企業(yè)內網的安全性研究及品牌4S店二手車置換的發(fā)展前景分析

目錄緒論 3第一章：企業(yè)網絡安全分析 4一、現(xiàn)狀分析 41.1Internet的安全性 41.2．企業(yè)內網的安全性 51.3項目背景 51.4項目分析 71.4.1安全設備分布 71.4.2網絡設備安全現(xiàn)狀 81.4.3服務器部署現(xiàn)狀 81.4.4客戶端計算機 91.4.5無線局域網安全現(xiàn)狀 91.4.6網絡隱患、風險分析 101.5項目需求 121.5.1網絡安全需求 121.5.2網絡訪問安全需求 131.6項目規(guī)劃 131.6.1服務器安全規(guī)劃 141.6.2客戶端安全規(guī)劃 151.6.3網絡設備安全規(guī)劃 161.6.4無線準備安全規(guī)劃 171.6.5防火墻、IDS、IPS規(guī)劃 181.6.6局域網接入安全規(guī)劃 191.6.7Internet接入安全規(guī)劃 191.6.8遠程接入安全規(guī)劃 201.6.9網絡可靠性規(guī)劃 21第二章：企業(yè)網絡安全的實際應用 212.1企業(yè)網絡安全實施 212.2網絡傳輸的實施 222.3訪問控制 252.4入侵檢測 252.5漏洞掃描 262.6其它 272.6.1應用系統(tǒng)安全 272.6.2系統(tǒng)平臺安全 272.6.3應用平臺安全 272.7病毒防護 272.8產品應用 282.9數據備份 312.10安全審計 322.11認證、鑒別、數字簽名、抗抵賴 322.12物理安全 332.13兩套網絡的相互轉換 332.14應用 332.15防電磁輻射 332.16網絡防雷 342.17重要信息點的物理保護 34武漢理工大學華夏學院畢業(yè)論文PAGEPAGE39武漢理工大學華夏學院畢業(yè)論文摘要網絡安全的本質是網絡信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網絡信息的存儲、傳輸和使用過程體現(xiàn)。網絡安全管理是在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自網外的攻擊。防火墻，則是內外網之間一道牢固的安全屏障。安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。建立了一套網絡安全系統(tǒng)是必要的。

緒論隨著網絡的高速發(fā)展，網絡的安全問題日益突出，近年來，黑客攻擊、網絡病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網絡安全建設和管理工作。但是在企業(yè)網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網絡規(guī)模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，企業(yè)網在企業(yè)的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證企業(yè)網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題。

第一章：企業(yè)網絡安全分析隨著企業(yè)信息化的不斷推進，各企業(yè)都相繼建成了自己的企業(yè)網絡并連入互聯(lián)網，企業(yè)網在企業(yè)的信息化建設中扮演了至關重要的角色。但必須看到，隨著企業(yè)網絡規(guī)模的急劇膨脹,網絡用戶的快速增長，尤其是企業(yè)網絡所面對的使用群體的特殊性（擁有一定的網絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證企業(yè)網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業(yè)不可回避的一個緊迫問題，解決網絡安全問題刻不容緩?，F(xiàn)狀分析隨著國內計算機和網絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但是，Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕洕鷵p失。如何使信息網絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。大型企業(yè)不斷發(fā)展的同時其網絡規(guī)模也在不斷的擴大，由于其自身業(yè)務的需要，在不同的地區(qū)建有分公司或分支機構，本地龐大的Intranet和分布在全國各地的Intranet之間互相連接形成一個更加龐大的網絡。這樣一個網網相連的企業(yè)網為企業(yè)提高了效率、增加企業(yè)競爭力，同樣，這樣復雜的網絡面臨更多的安全問題。首先本地網絡的安全需要保證，同時總部與分支機構、分支機構之間的機密信息傳輸問題，以及集團的設備管理問題，這樣的網絡使用環(huán)境一般存在下列安全隱患和需求：1.1Internet的安全性目前互聯(lián)網應用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網絡安全建設已經迫在眉捷。1.2．企業(yè)內網的安全性企業(yè)內部的網絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數據完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數據備份及災難恢復措施等。具體表現(xiàn)如下：? 計算機病毒在企業(yè)內部網絡傳播。? 內部網絡可能被外部黑客攻擊。? 對外的服務器（如：www、ftp、郵件服務器等）沒有安全防護，容易被黑客攻擊。? 內部某些重要的服務器或網絡被非法訪問，造成信息泄密。? 內部網絡用戶上網行為沒有有效監(jiān)控管理，影響日常工作效率，容易形成內部網絡的安全隱患。? 分支機構網絡安全問題。? 大量的垃圾郵件占用網絡和系統(tǒng)資源，影響正常的工作。? 分支機構網絡和總部網絡連接安全和之間數據交換的安全問題。? 遠程、移動用戶對公司內部網絡的安全訪問。1.3項目背景假設某企業(yè)擁有員工2000余人，公司總部坐落在省會城市高新技術開發(fā)區(qū)，包括4個生產車間和兩棟職工宿舍樓，產品展示、技術開發(fā)與企業(yè)辦公均在總公司進行。該企業(yè)在外地另開設有兩家分公司，由總公司進行統(tǒng)一管理和部署。目前，該企業(yè)的拓撲結構圖如圖1-1所示，基本情況如下。1、公司局域網已經基本覆蓋整個廠區(qū)，中心機房位于總公司，職工宿舍樓和生產車間均有網絡覆蓋。2、網絡拓撲結構為“星型+樹型”，接入層交換機為CiscoCatalyst2960，匯聚層交換機為CiscoCatalyst3560，核心層交換機為CiscoCatalyst35603、現(xiàn)有接入用戶數量為500個，客戶端均使用私有IP地址，通過防火墻或代理服務器接入Internet。部分服務器IP地址為公有IP地址。4、Internet接入區(qū)的防火墻主要提供VPN接入功能，用于遠程移動用戶或子公司網絡提供遠程安全訪問。5、會議室、員工宿舍等場所部署無線接入點，實現(xiàn)隨時隨地無線漫游接入。6、服務器操作系統(tǒng)平臺多為WindowsServer2003和WindowsServer2008系統(tǒng)?？蛻舳讼到y(tǒng)為WindowsXPProfessional和Windows77、網絡中部署有Web服務器，為企業(yè)網站運行平臺。8、企業(yè)網絡辦公平臺為WSS，文件服務器可以為智能大廈的辦公用戶提供文件共享、存儲于訪問。9、E-mail、RTX為用戶員工之間的彼此交流，以及企業(yè)與外界的通信網絡。10、打印服務和傳真服務主要滿足企業(yè)用戶網絡辦公的應用。11、企業(yè)分支結構通過VPN方式遠程接入總部局域網，并且可以訪問網絡中的共享資源。圖1-1項目背景1.4項目分析在普通小型局域網中，最常見的安全防護手段就是在路由器后部署一道防火墻，甚至安全需求較低的網絡并無硬件防火墻，只是在路由器和交換機上進行簡單的訪問控制和數據包篩選機制就可以了。但是，在較大的企業(yè)網絡中，許多重要應用都要依賴網絡，勢必對網絡的安全性的要求高一些，在部署網絡安全設備的同時，必須輔助多種訪問控制與安全配置措施，加固網絡安全。1.4.1安全設備分布防火墻由于企業(yè)局域網采用以太網接入方式，所以直接使用防火墻充當接入設備，部署在網絡邊緣，防火墻連接的內網路由器上配置訪問列表和靜態(tài)路由信息。另外，在會議室、產品展示廳等公共環(huán)境中的匯聚交換機和核心交換機之間部署硬件防火墻，防止公共環(huán)境中可能存在的安全風險通過核心設備傳播到整個網絡。IPSIPS（IntrusionPreventionSystem，入侵防御系統(tǒng)）部署在Internet接入區(qū)的路由器和核心交換機之間，用于掃描所有來自Internet的信息，以便及時發(fā)現(xiàn)網絡攻擊和制定解決方案。IDSIDS（InternetDetectionSystem，入侵檢測系統(tǒng)）本身是一個典型的探測設備，類似于網絡嗅探器，無需轉發(fā)任何流量，而只需要在網絡上被動地、無聲息地收集相應的報文即可。IDS無法跨越物理網段收集信息，只能收集所在交換機的某個端口上的所有數據信息。該網絡中的IDS部署在安全需求最高的服務區(qū)，用于實時偵測服務器區(qū)交換機轉發(fā)的所有信息，對收集來的報文，IDS將提取相應的流量統(tǒng)計特征值，并利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據默認的閥值，匹配耦合度較高的報文流量將被認為是進攻，IDS將根據相應的配置進行報警或進行有限度的反擊。CiscoSecurityMARSCiscoSecurityMARS(MonitoringAnalysisResponseSystem)是基于設備的全方位解決方案，是網絡管理的關鍵組成部分。MARS可以自動識別、管理并抵御安全威脅，它能與現(xiàn)有網絡和安全部署協(xié)作，自動識別并隔離網絡威脅，同時提出準確的清除建議。在本例企業(yè)網絡中，MARS直接連接在核心交換機上，用于收集經過核心交換機的所有數據信息，自動生成狀態(tài)日志，供管理員調閱。1.4.2網絡設備安全現(xiàn)狀當網絡中的交換機、路由器等網絡設備都是可網管的智能設備，并且提供Web管理方式，同時配置了基本的安全防御措施，如登陸密碼、用戶賬戶權限等。交換機和路由器安全設置交換機的主要功能就是提供網絡所需的接入接口。目前，該網絡中基于交換機的安全管理僅限于VLAN劃分、Enable密碼和Telnet密碼等基本安全措施，并未進行任何高級安全配置，如流量控制，遠程監(jiān)控、IEEE802.1x安全認證等，存在較大的安全隱患。企業(yè)網絡采用以太網接入Internet,而網絡中部署的網絡防火墻已具備接入功能，所以該網絡中的路由器上只配置簡單的靜態(tài)路由、訪問控制列表和網絡地址轉換，可以滿足基本的安全要求。辦公設備安全配置企業(yè)網絡中的集中辦公設備包括打印機和傳真機，均支持網絡接入功能，部署在樓層的集中辦公區(qū)。由于缺乏訪問權限控制措施，致使網絡打印機和傳真機被濫用，造成不必要的資源浪費。另外，用戶計算機到打印機之間的數據傳輸是未經加密的明文，存在一定的安全隱患。1.4.3服務器部署現(xiàn)狀網絡中應用服務器包括域控制器、DHCP服務器、文件服務器、傳真服務器、網絡辦公平臺、數據庫服務器等，其中有許多網絡服務合用一臺服務器，網絡中共有服務器10臺，通過單獨的交換機高速連接至核心交換機，完全采用鏈路冗余結束雙線連接，確保連接的可靠性。所有服務器均已加入域中，接受域控制器的統(tǒng)一管理，并且已開啟遠程終端功能，用戶可以使用有效的管理員賬戶憑據遠程登錄服務器，實現(xiàn)相應的配置與管理任務。1.4.4客戶端計算機客戶端計算機主要以Windows操作系統(tǒng)為主，極少數用戶是運行Linux和MacOS操作系統(tǒng)?？蛻舳擞嬎銠C的安全防御比較薄弱，僅限于用戶賬戶登錄密碼、個人防火墻、殺毒軟件等。因此，由于個別客戶端感染病毒而導致網絡癱瘓的問題時有發(fā)生。對于Windows系統(tǒng)而言，應用最多的WindowsXPProfessional和WindowsVista系統(tǒng)已經集成了比較完善的安全防御功能，如Internet防火墻、Windows防火墻、WindowsDefender、WindowsUpdate等，客戶端用戶只需對這些功能簡單配置，即可增強系統(tǒng)安全性。另外，對于中型規(guī)模的企業(yè)網絡而言，統(tǒng)一的網絡管理才是最重要的。例如，統(tǒng)一配置客戶端計算機安全功能、增強網絡訪問控制、部署NAP系統(tǒng)、部署WSUS服務器等。1.4.5無線局域網安全現(xiàn)狀在企業(yè)網絡中部署無線局域網，延伸了有線局域網的覆蓋范圍，避免網絡布線對現(xiàn)有整體布局和裝修的破壞，既是環(huán)境需求，也是企業(yè)發(fā)展和生存的需要。用戶在無線網絡覆蓋范圍內可以自由訪問網絡，充分享受無線暢游的便利。但是，由于無線網絡傳輸的特殊性，無線局域網的安全問題也是不容忽視的。該企業(yè)網絡中的無線網絡安全問題，主要表現(xiàn)在以下幾個方面。WEP密鑰發(fā)布問題802.11本身并未規(guī)定密鑰如何分發(fā)。所有安全性考慮的前提是假定密鑰已通過與802.11無關的安全渠道送到了工作站點上，而在實際應用中，一般都是手工設置，并長期固定使用4個可選密鑰之一。因此，當工作站點增多時，手工方法的配置和管理將十分繁瑣且效率低下，而且密鑰一旦丟失，WLAN將無安全性可言。2.WEP用戶身份認證方法的缺陷802.11標準規(guī)定了兩種認證方式：開放系統(tǒng)認證和共享密鑰認證。開發(fā)系統(tǒng)認證是默認的認證方法，任何移動站點都可加入BSS（BasicServiceSet,基本服務集），并可以跟AP（AccessPoint,接入點）通信，能“聽到”所有未加密的數據，可見，這種方法根本密鑰提供認證，也就不存在安全性。共享密鑰認證是一種請求響應認證機制：AP在收到工作站點STA（StaticTimingAnalysis，靜態(tài)時序分析）的請求接入消息時發(fā)送詢問消息，STA對詢問消息使用共享密鑰進行加密并送回AP，AP解密并校驗消息的完整性，若成功，則允許STA接入WLAN。攻擊者只需抓住加密前后的詢問消息，加以簡單的數字運算就可以得到共享密鑰生成的偽隨機密碼流，然后偽造合法的響應消息通過AP認證后接入WLAN。3.SSID和MAC地址過濾WEP服務集標識SSID由Lucent公司提出，用于對封閉網絡進行訪問控制。只有與AP有相同的SSID的客戶站點才允許訪問WLAN。MAC地址過濾的想法是AP中存有合法客戶站點MAC地址列表，拒絕MAC地址不在列表中的站點接入被保護的網絡。但由于SSID和MAC地址很容易被竊取，因此安全性較低。4．WEP加密機制的天生脆弱性WEP加密機制的天生脆弱性是受網絡攻擊的最主要原因，WEP2算法作為802.11i的安全標準，對現(xiàn)有系統(tǒng)改進相對較小并易于實現(xiàn)。1.4.6網絡隱患、風險分析企業(yè)現(xiàn)階段網絡系統(tǒng)的網絡結構和業(yè)務流程，結合企業(yè)今后進行的網絡化應用范圍的拓展考慮，企業(yè)網主要的安全威脅和安全漏洞包括以下幾方面：1內部竊密和破壞企業(yè)網絡上同時接入了其它部門的網絡系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。2搭線(網絡)竊聽這種威脅是網絡最容易發(fā)生的。攻擊者可以采用如Sniffer等網絡協(xié)議分析工具，在INTERNET網絡安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。企業(yè)網絡系統(tǒng)來講，由于存在跨越INTERNET的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。3假冒這種威脅既可能來自企業(yè)網內部用戶，也可能來自INTERNET內的其它用戶。如系統(tǒng)內部攻擊者偽裝成系統(tǒng)內部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息?；蛘邇炔坑脩敉ㄟ^假冒的方式獲取其不能閱讀的秘密信息。4完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于XXX企業(yè)網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。5其它網絡的攻擊企業(yè)網絡系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網絡攻擊，如試圖進入網絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數據、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。6管理及操作人員缺乏安全知識由于信息和網絡技術發(fā)展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系統(tǒng)時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統(tǒng)成為擺設，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網絡漏洞。由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發(fā)揮其作用，避免使用上的漏洞。7雷擊由于網絡系統(tǒng)中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網絡系統(tǒng)采取相應的防雷措施。1.5項目需求由于該公司的主要業(yè)務為高新產品的開發(fā)和生產，掌握眾多機密信息，并且下設多個部門，所以對網絡安全性和穩(wěn)定性要求比較高。無論是基礎網絡還是客戶端都必須嚴格做好安全防御工作。1.5.1網絡安全需求綜合項目成本和實際應用等多方面因素，可以從如下幾個方面滿足用戶需求。一、將防火墻部署在網絡邊緣，用于隔離來自Internet的所有網絡風險。二、在路由器和核心交換機之間部署IPS，對全網的所有Internet通信進行檢測，以便可以自動阻止、調整或隔離非正常網絡請求和危險信息的傳輸。三、生產區(qū)和辦公區(qū)分別通過匯聚交換機連接至核心交換機，在相應的匯聚交換機上分別進行適當的安全設置，將可能存在的安全風險因素隔離在網絡局部。四、在辦公區(qū)網絡中，將安全需求和應用需求不同的用戶指定到不同的VLAN中，充分確保部門內部和部門間的信息安全。五、在會議室和展示廳等移動用戶比較集中的場所，部署無線接入系統(tǒng)，在無線接入點以及無線接入點連接的交換機上，分別部署相應的安全防御措施，如IEEE802.1x認證、禁止廣播SSID、WEP加密等。六、網絡管理區(qū)和服務器區(qū)直接連接至核心交換機，以確保網絡傳輸的可靠性。網絡管理區(qū)中部署有MARS系統(tǒng)，用于監(jiān)控、分析和處理網絡中所有通過核心交換機的數據通信，以便及時發(fā)現(xiàn)網絡中存在的惡意攻擊、非正常訪問等情況，并協(xié)助管理員制定相應的解決方案。七、為了確保服務器的安全，在服務器集中區(qū)部署IDS，可以對服務區(qū)網絡以及系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統(tǒng)資源的機密性、完整性和可用性。1.5.2網絡訪問安全需求由于公司大部分用戶信息安全意識較差，因此必須對安全需求較高的部門的用戶進行集中管理，防止機密信息外泄。另外，本公司在外地設有分公司，只能通過遠程接入方式訪問內部網絡資源，可以借助VPN技術實現(xiàn)加密傳輸，充分確保信息安全。目前，該網絡中網絡訪問安全需求如下。一、客戶端更新需要集中管理。大多數用戶都已啟用WindowsUpdate功能，但是每個用戶都從微軟官方站點下載更新程序，會占用大量的網絡帶寬。另外，還有部分用戶并未開啟WindowsUpdate功能，存在可能招致網絡攻擊的安全漏洞。二、網絡病毒不得不防。網絡病毒和攻擊是目前最主要的信息安全威脅因素。網絡病毒的防御工作絕非一蹴而就，必須從各方面嚴格防范。通常情況下，大部分用戶都安裝了殺毒軟件和個人防火墻軟件，可以起到一定的安全防護作用，但是未能升級病毒庫同樣可能感染病毒。更嚴重的是，部分用戶不安裝任何殺毒軟件和防火墻就開始使用，這是非常危險的。三、網絡訪問控制需求。網絡中缺乏嚴格的訪問控制措施，用戶只需使用相應的用戶賬戶和密碼即可接入網絡和訪問共享資源，而對客戶端系統(tǒng)健康程度沒有任何要求和限制。如果接入用戶的計算機已經感染病毒，則病毒可能通過網絡快速蔓延至整個網絡的所有分支。四、遠程訪問安全的保護。遠程接入是該網絡中的重要應用之一，用于實現(xiàn)分公司網絡到總公司網絡的互聯(lián)。遠程訪問VPN技術本身就是具有一定的安全性，同時采用隧道和加密等多種技術，但是為了確保遠程訪問的安全，應加強遠程訪問的保護與控制。1.6項目規(guī)劃網絡安全與網絡應用是相互制約和影響的。網絡應用需要安全措施的保護，但是安全措施過于嚴格，就會影響到應用的易用性。因此，部署網絡安全措施之前，必須經過嚴格的規(guī)劃。另外，網絡安全的管理遍布網絡的所有分支，包括設備安全、訪問安全、服務器安全?？蛻舳税踩取?.6.1服務器安全規(guī)劃服務器是企業(yè)網絡的重要基礎，其安全性將直接影響到企業(yè)網站以及網絡應用的安全，甚至會影響到企業(yè)的生存與發(fā)展。服務器的大部分應用都是基于網絡操作系統(tǒng)等軟件實現(xiàn)的，因此，無論是應用程序出錯，還是硬件故障都可能導致服務器癱瘓。若想做好服務器安全防護工作，必須從多方面入手。一、服務器硬件安全服務器硬件設備的維護主要包括增加和卸載設備、更換設備、工作環(huán)境維護等。因為服務器的運行是不間斷的，因此這些維護工作必須在確保服務器正常運行的狀態(tài)下進行。1、增加內存和硬盤容量。服務器的內存和硬盤都是支持熱插拔的，建議增加與原設備同廠商、同型號、同容量的內存或硬盤，避免由于兼容性問題而導致服務器死機。2、定期為服務器除塵。很多服務器故障都是由于內部灰塵導致的，因此建議管員每個月定期拆機打掃一次。3、控制機房溫度和濕度。雖然服務器對工作環(huán)境的要求比較寬泛，但是當服務器周邊環(huán)境比較惡劣時同樣會降低其處理速度和穩(wěn)定性。二、操作系統(tǒng)的安全服務器操作系統(tǒng)的安全是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網絡硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略。1、對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性。系統(tǒng)內部調用不對Internet公開，關鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。2、應用系統(tǒng)在開發(fā)時，采用規(guī)范化的開發(fā)過程，盡可能地減少應用系統(tǒng)的漏洞。3、網絡上的服務器和網絡設備盡可能不采取同一家的產品。4、通過專業(yè)的安全工具（安全監(jiān)測系統(tǒng)）定期對網絡系統(tǒng)進行安全評估。三、網絡應用服務安全局域網中常用的網絡服務包括WWW服務、FTP服務、DNS服務、DHCP服務、ActiveDirectory服務等，隨著服務器提供的服務越來越多，系統(tǒng)也容易混亂、安全性也降低，因此就需要對網絡服務的相關參數進行設置，以增強其安全性和穩(wěn)定性。通常情況下，網絡應用服務安全可以分為如下4層。1、網絡與應用平臺安全：主要包括網絡的可靠性與生存性。信息系統(tǒng)的可靠性和可用性。網絡的可靠性與生存性依靠環(huán)境安全、物理安全、節(jié)點安全、鏈路安全、拓撲安全、系統(tǒng)安全等方面來保障。信息系統(tǒng)的可靠性和可用性主要由計算機系統(tǒng)安全性決定。2、應用服務提供安全：主要包括應用服務的可用性與可控性。服務可控性依靠服務接入安全以及服務防否認、服務防攻擊、國家對應用服務的管制等方面來保障。服務可用性與承載業(yè)務網絡可靠性以及維護能力等先關。3、信息存儲于傳輸安全：主要包括信息在網絡傳輸和信息系統(tǒng)存儲時的完整性、機密性和不可否認性。信息的完整性可以依靠報文鑒別機制；信息機密性可以依靠加密機制以及密鑰分發(fā)來保障；信息不可否認性可以依靠數字簽名等技術來保障。4、信息內容安全：主要指通過網絡應用服務所傳遞的信息內容不涉及危害國家安全，泄露國家機密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權益，從事違法犯罪活動。1.6.2客戶端安全規(guī)劃目前，WindowsXP和Windows7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應將相對固定的客戶端計算機加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個方面做好客戶端計算機的安全防御工作。一、對于加入域的計算機可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設備安裝限制策略等，確保客戶端的安全。二、對于未加入域的計算機，應提高用戶網絡安全的意識，通過設置登錄密碼、計算機鎖定、防火墻等方式，確保系統(tǒng)安全。三、在網絡中部署WSUS服務器，負責為所有客戶端計算機和服務器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產生。四、在所有客戶端上部署Symantec網絡防病毒客戶端軟件，并接受服務器端的統(tǒng)一管理，開啟自動更新病毒庫功能。五、靈活部署和運用Windows防火墻、WindowsDefender等系統(tǒng)集成安全防護程序。1.6.3網絡設備安全規(guī)劃局域網中的網絡設備主要包括路由器、交換機和防火墻，分別用于提供不同的網絡功能和應用。網絡設備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。網絡設備的脆弱性通常情況下，當用戶按照組網規(guī)劃方案購入并部署好網絡設備之后，設備中的主要組成系統(tǒng)即可在一段時間內保持相對穩(wěn)定地運行。但是，網絡設備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標。網絡設備的安全脆弱性主要表現(xiàn)在如下5個方面。1.提供不必要的網絡服務，提高了攻擊者的攻擊機會。2.存在不安全的配置，帶來不必要的安全隱患。3.不適當的訪問控制。4.存在系統(tǒng)軟件上的安全漏洞。5.物理上沒有得到安全存放，容易遭受臨近攻擊。針對這些與生俱來的安全弱點，用戶可以通過如下措施加固系統(tǒng)安全。1.禁用不必要的網絡服務。2.修改不安全的配置。3.利用最小特權原則嚴格對設備的訪問控制。4.及時對系統(tǒng)進行軟件升級。5.提供符合IPP（InformationProtectionPolicy，信息保護策略）要求的物理保護環(huán)境。二、部署網絡安全設備局域網中常見的網絡安全設備包括網絡防火墻、入侵檢測設備、入侵防御設備等。網絡防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內部網絡有效避免內部攻擊。入侵檢測設備只能用于記錄入侵行為，局域網中已經很少使用。通常情況下，可以再網絡中部署入侵防御系統(tǒng)，保護內部服務器或局域網的安全。三、IOS安全IOS就是智能網絡設備的網絡操作系統(tǒng)，主要用于提供軟件管理平臺。IOS與計算機操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進入網絡設備的IOS，進行各種破壞活動，從而影響網絡的正常運行。通常情況下，用戶可以從如下6個方面實現(xiàn)網絡設備的IOS安全。1、配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。2、配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權限。3、控制終端訪問安全，嚴格控制允許終端連接的數量，以及終端會話超時限制。4、配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。5、及時備份IOS映像，以便出現(xiàn)錯誤操作或遭遇攻擊時可以迅速恢復。6、升級IOS版本。IOS的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統(tǒng)漏洞導致的網絡攻擊。1.6.4無線準備安全規(guī)劃無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網是有線網絡的擴展，主要用于移動終端用戶提供網絡接入。該公司中的AP（AccessPoint,無線接入點）主要分布在產品展示區(qū)和會議室，方面移動用戶隨時隨地訪問公司網絡。如今，許多筆記本電腦、掌上電腦、手機等提供無線接入功能，在無線網絡覆蓋范圍內“噌網”已經成為一種時尚，對于管理員而言，無線網絡安全自然也就成了管理重點。在無線局域網管理中，可以采用如下措施確保網絡安全。1、確保桌面計算機和服務器系統(tǒng)實現(xiàn)盡可能的安全。這種保護提高了攻擊的門檻，即使攻擊者進入了WLAN，仍然很難滲透進用戶的計算機。2、啟用無線AP和工作站所支持的最強WEP。同時，確保擁有一個強健的WEP密碼，這個密碼應該符合有線網絡中所應用的相同的密碼強度規(guī)則。3、確保無線網絡的網絡名稱（SSID）不是可以輕松識別的。不要使用公司名稱、自己的姓名或者地址作為SSID。4、如果無線AP支持SSID廣播，應當關閉。這個措施可以創(chuàng)建一個封閉網絡，這樣，新的客戶端必須在連接之前輸入正確的SSID。5、使用IEEE802.1x身份驗證協(xié)議保護無線網絡的安全。6、在網絡中部署無線網絡控制器，統(tǒng)一管理和部署網絡中的所有無線接入點，實時監(jiān)測網絡攻擊情況。1.6.5防火墻、IDS、IPS規(guī)劃在安全性需求較高的網絡中，網絡安全設備是必不可少的。該公司網絡中使用的安全設備包括網絡防火墻、IDS和IPS。一、網絡防火墻防火墻適用于用戶網絡系統(tǒng)的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即采用不同安全策略的兩個網絡連接處，如用戶和Internet之間、同一企業(yè)內部同部門之間等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過設定一定的篩選機制來決定允許或拒絕數據包通過，實現(xiàn)對進入網絡內部的服務和訪問的審計與控制。防火墻是內、外網絡數據傳輸的必經之路。二、IDSIDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術，入侵檢測技術是為保證計算機系統(tǒng)的安全，而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術。IDS通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網絡中的IDS部署在服務器區(qū)的接入交換機處。IDS能夠檢測到的攻擊類型通常包括：系統(tǒng)掃描（SystemScanning）、拒絕服務（DenyofService）和系統(tǒng)滲透（SystemPenetration）。IDS對攻擊的檢測方法主要包括：被動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網絡中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網絡流量，但又不會影響網絡的性能。作為對防火墻的有益補充，IDS能夠幫助網絡系統(tǒng)快速發(fā)現(xiàn)網絡攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應等，從而提高了信息安全基礎結構的完整性，被認為是繼防火墻之后的第二道安全閘門。三、IPS網絡中的IPS主要用于攔截和處理傳統(tǒng)網絡防火墻無法解決的網絡攻擊，部署在網絡中的Internet接入區(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數IDS系統(tǒng)都是被動的，不是主動的，即在攻擊實際發(fā)生前，往往無法預先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出報警。IPS是通過直接嵌入到網絡流量中實現(xiàn)這一功能的，即通過一個網絡端口接收來自外部系統(tǒng)的流量，經過檢查確認其中不包含異?；顒踊蚩梢蓛热莺螅偻ㄟ^另外一個端口將其傳送到內部系統(tǒng)中。此時，有問題的數據包，以及所有來自同一數據流的后續(xù)數據包，都能在IPS中被清除掉。1.6.6局域網接入安全規(guī)劃NAP技術NAP（NetworkAccessProtection,網絡訪問保護）是Microsoft在WindowsVista和WindowsServer2008提供的全新系統(tǒng)組件，它可以再訪問私有網絡時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網絡的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網絡訪問權限。為了校驗網絡訪問的主機的健康狀況，網絡架構需要提供如下功能性領域。健康策略認證：判斷計算機是否適應健康策略的需求。網絡訪問限制：限制不適應策略的計算機訪問。自動補救：為不適應策略的計算機提供必要的升級，使其適應健康策略。動態(tài)適應：自動升級適應策略的計算機以使其可以跟上健康策略的計算機。1.6.7Internet接入安全規(guī)劃企業(yè)局域網采用共享方式接入Internet，并將硬件防火墻Cisco5540部署在局域網邊緣。為了便于管理客戶端Internet接入安全，在硬件防火墻的后面部署了ForefrontTMG服務器，可以提供如下功能。一、網絡防火墻TMG服務器提供了靈活的防火墻策略配置，允許管理員根據實際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網站等。二、Web訪問緩存。TMG服務器既是防火墻，又可以作為Web訪問代理服務器。管理員可以在TMG服務器上開辟專用于存儲客戶端請求的Internet數據空間，暫時緩存常用數據。當客戶端需要再次訪問這些Internet數據時，在局域網中即可完成，提高了客戶端的訪問效率。三、安全VPN接入功能。通過TMG服務器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過TMG服務器進行通信時，數據封裝好后，將通過VPN進行收發(fā)，充分確保通信過程的安全。1.6.8遠程接入安全規(guī)劃目前，最常用的遠程訪問方式是VPN，主流的安全技術包括SSLVPN和IPSecVPN。SSLVPN應用比較簡單，用戶無需進行配置，基于Web頁面即可實現(xiàn)。IPSecVPN技術應用比較廣泛，不再局限于Web方式，同時由于其安裝和配置過程比較復雜，應用難度也比較大。1、IPSecVPN遠程安全接入IPSecVPN提供了多種安全特性，如數據加密、設備驗證、數據完整性、地址隱藏和安全機構（SA）密鑰老化等功能。IPSec標準提供數據完整性或數據加密兩種功能。數據完整性分兩類：128位強度MessageDigests(MD-5)-HMAC和160位強度安全散列算法（SHA）-HMAC。由于SHA的強度更大。所以更加安全。2、SSLVPN遠程安全接入SSLVPN是工作在應用層和TCP層之間的遠程接入技術。通常SSLVPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將連接映射到不同的應用服務器上。1.6.9網絡可靠性規(guī)劃對于企業(yè)網絡而言，許多金融、貿易、電子商務等活動都是通過網絡完成的，這就要求企業(yè)的網絡具備很高的可靠性。提高網絡可靠性的方法很多，最常見的是冗余和容錯。在硬件設備方面，可以通過配置交換機生成樹、鏈路匯聚和鏈路冗余技術來提高局域網線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網絡連接。當住鏈路發(fā)生故障時，確保網絡正常工作。鏈路匯聚技術可以將多條鏈路聚合為一條干路，還可以提高網絡帶寬，更重要的是，鏈路匯聚可以實現(xiàn)負載均衡，從而大大提高了網絡的可靠性。局域網接入區(qū)域的路由器雖然僅提供路由選擇功能，但其重要性也是不容忽視的?？梢酝ㄟ^配置路由冗余充分保證Internet連接的可靠性。在軟件方面則可以通過服務器群集技術和網絡負載均衡技術，來提高重要服務器的可靠性。除此之外，常規(guī)的數據備份也是必不可少的，包括服務器角色狀態(tài)信息備份、服務器系統(tǒng)備份、數據庫備份、網絡設備配置備份等。第二章：企業(yè)網絡安全的實際應用一個網絡系統(tǒng)的安全建設通常包括許多方面，包括物理安全、數據安全、網絡安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據企業(yè)各級內部網絡機構、廣域網結構、和三級網絡管理、應用業(yè)務系統(tǒng)的特點●網絡系統(tǒng)安全;●應用系統(tǒng)安全;●物理安全;●安全管理;2.1企業(yè)網絡安全實施根據企業(yè)網絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行實施：●網絡傳輸保護主要是數據加密保護●主要網絡安全隔離通用措施是采用防火墻●網絡病毒防護采用網絡防病毒系統(tǒng)●廣域網接入部分的入侵檢測采用入侵檢測系統(tǒng)●系統(tǒng)漏洞分析采用漏洞分析設備●定期安全審計主要包括兩部分：內容審計和網絡通信審計●重要數據的備份●重要信息點的防電磁泄露●網絡安全結構的可伸縮性包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規(guī)模、功能擴展●網絡防雷2.2網絡傳輸的實施企業(yè)中心內部網絡存在兩套網絡系統(tǒng)，其中一套為企業(yè)內部網絡，主要運行的是內部辦公、業(yè)務系統(tǒng)等;另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內部的上、下級機構網絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團內部局域網，并通過網絡進行數據交換、信息共享。而INTERNET本身就缺乏有效的安全保護，易受到來自網絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改。由于現(xiàn)在越來越多的政府、金融機構、企業(yè)等用戶采用VPN技術來構建它們的跨越公共網絡的內聯(lián)網系統(tǒng)，因此在本解決方案中對網絡傳輸安全部分推薦采用VPN設備來構建內聯(lián)網?？稍诿考壒芾碛騼仍O置一套VPN設備，由VPN設備實現(xiàn)網絡傳輸的加密保護。根據企業(yè)三級網絡結構，VPN設置如下圖所示：圖2-1三級VPN設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺VPN設備和一臺VPN認證服務器(VPN-CA)，在所屬的直屬單位的網絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網絡對下一級的VPN設備進行集中統(tǒng)一的網絡化管理。可達到以下幾個目的：●網絡傳輸數據保護;由安裝在網絡上的VPN設備實現(xiàn)各內部網絡之間的數據傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸●網絡隔離保護;與INTERNET進行隔離，控制內網與INTERNET的相互訪問●集中統(tǒng)一管理，提高網絡安全性;●降低成本(設備成本和維護成本);其中，在各級中心網絡的VPN設備設置如下圖：圖2-2中心網絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進行統(tǒng)一網絡管理。將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問、記錄日志。這樣即使服務器被攻破，內部網絡仍然安全。下級單位的VPN設備放置如下圖所示：圖2-3下級單位VPN設置圖從圖2-3可知，下屬機構的VPN設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業(yè)技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。由于網絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網絡出現(xiàn)重大的安全隱患。而用戶的技術人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網絡中斷。所以，在安全設備的選擇上應當選擇可以進行網絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網絡的安全性和穩(wěn)定性。2.3訪問控制企業(yè)廣域網網絡部分通過公共網絡建立，其在網絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數據、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設備來實現(xiàn)網絡安全隔離，可滿足以下幾個方面的要求：●控制外部合法用戶對內部網絡的網絡訪問;●控制外部合法用戶對服務器的訪問;●禁止外部非法用戶對內部網絡的訪問;●控制內部用戶對外部網絡的網絡;●阻止外部用戶對內部的網絡攻擊;●防止內部主機的IP欺騙;●對外隱藏內部IP地址和網絡拓撲結構;●網絡監(jiān)控;●網絡日志審計;由于采用防火墻、VPN技術融為一體的安全設備，并采取網絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：●管理、維護簡單、方便;●安全性高(可有效降低在安全設備使用上的配置漏洞);●硬件成本和維護成本低;●網絡運行的穩(wěn)定性更高由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。2.4入侵檢測網絡安全不可能完全依靠單一產品來實現(xiàn)，網絡安全是個整體的，必須配相應的安全產品。作為必要的補充，入侵檢測系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(阻斷、報警、發(fā)送E-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監(jiān)聽進出網絡的訪問行為，根據控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數據包，因此，入侵檢測系統(tǒng)的應用不會對網絡系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設置如下圖：從上圖可知，入侵檢測儀在網絡接如上與VPN設備并接使用。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過VPN設備，而入侵檢測設備在網絡上進行疹聽，監(jiān)控網絡狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設備中斷網絡(即IDS與VPN聯(lián)動功能)等方式進行控制(即安全設備自適應機制)，最后將攻擊行為進行日志記錄以供以后審查。2.5漏洞掃描作為一個完善的通用安全系統(tǒng)，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網絡安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術的發(fā)展而不斷下降的，同時，在使用過程中會出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設的補充，采取相應的措施也是必然。本方案中，采用漏洞掃描設備對網絡系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網絡安全管理員作好相應調整。2.6其它對復雜或有特殊要求的網絡環(huán)境，在采取安全措施上應當特殊考慮，增加新的安全措施。2.6.1應用系統(tǒng)安全2.6.2系統(tǒng)平臺安全企業(yè)各級網絡系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產品的基礎上，因而存在很大的安全隱患。企業(yè)網絡系統(tǒng)在主要的應用服務平臺中采用國內自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在PC機上的NT平臺，在選擇性地用好NT安全機制的同時，應加強監(jiān)控管理。2.6.3應用平臺安全企業(yè)網絡系統(tǒng)的應用平臺安全，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網絡資源的權限管理和訪問控制，對安全相關操作進行的審計等。其中的用戶應同時包括各級管理員用戶和各類業(yè)務用戶。另一方面涉及各種數據庫系統(tǒng)、WWW服務、E-MAIL服務、FTP和TELNET應用中服務器系統(tǒng)自身的安全以及提供服務的安全。在選擇這些應用系統(tǒng)時，應當盡量選擇國內軟件開發(fā)商進行開發(fā)，系統(tǒng)類型也應當盡量采用國內自主開發(fā)的應用系統(tǒng)。2.7病毒防護因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地企業(yè)在構建網絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產品，實施“層層設防、集中控制、以防為主、防殺結合”的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網絡沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時應當注意幾個方面的要求：具有卓越的病毒防治技術、程序內核安全可靠、對付國產和國外病毒能力超群、全中文產品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產品集成度高、高可靠性、可調配系統(tǒng)資源占用率、便捷的網絡化自動升級等優(yōu)點。病毒對信息系統(tǒng)的正常工作運行產生很大影響，據統(tǒng)計，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：●采用世界最先進的防毒產品與網絡系統(tǒng)的實際需要相結合，確保網絡系統(tǒng)具有最佳的病毒防護能力的情況下綜合成本最少?！癯浞挚紤]網絡的系統(tǒng)數據、文件的安全可靠性，所選產品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運行產生不良影響。●應用全球最為先進的“實時監(jiān)控”技術，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。●所選用產品具備對多種壓縮格式文件的病毒檢測。●所選用產品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面?！駪媒浻蒊CSA(國際電腦安全協(xié)會)技術認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測率，除對已知病毒具備全面的偵防能力，對未知病毒亦有良好的偵測能力。強調在XXX網絡防毒系統(tǒng)內，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。●完全自動化的日常維護，便于進行病毒碼及掃描引擎的更新?！裉峁┝己玫氖酆蠓占凹夹g支持?！窬哂辛己玫目蓴U充性，充分保護用戶的現(xiàn)有投資，適應網絡系統(tǒng)的今后發(fā)展需要2.8產品應用ESET殺毒軟件高級企業(yè)版：針對大型網絡特點專業(yè)設計，擁有網絡版產品的所有功能，可以建立超級病毒監(jiān)控管理（系統(tǒng)）中心，其中上級中心不僅可集中管理各個下級系統(tǒng)中心，上級中心還可直接管理下級中心的任一個防病毒客戶端。通過建立“集中管理、分布處理”的多級中心防病毒監(jiān)控管理系統(tǒng)，在大型企業(yè)內部的服務器和客戶端同時部署殺毒軟件共同完成對整個網絡的病毒防護工作，為用戶的網絡系統(tǒng)提供全方位防病毒解決方案。圖2-5大型區(qū)域網絡的監(jiān)控與管理圖防毒墻：防毒墻是一款多功能、高性能的產品，它不但能夠在網絡邊緣病毒檢測、攔截和清除的功能，同時，它還是一個高性能的防火墻，通過在總部、分支機構網絡邊緣分別布置不同性能的防毒墻保護總部和分支機構內部網絡和對外服務器不受黑客的攻擊，同時通過VPN功能，為分支機構、遠程、移動用戶提供一個安全的遠程連接功能，是大型企業(yè)網絡邊緣安全的首選產品。網絡安全預警系統(tǒng)：網絡安全預警系統(tǒng)集病毒掃描、入侵檢測和網絡監(jiān)視功能于一身，它能實時捕獲網絡之間傳輸的所有數據，利用內置的病毒和攻擊特征庫，通過使用模式匹配和統(tǒng)計分析的方法，可以檢測出網絡上發(fā)生的病毒入侵、違反安全策略的行為和異?，F(xiàn)象，并在數據庫中記錄有關事件，作為事后分析的依據。網絡安全預警系統(tǒng)的目標是：全面，準確，高效，穩(wěn)定，安全，快速。全面是指能檢測已知的各種病毒和攻擊；準確是指檢測的結果準確，誤報率低；高效是指檢測引擎的運行效率高，由于現(xiàn)在的網絡帶寬越來越寬，只有高效的引擎才能在檢測時不丟包；穩(wěn)定是指系統(tǒng)運行穩(wěn)定可靠；安全是指預警系統(tǒng)自身的安全，由于引擎中保存了大量檢測到的敏感信息，因此對其自身的保護是十分重要的；快速是指對新的漏洞和新的攻擊方法反應快，系統(tǒng)升級簡便。通過ESET殺毒軟件高級企業(yè)版、防毒墻和網絡安全預警共同為大型企業(yè)建立一個統(tǒng)一的防黑、防毒的安全網絡。設計后的安全網絡拓撲圖如下：圖2-6大型企業(yè)網絡安全實施圖三、選用產品ESET網絡版殺毒軟件高級企業(yè)版防毒墻網絡安全預警系統(tǒng)四、企業(yè)整體解決方案實現(xiàn)的主要功能1. 安全的網絡邊緣防護防毒墻可以根據用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內容檢查、清除病毒的能力，同時通過實施安全策略可以在網絡環(huán)境中的內外網之間建立一道功能強大的防火墻體系，不但可以保護內部資源不受外部網絡的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。2.內部網絡行為監(jiān)控和規(guī)范網絡安全預警系統(tǒng)SDS-1000對HTTP、SMTP、POP3和基于HTTP協(xié)議的其他應用協(xié)議具有100%的記錄能力,企業(yè)內部用戶上網信息識別粒度達到每一個URL請求和每一個URL請求的回應。通過對網絡內部網絡行為的監(jiān)控可以規(guī)范網絡內部的上網行為，提高工作效率，同時避免企業(yè)內部產生網絡安全隱患。3. 計算機病毒的監(jiān)控和清除網絡殺毒軟件是一個專門針對網絡病毒傳播特點開發(fā)的網絡防病毒軟件，通過網絡防病毒體系在網絡內客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網絡內計算機病毒事件，并實現(xiàn)對網絡內的所有計算機遠程反病毒策略設置和安全操作。4. 強大的日志分析和統(tǒng)計報表能力對網絡內的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網絡上發(fā)生的各種事件，有助于管理人員提高網絡的安全管理。5. 模塊化的安全組合本方案中使用的瑞星網絡安全產品分別具有不同的功能，用戶可以根據自身企業(yè)的實際情選擇不同的產品構建不同安全級別的網絡，產品選擇組合方便、靈活，既有獨立性有整體性。2.9數據備份企業(yè)內部存在大量的數據，而這里面又有許多重要的、機密的信息。而整個數據的安全保護就顯得特別重要，對數據進行定期備份是必不可少的安全措施。在采取數據備份時應該注意以下幾點：●存儲介質安全在選擇存儲介質上應選擇保存時間長，對環(huán)境要求低的存儲產品，并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式?！駭祿踩磾祿趥浞萸笆钦鎸崝祿瑳]有經過篡改或含有病毒。●備份過程安全確保數據在備份時是沒有受到外界任何干擾，包括因異常斷電而使數據備份中斷的或其它情況?！駛浞輸祿谋９軐Υ嬗袀浞輸祿拇鎯橘|，應保存在安全的地方，防火、防盜及各種災害，并注意保存環(huán)境(溫度、濕度等)的正常。同時對特別重要的備份數據，還應當采取異地備份保管的方式，來確保數據安全。對重要備份數據的異地、多處備份(避免類似美國911事件為各公司產生的影響)2.10安全審計作為一個良好的安全系統(tǒng)，安全審計必不可少。企業(yè)是一個非常龐大的網絡系統(tǒng)，因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數據進行分析、比較，找出發(fā)生的網絡安全問題的原因，并可作為以后的法律證據或者為以后的網絡安全調整提供依據。2.11認證、鑒別、數字簽名、抗抵賴企業(yè)網絡系統(tǒng)龐大，上面存在很多分級的重要信息，同時，由于現(xiàn)在國家正在大力推進電子政務的發(fā)展，網上辦公已經越來越多的被應用到各級政府部門當中，因此，需要對網上用戶的身份、操作權限等進行控制和授權。對不同等級、類型的信息只允許相應級別的人進行審閱;對網上公文的處理采取數字簽名、抗抵賴等相應的安全措施。2.12物理安全企業(yè)網絡系統(tǒng)的物理安全要求是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。2.13兩套網絡的相互轉換企業(yè)內部網絡系統(tǒng)具有兩套網絡，這兩套網絡系統(tǒng)是完全物理隔離的，而企業(yè)內部有部分用戶需要兩個網絡都要接入，這就涉及到兩個網絡之間的相互切換問題。而現(xiàn)在的實際使用是采用手工拔插網線的方式進行切換，這使得使用中非常不方便。因此，本方案建議采用網絡隔離卡的方式來解決網絡切換的問題。隔離卡工作方式隔離卡上有兩個網絡接口，一個接內網，一個接外網;另外還有一個控制口，通過控制口連接一個控制器(只有火柴盒大小)，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計算機變?yōu)閮蓚€計算機使用，兩個硬盤上分別運行獨立的操作系統(tǒng)。這樣，可通過控制器進行切換(簡單的開關，類似電源開關)，使計算機分別接到兩個網絡上。2.14應用企業(yè)網絡的實際情況，需要在樓層中安裝隔離卡。并且做好規(guī)劃2.15防電磁輻射普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號在傳輸時存在電磁場，并隨著信號的改變而改變磁場的強弱，而UTP本身沒有任何的屏蔽功能，因此容易被國外間諜機構或不法分子采取電磁波復原的方法竊取重要機密信息，造成嚴重后果。因而對重要信息點的數據傳輸介質應采取相應的安全措施，如使用屏蔽雙絞線等終端設備尤其是CRT顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設備上盡量選取低輻射產品外，還應根據保護對象分別采取主動式的干擾設備(如干擾機來破壞對信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。2.16網絡防雷企業(yè)網絡系統(tǒng)的物理范圍主要是在一棟大樓內，而大樓本身已采取相應的防雷措施，因此，本方案中主要針對網絡系統(tǒng)防雷進行設計，不包括電源防雷(這一般屬于大樓防雷的部分)。不少用戶為防止計算機及其局域網或廣域網遭雷擊，便簡單地在與外部線路連接的調制解調器上安裝避雷器，但由于靜電感應雷、防電磁感應雷主要是通過供電線路破壞設備的，因此對計算機信息系統(tǒng)的防雷保護首先是合理地加裝電源避雷器，其次是加裝信號線路和天饋線避雷器。如果大樓信息系統(tǒng)的設備配置中有計算機中心機房、程控交換機房及機要設備機房，那么在總電源處要加裝電源避雷器。按照有關標準要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強度劃分的)。在各設備前端分別要加裝串聯(lián)型電源避雷器(多級集成型)，以最大限度地抑制雷電感應的能量。同時，計算機中心的MODEM、路由器、甚至HUB等都有線路出戶，這些出戶的線路都應視為雷電引入通道，都應加裝信號避雷器。對樓內計算機等電子設備進行防護的同時，對建(構)筑物再安裝防雷設施就更安全了。根據企業(yè)網絡結構、物理結構、電源結構分析，防雷系統(tǒng)可采取兩級防雷措施?！窆歉删W絡防雷;●終端防雷;以上兩級避雷可使用信號避雷器來實現(xiàn)。根據網絡連接線路的類型和帶寬選擇相應的避雷器。2.17重要信息點的物理保護企業(yè)各級網絡內部存在重要的信息點，如內部核心應用系統(tǒng)，環(huán)境等都需要保護，它主要包括三個方面：(1)環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護(參見國家標準GB50173-93《電子計算機機房設計規(guī)范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》)。(2)設備安全：主要包括設備的防盜、防毀壞及電源保護等。對中心機房和關鍵信息點采取多種安全防范措施，確保非授權人員無法進入。中心機房處理秘密級、機密級信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。(3)媒體安全：包括媒體數據的安全及媒體本身的安全?？偨Y沒有安全保證的企業(yè)網絡就像沒有剎車的車子跑在高速公路上。互聯(lián)網絡的飛速發(fā)展，對企業(yè)網絡中用戶的工作和管理已經產生了深遠的影響，網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網絡安全問題的日益嚴重也越來越成為網絡應用的巨大阻礙，企業(yè)網絡安全已經到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網絡安全問題，企業(yè)網絡的應用才能健康、高速的發(fā)展.本文分析了企業(yè)網絡的安全規(guī)劃，并針對規(guī)劃提出了相應的安全解決措施。文中分析認為，企業(yè)網絡安全重點在防病毒和防攻擊。為此．文中針對病毒的特點和網絡攻擊的特性，提出了企業(yè)網絡的相應措施。采用上述措施，基本能夠解決企業(yè)網絡面臨威脅風險，從而建構一個安全、高效的網絡。致謝首先，感謝老師給我機會，使我能夠對網絡安全進行技能操作，再一次的對網絡安全掌握了不少的知識，使得原本不了解實訓內容的我又擴充了一些知識，在這次為期一個多月的網絡安全畢業(yè)設計過程中，在同學的幫助和老師的指導下，我確實學到了很多東西，再次我真誠的感謝老師和同學們給予我的幫助。整個畢業(yè)設計的過程是在我的指導老師付X的親切關懷和悉心指導下完成的。他嚴肅的態(tài)度，嚴謹的精神，精益求精的工作作風，深深地感染和激勵著我。這段時間來，老師不僅在論文上給我以精心指導，同時還在思想、生活上給我以無微不至的關懷，在此謹向本次畢業(yè)設計的老師致以誠摯的謝意和崇高的敬意。在設計即將完成之際，我的心情無法平靜，從開始進入到設計的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!計算機網絡技術日新月異地飛速發(fā)展，人們總是處在不斷學習階段，再加上自己水平有限，所以本設計肯定存在不少錯誤和不盡人意之處，歡迎廣大老師和同學批評指正，在此深表感謝！目錄摘要……………………………1Abstract…………………………2緒論……………………………31我國二手車市場分析………………………52國外二手車市場介紹………………………82.1國外二手車交易規(guī)?！?2.2國外二手車交易特點………………………82.3國內外二手車市場比較…………………113二手車置換的4S模式……………………133.1二手車置換的定義………………………133.2二手車置換的要求與條件………………133.3二手車置換的流程步驟…………………133.44S店做二手車置換的優(yōu)勢分析…………153.54S店和舊車市場相比有何優(yōu)勢…………153.64S店舊車置換新車操作特點……………164阻撓二手車置換發(fā)展的因素………………184.1沒有規(guī)范的汽車消費環(huán)境………………184.2沒有健全的二手車評價體系……………194.3沒有共享的信息資源……………………214.4沒有合理的稅費制度……………………215結論…………………………22參考文獻………………………23致謝…………………………24摘要隨著我國進入汽車時代，汽車保有量的不斷增加，汽車也從有錢人才買得起的奢侈品變成了大部分人都能承擔的代步工具。此時，二手車置換應運而生，作為汽車營銷的新型產物，在發(fā)展前景方面本應有著巨大的前景。但是由于沒有規(guī)范的汽車消費環(huán)境和健全的二手車評估系統(tǒng)，導致我國二手車置換發(fā)展緩慢，通過研究對比國外的成功經驗，結合我國的二手車市場的現(xiàn)狀，在未來幾年中肯定能夠使品牌4S店二手車置換有長足的發(fā)展。關鍵詞：汽車；二手車置換；消費環(huán)境；二手車評估；4S店ABSTRACTWithChinaisentryintotheageoftheautomobile,theincreaseofautopossession,thecaralsoaffordableluxurygoodsfromwealthybecamemostpeoplecanbeartransport.Usedcarsreplacementalsoarisesatthehistoricmoment,butwithoutthespecificationoftheconsumermarket,thereisnosoundusedcarevaluationsystem,leadingtothedevelopmentoftheusedcarreplacementistooslow.Throughthestudycomparedforeignsuccessfulexperience,andcombiningthecurrentsituationofthesecond-handmarketinChina,inthenextfewyearsissuretokeepbrandauto4Sshopusedcarreplacementhaveconsiderabledevelopment.Keywords：usedcarsreplacement；second-handmarket；auto4Sshop緒論隨著我國汽車工業(yè)的高速發(fā)展，二手車市場的交易量和規(guī)模也日益擴大，其巨大的發(fā)展?jié)摿褪袌隹臻g已逐漸凸顯出來。與此相伴，二手車交易的一個基本方式——二手車置換業(yè)務也應運而生。通俗來講二手車置換就是用手頭上的二手車來置換新車，就是將賣舊車和買新車兩個過程合并成了一個過程。其中包括：相同品牌內的舊車換新車；多個品牌置換某一品牌新車的業(yè)務；不同品牌二手車之間以舊換新，比如二手富康置換二手寶馬。而理論上，二手車置換的概念有狹義和廣義之分：狹義的二手車置換就是“以舊換新”業(yè)務，即經銷商通過二手車的收購與新車的對等銷售獲取利益；廣義的置換則是指以舊換新業(yè)務的基礎上，還同時兼容二手車的整新、跟蹤服務、二手車再銷售乃至折抵分期付款等項目的一系列業(yè)務組合，從而成為一種有機而獨立運營的營銷方式。現(xiàn)如今，中國已經進入了汽車時代，汽車產業(yè)蓬勃發(fā)展，汽車消費市場日趨成熟，汽車保有量逐年增長，并且增長勢頭驚人，隨之而帶來的二手車及交易問題也成為不可避免的難題。鑒定評估缺乏統(tǒng)一標準，二手車的誠信問題，售后服務不到位，二手車的信貸欠缺等等，都是時刻制約著二手車交易市場的健康發(fā)展的問題。二手車置換業(yè)務，便是在這種糾結的市場情況下誕生，當然也是必然結果。首先，汽車置換業(yè)務可以加快經濟發(fā)達地區(qū)的車輛更新速度，同時能刺激內地和經濟不發(fā)達地區(qū)對機動車的需求，是滿足特定消費市場的重要營銷手段；其次，汽車置換可以在某種程度上調劑高車價與低收入之間的矛盾，使其成為汽車真正進入家庭的前奏和過渡預演；最后，汽車置換為置換客戶提供全方位的配套服務外，也能使其在購買新車的同時，快速變現(xiàn)舊車。因此，汽車置換是汽車產業(yè)一種新型的業(yè)態(tài)，是汽車營銷創(chuàng)新的產物，是汽車消費是新趨勢。但是，在二手車置換開展的這些年里，不但沒有帶給汽車廠家和4S店驚喜，反而成了負擔、擺設而已。2004年6月1日，國家新《汽車產業(yè)發(fā)展政策》出臺，為培育和發(fā)展二手車市場，政策明確鼓勵二車經營主體多元化，并對汽車廠家經營二手車業(yè)務大開方便之門。政策開閘，一時間上海大眾、一汽-大眾、上海通用等整車廠家經銷商蜂擁而入。2004年底，一汽-大眾旗下347家經銷商中，有13個城市的16家經銷商作為首批認證二手車樣板店開展二手車業(yè)務；上海通用也將旗下“誠新二手車”授權專營店發(fā)展至80家。與此同時，上海大眾也選定90家經銷商經營二手車業(yè)務。據中國汽車流通協(xié)會2006年統(tǒng)計數據顯示，全國有備案的15000多家品牌經銷商中，40%的經銷商已設置二手車的品牌部門，15%-20%的經銷商已正式開展二手車的業(yè)務。但是二手車流通基本處于二手車交易市場控制中，價格由二手車交易市場說了算。目前絕大部分4S店月置換量不足3輛，占不到新車銷量的十分之一，幾乎是名存實亡，更不用說促進新車銷售了。因為4S店置換的車輛很少，很難和二手車市場進行競爭，最后這些置換的車輛還是被4S店拿到二手車交易市場，成為了他們的貨源。相對于3000元/月每個的停車位，200輛以上的日均交易量，4S店置換的車輛的利潤少的可憐。上海大眾“特選二手車”經銷商廣東德寶大眾二手車業(yè)務經理潘光耀說：“不是我們不努力，而是品牌二手車業(yè)務在運作模式上存在先天不足。大眾品牌二手車要經過100多項檢測，不合格的項目要按標準修復。這雖然能讓產品更加保值，但較之舊車交易市場的交易價格根本不具優(yōu)勢，這讓國內消費者很難適應。”例如同一款二手帕薩特，經過認證后的4S店給出的價格是15萬元，而二手車交易市場給出的價格卻只有12萬元。

不僅如此，消費者在4S店置換新車后，還要被征收2%的增值稅，以一輛10萬元的二手車為例，就要額外繳納1000元的稅，而在傳統(tǒng)交易市場中，消費者只需要繳納過戶費和交易費10元左右。這也造成了二手車置換業(yè)務的無人問津。雖然現(xiàn)在的二手車置換