【正文】 濾。SecuiWALL NXG200 部署在內(nèi)部網(wǎng)絡(luò)和主交換機之間，它的一個網(wǎng)口連接骨干網(wǎng)到校園網(wǎng)，用一個網(wǎng)口連接需要對外提供服務(wù)的服務(wù)器群 DMZ 區(qū)，用一個接口用來保護內(nèi)部辦公用機，剩余接口為擴展做好準(zhǔn)備。防火墻 能根據(jù) 我們圖書館網(wǎng)絡(luò) 的安全策略控制 進 入 內(nèi)部網(wǎng) 絡(luò)的信息流， 它通過在外界網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊數(shù)據(jù) ，根據(jù)預(yù)先設(shè)定的安全規(guī)則，保護整個內(nèi)部網(wǎng)絡(luò)的安全。使用 TMCM 后，網(wǎng)管人員可以使用瀏覽器為應(yīng)用界面，在企業(yè)網(wǎng)內(nèi)部的任意工作站或通過 Inter 實現(xiàn)對跨地區(qū)、跨平臺的企業(yè)防毒系統(tǒng)實施統(tǒng)一管理和監(jiān)控。 ? 郵件服務(wù)器防病毒系統(tǒng)：通過檢測進出郵件服務(wù)器 的郵件及其所帶附件中的病毒程序，專門保護郵件服務(wù)器系統(tǒng)的安全。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 ? 工作站防病毒系統(tǒng)：通過 C/S結(jié)構(gòu)模式，服務(wù)端防病毒系統(tǒng)將自動檢測各工作站上防病毒軟件安裝情況，服務(wù)端將自動分發(fā)并遠程安裝各工作站病毒防護系統(tǒng)。 趨勢科技防病毒軟件分類 ? 服務(wù)器防病毒系統(tǒng)：選用服務(wù)器防病毒系統(tǒng)，實時檢測并清除各種病毒、自動更新及傳送病毒碼文件、提供詳細病毒事件報告；還提供集中式安裝及管理，為內(nèi)部服務(wù)器的病毒防護提供強有力的保障。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 ? 靈活的最優(yōu)技術(shù)： 趨勢科技的防毒產(chǎn)品和全球化服務(wù)，能夠和最先進的防火墻產(chǎn)品、入侵檢測系統(tǒng)以及其它最佳解決方案完美地結(jié)合起來，構(gòu)成一套完整的保護策略。隨著全球采用的計算機標(biāo)準(zhǔn)不斷推陳出新，趨勢科技也持續(xù)研發(fā)出創(chuàng)新的技術(shù)與策略，以確保信息環(huán)境的安全。 TMCM 產(chǎn)品的推出充分體現(xiàn)了 TREND 科技重視集中控管的網(wǎng)絡(luò)防毒思想，首次實現(xiàn)了隨時隨地的防病毒軟件管理的模式。該系統(tǒng)將傳統(tǒng)的二層式主從結(jié)構(gòu)管理模式，擴展為三層式主從結(jié)構(gòu)模式，介于客戶端與瀏覽器之間的 CM 服務(wù)器可以將龐大而復(fù)雜的產(chǎn)品，集中統(tǒng)籌管理。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 ? TREND 防毒中央控管系統(tǒng)（ Trend Micro Control Manager） TREND 科技于去年公布的病毒控制系統(tǒng) TMCM，是一個使企業(yè) MIS 人員可以通過Inter/Intra 控管企業(yè)網(wǎng)絡(luò)中所有防毒軟件的一個管理工具。根據(jù)國際計算機安全協(xié)會（ ICSA） 2021 年的報告，因使用電子郵件而中毒的事件已占所有中毒事件的86％，且其比率正在持續(xù)升高之中。由此， TREND 科技的 OfficeScan 企業(yè)授權(quán)版很好的解決了這些問題， OfficeScan 聯(lián)網(wǎng)工作站病毒防火墻具有如下特點： （ 1） HTTP 通訊方式使控管服務(wù)器和客戶機能夠?qū)崟r通訊； （ 2） 基于 WEB 方式的控制臺，管理員可通過 Inter/Intra 在任意點進行工作站防毒監(jiān)控； （ 3） 域管理簡化了對大量客戶機的管理； （ 4） 提供了實時、集中的防毒工作站報告； （ 5） 更加靈活的網(wǎng)絡(luò)防毒策略設(shè)置； （ 6） 支持 HTTP 和基于文件的二種通訊方式； （ 7） 支持多種方式的 OfficeScan 客戶端軟件分發(fā)； （ 8） 具有簡體中文支持，用戶界面更加方便、友好； 采用新型掃描引擎技術(shù)，使 對客戶機病毒的防、殺、清、查更加有效。 網(wǎng)絡(luò)工作站的防護位于防毒體系中的最底層，對網(wǎng)絡(luò)計算機用戶而言，也是最后一道查、殺、清、防病毒的要塞。 作為防毒體系結(jié)構(gòu)中的服務(wù)器端產(chǎn)品， ServerProtect 的 實時病毒監(jiān)控功能，遠程安裝、遠程調(diào)用功能，病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等，為網(wǎng)絡(luò)內(nèi)文件服務(wù)器的病毒防護提供了最大便利和效能。為此， TREND 科技早在 1991年就利用其服務(wù)器防毒的核心技術(shù)和美國英特爾（ Intel）公司合作，共同推出運行在 Netware 服務(wù)器上的 LDVP（ LANDesk Virus Protect）。 文件服務(wù)器是網(wǎng)絡(luò)中最常見的服務(wù)器。 網(wǎng)絡(luò)防病毒的實現(xiàn) 防毒產(chǎn)品的選擇 為了 實現(xiàn)對圖書館網(wǎng)絡(luò)系統(tǒng)的整體病毒防護，我們建議采用趨勢科技（ TrendMicro）整體病毒解決方案。 ? 通過使用防病毒軟件系統(tǒng)、并且充分發(fā)揮其效率，把病毒擋在電子科技大學(xué)圖書館網(wǎng)絡(luò)信息系統(tǒng)以外。 ? 通過設(shè)置有效的安全策略，確保只允許符合安全策略的內(nèi)外網(wǎng)絡(luò)之間的訪問與服務(wù)，保證內(nèi)部網(wǎng)絡(luò)免受外部攻擊。 圖書館網(wǎng)絡(luò)系統(tǒng)通過校園網(wǎng)，實現(xiàn)與國內(nèi)和國際網(wǎng)的基礎(chǔ)接入，使圖書館教職工和學(xué)生能使用電子郵件和瀏覽器等基本應(yīng)用，在教學(xué)科研和管理工作中利用國內(nèi)和國際網(wǎng)進行信息交流和共享。而川大圖書館的內(nèi)部 Email系統(tǒng)覆蓋面廣。 ? 電子郵件服務(wù) 器 Mail Sever： 由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞，郵件服務(wù)器成為進行遠程攻擊的首選目標(biāo)之一。 ? WWW服務(wù)器 Web Server： 利用 HTTP服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)，從而對圖書館網(wǎng)絡(luò)信息系統(tǒng)造成破壞。 ? 應(yīng)用服務(wù)系統(tǒng)： 圖書館網(wǎng)絡(luò)系統(tǒng)中各種應(yīng)用服務(wù) 器提供各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給圖書館網(wǎng)絡(luò)內(nèi)部、外部使用，不能防止未經(jīng)驗證的操作人員四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。 圖書館局域網(wǎng)通過校園骨干網(wǎng)，接入學(xué)校網(wǎng)絡(luò)信息中心，構(gòu)成一個對外數(shù)據(jù)通路；再由網(wǎng)絡(luò)信息中心邊界路由器通過專線與中國教育和科研網(wǎng)或其它網(wǎng)絡(luò)連接，實現(xiàn)與因特網(wǎng)互聯(lián)。圖書館現(xiàn)有網(wǎng)絡(luò)拓樸示意圖如下： 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 電子科技大學(xué)圖書館網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)應(yīng)用 圖書館局域網(wǎng)由服務(wù)器和客戶機構(gòu)成，以實現(xiàn)圖書館自動化管理。 第三章 圖書館網(wǎng)絡(luò)系統(tǒng)概況 基本網(wǎng)絡(luò)結(jié)構(gòu) 在電子科技大學(xué)圖書館內(nèi)部網(wǎng)絡(luò)系統(tǒng)中，廣泛的分布著工作人員用機（日常工作、處理圖書流動信息等）、學(xué)生用機（包括查詢圖書信息、電子閱覽室上網(wǎng)等）以及我們重要的各種應(yīng)用服務(wù)器系統(tǒng)，在這些重要的應(yīng)用服務(wù)器中既有 WEB 服務(wù)器、 FTP 服務(wù)器等一般應(yīng)用服務(wù)器，更有著核心應(yīng)用系統(tǒng)的服務(wù)器，它存儲著整個圖書館系統(tǒng)的所有圖書流動記錄、圖書編目信息等等圖書館的核心（或機密）信息，我們整個圖書館網(wǎng)絡(luò)信息系統(tǒng)的主要應(yīng)用全是基于它而正常工作的。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。 責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（ ）或分布式拒絕服務(wù)（ DDOS）之類的惡意攻擊 ，提高服務(wù)器備份與恢復(fù)、防篡改與自動修復(fù)能力。 WWW 服務(wù)漏洞 Web 服務(wù)器本身不能保證沒有漏洞，不法分子可能利用服務(wù)的漏 洞修改頁面，甚至破壞服務(wù)器。因些，病毒的危害的不可以輕視的。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 病毒侵害 網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。 電子郵件系統(tǒng) 電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共、打印機共享等。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。 操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手，如果進行安全配置，比如：填補安全漏洞、關(guān)閉一些不常用的服務(wù)、禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險，并根據(jù)自己的網(wǎng) 絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。所有的這些設(shè)備、軟件系統(tǒng)都或多或少地存在著各種各樣的“后四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 門”和漏洞，這 些都是重大的安全隱患。 在 整個圖書館網(wǎng)絡(luò) 系統(tǒng)中，包含的設(shè)備有各種服務(wù)器、路由器 /交換機、工作站等。我們都知道就目前的操作系統(tǒng)或應(yīng)用系統(tǒng)，無論是 Windows，還是其它任何商用 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)都存在著 BUG，據(jù)統(tǒng)計在一個 1000行的程序里就將有一個 BUG，而象 Windows 2021 這個約有三千五百萬行至五千萬行的操作系統(tǒng)，其中會存在多少BUG 呢？而這些 BUG 都將存在重大安全隱患，可想而知其安全性如何。 系統(tǒng)的安全風(fēng)險分析 系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。另外，內(nèi)部人員在不知道的情況下，把一些夾雜了有害程序的文件通過網(wǎng)絡(luò)進行傳播，或者被黑客抓住機會把黑客程序放在共享資源目錄做陷阱，乘機控制并入侵他人主機。 內(nèi)部局域網(wǎng)的安全威脅 在已知的網(wǎng)絡(luò)安全事件中，約 70%的攻擊是來自內(nèi)部網(wǎng)。 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。 內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部 網(wǎng)互聯(lián)安全威脅 如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。因為，每天黑客都在試圖闖入Inter 節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析 來自與公網(wǎng)互聯(lián)的安全危脅 如果圖書館內(nèi)部網(wǎng)絡(luò)與 Inter 公網(wǎng)有互連。并通過數(shù)字簽名及認證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機密性、可靠性及完整性。 鏈路傳輸風(fēng)險分析 網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取 你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅?？傮w來說物理