1、指導(dǎo)老師評閱成績表 學(xué)習(xí)與工 作態(tài)度 （30%） 選題的價值與 意義（10%） 文獻綜述 （10%） 研究水平與設(shè) 計能力 （20%） 課程設(shè)計說明說（論 文）撰寫質(zhì)量 （20%） 學(xué)術(shù)水平與創(chuàng) 新（10%） 總分 指導(dǎo)老師簽名： 年 月 日 課程設(shè)計答辯記錄及評價表課程設(shè)計答辯記錄及評價表 學(xué)生 講述情況 教師主要 提問記錄 學(xué)生回答 問題情況 評價參考標(biāo)準(zhǔn) 評分項目 分 值優(yōu)良中及格差 評分總分 選題的價值與意義1098764 文獻綜述1098764 研究水平與設(shè)計能力201917151310 課程設(shè)計說明書（論文） 撰寫質(zhì)量 201917151310 學(xué)術(shù)水平與創(chuàng)新1098764 答辯評

2、分 答辯效果302825221915 是否同意論文（設(shè)計）通過答辯同意 不同意 答辯小組成員簽名 答辯小組組長簽名： 年 月 日 課程設(shè)計成績評定表課程設(shè)計成績評定表 評分項目評分比例分數(shù) 課程設(shè)計總 分 指導(dǎo)老師評分50% 成績匯總 答辯小組評分50% 課程設(shè)計成績評價表 成成 都都 信信 息息 工工 程程 學(xué)學(xué) 院院 課課 程程 設(shè)設(shè) 計計 報報 告告 企業(yè)網(wǎng)絡(luò)的安全整體解決方案設(shè)計企業(yè)網(wǎng)絡(luò)的安全整體解決方案設(shè)計 姓名：姓名： 專業(yè)：專業(yè)： 班級：班級： 提交日期：提交日期： 企業(yè)網(wǎng)絡(luò)的安全整體解決方案設(shè)計企業(yè)網(wǎng)絡(luò)的安全整體解決方案設(shè)計 摘摘 要要 隨著信息化技術(shù)的飛速發(fā)展，許多有遠見的企

3、業(yè)都認識到依托先進的 IT 技 術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在 殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算 機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù) 雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。 信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、 應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的 過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動 的始終。 本方案為企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全解決方案，首先介紹了本方案設(shè)計的背景、

4、目的和國內(nèi)外的現(xiàn)狀進行了簡要的介紹，隨后對網(wǎng)絡(luò)系統(tǒng)進行一個概括分析， 然后對本身網(wǎng)絡(luò)存在的一系列安全風(fēng)險進行簡單的分析介紹，緊接著闡述了企 業(yè)網(wǎng)絡(luò)的安全需求以及需要達到的安全目標(biāo)，再對企業(yè)網(wǎng)絡(luò)安全方案進行總體 的設(shè)計，最后介紹了本設(shè)計網(wǎng)絡(luò)安全的體系結(jié)構(gòu)。本安全解決方案的目標(biāo)是在 不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對企業(yè)局域網(wǎng)全面的安全管理。 關(guān)鍵詞關(guān)鍵詞：企業(yè)；IT 技術(shù)；網(wǎng)絡(luò)安全；方案 目目 錄錄 1.1.引言引言.1 1 1.11.1 課題背景課題背景.1 1 2 2 企業(yè)網(wǎng)絡(luò)概況企業(yè)網(wǎng)絡(luò)概況.2 2 2.12.1 網(wǎng)絡(luò)安全概況網(wǎng)絡(luò)安全概況.2 2 .1 網(wǎng)絡(luò)概述網(wǎng)絡(luò)概

5、述.2 2 .2 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu).2 2 .3 主要外部設(shè)備及產(chǎn)品型號主要外部設(shè)備及產(chǎn)品型號.3 3 2.32.3 網(wǎng)絡(luò)結(jié)構(gòu)特點網(wǎng)絡(luò)結(jié)構(gòu)特點.3 3 3 3 網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全分析.4 4 3.13.1 物理安全風(fēng)險分析物理安全風(fēng)險分析.4 4 3.23.2 網(wǎng)絡(luò)平臺安全分析網(wǎng)絡(luò)平臺安全分析.4 4 3.33.3 系統(tǒng)安全分析系統(tǒng)安全分析.4 4 3.43.4 應(yīng)用安全分析應(yīng)用安全分析.5 5 3.53.5 管理安全分析管理安全分析.5 5 4 4 外部攻擊外部攻擊.5 5 4.14.1 黑客攻擊黑客攻擊.5 5 4.24.2 惡意代碼和病毒的攻擊惡意代碼和

6、病毒的攻擊.6 6 4.34.3 不滿的內(nèi)部員工不滿的內(nèi)部員工.6 6 5 5 安全需求和安全目標(biāo)安全需求和安全目標(biāo).6 6 5.15.1 安全需求分析安全需求分析.6 6 5.25.2 系統(tǒng)安全目標(biāo)系統(tǒng)安全目標(biāo).7 7 6.16.1 安全方案設(shè)計原則安全方案設(shè)計原則.7 7 6.26.2 安全服務(wù)機制與原則安全服務(wù)機制與原則.7 7 7 7 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案.8 8 7.17.1 物理安全物理安全.8 8 7.27.2 網(wǎng)絡(luò)平臺網(wǎng)絡(luò)平臺.8 8 .1 防火墻的部署防火墻的部署.8 8 .2 入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)的部署.8 8 7.2.

7、37.2.3 漏洞掃描系統(tǒng)漏洞掃描系統(tǒng).9 9 .4 流量控制流量控制.9 9 7.47.4 應(yīng)用安全應(yīng)用安全.9 9 7.67.6 惡意代碼與網(wǎng)絡(luò)病毒防范惡意代碼與網(wǎng)絡(luò)病毒防范.1010 8 8 方案可行性分析方案可行性分析.1010 9 9 結(jié)論結(jié)論.1111 參考文獻參考文獻.1212 1.1.引言引言 1.1 課題背景課題背景 互聯(lián)網(wǎng)的廣泛應(yīng)用把人類帶入了一個全新的時代，給人們帶來前所未有的 海量信息。網(wǎng)絡(luò)的開放性和自由性產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的機會， 網(wǎng)絡(luò)信息的安全性變得日益重要起來，這已被社會的各個領(lǐng)域所重視。 隨著計算機網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)

8、基于網(wǎng)絡(luò)的計算機應(yīng)用 也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益， 但隨之而來的安全問題也在困擾著用戶，在 2003 年后，木馬、蠕蟲的傳播使企 業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。 當(dāng)今世界信息化技術(shù)的飛速發(fā)展，許多有遠見的企業(yè)都認識到依托先進的 IT 技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企 業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何 提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信 息傳遞問題、信息安全問題等，又時刻在制約著自己，企業(yè)采用 PKI 技術(shù)來解 決這些問

9、題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。 1.2 本課程設(shè)計的研究目的及作用本課程設(shè)計的研究目的及作用 本安全解決方案的目的在于在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下， 實現(xiàn)對他們局域網(wǎng)全面的安全管理。其作用在于： 1). 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)， 有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。 2).定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。 3).使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢 復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 4). 在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制 和管理，實現(xiàn)全

10、網(wǎng)統(tǒng)一防病毒。 1.3 國內(nèi)現(xiàn)狀國內(nèi)現(xiàn)狀 網(wǎng)絡(luò)安全的解決是一個綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和 管理等。目前國際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和 自主性等問題，不能直接用于解決我國自己的網(wǎng)絡(luò)安全，因此我國的網(wǎng)絡(luò)安全 只能借鑒這些先進技術(shù)和產(chǎn)品，自行解決?？尚业氖牵壳皣鴥?nèi)已有一些網(wǎng)絡(luò) 安全解決方案和產(chǎn)品，不過，這些解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一 定的差距。 1.4 本文主要工作本文主要工作 本方案主要是先對企業(yè)背景進行分析整理，再聯(lián)系網(wǎng)絡(luò)安全現(xiàn)狀對企業(yè)網(wǎng) 絡(luò)的概況進行初步分析，然后對網(wǎng)絡(luò)本身存在的一系列安全風(fēng)險進行簡單的分 析介紹，緊接著闡述了企業(yè)網(wǎng)絡(luò)的

11、安全需求以及需要達到的安全目標(biāo)，再對企 業(yè)網(wǎng)絡(luò)安全方案進行總體的設(shè)計，最后介紹了本設(shè)計網(wǎng)絡(luò)安全的體系結(jié)構(gòu)。本 安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對企業(yè)局 域網(wǎng)全面的安全管理。 2 企業(yè)網(wǎng)絡(luò)概況企業(yè)網(wǎng)絡(luò)概況 2.1 網(wǎng)絡(luò)安全概況網(wǎng)絡(luò)安全概況 安全的意義是將資產(chǎn)及資源所受到的威脅的可能性降到最低程度.隨著計算 機網(wǎng)絡(luò)的不斷發(fā)展,全球信息代已成為人類發(fā)展的大趨勢.但是,由于計算機網(wǎng)絡(luò) 具有連結(jié)形式多樣性,終端分布不均勻性和網(wǎng)絡(luò)的開放性,互連性等特征,致使網(wǎng) 絡(luò)易受黑客、怪客、惡意軟件等的不軌攻擊,所以網(wǎng)上信息的安全和保密是一個 至關(guān)重要的問題.對于軍用的自動化指揮網(wǎng)絡(luò)和銀行

12、等傳輸敏感數(shù)據(jù)的計算機網(wǎng) 絡(luò)系統(tǒng)而言,其網(wǎng)上信息的安全和保密尤為重要.因此,上述的網(wǎng)絡(luò)必須有足夠強 的安全措施.否則該網(wǎng)絡(luò)將是個無用甚至?xí)＜皣野踩木W(wǎng)絡(luò).無論是在局域 網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅.因此, 網(wǎng)絡(luò)的安全措施應(yīng)該能全方位地針對各種不同的威脅和脆弱性.這樣才能確保網(wǎng) 絡(luò)信息的保密性.完整性和可用性 .1 網(wǎng)絡(luò)概述網(wǎng)絡(luò)概述 一般企業(yè)的局域網(wǎng)，物理跨度不大，通過千兆交換機在主干網(wǎng)絡(luò)上提供 1000M 的獨享帶寬，通過下層交換機與各部門的工作站和服務(wù)器連結(jié)，并為之 提供 100M 的獨享帶寬。利用與中心交換機連結(jié)的路由器，所有用戶可直

13、接訪問 Internet。 .2 網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu) 局域網(wǎng)按訪問區(qū)域一般情況下可以劃分為三個主要的區(qū)域：Internet 區(qū)域、 內(nèi)部網(wǎng)絡(luò)、公共服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門分為市場部、技術(shù) 部、行政部、會計部等。在安全方案設(shè)計中，我們基于安全的重要程度和要保 護的對象，又可以將這些部門的網(wǎng)絡(luò)劃分為四個虛擬局域網(wǎng)（VLAN），即：中 心服務(wù)器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣 播域，由于財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心 交換機上將這些網(wǎng)段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在 一個相同的網(wǎng)段。其基本網(wǎng)絡(luò)拓撲

14、圖如圖： .3 主要外部設(shè)備及產(chǎn)品型號主要外部設(shè)備及產(chǎn)品型號 主要外部網(wǎng)絡(luò)設(shè)備需求如下表： 設(shè)備名稱廠商型號數(shù)量 路由器銳捷RG-RSR30-441 臺 防火墻銳捷RG-WALL18001 臺 入侵檢測系統(tǒng)（IDS）銳捷RG-IDS20001 臺 核心層交換機銳捷RG-S96202 臺 匯聚層交換機銳捷RG-S3250-244 臺 接入層交換機銳捷RG-S1824GT88 臺 2.22.2 網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)應(yīng)用 一般企業(yè)的局域網(wǎng)可以為用戶提供如下主要應(yīng)用： 1）.文件共享、辦公自動化、WWW 服務(wù)、電子郵件服務(wù)； 2）.文件數(shù)據(jù)的統(tǒng)一存儲； 3）.針對特定的應(yīng)用在數(shù)據(jù)庫服務(wù)器上進行

15、二次開發(fā)(比如財務(wù)系統(tǒng))； 4）.提供與 Internet 的訪問； 5).通過公共服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等 2.32.3 網(wǎng)絡(luò)結(jié)構(gòu)特點網(wǎng)絡(luò)結(jié)構(gòu)特點 在分析這個企業(yè)局域網(wǎng)的安全風(fēng)險時，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個特點： 1).網(wǎng)絡(luò)與 Internet 直接連結(jié)，因此在進行安全方案設(shè)計時要考慮與 Internet 連結(jié)的有關(guān)風(fēng)險，包括可能通過 Internet 傳播進來病毒，黑客攻擊， 來自 Internet 的非授權(quán)訪問等。 2).網(wǎng)絡(luò)中存在公共服務(wù)器，由于公共服務(wù)器對外必須開放部分業(yè)務(wù)，因此在進 行 安全方案設(shè)計時應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公共服務(wù)器的安全風(fēng) 險擴散到內(nèi)部。 3

16、).內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在 進行安全方案設(shè)計時，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分割開，這可以通 過交換機劃分 VLAN 來實現(xiàn)。 4).網(wǎng)絡(luò)中有應(yīng)用服務(wù)器，在應(yīng)用程序開發(fā)時就應(yīng)考慮加強用戶登錄驗證， 防止非授權(quán)的訪問。 總而言之，在進行網(wǎng)絡(luò)方案設(shè)計時，應(yīng)綜合考慮到這個企業(yè)局域網(wǎng)的特點， 根據(jù)產(chǎn)品的性能、價格、潛在的安全風(fēng)險進行綜合考慮。 3 3 網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全分析 針對一般企業(yè)局域網(wǎng)中存在的安全隱患，在進行安全方案設(shè)計時，下述安 全風(fēng)險我們必須要認真考慮，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措施。 下述風(fēng)險由多種因素引起，與這個企業(yè)局域網(wǎng)結(jié)構(gòu)和系

17、統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng) 絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險因素： 網(wǎng)絡(luò)安全可以從以下五個方面來理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺是否 安全；3 系統(tǒng)是否安全；4 應(yīng)用是否安全；5 管理是否安全。針對每一類安全 風(fēng)險，結(jié)合這個企業(yè)局域網(wǎng)的實際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。 3.1 物理安全風(fēng)險分析物理安全風(fēng)險分析 針對一般企業(yè)中，工作人員的操作失誤，設(shè)備被盜、被毀，電磁干擾，線 路截獲等現(xiàn)象很難避免。自然界的安全災(zāi)難如地震、火災(zāi)等環(huán)境事故也將會引 起網(wǎng)絡(luò)的安全。物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個企業(yè)局域網(wǎng)內(nèi)， 由于該企業(yè)的網(wǎng)絡(luò)物理跨度不大，只要制定健全的安全管

18、理制度，做好備份， 并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險基本上是可以避免的。 3.23.2 網(wǎng)絡(luò)平臺安全分析網(wǎng)絡(luò)平臺安全分析 一般企業(yè)局域網(wǎng)內(nèi)公共服務(wù)器區(qū)（E-mail 等服務(wù)器）作為公司的信息發(fā)布 平臺，公共服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每時每刻，黑客 都在試圖闖入 Internet 節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入 的都不知道，甚至?xí)蔀楹诳腿肭制渌军c的跳板。因此，網(wǎng)絡(luò)管理人員對 Internet 安全事故做出有效反應(yīng)變得十分重要。我們有必要將公共服務(wù)器、內(nèi) 部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù) 請求加以過濾，只允許正常通信

19、的數(shù)據(jù)包到達相應(yīng)主機，其他的請求服務(wù)在到 達主機之前就應(yīng)該遭到拒絕。 3.3 系統(tǒng)安全分析系統(tǒng)安全分析 在當(dāng)今世界恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是微軟的 Windows 系列或者其他任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其后門。但是，我們 可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制，提高 系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且， 必須加強登錄過程的認證（特別是在到達服務(wù)器主機之前的認證），確保用戶 的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小 的范圍內(nèi)。 3.43.4 應(yīng)用安全分析應(yīng)用安全分析 應(yīng)用的安全

20、性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機密信 息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由 于這個企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機 密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的 （比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進行加密，針 對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進行加密。 3.53.5 管理安全分析管理安全分析 管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂，使得一些員工 或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無 意泄漏他們所知道的一些重要信息，而管理上卻沒

21、有相應(yīng)制度來約束，這一切 都可能引起管理安全的風(fēng)險。 因此建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案， 從而達到是管理制度和管理解決方案的結(jié)合。 4 4 外部攻擊外部攻擊 4.14.1 黑客攻擊黑客攻擊 隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對于 黑客自身來說，要闖入大部分人的電腦實在是太容易了。如果你要上網(wǎng)，就免 不了遇到黑客。企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web 頁面保護 技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。 以設(shè)置防火墻為例，示意圖如下： 4.24.2 惡意代碼和病毒的攻擊惡意代碼和病毒的攻擊 惡意代碼

22、不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經(jīng) 同意的軟件。應(yīng)該加強對惡意代碼的檢測。 計算機病毒一直是計算機安全的主要威脅。能在 Internet 上傳播的新型病 毒，例如通過 E-Mail 傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染 方式也在增加，國際空間的病毒總數(shù)已達上萬甚至更多。當(dāng)然，查看文檔、瀏 覽圖像或在 Web 上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行文件和接收來 歷不明的 E-Mail 文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。典型 的“CIH”病毒就是一可怕的例子。 4.34.3 不滿的內(nèi)部員工不滿的內(nèi)部員工 由于工作的問題，企業(yè)員工有可能對自己企

23、業(yè)產(chǎn)生不滿，這些不滿的內(nèi)部 員工可能在 WWW 站點上開些小玩笑，甚至破壞。無論這些員工是否離職，他們 都有可能對企業(yè)造成不可估量的損失。 5 5 安全需求和安全目標(biāo)安全需求和安全目標(biāo) 5.15.1 安全需求分析安全需求分析 通過前面對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安 全問題主要集中在對服務(wù)器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及 管理安全上。因此應(yīng)該做到以下幾點： 公共服務(wù)器的安全保護；防止黑客從外 部攻擊；入侵檢測與監(jiān)控；信息審計與記錄 ；病毒防護；數(shù)據(jù)安全保護；數(shù)據(jù) 備份與恢復(fù)；網(wǎng)絡(luò)的安全管理。 5.25.2 系統(tǒng)安全目標(biāo)系統(tǒng)安全目標(biāo) 基于以上的分析，我認為局

24、域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下目標(biāo)： 1) 建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 。 2) 將內(nèi)部網(wǎng)絡(luò)、公共服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng) 絡(luò)的直接通信 。 3) 建立網(wǎng)站各主機和服務(wù)器的安全保護措施，保證他們的系統(tǒng)安全。 4) 對網(wǎng)上服務(wù)請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕 。 5) 加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度 。 6) 全面監(jiān)視對公共服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑 客攻擊行為。 7) 加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡(luò)、公共服務(wù)器的訪問 行為，形成完 整的系統(tǒng)日志 。 8) 備份與災(zāi)難恢復(fù)強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速

25、恢復(fù) 。 9) 加強網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù) 。 6 6 網(wǎng)絡(luò)安全總體方案設(shè)計網(wǎng)絡(luò)安全總體方案設(shè)計 6.16.1 安全方案設(shè)計原則安全方案設(shè)計原則 在對這個企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則： 1）.綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全 及具體措施。 2).需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達到，也不 一定是必要的。 3).一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周 期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求 相一致。 4).易操作性原則：安全措施需要人為去完成

26、，如果措施過于復(fù)雜，對人的 要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常 運行。 5).分步實施原則：可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用 開支。 6).多重保護原則：建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保 護被攻破時，其它層保護仍可保護信息的安全。 6.26.2 安全服務(wù)機制與原則安全服務(wù)機制與原則 安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對象認證服務(wù)、可靠性服務(wù)等； 安全機制：訪問控制機制、認證機制等； 安全技術(shù)：防火墻技術(shù)、入侵檢測技術(shù)、鑒別技術(shù)、審計監(jiān)控技術(shù)、病毒防 治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一 些安全服務(wù)來

27、實現(xiàn)；而安全服務(wù)又是由各種安全機制或安全技術(shù)來實現(xiàn)的。應(yīng) 當(dāng)指出，同一安全機制有時也可以用于實現(xiàn)不同的安全服務(wù)。 7 7 網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全解決方案 通過對該企業(yè)的網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險分析的結(jié)果 及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系 統(tǒng)由以下幾個方面組成： 7.17.1 物理安全物理安全 物理安全是保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系 統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、 水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的 破壞過程。 7.27.2 網(wǎng)絡(luò)平臺網(wǎng)絡(luò)平臺

28、.1 防火墻的部署防火墻的部署 在 Internet 與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺 RG-WALL1800 防火墻，在內(nèi)外網(wǎng) 之間建立一道牢固的安全屏障。其中 WWW、E-mail、FTP、DNS 服務(wù)器連接在防 火墻的 DMZ 區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻 止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口 連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與 Internet 連接。這樣，通過 Internet 進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如 WWW、E- mail、FTP、DNS 等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法

29、訪問或破壞， 也可以阻止內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事 件進行跟蹤和審計。 在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性： (1)根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則 審核 IP 數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán) 格禁止來自外網(wǎng)的對企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問。總體上遵從“不被允 許的服務(wù)就是被禁止”的原則。 (2)配置防火墻，過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的 IP 包，這樣可以防 范源地址假冒和源路由類型的攻擊；過濾掉以非法 IP 地址離開內(nèi)部網(wǎng)絡(luò)的 IP 包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外的攻擊 (3)在防

30、火墻上建立內(nèi)網(wǎng)計算機的 IP 地址和 MAC 地址的對應(yīng)表，防止 IP 地 址被盜用。 (4)定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。 (5)允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理的安全性。 .2 入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)的部署 入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完 整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。將 RG-IDS2000 入侵檢 測引擎接入中心交換機上，對來自外部網(wǎng)和企業(yè)網(wǎng)內(nèi)部的各種行為進行實時檢 測。選用的入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實 時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利

31、用內(nèi)置的攻擊特征庫，使用模式匹配和 智能分析的方法檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有 關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)。 .3 漏洞掃描系統(tǒng)漏洞掃描系統(tǒng) 采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查， 并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全分析報告。 .4 流量控制流量控制 銳捷 RG-RSR30-44 路由器提供了 QOS 功能，可以順利實現(xiàn)該企業(yè)網(wǎng)的應(yīng)用 控制流量要求：對于重要運用（如 HTTP），保證其最小帶寬使用量，并且借用 剩余帶寬；對于占用大量帶寬但不重要的應(yīng)用（如 P2P）對其進行帶寬限制， 至此

32、基于時間段生效的帶寬控制策略。這樣就嚴(yán)格控制了企業(yè)員工的上網(wǎng)行為， 以保證帶寬得到有效的應(yīng)用。 7.37.3 系統(tǒng)安全系統(tǒng)安全 系統(tǒng)的安全性主要針對的是操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平 臺的可靠性。對于系統(tǒng)的安全防范我主要采取如下策略： 對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對 Internet 公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。 應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能的減少應(yīng)用系統(tǒng)的漏 洞； 通過專業(yè)的安全工具（安全檢測系統(tǒng)）定期對網(wǎng)絡(luò)進行安全評估。 7.47.4 應(yīng)用安全應(yīng)用安全 首先，針對企業(yè)員工的使用，我建議使用 802.1X

33、協(xié)議來實現(xiàn)用戶的登陸連 接網(wǎng)絡(luò)，以確認用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完 成的操作限制在最小的范圍內(nèi)。另外，在加強主機的管理上，除了上面談的訪 問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對權(quán)限進行分割和管理。 應(yīng)用安全平臺要加強資源目錄管理和授權(quán)管理、傳輸加密、審計記錄和安全管 理。 7.57.5 黑客攻擊防范黑客攻擊防范 有效的防范黑客攻擊安全體系的實現(xiàn)需要三方面的努力： (1)技術(shù)上：黑客攻擊的多樣性決定了防范技術(shù)也必須采取多層次、全方位 的防御體系。包括先進的、不斷更新和完善的安全工具、各種軟硬件設(shè)備、管 理平臺和監(jiān)控系統(tǒng)。主要包括防火墻、安全掃描、評估分析、入

34、侵檢測、入侵 取證、陷阱網(wǎng)絡(luò)、備份恢復(fù)和病毒防治等。 (2)管理上：黑客攻擊的技術(shù)手段越來越高明，但是不可否認，有些黑客攻 擊之所以可以成功在于網(wǎng)絡(luò)管理上的疏忽和漏洞。所以要建立有效的防范黑客 攻擊的安全體系需要嚴(yán)密完善的安全技術(shù)規(guī)范、管理制度、高水平的安全技術(shù) 人才和高度的工作責(zé)任心。其中包括建立定期檢查制度、建立包機或網(wǎng)絡(luò)安全 專人負責(zé)制、建立安全事故及時上報制度、建立定期備份制度、建立口令定期 修改制度等等。 (3)規(guī)劃上：網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，也使得黑客攻擊技術(shù)不斷發(fā)展，網(wǎng)絡(luò)管理者要 做好防范工作的同時也要做出正確合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、規(guī)劃和組織，做到防 范于未然。對新的技術(shù)和產(chǎn)品的研發(fā)要早

35、作準(zhǔn)備，深入調(diào)研國內(nèi)外電信 IP 網(wǎng)安 全的狀況，了解黑客技術(shù)的進展，在廣泛融合的基礎(chǔ)上做出前瞻性的規(guī)劃，培 養(yǎng)相關(guān)領(lǐng)域的人才。 7.67.6 惡意代碼與網(wǎng)絡(luò)病毒防范惡意代碼與網(wǎng)絡(luò)病毒防范 由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，一次計算 機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒。網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn) 方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒 芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。 所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向 E-mail 、Web 服務(wù) 器，以及辦公網(wǎng)段的 PC 服務(wù)器和 PC 機等。支持對網(wǎng)絡(luò)、服務(wù)器、和工作站的 實時病毒監(jiān)控；能夠在中心控制臺向多個目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個 目標(biāo)的病毒防治情況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知 病毒，包括宏病毒；支持 Internet/ Intranet 服務(wù)器的病毒防治，能夠阻止惡 意的 Java 或 ActiveX 小程序的破壞；支持對電子郵件附件的病毒防治，包括 WORD、EXCEL 中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理 選項，如對染毒文件進