畢業(yè)論文---企業(yè)局域網(wǎng)的組建與應(yīng)用

1、<p><b>　　畢 業(yè) 論 文</b></p><p>　　論文題目： 企業(yè)局域網(wǎng)的組建與應(yīng)用 </p><p><b>　　內(nèi) 容 摘 要</b></p><p>　　本文結(jié)合當(dāng)今企業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，通過(guò)對(duì)當(dāng)前中小企業(yè)存在的一些安全隱患和安全建設(shè)的需求分析，提出了一種針對(duì)企業(yè)網(wǎng)絡(luò)安全的解決方案。該解

2、決方案在遵照網(wǎng)絡(luò)安全通用設(shè)計(jì)原則的情況下，融合了當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，如：防火墻/防水墻、網(wǎng)絡(luò)反病毒軟件、IDS/IPS、容災(zāi)和數(shù)據(jù)備份等，并強(qiáng)調(diào)了加強(qiáng)安全管理措施、制定科學(xué)的管理策略的必要性。網(wǎng)絡(luò)安全體系的建設(shè)是一個(gè)長(zhǎng)期的、動(dòng)態(tài)變化的過(guò)程，在新的網(wǎng)絡(luò)安全和防御技術(shù)不斷出現(xiàn)的同時(shí)，新的入侵和攻擊手段也不斷變化。任何一個(gè)安全體系的設(shè)計(jì)方案都不能完全解決所有的安全問(wèn)題。但隨著企業(yè)網(wǎng)絡(luò)化和信息化進(jìn)程的推進(jìn)，對(duì)網(wǎng)絡(luò)安全問(wèn)題的認(rèn)識(shí)也會(huì)在管

3、理體制上、理論研究上、技術(shù)儲(chǔ)備上不斷地深化和改進(jìn)，為提出解決網(wǎng)絡(luò)安全問(wèn)題的更加有效的可行性方案提供思路和途徑。 </p><p>　　[關(guān)鍵詞] 網(wǎng)絡(luò)安全 安全需求 管理策略 解決方案</p><p><b>　　Abstract</b></p><p>　　In this paper, combining with the developme

4、nt trend of the enterprise network security, through the analysis of some security hidden danger and safety construction on the existing small and medium-sized enterprises demand, presents a solution for the enterprise n

5、etwork security. The solution in accordance with the general design principles of network security situation, the fusion of the advanced network security technologies and products, such as: firewall / waterproof wall, ne

6、twork anti-virus </p><p><b>　　目 錄</b></p><p><b>　　1、緒論1</b></p><p>　　2、企業(yè)網(wǎng)絡(luò)安全綜述1</p><p>　　2.1企業(yè)網(wǎng)絡(luò)安全及存在的問(wèn)題1</p><p>　　2.1.1|企業(yè)網(wǎng)

7、絡(luò)安全的概念1</p><p>　　2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問(wèn)題1</p><p>　　2.2網(wǎng)絡(luò)安全建設(shè)的必要性1</p><p>　　2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)1</p><p>　　2.2.2網(wǎng)絡(luò)安全建設(shè)中存在的誤區(qū)2</p><p>　　2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀3</p>&l

8、t;p>　　2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入3</p><p>　　2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足3</p><p>　　2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全3</p><p>　　3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析3</p><p>　　3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)4</p><p>　　

9、3.1.1網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生及影響4</p><p>　　3.1.2網(wǎng)絡(luò)安全體系的層次劃分4</p><p>　　3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全4</p><p>　　3.2.1網(wǎng)絡(luò)操作系統(tǒng)的概念4</p><p>　　3.2.2.網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)4</p><p>　　3.3用戶層和應(yīng)用層安全5<

10、/p><p>　　3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅5</p><p>　　3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)5</p><p>　　3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全5</p><p>　　3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析5</p><p>　　3.4.2傳輸層安全防護(hù)需求分析6</p>&

11、lt;p>　　3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析6</p><p>　　4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案7</p><p>　　4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃7</p><p>　　4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)規(guī)劃7</p><p>　　4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計(jì)方案8</p><p>　　4.2.1網(wǎng)絡(luò)

12、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案8</p><p>　　4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案9</p><p>　　4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)10</p><p>　　4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計(jì)11</p><p>　　4.3.1企業(yè)安全管理制度建設(shè)分析11</p><p>　　4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動(dòng)分

13、析12</p><p><b>　　結(jié)論13</b></p><p><b>　　致謝14</b></p><p><b>　　參考文獻(xiàn)15</b></p><p><b>　　1、緒論</b></p><p>　　當(dāng)前，隨

14、著全球信息化步伐的不斷加快和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，經(jīng)濟(jì)全球化已經(jīng)成為必然趨勢(shì)，網(wǎng)絡(luò)作為信息交互的主要手段,正引領(lǐng)企業(yè)信息化建設(shè)的巨大變革。企業(yè)網(wǎng)絡(luò)已經(jīng)由簡(jiǎn)單的單機(jī)互聯(lián)和文件處理，發(fā)展為集辦公自動(dòng)化、業(yè)務(wù)流程處理、員工績(jī)效管理等為一體的復(fù)雜的企業(yè)內(nèi)部網(wǎng)，并與企業(yè)外部的國(guó)際互聯(lián)網(wǎng)相融合，發(fā)展為計(jì)算機(jī)信息交互和協(xié)同處理的網(wǎng)絡(luò)系統(tǒng)，已由傳統(tǒng)的C/S模式向B/S模式再到企業(yè)網(wǎng)格進(jìn)行轉(zhuǎn)變。</p><p>　　企業(yè)網(wǎng)絡(luò)作

15、為一種復(fù)雜而集成的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的同時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全威脅依舊存在，病毒、木馬、蠕蟲等肆虐，網(wǎng)絡(luò)攻擊手段日趨多樣化，破壞力巨大并具有隱蔽性，時(shí)刻威脅著企業(yè)的網(wǎng)絡(luò)安全。</p><p>　　本文針對(duì)企業(yè)網(wǎng)絡(luò)的安全建設(shè)問(wèn)題，重點(diǎn)分析了如何構(gòu)建一個(gè)可靠的網(wǎng)絡(luò)安全防御體系。面向當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀，提出了一種具有典型意義的企業(yè)網(wǎng)網(wǎng)絡(luò)安全的解決方案。</p><p>　　2、企業(yè)網(wǎng)絡(luò)安全綜述

16、</p><p>　　2.1企業(yè)網(wǎng)絡(luò)安全及存在的問(wèn)題</p><p>　　2.1.1企業(yè)網(wǎng)絡(luò)安全的概念</p><p>　　當(dāng)前企業(yè)信息化的普及，使得企業(yè)的生產(chǎn)經(jīng)營(yíng)相關(guān)的業(yè)務(wù)體系，都立足于Internet/Intranet環(huán)境?；诖?，企業(yè)網(wǎng)絡(luò)安全也要從內(nèi)部和外部，也就是Intranet和Internet兩個(gè)方面來(lái)考量。企業(yè)網(wǎng)絡(luò)安全建設(shè)方案，也包括內(nèi)部的安全系統(tǒng)建設(shè)

17、和外部入侵的防御檢測(cè)系統(tǒng)建設(shè)兩個(gè)方面。</p><p>　　一般來(lái)說(shuō)，企業(yè)網(wǎng)絡(luò)安全是指企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)（Intranet環(huán)境）的所有軟硬件設(shè)施及網(wǎng)絡(luò)系統(tǒng)中所存儲(chǔ)的數(shù)據(jù)受到全方位的保護(hù)，不因來(lái)自內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)（Internet環(huán)境）的偶然的或惡意原因而遭到破壞、更改和泄露。即使在突發(fā)情況下，網(wǎng)絡(luò)系統(tǒng)依舊能夠可靠運(yùn)行，系統(tǒng)內(nèi)部的重要數(shù)據(jù)得以保護(hù)和備份并使得網(wǎng)絡(luò)服務(wù)不被中斷。</p><p&g

18、t;　　2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問(wèn)題</p><p>　　企業(yè)網(wǎng)絡(luò)一般都是接入Internet的，其網(wǎng)絡(luò)環(huán)境的開放性，可以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用性，但也對(duì)企業(yè)網(wǎng)絡(luò)信息安全提出了更多更高的要求。一般企業(yè)網(wǎng)絡(luò)的都是基于Windows平臺(tái)的應(yīng)用系統(tǒng)，主要有WEB服務(wù)、E-mail系統(tǒng)、MIS、進(jìn)貨和銷售系統(tǒng)、財(cái)務(wù)統(tǒng)計(jì)系統(tǒng)、人事管理系統(tǒng)等。這些系統(tǒng)往往自成體系,沒有統(tǒng)一的資源管理與訪問(wèn)控制策略。而且隨著企業(yè)的發(fā)展系統(tǒng)的

19、安全層次也會(huì)愈發(fā)多樣。整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在兩個(gè)方面的安全問(wèn)題：</p><p>　　（1）企業(yè)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全性。對(duì)接入互聯(lián)網(wǎng)的子網(wǎng)，要采取嚴(yán)格的訪問(wèn)控制策略和入侵檢測(cè)措施。</p><p>　?。?）企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。企業(yè)內(nèi)部的網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)最為注重的方面。最常見的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和

20、防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。</p><p>　　2.2網(wǎng)絡(luò)安全建設(shè)的必要性</p><p>　　2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)</p><p>　　計(jì)算機(jī)和電子技術(shù)的發(fā)展使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷融合新的技術(shù)，企業(yè)網(wǎng)絡(luò)也因此發(fā)展和進(jìn)步，具備了許多新特性，這給網(wǎng)絡(luò)建設(shè)帶來(lái)了更大難度。</p

21、><p>　　網(wǎng)格概念的提出和互聯(lián)網(wǎng)的建設(shè)，在使得網(wǎng)絡(luò)極大的發(fā)揮其效能的同時(shí)，也使得企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜性和多樣行凸顯。這表現(xiàn)在以下幾個(gè)方面：</p><p>　　首先，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有復(fù)雜性。網(wǎng)絡(luò)互聯(lián)是個(gè)拓?fù)浣Y(jié)構(gòu)，除掉各個(gè)計(jì)算機(jī)終端節(jié)點(diǎn)之外，還需要各種互連設(shè)備，比如交換機(jī)、路由器等。各式各樣的設(shè)備互連設(shè)備，又同時(shí)將整個(gè)企業(yè)網(wǎng)絡(luò)劃分為幾個(gè)小局域網(wǎng)，組成了網(wǎng)絡(luò)互連結(jié)構(gòu)。</p><

22、;p>　　其次，網(wǎng)絡(luò)軟硬件設(shè)備的復(fù)雜性。網(wǎng)絡(luò)設(shè)備一方面是指網(wǎng)絡(luò)互聯(lián)的硬件設(shè)備以及運(yùn)行其上的網(wǎng)絡(luò)管理軟件。另一方面，是指各個(gè)網(wǎng)絡(luò)終端結(jié)點(diǎn)設(shè)備以及搭載其上的軟件系統(tǒng)。網(wǎng)絡(luò)軟件在鏈路層、傳輸層和應(yīng)用層都可以發(fā)揮數(shù)據(jù)檢測(cè)作用，單機(jī)操作系統(tǒng)可以選擇服務(wù)器版本，并安裝防火墻軟件和殺毒軟件，同時(shí)根據(jù)網(wǎng)絡(luò)特性配置過(guò)濾規(guī)則。</p><p>　　最后，網(wǎng)絡(luò)管理和網(wǎng)絡(luò)用戶的復(fù)雜性。網(wǎng)絡(luò)管理，一方面是針對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)管理，一方

23、面是針對(duì)網(wǎng)絡(luò)設(shè)備和運(yùn)行其上的網(wǎng)絡(luò)軟件的管理。網(wǎng)絡(luò)管理一般由專人負(fù)責(zé)，稱為網(wǎng)絡(luò)管理員。他一方面要負(fù)責(zé)通過(guò)各種網(wǎng)絡(luò)管理軟件，對(duì)網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)訪問(wèn)和存儲(chǔ)的用戶行為進(jìn)行監(jiān)控，另一方面要制定各種網(wǎng)絡(luò)訪問(wèn)策略和監(jiān)控策略，比如過(guò)濾規(guī)則，路由規(guī)則等。</p><p>　　總之，網(wǎng)絡(luò)的多樣性和復(fù)雜性，使得網(wǎng)絡(luò)自身和網(wǎng)絡(luò)的管理存在諸多問(wèn)題，需要專人負(fù)責(zé)網(wǎng)絡(luò)安全建設(shè)。</p><p>　　2.2.2網(wǎng)絡(luò)安全建設(shè)

24、中存在的誤區(qū)</p><p>　　通過(guò)調(diào)查發(fā)現(xiàn)，無(wú)論是網(wǎng)絡(luò)用戶還是網(wǎng)絡(luò)管理者，都對(duì)網(wǎng)絡(luò)安全存在一些認(rèn)識(shí)上的誤區(qū)，主要表現(xiàn)在：</p><p>　?。?）網(wǎng)絡(luò)建設(shè)無(wú)需太多投入。</p><p>　　出于成本的壓力，中小企業(yè)一般在網(wǎng)絡(luò)建設(shè)的投入上不足。中小企業(yè)網(wǎng)絡(luò)一般只有十幾到幾十臺(tái)客戶端，網(wǎng)絡(luò)互聯(lián)產(chǎn)品一般選用24口交換機(jī)，帶動(dòng)其他的交換機(jī)，選用家用級(jí)別的路由器接入互聯(lián)

25、網(wǎng)，從而組成一個(gè)小型辦公網(wǎng)絡(luò)環(huán)境，事實(shí)上，這種接入方式和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，會(huì)導(dǎo)致網(wǎng)速非常慢，堵塞嚴(yán)重，掉包頻繁。</p><p>　?。?）網(wǎng)絡(luò)管理無(wú)需專人負(fù)責(zé)。</p><p>　　沒有網(wǎng)絡(luò)管理人員對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行維護(hù)的原因在于，大多數(shù)中小企業(yè)網(wǎng)絡(luò)安全需求沒有得到管理者的足夠重視，大部分中小企業(yè)沒有設(shè)置專職網(wǎng)絡(luò)管理員，而采用兼職管理方式，沒有針對(duì)企業(yè)網(wǎng)絡(luò)配置網(wǎng)絡(luò)環(huán)境，選用管理和安全軟件，并對(duì)過(guò)

26、濾規(guī)則進(jìn)行設(shè)計(jì)。這必然會(huì)導(dǎo)致技術(shù)基礎(chǔ)和技術(shù)儲(chǔ)備的匱乏，使得網(wǎng)絡(luò)管理在軟硬件方面上都有先天缺陷，在網(wǎng)絡(luò)穩(wěn)定性和安全性方面存在嚴(yán)重隱患。這種情況下，即使有網(wǎng)絡(luò)攻擊或者病毒的入侵，網(wǎng)絡(luò)使用者也很難及時(shí)發(fā)現(xiàn)以阻止入侵，更不用說(shuō)挽回?fù)p失了。</p><p>　　（3）網(wǎng)絡(luò)安全軟件無(wú)需專業(yè)化。</p><p>　　很多中小企業(yè)網(wǎng)絡(luò)安全，都是依靠桌面殺毒軟件解決的。桌面殺毒軟件并不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。

27、一旦有惡性病毒大規(guī)模爆發(fā)時(shí)，網(wǎng)絡(luò)病毒在內(nèi)部局域網(wǎng)瘋狂流竄，一方面病毒的肆虐傳播造成網(wǎng)絡(luò)堵塞，破壞系統(tǒng)文件使電腦不能正常工作，另一方面，會(huì)導(dǎo)致病毒感染網(wǎng)絡(luò)內(nèi)部主機(jī)，潛伏下來(lái)，借助網(wǎng)絡(luò)漏洞，伺機(jī)在網(wǎng)絡(luò)內(nèi)部傳輸，普通的殺毒軟件并不能消滅干凈。</p><p>　　網(wǎng)絡(luò)管理中，需要一種具備全局控制能力的殺毒軟件，在局域網(wǎng)中任何一臺(tái)機(jī)器感染病毒時(shí)，都可以檢測(cè)到，并阻止其傳播，否則局域網(wǎng)病毒嚴(yán)重的導(dǎo)致局域網(wǎng)癱瘓，更甚至可能使

28、整個(gè)系統(tǒng)崩潰。</p><p>　　2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀</p><p>　　網(wǎng)絡(luò)安全建設(shè)普遍存在著如下問(wèn)題：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，缺乏宏觀的了解；對(duì)于網(wǎng)絡(luò)的構(gòu)成，缺乏清晰的認(rèn)識(shí)；對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，關(guān)鍵節(jié)點(diǎn)缺乏有效管理；對(duì)于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全軟件缺乏深入的原理理解和足夠的應(yīng)用經(jīng)驗(yàn)等等。</p><p>　　2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入</p>

29、<p>　　企業(yè)網(wǎng)絡(luò)中，用戶主要來(lái)自于內(nèi)部，由受信任的內(nèi)部用戶發(fā)起的攻擊是最危險(xiǎn)的一種形式。因此內(nèi)部安全威脅已經(jīng)上升為主要矛盾。</p><p>　　一方面，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)一般是針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)的，互連設(shè)備的部署也主要是針對(duì)內(nèi)部網(wǎng)絡(luò)。如何針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，選用互連設(shè)備，構(gòu)建內(nèi)部局域網(wǎng)中的局域網(wǎng)，杜絕網(wǎng)絡(luò)擁塞的出現(xiàn)，是當(dāng)前研究領(lǐng)域的熱點(diǎn)問(wèn)題。這需要針對(duì)企業(yè)網(wǎng)絡(luò)的性能，需要特定的優(yōu)化設(shè)計(jì)。&

30、lt;/p><p>　　另一方面，對(duì)于網(wǎng)絡(luò)安全，更需要一體化的管理和安全防御體系建設(shè)，在防御軟件上，要針對(duì)特定的網(wǎng)絡(luò)應(yīng)用，部署專門的網(wǎng)絡(luò)防火墻和殺毒軟件。通過(guò)制定特定的防御規(guī)劃，設(shè)計(jì)或者修改軟件過(guò)濾規(guī)則，過(guò)濾網(wǎng)絡(luò)環(huán)境中的不良信息，這些都需要企業(yè)管理者投入人力物力進(jìn)行設(shè)計(jì)和研發(fā)。</p><p>　　2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足</p><p>　　每一種網(wǎng)絡(luò)拓

31、撲結(jié)構(gòu)，對(duì)應(yīng)一種網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì)，在相應(yīng)的網(wǎng)絡(luò)安全體系建設(shè)中，安全軟件的部署也要有其特點(diǎn)，適應(yīng)網(wǎng)絡(luò)信息流動(dòng)和安全檢測(cè)工作。然而，企業(yè)特別是中小型企業(yè)，在網(wǎng)絡(luò)安全體系的建設(shè)中還存在以下不足：</p><p>　　傳統(tǒng)防護(hù)體系在系統(tǒng)化設(shè)計(jì)上存在欠缺。</p><p>　　企業(yè)對(duì)外部互聯(lián)網(wǎng)的接入，應(yīng)該設(shè)計(jì)系統(tǒng)化的防護(hù)體系,這并非是簡(jiǎn)簡(jiǎn)單單的防火墻就可以完成的，應(yīng)由專業(yè)認(rèn)識(shí)進(jìn)行設(shè)計(jì)。一般可采取防火

32、墻與入侵檢測(cè)系統(tǒng)(IDS)聯(lián)動(dòng)的方式，對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù)。網(wǎng)絡(luò)管理軟件和安全軟件的協(xié)作，對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。</p><p>　　2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全</p><p>　　在網(wǎng)絡(luò)的管理上，國(guó)家有關(guān)部門也頒布了一些法律法規(guī)，比如《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》。各個(gè)企業(yè)也有自己的一套管理辦法，具體到不同的網(wǎng)絡(luò)部門，也應(yīng)該有自己的一套經(jīng)過(guò)實(shí)踐檢

33、驗(yàn)并行之有效的網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)程。 </p><p>　　作為企業(yè)網(wǎng)絡(luò)安全保證的網(wǎng)絡(luò)安全管理制度，一方面，它是一個(gè)企業(yè)針對(duì)網(wǎng)絡(luò)使用和網(wǎng)絡(luò)信息安全，所采取的切實(shí)有效的規(guī)章制度，是規(guī)范網(wǎng)絡(luò)用戶行為的準(zhǔn)則。另一方面，安全管理制度也是網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行審核的標(biāo)準(zhǔn)，任何違反網(wǎng)絡(luò)安全規(guī)章制度的行為，都應(yīng)該被網(wǎng)絡(luò)管理系統(tǒng)發(fā)現(xiàn)，網(wǎng)絡(luò)用戶不安全的操作行為，也應(yīng)該由網(wǎng)絡(luò)管理軟件或者網(wǎng)絡(luò)管理員發(fā)出警告。</p>

34、<p>　　構(gòu)建一套合理的網(wǎng)絡(luò)安全管理規(guī)章和制度，是一個(gè)企業(yè)在制度上落實(shí)網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié)，也是經(jīng)過(guò)許多企業(yè)網(wǎng)絡(luò)建設(shè)的成功和失敗的經(jīng)驗(yàn)教訓(xùn)檢測(cè)之后的行之有效的舉措之一。</p><p>　　3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析</p><p>　　通過(guò)第二章中對(duì)網(wǎng)絡(luò)安全和企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀分析，可知構(gòu)建一個(gè)合理有效的企業(yè)網(wǎng)絡(luò)安全體系和規(guī)則，對(duì)于解決網(wǎng)絡(luò)安全建設(shè)中所暴露出來(lái)的諸多

35、問(wèn)題是大有必要的。本章將對(duì)網(wǎng)絡(luò)安全建設(shè)進(jìn)行需求分析，在網(wǎng)絡(luò)安全的系統(tǒng)層次設(shè)計(jì)和應(yīng)用軟件設(shè)計(jì)方面，對(duì)網(wǎng)絡(luò)安全建設(shè)的需求情況進(jìn)行詳盡的論述。</p><p>　　3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)</p><p>　　3.1.1網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生及影響</p><p>　　網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)方面,網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)一般是由以下三個(gè)原因造成的：一是操作網(wǎng)絡(luò)的內(nèi)部人員的

36、操作失誤；二是企業(yè)外部有目的的攻擊和竊取信息的行為；三是某些網(wǎng)絡(luò)設(shè)備和軟件系統(tǒng)制造商在網(wǎng)絡(luò)設(shè)備的軟、硬件中放置危害網(wǎng)絡(luò)、盜竊信息的程序。</p><p>　　3.1.2網(wǎng)絡(luò)安全體系的層次劃分</p><p>　　網(wǎng)絡(luò)安全中安全措施劃分，主要有如下幾個(gè)方面：</p><p>　?。?）數(shù)據(jù)源鑒別。在連接和傳送數(shù)據(jù)時(shí)鑒別相應(yīng)的協(xié)議實(shí)體，而后決定提供或者拒絕服務(wù)。<

37、/p><p>　?。?）訪問(wèn)控制。限制用戶訪問(wèn)網(wǎng)絡(luò)資源的授權(quán)，可以防止未經(jīng)許可暴露所傳輸數(shù)據(jù)的內(nèi)容。</p><p>　?。?）完整性服務(wù)。包含網(wǎng)絡(luò)協(xié)議不受篡改，確保服務(wù)順利完成。主要用于防止他人利用網(wǎng)絡(luò)修改傳輸數(shù)據(jù)，以保證發(fā)送和接收的數(shù)據(jù)一致。</p><p>　　3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全</p><p>　　3.2.1.網(wǎng)絡(luò)操作系統(tǒng)的概念&

38、lt;/p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)立的計(jì)算機(jī)系統(tǒng)通過(guò)通信媒體連接起來(lái)的?各計(jì)算機(jī)都具有一個(gè)完整獨(dú)立的操作系統(tǒng),網(wǎng)絡(luò)操作系統(tǒng)(NOS)是建立在這些獨(dú)立的操作系統(tǒng)基礎(chǔ)上用以擴(kuò)充網(wǎng)絡(luò)功能的系統(tǒng)(系統(tǒng)平臺(tái))?</p><p>　　3.2.2網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)</p><p>　　網(wǎng)絡(luò)設(shè)備中主流操作系統(tǒng)有類UNIX和Windows系列，LINUX作為開源系統(tǒng)，兼

39、具UNIX強(qiáng)大的網(wǎng)絡(luò)功能。而Windows平臺(tái)更是推出了Windows Server系列，滿足網(wǎng)絡(luò)服務(wù)的需求。用戶的應(yīng)用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運(yùn)行，操作系統(tǒng)為各工具軟件提供支持，因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡(luò)系統(tǒng)的安全。</p><p>　　網(wǎng)絡(luò)操作系統(tǒng)的安全問(wèn)題。企業(yè)接入互聯(lián)網(wǎng)以及B/S模式的管理系統(tǒng)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用，難免會(huì)帶來(lái)源源不斷的軟件安全問(wèn)題，一般的操作系統(tǒng)都會(huì)提供以下的安全防護(hù)措施：

40、</p><p>　?。?）過(guò)濾保護(hù)。分析所有針對(duì)受保護(hù)對(duì)象的訪問(wèn),過(guò)濾惡意攻擊以及可能帶來(lái)不安全因素的非法訪問(wèn)。</p><p>　　（2）安全檢測(cè)保護(hù)。對(duì)所有用戶的操作進(jìn)行分析,阻止那些超越權(quán)限的用戶操作以及可能給操作系統(tǒng)帶來(lái)不安全因素的用戶操作。</p><p>　?。?）隔離保護(hù)。保證同時(shí)運(yùn)行的多個(gè)進(jìn)程和線程之間是相互隔離的,即各個(gè)進(jìn)程和線程分別調(diào)用不同的系

41、統(tǒng)資源。</p><p>　　3.3用戶層和應(yīng)用層安全</p><p>　　作為終端使用者的用戶，直接面對(duì)應(yīng)用層，應(yīng)該確切落實(shí)網(wǎng)絡(luò)管理規(guī)章制度的要求，杜絕安全隱患。用戶層安全的防范措施，主要包含對(duì)用戶的識(shí)別、認(rèn)證、數(shù)字簽名等。</p><p>　　3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅</p><p>　　來(lái)自企業(yè)內(nèi)部和外部的動(dòng)態(tài)變化的安全威脅隨

42、時(shí)會(huì)給企業(yè)運(yùn)營(yíng)帶來(lái)巨大的災(zāi)難。常見的危害應(yīng)用層安全的的因素如下：</p><p>　　（1）網(wǎng)絡(luò)蠕蟲、病毒等危害網(wǎng)絡(luò)信息安全。 </p><p>　　（2）信息竊取和網(wǎng)絡(luò)攻擊危害網(wǎng)絡(luò)數(shù)據(jù)安全。</p><p>　　信息竊取是黑客和網(wǎng)絡(luò)攻擊的常見目標(biāo)。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響，會(huì)破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。</p><

43、;p>　?。?）垃圾郵件成為傳播病毒的主要手段。</p><p>　　收到垃圾郵件的用戶往往由于對(duì)郵件缺乏了解而不幸激活病毒卻不知情，網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。 </p><p>　　3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)</p><p>　　應(yīng)用系統(tǒng)層的安全需求需要保證應(yīng)用軟件和數(shù)據(jù)庫(kù)軟件的安全性，如：WWW服務(wù)、應(yīng)用網(wǎng)關(guān)系統(tǒng)、DNS系統(tǒng)、防火墻

44、軟件、業(yè)務(wù)應(yīng)用軟件等。應(yīng)用軟件必須保證以下要求：</p><p>　?。?）購(gòu)買的應(yīng)用軟件應(yīng)通過(guò)安全測(cè)試并要求銷售商確認(rèn)其無(wú)后門或漏洞。</p><p>　?。?）能夠?qū)τ脩羯矸葸M(jìn)行鑒別與認(rèn)證。</p><p>　?。?）保證存儲(chǔ)或存檔的所有數(shù)據(jù)的完整性、真實(shí)性和可用性。</p><p>　　（4）對(duì)已使用的應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描，及時(shí)修補(bǔ)

45、存在的漏洞。</p><p>　　3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全</p><p>　　數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層，在OSI參考模型中，都是負(fù)責(zé)數(shù)據(jù)流傳輸?shù)模髽I(yè)對(duì)于數(shù)據(jù)訪問(wèn)和存取的控制，一般都是針對(duì)這三個(gè)層次制定網(wǎng)絡(luò)協(xié)議，監(jiān)控和過(guò)濾數(shù)據(jù)流。</p><p>　　3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析 </p><p>　　數(shù)據(jù)鏈路層位于物

46、理硬件層網(wǎng)絡(luò)層之間，擔(dān)負(fù)起第一道數(shù)據(jù)監(jiān)控和過(guò)濾的重任。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容：一是涉及到數(shù)據(jù)傳輸過(guò)程中的加密和數(shù)據(jù)的修改，也就是影響到數(shù)據(jù)的完整性；另一個(gè)是涉及到物理地址的盜用問(wèn)題，影響到網(wǎng)絡(luò)管理。</p><p>　　針對(duì)數(shù)據(jù)鏈路層的攻擊主要有：</p><p>　?。?）局域網(wǎng)ARP欺騙攻擊。</p><p>　　數(shù)據(jù)鏈路層的協(xié)議ARP協(xié)議，具有完成IP

47、地址到MAC地址的轉(zhuǎn)換的功能。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。</p><p>　?。?）針對(duì)MAC地址的泛洪攻擊。</p><p>　　網(wǎng)絡(luò)互連設(shè)備路由器和交換機(jī)具有主動(dòng)學(xué)習(xí)客戶端的MAC地址，然后建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表。MAC地址泛洪攻擊利用工具產(chǎn)生欺騙MAC，快速填滿MAC地址表，交換機(jī)此后一直廣播信息，會(huì)造成負(fù)載

48、過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。</p><p>　　3.4.2傳輸層安全防護(hù)需求分析</p><p>　　傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。無(wú)論是局域網(wǎng)還是廣域網(wǎng)，目前最為流行的傳輸層協(xié)議主要有TCP和UDP協(xié)議族許多安全協(xié)議也運(yùn)行于TCP之上，為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ溃沟脭?shù)據(jù)避免被竊聽、篡改或假冒。</p><p>　　基于傳

49、輸層的網(wǎng)絡(luò)安全協(xié)議眾多。傳輸層支持的安全服務(wù)有：1) 對(duì)等實(shí)體認(rèn)證服務(wù)；2)訪問(wèn)控制服務(wù)；3)數(shù)據(jù)保密服務(wù)；4)數(shù)據(jù)完整性服務(wù)；5)數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。傳輸層主要有兩個(gè)安全協(xié)議：SSL（Secure Sockets Layer）和PCT（Private Communications Technology）。</p><p>　　企業(yè)網(wǎng)絡(luò)對(duì)于傳輸層的需求一般有：</p><p>　?。?）文件

50、傳輸?shù)陌踩枨蟆?lt;/p><p>　　企業(yè)的一些管理者為了方便，通過(guò)一些通訊工具來(lái)收發(fā)一些有保密級(jí)別的文件的或者重要信息，而網(wǎng)絡(luò)本身都存在著較多的缺陷，為此，保證重要文件的秘密性、完整性、和可靠性，建議在傳輸之前對(duì)文件進(jìn)行加密。</p><p>　?。?）網(wǎng)絡(luò)邊界通信的安全需求。</p><p>　　網(wǎng)絡(luò)交換設(shè)備主要包括路由器和ATM。由于路由器普遍采用無(wú)連接存儲(chǔ)轉(zhuǎn)

51、發(fā)技術(shù),一旦某一個(gè)路由器發(fā)生故障或出現(xiàn)問(wèn)題，將迅速波及到與該路由器聯(lián)系的網(wǎng)絡(luò)區(qū)域。</p><p>　　網(wǎng)絡(luò)層邊界安全需求包括整個(gè)局域網(wǎng)通過(guò)防火墻接入互聯(lián)網(wǎng)時(shí)邊界的安全需求、服務(wù)器群組成的服務(wù)子網(wǎng)和主交換機(jī)與通過(guò)防火墻與外網(wǎng)接入層之間不同安全等級(jí)而使用不同訪問(wèn)控制策略的安全需求。</p><p>　?。?）內(nèi)網(wǎng)訪問(wèn)及網(wǎng)絡(luò)權(quán)限控制需求。</p><p>　　內(nèi)網(wǎng)的訪問(wèn)

52、控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它對(duì)用戶進(jìn)行權(quán)限的分配，控制不同用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)或者服務(wù)器訪問(wèn)的權(quán)限，為用戶指定能夠訪問(wèn)的對(duì)象和獲取的資源。一般可分為三步：用戶名驗(yàn)證、用戶口令驗(yàn)證和用戶賬號(hào)的缺省限制檢查。只要用戶在這三個(gè)環(huán)節(jié)中的任何一個(gè)環(huán)節(jié)中沒有通過(guò)，該用戶將不被允許接入網(wǎng)絡(luò)。</p><p>　　3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析 </p><p>　　網(wǎng)絡(luò)層主要是指IP協(xié)議

53、簇。IP地址是在網(wǎng)絡(luò)層標(biāo)識(shí)一臺(tái)計(jì)算機(jī)的唯一身份識(shí)別碼，無(wú)論是企業(yè)內(nèi)網(wǎng)還是外部互聯(lián)網(wǎng)，都需要有獨(dú)立的IP地址?？梢酝ㄟ^(guò)網(wǎng)絡(luò)交換的監(jiān)控，對(duì)網(wǎng)絡(luò)狀況動(dòng)態(tài)的檢測(cè)和控制。網(wǎng)絡(luò)層安全協(xié)議的最大特點(diǎn)是其透明性，即不過(guò)問(wèn)高層協(xié)議數(shù)據(jù)包的內(nèi)容，可以提供認(rèn)證、保密性、完整性等服務(wù)。</p><p>　　一般而言，設(shè)計(jì)網(wǎng)絡(luò)時(shí)，內(nèi)部網(wǎng)絡(luò)自成體系，有自己的子網(wǎng)網(wǎng)段，各子網(wǎng)必須通過(guò)中間設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)之間

54、的訪問(wèn)。</p><p>　　對(duì)于網(wǎng)絡(luò)層的防護(hù)，主要包含以下幾個(gè)方面：</p><p>　?。?）WEB網(wǎng)站安全防護(hù)需求。</p><p>　　目前企業(yè)內(nèi)部網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)，一般都是采用B/S模式的WEB網(wǎng)站形式,WEB系統(tǒng)防護(hù)是一個(gè)復(fù)雜的問(wèn)題，包括應(yīng)對(duì)網(wǎng)頁(yè)篡改、DDoS攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問(wèn)題的攻擊等各種形式,WEB系統(tǒng)需要專人管理。</p>

55、<p>　?。?）DNS服務(wù)器系統(tǒng)的安全防護(hù)需求。</p><p>　　域名服務(wù)器DNS系統(tǒng)，作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問(wèn)題。針對(duì)DNS系統(tǒng)的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等,DNS系統(tǒng)的安全防護(hù)需要部署流量清洗設(shè)備，保障DNS業(yè)務(wù)系統(tǒng)的正常運(yùn)行。</p><p>　　4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案</p>&

56、lt;p>　　4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃</p><p>　　根據(jù)第二章對(duì)企業(yè)網(wǎng)絡(luò)安全的論述以及第三章企業(yè)網(wǎng)絡(luò)安全需求分析的基礎(chǔ)上，遵守通用的設(shè)計(jì)原則，本章研究制定了一個(gè)可滿足企業(yè)網(wǎng)絡(luò)對(duì)可靠性、保密性、可管理性及可擴(kuò)展性等方面需求的企業(yè)網(wǎng)絡(luò)安全建設(shè)的總體設(shè)計(jì)規(guī)劃方案。</p><p>　　4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)規(guī)劃</p><p>　　一般來(lái)說(shuō)，企業(yè)

57、網(wǎng)絡(luò)的建設(shè)，通常會(huì)首先考慮建設(shè)內(nèi)部 MIS 系統(tǒng)，而后展開其他業(yè)務(wù)系統(tǒng)的建設(shè)，構(gòu)造企業(yè)信息網(wǎng)絡(luò)的局域網(wǎng)，通過(guò)添加各種網(wǎng)絡(luò)互連設(shè)備，逐步形成網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)中心、數(shù)據(jù)庫(kù)服務(wù)中心、 OA 辦公系統(tǒng)、ERP 人力管理系統(tǒng)等子系統(tǒng)同時(shí)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)。</p><p>　　內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群，包括WEB、Mail、FTP等服務(wù)，以及提供數(shù)據(jù)存儲(chǔ)和備份服務(wù)的數(shù)據(jù)庫(kù)服務(wù)器集群，數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩

58、種功能，控制和監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況并采取相應(yīng)的措施，各網(wǎng)絡(luò)模塊之間通過(guò)交換機(jī)、路由器等互連設(shè)備聯(lián)系在一起。企業(yè)網(wǎng)絡(luò)總體規(guī)劃如圖4-1所示：</p><p>　　對(duì)于企業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)管理已經(jīng)從最初的單一網(wǎng)管需求發(fā)展到IT綜合管理需求,這些管理都是緊密關(guān)聯(lián)、不可分割的整體.企業(yè)網(wǎng)絡(luò)一般是建立以業(yè)務(wù)為核心管理系統(tǒng)，如圖4-2所示：</p><p>　　2.企業(yè)網(wǎng)絡(luò)安全建設(shè)的設(shè)計(jì)目標(biāo)</p&

59、gt;<p>　　（1）合理規(guī)劃的拓?fù)浣Y(jié)構(gòu)。易于部署強(qiáng)化，保證物理安全。</p><p>　?。?）強(qiáng)大的協(xié)同工作和自我防護(hù)能力。</p><p>　?、侔讶肭謾z測(cè)系統(tǒng)IDS與入侵防御系統(tǒng)IPS結(jié)合起來(lái)部署在關(guān)鍵節(jié)點(diǎn)；</p><p>　?、诎逊阑饓εc防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng)；</p><p>　　③安裝漏洞掃描工具對(duì)應(yīng)用層和系

60、統(tǒng)層進(jìn)行定期的漏洞掃描；</p><p>　?。?）完善的網(wǎng)絡(luò)管理能力。</p><p>　　①引入先進(jìn)的防病毒軟件，加強(qiáng)網(wǎng)絡(luò)安全；</p><p>　?、谑褂镁W(wǎng)絡(luò)系統(tǒng)管理軟件對(duì)服務(wù)器和終端系統(tǒng)進(jìn)行統(tǒng)一的管理；</p><p>　?、叟渲肰PN以提供統(tǒng)一的外部入口，達(dá)到隔離內(nèi)網(wǎng)與外網(wǎng)的效果；</p><p>　?、芤躁P(guān)

61、鍵業(yè)務(wù)為中心的網(wǎng)絡(luò)管理模型，保證關(guān)鍵業(yè)務(wù)持續(xù)性；</p><p>　　⑤單一網(wǎng)絡(luò)設(shè)備管理到融合式應(yīng)用網(wǎng)絡(luò)管理；</p><p>　?。?）完善的數(shù)據(jù)安全保障機(jī)制。</p><p>　　①網(wǎng)絡(luò)管理員保障關(guān)鍵數(shù)據(jù)的安全；</p><p>　?、谑褂萌轂?zāi)備份系統(tǒng)對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行實(shí)時(shí)備份；</p><p>　?、壑贫ò踩芾硐嚓P(guān)

62、策略，加強(qiáng)對(duì)網(wǎng)絡(luò)使用人員的管理；</p><p>　　4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計(jì)方案</p><p>　　4.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案</p><p>　?。?）企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。</p><p>　　網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)洹Ｍ負(fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站

63、的網(wǎng)絡(luò)配置和相互間的連接。圖4-3就是典型的中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。企業(yè)通過(guò)一邊界路由器和因特網(wǎng)相連，在局域網(wǎng)內(nèi)部，主要有4個(gè)區(qū)域：辦公區(qū)，服務(wù)器，生產(chǎn)子網(wǎng)和安全管理區(qū)。如圖4-3所示：</p><p>　?。?）企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)。</p><p>　　本系統(tǒng)在設(shè)計(jì)中，融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等，構(gòu)

64、建出企業(yè)安全網(wǎng)絡(luò)架構(gòu)，其架構(gòu)如圖4-4所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)：</p><p>　　圖4.3企業(yè)安全架構(gòu)</p><p>　?。?）企業(yè)安全層次模型設(shè)計(jì)。</p><p>　　由于網(wǎng)絡(luò)安全實(shí)際是在不同的安全模型和網(wǎng)絡(luò)層次實(shí)現(xiàn)的，因此，針對(duì)開放系統(tǒng)互聯(lián)參考模型（OSI）網(wǎng)絡(luò)安全特性，可以可以分別在分層參考模型協(xié)議棧的不同協(xié)議層中實(shí)現(xiàn)。</p><

65、;p>　　一般來(lái)說(shuō)，物理層不處理網(wǎng)絡(luò)安全問(wèn)題，主要負(fù)責(zé)信號(hào)傳輸。數(shù)據(jù)鏈路層的主要任務(wù)是加強(qiáng)物理層傳輸原始比特的功能，數(shù)據(jù)鏈路層有一些適用于有線、無(wú)線網(wǎng)絡(luò)的MAC層安全協(xié)議，網(wǎng)絡(luò)層建立端到端的路由，利用IPSec（互聯(lián)網(wǎng)安全協(xié)議）增強(qiáng)其安全性能;第五層以上（含第五層）的安全機(jī)制根據(jù)不同應(yīng)用的安全性需求，需要系統(tǒng)設(shè)計(jì)者根據(jù)自身需求量身定做。針對(duì)特定的安全應(yīng)用，設(shè)計(jì)合理的防護(hù)措施并部署到環(huán)境中。</p><p>

66、　　4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案</p><p>　?。?）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署整體設(shè)計(jì)。</p><p>　　在對(duì)網(wǎng)絡(luò)拓?fù)渚托蟹治龊驮O(shè)計(jì)之后，就要選擇適用的安全防護(hù)技術(shù)和方案就行部署。經(jīng)過(guò)對(duì)企業(yè)的網(wǎng)絡(luò)特點(diǎn)和存在的問(wèn)題進(jìn)行認(rèn)真細(xì)致的分析后，考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力，設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全體系建設(shè)的整體方案，</p><p>　?。?

67、）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點(diǎn)。</p><p>　　①網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理能力強(qiáng)。各種應(yīng)用要求實(shí)時(shí)性強(qiáng)，對(duì)系統(tǒng)的處理能力及穩(wěn)定性要求很高；</p><p>　?、跀?shù)據(jù)存儲(chǔ)的安全性強(qiáng)。應(yīng)用系統(tǒng)數(shù)據(jù)量龐大適宜數(shù)據(jù)集中存儲(chǔ)；</p><p>　?、劬W(wǎng)絡(luò)結(jié)構(gòu)健壯性強(qiáng)。根據(jù)應(yīng)用系統(tǒng)的廣泛性，業(yè)務(wù)運(yùn)算及傳輸對(duì)系統(tǒng)的處理能力以及網(wǎng)絡(luò)的負(fù)載能力提出了非常高的要求；</p>&

68、lt;p>　　4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)</p><p>　　（1）企業(yè)級(jí)防火墻的概念。</p><p>　　防火墻(firewall)是一項(xiàng)協(xié)助確保信息安全的設(shè)備或者軟件，會(huì)依照特定的規(guī)則，允許在具體應(yīng)用中,一方面，從硬件層級(jí)上講， 防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組硬件設(shè)備，位于路由器和各個(gè)計(jì)算機(jī)之間，一般是由系統(tǒng)管理員控制防火墻的規(guī)則，確保在能夠提供訪問(wèn)的同時(shí),保護(hù)

69、內(nèi)部網(wǎng)絡(luò)。</p><p>　　或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。防火墻用來(lái)控制各種網(wǎng)絡(luò)之間所有的數(shù)據(jù)流量，也可以控制企業(yè)內(nèi)部對(duì)某些關(guān)鍵數(shù)據(jù)的存儲(chǔ)或者數(shù)據(jù)服務(wù)器的訪問(wèn)。如下圖4.4所示：</p><p>　　圖4.4 防火墻在企業(yè)網(wǎng)絡(luò)中的位置</p><p>　?。?）企業(yè)級(jí)防火墻的功能。</p><p>　?、贁?shù)據(jù)流量監(jiān)控和數(shù)據(jù)安全防護(hù)；</p

70、><p>　　防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。 </p><p>　?、诒槐Ｗo(hù)子網(wǎng)和信息的隱藏；</p><p>　　由于所有進(jìn)出網(wǎng)絡(luò)的信息，都要經(jīng)過(guò)防火

71、墻的審核，因此防火墻為網(wǎng)絡(luò)安全起到了看門人的作用。結(jié)合授權(quán)訪問(wèn)，防火墻可以有效的屏蔽內(nèi)部信息不為外部可見，防火墻可以限制被保護(hù)子網(wǎng)的暴露。因此，防火期可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)網(wǎng)絡(luò)的影響。</p><p>　?、鄯阑饓哂袕?qiáng)大的自我學(xué)習(xí)和抗攻擊免疫力； 防火墻通過(guò)對(duì)事件的處理和知識(shí)學(xué)習(xí)，可以將本網(wǎng)絡(luò)安全等級(jí)進(jìn)行劃分，對(duì)本網(wǎng)絡(luò)的安全事件就行分類，并根據(jù)網(wǎng)絡(luò)管理員的選項(xiàng)，自主的決定如何處理某些網(wǎng)絡(luò)時(shí)間。防

72、火墻技術(shù)作為網(wǎng)絡(luò)出入的守衛(wèi)，基于操作系統(tǒng)發(fā)揮其防護(hù)作用。當(dāng)然，嵌入式防火墻系統(tǒng)，也是一種專用的防火墻設(shè)備。</p><p>　　本系統(tǒng)設(shè)計(jì)中，企業(yè)內(nèi)網(wǎng)通過(guò)網(wǎng)通的公共網(wǎng)絡(luò)線路與Internet互聯(lián)，網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器，實(shí)現(xiàn)郵件的收發(fā)，內(nèi)部的WWW服務(wù)器，對(duì)外提供網(wǎng)頁(yè)訪問(wèn)服務(wù)?？紤]到企業(yè)與外網(wǎng)的信息交換量的大小以及企業(yè)網(wǎng)絡(luò)安全的需要，可選擇了硬件防火墻作為網(wǎng)絡(luò)邊界的安全設(shè)備。典型的硬件防火墻如Cisco PIX 52

73、5等。Cisco PIX 525使用思科的專用自適應(yīng)算法ASA與狀態(tài)表進(jìn)行會(huì)話以及進(jìn)行其他事務(wù)的處理。它以專門的硬件化的操作系統(tǒng)為中心，以命令的方式實(shí)現(xiàn)配置和管理。它還具備故障時(shí)的無(wú)縫切換功能、URL過(guò)濾、冗余以及檢測(cè)病毒的功能。</p><p>　?。?）基于iptables的企業(yè)網(wǎng)絡(luò)防火墻設(shè)計(jì)。</p><p><b>　?、贁?shù)據(jù)包過(guò)濾技術(shù)；</b></p&

74、gt;<p>　　數(shù)據(jù)包過(guò)濾是一種訪問(wèn)控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。包過(guò)濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的根據(jù)：將包的目的地址作為判斷依據(jù)；將包的源地址作為判斷依據(jù)；將包的傳送協(xié)議作為判斷依據(jù)。路由器通過(guò)實(shí)現(xiàn)設(shè)定的過(guò)濾規(guī)則，對(duì)流入流出數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢查，確定是否要發(fā)送。不符合規(guī)則的包會(huì)被路由器丟棄。</p><p>　?、趇ptables防火墻設(shè)計(jì)； </p

75、><p>　　iptables防火墻是LINUX下的免費(fèi)防火墻，它是LINUX內(nèi)核中netfilter架構(gòu)的一種策略管理工具，隨著LINUX發(fā)行版的推廣而流行開來(lái)。它可以代替昂貴的商業(yè)防火墻解決方案，完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 iptables允許建立狀態(tài)(stateful)防火墻，，這對(duì)于有效地配置FTP和DNS以及其它網(wǎng)絡(luò)服務(wù)是必要的。iptables能夠過(guò)濾TCP標(biāo)志任意組合報(bào)文，還

76、能夠過(guò)濾MAC地址。iptable能夠阻止某些DOS攻擊，例如SYS洪泛攻擊。iptables提供多種命令和參數(shù)，可以通過(guò)腳本文件使用命令行針對(duì)不同的網(wǎng)絡(luò)環(huán)境，比如NAT、ADSL撥號(hào)等，對(duì)防火墻的策略規(guī)則進(jìn)行配置，有效管理網(wǎng)絡(luò)數(shù)據(jù)的流入和流出。</p><p>　　4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計(jì)</p><p>　　4.3.1企業(yè)安全管理制度建設(shè)分析</p><

77、;p>　　通過(guò)參考大量的管理策略和實(shí)施辦法，企業(yè)的安全管理制度的健全可以從以下幾個(gè)方面著手：</p><p><b>　?。?）職責(zé)分離</b></p><p>　　在信息處理系統(tǒng)工作的員工，不允許參與職責(zé)以外的與安全相關(guān)的事情。有些信息處理工作不能由一個(gè)人負(fù)責(zé)，比如：系統(tǒng)軟件與應(yīng)用軟件的開發(fā)、機(jī)密文件的傳送與接收、信息處理系統(tǒng)相關(guān)媒介的保管與電腦操作、電腦操作

78、與編程、系統(tǒng)管理與安全管理、管理訪問(wèn)證件與其它工作等等。</p><p><b>　?。?）責(zé)任原則</b></p><p>　　每項(xiàng)與安全相關(guān)的活動(dòng)，須多人在場(chǎng)（兩人及兩人以上）。由主管人指派一些忠誠(chéng)可靠，可以勝任此項(xiàng)工作的人參加。并填寫工作情況記錄本，證明安全工作已經(jīng)得到保障。</p><p>　?。?）按屆選舉相關(guān)人員</p>

79、<p>　　一般來(lái)說(shuō)，一個(gè)人不能長(zhǎng)期擔(dān)任安全相關(guān)職務(wù)。工作人員要不定期換崗，強(qiáng)制休假，為保證工作效率還要對(duì)工作人員進(jìn)行輪流培訓(xùn)。</p><p>　　4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動(dòng)分析</p><p>　　相關(guān)安全的具體活動(dòng)如下：</p><p>　　（1）訪問(wèn)控制權(quán)限的管理；</p><p>　　（2）保密信息處理；</

80、p><p>　　（3）相關(guān)媒介的使用；</p><p>　?。?）刪除重要數(shù)據(jù)；</p><p>　?。?）系統(tǒng)軟件的開發(fā)與修改；</p><p>　?。?）軟硬件維護(hù)等；</p><p>　　企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題，不僅是設(shè)備，技術(shù)的問(wèn)題，更是管理的問(wèn)題。對(duì)于企業(yè)網(wǎng)絡(luò)的管理人員來(lái)講，一定要提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全技

81、術(shù)的掌握，注重對(duì)領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。</p><p>　　綜上所述，企業(yè)管理策略和管理方案是確保人員素質(zhì)和網(wǎng)絡(luò)可靠運(yùn)行的有力保障。良好的管理策略對(duì)于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進(jìn)意義。</p><p><b>　　5結(jié)論</b></p><p>　　本文深入分析了當(dāng)前中小企業(yè)

82、的網(wǎng)絡(luò)安全建設(shè)存在的問(wèn)題，從網(wǎng)絡(luò)的復(fù)雜性以及網(wǎng)絡(luò)安全意識(shí)欠缺給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)的角度，探討了網(wǎng)絡(luò)安全建設(shè)的必要性。針對(duì)當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全的現(xiàn)實(shí)需求進(jìn)行了細(xì)致分析。首先，本論文從網(wǎng)絡(luò)總體規(guī)劃、安全層次模型設(shè)計(jì)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署三個(gè)方面，宏觀上構(gòu)建了一個(gè)網(wǎng)絡(luò)安全模型。然后，從企業(yè)級(jí)防火墻體系建設(shè)、企業(yè)級(jí)防病毒軟件體系建設(shè)、入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)機(jī)制設(shè)計(jì)以及企業(yè)數(shù)據(jù)存儲(chǔ)和備份等幾個(gè)主要方面，細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案

83、。最后，針對(duì)網(wǎng)絡(luò)安全解決方案的落實(shí)問(wèn)題，強(qiáng)調(diào)了在企業(yè)中加強(qiáng)安全管理制度和安全策略建設(shè)的重要性。</p><p>　　總之，本文結(jié)合網(wǎng)絡(luò)安全實(shí)際，以現(xiàn)實(shí)需求為出發(fā)點(diǎn)，不僅從技術(shù)實(shí)現(xiàn)的角度，而且從管理策略的角度，詳細(xì)論述了如何構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò)，最終提出了一種科學(xué)的可行的網(wǎng)絡(luò)安全建設(shè)的解決方案。因此，本文對(duì)企業(yè)網(wǎng)絡(luò)的構(gòu)建和企業(yè)網(wǎng)絡(luò)安全建設(shè)具有一定的參考價(jià)值。</p><p><b&g

84、t;　　注釋</b></p><p>　?。?］段水福：《無(wú)線局域網(wǎng)(WLAN)設(shè)計(jì)與實(shí)踐》，杭州浙江大學(xué)出版社，2007年，第3頁(yè)。</p><p>　?。?］麻信洛：《無(wú)線局域網(wǎng)構(gòu)建及應(yīng)用》，北京國(guó)防工業(yè)出版社，2009年，第3頁(yè)。</p><p>　?。?］、［4］同上，第3頁(yè)。</p><p>　?。?］陳慶章：《局域網(wǎng)的

85、新形勢(shì)-無(wú)線局域網(wǎng)》，計(jì)算機(jī)世界，1995年，第3頁(yè)。</p><p>　　［6］Cisco Systems 公司：《無(wú)線局域網(wǎng)基礎(chǔ)》，人民郵電出版社，2005年，第3頁(yè)。</p><p>　　［7］、［8］同上，第3頁(yè)。</p><p>　?。?］李志球：《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》，北京電子工業(yè)出出版社，2006年，第4頁(yè)。</p><p>　?。?/p>

86、10］楊義先、鈕心忻：《網(wǎng)絡(luò)安全理論與技術(shù)》，北京人民郵電出版社，2007年，第24頁(yè)。</p><p>　?。?1］賀雪晨：信息對(duì)抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第2版)，2010,5。 </p><p>　　[12]赫爾利、楊青：無(wú)線網(wǎng)安全 科學(xué)出版社，2009，4,1。</p><p>　　[13]趙力強(qiáng)、張海林：IEEE 802.11無(wú)線局域網(wǎng)的TCP性能分析

87、和改進(jìn) [期刊論文] -計(jì)算機(jī)學(xué)報(bào)2010(11)。</p><p>　　[14]楊峰、張浩軍：無(wú)線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用,2009,25(1):2。</p><p>　　[15]黃勁榮：無(wú)線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2009(15):1。</p><p><b>　　參考文獻(xiàn)</b></p>

88、<p>　?、?胡增才.重慶鋼鐵集團(tuán)信息網(wǎng)絡(luò)安全解決方案設(shè)計(jì):[碩士學(xué)位論文].重慶:重慶大學(xué),2006</p><p>　?、?蔡皖東.基于等級(jí)保護(hù)的網(wǎng)絡(luò)容災(zāi)系統(tǒng)模型.計(jì)算機(jī)科學(xué),2005,32(3):47-49</p><p>　　③ 劉洪發(fā)、唐宏.網(wǎng)絡(luò)存儲(chǔ)與災(zāi)難恢復(fù)技術(shù).北京:電子工業(yè)出版社,2008,82-89</p><p>　　④ 趙俊閣.信息

89、安全概論.北京:國(guó)防工業(yè)出版社,2009,7-15</p><p>　?、?陳尚義、劉勝平、趙泰.基于防水墻系統(tǒng)的信息安全與保密解決方案.信息安全與通信保密,2006</p><p>　　⑦ 周亞建、鄭康鋒、楊義先.網(wǎng)絡(luò)安全加固技術(shù).北京:電子工業(yè)出版社,2007,102-107</p><p>　?、?數(shù)據(jù)庫(kù)基礎(chǔ)與應(yīng)用 作者：王利 中央廣播電視大學(xué)出版社 1997

90、年⑨ SQL Server2000系統(tǒng)管理 飛思科技產(chǎn)品研發(fā)中心 電子工業(yè)出版社 2001年⑩ 軟件工程 作者：陳明 中央廣播電視大學(xué)出版社 2001年致 謝</p><p>　　三年的學(xué)習(xí)生活即將結(jié)束，驀然回首這三年的時(shí)光，心里充滿了許多的感激和驕傲。感激的是大學(xué)能夠給我提供這樣一個(gè)良好的學(xué)習(xí)生活環(huán)境；感謝我身邊那些一直給予我支持、幫助和關(guān)心的親人、教員、同學(xué)和朋友。我會(huì)在以后的工作、學(xué)習(xí)和生活中取得更加