【正文】 像矛盾的兩個(gè)方面 ,總是不斷地向上攀升 ,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。對(duì)于這個(gè)問題，我們還沒有從 系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上產(chǎn)業(yè)上，政策上來發(fā)展它。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 3 數(shù)據(jù)加密技術(shù) 密碼技術(shù)是保障網(wǎng)絡(luò)安全的最基本、最核心的技術(shù)措施。加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。為防止信息被竊取，必須對(duì)所有 傳輸?shù)男畔⑦M(jìn)行加密。 就體制而言，目前的加密體制可分為：單密鑰加密體制和公用密鑰體制。這種加密方法的優(yōu)點(diǎn)是速度很快，很容易在硬件和軟件中實(shí)現(xiàn)。在公用密鑰體制中，信息 接受者可以把他的 放到 INTERNET的任意地方，或者用非密鑰的郵件發(fā)給信息的發(fā)送者，信息的發(fā)送者用他的公鑰加密信息后發(fā)給信息接收者，信息接收者則用他自己的私鑰解密信息?？傊?，密碼技術(shù)是網(wǎng)絡(luò)安全最有效地技術(shù)之一。酒店為了重要信息不被盜取，采用公用密鑰體制。大多數(shù)防火墻都采用多種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動(dòng)態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級(jí)別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 4 認(rèn)證技術(shù) 認(rèn)證技術(shù)就是驗(yàn)證一個(gè)用戶、系統(tǒng)或系統(tǒng)進(jìn)程的身份，當(dāng)這種驗(yàn)證發(fā)生時(shí)，依據(jù)系統(tǒng)管理員制定的參數(shù)而使真正的用戶或系統(tǒng)能夠獲得相應(yīng)的權(quán)限。常采用用戶名和口令等最簡單方法進(jìn)行用戶身份的認(rèn)證識(shí)別。 訪問授權(quán) 訪問授權(quán)主要是確認(rèn)用戶對(duì)某資源的訪問權(quán)限。由于數(shù)字簽名是利用密碼技術(shù)進(jìn)行的，所以其安全性取決于所采用的密碼體制的安全制度。但大家都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足安全的需要。可喜的是，隨著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)也能預(yù)防木馬及其他一些黑客程序的入侵。 入侵檢測(cè)技術(shù) 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況 下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。 安全掃描技術(shù) 網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。 安全掃描工具源于 Hacker 在入侵網(wǎng)絡(luò)系統(tǒng)時(shí)采用的 工具。 安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)。通常該類掃描器限制使用范圍 (IP 地址或路由器跳數(shù) )。在網(wǎng)絡(luò)內(nèi)進(jìn)行安全掃描非常耗時(shí)。通過 GUI 的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。 ? 是否支持可定制的攻擊方法。因?yàn)榫W(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對(duì)相同協(xié)議的實(shí)現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。 ? 更新周期。 ? 安全掃描器不能實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測(cè)試和評(píng) 價(jià)系統(tǒng)的安全性，并及時(shí)發(fā)現(xiàn)安全漏洞 。訪問控制是通過一個(gè)參考監(jiān)視器，在每一次用戶對(duì)系統(tǒng)目標(biāo)進(jìn)行訪問時(shí)，都由它來進(jìn)行調(diào)節(jié)，包括限制合法用戶的行為。 所有操作系統(tǒng)都支持訪問控制。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 7 第三章 酒店 網(wǎng)絡(luò)安全 總體設(shè)計(jì) 該方案 從 安全系統(tǒng)建設(shè)原則 、 酒店網(wǎng)絡(luò)安全拓?fù)鋱D、所需設(shè)備的作用和如何解決酒店網(wǎng)絡(luò)安全等方面進(jìn)行設(shè)計(jì) 。所需設(shè)備有 核心交換機(jī) DGS342 接入交換機(jī) DES302DES1228P+DWL3140AP 的產(chǎn)品組合 、 DFL2500 防火墻 、 DCSN4532 紅外防暴半球型網(wǎng)絡(luò)攝像機(jī) DCSN54 彩色 PT 半球型網(wǎng)絡(luò)攝像機(jī) 、 DCSN3530 高解析日夜 型網(wǎng)絡(luò)攝像機(jī) 。 安全系統(tǒng)建設(shè)原則 對(duì)酒店構(gòu)建一個(gè)網(wǎng)絡(luò)安全設(shè)計(jì)方案，有著它需要遵守的原則。下面對(duì) 這幾種 原則進(jìn)行 闡述。 技術(shù)先進(jìn)性原則 酒店網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的設(shè)計(jì)采用先進(jìn)的安全體系進(jìn)行結(jié)構(gòu)性設(shè)計(jì)，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備 ，實(shí)施中采用先進(jìn)可靠的工藝和技術(shù)，提高系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性 。安全系統(tǒng)實(shí)施方案的設(shè)計(jì)和施 工單位應(yīng)具備相應(yīng)資質(zhì)并可信 。 福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 8 技術(shù)與管理相結(jié)合原則 酒店網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時(shí)充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。 測(cè)評(píng)認(rèn)證原則 酒店網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計(jì)必須通過國家有關(guān)部門的評(píng)審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認(rèn)可 。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄 。 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 9 圖 31 酒店網(wǎng)絡(luò)安全拓?fù)鋱D 設(shè)備規(guī)劃 在酒店網(wǎng)絡(luò)中，設(shè)備的選擇是很重要的，根據(jù)酒店的需求，選擇所需設(shè)備構(gòu)建酒店網(wǎng)絡(luò)安全是很重要的一個(gè)環(huán) 節(jié)。 交換機(jī) 核心交換機(jī) DGS3426 可網(wǎng)管全千兆準(zhǔn)三層交換機(jī)， 24個(gè)固定 1000BaseT端口， 4個(gè) SFP COMBO端口，兩個(gè)擴(kuò)展插槽，可根據(jù)需要最多擴(kuò)充 2個(gè)萬兆端口，能夠完成全線速的轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)穩(wěn)定運(yùn)行，并可通過擴(kuò)展插槽選擇堆疊模塊，保持了良好的擴(kuò)充性，以適應(yīng)將來網(wǎng)絡(luò)規(guī)模有可能擴(kuò)大的情況。 接入交換機(jī) DES3026 可網(wǎng)管二層交換機(jī)， 24個(gè)百兆電口，兩個(gè)擴(kuò)展插槽（ DES3526為 可以網(wǎng)管三層交換機(jī)），在這個(gè)方案里，可以按需要擴(kuò)充千兆電口，或者千兆光口，然后上連到 DGS3426。另外， DES3026的端口隔離功能，能夠讓聯(lián)網(wǎng)用戶在物理上處于隔離狀態(tài)，從而保證上網(wǎng)客戶在局域網(wǎng)內(nèi)部的安全。 另外， DGS3426和 DES3026/3526都支持 DLink SIM（單IP管理）功能，利用此功能，能夠方便地用一個(gè) IP，通過 WEB方式來管理所有的相關(guān)交換機(jī)，以最經(jīng)濟(jì)的方式方便管理員對(duì)網(wǎng)絡(luò)進(jìn)行管理。 DWL3140AP采用了煙感外型設(shè)計(jì)，可以很方便的布放在樓道或房間的天花板上。領(lǐng)先的功能整合于單一設(shè)備中，提供多機(jī)一體的企業(yè)安全整合方案，配合「區(qū)域聯(lián)防」的先進(jìn)的功能，可與 DLink交換機(jī)進(jìn)行無縫整合，無論是執(zhí)行安全預(yù)警的工作或?qū)κ芨腥镜碾娔X進(jìn) 行隔離來防止惡意數(shù)據(jù)流蔓延，出色的表現(xiàn)實(shí)現(xiàn)酒店安全的最佳化投資。 根據(jù)酒店的 網(wǎng)絡(luò)應(yīng)有優(yōu)秀的 安全防范措施，抵御網(wǎng)絡(luò)病毒攻擊需進(jìn)行以下技術(shù)實(shí)施 ? 常見的病毒攻擊與防范 ? 殺毒軟件技術(shù)實(shí)施 ? 安全掃描技術(shù)實(shí)施 根據(jù) 網(wǎng)絡(luò)資源使用效率最大化 ，需進(jìn)行以下技術(shù)實(shí)施 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 11 ? 設(shè)置異常流量防護(hù) ? 設(shè)置 IP流量限制 ? 設(shè)置網(wǎng)絡(luò)連接限速 根據(jù) 部門增多，敏感部門的核心資料需要保證非授權(quán)無法訪問 ，需進(jìn)行以下技術(shù)實(shí)施 ? 加密技術(shù)實(shí)施 ? 認(rèn)證技術(shù)實(shí)施 ? 入侵檢測(cè)技術(shù)實(shí)施 ? 訪問控制技術(shù)實(shí)施 第 四 章 技術(shù) 具體 實(shí)施 酒店客戶來來往往，自帶筆記本電腦中可能存在許多病毒，酒店的網(wǎng)絡(luò)設(shè)計(jì)，需要將主要精力放在內(nèi)網(wǎng)安全的控制上，如內(nèi)網(wǎng) ARP 欺騙、內(nèi)網(wǎng)蠕 蟲病毒，內(nèi)外網(wǎng)的 DDOS 攻擊都是需要去防止的。出現(xiàn)問題后更能一目了然，查出問題的源頭，迅速解決。 常見的病毒攻擊與防范 沖擊波 /震蕩波病毒、 SQL 蠕蟲、偽造源地址 DDoS 攻擊、 ARP 欺騙，是在寬帶接 入的網(wǎng)吧、企業(yè)、小區(qū)局域網(wǎng)內(nèi)最常見的蠕蟲病毒攻擊形式。下面就來介紹一下，怎樣在 HiPER 安全網(wǎng)關(guān)內(nèi)快速診斷局域網(wǎng)內(nèi)電腦感染了這些蠕 蟲病毒，以及怎樣設(shè)置安全策略防止這些這些病毒對(duì)用戶上網(wǎng)造成影響。它不需要通過電子郵件 (或附件 )來傳播，更隱蔽，更不易察覺?！罢鹗幉ā辈《緯?huì)在網(wǎng)絡(luò)上自動(dòng)搜索系統(tǒng)有福建信息職業(yè)技術(shù)學(xué)院實(shí)務(wù)專題論文 12 漏洞的電腦，并直接引導(dǎo)這些電腦下載病毒文件并執(zhí)行，因此整個(gè)傳播和發(fā)作過程不需要人為干 預(yù)。造成局域網(wǎng)內(nèi)所有人網(wǎng)速變慢直至無法上網(wǎng)。 以其中的一臺(tái)主機(jī)為例，在這臺(tái)主機(jī)的安全網(wǎng)關(guān)上關(guān)閉該病毒向外發(fā)包的相關(guān)端口。 高級(jí)配置 2）業(yè)務(wù)策略配置，建立策略“ f_445” （可以自定義名稱），屏蔽目的端口為 TCP業(yè)務(wù)管理 高級(jí)配置 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“ f_445” 的策略（“ dns” 、“ dhcp”為系統(tǒng)自動(dòng)生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改），同時(shí)系統(tǒng)自動(dòng)生成一條名稱為“ grp1_other” 的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的正常進(jìn)行，需要將此策略動(dòng)作編輯為“允許”。 5）重復(fù)步驟 2），將其他沖擊波 /震蕩波端口 TCP 135/139/445/1025/4444/5554/9996等關(guān)閉。業(yè)務(wù)管理 高級(jí)配置 。 相關(guān)配置界面如下圖 酒店網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建 13 圖 業(yè)務(wù)策略配置圖 圖 業(yè)務(wù)策略列表圖 SQL蠕蟲病毒 SQL 是蠕蟲一個(gè)能自我傳播的網(wǎng)絡(luò)蠕蟲，專門攻擊有漏洞的微軟 SQL Server TCP 1433或者 UDP1434 端口，它會(huì)試圖在 SQL Server 系統(tǒng)上安裝本身并借以向外傳播，從而進(jìn)一步通過默認(rèn)系統(tǒng)管理員 SQL Service 帳號(hào)威脅遠(yuǎn)程系統(tǒng)。它會(huì)將這些文件拷貝至受感染計(jì)算機(jī)上，并將 SQL 管理員密碼改為一由四個(gè)隨機(jī)字母組成的字符串。造成局域網(wǎng)內(nèi)所有人網(wǎng)速變慢直至無法上網(wǎng)。 在安全網(wǎng)關(guān)上關(guān)閉該病毒的相關(guān)端口。224。 2）業(yè)務(wù)策略配置，建立策略“ f_1433”（可以自定義名稱），屏蔽目的端口為 TCP1433 的數(shù)據(jù)包，按照下圖進(jìn)行配置，保存。業(yè)務(wù)管 理224。 3）業(yè)務(wù)策略列表中，可以查看到上一步建立的“ f_1433”策略（“ dns”、“ dhcp”為系統(tǒng)自動(dòng)生成的允許 dns 和 dhcp 數(shù)據(jù)包的策略，不必修改），同時(shí)系統(tǒng)自動(dòng)生成一條名稱為“ grp1_other”的策略，該策略屏蔽了所有外出的數(shù)據(jù)包，為了保障其他上網(wǎng)的正常進(jìn)行，需要將此策略動(dòng)作編輯為“允許”。業(yè)務(wù)管理224。 4）在上表中，單擊策略名“ grp1_other”，在下面的表項(xiàng)中，將動(dòng)作由“禁止”編輯為“允許”，保存。 6）全局配置中，取消“允許其他用戶”的選中，選中“啟用業(yè)務(wù)管理”，保存。 DDoS 攻擊手段是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得 DoS 攻擊的困難程度加大了 目標(biāo)