公司企業(yè)網(wǎng)絡(luò)安全的管理策略及技術(shù)

1、公司企業(yè)網(wǎng)絡(luò)安全的管理策略及技術(shù)摘要： 簡述計算機(jī)網(wǎng)絡(luò)安全涉及的三個方面：企業(yè)的安全策略、網(wǎng)絡(luò)自身安 全及網(wǎng)絡(luò)應(yīng)用安全問題;分析TCP/IP協(xié)議族存在的安全漏洞；介紹實 現(xiàn)Intranet/Internet安全的常用技術(shù)，信息加密方法、合法用戶身份驗 證、訪問網(wǎng)絡(luò)資源權(quán)限控制及防火墻技術(shù);盡管內(nèi)外網(wǎng)絡(luò)的直接連接完 全被防火墻阻斷，但內(nèi)部網(wǎng)絡(luò)用戶可以自由地訪問內(nèi)部和外部網(wǎng)絡(luò)源。 從分析上海煙草（集團(tuán)）公司企業(yè)信息網(wǎng)絡(luò)目前存在的安全問題以及一 個企業(yè)的信息網(wǎng)絡(luò)應(yīng)當(dāng)具備的安全體制和所應(yīng)有的安全策略及技術(shù)著 手，從而勾畫出上海煙草（集團(tuán)）公司安全的企業(yè)信息網(wǎng)絡(luò)。關(guān)鍵詞： 企業(yè)網(wǎng)絡(luò),安全策略，TCP/I

2、P,Intranet，Internet，防火墻， 代理服務(wù)器近年來，計算機(jī)網(wǎng)絡(luò)的安全問題成為熱門話題。許多專家學(xué)者都在從事 這方面的研究工作。各大計算機(jī)及網(wǎng)絡(luò)設(shè)備公司也投入大量的人力物力從事這方面的研究與開發(fā)，推出相應(yīng)的安全產(chǎn)品。 許多單位采用Internet技術(shù)構(gòu)建自己的內(nèi)部私有網(wǎng)絡(luò)Intranet。規(guī)?？梢允蔷钟蚓W(wǎng)（LAN)，也可以將遍布世界各地的分支機(jī)構(gòu)都連接在一起構(gòu)成的廣域網(wǎng)(WAN）。在Intranet中，網(wǎng)絡(luò)安全問題更加重要.首先，在Intranet與Internet的交界處,必須有很好的安全措施,否則將危及內(nèi)部私有網(wǎng)絡(luò)的安全.另外，在企業(yè)網(wǎng)的內(nèi)部也同樣存在著安全問題，如各部門間的

3、安全措施，哪些員工可以訪問哪些資源,核心資料的保密等。目錄中英文摘要( 1 ）前言（ 1 )關(guān)鍵詞( 1 )一、計算機(jī)網(wǎng)絡(luò)安全管理策略( ) 1。1企業(yè)的安全策略( ） 1.2 計算機(jī)網(wǎng)絡(luò)自身的安全( ） 1.3 網(wǎng)絡(luò)管理的安全 （ ）二、TCPIP協(xié)議族中的安全隱患( ） 2。1 源路由( ) 2。2 路由信息協(xié)議（ 2 ） 2.3 網(wǎng)際控制報文協(xié)議（ ) 2。4 Finger服務(wù)（ ) 2.5 電子郵件( ）三、實現(xiàn)計算機(jī)網(wǎng)絡(luò)安全的常用技術(shù)( ) 3.1 加密（Encryption）（ ） 3。2 身份驗證( ) 3。2。1 基于令牌的身份驗證（ ） 3。2.2 KERBEROS（ ) 3

4、。2.3 路由器方面的身份驗證（ ) 3.3 訪問控制（Access Control）( ） 3。3.1路由器的訪問控制（ ） 3.3.2 小型機(jī)、服務(wù)器的訪問控制( ) 3。4 防火墻技術(shù)( ) 3。4。1 過濾路由器（Filtering Routers）（ ） 3。4.2 基于主機(jī)的Firewall（Bastion Host）（ ) 3。4.3 構(gòu)成企業(yè)的雙防火墻結(jié)構(gòu)（ )四、 企業(yè)信息網(wǎng)絡(luò)安全管理的實施規(guī)劃( ) 4。1 加強(qiáng)網(wǎng)絡(luò)邊界安全建設(shè)（ ) 4。2 建設(shè)企業(yè)信息化網(wǎng)絡(luò)系統(tǒng)的入侵檢測和漏洞掃描系統(tǒng)（ ) 4。3 建設(shè)企業(yè)信息化安全審計系統(tǒng)( ) 4。4 采用全面的、多層次的分層病毒

5、防御戰(zhàn)略體系（ ) 4。5 建設(shè)企業(yè)統(tǒng)一的CA認(rèn)證中心，提高電子商務(wù)的安全度（ ）五、 結(jié)束語（心得體會與經(jīng)驗總結(jié))( ）六、 幾點不足與努力方向 ( ）一、 計算機(jī)網(wǎng)絡(luò)安全管理策略計算機(jī)網(wǎng)絡(luò)安全問題主要涉及安全策略，計算機(jī)網(wǎng)絡(luò)自身安全和網(wǎng)絡(luò)應(yīng)用安全三方面，以及一些基本技術(shù)和服務(wù)。在實際的Intranet網(wǎng)絡(luò)中,必須根據(jù)各企業(yè)的特點，綜合運(yùn)用這些技術(shù)，來加強(qiáng)Intranet網(wǎng)絡(luò)安全.一般來說，網(wǎng)絡(luò)安全策略主要集中在阻截入侵者,而不是試圖警戒內(nèi)部用戶。它的工作重點是阻止外來用戶的突然侵入和故意暴露敏感性數(shù)據(jù)，而不是阻止內(nèi)部用戶使用外部網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)安全策略的一個目標(biāo)就是要提供一個透明機(jī)制,以便這

6、些策略不會對用戶產(chǎn)生障礙。1企業(yè)的安全策略 企業(yè)的安全策略在網(wǎng)絡(luò)安全中起著重要作用。任何一個企業(yè)或機(jī)構(gòu)，當(dāng)它要建設(shè)Intranet網(wǎng)絡(luò)時，首先必須確定它將采用什么樣的對內(nèi)和對外的安全策略。以便企業(yè)對安全性問題有了通盤的考慮，并對出現(xiàn)問題時需要采取的措施也有所準(zhǔn)備。網(wǎng)絡(luò)的安全策略可以有以下三種: 1根本不做任何防護(hù)，出了問題再說。如果某些單位沒有什么特別需要保密的資料，并且上網(wǎng)的機(jī)器主要目的只是宣傳廣告等,即使被破壞也不會造成很大損失,而且恢復(fù)起來不很麻煩，可采取這種策略。 2采取極嚴(yán)格的措施，不連網(wǎng)。某些有敏感信息的主機(jī)或LAN，不連在公用網(wǎng)上。對于軍事機(jī)密，政府重要部門，或公司的重要技術(shù)秘密

7、,在沒有十足把握的情況下，不要冒險連網(wǎng)。 3第三種策略是將計算機(jī)連在網(wǎng)上，采取一定的安全保護(hù)措施，如加一個防火墻（Firewall），或加密傳輸、進(jìn)行嚴(yán)格的身份確證、加訪問控制等。主要目的是保護(hù)合法用戶的正常使用，而非法用戶無法獲取或破壞信息。 基于上海煙草（集團(tuán)）公司計算機(jī)信息網(wǎng)絡(luò)目前的狀況和發(fā)展前景而言,綜合采用第2、3種安全策略是主動的、合理的和先進(jìn)的.換句話說，就是要采用先進(jìn)的手段主動出擊,加強(qiáng)安全防范。 盡管網(wǎng)絡(luò)安全很重要，但網(wǎng)絡(luò)安全與使用方便之間存在著矛盾.必須在風(fēng)險不方便性(Risk/Inconvenience)之間作選擇.網(wǎng)絡(luò)安全性最終是由網(wǎng)絡(luò)投資方的最高決策者制定他們的安全策

8、略,然后再采取相應(yīng)的技術(shù)措施加以實施。.2 計算機(jī)網(wǎng)絡(luò)自身的安全 計算機(jī)網(wǎng)絡(luò)自身的安全是指維護(hù)網(wǎng)絡(luò)設(shè)備的安全性，以保證計算機(jī)網(wǎng)絡(luò)的正常運(yùn)行. 任何一個網(wǎng)絡(luò)都有可能出現(xiàn)故障或遭到攻擊，所以,必須經(jīng)常對網(wǎng)絡(luò)進(jìn)行各種檢查和測試，作好日志和審計工作，發(fā)現(xiàn)問題及時修補(bǔ)。建設(shè)網(wǎng)絡(luò)管理中心站,將有助于網(wǎng)絡(luò)自身安全的實現(xiàn)。.3 網(wǎng)絡(luò)管理的安全 網(wǎng)絡(luò)管理基于網(wǎng)絡(luò)應(yīng)用層的協(xié)議。這些協(xié)議在最初設(shè)計時并沒有充分考慮到商業(yè)應(yīng)用，無可避免地存在一些安全漏洞，在應(yīng)用于商業(yè)領(lǐng)域后，或多或少的會出現(xiàn)一些安全性問題，我們必須對這些問題有足夠的重視，努力解決各種問題，避免損失。二、 TCPIP協(xié)議族中的安全隱患Intranet/I

9、nternet網(wǎng)絡(luò)體系結(jié)構(gòu)都是基于TCP/IP協(xié)議族的，TCP/IP協(xié)議盡管是在美國國防部的贊助下開發(fā)的，但是協(xié)議本身如源路由（Source Routing）、路由信息協(xié)議（RIP）、網(wǎng)際控制報文協(xié)議（ICMP)、Finger服務(wù)、郵局協(xié)議（POP）等也存在著安全漏洞。 。1 源路由 源路由是在數(shù)據(jù)包中指出要經(jīng)過的所有路由。有些路由器對源路由的反應(yīng)是使用其指定的路由,并使用其反向路由來傳送應(yīng)答數(shù)據(jù)，這就使得網(wǎng)絡(luò)黑客可以假冒一個主機(jī)的名義，通過一個特定的路徑來獲取信息。 。2 路由信息協(xié)議 路由信息協(xié)議，常用于在局域網(wǎng)（尤其是廣播介質(zhì)局域網(wǎng)）上傳播路由信息，對收到的路由信息并不檢驗,這就使得侵入

10、者可以給目標(biāo)主機(jī)以及沿途的每個網(wǎng)關(guān)發(fā)送虛假的路由信息。這將使所有要送往某個特殊的主機(jī)的包被送到侵入者的機(jī)器上。侵入者可以進(jìn)行觀察或可能的修改。然后將這些包重新發(fā)送，利用IP源地址路由,到達(dá)指定的目的地。采用這種方法，可以捕獲口令及其他敏感數(shù)據(jù). .3 網(wǎng)際控制報文協(xié)議 網(wǎng)際控制報文協(xié)議，是在TCP/IP協(xié)議組基本的網(wǎng)絡(luò)管理工具。也是在網(wǎng)絡(luò)層中與IP一起使用的協(xié)議。從技術(shù)上說，ICMP是一種差錯報告機(jī)制。通常ICMP攻擊相當(dāng)困難，但也還有可以利用的漏洞。因為ICMP具有重定向功能，能夠用來向主機(jī)提供更好的路由.而一些主機(jī)不對ICMP的重定向報文作合法性的校驗，這一性質(zhì)的攻擊產(chǎn)生的效果于基于RIP

11、攻擊的效果類似。另外,ICMP也可以用來實現(xiàn)拒絕服務(wù)的攻擊。假如侵入者知道了一個TCP連接的本地和遠(yuǎn)地的端口號,假冒一個ICMP包就可以中斷這個連接。如果某個服務(wù)器成了侵入者的攻擊對象，它只要不時發(fā)若干個ICMP包，切斷被攻擊對象對外的一切連接，那么這個服務(wù)器就無法正常工作。 。4 Finger服務(wù) 許多系統(tǒng)提供Finger服務(wù)，該服務(wù)顯示關(guān)于使用者的有用信息，如他們的全名、電話號碼、辦公室號碼等。這些信息對口令破譯者很有利。 .5 電子郵件 電子郵件（E-mail）使用的郵局協(xié)議(POP)允許遠(yuǎn)程用戶檢索存儲在中心服務(wù)器內(nèi)的郵件。使用含有用戶名和口令的單命令方法鑒別。這種將兩者結(jié)合在單個命令

12、里代替?zhèn)鹘y(tǒng)口令的使用，很容易受到線路竊聽者的利用.最新版本的郵局協(xié)議己將用戶名和口令分為兩個命令，這將有利于用戶身分的驗證的安全性.在許多場合都使用的“一次性口令”（onetime password)，是主機(jī)和許多用戶可用的設(shè)備共享一個密鑰，主機(jī)發(fā)布一個隨機(jī)詢問;雙方加密這個數(shù)字，并由用戶送回主機(jī)。隨機(jī)提問和回答，使得竊聽者無所作為。 以上的這些服務(wù)大多數(shù)已經(jīng)通過了補(bǔ)丁,解決了安全問題。三、 實現(xiàn)計算機(jī)網(wǎng)絡(luò)安全的常用技術(shù)計算機(jī)網(wǎng)絡(luò)安全技術(shù)主要涉及以下幾方面內(nèi)容：加密（Encryption）、身份驗證（Authentication)、訪問控制(Access Control)及防火墻(Firewa

13、ll）技術(shù)。.1 加密（Encryption）數(shù)據(jù)加密作為一項基本技術(shù)是所有通信安全的基石.數(shù)據(jù)加密過程是由形形色色的加密算法來具體實施,它以很小的代價提供很大的安全保護(hù)。在多數(shù)情況下,數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法.據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。 在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer；歐洲的IDEA

14、;日本的FEAL-N、LOKI91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。常規(guī)密碼的優(yōu)點是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。 在公鑰密碼中,收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰.比較著名的公鑰密碼算法有： RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-FiatShamir、零知識證明的算法、橢圓曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA，它能

15、抵抗到目前為止已知的所有密碼攻擊。 公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密體制。 基于上海煙草（集團(tuán)）公司的計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)流通的保密性和廣域網(wǎng)范圍內(nèi)數(shù)據(jù)線路的不斷增加的情況，要求有一種VPN加密技術(shù)來建造一個安全的企業(yè)網(wǎng)絡(luò)加密隧道，主要由企業(yè)城域網(wǎng)或廣域網(wǎng)的VPN接入模塊,Internet VPN接入模塊，Extranet VPN接入模塊三個模塊組成（見圖1）。 圖1 企業(yè)網(wǎng)絡(luò)加密隧道。2 身份驗證身份驗證是指確定

16、一個用戶的身份是否合法.口令是一種最簡單的身份驗證的手段,但是由于有的用戶長時間不更換口令，而且在多臺主機(jī)上使用同一口令，一旦某個人獲得了一個用戶的口令，他就可以訪問所有屬于那個用戶的所有資源,直到被發(fā)現(xiàn)或口令變更.2。1 基于令牌的身份驗證 令牌驗證類似于軟件狗或鑰匙盤,它是一個小設(shè)備,可以插在串口上或并口上,也可以是插在計算機(jī)上的軟盤.令牌驗證可以產(chǎn)生一個一次性的序列,而代替由用戶記憶長時間使用的一個長的密碼。主要有以下兩種實現(xiàn)算法：同步算法和挑戰(zhàn)應(yīng)答.。2。2 KERBEROS KERBEROS技術(shù)是我們上海煙草(集團(tuán)）公司計劃采用的身份驗證的主要方法之一。即每一位與計算機(jī)系統(tǒng)、計算機(jī)網(wǎng)

17、絡(luò)和計算機(jī)信息相關(guān)的工作人員都配備一張密碼卡，當(dāng)與一些重要的設(shè)備發(fā)生接觸時，需要經(jīng)過密碼的監(jiān)測及驗證，方可進(jìn)行實地操作。 具體的技術(shù)原理如下： Kerberos基于保密密匙的確證身份算法,使用DES加密方法。Kerberos作為被信賴的第三方分別與網(wǎng)絡(luò)上的每一個主體（Server或User）共同持有一個保密密匙。為了使一個用戶C能訪問服務(wù)器S,C必須從Kerberos得到一張ticket這張ticket是用S的密匙加密的，所以只有kerberos和S能讀懂它，從而確定C的身份。具體算法如圖2所示. 圖2 具體算法首先，（1）C向AS發(fā)請求以確認(rèn)身份，（2)AS返回給C一張通往TGS的ticke

18、t，（并用TGS的密匙加密）,另外還給C一個新密匙Kc,tgs并用C的密匙Kc加密。(3)C向TGS發(fā)請求，申請通往應(yīng)用服務(wù)器S的ticket，TGS接到請求后，首先用自己的密匙Ktgs解密ticketc,tgs，這樣得到新密匙Kc,tgs，解密ts Kc，tgs，判斷時戳ts是否有效，（4）如果有效則給C一張ticketc,s.并給C一個用Kc，tgs加密的新密鑰Kc，s（5）C用Kc,tgs解開包裝得到Kc，s，將ticketc，s及其應(yīng)用請求以加密Kc,s發(fā)往S，(6）實際上C己有了對S的訪問權(quán)限，S收到ticketc，S后以其Ks解密,取得Kc,s，解密用戶請求，將用戶所需信息以Kc,

19、s加密發(fā)還給用戶。當(dāng)這一次連接中斷，用戶希望再一次或希望與別的應(yīng)用服務(wù)器建立連接時，它需要重新獲得相應(yīng)的Ticket.。2.3 路由器方面的身份驗證在路由器身份驗證方面我們上海煙草(集團(tuán)）公司的具體做法是:采用一臺或多臺TACACS+ 、 RADIUS Server來進(jìn)行身份驗證。即當(dāng)一個計算機(jī)工作人員需要登陸到路由器進(jìn)行配置的時候，我們要經(jīng)過TACACS+ 、 RADIUS Server的身份認(rèn)證。其典型的拓?fù)浣Y(jié)構(gòu)分為本地路由驗證和遠(yuǎn)程路由驗證兩種拓?fù)浣Y(jié)構(gòu)。如圖3、4所示。圖3 本地路由驗證圖4 遠(yuǎn)程路由驗證其中的具體配置涉及到Cisco 2500系列路由器（Access Server)和H

20、P工作站上TACACS+ 、 RADIUS Server。 (1）Cisco 2500系列路由器(Access Server）配置策略 1。 確認(rèn)安全存取服務(wù)處于EXEC和配置模式； 2. 實現(xiàn)Access Server和安全服務(wù)器的通訊；3。 在Access Server上設(shè)置AAA全局變量；4. 定義身份驗證方法：使用aaa認(rèn)證命令；說明協(xié)議類別或者登陸的身份驗證；標(biāo)識用戶名稱；闡明身份驗證方法5。 應(yīng)用線路和接口的身份驗證:提出VTY和控制口的錄入清單；提出PPP的異步接口或者ISDN接口的身份驗證配置;提出ARA的異步接口或者ISDN接口的身份驗證配置。（2)HP工作站上TACACS+

21、 、 RADIUS Server的配置策略在大多數(shù)的TACACS+安全驗證服務(wù)器上，有三種方法來進(jìn)行用戶的配置工作：1。 為用戶或者用戶組設(shè)置一個明文的密碼:user = mswartz global = cleartext mswartz global passworduser = carol arap = cleartext ”arap passwordchap = cleartext chap passwordlogin = des XQj4892fjk2. 使用UNIX上的密碼（5）文件代替路由器上的密碼，從而進(jìn)入路由器配置default authentication = /etc/p

22、asswd3。 使用s/key進(jìn)行用戶的身份驗證 user= fred login = skey 。3 訪問控制（Access Control）訪問控制是用來決定一個主體（發(fā)出行動者，一般是用戶或用戶執(zhí)行的程序)，是否有權(quán)對某一特定對象（資源）執(zhí)行一個特定的操作，這種權(quán)限判定的方法有三種，強(qiáng)制性方法(mandatory policy），隨意方法（Discretionary policy）和最新出現(xiàn)的角色判定法（RoleBased policy）。訪問控制需要依靠身份確認(rèn)來判定用戶的身份及其所屬的組和所具有的特權(quán)。 在訪問控制方面我們上海煙草(集團(tuán))公司的具體做法是:對位置重要的小型機(jī)、服務(wù)器、

23、路由器和交換機(jī)進(jìn)行訪問權(quán)限及應(yīng)用級別的控制.3。1 路由器的訪問控制 主要是通過aaa authentication和access list的命令組合來設(shè)置用戶對路由器訪問權(quán)限和數(shù)據(jù)包的流通控制。.3.2 小型機(jī)、服務(wù)器的訪問控制主要是通過對Internet services的限制來控制Telnet、FTP、Finger等操作。.4 防火墻技術(shù)防火墻是位于Intranet網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)之間。防火墻依其結(jié)構(gòu)主要可分為以下幾類：基于路由器的分組過濾、基于主機(jī)網(wǎng)關(guān)或Bastion Host及獨(dú)立的網(wǎng)絡(luò)。4。1 過濾路由器(Filtering Routers） 這是最簡單Firewall。

24、很多路由器廠家提供的產(chǎn)品都添加了分組過濾功 能.用戶可根據(jù)自己的需要進(jìn)行設(shè)置。通常是一些訪問控制隊列指明允許或禁止某些協(xié)議某些端口，以及源目的地址等。也可以自己設(shè)計路由器并添加類似的功能.使用過濾型路由器簡單經(jīng)濟(jì)，對某些單位是非常好的選擇，但是其安全性 不是很高，對DNS，X11等協(xié)議的控制能力較弱。4。2 基于主機(jī)的Firewall（Bastion Host）一種非常安全的做法是采用一臺主機(jī)作為應(yīng)用網(wǎng)關(guān)置于外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，使其成為內(nèi)外聯(lián)絡(luò)的唯一通道.。4.3 構(gòu)成企業(yè)的雙防火墻結(jié)構(gòu) 采用這種模式可以綜合以上幾種的優(yōu)點而且更加安全可靠。兩個子網(wǎng)，一個專用于安全保衛(wèi)與外界的聯(lián)絡(luò)，另一個保

25、密私用網(wǎng)絡(luò)完全隱藏在內(nèi)部，外界無法觸及，而這個私用網(wǎng)絡(luò)卻可以通過安全子網(wǎng)來獲得外部的“安全”的信息。拓?fù)浣Y(jié)構(gòu)如圖5所示. 圖5 雙防火墻結(jié)構(gòu)四、 企業(yè)信息網(wǎng)絡(luò)安全管理的實施規(guī)劃。1 加強(qiáng)網(wǎng)絡(luò)邊界安全建設(shè) 企業(yè)信息化網(wǎng)絡(luò)系統(tǒng)除了作為的專用網(wǎng)絡(luò)，主要為各部門提供數(shù)據(jù)庫服務(wù)、日常辦公及管理服務(wù)及往來文電信息的處理、傳輸與存儲等業(yè)務(wù)。此外,提供Internet訪問服務(wù).通過與Internet網(wǎng)絡(luò)互連，可以使工作人員訪問、利用國內(nèi)外各種信息資源,更好地服務(wù)于工作。更好地加強(qiáng)同上級主管部門、合作單位之間的相互聯(lián)系.基于網(wǎng)絡(luò)的這些特點,我們主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計成一個支持各級別用戶或用戶群的安全

26、網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時,還實現(xiàn)與Internet的安全互連。具體而言，根據(jù)圖1的框架采用VPN安全措施實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全。 圖6.2 建設(shè)企業(yè)信息化網(wǎng)絡(luò)系統(tǒng)的入侵檢測和漏洞掃描系統(tǒng) 網(wǎng)絡(luò)監(jiān)控與入侵檢測是網(wǎng)絡(luò)系統(tǒng)安全的重要保障措施之一。根據(jù)網(wǎng)絡(luò)系統(tǒng)實際情況,將主要在與Internet的互連端口上安裝監(jiān)控設(shè)備（也可使用防火墻的入侵檢測功能模塊）,即網(wǎng)絡(luò)監(jiān)控系統(tǒng)安裝在網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)之間.企業(yè)核心網(wǎng)絡(luò)是整個信息化平臺的關(guān)鍵部分,核心服務(wù)為架設(shè)在HPUX上的Informix數(shù)據(jù)庫，其中包含了重要的數(shù)據(jù)和信息，直接關(guān)系到整個系統(tǒng)的正常運(yùn)行；因此,為充分考慮網(wǎng)絡(luò)接入安全的要求，除了通過OS

27、及數(shù)據(jù)庫本身的認(rèn)證之外，在冗余原則下，在內(nèi)網(wǎng)接入部分設(shè)置入侵檢測裝置，并在內(nèi)網(wǎng)重要服務(wù)器上安裝基于主機(jī)的入侵檢測系統(tǒng),通過對整個內(nèi)網(wǎng)以及重要主機(jī)的連接實施監(jiān)控，加強(qiáng)對內(nèi)網(wǎng)的實時監(jiān)控、防止黑客入侵和網(wǎng)絡(luò)通訊異常，一旦遭受侵襲，通過各種定制的規(guī)則,可立即向管理員告警并將事件寫入安全日志中.管理員可通過設(shè)在本地主機(jī)上的控制臺接收其他受控主機(jī)或整個內(nèi)網(wǎng)的告警信息并可遠(yuǎn)程管理受控主機(jī)上的告警信息。3 建設(shè)企業(yè)信息化安全審計系統(tǒng) 安全審計是一個安全的網(wǎng)絡(luò)必須支持的功能特性,審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。

28、對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。.4 采用全面的、多層次的分層病毒防御戰(zhàn)略體系 我們要在（集團(tuán)）公司的廣域網(wǎng)范圍內(nèi)建設(shè)一個整體的病毒入口防范架構(gòu)，在各個廣域網(wǎng)節(jié)點上部署針對廣域網(wǎng)線路的硬件病毒防火墻，形成綜合的集成周邊保護(hù)網(wǎng)，第一個好處在于分級防范，防治因為廣域網(wǎng)的一個節(jié)點的病毒泛濫而直接影響到其他廣域網(wǎng)節(jié)點,甚至侵害到（集團(tuán)）公司中心節(jié)點，這樣做的第二個好處就是免遭幾乎所有通過廣域網(wǎng)進(jìn)行傳播的病毒和惡件(包括J