企業(yè)網(wǎng)絡(luò)安全課件

企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計方案企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計方案1關(guān)鍵詞信息安全企業(yè)網(wǎng)絡(luò)安全安全防護(hù)關(guān)鍵詞信息安全2一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營業(yè)務(wù)的小型企業(yè)，公司網(wǎng)絡(luò)通過中國聯(lián)通光纖接入

Internet。

該公司擁有子公司若干，并與其它物流公司建立了兄弟公司關(guān)系。為了適應(yīng)業(yè)務(wù)的發(fā)展的需要，實(shí)現(xiàn)信息的共享，協(xié)作和通訊，并和各個部門互連，對該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營業(yè)務(wù)的小型企業(yè)，3企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖4二、網(wǎng)絡(luò)威脅、風(fēng)險分析二、網(wǎng)絡(luò)威脅、風(fēng)險分析52.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不陌生，他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機(jī)而不暴露身份的計算機(jī)用戶，由于黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展，目前世界上約有20多萬個黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅[1]。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采用了病毒進(jìn)行破壞，它們采用的攻擊和破壞方式多種多樣，對沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備（防火墻）的網(wǎng)站和系統(tǒng)（或防護(hù)級別較低）進(jìn)行攻擊和破壞，這給網(wǎng)絡(luò)的安全防護(hù)帶來了嚴(yán)峻的挑戰(zhàn)。2.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不陌62.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全防范、服務(wù)質(zhì)量、帶寬和方便性等方面存在滯后和不適應(yīng)性。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理，沒有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國90％的IT企業(yè)對黑客攻擊準(zhǔn)備不足。目前美國75％－85％的網(wǎng)站都抵擋不住黑客的攻擊，約有75％的企業(yè)網(wǎng)上信息失竊。2.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)72.3

軟件設(shè)計的漏洞或“后門”而產(chǎn)生的問題隨著軟件系統(tǒng)規(guī)模的不斷增大，新的軟件產(chǎn)品開發(fā)出來，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞，不可能完美無缺。這也是網(wǎng)絡(luò)安全的主要威脅之一。2.3

軟件設(shè)計的漏洞或“后門”而產(chǎn)生的問題隨著軟件系統(tǒng)82.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)站惡意編制一些盜取他人信息的軟件，并且可能隱藏在下載的信息中，只要登錄或者下載網(wǎng)絡(luò)的信息就會被其控制和感染病毒，計算機(jī)中的所有信息都會被自動盜走，該軟件會長期存在你的計算機(jī)中，操作者并不知情，如“木馬”病毒。因此，不良網(wǎng)站和不安全網(wǎng)站萬不可登錄，否則后果不堪設(shè)想。2.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)92.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問題網(wǎng)絡(luò)內(nèi)部用戶的誤操作，資源濫用和惡意行為也有可能對網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè)，各單位現(xiàn)在都在建局域網(wǎng)，計算機(jī)使用頻繁，但是由于單位管理制度不嚴(yán)，不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定，都容易引起一系列安全問題。2.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問題網(wǎng)絡(luò)內(nèi)102.7

競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為主的行業(yè)，所以用戶信息異常珍貴和重要，如果遭到競爭對手的惡意竊取、破壞以及攻擊，后果不堪設(shè)想。2.7

競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為11三、安全系統(tǒng)建設(shè)原則整體性原則：“木桶原理”，單純一種安全手段不可能解決全部安全問題;多重保護(hù)原則：不把整個系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;性能保障原則：安全產(chǎn)品的性能不能成為影響整個網(wǎng)絡(luò)傳輸?shù)钠款i;平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價值平衡

;可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動化，以減輕安全管理的負(fù)擔(dān)，同時減小因為管理上的疏漏而對系統(tǒng)安全造成的威脅;三、安全系統(tǒng)建設(shè)原則整體性原則：“木桶原理”，單純一種安全12三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生;高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;技術(shù)與管理并重原則：“三分技術(shù)，七分管理”，從技術(shù)角度出發(fā)的安全方案的設(shè)計必須有與之相適應(yīng)的管理制度同步制定，并從管理的角度評估安全設(shè)計方案的可操作性；投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi);三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)13四、網(wǎng)絡(luò)安全總體設(shè)計四、網(wǎng)絡(luò)安全總體設(shè)計144.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)，根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個方面進(jìn)行安全設(shè)計：數(shù)據(jù)安全保護(hù),使用加密技術(shù),保護(hù)重要數(shù)據(jù)的保密性；網(wǎng)絡(luò)系統(tǒng)安全,防火墻的設(shè)置；物理安全,應(yīng)用硬件等安裝配置；應(yīng)用系統(tǒng)安全,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩ＷC。4.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)，154.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).4.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬164.2方案綜述設(shè)置防火墻，防火墻是對通過互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的信息進(jìn)行過濾的程序或硬件設(shè)備。所以如果過濾器對傳入的信息數(shù)據(jù)包進(jìn)行標(biāo)記，則不允許該數(shù)據(jù)包通過。能夠保證使用的網(wǎng)站的安全性，以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡(luò)正常運(yùn)行和軟硬件，數(shù)據(jù)的安全。防止服務(wù)器拒絕服務(wù)攻擊.4.2方案綜述設(shè)置防火墻，防火墻是對通過互聯(lián)網(wǎng)連接進(jìn)入專174.2方案綜述網(wǎng)絡(luò)病毒防護(hù)，采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中部署被動防御體系（防病毒系統(tǒng)）,采用主動防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。從總部到分支機(jī)構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。4.2方案綜述網(wǎng)絡(luò)病毒防護(hù)，采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中184.2方案綜述設(shè)置DMZ，數(shù)據(jù)冗余存儲系統(tǒng)。將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中，把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問職責(zé)的主機(jī)放置于DMZ中，這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設(shè)置的新的障礙。4.2方案綜述設(shè)置DMZ，數(shù)據(jù)冗余存儲系統(tǒng)。將需要保護(hù)的194.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng)，專門備份企業(yè)重要數(shù)據(jù)。為避免客觀原因、自然災(zāi)害等原因造成的數(shù)據(jù)損壞、丟失，可采用異地備份方式。4.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng)，專門備份企業(yè)重要數(shù)據(jù)204.2方案綜述雙重數(shù)據(jù)信息保護(hù)，在重要部門以及工作組前設(shè)置交換機(jī)，可以在必要時候斷開網(wǎng)絡(luò)連接，防止網(wǎng)絡(luò)攻擊，并且設(shè)置雙重防火墻，進(jìn)出的數(shù)據(jù)都將受到保護(hù)。4.2方案綜述雙重數(shù)據(jù)信息保護(hù)，在重要部門以及工作組前設(shè)214.2方案綜述設(shè)置備份服務(wù)器，用于因客觀原因、自然災(zāi)害等原因造成的服務(wù)器崩潰。4.2方案綜述設(shè)置備份服務(wù)器，用于因客觀原因、自然災(zāi)害等224.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測系統(tǒng)（IDS）。對外界入侵和內(nèi)部人員的越界行為進(jìn)行報警。在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺交換機(jī)上和重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上裝上IDS。4.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測系統(tǒng)（IDS234.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備4.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備24五、安全設(shè)備要求五、安全設(shè)備要求255.1硬件設(shè)備pc機(jī)若干臺,包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)；交換機(jī)2臺；服務(wù)器4臺；防火墻5臺；內(nèi)外網(wǎng)隔離卡；漏洞掃描器；AMTTinnFORIDS。5.1硬件設(shè)備pc機(jī)若干臺,包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)265.2軟件設(shè)備病毒防御系統(tǒng)；查殺病毒軟件；訪問控制設(shè)置。5.2軟件設(shè)備病毒防御系統(tǒng)；27六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)286.2防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).6.2防火墻技術(shù)296.2防火墻技術(shù)防火墻技術(shù)又有三種類型包過濾型網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)代理型監(jiān)測型6.2防火墻技術(shù)防火墻技術(shù)又有三種類型306.3病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。6.3病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于316.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下：(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。6.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下：326.4入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機(jī)√基于網(wǎng)絡(luò)基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。6.4入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，336.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。6.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技346.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)。認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面：(1)路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。(2)操作系統(tǒng)認(rèn)證。操作系統(tǒng)對用戶的認(rèn)證。(3)網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。(5)撥號訪問服務(wù)器與客戶間的認(rèn)證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認(rèn)證。(7)電子郵件通訊雙方的認(rèn)證。數(shù)字簽名技術(shù)主要用于：(1)基于PKI認(rèn)證體系的認(rèn)證過程。(2)基于PKI的電子郵件及交易(通過Web進(jìn)行的交易)的不可抵賴記錄。6.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙356.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密-通訊過程不被竊聽。通訊主體真實(shí)性確認(rèn)-網(wǎng)絡(luò)上的計算機(jī)不被假冒6.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案366.8應(yīng)用系統(tǒng)的安全技術(shù)1、Server經(jīng)常成為Internet用戶訪問公司內(nèi)部資源的通道之一，如Webserver通過中間件訪問主機(jī)系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。2、操作系統(tǒng)安全市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。對操作系統(tǒng)的安全，除了不斷地增加安全補(bǔ)丁外，還需要：(1)檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇/更新)。(2)基于系統(tǒng)的安全監(jiān)控系統(tǒng)。

6.8應(yīng)用系統(tǒng)的安全技術(shù)1、Server經(jīng)常成為Inter376.9計算機(jī)網(wǎng)絡(luò)安全措施計算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個方面，各個方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。（一）保護(hù)網(wǎng)絡(luò)安全。（二）保護(hù)應(yīng)用安全。（三）保護(hù)系統(tǒng)安全。6.9計算機(jī)網(wǎng)絡(luò)安全措施計算機(jī)網(wǎng)絡(luò)安全措施主要包381、有時候讀書是一種巧妙地避開思考的方法。12月-2212月-22Sunday,December11,20222、閱讀一切好書如同和過去最杰出的人談話。03:19:4503:19:4503:1912/11/20223:19:45AM3、越是沒有本領(lǐng)的就越加自命不凡。12月-2203:19:4503:19Dec-2211-Dec-224、越是無能的人，越喜歡挑剔別人的錯兒。03:19:4503:19:4503:19Sunday,December11,20225、知人者智，自知者明。勝人者有力，自勝者強(qiáng)。12月-2212月-2203:19:4503:19:45December11,20226、意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。11十二月20223:19:45上午03:19:4512月-227、最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。。十二月223:19上午12月-2203:19December11,20228、業(yè)余生活要有意義，不要越軌。2022/12/113:19:4503:19:4511December20229、一個人即使已登上頂峰，也仍要自強(qiáng)不息。3:19:45上午3:19上午03:19:4512月-2210、你要做多大的事情，就該承受多大的壓力。12/11/20223:19:45AM03:19:4511-12月-2211、自己要先看得起自己，別人才會看得起你。12/11/20223:19AM12/11/20223:19AM12月-2212月-2212、這一秒不放棄，下一秒就會有希望。11-Dec-2211December202212月-2213、無論才能知識多么卓著，如果缺乏熱情，則無異紙上畫餅充饑，無補(bǔ)于事。Sunday,December11,202211-Dec-2212月-2214、我只是自己不放過自己而已，現(xiàn)在我不會再逼自己眷戀了。12月-2203:19:4511December202203:19謝謝大家1、有時候讀書是一種巧妙地避開思考的方法。12月-2212月39企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計方案企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計方案40關(guān)鍵詞信息安全企業(yè)網(wǎng)絡(luò)安全安全防護(hù)關(guān)鍵詞信息安全41一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營業(yè)務(wù)的小型企業(yè)，公司網(wǎng)絡(luò)通過中國聯(lián)通光纖接入

Internet。

該公司擁有子公司若干，并與其它物流公司建立了兄弟公司關(guān)系。為了適應(yīng)業(yè)務(wù)的發(fā)展的需要，實(shí)現(xiàn)信息的共享，協(xié)作和通訊，并和各個部門互連，對該信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。一、企業(yè)網(wǎng)絡(luò)分析Xx企業(yè)是一家以物流為主營業(yè)務(wù)的小型企業(yè)，42企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖企業(yè)網(wǎng)絡(luò)拓?fù)錁?gòu)建圖43二、網(wǎng)絡(luò)威脅、風(fēng)險分析二、網(wǎng)絡(luò)威脅、風(fēng)險分析442.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不陌生，他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機(jī)而不暴露身份的計算機(jī)用戶，由于黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展，目前世界上約有20多萬個黑客網(wǎng)站，這些站點(diǎn)都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡(luò)系統(tǒng)、站點(diǎn)都有遭受黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅[1]。而就目前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采用了病毒進(jìn)行破壞，它們采用的攻擊和破壞方式多種多樣，對沒有網(wǎng)絡(luò)安全防護(hù)設(shè)備（防火墻）的網(wǎng)站和系統(tǒng)（或防護(hù)級別較低）進(jìn)行攻擊和破壞，這給網(wǎng)絡(luò)的安全防護(hù)帶來了嚴(yán)峻的挑戰(zhàn)。2.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不陌452.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全防范、服務(wù)質(zhì)量、帶寬和方便性等方面存在滯后和不適應(yīng)性。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實(shí)上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理，沒有制定嚴(yán)格的管理制度。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國90％的IT企業(yè)對黑客攻擊準(zhǔn)備不足。目前美國75％－85％的網(wǎng)站都抵擋不住黑客的攻擊，約有75％的企業(yè)網(wǎng)上信息失竊。2.2網(wǎng)絡(luò)自身和管理存在欠缺因特網(wǎng)的共享性和開放性使網(wǎng)462.3

軟件設(shè)計的漏洞或“后門”而產(chǎn)生的問題隨著軟件系統(tǒng)規(guī)模的不斷增大，新的軟件產(chǎn)品開發(fā)出來，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。大家熟悉的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞，不可能完美無缺。這也是網(wǎng)絡(luò)安全的主要威脅之一。2.3

軟件設(shè)計的漏洞或“后門”而產(chǎn)生的問題隨著軟件系統(tǒng)472.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)站惡意編制一些盜取他人信息的軟件，并且可能隱藏在下載的信息中，只要登錄或者下載網(wǎng)絡(luò)的信息就會被其控制和感染病毒，計算機(jī)中的所有信息都會被自動盜走，該軟件會長期存在你的計算機(jī)中，操作者并不知情，如“木馬”病毒。因此，不良網(wǎng)站和不安全網(wǎng)站萬不可登錄，否則后果不堪設(shè)想。2.4惡意網(wǎng)站設(shè)置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)482.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問題網(wǎng)絡(luò)內(nèi)部用戶的誤操作，資源濫用和惡意行為也有可能對網(wǎng)絡(luò)的安全造成巨大的威脅。由于各行業(yè)，各單位現(xiàn)在都在建局域網(wǎng)，計算機(jī)使用頻繁，但是由于單位管理制度不嚴(yán)，不能嚴(yán)格遵守行業(yè)內(nèi)部關(guān)于信息安全的相關(guān)規(guī)定，都容易引起一系列安全問題。2.6

用戶網(wǎng)絡(luò)內(nèi)部工作人員的不良行為引起的安全問題網(wǎng)絡(luò)內(nèi)492.7

競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為主的行業(yè)，所以用戶信息異常珍貴和重要，如果遭到競爭對手的惡意竊取、破壞以及攻擊，后果不堪設(shè)想。2.7

競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以物流為50三、安全系統(tǒng)建設(shè)原則整體性原則：“木桶原理”，單純一種安全手段不可能解決全部安全問題;多重保護(hù)原則：不把整個系統(tǒng)的安全寄托在單一安全措施或安全產(chǎn)品上;性能保障原則：安全產(chǎn)品的性能不能成為影響整個網(wǎng)絡(luò)傳輸?shù)钠款i;平衡性原則：制定規(guī)范措施，實(shí)現(xiàn)保護(hù)成本與被保護(hù)信息的價值平衡

;可管理、易操作原則：盡量采用最新的安全技術(shù)，實(shí)現(xiàn)安全管理的自動化，以減輕安全管理的負(fù)擔(dān)，同時減小因為管理上的疏漏而對系統(tǒng)安全造成的威脅;三、安全系統(tǒng)建設(shè)原則整體性原則：“木桶原理”，單純一種安全51三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全協(xié)調(diào)發(fā)展的需求，避免因只滿足了系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙的情況發(fā)生;高可用原則：安全方案、安全產(chǎn)品也要遵循網(wǎng)絡(luò)高可用性原則;技術(shù)與管理并重原則：“三分技術(shù)，七分管理”，從技術(shù)角度出發(fā)的安全方案的設(shè)計必須有與之相適應(yīng)的管理制度同步制定，并從管理的角度評估安全設(shè)計方案的可操作性；投資保護(hù)原則：要充分發(fā)揮現(xiàn)有設(shè)備的潛能，避免投資的浪費(fèi);三、安全系統(tǒng)建設(shè)原則適應(yīng)性、靈活性原則：充分考慮今后業(yè)務(wù)和網(wǎng)52四、網(wǎng)絡(luò)安全總體設(shè)計四、網(wǎng)絡(luò)安全總體設(shè)計534.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)，根據(jù)企業(yè)各級內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個方面進(jìn)行安全設(shè)計：數(shù)據(jù)安全保護(hù),使用加密技術(shù),保護(hù)重要數(shù)據(jù)的保密性；網(wǎng)絡(luò)系統(tǒng)安全,防火墻的設(shè)置；物理安全,應(yīng)用硬件等安裝配置；應(yīng)用系統(tǒng)安全,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)陌踩ＷC。4.1需求分析根據(jù)企業(yè)滿足內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)，544.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展.可以幫助遠(yuǎn)程用戶,公司分支機(jī)構(gòu),商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)(Data)的安全傳輸.虛擬專用網(wǎng)可以用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可以用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng).4.2方案綜述首先設(shè)置vpn,方便內(nèi)網(wǎng)與外網(wǎng)的連接。虛擬554.2方案綜述設(shè)置防火墻，防火墻是對通過互聯(lián)網(wǎng)連接進(jìn)入專用網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的信息進(jìn)行過濾的程序或硬件設(shè)備。所以如果過濾器對傳入的信息數(shù)據(jù)包進(jìn)行標(biāo)記，則不允許該數(shù)據(jù)包通過。能夠保證使用的網(wǎng)站的安全性，以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡(luò)正常運(yùn)行和軟硬件，數(shù)據(jù)的安全。防止服務(wù)器拒絕服務(wù)攻擊.4.2方案綜述設(shè)置防火墻，防火墻是對通過互聯(lián)網(wǎng)連接進(jìn)入專564.2方案綜述網(wǎng)絡(luò)病毒防護(hù)，采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中部署被動防御體系（防病毒系統(tǒng)）,采用主動防御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。從總部到分支機(jī)構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的企業(yè)網(wǎng)病毒防護(hù)體系。4.2方案綜述網(wǎng)絡(luò)病毒防護(hù)，采用網(wǎng)絡(luò)防病毒系統(tǒng)。在網(wǎng)絡(luò)中574.2方案綜述設(shè)置DMZ，數(shù)據(jù)冗余存儲系統(tǒng)。將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中，把沒有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問職責(zé)的主機(jī)放置于DMZ中，這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設(shè)置的新的障礙。4.2方案綜述設(shè)置DMZ，數(shù)據(jù)冗余存儲系統(tǒng)。將需要保護(hù)的584.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng)，專門備份企業(yè)重要數(shù)據(jù)。為避免客觀原因、自然災(zāi)害等原因造成的數(shù)據(jù)損壞、丟失，可采用異地備份方式。4.2方案綜述設(shè)置數(shù)據(jù)備份管理系統(tǒng)，專門備份企業(yè)重要數(shù)據(jù)594.2方案綜述雙重數(shù)據(jù)信息保護(hù)，在重要部門以及工作組前設(shè)置交換機(jī)，可以在必要時候斷開網(wǎng)絡(luò)連接，防止網(wǎng)絡(luò)攻擊，并且設(shè)置雙重防火墻，進(jìn)出的數(shù)據(jù)都將受到保護(hù)。4.2方案綜述雙重數(shù)據(jù)信息保護(hù)，在重要部門以及工作組前設(shè)604.2方案綜述設(shè)置備份服務(wù)器，用于因客觀原因、自然災(zāi)害等原因造成的服務(wù)器崩潰。4.2方案綜述設(shè)置備份服務(wù)器，用于因客觀原因、自然災(zāi)害等614.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測系統(tǒng)（IDS）。對外界入侵和內(nèi)部人員的越界行為進(jìn)行報警。在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺交換機(jī)上和重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上裝上IDS。4.2方案綜述廣域網(wǎng)接入部分,

采用入侵檢測系統(tǒng)（IDS624.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備4.2方案綜述系統(tǒng)漏洞分析。采用漏洞分析設(shè)備63五、安全設(shè)備要求五、安全設(shè)備要求645.1硬件設(shè)備pc機(jī)若干臺,包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)；交換機(jī)2臺；服務(wù)器4臺；防火墻5臺；內(nèi)外網(wǎng)隔離卡；漏洞掃描器；AMTTinnFORIDS。5.1硬件設(shè)備pc機(jī)若干臺,包括網(wǎng)絡(luò)管理機(jī),員工工作用機(jī)655.2軟件設(shè)備病毒防御系統(tǒng)；查殺病毒軟件；訪問控制設(shè)置。5.2軟件設(shè)備病毒防御系統(tǒng)；66六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)端口。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換端口所在的網(wǎng)段機(jī)器均屬于相同的VLAN。六、技術(shù)支持與服務(wù)6.1虛擬網(wǎng)技術(shù)676.2防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài).6.2防火墻技術(shù)686.2防火墻技術(shù)防火墻技術(shù)又有三種類型包過濾型網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)代理型監(jiān)測型6.2防火墻技術(shù)防火墻技術(shù)又有三種類型696.3病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。6.3病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于706.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下：(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。6.3病毒防護(hù)技術(shù)病毒防護(hù)的主要技術(shù)如下：716.4入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機(jī)√基于網(wǎng)絡(luò)基于主機(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。6.4入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，726.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。6.5安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技736.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認(rèn)可，數(shù)字簽名作為身份認(rèn)證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實(shí)現(xiàn)。認(rèn)證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面：(1)路由器認(rèn)證，路由器和交換機(jī)之間的認(rèn)證。(2)操作系統(tǒng)認(rèn)證。操作系統(tǒng)對用戶的認(rèn)證。(3)網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認(rèn)證。(5)撥號訪問服務(wù)器與客戶間的認(rèn)證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認(rèn)證。(7)電子郵件通訊雙方的認(rèn)證。數(shù)字簽名技術(shù)主要用于：(1)基于PKI認(rèn)證體系的認(rèn)證過程。(2)基于PKI的電子郵件及交易(通過Web進(jìn)行的交易)的不可抵賴記錄。6.6認(rèn)證和數(shù)字簽名技術(shù)認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙746.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密-通訊過程不被竊聽。通訊主體真實(shí)性