係統的辦公上網和職工撥號上網體係沒有進行物理路由和防火牆隔離，僅僅依靠技術設置邏輯劃隔，極易對辦公體係的安全形成威脅；

由於網絡係統內部IP地址實行動態分配，加之上網用戶身份確認與用戶網卡MAC地址不對應，如果用戶發生網絡違法或破壞安全行為，網絡管理技術人員很難提出準確的技術依據，配合安全和公安部門進行查處；

對網絡內部的廣播風暴的隔離程度和範圍還有待於進步提高。

由於以上原因，係統曾經發生病毒侵入、網頁遭受攻擊、局部廣播風暴影響整個係統的事件。

4、安全體係

4.1對服務器的安全保護

目前，xxx集團網絡中存在許多服務器。除了信息中心的WWW服務器、Mail服務器、DNS服務器、代理服務器之外，其他單位（如機關大樓、公司營業樓）和所有xxx區子網都設有各種服務器。這些服務器必須進行安全保護。通過修改網絡操作係統內核的相關參數，增強操作係統內核抵抗各種攻擊的自身能力。並根據我方長期的的安全集成經驗，決定推薦CA公司的eTrustAccessControl係統，分割可能造成安全問題的超級管理員的權限，甚至取消傳統意義上的超級管理員。

4.2對內部非法用戶的防範

從統計數字來看，50%以上的攻擊來自於網絡內部，而從網絡外部發起的攻擊次數遠比內部的攻擊次數要小，成功的可能性要小。因此，如何加強對兗礦內部用戶的安全管理，是確保整個網絡安全的關鍵。對內部用戶的安全管理分以下幾個方麵：

用戶身份認證：確信該用戶是本網絡中的注冊用戶；

用戶權限管理：給用戶授權，使其僅擁有與其身份相對應的使用權限。例如，是否允許上網。

4.3病毒防護

從所了解的情況來看，xxx網絡還沒有有效的病毒防護措施。如何建立一套有效的病毒防護體係，也是xxx集團網絡考慮的問題。

4.4入侵檢測和告警

對於攻擊的實時檢測和告警是網絡安全中的重要環節。它是在安全事件發生之前，就可以及時預警和采取相應措施製止攻擊的有效工具。xxx集團網絡也應該具備這種防護能力。

4.5安全審計與日誌信息的安全保護

安全審計就是通過對安全日誌進行分析，力求查找"黑客"的蹤跡，以便發現"黑客"，並找到相關的證據。

由此可見，對日誌信息的安全保護也是至關重要的。

4.6安全設備的雙機熱備份

為了保證網絡安全、不間斷地運行，必須考慮雙機熱備份的問題。

4.7網絡內部特殊用戶的保密通信

根據xxx集團信息中心的建議和我們的理解，各子網中都有一些特殊的主機。這些主機之間的通信需要與其他主機隔離，使得普通主機無法訪問此類特殊主機，而這些主機之間可以正常通信。

4.8集團信息中心與各xxx區之間的保密通信

為了防止"黑客"通過竊聽和搭線等攻擊手段獲取網上傳輸的有價值的信息，集團信息中心與各xxx區子網之間的通信鏈路需要加密保護。

4.9數據庫的安全保護

xxx集團網絡信息中心、各部門、各xxx區子網中都有一些數據庫，其中存放著許多機密信息。對這些數據庫服務器，必須加以保護。

4.10日常漏洞掃描和安全檢查

作為日常安全管理和維護的需要，xxx集團信息中心應該具備一些安全工具，對網絡做必要的安全檢查和掃描，以便發現漏洞和安全缺陷，並對其進行修補。

4.11對WEB頁麵的保護

網頁保護係統是這樣的一種網絡安全軟件，它實時監控WEB站點，當WEB站點上的文件受到破壞時，能迅速恢複被破壞的文件，並及時提交報告給係統管理員，從而保護WEB站點的數據安全。