【文章內(nèi)容簡介】 的一種形式。因此內(nèi)部安全威脅已經(jīng)上升為主要矛盾。一方面，網(wǎng)絡的拓撲結構一般是針對內(nèi)部網(wǎng)絡設計的，互連設備的部署也主要是針對內(nèi)部網(wǎng)絡。如何針對內(nèi)部網(wǎng)絡設計網(wǎng)絡拓撲結構，選用互連設備，構建內(nèi)部局域網(wǎng)中的局域網(wǎng)，杜絕網(wǎng)絡擁塞的出現(xiàn)，是當前研究領域的熱點問題。這需要針對企業(yè)網(wǎng)絡的性能，需要特定的優(yōu)化設計。另一方面，對于網(wǎng)絡安全，更需要一體化的管理和安全防御體系建設，在防御軟件上，要針對特定的網(wǎng)絡應用，部署專門的網(wǎng)絡防火墻和殺毒軟件。通過制定特定的防御規(guī)劃，設計或者修改軟件過濾規(guī)則，過濾網(wǎng)絡環(huán)境中的不良信息，這些都需要企業(yè)管理者投入人力物力進行設計和研發(fā)。 網(wǎng)絡安全防護體系建設存在不足每一種網(wǎng)絡拓撲結構，對應一種網(wǎng)絡體系結構設計，在相應的網(wǎng)絡安全體系建設中，安全軟件的部署也要有其特點，適應網(wǎng)絡信息流動和安全檢測工作。然而，企業(yè)特別是中小型企業(yè)，在網(wǎng)絡安全體系的建設中還存在以下不足：傳統(tǒng)防護體系在系統(tǒng)化設計上存在欠缺。企業(yè)對外部互聯(lián)網(wǎng)的接入，應該設計系統(tǒng)化的防護體系,這并非是簡簡單單的防火墻就可以完成的，應由專業(yè)認識進行設計。一般可采取防火墻與入侵檢測系統(tǒng)(IDS)聯(lián)動的方式，對網(wǎng)絡進行動靜結合的保護。網(wǎng)絡管理軟件和安全軟件的協(xié)作，對網(wǎng)絡內(nèi)外兩個部分都進行可靠管理。 網(wǎng)絡安全管理制度和措施不健全在網(wǎng)絡的管理上，國家有關部門也頒布了一些法律法規(guī)，比如《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》 。各個企業(yè)也有自己的一套管理辦法，具體到不同的網(wǎng)絡部門，也應該有自己的一套經(jīng)過實踐檢驗并行之有效的網(wǎng)絡安全設計規(guī)程。 作為企業(yè)網(wǎng)絡安全保證的網(wǎng)絡安全管理制度，一方面，它是一個企業(yè)針對網(wǎng)絡使用和網(wǎng)絡信息安全，所采取的切實有效的規(guī)章制度，是規(guī)范網(wǎng)絡用戶行為的準則。另一方面，安全管理制度也是網(wǎng)絡管理人員對網(wǎng)絡用戶行為進行審核的標準，任何違反網(wǎng)絡安全規(guī)章制度的行為，都應該被網(wǎng)絡管理系統(tǒng)發(fā)現(xiàn)，網(wǎng)絡用戶不安全的操作行為，也應該由網(wǎng)絡管理軟件或者網(wǎng)絡管理員發(fā)出警告。構建一套合理的網(wǎng)絡安全管理規(guī)章和制度，是一個企業(yè)在制度上落實網(wǎng)絡安全建設5的重要環(huán)節(jié)，也是經(jīng)過許多企業(yè)網(wǎng)絡建設的成功和失敗的經(jīng)驗教訓檢測之后的行之有效的舉措之一。6企業(yè)網(wǎng)絡安全建設需求分析通過第二章中對網(wǎng)絡安全和企業(yè)網(wǎng)絡安全建設的現(xiàn)狀分析，可知構建一個合理有效的企業(yè)網(wǎng)絡安全體系和規(guī)則，對于解決網(wǎng)絡安全建設中所暴露出來的諸多問題是大有必要的。本章將對網(wǎng)絡安全建設進行需求分析，在網(wǎng)絡安全的系統(tǒng)層次設計和應用軟件設計方面，對網(wǎng)絡安全建設的需求情況進行詳盡的論述。 網(wǎng)絡安全問題的產(chǎn)生及影響網(wǎng)絡安全涉及到網(wǎng)絡體系結構的各個方面,網(wǎng)絡安全問題的出現(xiàn)一般是由以下三個原因造成的：一是操作網(wǎng)絡的內(nèi)部人員的操作失誤；二是企業(yè)外部有目的的攻擊和竊取信息的行為；三是某些網(wǎng)絡設備和軟件系統(tǒng)制造商在網(wǎng)絡設備的軟、硬件中放置危害網(wǎng)絡、盜竊信息的程序。 網(wǎng)絡安全體系的層次劃分 網(wǎng)絡安全中安全措施劃分，主要有如下幾個方面：（1）數(shù)據(jù)源鑒別。在連接和傳送數(shù)據(jù)時鑒別相應的協(xié)議實體，而后決定提供或者拒絕服務。（2）訪問控制。限制用戶訪問網(wǎng)絡資源的授權，可以防止未經(jīng)許可暴露所傳輸數(shù)據(jù)的內(nèi)容。（3）完整性服務。包含網(wǎng)絡協(xié)議不受篡改，確保服務順利完成。主要用于防止他人利用網(wǎng)絡修改傳輸數(shù)據(jù)，以保證發(fā)送和接收的數(shù)據(jù)一致。計算機網(wǎng)絡是由多個相互獨立的計算機系統(tǒng)通過通信媒體連接起來的?各計算機都具有一個完整獨立的操作系統(tǒng),網(wǎng)絡操作系統(tǒng)(NOS)是建立在這些獨立的操作系統(tǒng)基礎上用以擴充網(wǎng)絡功能的系統(tǒng)(系統(tǒng)平臺)?網(wǎng)絡設備中主流操作系統(tǒng)有類 UNIX 和 Windows 系列，LINUX 作為開源系統(tǒng)，兼具UNIX 強大的網(wǎng)絡功能。而 Windows 平臺更是推出了 Windows Server 系列，滿足網(wǎng)絡服務的需求。用戶的應用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運行，操作系統(tǒng)為各工具軟件提供支持，因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡系統(tǒng)的安全。網(wǎng)絡操作系統(tǒng)的安全問題。企業(yè)接入互聯(lián)網(wǎng)以及 B/S 模式的管理系統(tǒng)在企業(yè)網(wǎng)絡中7的應用，難免會帶來源源不斷的軟件安全問題，一般的操作系統(tǒng)都會提供以下的安全防護措施：（1）過濾保護。分析所有針對受保護對象的訪問,過濾惡意攻擊以及可能帶來不安全因素的非法訪問。（2）安全檢測保護。對所有用戶的操作進行分析,阻止那些超越權限的用戶操作以及可能給操作系統(tǒng)帶來不安全因素的用戶操作。（3）隔離保護。保證同時運行的多個進程和線程之間是相互隔離的,即各個進程和線程分別調(diào)用不同的系統(tǒng)資源。作為終端使用者的用戶，直接面對應用層，應該確切落實網(wǎng)絡管理規(guī)章制度的要求，杜絕安全隱患。用戶層安全的防范措施，主要包含對用戶的識別、認證、數(shù)字簽名等。 企業(yè)網(wǎng)絡應用層的安全威脅來自企業(yè)內(nèi)部和外部的動態(tài)變化的安全威脅隨時會給企業(yè)運營帶來巨大的災難。常見的危害應用層安全的的因素如下：（1）網(wǎng)絡蠕蟲、病毒等危害網(wǎng)絡信息安全。 （2）信息竊取和網(wǎng)絡攻擊危害網(wǎng)絡數(shù)據(jù)安全。信息竊取是黑客和網(wǎng)絡攻擊的常見目標。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響，會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。（3）垃圾郵件成為傳播病毒的主要手段。收到垃圾郵件的用戶往往由于對郵件缺乏了解而不幸激活病毒卻不知情，網(wǎng)絡犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。 網(wǎng)絡應用軟件的安全性防護應用系統(tǒng)層的安全需求需要保證應用軟件和數(shù)據(jù)庫軟件的安全性，如：WWW 服務、應用網(wǎng)關系統(tǒng)、DNS 系統(tǒng)、防火墻軟件、業(yè)務應用軟件等。應用軟件必須保證以下要求：（1）購買的應用軟件應通過安全測試并要求銷售商確認其無后門或漏洞。（2）能夠?qū)τ脩羯矸葸M行鑒別與認證。（3）保證存儲或存檔的所有數(shù)據(jù)的完整性、真實性和可用性。（4）對已使用的應用系統(tǒng)定期進行漏洞掃描，及時修補存在的漏洞。、傳輸層和網(wǎng)絡層安全數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡層，在 OSI 參考模型中，都是負責數(shù)據(jù)流傳輸?shù)?，企業(yè)對于數(shù)據(jù)訪問和存取的控制，一般都是針對這三個層次制定網(wǎng)絡協(xié)議，監(jiān)控和過濾數(shù)據(jù)流。8 數(shù)據(jù)鏈路層安全防護需求分析 數(shù)據(jù)鏈路層位于物理硬件層網(wǎng)絡層之間，擔負起第一道數(shù)據(jù)監(jiān)控和過濾的重任。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容：一是涉及到數(shù)據(jù)傳輸過程中的加密和數(shù)據(jù)的修改，也就是影響到數(shù)據(jù)的完整性；另一個是涉及到物理地址的盜用問題，影響到網(wǎng)絡管理。針對數(shù)據(jù)鏈路層的攻擊主要有：（1）局域網(wǎng) ARP 欺騙攻擊。數(shù)據(jù)鏈路層的協(xié)議 ARP 協(xié)議，具有完成 IP 地址到 MAC 地址的轉(zhuǎn)換的功能。通過偽造 IP 地址和 MAC 地址實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡阻塞。（2）針對 MAC 地址的泛洪攻擊。網(wǎng)絡互連設備路由器和交換機具有主動學習客戶端的 MAC 地址，然后建立和維護端口和 MAC 地址的對應表。MAC 地址泛洪攻擊利用工具產(chǎn)生欺騙 MAC，快速填滿 MAC地址表，交換機此后一直廣播信息，會造成負載過大，網(wǎng)絡緩慢和丟包甚至癱瘓。 傳輸層安全防護需求分析傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。無論是局域網(wǎng)還是廣域網(wǎng)，目前最為流行的傳輸層協(xié)議主要有 TCP 和 UDP 協(xié)議族許多安全協(xié)議也運行于 TCP之上，為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ?，使得?shù)據(jù)避免被竊聽、篡改或假冒?；趥鬏攲拥木W(wǎng)絡安全協(xié)議眾多。傳輸層支持的安全服務有：1) 對等實體認證服務；2)訪問控制服務；3) 數(shù)據(jù)保密服務；4)數(shù)據(jù)完整性服務；5)數(shù)據(jù)源點認證服務。傳輸層主要有兩個安全協(xié)議：SSL （Secure Sockets Lay