局域網(wǎng)安全控制實施方案及安全產(chǎn)品部署

目錄1引言 11.1項目背景 11.2國內(nèi)外現(xiàn)狀 11.3項目意義 11.4項目實現(xiàn)方法 12局域網(wǎng)的概論、網(wǎng)絡(luò)結(jié)構(gòu)分類及特點 22.1局域網(wǎng)概念 22.2局域網(wǎng)的組成及功能 22.3局域網(wǎng)的拓撲結(jié)構(gòu)分類及特點 22.3.1總線型網(wǎng) 22.3.2星型網(wǎng) 32.3.3環(huán)型網(wǎng) 42.3.4混合型拓撲結(jié)構(gòu) 52.4無線網(wǎng)絡(luò)結(jié)構(gòu) 53.1局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu) 63.1.1XX信息服務(wù)公司的局域網(wǎng) 63.1.2網(wǎng)絡(luò)結(jié)構(gòu) 63.2網(wǎng)絡(luò)應(yīng)用 63.3網(wǎng)絡(luò)結(jié)構(gòu)的特點 63.3網(wǎng)絡(luò)系統(tǒng)安全風險分析 74局域網(wǎng)安全控制實施方案及安全產(chǎn)品部署 84.1物理安全的防范控制 84.2系統(tǒng)安全的防范控制 84.2.1計算機網(wǎng)絡(luò)設(shè)備系統(tǒng)的安全配置 84.2.2計算機操作系統(tǒng)的安全配置 84.3企業(yè)郵件系統(tǒng)安全的解決方案 104.4網(wǎng)絡(luò)安全的防范控制 114.5應(yīng)用安全的防范控制 135局域網(wǎng)安全控制措施測試 165.1測試方案 16結(jié)論 18致謝 19參考文獻 201引言1.1項目背景隨著計算機技術(shù)的飛速發(fā)展，辦公信息化和設(shè)備數(shù)字化的不斷普及，企業(yè)網(wǎng)絡(luò)的建設(shè)也越來越重要。目前我國大多企業(yè)都已經(jīng)搭建了公司的局域網(wǎng)，用于實現(xiàn)辦公自動化和網(wǎng)絡(luò)化，從提高辦公效率，為企業(yè)創(chuàng)造更多的效益。但隨之而來的計算機網(wǎng)絡(luò)安全問題也日益突出，局域網(wǎng)的安全問題引起了我們的重視，局域網(wǎng)內(nèi)網(wǎng)的安全隱患給我們帶來了許多麻煩，來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或用戶就可能通過到無線局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動進入網(wǎng)絡(luò)，形成極大的安全隱患。很多有線網(wǎng)絡(luò)中的安全策略在無線方式下不再適用。局域網(wǎng)在帶來巨大應(yīng)用便利的同時，也存在許多安全上的問題。為了確保各項工作的安全高效運行，保證網(wǎng)絡(luò)信息的安全，計算機網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)就顯得尤為重要。這也是本課題研究的意義和目的。1.2國內(nèi)外現(xiàn)狀國外現(xiàn)狀：國外的信息安全研究起步較早，早在20世紀70年代美國就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上，提出了“可信計算機系統(tǒng)安全評估準則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準則。安全協(xié)議作為信息安全的重要內(nèi)容，處于發(fā)展提高階段，仍存在局限性和漏洞。另外基于計算機運算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升，各種安全技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)21世紀將成為信息安全的關(guān)鍵技術(shù)。國內(nèi)：現(xiàn)狀近期，國內(nèi)反病毒廠商江民科技進行了一項針對我國中小企業(yè)局域網(wǎng)狀況的調(diào)查，調(diào)查對象包括北京、廣東、武漢等十余個城市的中小企業(yè)。報告顯示全國有78.04%的中小型企業(yè)局域網(wǎng)中都存在病毒威脅，僅有21.96%的企業(yè)擁有良好的網(wǎng)絡(luò)環(huán)境，在所有參與調(diào)查的企業(yè)中，有15.75%的企業(yè)局域網(wǎng)中沒有任何的防護措施，81.48%的企業(yè)只安裝了單機版殺毒軟件。所以在國內(nèi)局域網(wǎng)的安全現(xiàn)狀還是非常的突出，也極大地影響公司的發(fā)展與形象。1.3項目意義通過對局域網(wǎng)的結(jié)構(gòu)功能等內(nèi)容的了解，對局域網(wǎng)所面臨的安全進行分析，并提出相應(yīng)的解決方案，對網(wǎng)絡(luò)安全的防范技術(shù)做了分析和比較。在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種安全產(chǎn)品的信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位，特別是對加強安全應(yīng)采取的應(yīng)對措施做了較深入的闡述。1.4項目實現(xiàn)方法⑴通過對路由器，交換機，服務(wù)器等設(shè)備的設(shè)置，提出了對物理設(shè)備的安全解決方案。⑵通過對WINDDOWS2003SERVER系統(tǒng)管理實施，提出了系統(tǒng)信息安全的解決方案。⑶通過對WINDOWSEXCHANGESERVER2003系統(tǒng)的實施，提出了郵件系統(tǒng)安全的解決方案。⑷通過的WINDOWSISASERVER2004系統(tǒng)實施，提出了網(wǎng)絡(luò)系統(tǒng)安全的解決方案。⑸通過江民科技企業(yè)版殺毒軟件系統(tǒng)實施，提出了應(yīng)用安全管理的解決方案。

2局域網(wǎng)的概論、網(wǎng)絡(luò)結(jié)構(gòu)分類及特點2.1局域網(wǎng)概念局域網(wǎng)（LocalAreaNetwork）是在一個局部的地理范圍內(nèi)(如一個學校、工廠和機關(guān)內(nèi))，將各種計算機。外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)Ｓ脭?shù)據(jù)電路，與遠方的局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，構(gòu)成一個大范圍的信息處理系統(tǒng)。簡稱LAN，是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組?！澳骋粎^(qū)域”指的是同一辦公室、同一建筑物、同一公司和同一學校等，一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、掃描儀共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千臺計算機組成。2.2局域網(wǎng)的組成及功能局部網(wǎng)絡(luò)的構(gòu)成并不復(fù)雜，一般由微機及外部設(shè)備、通訊控制信息傳輸?shù)慕涌跈C及相應(yīng)的網(wǎng)絡(luò)管理軟件等四大部分組成。要把多臺個人計算機連接起來，構(gòu)成局部網(wǎng)絡(luò)，必須使用一定的聯(lián)網(wǎng)硬件。最簡單的聯(lián)網(wǎng)硬件是插入個人計算機的網(wǎng)絡(luò)接口插件和將這些網(wǎng)絡(luò)插件連接起來的電纜系統(tǒng)。LAN最主要的功能是提供資源共享和相互通信，它可提供以下幾項主要服務(wù)：⑴資源共享包括硬件資源共享、軟件資源共享及數(shù)據(jù)庫存共享。在局域網(wǎng)上各用戶可以共享昴貴的硬件資源，如大型外部存儲器、繪圖儀、激光打印機、圖文掃描儀等特殊外設(shè)。用戶可共享網(wǎng)絡(luò)上系統(tǒng)軟件和應(yīng)用軟件，避免重復(fù)投資及重復(fù)勞動。網(wǎng)絡(luò)技術(shù)可使大量分散的數(shù)據(jù)能被迅速集中、分析和處理，分散在網(wǎng)內(nèi)的計算機用戶可以共享網(wǎng)內(nèi)的大型數(shù)據(jù)庫而不必重要設(shè)計這些數(shù)據(jù)庫。⑵數(shù)據(jù)傳送和電子郵件數(shù)據(jù)和文件的傳輸是網(wǎng)絡(luò)的重要功能，現(xiàn)代局域網(wǎng)不僅能傳送文件、數(shù)據(jù)信息，還可以傳送聲音、圖像。局域網(wǎng)站點之間可提供電子郵件服務(wù)，某網(wǎng)絡(luò)用戶可以輸入信件并傳送給另一用戶，收信人可打開“郵箱”閱讀處理信件并可寫回信再發(fā)回電子郵件，既節(jié)省紙張又快捷方便。⑶提高計算機系統(tǒng)的可靠性局域網(wǎng)中的計算機可以互為后備，避免了單機系統(tǒng)的無后備時可能出現(xiàn)的故障導(dǎo)致系統(tǒng)癱瘓，大大提高了系統(tǒng)的可靠性，特別在工業(yè)過程控制、實時數(shù)據(jù)處理等應(yīng)用中尤為重要。⑷易于分布處理利用網(wǎng)絡(luò)技術(shù)能將多臺計算機連成具有高性能的計算機系統(tǒng)，通過一定算法，將較大型的綜合性問題分給不同的計算機去完成。在網(wǎng)絡(luò)上可建立分布式數(shù)據(jù)庫系統(tǒng)，使整個計算機系統(tǒng)的性能大大提高。2.3局域網(wǎng)的拓撲結(jié)構(gòu)分類及特點局域網(wǎng)通常是分布在一個有限地理范圍內(nèi)的網(wǎng)絡(luò)系統(tǒng)，一般所涉及的地理范圍只有幾公里。局域網(wǎng)專用性非常強，具有比較穩(wěn)定和規(guī)范的拓撲結(jié)構(gòu)。常見的局域網(wǎng)拓樸結(jié)構(gòu)如下計算機局域網(wǎng)一般采用四種基本拓撲結(jié)構(gòu)：總線型、星型、環(huán)型、和樹型結(jié)構(gòu)。2.3.1總線型網(wǎng)

在總線型網(wǎng)中所有入網(wǎng)的、計算機設(shè)備共用一條傳輸線路，如圖2.3.1所示。計算機通過專用的分接頭接入線路。由于線路對信號的衰減作用，總線型網(wǎng)僅用于在有限的區(qū)域內(nèi)組建局域網(wǎng)?？偩€型拓撲結(jié)構(gòu)采用競爭方式傳送信息，總線上所有計算機共享網(wǎng)絡(luò)帶寬，網(wǎng)上計算機越多，速度越慢，而且會因總線上某個結(jié)點接觸不好，影響網(wǎng)絡(luò)的正常通信，網(wǎng)絡(luò)不易維護。隨著交換機的功能不斷提高，人們已不再采用總線方式組建局域網(wǎng)總線形結(jié)構(gòu)網(wǎng)絡(luò)是將各個節(jié)點設(shè)備和一根總線相連。網(wǎng)絡(luò)中所有的節(jié)點工作站都是通過總線進行信息傳輸?shù)?。作為總線的通信連線可以是同軸電纜、雙絞線，也可以是扁平電纜。在總線結(jié)構(gòu)中，作為數(shù)據(jù)通信必經(jīng)的問好線的負載能量是有限度的，這是由通信媒體本身的物理性能決定的。所以，總線結(jié)構(gòu)網(wǎng)絡(luò)中工作站節(jié)點的個數(shù)是有限制的，如果工作站節(jié)點的個數(shù)超出總線負載能量，就需要延長總線的長度，并加入相當數(shù)量的附加轉(zhuǎn)接部件，使總線負載達到容量要求?？偩€形結(jié)構(gòu)網(wǎng)絡(luò)簡單、靈活，可擴充性能好。所以，進行節(jié)點設(shè)備的插入與拆卸非常方便。另外，總線結(jié)構(gòu)網(wǎng)絡(luò)可靠性高、網(wǎng)絡(luò)節(jié)點間響應(yīng)速度快、共享資源能力強、設(shè)備投入量少、成本低、安裝使用方便，當某個工作站節(jié)點出現(xiàn)故障時，對整個網(wǎng)絡(luò)系統(tǒng)影響小。因此，總線結(jié)構(gòu)網(wǎng)絡(luò)是最普遍使用的一種網(wǎng)絡(luò)。但是由于所有的工作站通信均通過一條共用的總線，所以，實時性較差。圖2.3.1總線型網(wǎng)絡(luò)2.3.2星型網(wǎng)

星型網(wǎng)是以一臺中心處理機為主而構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)的計算機設(shè)備與該中心處理機之間有直接的物理鏈路，所有網(wǎng)上傳輸?shù)男畔⒕柰ㄟ^該中心處理機轉(zhuǎn)發(fā)，如圖2.3.2所示。目前，大多數(shù)企業(yè)的局域網(wǎng)從物理連接上都采用星型結(jié)構(gòu)，將上網(wǎng)的計算機連到一臺或多臺交換機上，構(gòu)成星型結(jié)構(gòu)或樹型結(jié)構(gòu)。這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。星型網(wǎng)絡(luò)幾乎是Ethernet（以太網(wǎng)）網(wǎng)絡(luò)專用，它是因網(wǎng)絡(luò)中的各工作站節(jié)點設(shè)備通過一個網(wǎng)絡(luò)集中設(shè)備（如集線器或者交換機）連接在一起，各節(jié)點呈星狀分布而得名。這類網(wǎng)絡(luò)目前用的最多的傳輸介質(zhì)是雙絞線，如常見的五類線、超五類雙絞線等。這種拓撲結(jié)構(gòu)網(wǎng)絡(luò)的基本特點主要有如下幾點：⑴容易實現(xiàn)它所采用的傳輸介質(zhì)一般都是采用通用的雙絞線，這種傳輸介質(zhì)相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜那更不用說了。這種拓撲結(jié)構(gòu)主要應(yīng)用于IEEE802.2、IEEE802.3標準的以太局域網(wǎng)中；⑵節(jié)點擴展和移動方便節(jié)點擴展時只需要從集線器或交換機等集中設(shè)備中拉一條線即可，而要移動一個節(jié)點只需要把相應(yīng)節(jié)點設(shè)備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡(luò)那樣“牽其一而動全局”；⑶維護容易一個節(jié)點出現(xiàn)故障不會影響其它節(jié)點的連接，可任意拆走故障節(jié)點；⑷采用廣播信息傳送方式任何一個節(jié)點發(fā)送信息在整個網(wǎng)中的節(jié)點都可以收到，這在網(wǎng)絡(luò)方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大；⑸網(wǎng)絡(luò)傳輸數(shù)據(jù)快這一點可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。這種結(jié)構(gòu)的網(wǎng)絡(luò)是各工作站以星形方式連接起來的，網(wǎng)中的每一個節(jié)點設(shè)備都以中防節(jié)為中心，通過連接線與中心節(jié)點相連，如果一個工作站需要傳輸數(shù)據(jù)，它首先必須通過中心節(jié)點。由于在這種結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中，中心節(jié)點是控制中心，任意兩個節(jié)點間的通信最多只需兩步，所以，能夠傳輸速度快，并且網(wǎng)絡(luò)構(gòu)形簡單、建網(wǎng)容易、便于控制和管理。但這種網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)可靠性低，網(wǎng)絡(luò)共享能力差，并且一旦中心節(jié)點出現(xiàn)故障則導(dǎo)致全網(wǎng)癱瘓。

圖2.3.2星型網(wǎng)絡(luò)2.3.3環(huán)型網(wǎng)

在環(huán)型網(wǎng)中入網(wǎng)的計算機通過通信設(shè)備接入網(wǎng)絡(luò)，每個通信設(shè)備僅與兩個相鄰的通信設(shè)備有直接的物理鏈路，所有的通信設(shè)備及其物理鏈路構(gòu)成了一個環(huán)狀的網(wǎng)絡(luò)系統(tǒng)，如圖2.3.3所示。。環(huán)形拓撲可以用于組建局域網(wǎng)和廣域網(wǎng)。環(huán)形結(jié)構(gòu)是網(wǎng)絡(luò)中各節(jié)點通過一條首尾相連的通信鏈路連接起來的一個閉合一閉合環(huán)形結(jié)構(gòu)網(wǎng)。環(huán)形結(jié)構(gòu)網(wǎng)絡(luò)的結(jié)構(gòu)也比較簡單，系統(tǒng)中各工作站地位相等。系統(tǒng)中通信設(shè)備和線路比較節(jié)省。在網(wǎng)中信息設(shè)有固定方向單向流動，兩個工作站節(jié)點之間僅有一條通路，系統(tǒng)中無信道選擇問題；某個結(jié)點的故障將導(dǎo)致物理癱瘓。環(huán)網(wǎng)中，由于環(huán)路是封閉的，所以不便于擱充，系統(tǒng)響應(yīng)延時長，且信息傳輸效率相對較低。這種結(jié)構(gòu)的網(wǎng)絡(luò)形式主要應(yīng)用于令牌網(wǎng)中，在這種網(wǎng)絡(luò)結(jié)構(gòu)中各設(shè)備是直接通過電纜來串接的，最后形成一個閉環(huán)，整個網(wǎng)絡(luò)發(fā)送的信息就是在這個環(huán)中傳遞，通常把這類網(wǎng)絡(luò)稱之為“令牌環(huán)網(wǎng)”。實際上大多數(shù)情況下這種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)不會是所有計算機真的要連接成物理上的環(huán)型，一般情況下，環(huán)的兩端是通過一個阻抗匹配器來實現(xiàn)環(huán)的封閉的，因為在實際組網(wǎng)過程中因地理位置的限制不方便真的做到環(huán)的兩端物理連接。這種拓撲結(jié)構(gòu)的網(wǎng)絡(luò)主要有如下幾個特點：這種網(wǎng)絡(luò)結(jié)構(gòu)一般僅適用于IEEE802.5的令牌網(wǎng)（Tokenringnetwork），在這種網(wǎng)絡(luò)中，“令牌”是在環(huán)型連接中依次傳遞。所用的傳輸介質(zhì)一般是同軸電纜。這種網(wǎng)絡(luò)實現(xiàn)也非常簡單，投資最小?？梢詮钠渚W(wǎng)絡(luò)結(jié)構(gòu)示意圖中看出，組成這個網(wǎng)絡(luò)除了各工作站就是傳輸介質(zhì)--同軸電纜，以及一些連接器材，沒有價格昂貴的節(jié)點集中設(shè)備，如集線器和交換機。但也正因為這樣，所以這種網(wǎng)絡(luò)所能實現(xiàn)的功能最為簡單，僅能當作一般的文件服務(wù)模式。傳輸速度較快：在令牌網(wǎng)中允許有16Mbps的傳輸速度，它比普通的10Mbps以太網(wǎng)要快許多。當然隨著以太網(wǎng)的廣泛應(yīng)用和以太網(wǎng)技術(shù)的發(fā)展，以太網(wǎng)的速度也得到了極大提高，目前普遍都能提供100Mbps的網(wǎng)速，遠比16Mbps要高。維護困難：從其網(wǎng)絡(luò)結(jié)構(gòu)可以看到，整個網(wǎng)絡(luò)各節(jié)點間是直接串聯(lián)，這樣任何一個節(jié)點出了故障都會造成整個網(wǎng)絡(luò)的中斷、癱瘓，維護起來非常不便。另一方面因為同軸電纜所采用的是插針式的接觸方式，所以非常容易造成接觸不良，網(wǎng)絡(luò)中斷，而且這樣查找起來非常困難，這一點相信維護過這種網(wǎng)絡(luò)的人都會深有體會。擴展性能差：也是因為它的環(huán)型結(jié)構(gòu)，決定了它的擴展性能遠不如星型結(jié)構(gòu)的好，如果要新添加或移動節(jié)點，就必須中斷整個網(wǎng)絡(luò)，在環(huán)的兩端作好連接器才能連接。圖2.3.3環(huán)形型網(wǎng)絡(luò)2.3.4混合型拓撲結(jié)構(gòu)這種網(wǎng)絡(luò)拓撲結(jié)構(gòu)是由前面所講的星型結(jié)構(gòu)和總線型結(jié)構(gòu)的網(wǎng)絡(luò)結(jié)合在一起的網(wǎng)絡(luò)結(jié)構(gòu)，這樣的拓撲結(jié)構(gòu)更能滿足較大網(wǎng)絡(luò)的拓展，解決星型網(wǎng)絡(luò)在傳輸距離上的局限，而同時又解決了總線型網(wǎng)絡(luò)在連接用戶數(shù)量的限制。這種網(wǎng)絡(luò)拓撲結(jié)構(gòu)同時兼顧了星型網(wǎng)與總線型網(wǎng)絡(luò)的優(yōu)點，在缺點方面得到了一定的彌補。2.4無線網(wǎng)絡(luò)結(jié)構(gòu)無線局域網(wǎng)，也被稱為

WLAN（WirelessLAN），一般用于寬帶家庭，大樓內(nèi)部以及園區(qū)內(nèi)部，典型距離覆蓋幾十米至幾百米，目前采用的技術(shù)主要是

802.11a/b/g/n

系列。WLAN

利用無線技術(shù)在空中傳輸數(shù)據(jù)、話音和視頻信號，作為傳統(tǒng)布線網(wǎng)絡(luò)的一種替代方案或延伸。無線局域網(wǎng)的出現(xiàn)使得原來有線網(wǎng)絡(luò)所遇到的問題迎刃而解，它可以使用戶任意對有線網(wǎng)絡(luò)進行擴展和延伸。只要在有線網(wǎng)絡(luò)的基礎(chǔ)上通過無線接入點、無線網(wǎng)橋、無線網(wǎng)卡等無線設(shè)備使無線通信得以實現(xiàn)。在不進行傳統(tǒng)布線的同時，提供有線局域網(wǎng)的所有功能，并能夠隨著用戶的需要隨意的更改擴展網(wǎng)絡(luò)，實現(xiàn)移動應(yīng)用。無線局域網(wǎng)把個人從辦公桌邊解放了出來，使他們可以隨時隨地獲取信息，提高了員工的辦公效率。一般而言，對比于傳統(tǒng)的有線網(wǎng)絡(luò)，無線局域網(wǎng)的應(yīng)用價值體現(xiàn)在：可移動性：由于沒有線纜的限制，用戶可以在不同的地方移動工作，網(wǎng)絡(luò)用戶不管在任何地方都可以實時地訪問信息。布線容易：由于不需要布線，消除了穿墻或過天花板布線的繁瑣工作，因此安裝容易，建網(wǎng)時間可大大縮短。組網(wǎng)靈活：無線局域網(wǎng)可以組成多種拓撲結(jié)構(gòu)，可以十分容易地從少數(shù)用戶的點對點模式擴展到上千用戶的基礎(chǔ)架構(gòu)網(wǎng)絡(luò)。成本優(yōu)勢：這種優(yōu)勢體現(xiàn)在用戶網(wǎng)絡(luò)需要租用大量的電信專線進行通信的時候，自行組建的

WLAN

會為用戶節(jié)約大量的租用費用。在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)的投資更有回報。企業(yè)實際局域網(wǎng)結(jié)構(gòu)總體分析本安全解決方案的目標是以XX信息服務(wù)公司為例，在不影響XX當前業(yè)務(wù)的前提下，實現(xiàn)對局域網(wǎng)全面的安全管理，內(nèi)容包括：公司重要文件的安全、保密，避免信息泄密。對電腦操作系統(tǒng)、ERP系統(tǒng)進行管理設(shè)置，加強審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。通過網(wǎng)絡(luò)檢測系統(tǒng)等方式實現(xiàn)實時安全監(jiān)控，利用各種形式安全策略，提供對企業(yè)用戶進行整體化管理，提高局域網(wǎng)安全性使網(wǎng)絡(luò)管理員能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。在所有服務(wù)器、用戶電腦上安裝相應(yīng)的防病毒軟件，由系統(tǒng)控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。將公司內(nèi)所有的硬件、軟件及安全策略等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入公司網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風險。3.1局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)概況,如圖3.1.1所示。圖3.1.1網(wǎng)絡(luò)結(jié)構(gòu)3.1.1XX信息服務(wù)公司的局域網(wǎng)是一個信息點較為集中的百兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有信息點為XX公司各部門提供了一個快速、方便的信息共享與交流的平臺。不僅如此，通過ADSL、專線與Internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接通過互聯(lián)網(wǎng)與客戶進行交流、聯(lián)系；操作ERP等應(yīng)用系統(tǒng)、查詢資料等。通過公開的MSN、QQ、郵件服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。從而達到節(jié)約通信成本、優(yōu)化資源的目的。3.1.2網(wǎng)絡(luò)結(jié)構(gòu)整個局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域：用戶通過代理服務(wù)器，共享ADSL進行上網(wǎng)、網(wǎng)絡(luò)傳真、應(yīng)用MSN、企業(yè)QQ、了解最新信息等。內(nèi)部網(wǎng)絡(luò)區(qū)域：ERP、金蝶、企業(yè)郵箱及打印共享的應(yīng)用。公開服務(wù)器區(qū)域：ERP服務(wù)器、文件服務(wù)器、郵件服務(wù)器等3.2網(wǎng)絡(luò)應(yīng)用XX信息服務(wù)公司的局域網(wǎng)目前為用戶提供如下主要應(yīng)用：文件共享、辦公自動化、WWW服務(wù)、電子郵件服務(wù)、溝通與聯(lián)絡(luò)等。重要文件數(shù)據(jù)的統(tǒng)一存儲與拷貝。財務(wù)系統(tǒng)、ERP系統(tǒng)等的應(yīng)用。提供與Internet的訪問、MSN、QQ等在線聯(lián)系。通過公開服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等。移動辦公，包括手提電腦的應(yīng)用，或員工出差時使用的其它電腦。3.3網(wǎng)絡(luò)結(jié)構(gòu)的特點從安全風險考慮，XX信息公司網(wǎng)絡(luò)有如下幾個特點：網(wǎng)絡(luò)與Internet直接連結(jié)，因此存在許多與Internet連結(jié)的有關(guān)風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權(quán)訪問等。網(wǎng)絡(luò)中存在公開服務(wù)器，由于公開服務(wù)器對外必須開放部分業(yè)務(wù)，因此在進行安全方案設(shè)計時應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開服務(wù)器的安全風險擴散到內(nèi)部。3.3網(wǎng)絡(luò)系統(tǒng)安全風險分析⑴帶有目的的員工將給公司造成不可估量的損失：對于已經(jīng)離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風險。但還有心懷不滿的在職員工，這些員工比已經(jīng)離開的員工能造成更大的損失，例如他們可以通過郵件、QQ、盜用同事密碼等手段，傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。⑵網(wǎng)絡(luò)平臺風險分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)路狀況及網(wǎng)絡(luò)的環(huán)境等。公開服務(wù)器面臨的威脅XX企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（ERP、EMAIL、文件服務(wù)等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運行或者受到攻擊，對企業(yè)的聲譽影響巨大。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；因此，對Internet安全做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應(yīng)主機，其他的請求服務(wù)在到達主機之前就應(yīng)該遭到拒絕。同時還需要對服務(wù)器的重要數(shù)據(jù)進行定期維護，備份。以達到服務(wù)器出現(xiàn)問題后及時采取相對應(yīng)的急救措施。⑶系統(tǒng)安全風險分析主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略：對操作系統(tǒng)進行規(guī)范、統(tǒng)一的安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對Internet公開。關(guān)鍵性信息不直接公開，盡可能都采用安全性高的windows2003操作系統(tǒng)。網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品；并對服務(wù)器進行定期備份。⑷應(yīng)用安全風險分析主要考慮ERP系統(tǒng)的應(yīng)用，確保用戶的合法性；應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。另外，在加強主機和系統(tǒng)漏洞檢測并緊密注視其Bug；對掃描軟件不斷升級。⑸互聯(lián)網(wǎng)病毒風險分析計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數(shù)已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴重的破壞。典型的“沖擊波”病毒就是一個可怕的例子。通過前面我們對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對重要文檔資料的管理、服務(wù)器的安全保護、防黑客和病毒以及重要網(wǎng)點的保護上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：ERP、金蝶、各部門重要文檔等數(shù)據(jù)的安全保護。ERP、用友、各部門重要文檔等數(shù)據(jù)的數(shù)據(jù)備份與恢復(fù)。EMAIL、FTP文件服務(wù)器與ERP公開服務(wù)器的安全保護，防止公司重要資料與文件的外泄，防止黑客從外部攻擊入侵檢測與監(jiān)控。信息審計與記錄。病毒防護。網(wǎng)絡(luò)的安全管理。

4局域網(wǎng)安全控制實施方案及安全產(chǎn)品部署通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成：物理安全的防范控制、系統(tǒng)安全的防范控制、郵件系統(tǒng)安全的防范控制、網(wǎng)絡(luò)安全的防范控制、應(yīng)用安全的防范控制4.1物理安全的防范控制電腦系統(tǒng)的各種設(shè)備的物理安全是整個信息系統(tǒng)安全的前提，物理安全是保護電腦網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭水災(zāi)、火災(zāi)，電擊等環(huán)境事故以及人為操作失誤或錯誤導(dǎo)致的破壞過程。4.2系統(tǒng)安全的防范控制4.2.1計算機網(wǎng)絡(luò)設(shè)備系統(tǒng)的安全配置⑴路由器的安全配置路由器設(shè)置安全登錄密碼。盡量關(guān)閉TELENT遠程登錄，保證路由器密碼安全。利用路由器路由協(xié)議的安全配置和訪問控制策略，禁止和關(guān)閉如PING、FINGER、ARP-Proxy等一些公司不必要的服務(wù)，減少外部網(wǎng)絡(luò)的惡意攻擊，利用建立訪問控制列表實現(xiàn)網(wǎng)絡(luò)不被非法訪問，加強網(wǎng)絡(luò)安全屏蔽。對于擁有無線網(wǎng)絡(luò)功能的路由器要求做到，隱藏、更改、關(guān)閉SSID無線廣播，通過WEP或WPA設(shè)置無線登錄密碼，禁用DHCP的IP自動分配功能，使用手動分配IP并建立IP訪問列表，防止非法用戶進入局域網(wǎng)。對路由器的配置文件進行備份。⑵交換機的安全配置通過交換機進行網(wǎng)絡(luò)流量控制，避免網(wǎng)絡(luò)堵塞。安全交換機進行采用專門技術(shù)防范DDos攻擊，防止內(nèi)部網(wǎng)絡(luò)遭受惡意攻擊。交換機虛擬局域網(wǎng)功能(VLAN):VLAN可以跨越一個或多個交換機，設(shè)備之間與物理位置無關(guān)，VLAN限制了各個不同VLAN之間的非授權(quán)訪問，提高了網(wǎng)絡(luò)訪問的安全性，IP與MAC地址綁定可以限制用戶的非法訪問及IP地址欺騙攻擊。交換機的IDS入侵檢測功能還可以對數(shù)據(jù)流進行檢測，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件時，進行有針對性的操作。對交換機的操作配置文件進行備份。4.2.2計算機操作系統(tǒng)的安全配置對公司的操作系統(tǒng)使用以服務(wù)器為windows2003server，客戶端為windowsxp的域模式的系統(tǒng)結(jié)構(gòu)，對公司系統(tǒng)安全進行配置，操作系統(tǒng)的安全配置：公司局域網(wǎng)以windowsservers2003為服務(wù)器，windowsXP為工作站位的單域結(jié)構(gòu)模式組成，公司的每一個員工都必須有一個賬戶，才能登錄到計算機和服務(wù)器，并且訪問網(wǎng)絡(luò)上的資源，通過服務(wù)器相關(guān)的設(shè)置來達到對公司各級別員工使用系統(tǒng)和網(wǎng)絡(luò)的權(quán)限控制：服務(wù)器建立DC（域控制器）。建立AD(活動目錄)。建立OU(組織單位)。建立用戶并按部門加入不同權(quán)限級別的OU或組。為每個用戶設(shè)置密碼，并修改用戶賬戶屬性“賬戶”選項卡中可以更改用戶登錄名、密碼策略和賬戶策略，在“賬戶”選項卡中，可以控制用戶的登錄時間和只能登錄哪些服務(wù)器或計算機。單擊“登錄時間”按鈕，可在如圖4-26所示的對話框中設(shè)置登錄時間。同時可以通過單擊“登錄到”按鈕，控制用戶只能登錄哪些服務(wù)器或計算機如圖4.2.1和4.2.2所示。圖4.2.1創(chuàng)建用戶圖4.2..2賬戶登錄設(shè)置服務(wù)器文件系統(tǒng)格式采用NTFS文件系統(tǒng)，，標準NTFS權(quán)限分別為：讀取、寫入、讀取和運行、修改、完全控制。我們可以將服務(wù)器上的公用和共享文件設(shè)置不同的訪問權(quán)限，允許或拒絕某個用戶或用戶組的訪問，如圖：4.2.3所示圖4.2.3訪問權(quán)限同時NTFS文件系統(tǒng)的EFS（文件加密系統(tǒng)）功能可以將文件以加密形式存放在磁盤上，一般情況下只有加密的用戶自己可以打開加密的文件，由于解密信息時存儲在加密用戶賬戶的信息中，所以即使一個具有完全控制權(quán)限的管理員登錄，也不能訪問此文件。而且對于加密文件的存取過程也是透明的，就像訪問其他沒有加密的文件一樣，如圖4.2.4（默認顏色為綠色）所示圖4.2.4文件加密使用域安全策略及組策略對用戶的密碼長度，復(fù)雜性，密碼使用期限等選項進行設(shè)置，提高用戶賬戶安全如圖：4.2.5所示圖4.2.5賬戶安全使用windowsserver2003中的NTbackup工具對用戶數(shù)據(jù)及系統(tǒng)數(shù)據(jù)進行備份，還可以使用備份工具中的計劃備份功能對數(shù)據(jù)進行定期自動備份，如圖：4.2.6所示。圖4.2.6計劃備份8：磁盤安全管理：為提高存儲數(shù)據(jù)的磁盤的物理安全性，windowsserver2003中的磁盤管理功能可以將磁盤設(shè)為鏡像卷或RAID5卷，提高磁盤數(shù)據(jù)的容錯功能，那么即使在服務(wù)器的某一塊磁盤出現(xiàn)物理損壞的情況下，系統(tǒng)依然可以將丟失的數(shù)據(jù)進行部分或完全還原。4.3企業(yè)郵件系統(tǒng)安全的解決方案對于廣大的企業(yè)來說，電子郵件無疑是一個很重要的通信工具，用戶對電子郵件作為生產(chǎn)力工具是越來越依賴，但是公司郵箱太多的垃圾郵件，嚴重影響工作，許多垃圾郵件還帶有多種病毒，郵件病毒破壞系統(tǒng)數(shù)據(jù)及盜竊郵件信息的情況時有發(fā)生，對公司造成極大的負面影響。因此我們通過在DC(域控制器)上安裝ExchangeServer2003郵件系統(tǒng)及客戶端安裝outlook2003,并且通過對ExchangeServer2003的安全配置來提高企業(yè)郵件系統(tǒng)的安全性。在DC(域控制器)上安裝ExchangeServer2003郵件系統(tǒng)以及相關(guān)的組件和服務(wù)客戶端安裝OUTLOOK2003創(chuàng)建Exchange郵箱用戶、聯(lián)系人和組，根據(jù)郵箱用戶所屬公司的部門加入不同的組，并對擁有不同權(quán)限的用戶郵箱分別進行權(quán)限設(shè)置。如圖4.3.1和圖4.3.2所示。圖4.3.1傳遞限制圖4.3.2存儲限制對Exchange服務(wù)器的公用文件夾創(chuàng)建安全的系統(tǒng)策略。對郵件進行數(shù)字簽名或加密，防止數(shù)據(jù)泄密，提高郵件的安全性。使用OUTLOOK2003客戶端反垃圾郵件技術(shù)：通過對郵件的發(fā)件人地址的過濾、對收件人地址的過濾、對郵件主題的過濾、對郵件內(nèi)容關(guān)鍵字的過濾、郵件頭信息的過濾以及創(chuàng)建郵件規(guī)則來實現(xiàn)對垃圾郵件的過濾，如圖4.3.3所示。圖4.3.3郵件過濾關(guān)閉服務(wù)器Open-Relay功能，避免成為傳遞和轉(zhuǎn)發(fā)垃圾郵件的中轉(zhuǎn)站。4.4網(wǎng)絡(luò)安全的防范控制ISAServer2004是目前世界上最好的路由級軟件防火墻之一，它可以讓企業(yè)網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層的應(yīng)用層識別功能是很多基于包過濾的硬件防火墻都不具有的。在網(wǎng)絡(luò)的任何地方，如兩個或多個網(wǎng)絡(luò)的邊緣層（Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等）、單個主機上配置ISAServer2004來對企業(yè)的網(wǎng)絡(luò)或主機進行防護，而且其圖形化操作界面讓企業(yè)網(wǎng)絡(luò)管理員更容易、更快速的掌握和使用ISASERVER2004的各項強大功能來實現(xiàn)企業(yè)網(wǎng)絡(luò)的安全防范控制⑴設(shè)定訪問規(guī)則設(shè)定訪問規(guī)則，如圖4.4.1所示。圖4.4.1ISA訪問規(guī)則⑵建立防火墻系統(tǒng)策略和建立訪問策略，以允許或拒絕具有相對應(yīng)權(quán)限用戶的訪問，如圖4.4.2和圖4.4.3所示。圖4..4.2ISA系統(tǒng)策略圖4.4.3ISA訪問策略⑶ISAServer的系統(tǒng)和網(wǎng)絡(luò)監(jiān)控、報告通過ISA控制臺的“監(jiān)視”節(jié)點，可以了解到ISA的日志、內(nèi)部客戶和ISA服務(wù)器之間的會話、ISA的系統(tǒng)服務(wù)運行情況，還可以通過日志來查詢當前的網(wǎng)絡(luò)活動，也可以配置連接性檢查和生成網(wǎng)絡(luò)活動的報告如圖4.4.4所示為ISAServer當前的系統(tǒng)和網(wǎng)絡(luò)運行狀況。圖4.4.4ISA運行情況⑷使用訪問規(guī)則向?qū)斫鼓承﹥?nèi)部用戶訪問某些網(wǎng)站對需要禁止上網(wǎng)的客戶建立一個地址范圍或者計算機集；然后為禁止這些用戶訪問的那些站點建立一個地址范圍或域名集。在防火墻策略中新建一個訪問規(guī)則；阻止內(nèi)部的這些計算機集訪問定義的外部站點地址范圍或域名集。⑸禁止使用P2P軟件利用控制規(guī)則配置禁止UDP8000端口地址集和HTTP80端口地址集，禁P2P軟件⑹發(fā)布內(nèi)部網(wǎng)絡(luò)中的服務(wù)器利用防火墻策略新建服務(wù)器發(fā)布規(guī)則，發(fā)布內(nèi)網(wǎng)中的服務(wù)器，并利用設(shè)置訪問規(guī)則決定該服務(wù)器有哪些人可以訪問。如圖4.4.5所示。圖4.4.5ISA服務(wù)器發(fā)布⑺利用ISAServer2004，建立VPN服務(wù)器通過配置VPN服務(wù)器，可以讓在遠程的公司異地辦公人員利用公司分配的登錄賬號方便的訪問公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，如圖4.4.6所示。圖4.4.6ISA建立VPN規(guī)則4.5應(yīng)用安全的防范控制針對計算機病毒的泛濫和危害公司采用部署安裝江民殺毒軟件KV網(wǎng)絡(luò)版，對公司局域網(wǎng)中的服務(wù)器和客戶端進行病毒防護。⑴WEB方式登陸管理頁面。江民殺毒軟件KV網(wǎng)絡(luò)版，采用IIS信使進行配制，有效的增加了控制中心的安全性和穩(wěn)定性。WEB方式的登陸界面，將保證所有可連接主控中心機器的客戶端都能正常的進行登陸,增加驗證碼安全認證，保障賬號在網(wǎng)絡(luò)內(nèi)使用的安全性。⑵先進的體系結(jié)構(gòu)。KV網(wǎng)絡(luò)版采用了先進的分布式的體系結(jié)構(gòu)，使用了B/S（瀏覽噐/服務(wù)噐）和C/S（客戶端/服務(wù)器）兩種模式進行通訊和管理，B/S模式用于控制和管理方面，使用該模式控制中心進行全網(wǎng)控制和管理更加方便、快捷；C/S模式用于通訊方面，該模式使客戶端和主控中心在通訊方面更加穩(wěn)定。⑶移動管理功能網(wǎng)絡(luò)管理員只要擁有管理員口令，就可以通過IE瀏覽器，實現(xiàn)對整個網(wǎng)絡(luò)上所有計算機的集中管理，清楚地掌握整個網(wǎng)絡(luò)環(huán)境中各個節(jié)點的病毒狀態(tài)，既方便管理員管理，又可以有效地減少網(wǎng)絡(luò)安全風險，最大限度地為用戶的網(wǎng)絡(luò)系統(tǒng)提供了可靠的安全解決方案。⑷支持IntelAMT（ActiveManagementTechnology）技術(shù)的使用。KV網(wǎng)絡(luò)版支持最先進的IntelAMT（ActiveManagementTechnology）技術(shù)，通過控制中心控制支持AMT技術(shù)的客戶端計算機，實現(xiàn)遠程開機，客戶端計算機資產(chǎn)的管理等功能，方便管理員對遠端計算機執(zhí)行遠程故障排除與恢復(fù)、顯著減少現(xiàn)場維修量，進而提高工作效率，可以有效的掌握客戶端的病毒庫和系統(tǒng)漏洞補丁的更新時間，而且不影響客戶端的正常工作。⑸完備的遠程控制、權(quán)限集中管理KV網(wǎng)絡(luò)版提供了強大的遠程控制功能，用戶通過控制中心不僅可以方便的在網(wǎng)絡(luò)中的其它計算機上安裝和卸載KV網(wǎng)絡(luò)版，而且可以通過控制中心管理頁面對網(wǎng)絡(luò)中所有安裝了客戶端的計算機進行遠程殺毒、查毒、設(shè)置、升級操作，此外加強了病毒的日志顯示功能。不但減輕了管理員的工作負擔，同時也極大的提高了管理員的工作效率。權(quán)限集中，核心管理權(quán)限集中在控制中心，管理員通過不同權(quán)限的賬戶登錄江民控制中心，獲得相應(yīng)的操作權(quán)限，可方便的實現(xiàn)對全網(wǎng)進行集中控制。①遠程管理通過網(wǎng)絡(luò)版控制中心，對客戶端進行遠程管理，通過分組設(shè)置，對于不同的組進行相應(yīng)的網(wǎng)絡(luò)設(shè)置和權(quán)限分配，實現(xiàn)智能化管理分級分組管理。②密碼保護通過管理員權(quán)限設(shè)置保護密碼，對客戶端的卸載、修改、退出、關(guān)閉監(jiān)控、控制網(wǎng)站、移動存儲設(shè)置進行密碼管理，增強客戶端的防病毒能力。③全網(wǎng)開機、關(guān)機、重啟管理通過控制中心對安裝網(wǎng)絡(luò)版客戶端的計算機實現(xiàn)全網(wǎng)或者單獨計算機執(zhí)行遠程開機（僅限支持IntelAMT技術(shù)）、遠程關(guān)機，客戶端重新啟動的操作。④遠程報警局域網(wǎng)中任何一臺計算機上發(fā)現(xiàn)病毒時，KV殺毒軟件自動將病毒信息傳遞給網(wǎng)絡(luò)管理員，智能的記錄系統(tǒng)將會對病毒進行分類統(tǒng)計。⑤未安裝客戶端檢測該功能可使主控中心主動進行全網(wǎng)搜索可安裝的計算機，并顯示在界面中的未安裝組。另外還可以使網(wǎng)絡(luò)管理員對網(wǎng)內(nèi)計算機的統(tǒng)計及查詢提供便利。⑥全網(wǎng)統(tǒng)一殺毒網(wǎng)絡(luò)管理員可以在任一臺計算機上，通過登陸控制中心頁面對全網(wǎng)絡(luò)的計算機進行查殺病毒；也可對指定的計算機及指定工作組查殺病毒,甚至沒有開機的客戶端也會在下次開機的第一時間自動開始掃描工作。⑦全網(wǎng)統(tǒng)一升級網(wǎng)絡(luò)版管理員可以在任一臺計算機上，通過控制中心頁面對全網(wǎng)的計算機進行升級管理，也可以指定特定的計算機和工作組進行升級操作，默認情況下，控制中心會自動執(zhí)行定時升級操作，控制中心升級成功后，會自動向客戶端發(fā)送升級指令，進行全網(wǎng)升級。⑹方便的分級、分組管理

利用KV網(wǎng)絡(luò)版的分級、分組管理功能，管理員可以在控制中心，對多個網(wǎng)段進行統(tǒng)一管理，這樣不但顯著的減少了繁重的重復(fù)性工作，同時極大的提高了管理效率，并且可有效降低企業(yè)的開銷。管理賬戶分級管理:管理員賬戶和普通賬戶分工嚴謹分明。對大型網(wǎng)絡(luò)進行分級、跨地域、跨網(wǎng)段布防。不同的權(quán)限針對多樣化的客戶端管理方案；客戶端分組管理:全新的組管理模式，管理員只需新建邏輯組，即可對客戶端進行統(tǒng)一的集中式分類管理，并可以實現(xiàn)隨意遷移。功能實用的客戶端KV網(wǎng)絡(luò)版的客戶端具有非常實用的功能。①客戶端遷移如果管理員建立了組信息。此選項將被自動激活，用戶可以依照網(wǎng)絡(luò)環(huán)境將相應(yīng)的一臺或者多臺計算機隨意遷移到相應(yīng)分組內(nèi)，以便實現(xiàn)集中化的管理。②IP自動分組通過對組進行管理，首先選擇一個需要設(shè)置的組，設(shè)置一個遷移的IP地址段，客戶端安裝后會自動識別組設(shè)置中的IP地址信息，自動進行分組操作。⑺文件下發(fā)對遠程客戶端下發(fā)文檔，遠程執(zhí)行程序等操作。當有重大的病毒爆發(fā)時，江民主站會及時的公布專殺工具，主控中心可以通過此功能將工具及時的下發(fā)下去進行掃描操作。該功能也增加了網(wǎng)絡(luò)內(nèi)傳輸文件的安全性，避免了當網(wǎng)絡(luò)內(nèi)的計算機通過共享文件夾進行文件互換時而被病毒侵入的情況發(fā)生。⑻隔離帶毒客戶端對于已經(jīng)中病毒的客戶端，控制中心可以通過斷開網(wǎng)絡(luò)連接的功能，將帶毒客戶端進行隔離，防止病毒繼續(xù)擴散。⑼集中式管理、分步式殺毒。KV網(wǎng)絡(luò)采用先進的分布式管理技術(shù)，調(diào)用每個節(jié)點各自的殺毒軟件對該計算機上所有文件進行全面查殺病毒，使各節(jié)點計算機可以脫離主控中心獨立工作，因為江民殺毒軟件KV網(wǎng)絡(luò)版的每一個節(jié)點都有一個獨立的殺毒引擎。由于不在網(wǎng)絡(luò)上傳輸文件，既保障了每個節(jié)點使用者的隱私，又大大提高了全網(wǎng)查殺病毒的效率?？刂浦行慕Y(jié)合移動性極強的控制中心頁面實現(xiàn)全網(wǎng)方便管理：局域網(wǎng)內(nèi)任意一臺計算機均可登陸控制管理頁面。網(wǎng)絡(luò)管理員通過帳號和口令使用管理控制頁面，即可清楚地掌握整個網(wǎng)絡(luò)環(huán)境中各個節(jié)點客戶端的病毒監(jiān)測狀態(tài)，對局域網(wǎng)進行遠程集中式安全管理。

5局域網(wǎng)安全控制措施測試5.1測試方案通過公司內(nèi)各個崗位的員工的工作性質(zhì)設(shè)定具有針對性的訪問規(guī)則，測試各安全軟件在實際工作過程中的安全性。⑴測試方案1、計劃部員工張三的工作報告只允許市場部的所有員工瀏覽，其他部門無權(quán)限瀏覽測試方法：在文件服務(wù)器上創(chuàng)建名為計劃部的共享文件夾，在共享權(quán)限中添加OU計劃部，訪問權(quán)限為完全控制，并在訪問權(quán)限中刪除其他所有用戶和組。張三將