請設(shè)計一套信息數(shù)據(jù)安全方案,滿足內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)和外網(wǎng)應(yīng)用的需求,內(nèi),外網(wǎng)數(shù)據(jù)交換的需求.

醫(yī)院建設(shè)信息網(wǎng)絡(luò)系統(tǒng)

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序制作、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了新和免費(fèi)建站歡迎大家使用！

這個設(shè)計平臺,和開發(fā)平臺怎么安排

具體說,清晰的,這樣才好幫你

如何做好一家大企業(yè)的網(wǎng)管，是造船廠，有200臺電腦？具體工作怎么安排進(jìn)行？

第一章 總則

本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計、等。本安全解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對他們局域網(wǎng)全面的安全管理。

1.將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。

2.定期進(jìn)行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

3.通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。

4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。

5.在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。

第二章 網(wǎng)絡(luò)系統(tǒng)概況

2.1 網(wǎng)絡(luò)概況

這個企業(yè)的局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信息交流平臺。不僅如此，通過專線與internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過公開服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計為用戶提供快速、方便、靈活通信平臺的同時，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險。因此，在原有網(wǎng)絡(luò)上實施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。

2.1.1 網(wǎng)絡(luò)概述

這個企業(yè)的局域網(wǎng)，物理跨度不大，通過千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1000m的獨(dú)享帶寬，通過下級交換機(jī)與各部門的工作站和服務(wù)器連結(jié)，并為之提供100m的獨(dú)享帶寬。利用與中心交換機(jī)連結(jié)的cisco 路由器，所有用戶可直接訪問internet。

2.1.2 網(wǎng)絡(luò)結(jié)構(gòu)

這個企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)，包括：財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計中，我們基于安全的重要程度和要保護(hù)的對象，可以在catalyst 型交換機(jī)上直接劃分四個虛擬局域網(wǎng)（vlan），即：中心服務(wù)器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個獨(dú)立的廣播域，而將其他的工作站劃分在一個相同的網(wǎng)段。（圖省略）

2.2 網(wǎng)絡(luò)應(yīng)用

這個企業(yè)的局域網(wǎng)可以為用戶提供如下主要應(yīng)用：

1．文件共享、辦公自動化、www服務(wù)、電子郵件服務(wù)；

2．文件數(shù)據(jù)的統(tǒng)一存儲；

3．針對特定的應(yīng)用在數(shù)據(jù)庫服務(wù)器上進(jìn)行二次開發(fā)(比如財務(wù)系統(tǒng))；

4．提供與internet的訪問；

5．通過公開服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等；

2.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點

在分析這個企業(yè)局域網(wǎng)的安全風(fēng)險時，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個特點：

1.網(wǎng)絡(luò)與internet直接連結(jié)，因此在進(jìn)行安全方案設(shè)計時要考慮與internet連結(jié)的有關(guān)風(fēng)險，包括可能通過internet傳播進(jìn)來病毒，黑客攻擊，來自internet的非授權(quán)訪問等。

2.網(wǎng)絡(luò)中存在公開服務(wù)器，由于公開服務(wù)器對外必須開放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計時應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開服務(wù)器的安全風(fēng)險擴(kuò)散到內(nèi)部。

3.內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設(shè)計時，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分割開，這可以通過交換機(jī)劃分vlan來實現(xiàn)。

4.網(wǎng)絡(luò)中有二臺應(yīng)用服務(wù)器，在應(yīng)用程序開發(fā)時就應(yīng)考慮加強(qiáng)用戶登錄驗證，防止非授權(quán)的訪問。

總而言之，在進(jìn)行網(wǎng)絡(luò)方案設(shè)計時，應(yīng)綜合考慮到這個企業(yè)局域網(wǎng)的特點，根據(jù)產(chǎn)品的性能、價格、潛在的安全風(fēng)險進(jìn)行綜合考慮。

第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析

隨著internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng)險變得更加嚴(yán)重和復(fù)雜。原來由單個計算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對internet安全政策的認(rèn)識不足，這些風(fēng)險正日益嚴(yán)重。

針對這個企業(yè)局域網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計時，下述安全風(fēng)險我們必須要認(rèn)真考慮，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措施。下述風(fēng)險由多種因素引起，與這個企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險因素：

網(wǎng)絡(luò)安全可以從以下三個方面來理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺是否安全；3 系統(tǒng)是否安全；4 應(yīng)用是否安全；5 管理是否安全。針對每一類安全風(fēng)險，結(jié)合這個企業(yè)局域網(wǎng)的實際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。

3.1物理安全風(fēng)險分析

網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的。網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計、機(jī)房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險是可以避免的。

3.2網(wǎng)絡(luò)平臺的安全風(fēng)險分析

網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。

公開服務(wù)器面臨的威脅

這個企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（www、email等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運(yùn)行后者受到攻擊，對企業(yè)的聲譽(yù)影響巨大。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入internet節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對internet安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。

整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況

安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，用作與internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。

3.3系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。

網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是microsoft的windows nt或者其他任何商用unix操作系統(tǒng)，其開發(fā)廠商必然有其back-door。我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

3.4應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。

應(yīng)用系統(tǒng)的安全動態(tài)的、不斷變化的：應(yīng)用的安全涉及面很廣，以目前internet上應(yīng)用最為廣泛的e-mail系統(tǒng)來說，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的bug是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應(yīng)用系統(tǒng)的安全也是一個隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。

應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進(jìn)行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進(jìn)行加密。

3.5管理的安全風(fēng)險分析

管理是網(wǎng)絡(luò)安全中最重要的部分

管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。

當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。

3.6黑客攻擊

黑客們的攻擊行動是無時無刻不在進(jìn)行的，而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務(wù)器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到unix的口令文件并將之送回。黑客侵入unix服務(wù)器后，有可能修改特權(quán)，從普通用戶變?yōu)楦呒売脩簦坏┏晒?，黑客可以直接進(jìn)入口令文件。黑客還能開發(fā)欺騙程序，將其裝入unix服務(wù)器中，用以監(jiān)聽登錄會話。當(dāng)它發(fā)現(xiàn)有用戶登錄時，便開始存儲一個文件，這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客，需要設(shè)置公開服務(wù)器，使得它不離開自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開服務(wù)器的人訪問www頁面文件以外的東西。在這個企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、web頁面保護(hù)技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。

3.7通用網(wǎng)關(guān)接口（cgi）漏洞

有一類風(fēng)險涉及通用網(wǎng)關(guān)接口（cgi）腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過cgi腳本執(zhí)行的方式實現(xiàn)的。黑客可以修改這些cgi腳本以執(zhí)行他們的非法任務(wù)。通常，這些cgi腳本只能在這些所指www服務(wù)器中尋找，但如果進(jìn)行一些修改，他們就可以在www服務(wù)器之外進(jìn)行尋找。要防止這類問題發(fā)生，應(yīng)將這些cgi腳本設(shè)置為較低級用戶特權(quán)。提高系統(tǒng)的抗破壞能力，提高服務(wù)器備份與恢復(fù)能力，提高站點內(nèi)容的防篡改與自動修復(fù)能力。

3.8惡意代碼

惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應(yīng)該加強(qiáng)對惡意代碼的檢測。

3.9病毒的攻擊

計算機(jī)病毒一直是計算機(jī)安全的主要威脅。能在internet上傳播的新型病毒，例如通過e-mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數(shù)已達(dá)上萬甚至更多。當(dāng)然，查看文檔、瀏覽圖像或在web上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的e-mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。典型的“cih”病毒就是一可怕的例子。

3.10不滿的內(nèi)部員工

不滿的內(nèi)部員工可能在www站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。對于已經(jīng)離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風(fēng)險。但還有心懷不滿的在職員工，這些員工比已經(jīng)離開的員工能造成更大的損失，例如他們可以傳出至關(guān)重要的信息、泄露安全重要信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。

3.11網(wǎng)絡(luò)的攻擊手段

一般認(rèn)為，目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：

非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。

信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。

拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。

第四章 安全需求與安全目標(biāo)

4.1安全需求分析

通過前面我們對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：

公開服務(wù)器的安全保護(hù)

防止黑客從外部攻擊

入侵檢測與監(jiān)控

信息審計與記錄

病毒防護(hù)

數(shù)據(jù)安全保護(hù)

數(shù)據(jù)備份與恢復(fù)

網(wǎng)絡(luò)的安全管理

針對這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求：

1.大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；

2.保持網(wǎng)絡(luò)原有的能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；

3.易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；

4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

5.安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

6.安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；

7.分布實施。

4.2網(wǎng)絡(luò)安全策略

安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分，即：

威嚴(yán)的法律：安全的基石是社會法律、法規(guī)、與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。

先進(jìn)的技術(shù)：先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。

嚴(yán)格的管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。

4.3系統(tǒng)安全目標(biāo)

基于以上的分析，我們認(rèn)為這個局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下目標(biāo)：

建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略

將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信

建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全

對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕

加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度

全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為

加強(qiáng)對各種訪問的審計工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完 整的系統(tǒng)日志

備份與災(zāi)難恢復(fù)——強(qiáng)化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復(fù)

加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)

第五章 網(wǎng)絡(luò)安全方案總體設(shè)計

5.1安全方案設(shè)計原則

在對這個企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：

綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的。對一個網(wǎng)絡(luò)進(jìn)行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細(xì)設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運(yùn)行等，都要有安全的內(nèi)容光煥發(fā)及措施，實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

分步實施原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。

多重保護(hù)原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。

可評價性原則：如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實現(xiàn)。

5.2安全服務(wù)、機(jī)制與技術(shù)

安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對象認(rèn)證服務(wù)、可靠性服務(wù)等；

安全機(jī)制：訪問控制機(jī)制、認(rèn)證機(jī)制等；

安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實現(xiàn)的。應(yīng)當(dāng)指出，同一安全機(jī)制有時也可以用于實現(xiàn)不同的安全服務(wù)。

第六章 網(wǎng)絡(luò)安全體系結(jié)構(gòu)

通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理

6.1物理安全

保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個計算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。 它主要包括三個方面：

環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn)gb50173－93《電子計算機(jī)機(jī)房設(shè)計規(guī)范》、國標(biāo)gb2887－89《計算站場地技術(shù)條件》、gb9361－88《計算站場地安全要求》

設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；

媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。

在網(wǎng)絡(luò)的安全方面，主要考慮兩個大的層次，一是整個網(wǎng)絡(luò)結(jié)構(gòu)成熟化，主要是優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，二是整個網(wǎng)絡(luò)系統(tǒng)的安全。

6.2.1網(wǎng)絡(luò)結(jié)構(gòu)

安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上的，網(wǎng)絡(luò)結(jié)構(gòu)的安全是安全系統(tǒng)成功建立的基礎(chǔ)。在整個網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，主要考慮網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)和路由的優(yōu)化。

網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮環(huán)境、設(shè)備配置與應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和實用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計，充分利用現(xiàn)有資源，具有運(yùn)營管理的簡便性，完善的安全保障體系。網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護(hù)管理，利于更高的安全控制和業(yè)務(wù)發(fā)展。

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖现饕紤]到冗余鏈路；防火墻的設(shè)置和入侵檢測的實時監(jiān)控等。

6.2.2網(wǎng)絡(luò)系統(tǒng)安全

6.2.2.1 訪問控制及內(nèi)外網(wǎng)的隔離

訪問控制

訪問控制可以通過如下幾個方面來實現(xiàn)：

1.制訂嚴(yán)格的管理制度:可制定的相應(yīng)：《用戶授權(quán)實施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。

2.配備相應(yīng)的安全設(shè)備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。

防火墻主要的種類是包過濾型，包過濾防火墻一般利用ip和tcp包的頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的ip包信息進(jìn)行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。同時可實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（nat）、審記與實時告警等功能。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上，因此也對被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。

防火墻具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。

6.2.2.2 內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制

在這里，主要利用vlan技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機(jī)上劃分vlan可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。這樣，就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的vlan段內(nèi)，就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

6.2.2.3 網(wǎng)絡(luò)安全檢測

網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。

網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。檢測工具應(yīng)具備以下功能：

具備網(wǎng)絡(luò)監(jiān)控、分析和自動響應(yīng)功能

找出經(jīng)常發(fā)生問題的根源所在；

建立必要的循環(huán)過程確保隱患時刻被糾正；控制各種網(wǎng)絡(luò)安全危險。

漏洞分析和響應(yīng)

配置分析和響應(yīng)

漏洞形勢分析和響應(yīng)

認(rèn)證和趨勢分析

具體體現(xiàn)在以下方面：

防火墻得到合理配置

內(nèi)外web站點的安全漏洞減為最低

網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性

各種服務(wù)器操作系統(tǒng)，如e_mial服務(wù)器、web服務(wù)器、應(yīng)用服務(wù)器、，將受黑客攻擊的可能降為最低

對網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人 員誤操作的侵害

6.2.2.4 審計與監(jiān)控

審計是記錄用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于去定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備，以便對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。

6.2.2.5 網(wǎng)絡(luò)防病毒

由于在網(wǎng)絡(luò)環(huán)境下，計算機(jī)病毒有不可估量的威脅性和破壞力，一次計算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。

網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒三種技術(shù)：

1.預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有

服務(wù)器如何保護(hù)數(shù)據(jù)安全

服務(wù)器安全這問題，很重要，之前服務(wù)器被黑，在網(wǎng)上搜索了一些服務(wù)器安全設(shè)置以及防黑的文章，對著文章，我一個一個的設(shè)置起來，費(fèi)了好幾天的時間才設(shè)置完，原以為會防止服務(wù)器再次被黑，沒想到服務(wù)器竟然癱瘓了，網(wǎng)站都打不開了，無奈對服務(wù)器安全也是一竅不通，損失真的很大，數(shù)據(jù)庫都損壞了，我哪個后悔啊。娘個咪的。最后還是讓機(jī)房把系統(tǒng)重裝了。找了幾個做網(wǎng)站服務(wù)器方面的朋友，咨詢了關(guān)于服務(wù)器被黑的解決辦法，他們都建議我找專業(yè)做服務(wù)器安全的安全公司來給做安全維護(hù)，也一致的推薦了sinesafe，服務(wù)器被黑的問題，才得以解決。

一路的走來，才知道，服務(wù)器安全問題可不能小看了。經(jīng)歷了才知道，服務(wù)器安全了給自己帶來的也是長遠(yuǎn)的利益。 希望我的經(jīng)歷能幫到樓主，幫助別人也是在幫助我自己。

下面是一些關(guān)于安全方面的建議！

建站一段時間后總能聽得到什么什么網(wǎng)站被掛馬，什么網(wǎng)站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網(wǎng)站的必要安全措施并未做好。

一：掛馬預(yù)防措施：

1、建議用戶通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳程序。

2、定期對網(wǎng)站進(jìn)行安全的檢測，具體可以利用網(wǎng)上一些工具，如sinesafe網(wǎng)站掛馬檢測工具！

序，只要可以上傳文件的asp都要進(jìn)行身份認(rèn)證!

3、asp程序管理員的用戶名和密碼要有一定復(fù)雜性，不能過于簡單，還要注意定期更換。

4、到正規(guī)網(wǎng)站下載asp程序，下載后要對其數(shù)據(jù)庫名稱和存放路徑進(jìn)行修改，數(shù)據(jù)庫文件名稱也要有一定復(fù)雜性。

5、要盡量保持程序是最新版本。

6、不要在網(wǎng)頁上加注后臺管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護(hù)后刪除后臺管理程序的登陸頁面，下次維護(hù)時再通過ftp上傳即可。

8、要時常備份數(shù)據(jù)庫等重要文件。

9、日常要多維護(hù)，并注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發(fā)現(xiàn)被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調(diào)用一定要進(jìn)行身份認(rèn)證，并只允許信任的人使用上傳程序。這其中包括各種新聞發(fā)布、商城及論壇程

二：掛馬恢復(fù)措施：

1.修改帳號密碼

不管是商業(yè)或不是，初始密碼多半都是admin。因此你接到網(wǎng)站程序第一件事情就是“修改帳號密碼”。帳號

密碼就不要在使用以前你習(xí)慣的，換點特別的。盡量將字母數(shù)字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應(yīng)該使用特別點的帳號密碼，不要在使用什么什么admin之類，否則很容易被入侵。

2.創(chuàng)建一個robots.txt

Robots能夠有效的防范利用搜索引擎竊取信息的駭客。

3.修改后臺文件

第一步：修改后臺里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對數(shù)據(jù)庫加密后在修改conn.asp。

第三步：修改ACESS數(shù)據(jù)庫名稱，越復(fù)雜越好，可以的話將數(shù)據(jù)所在目錄的換一下。

4.限制登陸后臺IP

此方法是最有效的，每位虛擬主機(jī)用戶應(yīng)該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的后臺一些重要文件及檢查網(wǎng)頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網(wǎng)站程序

注意一下網(wǎng)站程序是否本身存在漏洞，好壞你我心里該有把秤。

7.謹(jǐn)慎上傳漏洞

據(jù)悉，上傳漏洞往往是最簡單也是最嚴(yán)重的，能夠讓黑客或駭客們輕松控制你的網(wǎng)站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業(yè)做網(wǎng)站安全的sinesafe公司。

8. cookie 保護(hù)

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關(guān)閉所有瀏覽器。

9.目錄權(quán)限

請管理員設(shè)置好一些重要的目錄權(quán)限，防止非正常的訪問。如不要給上傳目錄執(zhí)行腳本權(quán)限及不要給非上傳目錄給于寫入權(quán)。

10.自我測試

如今在網(wǎng)上黑客工具一籮筐，不防找一些來測試下你的網(wǎng)站是否OK。

11.例行維護(hù)

a.定期備份數(shù)據(jù)。最好每日備份一次，下載了備份文件后應(yīng)該及時刪除主機(jī)上的備份文件。

b.定期更改數(shù)據(jù)庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數(shù)，檢查是文件是否有異常，以及查看是否有異常的賬號。

計算機(jī)網(wǎng)絡(luò)的論文5000字范文

隨著計算機(jī) 網(wǎng)絡(luò)技術(shù) 的發(fā)展和完善，計算機(jī)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)日趨龐大，功能完善且獨(dú)立。下文是我為大家搜集整理的關(guān)于計算機(jī)網(wǎng)絡(luò)的論文5000字 范文 的內(nèi)容，希望能對大家有所幫助，歡迎大家閱讀參考!

計算機(jī)網(wǎng)絡(luò)的論文5000字范文篇1

淺析事業(yè)單位計算機(jī)網(wǎng)絡(luò)安全維護(hù)工作

摘要:在信息化時代背景下，事業(yè)單位在辦公以及管理方面已經(jīng)大范圍實行了計算機(jī)網(wǎng)絡(luò)技術(shù)，通過計算機(jī)網(wǎng)路可以進(jìn)行信息共享，有效的提高了工作效率。在事業(yè)單位運(yùn)營管理的過程中，很多關(guān)于單位的機(jī)密信息都會錄入到電腦中，而在計算機(jī)網(wǎng)絡(luò)面臨安全問題時，就可能會導(dǎo)致信息的泄露，由此對單位的發(fā)展造成不利。所以對事業(yè)單位計算機(jī)網(wǎng)絡(luò)運(yùn)行過程中面臨的安全問題進(jìn)行了分析，然后提出了安全維護(hù) 措施 ，對于提高計算機(jī)網(wǎng)絡(luò)的安全性具有重要的意義。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)安全管理;事業(yè)單位;管理

計算機(jī)網(wǎng)絡(luò)由于辦公自動化程度高，運(yùn)行速度快，所以可有效的提高工作效率，現(xiàn)階段，在事業(yè)單位中計算機(jī)網(wǎng)絡(luò)的應(yīng)用范圍不斷擴(kuò)大，各種工作都可以通過網(wǎng)絡(luò)來完成，通過單位的內(nèi)部網(wǎng)絡(luò)，可以詳細(xì)的獲取單位所有信息。但是由于計算機(jī)網(wǎng)絡(luò)自身具有開放性的特征，并且計算機(jī)網(wǎng)絡(luò)的安全問題一直都無法得到徹底的解決方式，所以對事業(yè)單位產(chǎn)生了一定的影響。如果網(wǎng)絡(luò)信息泄漏，不僅會導(dǎo)致客戶信息的泄露，同時企業(yè)內(nèi)部的各種機(jī)密信息也面臨巨大的風(fēng)險，會嚴(yán)重?fù)p害到個人以及單位的切身利益。所以應(yīng)該加強(qiáng)事業(yè)單位計算機(jī)網(wǎng)絡(luò)安全維護(hù)工作，從制度建設(shè)到實際操作執(zhí)行，都需要有健全的防護(hù)措施，以確保單位內(nèi)部信息資料的安全性。

1影響計算機(jī)網(wǎng)絡(luò)安全的主要因素

1.1網(wǎng)絡(luò)資源的共享性

資源共享是計算機(jī)網(wǎng)絡(luò)運(yùn)行的主要特征，在資源共享下才能夠加深各部門之間的聯(lián)絡(luò)，提高工作效率。但是也正是因為資源共享性才為攻擊者提供了破壞安全的技術(shù)，因為在單位內(nèi)部的信息資源準(zhǔn)許外部服務(wù)請求時，攻擊者就可以利用這個機(jī)會進(jìn)行網(wǎng)絡(luò)攻擊，從而獲取單位內(nèi)部信息。

1.2網(wǎng)絡(luò)的開放性

網(wǎng)絡(luò)具有開放性的特點，世界上任何一個國家的任何一個用戶都可以參與到網(wǎng)絡(luò)中來。并且隨著網(wǎng)絡(luò)信息網(wǎng)的功能逐步擴(kuò)大，在網(wǎng)絡(luò)上要想獲取單位以及個人的信息將更加容易。比如網(wǎng)絡(luò)中使用的人肉搜索，可以通過全體網(wǎng)民的參與，或者任何自己想要的信息，這已經(jīng)和現(xiàn)實社會直接關(guān)聯(lián)。

1.3網(wǎng)絡(luò) 操作系統(tǒng) 的漏洞

網(wǎng)絡(luò)操作系統(tǒng)是進(jìn)行網(wǎng)絡(luò)信息運(yùn)行的主要形式，通過硬件系統(tǒng)與軟件系統(tǒng)的操作，能夠?qū)崿F(xiàn)各種網(wǎng)絡(luò)行為。但是由于網(wǎng)絡(luò)協(xié)議具有復(fù)雜性的特點，所以在操作的過程中必然存在各種缺陷和漏洞，這是目前還無法徹底解決的安全問題。

1.4網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷

網(wǎng)絡(luò)設(shè)計是指拓?fù)浣Y(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下,還可以提供較好的安全性，不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。

1.5惡意攻擊

惡意攻擊是計算機(jī)網(wǎng)絡(luò)面臨的最重要的安全問題，黑客通過高超的技術(shù)手段，利用木馬病毒等手段入侵單位內(nèi)部的計算機(jī)網(wǎng)絡(luò)，從而惡意篡改或者竊取單位內(nèi)部信息，為單位造成一定的損失。這種黑客惡意攻擊的行為，隨著黑客水平的提高，其入侵的成功率就越高，對于一般性的事業(yè)單位其防范能力較弱。

2計算機(jī)網(wǎng)絡(luò)安全的防范措施

2.1防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于單位或網(wǎng)絡(luò)群體計算機(jī)與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。

防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略，通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次,對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時,也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次,防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

2.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)

相對于防火墻技術(shù)而言，數(shù)據(jù)加密和用戶授權(quán)訪問控制技術(shù)則顯得比較靈活，尤其是對于單位內(nèi)部的信息安全防范具有較好的效果。數(shù)據(jù)加密技術(shù)主要應(yīng)用于對動態(tài)信息的保護(hù)，在面對外部攻擊時，能夠及時的檢測出攻擊行為，并且給予相應(yīng)的保護(hù)，而對于被動攻擊，則能夠有效的避免攻擊行為的發(fā)生。數(shù)據(jù)加密技術(shù)主要是通過“密鑰”的方式來完成，密鑰只能是經(jīng)過授權(quán)的用戶才能夠掌握，可有效的保護(hù)信息安全。而用戶授權(quán)訪問控制技術(shù)是根據(jù)單位內(nèi)部的信息機(jī)密程度而對訪問者進(jìn)行控制的一種方式，主要是在操作系統(tǒng)中實現(xiàn)。單位根據(jù)信息的機(jī)密程度將其分為若干個安全等級，然后只有具有相應(yīng)權(quán)限的人才可以訪問相應(yīng)等級的信息，一般是通過用戶名和密碼的雙重防護(hù)方式來實現(xiàn)。

2.3入侵檢測技術(shù)

入侵檢測系統(tǒng)是從多種計算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,添加入策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵。此外，還有防病毒技術(shù)，主要為防病毒軟件的使用。加強(qiáng)單位內(nèi)部安全管理隊伍建設(shè)，提高計算機(jī)網(wǎng)絡(luò)安全防護(hù)水平。提升網(wǎng)絡(luò)主機(jī)的操作 系統(tǒng)安全 和物理安全，為防火墻技術(shù)的發(fā)揮提供有利的基礎(chǔ)保障。

3結(jié)束語

計算機(jī)網(wǎng)絡(luò)是一個復(fù)雜的系統(tǒng)，其功能異常強(qiáng)大，但是在為人們的工作和生活帶來便利的同時，也存在一定的安全風(fēng)險。如果網(wǎng)絡(luò)信息被篡改或者竊取，那么將會對單位造成極大的損失，所以在單位內(nèi)部應(yīng)該建立完善的網(wǎng)絡(luò)信息安全防護(hù)體系。為了確保單位計算機(jī)網(wǎng)絡(luò)的安全運(yùn)行，需要加強(qiáng)全體人員計算機(jī)網(wǎng)絡(luò)安全防范意識，并且使用先進(jìn)的網(wǎng)絡(luò)安全防范技術(shù)，做好全面的網(wǎng)絡(luò)安全防范措施，提高計算機(jī)管理人員的綜合業(yè)務(wù)水平，為單位的高效運(yùn)行創(chuàng)造一個健康的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn):

[1]黃翔.加強(qiáng)事業(yè)單位計算機(jī)網(wǎng)絡(luò)安全管理水平的探索[J].計算機(jī)光盤軟件與應(yīng)用,2014，5，1.

[2]譚人瑋.淺談事業(yè)單位計算機(jī)網(wǎng)絡(luò)安全管理[J].計算機(jī)光盤軟件與應(yīng)用,2012，4，8.

[3]周偉.試論當(dāng)前事業(yè)單位計算機(jī)網(wǎng)絡(luò)維護(hù)存在的問題及對策分析[J].計算機(jī)光盤軟件與應(yīng)用,2013，6，15.

計算機(jī)網(wǎng)絡(luò)的論文5000字范文篇2

試論涉密計算機(jī)網(wǎng)絡(luò)安全保密 方法

摘要：本文就涉密計算機(jī)網(wǎng)絡(luò)安全保密問題及解決方法進(jìn)行了分析，注重把握涉密系統(tǒng)的安全保密工程建設(shè)問題，提出了相應(yīng)的保密建議。

關(guān)鍵詞：涉密系統(tǒng);計算機(jī)網(wǎng)絡(luò)安全;保密策略

涉密系統(tǒng)的安全保密工程較為復(fù)雜，在對這一問題處理過程中，需要考慮到涉密系統(tǒng)的保密方案，通過保密方案的有效設(shè)計，滿足涉密計算機(jī)實際需要。本文在對該問題分析過程中，從保密方案設(shè)計、安全保密策略兩個方面入手，具體的分析內(nèi)容如下。

一、安全保密方案設(shè)計

涉密計算機(jī)網(wǎng)絡(luò)安全保密系統(tǒng)包括了計算機(jī)終端、服務(wù)器、無線移動平臺三個部分，涵蓋的內(nèi)容較多，并且在具體應(yīng)用過程中，需要對使用人員的權(quán)限進(jìn)行認(rèn)證，通過身份識別后，才能夠登錄系統(tǒng)，對系統(tǒng)進(jìn)行相應(yīng)的操作。網(wǎng)絡(luò)安全控制系統(tǒng)包括了授權(quán)、控制USB、網(wǎng)絡(luò)接口以及授信涉密終端的訪問，通過對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行控制和監(jiān)測，避免系統(tǒng)內(nèi)部重要信息遭到泄露，保證系統(tǒng)的安全性和可靠性[1]。

一般來說，在進(jìn)行保密方案設(shè)計過程中，通?？紤]以下幾點：

(一)服務(wù)器安全：服務(wù)器安全問題涉及到了服務(wù)器與通信端口的鏈接和加密操作，并對操作人員進(jìn)行相應(yīng)的身份認(rèn)證。同時，服務(wù)器安全保密方案設(shè)計還應(yīng)該涉及到管理權(quán)限的控制，并利用USB令牌密碼，實現(xiàn)控制目的。

(二)客戶端安全：客戶端安全問題主要涉及到了文件的傳輸保護(hù)，包括了傳輸進(jìn)程、注冊表、遠(yuǎn)程接入監(jiān)控等相關(guān)內(nèi)容?？蛻舳税踩枰苊饪蛻舳舜沓霈F(xiàn)被破壞的情況，并且需要采取雙向的保護(hù)措施，從USB接口、I/O端口、本地硬盤等進(jìn)行加密操作，保證客戶端安全。

(三)管理安全：管理安全主要在于對管理人員的身份信息進(jìn)行認(rèn)證，通過USB令牌，可以使管理人員獲得管理權(quán)限，進(jìn)行計算機(jī)系統(tǒng)管理。

二、涉密計算機(jī)網(wǎng)絡(luò)安全保密的解決方法

涉密計算機(jī)網(wǎng)絡(luò)安全保密問題的解決，要考慮到涉密系統(tǒng)與非涉密系統(tǒng)的區(qū)分，在涉密系統(tǒng)內(nèi)部對安全域進(jìn)行劃分，并能夠針對于重要文件信息進(jìn)行重點管理，從而提升涉密系統(tǒng)的安全性和可靠性。具體的解決方法如下所示：

(一)劃分涉密系統(tǒng)與非涉密系統(tǒng)。

涉密計算機(jī)網(wǎng)絡(luò)安全保密方案的應(yīng)用，要對涉密系統(tǒng)和非涉密系統(tǒng)進(jìn)行區(qū)分，能夠使二者之間有一個較為明確的界限，這樣一來，可以對涉密系統(tǒng)進(jìn)行針對性的管理。涉密系統(tǒng)在使用過程中，不能夠進(jìn)行國際聯(lián)網(wǎng)，應(yīng)該采取物理層的區(qū)分方式。同時，結(jié)合安全保密技術(shù)，對涉密系統(tǒng)進(jìn)行重點管理，對非涉密系統(tǒng)采取基本的管理方式即可，對保密費(fèi)用進(jìn)行合理劃分，降低保密成本。涉密系統(tǒng)保密過程中，還需要對涉密系統(tǒng)的規(guī)模和范圍予以明確，從而保證工作具有較強(qiáng)的針對性[2]。一般來說，涉密系統(tǒng)在保護(hù)過程中，存在著定密太嚴(yán)和定密不規(guī)范的情況，導(dǎo)致安全保密成本增加，也使得一些需要保密的信息遭到忽略，不利于涉密系統(tǒng)的安全工作。針對于這一情況，明確定密工作必須得到應(yīng)有的重視，并且在具 體操 作過程中，要注重結(jié)合實際情況，選擇有效的保密措施，提升系統(tǒng)安全性。

(二)加強(qiáng)安全域的劃分。

涉密系統(tǒng)內(nèi)部設(shè)置了相應(yīng)的安全域，安全域包括了安全策略域和保護(hù)主客體兩個部分。系統(tǒng)內(nèi)部在進(jìn)行安全域劃分過程中，需要考慮到局域網(wǎng)、邏輯子網(wǎng)等網(wǎng)絡(luò)結(jié)構(gòu)，從而對涉密系統(tǒng)內(nèi)部安全域劃分問題予以有效考慮。安全域結(jié)構(gòu)組成，需要針對于信息密級和重要性進(jìn)行劃分，并且融入VLAN、域等理念，保證安全域劃分與實際需要保持一致性。

(三)注重加強(qiáng)管理。

涉密計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)保密過程中，由于技術(shù)手段存在一定的不足，這就導(dǎo)致系統(tǒng)安全可能存在一定的隱患。這樣一來，針對于技術(shù)缺陷，可以通過管理對問題予以彌補(bǔ)。一般來說，涉密計算機(jī)系統(tǒng)安全系統(tǒng)保密的管理與技術(shù)比例為7:3，管理對于涉密計算機(jī)安全性重要程度更高。在保密系統(tǒng)設(shè)計完成后，需要結(jié)合具體情況，加強(qiáng)管理工作，實現(xiàn)管理手段與技術(shù)手段的緊密結(jié)合，從而提升保密系統(tǒng)的安全性和可靠性。

涉密計算機(jī)網(wǎng)絡(luò)安全工作，關(guān)鍵點在于技術(shù)手段和管理手段的有機(jī)結(jié)合，只有這樣，才能夠降低系統(tǒng)遭受非法入侵幾率。但是由于技術(shù)手段存在一定的漏洞，使安全問題影響到了涉密計算機(jī)系統(tǒng)，針對于這一情況，要注重對涉密系統(tǒng)與非涉密系統(tǒng)進(jìn)行分離，并對涉密系統(tǒng)內(nèi)部的安全域進(jìn)行有效劃分，加強(qiáng)管理，以保證重要信息不被泄露，提升系統(tǒng)的可靠性。

參考文獻(xiàn)

[1]俞迪.基于涉密計算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析[J].中國新通信,2014,03:35.

[2]劉勇.基于涉密計算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析[J].信息通信,2014,02:92.

下一頁更多精彩的“計算機(jī)網(wǎng)絡(luò)的論文5000字范文”

文章標(biāo)題：服務(wù)器安全方案設(shè)計與實現(xiàn) 服務(wù)器網(wǎng)絡(luò)安全方案
URL鏈接：http://www.rwnh.cn/article30/ddcpepo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計公司、虛擬主機(jī)、建站公司、外貿(mào)建站、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)