【文章內(nèi)容簡介】 保存有用戶信息及其口令的關(guān)鍵文件(如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等)使用權(quán)限進行嚴(yán)格限制；加強口令字的使用(增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測的信息作為口令)，并及時給系統(tǒng)打補丁、系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。通過配備操作系統(tǒng)安全掃描系統(tǒng)對操作系統(tǒng)進行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對性地進行對網(wǎng)絡(luò)設(shè)備重新配置或升級。(3) 應(yīng)用系統(tǒng)安全在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如HTTP、FTP、TELNET、RLOGIN等服務(wù)。還有就是加強登錄身份認(rèn)證。確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是整個安全解決方案的關(guān)鍵，從訪問控制、通信保密、入侵檢測、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病毒分別描述。(1) 隔離與訪問控制a) 嚴(yán)格的管理制度可制定的制度有：《用戶授權(quán)實施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》、《安全責(zé)任制度》等。b) 劃分虛擬子網(wǎng)(VLAN)內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機來劃分虛擬子網(wǎng)(VLAN)，在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。通過虛擬子網(wǎng)的劃分,能夠?qū)嵼^粗略的訪問控制。c) 配備防火墻防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻通過制定嚴(yán)格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。并且防火墻可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細(xì)的訪問控制。(2) 通信保密數(shù)據(jù)的機密性與完整性，主要是為了保護在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇以下幾種方式：a) 鏈路層加密對于連接各涉密網(wǎng)節(jié)點的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路級加密設(shè)備，以保證各節(jié)點涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶讀懂、篡改傳輸?shù)臄?shù)據(jù)。鏈路加密機由于是在鏈路級，加密機制是采用點對點的加密、解密。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點的每條外線線路上都得配一臺鏈路加密機。通過兩端加密機的協(xié)商配合實現(xiàn)加密、解密過程。b) 網(wǎng)絡(luò)層加密鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點較多，而且可能采用DDN、FR等多種通訊線路。如果采用多種鏈路加密設(shè)備的設(shè)計方案則增加了系統(tǒng)投資費用，同時為系統(tǒng)維護、升級、擴展也帶來了相應(yīng)困難。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備(VPN)，VPN是網(wǎng)絡(luò)加密機，是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺VPN加密機。根據(jù)具體策略，來保護內(nèi)部敏感信息和企業(yè)秘密的機密性、真實性及完整性。IPSec是在TCP/IP體系中實現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而VPN設(shè)備正是一種符合IPSec標(biāo)準(zhǔn)的IP協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立IP安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。經(jīng)過對VPN的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。一般來說，VPN設(shè)備可以一對一和一對多地運行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持IPSec標(biāo)準(zhǔn)。由于VPN設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)，VPN設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。鑒于VPN設(shè)備的突出優(yōu)點，應(yīng)根據(jù)企業(yè)具體需求，在各個網(wǎng)絡(luò)結(jié)點與公共網(wǎng)絡(luò)相連接的進出口處安裝配備VPN設(shè)備。(3) 入侵檢測利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風(fēng)險。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補充。入侵檢測系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對進出網(wǎng)段的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送Email)。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡(luò)引擎)?？刂婆_用作制定及管理所有探測器(網(wǎng)絡(luò)引擎)。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。由于探測器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。(4) 掃描系統(tǒng)網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件(Web站點，防火墻，路由器，TCP/IP及相關(guān)協(xié)議服務(wù))進行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施。系統(tǒng)掃描系統(tǒng)可以對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進行安全性掃描，檢測操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報表，以供分析；還會針對具體安全漏洞提出補救措施。(5) 病毒防護由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。我們都知道，政府網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為WINDOWS系統(tǒng)，比較容易感染病毒。因此計算機病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)：a) 預(yù)防病毒技術(shù)預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制(如防病毒卡等)。b) 檢測病毒技術(shù)檢測病毒技術(shù)是通過對計算機病毒的特征來進行判斷的技術(shù)(如自身校驗、關(guān)鍵字、文件長度的變化等)，來確定病毒的類型。c) 殺毒技術(shù)殺毒技術(shù)通過對計算機病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進行頻繁地掃描和監(jiān)測。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會采取相應(yīng)處理措施(清除、更名或刪除)，防止病毒進入網(wǎng)絡(luò)進行傳播擴散。 應(yīng)用安全(1) 內(nèi)部OA系統(tǒng)中資源共享嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認(rèn)證機制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費相當(dāng)長的時間。(2) 信息存儲對有涉及企業(yè)秘密信息的用戶主機，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進行遠(yuǎn)程備份存儲。 構(gòu)建CA體系針對信息的安全性、完整性、正確性和不可否認(rèn)性等問題，目前國際上先進的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。具體實現(xiàn)的辦法是使用數(shù)字證書，通過數(shù)字證書，把證書持有者的公開密鑰(Public Key)與用戶的身份信息緊密安全地結(jié)合起來，以實現(xiàn)身份確認(rèn)和不可否認(rèn)性。簽發(fā)數(shù)字證書的機構(gòu)即數(shù)字證書認(rèn)證中心CA（Certification Authority)，數(shù)字證書認(rèn)證中心為用戶簽發(fā)數(shù)字證書，為用戶身份確認(rèn)提供各種相應(yīng)的服務(wù)。在數(shù)字證書中有證書擁有者的甄別名稱(DN，Distinguish Name)，并且還有其公開密鑰，對應(yīng)于該公開密鑰的私有密鑰由證書的擁有者持有，這對密鑰的作用是用來進行數(shù)字簽名和驗證簽名，這樣就能夠保證通訊雙方的真實身份，同時采用數(shù)字簽名技術(shù)還很好地解決了不可否認(rèn)性的問題。根據(jù)機構(gòu)本身的特點，可以考濾先構(gòu)建一個本系統(tǒng)內(nèi)部的CA系統(tǒng)，即所有的證書只能限定在本系統(tǒng)內(nèi)部使用有效。隨著不斷發(fā)展及需求情況下，可以對CA系統(tǒng)進行擴充與國家級CA系統(tǒng)互聯(lián)，實現(xiàn)不同企業(yè)間的交叉認(rèn)證。 管理安全(1) 制定健全的安全管理體制制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實現(xiàn)的重要保證。各政府機關(guān)單位可以根據(jù)自身的實際情況，制定如安全操作流程、安全事故的獎罰制度以及對任命安全管理人員的考查等。(2) 構(gòu)建安全管理平臺構(gòu)建安全管理平臺將會降彽很多因為無意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件。通過安全管理平臺實現(xiàn)全網(wǎng)的安全管理。(3) 增強人員的安全防范意識主要部門、機關(guān)單位應(yīng)該經(jīng)常對單位員工進行網(wǎng)絡(luò)安全防范意識的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識。第四章 辦公網(wǎng)絡(luò)安全設(shè)計一個辦公網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點，本設(shè)計是從網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、物理安全、安全管理等方面進行說明的。 網(wǎng)絡(luò)安全作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過網(wǎng)絡(luò)進行交換，所以企業(yè)在構(gòu)建安全的辦公網(wǎng)絡(luò)系統(tǒng)時，必須加強網(wǎng)絡(luò)安全的建設(shè)。 網(wǎng)絡(luò)傳輸由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越INTERNET的企業(yè)集團內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，如果不采取相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在設(shè)計中對網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考壒芾碛騼?nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：圖41 三級VPN設(shè)置拓?fù)鋱D每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證服務(wù)器（VPNCA），在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？蛇_到以下幾個目的：(1) 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸(2) 網(wǎng)絡(luò)隔離保護與INTERNET進行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問(3) 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性(4) 降低成本（設(shè)備成本和維護成本）其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖42 中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺VPN管理機對CA中心VPN設(shè)備、分支機構(gòu)VPN設(shè)備進行統(tǒng)一網(wǎng)絡(luò)管理。將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。下級單位的VPN設(shè)備放置如下圖所示：圖43 下級單位VPN設(shè)置圖從圖43可知，下屬機構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級機構(gòu)通過網(wǎng)絡(luò)實現(xiàn)，下屬機