中小型公司網(wǎng)絡(luò)安全方案

1、摘 要本文建設(shè)了一種中小型網(wǎng)絡(luò)的安全方案，重點(diǎn)研究在物理隔離的情況下計(jì)算機(jī)網(wǎng)絡(luò)的安全問題。在對(duì)中小型網(wǎng)絡(luò)系統(tǒng)有了確切的了解之后，將局域網(wǎng)總體劃分為三個(gè)安全等級(jí)，每個(gè)等級(jí)中包含若干子網(wǎng)，各類子網(wǎng)設(shè)置了各自的安全策略。按照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)及其計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題進(jìn)行了全面的分析。依照各個(gè)安全等級(jí)的安全需求，設(shè)計(jì)了中小型網(wǎng)絡(luò)的安全方案。在滿足各子網(wǎng)系統(tǒng)建設(shè)的前提下，提出了包括病毒防護(hù)、動(dòng)態(tài)口令身份認(rèn)證、安全審計(jì)管理、訪問控制、信息加密策略、入侵檢測(cè)系統(tǒng)的部署、漏洞掃描系統(tǒng)等管理措施和安全技術(shù)在內(nèi)的整套解決方案。目的是建立一個(gè)完整的、立體的網(wǎng)絡(luò)安全防御體系，使網(wǎng)絡(luò)

2、安全系統(tǒng)真正獲得較好的效果。關(guān)鍵詞：網(wǎng)絡(luò)安全 掃描系統(tǒng) 防火墻目 錄 TOC o 1-3 h z u HYPERLINK l _Toc262046212 第一章 緒論 PAGEREF _Toc262046212 h 4 HYPERLINK l _Toc262046213 1.1 網(wǎng)絡(luò)安全背景知識(shí) PAGEREF _Toc262046213 h 4 HYPERLINK l _Toc262046214 1.2 網(wǎng)絡(luò)安全的概念和目標(biāo) PAGEREF _Toc262046214 h 4 HYPERLINK l _Toc262046215 1.3 網(wǎng)絡(luò)安全策略 PAGEREF _Toc262046215

3、 h 5 HYPERLINK l _Toc262046216 1.4 本論文的主要工作簡(jiǎn)介 PAGEREF _Toc262046216 h 6 HYPERLINK l _Toc262046217 第二章 中小型公司網(wǎng)絡(luò)安全的威脅及需求 PAGEREF _Toc262046217 h 7 HYPERLINK l _Toc262046218 2.1中小型公司網(wǎng)絡(luò)系統(tǒng)安全分析 PAGEREF _Toc262046218 h 7 HYPERLINK l _Toc262046219 2.2物理層安全風(fēng)險(xiǎn) PAGEREF _Toc262046219 h 7 HYPERLINK l _Toc26204622

4、0 2.3網(wǎng)絡(luò)層安全風(fēng)險(xiǎn) PAGEREF _Toc262046220 h 7 HYPERLINK l _Toc262046221 2.4系統(tǒng)層安全風(fēng)險(xiǎn) PAGEREF _Toc262046221 h 7 HYPERLINK l _Toc262046222 2.5 病毒的安全風(fēng)險(xiǎn) PAGEREF _Toc262046222 h 8 HYPERLINK l _Toc262046223 2.6 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn) PAGEREF _Toc262046223 h 8 HYPERLINK l _Toc262046224 2.7 管理的安全風(fēng)險(xiǎn) PAGEREF _Toc262046224 h 8 HYPE

5、RLINK l _Toc262046225 第三章 網(wǎng)絡(luò)安全的方案設(shè)計(jì) PAGEREF _Toc262046225 h 10 HYPERLINK l _Toc262046226 3.1總體設(shè)計(jì)方案 PAGEREF _Toc262046226 h 10 HYPERLINK l _Toc262046227 3.2中小型公司網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) PAGEREF _Toc262046227 h 10 HYPERLINK l _Toc262046228 安全體系結(jié)構(gòu)網(wǎng)絡(luò) PAGEREF _Toc262046228 h 10 HYPERLINK l _Toc262046229 安全體系層次模型 PAGEREF

6、 _Toc262046229 h 10 HYPERLINK l _Toc262046230 安全體系設(shè)計(jì) PAGEREF _Toc262046230 h 11 HYPERLINK l _Toc262046231 第四章 安全產(chǎn)品的配置與應(yīng)用 PAGEREF _Toc262046231 h 13 HYPERLINK l _Toc262046232 4.1防病毒及特洛伊木馬軟件 PAGEREF _Toc262046232 h 13 HYPERLINK l _Toc262046233 4.2動(dòng)態(tài)口令身份認(rèn)證方案 PAGEREF _Toc262046233 h 13 HYPERLINK l _Toc2

7、62046234 4.4訪問控制：防火墻系統(tǒng) PAGEREF _Toc262046234 h 15 HYPERLINK l _Toc262046235 4.5入侵檢測(cè)系統(tǒng) PAGEREF _Toc262046235 h 17 HYPERLINK l _Toc262046236 4.6漏洞掃描系統(tǒng) PAGEREF _Toc262046236 h 18 HYPERLINK l _Toc262046237 第五章 安全方案測(cè)試 PAGEREF _Toc262046237 h 20 HYPERLINK l _Toc262046238 5.1 安全管理機(jī)構(gòu)的建設(shè)原則 PAGEREF _Toc262046

8、238 h 20 HYPERLINK l _Toc262046239 5.2 網(wǎng)絡(luò)安全方案測(cè)試 PAGEREF _Toc262046239 h 20 HYPERLINK l _Toc262046240 5.3 展望 PAGEREF _Toc262046240 h 20第一章 緒論11 網(wǎng)絡(luò)安全背景知識(shí) 以工nternet為代表的信息網(wǎng)絡(luò)技術(shù)應(yīng)用正日益普及和廣泛，應(yīng)用領(lǐng)域從傳統(tǒng)小型業(yè)務(wù)系統(tǒng)逐漸向大型關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的例如黨政部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)效能重要的問題，而工nternet所具有的開放性、自由性和國(guó)際性在增加應(yīng)用自由度的時(shí)候，對(duì)安全提出了

9、更高級(jí)的要求。一般來說，網(wǎng)絡(luò)安全由信息安全和控制安全兩部分組成。信息安全指信息的完整性、可用性、保密性和可靠性;控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制?；ヂ?lián)網(wǎng)的開放性、分散性和交互性特征為信息交流、信息共享、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)迅速的發(fā)展和廣泛的應(yīng)用，為人類社會(huì)進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的特性，產(chǎn)生了信息污染、信息泄漏、信息不易受控等諸多安全問題。目前，我國(guó)網(wǎng)絡(luò)安全存在的主要問題有：1.計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心數(shù)據(jù)看，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。2.電腦黑客活

10、動(dòng)己形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國(guó)內(nèi)情況來看，目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入。3.信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。面對(duì)信息安全的嚴(yán)峻形勢(shì)，我國(guó)的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)1。據(jù)英國(guó)簡(jiǎn)氏戰(zhàn)略報(bào)告和其它網(wǎng)絡(luò)組織對(duì)各國(guó)信息防護(hù)能力的評(píng)估，我國(guó)被列入防護(hù)能力最低的國(guó)家之一，不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó)，而且排在印度、韓國(guó)之后。近年來，國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增。網(wǎng)絡(luò)環(huán)境的多變性、復(fù)雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。我國(guó)日益開放

11、并且走向世界，建立保護(hù)屏障和加強(qiáng)安全監(jiān)管不可缺少。近年來，隨著網(wǎng)絡(luò)安全事件的發(fā)生，人們?cè)絹碓角宄囊庾R(shí)到，信息時(shí)代所引發(fā)的信息安全問題涉及到人們生活的方方面面。因此可以說，在信息化社會(huì)里，信息安全的重要性再怎么強(qiáng)調(diào)也不過分。1.2 網(wǎng)絡(luò)安全的概念和目標(biāo)國(guó)際標(biāo)準(zhǔn)化組織(工S0)對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。網(wǎng)絡(luò)安全基本上是一個(gè)實(shí)踐性的技術(shù)領(lǐng)域，它涉及到多種技術(shù)領(lǐng)域，網(wǎng)絡(luò)信息安全與保密主要是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險(xiǎn)、不受威脅、不出事故。從技術(shù)角度來說，網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表

12、現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可用性、不可抵賴性等方面。網(wǎng)絡(luò)安全的意義，就在于資料、信賴關(guān)系和網(wǎng)絡(luò)的傳輸能力與端系統(tǒng)的處理能力三個(gè)要素的保護(hù)，保證這三者能為所適合的用戶服務(wù)。而且，只為合適的用戶服務(wù)。與此同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)自身存在的局限性和信息系統(tǒng)的脆弱性，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等因可預(yù)見或不可預(yù)見的甚至是惡意的原因而遭到破壞，更改、泄露或功能失效，使信息系統(tǒng)處于異常狀態(tài)，甚至引起系統(tǒng)的崩潰癱瘓，造成巨大的經(jīng)濟(jì)損失。在這樣的形勢(shì)下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。計(jì)算機(jī)網(wǎng)絡(luò)改變著人們賴以行動(dòng)的社會(huì)信息結(jié)構(gòu)，改變著人們獲取利

13、用信息的方式，從而引起人類生活方式的全面改觀。網(wǎng)絡(luò)安全威脅一般分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類型。外部闖入是指未經(jīng)授權(quán)計(jì)算機(jī)系統(tǒng)用戶的入侵;內(nèi)部突破是指己授權(quán)的計(jì)算機(jī)系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù);不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對(duì)授權(quán)數(shù)據(jù)和資源的使用不合法或?yàn)E用授權(quán)。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。由于計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性?？梢娊?/p>

14、全的網(wǎng)絡(luò)系統(tǒng)要解決的根本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時(shí)對(duì)網(wǎng)絡(luò)服務(wù)的種類、范圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響2。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個(gè)特點(diǎn)：(1)可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能。(2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶使用。(3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時(shí)間內(nèi)也不能識(shí)別真正的信息內(nèi)容。(4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能

15、進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括4個(gè)方面：1.網(wǎng)絡(luò)實(shí)體安全2.軟件安全3.網(wǎng)絡(luò)數(shù)據(jù)安全4.網(wǎng)絡(luò)安全管理由此可見，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案，以保證算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。1.3 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略目的是決定一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的組織結(jié)構(gòu)怎樣來保護(hù)自己的

16、網(wǎng)絡(luò)及其信息，一般來說，安全策略包括兩個(gè)部分：一個(gè)總體的策略和具體的規(guī)則?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么活動(dòng)是被允許的，什么活動(dòng)是被禁止的。1.網(wǎng)絡(luò)安全策略的等級(jí)網(wǎng)絡(luò)安全策略可分為以下4個(gè)等級(jí)：(1)不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止。(2)除那些被明確允許之外，一切都被禁止。(3)除那些被明確禁止之外，一切都被允許。(4)一切都被允許，當(dāng)然也包括那些本來被禁止的?？梢愿鶕?jù)實(shí)際情況，在這4個(gè)等級(jí)之間找出符合自己的安全策略3。當(dāng)系統(tǒng)自身的情況發(fā)生變化時(shí)，必須注意及時(shí)修改相應(yīng)的安全策略。1.4 本論文的主要工作簡(jiǎn)介本文結(jié)合中小型網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的實(shí)例，

17、重點(diǎn)研究計(jì)算機(jī)網(wǎng)絡(luò)的安全問題，對(duì)不同的網(wǎng)絡(luò)安全方案進(jìn)行優(yōu)化、集中和協(xié)同，從而盡可能的使本網(wǎng)絡(luò)安全系統(tǒng)保持可擴(kuò)展性、健壯性，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的結(jié)果。主要研究工作有：1. 查找和收集網(wǎng)絡(luò)安全相關(guān)的資料，剖析網(wǎng)絡(luò)攻擊的手段，分析影響網(wǎng)絡(luò)安全的因素。2.詳細(xì)闡述網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的目標(biāo)和總體規(guī)劃。3.詳細(xì)分析中小型公司物理層安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、病毒的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)、管理的安全風(fēng)險(xiǎn)，提出了具體的需求和設(shè)計(jì)依據(jù)。4.根據(jù)中小型公司網(wǎng)絡(luò)現(xiàn)狀、中小型公司的需求、網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)目標(biāo)和總體規(guī)劃，設(shè)計(jì)了中小型網(wǎng)絡(luò)安全系統(tǒng)方案，運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和

18、網(wǎng)絡(luò)安全產(chǎn)品對(duì)方案進(jìn)行了實(shí)現(xiàn)，探討了今后網(wǎng)絡(luò)安全系統(tǒng)的發(fā)展方向。第二章 中小型公司網(wǎng)絡(luò)安全的威脅及需求2.1中小型公司網(wǎng)絡(luò)系統(tǒng)安全分析正確的風(fēng)險(xiǎn)分析是保證網(wǎng)絡(luò)環(huán)境安全的非常重要的一環(huán)，一個(gè)性能優(yōu)良的安全系統(tǒng)結(jié)構(gòu)和安全系統(tǒng)平臺(tái)，能夠以低的安全代價(jià)換得高的安全強(qiáng)度。下面對(duì)中小型公司的具體狀況從物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅4及管理安全進(jìn)行分類描述網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。2.2物理層安全風(fēng)險(xiǎn)因?yàn)榫W(wǎng)絡(luò)物理層安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。一般的物理安全風(fēng)險(xiǎn)主要有：1.電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。2.地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅。3

19、.電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。4.不能保證幾個(gè)不同機(jī)密程度網(wǎng)絡(luò)的物理隔離。針對(duì)中小型公司物理層安全是指由于網(wǎng)絡(luò)系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如移動(dòng)設(shè)備、服務(wù)器如PC服務(wù)器、交換機(jī)，那么這些設(shè)備的自身安全性也會(huì)直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。物理安全的威脅可以直接造成設(shè)備的損壞，系統(tǒng)和網(wǎng)絡(luò)的不可用，數(shù)據(jù)的直接損壞或丟失等等5。為了保證中小型公司系統(tǒng)的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國(guó)家標(biāo)準(zhǔn)，同時(shí)對(duì)重要的網(wǎng)絡(luò)設(shè)備采用UPS不間斷穩(wěn)壓電源，對(duì)重要的設(shè)備如數(shù)據(jù)庫服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對(duì)安全計(jì)算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對(duì)重要的通訊線路

20、采用備份等等。2.3網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)1、網(wǎng)絡(luò)邊界的安全風(fēng)險(xiǎn)分析：該中小型公司校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計(jì)算機(jī)機(jī)房網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對(duì)訪問加以控制6。2、由于中小型公司中小型公司校園網(wǎng)絡(luò)中大量使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。3、網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析：中小型公司中小型公司校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來自如下兩個(gè)方面：內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來的威脅;線路竊聽。2.4系統(tǒng)層安全風(fēng)險(xiǎn)所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)分析主要針對(duì)中小

21、型公司中小型公司校園采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。中小型公司中小型公司校園網(wǎng)絡(luò)采用的操作系統(tǒng)7 (主要為Windows2000server/professional，WindowsNT/Workstation，Windows ME，Windows95/98、UNIX)本身在安全方面考慮的較少，服務(wù)器、數(shù)據(jù)庫的安全級(jí)別較低，存在若干安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。在中小型公司的網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有：交換機(jī)，服務(wù)器，工作站等。在服務(wù)器上主要有操作系統(tǒng)、軟件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，交換機(jī)上也有相應(yīng)的操作系統(tǒng)。所有的這些設(shè)

22、備、軟件系統(tǒng)都多多少少地存在著各種各樣的漏洞，這些都是重大安全隱患。一旦被利用并攻擊，將帶來不可估量的損失。2.5 病毒的安全風(fēng)險(xiǎn)計(jì)算機(jī)病毒是指一種能使自己附加到目標(biāo)機(jī)系統(tǒng)的文件上的程序。它在所有破壞性設(shè)備中最具危險(xiǎn)性，可以導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)，甚至使計(jì)算機(jī)系統(tǒng)完全癱瘓8。當(dāng)病毒被釋放到網(wǎng)絡(luò)環(huán)境時(shí)，其無法預(yù)測(cè)的擴(kuò)散能力使它極具危險(xiǎn)性。在中小型公司的網(wǎng)絡(luò)系統(tǒng)中，傳統(tǒng)的計(jì)算機(jī)病毒傳播手段是通過存儲(chǔ)介質(zhì)進(jìn)行的，師生在交換存儲(chǔ)著數(shù)據(jù)的介質(zhì)時(shí)，隱藏在其中的計(jì)算機(jī)病毒就從一臺(tái)計(jì)算機(jī)轉(zhuǎn)移到另外的計(jì)算機(jī)中。而現(xiàn)代的病毒傳播手段主要是通過網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺(tái)客戶機(jī)被病毒感染，迅速通過網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的成百上千臺(tái)

23、機(jī)器。師生上網(wǎng)瀏覽網(wǎng)頁、收發(fā)電子郵件，下載資料的時(shí)候，都有可能被病毒傳染，這種互聯(lián)網(wǎng)和校園內(nèi)聯(lián)網(wǎng)通訊模式下的傳播方式構(gòu)成了中小型公司病毒傳播途徑的主流。2.6 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)由于在中小型公司內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。如果沒有專門的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制，所有的通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。這種形式的“攻擊”是相對(duì)比較容易成功的。造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性。因此，數(shù)據(jù)在線路中傳輸時(shí)必須加密，同時(shí)通過認(rèn)

24、證技術(shù)及數(shù)字簽名來保數(shù)據(jù)在網(wǎng)上傳輸9的保密性、真實(shí)性、可靠性及完整性，以保護(hù)系統(tǒng)的重要信息數(shù)據(jù)的傳輸安全。2.7 管理的安全風(fēng)險(xiǎn)管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。因此，最可行的做法是管理制度和管理解決方案相結(jié)合。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過短和過于簡(jiǎn)單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn)10。網(wǎng)絡(luò)安全管理是防止來自內(nèi)部網(wǎng)絡(luò)入

25、侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上功夫外，還得靠安全管理來實(shí)現(xiàn)。隨著中小型公司整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。通過制度的約束，確定不同學(xué)員的網(wǎng)絡(luò)訪問權(quán)限，提高管理人員的安全防范意識(shí)，做到實(shí)時(shí)監(jiān)控檢測(cè)網(wǎng)絡(luò)的活動(dòng)，并在危害發(fā)生時(shí)，做到及時(shí)報(bào)警。第三章 網(wǎng)絡(luò)安全的方案設(shè)計(jì)3.1總體設(shè)計(jì)方案中小型網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互

26、配套“的原則進(jìn)行，采用先進(jìn)的”平臺(tái)化“建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套;在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲取;在具體設(shè)計(jì)中結(jié)構(gòu)上一體化，標(biāo)準(zhǔn)化，平臺(tái)化;安全保密功能上多級(jí)化，對(duì)信道適應(yīng)多元化。針對(duì)中小型公司系統(tǒng)在實(shí)際運(yùn)行中所面臨的各種威脅，采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個(gè)全方位并易于管理的安全體系，確保中小型公司系統(tǒng)安全可靠的運(yùn)行11。3.2中小型公司網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)3.2.1安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全機(jī)制和安全對(duì)象，安全對(duì)象主要有網(wǎng)絡(luò)安全、

27、信息安全、設(shè)備安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等。3.2.2安全體系層次模型按照網(wǎng)絡(luò)OSI12的7層模型，網(wǎng)絡(luò)安全貫穿于整個(gè)7層。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。1.物理層。物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊(干擾等)。2.鏈路層。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通訊等手段。3.網(wǎng)絡(luò)層。網(wǎng)絡(luò)層的安全要保證網(wǎng)絡(luò)只給授權(quán)的人員使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被監(jiān)聽或攔截。4.操作系統(tǒng)。操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同

28、時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行安全審計(jì)。5.應(yīng)用平臺(tái)。應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)來增強(qiáng)應(yīng)用平臺(tái)的安全性。6.應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的是為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來保證基本安全，如通訊雙方的認(rèn)證，通訊內(nèi)容安全，審計(jì)等手段。3.2.3安全體系設(shè)計(jì)安全體系設(shè)計(jì)原則在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)和規(guī)劃時(shí)，應(yīng)遵循以下原則13：1.需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則對(duì)任一網(wǎng)絡(luò)來說，絕對(duì)安全難以達(dá)到，也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分

29、析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本與被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅2萬元的信息如果用6萬元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。2.綜合性、整體性原則運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。3.一致性原則這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求

30、相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就應(yīng)考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少很多。第3章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)4.安全、可靠性原則最大保證系統(tǒng)的安全性。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性;對(duì)項(xiàng)目實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證產(chǎn)品質(zhì)量，保證系統(tǒng)運(yùn)行的可靠性。5.先進(jìn)、標(biāo)準(zhǔn)、兼容性原則先進(jìn)的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實(shí)現(xiàn)。6.易操作性原則安全措施要由人來完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，采用的措施不會(huì)影響系統(tǒng)正常運(yùn)行。7.適應(yīng)性、靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要

31、容易修改、容易適應(yīng)。8.多重保護(hù)原則任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，還有其它層保護(hù)信息的安全。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和0S及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)將來自對(duì)企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。由于在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，相對(duì)于主機(jī)環(huán)境、單機(jī)環(huán)境，安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的重要依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”

32、和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。網(wǎng)絡(luò)安全策略安全策略分為安全管理策略和安全技術(shù)實(shí)施策略兩個(gè)方面：(l)管理策略第3章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計(jì)算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。(2)技術(shù)策略技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。安全管理原則計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則。1.多人負(fù)責(zé)原則每項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)

33、導(dǎo)指派的，應(yīng)忠誠(chéng)可靠，能勝任此項(xiàng)工作。2.任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。3.職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：1、確定該系統(tǒng)的安全等級(jí)。根據(jù)確定的安全等級(jí)，確定安全管理的范圍。2、制訂相應(yīng)的機(jī)房出入管理制度。對(duì)安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。3、制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和

34、多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。4、制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時(shí)，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。5、制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。6、建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授第3章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)權(quán)。安全系統(tǒng)需要由人來計(jì)劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施14。其次，對(duì)各級(jí)用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對(duì)網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)

35、絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)?？傊?，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)安全設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同15。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。在鏈路層，通過“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽可能。在

36、網(wǎng)絡(luò)層，可通過對(duì)路由器的路由表控制和對(duì)不同子網(wǎng)的定義來限制子網(wǎng)間的接點(diǎn)通信，通過對(duì)主機(jī)路由表的控制來控制與之直接通信的節(jié)點(diǎn)。同時(shí)，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中工nternet外網(wǎng)的接口要采用專用防火墻，各網(wǎng)絡(luò)級(jí)別的接口利用物理隔離設(shè)備、防火墻、安全郵件服務(wù)器、路由器的可控路由表、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。3.3設(shè)計(jì)依據(jù)經(jīng)過確切了解中小型公司信息系統(tǒng)需要解決哪些安全問題后，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下

37、安全問題：1.局域網(wǎng)內(nèi)部的安全問題，包括網(wǎng)段的劃分以及Vlan的實(shí)現(xiàn)。2.在連接工nternet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性。第3章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)3.應(yīng)用系統(tǒng)如何保證安全性。4.如何防止黑客對(duì)主機(jī)、網(wǎng)絡(luò)、服務(wù)器等的入侵。5.如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄浴?.如何實(shí)現(xiàn)遠(yuǎn)程訪問的安全性。7.如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性。8.加密系統(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等?；谶@些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問控制、加密通信、安全檢測(cè)、攻擊監(jiān)控、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息等。第四章 安全產(chǎn)品的配置與應(yīng)用4.1防病毒及特洛伊木馬軟件為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒

38、的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)采用上機(jī)機(jī)房與辦公區(qū)相分離的結(jié)構(gòu)。1.在學(xué)校機(jī)房的 WindowS2000服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理2000多個(gè)學(xué)生主機(jī)網(wǎng)點(diǎn)。2.在各辦公室分別安裝瑞星殺毒軟件網(wǎng)絡(luò)版的客戶端。3.安裝完瑞星殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。4、網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作

39、。為了安全和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到瑞星網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他2000多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。在安全級(jí)別較高的子網(wǎng)采用的防病毒措施為：1.客戶端防毒：采用趨勢(shì)科技的Officescan16。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受WindowS域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純W己b的部署方式。2

40、.郵件防毒：采用趨勢(shì)科技的 SacllMailforNoteS。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNoteS的數(shù)據(jù)庫及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。3.服務(wù)器防毒：采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新，另一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，。Serve少rotect產(chǎn)品支

41、持WindowsNT/2000、NovellNetware，同時(shí)ServerProtect是業(yè)界第一款支持Lin叭平臺(tái)的防病毒產(chǎn)品。4.2動(dòng)態(tài)口令身份認(rèn)證方案動(dòng)態(tài)口令身份認(rèn)證具有隨機(jī)性、動(dòng)態(tài)性、一次性、不可逆等特點(diǎn)，不僅保留了靜態(tài)口令方便性的優(yōu)點(diǎn)，而且很好地彌補(bǔ)了靜態(tài)口令存在的各種缺陷。動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開的密碼算法基礎(chǔ)上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過數(shù)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性17。特點(diǎn)如下：1、動(dòng)態(tài)口令系統(tǒng)的抗截獲攻擊能力在動(dòng)態(tài)口令認(rèn)證系統(tǒng)的設(shè)計(jì)中，每

42、個(gè)正確的動(dòng)態(tài)口令只能使用一次。因此，不用擔(dān)心口令在傳輸認(rèn)證期間被第三方監(jiān)聽到。因?yàn)檎_的口令在認(rèn)證服務(wù)器上被認(rèn)證之后，在數(shù)據(jù)庫中會(huì)有相應(yīng)的日志記錄，這時(shí)即使再有使用這個(gè)正確口令的用戶提交認(rèn)證，也不能通過。動(dòng)態(tài)口令系統(tǒng)的這個(gè)特點(diǎn)使得截獲攻擊無法實(shí)現(xiàn)。2、動(dòng)態(tài)口令系統(tǒng)的抗實(shí)物解剖能力動(dòng)態(tài)口令卡采用了帶加密位的數(shù)據(jù)處理器，防止有人企圖解算法程序從其中讀出，具有很高的抗實(shí)物解剖能力。另外，由于每個(gè)用戶的密鑰都不相同(在初始化時(shí)隨時(shí)生成)，并且密鑰與同口令計(jì)算有關(guān)的信息存貯在動(dòng)態(tài)RAM中，當(dāng)有人對(duì)其進(jìn)行分析時(shí)，數(shù)據(jù)處理一旦掉電，這些密鑰將消失。即使有人破譯了其中的程序，由于不知道用戶的密鑰，以及初始化時(shí)

43、間等相關(guān)信息，也無法正確地計(jì)算出用戶實(shí)時(shí)的口令。3、動(dòng)態(tài)口令系統(tǒng)的抗窮舉攻擊能力窮舉攻擊是破解口令時(shí)常用的攻擊手段之一。這種攻擊手段的特點(diǎn)就是大量頻繁地對(duì)一個(gè)用戶的口令進(jìn)行反復(fù)認(rèn)證。針對(duì)這一特點(diǎn)，在動(dòng)態(tài)口令認(rèn)證系統(tǒng)中對(duì)每一個(gè)用戶在一個(gè)時(shí)段內(nèi)的認(rèn)證結(jié)果設(shè)計(jì)了日志記錄，當(dāng)發(fā)現(xiàn)一個(gè)用戶的認(rèn)證記錄為多次失敗時(shí)，系統(tǒng)將鎖住這個(gè)用戶的認(rèn)證行為。這樣也就杜絕了窮舉攻擊的可能性。4、系統(tǒng)的密鑰管理和安全數(shù)據(jù)庫的加密。系統(tǒng)安全數(shù)據(jù)庫保存用戶信息、用戶密鑰等等，這些敏感數(shù)據(jù)如果泄露，將使第三者獲得合法用戶的身份，因此是絕對(duì)需要保密的。我們對(duì)安全數(shù)據(jù)庫均進(jìn)行加密后存放在服務(wù)器上，絕對(duì)不以明碼的形式出現(xiàn)。系統(tǒng)主密鑰存

44、放在系統(tǒng)維護(hù)員的IC卡上，只有掌握系統(tǒng)維護(hù)員的IC卡的人才能對(duì)這些敏感數(shù)據(jù)庫進(jìn)行操作。因此不掌握系統(tǒng)密鑰的話，即使有機(jī)會(huì)接觸到服務(wù)器，也無法取得各用戶密鑰。本網(wǎng)絡(luò)系統(tǒng)采用南京眾力科技有限公司生產(chǎn)的VPN動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)。VPN動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)主要由以下幾個(gè)主要模塊組成18：認(rèn)證系統(tǒng)管理員界面、帳號(hào)管理服務(wù)器(UAM)、RADIUS認(rèn)證服務(wù)器、NAS(網(wǎng)絡(luò)接入服務(wù)器采用帶VPN功能的防火墻，例如：NOKIAIP380)、ORACLE數(shù)據(jù)庫管理系統(tǒng)、VPN客戶端、防火墻管理軟件(例如：NOKIA防火墻軟件CheekPointExpress)。VPN用戶從頂temet遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)，需要對(duì)

45、用戶身份進(jìn)行認(rèn)證，允許合法的用戶訪問網(wǎng)絡(luò)，不合法的用戶不允許訪問。密碼通過遠(yuǎn)程網(wǎng)絡(luò)傳輸有被黑客攔截的危險(xiǎn)，而采用動(dòng)態(tài)口令作為密碼，真正做到一次一密，即每次用戶通過身份認(rèn)證后本次密碼立即失效。用戶下次登錄時(shí)，通過VPN客戶端獲得新的密碼，并通過手機(jī)短信將新密碼發(fā)送給用戶。圖4.1 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)部署方案圖采用該方案后，在中小型公司的認(rèn)證系統(tǒng)中能夠?qū)崿F(xiàn)：1、密鑰/時(shí)間雙因素的身份認(rèn)證機(jī)制;2、登錄口令隨時(shí)間變化;3、口令使用次數(shù)和時(shí)效自由控制，有效抵御重播攻擊行為;4、開放的應(yīng)用程序接口，與應(yīng)用系統(tǒng)方便集成;5、使用經(jīng)過國(guó)家認(rèn)可的自主密碼算法，具有優(yōu)秀的安全性;6、提供客戶端設(shè)備與認(rèn)證服務(wù)器

46、之間的時(shí)間補(bǔ)償機(jī)制，提高系和可用性7、用戶端設(shè)備設(shè)計(jì)小巧，性能穩(wěn)定，使用方便;8、提供完善靈活的安全事件日志審計(jì)和查詢功能。避免了靜態(tài)口令中的不足，譬如：1.網(wǎng)絡(luò)數(shù)據(jù)流竊聽(Sniffer)2.認(rèn)證信息截取/重放(Reeord/Rplay)3.字典攻擊4.窮舉嘗試(BruteForee)4.4訪問控制：防火墻系統(tǒng)防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。防火墻主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻是一種隔離控制技術(shù)，可以作為不同網(wǎng)絡(luò)或網(wǎng)

47、絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。通過在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊數(shù)據(jù)，根據(jù)預(yù)先設(shè)定的安全規(guī)則，提供一種安全的網(wǎng)間網(wǎng)數(shù)據(jù)通訊。防火墻主要有三種類型：包過濾型、代理服務(wù)器型、全狀態(tài)包過濾型。防火墻的使用是非常靈活的，可以在以太網(wǎng)絡(luò)的任意部位進(jìn)行鏈路上分割，構(gòu)成安全的網(wǎng)絡(luò)范圍?？梢杂糜谠趩挝粌?nèi)網(wǎng)同外界的廣域網(wǎng)出口上，實(shí)現(xiàn)對(duì)單位內(nèi)網(wǎng)的保護(hù);可以在內(nèi)部網(wǎng)絡(luò)上進(jìn)行劃分，建立局部的安全區(qū);可以單獨(dú)設(shè)置在某一臺(tái)或幾臺(tái)重要的服務(wù)器前，對(duì)這些服務(wù)器進(jìn)行安全保護(hù)。中小型公司安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身

48、份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本方案中，采用防火墻設(shè)備確保如科研部、財(cái)務(wù)部、教學(xué)部等重要安全域的相對(duì)獨(dú)立。選購(gòu)防火墻主要應(yīng)從安全角度考慮，在這里效率不應(yīng)成瓶頸問題，應(yīng)該選購(gòu)業(yè)界大公司或資深信息安全研制單位的成熟產(chǎn)品。在防火墻上通過設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來對(duì)非法訪問進(jìn)行監(jiān)控，使用防火墻與入侵檢測(cè)聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各廠家實(shí)現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對(duì)更多。防火墻是近年發(fā)展起來的重要安全技術(shù)，在中小

49、型公司系統(tǒng)中其主要作用是在網(wǎng)絡(luò)邊界處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。邊界防火墻的配置：根據(jù)網(wǎng)絡(luò)具體流量情況，采用型號(hào)為東軟NeteyeFW4120一H一XE6型上聯(lián)網(wǎng)通線路，下聯(lián)外網(wǎng)交換機(jī)華為6506快速以太網(wǎng)交換機(jī)。標(biāo)準(zhǔn)配置三接口的防火墻，其最大并發(fā)連接數(shù)將近60萬個(gè)，其中兩個(gè)接口分別接外網(wǎng)和內(nèi)網(wǎng)兩個(gè)網(wǎng)段，第三個(gè)口可以作為預(yù)留。內(nèi)網(wǎng)保護(hù)服務(wù)器群防火墻的配置：而在整個(gè)校園網(wǎng)中的資源信息服務(wù)器群則是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的關(guān)鍵，分別與兩個(gè)核心交換機(jī)相連。核心交換機(jī)華為6505處配備一臺(tái)高性能天融信網(wǎng)絡(luò)衛(wèi)士防火墻4000系統(tǒng)，用于對(duì)內(nèi)部服務(wù)器群的訪問和聯(lián)動(dòng)

50、保護(hù)。此處采用型號(hào)為NGFW4000一S標(biāo)準(zhǔn)配置三個(gè)接口的防火墻，其最大并發(fā)連接數(shù)達(dá)到60萬個(gè)，一個(gè)接口接核心交換機(jī)，一個(gè)接口接級(jí)聯(lián)交換機(jī)，另一個(gè)接口作為預(yù)留接口。從而實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)器群的訪問控制保護(hù)。防火墻4000是天融信公司積多年來的防火墻開發(fā)經(jīng)驗(yàn)和應(yīng)用實(shí)踐及天融信廣大用戶寶貴建議基礎(chǔ)之上，基于對(duì)網(wǎng)絡(luò)安全的深刻理解，融合網(wǎng)絡(luò)科技的最新成果，獨(dú)創(chuàng)了系列安全構(gòu)架和實(shí)現(xiàn)技術(shù)，經(jīng)過多年的研究和近兩年的開發(fā)所完成的最新一代防火墻產(chǎn)品。應(yīng)能夠配置成分布式和集中統(tǒng)一管理，由防火墻管理代理程序和管理器組成。管理安全、方便靈活，防火墻4000經(jīng)過簡(jiǎn)單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問控制，GUI管理界面提供了

51、清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對(duì)所有管理加密(支持SSL和SSH)，并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。同時(shí)，可以支持SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HP即enview、Ciscoworks等，方便管理和維護(hù)。提供面向?qū)ο蟮姆?wù)模板功能，可以方便的定制過濾規(guī)則。支持雙向地址路由功能，帶寬管理功能，流量控制功能確保只允許符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)服務(wù)，進(jìn)出北京城市中小型公司系統(tǒng)，或進(jìn)入相應(yīng)安全域隔離帶。防火墻能夠支持HTTP、FTP、TELNET、SMTP、NOTES、Oraele數(shù)據(jù)庫、Sybase數(shù)據(jù)庫、SQL數(shù)據(jù)庫等主流應(yīng)用。當(dāng)然，對(duì)

52、不同的控制點(diǎn)，對(duì)防火墻的要求會(huì)不完全一樣。有效地反映網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)系統(tǒng)及其業(yè)務(wù)的可用性、可靠性。要適合中小型公司網(wǎng)絡(luò)接入模式、接口規(guī)范、帶寬要求，防火墻不能成為網(wǎng)絡(luò)或業(yè)務(wù)的瓶頸。防火墻要符合國(guó)家相關(guān)標(biāo)準(zhǔn)和規(guī)范。防火墻要具有很高的可靠性，不會(huì)降低網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的可靠性。深層日志及靈活、強(qiáng)大審計(jì)分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進(jìn)行日志選項(xiàng)(不做日志、通信日志(即傳統(tǒng)的日志)、應(yīng)用層協(xié)議日志、應(yīng)用層內(nèi)容日志)。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)信息，可詳細(xì)審計(jì)命令級(jí)操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計(jì)分析的有效性。更好地支持業(yè)界公認(rèn)的TOPSEC協(xié)議，防火墻應(yīng)具有聯(lián)動(dòng)功能，能夠?qū)?/p>

53、現(xiàn)與入侵檢測(cè)設(shè)備的通訊。采用獨(dú)創(chuàng)的最新最先進(jìn)核檢測(cè)技術(shù)，即基于0S內(nèi)核的會(huì)話檢測(cè)技術(shù)，在0S內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層訪問控制。它相對(duì)于包過濾和應(yīng)用代理防火墻來講，不但更加成功地實(shí)現(xiàn)了對(duì)應(yīng)用層的細(xì)粒度控制，同時(shí)，更有效保證了防火墻的性能19。通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻，防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護(hù)了中小型公司服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自校園網(wǎng)內(nèi)部其它部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)一個(gè)部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。防火墻根據(jù)系統(tǒng)管理者

54、設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò)，提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制。同時(shí)提供網(wǎng)絡(luò)地址轉(zhuǎn)換、透明的代理服務(wù)、信息過濾、內(nèi)容過濾、雙機(jī)熱備份、流量控制、帶寬管理，用戶身份認(rèn)證等功能圖4.2 防火墻系統(tǒng)部署方案4.5入侵檢測(cè)系統(tǒng)入侵是指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。一般而言，入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)，惡意使用六種類型。概括的說，入侵表示系統(tǒng)發(fā)生了違反系統(tǒng)安全策略的事件。入侵檢測(cè)是指通過檢查操作系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來檢測(cè)系統(tǒng)中違背安全策略或危機(jī)系統(tǒng)安全的行為或活動(dòng)，從而保護(hù)系統(tǒng)的資源不受攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改

55、和破壞。入侵檢測(cè)系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測(cè)入侵活動(dòng)的系統(tǒng)，包括入侵檢測(cè)的軟件和硬件的組合20。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測(cè)系統(tǒng)必須包括如下三個(gè)功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件?！叭肭謾z測(cè)”是一種網(wǎng)絡(luò)實(shí)時(shí)自動(dòng)攻擊識(shí)別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息，對(duì)這些信息加以分析，查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞，主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生，如果發(fā)現(xiàn)有入侵事件，自動(dòng)對(duì)這些事件響應(yīng)，同時(shí)給出相應(yīng)提示。中小型公司辦公部門比較多，內(nèi)部網(wǎng)根據(jù)部門劃分不同的子網(wǎng)網(wǎng)段。每個(gè)部門或子網(wǎng)都有一個(gè)交換機(jī)，

56、設(shè)置網(wǎng)絡(luò)中心，有專門的網(wǎng)絡(luò)管理員。各個(gè)子網(wǎng)匯總到網(wǎng)絡(luò)中，自連接到高性能服務(wù)器群，高性能服務(wù)器群放置在防火墻的DMZ區(qū)。根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇IDS探測(cè)器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。圖4.5 IDS部署方案圖在中小型公司安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門子網(wǎng)和其它部門子網(wǎng)之間，通過實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡，尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動(dòng)。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時(shí)，入侵檢測(cè)可以進(jìn)行如下反應(yīng)：(l)控制臺(tái)報(bào)警

57、。(2)記錄網(wǎng)絡(luò)攻擊事件。(3)實(shí)時(shí)阻斷網(wǎng)絡(luò)連接。(4)入侵檢測(cè)可以過濾和監(jiān)視TCP/工P協(xié)議。系統(tǒng)管理員通過配置入侵檢測(cè)，可以按協(xié)議，源端口，目的端口，源工P/目的工P地址過濾。(5)入侵檢測(cè)還支持用戶自定義的網(wǎng)絡(luò)安全事件監(jiān)視。(6)入侵檢測(cè)能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計(jì)并以開放數(shù)據(jù)庫方式支持安全分析決策系統(tǒng)，從而為網(wǎng)絡(luò)安全提供有效的保障。4.6漏洞掃描系統(tǒng)網(wǎng)絡(luò)設(shè)備和軟件在設(shè)計(jì)開發(fā)過程中不可避免存在缺陷和漏洞，漏洞隨著時(shí)間推移越來越多;攻擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動(dòng)程序來完成攻擊，這些都導(dǎo)致黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高。由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，網(wǎng)絡(luò)管理

58、員失去了對(duì)網(wǎng)絡(luò)資源的精確控制。采用網(wǎng)絡(luò)漏洞掃描器對(duì)存在的安全隱患進(jìn)行檢查，幫助管理員找出解決的方法。中小型公司內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在中小型公司內(nèi)網(wǎng)高性能服務(wù)器處配置網(wǎng)絡(luò)隱患掃描聯(lián)動(dòng)型產(chǎn)品。聯(lián)動(dòng)型適用于中小型公司內(nèi)網(wǎng)這樣的高端用戶，聯(lián)動(dòng)型掃描系統(tǒng)包括掃描服務(wù)器和移動(dòng)掃描儀。掃描服務(wù)器部署于網(wǎng)絡(luò)中心，高速高效且穩(wěn)定的掃描防護(hù)整體網(wǎng)絡(luò);移動(dòng)掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻、主流IDS產(chǎn)品，多種主流聯(lián)動(dòng)協(xié)議Topsee、Opensec聯(lián)動(dòng)，與多種安全管理平臺(tái)兼容，統(tǒng)一安全策略配置，保障全網(wǎng)安全。通過部署多級(jí)聯(lián)動(dòng)型產(chǎn)品實(shí)現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方便的通過控制

59、掃描器就可以實(shí)現(xiàn)對(duì)多級(jí)管轄區(qū)域的服務(wù)器進(jìn)行統(tǒng)一和及時(shí)管理，實(shí)現(xiàn)對(duì)管轄區(qū)域服務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。網(wǎng)絡(luò)人員使用聯(lián)動(dòng)型產(chǎn)品，就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描，可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。通過部署漏洞掃描的聯(lián)動(dòng)設(shè)備，保障中小

60、型公司內(nèi)網(wǎng)重要部門的網(wǎng)絡(luò)安全的同時(shí)，提高每個(gè)部門的安全性就顯得尤其重要。只有部門的安全得到保證的前提下，中小型公司內(nèi)網(wǎng)才能夠安全。我們對(duì)這些部門進(jìn)行合理的規(guī)劃，可以將這些部門根據(jù)統(tǒng)一的配置策略，給下屬部門、網(wǎng)絡(luò)管理應(yīng)用服務(wù)系統(tǒng)配置網(wǎng)絡(luò)聯(lián)動(dòng)掃描系統(tǒng)來保證各個(gè)部門的安全性。這樣就可以很方便的管理信息點(diǎn)多、網(wǎng)絡(luò)環(huán)境較固定、與中小型公司的業(yè)務(wù)應(yīng)用緊密相關(guān)的內(nèi)網(wǎng)中。聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，有較高的掃描速度，支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Web方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)