【正文】 ，許多有遠(yuǎn)見的企業(yè)領(lǐng)導(dǎo)者都已感到企業(yè)信息化的重要性 ,陸續(xù)建立起了自己的企業(yè)網(wǎng)和 Intra 并通過各種 WAN 線路與 Inter 相連。國際互聯(lián)網(wǎng) Inter 在帶來巨大的資源和信息訪問的方便的同時(shí)，它也帶來了巨大的潛在的危險(xiǎn)，至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全的重要性。因此 ，我們應(yīng)該在積極進(jìn)行企業(yè)網(wǎng)建設(shè)的同時(shí)，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險(xiǎn)和漏洞降到最低。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來豐要以下幾個(gè)方面： 病毒感染 從“蠕蟲”病毒開始到 CIH、愛蟲病毒，病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅。 來自網(wǎng)絡(luò)外部的攻擊 這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。竊取機(jī)密信息，破壞信息內(nèi)容，造成應(yīng)用系統(tǒng)無法運(yùn)行。編程人員有時(shí)會(huì)在軟件中留有漏洞。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 5 經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。網(wǎng)絡(luò)情況有以下幾種。采取專線接入、 ADSL 接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺(tái)不等。 分散型 : 采取多分支機(jī)構(gòu)辦公及移動(dòng)辦公方式，各分支機(jī)構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。主要是通過 VPN 訪問公司主機(jī)設(shè)備及資料庫，通過郵件或內(nèi)部網(wǎng)進(jìn)行業(yè)務(wù)溝通交流。 綜合型企業(yè)網(wǎng)絡(luò)簡圖 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 7 第 3 章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 概要風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕 緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全 威脅，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到連上 Inter/Intrant 的其他的網(wǎng)絡(luò)；影響所及，西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 8 還可能涉及法律、金融等安全敏感領(lǐng)域。 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái) ，并對(duì)操作系統(tǒng)進(jìn)行安全配置。 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。這就需要我們對(duì)不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。其安全手段涉及 LDAP、DES、 RSA 等各種方式。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺(tái)，而且通過專業(yè)的安全工具不斷 發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。 信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。 管理是網(wǎng)絡(luò)中安全最最重要的部分。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。因此，網(wǎng)絡(luò)的安全建設(shè)是網(wǎng)絡(luò)安全建設(shè)過程中重要的一環(huán)。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。內(nèi)部不滿 的員工有的可能造成極大的安全風(fēng)險(xiǎn)。 。 。 。 。 。 。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 11 安全缺口 安全策略經(jīng)常會(huì)與用戶方便性相矛盾 ,從而產(chǎn)生相反的壓力 ,使安全措施與安全策略相脫節(jié)。為什么會(huì)存在安全缺口呢 ?有下面四個(gè)因素 : 網(wǎng)絡(luò)設(shè)備種類繁多 —— 當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備 ,從 Windows NT 和UNIX 服務(wù)器到防火墻、路由器和 Web 服務(wù)器 ,每種設(shè)備均有其獨(dú)特的安全狀況和保密功能 。 網(wǎng)絡(luò)的不斷變化 —— 網(wǎng)絡(luò)不是靜態(tài)的 ,一直都處于發(fā)展變化中。 用戶保安專業(yè)知識(shí)的缺乏 —— 許多組織所擁有的對(duì)網(wǎng)絡(luò)進(jìn)行有效保護(hù)的保安專業(yè)知識(shí)十分有限 ,這實(shí)際上是造成安全缺口最為主要的一點(diǎn)。 從企業(yè)內(nèi)部進(jìn)行評(píng)估 :考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī) 。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 12 第 4 章 中小型企業(yè) 網(wǎng) 絡(luò) 安全 的實(shí)現(xiàn)措施 計(jì)算機(jī)安全 訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 入網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。 對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的 口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6 個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 13 口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn) 證用戶的身份。用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、 限制用戶入網(wǎng)的工作站數(shù)量。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。 網(wǎng)絡(luò)的權(quán)限控制 網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。受托者指派和繼承權(quán)限屏蔽（ IRM）可作為其兩種實(shí)現(xiàn)方式。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 14 父目錄那里繼承哪些權(quán)限。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來描述。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和 文件的權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。 屬性安全控制 當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。 屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限對(duì)應(yīng)一張?jiān)L問控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問能力。屬性往往能 控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測和關(guān)閉的時(shí)間間隔。如西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 16 果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。自動(dòng)回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī) 進(jìn)行攻擊。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。如果用戶的網(wǎng)絡(luò)連入 Inter，那麼最好盡可能地把與 Inter 連接的機(jī)器與網(wǎng)絡(luò)的其余部分隔離開來。當(dāng)然，這種解決方案增加了機(jī) 器管理的難度。 最重要的是限制訪問。在機(jī)器上用戶僅需要一個(gè)用戶帳號(hào)，嚴(yán)格限制它的口令。這個(gè)方法保留一份使用根帳號(hào)者的記錄。但是， FTP 和 HTTP 是使用最普遍的服務(wù)。 與任何其它 Inter 服務(wù)一樣， FTP 一直是 （而且仍是）易于被濫用的。第一個(gè)危險(xiǎn)是配置不當(dāng)。 他們一旦進(jìn)入，下一個(gè)危險(xiǎn)是可能破壞信息。 最后一個(gè)危險(xiǎn)不必長篇累牘，這是因?yàn)樗粫?huì)造成破壞，而且是低水平的。這些文件無所不包，可以是盜版軟件，也可以是色情畫。發(fā)送者發(fā)現(xiàn)了一個(gè)他們有權(quán)寫 入和拷入可疑文件的 FTP 站點(diǎn)。 所有這些問題都是由未正確規(guī)定許可條件而引起的。當(dāng)用戶通過 FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。所有這些問題都是由未正確規(guī)定許可條件而引起的。當(dāng)用戶通過FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。 一般說 來， FTP 用戶不是用戶的系統(tǒng)中已經(jīng)有的。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。 將所有文件和目錄的主人放在根目錄下，不要放在 ftp 下。然后，將口令規(guī)定為 755（讀和執(zhí)行，但不能寫，除了主人之外）。盡管這個(gè)規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目 錄中來。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。接著將 ~ftp/usr/lib 上的口令改為 555，并建立主接收器。用戶可以用 mknod手工建立它們。 SCO文檔說用 cpio,但是 copy（非 cp）很管用。允許其他人寫入這個(gè)目錄，但不能讀。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕觥? . 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟 1) 限制對(duì)網(wǎng)關(guān)的訪問。不要允許關(guān)不信任任何機(jī)器。 網(wǎng)絡(luò)安全 物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。目前主要防護(hù)措施有兩類：