【文章內(nèi)容簡介】 主機(jī)、顯示器等）的日常維護(hù)和保養(yǎng)工作，定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常。 電源系統(tǒng)電壓的波動(dòng)、浪涌電流和突然斷電等意外情況的發(fā)生可能引起計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息的丟失、存儲(chǔ)設(shè)備的損壞等情況的發(fā)生，必須依照國家的相關(guān)標(biāo)準(zhǔn)配備。 系統(tǒng)安全對策 系統(tǒng)網(wǎng)絡(luò)安全是整個(gè)安全解決方案的關(guān)鍵。首先根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求來劃分虛擬子網(wǎng) (VLAN)。其次為了保護(hù)通信數(shù)據(jù)的機(jī) 密性與完整性，數(shù)據(jù)需經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。其采用的主要技術(shù)有： VLAN（虛擬局域網(wǎng)）技術(shù)，認(rèn)證技術(shù)，信息加密技術(shù)等。 VLAN（虛擬局域網(wǎng)）技術(shù) 虛擬局域網(wǎng)技術(shù)，是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。 運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè) VLAN 里，在這個(gè) VLAN 里不允許有任何用戶節(jié)點(diǎn)，從 而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分 VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN 內(nèi)，互不侵?jǐn)_。從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法 [5]： （ 1） 基于端口的 VLAN 劃分 ： 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 （ 2） 基于 MAC 地址的 VLAN 劃分 ： MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng) 卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。網(wǎng)絡(luò)管理員可按MAC 地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 7 （ 3） 基于路由的 VLAN 劃分 ： 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè) VLAN 中。 就目前來說， 大多數(shù)企業(yè) 采取上述第 3 種方式，第 2 種方式為輔助性的方案。 認(rèn)證技術(shù) 認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)，它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認(rèn)證的主要目的有兩個(gè)：①驗(yàn)證信息的發(fā)送者是真正的：②驗(yàn)證信息的完整性 ，保證信息在傳送過程中未被竄改、重放或延遲等。目前有關(guān)認(rèn)證的主要技術(shù)有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。而數(shù)字簽名是目前應(yīng)用最廣泛的一種認(rèn)證技術(shù)。 數(shù)字簽名能夠防止他人冒名進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動(dòng)，數(shù)字簽名使用的是公鑰密碼技術(shù) RSA 非對稱加密法，安全性很高。其具體認(rèn)證過程如圖 31 所示 [6]： 圖 31 數(shù)字簽名 （ 1）發(fā)送方首先用公開的單向函數(shù)對報(bào)文進(jìn)行一次變換，得到數(shù)字簽名（摘要），然后利用私有密鑰對數(shù)字簽名進(jìn)行加密后附在報(bào)文之后一同發(fā)出。 （ 2）接收方用發(fā)送方 的公開密鑰對數(shù)字簽名進(jìn)行解密變換，得到一個(gè)成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 8 數(shù)字簽名的明文。發(fā)送方的公鑰是由一個(gè)可信賴的技術(shù)管理機(jī)構(gòu)即驗(yàn)證機(jī)構(gòu)（ CA: Certification Authority）發(fā)布的。 （ 3）接收方將得到的明文通過單向函數(shù)進(jìn)行計(jì)算，同樣得到一個(gè)數(shù)字簽名，再將兩個(gè)數(shù)字簽名進(jìn)行對比，如果相同，則證明簽名有效，否則無效。 這種方法使任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據(jù)驗(yàn)證結(jié)果來拒收該報(bào)文，也能使其無法偽造報(bào)文簽名及對報(bào)文進(jìn)行修改，原因是數(shù)字簽名是對整個(gè)報(bào)文進(jìn) 行的，是一組代表報(bào)文特征的定長代碼，同一個(gè)人對不同的報(bào)文將產(chǎn)生不同的數(shù)字簽名。這就解決了銀行通過網(wǎng)絡(luò)傳送一張支票，而接收方可能對支票數(shù)額進(jìn)行改動(dòng)的問題，也避免了發(fā)送方逃避責(zé)任的可能性。 信息加密技術(shù) 加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密，兩種方法各有所長，可以結(jié)合使用，互補(bǔ)長短。對稱密鑰加密，加密解密速度快、算法易實(shí)現(xiàn)、安全性好，缺點(diǎn)是密鑰長度短、“窮舉”方式進(jìn)攻的代價(jià)小。非對稱密鑰加密，容易實(shí)現(xiàn)密鑰管理，便于數(shù)字簽名，缺點(diǎn)是算法較復(fù)雜，加 密解密花費(fèi)時(shí)間長。加密技術(shù)中的另一重要的問題是密鑰管理，主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護(hù)、密鑰產(chǎn)生及進(jìn)入等方面的問題。 黑客攻擊對策 應(yīng)對黑客的攻擊，采用的技術(shù)主要有防火墻技術(shù)和入侵檢測技術(shù)。 防火墻技術(shù) 根據(jù) CNCERT/CC 調(diào)查顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，防火墻的使用率最高達(dá)到 %，是防止黑客攻擊的橋頭堡 [7]。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò) 內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 常見的防火墻體系結(jié)構(gòu)：雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu) [8]。 （ 1） 雙重宿主主機(jī)體系結(jié)構(gòu)：又稱為雙宿／多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 9 兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，其體系結(jié)構(gòu)如圖 32： 圖 32 雙重宿主主機(jī)體系結(jié)構(gòu) （ 2） 屏蔽主機(jī)體系結(jié)構(gòu)：屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成，其配置如圖 33所示。在這種方式的防 火墻中，堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這保證了內(nèi)部網(wǎng)絡(luò)不被未經(jīng)授權(quán)的外部用戶的攻擊 圖 33 屏蔽主機(jī)體系結(jié)構(gòu) （ 3） 屏蔽子網(wǎng)體系結(jié)構(gòu)：屏蔽子網(wǎng)防火墻的配置如圖 34所示，采用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)外網(wǎng)絡(luò)之間建立了一個(gè)被隔離的子網(wǎng)，定義為“非軍事區(qū)”網(wǎng)絡(luò)，有時(shí)也稱作周邊網(wǎng)。網(wǎng)絡(luò)管理員將堡壘主機(jī)、WEB 服務(wù)器、 Email 服務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信。 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 10 圖 34 屏蔽子網(wǎng)體系結(jié)構(gòu) 網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，那么我們究竟應(yīng)該在哪些地方 部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Inter 的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng) (VLAN)，則應(yīng)該在各個(gè) VLAN 之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng) (VPN)。安裝防火墻的基本原 則是：只要有惡意侵入的可能，無論內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。 入侵檢測技術(shù) 防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進(jìn)行攻擊。其次，防火墻對來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過，不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼。對于以上提到的問題，一個(gè)更為有效的解決途徑就是入侵檢測技術(shù)。 入侵檢測是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策 略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前 攔截 和響應(yīng)入侵。因此被認(rèn)為是 防火墻 之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。 在入侵檢測系統(tǒng)中利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。在 企業(yè) 網(wǎng)成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 11 絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測， 即 在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。 網(wǎng)絡(luò)病毒對策 病毒防治體系特性 根據(jù)現(xiàn)代企業(yè)的具體境況，我們建議企業(yè)應(yīng)該建立起復(fù)雜的多層次病毒防治體系，以應(yīng)對當(dāng)前的網(wǎng)絡(luò)病毒。首先應(yīng)該考慮在何處安裝病毒防治軟件。在企業(yè)中，重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中央結(jié)點(diǎn)的文檔服務(wù)器上，這也是病毒攻擊的首要目標(biāo)。為保護(hù)這些數(shù)據(jù)，網(wǎng)絡(luò)管理員必須在網(wǎng)絡(luò) 的多個(gè)層次上配置全面保護(hù)措。其必須具備三個(gè)特性 [9]： （ 1）集成性：任何的保護(hù)措施必須在邏輯上是統(tǒng)一的和相互配合的。 （ 2） 單點(diǎn)管理：作為一個(gè)集成的解決方案，最基本的一條是必須有一個(gè)安全管理的聚焦點(diǎn)。 （ 3） 自動(dòng)化：系統(tǒng)需要有能自動(dòng)更新病毒數(shù)據(jù)庫和其他相關(guān)信息的功能。 病毒防治軟件安裝 （ 1） 工作站：工作站是病毒進(jìn)入網(wǎng)絡(luò)的主要途徑，所以應(yīng)該在工作站上安裝防病毒軟件。雖然現(xiàn)在許多病毒是通過 Inter 文檔下載和電子郵件文檔附著傳播的，但最主要的傳播途徑還是由外界帶來的軟盤，因此在工作站上實(shí)施 實(shí)時(shí)軟盤掃描是十分必要的。他能夠使病毒感染的機(jī)會(huì)降至最少。當(dāng)然，在工作站上安裝的防病毒軟件應(yīng)很好地融合于系統(tǒng)，便于統(tǒng)一更新和自動(dòng)運(yùn)行，以避免給用戶造成不便。 （ 2） 郵件服務(wù)器：郵件服務(wù)器是防病毒軟件的第二個(gè)著眼點(diǎn)。郵件是重要的病毒來源。郵件在發(fā)往其目的地前，首先進(jìn)入郵件服務(wù)器并被存放在郵箱內(nèi)，所以在這里安裝防病毒軟件是十分有效的。 （ 3） 備份服務(wù)器：備份服務(wù)器是用來保存重要數(shù)據(jù)的。備份服務(wù)器是保護(hù)數(shù)據(jù)的最后據(jù)點(diǎn)，是恢復(fù)其他服務(wù)器數(shù)據(jù)的基本依據(jù)。因此在備份服務(wù)器上裝殺毒軟件是非常必要的 （ 4） Inter 服務(wù)器和文檔服務(wù)器：網(wǎng)絡(luò)中任何存放文檔和數(shù)據(jù)庫的地方都可能出問題，因此需要保護(hù)好這些地方。文檔服務(wù)器中存放企業(yè)重要的成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 12 數(shù)據(jù)。在 Inter 服務(wù)器上安裝防病毒軟件是頭等重要的，上載和下載的文檔不帶有病毒對您和您客戶的網(wǎng)絡(luò)都是很重要的。 病毒防護(hù)體系的自動(dòng)控制 一個(gè)企業(yè)范圍的防病毒系統(tǒng)必須統(tǒng)一管理整個(gè)域中成百上千個(gè)結(jié)點(diǎn) (服務(wù)器和工作站 )才能真正發(fā)揮作用，這就需要在一臺(tái)或幾臺(tái)電腦上安裝的防病毒系統(tǒng)控制程序，能夠?qū)φ麄€(gè)網(wǎng)絡(luò)或其中任何一個(gè)節(jié)點(diǎn)的變化作出反應(yīng)和控制，能夠獲取病毒信息，進(jìn)行配置和操作。當(dāng)某個(gè) 節(jié)點(diǎn)的防范程序認(rèn)為存在可能的病毒感染時(shí)，中央控制系統(tǒng)必須能夠切斷此節(jié)點(diǎn)和網(wǎng)絡(luò)的連接，以避免病毒向整個(gè)網(wǎng)絡(luò)的擴(kuò)散。當(dāng)任何受感染的電腦都被隔離后，防病毒管理系統(tǒng)通知系統(tǒng)管理員，以便采取緊急措施。防病毒系統(tǒng)的警報(bào)和通知方法是多樣的，比如能夠配置不同病毒活動(dòng)的警報(bào)級別，根據(jù)問題的不同通知不同的管理人員，根據(jù)事件記錄產(chǎn)生不同級別的文字消息。 應(yīng)用管理安全對策 信息安全無外乎是技術(shù)和管理的結(jié)合體，在技術(shù)上做到了萬無一失，并不表示企業(yè)的信息就安全了，我們還要從管理上著手，打造安全管理體系。 安全管理體系分為以下八 個(gè)方面：人事管理、場地設(shè)施管理、設(shè)備管理、軟件管理、密鑰和口令管理、網(wǎng)絡(luò)管理、安全審計(jì)管理和應(yīng)急管理。如圖35 所示： 圖 35 安全管理體系 安全管理體系 人事管理 場地設(shè)施管理 設(shè)備管理 網(wǎng)絡(luò)管理 安全審計(jì)管理 軟件管理 口令管理 應(yīng)急管理 成都信息工程學(xué)院銀杏酒店管理學(xué)院本科畢業(yè)論文 13 人事管理 人事管理就是對安全人員的管理。安全人員包括：系統(tǒng)管理員、安全管理員 、系統(tǒng)分析員、系統(tǒng)操作員、軟硬件維護(hù)人員、技術(shù)文檔管理人員。 （ 1）人事管理原則：一般情況下，每項(xiàng)與安全有關(guān)的活動(dòng)不允許一人單獨(dú)完成，并且所有安全功能的實(shí)施不集中于一人；應(yīng)用程序開發(fā)人員與操作人員分離，開發(fā)人員不參與日常操作 ，操作人員不參與開發(fā)。所有人員的工作、活動(dòng)范圍和訪問權(quán)應(yīng)被限制在完成其任務(wù)的最小范圍內(nèi)。 （ 2）崗位人選：信息系統(tǒng)的關(guān)鍵崗位人選：安全負(fù)責(zé)人、安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、系統(tǒng)分析員等必須經(jīng)過嚴(yán)格的政審并要考核其業(yè)務(wù)能力。相關(guān)聯(lián)的關(guān)鍵崗位人員不能兼職。 （ 3）簽訂保密合同：關(guān)鍵崗位人員和涉密人員 要與企業(yè)簽訂保密合同，承諾其對系統(tǒng)應(yīng)盡的安全保密義務(wù)。 場地設(shè)施管理 （ 1）建立機(jī)房出入登記管理制度，無關(guān)人員限制進(jìn)入機(jī)房。 （ 2）建立機(jī)房主要設(shè)備維護(hù)記錄文檔；及時(shí)檢查機(jī)房主要設(shè)備，確保設(shè)備處于正 常狀態(tài)。 （ 3）及時(shí)做好系統(tǒng)備份和系統(tǒng)日志備份，必要時(shí)打印系統(tǒng)日志 （ 4）制定應(yīng)急措施，出現(xiàn)與安全有關(guān)的故障時(shí)，按規(guī)定時(shí)間處理的同時(shí)報(bào)安全管理部門。 設(shè)備管理 首先是設(shè)備購置登記：對所有設(shè)備均應(yīng)建立項(xiàng)目齊全、管理嚴(yán)格的購置、移交、使用、維護(hù)、維修和報(bào)廢等登記制度，并認(rèn)真做好登記及檢查工作，保證設(shè)備管理工作正規(guī)化。 再次是設(shè)備維修管理：對系統(tǒng)進(jìn)行維修時(shí)應(yīng)采取數(shù)據(jù)保護(hù)措施；涉密系統(tǒng)的維修應(yīng)在設(shè)備責(zé)任人監(jiān)督下進(jìn)行；安全設(shè)備維修時(shí)應(yīng)有安全管理員在場。雙方在維修記錄上簽字。 軟件管理 軟件管理 范圍包括操