【正文】 ...18 入侵檢測(cè)等安全設(shè)備日志備份 ...........................................................................................18 服務(wù)器日志備份 ................................................................................................................18 設(shè)備備份系統(tǒng) ....................................................................................................................18 信息備份系統(tǒng) ....................................................................................................................19 網(wǎng)絡(luò)管理員的責(zé)任 ......................................................................................................................19 公司內(nèi)部制定安全規(guī)章 ...............................................................................................................19 4 簡(jiǎn)介 本文結(jié)合中小型網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的實(shí)例，重點(diǎn)研究計(jì)算機(jī)網(wǎng)絡(luò)的安全問題，對(duì)不同的網(wǎng)絡(luò)安全方案進(jìn)行 優(yōu)化、集中和協(xié)同，從而盡可能的使本網(wǎng)絡(luò)安全系統(tǒng)保持可擴(kuò)展性、健壯性，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的結(jié)果。 、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、病毒的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)、管理的安全風(fēng)險(xiǎn)，提出了具體的需求和設(shè)計(jì)依據(jù)。 （ 2）安全通信功能：企業(yè)可通過專線接入到 Inter，企業(yè)員工有獨(dú)立的企業(yè)郵箱，并可以通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn) Web 應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行對(duì)廣域網(wǎng)的訪問。 物理層安全風(fēng)險(xiǎn) 因?yàn)榫W(wǎng)絡(luò)物理層安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 。 系統(tǒng)層安全風(fēng)險(xiǎn) 中小型企業(yè)網(wǎng)絡(luò)采用的操作系統(tǒng)（主要為 UNIX， Windows NT / Workstation， Windows20xx server / professional， Windows ME）本身在安全方面考慮的較少，服務(wù)器的安全級(jí)別較低，存在若干安全隱患。所有的這些設(shè)備、軟件系統(tǒng)都可能會(huì)存在著各種各樣的漏洞，這些都是重大安全隱患。 由于中小型公司中小型公司校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。 數(shù)據(jù)傳輸?shù)陌踩L(fēng) 險(xiǎn) 由于在中小型企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 病毒的安全風(fēng)險(xiǎn) 傳統(tǒng)的計(jì)算機(jī)病毒傳播手段是通過存儲(chǔ)介質(zhì)進(jìn)行的，當(dāng)企業(yè)員工在交換存儲(chǔ)著數(shù)據(jù)的介質(zhì)時(shí)，隱藏在其中的計(jì)算機(jī) 病毒就從一臺(tái)計(jì)算機(jī)轉(zhuǎn)移到另外的計(jì)算機(jī)中。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn) [10]。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級(jí)和安全管理范圍 。 企業(yè)網(wǎng)的安全目標(biāo) 從技術(shù)角度來說，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可用性、不可抵賴性等方面。在這樣的形勢(shì)下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。內(nèi)部突破是指己 授權(quán)的計(jì)算機(jī)系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù) 。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性。 (2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶使用。 (4)完整性是指 網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程?；谝陨系陌踩繕?biāo)，我們可以制定如下安全策略：利用路由器，防火墻， VPN，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離、審查和過濾。 為以下 4 個(gè)等級(jí)： (1)不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止?？梢愿鶕?jù)實(shí)際情況，在這 4 個(gè)等級(jí)之間找出符合自己的安全策略。 基于以上特點(diǎn)：在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)應(yīng)當(dāng)遵循以下設(shè)計(jì)原則： （ 1） 實(shí)用性和經(jīng)濟(jì)性 。這就要求網(wǎng)絡(luò)建設(shè)在系統(tǒng)設(shè)計(jì)時(shí)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。 （ 4） 安全性和保密性 。把當(dāng)前先進(jìn)性、 8 未來可擴(kuò)展性和經(jīng)濟(jì)可行性結(jié)合起來，保護(hù)以往投資，實(shí)現(xiàn)較高的總體性能價(jià)格比。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套 。針對(duì)中小型公司系統(tǒng)在實(shí)際運(yùn)行中所面臨的各種威脅，采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個(gè)全方位并易于管理的安全體系，確保中小型公司系統(tǒng)安全可靠的運(yùn)行。 對(duì)于具有一定規(guī)模，并且在內(nèi)部已經(jīng)有了幾個(gè)部門的企業(yè)，如果所有部門的用戶無差別地處于對(duì)等網(wǎng)中，不僅使許多敏感數(shù)據(jù)容易被無關(guān)人員獲取，使網(wǎng)絡(luò)數(shù)據(jù)的安全性下降，而且部門內(nèi)的大量通信也會(huì)占用大量的網(wǎng)絡(luò)資源，使整個(gè)網(wǎng)絡(luò)的效率變低，甚至引起崩潰，降低了 網(wǎng)絡(luò)的可用性。使用靜態(tài) IP 地址分配可以對(duì)各部門進(jìn)行合理的 IP 地址規(guī)劃，能夠在 第三層上方便地跟蹤管理，再加上對(duì)網(wǎng)卡 MAC 地址的管理，網(wǎng)絡(luò)就會(huì)具有更好的可管理性，可通過固定 IP 地址及 MAC 地址直接定位內(nèi)部的某臺(tái) PC 機(jī)，對(duì)于內(nèi)部入侵有著較好的防御力。 內(nèi)部網(wǎng)絡(luò)采用保留 IP 地址 ，子網(wǎng)掩碼 ，則最多可以提 供 254 254=64516 個(gè) 10 IP 地址， 254 個(gè)子網(wǎng)，在可以預(yù)見的將來基本能夠滿足信息點(diǎn)增長的要求。對(duì) 于重要的 IP 地址（例如領(lǐng)導(dǎo)使用的 IP 地址和各個(gè)服務(wù)器使用的 IP 地址），采取 IP 地址和 MAC 地址綁定的方法，來保證 IP 地址不被盜用。 PIX 防火墻的 IP 地址分別為：內(nèi)網(wǎng)接口 e1： ，外網(wǎng)接口 e0： 。主要起到策略過濾，隔離內(nèi)外網(wǎng)，根據(jù)用戶實(shí)際需求設(shè)置 DMZ。雖然 UNIX 服務(wù)器是廣泛采用公開源代碼的理想開放開發(fā)平臺(tái)，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。 設(shè)備配置： 1） CISCO SECURE PIX 525； 2） 4 個(gè) 100M 以太網(wǎng)端口； 3） 128M 內(nèi)存； 4） 600MHZ CPU。 5）不必要的端口被禁止。憑借思科 IOS 軟件高級(jí)安全特性集，它在一個(gè)解決方案集中提供了一系列強(qiáng)大的通用安全特性 。按以上設(shè)置配置好 PIX 防火墻和路由器后， PIX 防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何一臺(tái)主機(jī)的 IP 地址，即使告訴了內(nèi)部主機(jī)的 IP 地址，要想直接對(duì)它們進(jìn)行 Ping 和連接也是不可能的。 能感知網(wǎng)絡(luò)內(nèi)容和網(wǎng)絡(luò)應(yīng)用的第 2～ 7 層交換服務(wù)。 設(shè)備配置： 1） Catalyst 6500 9 插槽交換機(jī)機(jī)箱； 2） Catalyst 6000 1300W 交流電源及冗余電源； 3）帶 2個(gè) 1000M GBIC 上聯(lián)接口，增強(qiáng) QoS 及 PFC 卡和 MSFC 卡； 4） 1 塊 WSX6408GBICB 口千兆以太網(wǎng)卡 +10個(gè) WS65486 千兆模塊； 5） Catalyst 6000 48 口 10/100 模塊（ RJ45）。 CATALYST 3548XL 的背板交換能力為 10G，最高轉(zhuǎn)發(fā)速率每秒鐘 740 萬個(gè)數(shù)據(jù)包，最大轉(zhuǎn)發(fā)帶寬 5 Gb/s，提供了 2 端口的千兆以太網(wǎng)以及 48 端口快速以太網(wǎng)，保證了強(qiáng)大的端口數(shù)量、以及向千兆網(wǎng)絡(luò)的延伸能力。 入侵檢測(cè)系統(tǒng)（ IDS） 產(chǎn)品概述 CISCO IDS 4200 系列設(shè)備檢測(cè)器是專用型高性能網(wǎng)絡(luò)安全 “設(shè)備 ”能夠阻止網(wǎng)絡(luò)上的非法惡意行為。 配置過程 CISCO IDS 4235實(shí)際上是一臺(tái)安裝了 CISCO操作系統(tǒng)的主機(jī)其配置過程均可采用類似路由器交換機(jī)的命令行命令來實(shí)現(xiàn)。先通過控制面板中的 “添加或刪除程序 ”中安裝 。 （ 4）依次填寫 “網(wǎng)站描述 ”、 “IP 地址 ”、 “端口號(hào) ”、 “路徑 ”和 “網(wǎng)站訪問權(quán)限 ”等。為主 Web 站點(diǎn)設(shè)置域名。 （ 2）配置 POP3 服務(wù)器 創(chuàng)建郵件域：點(diǎn)擊 “開始 → 管理工具 →POP3 服務(wù) ”，彈出 POP3 服務(wù)控制臺(tái)窗口。 15 文件服務(wù)器的配置 微軟的 IIS 提供 Web 服務(wù)之外，還提供 FTP 的服務(wù) ，我們用它架設(shè)文件服務(wù)器。 （ 3）選擇 “主目錄 ”的標(biāo)簽，在 FTP 站點(diǎn)目錄的 “本地路徑 ”處填上你要設(shè)置的共享文件路徑。此外，最大連接數(shù)是設(shè)置同時(shí)連接本地 FTP 的最大主機(jī)臺(tái)數(shù)。 網(wǎng)絡(luò)安全問題的特征有：拒 絕服務(wù)攻擊頻繁，黑客活動(dòng)，安全防范意識(shí)不夠，安全措施使用不當(dāng)?shù)鹊取? 天災(zāi) 地震、閃電、洪水、火災(zāi)等可以造成大面積物理毀壞的災(zāi)害對(duì)于本地內(nèi)部網(wǎng)絡(luò)無疑是毀滅性的打擊，若災(zāi)害不 是很嚴(yán)重可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)線路斷連，使內(nèi)部工作網(wǎng)絡(luò)癱瘓；若更嚴(yán)重些可能導(dǎo)致數(shù)據(jù)服務(wù)器破壞，從而導(dǎo)致數(shù)據(jù)丟失。 因 為 維護(hù)網(wǎng)絡(luò)安全即需 要建立一個(gè) 可信任 、 可控制 的內(nèi)部安全網(wǎng)絡(luò) 。 軟件使用不當(dāng) 問題 內(nèi)部人員在計(jì)算機(jī)上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計(jì)算機(jī)系統(tǒng)的安全系數(shù)，還有可能惹來版權(quán)訴訟的麻煩。 安全防護(hù)配置不當(dāng)問題 部分內(nèi)部人員因?yàn)闅⒍拒浖劝踩雷o(hù)措施占用部分系統(tǒng)資源，他們?yōu)榱俗非笠欢ǖ?娛樂效果而將這些安全措施廢棄不用，甚至某些內(nèi)部員工為非法分子大開方便之門，將防火墻和其他安全防范軟件關(guān)閉從而導(dǎo)致內(nèi)部其他機(jī)器完全暴露于威脅之下。在主域控制器 PDC（ Primary Domain Controller）上，對(duì)用戶實(shí)施身份驗(yàn)證和訪問控制。采用的防火墻應(yīng)用模式是屏蔽子網(wǎng)網(wǎng)關(guān)（ Screened Host Gateway）：在內(nèi)部網(wǎng)和 Inter 之間設(shè)置獨(dú)立的屏蔽子網(wǎng)，在內(nèi)部網(wǎng)和屏蔽子網(wǎng)之間和屏蔽子網(wǎng)與 Inter 之間都設(shè)置一個(gè)屏蔽路由器，堡壘主機(jī)連在屏蔽子網(wǎng)上。另外，內(nèi)部屏蔽路由器還提供網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）功能，它允許在內(nèi)部網(wǎng)絡(luò)中使用私有 IP 地址。網(wǎng)絡(luò)反病毒包括預(yù)防病毒、檢測(cè)病毒和殺毒： （ 1）預(yù)防病毒：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制； （ 2）檢測(cè)病毒：它是通過對(duì)病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗(yàn)、關(guān)鍵字、文件長度的變化、注冊(cè)表的改變等。在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)、改進(jìn)，以達(dá)到動(dòng)態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。 服務(wù)器定期掃描加固 對(duì)象：服務(wù)器；周期 ：半年一次； 內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對(duì)主要的服務(wù)器進(jìn)行掃描。 設(shè)備備份系統(tǒng) 對(duì)象：骨干交換機(jī)、路由器等網(wǎng)絡(luò)骨干設(shè)備；周期：實(shí)時(shí)； 內(nèi)容：根據(jù)用 戶的網(wǎng)絡(luò)情況，提供骨干交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。網(wǎng)絡(luò)的安全管理是一個(gè)動(dòng)態(tài)的、不斷完善的過程，即使忽略了很小的一個(gè)細(xì)節(jié)，也可能帶來意想不到的危險(xiǎn)。 公司內(nèi)部制定安全 規(guī)章 在使用安全硬件及網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)管理的同時(shí)，還需制定安全政策，對(duì)內(nèi)部硬件、軟件管理，及工作人員有相應(yīng)的安全約束，已達(dá)到網(wǎng)絡(luò)安全的目的。