【正文】 ：任務(wù) 書、開題報(bào)告、外文譯文、譯文原文（復(fù)印件）。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。 作者簽名： 日 期： 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 37 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。網(wǎng)絡(luò)安全 》 [M]. 北京 :電子工業(yè)出版社 ,2021, [3] 劉化君 . 《網(wǎng)絡(luò)完全技術(shù)》 [M]. 上海 :機(jī)械工業(yè)出版社 ,2021, 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 36 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。 另外，本系統(tǒng)尚存在一些缺陷，主要表現(xiàn)如下： 前期對設(shè)備的經(jīng)濟(jì)投入有點(diǎn)高，且此次設(shè)計(jì)只適合對網(wǎng)絡(luò)安全要求比較高的中小型企業(yè)網(wǎng)絡(luò)。 帶寬控制系統(tǒng) 使網(wǎng)管人員對網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)流量情況能夠清晰了解。 病毒防護(hù)系統(tǒng) 強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問題。一個(gè)好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達(dá)每秒 45M 左右（一條 T3 的線路）。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正 常的工作完全沒有影響的前提下，采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測，并作安全決策的依據(jù)。 兩種代理技術(shù)都具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。這是一種代理服務(wù)。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制，其后就透明了。 電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān)，它工作在會話層。代理服務(wù)器只允許有代理的服務(wù)通過，而其他所有服務(wù)都完全被封鎖住。 代理防火墻 包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅(jiān)決予以拒絕。對付這類攻擊，防火墻只需將 TCP/IP 協(xié)議片斷位移植（ Fragment Offset）為 1 的數(shù)據(jù)包全部丟棄即可。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所 允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫邏輯表達(dá)式并設(shè)置之， 包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。包過濾防火墻將所有通過的信息包中發(fā)送方 IP 地址、接收方 IP 地址、 TCP 端口、 TCP 鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過濾原則過濾信息包。 防火墻的基本思想不是對每臺主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對系統(tǒng)的訪問通過某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實(shí)施比較慣犯的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商所允許的服務(wù)不同，交互式防火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報(bào)警?？梢圆捎靡恍┌踩珯z測或網(wǎng)絡(luò)掃描工具來確定你的服務(wù)器上到底有伸麼服務(wù)，以保證是否有安全漏洞或隱患。除非明確地知道 誰會對你的訪問驚醒破壞，才可以 對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設(shè)定，否則，訪問控制變得毫無意義。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 26 (7)提供記帳、報(bào)警功能 實(shí)施移動方式的報(bào)警功能 ,包括 Email、 SNMP 等。 (4)加密 提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。 (1)訪問控制 實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。舉個(gè)簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻 /VPN 安全體系所無法對付的。 可行性、可靠性及安全性 。 通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的 安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。安全意識可以通過安全常識培訓(xùn)來提高，行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實(shí)現(xiàn)，因國這些必須在電信部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求，制定安全管理制度并嚴(yán)格按執(zhí)行，并通過安全知識及法律常識的培訓(xùn)，加強(qiáng)整體員工的自身安全意識及防范外部入侵的安全技術(shù)。在網(wǎng)絡(luò)和信息安全模型中 ,這五個(gè)部分是相輔相成、缺一不可的。 。 加密是信息安全應(yīng)用中最早開展的有效手段之一 ,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。 —— 識別用戶身份 ,提供訪問許可 。該部分與訪問控制 (常說的隔離功能 )是相對立的。 ,如密碼 。 我們可以做的有： 第一部分是增強(qiáng)用戶認(rèn)證 ,用戶認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門 ,最后防線為審計(jì)和數(shù)據(jù)備份 ,不加強(qiáng)這道大門的建設(shè) ,整個(gè)安全體系就會較脆弱。 網(wǎng)絡(luò)結(jié)構(gòu) 布局的合理與否，也影響著網(wǎng)絡(luò)的安全性對銀行系統(tǒng)業(yè)務(wù)網(wǎng)，辦公網(wǎng)，與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍，安全保密程度進(jìn)行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅，傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)，所以必須從兩個(gè)方面入手，一是加強(qiáng) |力問控制：在內(nèi)部局網(wǎng)內(nèi)可以通過交換機(jī)劃分 VLAN 功能來實(shí)現(xiàn)；或是通過配備防火墻來實(shí)現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問控制：也可以配備應(yīng)用層的訪問控制軟件系統(tǒng)，針對局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問控制。 網(wǎng)絡(luò)安全 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動的發(fā)生。 . 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟 1) 限制對網(wǎng)關(guān)的訪問。允許其他人寫入這個(gè)目錄，但不能讀。用戶可以用 mknod手工建立它們。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。然后，將口令規(guī)定為 755（讀和執(zhí)行，但不能寫，除了主人之外）。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。當(dāng)用戶通過FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。當(dāng)用戶通過 FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。發(fā)送者發(fā)現(xiàn)了一個(gè)他們有權(quán)寫 入和拷入可疑文件的 FTP 站點(diǎn)。 最后一個(gè)危險(xiǎn)不必長篇累牘，這是因?yàn)樗粫斐善茐模沂堑退降?。第一個(gè)危險(xiǎn)是配置不當(dāng)。但是， FTP 和 HTTP 是使用最普遍的服務(wù)。在機(jī)器上用戶僅需要一個(gè)用戶帳號，嚴(yán)格限制它的口令。當(dāng)然，這種解決方案增加了機(jī) 器管理的難度。在對用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。如西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 16 果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。 網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張?jiān)L問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進(jìn)一步指定對目錄下的子目錄和 文件的權(quán)限。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 14 父目錄那里繼承哪些權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計(jì)。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn) 證用戶的身份。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的 口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶帳號的缺省限制檢查。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 從企業(yè)內(nèi)部進(jìn)行評估 :考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī) 。 網(wǎng)絡(luò)的不斷變化 —— 網(wǎng)絡(luò)不是靜態(tài)的 ,一直都處于發(fā)展變化中。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 11 安全缺口 安全策略經(jīng)常會與用戶方便性相矛盾 ,從而產(chǎn)生相反的壓力 ,使安全措施與安全策略相脫節(jié)。 。 。 。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。因此，對用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷 發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上 Inter/Intrant 的其他的網(wǎng)絡(luò)；影響所及，西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 8 還可能涉及法律、金融等安全敏感領(lǐng)域。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。 綜合型企業(yè)網(wǎng)絡(luò)簡圖 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 7 第 3 章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 概要風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 分散型 : 采取多分支機(jī)構(gòu)辦公及移動辦公方式，各分支機(jī)構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。網(wǎng)絡(luò)情況有以下幾種。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。編程人員有時(shí)會在軟件中留有漏洞。 來自網(wǎng)絡(luò)外部的攻擊 這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。因此 ，我們應(yīng)該在積極進(jìn)行企業(yè)網(wǎng)建設(shè)的同時(shí)，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險(xiǎn)和漏洞降到最低。近幾年，許多有遠(yuǎn)見的企業(yè)領(lǐng)導(dǎo)者都已感到企業(yè)信息化的重要性 ,陸續(xù)建立起了自己的企業(yè)網(wǎng)和 Intra 并通過各種 WAN 線路與 Inter 相連。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 3 第 2 章 網(wǎng)絡(luò)環(huán)境現(xiàn)狀