1、優(yōu)質資料中小型網絡安全規(guī)劃與設計摘要：中小企業(yè)在業(yè)務中對于信息技術和網絡的依賴程度越來越高，必須引起對信息安全的重視。然而，由于企業(yè)將主要的精力集中在各種業(yè)務應用的開展上，再加之受限于資金、技術、人員以及安全意識等多方面因素，信息安全建設往往相對滯后。部分企業(yè)已經采用了“防火墻+防病毒”的基本安全措施，但很多中小企業(yè)什么安全保護措施都沒有，不能不讓人為此擔憂。 隨著網絡技術的迅速發(fā)展，各種依托網絡開展的攻擊技術也得到了蔓延。黑客攻擊手段越來越豐富，各類破壞力較大的攻擊工具、文摘在網上唾手可得；中小企業(yè)的安全現(xiàn)狀常常使得他們成了黑客攻擊破壞的首選 “試驗品”。另外病毒的發(fā)展已經遠遠超過人們預期的

2、想象，破壞性越來越嚴重；加上企業(yè)內部信息安全管理制度的疏漏，為一些不法人員提供了大量的犯罪途徑。中小企業(yè)迅速建立完善的信息安全體制已經勢在必行。關鍵字：中小型企業(yè)；網絡；安全Small and medium-sized network security planning and design Abstract: the small and medium-sized enterprise in the business for the information technology and network more and more rely on the information security

3、, must cause the attention. However, because the enterprise will mainly focus on the various business applications development, coupled with the limited funds, technology, personnel and security awareness and other factors, the information security construction and often relatively lag. Some enterpr

4、ises have adopted the firewall and antivirus basic security measures, but many small and medium-sized enterprise what safety protection measures are not, let a person worry about.With the rapid development of network technology, a variety of relying on network attack technology is also spread. Hacke

5、rs means more and more abundant, all kinds of destructive force larger attack tools, abstracts online with extreme ease; small and medium-sized enterprise security status often makes them into a hacker attack preferred test materials. Another virus development has far exceeded the expectations of im

6、agination, damage is more and more serious; plus enterprise internal information security management system for omissions, some unscrupulous persons to provide a large number of pathways in crime. Small and medium-sized enterprises rapidly establish and improve the information security system has be

7、 imperative.Key words: Small and medium-sized enterprises; network security目 錄第1章 緒論 1第2章 網絡環(huán)境現(xiàn)狀 32.1網絡環(huán)境介紹 32.2中小型網絡情況分析 5第3章 網絡安全風險分析 73.1概要風險分析 73.2 實際風險分析 103.3 安全缺口 113.4 網絡安全評估 11第4章 中小型企業(yè)網絡安全的實現(xiàn)措施 124.1計算機安全 124.1.1訪問控制策略 124.1.2 確保網絡安全的措施 164.1.3. 提高企業(yè)內部網安全性的幾個步驟 184.2 網絡安全 194.3 網絡安全原則 23第5

8、章 實現(xiàn)中小型企業(yè)網絡安全的規(guī)劃與設計 245.1 整體網絡安全系統(tǒng)架構 245.2 整體安全防護體系 255.3 INTERNET和信息發(fā)布服務 265.4 INTERNET和內部網 27結 論 33致 謝 34參考文獻 35第1章 緒論國內中小企業(yè)信息化已經得到了迅速的發(fā)展，而且發(fā)揮著越來越重要的作用，由于受資金、安全意識方面的限制，信息安全建設相對嚴重滯后。目前，很多企業(yè)已經建立了防火墻+防病毒的安全體系，是否就能取得較好的安全效果呢？事實表明，這樣的安全措施還是不夠的。蠕蟲的爆發(fā)、網站遭到破壞、內部信息資外泄中小企業(yè)會遇到許多 “成長中的煩惱”比如：外部安全 隨著互聯(lián)網的發(fā)展，網絡安全

9、事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數據破壞、系統(tǒng)異常、網絡癱瘓、信息失竊，工作效率下降，直接或間接的經濟損失也很大。 內部安全 最新調查顯示，在受調查的企業(yè)中60%以上的員工利用網絡處理私人事務。對網絡的不正當使用，降低了生產率、阻礙電腦網絡、消耗企業(yè)網絡資源、并引入病毒和間諜，或者使得不法員工可以通過網絡泄漏企業(yè)機密，從而導致企業(yè)數千萬美金的損失。 內部網絡之間、內外網絡之間的連接安全 隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新

10、型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業(yè)的高效運作。本次論文將結合實際采用最合理的方式來對中小企業(yè)網絡進行規(guī)劃與設計。第2章 網絡環(huán)境現(xiàn)狀2.1網絡環(huán)境介紹信息化已成為國際性發(fā)展趨勢，作為國民經濟信息化的基礎，企業(yè)信息化建設受到國家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網絡的建設是基礎，從計算機網絡技術和應用發(fā)展的現(xiàn)狀來看，Intranet是得到廣泛認同的企業(yè)網絡模式。Intranet并不完全是原來局域網的概念，通過與Internet的聯(lián)結，企業(yè)

11、網絡的范圍可以是跨地區(qū)的，甚至跨國界的?，F(xiàn)在，隨著信息化技術的飛速發(fā)展 ，Internet的發(fā)展已成燎原之勢，隨著WWW上商業(yè)活動的激增，Intranet也應運而生。近幾年，許多有遠見的企業(yè)領導者都已感到企業(yè)信息化的重要性,陸續(xù)建立起了自己的企業(yè)網和Intranet并通過各種WAN線路與Internet相連。許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。國際互聯(lián)網Internet在帶來巨大的資源和信息訪問的方便的同時，它也帶來了巨大的潛在的危險，至今仍有很多企業(yè)仍然沒有感到企業(yè)網安全的重要性。在我國網絡急劇

12、發(fā)展還是近幾年的事，而在國外企業(yè)網領域出現(xiàn)的安全事故已經是數不勝數。因此，我們應該在積極進行企業(yè)網建設的同時，就應借鑒國外企業(yè)網建設和管理的經驗，在網絡安全上多考慮一些，將企業(yè)網中可能出現(xiàn)的危險和漏洞降到最低。使已經花了不少財力、人力和時間后，建立起來的網絡真正達到預想的效果。影響計算機網絡安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來豐要以下幾個方面：1、病毒感染從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網絡迅速傳播，它很容易地通過代理服務器以軟件下載、郵件接收等方式進入網絡，竊取網絡信息，造成很人的損失。2、來自網絡外部

13、的攻擊這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。3、來自網絡內部的攻擊在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息，破壞信息內容，造成應用系統(tǒng)無法運行。4、系統(tǒng)的漏洞及“后門”操作系統(tǒng)及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環(huán)節(jié)對整個網絡系統(tǒng)進行攻擊，大部分的黑客入侵網絡事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。經營管理對計算機

14、應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網絡、系統(tǒng)、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。2.2中小型網絡情況分析 中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及管理方式的不同有著不同的網絡拓撲機構。網絡情況有以下幾種。集中型:中小企業(yè)網絡一般只在總部設立完善的網絡布局。采取專線接入、ADSL接入或多條線路接入等網絡

15、接入方式，一般網絡中的終端總數在幾十到幾百臺不等。網絡中有的劃分了子網，并部署了與核心業(yè)務相關的服務器，如數據庫、郵件服務器、文檔資料庫、甚至ERP服務器等。分散型:采取多分支機構辦公及移動辦公方式，各分支機構均有網絡部署，數量不多。大的分支采取專線接入，一般分支采取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫，通過郵件或內部網進行業(yè)務溝通交流。綜合型:集中型與分散型的綜合。綜合型企業(yè)網絡簡圖第3章 網絡安全風險分析3.1概要風險分析1.物理安全分析 網絡的物理安全是整個網絡系統(tǒng)安全的前提。在網絡工程建設中，由于網絡系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，必

16、須優(yōu)先考慮保護人和網絡設備不受電、火災和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網絡的物理安全風險。 2.網絡結構的安全風險分析 網絡拓撲結構設計也直接影響到網絡系統(tǒng)的安全性。企業(yè)網絡與外網有互連。基于網絡系

17、統(tǒng)的范圍大、函蓋面廣，內部網絡將面臨更加嚴重的安全威脅，入侵者每天都在試圖闖入網絡節(jié)點。 假如在外部和內部網絡進行通信時，網絡系統(tǒng)中辦公系統(tǒng)及員工主機上都有涉密信息，假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染，內部網絡的機器安全就會受到威脅，同時也影響在同一網絡上的許多其他系統(tǒng)。透過網絡傳播，還會影響到連上Internet/Intrant的其他的網絡；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開服務器（WEB、DNS、EMAIL等）和外網及內部其它業(yè)務網絡進行必要的隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達

18、相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。3.操作系統(tǒng)的安全風險分析 所謂系統(tǒng)的安全是指整個網絡操作系統(tǒng)和網絡硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其后門。因此，我們可以得出如下結論：沒有完全安全的操作系統(tǒng)。不同的用戶應從不同的方面對其網絡作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄

19、者的操作權限，將其完成的操作限制在最小的范圍內。 4.應用的安全風險分析 應用系統(tǒng)的安全跟具體的應用有關，它涉及面廣。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用的安全性也是動態(tài)的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等 應用的安全涉及方面很多，以目前Internet上應用最為廣泛的E-mail系統(tǒng)來說，其解決方案有sendmail、Netscape Messaging Server、Software.Com Pos

20、t.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的。在應用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網絡系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，

21、對于重要信息的通訊必須授權，傳輸必須加密。采用多層次的訪問控制與權限控制手段，實現(xiàn)對數據的安全保護；采用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。 5.管理的安全分析 管理是網絡中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現(xiàn)攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網

22、絡安全機制，必須深刻理解網絡并能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網絡的損失都是難以估計的。因此，網絡的安全建設是網絡安全建設過程中重要的一環(huán)。 管理方面的安全隱患包括：內部管理人員或員工圖方便省事，不設置用戶口令，或者設置的口令過短和過于簡單，導致很容易破解。責任不清，使用相同的用戶名、口令，導致權限管理混亂，信息泄密。把內部網絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員

23、工有的可能造成極大的安全風險。3.2 實際風險分析現(xiàn)今的網絡安全存在的威脅主要表現(xiàn)在以下幾個方面。1.非授權訪問。指對網絡設備及信息資源進行非正常使用或越權使用等。2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限,以達到占用合法用戶資源的目的。3.破壞數據的完整性。指使用非法手段,刪除、修改、重發(fā)某些重要信息,以干擾用戶的正常使用。4.干擾系統(tǒng)正常運行。指改變系統(tǒng)的正常運行方法,減慢系統(tǒng)的響應時間等手段。5.病毒與惡意攻擊。指通過網絡傳播病毒或惡意Java、XActive等。6.線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。3.3 安全缺口安全策略經

24、常會與用戶方便性相矛盾,從而產生相反的壓力,使安全措施與安全策略相脫節(jié)。這種情況稱為安全缺口。為什么會存在安全缺口呢?有下面四個因素:1、網絡設備種類繁多當前使用的有各種各樣的網絡設備,從Windows NT和UNIX 服務器到防火墻、路由器和Web服務器,每種設備均有其獨特的安全狀況和保密功能;2、訪問方式的多樣化一般來說,您的網絡環(huán)境存在多種進出方式,許多過程拔號登錄點以及新的Internet訪問方式可能會使安全策略的設立復雜化;3、網絡的不斷變化網絡不是靜態(tài)的,一直都處于發(fā)展變化中。啟用新的硬件設備和操作系統(tǒng),實施新的應用程序和Web服務器時,安全配置也有不盡相同;4、用戶保安專業(yè)知識的

25、缺乏許多組織所擁有的對網絡進行有效保護的保安專業(yè)知識十分有限,這實際上是造成安全缺口最為主要的一點。3.4 網絡安全評估為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網絡安全狀況進行評估:1、從企業(yè)外部進行評估:考察企業(yè)計算機基礎設施中的防火墻;2、從企業(yè)內部進行評估:考察內部網絡系統(tǒng)中的計算機;3、從應用系統(tǒng)進行評估:考察每臺硬件設備上運行的操作系統(tǒng)。第4章 中小型企業(yè)網絡安全的實現(xiàn)措施4.1計算機安全4.1.1訪問控制策略訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。各種安全策略必須相互配合

26、才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。1、入網訪問控制入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網

27、絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系

28、統(tǒng)中最基本的安全形式。用戶帳號應只有系統(tǒng)管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警

29、信息。2、網絡的權限控制網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類： 特殊用戶（即系統(tǒng)管理員）； 一般用戶，系統(tǒng)管理員根據他們的實際需要為他們分配操作權限； 審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶

30、對網絡資源的訪問權限可以用一個訪問控制表來描述。3、目錄級安全控制網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限（Supervisor）；讀權限（Read）、；寫權限（Write）；創(chuàng)建權限（Create）；刪除權限（Erase）；修改權限（Modify）；文件查找權限（File Scan）；存取控制權限（Access Control）；用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一

31、個網絡系統(tǒng)管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。4、屬性安全控制當用文件、目錄和網絡設備時，網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下

32、幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。5、網絡服務器安全控制網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。6、網絡監(jiān)測和鎖定控制網絡管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或

33、文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。7、網絡端口和節(jié)點的安全控制網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證4.1.2 確保網絡安全

34、的措施由于網絡安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網絡連入Internet，那麼最好盡可能地把與Internet連接的機器與網絡的其余部分隔離開來。實現(xiàn)這個目標的最安全的方法是將Internet服務器與網絡實際隔開。當然，這種解決方案增加了機器管理的難度。但是如果有人闖入隔離開的機器，那麼網絡的其余部分不會受到牽連。最重要的是限制訪問。不要讓不需要進入網關的人都進入網關。在機器上用戶僅需要一個用戶帳號，嚴格限制它的口令。只有在使用su時才允許進入根帳號。這個方法保留一份使用根帳號者的記錄。在Internet服務器上提供的一些服務有FTP、HTTP、遠程登陸

35、和WAIS（廣域信息服務）。但是，F(xiàn)TP和HTTP是使用最普遍的服務。它們還有潛力泄露出乎用戶意料之外的秘密。與任何其它Internet服務一樣，F(xiàn)TP一直是（而且仍是）易于被濫用的。值得一提的弱點涉及幾個方面。第一個危險是配置不當。它使站點的訪問者（或潛在攻擊者）能夠獲得更多超出其預期的數據。他們一旦進入，下一個危險是可能破壞信息。一個未經審查的攻擊者可以抹去用戶的整個FTP站點。最后一個危險不必長篇累牘，這是因為它不會造成破壞，而且是低水平的。它由用戶的FTP站點構成，對于交換文件的人來說，用戶的FTP站點成為“麻木不仁的窩臟點”。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換

36、如何進行的呢？簡單的很。發(fā)送者發(fā)現(xiàn)了一個他們有權寫入和拷入可疑文件的FTP站點。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以訪問。一般說來，F(xiàn)TP用戶不是用戶的系統(tǒng)中已經有的。因此，用戶要建立F

37、TP用戶。無論如何要保證將外殼設置為真正外殼以外的東西。這一步驟防止FTP用戶通過遠程登錄進行注冊（用戶或許已經禁止遠程登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯）。將所有文件和目錄的主人放在根目錄下，不要放在ftp下。這個預防措施防止FTP用戶修改用戶仔細構思出的口令。然后，將口令規(guī)定為755（讀和執(zhí)行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項工作。盡管這個規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來。用戶還需要編制某些可用的庫。然而，由于用戶已經在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將/usr/lib/libe.

38、so.1和/usr/lib/libsock-et.so/1拷貝到ftp/usr/lib中。接著將ftp/usr/lib上的口令改為555，并建立主接收器。最后，用戶需要在ftp/dev/中建立/dev/null和/dev/socksys設備結點。用戶可以用mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會更加容易。SCO文檔說用cpio,但是copy（非cp）很管用。如果用戶想建立一個人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預防措施防止它成為麻木不仁的窩臟點。人們可以在這里放入他們想放的任何東西，但是他們不能將它們取出。如果用戶認為信息比較適合共享，那

39、麼將拷貝到另一個目錄中。4.1.3. 提高企業(yè)內部網安全性的幾個步驟1 限制對網關的訪問。限制網關上的帳號數。不要允許關不信任任何機器。沒有一臺機器應該信任網關；2 不要用NFS向網關傳輸或接收來自網關的任何文件系統(tǒng)；3 不要在網關上使用NIS（網絡信息服務）；4 制訂和執(zhí)行一個非網關機器上的安全性方針；5 關閉所有多余服務和刪除多余程序6 刪除網關的所有多余程序（遠程登錄、rlogin、FTP等等）；7 定期閱讀系統(tǒng)記錄。4.2 網絡安全1.物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防用戶越

40、權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來

41、掩蓋計算機系統(tǒng)的工作頻率和信息特征。2.網絡結構的安全 網絡結構布局的合理與否，也影響著網絡的安全性對銀行系統(tǒng)業(yè)務網，辦公網，與外單位互聯(lián)的接口網絡之間必須按各自的應用范圍，安全保密程度進行合理分布，以免局部安全性較低的網絡系統(tǒng)造成的威脅，傳播到整個網絡系統(tǒng)，所以必須從兩個方面入手，一是加強|力問控制：在內部局網內可以通過交換機劃分VLAN功能來實現(xiàn)；或是通過配備防火墻來實現(xiàn)內、外網或不同信任域之間的隔離與訪問控制：也可以配備應用層的訪問控制軟件系統(tǒng)，針對局域網具體的應用進行更細致的訪問控制。二是作好安全檢測工作：在局域網絡的共享網絡設備上配備入侵檢測系統(tǒng)，實時分析進出網絡數據流，對網絡違規(guī)事

42、件跟蹤，實時報警，阻斷連接并做日志。 3.操作系統(tǒng)的安全 對操作系統(tǒng)必須進行安全配置，打上最新的補丁，還要利用相應的掃描軟件對其進行安全性掃描評估，檢測其存在的安全漏洞，分析系統(tǒng)的安全性，提出補救措施，管理人員應用時必須加強身份認證機制及認證強度盡量采用安全性較高的網絡操作系統(tǒng)并進行必要的安全配置，關閉一些起不常用卻存在安全隱患的應用，對一些關鍵文件使用權限進行嚴格限制，加強口令字的使用，及時給系統(tǒng)打補丁，系統(tǒng)內部的相互調用不對外公開。 4.應用的安全 要確保計算機網絡應用的安全，主要從以下幾個方面作好安全防范工作：一要配備防病毒系統(tǒng)，防止病毒入侵主機并擴散到全網，實現(xiàn)全網的病毒安全防護；二作

43、好數據備份工作，最安全的，最保險的方法是對重要數據信息進行安全備份，如果遇到系統(tǒng)受損時，可以利用災難恢復系統(tǒng)進行快速恢復；三是對數據進行加密傳輸，保護數據在傳輸過程中不被泄露，保證用戶數據的機密性，數據加密的方法有從鏈路層加密，網絡層加密及應用層加密；四是進行信息鑒別，為了保證數據的完整性，就必須采用信息鑒別技術，VPN設備便能實現(xiàn)這樣的功能，數據源身份認證也是信息鑒別的一種手段，它可以確認信息的來源的可靠性，結合傳輸加密技術，我們可以選擇VPN設備，實現(xiàn)保護數據的機密性，完整性，真實性，可靠性。 我們可以做的有：第一部分是增強用戶認證,用戶認證在網絡和信息的安全中屬于技術措施的第一道大門,最

44、后防線為審計和數據備份,不加強這道大門的建設,整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據以下三種因素提供認證。1.用戶持有的證件,如大門鑰匙、門卡等等;2.用戶知道的信息,如密碼;3.用戶特有的特征,如指紋、聲音、視網膜掃描等等。根據在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。第二部分是授權,這主要為特許用戶提供合適的訪問權限,并監(jiān)控用戶的活動,使其不越權使用。該部分與訪問控制(常說的隔離功能是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可

45、。第三部分是加密。在上述的安全體系結構中,加密主要滿足以下幾個需求。1.認證識別用戶身份,提供訪問許可;2.一致性保證數據不被非法篡改;3.隱密性保護數據不被非法用戶查看;4.不可抵賴使信息接收者無法否認曾經收到的信息。加密是信息安全應用中最早開展的有效手段之一,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網絡與信息安全建設中,利用加密技術至少應能解決以下問題:1.鑰匙的管理,包括數據加密鑰匙、私人證書、私密等的保證分發(fā)措施;2.建立權威鑰匙分發(fā)機構;3.保證數據完整性技術;4.數據加密傳輸;5.數據存儲加密等。第四部分為審計和監(jiān)控,確切說,還應包括數據備份,這

46、是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責任追查、重要數據復原等保障。在網絡和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎,如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權的控制過程以及事后的審計等的工作就會變得非常困難。 5.管理的安全 安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高，行為的約束只能通過嚴格的管理體制，并利用法律手段來實現(xiàn)，因國這些必須在電信部門系統(tǒng)內根據自身的應用

47、與安全需求，制定安全管理制度并嚴格按執(zhí)行，并通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防范外部入侵的安全技術。4.3 網絡安全原則網絡安全體系的核心目標是實現(xiàn)對網絡系統(tǒng)和應用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術、組織和制度這三個基礎之上。 體系化設計原則。通過分析信息網絡的層次關系，提出科學的安全體系和安全框架，并根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。 全局綜合性設計原則。從中小企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議考慮到各種安全措施的使用，使用一個具有相當高度、可擴展性強的安全解決方案及產品。

48、 可行性、可靠性及安全性。可行性是安全方案的根本，它將直接影響到網絡通信平臺的暢通，可靠性是安全系統(tǒng)和網絡通信平臺正常運行的保證，而安全性是設計安全系統(tǒng)的最終目的。第5章 實現(xiàn)中小型企業(yè)網絡安全的規(guī)劃與設計5.1 整體網絡安全系統(tǒng)架構 安全方案必須架構在科學網絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。 隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。如圖所示，這種多層次的安全體系不僅要

49、求在網絡邊界設置防火墻/VPN，還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業(yè)內部網之外。5.2 整體安全防護體系基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，采用一種整合型高可靠性安全防火墻。(1訪問控制實施企業(yè)網與外部、企業(yè)內部不同部門之間的隔離。其關鍵在于應支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應用協(xié)議以及用戶自定義協(xié)議等。(2普通授權與認證提供多種認證和授權方法,控制不同的信息源。(3內容安全對流入企業(yè)內部的網絡信息流實施內部檢查,包

50、括URL過濾等等。(4加密提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。(5網絡設備安全管理目前一個企業(yè)網絡可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網內不同部門和分公司之間可能亦會有由多級網絡設備隔離的小網絡。根據信息源的分布情況,有必要對不同網絡和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務器的安全管理。(6集中管理實施一個企業(yè)一種安全策略,實現(xiàn)集中管理、集中監(jiān)控等。(7提供記帳、報警功能實施移動方式的報警功能,包括E-mail、SNMP等。5.3 INTERNET和信息發(fā)布服務這種情況非常普遍，IS

51、P或ICP，企業(yè)的網頁，在INTERNET上提供息服務或提供數據庫服務等。任何一種想提供普遍服務或廣而告之的網絡行為，必須允許用戶能夠訪問到你提供服務的主機，都屬于這種情況。對訪問服務行業(yè)而言，訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方，也就是說，主機安全幾乎是唯一的保證。除非明確地知道 誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定，否則，訪問控制變得毫無意義。主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念，首先是要有一個安全的操作系統(tǒng)，建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個安全的主

52、機。然后是仔細的檢查你所提供的服務，如果不是你所必須提供的服務，建議除掉一切你所不需要的進程，對你的服務而言，它們都是你安全上的隱患。可以采用一些安全檢測或網絡掃描工具來確定你的服務器上到底有伸麼服務，以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規(guī)則，除了允許提供商愿意提供的服務之外，宣紙并拒絕所有未允許的服務，這是一個非常嚴格的措施。除了主機安全以外，如果還需要提高服務的安全性，就該考慮采用網絡實時監(jiān)控和交互式動態(tài)防火墻。網絡實時監(jiān)控系統(tǒng)，會自動捕捉網絡上所有的通信包，并對其進行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務商所允許的服務不同，交互式防

53、火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報警。網絡實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能，但成本相對偏高。5.4 INTERNET和內部網企業(yè)一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內部數據庫和網絡。企業(yè)當然沒有辦法去建立兩套網絡來滿足這種需求。防火墻的基本思想不是對每臺主機系統(tǒng)進行保護，而是讓所有對系統(tǒng)的訪問通過某一點，并且保護這一點，并盡可能地對受保護的內部網和不可信任的外界網絡之間建立一道屏障，它可以實施比較慣犯的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。根據企業(yè)內部網安全政策的不同，采取

54、防火墻的技術手段也有所不同。1、包過濾防火墻包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸的，信息包中包含發(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預先設定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網絡系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數據包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務；將安

55、全策略轉化為數據包分組字段的邏輯表達式；用相應的句法重寫邏輯表達式并設置之，包過濾防火墻主要是防止外來攻擊，或是限制內部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則，大體有：對付源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）對入侵者假冒內部主機，從外部傳輸一個源IP地址為內部網絡IP地址的數據包的這類攻擊，防火墻只需把來自外部端口的使用內部源地址的數據包統(tǒng)統(tǒng)丟棄掉。對付殘片攻擊（Tiny Fragment Attacks）入侵者使用TCP/IP數據包 分段特性，創(chuàng)建極小的分段并強行將TCP/IP頭信息分成多個數據包，以繞過用戶

56、防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（Fragment Offset）為1的數據包全部丟棄即可。包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。對于采用動態(tài)分配端口的服務，如很多RPC（遠程過程調用）服務相關聯(lián)的服務器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾。包過濾防火墻只按照規(guī)則丟棄數據包而不對其作日志，導致對過濾的IP地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議（如應用層）實現(xiàn)的安全攻擊的能力。2、代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務器象一臺客戶機一樣取回所需的信息再轉發(fā)給客戶。它將內部系統(tǒng)與外界隔離開來，從外面只能看到代理服務器而看不到任何內部資源。代理服務器只