【文章內(nèi)容簡介】 也可能來自 INTERNET 內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名 /口令等敏 感信息，進一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。 4 完整性破壞 這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息 /數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于 XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取安全措施的服務(wù)器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。 5 其它網(wǎng)絡(luò)的攻擊 企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到 INTERNET 上的，這樣就有可能會遭到 INTERNET上黑客、惡 意用戶等的網(wǎng)絡(luò)攻擊，如試圖進入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進行防范。 6 管理及操作人員缺乏安全知識 由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對信息安全的重要性與技術(shù)認識不足，很容易使安全設(shè)備 /系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。 由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因 此，對操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。 7 雷擊 由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。 由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機密信息，并且下設(shè)多個部門，所以對網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較 高。無論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好安全防御工作。 網(wǎng)絡(luò)安全需求 綜合項目成本和實際應(yīng)用等多方面因素，可以從如下幾個方面滿足用戶需求。 一、 將防火墻部署在網(wǎng)絡(luò)邊緣，用于隔離來自 Inter 的所有網(wǎng)絡(luò)風(fēng)險。 二、 在路由器和核心交換機之間部署 IPS，對全網(wǎng)的所有 Inter 通信進行檢測，以便可以自動阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請求和危險信息的傳輸。 三、 生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機連接至核心交換機，在相應(yīng)的匯聚交換機上分別進行適當(dāng)?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險因素隔離在網(wǎng)絡(luò)局部。 四 、 在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的 VLAN中，充分確保部門內(nèi)部和部門間的信息安全。 五、 在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點以及無線接入點連接的交換機上，分別部署相應(yīng)的安全防御措施，如 認證、禁止廣播 SSID、 WEP 加密等。 六、 網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至核心交換機，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有 MARS 系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機的數(shù)據(jù)通信，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情 況，并協(xié)助管理員制定相應(yīng)的解決方案。 七、 為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署 IDS，可以對服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。 新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng)絡(luò)訪問安全需求 由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進行集中管理，防止機密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助 VPN 技術(shù)實現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。 一、 客戶端更新需要集中管理。大多數(shù)用戶都已啟用 Windows Update 功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟 Windows Update 功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。 二、 網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴(yán)格防范。通常情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護作用，但是未能升級病毒庫同樣可能感染病毒。更嚴(yán)重的是，部分用戶不安裝任何殺 毒軟件和防火墻就開始使用，這是非常危險的。 三、 網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計算機已經(jīng)感染病毒，則病毒可能通過網(wǎng)絡(luò)快速蔓延至整個網(wǎng)絡(luò)的所有分支。 四、 遠程訪問安全的保護。遠程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠程訪問 VPN 技術(shù)本身就是具有一定的安全性，同時采用隧道和加密等多種技術(shù)，但是為了確保遠程訪問的安全，應(yīng)加強遠程訪問的保護與控制。 網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要安全措施的保護，但是安全措施過于嚴(yán)格，就會影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴(yán)格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩?。 新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 服務(wù)器安全規(guī)劃 服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實現(xiàn)的，因此，無論是應(yīng)用程序出錯，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若 想做好服務(wù)器安全防護工作，必須從多方面入手。 一、 服務(wù)器硬件安全 服務(wù)器硬件設(shè)備的維護主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護等。因為服務(wù)器的運行是不間斷的，因此這些維護工作必須在確保服務(wù)器正常運行的狀態(tài)下進行。 增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機。 定期為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的 ，因此建議管 員每個月定期拆機打掃一次。 控制機房溫度和濕度。雖然服務(wù)器對工作環(huán)境 的要求比較寬泛，但是當(dāng)服務(wù)器周邊環(huán)境比較惡劣時同樣會降低其處理速度和穩(wěn)定性。 二、 操作系統(tǒng)的安全 服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略。 對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對Inter 公開，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。 應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。 網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。 通過專業(yè)的安全工具（安全 監(jiān)測系統(tǒng)）定期對網(wǎng)絡(luò)系統(tǒng)進行安全評估。 三、 網(wǎng)絡(luò)應(yīng)用服務(wù)安全 局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括 WWW 服務(wù)、 FTP 服務(wù)、 DNS 服務(wù)、 DHCP 服務(wù)、Active Directory 服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進行設(shè)置，以增強其安全性和新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下 4 層。 網(wǎng)絡(luò)與應(yīng)用平臺安全：主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全 等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計算機系統(tǒng)安全性決定。 應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認、服務(wù)防攻擊、國家對應(yīng)用服務(wù)的管制等方面來保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護能力等先關(guān)。 信息存儲于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲時的完整性、機密性和不可否認性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發(fā)來保障；信息不可否認性可以依靠數(shù)字簽名等技術(shù)來保障。 信息內(nèi)容安全：主要指通過網(wǎng) 絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國家安全，泄露國家機密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動。 客戶端安全規(guī)劃 目前， Windows XP 和 Windows 7 是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對固定的客戶端計算機加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下 5 個方面做好客戶端計算機的安全防御工作。 一、 對于加入域的計算機可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩? 二、 對于未加入域 的計算機，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識，通過設(shè)置登錄密碼、計算機鎖定、防火墻等方式，確保系統(tǒng)安全。 三、 在網(wǎng)絡(luò)中部署 WSUS 服務(wù)器，負責(zé)為所有客戶端計算機和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。 四、 在所有客戶端上部署 Symantec 網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動更新病毒庫功能。 五、 靈活部署和運用 Windows 防火墻、 Windows Defender 等系統(tǒng)集成安全防新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 護程序。 網(wǎng)絡(luò)設(shè)備安全規(guī)劃 局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng) 用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。 一、 網(wǎng)絡(luò)設(shè)備的脆弱性 通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時間內(nèi)保持相對穩(wěn)定地運行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下 5 個方面。 ，提高了攻擊者的攻擊機會。 ，帶來不必要的安全隱患。 。 。 ，容易遭受臨近攻 擊。 針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統(tǒng)安全。 。 。 。 。 IPP（ Information Protection Policy，信息保護策略 ） 要求的物理保護環(huán)境。 二、 部署網(wǎng)絡(luò)安全設(shè)備 局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自 Inter 的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部攻 擊。入侵檢測設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護內(nèi)部服務(wù)器或局域網(wǎng)的安全。 新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 三、 IOS 安全 IOS 就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺。 IOS與計算機操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進入網(wǎng)絡(luò)設(shè)備的 IOS，進行各種破壞活動，從而影響網(wǎng)絡(luò)的正常運行。 通常情況下，用戶可以從如下 6 個方面實現(xiàn)網(wǎng)絡(luò)設(shè)備的 IOS 安全。 配置登錄密碼，主要包括 Enable 密碼和 Tel 密碼，必要時可以以加密方式存儲密碼，以確保 其安全性。 配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限。 控制終端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會話超時限制。 配置 SNMP 安全。 SNMP 字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。 及時備份 IOS 映像，以便出現(xiàn)錯誤操作或遭遇攻擊時可以迅速恢復(fù)。 升級 IOS 版本。 IOS 的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補丁或升級 IOS 版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。 無線準(zhǔn)備安全規(guī)劃 無線接入不僅是企業(yè)發(fā)展的需 要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴展，主要用于移動終端用戶提供網(wǎng)絡(luò)接入。該公司中的 AP（ Access Point,無線接入點）主要分布在產(chǎn)品展示區(qū)和會議室，方面移動用戶隨時隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時尚，對于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點。 在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。 確保桌面計算機和服務(wù)器系統(tǒng)實現(xiàn)盡可能的安全。這種保護提高了攻擊的門檻，即使攻擊者進入了 WLAN，仍 然很難滲透進用戶的計算機。 啟用無線 AP 和工作站所支持的最強 WEP。同時，確保擁有一個強健的 WEP密碼，這個密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強度規(guī)則。 確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（ SSID）不是可以輕松識別的。不要使用公司新疆農(nóng)業(yè)職業(yè)技術(shù)學(xué)院 名稱、自己的姓名或者地址作為 SSID。 如果無線 AP 支持 SSID 廣播，應(yīng)當(dāng)關(guān)閉。這個措施可以創(chuàng)建一個封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的 SSID。 使用 身份驗證