【正文】 網(wǎng)的網(wǎng)絡(luò)安全。s Box, the puter systems of the Inter, greatly expanded information resources sharing space at the same time, will be its own exposure to the more malicious attacks under. How to ensure that the work of information storage, processing and transmission of information security security, is the socalled puter work security. Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control。盡管企業(yè)現(xiàn)在依賴許多種安全技術(shù)來保護(hù)知識(shí)產(chǎn)權(quán)，但它們經(jīng)常會(huì)遇到這些技術(shù)所固有的限制因素難題。大多數(shù)技術(shù)都未能證實(shí)有至關(guān)重要的整合、正?；完P(guān)聯(lián)層，而它們正是有效安全信息管理基礎(chǔ)的組成部分。 有效的安全信息管理主要關(guān)鍵是要求企業(yè)管理其企業(yè)安全，并同時(shí)在風(fēng)險(xiǎn)與性能改進(jìn)間做到最佳平衡。通過本企業(yè)網(wǎng)絡(luò)安全技術(shù)及解決方案，使企業(yè)網(wǎng)絡(luò)可有效的確保信息資產(chǎn)保密性、完整性和可用性。本安全解決方案是在不影響該企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)局域網(wǎng)全面的安全管理。 (2) 定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。 (4) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。(5) 在服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門” 、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。 網(wǎng)絡(luò)安全系統(tǒng)的脆弱性計(jì)算機(jī)面臨著黑客、病毒、特洛伊木馬程序、系統(tǒng)后門和窺探等多個(gè)方面安全威脅。主要表現(xiàn)在他極易受到攻擊和侵害，他的抗打擊力和防護(hù)力很弱，其脆弱性主要表現(xiàn)在如下幾個(gè)方面。(2) 網(wǎng)絡(luò)系統(tǒng)的安全脆弱性? 網(wǎng)絡(luò)安全的脆弱性使用 TCP/IP 協(xié)議的網(wǎng)絡(luò)所提供的 FTP、Email、RPC 和 NFS 都包含許多不安全的因素。常見的后門有修改配置文件、建立系統(tǒng)木馬程序和修改系統(tǒng)內(nèi)核等。(3) 數(shù)據(jù)庫(kù)管理系統(tǒng)的安全脆弱性大量信息存儲(chǔ)在數(shù)據(jù)庫(kù)中，然而對(duì)這些數(shù)據(jù)庫(kù)系統(tǒng)在安全方面的考慮卻很少。(4) 防火墻的局限性防火墻依然存在著一些不能防范的威脅，例如不能防范不經(jīng)過防火墻的攻擊，及很難防范網(wǎng)絡(luò)內(nèi)部攻擊及病毒威脅等。人禍?zhǔn)侵溉藶橐蛩貙?duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的威脅，人禍可分為有意的和無意的，有意的是指人為的惡意攻擊、違紀(jì)、違法和計(jì)算機(jī)犯罪。(6) 其他方面的原因 如環(huán)境和災(zāi)害的影響，計(jì)算機(jī)領(lǐng)域中任何重大的技術(shù)進(jìn)步，都對(duì)安全性構(gòu)成 新的威脅等。 網(wǎng)絡(luò)安全模型 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的概念是相對(duì)的，每一個(gè)系統(tǒng)都具有潛在的危險(xiǎn)。 一個(gè)最常見的安全模型就是 PDRR 模型：PDRR 模型就是 4 個(gè)英文單詞的頭字符，Protection（防護(hù)） 、Detection（檢測(cè)） 、Response（響應(yīng)） 、Recovery（恢復(fù)） 。安全策略的第一部分就是防御。防御作為安全策略的第一個(gè)戰(zhàn)線。攻擊者如果穿過了防御系統(tǒng)，檢測(cè)系統(tǒng)就會(huì)檢測(cè)出來。一旦檢測(cè)出入侵，響應(yīng)系統(tǒng)開始響應(yīng)包括事件處理和其他業(yè)務(wù)。在入侵事件發(fā)生后，把系統(tǒng)恢復(fù)到原來的狀態(tài)。 企業(yè)局域網(wǎng)的應(yīng)用 企業(yè)的局域網(wǎng)可以為用戶提供如下主要應(yīng)用： (1) 文件共享、辦公自動(dòng)化、WWW 服務(wù)、電子郵件服務(wù)； (2) 文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)； (3) 針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開發(fā)(比如財(cái)務(wù)系統(tǒng))； (4) 提供與 Inter 的訪問； (5) 通過公開服務(wù)器對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等；東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)安全概述42 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析 這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較多的百兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上百個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門提供了一個(gè)快速、方便的信息交流平臺(tái)。通過公開服務(wù)器，企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。針對(duì)每一類安全風(fēng)險(xiǎn)，結(jié)合實(shí)際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個(gè)企業(yè)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。 公開服務(wù)器面臨的威脅 企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（WWW、EMAIL 等服務(wù)器）作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。每天，黑客都在試圖闖入 Inter 節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。在這個(gè)企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺(tái)路由器，作為與Inter 連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)的可靠性：對(duì)于中國(guó)來說，恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇，無論是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。但是，我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其操作權(quán)限限制在最小的范圍內(nèi)。因此，保證應(yīng)用系統(tǒng)的安全也是一個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。所以我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 (3) 不滿的內(nèi)部員工 不滿的內(nèi)部員工可能在 WWW 站點(diǎn)上開些小玩笑，甚至破壞。例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。公開服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到服務(wù)器的口令文件并將之送回。黑客還能開發(fā)欺騙程序，將其裝入服務(wù)器中，用以監(jiān)聽登錄會(huì)話。這時(shí)為了防止黑客，需要設(shè)置公開服務(wù)器，使得它不離開自己的空間而進(jìn)入另外的目錄。在這個(gè)企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、入侵檢測(cè)技術(shù)、訪問控制技術(shù)來保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。所以應(yīng)該加強(qiáng)對(duì)惡意代碼的檢測(cè)。病毒不是獨(dú)立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。能在Inter 上傳播的新型病毒，例如通過 EMail 傳播的病毒，增加了這種威脅的程度。 信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，通常包括信息在傳輸中或者存儲(chǔ)介質(zhì)中丟失、泄漏，或通過建立隱蔽隧道竊取敏感信息等。 拒絕服務(wù)攻擊：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。3 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案本公司有 100 臺(tái)左右的計(jì)算機(jī)，主要使用網(wǎng)絡(luò)的部門有：生產(chǎn)部(20)、財(cái)務(wù)部(15)、人事部(8)和信息中心(12)四大部分，如圖 所示。圖 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案9 企業(yè)局域網(wǎng)安全設(shè)計(jì)的原則 企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： 綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。因此分步實(shí)施，既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 安全服務(wù)、機(jī)制與技術(shù) 安全服務(wù)：控制服務(wù)、對(duì)象認(rèn)證服務(wù)、可靠性服務(wù)等； 安全機(jī)制：訪問控制機(jī)制、認(rèn)證機(jī)制等；安全技術(shù)：防火墻技術(shù)、病毒防治技術(shù)、攻擊檢測(cè)技術(shù)、審計(jì)監(jiān)控技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。 路由器安全配置 作為企業(yè)局域網(wǎng)與外部 Inter 互聯(lián)網(wǎng)絡(luò)連接的第一關(guān)，路由器的配置是很重要的，既要保證網(wǎng)絡(luò)的暢通，也不能忽略網(wǎng)絡(luò)的安全性而只取其一（我們所使用的是 Cisco 2514 路由器），因此，除了對(duì)路由器與 Inter 外網(wǎng)連接配置外，我們對(duì)路由器還采用了如下安全配置：(1) 路由器網(wǎng)絡(luò)服務(wù)安全配置a、禁止 CDP(Cisco Discovery Protocol)。Router(Config) no service tcpsmallserversRouter(Config) no service udpsmallservers c、禁止 Finger 服務(wù)。 Router(Config) no ip server 啟用了 HTTP 服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼，采用訪問列表進(jìn)行控制。Router(Config) no ip bootp server f、禁止 IP Source Routing。Router(Config) no ip directedbroadcast h、禁止 IP Classless。Router(Configif) no ip unreacheablesRouter(Configif) no ip redirectsRouter(Configif) no ip maskreply j、明確禁止不使用的端口。它能夠檢查源 IP 地址的準(zhǔn)確性，從而可以防止一定的 IP Spooling。uRPF 有三種方式，strict 方式、ACL 方式和 loose 方式。在出口路由器上實(shí)施時(shí)，采用 loose 方式。Loose 方式：interface pos 1/0ip ver unicast source reachablevia any這個(gè)功能檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包，在路由器的路由表中若沒有該數(shù)據(jù)包源 IP 地址的路由，路由器將丟棄該數(shù)據(jù)包。默認(rèn)的 OSPF 認(rèn)證密碼是明文傳輸?shù)?，建議啟用 MD5 認(rèn)證。 c、RIP 協(xié)議的認(rèn)證。建議啟用 RIPV2。普通認(rèn)證同樣是明文傳輸?shù)?。建議對(duì)于不需要路由的端口，啟用 passiveinterface。在 OSPF 協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。如：Router(Config) accesslist 10 deny 東華理工大學(xué)畢業(yè)設(shè)計(jì)（論文） 企業(yè)局域網(wǎng)的安全設(shè)計(jì)方案12Router(Config) accesslist 10 permit any ！禁止路由器接收更新 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 in！禁止路由器轉(zhuǎn)發(fā)傳播 網(wǎng)絡(luò)的路由信息Router(Config) router ospf 100Router(Configrouter) distributelist 10 out/PP(3) 路由器其他安全配置 a、IP 欺騙簡(jiǎn)單防護(hù)。過濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址()；RFC1918 私有地址；DHCP 自定義地址()；科學(xué)文檔作者測(cè)試用地址()；不用的組播地址()；SUN 公司的古老的測(cè)試地址(。Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip any Router(Config) accesslist 100 deny ip a