【正文】 則干擾人們的日常生活，重則造成巨大的經(jīng)濟(jì)損失，甚至威脅到國家的安全。 計(jì)算機(jī)病毒在不斷產(chǎn)生和傳播，計(jì)算機(jī)網(wǎng)絡(luò)不斷遭受黑客的攻擊，重要情報(bào)資料被竊密，甚至造成網(wǎng)絡(luò)系統(tǒng)癱瘓，給各個(gè)國家以及眾多的公司和部門造成了巨大的經(jīng)四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 濟(jì)損失，甚至危害國家和地區(qū)的安全，因此計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全， 包括其上的信息數(shù) 據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全，日益成為 一個(gè)關(guān)系到 國家、政府、企業(yè)、個(gè)人利益 的大事，必須給予充分的重視并設(shè)法加以解決。 網(wǎng)絡(luò)安全 問題解決不好將全方位地危及 一個(gè)國家 的政治、軍事、經(jīng)濟(jì)、文化、社會(huì)生活的各個(gè)方面，使國家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)的威脅之中。而且隨著 Inter 的迅速發(fā)展，人們可以很方便地接入它，罪犯 們不用千辛萬苦地建立接入攻擊目標(biāo)的訪問通道，他們可以通過 Inter 輕易的找到以及訪問要攻擊的目標(biāo)，這樣犯罪更加容易發(fā)生。這樣使得計(jì)算機(jī)犯罪案迅速增加，計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問題之一。許多個(gè)人用戶也經(jīng)常為自己的郵箱遭受“郵箱炸彈”的攻擊而苦惱，而一些大單位更是為自己的主頁被黑客的任意篡改而感到尷尬，至于那些由于網(wǎng)絡(luò)安全漏洞造成的大型經(jīng)濟(jì)犯罪案件更是屢見不鮮。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安 全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重。 物理 安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須 考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷。 因此，在網(wǎng)絡(luò)初期建設(shè)中都應(yīng)該考慮全面，而且，我們相信貴單位在網(wǎng)絡(luò)初期建設(shè)中都考慮得很全面了，故本方案中不重點(diǎn)闡述。因此，對(duì)于圖書館這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 在鏈路上傳輸必須加密。 由于電子科大圖書館現(xiàn)階段的網(wǎng)絡(luò)環(huán)境還只限于一個(gè)大局域網(wǎng)中，并沒有跨越公網(wǎng)以至于不會(huì)用到 VPN，因此暫不做考慮?；?Inter 公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全危脅。內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。如： 入侵者通過 Sniffer 等嗅探程序來探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò) IP 地址、應(yīng)用操作系統(tǒng)的類型、開放哪些 TCP 端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 惡意攻擊 :入侵者通過發(fā)送大 量 PING 包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。首先，各節(jié)點(diǎn)內(nèi)部網(wǎng)中用戶之間通過網(wǎng)絡(luò)共享網(wǎng)絡(luò)資源，網(wǎng)絡(luò)共享自然是局域網(wǎng)所有用戶都可讀甚至可寫，這樣就可能因無意中把重要的涉密信息或個(gè)人隱私信息存放在共享目錄下，因此而造成泄密。 當(dāng)然，在 我們圖書館內(nèi)部里會(huì)有相應(yīng)的規(guī)則、措施來有效的控制來自網(wǎng)絡(luò)內(nèi)部的安全威脅。對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)而言操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素，將是黑客攻擊得手的關(guān)鍵因素，因黑客攻擊某網(wǎng)絡(luò)系統(tǒng)，一般都是通過攻擊軟件掃描該網(wǎng)絡(luò)系統(tǒng)中主機(jī)是否存在安全漏洞，并通過可利用的安全漏洞進(jìn)行攻擊或控制這臺(tái)主機(jī)，為以后進(jìn)一步攻擊打下基礎(chǔ)。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度與對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系。在服務(wù)器上主要有操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件系統(tǒng)；路由器、交換機(jī)上也有相應(yīng)的操作系統(tǒng)。一旦被利用并攻擊，將帶來不可估量的損失，如現(xiàn)在網(wǎng)絡(luò)上正廣為流傳非常兇猛的“沖擊波”病毒，就是一個(gè)以微軟公司 Windows系列操作系統(tǒng)的一個(gè)漏洞為基礎(chǔ)的破壞性、傳染性都很強(qiáng)的蠕蟲病毒。 應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。 資源共享 圖書館網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。由此就可能存在著：?jiǎn)T工有意、無意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他人員竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾?訪問控制策略。內(nèi)部網(wǎng)用戶能夠通過拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來不安全因至素。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染， 則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。系統(tǒng)中的 BUG，使得黑客可以遠(yuǎn)程對(duì)公開服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個(gè)系統(tǒng)的崩潰。 管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)安全中最最重要的部分 。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。責(zé)權(quán)不明、管理混亂，使得一些管理人員隨便讓一些非本地工作人員甚至外來人員進(jìn)入機(jī)房重地，或者管理員有意 無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。在這兒，可以毫不夸張的比喻它為整個(gè)圖書館信息網(wǎng)絡(luò)系統(tǒng)的心臟。保證圖書館內(nèi)部業(yè)務(wù)計(jì)算機(jī)網(wǎng)絡(luò)化管理和在網(wǎng)上實(shí)現(xiàn)書刊目錄及部分文獻(xiàn)參考全文檢索及瀏覽等應(yīng)用。 遠(yuǎn)程訪問服務(wù)器連入 INTERNET， 使院外授權(quán)用戶含院內(nèi)職工在宿舍或出差用遠(yuǎn)程方式訪問、查詢圖書館信息。而這些應(yīng)用系統(tǒng)是圖書館網(wǎng)絡(luò)系統(tǒng)中最重要的組成部分。在電子科大圖書館存在各種 WWW服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。如利用公共的郵件服務(wù)器進(jìn)行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用 sendmail的漏洞直接入侵到郵件服務(wù)器的主機(jī)等。所以迫切需要采用安全手段來保護(hù)圖書館的內(nèi)部 Email系統(tǒng)。 第四章 電子科 大圖書館網(wǎng)絡(luò)安全設(shè)計(jì) 項(xiàng)目實(shí)施目標(biāo)： ? 提高電子科技大學(xué)圖書館信息網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)系統(tǒng)整體的安全性。 ? 內(nèi)部網(wǎng)絡(luò)用戶可以使用防火墻的 NAT 功能實(shí)現(xiàn)對(duì) Inter 透明地訪問，同時(shí)對(duì)外部網(wǎng)絡(luò)隱藏了內(nèi)部的網(wǎng)絡(luò)拓?fù)洹? 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 ? 實(shí)現(xiàn)對(duì)電子科技大學(xué)圖書館信息網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊行為預(yù)警， 及時(shí)發(fā)現(xiàn)并響應(yīng)不安全的操作和攻擊行為，并作日志記錄。分為三個(gè)方面： ? 在圖書館中各個(gè)服務(wù)器上運(yùn)用服務(wù)器防毒產(chǎn)品－ ServerProtect， 實(shí)時(shí)檢測(cè)并清除各種病毒、自動(dòng)更新及傳送病毒碼文件、提供詳細(xì)病毒事件報(bào)告，為內(nèi)部服務(wù)器的病毒防護(hù)提供強(qiáng)有力的保障。以 NT/2021 服務(wù)器為例，它會(huì)遭受大量引導(dǎo)型病毒、 DOS 病毒、３２位 Windows 病毒以及宏病毒等的攻擊，更為常見的是，由于 文件服務(wù)器為網(wǎng)絡(luò)中所有工作站提供文件資源共享，因而也成為病毒理想的隱身寄居場(chǎng)所，進(jìn)而將病毒輕易擴(kuò)散到網(wǎng)絡(luò)中的所有工作站上。目前， TREND 科技的ServerProtect 能夠支持包括 Netware 、 NT 及 Alpha NT 為平臺(tái)的多種文件服務(wù)器的病毒防護(hù)。 ? 在圖書館內(nèi)部網(wǎng)中所有的工作站上安裝工作站版防毒軟件－ OfficeScan。考慮到網(wǎng)絡(luò)中的工作站數(shù)量，如果需要靠網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝單機(jī)防病毒軟件，費(fèi)時(shí)費(fèi)力，同時(shí)難以實(shí)施統(tǒng)一的防病毒策四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 略，日后的維護(hù)和更新工作也十分繁瑣。 ? 郵件的病毒防護(hù) 隨著電子郵件應(yīng)用日益普及，病毒入侵的管道又增加了一個(gè)。 TREND 科技針對(duì)不同群組軟件和郵件服務(wù)器產(chǎn)品于 1995 年開發(fā)了 ScanMail 系列防病毒產(chǎn)品，使網(wǎng)絡(luò)防毒體系結(jié)構(gòu)中又增加了一層關(guān)卡，確保經(jīng)由圖書館郵件服務(wù)器的郵件附件隨時(shí)處于病毒免疫狀態(tài)。不但滿足企業(yè)網(wǎng)管人員有效簡(jiǎn)化防毒系統(tǒng)管理流程的需求，同時(shí)亦為網(wǎng)絡(luò)防毒樹立了新的服務(wù)標(biāo)準(zhǔn)。使用 TMCM 后，網(wǎng) 管人員可以使用瀏覽器為應(yīng)用界面，在企業(yè)網(wǎng)內(nèi)部的任意工作站或通過 Inter實(shí)現(xiàn)對(duì)跨地區(qū)、跨平臺(tái)的企業(yè)防毒系統(tǒng)實(shí)施統(tǒng)一管理和監(jiān)控。 為什么選擇趨勢(shì)防毒軟件？ 趨勢(shì)防病毒軟件優(yōu)勢(shì)所在 ? 全球化的技術(shù)革新： 自 1989 年以來，趨勢(shì)科技一直是防毒軟件市場(chǎng)的先驅(qū)者。 ? 服務(wù)器市場(chǎng) 的領(lǐng)導(dǎo)者： 趨勢(shì)科技是服務(wù)器防毒軟件領(lǐng)域的全球領(lǐng)先者，在Inter 網(wǎng)關(guān)領(lǐng)域具有 60%以上的市場(chǎng)占有率（資料來源： 2021 年 IDC 報(bào)告）。 服務(wù)和技術(shù)支持： 趨勢(shì)科技的產(chǎn)品和服務(wù)以強(qiáng)大的 TrendLabs 為后盾，這個(gè)領(lǐng)先業(yè)界的防毒研發(fā)及技術(shù)支持中心，能夠?qū)崟r(shí)監(jiān)控全球安全威脅，以最快的速度提供識(shí)別、偵測(cè)和清除新病毒的防毒技術(shù)。 ? 網(wǎng)關(guān)防病毒系統(tǒng)：利用網(wǎng)關(guān)在網(wǎng)絡(luò)中的特殊位置，使得電腦病毒 在進(jìn)入內(nèi)部網(wǎng)之前即被阻截。保證工作站免受病毒侵害的同時(shí)，也大減輕安全管理員的工作強(qiáng)度。 ? TREND 防毒中央控管系統(tǒng)（ Trend Micro Control Manager）： TMCM 是一個(gè)使企業(yè)MIS 人員可以通過 Inter/Intra 控管企業(yè)網(wǎng)絡(luò)中所有防毒軟件的一個(gè)管理工具。 防火墻系統(tǒng)實(shí)施 防火墻配置說明 在電子科技大學(xué)圖書館中 ，信息網(wǎng)絡(luò)系統(tǒng)主要是連接校園 網(wǎng)和 INTERNET， 提供對(duì)內(nèi)、對(duì)外高質(zhì)量的服務(wù)，圖書館核心網(wǎng)絡(luò)作為各個(gè)部門、辦公室的網(wǎng)絡(luò)匯聚點(diǎn)，因此在網(wǎng)絡(luò)安全設(shè)備的選型上一定得綜合考慮設(shè)備的性能、功能、價(jià)格要素； 同時(shí)圖書館網(wǎng)絡(luò)系統(tǒng)中的核心接入節(jié)點(diǎn)作為整個(gè)圖書館網(wǎng)絡(luò)的門戶節(jié)點(diǎn)，應(yīng)嚴(yán)格控制從外界進(jìn)入內(nèi)部網(wǎng)絡(luò)的訪問，因此從性、價(jià)比考慮，我們建議選用三星信息安全的 SecuiWALL NXG200 防火墻系統(tǒng)對(duì)外聯(lián)網(wǎng)絡(luò)出口、對(duì)外服務(wù)器、內(nèi)部用戶工作用機(jī)進(jìn)行安全隔離。 防火墻的具體配置結(jié)構(gòu)示意圖如下所示： 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號(hào) 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 圖書館網(wǎng)絡(luò)防火墻配置示意圖（一） 考慮到圖書館整個(gè)內(nèi)部網(wǎng)絡(luò)的具體規(guī)模比較大，總共的用戶節(jié)點(diǎn)達(dá)到了 400 個(gè)以上，相應(yīng)的應(yīng)用服務(wù)器也有很多、內(nèi)部網(wǎng)對(duì)訪問外部網(wǎng)的應(yīng)用需求和各部門單位對(duì)圖書館的應(yīng)用服務(wù)器的訪問需求，為了在功能上滿足整個(gè)圖書館網(wǎng)絡(luò)系統(tǒng)的要求，并且在性能上不會(huì)成為網(wǎng)絡(luò)的瓶頸，因此決定在此選用三星