《信息安全技術(shù)課程設(shè)計(jì)》

1、信息安全技術(shù)課程設(shè)計(jì)題目：高校系統(tǒng)安全設(shè)計(jì)專業(yè)： 網(wǎng)絡(luò)工程 姓名： 魏奎，王凌云 班級(jí)： 1305021 學(xué)號(hào)： 28，33 指導(dǎo)老師: 宋車梅老師XX 高校是我省省屬重點(diǎn)大學(xué)。該校擁有已開(kāi)通信息點(diǎn) 1 萬(wàn)多個(gè)，上網(wǎng)電腦一萬(wàn)多臺(tái)，校園網(wǎng)師生用戶群多達(dá)2 萬(wàn)余人。校園網(wǎng)已經(jīng)成為全校師生員工日常學(xué)習(xí)、工作中不可或缺的重要信息平臺(tái)。XX 高校的網(wǎng)絡(luò)結(jié)構(gòu)分為核心、匯聚和接入 3 個(gè)層次，網(wǎng)絡(luò)類型分為教學(xué)子網(wǎng)、辦公子網(wǎng)、學(xué)生宿舍子網(wǎng)。接入方式包括撥號(hào)上網(wǎng)、寬帶接入、無(wú)線上聯(lián)等各種形式。校園網(wǎng)雙出口結(jié)構(gòu)，可以通過(guò) ChinaNet，也可以通過(guò)CERNET 進(jìn)入互聯(lián)網(wǎng)。學(xué)校有16 個(gè)C 的教育網(wǎng)IP 地址和

2、8 個(gè)ChinaNet 的IP 地址。校園網(wǎng)資源建設(shè)成效顯著，現(xiàn)有資源服務(wù)包括大學(xué)門戶網(wǎng)站、新聞網(wǎng)站、各學(xué)院和職能部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務(wù)、電子校務(wù)、畢博輔助教學(xué)平臺(tái)、在線電視、VOD點(diǎn)播、音樂(lè)欣賞、公用FTP、文檔下載、軟件下載、知識(shí)園地、站點(diǎn)導(dǎo)航、在線幫助、系統(tǒng)補(bǔ)丁、網(wǎng)絡(luò)安全、個(gè)人主頁(yè)、計(jì)費(fèi)服務(wù)、VPN、DHCP、域名服務(wù)等。還有外語(yǔ)學(xué)習(xí)平臺(tái)，圖書(shū)館豐富的電子圖書(shū)資源，教務(wù)處的學(xué)分制教學(xué)信息服務(wù)網(wǎng)、科技處的科研管理平臺(tái)等。眾多的資源服務(wù)構(gòu)成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務(wù)。二、 網(wǎng)絡(luò)安全需求分析將安全策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止

3、非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。 通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。 通過(guò)對(duì)校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問(wèn)題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：1. 公開(kāi)服務(wù)器的安全保護(hù)2.

4、 防止黑客從外部攻擊3. 入侵檢測(cè)與監(jiān)控4. 信息審計(jì)與記錄5. 病毒防護(hù)6. 數(shù)據(jù)安全保護(hù)7. 數(shù)據(jù)備份與恢復(fù)8. 網(wǎng)絡(luò)的安全管理針對(duì)校內(nèi)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問(wèn)題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：1.大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；2.保持網(wǎng)絡(luò)原有的能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無(wú)需更改網(wǎng)絡(luò)設(shè)置；3.易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；5.安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；6.安全產(chǎn)品具有合法性，及經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)

5、可或認(rèn)證；7.分布實(shí)施。三、 網(wǎng)絡(luò)體系架構(gòu)要建立一套全面的信息安全系統(tǒng)，就要從自身的應(yīng)用狀況分析，分析可能存在安全漏洞，從重要性、緊迫性出發(fā)，逐一提供建設(shè)參考。1.區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對(duì)外接口（互聯(lián)網(wǎng)接口、上級(jí)門、下級(jí)單位、同級(jí)部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對(duì)外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過(guò)防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)部用戶的上網(wǎng)行為；通過(guò)防火墻驗(yàn)證訪問(wèn)內(nèi)部的用戶身份、訪問(wèn)權(quán)限等；通過(guò)入侵防護(hù)檢測(cè)訪問(wèn)者的訪問(wèn)行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?duì)數(shù)據(jù)進(jìn)行加密，可以通過(guò)防火墻的VP

6、N模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標(biāo)，市場(chǎng)上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架構(gòu)，ASIC芯片級(jí)的防火墻把大部分處理通過(guò)芯片來(lái)完成，不再占用CPU資源，具有更好的處理性能。2.建立多層次、全方面的防病毒系統(tǒng)1) 根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng)2) 根據(jù)病毒傳播的途徑，在網(wǎng)關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁(yè)、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)3) 在內(nèi)部交換層，通過(guò)硬件的網(wǎng)絡(luò)防毒墻對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測(cè)，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲(chóng)、惡意攻擊行為的防護(hù)，

7、保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通。3.加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個(gè)網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來(lái)自外部和內(nèi)部的攻擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對(duì)操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁；為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對(duì)核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對(duì)交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。同時(shí)，把安裝重要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過(guò)磁盤陣列或磁帶機(jī)進(jìn)行存儲(chǔ)、備份。對(duì)于網(wǎng)站系統(tǒng),可以通過(guò)主頁(yè)防篡改系統(tǒng)、防DOS攻擊系統(tǒng)加強(qiáng)對(duì)網(wǎng)站的防護(hù)。4.加強(qiáng)數(shù)據(jù)備份數(shù)據(jù)資源是一個(gè)單位的最為重要資源,一但數(shù)據(jù)丟失所造

8、成的損失是無(wú)法彌補(bǔ)的.因此必須加對(duì)數(shù)據(jù)的保存和備份?，F(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過(guò)磁盤陣列來(lái)完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。一般情況，可以通過(guò)磁帶機(jī)對(duì)磁盤陣列的數(shù)據(jù)進(jìn)行再次備份；也可以通過(guò)另一臺(tái)磁盤陣列進(jìn)行數(shù)據(jù)的相互備份。通過(guò)專用的備份軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)、文件資源、應(yīng)用系統(tǒng)及整個(gè)的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份，并提供相應(yīng)用恢復(fù)方案。5.加強(qiáng)應(yīng)用系統(tǒng)的安全防護(hù)對(duì)于擁有獨(dú)立郵件系統(tǒng)的網(wǎng)絡(luò)需要加強(qiáng)垃圾郵件的過(guò)濾。對(duì)于應(yīng)用系統(tǒng)必須加強(qiáng)用戶身份認(rèn)證，通過(guò)身份認(rèn)證控制用戶的使用權(quán)限。身份認(rèn)證可以通過(guò)應(yīng)用系統(tǒng)中的用戶管理系統(tǒng)實(shí)現(xiàn)，也可以通過(guò)專業(yè)的身份認(rèn)證系統(tǒng)，考慮到終端用戶對(duì)帳號(hào)、密碼的管理能力較差，建

9、議可采用第三方生物識(shí)別設(shè)備實(shí)現(xiàn)終端用戶的帳號(hào)、密碼的管理。6.加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠以上的安全設(shè)備是不能解決問(wèn)題的，三分技術(shù)七分管理，必須加強(qiáng)對(duì)信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理。可以通過(guò)網(wǎng)絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對(duì)信息系統(tǒng)的運(yùn)行狀況一目了然。網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備和實(shí)現(xiàn)：1) 獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況。2) 監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測(cè)控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理。3) 監(jiān)控服務(wù)器、主機(jī)、磁盤陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的對(duì)主機(jī)設(shè)備進(jìn)行

10、配置和管理。4) 監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對(duì)用戶進(jìn)行訪問(wèn)控制、記錄訪問(wèn)及操作日志。5) 管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制。6) 監(jiān)測(cè)及控制終端用戶對(duì)電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為。7) 實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新。8) 限制不安全的設(shè)備的接入。以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。7.漏洞掃描、安全評(píng)估僅管如上所述，我們己經(jīng)采取了眾多的安全措施，但是，我們的信息系統(tǒng)是一個(gè)不斷建設(shè)完善的系統(tǒng)，在系統(tǒng)的不斷建設(shè)過(guò)程，仍然會(huì)出現(xiàn)一些新的安全漏洞，安全系統(tǒng)的是否部署到位

11、，我們的信息系統(tǒng)是否仍然存在安全隱患，作為信息系統(tǒng)的管理人員仍然需要進(jìn)行定期的安全檢查。漏洞掃描系統(tǒng)就是檢查信息系統(tǒng)是否存在安全隱患的最佳工具，我們可以通過(guò)專用的漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)終端進(jìn)行全面的檢測(cè)，通過(guò)模擬黑客的進(jìn)攻方法，對(duì)被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險(xiǎn)評(píng)估報(bào)告，并提供相應(yīng)的整改措施。找出網(wǎng)絡(luò)中存在的漏洞，防患于未然。8.安全管理及培訓(xùn)1) 制定并實(shí)施信息安全制度2) 加強(qiáng)網(wǎng)絡(luò)安全意識(shí)的教育和培養(yǎng)3) 加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)4) 定期進(jìn)行終端安全產(chǎn)品的應(yīng)用操作指導(dǎo)四、 網(wǎng)絡(luò)安全體系架構(gòu)1.2. 操作系統(tǒng)安全配置與測(cè)試 應(yīng)用服務(wù)器（WWW）安全配置

12、 操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等?？梢酝ㄟ^(guò)IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號(hào)燈多種方法來(lái)提高WWW服務(wù)器的安全性。通過(guò)局域網(wǎng)網(wǎng)內(nèi)不同主機(jī)對(duì)服務(wù)器的訪問(wèn)來(lái)測(cè)試配置情況。3. 防病毒體系設(shè)計(jì)防病毒系統(tǒng)不僅是檢測(cè)和清除病毒，還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過(guò)管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無(wú)

13、毒，首先要保證每一個(gè)局域網(wǎng)的安全無(wú)毒。也就是說(shuō)，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。4. 防火墻設(shè)計(jì)、配置與測(cè)試網(wǎng)絡(luò)建成后，為保證整個(gè)網(wǎng)絡(luò)正常地運(yùn)行、防止計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)的侵害、防止“黑客”入侵就變得尤其重要。主要表現(xiàn)在以下幾方面：身份認(rèn)證、訪問(wèn)授權(quán)、數(shù)據(jù)保密、數(shù)據(jù)完整、審計(jì)記錄、防病毒入侵。網(wǎng)絡(luò)安全是有層次的，在不同層次，安全的著重點(diǎn)也不同，大致歸納起來(lái)可將網(wǎng)絡(luò)安全劃分成兩個(gè)層次：網(wǎng)絡(luò)層

14、安全和應(yīng)用層安全。因此，此次設(shè)計(jì)選用iscosecurePIX防火墻。CiscoSecurePIX防火墻是Cisco防火墻家族中的專用防火墻設(shè)施，是防火墻市場(chǎng)中的領(lǐng)先產(chǎn)品，CiscoSecurePIX防火墻可提供強(qiáng)大的安全，且不影響網(wǎng)絡(luò)性能。它可提供全面的防火墻保護(hù)，對(duì)外部世界完全隱藏了內(nèi)部網(wǎng)體系結(jié)構(gòu)。通過(guò)CiscoSecurePIX防火墻可以建立使用標(biāo)準(zhǔn)的虛擬專網(wǎng)VPN連接。CiscoSecurePIX防火墻加強(qiáng)了內(nèi)部網(wǎng)、外部網(wǎng)鏈路和Internet之間的安全訪問(wèn)。五、 安全產(chǎn)品選型1.產(chǎn)品選型該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機(jī)RG-S5750S系列，24端口10/100/1000M自適應(yīng)

15、端口（支持PoE遠(yuǎn)程供電），12個(gè)復(fù)用的SFP接口，2個(gè)擴(kuò)展槽。支持4K個(gè)802.1Q VLAN、支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。防火墻采用深信服M5400VPN防火墻。2個(gè)LAN口，4個(gè)WAN口，2個(gè)串口 。IPSec VPN隧道數(shù)：5200 條/并發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會(huì)話數(shù)：500/最大并發(fā)會(huì)話數(shù)目：600,000 。接入層采用H3C S1048交換機(jī)，提供48個(gè)符合IEEE802.3

16、u標(biāo)準(zhǔn)的10/100M自適應(yīng)以太網(wǎng)接口，所有端口均支持全線速無(wú)阻塞交換以及端口自動(dòng)翻轉(zhuǎn)功能，外形采用19英寸標(biāo)準(zhǔn)機(jī)架設(shè)計(jì)。符合IEEE802.3、IEEE802.3u和IEEE802.3x標(biāo)準(zhǔn)； 提供48個(gè)10/100M自適應(yīng)以太網(wǎng)端口； 每個(gè)端口都支持Auto-MDI/MDIX功能； 每個(gè)端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。2.網(wǎng)絡(luò)拓?fù)鋱D六、 安全策略制定1.操作系統(tǒng)安全配置與應(yīng)用服務(wù)器（WWW）安全配置操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：然后建立網(wǎng)站文件夾目錄：性能與目錄安全性配置：2.防病毒體系設(shè)計(jì)

17、防病毒系統(tǒng)不僅是檢測(cè)和清除病毒，還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動(dòng)防御體系（防病毒系統(tǒng)）還要采用主動(dòng)防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過(guò)管理控制臺(tái)統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級(jí)防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個(gè)廣域網(wǎng)安全無(wú)毒，首先要保證每一個(gè)局域網(wǎng)的安全無(wú)毒。也就是說(shuō)，一個(gè)企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)

18、合，最終形成一個(gè)立體的、完整的病毒防護(hù)體系。 1) 構(gòu)建控管中心集中管理架構(gòu)2) 構(gòu)建全方位、多層次的防毒體系3) 構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)4) 構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)5) 構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系6) 病毒防護(hù)能力7) 系統(tǒng)服務(wù)8) 資源占用率9) 系統(tǒng)兼容性10) 病毒庫(kù)組件升級(jí)11) 軟件商的企業(yè)實(shí)力七、 產(chǎn)品配置1. 操作系統(tǒng)的安全配置和測(cè)試1) 物理安全設(shè)備的無(wú)人監(jiān)控，加鎖，防潮2) 停止Guest帳號(hào)3) 限制用戶數(shù)量對(duì)于Windows NT/2000主機(jī)，如果系統(tǒng)帳戶超過(guò)10個(gè)4) 多個(gè)管理員帳號(hào)創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來(lái)處理電子郵件以及處理一些日常事物，另一個(gè)擁

19、有Administrator權(quán)限的帳戶只在需要的時(shí)候使用5) 管理員帳號(hào)改名6) 陷阱帳號(hào)創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼7) 更改默認(rèn)權(quán)限共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶8) 安全密碼要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。9) 屏幕保護(hù)密碼10) NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。11) 防毒軟件設(shè)置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了，并且要經(jīng)常升級(jí)病

20、毒庫(kù)。12) 備份盤的安全不能把資料備份在同一臺(tái)服務(wù)器上，這樣的話還不如不要備份2. 服務(wù)器系統(tǒng)的漏洞掃描和測(cè)試1) 機(jī)器有些用戶沒(méi)有密碼，有些用戶有些簡(jiǎn)單的密碼2) 不是所有的硬盤都是用的NTFS文件系統(tǒng)3) 設(shè)置匿名登錄的最大數(shù)量和權(quán)限4) 沒(méi)有設(shè)置自動(dòng)更新5) 沒(méi)有設(shè)置用戶登錄密碼的過(guò)期時(shí)間6) LLS的鎖定工具沒(méi)在機(jī)器上運(yùn)行7) 一些LLS的實(shí)例應(yīng)用程序安裝在機(jī)器上了8) 父路徑在一些網(wǎng)站或虛擬目錄被啟用9) MSADC , SCrits虛擬目錄在一個(gè)或更多的網(wǎng)站下面10) Internet explorer 對(duì)用戶沒(méi)有安全的設(shè)置3. 惡意代碼的防范系統(tǒng)設(shè)計(jì)1) 裝一款技術(shù)比較先進(jìn)和成

21、熟的查毒軟件，并自動(dòng)升級(jí)，系統(tǒng)要打最新的 補(bǔ)丁。2) 系統(tǒng)是人開(kāi)發(fā)的，任何系統(tǒng)都存在漏洞，所以要做好數(shù)據(jù)的備份，這里 我們選擇差分備份，一旦機(jī)器中了病毒和木馬，可以在很短的時(shí)間內(nèi)回復(fù)。3) 在交換機(jī)上配置ACL Deny一些惡意代碼常用的端口：Ip access-list exten 100access-list 100 deny tcp any any eq 135access-list 100 deny tcp any any eq 136access-list 100 deny tcp any any eq 139access-list 100 deny tcp any any eq 4

22、45access-list 100 deny tcp any any eq 4444access-list 100 deny udp any any eq 135access-list 100 deny udp any any eq 136access-list 100 deny udp any any eq 445access-list 100 deny udp any any eq 4444access-list 100 deny udp any any eq netbios-ssaccess-list 100 deny udp any any eq netbios-nsaccess-list 100 deny udp any any eq netbios-dgmaccess-list 100 permit ip any anyinter f0/1 24ip access-group 100 in4. 防火墻的配置NAT，dhcp 的配置ip nat inside source list 1 interface Serial