企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

1、信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)1河南理工大學(xué)計(jì)算機(jī)學(xué)院信息安課全程設(shè)計(jì)報(bào)告題目企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)學(xué)號(hào)班級(jí)網(wǎng)絡(luò)工程 06-1 班姓名嚴(yán)茵茵指導(dǎo)老師劉琨信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案摘 要：在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代， 許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的 IT 技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)來極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。 經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。 計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大， 網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文主要通

2、過安全體系建設(shè)原則、 實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述，為企業(yè)提供一個(gè)可靠地、完整的方案。關(guān)鍵詞：信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)一、引言隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet 環(huán)境中。但隨之而來的安全問題也在困擾著用戶。 Internet 所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。 一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)， 將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所

3、要考慮的重要事情之一。一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有 WEB 、E-mail 、OA 、MIS 、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。 而且隨著企業(yè)的發(fā)展， 網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來越復(fù)雜， 應(yīng)用系統(tǒng)也會(huì)越來越多。 但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來看， 通常包括內(nèi)部用戶， 也有外部用戶，以及內(nèi)外網(wǎng)之間。 因此，一般整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全問題：（1）Internet 的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。 對(duì)于企業(yè)級(jí)用戶， 每當(dāng)遭遇這些威脅時(shí)， 往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作

4、效率下降，直接或間接的經(jīng)濟(jì)損失也很大。信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3（2）企業(yè)內(nèi)網(wǎng)的安全性： 最新調(diào)查顯示， 在受調(diào)查的企業(yè)中 60% 以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。 對(duì)網(wǎng)絡(luò)的不正當(dāng)使用， 降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、 并引入病毒和間諜， 或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。 所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、 缺乏完整的安全策略、 缺乏監(jiān)控和防范技術(shù)手段、 缺乏有效的手段來評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、 缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

5、（ 3）內(nèi)部網(wǎng)絡(luò)之間、 內(nèi)外網(wǎng)絡(luò)之間的連接安全： 隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及， 逐漸形成了企業(yè)總部、 各地分支機(jī)構(gòu)、 移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營模式。 怎么處理總部與分支機(jī)構(gòu)、 移動(dòng)辦公人員的信息共享安全， 既要保證信息的及時(shí)共享， 又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。二、以某公司為例， 綜合型企業(yè)網(wǎng)絡(luò)簡圖如下， 分析現(xiàn)狀并分析需求：信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)4圖說明圖一 企業(yè)網(wǎng)絡(luò)簡圖對(duì)該公司的信息安全系統(tǒng)無論在總體構(gòu)成、 信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：（ 1）

6、系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。（ 2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)， 存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。（ 3）經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)， 計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大， 網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。 計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。（ 4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)， 這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。由以上分析可知該公司信息

7、系統(tǒng)存在較大的風(fēng)險(xiǎn)， 信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：（ 1）某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)， 也需要做好系統(tǒng)、 應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。（ 2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加， 以及新的攻擊手段的不斷出現(xiàn)， 使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。（ 3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)， 使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。（ 4）信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事

8、前、事中和事后的各項(xiàng)防范工作， 應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅， 也是某公司面臨的重要課題。三、設(shè)計(jì)原則安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下：信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)51. 標(biāo)準(zhǔn)化原則2. 系統(tǒng)化原則3. 規(guī)避風(fēng)險(xiǎn)原則4. 保護(hù)投資原則5. 多重保護(hù)原則6. 分步實(shí)施原則四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路1.安全系統(tǒng)架構(gòu)安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。隨著針對(duì)應(yīng)用層的攻擊越來越多、 威脅越來越大， 只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來

9、自應(yīng)用層的攻擊了。 舉個(gè)簡單的例子， 那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻 VPN 安全體系所無法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。 這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻 VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣， 這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì) 網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。 信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備， 安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示：

10、信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)6圖說明圖二網(wǎng)絡(luò)與信息安全防范體系模型3. 企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:圖說明 圖三總體安全結(jié)構(gòu)圖五、整體網(wǎng)絡(luò)安全方案1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)證書認(rèn)證系統(tǒng)無論是 企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)， 都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。 目前，解決這些安全 問題的最佳方案當(dāng)數(shù)應(yīng)用 PKI/CA 數(shù)字認(rèn)證服務(wù)。 PKI(Public Key Infrastructure ，公鑰基礎(chǔ)設(shè)施 )是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系， 它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題， 為

11、網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的 PKI/CA 數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)71）身份認(rèn)證 (Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。2）數(shù)據(jù)的機(jī)密性 (Confidentiality) ：對(duì)敏感信息進(jìn)行加密， 確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。3）數(shù)據(jù)的完整性 (Integrity) ：確保通信信息不被破壞 (截?cái)嗷虼鄹?)，通過哈希函數(shù)和數(shù)字簽名來完成。4）不

12、可抵賴性 (Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。2. VPN 系統(tǒng)VPN(Virtual Private Network) 虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng) (如 Internet)連接而成的邏輯上的虛擬專用網(wǎng)。 和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩?。通過安裝部署 VPN 系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法

13、的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN 的安全連接。集中的安全策略管理可以對(duì)整個(gè)VPN 網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。3. 網(wǎng)絡(luò)防火墻采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下：信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)8圖說明圖四防火墻此外在實(shí)際中可以增加入侵檢測(cè)系統(tǒng)， 作為防火墻的功能互補(bǔ)， 提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。4. 病毒防護(hù)系統(tǒng)應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略， 增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。 瑞星網(wǎng)

14、絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件， 通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)， 并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、 集中管理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件， 并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5. 對(duì)服務(wù)器的保護(hù)在一個(gè)企業(yè)中對(duì)服務(wù)器的保護(hù)也是至關(guān)重要的。 在這里我們選擇電子郵件為例來說明對(duì)服務(wù)器保護(hù)的重要性。電子郵件是 Internet 上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速 發(fā)展，電子郵件的使用日益廣泛， 成為人們交流的重要工具， 大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)， 電子郵件存在

15、著很大的安全隱患。目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持 S/MIME( Secure Multipurpose Internet Mail Extensions )，它是從 PEM(Privacy Enhanced Mail) 和MIME(Internet郵件的附件標(biāo)準(zhǔn)) 發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織( 根證書 ) 之間相互認(rèn)證， 整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖（透明方式

16、）:信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)9圖說明圖五郵件系統(tǒng)保護(hù)6. 關(guān)鍵網(wǎng)段保護(hù)企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對(duì)外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡圖如下圖六所示。圖說明圖六關(guān)鍵網(wǎng)段的防護(hù)7. 日志分析和統(tǒng)計(jì)報(bào)表能力對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄， 這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī) IP 地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過來源分析，目信息安全課程設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)10標(biāo)分析，類別分析等多種分析方式， 以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助

17、于管理人員提高網(wǎng)絡(luò)的安全管理。8. 內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控除對(duì)外的防護(hù)外，對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別度應(yīng)達(dá)到每一個(gè) URL 請(qǐng)求和每一個(gè) URL 請(qǐng)求的回應(yīng)。通過對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為， 提高工作效率， 同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。 因此對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起， 形成一個(gè)整體， 是針對(duì)客戶端安全的整體解決方案。 分別有以下幾種系統(tǒng)：1)

18、電子簽章系統(tǒng)利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入 OFFICE 系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。2) 安全登錄系統(tǒng)安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)， 只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。3)文件加密系統(tǒng)文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示：信息安全課程設(shè)

19、計(jì)企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)11圖說明圖七內(nèi)網(wǎng)綜合保護(hù)9. 移動(dòng)用戶管理系統(tǒng)對(duì)于企業(yè)內(nèi)部的筆記本電腦在外工作， 當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；?PKI 的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、 安全的身份認(rèn)證技術(shù)。 它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。 USB Key 是一種 USB 接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書， 利用 USB Key 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；?PKI 的 USB Key 的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、 應(yīng)用安全組件、 客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。六、方案的組織與實(shí)施方式由以上的分析及設(shè)計(jì)， 可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、 攻擊過程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全信息安