網(wǎng)吧安全解決方案

1、網(wǎng)吧安全解決方案 目錄一、概述3二、網(wǎng)吧概況3三、網(wǎng)吧需求分析4四、網(wǎng)吧布局4五、風險分析55.1、網(wǎng)吧網(wǎng)絡風險分析55.1.1、線路穩(wěn)定和網(wǎng)絡帶寬保證。65.1.2、黑客入侵、病毒感染。65.1.3、不良網(wǎng)站和信息的訪問。75.1.4、網(wǎng)絡平臺的安全風險分析75.1.5、系統(tǒng)的安全風險分析75.1.6、應用的安全風險分析75.1.7、管理的安全風險分析85.2、物理環(huán)境所產生的不安全因素8六、安全解決方案86.1、網(wǎng)絡安全解決方案86.2、物理環(huán)境安全解決方案96.3、管理安全解決方案96.4、網(wǎng)絡平臺安全解決方案10七、 網(wǎng)吧拓撲圖10 一、概述隨著Internet在全球的廣泛推廣，用戶數(shù)

2、量的迅速增加，使Internet成為全球通信的熱點。我國作為信息產業(yè)的后起之秀，網(wǎng)絡發(fā)展更是迅速。目前我國網(wǎng)民的數(shù)量也呈現(xiàn)出了高速增長的態(tài)勢。與此同時，各大城市的網(wǎng)吧也得到了迅猛的發(fā)展。但同時也隱含了許多嚴重的問題，網(wǎng)吧多為規(guī)模小，分布散亂，管理混亂。而今，網(wǎng)吧經營者的審查制、對網(wǎng)吧的大規(guī)模連鎖經營的鼓勵，各級文化公安部門對網(wǎng)吧的統(tǒng)一管理等等都使得網(wǎng)吧業(yè)產生了一個極大的變化。一方面，大量小且不規(guī)范的網(wǎng)吧面臨淘汰，另一方面，大量有規(guī)模和實力的網(wǎng)吧開始重建。因而加強對網(wǎng)吧的管理，保障網(wǎng)吧安全迫在眉睫。二、網(wǎng)吧概況微視界網(wǎng)吧處于中心城區(qū)靠近商業(yè)街繁華地段與部分學校之間，占地面積為250平米，基本成長

3、方形，長25M，寬10M。面對的主要客戶為有一定消費能力的學生、網(wǎng)游愛好者等。網(wǎng)吧整體風格以藍色和紫色作為基調，給人簡約、活潑、夢幻之感。網(wǎng)吧布局主要分為游戲大廳、高配置體驗區(qū)、vip包間、監(jiān)控室、前臺。網(wǎng)吧網(wǎng)絡系統(tǒng)總體上是一個星型結構的網(wǎng)絡，網(wǎng)吧接入Internet方式根據(jù)微視界網(wǎng)吧的情況和網(wǎng)絡規(guī)模采用ADSL（非對稱數(shù)字用戶環(huán)路）寬帶接入方式，網(wǎng)吧的網(wǎng)絡應用包含Internet訪問，寬帶電影瀏覽以及聯(lián)網(wǎng)游戲等。具有信息共享、傳遞迅速、使用方便、高效率等特點的處理系統(tǒng)。三、網(wǎng)吧需求分析 隨著互聯(lián)網(wǎng)的發(fā)展，國內的網(wǎng)吧行業(yè)發(fā)展非常迅速。網(wǎng)吧聊天、看新聞、互動學習、玩網(wǎng)絡游戲等等已成為現(xiàn)代中國人特

4、別是青年一代社交和娛樂的一種形式。他們對于互聯(lián)網(wǎng)有很大的需求。網(wǎng)吧是網(wǎng)絡應用中一個比較特殊的環(huán)境，概括起來有以下幾個方面的需求和特點：1、需要給用戶提供網(wǎng)頁瀏覽、收發(fā)郵件、QQ聊天、網(wǎng)絡游戲、網(wǎng)絡教育、網(wǎng)上電影、網(wǎng)上其它各類服務，并且同一用戶可能同時進行多種活動。2、上規(guī)模的網(wǎng)吧內部配置游戲服務器、電影服務器、VOD點播服務器等，用戶通過局域網(wǎng)玩游戲、看電影等。3、隨著網(wǎng)民要求的提高，對網(wǎng)絡穩(wěn)定性、網(wǎng)絡速度提出了越來越高的要求，對網(wǎng)絡設備穩(wěn)定性和可靠性提出了要求。4、在環(huán)境方面需要保證足夠的安全性、舒適性。四、網(wǎng)吧布局網(wǎng)吧具體布局如下圖：網(wǎng)吧采用星型網(wǎng)絡結構，這樣方便管理，布線靈活方便，使用交

5、換機交換到平面可以提供100m的網(wǎng)絡速度。在網(wǎng)吧游戲大廳的圓形平臺內放置四個24口配線架交換機和一個核心交換機。路由器、交換機都放到中間的圓形平臺內，外部網(wǎng)光纖也都是接入此，然后再連接到服務器和各個客戶終端。五、風險分析5.1、網(wǎng)吧網(wǎng)絡風險分析隨著Internet網(wǎng)絡急劇擴大和上網(wǎng)用戶迅速增加，風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風險正日益嚴重。針對這個企業(yè)局域網(wǎng)中存在的安全隱患，在進行安全方案設計時，下述安全風險必須要考慮，并且要針對面臨的風險，采取相應的安全

6、措施。風險由多種因素引起，與網(wǎng)吧的局域網(wǎng)結構和系統(tǒng)的應用、局域網(wǎng)內網(wǎng)絡服務器的可靠性等因素密切相關。網(wǎng)絡安全可以從以下三個方面來理解：1 網(wǎng)絡物理是否安全;2 網(wǎng)絡平臺是否安全;3 系統(tǒng)是否安全;4 應用是否安全;5 管理是否安全。目前網(wǎng)吧可能面臨的風險有：5.1.1、線路穩(wěn)定和網(wǎng)絡帶寬保證。無論是采用ADSL接入或者專線接入的網(wǎng)吧，由于長時間連續(xù)和公網(wǎng)連接，容易成為黑客攻擊和利用的目標，如果沒有有效的防護措施，極有可能成為黑客攻擊他人的跳板，這不僅僅會帶了網(wǎng)絡的安全問題，同時還會使網(wǎng)絡性能下降，帶寬降低。5.1.2、黑客入侵、病毒感染。隨著計算機技術的不斷進步，黑客和病毒技術也在不斷發(fā)展，并

7、且有日益融合的趨勢。僅靠簡單的防病毒軟件，已經很難防止網(wǎng)絡蠕蟲病毒的擴散和傳播，必須采用防病毒、防火墻、入侵檢測等多種技術的有機結合才能起到比較好的防護、阻擋作用，最近的“沖擊波”病毒就是一個很好的例子。5.1.3、不良網(wǎng)站和信息的訪問。國家政策明文規(guī)定，限制互聯(lián)網(wǎng)上網(wǎng)服務營業(yè)場所經營單位和上網(wǎng)消費者對某些不良站點和信息的訪問，并且要求用戶上網(wǎng)記錄有據(jù)可查。也就是說網(wǎng)吧經營者必須加強對用戶網(wǎng)絡行為管理。5.1.4、網(wǎng)絡平臺的安全風險分析網(wǎng)絡結構的安全涉及到網(wǎng)絡拓撲結構、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境等。整個網(wǎng)絡結構和路由狀況安全的應用往往是建立在網(wǎng)絡系統(tǒng)之上的。網(wǎng)絡系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功

8、的建設。在網(wǎng)吧局域網(wǎng)系統(tǒng)中，只使用了一臺路由器用作與internet連接的邊界路由，網(wǎng)絡結構相對簡單。網(wǎng)絡結構和網(wǎng)絡路由造成了安全風險。5.1.5、系統(tǒng)的安全風險分析沒有完全安全的操作系統(tǒng)。但是可以對現(xiàn)有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制，提高系統(tǒng)的安全性。加強登錄過程的認證(特別是在到達服務器主機之前的認證)，確保用戶的合法性，嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。5.1.6、應用的安全風險分析應用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：未經授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。對于網(wǎng)吧來說只有財務方面需考慮到，其他并不存

9、在機密性。5.1.7、管理的安全風險分析管理是網(wǎng)絡安全中最重要的部分管理是網(wǎng)絡中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。5.2、物理環(huán)境所產生的不安全因素網(wǎng)絡的物理安全的風險是多種多樣的。網(wǎng)絡的物理安全主要是指地震、水災、火災等環(huán)境事故。電源故障、人為操作失誤或錯誤、設備被盜、被毀、電磁干擾、線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統(tǒng)、安全意識等。六、安全解決方案6.1、網(wǎng)絡安全解決方案為防黑客入侵、病毒的影響，保證網(wǎng)吧數(shù)據(jù)的安全，要設置好外部網(wǎng)接入到網(wǎng)吧必須先經過路由器本身自帶著防火墻，同時也在服務器安裝殺毒

10、軟件防止外部入侵。其他防范主要在服務器中，具體如下1.在更改默認的管理員帳戶名（Administrator）和描述的同時也新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組不低于20位的密碼。將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼。2.裝殺毒軟件設置殺毒策略為清除病毒，清除失敗為刪除，設置windows自己帶的防火墻。3.在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數(shù)設為30分鐘”。 在安全設置

11、-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用 。在安全設置-本地策略-用戶權利分配中將“從網(wǎng)絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了A還要保留Aspnet賬戶。然后創(chuàng)建一個新賬戶，運行系統(tǒng)，用戶名和密碼自擬,如果要運行特權命令使用Runas命令。6.2、物理環(huán)境安全解決方案在網(wǎng)吧安裝避雷針等防雷設備，安裝火警鈴、放置滅火器等滅火器材。在網(wǎng)吧安裝監(jiān)控系統(tǒng)，以便監(jiān)控火災、盜竊等災害和行為。在網(wǎng)吧安裝防盜窗或其他防盜報警系統(tǒng)。在網(wǎng)吧安裝空調以保證網(wǎng)吧的溫度，對網(wǎng)吧的空氣進行過濾以免灰塵造成計算機的損壞。制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡

12、設備和機房的管理。6.3、管理安全解決方案 為了當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時(如內部人員的違規(guī)操作等)、能進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，能提供黑客攻擊行為的追蹤線索及破案依據(jù)，所以要對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。 建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合6.4、網(wǎng)絡平臺安全解決方案網(wǎng)絡系統(tǒng)配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡結構和網(wǎng)絡路由造成的安全風險。將內部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結構信息外泄;同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應