【正文】 殺毒軟件技術(shù)實施 ................................................ 23 入侵檢測技術(shù)實施 ................................................ 24 安全掃描技術(shù) 實施 ................................................ 25 訪問控制技術(shù)實施 ................................................ 25 結(jié)論 ................................................................ 26 參考文獻 ............................................................. 27 III XX 酒店網(wǎng)絡(luò)安全 摘 要 隨著社會的不斷發(fā)展，已經(jīng)步入數(shù)字信息時代，電腦迅速普及，網(wǎng)絡(luò)飛速發(fā)展使得局域網(wǎng)的應(yīng)用也日益廣泛。所以，酒店行業(yè)，尤其是不具備很大優(yōu)勢的中小酒店，近幾年一直在不斷加強自身建 設(shè)，不斷提供服務(wù)水平，以謀求在競爭中取得先機。 3） 網(wǎng)絡(luò)應(yīng)有優(yōu)秀的安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計，需要將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng) ARP欺騙、內(nèi)網(wǎng)蠕蟲病毒，內(nèi)外網(wǎng)的 DDOS攻擊都是需要去防止的。 第二章 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全術(shù)，分析技網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分 ,而且應(yīng)該看到 ,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分 ,甚至應(yīng)該看到它對我國未來電子化 ,信息化的發(fā)展將起到非常重要的作用。 單密鑰機密體制 單密鑰體制是指在加密和解密過程中都必須用到同一個密鑰的加密體制，此加密體制的局限性在于：在發(fā)送和接受方傳輸數(shù)據(jù)時必須先通過安全渠道交流密鑰，保證在他們發(fā)送或接收機密信息之前有可供使用的密鑰。 防火墻枝術(shù) 防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。 數(shù)字簽名 數(shù)字簽名是一種使用加密認證電子信息的方法，是 以電子形式存儲的一種消息，可以在通信網(wǎng)絡(luò)中傳輸。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 基于服務(wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如 password 文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。 ? 能夠發(fā)現(xiàn)的漏洞數(shù)量。 福建信息職業(yè)技術(shù)學(xué)院實務(wù)專題論文 6 訪問控制技術(shù) 每個系統(tǒng)都要確保訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機制叫做訪問控制。 酒店網(wǎng)絡(luò)安全方面從 常見的病毒攻擊與防范 、 加密技術(shù)實施 、 認證技術(shù)實施 、 設(shè)置流量實施 、殺毒軟件技術(shù)實施 、 入侵檢測技術(shù)實施 、 安全掃描技術(shù)實施 、 訪問控制技術(shù)實施 等方面進行設(shè)計。 適度安全性原則 酒店系統(tǒng)安全方案應(yīng)充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風(fēng)險范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行 。下面對所需設(shè)備的功能進行說明。 DES1228P+DWL3140AP的產(chǎn)品組合 DES1228P交換機是支持 POE功能的 SMART交換機，可以利用雙絞線對 DWL3140AP實施遠程供電，而不必再單獨為 DWL3140AP布放電源；另外， DES1228P能夠利用自己支持網(wǎng)管的特點，實現(xiàn)對網(wǎng)中所有 DWL3140AP實行 統(tǒng)一管理； DWL3140AP是一款和 DES1228P配合使用的瘦 AP，有著良好的覆蓋效果和高速的傳輸速率，最高可達 108Mbps。酒店內(nèi)部有劃分多個部門，如財務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)、客戶上網(wǎng)線路等，這些系統(tǒng)都是不能夠互相訪問的，這些就需要有網(wǎng)絡(luò)設(shè)備來幫助解決 。 感染此類病毒的特點 不斷重新啟動計算機或者莫名其妙的死機； 大量消耗系統(tǒng)資源，導(dǎo)致 windows 操作系統(tǒng)速度極慢； 中毒的主機大量發(fā)包阻塞網(wǎng)絡(luò)，整個網(wǎng)絡(luò)會迅速被這些攻擊所形成的流量影響，形成DoS 拒絕服務(wù)攻擊。全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。 解決與防范 將中病毒的主機從內(nèi)網(wǎng)斷開，殺毒，安裝微軟提供的相關(guān) SQL Server 的補丁。高級配置224。 相關(guān)配置界面如下圖 圖 偽造源地址 DDoS 攻擊 DoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務(wù)請求來占用 過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。 2）業(yè)務(wù)策略配置，建立策略“ pemit”（可以自定義名稱），允許“ all 工作組”到所有目標地址（ ）的訪問，按照下圖進行配置，保存。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連接?；九渲?24。 Windows2021 的默認啟動目錄為“ C:Documents and SettingsAll Users「開始」菜單程序啟動”。以酒店其中的一臺主機為例，對其進行加密。選擇 “manual” 按鈕，將出現(xiàn)手動注冊界面，輸入上面的注冊碼，選擇“Authorize” 進行注冊授權(quán)。然后通信雙方需要將對方的公鑰導(dǎo)入到自己的密鑰管理系統(tǒng)中。單擊 “ 下一步 ” ，開始生成密鑰，單擊 “ 下一步 ” ，密鑰生成完成了。導(dǎo)入公鑰的方法類似于導(dǎo)出公鑰：右鍵單擊 “ 小鎖 ” ，選擇 “PGPkeys” ，在彈出的窗口中，選擇 “ 密鑰 ” 菜單中的 “ 導(dǎo)入 ?” 項，然后選擇接收到的公鑰文件。 EAD 是通過 iMC 下發(fā)兩次 ACL 到交換機上來實現(xiàn)對終端用戶隔離、安全的控制，但第三方廠家的交換機是不支持二次 ACL 下發(fā)的 ，無法通過這種技術(shù)來實現(xiàn) EAD。 第二種方式是采用下線＋ guestVLAN 的方式。打開頁面向?qū)?，進入安全專區(qū)，點擊防攻擊，出現(xiàn)報 文源認證。 酒店網(wǎng)絡(luò)安全的設(shè)計與構(gòu)建 23 圖 網(wǎng)絡(luò)連接限速圖 殺毒軟件技術(shù)實施 酒店是一個比較大型的場所，網(wǎng)絡(luò)安全是否良好對顧客來說是很重要的。 智能病毒分析技術(shù) 動態(tài)仿真反病毒專家系統(tǒng)分 析識別出未知病毒后，能夠自動提取該病毒的特征值，自動升級本地病毒特征值庫，實現(xiàn)對未知病毒“捕獲、分析、升級”的智能化。避免因為用戶因不便安裝系統(tǒng)補丁而帶來的安全隱患。 IDS 是防火墻之后的第二道防線。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。 配置酒店的 ACL 首先在全局配置模式下定義訪問列表，然后將其應(yīng)用到接口中，使通過該接口的數(shù)據(jù)包與我們以定義的訪問規(guī)則進行相應(yīng)的匹配，然后決定是否允許通過。比如防火墻 技術(shù) ，認證 技術(shù) ，加密技術(shù) ，入侵檢測技術(shù)，殺毒軟件技術(shù)，安全掃描技術(shù)，訪問控制技術(shù) 等都是當(dāng)今常用的方法 。 Router(config)accesslist 2 deny tcp any eq 23 福建信息職業(yè)技術(shù)學(xué)院實務(wù)專題論文 26 Router(config)accesslist 2 permit ip any any Router(config)interface ether 0 Router(configif)ip accessgroup 2 in 因為 Tel 使用 端口 23，所以將端口號為 23 的數(shù)據(jù)包拒絕，最終應(yīng)用到某一接口，這樣就可以禁止 Tel 命令對服務(wù)器的連接。 ACL 可以用來過濾流入和流出路由器或三層交換機接口的數(shù)據(jù)包。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能夠發(fā)現(xiàn)所維護的 Web 服務(wù)器的各種 TCP／ IP 端口 的分配、開放的服務(wù)、 Web 服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在 Intemet 上的安全漏洞。入侵檢測系統(tǒng)能檢測正在發(fā)生的入侵攻擊行為。有效克服了傳統(tǒng)防火墻技術(shù)頻繁報警詢問，給用戶帶來困惑以及用戶因難以自行判斷，導(dǎo)致誤判、造成危害產(chǎn)生或正常程序無法運行的缺陷。 全面保護信息資產(chǎn) 嚴密防范黑客、病毒、木馬、間諜軟件和蠕蟲等攻擊。 圖 IP 流量限速圖 設(shè)置網(wǎng)絡(luò)連接限數(shù) 網(wǎng)內(nèi)的主機遭受 NAT 攻擊時，主機的網(wǎng)絡(luò)連接數(shù)可能會超過幾萬個，從而會嚴重影響業(yè)務(wù)的正常運行或出現(xiàn)網(wǎng)絡(luò)掉線現(xiàn)象。身份認證是 EAD 解決方案中重要的一部分內(nèi)容，上述介紹的幾種方案應(yīng)該說各有千秋，需要在實際實施中根據(jù)不同的應(yīng)用場景、不同的用戶需求進行合理選擇。這個不安全提示閾值時間不能設(shè)置太長，但也不能設(shè)置太短，以防終端用戶由于時間不夠每次都不能完成修復(fù)，造成無法通過安全檢查的問題。 酒店網(wǎng)絡(luò)安全的設(shè)計與構(gòu)建 19 圖 手動注冊 PGP 認證技術(shù)實施 身份認證 認證 有些情況下用戶的接入層交換機雖然不是 H3C 品牌，但對 及 Radius 也有較好的支持。 4）導(dǎo)入公鑰?？梢越o私鑰設(shè)置一個密碼。假設(shè) A（其郵箱為 ）和 B（ ）要傳送加密的內(nèi)容。 PGP 的注冊右鍵單擊 “ 小鎖 ” ，選擇 “License” 進行注冊。讓人們可以安全地通訊，而事先不需要任何保密的渠道用來傳遞密匙。開始224。 解決與防范 采用雙向綁定的方法解決并且防止 ARP 欺騙。高級配置224。224。 5）重復(fù)步驟 2），將 SQL 蠕蟲其他的端口如： UDP 1434 端口關(guān) 閉。224。 感染此類病毒的特點： 中毒的主機大量發(fā)包阻塞網(wǎng)絡(luò)，整個網(wǎng)絡(luò)會迅速被這些攻擊 所形成的流量影響，形成 DoS拒絕服務(wù)攻擊。 業(yè)務(wù)管理 高級配置 4）在上表中，單擊策略名“ grp1_other”，在下面的表項中，將動作由“禁止”編輯為“允許”，保存。它使用 IP 掃描技術(shù)來查找網(wǎng)絡(luò)上操作系統(tǒng)為 Windows 2021/XP/2021 的計算機，一旦找到有漏洞的計算機，它就會利用 DCOM(分布式對象模型，一種協(xié)議，能夠使軟件組件通過網(wǎng)絡(luò)直接進行通信 )RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。對于酒店自身來說，需要給 IT 工作人員有一個直觀的查看酒店網(wǎng)絡(luò)的平臺，能夠讓 IT 人員很