利泰公司網(wǎng)絡(luò)安全解決方案畢業(yè)論文

畢業(yè)設(shè)計（論文）題

目：

利泰公網(wǎng)安全解方院()：

信息與筑程學院專姓學

業(yè)：名：號：

計應(yīng)用ZK1101指導教：

龍崇冰

二〇一年一月二日

學生姓

畢業(yè)設(shè)（文）任書學號專

業(yè)

計算機用技術(shù)院（系畢業(yè)設(shè)（論文）題任務(wù)與求

信息與筑工程學院利泰公網(wǎng)絡(luò)安全解方案任務(wù)學生應(yīng)質(zhì)保量按照業(yè)設(shè)計論文進度計表來完成文的撰寫，撰寫過中應(yīng)根據(jù)不的時期成論文的題、寫作、理、修任務(wù)，最終保論文完成。要求：文思想正確方案合，論點正確論證充分，結(jié)正確，數(shù)據(jù)靠，論文字通順表述清楚，構(gòu)完整敘述清楚。文文獻譯文意思正，文字順。完成時段

20136月28至201325共20周

年11

月指導教單位

重慶科職業(yè)學院

教師院（系審核意見

日日畢業(yè)設(shè)(論)度計表日期月30號月1號至月16日月17至月10日月11至月20日月21日至月10月11日至月25日

工作內(nèi)論文選分論，理綱根題，集關(guān)料完初初完，成稿修二，稿成并印上

執(zhí)行情況按完按完按完按完按完按完

指教簽字教師對度計劃實施情總評

該生能按時認真完每個階的任務(wù)，態(tài)端正，作積極；所論文，論點確，論充分，能夠晰地表自已的觀點。簽名年月

日本作定生時績依之

畢業(yè)設(shè)(論文)期檢查記錄畢業(yè)設(shè)(論目:利泰公司網(wǎng)安全解方案學生填

學生姓:專業(yè)：算機應(yīng)用技

學號指導教姓名:宋再紅

職稱師畢業(yè)設(shè)(論目工作畢業(yè)設(shè)(論目難度

飽滿大

一般適中

不夠不夠比較豐畢業(yè)設(shè)(論目涉及識點

豐富

富

較少很有價畢業(yè)設(shè)(論目價值

值

一般

價值不檢查教師填

學生是按計劃進度立完成作任務(wù)學生畢設(shè)計(論文工作進度寫情況指導次學生工態(tài)度

認真

一般

較差其他檢內(nèi)容：存在問及采取措施檢查教簽字:

年

月

日院（系意見(加蓋公):

年

月

日

摘要信息網(wǎng)安全已經(jīng)從一安全品、安全措發(fā)展到體的、系統(tǒng)安全解方案。態(tài)的安全策,聯(lián)動安全產(chǎn),動的安全環(huán)構(gòu)成聯(lián)的、整體的絡(luò)安全解方案。即實網(wǎng)絡(luò)安的管理、防、監(jiān)測審計、服務(wù)個環(huán)節(jié)及各環(huán)節(jié)對的產(chǎn)品之間聯(lián)動。文論述了開系統(tǒng)互安全體系結(jié)下的重信息網(wǎng)絡(luò)安現(xiàn)狀分析和險評估;以及在動的安理念指導下?lián)枨箫L險、價平衡則設(shè)計的重集團信網(wǎng)絡(luò)安全解方案和施策略。本提出的鋼網(wǎng)絡(luò)安全決方案實現(xiàn)安全管和安全技術(shù)施統(tǒng)一在技術(shù)構(gòu)方面包括理層、用層、系統(tǒng)、網(wǎng)絡(luò)、物理層網(wǎng)安全解方案具評估、護、檢測、應(yīng)和恢五種技術(shù)能,用網(wǎng)絡(luò)全集中管理心平臺重鋼網(wǎng)絡(luò)及絡(luò)安全備、重要服器進行中安全管理實現(xiàn)安管理心和防墻系統(tǒng)、入檢測系、風險評估統(tǒng)、防毒系統(tǒng)有機合。在織結(jié)構(gòu)方面包括行內(nèi)部全機構(gòu)設(shè)置人員分、人員培訓作,定義部支持構(gòu)和相關(guān)調(diào)。在管理構(gòu)方面主要包括安策略安全制、產(chǎn)管理、險管理技術(shù)管等,系統(tǒng)地出安第一、小授權(quán)、特分離、層次安全機、應(yīng)急案等安管理原則。關(guān)鍵詞信息網(wǎng)絡(luò)

網(wǎng)絡(luò)安

安全系方案

AbstractSecuritysysteminformationnetworksecurityhasfromsinglesecurityproducts,securitymeasuresintowhole.securitytactics,productslinkage,securitywhichlinkagelinkage,theoverallnetworksecurity。Betweenthenetworksecuritymanagement,protection,monitoring,auditing,serviceeachlinkandlinkcorrespondstotheproductofthelinkage。ThispaperdiscussesanalysisofthesituationofChongqingsteelinformationsecurityriskassessmentsecurestructureunderopenandinguidingthesafetyconceptlinkage,solutionsbasedondemand,risk,costbalanceprincipleofthedesignofChongqingSteelGroupinformationnetworksecurityandimplementationstrategy.Internetproblem-solvingplanisproposedthispaperrealizedunificationofsafetymanagementandsafetytechnicalmeasures。Includingmanagementapplicationlayer,systemlayer,networklayer,physicallayersecuritysolutionsinthetechnicalstructure,withassessment,protection,detection,responseandrecoveryoffiveoftechnicalability,thesecuritymanagementcenterChongqingsteelplatformnetworksecurityfacilities,importantservercentralizedsafetymanagement,realizingsafetymanagementcenterandthefirewallintrusiondetectionsystem,riskassessmentsystem,anti-virussystemorganiccombination。Intherespectoforganizationstructure,personneltraining,definitionoftheexternalsupportagenciesandrelatedcoordination。Inmanagementstructure,includingstrategy,securityassetmanagement,riskmanagement,technologymanagement,thesystemputforwardsafetyfirst,minimumauthorization,privilegeseparation,levelmechanism,contingencyplanssecuritymanagementprinciplesKeywords:informationnetworksecurity

目錄第一章緒

第二章網(wǎng)安全概

第一節(jié)網(wǎng)安全的念第二節(jié)網(wǎng)安全系的脆弱性.......................................................2第三節(jié)網(wǎng)安全模...............................................................3第四節(jié)企局域網(wǎng)應(yīng)用...........................................................第三章網(wǎng)系統(tǒng)安風險分析

第一節(jié)物安全風分析...........................................................第二節(jié)網(wǎng)平臺的全風險分析.....................................................第三節(jié)系的安全險分析.........................................................5第四節(jié)來局域網(wǎng)部的威脅.......................................................5第五節(jié)來互聯(lián)網(wǎng)威脅...........................................................第六節(jié)網(wǎng)的攻擊段第四章企網(wǎng)絡(luò)安解決實施

第一節(jié)物安全..................................................................9第二節(jié)網(wǎng)

劃分............................................................第三節(jié)網(wǎng)防火墻置.............................................................第四節(jié)網(wǎng)配置.............................................................15第五節(jié)網(wǎng)防病毒施.............................................................第五章局網(wǎng)故障診斷與排除

第一節(jié)局網(wǎng)故障診斷19第二節(jié)局網(wǎng)故障排除19結(jié)論

致謝

參考文

第一章言隨著迅變化的商業(yè)境和日復雜的網(wǎng)絡(luò)已經(jīng)徹改變了目前事業(yè)務(wù)方式。管企業(yè)現(xiàn)在賴許多安全技術(shù)來護知識權(quán)但它們經(jīng)會遇到些技術(shù)所固的限制因素題。無當今的技術(shù)榜有何能力，它們常均有能夠集中監(jiān)和控制其他三方異安全產(chǎn)品。多數(shù)技都未能證實至關(guān)重的整合，正和關(guān)聯(lián)層，它們正有效安全信基礎(chǔ)的成部分。尋尖端技，經(jīng)驗豐富人員和最佳法與持主動進行企安全管的堅實整合當今所IT全專業(yè)土面臨的最峻挑戰(zhàn)有效的安全息管理要關(guān)鍵是要企業(yè)管其企業(yè)安全并同時在風與性能進間做到最平衡。有良好的主企業(yè)安管理不應(yīng)是們所有人難實現(xiàn)的想。通過本業(yè)網(wǎng)絡(luò)全技術(shù)及解方案，企業(yè)網(wǎng)絡(luò)可效的確保信資產(chǎn)保性，完整性可用性本方案為企局域網(wǎng)絡(luò)安全的解方案，包括有網(wǎng)絡(luò)統(tǒng)分析，網(wǎng)安全風分析，安全系結(jié)構(gòu)設(shè)計等。本全解決方案在不影該企業(yè)局域當前業(yè)的前提下，現(xiàn)對局網(wǎng)全面的安管理。1.將安全策略，件及軟件等法結(jié)合來，構(gòu)成一統(tǒng)一的御系統(tǒng)，有阻止非用戶進入網(wǎng)，減少絡(luò)的安全風。2.期進行漏掃描，計跟蹤，及發(fā)現(xiàn)問，解決問題3過入侵檢測等方實現(xiàn)實安全監(jiān)控，供快響應(yīng)故的手段同時其備很好的全取證措施4用網(wǎng)絡(luò)管理者能很快重組織起來被的文件應(yīng)用使系統(tǒng)重新復到破壞前狀態(tài)，最大度地減損失。5.在服務(wù)器上安相應(yīng)的防毒件，由央控制臺統(tǒng)控制和理，實現(xiàn)全絡(luò)統(tǒng)一病毒。第二章絡(luò)安全概述第節(jié)網(wǎng)安的念網(wǎng)絡(luò)安是指網(wǎng)絡(luò)系的硬件較件及其系中數(shù)據(jù)保護，不受然的或

惡意的因而遭到破，更改泄漏，系統(tǒng)續(xù)可靠常地運行，絡(luò)服務(wù)中斷。網(wǎng)絡(luò)安從其本質(zhì)上講就是絡(luò)上的信息全。從義上來說，是涉及網(wǎng)絡(luò)上息的保密性完整性可用性，真性和可性的相關(guān)技和理論是網(wǎng)絡(luò)安全研究領(lǐng)域。從網(wǎng)絡(luò)行和管理者角度說他們希望對地網(wǎng)絡(luò)息的訪問，寫等操受到保和控制，避出現(xiàn)“門，毒，非法存，拒絕務(wù)和網(wǎng)絡(luò)資非法占用和非控制等威脅制止和御網(wǎng)絡(luò)黑管攻擊。從社會教育和意識態(tài)角度講，網(wǎng)絡(luò)上健康的容，會對社的穩(wěn)定發(fā)展造阻礙，必須其進行制。第節(jié)網(wǎng)安系的弱計算機臨著黑客，毒，特伊木馬程序系統(tǒng)后和窺探等多方面安威脅。管近年來計機風絡(luò)全技術(shù)取得大的發(fā)，但計算機絡(luò)系統(tǒng)安全性，比往任何時候更加脆。主要表現(xiàn)他極易到攻擊和侵，他的擊力和防護很弱，其脆性主要現(xiàn)在下幾個面。1.作系統(tǒng)的全脆弱操作系不安全，是算機系不安全的根原因。2.絡(luò)系統(tǒng)的全脆弱網(wǎng)絡(luò)安的脆弱性，用議的網(wǎng)絡(luò)提供的FTP，E-AIL，RPCNFS都包含多不安全的素；計機硬件的故，由二產(chǎn)工藝和制商的原，計算機硬系統(tǒng)本身有障；軟本身的“后，軟本身的后門是軟件司為了方便已進入而在發(fā)時預(yù)設(shè)置的，一面軟件調(diào)試進一步展或遠維護提供了便，但同時為非法侵提供了通，入侵可以利用“門，多進入系統(tǒng)，見的后門有改配制件，建立系木馬程和修改系統(tǒng)核等；件的漏洞，件中不可避的漏洞缺陷，成了客攻擊首要目標，型的如作系統(tǒng)中的BUCS。3.據(jù)庫管理統(tǒng)的安脆弱性大量信存儲在數(shù)據(jù)中，然對這些數(shù)據(jù)系統(tǒng)在全的考慮卻少。數(shù)庫管理統(tǒng)安全必須操作系的安全相配，例如DMBS的全級別B2級操作系統(tǒng)安全級別也是B2，但實中往往不是樣。

4.火墻的局性防火墻然存在著一不能防的威脅，例不能防不經(jīng)過防火的攻擊及很難范網(wǎng)絡(luò)內(nèi)部擊及病威脅等。5.災(zāi)人禍天災(zāi)是不可控制的然災(zāi)害如地震，雷等。人是指人為的意攻擊違紀，法和計算機罪。無是指誤操作成的不后果，如文的誤刪，誤輸入，全配置不當用戶口選擇不慎，號泄露與別人共享6.他方面如環(huán)境災(zāi)害的影響計算機域中任何重的技術(shù)步，都對安構(gòu)成新威脅等總之，系統(tǒng)身的脆和不足，是成網(wǎng)絡(luò)全問題的內(nèi)根源，系統(tǒng)本身的弱性，社會系統(tǒng)的賴性這一矛又將促網(wǎng)絡(luò)安全技的不斷步發(fā)展和進。第節(jié)網(wǎng)安模計算機絡(luò)系統(tǒng)安全概念是對，每一個統(tǒng)都具潛在的危險安全具動態(tài)性需要適應(yīng)變的環(huán)境并能作出相的調(diào)整以確保計算網(wǎng)絡(luò)系的安全。一個最見的安全模是PDRR型：模型就四個英文單的頭字，PROTECTION（護，DETECTION檢測RESPONSE(應(yīng)，RECOVERY(恢這四個部分成了一個動的信息全周期，如圖：圖1-1網(wǎng)絡(luò)全型安全策的每一部分括一組應(yīng)的安全措來實施定的安全功。安全略的第部分就是防。根據(jù)統(tǒng)憶知的所安全問防御的措施如打補，訪問控制數(shù)據(jù)加密等。防御為安全策略第一戰(zhàn)。安全策略第二戰(zhàn)就是檢測。擊者如果穿防御系，檢測系統(tǒng)會檢測來。這個安戰(zhàn)績的能就是檢測入侵者的身，包括擊來源，系損失等一旦檢測出侵，響系統(tǒng)開始響包括事件處和其他務(wù)。安全策的最后個戰(zhàn)績就是統(tǒng)恢復在入侵事件生后，把系恢復到來的狀態(tài)。次發(fā)生侵事件，防系統(tǒng)都更新，保證相類型的入侵件不能發(fā)生，所以個安全略包括防御檢測，應(yīng)和恢復，四個方面組了一個息安全周期

第節(jié)企局網(wǎng)應(yīng)企業(yè)局網(wǎng)的應(yīng)用可為用戶供如下主要用：1.件共享，公自動，服務(wù)，電郵件服；2.件數(shù)據(jù)的一存儲3對特定的應(yīng)用在據(jù)庫服器上進行二開發(fā)（如財務(wù)系統(tǒng)；4.供與INTERNET的訪問；5.過公開服器對外布企業(yè)信息發(fā)送電郵件等。第三章絡(luò)系統(tǒng)安全風分析這個企的局域網(wǎng)是個信息較多的百兆域網(wǎng)絡(luò)統(tǒng)，它所聯(lián)的現(xiàn)在有百個息點為整個業(yè)內(nèi)辦的各部門得一個快，方便的信交流平。不僅如此通過專線與INTERNET連接，打通一扇通外部界的窗，各個部門可以直與互聯(lián)網(wǎng)用進行交，查詢資料。通過開服務(wù)器，業(yè)可以接對外發(fā)布息或者與發(fā)電子郵。高速交換術(shù)的采，靈活的網(wǎng)互連方設(shè)計為用戶供快速，方，靈活信平臺的同，也為絡(luò)的安全帶了更大風險因此，原有網(wǎng)絡(luò)上施一套整，可操作安全的決方案不僅可行的而且是必需企業(yè)局域網(wǎng)全可以以下幾個方來理解1.網(wǎng)絡(luò)物理是否全；2.網(wǎng)絡(luò)平臺否安全；3.系統(tǒng)否安全；企業(yè)局域本身是安全；互聯(lián)連接是安全。對每一類安風險，合實際情況我們將體的分析網(wǎng)的安全險。第節(jié)物安風分網(wǎng)絡(luò)的理安全主要指地震水災(zāi)，火災(zāi)環(huán)境事，電源故障人為操失誤或誤，設(shè)備被，被毀電磁干擾，較截獲及高可用性硬件，機多冗余的計，機房環(huán)及報警統(tǒng)，安全意等。它整個網(wǎng)絡(luò)系安全的提，在這個且加強網(wǎng)絡(luò)備和機的管理，這風險是以避免的。第節(jié)網(wǎng)平的全險析網(wǎng)絡(luò)結(jié)的安全涉及網(wǎng)絡(luò)拓結(jié)構(gòu)，網(wǎng)絡(luò)由狀況網(wǎng)絡(luò)的環(huán)境。

公開服器面臨的威，企業(yè)域網(wǎng)內(nèi)公開務(wù)器區(qū).EMAIL等務(wù)器）為公司的息發(fā)布平臺旦不能行后者受到擊，對業(yè)的聲譽影巨大。時公開服務(wù)本身要為外服務(wù)，須開放相應(yīng)服務(wù)。天，黑客都試圖闖INTERNET

節(jié)點，些節(jié)點如果保持警，可能連黑怎么闖的都不知道甚至會成客入侵其他點的跳。因此，企局域網(wǎng)管理人員對INTERNET安全故做出效反應(yīng)變得分重要我們必須將開服務(wù)，內(nèi)部網(wǎng)絡(luò)外部網(wǎng)進行隔離，免網(wǎng)絡(luò)結(jié)構(gòu)息外泄同時還要對網(wǎng)絡(luò)的務(wù)請求加以慮，只許正常通信數(shù)據(jù)包到達應(yīng)的主，其他的請在到達機之前就該到拒絕整個網(wǎng)結(jié)構(gòu)和路由況，安的應(yīng)用往往建立在絡(luò)系統(tǒng)之上網(wǎng)絡(luò)系的成熟否直接影響全系統(tǒng)功的建設(shè)。這個企局域網(wǎng)網(wǎng)絡(luò)統(tǒng)中，使用一臺路器，作為與連接的邊路由器，網(wǎng)結(jié)構(gòu)相簡單，具體置時可以慮使用靜態(tài)由，這大大減少了網(wǎng)絡(luò)結(jié)和網(wǎng)絡(luò)路由成的安風險。第節(jié)系的全險析所謂系的安全是指個局域絡(luò)操作系統(tǒng)網(wǎng)絡(luò)硬平臺是否可且值得任。網(wǎng)絡(luò)操系統(tǒng)，網(wǎng)絡(luò)件平臺可靠性：對中國來，恐怕沒有對安全操作系可以選擇，論是MICROSOFT的WINDOWS或其任何用UNIX操系統(tǒng)，其開發(fā)必然有其BACK--DOOR。們可以樣講沒有完安全的操作統(tǒng)。但，我們可對現(xiàn)在所有操作平進行安全配，對操和訪問權(quán)限行嚴格制，提高系的安全性。此，不要選用盡可的操作統(tǒng)和硬件平，而且須加強登錄程的認證（別是在達服務(wù)器主之前的證，保用戶合法性。其次應(yīng)該嚴限制登錄的操作限，限制操權(quán)限制最小的范圍。第節(jié)來局網(wǎng)部威（1）用的安風險應(yīng)用系的安全是動，不斷化的，其結(jié)是安全洞也不斷增且隱藏來越深因此，保證用系統(tǒng)安全也是一隨網(wǎng)絡(luò)展不斷完善過程。用的安全性及到信息，據(jù)的安性。信息的全性涉到機密信息漏，未授權(quán)

的訪問破壞信息完性，假，破壞系統(tǒng)可用性。由于這個業(yè)局域度不大，絕部份重要信在內(nèi)部遞，因此信的機密和完整性是以保證。對于有些別重要的信需要對部進行保密可以考在應(yīng)用級進加密，對具體的應(yīng)直接在應(yīng)用統(tǒng)開發(fā)進行加密。（2）理的安全風管理是絡(luò)安全中最要的部，責權(quán)不明管理混，安全管理度不健及缺乏操作性等都能引起理安全的風。管理知亂使得一員工或理員隨便讓些非本地員甚至外人員進入機重地，者員工有意意泄漏們所知道的些重要信息而管理卻沒有相應(yīng)度來約。當網(wǎng)絡(luò)出攻擊行或網(wǎng)絡(luò)受到他一些安全脅（如部人員違規(guī)作等，法進行時檢，監(jiān)控報告與預(yù)。同時，當故發(fā)生后，也無法供黑客擊行為的追線索及案依據(jù)，即乏對網(wǎng)絡(luò)的控性與審查性。所我們必對站點的訪活動進多層次的記，及時發(fā)現(xiàn)法入侵為。建立全的網(wǎng)絡(luò)全機制，必深刻理網(wǎng)絡(luò)并能提解決方案，此最可的做法是管制度和絡(luò)安全解決案的結(jié)。（3）滿的內(nèi)員工不滿的部員工可能站點上些小玩笑，至破壞不論如何，們最熟服務(wù)器小程序，腳和系統(tǒng)弱點。例如們可以出至關(guān)重要信息，漏安全重要息，錯誤地入數(shù)據(jù)等等。第節(jié)來互網(wǎng)威（1）客攻擊黑客們攻擊行為是時無刻在進行的，且會利系統(tǒng)和管理一切可勝利用漏洞。公開務(wù)器存漏洞的一個型例證是黑客可以易地騙公開服務(wù)器件，得到服器的口文件并將之回。黑入侵服務(wù)器，有可修改特權(quán)，普通用戶變高級用，一旦成功黑客可直接進入口文件?？瓦€能開發(fā)騙程序，將裝入服器中，用以聽登錄話。當它發(fā)所有用登錄時，便始存儲一個件，這黑客就擁有人的帳和口令。這為了防黑客，需要設(shè)公開服務(wù)器使得它離開自已的間而進另外的目錄另外，應(yīng)設(shè)置組特，不允許任使用公服務(wù)器的人問頁面件以外的東。在這企業(yè)的局域內(nèi)我們可以合采用火尖端技術(shù)入侵檢技術(shù)，訪問制技術(shù)保護，

網(wǎng)絡(luò)內(nèi)信息資源，止黑客擊。（2）意代碼惡意代不限于病毒還包括蟲，特洛伊馬，邏炸彈和其他經(jīng)同意較件。以應(yīng)該加強惡意代的檢測。（3）毒的攻計算機毒一直是計機安全主要威脅。毒不是立存在，它藏在其可執(zhí)行程序之中，有破壞，又有傳染和潛伏。輕則影響器運行度，使機器能正常運行重則使器處于癱瘓會給用帶來不可估的損失能在INTERNET上傳播的新型毒，如通過傳播的毒，增了這種威脅程度。第節(jié)網(wǎng)的擊段一般認，目前對網(wǎng)的攻擊段主要的表：非授權(quán)問：沒有預(yù)經(jīng)過同，就使網(wǎng)絡(luò)計算機源被看作非權(quán)訪問如有意開系統(tǒng)訪問控機制對網(wǎng)絡(luò)設(shè)備資源進非正常使用或擅自大權(quán)限，越限訪問信息信息泄或丟失：指感數(shù)據(jù)有意或無意被泄漏丟失，通常括信息傳輸中者存儲介質(zhì)丟失，漏，或通過立隱蔽道竊取敏感息等。破壞數(shù)的完整性：非法手竊取對數(shù)據(jù)使用權(quán)刪除，修改插入或發(fā)某些要信息，以得有益攻擊者的響，惡意改數(shù)據(jù)，以擾用戶正常使用。拒絕服攻擊：它不對網(wǎng)絡(luò)務(wù)系統(tǒng)進行擾，改其正常的作流程，行無關(guān)序使系統(tǒng)響減慢甚癱瘓，影響常用戶使用，甚至用合法戶被排斥而能進入計算網(wǎng)絡(luò)系或不能得到應(yīng)的服。利用網(wǎng)傳播病毒：過網(wǎng)絡(luò)播計算機病，其破性大大高于機系統(tǒng)而用戶難防范。

第四章業(yè)網(wǎng)絡(luò)安全解實施第節(jié)物安利泰公網(wǎng)絡(luò)中保護絡(luò)設(shè)備物理安全是整個計機網(wǎng)絡(luò)系統(tǒng)全的前提，物安全是指保計算機絡(luò)設(shè)備、設(shè)以及其媒體免遭地、水災(zāi)火災(zāi)等環(huán)境故、人為操失誤或種計算機犯行為導的破壞。針對利公司的物理全主要慮的問題是境、場和設(shè)備的安及物理問控制應(yīng)急處置計等。物安全在整個算機網(wǎng)信息系統(tǒng)安中占有要地位。它要包括以下個方面保證機環(huán)境安全信息系中的計算機件、網(wǎng)設(shè)施以及運環(huán)境是息系統(tǒng)運行最基本環(huán)境。從一下三個面考慮a.然災(zāi)害、物損壞和備故障b.磁輻射乘機而入痕跡泄漏等c.作失誤意外疏等2)選用合適傳輸介質(zhì)屏蔽式絞線的抗干能力更，且要求必配有支屏蔽功能的接器件要求介有良好的接（最好多接地對于干嚴重的區(qū)域使用屏式雙絞線，并將其在金屬管內(nèi)增強抗擾能力。光纖是長距離和高量傳輸統(tǒng)最有效的徑，從輸特性等分，無論種光纖有傳輸頻帶、速率、傳輸損耗、傳輸離遠、抗雷和電磁干擾性好保性好，不易竊聽或截獲數(shù)據(jù)、輸?shù)恼`率很低，可性高，積小和重量等特點。與絞線或軸電纜不同是光纖輻射能量，夠有效阻止竊聽。3)保證供電全可靠計算機網(wǎng)絡(luò)主干設(shè)對交流源的質(zhì)量要十分嚴，對交流電電壓和率，對源波形的正性，對相電源的對性，對電的連續(xù)性可靠性定性和抗干性等各項指，都要保持在允許差范圍。機房的供電系統(tǒng)計既要滿足備自身運轉(zhuǎn)要求，要滿足網(wǎng)絡(luò)用的要，必須做到證網(wǎng)絡(luò)統(tǒng)運行的可性，保證設(shè)的設(shè)計命保證信息全保證房人員的工環(huán)境。

第節(jié)網(wǎng)VLAN分VLAN技術(shù)能有效離局域，防止網(wǎng)內(nèi)攻擊，以利泰商貿(mào)限公司絡(luò)中按部門行了VLAN劃，劃分為以兩個VLAN：財務(wù)部VLAN業(yè)務(wù)部VLAN核心交機VLAN路由

交換機S1接入交換機（州數(shù)碼DCS-3950）交換機S2接入交換機（州數(shù)碼DCS-3950）核心交機（神州數(shù)DCRS-5526）S1置如下switch>switch>enaswitch#conswitch(Config)#vlan10switch(Config-Vlan10)#swint0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#int0/0/24switch(Config-Ethernet0/0/24)#swtSettheportEthernet0/0/24TRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swavasettheportEthernet0/0/24vlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolswitch(dhcp-vlan10-config)#network-addressswitch(dhcp-vlan10-config)#leaseswitch(dhcp-vlan10-config)#default-routerswitch(dhcp-vlan10-config)#dns-serverswitch(dhcp-vlan10-config)#exitswitch(config)ipdhcpexcluded-addressS2置如下

Switch>Switch>enaSwitch#conswitch(Config)#vlan20switch(Config-Vlan20)#swint0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#int0/0/24switch(Config-Ethernet0/0/24)#swtSettheportEthernet0/0/24TRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swavasettheportEthernet0/0/24vlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolswitch(dhcp-vlan20-config)#network-addressswitch(dhcp-vlan20-config)#leaseswitch(dhcp-vlan20-config)#default-routerswitch(dhcp-vlan20-config)#dns-serverswitch(dhcp-vlan20-config)#exitswitch(config)ipdhcpexcluded-addressS0置如下switch>switch>enableswitch#configswitch(Config)#hostnameS0S0(Config)#vlan10S0(Config-Vlan10)#vlan20S0(Config-Vlan20)#exitS0(Config)#int0/0/1-2

S0(Config-Port-Range)#swmtS0(Config-Port-Range)#swtaaS0(Config-Port-Range)#exitS0(Config)#int10S0(Config-If-Vlan10)#ipS0(Config-If-Vlan10)#noshutdownS0(Config-If-Vlan10)#exitS0(Config)#int2000:04:23:%LINK-5-CHANGED:InterfaceVlan20,changedtoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoUPS0(Config-If-Vlan20)#ipS0(Config-If-Vlan20)#noshutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#ipS0(Config-If-Vlan1)#noshutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#showrouteS0#conS0(Config)#ip第節(jié)網(wǎng)防墻置利泰公網(wǎng)絡(luò)中使用是神州碼的DCFW-1800S里面包含防火墻VPN等功能以下為配置程：在防火略下，新增如圖

圖4-1新增業(yè)火策示圖源域：untrust；源地址象：any目的域trust目的地對象：any在全局全策略設(shè)置面如圖4-2圖示:圖4-2企業(yè)火策配示圖

圖企防墻略置意圖4-4企業(yè)火策配示圖可以設(shè)全局下面訪策略，及域內(nèi)和域的訪問略。這里我設(shè)置，部網(wǎng)絡(luò)信任區(qū)域（trustInteneter為不信任區(qū)域untrust服務(wù)器區(qū)域DMZ域。動包括許，拒，以及其他的定的服。這里允許部訪問部和DMZ域，DMZ和Inteneter不允訪問內(nèi)。但是處于間位置的以允許Inteneter的問。以要添好幾NAT略。在網(wǎng)絡(luò)口處如圖示:

圖4-5網(wǎng)絡(luò)口配示圖要配置3個以太網(wǎng)口為up，安全區(qū)域分別為eth1：l2-trust，：l2-untrust，。其中外網(wǎng)的eth0工模式為由模式，其接DMZ和內(nèi)部都為NAT式。如示圖4-6以網(wǎng)口置意同時為們配好相應(yīng)網(wǎng)絡(luò)地eth02，eth1：eth2。第節(jié)網(wǎng)VPN配置利泰公網(wǎng)絡(luò)的VPN能主要是通過面的防火墻現(xiàn)的。圖4-7,圖4-8所示

圖4-7PPTP協(xié)議意圖圖4-8PPTP示意圖這里我使用PPTP協(xié)來實現(xiàn)VPN，首先是增PPTP地址池，范圍如圖所示圖4-9PPTP協(xié)議現(xiàn)VPN示意在PPTP設(shè)置里，選擇Chap加密認，加方式。DNS分別為，MTU為第節(jié)網(wǎng)防毒施針對利公司網(wǎng)絡(luò)的狀，在合考慮了公對防病系統(tǒng)的性能求、成和安全以后，我選江民殺軟件KV網(wǎng)絡(luò)來在網(wǎng)中進防病毒系統(tǒng)建立。

產(chǎn)品特:KV網(wǎng)絡(luò)版是為種簡單或復網(wǎng)絡(luò)環(huán)設(shè)計計算機毒網(wǎng)絡(luò)防護統(tǒng)，即用于包若干臺主機單一網(wǎng)網(wǎng)絡(luò)，也適于包含種務(wù)器、件服務(wù)器、應(yīng)用服器，以及分在不同市，包含數(shù)萬臺主的超大型網(wǎng)。絡(luò)版具有以下著特點：(1)進的體結(jié)構(gòu)(2)強的殺能力(3)備的遠控制(4)便的分、分管理利泰公網(wǎng)絡(luò)KV絡(luò)版的主制中心署在DMZ服器區(qū)，子控中心部在3交換機的一臺服器上。網(wǎng)絡(luò)拓結(jié)構(gòu)如圖4-10示:圖4-10主控中部圖子控制心與主控制心關(guān)系控制中負責整個絡(luò)版管理與制，是整個KV網(wǎng)絡(luò)的核心在部KV網(wǎng)絡(luò)時，必須首安裝。了對絡(luò)中的算機進行日的管理控制外，它實時地錄著KV絡(luò)版防護系內(nèi)每計算機上的毒監(jiān)控查殺病毒和級等信息。在1網(wǎng)段內(nèi)允許裝臺控制中心。根據(jù)控制心所的網(wǎng)段不同可以將控中心劃分為控制中和子控制中，子控中心除了要完成控制中心功能外還要負責與的上級—主控制中進行通。這里的“”和“”是一個相對的概：每控制中對于的下級網(wǎng)段來說都主控制心，對于它

的上級網(wǎng)段來說又子控制心，這種控結(jié)構(gòu)可根據(jù)網(wǎng)絡(luò)的要無限延伸下去。為利泰司網(wǎng)絡(luò)安裝KV網(wǎng)絡(luò)版殺毒軟件，為期配置件的安策略。對利泰公司戶端計算機軟實現(xiàn)更為完的遠程制功能，利KV軟控制中心的“略設(shè)置”功組