局域網(wǎng)安全畢業(yè)論文

1、<p><b>　　目 錄</b></p><p><b>　　1 引言1</b></p><p>　　1.1 項目背景1</p><p>　　1.2 國內外現(xiàn)狀1</p><p><b>　　1.3項目意義1</b></p><p>

2、　　1.4 項目實現(xiàn)方法1</p><p>　　2 局域網(wǎng)的概論、網(wǎng)絡結構分類及特點2</p><p>　　2.1局域網(wǎng)概念2</p><p>　　2.2局域網(wǎng)的組成及功能2</p><p>　　2.3 局域網(wǎng)的拓撲結構分類及特點2</p><p>　　2.3.1總線型網(wǎng)2</p><p

3、>　　2.3.2 星型網(wǎng)3</p><p>　　2.3.3 環(huán)型網(wǎng)4</p><p>　　2.3.4混合型拓撲結構5</p><p>　　2.4無線網(wǎng)絡結構5</p><p>　　3.1 局域網(wǎng)網(wǎng)絡結構6</p><p>　　3.1.1 XX信息服務公司的局域網(wǎng)6</p><p&g

4、t;　　3.1.2網(wǎng)絡結構6</p><p><b>　　3.2網(wǎng)絡應用6</b></p><p>　　3.3 網(wǎng)絡結構的特點6</p><p>　　3.3 網(wǎng)絡系統(tǒng)安全風險分析7</p><p>　　4局域網(wǎng)安全控制實施方案及安全產品部署8</p><p>　　4.1物理安全的防范控制

5、8</p><p>　　4.2系統(tǒng)安全的防范控制8</p><p>　　4.2.1計算機網(wǎng)絡設備系統(tǒng)的安全配置8</p><p>　　4.2.2計算機操作系統(tǒng)的安全配置8</p><p>　　4.3企業(yè)郵件系統(tǒng)安全的解決方案10</p><p>　　4.4網(wǎng)絡安全的防范控制11</p><

6、;p>　　4.5應用安全的防范控制13</p><p>　　5 局域網(wǎng)安全控制措施測試16</p><p>　　5.1 測試方案16</p><p><b>　　結論18</b></p><p><b>　　致謝19</b></p><p><b>

7、　　參考文獻20</b></p><p><b>　　1 引言</b></p><p><b>　　1.1 項目背景</b></p><p>　　隨著計算機技術的飛速發(fā)展，辦公信息化和設備數(shù)字化的不斷普及，企業(yè)網(wǎng)絡的建設也越來越重要。目前我國大多企業(yè)都已經搭建了公司的局域網(wǎng)，用于實現(xiàn)辦公自動化和網(wǎng)絡化，從提高

8、辦公效率，為企業(yè)創(chuàng)造更多的效益。但隨之而來的計算機網(wǎng)絡安全問題也日益突出，局域網(wǎng)的安全問題引起了我們的重視，局域網(wǎng)內網(wǎng)的安全隱患給我們帶來了許多麻煩，來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經授權的網(wǎng)絡設備或用戶就可能通過到無線局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。很多有線網(wǎng)絡中的安全策略在無線方式下不再適用。局域網(wǎng)在帶來巨大應用便利的同時，也存在許多安全上的問題。為了確保各項工作的安全高

9、效運行，保證網(wǎng)絡信息的安全，計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。這也是本課題研究的意義和目的。</p><p><b>　　1.2 國內外現(xiàn)狀</b></p><p>　　國外現(xiàn)狀：國外的信息安全研究起步較早，早在20世紀70年代美國就在網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上，提出了“可信計算機系統(tǒng)安全評估準則

10、(TESEC)”以及后來的關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面的相關解釋，形成了安全信息系統(tǒng)體系結構的準則。安全協(xié)議作為信息安全的重要內容，處于發(fā)展提高階段，仍存在局限性和漏洞。另外基于計算機運算速度的不斷提高和網(wǎng)絡安全要求的不斷提升，各種安全技術不斷發(fā)展，網(wǎng)絡安全技術21世紀將成為信息安全的關鍵技術。 </p><p>　　國內：現(xiàn)狀近期，國內反病毒廠商江民科技進行了一項針對我國中小企業(yè)局域網(wǎng)狀況的調查，調查對象包括北京、廣

11、東、武漢等十余個城市的中小企業(yè)。報告顯示全國有78.04%的中小型企業(yè)局域網(wǎng)中都存在病毒威脅，僅有21.96%的企業(yè)擁有良好的網(wǎng)絡環(huán)境，在所有參與調查的企業(yè)中，有15.75%的企業(yè)局域網(wǎng)中沒有任何的防護措施，81.48%的企業(yè)只安裝了單機版殺毒軟件。所以在國內局域網(wǎng)的安全現(xiàn)狀還是非常的突出，也極大地影響公司的發(fā)展與形象。</p><p><b>　　1.3項目意義</b></p>

12、<p>　　通過對局域網(wǎng)的結構功能等內容的了解，對局域網(wǎng)所面臨的安全進行分析，并提出相應的解決方案，對網(wǎng)絡安全的防范技術做了分析和比較。在介紹網(wǎng)絡安全概念及其產生原因的基礎上，介紹了各種安全產品的信息技術及其在局域網(wǎng)信息安全中的作用和地位，特別是對加強安全應采取的應對措施做了較深入的闡述。</p><p>　　1.4 項目實現(xiàn)方法</p><p>　?、?通過對路由器，交換機

13、，服務器等設備的設置，提出了對物理設備的安全解決方案。</p><p>　　⑵ 通過對WINDDOWS 2003 SERVER 系統(tǒng)管理實施，提出了系統(tǒng)信息安全的解決方案。</p><p>　　⑶ 通過對WINDOWS EXCHANGE SERVER 2003系統(tǒng)的實施，提出了郵件系統(tǒng)安全的解決方案。</p><p>　?、?通過的WINDOWS ISA SERVE

14、R 2004系統(tǒng)實施，提出了網(wǎng)絡系統(tǒng)安全的解決方案。</p><p>　?、?通過江民科技企業(yè)版殺毒軟件系統(tǒng)實施，提出了應用安全管理的解決方案。</p><p>　　2 局域網(wǎng)的概論、網(wǎng)絡結構分類及特點</p><p><b>　　2.1局域網(wǎng)概念</b></p><p>　　局域網(wǎng)（Local Area Network

15、）是在一個局部的地理范圍內(如一個學校、工廠和機關內)，將各種計算機。外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)。它可以通過數(shù)據(jù)通信網(wǎng)或專用數(shù)據(jù)電路，與遠方的局域網(wǎng)、數(shù)據(jù)庫或處理中心相連接，構成一個大范圍的信息處理系統(tǒng)。簡稱LAN，是指在某一區(qū)域內由多臺計算機互聯(lián)成的計算機組?！澳骋粎^(qū)域”指的是同一辦公室、同一建筑物、同一公司和同一學校等，一般是方圓幾千米以內。局域網(wǎng)可以實現(xiàn)文件管理、應用軟件共享、打印機共享、掃描儀共享、工作組內

16、的日程安排、電子郵件和傳真通信服務等功能。局域網(wǎng)是封閉型的，可以由辦公室內的兩臺計算機組成，也可以由一個公司內的上千臺計算機組成。</p><p>　　2.2局域網(wǎng)的組成及功能</p><p>　　局部網(wǎng)絡的構成并不復雜，一般由微機及外部設備、通訊控制信息傳輸?shù)慕涌跈C及相應的網(wǎng)絡管理軟件等四大部分組成。要把多臺個人計算機連接起來，構成局部網(wǎng)絡，必須使用一定的聯(lián)網(wǎng)硬件。最簡單的聯(lián)網(wǎng)硬件是插入

17、個人計算機的網(wǎng)絡接口插件和將這些網(wǎng)絡插件連接起來的電纜系統(tǒng)。LAN最主要的功能是提供資源共享和相互通信，它可提供以下幾項主要服務：</p><p><b>　?、?資源共享</b></p><p>　　包括硬件資源共享、軟件資源共享及數(shù)據(jù)庫存共享。在局域網(wǎng)上各用戶可以共享昴貴的硬件資源，如大型外部存儲器、繪圖儀、激光打印機、圖文掃描儀等特殊外設。用戶可共享網(wǎng)絡上系統(tǒng)軟

18、件和應用軟件，避免重復投資及重復勞動。網(wǎng)絡技術可使大量分散的數(shù)據(jù)能被迅速集中、分析和處理，分散在網(wǎng)內的計算機用戶可以共享網(wǎng)內的大型數(shù)據(jù)庫而不必重要設計這些數(shù)據(jù)庫。</p><p>　?、?數(shù)據(jù)傳送和電子郵件</p><p>　　數(shù)據(jù)和文件的傳輸是網(wǎng)絡的重要功能，現(xiàn)代局域網(wǎng)不僅能傳送文件、數(shù)據(jù)信息，還可以傳送聲音、圖像。局域網(wǎng)站點之間可提供電子郵件服務，某網(wǎng)絡用戶可以輸入信件并傳送給另一用戶

19、，收信人可打開“郵箱”閱讀處理信件并可寫回信再發(fā)回電子郵件，既節(jié)省紙張又快捷方便。</p><p>　?、?提高計算機系統(tǒng)的可靠性</p><p>　　局域網(wǎng)中的計算機可以互為后備，避免了單機系統(tǒng)的無后備時可能出現(xiàn)的故障導致系統(tǒng)癱瘓，大大提高了系統(tǒng)的可靠性，特別在工業(yè)過程控制、實時數(shù)據(jù)處理等應用中尤為重要。</p><p><b>　?、?易于分布處理&l

20、t;/b></p><p>　　利用網(wǎng)絡技術能將多臺計算機連成具有高性能的計算機系統(tǒng)，通過一定算法，將較大型的綜合性問題分給不同的計算機去完成。在網(wǎng)絡上可建立分布式數(shù)據(jù)庫系統(tǒng)，使整個計算機系統(tǒng)的性能大大提高。</p><p>　　2.3 局域網(wǎng)的拓撲結構分類及特點</p><p>　　局域網(wǎng)通常是分布在一個有限地理范圍內的網(wǎng)絡系統(tǒng)，一般所涉及的地理范圍只有幾公

21、里。局域網(wǎng)專用性非常強，具有比較穩(wěn)定和規(guī)范的拓撲結構。常見的局域網(wǎng)拓樸結構如下</p><p>　　計算機局域網(wǎng)一般采用四種基本拓撲結構：總線型、星型、環(huán)型、和樹型結構。</p><p>　　2.3.1總線型網(wǎng)  </p><p>　　在總線型網(wǎng)中所有入網(wǎng)的、計算機設備共用一條傳輸線路，如圖2.3.1所示。計算機通過專用的分接頭接入線路。由于線路對信號的衰

22、減作用，總線型網(wǎng)僅用于在有限的區(qū)域內組建局域網(wǎng)。總線型拓撲結構采用競爭方式傳送信息，總線上所有計算機共享網(wǎng)絡帶寬，網(wǎng)上計算機越多，速度越慢，而且會因總線上某個結點接觸不好，影響網(wǎng)絡的正常通信，網(wǎng)絡不易維護。隨著交換機的功能不斷提高，人們已不再采用總線方式組建局域網(wǎng)總線形結構網(wǎng)絡是將各個節(jié)點設備和一根總線相連。網(wǎng)絡中所有的節(jié)點工作站都是通過總線進行信息傳輸?shù)?。作為總線的通信連線可以是同軸電纜、雙絞線，也可以是扁平電纜。在總線結構中，作為數(shù)

23、據(jù)通信必經的問好線的負載能量是有限度的，這是由通信媒體本身的物理性能決定的。所以，總線結構網(wǎng)絡中工作站節(jié)點的個數(shù)是有限制的，如果工作站節(jié)點的個數(shù)超出總線負載能量，就需要延長總線的長度，并加入相當數(shù)量的附加轉接部件，使總線負載達到容量要求?？偩€形結構網(wǎng)絡簡單、靈活，可擴充性能好。所以，進行節(jié)點設備的插入與拆卸非常方便。另外，總線結構網(wǎng)絡可靠性高、網(wǎng)絡節(jié)點間響應速度快、共享資源能力強、設備投入量少、成本低、安裝使用方便，當某個工作站節(jié)點出&

24、lt;/p><p>　　圖2.3.1 總線型網(wǎng)絡</p><p>　　2.3.2 星型網(wǎng) </p><p>　　星型網(wǎng)是以一臺中心處理機為主而構成的網(wǎng)絡，其它入網(wǎng)的計算機設備與該中心處理機之間有直接的物理鏈路，所有網(wǎng)上傳輸?shù)男畔⒕柰ㄟ^該中心處理機轉發(fā)，如圖2.3.2所示。目前，大多數(shù)企業(yè)的局域網(wǎng)從物理連接上都采用星型結構，將上網(wǎng)的計算機連到一臺或多臺交換機上

25、，構成星型結構或樹型結構。這種結構是目前在局域網(wǎng)中應用得最為普遍的一種，在企業(yè)網(wǎng)絡中幾乎都是采用這一方式。星型網(wǎng)絡幾乎是Ethernet（以太網(wǎng)）網(wǎng)絡專用，它是因網(wǎng)絡中的各工作站節(jié)點設備通過一個網(wǎng)絡集中設備（如集線器或者交換機）連接在一起，各節(jié)點呈星狀分布而得名。這類網(wǎng)絡目前用的最多的傳輸介質是雙絞線，如常見的五類線、超五類雙絞線等。</p><p>　　這種拓撲結構網(wǎng)絡的基本特點主要有如下幾點：</p&g

26、t;<p><b>　　⑴ 容易實現(xiàn)</b></p><p>　　它所采用的傳輸介質一般都是采用通用的雙絞線，這種傳輸介質相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜那更不用說了。這種拓撲結構主要應用于IEEE 802.2、IEEE 802.3標準的以太局域網(wǎng)中；</p><p>　?、?節(jié)點

27、擴展和移動方便</p><p>　　節(jié)點擴展時只需要從集線器或交換機等集中設備中拉一條線即可，而要移動一個節(jié)點只需要把相應節(jié)點設備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡那樣“牽其一而動全局”；</p><p><b>　　⑶ 維護容易</b></p><p>　　一個節(jié)點出現(xiàn)故障不會影響其它節(jié)點的連接，可任意拆走故障節(jié)點；</p>&l

28、t;p>　　⑷ 采用廣播信息傳送方式</p><p>　　任何一個節(jié)點發(fā)送信息在整個網(wǎng)中的節(jié)點都可以收到，這在網(wǎng)絡方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大；</p><p><b>　?、?網(wǎng)絡傳輸數(shù)據(jù)快</b></p><p>　　這一點可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。</p><

29、;p>　　這種結構的網(wǎng)絡是各工作站以星形方式連接起來的，網(wǎng)中的每一個節(jié)點設備都以中防節(jié)為中心，通過連接線與中心 節(jié)點相連，如果一個工作站需要傳輸數(shù)據(jù)，它首先必須通過中心節(jié)點。由于在這種結構的網(wǎng)絡系統(tǒng)中，中心節(jié)點是控制中心，任意兩個節(jié)點間的通信最多只需兩步，所以，能夠傳輸速度快，并且網(wǎng)絡構形簡單、建網(wǎng)容易、便于控制和管理。但這種網(wǎng)絡系統(tǒng)，網(wǎng)絡可靠性低，網(wǎng)絡共享能力差，并且一旦中心節(jié)點出現(xiàn)故障則導致全網(wǎng)癱瘓。</p>&

30、lt;p>　　圖2.3.2 星型網(wǎng)絡</p><p>　　2.3.3 環(huán)型網(wǎng)  </p><p>　　在環(huán)型網(wǎng)中入網(wǎng)的計算機通過通信設備接入網(wǎng)絡，每個通信設備僅與兩個相鄰的通信設備有直接的物理鏈路，所有的通信設備及其物理鏈路構成了一個環(huán)狀的網(wǎng)絡系統(tǒng)，如圖2.3.3所示。。環(huán)形拓撲可以用于組建局域網(wǎng)和廣域網(wǎng)。環(huán)形結構是網(wǎng)絡中各節(jié)點通過一條首尾相連的通信鏈路連接起來的一個閉合一

31、閉合環(huán)形結構網(wǎng)。環(huán)形結構網(wǎng)絡的結構也比較簡單，系統(tǒng)中各工作站地位相等。系統(tǒng)中通信設備和線路比較節(jié)省。在網(wǎng)中信息設有固定方向單向流動，兩個工作站節(jié)點之間僅有一條通路，系統(tǒng)中無信道選擇問題；某個結點的故障將導致物理癱瘓。環(huán)網(wǎng)中，由于環(huán)路是封閉的，所以不便于擱充，系統(tǒng)響應延時長，且信息傳輸效率相對較低。這種結構的網(wǎng)絡形式主要應用于令牌網(wǎng)中，在這種網(wǎng)絡結構中各設備是直接通過電纜來串接的，最后形成一個閉環(huán)，整個網(wǎng)絡發(fā)送的信息就是在這個環(huán)中傳遞，通

32、常把這類網(wǎng)絡稱之為“令牌環(huán)網(wǎng)”。實際上大多數(shù)情況下這種拓撲結構的網(wǎng)絡不會是所有計算機真的要連接成物理上的環(huán)型，一般情況下，環(huán)的兩端是通過一個阻抗匹配器來實現(xiàn)環(huán)的封閉的，因為在實際組網(wǎng)過程中因地理位置的限制不方便真的做到環(huán)的兩端物理連接。 </p><p>　　這種拓撲結構的網(wǎng)絡主要有如下幾個特點：</p><p>　　這種網(wǎng)絡結構一般僅適用于IEEE 802.5的令牌網(wǎng)（Token rin

33、g network），在這種網(wǎng)絡中，“令牌”是在環(huán)型連接中依次傳遞。所用的傳輸介質一般是同軸電纜。</p><p>　　這種網(wǎng)絡實現(xiàn)也非常簡單，投資最小?？梢詮钠渚W(wǎng)絡結構示意圖中看出，組成這個網(wǎng)絡除了各工作站就是傳輸介質--同軸電纜，以及一些連接器材，沒有價格昂貴的節(jié)點集中設備，如集線器和交換機。但也正因為這樣，所以這種網(wǎng)絡所能實現(xiàn)的功能最為簡單，僅能當作一般的文件服務模式。</p><p&g

34、t;　　傳輸速度較快：在令牌網(wǎng)中允許有16Mbps的傳輸速度，它比普通的10Mbps以太網(wǎng)要快許多。當然隨著以太網(wǎng)的廣泛應用和以太網(wǎng)技術的發(fā)展，以太網(wǎng)的速度也得到了極大提高，目前普遍都能提供100Mbps的網(wǎng)速，遠比16Mbps要高。</p><p>　　維護困難：從其網(wǎng)絡結構可以看到，整個網(wǎng)絡各節(jié)點間是直接串聯(lián)，這樣任何一個節(jié)點出了故障都會造成整個網(wǎng)絡的中斷、癱瘓，維護起來非常不便。另一方面因為同軸電纜所采用的

35、是插針式的接觸方式，所以非常容易造成接觸不良，網(wǎng)絡中斷，而且這樣查找起來非常困難，這一點相信維護過這種網(wǎng)絡的人都會深有體會。</p><p>　　擴展性能差：也是因為它的環(huán)型結構，決定了它的擴展性能遠不如星型結構的好，如果要新添加或移動節(jié)點，就必須中斷整個網(wǎng)絡，在環(huán)的兩端作好連接器才能連接。</p><p>　　圖2.3.3 環(huán)形型網(wǎng)絡</p><p>　　2.3.

36、4混合型拓撲結構</p><p>　　這種網(wǎng)絡拓撲結構是由前面所講的星型結構和總線型結構的網(wǎng)絡結合在一起的網(wǎng)絡結構，這樣的拓撲結構更能滿足較大網(wǎng)絡的拓展，解決星型網(wǎng)絡在傳輸距離上的局限，而同時又解決了總線型網(wǎng)絡在連接用戶數(shù)量的限制。這種網(wǎng)絡拓撲結構同時兼顧了星型網(wǎng)與總線型網(wǎng)絡的優(yōu)點，在缺點方面得到了一定的彌補。</p><p><b>　　2.4無線網(wǎng)絡結構</b>&

37、lt;/p><p>　　無線局域網(wǎng)，也被稱為 WLAN（Wireless LAN），一般用于寬帶家庭，大樓內部以及園區(qū)內部，典型距離覆蓋幾十米至幾百米，目前采用的技術主要是 802.11a /b/g/n 系列。WLAN 利用無線技術在空中傳輸數(shù)據(jù)、話音和視頻信號，作為傳統(tǒng)布線網(wǎng)絡的一種替代方案或延伸。 無線局域網(wǎng)的出現(xiàn)使得原來有線網(wǎng)絡所遇到的問題迎刃而解，它可以使用戶任意對有線

38、網(wǎng)絡進行擴展和延伸。只要在有線網(wǎng)絡的基礎上通過無線接入點、無線網(wǎng)橋、無線網(wǎng)卡等無線設備使無線通信得以實現(xiàn)。在不進行傳統(tǒng)布線的同時，提供有線局域網(wǎng)的所有功能，并能夠隨著用戶的需要隨意的更改擴展網(wǎng)絡，實現(xiàn)移動應用。 無線局域網(wǎng)把個人從辦公桌邊解放了出來，使他們可以隨時隨地獲取信息，提高了員工的辦公效率。一般而言，對比于傳統(tǒng)的有線網(wǎng)絡，無線局域網(wǎng)的應用價值體現(xiàn)在：</p><p>　　可移動性：由于沒有線纜的限制，用戶

39、可以在不同的地方移動工作，網(wǎng)絡用戶不管在任何地方都可以實時地訪問信息。 </p><p>　　布線容易：由于不需要布線，消除了穿墻或過天花板布線的繁瑣工作，因此安裝容易，建網(wǎng)時間可大大縮短?！　?</p><p>　　組網(wǎng)靈活：無線局域網(wǎng)可以組成多種拓撲結構，可以十分容易地從少數(shù)用戶的 點對點 模式擴展到上千用戶的 基礎架構 網(wǎng)絡。 </p><p>　　成本優(yōu)勢：

40、這種優(yōu)勢體現(xiàn)在用戶網(wǎng)絡需要租用大量的電信專線進行通信的時候，自行組建的 WLAN 會為用戶節(jié)約大量的租用費用。在需要頻繁移動和變化的動態(tài)環(huán)境中，無線局域網(wǎng)的投資更有回報。 </p><p>　　企業(yè)實際局域網(wǎng)結構總體分析</p><p>　　本安全解決方案的目標是以XX信息服務公司為例，在不影響XX當前業(yè)務的前提下，實現(xiàn)對局域網(wǎng)全面的安全管理，內容包括： </p&

41、gt;<p>　　公司重要文件的安全、保密，避免信息泄密。 </p><p>　　對電腦操作系統(tǒng)、ERP 系統(tǒng)進行管理設置，加強審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。 </p><p>　　通過網(wǎng)絡檢測系統(tǒng)等方式實現(xiàn)實時安全監(jiān)控，利用各種形式安全策略，提供對企業(yè)用戶進行整體化管理，提高局域網(wǎng)安全性使網(wǎng)絡管理員能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大

42、限度地減少損失。 </p><p>　　在所有服務器、用戶電腦上安裝相應的防病毒軟件，由系統(tǒng)控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。 </p><p>　　將公司內所有的硬件、軟件及安全策略等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入公司網(wǎng)絡，減少網(wǎng)絡的安全風險。</p><p>　　3.1 局域網(wǎng)網(wǎng)絡結構</p><p>

43、　　網(wǎng)絡概況,如圖3.1.1 所示。 </p><p>　　圖3.1.1 網(wǎng)絡結構</p><p>　　3.1.1 XX信息服務公司的局域網(wǎng)</p><p>　　是一個信息點較為集中的百兆局域網(wǎng)絡系統(tǒng)，它所聯(lián)接的現(xiàn)有信息點 為XX公司各部門提供了一個快速、方便的信息共享與交流的平臺。不僅如此，通過ADSL、 </p><p>　　專線與Int

44、ernet 的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接通過互聯(lián) </p><p>　　網(wǎng)與客戶進行交流、聯(lián)系；操作ERP 等應用系統(tǒng)、查詢資料等。通過公開的MSN、QQ、郵件服 務器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。從而達到節(jié)約通信成本、優(yōu)化資源的 </p><p><b>　　目的。 </b></p><p>　　3.1

45、.2網(wǎng)絡結構 </p><p>　　整個局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：</p><p>　　Internet 區(qū)域：用戶通過代理服務器，共享ADSL 進行上網(wǎng)、網(wǎng)絡傳真、應用MSN、企業(yè)QQ、了解最新信息等。 </p><p>　　內部網(wǎng)絡區(qū)域：ERP、金蝶、企業(yè)郵箱及打印共享的應用。 </p><p>　　公開服務器區(qū)域：ERP

46、 服務器、文件服務器、郵件服務器等 </p><p><b>　　3.2網(wǎng)絡應用 </b></p><p>　　XX信息服務公司的局域網(wǎng)目前為用戶提供如下主要應用： </p><p>　　文件共享、辦公自動化、WWW 服務、電子郵件服務、溝通與聯(lián)絡等。</p><p>　　重要文件數(shù)據(jù)的統(tǒng)一存儲與拷貝。</p>

47、;<p>　　財務系統(tǒng)、ERP 系統(tǒng)等的應用。</p><p>　　提供與Internet 的訪問、MSN、QQ等在線聯(lián)系。</p><p>　　通過公開服務器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等。</p><p>　　移動辦公，包括手提電腦的應用，或員工出差時使用的其它電腦。</p><p>　　3.3 網(wǎng)絡結構的特點 </

48、p><p>　　從安全風險考慮，XX信息公司網(wǎng)絡有如下幾個特點：</p><p>　　網(wǎng)絡與Internet 直接連結，因此存在許多與Internet 連結的有關風險，包括可能</p><p>　　通過Internet 傳播進來病毒，黑客攻擊，來自Internet 的非授權訪問等。</p><p>　　網(wǎng)絡中存在公開服務器，由于公開服務器對外必須

49、開放部分業(yè)務，因此在進行安全</p><p>　　方案設計時應該考慮采用安全服務器網(wǎng)絡，避免公開服務器的安全風險擴散到內部。</p><p>　　3.3 網(wǎng)絡系統(tǒng)安全風險分析</p><p>　?、?帶有目的的員工將給公司造成不可估量的損失： </p><p>　　對于已經離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風險。但還

50、有心懷不滿的在職員工，這些員工比已經離開的員工能造成更大的損失，例如他們可以通過郵件、QQ、盜用同事密碼等手段，傳出至關重要的信息、泄露 安全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。 </p><p>　?、?網(wǎng)絡平臺風險分析 </p><p>　　網(wǎng)絡結構的安全涉及到網(wǎng)絡拓撲結構、網(wǎng)路狀況及網(wǎng)絡的環(huán)境等。 </p><p>　　公開服務器面臨的威脅 XX企業(yè)局域

51、網(wǎng)內公開服務器區(qū)（ERP、EMAIL、文件服務等服務器）作為公司的信息發(fā)布平臺，一旦不能運行或者受到攻擊，對企業(yè)的聲譽影響巨大。同時公開服務器本身要為外界服務，必須開放相應的服務；因此，對Internet 安全做出有效反應變得十分重要。我們有必要將公開服務器、內部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結構信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。同時還需要對服務

52、器的重要數(shù)據(jù)進行定期維護，備份。以達到服務器出現(xiàn)問題后及時采取相對應的急救措施 。</p><p>　?、?系統(tǒng)安全風險分析 </p><p>　　主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如下策略： </p><p>　　對操作系統(tǒng)進行規(guī)范、統(tǒng)一的安全配置，提高系統(tǒng)的安全性。</p><p>

53、　　系統(tǒng)內部調用不對Internet 公開。</p><p>　　關鍵性信息不直接公開，盡可能都采用安全性高的windows2003操作系統(tǒng)。 </p><p>　　網(wǎng)絡上的服務器和網(wǎng)絡設備盡可能不采取同一家的產品； 并對服務器進行定期備份。</p><p>　?、?應用安全風險分析 </p><p>　　主要考慮ERP 系統(tǒng)的應用，確保用戶

54、的合法性；應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。另外，在加強主機和系統(tǒng)漏洞檢測并緊密注視其Bug ；對掃描軟件不斷升級。 </p><p>　?、?互聯(lián)網(wǎng)病毒風險分析 </p><p>　　計算機病毒一直是計算機安全的主要威脅。能在Internet 上傳播的新型病毒，例如通過E-Mail 傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病

55、毒總數(shù)已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail 文件需要特別警惕，否則很容易使系統(tǒng)導致嚴重的破壞。典型的“沖擊波”病毒就是一個可怕的例子。 </p><p>　　通過前面我們對這個企業(yè)局域網(wǎng)絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對重要文檔資料的管理、服務器的安全保護、防黑客和病毒以及重要網(wǎng)點的保護上。因此，我們

56、必須采取相應的安全措施杜絕安全隱患，其中應該做到： </p><p>　　ERP、金蝶、各部門重要文檔等數(shù)據(jù)的安全保護。</p><p>　　ERP、用友、各部門重要文檔等數(shù)據(jù)的數(shù)據(jù)備份與恢復。 </p><p>　　EMAIL、FTP文件服務器與ERP公開服務器的安全保護，防止公司重要資料與文件的外泄，防止黑客從外部攻擊入侵檢測與監(jiān)控。</p>&l

57、t;p><b>　　信息審計與記錄。 </b></p><p><b>　　病毒防護。</b></p><p>　　網(wǎng)絡的安全管理。 4局域網(wǎng)安全控制實施方案及安全產品部署</p><p>　　通過對網(wǎng)絡的全面了解，按照安全策略的要求、風險分析的結果及整個網(wǎng)絡的安全 </p><p>　　目標

58、，整個網(wǎng)絡措施應按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成：物理安全的防范控制、系統(tǒng)安全的防范控制、郵件系統(tǒng)安全的防范控制、網(wǎng)絡安全的防范控制、應用安全的防范控制</p><p>　　4.1物理安全的防范控制</p><p>　　電腦系統(tǒng)的各種設備的物理安全是整個信息系統(tǒng)安全的前提，物理安全是保護 </p><p>　　電腦網(wǎng)絡設備、設施以及其它媒體免遭水

59、災、火災，電擊等環(huán)境事故以及人為操作失誤或 </p><p>　　錯誤導致的破壞過程。</p><p>　　4.2系統(tǒng)安全的防范控制</p><p>　　4.2.1計算機網(wǎng)絡設備系統(tǒng)的安全配置</p><p>　?、?路由器的安全配置</p><p>　　路由器設置安全登錄密碼。</p><p>

60、;　　盡量關閉TELENT遠程登錄，保證路由器密碼安全。</p><p>　　利用路由器路由協(xié)議的安全配置和訪問控制策略，禁止和關閉如PING、FINGER、ARP-Proxy等一些公司不必要的服務，減少外部網(wǎng)絡的惡意攻擊，利用建立訪問控制列表實現(xiàn)網(wǎng)絡不被非法訪問，加強網(wǎng)絡安全屏蔽。</p><p>　　對于擁有無線網(wǎng)絡功能的路由器要求做到，隱藏、更改、關閉SSID無線廣播，通過WEP或W

61、PA設置無線登錄密碼，禁用DHCP的IP自動分配功能，使用手動分配IP并建立IP訪問列表，防止非法用戶進入局域網(wǎng)。</p><p>　　對路由器的配置文件進行備份。</p><p>　　⑵ 交換機的安全配置</p><p>　　通過交換機進行網(wǎng)絡流量控制，避免網(wǎng)絡堵塞。</p><p>　　安全交換機進行采用專門技術防范DDos攻擊，防止內部

62、網(wǎng)絡遭受惡意攻擊。</p><p>　　交換機虛擬局域網(wǎng)功能(VLAN):VLAN可以跨越一個或多個交換機，設備之間與物理位置無關，VLAN限制了各個不同VLAN之間的非授權訪問，提高了網(wǎng)絡訪問的安全性，IP與MAC地址綁定可以限制用戶的非法訪問及IP地址欺騙攻擊。</p><p>　　交換機的IDS入侵檢測功能還可以對數(shù)據(jù)流進行檢測，在發(fā)現(xiàn)網(wǎng)絡安全事件時，進行有針對性的操作。</p

63、><p>　　對交換機的操作配置文件進行備份。</p><p>　　4.2.2計算機操作系統(tǒng)的安全配置</p><p>　　對公司的操作系統(tǒng)使用以服務器為windows 2003 server ，客戶端為windows xp 的域模式的系統(tǒng)結構，對公司系統(tǒng)安全進行配置，操作系統(tǒng)的安全配置：</p><p>　　公司局域網(wǎng)以windows serv

64、ers 2003 為服務器，windows XP 為工作站位的單域結構模式組成，公司的每一個員工都必須有一個賬戶，才能登錄到計算機和服務器，并且訪問網(wǎng)絡上的資源，通過服務器相關的設置來達到對公司各級別員工使用系統(tǒng)和網(wǎng)絡的權限控制：</p><p>　　服務器建立DC（域控制器）。</p><p>　　建立AD (活動目錄)。</p><p>　　建立OU (組織單位

65、)。</p><p>　　建立用戶并按部門加入不同權限級別的OU或組。</p><p>　　為每個用戶設置密碼，并修改用戶賬戶屬性“賬戶”選項卡中可以更改用戶登錄名、密碼策略和賬戶策略，在“賬戶”選項卡中，可以控制用戶的登錄時間和只能登錄哪些服務器或計算機。單擊“登錄時間”按鈕，可在如圖4-26所示的對話框中設置登錄時間。同時可以通過單擊“登錄到”按鈕，控制用戶只能登錄哪些服務器或計算機如

66、圖4.2. 1和4.2.2所示。</p><p>　　圖4.2. 1 創(chuàng)建用戶</p><p>　　圖4.2..2 賬戶登錄設置</p><p>　　服務器文件系統(tǒng)格式采用NTFS文件系統(tǒng)，，標準NTFS權限分別為：讀取、寫入、讀取和運行、修改、完全控制。我們可以將服務器上的公用和共享文件設置不同的訪問權限，允許或拒絕某個用戶或用戶組的訪問，如圖：4.2.3所示&l

67、t;/p><p>　　圖4.2. 3 訪問權限</p><p>　　同時NTFS文件系統(tǒng)的EFS（文件加密系統(tǒng)）功能可以將文件以加密形式存放在磁盤上，一般情況下只有加密的用戶自己可以打開加密的文件，由于解密信息時存儲在加密用戶賬戶的信息中，所以即使一個具有完全控制權限的管理員登錄，也不能訪問此文件。而且對于加密文件的存取過程也是透明的，就像訪問其他沒有加密的文件一樣，如圖4.2.4（默認顏色為

68、綠色）所示</p><p>　　圖4.2.4 文件加密</p><p>　　使用域安全策略及組策略對用戶的密碼長度，復雜性，密碼使用期限等選項進行設置，提高用戶賬戶安全如圖：4.2.5所示</p><p>　　圖4.2.5 賬戶安全</p><p>　　使用windows server 2003中的NTbackup 工具對用戶數(shù)據(jù)及系統(tǒng)數(shù)據(jù)進

69、行備份，還可以使用備份工具中的計劃備份功能對數(shù)據(jù)進行定期自動備份，如圖：4.2.6所示。</p><p>　　圖4.2.6 計劃備份</p><p>　　8：磁盤安全管理：為提高存儲數(shù)據(jù)的磁盤的物理安全性，windows server 2003中的磁盤管理功能可以將磁盤設為鏡像卷或RAID5卷，提高磁盤數(shù)據(jù)的容錯功能，那么即使在服務器的某一塊磁盤出現(xiàn)物理損壞的情況下，系統(tǒng)依然可以將丟失的數(shù)

70、據(jù)進行部分或完全還原。</p><p>　　4.3企業(yè)郵件系統(tǒng)安全的解決方案</p><p>　　對于廣大的企業(yè)來說，電子郵件無疑是一個很重要的通信工具，用戶對電子郵件作為生產力工具是越來越依賴， 但是公司郵箱太多的垃圾郵件，嚴重影響工作，許多垃圾郵件還帶有多種病毒，郵件病毒破壞系統(tǒng)數(shù)據(jù)及盜竊郵件信息的情況時有發(fā)生，對公司造成極大的負面影響。因此我們通過在DC(域控制器)上安裝Exchan

71、ge Server 2003郵件系統(tǒng)及客戶端安裝outlook 2003,并且通過對Exchange Server 2003的安全配置來提高企業(yè)郵件系統(tǒng)的安全性。</p><p>　　在DC(域控制器)上安裝Exchange Server 2003郵件系統(tǒng)以及相關的組件和服務</p><p>　　客戶端安裝OUTLOOK 2003</p><p>　　創(chuàng)建Excha

72、nge 郵箱用戶、聯(lián)系人和組，根據(jù)郵箱用戶所屬公司的部門加入不同的組，并對擁有不同權限的用戶郵箱分別進行權限設置。如圖4.3.1和圖4.3.2所示。</p><p>　　圖4.3.1 傳遞限制 圖4.3.2 存儲限制</p><p>　　對Exchange 服務器的公用文件夾創(chuàng)建安全的系統(tǒng)策略。</p><p>　　對郵件進行數(shù)字

73、簽名或加密，防止數(shù)據(jù)泄密，提高郵件的安全性。</p><p>　　使用OUTLOOK 2003客戶端反垃圾郵件技術：通過對郵件的發(fā)件人地址的過濾、對收件人地址的過濾、對郵件主題的過濾、對郵件內容關鍵字的過濾、郵件頭信息的過濾以及創(chuàng)建郵件規(guī)則來實現(xiàn)對垃圾郵件的過濾，如圖4.3.3所示。</p><p>　　圖4.3.3 郵件過濾</p><p>　　關閉服務器Open

74、-Relay功能，避免成為傳遞和轉發(fā)垃圾郵件的中轉站。</p><p>　　4.4網(wǎng)絡安全的防范控制</p><p>　　ISA Server 2004是目前世界上最好的路由級軟件防火墻之一，它可以讓企業(yè)網(wǎng)絡安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層的應用層識別功能是很多基于包過濾的硬件防火墻都不具有的。在網(wǎng)絡的任何地方，如兩個或多個網(wǎng)絡的邊緣層（Lan到Int

75、ernet、Lan到Lan、Lan到DMZ、Lan到VPN等等）、單個主機上配置ISA Server 2004來對企業(yè)的網(wǎng)絡或主機進行防護，而且其圖形化操作界面讓企業(yè)網(wǎng)絡管理員更容易、更快速的掌握和使用ISA SERVER 2004的各項強大功能來實現(xiàn)企業(yè)網(wǎng)絡的安全防范控制</p><p><b>　?、?設定訪問規(guī)則</b></p><p>　　設定訪問規(guī)則，如圖4

76、.4.1所示。</p><p>　　圖4.4.1 ISA訪問規(guī)則</p><p>　?、?建立防火墻系統(tǒng)策略和建立訪問策略 ，以允許或拒絕具有相對應權限用戶的訪問，如圖4.4.2 和圖4.4.3所示。</p><p>　　圖4..4.2 ISA系統(tǒng)策略</p><p>　　圖4.4.3 ISA訪問策略</p><p>

77、　?、?ISA Server的系統(tǒng)和網(wǎng)絡監(jiān)控、報告</p><p>　　通過ISA 控制臺的“監(jiān)視”節(jié)點，可以了解到ISA的日志、內部客戶和ISA服務器之間的會話、ISA 的系統(tǒng)服務運行情況，還可以通過日志來查詢當前的網(wǎng)絡活動，也可以配置連接性檢查和生成網(wǎng)絡活動的報告 如圖4.4.4所示為ISA Server 當前的系統(tǒng)和網(wǎng)絡運行狀況。</p><p>　　圖4.4.4 ISA運行情況&

78、lt;/p><p>　?、?使用訪問規(guī)則向導來禁止某些內部用戶訪問某些網(wǎng)站</p><p>　　對需要禁止上網(wǎng)的客戶建立一個地址范圍或者計算機集；然后為禁止這些用戶訪問的那些站點建立一個地址范圍或域名集。</p><p>　　在防火墻策略中新建一個訪問規(guī)則；阻止內部的這些計算機集訪問定義的外部站點地址范圍或域名集。</p><p>　?、?禁止使

79、用P2P軟件</p><p>　　利用控制規(guī)則配置禁止UDP8000端口地址集和HTTP 80端口地址集，禁P2P軟件</p><p>　　⑹ 發(fā)布內部網(wǎng)絡中的服務器</p><p>　　利用防火墻策略新建服務器發(fā)布規(guī)則，發(fā)布內網(wǎng)中的服務器，并利用設置訪問規(guī)則決定該服務器有哪些人可以訪問。如圖4.4.5所示。</p><p>　　圖4.4.5

80、 ISA服務器發(fā)布</p><p>　?、?利用ISA Server 2004，建立VPN服務器</p><p>　　通過配置VPN服務器，可以讓在遠程的公司異地辦公人員利用公司分配的登錄賬號方便的訪問公司內部網(wǎng)絡的數(shù)據(jù)，如圖4.4.6所示。</p><p>　　圖4.4.6 ISA建立VPN規(guī)則</p><p>　　4.5應用安全的防范控制

81、</p><p>　　針對計算機病毒的泛濫和危害公司采用部署安裝江民殺毒軟件KV網(wǎng)絡版，對公司局域網(wǎng)中的服務器和客戶端進行病毒防護。</p><p>　?、?WEB方式登陸管理頁面。</p><p>　　江民殺毒軟件KV網(wǎng)絡版，采用IIS信使進行配制，有效的增加了控制中心的安全性和穩(wěn)定性。WEB方式的登陸界面，將保證所有可連接主控中心機器的客戶端都能正常的進行登陸,

82、增加驗證碼安全認證，保障賬號在網(wǎng)絡內使用的安全性。</p><p>　?、?先進的體系結構。</p><p>　　KV網(wǎng)絡版采用了先進的分布式的體系結構，使用了B/S（瀏覽噐/服務噐）和C/S（客戶端/服務器）兩種模式進行通訊和管理，B/S模式用于控制和管理方面，使用該模式控制中心進行全網(wǎng)控制和管理更加方便、快捷；C/S模式用于通訊方面，該模式使客戶端和主控中心在通訊方面更加穩(wěn)定。<

83、/p><p><b>　?、?移動管理功能</b></p><p>　　網(wǎng)絡管理員只要擁有管理員口令，就可以通過IE瀏覽器，實現(xiàn)對整個網(wǎng)絡上所有計算機的集中管理，清楚地掌握整個網(wǎng)絡環(huán)境中各個節(jié)點的病毒狀態(tài)，既方便管理員管理，又可以有效地減少網(wǎng)絡安全風險，最大限度地為用戶的網(wǎng)絡系統(tǒng)提供了可靠的安全解決方案。</p><p>　?、?支持Intel A

84、MT（Active Management Technology）技術的使用。</p><p>　　KV網(wǎng)絡版支持最先進的Intel AMT（Active Management Technology）技術，通過控制中心控制支持AMT技術的客戶端計算機，實現(xiàn)遠程開機，客戶端計算機資產的管理等功能，方便管理員對遠端計算機執(zhí)行遠程故障排除與恢復、顯著減少現(xiàn)場維修量，進而提高工作效率，可以有效的掌握客戶端的病毒庫和系統(tǒng)漏洞

85、補丁的更新時間，而且不影響客戶端的正常工作。</p><p>　?、?完備的遠程控制、權限集中管理</p><p>　　KV網(wǎng)絡版提供了強大的遠程控制功能，用戶通過控制中心不僅可以方便的在網(wǎng)絡中的其它計算機上安裝和卸載KV網(wǎng)絡版，而且可以通過控制中心管理頁面對網(wǎng)絡中所有安裝了客戶端的計算機進行遠程殺毒、查毒、設置、升級操作，此外加強了病毒的日志顯示功能。不但減輕了管理員的工作負擔，同時也極

86、大的提高了管理員的工作效率。</p><p>　　權限集中，核心管理權限集中在控制中心，管理員通過不同權限的賬戶登錄江民控制中心，獲得相應的操作權限，可方便的實現(xiàn)對全網(wǎng)進行集中控制。</p><p><b>　?、?遠程管理</b></p><p>　　通過網(wǎng)絡版控制中心，對客戶端進行遠程管理，通過分組設置，對于不同的組進行相應的網(wǎng)絡設置和權限

87、分配，實現(xiàn)智能化管理分級分組管理。</p><p><b>　　② 密碼保護</b></p><p>　　通過管理員權限設置保護密碼，對客戶端的卸載、修改、退出、關閉監(jiān)控、控制網(wǎng)站、移動存儲設置進行密碼管理，增強客戶端的防病毒能力。</p><p>　?、?全網(wǎng)開機、關機、重啟管理</p><p>　　通過控制中心對安裝

88、網(wǎng)絡版客戶端的計算機實現(xiàn)全網(wǎng)或者單獨計算機執(zhí)行遠程開機（僅限支持Intel AMT技術）、遠程關機，客戶端重新啟動的操作。</p><p><b>　　④ 遠程報警</b></p><p>　　局域網(wǎng)中任何一臺計算機上發(fā)現(xiàn)病毒時，KV殺毒軟件自動將病毒信息傳遞給網(wǎng)絡管理員，智能的記錄系統(tǒng)將會對病毒進行分類統(tǒng)計。</p><p>　?、?未安裝客

89、戶端檢測</p><p>　　該功能可使主控中心主動進行全網(wǎng)搜索可安裝的計算機，并顯示在界面中的未安裝組。另外還可以使網(wǎng)絡管理員對網(wǎng)內計算機的統(tǒng)計及查詢提供便利。</p><p><b>　?、?全網(wǎng)統(tǒng)一殺毒</b></p><p>　　網(wǎng)絡管理員可以在任一臺計算機上，通過登陸控制中心頁面對全網(wǎng)絡的計算機進行查殺病毒；也可對指定的計算機及指定工

90、作組查殺病毒,甚至沒有開機的客戶端也會在下次開機的第一時間自動開始掃描工作。</p><p><b>　?、?全網(wǎng)統(tǒng)一升級</b></p><p>　　網(wǎng)絡版管理員可以在任一臺計算機上，通過控制中心頁面對全網(wǎng)的計算機進行升級管理，也可以指定特定的計算機和工作組進行升級操作，默認情況下，控制中心會自動執(zhí)行定時升級操作，控制中心升級成功后，會自動向客戶端發(fā)送升級指令，進行

91、全網(wǎng)升級。</p><p>　?、?方便的分級、分組管理利用KV網(wǎng)絡版的分級、分組管理功能，管理員可以在控制中心，對多個網(wǎng)段進行統(tǒng)一管理，這樣不但顯著的減少了繁重的重復性工作，同時極大的提高了管理效率，并且可有效降低企業(yè)的開銷。</p><p>　　管理賬戶分級管理:管理員賬戶和普通賬戶分工嚴謹分明。對大型網(wǎng)絡進行分級、跨地域、跨網(wǎng)段布防。不同的權限針對多樣化的客戶端管理方案；</

92、p><p>　　客戶端分組管理:全新的組管理模式，管理員只需新建邏輯組，即可對客戶端進行統(tǒng)一的集中式分類管理，并可以實現(xiàn)隨意遷移。功能實用的客戶端KV網(wǎng)絡版的客戶端具有非常實用的功能。</p><p><b>　　① 客戶端遷移</b></p><p>　　如果管理員建立了組信息。此選項將被自動激活，用戶可以依照網(wǎng)絡環(huán)境將相應的一臺或者多臺計算機隨

93、意遷移到相應分組內，以便實現(xiàn)集中化的管理。</p><p><b>　　② IP自動分組</b></p><p>　　通過對組進行管理，首先選擇一個需要設置的組，設置一個遷移的IP地址段，客戶端安裝后會自動識別組設置中的IP地址信息，自動進行分組操作。</p><p><b>　?、?文件下發(fā)</b></p>

94、<p>　　對遠程客戶端下發(fā)文檔，遠程執(zhí)行程序等操作。當有重大的病毒爆發(fā)時，江民主站會及時的公布專殺工具，主控中心可以通過此功能將工具及時的下發(fā)下去進行掃描操作。該功能也增加了網(wǎng)絡內傳輸文件的安全性，避免了當網(wǎng)絡內的計算機通過共享文件夾進行文件互換時而被病毒侵入的情況發(fā)生。</p><p><b>　　⑻ 隔離帶毒客戶端</b></p><p>　　對于已

95、經中病毒的客戶端，控制中心可以通過斷開網(wǎng)絡連接的功能，將帶毒客戶端進行隔離，防止病毒繼續(xù)擴散。</p><p>　?、?集中式管理、分步式殺毒。</p><p>　　KV網(wǎng)絡采用先進的分布式管理技術，調用每個節(jié)點各自的殺毒軟件對該計算機上所有文件進行全面查殺病毒，使各節(jié)點計算機可以脫離主控中心獨立工作，因為江民殺毒軟件KV網(wǎng)絡版的每一個節(jié)點都有一個獨立的殺毒引擎。由于不在網(wǎng)絡上傳輸文件，既

96、保障了每個節(jié)點使用者的隱私，又大大提高了全網(wǎng)查殺病毒的效率。控制中心結合移動性極強的控制中心頁面實現(xiàn)全網(wǎng)方便管理：局域網(wǎng)內任意一臺計算機均可登陸控制管理頁面。網(wǎng)絡管理員通過帳號和口令使用管理控制頁面，即可清楚地掌握整個網(wǎng)絡環(huán)境中各個節(jié)點客戶端的病毒監(jiān)測狀態(tài)，對局域網(wǎng)進行遠程集中式安全管理。</p><p>　　5 局域網(wǎng)安全控制措施測試</p><p><b>　　5.1 測試方

97、案</b></p><p>　　通過公司內各個崗位的員工的工作性質設定具有針對性的訪問規(guī)則，測試各安全軟件在實際工作過程中的安全性。</p><p><b>　?、?測試方案1、</b></p><p>　　計劃部員工張三的工作報告只允許市場部的所有員工瀏覽，其他部門無權限瀏覽</p><p><b&g

98、t;　　測試方法：</b></p><p>　　在文件服務器上創(chuàng)建名為計劃部的共享文件夾，在共享權限中添加OU計劃部，訪問權限為完全控制，并在訪問權限中刪除其他所有用戶和組。張三將其工作報告?zhèn)髦猎撐募A</p><p><b>　　測試結果：</b></p><p>　　當計劃部經理張斌訪問服務器中該文件夾中的工作報告時，可以正常打

99、開讀取和修改該報告，而當市場部員工李四嘗試訪問該文件夾時，系統(tǒng)出現(xiàn)”您可能沒有權限使用該網(wǎng)絡資源，請與該服務器的管理員聯(lián)系以查明您是否有訪問權限”的錯誤提示。</p><p><b>　　⑵ 測試方案2</b></p><p>　　市場部員工李四的郵箱設置自動篩選垃圾郵件，同時收到的郵件自動轉發(fā)一份給市場部經理李明閱覽。</p><p><

100、;b>　　測試方法：</b></p><p>　　Exchange 服務器上建立聯(lián)系人李四的電子郵件，選擇"SMTP地址"，點確定。然后在常規(guī)選項卡里的電子郵件地址中輸入轉發(fā)到李明的郵件地址。選擇“賬戶”-“屬性“- ”常規(guī)"選項卡中選擇"傳輸選項"，在"轉發(fā)到"里選擇李明的郵件地址，然后選擇"將郵件同時傳遞到轉發(fā)地

101、址和原始收件人郵箱。并在李四的OUTLOOK客戶端“工具”-“規(guī)則和通知”選項中-“主題或正文中包含特定語句”欄內輸入“特價促銷”，在“將主題中包含的特定語句的郵件移至文件夾”選擇“垃圾郵件”</p><p><b>　　測試結果：</b></p><p>　　當行政部員工趙洪給李四發(fā)送一份郵件主題為“本周會議安排”的郵件時，當李四打開郵箱時收到了該郵件，當市場部經理

102、李明打開郵箱時也同時收到了李四轉發(fā)的主題為“本周會議安排”的郵件，當行政部員工趙公明向李四發(fā)送了一份郵件主題為“對面商城有特價促銷商品”的郵件，李四打開郵箱時收件箱內并沒有新郵件，但李四打開垃圾郵件時找到了該郵件。</p><p><b>　?、?測試方案3</b></p><p>　　財務部員工王五不允許訪問雅虎網(wǎng)。</p><p>　　測試

103、方法：首先設定王五的客戶端IP地址為192.168.0.41，然后在ISA SERVER服務器上創(chuàng)建防火墻策略工具箱中打開-“新建計算機集”，在計算機集中添加計算機,輸入計算機IP地址 192.168.0.41，點擊確定。</p><p>　　在“網(wǎng)絡對象”中新建域名集，在域名集策略元素中輸入*.yahoo.com和*.yahoo.com.cn。</p><p>　　建立訪問規(guī)則，規(guī)則命名

104、為“yahoo”，在規(guī)則操作頁選擇“拒絕，在協(xié)議頁，選擇“所有出站通訊”在訪問規(guī)則源頁，點擊“添加”，然后在“添加網(wǎng)絡實體”對話框中展開計算機集，雙擊“新建計算機集”，然后點擊“關閉”，然后在“訪問規(guī)則源”頁點擊“下一步，在訪問規(guī)則目標頁，點擊“添加”，然后在“添加網(wǎng)絡實體”對話框中展開域名集，雙擊“yahoo”，然后點擊“關閉”，然后在“訪問規(guī)則目標”頁點擊“下一步”；在用戶集頁，保留默認的所有用戶，點擊“下一步”；</p>

105、;<p>　　在正在完成新建訪問規(guī)則向導頁，點擊“完成”；</p><p>　　最后，點擊“應用”以保存修改和更新防火墻策略</p><p>　　測試結果：當王五打開瀏覽器訪問www.yahoo.com.cn時，網(wǎng)頁出現(xiàn)“無法顯示網(wǎng)頁，您查找的當前網(wǎng)頁不可用。”的錯誤提示，而王五訪問其他網(wǎng)站網(wǎng)頁時均能正常瀏覽。</p><p><b>　?、?/p>

106、 測試方案4</b></p><p>　　公司外地辦事處王凱向行政部員趙六發(fā)送有攜帶病毒文件，遭殺毒軟件查殺</p><p>　　測試方法：公司外地辦事處王凱向行政部員工趙六發(fā)送文件名為“銷售業(yè)績”的帶毒壓縮包。</p><p>　　測試結果：當行政部趙六接收壓縮包完成時，江民殺毒軟件立刻彈出查殺報告對話框：</p><p>　　

107、“C:\Documents and Set..病毒名稱：Trojan/PSW.OnlineGame.... 狀態(tài)：已刪除”。如圖5.1所示。</p><p>　　圖5.1 查殺報告結論</p><p>　　現(xiàn)代網(wǎng)絡技術的普及,使人們對網(wǎng)絡的依賴程度加大,對網(wǎng)絡的破壞造成的損失和混亂會比以往任何時候都大。這也就使得需要對網(wǎng)絡安全做更高的要求,也使得網(wǎng)絡安全的地位將越來越重要,網(wǎng)絡安全必然會隨

108、著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。</p><p>　　安全管理是一項復雜的系統(tǒng)工程,沒有一勞永逸的安全措施。要在網(wǎng)絡的建設和管理過程中及時分析安全問題,并研究方法,制訂措施,確保網(wǎng)絡正常、高效、安全地運行。</p><p>　　安全管理一直是網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡安全的要求往往又相當高,因此安全管理就顯得非常重要。網(wǎng)絡管理者必須充分意識到潛在的安全性威脅,并采取一定的防范措施盡可

109、能減少這些威脅帶來的惡果,將來自企業(yè)或公司網(wǎng)絡內部和外部對數(shù)據(jù)和設備所引起的危險降到最低程度。</p><p><b>　　致謝</b></p><p>　　歷時將近兩個月的時間終于將這篇論文寫完，在論文的寫作過程中遇到了無數(shù)的困難和障礙，都在同學和老師的幫助下度過了。尤其要強烈感謝我的論文指導老師—老師，他對我進行了無私的指導和幫助，不厭其煩的幫助進行論文的修改和改

110、進。另外，在校圖書館查找資料的時候，圖書館的老師也給我提供了很多方面的支持與幫助。在此向幫助和指導過我的各位老師表示最中心的感謝！</p><p>　　感謝這篇論文所涉及到的各位學者。本文引用了數(shù)位學者的研究文獻，如果沒有各位學者的研究成果的幫助和啟發(fā)，我將很難完成本篇論文的寫作。</p><p>　　感謝我的同學和朋友，在我寫論文的過程中給予我了很多素材，還在論文的撰寫和排版燈過程中提供

111、熱情的幫助。</p><p>　　由于我的學術水平有限，所寫論文難免有不足之處，懇請各位老師和學友批評和指正。</p><p><b>　　參考文獻</b></p><p>　　[1] 胡文啟，徐軍，張伍榮．網(wǎng)絡安全大全．北京：清華大學出版社，2008</p><p>　　[2] 邵波、王其和．計算機網(wǎng)絡安全技術及運用．

112、北京：電子工業(yè)出版社，2006</p><p>　　[3] 吳功宜，吳英．計算機網(wǎng)絡教程第四版．北京：電子工業(yè)出版社，2005</p><p>　　[4] 賈鐵軍．計算機網(wǎng)絡安全及實用教程．北京：機械工業(yè)出版社，2010</p><p>　　[5] 楊明．網(wǎng)絡信息安全解決方案．北京：北大青鳥信息技術有限公司．2005</p><p>　　[6