‘壹’ 局域网面临安全问题有哪些
面临的安全如下:
一,设置权限以保证数据安全
为文件或者文件夹指定合适的权限,可极大地保证数据的安全。
1,只授予用户最低级别的权限。如某用户只需要读一个文件,那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能;
2,为个人数据和应用程序文件夹指定权限时,可以授予“读取及运行”权限,可以在一定程度上避免应用程序及数据被无意破坏;
二,用户安全设置
1,删除不必要的用户,去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应的权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口;
2,把共享文件权限从everyone 组改成授权用户:任何时候都不要把共享文件的用户设置成“everyone”组,包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
三,密码安全设置
1,使用安全密码:注意密码的复杂性,不要过于简单,还要记住经常修改密码;
2,设置屏幕保护密码:这是一个很简单也很有必要的操作。也是防止内部人员破坏服务器的一个屏障;
3,开启密码策略;注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天;
4,考虑使用智能卡来代替密码:对于密码,总是使管理员进退两难,密码设置简单容易收到黑客的攻击,设置太复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
四,系统安全设置
1,使用NTFS格式分区:最好把服务器的所有分区都改成NTFS格式,NTFS文件系统比FAT、FAT32的文件系统安全得多;
2,运行杀毒软件:杀毒软件不仅能杀掉一些着名的病毒,还能查杀大量木马和后门程序,要注意经常运行程序并升级病毒库;
3,到微软网站下载最新的补丁程序:很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出现很久了,还放着服务器的漏洞不补,给人家当靶子用。访问安全站点,下载最新的Service Park 和补丁漏洞是保障服务器的长久安全的唯一方法;
4,关闭默认共享:Windows XP系统安装好后系统会创建一些隐藏的共享,可以在Cmd下打“NetShare”查看它们。网上有很多关于IPC入侵的文章,都利用默认共享连接。要禁止这些共享,打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键,点“停止共享”;
5,禁止用户从软盘和光驱启动系统:一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动硬盘和光驱。当然,把机箱锁起来仍不失为一个好方法.
6,利用Windows XP 的安全设置工具来配置安全策略:微软提供了一套基于MMC(管理控制台)安全配置和分析工具,利用它们可以很方便地配置你的服务器以满足你的要求。
五,服务安全设置
1,关闭不必要的端口,用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客的入侵。具体方法:打开“网上邻居――属性――本地连接――属性――Internet协议(TCP/IP)――属性――高级――选项――TCP/IP筛选――属性”打开“TCP/IP筛选”,添加需要的TCP、UDP协议即可;
2,设置好安全记录的访问权限;安全记录在默认情况下是没有保护的,把它设置成只有Administrators和系统帐户才有权访问;
3,把敏感文件存放在另外的文件服务器中:虽然现在服务器的硬盘容量都很大,还是应该考虑是否有必要把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们;
4,禁止建立空连接:默认情况下,任何用户都可以通过空连接连上服务器,进而枚举出帐号,猜测密码,可以通过修改注册表来禁止建立空连接:即把“HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa”的RestrictAnonymous值改成“1”即可。
六,关闭缩略图的缓存
对于安全性至关重要的共享企业工作站或计算机,必须启用该设置以关闭缩略图视图缓存,因为缩略图缓存可以被任何人读取。打开注册表编辑器:找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右侧窗口中新建或编辑名为“NoThumbnailCache”的DWORD值,将键值设置为“1”,关闭缩略图的缓存;如将键值设置为“0”,则打开缩略图的缓存。
七,设置用户对软驱及CD-ROM的访问权限
打开注册表编辑器,找到:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateCDRoms"的DOWORD值,将键值设为“1”,仅仅本地登录可以使用CDRom驱动器;如将键值设置为“0”,则只可以被域中的管理员所使用。
在右侧中窗格中新建或编辑名为“AllocateFloppies"的DWOED值,将键值设置为“1”,仅仅本地登录可以使用软盘驱动器;如将键值设置为“0”,则只可以被域中的管理员所使用。
八,设置其他用户对移动存储器的访问权限
打开注册表编辑器,找到:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateDASD”的DWOD值,如将键值设为“0”,只允许系统管理员可以访问;如将键值设置为“1”,则只允许系统管理员及有权限的用户可以访问;如将键值设置为“2”,则只允许系统管理员及交互式用户可以访问。
‘贰’ 局域网的网络安全
局域网的安全:1、物理安全:是指机房的网络环境安全,机房规范化部署,保持温度和湿度,防止灰尘,抗电磁干扰等,可预防火灾等情况发生。
2、网络结构/系统安全:网络拓扑上考虑冗余链路,设置防火墙,设置入侵检测,设置实时监控系统。①设置严格内外网隔离 ②内网不同区域物理隔离,划分多个不同广播域。③网络安全检测 ④网络监控和管控(上网行为管理软件)
以上简单列了一些局域网安全的注意事项,还有需要注意的非常多,题主可以多搜搜。我个人感觉这块比较简单一点,防火墙装一个,上网行为管理软件装一个 就差不多了。
防火墙 推荐华为或者思科的防火墙,上网行为管理软件 推荐Lanecat网猫
‘叁’ 如何保护内网安全
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。今天就给大家脑补一下内网安全的保护方法。
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的'目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1 这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
‘肆’ 如何保障局域网内共享文件安全性
在企业的网络中,最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息,人事部门可能不会亲自拿过去,而是在网络上共享;生产部门的生产报表也不会用书面的资料分发,而是放在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需求还有很多。
可见,共享文件的功能,提高了企业办公的效率,使企业局域网应用中的一个不可缺的功能。但是,由于共享文件夹管理不当,往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改;有些对于企业来说数据保密的内容在网络上被共享,所有员工都可以访问;共享文件成为病毒、木马等传播的最好载体,等等。
一、实时查看谁在访问我的共享文件
第二步:依次选择“系统工具”、共享文件夹、打开文件,此时,在窗口中就会显示本机上的一些共享资源,被哪些电脑在访问。同时,在这个窗口中还会显示一些有用的信息,如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所,只要其打开了某个共享文件夹,即使其没有打开共享文件,也会在这里显示。
另外,我们有时候可能出于某些目的,如员工可能认为不能让这个人访问这个文件。此时,我们就可以直接右键点击这个会话,然后从快捷菜单中选择关闭会话,我们就可以阻止这个用户访问这个共享文件,而不会影响其他用户的正常访问。
二、设置共享文件夹时,最好把文件与文件夹设置为只读
在大部分时候,用户都只需要查看或者复制这个共享文件即可,而往往不会在共享文件夹上进行直接修改。但是,有些员工为了贪图方便,就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。
一方面,这些不受限制的共享文件家与共享文件成为了病毒传播的载体。笔者在工作中发现,有些用户在共享文件的时候,没有权限限制。一段时间后,再去看这个共享文件,发现有些共享文件或者共享文件夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限,所以,其他用户如何打开这个文件,恰巧这台电脑中有病毒或者木马的话,就会传染给这个共享文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见,没有保护措施的共享文件夹以及里面的共享文件,已经成为了病毒传播的一个很好的载体。
另一方面,当数据非法更改时,很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件,以及是否进行了更改的动作。但是,光凭这些信息的话,是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候,我们打开一个共享文件,会不小心的按了一个空格键或者一个字符键,不小心的把某个字覆盖了,等等。这些情况在实际工作中经常会遇到。有时候,即使找到了责任人,他也不知道到底修改了哪些内容。所以,当把共享文件设置为可写的话,则很难防止员工有意或者无意的更改。
第三,若以可写的方式共享文件的话,可能无法保证数据的统一。如人事部门以可读写的方式共享了一个考勤文件。此时,若财务部门修改了这个文件,而人事部门并不知道。因为财务人员可能忘记告诉了人事部门,此时,就会导致两个部门之间的数据不一致,从而可能会造成一些不必要的麻烦。而且,由于没有相关的证据,到时候谁对谁错,大家都说不清楚。
为了解决这些问题,笔者建议企业用户,在共享文件夹的时候,最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件,不能设置为只读。那我们也可以把共享文件夹中的文件设置为只读。如此的话,由于文件夹为只读的,则病毒、木马也就不能够感染这些文件夹,从而避免成为散播病毒的污染源;而且,也可以防止用户未经授权的更改,从而导致数据的不统一等等。
三、建立文件共享服务器,统一管理共享文件的访问权限
另外,若把企业的共享文件分散在各个用户终端管理的话,有一个问题,就是用户对于共享操作的熟悉程度不同或者安全观念有差异,所以,很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件,员工一般不会定期对其进行备份,以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限,如只允许一些特定的员工访问等等。因为这些操作的话,一方面可能需要一些专业知识,另一方面,设置企业也比较繁琐。所以,即使我们出了相关的制度,但是,员工一般很难遵守。
所以,笔者建议,在一些有条件的企业,部署一个文件共享服务器,来统一管理共享文件。采取这种策略的话,有如下好处。
一是可以定时的对共享文件进行备份,从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上,则我们就可以定时的对文件服务器上的文件进行备份。如此的话,即使因为权限设置不合理,导致文件被意外修改或者删除;有时会,员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们可以通过文件恢复作业,把原有的文件恢复过来,从而减少这些不必要的损失。
二是可以统一制定文件访问权限策略。在共享文件服务器上,我们可以根据各个员工的需求,在文件服务中预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限,从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件,我们可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的话,其他员工就不能够对这些通知进行更改或者删除。所以,对共享文件夹进行统一的管理,可以省去用户每次设置权限的麻烦,从而提高共享文件的安全性。
三是可以统一进行防毒管理。对于共享文件来说,我们除了要关心其数据是否为泄露或者非法访问外,另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手,而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题,必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器,则我们就可以利用下班的空闲时间,对文件服务器上的共享文件统一进行杀毒,以保证共享文件服务器上的文件都是干净的,没有被木马或者病毒所感染,从而避免其成为病毒或者木马的有效载体。
综上所述,共享文件夹以及共享文件的安全性问题,是企业网络安全管理中的一个比较薄弱的环节,但是,又是一个十分重要的环节。笔者相信,做好这件工作,必定可以提高企业网络的利用价值,减少网络安全事故。
‘伍’ 如何做好局域网的安全维护
维护局域网安全1、预防地址冲突
DHCP监听技 术可以防止非信任DHCP服务器通过地址冲突的方式,干扰信任DHCP服务器的工作稳定性。在实际管理网络的时候,我们经常会发现在相同的工作子网中,可 能同时有多台DHCP服务器存在,这其中有的是网络管理员专门架设的,也有的是无意中接入到网络中的。比方说,ADSL拨号设备可能就内置有DHCP服务 功能,一旦将该设备接入到局域网中后,那么该设备内置的DHCP服务器就会自动为客户端系统分配IP地址。这个时候,经过网络管理员授权的合法DHCP服 务器,就可能与ADSL拨号设备内置的DHCP服务器发生地址上的冲突,从而可能会对整个局域网的安全性带来威胁。这种威胁行为往往比较隐蔽,一时半会很 难找到。一旦使用了DHCP监听技术,我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数,并以此绑定表作为每个上网端口接受数据包的检测 过滤标准,来将没有授权的DHCP服务器发送的数据报文自动过滤掉,那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。
维护局域网安全2、预防Dos攻击
大家知道,一些非常阴险的攻击者往往会单独使用Dos攻击,袭击局域网或网络中的重要主机系统;要是不幸遭遇Dos攻击的话,那么局域网的宝贵带宽资源 或重要主机的系统资源,就会被迅速消耗,轻则导致网络传输速度缓慢或系统反应迟钝,重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话, 那么局域网就可以有效抵御Dos攻击了,因为Dos攻击主要是用大量的连接请求冲击局域网或重要主机系统,来消耗带宽资源或系统资源的,而DHCP监听技 术恰好具有报文限速功能,利用这个功能我们可以合理配置许可的每秒数据包流量,这样就能实现抵御Dos攻击的目的了。
维护局域网安全3、及时发现隐患
大家知道,在默认状态下核心交换机会自动对第二层Vlan域中的DHCP数据报文进行拦截,具体地说,就是在选用中级代理信息选项的情况下,交换机在将客 户端的上网请求转发给特定的DHCP服务器之前,它会自动将端口号码、入站模块、MAC地址、Vlan号等信息插入到上网请求数据包中。这个时候,如果结 合接口跟踪功能,DHCP监听技术就能够自动跟踪DHCP服务器中地址池里的所有上网地址,而不会受到单位局域网中跨网段访问的限制,这么一来就能及时发 现局域网中的一些安全隐患,对于跨网段的DHCP服务器运行安全也能起到一定程度的防护作用。
维护局域网安全4、控制非法接入
由于任何一种形 式的数据报文,都是通过交换端口完成发送与接收操作的,显然交换端口的工作状态与DHCP监听的效果息息相关。一般来说,我们会将网络管理员授权的合法 DHCP服务器所连的交换端口设置为DHCP监听信任端口,或者是将分布层交换机之间的上行链路端口设置为DHCP监听信任端口。对于信任端口来说,交换 机会允许它正常发送或接收所有的DHCP数据报文,这么一来交换机就会只允许合法的DHCP服务器对客户端系统的上网请求进行响应,而非法的DHCP服务 器则不能向局域网发送或接收DHCP数据报文。很明显,通过这种技术手段,就能控制非法的DHCP服务器接入到单位局域网中了。
局域网安全维护配置
为了有效使用DHCP监听功能,防护局域网的运行安全,我们需要对该功能进行正确配置,让其按照实际安全运行需求进行工作。由于DHCP监听功能主要是通 过建立端口信任关系实现数据过滤目的的,为此我们需要重点配置究竟哪些交换端口是信任端口,哪些交换端口是非信任端口。具体的说,我们需要在交换机中进行 下面几项安全维护配置操作:
维护局域网安全5、信任配置
这种配置主要就是在合法DHCP服务器所连交换端口上启用信任,或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置,那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然,为了防止普通员工私下搭建DHCP服务器,威胁合法DHCP服务 器的运行安全,我们有必要将普通客户端系统所连的交换端口设置为非信任的端口,那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉,此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。
‘陆’ 怎样确保局域网安全
一、对重要资料进行备份:
要维护企业局域网的安全, 首先必须对重要资料进行备份,以预防各种软硬件故障、病毒的侵袭和黑客的破坏等导致系统崩溃而遭受损失。
二、在网络内部使用代理网关:
使用代理网关使得网络数据包不能直接在内外网络之间进行。
三、设置防火墙 :
1.选择适当的防火墙
2. 可选择Cisco 805路由器
‘柒’ 作为局域网的网络安全管理员,应该从哪些方面来确保整个局域网的安全和可靠
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个 较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定 的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施, 实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。