【正文】 、保護計算機網(wǎng)絡(luò)安全的措施 ? 網(wǎng)絡(luò)拓撲 ? 網(wǎng)絡(luò)拓撲結(jié)構(gòu)是網(wǎng)絡(luò)系統(tǒng)安全的一個重要因素。 ? 縮小共享域 ? 縮小共享域，使共享的計算機全部為可信的系統(tǒng)，當(dāng)然最好是改為全交換的局域網(wǎng)，這樣能很大程度上防止嗅探器的攻擊。 ? 路由控制 ? 對路由器的攻擊是及其危險的，因為路由器控制了網(wǎng)絡(luò)的運行，通過對路由器的攻擊，可以使數(shù)據(jù)流通過黑客的計算機，大大方便了黑客對數(shù)據(jù)、用戶名、口令等關(guān)鍵信息的攫取。目前也已經(jīng)發(fā)現(xiàn)了許多路由器、三層交換機的漏洞和攻擊方式，所以路由器的系統(tǒng)管理員應(yīng)該經(jīng)常了解路由器廠商的最新補丁，盡快修補其缺陷，保證信息的合理流向。 ? 對路由器的管理訪問，也應(yīng)該是通過安全的手段，使用不加密的 Tel通過網(wǎng)絡(luò)遠程管理路由器是非常不安全的。 ? 由于動態(tài)路由的機制，路由器之間時常在交換路由信息，因此確保路由信息交換的正確性也是保證網(wǎng)絡(luò)拓撲安全的一個重要方面。 ? 防火墻 ? 防火墻主要用于對網(wǎng)絡(luò)和系統(tǒng)的保護。所謂防火墻，就是為被保護網(wǎng)絡(luò)提供一個連接不可信網(wǎng)絡(luò)的一個單一的通道，因而防火墻就可以完全監(jiān)控通過防火墻的數(shù)據(jù)，根據(jù)管理員的要求，允許和禁止特定數(shù)據(jù)包的通過，并對所有事件進行監(jiān)控和記錄。防火墻允許還是禁止數(shù)據(jù)包可以通過網(wǎng)絡(luò)的不同層來實現(xiàn)，網(wǎng)絡(luò)是一個層次結(jié)構(gòu)，安全問題也是分層次的。完整的安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與安全管理相結(jié)合。 ? 網(wǎng)絡(luò)層的安全防護主要目的是保證網(wǎng)絡(luò)的可用性和合法使用，保護網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、主機操作系統(tǒng)以及各 TCP/IP服務(wù)的正常運行，根據(jù) IP地址控制用戶的網(wǎng)絡(luò)訪問。 ? 網(wǎng)絡(luò)層在 ISO的體系層次中處于較低的層次，因而其安全防護也是較低級的，并且不易使用和管理。網(wǎng)絡(luò)層的安全防護是面向 IP空間的。 ? 針對網(wǎng)絡(luò)層的對于 TCP/IP協(xié)議來說實際上就是針對 TCP/IP包，防火墻不去理解這些包是用于什么應(yīng)用的，而是只根據(jù) TCP/IP包的特征來決定是否允許其通過，這類防火墻 (功能 )稱為網(wǎng)絡(luò)層防火墻 (或稱包過濾防火墻 )。如果要進行更高層次的決策，即只在 TCP/IP包這一層無法理解到這些數(shù)據(jù)包是干什么的，就必須將 TCP/IP包重新解包，組合成更高級的信息，防火墻再去理解和處理這些信息，決定這些信息是否允許傳送，如果允許，再重新打包成 TCP/IP包發(fā)出去。這樣的處理能夠理解更高級的內(nèi)容，一般是在應(yīng)用層做處理，因此稱為應(yīng)用代理防火墻 (或稱應(yīng)用網(wǎng)關(guān) )。 ? TCP/IP包由包頭和數(shù)據(jù)組成，包頭包括源地址、目標地址、源端口、目的端口、協(xié)議等內(nèi)容，包過濾就是基于這些信息決定數(shù)據(jù)包是否允許通過。當(dāng)然，實際的包過濾比這個過程要復(fù)雜，比如記錄會話發(fā)起 IP/端口，對沒有發(fā)起 IP/ ? 端口的響應(yīng)數(shù)據(jù)包進行拒絕等。 ? 有些路由器也具備了包過濾防火墻的功能，這樣做的優(yōu)點是：使用簡單、一舉兩得，但路由器對欺騙性攻擊的防御比較脆弱，而且過多的包過濾會導(dǎo)致路由器性能降低，同時，路由器一般日志能力非常差，而下面將提到，日志是發(fā)現(xiàn)攻擊和記錄罪證的重要手段。 ? 應(yīng)用層的安全防護主要目的保證信息訪問的合法性，確保合法用戶根據(jù)授權(quán)合法的訪問數(shù)據(jù)。應(yīng)用層在ISO的體系層次中處于較高的層次，因而其安全防護也是較高級的。 ? 應(yīng)用層的安全防護是面向用戶和應(yīng)用程序的。應(yīng)用層采用身份認證和授權(quán)管理系統(tǒng)作為安全防護手段，實現(xiàn)高級的安全防護。上文所述的基本安全需求主要是在應(yīng)用層得到滿足的。 ? 應(yīng)用代理防火墻 (應(yīng)用網(wǎng)關(guān) )能阻止報文的無限制進入網(wǎng)絡(luò)，可以進行非常高級的數(shù)據(jù)分析，比如分析出包的 URL地址以決定是否允許 (而不是僅根據(jù) IP，考慮如何控制對虛擬主機和帶路徑的 URL地址的存取，就知道這有什么用了 )，再如 Cache功能，等等。但應(yīng)用網(wǎng)關(guān)由于必須將數(shù)據(jù)先整合，分析，然后在打包發(fā)送，因此開銷比較大，而且有些應(yīng)用網(wǎng)關(guān)改變了內(nèi)部網(wǎng)絡(luò)的工作形式，可以用戶會覺得不便。 ? 密碼技術(shù) ? 密碼技術(shù)是保證信息安全的重要手段，在網(wǎng)絡(luò)如此發(fā)達的今天，也許是唯一手段。加密過程包括三個要素：信息明文、密碼算法和密鑰。實際上，密碼技術(shù)的歷史非常久遠，但隨著密碼理論的完善，密碼技術(shù)可以根據(jù)算法和密鑰進行分類。隨著密碼理論的發(fā)展，單向函數(shù)廣泛地在密碼技術(shù)中使用，即使算法公開，也無法反向得出解密算法，而如果有密鑰，就可以很容易地進行解密。 ? 這就是后來所謂的對稱密碼技術(shù)，指的是加密和解密所使用的密鑰是相同的。但是隨著密碼使用的普及，密鑰的管理成為一個瓶頸問題，大量的密鑰不僅難管理，而且交換密鑰也存在安全漏洞，因此推動了非對稱密碼技術(shù)的誕生和發(fā)展。 ? 非對稱密鑰 (亦稱公鑰技術(shù) )是指加密和解密所使用的密鑰是不同的，而且依據(jù)算法、明文、密文、公開密鑰無法得到秘密密鑰，因此破譯者手中即使有算法、公開密鑰和大量的明文 /密文對，對截收的密文也無法得到對應(yīng)的明文。非對稱密鑰便于管理，因為所有人都可以將公開密鑰公開，別人想給他發(fā)送保密文件，可以使用他的公開密鑰進行加密，密文只有使用秘密密鑰才能解開。非對稱密碼技術(shù)的發(fā)展，不僅僅解決了密碼管理的問題，而且衍生了許多密碼技術(shù)的應(yīng)用。 ? 安全檢測和日志 ? 由于許多攻擊、系統(tǒng)漏洞不具備機器可分析的特征，或者新的攻擊的特征還不為人所知，因此，安全檢測和日志是發(fā)現(xiàn)攻擊、發(fā)現(xiàn)系統(tǒng)漏洞和記錄攻擊證據(jù)的重要手段。 ? 構(gòu)架網(wǎng)絡(luò)安全系統(tǒng)時的一個重要的環(huán)節(jié)是對網(wǎng)絡(luò)安全漏洞的檢測和監(jiān)控。通過安全檢測 /監(jiān)控手段，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞或惡意的攻擊。安全檢測工具可以為安全網(wǎng)絡(luò)提供對網(wǎng)絡(luò)和系統(tǒng)攻擊的敏感性，從而實現(xiàn)動態(tài)和實時的安全控制。安全檢測是輔助性的安全措施。 ? 日志記錄必須根據(jù)系統(tǒng)數(shù)據(jù)的關(guān)鍵性、必要性、合理性進行，所謂關(guān)鍵性，就是日志應(yīng)該記錄關(guān)鍵事件，記錄日志的目的是為了發(fā)現(xiàn)線索，因此必須將所有關(guān)鍵事件記錄在案，以防事件發(fā)生后無法找到關(guān)鍵性數(shù)據(jù)。由于日志容量有限，而為了查找線索，可能需要回溯很多天以前的日志，因此正確確定系統(tǒng)日 ? 越來越重要，網(wǎng)絡(luò)管理的重要性將與日俱增。網(wǎng)絡(luò)管理包括以下功能： ? (1)用戶管理 ? 用戶管理是網(wǎng)絡(luò)管理的基本功能之一，用于管理用戶標識、用戶賬戶、用戶口令、文件目錄、地址和用戶個人信息及工作站信息等。 ? (2)配置管理 ? 網(wǎng)絡(luò)中包括各種各樣的設(shè)備，這些設(shè)備的用途不同，其參數(shù)、狀態(tài)和配置也不同。網(wǎng)絡(luò)配置管理的目標是監(jiān)視網(wǎng)絡(luò)的運行環(huán)境和狀態(tài)，改變和調(diào)整網(wǎng)絡(luò)設(shè)備的配置，確保網(wǎng)絡(luò)有效可靠地運行。網(wǎng)絡(luò)配置功能至少包括：識別被管網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，監(jiān)視網(wǎng)絡(luò)設(shè)備的運行狀態(tài)和參數(shù)，自動修改指定設(shè)備的配置，動態(tài)維護網(wǎng)絡(luò)等。 ? (3)性能管理 ? 網(wǎng)絡(luò)性能主要包括網(wǎng)絡(luò)吞吐量、響應(yīng)時間、線路利用率、網(wǎng)絡(luò)可用性等參數(shù)。網(wǎng)絡(luò)性能管理是指通過監(jiān)控網(wǎng)絡(luò)的運行狀態(tài)調(diào)整網(wǎng)絡(luò)性能參數(shù)來改善網(wǎng)絡(luò)的性能，確保網(wǎng)絡(luò)平穩(wěn)運行。 ? (4)故障管理 ? 故障管理通常包括故障監(jiān)測、故障診斷和故障恢復(fù)。通過故障監(jiān)測確定發(fā)生了什么故障，故障位于何處；通過故障診斷找出發(fā)生故障的原因和解決辦法；故障恢復(fù)不僅包括排除故障，而且包括如何避免發(fā)生故障，提出減少故障的措施。 ? (5)安全管理 ? 網(wǎng)絡(luò)安全管理的目標是防止用戶網(wǎng)絡(luò)資源的非法訪問，確保網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶的安全。如設(shè)置口令和訪問權(quán)限防止非法訪問網(wǎng)絡(luò)；對數(shù)據(jù)進行加密，防止非法竊取信息等。網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù) (Firewall)，防火墻 ? 技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。由于防火墻技術(shù)的針對性很強，它已成為實現(xiàn) Inter網(wǎng)絡(luò)安全的重要保障之一。 ? 目前防火墻技術(shù)的實現(xiàn)主要有兩種手段：一種是基于分組過濾技術(shù) (Packetfiltering)；一種是基于代理技術(shù) (Proxy)。 ? （ 6）其他網(wǎng)絡(luò)管理 ? 除了上述網(wǎng)絡(luò)管理功能外，還有許多工作要做： ? 1)用戶培訓(xùn) ? 據(jù)統(tǒng)計，很多網(wǎng)絡(luò)故障是由于用戶操作使用不當(dāng)造成的。通過對用戶進行培訓(xùn)，提高用戶的網(wǎng)絡(luò)操作技能，不僅可減少網(wǎng)絡(luò)故障，更重要的是讓用戶參與網(wǎng)絡(luò)管理，使用戶可以解決一些常見問題，確保網(wǎng)絡(luò)的正常運行。這樣，網(wǎng)絡(luò)管理人員可以集中解決網(wǎng)絡(luò)的重大問題。 ? 2)設(shè)備維護 ? 設(shè)備維護是繁瑣而長期的工作，如定期維護數(shù)據(jù)庫、數(shù)據(jù)備份和鏡像、軟件升級、硬件升級等。 ? 3)網(wǎng)絡(luò)規(guī)劃 ? 網(wǎng)絡(luò)規(guī)劃的目的是通過規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)資源和設(shè)備配置來滿足網(wǎng)絡(luò)目前和未來發(fā)展的需求。主要內(nèi)容包括：規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)性能分析預(yù)測、網(wǎng)絡(luò)資源配置、用戶需求分析預(yù)測、設(shè)計網(wǎng)絡(luò)業(yè)務(wù)及吞吐量、制定網(wǎng)絡(luò)發(fā)展規(guī)劃等。 ? 4)網(wǎng)絡(luò)資產(chǎn)管理 ? 網(wǎng)絡(luò)資產(chǎn)管理主要指對網(wǎng)絡(luò)設(shè)備、設(shè)施、網(wǎng)絡(luò)資源、操作手冊、設(shè)計報告、施工報告、維護記錄日記、網(wǎng)絡(luò)管理人員和網(wǎng)絡(luò)儀器儀表等工具進行管理。 ? 、網(wǎng)絡(luò)系統(tǒng)安全設(shè)計 ? 網(wǎng)絡(luò)系統(tǒng)的安全是一個廣泛的定義，主要包括軟件安全和硬件安全兩個方面。為了保證硬件系統(tǒng)的安全，在本方案中，我們主要做了以下方面的考慮： ? 中心機房安裝 UPS，保證重要設(shè)備的安全； ? 數(shù)據(jù)采用冗余備份的措施，防止重要數(shù)據(jù)的丟失； ? 可以考慮在網(wǎng)絡(luò)中心安裝一套防雷系統(tǒng)； ? 中心機房的裝修考慮充分各種防盜、防火措施。 ? 幫助學(xué)校制定機房的管理條例等。 ? 對于網(wǎng)絡(luò)系統(tǒng)方面，我們主要做了以下方面的考慮： ? 安裝硬件防火墻。在允許和 Inter網(wǎng)絡(luò)進行有實時報警和日志記錄連接的同時，保證內(nèi)部網(wǎng)絡(luò)的安全，阻止對不良 Web站點的訪問。 ? 安裝先進的網(wǎng)絡(luò)防病毒軟件，防止病毒對系統(tǒng)的破壞。 ? 操作系統(tǒng)軟件與交換機系統(tǒng)軟件具有很強的安全特性。 ? 校園管理系統(tǒng)等應(yīng)用軟件運行與 Linux操作系統(tǒng)之上，安全穩(wěn)定。 ? 、防火墻的使用 ? 透明模式 ? 防火墻隔離的可信區(qū)和不可信區(qū)在同一段子網(wǎng)上的情況下，使用透明模式。 ? 雙端口 NAT模式不使用 DMZ端口或使用無 DMZ的防火墻，此方式主要用于企業(yè)上網(wǎng)，而不提供對外服務(wù)的情況。 ? 三端口 NAT模式 ? 使用 DMZ端口，將對外服務(wù)的服務(wù)器放在 DMZ子網(wǎng)，在防火墻的保護下提供對外的服務(wù)。 ? 使用 IP映射 /端口轉(zhuǎn)移 ? 替代 DMZ的一種方式，主要用于有在外員工訪問防火墻保護下的內(nèi)部網(wǎng)絡(luò)的需求，又有對外服務(wù)的需求，同時該服務(wù)器對內(nèi)部用戶的防范要求不高。 ? VPN之 PPTP ? 用 PPTP實現(xiàn)遠程客戶端通過公網(wǎng) (Inter)連接到內(nèi)部網(wǎng)絡(luò)。 ? VPN之 IPSec ? 用 IPSec通過 Inter實現(xiàn)遠程的局域網(wǎng)之間的 VPN連接。 ? VPN之 IPSec ? 用 IPSec通過 Inter實現(xiàn)遠程的局域網(wǎng)之間的 VPN連接。 ? 、網(wǎng)絡(luò)系統(tǒng)硬件設(shè)備選型 ? 在規(guī)劃時根據(jù)計算機網(wǎng)絡(luò)技術(shù)的發(fā)展情況和數(shù)據(jù)庫及 Inter應(yīng)用的要求，依據(jù)數(shù)據(jù)量的大小、數(shù)據(jù)的重要程度、網(wǎng)絡(luò)應(yīng)用安全性、可靠性及實時性等方面的要求，以及行業(yè)應(yīng)用軟件對網(wǎng)絡(luò)服務(wù)器或特定計算機系統(tǒng)的要求。確定網(wǎng)絡(luò)選型、網(wǎng)絡(luò)系統(tǒng)平臺、網(wǎng)絡(luò)服務(wù)器品牌、網(wǎng)絡(luò)設(shè)備品牌及數(shù)量等。 ? 、設(shè)備選型原則 ? 網(wǎng)絡(luò)系統(tǒng)的軟硬件平臺是整個系統(tǒng)的物理基礎(chǔ)，因而是物理設(shè)計的主要內(nèi)容。設(shè)備選型是物理設(shè)計中的關(guān)鍵問題。 ? 我們根據(jù)下列原則選擇廠商： ? (1)設(shè)備性能價格比 —— 設(shè)備的性能價格比是選型決策的重要考慮因素。 ? (2)售后服務(wù) 售后服務(wù)包括如下內(nèi)容： ? 設(shè)備的保修期； ? 是否在中國有備件庫，這樣一旦發(fā)生硬件故障時可以及時得到更換； ? 是否提供 ONLINE服務(wù)，以便與原制造廠商及時取得聯(lián)系，獲得技術(shù)咨詢和支持；故障維修的響應(yīng)時間。 ? (3)公司的經(jīng)濟、技術(shù)實力和市場占有率，這一定程度上反映了其產(chǎn)品的信譽。 ? (4)設(shè)備的技術(shù)先進性，這是選型的首要考慮因素。 ? (5)設(shè)備對未來新技術(shù)的適應(yīng)能力，反映設(shè)備的可擴展性，這是保護用戶投資的一種策略。 ? (6)設(shè)備的技術(shù)性能指標。 ? (7)設(shè)備使用的方便程度，這體現(xiàn)設(shè)備的可維護性。 ? (8)設(shè)備在大型網(wǎng)絡(luò)中的應(yīng)用情況，它反映設(shè)備的適應(yīng)性和可靠性。 ? (9)網(wǎng)絡(luò)管理系統(tǒng)的集成性、開放性和功能，它反映網(wǎng)絡(luò)管理系統(tǒng)是否能對網(wǎng)絡(luò)作全面深入的管理，以及它對異構(gòu)網(wǎng)絡(luò)的適應(yīng)能力。 ? (10)設(shè)備的標準化程度和可擴充性，反映對網(wǎng)絡(luò)規(guī)模擴展的適應(yīng)能力。 ? (11)交貨期的時限和信用，這對工程能否如期完成有重大影響。 ? (12)系統(tǒng)軟件的升級條件是否優(yōu)惠。 ? (13)差錯的檢測與隔離能力，這是網(wǎng)絡(luò)可靠性的重要保證。 ? (14)手冊與培訓(xùn)，反映用戶能否較快地掌握設(shè)備的使用。 ? 目前在全球提供網(wǎng)絡(luò)設(shè)備的廠商有很多家，我們進行選擇的主要產(chǎn)商應(yīng)是在國際國內(nèi)占有市場份額較大的公司，包括：Cisco、 AVAYA、 Alcatel、 3Com、 Bay、 DLink、 Star等，國內(nèi)大多數(shù)行業(yè)基本都在此范圍內(nèi)進行選擇。 ? 、數(shù)據(jù)中心服務(wù)器群集系統(tǒng)設(shè)計 ? 學(xué)院網(wǎng)絡(luò)系統(tǒng)建成后，將向?qū)W院各方面的應(yīng)用提供平臺支撐，因此，數(shù)據(jù) ? 中心應(yīng)使用具有國際標準的先進成熟的技術(shù)來構(gòu)造，建成的數(shù)據(jù)中心應(yīng)是一個高性能、高可靠、高擴展性、易使用、易維護和易于統(tǒng)一管理的系統(tǒng)，以便滿足學(xué)院各個層面應(yīng)用的要求。 ? 、數(shù)據(jù)中心及其應(yīng)用系統(tǒng)建設(shè)需求分析 ? 根據(jù)數(shù)據(jù)中心及其應(yīng)用系統(tǒng)的要求，我們在全面分析用戶需求的基礎(chǔ)上，認為本次建設(shè)的數(shù)據(jù)中心，應(yīng)包括以下應(yīng)用所需的硬件設(shè)備： ? 1