第一篇：提升電力系統(tǒng)現(xiàn)有網(wǎng)絡(luò)安全防御體系的解決方案

提升電力系統(tǒng)現(xiàn)有網(wǎng)絡(luò)安全防御體系的解決方案

摘要：對(duì)電力系統(tǒng)現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)進(jìn)行了分析，得出當(dāng)前的安全防御技術(shù)雖能夠解決絕大部分已知的惡意代碼攻擊，但卻處于對(duì)新型的和未知的惡意代碼攻擊無法識(shí)別的被動(dòng)防御的狀態(tài)，并提出將現(xiàn)有的安全防御體系提升為主動(dòng)防御體系，實(shí)現(xiàn)差異化、縱深防御的解決方案。

關(guān)鍵詞：未知攻擊；同質(zhì)化；被動(dòng)防御；主動(dòng)防御；防御體系 solution to upgrade the existing power system network security defense system li yongkang1,zhou junpeng2,chen yunfeng1(1.department of technology information,panzhihua electric power bureau,sichuan electric power corporation,panzhihua 617000,china;2.department of technology,chengdu chinatech huichuang technology co.,ltd,chengdu 610041,china)abstract:analyzed technologies of the existing power system network security defense,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code,it proposed to upgrade the existing security defense system for the active defense system,to achieve the solution of differentiation and defense in depth.keywords:unknown attack;homogenization;passive defense;active defense;defense system

一、前言

（一）電力行業(yè)簡介

電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的電能生產(chǎn)、輸送、分配、使用的統(tǒng)一整體。由輸電、變電、配電設(shè)備及相應(yīng)的輔助系統(tǒng)組成的聯(lián)系發(fā)電與用電的統(tǒng)一整體稱為電力網(wǎng)。

電力工業(yè)是國民經(jīng)濟(jì)發(fā)展中最重要的基礎(chǔ)能源產(chǎn)業(yè)，是關(guān)系國計(jì)民生的基礎(chǔ)產(chǎn)業(yè)。電力行業(yè)對(duì)促進(jìn)國民經(jīng)濟(jì)的發(fā)展和社會(huì)進(jìn)步起到重要作用，與社會(huì)經(jīng)濟(jì)和社會(huì)發(fā)展有著十分密切的關(guān)系，它不僅是關(guān)系國家經(jīng)濟(jì)安全的戰(zhàn)略大問題，而且與人們的日常生活、社會(huì)穩(wěn)定密切相關(guān)。隨著我國經(jīng)濟(jì)的發(fā)展，對(duì)電的需求量不斷擴(kuò)大，電力銷售市場的擴(kuò)大又刺激了整個(gè)電力生產(chǎn)的發(fā)展。

（二）電力行業(yè)信息化it系統(tǒng)架構(gòu)

電力行業(yè)it系統(tǒng)按照“sg186”體系部署，整體化分為一體化企業(yè)級(jí)平臺(tái)、八大業(yè)務(wù)應(yīng)用系統(tǒng)和六個(gè)保障系統(tǒng)，形成“縱向貫通、橫向集成”的龐大信息網(wǎng)絡(luò)。八大業(yè)務(wù)應(yīng)用分為建設(shè)財(cái)務(wù)（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公管理、人力資源管理、物資管理、項(xiàng)目管理、綜合管理等。六個(gè)保障體系為信息化安全防護(hù)體系、標(biāo)準(zhǔn)規(guī)范體系、管理調(diào)控體系、評(píng)價(jià)考核體系、技術(shù)研究體系和人才隊(duì)伍體系。

二、當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)防御技術(shù)分析

（一）電力網(wǎng)絡(luò)行為與內(nèi)容的安全情況。電力網(wǎng)絡(luò)行為與內(nèi)容的安全主要是指建立在行為可信性、有效性、完整性和對(duì)電力資源管理與控制行為方面，面對(duì)的威脅應(yīng)當(dāng)屬于是戰(zhàn)略性質(zhì)的，即電力系統(tǒng)威脅不僅要考慮一般的信息犯罪問題，更主要是要考慮敵對(duì)勢力與恐怖組織對(duì)電力相關(guān)信息、通信與調(diào)度的攻擊，甚至要考慮戰(zhàn)爭與災(zāi)害的威脅。

（二）電力網(wǎng)絡(luò)系統(tǒng)安全情況。對(duì)于電力行業(yè)主要考慮以下系統(tǒng)：各類發(fā)電企業(yè)、輸電網(wǎng)、配電網(wǎng)、電力調(diào)度系統(tǒng)、電力通信系統(tǒng)（微波、電力載波、有線、電力線含光纖）、電力信息系統(tǒng)等。這里主要考慮到電力調(diào)度數(shù)據(jù)網(wǎng)（spdnet）、電力通信網(wǎng)與電力信息網(wǎng)幾個(gè)方面的安全問題。電力系統(tǒng)的安全建設(shè)以資源可用和資源控制的安全為中心，必須保障電力系統(tǒng)暢通的24小時(shí)服務(wù)。

目前，大多數(shù)規(guī)模較大的發(fā)電企業(yè)和很多省市的電力公司在網(wǎng)絡(luò)安全建設(shè)方面已經(jīng)做了很多工作，通過防火墻、入侵檢測系統(tǒng)、vpn設(shè)備等關(guān)鍵的安全產(chǎn)品的部署和實(shí)施已經(jīng)初步地建立起了基礎(chǔ)性的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并取得一定的效果，應(yīng)當(dāng)說是有自主特色的。

（三）電力信息內(nèi)網(wǎng)安全防護(hù)體系。電力信息內(nèi)網(wǎng)屬于電力網(wǎng)絡(luò)的管理信息大區(qū)中，信息內(nèi)網(wǎng)定位為內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)承載網(wǎng)絡(luò)和內(nèi)部辦公網(wǎng)絡(luò)，部署了大量的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器、以及不需要外聯(lián)的辦公主機(jī)。

電力信息內(nèi)網(wǎng)對(duì)外連接包括：通過公用信息網(wǎng)與上下級(jí)電力公司的信息內(nèi)網(wǎng)相連接；通過vpn連接互聯(lián)網(wǎng)，以保障移動(dòng)辦公終端的接入；通過邏輯強(qiáng)隔離設(shè)備與信息外網(wǎng)相連接；通過正/反向隔離裝置與生產(chǎn)控制大區(qū)相連。電力信息內(nèi)網(wǎng)部署有以下安全防護(hù)手段：

防火墻系統(tǒng)。信息內(nèi)網(wǎng)內(nèi)部不同安全區(qū)域之間部署防火墻，增強(qiáng)區(qū)域隔離和訪問控制力度，嚴(yán)格防范越權(quán)訪問、病毒擴(kuò)散等內(nèi)部威脅；

信息內(nèi)網(wǎng)出口處部署防火墻系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)邊界防護(hù)，同時(shí)保護(hù)web服務(wù)器域；

vpn系統(tǒng)。信息內(nèi)網(wǎng)出口處部署vpn系統(tǒng)，為移動(dòng)辦公、營銷系統(tǒng)遠(yuǎn)程訪問等提供接入防護(hù)，客戶端應(yīng)當(dāng)采取硬件證書的方式進(jìn)行接入認(rèn)證；

為了統(tǒng)一管理和維護(hù)，電力的移動(dòng)辦公統(tǒng)一入口設(shè)在信息內(nèi)網(wǎng)的vpn網(wǎng)關(guān)處；

入侵檢測系統(tǒng)。信息內(nèi)網(wǎng)核心交換機(jī)和重要網(wǎng)段部署入侵檢測系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的動(dòng)態(tài)監(jiān)視、記錄和管理、對(duì)異常事件進(jìn)行告警等；

日志審計(jì)系統(tǒng)。信息內(nèi)網(wǎng)部署一套日志審計(jì)系統(tǒng)，采用分級(jí)部署方式，實(shí)現(xiàn)全省信息內(nèi)網(wǎng)安全事件的集中收集和審計(jì)問題； 主機(jī)管理系統(tǒng)。電力信息內(nèi)網(wǎng)統(tǒng)一部署主機(jī)管理系統(tǒng)，實(shí)現(xiàn)主機(jī)設(shè)備的統(tǒng)一管理和防護(hù)；防病毒系統(tǒng)。電力公司信息內(nèi)網(wǎng)部署一套防病毒系統(tǒng)，采用分級(jí)部署方式，控管中心設(shè)在電力公司本部，地

市供電公司分別安裝二級(jí)控管中心和防病毒服務(wù)器，接收控管中心的統(tǒng)一管理。安全管理分區(qū)。電力信息內(nèi)網(wǎng)依據(jù)業(yè)務(wù)系統(tǒng)保護(hù)等級(jí)，分為生產(chǎn)控制區(qū)（ⅰ、ⅱ區(qū)）、管理信息區(qū)（ⅲ區(qū)）和外部信息網(wǎng)，各分區(qū)進(jìn)行相應(yīng)等級(jí)的安全防護(hù)。

（四）目前防御系統(tǒng)的防御弱點(diǎn)

病毒檢測掃描類技術(shù)的防御弱點(diǎn)。從病毒到惡意代碼（木馬、蠕蟲、病毒、惡意腳本、shellcode、流氓間諜軟件），無論是種類還是數(shù)量都是海量增長，來自海量惡意代碼的海量攻擊使得基于以字符串crc效驗(yàn)、散列函數(shù)值等特征碼檢測為主；采用加密變形的啟發(fā)式算法、仿真技術(shù)檢測為輔的病毒檢測技術(shù)已無法有效檢測每天如潮水般增長的惡意代碼。以超級(jí)病毒特征庫、超級(jí)白名單庫、超級(jí)惡意url庫、自動(dòng)化分析流程為主要特點(diǎn)的云安全技術(shù)在一定程度上改善互聯(lián)網(wǎng)用戶安全的同時(shí)，存在分析時(shí)延、病毒特征庫更新時(shí)延、惡意url搜索時(shí)間間隔等問題，同時(shí)海量提交的文件帶來的極大分析壓力使得分析失誤的概率大大增加，從而給用戶帶來極大的風(fēng)險(xiǎn)，對(duì)于物理隔離的專網(wǎng)、內(nèi)網(wǎng)也無法使用云安全技術(shù)。該類產(chǎn)品的最大弱點(diǎn)是對(duì)未知惡意代碼缺乏有效的監(jiān)控和辨識(shí)能力。入侵檢測防御類技術(shù)的防御弱點(diǎn)。入侵檢測技術(shù)經(jīng)過多年發(fā)展，ids、ips、utm、應(yīng)用防火墻、防毒墻等產(chǎn)品能應(yīng)對(duì)大部分已知攻擊，對(duì)網(wǎng)絡(luò)安全起到了非常大的作用，但也存在辨識(shí)技術(shù)上的防御弱點(diǎn)。以基于規(guī)則描述的特征組合檢查為主，協(xié)議異常檢測、統(tǒng)計(jì)異常檢測為輔的入侵檢測引擎無法有效識(shí)別隱藏在合法應(yīng)用流量中的攻

擊流量、基于未知漏洞的攻擊流量、加密變形的攻擊流量，更無法截?cái)酀摲谶@些流量中的有經(jīng)驗(yàn)黑客的深度攻擊。

由ids（監(jiān)控報(bào)警子系統(tǒng)）+安全工程師（辨識(shí)和決策）+防火墻（處理子系統(tǒng)）構(gòu)成的防御系統(tǒng)，嚴(yán)重依賴安全工程師的經(jīng)驗(yàn)和分析水平。對(duì)未知攻擊流量和隱藏在應(yīng)用流量中的惡意流量缺乏辨識(shí)能力，使得試圖在網(wǎng)絡(luò)層完全阻擋入侵攻擊、惡意代碼的傳播是不現(xiàn)實(shí)的。其它非防御類安全產(chǎn)品的弱點(diǎn)。加密技術(shù)類安全產(chǎn)品可以解決泄密問題，卻無法阻御攻擊者和惡意代碼對(duì)加密信息的破壞。行為管理類安全產(chǎn)品能管理用戶的行為，卻無法阻擋有意者的惡意攻擊行為，對(duì)惡意代碼和黑客攻擊的后臺(tái)行為，更無法察覺和控制。身份認(rèn)證類安全產(chǎn)品能解決身份可信問題，卻無法保證合法者偽造的惡意攻擊和對(duì)惡意代碼的滲透和傳播。防火墻類產(chǎn)品的訪問控制能力更適合作為處理控制手段，而不是攻擊和惡意代碼的識(shí)別工具，更無法解除流量中的威脅，桌面級(jí)的防火墻更是帶來網(wǎng)絡(luò)管理上的不方便。漏洞掃描類安全產(chǎn)品能發(fā)現(xiàn)存在的漏洞風(fēng)險(xiǎn)，卻沒有防御攻擊的手段。主機(jī)安全產(chǎn)品，偏重于主機(jī)使用者的行為控制，它本身不能防御惡意代碼的攻擊和破壞。以上安全類產(chǎn)品由于解決的主要問題是在安全的其它方面，從防御組成來看，本身缺乏防御能力，更需要安全防御系統(tǒng)來保護(hù)這類安全資產(chǎn)。

（五）當(dāng)前電力防御體系總結(jié)分析

當(dāng)前由防火墻、入侵檢測系統(tǒng)、殺毒軟件組成的防御體系已經(jīng)不

能阻擋每天如潮水般增長的惡意代碼，其技術(shù)壁壘也逐漸顯露，其被動(dòng)性的原因主要有以下幾點(diǎn)：1.惡意樣本和攻擊的海量增長。據(jù)國內(nèi)安全廠商江民科技對(duì)近年來惡意代碼數(shù)量的統(tǒng)計(jì)，2011年上半年全年共增加病毒特征代碼48萬余條。

2010年上半年及2011年上半年新增病毒特征數(shù)量示意圖[1]圖1 2.對(duì)抗傳統(tǒng)防御體系的特征碼免殺技術(shù)、網(wǎng)絡(luò)攻擊逃避技術(shù)近年來不斷持續(xù)發(fā)展和傳播。攻擊方由以前那種單一作戰(zhàn)已經(jīng)逐漸演變?yōu)橐粋€(gè)集團(tuán)利益團(tuán)體甚至國家利益的團(tuán)體，在經(jīng)濟(jì)、政治利益的驅(qū)使下，免殺、逃逸技術(shù)發(fā)展迅速。3.對(duì)攻擊和威脅的識(shí)別能力不足，對(duì)未知攻擊和威脅無法識(shí)別。要防御攻擊帶來的威脅，首先要解決對(duì)攻擊和威脅的識(shí)別，傳統(tǒng)的特征碼識(shí)別技術(shù)對(duì)未知的攻擊和威脅無法識(shí)別。4.同質(zhì)化技術(shù)構(gòu)成的防御體系容易導(dǎo)致技術(shù)一點(diǎn)被破、全局皆破。隨著電力系統(tǒng)在信息化建設(shè)方面的不斷加大，信息安全問題也逐漸凸顯，病毒、蠕蟲、木馬等惡意代碼在網(wǎng)絡(luò)中肆意傳播，嚴(yán)重威脅著電力系統(tǒng)的正常運(yùn)行。而現(xiàn)有的防御體系則主要以協(xié)議過濾、特征簽名包和特征碼比對(duì)技術(shù)為主構(gòu)建的傳統(tǒng)的防御體系，能夠有效的防御已知的惡意代碼攻擊（已有的特征簽名包和特征碼），但對(duì)于多變的未知的惡意代碼攻擊卻顯得無能為力。因此，需要一種技術(shù)能夠?qū)崟r(shí)有效的防止未知的惡意代碼攻擊，從而提升整個(gè)網(wǎng)絡(luò)的安全防御體系。傳統(tǒng)的防御手段所采用的技術(shù)是導(dǎo)致其被動(dòng)性的根源，面對(duì)當(dāng)下如此嚴(yán)峻的安全形勢，亟需構(gòu)建一個(gè)實(shí)時(shí)主動(dòng)的網(wǎng)絡(luò)防御體系。

三、構(gòu)建主動(dòng)防御體系

（一）防御系統(tǒng)的構(gòu)成標(biāo)準(zhǔn)

在網(wǎng)絡(luò)信息對(duì)抗中，一個(gè)完善防御系統(tǒng)的防御鏈必須由監(jiān)控、辨識(shí)決策、處理三大子系統(tǒng)。防御系統(tǒng)的抗攻擊、反入侵能力高低取決于監(jiān)控能力強(qiáng)弱、辨識(shí)決策是否足夠智慧、處理子系統(tǒng)是否完善有效、三個(gè)子系統(tǒng)的自動(dòng)化聯(lián)動(dòng)程度四個(gè)方面，其中最核心的是辨識(shí)決策技術(shù)。

目前的安全產(chǎn)品，能有效構(gòu)建防御系統(tǒng)主要是以病毒檢測掃描類技術(shù)和入侵檢測防御類技術(shù)為主，但這兩類技術(shù)都存在防御弱點(diǎn)。

（二）構(gòu)建電力系統(tǒng)主動(dòng)防御體系

在構(gòu)建主動(dòng)防御體系之前，不防先回顧一下防御系統(tǒng)產(chǎn)生的原因：有了信任與欺騙的斗爭，于是便產(chǎn)生了可信任體系；出現(xiàn)了攻與防的斗爭，也就有了防御體系。那如何構(gòu)建一個(gè)防御體系，不防借鑒歷史戰(zhàn)爭，其無非分為三種：事前防御、事中防御和事后防御。于是建立如下的主動(dòng)防御體系： 主動(dòng)防御中心圖2 從圖中可以看出，防御體系的強(qiáng)弱取決于攻擊事件正在進(jìn)行時(shí)防御系統(tǒng)的防御能力，也就是事中防御。而從傳統(tǒng)的防御體系可以看出，無論是漏洞檢測技術(shù)、網(wǎng)絡(luò)準(zhǔn)入技術(shù)、特征碼掃描技術(shù)都偏向于事前防御，在事中實(shí)時(shí)防御上，特別是事中主機(jī)防御上存在嚴(yán)重不足。因此，要提升整體網(wǎng)絡(luò)的防御能力，必須加入主機(jī)事中防御的技術(shù)。

四、主機(jī)主動(dòng)防御技術(shù)的實(shí)現(xiàn)

在主機(jī)層面要做到事中防御，必須摒棄傳統(tǒng)的特征碼比對(duì)技術(shù)，做到“敵動(dòng)我動(dòng)”的實(shí)時(shí)防御。經(jīng)過業(yè)界專家的研究，提出了基于行為檢測的主動(dòng)防御技術(shù)。即不依賴于程序的特征，而是根據(jù)程序所表現(xiàn)出來的行為來預(yù)先判斷其合法性。這在理論上是可行的。給出主動(dòng)防御的概念：在監(jiān)控、分析、偵測等環(huán)節(jié)中采用主動(dòng)感知未知威脅行為識(shí)別、行為智能處理、行為防御加固等主動(dòng)性技術(shù)來進(jìn)行防御。

（一）惡意程序行為的提取

惡意代碼一般的行為包括注冊(cè)表操作、文件操作、進(jìn)程的行為和網(wǎng)絡(luò)行為等；在windows操作系統(tǒng)上，可執(zhí)行文件基本上都是通過api的調(diào)用來執(zhí)行，以上任何行為都要通過導(dǎo)出函數(shù)或者系統(tǒng)調(diào)用接口[3]?？赏ㄟ^對(duì)惡意代碼行為進(jìn)行搜集和數(shù)據(jù)挖掘，建立如下的行為算法模型： 行為算法模型表1 格式1 行為 行為描述 危險(xiǎn)等級(jí)

格式2 行為序列 行為描述 危險(xiǎn)等級(jí) ? 說

明 1.格式1適用于單個(gè)行為的規(guī)則建模；

2.格式2適用于由多個(gè)行為組成的行為序列的規(guī)則建模；

3.m表示函數(shù)的參數(shù)個(gè)數(shù)，n表示行為序列包含的行為個(gè)數(shù)； 4.四個(gè)危險(xiǎn)等級(jí)：低、中、較高、極高，代表不同級(jí)別的惡意程序；

5.“參數(shù)取值特征”表示對(duì)應(yīng)的函數(shù)調(diào)用行為表現(xiàn)出惡意性時(shí)的參數(shù)的具體取值。

6.“參數(shù)0”表示只識(shí)別函數(shù)的調(diào)用行為，不對(duì)調(diào)用參數(shù)進(jìn)行分析； 7.若“參數(shù)取值特征”為“null”，表示對(duì)應(yīng)參數(shù)的值等于null； 若“參數(shù)取值特征值”為“null”與“參數(shù)0”配合使用，表示不需要分析對(duì)應(yīng)的實(shí)參。

（二）深層監(jiān)控實(shí)現(xiàn)

主機(jī)層面的防御又可分為六個(gè)方面：內(nèi)核子系統(tǒng)、服務(wù)子系統(tǒng)、應(yīng)用子系統(tǒng)、通信子系統(tǒng)、文件及資源子系統(tǒng)、賬號(hào)及認(rèn)證子系統(tǒng)。每個(gè)子系統(tǒng)又按照p2dr（policy、protection、detection and response）模型組成一個(gè)完整的、動(dòng)態(tài)的安全威脅相應(yīng)循環(huán)[4]。任何攻擊無非是攻擊操作系統(tǒng)以上的單個(gè)或者多個(gè)方面，因此通過對(duì)六大子系統(tǒng)實(shí)時(shí)監(jiān)控，最終達(dá)到對(duì)主機(jī)威脅行為識(shí)別。識(shí)別技術(shù)是辨識(shí)和處理的前提。主動(dòng)防御引擎模型圖3

（三）辨識(shí)技術(shù)的實(shí)現(xiàn)

操作系統(tǒng)向外提供豐富的系統(tǒng)api接口，方便上層應(yīng)用程序?qū)ο到y(tǒng)資源的訪問，開發(fā)各類功能軟件，程序行為指程序或代碼對(duì)操作系統(tǒng)資源如文件系統(tǒng)、注冊(cè)表、內(nèi)存、內(nèi)核、網(wǎng)絡(luò)、服務(wù)、進(jìn)程等的訪問操作。惡意代碼行為特點(diǎn)：非授權(quán)性和破壞性，主要表現(xiàn)為惡意代碼對(duì)系統(tǒng)資源的非授權(quán)訪問或篡改，如信息竊取、建立后門、實(shí)施破壞等行為。了解程序行為和惡意代碼的行為后，通過對(duì)惡意代碼的行為分析，并將惡意代碼必經(jīng)的攻擊點(diǎn)進(jìn)行記錄和分類，豐富到行為庫中，形成一套行為算法庫，通過行為算法庫來判別程序的合法性。其他子系統(tǒng)的行為引擎，也可建立相應(yīng)的模型。識(shí)別技術(shù)是關(guān)鍵。

（四）強(qiáng)大的處理能力.在判斷程序的危害性后，可通過取得操作系統(tǒng)底層權(quán)限，對(duì)惡意代碼進(jìn)行處理，對(duì)無法及時(shí)處理的可通過隔離，重啟后刪除。采用系統(tǒng)級(jí)主動(dòng)防御技術(shù)，在異常監(jiān)控技術(shù)上將監(jiān)控范圍擴(kuò)大到操作系統(tǒng)上的六大子系統(tǒng)，包括內(nèi)核系統(tǒng)、應(yīng)用系統(tǒng)、通訊系統(tǒng)、文件及資源系統(tǒng)、賬號(hào)及權(quán)限系統(tǒng)，采用分布式監(jiān)控技術(shù)實(shí)現(xiàn)對(duì)全系統(tǒng)的監(jiān)控。在辨識(shí)決策技術(shù)上是以程序行為算法庫分析判定、智能專家系統(tǒng)、程序可信性計(jì)算等技術(shù)為基礎(chǔ)，采用動(dòng)態(tài)行為跟蹤技術(shù)，依據(jù)惡意程序行為特征算法庫，判定程序的性質(zhì)和邏輯，預(yù)先判斷程序的危害行為和風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)惡意代碼和惡意行為的自主識(shí)別、判斷。在管理上平臺(tái)可設(shè)計(jì)靈活的組網(wǎng)方式，實(shí)現(xiàn)多級(jí)連接、分權(quán)管理，也可通過同入侵檢測系統(tǒng)ids、訪問控制中心等聯(lián)動(dòng)，獲得全網(wǎng)安全態(tài)勢，預(yù)警和應(yīng)急處理全網(wǎng)安全事件，組成主動(dòng)防御控制中心。

五、結(jié)論

當(dāng)前日益嚴(yán)峻的安全形勢下，惡意代碼泛濫，針對(duì)傳統(tǒng)的防御方式已形成了一條集生產(chǎn)木馬、銷售、傳播等一體的黑色產(chǎn)業(yè)鏈，其利益集團(tuán)也由個(gè)體利益、團(tuán)體經(jīng)濟(jì)利益逐漸演變成政治利益，甚至于國家之間的利益。因此，在防御手段上必須不斷的推陳出新，建立基于差異化的防御技術(shù)平臺(tái)，才能有效的防范已知的和未知的惡意代碼攻擊。

基于行為分析的主動(dòng)防御技術(shù)的實(shí)現(xiàn)，彌補(bǔ)了傳統(tǒng)的防御方式無法查殺未知惡意代碼的弊端，提升了整個(gè)網(wǎng)絡(luò)安全的防御體系，使原被動(dòng)滯后的防御體系成得實(shí)時(shí)主動(dòng)，是未來主機(jī)防御技術(shù)的方向。主機(jī)主動(dòng)防御技術(shù)采用程序行為分析技術(shù)，能主動(dòng)防御病毒、木馬、間諜軟件、惡意腳本的攻擊及入侵，特別是對(duì)未知、新型、變種、加密、加殼等惡意代碼的防御效果顯著，其應(yīng)用，將在智能電力網(wǎng)絡(luò)受信息安全威脅的電力行業(yè)帶來了一場革命。參考文獻(xiàn)：

[1]江民科技.2011年上半年網(wǎng)絡(luò)安全信息報(bào)告[n].江民科技網(wǎng),2011,8:12;2011,9:23 http://.[2]b51.628-2009.成都中科慧創(chuàng)科技有限公司.網(wǎng)絡(luò)體系式主動(dòng)防御系統(tǒng)[s].[3]陳培,高維.惡意代碼行為獲取的研究與實(shí)現(xiàn)[d].計(jì)算機(jī)科學(xué),2009,1-3

[4]黃家林,張征帆.主動(dòng)防御系統(tǒng)及應(yīng)用研究[j].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007

第二篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級(jí)網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的級(jí)別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對(duì)所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實(shí)現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時(shí)代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時(shí)代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動(dòng)社會(huì)信息化的新途徑，創(chuàng)造了政府實(shí)施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認(rèn)證技術(shù)來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對(duì)外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。根據(jù)國家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過現(xiàn)有公有平臺(tái)搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DDoS攻擊等。在這種獨(dú)立的防火墻和VPN部署方式下，防火墻無法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢，能提供一個(gè)靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點(diǎn)是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個(gè)IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實(shí)現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動(dòng)態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對(duì)整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來，在20多年的時(shí)間里，計(jì)算機(jī)病毒已到了無孔不入的地步，有些甚至給我們?cè)斐闪司薮蟮钠茐摹?/p>

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非?？旖荩?yàn)槿绱?，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來越容易獲得。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對(duì)政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對(duì)政府行業(yè)用戶來說，是決不允許的。

管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。

防火墻系統(tǒng)設(shè)計(jì)方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問控制的功能。通過防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計(jì)，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個(gè)系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測庫，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動(dòng)檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實(shí)現(xiàn)多級(jí)VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級(jí)網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實(shí)現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)；而對(duì)于一些規(guī)模比較小的區(qū)線或移動(dòng)用戶，通過安裝VPN客戶端，實(shí)現(xiàn)遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)，整個(gè)構(gòu)成一個(gè)安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價(jià)格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對(duì)象減少對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。

也是至關(guān)重要的一點(diǎn)，它可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點(diǎn)可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點(diǎn)對(duì)點(diǎn)專線或長途撥號(hào)；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時(shí)可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動(dòng)用戶。

在當(dāng)今全球激烈競爭的環(huán)境下，最先實(shí)現(xiàn)VPN的政府機(jī)關(guān)將在競爭獲得優(yōu)勢已經(jīng)是不爭的事實(shí)，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡化網(wǎng)絡(luò)； ◆ 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來取代遠(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； ◆ 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時(shí)也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過硬件和軟件的方式來實(shí)現(xiàn)VPN功能，一般用戶都會(huì)使用硬件設(shè)備。在總部架設(shè)一個(gè)帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個(gè)最大的優(yōu)點(diǎn)是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對(duì)服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著“黑客”各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對(duì)內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對(duì)于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會(huì)、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實(shí)施欺騙、偽造身份及暴力攻擊（CRACK），對(duì)于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個(gè)方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨(dú)立的控制體系，對(duì)于內(nèi)部網(wǎng)的訪問同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點(diǎn)，在物理層和鏈路層的接口處實(shí)施安全控制，實(shí)施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統(tǒng)）對(duì)于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來說已不再是一個(gè)陌生的名詞，在許多行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項(xiàng)目會(huì)涉及到IDS系統(tǒng)，而且這些項(xiàng)目一般都對(duì)安全等級(jí)的要求非常高，對(duì)數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對(duì)它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段，單個(gè)網(wǎng)段的最小組成元素是各臺(tái)主機(jī)，政府機(jī)關(guān)對(duì)各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因?yàn)榻?jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡單，而外部的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測引擎，從而形成報(bào)警，而對(duì)于用戶來說，這些報(bào)警事件是沒有什么參考價(jià)值的，所以需要在檢測范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個(gè)過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項(xiàng)，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測技術(shù)來組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測方式雖然比異常統(tǒng)計(jì)檢測技術(shù)要更加精確，但會(huì)給IDS帶來較大的負(fù)載，所以需要對(duì)檢測策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對(duì)所選的策略進(jìn)行修改，選擇具有參考價(jià)值的檢測規(guī)則，而去除一些無關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對(duì)網(wǎng)絡(luò)上各種非法行為產(chǎn)生報(bào)警外還能對(duì)一些特定的事件進(jìn)行實(shí)時(shí)的響應(yīng)，因?yàn)橹挥胁扇〖皶r(shí)的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對(duì)網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時(shí)，不但需要查看它的報(bào)警提示，而且需要參考它所提供的實(shí)時(shí)狀態(tài)信息。因?yàn)樵诰W(wǎng)絡(luò)中發(fā)生異常行為時(shí)，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時(shí)（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會(huì)急速上升，這時(shí)可以從包流量或字節(jié)流量等實(shí)時(shí)的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實(shí)時(shí)狀態(tài)信息還包括當(dāng)前的活動(dòng)TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫中，可以從各個(gè)角度來對(duì)這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

各局的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們?cè)诟骶致酚善骱蟀惭b曙光TLFW千兆防火墻，以有三千用戶在同時(shí)上Internet網(wǎng)計(jì)算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個(gè)網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時(shí)，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對(duì)安全性的不同需求，將它們分等級(jí)劃分為不同的區(qū)域，并通過詳細(xì)的包過濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來，保證它們之間不能跨級(jí)別訪問，這樣實(shí)現(xiàn)分級(jí)的安全性。

通過安裝防火墻，可以實(shí)現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對(duì)來自非內(nèi)部網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個(gè)政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測系統(tǒng)進(jìn)行共同防范，達(dá)到整個(gè)系統(tǒng)的高安全性。

同時(shí)因?yàn)橛脩粲袚芴?hào)VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計(jì)的全中文化WWW管理界面，通過直觀、易用的界面來管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務(wù)的實(shí)際需要，充分利用了曙光天羅防火墻的各功能模塊，實(shí)現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的重點(diǎn)防護(hù)，構(gòu)建了一個(gè)整合的動(dòng)態(tài)安全門戶，以比較經(jīng)濟(jì)實(shí)惠的方式，實(shí)現(xiàn)了對(duì)電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第三篇：電力系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)安全

電力系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)安全

來源：004km.cn

O．前言

汁算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用越來越廣泛．可以在電力系統(tǒng)自動(dòng)化、監(jiān)控、保護(hù)、電力企業(yè)物資管理、電費(fèi)收繳、電量調(diào)節(jié)等各方面進(jìn)行集成管理，發(fā)揮著越來越重要的作用．而且國家電力數(shù)據(jù)通信網(wǎng)把各級(jí)電網(wǎng)企業(yè)連接起來，實(shí)現(xiàn)了電網(wǎng)企業(yè)間信息系統(tǒng)互聯(lián)互通、資源共享。但是值得我們注意的是．電力系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)安全問題也就顯得越來越突出。電力信息或電力系統(tǒng)實(shí)時(shí)數(shù)據(jù)的傳輸已經(jīng)超出了目前遠(yuǎn)動(dòng)系統(tǒng)的范疇。常規(guī)遠(yuǎn)動(dòng)系統(tǒng)必將被融合計(jì)算機(jī)、保護(hù)、控制、網(wǎng)絡(luò)、通信等技術(shù)于一體的網(wǎng)絡(luò)化電力信息傳輸系統(tǒng)所代替．并終將打破現(xiàn)行的專業(yè)分工，引起遠(yuǎn)動(dòng)系統(tǒng)設(shè)計(jì)的一場革命攻擊事件造成的影響日益嚴(yán)重，發(fā)生的頻率也日益增加 眾所周知．計(jì)算機(jī)網(wǎng)絡(luò)具備信道共用性、分布廣域性、資源共享性、體系結(jié)構(gòu)開放性的特點(diǎn)．因此．也不可避免地會(huì)存在著系統(tǒng)的脆弱性．使其面臨嚴(yán)重的安全問題．而幾乎所有的攻擊者都是利用現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞來進(jìn)行活動(dòng)2006年4月29日．國家電網(wǎng)公司提出了在全系統(tǒng)實(shí)施“SG186工程”的規(guī)劃．它的出臺(tái)對(duì)整個(gè)電力行業(yè)產(chǎn)生了巨大的影響 “SG186工程”的六大保障體系中，首當(dāng)其沖的就是“安全防護(hù)體系”．這充分說明信息網(wǎng)絡(luò)安全在電網(wǎng)信息化過程中的重要性

1．計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性

計(jì)算機(jī)安全一般包含信息安全和物理安全兩方面．信息安全也就是網(wǎng)絡(luò)安全，能夠有效保護(hù)網(wǎng)絡(luò)信息的可用性、完整性和保密性。計(jì)算機(jī)網(wǎng)絡(luò)的威脅主要有計(jì)算機(jī)病毒、黑客的攻擊等，其中黑客對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的攻擊方法已經(jīng)大大超過了計(jì)算機(jī)病毒的種類．而且許多攻擊都是致命的。因此．加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)尤為重要 只有針對(duì)這些網(wǎng)絡(luò)威脅采取必要的保護(hù)措施．才能確保計(jì)算機(jī)網(wǎng)絡(luò)信息的可靠性、安全性和保密性。絕大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全入侵事件都是因?yàn)闆]有及時(shí)補(bǔ)上系統(tǒng)漏洞、系統(tǒng)安全措施不完善造成的．一旦網(wǎng)絡(luò)軟件“后門”洞開，黑客就可以很容易地進(jìn)入到別人的系統(tǒng)，造成的后果可想而知。

根據(jù)美國FBI(美國聯(lián)邦調(diào)查局1的調(diào)查．美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元．75％的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的，平均每天會(huì)有1．5萬個(gè)網(wǎng)頁受到病毒感染或者遭受黑客攻擊 也就是說．每5秒鐘就會(huì)有一個(gè)網(wǎng)頁成為黑客們的“盤中餐”。在中國國內(nèi)．互聯(lián)網(wǎng)的安全問題形勢也非常嚴(yán)重 據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2007年的評(píng)估數(shù)據(jù)顯示．在全球的620萬臺(tái)“僵尸”電腦中．約有360萬臺(tái)在中國．占58％以上 同時(shí)．感染了“特洛伊”病毒的電腦數(shù)量仍在穩(wěn)步上升

2．如何有效保障電力系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)安全

2．1完善防火墻技術(shù)防火墻的英文名為“FireWall”．它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間。實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合 將大力加強(qiáng)和規(guī)范信息網(wǎng)絡(luò)安全工作．提高信息網(wǎng)絡(luò)整體安全防護(hù)水平，實(shí)現(xiàn)信息網(wǎng)絡(luò)安全的可控、能控、在控．按照國家電網(wǎng)的要求．對(duì)接入信息內(nèi)網(wǎng)辦公地計(jì)算機(jī)進(jìn)行安全自杏．對(duì)存安全隱患的計(jì)算機(jī)要求及時(shí)整改 網(wǎng)絡(luò)安全是安全生產(chǎn)管理體系的重要組成部分．電力窗口將按規(guī)定、有步驟的開展信息網(wǎng)絡(luò)安全維護(hù)工作．保證信息系統(tǒng)安全好局面 再次強(qiáng)調(diào)在工作時(shí)間計(jì)算機(jī)終端不得使用與工作無關(guān)的相應(yīng)軟件．將納入月度責(zé)任制考核

2．2防病毒技術(shù)隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成了極大的威脅，同時(shí)，病毒也變得越來越高級(jí)、越來越復(fù)雜 目前市面上普遍使用的防病毒軟件一般可以分為單機(jī)防病毒軟件和網(wǎng)絡(luò)防病毒軟件兩大類 單機(jī)防病毒軟件一般是分析掃描本地和本地工作站鏈接的資源．通過快速檢測來達(dá)到清除計(jì)算機(jī)病毒的目的 而網(wǎng)絡(luò)防病毒軟件則不是側(cè)重于單臺(tái)電腦的防病毒處理．而是主要注重于網(wǎng)絡(luò)防病毒．一旦病毒從網(wǎng)絡(luò)向其它資源傳染．那么該軟件就會(huì)歷盡檢測，并及時(shí)加以刪除 例如金山毒霸網(wǎng)絡(luò)版V7．0具備提前被系統(tǒng)加載特性．可以在病毒模塊還沒有加載或被保護(hù)的時(shí)候刪除被保護(hù)的病毒文件或攔截禁止病毒的保護(hù)模塊：精確打擊．定點(diǎn)清除頑固惡意軟件和木馬．解決能查不能殺的難題從而完成正常殺毒任務(wù) 金山毒霸網(wǎng)絡(luò)版V7．0實(shí)現(xiàn)了集中式配置、部署、策略管理和報(bào)告．并支持管理員對(duì)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)審核．以確定哪些節(jié)點(diǎn)易于受到病毒的攻擊．以及在出現(xiàn)緊急病毒情況時(shí)采取何種應(yīng)急處理措施 網(wǎng)絡(luò)管理員可以通過邏輯分組的方式管理客戶端和服務(wù)器的反病毒相關(guān)工作．并可以創(chuàng)建、部署和鎖定安全策略和設(shè)置．從而使得網(wǎng)絡(luò)系統(tǒng)保持最新狀態(tài)和良好的配置 金山毒霸網(wǎng)絡(luò)版v7．O采用分布式的漏洞掃描及修復(fù)技術(shù)。管理員通過管理節(jié)點(diǎn)獲取客戶機(jī)主動(dòng)智能上報(bào)的漏洞信息．再精確部署漏洞修復(fù)程序：其通過Proxy(代理)下載修復(fù)程序的方式．極大地降低了網(wǎng)絡(luò)對(duì)外帶寬的占用。全網(wǎng)漏洞掃描及修復(fù)過程無需人工參與，且能夠在客戶機(jī)用戶未登錄或以受限用戶登錄情況下進(jìn)行

2．3建立完善的計(jì)算機(jī)網(wǎng)絡(luò)安全防范制度負(fù)責(zé)電力系統(tǒng)中計(jì)算機(jī)信息網(wǎng)絡(luò)管理的值班人員要明確分工．落實(shí)責(zé)任。當(dāng)班人員因故不能值班或者離開值班崗位者．應(yīng)找本中心人員替代，在替代人員到崗后方可離崗。值班人員必須嚴(yán)守操作規(guī)程．密切注視系統(tǒng)運(yùn)行情況，發(fā)現(xiàn)問題，及時(shí)上報(bào)：同時(shí)．在征得領(lǐng)導(dǎo)同意后．迅速果斷地采取相應(yīng)的措施．如硬件故障．則通知硬件維護(hù)人員．并與之相配合做好故障處理工作 所有工作人員不得將中心任何一臺(tái)計(jì)算機(jī)或服務(wù)器的IP地址及密碼公開，防止外來人員進(jìn)入。同時(shí)．制定《中心機(jī)房管理制度》、《門戶網(wǎng)站管理規(guī)定》、《專線網(wǎng)通信平臺(tái)運(yùn)行管理制度》、《局域網(wǎng)管理制度》，《網(wǎng)絡(luò)保密管理制度》、《全程同步錄音錄像系統(tǒng)管理規(guī)定》等管理規(guī)定．明確工作責(zé)任和使用程序 設(shè)立多道防火墻，經(jīng)常更換密碼，防止外來有害信息進(jìn)入。安全負(fù)責(zé)人應(yīng)隨時(shí)了解網(wǎng)絡(luò)運(yùn)行情況、信息發(fā)布情況，定期或不定期的檢查網(wǎng)上傳輸?shù)倪\(yùn)作情況。經(jīng)常了解用戶使用情況。針對(duì)出現(xiàn)的問題．及時(shí)解決。各部門要切實(shí)增強(qiáng)保密意識(shí)．加強(qiáng)對(duì)計(jì)算機(jī)等涉密載體的管理，做到認(rèn)識(shí)到位、組織到位、工作到位，確保萬無一失。另外，按照“誰上網(wǎng)、誰負(fù)責(zé)”的原則．每臺(tái)計(jì)算機(jī)均設(shè)置系統(tǒng)登錄密碼．嚴(yán)格規(guī)定訪問權(quán)限．工作中臨時(shí)離開計(jì)算機(jī)或會(huì)見客人時(shí)，必須將計(jì)算機(jī)置于鎖定狀態(tài)．局域網(wǎng)內(nèi)計(jì)算機(jī)不得通過任何途徑接人互聯(lián)網(wǎng)，嚴(yán)格實(shí)行內(nèi)外網(wǎng)物理隔離。

【參考文獻(xiàn)】

[1]郝玉潔，常征．網(wǎng)絡(luò)安全與防火墻技術(shù)．北京：電子科技大學(xué)學(xué)報(bào)社科版2002，1(4)：24~28．

[2]蔡忠閩、孫國基等．入侵檢測系統(tǒng)評(píng)估環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)系統(tǒng)．仿真學(xué)報(bào)2002，3(14)．

[3]Bace Rebecca．Intrusion Detection．Macmillan Technical Publishing．2000．

[4]劉永華．基于Agent的分布式入侵檢測系統(tǒng)．濰坊學(xué)院學(xué)報(bào)2006，3(6—2)

[5]蔡洪民，伍乃駭，滕少華．局域網(wǎng)絡(luò)安全掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)．微計(jì)算機(jī)應(yīng)用．2005．1：45—48．

第四篇：電力系統(tǒng)中心監(jiān)控解決方案

目 錄

一、需求分析....................................................................................................................................1

二、設(shè)計(jì)原則....................................................................................................................................2

三、設(shè)計(jì)依據(jù)....................................................................................................................................3

四、設(shè)備選型....................................................................................................................................3

1、矩陣主機(jī)......................................................................................................................................3

2、控制軟件......................................................................................................................................5

3、云臺(tái)、解碼器...............................................................................................................................6

4、攝像機(jī)..........................................................................................................................................6

5、網(wǎng)絡(luò)分控計(jì)算機(jī)............................................................................................................................7

五、系統(tǒng)拓?fù)浣Y(jié)構(gòu).............................................................................................錯(cuò)誤！未定義書簽。

某市電力系統(tǒng)監(jiān)控方案

一、需求分析

某市供電局共有幾十個(gè)變電所，其中大部份變電所實(shí)行了無人值守，為了保證變電所的安全，同時(shí)，也為了提高服務(wù)質(zhì)量、增強(qiáng)管理意識(shí)，對(duì)所有的變電所實(shí)行了監(jiān)控。我們對(duì)變電所設(shè)計(jì)配置矩陣硬錄集成系統(tǒng)，當(dāng)?shù)乇O(jiān)控的同時(shí)實(shí)現(xiàn)遠(yuǎn)程監(jiān)控。

所有的變電所都設(shè)計(jì)32路左右攝像頭，分別安裝在各個(gè)重要設(shè)備及機(jī)房內(nèi)外。其中有些地方還裝了解碼器用來控制云臺(tái)鏡頭，另外，設(shè)計(jì)報(bào)警地址發(fā)生器可以接入多路報(bào)警量及控制量，我們?cè)谥匾某鋈肟诤驮O(shè)備處安裝了紅外/微波雙鑒報(bào)警器，在變電站四周圍墻墻頭設(shè)計(jì)安裝紅外對(duì)射報(bào)警器均接入報(bào)警地址發(fā)生器，在每個(gè)房間，安裝了雙鑒報(bào)警探測傳感器，有些房間，通過聯(lián)動(dòng)裝置，可以控制照明設(shè)備。解碼器通過TD總線與監(jiān)控主機(jī)相連，在某些設(shè)備的房間，還安裝了監(jiān)聽器。

所有的變電所的監(jiān)控主機(jī)通過供電局的內(nèi)部網(wǎng)聯(lián)接到市供電局監(jiān)控中心，市供電局為每個(gè)變電所提供了2M的帶寬，所以可以保證每個(gè)變電所可以切換上傳1到4路音視頻圖像。

監(jiān)控主機(jī)接受各種視頻、音頻及報(bào)警數(shù)據(jù)，在有人值守的變電所，可以通過切換操作在顯示器上觀看到每路視頻的圖像及報(bào)警。通過設(shè)置，可以進(jìn)行錄像、自動(dòng)切換，對(duì)于室內(nèi)攝像頭，可以設(shè)置動(dòng)態(tài)檢測錄像，即視頻變化即產(chǎn)生錄像，不變化不錄像。對(duì)于無人值守的變電所，可以通過遠(yuǎn)程設(shè)置，實(shí)現(xiàn)同樣的功能。監(jiān)控主機(jī)可以將報(bào)警信息和音視頻錄像保存在本地硬盤，當(dāng)本地硬盤滿時(shí)，可以設(shè)置自動(dòng)清除過期的錄像，同時(shí)，監(jiān)控

主機(jī)還作為網(wǎng)絡(luò)服務(wù)器，接受監(jiān)控中心的數(shù)據(jù)和音視頻請(qǐng)求。根據(jù)監(jiān)控中心的請(qǐng)求，將視頻和數(shù)據(jù)傳送到指定的地點(diǎn)。

在網(wǎng)絡(luò)監(jiān)控中心，我們?cè)O(shè)立專門的計(jì)算機(jī)對(duì)各變電所進(jìn)行監(jiān)控，監(jiān)控中心可以輪流對(duì)各變電所的視頻及數(shù)據(jù)進(jìn)行巡視，當(dāng)變電所有報(bào)警發(fā)生時(shí)，變電所監(jiān)控主機(jī)會(huì)主動(dòng)將報(bào)警上傳，報(bào)警信息將存入監(jiān)控中心數(shù)據(jù)庫，相對(duì)應(yīng)的視頻圖像即自動(dòng)切換到當(dāng)前畫面。同時(shí)，會(huì)有聲音提示，工作人員進(jìn)行判斷，如果需要進(jìn)行維護(hù)，則可以立即打印出派工單，并通知相關(guān)人員。在供電局監(jiān)控中心，除了網(wǎng)絡(luò)監(jiān)控主機(jī)，還可以在網(wǎng)絡(luò)別的節(jié)點(diǎn)，如局長室對(duì)各變電所進(jìn)行巡視，以了解變電所的情況。大大方便了管理。

二、設(shè)計(jì)原則

1、先進(jìn)性、實(shí)用性、經(jīng)濟(jì)性及合法性

本系統(tǒng)設(shè)計(jì)時(shí)充分考慮設(shè)備和技術(shù)的先進(jìn)性，系統(tǒng)采用先進(jìn)技術(shù)，時(shí)整個(gè)系統(tǒng)達(dá)到先進(jìn)性；所有集成設(shè)備均選購目前同類產(chǎn)品中先進(jìn)的產(chǎn)品，保證幾年內(nèi)不落后、不被淘汰；在保證系統(tǒng)的先進(jìn)性的同時(shí)還應(yīng)考慮系統(tǒng)的實(shí)用性，即所選設(shè)備是成熟的系統(tǒng)，所有的功能都是實(shí)用的；并考慮系統(tǒng)的經(jīng)濟(jì)性，選擇性能價(jià)格比高的產(chǎn)品。所有設(shè)備都是經(jīng)國家有關(guān)部門批準(zhǔn)生長和通過質(zhì)量檢測的產(chǎn)品。

2、良好的擴(kuò)充性

考慮到工程的實(shí)際情況，在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，我們充分考慮了系統(tǒng)增容的可擴(kuò)充性：系統(tǒng)設(shè)計(jì)均采用模塊化結(jié)構(gòu)，所有設(shè)備管理主機(jī)均可擴(kuò)容，以后系統(tǒng)增容時(shí)，只需直接將管理設(shè)備與系統(tǒng)進(jìn)行連接，不需對(duì)線路進(jìn)行改造；系統(tǒng)主機(jī)均采用大容量產(chǎn)品，為將來的擴(kuò)充保留充分的冗余空間和設(shè)備接口。

3、系統(tǒng)安全可靠性

凡設(shè)計(jì)到業(yè)主經(jīng)濟(jì)利益的系統(tǒng)，穩(wěn)定可靠性是至關(guān)重要的。系統(tǒng)的產(chǎn)品涉及到經(jīng)濟(jì)利益，我們?cè)O(shè)計(jì)選型時(shí)作了慎重考慮，選用的設(shè)備都是經(jīng)過大量用戶使用并且相當(dāng)成熟的產(chǎn)品。使系統(tǒng)具有更強(qiáng)的安全性和穩(wěn)定性。

4、系統(tǒng)超前性

整個(gè)系統(tǒng)的先進(jìn)性，取決于設(shè)計(jì)者是否具有超前意識(shí)，掌握這一行業(yè)的最新技術(shù)以及邊緣科學(xué)在此領(lǐng)域的應(yīng)用，同時(shí)必須了解和預(yù)見到今后幾年社會(huì)發(fā)展對(duì)閉路監(jiān)控及報(bào)警系統(tǒng)方面提出的要求。因此，不僅要求設(shè)計(jì)嚴(yán)密、布局合理，能與技術(shù)、新產(chǎn)品接軌，而且所選擇的設(shè)備應(yīng)在系統(tǒng)實(shí)施若干年后，亦能保持其功能完善、齊全，不至于落后。

5、系統(tǒng)的可操作性

設(shè)備齊全、功能完善、綜合管理、便于維護(hù)、操作簡便且易于掌握。系統(tǒng)的設(shè)計(jì)，要求在操作人員與設(shè)備

之間建立起友好的界面，使操作者無論對(duì)系統(tǒng)的設(shè)置還是日常運(yùn)行，通過鍵盤進(jìn)行簡單的操作即可完成，即使對(duì)沒有接觸過此類設(shè)備的操作者，只需稍加培訓(xùn)，即能掌握一般操作。

6、系統(tǒng)的安全性

雷電發(fā)生時(shí)將產(chǎn)生強(qiáng)大的沖擊電流，如果不采取有效防御措施，極容易造成被雷電擊壞。對(duì)系統(tǒng)的防雷擊方面，我們?cè)O(shè)計(jì)采?。核性O(shè)備額外供電，配備專用UPS電源，防止雷擊發(fā)生時(shí)超高壓強(qiáng)電流通過強(qiáng)電系統(tǒng)破壞弱電系統(tǒng)；所有設(shè)施保證良好接地，當(dāng)強(qiáng)電流通過時(shí)可以分散電流，室外可安裝避雷針。

三、設(shè)計(jì)依據(jù)

系統(tǒng)配置是根據(jù)業(yè)主提供的要求及國家或行業(yè)批準(zhǔn)發(fā)布的相關(guān)產(chǎn)品/系統(tǒng)標(biāo)準(zhǔn)而設(shè)計(jì)的。GBJ16-83《建筑電氣設(shè)計(jì)技術(shù)規(guī)范》 GA/T 75-94《安全防范工程程序與要求》 GA/T 70-94《安全防范工程費(fèi)用概算編制辦法》 GA/T 70-94《安全防范系統(tǒng)通用圖形符號(hào)》

GB50198-94《民用閉路監(jiān)視電視系統(tǒng)工程技術(shù)規(guī)范》 GBJ232-82《電氣裝置安裝工程施工及驗(yàn)收規(guī)范》 GBJ300-86《建筑安裝工程質(zhì)量檢驗(yàn)評(píng)定統(tǒng)一標(biāo)準(zhǔn)》 GBJ57-83《建筑物防雷設(shè)計(jì)規(guī)范》

GBJ303-88《建筑電氣安裝工程質(zhì)量檢驗(yàn)評(píng)定標(biāo)準(zhǔn)》

HYD41-01-1999《電子工程建設(shè)概預(yù)算編制辦法 電子設(shè)備安裝工程費(fèi)用定額》及《電子工程建設(shè)預(yù)算定額》

GA16796-97《安全防范報(bào)警設(shè)備安全要求和實(shí)驗(yàn)方法》

四、設(shè)備選型

根據(jù)用戶對(duì)電視監(jiān)控系統(tǒng)的具體要求，綜合我公司以往所做工程的經(jīng)驗(yàn)，特別鄭重推薦使用以下電視監(jiān)控系列產(chǎn)品。

1、矩陣主機(jī)

數(shù)碼科技有限公司生產(chǎn)的TC-8632-8II型矩陣主機(jī)

? 系統(tǒng)支持32路音視頻同步輸入，8路音視頻同步輸出。

? 系統(tǒng)支持一級(jí)主控設(shè)備（可選主控鍵盤或主控計(jì)算機(jī)），15級(jí)分控設(shè)備（可選分控鍵盤、分控計(jì)算機(jī)或紅外分控等）。? 系統(tǒng)可接入32路報(bào)警探測區(qū)。

? 主控設(shè)備全面享有對(duì)所有監(jiān)控現(xiàn)場云臺(tái)、鏡頭、快球、雨刷、燈光、電源的控制。

? 經(jīng)授權(quán)后，分控設(shè)備可有限享有對(duì)某些監(jiān)控現(xiàn)場云臺(tái)、鏡頭、快球、雨刷、燈光、電源的控制。? 矩陣主機(jī)與主、分控設(shè)備及解碼器之間采用RS-485通訊方式，布線簡單，擴(kuò)展性強(qiáng)。? 系統(tǒng)支持主控鍵盤或主控計(jì)算機(jī)兩種主控設(shè)備，但同時(shí)只允許接入其中一種。

? 主控設(shè)備選用主控計(jì)算機(jī)時(shí)，可通過主控軟件用鼠標(biāo)實(shí)現(xiàn)快球的全功能控制，同時(shí)系統(tǒng)提供了軟件鎖定功能，視頻滿屏功能，并可附有電子地圖、硬盤錄像、語音控制、視頻報(bào)警四大功能模塊可供用戶選配。主控軟件具備普通切換和便捷控制等多種方便靈活的切換方式，并提供布/撤防狀態(tài)、燈光、電源、雨刷、廣播、自動(dòng)等狀態(tài)的任意多點(diǎn)組合控制和查詢。? 主分控鍵盤可通過搖桿控制快球或云臺(tái)方向及編程參數(shù)選擇，同時(shí)具備鍵盤鎖定功能。? 紅外分控具備分控鍵盤的主要功能，操作更為靈活。

? 分控設(shè)備（分控鍵盤、分控計(jì)算機(jī)）均需授權(quán)，這種授權(quán)規(guī)定了鍵盤——監(jiān)視器、鍵盤——攝像機(jī)、監(jiān)視器——攝像機(jī)的訪問權(quán)限。

? 系統(tǒng)支持萬能切換功能，通過編程可設(shè)定監(jiān)視器——攝像機(jī)的順序切換權(quán)限及駐留時(shí)間，切換時(shí)音視頻同步切換，每個(gè)監(jiān)視器可存儲(chǔ)多達(dá)120點(diǎn)的切換序列。

? 每路視頻輸出上都有字幕疊加，屏幕顯示包括時(shí)間、日期、監(jiān)視器編號(hào)、攝像機(jī)編號(hào)及8個(gè)任意標(biāo)識(shí)字符，黑邊框字幕保證光照變化時(shí)的字幕效果。系統(tǒng)提供可視化字幕調(diào)整方式，可在屏幕的任意位置疊加字幕信息。

? 報(bào)警方式可選并行報(bào)警或串行報(bào)警，各報(bào)警點(diǎn)輸入可任選斷路報(bào)警或短路報(bào)警方式，以防止人為破壞。

? 可手動(dòng)、定時(shí)自動(dòng)開關(guān)每個(gè)報(bào)警點(diǎn)的信號(hào)檢測，各點(diǎn)布/撤防狀態(tài)可在編程中查詢。消警方式可選自動(dòng)消警、延時(shí)消警和手動(dòng)消警。

? 系統(tǒng)具備強(qiáng)大的報(bào)警聯(lián)動(dòng)功能，報(bào)警后報(bào)警點(diǎn)現(xiàn)場電源接通、燈光打開，主機(jī)蜂鳴器鳴響，報(bào)警開關(guān)啟動(dòng)。

? 報(bào)警后，報(bào)警點(diǎn)音視頻信息將按照系統(tǒng)編程設(shè)定的參數(shù)在授權(quán)監(jiān)視器上切換，視頻上疊加“報(bào)警”提示字樣，每個(gè)監(jiān)視器可存儲(chǔ)多達(dá)120點(diǎn)的報(bào)警切換序列。? 報(bào)警記錄查詢。可查詢最近256個(gè)報(bào)警點(diǎn)的報(bào)警時(shí)間。? 開關(guān)機(jī)時(shí)間查詢。可查詢最近256次開關(guān)機(jī)的時(shí)間。

? 多級(jí)密碼保護(hù)。系統(tǒng)啟動(dòng)、鍵盤鎖定、報(bào)警布/撤防、調(diào)用預(yù)置景點(diǎn)均需輸入密碼。工作溫度：-10℃-+55℃ 工作電壓： AC220V/50Hz(±10%)功耗： 20W 音頻輸入： 32路（兩線制/三線制）

音頻輸出： 16路(750mV/600Ω)頻率響應(yīng)： 150Hz ～ 15KHz 音頻通道隔離度： >40dB 視頻通道隔離度： >56dB 視頻信噪比： >56dB 視頻通道帶寬： 15MHz(±3dB)視頻輸入阻抗： 75Ω 1Vpp 視頻輸出阻抗： 75Ω 1Vpp 外形尺寸： 482mm*344mm*88mm(長*寬*高)

2、控制軟件

系統(tǒng)采用矩陣硬錄集成控制軟件，應(yīng)用于由的TC8632-8II矩陣和TC2808AV-M4硬錄主機(jī)組成的多媒體監(jiān)控系統(tǒng)，它將先進(jìn)的多媒體技術(shù)利用在傳統(tǒng)的監(jiān)控系統(tǒng)中，不但大大簡化了硬件設(shè)備和器材，而且使得處理和控制更加精確、可靠。同時(shí)它具備Windows環(huán)境下應(yīng)用軟件的諸多功能，可以方便的完成預(yù)置編程、錄像、圖像抓拍打印、電子地圖、視頻報(bào)警，遠(yuǎn)程監(jiān)控的支持等多媒體功能。

? 支持網(wǎng)絡(luò)和互聯(lián)

? 分為服務(wù)器端計(jì)算機(jī)軟件和網(wǎng)絡(luò)分控端計(jì)算機(jī)軟件兩部分 ? 界面友好，完全中文化，易于使用 ? 按鍵圖標(biāo)會(huì)意化設(shè)計(jì)，操作簡單直觀 ? 具有可管理性，存檔、查詢方便 ? 周到的軟件選項(xiàng)，滿足用戶的各種需求

? 字幕與影像分離。提高畫面清晰度，并有多種字幕顯示，隨心所欲，盡如人意 ? 兼容中西文Windows2000操作系統(tǒng) ? 分控計(jì)算機(jī)軟件不限節(jié)點(diǎn)數(shù)，可隨意配置 ? 安裝簡單，硬盤占用量小，升級(jí)容易

? 采用多級(jí)電子密碼進(jìn)行系統(tǒng)操作，實(shí)現(xiàn)安全管理

? 編輯方便、發(fā)送快捷的漢字傳送功能。漢字錄入方便。字符傳送快捷。漢字隨時(shí)修改、隨時(shí)發(fā)送，無次數(shù)限制。

? 圖標(biāo)會(huì)意化按鍵設(shè)計(jì)，功能明確，使用便捷，關(guān)鍵時(shí)刻不致手忙腳亂，不需專業(yè)培訓(xùn)即可操作。

? 工作狀態(tài)指示明確，采用指示型按鍵，使按鍵狀態(tài)一目了然。

? 將一些常用功能設(shè)置為按鍵（象編程、話筒、燈光以及雨刷等按鍵），方便監(jiān)控系統(tǒng)操作。? 抓拍圖像以通用格式存儲(chǔ)，方便進(jìn)一步處理和打印。? 畫面質(zhì)量可調(diào)，并在下次啟動(dòng)系統(tǒng)時(shí)，保留此設(shè)置。? 操作簡單但功能強(qiáng)大的菜單選項(xiàng)。

? 通過選擇“串口設(shè)置”菜單，完成串口、波特率等參數(shù)的設(shè)定。

? 通過選擇“編程”鍵的選擇，完成組切時(shí)間、字幕選擇、分控設(shè)定、時(shí)間設(shè)定等參數(shù)的設(shè)定。? 通過對(duì)“察看狀態(tài)”菜單的選擇，可快速完成對(duì)現(xiàn)場電源、燈光、自動(dòng)掃描處于何種工作狀態(tài)的察看。

? 實(shí)時(shí)多媒體報(bào)警。獨(dú)具一格的報(bào)警聯(lián)動(dòng)模塊，保證布防后警情發(fā)生時(shí)主控計(jì)算機(jī)監(jiān)視器畫面的及時(shí)切換，直至撤防。? 可選配電子地圖功能。? 報(bào)警畫面可存至計(jì)算機(jī)硬盤。

? 可實(shí)現(xiàn)報(bào)警資料的長期存儲(chǔ)，便于查詢。?

3、云臺(tái)、解碼器

設(shè)計(jì)使用TC－2209A型室外全球解碼器一體化云臺(tái)和TC-2207A型室內(nèi)全球解碼器一體化云臺(tái)。全球云臺(tái), 內(nèi)置解碼器。

轉(zhuǎn)動(dòng)角度：水平：358°,垂直：0°~ 90° 轉(zhuǎn)動(dòng)速度：水平：12°/秒,垂直： 6°/秒 電 壓： 24VAC 輸入 ?

4、攝像機(jī)

選用HONYWELL（GC－755A1型）攝像機(jī)。

像素：625電視線（PAL）掃描系統(tǒng)：2:1隔行掃描 水平掃描頻率：15.625KHz 垂直掃描頻率：50KHz 圖像傳感器：1/4″彩色CCD高清晰數(shù)碼攝像機(jī) 總像素：795(H)x596(V)470K

有效像素：752(H)x582(V)440K 信噪比：超過49dB 水平分辨率：480電視線 視頻輸出：1.0Vp-p，75Ω

鏡頭：20倍光學(xué)變倍(F1.6,f=3.9-85.8)自動(dòng)變焦

數(shù)字放大比率：10倍(總放大比率：220倍)，2~10倍可變 變倍速度：5秒

鏡頭觀察角度：水平：47°(w)/3°(T)最低照度：0.001Lux 同步方式：內(nèi)方式 背光補(bǔ)償：ON/OFF 彩色/黑白：ON/OFF 焦點(diǎn)模式：自動(dòng)/手動(dòng) 白平衡：自動(dòng)/半自動(dòng) 模糊控制：手動(dòng) 銳化控制：手動(dòng)

快門速度：1/50~1/10000sec 電源： DC12±0.5V 功耗：4.2W/350mA 尺寸：60mm×60.4mm×103mm 重量：345g ?

5、網(wǎng)絡(luò)分控計(jì)算機(jī)

網(wǎng)絡(luò)分控計(jì)算機(jī)采用配置： CPU：PIII 1G以上 內(nèi)存：256M以上

顯卡：Geforce顯卡MX200以上 網(wǎng)卡：10M/100M PCI網(wǎng)卡

軟件平臺(tái)：Windows 2000 Professional

第五篇：企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

宏錦網(wǎng)絡(luò)有限公司 企業(yè)網(wǎng)絡(luò)安全解決方案

摘 要

近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網(wǎng)絡(luò)安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡(luò)安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................................................................................................................5 第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施...........................................................................................................................6 3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施...........................................................................................................................16 總 結(jié)..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻(xiàn)...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

緒 論

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺(tái)將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。

網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個(gè)計(jì)算機(jī)用戶都或多或少地親身體驗(yàn)過一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計(jì)算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施是一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施

3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

針對(duì)宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：

財(cái)務(wù)部門 VLAN 10

交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門 VLAN 20

交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置

宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對(duì)象：any； 目的域：trust； 目的地址對(duì)象：any；

在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-4企業(yè)防火墻策略配置示意圖

可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。

在網(wǎng)絡(luò)接口處如圖3-5所示:

圖3-5 網(wǎng)絡(luò)接口處配置示意圖

要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-6 以太網(wǎng)接口配置示意圖

同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置

宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過上面的防火墻實(shí)現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來實(shí)現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-9 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖

在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn): KV網(wǎng)絡(luò)版是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級(jí)、分組管理

宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺(tái)服務(wù)器上。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-10 主控制中心部署圖

子控制中心與主控制中心關(guān)系: 控制中心負(fù)責(zé)整個(gè)KV網(wǎng)絡(luò)版的管理與控制，是整個(gè)KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來說都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。

為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)宏錦企業(yè)客戶端計(jì)算機(jī)的KV軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖3-11 “策略設(shè)置”命令菜單

為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類掃描，不掃描文件夾，掃描報(bào)告，簡單而實(shí)用的設(shè)置頁大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。

圖3-12 掃描目標(biāo)配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理

4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題

（1）計(jì)算機(jī)軟、硬件數(shù)量無法確實(shí)掌握，盤點(diǎn)困難；（2）單位的計(jì)算機(jī)數(shù)量越來越多，無法集中管理；

（3）無法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財(cái)產(chǎn)損失；（5）使用者計(jì)算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費(fèi)人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設(shè)備故障或資源不足，無法事先得到預(yù)警；

（9）應(yīng)用軟件購買后，員工真正使用狀況如何，無從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實(shí)施

針對(duì)宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實(shí)現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對(duì)公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實(shí)施步驟安裝SmartIPVIew管理軟件，運(yùn)行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對(duì)宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡(luò)設(shè)備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實(shí)現(xiàn)企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨(dú)創(chuàng)的IP地址資源管理技術(shù)，通過保護(hù)IP地址資源的安全使用，以及對(duì)IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個(gè)網(wǎng)絡(luò)資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

致 謝

在這幾個(gè)多月的畢業(yè)設(shè)計(jì)中，我真誠的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計(jì)。

做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問題，這就需要老師的指導(dǎo)了，特別是老師讓我們?cè)趯?shí)訓(xùn)機(jī)房里面，直接就各個(gè)硬件進(jìn)行操作，這樣我們就不會(huì)空談就會(huì)做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實(shí)踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也為以后工作做了很好的準(zhǔn)備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)

參考文獻(xiàn)

[ 1 ] 王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)師教程.北京：機(jī)械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009． [ 5 ] 易建勛.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.[ 6 ] 揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)用技術(shù)，電子工業(yè)出版社，2005年3月 [ 9 ] 萬博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn