【正文】 ，但其合理性和適用性還有待研究。由于各個(gè)系統(tǒng)的應(yīng)用不同，不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固定為一個(gè)模式，用這個(gè)模式去套所有的網(wǎng)絡(luò)系統(tǒng)。信息系統(tǒng)的安全管理機(jī)構(gòu)，不隸屬于同級信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。同時(shí)提供了 Web 方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。通過部署多級聯(lián)動型產(chǎn)品實(shí)現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方便的通過控制掃描器就可以實(shí)現(xiàn)對多級管轄區(qū)域的服務(wù)器進(jìn)行統(tǒng)一和及時(shí)管理，實(shí)現(xiàn)對管轄區(qū)域服務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。攻擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動程序來完成攻擊，這些都導(dǎo)致黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時(shí)，入侵檢測可以進(jìn)行如下反應(yīng)：(l)控制臺報(bào)警。入侵檢測系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測入侵活動的系統(tǒng)，包括入侵檢測的軟件和硬件的組合 [20]。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。它允許具有私有 IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP 源端口和目標(biāo)端口等。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Inter 之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。圖 動態(tài)口令身份認(rèn)證系統(tǒng)部署方案圖采用該方案后，在企業(yè)的認(rèn)證系統(tǒng)中能夠?qū)崿F(xiàn)：平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書18密鑰/時(shí)間雙因素的身份認(rèn)證機(jī)制。我們對安全數(shù)據(jù)庫均進(jìn)行加密后存放在服務(wù)器上，絕對不以明碼的形式出現(xiàn)。另外，由于每個(gè)用戶的密鑰都不相同(在初始化時(shí)隨時(shí)生成)，并且密鑰與同口令計(jì)算有關(guān)的信息存貯在動態(tài) RAM 中，當(dāng)有人對其進(jìn)行分析時(shí)，數(shù)據(jù)處理一旦掉電，這些密鑰將消失。 動態(tài)口令身份認(rèn)證方案動態(tài)口令身份認(rèn)證具有隨機(jī)性、動態(tài)性、一次性、不可逆等特點(diǎn)，不僅保留了靜態(tài)口令方便性的優(yōu)點(diǎn)，而且很好地彌補(bǔ)了靜態(tài)口令存在的各種缺陷。 4. 修改[主頁 ]按鈕和[搜索 ]按鈕。隨著各種新病毒的不斷出現(xiàn)，反病毒軟件必須快速升級才能達(dá)到殺除病毒的目的。如果有條件，最好多準(zhǔn)備幾種殺毒軟件，進(jìn)行交叉殺毒。 一定要將硬盤引導(dǎo)區(qū)和主引導(dǎo)扇區(qū)備份下來并經(jīng)常對重要數(shù)據(jù)進(jìn)行備份，防患于未然。第 4 章 安全產(chǎn)品的配置與應(yīng)用 防病毒及特洛伊木馬軟件為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。其次，對各級用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項(xiàng)工作。因此，網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)將來自對企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。對項(xiàng)目實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證產(chǎn)品質(zhì)量，保證系統(tǒng)運(yùn)行的可靠性。、整體性原則運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web 服務(wù)器等。企業(yè)網(wǎng)絡(luò)同樣存在的安全方面的風(fēng)險(xiǎn)問題。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套。數(shù)據(jù)庫中數(shù)據(jù)由于意外（硬件問題或平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書9軟件崩潰）而導(dǎo)致不可恢復(fù)，也是需要考慮的安全問題。 應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全涉及很多方面。 操作系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險(xiǎn)。造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。它在所有破壞性設(shè)備中最具危險(xiǎn)性，可以導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)，甚至使計(jì)算機(jī)系統(tǒng)完全癱瘓。系統(tǒng)級的安全風(fēng)險(xiǎn)分析主要針對企業(yè)企業(yè)校園采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。(3)除那些被明確禁止之外，一切都被允許。平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書4事件過濾技術(shù)：一個(gè)安全事件有可能同時(shí)觸動多個(gè)安全單元，同時(shí)產(chǎn)生多個(gè)安全事件報(bào)警信息，造成同一事件信息“泛濫”，反而使關(guān)鍵的信息被淹沒。通過綜合分析，結(jié)合實(shí)際管理需求，我們認(rèn)為以下幾項(xiàng)技術(shù)需要重點(diǎn)掌握：協(xié)議聯(lián)通技術(shù)：目前國際上的網(wǎng)管軟件大多是基于 SNMP 設(shè)計(jì)的，一般只側(cè)重于設(shè)備管理，且編程復(fù)雜、結(jié)構(gòu)單一，不利于大規(guī)模集成。(3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性。不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對授權(quán)數(shù)據(jù)和資源的使用不合法或?yàn)E用授權(quán)。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個(gè)要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。近年來，國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年 30%的速度遞增?；ヂ?lián)網(wǎng)的開放性、分散性和交互性特征為信息交流、信息共享、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)迅速的發(fā)展和廣泛的應(yīng)用，為人類社會進(jìn)步提供了巨大推動力。依照各個(gè)安全等級的安全需求，設(shè)計(jì)了網(wǎng)絡(luò)的安全方案。答辯委員會主任（簽字）： 答辯委員會副主任（簽字）： 答辯委員會委員： ， ， ， ， _，平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書I摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用，針對計(jì)算機(jī)網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟(jì)、文化、軍事、意識形態(tài)和社會生活等各個(gè)方面。在滿足各子網(wǎng)系統(tǒng)建設(shè)的前提下，提出了包括病毒防護(hù)、動態(tài)口令身份認(rèn)證、安全審計(jì)管理、訪問控制、信息加密策略、入侵檢測系統(tǒng)的部署、漏洞掃描系統(tǒng)等管理措施和安全技術(shù)在內(nèi)的整套解決方案。然而，正是由于互聯(lián)網(wǎng)的特性，產(chǎn)生了信息污染、信息泄漏、信息不易受控等諸多安全問題。網(wǎng)絡(luò)環(huán)境的多變性、復(fù)雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。而且，只為合適的用戶服務(wù)。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。如果用戶要管理各類網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及安全產(chǎn)品，則要綜合使用諸如 WBEM、UDDI 和 XML 等協(xié)議與通信技術(shù)。因此，事件過濾技術(shù)也是安全管理平臺需要解決的一個(gè)重要問題。(4)一切都被允許，當(dāng)然也包括那些本來被禁止的。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。企業(yè)企業(yè)校園網(wǎng)絡(luò)采用的操作系統(tǒng) [7] (主要為Windows2021server/professional，Windows ME，Windows95/9UNIX)本身在安全方面考慮的較少，服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在若干安全隱患。當(dāng)病毒被釋放到網(wǎng)絡(luò)環(huán)境時(shí)，其無法預(yù)測的擴(kuò)散能力使它極具危險(xiǎn)性。因此，數(shù)據(jù)在線路中傳輸時(shí)必須加密，同時(shí)通過認(rèn)證技術(shù)及數(shù)字簽名來保數(shù)據(jù)在網(wǎng)上傳輸 [9]的保密性、真實(shí)性、可靠性及完整性，以保護(hù)系統(tǒng)的重要信息數(shù)據(jù)的傳輸安全。即除了從技術(shù)上功夫外，還得靠安全管理來實(shí)現(xiàn)。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。 病毒侵害的安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲取。對于大多說網(wǎng)絡(luò)黑客來說，成功地入侵一企業(yè)特別是著名的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)來增強(qiáng)應(yīng)用平臺的安全性。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。、標(biāo)準(zhǔn)、兼容性原則先進(jìn)的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實(shí)現(xiàn)。由于在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，相對于主機(jī)環(huán)境、單機(jī)環(huán)境，安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的重要依據(jù)。任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。制訂完備的系統(tǒng)維護(hù)制度?？傊贫ㄏ到y(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。設(shè)計(jì)依據(jù)經(jīng)過確切了解企業(yè)信息系統(tǒng)需要解決哪些安全問題后，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題：，包括網(wǎng)段的劃分以及 Vlan 的實(shí)現(xiàn)。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。 隨時(shí)注意計(jì)算機(jī)的各種異?，F(xiàn)象（如速度變慢、出現(xiàn)奇怪的文件、文件尺寸發(fā)生變化、內(nèi)存減少等），一旦發(fā)現(xiàn)，應(yīng)立即用殺毒軟件仔細(xì)檢查。還有就是平時(shí)留心病毒的發(fā)展動態(tài)，譬如目前流行的CIH 病毒，知道了它的發(fā)作條件是每月的二十六日，那么在不能確定自己的電平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書15腦是否被 CIH 病毒感染的時(shí)候，最簡單的做法就是每月的二十六日不用機(jī)器，或通過更改電腦的日期跳過二十六日這一天。具體來說，我們在對抗病毒時(shí)需要的是一種安全策略和一個(gè)完善的反病毒系統(tǒng)，用備份作為防病毒的第一道防線，將反病毒軟件作為第二道防線。 平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書165. 修改右鍵菜單，甚至屏蔽右鍵菜單。動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，結(jié)合生成動態(tài)口令的特點(diǎn)，加以精心修改，通過數(shù)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。即使有人破譯了其中的程序，由于不知道用戶的密鑰，以及初始化時(shí)間等相關(guān)信息，也無法正確地計(jì)算出用戶實(shí)時(shí)的口令。系統(tǒng)主密鑰存放在系統(tǒng)維護(hù)員的 IC 卡上，只有掌握系統(tǒng)維護(hù)員的 IC 卡的人才能對這些敏感數(shù)據(jù)庫進(jìn)行操作。登錄口令隨時(shí)間變化。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的 IP 地址。 代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書20并已經(jīng)開始向應(yīng)用層發(fā)展。 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測系統(tǒng)必須包括如下三個(gè)功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。(2)記錄網(wǎng)絡(luò)攻擊事件。由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，網(wǎng)絡(luò)管理員失去了對網(wǎng)絡(luò)資源的精確控制。網(wǎng)絡(luò)人員使用聯(lián)動型產(chǎn)品，就可以很方便的對 200 信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和 IDS、防火墻聯(lián)動，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。另外對于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)移動式掃描儀。信息系統(tǒng)安全管理機(jī)構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等有關(guān)方面的人員組成。本系統(tǒng)通過網(wǎng)絡(luò)的連通性測試、各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)測試、網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)測試、實(shí)際數(shù)據(jù)傳輸?shù)臏y試均達(dá)到網(wǎng)絡(luò)管理的需求 展望本文實(shí)際上重點(diǎn)討論了對非授權(quán)用戶非法訪問網(wǎng)絡(luò)信息的保護(hù)方法，這是平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書26和外界物理隔離的保密網(wǎng)絡(luò)現(xiàn)階段遇到的最為主要問題。平頂山工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)說明書27參考文獻(xiàn)[1] 孫立民, 韓慧蓮. 入侵檢測技術(shù)綜述[J]. 機(jī)械管理開發(fā), 2021,(01) [2] 薛開平, 洪佩琳, 李津生. 防火墻與入侵檢測系統(tǒng)的自動協(xié)同[J]. 安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2021,(02) [3] 鹿建銀. 認(rèn)識入侵檢測系統(tǒng) IDS[J]. 消費(fèi)導(dǎo)刊, 2021,(09) [4] 馮景林. 網(wǎng)絡(luò)防火墻的安全技術(shù)[J]. 科技信息(科學(xué)教研), 2021,(13) [5] 張徐娟, 李建民. 防火墻與入侵檢測系統(tǒng)結(jié)合的安全模型設(shè)計(jì)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2021,(07) [6] 那罡.