【正文】 透到金融、商務(wù)、國防等等關(guān)鍵要害領(lǐng)域。據(jù)統(tǒng)計，世界上 95%以上的網(wǎng)站均存在不同程度的漏洞，其中有 80%以上的網(wǎng)站存在嚴(yán)重的安全漏洞，包括排名在前十位的門戶網(wǎng)站和電子商務(wù)網(wǎng)站；有 40%以上的內(nèi)部網(wǎng)容易被黑客攻破。這說明計算機犯罪已經(jīng)滲入到 政府機關(guān)、軍事部門、商業(yè)、企業(yè)等單位，其它的用戶網(wǎng)絡(luò)所受到的威脅由此就可想而知了。 安全保障能力是新世紀(jì)一個國家綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分。再者系統(tǒng)的安全漏洞和系統(tǒng)的加密系統(tǒng)已經(jīng)不再像以前一樣僅僅被為數(shù)不多的專業(yè)人士知道，在國際互聯(lián)網(wǎng)上，有數(shù)以萬計的黑客站點在時時刻刻地發(fā)布這些信息，并提供各種工具和技術(shù)以利用這些漏洞和破解保密體系，進(jìn)行系統(tǒng)攻擊。 因此，保護(hù)網(wǎng)絡(luò)的安全刻不容緩！ 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 第二章 網(wǎng)絡(luò)安全風(fēng)險分析 網(wǎng)絡(luò)應(yīng)用給人們帶來了無盡的好處，但隨著網(wǎng)絡(luò)應(yīng)用擴大網(wǎng)絡(luò)安全風(fēng)險也變得更加嚴(yán)重和復(fù)雜。在網(wǎng) 絡(luò) 工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。 鏈路傳輸風(fēng)險分析 網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取 你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析 來自與公網(wǎng)互聯(lián)的安全危脅 如果圖書館內(nèi)部網(wǎng)絡(luò)與 Inter 公網(wǎng)有互連。假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。另外，內(nèi)部人員在不知道的情況下，把一些夾雜了有害程序的文件通過網(wǎng)絡(luò)進(jìn)行傳播，或者被黑客抓住機會把黑客程序放在共享資源目錄做陷阱，乘機控制并入侵他人主機。我們都知道就目前的操作系統(tǒng)或應(yīng)用系統(tǒng)，無論是 Windows，還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)都存在著 BUG，據(jù)統(tǒng)計在一個 1000行的程序里就將有一個 BUG，而象 Windows 2021 這個約有三千五百萬行至五千萬行的操作系統(tǒng)，其中會存在多少BUG 呢？而這些 BUG 都將存在重大安全隱患，可想而知其安全性如何。所有的這些設(shè)備、軟件系統(tǒng)都或多或少地存在著各種各樣的“后四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 門”和漏洞，這 些都是重大的安全隱患。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共、打印機共享等。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 病毒侵害 網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。 WWW 服務(wù)漏洞 Web 服務(wù)器本身不能保證沒有漏洞，不法分子可能利用服務(wù)的漏 洞修改頁面，甚至破壞服務(wù)器。 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。 第三章 圖書館網(wǎng)絡(luò)系統(tǒng)概況 基本網(wǎng)絡(luò)結(jié)構(gòu) 在電子科技大學(xué)圖書館內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，廣泛的分布著工作人員用機（日常工作、處理圖書流動信息等）、學(xué)生用機（包括查詢圖書信息、電子閱覽室上網(wǎng)等）以及我們重要的各種應(yīng)用服務(wù)器系統(tǒng)，在這些重要的應(yīng)用服務(wù)器中既有 WEB 服務(wù)器、 FTP 服務(wù)器等一般應(yīng)用服務(wù)器，更有著核心應(yīng)用系統(tǒng)的服務(wù)器，它存儲著整個圖書館系統(tǒng)的所有圖書流動記錄、圖書編目信息等等圖書館的核心（或機密）信息，我們整個圖書館網(wǎng)絡(luò)信息系統(tǒng)的主要應(yīng)用全是基于它而正常工作的。 圖書館局域網(wǎng)通過校園骨干網(wǎng)，接入學(xué)校網(wǎng)絡(luò)信息中心，構(gòu)成一個對外數(shù)據(jù)通路；再由網(wǎng)絡(luò)信息中心邊界路由器通過專線與中國教育和科研網(wǎng)或其它網(wǎng)絡(luò)連接，實現(xiàn)與因特網(wǎng)互聯(lián)。 ? WWW服務(wù)器 Web Server： 利用 HTTP服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)，從而對圖書館網(wǎng)絡(luò)信息系統(tǒng)造成破壞。而川大圖書館的內(nèi)部 Email系統(tǒng)覆蓋面廣。 ? 通過設(shè)置有效的安全策略，確保只允許符合安全策略的內(nèi)外網(wǎng)絡(luò)之間的訪問與服務(wù)，保證內(nèi)部網(wǎng)絡(luò)免受外部攻擊。 網(wǎng)絡(luò)防病毒的實現(xiàn) 防毒產(chǎn)品的選擇 為了 實現(xiàn)對圖書館網(wǎng)絡(luò)系統(tǒng)的整體病毒防護(hù)，我們建議采用趨勢科技（ TrendMicro）整體病毒解決方案。為此， TREND 科技早在 1991年就利用其服務(wù)器防毒的核心技術(shù)和美國英特爾（ Intel）公司合作，共同推出運行在 Netware 服務(wù)器上的 LDVP（ LANDesk Virus Protect）。 網(wǎng)絡(luò)工作站的防護(hù)位于防毒體系中的最底層，對網(wǎng)絡(luò)計算機用戶而言，也是最后一道查、殺、清、防病毒的要塞。根據(jù)國際計算機安全協(xié)會（ ICSA） 2021 年的報告，因使用電子郵件而中毒的事件已占所有中毒事件的86％，且其比率正在持續(xù)升高之中。該系統(tǒng)將傳統(tǒng)的二層式主從結(jié)構(gòu)管理模式，擴展為三層式主從結(jié)構(gòu)模式，介于客戶端與瀏覽器之間的 CM 服務(wù)器可以將龐大而復(fù)雜的產(chǎn)品，集中統(tǒng)籌管理。隨著全球采用的計算機標(biāo)準(zhǔn)不斷推陳出新，趨勢科技也持續(xù)研發(fā)出創(chuàng)新的技術(shù)與策略，以確保信息環(huán)境的安全。 趨勢科技防病毒軟件分類 ? 服務(wù)器防病毒系統(tǒng)：選用服務(wù)器防病毒系統(tǒng)，實時檢測并清除各種病毒、自動更新及傳送病毒碼文件、提供詳細(xì)病毒事件報告；還提供集中式安裝及管理，為內(nèi)部服務(wù)器的病毒防護(hù)提供強有力的保障。 ? 郵件服務(wù)器防病毒系統(tǒng)：通過檢測進(jìn)出郵件服務(wù)器 的郵件及其所帶附件中的病毒程序，專門保護(hù)郵件服務(wù)器系統(tǒng)的安全。防火墻 能根據(jù) 我們圖書館網(wǎng)絡(luò) 的安全策略控制 進(jìn) 入 內(nèi)部網(wǎng) 絡(luò)的信息流， 它通過在外界網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊數(shù)據(jù) ，根據(jù)預(yù)先設(shè)定的安全規(guī)則，保護(hù)整個內(nèi)部網(wǎng)絡(luò)的安全。防火墻作為外界網(wǎng)絡(luò)和內(nèi)部網(wǎng)之間信息訪問的唯一通道，這樣所有的訪問必須通過防火墻的過濾。 SecuiWALL NXG 系列主要功能如下： 特性 NXG 2021 NXG 200 NXG 100 并發(fā)會話 1,000,000 200,000 100,000 每秒處理的新會話數(shù) 80,000 40,000 20,000 防火墻流量能力 (單向 ) 2Gbps 350Mbps 200Mbps 3DES(168 位 ) 300Mbps 200Mbps 50Mbps 策略數(shù)（ Policies） 80,000 30,000 20,000 VPN通道數(shù) 50,000 5,000 400 接口 1 個 10/100BaseT 7 個 10/100BaseT 6 個 10/100BaseT 4 個 GBIC 2 個 1000BaseT 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 全中文的圖形化控 制方式 由于邊界防火墻起著封堵黑客行為和國外不良站點的雙重任務(wù)，必然導(dǎo)致其過濾規(guī)則不斷膨脹。不僅可以使防火墻作為路由設(shè)備，把內(nèi)網(wǎng) IP 地址轉(zhuǎn)換為公網(wǎng) IP 節(jié)約公網(wǎng)地址，而且可對多種應(yīng)用進(jìn)行代理（ HTTP,SMTP 等）過濾有害的網(wǎng)站、代碼，讓我們的網(wǎng)絡(luò)更強壯、安全。而普遍的狀態(tài)檢測技術(shù)， 數(shù)據(jù)可能被阻斷。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 有害網(wǎng)站的過濾 三星 SecuiWALL NXG 防火墻通過帶寬管理，針對時間、 IP、應(yīng)用等的帶寬使用率，確保業(yè)務(wù)數(shù)據(jù)流量的帶寬，提高網(wǎng)絡(luò)管理效率。此外還提供了加權(quán)的負(fù)載均衡地址翻譯功能（ LSNAT）。通過，反向 HTTP代理可以進(jìn)行對 WWW 服務(wù)器的負(fù)載均衡－基于 地址的負(fù)載均衡和基于內(nèi)容的負(fù)載均衡。 URL 攔截，在圖書館網(wǎng)絡(luò)上存在各種需要對外保密的信息。防火墻為抵御入侵行為，需具備實時檢測及攔截功能，并及時向管理員報警，以有效防范各類入侵行為。 為了更完備的防御來自內(nèi)網(wǎng)和外網(wǎng)的入侵和破壞，到達(dá)更好的防御保護(hù)效果，建議在需要重點防護(hù)的網(wǎng)絡(luò) 匯聚處采用基于硬件的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 控制中心與探測引擎 通信加密，探測器和控制中心互相認(rèn)證，防止欺騙。 關(guān)閉所有端口及服務(wù)，對于外界它是個透明的設(shè)備，是無法通過掃描等手段在網(wǎng)絡(luò)中找到它的位置的。 天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)能識別、防范探測攻擊、拒絕服務(wù)攻擊、緩沖溢出攻擊、web 攻擊、 攻 擊、非授權(quán)訪問、網(wǎng)絡(luò)服務(wù)缺陷攻擊等多種攻擊； 國內(nèi)最完備的事件庫 天闐事件庫 啟明星辰研發(fā)中心 積極防御實驗室 博士后工作站 中國漏洞庫 CNCVE 中國計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心 CNCERT/CC 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 （三）多種先進(jìn)入侵檢測技術(shù)全面融合 對入侵行為的分析技術(shù)是入侵檢測技術(shù)的核心，啟明星辰在這方面的積累和探索已經(jīng)跨入國際領(lǐng)先水平，目前天闐中應(yīng)用的入侵檢測技術(shù)一般包括： ? 模式匹配 ? 異常分析 ? 行為關(guān)聯(lián) ? 狀態(tài)遷徙 天闐的模式匹配依托于國內(nèi)最完備的入侵檢測事件庫以及用戶的自定義事件庫。 狀態(tài)遷徙技術(shù)應(yīng)用于主機 入侵檢測系統(tǒng)中，以發(fā)現(xiàn)不同狀態(tài)間的關(guān)聯(lián)，檢測可能的入侵行為。 同時天闐“獲取原始報文”的功能，令管理員可以通過原始報文定義來獲取某個可疑地址發(fā)出的所有原始數(shù)據(jù)，從而給管理員制服黑客提供了最原始 的證據(jù)。 安全產(chǎn)品配置示意圖如下： 系統(tǒng)的安全維護(hù) 針對 電子科技大學(xué)圖書館網(wǎng)絡(luò)總的各個 系統(tǒng)中存在的諸多風(fēng)險，建議采取相應(yīng)的安全維護(hù)措施： ★ 及時安裝操作系統(tǒng)和服務(wù)器軟件的最新版本和修補程序。 現(xiàn)場服務(wù)： 如果用戶需要，我們會派出工程師到現(xiàn)場為用戶解決困難，其中包括： 現(xiàn)場安裝指導(dǎo)； 安全體系設(shè)計； 系統(tǒng)故障分析； 故障排除； 安全策略制定，分析。 系統(tǒng)維護(hù)服務(wù)包括電話支持、現(xiàn)場響應(yīng)、優(yōu)先級服務(wù)、遠(yuǎn)程登錄分析、專門客戶支持。 當(dāng)系統(tǒng)需要修改時，包括系統(tǒng)功能增加、操作系統(tǒng)升級等問題可以由用戶直接向我們提出需求，我們將在最短的時間做出回應(yīng)，如遇重大問題由雙方商議完成，人數(shù)根據(jù)需求大小來確定。一個接口連