【正文】 絡(luò)幾乎必然被病毒感染。隨著 Inter 的普及，文件型病毒變得越來(lái)越多。 但是，客戶(hù)端防病毒軟件有一個(gè)致命弱點(diǎn)：只是在用戶(hù)使用時(shí)周期地檢測(cè)病毒，對(duì)下載的、或其他方式傳輸?shù)奈募t不檢測(cè)，而這些文件可能帶有病毒。最重要的兩種方式是通過(guò)電子郵件和 FTP 交換郵件和文件。 網(wǎng)絡(luò)安全技術(shù)方案 第 24 頁(yè) 防病毒建議方案 由于 在這次網(wǎng)站的建設(shè)中，服務(wù)器使用 Linux 操作系統(tǒng)。完全采用光纖連接，保證了數(shù)據(jù)傳輸帶寬達(dá)到100MB/S。 竊取 PIN/密鑰等敏感數(shù)據(jù) ： 系統(tǒng)目前沒(méi)有使用任何的數(shù)據(jù)加密技術(shù)，因此安全的關(guān)鍵是對(duì) 進(jìn)行數(shù)據(jù)加密保護(hù)，可以使用 密鑰 加密技術(shù)，從而避免 主機(jī)中敏感數(shù)據(jù) 的丟失 。 系統(tǒng)的安全設(shè)計(jì) 各業(yè)務(wù)系統(tǒng)的分離 現(xiàn)有網(wǎng)絡(luò)上部署了多 種應(yīng)用，包括 ERP 系統(tǒng)、 CRM 系統(tǒng)、內(nèi)部 OA 系統(tǒng) 、在線銷(xiāo)售系統(tǒng)、在 線銷(xiāo)售管理系統(tǒng) 等一系列的業(yè)務(wù) 系統(tǒng) ，這些業(yè)務(wù) 系統(tǒng)之間存在一定的聯(lián)系，但又要防止 侵權(quán)使用資源，特別是 在線銷(xiāo)售 系統(tǒng)與 ERP 和管理 系統(tǒng)，所以各業(yè)務(wù)系統(tǒng)的隔離是保障業(yè)系統(tǒng)安全的一個(gè)重環(huán)節(jié)。如不加以控制，總行的業(yè)務(wù)網(wǎng)和 OA網(wǎng)雖然不能互相訪問(wèn)，但總 行的業(yè)務(wù)網(wǎng)可以和分行的 OA 網(wǎng)相互通訊，因此必須建立一定的訪問(wèn)控制加以限制。傳輸 數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。加密實(shí)現(xiàn)是在 IP 層，與具體的廣域網(wǎng)協(xié)議無(wú)關(guān)，也就是說(shuō)適應(yīng)不同的廣域網(wǎng)信道（ DDN、 、幀中繼、 PSTN 等）。建設(shè)網(wǎng)。 網(wǎng)絡(luò)安全技術(shù)方案 第 30 頁(yè) 利用 VPN 技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)行加密 防火墻自身的保護(hù) 要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火 墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無(wú)法保證，所以要求 防火墻有冗余措施及足夠防攻擊的能力。 對(duì)網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域： 1. 層加密 層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。 敏感數(shù)據(jù)區(qū)的保護(hù) 在線銷(xiāo)售和 ERP 系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對(duì)訪問(wèn)的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個(gè)網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。 在局域網(wǎng)當(dāng)中，通過(guò)具有第二層（支持 VLAN 劃分， VLAN 為虛擬局域網(wǎng)） 網(wǎng)絡(luò)安全技術(shù)方案 第 28 頁(yè) 或三層交換的交換機(jī)（支持 VLAN 劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個(gè) VLAN范圍內(nèi)， OA 系統(tǒng)在另的一個(gè) VLAN 范圍內(nèi)，各 VLAN 之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實(shí)現(xiàn)部分?jǐn)?shù)據(jù)交換。現(xiàn)有操作員身份識(shí)別唯一，但口令的安 全性非常弱因此存在大量操作員假冒的安全風(fēng)險(xiǎn)。建立遠(yuǎn)程備份中心，進(jìn)行遠(yuǎn)程容災(zāi)備份，確保系統(tǒng)的 數(shù)據(jù)安全 。因此，系統(tǒng)在針對(duì)病毒方面是相對(duì)安全的。 本質(zhì)上 , Inter 成為傳播病毒的電腦空間，計(jì)算機(jī)系統(tǒng)管理員很少能控制網(wǎng)絡(luò)用戶(hù)下載帶病毒的免費(fèi)軟件、共享軟件或游戲。因此，出現(xiàn)了網(wǎng)絡(luò)防病毒軟件，駐留在網(wǎng)絡(luò)服務(wù)器上，運(yùn)行于 NetWare 或 Windows NT 環(huán)境，對(duì)通過(guò)服務(wù)器傳遞的文件病毒進(jìn)行檢測(cè)。這種病毒通過(guò)電子郵件的附件快速傳染，躲過(guò)了許多只檢查 .EXE 和 .COM 文件的防病毒程序。文件型病毒駐留在另一個(gè) .EXE 或 .COM 文件中， 網(wǎng)絡(luò)安全技術(shù)方案 第 20 頁(yè) 當(dāng)文件執(zhí)行時(shí)截取系統(tǒng)控制，并將自身附加到另外的文件上。 病毒十分流行。在電 子商務(wù)的開(kāi)始階段，由于參與電子商務(wù)的公司大都是一些大公司，信譽(yù)較 網(wǎng)絡(luò)安全技術(shù)方案 第 19 頁(yè) 高，這個(gè)問(wèn)題沒(méi)有引起人們的重視。因此商家如果想要提供網(wǎng)上交易的服務(wù)，他必須先向認(rèn)證中心是、提出商店的合法證明，如營(yíng)業(yè)執(zhí)照，負(fù)責(zé)人等等（不同的餓認(rèn)證 中心所要求的文件可能不同）。 2． 數(shù)字簽名與簽證技術(shù)。因此，可以利用這個(gè)功能，將部分具有機(jī)密性質(zhì)的網(wǎng)頁(yè)設(shè)定在加密的傳輸模式，如此即可避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽(tīng)。 SSL（ Secure Sockets Layer）最初是由美國(guó) Netscape 公司研究出來(lái)的，后來(lái)成為了 Inter 網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。當(dāng)客戶(hù)需要時(shí)可以從密鑰庫(kù)中提出客戶(hù)的加密密鑰對(duì)，為客戶(hù)恢復(fù)其加密密鑰對(duì)，以解開(kāi)先前加密的信息。當(dāng)客戶(hù)發(fā)現(xiàn)自己的私鑰泄露時(shí)，也可主動(dòng)申請(qǐng)公鑰證書(shū)的吊銷(xiāo)，防止其他客戶(hù)繼續(xù)使用該公鑰來(lái)加密重要信息，而使非法客戶(hù)有盜取機(jī)密的可能。 確定客戶(hù)密鑰生存周期，實(shí)施密鑰吊銷(xiāo)和更新管理 。加密備份于 IC 卡或其他存儲(chǔ)介質(zhì)中，并以高等級(jí)的物理安全措施保護(hù)起來(lái)。它負(fù)責(zé)電子證書(shū)的申請(qǐng)、簽發(fā)、制作、廢止、認(rèn)證和管理，提供網(wǎng)上客戶(hù)身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)等業(yè)務(wù)。 具有同其他系統(tǒng)交換數(shù)據(jù)的能力 Universal CA 后臺(tái)應(yīng)用了東大阿爾派自主版權(quán)的數(shù)據(jù)庫(kù) Oopenbase 可以實(shí)現(xiàn)證書(shū)的海量管理，并具有同其他系統(tǒng)交換數(shù)據(jù)的能力，這使得系統(tǒng)具有良好的開(kāi)放性與通用性。安全證書(shū)體制主要采用了公開(kāi)密鑰體制，其它還包括對(duì)稱(chēng)密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。 否則必然會(huì)損害一方的利益 .例如訂購(gòu)黃金 ,訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。 ? 信息的保密性 交易中的商務(wù)信息均有保密的要求 .如信用卡的帳號(hào)和用戶(hù)名被人知悉 ,就可能被盜用 ,訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉 ,就可能喪失商機(jī) 。它簡(jiǎn)單易懂、安裝容易，它比 “卡 ”還要重要，是您身份的表征，網(wǎng)絡(luò)新貴的識(shí)別證。在連接后，根據(jù)入侵檢測(cè) (eTrust Intrusion Detection) 管理員定義的權(quán)限 , 用戶(hù)可以查看和監(jiān)控入侵檢測(cè) (eTrust Intrusion Detection)數(shù)據(jù)、更改規(guī)則以及創(chuàng)建報(bào)告。因?yàn)楹诳筒恢浪麄冋诒槐O(jiān)視，因此通常在未察覺(jué)的情況下被捕獲。這種高性能且使用方便的解決方案在單一軟件 包中提供了最廣泛的監(jiān)視、入侵和攻擊探測(cè)、非法 URL 探測(cè)和阻塞、警告、記錄和實(shí)時(shí)響應(yīng)。 地址欺騙： 對(duì)這種攻擊的防范采用擴(kuò)展訪問(wèn)過(guò)濾列表方式，凡是從其他網(wǎng)段進(jìn)來(lái)的數(shù)據(jù)包，如果其源地址不是來(lái)自該網(wǎng)段的合法地址，就拋棄該數(shù)據(jù)包。 應(yīng)用層攻擊： 這種攻擊方法是利用應(yīng)用軟件的缺陷，從而獲得對(duì)系統(tǒng)的訪問(wèn)權(quán)利。 代理服務(wù)經(jīng)常會(huì)遇到多次登 錄的情況。 代理服務(wù)能很好的產(chǎn)生審記記錄，允許管理員監(jiān)控企圖違反網(wǎng)絡(luò) 安全策略的行為。 每一個(gè)應(yīng)用代理一般由兩部分組成，代理服務(wù)器以及代理客戶(hù)，相對(duì)于發(fā)起連接的客戶(hù)端來(lái)說(shuō)，代 理服務(wù)器充當(dāng)一個(gè)最終服務(wù)器。 可以簡(jiǎn)單地通過(guò)禁止特定外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接來(lái)保護(hù)整個(gè)網(wǎng)絡(luò)。 電路網(wǎng)關(guān)級(jí)防火墻主要應(yīng) 用下列狀態(tài)信息： 一個(gè)唯一的會(huì)話識(shí)別用于跟蹤處理。 結(jié)合 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換功能，可以將內(nèi)部網(wǎng)絡(luò)從外部網(wǎng)絡(luò)中屏蔽起來(lái)。 在上述數(shù)據(jù)備份環(huán)境中，可以對(duì)操作系統(tǒng)及應(yīng)用程序環(huán)境實(shí)現(xiàn)動(dòng)態(tài)即時(shí)在線快速備份，即在不影響用戶(hù)和應(yīng)用程序運(yùn)行的前提下，備份系統(tǒng)的動(dòng)態(tài)數(shù)據(jù)，同時(shí)能夠?qū)鹘y(tǒng)文件系統(tǒng)的備份速度成倍提高。數(shù)據(jù)級(jí)的備份是指對(duì)存儲(chǔ)在磁盤(pán)陣列、磁帶庫(kù)等設(shè)備上的數(shù)據(jù)的備份。 ? 數(shù)據(jù) 加密 存儲(chǔ) ： 關(guān)聯(lián)及關(guān)鍵數(shù)據(jù)加密存儲(chǔ) ， 提取數(shù)據(jù)庫(kù)中表間關(guān)聯(lián)數(shù)據(jù)或重要數(shù)據(jù)信息，采用 HASH 算法，生成一加密字段，存放在數(shù)據(jù)表中，保證數(shù)據(jù)庫(kù)中關(guān)聯(lián)數(shù)據(jù)的一致性、完整性，防止重要數(shù)據(jù)的非法篡改。然后再由防病毒服務(wù)器將最新的病毒庫(kù)文件下發(fā)到各聯(lián)網(wǎng)的機(jī)器上，實(shí)現(xiàn)全網(wǎng)統(tǒng)一、及時(shí)的防病毒軟件更新，防止因?yàn)樯贁?shù)內(nèi)部用戶(hù)的疏忽，感染病毒，導(dǎo)致病毒在全網(wǎng)的傳播。 InforGuard 適用于網(wǎng)站網(wǎng)頁(yè)文件的安全保護(hù)，解決了網(wǎng)站被非法修改的 問(wèn)題，是一套安全、高效、簡(jiǎn)單、易用的網(wǎng)頁(yè)保護(hù)系統(tǒng)；采用數(shù)字證書(shū)技術(shù)實(shí)現(xiàn) InforGuard 的用戶(hù)管理，加強(qiáng)了對(duì) Web 站點(diǎn)目錄的 ftp 用戶(hù)和口令的保護(hù)，防止了 ftp 口令泄漏造成的安全隱患；通過(guò)用戶(hù)操作日志提供對(duì)網(wǎng)頁(yè)文件更新過(guò)程的全程監(jiān)控。 系統(tǒng)主機(jī)應(yīng)采 用雙機(jī)熱備（主備 /互備）方式，構(gòu)成集群系統(tǒng)； 系統(tǒng)關(guān)鍵通信設(shè)備應(yīng)考慮冗余備份； 要求利用系統(tǒng)監(jiān)控工具，實(shí)時(shí)監(jiān)控系統(tǒng)中各種設(shè)備和網(wǎng)絡(luò)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)故障或故障苗頭，及時(shí)采取措施，排除故障，保障系統(tǒng)平穩(wěn)運(yùn)行。 病毒侵害 計(jì)算機(jī)病毒一直是困擾每一個(gè)計(jì)算機(jī)用戶(hù)的重要問(wèn)題，一旦計(jì)算機(jī)程序被感染了病毒，它就有可能破壞掉用戶(hù)工作 中的 重要信息。 網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)包括以下幾方面： ? 黑客攻擊 外網(wǎng)通過(guò)防火墻與 Inter 公眾網(wǎng)相連，所以 Inter 上的各種各樣的黑客攻擊、病毒傳播等都可能威脅到系統(tǒng)的安全。 網(wǎng)絡(luò)安全技術(shù)方案 ******有限公司 網(wǎng)絡(luò)安全技術(shù)方案 2020 年 1 月 作者：趙超 網(wǎng)絡(luò)安全技術(shù)方案 第 1 頁(yè) 目錄 1 網(wǎng)絡(luò)安全實(shí)施的難點(diǎn)分析 .......................................................................................... 1 IT 系統(tǒng)建設(shè)面臨的問(wèn)題 ............................................................................... 1 IT 系統(tǒng)運(yùn)維面臨的問(wèn)題 .............................................................................. 2 2 系統(tǒng)安全 ................................................................................................................... 2 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 ................................................................................ 2 設(shè)備安全風(fēng)險(xiǎn)分析 ................................................................................ 2 網(wǎng)絡(luò)安全系統(tǒng)分析 ................................................................................ 3 系統(tǒng)安全風(fēng)險(xiǎn)分析 ................................................................................ 3 應(yīng)用安全風(fēng)險(xiǎn)分析 ................................................................................ 4 數(shù)據(jù)安全風(fēng)險(xiǎn)分析 ................................................................................ 4 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì) ....................................................................................... 4 設(shè)備安全 .............................................................................................. 4 網(wǎng)絡(luò)安全 .............................................................................................. 4 系統(tǒng)安全 .............................................................................................. 5 應(yīng)用安全 ............................