【正文】 目錄1 網(wǎng)絡(luò)安全實(shí)施的難點(diǎn)分析 1 IT系統(tǒng)建設(shè)面臨的問題 1 IT 系統(tǒng)運(yùn)維面臨的問題 22 系統(tǒng)安全 2 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 2 設(shè)備安全風(fēng)險(xiǎn)分析 2 網(wǎng)絡(luò)安全系統(tǒng)分析 3 系統(tǒng)安全風(fēng)險(xiǎn)分析 3 應(yīng)用安全風(fēng)險(xiǎn)分析 4 數(shù)據(jù)安全風(fēng)險(xiǎn)分析 4 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì) 4 設(shè)備安全 4 網(wǎng)絡(luò)安全 4 系統(tǒng)安全 5 應(yīng)用安全 6 數(shù)據(jù)安全 6 系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì) 7 防火墻系統(tǒng) 7 防火墻的基本類型 7 常用攻擊方法 10 常用攻擊對(duì)策 10 VPN路由器 11 IDS 入侵檢測(cè) 11 CA認(rèn)證與SSL加密 13 CA的作用 13 CA系統(tǒng)簡(jiǎn)介 14 SSL加密 17 防病毒系統(tǒng) 19 病毒的類型 19 病毒的檢測(cè) 22 防病毒建議方案 24 網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng) 24 SAN網(wǎng)絡(luò)存儲(chǔ)/備份/災(zāi)難恢復(fù)： 243 業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì) 24 網(wǎng)絡(luò)安全設(shè)計(jì)原則 24 系統(tǒng)的安全設(shè)計(jì) 25 威脅及漏洞 25 計(jì)說明 26 系統(tǒng)的安全設(shè)計(jì) 27 各業(yè)務(wù)系統(tǒng)的分離 27 敏感數(shù)據(jù)區(qū)的保護(hù) 28 通迅線路數(shù)據(jù)加密 29 防火墻自身的保護(hù) 30 網(wǎng)絡(luò)安全設(shè)計(jì) 31 設(shè)計(jì)說明： 3334 / 371 網(wǎng)絡(luò)安全實(shí)施的難點(diǎn)分析 IT系統(tǒng)建設(shè)面臨的問題企業(yè)在IT系統(tǒng)建設(shè)過程中，往往面臨以下方面的問題；其一：專業(yè)人員少，因?yàn)槿魏我粋€(gè)企業(yè)的IT系統(tǒng)建設(shè)，往往都是為企業(yè)內(nèi)部使用，只有自己最為了解自己企業(yè)的需求，但是往往企業(yè)內(nèi)部的專業(yè)人員比較少。其二：經(jīng)驗(yàn)不足，專業(yè)性不強(qiáng)，由于企業(yè)內(nèi)部的專業(yè)人員僅僅著眼于本企業(yè)自身的需求，項(xiàng)目實(shí)施的少，相應(yīng)的項(xiàng)目經(jīng)驗(yàn)欠缺專業(yè)性不強(qiáng)；其三：效率不高，效果不好，應(yīng)為欠缺對(duì)系統(tǒng)建設(shè)的系統(tǒng)知識(shí)和經(jīng)驗(yàn)，總是在摸索著前進(jìn)，在這個(gè)過程中，實(shí)施人員和使用人員的積極性就會(huì)降低，無法按照預(yù)期完成項(xiàng)目。 IT 系統(tǒng)運(yùn)維面臨的問題2 系統(tǒng)安全 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 設(shè)備安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、存儲(chǔ)設(shè)備的安全是保證網(wǎng)絡(luò)安全運(yùn)行的一個(gè)重要因素。為了保證網(wǎng)絡(luò)的安全而制定的安全策略都是由網(wǎng)絡(luò)設(shè)備執(zhí)行的，如果一些非網(wǎng)絡(luò)管理人員故意或無意對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行非法操作，勢(shì)必會(huì)對(duì)網(wǎng)絡(luò)的安全造成影響，甚至是重大的安全事故。因此，沒有網(wǎng)絡(luò)設(shè)備的安全，網(wǎng)絡(luò)設(shè)備的安全就無從談起。所以，必須從多個(gè)層面來保證網(wǎng)絡(luò)設(shè)備的安全。 網(wǎng)絡(luò)安全系統(tǒng)分析網(wǎng)絡(luò)層位于系統(tǒng)平臺(tái)的最低層，是信息訪問、共享、交流和發(fā)布的必由之路，也是黑客（或其它攻擊者）等進(jìn)行其截獲、竊聽竊取信息、篡改信息、偽造和冒充等攻擊的必由之路。所以，網(wǎng)絡(luò)層所面臨的安全風(fēng)險(xiǎn)威脅是整個(gè)系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)之一。網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)包括以下幾方面：l 黑客攻擊外網(wǎng)通過防火墻與Internet公眾網(wǎng)相連，所以Internet上的各種各樣的黑客攻擊、病毒傳播等都可能威脅到系統(tǒng)的安全。其存在的安全風(fēng)險(xiǎn)主要是黑客攻擊，竊取或篡改重要信息，攻擊網(wǎng)站等。許多機(jī)器臨時(shí)性（甚至經(jīng)常性的）連接到外網(wǎng)上或直接連接到Internet上。這樣Internet上的黑客或敵對(duì)勢(shì)力使用木馬等黑客攻擊手段，就可以將該員工機(jī)器用作一個(gè)偵察站。l 網(wǎng)內(nèi)可能存在的相互攻擊由于公司內(nèi)網(wǎng)中的各級(jí)網(wǎng)絡(luò)互連，這些設(shè)備在網(wǎng)絡(luò)層是可以互通的，在沒有任何安全措施的情況下，一個(gè)單位的用戶可以連接到另一個(gè)單位使用的機(jī)器，訪問其中的數(shù)據(jù)。這樣就會(huì)造成網(wǎng)絡(luò)間的互相病毒等其他因素引起的網(wǎng)絡(luò)攻擊。 系統(tǒng)安全風(fēng)險(xiǎn)分析系統(tǒng)安全通常分為系統(tǒng)級(jí)軟件比如操作系統(tǒng)、數(shù)據(jù)庫(kù)等的安全漏洞、病毒防治。系統(tǒng)軟件安全漏洞系統(tǒng)級(jí)軟件比如操作系統(tǒng)、數(shù)據(jù)庫(kù)等總是存在著這樣那樣的安全漏洞，包括已發(fā)現(xiàn)或未發(fā)現(xiàn)的安全漏洞。病毒侵害計(jì)算機(jī)病毒一直是困擾每一個(gè)計(jì)算機(jī)用戶的重要問題，一旦計(jì)算機(jī)程序被感染了病毒，它就有可能破壞掉用戶工作中的重要信息。網(wǎng)絡(luò)使病毒的傳播速度極大的加快，公司內(nèi)部網(wǎng)絡(luò)與Internet相連，這意味著每天可能受到來自世界各地的新病毒的攻擊。 應(yīng)用安全風(fēng)險(xiǎn)分析基于B/S模式的業(yè)務(wù)系統(tǒng)由于身份認(rèn)證、數(shù)據(jù)傳輸、訪問控制、授權(quán)、口令等存在安全隱患，從而對(duì)整個(gè)系統(tǒng)造成安全威脅。 數(shù)據(jù)安全風(fēng)險(xiǎn)分析在系統(tǒng)中存放有的重要的數(shù)據(jù)。這些數(shù)據(jù)如被非法復(fù)制、篡改、刪除，或是因各種天災(zāi)人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)針對(duì)上面提到的種種安全風(fēng)險(xiǎn)，對(duì)系統(tǒng)安全進(jìn)行設(shè)計(jì)。 設(shè)備安全設(shè)備安全在這里主要指控制對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備的訪問，包括物理訪問和登錄訪問兩種。針對(duì)訪問的兩種方式采取以下措施：對(duì)基礎(chǔ)設(shè)施采取防火、防盜、防靜電、防潮措施。系統(tǒng)主機(jī)應(yīng)采用雙機(jī)熱備（主備/互備）方式，構(gòu)成集群系統(tǒng)；系統(tǒng)關(guān)鍵通信設(shè)備應(yīng)考慮冗余備份；要求利用系統(tǒng)監(jiān)控工具，實(shí)時(shí)監(jiān)控系統(tǒng)中各種設(shè)備和網(wǎng)絡(luò)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)故障或故障苗頭，及時(shí)采取措施，排除故障，保障系統(tǒng)平穩(wěn)運(yùn)行。 網(wǎng)絡(luò)安全為保障網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)上要采取以下措施：l 設(shè)立防火墻。防火墻作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，一般用在企業(yè)網(wǎng)與Internet等公眾網(wǎng)之間的連接點(diǎn)處，防護(hù)來自外部的攻擊，并過濾掉不安全的服務(wù)請(qǐng)求和非法用戶進(jìn)入；l 在內(nèi)部系統(tǒng)的Web服務(wù)器到應(yīng)用服務(wù)器之間設(shè)置防火墻，防止來自內(nèi)部的攻擊和破壞，保證系統(tǒng)的安全；l 進(jìn)行入侵檢測(cè)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的關(guān)鍵結(jié)點(diǎn)的信息進(jìn)行收集分析, 檢測(cè)其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知系統(tǒng)安全管理員。l 采用相應(yīng)技術(shù)和手段，保證網(wǎng)絡(luò)安全。對(duì)傳輸數(shù)據(jù)進(jìn)行加密，保障數(shù)據(jù)傳輸安全l 防止網(wǎng)頁(yè)的篡改；利用防護(hù)工具防止黑客篡改或非法破壞網(wǎng)頁(yè)，保證網(wǎng)站網(wǎng)頁(yè)安全。針對(duì)防止網(wǎng)頁(yè)篡改，推薦使用InforGuard。InforGuard主要提供文件監(jiān)控保護(hù)功能，保證文件系統(tǒng)安全，防止被非法修改。InforGuard適用于網(wǎng)站網(wǎng)頁(yè)文件的安全保護(hù)，解決了網(wǎng)站被非法修改的問題，是一套安全、高效、簡(jiǎn)單、易用的網(wǎng)頁(yè)保護(hù)系統(tǒng)；采用數(shù)字證書技術(shù)實(shí)現(xiàn)InforGuard的用戶管理，加強(qiáng)了對(duì)Web站點(diǎn)目錄的ftp用戶和口令的保護(hù)，防止了ftp口令泄漏造成的安全隱患；通過用戶操作日志提供對(duì)網(wǎng)頁(yè)文件更新過程的全程監(jiān)控。從而保證了網(wǎng)站網(wǎng)頁(yè)文件的絕對(duì)安全。l 定期進(jìn)行安全檢查，查補(bǔ)安全漏洞，采用漏洞掃描軟件對(duì)內(nèi)部服務(wù)器瀏覽器和所有網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，及時(shí)彌補(bǔ)各類安全漏洞。 系統(tǒng)安全應(yīng)用安全的解決往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，所以對(duì)系統(tǒng)級(jí)軟件的安全防范突顯其重要性；由于病毒通過Internet網(wǎng)，可以在極短的時(shí)間內(nèi)傳到Internet的各個(gè)角落，而病毒對(duì)系統(tǒng)穩(wěn)定性和數(shù)據(jù)安全性的威脅眾所周知，所以對(duì)病毒的預(yù)防是一項(xiàng)十分重要的工作；同時(shí)對(duì)一些專用服務(wù)器的特別防護(hù)也是我們保證系統(tǒng)良好運(yùn)行的前提。下面就從系統(tǒng)漏洞防護(hù)、病毒防護(hù)和專用服務(wù)器防護(hù)等方面來闡述安全防范的措施。l 系統(tǒng)安全漏洞防護(hù)：通過系統(tǒng)掃描工具，定期檢查系統(tǒng)中與安全有關(guān)的軟件、資源、各廠商安全“補(bǔ)丁包”的情況，發(fā)現(xiàn)問題及時(shí)報(bào)告并給出解決建議。l 病毒防護(hù)：在內(nèi)網(wǎng)和外網(wǎng)中分別設(shè)置網(wǎng)絡(luò)防病毒軟件控制中心，安裝網(wǎng)絡(luò)版的防病毒控制臺(tái)，在服務(wù)器系統(tǒng)和網(wǎng)絡(luò)內(nèi)的主機(jī)均安裝防病毒軟件的客戶端。管理員負(fù)責(zé)每天檢查有沒有新的病毒庫(kù)更新，并對(duì)防病毒服務(wù)器上的防病毒軟件進(jìn)行及時(shí)更新。然后再由防病毒服務(wù)器將最新的病毒庫(kù)文件下發(fā)到各聯(lián)網(wǎng)的機(jī)器上，實(shí)現(xiàn)全網(wǎng)統(tǒng)一、及時(shí)的防病毒軟件更新，防止因?yàn)樯贁?shù)內(nèi)部用戶的疏忽，感染病毒，導(dǎo)致病毒在全網(wǎng)的傳播。l 專用服務(wù)器的專門保護(hù)：針對(duì)重要的、最常受到攻擊的應(yīng)用系統(tǒng)實(shí)施特別的保護(hù)。對(duì)WEB服務(wù)器保護(hù)對(duì)Web訪問、監(jiān)控/阻塞/報(bào)警、入侵探測(cè)、攻擊探測(cè)、惡意applets、惡意Email等在內(nèi)的安全政策進(jìn)行明確規(guī)劃。對(duì)Email服務(wù)程序、瀏覽器，采取正確的配置與及時(shí)下載安全補(bǔ)丁實(shí)現(xiàn)。 應(yīng)用安全針對(duì)人為操作造成的風(fēng)險(xiǎn)，必須從系統(tǒng)的應(yīng)用層進(jìn)行防范，因此應(yīng)用系統(tǒng)在建設(shè)時(shí)需考慮系統(tǒng)的安全性。具體包括以下幾個(gè)方面：l 訪問控制：操作系統(tǒng)的用戶管理、權(quán)限管理；限制用戶口令規(guī)則和長(zhǎng)度，禁止用戶使用簡(jiǎn)單口令，強(qiáng)制用戶定期修改口令；按照登錄時(shí)間、登錄方式限制用戶的登錄請(qǐng)求；加強(qiáng)文件訪問控制管理，根據(jù)訪問的用戶范圍，設(shè)置文件的讀、寫、執(zhí)行權(quán)限；對(duì)重要資料設(shè)置被訪問的時(shí)間和日期。l 權(quán)限控制和管理：按照單位、部門、職務(wù)、工作性質(zhì)等對(duì)用戶進(jìn)行分類，不同的用戶賦予不同的權(quán)限、可以訪問不同的系統(tǒng)、可以操作不同的功能模塊；應(yīng)用系統(tǒng)的權(quán)限實(shí)行分級(jí)管理，每個(gè)系統(tǒng)的管理員自己定義各類用戶對(duì)該系統(tǒng)資源的可訪問內(nèi)容。l 身份驗(yàn)證：通過采用口令識(shí)別、數(shù)字認(rèn)證方式，來確保用戶的登錄身份與其真實(shí)身份相符，保證數(shù)據(jù)的安全性、完整性、可靠性和交易的不可抵賴性、增強(qiáng)顧客、商家、企業(yè)等對(duì)網(wǎng)上交易的信心。l 數(shù)據(jù)加密存儲(chǔ)：關(guān)聯(lián)及關(guān)鍵數(shù)據(jù)加密存儲(chǔ)，提取數(shù)據(jù)庫(kù)中表間關(guān)聯(lián)數(shù)據(jù)或重要數(shù)據(jù)信息，采用HASH算法，生成一加密字段，存放在數(shù)據(jù)表中，保證數(shù)據(jù)庫(kù)中關(guān)聯(lián)數(shù)據(jù)的一致性、完整性，防止重要數(shù)據(jù)的非法篡改。l 日志記載：數(shù)據(jù)庫(kù)日志：使得系統(tǒng)發(fā)生故障后能提供數(shù)據(jù)動(dòng)態(tài)恢復(fù)或向前恢復(fù)等功能，確保數(shù)據(jù)的可靠性和一致性。應(yīng)用系統(tǒng)日志：通過記錄應(yīng)用系統(tǒng)中操作日志，通過事后審計(jì)功能為將來分析提供數(shù)據(jù)分析源，確保業(yè)務(wù)的可追溯性。 數(shù)據(jù)安全業(yè)務(wù)數(shù)據(jù)是業(yè)務(wù)系統(tǒng)運(yùn)行的重要元素，也是企業(yè)中寶貴的資源。這些數(shù)據(jù)如被非法復(fù)制、篡改、刪除，或是因系統(tǒng)崩潰及各種天災(zāi)人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。由此造成的損失將是巨大的。為了保證數(shù)據(jù)的安全，通常的做法是對(duì)數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份解決方案大致可以分為兩種：數(shù)據(jù)級(jí)的備份和系統(tǒng)級(jí)的備份。數(shù)據(jù)級(jí)的備份是指對(duì)存儲(chǔ)在磁盤陣列、磁帶庫(kù)等設(shè)備上的數(shù)據(jù)的備份。系統(tǒng)級(jí)備份主要是指對(duì)服務(wù)器系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等系統(tǒng)的備份。對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)備份，有兩種方式可以選擇：