【正文】 出現(xiàn)網(wǎng)絡(luò)安全漏洞。雖然企業(yè)在網(wǎng)絡(luò)實(shí)施和管理上可以強(qiáng)制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到Internet的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的使用過程中，也許總部和個(gè)別管理嚴(yán)格的異地分支機(jī)構(gòu)和部門，可以比較容易地始終如一執(zhí)行這一規(guī)章制度，卻不能完全保證所有在網(wǎng)上的用戶因?yàn)橐恍﹦e的原因使用了另外的途徑進(jìn)入Internet，如異地機(jī)構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通過向當(dāng)?shù)豂SP供應(yīng)商購買帳戶使用PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部Internet的使用者提供了一個(gè)甚至多個(gè)“后門”。這種“后門”對于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個(gè)利益集團(tuán)利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達(dá)到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時(shí)候已經(jīng)被有效地利用了相當(dāng)長的時(shí)間。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡(luò)連接保護(hù)是必須的措施。其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對象使用，有許多信息系統(tǒng)會(huì)根據(jù)應(yīng)用目的進(jìn)行分類獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對內(nèi)部用戶進(jìn)行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對內(nèi)部用戶進(jìn)行訪問控制。由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實(shí)施網(wǎng)絡(luò)安全保護(hù)是非常必要的舉措。能夠有效地?fù)?dān)負(fù)這一保護(hù)作用角色的是性能和功能強(qiáng)大的防火墻系統(tǒng)。因此，本課程設(shè)計(jì)采用企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。（3）虛擬連接廣域網(wǎng)的安全保護(hù)對于企業(yè)眾多的異地分支機(jī)構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動(dòng)用戶，將其遠(yuǎn)程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會(huì)采用通過公共Internet的虛擬連接方式。正如前面所言，這種連接方式盡管實(shí)現(xiàn)的代價(jià)和技術(shù)條件相對比較低，但其所能提供的安全保證更加不可信賴。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN和防火墻的應(yīng)用，比通過第三方專線鏈路更加迫切需要。（4）其他安全保護(hù)輔助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補(bǔ)網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ)，以及建立實(shí)時(shí)入侵檢測系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全。在條件允許的情況下，我們建議企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏洞掃描和入侵檢測系統(tǒng)[1]。各種操作系統(tǒng)是應(yīng)用運(yùn)行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當(dāng)大的程度之上受到操作系統(tǒng)安全性的影響。目前運(yùn)行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運(yùn)行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個(gè)方面，在程序開發(fā)過程中，會(huì)出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個(gè)復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計(jì)的缺陷也會(huì)帶來安全漏洞。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進(jìn)行系統(tǒng)的破壞?；谝陨系脑?，企業(yè)網(wǎng)絡(luò)需要對總部的應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括Windows NT, Windows 2000,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MS SQL數(shù)據(jù)庫。需要對這些系統(tǒng)進(jìn)行系統(tǒng)安全漏洞的掃描和實(shí)時(shí)入侵的檢測。應(yīng)用層安全主要是對應(yīng)用資源的有效性進(jìn)行控制，管理和控制什么用戶對資源具有什么權(quán)限。資源包括信息資源和服務(wù)資源。需要提高身份認(rèn)證安全性的系統(tǒng)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動(dòng)用戶訪問、VPN和應(yīng)用層。（1）主機(jī)系統(tǒng)包括企業(yè)總部和各下屬公司中心主機(jī)、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機(jī)系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲(chǔ)著公司最重要的信息資源，因此，保證這些主機(jī)系統(tǒng)的登錄的安全是極其重要的。目前企業(yè)的主機(jī)系統(tǒng)仍然沿用單一密碼的身份認(rèn)證方式，這種簡單的身份認(rèn)證存在以下安全隱患：l 網(wǎng)絡(luò)入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進(jìn)行非法操作。l 人員的流動(dòng)、集成商自設(shè)等很多因素，使得每臺主機(jī)系統(tǒng)上的多余帳戶增加。（2）網(wǎng)絡(luò)設(shè)備安全管理企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。公司所有的業(yè)務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運(yùn)行的首要條件；而保護(hù)網(wǎng)絡(luò)設(shè)備的安全，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護(hù)卻不被重視，其實(shí)，當(dāng)某一個(gè)人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、VPN設(shè)備等），將配置進(jìn)行了更改，為以后非法的登錄建立通道，對整個(gè)系統(tǒng)來說，所有的安全設(shè)施就形同虛設(shè)。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進(jìn)行強(qiáng)的身份認(rèn)證是完全必要的。（3）移動(dòng)用戶的訪問控制訪問移動(dòng)用戶進(jìn)入公司內(nèi)部網(wǎng)絡(luò)可以通過本地?fù)芴栠B接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)[6]。對于企業(yè)來說，移動(dòng)用戶將基本上采用VPN的方式對內(nèi)部進(jìn)行訪問，外出的員工可以通過Internet渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。因此我們必須在移動(dòng)用戶訪問上增加更加強(qiáng)大的手段對移動(dòng)用戶進(jìn)行控制管理。（4）VPN上的認(rèn)證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠(yuǎn)程移動(dòng)用戶可以通過撥號連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。而VPN技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于VPN所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對VPN系統(tǒng)應(yīng)用來說也是非常必要的。 （5）應(yīng)用層安全保護(hù)這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。在員工進(jìn)入ERP系統(tǒng)時(shí)需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強(qiáng)的認(rèn)證機(jī)制，保證不同權(quán)限的、不同級別的用戶安全合法的使用ERP系統(tǒng)。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：l 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。l 單一密碼容易泄露，一旦密碼泄露，其惡果可能會(huì)很嚴(yán)重。l 高級別的用戶在遠(yuǎn)程授權(quán)以后，需要及時(shí)地更改密碼。以上討論了企業(yè)網(wǎng)絡(luò)系統(tǒng)各個(gè)不同應(yīng)用的安全認(rèn)證問題，不難看出，上述的應(yīng)用都必須在原有的單一靜態(tài)認(rèn)證基礎(chǔ)上，增加更加強(qiáng)大的認(rèn)證手段，因此我們建議在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)內(nèi)引入動(dòng)態(tài)認(rèn)證機(jī)制，即動(dòng)態(tài)的SecurID。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認(rèn)證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的安全，驗(yàn)證用戶身份，并創(chuàng)建用戶登錄日志文件。為了使系統(tǒng)的認(rèn)證操作和對非法訪問的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來操作完成，即對所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問的服務(wù)請求，通過防火墻“掐斷”其訪問連接，而不是通過應(yīng)用系統(tǒng)直接拒絕訪問服務(wù)。這是防火墻系統(tǒng)設(shè)計(jì)時(shí)必須考慮的可實(shí)現(xiàn)功能之一[4]。任何一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計(jì)。如果防火墻選型設(shè)計(jì)的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計(jì)滿足要求，同樣也會(huì)因?yàn)榉阑饓Φ男史恋K網(wǎng)絡(luò)的應(yīng)用，嚴(yán)重的話會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實(shí)證明的。因此，本設(shè)計(jì)有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的要求分析。（1）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團(tuán)公司幾乎所有的業(yè)務(wù)活動(dòng)和管理方面的應(yīng)用，例如ERP、OA、財(cái)務(wù)、網(wǎng)絡(luò)視頻會(huì)議應(yīng)用等等。任何一個(gè)應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個(gè)層次來實(shí)現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達(dá)到其應(yīng)用的目的。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺（服務(wù)器端）的結(jié)構(gòu)形式會(huì)對網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡單而言，不同的應(yīng)用模式，對網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標(biāo)要求。企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)?，F(xiàn)在正在進(jìn)行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實(shí)現(xiàn)集中式的B/S結(jié)構(gòu)模式。同時(shí)隨著公司規(guī)模的擴(kuò)大和業(yè)務(wù)領(lǐng)域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會(huì)隨著系統(tǒng)應(yīng)用規(guī)模的擴(kuò)大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設(shè)計(jì)時(shí)對產(chǎn)品的取舍。（2）面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計(jì)要求根據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展，我們認(rèn)為著重考慮企業(yè)的B/S結(jié)構(gòu)應(yīng)用特點(diǎn)，是防火墻系統(tǒng)技術(shù)指標(biāo)設(shè)計(jì)的主要依據(jù)。[6]眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)性能影響最為主要的是兩個(gè)參數(shù)指標(biāo)，一個(gè)是防火墻的TCP連接處理能力（并發(fā)會(huì)話處理數(shù)），另一個(gè)是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護(hù)的成本很低的優(yōu)點(diǎn)，但是在網(wǎng)絡(luò)上B/S結(jié)構(gòu)應(yīng)用系統(tǒng)將會(huì)給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)處理壓力，而且是并發(fā)的。具體來說，B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會(huì)給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā)TCP會(huì)話數(shù)量，而且這些會(huì)話絕大部分是包長很短的“垃圾”IP包。由此可見，在設(shè)計(jì)企業(yè)防火墻系統(tǒng)時(shí)，足夠大的TCP會(huì)話處理能力，是我們選擇防火墻（包括VPN）產(chǎn)品考慮的主要因素。通過對各類防火墻的比較分析，我們認(rèn)為目前面向B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備