【導讀】情況下計算機網絡的安全問題。在對中小型網絡系統有了確切的了解。之后，將局域網總體劃分為三個安全等級，每個等級中包含若干子網，在滿足各子網系統建設的前提下，提出了包括病毒防護、動態(tài)。目的是建立一個完整的、立體的網絡安全防御體系，使網絡安全。系統真正獲得較好的效果。企業(yè)、組織、政府部門與機構都在組建和發(fā)展自己的網絡?；ヂ摼W上，以充分共享、利用網絡的信息和資源。確有效的網絡安全方案的重點。面的決策人或操作應用人員。在網絡上的安全威脅降到最低。根據中小型公司網絡現狀、中小型公。探討了今后網絡安全系統的發(fā)展方向。

　　

【正文】 ，通過實時截取網絡上的是數據流，分析網絡通訊會話軌跡，尋找網絡攻擊模式和其它網絡違規(guī)活動。當發(fā)現網絡攻擊或未授權訪問時，入侵檢測可以進行如下反應 ： (l)控制臺報警。 (2)記錄網絡攻擊事件。 (3)實時阻斷網絡連接。 (4)入侵檢測可以過濾和監(jiān)視 TCP/工 P 協議。系統管理員通過 配置入侵檢測，可以按協議，源端口，目的端口，源工 P/目的工 P 地址過濾。 (5)入侵檢測還支持用戶自定義的網絡安全事件監(jiān)視。 (6)入侵檢測能生成系統安全日志以利于系統安全審計并以開放數據庫方式支持安全分析決策系統，從而為網絡安全提供有效的保障。 漏洞掃描系統 網絡設備和軟件在設計開發(fā)過程中不可避免存在缺陷和漏洞，漏洞隨著時間推移越來越多 。攻擊者也從傳統上的黑客高手，變成初學者用自動程序來完成攻擊，這些都導致黑客攻擊越來越容易實現，威脅程度越來越高。 由于網絡本身及應用系統的復雜性，網絡管理員失去了對 網絡資源的精確控制。采用網絡漏洞掃描器對存在的安全隱患進行檢查，幫助管理員找出解決的方法。 中小型公司 內網網絡的安全性決定了整個系統的安全性。在 中小型公司 內網某中小型企業(yè)網絡安全實現 26 高性能服務器處配置網絡隱患掃描聯動型產品。聯動型適用于 中小型公司 內網這樣的高端用戶，聯動型掃描系統包括掃描服務器和移動掃描儀。掃描服務器部署于網絡中心，高速高效且穩(wěn)定的掃描防護整體網絡 。移動掃描儀使用靈活，可以跨越網段、穿透防火墻、主流 IDS 產品，多種主流聯動協議 Topsee、 Opensec 聯動，與多種安全管理平臺兼容，統一安全策略配置，保障全網安全。通 過部署多級聯動型產品實現榕基分布式整體安全掃描，網絡管理人員可以方便的通過控制掃描器就可以實現對多級管轄區(qū)域的服務器進行統一和及時管理，實現對管轄區(qū)域服務器，網絡設備等的安全性，以保證整體網絡的安全性，整體可控性、整體安全資源共享。 網絡人員使用聯動型產品，就可以很方便的對 200 信息點以上的多個網絡進行多線程較高的掃描速度的掃描，可以實現和 IDS、防火墻聯動，尤其適合于制定全網統一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻，實現分布式掃描，服務器和掃描儀都支持定時和多 IP 地址的自動掃描，網管人員可 以很輕松的就可以進行整個網絡的掃描，根據系統提供的掃描報告，配合我們提供的三級服務體系，大大的減輕了工作負擔，極大的提高了工作效率。通過部署漏洞掃描的聯動設備，保障 中小型公司 內網重要部門的網絡安全的同時，提高每個部門的安全性就顯得尤其重要。只有部門的安全得到保證的前提下， 中小型公司 內網才能夠安全。我們對這些部門進行合理的規(guī)劃，可以將這些部門根據統一的配置策略，給下屬部門、網絡管理應用服務系統配置網絡聯動掃描系統來保證各個部門的安全性。這樣就可以很方便的管理信息點多、網絡環(huán)境較固定、與 中小型公司 的業(yè)務應用緊密 相關的內網中。聯動掃描系統支持多線程掃描，有較高的掃描速度，支持定時和多 IP 地址的自動掃描，網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了 Web 方式的遠程管理，網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環(huán)境變化大的內網配置網絡移動式掃描儀。移動式掃描儀手持式設計，使用簡單、靈活，攜帶方便。隨著網絡規(guī)模的逐步龐大、復雜，各個網絡之間存在著防火墻、交換機等過濾機制的存在，隱患掃描發(fā)送的數據包大部分將被這些設備過濾，降低了掃描的 時效性和準確性。針對這種分布式的復雜網絡，移動式掃描儀能夠充分發(fā)揮自身可移動的優(yōu)勢，能夠很好的適應這種分布式網絡掃描，移動掃描，隨時隨處保護網絡安全。 某中小型企業(yè)網絡安全實現 27 圖 漏洞掃描系統部署方案 在防火墻處部署聯動掃描系統，在部門交換機處部署移動式掃描儀，實現防火墻、聯動掃描系統和移動式掃描儀之間的聯動，保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性，最大可能的消除安全隱患，盡可能早地發(fā)現安全漏洞并進行修補，優(yōu)化資源，提高網絡的運行效率和安全性。 某中小型企業(yè)網絡安全實現 28 第 五 章 安全方案測試 安全 管理機構的建設原則 單位安全網內網系統安全具有高度的敏感性和特殊性，通過設立專門的主管機關強制性執(zhí)行上述國家相關法規(guī)來進行管理。信息安全管理機構的職能建設遵照從上至下的垂直管理原則，即 ： 上級機關信息安全管理機構指導下一級機關信息系統安全管理機構的工作原則 ： 下一級機關信息系統的安全管理機構接受并執(zhí)行上一級機關信息系統安全管理機構的安全策略 。信息系統的安全管理機構，不隸屬于同級信息系統管理和業(yè)務機構。信息系統安全管理機構由系統管理、系統分析、軟件硬件、安全保衛(wèi)、系統稽核、人事、通信等有關方面的人員組成。 能建設 遵照從上至下的垂直管理原則，即 ： 上級機關信息安全管理機構指導下一級機關信息系統安全管理機構的工作原則 ： 下一級機關信息系統的安全管理機構接受并執(zhí)行上一級機關信息系統安全管理機構的安全策略 。信息系統的安全管理機構，不隸屬于同級信息系統管理和業(yè)務機構。信息系統安全管理機構由系統管理、系統分析、軟件硬件、安全保衛(wèi)、系統稽核、人事、通信等有關方面的人員組成。 企業(yè)網絡 安全方案 測試 隨著企業(yè)信息化建設的不斷發(fā)展，來自網絡內外的威脅也隨之增加，現有防護工作頻遭挑戰(zhàn)，中小型企業(yè)網絡安全處境堪憂。千里之堤毀于蟻穴 ，防護再嚴密的網絡，如果有一個漏洞就會使整個網絡安全防護系統崩潰。 中小型企業(yè)網絡系統可能存在的安全威脅主要來自以下方面： （ 1）操作系統安全漏洞的威脅。對于中小型企業(yè)，主要采用目前比較流行的操作系統，如 Unix、 Linux、 windows server 以及 windows XP 等，而這些操作系統均存在網絡安全漏洞。 （ 2）應用服務系統缺乏安全考慮及設置。許多應用服務系統在訪問控制及安全通訊方面考慮較少，而且如果系統設置錯誤，就很容易造成損失。 （ 3）防火墻的安全性。防火墻產品自身是否安全，是否設置錯誤，需要 經過檢驗。 （ 4）中小型企業(yè)內部網用戶的安全威脅。缺乏有效的手段監(jiān)視網絡，評估網絡系統的安全性。 （ 5）對來自互聯網的電子郵件攜帶的木馬、病毒或網站瀏覽可能存在的惡意控件缺乏有效控制 從以上網絡安全隱患可以看出，制定中小型企業(yè)網絡及信息安全方案，對于保持企業(yè)網絡的正常運轉起著至關重要的作用。 方案目標 本方案主要從技術角度探討中小型企業(yè)的網絡安全綜合解決方案設計。構建安全的中小型企業(yè)的網絡需要最前沿的網絡安全技術。網絡安全技術是一門涉及某中小型企業(yè)網絡安全實現 29 計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、 數論、信息論等多學科的綜合性學科，對于構建安全的中小型企業(yè)網絡需要具備密碼技術、訪問控制與防火墻技術、入侵檢測與安全審計技術、黑客與病毒防范技術、操作系統安全技術、數據庫系統安全技術、數據安全技術和 web 安全技術等多種技術，應用這些技術，將中小型企業(yè)的網絡系統設計成一個支持多部門、多級別的安全網絡。 企業(yè)的網絡在保證本系統內部網絡安全的同時，還應該實現企業(yè)網絡、行業(yè)網絡或其他網絡以及互聯網的安全互聯。本方案的目標是滿足企業(yè)各級用戶對網絡安全的需求，包括企業(yè)內部以及企業(yè)客戶的通話保密性，企業(yè)客戶的計算機系統的 安全保障，防止非法訪問和破壞數據庫，系統不被病毒和木馬攻擊，防止反動、淫穢等有害信息在網上傳播等。 中小型企業(yè)的網絡安全綜合解決方案并不能杜絕所有的網絡安全問題，它的作用僅在于面對日益增加的網絡安全問題做到盡可能地防范，以及在受到攻擊破壞后將損失降到最低。具體地說，簡歷中小型企業(yè)的網絡安全綜合解決方案主要作用有以下幾點： （ 1）采用多種防御技術和多層防衛(wèi)手段，將受到攻擊舍侵入的概率降到最低； （ 2）能夠迅速檢測出非法用戶和惡意攻擊者非法初始進入網絡的手段，能夠記錄入侵者的記錄； （ 3）能夠提供數據備份和災難 恢復的手段，將受到攻擊后的損失降到最低； （ 4）對非法用戶和入侵者提供查獲的手段。 中小型企業(yè)網絡病毒的防范 隨著網絡安全問題的日益嚴重，企業(yè)單純的依靠硬件被動式殺毒的方式已經一去不復返了，在網絡環(huán)境下，病毒傳播擴散快，僅用簡單的病毒防護產品已經很難徹底清除網絡病毒。中小型企業(yè)網絡是內部局域網，服務器和客戶端需要不同的防病毒軟件，服務器上需要一個基于服務器操作系統平臺的防病毒軟件，客戶端需要針對單機操作系統的防病毒軟件。如果企業(yè)網絡與行業(yè)或 Inter 連接，還需要在網關上安裝防病毒軟件 ，防范來自互聯網的安全問題。如果在企業(yè)網絡內部使用電子郵件系統實現信息傳遞，還需要在郵件服務器上安裝郵件防病毒軟件，用來識別隱藏在電子郵件和附件中的病毒。所以中小型企業(yè)必須有適合于自身網絡的全方位防病毒產品。除此之外，還要采用主動式病毒防御服務，才能建立起更為完善的病毒防護體系，全面有效控制病毒的破壞。而全方位防病毒產品與主動式病毒防御服務相結合的病毒防護體系也將成為中小型企業(yè)網絡系統安全發(fā)展的必然方向。針對中小型企業(yè)網絡中所有可能的病毒攻擊點配置的全方位防病毒產品與主動式病毒防御服務，通過定期或不定期的自 動升級，使中小型企業(yè)網絡免受病毒的侵襲。 操作系統和應用服務器的安全體系構建 對于中小型企業(yè)，主要采用目前比較流行的操作系統，而目前流行的許多操作系統都存在網絡安全漏洞，需要及時加固操作系統，建立 WWW、郵件服務器、某中小型企業(yè)網絡安全實現 30 數據服務器等應用服務器的安全監(jiān)測系統。在中小型企業(yè)網絡的 WWW 服務器、郵件服務器、數據服務器等應用服務器中使用網絡安全監(jiān)測系統，實時跟蹤、監(jiān)測網絡，建立保存相應記錄的數據庫，及時發(fā)現網絡上傳輸的非法內容和不安全隱患，及時采取措施。 合理配置中小型企業(yè)網絡的防火墻系統 防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件，在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。對于中小型企業(yè)網絡，防火墻具有很好的保護作用，入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。可以將防火墻配置成許多不同的保護級別。允許同意訪問的企業(yè)網絡的人通過防火墻與數據進入自己的內部網絡，同時將不允許的用戶與數據拒絕在企業(yè)網絡大門之外，最大限度地阻止入侵者和黑客來訪問自己的網絡，防止他們隨意修改、移動，甚至刪除企業(yè)內部網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網 絡安全機制，能防止 Inter 上的不安全因素蔓延到局域網內部，所以合理配置防火墻是中小型網絡系統安全的重要環(huán)節(jié)。 采用漏洞掃描技術 解決中小型網絡的安全問題，還要清楚網絡中存在哪些安全隱患和脆弱點。漏洞掃描是對中小型企業(yè)的網絡進行全方位的掃描，檢查網絡系統是否存在漏洞，如果存在，則需要馬上進行修復，否則系統很容易受到傷害甚至被黑客借助漏洞進行遠程控制，后果將不堪設想，所以漏洞掃描對于保護中小型企業(yè)網絡安全是必不可少的。面對網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安 全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞，評估并提出寫該建議的網絡安全掃描工具，利用優(yōu)化系統配置和打補丁等各種方式最大可能的逆補最新的安全漏洞， 清 楚安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡進行模擬攻擊，從而暴 露 出網絡的漏洞。 選用入侵檢測系統 入侵檢測系統是一種對網絡傳輸進行即時監(jiān)視，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于，入侵檢測技術是一種積極主動的安全防護技術，是一種用 于檢測計算機網絡中違反安全策略行為的技術，是為了保證計算機系統的安全而設計與配置的一種能夠及時發(fā)現并報告系統中未授權或異?，F象的技術。在中小型企業(yè)網絡的入侵檢測系統中記錄相關記錄，入侵檢測系統能夠檢測并且按照規(guī)則識別出任何不符合規(guī)則的活動，能夠限制這些活動，保護網絡系統的安全。入侵檢測系統分為基于網絡和基于主機的入侵檢測系統兩種類型，最好采用兩種類型結合的混合型入侵檢測系統，建立一套完整的主動防御體系。 總之，中小型企業(yè)的網絡安全系統構建是一個系統的工程，需要綜合多個方面的音色和利用防火墻技術、網絡加密技術 、身份證認證技術、防病毒技術、入侵檢測技術等網絡安全技術，而且需要仔細考慮中小型企業(yè)自身的安全需求，認某中小型企業(yè)網絡安全實現 31 真部署和嚴格管理，才能建立中小型企業(yè)網絡安全的防御系統。 某中小型企業(yè)網絡安全實現 32 第六章 網絡安全技術的 發(fā)展趨勢 加強病毒監(jiān)控 隨著病毒技術的發(fā)展，病毒的宿主也越來越多，在上世紀 90 年代初的海灣戰(zhàn)爭中，美國中情局獲悉伊拉克從法國購買了供防空系統使用的新型打印機，準備通過約旦首都安曼偷運到巴格達，美方即派特工在安曼機場用一塊固化病毒芯片與打印 機中的