營許可證的發(fā)證機構備案。

(三)互聯(lián)網域名服務提供者的通信網絡單元，向工業(yè)和信息化部備案。

第九條(備案要求2)通信網絡運行單位辦理通信網絡單元備案，應當提交以下信息:

(一)通信網絡單元的名稱、級別、主要功能等。

(二)通信網絡單元責任單位的名稱、聯(lián)系方式等。

(三)通信網絡單元主要負責人的姓名、聯(lián)系方式等。

(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號、關鍵設施位址等。

前款規(guī)定的備案信息發(fā)生變化的，通信網絡運行單位應當自變更之日起15日內向電信管理機構變更備案。

第十條(備案審核)電信管理機構應當自收到通信網絡單元備案申請后20日內完成備案信息審核工作。備案信息真實、齊全、符合規(guī)定形式的，應當予以備案；備案信息不真實、不齊全或者不符合規(guī)定形式的，應當通知備案單位補正。

第十一條(符合性評測要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，落實與通信網絡單元級別相適應的安全防護措施，并自行組織進行符合性評測。評測方法應當符合通信網絡安全防護標準的有關規(guī)定。

三級及三級以上通信網絡單元，應當每年進行一次符合性評測；二級通信網絡單元，應當每兩年進行一次符合性評測。通信網絡單元的級別調整后，應當及時重新進行符合性評測。

符合性評測結果及整改情況或者整改計劃應當于評測結束后30日內報送通信網絡單元的備案機構。

第十二條(風險評估要求)通信網絡運行單位應當對通信網絡單元進行經常性的風險評估，及時消除重大網絡安全隱患。風險評估方法應當符合通信網絡安全防護標準的有關規(guī)定。

三級及三級以上通信網絡單元，應當每年進行一次風險評估；二級通信網絡單元，應當每兩年進行一次風險評估；國家重大活動舉辦前，三級及三級以上通信網絡單元應當進行風險評估。

風險評估結果及隱患處理情況或者處理計劃應當于風險評估結束后30日內上報通信網絡單元的備案機構。

第十三條(災難備份要求)通信網絡運行單位應當按照通信網絡安全防護標準的要求，對通信網絡單元的重要線路、設備、系統(tǒng)和數據等進行備份。

第十四條(演練要求)通信網絡運行單位應當定期或不定期組織演練檢驗通信網絡安全防護措施的有效性，并參加電信管理機構組織開展的演練。

第十五條(監(jiān)測要求)通信網絡運行單位應當對本單位通信網絡的安全狀況進行自主監(jiān)測，按照通信網絡安全防護標準建設和運行通信網絡安全監(jiān)測系統(tǒng)。

通信網絡運行單位的監(jiān)測系統(tǒng)應當按照電信管理機構的要求，與電信管理機構的監(jiān)測系統(tǒng)互聯(lián)。

第十六條(CNCERT職責)工業(yè)和信息化部委托國家計算機網絡應急技術處理協(xié)調中心建設和運行互聯(lián)網網絡安全監(jiān)測系統(tǒng)。

第十七條(安全服務規(guī)范)通信網絡運行單位委托其他單位進行安全評測、評估、監(jiān)測等工作的，應當加強對受委托單位的管理，保證其服務符合通信網絡安全防護標準及有關法律、法規(guī)和政策的要求。

第十八條(監(jiān)督檢查)電信管理機構應當根據本辦法和通信網絡安全防護政策、標準，對通信網絡運行單位開展通信網絡安全防護工作的情況進行監(jiān)督檢查。

第十九條(檢查措施)電信管理機構有權采取以下措施對通信網絡安全防護工作進行監(jiān)督檢查:

(一)查閱通信網絡運行單位的符合性評測報告和風險評估報告。

(二)查閱通信網絡運行單位的有關文檔和工作記錄。

(三)向通信網絡運行單位工作人員詢問了解有關情況。

(四)查驗通信網絡運行單位的有關設施。

(五)對通信網絡進行技術性分析和測試。

(六)采用法律、行政法規(guī)規(guī)定的其他檢查方式。

第二十條(委托檢查)電信管理機構可以委托網絡安全檢測專業(yè)機構開展通信網絡安全檢測活動。

第二十一條(配合檢查的義務)通信網絡運行單位對電信管理機構及其委托的專業(yè)機構依據本辦法開展的監(jiān)督檢查和檢測活動應當予以配合，不得拒絕、阻撓。

第二十二條(規(guī)范檢查單位)電信管理機構及其委托的專業(yè)機構對通信網絡安全防護工作進行監(jiān)督檢查和檢測，不得影響通信網絡的正常運行，不得收取任何費用，不得要求接受監(jiān)督檢查的單位購買指定品牌或者指定生產、銷售單位的安全軟件、設備或者其他產品。

第二十三條(規(guī)范檢查人員)電信管理機構及其委托的專業(yè)機構的監(jiān)督檢查人員應當忠于職守、堅持原則，不得泄漏監(jiān)督檢查工作中知悉的國家秘密、商業(yè)秘密、技術秘密和個人隱私。

第二十四條(對專業(yè)機構的要求)電信管理機構委托的專業(yè)機構進行檢測時，應當書面記錄檢查的對象、時間、地點、內容、發(fā)現(xiàn)的問題等，由檢查單位和被檢查單位相關負責人簽字蓋章后，報委托方。

第二十五條(罰則1)違反本辦法第六條、第七條、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十七條、第二十一條規(guī)定的，由電信管理機構責令改正，給予警告，并處5000元以上3萬元以下的罰款。

第二十六條(罰則2)未按照通信網絡安全防護標準落實安全防護措施或者存在重大網絡安全隱患的，由電信管理機構責令整改，并對整改情況進行監(jiān)督檢查。拒不改正的，由電信管理機構給予警告，并處1萬元以上3萬元以下的罰款。

第2篇：工業(yè)互聯(lián)網安全防護體系范文

關鍵詞：Web應用程序；Web安全；安全弱點；安全漏洞；Web開發(fā)

中圖分類號：TP393.08

進入二十一世紀以來，互聯(lián)網以驚人的速度在中國應用和普及。互聯(lián)網已經成為一項重要的社會基礎設施，Web應用也逐漸成為軟件開發(fā)的主流之一[1]。Web頁面是所有互聯(lián)網應用的主要界面和入口，各行業(yè)信息化過程中的應用幾乎都架設在Web平臺上，關鍵業(yè)務也通過Web網站來實現(xiàn)。經過調查發(fā)現(xiàn)：目前，傳統(tǒng)的大多數企事業(yè)網站通常采用防火墻、入侵檢測/漏洞掃描等技術作為網站邊界的防護[2]。盡管防火墻、入侵檢測等技術已經比較成熟，Web應用的特殊性往往導致防范各類安全性問題的難度很大，因為Web應用攻擊通常來自應用層，并且可能來自任何在線用戶，甚至包括已經通過認證的用戶[3]。同時，對Web應用程序的攻擊也可以說是形形、種類繁多，常見的有掛馬、SQL注入、緩沖區(qū)溢出等。正是因為這樣，Web應用程序最容易遭受攻擊，Web應用程序的安全性變得越來越重要。

1 Web應用的安全弱點

Web應用本身具有一些安全弱點，歸納起來有以下幾點：

（1）TCP/IP協(xié)議本身的缺陷。

（2）網絡結構的不安全性。

（3）數據竊聽。

（4）驗證手段的有效性問題。

（5）人為因素。

2 Web應用程序的安全漏洞

根據Symantec的《SymantecInternetSecurItythreatreport》，60%以上的軟件安全漏洞是關于Web應用的[4]。開放式Web應用程序安全項目（openWebapplIcatIonSecurItyproject，OWASP）在2010年公布的Web應用十大安全漏洞中[5]：

（1）注入漏洞。

（2）跨站腳本漏洞。

（3）失敗的認證和會話管理。

（4）直接對象引用隱患。

（5）CSRF跨站點請求偽造。

（6）安全配置錯誤。

（7）限制URL訪問失敗。

（8）尚未驗證的訪問重定向。

（9）不安全的密碼存儲。

（10）傳輸層保護不足。

另外還值得一提的是，很多程序員常使用網上一些公開免費的源碼模版來開發(fā)Web應用程序，公開的源碼的安全性低，非常容易讓黑客找到源碼的漏洞，從而威脅到Web應用程序的安全。

3 Web應用程序開發(fā)中的安全對策

一個Web系統(tǒng)由Web服務器系統(tǒng)、Web客戶端系統(tǒng)和Internet網絡組成[6]。這三個系統(tǒng)都會產生Web應用程序的安全問題，所以Web應用程序的安全問題是一個復雜的綜合問題。在Web應用程序開發(fā)階段就應對于安全問題予以重視，下面分別從數據庫設計、程序設計、服務器等三個層面去考慮如何加強Web應用程序的安全性。

3.1 數據庫設計層面

數據庫存放著Web應用程序最重要的部分：數據。在開發(fā)過程中的數據庫設計階段就應該考慮好安全問題，以下建議有助于提高其安全性。

（1）在設計數據庫時如果涉及跨庫操作，應盡量使用視圖來實現(xiàn)。

視圖可以讓用戶或者程序開發(fā)人員只看到他們所需要的數據，而不需要把表中的所有信息與字段暴露出來，這樣增強了數據的安全性。

（2）對數據庫的操作使用存儲過程。

（3）注意使用數據庫建表時的字段類型，不要用可能被修改的字段做主鍵，否則會給相關記錄的更新帶來隱患。

（4）盡量避免大事務的處理。

（5）盡量避免使用游標。

3.2 程序設計層面

目前大多數的網絡攻擊和互聯(lián)網安全事件源于應用軟件自身的脆弱性，而其根源來自程序開發(fā)者在網頁程序編制過程中缺乏相關的安全意識和知識，并且開發(fā)完成后也缺乏相應的代碼檢測機制和手段。這些脆弱性在日后就成為了黑客用來發(fā)動攻擊、進行頁面篡改、以及布放和傳播網頁木馬的最有效途徑[7]。

Web應用系統(tǒng)形式多樣，但其內在特征基本一致，即具有較強的交互性并且使用數據庫系統(tǒng)。由于SQL注入使用SQL語法，從技術上講，凡是Web 應用中構造SQL語句的步驟均存在潛在的攻擊風險。因此，如果對用戶的輸入不做合法性驗證，就不能避免SQL注入的發(fā)生[8]。

作為Web應用程序的開發(fā)者，決不能假定用戶不會有惡意行為，也不能假定用戶輸入的數據都是安全的。對惡意的用戶來說，從客戶端向Web應用程序發(fā)送具有潛在危險的數據是很容易的。程序也可能有未被檢查出的錯誤和漏洞，會成為攻擊者下手的對象。

對此開發(fā)者在設計和開發(fā)Web應用程序時應采取必要的安全設計措施：

（1）對用戶輸入的數據進行客戶端驗證和服務器端驗證，嚴禁非法數據進入數據庫。

Web應用存在的漏洞和安全隱患很大程度上是由于對用戶的某些輸入數據缺乏相應的校驗或異常處理機制造成的[9]。非法輸入問題是最常見的Web應用程序安全漏洞。正確的輸入驗證是防御目前針對Web應用程序的攻擊最有效的方法之一，是防止XSS、SQL注入、緩沖區(qū)溢出和其他輸入攻擊的有效手段，合適的輸入驗證能減少大量軟件的弱點。

驗證應盡量放在客戶端進行，這樣可以減輕服務器的壓力，界面更友好，缺點則是它并不能保證所有的攻擊被阻止，因為當攻擊者了解了它的規(guī)則后可以輕易的變換攻擊腳本來繞道過它的防御[10]。所以，服務器端驗證絕不能省略

（2）啟用驗證碼，防止黑客用程序窮舉賬戶密碼，同時防止垃圾信息。

（3）注意文件上傳。如果一定要設計文件上傳功能，要限制可上傳的文件類型和大小，規(guī)定好上傳文件的權限，且不能讓用戶自行定義存儲路徑和文件名，可以考慮其他的設計方法，例如：讓應用程序為用戶確定文件名，用戶輸入的文件名為別名。對于圖像上傳功能，需要驗證上傳圖像的格式及大小是否合乎要求。

（4）采用安全編碼標準。為開發(fā)語言和平臺指定安全編碼標準，并采用這些標準。程序只應實現(xiàn)指定的功能，代碼保持簡單性、規(guī)范性。復雜的設計既提高了編碼時錯誤的機率，也更易產生安全漏洞。盡可能使用安全函數進行編碼，必須考慮意外情況并進行處理。

（5）不要回顯未經篩選的數據。不要將敏感信息，例如隱藏域或Cookie存儲在可從瀏覽器訪問的位置，更不要將密碼存儲在Cookie中。

（6）及時關閉已不用的對象。例如：在使用開發(fā)時，DataReader對象需要及時關閉。

（7）盡量使用簡單SQL，避免兩表以及多表聯(lián)查。

（8）留意編譯器警告，編譯代碼時使用編譯器的最高警告級別，通過修改代碼來減少警告。

（9）Web應用程序開發(fā)采用分層架構，且分層應該清晰。

（10）使用有效的安全質量保證技術。好的質量保證技術能有效的發(fā)現(xiàn)和消除弱點。滲透測試、Fuzz測試，以及源代碼審計都能作為一種有效的質量保證措施，獨立的安全審查能夠建立更安全的系統(tǒng)。

（11）不要試圖在發(fā)現(xiàn)錯誤后繼續(xù)執(zhí)行Web應用程序。

3.3 服務器層面

Web應用系統(tǒng)涉及的服務器主要是Web服務器和數據庫服務器。服務器的安全功能要求包括運行安全和數據安全[11]。服務器的安全首先來自操作系統(tǒng)的安全，因為操作系統(tǒng)管理和控制著軟硬件資源和網絡資源，是防護入侵的第一道防線，只有操作系統(tǒng)安全了，整個系統(tǒng)才會安全。

為保證Web應用程序的安全運行，在服務器架設和配置時可采取的如下措施：

（1）保證服務器的物理安全。

（2）定期對Web應用程序及數據庫進行備份，并將備份存放在安全的地方。

（3）使用安全的文件系統(tǒng)（如NTFS），正確設置網站物理目錄的訪問權限，實行權限最小化原則。

（4）關閉服務器上的不使用的端口和服務。

（5）運行監(jiān)視入站和出站通信的病毒檢查程序。

（6）數據庫服務器一定要放在防火墻內，保證和萬維網隔離開。

（7）Web服務器采用縱深防御。這是一個通用的安全原則，從多個防御策略中規(guī)避風險，如果一層防御失效，則另一層防御還在發(fā)揮作用。

（8）經常檢查日志，查找可疑活動，包括服務器日志和SQL日志等。

（9）及時安裝操作系統(tǒng)或其他應用軟件供應商提供的最新安全補丁程序。

（10）Web服務器管理員應常對服務器的安全風險進行檢查，例如使用端口掃描程序進行系統(tǒng)風險分析等。

（11）架設Web應用防火墻。

Web應用防火墻（Web Application Firewall，WAF）作為一種專業(yè)的Web 安全防護工具，可深入檢測Injection、CSS、CSRF及分布式拒絕服務（Distributed Denial of Service，DDoS）等應用層攻擊行為，充分保障Web應用的高可用性和可靠性，很好地完成傳統(tǒng)IDS無法完成的任務[12]。目前主要的軟硬件產品有ModSecurity、WebKnight、WebDefend、BigIP、iwall、冰之眼等[13]。

總的來說，實施安全，要達到好的效果，必須要完成兩個目標：①安全方案正確、可靠。②能夠發(fā)現(xiàn)所有可能存在的安全問題，不出現(xiàn)遺漏[14]。

4 結束語

Web應用程序的開放性、易用性使其安全問題日益突出。如果只想著將Web應用程序開發(fā)出來，而不認真考慮安全運行是極為錯誤的。不管是做什么Web應用程序，安全是首先要考慮的，因為用戶最不能容忍的問題就是安全問題。

Web應用本身具有一些天生的安全弱點，其安全漏洞常被利用來攻擊。在設計和開發(fā)Web應用程序時必須采取各種安全技術措施和手段以加強其安全性，以保證其在開放的互聯(lián)網環(huán)境中能正確安全地運行，而最安全、最有能力抵御攻擊的Web應用程序是那些應用安全思想開發(fā)的Web應用程序。

參考文獻：

[1]于莉莉，杜蒙杉，張平，紀玲利.Web安全性測試技術綜述[J].計算機應用研究，2012（11）：4001-4005.

[2]薛輝，鄧軍，葉柏龍.一種分布式網站安全防護系統(tǒng)[J].計算機系統(tǒng)應用，2012（03）：42-45.

[3]TIPTON H F，KRAUSE M.InformatIon SecurIty management handbook[M].6th ed.NeW York：Auerbach PublIctIonS，2006.

[4]Symantec CorporatIon.SymatecInternet SecurIty threat report.trendS for January-June 07，Volume XII[R].2007.

[5]Open Web ApplIcatIon SecurIty Project.OWASP top 10-2010：the ten moSt crItIcal Web applIcatIon SecurIty rISkS[R].2010.

[6]羅福強.Web應用程序設計實用教程[M].北京：清華大學出版社，2010.

[7]徐竹冰.網站應用層安全防護體系[J].計算機系統(tǒng)應用，2012（01）：81-84.

[8]馬凱，蔡皖東，姚燁.Web2.0環(huán)境下SQL注入漏洞注入點提取方法[J].計算機技術與發(fā)展，2013（03）：121-124.

[9]HUANG Yao-Wen，HUANG S K，LINTP，et al.Web applIcatIon SecurIty aSSeSSment by fault InjectIon and behave Ior monItorIng[C]//Proc of the 12th InternatIonal World WIde Web Conference.NeWYorK：ACM PreSS，2003：148-159.

[10]王溢，李舟軍，郭濤.防御代碼注入式攻擊的字面值污染方法[J].計算機研究與發(fā)展，2012（11）：2414-2423.

[11]陳偉東，王超，張力，徐崢，邢希雙.服務器系統(tǒng)安全內核研究與實現(xiàn)[J].計算機應用與軟件，2013（03）：304-307.

[12]Becher M. Web Application Firewalls： Applied Web Application Security[M].[S. l.]：VDM Verlag，2007.

[13]姚琳琳，何倩倩，王勇，趙幫.基于分布式對等架構的Web應用防火墻[J].計算機工程，2012（22）：114-118.

[14]吳翰清.白帽子講Web安全[M].北京：電子工業(yè)出版社，2012：280.