【正文】 務、Email 系統(tǒng)、MIS、進貨和銷售系統(tǒng)、財務統(tǒng)計系統(tǒng)、人事管理系統(tǒng)等。企業(yè)網(wǎng)絡安全建設方案，也包括內(nèi)部的安全系統(tǒng)建設和外部入侵的防御檢測系統(tǒng)建設兩個方面。本文針對企業(yè)網(wǎng)絡的安全建設問題，重點分析了如何構(gòu)建一個可靠的網(wǎng)絡安全防御體系。但隨著企業(yè)網(wǎng)絡化和信息化進程的推進，對網(wǎng)絡安全問題的認識也會在管理體制上、理論研究上、技術儲備上不斷地深化和改進，為提出解決網(wǎng)絡安全問題的更加有效的可行性方案提供思路和途徑。 畢 業(yè) 論 文論文題目： 企業(yè)局域網(wǎng)的組建與應用 內(nèi) 容 摘 要本文結(jié)合當今企業(yè)網(wǎng)絡安全的發(fā)展趨勢，通過對當前中小企業(yè)存在的一些安全隱患和安全建設的需求分析，提出了一種針對企業(yè)網(wǎng)絡安全的解決方案。任何一個安全體系的設計方案都不能完全解決所有的安全問題。企業(yè)網(wǎng)絡作為一種復雜而集成的網(wǎng)絡系統(tǒng)出現(xiàn)的同時，傳統(tǒng)的網(wǎng)絡安全威脅依舊存在，病毒、木馬、蠕蟲等肆虐，網(wǎng)絡攻擊手段日趨多樣化，破壞力巨大并具有隱蔽性，時刻威脅著企業(yè)的網(wǎng)絡安全?；诖?，企業(yè)網(wǎng)絡安全也要從內(nèi)部和外部，也就是 Intra和 Inter 兩個方面來考量。企業(yè)網(wǎng)絡一般都是接入 Inter 的，其網(wǎng)絡環(huán)境的開放性，可以增強網(wǎng)絡系統(tǒng)的應用性，但也對企業(yè)網(wǎng)絡信息安全提出了更多更高的要求。整個企業(yè)的網(wǎng)絡系統(tǒng)存在兩個方面的安全問題：（1）企業(yè)網(wǎng)絡接入互聯(lián)網(wǎng)的安全性。最常見的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。網(wǎng)絡互聯(lián)是個拓撲結(jié)構(gòu)，除掉各個計算機終端節(jié)3點之外，還需要各種互連設備，比如交換機、路由器等。另一方面，是指各個網(wǎng)絡終端結(jié)點設備以及搭載其上的軟件系統(tǒng)。網(wǎng)絡管理一般由專人負責，稱為網(wǎng)絡管理員。出于成本的壓力，中小企業(yè)一般在網(wǎng)絡建設的投入上不足。這必然會導致技術基礎和技術儲備的匱乏，使得網(wǎng)絡管理在軟硬件方面上都有先天缺陷，在網(wǎng)絡穩(wěn)定性和安全性方面存在嚴重隱患。桌面殺毒軟件并不適用于復雜的網(wǎng)絡環(huán)境。 網(wǎng)絡防護體系建設缺乏有效重視和投入企業(yè)網(wǎng)絡中，用戶主要來自于內(nèi)部，由受信任的內(nèi)部用戶發(fā)起的攻擊是最危險的一種形式。這需要針對企業(yè)網(wǎng)絡的性能，需要特定的優(yōu)化設計。然而，企業(yè)特別是中小型企業(yè)，在網(wǎng)絡安全體系的建設中還存在以下不足：傳統(tǒng)防護體系在系統(tǒng)化設計上存在欠缺。 網(wǎng)絡安全管理制度和措施不健全在網(wǎng)絡的管理上，國家有關部門也頒布了一些法律法規(guī)，比如《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》 。構(gòu)建一套合理的網(wǎng)絡安全管理規(guī)章和制度，是一個企業(yè)在制度上落實網(wǎng)絡安全建設5的重要環(huán)節(jié)，也是經(jīng)過許多企業(yè)網(wǎng)絡建設的成功和失敗的經(jīng)驗教訓檢測之后的行之有效的舉措之一。 網(wǎng)絡安全體系的層次劃分 網(wǎng)絡安全中安全措施劃分，主要有如下幾個方面：（1）數(shù)據(jù)源鑒別。（3）完整性服務。而 Windows 平臺更是推出了 Windows Server 系列，滿足網(wǎng)絡服務的需求。分析所有針對受保護對象的訪問,過濾惡意攻擊以及可能帶來不安全因素的非法訪問。保證同時運行的多個進程和線程之間是相互隔離的,即各個進程和線程分別調(diào)用不同的系統(tǒng)資源。常見的危害應用層安全的的因素如下：（1）網(wǎng)絡蠕蟲、病毒等危害網(wǎng)絡信息安全。（3）垃圾郵件成為傳播病毒的主要手段。（2）能夠?qū)τ脩羯矸葸M行鑒別與認證。8 數(shù)據(jù)鏈路層安全防護需求分析 數(shù)據(jù)鏈路層位于物理硬件層網(wǎng)絡層之間，擔負起第一道數(shù)據(jù)監(jiān)控和過濾的重任。通過偽造 IP 地址和 MAC 地址實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡阻塞。 傳輸層安全防護需求分析傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。傳輸層主要有兩個安全協(xié)議：SSL （Secure Sockets Layer）和 PCT（Private Communications Technology） 。網(wǎng)絡交換設備主要包括路由器和 ATM。內(nèi)網(wǎng)的訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。 網(wǎng)絡層安全防護需求分析 網(wǎng)絡層主要是指 IP 協(xié)議簇。一般而言，設計網(wǎng)絡時，內(nèi)部網(wǎng)絡自成體系，有自己的子網(wǎng)網(wǎng)段，各子網(wǎng)必須通過中間設備進行連接，利用這些中間設備的安全機制來控制各子網(wǎng)之間的訪問。域名服務器 DNS 系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關乎網(wǎng)絡層服務數(shù)據(jù)能否成功到達的問題。內(nèi)部網(wǎng)絡建設以搭建各種應用服務器集群，包括 WEB、Mail、FTP 等服務，以及提供數(shù)據(jù)存儲和備份服務的數(shù)據(jù)庫服務器集群，數(shù)據(jù)服務中心包括業(yè)務管理和網(wǎng)絡管理兩種功能，控制和監(jiān)控整個網(wǎng)絡的運行情況并采取相應的措施，各網(wǎng)絡模塊之間通過交換機、路由器等互連設備聯(lián)系在一起。①把入侵檢測系統(tǒng) IDS 與入侵防御系統(tǒng) IPS 結(jié)合起來部署在關鍵節(jié)點；②把防火墻與防水墻相結(jié)合保護關鍵子網(wǎng)；③安裝漏洞掃描工具對應用層和系統(tǒng)層進行定期的漏洞掃描；（3）完善的網(wǎng)絡管理能力。拓撲圖給出網(wǎng)絡服務器、工作站的網(wǎng)絡配置和相互間的連接。本系統(tǒng)在設計中，融合網(wǎng)絡拓撲技術、防火墻技術、反病毒技術、VPN 技術、數(shù)字簽名、認證和授權技術、加密傳輸技術、VLAN 技術等等，構(gòu)建出企業(yè)安全網(wǎng)絡架構(gòu)，其架構(gòu)如圖 44 所示的企業(yè)網(wǎng)絡安全系統(tǒng)架構(gòu)：圖 企業(yè)安全架構(gòu)（3）企業(yè)安全層次模型設計。第五層以上（含第五層）的安全機制根據(jù)不同應用的安全性需求，需要系統(tǒng)設計者根據(jù)自身需求量身定做。經(jīng)過對企業(yè)的網(wǎng)絡特點和存在的問題進行認真細致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設計了一個網(wǎng)絡安全體系建設的整體方案，（2）網(wǎng)絡拓撲結(jié)構(gòu)部署的要點。根據(jù)應用系統(tǒng)的廣泛性，業(yè)務運算及傳輸對系統(tǒng)的處理能力13以及網(wǎng)絡的負載能力提出了非常高的要求； 企業(yè)網(wǎng)絡的防火墻防護設計（1）企業(yè)級防火墻的概念。如下圖 所示：圖 防火墻在企業(yè)網(wǎng)絡中的位置（2）企業(yè)級防火墻的功能。結(jié)合授權訪問，防火墻可以有效的屏蔽內(nèi)部信息不為外部可見，防火墻可以限制被保護子網(wǎng)的暴露。當然，嵌入式防火墻系統(tǒng)，也是一種專用的防火墻設備。Cisco PIX 525 使用思科的專用自適應算法 ASA 與狀態(tài)表進行會話以及進行其他事務的處理。①數(shù)據(jù)包過濾技術；數(shù)據(jù)包過濾是一種訪問控制技術, 用于控制流入流出網(wǎng)絡的數(shù)據(jù)。②iptables 防火墻設計； iptables 防火墻是 LINUX 下的免費防火墻，它是 LINUX 內(nèi)核中 filter 架構(gòu)的一種策略管理工具，隨著 LINUX 發(fā)行版的推廣而流行開來。iptable 能夠阻止某些 DOS 攻擊，例如 SYS 洪泛攻擊。（2）責任原則每項與安全相關的活動，須多人在場（兩人及兩人以上） 。工作人員要不定期換崗，強制休假，為保證工作效率還要對工作人員進行輪流培訓。良好的管理策略對于企業(yè)網(wǎng)絡安全狀況的提升具有積極的促進意義。然后，從企業(yè)級防火墻體系建設、企業(yè)級防病毒軟件體系建設、入侵檢測系統(tǒng)的聯(lián)動機制設計以及企業(yè)數(shù)據(jù)存儲和備份等幾個主要方面，細致論述了一種企業(yè)網(wǎng)絡安全建設中技術上可行的解決方案。17注釋［1］段水福：《無線局域網(wǎng)(WLAN)設計與實踐》 ，杭州浙江大學出版社，2022 年，第 3 頁。［6］Cisco Systems 公司：《無線局域網(wǎng)基礎》 ，人民郵電出版社，2022 年，第 3 頁。［11］賀雪晨：信息對抗與網(wǎng)絡安全 清華大學出版社(第 2 版) ，2022,5 。[15]黃勁榮：無線局域網(wǎng)在校園網(wǎng)的應用[J].教育信息化,2022(15):