企業(yè)內(nèi)網(wǎng)的安全性研究及品牌4S店二手車置換的發(fā)展前景分析

目錄緒論 3第一章：企業(yè)網(wǎng)絡(luò)安全分析 4一、現(xiàn)狀分析 41.1Internet的安全性 41.2．企業(yè)內(nèi)網(wǎng)的安全性 51.3項(xiàng)目背景 51.4項(xiàng)目分析 71.4.1安全設(shè)備分布 71.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀 81.4.3服務(wù)器部署現(xiàn)狀 81.4.4客戶端計(jì)算機(jī) 91.4.5無線局域網(wǎng)安全現(xiàn)狀 91.4.6網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析 101.5項(xiàng)目需求 121.5.1網(wǎng)絡(luò)安全需求 121.5.2網(wǎng)絡(luò)訪問安全需求 131.6項(xiàng)目規(guī)劃 131.6.1服務(wù)器安全規(guī)劃 141.6.2客戶端安全規(guī)劃 151.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃 161.6.4無線準(zhǔn)備安全規(guī)劃 171.6.5防火墻、IDS、IPS規(guī)劃 181.6.6局域網(wǎng)接入安全規(guī)劃 191.6.7Internet接入安全規(guī)劃 191.6.8遠(yuǎn)程接入安全規(guī)劃 201.6.9網(wǎng)絡(luò)可靠性規(guī)劃 21第二章：企業(yè)網(wǎng)絡(luò)安全的實(shí)際應(yīng)用 212.1企業(yè)網(wǎng)絡(luò)安全實(shí)施 212.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施 222.3訪問控制 252.4入侵檢測(cè) 252.5漏洞掃描 262.6其它 272.6.1應(yīng)用系統(tǒng)安全 272.6.2系統(tǒng)平臺(tái)安全 272.6.3應(yīng)用平臺(tái)安全 272.7病毒防護(hù) 272.8產(chǎn)品應(yīng)用 282.9數(shù)據(jù)備份 312.10安全審計(jì) 322.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴 322.12物理安全 332.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換 332.14應(yīng)用 332.15防電磁輻射 332.16網(wǎng)絡(luò)防雷 342.17重要信息點(diǎn)的物理保護(hù) 34武漢理工大學(xué)華夏學(xué)院畢業(yè)論文PAGEPAGE39武漢理工大學(xué)華夏學(xué)院畢業(yè)論文摘要網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個(gè)方面，它通過網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來自網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。建立了一套網(wǎng)絡(luò)安全系統(tǒng)是必要的。

緒論隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國(guó)家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題。

第一章：企業(yè)網(wǎng)絡(luò)安全分析隨著企業(yè)信息化的不斷推進(jìn)，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng)，尤其是企業(yè)網(wǎng)絡(luò)所面對(duì)的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相對(duì)淡漠），如何保證企業(yè)網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)企業(yè)不可回避的一個(gè)緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩?，F(xiàn)狀分析隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是，Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)砭薮蟮慕?jīng)濟(jì)損失。如何使信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。大型企業(yè)不斷發(fā)展的同時(shí)其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大，由于其自身業(yè)務(wù)的需要，在不同的地區(qū)建有分公司或分支機(jī)構(gòu)，本地龐大的Intranet和分布在全國(guó)各地的Intranet之間互相連接形成一個(gè)更加龐大的網(wǎng)絡(luò)。這樣一個(gè)網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競(jìng)爭(zhēng)力，同樣，這樣復(fù)雜的網(wǎng)絡(luò)面臨更多的安全問題。首先本地網(wǎng)絡(luò)的安全需要保證，同時(shí)總部與分支機(jī)構(gòu)、分支機(jī)構(gòu)之間的機(jī)密信息傳輸問題，以及集團(tuán)的設(shè)備管理問題，這樣的網(wǎng)絡(luò)使用環(huán)境一般存在下列安全隱患和需求：1.1Internet的安全性目前互聯(lián)網(wǎng)應(yīng)用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護(hù)Internet、加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。1.2．企業(yè)內(nèi)網(wǎng)的安全性企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。具體表現(xiàn)如下：? 計(jì)算機(jī)病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播。? 內(nèi)部網(wǎng)絡(luò)可能被外部黑客攻擊。? 對(duì)外的服務(wù)器（如：www、ftp、郵件服務(wù)器等）沒有安全防護(hù)，容易被黑客攻擊。? 內(nèi)部某些重要的服務(wù)器或網(wǎng)絡(luò)被非法訪問，造成信息泄密。? 內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡(luò)的安全隱患。? 分支機(jī)構(gòu)網(wǎng)絡(luò)安全問題。? 大量的垃圾郵件占用網(wǎng)絡(luò)和系統(tǒng)資源，影響正常的工作。? 分支機(jī)構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)連接安全和之間數(shù)據(jù)交換的安全問題。? 遠(yuǎn)程、移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)絡(luò)的安全訪問。1.3項(xiàng)目背景假設(shè)某企業(yè)擁有員工2000余人，公司總部坐落在省會(huì)城市高新技術(shù)開發(fā)區(qū)，包括4個(gè)生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在總公司進(jìn)行。該企業(yè)在外地另開設(shè)有兩家分公司，由總公司進(jìn)行統(tǒng)一管理和部署。目前，該企業(yè)的拓?fù)浣Y(jié)構(gòu)圖如圖1-1所示，基本情況如下。1、公司局域網(wǎng)已經(jīng)基本覆蓋整個(gè)廠區(qū)，中心機(jī)房位于總公司，職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為“星型+樹型”，接入層交換機(jī)為CiscoCatalyst2960，匯聚層交換機(jī)為CiscoCatalyst3560，核心層交換機(jī)為CiscoCatalyst35603、現(xiàn)有接入用戶數(shù)量為500個(gè)，客戶端均使用私有IP地址，通過防火墻或代理服務(wù)器接入Internet。部分服務(wù)器IP地址為公有IP地址。4、Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能，用于遠(yuǎn)程移動(dòng)用戶或子公司網(wǎng)絡(luò)提供遠(yuǎn)程安全訪問。5、會(huì)議室、員工宿舍等場(chǎng)所部署無線接入點(diǎn)，實(shí)現(xiàn)隨時(shí)隨地?zé)o線漫游接入。6、服務(wù)器操作系統(tǒng)平臺(tái)多為WindowsServer2003和WindowsServer2008系統(tǒng)?？蛻舳讼到y(tǒng)為WindowsXPProfessional和Windows77、網(wǎng)絡(luò)中部署有Web服務(wù)器，為企業(yè)網(wǎng)站運(yùn)行平臺(tái)。8、企業(yè)網(wǎng)絡(luò)辦公平臺(tái)為WSS，文件服務(wù)器可以為智能大廈的辦公用戶提供文件共享、存儲(chǔ)于訪問。9、E-mail、RTX為用戶員工之間的彼此交流，以及企業(yè)與外界的通信網(wǎng)絡(luò)。10、打印服務(wù)和傳真服務(wù)主要滿足企業(yè)用戶網(wǎng)絡(luò)辦公的應(yīng)用。11、企業(yè)分支結(jié)構(gòu)通過VPN方式遠(yuǎn)程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡(luò)中的共享資源。圖1-1項(xiàng)目背景1.4項(xiàng)目分析在普通小型局域網(wǎng)中，最常見的安全防護(hù)手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡(luò)并無硬件防火墻，只是在路由器和交換機(jī)上進(jìn)行簡(jiǎn)單的訪問控制和數(shù)據(jù)包篩選機(jī)制就可以了。但是，在較大的企業(yè)網(wǎng)絡(luò)中，許多重要應(yīng)用都要依賴網(wǎng)絡(luò)，勢(shì)必對(duì)網(wǎng)絡(luò)的安全性的要求高一些，在部署網(wǎng)絡(luò)安全設(shè)備的同時(shí)，必須輔助多種訪問控制與安全配置措施，加固網(wǎng)絡(luò)安全。1.4.1安全設(shè)備分布防火墻由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當(dāng)接入設(shè)備，部署在網(wǎng)絡(luò)邊緣，防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會(huì)議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機(jī)和核心交換機(jī)之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風(fēng)險(xiǎn)通過核心設(shè)備傳播到整個(gè)網(wǎng)絡(luò)。IPSIPS（IntrusionPreventionSystem，入侵防御系統(tǒng)）部署在Internet接入?yún)^(qū)的路由器和核心交換機(jī)之間，用于掃描所有來自Internet的信息，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。IDSIDS（InternetDetectionSystem，入侵檢測(cè)系統(tǒng)）本身是一個(gè)典型的探測(cè)設(shè)備，類似于網(wǎng)絡(luò)嗅探器，無需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無聲息地收集相應(yīng)的報(bào)文即可。IDS無法跨越物理網(wǎng)段收集信息，只能收集所在交換機(jī)的某個(gè)端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的IDS部署在安全需求最高的服務(wù)區(qū)，用于實(shí)時(shí)偵測(cè)服務(wù)器區(qū)交換機(jī)轉(zhuǎn)發(fā)的所有信息，對(duì)收集來的報(bào)文，IDS將提取相應(yīng)的流量統(tǒng)計(jì)特征值，并利用內(nèi)置的入侵知識(shí)庫，與這些流量特征進(jìn)行智能分析比較匹配。根據(jù)默認(rèn)的閥值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是進(jìn)攻，IDS將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。CiscoSecurityMARSCiscoSecurityMARS(MonitoringAnalysisResponseSystem)是基于設(shè)備的全方位解決方案，是網(wǎng)絡(luò)管理的關(guān)鍵組成部分。MARS可以自動(dòng)識(shí)別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡(luò)和安全部署協(xié)作，自動(dòng)識(shí)別并隔離網(wǎng)絡(luò)威脅，同時(shí)提出準(zhǔn)確的清除建議。在本例企業(yè)網(wǎng)絡(luò)中，MARS直接連接在核心交換機(jī)上，用于收集經(jīng)過核心交換機(jī)的所有數(shù)據(jù)信息，自動(dòng)生成狀態(tài)日志，供管理員調(diào)閱。1.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀當(dāng)網(wǎng)絡(luò)中的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備，并且提供Web管理方式，同時(shí)配置了基本的安全防御措施，如登陸密碼、用戶賬戶權(quán)限等。交換機(jī)和路由器安全設(shè)置交換機(jī)的主要功能就是提供網(wǎng)絡(luò)所需的接入接口。目前，該網(wǎng)絡(luò)中基于交換機(jī)的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進(jìn)行任何高級(jí)安全配置，如流量控制，遠(yuǎn)程監(jiān)控、IEEE802.1x安全認(rèn)證等，存在較大的安全隱患。企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入Internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能，所以該網(wǎng)絡(luò)中的路由器上只配置簡(jiǎn)單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換，可以滿足基本的安全要求。辦公設(shè)備安全配置企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機(jī)和傳真機(jī)，均支持網(wǎng)絡(luò)接入功能，部署在樓層的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施，致使網(wǎng)絡(luò)打印機(jī)和傳真機(jī)被濫用，造成不必要的資源浪費(fèi)。另外，用戶計(jì)算機(jī)到打印機(jī)之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。1.4.3服務(wù)器部署現(xiàn)狀網(wǎng)絡(luò)中應(yīng)用服務(wù)器包括域控制器、DHCP服務(wù)器、文件服務(wù)器、傳真服務(wù)器、網(wǎng)絡(luò)辦公平臺(tái)、數(shù)據(jù)庫服務(wù)器等，其中有許多網(wǎng)絡(luò)服務(wù)合用一臺(tái)服務(wù)器，網(wǎng)絡(luò)中共有服務(wù)器10臺(tái)，通過單獨(dú)的交換機(jī)高速連接至核心交換機(jī)，完全采用鏈路冗余結(jié)束雙線連接，確保連接的可靠性。所有服務(wù)器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠(yuǎn)程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠(yuǎn)程登錄服務(wù)器，實(shí)現(xiàn)相應(yīng)的配置與管理任務(wù)。1.4.4客戶端計(jì)算機(jī)客戶端計(jì)算機(jī)主要以Windows操作系統(tǒng)為主，極少數(shù)用戶是運(yùn)行Linux和MacOS操作系統(tǒng)?？蛻舳擞?jì)算機(jī)的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個(gè)人防火墻、殺毒軟件等。因此，由于個(gè)別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時(shí)有發(fā)生。對(duì)于Windows系統(tǒng)而言，應(yīng)用最多的WindowsXPProfessional和WindowsVista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、WindowsDefender、WindowsUpdate等，客戶端用戶只需對(duì)這些功能簡(jiǎn)單配置，即可增強(qiáng)系統(tǒng)安全性。另外，對(duì)于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如，統(tǒng)一配置客戶端計(jì)算機(jī)安全功能、增強(qiáng)網(wǎng)絡(luò)訪問控制、部署NAP系統(tǒng)、部署WSUS服務(wù)器等。1.4.5無線局域網(wǎng)安全現(xiàn)狀在企業(yè)網(wǎng)絡(luò)中部署無線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍，避免網(wǎng)絡(luò)布線對(duì)現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò)，充分享受無線暢游的便利。但是，由于無線網(wǎng)絡(luò)傳輸?shù)奶厥庑?，無線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全問題，主要表現(xiàn)在以下幾個(gè)方面。WEP密鑰發(fā)布問題802.11本身并未規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關(guān)的安全渠道送到了工作站點(diǎn)上，而在實(shí)際應(yīng)用中，一般都是手工設(shè)置，并長(zhǎng)期固定使用4個(gè)可選密鑰之一。因此，當(dāng)工作站點(diǎn)增多時(shí)，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。2.WEP用戶身份認(rèn)證方法的缺陷802.11標(biāo)準(zhǔn)規(guī)定了兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開發(fā)系統(tǒng)認(rèn)證是默認(rèn)的認(rèn)證方法，任何移動(dòng)站點(diǎn)都可加入BSS（BasicServiceSet,基本服務(wù)集），并可以跟AP（AccessPoint,接入點(diǎn)）通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認(rèn)證，也就不存在安全性。共享密鑰認(rèn)證是一種請(qǐng)求響應(yīng)認(rèn)證機(jī)制：AP在收到工作站點(diǎn)STA（StaticTimingAnalysis，靜態(tài)時(shí)序分析）的請(qǐng)求接入消息時(shí)發(fā)送詢問消息，STA對(duì)詢問消息使用共享密鑰進(jìn)行加密并送回AP，AP解密并校驗(yàn)消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡(jiǎn)單的數(shù)字運(yùn)算就可以得到共享密鑰生成的偽隨機(jī)密碼流，然后偽造合法的響應(yīng)消息通過AP認(rèn)證后接入WLAN。3.SSID和MAC地址過濾WEP服務(wù)集標(biāo)識(shí)SSID由Lucent公司提出，用于對(duì)封閉網(wǎng)絡(luò)進(jìn)行訪問控制。只有與AP有相同的SSID的客戶站點(diǎn)才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點(diǎn)MAC地址列表，拒絕MAC地址不在列表中的站點(diǎn)接入被保護(hù)的網(wǎng)絡(luò)。但由于SSID和MAC地址很容易被竊取，因此安全性較低。4．WEP加密機(jī)制的天生脆弱性WEP加密機(jī)制的天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因，WEP2算法作為802.11i的安全標(biāo)準(zhǔn)，對(duì)現(xiàn)有系統(tǒng)改進(jìn)相對(duì)較小并易于實(shí)現(xiàn)。1.4.6網(wǎng)絡(luò)隱患、風(fēng)險(xiǎn)分析企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：1內(nèi)部竊密和破壞企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計(jì)算機(jī))通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號(hào)和口令、重要文件等)，因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。2搭線(網(wǎng)絡(luò))竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。企業(yè)網(wǎng)絡(luò)系統(tǒng)來講，由于存在跨越INTERNET的內(nèi)部通信(與上級(jí)、下級(jí))這種威脅等級(jí)是相當(dāng)高的，因此也是本方案考慮的重點(diǎn)。3假冒這種威脅既可能來自企業(yè)網(wǎng)內(nèi)部用戶，也可能來自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。4完整性破壞這種威脅主要指信息在傳輸過程中或者存儲(chǔ)期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過網(wǎng)絡(luò)對(duì)沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。5其它網(wǎng)絡(luò)的攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會(huì)遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進(jìn)行防范。6管理及操作人員缺乏安全知識(shí)由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對(duì)滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對(duì)某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。7雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。1.5項(xiàng)目需求由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機(jī)密信息，并且下設(shè)多個(gè)部門，所以對(duì)網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較高。無論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴(yán)格做好安全防御工作。1.5.1網(wǎng)絡(luò)安全需求綜合項(xiàng)目成本和實(shí)際應(yīng)用等多方面因素，可以從如下幾個(gè)方面滿足用戶需求。一、將防火墻部署在網(wǎng)絡(luò)邊緣，用于隔離來自Internet的所有網(wǎng)絡(luò)風(fēng)險(xiǎn)。二、在路由器和核心交換機(jī)之間部署IPS，對(duì)全網(wǎng)的所有Internet通信進(jìn)行檢測(cè)，以便可以自動(dòng)阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請(qǐng)求和危險(xiǎn)信息的傳輸。三、生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機(jī)連接至核心交換機(jī)，在相應(yīng)的匯聚交換機(jī)上分別進(jìn)行適當(dāng)?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險(xiǎn)因素隔離在網(wǎng)絡(luò)局部。四、在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的VLAN中，充分確保部門內(nèi)部和部門間的信息安全。五、在會(huì)議室和展示廳等移動(dòng)用戶比較集中的場(chǎng)所，部署無線接入系統(tǒng)，在無線接入點(diǎn)以及無線接入點(diǎn)連接的交換機(jī)上，分別部署相應(yīng)的安全防御措施，如IEEE802.1x認(rèn)證、禁止廣播SSID、WEP加密等。六、網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至核心交換機(jī)，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機(jī)的數(shù)據(jù)通信，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應(yīng)的解決方案。七、為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署IDS，可以對(duì)服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。1.5.2網(wǎng)絡(luò)訪問安全需求由于公司大部分用戶信息安全意識(shí)較差，因此必須對(duì)安全需求較高的部門的用戶進(jìn)行集中管理，防止機(jī)密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠(yuǎn)程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助VPN技術(shù)實(shí)現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用WindowsUpdate功能，但是每個(gè)用戶都從微軟官方站點(diǎn)下載更新程序，會(huì)占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟WindowsUpdate功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。二、網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴(yán)格防范。通常情況下，大部分用戶都安裝了殺毒軟件和個(gè)人防火墻軟件，可以起到一定的安全防護(hù)作用，但是未能升級(jí)病毒庫同樣可能感染病毒。更嚴(yán)重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險(xiǎn)的。三、網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴(yán)格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對(duì)客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計(jì)算機(jī)已經(jīng)感染病毒，則病毒可能通過網(wǎng)絡(luò)快速蔓延至整個(gè)網(wǎng)絡(luò)的所有分支。四、遠(yuǎn)程訪問安全的保護(hù)。遠(yuǎn)程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實(shí)現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠(yuǎn)程訪問VPN技術(shù)本身就是具有一定的安全性，同時(shí)采用隧道和加密等多種技術(shù)，但是為了確保遠(yuǎn)程訪問的安全，應(yīng)加強(qiáng)遠(yuǎn)程訪問的保護(hù)與控制。1.6項(xiàng)目規(guī)劃網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要安全措施的保護(hù)，但是安全措施過于嚴(yán)格，就會(huì)影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴(yán)格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩?。1.6.1服務(wù)器安全規(guī)劃服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實(shí)現(xiàn)的，因此，無論是應(yīng)用程序出錯(cuò)，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若想做好服務(wù)器安全防護(hù)工作，必須從多方面入手。一、服務(wù)器硬件安全服務(wù)器硬件設(shè)備的維護(hù)主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護(hù)等。因?yàn)榉?wù)器的運(yùn)行是不間斷的，因此這些維護(hù)工作必須在確保服務(wù)器正常運(yùn)行的狀態(tài)下進(jìn)行。1、增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號(hào)、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機(jī)。2、定期為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的，因此建議管員每個(gè)月定期拆機(jī)打掃一次。3、控制機(jī)房溫度和濕度。雖然服務(wù)器對(duì)工作環(huán)境的要求比較寬泛，但是當(dāng)服務(wù)器周邊環(huán)境比較惡劣時(shí)同樣會(huì)降低其處理速度和穩(wěn)定性。二、操作系統(tǒng)的安全服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略。1、對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對(duì)Internet公開，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。2、應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。3、網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。4、通過專業(yè)的安全工具（安全監(jiān)測(cè)系統(tǒng)）定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估。三、網(wǎng)絡(luò)應(yīng)用服務(wù)安全局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括WWW服務(wù)、FTP服務(wù)、DNS服務(wù)、DHCP服務(wù)、ActiveDirectory服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對(duì)網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進(jìn)行設(shè)置，以增強(qiáng)其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下4層。1、網(wǎng)絡(luò)與應(yīng)用平臺(tái)安全：主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點(diǎn)安全、鏈路安全、拓?fù)浒踩⑾到y(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計(jì)算機(jī)系統(tǒng)安全性決定。2、應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認(rèn)、服務(wù)防攻擊、國(guó)家對(duì)應(yīng)用服務(wù)的管制等方面來保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護(hù)能力等先關(guān)。3、信息存儲(chǔ)于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲(chǔ)時(shí)的完整性、機(jī)密性和不可否認(rèn)性。信息的完整性可以依靠報(bào)文鑒別機(jī)制；信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)來保障；信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。4、信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國(guó)家安全，泄露國(guó)家機(jī)密或商業(yè)秘密，侵犯國(guó)家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動(dòng)。1.6.2客戶端安全規(guī)劃目前，WindowsXP和Windows7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對(duì)固定的客戶端計(jì)算機(jī)加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個(gè)方面做好客戶端計(jì)算機(jī)的安全防御工作。一、對(duì)于加入域的計(jì)算機(jī)可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩?。二、對(duì)于未加入域的計(jì)算機(jī)，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識(shí)，通過設(shè)置登錄密碼、計(jì)算機(jī)鎖定、防火墻等方式，確保系統(tǒng)安全。三、在網(wǎng)絡(luò)中部署WSUS服務(wù)器，負(fù)責(zé)為所有客戶端計(jì)算機(jī)和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。四、在所有客戶端上部署Symantec網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動(dòng)更新病毒庫功能。五、靈活部署和運(yùn)用Windows防火墻、WindowsDefender等系統(tǒng)集成安全防護(hù)程序。1.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。網(wǎng)絡(luò)設(shè)備的脆弱性通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時(shí)間內(nèi)保持相對(duì)穩(wěn)定地運(yùn)行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會(huì)成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個(gè)方面。1.提供不必要的網(wǎng)絡(luò)服務(wù)，提高了攻擊者的攻擊機(jī)會(huì)。2.存在不安全的配置，帶來不必要的安全隱患。3.不適當(dāng)?shù)脑L問控制。4.存在系統(tǒng)軟件上的安全漏洞。5.物理上沒有得到安全存放，容易遭受臨近攻擊。針對(duì)這些與生俱來的安全弱點(diǎn)，用戶可以通過如下措施加固系統(tǒng)安全。1.禁用不必要的網(wǎng)絡(luò)服務(wù)。2.修改不安全的配置。3.利用最小特權(quán)原則嚴(yán)格對(duì)設(shè)備的訪問控制。4.及時(shí)對(duì)系統(tǒng)進(jìn)行軟件升級(jí)。5.提供符合IPP（InformationProtectionPolicy，信息保護(hù)策略）要求的物理保護(hù)環(huán)境。二、部署網(wǎng)絡(luò)安全設(shè)備局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測(cè)設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部攻擊。入侵檢測(cè)設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護(hù)內(nèi)部服務(wù)器或局域網(wǎng)的安全。三、IOS安全I(xiàn)OS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺(tái)。IOS與計(jì)算機(jī)操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的IOS，進(jìn)行各種破壞活動(dòng)，從而影響網(wǎng)絡(luò)的正常運(yùn)行。通常情況下，用戶可以從如下6個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS安全。1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時(shí)可以以加密方式存儲(chǔ)密碼，以確保其安全性。2、配置用戶訪問安全級(jí)別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限。3、控制終端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會(huì)話超時(shí)限制。4、配置SNMP安全。SNMP字符串用于驗(yàn)證用戶與交換機(jī)的連接，確保其身份的有效性，類似于用戶賬戶和密碼。5、及時(shí)備份IOS映像，以便出現(xiàn)錯(cuò)誤操作或遭遇攻擊時(shí)可以迅速恢復(fù)。6、升級(jí)IOS版本。IOS的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補(bǔ)丁或升級(jí)IOS版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。1.6.4無線準(zhǔn)備安全規(guī)劃無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展，主要用于移動(dòng)終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP（AccessPoint,無線接入點(diǎn)）主要分布在產(chǎn)品展示區(qū)和會(huì)議室，方面移動(dòng)用戶隨時(shí)隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手機(jī)等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時(shí)尚，對(duì)于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點(diǎn)。在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。1、確保桌面計(jì)算機(jī)和服務(wù)器系統(tǒng)實(shí)現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門檻，即使攻擊者進(jìn)入了WLAN，仍然很難滲透進(jìn)用戶的計(jì)算機(jī)。2、啟用無線AP和工作站所支持的最強(qiáng)WEP。同時(shí)，確保擁有一個(gè)強(qiáng)健的WEP密碼，這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)則。3、確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（SSID）不是可以輕松識(shí)別的。不要使用公司名稱、自己的姓名或者地址作為SSID。4、如果無線AP支持SSID廣播，應(yīng)當(dāng)關(guān)閉。這個(gè)措施可以創(chuàng)建一個(gè)封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的SSID。5、使用IEEE802.1x身份驗(yàn)證協(xié)議保護(hù)無線網(wǎng)絡(luò)的安全。6、在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點(diǎn)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊情況。1.6.5防火墻、IDS、IPS規(guī)劃在安全性需求較高的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻、IDS和IPS。一、網(wǎng)絡(luò)防火墻防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計(jì)與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。二、IDSIDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)，入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全，而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。IDS通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在服務(wù)器區(qū)的接入交換機(jī)處。IDS能夠檢測(cè)到的攻擊類型通常包括：系統(tǒng)掃描（SystemScanning）、拒絕服務(wù)（DenyofService）和系統(tǒng)滲透（SystemPenetration）。IDS對(duì)攻擊的檢測(cè)方法主要包括：被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢(shì)是監(jiān)聽網(wǎng)絡(luò)流量，但又不會(huì)影響網(wǎng)絡(luò)的性能。作為對(duì)防火墻的有益補(bǔ)充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。三、IPS網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無法解決的網(wǎng)絡(luò)攻擊，部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施，而絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，不是主動(dòng)的，即在攻擊實(shí)際發(fā)生前，往往無法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)IPS則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出報(bào)警。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異常活動(dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將其傳送到內(nèi)部系統(tǒng)中。此時(shí)，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。1.6.6局域網(wǎng)接入安全規(guī)劃NAP技術(shù)NAP（NetworkAccessProtection,網(wǎng)絡(luò)訪問保護(hù)）是Microsoft在WindowsVista和WindowsServer2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。NAP平臺(tái)提供了一套完整性校驗(yàn)的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對(duì)不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗(yàn)網(wǎng)絡(luò)訪問的主機(jī)的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。健康策略認(rèn)證：判斷計(jì)算機(jī)是否適應(yīng)健康策略的需求。網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計(jì)算機(jī)訪問。自動(dòng)補(bǔ)救：為不適應(yīng)策略的計(jì)算機(jī)提供必要的升級(jí)，使其適應(yīng)健康策略。動(dòng)態(tài)適應(yīng)：自動(dòng)升級(jí)適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的計(jì)算機(jī)。1.6.7Internet接入安全規(guī)劃企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防火墻的后面部署了ForefrontTMG服務(wù)器，可以提供如下功能。一、網(wǎng)絡(luò)防火墻TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實(shí)際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。二、Web訪問緩存。TMG服務(wù)器既是防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于存儲(chǔ)客戶端請(qǐng)求的Internet數(shù)據(jù)空間，暫時(shí)緩存常用數(shù)據(jù)。當(dāng)客戶端需要再次訪問這些Internet數(shù)據(jù)時(shí)，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。三、安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當(dāng)本地計(jì)算機(jī)要和遠(yuǎn)程計(jì)算機(jī)通過TMG服務(wù)器進(jìn)行通信時(shí)，數(shù)據(jù)封裝好后，將通過VPN進(jìn)行收發(fā)，充分確保通信過程的安全。1.6.8遠(yuǎn)程接入安全規(guī)劃目前，最常用的遠(yuǎn)程訪問方式是VPN，主流的安全技術(shù)包括SSLVPN和IPSecVPN。SSLVPN應(yīng)用比較簡(jiǎn)單，用戶無需進(jìn)行配置，基于Web頁面即可實(shí)現(xiàn)。IPSecVPN技術(shù)應(yīng)用比較廣泛，不再局限于Web方式，同時(shí)由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。1、IPSecVPN遠(yuǎn)程安全接入IPSecVPN提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗(yàn)證、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（SA）密鑰老化等功能。IPSec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強(qiáng)度MessageDigests(MD-5)-HMAC和160位強(qiáng)度安全散列算法（SHA）-HMAC。由于SHA的強(qiáng)度更大。所以更加安全。2、SSLVPN遠(yuǎn)程安全接入SSLVPN是工作在應(yīng)用層和TCP層之間的遠(yuǎn)程接入技術(shù)。通常SSLVPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。1.6.9網(wǎng)絡(luò)可靠性規(guī)劃對(duì)于企業(yè)網(wǎng)絡(luò)而言，許多金融、貿(mào)易、電子商務(wù)等活動(dòng)都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯(cuò)。在硬件設(shè)備方面，可以通過配置交換機(jī)生成樹、鏈路匯聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時(shí)，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將多條鏈路聚合為一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可以實(shí)現(xiàn)負(fù)載均衡，從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。在軟件方面則可以通過服務(wù)器群集技術(shù)和網(wǎng)絡(luò)負(fù)載均衡技術(shù)，來提高重要服務(wù)器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務(wù)器角色狀態(tài)信息備份、服務(wù)器系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡(luò)設(shè)備配置備份等。第二章：企業(yè)網(wǎng)絡(luò)安全的實(shí)際應(yīng)用一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又是按照木桶原理來實(shí)現(xiàn)的。根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)●網(wǎng)絡(luò)系統(tǒng)安全;●應(yīng)用系統(tǒng)安全;●物理安全;●安全管理;2.1企業(yè)網(wǎng)絡(luò)安全實(shí)施根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行實(shí)施：●網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù)●主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻●網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng)●廣域網(wǎng)接入部分的入侵檢測(cè)采用入侵檢測(cè)系統(tǒng)●系統(tǒng)漏洞分析采用漏洞分析設(shè)備●定期安全審計(jì)主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)●重要數(shù)據(jù)的備份●重要信息點(diǎn)的防電磁泄露●網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展●網(wǎng)絡(luò)防雷2.2網(wǎng)絡(luò)傳輸?shù)膶?shí)施企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護(hù)，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改。由于現(xiàn)在越來越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù)企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：圖2-1三級(jí)VPN設(shè)置拓?fù)鋱D每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。可達(dá)到以下幾個(gè)目的：●網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸●網(wǎng)絡(luò)隔離保護(hù);與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問●集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性;●降低成本(設(shè)備成本和維護(hù)成本);其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖2-2中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。下級(jí)單位的VPN設(shè)備放置如下圖所示：圖2-3下級(jí)單位VPN設(shè)置圖從圖2-3可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。2.3訪問控制企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：●控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問;●控制外部合法用戶對(duì)服務(wù)器的訪問;●禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問;●控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò);●阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊;●防止內(nèi)部主機(jī)的IP欺騙;●對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);●網(wǎng)絡(luò)監(jiān)控;●網(wǎng)絡(luò)日志審計(jì);由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：●管理、維護(hù)簡(jiǎn)單、方便;●安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);●硬件成本和維護(hù)成本低;●網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。2.4入侵檢測(cè)網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測(cè)系統(tǒng)的設(shè)置如下圖：從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。2.5漏洞掃描作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過程中會(huì)出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。本方案中，采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。2.6其它對(duì)復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當(dāng)特殊考慮，增加新的安全措施。2.6.1應(yīng)用系統(tǒng)安全2.6.2系統(tǒng)平臺(tái)安全企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺(tái)中采用國(guó)內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對(duì)通用OS的安全問題，對(duì)操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。2.6.3應(yīng)用平臺(tái)安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對(duì)安全相關(guān)操作進(jìn)行的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、E-MAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國(guó)內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國(guó)內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。2.7病毒防護(hù)因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對(duì)付國(guó)產(chǎn)和國(guó)外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。病毒對(duì)信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：●采用世界最先進(jìn)的防毒產(chǎn)品與網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合，確保網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護(hù)能力的情況下綜合成本最少。●充分考慮網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響?！駪?yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控”技術(shù)，充分體現(xiàn)趨勢(shì)科技“以防為主”的反病毒思想?！袼x用產(chǎn)品具備對(duì)多種壓縮格式文件的病毒檢測(cè)?！袼x用產(chǎn)品易于安裝、操作簡(jiǎn)便、便于管理和維護(hù)，具有友好的用戶界面?！駪?yīng)用經(jīng)由ICSA(國(guó)際電腦安全協(xié)會(huì))技術(shù)認(rèn)證的掃描引擎，保證對(duì)包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測(cè)率，除對(duì)已知病毒具備全面的偵防能力，對(duì)未知病毒亦有良好的偵測(cè)能力。強(qiáng)調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實(shí)施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù)，最大限度地減輕使用人員和維護(hù)人員的工作量?！裢耆詣?dòng)化的日常維護(hù)，便于進(jìn)行病毒碼及掃描引擎的更新?！裉峁┝己玫氖酆蠓?wù)及技術(shù)支持。●具有良好的可擴(kuò)充性，充分保護(hù)用戶的現(xiàn)有投資，適應(yīng)網(wǎng)絡(luò)系統(tǒng)的今后發(fā)展需要2.8產(chǎn)品應(yīng)用ESET殺毒軟件高級(jí)企業(yè)版：針對(duì)大型網(wǎng)絡(luò)特點(diǎn)專業(yè)設(shè)計(jì)，擁有網(wǎng)絡(luò)版產(chǎn)品的所有功能，可以建立超級(jí)病毒監(jiān)控管理（系統(tǒng)）中心，其中上級(jí)中心不僅可集中管理各個(gè)下級(jí)系統(tǒng)中心，上級(jí)中心還可直接管理下級(jí)中心的任一個(gè)防病毒客戶端。通過建立“集中管理、分布處理”的多級(jí)中心防病毒監(jiān)控管理系統(tǒng)，在大型企業(yè)內(nèi)部的服務(wù)器和客戶端同時(shí)部署殺毒軟件共同完成對(duì)整個(gè)網(wǎng)絡(luò)的病毒防護(hù)工作，為用戶的網(wǎng)絡(luò)系統(tǒng)提供全方位防病毒解決方案。圖2-5大型區(qū)域網(wǎng)絡(luò)的監(jiān)控與管理圖防毒墻：防毒墻是一款多功能、高性能的產(chǎn)品，它不但能夠在網(wǎng)絡(luò)邊緣病毒檢測(cè)、攔截和清除的功能，同時(shí)，它還是一個(gè)高性能的防火墻，通過在總部、分支機(jī)構(gòu)網(wǎng)絡(luò)邊緣分別布置不同性能的防毒墻保護(hù)總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)和對(duì)外服務(wù)器不受黑客的攻擊，同時(shí)通過VPN功能，為分支機(jī)構(gòu)、遠(yuǎn)程、移動(dòng)用戶提供一個(gè)安全的遠(yuǎn)程連接功能，是大型企業(yè)網(wǎng)絡(luò)邊緣安全的首選產(chǎn)品。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)：網(wǎng)絡(luò)安全預(yù)警系統(tǒng)集病毒掃描、入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)視功能于一身，它能實(shí)時(shí)捕獲網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的病毒和攻擊特征庫，通過使用模式匹配和統(tǒng)計(jì)分析的方法，可以檢測(cè)出網(wǎng)絡(luò)上發(fā)生的病毒入侵、違反安全策略的行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為事后分析的依據(jù)。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的目標(biāo)是：全面，準(zhǔn)確，高效，穩(wěn)定，安全，快速。全面是指能檢測(cè)已知的各種病毒和攻擊；準(zhǔn)確是指檢測(cè)的結(jié)果準(zhǔn)確，誤報(bào)率低；高效是指檢測(cè)引擎的運(yùn)行效率高，由于現(xiàn)在的網(wǎng)絡(luò)帶寬越來越寬，只有高效的引擎才能在檢測(cè)時(shí)不丟包；穩(wěn)定是指系統(tǒng)運(yùn)行穩(wěn)定可靠；安全是指預(yù)警系統(tǒng)自身的安全，由于引擎中保存了大量檢測(cè)到的敏感信息，因此對(duì)其自身的保護(hù)是十分重要的；快速是指對(duì)新的漏洞和新的攻擊方法反應(yīng)快，系統(tǒng)升級(jí)簡(jiǎn)便。通過ESET殺毒軟件高級(jí)企業(yè)版、防毒墻和網(wǎng)絡(luò)安全預(yù)警共同為大型企業(yè)建立一個(gè)統(tǒng)一的防黑、防毒的安全網(wǎng)絡(luò)。設(shè)計(jì)后的安全網(wǎng)絡(luò)拓?fù)鋱D如下：圖2-6大型企業(yè)網(wǎng)絡(luò)安全實(shí)施圖三、選用產(chǎn)品ESET網(wǎng)絡(luò)版殺毒軟件高級(jí)企業(yè)版防毒墻網(wǎng)絡(luò)安全預(yù)警系統(tǒng)四、企業(yè)整體解決方案實(shí)現(xiàn)的主要功能1. 安全的網(wǎng)絡(luò)邊緣防護(hù)防毒墻可以根據(jù)用戶的不同需要，具備針對(duì)HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時(shí)通過實(shí)施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系，不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時(shí)可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用。2.內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范網(wǎng)絡(luò)安全預(yù)警系統(tǒng)SDS-1000對(duì)HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別粒度達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。3. 計(jì)算機(jī)病毒的監(jiān)控和清除網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。4. 強(qiáng)大的日志分析和統(tǒng)計(jì)報(bào)表能力對(duì)網(wǎng)絡(luò)內(nèi)的安全事件都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)可以自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過來源分析，目標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。5. 模塊化的安全組合本方案中使用的瑞星網(wǎng)絡(luò)安全產(chǎn)品分別具有不同的功能，用戶可以根據(jù)自身企業(yè)的實(shí)際情選擇不同的產(chǎn)品構(gòu)建不同安全級(jí)別的網(wǎng)絡(luò)，產(chǎn)品選擇組合方便、靈活，既有獨(dú)立性有整體性。2.9數(shù)據(jù)備份企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。而整個(gè)數(shù)據(jù)的安全保護(hù)就顯得特別重要，對(duì)數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn)：●存儲(chǔ)介質(zhì)安全在選擇存儲(chǔ)介質(zhì)上應(yīng)選擇保存時(shí)間長(zhǎng)，對(duì)環(huán)境要求低的存儲(chǔ)產(chǎn)品，并采取多種存儲(chǔ)介質(zhì)備份。如同時(shí)采用硬盤、光盤備份的方式?！駭?shù)據(jù)安全即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒?！駛浞葸^程安全確保數(shù)據(jù)在備份時(shí)是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況?！駛浞輸?shù)據(jù)的保管對(duì)存有備份數(shù)據(jù)的存儲(chǔ)介質(zhì)，應(yīng)保存在安全的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境(溫度、濕度等)的正常。同時(shí)對(duì)特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全。對(duì)重要備份數(shù)據(jù)的異地、多處備份(避免類似美國(guó)911事件為各公司產(chǎn)生的影響)2.10安全審計(jì)作為一個(gè)良好的安全系統(tǒng)，安全審計(jì)必不可少。企業(yè)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。2.11認(rèn)證、鑒別、數(shù)字簽名、抗抵賴企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級(jí)的重要信息，同時(shí)，由于現(xiàn)在國(guó)家正在大力推進(jìn)電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級(jí)政府部門當(dāng)中，因此，需要對(duì)網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)行控制和授權(quán)。對(duì)不同等級(jí)、類型的信息只允許相應(yīng)級(jí)別的人進(jìn)行審閱;對(duì)網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施。2.12物理安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。2.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò)，這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的，而企業(yè)內(nèi)部有部分用戶需要兩個(gè)網(wǎng)絡(luò)都要接入，這就涉及到兩個(gè)網(wǎng)絡(luò)之間的相互切換問題。而現(xiàn)在的實(shí)際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換，這使得使用中非常不方便。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。隔離卡工作方式隔離卡上有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)接內(nèi)網(wǎng)，一個(gè)接外網(wǎng);另外還有一個(gè)控制口，通過控制口連接一個(gè)控制器(只有火柴盒大小)，放置于電腦旁邊。同時(shí)，在隔離卡上接兩個(gè)硬盤，使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用，兩個(gè)硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)。這樣，可通過控制器進(jìn)行切換(簡(jiǎn)單的開關(guān)，類似電源開關(guān))，使計(jì)算機(jī)分別接到兩個(gè)網(wǎng)絡(luò)上。2.14應(yīng)用企業(yè)網(wǎng)絡(luò)的實(shí)際情況，需要在樓層中安裝隔離卡。并且做好規(guī)劃2.15防電磁輻射普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號(hào)在傳輸時(shí)存在電磁場(chǎng)，并隨著信號(hào)的改變而改變磁場(chǎng)的強(qiáng)弱，而UTP本身沒有任何的屏蔽功能，因此容易被國(guó)外間諜機(jī)構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機(jī)密信息，造成嚴(yán)重后果。因而對(duì)重要信息點(diǎn)的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的安全措施，如使用屏蔽雙絞線等終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，還應(yīng)根據(jù)保護(hù)對(duì)象分別采取主動(dòng)式的干擾設(shè)備(如干擾機(jī)來破壞對(duì)信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。2.16網(wǎng)絡(luò)防雷企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應(yīng)的防雷措施，因此，本方案中主要針對(duì)網(wǎng)絡(luò)系統(tǒng)防雷進(jìn)行設(shè)計(jì)，不包括電源防雷(這一般屬于大樓防雷的部分)。不少用戶為防止計(jì)算機(jī)及其局域網(wǎng)或廣域網(wǎng)遭雷擊，便簡(jiǎn)單地在與外部線路連接的調(diào)制解調(diào)器上安裝避雷器，但由于靜電感應(yīng)雷、防電磁感應(yīng)雷主要是通過供電線路破壞設(shè)備的，因此對(duì)計(jì)算機(jī)信息系統(tǒng)的防雷保護(hù)首先是合理地加裝電源避雷器，其次是加裝信號(hào)線路和天饋線避雷器。如果大樓信息系統(tǒng)的設(shè)備配置中有計(jì)算機(jī)中心機(jī)房、程控交換機(jī)房及機(jī)要設(shè)備機(jī)房，那么在總電源處要加裝電源避雷器。按照有關(guān)標(biāo)準(zhǔn)要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的)。在各設(shè)備前端分別要加裝串聯(lián)型電源避雷器(多級(jí)集成型)，以最大限度地抑制雷電感應(yīng)的能量。同時(shí)，計(jì)算機(jī)中心的MODEM、路由器、甚至HUB等都有線路出戶，這些出戶的線路都應(yīng)視為雷電引入通道，都應(yīng)加裝信號(hào)避雷器。對(duì)樓內(nèi)計(jì)算機(jī)等電子設(shè)備進(jìn)行防護(hù)的同時(shí)，對(duì)建(構(gòu))筑物再安裝防雷設(shè)施就更安全了。根據(jù)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析，防雷系統(tǒng)可采取兩級(jí)防雷措施?！窆歉删W(wǎng)絡(luò)防雷;●終端防雷;以上兩級(jí)避雷可使用信號(hào)避雷器來實(shí)現(xiàn)。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。2.17重要信息點(diǎn)的物理保護(hù)企業(yè)各級(jí)網(wǎng)絡(luò)內(nèi)部存在重要的信息點(diǎn)，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護(hù)，它主要包括三個(gè)方面：(1)環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)(參見國(guó)家標(biāo)準(zhǔn)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361-88《計(jì)算站場(chǎng)地安全要求》)。(2)設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。對(duì)中心機(jī)房和關(guān)鍵信息點(diǎn)采取多種安全防范措施，確保非授權(quán)人員無法進(jìn)入。中心機(jī)房處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。(3)媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？偨Y(jié)沒有安全保證的企業(yè)網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)企業(yè)網(wǎng)絡(luò)中用戶的工作和管理已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時(shí)，我們需要清醒的認(rèn)識(shí)到，網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，企業(yè)網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展.本文分析了企業(yè)網(wǎng)絡(luò)的安全規(guī)劃，并針對(duì)規(guī)劃提出了相應(yīng)的安全解決措施。文中分析認(rèn)為，企業(yè)網(wǎng)絡(luò)安全重點(diǎn)在防病毒和防攻擊。為此．文中針對(duì)病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性，提出了企業(yè)網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施，基本能夠解決企業(yè)網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn)，從而建構(gòu)一個(gè)安全、高效的網(wǎng)絡(luò)。致謝首先，感謝老師給我機(jī)會(huì)，使我能夠?qū)W(wǎng)絡(luò)安全進(jìn)行技能操作，再一次的對(duì)網(wǎng)絡(luò)安全掌握了不少的知識(shí)，使得原本不了解實(shí)訓(xùn)內(nèi)容的我又?jǐn)U充了一些知識(shí)，在這次為期一個(gè)多月的網(wǎng)絡(luò)安全畢業(yè)設(shè)計(jì)過程中，在同學(xué)的幫助和老師的指導(dǎo)下，我確實(shí)學(xué)到了很多東西，再次我真誠(chéng)的感謝老師和同學(xué)們給予我的幫助。整個(gè)畢業(yè)設(shè)計(jì)的過程是在我的指導(dǎo)老師付X的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴(yán)肅的態(tài)度，嚴(yán)謹(jǐn)?shù)木瘢媲缶墓ぷ髯黠L(fēng)，深深地感染和激勵(lì)著我。這段時(shí)間來，老師不僅在論文上給我以精心指導(dǎo)，同時(shí)還在思想、生活上給我以無微不至的關(guān)懷，在此謹(jǐn)向本次畢業(yè)設(shè)計(jì)的老師致以誠(chéng)摯的謝意和崇高的敬意。在設(shè)計(jì)即將完成之際，我的心情無法平靜，從開始進(jìn)入到設(shè)計(jì)的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意!最后我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝謝你們!計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)日新月異地飛速發(fā)展，人們總是處在不斷學(xué)習(xí)階段，再加上自己水平有限，所以本設(shè)計(jì)肯定存在不少錯(cuò)誤和不盡人意之處，歡迎廣大老師和同學(xué)批評(píng)指正，在此深表感謝！目錄摘要……………………………1Abstract…………………………2緒論……………………………31我國(guó)二手車市場(chǎng)分析………………………52國(guó)外二手車市場(chǎng)介紹………………………82.1國(guó)外二手車交易規(guī)?！?2.2國(guó)外二手車交易特點(diǎn)………………………82.3國(guó)內(nèi)外二手車市場(chǎng)比較…………………113二手車置換的4S模式……………………133.1二手車置換的定義………………………133.2二手車置換的要求與條件………………133.3二手車置換的流程步驟…………………133.44S店做二手車置換的優(yōu)勢(shì)分析…………153.54S店和舊車市場(chǎng)相比有何優(yōu)勢(shì)…………153.64S店舊車置換新車操作特點(diǎn)……………164阻撓二手車置換發(fā)展的因素………………184.1沒有規(guī)范的汽車消費(fèi)環(huán)境………………184.2沒有健全的二手車評(píng)價(jià)體系……………194.3沒有共享的信息資源……………………214.4沒有合理的稅費(fèi)制度……………………215結(jié)論…………………………22參考文獻(xiàn)………………………23致謝…………………………24摘要隨著我國(guó)進(jìn)入汽車時(shí)代，汽車保有量的不斷增加，汽車也從有錢人才買得起的奢侈品變成了大部分人都能承擔(dān)的代步工具。此時(shí)，二手車置換應(yīng)運(yùn)而生，作為汽車營(yíng)銷的新型產(chǎn)物，在發(fā)展前景方面本應(yīng)有著巨大的前景。但是由于沒有規(guī)范的汽車消費(fèi)環(huán)境和健全的二手車評(píng)估系統(tǒng)，導(dǎo)致我國(guó)二手車置換發(fā)展緩慢，通過研究對(duì)比國(guó)外的成功經(jīng)驗(yàn)，結(jié)合我國(guó)的二手車市場(chǎng)的現(xiàn)狀，在未來幾年中肯定能夠使品牌4S店二手車置換有長(zhǎng)足的發(fā)展。關(guān)鍵詞：汽車；二手車置換；消費(fèi)環(huán)境；二手車評(píng)估；4S店ABSTRACTWithChinaisentryintotheageoftheautomobile,theincreaseofautopossession,thecaralsoaffordableluxurygoodsfromwealthybecamemostpeoplecanbeartransport.Usedcarsreplacementalsoarisesatthehistoricmoment,butwithoutthespecificationoftheconsumermarket,thereisnosoundusedcarevaluationsystem,leadingtothedevelopmentoftheusedcarreplacementistooslow.Throughthestudycomparedforeignsuccessfulexperience,andcombiningthecurrentsituationofthesecond-handmarketinChina,inthenextfewyearsissuretokeepbrandauto4Sshopusedcarreplacementhaveconsiderabledevelopment.Keywords：usedcarsreplacement；second-handmarket；auto4Sshop緒論隨著我國(guó)汽車工業(yè)的高速發(fā)展，二手車市場(chǎng)的交易量和規(guī)模也日益擴(kuò)大，其巨大的發(fā)展?jié)摿褪袌?chǎng)空間已逐漸凸顯出來。與此相伴，二手車交易的一個(gè)基本方式——二手車置換業(yè)務(wù)也應(yīng)運(yùn)而生。通俗來講二手車置換就是用手頭上的二手車來置換新車，就是將賣舊車和買新車兩個(gè)過程合并成了一個(gè)過程。其中包括：相同品牌內(nèi)的舊車換新車；多個(gè)品牌置換某一品牌新車的業(yè)務(wù)；不同品牌二手車之間以舊換新，比如二手富康置換二手寶馬。而理論上，二手車置換的概念有狹義和廣義之分：狹義的二手車置換就是“以舊換新”業(yè)務(wù)，即經(jīng)銷商通過二手車的收購與新車的對(duì)等銷售獲取利益；廣義的置換則是指以舊換新業(yè)務(wù)的基礎(chǔ)上，還同時(shí)兼容二手車的整新、跟蹤服務(wù)、二手車再銷售乃至折抵分期付款等項(xiàng)目的一系列業(yè)務(wù)組合，從而成為一種有機(jī)而獨(dú)立運(yùn)營(yíng)的營(yíng)銷方式?，F(xiàn)如今，中國(guó)已經(jīng)進(jìn)入了汽車時(shí)代，汽車產(chǎn)業(yè)蓬勃發(fā)展，汽車消費(fèi)市場(chǎng)日趨成熟，汽車保有量逐年增長(zhǎng)，并且增長(zhǎng)勢(shì)頭驚人，隨之而帶來的二手車及交易問題也成為不可避免的難題。鑒定評(píng)估缺乏統(tǒng)一標(biāo)準(zhǔn)，二手車的誠(chéng)信問題，售后服務(wù)不到位，二手車的信貸欠缺等等，都是時(shí)刻制約著二手車交易市場(chǎng)的健康發(fā)展的問題。二手車置換業(yè)務(wù)，便是在這種糾結(jié)的市場(chǎng)情況下誕生，當(dāng)然也是必然結(jié)果。首先，汽車置換業(yè)務(wù)可以加快經(jīng)濟(jì)發(fā)達(dá)地區(qū)的車輛更新速度，同時(shí)能刺激內(nèi)地和經(jīng)濟(jì)不發(fā)達(dá)地區(qū)對(duì)機(jī)動(dòng)車的需求，是滿足特定消費(fèi)市場(chǎng)的重要營(yíng)銷手段；其次，汽車置換可以在某種程度上調(diào)劑高車價(jià)與低收入之間的矛盾，使其成為汽車真正進(jìn)入家庭的前奏和過渡預(yù)演；最后，汽車置換為置換客戶提供全方位的配套服務(wù)外，也能使其在購買新車的同時(shí)，快速變現(xiàn)舊車。因此，汽車置換是汽車產(chǎn)業(yè)一種新型的業(yè)態(tài)，是汽車營(yíng)銷創(chuàng)新的產(chǎn)物，是汽車消費(fèi)是新趨勢(shì)。但是，在二手車置換開展的這些年里，不但沒有帶給汽車廠家和4S店驚喜，反而成了負(fù)擔(dān)、擺設(shè)而已。2004年6月1日，國(guó)家新《汽車產(chǎn)業(yè)發(fā)展政策》出臺(tái)，為培育和發(fā)展二手車市場(chǎng)，政策明確鼓勵(lì)二車經(jīng)營(yíng)主體多元化，并對(duì)汽車廠家經(jīng)營(yíng)二手車業(yè)務(wù)大開方便之門。政策開閘，一時(shí)間上海大眾、一汽-大眾、上海通用等整車廠家經(jīng)銷商蜂擁而入。2004年底，一汽-大眾旗下347家經(jīng)銷商中，有13個(gè)城市的16家經(jīng)銷商作為首批認(rèn)證二手車樣板店開展二手車業(yè)務(wù)；上海通用也將旗下“誠(chéng)新二手車”授權(quán)專營(yíng)店發(fā)展至80家。與此同時(shí)，上海大眾也選定90家經(jīng)銷商經(jīng)營(yíng)二手車業(yè)務(wù)。據(jù)中國(guó)汽車流通協(xié)會(huì)2006年統(tǒng)計(jì)數(shù)據(jù)顯示，全國(guó)有備案的15000多家品牌經(jīng)銷商中，40%的經(jīng)銷商已設(shè)置二手車的品牌部門，15%-20%的經(jīng)銷商已正式開展二手車的業(yè)務(wù)。但是二手車流通基本處于二手車交易市場(chǎng)控制中，價(jià)格由二手車交易市場(chǎng)說了算。目前絕大部分4S店月置換量不足3輛，占不到新車銷量的十分之一，幾乎是名存實(shí)亡，更不用說促進(jìn)新車銷售了。因?yàn)?S店置換的車輛很少，很難和二手車市場(chǎng)進(jìn)行競(jìng)爭(zhēng)，最后這些置換的車輛還是被4S店拿到二手車交易市場(chǎng)，成為了他們的貨源。相對(duì)于3000元/月每個(gè)的停車位，200輛以上的日均交易量，4S店置換的車輛的利潤(rùn)少的可憐。上海大眾“特選二手車”經(jīng)銷商廣東德寶大眾二手車業(yè)務(wù)經(jīng)理潘光耀說：“不是我們不努力，而是品牌二手車業(yè)務(wù)在運(yùn)作模式上存在先天不足。大眾品牌二手車要經(jīng)過100多項(xiàng)檢測(cè)，不合格的項(xiàng)目要按標(biāo)準(zhǔn)修復(fù)。這雖然能讓產(chǎn)品更加保值，但較之舊車交易市場(chǎng)的交易價(jià)格根本不具優(yōu)勢(shì)，這讓國(guó)內(nèi)消費(fèi)者很難適應(yīng)?！崩缤豢疃峙了_特，經(jīng)過認(rèn)證后的4S店給出的價(jià)格是15萬元，而二手車交易市場(chǎng)給出的價(jià)格卻只有12萬元。

不僅如此，消費(fèi)者在4S店置換新車后，還要被征收2%的增值稅，以一輛10萬元的二手車為例，就要額外繳納1000元的稅，而在傳統(tǒng)交易市場(chǎng)中，消費(fèi)者只需要繳納過戶費(fèi)和交易費(fèi)10元左右。這也造成了二手車置換業(yè)務(wù)的無人問津。雖然現(xiàn)在的二手車置換