局域網(wǎng)安全方案設(shè)計(jì)摘要隨著社會(huì)不斷發(fā)展，網(wǎng)絡(luò)在人類生活中發(fā)揮著越來越重要的作用。網(wǎng)絡(luò)不僅能夠拉近人與人之間的距離，也能夠更為有效地傳播數(shù)據(jù)，從而促進(jìn)了各行業(yè)的發(fā)展。局域網(wǎng)在不同地點(diǎn)管理下得到廣泛應(yīng)用，但安全性至關(guān)重要。企業(yè)局域網(wǎng)連接數(shù)以千計(jì)的信息點(diǎn)，為快速信息交換提供平臺(tái)，但需加強(qiáng)安全及防范功能。利用專線接入網(wǎng)絡(luò)和公共服務(wù)器，實(shí)現(xiàn)內(nèi)外溝通和信息發(fā)布。當(dāng)前局域網(wǎng)研究中存在的安全問題主要包括：口令安全不足、終端計(jì)算機(jī)防護(hù)不力、防范外部攻擊困難等。這些問題使局域網(wǎng)面臨各種安全威脅與風(fēng)險(xiǎn)，需要通過有效的安全技術(shù)和策略加以解決和防范。所以，需要在原來的LAN上實(shí)現(xiàn)一個(gè)完整的、可操作的安全方案。本文以A軍事機(jī)關(guān)部隊(duì)為實(shí)例，深入討論局域網(wǎng)安全面臨的挑戰(zhàn)，并結(jié)合實(shí)際情況，提出一種科學(xué)有效的防范措施，在對安全機(jī)制及相關(guān)技術(shù)分析的基礎(chǔ)上，確定該方案擬采用的相關(guān)安全技術(shù)：防病毒、主機(jī)管控、統(tǒng)一安全管理、信息加密、防火墻、入侵檢測等。本文的工作成果將為提高企業(yè)LAN的網(wǎng)絡(luò)安全性具有一定的借鑒意義。關(guān)鍵詞：網(wǎng)絡(luò)；管理；局域網(wǎng)；安全

目錄TOC\o"1-3"\h\u17095第1章緒論 I第1章緒論1.1研究背景及意義1.1.1研究背景隨著信息技術(shù)的發(fā)展與應(yīng)用，伴隨世界數(shù)字化的發(fā)展，愈來愈多的政府部門、企業(yè)和個(gè)人都開始接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)已經(jīng)變成日常工作、學(xué)業(yè)和生活非常重要的組成部分。近年來，由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，Internet的開放式、國際性和自由化使其在提高使用自由的時(shí)候，也為人類生活提供了更多的便利，使得人類能夠更加輕松地獲取信息，從而推動(dòng)社會(huì)的進(jìn)步和發(fā)展?；ヂ?lián)網(wǎng)技術(shù)的應(yīng)用給現(xiàn)代社會(huì)發(fā)展起到了重要的促進(jìn)作用，但是在實(shí)際運(yùn)行中由于多方面因素的影響，使得網(wǎng)絡(luò)運(yùn)行中常會(huì)出現(xiàn)安全防護(hù)問題，造成數(shù)據(jù)損壞或丟失，以此給企業(yè)帶來較大經(jīng)濟(jì)損失，甚至?xí)斐蓢?yán)重的后果。因此在局域網(wǎng)建設(shè)和運(yùn)行中，必須依賴于一定的安全防護(hù)對策，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)水平，以此確保信息防護(hù)安全，保障企事業(yè)單位工作正常運(yùn)轉(zhuǎn)。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，黑客、行業(yè)間諜、以及其他惡意分子等都能很容易地入侵并操控關(guān)鍵信息。計(jì)算機(jī)病毒、黑客攻擊和破壞事件層出不窮，已經(jīng)滲透到政府機(jī)關(guān)、軍隊(duì)、部門、商界、企業(yè)等方方面面，計(jì)算機(jī)黑客攻擊和入侵的手段變得越來越復(fù)雜，形式多樣，使得人們無法有效防范，嚴(yán)峻危及著我國的政界信息安全、軍隊(duì)信息安全和經(jīng)濟(jì)秩序。本文旨在深入探討當(dāng)前局域網(wǎng)所面臨的主要信息安全危險(xiǎn)，并從更深層次上分析局域網(wǎng)的安全防護(hù)措施。1.1.2研究意義由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)病毒的表現(xiàn)形式和途徑變得更加多樣，因此，局域網(wǎng)安全性已經(jīng)成為一個(gè)復(fù)雜的系統(tǒng)工程。為了有效防范局域網(wǎng)的安全問題，應(yīng)該引入現(xiàn)代化的技術(shù)設(shè)備，并對人員開展意識(shí)技術(shù)培訓(xùn)，以正確認(rèn)識(shí)局域網(wǎng)的薄弱性和潛在的安全隱患，構(gòu)建全方位、一體化的防御系統(tǒng)。為了提升網(wǎng)絡(luò)系統(tǒng)安全性和效率，需要不斷改進(jìn)系統(tǒng)和防御策略。針對每個(gè)用戶，每個(gè)用戶，一個(gè)文件服務(wù)器，一個(gè)Notes服務(wù)器，一個(gè)網(wǎng)關(guān)服務(wù)器，提供一個(gè)綜合的殺毒方案。通過安全事件管理系統(tǒng)，使用者可以實(shí)時(shí)監(jiān)控和處理各種信息安全事項(xiàng)，從而提高安全性。通過各個(gè)安全系統(tǒng)的協(xié)同，建立起某單位局域網(wǎng)比較完備的安全體系。1.2國內(nèi)外研究現(xiàn)狀劉宇隆等[1]認(rèn)為，隨著科技的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在個(gè)體、企業(yè)、學(xué)校、政府、軍隊(duì)等多個(gè)行業(yè)中得到了普遍的運(yùn)用，使得不同的行業(yè)之間能夠迅速、準(zhǔn)確地進(jìn)行數(shù)據(jù)交換，使得信息的流動(dòng)更加便利，其不僅僅是當(dāng)今社會(huì)的一個(gè)重要組成部分，而是一種普世價(jià)值。在歐美，許多企業(yè)已經(jīng)開始在局域網(wǎng)方面投入資源，并逐漸實(shí)現(xiàn)了這一目標(biāo)。宋晨媛[2]研究認(rèn)為，由于網(wǎng)絡(luò)和通訊技術(shù)的飛躍，這些企業(yè)現(xiàn)在已經(jīng)實(shí)現(xiàn)了辦公自動(dòng)化，并具備良好的寬帶和流量。許多企業(yè)都在使用他們的網(wǎng)站，作為與其他客戶的溝通渠道。此外，這些企業(yè)的網(wǎng)絡(luò)安全水平也相當(dāng)可觀。李章平[3]研究發(fā)現(xiàn)，近年來企業(yè)局域網(wǎng)技術(shù)取得了巨大進(jìn)步，與歐美發(fā)達(dá)國家的同類產(chǎn)品相比，技術(shù)仍然存在一些問題。其中最突出的是，技術(shù)水平較差，需要大量的人力投入才能實(shí)施。此外，信息系統(tǒng)也存在一定的缺陷，例如：每個(gè)部門都有自己的信息系統(tǒng)，導(dǎo)致數(shù)據(jù)孤島。Qashlan[4]研究認(rèn)為，由于當(dāng)今時(shí)代的變化，許多公司面臨著更高的需求，以滿足其日益復(fù)雜的管理需求。因此，在這種情況下，快速傳達(dá)管理信息和反饋信息變得尤為重要。Li[5]研究認(rèn)為，由于計(jì)算機(jī)網(wǎng)絡(luò)的高度普及，局域網(wǎng)作為一種日常工具，在許多公司中都有著重要的作用。Xu[6]研究認(rèn)為，由于其具備的高度的可擴(kuò)展性、可靠性和易于管理的特性，LAN已經(jīng)迅速地占據(jù)著計(jì)算機(jī)網(wǎng)絡(luò)的主導(dǎo)地位，并且被廣泛應(yīng)用于不同的行業(yè)，從而推動(dòng)著LAN普及和應(yīng)用。LAN普及，不僅極大地提高了人們的生產(chǎn)效率，而且還極大地改善了人們的工作環(huán)境，從而推動(dòng)著社會(huì)的進(jìn)步。Chen[7]研究認(rèn)為，隨著科學(xué)技術(shù)的飛速發(fā)展，LAN已經(jīng)迅速崛起，其已經(jīng)成為當(dāng)今世界上最具影響力的科學(xué)研究領(lǐng)域，眾多的LAN已經(jīng)被普遍采納，對于促進(jìn)全球經(jīng)濟(jì)的可持續(xù)增長起著重要作用。1.3研究內(nèi)容本文針對某單位的安全需求主要做了以下工作：（1）建立一個(gè)安全的訪問控制體系，提供身份認(rèn)證，基于角色的訪問控制，數(shù)據(jù)加密，審計(jì)等安全和保密的功能，以透明的訪問控制，獨(dú)立的應(yīng)用程序模塊化的方法，實(shí)現(xiàn)對應(yīng)用程序的訪問控制和數(shù)據(jù)加密。（2）建立了統(tǒng)一的認(rèn)證體系，高度集中的用戶管理系統(tǒng)，提供了統(tǒng)一的安全策略管理機(jī)制。（3）構(gòu)建一個(gè)網(wǎng)絡(luò)安全檢測與監(jiān)控系統(tǒng)，通過定期地對系統(tǒng)展開主動(dòng)模擬攻擊測試，對系統(tǒng)展開安全掃描，可以及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)中存在的潛在漏洞。（4）構(gòu)建了多層計(jì)算機(jī)病毒防護(hù)體系，即客戶端的防病毒系統(tǒng)和服務(wù)器的防病毒系統(tǒng)，以體現(xiàn)全面防病毒、集中管理的網(wǎng)絡(luò)防病毒思想。（5）建立了安全事件管理系統(tǒng)，通過對所有安全事件的實(shí)時(shí)分析，能夠及時(shí)找出真正的安全風(fēng)險(xiǎn)，實(shí)現(xiàn)了對網(wǎng)絡(luò)安全事件的集中管理。通過各個(gè)安全系統(tǒng)的協(xié)同，建立起了某單位局域網(wǎng)的安全體系。1.4論文組織結(jié)構(gòu)本文以A軍事機(jī)關(guān)部隊(duì)為例，探討了無線局域網(wǎng)安全面臨的挑戰(zhàn)，并結(jié)合實(shí)際情況，提出了科學(xué)有效的防范措施，以確保安全的高效運(yùn)行。第一章為緒論，主要從研究背景、目的、研究內(nèi)容及研究思路進(jìn)行闡述；第二章為相關(guān)理論概述，包括網(wǎng)絡(luò)安全相關(guān)概念、網(wǎng)絡(luò)安全的特點(diǎn)、局域網(wǎng)相關(guān)概念、局域網(wǎng)面臨的主要威脅四個(gè)方面內(nèi)容；第三章為局域網(wǎng)的安全威脅與風(fēng)險(xiǎn)分析，主要從局域網(wǎng)內(nèi)部安全和防止非法外部攻擊的措施、局域網(wǎng)系統(tǒng)的控制和破壞問題等方面進(jìn)行分析；第四章以某單位為例，分析了其局域網(wǎng)的安全設(shè)計(jì)方案，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、總體設(shè)計(jì)原則、安全技術(shù)選擇原則、系統(tǒng)總體安全設(shè)計(jì)等內(nèi)容。第五章是全文的結(jié)論和展望，在這一章中，首先對全文所做的工作做了一個(gè)概括性的總結(jié)，然后對今后LAN安全方案設(shè)計(jì)的發(fā)展方向做了簡要的評述。

第2章相關(guān)理論概述2.1網(wǎng)絡(luò)安全概念及特點(diǎn)網(wǎng)絡(luò)安全是一種保護(hù)網(wǎng)絡(luò)的安全措施，旨在保證網(wǎng)絡(luò)的安全、完善、使用、有效控制和可審計(jì)性。其要求系統(tǒng)的硬件、軟件和數(shù)據(jù)必須經(jīng)過嚴(yán)格的安全檢查，以保證其不受外部攻擊或惡意破壞，并保證系統(tǒng)的連續(xù)可靠性和正常運(yùn)行?；ヂ?lián)網(wǎng)不是絕對的，而是相應(yīng)的，其安全性高度取決于所面對的信息安全問題、安全保護(hù)手段的數(shù)量以及投入的時(shí)間和資金。網(wǎng)絡(luò)安全不單純是一種技術(shù)，其涉及到管理、意識(shí)和法律等多個(gè)方面。防黑客產(chǎn)品不能完全抵御病毒的侵害，因?yàn)椴煌陌踩?jí)別會(huì)帶來不同的風(fēng)險(xiǎn)，因此，僅僅依靠單一的網(wǎng)絡(luò)安全產(chǎn)品是不夠的。今天的安全性可能不會(huì)永遠(yuǎn)保持，但是隨著黑客技術(shù)的進(jìn)步，原本被忽略的漏洞也會(huì)被發(fā)現(xiàn)，因此，對黑客行為模式的深入分析、及時(shí)跟蹤和維護(hù)支持顯得尤為重要。顯而易見，安全保護(hù)越高，便捷性就越低，因此，必須在安全性和便捷性之間取得平衡，通過結(jié)合多種技術(shù)控制手段和管理措施來實(shí)現(xiàn)這一目標(biāo)。網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)，其不僅要求用戶對網(wǎng)絡(luò)安全工具和設(shè)備的運(yùn)行情況有所了解，還要求用戶能夠準(zhǔn)確地預(yù)測黑客的攻擊，以及系統(tǒng)受到的傷害，以及可能帶來的新的安全風(fēng)險(xiǎn)，這些都是用戶無法掌控的。2.3局域網(wǎng)相關(guān)概念局域網(wǎng)是一種由多臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)，其可以是一個(gè)教室、建筑物或公司等，而且這些計(jì)算機(jī)的數(shù)量可以是固定的，有兩臺(tái)也可以是多臺(tái)。局域網(wǎng)之間的連接可以是互聯(lián)網(wǎng)，也可以是通過其他方式實(shí)現(xiàn)的。在實(shí)際工作中，局域網(wǎng)可以用來管理文件、共享打印機(jī)等。局域網(wǎng)可以幫助更好地完成各種任務(wù)。未來網(wǎng)絡(luò)的架構(gòu)將會(huì)整合一系列的服務(wù)器軟件、客戶端軟件、防火墻、開發(fā)工具和更新工具等等，為公司從傳統(tǒng)模式轉(zhuǎn)向網(wǎng)絡(luò)化提供了全方位的支持方案。同時(shí)，它也將構(gòu)建起更加穩(wěn)固的安全防護(hù)系統(tǒng)，并成為一個(gè)可靈活集成的信息交流中心，能夠?qū)崟r(shí)引入新功能。2.3.1局域網(wǎng)的定義簡單地理解，互聯(lián)網(wǎng)是由眾多互聯(lián)且各自獨(dú)立運(yùn)行的電腦系統(tǒng)構(gòu)成的集群，這些電腦系統(tǒng)通過有線或者無線的線路相連，從而實(shí)現(xiàn)資源共享。每個(gè)電腦都具有獨(dú)立性和自我管理能力，彼此間并無主次之分。根據(jù)地理分布情況，可以把這種網(wǎng)絡(luò)劃分為本地網(wǎng)絡(luò)（LAN）、城市級(jí)網(wǎng)絡(luò)（MAN）與全球網(wǎng)絡(luò)（WAN）三種類型。網(wǎng)絡(luò)的大小及其涵蓋的地域范圍對網(wǎng)絡(luò)類型的劃分起著關(guān)鍵性的作用，這是因?yàn)楦黝惥W(wǎng)絡(luò)會(huì)采取相應(yīng)的技術(shù)手段來應(yīng)對。目前來看，基于本地網(wǎng)絡(luò)的特點(diǎn)，它已經(jīng)被普遍用于企業(yè)和個(gè)人電腦系統(tǒng)的組建中。本地網(wǎng)絡(luò)是一種通訊網(wǎng)絡(luò)，只具備信息傳遞的能力。因此，如果要構(gòu)建由本地網(wǎng)絡(luò)支持的信息交流環(huán)境，就必須要添加高級(jí)別的協(xié)議和網(wǎng)絡(luò)軟件才行。本地網(wǎng)絡(luò)主要負(fù)責(zé)處理來自各個(gè)電腦系統(tǒng)如PC、工作站、服務(wù)器等大型、小型計(jì)算機(jī)，以及終端設(shè)備和各種外部硬件的問題，但受限于它的傳輸距離較短，只能在一個(gè)相對小的區(qū)域內(nèi)發(fā)揮作用；同時(shí)，它的數(shù)據(jù)傳輸速度快，延遲時(shí)間少，出錯(cuò)概率低，成本也較為經(jīng)濟(jì)實(shí)惠，通常屬于某個(gè)特定機(jī)構(gòu)所有。2.3.2口令安全重要性盡管許多人已經(jīng)意識(shí)到口令安全的必要性，我們?nèi)孕鑿?qiáng)調(diào)：選擇更長的口令長度而非簡單的易于破解的密碼；不同系統(tǒng)應(yīng)采用不同的口令；推薦使用包含大寫和小寫字母及數(shù)字且無固定模式的密碼；并且需要定時(shí)更新所有系統(tǒng)的口令。此外，建議私人賬戶密碼與其工作中所用的密碼有所區(qū)別。在開放式網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)加密和用戶認(rèn)證訪問的技術(shù)應(yīng)用較為靈活，能帶來優(yōu)秀的安全管理效果。對于數(shù)據(jù)加密來說，它主要針對的是動(dòng)態(tài)數(shù)據(jù)的防護(hù)，包括主動(dòng)和被動(dòng)攻擊方式。其中，主動(dòng)攻擊難以完全預(yù)防，但是可以通過有效的監(jiān)測來應(yīng)對；而被動(dòng)攻擊則很難發(fā)現(xiàn)，但卻可防止發(fā)生。因此，為了應(yīng)對這兩種類型的攻擊，關(guān)鍵在于利用數(shù)據(jù)加密技術(shù)。至于用戶認(rèn)證部分，我們可以通過限制用戶訪問特定文件、目錄或其他資源的能力，以增強(qiáng)我們的監(jiān)控和管理效率。借助數(shù)據(jù)加密和用戶認(rèn)證功能，我們可以在實(shí)質(zhì)上提升整體網(wǎng)絡(luò)的安全水平。2.3.3終端計(jì)算機(jī)防護(hù)通常情況下，為了保護(hù)個(gè)人電腦免受病毒侵害，我們必須在其設(shè)備中安裝防病毒程序。此種軟件的基本功能包括實(shí)時(shí)的安全防御，快速的數(shù)據(jù)庫更新，并且對系統(tǒng)資源的影響盡可能地減少。大多數(shù)用戶選擇使用微軟公司的Windows系列作為他們的操作系統(tǒng)。然而，他們可能會(huì)因?yàn)椴恍⌒南螺d并安裝了一些如"牛皮癬"般的各種附加組件而受到困擾。這些額外的組件會(huì)消耗大量系統(tǒng)的資源及窗體空間，導(dǎo)致啟動(dòng)時(shí)間變慢，甚至可能引發(fā)未知的錯(cuò)誤。此外，需要注意的是，應(yīng)定期為系統(tǒng)打好補(bǔ)丁。定期進(jìn)行關(guān)鍵數(shù)據(jù)備份是極其必要的。一方面，硬盤數(shù)據(jù)恢復(fù)的費(fèi)用通常會(huì)超過購買硬盤的成本，而且可能無法完全恢復(fù)；另一方面，如果誤操作導(dǎo)致重要數(shù)據(jù)被刪除，此時(shí)備份的價(jià)值就顯現(xiàn)出來了。2.3.4防范外部攻擊現(xiàn)階段，電腦網(wǎng)路系統(tǒng)的主要安全隱患主要來自于抵制服務(wù)的DOS攻勢及計(jì)算器病菌侵害[1]。通常來說，這種感染是由公司內(nèi)工作人員對于疾病擴(kuò)散途徑的不理解所導(dǎo)致的；而疾病的散播路徑也相當(dāng)多樣化：包括通過互聯(lián)網(wǎng)或?qū)嶓w媒介等方式[2]。為了消除這些危險(xiǎn)因素并有效防范它們帶來的影響，我們需要先深入研究它們的本質(zhì)與潛在風(fēng)險(xiǎn)——這有助于提高我們的警惕性和預(yù)防措施水平。因此，我們要時(shí)刻保持高度的安全感以應(yīng)對可能出現(xiàn)的任何問題，例如定期更新的防病毒軟體應(yīng)用程序可以確保及時(shí)發(fā)現(xiàn)新出現(xiàn)的風(fēng)險(xiǎn)源，避免使用未知來源的數(shù)據(jù)文檔并在執(zhí)行之前對其加密處理也是有效的防御策略之一。此外，限制數(shù)據(jù)分享的方式也有助于降低被傳染的可能性，比如設(shè)置訪問許可規(guī)則并對重要資料添加保護(hù)機(jī)制等等都是行之有效的手段。為確保網(wǎng)絡(luò)的安全性，我們可以在以下幾項(xiàng)中采取行動(dòng)：首先，我們可以引入非法闖入檢測系統(tǒng)來增強(qiáng)防火墻的功能，從而實(shí)現(xiàn)實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)狀況、實(shí)施緊急阻斷措施以及解析與過濾數(shù)據(jù)包及內(nèi)容等功能；其次，當(dāng)我們遭遇黑客攻擊時(shí)，該系統(tǒng)能迅速停止服務(wù)，以此有效防范公司敏感信息的泄露風(fēng)險(xiǎn)。此外，我們也應(yīng)該控制非授權(quán)用戶對于網(wǎng)絡(luò)的使用，明確工作站IP地址可訪問本地區(qū)域內(nèi)網(wǎng)絡(luò)設(shè)備的權(quán)利范圍，避免外部對網(wǎng)絡(luò)設(shè)備設(shè)置的篡改行為。最終，管理員需要定期去相關(guān)站點(diǎn)獲取最新的更新文件，用于網(wǎng)絡(luò)的管理和維護(hù)，并且要持續(xù)檢查全局網(wǎng)絡(luò)環(huán)境，找出潛在的安全隱患并在第一時(shí)間修復(fù)，這樣才能夠防患于未然。為確保公司內(nèi)部網(wǎng)絡(luò)安全，我們需要定期保存關(guān)鍵信息，以免因各類軟件或硬件問題、惡意攻擊或者黑客入侵等因素造成系統(tǒng)的癱瘓從而帶來巨大經(jīng)濟(jì)損失。對于數(shù)據(jù)保全而言，挑選一款具備強(qiáng)大功能且操作便捷的數(shù)據(jù)備份工具至關(guān)重要?，F(xiàn)階段市場上的備份軟件種類繁多，能夠全方位保障數(shù)據(jù)的安全性。

第3章局域網(wǎng)的安全威脅與風(fēng)險(xiǎn)分析3.1局域網(wǎng)安全挑戰(zhàn)與應(yīng)對策略局域網(wǎng)面臨著諸多安全挑戰(zhàn)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施缺失、移動(dòng)設(shè)備管理不當(dāng)、系統(tǒng)漏洞被利用、網(wǎng)絡(luò)病毒傳播等問題，可能導(dǎo)致數(shù)據(jù)泄露和系統(tǒng)癱瘓。必須加強(qiáng)對移動(dòng)設(shè)備的管理、系統(tǒng)漏洞的修復(fù)和用戶安全意識(shí)的培養(yǎng)，以確保局域網(wǎng)的安全穩(wěn)定運(yùn)行。1、在日常生活中，局域網(wǎng)信息安全面臨著嚴(yán)峻挑戰(zhàn)。由于網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施通常被放置在互聯(lián)網(wǎng)邊境，缺少必需的內(nèi)部攔截，加上網(wǎng)絡(luò)安全要求驗(yàn)證等級(jí)較低，國內(nèi)傳輸通常以明文的方式完成，這就為非法份子創(chuàng)造了可乘之機(jī)，進(jìn)而給局域網(wǎng)造成了巨大的威脅。不當(dāng)使用移動(dòng)設(shè)備，如優(yōu)盤，可能會(huì)導(dǎo)致計(jì)算機(jī)問題。有些企業(yè)內(nèi)部員工會(huì)將敏感資料拷貝到移動(dòng)存儲(chǔ)裝置中，這些資料如果被插入互聯(lián)網(wǎng)，就可能會(huì)被間接竊取。因此，必須加強(qiáng)對移動(dòng)設(shè)備的管理，避免這種情況的發(fā)生。2、盡管用戶已經(jīng)設(shè)置了密碼和口令來保護(hù)自己，但是入侵者仍然可能會(huì)利用這些漏洞來攻擊系統(tǒng)。他們會(huì)使用網(wǎng)絡(luò)黑客的方法，找到系統(tǒng)內(nèi)部的漏洞和管理問題，并通過這些漏洞進(jìn)行攻擊，對計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)構(gòu)成嚴(yán)重破壞，可能會(huì)黑掉用戶的全部網(wǎng)站。雖然網(wǎng)絡(luò)病毒自身的活力較弱，但其傳播速度極快，而且具有極強(qiáng)的附著力，可以不斷擴(kuò)散，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)險(xiǎn)的產(chǎn)生。特別是在局域網(wǎng)中，由于地址沖突，病毒傳播速度極快，安全性能極低，從而使得網(wǎng)絡(luò)系統(tǒng)內(nèi)部計(jì)算機(jī)之間相互病毒感染，最終導(dǎo)致數(shù)據(jù)的丟失。3、隨著第三方企業(yè)開發(fā)的普及，許多企業(yè)的經(jīng)營信息系統(tǒng)受到了嚴(yán)重的威脅。如果局域網(wǎng)內(nèi)部用戶沒有意識(shí)，就有可能出現(xiàn)未經(jīng)授權(quán)就允許開發(fā)人員連接局域網(wǎng)的情況，這將導(dǎo)致病毒的傳播和惡意破壞，從而導(dǎo)致巨大的網(wǎng)絡(luò)攻擊和信息泄露等后果。許多局域網(wǎng)管理人員對局域網(wǎng)的認(rèn)識(shí)存在誤區(qū)，他們沒有全面的考慮，沒有跟蹤整改的意識(shí)，甚至對局域網(wǎng)意識(shí)不夠強(qiáng)烈，缺少應(yīng)有的信息安全技術(shù)培訓(xùn)，導(dǎo)致公司出現(xiàn)大規(guī)模的網(wǎng)絡(luò)安全事件，遭受巨大的損失。3.2網(wǎng)絡(luò)安全技術(shù)簡介3.2.1防火墻技術(shù)作為一種網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，網(wǎng)絡(luò)安全防火墻能夠有效地阻斷內(nèi)部信息泄漏和外來侵入，并且能夠?qū)崿F(xiàn)對互聯(lián)網(wǎng)資源的使用監(jiān)控，包括審核、監(jiān)督等功能，從而有效地維護(hù)國內(nèi)互聯(lián)網(wǎng)資源，確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全防火墻的主要作用是保護(hù)網(wǎng)絡(luò)免受外部攻擊，其能夠有效地區(qū)分外界網(wǎng)絡(luò)用戶的身份，同時(shí)，還會(huì)針對用戶的不同訪問需求，制定出不同的訪問規(guī)則，賦予不同的權(quán)限，防止不正當(dāng)?shù)挠脩羧肭帧Ｒ獙?shí)現(xiàn)對用戶的訪問控制，就需要對用戶的IP地址進(jìn)行認(rèn)證；其次，要有對連接導(dǎo)向的消息，例如FTP，UDP，TFTP，realaudio，RPC，端口繪圖器等；最后，您必須為非聯(lián)網(wǎng)的通信提供支持，如udp；此外，必須限制客戶對網(wǎng)絡(luò)信息的瀏覽范圍、瀏覽方式和時(shí)間，并加以監(jiān)管；最后，必須能夠支援某些很復(fù)雜的應(yīng)用技術(shù)，如多線程訪問，以及多種網(wǎng)絡(luò)服務(wù)的交互，以實(shí)現(xiàn)更加高效的網(wǎng)絡(luò)訪問控制。通過采用特定的算法，如EncaPsulatedTCP/p，能夠有效地監(jiān)控和過濾數(shù)據(jù)包。通過采用網(wǎng)絡(luò)地址翻譯高新技術(shù)，能夠高效地阻止國外駭客使用IP檢測高新技術(shù)找到國內(nèi)網(wǎng)絡(luò)組織和服務(wù)器實(shí)際位置，進(jìn)而為各種網(wǎng)絡(luò)攻擊提出高效的保障。該高新技術(shù)能夠使IP數(shù)據(jù)信息包的源位置、目的位置及其TCP或UDP的端口號(hào)在出現(xiàn)內(nèi)部網(wǎng)時(shí)發(fā)生變化，進(jìn)而高效地阻止外來攻擊者對內(nèi)部網(wǎng)絡(luò)的破壞。為了確保系統(tǒng)安全，應(yīng)該在網(wǎng)絡(luò)與外部接口之間實(shí)現(xiàn)數(shù)據(jù)包的地址翻譯。檢查可疑互聯(lián)網(wǎng)活動(dòng)的方法之一是使用ActiveX、Java、JavaScript和VBScript等軟件來訪問WEB網(wǎng)頁，并檢查電子郵件附件和帶有宏的Office文檔。上述軟件中可能會(huì)含有計(jì)算機(jī)病毒和黑客工具，因此有著潛在的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全管理應(yīng)當(dāng)可以有效地監(jiān)測和分離可疑目標(biāo)，包含使用SSL協(xié)議或加密傳輸?shù)?，以確保安全，并建立安全資源區(qū)域，以確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性。當(dāng)前，網(wǎng)絡(luò)安全防火墻技術(shù)可以分為多種類型：包過濾技術(shù)、應(yīng)用層網(wǎng)關(guān)、申路層網(wǎng)關(guān)、狀態(tài)監(jiān)測和自適應(yīng)代理。其中，包過濾技術(shù)是最基礎(chǔ)的防火墻技術(shù)，其可以檢查數(shù)據(jù)流中每一條數(shù)據(jù)信息包的源位置、目的位置、所用接口、協(xié)商狀況等信息，并將這些信息組合起來，以確定是否允許該數(shù)據(jù)信息包通過。如果在這次測試中包被失敗，其將被丟棄，因?yàn)槠渲皇呛唵蔚貦z驗(yàn)特定連接的合法性，而不會(huì)對整個(gè)內(nèi)部網(wǎng)絡(luò)造成任何威脅，從而使其更容易受到攻擊。借助使用級(jí)代理服務(wù)器防火墻技術(shù)方法，能夠?qū)崿F(xiàn)領(lǐng)先的信息安全控制，其能夠在協(xié)議棧的最高層（使用層）檢測每一條包，并且能夠給出充足的應(yīng)用級(jí)網(wǎng)絡(luò)連接數(shù)據(jù)，從而導(dǎo)致安全策略更加容易實(shí)施。此外，使用級(jí)代理服務(wù)器防火墻技術(shù)還擁有良好的能見度，有助于清晰地查看每一條網(wǎng)絡(luò)連接的詳情，從而更好地保護(hù)系統(tǒng)的信息安全。其還擁有強(qiáng)大的內(nèi)建代理服務(wù)器能力，即可在代理防火墻外結(jié)束用戶網(wǎng)絡(luò)連接，并將新網(wǎng)絡(luò)連接初始化到受維護(hù)的內(nèi)層網(wǎng)絡(luò)系統(tǒng)。這樣一來，對內(nèi)和外部系統(tǒng)就能夠完全隔離，從外界只能看見代表主機(jī)，而不能看見所有內(nèi)在數(shù)據(jù)，也只容許被代表的業(yè)務(wù)使用。由于代理服務(wù)的可靠性較高，能夠有效地過濾各種協(xié)議，因此被看作是最安全可靠的防火墻技術(shù)。然而，其也存在一定的缺陷，即不能完全透明地支持各種業(yè)務(wù)和使用，一種代理商只能進(jìn)行一種業(yè)務(wù)，這導(dǎo)致外界駭客很難檢測到防火墻內(nèi)部系統(tǒng)的情況。由于必須耗費(fèi)巨大的CPU資金，因此性能會(huì)相對較低。電路級(jí)網(wǎng)關(guān)可以有效地監(jiān)控兩臺(tái)計(jì)算機(jī)之間的握手信息，以確定會(huì)話要求是否是合理。其能夠?qū)P層中的各種高級(jí)會(huì)話進(jìn)行代理，同時(shí)還具有隱藏內(nèi)網(wǎng)信息的功能，使數(shù)據(jù)的傳輸更為透明，為用戶提供了更好的服務(wù)。這個(gè)系統(tǒng)的一個(gè)安全特性就是決定哪個(gè)連接可以被允許。不像包過濾器類型的防火墻，IP直接訪問是不可能的。SOCKS是最新一代的自適應(yīng)防火墻設(shè)計(jì)，其將前幾代網(wǎng)絡(luò)安全防火墻的優(yōu)勢整合到一個(gè)完整的系統(tǒng)中，使其弱點(diǎn)得到最大程度的減少。其基本安全檢測仍然在應(yīng)用層完成，但如果安全性檢測代理確定了會(huì)話的全部環(huán)節(jié)，那么接下來的數(shù)據(jù)包就能夠直接經(jīng)過更快的網(wǎng)絡(luò)層完成傳輸。而且，使用新的自適應(yīng)代理方式，“粒度”能夠被防火墻用戶選擇，使得自適應(yīng)代理防火墻與標(biāo)準(zhǔn)代理防火墻在完全性和性能上有了顯著提升，而且比狀態(tài)包檢測更加迅速、準(zhǔn)確。從而使防火墻能夠準(zhǔn)確地了解不同的環(huán)境下的危險(xiǎn)等級(jí)。在作出這個(gè)決策后，"適應(yīng)"傳送流就會(huì)自動(dòng)運(yùn)行，以保證最好的安全性，使符合這一規(guī)則的所有連接都能得到最好的安全性。3.2.2VPN技術(shù)VPN（VirtualPrivateNetwork）是一項(xiàng)使用公有互聯(lián)網(wǎng)為顧客提供專業(yè)網(wǎng)絡(luò)服務(wù)的信息技術(shù)。其具有兩個(gè)層面：一是虛擬網(wǎng)絡(luò)，即不是穩(wěn)定的物理網(wǎng)絡(luò)連接，只能在滿足用戶需求時(shí)才能實(shí)現(xiàn)；二是使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)成的專業(yè)網(wǎng)絡(luò)系統(tǒng)，以滿足用戶的特殊需求。VPN信息技術(shù)的核心在于安全隧道，其透過加密管理或認(rèn)證客戶端應(yīng)用信息，將其包裝到PDU中，而后透過外部方式傳輸?shù)綄Φ葘?shí)體，最終提供給上層使用。此外，vpn還包含加解密方法、SK管理方法和認(rèn)證方法，以確保使用者的安全性。當(dāng)前，點(diǎn)對點(diǎn)隧道技術(shù)已成為最常用的隧道技術(shù)之一，并受到廣泛應(yīng)用。點(diǎn)到點(diǎn)傳輸協(xié)議（PPTP），鏈路層通道技術(shù)，以及IP安全協(xié)議。PPTP技術(shù)可以增加IP，IPX，或NetBEUI信息的流量，并且把其打包成一個(gè)IP報(bào)頭，使企業(yè)的IP網(wǎng)系統(tǒng)與公共的互聯(lián)網(wǎng)系統(tǒng)能夠相互傳遞。L2TP協(xié)定容許對IP、IPX、NetBEUI等資料進(jìn)行加密，并透過任何支援點(diǎn)對點(diǎn)資料包傳送的網(wǎng)路傳送，例如IP、X.25、幀轉(zhuǎn)送或ATM等。雖然L2TP提供了一種身份認(rèn)證與加密的方法，但是這種方法并不能完全滿足VPN對網(wǎng)絡(luò)安全性的要求。因此，IPSec（IPSecurity）技術(shù)應(yīng)運(yùn)而生，其可以對IP負(fù)載信息予以加密管理，并將其密封在IP包頭中，透過公司IP雙絡(luò)或公用IP互聯(lián)網(wǎng)絡(luò)，如Internet，實(shí)現(xiàn)安全傳輸。IETF設(shè)計(jì)的IPSec是一套全面的安保技術(shù)標(biāo)準(zhǔn)，其將多種安全措施有機(jī)結(jié)合，構(gòu)建出一套完整的體系，以保證傳輸?shù)男畔踩?、私密性和保密性。IPSec包括AuthenticationHeader協(xié)議和ESP（EncapsulatedSecurityPayload），其能夠有效地加強(qiáng)數(shù)據(jù)安全，保障用戶的隱私權(quán)，并保證信息的完善和信息安全。IPSec是一種重要的安全協(xié)議，其封裝安全有效載荷的協(xié)定和因特網(wǎng)SK交換協(xié)議（InternetKeyExchangeProtoco1.IKE協(xié)議）組成，其中安全聯(lián)盟（SecurityAssociation）是一種重要的安全機(jī)制，能夠有效地保障網(wǎng)絡(luò)安全。簡稱SA）。SA是一項(xiàng)由二個(gè)通訊實(shí)體聯(lián)合磋商達(dá)成的條約，其確定了IPSec協(xié)議約定、轉(zhuǎn)碼方法及其密鑰的有效性產(chǎn)生日期等，以確保數(shù)據(jù)信息包的安全性。SA由安全參數(shù)索引（SPI）、IP目的ip地址和安全性協(xié)定（AH或ESP）三部門組成，每一部分都是獨(dú)立的。每個(gè)IPSec方案均會(huì)建立一套SA數(shù)據(jù)庫，其可以用來保護(hù)IPSeo協(xié)議，并記載所有數(shù)據(jù)包的安全信息。SA是一種單向的數(shù)據(jù)庫系統(tǒng)，每個(gè)協(xié)議都有一組SA，而多個(gè)SA可以組成一套完整的SA束。SA記錄將包含多種信息，如協(xié)議、SPI、目的位置、序列號(hào)、存在期、方向、模式、初始化向量、加密算法和SK或者驗(yàn)證計(jì)算和SK等，以確保資料數(shù)據(jù)信息安全性。用戶或系統(tǒng)管理員應(yīng)該建立一個(gè)安全策略數(shù)據(jù)庫（SPD），以便更好地識(shí)別和評估包的安全性，并在入侵和外出過程中，根據(jù)SPD的信息，確定何種安全性業(yè)務(wù)可以提交給該包。發(fā)送方需要確保每個(gè)SPD元組都指向SADE，否則將會(huì)創(chuàng)建新的SA或SA束。接收方也需要確保找到合適的SA，否則將會(huì)放棄該包。如果找到了合適的SA，應(yīng)當(dāng)對其進(jìn)行安全處理，并且最終還需要查找SPD，以ACK采取的策略是否正確。IPSec是一種安全架構(gòu)，主要由三個(gè)基本協(xié)定組成：AH協(xié)定用于檢驗(yàn)IP包的消息源安全性，ESP協(xié)定進(jìn)行加密保護(hù)，IKE或SKIP協(xié)定用于管理雙方交流時(shí)的安全信息。其不僅僅是一個(gè)協(xié)定，而是一個(gè)綜合性的安全架構(gòu)。ESP和AH協(xié)議都給出了一組支持文檔，用于密碼和確認(rèn)。此外，解釋域（DOI）使用一組指令、方法和參數(shù)來鏈接全部的IPSec組文件。由于IPSec的存在，VPN的安全性得到了顯著提高，使得VPN成為了許多公司的首選。由于VPN技術(shù)的實(shí)現(xiàn)主要是依靠加密和隧道通信，因此可以保證信息的安全和保密的傳輸。由于VPN產(chǎn)品一方面可以滿足用戶對安全、穩(wěn)定、保密傳輸信息的要求；另一方面VPN產(chǎn)品的采購成本僅相當(dāng)于專網(wǎng)傳輸?shù)?0%，能夠大大節(jié)省網(wǎng)絡(luò)系統(tǒng)的成本；同時(shí)，VPN網(wǎng)絡(luò)平臺(tái)的擴(kuò)展性好。因此，考慮在入口處部署一臺(tái)VPN加密網(wǎng)關(guān)以及VPN認(rèn)證服務(wù)器，由專用的VPN設(shè)備負(fù)責(zé)敏感信息的加密、傳輸?shù)热蝿?wù)。3.2.3入侵檢測技術(shù)在實(shí)現(xiàn)安全模型中，入侵檢測系統(tǒng)（IDS-IntrusionSystem）屬于檢測環(huán)節(jié)，其可以在防護(hù)環(huán)節(jié)不能阻止入侵事件的時(shí)候，將入侵事件及時(shí)地檢測出來，并向其發(fā)出預(yù)警，其能夠協(xié)助系統(tǒng)管理者及時(shí)地處理入侵警報(bào)，最大限度地降低入侵對系統(tǒng)造成的損害。網(wǎng)絡(luò)安全入侵檢測系統(tǒng)置于要求防護(hù)敏感數(shù)據(jù)信息的網(wǎng)絡(luò)系統(tǒng)上，其能夠?qū)崟r(shí)監(jiān)測互聯(lián)網(wǎng)數(shù)據(jù)流，發(fā)現(xiàn)違規(guī)行為和未批準(zhǔn)瀏覽，并采用必需的措施，如實(shí)時(shí)報(bào)警、事件登記或?qū)嵤┯脩糇远ǖ陌踩源胧?。此外，該網(wǎng)絡(luò)系統(tǒng)還能夠布置在網(wǎng)絡(luò)系統(tǒng)中有信息安全問題的地區(qū)，如局域網(wǎng)出入口，以便更好地保障網(wǎng)絡(luò)安全。為了有效地防護(hù)重要區(qū)域，應(yīng)該在各個(gè)要求防護(hù)的地區(qū)配置一組網(wǎng)絡(luò)監(jiān)測信息系統(tǒng)（管理器+監(jiān)測引擎），或者在整個(gè)網(wǎng)絡(luò)系統(tǒng)中采用一組信息管理器，以便實(shí)現(xiàn)集中式控制。此外，還能夠在企業(yè)內(nèi)部應(yīng)用網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵網(wǎng)段上，安裝一臺(tái)網(wǎng)絡(luò)探測發(fā)動(dòng)機(jī)，實(shí)時(shí)監(jiān)測和記載該網(wǎng)段上的各種動(dòng)作，從而有效地防止非法活動(dòng)和惡意攻擊。網(wǎng)絡(luò)監(jiān)視器能夠清晰地展示出動(dòng)作的全過程，從而有助于安全管理者及早發(fā)現(xiàn)網(wǎng)絡(luò)安全的潛在風(fēng)險(xiǎn)。3.2.4訪問控制技術(shù)訪問控制是一種對主體和客體之間的權(quán)限和能力的有效管理，其旨在限定主體進(jìn)駐物理范圍，并且限定客體使用計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)和儲(chǔ)存數(shù)據(jù)信息，以確保數(shù)據(jù)信息的安全性和可靠性。接入管理是一種有效的防御策略，旨在阻止非法使用和瀏覽互聯(lián)網(wǎng)，以確保網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。其不僅可以有效地防止越權(quán)行為，而且還能夠有效地保護(hù)網(wǎng)絡(luò)信息，從而確保網(wǎng)絡(luò)安全。安全措施之間需要協(xié)調(diào)配合，才能真正地發(fā)揮作用。訪問控制是確保網(wǎng)絡(luò)安全的關(guān)鍵因素之中。其旨在確保信息系統(tǒng)的合法使用，任何使用者都應(yīng)當(dāng)按照自身的權(quán)利來存取系統(tǒng)資源，禁止越權(quán)存取。訪問控制可以按照其方法的不同而分為三類：自主控制（DAC）、強(qiáng)制控制（MAC）和基于角色的監(jiān)控（RBAC）。三種。限制自由存取，也就是自由存取限制。（DiscretionaryAccessControl，DAC）是根據(jù)主體身份對客體訪問進(jìn)行限制的一種方法。DAC容許使用者在操作系統(tǒng)中自由定義誰能夠存取和使用信息實(shí)體，這些自由訪問控制能夠通過目錄表、存取控制列表、矩陣等多種方式實(shí)現(xiàn)，從而提高操作系統(tǒng)的安全性和可靠性。能力表等來具體實(shí)施。在基于DAC的系統(tǒng)中，主體擁有者對訪問控制有一定權(quán)利，但這種權(quán)利會(huì)隨信息的移動(dòng)而改變。如果用戶A將其使用客體O的權(quán)限授予了B，這樣的話B就能夠使用O，但是這么做會(huì)導(dǎo)致網(wǎng)絡(luò)安全現(xiàn)象的發(fā)生，所以，主動(dòng)使用控制的安全系數(shù)非常低。強(qiáng)制訪問管理是一種有效的安全性管理方式，主要根據(jù)對象中信息的敏感性標(biāo)簽和訪問者的等級(jí)，對顧客的來訪活動(dòng)加以限制，以確保其安全性。在強(qiáng)制訪問控制中，使用者的權(quán)利和對象的安全屬性都是穩(wěn)定的，操作系統(tǒng)會(huì)根據(jù)使用者的情況確定是否允許使用，除了系統(tǒng)管理員以外，所有主體和客體都不會(huì)更改其的安全屬性，以確保對象的安全性和可靠性。通過對比主體和客體的安全性特征，可以確定主體是否能夠按照其期望的方式使用一個(gè)對象?！敖巧笔且粋€(gè)通過角色的訪問管理，其將使用者的存取權(quán)力頒發(fā)給特定的其他角色，以確保組織內(nèi)的安全性和有效性。這些其他角色可以是醫(yī)院里的醫(yī)生、護(hù)士、藥劑師等，他們在組織內(nèi)可以執(zhí)行的操作也可以被批準(zhǔn)給其他用戶。RBAC（使用者角色管理）是一個(gè)存取控制機(jī)制，其將使用者的其他角色視為訪問管理的其他主體，并且遵循最小特權(quán)原則，包括職能隔離（工作主體與工作角色的隔離）和角色容量的原則。其旨在確保使用者在部門內(nèi)能夠高效地執(zhí)行其所扮演的工作角色?；诮巧脑L問控制是一項(xiàng)高效且靈巧的措施，其可以高效地完成授權(quán)管理、按照工作需要分類、給與最小特權(quán)、任務(wù)分擔(dān)、文檔分級(jí)管理以至規(guī)模實(shí)施等功能，特別是在部隊(duì)人員變遷較大的情況下，“角色”（領(lǐng)導(dǎo)、參謀、干事、助理員）的工作角色更加明確，因此，可以建立一套基于角色的訪問控制系統(tǒng)，以確保部隊(duì)的安全性和可靠性。實(shí)現(xiàn)對網(wǎng)絡(luò)信息資源的安全控制。

第4章某單位局域網(wǎng)安全設(shè)計(jì)方案設(shè)計(jì)4.1具有安全設(shè)施的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在選擇計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，需要選擇具有安全設(shè)施的網(wǎng)絡(luò)拓?fù)鋱D如圖4.1所示，并根據(jù)具體的需求和應(yīng)用場景進(jìn)行權(quán)衡和選擇。例如，對于小型網(wǎng)絡(luò)或需要集中管理的網(wǎng)絡(luò)，可以選擇星型拓?fù)浣Y(jié)構(gòu)；對于需要簡單連接的場所，可以選擇總線型拓?fù)浣Y(jié)構(gòu)；對于需要高可靠性的網(wǎng)絡(luò)，可以選擇環(huán)型或網(wǎng)狀拓?fù)浣Y(jié)構(gòu)；對于需要分層管理的網(wǎng)絡(luò)，可以選擇樹形拓?fù)浣Y(jié)構(gòu)。計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇對于構(gòu)建一個(gè)高效、可靠和安全的計(jì)算機(jī)網(wǎng)絡(luò)至關(guān)重要。在選擇時(shí)需要綜合考慮網(wǎng)絡(luò)規(guī)模、可靠性、性能和安全性等方面的需求，以選擇最適合當(dāng)前需求的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。圖4.1某單位具有安全設(shè)施的網(wǎng)絡(luò)拓?fù)鋱D4.2總體設(shè)計(jì)原則由于信息化建設(shè)速度越來越快，而目前企業(yè)的局域網(wǎng)建設(shè)年代久遠(yuǎn)，其間經(jīng)過多次擴(kuò)容和改建，初步形成了全網(wǎng)互聯(lián)互通，但沒能從根本上解決局域網(wǎng)安全問題。員工電腦中毒，內(nèi)網(wǎng)ARP病毒、DOS攻擊泛濫，嚴(yán)重時(shí)整個(gè)內(nèi)網(wǎng)癱瘓；P2P下載占用大量帶寬，有限的帶寬資源得不到合理分配，影響辦公正常業(yè)務(wù)。所以企業(yè)的局域網(wǎng)改造已迫在眉睫。局域網(wǎng)安全一般重以下幾點(diǎn)考慮：（1）客戶端和服務(wù)器及時(shí)更新補(bǔ)丁，如果你的企業(yè)客戶端數(shù)量較多的話以使用wsus。（2）禁止掉不必要的服務(wù)和工具（例如：封掉USB端口、光驅(qū)等）。（3）安裝企業(yè)防火墻，例如微軟的ISA或者使用硬件防火墻實(shí)現(xiàn)客戶訪問的過濾查殺：如果不小心中毒了的話，要及時(shí)處理中毒計(jì)算機(jī)，使用專殺工具殺毒，或手工殺毒，萬不得已的時(shí)候重新安裝操作系統(tǒng)。隨著局域網(wǎng)應(yīng)用環(huán)境的日趨復(fù)雜，企業(yè)核心數(shù)據(jù)被盜、用戶數(shù)據(jù)丟失、知識(shí)產(chǎn)權(quán)被盜用等事件頻發(fā)，不少企業(yè)都因此遭受了巨大的損失。USB，可以封住嗎，在企業(yè)里，幾乎是不可能的。根據(jù)某單位網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃，某單位網(wǎng)絡(luò)安全系統(tǒng)總體設(shè)計(jì)原則如下：1、安全方案設(shè)計(jì)原則對企業(yè)局域網(wǎng)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：（1）綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析局域網(wǎng)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。（2）需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對任一局域網(wǎng)，絕對安全難以達(dá)到，也不一定是必要的。對一個(gè)局域網(wǎng)進(jìn)行實(shí)際研究，并對局域網(wǎng)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。2、安全服務(wù)、機(jī)制與技術(shù)安全服務(wù)：控制服務(wù)、對象認(rèn)證服務(wù)、可靠性服務(wù)等。安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)的。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。4.3安全技術(shù)選擇原則在對某單位局域網(wǎng)進(jìn)行安全性設(shè)計(jì)過程中，使用的安全技術(shù)，除了要滿足用戶的要求和基本功能、性能外，還應(yīng)充分考慮該系統(tǒng)使用時(shí)必須滿足表1所列出的要求。表1對使用的安全技術(shù)要求環(huán)境適應(yīng)性要求通信環(huán)境（如網(wǎng)絡(luò)接口、接入方式等）適應(yīng)不同使用人員的要求適應(yīng)不同通信線路質(zhì)量的要求地理環(huán)境要求功能適應(yīng)性要求滿足當(dāng)前的功能滿足可預(yù)見的發(fā)展功能性能適應(yīng)性要求滿足當(dāng)前的性能要求滿足可預(yù)見的性能要求滿足投資的要求4.4系統(tǒng)總體安全設(shè)計(jì)考慮到無線局域網(wǎng)的統(tǒng)一管理要求，某軍事單位的無線局域網(wǎng)IP地址主要分為兩類：（1）基于AP自身的IP地址（管理地址），其主要是按照AP數(shù)量進(jìn)行規(guī)劃。（2）用戶終端使用的IP地址（應(yīng)用地址），其主要是根據(jù)用戶數(shù)確定。由于某軍事單位沒有啟動(dòng)IPv6服務(wù)，因此，無線網(wǎng)IP地址和VLAN地址分配遵循以下原則：AP管理地址以樓為單位分配一個(gè)C類地址，室外AP管理歸口對應(yīng)上行接口的樓宇地址段；無線應(yīng)用地址分配，辦公樓、宿舍、以樓層為單位，每個(gè)樓層一個(gè)C4地址，并配置對應(yīng)的VLAN，教室、會(huì)議室、圖書館等用戶密集區(qū)域適當(dāng)增加IP地址，合并多個(gè)C4解決。室外以AP為單位，為每個(gè)AP分配一個(gè)C4地址，并配置對應(yīng)的VLAN。無線局域網(wǎng)設(shè)計(jì)的關(guān)鍵是做好相關(guān)安全技術(shù)的選擇。影響無線局域網(wǎng)的因素主要有網(wǎng)絡(luò)層、接入口等方面。（1）網(wǎng)絡(luò)的安全防護(hù)。本設(shè)計(jì)方案選擇DCRS-7608具有較高的安全性能，其不僅能夠有效防止ARP-DOS的攻擊，而且還具有掃描、安全I(xiàn)CMO等功能，有效防止核心網(wǎng)絡(luò)層不受到攻擊。（2）做好外網(wǎng)用戶的VPN安全接入設(shè)計(jì)。外部認(rèn)知是當(dāng)前較多采用的方式，其可以解決有線、無線網(wǎng)絡(luò)的統(tǒng)一認(rèn)證，便于統(tǒng)一管理。portal認(rèn)證是這次設(shè)計(jì)的主要特征，它基于web頁面進(jìn)行推送，無需安裝客戶端，并且可以適用于pc、手機(jī)、平板等各種設(shè)備。（3）AP供電技術(shù)。由于在A單位無線局域網(wǎng)設(shè)計(jì)中需要應(yīng)用大量的AP設(shè)備，而AP設(shè)備的運(yùn)行需要電能的支撐。此次針對無線網(wǎng)絡(luò)的設(shè)計(jì)是基于現(xiàn)有的設(shè)施改建而成的，所以，如何處理戶外AP的電力供應(yīng)成為了我們必須面對的關(guān)鍵挑戰(zhàn)之一。為了應(yīng)對這一情況，我們在實(shí)際操作中采用了標(biāo)準(zhǔn)化的802.3af來為AP提供能源支持，即通過在匯聚交換機(jī)上添加額外的電能來源，利用以太網(wǎng)線路既實(shí)現(xiàn)了數(shù)據(jù)傳遞又滿足了給AP充電的需求。某軍事單位無線局域網(wǎng)建設(shè)屬于在原有有線網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行改建擴(kuò)建，因此，無線局域網(wǎng)設(shè)計(jì)覆蓋范疇為A單位大部分建筑的室內(nèi)以及人員較多的室外活動(dòng)場所。在具體的無線覆蓋設(shè)計(jì)時(shí)必須要考慮到信號(hào)對人體可能存在的危害因素，實(shí)現(xiàn)"綠色環(huán)保"理念。例如，本次設(shè)計(jì)在辦公樓（共5層）時(shí)可以采取每層設(shè)置一套9天線室內(nèi)分布系統(tǒng)進(jìn)行覆蓋，射頻電纜通過豎井連接到2層匯聚機(jī)房內(nèi)，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備體系的統(tǒng)一管理。在覆蓋問題設(shè)計(jì)上必須要考慮無線信號(hào)問題，例如對于AP室內(nèi)無障礙的覆蓋，則不需要考慮到穿墻等因素，可以采取吸頂天線的方式。而對于室內(nèi)具有障礙的則要考慮到信號(hào)穩(wěn)定因素，例如A單位走廊比較多，會(huì)影響信號(hào)的傳輸，因此，可以在走廊中間布置AP，以此覆蓋圖書館兩邊房間區(qū)域的信號(hào)。在無線局域網(wǎng)設(shè)計(jì)過程中，對于設(shè)備的選擇首要的考慮因素就是安全性能。（1）無線控制器的選擇。根據(jù)本次無線局域網(wǎng)AP數(shù)量以及功能的要求，A單位選擇基于思科Catalyst6500的模塊化產(chǎn)品WiSM2，該產(chǎn)品具有較高的可靠性和可拓展性，能夠適應(yīng)于較大規(guī)模的無線局域網(wǎng)構(gòu)建中，提供穩(wěn)定的服務(wù)。（2）POE交換機(jī)。根據(jù)實(shí)際需求，POE交換機(jī)選用Catalyst2960X系列，根據(jù)AP接入數(shù)量確定接口數(shù)量和型號(hào)。AP密集區(qū)域采用48口，其他區(qū)域采用24口。（3）無線AP。AP盡量選用支持802.11ac的產(chǎn)品。在上述設(shè)計(jì)原則和產(chǎn)品選擇原則指導(dǎo)下，針對訪問某單位局域網(wǎng)用戶的安全需求，構(gòu)建證書與密鑰管理系統(tǒng)、安全訪問控制系統(tǒng)、網(wǎng)絡(luò)安全檢測監(jiān)控系統(tǒng)和防范病毒系統(tǒng)，以提供多層次安全解決方案。4.4.1總體安全保密解決方案結(jié)構(gòu)圖在考慮無線局域網(wǎng)時(shí)，盡量采用安全加密協(xié)議?，F(xiàn)在無線網(wǎng)絡(luò)設(shè)備，一般都支持在數(shù)據(jù)傳輸過程中的加密協(xié)議。通過加密技術(shù)的話，可以最大限度的保護(hù)數(shù)據(jù)在傳輸過程中的安全性。一般的話，可以在無線發(fā)射設(shè)備上進(jìn)行設(shè)置，進(jìn)行強(qiáng)制的數(shù)據(jù)加密手段。如此的話，可以保證從無線設(shè)備上發(fā)送出去的數(shù)據(jù)，都是加密過的。這樣，即使有員工存在非法竊聽，其取得的數(shù)據(jù)也都是亂碼，沒有多少的實(shí)際利用價(jià)值。圖2某單位局域網(wǎng)安全系統(tǒng)示意圖可以進(jìn)一步說明實(shí)際的網(wǎng)絡(luò)安全架構(gòu)和措施。詳細(xì)展示局域網(wǎng)安全系統(tǒng)的組成部分和運(yùn)作方式。更直觀的加深對局域網(wǎng)安全措施的理解。圖2某單位局域網(wǎng)安全系統(tǒng)示意圖4.4.2證書與密鑰管理系統(tǒng)如果某單位采用先進(jìn)的SK和用戶管理技術(shù)，能夠有效地解決傳統(tǒng)對稱SK體制所帶來的諸多挑戰(zhàn)，例如降低管理工作量、提高管理效率、增強(qiáng)系統(tǒng)可擴(kuò)展性、促進(jìn)多管理域之間的互通等。相比于對稱SK體制，公鑰體制更加便捷，能夠進(jìn)行大規(guī)模的SK管理，并且具有良好的擴(kuò)展性，能夠有效地實(shí)施身份鑒別、數(shù)字簽名和抗抵賴等安全措施，因此更適合應(yīng)用于某單位的安全系統(tǒng)中。數(shù)字證書是一種用于識(shí)別用戶身份的安全認(rèn)證，其由一個(gè)唯一的識(shí)別名稱DistinguishName和一對公鑰組成，DN用來標(biāo)識(shí)用戶的身份，而公鑰則用來加密數(shù)據(jù)，只有私鑰才能解密，以確保數(shù)據(jù)的安全性和完整性。反之亦然。隨著公鑰技術(shù)的不斷發(fā)展，目前的數(shù)字證書有如下幾種：X.509公鑰證書，簡單公鑰基礎(chǔ)結(jié)構(gòu)SPKI，PGP，以及屬性證書。在圖3中顯示了X.509V3的證書格式。圖3X.509V3證書格式安全加密基礎(chǔ)平臺(tái)的核心是密鑰和證書管理系統(tǒng)。其通過向每個(gè)涉密用戶發(fā)送公鑰和數(shù)字證書，對一個(gè)單位局域網(wǎng)絡(luò)中的用戶進(jìn)行統(tǒng)一的數(shù)字化身份識(shí)別。沒有數(shù)字證書或沒有合法數(shù)字證書的用戶，將無法通過安全系統(tǒng)的身份驗(yàn)證，對非法接入進(jìn)行有效阻斷，這樣就可以確保在網(wǎng)絡(luò)上運(yùn)行的數(shù)據(jù)的機(jī)密性和完整性，同時(shí)也可以阻止來自外部的入侵和內(nèi)部的攻擊。4.4.3安全管理系統(tǒng)安全管理系統(tǒng)是一種管理整個(gè)網(wǎng)絡(luò)的系統(tǒng)，需要采集和交換的數(shù)據(jù)量很大，所以其被部署在某公司的信息安全管理節(jié)點(diǎn)上，通過接入交換機(jī)，部署在該公司的城域網(wǎng)內(nèi)的核心交換機(jī)上，并接收防火墻和入侵檢測管理中心上報(bào)的信息。通過對A單位網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)及信息流動(dòng)情況的分析，得出通過網(wǎng)絡(luò)監(jiān)控接口E0，以旁路并聯(lián)的方法，在某公司的城域網(wǎng)絡(luò)外聯(lián)通中心交換機(jī)上配置一個(gè)入侵檢測探頭，不會(huì)對網(wǎng)絡(luò)系統(tǒng)的性能產(chǎn)生影響。為了使網(wǎng)絡(luò)中的各個(gè)端口都能同時(shí)采集到與網(wǎng)絡(luò)中各個(gè)端口的雙向數(shù)據(jù)，本文提出了一種基于網(wǎng)絡(luò)中的多個(gè)節(jié)點(diǎn)的多路數(shù)據(jù)融合方法。入侵探測用M0接口實(shí)現(xiàn)了與管理中心的數(shù)據(jù)交換。該系統(tǒng)采用Syslog技術(shù)與防火墻相連接，采用SNMP技術(shù)與入侵檢測相連接。在安全管理系統(tǒng)中，開啟系統(tǒng)日志收集器，SNMP跟蹤收集器見圖4。圖4安全管理系統(tǒng)結(jié)構(gòu)圖4.4.4網(wǎng)絡(luò)安全檢測監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全檢測和監(jiān)控對于信息和數(shù)據(jù)的完整性和可靠性至關(guān)重要，其中入侵檢測系統(tǒng)是其中的核心組成部分。該系統(tǒng)能夠有效地發(fā)現(xiàn)和攔截各種可疑攻擊，阻止惡意活動(dòng)對信息和數(shù)據(jù)的威脅，從而更好地管理和保護(hù)信息資產(chǎn)，為社會(huì)和經(jīng)濟(jì)的穩(wěn)定發(fā)展提供有力保障。在網(wǎng)絡(luò)安全檢測和監(jiān)控系統(tǒng)中，信息加密系統(tǒng)扮演著至關(guān)重要的角色。它能夠快速識(shí)別可疑的惡意活動(dòng)，并采取必要的措施來防止和阻止其傳播。此外，入侵檢測系統(tǒng)還能夠幫助采取必要的措施對可疑數(shù)據(jù)和信息進(jìn)行加密，如加密措施可以有效防止惡意代碼的傳播，對可疑文件和內(nèi)容進(jìn)行加密處理等，從而更好地應(yīng)對各種可疑威脅。針對A單位網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和信息流動(dòng)情況進(jìn)行分析后，可以利用網(wǎng)絡(luò)監(jiān)控接口和VPN接口，在A單位的城域網(wǎng)外聯(lián)運(yùn)通中心交換機(jī)上配置一個(gè)入侵檢測探頭，以旁路并聯(lián)的形式。這種部署方式可以避免對網(wǎng)絡(luò)系統(tǒng)性能造成任何影響，同時(shí)確保入侵檢測系統(tǒng)的有效運(yùn)行。為了確保網(wǎng)絡(luò)中各個(gè)端口都能夠同時(shí)采集到與網(wǎng)絡(luò)中各個(gè)端口的雙向數(shù)據(jù)，可以采用一種基于網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過VPN接口實(shí)現(xiàn)入侵探測和監(jiān)控中心之間的數(shù)據(jù)交換，保障網(wǎng)絡(luò)安全的全面性和連續(xù)性。在圖5中，可以清晰地看到這種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的具體實(shí)現(xiàn)方式和數(shù)據(jù)流動(dòng)路徑。圖5安全檢測系統(tǒng)操作界面4.4.5防范病毒系統(tǒng)由于A單位網(wǎng)絡(luò)信息系統(tǒng)中計(jì)算機(jī)終端的數(shù)目不斷增多，因此出現(xiàn)了大量的病毒感染事件，因此，當(dāng)前的防病毒形勢十分嚴(yán)峻。因此，傳統(tǒng)的防病毒軟件已經(jīng)不能滿足需求，因此，迫切需要一種以先進(jìn)模型為基礎(chǔ)的防病毒產(chǎn)品。本文選擇了安天公司的Private云計(jì)算和PrivateSystem作為研究對象。在此基礎(chǔ)上，本項(xiàng)目提出了一種新的云安全體系結(jié)構(gòu)，并提出了一種新的云安全體系結(jié)構(gòu)。通過對各終端的檢測與監(jiān)測，以及對網(wǎng)絡(luò)中的病毒傳播行為的預(yù)警機(jī)制，本項(xiàng)目擬對各終端進(jìn)行全面的收集與分析，實(shí)現(xiàn)對各終端的自動(dòng)分析與辨識(shí)，并給出相應(yīng)的處理方案。從而，可以在入侵、傳播擴(kuò)散、破壞等多個(gè)環(huán)節(jié)，及時(shí)地與威脅進(jìn)行抗衡，為其提供全面的阻止、監(jiān)測、追溯能力，有效地提高了企業(yè)整體的威脅防御效果和安全管控能力。4.4.6部署安全策略為了確保其業(yè)務(wù)流程及數(shù)據(jù)傳輸過程不受外部威脅的影響而造成損失或破壞，我們制定了詳細(xì)且全面的數(shù)據(jù)保護(hù)策略并實(shí)施了一系列有效的防護(hù)手段來保障信息系統(tǒng)的穩(wěn)定運(yùn)行：首先通過使用NAT設(shè)備對內(nèi)外部IP的訪問進(jìn)行了有效隔離（即隱蔽）；其次設(shè)立DMZ區(qū)作為進(jìn)入A公司內(nèi)的唯一通道；（第三步）利用ACL對各子公司的通信量加設(shè)限制條件并對用戶身份驗(yàn)證實(shí)行嚴(yán)格管理；最后還需安裝具有防御功能的路徑監(jiān)控系統(tǒng)（PSS），以防止惡意程序從外圍滲透至主干線程進(jìn)而影響整個(gè)局域網(wǎng)上的一切活動(dòng)——包括但不限于文件共享等操作行為的發(fā)生及其執(zhí)行情況等等。1）核心匯聚層安全模塊部署核心匯聚層模塊在A單位網(wǎng)中扮演核心設(shè)備的作用，其主要功能是保證A單位網(wǎng)的高速穩(wěn)定傳輸。該模塊具備可靠性和高效性，能夠有效緩解核心層的壓力，實(shí)現(xiàn)A單位網(wǎng)的穩(wěn)定運(yùn)行。此外，匯聚層還應(yīng)考慮網(wǎng)絡(luò)特點(diǎn)，采取高性能、可靠性與冗余性的設(shè)計(jì)，限制病毒在內(nèi)網(wǎng)的傳播，保證A單位網(wǎng)的安全穩(wěn)定連接。VLAN劃分的方案，說明如下：（1）a單位網(wǎng)絡(luò)的互動(dòng)性使得a單位每天都能在其網(wǎng)絡(luò)中交換大量信息。因此，我們根據(jù)a單位的分布情況，采用專業(yè)化方法進(jìn)行vlan的劃分，將同一部門的員工劃分為獨(dú)立的vlan，然后再按照班級(jí)進(jìn)行小vlan的劃分。（2）為了確保教師終端上的科研資料和試題資料的安全性，可以將每個(gè)教研室和寢室設(shè)為單獨(dú)的VLAN，以達(dá)到數(shù)據(jù)安全的目的，同時(shí)員工和教研室之間不能相互訪問。（3）為了方便進(jìn)行教學(xué)實(shí)驗(yàn)，可以將教學(xué)樓內(nèi)所有的教室設(shè)為同一個(gè)VLAN，同時(shí)將科研樓內(nèi)的每個(gè)實(shí)驗(yàn)室和多媒體教室設(shè)為各自的小VLAN。（4）為了便利網(wǎng)路監(jiān)管的目的，我們把每一座建筑都?xì)w入了一個(gè)大型的VLAN中，而對于特殊的辦公室環(huán)境，我們將其按照各部門的特點(diǎn)進(jìn)行了細(xì)分的VLAN處理。因?yàn)锳機(jī)構(gòu)經(jīng)常有新生加入或畢業(yè)離開的情況，導(dǎo)致了員工數(shù)量的變化較大且流動(dòng)性強(qiáng)，這給VLAN的設(shè)定帶來了一定的難度。面對這種狀況，我們可以選擇使用基于端口的方法來解決這個(gè)問題。如此一來，即便是A機(jī)構(gòu)的人員發(fā)生了變化，只要管理者能調(diào)整端口所對應(yīng)的VLAN即可輕松地進(jìn)行操作與監(jiān)視。與此同時(shí)，我們也應(yīng)實(shí)施VLAN的劃分及訪問控制策略，防止跨VLAN的數(shù)據(jù)傳輸，比如不允許訪問財(cái)務(wù)部，也避免不同業(yè)務(wù)類型的VLAN之間的信息交流。此外，我們還需利用ACL技術(shù)來阻斷由特定的端口引發(fā)的病毒蔓延。核心匯集層模塊能夠有效抵御未經(jīng)許可的訪問、IP偽造、包竊聽等多種網(wǎng)絡(luò)風(fēng)險(xiǎn)。2）網(wǎng)絡(luò)邊界安全模塊部署A單位網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界模塊位于內(nèi)外網(wǎng)絡(luò)的交界處，主要作用是連接不同構(gòu)件、提供教育網(wǎng)與電信網(wǎng)的接入功能，連接內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)共享，以及提供遠(yuǎn)程訪問和WWW服務(wù)。考慮到A單位網(wǎng)絡(luò)速度快、連接便利，同時(shí)也存在入侵風(fēng)險(xiǎn)，因此網(wǎng)絡(luò)邊界安全模塊需確保外部網(wǎng)絡(luò)連接的同時(shí)，也要保障A單位內(nèi)部網(wǎng)絡(luò)的安全性。為此，需要對網(wǎng)絡(luò)邊界模塊實(shí)施以下措施：部署接入路由，采用NAT技術(shù)隱藏內(nèi)部網(wǎng)絡(luò)的IP地址；部署防火墻，保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的破壞；啟用訪問控制ACL，阻止外部網(wǎng)絡(luò)的非法訪問，防止內(nèi)部網(wǎng)絡(luò)的非法外鏈。提供安全可靠的遠(yuǎn)程訪問服務(wù)。采用VPN技術(shù)和IPsecVPN技術(shù)結(jié)合iNode，用戶需經(jīng)過認(rèn)證才能獲得授權(quán)使用權(quán)限，以確保內(nèi)部網(wǎng)絡(luò)的安全性。另外設(shè)置反向代理服務(wù)器在服務(wù)器和防火墻之間，以緩解外網(wǎng)訪問速度較慢的問題并提供保護(hù)。通過部署IPS與防火墻協(xié)同工作，有效補(bǔ)充了防毒軟件和防火墻的功能。部署AC上網(wǎng)流量控制功能，實(shí)現(xiàn)了對行為審計(jì)、流量分析等業(yè)務(wù)的管理，同時(shí)可通過可控軟件技術(shù)對A單位網(wǎng)內(nèi)的P2P軟件濫用問題進(jìn)行管理。部署網(wǎng)絡(luò)邊界安全模塊有效緩解了未經(jīng)授權(quán)的訪問、IP欺騙、網(wǎng)絡(luò)嗅探、分組嗅探、DDos攻擊等網(wǎng)絡(luò)威脅。3）服務(wù)區(qū)安全管理模塊部署為了給客戶及設(shè)備帶來軟件支持的服務(wù)，我們實(shí)施了一個(gè)名為EAD（終端準(zhǔn)入控制解決方案）的服務(wù)器安裝于學(xué)校B機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)區(qū)域的管理模塊內(nèi)。這個(gè)管理模塊由兩部分組成：一個(gè)是外部的服務(wù)器區(qū)域，另一個(gè)則是內(nèi)部的服務(wù)器區(qū)域。前者負(fù)責(zé)向進(jìn)入學(xué)校的所有外部人員提供服務(wù)，盡管它受到來自校園內(nèi)的信息交流的一定約束，但是其面臨的風(fēng)險(xiǎn)依然較高；而后者則主要針對的是校園內(nèi)的學(xué)生或教職員工，因?yàn)檫@里有大量的應(yīng)用和服務(wù)，因此它的安全等級(jí)也有所差異。在這個(gè)模塊里，需要對這些服務(wù)器之間的相互隔絕，以避免某一服務(wù)器遭到黑客襲擊之后成為攻擊其他服務(wù)器的橋梁。為此，我們在此處設(shè)立了一套包括管理中心（位于校園內(nèi)部）、隔離區(qū)（也在校園內(nèi)部）以及DMZ（即非軍事化區(qū)）的安全策略來應(yīng)對潛在的網(wǎng)絡(luò)威脅如未經(jīng)許可的訪問、IP偽造、網(wǎng)絡(luò)竊聽、數(shù)據(jù)包截取以及分布式拒絕服務(wù)攻擊等問題。4）接入層安全模塊部署作為網(wǎng)絡(luò)延伸的部分，接入層模塊在SAFE系統(tǒng)中的角色旨在向客戶服務(wù)器供應(yīng)支持。它們的設(shè)備直接連接到最終用戶的電腦上，這使得它們能夠滿足像A公司這樣的機(jī)構(gòu)的需求：員工數(shù)量龐大且分布廣泛，地點(diǎn)繁雜，接口豐富等等。一些常見的網(wǎng)絡(luò)攻擊方式，例如ARP地址欺詐和端口循環(huán)檢測，都是通過使用低級(jí)別的協(xié)議來實(shí)現(xiàn)的，這些協(xié)議存在著潛在的安全風(fēng)險(xiǎn)。因此，這個(gè)模塊必須安裝防止ARP攻擊和端口循環(huán)檢測的技術(shù)，此外還應(yīng)添加虛擬防火墻以提高安全級(jí)別。此種策略可有效地減少諸如ARP攻擊、數(shù)據(jù)包竊聽等問題帶來的影響。5）終端準(zhǔn)入控制模塊部署為了加強(qiáng)A單位網(wǎng)絡(luò)的安全防御，外部網(wǎng)絡(luò)采用了防火墻、IDS/IPS等設(shè)備，并部署了技術(shù)NAT、ACL、VPN等。為了增加內(nèi)網(wǎng)的安全性，可以使用VLAN技術(shù)。然而，A單位內(nèi)部常常存在終端問題，用戶出于使用性能的考慮，通常不會(huì)安裝安全軟件。這導(dǎo)致終端感染病毒、系統(tǒng)漏洞頻現(xiàn)，還會(huì)不受約束地使用P2P軟件下載內(nèi)容，或者使用代理服務(wù)器訪問非法網(wǎng)站。在這些終端接入網(wǎng)絡(luò)時(shí)，防火墻和IDS/IPS等安全設(shè)備對其無效，給A單位內(nèi)部網(wǎng)絡(luò)帶來了巨大威脅。因此，強(qiáng)化A單位網(wǎng)絡(luò)用戶終端的安全性顯得至關(guān)重要。為解決這一問題，采用了終端準(zhǔn)入控制（EAD）解決方案，并部署了iNode智能客戶端，以控制A單位用戶終端的安全接入網(wǎng)絡(luò)。通過這種部署方式，可以對網(wǎng)絡(luò)中的用戶終端行為進(jìn)行控制，管理員能夠高效、快捷、安全地管理該網(wǎng)絡(luò)中的用戶。另外，iNode客戶端與安全策略服務(wù)器的協(xié)同工作也確保了該網(wǎng)絡(luò)終端接入的安全性。由于B機(jī)構(gòu)擁有大量的客戶群體，每年新學(xué)期開始時(shí)都需要為其新增的學(xué)生提供iNode智能終端設(shè)備，這對該機(jī)構(gòu)的網(wǎng)絡(luò)管理者來說是一個(gè)巨大的負(fù)擔(dān)。因此，為了緩解這個(gè)問題，EAD系統(tǒng)內(nèi)置了智能化終端部署功能，一旦未安裝iNode智能終端設(shè)備，則只允許訪問由網(wǎng)絡(luò)管理員設(shè)定好的特定網(wǎng)址（通常是iNode智能終端軟件的下載鏈接），并對用戶施加強(qiáng)迫性的引導(dǎo)去下載它。只有完成iNode智能終端軟件的