企業(yè)網(wǎng)絡(luò)安全課件_第1頁(yè)
企業(yè)網(wǎng)絡(luò)安全課件_第2頁(yè)
企業(yè)網(wǎng)絡(luò)安全課件_第3頁(yè)
企業(yè)網(wǎng)絡(luò)安全課件_第4頁(yè)
企業(yè)網(wǎng)絡(luò)安全課件_第5頁(yè)
已閱讀5頁(yè),還剩73頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案1關(guān)鍵詞信息安全企業(yè)網(wǎng)絡(luò)安全安全防護(hù)關(guān)鍵詞信息安全2一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營(yíng)業(yè)務(wù)的小型企業(yè),公司網(wǎng)絡(luò)通過(guò)中國(guó)聯(lián)通光纖接入

Internet。

該公司擁有子公司若干,并與其它物流公司建立了兄弟公司關(guān)系。為了適應(yīng)業(yè)務(wù)的發(fā)展的需要,實(shí)現(xiàn)信息的共享,協(xié)作和通訊,并和各個(gè)部門互連,對(duì)該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營(yíng)業(yè)務(wù)的小型企業(yè),3企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖4二、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析二、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析52.1

黑客攻擊“黑客”(Hack)對(duì)于大家來(lái)說(shuō)可能并不陌生,他們是一群利用自己的技術(shù)專長(zhǎng)專門攻擊網(wǎng)站和計(jì)算機(jī)而不暴露身份的計(jì)算機(jī)用戶,由于黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展,目前世界上約有20多萬(wàn)個(gè)黑客網(wǎng)站,這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞,因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客們善于隱蔽,攻擊“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅[1]。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)來(lái)看,黑客攻擊的方式也越來(lái)越多的采用了病毒進(jìn)行破壞,它們采用的攻擊和破壞方式多種多樣,對(duì)沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備(防火墻)的網(wǎng)站和系統(tǒng)(或防護(hù)級(jí)別較低)進(jìn)行攻擊和破壞,這給網(wǎng)絡(luò)的安全防護(hù)帶來(lái)了嚴(yán)峻的挑戰(zhàn)。2.1

黑客攻擊“黑客”(Hack)對(duì)于大家來(lái)說(shuō)可能并不陌62.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸,基本沒有考慮安全問(wèn)題,因此它在安全防范、服務(wù)質(zhì)量、帶寬和方便性等方面存在滯后和不適應(yīng)性。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上,很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理,沒有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示,美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前美國(guó)75%-85%的網(wǎng)站都抵擋不住黑客的攻擊,約有75%的企業(yè)網(wǎng)上信息失竊。2.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)72.3

軟件設(shè)計(jì)的漏洞或“后門”而產(chǎn)生的問(wèn)題隨著軟件系統(tǒng)規(guī)模的不斷增大,新的軟件產(chǎn)品開發(fā)出來(lái),系統(tǒng)中的安全漏洞或“后門”也不可避免的存在,比如我們常用的操作系統(tǒng),無(wú)論是Windows還是UNIX幾乎都存在或多或少的安全漏洞,眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過(guò)存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞,不可能完美無(wú)缺。這也是網(wǎng)絡(luò)安全的主要威脅之一。2.3

軟件設(shè)計(jì)的漏洞或“后門”而產(chǎn)生的問(wèn)題隨著軟件系統(tǒng)82.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站,有些網(wǎng)站惡意編制一些盜取他人信息的軟件,并且可能隱藏在下載的信息中,只要登錄或者下載網(wǎng)絡(luò)的信息就會(huì)被其控制和感染病毒,計(jì)算機(jī)中的所有信息都會(huì)被自動(dòng)盜走,該軟件會(huì)長(zhǎng)期存在你的計(jì)算機(jī)中,操作者并不知情,如“木馬”病毒。因此,不良網(wǎng)站和不安全網(wǎng)站萬(wàn)不可登錄,否則后果不堪設(shè)想。2.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站,有些網(wǎng)92.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問(wèn)題網(wǎng)絡(luò)內(nèi)部用戶的誤操作,資源濫用和惡意行為也有可能對(duì)網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè),各單位現(xiàn)在都在建局域網(wǎng),計(jì)算機(jī)使用頻繁,但是由于單位管理制度不嚴(yán),不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定,都容易引起一系列安全問(wèn)題。2.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問(wèn)題網(wǎng)絡(luò)內(nèi)102.7

競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為主的行業(yè),所以用戶信息異常珍貴和重要,如果遭到競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊,后果不堪設(shè)想。2.7

競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為11三、安全系統(tǒng)建設(shè)原則整體性原則:“木桶原理”,單純一種安全手段不可能解決全部安全問(wèn)題;多重保護(hù)原則:不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;性能保障原則:安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i;平衡性原則:制定規(guī)范措施,實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡

;可管理、易操作原則:盡量采用最新的安全技術(shù),實(shí)現(xiàn)安全管理的自動(dòng)化,以減輕安全管理的負(fù)擔(dān),同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅;三、安全系統(tǒng)建設(shè)原則整體性原則:“木桶原理”,單純一種安全12三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則:充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求,避免因只滿足了系統(tǒng)安全要求,而給業(yè)務(wù)發(fā)展帶來(lái)障礙的情況發(fā)生;高可用原則:安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;技術(shù)與管理并重原則:“三分技術(shù),七分管理”,從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定,并從管理的角度評(píng)估安全設(shè)計(jì)方案的可操作性;投資保護(hù)原則:要充分發(fā)揮現(xiàn)有設(shè)備的潛能,避免投資的浪費(fèi);三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則:充分考慮今后業(yè)務(wù)和網(wǎng)13四、網(wǎng)絡(luò)安全總體設(shè)計(jì)四、網(wǎng)絡(luò)安全總體設(shè)計(jì)144.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu),根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)系統(tǒng)的特點(diǎn),本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì):數(shù)據(jù)安全保護(hù),使用加密技術(shù),保護(hù)重要數(shù)據(jù)的保密性;網(wǎng)絡(luò)系統(tǒng)安全,防火墻的設(shè)置;物理安全,應(yīng)用硬件等安裝配置;應(yīng)用系統(tǒng)安全,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩WC。4.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu),154.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).4.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬164.2方案綜述設(shè)置防火墻,防火墻是對(duì)通過(guò)互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的信息進(jìn)行過(guò)濾的程序或硬件設(shè)備。所以如果過(guò)濾器對(duì)傳入的信息數(shù)據(jù)包進(jìn)行標(biāo)記,則不允許該數(shù)據(jù)包通過(guò)。能夠保證使用的網(wǎng)站的安全性,以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡(luò)正常運(yùn)行和軟硬件,數(shù)據(jù)的安全。防止服務(wù)器拒絕服務(wù)攻擊.4.2方案綜述設(shè)置防火墻,防火墻是對(duì)通過(guò)互聯(lián)網(wǎng)連接進(jìn)入專174.2方案綜述網(wǎng)絡(luò)病毒防護(hù),采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中部署被動(dòng)防御體系(防病毒系統(tǒng)),采用主動(dòng)防御機(jī)制(防火墻、安全策略、漏洞修復(fù)等),將病毒隔離在網(wǎng)絡(luò)大門之外。從總部到分支機(jī)構(gòu),由上到下,各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合,最終形成一個(gè)立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。4.2方案綜述網(wǎng)絡(luò)病毒防護(hù),采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中184.2方案綜述設(shè)置DMZ,數(shù)據(jù)冗余存儲(chǔ)系統(tǒng)。將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中,把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問(wèn)職責(zé)的主機(jī)放置于DMZ中,這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設(shè)置的新的障礙。4.2方案綜述設(shè)置DMZ,數(shù)據(jù)冗余存儲(chǔ)系統(tǒng)。將需要保護(hù)的194.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng),專門備份企業(yè)重要數(shù)據(jù)。為避免客觀原因、自然災(zāi)害等原因造成的數(shù)據(jù)損壞、丟失,可采用異地備份方式。4.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng),專門備份企業(yè)重要數(shù)據(jù)204.2方案綜述雙重?cái)?shù)據(jù)信息保護(hù),在重要部門以及工作組前設(shè)置交換機(jī),可以在必要時(shí)候斷開網(wǎng)絡(luò)連接,防止網(wǎng)絡(luò)攻擊,并且設(shè)置雙重防火墻,進(jìn)出的數(shù)據(jù)都將受到保護(hù)。4.2方案綜述雙重?cái)?shù)據(jù)信息保護(hù),在重要部門以及工作組前設(shè)214.2方案綜述設(shè)置備份服務(wù)器,用于因客觀原因、自然災(zāi)害等原因造成的服務(wù)器崩潰。4.2方案綜述設(shè)置備份服務(wù)器,用于因客觀原因、自然災(zāi)害等224.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測(cè)系統(tǒng)(IDS)。對(duì)外界入侵和內(nèi)部人員的越界行為進(jìn)行報(bào)警。在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺(tái)交換機(jī)上和重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上裝上IDS。4.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測(cè)系統(tǒng)(IDS234.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備4.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備24五、安全設(shè)備要求五、安全設(shè)備要求255.1硬件設(shè)備pc機(jī)若干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī);交換機(jī)2臺(tái);服務(wù)器4臺(tái);防火墻5臺(tái);內(nèi)外網(wǎng)隔離卡;漏洞掃描器;AMTTinnFORIDS。5.1硬件設(shè)備pc機(jī)若干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)265.2軟件設(shè)備病毒防御系統(tǒng);查殺病毒軟件;訪問(wèn)控制設(shè)置。5.2軟件設(shè)備病毒防御系統(tǒng);27六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此,網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開銷很大的路由器。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見的:信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制,使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制,但應(yīng)用了交換器和VLAN技術(shù)后,實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊,除非設(shè)置了監(jiān)聽口,信息交換也不會(huì)存在監(jiān)聽和插入(改變)問(wèn)題。但是,采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)286.2防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).6.2防火墻技術(shù)296.2防火墻技術(shù)防火墻技術(shù)又有三種類型包過(guò)濾型網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)代理型監(jiān)測(cè)型6.2防火墻技術(shù)防火墻技術(shù)又有三種類型306.3病毒防護(hù)技術(shù)病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián),病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為:(1)通過(guò)FTP,電子郵件傳播。(2)通過(guò)軟盤、光盤、磁帶傳播。(3)通過(guò)Web游覽傳播,主要是惡意的Java控件網(wǎng)站。(4)通過(guò)群件系統(tǒng)傳播。6.3病毒防護(hù)技術(shù)病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于316.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下:(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫(kù)的升級(jí)。病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新,并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件,禁止未經(jīng)許可的控件下載和安裝。6.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下:326.4入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊,其次它能夠縮短hacker入侵的時(shí)間。入侵檢測(cè)系統(tǒng)可分為兩類:√基于主機(jī)√基于網(wǎng)絡(luò)基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式:(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨平臺(tái)的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上,放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。6.4入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),336.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中,另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。6.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中,另一類重要技術(shù)為安全掃描技346.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可,數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù),同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面:(1)路由器認(rèn)證,路由器和交換機(jī)之間的認(rèn)證。(2)操作系統(tǒng)認(rèn)證。操作系統(tǒng)對(duì)用戶的認(rèn)證。(3)網(wǎng)管系統(tǒng)對(duì)網(wǎng)管設(shè)備之間的認(rèn)證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。(5)撥號(hào)訪問(wèn)服務(wù)器與客戶間的認(rèn)證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認(rèn)證。(7)電子郵件通訊雙方的認(rèn)證。數(shù)字簽名技術(shù)主要用于:(1)基于PKI認(rèn)證體系的認(rèn)證過(guò)程。(2)基于PKI的電子郵件及交易(通過(guò)Web進(jìn)行的交易)的不可抵賴記錄。6.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙356.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案,提供在INTERNET上安全的雙向通訊,以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證:保密-通訊過(guò)程不被竊聽。通訊主體真實(shí)性確認(rèn)-網(wǎng)絡(luò)上的計(jì)算機(jī)不被假冒6.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案366.8應(yīng)用系統(tǒng)的安全技術(shù)1、Server經(jīng)常成為Internet用戶訪問(wèn)公司內(nèi)部資源的通道之一,如Webserver通過(guò)中間件訪問(wèn)主機(jī)系統(tǒng),通過(guò)數(shù)據(jù)庫(kù)連接部件訪問(wèn)數(shù)據(jù)庫(kù),利用CGI訪問(wèn)本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。2、操作系統(tǒng)安全市場(chǎng)上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞,并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問(wèn)題越多。對(duì)操作系統(tǒng)的安全,除了不斷地增加安全補(bǔ)丁外,還需要:(1)檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式,訪問(wèn)控制,口令選擇/更新)。(2)基于系統(tǒng)的安全監(jiān)控系統(tǒng)。

6.8應(yīng)用系統(tǒng)的安全技術(shù)1、Server經(jīng)常成為Inter376.9計(jì)算機(jī)網(wǎng)絡(luò)安全措施計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個(gè)方面,各個(gè)方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。(一)保護(hù)網(wǎng)絡(luò)安全。(二)保護(hù)應(yīng)用安全。(三)保護(hù)系統(tǒng)安全。6.9計(jì)算機(jī)網(wǎng)絡(luò)安全措施計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包381、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月-22Sunday,December11,20222、閱讀一切好書如同和過(guò)去最杰出的人談話。03:19:4503:19:4503:1912/11/20223:19:45AM3、越是沒有本領(lǐng)的就越加自命不凡。12月-2203:19:4503:19Dec-2211-Dec-224、越是無(wú)能的人,越喜歡挑剔別人的錯(cuò)兒。03:19:4503:19:4503:19Sunday,December11,20225、知人者智,自知者明。勝人者有力,自勝者強(qiáng)。12月-2212月-2203:19:4503:19:45December11,20226、意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。11十二月20223:19:45上午03:19:4512月-227、最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。。十二月223:19上午12月-2203:19December11,20228、業(yè)余生活要有意義,不要越軌。2022/12/113:19:4503:19:4511December20229、一個(gè)人即使已登上頂峰,也仍要自強(qiáng)不息。3:19:45上午3:19上午03:19:4512月-2210、你要做多大的事情,就該承受多大的壓力。12/11/20223:19:45AM03:19:4511-12月-2211、自己要先看得起自己,別人才會(huì)看得起你。12/11/20223:19AM12/11/20223:19AM12月-2212月-2212、這一秒不放棄,下一秒就會(huì)有希望。11-Dec-2211December202212月-2213、無(wú)論才能知識(shí)多么卓著,如果缺乏熱情,則無(wú)異紙上畫餅充饑,無(wú)補(bǔ)于事。Sunday,December11,202211-Dec-2212月-2214、我只是自己不放過(guò)自己而已,現(xiàn)在我不會(huì)再逼自己眷戀了。12月-2203:19:4511December202203:19謝謝大家1、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月39企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案40關(guān)鍵詞信息安全企業(yè)網(wǎng)絡(luò)安全安全防護(hù)關(guān)鍵詞信息安全41一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營(yíng)業(yè)務(wù)的小型企業(yè),公司網(wǎng)絡(luò)通過(guò)中國(guó)聯(lián)通光纖接入

Internet。

該公司擁有子公司若干,并與其它物流公司建立了兄弟公司關(guān)系。為了適應(yīng)業(yè)務(wù)的發(fā)展的需要,實(shí)現(xiàn)信息的共享,協(xié)作和通訊,并和各個(gè)部門互連,對(duì)該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營(yíng)業(yè)務(wù)的小型企業(yè),42企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖43二、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析二、網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析442.1

黑客攻擊“黑客”(Hack)對(duì)于大家來(lái)說(shuō)可能并不陌生,他們是一群利用自己的技術(shù)專長(zhǎng)專門攻擊網(wǎng)站和計(jì)算機(jī)而不暴露身份的計(jì)算機(jī)用戶,由于黑客技術(shù)逐漸被越來(lái)越多的人掌握和發(fā)展,目前世界上約有20多萬(wàn)個(gè)黑客網(wǎng)站,這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞,因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客們善于隱蔽,攻擊“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅[1]。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)來(lái)看,黑客攻擊的方式也越來(lái)越多的采用了病毒進(jìn)行破壞,它們采用的攻擊和破壞方式多種多樣,對(duì)沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備(防火墻)的網(wǎng)站和系統(tǒng)(或防護(hù)級(jí)別較低)進(jìn)行攻擊和破壞,這給網(wǎng)絡(luò)的安全防護(hù)帶來(lái)了嚴(yán)峻的挑戰(zhàn)。2.1

黑客攻擊“黑客”(Hack)對(duì)于大家來(lái)說(shuō)可能并不陌452.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸,基本沒有考慮安全問(wèn)題,因此它在安全防范、服務(wù)質(zhì)量、帶寬和方便性等方面存在滯后和不適應(yīng)性。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上,很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理,沒有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示,美國(guó)90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足。目前美國(guó)75%-85%的網(wǎng)站都抵擋不住黑客的攻擊,約有75%的企業(yè)網(wǎng)上信息失竊。2.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)462.3

軟件設(shè)計(jì)的漏洞或“后門”而產(chǎn)生的問(wèn)題隨著軟件系統(tǒng)規(guī)模的不斷增大,新的軟件產(chǎn)品開發(fā)出來(lái),系統(tǒng)中的安全漏洞或“后門”也不可避免的存在,比如我們常用的操作系統(tǒng),無(wú)論是Windows還是UNIX幾乎都存在或多或少的安全漏洞,眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過(guò)存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說(shuō)任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞,不可能完美無(wú)缺。這也是網(wǎng)絡(luò)安全的主要威脅之一。2.3

軟件設(shè)計(jì)的漏洞或“后門”而產(chǎn)生的問(wèn)題隨著軟件系統(tǒng)472.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站,有些網(wǎng)站惡意編制一些盜取他人信息的軟件,并且可能隱藏在下載的信息中,只要登錄或者下載網(wǎng)絡(luò)的信息就會(huì)被其控制和感染病毒,計(jì)算機(jī)中的所有信息都會(huì)被自動(dòng)盜走,該軟件會(huì)長(zhǎng)期存在你的計(jì)算機(jī)中,操作者并不知情,如“木馬”病毒。因此,不良網(wǎng)站和不安全網(wǎng)站萬(wàn)不可登錄,否則后果不堪設(shè)想。2.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站,有些網(wǎng)482.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問(wèn)題網(wǎng)絡(luò)內(nèi)部用戶的誤操作,資源濫用和惡意行為也有可能對(duì)網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè),各單位現(xiàn)在都在建局域網(wǎng),計(jì)算機(jī)使用頻繁,但是由于單位管理制度不嚴(yán),不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定,都容易引起一系列安全問(wèn)題。2.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問(wèn)題網(wǎng)絡(luò)內(nèi)492.7

競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為主的行業(yè),所以用戶信息異常珍貴和重要,如果遭到競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊,后果不堪設(shè)想。2.7

競(jìng)爭(zhēng)對(duì)手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為50三、安全系統(tǒng)建設(shè)原則整體性原則:“木桶原理”,單純一種安全手段不可能解決全部安全問(wèn)題;多重保護(hù)原則:不把整個(gè)系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;性能保障原則:安全產(chǎn)品的性能不能成為影響整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i;平衡性原則:制定規(guī)范措施,實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價(jià)值平衡

;可管理、易操作原則:盡量采用最新的安全技術(shù),實(shí)現(xiàn)安全管理的自動(dòng)化,以減輕安全管理的負(fù)擔(dān),同時(shí)減小因?yàn)楣芾砩系氖杪┒鴮?duì)系統(tǒng)安全造成的威脅;三、安全系統(tǒng)建設(shè)原則整體性原則:“木桶原理”,單純一種安全51三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則:充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求,避免因只滿足了系統(tǒng)安全要求,而給業(yè)務(wù)發(fā)展帶來(lái)障礙的情況發(fā)生;高可用原則:安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;技術(shù)與管理并重原則:“三分技術(shù),七分管理”,從技術(shù)角度出發(fā)的安全方案的設(shè)計(jì)必須有與之相適應(yīng)的管理制度同步制定,并從管理的角度評(píng)估安全設(shè)計(jì)方案的可操作性;投資保護(hù)原則:要充分發(fā)揮現(xiàn)有設(shè)備的潛能,避免投資的浪費(fèi);三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則:充分考慮今后業(yè)務(wù)和網(wǎng)52四、網(wǎng)絡(luò)安全總體設(shè)計(jì)四、網(wǎng)絡(luò)安全總體設(shè)計(jì)534.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu),根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)系統(tǒng)的特點(diǎn),本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì):數(shù)據(jù)安全保護(hù),使用加密技術(shù),保護(hù)重要數(shù)據(jù)的保密性;網(wǎng)絡(luò)系統(tǒng)安全,防火墻的設(shè)置;物理安全,應(yīng)用硬件等安裝配置;應(yīng)用系統(tǒng)安全,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩WC。4.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu),544.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).4.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬554.2方案綜述設(shè)置防火墻,防火墻是對(duì)通過(guò)互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的信息進(jìn)行過(guò)濾的程序或硬件設(shè)備。所以如果過(guò)濾器對(duì)傳入的信息數(shù)據(jù)包進(jìn)行標(biāo)記,則不允許該數(shù)據(jù)包通過(guò)。能夠保證使用的網(wǎng)站的安全性,以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡(luò)正常運(yùn)行和軟硬件,數(shù)據(jù)的安全。防止服務(wù)器拒絕服務(wù)攻擊.4.2方案綜述設(shè)置防火墻,防火墻是對(duì)通過(guò)互聯(lián)網(wǎng)連接進(jìn)入專564.2方案綜述網(wǎng)絡(luò)病毒防護(hù),采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中部署被動(dòng)防御體系(防病毒系統(tǒng)),采用主動(dòng)防御機(jī)制(防火墻、安全策略、漏洞修復(fù)等),將病毒隔離在網(wǎng)絡(luò)大門之外。從總部到分支機(jī)構(gòu),由上到下,各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合,最終形成一個(gè)立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。4.2方案綜述網(wǎng)絡(luò)病毒防護(hù),采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中574.2方案綜述設(shè)置DMZ,數(shù)據(jù)冗余存儲(chǔ)系統(tǒng)。將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中,把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問(wèn)職責(zé)的主機(jī)放置于DMZ中,這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設(shè)置的新的障礙。4.2方案綜述設(shè)置DMZ,數(shù)據(jù)冗余存儲(chǔ)系統(tǒng)。將需要保護(hù)的584.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng),專門備份企業(yè)重要數(shù)據(jù)。為避免客觀原因、自然災(zāi)害等原因造成的數(shù)據(jù)損壞、丟失,可采用異地備份方式。4.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng),專門備份企業(yè)重要數(shù)據(jù)594.2方案綜述雙重?cái)?shù)據(jù)信息保護(hù),在重要部門以及工作組前設(shè)置交換機(jī),可以在必要時(shí)候斷開網(wǎng)絡(luò)連接,防止網(wǎng)絡(luò)攻擊,并且設(shè)置雙重防火墻,進(jìn)出的數(shù)據(jù)都將受到保護(hù)。4.2方案綜述雙重?cái)?shù)據(jù)信息保護(hù),在重要部門以及工作組前設(shè)604.2方案綜述設(shè)置備份服務(wù)器,用于因客觀原因、自然災(zāi)害等原因造成的服務(wù)器崩潰。4.2方案綜述設(shè)置備份服務(wù)器,用于因客觀原因、自然災(zāi)害等614.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測(cè)系統(tǒng)(IDS)。對(duì)外界入侵和內(nèi)部人員的越界行為進(jìn)行報(bào)警。在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺(tái)交換機(jī)上和重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上裝上IDS。4.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測(cè)系統(tǒng)(IDS624.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備4.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備63五、安全設(shè)備要求五、安全設(shè)備要求645.1硬件設(shè)備pc機(jī)若干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī);交換機(jī)2臺(tái);服務(wù)器4臺(tái);防火墻5臺(tái);內(nèi)外網(wǎng)隔離卡;漏洞掃描器;AMTTinnFORIDS。5.1硬件設(shè)備pc機(jī)若干臺(tái),包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)655.2軟件設(shè)備病毒防御系統(tǒng);查殺病毒軟件;訪問(wèn)控制設(shè)置。5.2軟件設(shè)備病毒防御系統(tǒng);66六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此,網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開銷很大的路由器。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見的:信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制,使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制,但應(yīng)用了交換器和VLAN技術(shù)后,實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊,除非設(shè)置了監(jiān)聽口,信息交換也不會(huì)存在監(jiān)聽和插入(改變)問(wèn)題。但是,采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基于交換機(jī)端口。但這要求整個(gè)網(wǎng)絡(luò)桌面使用交換端口或每個(gè)交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)676.2防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).6.2防火墻技術(shù)686.2防火墻技術(shù)防火墻技術(shù)又有三種類型包過(guò)濾型網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)代理型監(jiān)測(cè)型6.2防火墻技術(shù)防火墻技術(shù)又有三種類型696.3病毒防護(hù)技術(shù)病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián),病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為:(1)通過(guò)FTP,電子郵件傳播。(2)通過(guò)軟盤、光盤、磁帶傳播。(3)通過(guò)Web游覽傳播,主要是惡意的Java控件網(wǎng)站。(4)通過(guò)群件系統(tǒng)傳播。6.3病毒防護(hù)技術(shù)病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于706.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下:(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫(kù)的升級(jí)。病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新,并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件,禁止未經(jīng)許可的控件下載和安裝。6.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下:716.4入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要首先它能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊,其次它能夠縮短hacker入侵的時(shí)間。入侵檢測(cè)系統(tǒng)可分為兩類:√基于主機(jī)√基于網(wǎng)絡(luò)基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式:(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨平臺(tái)的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上,放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。6.4入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù),726.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中,另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。6.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中,另一類重要技術(shù)為安全掃描技736.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可,數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù),同時(shí)數(shù)字簽名還可用于通信過(guò)程中的不可抵賴要求的實(shí)現(xiàn)。認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面:(1)路由器認(rèn)證,路由器和交換機(jī)之間的認(rèn)證。(2)操作系統(tǒng)認(rèn)證。操作系統(tǒng)對(duì)用戶的認(rèn)證。(3)網(wǎng)管系統(tǒng)對(duì)網(wǎng)管設(shè)備之間的認(rèn)證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。(5)撥號(hào)訪問(wèn)服務(wù)器與客戶間的認(rèn)證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認(rèn)證。(7)電子郵件通訊雙方的認(rèn)證。數(shù)字簽名技術(shù)主要用于:(1)基于PKI認(rèn)證體系的認(rèn)證過(guò)程。(2)基于PKI的電子郵件及交易(通過(guò)Web進(jìn)行的交易)的不可抵賴記錄。6.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙746.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案,提供在INTERNET上安全的雙向通訊,以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證:保密-通訊過(guò)程不被竊聽。通訊主體真實(shí)性

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論