中小型企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)本科畢業(yè)論文

西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文 I中小型網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)摘要：中小企業(yè)在業(yè)務(wù)中對(duì)于信息技術(shù)和網(wǎng)絡(luò)的依賴程度越來(lái)越高， 必須引起對(duì)信息安全的重視。然而，由于企業(yè)將主要的精力集中在各種業(yè)務(wù)應(yīng)用的開(kāi)展上， 再加之受限于資金、技術(shù)、人員以及安全意識(shí)等多方面因素，信息安全建設(shè)往往相對(duì)滯后。部分企業(yè)已經(jīng)采用了“防火墻 +防病毒”的基本安全措施，但很多中小企業(yè)什么安全保護(hù)措施都沒(méi)有，不能不讓人為此擔(dān)憂。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，各種依托網(wǎng)絡(luò)開(kāi)展的攻擊技術(shù)也得到了蔓延。 黑客攻擊手段越來(lái)越豐富，各類破壞力較大的攻擊工具、 文摘在網(wǎng)上唾手可得；中小企業(yè)的安全現(xiàn)狀常常使得他們成了黑客攻擊破壞的首選 “試驗(yàn)品”。另外病毒的發(fā)展已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)人們預(yù)期的想象，破壞性越來(lái)越嚴(yán)重；加上企業(yè)內(nèi)部信息安全管理制度的疏漏，為一些不法人員提供了大量的犯罪途徑。 中小企業(yè)迅速建立完善的信息安全體制已經(jīng)勢(shì)在必行。關(guān)鍵字：中小型企業(yè)；網(wǎng)絡(luò)；安全西南科技大學(xué)高等教育自學(xué)考試 （信息管理與服務(wù)） 畢業(yè)論文 IISmallandmedium-sizednetworksecurityplanninganddesignAbstract:thesmallandmedium-sizedenterpriseinthebusinessfortheinformationtechnologyandnetworkmoreandmorerelyontheinformationsecurity,mustcausetheattention.However,becausetheenterprisewillmainlyfocusonthevariousbusinessapplicationsdevelopment,coupledwiththelimitedfunds,technology,personnelandsecurityawarenessandotherfactors,theinformationsecurityconstructionandoftenrelativelylag.Someenterpriseshaveadoptedthe"firewallandantivirus"basicsecuritymeasures,butmanysmallandmedium-sizedenterprisewhatsafetyprotectionmeasuresarenot,letapersonworryabout.Withtherapiddevelopmentofnetworktechnology,avarietyofrelyingonnetworkattacktechnologyisalsospread.Hackersmeansmoreandmoreabundant,allkindsofdestructiveforcelargerattacktools,abstractsonlinewithextremeease;smallandmedium-sizedenterprisesecuritystatusoftenmakesthemintoahackerattackpreferred"testmaterials".Anothervirusdevelopmenthasfarexceededtheexpectationsofimagination,damageismoreandmoreserious;plusenterpriseinternalinformationsecuritymanagementsystemforomissions,someunscrupulouspersonstoprovidealargenumberofpathwaysincrime.Smallandmedium-sizedenterprisesrapidlyestablishandimprovetheinformationsecuritysystemhasbeimperative.Keywords:Smallandmedium-sizedenterprises;networksecurity西南科技大學(xué)高等教育自學(xué)考試 （信息管理與服務(wù)） 畢業(yè)論文 III目錄第1章緒論.................................................1第2章網(wǎng)絡(luò)環(huán)境現(xiàn)狀..........................................32.1網(wǎng)絡(luò)環(huán)境介紹......................................................32.2中小型網(wǎng)絡(luò)情況分析................................................5第3章網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析......................................73.1概要風(fēng)險(xiǎn)分析......................................................73.2實(shí)際風(fēng)險(xiǎn)分析.....................................................103.3安全缺口.........................................................113.4網(wǎng)絡(luò)安全評(píng)估.....................................................11第4章中小型企業(yè)網(wǎng)絡(luò)安全的實(shí)現(xiàn)措施.........................124.1計(jì)算機(jī)安全.......................................................124.1.1訪問(wèn)控制策略.................................................124.1.2確保網(wǎng)絡(luò)安全的措施...........................................164.1.3.提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟..............................184.2網(wǎng)絡(luò)安全.........................................................194.3網(wǎng)絡(luò)安全原則.....................................................23第5章實(shí)現(xiàn)中小型企業(yè)網(wǎng)絡(luò)安全的規(guī)劃與設(shè)計(jì)..................245.1整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu).............................................245.2整體安全防護(hù)體系.................................................255.3INTERNET和信息發(fā)布服務(wù)..........................................265.4INTERNET和內(nèi)部網(wǎng)................................................27結(jié)論.......................................................33致謝......................................................34參考文獻(xiàn)....................................................35西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文第1章 緒論國(guó)內(nèi)中小企業(yè)信息化已經(jīng)得到了迅速的發(fā)展， 而且發(fā)揮著越來(lái)越重要的作用， 由于受資金、安全意識(shí)方面的限制，信息安全建設(shè)相對(duì)嚴(yán)重滯后。目前，很多企業(yè)已經(jīng)建立了防火墻+防病毒的安全體系，是否就能取得較好的安全效果呢？事實(shí)表明，這樣的安全措施還是不夠的。蠕蟲(chóng)的爆發(fā)、網(wǎng)站遭到破壞、內(nèi)部信息資外泄,,中小企業(yè)會(huì)遇到許多 “成長(zhǎng)中的煩惱”比如：外部安全隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲(chóng)攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。 對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。內(nèi)部安全最新調(diào)查顯示，在受調(diào)查的企業(yè)中 60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密， 從而導(dǎo)致企業(yè)數(shù)千萬(wàn)美金的損失。內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。 怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的1西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。本次論文將結(jié)合實(shí)際采用最合理的方式來(lái)對(duì)中小企業(yè)網(wǎng)絡(luò)進(jìn)行規(guī)劃與設(shè)計(jì)。2西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文第2章網(wǎng)絡(luò)環(huán)境現(xiàn)狀2.1網(wǎng)絡(luò)環(huán)境介紹信息化已成為國(guó)際性發(fā)展趨勢(shì)， 作為國(guó)民經(jīng)濟(jì)信息化的基礎(chǔ)，企業(yè)信息化建設(shè)受到國(guó)家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網(wǎng)絡(luò)的建設(shè)是基礎(chǔ)，從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展的現(xiàn)狀來(lái)看，Intranet是得到廣泛認(rèn)同的企業(yè)網(wǎng)絡(luò)模式。 Intranet并不完全是原來(lái)局域網(wǎng)的概念，通過(guò)與Internet的聯(lián)結(jié)，企業(yè)網(wǎng)絡(luò)的范圍可以是跨地區(qū)的，甚至跨國(guó)界的。現(xiàn)在，隨著信息化技術(shù)的飛速發(fā)展 ，Internet的發(fā)展已成燎原之勢(shì)，隨著 WWW上商業(yè)活動(dòng)的激增，Intranet也應(yīng)運(yùn)而生。近幾年，許多有遠(yuǎn)見(jiàn)的企業(yè)領(lǐng)導(dǎo)者都已感到企業(yè)信息化的重要性,陸續(xù)建立起了自己的企業(yè)網(wǎng)和 Intranet并通過(guò)各種WAN線路與Internet相連。許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的 IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。國(guó)際互聯(lián)網(wǎng)Internet在帶來(lái)巨大的資源和信息訪問(wèn)的方便的同時(shí)，它也帶來(lái)了巨大的潛在的危險(xiǎn)，至今仍有很多企業(yè)仍然沒(méi)有感到企業(yè)網(wǎng)安全的重要性。 在我國(guó)網(wǎng)絡(luò)急劇發(fā)展還是近幾年的事，而在國(guó)外企業(yè)網(wǎng)領(lǐng)域出現(xiàn)的安全事故已經(jīng)是數(shù)不勝數(shù)。因此，我們應(yīng)該在積極進(jìn)行企業(yè)網(wǎng)建設(shè)的同時(shí)， 就應(yīng)借鑒國(guó)外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗(yàn)， 在網(wǎng)絡(luò)安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險(xiǎn)和漏洞降到最低。 使已經(jīng)花了不少財(cái)力、人力和時(shí)間后，建立起來(lái)的網(wǎng)絡(luò)真正達(dá)到預(yù)想的效果。3西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因索很多， 既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來(lái)豐要以下幾個(gè)方面：1、病毒感染從“蠕蟲(chóng)”病毒開(kāi)始到 CIH、愛(ài)蟲(chóng)病毒，病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播，它很容易地通過(guò)代理服務(wù)器以軟件下載、 郵件接收等方式進(jìn)入網(wǎng)絡(luò)，竊取網(wǎng)絡(luò)信息，造成很人的損失。2、來(lái)自網(wǎng)絡(luò)外部的攻擊這是指來(lái)自局域網(wǎng)外部的惡意攻擊， 例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。3、來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。 竊取機(jī)密信息，破壞信息內(nèi)容，造成應(yīng)用系統(tǒng)無(wú)法運(yùn)行。4、系統(tǒng)的漏洞及“后門(mén)”操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷、 無(wú)漏洞的。編程人員有時(shí)會(huì)在軟件中留有漏洞。一旦這個(gè)疏漏被不法分子所知， 就會(huì)借這個(gè)薄弱環(huán)節(jié)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門(mén)”所造成的。4西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。 信息安全防范應(yīng)做整體的考慮， 全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程， 事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備， 安全管理應(yīng)貫穿安全防范活動(dòng)的始終。2.2中小型網(wǎng)絡(luò)情況分析中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及管理方式的不同有著不同的網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)。網(wǎng)絡(luò)情況有以下幾種。集中型:中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善的網(wǎng)絡(luò)布局。采取專線接入、 ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式， 一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺(tái)不等。 網(wǎng)絡(luò)中有的劃分了子網(wǎng)，并部署了與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫(kù)、郵件服務(wù)器、文檔資料庫(kù)、甚至ERP服務(wù)器等。分散型:采取多分支機(jī)構(gòu)辦公及移動(dòng)辦公方式， 各分支機(jī)構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專線接入，一般分支采取 ADSL接入方式。主要是通過(guò) VPN訪問(wèn)公司主機(jī)設(shè)備及資料庫(kù)，通過(guò)郵件或內(nèi)部網(wǎng)進(jìn)行業(yè)務(wù)溝通交流。5西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文綜合型:集中型與分散型的綜合。綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖6西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文第3章網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析3.1概要風(fēng)險(xiǎn)分析物理安全分析網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在網(wǎng)絡(luò)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離； 考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷， 還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷。 總體來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。 企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅， 入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)。 假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息，假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)電腦安全受損 (被攻擊或者被病毒感染)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到連上 Internet/Intrant 的其他的網(wǎng)絡(luò)；影響所及，7西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾， 只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。操作系統(tǒng)的安全風(fēng)險(xiǎn)分析所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。 目前恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是 Microsfot 的WindowsNT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其后門(mén)。因此，我們可以得出如下結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)， 它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。 這就需要我們對(duì)不同的應(yīng)用， 檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、 數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等應(yīng)用的安全涉及方面很多，以目前Internet 上應(yīng)用最為廣泛的 E-mail系統(tǒng)來(lái)說(shuō)，8西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文其解決方案有sendmail、NetscapeMessagingServer、Software.ComPost.Office 、LotusNotes、ExchangeServer、SUNCIMS等不下二十多種。其安全手段涉及 LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺(tái)， 而且通過(guò)專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補(bǔ)漏洞，提高系統(tǒng)的安全性。應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。信息的安全性涉及到機(jī)密信息泄露、 未經(jīng)授權(quán)的訪問(wèn)、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)， 傳輸必須加密。采用多層次的訪問(wèn)控制與權(quán)限控制手段， 實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。管理的安全分析管理是網(wǎng)絡(luò)中安全最最重要的部分。 責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)， 即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄， 及時(shí)發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案， 因此，最9西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。 保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。 一旦上述的安全隱患成為事實(shí)，所造成的對(duì)整個(gè)網(wǎng)絡(luò)的損失都是難以估計(jì)的。 因此，網(wǎng)絡(luò)的安全建設(shè)是網(wǎng)絡(luò)安全建設(shè)過(guò)程中重要的一環(huán)。管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。 內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。3.2實(shí)際風(fēng)險(xiǎn)分析現(xiàn)今的網(wǎng)絡(luò)安全存在的威脅主要表現(xiàn)在以下幾個(gè)方面。非授權(quán)訪問(wèn)。指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限,以達(dá)到占用合法用戶資源的目的。破壞數(shù)據(jù)的完整性。指使用非法手段,刪除、修改、重發(fā)某些重要信息,以干擾用戶的正常使用。干擾系統(tǒng)正常運(yùn)行。指改變系統(tǒng)的正常運(yùn)行方法,減慢系統(tǒng)的響應(yīng)時(shí)間等手段。病毒與惡意攻擊。指通過(guò)網(wǎng)絡(luò)傳播病毒或惡意Java、XActive等。線路竊聽(tīng)。指利用通信介質(zhì)的電磁泄漏或搭線竊聽(tīng)等手段獲取非法信息。10西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文3.3安全缺口安全策略經(jīng)常會(huì)與用戶方便性相矛盾 ,從而產(chǎn)生相反的壓力 ,使安全措施與安全策略相脫節(jié)。這種情況稱為安全缺口。為什么會(huì)存在安全缺口呢 ?有下面四個(gè)因素:1 、網(wǎng)絡(luò)設(shè)備種類繁多——當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備 ,從WindowsNT和UNIX服務(wù)器到防火墻、路由器和Web服務(wù)器,每種設(shè)備均有其獨(dú)特的安全狀況和保密功能;、訪問(wèn)方式的多樣化——一般來(lái)說(shuō),您的網(wǎng)絡(luò)環(huán)境存在多種進(jìn)出方式,許多過(guò)程拔號(hào)登錄點(diǎn)以及新的 Internet 訪問(wèn)方式可能會(huì)使安全策略的設(shè)立復(fù)雜化 ;3、網(wǎng)絡(luò)的不斷變化——網(wǎng)絡(luò)不是靜態(tài)的 ,一直都處于發(fā)展變化中。啟用新的硬件設(shè)備和操作系統(tǒng),實(shí)施新的應(yīng)用程序和 Web服務(wù)器時(shí),安全配置也有不盡相同;4、用戶保安專業(yè)知識(shí)的缺乏——許多組織所擁有的對(duì)網(wǎng)絡(luò)進(jìn)行有效保護(hù)的保安專業(yè)知識(shí)十分有限,這實(shí)際上是造成安全缺口最為主要的一點(diǎn)。3.4網(wǎng)絡(luò)安全評(píng)估為堵死安全策略和安全措施之間的缺口 ,必須從以下三方面對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行評(píng)估:、從企業(yè)外部進(jìn)行評(píng)估:考察企業(yè)計(jì)算機(jī)基礎(chǔ)設(shè)施中的防火墻;、從企業(yè)內(nèi)部進(jìn)行評(píng)估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī);、從應(yīng)用系統(tǒng)進(jìn)行評(píng)估:考察每臺(tái)硬件設(shè)備上運(yùn)行的操作系統(tǒng)。11西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文第4章中小型企業(yè)網(wǎng)絡(luò)安全的實(shí)現(xiàn)措施4.1計(jì)算機(jī)安全4.1.1訪問(wèn)控制策略訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略， 它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。 各種安全策略必須相互配合才能真正起到保護(hù)作用， 但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問(wèn)控制策略。1、入網(wǎng)訪問(wèn)控制入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟： 用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)， 該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。 用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。 如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上， 口令長(zhǎng)度應(yīng)不少于個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過(guò)加密，加密的方法很多，其中最常見(jiàn)的方法有：基于單向函數(shù)的口令加密，基于測(cè)試模式的12西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文口令加密，基于公鑰加密方案的口令加密， 基于平方剩余的口令加密， 基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。 經(jīng)過(guò)上述方法加密的口令， 即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令， 也可用便攜式驗(yàn)證器（如智能卡）來(lái)驗(yàn)證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號(hào)使用、訪問(wèn)網(wǎng)絡(luò)的時(shí)間、方式。用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式。 用戶帳號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問(wèn)網(wǎng)絡(luò)所必須提交的“證件” 、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制：最小口令長(zhǎng)度、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性、口令過(guò)期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗(yàn)證有效之后， 再進(jìn)一步履行用戶帳號(hào)的缺省限制檢查。 網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時(shí)間、限制用戶入網(wǎng)的工作站數(shù)量。 當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問(wèn)“資費(fèi)”用盡時(shí)，網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的帳號(hào)加以限制，用戶此時(shí)應(yīng)無(wú)法進(jìn)入網(wǎng)絡(luò)訪問(wèn)網(wǎng)絡(luò)資源。 網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問(wèn)進(jìn)行審計(jì)。 如果多次輸入口令不正確，則認(rèn)為是非法用戶的入侵，應(yīng)給出報(bào)警信息。2、網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。 用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、 子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過(guò)濾器， 可以限制子目錄從13西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。3、目錄級(jí)安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、 文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。 對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）；讀權(quán)限（Read）、；寫(xiě)權(quán)限（Write）；創(chuàng)建權(quán)限（Create）；刪除權(quán)限（Erase）；修改權(quán)限（Modify）；文件查找權(quán)限（FileScan）；存取控制權(quán)限（AccessControl ）；用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下二個(gè)因素： 用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。 一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問(wèn)權(quán)限，這些訪問(wèn)權(quán)限控制著用戶對(duì)服務(wù)器的訪問(wèn)。 八種訪問(wèn)權(quán)限的有14西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。4、屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。 網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表， 用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。 屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。5、網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。 用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)； 可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。6、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控， 服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)， 對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警， 以引起網(wǎng)絡(luò)管理員的注意。如15西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)， 如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該帳戶將被自動(dòng)鎖定。7、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備、 靜默調(diào)制解調(diào)器加以保護(hù)，并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。 自動(dòng)回呼設(shè)備用于防止假冒合法用戶， 靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊。 網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制，用戶必須攜帶證實(shí)身份的驗(yàn)證器（如智能卡、磁卡、安全密碼發(fā)生器） 。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后，才允許用戶進(jìn)入用戶端。然后，用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證4.1.2確保網(wǎng)絡(luò)安全的措施由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網(wǎng)絡(luò)連入 Internet ，那麼最好盡可能地把與 Internet 連接的機(jī)器與網(wǎng)絡(luò)的其余部分隔離開(kāi)來(lái)。實(shí)現(xiàn)這個(gè)目標(biāo)的最安全的方法是將 Internet 服務(wù)器與網(wǎng)絡(luò)實(shí)際隔開(kāi)。當(dāng)然，這種解決方案增加了機(jī)器管理的難度。 但是如果有人闖入隔離開(kāi)的機(jī)器，那麼網(wǎng)絡(luò)的其余部分不會(huì)受到牽連。最重要的是限制訪問(wèn)。不要讓不需要進(jìn)入網(wǎng)關(guān)的人都進(jìn)入網(wǎng)關(guān)。 在機(jī)器上用戶僅需要一個(gè)用戶帳號(hào)，嚴(yán)格限制它的口令。只有在使用 su時(shí)才允許進(jìn)入根帳號(hào)。這個(gè)方法保留一份使用根帳號(hào)者的記錄。在Internet 服務(wù)器上提供的一些服務(wù)有 FTP、HTTP、遠(yuǎn)程登陸和WAIS（廣域信16西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文息服務(wù)）。但是，F(xiàn)TP和HTTP是使用最普遍的服務(wù)。它們還有潛力泄露出乎用戶意料之外的秘密。與任何其它 Internet 服務(wù)一樣，F(xiàn)TP一直是（而且仍是）易于被濫用的。值得一提的弱點(diǎn)涉及幾個(gè)方面。第一個(gè)危險(xiǎn)是配置不當(dāng)。它使站點(diǎn)的訪問(wèn)者（或潛在攻擊者）能夠獲得更多超出其預(yù)期的數(shù)據(jù)。他們一旦進(jìn)入，下一個(gè)危險(xiǎn)是可能破壞信息。一個(gè)未經(jīng)審查的攻擊者可以抹去用戶的整個(gè)FTP站點(diǎn)。最后一個(gè)危險(xiǎn)不必長(zhǎng)篇累牘， 這是因?yàn)樗粫?huì)造成破壞，而且是低水平的。它由用戶的FTP站點(diǎn)構(gòu)成，對(duì)于交換文件的人來(lái)說(shuō)，用戶的FTP站點(diǎn)成為“麻木不仁的窩臟點(diǎn)”。這些文件無(wú)所不包，可以是盜版軟件，也可以是色情畫(huà)。這種交換如何進(jìn)行的呢？簡(jiǎn)單的很。發(fā)送者發(fā)現(xiàn)了一個(gè)他們有權(quán)寫(xiě)入和拷入可疑文件的 FTP站點(diǎn)。通過(guò)某些其它方法，發(fā)送者通知它們的同伙文件可以使用。所有這些問(wèn)題都是由未正確規(guī)定許可條件而引起的。 最大的一個(gè)問(wèn)題可能是允許FTP用戶有機(jī)會(huì)寫(xiě)入。當(dāng)用戶通過(guò)FTP訪問(wèn)一個(gè)系統(tǒng)時(shí)，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問(wèn)，用戶的訪問(wèn)者也可以使用。所有這些問(wèn)題都是由未正確規(guī)定許可條件而引起的。最大的一個(gè)問(wèn)題可能是允許 FTP用戶有機(jī)會(huì)寫(xiě)入。當(dāng)用戶通過(guò)FTP訪問(wèn)一個(gè)系統(tǒng)時(shí)，這一般是 FTP用戶所做的事。因此， FTP用戶可以訪問(wèn)，用戶的訪問(wèn)者也可以訪問(wèn)。一般說(shuō)來(lái)，F(xiàn)TP用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立 FTP用戶。無(wú)論如何要保證將外殼設(shè)置為真正外殼以外的東西。 這一步驟防止 FTP用戶通過(guò)遠(yuǎn)程17西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文登錄進(jìn)行注冊(cè)（用戶或許已經(jīng)禁止遠(yuǎn)程登錄， 但是萬(wàn)一用戶沒(méi)有這樣做，確認(rèn)一下也不會(huì)有錯(cuò)）。將所有文件和目錄的主人放在根目錄下，不要放在 ftp 下。這個(gè)預(yù)防措施防止FTP用戶修改用戶仔細(xì)構(gòu)思出的口令。然后，將口令規(guī)定為 755（讀和執(zhí)行，但不能寫(xiě)，除了主人之外）。在用戶希望匿名用戶訪問(wèn)的所有目錄上做這項(xiàng)工作。盡管這個(gè)規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來(lái)。用戶還需要編制某些可用的庫(kù)。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將 /usr/lib/libe.so.1 和/usr/lib/libsock-et.so/1 拷貝到~ftp/usr/lib 中。接著將~ftp/usr/lib 上的口令改為555，并建立主接收器。最后，用戶需要在~ftp/dev/ 中建立/dev/null 和/dev/socksys 設(shè)備結(jié)點(diǎn)。用戶可以用mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會(huì)更加容易。SCO文檔說(shuō)用cpio,但是copy（非cp）很管用。如果用戶想建立一個(gè)人們都可用留下文件的目錄， 那麼可將它稱作輸入。允許其他人寫(xiě)入這個(gè)目錄，但不能讀。這個(gè)預(yù)防措施防止它成為麻木不仁的窩臟點(diǎn)。 人們可以在這里放入他們想放的任何東西， 但是他們不能將它們?nèi)〕?。如果用戶認(rèn)為信息比較適合共享，那麼將拷貝到另一個(gè)目錄中。4.1.3.提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟限制對(duì)網(wǎng)關(guān)的訪問(wèn)。限制網(wǎng)關(guān)上的帳號(hào)數(shù)。不要允許關(guān)不信任任何機(jī)器。沒(méi)有一18西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文臺(tái)機(jī)器應(yīng)該信任網(wǎng)關(guān)；不要用NFS向網(wǎng)關(guān)傳輸或接收來(lái)自網(wǎng)關(guān)的任何文件系統(tǒng)；不要在網(wǎng)關(guān)上使用NIS（網(wǎng)絡(luò)信息服務(wù)）；制訂和執(zhí)行一個(gè)非網(wǎng)關(guān)機(jī)器上的安全性方針；關(guān)閉所有多余服務(wù)和刪除多余程序刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、rlogin、FTP等等）；定期閱讀系統(tǒng)記錄。4.2網(wǎng)絡(luò)安全物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、 網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、 防用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境； 建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個(gè)主要問(wèn)題。 目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。 另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施， 如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽， 同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門(mén)窗進(jìn)行屏蔽和隔離；19西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。網(wǎng)絡(luò)結(jié)構(gòu)的安全網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否，也影響著網(wǎng)絡(luò)的安全性對(duì)銀行系統(tǒng)業(yè)務(wù)網(wǎng)，辦公網(wǎng)，與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍，安全保密程度進(jìn)行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅， 傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)，所以必須從兩個(gè)方面入手，一是加強(qiáng)|力問(wèn)控制：在內(nèi)部局網(wǎng)內(nèi)可以通過(guò)交換機(jī)劃分 VLAN功能來(lái)實(shí)現(xiàn)；或是通過(guò)配備防火墻來(lái)實(shí)現(xiàn)內(nèi)、 外網(wǎng)或不同信任域之間的隔離與訪問(wèn)控制： 也可以配備應(yīng)用層的訪問(wèn)控制軟件系統(tǒng)， 針對(duì)局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問(wèn)控制。 二是作好安全檢測(cè)工作：在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測(cè)系統(tǒng)， 實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤，實(shí)時(shí)報(bào)警，阻斷連接并做日志。操作系統(tǒng)的安全對(duì)操作系統(tǒng)必須進(jìn)行安全配置， 打上最新的補(bǔ)丁，還要利用相應(yīng)的掃描軟件對(duì)其進(jìn)行安全性掃描評(píng)估，檢測(cè)其存在的安全漏洞，分析系統(tǒng)的安全性，提出補(bǔ)救措施，管理人員應(yīng)用時(shí)必須加強(qiáng)身份認(rèn)證機(jī)制及認(rèn)證強(qiáng)度盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置， 關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用， 對(duì)一些關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制， 加強(qiáng)口令字的使用，及時(shí)給系統(tǒng)打補(bǔ)丁，系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)。應(yīng)用的安全要確保計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全， 主要從以下幾個(gè)方面作好安全防范工作： 一要配20西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文備防病毒系統(tǒng)，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)， 實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)； 二作好數(shù)據(jù)備份工作，最安全的，最保險(xiǎn)的方法是對(duì)重要數(shù)據(jù)信息進(jìn)行安全備份， 如果遇到系統(tǒng)受損時(shí)，可以利用災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù)； 三是對(duì)數(shù)據(jù)進(jìn)行加密傳輸，保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被泄露， 保證用戶數(shù)據(jù)的機(jī)密性，數(shù)據(jù)加密的方法有從鏈路層加密，網(wǎng)絡(luò)層加密及應(yīng)用層加密；四是進(jìn)行信息鑒別，為了保證數(shù)據(jù)的完整性，就必須采用信息鑒別技術(shù)，VPN設(shè)備便能實(shí)現(xiàn)這樣的功能，數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段，它可以確認(rèn)信息的來(lái)源的可靠性，結(jié)合傳輸加密技術(shù)，我們可以選擇 VPN設(shè)備，實(shí)現(xiàn)保護(hù)數(shù)據(jù)的機(jī)密性，完整性，真實(shí)性，可靠性。我們可以做的有：第一部分是增強(qiáng)用戶認(rèn)證 ,用戶認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門(mén),最后防線為審計(jì)和數(shù)據(jù)備份 ,不加強(qiáng)這道大門(mén)的建設(shè),整個(gè)安全體系就會(huì)較脆弱。用戶認(rèn)證的主要目的是提供訪問(wèn)控制和不可抵賴的作用。 用戶認(rèn)證方法按其層次不同可以根據(jù)以下三種因素提供認(rèn)證。用戶持有的證件,如大門(mén)鑰匙、門(mén)卡等等;用戶知道的信息,如密碼;用戶特有的特征,如指紋、聲音、視網(wǎng)膜掃描等等。根據(jù)在認(rèn)證中采用因素的多少,可以分為單因素認(rèn)證、雙因素認(rèn)證,多因素認(rèn)證等方法。第二部分是授權(quán),這主要為特許用戶提供合適的訪問(wèn)權(quán)限 ,并監(jiān)控用戶的活動(dòng),使其不越權(quán)使用。該部分與訪問(wèn)控制(常說(shuō)的隔離功能)是相對(duì)立的。隔離不是管理的最21西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文終目的,管理的最終目的是要加強(qiáng)信息有效、 安全的使用,同時(shí)對(duì)不同用戶實(shí)施不同訪問(wèn)許可。第三部分是加密。在上述的安全體系結(jié)構(gòu)中 ,加密主要滿足以下幾個(gè)需求。認(rèn)證——識(shí)別用戶身份,提供訪問(wèn)許可;一致性——保證數(shù)據(jù)不被非法篡改;隱密性——保護(hù)數(shù)據(jù)不被非法用戶查看;不可抵賴——使信息接收者無(wú)法否認(rèn)曾經(jīng)收到的信息。加密是信息安全應(yīng)用中最早開(kāi)展的有效手段之一,數(shù)據(jù)通過(guò)加密可以保證在存取與傳送的過(guò)程中不被非法查看、篡改、竊取等。在實(shí)際的網(wǎng)絡(luò)與信息安全建設(shè)中 ,利用加密技術(shù)至少應(yīng)能解決以下問(wèn)題 :鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書(shū)、私密等的保證分發(fā)措施;建立權(quán)威鑰匙分發(fā)機(jī)構(gòu);保證數(shù)據(jù)完整性技術(shù);數(shù)據(jù)加密傳輸;數(shù)據(jù)存儲(chǔ)加密等。第四部分為審計(jì)和監(jiān)控 ,確切說(shuō),還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問(wèn)題 ,這部分可以提供問(wèn)題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。在網(wǎng)絡(luò)和信息安全模型中 ,這五個(gè)部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ),如果缺少下面各層次的安全保障 ,上一層的安全措施則無(wú)從說(shuō)起。如果一個(gè)企業(yè)沒(méi)有對(duì)授權(quán)用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標(biāo)準(zhǔn) ,22西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文那么對(duì)用戶授權(quán)的控制過(guò)程以及事后的審計(jì)等的工作就會(huì)變得非常困難。管理的安全安全體系的建立和維護(hù)需要有良好的管理制度和很高的安全意識(shí)來(lái)保障。安全意識(shí)可以通過(guò)安全常識(shí)培訓(xùn)來(lái)提高， 行為的約束只能通過(guò)嚴(yán)格的管理體制， 并利用法律手段來(lái)實(shí)現(xiàn)，因國(guó)這些必須在電信部門(mén)系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求， 制定安全管理制度并嚴(yán)格按執(zhí)行，并通過(guò)安全知識(shí)及法律常識(shí)的培訓(xùn)， 加強(qiáng)整體員工的自身安全意識(shí)及防范外部入侵的安全技術(shù)。4.3網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過(guò)程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個(gè)基礎(chǔ)之上。體系化設(shè)計(jì)原則。通過(guò)分析信息網(wǎng)絡(luò)的層次關(guān)系， 提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)， 從而最大限度地解決可能存在的安全問(wèn)題。全局綜合性設(shè)計(jì)原則。從中小企業(yè)的實(shí)際情況看， 單純依靠一種安全措施，并不能解決全部的安全問(wèn)題。建議考慮到各種安全措施的使用，使用一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案及產(chǎn)品?？尚行?、可靠性及安全性?？尚行允前踩桨傅母?，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證， 而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。23西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文第5章 實(shí)現(xiàn)中小型企業(yè)網(wǎng)絡(luò)安全的規(guī)劃與設(shè)計(jì)5.1整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上， 因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、 威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。 舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門(mén)程序的蠕蟲(chóng)病毒是簡(jiǎn)單的防火墻 /VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。如圖所示，這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻/VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施， 將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。24西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文5.2整體安全防護(hù)體系基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，采用一種整合型高可靠性安全防火墻。(1)訪問(wèn)控制實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門(mén)之間的隔離。其關(guān)鍵在于應(yīng)支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無(wú)連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶自定義協(xié)議等。(2)普通授權(quán)與認(rèn)證提供多種認(rèn)證和授權(quán)方法 ,控制不同的信息源。(3)內(nèi)容安全對(duì)流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢查 ,包括URL過(guò)濾等等。(4)加密提供防火墻與防火墻之間、防火墻與移動(dòng)用戶之間信息的安全傳輸。(5)網(wǎng)絡(luò)設(shè)備安全管理目前一個(gè)企業(yè)網(wǎng)絡(luò)可能會(huì)有多個(gè)連通外界的出口 ,如連接ISP的專線、撥號(hào)線等,同時(shí),在大的企業(yè)網(wǎng)內(nèi)不同部門(mén)和分公司之間可能亦會(huì)有由多級(jí)網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。根據(jù)信息源的分布情況 ,有必要對(duì)不同網(wǎng)絡(luò)和資源實(shí)施不同的安全策略和多種級(jí)別的安全保護(hù),如可以在防火墻上實(shí)施路由器、交換機(jī)、訪問(wèn)服務(wù)器的安全管理。(6)集中管理實(shí)施一個(gè)企業(yè)一種安全策略 ,實(shí)現(xiàn)集中管理、集中監(jiān)控等。25西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文(7)提供記帳、報(bào)警功能實(shí)施移動(dòng)方式的報(bào)警功能 ,包括E-mail、SNMP等。5.3INTERNET和信息發(fā)布服務(wù)這種情況非常普遍，ISP或ICP，企業(yè)的網(wǎng)頁(yè)，在INTERNET上提供息服務(wù)或提供數(shù)據(jù)庫(kù)服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為， 必須允許用戶能夠訪問(wèn)到你提供服務(wù)的主機(jī)，都屬于這種情況。對(duì)訪問(wèn)服務(wù)行業(yè)而言，訪問(wèn)服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機(jī)放在外部用戶可以訪問(wèn)的地方，也就是說(shuō)，主機(jī)安全幾乎是唯一的保證。除非明確地知道 誰(shuí)會(huì)對(duì)你的訪問(wèn)驚醒破壞，才可以對(duì)出口路由器或出口防火墻驚醒一些針對(duì)性的限制訪問(wèn)控制的設(shè)定，否則，訪問(wèn)控制變得毫無(wú)意義。主機(jī)安全是一個(gè)非常有效的手段。 所謂的主機(jī)安全是一個(gè)非常廣義的概念， 首先是要有一個(gè)安全的操作系統(tǒng)，建立在一個(gè)不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無(wú)法作到一個(gè)安全的主機(jī)。 然后是仔細(xì)的檢查你所提供的服務(wù)， 如果不是你所必須提供的服務(wù)，建議除掉一切你所不需要的進(jìn)程， 對(duì)你的服務(wù)而言，它們都是你安全上的隱患?？梢圆捎靡恍┌踩珯z測(cè)或網(wǎng)絡(luò)掃描工具來(lái)確定你的服務(wù)器上到底有伸麼服務(wù)，以保證是否有安全漏洞或隱患。 最后是對(duì)主機(jī)確定非常嚴(yán)格的訪問(wèn)限制規(guī)則， 除了允許提供商愿意提供的服務(wù)之外， 宣紙并拒絕所有未允許的服務(wù)， 這是一個(gè)非常嚴(yán)格的措施。除了主機(jī)安全以外，如果還需要提高服務(wù)的安全性， 就該考慮采用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控26西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文和交互式動(dòng)態(tài)防火墻。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)，會(huì)自動(dòng)捕捉網(wǎng)絡(luò)上所有的通信包， 并對(duì)其進(jìn)行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商所允許的服務(wù)不同，交互式防火墻立即采取措施， 封堵或拒絕用戶的訪問(wèn)，將其拒絕在防火墻之外，并報(bào)警。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)和交互式防火墻具有很強(qiáng)的審計(jì)功能， 但成本相對(duì)偏高。5.4INTERNET和內(nèi)部網(wǎng)企業(yè)一方面訪問(wèn) INTERNET，得到INTERNET所帶來(lái)的好處，另一方面，卻不希望外部用戶去訪問(wèn)企業(yè)的內(nèi)部數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)。 企業(yè)當(dāng)然沒(méi)有辦法去建立兩套網(wǎng)絡(luò)來(lái)滿足這種需求。防火墻的基本思想不是對(duì)每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)， 而是讓所有對(duì)系統(tǒng)的訪問(wèn)通過(guò)某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對(duì)受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實(shí)施比較慣犯的安全政策來(lái)控制信息流， 防止不可預(yù)料的潛在的入侵破壞。根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。1、包過(guò)濾防火墻包過(guò)濾防火墻的安全性是基于對(duì)包的 IP地址的校驗(yàn)。在Internet 上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的 IP地址和接收方的IP地址。包過(guò)濾防火墻將所有通過(guò)的信息包中發(fā)送方 IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過(guò)濾原則過(guò)濾信息包。那些不符合規(guī)定的 IP地址27西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文的信息包會(huì)被防火墻過(guò)濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過(guò)濾防火墻是基于訪問(wèn)控制來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源 IP地址、封裝協(xié)議、端口號(hào)等）判定與過(guò)濾規(guī)則相匹配與否決定舍取。 建立這類防火墻需按如下步驟去做；建立安全策略；寫(xiě)出所允許的和禁止的任務(wù)； 將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫(xiě)邏輯表達(dá)式并設(shè)置之，包過(guò)濾防火墻主要是防止外來(lái)攻擊， 或是限制內(nèi)部用戶訪問(wèn)某些外部的資源。 如果是防止外部攻擊，針對(duì)典型攻擊的過(guò)濾規(guī)則，大體有：對(duì)付源IP地址欺騙式攻擊（SourceIPAddressSpoofingAttacks ）對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源 IP地址為內(nèi)部網(wǎng)絡(luò) IP地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來(lái)自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。對(duì)付殘片攻擊（TinyFragmentAttacks ）入侵者使用TCP/IP數(shù)據(jù)包分段特性，創(chuàng)建極小的分段并強(qiáng)行將 TCP/IP頭信息分成多個(gè)數(shù)據(jù)包，以繞過(guò)用戶防火墻的過(guò)濾規(guī)則。 黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò)。對(duì)付這類攻擊，防火墻只需將 TCP/IP協(xié)議片斷位移植FragmentOffset）為1的數(shù)據(jù)包全部丟棄即可。包過(guò)濾防火墻簡(jiǎn)單、透明，而且非常行之有效，能解決大部分的安全問(wèn)題，但必須了解包過(guò)濾防火墻不能做伸麼和有伸麼缺點(diǎn)。對(duì)于采用動(dòng)態(tài)分配端口的服務(wù)，如很多 RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過(guò)濾。包過(guò)濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對(duì)其作日志，導(dǎo)致對(duì)過(guò)濾的 IP地址的28西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文不同用戶，不具備用戶身份認(rèn)證功能，不具備檢測(cè)通過(guò)高層協(xié)議（如應(yīng)用層）實(shí)現(xiàn)的安全攻擊的能力。2、代理防火墻包過(guò)濾防火墻從很大意義上像一場(chǎng)戰(zhàn)爭(zhēng)， 黑客想攻擊，防火墻堅(jiān)決予以拒絕。而代理服務(wù)器則是另外一種方式， 能回避就回避，甚至干脆隱藏起來(lái)。代理服務(wù)器接收客戶請(qǐng)求后會(huì)檢查驗(yàn)證其合法性， 如其合法，代理服務(wù)器象一臺(tái)客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái)， 從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過(guò)， 而其他所有服務(wù)都完全被封鎖住。代理服務(wù)器非常適合那些根本就不希望外部用戶訪問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò)， 而也不希望內(nèi)部的用戶無(wú)限制的使用或?yàn)E用 INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來(lái)，內(nèi)部的用戶需要驗(yàn)證和授權(quán)之后才可以去訪問(wèn) INTERNET。代理服務(wù)器包含兩大類：一類是電路級(jí)代理網(wǎng)關(guān)，另一類是應(yīng)用級(jí)代理網(wǎng)關(guān)。電路級(jí)網(wǎng)關(guān)又稱線路級(jí)網(wǎng)關(guān)， 它工作在會(huì)話層。它在兩主機(jī)收次建立 TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求， 轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制， 其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。電路級(jí)網(wǎng)關(guān)的防火墻的安全性比較高， 但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)29西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文用層攻擊的威脅。應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)， 如TELNET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過(guò)，也就是說(shuō)只有那些被認(rèn)為“可信賴的”服務(wù)才被允許通過(guò)防火墻。另外代理服務(wù)還可以過(guò)濾協(xié)議，如過(guò)濾FTP連接、拒絕使用FTP放置命令等。應(yīng)用級(jí)網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門(mén)的代理服務(wù)程序。兩種代理技術(shù)都具有登記、日記、統(tǒng)計(jì)和報(bào)告功能，有很好的審計(jì)功能。還可以具有嚴(yán)格的用戶認(rèn)證功能。先進(jìn)的認(rèn)證措施，如驗(yàn)證授權(quán) RADIUS、智能卡、認(rèn)證令牌、生物統(tǒng)計(jì)學(xué)和基于軟件的工具已被用來(lái)克服傳統(tǒng)口令的弱點(diǎn)。3、狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認(rèn)為是下一代的網(wǎng)絡(luò)安全技術(shù)。 傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對(duì)網(wǎng)絡(luò)安全正常的工作完全沒(méi)有影響的前提下， 采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層次實(shí)行監(jiān)測(cè)，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)擴(kuò)充。 狀態(tài)監(jiān)視服務(wù)可以監(jiān)視 RPC（遠(yuǎn)程過(guò)程調(diào)用）和UDP（用戶數(shù)據(jù)包）端口信息，而包過(guò)濾和代理服務(wù)則都無(wú)法做到。網(wǎng)絡(luò)狀態(tài)監(jiān)控對(duì)主機(jī)的要求非常高， 128M的內(nèi)存可能是一個(gè)基本的要求，硬盤(pán)的要求也非常大，至少要求 9G，對(duì)SWAP區(qū)至少也要求 192M以上。一個(gè)好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng)，處理的量可能高達(dá)每秒 45M左右（一條T3的線路）。網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果，直接就是要求能夠有一種交互式的防火墻來(lái)滿足客戶較高的要求。中網(wǎng)的 IP防火墻就是這樣一種產(chǎn)品。30西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文4、虛擬專用網(wǎng)VPNEXTRANET和VPN是現(xiàn)代網(wǎng)絡(luò)的新熱點(diǎn)。虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問(wèn)題。在無(wú)法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下，一種行之有效的辦法就是加密， 而加密就是必須考慮加密算法和密碼的問(wèn)題?？紤]到我國(guó)對(duì)密碼管理的體制情況， 密碼是一個(gè)單獨(dú)的領(lǐng)域。對(duì)防火墻而言，是否防火墻支持對(duì)其他密碼體制的支持， 支持提供API來(lái)調(diào)用第三方的加密算法和密碼，非常重要。5、病毒防護(hù)系統(tǒng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。6、垃圾郵件過(guò)濾系統(tǒng)過(guò)濾郵件，阻止垃圾郵件及病毒郵件的入侵。7、移動(dòng)用戶管理系統(tǒng)對(duì)內(nèi)部筆記本電腦在外出后， 接入內(nèi)部網(wǎng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。8、帶寬控制系統(tǒng)使網(wǎng)管人員對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)流量情況能夠清晰了解。 掌握整個(gè)網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬?？傮w安全結(jié)構(gòu)圖：31西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文32西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文結(jié)論本次畢業(yè)設(shè)計(jì)中，主要任務(wù)是對(duì)中小企業(yè)的網(wǎng)絡(luò)安全進(jìn)行合理化系統(tǒng)化的規(guī)劃與設(shè)計(jì)。系統(tǒng)主要具備以下優(yōu)點(diǎn)：可行性、可靠性和安全性高，能最大限度的為中小型企業(yè)的網(wǎng)絡(luò)保證好安全問(wèn)題。另外，本系統(tǒng)尚存在一些缺陷，主要表現(xiàn)如下：前期對(duì)設(shè)備的經(jīng)濟(jì)投入有點(diǎn)高，且此次設(shè)計(jì)只適合對(duì)網(wǎng)絡(luò)安全要求比較高的中小型企業(yè)網(wǎng)絡(luò)。33西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文致 謝本次畢業(yè)設(shè)計(jì)我得到了孫老師的精心指導(dǎo)， 不管是從開(kāi)始定方向還是在查資料準(zhǔn)備的過(guò)程中，一直都耐心地給予我指導(dǎo)和意見(jiàn)， 使我在總結(jié)學(xué)業(yè)及撰寫(xiě)論文方面都有了較大提高；同時(shí)也顯示了老師高度的敬業(yè)精神和責(zé)任感。 在此，我對(duì)孫老師表示誠(chéng)摯的感謝以及真心的祝福。34西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文參考文獻(xiàn)蔣建春.《計(jì)算機(jī)網(wǎng)絡(luò)信息安全理論與實(shí)踐教程》[M].北京:北京郵電大學(xué)出版社,2008,67-70袁浩.《Internet接入·網(wǎng)絡(luò)安全》[M].北京:電子工業(yè)出版社,2011,劉化君.《網(wǎng)絡(luò)完全技術(shù)》[M].上海:機(jī)械工業(yè)出版社,2010,35西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。作者 簽名： 日 期：指導(dǎo)教師簽名： 日 期：使用授權(quán)說(shuō)明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。作者簽名： 日 期：36西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書(shū)本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門(mén)或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。作者簽名： 日期： 年 月 日導(dǎo)師簽名： 日期： 年 月 日37西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文注意事項(xiàng)1.設(shè)計(jì)（論文）的內(nèi)容包括：1）封面（按教務(wù)處制定的標(biāo)準(zhǔn)封面格式制作）2）原創(chuàng)性聲明3）中文摘要（300字左右）、關(guān)鍵詞4）外文摘要、關(guān)鍵詞5）目次頁(yè)（附件不統(tǒng)一編入）6）論文主體部分：引言（或緒論） 、正文、結(jié)論7）參考文獻(xiàn)8）致謝9）附錄（對(duì)論文支持必要時(shí)）2.論文字?jǐn)?shù)要求：理工類設(shè)計(jì)（論文）正文字?jǐn)?shù)不少于 1萬(wàn)字（不包括圖紙、程序清單等） ，文科類論文正文字?jǐn)?shù)不少于 1.2萬(wàn)字。3.附件包括：任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件） 。4.文字、圖表要求：1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫(xiě)2）工程設(shè)計(jì)類題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà)38西南科技大學(xué)高等教育自學(xué)考試（信息管理與服務(wù)）畢業(yè)論文3）畢業(yè)論文須用 A4單面打印，論文 50頁(yè)以上的雙面打印4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上5）軟件工程類課題應(yīng)有程序清單，并提供電子文檔5.裝訂順序1）設(shè)計(jì)（論文）2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂3）其它基于C8051F單片機(jī)直流電動(dòng)機(jī)反饋控制系統(tǒng)的設(shè)計(jì)與研究基于單片機(jī)的嵌入式Web服務(wù)器的研究MOTOROLA單片機(jī)MC68HC（8）05PV8/A內(nèi)嵌EEPROM的工藝和制程方法及對(duì)良率的影響研究基于模糊控制的電阻釬焊單片機(jī)溫度控制系統(tǒng)的研制基于MCS-51系列單片機(jī)的通用控制模塊的研究基于單片機(jī)實(shí)現(xiàn)的供暖系統(tǒng)最佳啟停自校正（STR）調(diào)節(jié)器單片機(jī)控制的二級(jí)倒立擺系統(tǒng)的研究基于增強(qiáng)型51系列單片機(jī)的TCP/IP協(xié)議棧的實(shí)現(xiàn)基于單片機(jī)的蓄電池自動(dòng)監(jiān)測(cè)系統(tǒng)基于32位嵌入式單片機(jī)系統(tǒng)的圖像采集與處理技術(shù)的研究基于單片機(jī)的作物營(yíng)養(yǎng)診斷專家系統(tǒng)的研究基于單片機(jī)的交流伺服電機(jī)