【正文】 包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù) [4]： （ 1） 預(yù)防病毒技術(shù) 預(yù)防病毒技術(shù)通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán) ，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。我們都知道，公司網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為 WINDOWS 系統(tǒng)，比較容易感染病毒。鑒于 VPN 設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備 VPN 設(shè)備。 圖 設(shè)備配置示意圖 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 9 頁(yè) 由于 VPN 設(shè)備不依賴(lài)于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專(zhuān)用網(wǎng)服務(wù)平臺(tái)。目前全球大部分廠(chǎng)商的網(wǎng)絡(luò)安全 產(chǎn)品都支持 IPsec 標(biāo)準(zhǔn)。一般來(lái)說(shuō)， VPN 設(shè)備可以一對(duì)一和一對(duì)多地運(yùn)行，并具有對(duì)數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。它通過(guò)利用跨越不安全的公共網(wǎng)絡(luò)的線(xiàn)路建立 IP 安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。 IPsec 是在 TCP/IP體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備（ VPN）， VPN 是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個(gè)網(wǎng)點(diǎn)只需配備一臺(tái) VPN 加密機(jī)。 (2)網(wǎng)絡(luò)層加密 鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點(diǎn)較多，而且可能采用 DDN、 FR 等多種通訊線(xiàn)路。即在有相互訪(fǎng)問(wèn)需求并且要求加密傳輸?shù)母骶W(wǎng)點(diǎn)的每條外線(xiàn)線(xiàn)路上都得配一臺(tái)鏈路加密機(jī)?？梢赃x擇以下幾種方重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 8 頁(yè) 式： （ 1）鏈路層加密 對(duì)于連接各涉密網(wǎng)節(jié)點(diǎn)的廣域網(wǎng)線(xiàn)路，根據(jù)線(xiàn)路種類(lèi)不同可以采用相應(yīng)的鏈路級(jí)加密設(shè)備，以保證各節(jié)點(diǎn)涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶(hù)讀懂、篡改傳輸?shù)臄?shù)據(jù)，如圖 所示。 （ 4） 生產(chǎn) VLAN4 和銷(xiāo)售 VLAN3 可以互訪(fǎng)。 （ 2） 財(cái)務(wù) VLAN5 可以訪(fǎng)問(wèn)生產(chǎn) VLAN市場(chǎng) VLAN資源 VLAN6，不可以訪(fǎng)問(wèn)經(jīng)理辦 VLAN2。通過(guò)虛擬子網(wǎng)的劃分 ,能夠?qū)嵼^粗略的訪(fǎng)問(wèn)控制 [2]。 （ 3） 電磁防護(hù)要求 應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線(xiàn)和通信線(xiàn)纜應(yīng)隔離，避免互相干擾。 華城公司網(wǎng)絡(luò) 的設(shè)計(jì) 公司物理設(shè)備安全的設(shè)計(jì) （ 1） 物理位置選擇 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 7 頁(yè) 機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿(mǎn)足設(shè)計(jì)要求；機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場(chǎng)地應(yīng)當(dāng)避開(kāi)強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。 （ 5） 可擴(kuò)展性和易維護(hù)性。 （ 4） 安全性和保密性。 （ 3） 可靠性和穩(wěn)定性。系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí) 效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。系統(tǒng)支持遠(yuǎn)程 PPTP 接入，外地員工可利用 INTERNET 訪(fǎng)問(wèn)。支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。最終用戶(hù)通過(guò)廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn) Web 應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪(fǎng)問(wèn)。網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶(hù)可共享數(shù)據(jù)庫(kù)、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。內(nèi)網(wǎng)主要由 3 層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái) 2層交換機(jī)做接入。 DMZ內(nèi)主要有各類(lèi)的服務(wù)器，地址分配為 。防火墻上做 NAT 轉(zhuǎn)換，分別給客戶(hù)機(jī)端的地址為 。因此需要 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 5 頁(yè) （ 1） 構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全 （ 2） 劃分 VLAN 控制內(nèi)網(wǎng)安全 （ 3） 安裝防火墻體系 （ 4） 建立 VPN(虛擬專(zhuān)用網(wǎng)絡(luò) )確保數(shù)據(jù)安全 （ 5） 安裝防病毒服務(wù)器 （ 6） 加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 華城公司網(wǎng)絡(luò)拓?fù)鋱D，如圖 所示。通過(guò)軟件或安全手段對(duì)客戶(hù)端的計(jì)算機(jī) 加以保護(hù)，記錄用戶(hù)對(duì)客戶(hù)端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作， 使企業(yè)有手段對(duì) 用戶(hù)在客戶(hù)端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下： （ 1） 根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃 （ 2） 保護(hù) 網(wǎng)絡(luò)系統(tǒng)的可用性 （ 3） 保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性 （ 4） 防范網(wǎng)絡(luò)資源的非法訪(fǎng)問(wèn)及非授權(quán)訪(fǎng)問(wèn) （ 5） 防范入侵者的惡意攻擊與破壞 （ 6） 保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性 （ 7） 防范病毒的侵害 （ 8） 實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。企業(yè)分為財(cái)務(wù)部門(mén)和業(yè)務(wù)部門(mén)，需要他們之間相互隔離。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿(mǎn)足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。公司有一個(gè)局域網(wǎng)，約 100 臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2020,客戶(hù)機(jī)的操作系統(tǒng)是 Windows XP，在 工作組的模式下一人一 機(jī)辦公。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶(hù)帳戶(hù)管理，如帳戶(hù)密碼、臨時(shí)帳戶(hù)、過(guò)期帳戶(hù)和權(quán)限等方面的管理非常必要了。 （ 5） 文件設(shè)置只讀就可以避免感染病毒 設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。 （ 4） 只要不上網(wǎng)就不會(huì)中毒 雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像 聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及 U 盤(pán)等也會(huì)存在著病毒。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè) 網(wǎng)絡(luò)的客戶(hù)端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。 （ 2）安裝了最新的殺毒軟件就不怕病毒了 安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。但如果攻擊 行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力 不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻是一種隔離控制技術(shù)，可 以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口。此外 ,微軟及各大安全公司不斷增強(qiáng)安全 工具和補(bǔ)丁程序??似乎可以松口氣了 ,但果真如此嗎 ? 以下是有關(guān)安全的 六 大誤解。 公司網(wǎng)絡(luò)的安全誤區(qū) 許多人對(duì)于自己的數(shù)據(jù)和網(wǎng)絡(luò)目前有一種虛假的安全感 。 （ 6） 備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。 （ 4） 關(guān)鍵部門(mén)的非法訪(fǎng)問(wèn)和敏感信息外泄。 （ 2） 網(wǎng)絡(luò)黑客的攻擊。 重慶信息技術(shù)職業(yè)學(xué)院畢業(yè)設(shè)計(jì) 第 2 頁(yè) 第 1 章 華城公司網(wǎng)絡(luò)安全的概述 公司網(wǎng)絡(luò)的主要安全隱患 現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪(fǎng)問(wèn)，同時(shí) 公司 網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng) 絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易， 公司 網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括 [1]。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。 為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶(hù)，特別是企業(yè)網(wǎng)絡(luò)用戶(hù)，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不惜一切代價(jià)。除此之外，