企業(yè)內(nèi)網(wǎng)的安全性研究及品牌4S店二手車置換的發(fā)展前景分析

目錄緒論 3第一章：企業(yè)網(wǎng)絡(luò)安全分析 4一、現(xiàn)狀分析 41.1Internet的安全性 41.2．企業(yè)內(nèi)網(wǎng)的安全性 51.3項目背景 51.4項目分析 71.4.1安全設(shè)備分布 71.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀 81.4.3服務(wù)器部署現(xiàn)狀 81.4.4客戶端計算機 91.4.5無線局域網(wǎng)安全現(xiàn)狀 91.4.6網(wǎng)絡(luò)隱患、風(fēng)險分析 101.5項目需求 121.5.1網(wǎng)絡(luò)安全需求 121.5.2網(wǎng)絡(luò)訪問安全需求 131.6項目規(guī)劃 131.6.1服務(wù)器安全規(guī)劃 141.6.2客戶端安全規(guī)劃 151.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃 161.6.4無線準備安全規(guī)劃 171.6.5防火墻、IDS、IPS規(guī)劃 181.6.6局域網(wǎng)接入安全規(guī)劃 191.6.7Internet接入安全規(guī)劃 191.6.8遠程接入安全規(guī)劃 201.6.9網(wǎng)絡(luò)可靠性規(guī)劃 21第二章：企業(yè)網(wǎng)絡(luò)安全的實際應(yīng)用 212.1企業(yè)網(wǎng)絡(luò)安全實施 212.2網(wǎng)絡(luò)傳輸?shù)膶嵤?222.3訪問控制 252.4入侵檢測 252.5漏洞掃描 262.6其它 272.6.1應(yīng)用系統(tǒng)安全 272.6.2系統(tǒng)平臺安全 272.6.3應(yīng)用平臺安全 272.7病毒防護 272.8產(chǎn)品應(yīng)用 282.9數(shù)據(jù)備份 312.10安全審計 322.11認證、鑒別、數(shù)字簽名、抗抵賴 322.12物理安全 332.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換 332.14應(yīng)用 332.15防電磁輻射 332.16網(wǎng)絡(luò)防雷 342.17重要信息點的物理保護 34武漢理工大學(xué)華夏學(xué)院畢業(yè)論文PAGEPAGE39武漢理工大學(xué)華夏學(xué)院畢業(yè)論文摘要網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程體現(xiàn)。網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。建立了一套網(wǎng)絡(luò)安全系統(tǒng)是必要的。

緒論隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在企業(yè)網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題。

第一章：企業(yè)網(wǎng)絡(luò)安全分析隨著企業(yè)信息化的不斷推進，各企業(yè)都相繼建成了自己的企業(yè)網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，企業(yè)網(wǎng)在企業(yè)的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著企業(yè)網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長，尤其是企業(yè)網(wǎng)絡(luò)所面對的使用群體的特殊性（擁有一定的網(wǎng)絡(luò)知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證企業(yè)網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩?，F(xiàn)狀分析隨著國內(nèi)計算機和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是，Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。如何使信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。大型企業(yè)不斷發(fā)展的同時其網(wǎng)絡(luò)規(guī)模也在不斷的擴大，由于其自身業(yè)務(wù)的需要，在不同的地區(qū)建有分公司或分支機構(gòu)，本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個更加龐大的網(wǎng)絡(luò)。這樣一個網(wǎng)網(wǎng)相連的企業(yè)網(wǎng)為企業(yè)提高了效率、增加企業(yè)競爭力，同樣，這樣復(fù)雜的網(wǎng)絡(luò)面臨更多的安全問題。首先本地網(wǎng)絡(luò)的安全需要保證，同時總部與分支機構(gòu)、分支機構(gòu)之間的機密信息傳輸問題，以及集團的設(shè)備管理問題，這樣的網(wǎng)絡(luò)使用環(huán)境一般存在下列安全隱患和需求：1.1Internet的安全性目前互聯(lián)網(wǎng)應(yīng)用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網(wǎng)絡(luò)安全建設(shè)已經(jīng)迫在眉捷。1.2．企業(yè)內(nèi)網(wǎng)的安全性企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。具體表現(xiàn)如下：? 計算機病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播。? 內(nèi)部網(wǎng)絡(luò)可能被外部黑客攻擊。? 對外的服務(wù)器（如：www、ftp、郵件服務(wù)器等）沒有安全防護，容易被黑客攻擊。? 內(nèi)部某些重要的服務(wù)器或網(wǎng)絡(luò)被非法訪問，造成信息泄密。? 內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內(nèi)部網(wǎng)絡(luò)的安全隱患。? 分支機構(gòu)網(wǎng)絡(luò)安全問題。? 大量的垃圾郵件占用網(wǎng)絡(luò)和系統(tǒng)資源，影響正常的工作。? 分支機構(gòu)網(wǎng)絡(luò)和總部網(wǎng)絡(luò)連接安全和之間數(shù)據(jù)交換的安全問題。? 遠程、移動用戶對公司內(nèi)部網(wǎng)絡(luò)的安全訪問。1.3項目背景假設(shè)某企業(yè)擁有員工2000余人，公司總部坐落在省會城市高新技術(shù)開發(fā)區(qū)，包括4個生產(chǎn)車間和兩棟職工宿舍樓，產(chǎn)品展示、技術(shù)開發(fā)與企業(yè)辦公均在總公司進行。該企業(yè)在外地另開設(shè)有兩家分公司，由總公司進行統(tǒng)一管理和部署。目前，該企業(yè)的拓撲結(jié)構(gòu)圖如圖1-1所示，基本情況如下。1、公司局域網(wǎng)已經(jīng)基本覆蓋整個廠區(qū)，中心機房位于總公司，職工宿舍樓和生產(chǎn)車間均有網(wǎng)絡(luò)覆蓋。2、網(wǎng)絡(luò)拓撲結(jié)構(gòu)為“星型+樹型”，接入層交換機為CiscoCatalyst2960，匯聚層交換機為CiscoCatalyst3560，核心層交換機為CiscoCatalyst35603、現(xiàn)有接入用戶數(shù)量為500個，客戶端均使用私有IP地址，通過防火墻或代理服務(wù)器接入Internet。部分服務(wù)器IP地址為公有IP地址。4、Internet接入?yún)^(qū)的防火墻主要提供VPN接入功能，用于遠程移動用戶或子公司網(wǎng)絡(luò)提供遠程安全訪問。5、會議室、員工宿舍等場所部署無線接入點，實現(xiàn)隨時隨地?zé)o線漫游接入。6、服務(wù)器操作系統(tǒng)平臺多為WindowsServer2003和WindowsServer2008系統(tǒng)。客戶端系統(tǒng)為WindowsXPProfessional和Windows77、網(wǎng)絡(luò)中部署有Web服務(wù)器，為企業(yè)網(wǎng)站運行平臺。8、企業(yè)網(wǎng)絡(luò)辦公平臺為WSS，文件服務(wù)器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。9、E-mail、RTX為用戶員工之間的彼此交流，以及企業(yè)與外界的通信網(wǎng)絡(luò)。10、打印服務(wù)和傳真服務(wù)主要滿足企業(yè)用戶網(wǎng)絡(luò)辦公的應(yīng)用。11、企業(yè)分支結(jié)構(gòu)通過VPN方式遠程接入總部局域網(wǎng)，并且可以訪問網(wǎng)絡(luò)中的共享資源。圖1-1項目背景1.4項目分析在普通小型局域網(wǎng)中，最常見的安全防護手段就是在路由器后部署一道防火墻，甚至安全需求較低的網(wǎng)絡(luò)并無硬件防火墻，只是在路由器和交換機上進行簡單的訪問控制和數(shù)據(jù)包篩選機制就可以了。但是，在較大的企業(yè)網(wǎng)絡(luò)中，許多重要應(yīng)用都要依賴網(wǎng)絡(luò)，勢必對網(wǎng)絡(luò)的安全性的要求高一些，在部署網(wǎng)絡(luò)安全設(shè)備的同時，必須輔助多種訪問控制與安全配置措施，加固網(wǎng)絡(luò)安全。1.4.1安全設(shè)備分布防火墻由于企業(yè)局域網(wǎng)采用以太網(wǎng)接入方式，所以直接使用防火墻充當接入設(shè)備，部署在網(wǎng)絡(luò)邊緣，防火墻連接的內(nèi)網(wǎng)路由器上配置訪問列表和靜態(tài)路由信息。另外，在會議室、產(chǎn)品展示廳等公共環(huán)境中的匯聚交換機和核心交換機之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風(fēng)險通過核心設(shè)備傳播到整個網(wǎng)絡(luò)。IPSIPS（IntrusionPreventionSystem，入侵防御系統(tǒng)）部署在Internet接入?yún)^(qū)的路由器和核心交換機之間，用于掃描所有來自Internet的信息，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和制定解決方案。IDSIDS（InternetDetectionSystem，入侵檢測系統(tǒng)）本身是一個典型的探測設(shè)備，類似于網(wǎng)絡(luò)嗅探器，無需轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集相應(yīng)的報文即可。IDS無法跨越物理網(wǎng)段收集信息，只能收集所在交換機的某個端口上的所有數(shù)據(jù)信息。該網(wǎng)絡(luò)中的IDS部署在安全需求最高的服務(wù)區(qū)，用于實時偵測服務(wù)器區(qū)交換機轉(zhuǎn)發(fā)的所有信息，對收集來的報文，IDS將提取相應(yīng)的流量統(tǒng)計特征值，并利用內(nèi)置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據(jù)默認的閥值，匹配耦合度較高的報文流量將被認為是進攻，IDS將根據(jù)相應(yīng)的配置進行報警或進行有限度的反擊。CiscoSecurityMARSCiscoSecurityMARS(MonitoringAnalysisResponseSystem)是基于設(shè)備的全方位解決方案，是網(wǎng)絡(luò)管理的關(guān)鍵組成部分。MARS可以自動識別、管理并抵御安全威脅，它能與現(xiàn)有網(wǎng)絡(luò)和安全部署協(xié)作，自動識別并隔離網(wǎng)絡(luò)威脅，同時提出準確的清除建議。在本例企業(yè)網(wǎng)絡(luò)中，MARS直接連接在核心交換機上，用于收集經(jīng)過核心交換機的所有數(shù)據(jù)信息，自動生成狀態(tài)日志，供管理員調(diào)閱。1.4.2網(wǎng)絡(luò)設(shè)備安全現(xiàn)狀當網(wǎng)絡(luò)中的交換機、路由器等網(wǎng)絡(luò)設(shè)備都是可網(wǎng)管的智能設(shè)備，并且提供Web管理方式，同時配置了基本的安全防御措施，如登陸密碼、用戶賬戶權(quán)限等。交換機和路由器安全設(shè)置交換機的主要功能就是提供網(wǎng)絡(luò)所需的接入接口。目前，該網(wǎng)絡(luò)中基于交換機的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進行任何高級安全配置，如流量控制，遠程監(jiān)控、IEEE802.1x安全認證等，存在較大的安全隱患。企業(yè)網(wǎng)絡(luò)采用以太網(wǎng)接入Internet,而網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)防火墻已具備接入功能，所以該網(wǎng)絡(luò)中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網(wǎng)絡(luò)地址轉(zhuǎn)換，可以滿足基本的安全要求。辦公設(shè)備安全配置企業(yè)網(wǎng)絡(luò)中的集中辦公設(shè)備包括打印機和傳真機，均支持網(wǎng)絡(luò)接入功能，部署在樓層的集中辦公區(qū)。由于缺乏訪問權(quán)限控制措施，致使網(wǎng)絡(luò)打印機和傳真機被濫用，造成不必要的資源浪費。另外，用戶計算機到打印機之間的數(shù)據(jù)傳輸是未經(jīng)加密的明文，存在一定的安全隱患。1.4.3服務(wù)器部署現(xiàn)狀網(wǎng)絡(luò)中應(yīng)用服務(wù)器包括域控制器、DHCP服務(wù)器、文件服務(wù)器、傳真服務(wù)器、網(wǎng)絡(luò)辦公平臺、數(shù)據(jù)庫服務(wù)器等，其中有許多網(wǎng)絡(luò)服務(wù)合用一臺服務(wù)器，網(wǎng)絡(luò)中共有服務(wù)器10臺，通過單獨的交換機高速連接至核心交換機，完全采用鏈路冗余結(jié)束雙線連接，確保連接的可靠性。所有服務(wù)器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠程終端功能，用戶可以使用有效的管理員賬戶憑據(jù)遠程登錄服務(wù)器，實現(xiàn)相應(yīng)的配置與管理任務(wù)。1.4.4客戶端計算機客戶端計算機主要以Windows操作系統(tǒng)為主，極少數(shù)用戶是運行Linux和MacOS操作系統(tǒng)?？蛻舳擞嬎銠C的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個人防火墻、殺毒軟件等。因此，由于個別客戶端感染病毒而導(dǎo)致網(wǎng)絡(luò)癱瘓的問題時有發(fā)生。對于Windows系統(tǒng)而言，應(yīng)用最多的WindowsXPProfessional和WindowsVista系統(tǒng)已經(jīng)集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、WindowsDefender、WindowsUpdate等，客戶端用戶只需對這些功能簡單配置，即可增強系統(tǒng)安全性。另外，對于中型規(guī)模的企業(yè)網(wǎng)絡(luò)而言，統(tǒng)一的網(wǎng)絡(luò)管理才是最重要的。例如，統(tǒng)一配置客戶端計算機安全功能、增強網(wǎng)絡(luò)訪問控制、部署NAP系統(tǒng)、部署WSUS服務(wù)器等。1.4.5無線局域網(wǎng)安全現(xiàn)狀在企業(yè)網(wǎng)絡(luò)中部署無線局域網(wǎng)，延伸了有線局域網(wǎng)的覆蓋范圍，避免網(wǎng)絡(luò)布線對現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自由訪問網(wǎng)絡(luò)，充分享受無線暢游的便利。但是，由于無線網(wǎng)絡(luò)傳輸?shù)奶厥庑?，無線局域網(wǎng)的安全問題也是不容忽視的。該企業(yè)網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全問題，主要表現(xiàn)在以下幾個方面。WEP密鑰發(fā)布問題802.11本身并未規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關(guān)的安全渠道送到了工作站點上，而在實際應(yīng)用中，一般都是手工設(shè)置，并長期固定使用4個可選密鑰之一。因此，當工作站點增多時，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。2.WEP用戶身份認證方法的缺陷802.11標準規(guī)定了兩種認證方式：開放系統(tǒng)認證和共享密鑰認證。開發(fā)系統(tǒng)認證是默認的認證方法，任何移動站點都可加入BSS（BasicServiceSet,基本服務(wù)集），并可以跟AP（AccessPoint,接入點）通信，能“聽到”所有未加密的數(shù)據(jù)，可見，這種方法根本密鑰提供認證，也就不存在安全性。共享密鑰認證是一種請求響應(yīng)認證機制：AP在收到工作站點STA（StaticTimingAnalysis，靜態(tài)時序分析）的請求接入消息時發(fā)送詢問消息，STA對詢問消息使用共享密鑰進行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數(shù)字運算就可以得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應(yīng)消息通過AP認證后接入WLAN。3.SSID和MAC地址過濾WEP服務(wù)集標識SSID由Lucent公司提出，用于對封閉網(wǎng)絡(luò)進行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護的網(wǎng)絡(luò)。但由于SSID和MAC地址很容易被竊取，因此安全性較低。4．WEP加密機制的天生脆弱性WEP加密機制的天生脆弱性是受網(wǎng)絡(luò)攻擊的最主要原因，WEP2算法作為802.11i的安全標準，對現(xiàn)有系統(tǒng)改進相對較小并易于實現(xiàn)。1.4.6網(wǎng)絡(luò)隱患、風(fēng)險分析企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：1內(nèi)部竊密和破壞企業(yè)網(wǎng)絡(luò)上同時接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，并進一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號和口令、重要文件等)，因此這種風(fēng)險是必須采取措施進行防范的。2搭線(網(wǎng)絡(luò))竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。企業(yè)網(wǎng)絡(luò)系統(tǒng)來講，由于存在跨越INTERNET的內(nèi)部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。3假冒這種威脅既可能來自企業(yè)網(wǎng)內(nèi)部用戶，也可能來自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。4完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取安全措施的服務(wù)器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。5其它網(wǎng)絡(luò)的攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進行防范。6管理及操作人員缺乏安全知識由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對信息安全的重要性與技術(shù)認識不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。7雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。1.5項目需求由于該公司的主要業(yè)務(wù)為高新產(chǎn)品的開發(fā)和生產(chǎn)，掌握眾多機密信息，并且下設(shè)多個部門，所以對網(wǎng)絡(luò)安全性和穩(wěn)定性要求比較高。無論是基礎(chǔ)網(wǎng)絡(luò)還是客戶端都必須嚴格做好安全防御工作。1.5.1網(wǎng)絡(luò)安全需求綜合項目成本和實際應(yīng)用等多方面因素，可以從如下幾個方面滿足用戶需求。一、將防火墻部署在網(wǎng)絡(luò)邊緣，用于隔離來自Internet的所有網(wǎng)絡(luò)風(fēng)險。二、在路由器和核心交換機之間部署IPS，對全網(wǎng)的所有Internet通信進行檢測，以便可以自動阻止、調(diào)整或隔離非正常網(wǎng)絡(luò)請求和危險信息的傳輸。三、生產(chǎn)區(qū)和辦公區(qū)分別通過匯聚交換機連接至核心交換機，在相應(yīng)的匯聚交換機上分別進行適當?shù)陌踩O(shè)置，將可能存在的安全風(fēng)險因素隔離在網(wǎng)絡(luò)局部。四、在辦公區(qū)網(wǎng)絡(luò)中，將安全需求和應(yīng)用需求不同的用戶指定到不同的VLAN中，充分確保部門內(nèi)部和部門間的信息安全。五、在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點以及無線接入點連接的交換機上，分別部署相應(yīng)的安全防御措施，如IEEE802.1x認證、禁止廣播SSID、WEP加密等。六、網(wǎng)絡(luò)管理區(qū)和服務(wù)器區(qū)直接連接至核心交換機，以確保網(wǎng)絡(luò)傳輸?shù)目煽啃?。網(wǎng)絡(luò)管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網(wǎng)絡(luò)中所有通過核心交換機的數(shù)據(jù)通信，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應(yīng)的解決方案。七、為了確保服務(wù)器的安全，在服務(wù)器集中區(qū)部署IDS，可以對服務(wù)區(qū)網(wǎng)絡(luò)以及系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。1.5.2網(wǎng)絡(luò)訪問安全需求由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進行集中管理，防止機密信息外泄。另外，本公司在外地設(shè)有分公司，只能通過遠程接入方式訪問內(nèi)部網(wǎng)絡(luò)資源，可以借助VPN技術(shù)實現(xiàn)加密傳輸，充分確保信息安全。目前，該網(wǎng)絡(luò)中網(wǎng)絡(luò)訪問安全需求如下。一、客戶端更新需要集中管理。大多數(shù)用戶都已啟用WindowsUpdate功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網(wǎng)絡(luò)帶寬。另外，還有部分用戶并未開啟WindowsUpdate功能，存在可能招致網(wǎng)絡(luò)攻擊的安全漏洞。二、網(wǎng)絡(luò)病毒不得不防。網(wǎng)絡(luò)病毒和攻擊是目前最主要的信息安全威脅因素。網(wǎng)絡(luò)病毒的防御工作絕非一蹴而就，必須從各方面嚴格防范。通常情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護作用，但是未能升級病毒庫同樣可能感染病毒。更嚴重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險的。三、網(wǎng)絡(luò)訪問控制需求。網(wǎng)絡(luò)中缺乏嚴格的訪問控制措施，用戶只需使用相應(yīng)的用戶賬戶和密碼即可接入網(wǎng)絡(luò)和訪問共享資源，而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計算機已經(jīng)感染病毒，則病毒可能通過網(wǎng)絡(luò)快速蔓延至整個網(wǎng)絡(luò)的所有分支。四、遠程訪問安全的保護。遠程接入是該網(wǎng)絡(luò)中的重要應(yīng)用之一，用于實現(xiàn)分公司網(wǎng)絡(luò)到總公司網(wǎng)絡(luò)的互聯(lián)。遠程訪問VPN技術(shù)本身就是具有一定的安全性，同時采用隧道和加密等多種技術(shù)，但是為了確保遠程訪問的安全，應(yīng)加強遠程訪問的保護與控制。1.6項目規(guī)劃網(wǎng)絡(luò)安全與網(wǎng)絡(luò)應(yīng)用是相互制約和影響的。網(wǎng)絡(luò)應(yīng)用需要安全措施的保護，但是安全措施過于嚴格，就會影響到應(yīng)用的易用性。因此，部署網(wǎng)絡(luò)安全措施之前，必須經(jīng)過嚴格的規(guī)劃。另外，網(wǎng)絡(luò)安全的管理遍布網(wǎng)絡(luò)的所有分支，包括設(shè)備安全、訪問安全、服務(wù)器安全?？蛻舳税踩?。1.6.1服務(wù)器安全規(guī)劃服務(wù)器是企業(yè)網(wǎng)絡(luò)的重要基礎(chǔ)，其安全性將直接影響到企業(yè)網(wǎng)站以及網(wǎng)絡(luò)應(yīng)用的安全，甚至?xí)绊懙狡髽I(yè)的生存與發(fā)展。服務(wù)器的大部分應(yīng)用都是基于網(wǎng)絡(luò)操作系統(tǒng)等軟件實現(xiàn)的，因此，無論是應(yīng)用程序出錯，還是硬件故障都可能導(dǎo)致服務(wù)器癱瘓。若想做好服務(wù)器安全防護工作，必須從多方面入手。一、服務(wù)器硬件安全服務(wù)器硬件設(shè)備的維護主要包括增加和卸載設(shè)備、更換設(shè)備、工作環(huán)境維護等。因為服務(wù)器的運行是不間斷的，因此這些維護工作必須在確保服務(wù)器正常運行的狀態(tài)下進行。1、增加內(nèi)存和硬盤容量。服務(wù)器的內(nèi)存和硬盤都是支持熱插拔的，建議增加與原設(shè)備同廠商、同型號、同容量的內(nèi)存或硬盤，避免由于兼容性問題而導(dǎo)致服務(wù)器死機。2、定期為服務(wù)器除塵。很多服務(wù)器故障都是由于內(nèi)部灰塵導(dǎo)致的，因此建議管員每個月定期拆機打掃一次。3、控制機房溫度和濕度。雖然服務(wù)器對工作環(huán)境的要求比較寬泛，但是當服務(wù)器周邊環(huán)境比較惡劣時同樣會降低其處理速度和穩(wěn)定性。二、操作系統(tǒng)的安全服務(wù)器操作系統(tǒng)的安全是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略。1、對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內(nèi)部調(diào)用不對Internet公開，關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。2、應(yīng)用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能地減少應(yīng)用系統(tǒng)的漏洞。3、網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品。4、通過專業(yè)的安全工具（安全監(jiān)測系統(tǒng)）定期對網(wǎng)絡(luò)系統(tǒng)進行安全評估。三、網(wǎng)絡(luò)應(yīng)用服務(wù)安全局域網(wǎng)中常用的網(wǎng)絡(luò)服務(wù)包括WWW服務(wù)、FTP服務(wù)、DNS服務(wù)、DHCP服務(wù)、ActiveDirectory服務(wù)等，隨著服務(wù)器提供的服務(wù)越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對網(wǎng)絡(luò)服務(wù)的相關(guān)參數(shù)進行設(shè)置，以增強其安全性和穩(wěn)定性。通常情況下，網(wǎng)絡(luò)應(yīng)用服務(wù)安全可以分為如下4層。1、網(wǎng)絡(luò)與應(yīng)用平臺安全：主要包括網(wǎng)絡(luò)的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計算機系統(tǒng)安全性決定。2、應(yīng)用服務(wù)提供安全：主要包括應(yīng)用服務(wù)的可用性與可控性。服務(wù)可控性依靠服務(wù)接入安全以及服務(wù)防否認、服務(wù)防攻擊、國家對應(yīng)用服務(wù)的管制等方面來保障。服務(wù)可用性與承載業(yè)務(wù)網(wǎng)絡(luò)可靠性以及維護能力等先關(guān)。3、信息存儲于傳輸安全：主要包括信息在網(wǎng)絡(luò)傳輸和信息系統(tǒng)存儲時的完整性、機密性和不可否認性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發(fā)來保障；信息不可否認性可以依靠數(shù)字簽名等技術(shù)來保障。4、信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國家安全，泄露國家機密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動。1.6.2客戶端安全規(guī)劃目前，WindowsXP和Windows7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對固定的客戶端計算機加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個方面做好客戶端計算機的安全防御工作。一、對于加入域的計算機可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確?？蛻舳说陌踩?。二、對于未加入域的計算機，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識，通過設(shè)置登錄密碼、計算機鎖定、防火墻等方式，確保系統(tǒng)安全。三、在網(wǎng)絡(luò)中部署WSUS服務(wù)器，負責(zé)為所有客戶端計算機和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。四、在所有客戶端上部署Symantec網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動更新病毒庫功能。五、靈活部署和運用Windows防火墻、WindowsDefender等系統(tǒng)集成安全防護程序。1.6.3網(wǎng)絡(luò)設(shè)備安全規(guī)劃局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。網(wǎng)絡(luò)設(shè)備的脆弱性通常情況下，當用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時間內(nèi)保持相對穩(wěn)定地運行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個方面。1.提供不必要的網(wǎng)絡(luò)服務(wù)，提高了攻擊者的攻擊機會。2.存在不安全的配置，帶來不必要的安全隱患。3.不適當?shù)脑L問控制。4.存在系統(tǒng)軟件上的安全漏洞。5.物理上沒有得到安全存放，容易遭受臨近攻擊。針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統(tǒng)安全。1.禁用不必要的網(wǎng)絡(luò)服務(wù)。2.修改不安全的配置。3.利用最小特權(quán)原則嚴格對設(shè)備的訪問控制。4.及時對系統(tǒng)進行軟件升級。5.提供符合IPP（InformationProtectionPolicy，信息保護策略）要求的物理保護環(huán)境。二、部署網(wǎng)絡(luò)安全設(shè)備局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部攻擊。入侵檢測設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護內(nèi)部服務(wù)器或局域網(wǎng)的安全。三、IOS安全IOS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺。IOS與計算機操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進入網(wǎng)絡(luò)設(shè)備的IOS，進行各種破壞活動，從而影響網(wǎng)絡(luò)的正常運行。通常情況下，用戶可以從如下6個方面實現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS安全。1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。2、配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限。3、控制終端訪問安全，嚴格控制允許終端連接的數(shù)量，以及終端會話超時限制。4、配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。5、及時備份IOS映像，以便出現(xiàn)錯誤操作或遭遇攻擊時可以迅速恢復(fù)。6、升級IOS版本。IOS的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。1.6.4無線準備安全規(guī)劃無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴展，主要用于移動終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP（AccessPoint,無線接入點）主要分布在產(chǎn)品展示區(qū)和會議室，方面移動用戶隨時隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時尚，對于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點。在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。1、確保桌面計算機和服務(wù)器系統(tǒng)實現(xiàn)盡可能的安全。這種保護提高了攻擊的門檻，即使攻擊者進入了WLAN，仍然很難滲透進用戶的計算機。2、啟用無線AP和工作站所支持的最強WEP。同時，確保擁有一個強健的WEP密碼，這個密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強度規(guī)則。3、確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（SSID）不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。4、如果無線AP支持SSID廣播，應(yīng)當關(guān)閉。這個措施可以創(chuàng)建一個封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的SSID。5、使用IEEE802.1x身份驗證協(xié)議保護無線網(wǎng)絡(luò)的安全。6、在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點，實時監(jiān)測網(wǎng)絡(luò)攻擊情況。1.6.5防火墻、IDS、IPS規(guī)劃在安全性需求較高的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻、IDS和IPS。一、網(wǎng)絡(luò)防火墻防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點，通過設(shè)定一定的篩選機制來決定允許或拒絕數(shù)據(jù)包通過，實現(xiàn)對進入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。二、IDSIDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術(shù)，入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全，而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。IDS通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在服務(wù)器區(qū)的接入交換機處。IDS能夠檢測到的攻擊類型通常包括：系統(tǒng)掃描（SystemScanning）、拒絕服務(wù)（DenyofService）和系統(tǒng)滲透（SystemPenetration）。IDS對攻擊的檢測方法主要包括：被動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡(luò)流量，但又不會影響網(wǎng)絡(luò)的性能。作為對防火墻的有益補充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認為是繼防火墻之后的第二道安全閘門。三、IPS網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無法解決的網(wǎng)絡(luò)攻擊，部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數(shù)IDS系統(tǒng)都是被動的，不是主動的，即在攻擊實際發(fā)生前，往往無法預(yù)先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出報警。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將其傳送到內(nèi)部系統(tǒng)中。此時，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。1.6.6局域網(wǎng)接入安全規(guī)劃NAP技術(shù)NAP（NetworkAccessProtection,網(wǎng)絡(luò)訪問保護）是Microsoft在WindowsVista和WindowsServer2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗網(wǎng)絡(luò)訪問的主機的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。健康策略認證：判斷計算機是否適應(yīng)健康策略的需求。網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計算機訪問。自動補救：為不適應(yīng)策略的計算機提供必要的升級，使其適應(yīng)健康策略。動態(tài)適應(yīng)：自動升級適應(yīng)策略的計算機以使其可以跟上健康策略的計算機。1.6.7Internet接入安全規(guī)劃企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防火墻的后面部署了ForefrontTMG服務(wù)器，可以提供如下功能。一、網(wǎng)絡(luò)防火墻TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。二、Web訪問緩存。TMG服務(wù)器既是防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于存儲客戶端請求的Internet數(shù)據(jù)空間，暫時緩存常用數(shù)據(jù)。當客戶端需要再次訪問這些Internet數(shù)據(jù)時，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。三、安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過TMG服務(wù)器進行通信時，數(shù)據(jù)封裝好后，將通過VPN進行收發(fā)，充分確保通信過程的安全。1.6.8遠程接入安全規(guī)劃目前，最常用的遠程訪問方式是VPN，主流的安全技術(shù)包括SSLVPN和IPSecVPN。SSLVPN應(yīng)用比較簡單，用戶無需進行配置，基于Web頁面即可實現(xiàn)。IPSecVPN技術(shù)應(yīng)用比較廣泛，不再局限于Web方式，同時由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。1、IPSecVPN遠程安全接入IPSecVPN提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗證、數(shù)據(jù)完整性、地址隱藏和安全機構(gòu)（SA）密鑰老化等功能。IPSec標準提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強度MessageDigests(MD-5)-HMAC和160位強度安全散列算法（SHA）-HMAC。由于SHA的強度更大。所以更加安全。2、SSLVPN遠程安全接入SSLVPN是工作在應(yīng)用層和TCP層之間的遠程接入技術(shù)。通常SSLVPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。1.6.9網(wǎng)絡(luò)可靠性規(guī)劃對于企業(yè)網(wǎng)絡(luò)而言，許多金融、貿(mào)易、電子商務(wù)等活動都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯。在硬件設(shè)備方面，可以通過配置交換機生成樹、鏈路匯聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當住鏈路發(fā)生故障時，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將多條鏈路聚合為一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可以實現(xiàn)負載均衡，從而大大提高了網(wǎng)絡(luò)的可靠性。局域網(wǎng)接入?yún)^(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。在軟件方面則可以通過服務(wù)器群集技術(shù)和網(wǎng)絡(luò)負載均衡技術(shù)，來提高重要服務(wù)器的可靠性。除此之外，常規(guī)的數(shù)據(jù)備份也是必不可少的，包括服務(wù)器角色狀態(tài)信息備份、服務(wù)器系統(tǒng)備份、數(shù)據(jù)庫備份、網(wǎng)絡(luò)設(shè)備配置備份等。第二章：企業(yè)網(wǎng)絡(luò)安全的實際應(yīng)用一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點●網(wǎng)絡(luò)系統(tǒng)安全;●應(yīng)用系統(tǒng)安全;●物理安全;●安全管理;2.1企業(yè)網(wǎng)絡(luò)安全實施根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行實施：●網(wǎng)絡(luò)傳輸保護主要是數(shù)據(jù)加密保護●主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻●網(wǎng)絡(luò)病毒防護采用網(wǎng)絡(luò)防病毒系統(tǒng)●廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)●系統(tǒng)漏洞分析采用漏洞分析設(shè)備●定期安全審計主要包括兩部分：內(nèi)容審計和網(wǎng)絡(luò)通信審計●重要數(shù)據(jù)的備份●重要信息點的防電磁泄露●網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展●網(wǎng)絡(luò)防雷2.2網(wǎng)絡(luò)傳輸?shù)膶嵤┢髽I(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡(luò)相連。通過公共線路建立跨越INTERNET的企業(yè)集團內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，易受到來自網(wǎng)絡(luò)上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考壒芾碛騼?nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：圖2-1三級VPN設(shè)置拓撲圖每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進行集中統(tǒng)一的網(wǎng)絡(luò)化管理。可達到以下幾個目的：●網(wǎng)絡(luò)傳輸數(shù)據(jù)保護;由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸●網(wǎng)絡(luò)隔離保護;與INTERNET進行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問●集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性;●降低成本(設(shè)備成本和維護成本);其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖2-2中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺VPN管理機對CA、中心VPN設(shè)備、分支機構(gòu)VPN設(shè)備進行統(tǒng)一網(wǎng)絡(luò)管理。將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。下級單位的VPN設(shè)備放置如下圖所示：圖2-3下級單位VPN設(shè)置圖從圖2-3可知，下屬機構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級機構(gòu)通過網(wǎng)絡(luò)實現(xiàn)，下屬機構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。由于網(wǎng)絡(luò)安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設(shè)備的設(shè)置不當，而使整個網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當選擇可以進行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。2.3訪問控制企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個方面的要求：●控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問;●控制外部合法用戶對服務(wù)器的訪問;●禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問;●控制內(nèi)部用戶對外部網(wǎng)絡(luò)的網(wǎng)絡(luò);●阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊;●防止內(nèi)部主機的IP欺騙;●對外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓撲結(jié)構(gòu);●網(wǎng)絡(luò)監(jiān)控;●網(wǎng)絡(luò)日志審計;由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：●管理、維護簡單、方便;●安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);●硬件成本和維護成本低;●網(wǎng)絡(luò)運行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設(shè)備而言，其穩(wěn)定性更高，故障率更低。2.4入侵檢測網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進出網(wǎng)絡(luò)的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送E-mail)。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡(luò)引擎)?？刂婆_用作制定及管理所有探測器(網(wǎng)絡(luò)引擎)。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設(shè)置如下圖：從上圖可知，入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測儀在使用上是獨立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測設(shè)備在網(wǎng)絡(luò)上進行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動功能)等方式進行控制(即安全設(shè)備自適應(yīng)機制)，最后將攻擊行為進行日志記錄以供以后審查。2.5漏洞掃描作為一個完善的通用安全系統(tǒng)，應(yīng)當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術(shù)的發(fā)展而不斷下降的，同時，在使用過程中會出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補充，采取相應(yīng)的措施也是必然。本方案中，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。2.6其它對復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當特殊考慮，增加新的安全措施。2.6.1應(yīng)用系統(tǒng)安全2.6.2系統(tǒng)平臺安全企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在PC機上的NT平臺，在選擇性地用好NT安全機制的同時，應(yīng)加強監(jiān)控管理。2.6.3應(yīng)用平臺安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺安全，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對安全相關(guān)操作進行的審計等。其中的用戶應(yīng)同時包括各級管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、E-MAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。在選擇這些應(yīng)用系統(tǒng)時，應(yīng)當盡量選擇國內(nèi)軟件開發(fā)商進行開發(fā)，系統(tǒng)類型也應(yīng)當盡量采用國內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。2.7病毒防護因為病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。具體而言，就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時應(yīng)當注意幾個方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點。病毒對信息系統(tǒng)的正常工作運行產(chǎn)生很大影響，據(jù)統(tǒng)計，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：●采用世界最先進的防毒產(chǎn)品與網(wǎng)絡(luò)系統(tǒng)的實際需要相結(jié)合，確保網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護能力的情況下綜合成本最少?！癯浞挚紤]網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運行產(chǎn)生不良影響?！駪?yīng)用全球最為先進的“實時監(jiān)控”技術(shù)，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。●所選用產(chǎn)品具備對多種壓縮格式文件的病毒檢測?！袼x用產(chǎn)品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面?！駪?yīng)用經(jīng)由ICSA(國際電腦安全協(xié)會)技術(shù)認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測率，除對已知病毒具備全面的偵防能力，對未知病毒亦有良好的偵測能力。強調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量?！裢耆詣踊娜粘＞S護，便于進行病毒碼及掃描引擎的更新?！裉峁┝己玫氖酆蠓?wù)及技術(shù)支持?！窬哂辛己玫目蓴U充性，充分保護用戶的現(xiàn)有投資，適應(yīng)網(wǎng)絡(luò)系統(tǒng)的今后發(fā)展需要2.8產(chǎn)品應(yīng)用ESET殺毒軟件高級企業(yè)版：針對大型網(wǎng)絡(luò)特點專業(yè)設(shè)計，擁有網(wǎng)絡(luò)版產(chǎn)品的所有功能，可以建立超級病毒監(jiān)控管理（系統(tǒng)）中心，其中上級中心不僅可集中管理各個下級系統(tǒng)中心，上級中心還可直接管理下級中心的任一個防病毒客戶端。通過建立“集中管理、分布處理”的多級中心防病毒監(jiān)控管理系統(tǒng)，在大型企業(yè)內(nèi)部的服務(wù)器和客戶端同時部署殺毒軟件共同完成對整個網(wǎng)絡(luò)的病毒防護工作，為用戶的網(wǎng)絡(luò)系統(tǒng)提供全方位防病毒解決方案。圖2-5大型區(qū)域網(wǎng)絡(luò)的監(jiān)控與管理圖防毒墻：防毒墻是一款多功能、高性能的產(chǎn)品，它不但能夠在網(wǎng)絡(luò)邊緣病毒檢測、攔截和清除的功能，同時，它還是一個高性能的防火墻，通過在總部、分支機構(gòu)網(wǎng)絡(luò)邊緣分別布置不同性能的防毒墻保護總部和分支機構(gòu)內(nèi)部網(wǎng)絡(luò)和對外服務(wù)器不受黑客的攻擊，同時通過VPN功能，為分支機構(gòu)、遠程、移動用戶提供一個安全的遠程連接功能，是大型企業(yè)網(wǎng)絡(luò)邊緣安全的首選產(chǎn)品。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)：網(wǎng)絡(luò)安全預(yù)警系統(tǒng)集病毒掃描、入侵檢測和網(wǎng)絡(luò)監(jiān)視功能于一身，它能實時捕獲網(wǎng)絡(luò)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的病毒和攻擊特征庫，通過使用模式匹配和統(tǒng)計分析的方法，可以檢測出網(wǎng)絡(luò)上發(fā)生的病毒入侵、違反安全策略的行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為事后分析的依據(jù)。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的目標是：全面，準確，高效，穩(wěn)定，安全，快速。全面是指能檢測已知的各種病毒和攻擊；準確是指檢測的結(jié)果準確，誤報率低；高效是指檢測引擎的運行效率高，由于現(xiàn)在的網(wǎng)絡(luò)帶寬越來越寬，只有高效的引擎才能在檢測時不丟包；穩(wěn)定是指系統(tǒng)運行穩(wěn)定可靠；安全是指預(yù)警系統(tǒng)自身的安全，由于引擎中保存了大量檢測到的敏感信息，因此對其自身的保護是十分重要的；快速是指對新的漏洞和新的攻擊方法反應(yīng)快，系統(tǒng)升級簡便。通過ESET殺毒軟件高級企業(yè)版、防毒墻和網(wǎng)絡(luò)安全預(yù)警共同為大型企業(yè)建立一個統(tǒng)一的防黑、防毒的安全網(wǎng)絡(luò)。設(shè)計后的安全網(wǎng)絡(luò)拓撲圖如下：圖2-6大型企業(yè)網(wǎng)絡(luò)安全實施圖三、選用產(chǎn)品ESET網(wǎng)絡(luò)版殺毒軟件高級企業(yè)版防毒墻網(wǎng)絡(luò)安全預(yù)警系統(tǒng)四、企業(yè)整體解決方案實現(xiàn)的主要功能1. 安全的網(wǎng)絡(luò)邊緣防護防毒墻可以根據(jù)用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能力，同時通過實施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強大的防火墻體系，不但可以保護內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯，同時可以阻止內(nèi)部用戶對外部不良資源的濫用。2.內(nèi)部網(wǎng)絡(luò)行為監(jiān)控和規(guī)范網(wǎng)絡(luò)安全預(yù)警系統(tǒng)SDS-1000對HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應(yīng)用協(xié)議具有100%的記錄能力,企業(yè)內(nèi)部用戶上網(wǎng)信息識別粒度達到每一個URL請求和每一個URL請求的回應(yīng)。通過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。3. 計算機病毒的監(jiān)控和清除網(wǎng)絡(luò)殺毒軟件是一個專門針對網(wǎng)絡(luò)病毒傳播特點開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡(luò)內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計算機遠程反病毒策略設(shè)置和安全操作。4. 強大的日志分析和統(tǒng)計報表能力對網(wǎng)絡(luò)內(nèi)的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機IP地址等相關(guān)信息。此外，報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。5. 模塊化的安全組合本方案中使用的瑞星網(wǎng)絡(luò)安全產(chǎn)品分別具有不同的功能，用戶可以根據(jù)自身企業(yè)的實際情選擇不同的產(chǎn)品構(gòu)建不同安全級別的網(wǎng)絡(luò)，產(chǎn)品選擇組合方便、靈活，既有獨立性有整體性。2.9數(shù)據(jù)備份企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機密的信息。而整個數(shù)據(jù)的安全保護就顯得特別重要，對數(shù)據(jù)進行定期備份是必不可少的安全措施。在采取數(shù)據(jù)備份時應(yīng)該注意以下幾點：●存儲介質(zhì)安全在選擇存儲介質(zhì)上應(yīng)選擇保存時間長，對環(huán)境要求低的存儲產(chǎn)品，并采取多種存儲介質(zhì)備份。如同時采用硬盤、光盤備份的方式?！駭?shù)據(jù)安全即數(shù)據(jù)在備份前是真實數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒?！駛浞葸^程安全確保數(shù)據(jù)在備份時是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況?！駛浞輸?shù)據(jù)的保管對存有備份數(shù)據(jù)的存儲介質(zhì)，應(yīng)保存在安全的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境(溫度、濕度等)的正常。同時對特別重要的備份數(shù)據(jù)，還應(yīng)當采取異地備份保管的方式，來確保數(shù)據(jù)安全。對重要備份數(shù)據(jù)的異地、多處備份(避免類似美國911事件為各公司產(chǎn)生的影響)2.10安全審計作為一個良好的安全系統(tǒng)，安全審計必不可少。企業(yè)是一個非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。2.11認證、鑒別、數(shù)字簽名、抗抵賴企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級的重要信息，同時，由于現(xiàn)在國家正在大力推進電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級政府部門當中，因此，需要對網(wǎng)上用戶的身份、操作權(quán)限等進行控制和授權(quán)。對不同等級、類型的信息只允許相應(yīng)級別的人進行審閱;對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施。2.12物理安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。2.13兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò)，這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的，而企業(yè)內(nèi)部有部分用戶需要兩個網(wǎng)絡(luò)都要接入，這就涉及到兩個網(wǎng)絡(luò)之間的相互切換問題。而現(xiàn)在的實際使用是采用手工拔插網(wǎng)線的方式進行切換，這使得使用中非常不方便。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。隔離卡工作方式隔離卡上有兩個網(wǎng)絡(luò)接口，一個接內(nèi)網(wǎng)，一個接外網(wǎng);另外還有一個控制口，通過控制口連接一個控制器(只有火柴盒大小)，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計算機變?yōu)閮蓚€計算機使用，兩個硬盤上分別運行獨立的操作系統(tǒng)。這樣，可通過控制器進行切換(簡單的開關(guān)，類似電源開關(guān))，使計算機分別接到兩個網(wǎng)絡(luò)上。2.14應(yīng)用企業(yè)網(wǎng)絡(luò)的實際情況，需要在樓層中安裝隔離卡。并且做好規(guī)劃2.15防電磁輻射普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號在傳輸時存在電磁場，并隨著信號的改變而改變磁場的強弱，而UTP本身沒有任何的屏蔽功能，因此容易被國外間諜機構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機密信息，造成嚴重后果。因而對重要信息點的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的安全措施，如使用屏蔽雙絞線等終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，還應(yīng)根據(jù)保護對象分別采取主動式的干擾設(shè)備(如干擾機來破壞對信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。2.16網(wǎng)絡(luò)防雷企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應(yīng)的防雷措施，因此，本方案中主要針對網(wǎng)絡(luò)系統(tǒng)防雷進行設(shè)計，不包括電源防雷(這一般屬于大樓防雷的部分)。不少用戶為防止計算機及其局域網(wǎng)或廣域網(wǎng)遭雷擊，便簡單地在與外部線路連接的調(diào)制解調(diào)器上安裝避雷器，但由于靜電感應(yīng)雷、防電磁感應(yīng)雷主要是通過供電線路破壞設(shè)備的，因此對計算機信息系統(tǒng)的防雷保護首先是合理地加裝電源避雷器，其次是加裝信號線路和天饋線避雷器。如果大樓信息系統(tǒng)的設(shè)備配置中有計算機中心機房、程控交換機房及機要設(shè)備機房，那么在總電源處要加裝電源避雷器。按照有關(guān)標準要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強度劃分的)。在各設(shè)備前端分別要加裝串聯(lián)型電源避雷器(多級集成型)，以最大限度地抑制雷電感應(yīng)的能量。同時，計算機中心的MODEM、路由器、甚至HUB等都有線路出戶，這些出戶的線路都應(yīng)視為雷電引入通道，都應(yīng)加裝信號避雷器。對樓內(nèi)計算機等電子設(shè)備進行防護的同時，對建(構(gòu))筑物再安裝防雷設(shè)施就更安全了。根據(jù)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析，防雷系統(tǒng)可采取兩級防雷措施?！窆歉删W(wǎng)絡(luò)防雷;●終端防雷;以上兩級避雷可使用信號避雷器來實現(xiàn)。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。2.17重要信息點的物理保護企業(yè)各級網(wǎng)絡(luò)內(nèi)部存在重要的信息點，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護，它主要包括三個方面：(1)環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護(參見國家標準GB50173-93《電子計算機機房設(shè)計規(guī)范》、國標GB2887-89《計算站場地技術(shù)條件》、GB9361-88《計算站場地安全要求》)。(2)設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護等。對中心機房和關(guān)鍵信息點采取多種安全防范措施，確保非授權(quán)人員無法進入。中心機房處理秘密級、機密級信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。(3)媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？偨Y(jié)沒有安全保證的企業(yè)網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對企業(yè)網(wǎng)絡(luò)中用戶的工作和管理已經(jīng)產(chǎn)生了深遠的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網(wǎng)絡(luò)安全問題的日益嚴重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，企業(yè)網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問題，企業(yè)網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展.本文分析了企業(yè)網(wǎng)絡(luò)的安全規(guī)劃，并針對規(guī)劃提出了相應(yīng)的安全解決措施。文中分析認為，企業(yè)網(wǎng)絡(luò)安全重點在防病毒和防攻擊。為此．文中針對病毒的特點和網(wǎng)絡(luò)攻擊的特性，提出了企業(yè)網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施，基本能夠解決企業(yè)網(wǎng)絡(luò)面臨威脅風(fēng)險，從而建構(gòu)一個安全、高效的網(wǎng)絡(luò)。致謝首先，感謝老師給我機會，使我能夠?qū)W(wǎng)絡(luò)安全進行技能操作，再一次的對網(wǎng)絡(luò)安全掌握了不少的知識，使得原本不了解實訓(xùn)內(nèi)容的我又擴充了一些知識，在這次為期一個多月的網(wǎng)絡(luò)安全畢業(yè)設(shè)計過程中，在同學(xué)的幫助和老師的指導(dǎo)下，我確實學(xué)到了很多東西，再次我真誠的感謝老師和同學(xué)們給予我的幫助。整個畢業(yè)設(shè)計的過程是在我的指導(dǎo)老師付X的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴肅的態(tài)度，嚴謹?shù)木?，精益求精的工作作風(fēng)，深深地感染和激勵著我。這段時間來，老師不僅在論文上給我以精心指導(dǎo)，同時還在思想、生活上給我以無微不至的關(guān)懷，在此謹向本次畢業(yè)設(shè)計的老師致以誠摯的謝意和崇高的敬意。在設(shè)計即將完成之際，我的心情無法平靜，從開始進入到設(shè)計的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!計算機網(wǎng)絡(luò)技術(shù)日新月異地飛速發(fā)展，人們總是處在不斷學(xué)習(xí)階段，再加上自己水平有限，所以本設(shè)計肯定存在不少錯誤和不盡人意之處，歡迎廣大老師和同學(xué)批評指正，在此深表感謝！目錄摘要……………………………1Abstract…………………………2緒論……………………………31我國二手車市場分析………………………52國外二手車市場介紹………………………82.1國外二手車交易規(guī)?！?2.2國外二手車交易特點………………………82.3國內(nèi)外二手車市場比較…………………113二手車置換的4S模式……………………133.1二手車置換的定義………………………133.2二手車置換的要求與條件………………133.3二手車置換的流程步驟…………………133.44S店做二手車置換的優(yōu)勢分析…………153.54S店和舊車市場相比有何優(yōu)勢…………153.64S店舊車置換新車操作特點……………164阻撓二手車置換發(fā)展的因素………………184.1沒有規(guī)范的汽車消費環(huán)境………………184.2沒有健全的二手車評價體系……………194.3沒有共享的信息資源……………………214.4沒有合理的稅費制度……………………215結(jié)論…………………………22參考文獻………………………23致謝…………………………24摘要隨著我國進入汽車時代，汽車保有量的不斷增加，汽車也從有錢人才買得起的奢侈品變成了大部分人都能承擔的代步工具。此時，二手車置換應(yīng)運而生，作為汽車營銷的新型產(chǎn)物，在發(fā)展前景方面本應(yīng)有著巨大的前景。但是由于沒有規(guī)范的汽車消費環(huán)境和健全的二手車評估系統(tǒng)，導(dǎo)致我國二手車置換發(fā)展緩慢，通過研究對比國外的成功經(jīng)驗，結(jié)合我國的二手車市場的現(xiàn)狀，在未來幾年中肯定能夠使品牌4S店二手車置換有長足的發(fā)展。關(guān)鍵詞：汽車；二手車置換；消費環(huán)境；二手車評估；4S店ABSTRACTWithChinaisentryintotheageoftheautomobile,theincreaseofautopossession,thecaralsoaffordableluxurygoodsfromwealthybecamemostpeoplecanbeartransport.Usedcarsreplacementalsoarisesatthehistoricmoment,butwithoutthespecificationoftheconsumermarket,thereisnosoundusedcarevaluationsystem,leadingtothedevelopmentoftheusedcarreplacementistooslow.Throughthestudycomparedforeignsuccessfulexperience,andcombiningthecurrentsituationofthesecond-handmarketinChina,inthenextfewyearsissuretokeepbrandauto4Sshopusedcarreplacementhaveconsiderabledevelopment.Keywords：usedcarsreplacement；second-handmarket；auto4Sshop緒論隨著我國汽車工業(yè)的高速發(fā)展，二手車市場的交易量和規(guī)模也日益擴大，其巨大的發(fā)展?jié)摿褪袌隹臻g已逐漸凸顯出來。與此相伴，二手車交易的一個基本方式——二手車置換業(yè)務(wù)也應(yīng)運而生。通俗來講二手車置換就是用手頭上的二手車來置換新車，就是將賣舊車和買新車兩個過程合并成了一個過程。其中包括：相同品牌內(nèi)的舊車換新車；多個品牌置換某一品牌新車的業(yè)務(wù)；不同品牌二手車之間以舊換新，比如二手富康置換二手寶馬。而理論上，二手車置換的概念有狹義和廣義之分：狹義的二手車置換就是“以舊換新”業(yè)務(wù)，即經(jīng)銷商通過二手車的收購與新車的對等銷售獲取利益；廣義的置換則是指以舊換新業(yè)務(wù)的基礎(chǔ)上，還同時兼容二手車的整新、跟蹤服務(wù)、二手車再銷售乃至折抵分期付款等項目的一系列業(yè)務(wù)組合，從而成為一種有機而獨立運營的營銷方式?，F(xiàn)如今，中國已經(jīng)進入了汽車時代，汽車產(chǎn)業(yè)蓬勃發(fā)展，汽車消費市場日趨成熟，汽車保有量逐年增長，并且增長勢頭驚人，隨之而帶來的二手車及交易問題也成為不可避免的難題。鑒定評估缺乏統(tǒng)一標準，二手車的誠信問題，售后服務(wù)不到位，二手車的信貸欠缺等等，都是時刻制約著二手車交易市場的健康發(fā)展的問題。二手車置換業(yè)務(wù)，便是在這種糾結(jié)的市場情況下誕生，當然也是必然結(jié)果。首先，汽車置換業(yè)務(wù)可以加快經(jīng)濟發(fā)達地區(qū)的車輛更新速度，同時能刺激內(nèi)地和經(jīng)濟不發(fā)達地區(qū)對機動車的需求，是滿足特定消費市場的重要營銷手段；其次，汽車置換可以在某種程度上調(diào)劑高車價與低收入之間的矛盾，使其成為汽車真正進入家庭的前奏和過渡預(yù)演；最后，汽車置換為置換客戶提供全方位的配套服務(wù)外，也能使其在購買新車的同時，快速變現(xiàn)舊車。因此，汽車置換是汽車產(chǎn)業(yè)一種新型的業(yè)態(tài)，是汽車營銷創(chuàng)新的產(chǎn)物，是汽車消費是新趨勢。但是，在二手車置換開展的這些年里，不但沒有帶給汽車廠家和4S店驚喜，反而成了負擔、擺設(shè)而已。2004年6月1日，國家新《汽車產(chǎn)業(yè)發(fā)展政策》出臺，為培育和發(fā)展二手車市場，政策明確鼓勵二車經(jīng)營主體多元化，并對汽車廠家經(jīng)營二手車業(yè)務(wù)大開方便之門。政策開閘，一時間上海大眾、一汽-大眾、上海通用等整車廠家經(jīng)銷商蜂擁而入。2004年底，一汽-大眾旗下347家經(jīng)銷商中，有13個城市的16家經(jīng)銷商作為首批認證二手車樣板店開展二手車業(yè)務(wù)；上海通用也將旗下“誠新二手車”授權(quán)專營店發(fā)展至80家。與此同時，上海大眾也選定90家經(jīng)銷商經(jīng)營二手車業(yè)務(wù)。據(jù)中國汽車流通協(xié)會2006年統(tǒng)計數(shù)據(jù)顯示，全國有備案的15000多家品牌經(jīng)銷商中，40%的經(jīng)銷商已設(shè)置二手車的品牌部門，15%-20%的經(jīng)銷商已正式開展二手車的業(yè)務(wù)。但是二手車流通基本處于二手車交易市場控制中，價格由二手車交易市場說了算。目前絕大部分4S店月置換量不足3輛，占不到新車銷量的十分之一，幾乎是名存實亡，更不用說促進新車銷售了。因為4S店置換的車輛很少，很難和二手車市場進行競爭，最后這些置換的車輛還是被4S店拿到二手車交易市場，成為了他們的貨源。相對于3000元/月每個的停車位，200輛以上的日均交易量，4S店置換的車輛的利潤少的可憐。上海大眾“特選二手車”經(jīng)銷商廣東德寶大眾二手車業(yè)務(wù)經(jīng)理潘光耀說：“不是我們不努力，而是品牌二手車業(yè)務(wù)在運作模式上存在先天不足。大眾品牌二手車要經(jīng)過100多項檢測，不合格的項目要按標準修復(fù)。這雖然能讓產(chǎn)品更加保值，但較之舊車交易市場的交易價格根本不具優(yōu)勢，這讓國內(nèi)消費者很難適應(yīng)。”例如同一款二手帕薩特，經(jīng)過認證后的4S店給出的價格是15萬元，而二手車交易市場給出的價格卻只有12萬元。

不僅如此，消費者在4S店置換新車后，還要被征收2%的增值稅，以一輛10萬元的二手車為例，就要額外繳納1000元的稅，而在傳統(tǒng)交易市場中，消費者只需要繳納過戶費和交易費10元左右。這也造成了二手車置換業(yè)務(wù)的無人問津。雖然現(xiàn)在的二手車置換