文档介绍：: .
{}某某单位安全生产管理
毒扩散等主动攻击。针对主动和被
动攻击，通过对 XX 单位网络结构和应用系统分析，我们认为，网络面临的主要
安全威胁包括：物理层安全风险、网络层安全风险、系统层安全风险、应用层安全风险：
（1） 物理层安全风险
我们所说的物理层指的是整个网络中存在的所有的信息机房、通信线路、网
络设备、安全设备等，保证计算机信息系统各种设备的物理安全是保障整个
网络系统安全的前提，然而，这些设备都面临着地震、水灾、火灾等环境事
故以及人为操作失误、错误及各种计算机犯罪行为导致的破坏过程，设备安
全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、
电磁干扰、电源掉电、服务器宕机以及物理设备的损坏等等。这些都对整个
网络的基础设备及上层的各种应用有着严重的安全威胁，这些事故一旦出现，
就会使整个网络不可用，给内网平台造成极大的损失。
(A)信息机房周边对设备运行产生不良影响的环境条件，如：周边环境温度、
空气湿度等。
(B)供电系统产生的安全威胁，UPS 自身的安全性。
(C)各种移动存储媒体(如软盘、移动硬盘、USB 盘、光盘等)在应用后得不到及时
的处置，也会造成机密信息的外泄。
(D)一些重要的数据库服务器系统的存在着硬件平台的物理损坏、老化等现象，
导致数据的丢失。
(E)网络安全设备有直接暴露在非网络管理人员或外来人员的面前，外来人有可
能直接使安全设备丧失功能，为以后的侵入打下基础，如：直接关掉入侵检
测系统的电源、关掉防病毒系统等。
(F)外来人员及非网络管理人员可以直接对一些设备进行操作，更改通信设备
(如交换机、路由器)、安全设备(如更改防火墙的安全策略配置)等。（2） 网络层安全风险
网络层是网络入侵者攻击信息系统的渠道和通路。许多安全问题都集中体现
在网络的安全方面。大型网络系统内运行的 TCP/IP 协议并非专为安全通讯而设
计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、
窃听等搜集信息，然后利用 IP 欺骗、重放或重演、拒绝服务攻击（SYNFLOOD，
PINGFLOOD 等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
（A）网络设备存在的风险
在网络中的重要的安全设备如路由器、交换机等有可能存在着以下的安全威胁：
（以最常用的交换机为例）
a)交换机缺省情况下只使用简单的口令验证用户的身份，并且远程 TELNET
登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。
b)交换机口令的弱点是没有计数器功能的，所有每个人都可以不限数的尝
试登录口令，在口令字典等工具的帮助下很容易破解登录口令。
c)每个管理员都可能使用相同的口令，因此，交换机对于谁曾经作过什么
修改，系统没有跟踪审计能力。
d)交换机实现的协议存在着一定的安全漏洞，有可能被恶意的攻击者利用
来破坏网络的设置，达到破坏网络或为攻击做准备。
（B）网络访问的合理性
网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控
等问题，都会直接影响到内网平台的稳定与安全。如果存在网络内访问混乱，
外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，
网络工作效率下将，无法部署安全设备、对攻击者也无法进行追踪审计。对于 XX 单位的网络来讲，严格地控制专网内终端设备的操作及使用是非常
必要的，例如，一位非法外联的拨号用户将会使在网络边界的防火墙设备的所
有安全策略形同虚设。
（C）TCP/IP 网络协议的缺陷
TCP/IP 协议是当前网络的主流通信协议，已成为网络通信和应用的实际
标准。然而，基于数据流设计的 TCP/IP 协议自身存在着许多安全漏洞，在网
络发展的
早期，由于应用范围和技术原因，没有引起重视。但这些安全漏洞正日益
成为黑客们的攻击点。在网上办公、网