【正文】 ip address ASAFW(configsubif) interface e0/ ASAFW(configsubif) vlan 4 ASAFW(configsubif) nameif MDZ ASAFW(configsubif) securitylevel 50 ASAFW(configsubif)ip address 六、 入侵 檢測系統(tǒng) 用 Cisco Catalyst 6500 系列入侵檢測系統(tǒng) IDSM2 服務(wù)模塊 。 豐富的管理和監(jiān)控服務(wù)； 通過 Cisco Adaptive Security Device Manager（ ASDM）提供直觀的單設(shè)備管理和監(jiān)控服務(wù)，通過 Cisco Security Management Suite 提供企業(yè)級多設(shè)備集中管理服務(wù)。 安全管理需通過管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來完成安全管理產(chǎn)品應(yīng)支持統(tǒng)一的中心控制平臺 五、防火墻的選擇 下面是 Cisco ASA 5500 系列防火墻介紹： 圖 43 Cisco ASA 5500 系列防火墻 （一） 選擇的理由： 值得信賴的防火墻和威脅防御 VPN 技術(shù)； 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 13 Cisco ASA 5500 系列建立于值得信賴的 Cisco PIX 安全設(shè)備和 Cisco VPN 3000 系列集中器技術(shù)， ASA5500 系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護，同時提供 SSL 和 IPsec VPN 服務(wù)的解決方案； 業(yè)內(nèi)領(lǐng)先的 AntiX 服務(wù)； 將 Trend Micro 在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢與切實可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、 URL 阻擋和過濾以及內(nèi)容過 濾服務(wù)。 安全管理 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡(luò)安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機 網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的 Web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設(shè)的重中之重。 信息安全 企業(yè) 局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的業(yè)務(wù)信息可分為公共信息、內(nèi)部信息、秘密信息等。 網(wǎng)絡(luò)備份系統(tǒng) 備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。 b、檢測病毒技術(shù) :它 是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵詞、文件長度的變化等 c、清除病毒技術(shù) :它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)： a、預(yù)防病毒技術(shù) :它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。 應(yīng)具備以下功能 :具備網(wǎng)絡(luò)監(jiān)控分析和自動響應(yīng)功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網(wǎng)絡(luò)安全危險；漏洞分析和響應(yīng)；配置分析和響應(yīng)；漏洞形勢分析和響應(yīng)；認(rèn)證和趨勢分析；將各西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 11 種服務(wù)器受 黑客攻擊的可能降為最低；對網(wǎng)絡(luò)訪問做出有效響應(yīng)保護重要應(yīng)用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制： VLAN 技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)。因此，特對 企業(yè) 局域網(wǎng)作如下設(shè)計： 網(wǎng)絡(luò)分段是保證安全的一項重要措施同時也是一項基本措施其指導(dǎo)思想，在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達到限制用戶非法訪問的目的。但由于各行業(yè)的應(yīng)用系統(tǒng)千差萬別，故很難對應(yīng)用系統(tǒng)的安全實現(xiàn)進行具體的規(guī)劃。為了保證 企業(yè) 局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進行如下要求 :檢查系統(tǒng)設(shè)置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇 /更新）將系統(tǒng)的安全級別設(shè)置為最高級。 系統(tǒng)安全 系統(tǒng)安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安 全性以及網(wǎng)絡(luò)硬件平臺的可靠性。 物理安全 內(nèi) 容包括場地安全、機房建設(shè)安全、動力保障系統(tǒng)安全以及系統(tǒng)抗性、防災(zāi)難的應(yīng)急措施和恢復(fù)能力。 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 9 四、安全設(shè)計方案 （一）企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D 圖 42 企業(yè)具有安全措施的網(wǎng)絡(luò)拓?fù)鋱D （二）安全體系設(shè)計 通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求，安全風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)安全措施應(yīng)按系統(tǒng)體系建立。應(yīng)用安全也涉及到信息數(shù)據(jù)的安全，對于有些特別重要的信息需要進行保密可以考慮在應(yīng)用級上進行加密，針對具體的應(yīng)用直接應(yīng)用系統(tǒng)的開發(fā)時進 行加密，并且通過 VPN 隧道進行加密傳送。 （ 3）系統(tǒng)安全風(fēng)險分析 系統(tǒng)安全是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺是否可靠值得信任；網(wǎng)絡(luò)操作系統(tǒng)的可靠性對中國來說恐怕絕對安全的操作系統(tǒng)是沒有的，但是，我們可以通過對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制，來提高系統(tǒng)的安全性。 （ 2）網(wǎng)絡(luò)平臺安全風(fēng)險分析 網(wǎng)絡(luò)結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，在該企業(yè)的公開服務(wù)器區(qū)容易遭受黑客攻擊。 網(wǎng)絡(luò)安全可以從以下幾個方面來分析： （ 1）物理安全風(fēng)險分析 網(wǎng)絡(luò)的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。 三、網(wǎng)絡(luò)安全風(fēng)險分析 目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：非授權(quán)訪問，信息泄露或丟失，破壞數(shù)西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 8 據(jù)完整性，拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)傳播病毒。在分析企業(yè)局域網(wǎng)安全風(fēng)險時，應(yīng)考慮以下該網(wǎng)絡(luò)結(jié)構(gòu)的特點： 網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，可能通過外網(wǎng)傳播進來的病毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡(luò)中存在公開服務(wù)器，避免公開服務(wù)器的安全風(fēng)險擴散到內(nèi)部；該局域網(wǎng)中存在許多不同的 子網(wǎng)，不同的子網(wǎng)有不同的安全性，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分隔開，這可以由交換機劃分 VLAN 來實現(xiàn)。 備份與災(zāi)難恢復(fù) —— 強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復(fù) 。 西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 6 加強合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度 。 建立網(wǎng)站各主機和服務(wù)器的安全保護措施，保證他們的系統(tǒng)安全 。 二、 系統(tǒng)安全目標(biāo) 建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做 到： 公開服務(wù)器的安全保護 ； 防止黑客從外部攻擊 ； 入侵檢測與監(jiān)控 ； 病毒防護 ； 數(shù)據(jù)安全保護 ； 數(shù)據(jù)備份與恢復(fù) 。對于有些特別重要的信息需要對內(nèi)部進行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進行加密。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完 整性、假冒、破壞系統(tǒng)的可用性等。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。而且，必須加強登錄過程的認(rèn)證（特別是在到達服務(wù)器主機之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。但是，我們可以對現(xiàn)有的操作平臺進行安全配置、 對操作和訪問權(quán)限進行嚴(yán)格控制，提高系統(tǒng)的安全性。 二、 系統(tǒng)的安全風(fēng)險分析 所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其他的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的