企業(yè)網(wǎng)絡(luò)安全分析畢業(yè)設(shè)計論文

1、<p><b>　　緒 論2</b></p><p>　　第一章：企業(yè)網(wǎng)絡(luò)安全分析3</p><p><b>　　一、現(xiàn)狀分析3</b></p><p>　　1.1 Internet的安全性3</p><p>　　1.2．企業(yè)內(nèi)網(wǎng)的安全性4</p><p&g

2、t;<b>　　1.3項目背景4</b></p><p><b>　　1.4項目分析6</b></p><p>　　1.4.1安全設(shè)備分布6</p><p>　　1.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀7</p><p>　　1.4.3服務(wù)器部署現(xiàn)狀7</p><p>　　1.4

3、.4客戶端計算機8</p><p>　　1.4.5無線局域網(wǎng)安全現(xiàn)狀8</p><p>　　1.4.6網(wǎng)絡(luò)隱患、風(fēng)險分析9</p><p>　　1.5項目需求11</p><p>　　1.5.1網(wǎng)絡(luò)安全需求11</p><p>　　1.5.2網(wǎng)絡(luò)訪問安全需求12</p><p>　　

4、1.6項目規(guī)劃12</p><p>　　1.6.1服務(wù)器安全規(guī)劃13</p><p>　　1.6.2 客戶端安全規(guī)劃14</p><p>　　1.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃15</p><p>　　1.6.4無線準(zhǔn)備安全規(guī)劃16</p><p>　　1.6.5防火墻、IDS、IPS規(guī)劃17</p>

5、<p>　　1.6.6局域網(wǎng)接入安全規(guī)劃18</p><p>　　1.6.7Internet 接入安全規(guī)劃18</p><p>　　1.6.8遠(yuǎn)程接入安全規(guī)劃19</p><p>　　1.6.9網(wǎng)絡(luò)可靠性規(guī)劃20</p><p>　　第二章：企業(yè)網(wǎng)絡(luò)安全的實際應(yīng)用20</p><p>　　2.1企

6、業(yè)網(wǎng)絡(luò)安全實施20</p><p>　　2.2網(wǎng)絡(luò)傳輸?shù)膶嵤?1</p><p>　　2.3訪問控制24</p><p>　　2.4入侵檢測24</p><p>　　2.5漏洞掃描25</p><p><b>　　2.6其它26</b></p><p>　　2.

7、6.1應(yīng)用系統(tǒng)安全26</p><p>　　2.6.2 系統(tǒng)平臺安全26</p><p>　　2.6.3 應(yīng)用平臺安全26</p><p>　　2.7病毒防護(hù)26</p><p>　　2.8產(chǎn)品應(yīng)用27</p><p>　　2.9數(shù)據(jù)備份30</p><p>　　2.10安全審計3

8、1</p><p>　　2.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴31</p><p>　　2.12物理安全32</p><p>　　2.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換32</p><p><b>　　2.14應(yīng)用32</b></p><p>　　2.15防電磁輻射32</p><

9、p>　　2.16網(wǎng)絡(luò)防雷33</p><p>　　2.17重要信息點的物理保護(hù)33</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成

10、的防御體系下，對于防止來自網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。建立了一套網(wǎng)絡(luò)安全系統(tǒng)是必要的。</p><p><b>　　緒 論</b></p><p>　　隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡(luò)安

11、全建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題。</p><p>　　第一章：企業(yè)網(wǎng)絡(luò)安全分析&l

12、t;/p><p>　　隨著企業(yè)信息化的不斷推進(jìn)，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長，尤其是企業(yè)網(wǎng)絡(luò)所面對的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識、具備強烈的好奇心和求知欲、法律紀(jì)律意識卻相對淡漠），如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻

13、不容緩。</p><p><b>　　現(xiàn)狀分析</b></p><p>　　隨著國內(nèi)計算機和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是，Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整

14、個國家?guī)砭薮蟮慕?jīng)濟(jì)損失。如何使信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。</p><p>　　大型企業(yè)不斷發(fā)展的同時其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大，由于其自身業(yè)務(wù)的需要，在不同的地區(qū)建有分公司或分支機構(gòu)，本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個更加龐大的網(wǎng)絡(luò)。這樣一個網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競爭力，同樣，這樣復(fù)雜的網(wǎng)絡(luò)面臨

15、更多的安全問題。首先本地網(wǎng)絡(luò)的安全需要保證，同時總部與分支機構(gòu)、分支機構(gòu)之間的機密信息傳輸問題，以及集團(tuán)的設(shè)備管理問題，這樣的網(wǎng)絡(luò)使用環(huán)境一般存在下列安全隱患和需求：</p><p>　　1.1 Internet的安全性</p><p>　　目前互聯(lián)網(wǎng)應(yīng)用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護(hù)Internet、加強網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。&l

16、t;/p><p>　　1.2．企業(yè)內(nèi)網(wǎng)的安全性 </p><p>　　企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。具體表現(xiàn)如下： </p><p>　　?計算機病毒在企業(yè)

17、內(nèi)部網(wǎng)絡(luò)傳播。 </p><p>　　?內(nèi)部網(wǎng)絡(luò)可能被外部黑客攻擊。 </p><p>　　?對外的服務(wù)器（如：www、ftp、郵件服務(wù)器等）沒有安全防護(hù)，容易被黑客攻擊。 </p><p>　　?內(nèi)部某些重要的服務(wù)器或網(wǎng)絡(luò)被非法訪問，造成信息泄密。 </p><p>　　?內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易

18、形成內(nèi)部網(wǎng)絡(luò)的安全隱患。 </p><p>　　?分支機構(gòu)網(wǎng)絡(luò)安全問題。 </p><p>　　?大量的垃圾郵件占用網(wǎng)絡(luò)和系統(tǒng)資源，影響正常的工作。 </p><p>　　?分支機構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)連接安全和之間數(shù)據(jù)交換的安全問題。 </p><p>　　?遠(yuǎn)程、移動用戶對公司內(nèi)部網(wǎng)絡(luò)的安全訪問。</p><p>

19、;<b>　　1.3項目背景</b></p><p>　　假設(shè)某企業(yè)擁有員工2000余人，公司總部坐落在省會城市高新技術(shù)開發(fā)區(qū)，包括4個生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在總公司進(jìn)行。該企業(yè)在外地另開設(shè)有兩家分公司，由總公司進(jìn)行統(tǒng)一管理和部署。目前，該企業(yè)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示，基本情況如下。</p><p>　　1、公司局域網(wǎng)已經(jīng)基本覆蓋整

20、個廠區(qū)，中心機房位于總公司，職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。</p><p>　　2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為“星型+樹型”，接入層交換機為Cisco Catalyst 2960，匯聚層交換機為Cisco Catalyst 3560，核心層交換機為Cisco Catalyst 3560</p><p>　　3、現(xiàn)有接入用戶數(shù)量為500個，客戶端均使用私有IP地址，通過防火墻或代理服務(wù)器接入Inte

21、rnet。部分服務(wù)器IP地址為公有IP地址。</p><p>　　4、Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能，用于遠(yuǎn)程移動用戶或子公司網(wǎng)絡(luò)提供遠(yuǎn)程安全訪問。</p><p>　　5、會議室、員工宿舍等場所部署無線接入點，實現(xiàn)隨時隨地?zé)o線漫游接入。</p><p>　　6、服務(wù)器操作系統(tǒng)平臺多為Windows Server 2003 和 Windows

22、Server 2008系統(tǒng)。客戶端系統(tǒng)為Windows XP Professional 和 Windows 7</p><p>　　7、網(wǎng)絡(luò)中部署有Web服務(wù)器，為企業(yè)網(wǎng)站運行平臺。</p><p>　　8、企業(yè)網(wǎng)絡(luò)辦公平臺為WSS，文件服務(wù)器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。</p><p>　　9、E-mail、RTX為用戶員工之間的彼此交流，以

23、及企業(yè)與外界的通信網(wǎng)絡(luò)。</p><p>　　10、打印服務(wù)和傳真服務(wù)主要滿足企業(yè)用戶網(wǎng)絡(luò)辦公的應(yīng)用。</p><p>　　11、企業(yè)分支結(jié)構(gòu)通過VPN方式遠(yuǎn)程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡(luò)中的共享資源。</p><p><b>　　圖1-1 項目背景</b></p><p><b>　　1.4項目分析<

24、;/b></p><p>　　在普通小型局域網(wǎng)中，最常見的安全防護(hù)手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡(luò)并無硬件防火墻，只是在路由器和交換機上進(jìn)行簡單的訪問控制和數(shù)據(jù)包篩選機制就可以了。但是，在較大的企業(yè)網(wǎng)絡(luò)中，許多重要應(yīng)用都要依賴網(wǎng)絡(luò)，勢必對網(wǎng)絡(luò)的安全性的要求高一些，在部署網(wǎng)絡(luò)安全設(shè)備的同時，必須輔助多種訪問控制與安全配置措施，加固網(wǎng)絡(luò)安全。</p><p>　　

25、1.4.1安全設(shè)備分布</p><p><b>　　防火墻</b></p><p>　　由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當(dāng)接入設(shè)備，部署在網(wǎng)絡(luò)邊緣，防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機和核心交換機之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風(fēng)險通過核心設(shè)備傳播到整個網(wǎng)絡(luò)。<

26、;/p><p><b>　　IPS</b></p><p>　　IPS（Intrusion Prevention System，入侵防御系統(tǒng)）部署在Internet 接入?yún)^(qū)的路由器和核心交換機之間，用于掃描所有來自Internet的信息，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。</p><p><b>　　IDS</b></

27、p><p>　　IDS（Internet Detection System，入侵檢測系統(tǒng)）本身是一個典型的探測設(shè)備，類似于網(wǎng)絡(luò)嗅探器，無需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集相應(yīng)的報文即可。IDS無法跨越物理網(wǎng)段收集信息，只能收集所在交換機的某個端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的IDS部署在安全需求最高的服務(wù)區(qū)，用于實時偵測服務(wù)器區(qū)交換機轉(zhuǎn)發(fā)的所有信息，對收集來的報文，IDS將提取相應(yīng)的流量統(tǒng)計特征值，并

28、利用內(nèi)置的入侵知識庫，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)默認(rèn)的閥值，匹配耦合度較高的報文流量將被認(rèn)為是進(jìn)攻，IDS將根據(jù)相應(yīng)的配置進(jìn)行報警或進(jìn)行有限度的反擊。</p><p>　　Cisco Security MARS</p><p>　　Cisco Security MARS(Monitoring Analysis Response System)是基于設(shè)備的全方位解決方案，是網(wǎng)絡(luò)

29、管理的關(guān)鍵組成部分。MARS可以自動識別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡(luò)和安全部署協(xié)作，自動識別并隔離網(wǎng)絡(luò)威脅，同時提出準(zhǔn)確的清除建議。在本例企業(yè)網(wǎng)絡(luò)中，MARS直接連接在核心交換機上，用于收集經(jīng)過核心交換機的所有數(shù)據(jù)信息，自動生成狀態(tài)日志，供管理員調(diào)閱。</p><p>　　1.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀</p><p>　　當(dāng)網(wǎng)絡(luò)中的交換機、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備，并且提

30、供Web管理方式，同時配置了基本的安全防御措施，如登陸密碼、用戶賬戶權(quán)限等。</p><p>　　交換機和路由器安全設(shè)置</p><p>　　交換機的主要功能就是提供網(wǎng)絡(luò)所需的接入接口。目前，該網(wǎng)絡(luò)中基于交換機的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進(jìn)行任何高級安全配置，如流量控制，遠(yuǎn)程監(jiān)控、IEEE802.1x安全認(rèn)證等，存在較大的安全隱患。&

31、lt;/p><p>　　企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入Internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能，所以該網(wǎng)絡(luò)中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換，可以滿足基本的安全要求。</p><p><b>　　辦公設(shè)備安全配置</b></p><p>　　企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機和傳真機，均支持網(wǎng)絡(luò)接入功能，部署在樓層

32、的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施，致使網(wǎng)絡(luò)打印機和傳真機被濫用，造成不必要的資源浪費。另外，用戶計算機到打印機之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。</p><p>　　1.4.3服務(wù)器部署現(xiàn)狀</p><p>　　網(wǎng)絡(luò)中應(yīng)用服務(wù)器包括域控制器、DHCP服務(wù)器、文件服務(wù)器、傳真服務(wù)器、網(wǎng)絡(luò)辦公平臺、數(shù)據(jù)庫服務(wù)器等，其中有許多網(wǎng)絡(luò)服務(wù)合用一臺服務(wù)器，網(wǎng)絡(luò)中共有服務(wù)器10臺

33、，通過單獨的交換機高速連接至核心交換機，完全采用鏈路冗余結(jié)束雙線連接，確保連接的可靠性。</p><p>　　所有服務(wù)器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠(yuǎn)程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠(yuǎn)程登錄服務(wù)器，實現(xiàn)相應(yīng)的配置與管理任務(wù)。</p><p>　　1.4.4客戶端計算機</p><p>　　客戶端計算機主要以Windows操作系統(tǒng)為主，

34、極少數(shù)用戶是運行Linux和Mac OS操作系統(tǒng)。客戶端計算機的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個人防火墻、殺毒軟件等。因此，由于個別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時有發(fā)生。對于Windows系統(tǒng)而言，應(yīng)用最多的Windows XP Professional和Windows Vista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、Windows Defender、Windows Up

35、date等，客戶端用戶只需對這些功能簡單配置，即可增強系統(tǒng)安全性。</p><p>　　另外，對于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如，統(tǒng)一配置客戶端計算機安全功能、增強網(wǎng)絡(luò)訪問控制、部署NAP系統(tǒng)、部署WSUS服務(wù)器等。</p><p>　　1.4.5無線局域網(wǎng)安全現(xiàn)狀</p><p>　　在企業(yè)網(wǎng)絡(luò)中部署無線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍

36、，避免網(wǎng)絡(luò)布線對現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò)，充分享受無線暢游的便利。但是，由于無線網(wǎng)絡(luò)傳輸?shù)奶厥庑?，無線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全問題，主要表現(xiàn)在以下幾個方面。</p><p><b>　　WEP密鑰發(fā)布問題</b></p><p>　　802.11本身并未

37、規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關(guān)的安全渠道送到了工作站點上，而在實際應(yīng)用中，一般都是手工設(shè)置，并長期固定使用4個可選密鑰之一。因此，當(dāng)工作站點增多時，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。</p><p>　　2.WEP用戶身份認(rèn)證方法的缺陷</p><p>　　802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式：開放系

38、統(tǒng)認(rèn)證和共享密鑰認(rèn)證。</p><p>　　開發(fā)系統(tǒng)認(rèn)證是默認(rèn)的認(rèn)證方法，任何移動站點都可加入BSS（Basic Service Set,基本服務(wù)集），并可以跟AP（Access Point,接入點）通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認(rèn)證，也就不存在安全性。</p><p>　　共享密鑰認(rèn)證是一種請求響應(yīng)認(rèn)證機制：AP在收到工作站點STA（Static Timin

39、g Analysis，靜態(tài)時序分析）的請求接入消息時發(fā)送詢問消息，STA對詢問消息使用共享密鑰進(jìn)行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數(shù)字運算就可以得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應(yīng)消息通過AP認(rèn)證后接入WLAN。</p><p>　　3.SSID和MAC地址過濾</p><p>　　WE

40、P服務(wù)集標(biāo)識SSID由Lucent公司提出，用于對封閉網(wǎng)絡(luò)進(jìn)行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護(hù)的網(wǎng)絡(luò)。但由于SSID和MAC地址很容易被竊取，因此安全性較低。</p><p>　　4．WEP加密機制的天生脆弱性</p><p>　　WEP加密機制的天生脆弱性

41、是受網(wǎng)絡(luò)攻擊的最主要原因，WEP2算法作為802.11i的安全標(biāo)準(zhǔn)，對現(xiàn)有系統(tǒng)改進(jìn)相對較小并易于實現(xiàn)。</p><p>　　1.4.6網(wǎng)絡(luò)隱患、風(fēng)險分析</p><p>　　企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：</p><p><b>　　1內(nèi)部竊密和破壞<

42、/b></p><p>　　企業(yè)網(wǎng)絡(luò)上同時接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號和口令、重要文件等)，因此這種風(fēng)險是必須采取措施進(jìn)行防范的。</p><p>　　2 搭線(網(wǎng)絡(luò))竊聽</p><p>　　這種威脅是網(wǎng)絡(luò)最容易發(fā)生的

43、。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。企業(yè)網(wǎng)絡(luò)系統(tǒng)來講，由于存在跨越INTERNET的內(nèi)部通信(與上級、下級)這種威脅等級是相當(dāng)高的，因此也是本方案考慮的重點。</p><p><b>　　3 假冒</b></p><p>　　這種威

44、脅既可能來自企業(yè)網(wǎng)內(nèi)部用戶，也可能來自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。</p><p><b>　　4 完整性破壞</b></p><p>　　這種威脅

45、主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負(fù)面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。</p><p><b>　　5 其它網(wǎng)絡(luò)的攻擊</b></p><p>　　企業(yè)網(wǎng)

46、絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進(jìn)行防范。</p><p>　　6 管理及操作人員缺乏安全知識</p><p>　　由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對滯后，用戶在引入和采用安全設(shè)備和系

47、統(tǒng)時，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對信息安全的重要性與技術(shù)認(rèn)識不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。</p><p>　　由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。</p><p><b>　　

48、7 雷擊</b></p><p>　　由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。</p><p><b>　　1.5項目需求</

49、b></p><p>　　由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機密信息，并且下設(shè)多個部門，所以對網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較高。無論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好安全防御工作。</p><p>　　1.5.1網(wǎng)絡(luò)安全需求</p><p>　　綜合項目成本和實際應(yīng)用等多方面因素，可以從如下幾個方面滿足用戶需求。</p><p

50、>　　一、將防火墻部署在網(wǎng)絡(luò)邊緣，用于隔離來自Internet的所有網(wǎng)絡(luò)風(fēng)險。</p><p>　　二、在路由器和核心交換機之間部署IPS，對全網(wǎng)的所有Internet通信進(jìn)行檢測，以便可以自動阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請求和危險信息的傳輸。</p><p>　　三、生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機連接至核心交換機，在相應(yīng)的匯聚交換機上分別進(jìn)行適當(dāng)?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險因素

51、隔離在網(wǎng)絡(luò)局部。</p><p>　　四、在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的VLAN中，充分確保部門內(nèi)部和部門間的信息安全。</p><p>　　五、在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點以及無線接入點連接的交換機上，分別部署相應(yīng)的安全防御措施，如IEEE802.1x認(rèn)證、禁止廣播SSID、WEP加密等。</p>&l

52、t;p>　　六、網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至核心交換機，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機的數(shù)據(jù)通信，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應(yīng)的解決方案。</p><p>　　七、為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署IDS，可以對服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻

53、擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。</p><p>　　1.5.2網(wǎng)絡(luò)訪問安全需求</p><p>　　由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進(jìn)行集中管理，防止機密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠(yuǎn)程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助VPN技術(shù)實現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。</p&

54、gt;<p>　　一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用Windows Update功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟Windows Update功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。</p><p>　　二、網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴(yán)格防范。通常

55、情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護(hù)作用，但是未能升級病毒庫同樣可能感染病毒。更嚴(yán)重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險的。</p><p>　　三、網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計算機已經(jīng)感染病毒，則病毒可能通過網(wǎng)

56、絡(luò)快速蔓延至整個網(wǎng)絡(luò)的所有分支。</p><p>　　四、遠(yuǎn)程訪問安全的保護(hù)。遠(yuǎn)程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠(yuǎn)程訪問VPN技術(shù)本身就是具有一定的安全性，同時采用隧道和加密等多種技術(shù)，但是為了確保遠(yuǎn)程訪問的安全，應(yīng)加強遠(yuǎn)程訪問的保護(hù)與控制。</p><p><b>　　1.6項目規(guī)劃</b></p><p&g

57、t;　　網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要安全措施的保護(hù)，但是安全措施過于嚴(yán)格，就會影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴(yán)格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩?。</p><p>　　1.6.1服務(wù)器安全規(guī)劃</p><p>　　服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)

58、用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實現(xiàn)的，因此，無論是應(yīng)用程序出錯，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若想做好服務(wù)器安全防護(hù)工作，必須從多方面入手。</p><p><b>　　一、服務(wù)器硬件安全</b></p><p>　　服務(wù)器硬件設(shè)備的維護(hù)主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護(hù)等。因為服務(wù)器的運行是不間斷

59、的，因此這些維護(hù)工作必須在確保服務(wù)器正常運行的狀態(tài)下進(jìn)行。</p><p>　　1、增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機。</p><p>　　2、定期為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的，因此建議管員每個月定期拆機打掃一次。</p><p>　　

60、3、控制機房溫度和濕度。雖然服務(wù)器對工作環(huán)境的要求比較寬泛，但是當(dāng)服務(wù)器周邊環(huán)境比較惡劣時同樣會降低其處理速度和穩(wěn)定性。</p><p><b>　　二、操作系統(tǒng)的安全</b></p><p>　　服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略。</p><p>　　1、對操作

61、系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對Internet公開，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。</p><p>　　2、應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。</p><p>　　3、網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。</p><p>　　4、通過專業(yè)的安全工具（安全監(jiān)測系統(tǒng)）定期對網(wǎng)絡(luò)系

62、統(tǒng)進(jìn)行安全評估。</p><p>　　三、網(wǎng)絡(luò)應(yīng)用服務(wù)安全</p><p>　　局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括WWW服務(wù)、FTP服務(wù)、DNS服務(wù)、DHCP服務(wù)、Active Directory服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進(jìn)行設(shè)置，以增強其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下4層。</p>&

63、lt;p>　　1、網(wǎng)絡(luò)與應(yīng)用平臺安全：主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓?fù)浒踩⑾到y(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計算機系統(tǒng)安全性決定。</p><p>　　2、應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認(rèn)、服務(wù)防攻擊、國家對應(yīng)用服務(wù)的管制等方面來保障。服

64、務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等先關(guān)。</p><p>　　3、信息存儲于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲時的完整性、機密性和不可否認(rèn)性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發(fā)來保障；信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。</p><p>　　4、信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國家安全，泄露國家

65、機密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動。</p><p>　　1.6.2 客戶端安全規(guī)劃</p><p>　　目前，Windows XP和Windows 7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對固定的客戶端計算機加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個方面做好客戶端計算機的安全防御工作。</p><p>　

66、　一、對于加入域的計算機可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩?。</p><p>　　二、對于未加入域的計算機，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識，通過設(shè)置登錄密碼、計算機鎖定、防火墻等方式，確保系統(tǒng)安全。</p><p>　　三、在網(wǎng)絡(luò)中部署WSUS服務(wù)器，負(fù)責(zé)為所有客戶端計算機和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。</

67、p><p>　　四、在所有客戶端上部署Symantec網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動更新病毒庫功能。</p><p>　　五、靈活部署和運用Windows防火墻、Windows Defender等系統(tǒng)集成安全防護(hù)程序。</p><p>　　1.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃</p><p>　　局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、

68、交換機和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。</p><p><b>　　網(wǎng)絡(luò)設(shè)備的脆弱性</b></p><p>　　通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時間內(nèi)保持相對穩(wěn)定地運行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標(biāo)

69、。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個方面。</p><p>　　1.提供不必要的網(wǎng)絡(luò)服務(wù)，提高了攻擊者的攻擊機會。</p><p>　　2.存在不安全的配置，帶來不必要的安全隱患。</p><p>　　3.不適當(dāng)?shù)脑L問控制。</p><p>　　4.存在系統(tǒng)軟件上的安全漏洞。</p><p>　　5.物理上沒有得到

70、安全存放，容易遭受臨近攻擊。</p><p>　　針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統(tǒng)安全。</p><p>　　1.禁用不必要的網(wǎng)絡(luò)服務(wù)。</p><p>　　2.修改不安全的配置。</p><p>　　3.利用最小特權(quán)原則嚴(yán)格對設(shè)備的訪問控制。</p><p>　　4.及時對系統(tǒng)進(jìn)行軟件升級。&

71、lt;/p><p>　　5.提供符合IPP（Information Protection Policy，信息保護(hù)策略）要求的物理保護(hù)環(huán)境。</p><p>　　二、部署網(wǎng)絡(luò)安全設(shè)備</p><p>　　局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避

72、免內(nèi)部攻擊。入侵檢測設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護(hù)內(nèi)部服務(wù)器或局域網(wǎng)的安全。</p><p><b>　　三、IOS安全</b></p><p>　　IOS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺。IOS與計算機操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的IOS

73、，進(jìn)行各種破壞活動，從而影響網(wǎng)絡(luò)的正常運行。</p><p>　　通常情況下，用戶可以從如下6個方面實現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS安全。</p><p>　　1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。</p><p>　　2、配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限。</p>

74、<p>　　3、控制終端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會話超時限制。</p><p>　　4、配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。</p><p>　　5、及時備份IOS映像，以便出現(xiàn)錯誤操作或遭遇攻擊時可以迅速恢復(fù)。</p><p>　　6、升級IOS版本。IOS的系統(tǒng)漏

75、洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。</p><p>　　1.6.4無線準(zhǔn)備安全規(guī)劃</p><p>　　無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展，主要用于移動終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP（Access Point,無線接入點）主要分布在產(chǎn)品展示區(qū)和會議室，方面移動用戶隨時隨地訪問公司網(wǎng)絡(luò)。如

76、今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時尚，對于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點。</p><p>　　在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。</p><p>　　1、確保桌面計算機和服務(wù)器系統(tǒng)實現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門檻，即使攻擊者進(jìn)入了WLAN，仍然很難滲透進(jìn)用戶的計算機。</p>

77、<p>　　2、啟用無線AP和工作站所支持的最強WEP。同時，確保擁有一個強健的WEP密碼，這個密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強度規(guī)則。</p><p>　　3、確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（SSID）不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。</p><p>　　4、如果無線AP支持SSID廣播，應(yīng)當(dāng)關(guān)閉。這個措施可以創(chuàng)建一個封閉網(wǎng)絡(luò)，這樣，

78、新的客戶端必須在連接之前輸入正確的SSID。</p><p>　　5、使用IEEE802.1x身份驗證協(xié)議保護(hù)無線網(wǎng)絡(luò)的安全。</p><p>　　6、在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點，實時監(jiān)測網(wǎng)絡(luò)攻擊情況。</p><p>　　1.6.5防火墻、IDS、IPS規(guī)劃</p><p>　　在安全性需求較高的網(wǎng)絡(luò)中

79、，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻、IDS和IPS。</p><p><b>　　一、網(wǎng)絡(luò)防火墻</b></p><p>　　防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全

80、控制點，通過設(shè)定一定的篩選機制來決定允許或拒絕數(shù)據(jù)包通過，實現(xiàn)對進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。</p><p><b>　　二、IDS</b></p><p>　　IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)，入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全，而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未

81、授權(quán)或異常現(xiàn)象的技術(shù)。IDS通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在服務(wù)器區(qū)的接入交換機處。</p><p>　　IDS能夠檢測到的攻擊類型通常包括：系統(tǒng)掃描（System Scanning）、拒絕服務(wù)（Deny of Service）和系統(tǒng)滲透（System Penetration）。IDS對攻擊的檢測方

82、法主要包括：被動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量，但又不會影響網(wǎng)絡(luò)的性能。作為對防火墻的有益補充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。</p><p><b>　　三、IPS</b><

83、;/p><p>　　網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無法解決的網(wǎng)絡(luò)攻擊，部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。</p><p>　　傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數(shù)IDS系統(tǒng)都是被動的，不是主動的，即在攻擊實際發(fā)生前，往往無法預(yù)先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御，其設(shè)計宗旨是

84、預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出報警。</p><p>　　IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將其傳送到內(nèi)部系統(tǒng)中。此時，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。</p><p

85、>　　1.6.6局域網(wǎng)接入安全規(guī)劃</p><p><b>　　NAP技術(shù)</b></p><p>　　NAP（Network Access Protection,網(wǎng)絡(luò)訪問保護(hù)）是Microsoft在Windows Vista和Windows Server 2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方

86、法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。</p><p>　　為了校驗網(wǎng)絡(luò)訪問的主機的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。</p><p>　　健康策略認(rèn)證：判斷計算機是否適應(yīng)健康策略的需求。</p><p>　　網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計算機訪問。</p><p>　　自動補救：為不適

87、應(yīng)策略的計算機提供必要的升級，使其適應(yīng)健康策略。</p><p>　　動態(tài)適應(yīng)：自動升級適應(yīng)策略的計算機以使其可以跟上健康策略的計算機。</p><p>　　1.6.7Internet 接入安全規(guī)劃</p><p>　　企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco 5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防

88、火墻的后面部署了Forefront TMG服務(wù)器，可以提供如下功能。</p><p>　　一、網(wǎng)絡(luò)防火墻 TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。</p><p>　　二、Web訪問緩存。TMG服務(wù)器既是防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于

89、存儲客戶端請求的Internet數(shù)據(jù)空間，暫時緩存常用數(shù)據(jù)。當(dāng)客戶端需要再次訪問這些Internet數(shù)據(jù)時，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。</p><p>　　三、安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當(dāng)本地計算機要和遠(yuǎn)程計算機通過TMG服務(wù)器進(jìn)行通信時，數(shù)據(jù)封裝好后，將通過VPN進(jìn)行收發(fā)，充分確保通信過程的安全。</p><

90、;p>　　1.6.8遠(yuǎn)程接入安全規(guī)劃</p><p>　　目前，最常用的遠(yuǎn)程訪問方式是VPN，主流的安全技術(shù)包括SSL VPN和IPSec VPN。SSL VPN應(yīng)用比較簡單，用戶無需進(jìn)行配置，基于Web頁面即可實現(xiàn)。IPSec VPN技術(shù)應(yīng)用比較廣泛，不再局限于Web方式，同時由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。</p><p>　　1、IPSec VPN 遠(yuǎn)程安全接入

91、</p><p>　　IPSec VPN 提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗證、數(shù)據(jù)完整性、地址隱藏和安全機構(gòu)（SA）密鑰老化等功能。IPSec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強度Message Digests(MD-5)-HMAC和160位強度安全散列算法（SHA）-HMAC。由于SHA的強度更大。所以更加安全。</p><p>　　2、SSL VPN

92、 遠(yuǎn)程安全接入</p><p>　　SSL VPN 是工作在應(yīng)用層和TCP層之間的遠(yuǎn)程接入技術(shù)。通常SSL VPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。</p><p>　　1.6.9網(wǎng)絡(luò)可靠性規(guī)劃

93、</p><p>　　對于企業(yè)網(wǎng)絡(luò)而言，許多金融、貿(mào)易、電子商務(wù)等活動都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯。</p><p>　　在硬件設(shè)備方面，可以通過配置交換機生成樹、鏈路匯聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將

94、多條鏈路聚合為一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可以實現(xiàn)負(fù)載均衡，從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。</p><p>　　在軟件方面則可以通過服務(wù)器群集技術(shù)和網(wǎng)絡(luò)負(fù)載均衡技術(shù)，來提高重要服務(wù)器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務(wù)器角色狀態(tài)信息備份、服務(wù)器

95、系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡(luò)設(shè)備配置備份等。</p><p>　　第二章：企業(yè)網(wǎng)絡(luò)安全的實際應(yīng)用</p><p>　　一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點</p><p><b&g

96、t;　　● 網(wǎng)絡(luò)系統(tǒng)安全;</b></p><p><b>　　● 應(yīng)用系統(tǒng)安全;</b></p><p><b>　　● 物理安全;</b></p><p><b>　　● 安全管理;</b></p><p>　　2.1企業(yè)網(wǎng)絡(luò)安全實施</p>&l

97、t;p>　　根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進(jìn)行實施：</p><p><b>　　● 網(wǎng)絡(luò)傳輸保護(hù)</b></p><p><b>　　主要是數(shù)據(jù)加密保護(hù)</b></p><p>　　● 主要網(wǎng)絡(luò)安全隔離</p><p>　　通用措施是采用防火墻</p>

98、<p><b>　　● 網(wǎng)絡(luò)病毒防護(hù)</b></p><p><b>　　采用網(wǎng)絡(luò)防病毒系統(tǒng)</b></p><p>　　● 廣域網(wǎng)接入部分的入侵檢測</p><p><b>　　采用入侵檢測系統(tǒng)</b></p><p><b>　　● 系統(tǒng)漏洞分析<

99、/b></p><p><b>　　采用漏洞分析設(shè)備</b></p><p><b>　　● 定期安全審計</b></p><p>　　主要包括兩部分：內(nèi)容審計和網(wǎng)絡(luò)通信審計</p><p><b>　　● 重要數(shù)據(jù)的備份</b></p><p>

100、　　● 重要信息點的防電磁泄露</p><p>　　● 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性</p><p>　　包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時進(jìn)行規(guī)模、功能擴(kuò)展</p><p><b>　　● 網(wǎng)絡(luò)防雷</b></p><p>　　2.2網(wǎng)絡(luò)傳輸?shù)膶嵤?lt;/p><p>　　企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在

101、兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護(hù)，易受到來自網(wǎng)絡(luò)上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改。</p><p>　　由于現(xiàn)在越來越多的政府、金融機構(gòu)、

102、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考壒芾碛騼?nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù)企業(yè)三級網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：</p><p>　　圖2-1三級 VPN設(shè)置拓?fù)鋱D</p><p>　　每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺

103、VPN認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？蛇_(dá)到以下幾個目的：</p><p>　　● 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);</p><p>　　由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時采取加密或隧道的方式進(jìn)行傳輸</p><p>&l

104、t;b>　　● 網(wǎng)絡(luò)隔離保護(hù);</b></p><p>　　與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問</p><p>　　● 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性;</p><p>　　● 降低成本(設(shè)備成本和維護(hù)成本);</p><p>　　其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：</p>

105、<p>　　圖2-2 中心網(wǎng)絡(luò)VPN設(shè)置圖</p><p>　　由一臺VPN管理機對CA、中心VPN設(shè)備、分支機構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。</p><p>　　下級單位的VPN設(shè)備放置如下圖所示：</p><

106、;p>　　圖2-3下級單位VPN設(shè)置圖</p><p>　　從圖2-3可知，下屬機構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級機構(gòu)通過網(wǎng)絡(luò)實現(xiàn)，下屬機構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護(hù)成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。&

107、lt;/p><p>　　由于網(wǎng)絡(luò)安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設(shè)備的設(shè)置不當(dāng)，而使整個網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時，每個維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選

108、擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。</p><p><b>　　2.3訪問控制</b></p><p>　　企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降

109、低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個方面的要求：</p><p>　　● 控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問;</p><p>　　● 控制外部合法用戶對服務(wù)器的訪問;</p><p>　　● 禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問

110、;</p><p>　　● 控制內(nèi)部用戶對外部網(wǎng)絡(luò)的網(wǎng)絡(luò);</p><p>　　● 阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊;</p><p>　　● 防止內(nèi)部主機的IP欺騙;</p><p>　　● 對外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);</p><p><b>　　● 網(wǎng)絡(luò)監(jiān)控;</b></p>

111、<p><b>　　● 網(wǎng)絡(luò)日志審計;</b></p><p>　　由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：</p><p>　　● 管理、維護(hù)簡單、方便;</p><p>　　● 安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);</p><p>

112、　　● 硬件成本和維護(hù)成本低;</p><p>　　● 網(wǎng)絡(luò)運行的穩(wěn)定性更高</p><p>　　由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設(shè)備而言，其穩(wěn)定性更高，故障率更低。</p><p><b>　　2.4入侵檢測</b></p><p>　　網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整

113、體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送E-mail)。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡(luò)引擎)?？刂婆_用作制定及管理所有探測器(網(wǎng)絡(luò)引擎)。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指