【正文】 安全技術(shù)和安全產(chǎn)品。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問題的炸彈隨時(shí)都有爆炸的可能。安全廠商在疲于奔命的升級產(chǎn)品的檢測數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。通過對蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。 　　 　　漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞?？梢哉J(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng)，但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的******絡(luò)安全技術(shù)，IPS的檢測功能類似于IDS，防御功能類似于防火墻。作為防火墻的有效補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。應(yīng)用基礎(chǔ)課程哪個(gè)老師教你首行縮進(jìn)4個(gè)字符了？入侵檢測系統(tǒng)（Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。 網(wǎng)絡(luò)安全面對的問題人們意識到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。系統(tǒng)層次的安全保護(hù)主要包括操作系統(tǒng)、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等的安全保護(hù)。以上具體安全措施將在本書后章中體現(xiàn)。當(dāng)然，網(wǎng)絡(luò)安全系統(tǒng)又不僅體現(xiàn)在OSI/RM的7層結(jié)構(gòu)中，因?yàn)榘踩L(fēng)險(xiǎn)還可以不是在計(jì)算機(jī)網(wǎng)絡(luò)通信過程中產(chǎn)生的，如我們的操作系統(tǒng)（是屬于系統(tǒng)層的）、應(yīng)用軟件、用戶賬戶信息的保護(hù)、數(shù)據(jù)的容災(zāi)和備份，以及機(jī)房的管理等。 網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)成從OSI/RM的7層網(wǎng)絡(luò)結(jié)構(gòu)來一一分析。 我國信息化事業(yè)能否順利發(fā)展，一個(gè)比較關(guān)鍵的因素便是網(wǎng)絡(luò)、信息的安全問題，這已成為制約網(wǎng)絡(luò)發(fā)展的首要因素。 　 * 缺乏先進(jìn)的系統(tǒng)恢復(fù)、備份技術(shù)和工具。 　 * 沒有采取正確的安全策略和安全機(jī)制。資源共享和信息安全是一對矛盾. 自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)隨之而來的信息安全問題也日益突出，各種計(jì)算機(jī)病毒和網(wǎng)上黑客（Hackers）對Internet的攻擊越來越激烈，許多網(wǎng)站遭受破壞的事例不勝枚舉。因此在任何情況下，信息的安全和可靠必須是保證的。 作為一種戰(zhàn)略資源，信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會的各個(gè)領(lǐng)域，在社會生產(chǎn)、生活中的作用日益顯著。信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具。因此，建設(shè)學(xué)校內(nèi)部網(wǎng)，是一個(gè)高瞻遠(yuǎn)矚的舉措，也是一個(gè)迫在眉睫的事情。據(jù)統(tǒng)計(jì)，美國的學(xué)校建設(shè)了校園內(nèi)部信息網(wǎng)絡(luò)并與Internet連通的比例高達(dá)90%，國內(nèi)的主要大學(xué)也已經(jīng)建成或正在建設(shè)自己學(xué)校的內(nèi)部信息網(wǎng)絡(luò)。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。毫無疑問，校園網(wǎng)是學(xué)校提高管理水平、工作效率、改善教學(xué)質(zhì)量的有力手段，是解決信息時(shí)代教育問題的基本工具。對提高教學(xué)質(zhì)量，推動(dòng)我國教育現(xiàn)代化的發(fā)展起著不可估量的作用?，F(xiàn)代教育改革的需要。新技術(shù)提供的機(jī)會以及它們在教學(xué)方面具有的優(yōu)勢都是很多的，特別是計(jì)算機(jī)和多媒體系統(tǒng)的使用有助于個(gè)人化的道路，每個(gè)學(xué)生在個(gè)人的學(xué)習(xí)道路上都可以按照自己的速度發(fā)展。個(gè)人是否具有獲得信息和處理信息的能力對于能否成功進(jìn)入職業(yè)界和融入社會及文化環(huán)境都是個(gè)決定性的因素，因此學(xué)校應(yīng)該培養(yǎng)所有學(xué)生具有駕馭和掌握這種技術(shù)的能力。主要表現(xiàn)在：當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。 建設(shè)網(wǎng)絡(luò)安全的必要性是否在事業(yè)，企業(yè)采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的問題，而且十分重要的是，應(yīng)該處于影響整個(gè)社會深刻變革的中心地位。Intranet使實(shí)現(xiàn)學(xué)校內(nèi)部的信息化成為可能。將Internet技術(shù)應(yīng)用到學(xué)校內(nèi)部，并建立基于這種開放技術(shù)的學(xué)校應(yīng)用程序，使學(xué)校本身具有了Internet的特性，這種應(yīng)用體系結(jié)構(gòu)就是Intranet ── 學(xué)校內(nèi)部網(wǎng)。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術(shù)（GroupWare）進(jìn)而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計(jì)算機(jī)技術(shù)的發(fā)展對學(xué)校傳統(tǒng)的計(jì)算機(jī)業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使用戶能更方便、更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強(qiáng)大。當(dāng)前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷發(fā)展，尤其國際互聯(lián)網(wǎng)（Internet）和內(nèi)部網(wǎng)（Intranet）技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計(jì)算（NetworkCentricComputing）時(shí)代。Internet顯示出誘人的商業(yè)前景，被國人稱為第二國道的建設(shè)。全國各大中城市的網(wǎng)絡(luò)節(jié)點(diǎn)相繼開通。各國紛紛宣布建設(shè)本國的信息高速公路，全球信息一體化局面已指日可待。成為信息時(shí)代全球可共享的最大信息基地。關(guān)鍵詞：漏洞分析，網(wǎng)絡(luò)選擇，防火墻， VPN技術(shù)，網(wǎng)絡(luò)安全目錄摘 要 2第一章 前 言 4 網(wǎng)絡(luò)的發(fā)展 4 建設(shè)網(wǎng)絡(luò)安全的必要性 5 網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)成 7 網(wǎng)絡(luò)安全面對的問題 7第二章 企事業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全隱患知識論述 9 企事業(yè)網(wǎng)絡(luò)安全威脅調(diào)研舉例 9 企事業(yè)安全信息系統(tǒng)內(nèi)網(wǎng)的安全 11第三章 企事業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案 12 網(wǎng)絡(luò)分層設(shè)計(jì) 12 信息系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)需求和原則 13安全體系需求分析 13安全體系關(guān)鍵層 15安全體系設(shè)計(jì)原則 17第四章 企事業(yè)信息系統(tǒng)安全防御及方法 19 企事業(yè)信息系統(tǒng)遭遇攻擊的趨勢 19 常見的攻擊類型和防御方法 22 面臨攻擊的常見防御系統(tǒng)方案 27 目前的選擇F5—防火墻系統(tǒng) 29第五章 企、事業(yè)的網(wǎng)絡(luò)安全規(guī)劃結(jié)論 33致謝 35參考文獻(xiàn) 36第一章 前 言 網(wǎng)絡(luò)的發(fā)展目前，全球已掀起一股信息高速公路規(guī)劃和建設(shè)的高潮，作為其雛形，國際互聯(lián)網(wǎng)（Internet）上相連的計(jì)算機(jī)已近達(dá)數(shù)千萬臺，全球有數(shù)億人在Internet上進(jìn)行信息交換和各種業(yè)務(wù)處理。網(wǎng)絡(luò)軟件和服務(wù)的安全漏洞:Finger漏洞、匿名FTP漏洞、Telnet漏洞、Email漏洞等。數(shù)據(jù)庫及應(yīng)用軟件的安全漏洞:數(shù)據(jù)庫文件格式、文件存放位置、口令加密機(jī)制等。計(jì)算機(jī)網(wǎng)絡(luò)是全球性的一個(gè)開放網(wǎng)絡(luò),任何單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息,計(jì)算機(jī)網(wǎng)絡(luò)的這種具有開放性、共享性、國際性的特點(diǎn)就對計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)。如何保證中職學(xué)校網(wǎng)絡(luò)能正常的運(yùn)行,成為各中職學(xué)校越來越重視的問題。隨著學(xué)校信息化建設(shè)的推進(jìn),中職學(xué)校拜托細(xì)心點(diǎn)組建校園網(wǎng)已作為學(xué)校教育、教學(xué)、科研和辦公的重要基礎(chǔ)設(shè)施,在校園管理和日常教學(xué)中扮演著越來越重要的角色。企、事業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全分析與規(guī)劃2011～2012學(xué)年第二學(xué)期畢業(yè)設(shè)計(jì)（論文）課題 企、事業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全分析與規(guī)劃 姓名 李超_____________ 系部 電子信息工程 專業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班級 09網(wǎng)絡(luò)（1） 學(xué)號 093410112指導(dǎo)教師 沈老師___________ 武漢交通職業(yè)學(xué)院教務(wù)處制摘 要你這摘要的內(nèi)容基本上與你論文沒有一毛錢的關(guān)系。企業(yè)，事業(yè)性信息系統(tǒng)網(wǎng)絡(luò)安全分析與規(guī)劃，必須著重于企業(yè)，事業(yè)單位的需求來分析，由于作者經(jīng)驗(yàn)不夠，此論文主要針對于學(xué)校網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全的建設(shè)做出分析和規(guī)劃，對學(xué)校的整體網(wǎng)絡(luò)分布，學(xué)校需求和學(xué)校網(wǎng)絡(luò)的安全建設(shè)來做一個(gè)總結(jié)和概述。但隨著校園網(wǎng)絡(luò)的發(fā)展,校園網(wǎng)絡(luò)安全問題也日趨突出。計(jì)算機(jī)房存在的不安全因素有很多，比如網(wǎng)絡(luò)系統(tǒng)自身的漏洞。網(wǎng)絡(luò)中漏洞包括操作系統(tǒng)的安全漏洞:操作系統(tǒng)的BUG、I/O非法訪問、訪問控制的混亂等。TCP/IP協(xié)議的安全漏洞:IPV4并未考慮安全性。另外,編程人員為自己方便而在軟件中留有“后門”,這些漏洞、缺陷以及“后門”恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。Internet上積累了大量信息資源，這些資源涉及人類面對和從事的各個(gè)領(lǐng)域、行業(yè)及社會公用服務(wù)信息。由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)的飛速發(fā)展，人們對信息的要求越來越強(qiáng)烈，“網(wǎng)絡(luò)就是計(jì)算機(jī)”的說法被全世界普遍接受。我國自1993年與Internet連通以來，已建成了四大主干信息網(wǎng)：中國公眾信息網(wǎng)ChinaNET，中國金橋網(wǎng)ChinaGBN，中國教育科研網(wǎng)CERNET和中科院網(wǎng)CASNET。廣東省已經(jīng)建立了面向本地服務(wù)的公共信息網(wǎng)。隨著信息技術(shù)的飛速發(fā)展，中小學(xué)校園網(wǎng)的建設(shè)已經(jīng)逐漸提到議事日程上來。人們傳統(tǒng)的交互和工作模式正在改變。Internet的發(fā)展帶動(dòng)了全世界的信息產(chǎn)業(yè)的發(fā)展，也為現(xiàn)代學(xué)校應(yīng)用程序結(jié)構(gòu)提供了一個(gè)新的計(jì)算模式，這種計(jì)算模式能真正適應(yīng)學(xué)校發(fā)展的需要，使學(xué)校的計(jì)算機(jī)應(yīng)用提高到一個(gè)新的水平。Internet和Intranet代表著全新的信息時(shí)代的到來。學(xué)校工作人員和在校學(xué)生面對的信息資源已不僅僅來自于一個(gè)部門、一個(gè)學(xué)?；蛘呤且粋€(gè)行業(yè)，而是所有Internet世界上的資源，使得學(xué)校教學(xué)、科研、管理和決策更為有效。隨著計(jì)算機(jī)多媒體和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與普及，信息安全系統(tǒng)的建設(shè)，是非常必要的，也是可行的。教育信息量的不斷增多，使各級各類學(xué)校、家庭和教育管理部門對教育信息計(jì)算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。另一方面，信息技術(shù)在作為青少年教育工具的同時(shí)也向青少年提供了前所未有的機(jī)會。我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。在校園網(wǎng)中將計(jì)算機(jī)引入教學(xué)各個(gè)環(huán)節(jié)，從而引起了教學(xué)方法，教學(xué)手段，教學(xué)工具的重大革新。網(wǎng)絡(luò)又為學(xué)校的管理者和老師提供了獲取資源、協(xié)同工作的有效途徑。隨著經(jīng)濟(jì)發(fā)展，我國各級政府對教育的投入不斷加大；計(jì)算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識水平和經(jīng)濟(jì)實(shí)力不斷提高。Internet在學(xué)校的應(yīng)用越來越普遍，也越來越普及。廣東省的絕大多數(shù)高校，包括中專學(xué)校，都建成了自己的內(nèi)部網(wǎng)絡(luò)。隨著校園網(wǎng)絡(luò)的成功建設(shè)，必將給學(xué)校的管理部門、各級行政部門、學(xué)校的教育科研帶來積極的影響，提高學(xué)校的教學(xué)科研水平、管理水平和工作效率，極大地提高學(xué)校的知名度。據(jù)不完全統(tǒng)計(jì)，Internet現(xiàn)在遍及186個(gè)國家，容納近60萬個(gè)網(wǎng)絡(luò)，提供了包括600個(gè)大型聯(lián)網(wǎng)圖書館，400個(gè)聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報(bào)紙，50多萬個(gè)Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100萬個(gè)信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。傳播、共享和自增殖是信息的固有屬性，與此同時(shí)，又要求信息的傳播是可控的，共享是授權(quán)的，增殖？？是確認(rèn)的。Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù)，其資源通過網(wǎng)絡(luò)共享。那么，黑客的攻擊為什么屢屢得手呢？其主要有以下幾個(gè)原因：* 對網(wǎng)絡(luò)的管理思想麻痹，沒有重視黑客攻擊所造成的嚴(yán)重后果，舍不得投入必要的人力、財(cái)力、物力來加強(qiáng)網(wǎng)絡(luò)安全性。 　 * 缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品。鑒于上述原因，為了加強(qiáng)Internet信息安全保護(hù)，有必要針對目前黑客對Internet網(wǎng)站采取的攻擊手段制定相應(yīng)有效的防范措施。所以，重視和加快網(wǎng)絡(luò)安全問題的研究和技術(shù)開發(fā)具有重要意義。因?yàn)橛?jì)算機(jī)的網(wǎng)絡(luò)通信，都離不開OSIR/RM的這7層（注意，并不是所有計(jì)算機(jī)網(wǎng)絡(luò)通信都需要經(jīng)過完整的7層）。采取的安全策略最常見的就包括：（目前通常都已包括木馬、惡意軟件的檢測和清除功能），當(dāng)然也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，因?yàn)檫@些也可以通過內(nèi)部網(wǎng)絡(luò)進(jìn)行傳播的；、路由器過濾策略和系統(tǒng)本身的各項(xiàng)安全措施（如針對各類攻擊所進(jìn)行的通信協(xié)議安全配置）；、應(yīng)用軟件的安全漏洞補(bǔ)丁，盡可能地堵住操作系統(tǒng)、應(yīng)用軟件本身所帶來的安全漏洞；、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器（Sniffer）、入侵檢測（IDS）和入侵防御（IPS）系統(tǒng)，以便及時(shí)發(fā)現(xiàn)和阻止來自各方面的攻擊；，對內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各用戶配置好恰當(dāng)?shù)挠脩魴?quán)利和權(quán)限；同時(shí)對一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對發(fā)出去的數(shù)據(jù)還可采取數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)容易策略，并按策略認(rèn)真執(zhí)行。但總體來說，一個(gè)完善的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括計(jì)算機(jī)網(wǎng)絡(luò)通信過程中針對OSI/RM的全部層次安全保護(hù)和系統(tǒng)層的安全保護(hù)，如圖11所示。這樣就可以構(gòu)成一個(gè)立體的多層次、全方位的安全保護(hù)體系。這類技術(shù)的基本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。主要的網(wǎng)絡(luò)安全檢測技術(shù)有： 　　 　　排版格式。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識別針對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用