中小型企業(yè)網絡安全整體解決方案

摘要 網絡安全整體解決方案是一個具體問題，根據(jù)不同的企業(yè)的實際情況，網絡建設的規(guī)模，應用層次，以及經濟因素，設備檔次也不完全相同，就如何來確定企業(yè)網絡建設的總體方案，需求有一個統(tǒng)一的指導思想，或者說一般性的原則和方法。根據(jù)企業(yè)的具體情況提出需求分析和可行性分析的具體策略，指定經濟型分步實際計劃和方案的基本方法，有計劃，有步驟的開展經濟安全的網絡建設工作的基本步驟。詳細分析網絡安全的內部和外部因素，物理安全和系統(tǒng)安全，從宏觀角度探討網絡安全的基本策略。最后提出系統(tǒng)安全分析與實現(xiàn)策略研究，針對不同級別，不同層次的，不同類型的安全問題，從微觀角度分析和探討網絡安全存在的隱患遺跡相應的解決對策，概括常用的安全技術方法和實施措施。在研究網絡數(shù)據(jù)包捕獲、TCP/IP原理的基礎上，采用面向對象的方法進行了需求分析與功能設計,利用多方軟件支持，有效地進行企業(yè)網絡中的流量大小的監(jiān)控與管理，不盡能及時的發(fā)現(xiàn)威脅，而且能盡快的組織威脅的蔓延，保證網絡中的數(shù)據(jù)信息和重要文件等得到了有效的保護，是的企業(yè)的利益最大程度的優(yōu)化。利用現(xiàn)有和最新安全檢查技術，如網絡掃描。流量監(jiān)控等，通過掃描報告或流量記錄分析判斷網絡是否正常，及時發(fā)現(xiàn)網絡存在的入侵或安全漏洞。安全掃描時對網絡安全防御中的一項重要技術，其原理是采用仿真黑客入侵的手法測試系統(tǒng)上有沒有安全上的漏洞，對目標可能存在的已知安全漏洞進行逐項檢測。目標可以是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種對象。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密的可靠的安全性分析報告。關鍵字：網絡安全，密碼加密，流量監(jiān)控，網絡掃描目錄摘要 1目錄 2第一章引言 3第一節(jié)課題研究背景 3第二節(jié)目前發(fā)展現(xiàn)狀 3第三節(jié)本課題的的研究意義和你做的工作 3第二章中小企業(yè)網絡系統(tǒng)安全分析 5第一節(jié)中小企業(yè)網絡安全分析 5一、人為地無意失誤 5二、人為地惡意攻擊 5三、網絡軟件的漏洞和“后門” 5第二節(jié)網絡入侵手段 5一、信息收集 5二、探測分析系統(tǒng)的安全弱點 5三、實施攻擊 6第三節(jié)網絡安全防范體系設計原則 6一、網絡安全的木桶原則 6二、網絡信息安全的整體性原則 7三、安全性評價與平衡原則 7四、標準化與一致性原則 7五、技術與管理相結合原則 7六、統(tǒng)籌規(guī)劃，分步實施原則 7第三章中小企業(yè)網絡安全策略分析 8第一節(jié)入網訪問控制策略 9第二節(jié)網絡的權限控制 10第三節(jié)目錄級安全控制 10第四節(jié)屬性安全控制 11第五節(jié)網絡監(jiān)測和鎖定控制 14第四章信息加密 18一、密鑰和明文的設置 19二、明文置換 20三、置換后的置換表 20四、得到明文 21結論 22參考文獻 22致謝 23第一章引言第一節(jié)課題研究背景黑客攻擊平均每年為美國大型機構帶來的經濟損失高達3000萬美元，折合為其總營業(yè)額的2.2%。另據(jù)普華永道受英國貿易與工業(yè)部委托而進行的一項調查的結果顯示，英國去年由于安全問題而導致的損失達到了180億美元，這一水平與兩年前相比增長了50%左右。而最近中國一個網絡犯罪案例更是讓通信公司對安全問題有了進一步的重視，某高科技公司的工程師利用互聯(lián)網多次侵入某移動通信公司充值中心數(shù)據(jù)庫，竊取充值卡密碼并向他人銷售，造成該公司370多萬元人民幣的損失。據(jù)預測，安全問題所造成的損失還將繼續(xù)增長，越來越多的企業(yè)、用戶已經意識到安全問題的嚴重性。從這方面，可以看到移動泛在網絡下的安全問題值得我們去研究和探討。由于我國網絡安全和技術的發(fā)展時間相對較短，在核心技術方面與國外先進水平存在一定的差距。就更要加強網絡信息保密性、完整性和可用性的保護。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。第二節(jié)目前發(fā)展現(xiàn)狀近年來隨著Internet的飛速發(fā)展，計算機網絡的資源共享進一步加強，隨之而來的信息安全問題日益突出。據(jù)美國FBI統(tǒng)計，美國每年網絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發(fā)生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中，Internet/Intranet安全面臨著重大的挑戰(zhàn)，事實上，資源共享和安全歷來是一對矛盾。在一個開放的網絡環(huán)境中，大量信息在網上流動，這為不法分子提供了攻擊目標。而且計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯(lián)性等特征更為他們提供便利。他們利用不同的攻擊手段，獲得訪問或修改在網中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。當然，除了人為因素，網絡安全還在很大部分上由網絡內部的原因或者安全機制或者安全工具本身的局限性所決定，他們主要表現(xiàn)在：每一種安全機制都有一定的應用范圍和應用環(huán)境、安全工具的使用受到人為因素的影響、系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方、只要是程序，就可能存在BUG。而這一系列的缺陷，更加給想要進行攻擊的人以方便。因此，網絡安全問題可以說是由人所引起的第三節(jié)本課題的的研究意義和你做的工作本方案主要從網絡層次考慮，將網絡系統(tǒng)設計成一個支持各級別用戶或用戶群的安全網絡，該網在保證系統(tǒng)內部網絡安全的同時，還實現(xiàn)與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動等有害信息在網上傳播等。需要明確的是，安全技術并不能杜絕所有的對網絡的侵擾和破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的破壞后將損失盡旦降低。本課題主要設計的內容有：網絡流量的監(jiān)控和管理，這是對網絡最最直觀的控制，能利用流量的變化，更具經驗判斷是否是對網絡有威脅。其次是安全性登陸等級限制，這是由網絡管理員給每一個內部人員設定的代號密碼，利用登陸界面輸入賬號密碼，來實現(xiàn)登錄網絡的方法。方法如下：劃分安全區(qū)域。制訂安全策略，包括用戶訪問控制，定義訪問級別，確定服務類型。審核和過濾，僅符合安全策略的訪問和響應過程可以通過，拒絕其他訪問請求。根據(jù)對用戶需求的分析，企業(yè)內部網絡可以劃分為以下幾個安全區(qū)域：1外部網段低級無。提供網絡連接。2公共網段中級外部可訪問符合安全策略的網絡資源；內部可以更新和維護。3內部網段高級可自由訪問外部網絡資源；對外不可見。分屬三個安全區(qū)域的網段通過天網防火墻進行互連。在后，對密碼加密做了簡單的模擬加密，對密碼加密的流程進行了研究，并且了解了密碼是如何完成加密解密，是如何對有效信息的安全隱藏。第二章中小企業(yè)網絡系統(tǒng)安全分析第一節(jié)中小企業(yè)網絡安全分析計算機網絡所面臨的威脅大體上可分為兩種：一是對網絡中信息的威脅；二是對網絡種設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的。也可能是無意的，可能是人為的，也可能是非人為的?？赡苁峭鈦砗诳蛯W絡系統(tǒng)資源的非法使用，也可能是內部不法分子的惡意行為。歸結起來，針對網絡安全的威脅主要有以下幾方面：一、人為地無意失誤如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。二、人為地惡意攻擊這是計算機網絡所面臨的最大威脅，敵手的動機和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊。它以各種方式選擇的破壞信息的有效性和完整性；另一類是被動攻擊，他是在不影響網絡正常工作的情況下，進行截獲竊取、破譯已獲得中藥寂寞信息。這兩種攻擊均可對計算機網絡造成極大地危害，并導致機密數(shù)據(jù)的泄露。三、網絡軟件的漏洞和“后門”網絡軟件不可能百分之百無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外，軟件“后門”，都是軟件公司的設計人員為了自便而設置的，或黑客闖入計算機為方便在此入侵而設置。軟件編程人員設置的后門一般不為外人所知，但一旦“后門”洞開，就為入侵者提供了方便。四、網絡病毒網絡病毒大都市系統(tǒng)漏洞給病毒制造者提供可乘之機。第二節(jié)網絡入侵手段網絡防范的最大敵人是入侵者，為了更好的保護好網絡安全，網絡通常用以下的步驟和方式達到入侵的目的。一、信息收集信息收集是為了了解所要攻擊咪表的詳細信息，通常黑客利用相關的網絡協(xié)議或實用程序來收集，如用SNMP協(xié)議可用來查看路由器的路由表，了解咪表主機內部拓撲結構的細節(jié)，用TraceRoute程序可獲得達到目標主機所要經過的網絡企業(yè)網絡安全的規(guī)劃設計與實踐數(shù)和路由數(shù)，用Ping程序可以檢測一個制定主機的位置并確定是否達可達到等二、探測分析系統(tǒng)的安全弱點在收集到咪表的相關信息后，黑客回探測網絡上的每一臺主機，以尋求系統(tǒng)安全漏洞或安全弱點，黑客一般會實用Telnet.FTP等軟件向目標主機申請服務，如果目標主機有應答就說明開放了這些端口的服務。其次使用一些公開的工具軟件和Internet安全掃描程序ISS（InternetSecurityScanner）、網絡安全分析工具SATAN等對整個網絡或子網進行掃描，尋求系統(tǒng)的安全漏洞，獲取攻擊目標的非法訪問權。三、實施攻擊在獲得了目標系統(tǒng)的非法訪問權以后，黑客一般會實施以下攻擊：（一）試圖毀掉入侵痕跡，并在收到攻擊的目標系統(tǒng)中建立新的安全漏洞或后門，一邊在先前的攻擊點被發(fā)現(xiàn)后能繼續(xù)訪問搞系統(tǒng)。（二）在目標系統(tǒng)安裝探測軟件，如特洛伊木馬程序，用來窺探目標系統(tǒng)的活動，繼續(xù)收集黑客感興趣的一切信息，如賬號與口令等銘感數(shù)據(jù)。（三）進一步發(fā)現(xiàn)目標系統(tǒng)的信任等級，以展開對整個系統(tǒng)的攻擊。（四）如果黑客在被攻擊目標系統(tǒng)上獲得了特權訪問權，那么他就可以讀取郵件，搜索和盜取私人文件，毀壞重要數(shù)據(jù)一致破壞整個網絡系統(tǒng)，那么后果不堪設想。（五）密碼破解，通常采用的攻擊方式有字典攻擊，假登陸程序，密碼探測程序等來獲取系統(tǒng)或用戶的口令文件。（六）IP欺騙（Spoofing）與嗅探（Snifing）欺騙是一種主動的攻擊，即將網絡上的某臺計算機偽裝成另一臺不同主機，目的是欺騙網絡中的其他計算機誤將冒名頂替者當做原始的計算機而向其發(fā)送數(shù)據(jù)或容許他修改數(shù)據(jù)。（七）系統(tǒng)漏洞漏洞是指程序在設計、實現(xiàn)和操作上存在錯誤。由于程序或軟件的功能一般都比較復雜，程序員再設計和調試過程中總有考慮欠缺的地方，絕大部分軟件在使用過程中都需要不斷地改進與完善。（八）端口掃描由于計算機與外界通信都必須通過端口才能進行，黑客可以利用一些端口掃描軟件如SATAN?；騂acker等對被攻擊者的目標計算機端口掃描，查看該機器的那些端口是開放的，由此可以知道與目標計算機能進行那些通信服務。第三節(jié)網絡安全防范體系設計原則根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE--CMM（系統(tǒng)安全工程能力成熟模型）和ISO17799（信息安全管理標準）等國家標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡行等方面，網絡完全防范體系在整體設計過程中應遵循以下7項原則：一、網絡安全的木桶原則網絡信息安全的木桶原則是指對信息均衡。全面的進行保護?！澳就暗淖畲笕莘e取決于最短的一塊木板”。網絡信息系統(tǒng)是一個復雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構成了系統(tǒng)的安全脆弱性，尤其是用戶網絡系統(tǒng)自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬進攻）是設計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設計的首要目的是防止最常見的攻擊手段，根本的是提高整個系統(tǒng)的“安全最低點”的安全性能。二、網絡信息安全的整體性原則要求在網絡發(fā)生被攻擊、破壞時間的情況下，必須盡可能的快速回復網絡信息中心的服務，減少損失。因此信息安全系統(tǒng)應高包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據(jù)具體存在的各種安全威脅采用的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止隊系統(tǒng)進行各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地回復信息，減少供給的破壞程度。三、安全性評價與平衡原則對任何網絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的使用安全性與用戶需求評價與評衡體系。安全體系要正確處理需求、風險與代價的關系。做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶、需求和具體的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性能和西西的重要程度。四、標準化與一致性原則系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的實際必須遵循一系列的標準，這樣才能確保各分系統(tǒng)的一致性，是整個系統(tǒng)安全地互聯(lián)互通、信息共享。五、技術與管理相結合原則安全體系是一個復雜的工程，涉及人，技術，操作等要素。單靠技術或單靠管理都不可能實現(xiàn)。因此必須將各種安全技術與隱性管理機制，人員思想教育與技術培訓、安全規(guī)章制度建設相結合。六、統(tǒng)籌規(guī)劃，分步實施原則由于政策規(guī)定、服務需求的不明朗，環(huán)境，條件，時間變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規(guī)劃下，根據(jù)網絡的實際需求，縣建設基本的安全體系，保證基本的，必須的安全性。隨這今后隨著網絡規(guī)模的擴大應用的增加，網絡應用和復雜程度的變化，網絡脆弱性也會不斷增加，調整或增強安全防范力度，保證整個網絡最根本的安全需求。第三章中小企業(yè)網絡安全策略分析網絡拓撲結構對整個網絡的運行效率、技術性能發(fā)揮、可靠性等方面都有著重要的影響，確立網絡的拓撲結構是整個網絡方案規(guī)劃設計的基礎。其主要包括結構的選擇、地理環(huán)境分布、傳輸介質、訪問控制等。根據(jù)貴公司的實際地理環(huán)境，傳輸距離等因素，也考慮到費用的投入，本方案主要采用倒樹型分層拓撲結構。拓撲圖設計，見圖3—1圖3—1網絡拓補結構DNS53,tcp/udp域名服務WWW80,tcpWWW服務SMTP/POP325/110,tcp電子郵件FTP21/20,tcp文件傳輸服務根據(jù)網絡安全解決方案中的用戶需求、網絡拓撲以及制定的安全策略，防火墻采取以下配置方案：類別項目IP地址/掩碼說明NetworksPubic_Network06/30Internal_Network/20/24外部網絡07/308/30內部網絡/24/242511路由器廣域網接口2511路由器局域網接口/24公共服務器Web/24DNSMailFtp/24/24內部工作站CONSOLE/24網管工作站路由設置目的網絡/掩碼網關地址/06DNS設置8系統(tǒng)紀綠輸出地址CONSOLE第一節(jié)入網訪問控制策略入網訪問控制策略為網絡訪問提供了第一層訪問控制。它控制那些用戶能夠登錄打服務器并獲取網絡資源，控制準許用戶入網時間和準許他們在哪臺工作站入網。用戶的入網訪問控制科分為三步驟：（一）用戶名的識別與驗證:如圖3—2圖3—2登錄用戶名（二）用戶口令的識別與驗證:如圖3—3圖3—3登錄密碼第二節(jié)網絡的權限控制網絡的權限控制是針對網絡非法操作所提供的一種安全保護措施。用戶和用戶被賦予一定的權限。網絡控制用戶和用戶可以訪問哪些目錄。子目錄文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備、繼承權限屏蔽相當于一個過濾器?？梢韵拗谱幽夸洀母改夸浤抢锢^承哪些權限。我們可以根據(jù)訪問權限將用戶分為以下幾種類：①特權用戶（即系統(tǒng)管理員）②一般用戶。系統(tǒng)管理員根據(jù)他們的實際需求為他們分配操作權限；③審計用戶，負責網絡的安全控制與資源使用情況的審核。第三節(jié)目錄級安全控制網絡應允控制用戶對目錄、文件、設備的訪問。用戶在目錄一級制定的權限對所有文件和子目錄有效，用戶還可以一步制定對目錄下的子目錄和文件權限。對目錄和文件的訪問權限一般分為8種：系統(tǒng)管理員權限（supervisor）讀權限（read）寫權限（write）創(chuàng)建權限（create）刪除權限（erase）修改權限（modify）文件查找權限（filescan）存儲控制權限（accesscontrol）用戶對文件或目標有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統(tǒng)管理員應當為用戶制定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。8中訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制對服務器資源的訪問。從而加強了網絡和服務器的安全性。第四節(jié)屬性安全控制當用文件、目錄和網絡設備是，網絡系統(tǒng)管理員應給文件目錄制定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的分揀、目錄和網絡設備聯(lián)系起來、屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都預先標出一組安全屬性、用戶對網絡資源的訪問對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以制定的任何受托者指派和有效權限。屬性往往能控制一下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱藏文件、共享。系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。防止用戶對目錄和文件的誤刪除、執(zhí)行修改。顯示等。（一）進入選項設置右擊“我的電腦”>管理>本地用戶和組>用戶>新建一個用戶比如shareuser，給他設置密碼，這個密碼就使我們準備給共享用戶的密碼，默認情況下此用戶是隸屬于users組的，不需要修改所屬組1.刪除不再使用的賬戶，禁用guest賬戶⑴檢查和刪除不必要的賬戶右鍵單擊“開始”按鈕，、打開“資源管理器”，選擇“控制面板”中的“用戶和密碼”項；在彈出的對話框中中列出了系統(tǒng)的所有賬戶。確認各賬戶是否仍在使用，刪除其中不用的賬戶。如圖3—5所示圖3—5用戶賬戶管理⑵禁用guest賬戶為了便于觀察實驗結果，確保實驗用機在實驗前可以使用guest賬戶登陸。打開“控制面板”中的“管理工具”，選中“計算機管理”中“本地用戶和組”，打開“用戶”，右鍵單擊guest賬戶，對話框中“帳戶已停用”一欄前打勾。確定后，觀察guest前的圖標變化，并再次試用guest用戶登陸，記錄顯示的信息。如圖3—6所示圖3—6賬戶禁用（二）進行權限設置２．啟用賬戶策略⑴設置密碼策略打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項，可按照需要改變密碼特性的設置。根據(jù)你選擇的安全策略，嘗試對用戶的密碼進行修改以驗證策略是否設置成功，記錄下密碼策略和觀察到的實驗結果。⑵設置賬戶鎖定策略打開“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”。雙擊“帳戶鎖定策略”。在右窗口中雙擊“賬戶鎖定閥值”，在彈出的對話框中設置賬戶被鎖定之前經過的無效登陸次數(shù)（如3次），以便防范攻擊者利用管理員身份登陸后無限次的猜測賬戶的密碼。在右窗口中雙擊“賬戶鎖定時間”，在彈出的對話框中設置賬戶被鎖定的時間（如20min）。如圖3—7圖3—7用戶選型設置重啟計算機，進行無效的登陸（如密碼錯誤），當次數(shù)超過3次時，記錄系統(tǒng)鎖定該賬戶的時間，并與先前對“賬戶鎖定時間”項的設置進行對比。３．開機時設置為“不自動顯示上次登陸賬戶”右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”，并在彈出的窗口右側列表中選擇“登陸屏幕上不要顯示上次登陸的用戶名”選項，啟用該設置。設置完畢后，重啟機器看設置是否生效。如圖3—8所示。圖3—8登錄顯示修改４．禁止枚舉賬戶名右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管理工具”選項，雙擊“本地安全策略”項，選擇“本地策略”中的“安全選項”，并在彈出的窗口右側列表中選擇“對匿名連接的額外限制”項，在“本地策略設置”中選擇“不允許枚舉SAM賬戶和共享”。如圖：3—9所示圖：3—9密碼限制屬性第五節(jié)網絡監(jiān)測和鎖定控制網絡管理員對應網絡實時監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的主意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。（一）監(jiān)控網絡流量大小實時監(jiān)視網絡中流量的變化，流量過大時視為危險信號。在企業(yè)中進行這樣的管理能夠對網絡進行監(jiān)控，對點對點流量過大，或是一點對多點流量過大，進行實施的檢測，并且可以認為流量過大是對整個網絡環(huán)境，進行有威脅的廣播掃描，這時網絡管理員可以對此端點進行限制或者關閉此端口。有效的保證了網絡中的非法廣播的蔓延。如下圖：3—10所示圖：3—10網絡中流量監(jiān)控圖（二）流量大小數(shù)字的形式，表現(xiàn)所有連接到本網絡中的流量，ip地址，數(shù)據(jù)包大小等等，觀測點對點的流量大小，利用數(shù)字能夠比線條更直觀，有利于對整個網絡的健康狀況進行準確的分析，對一些流量大的ip地址能夠有效的判斷出是哪個部門，那個樓什么位置，能夠對網絡中的威脅迅速做出攔截和阻止。網絡管理員不需要做很繁瑣的操作就能知道整個網絡是否運行良好。如圖3—11所示圖3—11ip地址列表（三）網絡端口和節(jié)點的安全控制網絡中服務器的端口往往實用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器擁擠防范黑客的自動撥號程序對計算機的進攻。網絡還常對服務器端和用戶端采取控制，用戶必須己帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶和服務器端在進行相互驗證。如圖3—12所示圖3—12端口和節(jié)點（四）協(xié)議控制記錄各個協(xié)議的流量大小，協(xié)議對于網絡來說至關重要的，他不僅包含了雙方的承諾，還具有連同條件等重要信息，協(xié)議的監(jiān)控能夠幫助網絡管理員，詳細的知道是否有黑客對本網絡進行什么樣的攻擊，是否對網絡協(xié)議進行頻繁的攻擊，如果一點不能阻止黑客的進攻，還可以對協(xié)議進行禁用，這樣能夠更減少外來威脅給網絡環(huán)境，用戶利益帶來的損失。如圖3—13所示圖3—13控制列表協(xié)議（五）Tcp/ip和物理地址的監(jiān)控物理地址是唯一的，不可變的，一但對里地址進行監(jiān)控，也就是說鎖定了網段的中的真正的用戶地址，這樣一旦物理地址被禁用，不管是在網絡正的任何接口都不能連接網絡，更不能對網絡進行攻擊，大大提高了網絡的安全性。如圖3—14所示圖3—14TCP/IP（六）安全日志安全日志登記使網絡管理基本手段，定期登記安全檢查記錄，對發(fā)現(xiàn)不安全因素應及時登記，為后續(xù)的安全工作提供方便。在方便的同時，網絡管理員可以對各個不同網段的記錄進行分析，對于威脅高發(fā)生的網段進行調整或者強制限制，對用戶的權限進行限制等操作。對日志的要定期查詢，定期更新和隊能夠登錄日志的權限驚醒定期的更改和設置更高的權限，老保證不被惡意篡改。如圖3—15所示圖3—15安全日志第四章信息加密信息加密的目的是保護網內的數(shù)據(jù)、文件、口令和控制信息，保護網上傳輸?shù)臄?shù)據(jù)。網絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網絡節(jié)點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護，用戶可根據(jù)網絡情況酌情選擇上述加密方式。公鑰密碼的優(yōu)點是可以適應網絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便實現(xiàn)數(shù)字簽名和驗證。但其算法復雜。加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術和密碼技術得發(fā)展，公鑰密碼算法將是一種有前途得網絡安全加密體制。一、密鑰和明文的設置與同組主機協(xié)商好一個密鑰詞組k=

duxiang

。明文：

wojiaoduxiang。如圖4—1所示圖4—1明文和置換表將解密后的明文與同組主機記錄的明文對照，如果雙方的明文一致，則說明實驗成功，否則說明本機或同組主機的置換表計算錯誤。由統(tǒng)計學得出的英文字母相對頻率表。由圖4—2可以看出，英文字母E出現(xiàn)的