【正文】 務(wù)、Email 系統(tǒng)、MIS、進(jìn)貨和銷(xiāo)售系統(tǒng)、財(cái)務(wù)統(tǒng)計(jì)系統(tǒng)、人事管理系統(tǒng)等。企業(yè)網(wǎng)絡(luò)安全建設(shè)方案，也包括內(nèi)部的安全系統(tǒng)建設(shè)和外部入侵的防御檢測(cè)系統(tǒng)建設(shè)兩個(gè)方面。本文針對(duì)企業(yè)網(wǎng)絡(luò)的安全建設(shè)問(wèn)題，重點(diǎn)分析了如何構(gòu)建一個(gè)可靠的網(wǎng)絡(luò)安全防御體系。但隨著企業(yè)網(wǎng)絡(luò)化和信息化進(jìn)程的推進(jìn)，對(duì)網(wǎng)絡(luò)安全問(wèn)題的認(rèn)識(shí)也會(huì)在管理體制上、理論研究上、技術(shù)儲(chǔ)備上不斷地深化和改進(jìn)，為提出解決網(wǎng)絡(luò)安全問(wèn)題的更加有效的可行性方案提供思路和途徑。 畢 業(yè) 論 文論文題目： 企業(yè)局域網(wǎng)的組建與應(yīng)用 內(nèi) 容 摘 要本文結(jié)合當(dāng)今企業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，通過(guò)對(duì)當(dāng)前中小企業(yè)存在的一些安全隱患和安全建設(shè)的需求分析，提出了一種針對(duì)企業(yè)網(wǎng)絡(luò)安全的解決方案。任何一個(gè)安全體系的設(shè)計(jì)方案都不能完全解決所有的安全問(wèn)題。企業(yè)網(wǎng)絡(luò)作為一種復(fù)雜而集成的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的同時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全威脅依舊存在，病毒、木馬、蠕蟲(chóng)等肆虐，網(wǎng)絡(luò)攻擊手段日趨多樣化，破壞力巨大并具有隱蔽性，時(shí)刻威脅著企業(yè)的網(wǎng)絡(luò)安全?；诖耍髽I(yè)網(wǎng)絡(luò)安全也要從內(nèi)部和外部，也就是 Intra和 Inter 兩個(gè)方面來(lái)考量。企業(yè)網(wǎng)絡(luò)一般都是接入 Inter 的，其網(wǎng)絡(luò)環(huán)境的開(kāi)放性，可以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用性，但也對(duì)企業(yè)網(wǎng)絡(luò)信息安全提出了更多更高的要求。整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在兩個(gè)方面的安全問(wèn)題：（1）企業(yè)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全性。最常見(jiàn)的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。網(wǎng)絡(luò)互聯(lián)是個(gè)拓?fù)浣Y(jié)構(gòu)，除掉各個(gè)計(jì)算機(jī)終端節(jié)3點(diǎn)之外，還需要各種互連設(shè)備，比如交換機(jī)、路由器等。另一方面，是指各個(gè)網(wǎng)絡(luò)終端結(jié)點(diǎn)設(shè)備以及搭載其上的軟件系統(tǒng)。網(wǎng)絡(luò)管理一般由專(zhuān)人負(fù)責(zé)，稱(chēng)為網(wǎng)絡(luò)管理員。出于成本的壓力，中小企業(yè)一般在網(wǎng)絡(luò)建設(shè)的投入上不足。這必然會(huì)導(dǎo)致技術(shù)基礎(chǔ)和技術(shù)儲(chǔ)備的匱乏，使得網(wǎng)絡(luò)管理在軟硬件方面上都有先天缺陷，在網(wǎng)絡(luò)穩(wěn)定性和安全性方面存在嚴(yán)重隱患。桌面殺毒軟件并不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。 網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入企業(yè)網(wǎng)絡(luò)中，用戶(hù)主要來(lái)自于內(nèi)部，由受信任的內(nèi)部用戶(hù)發(fā)起的攻擊是最危險(xiǎn)的一種形式。這需要針對(duì)企業(yè)網(wǎng)絡(luò)的性能，需要特定的優(yōu)化設(shè)計(jì)。然而，企業(yè)特別是中小型企業(yè)，在網(wǎng)絡(luò)安全體系的建設(shè)中還存在以下不足：傳統(tǒng)防護(hù)體系在系統(tǒng)化設(shè)計(jì)上存在欠缺。 網(wǎng)絡(luò)安全管理制度和措施不健全在網(wǎng)絡(luò)的管理上，國(guó)家有關(guān)部門(mén)也頒布了一些法律法規(guī)，比如《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》 。構(gòu)建一套合理的網(wǎng)絡(luò)安全管理規(guī)章和制度，是一個(gè)企業(yè)在制度上落實(shí)網(wǎng)絡(luò)安全建設(shè)5的重要環(huán)節(jié)，也是經(jīng)過(guò)許多企業(yè)網(wǎng)絡(luò)建設(shè)的成功和失敗的經(jīng)驗(yàn)教訓(xùn)檢測(cè)之后的行之有效的舉措之一。 網(wǎng)絡(luò)安全體系的層次劃分 網(wǎng)絡(luò)安全中安全措施劃分，主要有如下幾個(gè)方面：（1）數(shù)據(jù)源鑒別。（3）完整性服務(wù)。而 Windows 平臺(tái)更是推出了 Windows Server 系列，滿(mǎn)足網(wǎng)絡(luò)服務(wù)的需求。分析所有針對(duì)受保護(hù)對(duì)象的訪問(wèn),過(guò)濾惡意攻擊以及可能帶來(lái)不安全因素的非法訪問(wèn)。保證同時(shí)運(yùn)行的多個(gè)進(jìn)程和線程之間是相互隔離的,即各個(gè)進(jìn)程和線程分別調(diào)用不同的系統(tǒng)資源。常見(jiàn)的危害應(yīng)用層安全的的因素如下：（1）網(wǎng)絡(luò)蠕蟲(chóng)、病毒等危害網(wǎng)絡(luò)信息安全。（3）垃圾郵件成為傳播病毒的主要手段。（2）能夠?qū)τ脩?hù)身份進(jìn)行鑒別與認(rèn)證。8 數(shù)據(jù)鏈路層安全防護(hù)需求分析 數(shù)據(jù)鏈路層位于物理硬件層網(wǎng)絡(luò)層之間，擔(dān)負(fù)起第一道數(shù)據(jù)監(jiān)控和過(guò)濾的重任。通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。 傳輸層安全防護(hù)需求分析傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。傳輸層主要有兩個(gè)安全協(xié)議：SSL （Secure Sockets Layer）和 PCT（Private Communications Technology） 。網(wǎng)絡(luò)交換設(shè)備主要包括路由器和 ATM。內(nèi)網(wǎng)的訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。 網(wǎng)絡(luò)層安全防護(hù)需求分析 網(wǎng)絡(luò)層主要是指 IP 協(xié)議簇。一般而言，設(shè)計(jì)網(wǎng)絡(luò)時(shí)，內(nèi)部網(wǎng)絡(luò)自成體系，有自己的子網(wǎng)網(wǎng)段，各子網(wǎng)必須通過(guò)中間設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)之間的訪問(wèn)。域名服務(wù)器 DNS 系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問(wèn)題。內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群，包括 WEB、Mail、FTP 等服務(wù)，以及提供數(shù)據(jù)存儲(chǔ)和備份服務(wù)的數(shù)據(jù)庫(kù)服務(wù)器集群，數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩種功能，控制和監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況并采取相應(yīng)的措施，各網(wǎng)絡(luò)模塊之間通過(guò)交換機(jī)、路由器等互連設(shè)備聯(lián)系在一起。①把入侵檢測(cè)系統(tǒng) IDS 與入侵防御系統(tǒng) IPS 結(jié)合起來(lái)部署在關(guān)鍵節(jié)點(diǎn)；②把防火墻與防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng)；③安裝漏洞掃描工具對(duì)應(yīng)用層和系統(tǒng)層進(jìn)行定期的漏洞掃描；（3）完善的網(wǎng)絡(luò)管理能力。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接。本系統(tǒng)在設(shè)計(jì)中，融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等，構(gòu)建出企業(yè)安全網(wǎng)絡(luò)架構(gòu)，其架構(gòu)如圖 44 所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)：圖 企業(yè)安全架構(gòu)（3）企業(yè)安全層次模型設(shè)計(jì)。第五層以上（含第五層）的安全機(jī)制根據(jù)不同應(yīng)用的安全性需求，需要系統(tǒng)設(shè)計(jì)者根據(jù)自身需求量身定做。經(jīng)過(guò)對(duì)企業(yè)的網(wǎng)絡(luò)特點(diǎn)和存在的問(wèn)題進(jìn)行認(rèn)真細(xì)致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全體系建設(shè)的整體方案，（2）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點(diǎn)。根據(jù)應(yīng)用系統(tǒng)的廣泛性，業(yè)務(wù)運(yùn)算及傳輸對(duì)系統(tǒng)的處理能力13以及網(wǎng)絡(luò)的負(fù)載能力提出了非常高的要求； 企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)（1）企業(yè)級(jí)防火墻的概念。如下圖 所示：圖 防火墻在企業(yè)網(wǎng)絡(luò)中的位置（2）企業(yè)級(jí)防火墻的功能。結(jié)合授權(quán)訪問(wèn)，防火墻可以有效的屏蔽內(nèi)部信息不為外部可見(jiàn)，防火墻可以限制被保護(hù)子網(wǎng)的暴露。當(dāng)然，嵌入式防火墻系統(tǒng)，也是一種專(zhuān)用的防火墻設(shè)備。Cisco PIX 525 使用思科的專(zhuān)用自適應(yīng)算法 ASA 與狀態(tài)表進(jìn)行會(huì)話(huà)以及進(jìn)行其他事務(wù)的處理。①數(shù)據(jù)包過(guò)濾技術(shù)；數(shù)據(jù)包過(guò)濾是一種訪問(wèn)控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。②iptables 防火墻設(shè)計(jì)； iptables 防火墻是 LINUX 下的免費(fèi)防火墻，它是 LINUX 內(nèi)核中 filter 架構(gòu)的一種策略管理工具，隨著 LINUX 發(fā)行版的推廣而流行開(kāi)來(lái)。iptable 能夠阻止某些 DOS 攻擊，例如 SYS 洪泛攻擊。（2）責(zé)任原則每項(xiàng)與安全相關(guān)的活動(dòng)，須多人在場(chǎng)（兩人及兩人以上） 。工作人員要不定期換崗，強(qiáng)制休假，為保證工作效率還要對(duì)工作人員進(jìn)行輪流培訓(xùn)。良好的管理策略對(duì)于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進(jìn)意義。然后，從企業(yè)級(jí)防火墻體系建設(shè)、企業(yè)級(jí)防病毒軟件體系建設(shè)、入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)機(jī)制設(shè)計(jì)以及企業(yè)數(shù)據(jù)存儲(chǔ)和備份等幾個(gè)主要方面，細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案。17注釋?zhuān)?］段水福：《無(wú)線局域網(wǎng)(WLAN)設(shè)計(jì)與實(shí)踐》 ，杭州浙江大學(xué)出版社，2022 年，第 3 頁(yè)。［6］Cisco Systems 公司：《無(wú)線局域網(wǎng)基礎(chǔ)》 ，人民郵電出版社，2022 年，第 3 頁(yè)。［11］賀雪晨：信息對(duì)抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第 2 版) ，2022,5 。[15]黃勁榮：無(wú)線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2022(15):