精品資料（2021-2022年收藏的）畢業(yè)設(shè)計(jì)論文中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)

1、 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 I優(yōu)質(zhì)資料 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 II中小型網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)摘要：中小企業(yè)在業(yè)務(wù)中對(duì)于信息技術(shù)和網(wǎng)絡(luò)的依賴程度越來越高，必須引起對(duì)信息安全的重視。然而，由于企業(yè)將主要的精力集中在各種業(yè)務(wù)應(yīng)用的開展上，再加之受限于資金、技術(shù)、人員以及安全意識(shí)等多方面因素，信息安全建設(shè)往往相對(duì)滯后。部分企業(yè)已經(jīng)采用了“防火墻+防病毒”的基本安全措施，但很多中小企業(yè)什么安全保護(hù)措施都沒有，不能不讓人為此擔(dān)憂。 隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，各種依托網(wǎng)絡(luò)開展的攻擊技術(shù)也得到了蔓延。黑客攻擊手段越來越豐富，各類破壞力較大的攻擊工具、

2、文摘在網(wǎng)上唾手可得；中小企業(yè)的安全現(xiàn)狀常常使得他們成了黑客攻擊破壞的首選 “試驗(yàn)品” 。另外病毒的發(fā)展已經(jīng)遠(yuǎn)遠(yuǎn)超過人們預(yù)期的想象，破壞性越來越嚴(yán)重；加上企業(yè)內(nèi)部信息安全管理制度的疏漏，為一些不法人員提供了大量的犯罪途徑。中小企業(yè)迅速建立完善的信息安全體制已經(jīng)勢(shì)在必行。關(guān)鍵字：中小型企業(yè)；網(wǎng)絡(luò)；安全 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 IIISmall and medium-sized network security planning and design Abstract: the small and medium-sized enterprise in the busi

3、ness for the information technology and network more and more rely on the information security, must cause the attention. However, because the enterprise will mainly focus on the various business applications development, coupled with the limited funds, technology, personnel and security awareness a

4、nd other factors, the information security construction and often relatively lag. Some enterprises have adopted the firewall and antivirus basic security measures, but many small and medium-sized enterprise what safety protection measures are not, let a person worry about.With the rapid development

5、of network technology, a variety of relying on network attack technology is also spread. Hackers means more and more abundant, all kinds of destructive force larger attack tools, abstracts online with extreme ease; small and medium-sized enterprise security status often makes them into a hacker atta

6、ck preferred test materials. Another virus development has far exceeded the expectations of imagination, damage is more and more serious; plus enterprise internal information security management system for omissions, some unscrupulous persons to provide a large number of pathways in crime. Small and

7、 medium-sized enterprises rapidly establish and improve the information security system has be imperative.Key words: Small and medium-sized enterprises; network security 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 IV目目 錄錄第 1 章 緒論 .1第 2 章 網(wǎng)絡(luò)環(huán)境現(xiàn)狀 .32.1 網(wǎng)絡(luò)環(huán)境介紹 .32.2 中小型網(wǎng)絡(luò)情況分析 .5第 3 章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 .73.1 概要風(fēng)險(xiǎn)分析 .73.2 實(shí)際風(fēng)險(xiǎn)分析

8、 .103.3 安全缺口 .113.4 網(wǎng)絡(luò)安全評(píng)估 .11第 4 章 中小型企業(yè)網(wǎng)絡(luò)安全的實(shí)現(xiàn)措施 .124.1 計(jì)算機(jī)安全 .124.1.1 訪問控制策略.124.1.2 確保網(wǎng)絡(luò)安全的措施 .164.1.3. 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟 .184.2 網(wǎng)絡(luò)安全 .194.3 網(wǎng)絡(luò)安全原則 .23第 5 章 實(shí)現(xiàn)中小型企業(yè)網(wǎng)絡(luò)安全的規(guī)劃與設(shè)計(jì) .245.1 整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu) .245.2 整體安全防護(hù)體系 .255.3 INTERNET 和信息發(fā)布服務(wù).265.4 INTERNET 和內(nèi)部網(wǎng).27結(jié) 論 .33致 謝 .34參考文獻(xiàn) .35西南科技大學(xué)高等教育自學(xué)考試（信息管理與服

9、務(wù)）畢業(yè)論文1第 1 章 緒論國內(nèi)中小企業(yè)信息化已經(jīng)得到了迅速的發(fā)展，而且發(fā)揮著越來越重要的作用，由于受資金、安全意識(shí)方面的限制，信息安全建設(shè)相對(duì)嚴(yán)重滯后。目前，很多企業(yè)已經(jīng)建立了防火墻+防病毒的安全體系，是否就能取得較好的安全效果呢？事實(shí)表明，這樣的安全措施還是不夠的。蠕蟲的爆發(fā)、網(wǎng)站遭到破壞、內(nèi)部信息資外泄中小企業(yè)會(huì)遇到許多 “成長中的煩惱”比如：外部安全 隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接

10、或間接的經(jīng)濟(jì)損失也很大。 內(nèi)部安全 最新調(diào)查顯示，在受調(diào)查的企業(yè)中 60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。 內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全 隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文2的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各

11、地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。本次論文將結(jié)合實(shí)際采用最合理的方式來對(duì)中小企業(yè)網(wǎng)絡(luò)進(jìn)行規(guī)劃與設(shè)計(jì)。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文3第 2 章 網(wǎng)絡(luò)環(huán)境現(xiàn)狀2.1 網(wǎng)絡(luò)環(huán)境介紹信息化已成為國際性發(fā)展趨勢(shì)，作為國民經(jīng)濟(jì)信息化的基礎(chǔ)，企業(yè)信息化建設(shè)受到國家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網(wǎng)絡(luò)的建設(shè)是基礎(chǔ)，從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展的現(xiàn)狀來看，Intranet 是得到廣泛認(rèn)同的企業(yè)網(wǎng)絡(luò)模式。Intranet 并不完全是原來局域網(wǎng)的概念，通過與 Internet 的聯(lián)結(jié)，企業(yè)網(wǎng)絡(luò)的范圍可以是跨地區(qū)的，甚至跨國界的?，F(xiàn)在，隨著信息化技術(shù)的飛速發(fā)展 ，Inte

12、rnet 的發(fā)展已成燎原之勢(shì)，隨著WWW 上商業(yè)活動(dòng)的激增，Intranet 也應(yīng)運(yùn)而生。近幾年，許多有遠(yuǎn)見的企業(yè)領(lǐng)導(dǎo)者都已感到企業(yè)信息化的重要性,陸續(xù)建立起了自己的企業(yè)網(wǎng)和 Intranet 并通過各種WAN 線路與 Internet 相連。許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的 IT 技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。國際互聯(lián)網(wǎng) Internet 在帶來巨大的資源和信息訪問的方便的同時(shí)，它也帶來了巨大的潛在的危險(xiǎn)，至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全的重要性。在我國網(wǎng)絡(luò)急劇發(fā)展還是近幾年的事，而在國外企業(yè)網(wǎng)領(lǐng)域出現(xiàn)的安全事故已經(jīng)是

13、數(shù)不勝數(shù)。因此，我們應(yīng)該在積極進(jìn)行企業(yè)網(wǎng)建設(shè)的同時(shí)，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗(yàn)，在網(wǎng)絡(luò)安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險(xiǎn)和漏洞降到最低。使已經(jīng)花了不少財(cái)力、人力和時(shí)間后，建立起來的網(wǎng)絡(luò)真正達(dá)到預(yù)想的效果。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文4影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來豐要以下幾個(gè)方面：1、病毒感染從“蠕蟲”病毒開始到 CIH、愛蟲病毒，病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播，它很容易地通過代理服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò)，竊取網(wǎng)絡(luò)信息，造成很人的損失。2、來自網(wǎng)絡(luò)外部

14、的攻擊這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。3、來自網(wǎng)絡(luò)內(nèi)部的攻擊在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。竊取機(jī)密信息，破壞信息內(nèi)容，造成應(yīng)用系統(tǒng)無法運(yùn)行。4、系統(tǒng)的漏洞及“后門”操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時(shí)會(huì)在軟件中留有漏洞。一旦這個(gè)疏漏被不法分子所知，就會(huì)借這個(gè)薄弱環(huán)節(jié)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。西南科技大學(xué)高等

15、教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文5經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。2.2 中小型網(wǎng)絡(luò)情況分析 中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及管理方式的不同有著不同的網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)。網(wǎng)絡(luò)情況有以下幾種。集中型:中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善

16、的網(wǎng)絡(luò)布局。采取專線接入、ADSL 接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺(tái)不等。網(wǎng)絡(luò)中有的劃分了子網(wǎng)，并部署了與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫、郵件服務(wù)器、文檔資料庫、甚至 ERP 服務(wù)器等。分散型:采取多分支機(jī)構(gòu)辦公及移動(dòng)辦公方式，各分支機(jī)構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專線接入，一般分支采取 ADSL 接入方式。主要是通過 VPN 訪問公司主機(jī)設(shè)備及資料庫，通過郵件或內(nèi)部網(wǎng)進(jìn)行業(yè)務(wù)溝通交流。綜合型:西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文6集中型與分散型的綜合。綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文7第 3

17、 章 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析3.1 概要風(fēng)險(xiǎn)分析1.物理安全分析 網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來說物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙

18、機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。 2.網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)。 假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息，假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)電腦安全受損(被攻擊或者被病毒感染)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到連上 Internet/Intrant 的其他的網(wǎng)絡(luò)；影響所西南科技大學(xué)高等教育自學(xué)考試（信息

19、管理與服務(wù)）畢業(yè)論文8及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開服務(wù)器（WEB、DNS、EMAIL 等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。3.操作系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇，無論是 Microsfot 的 Windows NT 或者其它任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其后門。因此，我們可以得出如下結(jié)論：沒有完全安全

20、的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證） ，確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 4.應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)

21、、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等 應(yīng)用的安全涉及方面很多，以目前 Internet 上應(yīng)用最為廣泛的 E-mail 系統(tǒng)來西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文9說，其解決方案有 sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS 等不下二十多種。其安全手段涉及 LDAP、DES、RSA 等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺(tái)，而且通過

22、專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。 5.管理的安全分析 管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度

23、不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等） ，無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文10最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)

24、。一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。因此，網(wǎng)絡(luò)的安全建設(shè)是網(wǎng)絡(luò)安全建設(shè)過程中重要的一環(huán)。 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡(jiǎn)單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。3.2 實(shí)際風(fēng)險(xiǎn)分析現(xiàn)今的網(wǎng)絡(luò)安全存在的威脅主要表現(xiàn)在以下幾個(gè)方面。 1.非授權(quán)訪問。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。 2.冒充合法用戶。主要指利用各種假

25、冒或欺騙的手段非法獲得合法用戶的使用權(quán)限,以達(dá)到占用合法用戶資源的目的。 3.破壞數(shù)據(jù)的完整性。指使用非法手段,刪除、修改、重發(fā)某些重要信息,以干擾用戶的正常使用。 4.干擾系統(tǒng)正常運(yùn)行。指改變系統(tǒng)的正常運(yùn)行方法,減慢系統(tǒng)的響應(yīng)時(shí)間等手段。 5.病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意 Java、XActive 等。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文116.線路竊聽。指利用通信介質(zhì)的電磁泄漏或搭線竊聽等手段獲取非法信息。3.3 安全缺口安全策略經(jīng)常會(huì)與用戶方便性相矛盾,從而產(chǎn)生相反的壓力,使安全措施與安全策略相脫節(jié)。這種情況稱為安全缺口。為什么會(huì)存在安全缺口呢?有下面四個(gè)因

26、素: 1、網(wǎng)絡(luò)設(shè)備種類繁多當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備,從 Windows NT和 UNIX 服務(wù)器到防火墻、路由器和 Web 服務(wù)器,每種設(shè)備均有其獨(dú)特的安全狀況和保密功能; 2、訪問方式的多樣化一般來說,您的網(wǎng)絡(luò)環(huán)境存在多種進(jìn)出方式,許多過程拔號(hào)登錄點(diǎn)以及新的 Internet 訪問方式可能會(huì)使安全策略的設(shè)立復(fù)雜化;3、網(wǎng)絡(luò)的不斷變化網(wǎng)絡(luò)不是靜態(tài)的,一直都處于發(fā)展變化中。啟用新的硬件設(shè)備和操作系統(tǒng),實(shí)施新的應(yīng)用程序和 Web 服務(wù)器時(shí),安全配置也有不盡相同;4、用戶保安專業(yè)知識(shí)的缺乏許多組織所擁有的對(duì)網(wǎng)絡(luò)進(jìn)行有效保護(hù)的保安專業(yè)知識(shí)十分有限,這實(shí)際上是造成安全缺口最為主要的一點(diǎn)。3.4 網(wǎng)

27、絡(luò)安全評(píng)估為堵死安全策略和安全措施之間的缺口,必須從以下三方面對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估: 1、從企業(yè)外部進(jìn)行評(píng)估:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻; 2、從企業(yè)內(nèi)部進(jìn)行評(píng)估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī); 3、從應(yīng)用系統(tǒng)進(jìn)行評(píng)估:考察每臺(tái)硬件設(shè)備上運(yùn)行的操作系統(tǒng)。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文12第 4 章 中小型企業(yè)網(wǎng)絡(luò)安全的實(shí)現(xiàn)措施4.1 計(jì)算機(jī)安全4.1.1 訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以

28、說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略。1、入網(wǎng)訪問控制 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。 用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。 對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的

29、關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于 6 個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文13測(cè)試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)證器（如智能卡）來驗(yàn)證用戶的身份。 網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號(hào)使用、訪問網(wǎng)絡(luò)的時(shí)間、方

30、式。用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。用戶帳號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件” 、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶帳號(hào)的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的帳號(hào)加以限制，用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正

31、確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。2、網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文14使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類： 特殊用戶（即系統(tǒng)管理員） ； 一般用戶，系統(tǒng)管

32、理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限； 審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來描述。3、目錄級(jí)安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor） ；讀權(quán)限（Read） 、 ；寫權(quán)限（Write） ；創(chuàng)建權(quán)限（Create） ；刪除權(quán)限（Erase） ；修改權(quán)限（Modify） ；文件查找權(quán)限（File Scan） ；存取控制權(quán)限（Access Control） ；用

33、戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下二個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文15用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。4、屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源

34、都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限對(duì)應(yīng)一張?jiān)L問控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。5、網(wǎng)絡(luò)服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可

35、以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測(cè)和關(guān)閉的時(shí)間間隔。6、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文16 網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問，對(duì)非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。7、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自

36、動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器） 。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證4.1.2 確保網(wǎng)絡(luò)安全的措施 由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網(wǎng)絡(luò)連入 Internet，那麼最好盡可能地把與 Internet 連接的機(jī)器與網(wǎng)絡(luò)的其余部分隔離開來。實(shí)現(xiàn)這個(gè)目標(biāo)的最安全的方法是將 Internet 服務(wù)器與網(wǎng)絡(luò)實(shí)際隔開。當(dāng)然，這種解決方案增加了機(jī)器管理的難度。但是如果有人闖入隔離開的機(jī)器，那麼網(wǎng)絡(luò)的其余部分不會(huì)受

37、到牽連。 最重要的是限制訪問。不要讓不需要進(jìn)入網(wǎng)關(guān)的人都進(jìn)入網(wǎng)關(guān)。在機(jī)器上用戶僅需要一個(gè)用戶帳號(hào)，嚴(yán)格限制它的口令。只有在使用 su 時(shí)才允許進(jìn)入根帳號(hào)。這西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文17個(gè)方法保留一份使用根帳號(hào)者的記錄。 在 Internet 服務(wù)器上提供的一些服務(wù)有 FTP、HTTP、遠(yuǎn)程登陸和 WAIS（廣域信息服務(wù)） 。但是，F(xiàn)TP 和 HTTP 是使用最普遍的服務(wù)。它們還有潛力泄露出乎用戶意料之外的秘密。 與任何其它 Internet 服務(wù)一樣，F(xiàn)TP 一直是（而且仍是）易于被濫用的。值得一提的弱點(diǎn)涉及幾個(gè)方面。第一個(gè)危險(xiǎn)是配置不當(dāng)。它使站點(diǎn)的訪問者（或潛在

38、攻擊者）能夠獲得更多超出其預(yù)期的數(shù)據(jù)。 他們一旦進(jìn)入，下一個(gè)危險(xiǎn)是可能破壞信息。一個(gè)未經(jīng)審查的攻擊者可以抹去用戶的整個(gè) FTP 站點(diǎn)。 最后一個(gè)危險(xiǎn)不必長篇累牘，這是因?yàn)樗粫?huì)造成破壞，而且是低水平的。它由用戶的 FTP 站點(diǎn)構(gòu)成，對(duì)于交換文件的人來說，用戶的 FTP 站點(diǎn)成為“麻木不仁的窩臟點(diǎn)” 。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換如何進(jìn)行的呢？簡(jiǎn)單的很。發(fā)送者發(fā)現(xiàn)了一個(gè)他們有權(quán)寫入和拷入可疑文件的 FTP 站點(diǎn)。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。 所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個(gè)問題可能是允許 FTP 用戶有機(jī)會(huì)寫入。當(dāng)用戶

39、通過 FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。因此，F(xiàn)TP 用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個(gè)問題可能是允許 FTP 用戶有機(jī)會(huì)寫入。當(dāng)用戶通過 FTP 訪問一個(gè)系統(tǒng)時(shí)，這一般是 FTP 用戶所做的事。因此，F(xiàn)TP 用戶可以訪問，用戶的訪問者也可以訪問。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文18 一般說來，F(xiàn)TP 用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立 FTP 用戶。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。這一步驟防止 FTP 用戶通過遠(yuǎn)程登錄進(jìn)行注冊(cè)（用戶或許已經(jīng)禁止遠(yuǎn)程登錄，但是萬一用

40、戶沒有這樣做，確認(rèn)一下也不會(huì)有錯(cuò)） 。 將所有文件和目錄的主人放在根目錄下，不要放在 ftp 下。這個(gè)預(yù)防措施防止FTP 用戶修改用戶仔細(xì)構(gòu)思出的口令。然后，將口令規(guī)定為 755（讀和執(zhí)行，但不能寫，除了主人之外） 。在用戶希望匿名用戶訪問的所有目錄上做這項(xiàng)工作。盡管這個(gè)規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來。 用戶還需要編制某些可用的庫。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將/usr/lib/libe.so.1 和/usr/lib/libsock-et.so/1 拷貝到ftp/usr/lib 中。接著將ftp/usr/l

41、ib 上的口令改為 555，并建立主接收器。最后，用戶需要在ftp/dev/中建立/dev/null 和/dev/socksys 設(shè)備結(jié)點(diǎn)。用戶可以用 mknod 手工建立它們。然而，讓系統(tǒng)為用戶工作會(huì)更加容易。SCO 文檔說用cpio,但是 copy（非 cp）很管用。如果用戶想建立一個(gè)人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個(gè)目錄，但不能讀。這個(gè)預(yù)防措施防止它成為麻木不仁的窩臟點(diǎn)。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕?。如果用戶認(rèn)為信息比較適合共享，那麼將拷貝到另一個(gè)目錄中。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文194.1.3.

42、提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟1) 限制對(duì)網(wǎng)關(guān)的訪問。限制網(wǎng)關(guān)上的帳號(hào)數(shù)。不要允許關(guān)不信任任何機(jī)器。沒有一臺(tái)機(jī)器應(yīng)該信任網(wǎng)關(guān)；2) 不要用 NFS 向網(wǎng)關(guān)傳輸或接收來自網(wǎng)關(guān)的任何文件系統(tǒng)；3) 不要在網(wǎng)關(guān)上使用 NIS（網(wǎng)絡(luò)信息服務(wù)） ；4) 制訂和執(zhí)行一個(gè)非網(wǎng)關(guān)機(jī)器上的安全性方針；5) 關(guān)閉所有多余服務(wù)和刪除多余程序6) 刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、rlogin、FTP 等等） ；7) 定期閱讀系統(tǒng)記錄。4.2 網(wǎng)絡(luò)安全1.物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保

43、計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏（即 TEMPEST 技術(shù)）是物理安全策略的一個(gè)主要問題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文20一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝

44、置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。2.網(wǎng)絡(luò)結(jié)構(gòu)的安全 網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否，也影響著網(wǎng)絡(luò)的安全性對(duì)銀行系統(tǒng)業(yè)務(wù)網(wǎng)，辦公網(wǎng)，與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍，安全保密程度進(jìn)行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅，傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)，所以必須從兩個(gè)方面入手，一是加強(qiáng)|力問控制：在內(nèi)部局網(wǎng)內(nèi)可以通過交換機(jī)劃分 VLAN 功能來實(shí)現(xiàn)；或是通過配備防火墻來實(shí)現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問控制：也可以配備應(yīng)用層的訪問控制軟件系統(tǒng)，針對(duì)局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問控制。二是作好安全檢測(cè)工作：在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上

45、配備入侵檢測(cè)系統(tǒng)，實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤，實(shí)時(shí)報(bào)警，阻斷連接并做日志。 3.操作系統(tǒng)的安全 對(duì)操作系統(tǒng)必須進(jìn)行安全配置，打上最新的補(bǔ)丁，還要利用相應(yīng)的掃描軟件對(duì)其進(jìn)行安全性掃描評(píng)估，檢測(cè)其存在的安全漏洞，分析系統(tǒng)的安全性，提出補(bǔ)救措施，管理人員應(yīng)用時(shí)必須加強(qiáng)身份認(rèn)證機(jī)制及認(rèn)證強(qiáng)度盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置，關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用，對(duì)一些關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制，加強(qiáng)口令字的使用，及時(shí)給系統(tǒng)打補(bǔ)丁，系統(tǒng)西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文21內(nèi)部的相互調(diào)用不對(duì)外公開。 4.應(yīng)用的安全 要確保計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全，主

46、要從以下幾個(gè)方面作好安全防范工作：一要配備防病毒系統(tǒng)，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)；二作好數(shù)據(jù)備份工作，最安全的，最保險(xiǎn)的方法是對(duì)重要數(shù)據(jù)信息進(jìn)行安全備份，如果遇到系統(tǒng)受損時(shí)，可以利用災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù)；三是對(duì)數(shù)據(jù)進(jìn)行加密傳輸，保護(hù)數(shù)據(jù)在傳輸過程中不被泄露，保證用戶數(shù)據(jù)的機(jī)密性，數(shù)據(jù)加密的方法有從鏈路層加密，網(wǎng)絡(luò)層加密及應(yīng)用層加密；四是進(jìn)行信息鑒別，為了保證數(shù)據(jù)的完整性，就必須采用信息鑒別技術(shù)，VPN 設(shè)備便能實(shí)現(xiàn)這樣的功能，數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段，它可以確認(rèn)信息的來源的可靠性，結(jié)合傳輸加密技術(shù)，我們可以選擇 VPN 設(shè)備，實(shí)現(xiàn)保護(hù)數(shù)據(jù)的機(jī)密性，完整

47、性，真實(shí)性，可靠性。 我們可以做的有： 第一部分是增強(qiáng)用戶認(rèn)證,用戶認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門,最后防線為審計(jì)和數(shù)據(jù)備份,不加強(qiáng)這道大門的建設(shè),整個(gè)安全體系就會(huì)較脆弱。用戶認(rèn)證的主要目的是提供訪問控制和不可抵賴的作用。用戶認(rèn)證方法按其層次不同可以根據(jù)以下三種因素提供認(rèn)證。 1.用戶持有的證件,如大門鑰匙、門卡等等; 2.用戶知道的信息,如密碼; 3.用戶特有的特征,如指紋、聲音、視網(wǎng)膜掃描等等。 根據(jù)在認(rèn)證中采用因素的多少,可以分為單因素認(rèn)證、雙因素認(rèn)證,多因素認(rèn)證西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文22等方法。 第二部分是授權(quán),這主要為特許用戶提供合適

48、的訪問權(quán)限,并監(jiān)控用戶的活動(dòng),使其不越權(quán)使用。該部分與訪問控制(常說的隔離功能)是相對(duì)立的。隔離不是管理的最終目的,管理的最終目的是要加強(qiáng)信息有效、安全的使用,同時(shí)對(duì)不同用戶實(shí)施不同訪問許可。 第三部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿足以下幾個(gè)需求。 1.認(rèn)證識(shí)別用戶身份,提供訪問許可; 2.一致性保證數(shù)據(jù)不被非法篡改; 3.隱密性保護(hù)數(shù)據(jù)不被非法用戶查看; 4.不可抵賴使信息接收者無法否認(rèn)曾經(jīng)收到的信息。 加密是信息安全應(yīng)用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實(shí)際的網(wǎng)絡(luò)與信息安全建設(shè)中,利用加密技術(shù)至少應(yīng)能解決以下問題:

49、1.鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施; 2.建立權(quán)威鑰匙分發(fā)機(jī)構(gòu); 3.保證數(shù)據(jù)完整性技術(shù); 4.數(shù)據(jù)加密傳輸; 5.數(shù)據(jù)存儲(chǔ)加密等。 第四部分為審計(jì)和監(jiān)控,確切說,還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文23障。在網(wǎng)絡(luò)和信息安全模型中,這五個(gè)部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ),如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個(gè)企業(yè)沒有對(duì)授權(quán)用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標(biāo)準(zhǔn),那么對(duì)用

50、戶授權(quán)的控制過程以及事后的審計(jì)等的工作就會(huì)變得非常困難。 5.管理的安全 安全體系的建立和維護(hù)需要有良好的管理制度和很高的安全意識(shí)來保障。安全意識(shí)可以通過安全常識(shí)培訓(xùn)來提高，行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實(shí)現(xiàn)，因國這些必須在電信部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求，制定安全管理制度并嚴(yán)格按執(zhí)行，并通過安全知識(shí)及法律常識(shí)的培訓(xùn)，加強(qiáng)整體員工的自身安全意識(shí)及防范外部入侵的安全技術(shù)。4.3 網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個(gè)基礎(chǔ)之上。 體系化設(shè)計(jì)原則。通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安

51、全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。 全局綜合性設(shè)計(jì)原則。從中小企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議考慮到各種安全措施的使用，使用一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案及產(chǎn)品。 西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文24可行性、可靠性及安全性?？尚行允前踩桨傅母?，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證，而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文25第 5 章 實(shí)現(xiàn)中小型企業(yè)網(wǎng)絡(luò)安全的規(guī)劃與設(shè)計(jì)5

52、.1 整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu) 安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。 隨著針對(duì)應(yīng)用層的攻擊越來越多、威脅越來越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻/VPN 安全體系所無法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。如圖所示，這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻/VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服

53、務(wù)）畢業(yè)論文265.2 整體安全防護(hù)體系基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，采用一種整合型高可靠性安全防火墻。(1)訪問控制 實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。其關(guān)鍵在于應(yīng)支持目前Internet 中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶自定義協(xié)議等。 (2)普通授權(quán)與認(rèn)證 提供多種認(rèn)證和授權(quán)方法,控制不同的信息源。 (3)內(nèi)容安全 對(duì)流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢查,包括 URL 過濾等等。 (4)加密 提供防火墻與防火墻之間、防火墻與移動(dòng)用戶之間信息的安全傳輸。 (5)網(wǎng)絡(luò)設(shè)備安全管理 目前一個(gè)

54、企業(yè)網(wǎng)絡(luò)可能會(huì)有多個(gè)連通外界的出口,如連接 ISP 的專線、撥號(hào)線等,同時(shí),在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會(huì)有由多級(jí)網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。根據(jù)信息源的分布情況,有必要對(duì)不同網(wǎng)絡(luò)和資源實(shí)施不同的安全策略和多種級(jí)別的安全保護(hù),如可以在防火墻上實(shí)施路由器、交換機(jī)、訪問服務(wù)器的安全管理。(6)集中管理 實(shí)施一個(gè)企業(yè)一種安全策略,實(shí)現(xiàn)集中管理、集中監(jiān)控等。西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文27(7)提供記帳、報(bào)警功能實(shí)施移動(dòng)方式的報(bào)警功能,包括 E-mail、SNMP 等。5.3 INTERNET 和信息發(fā)布服務(wù)這種情況非常普遍，ISP 或 ICP，企業(yè)的網(wǎng)頁，在 INTE

55、RNET 上提供息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為，必須允許用戶能夠訪問到你提供服務(wù)的主機(jī)，都屬于這種情況。對(duì)訪問服務(wù)行業(yè)而言，訪問服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機(jī)放在外部用戶可以訪問的地方，也就是說，主機(jī)安全幾乎是唯一的保證。除非明確地知道 誰會(huì)對(duì)你的訪問驚醒破壞，才可以對(duì)出口路由器或出口防火墻驚醒一些針對(duì)性的限制訪問控制的設(shè)定，否則，訪問控制變得毫無意義。主機(jī)安全是一個(gè)非常有效的手段。所謂的主機(jī)安全是一個(gè)非常廣義的概念，首先是要有一個(gè)安全的操作系統(tǒng)，建立在一個(gè)不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個(gè)安全的主機(jī)。然后是仔細(xì)的檢查你所提供的服

56、務(wù)，如果不是你所必須提供的服務(wù)，建議除掉一切你所不需要的進(jìn)程，對(duì)你的服務(wù)而言，它們都是你安全上的隱患?？梢圆捎靡恍┌踩珯z測(cè)或網(wǎng)絡(luò)掃描工具來確定你的服務(wù)器上到底有伸麼服務(wù)，以保證是否有安全漏洞或隱患。最后是對(duì)主機(jī)確定非常嚴(yán)格的訪問限制規(guī)則，除了允許提供商愿意提供的服務(wù)之外，宣紙并拒絕所有未允許的服務(wù)，這是一個(gè)非常嚴(yán)格的措施。除了主機(jī)安全以外，如果還需要提高服務(wù)的安全性，就該考慮采用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文28控和交互式動(dòng)態(tài)防火墻。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)，會(huì)自動(dòng)捕捉網(wǎng)絡(luò)上所有的通信包，并對(duì)其進(jìn)行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商

57、所允許的服務(wù)不同，交互式防火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報(bào)警。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)和交互式防火墻具有很強(qiáng)的審計(jì)功能，但成本相對(duì)偏高。5.4 INTERNET 和內(nèi)部網(wǎng)企業(yè)一方面訪問 INTERNET，得到 INTERNET 所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求。防火墻的基本思想不是對(duì)每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對(duì)系統(tǒng)的訪問通過某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對(duì)受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實(shí)施比較慣犯的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞。

58、根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。1、包過濾防火墻包過濾防火墻的安全性是基于對(duì)包的 IP 地址的校驗(yàn)。在 Internet 上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的 IP 地址和接收方的 IP 地址。包過濾防火墻將所有通過的信息包中發(fā)送方 IP 地址、接收方 IP 地址、TCP 端口、TCP鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過濾原則過濾信息包。那些不符合規(guī)定的 IP西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文29地址的信息包會(huì)被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源 IP 地址、封裝協(xié)

59、議、端口號(hào)等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫邏輯表達(dá)式并設(shè)置之，包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊，針對(duì)典型攻擊的過濾規(guī)則，大體有：對(duì)付源 IP 地址欺騙式攻擊（Source IP Address Spoofing Attacks）對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源 IP 地址為內(nèi)部網(wǎng)絡(luò) IP 地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。對(duì)付殘片攻擊（Tiny Fr

60、agment Attacks）入侵者使用 TCP/IP 數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強(qiáng)行將 TCP/IP 頭信息分成多個(gè)數(shù)據(jù)包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過。對(duì)付這類攻擊，防火墻只需將 TCP/IP 協(xié)議片斷位移植（Fragment Offset）為 1 的數(shù)據(jù)包全部丟棄即可。包過濾防火墻簡(jiǎn)單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點(diǎn)。對(duì)于采用動(dòng)態(tài)分配端口的服務(wù)，如很多 RPC（遠(yuǎn)程過程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過濾。西南科技大學(xué)高等教育自學(xué)考試