中小企业网络安全方案--毕业作业

《中小企业网络安全方案--毕业作业》由会员分享，可在线阅读，更多相关《中小企业网络安全方案--毕业作业（21页珍藏版）》请在装配图网上搜索。

1、网络安安全技术术实践报告告题目:中中小型企企业网络络安全解解决方案案姓名: 吴习衡衡 董董定超 学号: 08004388 00804409 上交时间间: 220100年 月 日目录前言11.网络络环境现现状21.1介介绍21.2 拓扑图图22.安全全风险分分析32.1概概要风险险分析332.2实实际安全全风险分分析32.3*332.4*333.安全全措施和和解决方方案43.1计计算机安安全43.2网网络安全全433保保护(IISS)Webb服务器器43.4多多种安全全解决方方法44 方案案分析554.1 优点54.2不不足之处处5参考文献献6前言概要介绍绍本人所所做的主主要内容容。介绍所选选的

2、网络络环境，所所应用的的技术、小小组成员员分工等等。1.网络络环境现现状1.1介介绍 信息化化已成为为国际性性发展趋趋势，作作为国民民经济信信息化的的基础，企企业信息息化建设设受到国国家和企企业的广广泛重视视。企业信信息化，企企业网络络的建设设是基础础，从计计算机网网络技术术和应用用发展的的现状来来看，IIntrraneet是得得到广泛泛认同的的企业网网络模式式。Inntraanett并不完完全是原原来局域域网的概概念，通通过与IInteerneet的联联结，企企业网络络的范围围可以是是跨地区区的，甚甚至跨国国界的。现在，随随着信息息化技术术的飞速速发展 ，Innterrnett的发展展已成燎

3、燎原之势势，随着着WWWW上商业业活动的的激增，IIntrraneet也应应运而生生。近几几年，许许多有远远见的企企业领导导者都已已感到企企业信息息化的重重要性,陆续建建立起了了自己的的企业网网和Inntraanett并通过过各种WWAN线线路与IInteerneet相连连。许多多有远见见的企业业都认识识到依托托先进的的IT技技术构建建企业自自身的业业务和运运营平台台将极大大地提升升企业的的核心竞竞争力，使使企业在在残酷的的竞争环环境中脱脱颖而出出。国际际互联网网Intternnet在在带来巨巨大的资资源和信信息访问问的方便便的同时时，它也也带来了了巨大的的潜在的的危险，至至今仍有有很多企企业

4、仍然然没有感感到企业业网安全全的重要要性。在在我国网网络急剧剧发展还还是近几几年的事事，而在在国外企企业网领领域出现现的安全全事故已已经是数数不胜数数。因此此，我们们应该在在积极进进行企业业网建设设的同时时，就应应借鉴国国外企业业网建设设和管理理的经验验，在网网络安全全上多考考虑一些些，将企企业网中中可能出出现的危危险和漏漏洞降到到最低。使使已经花花了不少少财力、人人力和时时间后，建建立起来来的网络络真正达达到预想想的效果果。影响计算算机网络络安全的的因索很很多，既既有自然然因素，也也有人为为因素，其其中人为为因素危危害较大大，归结结起来丰丰要以下下几个方方面： (11)病毒毒感染 从“蠕虫”

5、病毒开开始到CCIH、爱爱虫病毒毒，病毒毒一直是是计算机机系统安安全最直直接的威威胁。病病毒依靠靠网络迅迅速传播播，它很很容易地地通过代代理服务务器以软软件下载载、邮件件接收等等方式进进入网络络，窃取取网络信信息，造造成很人人的损失失。 (22)来自自网络外外部的攻攻击 这是是指来自自局域网网外部的的恶意攻攻击，例例如：有有选择地地破坏网网络信息息的有效效性和完完整性；伪装为为合法用用户进入入网络并并占用大大量资源源；修改改网络数数据、窃窃取、破破译机密密信息、破破坏软件件执行；在中间间站点拦拦截和读读取绝密密信息等等。 （33)来自自网络内内部的攻攻击 在局局域网内内部，一一些非法法用户冒冒

6、用合法法用户的的口令以以合法身身份登陆陆网站后后。窃取取机密信信息，破破坏信息息内容，造造成应用用系统无无法运行行。 （44)系统统的漏洞洞及“后门”操作作系统及及网络软软件不可可能是百百分之百百的无缺缺陷、无无漏洞的的。编程程人员有有时会在在软件中中留有漏漏洞。一一旦这个个疏漏被被不法分分子所知知，就会会借这个个薄弱环环节对整整个网络络系统进进行攻击击，大部部分的黑黑客入侵侵网络事事件就是是由系统统的“漏洞” 和“后门”所造成成的。 经营管理理对计算算机应用用系统的的依赖性性增强，计计算机应应用系统统对网络络的依赖赖性增强强。计算算机网络络规模不不断扩大大，网络络结构日日益复杂杂。计算算机网

7、络络和计算算机应用用系统的的正常运运行对网网络安全全提出了了更高的的要求。信信息安全全防范应应做整体体的考虑虑，全面面覆盖信信息系统统的各层层次，针针对网络络、系统统、应用用、数据据做全面面的防范范。信息息安全防防范体系系模型显显示安全全防范是是一个动动态的过过程，事事前、事事中和事事后的技技术手段段应当完完备，安安全管理理应贯穿穿安全防防范活动动的始终终。 1.2 拓扑图图中小企业业由于规规模大小小、行业业差异、工工作方式式及管理理方式的的不同有有着不同同的网络络拓扑机机构。网网络情况况有以下下几种。集中型:中小小企业网网络一般般只在总总部设立立完善的的网络布布局。采采取专线线接入、AADS

8、LL接入或或多条线线路接入入等网络络接入方方式，一一般网络络中的终终端总数数在几十十到几百百台不等等。网络络中有的的划分了了子网，并并部署了了与核心心业务相相关的服服务器，如如数据库库、邮件件服务器器、文档档资料库库、甚至至ERPP服务器器等。分散散型:采取取多分支支机构办办公及移移动办公公方式，各各分支机机构均有有网络部部署，数数量不多多。大的的分支采采取专线线接入，一一般分支支采取AADSLL接入方方式。主主要是通通过VPPN访问问公司主主机设备备及资料料库，通通过邮件件或内部部网进行行业务沟沟通交流流。综合合型:集中中型与分分散型的的综合。综合型企企业网络络简图22.安全全风险分分析2.

9、1概概要风险险分析1. 物理安全全分析 网络络的物理理安全是是整个网网络系统统安全的的前提。在在网络工工程建设设中，由由于网络络系统属属于弱电电工程，耐耐压值很很低。因因此，在在网络工工程的设设计和施施工中，必必须优先先考虑保保护人和和网络设设备不受受电、火火灾和雷雷击的侵侵害；考考虑布线线系统与与照明电电线、动动力电线线、通信信线路、暖暖气管道道及冷热热空气管管道之间间的距离离；考虑虑布线系系统和绝绝缘线、裸裸体线以以及接地地与焊接接的安全全；必须须建设防防雷系统统，防雷雷系统不不仅考虑虑建筑物物防雷，还还必须考考虑计算算机及其其他弱电电耐压设设备的防防雷。总总体来说说物理安安全的风风险主要

10、要有，地地震、水水灾、火火灾等环环境事故故；电源源故障；人为操操作失误误或错误误；设备备被盗、被被毁；电电磁干扰扰；线路路截获；高可用用性的硬硬件；双双机多冗冗余的设设计；机机房环境境及报警警系统、安安全意识识等，因因此要尽尽量避免免网络的的物理安安全风险险。 2.网络结结构的安安全风险险分析 网网络拓扑扑结构设设计也直直接影响响到网络络系统的的安全性性。企业业网络与与外网有有互连。基基于网络络系统的的范围大大、函盖盖面广，内内部网络络将面临临更加严严重的安安全威胁胁，入侵侵者每天天都在试试图闯入入网络节节点。 假如在在外部和和内部网网络进行行通信时时，网络络系统中中办公系系统及员员工主机机上

11、都有有涉密信信息，假假如内部部网络的的一台电电脑安全全受损(被攻击击或者被被病毒感感染)，内内部网络络的机器器安全就就会受到到威胁，同同时也影影响在同同一网络络上的许许多其他他系统。透透过网络络传播，还还会影响响到连上上Intternnet/Inttrannt的其其他的网网络；影影响所及及，还可可能涉及及法律、金金融等安安全敏感感领域。因因此，我我们在设设计时有有必要将将公开服服务器（WWEB、DDNS、EEMAIIL等）和和外网及及内部其其它业务务网络进进行必要要的隔离离，避免免网络结结构信息息外泄；同时还还要对外外网的服服务请求求加以过过滤，只只允许正正常通信信的数据据包到达达相应主主机，

12、其其它的请请求服务务在到达达主机之之前就应应该遭到到拒绝。3.操作系统的安全风险分析 所谓系统统的安全全是指整整个网络络操作系系统和网网络硬件件平台是是否可靠靠且值得得信任。目目前恐怕怕没有绝绝对安全全的操作作系统可可以选择择，无论论是Miicroosfoot 的的Winndowws NNT或者者其它任任何商用用UNIIX操作作系统，其其开发厂厂商必然然有其后后门。因因此，我我们可以以得出如如下结论论：没有有完全安安全的操操作系统统。不同同的用户户应从不不同的方方面对其其网络作作详尽的的分析，选选择安全全性尽可可能高的的操作系系统。因因此不但但要选用用尽可能能可靠的的操作系系统和硬硬件平台台，

13、并对对操作系系统进行行安全配配置。而而且，必必须加强强登录过过程的认认证（特特别是在在到达服服务器主主机之前前的认证证），确确保用户户的合法法性；其其次应该该严格限限制登录录者的操操作权限限，将其其完成的的操作限限制在最最小的范范围内。 4.应用的的安全风风险分析析 应用系系统的安安全跟具具体的应应用有关关，它涉涉及面广广。应用用系统的的安全是是动态的的、不断断变化的的。应用用的安全全性也涉涉及到信信息的安安全性，它它包括很很多方面面。应用的安安全性也也是动态态的。这这就需要要我们对对不同的的应用，检检测安全全漏洞，采采取相应应的安全全措施，降降低应用用的安全全风险。主主要有文文件服务务器的安

14、安全风险险、数据据库服务务器的安安全风险险、病毒毒侵害的的安全风风险、数数据信息息的安全全风险等等 应用的安安全涉及及方面很很多，以以目前IInteerneet上应应用最为为广泛的的E-mmaill系统来来说，其其解决方方案有ssenddmaiil、NNetsscappe MMesssagiing Serrverr、Sooftwwaree.Coom PPostt.Offficce、LLotuus NNotees、EExchhangge SServver、SSUN CIMMS等不不下二十十多种。其其安全手手段涉及及LDAAP、DDES、RRSA等等各种方方式。应应用系统统是不断断发展且且应用类类

15、型是不不断增加加的。在在应用系系统的安安全性上上，主要要考虑尽尽可能建建立安全全的系统统平台，而而且通过过专业的的安全工工具不断断发现漏漏洞，修修补漏洞洞，提高高系统的的安全性性。应用的的安全性性涉及到到信息、数数据的安安全性。信息息的安全全性涉及及到机密密信息泄泄露、未未经授权权的访问问、 破破坏信息息完整性性、假冒冒、破坏坏系统的的可用性性等。在在某些网网络系统统中，涉涉及到很很多机密密信息，如如果一些些重要信信息遭到到窃取或或破坏，它它的经济济、社会会影响和和政治影影响将是是很严重重的。因因此，对对用户使使用计算算机必须须进行身身份认证证，对于于重要信信息的通通讯必须须授权，传传输必须须

16、加密。采采用多层层次的访访问控制制与权限限控制手手段，实实现对数数据的安安全保护护；采用用加密技技术，保保证网上上传输的的信息（包包括管理理员口令令与帐户户、上传传信息等等）的机机密性与与完整性性。 5.管管理的安安全分析析 管理是网网络中安安全最最最重要的的部分。责责权不明明，安全全管理制制度不健健全及缺缺乏可操操作性等等都可能能引起管管理安全全的风险险。当网网络出现现攻击行行为或网网络受到到其它一一些安全全威胁时时（如内内部人员员的违规规操作等等），无无法进行行实时的的检测、监监控、报报告与预预警。同同时，当当事故发发生后，也也无法提提供黑客客攻击行行为的追追踪线索索及破案案依据，即即缺乏

17、对对网络的的可控性性与可审审查性。这这就要求求我们必必须对站站点的访访问活动动进行多多层次的的记录，及及时发现现非法入入侵行为为。建立全新新网络安安全机制制，必须须深刻理理解网络络并能提提供直接接的解决决方案，因因此，最最可行的的做法是是制定健健全的管管理制度度和严格格管理相相结合。保保障网络络的安全全运行，使使其成为为一个具具有良好好的安全全性、可可扩充性性和易管管理性的的信息网网络便成成为了首首要任务务。一旦旦上述的的安全隐隐患成为为事实，所所造成的的对整个个网络的的损失都都是难以以估计的的。因此此，网络络的安全全建设是是网络安安全建设设过程中中重要的的一环。 管管理方面面的安全全隐患包包

18、括：内内部管理理人员或或员工图图方便省省事，不不设置用用户口令令，或者者设置的的口令过过短和过过于简单单，导致致很容易易破解。责责任不清清，使用用相同的的用户名名、口令令，导致致权限管管理混乱乱，信息息泄密。把把内部网网络结构构、管理理员用户户名及口口令以及及系统的的一些重重要信息息传播给给外人带带来信息息泄漏风风险。内内部不满满的员工工有的可可能造成成极大的的安全风风险。 2.2实实际安全全风险分分析 现今的的网络安安全存在在的威胁胁主要表表现在以以下几个个方面。 1.非非授权访访问。指指对网络络设备及及信息资资源进行行非正常常使用或或越权使使用等。 2.冒冒充合法法用户。主主要指利利用各种

19、种假冒或或欺骗的的手段非非法获得得合法用用户的使使用权限限,以达达到占用用合法用用户资源源的目的的。 3.破破坏数据据的完整整性。指指使用非非法手段段,删除除、修改改、重发发某些重重要信息息,以干干扰用户户的正常常使用。 4.干干扰系统统正常运运行。指指改变系系统的正正常运行行方法,减慢系系统的响响应时间间等手段段。 5.病病毒与恶恶意攻击击。指通通过网络络传播病病毒或恶恶意Jaava、XXActtivee等。6.线路路窃听。指指利用通通信介质质的电磁磁泄漏或或搭线窃窃听等手手段获取取非法信信息。2.3安安全缺口口安全策略略经常会会与用户户方便性性相矛盾盾,从而而产生相相反的压压力,使使安全措

20、措施与安安全策略略相脱节节。这种种情况称称为安全全缺口。为为什么会会存在安安全缺口口呢?有有下面四四个因素素: 1、网网络设备备种类繁繁多当前使使用的有有各种各各样的网网络设备备,从WWinddowss NTT和UNNIX 服务器器到防火火墙、路路由器和和Webb服务器器,每种种设备均均有其独独特的安安全状况况和保密密功能; 2、访访问方式式的多样样化一般来来说,您您的网络络环境存存在多种种进出方方式,许许多过程程拔号登登录点以以及新的的Intternnet访访问方式式可能会会使安全全策略的的设立复复杂化;网络的的不断变变化网络不不是静态态的,一一直都处处于发展展变化中中。启用用新的硬硬件设备

21、备和操作作系统,实施新新的应用用程序和和Webb服务器器时,安安全配置置也有不不尽相同同;4、 用户保安安专业知知识的缺缺乏许多组组织所拥拥有的对对网络进进行有效效保护的的保安专专业知识识十分有有限,这这实际上上是造成成安全缺缺口最为为主要的的一点。2.4网网络安全全评估 为堵死死安全策策略和安安全措施施之间的的缺口,必须从从以下三三方面对对网络安安全状况况进行评评估: 1、 从企业业外部进进行评估估:考察察企业计计算机基基础设施施中的防防火墙; 2、从从企业内内部进行行评估:考察内内部网络络系统中中的计算算机; 3、从从应用系系统进行行评估:考察每每台硬件件设备上上运行的的操作系系统。33.

22、安全全措施和和解决方方案3.1计计算机安安全1.访问问控制策策略访问控制制是网络络安全防防范和保保护的主主要策略略，它的的主要任任务是保保证网络络资源不不被非法法使用和和非常访访问。它它也是维维护网络络系统安安全、保保护网络络资源的的重要手手段。各各种安全全策略必必须相互互配合才才能真正正起到保保护作用用，但访访问控制制可以说说是保证证网络安安全最重重要的核核心策略略之一。下下面我们们分述各各种访问问控制策策略。1)入网网访问控控制入网访问问控制为为网络访访问提供供了第一一层访问问控制。它它控制哪哪些用户户能够登登录到服服务器并并获取网网络资源源，控制制准许用用户入网网的时间间和准许许他们在在

23、哪台工工作站入入网。用户的入入网访问问控制可可分为三三个步骤骤：用户户名的识识别与验验证、用用户口令令的识别别与验证证、用户户帐号的的缺省限限制检查查。三道道关卡中中只要任任何一关关未过，该该用户便便不能进进入该网网络。对网络用用户的用用户名和和口令进进行验证证是防止止非法访访问的第第一道防防线。用用户注册册时首先先输入用用户名和和口令，服服务器将将验证所所输入的的用户名名是否合合法。如如果验证证合法，才才继续验验证用户户输入的的口令，否否则，用用户将被被拒之网网络之外外。用户户的口令令是用户户入网的的关键所所在。为为保证口口令的安安全性，用用户口令令不能显显示在显显示屏上上，口令令长度应应不

24、少于于6个字符符，口令令字符最最好是数数字、字字母和其其他字符符的混合合，用户户口令必必须经过过加密，加加密的方方法很多多，其中中最常见见的方法法有：基基于单向向函数的的口令加加密，基基于测试试模式的的口令加加密，基基于公钥钥加密方方案的口口令加密密，基于于平方剩剩余的口口令加密密，基于于多项式式共享的的口令加加密，基基于数字字签名方方案的口口令加密密等。经经过上述述方法加加密的口口令，即即使是系系统管理理员也难难以得到到它。用用户还可可采用一一次性用用户口令令，也可可用便携携式验证证器（如如智能卡卡）来验验证用户户的身份份。网络管理理员应该该可以控控制和限限制普通通用户的的帐号使使用、访访问

25、网络络的时间间、方式式。用户户名或用用户帐号号是所有有计算机机系统中中最基本本的安全全形式。用用户帐号号应只有有系统管管理员才才能建立立。用户户口令应应是每用用户访问问网络所所必须提提交的“证件”、用户户可以修修改自己己的口令令，但系系统管理理员应该该可以控控制口令令的以下下几个方方面的限限制：最最小口令令长度、强强制修改改口令的的时间间间隔、口口令的唯唯一性、口口令过期期失效后后允许入入网的宽宽限次数数。用户名和和口令验验证有效效之后，再再进一步步履行用用户帐号号的缺省省限制检检查。网网络应能能控制用用户登录录入网的的站点、限限制用户户入网的的时间、限限制用户户入网的的工作站站数量。当当用户

26、对对交费网网络的访访问“资费”用尽时时，网络络还应能能对用户户的帐号号加以限限制，用用户此时时应无法法进入网网络访问问网络资资源。网网络应对对所有用用户的访访问进行行审计。如如果多次次输入口口令不正正确，则则认为是是非法用用户的入入侵，应应给出报报警信息息。2) 网网络的权权限控制制网络的权权限控制制是针对对网络非非法操作作所提出出的一种种安全保保护措施施。用户户和用户户组被赋赋予一定定的权限限。网络络控制用用户和用用户组可可以访问问哪些目目录、子子目录、文文件和其其他资源源。可以以指定用用户对这这些文件件、目录录、设备备能够执执行哪些些操作。受受托者指指派和继继承权限限屏蔽（IRM）可作为其

27、两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1） 特殊用户户（即系系统管理理员）；（2） 一般用户户，系统统管理员员根据他他们的实实际需要要为他们们分配操操作权限限；（3） 审计用户户，负责责网络的的安全控控制与资资源使用用情况的的审计。用用户对网网络资源源的访问问权限可可以用一一个访问问控制表表来描述述。3) 目目录级安安全控制制网络应允允许控制制用户对对目录、文文件、设设备的访访问。用用户在目目录一级级指定的的权限对对所有文文件和子子目录有有效，

28、用用户还可可进一步步指定对对目录下下的子目目录和文文件的权权限。对对目录和和文件的的访问权权限一般般有八种种：系统管理理员权限限（Suuperrvissor）；读权限（Read）、；写权限（Write）；创建权限限（Crreatte）；删除权限限（Errasee）；修改权限限（Moodiffy）；文件查找找权限（File Scan）；存取控制制权限（Access Control）；用户对文文件或目目标的有有效权限限取决于于以下二二个因素素：用户户的受托托者指派派、用户户所在组组的受托托者指派派、继承承权限屏屏蔽取消消的用户户权限。一一个网络络系统管管理员应应当为用用户指定定适当的的访问权权限，

29、这这些访问问权限控控制着用用户对服服务器的的访问。八八种访问问权限的的有效组组合可以以让用户户有效地地完成工工作，同同时又能能有效地地控制用用户对服服务器资资源的访访问，从从而加强强了网络络和服务务器的安安全性。4) 属属性安全全控制当用文件件、目录录和网络络设备时时，网络络系统管管理员应应给文件件、目录录等指定定访问属属性。属属性安全全控制可可以将给给定的属属性与网网络服务务器的文文件、目目录和网网络设备备联系起起来。属性安全全在权限限安全的的基础上上提供更更进一步步的安全全性。网网络上的的资源都都应预先先标出一一组安全全属性。用用户对网网络资源源的访问问权限对对应一张张访问控控制表，用用以

30、表明明用户对对网络资资源的访访问能力力。属性设置置可以覆覆盖已经经指定的的任何受受托者指指派和有有效权限限。属性性往往能能控制以以下几个个方面的的权限：向某个个文件写写数据、拷拷贝一个个文件、删删除目录录或文件件、查看看目录和和文件、执执行文件件、隐含含文件、共共享、系系统属性性等。网网络的属属性可以以保护重重要的目目录和文文件，防防止用户户对目录录和文件件的误删删除、执执行修改改、显示示等。5) 网网络服务务器安全全控制 网络允允许在服服务器控控制台上上执行一一系列操操作。用用户使用用控制台台可以装装载和卸卸载模块块，可以以安装和和删除软软件等操操作。网网络服务务器的安安全控制制包括可可以设

31、置置口令锁锁定服务务器控制制台，以以防止非非法用户户修改、删删除重要要信息或或破坏数数据；可可以设定定服务器器登录时时间限制制、非法法访问者者检测和和关闭的的时间间间隔。6) 网网络监测测和锁定定控制 网络管管理员应应对网络络实施监监控，服服务器应应记录用用户对网网络资源源的访问问，对非非法的网网络访问问，服务务器应以以图形或或文字或或声音等等形式报报警，以以引起网网络管理理员的注注意。如如果不法法之徒试试图进入入网络，网网络服务务器应会会自动记记录企图图尝试进进入网络络的次数数，如果果非法访访问的次次数达到到设定数数值，那那么该帐帐户将被被自动锁锁定。7) 网网络端口口和节点点的安全全控制

32、网络中中服务器器的端口口往往使使用自动动回呼设设备、静静默调制制解调器器加以保保护，并并以加密密的形式式来识别别节点的的身份。自自动回呼呼设备用用于防止止假冒合合法用户户，静默默调制解解调器用用以防范范黑客的的自动拨拨号程序序对计算算机进行行攻击。网网络还常常对服务务器端和和用户端端采取控控制，用用户必须须携带证证实身份份的验证证器（如如智能卡卡、磁卡卡、安全全密码发发生器）。在在对用户户的身份份进行验验证之后后，才允允许用户户进入用用户端。然然后，用用户端和和服务器器端再进进行相互互验证2.确保保网络安安全的措措施由于网络络安全的的目的是是保障用用户的重重要信息息的安全全，因此此限制直直接接

33、触触十分重重要。如如果用户户的网络络连入IInteerneet，那那麽最好好尽可能能地把与与Intternnet连连接的机机器与网网络的其其余部分分隔离开开来。实实现这个个目标的的最安全全的方法法是将IInteerneet服务务器与网网络实际际隔开。当当然，这这种解决决方案增增加了机机器管理理的难度度。但是是如果有有人闯入入隔离开开的机器器，那麽麽网络的的其余部部分不会会受到牵牵连。最重要的的是限制制访问。不不要让不不需要进进入网关关的人都都进入网网关。在在机器上上用户仅仅需要一一个用户户帐号，严严格限制制它的口口令。只只有在使使用suu时才允允许进入入根帐号号。这个个方法保保留一份份使用根根

34、帐号者者的记录录。在Intternnet服服务器上上提供的的一些服服务有FFTP、HHTTPP、远程程登陆和和WAIIS（广广域信息息服务）。但但是，FFTP和和HTTTP是使使用最普普遍的服服务。它它们还有有潜力泄泄露出乎乎用户意意料之外外的秘密密。与任何其其它Innterrnett服务一一样，FFTP一一直是（而而且仍是是）易于于被滥用用的。值值得一提提的弱点点涉及几几个方面面。第一一个危险险是配置置不当。它它使站点点的访问问者（或或潜在攻攻击者）能能够获得得更多超超出其预预期的数数据。他们一旦旦进入，下下一个危危险是可可能破坏坏信息。一一个未经经审查的的攻击者者可以抹抹去用户户的整个个F

35、TPP站点。最后一个个危险不不必长篇篇累牍，这这是因为为它不会会造成破破坏，而而且是低低水平的的。它由由用户的的FTPP站点构构成，对对于交换换文件的的人来说说，用户户的FTTP站点点成为“麻木不不仁的窝窝脏点”。这些些文件无无所不包包，可以以是盗版版软件，也也可以是是色情画画。这种种交换如如何进行行的呢？简单的的很。发发送者发发现了一一个他们们有权写写入和拷拷入可疑疑文件的的FTPP站点。通通过某些些其它方方法，发发送者通通知它们们的同伙伙文件可可以使用用。所有这些些问题都都是由未未正确规规定许可可条件而而引起的的。最大大的一个个问题可可能是允允许FTTP用户户有机会会写入。当当用户通通过F

36、TTP访问问一个系系统时，这这一般是是FTPP用户所所做的事事。因此此，FTTP用户户可以访访问，用用户的访访问者也也可以使使用。所所有这些些问题都都是由未未正确规规定许可可条件而而引起的的。最大大的一个个问题可可能是允允许FTTP用户户有机会会写入。当当用户通通过FTTP访问问一个系系统时，这这一般是是FTPP用户所所做的事事。因此此，FTTP用户户可以访访问，用用户的访访问者也也可以访访问。一般说来来，FTTP用户户不是用用户的系系统中已已经有的的。因此此，用户户要建立立FTPP用户。无无论如何何要保证证将外壳壳设置为为真正外外壳以外外的东西西。这一一步骤防防止FTTP用户户通过远远程登录

37、录进行注注册（用用户或许许已经禁禁止远程程登录，但但是万一一用户没没有这样样做，确确认一下下也不会会有错）。将所有文文件和目目录的主主人放在在根目录录下，不不要放在在ftpp下。这这个预防防措施防防止FTTP用户户修改用用户仔细细构思出出的口令令。然后后，将口口令规定定为7555（读读和执行行，但不不能写，除除了主人人之外）。在在用户希希望匿名名用户访访问的所所有目录录上做这这项工作作。尽管管这个规规定允许许他们读读目录，但但它也防防止他们们把什麽麽东西放放到目录录中来。用户还需需要编制制某些可可用的库库。然而而，由于于用户已已经在以以前建立立了必要要的目录录，因此此这一步步仅执行行一部分分。

38、因此此，用户户需要做做的一切切是将/usrr/liib/llibee.soo.1和和/ussr/llib/libbsocck-eet.sso/11拷贝到到fttp/uusr/libb中。接接着将ftpp/ussr/llib上上的口令令改为5555，并并建立主主接收器器。最后，用用户需要要在fftp/devv/中建建立/ddev/nulll和/deev/ssockksyss设备结结点。用用户可以以用mkknodd手工建建立它们们。然而而，让系系统为用用户工作作会更加加容易。SSCO文文档说用用cpiio,但但是coopy（非非cp）很很管用。如果用户户想建立立一个人人们都可可用留下下文件的的目录

39、，那那麽可将将它称作作输入。允允许其他他人写入入这个目目录，但但不能读读。这个个预防措措施防止止它成为为麻木不不仁的窝窝脏点。人人们可以以在这里里放入他他们想放放的任何何东西，但但是他们们不能将将它们取取出。如如果用户户认为信信息比较较适合共共享，那那麽将拷拷贝到另另一个目目录中。3. 提提高企业业内部网网安全性性的几个个步骤1) 限制对网网关的访访问。限限制网关关上的帐帐号数。不不要允许许关不信信任任何何机器。没没有一台台机器应应该信任任网关；2) 不要用NNFS向向网关传传输或接接收来自自网关的的任何文文件系统统；3) 不要在网网关上使使用NIIS（网网络信息息服务）；4) 制订和执执行一

40、个个非网关关机器上上的安全全性方针针；5) 关闭所有有多余服服务和删删除多余余程序6) 删除网关关的所有有多余程程序（远远程登录录、rllogiin、FFTP等等等）；7) 定期阅读读系统记记录。3.2网网络安全全 网络安安全解决决方案 1.物理理安全策策略物理安全全策略的的目的是是保护计计算机系系统、网网络服务务器、打打印机等等硬件实实体和信信链路免免受自然然灾害、人人为破坏坏和搭线线攻击；验证用用户的身身份和使使用权限限、防用用户越权权操作；确保计计算机系系统有一一个良好好的电磁磁兼容工工作环境境；建立立完备的的安全管管理制度度，防止止非法进进入计算算机控制制室和各各种偷窃窃、破坏坏活动的

41、的发生。抑制和防防止电磁磁泄漏（即即TEMMPESST技术术）是物物理安全全策略的的一个主主要问题题。目前前主要防防护措施施有两类类：一类类是对传传导发射射的防护护，主要要采取对对电源线线和信号号线加装装性能良良好的滤滤波器，减减小传输输阻抗和和导线间间的交叉叉耦合。另另一类是是对辐射射的防护护，这类类防护措措施又可可分为以以下两种种：一是采用用各种电电磁屏蔽蔽措施，如如对设备备的金属属屏蔽和和各种接接插件的的屏蔽，同同时对机机房的下下水管、暖暖气管和和金属门门窗进行行屏蔽和和隔离；二是干扰扰的防护护措施，即即在计算算机系统统工作的的同时，利利用干扰扰装置产产生一种种与计算算机系统统辐射相相关

42、的伪伪噪声向向空间辐辐射来掩掩盖计算算机系统统的工作作频率和和信息特特征。22.网络络结构的的安全 网网络结构构布局的的合理与与否，也也影响着着网络的的安全性性对银行行系统业业务网，办办公网，与与外单位位互联的的接口网网络之间间必须按按各自的的应用范范围，安安全保密密程度进进行合理理分布，以以免局部部安全性性较低的的网络系系统造成成的威胁胁，传播播到整个个网络系系统，所所以必须须从两个个方面入入手，一一是加强强|力问问控制：在内部部局网内内可以通通过交换换机划分分VLAAN功能能来实现现；或是是通过配配备防火火墙来实实现内、外外网或不不同信任任域之间间的隔离离与访问问控制：也可以以配备应应用层

43、的的访问控控制软件件系统，针针对局域域网具体体的应用用进行更更细致的的访问控控制。二二是作好好安全检检测工作作：在局局域网络络的共享享网络设设备上配配备入侵侵检测系系统，实实时分析析进出网网络数据据流，对对网络违违规事件件跟踪，实实时报警警，阻断断连接并并做日志志。 3.操作系系统的安安全 对操操作系统统必须进进行安全全配置，打打上最新新的补丁丁，还要要利用相相应的扫扫描软件件对其进进行安全全性扫描描评估，检检测其存存在的安安全漏洞洞，分析析系统的的安全性性，提出出补救措措施，管管理人员员应用时时必须加加强身份份认证机机制及认认证强度度尽量采采用安全全性较高高的网络络操作系系统并进进行必要要的

44、安全全配置，关关闭一些些起不常常用却存存在安全全隐患的的应用，对对一些关关键文件件使用权权限进行行严格限限制，加加强口令令字的使使用，及及时给系系统打补补丁，系系统内部部的相互互调用不不对外公公开。 44.应用用的安全全 要确保保计算机机网络应应用的安安全，主主要从以以下几个个方面作作好安全全防范工工作：一一要配备备防病毒毒系统，防防止病毒毒入侵主主机并扩扩散到全全网，实实现全网网的病毒毒安全防防护；二二作好数数据备份份工作，最最安全的的，最保保险的方方法是对对重要数数据信息息进行安安全备份份，如果果遇到系系统受损损时，可可以利用用灾难恢恢复系统统进行快快速恢复复；三是是对数据据进行加加密传输

45、输，保护护数据在在传输过过程中不不被泄露露，保证证用户数数据的机机密性，数数据加密密的方法法有从链链路层加加密，网网络层加加密及应应用层加加密；四四是进行行信息鉴鉴别，为为了保证证数据的的完整性性，就必必须采用用信息鉴鉴别技术术，VPPN设备备便能实实现这样样的功能能，数据据源身份份认证也也是信息息鉴别的的一种手手段，它它可以确确认信息息的来源源的可靠靠性，结结合传输输加密技技术，我我们可以以选择VVPN设设备，实实现保护护数据的的机密性性，完整整性，真真实性，可可靠性。 我们可以以做的有有： 第一部部分是增增强用户户认证,用户认认证在网网络和信信息的安安全中属属于技术术措施的的第一道道大门,

46、最后防防线为审审计和数数据备份份,不加加强这道道大门的的建设,整个安安全体系系就会较较脆弱。用用户认证证的主要要目的是是提供访访问控制制和不可可抵赖的的作用。用用户认证证方法按按其层次次不同可可以根据据以下三三种因素素提供认认证。 1.用用户持有有的证件件,如大大门钥匙匙、门卡卡等等; 2.用用户知道道的信息息,如密密码; 3.用用户特有有的特征征,如指指纹、声声音、视视网膜扫扫描等等等。 根据在在认证中中采用因因素的多多少,可可以分为为单因素素认证、双双因素认认证,多多因素认认证等方方法。 第二部部分是授授权,这这主要为为特许用用户提供供合适的的访问权权限,并并监控用用户的活活动,使使其不越

47、越权使用用。该部部分与访访问控制制(常说说的隔离离功能)是相对对立的。隔隔离不是是管理的的最终目目的,管管理的最最终目的的是要加加强信息息有效、安安全的使使用,同同时对不不同用户户实施不不同访问问许可。 第三部部分是加加密。在在上述的的安全体体系结构构中,加加密主要要满足以以下几个个需求。 1.认认证识别用用户身份份,提供供访问许许可; 2.一一致性保证证数据不不被非法法篡改; 3.隐隐密性保护护数据不不被非法法用户查查看; 4.不不可抵赖赖使信信息接收收者无法法否认曾曾经收到到的信息息。 加密是是信息安安全应用用中最早早开展的的有效手手段之一一,数据据通过加加密可以以保证在在存取与与传送的的

48、过程中中不被非非法查看看、篡改改、窃取取等。在在实际的的网络与与信息安安全建设设中,利利用加密密技术至至少应能能解决以以下问题题: 1.钥钥匙的管管理,包包括数据据加密钥钥匙、私私人证书书、私密密等的保保证分发发措施; 2.建建立权威威钥匙分分发机构构; 3.保保证数据据完整性性技术; 4.数数据加密密传输; 5.数数据存储储加密等等。 第四部部分为审审计和监监控,确确切说,还应包包括数据据备份,这是系系统安全全的最后后一道防防线。系系统一旦旦出了问问题,这这部分可可以提供供问题的的再现、责责任追查查、重要要数据复复原等保保障。在网络和和信息安安全模型型中,这这五个部部分是相相辅相成成、缺一一

49、不可的的。其中中底层是是上层保保障的基基础,如如果缺少少下面各各层次的的安全保保障,上上一层的的安全措措施则无无从说起起。如果果一个企企业没有有对授权权用户的的操作规规范、安安全政策策和教育育等方面面制定有有效的管管理标准准,那么么对用户户授权的的控制过过程以及及事后的的审计等等的工作作就会变变得非常常困难。 5.管理的安全 安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高，行为的约束只能通过严格的管理体制，并利用法律手段来实现，因国这些必须在电信部门系统内根据自身的应用与安全需求，制定安全管理制度并严格按执行，并通过安全知识及法律常识的培训，

50、加强整体员工的自身安全意识及防范外部入侵的安全技术。 33保保护(IISS)Webb服务器器3.4多多种安全全解决方方法1. 网网络信息息安全产产品 为了实实施上面面提出的的安全体体系,可可采用防防火墙产产品来满满足其要要求。 采用NNetSScreeen 公司的的硬件防防火墙解解决方案案NettScrreenn-100 & NettScrreenn-1000可以以满足以以下功能能。(1)访访问控制制 实施企企业网与与外部、企企业内部部不同部部门之间间的隔离离。其关关键在于于应支持持目前IInteerneet中的的所有协协议,包包括传统统的面向向连接的的协议、无无连接协协议、多多媒体、视视频、

51、商商业应用用协议以以及用户户自定义义协议等等。(2)普普通授权权与认证证 提供多多种认证证和授权权方法,控制不不同的信信息源。(3)内内容安全全 对流入入企业内内部的网网络信息息流实施施内部检检查,包包括URRL过滤滤等等。(4)加加密 提供防防火墙与与防火墙墙之间、防防火墙与与移动用用户之间间信息的的安全传传输。(5)网网络设备备安全管管理 目前一一个企业业网络可可能会有有多个连连通外界界的出口口,如连连接ISSP的专专线、拨拨号线等等,同时时,在大大的企业业网内不不同部门门和分公公司之间间可能亦亦会有由由多级网网络设备备隔离的的小网络络。根据据信息源源的分布布情况,有必要要对不同同网络和和

52、资源实实施不同同的安全全策略和和多种级级别的安安全保护护,如可可以在防防火墙上上实施路路由器、交交换机、访访问服务务器的安安全管理理。(6)集集中管理理 实施一一个企业业一种安安全策略略,实现现集中管管理、集集中监控控等。(7)提提供记帐帐、报警警功能实施移动动方式的的报警功功能,包包括E-maiil、SSNMPP等。3.3.1 INTEERNEET或信信息发布布服务这种情况况非常普普遍，IISP或或ICPP，企业业的网页页，在IINTEERNEET上提提供息服务或或提供数数据库服服务等。任任何一种种想提供供普遍服服务或广广而告之之的网络络行为，必必须允许许用户能能够访问问到你提提供服务务的主

53、机机，都属属于这种种情况。 对对访问服服务行业业而言，访访问服务务提供者者必须把把要提供供服务的的服务器器主机放放在外部部用户可可以访问问的地方方，也就就是说，主主机安全全几乎是是唯一的的保证。除除非明确确地知道道 谁会会对你的的访问惊惊醒破坏坏，才可可以对出出口路由由器或出出口防火火墙惊醒醒一些针针对性的的限制访访问控制制的设定定，否则则，访问问控制变变得毫无无意义。主机安全全是一个个非常有有效的手手段。所所谓的主主机安全全是一个个非常广广义的概概念，首首先是要要有一个个安全的的操作系系统，建建立在一一个不安安全、甚甚至稳定定性都很很差的操操作系统统上，是是无法作作到一个个安全的的主机。然然

54、后是仔仔细的检检查你所所提供的的服务，如如果不是是你所必必须提供供的服务务，建议议除掉一一切你所所不需要要的进程程，对你你的服务务而言，它它们都是是你安全全上的隐隐患。可可以采用用一些安安全检测测或网络络扫描工工具来确确定你的的服务器器上到底底有伸麽麽服务，以以保证是是否有安安全漏洞洞或隐患患。最后后是对主主机确定定非常严严格的访访问限制制规则，除除了允许许提供商商愿意提提供的服服务之外外，宣纸纸并拒绝绝所有未未允许的的服务，这这是一个个非常严严格的措措施。除了主机机安全以以外，如如果还需需要提高高服务的的安全性性，就该该考虑采采用网络络实时监监控和交交互式动动态防火火墙。网网络实时时监控系系

55、统，会会自动捕捕捉网络络上所有有的通信信包，并并对其进进行分析析和解析析，并判判断出用用户的行行为和企企图。如如果发现现用户的的行为或或企图与与服务商商所允许许的服务务不同，交交互式防防火墙立立即采取取措施，封封堵或拒拒绝用户户的访问问，将其其拒绝在在防火墙墙之外，并并报警。网网络实时时监控系系统和交交互式防防火墙具具有很强强的审计计功能，但但成本相相对偏高高。3.3.2 INTEERNEET和内内部网企业一方方面访问问INTTERNNET，得得到INNTERRNETT所带来来的好处处，另一一方面，却却不希望望外部用用户去访访问企业业的内部部数据库库和网络络。企业业当然没没有办法法去建立立两套

56、网网络来满满足这种种需求。防火墙的的基本思思想不是是对每台台主机系系统进行行保护，而而是让所所有对系系统的访访问通过过某一点点，并且且保护这这一点，并并尽可能能地对受受保护的的内部网网和不可可信任的的外界网网络之间间建立一一道屏障障，它可可以实施施比较惯惯犯的安安全政策策来控制制信息流流，防止止不可预预料的潜潜在的入入侵破坏坏。根据企业业内部网网安全政政策的不不同，采采取防火火墙的技技术手段段也有所所不同。1) 包过滤防防火墙包过滤防防火墙的的安全性性是基于于对包的的IP地地址的校校验。在在Intternnet上上，所有有信息都都是以包包的形式式传输的的，信息息包中包包含发送送方的IIP地址址

57、和接收收方的IIP地址址。包过过滤防火火墙将所所有通过过的信息息包中发发送方IIP地址址、接收收方IPP地址、TTCP端端口、TTCP链链路状态态等信息息读出，并并按照预预先设定定过滤原原则过滤滤信息包包。那些些不符合合规定的的IP地地址的信信息包会会被防火火墙过滤滤掉，以以保证网网络系统统的安全全。包过滤防防火墙是是基于访访问控制制来实现现的。它它利用数数据包的的头信息息（源IIP地址址、封装装协议、端端口号等等）判定定与过滤滤规则相相匹配与与否决定定舍取。建建立这类类防火墙墙需按如如下步骤骤去做；建立安安全策略略；写出出所允许许的和禁禁止的任任务；将将安全策策略转化化为数据据包分组组字段的

58、的逻辑表表达式；用相应应的句法法重写逻逻辑表达达式并设设置之，包过滤防防火墙主主要是防防止外来来攻击，或或是限制制内部用用户访问问某些外外部的资资源。如如果是防防止外部部攻击，针针对典型型攻击的的过滤规规则，大大体有：l 对付源IIP地址址欺骗式式攻击（Source IP Address Spoofing Attacks）对入侵者者假冒内内部主机机，从外外部传输输一个源源IP地地址为内内部网络络IP地地址的数数据包的的这类攻攻击，防防火墙只只需把来来自外部部端口的的使用内内部源地地址的数数据包统统统丢弃弃掉。l 对付残片片攻击（Tiny Fragment Attacks）入侵者使使用TCCP/

59、IIP数据据包 分分段特性性，创建建极小的的分段并并强行将将TCPP/IPP头信息息分成多多个数据据包，以以绕过用用户防火火墙的过过滤规则则。黑客客期望防防火墙只只检查第第一个分分段而允允许其余余的分段段通过。对对付这类类攻击，防防火墙只只需将TTCP/IP协协议片断断位移植植（Frragmmentt Offfseet）为为1的数数据包全全部丢弃弃即可。包过滤防防火墙简简单、透透明，而而且非常常行之有有效，能能解决大大部分的的安全问问题，但但必须了了解包过过滤防火火墙不能能做伸麽麽和有伸伸麽缺点点。对于采用用动态分分配端口口的服务务，如很很多RPPC（远远程过程程调用）服服务相关关联的服服务器

60、在在系统启启动时随随机分配配端口的的，就很很难进行行有效地地过滤。包过滤防防火墙只只按照规规则丢弃弃数据包包而不对对其作日日志，导导致对过过滤的IIP地址址的不同同用户，不不具备用用户身份份认证功功能，不不具备检检测通过过高层协协议（如如应用层层）实现现的安全全攻击的的能力。2) 代理防火火墙包过滤防防火墙从从很大意意义上像像一场战战争，黑黑客想攻攻击，防防火墙坚坚决予以以拒绝。而而代理服服务器则则是另外外一种方方式，能能回避就就回避，甚甚至干脆脆隐藏起起来。代代理服务务器接收收客户请请求后会会检查验验证其合合法性，如如其合法法，代理理服务器器象一台台客户机机一样取取回所需需的信息息再转发发给

61、客户户。它将将内部系系统与外外界隔离离开来，从从外面只只能看到到代理服服务器而而看不到到任何内内部资源源。代理理服务器器只允许许有代理理的服务务通过，而而其他所所有服务务都完全全被封锁锁住。代理服务务器非常常适合那那些根本本就不希希望外部部用户访访问企业业内部的的网络，而而也不希希望内部部的用户户无限制制的使用用或滥用用INTTERNNET。采采用代理理服务器器，可以以把企业业的内部部网络隐隐藏起来来，内部部的用户户需要验验证和授授权之后后才可以以去访问问INTTERNNET。代理服务务器包含含两大类类：一类类是电路路级代理理网关，另另一类是是应用级级代理网网关。电路级网网关又称称线路级级网关

62、，它它工作在在会话层层。它在在两主机机收次建建立TCCP连接接时创立立一个电电子屏障障。它作作为服务务器接收收外来请请求，转转发请求求；与被被保护的的主机连连接时则则担当客客户机角角色、起起代理服服务的作作用。它它监视两两主机建建立连接接时的握握手信息息，如SSyn、AAck和和序列数数据等是是否合乎乎逻辑，信信号有效效后网关关仅复制制、传递递数据，而而不进行行过滤。电电路网关关中特殊殊的客户户程序只只在初次次连接时时进行安安全协商商控制，其其后就透透明了。只只有懂得得如何与与该电路路网关通通信的客客户机才才能到达达防火墙墙另一边边的服务务器。电路级网网关的防防火墙的的安全性性比较高高，但它它

63、仍不能能检查应应用层的的数据包包以消除除应用层层攻击的的威胁。应用级网网关使用用软件来来转发和和过滤特特定的应应用服务务，如TTELNNET、FFTP等等服务的的连接。这这是一种种代理服服务。它它只允许许有代理理的服务务通过，也也就是说说只有那那些被认认为“可信赖赖的”服务才才被允许许通过防防火墙。另另外代理理服务还还可以过过滤协议议，如过过滤FTTP连接接、拒绝绝使用FFTP放放置命令令等。应应用级网网关的安安全性高高，其不不足是要要为每种种应用提提供专门门的代理理服务程程序。两种代理理技术都都具有登登记、日日记、统统计和报报告功能能，有很很好的审审计功能能。还可可以具有有严格的的用户认认证功能能。先进进的认证证措施，如如验证授授权RAADIUUS、智智能卡、认认证令牌牌、生物物统计学学和基于于软件的的工具已已被用来来克服传传统口令令的弱点点。3) 状态监控控技术网络状态态监控技技术普遍遍被认为为是下一一代的网网络安全全技术。传传统的网网络状态态监控技技术对网网络安全全正常的的