【正文】 網(wǎng)絡(luò)的使用者是人，人們在網(wǎng)上的行為并沒有得到有效的管理和控制。 隨著威脅的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)也在不斷變化。只有建立在強(qiáng)健的策 略和程序之上，并借助于適當(dāng)?shù)娜藛T和物理安全措施，整合安全解決方案才能發(fā)揮最大功效。無論是內(nèi)部處理還是外包處理安全問題，都應(yīng)確保能實(shí)現(xiàn)所有這些特點(diǎn)。 70%的企業(yè)沒有有效限制和管理內(nèi)部計(jì)算機(jī)軟件安裝，在處于高風(fēng)險(xiǎn)的 %的企業(yè)用戶中，電子郵件、惡意網(wǎng)站、實(shí)時(shí)通訊、終端移動(dòng)代碼、流媒體使用、 P2P 軟件、共享數(shù)據(jù)夾使用等 7 種上網(wǎng)行為對 Web 安全影響比較大。 企業(yè)網(wǎng)絡(luò)安全一般都是針對系統(tǒng)在結(jié)構(gòu)方面是否存在危險(xiǎn)而言的，所以，企業(yè)網(wǎng)安全系統(tǒng)可以從系統(tǒng)結(jié)構(gòu)方面著手來分析。 VLAN 技術(shù)對網(wǎng)絡(luò)流量的限制有著重要的作用，一方面還可以杜絕廣播風(fēng)暴的侵襲，另一方面， MAC 層的數(shù)據(jù)包過濾技術(shù)對系統(tǒng)的安全性也起到大大加強(qiáng)的作用。那么網(wǎng)絡(luò)分段技術(shù)就是真多這種危險(xiǎn)性而制定的，非法用戶是無法接觸到網(wǎng)絡(luò)資源的，無權(quán)訪問網(wǎng)絡(luò)獲取信息。目前，在應(yīng)用層一些入侵檢測方法已經(jīng)在入侵檢測系統(tǒng)中發(fā)揮著實(shí)際性的作用。在 Inter、服務(wù)提供商的 IP 網(wǎng)、幀中繼網(wǎng)或 ATM 網(wǎng)中都可以選擇應(yīng)用 VPN 技術(shù)，應(yīng)用這項(xiàng)技術(shù)，對網(wǎng)絡(luò)的整體安全性有著很好的確保，同時(shí)對網(wǎng)絡(luò)的優(yōu)先性、可靠性和可管理性也有著一定的影響。 8. 整合網(wǎng)絡(luò)安全技術(shù) 隨著網(wǎng)絡(luò)安全性不斷受到人們的關(guān)注，大多數(shù)企業(yè)也會(huì)更加關(guān)注來自不同廠商的多個(gè)單獨(dú)的安全產(chǎn)品。這種方法將多種安全技術(shù) 企業(yè)的策略一致性、管理、客戶服務(wù)與支持及高級研究相結(jié)合，從而提供全面保護(hù)。這種管理能力將進(jìn)一步提高防護(hù)能力，同時(shí)降低與企業(yè)安全性相關(guān)的管理成本、支持成本以及擁有成本。 3. 整合網(wǎng)絡(luò)安全解決方案能夠然客戶企業(yè)獲得多方面的收益，包括提高安全功能的效率；將攻擊對商務(wù)造成的影響降至最低；提高整體的安全狀況。同時(shí)，論文還對網(wǎng)絡(luò)安全硬件設(shè)備的類型選擇、配置、安全管理制度的建立和實(shí)施 給出了說明。 第三章為杭州數(shù)媒企訓(xùn)科技有限公司計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用需求分析，本文主要以杭州數(shù)媒企訓(xùn)科技有限公司為研究對象，針對該公司的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了現(xiàn)狀和需求分析，包括基礎(chǔ)層安全需求、系統(tǒng)安全需求、應(yīng)用安全管理需求和應(yīng)用對安全系統(tǒng)的需求。 第二章 相關(guān)技術(shù)基礎(chǔ) 網(wǎng)絡(luò)攻擊入侵 計(jì)算機(jī)網(wǎng)絡(luò)攻擊入侵的主要方法 網(wǎng)絡(luò)系統(tǒng)的攻擊或入侵是指利用系統(tǒng)（主機(jī)或網(wǎng)絡(luò)）安全漏洞，非法潛入他人系統(tǒng)，進(jìn)行竊聽、篡改、添加或刪除信息的行為。由于這些軟件的廣為流傳，使得入侵電腦網(wǎng)絡(luò)系統(tǒng)有時(shí)變得相 當(dāng)簡單，一般不需要很深入了解系統(tǒng)的內(nèi)部結(jié)構(gòu)，是初學(xué)者的好方法。當(dāng)攻擊者對軟件進(jìn)行非正常的調(diào)用請求時(shí)造成緩沖區(qū)溢出或者對文件的非法訪問。雖然網(wǎng)絡(luò)監(jiān)聽獲得的。 拒絕服務(wù)攻擊問題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 15 絕服務(wù)攻擊也成為了攻擊者的終極手法。該非法程序被用戶在不知情的情況下被執(zhí)行，一般的木馬都有客戶端和服務(wù)器端兩 個(gè)執(zhí)行程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序。 7. 計(jì)算機(jī)病毒 : 計(jì)算機(jī)病毒是指一種能使自己附加到目標(biāo)機(jī)系統(tǒng)的文件上的程序。 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的后果 計(jì)算機(jī)網(wǎng)絡(luò)攻擊造成的惡劣后果有很多，對企業(yè)而言最主要的后果有以下兩方面： 1. 技術(shù)層面 被攻擊主機(jī)資源消耗嚴(yán)重； 中間設(shè)備在處理時(shí)消耗大量資源； 服務(wù)器拒絕服務(wù)； 網(wǎng)絡(luò)拒絕服務(wù)； 服務(wù)器死機(jī)； 網(wǎng)絡(luò)癱瘓； 2. 企業(yè)自身利益層面 企業(yè)機(jī)密信息泄露：一些企業(yè)內(nèi)部核心機(jī)密信息一旦被泄露，將對企業(yè)造成災(zāi)難性后果。 法律責(zé)任和潛在訴訟：受到攻擊的企業(yè)可能需要作為被告或關(guān)鍵證人出庭。根據(jù) 2020 CSI/FBI 計(jì)算機(jī)犯罪與安全調(diào)查的調(diào)查結(jié)果，由于安全性被破壞而導(dǎo)致的最為嚴(yán)重的財(cái)務(wù)損失包括所有權(quán)信息的被竊(26 個(gè)被訪者報(bào)告的損失超過 $170,000,000)2。木桶原則對系統(tǒng)的安全漏洞和安全威脅的每一個(gè)方面都不放過，在防范方面能夠確保各個(gè)地攻破系統(tǒng)中的最薄弱的之處都能被其發(fā)現(xiàn)，設(shè)計(jì)信息安全系統(tǒng)之前，對任何一個(gè)部位的評估和檢測都是不容錯(cuò)過的。關(guān)于安全檢測機(jī)制，主要是是針對系統(tǒng)已經(jīng)存在的危險(xiǎn)性行為，進(jìn)行各種檢查，從而保證系統(tǒng)能夠正常運(yùn)行，能夠?qū)ο到y(tǒng)出現(xiàn)的各種攻擊保證及時(shí)發(fā)現(xiàn)及時(shí)制止。 4．標(biāo)準(zhǔn)化與一致性原則 安全系統(tǒng)之間的各種關(guān)系錯(cuò)綜復(fù)雜，猶如一個(gè)龐大的某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 20 系統(tǒng)工程的操作過程一般，因此，設(shè)計(jì)的過程中需要一系列的標(biāo)準(zhǔn)來確保安全體系的合理性，只有這樣各個(gè)分系統(tǒng)之間才能保持一致性的關(guān)系，整個(gè)系統(tǒng)每個(gè)地方的安全性才能都得到確保。因此，針對不同級別的安全對象提供不同的安全體制是非常具有實(shí)際意義的。 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全體系 網(wǎng)絡(luò)安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上，因?yàn)榘踩蚣苁前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。 2. 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構(gòu)成。 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全體系需要從技術(shù)和安全管理兩個(gè)方面來共同實(shí)現(xiàn)。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。例如，如果站點(diǎn)允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于， IDS 是一種積極主動(dòng)的安全防護(hù)技術(shù)?？梢杂涗浄欠ㄓ脩魜碓?，實(shí)現(xiàn)入侵行為的取證，給用戶權(quán)益以最大限度的保護(hù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。 (4)安全漏洞評估工具：（ VA）工具可以分為三類，免費(fèi)軟件、開放源代碼程序和商業(yè)產(chǎn)品。 (5)網(wǎng)絡(luò)管理技術(shù)：一般來說，網(wǎng)絡(luò)管理就是通過某種方式對網(wǎng)絡(luò)進(jìn)行管理，網(wǎng)絡(luò)能正常高效地運(yùn)行。 (7)安全審計(jì)：幫助安全人員審計(jì)系統(tǒng)的可靠性和安全性 。 (8)線路數(shù)據(jù)加密：對于企業(yè)而言，為了防止搭線竊聽、仿冒、非法接入、拒絕服務(wù)攻擊等網(wǎng)絡(luò)攻擊手段，關(guān)鍵數(shù)據(jù)線路的數(shù)據(jù)加密是十分必需的。安全技術(shù)體系主要包括鑒別和認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)、審計(jì)和 響應(yīng)。 防火墻技術(shù) 目前，在所有的網(wǎng)絡(luò)安全技術(shù)中，使用最頻繁，應(yīng)用領(lǐng)域最廣的技術(shù)還是要屬防火墻技術(shù)，防火墻技術(shù)應(yīng)用原理主要是借助于子網(wǎng)的協(xié)助來完成的，在網(wǎng)間網(wǎng)中間構(gòu)建子網(wǎng)來確保網(wǎng)絡(luò)環(huán)境的安全性，當(dāng)對兩個(gè)網(wǎng)絡(luò)進(jìn)行相互訪問時(shí)，很容易被黑客侵襲，這時(shí)候防火墻技術(shù)就能對訪問者進(jìn)行限制，非訪問者是很難趁機(jī)而入的，因此，網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間或者是各個(gè)網(wǎng)絡(luò)之間在存取、傳遞信息的過程，都需要安裝防火墻技術(shù)可以防范危險(xiǎn)。為了使企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)簡化、建設(shè)成本降低，提出了下表的功能目標(biāo)要求。 網(wǎng)絡(luò)中每一個(gè)網(wǎng)段直接都是安裝了一 個(gè)防火墻，因此，當(dāng)一個(gè)網(wǎng)段出現(xiàn)危險(xiǎn)時(shí)或者被破壞時(shí)并不一定會(huì)危及到整個(gè)整個(gè)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)的 VPN 應(yīng)用范圍包括移動(dòng)用戶的某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 32 客戶機(jī)到企業(yè)網(wǎng)絡(luò) Inter 出入口的防火墻、各分支機(jī)構(gòu)的廣域網(wǎng)出入口防火墻到集團(tuán)總部廣域網(wǎng)出入口防火墻 。公用網(wǎng)絡(luò)在與企業(yè)內(nèi)部專用網(wǎng)絡(luò)直接銜接的過程都是通過虛擬專用網(wǎng)來完成的，從某個(gè)層次來看，虛擬專用網(wǎng)其實(shí)就是企業(yè)內(nèi)部網(wǎng)的延伸網(wǎng)絡(luò)，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸（如圖）。 VPN 主要有 3 大應(yīng)用，分別為直接遠(yuǎn)程訪問（ Remote Access）、 Intra 及 Extra。 （ 1）減少費(fèi)用 第一，遠(yuǎn)程用戶在使用過程中通信費(fèi)用比較低，這是因?yàn)檫h(yuǎn)程用戶與企業(yè)內(nèi)部專用網(wǎng)絡(luò)之間的信息共享主要是 依靠 Inter 來完成的；第二，企業(yè)的通信設(shè)備方面受損也大大降低，有些直接省略不需要購買的，這樣無形之中節(jié)省了一大筆開銷；第三， VPN 非常有利于出差在外的人員、分公司職員等的應(yīng)用，可以通過 Inter 訪問公司的局域網(wǎng)（ LAN），而費(fèi)用只是傳統(tǒng)的遠(yuǎn)程訪問方案的一小部分。 VPN 服務(wù)器從而對遠(yuǎn)程訪問的用戶進(jìn)行權(quán)限約束，對這個(gè)用戶判斷其是否具有遠(yuǎn)程訪問的權(quán)限，如果應(yīng)用這個(gè)權(quán)限才會(huì)順利連續(xù)，反之則被拒絕。 其他輔助安全技術(shù) 現(xiàn)在網(wǎng)絡(luò)的危險(xiǎn)侵襲途徑越來越多，所有的網(wǎng)絡(luò)安全技術(shù)中，使用最頻繁，應(yīng)用領(lǐng)域最廣的技術(shù)還是要屬防火墻技術(shù)， VPN 系統(tǒng)在維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全方面也顯得尤為的重要。通過前面章節(jié)的研究表明，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)不能公開化，一定要做好加密封閉方面的工作，一些敏感數(shù)據(jù)都是只允許在虛擬的公網(wǎng)隧道進(jìn)行傳送的，一般很難被人侵襲獲取的。阻止 病毒的侵犯，可以通過病毒檢測技術(shù)來實(shí)現(xiàn)，或者在企業(yè)局域網(wǎng)上，這些電腦病毒 能夠利用網(wǎng)絡(luò)版殺毒軟件來進(jìn)行清除。 Intrusion Detection Systems 能夠檢測出每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理員不希望有的來自計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部和外部的活動(dòng)。 在 當(dāng)下， Intrusion Detection Systems 只不過是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)方案的一個(gè)重要組成部分，因?yàn)樗€需要與其他系統(tǒng)安全設(shè)備之間進(jìn)行緊密的聯(lián)系，來共同解決計(jì)算機(jī)網(wǎng)絡(luò)的安全問題。 現(xiàn)在網(wǎng)絡(luò)的危險(xiǎn)侵 襲途徑越來越多，從而促進(jìn)入侵檢測方法也不斷的發(fā)展，包括基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等各式各樣。通過對計(jì)算機(jī)網(wǎng)絡(luò)的安全掃描，計(jì)算機(jī)網(wǎng)絡(luò)的各項(xiàng)工作和安全某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 40 配置的 應(yīng)用服務(wù)都能被計(jì)算機(jī)網(wǎng)絡(luò)管理員掌控，以及時(shí)的發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞，這樣就可以客觀的評估計(jì)算機(jī)網(wǎng)絡(luò)的風(fēng)險(xiǎn)等級。 計(jì)算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)和工具提供了一種計(jì)算機(jī)網(wǎng)絡(luò)安全性評估分析手段，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，都是借助于各項(xiàng)實(shí)踐性掃描技術(shù)來維護(hù)的，系統(tǒng)中只要一出現(xiàn)漏洞和病毒，掃描系統(tǒng)馬上會(huì)顯示結(jié)果報(bào)告，并自動(dòng)采取一定的安全策略進(jìn)行修護(hù)，從而起到增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的作用。 online 評估系統(tǒng)能準(zhǔn)確全面報(bào)告網(wǎng)絡(luò)存在的弱點(diǎn)和漏洞； online 評估系統(tǒng)報(bào)告掃描對象相關(guān)信息和對外提供的服務(wù)； online 評估系統(tǒng)向客戶提供修補(bǔ)弱點(diǎn)和漏洞的建議和措施； online 評估系統(tǒng)有生成并分析計(jì)算機(jī)網(wǎng)絡(luò)安全報(bào)告的能力； online 評估系統(tǒng)有較好的自我防御能力。 C 類：對機(jī)房有基本的要求，有基本的機(jī)房安全措施。只要用一種比較簡單的高技術(shù)加壓電纜，就可以獲得計(jì)算機(jī)網(wǎng)絡(luò)通信線路上的物理安全。 硬件設(shè)備安全管理包括計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)硬件設(shè)備的維護(hù)和管理、電磁兼容和電磁輻射的防護(hù)、信息媒體的安全管理。與此同時(shí)，還應(yīng)對移動(dòng)硬盤等存儲(chǔ)媒介做好防震工作。目前公司下設(shè)三個(gè)事業(yè)部 :網(wǎng)絡(luò)視訊事業(yè)部、管理咨詢事業(yè)部、教育事業(yè)部 ,分別致力于網(wǎng)絡(luò)視訊、管理咨詢、教育的市場開發(fā)和運(yùn)營管理。同時(shí)公司規(guī)模也越來越多，所涉及某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 45 的范圍也越來越廣，目前，很多企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會(huì)隨著系統(tǒng)應(yīng)用規(guī)模的擴(kuò)大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。現(xiàn)在正在進(jìn)行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從 C/S 結(jié)構(gòu)向 B/S 結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的 B/S 結(jié)構(gòu)。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 44 第三章 杭州數(shù)媒企訓(xùn)科技有限公司網(wǎng)絡(luò)安全應(yīng)用需求分析 杭州數(shù)媒企訓(xùn)科技有限公司是一家多網(wǎng)整合 (電視、電話、衛(wèi)星轉(zhuǎn)播、互聯(lián)網(wǎng)絡(luò)、移動(dòng)通信 )提供企業(yè)服務(wù)運(yùn)營的高科技公司。 ② 磁兼容以及電磁輻射的防護(hù)。某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 43 線上連接了帶有報(bào)警系統(tǒng)的監(jiān)示器，用來測量壓力。 （ h）計(jì)算機(jī)機(jī)房還應(yīng)做好防水、防火、防雷等其他相關(guān)措施。計(jì)算機(jī)機(jī)房安全等級分為 A 類、 B 類和 C 類 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 42 三個(gè)基本級別： A 類：對機(jī)房有嚴(yán)格要求，有完善的機(jī)房安全措施。 安全掃描評估系統(tǒng)可以適應(yīng)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全管理某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 41 體系的結(jié)構(gòu)，為企業(yè)建立計(jì)算機(jī)網(wǎng)絡(luò)監(jiān)控中心，實(shí)現(xiàn)以下計(jì)算機(jī)網(wǎng) 絡(luò)安全的目標(biāo) : (1)具備計(jì)算機(jī)網(wǎng)絡(luò)分析、監(jiān)控和自動(dòng)響應(yīng)功能 (2)確保計(jì)算機(jī)網(wǎng)絡(luò)安全的有關(guān)指數(shù)的正常 在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中安裝的 online 評估安全掃描系統(tǒng)可以實(shí)現(xiàn)以下幾個(gè)功能 : online 評估系統(tǒng)具有強(qiáng)大的掃描和分析的能力。安全掃描技術(shù)主要分為兩大類：計(jì)算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)和計(jì)算機(jī)主機(jī)安全掃描技術(shù)。在防火墻、代理服務(wù)器或網(wǎng)絡(luò)服務(wù)器上，為了阻止病毒的侵犯，可以通過病毒檢測技術(shù)來實(shí)現(xiàn)，或者在企業(yè)局域網(wǎng)上，這些電腦病毒能夠利用網(wǎng)絡(luò)版殺毒軟件來進(jìn)行清除。在企業(yè)中心局域網(wǎng)的中心交換機(jī)和計(jì)算機(jī)服務(wù)器群前的分組交換機(jī)上各安裝