版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
緒論 2第一章:企業(yè)網(wǎng)絡(luò)平安分析 3一、現(xiàn)狀分析 31.1Internet的平安性 31.2.企業(yè)內(nèi)網(wǎng)的平安性 41.3工程背景 41.4工程分析 6平安設(shè)備分布 6網(wǎng)絡(luò)設(shè)備平安現(xiàn)狀 7效勞器部署現(xiàn)狀 7客戶端計(jì)算機(jī) 8無線局域網(wǎng)平安現(xiàn)狀 8網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析 91.5工程需求 11網(wǎng)絡(luò)平安需求 11網(wǎng)絡(luò)訪問平安需求 121.6工程規(guī)劃 12效勞器平安規(guī)劃 131.6.2客戶端平安規(guī)劃 14網(wǎng)絡(luò)設(shè)備平安規(guī)劃 15無線準(zhǔn)備平安規(guī)劃 16防火墻、IDS、IPS規(guī)劃 17局域網(wǎng)接入平安規(guī)劃 181.6.7Internet接入平安規(guī)劃 18遠(yuǎn)程接入平安規(guī)劃 19網(wǎng)絡(luò)可靠性規(guī)劃 20第二章:企業(yè)網(wǎng)絡(luò)平安的實(shí)際應(yīng)用 202.1企業(yè)網(wǎng)絡(luò)平安實(shí)施 202.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施 212.3訪問控制 242.4入侵檢測 242.5漏洞掃描 252.6其它 26應(yīng)用系統(tǒng)平安 262.6.2系統(tǒng)平臺平安 262.6.3應(yīng)用平臺平安 262.7病毒防護(hù) 262.8產(chǎn)品應(yīng)用 272.9數(shù)據(jù)備份 302.10平安審計(jì) 312.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴 312.12物理平安 322.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換 322.14應(yīng)用 322.15防電磁輻射 322.16網(wǎng)絡(luò)防雷 332.17重要信息點(diǎn)的物理保護(hù) 33摘要網(wǎng)絡(luò)平安的本質(zhì)是網(wǎng)絡(luò)信息的平安性,包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個(gè)方面,它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程表達(dá)。網(wǎng)絡(luò)平安管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下,對于防止來自網(wǎng)外的攻擊。防火墻,那么是內(nèi)外網(wǎng)之間一道牢固的平安屏障。平安管理是保證網(wǎng)絡(luò)平安的根底,平安技術(shù)是配合平安管理的輔助措施。建立了一套網(wǎng)絡(luò)平安系統(tǒng)是必要的。
緒論隨著網(wǎng)絡(luò)的高速開展,網(wǎng)絡(luò)的平安問題日益突出,近年來,黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光,國家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)平安建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中,由于對技術(shù)的偏好和運(yùn)營意識的缺乏,普遍都存在“重技術(shù)、輕平安、輕管理〞的傾向,隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,關(guān)鍵性應(yīng)用的普及和深入,企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題。
第一章:企業(yè)網(wǎng)絡(luò)平安分析隨著企業(yè)信息化的不斷推進(jìn),各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng),企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到,隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,尤其是企業(yè)網(wǎng)絡(luò)所面對的使用群體的特殊性〔擁有一定的網(wǎng)絡(luò)知識、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識卻相對冷淡〕,如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題,解決網(wǎng)絡(luò)平安問題刻不容緩?,F(xiàn)狀分析隨著國內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛開展和廣泛普及,企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是,Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí),對平安提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)平安受到嚴(yán)重威脅,甚至處于癱瘓狀態(tài),將會給企業(yè)、社會、乃至整個(gè)國家?guī)砭薮蟮慕?jīng)濟(jì)損失。如何使信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵,已成為信息事業(yè)健康開展所要考慮的重要事情之一。大型企業(yè)不斷開展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大,由于其自身業(yè)務(wù)的需要,在不同的地區(qū)建有分公司或分支機(jī)構(gòu),本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個(gè)更加龐大的網(wǎng)絡(luò)。這樣一個(gè)網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競爭力,同樣,這樣復(fù)雜的網(wǎng)絡(luò)面臨更多的平安問題。首先本地網(wǎng)絡(luò)的平安需要保證,同時(shí)總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)之間的機(jī)密信息傳輸問題,以及集團(tuán)的設(shè)備管理問題,這樣的網(wǎng)絡(luò)使用環(huán)境一般存在以下平安隱患和需求:1.1Internet的平安性目前互聯(lián)網(wǎng)應(yīng)用越來越廣泛,黑客與病毒無孔不入,這極大地影響了Internet的可靠性和平安性,保護(hù)Internet、加強(qiáng)網(wǎng)絡(luò)平安建設(shè)已經(jīng)迫在眉捷。1.2.企業(yè)內(nèi)網(wǎng)的平安性企業(yè)內(nèi)部的網(wǎng)絡(luò)平安同樣需要重視,存在的平安隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕效勞攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的平安策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的平安性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。具體表現(xiàn)如下:? 計(jì)算機(jī)病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播。? 內(nèi)部網(wǎng)絡(luò)可能被外部黑客攻擊。? 對外的效勞器〔如:www、ftp、郵件效勞器等〕沒有平安防護(hù),容易被黑客攻擊。? 內(nèi)部某些重要的效勞器或網(wǎng)絡(luò)被非法訪問,造成信息泄密。? 內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理,影響日常工作效率,容易形成內(nèi)部網(wǎng)絡(luò)的平安隱患。? 分支機(jī)構(gòu)網(wǎng)絡(luò)平安問題。? 大量的垃圾郵件占用網(wǎng)絡(luò)和系統(tǒng)資源,影響正常的工作。? 分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)連接平安和之間數(shù)據(jù)交換的平安問題。? 遠(yuǎn)程、移動用戶對公司內(nèi)部網(wǎng)絡(luò)的平安訪問。1.3工程背景假設(shè)某企業(yè)擁有員工2000余人,公司總部坐落在省會城市高新技術(shù)開發(fā)區(qū),包括4個(gè)生產(chǎn)車間和兩棟職工宿舍樓,產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在總公司進(jìn)行。該企業(yè)在外地另開設(shè)有兩家分公司,由總公司進(jìn)行統(tǒng)一管理和部署。目前,該企業(yè)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示,根本情況如下。1、公司局域網(wǎng)已經(jīng)根本覆蓋整個(gè)廠區(qū),中心機(jī)房位于總公司,職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為“星型+樹型〞,接入層交換機(jī)為CiscoCatalyst2960,會聚層交換機(jī)為CiscoCatalyst3560,核心層交換機(jī)為CiscoCatalyst35603、現(xiàn)有接入用戶數(shù)量為500個(gè),客戶端均使用私有IP地址,通過防火墻或代理效勞器接入Internet。局部效勞器IP地址為公有IP地址。4、Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能,用于遠(yuǎn)程移動用戶或子公司網(wǎng)絡(luò)提供遠(yuǎn)程平安訪問。5、會議室、員工宿舍等場所部署無線接入點(diǎn),實(shí)現(xiàn)隨時(shí)隨地?zé)o線漫游接入。6、效勞器操作系統(tǒng)平臺多為WindowsServer2003和WindowsServer2021系統(tǒng)??蛻舳讼到y(tǒng)為WindowsXPProfessional和Windows77、網(wǎng)絡(luò)中部署有Web效勞器,為企業(yè)網(wǎng)站運(yùn)行平臺。8、企業(yè)網(wǎng)絡(luò)辦公平臺為WSS,文件效勞器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。9、E-mail、RTX為用戶員工之間的彼此交流,以及企業(yè)與外界的通信網(wǎng)絡(luò)。10、打印效勞和效勞主要滿足企業(yè)用戶網(wǎng)絡(luò)辦公的應(yīng)用。11、企業(yè)分支結(jié)構(gòu)通過VPN方式遠(yuǎn)程接入總部局域網(wǎng),并且可以訪問網(wǎng)絡(luò)中的共享資源。圖1-1工程背景1.4工程分析在普通小型局域網(wǎng)中,最常見的平安防護(hù)手段就是在路由器后部署一道防火墻,甚至平安需求較低的網(wǎng)絡(luò)并無硬件防火墻,只是在路由器和交換機(jī)上進(jìn)行簡單的訪問控制和數(shù)據(jù)包篩選機(jī)制就可以了。但是,在較大的企業(yè)網(wǎng)絡(luò)中,許多重要應(yīng)用都要依賴網(wǎng)絡(luò),勢必對網(wǎng)絡(luò)的平安性的要求高一些,在部署網(wǎng)絡(luò)平安設(shè)備的同時(shí),必須輔助多種訪問控制與平安配置措施,加固網(wǎng)絡(luò)平安。平安設(shè)備分布防火墻由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式,所以直接使用防火墻充當(dāng)接入設(shè)備,部署在網(wǎng)絡(luò)邊緣,防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外,在會議室、產(chǎn)品展示廳等公共環(huán)境中的會聚交換機(jī)和核心交換機(jī)之間部署硬件防火墻,防止公共環(huán)境中可能存在的平安風(fēng)險(xiǎn)通過核心設(shè)備傳播到整個(gè)網(wǎng)絡(luò)。IPSIPS〔IntrusionPreventionSystem,入侵防御系統(tǒng)〕部署在Internet接入?yún)^(qū)的路由器和核心交換機(jī)之間,用于掃描所有來自Internet的信息,以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。IDSIDS〔InternetDetectionSystem,入侵檢測系統(tǒng)〕本身是一個(gè)典型的探測設(shè)備,類似于網(wǎng)絡(luò)嗅探器,無需轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集相應(yīng)的報(bào)文即可。IDS無法跨越物理網(wǎng)段收集信息,只能收集所在交換機(jī)的某個(gè)端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的IDS部署在平安需求最高的效勞區(qū),用于實(shí)時(shí)偵測效勞器區(qū)交換機(jī)轉(zhuǎn)發(fā)的所有信息,對收集來的報(bào)文,IDS將提取相應(yīng)的流量統(tǒng)計(jì)特征值,并利用內(nèi)置的入侵知識庫,與這些流量特征進(jìn)行智能分析比擬匹配。根據(jù)默認(rèn)的閥值,匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻,IDS將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的還擊。CiscoSecurityMARSCiscoSecurityMARS(MonitoringAnalysisResponseSystem)是基于設(shè)備的全方位解決方案,是網(wǎng)絡(luò)管理的關(guān)鍵組成局部。MARS可以自動識別、管理并抵御平安威脅,它能與現(xiàn)有網(wǎng)絡(luò)和平安部署協(xié)作,自動識別并隔離網(wǎng)絡(luò)威脅,同時(shí)提出準(zhǔn)確的去除建議。在本例企業(yè)網(wǎng)絡(luò)中,MARS直接連接在核心交換機(jī)上,用于收集經(jīng)過核心交換機(jī)的所有數(shù)據(jù)信息,自動生成狀態(tài)日志,供管理員調(diào)閱。網(wǎng)絡(luò)設(shè)備平安現(xiàn)狀當(dāng)網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備,并且提供Web管理方式,同時(shí)配置了根本的平安防御措施,如登陸密碼、用戶賬戶權(quán)限等。交換機(jī)和路由器平安設(shè)置交換機(jī)的主要功能就是提供網(wǎng)絡(luò)所需的接入接口。目前,該網(wǎng)絡(luò)中基于交換機(jī)的平安管理僅限于VLAN劃分、Enable密碼和Telnet密碼等根本平安措施,并未進(jìn)行任何高級平安配置,如流量控制,遠(yuǎn)程監(jiān)控、IEEE802.1x平安認(rèn)證等,存在較大的平安隱患。企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入Internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能,所以該網(wǎng)絡(luò)中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換,可以滿足根本的平安要求。辦公設(shè)備平安配置企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機(jī)和機(jī),均支持網(wǎng)絡(luò)接入功能,部署在樓層的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施,致使網(wǎng)絡(luò)打印機(jī)和機(jī)被濫用,造成不必要的資源浪費(fèi)。另外,用戶計(jì)算機(jī)到打印機(jī)之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文,存在一定的平安隱患。效勞器部署現(xiàn)狀網(wǎng)絡(luò)中應(yīng)用效勞器包括域控制器、DHCP效勞器、文件效勞器、效勞器、網(wǎng)絡(luò)辦公平臺、數(shù)據(jù)庫效勞器等,其中有許多網(wǎng)絡(luò)效勞合用一臺效勞器,網(wǎng)絡(luò)中共有效勞器10臺,通過單獨(dú)的交換機(jī)高速連接至核心交換機(jī),完全采用鏈路冗余結(jié)束雙線連接,確保連接的可靠性。所有效勞器均已參加域中,接受域控制器的統(tǒng)一管理,并且已開啟遠(yuǎn)程終端功能,用戶可以使用有效的管理員賬戶憑據(jù)遠(yuǎn)程登錄效勞器,實(shí)現(xiàn)相應(yīng)的配置與管理任務(wù)。客戶端計(jì)算機(jī)客戶端計(jì)算機(jī)主要以Windows操作系統(tǒng)為主,極少數(shù)用戶是運(yùn)行Linux和MacOS操作系統(tǒng)??蛻舳擞?jì)算機(jī)的平安防御比擬薄弱,僅限于用戶賬戶登錄密碼、個(gè)人防火墻、殺毒軟件等。因此,由于個(gè)別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時(shí)有發(fā)生。對于Windows系統(tǒng)而言,應(yīng)用最多的WindowsXPProfessional和WindowsVista系統(tǒng)已經(jīng)集成了比擬完善的平安防御功能,如Internet防火墻、Windows防火墻、WindowsDefender、WindowsUpdate等,客戶端用戶只需對這些功能簡單配置,即可增強(qiáng)系統(tǒng)平安性。另外,對于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言,統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如,統(tǒng)一配置客戶端計(jì)算機(jī)平安功能、增強(qiáng)網(wǎng)絡(luò)訪問控制、部署NAP系統(tǒng)、部署WSUS效勞器等。無線局域網(wǎng)平安現(xiàn)狀在企業(yè)網(wǎng)絡(luò)中部署無線局域網(wǎng),延伸了有線局域網(wǎng)的覆蓋范圍,防止網(wǎng)絡(luò)布線對現(xiàn)有整體布局和裝修的破壞,既是環(huán)境需求,也是企業(yè)開展和生存的需要。用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò),充分享受無線暢游的便利。但是,由于無線網(wǎng)絡(luò)傳輸?shù)奶厥庑?,無線局域網(wǎng)的平安問題也是不容無視的。該企業(yè)網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)平安問題,主要表現(xiàn)在以下幾個(gè)方面。WEP密鑰發(fā)布問題802.11本身并未規(guī)定密鑰如何分發(fā)。所有平安性考慮的前提是假定密鑰已通過與802.11無關(guān)的平安渠道送到了工作站點(diǎn)上,而在實(shí)際應(yīng)用中,一般都是手工設(shè)置,并長期固定使用4個(gè)可選密鑰之一。因此,當(dāng)工作站點(diǎn)增多時(shí),手工方法的配置和管理將十分繁瑣且效率低下,而且密鑰一旦喪失,WLAN將無平安性可言。2.WEP用戶身份認(rèn)證方法的缺陷802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式:開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開發(fā)系統(tǒng)認(rèn)證是默認(rèn)的認(rèn)證方法,任何移動站點(diǎn)都可參加BSS〔BasicServiceSet,根本效勞集〕,并可以跟AP〔AccessPoint,接入點(diǎn)〕通信,能“聽到〞所有未加密的數(shù)據(jù),可見,這種方法根本密鑰提供認(rèn)證,也就不存在平安性。共享密鑰認(rèn)證是一種請求響應(yīng)認(rèn)證機(jī)制:AP在收到工作站點(diǎn)STA〔StaticTimingAnalysis,靜態(tài)時(shí)序分析〕的請求接入消息時(shí)發(fā)送詢問消息,STA對詢問消息使用共享密鑰進(jìn)行加密并送回AP,AP解密并校驗(yàn)消息的完整性,假設(shè)成功,那么允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息,加以簡單的數(shù)字運(yùn)算就可以得到共享密鑰生成的偽隨機(jī)密碼流,然后偽造合法的響應(yīng)消息通過AP認(rèn)證后接入WLAN。3.SSID和MAC地址過濾WEP效勞集標(biāo)識SSID由Lucent公司提出,用于對封閉網(wǎng)絡(luò)進(jìn)行訪問控制。只有與AP有相同的SSID的客戶站點(diǎn)才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點(diǎn)MAC地址列表,拒絕MAC地址不在列表中的站點(diǎn)接入被保護(hù)的網(wǎng)絡(luò)。但由于SSID和MAC地址很容易被竊取,因此平安性較低。4.WEP加密機(jī)制的天生脆弱性WEP加密機(jī)制的天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因,WEP2算法作為802.11i的平安標(biāo)準(zhǔn),對現(xiàn)有系統(tǒng)改良相對較小并易于實(shí)現(xiàn)。網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程,結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮,企業(yè)網(wǎng)主要的平安威脅和平安漏洞包括以下幾方面:1內(nèi)部竊密和破壞企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門的網(wǎng)絡(luò)系統(tǒng),因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計(jì)算機(jī))通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號和口令、重要文件等),因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。2搭線(網(wǎng)絡(luò))竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具,在INTERNET網(wǎng)絡(luò)平安的薄弱處進(jìn)入INTERNET,并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。企業(yè)網(wǎng)絡(luò)系統(tǒng)來講,由于存在跨越INTERNET的內(nèi)部通信(與上級、下級)這種威脅等級是相當(dāng)高的,因此也是本方案考慮的重點(diǎn)。3假冒這種威脅既可能來自企業(yè)網(wǎng)內(nèi)部用戶,也可能來自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶,誘騙其他用戶或系統(tǒng)管理員,從而獲得用戶名/口令等敏感信息,進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?;蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。4完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改,使得信息/數(shù)據(jù)失去了原有的真實(shí)性,從而變得不可用或造成廣泛的負(fù)面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息,因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取平安措施的效勞器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息,從而影響工作的正常進(jìn)行。5其它網(wǎng)絡(luò)的攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的,這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊,如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)效勞嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的平安措施進(jìn)行防范。6管理及操作人員缺乏平安知識由于信息和網(wǎng)絡(luò)技術(shù)開展迅猛,信息的應(yīng)用和平安技術(shù)相對滯后,用戶在引入和采用平安設(shè)備和系統(tǒng)時(shí),缺乏全面和深入的培訓(xùn)和學(xué)習(xí),對信息平安的重要性與技術(shù)認(rèn)識缺乏,很容易使平安設(shè)備/系統(tǒng)成為擺設(shè),不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制,為了方便,設(shè)置成全開放狀態(tài)等等,從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)平安產(chǎn)品的技術(shù)含量大,因此,對操作管理人員的培訓(xùn)顯得尤為重要。這樣,使平安設(shè)備能夠盡量發(fā)揮其作用,防止使用上的漏洞。7雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等,而這些都是通過通信電纜進(jìn)行傳輸,因此極易受到雷擊,造成連鎖反響,使整個(gè)網(wǎng)絡(luò)癱瘓,設(shè)備損壞,造成嚴(yán)重后果。因此,為防止遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞,有必要對整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。1.5工程需求由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn),掌握眾多機(jī)密信息,并且下設(shè)多個(gè)部門,所以對網(wǎng)絡(luò)平安性和穩(wěn)定性要求比擬高。無論是根底網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好平安防御工作。網(wǎng)絡(luò)平安需求綜合工程本錢和實(shí)際應(yīng)用等多方面因素,可以從如下幾個(gè)方面滿足用戶需求。一、將防火墻部署在網(wǎng)絡(luò)邊緣,用于隔離來自Internet的所有網(wǎng)絡(luò)風(fēng)險(xiǎn)。二、在路由器和核心交換機(jī)之間部署IPS,對全網(wǎng)的所有Internet通信進(jìn)行檢測,以便可以自動阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請求和危險(xiǎn)信息的傳輸。三、生產(chǎn)區(qū)和辦公區(qū)分別通過會聚交換機(jī)連接至核心交換機(jī),在相應(yīng)的會聚交換機(jī)上分別進(jìn)行適當(dāng)?shù)钠桨苍O(shè)置,將可能存在的平安風(fēng)險(xiǎn)因素隔離在網(wǎng)絡(luò)局部。四、在辦公區(qū)網(wǎng)絡(luò)中,將平安需求和應(yīng)用需求不同的用戶指定到不同的VLAN中,充分確保部門內(nèi)部和部門間的信息平安。五、在會議室和展示廳等移動用戶比擬集中的場所,部署無線接入系統(tǒng),在無線接入點(diǎn)以及無線接入點(diǎn)連接的交換機(jī)上,分別部署相應(yīng)的平安防御措施,如IEEE802.1x認(rèn)證、禁止播送SSID、WEP加密等。六、網(wǎng)絡(luò)管理區(qū)和效勞器區(qū)直接連接至核心交換機(jī),以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有MARS系統(tǒng),用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機(jī)的數(shù)據(jù)通信,以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情況,并協(xié)助管理員制定相應(yīng)的解決方案。七、為了確保效勞器的平安,在效勞器集中區(qū)部署IDS,可以對效勞區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。網(wǎng)絡(luò)訪問平安需求由于公司大局部用戶信息平安意識較差,因此必須對平安需求較高的部門的用戶進(jìn)行集中管理,防止機(jī)密信息外泄。另外,本公司在外地設(shè)有分公司,只能通過遠(yuǎn)程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源,可以借助VPN技術(shù)實(shí)現(xiàn)加密傳輸,充分確保信息平安。目前,該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問平安需求如下。一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用WindowsUpdate功能,但是每個(gè)用戶都從微軟官方站點(diǎn)下載更新程序,會占用大量的網(wǎng)絡(luò)帶寬。另外,還有局部用戶并未開啟WindowsUpdate功能,存在可能招致網(wǎng)絡(luò)攻擊的平安漏洞。二、網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息平安威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就,必須從各方面嚴(yán)格防范。通常情況下,大局部用戶都安裝了殺毒軟件和個(gè)人防火墻軟件,可以起到一定的平安防護(hù)作用,但是未能升級病毒庫同樣可能感染病毒。更嚴(yán)重的是,局部用戶不安裝任何殺毒軟件和防火墻就開始使用,這是非常危險(xiǎn)的。三、網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施,用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源,而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計(jì)算機(jī)已經(jīng)感染病毒,那么病毒可能通過網(wǎng)絡(luò)快速蔓延至整個(gè)網(wǎng)絡(luò)的所有分支。四、遠(yuǎn)程訪問平安的保護(hù)。遠(yuǎn)程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一,用于實(shí)現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠(yuǎn)程訪問VPN技術(shù)本身就是具有一定的平安性,同時(shí)采用隧道和加密等多種技術(shù),但是為了確保遠(yuǎn)程訪問的平安,應(yīng)加強(qiáng)遠(yuǎn)程訪問的保護(hù)與控制。1.6工程規(guī)劃網(wǎng)絡(luò)平安與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要平安措施的保護(hù),但是平安措施過于嚴(yán)格,就會影響到應(yīng)用的易用性。因此,部署網(wǎng)絡(luò)平安措施之前,必須經(jīng)過嚴(yán)格的規(guī)劃。另外,網(wǎng)絡(luò)平安的管理遍布網(wǎng)絡(luò)的所有分支,包括設(shè)備平安、訪問平安、效勞器平安。客戶端平安等。效勞器平安規(guī)劃效勞器是企業(yè)網(wǎng)絡(luò)的重要根底,其平安性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的平安,甚至?xí)绊懙狡髽I(yè)的生存與開展。效勞器的大局部應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實(shí)現(xiàn)的,因此,無論是應(yīng)用程序出錯,還是硬件故障都可能導(dǎo)致效勞器癱瘓。假設(shè)想做好效勞器平安防護(hù)工作,必須從多方面入手。一、效勞器硬件平安效勞器硬件設(shè)備的維護(hù)主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護(hù)等。因?yàn)樾谄鞯倪\(yùn)行是不間斷的,因此這些維護(hù)工作必須在確保效勞器正常運(yùn)行的狀態(tài)下進(jìn)行。1、增加內(nèi)存和硬盤容量。效勞器的內(nèi)存和硬盤都是支持熱插拔的,建議增加與原設(shè)備同廠商、同型號、同容量的內(nèi)存或硬盤,防止由于兼容性問題而導(dǎo)致效勞器死機(jī)。2、定期為效勞器除塵。很多效勞器故障都是由于內(nèi)部灰塵導(dǎo)致的,因此建議管員每個(gè)月定期拆機(jī)清掃一次。3、控制機(jī)房溫度和濕度。雖然效勞器對工作環(huán)境的要求比擬寬泛,但是當(dāng)效勞器周邊環(huán)境比擬惡劣時(shí)同樣會降低其處理速度和穩(wěn)定性。二、操作系統(tǒng)的平安效勞器操作系統(tǒng)的平安是指操作系統(tǒng)、應(yīng)用系統(tǒng)的平安性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的平安防范可以采取如下策略。1、對操作系統(tǒng)進(jìn)行平安配置,提高系統(tǒng)的平安性。系統(tǒng)內(nèi)部調(diào)用不對Internet公開,關(guān)鍵性信息不直接公開,盡可能采用平安性高的操作系統(tǒng)。2、應(yīng)用系統(tǒng)在開發(fā)時(shí),采用標(biāo)準(zhǔn)化的開發(fā)過程,盡可能地減少應(yīng)用系統(tǒng)的漏洞。3、網(wǎng)絡(luò)上的效勞器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。4、通過專業(yè)的平安工具〔平安監(jiān)測系統(tǒng)〕定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行平安評估。三、網(wǎng)絡(luò)應(yīng)用效勞平安局域網(wǎng)中常用的網(wǎng)絡(luò)效勞包括WWW效勞、FTP效勞、DNS效勞、DHCP效勞、ActiveDirectory效勞等,隨著效勞器提供的效勞越來越多,系統(tǒng)也容易混亂、平安性也降低,因此就需要對網(wǎng)絡(luò)效勞的相關(guān)參數(shù)進(jìn)行設(shè)置,以增強(qiáng)其平安性和穩(wěn)定性。通常情況下,網(wǎng)絡(luò)應(yīng)用效勞平安可以分為如下4層。1、網(wǎng)絡(luò)與應(yīng)用平臺平安:主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境平安、物理平安、節(jié)點(diǎn)平安、鏈路平安、拓?fù)淦桨?、系統(tǒng)平安等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計(jì)算機(jī)系統(tǒng)平安性決定。2、應(yīng)用效勞提供平安:主要包括應(yīng)用效勞的可用性與可控性。效勞可控性依靠效勞接入平安以及效勞防否認(rèn)、效勞防攻擊、國家對應(yīng)用效勞的管制等方面來保障。效勞可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等先關(guān)。3、信息存儲于傳輸平安:主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲時(shí)的完整性、機(jī)密性和不可否認(rèn)性。信息的完整性可以依靠報(bào)文鑒別機(jī)制;信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)來保障;信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。4、信息內(nèi)容平安:主要指通過網(wǎng)絡(luò)應(yīng)用效勞所傳遞的信息內(nèi)容不涉及危害國家平安,泄露國家機(jī)密或商業(yè)秘密,侵犯國家利益、公共利益或公民合法權(quán)益,從事違法犯罪活動??蛻舳似桨惨?guī)劃目前,WindowsXP和Windows7是首選客戶端操作系統(tǒng),為了便于統(tǒng)一管理,應(yīng)將相對固定的客戶端計(jì)算機(jī)參加域,接受域控制器的統(tǒng)一管理。通常情況下,可以從如下5個(gè)方面做好客戶端計(jì)算機(jī)的平安防御工作。一、對于參加域的計(jì)算機(jī)可以通過組策略等工具統(tǒng)一部署平安策略,例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等,確??蛻舳说钠桨?。二、對于未參加域的計(jì)算機(jī),應(yīng)提高用戶網(wǎng)絡(luò)平安的意識,通過設(shè)置登錄密碼、計(jì)算機(jī)鎖定、防火墻等方式,確保系統(tǒng)平安。三、在網(wǎng)絡(luò)中部署WSUS效勞器,負(fù)責(zé)為所有客戶端計(jì)算機(jī)和效勞器提供系統(tǒng)更新,防止系統(tǒng)漏洞的產(chǎn)生。四、在所有客戶端上部署Symantec網(wǎng)絡(luò)防病毒客戶端軟件,并接受效勞器端的統(tǒng)一管理,開啟自動更新病毒庫功能。五、靈活部署和運(yùn)用Windows防火墻、WindowsDefender等系統(tǒng)集成平安防護(hù)程序。1.6.3網(wǎng)絡(luò)設(shè)備平安規(guī)劃局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)和防火墻,分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等,都可能影響其平安性。網(wǎng)絡(luò)設(shè)備的脆弱性通常情況下,當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后,設(shè)備中的主要組成系統(tǒng)即可在一段時(shí)間內(nèi)保持相對穩(wěn)定地運(yùn)行。但是,網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性,這也往往會成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的平安脆弱性主要表現(xiàn)在如下5個(gè)方面。1.提供不必要的網(wǎng)絡(luò)效勞,提高了攻擊者的攻擊時(shí)機(jī)。2.存在不平安的配置,帶來不必要的平安隱患。3.不適當(dāng)?shù)脑L問控制。4.存在系統(tǒng)軟件上的平安漏洞。5.物理上沒有得到平安存放,容易遭受臨近攻擊。針對這些與生俱來的平安弱點(diǎn),用戶可以通過如下措施加固系統(tǒng)平安。1.禁用不必要的網(wǎng)絡(luò)效勞。2.修改不平安的配置。3.利用最小特權(quán)原那么嚴(yán)格對設(shè)備的訪問控制。4.及時(shí)對系統(tǒng)進(jìn)行軟件升級。5.提供符合IPP〔InformationProtectionPolicy,信息保護(hù)策略〕要求的物理保護(hù)環(huán)境。二、部署網(wǎng)絡(luò)平安設(shè)備局域網(wǎng)中常見的網(wǎng)絡(luò)平安設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的,用于攔截處理來自Internet的各種攻擊行為,并且可以隔離內(nèi)部網(wǎng)絡(luò)有效防止內(nèi)部攻擊。入侵檢測設(shè)備只能用于記錄入侵行為,局域網(wǎng)中已經(jīng)很少使用。通常情況下,可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng),保護(hù)內(nèi)部效勞器或局域網(wǎng)的平安。三、IOS平安IOS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng),主要用于提供軟件管理平臺。IOS與計(jì)算機(jī)操作系統(tǒng)類似,難免存在系統(tǒng)漏洞,入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的IOS,進(jìn)行各種破壞活動,從而影響網(wǎng)絡(luò)的正常運(yùn)行。通常情況下,用戶可以從如下6個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS平安。1、配置登錄密碼,主要包括Enable密碼和Telnet密碼,必要時(shí)可以以加密方式存儲密碼,以確保其平安性。2、配置用戶訪問平安級別,為不同的管理賬戶賦予不同的訪問和管理權(quán)限。3、控制終端訪問平安,嚴(yán)格控制允許終端連接的數(shù)量,以及終端會話超時(shí)限制。4、配置SNMP平安。SNMP字符串用于驗(yàn)證用戶與交換機(jī)的連接,確保其身份的有效性,類似于用戶賬戶和密碼。5、及時(shí)備份IOS映像,以便出現(xiàn)錯誤操作或遭遇攻擊時(shí)可以迅速恢復(fù)。6、升級IOS版本。IOS的系統(tǒng)漏洞是不可防止的,用戶可以通過安裝補(bǔ)丁或升級IOS版本的方法防止由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。1.6.4無線準(zhǔn)備平安規(guī)劃無線接入不僅是企業(yè)開展的需要,更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展,主要用于移動終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP〔AccessPoint,無線接入點(diǎn)〕主要分布在產(chǎn)品展示區(qū)和會議室,方面移動用戶隨時(shí)隨地訪問公司網(wǎng)絡(luò)。如今,許多筆記本電腦、掌上電腦、等提供無線接入功能,在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)〞已經(jīng)成為一種時(shí)尚,對于管理員而言,無線網(wǎng)絡(luò)平安自然也就成了管理重點(diǎn)。在無線局域網(wǎng)管理中,可以采用如下措施確保網(wǎng)絡(luò)平安。1、確保桌面計(jì)算機(jī)和效勞器系統(tǒng)實(shí)現(xiàn)盡可能的平安。這種保護(hù)提高了攻擊的門檻,即使攻擊者進(jìn)入了WLAN,仍然很難滲透進(jìn)用戶的計(jì)算機(jī)。2、啟用無線AP和工作站所支持的最強(qiáng)WEP。同時(shí),確保擁有一個(gè)強(qiáng)健的WEP密碼,這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)那么。3、確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱〔SSID〕不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。4、如果無線AP支持SSID播送,應(yīng)當(dāng)關(guān)閉。這個(gè)措施可以創(chuàng)立一個(gè)封閉網(wǎng)絡(luò),這樣,新的客戶端必須在連接之前輸入正確的SSID。5、使用IEEE802.1x身份驗(yàn)證協(xié)議保護(hù)無線網(wǎng)絡(luò)的平安。6、在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器,統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點(diǎn),實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)攻擊情況。1.6.5防火墻、IDS、IPS規(guī)劃在平安性需求較高的網(wǎng)絡(luò)中,網(wǎng)絡(luò)平安設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的平安設(shè)備包括網(wǎng)絡(luò)防火墻、IDS和IPS。一、網(wǎng)絡(luò)防火墻防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界,屬于用戶網(wǎng)絡(luò)邊界的平安保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同平安策略的兩個(gè)網(wǎng)絡(luò)連接處,如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)平安控制點(diǎn),通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過,實(shí)現(xiàn)對進(jìn)入網(wǎng)絡(luò)內(nèi)部的效勞和訪問的審計(jì)與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。二、IDSIDS是繼“防火墻〞、“信息加密〞等傳統(tǒng)平安保護(hù)方法之后的新一代平安保障技術(shù),入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的平安,而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。IDS通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的假設(shè)干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反平安策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在效勞器區(qū)的接入交換機(jī)處。IDS能夠檢測到的攻擊類型通常包括:系統(tǒng)掃描〔SystemScanning〕、拒絕效勞〔DenyofService〕和系統(tǒng)滲透〔SystemPenetration〕。IDS對攻擊的檢測方法主要包括:被動、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量,但又不會影響網(wǎng)絡(luò)的性能。作為對防火墻的有益補(bǔ)充,IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生,可開展系統(tǒng)管理員的平安管理能力,包括平安審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)等,從而提高了信息平安根底結(jié)構(gòu)的完整性,被認(rèn)為是繼防火墻之后的第二道平安閘門。三、IPS網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無法解決的網(wǎng)絡(luò)攻擊,部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量,但仍然允許某些流量通過,因此,防火墻對于很多入侵攻擊仍然無計(jì)可施,而絕大多數(shù)IDS系統(tǒng)都是被動的,不是主動的,即在攻擊實(shí)際發(fā)生前,往往無法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)IPS那么傾向于提供主動防御,其設(shè)計(jì)宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,防止其造成損失,而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出報(bào)警。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量,經(jīng)過檢查確認(rèn)其中不包含異?;顒踊蚩梢蓛?nèi)容后,再通過另外一個(gè)端口將其傳送到內(nèi)部系統(tǒng)中。此時(shí),有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包,都能在IPS中被去除掉。局域網(wǎng)接入平安規(guī)劃NAP技術(shù)NAP〔NetworkAccessProtection,網(wǎng)絡(luò)訪問保護(hù)〕是Microsoft在WindowsVista和WindowsServer2021提供的全新系統(tǒng)組件,它可以再訪問私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺健康校驗(yàn)。NAP平臺提供了一套完整性校驗(yàn)的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài),對不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗(yàn)網(wǎng)絡(luò)訪問的主機(jī)的健康狀況,網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。健康策略認(rèn)證:判斷計(jì)算機(jī)是否適應(yīng)健康策略的需求。網(wǎng)絡(luò)訪問限制:限制不適應(yīng)策略的計(jì)算機(jī)訪問。自動補(bǔ)救:為不適應(yīng)策略的計(jì)算機(jī)提供必要的升級,使其適應(yīng)健康策略。動態(tài)適應(yīng):自動升級適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的計(jì)算機(jī)。Internet接入平安規(guī)劃企業(yè)局域網(wǎng)采用共享方式接入Internet,并將硬件防火墻Cisco5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入平安,在硬件防火墻的后面部署了ForefrontTMG效勞器,可以提供如下功能。一、網(wǎng)絡(luò)防火墻TMG效勞器提供了靈活的防火墻策略配置,允許管理員根據(jù)實(shí)際需要制定Internet訪問規(guī)那么,例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。二、Web訪問緩存。TMG效勞器既是防火墻,又可以作為Web訪問代理效勞器。管理員可以在TMG效勞器上開辟專用于存儲客戶端請求的Internet數(shù)據(jù)空間,暫時(shí)緩存常用數(shù)據(jù)。當(dāng)客戶端需要再次訪問這些Internet數(shù)據(jù)時(shí),在局域網(wǎng)中即可完成,提高了客戶端的訪問效率。三、平安VPN接入功能。通過TMG效勞器創(chuàng)立VPN連接,能夠很輕松地建立起各種情況下的VPN連接。當(dāng)本地計(jì)算機(jī)要和遠(yuǎn)程計(jì)算機(jī)通過TMG效勞器進(jìn)行通信時(shí),數(shù)據(jù)封裝好后,將通過VPN進(jìn)行收發(fā),充分確保通信過程的平安。1.6.8遠(yuǎn)程接入平安規(guī)劃目前,最常用的遠(yuǎn)程訪問方式是VPN,主流的平安技術(shù)包括SSLVPN和IPSecVPN。SSLVPN應(yīng)用比擬簡單,用戶無需進(jìn)行配置,基于Web頁面即可實(shí)現(xiàn)。IPSecVPN技術(shù)應(yīng)用比擬廣泛,不再局限于Web方式,同時(shí)由于其安裝和配置過程比擬復(fù)雜,應(yīng)用難度也比擬大。1、IPSecVPN遠(yuǎn)程平安接入IPSecVPN提供了多種平安特性,如數(shù)據(jù)加密、設(shè)備驗(yàn)證、數(shù)據(jù)完整性、地址隱藏和平安機(jī)構(gòu)〔SA〕密鑰老化等功能。IPSec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類:128位強(qiáng)度MessageDigests(MD-5)-HMAC和160位強(qiáng)度平安散列算法〔SHA〕-HMAC。由于SHA的強(qiáng)度更大。所以更加平安。2、SSLVPN遠(yuǎn)程平安接入SSLVPN是工作在應(yīng)用層和TCP層之間的遠(yuǎn)程接入技術(shù)。通常SSLVPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理效勞器。如果用戶希望平安地連接到公司網(wǎng)絡(luò)上,那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后,連接將被SSL代理效勞器取得,并驗(yàn)證該用戶的身份,然后SSL代理效勞器將連接映射到不同的應(yīng)用效勞器上。網(wǎng)絡(luò)可靠性規(guī)劃對于企業(yè)網(wǎng)絡(luò)而言,許多金融、貿(mào)易、電子商務(wù)等活動都是通過網(wǎng)絡(luò)完成的,這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多,最常見的是冗余和容錯。在硬件設(shè)備方面,可以通過配置交換機(jī)生成樹、鏈路會聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時(shí),確保網(wǎng)絡(luò)正常工作。鏈路會聚技術(shù)可以將多條鏈路聚合為一條干路,還可以提高網(wǎng)絡(luò)帶寬,更重要的是,鏈路會聚可以實(shí)現(xiàn)負(fù)載均衡,從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能,但其重要性也是不容無視的??梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。在軟件方面那么可以通過效勞器群集技術(shù)和網(wǎng)絡(luò)負(fù)載均衡技術(shù),來提高重要效勞器的可靠性。除此之外,常規(guī)的數(shù)據(jù)備份也是必不可少的,包括效勞器角色狀態(tài)信息備份、效勞器系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡(luò)設(shè)備配置備份等。第二章:企業(yè)網(wǎng)絡(luò)平安的實(shí)際應(yīng)用一個(gè)網(wǎng)絡(luò)系統(tǒng)的平安建設(shè)通常包括許多方面,包括物理平安、數(shù)據(jù)平安、網(wǎng)絡(luò)平安、系統(tǒng)平安、平安管理等,而一個(gè)平安系統(tǒng)的平安等級,又是按照木桶原理來實(shí)現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)●網(wǎng)絡(luò)系統(tǒng)平安;●應(yīng)用系統(tǒng)平安;●物理平安;●平安管理;2.1企業(yè)網(wǎng)絡(luò)平安實(shí)施根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及開展趨勢,主要平安措施從以下幾個(gè)方面進(jìn)行實(shí)施:●網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù)●主要網(wǎng)絡(luò)平安隔離通用措施是采用防火墻●網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng)●廣域網(wǎng)接入局部的入侵檢測采用入侵檢測系統(tǒng)●系統(tǒng)漏洞分析采用漏洞分析設(shè)備●定期平安審計(jì)主要包括兩局部:內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)●重要數(shù)據(jù)的備份●重要信息點(diǎn)的防電磁泄露●網(wǎng)絡(luò)平安結(jié)構(gòu)的可伸縮性包括平安設(shè)備的可伸縮性,即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展●網(wǎng)絡(luò)防雷2.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng),其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò),主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連,通過ADSL接入,并與企業(yè)系統(tǒng)內(nèi)部的上、下級機(jī)構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng),并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的平安保護(hù),易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改。由于現(xiàn)在越來越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng),因此在本解決方案中對網(wǎng)絡(luò)傳輸平安局部推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)??稍诿考壒芾碛騼?nèi)設(shè)置一套VPN設(shè)備,由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Wo(hù)。根據(jù)企業(yè)三級網(wǎng)絡(luò)結(jié)構(gòu),VPN設(shè)置如以下圖所示:圖2-1三級VPN設(shè)置拓?fù)鋱D每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證效勞器(VPN-CA),在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備,由上級的VPN認(rèn)證效勞器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。可到達(dá)以下幾個(gè)目的:●網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù),并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸●網(wǎng)絡(luò)隔離保護(hù);與INTERNET進(jìn)行隔離,控制內(nèi)網(wǎng)與INTERNET的相互訪問●集中統(tǒng)一管理,提高網(wǎng)絡(luò)平安性;●降低本錢(設(shè)備本錢和維護(hù)本錢);其中,在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如以下圖:圖2-2中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺VPN管理機(jī)對CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對外效勞器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離,禁止外網(wǎng)直接訪問內(nèi)網(wǎng),控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使效勞器被攻破,內(nèi)部網(wǎng)絡(luò)仍然平安。下級單位的VPN設(shè)備放置如以下圖所示:圖2-3下級單位VPN設(shè)置圖從圖2-3可知,下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間,其配置、管理由上級機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn),下屬機(jī)構(gòu)不需要做任何的管理,僅需要檢查是否通電即可。由于平安設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備,其維護(hù)、管理需要相應(yīng)的專業(yè)人員,而采取這種管理方式以后,就可以降低下屬機(jī)構(gòu)的維護(hù)本錢和對專業(yè)技術(shù)人員的要求,這對有著龐大下屬、分支機(jī)構(gòu)的單位來講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)平安的是一個(gè)綜合的系統(tǒng)工程,是由許多因素決定的,而不是僅僅采用高檔的平安產(chǎn)品就能解決,因此對平安設(shè)備的管理就顯得尤為重要。由于一般的平安產(chǎn)品在管理上是各自管理,因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng),而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的平安隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的,因此,容易出現(xiàn)上述現(xiàn)象;同時(shí),每個(gè)維護(hù)人員的水平也有差異,容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡(luò)中斷。所以,在平安設(shè)備的選擇上應(yīng)中選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備,這樣,由少量的專業(yè)人員對主要平安設(shè)備進(jìn)行管理、配置,提高整體網(wǎng)絡(luò)的平安性和穩(wěn)定性。2.3訪問控制企業(yè)廣域網(wǎng)網(wǎng)絡(luò)局部通過公共網(wǎng)絡(luò)建立,其在網(wǎng)絡(luò)上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問,如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)效勞嚴(yán)重降低或癱瘓等,因此,采取相應(yīng)的平安措施是必不可少的。通常,對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的,本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)平安隔離,可滿足以下幾個(gè)方面的要求:●控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問;●控制外部合法用戶對效勞器的訪問;●禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問;●控制內(nèi)部用戶對外部網(wǎng)絡(luò)的網(wǎng)絡(luò);●阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊;●防止內(nèi)部主機(jī)的IP欺騙;●對外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);●網(wǎng)絡(luò)監(jiān)控;●網(wǎng)絡(luò)日志審計(jì);由于采用防火墻、VPN技術(shù)融為一體的平安設(shè)備,并采取網(wǎng)絡(luò)化的統(tǒng)一管理,因此具有以下幾個(gè)方面的優(yōu)點(diǎn):●管理、維護(hù)簡單、方便;●平安性高(可有效降低在平安設(shè)備使用上的配置漏洞);●硬件本錢和維護(hù)本錢低;●網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備,比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言,其穩(wěn)定性更高,故障率更低。2.4入侵檢測網(wǎng)絡(luò)平安不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn),網(wǎng)絡(luò)平安是個(gè)整體的,必須配相應(yīng)的平安產(chǎn)品。作為必要的補(bǔ)充,入侵檢測系統(tǒng)(IDS)可與平安VPN系統(tǒng)形成互補(bǔ)。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄,并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡(luò)引擎)??刂婆_用作制定及管理所有探測器(網(wǎng)絡(luò)引擎)。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為,根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包,因此,入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設(shè)置如以下圖:從上圖可知,入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的,網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備,而入侵檢測設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽,監(jiān)控網(wǎng)絡(luò)狀況,一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動功能)等方式進(jìn)行控制(即平安設(shè)備自適應(yīng)機(jī)制),最后將攻擊行為進(jìn)行日志記錄以供以后審查。2.5漏洞掃描作為一個(gè)完善的通用平安系統(tǒng),應(yīng)當(dāng)包含完善的平安措施,定期的平安評估及平安分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)平安系統(tǒng)在建立后并不是長期保持很高的平安性,而是隨著時(shí)間的推移和技術(shù)的開展而不斷下降的,同時(shí),在使用過程中會出現(xiàn)新的平安問題,因此,作為平安系統(tǒng)建設(shè)的補(bǔ)充,采取相應(yīng)的措施也是必然。本方案中,采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描,對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測、掃描,發(fā)現(xiàn)相應(yīng)的漏洞并告警,自動提出解決措施,或參考意見,提醒網(wǎng)絡(luò)平安管理員作好相應(yīng)調(diào)整。2.6其它對復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境,在采取平安措施上應(yīng)當(dāng)特殊考慮,增加新的平安措施。應(yīng)用系統(tǒng)平安系統(tǒng)平臺平安企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺平安主要是指操作系統(tǒng)的平安。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的根底上,因而存在很大的平安隱患。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用效勞平臺中采用國內(nèi)自主開發(fā)的平安操作系統(tǒng),針對通用OS的平安問題,對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、平安日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行平安改造和性能增強(qiáng)。一般用戶運(yùn)行在PC機(jī)上的NT平臺,在選擇性地用好NT平安機(jī)制的同時(shí),應(yīng)加強(qiáng)監(jiān)控管理。應(yīng)用平臺平安企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺平安,一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制,以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制,對平安相關(guān)操作進(jìn)行的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW效勞、E-MAIL效勞、FTP和TELNET應(yīng)用中效勞器系統(tǒng)自身的平安以及提供效勞的平安。在選擇這些應(yīng)用系統(tǒng)時(shí),應(yīng)當(dāng)盡量選擇國內(nèi)軟件開發(fā)商進(jìn)行開發(fā),系統(tǒng)類型也應(yīng)當(dāng)盡量采用國內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。2.7病毒防護(hù)因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣,相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí),應(yīng)利用全方位的企業(yè)防毒產(chǎn)品,實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合〞的策略。具體而言,就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件,通過全方位、多層次的防毒系統(tǒng)配置,使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求:具有卓越的病毒防治技術(shù)、程序內(nèi)核平安可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品,系統(tǒng)資源占用低,性能優(yōu)越、可管理性高,易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點(diǎn)。病毒對信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響,據(jù)統(tǒng)計(jì),信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。為了更好的解決病毒的防范,一般要求病毒防范系統(tǒng)滿足如下要求:●采用世界最先進(jìn)的防毒產(chǎn)品與網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合,確保網(wǎng)絡(luò)系統(tǒng)具有最正確的病毒防護(hù)能力的情況下綜合本錢最少?!癯浞挚紤]網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的平安可靠性,所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性,以及最低的系統(tǒng)資源占用,保證不對現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響?!駪?yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控〞技術(shù),充分表達(dá)趨勢科技“以防為主〞的反病毒思想。●所選用產(chǎn)品具備對多種壓縮格式文件的病毒檢測?!袼x用產(chǎn)品易于安裝、操作簡便、便于管理和維護(hù),具有友好的用戶界面。●應(yīng)用經(jīng)由ICSA(國際電腦平安協(xié)會)技術(shù)認(rèn)證的掃描引擎,保證對包括各種千面人病毒、變種病毒和黑客程序等具有最正確的病毒偵測率,除對病毒具備全面的偵防能力,對未知病毒亦有良好的偵測能力。強(qiáng)調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi),實(shí)施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù),最大限度地減輕使用人員和維護(hù)人員的工作量。●完全自動化的日常維護(hù),便于進(jìn)行病毒碼及掃描引擎的更新。●提供良好的售后效勞及技術(shù)支持?!窬哂辛己玫目蓴U(kuò)充性,充分保護(hù)用戶的現(xiàn)有投資,適應(yīng)網(wǎng)絡(luò)系統(tǒng)的今后開展需要2.8產(chǎn)品應(yīng)用ESET殺毒軟件高級企業(yè)版:針對大型網(wǎng)絡(luò)特點(diǎn)專業(yè)設(shè)計(jì),擁有網(wǎng)絡(luò)版產(chǎn)品的所有功能,可以建立超級病毒監(jiān)控管理〔系統(tǒng)〕中心,其中上級中心不僅可集中管理各個(gè)下級系統(tǒng)中心,上級中心還可直接管理下級中心的任一個(gè)防病毒客戶端。通過建立“集中管理、分布處理〞的多級中心防病毒監(jiān)控管理系統(tǒng),在大型企業(yè)內(nèi)部的效勞器和客戶端同時(shí)部署殺毒軟件共同完成對整個(gè)網(wǎng)絡(luò)的病毒防護(hù)工作,為用戶的網(wǎng)絡(luò)系統(tǒng)提供全方位防病毒解決方案。圖2-5大型區(qū)域網(wǎng)絡(luò)的監(jiān)控與管理圖防毒墻:防毒墻是一款多功能、高性能的產(chǎn)品,它不但能夠在網(wǎng)絡(luò)邊緣病毒檢測、攔截和去除的功能,同時(shí),它還是一個(gè)高性能的防火墻,通過在總部、分支機(jī)構(gòu)網(wǎng)絡(luò)邊緣分別布置不同性能的防毒墻保護(hù)總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)和對外效勞器不受黑客的攻擊,同時(shí)通過VPN功能,為分支機(jī)構(gòu)、遠(yuǎn)程、移動用戶提供一個(gè)平安的遠(yuǎn)程連接功能,是大型企業(yè)網(wǎng)絡(luò)邊緣平安的首選產(chǎn)品。網(wǎng)絡(luò)平安預(yù)警系統(tǒng):網(wǎng)絡(luò)平安預(yù)警系統(tǒng)集病毒掃描、入侵檢測和網(wǎng)絡(luò)監(jiān)視功能于一身,它能實(shí)時(shí)捕獲網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的病毒和攻擊特征庫,通過使用模式匹配和統(tǒng)計(jì)分析的方法,可以檢測出網(wǎng)絡(luò)上發(fā)生的病毒入侵、違反平安策略的行為和異常現(xiàn)象,并在數(shù)據(jù)庫中記錄有關(guān)事件,作為事后分析的依據(jù)。網(wǎng)絡(luò)平安預(yù)警系統(tǒng)的目標(biāo)是:全面,準(zhǔn)確,高效,穩(wěn)定,平安,快速。全面是指能檢測的各種病毒和攻擊;準(zhǔn)確是指檢測的結(jié)果準(zhǔn)確,誤報(bào)率低;高效是指檢測引擎的運(yùn)行效率高,由于現(xiàn)在的網(wǎng)絡(luò)帶寬越來越寬,只有高效的引擎才能在檢測時(shí)不丟包;穩(wěn)定是指系統(tǒng)運(yùn)行穩(wěn)定可靠;平安是指預(yù)警系統(tǒng)自身的平安,由于引擎中保存了大量檢測到的敏感信息,因此對其自身的保護(hù)是十分重要的;快速是指對新的漏洞和新的攻擊方法反響快,系統(tǒng)升級簡便。通過ESET殺毒軟件高級企業(yè)版、防毒墻和網(wǎng)絡(luò)平安預(yù)警共同為大型企業(yè)建立一個(gè)統(tǒng)一的防黑、防毒的平安網(wǎng)絡(luò)。設(shè)計(jì)后的平安網(wǎng)絡(luò)拓?fù)鋱D如下:圖2-6大型企業(yè)網(wǎng)絡(luò)平安實(shí)施圖三、選用產(chǎn)品ESET網(wǎng)絡(luò)版殺毒軟件高級企業(yè)版防毒墻網(wǎng)絡(luò)平安預(yù)警系統(tǒng)四、企業(yè)整體解決方案實(shí)現(xiàn)的主要功能1. 平安的網(wǎng)絡(luò)邊緣防護(hù)防毒墻可以根據(jù)用戶的不同需要,具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、去除病毒的能力,同時(shí)通過實(shí)施平安策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系,不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯,同時(shí)可以阻止內(nèi)部用戶對外部不良資源的濫用。2.內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和標(biāo)準(zhǔn)網(wǎng)絡(luò)平安預(yù)警系統(tǒng)SDS-1000對HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識別粒度到達(dá)每一個(gè)URL請求和每一個(gè)URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以標(biāo)準(zhǔn)網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為,提高工作效率,同時(shí)防止企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)平安隱患。3. 計(jì)算機(jī)病毒的監(jiān)控和去除網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件,通過網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和效勞器上建立反病毒系統(tǒng),并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理,實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件,并實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和平安操作。4. 強(qiáng)大的日志分析和統(tǒng)計(jì)報(bào)表能力對網(wǎng)絡(luò)內(nèi)的平安事件都作出詳細(xì)的日志記錄,這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外,報(bào)表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計(jì)報(bào)表,形式包括日報(bào)表,月報(bào)表,年報(bào)表等,通過來源分析,目標(biāo)分析,類別分析等多種分析方式,以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件,有助于管理人員提高網(wǎng)絡(luò)的平安管理。5. 模塊化的平安組合本方案中使用的瑞星網(wǎng)絡(luò)平安產(chǎn)品分別具有不同的功能,用戶可以根據(jù)自身企業(yè)的實(shí)際情選擇不同的產(chǎn)品構(gòu)建不同平安級別的網(wǎng)絡(luò),產(chǎn)品選擇組合方便、靈活,既有獨(dú)立性有整體性。2.9數(shù)據(jù)備份企業(yè)內(nèi)部存在大量的數(shù)據(jù),而這里面又有許多重要的、機(jī)密的信息。而整個(gè)數(shù)據(jù)的平安保護(hù)就顯得特別重要,對數(shù)據(jù)進(jìn)行定期備份是必不可少的平安措施。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn):●存儲介質(zhì)平安在選擇存儲介質(zhì)上應(yīng)選擇保存時(shí)間長,對環(huán)境要求低的存儲產(chǎn)品,并采取多種存儲介質(zhì)備份。如同時(shí)采用硬盤、光盤備份的方式?!駭?shù)據(jù)平安即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù),沒有經(jīng)過篡改或含有病毒。●備份過程平安確保數(shù)據(jù)在備份時(shí)是沒有受到外界任何干擾,包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況?!駛浞輸?shù)據(jù)的保管對存有備份數(shù)據(jù)的存儲介質(zhì),應(yīng)保存在平安的地方,防火、防盜及各種災(zāi)害,并注意保存環(huán)境(溫度、濕度等)的正常。同時(shí)對特別重要的備份數(shù)據(jù),還應(yīng)當(dāng)采取異地備份保管的方式,來確保數(shù)據(jù)平安。對重要備份數(shù)據(jù)的異地、多處備份(防止類似美國911事件為各公司產(chǎn)生的影響)2.10平安審計(jì)作為一個(gè)良好的平安系統(tǒng),平安審計(jì)必不可少。企業(yè)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng),因而對整個(gè)網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)局部)運(yùn)行進(jìn)行記錄、分析是非常重要的,它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比擬,找出發(fā)生的網(wǎng)絡(luò)平安問題的原因,并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)平安調(diào)整提供依據(jù)。2.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大,上面存在很多分級的重要信息,同時(shí),由于現(xiàn)在國家正在大力推進(jìn)電子政務(wù)的開展,網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級政府部門當(dāng)中,因此,需要對網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)行控制和授權(quán)。對不同等級、類型的信息只允許相應(yīng)級別的人進(jìn)行審閱;對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的平安措施。2.12物理平安企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理平安要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。2.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò),這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的,而企業(yè)內(nèi)部有局部用戶需要兩個(gè)網(wǎng)絡(luò)都要接入,這就涉及到兩個(gè)網(wǎng)絡(luò)之間的相互切換問題。而現(xiàn)在的實(shí)際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換,這使得使用中非常不方便。因此,本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。隔離卡工作方式隔離卡上有兩個(gè)網(wǎng)絡(luò)接口,一個(gè)接內(nèi)網(wǎng),一個(gè)接外網(wǎng);另外還有一個(gè)控制口,通過控制口連接一個(gè)控制器(只有火柴盒大小),放置于電腦旁邊。同時(shí),在隔離卡上接兩個(gè)硬盤,使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用,兩個(gè)硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)。這樣,可通過控制器進(jìn)行切換(簡單的開關(guān),類似電源開關(guān)),使計(jì)算機(jī)分別接到兩個(gè)網(wǎng)絡(luò)上。2.14應(yīng)用企業(yè)網(wǎng)絡(luò)的實(shí)際情況,需要在樓層中安裝隔離卡。并且做好規(guī)劃2.15防電磁輻射普通的綜合布線系統(tǒng)通常都采用5類UTP的方式,由于電信號在傳輸時(shí)存在電磁場,并隨著信號的改變而改變磁場的強(qiáng)弱,而UTP本身沒有任何的屏蔽功能,因此容易被國外間諜機(jī)構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機(jī)密信息,造成嚴(yán)重后果。因而對重要信息點(diǎn)的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的平安措施,如使用屏蔽雙絞線等終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問題,但又因終端分散使用不宜集中采用屏蔽室的方法來防止,因此除要求在訂購設(shè)備上盡量選取低輻射產(chǎn)品外,還應(yīng)根據(jù)保護(hù)對象分別采取主動式的干擾設(shè)備(如干擾機(jī)來破壞對信息的偵竊),或采用加裝帶屏蔽門窗的屏蔽室。2.16網(wǎng)絡(luò)防雷企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi),而大樓本身已采取相應(yīng)的防雷措施,因此,本方案中主要針對網(wǎng)絡(luò)系統(tǒng)防雷進(jìn)行設(shè)計(jì),不包括電源防雷(這一般屬于大樓防雷的局部)。不少用戶為防止計(jì)算機(jī)及其局域網(wǎng)或廣域網(wǎng)遭雷擊,便簡單地在與外部線路連接的調(diào)制解調(diào)器上安裝避雷器,但由于靜電感應(yīng)雷、防電磁感應(yīng)雷主要是通過供電線路破壞設(shè)備的,因此對計(jì)算機(jī)信息系統(tǒng)的防雷保護(hù)首先是合理地加裝電源避雷器,其次是加裝信號線路和天饋線避雷器。如果大樓信息系統(tǒng)的設(shè)備配置中有計(jì)算機(jī)中心機(jī)房、程控交換機(jī)房及機(jī)要設(shè)備機(jī)房,那么在總電源處要加裝電源避雷器。按照有關(guān)標(biāo)準(zhǔn)要求,必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的)。在各設(shè)備前端分別要加裝串聯(lián)型電源避雷器(多級集成型),以最大限度地抑制雷電感應(yīng)的能量。同時(shí),計(jì)算機(jī)中心的MODEM、路由器、甚至HUB等都有線路出戶,這些出戶的線路都應(yīng)視為雷電引入通道,都應(yīng)加裝信號避雷器。對樓內(nèi)計(jì)算機(jī)等電子設(shè)備進(jìn)行防護(hù)的同時(shí),對建(構(gòu))筑物再安裝防雷設(shè)施就更平安了。根據(jù)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析,防雷系統(tǒng)可采取兩級防雷措施?!窆歉删W(wǎng)絡(luò)防雷;●終端防雷;以上兩級避雷可使用信號避雷器來實(shí)現(xiàn)。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。2.17重要信息點(diǎn)的物理保護(hù)企業(yè)各級網(wǎng)絡(luò)內(nèi)部存在重要的信息點(diǎn),如內(nèi)部核心應(yīng)用系統(tǒng),環(huán)境等都需要保護(hù),它主要包括三個(gè)方面:(1)環(huán)境平安:對系統(tǒng)所在環(huán)境的平安保護(hù),如區(qū)域保護(hù)和災(zāi)難保護(hù)(參見國家標(biāo)準(zhǔn)GB50173-93?電子計(jì)算機(jī)機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)?、國標(biāo)GB2887-89?計(jì)算站場地技術(shù)條件?、GB9361-88?計(jì)算站場地平安要求?)。(2)設(shè)備平安:主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。對中心機(jī)房和關(guān)鍵信息點(diǎn)采取多種平安防范措施,確保非授權(quán)人員無法進(jìn)入。中心機(jī)房處理秘密級、機(jī)密級信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。(3)媒體平安:包括媒體數(shù)據(jù)的平安及媒體本身的平安??偨Y(jié)沒有平安保證的企業(yè)網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上?;ヂ?lián)網(wǎng)絡(luò)的飛速開展,對企業(yè)網(wǎng)絡(luò)中用戶的工作和管理已經(jīng)產(chǎn)生了深遠(yuǎn)的影響,網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時(shí),我們需要清醒的認(rèn)識到,網(wǎng)絡(luò)平安問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙,企業(yè)網(wǎng)絡(luò)平安已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步,只有很好的解決了網(wǎng)絡(luò)平安問題,企業(yè)網(wǎng)絡(luò)的應(yīng)用才能健康、高速的開展.本文分析了企業(yè)網(wǎng)絡(luò)的平安規(guī)劃,并針對規(guī)劃提出了相應(yīng)的平安解決措施。文中分析認(rèn)為,企業(yè)網(wǎng)絡(luò)平安重點(diǎn)在防病毒和防攻擊。為此.文中針對病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性,提出了企業(yè)網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施,根本能夠解決企業(yè)網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn),從而建構(gòu)一個(gè)平安、高效的網(wǎng)絡(luò)。致謝首先,感謝老師給我時(shí)機(jī),使我能夠?qū)W(wǎng)絡(luò)平安進(jìn)行技能操作,再一次的對網(wǎng)絡(luò)平安掌握了不少的知識,使得原本不了解實(shí)訓(xùn)內(nèi)容的我又?jǐn)U充了一些知識,在這次為期一個(gè)多月的網(wǎng)絡(luò)平安畢業(yè)設(shè)計(jì)過程中,在同學(xué)的幫助和老師的指導(dǎo)下,我確實(shí)學(xué)到了很多東西,再次我真誠的感謝老師和同學(xué)們給予我的幫助。整個(gè)畢業(yè)設(shè)計(jì)的過程是在我的指導(dǎo)老師付峰的親切關(guān)心和悉心指導(dǎo)下完成的。他嚴(yán)肅的態(tài)度,嚴(yán)謹(jǐn)?shù)木?,精益求精的工作作風(fēng),深深地感染和鼓勵著我。這段時(shí)間來,老師不僅在論文上給我以精心指導(dǎo),同時(shí)還在思想、生活上給我以無微不至的關(guān)心,在此謹(jǐn)向本次畢業(yè)設(shè)計(jì)的老師致以誠摯的謝意和崇高的敬意。在設(shè)計(jì)即將完成之際,我的心情無法平靜,從開始進(jìn)入到設(shè)計(jì)的順利完成,有多少可敬的師長、同學(xué)、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日新月異地飛速開展,人們總是處在不斷學(xué)習(xí)階段,再加上自己水平有限,所以本設(shè)計(jì)肯定存在不少錯誤和不盡人意之處,歡送廣大老師和同學(xué)批評指正,在此深表感謝!aganemploymenttribunalclaiEmloymenttribunalssortoutdisagreementsbetweenemployersandemployees.Youmayneedtomakeaclaimtoanemploymenttribunalif:youdon'tagreewiththedisciplinaryactionyouremployerhastakenagainstyouyouremployerdismissesyouandyouthinkthatyouhavebeendismissedunfairly.Formoreinformu,takeadvicefromoneoftheorganisationslistedunder
Furtherhelp.Employmenttribunalsarelessformalthansomeothercourts,butitisstillalegalprocessandyouwillneedtogiveevidenceunderanoathoraffirmation.Mostpeoplefindmakingaclaimtoanemploymenttribunalchallenging.Ifyouarethinkingaboutmakingaclaimtoanemploymenttribunal,youshouldgethelpstraightawayfromoneoftheorganisationslistedunder
Furtherhelp.ationaboutdismissalandunfairdismissal,see
Dismissal.Youcanmakeaclaimtoanemploymenttribunal,evenifyouhaven't
appealed
againstthedisciplinaryactionyouremployerhastakenagainstyou.However,ifyouwinyourcase,thetribunalmayreduceanycompensationawardedtoyouasaresultofyourfailuretoappeal.Rememberthatinmostcasesyoumustmakeanapplicationtoanemploymenttribunalwithinthreemonthsofthedatewhentheeven
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 杭州市人力資源社保局勞動合同
- 天津市貫徹勞動合同法若干問題實(shí)施細(xì)則
- 《場景演練案例集》課件
- 2025年淄博道路運(yùn)輸從業(yè)資格證考試模擬試題
- 2025年迪慶道路運(yùn)輸從業(yè)人員資格考試內(nèi)容有哪些
- 2025年贛州貨運(yùn)上崗證考試題庫
- 2025年貨運(yùn)從業(yè)資格題庫軟件下載
- 礦山開采灰工施工合同
- 實(shí)習(xí)律師的領(lǐng)導(dǎo)力培養(yǎng)
- 企業(yè)合同印章管理規(guī)范
- 黃山景區(qū)旅游客源消費(fèi)特征分析
- 生 物微生物的分布 課件-2024-2025學(xué)年人教版生物七年級上冊
- 2024年軍隊(duì)文職(教育學(xué))考前通關(guān)知識點(diǎn)必練題庫(含真題)
- LNG(天然氣)供氣站(氣化站)安全應(yīng)急救援預(yù)案
- 2024-2030年中國核醫(yī)學(xué)行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略分析報(bào)告
- 7.5 歌曲 《紅河谷》課件(20張)
- 電商平臺購銷合同范本
- 2024年大學(xué)試題(藝術(shù)學(xué))-藝考樂理考試近5年真題集錦(頻考類試題)帶答案
- 《植樹問題》兩端都栽(教學(xué)設(shè)計(jì))-2024-2025學(xué)年五年級上冊數(shù)學(xué)人教版
- T-CISA 370.3-2024 鋼鐵企業(yè)廠區(qū)內(nèi)設(shè)備、管道及附屬結(jié)構(gòu)涂料防腐蝕工程技術(shù)規(guī)范 第3部分:涂層性能及試驗(yàn)方法
- 電腦三維設(shè)計(jì)練習(xí)測試題附答案
評論
0/150
提交評論