【正文】 用防火墻，各網(wǎng)絡級別的接口利用物理隔離設備、防火墻、安全郵件服務器、路由器的可控路由表、安全撥號驗證服務器和安全級別較高的操作系統(tǒng)。在網(wǎng)絡層，可通過對路由器的路由表控制和對不同子網(wǎng)的定義來限制子網(wǎng)間的接點通信，通過對主機路由表的控制來控制與之直接通信的節(jié)點。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡安全系統(tǒng)只是網(wǎng)絡系統(tǒng)安全性實施的第一步，只有當各級組織機構均嚴格執(zhí)行網(wǎng)絡安全的各項規(guī)定，認真維護各自負責的分系統(tǒng)的網(wǎng)絡安全性，才能保證整個系統(tǒng)網(wǎng)絡的整體安全性。一方面，各級領導一定要高度重視并積極支持有關系統(tǒng)安全方面的各項措施 [14]。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應的授第 3 章網(wǎng)絡安全系統(tǒng)設計權。制訂應急措施。制訂完備的系統(tǒng)維護制度。制訂嚴格的操作規(guī)程。制訂相應的機房出入管理制度。平頂山工業(yè)職業(yè)技術學院畢業(yè)設計說明書13安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應規(guī)范，其具體工作是：確定該系統(tǒng)的安全等級。任何人最好不要長期擔任與安全有關的職務，以免誤認為這個職務是專有的或永久性的。原則每項與安全有關的活動都必須有兩人或多人在場。(2)技術策略技術策略要針對網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權提出具體的措施。而應基于“最低權限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。由于在當前計算機網(wǎng)絡環(huán)境中，相對于主機環(huán)境、單機環(huán)境，安全問題變得越來越復雜和突出，所以網(wǎng)安全風險分析成為制定有效的安全管理策略和選擇有作用的安全技術實施措施的重要依據(jù)。網(wǎng)絡安全風險分析網(wǎng)絡系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件和 0S及各種應用軟件等各方面、各層次的良好運行。都可能被攻破。其次，采用的措施不會影響系統(tǒng)正常運行。、標準、兼容性原則先進的技術體系，標準化的技術實現(xiàn)。使用的信息安全產(chǎn)品和技術方案在設計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性。實際上，在網(wǎng)絡建設之初就應考慮網(wǎng)絡安全對策，比等網(wǎng)絡建設好后再考慮，不但容易，而且花費也少很多。它們在網(wǎng)絡安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。保護成本與被保護信息的價值必須平衡，價值僅 2 萬元的信息如果用 6 萬元的技術和設備去保護是一種不適當?shù)谋Ｗo。 安全體系設計安全體系設計原則在進行計算機網(wǎng)絡安全設計和規(guī)劃時，應遵循以下原則：、風險、代價平衡分析的原則對任一網(wǎng)絡來說，絕對安全難以達到，也不一定必要。應用系統(tǒng)的安全與系統(tǒng)設計和實現(xiàn)關系密切。由于應用平臺的系統(tǒng)非常復雜，通常采用多種技術來增強應用平臺的安全性。鏈路層的網(wǎng)絡安全需要保證通過網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽。物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊(干擾等)。針對網(wǎng)絡系統(tǒng)實際運行的 TCP/IP 協(xié)議，網(wǎng)絡安全貫穿于信息系統(tǒng)的 4 個層次。 安全體系結構網(wǎng)絡安全體系結構主要考慮安全機制和安全對象，安全對象主要有網(wǎng)絡安全、信息安全、設備安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息介質(zhì)安全和計算機病毒防治等。對于大多說網(wǎng)絡黑客來說，成功地入侵一企業(yè)特別是著名的網(wǎng)絡系統(tǒng)，具有證明和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡數(shù)據(jù)，甚至破壞其網(wǎng)絡系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。毫無疑問，不需要任何的形式的“說教” ，在信息和網(wǎng)絡被廣泛應用的今天，任何一個網(wǎng)絡管理使用者都非常清楚，所有被使用的計算機網(wǎng)絡都必然存在被有意外或無意外的攻擊和破壞之風險。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建設功能的強大和安全可靠的網(wǎng)絡信息管理系統(tǒng)是企業(yè)實現(xiàn)現(xiàn)代化管理的必要手段。安全保密功能上多級化，對信道適應多元化。在實現(xiàn)上分步實施，漸進獲取。 平頂山工業(yè)職業(yè)技術學院畢業(yè)設計說明書10第 3 章 網(wǎng)絡安全的方案設計 總體設計方案網(wǎng)絡安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標準、相互配套“的原則進行，采用先進的”平臺化“建設思想，避免重復投入、重復建設，充分考慮整體和局部的利益，堅持近期目標與遠期目標相結合。 數(shù)據(jù)信息的安全風險：數(shù)據(jù)安全對企業(yè)來說尤其重要，數(shù)據(jù)在公網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取、篡改。因此，病毒的危害的不可以輕視的。 病毒侵害的安全風險：網(wǎng)絡是病毒傳播的最好、最快的途徑之一。數(shù)據(jù)庫服務器的安全風險包括：非授權用戶的訪問、通過口令猜測獲得系統(tǒng)管理員權限、數(shù)據(jù)庫服務器本身存在漏洞容易受到攻擊等?？赡艽嬖谥鴨T工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。應用系統(tǒng)是動態(tài)的、不斷變化的。如果進行安全配置，填補安全漏洞，關閉一些不常用的服務，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當高的技術水平及相當長時間。這些后門和安全漏洞都將存在重大安全隱患。 目前的操作系統(tǒng)無論是 Windows 還是 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。操作系統(tǒng)的安裝以正常工作為目標，一般很少考慮其安全性，因此安裝通常都是以缺省選項進行設置。 網(wǎng)絡設備中包含路由器、交換機、防火墻等，它們的設置比較復雜，可能平頂山工業(yè)職業(yè)技術學院畢業(yè)設計說明書8由于疏忽或不正確理解而使這些設備可用但安全性不佳。 據(jù)調(diào)查在已有的網(wǎng)絡安全攻擊事件中約 70%是來自內(nèi)部網(wǎng)絡的侵犯。透過網(wǎng)絡傳播，還會影響到與本系統(tǒng)網(wǎng)絡有連接的外單位網(wǎng)絡。網(wǎng)絡系統(tǒng)中辦公系統(tǒng)及員工主機上都有涉密信息。 網(wǎng)絡結構的安全風險分析1 外部網(wǎng)絡的安全威脅 企業(yè)網(wǎng)絡與外網(wǎng)有互連。制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。網(wǎng)絡的安全管理制度策略包括：確定安全管理等級和安全管理范圍。即除了從技術上功夫外，還得靠安全管理來實現(xiàn)。內(nèi)部不滿的人員有的可能造成極大的安全風險。責任不清，使用相同的口令、用戶名，導致權限管理混亂，信息泄密。因此，最可行的做法是管理制度和管理解決方案相結合。因此，數(shù)據(jù)在線路中傳輸時必須加密，同時通過認證技術及數(shù)字簽名來保數(shù)據(jù)在網(wǎng)上傳輸 [9]的保密性、真實性、可靠性及完整性，以保護系統(tǒng)的重要信息數(shù)據(jù)的傳輸安全。這種形式的“攻擊”是相對比較容易成功的。 數(shù)據(jù)傳輸?shù)陌踩L險由于在企業(yè)內(nèi)部網(wǎng)絡數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡實現(xiàn)的，一臺客戶機被病毒感染，迅速通過網(wǎng)絡傳染到同一網(wǎng)絡的成百上千臺機器。當病毒被釋放到網(wǎng)絡環(huán)境時，其無法預測的擴散能力使它極具危險性。 病毒的安全風險計算機病毒是指一種能使自己附加到目標機系統(tǒng)的文件上的程序。所有的這些設備、軟件系統(tǒng)都多多少少地存在著各種各樣的漏洞，這些都是重大安全隱患。在企業(yè)的網(wǎng)絡系統(tǒng)中，包含的設備有：交換機，服務器，工作站等。企業(yè)企業(yè)校園網(wǎng)絡采用的操作系統(tǒng) [7] (主要為Windows2021server/professional，Windows ME，Windows95/9UNIX)本身在安全方面考慮的較少，服務器、數(shù)據(jù)庫的安全級別較低，存在若干安全隱患。 系統(tǒng)層安全風險所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。 3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。 2．運行安全方面：網(wǎng)絡中的設備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。 為保證信息網(wǎng)絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。下面對企業(yè)的具體狀況從物理層安全、網(wǎng)絡層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅及管理安全進行分類描述網(wǎng)絡系統(tǒng)的安全風險。當系統(tǒng)自身的情況發(fā)生變化時，必須注意及時修改相應的安全策略。(4)一切都被允許，當然也包括那些本來被禁止的。(2)除那些被明確允許之外，一切都被禁止?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么活動是被允許的，什么活動是被禁止的。如實現(xiàn)報警、阻塞、阻斷、引入陷阱，以及取證和反擊等。因此，事件過濾技術也是安全管理平臺需要解決的一個重要問題。所以，事件關聯(lián)技術的研究和實現(xiàn)，可以大大提高安全管理平臺綜合處理與智能處理的能力，提高管理平臺分析及審計能力，更好地幫助網(wǎng)管人員進行網(wǎng)絡安全的集中管控，發(fā)揮網(wǎng)絡安全管理平臺的重要作用。因此可視化管理技術的研究與應用尤為重要。探頭集成技術：目前各安全子系統(tǒng)要對網(wǎng)絡及用戶進行實時管理，大多采用用戶端安裝插件的技術，在多個子系統(tǒng)都需插件的情況下，可能產(chǎn)生沖突，且給用戶系統(tǒng)增加負擔，因此各廠商除提供必要的接口信息外，集成單位也應注意將各種信息技術進行融合，通過編程實現(xiàn)對各系統(tǒng)探頭的集成。如果用戶要管理各類網(wǎng)絡設備、操作系統(tǒng)及安全產(chǎn)品，則要綜合使用諸如 WBEM、UDDI 和 XML 等協(xié)議與通信技術。目前，已有一些廠商在安全設備與安全策略管理、安全風險控制、集中安全審計等方面做了十分有效的工作。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全保護方案，以保證算機網(wǎng)絡自身的安全性為目標。(4)完整性是指網(wǎng)絡信息未經(jīng)授權不能進行改變的特性，即網(wǎng)絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認性，主要用于網(wǎng)絡信息的交換過程，保證信息交換的參與者都不可能否認或抵賴曾進行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。保密性是在可靠性和可用性的基礎上保證網(wǎng)絡信息安全的非常重要的手段。(2)可用性是指網(wǎng)絡信息可被授權用戶訪問的特性，即網(wǎng)絡信息服務在需要時，能夠保證授權用戶使用。一個安全的計算機網(wǎng)絡應該具有以下幾個特點：(1)可靠性是網(wǎng)絡系統(tǒng)安全最基本的要求。前者要求網(wǎng)絡向所有用戶有選擇地隨時提供各自應得到的網(wǎng)絡服務，后者則要求網(wǎng)絡保證信息資源的保密性、完整性、可用性和準確性。網(wǎng)絡自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡不安全的主要原因。內(nèi)部突破是指己授權的計算機系統(tǒng)用戶訪問未經(jīng)授權的數(shù)據(jù)。網(wǎng)絡安全威脅一般分為外部闖入、內(nèi)部滲透和不當行為三種類型。在這樣的形勢下，以保護網(wǎng)絡中的信息免受各種攻擊為根本目的網(wǎng)絡安全變得越來越重要。而且，只為合適的用戶服務。從技術角度來說，網(wǎng)絡信息安全與保密的目標主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實性、可用性、不可抵賴性等方面。 網(wǎng)絡安全的概念和目標國際標準化組織(IS0)對計算機系統(tǒng)安全的定義是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。近年來，隨著網(wǎng)絡安全事件的發(fā)生，人們越來越清楚的意識到，信息時代所引發(fā)的信息安全問題涉及到人們生活的方方面面。網(wǎng)絡環(huán)境的多變性、復雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡安全威脅的客觀存在。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)絡組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。網(wǎng)絡信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國內(nèi)情況來看，目前我國 95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡管理中心都遭受過境內(nèi)外黑客的攻擊或侵入。據(jù)國家計算機病毒應急處理中心數(shù)據(jù)看，從國家計算機病毒應急處理中心日常監(jiān)測結果看來，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。然而，正是由于互聯(lián)網(wǎng)的特性，產(chǎn)生了信息污染、信息泄漏、信息不易受控等諸多安全問題?？刂瓢踩珓t指身份認證、不可否認性、授權和訪問控制。一般來說，網(wǎng)絡安全由信息安全和控制安全兩部分組成。關鍵詞：網(wǎng)絡安全，掃描系統(tǒng)，防火墻平頂山工業(yè)職業(yè)技術學院畢業(yè)設計說明書II目錄摘 要 ..................................................................I目錄 ...................................................................II第 1 章 緒論 .............................................................1 網(wǎng)絡安全背景知識..............................................................................................................1 網(wǎng)絡安全的概念和目標......................................................................................................1 網(wǎng)絡安全策略........................................................................................................