畢業(yè)論文企業(yè)內(nèi)網(wǎng)的安全性研究36701

1、緒 論2第一章：企業(yè)網(wǎng)絡(luò)安全分析3一、現(xiàn)狀分析31.1 internet的安全性31.2企業(yè)內(nèi)網(wǎng)的安全性41.3項(xiàng)目背景41.4項(xiàng)目分析61.4.1安全設(shè)備分布61.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀71.4.3服務(wù)器部署現(xiàn)狀71.4.4客戶端計(jì)算機(jī)81.4.5無(wú)線局域網(wǎng)安全現(xiàn)狀81.4.6網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析91.5項(xiàng)目需求111.5.1網(wǎng)絡(luò)安全需求111.5.2網(wǎng)絡(luò)訪問安全需求121.6項(xiàng)目規(guī)劃121.6.1服務(wù)器安全規(guī)劃131.6.2 客戶端安全規(guī)劃141.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃151.6.4無(wú)線準(zhǔn)備安全規(guī)劃161.6.5防火墻、ids、ips規(guī)劃171.6.6局域網(wǎng)接入安全規(guī)劃181.6.7inte

2、rnet 接入安全規(guī)劃181.6.8遠(yuǎn)程接入安全規(guī)劃191.6.9網(wǎng)絡(luò)可靠性規(guī)劃20第二章：企業(yè)網(wǎng)絡(luò)安全的實(shí)際應(yīng)用202.1企業(yè)網(wǎng)絡(luò)安全實(shí)施202.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施212.3訪問控制242.4入侵檢測(cè)242.5漏洞掃描252.6其它262.6.1應(yīng)用系統(tǒng)安全262.6.2 系統(tǒng)平臺(tái)安全262.6.3 應(yīng)用平臺(tái)安全262.7病毒防護(hù)262.8產(chǎn)品應(yīng)用272.9數(shù)據(jù)備份302.10安全審計(jì)312.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴312.12物理安全322.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換322.14應(yīng)用322.15防電磁輻射322.16網(wǎng)絡(luò)防雷332.17重要信息點(diǎn)的物理保護(hù)33摘 要網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信

3、息的安全性，包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個(gè)方面，它通過網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。建立了一套網(wǎng)絡(luò)安全系統(tǒng)是必要的。緒 論隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來(lái)，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國(guó)家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著

4、網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題。第一章：企業(yè)網(wǎng)絡(luò)安全分析隨著企業(yè)信息化的不斷推進(jìn)，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng)，尤其是企業(yè)網(wǎng)絡(luò)所面對(duì)的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相對(duì)淡漠），如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的

5、侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩?，F(xiàn)狀分析隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于internet/intranet環(huán)境中。但是，internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)損失。如何使信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。大型企業(yè)不斷發(fā)展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大，由于其自身業(yè)務(wù)的需要，在不同的地區(qū)建有分公司或分支機(jī)構(gòu)，本地龐大的in

6、tranet和分布在全國(guó)各地的intranet之間互相連接形成一個(gè)更加龐大的網(wǎng)絡(luò)。這樣一個(gè)網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競(jìng)爭(zhēng)力，同樣，這樣復(fù)雜的網(wǎng)絡(luò)面臨更多的安全問題。首先本地網(wǎng)絡(luò)的安全需要保證，同時(shí)總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)之間的機(jī)密信息傳輸問題，以及集團(tuán)的設(shè)備管理問題，這樣的網(wǎng)絡(luò)使用環(huán)境一般存在下列安全隱患和需求：1.1 internet的安全性目前互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，黑客與病毒無(wú)孔不入，這極大地影響了internet的可靠性和安全性，保護(hù)internet、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。1.2企業(yè)內(nèi)網(wǎng)的安全性 企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞

7、數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。具體表現(xiàn)如下： 計(jì)算機(jī)病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播。 內(nèi)部網(wǎng)絡(luò)可能被外部黑客攻擊。 對(duì)外的服務(wù)器（如：www、ftp、郵件服務(wù)器等）沒有安全防護(hù)，容易被黑客攻擊。 內(nèi)部某些重要的服務(wù)器或網(wǎng)絡(luò)被非法訪問，造成信息泄密。 內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡(luò)的安全隱患。 分支機(jī)構(gòu)網(wǎng)絡(luò)安全問題。 大量的垃圾郵件占用網(wǎng)絡(luò)和系統(tǒng)資源，影響正常的工作。 分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)連接安全和之間數(shù)據(jù)交換的安全

8、問題。 遠(yuǎn)程、移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)絡(luò)的安全訪問。1.3項(xiàng)目背景假設(shè)某企業(yè)擁有員工2000余人，公司總部坐落在省會(huì)城市高新技術(shù)開發(fā)區(qū)，包括4個(gè)生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在總公司進(jìn)行。該企業(yè)在外地另開設(shè)有兩家分公司，由總公司進(jìn)行統(tǒng)一管理和部署。目前，該企業(yè)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示，基本情況如下。1、公司局域網(wǎng)已經(jīng)基本覆蓋整個(gè)廠區(qū)，中心機(jī)房位于總公司，職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為“星型+樹型”，接入層交換機(jī)為cisco catalyst 2960，匯聚層交換機(jī)為cisco catalyst 3560，核心層交換機(jī)為cisco catalyst

9、35603、現(xiàn)有接入用戶數(shù)量為500個(gè)，客戶端均使用私有ip地址，通過防火墻或代理服務(wù)器接入internet。部分服務(wù)器ip地址為公有ip地址。4、internet接入?yún)^(qū)的防火墻主要提供vpn接入功能，用于遠(yuǎn)程移動(dòng)用戶或子公司網(wǎng)絡(luò)提供遠(yuǎn)程安全訪問。5、會(huì)議室、員工宿舍等場(chǎng)所部署無(wú)線接入點(diǎn)，實(shí)現(xiàn)隨時(shí)隨地?zé)o線漫游接入。6、服務(wù)器操作系統(tǒng)平臺(tái)多為windows server 2003 和 windows server 2008系統(tǒng)?？蛻舳讼到y(tǒng)為windows xp professional 和 windows 77、網(wǎng)絡(luò)中部署有web服務(wù)器，為企業(yè)網(wǎng)站運(yùn)行平臺(tái)。8、企業(yè)網(wǎng)絡(luò)辦公平臺(tái)為wss，文件服務(wù)

10、器可以為智能大廈的辦公用戶提供文件共享、存儲(chǔ)于訪問。9、e-mail、rtx為用戶員工之間的彼此交流，以及企業(yè)與外界的通信網(wǎng)絡(luò)。10、打印服務(wù)和傳真服務(wù)主要滿足企業(yè)用戶網(wǎng)絡(luò)辦公的應(yīng)用。11、企業(yè)分支結(jié)構(gòu)通過vpn方式遠(yuǎn)程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡(luò)中的共享資源。圖1-1 項(xiàng)目背景1.4項(xiàng)目分析在普通小型局域網(wǎng)中，最常見的安全防護(hù)手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡(luò)并無(wú)硬件防火墻，只是在路由器和交換機(jī)上進(jìn)行簡(jiǎn)單的訪問控制和數(shù)據(jù)包篩選機(jī)制就可以了。但是，在較大的企業(yè)網(wǎng)絡(luò)中，許多重要應(yīng)用都要依賴網(wǎng)絡(luò)，勢(shì)必對(duì)網(wǎng)絡(luò)的安全性的要求高一些，在部署網(wǎng)絡(luò)安全設(shè)備的同時(shí)，必須輔助多種訪問控

11、制與安全配置措施，加固網(wǎng)絡(luò)安全。1.4.1安全設(shè)備分布1. 防火墻由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當(dāng)接入設(shè)備，部署在網(wǎng)絡(luò)邊緣，防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會(huì)議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機(jī)和核心交換機(jī)之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風(fēng)險(xiǎn)通過核心設(shè)備傳播到整個(gè)網(wǎng)絡(luò)。2. ipsips（intrusion prevention system，入侵防御系統(tǒng)）部署在internet 接入?yún)^(qū)的路由器和核心交換機(jī)之間，用于掃描所有來(lái)自internet的信息，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。3. idsids（internet

12、 detection system，入侵檢測(cè)系統(tǒng)）本身是一個(gè)典型的探測(cè)設(shè)備，類似于網(wǎng)絡(luò)嗅探器，無(wú)需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集相應(yīng)的報(bào)文即可。ids無(wú)法跨越物理網(wǎng)段收集信息，只能收集所在交換機(jī)的某個(gè)端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的ids部署在安全需求最高的服務(wù)區(qū)，用于實(shí)時(shí)偵測(cè)服務(wù)器區(qū)交換機(jī)轉(zhuǎn)發(fā)的所有信息，對(duì)收集來(lái)的報(bào)文，ids將提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫(kù)，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)默認(rèn)的閥值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，ids將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。4. cisco security marscisco

13、security mars(monitoring analysis response system)是基于設(shè)備的全方位解決方案，是網(wǎng)絡(luò)管理的關(guān)鍵組成部分。mars可以自動(dòng)識(shí)別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡(luò)和安全部署協(xié)作，自動(dòng)識(shí)別并隔離網(wǎng)絡(luò)威脅，同時(shí)提出準(zhǔn)確的清除建議。在本例企業(yè)網(wǎng)絡(luò)中，mars直接連接在核心交換機(jī)上，用于收集經(jīng)過核心交換機(jī)的所有數(shù)據(jù)信息，自動(dòng)生成狀態(tài)日志，供管理員調(diào)閱。1.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀當(dāng)網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備，并且提供web管理方式，同時(shí)配置了基本的安全防御措施，如登陸密碼、用戶賬戶權(quán)限等。1. 交換機(jī)和路由器安全設(shè)置交換機(jī)的主要功

14、能就是提供網(wǎng)絡(luò)所需的接入接口。目前，該網(wǎng)絡(luò)中基于交換機(jī)的安全管理僅限于vlan劃分、enable密碼和telnet密碼等基本安全措施，并未進(jìn)行任何高級(jí)安全配置，如流量控制，遠(yuǎn)程監(jiān)控、ieee802.1x安全認(rèn)證等，存在較大的安全隱患。企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能，所以該網(wǎng)絡(luò)中的路由器上只配置簡(jiǎn)單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換，可以滿足基本的安全要求。2. 辦公設(shè)備安全配置企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機(jī)和傳真機(jī)，均支持網(wǎng)絡(luò)接入功能，部署在樓層的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施，致使網(wǎng)絡(luò)打印機(jī)和傳真機(jī)被濫用，造成不必要的資源浪費(fèi)。另

15、外，用戶計(jì)算機(jī)到打印機(jī)之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。1.4.3服務(wù)器部署現(xiàn)狀網(wǎng)絡(luò)中應(yīng)用服務(wù)器包括域控制器、dhcp服務(wù)器、文件服務(wù)器、傳真服務(wù)器、網(wǎng)絡(luò)辦公平臺(tái)、數(shù)據(jù)庫(kù)服務(wù)器等，其中有許多網(wǎng)絡(luò)服務(wù)合用一臺(tái)服務(wù)器，網(wǎng)絡(luò)中共有服務(wù)器10臺(tái)，通過單獨(dú)的交換機(jī)高速連接至核心交換機(jī)，完全采用鏈路冗余結(jié)束雙線連接，確保連接的可靠性。所有服務(wù)器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠(yuǎn)程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠(yuǎn)程登錄服務(wù)器，實(shí)現(xiàn)相應(yīng)的配置與管理任務(wù)。1.4.4客戶端計(jì)算機(jī)客戶端計(jì)算機(jī)主要以windows操作系統(tǒng)為主，極少數(shù)用戶是運(yùn)行l(wèi)inux和mac os操作

16、系統(tǒng)?？蛻舳擞?jì)算機(jī)的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個(gè)人防火墻、殺毒軟件等。因此，由于個(gè)別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時(shí)有發(fā)生。對(duì)于windows系統(tǒng)而言，應(yīng)用最多的windows xp professional和windows vista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如internet防火墻、windows防火墻、windows defender、windows update等，客戶端用戶只需對(duì)這些功能簡(jiǎn)單配置，即可增強(qiáng)系統(tǒng)安全性。另外，對(duì)于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如，統(tǒng)一配置客戶端計(jì)算機(jī)安全功能、增強(qiáng)網(wǎng)絡(luò)訪問控制、部署nap系統(tǒng)、部署w

17、sus服務(wù)器等。1.4.5無(wú)線局域網(wǎng)安全現(xiàn)狀 在企業(yè)網(wǎng)絡(luò)中部署無(wú)線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍，避免網(wǎng)絡(luò)布線對(duì)現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò)，充分享受無(wú)線暢游的便利。但是，由于無(wú)線網(wǎng)絡(luò)傳輸?shù)奶厥庑?，無(wú)線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡(luò)中的無(wú)線網(wǎng)絡(luò)安全問題，主要表現(xiàn)在以下幾個(gè)方面。1. wep密鑰發(fā)布問題802.11本身并未規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無(wú)關(guān)的安全渠道送到了工作站點(diǎn)上，而在實(shí)際應(yīng)用中，一般都是手工設(shè)置，并長(zhǎng)期固定使用4個(gè)可選密鑰之一。因此，當(dāng)工作站點(diǎn)增

18、多時(shí)，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，wlan將無(wú)安全性可言。2.wep用戶身份認(rèn)證方法的缺陷 802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開發(fā)系統(tǒng)認(rèn)證是默認(rèn)的認(rèn)證方法，任何移動(dòng)站點(diǎn)都可加入bss（basic service set,基本服務(wù)集），并可以跟ap（access point,接入點(diǎn)）通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認(rèn)證，也就不存在安全性。共享密鑰認(rèn)證是一種請(qǐng)求響應(yīng)認(rèn)證機(jī)制：ap在收到工作站點(diǎn)sta（static timing analysis，靜態(tài)時(shí)序分析）的請(qǐng)求接入消息時(shí)發(fā)送詢問消息，sta對(duì)詢問消息使用

19、共享密鑰進(jìn)行加密并送回ap，ap解密并校驗(yàn)消息的完整性，若成功，則允許sta接入wlan。攻擊者只需抓住加密前后的詢問消息，加以簡(jiǎn)單的數(shù)字運(yùn)算就可以得到共享密鑰生成的偽隨機(jī)密碼流，然后偽造合法的響應(yīng)消息通過ap認(rèn)證后接入wlan。3.ssid和mac地址過濾wep服務(wù)集標(biāo)識(shí)ssid由lucent公司提出，用于對(duì)封閉網(wǎng)絡(luò)進(jìn)行訪問控制。只有與ap有相同的ssid的客戶站點(diǎn)才允許訪問wlan。mac地址過濾的想法是ap中存有合法客戶站點(diǎn)mac地址列表，拒絕mac地址不在列表中的站點(diǎn)接入被保護(hù)的網(wǎng)絡(luò)。但由于ssid和mac地址很容易被竊取，因此安全性較低。4wep加密機(jī)制的天生脆弱性 wep加密機(jī)制的

20、天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因，wep2算法作為802.11i的安全標(biāo)準(zhǔn)，對(duì)現(xiàn)有系統(tǒng)改進(jìn)相對(duì)較小并易于實(shí)現(xiàn)。1.4.6網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：1內(nèi)部竊密和破壞企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計(jì)算機(jī))通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號(hào)和口令、重要文件等)，因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。2 搭線(網(wǎng)絡(luò))竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如sni

21、ffer等網(wǎng)絡(luò)協(xié)議分析工具，在internet網(wǎng)絡(luò)安全的薄弱處進(jìn)入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)講，由于存在跨越internet的內(nèi)部通信(與上級(jí)、下級(jí))這種威脅等級(jí)是相當(dāng)高的，因此也是本方案考慮的重點(diǎn)。3 假冒這種威脅既可能來(lái)自企業(yè)網(wǎng)內(nèi)部用戶，也可能來(lái)自internet內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。4 完整性破壞這種威脅主要

22、指信息在傳輸過程中或者存儲(chǔ)期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響。由于xxx企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過網(wǎng)絡(luò)對(duì)沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。5 其它網(wǎng)絡(luò)的攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到internet上的，這樣就有可能會(huì)遭到internet上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進(jìn)行防范。6 管理及操作人員缺乏安全知識(shí)由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息

23、的應(yīng)用和安全技術(shù)相對(duì)滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來(lái)對(duì)某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。7 雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等

24、引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。1.5項(xiàng)目需求由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機(jī)密信息，并且下設(shè)多個(gè)部門，所以對(duì)網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較高。無(wú)論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好安全防御工作。1.5.1網(wǎng)絡(luò)安全需求綜合項(xiàng)目成本和實(shí)際應(yīng)用等多方面因素，可以從如下幾個(gè)方面滿足用戶需求。一、將防火墻部署在網(wǎng)絡(luò)邊緣，用于隔離來(lái)自internet的所有網(wǎng)絡(luò)風(fēng)險(xiǎn)。二、在路由器和核心交換機(jī)之間部署ips，對(duì)全網(wǎng)的所有internet通信進(jìn)行檢測(cè)，以便可以自動(dòng)阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請(qǐng)求和危險(xiǎn)信息的傳輸。三、生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機(jī)連接至核

25、心交換機(jī)，在相應(yīng)的匯聚交換機(jī)上分別進(jìn)行適當(dāng)?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險(xiǎn)因素隔離在網(wǎng)絡(luò)局部。四、在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的vlan中，充分確保部門內(nèi)部和部門間的信息安全。五、在會(huì)議室和展示廳等移動(dòng)用戶比較集中的場(chǎng)所，部署無(wú)線接入系統(tǒng)，在無(wú)線接入點(diǎn)以及無(wú)線接入點(diǎn)連接的交換機(jī)上，分別部署相應(yīng)的安全防御措施，如ieee802.1x認(rèn)證、禁止廣播ssid、wep加密等。六、網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至核心交換機(jī)，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有mars系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機(jī)的數(shù)據(jù)通信，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問

26、等情況，并協(xié)助管理員制定相應(yīng)的解決方案。七、為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署ids，可以對(duì)服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。1.5.2網(wǎng)絡(luò)訪問安全需求由于公司大部分用戶信息安全意識(shí)較差，因此必須對(duì)安全需求較高的部門的用戶進(jìn)行集中管理，防止機(jī)密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠(yuǎn)程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助vpn技術(shù)實(shí)現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用windows update功能，但是每個(gè)用戶

27、都從微軟官方站點(diǎn)下載更新程序，會(huì)占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟windows update功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。二、網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴(yán)格防范。通常情況下，大部分用戶都安裝了殺毒軟件和個(gè)人防火墻軟件，可以起到一定的安全防護(hù)作用，但是未能升級(jí)病毒庫(kù)同樣可能感染病毒。更嚴(yán)重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險(xiǎn)的。三、網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對(duì)客戶端系統(tǒng)健康程度沒有任

28、何要求和限制。如果接入用戶的計(jì)算機(jī)已經(jīng)感染病毒，則病毒可能通過網(wǎng)絡(luò)快速蔓延至整個(gè)網(wǎng)絡(luò)的所有分支。四、遠(yuǎn)程訪問安全的保護(hù)。遠(yuǎn)程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實(shí)現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠(yuǎn)程訪問vpn技術(shù)本身就是具有一定的安全性，同時(shí)采用隧道和加密等多種技術(shù)，但是為了確保遠(yuǎn)程訪問的安全，應(yīng)加強(qiáng)遠(yuǎn)程訪問的保護(hù)與控制。1.6項(xiàng)目規(guī)劃網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要安全措施的保護(hù)，但是安全措施過于嚴(yán)格，就會(huì)影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴(yán)格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩取?.6.1服務(wù)

29、器安全規(guī)劃服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實(shí)現(xiàn)的，因此，無(wú)論是應(yīng)用程序出錯(cuò)，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若想做好服務(wù)器安全防護(hù)工作，必須從多方面入手。一、服務(wù)器硬件安全服務(wù)器硬件設(shè)備的維護(hù)主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護(hù)等。因?yàn)榉?wù)器的運(yùn)行是不間斷的，因此這些維護(hù)工作必須在確保服務(wù)器正常運(yùn)行的狀態(tài)下進(jìn)行。1、增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號(hào)、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機(jī)。2、定期

30、為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的，因此建議管員每個(gè)月定期拆機(jī)打掃一次。3、控制機(jī)房溫度和濕度。雖然服務(wù)器對(duì)工作環(huán)境的要求比較寬泛，但是當(dāng)服務(wù)器周邊環(huán)境比較惡劣時(shí)同樣會(huì)降低其處理速度和穩(wěn)定性。二、操作系統(tǒng)的安全服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略。1、對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對(duì)internet公開，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。2、應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。3、網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)

31、品。4、通過專業(yè)的安全工具（安全監(jiān)測(cè)系統(tǒng)）定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估。三、網(wǎng)絡(luò)應(yīng)用服務(wù)安全局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括www服務(wù)、ftp服務(wù)、dns服務(wù)、dhcp服務(wù)、active directory服務(wù)等，隨著服務(wù)器提供的服務(wù)越來(lái)越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對(duì)網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進(jìn)行設(shè)置，以增強(qiáng)其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下4層。1、網(wǎng)絡(luò)與應(yīng)用平臺(tái)安全：主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點(diǎn)安全、鏈路安全、拓?fù)浒踩⑾到y(tǒng)安全等方面來(lái)保障。信息系統(tǒng)的可靠性和可用性主要由計(jì)算機(jī)系統(tǒng)安全性決

32、定。2、應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認(rèn)、服務(wù)防攻擊、國(guó)家對(duì)應(yīng)用服務(wù)的管制等方面來(lái)保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等先關(guān)。3、信息存儲(chǔ)于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲(chǔ)時(shí)的完整性、機(jī)密性和不可否認(rèn)性。信息的完整性可以依靠報(bào)文鑒別機(jī)制；信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)來(lái)保障；信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來(lái)保障。4、信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國(guó)家安全，泄露國(guó)家機(jī)密或商業(yè)秘密，侵犯國(guó)家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動(dòng)。1.6.2 客戶端安全規(guī)劃目前

33、，windows xp和windows 7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對(duì)固定的客戶端計(jì)算機(jī)加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個(gè)方面做好客戶端計(jì)算機(jī)的安全防御工作。一、對(duì)于加入域的計(jì)算機(jī)可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩?。二、對(duì)于未加入域的計(jì)算機(jī)，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識(shí)，通過設(shè)置登錄密碼、計(jì)算機(jī)鎖定、防火墻等方式，確保系統(tǒng)安全。三、在網(wǎng)絡(luò)中部署wsus服務(wù)器，負(fù)責(zé)為所有客戶端計(jì)算機(jī)和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。四、在所有客戶端上部署symantec網(wǎng)絡(luò)防病毒客戶端軟件，并

34、接受服務(wù)器端的統(tǒng)一管理，開啟自動(dòng)更新病毒庫(kù)功能。五、靈活部署和運(yùn)用windows防火墻、windows defender等系統(tǒng)集成安全防護(hù)程序。1.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。一、 網(wǎng)絡(luò)設(shè)備的脆弱性通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購(gòu)入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時(shí)間內(nèi)保持相對(duì)穩(wěn)定地運(yùn)行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會(huì)成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個(gè)方面。1.提供不必要的網(wǎng)絡(luò)服務(wù)，提高了攻

35、擊者的攻擊機(jī)會(huì)。2.存在不安全的配置，帶來(lái)不必要的安全隱患。3.不適當(dāng)?shù)脑L問控制。4.存在系統(tǒng)軟件上的安全漏洞。5.物理上沒有得到安全存放，容易遭受臨近攻擊。針對(duì)這些與生俱來(lái)的安全弱點(diǎn)，用戶可以通過如下措施加固系統(tǒng)安全。1.禁用不必要的網(wǎng)絡(luò)服務(wù)。2.修改不安全的配置。3.利用最小特權(quán)原則嚴(yán)格對(duì)設(shè)備的訪問控制。4.及時(shí)對(duì)系統(tǒng)進(jìn)行軟件升級(jí)。5.提供符合ipp（information protection policy，信息保護(hù)策略）要求的物理保護(hù)環(huán)境。二、部署網(wǎng)絡(luò)安全設(shè)備局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測(cè)設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來(lái)自internet

36、的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部攻擊。入侵檢測(cè)設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護(hù)內(nèi)部服務(wù)器或局域網(wǎng)的安全。三、ios安全ios就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺(tái)。ios與計(jì)算機(jī)操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的ios，進(jìn)行各種破壞活動(dòng)，從而影響網(wǎng)絡(luò)的正常運(yùn)行。通常情況下，用戶可以從如下6個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的ios安全。1、配置登錄密碼，主要包括enable密碼和telnet密碼，必要時(shí)可以以加密方式存儲(chǔ)密碼，以確保其安全性。2、配置用戶訪問安全級(jí)別，為不同的管

37、理賬戶賦予不同的訪問和管理權(quán)限。3、控制終端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會(huì)話超時(shí)限制。4、配置snmp安全。snmp字符串用于驗(yàn)證用戶與交換機(jī)的連接，確保其身份的有效性，類似于用戶賬戶和密碼。5、及時(shí)備份ios映像，以便出現(xiàn)錯(cuò)誤操作或遭遇攻擊時(shí)可以迅速恢復(fù)。6、升級(jí)ios版本。ios的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補(bǔ)丁或升級(jí)ios版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。1.6.4無(wú)線準(zhǔn)備安全規(guī)劃無(wú)線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無(wú)線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展，主要用于移動(dòng)終端用戶提供網(wǎng)絡(luò)接入。該公司中的ap（access point,無(wú)線接入點(diǎn)）主要分布

38、在產(chǎn)品展示區(qū)和會(huì)議室，方面移動(dòng)用戶隨時(shí)隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手機(jī)等提供無(wú)線接入功能，在無(wú)線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時(shí)尚，對(duì)于管理員而言，無(wú)線網(wǎng)絡(luò)安全自然也就成了管理重點(diǎn)。在無(wú)線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。1、確保桌面計(jì)算機(jī)和服務(wù)器系統(tǒng)實(shí)現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門檻，即使攻擊者進(jìn)入了wlan，仍然很難滲透進(jìn)用戶的計(jì)算機(jī)。2、啟用無(wú)線ap和工作站所支持的最強(qiáng)wep。同時(shí)，確保擁有一個(gè)強(qiáng)健的wep密碼，這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)則。3、確保無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（ssid）不是可以輕松識(shí)別的。不要使用公司名稱、自己

39、的姓名或者地址作為ssid。4、如果無(wú)線ap支持ssid廣播，應(yīng)當(dāng)關(guān)閉。這個(gè)措施可以創(chuàng)建一個(gè)封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的ssid。5、使用ieee802.1x身份驗(yàn)證協(xié)議保護(hù)無(wú)線網(wǎng)絡(luò)的安全。6、在網(wǎng)絡(luò)中部署無(wú)線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無(wú)線接入點(diǎn)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊情況。1.6.5防火墻、ids、ips規(guī)劃在安全性需求較高的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻、ids和ips。一、網(wǎng)絡(luò)防火墻防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，如用戶和internet

40、之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過設(shè)定一定的篩選機(jī)制來(lái)決定允許或拒絕數(shù)據(jù)包通過，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計(jì)與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。二、idsids是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)，入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全，而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。ids通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的ids部署在服務(wù)器區(qū)的接入交換機(jī)處。ids能夠檢測(cè)到

41、的攻擊類型通常包括：系統(tǒng)掃描（system scanning）、拒絕服務(wù)（deny of service）和系統(tǒng)滲透（system penetration）。ids對(duì)攻擊的檢測(cè)方法主要包括：被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊者。ids的主要優(yōu)勢(shì)是監(jiān)聽網(wǎng)絡(luò)流量，但又不會(huì)影響網(wǎng)絡(luò)的性能。作為對(duì)防火墻的有益補(bǔ)充，ids能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。三、ips網(wǎng)絡(luò)中的ips主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無(wú)法解決的網(wǎng)絡(luò)攻擊，部署在

42、網(wǎng)絡(luò)中的internet接入?yún)^(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對(duì)于很多入侵攻擊仍然無(wú)計(jì)可施，而絕大多數(shù)ids系統(tǒng)都是被動(dòng)的，不是主動(dòng)的，即在攻擊實(shí)際發(fā)生前，往往無(wú)法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)ips則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出報(bào)警。ips是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將其傳送到內(nèi)部系統(tǒng)中。此時(shí)，有問題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)

43、據(jù)流的后續(xù)數(shù)據(jù)包，都能在ips中被清除掉。1.6.6局域網(wǎng)接入安全規(guī)劃nap技術(shù)nap（network access protection,網(wǎng)絡(luò)訪問保護(hù)）是microsoft在windows vista和windows server 2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。nap平臺(tái)提供了一套完整性校驗(yàn)的方法來(lái)判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對(duì)不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗(yàn)網(wǎng)絡(luò)訪問的主機(jī)的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。健康策略認(rèn)證：判斷計(jì)算機(jī)是否適應(yīng)健康策略的需求。網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計(jì)算機(jī)訪問。自動(dòng)補(bǔ)救：為不適應(yīng)策

44、略的計(jì)算機(jī)提供必要的升級(jí)，使其適應(yīng)健康策略。動(dòng)態(tài)適應(yīng)：自動(dòng)升級(jí)適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的計(jì)算機(jī)。1.6.7internet 接入安全規(guī)劃企業(yè)局域網(wǎng)采用共享方式接入internet，并將硬件防火墻cisco 5540部署在局域網(wǎng)邊緣。為了便于管理客戶端internet接入安全，在硬件防火墻的后面部署了forefront tmg服務(wù)器，可以提供如下功能。一、網(wǎng)絡(luò)防火墻 tmg服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實(shí)際需要制定internet訪問規(guī)則，例如限制特定的用戶訪問internet、禁止瀏覽視頻網(wǎng)站等。二、web訪問緩存。tmg服務(wù)器既是防火墻，又可以作為web訪問代

45、理服務(wù)器。管理員可以在tmg服務(wù)器上開辟專用于存儲(chǔ)客戶端請(qǐng)求的internet數(shù)據(jù)空間，暫時(shí)緩存常用數(shù)據(jù)。當(dāng)客戶端需要再次訪問這些internet數(shù)據(jù)時(shí)，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。三、安全vpn接入功能。通過tmg服務(wù)器創(chuàng)建vpn連接，能夠很輕松地建立起各種情況下的vpn連接。當(dāng)本地計(jì)算機(jī)要和遠(yuǎn)程計(jì)算機(jī)通過tmg服務(wù)器進(jìn)行通信時(shí)，數(shù)據(jù)封裝好后，將通過vpn進(jìn)行收發(fā)，充分確保通信過程的安全。1.6.8遠(yuǎn)程接入安全規(guī)劃目前，最常用的遠(yuǎn)程訪問方式是vpn，主流的安全技術(shù)包括ssl vpn和ipsec vpn。ssl vpn應(yīng)用比較簡(jiǎn)單，用戶無(wú)需進(jìn)行配置，基于web頁(yè)面即可實(shí)現(xiàn)。ip

46、sec vpn技術(shù)應(yīng)用比較廣泛，不再局限于web方式，同時(shí)由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。1、ipsec vpn 遠(yuǎn)程安全接入ipsec vpn 提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗(yàn)證、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（sa）密鑰老化等功能。ipsec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強(qiáng)度message digests(md-5)-hmac和160位強(qiáng)度安全散列算法（sha）-hmac。由于sha的強(qiáng)度更大。所以更加安全。2、ssl vpn 遠(yuǎn)程安全接入ssl vpn 是工作在應(yīng)用層和tcp層之間的遠(yuǎn)程接入技術(shù)。通常ssl vpn的實(shí)現(xiàn)方式是在企業(yè)

47、的防火墻后面放置一個(gè)ssl代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)url后，連接將被ssl代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后ssl代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。1.6.9網(wǎng)絡(luò)可靠性規(guī)劃對(duì)于企業(yè)網(wǎng)絡(luò)而言，許多金融、貿(mào)易、電子商務(wù)等活動(dòng)都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯(cuò)。在硬件設(shè)備方面，可以通過配置交換機(jī)生成樹、鏈路匯聚和鏈路冗余技術(shù)來(lái)提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時(shí)，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將多條鏈路聚合為

48、一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可以實(shí)現(xiàn)負(fù)載均衡，從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證internet連接的可靠性。在軟件方面則可以通過服務(wù)器群集技術(shù)和網(wǎng)絡(luò)負(fù)載均衡技術(shù)，來(lái)提高重要服務(wù)器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務(wù)器角色狀態(tài)信息備份、服務(wù)器系統(tǒng)備份、數(shù)據(jù)庫(kù)備份、網(wǎng)絡(luò)設(shè)備配置備份等。第二章：企業(yè)網(wǎng)絡(luò)安全的實(shí)際應(yīng)用一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又是按照木桶原理來(lái)實(shí)現(xiàn)的。

49、根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn) 網(wǎng)絡(luò)系統(tǒng)安全; 應(yīng)用系統(tǒng)安全; 物理安全; 安全管理;2.1企業(yè)網(wǎng)絡(luò)安全實(shí)施根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行實(shí)施： 網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù) 主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻 網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng) 廣域網(wǎng)接入部分的入侵檢測(cè)采用入侵檢測(cè)系統(tǒng) 系統(tǒng)漏洞分析采用漏洞分析設(shè)備 定期安全審計(jì)主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì) 重要數(shù)據(jù)的備份 重要信息點(diǎn)的防電磁泄露 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性 包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展 網(wǎng)絡(luò)防雷2.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施

50、企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與internet相連，通過adsl接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越internet的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而internet本身就缺乏有效的安全保護(hù)，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改。由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用vpn技術(shù)來(lái)構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用vpn設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套vpn設(shè)備，由vpn設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)

51、傳輸?shù)募用鼙Ｗo(hù)。根據(jù)企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，vpn設(shè)置如下圖所示： 圖2-1三級(jí) vpn設(shè)置拓?fù)鋱D每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)vpn設(shè)備和一臺(tái)vpn認(rèn)證服務(wù)器(vpn-ca)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)vpn設(shè)備，由上級(jí)的vpn認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的vpn設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。可達(dá)到以下幾個(gè)目的： 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);由安裝在網(wǎng)絡(luò)上的vpn設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸 網(wǎng)絡(luò)隔離保護(hù);與internet進(jìn)行隔離，控制內(nèi)網(wǎng)與internet的相互訪問 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性; 降低成本(設(shè)備成本和維

52、護(hù)成本);其中，在各級(jí)中心網(wǎng)絡(luò)的vpn設(shè)備設(shè)置如下圖：圖2-2 中心網(wǎng)絡(luò)vpn設(shè)置圖由一臺(tái)vpn管理機(jī)對(duì)ca、中心vpn設(shè)備、分支機(jī)構(gòu)vpn設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于vpn設(shè)備的dmz口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。下級(jí)單位的vpn設(shè)備放置如下圖所示：圖2-3下級(jí)單位vpn設(shè)置圖從圖2-3可知，下屬機(jī)構(gòu)的vpn設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這

53、種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來(lái)講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配

54、置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。2.3訪問控制企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來(lái)自internet上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的vpn設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求： 控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問; 控制外部合法用戶對(duì)服務(wù)器的訪問; 禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問; 控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò); 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊; 防止內(nèi)

55、部主機(jī)的ip欺騙; 對(duì)外隱藏內(nèi)部ip地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu); 網(wǎng)絡(luò)監(jiān)控; 網(wǎng)絡(luò)日志審計(jì);由于采用防火墻、vpn技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)： 管理、維護(hù)簡(jiǎn)單、方便; 安全性高(可有效降低在安全設(shè)備使用上的配置漏洞); 硬件成本和維護(hù)成本低; 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。2.4入侵檢測(cè)網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(ids)可與安全vpn系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)

56、見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送e-mail)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測(cè)系統(tǒng)的設(shè)置如下圖：從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與vpn設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過vpn設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)

57、控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知vpn設(shè)備中斷網(wǎng)絡(luò)(即ids與vpn聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。2.5漏洞掃描作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過程中會(huì)出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。本方案中，采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。2.6其它對(duì)復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當(dāng)特殊考慮，增加新的安全措施。2.