中小型企業(yè)網絡安全規(guī)劃設計與實施

1、文檔校園網或企業(yè)網網絡安全方案設計和實現(xiàn)的文檔隨著計算機技術突飛猛進的發(fā)展，互聯(lián)網的應用也越來越廣泛，在網絡環(huán)境 下運行的各種應用系統(tǒng)越來越多，通過網絡傳輸?shù)母鞣N信息也在不斷增加。從U 前中小型企業(yè)計算機技術的應用情況來看也是如此，U前中小型企業(yè)已經建立了 企業(yè)網站，電子郵件等系統(tǒng)，并且已經實施了 ERP、電子商務.IJR等信息系統(tǒng),許多重要信息都存儲在網絡服務器中，因此網絡系統(tǒng)的安全至關重要。這就要求 我們對安全問題進行深入分析研究，在整個中小型企業(yè)建立多層次的網絡安全體 系。本文立足于中小型企業(yè)網絡安全的規(guī)劃設計與實施，對中小型企業(yè)網絡系統(tǒng) 方面存在的安全問題進行了深入分析，針對這些問題給

2、出了總體解決方案并在中 小型企業(yè)內進行了實施。通過中小型企業(yè)網絡安全的規(guī)劃設il和實施，提高了中小型企業(yè)網絡系統(tǒng)的 安全性和穩(wěn)定性。同時隨著計算機技術的不斷發(fā)展，對網絡系統(tǒng)的安全性提出了 更高的要求，因此中小型企業(yè)會根據網絡系統(tǒng)不斷發(fā)展的要求，進一步規(guī)劃設計 出更加適合中小型企業(yè)發(fā)展的網絡安全系統(tǒng)，滿足中小型企業(yè)信息化建設不斷發(fā) 展的要求。關鍵詞：網絡安全；VLAN劃分；用戶權限；安全策略；病毒防范AbstractWith the rapid developinent of the compiHer technology, the Internet is more and more widel

3、y, more and more application systems running in network environment.through a variety of information network transmission is also increasing. The app lication of computer technology in small and medium-sized enter prises at p resent is so, the small and medium-sized enterprises have established ente

4、rprise website.email system, and have implemented ERP, e-comnierce, IJR and other infonnation systems, many important information are stored in the network server, so the security of network system. This requires us to study on security issues, the establishment of network security in the multi-leve

5、l system of small and medium enter prises.Planning design and Implementation Based on the small and medium-sized enter prise network security, security problems of the small and medium-sized enter prise network system are analyzed, in order to solve these p robleins are given the general solution an

6、d in the small and medium-sized enter prises in the imp leinentation of.Through the planning design and implementation of small and medium-sized enter prise network security, imp rove the small and medium-sized enter prise network system security and stability. At the same time, with the continuous

7、developnlent of computer technology, put forward higher requirements on the security of the network system, so small and medium-sized enter prises will be based on the develo pment of the network system, further planning and design of network security system is more suitable for the development of s

8、mall and medium enterprises, informatization of small and medium enterprises to meet the demand of the development of.Keywords: network security; user rights; security policy; virus preventionAbstractIIIII1.21.3緒論研究的背景研究的意義研究內容中小型企業(yè)網絡安全問題及規(guī)劃設計2. 1中小型企業(yè)網絡安全存在的問題 2. 2網絡系統(tǒng)平臺安全系統(tǒng)設計2. 2. 1微軟域用戶策略部署方案設計 2

9、. 2. 2防火墻部署及VLAN規(guī)劃設訃2. 3用戶權限管理系統(tǒng)設汁2. 3.1用戶與角色管理設訃 2. 3. 2資源管理設計 2. 3. 3審計管理設計102. 4防病毒系統(tǒng)設訃第3章網絡安全方案實施3. 1域策略及復雜密碼策略的實施 3. 2網絡VLAN劃分及防火墻實施 3. 3補丁自動更新策略的實施 3. 4殺毒軟件的下載及使用結束語參考文獻第1章緒論IJ研究的背景隨著計算機技術的飛速發(fā)展，通過網絡傳輸?shù)母鞣N信息越來越多，各種計算 機應用系統(tǒng)都在網絡環(huán)境下運行。U前中小型企業(yè)許多重要信息都存儲在網絡服 務器中，因此網絡系統(tǒng)的安全至關重要。但是，山于在早期網絡協(xié)議設計上對安 全問題的忽視，

10、以及在管理和使用上的無序狀態(tài)，使網絡自身安全受到嚴重威脅。中小型企業(yè)在網絡安全上同樣面臨許多問題，例如郵件傳輸安全問題，大量垃圾 郵件攻擊問題，病毒傳播問題，信息資源非法訪問等問題，這就要求我們對網絡 系統(tǒng)安全性進行深入研究和分析，建立一套安全的網絡系統(tǒng)架構。本文主要針對中小型企業(yè)U前存在的典型網絡安全問題進行分析研究，規(guī)劃 相應的安全設計，找出相應的解決措施。通過一系列安全設計和安全措施的實施, 有效地提高了中小型企業(yè)網絡系統(tǒng)的安全性，保證企業(yè)網絡信息系統(tǒng)的安全運 行。12研究的意義U前我們許多數(shù)據的存儲和傳輸以及許多業(yè)務的交易都是通過網絡進行的,因此網絡系統(tǒng)的安全非常巫要。許多地區(qū)都出現(xiàn)了

11、基于網絡的犯罪行為，黑客攻 擊，數(shù)據資料泄密，病毒破壞等已經成為制約網絡發(fā)展的重要因素。國內外都開 展了許多基于網絡安全的研究工作，如防火墻技術、防病毒技術、入侵檢測技術 等，并推出了許多基于網絡安全的產品。隨著網絡應用的不斷深入，對網絡安全的要求不斷提高，同時許多破壞網絡 安全的手段也越來越高明，這就要求我們不斷深入研究各項網絡安全新技術，并 將其應用到網絡中，進一步提高網絡的安全性，才能滿足快速發(fā)展的基于網絡的 各項應用的要求13研究內容本文對中小型企業(yè)網絡信息安全的規(guī)劃設計和實施進行了全面系統(tǒng)的論述, 主要內容如下:第一章介紹了本項U的實施的背景與意義。第二章論述了網絡安全問題和規(guī)劃設計

12、，主要從網絡系統(tǒng)平臺安全設計、用 戶權限設計、防病毒系統(tǒng)規(guī)劃設計等兒個方面進行了詳細論述。第三章論述了網絡平臺安全系統(tǒng)的實施，包括域用戶策略、VLAX和防火墻、 復朵密碼策略、補丁更新策略及傳輸加密系統(tǒng)的實施。最后主要對網絡系統(tǒng)安全規(guī)劃設計和實施過程進行總結。L4虛擬局域網(VLAN)在企業(yè)中的應用網絡VLAN技術近年來已經發(fā)展成為山具有交換功能的局域網解決方案的整 合主要功能之一。隨著網絡硬件性能的不斷提高、成本的不斷降低，U前新建立 的局域網基本上都采用了性能先進的快速以太網或千兆網技術，其核心交換機釆 用三層交換機，它能很好地支持VLAN技術，從而使網絡工作組的劃分突破了地理 位置的限制

13、，而完全可以依據管理功能來劃分7。對以前很多企業(yè)網而言一般都 采用的是交換技術的網絡模式,它們往往釆用物理網絡的手段進行網絡結構的劃 分，這種劃分可能導致網絡安全和運行效率方面存在缺陷，在一定程度上也限制 了網絡的靈活性。VLAN的出現(xiàn)則解決了這個問題，一個VLAN可以根據不同部門 職能、對象或者應用將不同地理位置的網絡用戶進行劃，并分為?個邏輯網絡。一 個端口只能標記一個VLAX,-個VLAN中的所有端丨只能擁有一個廣播域，而處 于不同VLAX的端口則可以共學不同的廣播域，所以說對企業(yè)網老說,VLAN技術提 供了一個網段和機構的彈性及合機制，從而避免了廣播W暴的產生。一般而言, 一個大型集團

14、企業(yè)往往有若干個二級單位，可以釆用VLAX的劃分技術，進行虛擬 局域網的設置來保證集團整體網絡的運行穩(wěn)定性以及不同職能部門管理的安全 性和方便性。第2章中小型企業(yè)網絡安全問題及規(guī)劃設計2.1中小型企業(yè)網絡安全存在的問題現(xiàn)有的企業(yè)網絡主要存在下面的問題:1、弱口令造成信息泄露的威脅山于中小型企業(yè)應用系統(tǒng)較多，部分員丄安全意識淡薄，許多應用系統(tǒng)登陸 密碼非常簡單，復雜度不夠，使系統(tǒng)密碼容易被破譯。中小型企業(yè)U前使用的各 類系統(tǒng)較多，包括郵件、ERP、內部辦公網，電子商務系統(tǒng)等，面對眾多的系統(tǒng), 員工要設置各類賬戶的密碼，非常繁瑣，而且不便于記憶9因此許多員工將密碼 設置為簡單密碼，并且g期不對密碼

15、進行更改。這樣容易產生信息泄露問題，一 些攻擊者會竊取密碼，非法進入系統(tǒng)獲取系統(tǒng)資料。如果重要資料被竊取，將會 產生嚴巫后果。2、網絡病毒的威脅中小型企業(yè)員工數(shù)量較多，絕大多數(shù)員工都配有單獨使用的訃算機，并且所 有計算機都可以訪問互聯(lián)網。員丄根據自己的悄況自行安裝防病毒系統(tǒng)，山于員 工對病毒預防知識和防病毒軟件的使用方法掌握1W況不同，部分員工不能夠正確 使用防病毒系統(tǒng)，不能夠保證防病毒代碼和病毒庫的及時更新，因此容易造成計 算機感染病當感染病毒的機器增多后，會引起部分網絡或者整個網絡速度急 劇下降其至癱瘓，造成許多員工無法正常上網。部分員工的計算機山于感染病毒而無法正常工作，有些計算機還出現(xiàn)

16、計算機數(shù)據丟失等問題，嚴重影響公司 員工正常工作。另外感染病毒的員丄因重裝系統(tǒng)而占用許多工作時間，影響工作 的正常進行。3、企業(yè)主干網沒有劃分VLAN中小型企業(yè)網絡系統(tǒng)龐大，眾多計算機都在同一網段上，系統(tǒng)沒有劃分VLAN.使網絡中某一點出現(xiàn)故障就會影響一片。而且因為沒有劃分VLAN,計算機可以隨意訪問。出現(xiàn)網絡事故，很難追查，出現(xiàn)網絡故障也不方便定位。4、安全漏洞只要有程序，就可能存在漏洞，現(xiàn)行的各種操作系統(tǒng)及應用軟件都不同程度 地的存在漏洞，兒乎每天都會有新的漏洞被發(fā)現(xiàn)并公布出來，殲外，操作系統(tǒng)本 身存在一些隱蔽通道，這些都有可能成為黑客的通道。同時，操作系統(tǒng)都包含了 一些常見的通用。同時，

17、操作系統(tǒng)都包含了一些常見的通用服務，如果安裝時沒 有關閉不相關的服務，就有可能成為黑客入侵的途徑。只要擁有一定技術心懷不 軌的人，都可能利用這些漏洞進行攻擊，從而使某些程序或整個網絡喪失功能, 或者竊取數(shù)據，直接威脅到企業(yè)的網絡安全。5、沒有保障的信息安全山于管理、資金和技術等方面的原因，中小企業(yè)的安全問題一直隱患重a。中小企業(yè)的信息安全管理在安全性方面普遍存沒有嚴格的規(guī)范和制度，存在著嚴 巫漏洞，人員的素質和技術水平與大型企業(yè)相比，有較大的差距，所有在企業(yè)信 息安全的內部脆弱性比大型企業(yè)存在更多的漏洞和不足。因為企業(yè)內部威脅也外 部威脅提供了可能。山于網絡維護、運行、升級等事務性工作繁重而且

18、成本較高, 這也使得善于精打細算的中小型企業(yè)在信息安全管理上進退兩難。中小型企業(yè)用 戶的局域網一般來說網絡結構不太復雜，主機數(shù)量不太多，服務器提供的服務相 對較少。這樣的網絡通常很少其至沒有專門的管理員來維護網絡的安全，這就給 黑客和非法訪問提供了可乘之機。6、計算機命名不規(guī)范中小型企業(yè)網絡中計算機數(shù)量非常多，但山于中小型企業(yè)沒有制定統(tǒng)一的命 名規(guī)范，許多計算機用戶根據自己的喜好隨意命名，一旦計算機出現(xiàn)問題，如感 染病毒，影響網絡正常運行時，無法定位具體的計算機并確定計算機的使用人員, 因此不能夠及時排除故障，影響問題解決的時間。7、用戶權限混亂隨著信息化建設的深入，越來越多的重要信息存放在網

19、絡信息系統(tǒng)中，對于 信息的安全管理越來越巫要。但山于系統(tǒng)設計之初，信息量較少，缺乏對權限控 制的有效管理，許多用戶可以存取或更改與用戶本身的權限不相符的信息。同時, 山于權限管理不嚴格，部分重要信息被非法用戶竊取，造成信息系統(tǒng)安全隱患。2.2網絡系統(tǒng)平臺安全系統(tǒng)設計網絡系統(tǒng)平臺主要是指中小型企業(yè)員工使用的網絡系統(tǒng)設施，以及數(shù)據傳輸 等應用，通過對網絡平臺實施各項安全措施，將有效提高網路系統(tǒng)的安全性和穩(wěn) 定性，保證網絡系統(tǒng)的安全穩(wěn)定地運行。221微軟域用戶策略部署方案設計隨著互聯(lián)網的不斷發(fā)展、中小型企業(yè)局域網和廣域網規(guī)模和復雜性的不斷提 高以及各種應用系統(tǒng)的開發(fā)和投入使用，基于U錄服務的需求也不

20、斷增多。中小型企業(yè)網絡由局域網和廣域網構成，中小型企業(yè)總部局域網通過防火墻接入互聯(lián)網，中小型企業(yè)與各地平臺通過VPN進行連接。如圖21所示:、VP、分i機構辦公、,/ 4心|血VPS分支機構辦公n絡圖21中小型企業(yè)網絡拓撲根據中小型企業(yè)網絡系統(tǒng)結構，考慮整個中小型企業(yè)局域網內部員工及各地平臺員工都能方便快捷地加入并登陸域，獲取域中的各項信息，同時乂能夠保證域控制器系統(tǒng)穩(wěn)定運行，在域架構設計中釆用以下模式：中小型企業(yè)總部采用3臺域控制器，將域的各項角色分配在不同的服務器上，同時3臺域控制器在域賬 號等信息上互相同步，在每一個分支機構平臺上部署2臺域控制器，兩臺域控制 器互為備份，同時每隔一段時間

21、和中小型企業(yè)總部進行信息同步。中小型企業(yè)每 位員工都要求登錄域，登陸域后可以訪問中小型企業(yè)的相關資源，同時可以通過 域控制器來部署相關的安全策略。復雜密碼策略是其中一項重要策略。復雜密碼 是指密碼長度8位以上，使用大寫、小寫、數(shù)字和特殊字符其中3種以上字符。山于復雜密碼使用字符種類較多，擴大了密碼空間，同時對最小密碼長度進行了 限制，因此有效地增加了密碼的安全性，防止不法分子利用密碼破譯工具進行破 譯，保證了系統(tǒng)的安全性。U詢中小型企業(yè)網絡規(guī)模龐大，訃算機數(shù)量較多，山于計算機使用人員技術水平和安全意識參差不齊，導致一些計算機出現(xiàn)安全漏洞和感染病毒等問題，影 響整個網絡系統(tǒng)的穩(wěn)定運行，因此需要在

22、整個網絡中建立il算機快速定位系統(tǒng), 一旦在網絡上監(jiān)測到il算機出現(xiàn)問題，能夠快速準確地査找到計算機和相關使用 人員，盡快解決問題。222防火墻部署及VLAN規(guī)劃設計為了提高進一步提高網絡系統(tǒng)的安全性，在中小型企業(yè)內部實施了防火墻部 署和VLAN的劃分。在中小型企業(yè)廣域網的主要互聯(lián)網出口都配置防火墻，在防火墻的DMZ區(qū) 域主要放置公司需要對外發(fā)布的服務器，員工使用的計算機和對內發(fā)布的應用系 統(tǒng)全部位于內部安全區(qū)域內，員工通過防火墻NAT,轉換形式訪問互聯(lián)網。VLAN技術己經成為提高網絡運轉效率、提供最大程度的可配置性而普遍采用非常成熟的技術，因此中小型企業(yè)內部整個局域網絡采用VLAN劃分技術,

23、 將局域網絡劃分成不同的子網，各子網之間的訪問受到限制，避免病毒的傳播及 信息泄露。另外VPN技術已經成為在廣域網和互聯(lián)網上進行安全、可靠.保密 信息傳輸和應用操作的首選技術，中小型企業(yè)信息系統(tǒng)要滿足移動辦公、異地辦 公、Extranet等當前和未來的需求，相應的網絡技術必須支持VPN技術。中小型企業(yè)采用CISCO6513和CISCO4507作為整個網絡的主交換系統(tǒng)，利 用兩臺交換形成雙機熱備，每臺交換機上默認的VLAN1作為管理VLAN.配置 相應的IP地址，并在CISCO6513和CISCO4507上劃分十五個VLAN,用作管理VLAN的VLANI是默認的，不用劃。VLAN間做路山，使各個

24、VLAN間可 以互相訪問。所有交換機采用VTP技術，把CISCO6513和CISCO4507設為VTPSERVER,所有 CISCO3550-48-SMI 交換機設為 VTP CLIENT, VTP DOMAIN均設為 LANGCHAO, CISCO 6513 和 CISCO 4507 與所有 CISCO3550-48-SMI 之 間分別做TRUNK,封裝類型選擇ISL。使用這項技術，只需要在CISCO6513上 劃分好所有的VLAN, CISCO4507和CISCO3550-48-SMI交換機就會自己學到所有的VLAN,不需要再額外劃分，不僅可以大大減少工作量，而且還可以大大提高網絡的易維護

25、性。網絡VLAN劃分悄況如圖2-2所示:g9aVLAN2VLANIVLAN3PruStckLASCoulyst65094006SOZlqlSL -Configured Fast Elhcmcl Backbone圖2-2網絡VLAN劃分示意圖VLAN不受樓和交換機的限制，即VLAN可以跨樓和跨交換機。各個樓和各個交換機上的同名稱VLAN屬于同一個VLAN,例如VLAN XINXIGU ANLL無論哪棟樓上的和哪個交換機上的，只要名稱是VLAN XINXIGU ANLI上的數(shù)據，CISCO6513和CISCO4507交換機就知道是來自同一 VLAN的數(shù)據。2.3用戶權限管理系統(tǒng)設計隨著各項應用系統(tǒng)

26、的實施，越來越多的信息資源存放在網絡服務器中，對于 各類資源訪問的權限控制就顯得越來越重要，本項U通過實施權限管理系統(tǒng)，對訪問信息資源的權限進行有效管理。權限管理系統(tǒng)將用戶、角色權限、能夠訪問 的數(shù)據資源進行了清晰的界定。用戶同角色關聯(lián)，角色同功能權限關聯(lián)，從而有 效的實現(xiàn)了權限管理的控制。權限管理系統(tǒng)包括用戶/角色管理、自助服務、資 源管理、審計管理四個部分。用戶/角色管理是針對用戶、角色、角色模板以及 不相容角色集等進行管理；自助服務主要完成切換機構、重置密碼、修改個人信 息等操作；資源管理主要是定義系統(tǒng)可訪問的資源；審計管理則是針對系統(tǒng)管理 人員來完成在線用戶的査詢、在線用戶歷史記錄的查

27、詢以及系統(tǒng)的安全日志管理 等。231用戶與角色管理設計用戶管理主要實現(xiàn)在系統(tǒng)中根據業(yè)務需要對用戶進行管理，包括增加用戶, 修改用戶和刪除用戶等；在整個系統(tǒng)設立一個隸屬于中小型企業(yè)的中小型企業(yè)公 用賬號，授予該賬號的權限被中小型企業(yè)內的所有用戶自然繼承；進行安全級別 管理，對于賦予該用戶的數(shù)據資源進行過濾，如果該用戶的安全級別低于賦予的 數(shù)據資源的級別，則用戶不能訪問該資源；每次創(chuàng)建一個法人組織機構，就自動 創(chuàng)建一個該法人組織機構下的公司級公用賬號，授予該賬號的權限被法人內部的 所有用戶自然繼承。除中小型企業(yè)公共用戶和公司級公共用戶之外的用戶必須自 動代理中小型企業(yè)公共賬號和公司級公共用戶。角色

28、管理主要實現(xiàn)根據業(yè)務需要 對系統(tǒng)中的角色進行管理，包括對角色的增加、修改和刪除。不相容角色之間不 能建立繼承關系。不相容角色集建立后，在賦予用戶角色時，可以檢查賦予的角 色是否沖突，如果角色不相容，系統(tǒng)會自動提示。系統(tǒng)管理員操作功能用例圖見圖2-5：圖2-5系統(tǒng)管理員操作功能用例圖用戶與角色管理數(shù)據庫主要用于用戶數(shù)據登陸驗證，存儲用戶信息，角色信 息以及用戶信息與角色信息之間的關聯(lián)信息等，部分數(shù)據庫列表如下:表21用戶信息數(shù)據庫表字段名稱數(shù)據類型字段長度字段含義UseridBigint8用戶編號UsernameVarchar15用戶姓名PasswordVarchar10口令EmailVarch

29、ar80郵件地址PermissionsTinyint1權限Reg TimeDatetime8注冊時間Last LoginDatetime8最后登錄時間LoginAccountsinallint2登錄計數(shù)表22角色信息數(shù)據庫表字段名稱數(shù)據類型字段長度字段含義RoleidBigint8角色編號FilterconditionChar2過濾條件RemarkVarchar20備注233審計管理設計審計管理主要包括在線用戶管理，在線用戶歷史記錄管理，安全日志管理等 功能，通過審計管理系統(tǒng)的實施，增強了系統(tǒng)的安全性。在線用戶管理主要實現(xiàn) 根據業(yè)務需要對在線用戶進行查詢，可以査看在線用戶的詳細信息，必要時還可

30、 以終止特定用戶的會話。在線用戶歷史記錄管理的主要功能是根據業(yè)務需要查詢 出用戶的在線歷史記錄，此功能主要山超級管理員和系統(tǒng)管理員進行操作。安全 日志管理主要實現(xiàn)根據業(yè)務需要對時間段內用戶的操作進行查詢審計，可以查詢 時間段內所有用戶做的操作，并可以批量刪除某時間段的內容。安全日志管理還 可以選擇某一賬戶來査看該賬戶的明細，并對某一賬戶在某一時間段進行會話追 蹤。系統(tǒng)管理員操作功能用例圖見圖26：圖26系統(tǒng)管理員操作用例圖審計管理主要實現(xiàn)對用戶的訪問記錄進行管理的功能，部分數(shù)據庫列表設計表25用戶訪問記錄表字段名稱數(shù)據類型字段長度字段含義UseridChar10用戶帳號UsernameChar

31、12用戶名稱IpaddressVarchar16用戶IP地址IndatatiineDatetime18訪問時間Recordty peInt2日志類型Op eraliont ypeInt2操作類型OutdatatimeDatatime18退出時間2.4防病毒系統(tǒng)設計山于中小型企業(yè)員工較多，而且每人一臺計算機，另外中小型企業(yè)應用服務 器也比較多，網絡規(guī)模較大，因此在防病毒部署上需要全面考慮。進行全方位，多層次防病毒部署部署多層次病毒防線，分別是服務器防病毒、郵件防毒、客戶端防毒，保證 斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面防范:(2) 郵件病毒的防范作為防病毒的重點U前中小型企業(yè)許多辦

32、公信息通過郵件進行傳輸，郵件傳播就成為病毒傳播最主要的方式，中小型企業(yè)也曾經發(fā)生過兒次通過郵件傳播病毒造成大面積病毒 感染的事件，因此針對郵件服務器專門進行病毒防范，最大程度消除來自郵件方 面的病毒隱患。(3) 防毒不完全依鼎病毒代碼，而是對病毒發(fā)作整個生命周期進行管理當一個惡性病毒入侵時，整個防毒系統(tǒng)要有完善的預警機制.清除機制、修復機制來 保障病毒的高效處理，特別是對那些利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網 絡的新型病毒要有很好的防護手段。即防毒系統(tǒng)在病毒代碼到來之前，就可以通 過網關可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手 段來對病毒進行有效控制，使得新病毒未進

33、來的進不來、進來的乂沒有擴散的途 徑。在清除與修復階段要對這些病毒高效清除，快速恢復系統(tǒng)至正常狀態(tài)。(4) 對中小型企業(yè)整個防病毒系統(tǒng)進行中央集中控管中小型企業(yè)各地平臺網絡通過VPN與中小型企業(yè)總部連接，因此需要構建 跨廣域網的集中管理的防病毒系統(tǒng)，以便保證整個防毒系統(tǒng)可以從管理系統(tǒng)中及 時得到更新，同時乂使得管理人員可以在任何時間、任何地點通過瀏覽器對整個 防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被系統(tǒng)管理員隨時管理, 保證整個防毒系統(tǒng)有效、及時地攔截病毒。(5) 采用技術手段對中小型企業(yè)內部計算機防病毒系統(tǒng)安裝悄況進行監(jiān)控編制軟件對中小型企業(yè)內部計算機防病毒系統(tǒng)安裝情況進行監(jiān)控和統(tǒng)

34、計，對于沒有 安裝防病毒系統(tǒng)的用戶進行統(tǒng)計，并通過郵件等方式通知其安裝中小型企業(yè)統(tǒng)一 的防病毒系統(tǒng)，對于多次檢測仍未安裝中小型企業(yè)統(tǒng)一的防病毒系統(tǒng)的員工將采 用封閉帳號，切斷網絡等策略。第3章網絡安全方案實施3.1域策略及復雜密碼策略的實施為了加強整個中小型企業(yè)網絡系統(tǒng)的安全性，在整個中小型企業(yè)內部實施了 微軟的域用戶管理策略，每一位員工進入公司后都需要登錄域才能夠訪問公司資 源，以保證公司網絡系統(tǒng)資源的安全，用戶加入域請況見圖31：盼Z躺更g影響計算機名()；jj完整的計宜機名稱.hoe. langchfte. com干Ihomt ic- co*r工作組也)確定 I 職消圖31用戶加入域圖示

35、采用微軟域登錄策略后，用戶登錄系統(tǒng)必須進行域用戶密碼驗證，這樣增強 了系統(tǒng)的安全性，同時防止了非法用戶入侵網絡系統(tǒng)。為了進一部增強系統(tǒng)的安 全性，對于用戶密碼全部實施復雜密碼策略，所有用戶密碼要求至少8位以上, 包括數(shù)字、大寫字母、小寫字母和特殊字符等至少3種以上字符。實施復雜密碼 策略，保證了密碼長度，增加了密碼空間，可以防止密碼被破譯。應用該策略后, 如果用戶不使用復雜密碼，系統(tǒng)將拒絕接受用戶的密碼設置，并提示用戶使用復 雜密碼。復朵密碼策略配置圖如圖3-2所示:茅安全設置 三按尸策略 碼策略衛(wèi)奉地策略Et!二1公鑰策略晞一1軟件眼制策崎E grp壯策略在本地計算牌，_ _二券郵哦級特臺1

36、融要朿 莎癥碼長度*小值 葡趙碼量長便席期限 弄密砰播短便用期限 圜強制總礙歷史 君用可還庫的加密耒儲存eis8個字符180天0夭0個記住的密碼己禁用圖3-2復雜密碼策略配置圖在整個中小型企業(yè)實施了域用戶管理策略后，為了加強應用系統(tǒng)的安全管 理，方便中小型企業(yè)用戶對應用系統(tǒng)的使用，對所有應用系統(tǒng)登陸方式進行了整 合，實現(xiàn)單點登錄，即所有用戶登錄到域后，可以同時實現(xiàn)對應用系統(tǒng)的驗證, 在登錄應用系統(tǒng)時，系統(tǒng)調用登錄域的驗證信息，進行域用戶的用戶名和密碼驗 證，如果系統(tǒng)驗證通過，則可以直接登錄到應用系統(tǒng)中，同時在系統(tǒng)日志中可以 記錄該員工的登錄賬號、登錄時間、登錄時使用的丁地址等信息。使用域信息進

37、行單點登錄應用系統(tǒng)的順序圖如圖3-3所示:圖3-3單點登錄應用系統(tǒng)順序圖使用域信息進行單點登錄應用系統(tǒng)的部分程序代碼詳見程序31：程序3-1單點登陸程序public static ADConirol,LoginResull Login(string UserName, string Password) /first check if the logon exists based on the username and password /Dircctoiytntiy de = GetUser(UscrNaine,Password); if(IsUserWid(UserName,Password

38、) DirectoiyEniiv de = GeiUsertUscrName)：if(dc Full)/convert the accountConirol value so dial a logical operation can be performed/lo check of the Disabled option exists.Int userAccouniControl 二 Convert. Tolnt32(dc Properties r userAccountControrilOl);de.CloseO；/if (he disabled item docs not exist th

39、en the account is active if(nsAccountAciive(userAccountControl)return LoginResult,LOGIN_USER_ACCOUNT_INACnVE;elsereturn LoginResultXOGINOK;elsereturn LoginResulLLOGIN-USERJX)ESNT_EXIST;elsereturn LoginResuhLOGrNJJSERJX)ESNT_EXIST;通過實施域用戶驗證登錄應用系統(tǒng)，在域中實施統(tǒng)一的安全策略，如復雜密碼策略，密碼有效期策略等，這些安全策略也相應地應用到了應用系統(tǒng)中，使所有的

40、應用系統(tǒng)都采用統(tǒng)一的安全策路，從而保證了系統(tǒng)的安全性。3.2網絡VLAN劃分及防火墻實施為了保證中小型企業(yè)網絡信息的安全，在中小型企業(yè)內部實施了防火墻并進行了網絡VLAN的劃分，通過VLAN的劃分，可以控制VLAN之間的訪問，防止病毒等的傳播，增強了網絡的安全性。防火墻的部分配置信息詳見程序32：程序3-2防火墻配置信息PIX Vereiori63(3) interface ethemetO aulo inicrfacc c the met I auto interic cUicmet! aulo imerfxc gb-ethemeto KKtOutn shutdown interface g

41、b-cthemcll ICKOauto shutdown nameir ethemetO outside secuntyO rumeif ethemet 1 inside secuntv I(K) nameif 鋭hemet2 dmz secrib4 naiiwif gb-ctiKmclO iiufi sccurityG nameif gb-etiiemet I ntt4 seainlyX hostname JTBJPIX525 doniaiii-iuinc Ic coni flKup prolocol dns maxiiniim-leiiglh 512 fiKup protocol ftp

42、21 fixup protocol li323 h225 140 fixq) protocol h323 ras 1718-1719 fixup protocol hitp 80 fbuip proUKul rbli5i4 fixup pnMOCOl rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 50(Q no fixup proiocol skinny 2000 no fixup protocol smlp 25 fixup protocol sqlnct 1521 fixup proiocol Iftp 69namespag

43、er lines 24 mtu cutside 1500 mtu inside I5(X) mtudmz 1500 mtu iniD 1500 mtu inlf4 15C0 tp addxss outside 10.2 19165 255.255 255,0 ip address inside 192.168. IAS 255.255 255,252 tp Mrlfez rim? x 1州*, J;-KR步當訊BBIB分all-U244 tax 2006-11-17442HflffS14-需事文忡的KV1*7 *網的r亶磯IM1g 丄J郴；a SZXMjEX _93千華關關約昱U崎豪勤XVtHdAE1SI9步巴（hoTs個嚴卻。個分負.圖35補丁更新悄況監(jiān)控圖i計機名-損作系蜒Qsgaowd.home WndowsXP gsgaoweiWindows XP人 Win如s爍 gsgaoyf, home, langcbao comWindaws JOb gsgaoyf.home.lariQchaoxomWindows XPgs9yf .home, lanqchoxornWkidowsXPQSOdoyf.horn