網(wǎng)絡(luò)安全與維護(hù)論文精品(七篇)

時(shí)間：2023-05-15 18:14:42

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇網(wǎng)絡(luò)安全與維護(hù)論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

網(wǎng)絡(luò)安全與維護(hù)論文

篇(1)

關(guān)鍵詞：電子閱覽室，絡(luò)安全，LAN，維護(hù)要點(diǎn)

高校電子閱覽室作為讀者可以檢索和查詢傳統(tǒng)文獻(xiàn)；也可以檢索、瀏覽、復(fù)制和打印數(shù)字化的文獻(xiàn)；還可以在Internet上查詢、瀏覽。收發(fā)郵件、交流信息等；除此之外，還可以在電子閱覽室里聽音樂、看電影、網(wǎng)上聊天，達(dá)到休閑娛樂的目的和發(fā)揮圖書館服務(wù)的功能。論文大全，維護(hù)要點(diǎn)。目前，幾乎所有高校都建設(shè)了電子閱覽室，電子閱覽室快捷方便的檢索條件，提高了師生獲取文獻(xiàn)信息資源的效率，在教學(xué)和科研中，起到了舉足輕重的作用。但電子閱覽室的網(wǎng)絡(luò)安全也成為網(wǎng)絡(luò)管理人員需要解決的問題，本文以西鐵職院臨潼校區(qū)電子閱覽室面臨的網(wǎng)絡(luò)安全問題，討論了相關(guān)的解決辦法和措施。

一、電子閱覽室存在網(wǎng)絡(luò)安全問題

我院電子閱覽室在2008年建成，由60臺(tái)計(jì)算機(jī)、若干普通交換機(jī)組成。為全院師生提供了光盤檢索、超星數(shù)據(jù)庫(kù)、萬方數(shù)據(jù)庫(kù)等學(xué)術(shù)論文檢索與閱覽。當(dāng)時(shí)建設(shè)電子閱覽時(shí)，由于各種原因，并沒有把電子閱室設(shè)為一個(gè)獨(dú)立網(wǎng)絡(luò)，而是把它直接連到校園網(wǎng)里，這對(duì)電子閱覽室的絡(luò)安全帶來了各種影響。目前，電子閱覽室常見的網(wǎng)絡(luò)安全問題有：

1．非法訪問。非法訪問是指對(duì)網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使或越權(quán)使用等，利用各種假冒或欺騙的手段獲得合法用戶的使用權(quán)限，達(dá)到占用合法用戶資源的目的。

2．破壞數(shù)據(jù)的完整性，用非法手段，刪除、修改、重發(fā)某些重要息，以干擾用用戶的正常使用。

3．干擾系統(tǒng)的正常運(yùn)行，隨意破壞、改變正常運(yùn)行的系統(tǒng)，減慢系統(tǒng)響應(yīng)時(shí)間，為數(shù)據(jù)的訪問帶來不便。

4．病毒與惡意攻擊，對(duì)服務(wù)器發(fā)送大量垃圾包，使網(wǎng)絡(luò)陷入癱瘓，通過客戶機(jī)傳播病毒。惡意代碼等。

5．隨意安裝、使用可移動(dòng)的存儲(chǔ)設(shè)備，利用移動(dòng)存儲(chǔ)介質(zhì)優(yōu)盤、光盤等間接與外網(wǎng)進(jìn)行數(shù)據(jù)交換，導(dǎo)致病毒的傳入或者敏感機(jī)密數(shù)據(jù)的傳播、泄密。

6．安裝、使用非法軟件或黑客軟件。某些教師或?qū)W生在計(jì)算機(jī)上安裝使用非法、盜版軟件，這無法保障計(jì)算機(jī)的正常運(yùn)行，有的還裝上黑客軟件，有可能對(duì)電子閱覽室的其它計(jì)算機(jī)構(gòu)成重大的安全威脅，有導(dǎo)致整個(gè)電子閱覽室崩潰的危險(xiǎn)。

7．惡意或非惡意地更改TP地址。某些師生出于某種目的。在進(jìn)行一些非法活動(dòng)之前，將自己機(jī)器的IP地址或用戶名更改成他人的IP地址或用戶名．這不止影響了其它計(jì)算機(jī)的正常使用，也會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備運(yùn)行異?；蛞恍┍O(jiān)控記錄不準(zhǔn)。無法對(duì)當(dāng)事人進(jìn)行追查和處罰．

二、應(yīng)對(duì)策略

針對(duì)電子閱覽室以上所面臨的網(wǎng)絡(luò)安全問題，我們提出了如下的應(yīng)對(duì)策略：

1．添置防火墻。防火墻是位于兩個(gè)信任程度不同的網(wǎng)絡(luò)之間的軟件或硬件的結(jié)合，它使得內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)直接相隔離并控制網(wǎng)絡(luò)互訪，防止對(duì)重要信息資源的非法存取和訪問，以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。我們購(gòu)置了硬件防火墻，通過對(duì)防火墻的配置，將電子閱覽室和校園網(wǎng)絡(luò)隔離開來，使電子閱覽室作為一個(gè)單獨(dú)的內(nèi)網(wǎng)，相對(duì)獨(dú)立，自成體系。最大限度的保證了電子閱覽室內(nèi)部網(wǎng)絡(luò)的安全。

2．用VLAN技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行劃分。VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。由于不同的VALN有著各自獨(dú)立的廣播域，而廣播域只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地將廣播風(fēng)暴所帶來的危害拄制在最小的范圍內(nèi)。在交換機(jī)劃分VLAN后，不同VIAN之間將不能直接通信。VLAN的通信必須通過三層交換設(shè)備(路由設(shè)備)，我們可以通過路由訪問列表和MAC地址分配等VLAN劃分原則，控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN中。我們將電子閱覽室劃分為一個(gè)VLAN。論文大全，維護(hù)要點(diǎn)。師生共同使用，而減少了維護(hù)難度。

3．對(duì)設(shè)備、系統(tǒng)漏洞檢測(cè)。定期對(duì)包括操作系統(tǒng)，數(shù)據(jù)庫(kù)管理系統(tǒng)等系統(tǒng)軟件進(jìn)行系統(tǒng)漏洞掃描、端口掃描，對(duì)系統(tǒng)打補(bǔ)丁，關(guān)閉非必須開放的端口，對(duì)防火墻，路由器、交換機(jī)配置進(jìn)行檢測(cè)等，發(fā)現(xiàn)漏洞馬上修正。

4．對(duì)數(shù)據(jù)進(jìn)行備份。根據(jù)實(shí)際需要利用磁盤陣列異地?cái)?shù)據(jù)備份。論文大全，維護(hù)要點(diǎn)。利用光盤刻錄設(shè)備等系統(tǒng)和數(shù)據(jù)(如服務(wù)器操作系統(tǒng)、系統(tǒng)日志、各類應(yīng)用系統(tǒng)和數(shù)據(jù)等)的定期備份。備份數(shù)據(jù)采取的策略一般是：對(duì)超星、萬方等數(shù)據(jù)庫(kù)，由于其數(shù)據(jù)量大，需要備份的時(shí)間長(zhǎng)，可以考慮一次完全備份后存檔；對(duì)于安裝維護(hù)比較麻煩的服務(wù)器，可對(duì)系統(tǒng)進(jìn)行備份，便于快速恢復(fù)；對(duì)于客戶機(jī)等計(jì)算機(jī)，系統(tǒng)維護(hù)量大，我校采用方正硬盤保護(hù)系統(tǒng)進(jìn)行日常維護(hù)，但在此同時(shí)一些頑固病毒仍無刪除，就需要我們對(duì)一些特殊計(jì)算機(jī)進(jìn)行處理。論文大全，維護(hù)要點(diǎn)。

5．常進(jìn)行日志審核。日志是指操作系統(tǒng)的日志、應(yīng)用程序的日志和防火墻的日志。論文大全，維護(hù)要點(diǎn)。對(duì)這些日志進(jìn)行常規(guī)的日志備份和分析，如果有異?；顒?dòng)，能及時(shí)發(fā)現(xiàn)，從而作出補(bǔ)救措施，這是對(duì)網(wǎng)絡(luò)安全監(jiān)控的一個(gè)補(bǔ)充。論文大全，維護(hù)要點(diǎn)。

三、讀者教育

引導(dǎo)和教育學(xué)生，增強(qiáng)他們的安全意識(shí)。在新生入學(xué)時(shí)，即對(duì)所有新生進(jìn)行入館教育．教導(dǎo)學(xué)生正確使用閱覽室內(nèi)電子設(shè)備，向?qū)W生說明發(fā)生火災(zāi)的各項(xiàng)必要的應(yīng)急措施及安全逃生路線。嚴(yán)禁在圖書館內(nèi)吸煙或違規(guī)使用電子設(shè)備。

四、結(jié)束語

電子閱覽室的網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的工程，不可能只依靠一種措施來保證安全，必須把各種安全措施有機(jī)的結(jié)合起來，加之合理的運(yùn)用，才能達(dá)到保障電子閱覽室網(wǎng)絡(luò)安全的目的。在采取安全防范措施的同時(shí)，還必須完善電子閱覽室的管理規(guī)章制度，加強(qiáng)工作人員的網(wǎng)絡(luò)安全意識(shí)，才能有效地實(shí)現(xiàn)電子閱覽室安全、可靠、穩(wěn)定地運(yùn)行．

參考文獻(xiàn)：

1、吳少華，局域同中的數(shù)據(jù)安全問題研究．中國(guó)民航飛行學(xué)院學(xué)報(bào)，2005．8．

2、茂，論高校圖書館電子閱覽室的安全管理與充分利用．內(nèi)蒙古科技與經(jīng)濟(jì)．2008．6．

3、國(guó)編著．網(wǎng)絡(luò)安全原理與技術(shù)．北京：科學(xué)出版社。2003．

4、石勇.高校電子閱覽室的安全工作探討.農(nóng)業(yè)網(wǎng)絡(luò)信息。2009年第5期。

篇(2)

關(guān)鍵詞：電子政務(wù)，信息安全，網(wǎng)絡(luò)安全，安全模型，信息安全體系結(jié)構(gòu)

一、電子政務(wù)安全體系概述網(wǎng)絡(luò)安全遵循“木桶原理”，即一個(gè)木桶的容積決定于它最短的一塊木板，一個(gè)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。因此，電子政務(wù)必須建立在一個(gè)完整的多層次的安全體系之上，任何環(huán)節(jié)的薄弱都將導(dǎo)致整個(gè)安全體系的崩潰。同時(shí)，由于電子政務(wù)的特殊性，也要求電子政務(wù)安全環(huán)境中重要的加密/密鑰交換算法等安全核心技術(shù)必須采用具有自主知識(shí)產(chǎn)權(quán)或原碼開放的產(chǎn)品。

一個(gè)完整的電子政務(wù)安全體系可由四部分構(gòu)成，即：基礎(chǔ)安全設(shè)施、安全技術(shù)平臺(tái)、容災(zāi)與恢復(fù)系統(tǒng)和安全管理，如圖：

基礎(chǔ)安全設(shè)施是一個(gè)為整個(gè)安全體系提供安全服務(wù)的基礎(chǔ)性平臺(tái)，為應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)提供包括數(shù)據(jù)完整性、真實(shí)性、可用性、不可抵賴性、機(jī)密性在內(nèi)的安全服務(wù)。有了這一基礎(chǔ)設(shè)施，整個(gè)電子政務(wù)的安全策略便有了實(shí)現(xiàn)的保證。這一平臺(tái)的實(shí)現(xiàn)主要包括CA/PKI。

網(wǎng)絡(luò)系統(tǒng)安全是一個(gè)組合現(xiàn)有安全產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的平臺(tái)。網(wǎng)絡(luò)系統(tǒng)安全的優(yōu)劣取決與安全策略的合理性，電子政務(wù)的網(wǎng)絡(luò)安全策略是：劃分網(wǎng)絡(luò)安全域建立多層次的動(dòng)態(tài)防御體系。

電子政務(wù)系統(tǒng)用戶類型復(fù)雜，劃分網(wǎng)絡(luò)安全域?qū)⒕哂邢嗨茩?quán)限的用戶劃分成獨(dú)立的管理域，管理域之間通過物理隔離與認(rèn)證/加密技術(shù)實(shí)現(xiàn)有限可控的互連互通，有利于降低整個(gè)系統(tǒng)訪問權(quán)限控制的復(fù)雜性，降低系統(tǒng)性風(fēng)險(xiǎn)。

基于多層次的防御體系在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊都侵入時(shí)所需花費(fèi)的時(shí)間、成本和資源，從而有效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。如訪問控制可部署在網(wǎng)絡(luò)層的接入路由器/VLAN交換機(jī)和應(yīng)用層的身份認(rèn)證系統(tǒng)兩層之上。

網(wǎng)絡(luò)信息安全具有動(dòng)態(tài)性的特點(diǎn)：網(wǎng)絡(luò)和應(yīng)用程序的未知漏洞具有動(dòng)態(tài)產(chǎn)生的特點(diǎn)；電子政務(wù)的應(yīng)用也會(huì)動(dòng)態(tài)變化、網(wǎng)絡(luò)升級(jí)優(yōu)化將導(dǎo)致系統(tǒng)配置動(dòng)態(tài)更新。這些都要求我們的防御系統(tǒng)必須具有動(dòng)態(tài)適應(yīng)能力，包括建立入侵監(jiān)測(cè)（IDS）系統(tǒng)，漏洞掃描系統(tǒng)和安全配置審計(jì)系統(tǒng)，并將它們與防火墻等設(shè)備結(jié)合成連動(dòng)系統(tǒng)，以適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。

災(zāi)難恢復(fù)系統(tǒng)在發(fā)生重大自然及人為災(zāi)難時(shí)能迅速恢復(fù)數(shù)據(jù)資料，保證系統(tǒng)的正常運(yùn)行并保護(hù)了政務(wù)歷史資料。電子政務(wù)的容災(zāi)與恢復(fù)系統(tǒng)應(yīng)該采用磁帶靜態(tài)備份與磁盤同步備份相結(jié)合的方式。磁帶靜態(tài)方式用于離線保存歷史記錄，保證了歷史信息的完整，而磁盤同步方式則用于災(zāi)難數(shù)據(jù)恢復(fù)，保護(hù)了當(dāng)前系統(tǒng)的所有數(shù)據(jù)。

安全管理也是電子政務(wù)安全體系的重要組成部分。網(wǎng)絡(luò)安全的核心實(shí)際上是管理，安全技術(shù)實(shí)際上只是實(shí)現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制定的制度包括：日常系統(tǒng)操作及維護(hù)制度、審計(jì)制度、文檔管理制度、應(yīng)急響應(yīng)制度等。

二、電子政務(wù)安全體系的設(shè)計(jì)電子政務(wù)系統(tǒng)是一個(gè)復(fù)雜的多層次應(yīng)用系統(tǒng)，根據(jù)不同的應(yīng)用環(huán)境和安全要求一般可分為三個(gè)不同的網(wǎng)段：內(nèi)網(wǎng)、專網(wǎng)、外網(wǎng)。免費(fèi)論文。

內(nèi)網(wǎng)包括內(nèi)網(wǎng)的數(shù)據(jù)層、內(nèi)網(wǎng)的業(yè)務(wù)層；內(nèi)網(wǎng)數(shù)據(jù)層是政府信息的集中存儲(chǔ)與處理的域，該域必須具有極其嚴(yán)格的安全控制策略，信息必須通過中間處理才能獲得。內(nèi)網(wǎng)的業(yè)務(wù)層是政府內(nèi)部的電子辦公環(huán)境，該區(qū)域內(nèi)的信息只能在內(nèi)部流動(dòng)。

專網(wǎng)連接政府不同的部門和不同部門的上下級(jí)部門。它把部分需要各部門交換的信息進(jìn)行交換。該區(qū)域負(fù)責(zé)將信息從一個(gè)內(nèi)網(wǎng)傳送到另一個(gè)內(nèi)網(wǎng)區(qū)域，它不與外網(wǎng)域有任何信息交換。免費(fèi)論文。

外網(wǎng)是政府部門的公共信息的場(chǎng)所，它實(shí)現(xiàn)政府與公眾的互操作。該域應(yīng)與內(nèi)網(wǎng)和專網(wǎng)隔離。

不同的網(wǎng)絡(luò)連接示意圖如下：

根據(jù)不同網(wǎng)絡(luò)的不同安全需求，設(shè)計(jì)了如下一個(gè)電子政務(wù)的安全模型：

三、電子政務(wù)安全體系的部署

電子政務(wù)安全體系的部署應(yīng)遵循確定安全需求、安全狀態(tài)評(píng)估、安全策略制定（含管理制度）、安全方案設(shè)計(jì)、安全方案實(shí)施、安全制度培訓(xùn)的順序進(jìn)行。免費(fèi)論文。前期的確定安全需求和安全狀態(tài)評(píng)估是整個(gè)安全體系部署中最重要的兩個(gè)步驟，它們是后續(xù)制定安全策略和方案設(shè)計(jì)的依據(jù)，決定了整個(gè)安全體系的可靠性。

全面的安全需求調(diào)查包括兩個(gè)方面：系統(tǒng)安全的功能需求和安全置信度需求。系統(tǒng)安全的功能需求包括安全審計(jì)需求、安全連接需求、身份認(rèn)證、信息機(jī)密需求、數(shù)據(jù)保護(hù)需求以及安全管理需求。安全置信度需求包括安全保護(hù)輪廓評(píng)估（PP）、安全目標(biāo)（ST）評(píng)估、系統(tǒng)配置維護(hù)管理、用戶手冊(cè)規(guī)范、產(chǎn)品生命周期支持以及測(cè)試等內(nèi)容。

安全狀態(tài)評(píng)估通常采用五種方式來了解安全漏洞：1) 對(duì)現(xiàn)有安全策略和制度進(jìn)行分析；2) 參照一些通用的安全基線來考察系統(tǒng)安全狀態(tài)；3) 利用安全掃描工具來發(fā)現(xiàn)一些技術(shù)性的常見漏洞；4) 允許一些有經(jīng)驗(yàn)的人在監(jiān)管之下對(duì)特定的機(jī)密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級(jí)；5) 對(duì)該系統(tǒng)的安全管理人員和使用者進(jìn)行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。

同時(shí)應(yīng)注意的是，安全體系的部署并非一勞永逸的事情，隨著系統(tǒng)安全狀態(tài)的動(dòng)態(tài)變化，應(yīng)定期對(duì)系統(tǒng)進(jìn)行安全評(píng)估和審計(jì)，搜尋潛在的安全漏洞并修正錯(cuò)誤安全配置。

總之，電子政務(wù)的安全系統(tǒng)是個(gè)容復(fù)雜組織和先進(jìn)IT技術(shù)于一體的復(fù)合體，必須從管理和技術(shù)兩方面來加強(qiáng)安全性，以動(dòng)態(tài)的眼光來管理安全，在嚴(yán)謹(jǐn)?shù)陌踩枨蠓治龊桶踩u(píng)估的基礎(chǔ)上運(yùn)用合理的安全技術(shù)來實(shí)現(xiàn)電子政務(wù)的整體安全。

·參考文獻(xiàn)：

1．電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn) 《北京:電子工業(yè)出版社》國(guó)家信息安全工程技術(shù)研究中心 2003

2．《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》國(guó)信辦 2006

3．電子政務(wù)安全解決方案要解決的主要問題《信息安全與通信保密》譚興烈 2004

4．電子政務(wù)安全體系《信息安全與通信保密》鄔賀銓 2003

篇(3)

論文關(guān)鍵詞：數(shù)據(jù)庫(kù)　存儲(chǔ)　網(wǎng)絡(luò)　安全

論文摘要：急救指揮中心所有的軟件和用戶數(shù)據(jù)都存儲(chǔ)在服務(wù)器硬盤這個(gè)核心的數(shù)據(jù)倉(cāng)庫(kù)中，如何保證服務(wù)器數(shù)據(jù)的安全，并且保證服務(wù)器最大程度上的不間斷運(yùn)作對(duì)每個(gè)指揮中心來說都是一個(gè)關(guān)鍵問題。針對(duì)急救通訊指揮系統(tǒng)的安全保障問題，從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有重要意義。

1數(shù)據(jù)的物理安全方法

1.1RAID技術(shù)

對(duì)每臺(tái)服務(wù)器的兩塊硬盤做RAID技術(shù)處理，把多塊獨(dú)立的硬盤(物理硬盤)按不同的方式組合起來形成一個(gè)硬盤組(邏輯硬盤)，從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)備份技術(shù)。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后，利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù)，從而保障了用戶數(shù)據(jù)的安全性，而且數(shù)據(jù)備份是自動(dòng)的。在用戶看起來，組成的磁盤組就像是一個(gè)硬盤，用戶可以對(duì)它進(jìn)行分區(qū)，格式化等等?？傮w來說，RAID技術(shù)的兩大特點(diǎn)是速度和安全。

1.2雙機(jī)熱備系統(tǒng)

從狹義上講，雙機(jī)熱備特指基于active／standby模式的服務(wù)器熱備。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)同時(shí)往兩臺(tái)或多臺(tái)服務(wù)器寫，或者使用一個(gè)共享的存儲(chǔ)設(shè)備。在同一時(shí)間內(nèi)只有一臺(tái)服務(wù)器運(yùn)行。當(dāng)其中運(yùn)行著的一臺(tái)服務(wù)器出現(xiàn)故障無法啟動(dòng)時(shí)，另一臺(tái)備份服務(wù)器會(huì)通過軟件診測(cè)(一般是通過心跳診斷)將standby機(jī)器激活，保證應(yīng)用在短時(shí)間內(nèi)完全恢復(fù)正常使用。雙機(jī)熱備的工作機(jī)制實(shí)際上是為整個(gè)網(wǎng)絡(luò)系統(tǒng)的中心服務(wù)器提供了一種故障自動(dòng)恢復(fù)能力。

2、網(wǎng)絡(luò)安全保障體系

中心網(wǎng)絡(luò)由局域網(wǎng)、外部網(wǎng)兩大部分組成。因此，我們?yōu)榱私⑵饛?qiáng)大、穩(wěn)定、安全的網(wǎng)絡(luò)，可從兩大安全層次著手設(shè)計(jì)與管理：局域網(wǎng)安全和外部網(wǎng)安全，這兩大層次結(jié)合起來才能構(gòu)成完善的網(wǎng)絡(luò)安全保障體系。

2.1應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)的安全主要是保護(hù)敏感數(shù)據(jù)數(shù)據(jù)不被未授權(quán)的用戶訪問。并制訂出安全策略。包括身份認(rèn)證服務(wù)；權(quán)限控制服務(wù)；信息保密服務(wù)；數(shù)據(jù)完整；完善的操作日志。這些服務(wù)互相關(guān)聯(lián)、互相支持，共同為本系統(tǒng)提供整體安全保障體系。

2.2數(shù)據(jù)安全

數(shù)據(jù)的安全主要體現(xiàn)在兩個(gè)方面，首先，是數(shù)據(jù)不會(huì)被非授權(quán)用戶訪問或更該，其次，數(shù)據(jù)在遭到破壞時(shí)的恢復(fù)。

3應(yīng)用安全系統(tǒng)

資料永久保存，磁帶回復(fù)時(shí)間無嚴(yán)格限制。數(shù)據(jù)存儲(chǔ)：磁盤陣列+磁帶庫(kù)；Tier1=4TB HDD存放線上經(jīng)常使用的數(shù)據(jù)；備份帶庫(kù)：3TB定時(shí)定期備份所有數(shù)據(jù)。

3.1采用磁帶庫(kù)

磁帶庫(kù)具有如下優(yōu)點(diǎn)：更高的價(jià)值；簡(jiǎn)化IT；集成的解決方案；靈活的數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)移；多種接口選擇；AES256位嵌入式硬件加密和壓縮功能；用戶可自行維護(hù)和更換的組件；廣泛的兼容性測(cè)試；久經(jīng)考驗(yàn)的可靠性。轉(zhuǎn)貼于

3.2數(shù)據(jù)備份軟件

3.2.1基于LAN備份方案

LAN是一種結(jié)構(gòu)簡(jiǎn)單，易于實(shí)現(xiàn)的備份方案，廣泛的存在于各中小企業(yè)中LAN方案在企業(yè)發(fā)展壯大過程中所發(fā)揮的作用一直被客戶所認(rèn)同。由于急救系統(tǒng)用戶數(shù)據(jù)量的巨大，基于LAN備份的弊端較突出：此方案對(duì)LAN的依賴非常強(qiáng)；因?yàn)閮?nèi)部LAN為企業(yè)內(nèi)部辦公用網(wǎng)絡(luò)，而LAN方案依賴現(xiàn)有網(wǎng)絡(luò)進(jìn)行備份恢復(fù)數(shù)據(jù)流的傳輸，所以必然會(huì)影響現(xiàn)有辦公網(wǎng)絡(luò)環(huán)境；基于LAN備份難于擴(kuò)展，因?yàn)樾枰砑哟鎯?chǔ)設(shè)備將導(dǎo)致繁忙的辦公網(wǎng)絡(luò)更加繁忙；管理困難是LAN備份的又一難題，因?yàn)樵O(shè)備分散于網(wǎng)絡(luò)各個(gè)環(huán)節(jié)，使管理員進(jìn)行數(shù)據(jù)備份恢復(fù)及平時(shí)維護(hù)工作有一定難度。

3.2.2基于IPSAN的備份方案

基于IPSAN的備份方案，通過結(jié)合CBS備份管理軟件，將使備份恢復(fù)工作簡(jiǎn)單而有效。

備份網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)有效隔離開，備份數(shù)據(jù)不通過辦公網(wǎng)絡(luò)傳輸，而是直接通過IPSAN交換機(jī)與存儲(chǔ)設(shè)備進(jìn)行連接。

系統(tǒng)具備良好的擴(kuò)展性能，在現(xiàn)有基礎(chǔ)上，客戶能夠添加各種存儲(chǔ)設(shè)備(需支持ISCSI)。

根據(jù)客戶需要，可以實(shí)現(xiàn)D2D2T功能。將數(shù)據(jù)首先備份于速度較快的磁盤陣列上，加快備份的速度。再將數(shù)據(jù)從磁盤陣列備份到磁帶庫(kù)。

通過CBS備份管理軟件能夠集中管理其中各種設(shè)備，制定備份策略，安排備份時(shí)間，實(shí)現(xiàn)無人值守作業(yè)，減輕管理員的工作量。下圖為CBS備份框架。

備份服務(wù)器作為整個(gè)CBS備份架構(gòu)的中心，實(shí)現(xiàn)管理功能。

4告警控制系統(tǒng)

通訊指揮系統(tǒng)出現(xiàn)故障時(shí)自動(dòng)告警提示，確保系統(tǒng)安全運(yùn)行。2M口通訊故障告警、網(wǎng)絡(luò)通訊故障告警、終端網(wǎng)絡(luò)斷開告警、電話到達(dá)告警、定時(shí)放音、擴(kuò)音、報(bào)時(shí)控制，也可自動(dòng)循環(huán)播放、電源出現(xiàn)故障可自動(dòng)向受理臺(tái)告警。

警告系統(tǒng)整體性能：輸入：8-32通道，8通道遞增；電源輸入：AC 180V-250V 50Hz；控制通道輸入及輸出：AC

5總結(jié)

隨著數(shù)據(jù)管理與控制信息化綜合系統(tǒng)的不斷完善，對(duì)服務(wù)器數(shù)據(jù)的安全要求也越來越高，論文就如何保障急救指揮中心證服務(wù)器數(shù)據(jù)的安全，論文從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有指導(dǎo)性的作用。

參考文獻(xiàn)

[1]何全勝，姚國(guó)祥.網(wǎng)絡(luò)安全需求分析及安全策略研究.計(jì)算機(jī)工程，2000，(06).

篇(4)

本畢業(yè)設(shè)計(jì)（論文）、學(xué)位論文作者愿意遵守浙江科技學(xué)院關(guān)于保留、使用學(xué)位論文的管理辦法及規(guī)定，允許畢業(yè)設(shè)計(jì)（論文）、學(xué)位論文被查閱。本人授權(quán) 浙江科技學(xué)院可以將畢業(yè)設(shè)計(jì)（論文）、學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)在校園網(wǎng)內(nèi)傳播，可以采用影印、縮印或掃描等復(fù)制手段保存、匯編畢業(yè)設(shè)計(jì)（論文）、學(xué)位論文。

（保密的學(xué)位論文在解密后適用本授權(quán)書）

論文作者簽名：導(dǎo)師簽名：

簽字日期：年月日簽字日期：年月日

內(nèi) 容摘要

本文針對(duì)浙江廣播電視集團(tuán)網(wǎng)絡(luò)，以及集團(tuán)網(wǎng)絡(luò)安全的建設(shè)、改造提出了相應(yīng)的解決方案，并且從網(wǎng)絡(luò)和網(wǎng)絡(luò)安全兩個(gè)主要方面進(jìn)行了相關(guān)的闡述。首先，對(duì)在本方案中可能使用到的計(jì)算機(jī)網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的相關(guān)技術(shù)進(jìn)行了闡述、分析和比較。然后，對(duì)集團(tuán)中的計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全的現(xiàn)狀進(jìn)行調(diào)查研究。其次，針對(duì)浙江廣播電視集團(tuán)的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行了詳細(xì)的需求分析。最后，提出了一套針對(duì)浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全實(shí)際情況的網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的詳細(xì)設(shè)計(jì)方案。實(shí)施本方案之后，有助于提高其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性、以及網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)，數(shù)據(jù)安全，網(wǎng)絡(luò)安全，局域網(wǎng)

ABSTRACT

The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.

KEYWORDS：network system，data security, network security，LAN

第一章引言 1

第一節(jié) 選題背景與意義 1

第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀 1

第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹 2

第二章集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析 4

第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境 4

第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份 4

第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析 5

第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 6

第三章集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo) 7

第一節(jié) 網(wǎng)絡(luò)安全需求分析 7

第二節(jié) 網(wǎng)絡(luò)安全目標(biāo) 7

第四章集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì) 9

第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 9

第二節(jié) 電子郵件安全解決方案 9

第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?nbsp;10

第四節(jié) 服務(wù)器的安全防護(hù) 11

第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng) 14

第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖 15

第五章結(jié)束語 17

參考文獻(xiàn) 18

致　謝 19

第一章引言

第一節(jié) 選題背景與意義

隨著互聯(lián)網(wǎng)的普及度越來越高，全世界的計(jì)算機(jī)都能通過互聯(lián)網(wǎng)連接到一起。各種網(wǎng)上活動(dòng)的日益頻繁，使得網(wǎng)絡(luò)安全問題日益突出，信息安全成為了一個(gè)重要的課題。各種各樣的網(wǎng)絡(luò)攻擊層出不窮，如何防止網(wǎng)絡(luò)攻擊，保障各項(xiàng)業(yè)務(wù)的順利進(jìn)行，為廣大用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境變得尤為重要。

本論文針對(duì)浙江廣播電視集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全的實(shí)際解決方案。在實(shí)施了本方案之后，有助于提高集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的可靠性、以及網(wǎng)絡(luò)的安全性。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程，是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)之上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在最理想的狀態(tài)下運(yùn)行。

第二節(jié) 集團(tuán)網(wǎng)絡(luò)安全發(fā)展與現(xiàn)狀

圖1-1網(wǎng)絡(luò)拓?fù)鋱D

浙江廣播電視集團(tuán)作為省級(jí)廣電傳媒集團(tuán)，現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)于2002年10月建成，在集團(tuán)的運(yùn)作和管理中發(fā)揮著重要的作用。近年來隨著集團(tuán)業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷深入，應(yīng)用領(lǐng)域較以前傳統(tǒng)的、小型的業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)方向擴(kuò)展。大部分子系統(tǒng)已接入網(wǎng)絡(luò)，遠(yuǎn)程數(shù)據(jù)傳輸、集團(tuán)資料共享、動(dòng)態(tài)數(shù)據(jù)查詢、流媒體數(shù)據(jù)業(yè)務(wù)、集團(tuán)網(wǎng)站運(yùn)營(yíng)等都在該網(wǎng)絡(luò)上傳輸，整個(gè)網(wǎng)絡(luò)的用戶規(guī)模是原計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的數(shù)十倍。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大、接入點(diǎn)數(shù)量的增多、內(nèi)部網(wǎng)絡(luò)中存在的安全隱患問題就會(huì)愈加突出，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而互聯(lián)網(wǎng)所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)自身網(wǎng)絡(luò)的安全性提出了更高的要求。雖然廣電集團(tuán)前期的網(wǎng)絡(luò)建設(shè)有一定的安全措施，但因?yàn)榫W(wǎng)絡(luò)復(fù)雜性的逐步提高，網(wǎng)絡(luò)中存在隱患的可能性以及由此產(chǎn)生的危害性也大大提高，因此在網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步建設(shè)過程中，及時(shí)查清網(wǎng)絡(luò)隱患的必要性就體現(xiàn)了出來。

第三節(jié) 網(wǎng)絡(luò)安全相關(guān)技術(shù)介紹

要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

一、防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：數(shù)據(jù)包過濾、監(jiān)測(cè)型、服務(wù)器等幾大類型。

二、數(shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

三、認(rèn)證技術(shù)

認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段，它對(duì)于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號(hào)源識(shí)別；第二，驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。

四、虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)

虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。

VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽。

五、計(jì)算機(jī)病毒的防范

首先要加強(qiáng)工作人員防病毒的意識(shí)，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：

（一）較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。

（二）完善的升級(jí)服務(wù)。與其它軟件相比，防病毒軟件更需要不斷地更新升級(jí)，以查殺層出不窮的計(jì)算機(jī)病毒。

第二章集團(tuán)網(wǎng)絡(luò)安全系統(tǒng)概況及風(fēng)險(xiǎn)分析

第一節(jié) 集團(tuán)網(wǎng)絡(luò)機(jī)房環(huán)境

目前，浙江廣播電視集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)絕大多數(shù)的設(shè)備都是安放在新大樓13樓機(jī)房?jī)?nèi)的，只有樓層交換機(jī)是分布在各樓層的設(shè)備機(jī)柜中。根據(jù)本文的現(xiàn)場(chǎng)勘察和了解，目前大多數(shù)信息機(jī)房在機(jī)房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經(jīng)作了很多的考慮，主要有如下方面:

一、網(wǎng)絡(luò)機(jī)房都作了可靠的防雷措施，建設(shè)有防雷接地網(wǎng)，其接地電阻小于1歐姆;大樓頂部建設(shè)有避雷針。

二、所有從網(wǎng)絡(luò)機(jī)房大樓外接入網(wǎng)絡(luò)機(jī)房的數(shù)據(jù)信號(hào)，全部采用光纖接入。

三、網(wǎng)絡(luò)機(jī)房?jī)?nèi)大多配備UPS電源系統(tǒng)。

四、機(jī)房?jī)?nèi)鋪設(shè)防靜電地板、吊頂，對(duì)墻面進(jìn)行了無塵處理。

五、安裝機(jī)房防盜監(jiān)控系統(tǒng)。

六、配備機(jī)房消防系統(tǒng)和應(yīng)急照明系統(tǒng)。

七、所有樓層交換機(jī)的供電都是由機(jī)房?jī)?nèi) UPS 通過專用的線路直接供電，與樓層內(nèi)的其它電源系統(tǒng)沒有任何連接。

第二節(jié) 網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)備份

在廣電集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)中大多己經(jīng)有功能數(shù)據(jù)備份與恢復(fù)系統(tǒng)，它是一套基于磁帶介質(zhì)的備份與恢復(fù)系統(tǒng)，有2套文件備份的License和1套Oracle數(shù)據(jù)庫(kù)備份的License，進(jìn)行服務(wù)器的文件備份和Oracle數(shù)據(jù)庫(kù)的實(shí)時(shí)備份和恢復(fù)。

浙江廣電集團(tuán)網(wǎng)絡(luò)中已經(jīng)有了以下幾個(gè)網(wǎng)絡(luò)安全方面的考慮:

一、病毒防護(hù)

網(wǎng)絡(luò)中使用了諾頓病毒防護(hù)系統(tǒng)，該病毒防御系統(tǒng)是基于網(wǎng)絡(luò)的病毒防護(hù)系統(tǒng)，在網(wǎng)絡(luò)內(nèi)能夠遠(yuǎn)程的安裝網(wǎng)絡(luò)客戶端的病毒防護(hù)軟件，進(jìn)行病毒特征庫(kù)的自動(dòng)更新，集中控制和管理。但是，網(wǎng)絡(luò)中的病毒防護(hù)系統(tǒng)沒有集中控制和管理的控制臺(tái)，不能實(shí)時(shí)了解網(wǎng)絡(luò)中防病毒客戶端程序的安裝情況、病毒感染和爆發(fā)的情況。

二、外網(wǎng)接入安全防護(hù)

網(wǎng)絡(luò)目前大多沒有單獨(dú)的外網(wǎng)接入點(diǎn)，沒有自己的外網(wǎng)接入安全防護(hù)，使用統(tǒng)一的出口和安全策略。

三、入侵檢測(cè)系統(tǒng)

在集團(tuán)總部局域網(wǎng)與其他網(wǎng)絡(luò)連接處采用的一套入侵檢測(cè)系統(tǒng)具體部署如圖2-1

圖2-1 廣電集團(tuán)入侵檢測(cè)系統(tǒng)示意圖

第三節(jié) 網(wǎng)絡(luò)安全弱點(diǎn)分析

浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全弱點(diǎn)主要包括:

一、硬件弱點(diǎn): 硬件隱患存在于服務(wù)器、終瑞、路由器、交換機(jī)和安全設(shè)備等設(shè)備中，一旦發(fā)生硬件的安全問題，將給主機(jī)和網(wǎng)絡(luò)系統(tǒng)的可靠性、可控性、可用性和安全性等造成嚴(yán)重?fù)p害。

二、操作系統(tǒng)弱點(diǎn): 由于操作系統(tǒng)自身的漏洞和缺陷可能構(gòu)成安全隱患。操作系統(tǒng)是計(jì)算機(jī)應(yīng)用程序執(zhí)行的基本平臺(tái)，一旦操作系統(tǒng)被滲透，就能夠破壞所有安全措施?？看蜓a(bǔ)丁開發(fā)的操作系統(tǒng)不能夠從根本上解決安全問題，動(dòng)態(tài)連接給廠商提供開發(fā)空間的同時(shí)為黑客開啟了方便之門。

三、數(shù)據(jù)庫(kù)系統(tǒng)弱點(diǎn): 由于數(shù)據(jù)庫(kù)系統(tǒng)本身的漏洞和缺陷可能構(gòu)成的安全隱患。

四、網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)： TCP/IP協(xié)議本身的開放性導(dǎo)致網(wǎng)絡(luò)存在安全隱患。如：TCP/IP 數(shù)據(jù)通信協(xié)議集本身就存在著安全缺點(diǎn)，如：大多數(shù)底層協(xié)議采用廣播方式，網(wǎng)上任何設(shè)備均可能竊聽到情報(bào)；協(xié)議規(guī)程中缺乏可靠的對(duì)通信雙方身份認(rèn)證手段，無法確定信息包地址真?zhèn)螌?dǎo)致身份“假冒”可能；由于TCP 連接建立時(shí)服務(wù)器初始序號(hào)的可推測(cè)性，使得黑客可以由“后門”進(jìn)入系統(tǒng)漏洞。

五、通用軟件系統(tǒng)弱點(diǎn):如Web服務(wù)器等常用應(yīng)用軟件本身可能存在的安全弱點(diǎn)。

六、業(yè)務(wù)系統(tǒng)弱點(diǎn): 節(jié)目視頻業(yè)務(wù)系統(tǒng)等本身的“Bug”或缺陷可能構(gòu)成弱點(diǎn)。

七、安全設(shè)計(jì)的弱點(diǎn): 安全設(shè)計(jì)不周全可能構(gòu)成系統(tǒng)防護(hù)的弱點(diǎn)，由于安全漏洞的動(dòng)態(tài)性和安全威脅的增長(zhǎng)性要求以及安全需求本身的限制，安全體系設(shè)計(jì)要求具有良好的可擴(kuò)展性和動(dòng)態(tài)自適應(yīng)性。

八、管理弱點(diǎn): 工具不多，技術(shù)水平不高，意識(shí)淡薄，人員不到位。

第四節(jié) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)本身所固有的結(jié)構(gòu)復(fù)雜、高度開放、邊界脆弱和管理困難等特點(diǎn)，增加了廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)自身的開放性和廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的特殊性使網(wǎng)絡(luò)系統(tǒng)存在很大的安全風(fēng)險(xiǎn)性，主要有：

一、人為因素：

未經(jīng)授權(quán)訪問重要信息

惡意破壞重要數(shù)據(jù)

數(shù)據(jù)竊取、數(shù)據(jù)篡改

利用網(wǎng)絡(luò)設(shè)計(jì)和協(xié)議漏洞進(jìn)行網(wǎng)絡(luò)攻擊

假冒、偽造、欺騙、敲詐、勒索

內(nèi)部人員惡意泄露重要的信息

管理員失職

二、自然因素：

設(shè)備的老化

火災(zāi)、水災(zāi) (包括供水故障)

爆炸、煙霧、灰塵

通風(fēng)

供電中斷

電磁輻射、靜電

以上都可能引起設(shè)備的失效、損壞，造成線路擁塞和系統(tǒng)癱瘓等。

第三章集團(tuán)網(wǎng)絡(luò)安全需求與安全目標(biāo)

第一節(jié) 網(wǎng)絡(luò)安全需求分析

為了確保廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全，其安全需求可以從安全管理層面、物理安全層面、系統(tǒng)安全層面、網(wǎng)絡(luò)安全層面、應(yīng)用安全層面等方面來分析。

從安全管理要求來分析，要考慮政策、法規(guī)、制度、管理權(quán)限和級(jí)別劃分、安全培訓(xùn)等，特別要考慮基層人員計(jì)算機(jī)水平不高，系統(tǒng)設(shè)計(jì)和培訓(xùn)等方面要周密考慮，制定切實(shí)有效的管理制度和運(yùn)行維護(hù)機(jī)制。

從物理安全要求來分析，要根據(jù)浙江廣電集團(tuán)實(shí)際情況，確定各物理實(shí)體的安全級(jí)別，建立相應(yīng)的安全防護(hù)機(jī)制。

從系統(tǒng)安全需求來分析，需要解決操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全、TCP/IP 等協(xié)議的安全、系統(tǒng)缺陷、病毒防范等問題。

從網(wǎng)絡(luò)安全需求來分析，要考慮系統(tǒng)掃描、入侵檢測(cè)、設(shè)備監(jiān)控和安全審計(jì)等，要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機(jī)密性，撥號(hào)線路的保密性和身份鑒別。

從應(yīng)用安全和信息安全需求來分析，要解決重要終端用戶數(shù)據(jù)的加密、數(shù)據(jù)的完整性、數(shù)據(jù)的訪問控制和授權(quán)以及數(shù)據(jù)承載終端設(shè)備 (各種計(jì)算機(jī)、筆記本電腦、無線WAP終端及其它終端設(shè)備) 以及其中運(yùn)行的操作系統(tǒng)的安全可靠。

因此，廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全要重點(diǎn)做好以下幾方面的工作，同時(shí)也是本安全方案的設(shè)計(jì)需要解決的問題：

一、解決內(nèi)部外部系統(tǒng)間的入侵檢測(cè)、信息過濾 (防止有害信息的傳播)、網(wǎng)絡(luò)隔離問題；

二、解決內(nèi)部外部黑客針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、主機(jī)系統(tǒng)和應(yīng)用服務(wù)的各種攻擊所造成的網(wǎng)絡(luò)或系統(tǒng)不可用、信息泄密、數(shù)據(jù)篡改等所帶來的問題；

三、解決重要信息的備份和系統(tǒng)的病毒防范等問題；

四、建立系統(tǒng)安全運(yùn)行所匹配的管理制度和各種規(guī)范條例；

五、建立健全浙江廣電集團(tuán)網(wǎng)絡(luò)系統(tǒng)安全培訓(xùn)制度及程序等方面的問題；

六、解決浙江廣電集團(tuán)和其它相關(guān)單位部門網(wǎng)絡(luò)信息交流帶來的安全問題。

第二節(jié) 網(wǎng)絡(luò)安全目標(biāo)

計(jì)算機(jī)網(wǎng)絡(luò)的安全問題與單臺(tái)計(jì)算機(jī)的安全在實(shí)際中存在著非常大的差別。網(wǎng)絡(luò)不是分裝在一個(gè)機(jī)箱內(nèi)，存在著傳輸系統(tǒng)的地域分布問題。這些傳輸通信系統(tǒng)可以是有線的，也可以是無線的。這類傳輸可以在中途被截獲，存在著“中間攻擊”的問題。從攻擊的手段來看，攻擊種類和機(jī)制非常多。訪問控制和鑒別也比單臺(tái)計(jì)算機(jī)困難，網(wǎng)絡(luò)安全要特別重視防截獲，防泄露和信息加密的實(shí)施。

目前所采用的網(wǎng)絡(luò)防護(hù)方法也就是在進(jìn)入計(jì)算機(jī)操作系統(tǒng)控制中的網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)協(xié)議上實(shí)施的。

網(wǎng)絡(luò)防護(hù)的基本服務(wù): 網(wǎng)絡(luò)訪問控制(MAC)、鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、行為的完整性、抗抵賴性、可用性等。

網(wǎng)絡(luò)安全的目的是保護(hù)在網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息的安全，概括為確保信息的完整性、保密性、可用性和不可抵賴性。

信息的保密性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息不被非授權(quán)的查看；

信息的完整性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息不被非授權(quán)的改變；

信息的可用性和可靠性指的是在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)、傳輸和處理的信息為授權(quán)用戶提供及時(shí)、方便、有效的服務(wù)；

信息的不可抵賴性指的是內(nèi)部人員對(duì)信息的操作不可抵賴。

為了更加完整的執(zhí)行上述網(wǎng)絡(luò)信息安全的思想，防止來自集團(tuán)內(nèi)部局域網(wǎng)上的攻擊，又由于浙江廣電集團(tuán)網(wǎng)絡(luò)連接關(guān)系復(fù)雜、網(wǎng)絡(luò)設(shè)備多，使用租用的國(guó)內(nèi)的通信線路，存在著傳輸線搭接竊聽或輻射接收竊聽等環(huán)節(jié)。因此要做到以下幾個(gè)要求：

1) 防止計(jì)算機(jī)病毒的蔓延

集團(tuán)網(wǎng)絡(luò)眾多的用戶，可能由于內(nèi)部管理上疏忽，裝入未經(jīng)殺毒處理的軟

件或是從因特網(wǎng)上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等，這些都對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴(yán)重威脅。病毒廣泛地傳播，將造成網(wǎng)絡(luò)軟硬件設(shè)備的損害以至于整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓。

2) 加強(qiáng)網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)

網(wǎng)絡(luò)黑客攻擊手段、計(jì)算機(jī)病毒等都處于不斷的發(fā)展和變化中，使用目前的安全保密技術(shù)和產(chǎn)品是難以構(gòu)造一種絕對(duì)安全、無縫隙和一勞永逸的網(wǎng)絡(luò)系統(tǒng)的。因此，安全的網(wǎng)絡(luò)系統(tǒng)必須具有網(wǎng)絡(luò)安全漏洞的檢測(cè)和監(jiān)控功能。通過安全檢測(cè)、監(jiān)控手段，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞和各種惡意的攻擊手段，及時(shí)提供修補(bǔ)系統(tǒng)漏洞的建議并阻斷來自內(nèi)外的非法使用和攻擊。

3) 保障集團(tuán)內(nèi)部業(yè)務(wù)系統(tǒng)的安全穩(wěn)定

由于涉及省臺(tái)與各地方臺(tái)的視頻傳輸，不可避免的會(huì)遇上各種各樣的問題，因此，在網(wǎng)絡(luò)層對(duì)業(yè)務(wù)的安全要保障得力，并且要確認(rèn)信息傳輸?shù)陌踩€(wěn)定。

第四章集團(tuán)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)

第一節(jié) 網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)

由于浙江廣電集團(tuán)的網(wǎng)絡(luò)建設(shè)已有很多年的時(shí)間了，其很多網(wǎng)絡(luò)設(shè)備都自帶了監(jiān)控及管理軟件或工具，但是這些工具在問題發(fā)生之后很難解決問題。而網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的實(shí)時(shí)映射、網(wǎng)絡(luò)瓶頸通知和設(shè)備失敗通知卻可以幫助用戶快速隔離問題，并且在員工抱怨之前解決問題。

這里對(duì)推薦的美國(guó) CA 公司的網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) (Unicenter Network & System Management)所能夠達(dá)到的功能簡(jiǎn)單地說明一下：通過 TCP/IP 協(xié)議，不需要專門的培訓(xùn)，用戶就可以配置該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)，啟動(dòng)網(wǎng)絡(luò)監(jiān)視管理功能后，能夠監(jiān)控的網(wǎng)絡(luò)設(shè)備包括工作站、服務(wù)器、主機(jī)、網(wǎng)橋、路由器、集線器、打印機(jī)等在內(nèi)的幾乎所有網(wǎng)絡(luò)元件。當(dāng)用戶決定使用該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)軟件時(shí)，首先可以通過該軟件的網(wǎng)絡(luò)探查功能，能夠全面查看用戶網(wǎng)絡(luò)的底層構(gòu)件，確認(rèn)整個(gè)網(wǎng)絡(luò)的體系結(jié)構(gòu)，并以一種可描述可管理的模式定位所有的網(wǎng)絡(luò)設(shè)備，并將這些設(shè)備存儲(chǔ)起來，迅速繪出網(wǎng)絡(luò)結(jié)構(gòu)圖，同時(shí)啟動(dòng)設(shè)備的監(jiān)控，而這些過程都是自動(dòng)生成的，非常簡(jiǎn)單易用，可操作性強(qiáng)，這對(duì)于網(wǎng)絡(luò)設(shè)備非常多、而專業(yè)網(wǎng)絡(luò)管理人員較少的企業(yè)來說就顯得非常重要。

在這個(gè)過程中，首先通過該網(wǎng)絡(luò)監(jiān)控管理系統(tǒng) 24X7 的全時(shí)設(shè)備輪詢網(wǎng)絡(luò)監(jiān)視功能，迅速識(shí)別網(wǎng)絡(luò)元件的任何問題，當(dāng)監(jiān)測(cè)到問題時(shí)，可以不同的顏色顯示出來，并以通過手機(jī)、e-mail、聲音警報(bào)通知管理人員，同時(shí)根據(jù)各網(wǎng)絡(luò)元件相互之間的依賴關(guān)系，自動(dòng)關(guān)閉與有問題網(wǎng)絡(luò)元件之后的所有網(wǎng)絡(luò)元件的連接，減少冗余數(shù)據(jù)數(shù)量，避免冗余通知。此外，還能對(duì)網(wǎng)絡(luò)元件的潛在問題、網(wǎng)頁的正確性、可用性、網(wǎng)絡(luò)的性能以及系統(tǒng)資源進(jìn)行有效的監(jiān)控管理。

當(dāng)網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)識(shí)別網(wǎng)絡(luò)失效時(shí)，在向相關(guān)人員發(fā)送警報(bào)及通知時(shí)，該軟件還可啟動(dòng)一個(gè)程序來定位網(wǎng)絡(luò)失效。因此，當(dāng)狀況被隔離之后，一個(gè)特定的應(yīng)用程序或者腳本程序就會(huì)被執(zhí)行，或許是重啟這個(gè)服務(wù)或許是重啟計(jì)算機(jī)。這個(gè)進(jìn)程是自動(dòng)的，因此當(dāng)相關(guān)人員收到設(shè)備失效的通知時(shí)，相應(yīng)的措施已經(jīng)采取了，管理人員不用回到辦公室，因?yàn)楫?dāng)管理人員在收到通知時(shí)已經(jīng)知道問題己經(jīng)解決了。

在這一系列監(jiān)控與管理過程中，網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)都能自動(dòng)生成監(jiān)控及管理日志，并對(duì)系統(tǒng)的使用情況與趨勢(shì)形成報(bào)告，以便用戶形成較為完善的系統(tǒng)化管理，提升工作效率。

第二節(jié) 電子郵件安全解決方案

解決電子郵件安全問題，我們需要從三個(gè)方面來考慮如何應(yīng)對(duì)：

1) 對(duì)帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵；

2) 對(duì)進(jìn)出郵件系統(tǒng)的所有郵件進(jìn)行備份，用于監(jiān)控和備查；

3) 對(duì)敏感的郵件內(nèi)容進(jìn)行加密傳輸，防備在傳遞路徑上的惡意窺伺。

對(duì)集團(tuán)來講，現(xiàn)實(shí)的方法是結(jié)合現(xiàn)有的成熟技術(shù)，組合出一個(gè)在經(jīng)濟(jì)上和技術(shù)上合理的解決方案，同時(shí)要保證長(zhǎng)期的維保成本。郵件系統(tǒng)的安全解決方案包括如下三個(gè)部分：

1、電子郵件安全網(wǎng)關(guān)技術(shù)方案

通過郵件安全網(wǎng)關(guān)的部署，在病毒程序、垃圾郵件等不良信息進(jìn)入集團(tuán)郵件系統(tǒng)之前，便對(duì)其進(jìn)行遏制、阻截，從而保證集團(tuán)電子郵件系統(tǒng)的安全穩(wěn)定運(yùn)行，節(jié)省郵件系統(tǒng)存儲(chǔ)空間，避免機(jī)密的泄漏。

在郵件網(wǎng)關(guān)硬件系統(tǒng)上整合郵件反病毒引擎，對(duì)進(jìn)入集團(tuán)郵件系統(tǒng)的電子郵件進(jìn)行病毒檢測(cè)，采取郵件隔離、刪除以及清除病毒等操作，減少病毒對(duì)郵件服務(wù)器的攻擊。應(yīng)根據(jù)互聯(lián)網(wǎng)最新病毒發(fā)展趨勢(shì)，定時(shí)升級(jí)郵件網(wǎng)關(guān)病毒庫(kù)。

2、郵件備份系統(tǒng)技術(shù)方案

在集團(tuán)現(xiàn)有郵件系統(tǒng)的基礎(chǔ)上，實(shí)現(xiàn)對(duì)指定時(shí)間內(nèi)(如最近一年)所有收發(fā)郵件的備份，并且管理員根據(jù)郵件信息摘要(例如：發(fā)件人、收件人、主題、日期、附件名稱等)進(jìn)行檢索和查看郵件全部?jī)?nèi)容。

3、郵件加密系統(tǒng)技術(shù)方案

保護(hù)重要電子郵件不被泄密，防止內(nèi)部人員未經(jīng)許可將重要電子文檔以郵件的方式泄密，防止電子郵件被截取而引起的泄密。保證工作效率，在盡量不改變使用者收發(fā)郵件操作習(xí)慣的基礎(chǔ)上，保證電子郵件正常暢通使用。

考慮到文件安全擴(kuò)展的需求，除電子郵件之外，信息泄密還有多種途徑。在保護(hù)郵件安全的基礎(chǔ)上，要考慮到日后系統(tǒng)的擴(kuò)展性。

郵件安全管理系統(tǒng)綜合動(dòng)態(tài)加解密技術(shù)、訪問權(quán)限控制技術(shù)、使用權(quán)限控制技術(shù)、期限控制技術(shù)、身份認(rèn)證技術(shù)、操作日志管理技術(shù)、硬件綁定技術(shù)等多種技術(shù)對(duì)電子郵件進(jìn)行保護(hù)。

第三節(jié) 遠(yuǎn)程數(shù)據(jù)傳輸?shù)募用?/p>

建立基于SSL VPN技術(shù)加密訪問系統(tǒng)，使得從Internet到內(nèi)部網(wǎng)絡(luò)的訪問使用SSL VPN數(shù)據(jù)加密通道，保證數(shù)據(jù)在傳輸過程中保密性。

目前能夠提供 SSL VPN 加密產(chǎn)品的廠家很多，但是本文認(rèn)為在SSL VPN技術(shù)的先進(jìn)性、加密傳輸?shù)乃俾省⒁约皬S家的技術(shù)服務(wù)等方面，Juniper的Netscreen SA 1000具有相對(duì)的優(yōu)勢(shì)，是其它廠家無法比的。

Juniper 網(wǎng)絡(luò)公司SSL VPN產(chǎn)品家族的Netscreen-SA 1000系列，使企業(yè)可以部署經(jīng)濟(jì)高效的遠(yuǎn)程接入、外聯(lián)網(wǎng)及內(nèi)聯(lián)網(wǎng)安全性。用戶可從任何標(biāo)準(zhǔn) Web瀏覽器接入企業(yè)網(wǎng)絡(luò)和應(yīng)用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機(jī)制，SSL是所有標(biāo)準(zhǔn)Web瀏覽器中使用的安全協(xié)議。使用SSL使客戶無需部署客戶端軟件、無需更改內(nèi)部服務(wù)器，也無需進(jìn)行成本高昂的長(zhǎng)期維護(hù)。NetScreen-SA 1000產(chǎn)品提供先進(jìn)的合作伙伴喀戶外聯(lián)網(wǎng)特性，以控制用戶或用戶組的網(wǎng)絡(luò)訪問，無需更改基礎(chǔ)設(shè)施、無需部署DMZ 、也無需軟件。這項(xiàng)功能還允許公司安全接入企業(yè)內(nèi)聯(lián)網(wǎng)，使管理員可以根據(jù)不同員工、承包商和訪問者所需的資源來限制他們的接入權(quán)限。

NetScreen-SA 1000系列解決方案的主要特性與優(yōu)勢(shì)如下:

一、端到端分層安全性

端點(diǎn)客戶端、設(shè)備、數(shù)據(jù)和服務(wù)器的分層安全性控制，Juniper網(wǎng)絡(luò)公司 Endpoint Defense Initiative(端點(diǎn)防御計(jì)劃)，用于提供最高的端點(diǎn)安全性可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來規(guī)定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務(wù)器，幾乎不需要長(zhǎng)期維護(hù)。從單一平臺(tái)安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)安全的外聯(lián)網(wǎng)接入，無需構(gòu)建 DMZ、無需加固服務(wù)器、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶簡(jiǎn)化

二、可管理性

（一）集中管理選項(xiàng)提供統(tǒng)一管理

（二）用戶自助服務(wù)功能，可降低技術(shù)支持服務(wù)窗口的支持成本

（三）細(xì)粒度的審計(jì)和日志記錄

（四）3 種不同的接入方法，允許管理員根據(jù)具體目的來設(shè)置接入權(quán)限

（五）基于角色分配管理任務(wù)

三、高可用性

群集對(duì)部署選項(xiàng)，可為整個(gè)LAN和WAN提供高可用性。

第四節(jié) 服務(wù)器的安全防護(hù)

一、業(yè)務(wù)服務(wù)器的安全防護(hù)

（一）防火墻的安裝

這里將在Catalyst 4506交換機(jī)與服務(wù)器群的交換機(jī)之間安裝一臺(tái)高性能的防火墻，并根據(jù)服務(wù)器群中的每臺(tái)服務(wù)器的應(yīng)用系統(tǒng)的情況，在該防火墻上進(jìn)行一對(duì)一的安全策略配置的工作。

（二）入侵檢測(cè)系統(tǒng)的安裝

這里將在服務(wù)器群的交換機(jī)上配置一個(gè)偵聽端口，將流經(jīng)該交換機(jī)所有端口的數(shù)據(jù)包都復(fù)制一份傳送到偵聽端口上；再把入侵檢測(cè)系統(tǒng)連接到該偵聽端口，接收該端口輸出的所有數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包進(jìn)行入侵分析、判斷和記錄。本文將負(fù)責(zé)完成入侵檢測(cè)安裝配置工作。

二、涉及到的設(shè)備選擇

（一）防火墻的選擇

防火墻的類型主要有：數(shù)據(jù)包過濾、監(jiān)測(cè)型、服務(wù)器等幾大類型。

1）包過濾型

包過濾型防火墻是防火墻的較初級(jí)產(chǎn)品，其技術(shù)基于網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。如圖4-1所示:

圖4-1包過濾型防火墻的工作原理

包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

2）型

型防火墻也能夠被稱為服務(wù)器，它的安全性要高過包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看，服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到集團(tuán)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。如圖4-2所示

圖4-2型防火墻的工作原理

型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。它的缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

本文將選用業(yè)界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻，該防火墻的技術(shù)參數(shù)如表4-1

表 4-1 NetScreen 5200 防火墻技術(shù)參數(shù)表

物性/功能 NetScreen-5200

接口數(shù) 2個(gè)XFE 1OGigE，或8個(gè)Mini-GBIC, 或2個(gè)Mini-GBIC+24 10/100

最大吞吐量 1OG 防火墻

5G 3DES/AFS VPN

最多會(huì)話數(shù) 1,000,000

最多VPN 隧道數(shù) 30,000

最多策略數(shù) 4000,000

最多虛擬系統(tǒng)數(shù) 5

最多虛擬LAN 數(shù) 4000

最多安全區(qū)域數(shù) 默認(rèn)設(shè)置為16個(gè)，最多增加1000個(gè)

最多虛擬路由器數(shù) 默認(rèn)設(shè)置為3個(gè)，最多增加500個(gè)

支持的高可用性模式主用/備用

支持的路由協(xié)議 OSPF, BGP, RIRV1/V2

深層檢測(cè) 是

集成/重新定向，Web過濾是/否

（二）入侵檢測(cè)系統(tǒng)的選擇

這里選用國(guó)內(nèi)擁有領(lǐng)先安全技術(shù)水平的天融信千兆級(jí)入侵檢測(cè)系統(tǒng)NGIDS-UF。其主要的技術(shù)指標(biāo)如表4-2

表4-2 NGIDS-UF 入侵檢測(cè)系統(tǒng)技術(shù)指標(biāo)表

型號(hào) NGIDS-UF

類別千兆IDS

規(guī)格 2U 機(jī)架式

網(wǎng)絡(luò)接口 1個(gè)10/100Base-TX: 2個(gè)千兆光纖

2wh 10/100/1000Base-TX

串口 1個(gè)RS-232C

第五節(jié) 計(jì)算機(jī)病毒防護(hù)的加強(qiáng)

一、在原有的病毒防護(hù)系統(tǒng)增加集中管理控制臺(tái)

新增一臺(tái)服務(wù)器，在上面安裝一套諾頓的病毒防護(hù)的集中管理控制臺(tái)。這里將安裝該服務(wù)器系統(tǒng)和諾頓的集中管理控制的軟件系統(tǒng)。

二、增加網(wǎng)絡(luò)病毒防火墻

在每個(gè)樓層交換機(jī)的上聯(lián)端接入一臺(tái)網(wǎng)絡(luò)病毒防火墻，對(duì)局域網(wǎng)內(nèi)的病毒進(jìn)行區(qū)域控制：在二級(jí)單位廣域網(wǎng)入口處安裝一臺(tái)網(wǎng)絡(luò)病毒防火墻，保障二級(jí)單位的廣域網(wǎng)線路不會(huì)受到病毒數(shù)據(jù)包的影響。

涉及到的設(shè)備選擇：

(一)諾頓的防病毒集中管理控制臺(tái)

只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網(wǎng)絡(luò)防病毒系統(tǒng)的客戶端軟件。

(二)網(wǎng)絡(luò)病毒防火墻

目前有趨勢(shì)相關(guān)的硬件產(chǎn)品出售，并且該產(chǎn)品還能夠與諾頓的網(wǎng)絡(luò)防病毒客戶端軟件進(jìn)行聯(lián)動(dòng)。所以本文選擇部署趨勢(shì)的NVW1200網(wǎng)路病毒防火墻。該網(wǎng)絡(luò)病毒防火墻的主要功能如下:

1.執(zhí)行免的安全策略

網(wǎng)絡(luò)病毒墻對(duì)非兼容設(shè)備進(jìn)行隔離修正，以確保所有設(shè)備在進(jìn)入網(wǎng)絡(luò)前都安裝有最新的防病毒及關(guān)鍵的操作系統(tǒng)補(bǔ)丁。執(zhí)行免的安全策略可減少管理負(fù)荷，并可同時(shí)降低被合作伙伴或VPN用戶的非兼容設(shè)備感染的風(fēng)險(xiǎn)。

2.漏洞隔離

網(wǎng)絡(luò)病毒墻根據(jù)Trend Micro的漏洞評(píng)估功能，隔離網(wǎng)絡(luò)蠕蟲可利用的潛在環(huán)節(jié)，使管理者有選擇地隔離薄弱(未安裝不定程序)的網(wǎng)絡(luò)段或設(shè)施，避免病毒的爆發(fā)。網(wǎng)絡(luò)病毒墻提供漏洞評(píng)估服務(wù)，并將該功能作為一個(gè)可選項(xiàng)。

3.靈活的、集中式管理

網(wǎng)絡(luò)病毒墻包括趨勢(shì)科技企業(yè)安全管控中心、及一個(gè)集中式、基于網(wǎng)絡(luò)的管理控制臺(tái)，它根據(jù)主機(jī)安裝永久的需要實(shí)施安全更新部署。該服務(wù)可以自動(dòng)部署、或點(diǎn)擊管理控制臺(tái)的選項(xiàng)進(jìn)行手工部署。

4.網(wǎng)絡(luò)掃描及偵測(cè)

網(wǎng)絡(luò)病毒墻通過掃描網(wǎng)絡(luò)流量查找蠕蟲及漏洞利用，并基于趨勢(shì)實(shí)驗(yàn)室提供的最新病毒碼來自動(dòng)清除感染的網(wǎng)絡(luò)數(shù)據(jù)包。另外，網(wǎng)絡(luò)病毒墻利用趨勢(shì)科技先進(jìn)的啟發(fā)式技術(shù)對(duì)您的網(wǎng)絡(luò)實(shí)施監(jiān)控，并提供威脅的早期預(yù)警。

5.網(wǎng)絡(luò)病毒爆發(fā)監(jiān)控

網(wǎng)絡(luò)病毒墻通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量或可疑活動(dòng)來提供早期的威脅預(yù)警。并在中心控制臺(tái)上發(fā)出病毒爆發(fā)通知，立即提示管理者蠕蟲攻擊目標(biāo)、受感染的主機(jī)、或具體的受攻擊的漏洞。

6.網(wǎng)絡(luò)病毒爆發(fā)防御

網(wǎng)絡(luò)病毒墻部署了Trend Micro病毒爆發(fā)防御服務(wù)，通過阻絕任何蠕蟲傳播組合，包括8地址或地址范圍、端口及協(xié)議、即時(shí)通訊渠道、文件類型擴(kuò)展名、及文件傳遞。

7.自動(dòng)清除損害

網(wǎng)絡(luò)病毒墻通過隔離感染的網(wǎng)絡(luò)段、主機(jī)、或客戶，進(jìn)行清除及修正，阻止了再次感染。憑借自動(dòng)、免清除蠕蟲(木馬)痕跡、及系統(tǒng)文件配置(system.ini)修復(fù)功能，Trend Micro的清除損害服務(wù)可以防止再次感染，降低清除成本。

第六節(jié) 網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖

圖4-3網(wǎng)絡(luò)攻擊及防護(hù)演示效果圖

針對(duì)浙江廣電集團(tuán)的網(wǎng)絡(luò)結(jié)構(gòu)，當(dāng)出現(xiàn)如下各類情況時(shí)解決方案如圖4-3所示：

1、漏洞掃描-識(shí)別攻擊行為

2、上傳病毒/木馬-修復(fù)系統(tǒng)漏洞

3、啟用后臺(tái)服務(wù)監(jiān)聽-防病毒軟件

4、遠(yuǎn)程控制服務(wù)器-防火墻入侵檢測(cè)

5、攻擊業(yè)務(wù)系統(tǒng)-防火墻、雙機(jī)容錯(cuò)

6、破壞系統(tǒng)數(shù)據(jù)-備份、災(zāi)難恢復(fù)

7、客戶端中毒-防病毒軟件

第五章結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)的可靠性和安全性是在不斷地變化的，不同的時(shí)期或者階段對(duì)網(wǎng)絡(luò)的可靠性和安全性方面的要求是不一樣的。在網(wǎng)絡(luò)的建設(shè)之初，集團(tuán)網(wǎng)絡(luò)關(guān)心最多的是網(wǎng)絡(luò)的連通性，只需要網(wǎng)絡(luò)能夠傳送數(shù)據(jù)即可，對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的延遲lunwen .1 kejian .com 一以及網(wǎng)絡(luò)短時(shí)間的中斷都沒有過多的要求:當(dāng)網(wǎng)絡(luò)中存在著涉及到集團(tuán)的關(guān)鍵性應(yīng)用系統(tǒng)時(shí)，就對(duì)網(wǎng)絡(luò)數(shù)據(jù)的延遲時(shí)間、以及網(wǎng)絡(luò)的中斷時(shí)間上就有了很高的要求，在一般情況下，為了保障集團(tuán)應(yīng)用系統(tǒng)的連續(xù)運(yùn)行，集團(tuán)網(wǎng)絡(luò)系統(tǒng)是不允許發(fā)生網(wǎng)絡(luò)中斷的。因此，本文在方案的設(shè)計(jì)中就已經(jīng)考慮到要符合目前的、以及將來的網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需要，同時(shí)本文設(shè)計(jì)的網(wǎng)絡(luò)系統(tǒng)的可靠性和安全性可以根據(jù)集團(tuán)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的需要進(jìn)行相關(guān)的調(diào)整，滿足變化之后的網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的要求。

本方案是一個(gè)針對(duì)浙江廣電集團(tuán)目前計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀的網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過程中，由于集團(tuán)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如:安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。同時(shí)，本方案在設(shè)計(jì)、以及設(shè)備的選型上，己經(jīng)做了今后擴(kuò)展的考慮。

本方案并沒有解決浙江廣電集團(tuán)計(jì)算機(jī)網(wǎng)絡(luò)、以及網(wǎng)絡(luò)安全方面的所有問題，隨著計(jì)算機(jī)網(wǎng)絡(luò)、及網(wǎng)絡(luò)安全的技術(shù)不斷地發(fā)展，以及集團(tuán)網(wǎng)絡(luò)應(yīng)用系統(tǒng)不斷地新增，集團(tuán)業(yè)務(wù)系統(tǒng)也會(huì)對(duì)集團(tuán)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和網(wǎng)絡(luò)安全方面提出更高的要求，實(shí)現(xiàn)后滿足集團(tuán)實(shí)際的需要。

【參考文獻(xiàn)】

[1] 張國(guó)清.CCNP BSCI詳解.北京:電子工業(yè)出版社，2006.

[2] 拉斯特.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：中國(guó)郵電出版社，2006.

[3] 常曉波.CISCO網(wǎng)絡(luò)安全.北京：清華大學(xué)出版社，2004.

[4] 王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)安全.電子工業(yè)出版社. 2007.

[5] 《非常掌上寶系列》編委會(huì).數(shù)據(jù)備份恢復(fù)與系統(tǒng)重裝一條龍.北京:科學(xué)出版社，2005.

[6] 張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程北京:電子工業(yè)出版社，2004.

[7] 飛科研發(fā)中心.電腦防毒防黑急救.北京:電子工業(yè)出版社，2002

[8] 黃志暉.計(jì)算機(jī)網(wǎng)絡(luò)管理與維護(hù)全攻略.西安:西安電子科技大學(xué)出版社，2004.

[9] 歐陽江林.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)訓(xùn)教程，北京:電子工業(yè)出版社，2004.

[10] 金純.IEEE802.11無線局域網(wǎng)北京:電子工業(yè)出版社，2004

[11] 施裕琴.網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)及發(fā)展研究.集團(tuán)經(jīng)濟(jì)研究2006,(27):25-26.

[12] 董凱虹.網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)的功能.計(jì)算機(jī)世界周刊.2006.(4):50-51

[13] 胡越明.Internet技術(shù)及其實(shí)現(xiàn).北京:高等教育出版社，2005.

[14] 陳雪著.Windows XP的完善.上海理工大學(xué)出版社，2005.8

[15] 麥肯蘭勃.網(wǎng)絡(luò)安全評(píng)估.北京：中國(guó)電力出版社，2006.

[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.

[17] W Stallings , Cryptography And Network Security: Principles and Practice， 2006.

[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.

[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.

致　謝

在論文完成之際，謹(jǐn)向所有給予我指導(dǎo)、關(guān)心、支持和幫助的老師、領(lǐng)導(dǎo)、同學(xué)和親人致以崇高的敬意和深深的感謝!

首先感謝導(dǎo)師顧忠偉老師一直以來對(duì)我的學(xué)習(xí)、工作和生活所給予的無私關(guān)心、悉心指導(dǎo)和嚴(yán)格要求。尤其在論文的完成階段，得到顧老師的耐心指導(dǎo)和嚴(yán)格把關(guān)。顧老師嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、求實(shí)的工作作風(fēng)、平易近人的處世風(fēng)范都深深影響了我。在此謹(jǐn)向顧老師表示最衷心的感謝和最誠(chéng)摯的敬意！

感謝浙江廣電集團(tuán)科技管理部計(jì)算機(jī)科的同事，他們結(jié)合自己多年的計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全的相關(guān)經(jīng)驗(yàn)，給我提出了很多寶貴的建lunwen .1 kejian .com 一和對(duì)我實(shí)習(xí)中的幫助。在論文完成之際，在此特向各位同事表示深深的謝意!

在論文的材料收集期間，得到了負(fù)責(zé)集團(tuán)網(wǎng)絡(luò)工作的蔣老師的大力支持，他根據(jù)自己多年實(shí)際工作的經(jīng)驗(yàn)，為我的論文寫作、改進(jìn)工作提出了許多有價(jià)值的寶貴建議，在此對(duì)蔣老師表示感謝!

感謝經(jīng)濟(jì)管理學(xué)院的各位老師、同學(xué)在學(xué)習(xí)工作等諸方面的支持和幫助，這一切使我在學(xué)習(xí)期間深受教益。

最后，深深地感謝我的家人旦他們?cè)谏詈蛯W(xué)業(yè)上給了我無私的關(guān)懷，為了支持我的學(xué)業(yè)，付出了莫大犧牲。惟乞此文能夠回報(bào)這些無比的關(guān)心和厚愛!

篇(5)

關(guān)鍵詞：疾病預(yù)防控制中心；網(wǎng)絡(luò)安全管理；設(shè)計(jì)原則；維護(hù)

引言

疾病預(yù)防控制中心的信息管理系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了廣泛的應(yīng)用，為醫(yī)院龐大的管理工作帶來了很多方便，但同時(shí)也存在著一些隱患。一旦網(wǎng)絡(luò)癱瘓、系統(tǒng)數(shù)據(jù)丟失就會(huì)影響醫(yī)院的正常醫(yī)療工作的運(yùn)轉(zhuǎn)，系統(tǒng)的安全性和穩(wěn)定性就會(huì)受到嚴(yán)重的影響，進(jìn)而直接影響到醫(yī)院和病人的切身利益。因此，對(duì)于醫(yī)院系統(tǒng)來講，網(wǎng)絡(luò)管理的安全問題相當(dāng)重要。要做到能夠安全管理和維護(hù)，確保信息系統(tǒng)能夠安全、穩(wěn)定、正常地運(yùn)行，防止不法分子利用網(wǎng)絡(luò)和計(jì)算機(jī)犯罪、避免數(shù)據(jù)丟失和損壞。

1、網(wǎng)絡(luò)安全體系的設(shè)計(jì)原則

要確保疾病控制中心的網(wǎng)絡(luò)能夠進(jìn)行安全的管理和維護(hù)，就應(yīng)該對(duì)網(wǎng)絡(luò)安全體系進(jìn)行有效的設(shè)計(jì)，在進(jìn)行設(shè)計(jì)的時(shí)候要做到“注重安全、操作性強(qiáng)、投入合理、性能良好、高效運(yùn)作”，并遵循以下幾點(diǎn)原則：

1.1 安全性

對(duì)于疾控部門、突發(fā)公共衛(wèi)生事件應(yīng)急中心來講網(wǎng)絡(luò)的安全和穩(wěn)定性更顯得尤為重要，進(jìn)行局域網(wǎng)絡(luò)的安全體系設(shè)計(jì)主要是為了對(duì)網(wǎng)絡(luò)系統(tǒng)的安全進(jìn)行有效的保護(hù)，課件安全性成為設(shè)計(jì)的首要目標(biāo)。而體系安全性的保證，必須以保證體系的完備性和體系的可擴(kuò)展性為前提。

1.2 可行性

“千里之行始于足下”，單純從理論的角度來考慮網(wǎng)絡(luò)安全體系的設(shè)計(jì)而非考慮實(shí)際操縱因素只能是空談。網(wǎng)絡(luò)安全體系的設(shè)計(jì)使為了更好地指導(dǎo)實(shí)施，如果實(shí)施的難度過大或者無法實(shí)施，那么安全體系本身就沒有任何意義，因此，必須要堅(jiān)持可行性的原則。

1.3 可承擔(dān)性

網(wǎng)絡(luò)安全體系的設(shè)計(jì)和實(shí)施以及后期的維護(hù)、培訓(xùn)等方面都需要有一定的技術(shù)和經(jīng)濟(jì)的支持。在操作的過程中要考慮到成本和利益的關(guān)系，如果付出的成本比從安全體系中得到的利益更多，那么這個(gè)體系就不能算是合理的方案。因此，在進(jìn)行疾病預(yù)防控制中心網(wǎng)絡(luò)安全體系設(shè)計(jì)的時(shí)候應(yīng)該充分考慮到本單位的特點(diǎn)以及實(shí)際的承擔(dān)能力來進(jìn)行。

1.4 高效性

網(wǎng)絡(luò)安全體系建立的目的是保證系統(tǒng)能夠正常運(yùn)行，如果安全體系的建立影響了系統(tǒng)的正常運(yùn)行，那么就必須在安全和性能之間進(jìn)行合適的權(quán)衡。網(wǎng)絡(luò)安全體系所包含的軟件和硬件都會(huì)不同程度地占用網(wǎng)絡(luò)系統(tǒng)的部分資源。因此，在網(wǎng)絡(luò)安全體系設(shè)計(jì)的時(shí)候要充分考慮到系統(tǒng)資源的問題，注重系統(tǒng)設(shè)計(jì)的高效性，避免系統(tǒng)本身對(duì)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)轉(zhuǎn)的妨礙。

2、網(wǎng)絡(luò)安全體系的管理與維護(hù)

疾病預(yù)防控制中心的安全威脅可能來自于外部，也有可能來自于內(nèi)部。因此，在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全策略的設(shè)計(jì)時(shí)，既要在局域網(wǎng)邊界采取一定的安全防范措施來抵御外部的侵襲和攻擊，又要對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的安全訪問進(jìn)行控制，避免局域網(wǎng)內(nèi)部因操作錯(cuò)誤而造成對(duì)局域網(wǎng)破壞。進(jìn)行網(wǎng)絡(luò)安全體系的構(gòu)建與維護(hù)要從以下方面入手：

2.1 物理安全策略

物理安全策略制定的目的是保護(hù)局域網(wǎng)中的網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)系統(tǒng)、物理鏈路等基礎(chǔ)的設(shè)施避免受到人為破壞、自然災(zāi)害或搭線攻擊，并能夠建立起完善的安全管理的制度，確保網(wǎng)絡(luò)系統(tǒng)能夠在良好的電磁兼容的環(huán)境下工作。同時(shí)，也能夠有效地防止計(jì)算機(jī)控制室的非法操作和偷竊破壞活動(dòng)。

2.2 訪問控制策略

訪問控制策略是為了保證網(wǎng)絡(luò)的資源不被一些非法用戶訪問和使用，它是局域網(wǎng)安全防護(hù)的主要策略，是網(wǎng)絡(luò)安全得以保證的核心策略之一。它包括網(wǎng)絡(luò)的權(quán)限控制、網(wǎng)絡(luò)訪問控制、文件屬性控制、目錄安全控制、服務(wù)器訪問控制、網(wǎng)絡(luò)監(jiān)測(cè)控制、網(wǎng)絡(luò)鎖定控制、安全基礎(chǔ)設(shè)施控制、端口及節(jié)點(diǎn)安全控制等。對(duì)于疾病預(yù)防控制中心的網(wǎng)絡(luò)安全而言，應(yīng)做好網(wǎng)絡(luò)服務(wù)器訪問控制、網(wǎng)絡(luò)訪問控制以及網(wǎng)絡(luò)的監(jiān)測(cè)和鎖定控制三個(gè)方面。

2.2.1網(wǎng)絡(luò)服務(wù)器訪問控制

對(duì)于疾病預(yù)防控制中心而言，網(wǎng)絡(luò)服務(wù)器訪問的控制主要目的是控制用戶對(duì)系統(tǒng)服務(wù)器的非法訪問，防止網(wǎng)絡(luò)服務(wù)器上的數(shù)據(jù)被隨意修改、破壞或刪除。服務(wù)器訪問控制時(shí)，應(yīng)制定相應(yīng)的合理管理措施，防止非法用戶對(duì)服務(wù)器的控制臺(tái)進(jìn)行直接操作；限制服務(wù)器的登錄時(shí)間；盡量減少服務(wù)器上所安裝的應(yīng)用軟件的數(shù)量；禁止服務(wù)器上一些不必要的服務(wù)軟件運(yùn)行；對(duì)服務(wù)器上進(jìn)行的各種操作實(shí)行記錄制，并定期進(jìn)行審查，以便及時(shí)發(fā)現(xiàn)問題；同時(shí)，要對(duì)服務(wù)器的數(shù)據(jù)及時(shí)進(jìn)行備份等。

2.2.2網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制是網(wǎng)絡(luò)系統(tǒng)管理的重要環(huán)節(jié)之一。主要通過相應(yīng)的技術(shù)手段對(duì)網(wǎng)絡(luò)用戶的身份進(jìn)行識(shí)別和權(quán)限的分配，責(zé)權(quán)分明，既能有效地阻止非法用戶的非法訪問，又能減少網(wǎng)絡(luò)病毒和惡意軟件及代碼的危害。在網(wǎng)絡(luò)訪問控制中，可以通過防火墻進(jìn)行控制。將防火墻置于不同信任度的網(wǎng)絡(luò)中并對(duì)網(wǎng)絡(luò)的通信進(jìn)行相應(yīng)的控制，強(qiáng)制實(shí)施安全策略起到安全保護(hù)的作用，防止重要資源的訪問和存取。防火墻通常位于外部的Internet網(wǎng)絡(luò)、內(nèi)部使用網(wǎng)絡(luò)和其服務(wù)器DMZ區(qū)之間，當(dāng)數(shù)據(jù)包通過時(shí)，數(shù)據(jù)包的信息即與防火墻的規(guī)則表進(jìn)行相應(yīng)的匹配，如果有相匹配的規(guī)則就直接按規(guī)則來執(zhí)行，如果沒有匹配的規(guī)則就使用默認(rèn)規(guī)則來執(zhí)行。另外，還可以通過訪問控制列表來達(dá)到網(wǎng)絡(luò)訪問控制的目的。訪問控制列表(ACL)是一組包含了允許（permit）、拒絕（deny）語句的有序語句集，它將數(shù)據(jù)包的源端口、目的端口、源地址、目的地址、MAC地址等信息同訪問控制列表中的語句來進(jìn)行匹配，根據(jù)匹配的結(jié)果決定數(shù)據(jù)包是否通過，以實(shí)現(xiàn)數(shù)據(jù)包的過濾。

2.2.3 網(wǎng)絡(luò)病毒的防治

在網(wǎng)絡(luò)中，病毒具有很多的傳播途徑及較大的破壞能力。它可通過電子郵件、局域網(wǎng)、網(wǎng)頁腳本、操作系統(tǒng)漏洞等進(jìn)行傳播。病毒不僅對(duì)單臺(tái)計(jì)算機(jī)的軟件和硬件資源造成危害，而且有可能造成局域網(wǎng)甚至整個(gè)網(wǎng)絡(luò)的癱瘓，這樣會(huì)造成不可預(yù)測(cè)和估量的損失和危害。要實(shí)現(xiàn)網(wǎng)絡(luò)病毒的防治單靠計(jì)算機(jī)上的殺毒軟件是不能根除和實(shí)現(xiàn)的，必須安裝相應(yīng)的網(wǎng)絡(luò)版殺毒軟件進(jìn)行智能升級(jí)、遠(yuǎn)程安裝與操作、集中管理、遠(yuǎn)程報(bào)警、查殺病毒等功能。同時(shí)，要對(duì)加強(qiáng)管理，提高工作人員及使用人員的防毒意識(shí)和系統(tǒng)保護(hù)的意識(shí)和知識(shí)。

3、結(jié)論

隨著社會(huì)的進(jìn)步和發(fā)展，信息安全從以前的保密、保護(hù)到如今的保障階段，不斷地滿足人們對(duì)安全性能的需求。安全方案和安全體系也從原來的靜態(tài)向動(dòng)態(tài)、被動(dòng)想主動(dòng)的防御和防護(hù)發(fā)展，要保證疾病預(yù)防控制中心核心系統(tǒng)的穩(wěn)定高效運(yùn)行，管理人員必須對(duì)系統(tǒng)進(jìn)行有效的管理和維護(hù)，以保證系統(tǒng)的正常運(yùn)行，促進(jìn)醫(yī)療事業(yè)的高效發(fā)展。

篇(6)

可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。

當(dāng)今社會(huì)，通信網(wǎng)絡(luò)的普及和演進(jìn)讓人們改變了信息溝通的方式，通信網(wǎng)絡(luò)作為信息傳遞的一種主要載體，在推進(jìn)信息化的過程中與多種社會(huì)經(jīng)濟(jì)生活有著十分緊密的關(guān)聯(lián)。這種關(guān)聯(lián)一方面帶來了巨大的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值，另一方面也意味著巨大的潛在危險(xiǎn)--一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故，就有可能使成千上萬人之間的溝通出現(xiàn)障礙，帶來社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值的無法預(yù)料的損失。

經(jīng)國(guó)務(wù)院批準(zhǔn)，在信息產(chǎn)業(yè)部的指導(dǎo)下，由IEEE主辦，中國(guó)電子學(xué)會(huì)、清華大學(xué)、中國(guó)通信學(xué)會(huì)和北京郵電大學(xué)四家單位共同承辦的“2008世界通信大會(huì)（ICC2008）中國(guó)論壇--網(wǎng)絡(luò)和信息安全分論壇（暨第三屆中國(guó)電信行業(yè)信息安全論壇）”于2008年5月在北京隆重召開。大會(huì)主要研討國(guó)際通信技術(shù)和行業(yè)領(lǐng)域的熱點(diǎn)問題，促進(jìn)全球?qū)W術(shù)界和工業(yè)界的交流與合作，其中，關(guān)于通信網(wǎng)絡(luò)的安全技術(shù)正是其中的一個(gè)討論焦點(diǎn)。

3通信網(wǎng)絡(luò)安全現(xiàn)狀

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題。

計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性、易損性等特點(diǎn)使其受攻擊不可避免。

計(jì)算機(jī)病毒的層出不窮及其大范圍的惡意傳播，對(duì)當(dāng)今日愈發(fā)展的社會(huì)網(wǎng)絡(luò)通信安全產(chǎn)生威脅。

現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇椋蟛糠质且揽科胀ㄍㄐ啪€路來完成的，雖然也有一定的防護(hù)措施和技術(shù)，但還是容易被竊取。

通信系統(tǒng)大量使用的是商用軟件，由于商用軟件的源代碼，源程序完全或部分公開化，使得這些軟件存在安全問題。

4通信網(wǎng)絡(luò)安全分析

針對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性等特點(diǎn)，加強(qiáng)網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平，將固有條件下存在的安全隱患降到最低。安全意識(shí)不強(qiáng)，操作技術(shù)不熟練，違反安全保密規(guī)定和操作規(guī)程，如果明密界限不清，密件明發(fā)，長(zhǎng)期重復(fù)使用一種密鑰，將導(dǎo)致密碼被破譯，如果下發(fā)口令及密碼后沒有及時(shí)收回，致使在口令和密碼到期后仍能通過其進(jìn)入網(wǎng)絡(luò)系統(tǒng)，將造成系統(tǒng)管理的混亂和漏洞。為防止以上所列情況的發(fā)生，在網(wǎng)絡(luò)管理和使用中，要大力加強(qiáng)管理人員的安全保密意識(shí)。

軟硬件設(shè)施存在安全隱患。為了方便管理，部分軟硬件系統(tǒng)在設(shè)計(jì)時(shí)留有遠(yuǎn)程終端的登錄控制通道，同時(shí)在軟件設(shè)計(jì)時(shí)不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)，加上商用軟件源程序完全或部分公開化，使得在使用通信網(wǎng)絡(luò)的過程中，如果沒有必要的安全等級(jí)鑒別和防護(hù)措施，攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

傳輸信道上的安全隱患。如果傳輸信道沒有相應(yīng)的電磁屏蔽措施，那么在信息傳輸過程中將會(huì)向外產(chǎn)生電磁輻射，從而使得某些不法分子可以利用專門設(shè)備接收竊取機(jī)密信息。

另外，在通信網(wǎng)建設(shè)和管理上，目前還普遍存在著計(jì)劃性差。審批不嚴(yán)格，標(biāo)準(zhǔn)不統(tǒng)一，建設(shè)質(zhì)量低，維護(hù)管理差，網(wǎng)絡(luò)效率不高，人為因素干擾等問題。因此，網(wǎng)絡(luò)安全性應(yīng)引起我們的高度重視。

5通信網(wǎng)絡(luò)安全維護(hù)措施及技術(shù)

當(dāng)前通信網(wǎng)絡(luò)功能越來越強(qiáng)大，在日常生活中占據(jù)了越來越重要的地位，我們必須采用有效的措施，把網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低限度。于是，保護(hù)通信網(wǎng)絡(luò)中的硬件、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞、更改、泄露，保障系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，就成為通信網(wǎng)絡(luò)安全的主要內(nèi)容。

為了實(shí)現(xiàn)對(duì)非法入侵的監(jiān)測(cè)、防偽、審查和追蹤，從通信線路的建立到進(jìn)行信息傳輸我們可以運(yùn)用到以下防衛(wèi)措施：“身份鑒別”可以通過用戶口令和密碼等鑒別方式達(dá)到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級(jí)，權(quán)限受限用戶在連接過程中就會(huì)被終止或是部分訪問地址被屏蔽，從而達(dá)到網(wǎng)絡(luò)分級(jí)機(jī)制的效果;“網(wǎng)絡(luò)授權(quán)”通過向終端發(fā)放訪問許可證書防止非授權(quán)用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源;“數(shù)據(jù)保護(hù)”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性，即便被截獲也會(huì)由于在不同協(xié)議層中加入了不同的加密機(jī)制，將密碼變得幾乎不可破解;“收發(fā)確認(rèn)”用發(fā)送確認(rèn)信息的方式表示對(duì)發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認(rèn)，以避免不承認(rèn)發(fā)送過的數(shù)據(jù)和不承認(rèn)接受過數(shù)據(jù)等而引起的爭(zhēng)執(zhí);“保證數(shù)據(jù)的完整性”，一般是通過數(shù)據(jù)檢查核對(duì)的方式達(dá)成的，數(shù)據(jù)檢查核對(duì)方式通常有兩種，一種是邊發(fā)送接收邊核對(duì)檢查，一種是接收完后進(jìn)行核對(duì)檢查;“業(yè)務(wù)流分析保護(hù)”阻止垃圾信息大量出現(xiàn)造成的擁塞，同時(shí)也使得惡意的網(wǎng)絡(luò)終端無法從網(wǎng)絡(luò)業(yè)務(wù)流的分析中獲得有關(guān)用戶的信息。

為了實(shí)現(xiàn)實(shí)現(xiàn)上述的種種安全措施，必須有技術(shù)做保證，采用多種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

防火墻技術(shù)。在網(wǎng)絡(luò)的對(duì)外接口采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。通過鑒別，限制，更改跨越防火墻的數(shù)據(jù)流，來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。

入侵檢測(cè)技術(shù)。防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊，但它對(duì)內(nèi)部網(wǎng)絡(luò)的一些非法活動(dòng)的監(jiān)控不夠完善，IDS（入侵檢測(cè)系統(tǒng)）是防火墻的合理補(bǔ)充，它積極主動(dòng)地提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，提高了信息安全性。

網(wǎng)絡(luò)加密技術(shù)。加密技術(shù)的作用就是防止公用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取，是網(wǎng)絡(luò)安全的核心。采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性，它可解決網(wǎng)絡(luò)在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

身份認(rèn)證技術(shù)。提供基于身份的認(rèn)證，在各種認(rèn)證機(jī)制中可選擇使用。通過身份認(rèn)證技術(shù)可以保障信息的機(jī)密性、完整性、不可否認(rèn)性及可控性等功能特性。

虛擬專用網(wǎng)(VPN)技術(shù)。通過一個(gè)公用網(wǎng)(一般是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的內(nèi)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。

漏洞掃描技術(shù)。面對(duì)網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不夠的，我們必須通過網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。

結(jié)束語

目前解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是存在的，但是隨著社會(huì)的發(fā)展，人們對(duì)網(wǎng)絡(luò)功能的要求愈加苛刻，這就決定了通信網(wǎng)絡(luò)安全維護(hù)是一個(gè)長(zhǎng)遠(yuǎn)持久的課題。我們必須適應(yīng)社會(huì)，不斷提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護(hù)的順利進(jìn)行。

參考文獻(xiàn)

[1]張?jiān)伱?計(jì)算機(jī)通信網(wǎng)絡(luò)安全概述.中國(guó)科技信息，2006.

[2]楊華.網(wǎng)絡(luò)安全技術(shù)的研究與應(yīng)用.計(jì)算機(jī)與網(wǎng)絡(luò)，2008

[3]馮苗苗.網(wǎng)絡(luò)安全技術(shù)的探討.科技信息，2008.

[4]姜濱，于湛.通信網(wǎng)絡(luò)安全與防護(hù).甘肅科技，2006.

[5]艾抗，李建華，唐華.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.濟(jì)南職業(yè)學(xué)院學(xué)報(bào)，2005.

[6]羅綿輝，郭鑫.通信網(wǎng)絡(luò)安全的分層及關(guān)鍵技術(shù).信息技術(shù)，2007.

[7]姜春祥.通信網(wǎng)絡(luò)安全技術(shù)是關(guān)鍵.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.

篇(7)

關(guān)鍵詞 ARP欺騙；SNMP；DHCP

中圖分類號(hào)TP393 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2011）39-0182-02

1 研究的目的與意義

由于網(wǎng)絡(luò)安全越來越重要，一個(gè)網(wǎng)絡(luò)管理者的工作除了維護(hù)網(wǎng)絡(luò)的正常暢通通信之外，也必須對(duì)整個(gè)網(wǎng)絡(luò)使用的安全有具體的防范措施，如何保護(hù)使用者的賬號(hào)密碼不被輕易竊取也應(yīng)是其本的首要工作。當(dāng)ARP Spoofing技術(shù)不斷的推陳出新及相關(guān)的攻擊程序也容易從網(wǎng)絡(luò)下載取得，這代表了我們所標(biāo)榜的信息安全已經(jīng)面臨空前的挑戰(zhàn)。因此，如何有效防范ARP攻擊是網(wǎng)絡(luò)管理人員必須面對(duì)的職責(zé)，網(wǎng)絡(luò)管理人員所管轄的網(wǎng)絡(luò)通常包括多個(gè)子網(wǎng)絡(luò)，由于ARP攻擊的信息只出現(xiàn)于子網(wǎng)絡(luò)的網(wǎng)段，當(dāng)ARP攻擊發(fā)生時(shí)，網(wǎng)絡(luò)管理人員無法有效從遠(yuǎn)端觀察每一可能發(fā)生ARP攻擊的網(wǎng)絡(luò)段信息，因此如何建立一個(gè)以整體網(wǎng)絡(luò)管理的ARP攻擊監(jiān)測(cè)架構(gòu)，是本論文計(jì)劃探討的研究課題。

2 使用SNMP之ARP攻擊偵測(cè)技術(shù)

對(duì)于網(wǎng)絡(luò)管理人員而言，所管轄的網(wǎng)絡(luò)通常包括幾百臺(tái)以上的電腦，數(shù)十臺(tái)具網(wǎng)管功能的網(wǎng)絡(luò)交換機(jī)和1臺(tái)對(duì)外連接的路由器，為了在IP地址的管理上可以達(dá)到動(dòng)態(tài)便利性，通常都會(huì)架設(shè)一臺(tái)DHCP服務(wù)器，以方便用戶端的IP動(dòng)態(tài)設(shè)定。最近我們更發(fā)現(xiàn)ARP Spoofing的技術(shù)不止發(fā)展了DOS、MiM及Hijacking，并結(jié)合病毒與后門程序利用網(wǎng)絡(luò)散布，對(duì)于網(wǎng)絡(luò)安全的威脅令人擔(dān)心，事實(shí)上我們所處網(wǎng)絡(luò)的安全已幾乎岌岌可危。網(wǎng)絡(luò)管理人員當(dāng)真就束手無策了嗎？答案是否定的，現(xiàn)將提出一個(gè)使用SNMP的ARP攻擊偵測(cè)技術(shù)，可以利用網(wǎng)絡(luò)上的路由器及交換機(jī)所提供的網(wǎng)絡(luò)管理信息，簡(jiǎn)易地發(fā)現(xiàn)使用ARP的DOS的攻擊者與MiM的攻擊，并找出攻擊者所在，及時(shí)將攻擊者所使用的網(wǎng)絡(luò)隔離，不讓攻擊者輕易地癱瘓或監(jiān)聽網(wǎng)絡(luò)。

2.1 偵測(cè)網(wǎng)絡(luò)架構(gòu)

本文所提供的ARP攻擊偵測(cè)架構(gòu)是基于路由器及交換機(jī)所提供標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理信息，這些信息可經(jīng)由SNMP協(xié)議遠(yuǎn)端截取。除了ARP攻擊偵測(cè)服務(wù)器之外，我們發(fā)現(xiàn)無論是一般企業(yè)或者是大型機(jī)構(gòu)甚至是學(xué)校的宿舍網(wǎng)絡(luò)架構(gòu)幾乎都很類似，都是由防火墻與路由器與對(duì)外網(wǎng)絡(luò)連接，內(nèi)部網(wǎng)絡(luò)的部份端視規(guī)模大小決定，需要設(shè)置多少臺(tái)交換器及切割多少個(gè)區(qū)域網(wǎng)段便于管理底下的使用者。

2.2 偵測(cè)流程

本偵測(cè)系統(tǒng)的需要搜集資料的對(duì)象包括了DHCP服務(wù)器、網(wǎng)絡(luò)路由器、與網(wǎng)絡(luò)交換機(jī)等主要設(shè)備，所以路由器與網(wǎng)絡(luò)交換機(jī)必須提供具網(wǎng)管的SNMP的功能。我們從DHCP服務(wù)器中得到DHCP Log資料，也利用SNMP從路由器中得到ARP Table，為了找出攻擊者的所在位置，所以也利用SNMP的Bridge MIB得到網(wǎng)絡(luò)交換器中MAC與Port的對(duì)應(yīng)，所以不僅可以偵測(cè)到哪一個(gè)IP地址在攻擊之外，我們還需知道攻擊者是經(jīng)由哪一臺(tái)交換器及通信接口（Port）進(jìn)行攻擊，我們就可以透過網(wǎng)管機(jī)制將該P(yáng)ort斷線，阻斷其攻擊。

路由器的ARP table為路由器現(xiàn)行運(yùn)作所需的IP與MAC地址對(duì)應(yīng)表，為維護(hù)網(wǎng)絡(luò)暢通，路由器必須不斷地維護(hù)此表格取得所管轄網(wǎng)絡(luò)中所有的IP與MAC地址的正確對(duì)應(yīng)。然而為了避免ARP封包太多在網(wǎng)絡(luò)中流竊，思科路由器的ARP Cache Timeout出廠預(yù)設(shè)為4個(gè)小時(shí)，是可以接受的。

3 系統(tǒng)制作與測(cè)試

ARP攻擊偵測(cè)系統(tǒng)本身主要架構(gòu)分為3部分，包括了數(shù)據(jù)庫(kù)、SNMP管理端程序及相關(guān)比對(duì)程序。其執(zhí)行主要分3個(gè)步驟：

1）定時(shí)將路由器上的ARP Table，存回?cái)?shù)據(jù)庫(kù)中，此步驟需使用PHP的SNMP Get Request 的方式，向路由器取回動(dòng)行中ARP Table并直接存進(jìn)數(shù)據(jù)庫(kù)中。

2）除了管理人員所輸入排外名單外，找出對(duì)應(yīng)至重復(fù)MAC地址的IP地址。

3）對(duì)比上一筆的ARP Table，篩選出前后地址變動(dòng)的差異。

3.1 實(shí)驗(yàn)網(wǎng)絡(luò)架構(gòu)

在本實(shí)驗(yàn)中，ARP偵測(cè)服務(wù)器以校園宿舍網(wǎng)絡(luò)區(qū)為偵測(cè)及測(cè)試的對(duì)象，宿舍區(qū)網(wǎng)絡(luò)以一臺(tái)Cisco 6506路由器為主，往下分成10個(gè)LAN網(wǎng)共有96臺(tái)D-Link 3 225G網(wǎng)絡(luò)交換機(jī)，約提供1800臺(tái)主機(jī)上網(wǎng)使用，ARP偵測(cè)服務(wù)器架設(shè)于網(wǎng)絡(luò)服務(wù)器區(qū)的網(wǎng)段內(nèi)，ARP偵測(cè)服務(wù)器主要是向宿舍區(qū)Cisco 6506要回宿舍區(qū)底下10個(gè)網(wǎng)段的ARP Table回來分析對(duì)比，現(xiàn)階段的取樣頻率以10min一次。為產(chǎn)生ARP Mim攻擊，我們使用Cain & Able v4.9.14程序執(zhí)行中間人監(jiān)聽動(dòng)作，以測(cè)試ARP偵測(cè)服務(wù)器可否將正在攻擊中的主機(jī)偵測(cè)出來，再借由偵測(cè)輔助系統(tǒng)尋找出攻擊主機(jī)的所在位置，然后將該Switch Port關(guān)閉使其無法使用網(wǎng)絡(luò)進(jìn)行ARP攻擊。

3.2 測(cè)試結(jié)果

本實(shí)驗(yàn)實(shí)際測(cè)試網(wǎng)絡(luò)架構(gòu)所示，本次測(cè)試以vlan52為測(cè)試網(wǎng)段，我們將兩臺(tái)筆記本電腦，分別接于不同的網(wǎng)絡(luò)交換機(jī)底下，由攻擊者（Attacker）執(zhí)行MiM攻擊程序，另一臺(tái)則是模擬成一般使用者Host A（主機(jī)A），執(zhí)行上網(wǎng)登入個(gè)人信箱網(wǎng)頁，查看電子郵件的動(dòng)作。由攻擊者電腦可以清楚看出攻擊軟件將主機(jī)A登入畫面的網(wǎng)址以及輸入帳號(hào)密碼的內(nèi)容完整呈現(xiàn)出來。此時(shí)ARP攻擊偵測(cè)服務(wù)器也發(fā)現(xiàn)該攻擊，將有問題的IP與MAC地址顯示出來以告知管理者，然而偵測(cè)服務(wù)器尚無法確認(rèn)何人為攻擊者與受害者，因此網(wǎng)絡(luò)管理者必須至DHCP log查詢出攻擊者及受害者真實(shí)IP與MAC地址。根據(jù)所示的DHCP log資料，我們可以發(fā)現(xiàn)發(fā)生重復(fù)的MAC地址原為10.10.52.161所有，因此可以判斷攻擊者為10.10.52.161。為進(jìn)一步確認(rèn)攻擊者與受害者位置，我們將DHCP log中所顯示兩者的MAC地址至所儲(chǔ)存的交換機(jī)表資料中找出對(duì)應(yīng)的交換機(jī)的通信接口。

4 結(jié)論

本文研究探討近年來興起的ARP攻擊之偵測(cè)與防治，在論文研究期間，為了追查ARP攻擊的起因，卻意外發(fā)現(xiàn)ARP攻擊的方式已經(jīng)發(fā)展為病毒傳播新的方法，其目的不外乎是利用后門程序的植入達(dá)到竊取受害者網(wǎng)絡(luò)所在的機(jī)密資料，在如此不斷更新且利用新技術(shù)的病毒攻擊模式，網(wǎng)絡(luò)安全已經(jīng)不是使用者或管理者單方面就能獨(dú)立捍衛(wèi)起來的，必須結(jié)合使用者與網(wǎng)絡(luò)管理者齊心協(xié)力，才能阻擋攻擊者的入侵行動(dòng)。

參考文獻(xiàn)

[1]陳明.計(jì)算機(jī)網(wǎng)絡(luò)工程[J].北京：中國(guó)鐵道出版社，2009.

[2]李海鷹，程灝，等.針對(duì)ARP攻擊的網(wǎng)絡(luò)防御模式設(shè)計(jì)與實(shí)現(xiàn)，2005.

相關(guān)文章