【正文】 進(jìn)行更新。為了安全和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到瑞星網(wǎng)站上獲取最新的升級文件 (包括病毒定義碼、掃描引擎、程序文件等 )，然后自動將最新的升級文件分發(fā)到其他 2020 多個主機(jī)網(wǎng)點的客戶端與服務(wù)器端，并自動對瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。 ，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。 WindowS2020 服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理 2020 多個學(xué)生 主機(jī)網(wǎng)點。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒等多種功能。基于這些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制 ：訪 問控制、加密通信、安全檢測、攻擊監(jiān)控、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息等。 系統(tǒng)的整體安全性。 廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄浴５?3 章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 如何保證安全性。 設(shè)計依據(jù)經(jīng)過確切了解 中小型公司 信息系統(tǒng)需要解決哪些安全問題后，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題 ： ，包括網(wǎng)段的劃分以及 Vlan 的實現(xiàn)。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中 Inter 外網(wǎng)的接口要采用專用防火墻，各網(wǎng)絡(luò)級別的接口利用物理隔離設(shè)備、防火墻、安全郵件服務(wù)器、路由器的可控路由表、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。在網(wǎng)絡(luò)層，可通過對路由器的路由表控制和對不同子網(wǎng)的定義來限制子網(wǎng)間 的接點通信，通過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé) 的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施 [14]。 建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授第 3 章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計權(quán)。 制訂應(yīng)急措施。 制訂完備的系統(tǒng)維護(hù)制度。 制訂嚴(yán)格的操作規(guī)程。 制訂相應(yīng)的機(jī)房出入管理制度。 安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相 應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是 ： 確定該系統(tǒng)的安全等級。 ，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。 則每項與安全有關(guān)的活動都必須有兩人或多人在場。 (2)技術(shù)策略技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、 數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。由于在當(dāng)前計算機(jī)網(wǎng)絡(luò)環(huán)境中，相對于主機(jī)環(huán)境、單機(jī)環(huán)境，安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實施措施的重要依據(jù)。 網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機(jī)硬件和 0S及各種應(yīng)用軟件等各方面、各層次的良好運行。 安全保護(hù)措施都不是絕對安全的，都可能被攻破。其次，采用的措施不會影響系統(tǒng)正常運行。 、標(biāo)準(zhǔn)、兼容性原則先進(jìn)的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實現(xiàn)。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性 。實際上，在網(wǎng)絡(luò)建設(shè)之初就應(yīng)考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費也少 很多。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。保護(hù)成本與被保護(hù)信息的價值必須平衡，價值僅 2 萬元的信息如果用 6 萬元的技術(shù)和設(shè)備去 保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。 某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 18 安全體系設(shè)計 安全體系設(shè)計原則在進(jìn)行計算機(jī)網(wǎng)絡(luò)安全設(shè)計和規(guī)劃時，應(yīng)遵循以下原則[13]： 、風(fēng)險、代價平衡分析的原則對任一網(wǎng)絡(luò)來說，絕對安全難以達(dá)到，也不一定必要。應(yīng)用系統(tǒng)的安 全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)來增強(qiáng)應(yīng)用平臺的安全性。 。 。 。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈 路傳送的數(shù)據(jù)不被竊聽。物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊 (干擾等 )。針對網(wǎng)絡(luò)系統(tǒng)實際運行的 TCP/IP 協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的 4 個層次。 中小型公司 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 安全體系結(jié)構(gòu)網(wǎng)絡(luò) 安全體系結(jié)構(gòu)主要考慮安全機(jī)制和安全對象，安全對象主要有網(wǎng)絡(luò)安全、信息安全、設(shè)備安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息介質(zhì)安全和計算機(jī)病毒防治等。安全保密功能上多級化，對信道適應(yīng)多元化。在實現(xiàn)上分步實施，漸進(jìn)獲取 。 某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 17 第三章 網(wǎng)絡(luò)安全的方案設(shè)計 總體設(shè)計方案 中小型網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng) 一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套“的原則進(jìn)行，采用先進(jìn)的”平臺化“建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。網(wǎng)絡(luò)的安全管理制度策略包括 ： 確定安全管理等級和安全管理范圍 。即除了從技術(shù)上功夫外，還得靠安全管理來實現(xiàn)。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險 [10]。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。因此，數(shù)據(jù)在線路中傳輸時必須加密，同時通過認(rèn)證技術(shù)及數(shù)字簽名來保 證 數(shù)據(jù)在網(wǎng)上傳輸 [9]的保密性、真實性、可靠性及完整性，以保護(hù)系統(tǒng)的重要信息數(shù)據(jù)的傳輸安全。這種形式的“攻擊”是相對比較容易成功的。 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險 由于在 中小型公司 內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi) 部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實現(xiàn)的，一臺客戶機(jī)被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的成百上千臺機(jī)器。當(dāng)病毒被釋放到網(wǎng)絡(luò)環(huán)境時，其無法預(yù)測的擴(kuò)散能力使它極具危險性。 病毒的安全風(fēng)險 計算機(jī)病毒是指一種能使自己附加到目標(biāo)機(jī)系統(tǒng)的文件上的程序。所有的這些設(shè)備、軟件系統(tǒng)都多多少少地存在著各種各樣的漏洞，這些都是重大安全隱患。在 中小型 公司 的網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有 ： 交換機(jī)，服務(wù)器，工作站等。 中小型公司 、 校園網(wǎng)絡(luò)采用的操作系統(tǒng) [7] (主要為Windows2020server/professional ， WindowsNT/Workstation ， Windows ME ，Windows95/9 UNIX)本身在安全方面考慮的較少，服務(wù)器、數(shù)據(jù)庫的安全級別某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 15 較低，存在若干安全隱患。 系統(tǒng)層安全風(fēng)險 所謂系統(tǒng)安全 通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險分析 ：中小型公司中小型公司 校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來自如下兩個方面 ： 內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來的威脅 。 由于 中小型公司中小型公司 校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。 網(wǎng)絡(luò)層安全 風(fēng)險 網(wǎng)絡(luò)邊界的安全風(fēng)險分析 ： 該 中小型公司 校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計算機(jī)機(jī)房網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。物理安全的威脅可以直接造成設(shè)備的損壞，系統(tǒng)和網(wǎng)絡(luò)的不可用，數(shù)據(jù)的直接損壞或丟失等等 [5]。 。 、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅。 物理層安全風(fēng)險 因為網(wǎng)絡(luò)物理層安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。 正確的風(fēng)險分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán)，一個性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺 ，能夠以低的安全代價換得高的安全強(qiáng)度。 HIPAA 就是 醫(yī)療保險可移植性與可信度法案 ，到 2020 年 4 月，該法案中所規(guī)定的機(jī)構(gòu)都必須遵守隱私權(quán)法規(guī)。此外，嚴(yán)重的安全性攻擊還可導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任、乃至客戶信心的喪失，并進(jìn)而造成無法估量的成本損 失。 (然而，近期證據(jù)還表明，外部攻擊的次數(shù)也在增多。網(wǎng)絡(luò)攻擊的次數(shù)在迅速增多。 泛濫成災(zāi)的互聯(lián)網(wǎng)攻擊 發(fā)動毀滅性網(wǎng)絡(luò)攻擊并不困難。 目前市場中所部署的多數(shù)安全解決方案都要求客戶將安全功能與聯(lián)網(wǎng)戰(zhàn)略分離開來，這樣才能應(yīng)用不能識別網(wǎng)絡(luò)的、不是針對與網(wǎng)絡(luò)服務(wù)合作而設(shè)計的工具。在今天的情況下，用戶每一次連接到網(wǎng)絡(luò)之后，原有的安全狀況就會發(fā)生變化。 然而，網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，時至今日，確保網(wǎng)絡(luò)安全性和可用性已經(jīng)成為更加復(fù)雜的任務(wù) 。那時的安全性是取決于周邊環(huán)境的，因為網(wǎng)絡(luò)本身是一個靜態(tài)的環(huán)境。 近年來的經(jīng)濟(jì)挑戰(zhàn)強(qiáng)調(diào)的是進(jìn)一步提高生產(chǎn)效率進(jìn)而推動未來增長，而基于互聯(lián)網(wǎng)的生產(chǎn)效率工具則取決于網(wǎng)絡(luò)安全性和可用性。 生產(chǎn)效率為什么如此重要呢？生產(chǎn)效率的提高與營業(yè)收入的增長是直接相關(guān)的：如果生產(chǎn)效率增長率為 %，那么營 業(yè)收入每隔三十年就能翻一番。然而，隨著經(jīng)濟(jì)狀況在近年來所發(fā)生的轉(zhuǎn)變，市場的焦點又返回到了基本的原則。 某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 13 第二章 中小型公司網(wǎng)絡(luò)安全的威脅及需求 中小型 企業(yè) 網(wǎng)絡(luò)系統(tǒng)安全分析 早在 20 世紀(jì) 90 年代，如果企業(yè)和政府機(jī)構(gòu)希望能具有競爭力，他們就必須對市場需求作出強(qiáng)有力的響應(yīng)。 中小型公司 物理層安全風(fēng)險、網(wǎng)絡(luò)層安全風(fēng)險、系統(tǒng)層安全風(fēng)險、病毒的安全風(fēng)險、數(shù)據(jù)傳輸?shù)陌踩L(fēng)險、管理的安全風(fēng)險，提出了具體的需求和設(shè)計依據(jù)。主要研究工作有 ： 1. 查找和收集網(wǎng)絡(luò)安全相關(guān)的資料，剖析網(wǎng)絡(luò)攻擊的手段，分析影響網(wǎng)絡(luò)安全的因素。當(dāng)系統(tǒng)自身的情況發(fā)生變化時，必須注意及時修改相應(yīng)的安全策略。(4)一切都被允許，當(dāng)然也包括那些本來被禁止的。 (2)除那些被明確允許之外，一切都被禁止?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么活動某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 12 是被允許的，什么活動是被禁止的。其特征是針對計算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全保護(hù)方案，以保證算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。 (4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。保密性是在可靠性 和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。 (2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個特點 ： (1)可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù) ，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。內(nèi)部突破是指己授權(quán)的計算機(jī)系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù) 。網(wǎng)絡(luò)安全威脅一般分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類型。在這樣的形勢下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。而且，只為合適的用戶服務(wù)。從技術(shù)角度來說，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)在某中小型企業(yè)網(wǎng)絡(luò)安全實現(xiàn) 11 系統(tǒng)的保密性、完整性、真實性、可用性、不可抵賴性等方面。 網(wǎng)絡(luò)安全的概念和目標(biāo) 國際標(biāo)準(zhǔn)化組織 (IS0)對計算機(jī)系統(tǒng)安全的定義是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。近年來，隨著網(wǎng)絡(luò)安全事件的發(fā)生，人們越來越清楚的意識 到，信息時代所引發(fā)的信息安全問題涉及到人們生活的方方面面。網(wǎng)絡(luò)環(huán)境的多變性、復(fù)雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。據(jù)英 國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡(luò)組織對各國信息防護(hù)能力的評估，我國被列入防護(hù)能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國，而且排在印度、韓國之后。 絡(luò)安全的挑戰(zhàn)。 。目前，我國網(wǎng)絡(luò)安全存在的主要問題有 ： ?；ヂ?lián)網(wǎng)的開放性、分散性和交互性特征為信息交流、信息共享、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)迅速的發(fā)展和廣泛的應(yīng)用，為人類社會進(jìn)步提供了巨大推動力。信息安全指信息的完整性、可用性、保密性和可靠性 。網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)效能重要的問題，而Inter 所具有的開放性、自由性和國際性在增加應(yīng)用自由度的時候，對安全提出了更高級的要求。 根據(jù)中小型公司網(wǎng)絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計目標(biāo)和總體規(guī)劃，設(shè)計了中小型網(wǎng)絡(luò)安全系統(tǒng)解決方案，運用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品對方案進(jìn)行了實現(xiàn)， 并 探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展 方向 。本 文的閱讀者是公司企業(yè)網(wǎng)絡(luò)管理方面的決策人或 操作應(yīng)用人員。并連接到互聯(lián)網(wǎng)上，以充分共享、利用網(wǎng)絡(luò)的信息和 資 源。目的是建立一個完整的、立體的網(wǎng)絡(luò)安全防御體系，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。依照各個安全等級的安全需求，設(shè)計了中小型網(wǎng)絡(luò)的安全方案。在對中小型網(wǎng)絡(luò)系統(tǒng)有了確切的了解之后，將局域網(wǎng)總體劃分為三個安全等級，每個等級中包含若干子網(wǎng)，各類子網(wǎng)設(shè)置了各