【文章內(nèi)容簡介】 、對操作和訪問權(quán)限進行嚴格控制，來提高系統(tǒng)的安全性。 （ 4）應(yīng)用安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全是動態(tài)的不斷變化的，所以保證應(yīng)用系統(tǒng)的安全也是一個隨著網(wǎng)絡(luò)技術(shù)發(fā)展而不斷完善的過程。應(yīng)用安全也涉及到信息數(shù)據(jù)的安全，對于有些特別重要的信息需要進行保密可以考慮在應(yīng)用級上進行加密，針對具體的應(yīng)用直接應(yīng)用系統(tǒng)的開發(fā)時進 行加密，并且通過 VPN 隧道進行加密傳送。 （ 5）管理安全風(fēng)險分析 管理安全是網(wǎng)絡(luò)安全中重要的部分，只有嚴格執(zhí)行完整可靠的安全管理制度才能有效的避免其帶來的風(fēng)險。 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 9 四、安全設(shè)計方案 （一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓撲圖 圖 42 企業(yè)具有安全措施的網(wǎng)絡(luò)拓撲圖 （二）安全體系設(shè)計 通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求，安全風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標，整個網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成 :物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理。 物理安全 內(nèi) 容包括場地安全、機房建設(shè)安全、動力保障系統(tǒng)安全以及系統(tǒng)抗性、防災(zāi)難的應(yīng)急措施和恢復(fù)能力。 主要采取的安全措施有： 在布線方面充分考慮電磁輻射，同時重要部門的機房采用電磁屏蔽措施；重要計算機終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護：重要場地采用防盜門窗或帶身份識別功能的門鎖，對進入機房的人員和時間進行記錄和限制；報警監(jiān)控措施 :在重要部位設(shè)監(jiān)控報警措施；專用保險機柜的保護 :對于一些西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 10 重要的密碼設(shè)備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。 系統(tǒng)安全 系統(tǒng)安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安 全性以及網(wǎng)絡(luò)硬件平臺的可靠性。 操作系統(tǒng)安全，在市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證 企業(yè) 局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進行如下要求 :檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇 /更新）將系統(tǒng)的安全級別設(shè)置為最高級。 應(yīng)用系統(tǒng)安全，應(yīng)用系統(tǒng)的安全性由支持應(yīng)用系統(tǒng)的網(wǎng)絡(luò)、平臺、操作系統(tǒng)和數(shù)據(jù)庫的安全性所決定，因此，應(yīng)用系統(tǒng)應(yīng)充分利用系統(tǒng)的安全性。但由于各行業(yè)的應(yīng)用系統(tǒng)千差萬別，故很難對應(yīng)用系統(tǒng)的安全實現(xiàn)進行具體的規(guī)劃。 網(wǎng)絡(luò)安全 數(shù)據(jù)包在局域網(wǎng)中是采用廣播方式傳播，的在某個廣播域中可以偵聽到域內(nèi)所有的信息包，如果黑客對信息包進行分析，那么廣播域內(nèi)的信息傳遞都會暴露在黑客面前。因此，特對 企業(yè) 局域網(wǎng)作如下設(shè)計： 網(wǎng)絡(luò)分段是保證安全的一項重要措施同時也是一項基本措施其指導(dǎo)思想，在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。在 企業(yè)局域網(wǎng)實際應(yīng)用中可采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制： VLAN 技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。 網(wǎng)絡(luò)安全檢測： 網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)檢查報告系統(tǒng)存在的弱點和漏洞提出建議補救措施和安全策略以達到增強網(wǎng)絡(luò)安全性的目的。 應(yīng)具備以下功能 :具備網(wǎng)絡(luò)監(jiān)控分析和自動響應(yīng)功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網(wǎng)絡(luò)安全危險；漏洞分析和響應(yīng)；配置分析和響應(yīng)；漏洞形勢分析和響應(yīng)；認證和趨勢分析；將各西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 11 種服務(wù)器受 黑客攻擊的可能降為最低；對網(wǎng)絡(luò)訪問做出有效響應(yīng)保護重要應(yīng)用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。 網(wǎng)絡(luò)病毒防護： 由于在網(wǎng)絡(luò)環(huán)境下計算機病毒有著不可估量的威脅性和破壞力因此計算機病毒的防范是網(wǎng)絡(luò)安全性設(shè)計中的重要一環(huán)。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)： a、預(yù)防病毒技術(shù) :它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有 :加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制。 b、檢測病毒技術(shù) :它 是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵詞、文件長度的變化等 c、清除病毒技術(shù) :它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。 網(wǎng)絡(luò)備份系統(tǒng) 備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。 根據(jù)系統(tǒng)安全需求可選擇的備份機制有 :場點內(nèi)高速度大容量自動的數(shù)據(jù)存儲備份與恢復(fù)；場點外的數(shù)據(jù)存儲備份與恢復(fù)；對系統(tǒng)設(shè) 備的備份，備份不僅要在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用，還可在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。 信息安全 企業(yè) 局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)信息可分為公共信息、內(nèi)部信息、秘密信息等。不同性質(zhì)的信息，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的 Web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設(shè)的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對秘密信息的防護除了要西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 12 求高強度的訪問控制外，還需要有高強度的加密措施。 安全管理 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡(luò)安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機 網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。 安全管理的主要功能指： a、對安全設(shè)備的管理； b、監(jiān)視網(wǎng)絡(luò)危險情況對危險進行隔離并把危險控制在最小范圍內(nèi)； c、身份認證權(quán)限設(shè)置； d、對資源的存取權(quán)限的管理； e、對資源或用戶動態(tài)的或靜態(tài)的審計； f、對違規(guī)事件自動生成報警或生成事件消息； g、口令管理如操作員的口令鑒權(quán) :對無權(quán)操作人員進行控制； h、密鑰管理 :對于與密鑰相關(guān)的服務(wù)器應(yīng)對其設(shè)置密鑰生命期密鑰備份等管理功能； i、冗余備份 :為增加網(wǎng)絡(luò)的安全系數(shù)對于關(guān)鍵的服務(wù)器應(yīng)冗余 備份。 安全管理需通過管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來完成安全管理產(chǎn)品應(yīng)支持統(tǒng)一的中心控制平臺 五、防火墻的選擇 下面是 Cisco ASA 5500 系列防火墻介紹： 圖 43 Cisco ASA 5500 系列防火墻 （一） 選擇的理由： 值得信賴的防火墻和威脅防御 VPN 技術(shù)； 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 13 Cisco ASA 5500 系列建立于值得信賴的 Cisco PIX 安全設(shè)備和 Cisco VPN 3000 系列集中器技術(shù)， ASA5500 系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護，同時提供 SSL 和 IPsec VPN 服務(wù)的解決方案； 業(yè)內(nèi)領(lǐng)先的 AntiX 服務(wù)； 將 Trend Micro 在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢與切實可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、 URL 阻擋和過濾以及內(nèi)容過 濾服務(wù)。 高級入侵防御服務(wù)； 提供主動型全功能入侵防御服務(wù)，有效阻止各種威脅，包括蠕蟲、應(yīng)用層攻擊、操作系統(tǒng)級攻擊、 rootkit 攻擊、間諜軟件、對等文件共享和即時消息傳送。 豐富的管理和監(jiān)控服務(wù)； 通過 Cisco Adaptive Security Device Manager（ ASDM）提供直觀的單設(shè)備管理和監(jiān)控服務(wù)，通過 Cisco Security Management S