【正文】 統(tǒng)中心，上級中心還可直接管理下級中心的任一個防病毒客戶端。通過建立“集中管理、分布處理”的多級中心防病毒監(jiān)控管理系統(tǒng)，在大型企業(yè)內(nèi)部的服務(wù)器和客戶端同時部署殺毒軟件共同完成對整個網(wǎng)絡(luò)的病毒防護(hù)工作，為用戶的網(wǎng)絡(luò)系統(tǒng)提供全方位防病毒解決方案。 圖25大型區(qū)域網(wǎng)絡(luò)的監(jiān)控與管理圖 防毒墻：防毒墻是一款多功能、高性能的產(chǎn)品，它不但能夠在網(wǎng)絡(luò)邊緣病毒檢測、攔截和清除的功能，同時，它還是一個高性能的防火墻，通過在總部、分支機(jī)構(gòu)網(wǎng)絡(luò)邊緣分別布置不同性能的防毒墻保護(hù)總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)和對外服務(wù)器不受黑客的攻擊，同時通過VPN功能，為分支機(jī)構(gòu)、遠(yuǎn)程、移動用戶提供一個安全的遠(yuǎn)程連接功能，是大型企業(yè)網(wǎng)絡(luò)邊緣安全的首選產(chǎn)品。 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)：網(wǎng)絡(luò)安全預(yù)警系統(tǒng)集病毒掃描、入侵檢測和網(wǎng)絡(luò)監(jiān)視功能于一身，它能實(shí)時捕獲網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的病毒和攻擊特征庫，通過使用模式匹配和統(tǒng)計(jì)分析的方法，可以檢測出網(wǎng)絡(luò)上發(fā)生的病毒入侵、違反安全策略的行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為事后分析的依據(jù)。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的目標(biāo)是：全面，準(zhǔn)確，高效，穩(wěn)定，安全，快速。全面是指能檢測已知的各種病毒和攻擊；準(zhǔn)確是指檢測的結(jié)果準(zhǔn)確，誤報(bào)率低；高效是指檢測引擎的運(yùn)行效率高，由于現(xiàn)在的網(wǎng)絡(luò)帶寬越來越寬，只有高效的引擎才能在檢測時不丟包；穩(wěn)定是指系統(tǒng)運(yùn)行穩(wěn)定可靠；安全是指預(yù)警系統(tǒng)自身的安全，由于引擎中保存了大量檢測到的敏感信息，因此對其自身的保護(hù)是十分重要的；快速是指對新的漏洞和新的攻擊方法反應(yīng)快，系統(tǒng)升級簡便。 通過ESET殺毒軟件高級企業(yè)版、防毒墻和網(wǎng)絡(luò)安全預(yù)警共同為大型企業(yè)建立一個統(tǒng)一的防黑、防毒的安全網(wǎng)絡(luò)。設(shè)計(jì)后的安全網(wǎng)絡(luò)拓?fù)鋱D如下： 圖26 大型企業(yè)網(wǎng)絡(luò)安全實(shí)施圖三、選用產(chǎn)品ESET網(wǎng)絡(luò)版殺毒軟件高級企業(yè)版 防毒墻 網(wǎng)絡(luò)安全預(yù)警系統(tǒng) 四、企業(yè)整體解決方案實(shí)現(xiàn)的主要功能1. 安全的網(wǎng)絡(luò)邊緣防護(hù) 防毒墻可以根據(jù)用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時通過實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時可以阻止內(nèi)部用戶對外部不良資源的濫用。 2. 內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范 網(wǎng)絡(luò)安全預(yù)警系統(tǒng)SDS1000對HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識別粒度達(dá)到每一個URL請求和每一個URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。 3. 計(jì)算機(jī)病毒的監(jiān)控和清除網(wǎng)絡(luò)殺毒軟件是一個專門針對網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。4. 強(qiáng)大的日志分析和統(tǒng)計(jì)報(bào)表能力對網(wǎng)絡(luò)內(nèi)的安全事件都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日報(bào)表，月報(bào)表，年報(bào)表等，通過來源分析，目標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。5. 模塊化的安全組合本方案中使用的瑞星網(wǎng)絡(luò)安全產(chǎn)品分別具有不同的功能，用戶可以根據(jù)自身企業(yè)的實(shí)際情選擇不同的產(chǎn)品構(gòu)建不同安全級別的網(wǎng)絡(luò)，產(chǎn)品選擇組合方便、靈活，既有獨(dú)立性有整體性。企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。而整個數(shù)據(jù)的安全保護(hù)就顯得特別重要，對數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。在采取數(shù)據(jù)備份時應(yīng)該注意以下幾點(diǎn)：● 存儲介質(zhì)安全在選擇存儲介質(zhì)上應(yīng)選擇保存時間長，對環(huán)境要求低的存儲產(chǎn)品，并采取多種存儲介質(zhì)備份。如同時采用硬盤、光盤備份的方式?！?數(shù)據(jù)安全即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒。● 備份過程安全確保數(shù)據(jù)在備份時是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況?！?備份數(shù)據(jù)的保管對存有備份數(shù)據(jù)的存儲介質(zhì)，應(yīng)保存在安全的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境(溫度、濕度等)的正常。同時對特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全。對重要備份數(shù)據(jù)的異地、多處備份(避免類似美國911事件為各公司產(chǎn)生的影響)作為一個良好的安全系統(tǒng)，安全審計(jì)必不可少。企業(yè)是一個非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。、鑒別、數(shù)字簽名、抗抵賴企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級的重要信息，同時，由于現(xiàn)在國家正在大力推進(jìn)電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級政府部門當(dāng)中，因此，需要對網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)行控制和授權(quán)。對不同等級、類型的信息只允許相應(yīng)級別的人進(jìn)行審閱。對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施。企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò)，這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的，而企業(yè)內(nèi)部有部分用戶需要兩個網(wǎng)絡(luò)都要接入，這就涉及到兩個網(wǎng)絡(luò)之間的相互切換問題。而現(xiàn)在的實(shí)際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換，這使得使用中非常不方便。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。隔離卡工作方式隔離卡上有兩個網(wǎng)絡(luò)接口，一個接內(nèi)網(wǎng)，一個接外網(wǎng)。另外還有一個控制口，通過控制口連接一個控制器(只有火柴盒大小)，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計(jì)算機(jī)變?yōu)閮蓚€計(jì)算機(jī)使用，兩個硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)。這樣，可通過控制器進(jìn)行切換(簡單的開關(guān)，類似電源開關(guān))，使計(jì)算機(jī)分別接到兩個網(wǎng)絡(luò)上。企業(yè)網(wǎng)絡(luò)的實(shí)際情況，需要在樓層中安裝隔離卡。并且做好規(guī)劃普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號在傳輸時存在電磁場，并隨著信號的改變而改變磁場的強(qiáng)弱，而UTP本身沒有任何的屏蔽功能，因此容易被國外間諜機(jī)構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機(jī)密信息，造成嚴(yán)重后果。因而對重要信息點(diǎn)的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的安全措施，如使用屏蔽雙絞線等終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，還應(yīng)根據(jù)保護(hù)對象分別采取主動式的干擾設(shè)備(如干擾機(jī)來破壞對信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應(yīng)的防雷措施，因此，本方案中主要針對網(wǎng)絡(luò)系統(tǒng)防雷進(jìn)行設(shè)計(jì)，不包括電源防雷(這一般屬于大樓防雷的部分)。不少用戶為防止計(jì)算機(jī)及其局域網(wǎng)或廣域網(wǎng)遭雷擊，便簡單地在與外部線路連接的調(diào)制解調(diào)器上安裝避雷器，但由于靜電感應(yīng)雷、防電磁感應(yīng)雷主要是通過供電線路破壞設(shè)備的，因此對計(jì)算機(jī)信息系統(tǒng)的防雷保護(hù)首先是合理地加裝電源避雷器，其次是加裝信號線路和天饋線避雷器。如果大樓信息系統(tǒng)的設(shè)備配置中有計(jì)算機(jī)中心機(jī)房、程控交換機(jī)房及機(jī)要設(shè)備機(jī)房，那么在總電源處要加裝電源避雷器。按照有關(guān)標(biāo)準(zhǔn)要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的)。在各設(shè)備前端分別要加裝串聯(lián)型電源避雷器(多級集成型)，以最大限度地抑制雷電感應(yīng)的能量。同時，計(jì)算機(jī)中心的MODEM、路由器、甚至HUB等都有線路出戶，這些出戶的線路都應(yīng)視為雷電引入通道，都應(yīng)加裝信號避雷器。對樓內(nèi)計(jì)算機(jī)等電子設(shè)備進(jìn)行防護(hù)的同時，對建(構(gòu))筑物再安裝防雷設(shè)施就更安全了。根據(jù)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析，防雷系統(tǒng)可采取兩級防雷措施?！?骨干網(wǎng)絡(luò)防雷?！?終端防雷。以上兩級避雷可使用信號避雷器來實(shí)現(xiàn)。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。企業(yè)各級網(wǎng)絡(luò)內(nèi)部存在重要的信息點(diǎn)，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護(hù)，它主要包括三個方面：(1) 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)(參見國家標(biāo)準(zhǔn)GB5017393《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo)GB288789《計(jì)算站場地技術(shù)條件》、GB936188《計(jì)算站場地安全要求》)。(2) 設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。對中心機(jī)房和關(guān)鍵信息點(diǎn)采取多種安全防范措施，確保非授權(quán)人員無法進(jìn)入。中心機(jī)房處理秘密級、機(jī)密級信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。(3) 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？偨Y(jié)沒有安全保證的企業(yè)網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上。互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，對企業(yè)網(wǎng)絡(luò)中用戶的工作和管理已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認(rèn)識到，網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，企業(yè)網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展.本文分析了企業(yè)網(wǎng)絡(luò)的安全規(guī)劃，并針對規(guī)劃提出了相應(yīng)的安全解決措施。文中分析認(rèn)為，企業(yè)網(wǎng)絡(luò)安全重點(diǎn)在防病毒和防攻擊。為此．文中針對病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性，提出了企業(yè)網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施，基本能夠解決企業(yè)網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn)，從而建構(gòu)一個安全、高效的網(wǎng)絡(luò)。致謝首先，感謝老師給我機(jī)會，使我能夠?qū)W(wǎng)絡(luò)安全進(jìn)行技能操作，再一次的對網(wǎng)絡(luò)安全掌握了不少的知識，使得原本不了解實(shí)訓(xùn)內(nèi)容的我又?jǐn)U充了一些知識，在這次為期一個多月的網(wǎng)絡(luò)安全畢業(yè)設(shè)計(jì)過程中，在同學(xué)的幫助和老師的指導(dǎo)下，我確實(shí)學(xué)到了很多東西，再次我真誠的感謝老師和同學(xué)們給予我的幫助。整個畢業(yè)設(shè)計(jì)的過程是在我的指導(dǎo)老師付峰的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴(yán)肅的態(tài)度，嚴(yán)謹(jǐn)?shù)木?，精益求精的工作作風(fēng)，深深地感染和激勵著我。這段時間來，老師不僅在論文上給我以精心指導(dǎo)，同時還在思想、生活上給我以無微不至的關(guān)懷，在此謹(jǐn)向本次畢業(yè)設(shè)計(jì)的老師致以誠摯的謝意和崇高的敬意。 在設(shè)計(jì)即將完成之際，我的心情無法平靜，從開始進(jìn)入到設(shè)計(jì)的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日新月異地飛速發(fā)展，人們總是處在不斷學(xué)習(xí)階段，再加上自己水平有限，所以本設(shè)計(jì)肯定存在不少錯誤和不盡人意之處，歡迎廣大老師和同學(xué)批評指正，在此深表感謝！