【正文】 ................................................15 網(wǎng)絡(luò)安全的外部問(wèn)題 ........................................................................................................15 網(wǎng)絡(luò)安全的內(nèi)部問(wèn)題 .........................................................................................................16 網(wǎng)絡(luò)防護(hù) ...................................................................................................................................16 3 登陸控制 ..........................................................................................................................16 防火墻 ..............................................................................................................................17 后期安全服務(wù) ............................................................................................................................17 網(wǎng)絡(luò)拓?fù)浞治? ...................................................................................................................17 操作系統(tǒng)補(bǔ)丁升級(jí) ............................................................................................................18 防病毒軟件病毒庫(kù)定期升級(jí) ...............................................................................................18 服務(wù)器定期掃描加固 .........................................................................................................18 防火墻日志備份、分析 ......................................................................................................18 入侵檢測(cè)等安全設(shè)備日志備份 ...........................................................................................18 服務(wù)器日志備份 ................................................................................................................18 設(shè)備備份系統(tǒng) ....................................................................................................................18 信息備份系統(tǒng) ....................................................................................................................19 網(wǎng)絡(luò)管理員的責(zé)任 ......................................................................................................................19 公司內(nèi)部制定安全規(guī)章 ...............................................................................................................19 4 簡(jiǎn)介 本文結(jié)合中小型網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的實(shí)例，重點(diǎn)研究計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題，對(duì)不同的網(wǎng)絡(luò)安全方案進(jìn)行 優(yōu)化、集中和協(xié)同，從而盡可能的使本網(wǎng)絡(luò)安全系統(tǒng)保持可擴(kuò)展性、健壯性，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的結(jié)果。主要研究工作有： 1. 查找和收集網(wǎng)絡(luò)安全相關(guān)的資料，剖析網(wǎng)絡(luò)攻擊的手段，分析影響網(wǎng)絡(luò)安全的因素。 。 、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、病毒的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)、管理的安全風(fēng)險(xiǎn)，提出了具體的需求和設(shè)計(jì)依據(jù)。 絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)和總體規(guī)劃，設(shè)計(jì)了中小型網(wǎng) 絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對(duì)方案進(jìn)行了實(shí)現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。 1 系統(tǒng)需求分析 企業(yè)需求 該中小型企業(yè)大約需要 100 臺(tái)計(jì)算機(jī)；其中包含了三個(gè)部門(mén)（研發(fā)部，財(cái)務(wù)部，市場(chǎng)部）；通過(guò)專(zhuān)線接入到 Inter，已經(jīng)獲得 10 個(gè)真實(shí) IP 地址；企業(yè)有獨(dú)立對(duì)外的 Web 服務(wù)器、 Email 服務(wù)器，內(nèi)部有專(zhuān)用私有文件服務(wù)器，保存企業(yè)研發(fā)重要文檔，每個(gè)員工有自己獨(dú)立的企業(yè)郵箱。 網(wǎng)絡(luò)實(shí)現(xiàn) 功能 （ 1）資源共享功能：網(wǎng)絡(luò)內(nèi)的各個(gè)計(jì)算機(jī)可共享文件服務(wù)器，實(shí)現(xiàn)研發(fā)文檔的上傳下 載，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。 （ 2）安全通信功能：企業(yè)可通過(guò)專(zhuān)線接入到 Inter，企業(yè)員工有獨(dú)立的企業(yè)郵箱，并可以通過(guò)廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn) Web 應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行對(duì)廣域網(wǎng)的訪問(wèn)。同時(shí)，在所有通信過(guò)程中應(yīng)當(dāng)保證客戶端與服務(wù)器端，以及內(nèi)部和外部和內(nèi)部與內(nèi)部的所有通信是安全的和透明的。 網(wǎng)絡(luò)系統(tǒng)安全分析 正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán)，一個(gè)性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái)，能夠以低的安全代價(jià)換得高的安全強(qiáng)度。下面對(duì)中小型公司的具體狀況從物理層安全、網(wǎng)絡(luò) 層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅及管理安全進(jìn)行分類(lèi)描述網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。 物理層安全風(fēng)險(xiǎn) 因?yàn)榫W(wǎng)絡(luò)物理層安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。一般的物理安全風(fēng)險(xiǎn)主要有： 電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失。 、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅。 5 射可能造成數(shù)據(jù)信息被竊取或偷閱。 。針對(duì)中小型公司物理層安全是指由于網(wǎng)絡(luò)系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如移動(dòng)設(shè)備、服務(wù)器如 PC 服務(wù)器、交換機(jī)，那么這些設(shè)備的自身安全性 也會(huì)直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。物理安全的威脅可以直接造成設(shè)備的損壞，系統(tǒng)和網(wǎng)絡(luò)的不可用，數(shù)據(jù)的直接損壞或丟失等等。為了保證中小型公司系統(tǒng)的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國(guó)家標(biāo)準(zhǔn)，同時(shí)對(duì)重要的網(wǎng)絡(luò)設(shè)備采用 UPS 不間斷穩(wěn)壓電源，對(duì)重要的設(shè)備如數(shù)據(jù)庫(kù)服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對(duì)安全計(jì)算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對(duì)重要的通訊線路采用備份等等。 系統(tǒng)層安全風(fēng)險(xiǎn) 中小型企業(yè)網(wǎng)絡(luò)采用的操作系統(tǒng)（主要為 UNIX， Windows NT / Workstation， Windows20xx server / professional， Windows ME）本身在安全方面考慮的較少，服務(wù)器的安全級(jí)別較低，存在若干安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。在中小型公司的網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有：交換機(jī)，服務(wù)器，工作站等。在服務(wù)器上主要有操作系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)，交換機(jī)上也有相應(yīng)的操作系統(tǒng)。所有的這些設(shè)備、軟件系統(tǒng)都可能會(huì)存在著各種各樣的漏洞，這些都是重大安全隱患。一旦被利用并攻擊，將帶來(lái)不可估量的損失。 網(wǎng) 絡(luò)層安全風(fēng)險(xiǎn) 網(wǎng)絡(luò)邊界的安全風(fēng)險(xiǎn)分析：該中小型公司校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對(duì)訪問(wèn)加以控制 [6]。 由于中小型公司中小型公司校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析：中小型公司中小型公司校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來(lái)自如下兩個(gè)方面：內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來(lái)的威脅 。線路竊聽(tīng)。 數(shù)據(jù)傳輸?shù)陌踩L(fēng) 險(xiǎn) 由于在中小型企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽(tīng)的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。如果沒(méi)有專(zhuān)門(mén)的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制，所有的通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。這種形式的 “攻擊 ”是相對(duì)比較容易成功的。造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性。 病毒的安全風(fēng)險(xiǎn) 傳統(tǒng)的計(jì)算機(jī)病毒傳播手段是通過(guò)存儲(chǔ)介質(zhì)進(jìn)行的，當(dāng)企業(yè)員工在交換存儲(chǔ)著數(shù)據(jù)的介質(zhì)時(shí)，隱藏在其中的計(jì)算機(jī) 病毒就從一臺(tái)計(jì)算機(jī)轉(zhuǎn)移到另外的計(jì)算機(jī)中。而現(xiàn)代的病毒傳播手段主要是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺(tái)客戶機(jī)被病毒感染，迅速通過(guò)網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的上百臺(tái)機(jī)器。員工們?cè)谏暇W(wǎng)瀏覽網(wǎng)頁(yè)、收發(fā)電子郵件，下載資料的時(shí)候，都有可能被病毒傳染。 6 管理的安全風(fēng)險(xiǎn) 管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。責(zé)任不清，使用相同 的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn) [10]。網(wǎng)絡(luò)安全管理是防止來(lái)自?xún)?nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上功夫外，還得靠安全管理來(lái)實(shí)現(xiàn)。隨著中小型公司整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級(jí)和安全管理范圍 。制訂有關(guān)網(wǎng)絡(luò)操作使用 規(guī)程和出入機(jī)房管理制度 。制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。通過(guò)制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問(wèn)權(quán)限，提高管理人員的安全防范意識(shí)，做到實(shí)時(shí)監(jiān)控檢測(cè)網(wǎng)絡(luò)的活動(dòng)，并在危害發(fā)生時(shí)，做到及時(shí)報(bào)警。 企業(yè)網(wǎng)的安全目標(biāo) 從技術(shù)角度來(lái)說(shuō)，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可用性、不可抵賴(lài)性等方面。網(wǎng)絡(luò)安全的意義，就在于資料、信賴(lài)關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個(gè)要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。而且，只為合適的用戶服務(wù)。與此同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)自身存在的局限性和信 息系統(tǒng)的脆弱性，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等