課程設(shè)計(jì)報(bào)告范例

PAGE北京理工大學(xué)珠海學(xué)院課程設(shè)計(jì)說明書_2014_—_2015_學(xué)年第_2_學(xué)期題目:企業(yè)網(wǎng)絡(luò)信息安全方案設(shè)計(jì)學(xué)院：計(jì)算機(jī)學(xué)院專業(yè)班級(jí)：學(xué)號(hào)：學(xué)生姓名：指導(dǎo)教師：成績(jī)：時(shí)間：年月日北京理工大學(xué)珠海學(xué)院課程設(shè)計(jì)任務(wù)書2014～2015學(xué)年第2學(xué)期學(xué)生姓名：專業(yè)班級(jí)：2012級(jí)網(wǎng)絡(luò)工程指導(dǎo)教師：劉玉仙工作部門：計(jì)算機(jī)學(xué)院一、課程設(shè)計(jì)題目 企業(yè)網(wǎng)絡(luò)信息安全方案設(shè)計(jì)二、課程設(shè)計(jì)內(nèi)容公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，平均分布在6個(gè)部門，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。網(wǎng)絡(luò)拓?fù)鋱D如下：該網(wǎng)絡(luò)通常沒有專門的管理員來維護(hù)網(wǎng)絡(luò)的安全，給黑客和非法訪問提供了可乘之機(jī)，這樣的網(wǎng)絡(luò)使用環(huán)境存在如下問題：計(jì)算機(jī)病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播內(nèi)部網(wǎng)絡(luò)可能被外部黑客的攻擊對(duì)外的服務(wù)器(如:www、ftp等)沒有安全防護(hù)，容易被黑客攻擊內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡(luò)的安全隱患遠(yuǎn)程、移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)絡(luò)的安全訪問請(qǐng)根據(jù)該網(wǎng)絡(luò)現(xiàn)狀進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析，在以下各方面設(shè)計(jì)該企業(yè)信息安全防護(hù)方案和策略:Internet安全接入;防火墻訪問控制;用戶認(rèn)證系統(tǒng);入侵檢測(cè)系統(tǒng);網(wǎng)絡(luò)防病毒系統(tǒng);VPN加密系統(tǒng);網(wǎng)絡(luò)設(shè)備及服務(wù)器加固;桌面電腦安全管理系統(tǒng);數(shù)據(jù)備份系統(tǒng);網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識(shí)教育。三、進(jìn)度安排1-4學(xué)時(shí)：信息加密技術(shù)；5-8學(xué)時(shí)：Windows2008操作系統(tǒng)的安全；9-12學(xué)時(shí)：防火墻技術(shù)；13-16學(xué)時(shí)：VPN技術(shù)17-24學(xué)時(shí)：企業(yè)安全方案設(shè)計(jì)與實(shí)施25-32學(xué)時(shí)：答辯。四、基本要求按要求寫出課程設(shè)計(jì)報(bào)告，應(yīng)不少于3000字（不含附錄），3-4人一組，同一組學(xué)生只需提交1份，但必須在報(bào)告中列明分工。 課程負(fù)責(zé)人簽名：年月日

課程設(shè)計(jì)分工安排姓名課程設(shè)計(jì)負(fù)責(zé)工作備注

課程設(shè)計(jì)成績(jī)?cè)u(píng)定表姓名成績(jī)?cè)u(píng)定權(quán)重總分總成績(jī)（五分制）平時(shí)成績(jī)20報(bào)告成績(jī)50答辯成績(jī)30PAGE企業(yè)網(wǎng)絡(luò)信息安全方案設(shè)計(jì)摘要隨著全球信息化及寬帶網(wǎng)絡(luò)建設(shè)的飛速發(fā)展，具有跨區(qū)域遠(yuǎn)程辦公及內(nèi)部信息平臺(tái)遠(yuǎn)程共享的企業(yè)越來越多，并且這種企業(yè)運(yùn)營(yíng)模式也逐漸成為現(xiàn)代企業(yè)的主流需求。企業(yè)總部和各地的分公司、辦事處以及出差的員工需要實(shí)時(shí)地進(jìn)行信息傳輸和資源共享等，企業(yè)之間的業(yè)務(wù)來往越來越多地依賴于網(wǎng)絡(luò)。但是由于互聯(lián)網(wǎng)的開放性和通信協(xié)議原始設(shè)計(jì)的局限性影響，所有信息采用明文傳輸，導(dǎo)致互聯(lián)網(wǎng)的安全性問題日益嚴(yán)重，非法訪問、網(wǎng)絡(luò)攻擊、信息竊取等頻頻發(fā)生，給公司的正常運(yùn)行帶來安全隱患，甚至造成不可估量的損失。因此必須利用信息安全技術(shù)來確保網(wǎng)絡(luò)的安全問題，這就使得網(wǎng)絡(luò)安全成了企業(yè)信息化建設(shè)中一個(gè)永恒的話題。關(guān)鍵詞：企業(yè)信息化網(wǎng)絡(luò)安全方案目錄14759第一章企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)與需求分析 1164201.1風(fēng)險(xiǎn)分析 1150891.2需求分析 231599第二章 總體方案設(shè)計(jì) 3215552.1安全方案設(shè)計(jì)原則 3134092.2安全服務(wù)機(jī)制與原則 326841第三章 詳細(xì)設(shè)計(jì)與實(shí)施 4202533.1Internet安全接入 4187443.2防火墻訪問控制 4277443.3 用戶認(rèn)證系統(tǒng) 4179063.4入侵檢測(cè)系統(tǒng) 4188913.5網(wǎng)絡(luò)防病毒系統(tǒng) 5162583.6VPN加密系統(tǒng) 54613.7網(wǎng)絡(luò)設(shè)備及服務(wù)器加固 569243.8桌面電腦安全管理系統(tǒng) 639953.9數(shù)據(jù)備份系統(tǒng) 638263.10網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識(shí)教育 624594第四章 總結(jié) 73253參考文獻(xiàn) 815991心得體會(huì) 9北京理工大學(xué)珠海學(xué)院計(jì)算機(jī)學(xué)院課程設(shè)計(jì)PAGE10企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)與需求分析1.1風(fēng)險(xiǎn)分析針對(duì)企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：一、操作系統(tǒng)的安全風(fēng)險(xiǎn)分析所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的服務(wù)模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。目前的操作系統(tǒng)無論是Windows還是UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些后門和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。二、應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。文件服務(wù)器的安全風(fēng)險(xiǎn)：辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源?？赡艽嬖谥鴨T工有意、無意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)：內(nèi)網(wǎng)服務(wù)區(qū)部署著大量的服務(wù)器作為數(shù)據(jù)庫(kù)服務(wù)器，在其上運(yùn)行數(shù)據(jù)庫(kù)系統(tǒng)軟件，主要提供數(shù)據(jù)存儲(chǔ)服務(wù)。數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)包括：非授權(quán)用戶的訪問、通過口令猜測(cè)獲得系統(tǒng)管理員權(quán)限、數(shù)據(jù)庫(kù)服務(wù)器本身存在漏洞容易受到攻擊等。數(shù)據(jù)庫(kù)中數(shù)據(jù)由于意外（硬件問題或軟件崩潰）而導(dǎo)致不可恢復(fù)，也是需要考慮的安全問題。病毒侵害的安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。數(shù)據(jù)信息的安全風(fēng)險(xiǎn)：數(shù)據(jù)安全對(duì)企業(yè)來說尤其重要，數(shù)據(jù)在公網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取、篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些企業(yè)間諜會(huì)通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息，也就造成的泄密。三、管理的安全分析管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡(jiǎn)單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混上亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)下功夫外，還得依靠安全管理來實(shí)現(xiàn)。1.2需求分析通過前面對(duì)企業(yè)應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此應(yīng)該做到以下幾點(diǎn)：公共服務(wù)器的安全保護(hù)；防止黑客從外部攻擊；入侵檢測(cè)與監(jiān)控；信息審計(jì)與記錄；病毒防護(hù)；數(shù)據(jù)安全保護(hù)；數(shù)據(jù)備份與恢復(fù)；網(wǎng)絡(luò)的安全管理?；谝陨系姆治?，我認(rèn)為局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)：：1.建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。2.將內(nèi)部網(wǎng)絡(luò)、公共服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信。3.建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全。4.對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。5.加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。6.全面監(jiān)視對(duì)公共服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。7.加強(qiáng)對(duì)各種訪問的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公共服務(wù)器的訪問行為，形成完整的系統(tǒng)日志。8.備份與災(zāi)難恢復(fù)——強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)。9.加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。

第二章 總體方案設(shè)計(jì)確保企業(yè)的信息網(wǎng)絡(luò)和數(shù)據(jù)安全，避免由于安全事故給企業(yè)造成不必要的損失，企業(yè)信息安全防護(hù)方案和策略主要由以下各部分組成:2.1安全方案設(shè)計(jì)原則在對(duì)這個(gè)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：1.綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。2.需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。3.一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。4.易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。5.分步實(shí)施原則：可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。6.多重保護(hù)原則：建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。2.2安全服務(wù)機(jī)制與原則安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對(duì)象認(rèn)證服務(wù)、可靠性服務(wù)等；安全機(jī)制：訪問控制機(jī)制、認(rèn)證機(jī)制等；安全技術(shù)：防火墻技術(shù)、入侵檢測(cè)技術(shù)、鑒別技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)的。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同的安全服務(wù)。

第三章 詳細(xì)設(shè)計(jì)與實(shí)施3.1Internet安全接入采用PIX515作為外部邊緣防火墻，其內(nèi)部用戶登錄互聯(lián)網(wǎng)時(shí)經(jīng)過NetEye防火墻，再由PIX映射到互聯(lián)網(wǎng)。PIX與NetEye之間形成了DMZ區(qū)，需要提供互聯(lián)網(wǎng)服務(wù)的郵件服務(wù)器、Web服務(wù)器等防止在該DMZ區(qū)內(nèi)。該防火墻安全策略如下:(1)從Internet上只能訪問到DMZ內(nèi)Web服務(wù)器的80端口和郵件服務(wù)器的25端口;(2)從Internet和DMZ區(qū)不能訪問內(nèi)部網(wǎng)任何資源;(3)從Internet訪問內(nèi)部網(wǎng)資源只能通過VPN系統(tǒng)進(jìn)行。為了防止病毒從Internet進(jìn)入內(nèi)部網(wǎng)，該企業(yè)在DMZ區(qū)部署了網(wǎng)關(guān)防病毒系統(tǒng)。采用SymantecWebSecurity3.0防病毒系統(tǒng)，對(duì)來自互聯(lián)網(wǎng)的網(wǎng)頁(yè)內(nèi)容和附件等信息設(shè)定了合理的過濾規(guī)則，阻斷來自互聯(lián)網(wǎng)的各種病毒。3.2防火墻訪問控制PIX防火墻提供PAT服務(wù)，配置IPSec加密協(xié)議實(shí)現(xiàn)VPN撥號(hào)連接以及端到端VPN連接，并通過擴(kuò)展ACL對(duì)進(jìn)出防火墻的流量進(jìn)行嚴(yán)格的端口服務(wù)控制。NetEye防火墻處于內(nèi)部網(wǎng)絡(luò)與DMZ區(qū)之間，它允許內(nèi)網(wǎng)所有主機(jī)能夠訪問DMZ區(qū)，但DMZ區(qū)進(jìn)入內(nèi)網(wǎng)的流量則進(jìn)行嚴(yán)格的過濾3.3 用戶認(rèn)證系統(tǒng)用戶認(rèn)證系統(tǒng)主要用于解決電話撥號(hào)和VPN接入的安全問題，它是從完善系統(tǒng)用戶認(rèn)證、訪問控制和使用審計(jì)方面的功能來增強(qiáng)系統(tǒng)的安全性。采用思科的ACS用戶認(rèn)證系統(tǒng)。在主域服務(wù)器上安裝Radius服務(wù)器，在Cisco撥號(hào)路由器和PIX防火墻上配置了Radius客戶端。撥號(hào)用戶和VPN用戶身份認(rèn)證在Radius服務(wù)器上進(jìn)行，用戶賬號(hào)集中在主域服務(wù)器上開設(shè)。系統(tǒng)中設(shè)置了嚴(yán)格的用戶訪問策略和口令策略，強(qiáng)制用戶定期更改口令。同時(shí)配置了一臺(tái)VPN日志服務(wù)器，記錄所有VPN用戶的訪問，而撥號(hào)用戶的訪問則記錄在Radius服務(wù)器中，作為系統(tǒng)審計(jì)的依據(jù)。系統(tǒng)管理員可以根據(jù)需要制定用戶身份認(rèn)證策略。3.4入侵檢測(cè)系統(tǒng)在系統(tǒng)中關(guān)鍵的部位安裝基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，可以使得系統(tǒng)管理員能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)中發(fā)生的安全事件，并能及時(shí)做出響應(yīng)。根據(jù)該企業(yè)網(wǎng)絡(luò)應(yīng)用的情況，可在互聯(lián)網(wǎng)流量匯聚的交換機(jī)處部署一套CAeTrustIntrusionDetection，它可實(shí)時(shí)監(jiān)控內(nèi)部網(wǎng)中發(fā)生的安全事件，使得管理員及時(shí)做出反應(yīng)，并可記錄內(nèi)部用戶對(duì)Internet的訪問，管理者可審計(jì)Internet接入平臺(tái)是否被濫用。當(dāng)沖擊波病毒爆發(fā)時(shí)，該系統(tǒng)能夠顯示出哪些主機(jī)感染了病毒而不停地向其他網(wǎng)絡(luò)主機(jī)發(fā)出廣播包。企業(yè)的網(wǎng)絡(luò)管理員可以根據(jù)實(shí)際應(yīng)用環(huán)境對(duì)IDS進(jìn)行詳細(xì)配置，并在實(shí)踐中根據(jù)需要隨時(shí)調(diào)整配置參數(shù)。3.5網(wǎng)絡(luò)防病毒系統(tǒng)該企業(yè)全面地布置防病毒系統(tǒng)，包括客戶機(jī)、文件服務(wù)器、郵件服務(wù)器和OA服務(wù)器。該企業(yè)采用McAfeeTVD防病毒系統(tǒng)保護(hù)客戶機(jī)和文件服務(wù)器的安全，客戶機(jī)每天定時(shí)從McAfee服務(wù)器通過FTP方式下載并安裝最新的病毒代碼庫(kù)。該企業(yè)電子郵件系統(tǒng)運(yùn)行在Domino平臺(tái)上，采用了McAfee針對(duì)Domino數(shù)據(jù)庫(kù)的病毒過濾模塊，對(duì)發(fā)送和接手的郵件附件進(jìn)行病毒掃描和隔離。3.6VPN加密系統(tǒng)該企業(yè)通過PIX防火墻建立了基于IPSec國(guó)際標(biāo)準(zhǔn)協(xié)議的虛擬專網(wǎng)VPN，采用3DEC加密算法實(shí)現(xiàn)了信息在互聯(lián)網(wǎng)上的安全傳輸。VPN系統(tǒng)主要用于該企業(yè)移動(dòng)辦公的員工提供互聯(lián)網(wǎng)訪問企業(yè)內(nèi)網(wǎng)OA系統(tǒng)，同時(shí)為企業(yè)內(nèi)網(wǎng)ERP用戶訪問大股東集團(tuán)公司的SAP系統(tǒng)提供VPN加密連接。3.7網(wǎng)絡(luò)設(shè)備及服務(wù)器加固該企業(yè)網(wǎng)絡(luò)管理員定期對(duì)各種網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行安全性掃描和滲透測(cè)試，及時(shí)發(fā)現(xiàn)漏洞并采取補(bǔ)救措施。安全性掃描主要是利用一些掃描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模擬黑客的方法和手段，以匿名身份接入網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行掃描并進(jìn)行分析，目的是發(fā)現(xiàn)系統(tǒng)存在的各種漏洞。進(jìn)行滲透測(cè)試時(shí)，網(wǎng)絡(luò)管理員預(yù)先假設(shè)攻擊者來自用戶內(nèi)部網(wǎng)，該攻擊者在內(nèi)部網(wǎng)以匿名身份接入網(wǎng)絡(luò)，起初不具備進(jìn)入任何系統(tǒng)的權(quán)限。通過利用掃描階段發(fā)現(xiàn)的系統(tǒng)中的安全漏洞，以黑客使用的手段對(duì)系統(tǒng)進(jìn)行模擬攻擊，最大限度地得到系統(tǒng)的控制權(quán)。例如，利用Unix系統(tǒng)的/bin/login,無需任何身份驗(yàn)證即可遠(yuǎn)程非法登錄漏洞以及priocntl系統(tǒng)調(diào)用漏洞，通過緩沖溢出進(jìn)入系統(tǒng)后進(jìn)行權(quán)限提升，即可獲得Root權(quán)限。根據(jù)安全掃描和滲透測(cè)試的結(jié)果，網(wǎng)絡(luò)管理員即可有針對(duì)性地進(jìn)行系統(tǒng)加固，具體加固措施包括:(1)關(guān)閉不必要的網(wǎng)絡(luò)端口;(2)視網(wǎng)絡(luò)應(yīng)用情況禁用ICMP、SNMP等協(xié)議;(3)安裝最新系統(tǒng)安全補(bǔ)丁;(4)采用SSH而不是Telnet進(jìn)行遠(yuǎn)程登錄;(5)調(diào)整本地安全策略，禁用不需要的系統(tǒng)缺省服務(wù);(6)啟用系統(tǒng)安全審計(jì)日志。以上措施主要用于防范系統(tǒng)中的非法掃描、利用系統(tǒng)漏洞進(jìn)行緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、非法遠(yuǎn)程登錄等黑客攻擊行為。3.8桌面電腦安全管理系統(tǒng)該企業(yè)采用LANDesk安全管理套件系統(tǒng)來加強(qiáng)對(duì)桌面電腦的安全管理。該系統(tǒng)主要具有如下功能:補(bǔ)丁管理是LAN-Desk系統(tǒng)的主要功能之一，主要用于修復(fù)桌面電腦系統(tǒng)漏洞，避免蠕蟲病毒、黑客攻擊和木馬程序等。LANDesk補(bǔ)丁管理器能夠高效地實(shí)現(xiàn)安全補(bǔ)丁管理。補(bǔ)丁程序能夠從全球統(tǒng)一的補(bǔ)丁管理服務(wù)器自動(dòng)下載，并自動(dòng)分發(fā)到每臺(tái)桌面電腦，無需IT人員干預(yù)。補(bǔ)丁程序在分發(fā)安裝前，都經(jīng)過本地服務(wù)器的測(cè)試，從而確保補(bǔ)丁自身的安全性，避免損壞用戶系統(tǒng)。間諜軟件檢測(cè)基于LAN-Desk隨時(shí)更新的集中化安全管理核心數(shù)據(jù)庫(kù)，該系統(tǒng)能夠自動(dòng)檢測(cè)和清除來自間諜軟件、廣告軟件、鍵盤記錄程序、特洛伊木馬和其他惡意程序的已知威脅。安全威脅分析LANDesk提供自動(dòng)的威脅分析功能，它能夠自動(dòng)檢測(cè)桌面電腦的配置風(fēng)險(xiǎn)，包括共享、口令、瀏覽器等安全問題，并自動(dòng)進(jìn)行修補(bǔ)或提出修改建議。應(yīng)用程序阻止用戶隨意安裝的游戲等應(yīng)用程序可能導(dǎo)致系統(tǒng)紊亂、沖突，影響正常辦公。LANDesk提供的應(yīng)用程序管理功能可以通過遠(yuǎn)程執(zhí)行指令，阻止有關(guān)應(yīng)用程序的運(yùn)行。設(shè)備訪問控制LANDesk通過硬件級(jí)別的管理功能，可以對(duì)用戶電腦的硬件采用適當(dāng)?shù)脑L問控制策略，限制對(duì)網(wǎng)絡(luò)、驅(qū)動(dòng)器、通信端口、USB和無線頻道的訪問，防止關(guān)鍵數(shù)據(jù)丟失和未授權(quán)訪問。IT資產(chǎn)管理對(duì)該企業(yè)所有上網(wǎng)電腦進(jìn)行在線管理。該系統(tǒng)能夠自動(dòng)掃描在線電腦的配置信息，包括硬件配置、軟件配置的詳細(xì)信息，如生產(chǎn)廠家、型號(hào)、產(chǎn)品序列號(hào)、組件參數(shù)、IP地址、操作系統(tǒng)類型、應(yīng)用程序安裝情況等等，并可進(jìn)行分類、根據(jù)需要形成不同報(bào)表。3.9數(shù)據(jù)備份系統(tǒng)該企業(yè)采用HP1/8磁帶自動(dòng)裝載機(jī)對(duì)企業(yè)數(shù)據(jù)進(jìn)行備份，該磁帶庫(kù)可以同時(shí)裝載9盒磁帶，能夠根據(jù)預(yù)先定義好的備份策略自動(dòng)裝載磁帶，自動(dòng)執(zhí)行定義好的備份策略，壓縮后最大存儲(chǔ)容量為640GB。備份軟件采用LegatoNetWorker網(wǎng)絡(luò)備份管理系統(tǒng)。該系統(tǒng)運(yùn)行穩(wěn)定，備份和恢復(fù)效果較好。3.10網(wǎng)絡(luò)安全制度建設(shè)及人員安全意識(shí)教育該企業(yè)主要開展以下工作:(1)開展計(jì)算機(jī)安全意識(shí)教育和培訓(xùn)，如不要隨意到網(wǎng)上下載軟件、不要打開不明郵件附件等等，并加強(qiáng)計(jì)算機(jī)安全檢查，以此提高最終用戶對(duì)計(jì)算機(jī)安全的重視程度。(2)為總部及各分支機(jī)構(gòu)的系統(tǒng)管理員提供信息系統(tǒng)安全方面的專業(yè)培訓(xùn)，提高處理計(jì)算機(jī)系統(tǒng)安全問題的能力。(3)制定《信息系統(tǒng)安全管理規(guī)定》等制度,并納入企業(yè)ISO文件體系，定期宣貫，并通過計(jì)算機(jī)應(yīng)用知識(shí)考試等方式加以推廣執(zhí)行。第四章 總