网络安全检测报告

网络安全检测报告

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇网络安全检测报告范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

网络安全检测报告范文第1篇

关键词：动态；电子商务；模型

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)06-11557-02

1 引言

贸易的全球化和Internet网络的快速发展使两者很自然地走到了一起，形成了风靡全球的电子商务(EC， Electronic Commerce)。但一个企业如何搭建动态电子商务平台？本文就它的体系结构、组成、功能，并对平台所涉及的技术、安全等方面作了重点研究。

2 一个典型的电子商务平台应具有的主要功能

一个典型的电子商务平台应为交易双方提供如下功能：

(1)对产品供应商来说，其主要功能是建立企业的主页面，提供全方位的技术托管服务，同时具备B2B和B2C电子商务交易功能，具有大型的商品数据库支持，能够定制产品目录，自动处理定单，能够实时报道深层交易信息，可以跟踪库存，制定和批零价格。

(2)对产品采购商或客户来说，其主要功能是提供多角度的商品搜索查询功能，具有商品和供应商的导购功能，提供主动求购功能和逆向拍卖功能，提供专业购物车和直接的价格商谈，能对供应商回应信息实现自动处理，提供用户对商品的评价及要求的服务，提供最新商品及热门商品图表，可以对定单执行状况进行查询，具有安全的支付处理能力。

图1 动态电子商务平台的技术体系结构

为实现上述功能，一个典型的电子商务平台应由网络系统、软件系统、安全系统、产品配送系统、资金结算系统、客户服务系统等六大系统组成，其中前三个系统属于技术范畴，后面三个系统属于管理范畴。该电子商务平台的体系结构如图1所示。其中网络系统是基础，安全系统是保障，软件和数据库系统是关键。

3 网络系统

电子商务平台的基础是一个完善的、安全可靠的网络。一般来说，一个电子商务的网络系统主要由三部分组成：外部网络连接组件，包括广域网连接设备(如路由器、拨号接入服务器等)和对外服务器组(域名服务器、邮件中继器等)。内部网络连接组件，包括对内服务器组。网络安全设备及软件，包括防火墙系统、网络安全扫描软件、网络实时监控软件、Web监视与恢复系统等。

图2 安全网络的结构

在图2中，网络平台分为外部网、周边网和内部网。其中，内部网是网络安全设计中考虑保护的重点对象，外部网和周边网之间用“外部路由器”隔离，周边网和内部网之间用内部路由器隔离(在其上安装防火墙软件，兼作防火墙用途)。

在周边网中设置了一台堡垒机，这台计算机负责与In-ternet网络之间直接传递信息，如Email、来自Internet的域名解析请求等，上面安装DNS和Mail服务器软件(sendmail)。在周边网还放置了一台网络监视机，用来监视所有经过外部路由器的信息。可发现和记录来自外网的攻击事件或异常现象。在内部网络中放置一台网络安全检测机，其上安装网络安全扫描软件。网络安全检测机定时对内部网络中的计算机进行安全检测，及时发现有安全漏洞的计算机，生成检测报告。

WWW服务器常常是网络“黑客”攻击的主要目标，因此Web服务器防范非常重要。在网络中为WWW服务器配备了一台Web监视机，其上安装Web监视与恢复软件，监视机在自己的硬盘上存有与WWW服务器上的网页内容相同的备份，并不断检查WWW服务器上的文件内容是否被非法修改过，若发现，则用Web监视机上的备份文件覆盖被修改的文件。

4 软件系统

电子商务软件系统的基本体系结构和组成如图3和图4所示。

由上可知，电子商务软件系统体系由客户层(用户浏览器)、表示层(个性化服务的WEB服务器)、应用层(由各种服务器组成)、集成层(由中间件及企业其他系统的集成服务器组成)、数据基础层(由各种数据库组成)和安全系统组成，各模块的功能是：(1)关系数据库：主要存放结构化数据，用于企业的业务管理；(2)非结构化信息数据库：主要存放企业的非结构化数据如文件资料、材料、多媒体信息等，主要用于办公自动化、信息查询等。其中关系数据库、非结构化信息数据库是企业管理和电子商务系统的核心数据；(3)财务信息库：在建立企业信息系统和电子商务系统时，应将财务信息单独建立数据库加以管理，并通过严格的安全控制系统解决非财务系统与财务系统的信息共享问题；(4)系统资源库：实现统一资源管理是确保系统可靠、安全、方便使用的基础；(5)客户信息库：存放客户的全部信息包括自然信息、购货信息、使用信息、服务信息等；(6)日志档案库：是电子商务系统中不可分割、非常重要的一部分，安全审计、备份恢复等系统日常运行都离不开完整的日志档案信息。

图3 电子商务软件系统体系结构图

电子商务平台是一个很复杂的系统，软件开发和数据量都很大，使用的技术比较多而且复杂，因此它需要有一个中间件来支撑。该中间件应支持大容量的系统，支持复杂的交易、多样的前端、多数据库、复杂的通讯方式、复杂业务逻辑，并可集成其他应用系统。

综上所述，电子商务平台在网络、数据库的支持下，在安全系统的控制下，采用Internet网络的Web技术、Java技术等，通过各种应用服务器实现电子化的商务管理，并与企业的其他信息系统一起实现企业的全面信息化。

图4 电子商务软件系统功能组成图

5 安全系统

电子商务的安全系统主要防止机密信息泄露和非法侵入所造成的损失。但Internet本身就是基于开放思想设计并逐步发展起来的，要想在Internet上实现绝对安全是困难的。Internet上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全两方面，具体来说包含数据的私有性和安全性、数据的完整性、认证、不可否认性等四个方面。为了实现电子商务的上述安全目标，一个电子商务平台应建立如下的安全体系：

(1)物理安全：它是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

(2)网络安全：可以分成三类:系统安全，指主机和服务器的安全；网络运行安全，指要具备必须的针对突发事件的应急措施，如数据的备份和恢复等等；局域网或子网的安全，主要是访问控制和网络安全检测的问题。

(3)信息安全：主要是指信息传输、信息存储的安全以及对网络传输信息内容的审计三方面，当然也包括对用户的鉴别和授权。常用的主要安全技术包括:加密、数字签名、电子证书、电子信封和双重签名等。加密技术是EC采取的基本安全措施，贸易方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。

(4)交易安全：包括用户的身份验证、交易的确认、信息传输的安全及确认等。为了满足电子商务的交易安全，EC系统必须利用安全技术为参与者提供可靠的安全服务，主要包括:鉴别服务、访问控制服务、机密、不可否认服务等。

参考文献：

[1]江红.基于Web Service的动态电子商务的研究[M].2003(2).

[2]刁兴春.一个典型的电子商务平台模型[M].小型计算机系统,2003(10).

[3]钟强.电子商务概论[M].北京:清华大学出版社,2003.

[4]W.H.Inmon、R.H.Terdeman.电子商务中的数据仓库技术[M]. 北京:机械工业出版社,2004.

网络安全检测报告范文第2篇

网站信息安全等级保护建设整改方案

随着互联网应用和门户网站系统的不断发展和完善，网站系统面临的安全威胁和风险也备受关注。网站系统一方面要加强落实国家信息安全等级保护制度要求的各项保障措施，另一方面要加强系统自身抵抗威胁的能力，同时结合国办2011年40号文件《关于进一步加强政府网站管理工作的通知》的相关要求，网站系统要切实进行防攻击、防篡改、防病毒各项防护措施的部署和实施，综合提升网站系统的安全保障能力。

根据国家等级保护有关要求，省级政府门户网站系统的信息安全保护等级应定为三级，建立符合三级等级保护相关要求的安全防护措施，能够形成在同一安全策略的指导下，网站系统应建立综合的控制措施，形成防护、检测、响应和恢复的保障体系。通过采用信息安全风险分析和等级保护差距分析，形成网站系统的安全需求，从而建立有针对性的安全保障体系框架和安全防护措施。

网站系统安全需求

根据网站系统的应用情况，针对网站系统的安全需求可以从系统业务流程、软件、数据、网络和物理几个方面进行综合分析，具体需求如下：

1、业务流程安全需求

针对网站类业务重点需要关注信息的准确性，采集分析和汇总信息的可控性，以及服务平台的可用性，系统可能面临的威胁包括网络攻击、越权、滥用、篡改、抗抵赖和物理攻击，应加强对于这些威胁的对抗和防护能力，通过严格控制业务流程中的各个环节，包括信息采集、分析、汇总、等过程中的人员访问身份、访问控制、审批审核等需求，同时要加强系统自身的完整性保护和抗抵赖机制的实现。

2、软件安全需求

网站系统软件架构一般包括接入层、展现层、应用层、基础应用支撑层、信息资源层和基础支撑运行环境等几个层面，由于几个层面涉及的主要功能和软件实现存在一定的差异性，因此要通过分析不同层次可能面临的威胁。接入层是目标用户和接入媒介共同构建而成，针对业务系统此层面是一个访问入口，从安全需求方面应当减少入口对于系统的攻击可能性，对于指定的接入和入口可以通过建立可信机制进行保护，对于非指定的接口可以通过控制权限进行防护；展现层是系统内容的展示区域，要确保系统展示信息的完整性，降低被篡改的风险；应用层是对数据信息进行处理的核心部分，应加强系统自身的安全性和软件编码的安全性，减少系统自身的脆弱性；基础应用支撑层主要包括通用组件、用户管理、目录服务和交换组件等通用应用服务，该层次重点是确保系统组件自身的安全性，同时要加强与应用之间接口的安全性；信息资源层是由业务数据库和平台数据库共同构成，此层次重点的安全在于数据库安全；基础支撑运行环境层，支撑应用系统运行的操作系统、网络基础设施和安全防护等共同构筑成基础支撑运行环境，该层次面临的主要威胁包括物理攻击、网络攻击、软硬件故障、管理不到位、恶意代码等多类型威胁，应加强资产的综合管理。

3、数据安全需求

网站系统的数据主要包括互联网读取、录入、管理、审核的数据信息，以及前台的交互信息和后台的数据交换信息，针对这些信息各个环节中的访问关系不同，信息的敏感和重要程度不同，可能面临威胁也存在一定的差异性，其中读取过程要结合信息的敏感和重要程度进行访问控制，降低越权、滥用等威胁的发生；录入关注信息自身的完整性和合法性，注意防止恶意代码和木马对系统造成的攻击；管理和审核涉及信息系统的关键性信息，所以基本属于系统中的敏感信息或关键流程管理，加强人员的安全管理；交互和数据交换要通过系统自身的安全防护机制，抵抗网络攻击和加强抗抵赖机制。

4、网络和物理安全需求

网络层面重点在于设计合理的网络架构，部署冗余的网络设备，形成可以建立不同安全策略的安全域，从而确保网站系统能够正常稳定运行。

物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的需求，应确保机房的建设符合国家相关要求。

5、IT资产安全需求

IT资产重点关注资产本身的漏洞风险，同时根据资产类型的不同，可以区分成硬件资产、软件资产，其中硬件资产可能面临的关键威胁是软硬件故障、物理攻击等；软件资产可能面临的威胁包括篡改、泄密、网络攻击、恶意代码和抗抵赖。

6、综合安全需求

通过对各个方面综合的安全风险和需求分析，网站系统相关的业务、软件、数据、网络和相关IT资产，由于其应用类型、环境等因素导致主要威胁分布在网络攻击、篡改、物理攻击、恶意代码、越权、滥用和抗抵赖等几个方面，由于其威胁发生的可能性较高，威胁利用后影响较大，导致其安全风险较高，因此应形成对抗这些威胁的必要的安全措施，加强对系统自身的安全性。同时结合信息安全等级保护基本要求的相关技术和管理控制点，进一步完善物理安全、网络安全、主机安全、应用安全和数据安全的相关控制措施，并要能够落实组织、制度、人员、建设和运维相关的管理要求。

网站系统安全方案设计

根据对网站系统安全需求的分析，对于网站系统的安全防护主要从以下两个方面进行设计，一方面是系统的安全保护对象，合理分析系统的安全计算环境、区域边界和通信网络，形成清晰的保护框架；另一方面还是要建立综合的安全保障体系框架，形成对网站系统综合的控制措施架构，同时加强网站系统可能面临威胁的各项防护机制。

1、安全保护对象

安全计算环境：重点落实等级保护基本要求的主机、应用、数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括用户身份鉴别、主机和应用访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、主机入侵、防病毒等措施；

安全区域边界：重点落实等级保护基本要求的网络部分的安全控制项，结合安全设计技术要求中的主要防护内容包括边界访问控制、网络安全审计和完整性保护等；

安全通信网络：重点落实等级保护基本要求的网络和数据部分的安全控制项，结合安全设计技术要求中的主要防护内容包括通信网络安全审计、通信网络数据传输保密性保护、数据传输完整性保护和可信接入保护。

2、安全保障框架

结合网站系同自身的安全需求，应加强对于网站系统的安全风险评估，同时建立配套的安全管理体系和安全技术体系，其中安全管理体系包括安全策略、安全组织和安全运作的相关控制管理；安全技术体系结合等级保护的物理、网络、主机、应用和数据安全，进一步加强系统的软件架构安全、业务流程安全和信息访问安全的控制，确保系统自身的防病毒、防篡改、方攻击能力的提升。

通过加强对互联网边界的安全防护机制落实，建立与网站系统相配套的互联网服务区、业务服务区、数据库区、备份区和安全管理区的安全防护措施，建立网站系统的综合防护措施。

县政府门户网站加强网络与信息安全整改工作措施

为深入贯彻落实市网络与信息安全协调小组办公室《关于加强网络与信息安全整改工作的通知》（东信安办发〔2014〕4号）文件精神，保障县政府门户网站安全运行，针对我县政府网站存在的问题，我们采取软硬件升级、漏洞修补、加强管理等措施，从三个方面做好了政府网站网络与信息安全工作。

一、对网站漏洞及时进行修补完善

接到省电子产品监督检验所和省网络与信息安全应急支援中心对我县政府网站做的网站安全检测报告后，我们详细研究分析了报告内容，及时联系了网站开发公司，对网站存在的SQL注入高危漏洞进行了修补完善，并在网站服务器上加装安全监控软件，使我县政府网站减少了可能存在的漏洞风险，降低了数据库被注入修改的可能性。

二、加强对硬件安全防护设备的升级

为确保网站安全运行，2013年，我们新上了安全网关（SG）和WEB应用防护系统（WAF），安全网关采用先进的多核CPU硬件构架，同时集成了防火墙、VPN、抗拒绝服务、流量管理、入侵检测及防护、上网行为管理、内容过滤等多种功能模块，实现了立体化、全方位的保护网络安全；绿盟WEB应用防护系统可以对数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为，提供完善的防护措施。同时，针对WEB应用漏洞数量多、变化快、个性化的特点，我们还定期对WEB应用防护系统进行软件升级，安装了补丁程序，保护了服务器上的网站安全。自安装硬件安全防护设备以来，网站没出现任何安全性问题。