信息安全企业网络的安全整体解决方案设计.doc

指导老师评阅成绩表 学习与工 作态度 30 选题的价值与 意义 10 文献综述 10 研究水平与设 计能力 20 课程设计说明说 论 文 撰写质量 20 学术水平与创 新 10 总分 指导老师签名 年 月 日 课程设计答辩记录及评价表课程设计答辩记录及评价表 学生 讲述情况 教师主要 提问记录 学生回答 问题情况 评价参考标准 评分项目 分 值优良中及格差 评分总分 选题的价值与意义1098764 文献综述1098764 研究水平与设计能力201917151310 课程设计说明书 论文 撰写质量 201917151310 学术水平与创新1098764 答辩评分 答辩效果302825221915 是否同意论文 设计 通过答辩 同意 不同意 答辩小组成员签名 答辩小组组长签名 年 月 日 课程设计成绩评定表课程设计成绩评定表 评分项目评分比例分数 课程设计总 分 指导老师评分50 成绩汇总 答辩小组评分50 课程设计成绩评价表 成成 都都 信信 息息 工工 程程 学学 院院 课课 程程 设设 计计 报报 告告 企业网络的安全整体解决方案设计企业网络的安全整体解决方案设计 姓名 姓名 专业专业 班班级级 提交日期 提交日期 企业网络的安全整体解决方案设计企业网络的安全整体解决方案设计 摘摘 要要 随着信息化技术的飞速发展 许多有远见的企业都认识到依托先进的 IT 技 术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力 使企业在 残酷的竞争环境中脱颖而出 经营管理对计算机应用系统的依赖性增强 计算 机应用系统对网络的依赖性增强 计算机网络规模不断扩大 网络结构日益复 杂 计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求 信息安全防范应做整体的考虑 全面覆盖信息系统的各层次 针对网络 系统 应用 数据做全面的防范 信息安全防范体系模型显示安全防范是一个动态的 过程 事前 事中和事后的技术手段应当完备 安全管理应贯穿安全防范活动 的始终 本方案为企业局域网网络安全解决方案 首先介绍了本方案设计的背景 目的和国内外的现状进行了简要的介绍 随后对网络系统进行一个概括分析 然后对本身网络存在的一系列安全风险进行简单的分析介绍 紧接着阐述了企 业网络的安全需求以及需要达到的安全目标 再对企业网络安全方案进行总体 的设计 最后介绍了本设计网络安全的体系结构 本安全解决方案的目标是在 不影响企业局域网当前业务的前提下 实现对企业局域网全面的安全管理 关键词关键词 企业 IT 技术 网络安全 方案 目目 录录 1 1 引言引言 1 1 1 11 1 课题背景课题背景 1 1 2 2 企业网络概况企业网络概况 2 2 2 12 1 网络安全概况网络安全概况 2 2 2 1 12 1 1 网络概述网络概述 2 2 2 1 22 1 2 网络结构网络结构 2 2 2 1 32 1 3 主要外部设备及产品型号主要外部设备及产品型号 3 3 2 32 3 网络结构特点网络结构特点 3 3 3 3 网络安全分析网络安全分析 4 4 3 13 1 物理安全风险分析物理安全风险分析 4 4 3 23 2 网络平台安全分析网络平台安全分析 4 4 3 33 3 系统安全分析系统安全分析 4 4 3 43 4 应用安全分析应用安全分析 5 5 3 53 5 管理安全分析管理安全分析 5 5 4 4 外部攻击外部攻击 5 5 4 14 1 黑客攻击黑客攻击 5 5 4 24 2 恶意代码和病毒的攻击恶意代码和病毒的攻击 6 6 4 34 3 不满的内部员工不满的内部员工 6 6 5 5 安全需求和安全目标安全需求和安全目标 6 6 5 15 1 安全需求分析安全需求分析 6 6 5 25 2 系统安全目标系统安全目标 7 7 6 16 1 安全方案设计原则安全方案设计原则 7 7 6 26 2 安全服务机制与原则安全服务机制与原则 7 7 7 7 网络安全解决方案网络安全解决方案 8 8 7 17 1 物理安全物理安全 8 8 7 27 2 网络平台网络平台 8 8 7 2 17 2 1 防火墙的部署防火墙的部署 8 8 7 2 27 2 2 入侵检测系统的部署入侵检测系统的部署 8 8 7 2 37 2 3 漏洞扫描系统漏洞扫描系统 9 9 7 2 47 2 4 流量控制流量控制 9 9 7 47 4 应用安全应用安全 9 9 7 67 6 恶意代码与网络病毒防范恶意代码与网络病毒防范 1010 8 8 方案可行性分析方案可行性分析 1010 9 9 结论结论 1111 参考文献参考文献 1212 第 1 页 共 12 页 1 1 引言引言 1 1 课题背景课题背景 互联网的广泛应用把人类带入了一个全新的时代 给人们带来前所未有的 海量信息 网络的开放性和自由性产生了私有信息和数据被破坏或侵犯的机会 网络信息的安全性变得日益重要起来 这已被社会的各个领域所重视 随着计算机网络的出现和互联网的飞速发展 企业基于网络的计算机应用 也在迅速增加 基于网络信息系统给企业的经营管理带来了更大的经济效益 但随之而来的安全问题也在困扰着用户 在 2003 年后 木马 蠕虫的传播使企 业的信息安全状况进一步恶化 这都对企业信息安全提出了更高的要求 当今世界信息化技术的飞速发展 许多有远见的企业都认识到依托先进的 IT 技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力 使企 业在残酷的竞争环境中脱颖而出 面对这瞬息万变的市场 企业就面临着如何 提高自身核心竞争力的问题 而其内部的管理问题 效率问题 考核问题 信 息传递问题 信息安全问题等 又时刻在制约着自己 企业采用 PKI 技术来解 决这些问题已经成为当前众多企业提高自身竞争力的重要手段 1 2 本课程设计的研究目的及作用本课程设计的研究目的及作用 本安全解决方案的目的在于在不影响某大型企业局域网当前业务的前提下 实现对他们局域网全面的安全管理 其作用在于 1 将安全策略 硬件及软件等方法结合起来 构成一个统一的防御系统 有效阻止非法用户进入网络 减少网络的安全风险 2 定期进行漏洞扫描 审计跟踪 及时发现问题 解决问题 3 使网络管理者能够很快重新组织被破坏了的文件或应用 使系统重新恢 复到破坏前的状态 最大限度地减少损失 4 在工作站 服务器上安装相应的防病毒软件 由中央控制台统一控制 和管理 实现全网统一防病毒 1 3 国内现状国内现状 网络安全的解决是一个综合性问题 涉及到诸多因素 包括技术 产品和 管理等 目前国际上已有众多的网络安全解决方案和产品 但由于出口政策和 自主性等问题 不能直接用于解决我国自己的网络安全 因此我国的网络安全 只能借鉴这些先进技术和产品 自行解决 可幸的是 目前国内已有一些网络 安全解决方案和产品 不过 这些解决方案和产品与国外同类产品相比尚有一 定的差距 第 2 页 共 12 页 1 4 本文主要工作本文主要工作 本方案主要是先对企业背景进行分析整理 再联系网络安全现状对企业网 络的概况进行初步分析 然后对网络本身存在的一系列安全风险进行简单的分 析介绍 紧接着阐述了企业网络的安全需求以及需要达到的安全目标 再对企 业网络安全方案进行总体的设计 最后介绍了本设计网络安全的体系结构 本 安全解决方案的目标是在不影响企业局域网当前业务的前提下 实现对企业局 域网全面的安全管理 2 企业网络概况企业网络概况 2 1 网络安全概况网络安全概况 安全的意义是将资产及资源所受到的威胁的可能性降到最低程度 随着计算 机网络的不断发展 全球信息代已成为人类发展的大趋势 但是 由于计算机网络 具有连结形式多样性 终端分布不均匀性和网络的开放性 互连性等特征 致使网 络易受黑客 怪客 恶意软件等的不轨攻击 所以网上信息的安全和保密是一个 至关重要的问题 对于军用的自动化指挥网络和银行等传输敏感数据的计算机网 络系统而言 其网上信息的安全和保密尤为重要 因此 上述的网络必须有足够强 的安全措施 否则该网络将是个无用甚至会危及国家安全的网络 无论是在局域 网还是在广域网中 都存在着自然和人为等诸多因素的脆弱性和潜在威胁 因此 网络的安全措施应该能全方位地针对各种不同的威胁和脆弱性 这样才能确保网 络信息的保密性 完整性和可用性 2 1 12 1 1 网络概述网络概述 一般企业的局域网 物理跨度不大 通过千兆交换机在主干网络上提供 1000M 的独享带宽 通过下层交换机与各部门的工作站和服务器连结 并为之 提供 100M 的独享带宽 利用与中心交换机连结的路由器 所有用户可直接访问 Internet 2 1 22 1 2 网络结构网络结构 局域网按访问区域一般情况下可以划分为三个主要的区域 Internet 区域 内部网络 公共服务器区域 内部网络又可按照所属的部门分为市场部 技术 部 行政部 会计部等 在安全方案设计中 我们基于安全的重要程度和要保 护的对象 又可以将这些部门的网络划分为四个虚拟局域网 VLAN 即 中 心服务器子网 财务子网 领导子网 其他子网 不同的局域网分属不同的广 播域 由于财务子网 领导子网 中心服务器子网属于重要网段 因此在中心 交换机上将这些网段各自划分为一个独立的广播域 而将其他的工作站划分在 第 3 页 共 12 页 一个相同的网段 其基本网络拓扑图如图 2 1 32 1 3 主要外部设备及产品型号主要外部设备及产品型号 主要外部网络设备需求如下表 设备名称厂商型号数量 路由器锐捷RG RSR30 441 台 防火墙锐捷RG WALL18001 台 入侵检测系统 IDS 锐捷RG IDS20001 台 核心层交换机锐捷RG S96202 台 汇聚层交换机锐捷RG S3250 244 台 接入层交换机锐捷RG S1824GT88 台 2 22 2 网络应用网络应用 一般企业的局域网可以为用户提供如下主要应用 1 文件共享 办公自动化 WWW 服务 电子邮件服务 2 文件数据的统一存储 3 针对特定的应用在数据库服务器上进行二次开发 比如财务系统 4 提供与 Internet 的访问 5 通过公共服务器对外发布企业信息 发送电子邮件等 2 32 3 网络结构特点网络结构特点 在分析这个企业局域网的安全风险时 应考虑到网络的如下几个特点 第 4 页 共 12 页 1 网络与 Internet 直接连结 因此在进行安全方案设计时要考虑与 Internet 连结的有关风险 包括可能通过 Internet 传播进来病毒 黑客攻击 来自 Internet 的非授权访问等 2 网络中存在公共服务器 由于公共服务器对外必须开放部分业务 因此在进 行 安全方案设计时应该考虑采用安全服务器网络 避免公共服务器的安全风 险扩散到内部 3 内部网络中存在许多不同的子网 不同的子网有不同的安全性 因此在 进行安全方案设计时 应考虑将不同功能和安全级别的网络分割开 这可以通 过交换机划分 VLAN 来实现 4 网络中有应用服务器 在应用程序开发时就应考虑加强用户登录验证 防止非授权的访问 总而言之 在进行网络方案设计时 应综合考虑到这个企业局域网的特点 根据产品的性能 价格 潜在的安全风险进行综合考虑 3 3 网络安全分析网络安全分析 针对一般企业局域网中存在的安全隐患 在进行安全方案设计时 下述安 全风险我们必须要认真考虑 并且要针对面临的风险 采取相应的安全措施 下述风险由多种因素引起 与这个企业局域网结构和系统的应用 局域网内网 络服务器的可靠性等因素密切相关 下面列出部分这类风险因素 网络安全可以从以下五个方面来理解 1 网络物理是否安全 2 网络平台是否 安全 3 系统是否安全 4 应用是否安全 5 管理是否安全 针对每一类安全 风险 结合这个企业局域网的实际情况 我们将具体的分析网络的安全风险 3 1 物理安全风险分析物理安全风险分析 针对一般企业中 工作人员的操作失误 设备被盗 被毁 电磁干扰 线 路截获等现象很难避免 自然界的安全灾难如地震 火灾等环境事故也将会引 起网络的安全 物理安全是整个网络系统安全的前提 在这个企业局域网内 由于该企业的网络物理跨度不大 只要制定健全的安全管理制度 做好备份 并且加强网络设备和机房的管理 这些风险基本上是可以避免的 3 23 2 网络平台安全分析网络平台安全分析 一般企业局域网内公共服务器区 E mail 等服务器 作为公司的信息发布 平台 公共服务器本身要为外界服务 必须开放相应的服务 每时每刻 黑客 都在试图闯入 Internet 节点 这些节点如果不保持警惕 可能连黑客怎么闯入 的都不知道 甚至会成为黑客入侵其他站点的跳板 因此 网络管理人员对 Internet 安全事故做出有效反应变得十分重要 我们有必要将公共服务器 内 部网络与外部网络进行隔离 避免网络结构信息外泄 同时还要对外网的服务 请求加以过滤 只允许正常通信的数据包到达相应主机 其他的请求服务在到 达主机之前就应该遭到拒绝 第 5 页 共 12 页 3 3 系统安全分析系统安全分析 在当今世界恐怕没有绝对安全的操作系统可以选择 无论是微软的 Windows 系列或者其他任何商用 UNIX 操作系统 其开发厂商必然有其后门 但是 我们 可以对现有的操作平台进行安全配置 对操作和访问权限进行严格控制 提高 系统的安全性 因此 不但要选用尽可能可靠的操作系统和硬件平台 而且 必须加强登录过程的认证 特别是在到达服务器主机之前的认证 确保用户 的合法性 其次应该严格限制登录者的操作权限 将其完成的操作限制在最小 的范围内 3 43 4 应用安全分析应用安全分析 应用的安全性涉及到信息 数据的安全性 信息的安全性涉及到 机密信 息泄露 未经授权的访问 破坏信息完整性 假冒 破坏系统的可用性等 由 于这个企业局域网跨度不大 绝大部分重要信息都在内部传递 因此信息的机 密性和完整性是可以保证的 对于有些特别重要的信息需要对内部进行保密的 比如领导子网 财务系统传递的重要信息 可以考虑在应用级进行加密 针 对具体的应用直接在应用系统开发时进行加密 3 53 5 管理安全分析管理安全分析 管理是网络中安全最最重要的部分 责权不明 管理混乱 使得一些员工 或管理员随便让一些非本地员工甚至外来人员进入机房重地 或者员工有意无 意泄漏他们所知道的一些重要信息 而管理上却没有相应制度来约束 这一切 都可能引起管理安全的风险 因此建立全新网络安全机制 必须深刻理解网络并能提供直接的解决方案 从而达到是管理制度和管理解决方案的结合 4 4 外部攻击外部攻击 4 14 1 黑客攻击黑客攻击 随着互联网黑客技术的飞速发展 网络世界的安全性不断受到挑战 对于 黑客自身来说 要闯入大部分人的电脑实在是太容易了 如果你要上网 就免 不了遇到黑客 企业的局域网内我们可以综合采用防火墙技术 Web 页面保护 技术 入侵检测技术 安全评估技术来保护网络内的信息资源 防止黑客攻击 以设置防火墙为例 示意图如下 第 6 页 共 12 页 4 24 2 恶意代码和病毒的攻击恶意代码和病毒的攻击 恶意代码不限于病毒 还包括蠕虫 特洛伊木马 逻辑炸弹 和其他未经 同意的软件 应该加强对恶意代码的检测 计算机病毒一直是计算机安全的主要威胁 能在 Internet 上传播的新型病 毒 例如通过 E Mail 传播的病毒 增加了这种威胁的程度 病毒的种类和传染 方式也在增加 国际空间的病毒总数已达上万甚至更多 当然 查看文档 浏 览图像或在 Web 上填表都不用担心病毒感染 然而 下载可执行文件和接收来 历不明的 E Mail 文件需要特别警惕 否则很容易使系统导致严重的破坏 典型 的 CIH 病毒就是一可怕的例子 4 34 3 不满的内部员工不满的内部员工 由于工作的问题 企业员工有可能对自己企业产生不满 这些不满的内部 员工可能在 WWW 站点上开些小玩笑 甚至破坏 无论这些员工是否离职 他们 都有可能对企业造成不可估量的损失 5 5 安全需求和安全目标安全需求和安全目标 5 15 1 安全需求分析安全需求分析 通过前面对这个企业局域网络结构 应用及安全威胁分析 可以看出其安 全问题主要集中在对服务器的安全保护 防黑客和病毒 重要网段的保护以及 管理安全上 因此应该做到以下几点 公共服务器的安全保护 防止黑客从外 部攻击 入侵检测与监控 信息审计与记录 病毒防护 数据安全保护 数据 备份与恢复 网络的安全管理 第 7 页 共 12 页 5 25 2 系统安全目标系统安全目标 基于以上的分析 我认为局域网网络系统安全应该实现以下目标 1 建立一套完整可行的网络安全与网络管理策略 2 将内部网络 公共服务器网络和外网进行有效隔离 避免与外部网 络的直接通信 3 建立网站各主机和服务器的安全保护措施 保证他们的系统安全 4 对网上服务请求内容进行控制 使非法访问在到达主机前被拒绝 5 加强合法用户的访问认证 同时将用户的访问权限控制在最低限度 6 全面监视对公共服务器的访问 及时发现和拒绝不安全的操作和黑 客攻击行为 7 加强对各种访问的审计工作 详细记录对网络 公共服务器的访问 行为 形成完 整的系统日志 8 备份与灾难恢复 强化系统备份 实现系统快速恢复 9 加强网络安全管理 提高系统全体人员的网络安全意识和防范技术 6 6 网络安全总体方案设计网络安全总体方案设计 6 16 1 安全方案设计原则安全方案设计原则 在对这个企业局域网网络系统安全方案设计 规划时 应遵循以下原则 1 综合性 整体性原则 应用系统工程的观点 方法 分析网络的安全 及具体措施 2 需求 风险 代价平衡的原则 对任一网络 绝对安全难以达到 也不 一定是必要的 3 一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周 期 或生命周期 同时存在 制定的安全体系结构必须与网络的安全需求 相一致 4 易操作性原则 安全措施需要人为去完成 如果措施过于复杂 对人的 要求过高 本身就降低了安全性 其次 措施的采用不能影响系统的正常 运行 5 分步实施原则 可满足网络系统及信息安全的基本需求 亦可节省费用 开支 6 多重保护原则 建立一个多重保护系统 各层保护相互补充 当一层保 护被攻破时 其它层保护仍可保护信息的安全 6 26 2 安全服务机制与原则安全服务机制与原则 安全服务 安全服务主要有 控制服务 对象认证服务 可靠性服务等 第 8 页 共 12 页 安全机制 访问控制机制 认证机制等 安全技术 防火墙技术 入侵检测技术 鉴别技术 审计监控技术 病毒防 治技术等 在安全的开放环境中 用户可以使用各种安全应用 安全应用由一 些安全服务来实现 而安全服务又是由各种安全机制或安全技术来实现的 应 当指出 同一安全机制有时也可以用于实现不同的安全服务 7 7 网络安全解决方案网络安全解决方案 通过对该企业的网络的全面了解 按照安全策略的要求 风险分析的结果 及整个网络的安全目标 整个网络措施应按系统体系建立 具体的安全控制系 统由以下几个方面组成 7 17 1 物理安全物理安全 物理安全是保证计算机信息系统各种设备的物理安全是整个计算机信息系 统安全的前提 物理安全是保护计算机网络设备 设施以及其它媒体免遭地震 水灾 火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的 破坏过程 7 27 2 网络平台网络平台 7 2 17 2 1 防火墙的部署防火墙的部署 在 Internet 与企业网内网之间部署了一台 RG WALL1800 防火墙 在内外网 之间建立一道牢固的安全屏障 其中 WWW E mail FTP DNS 服务器连接在防 火墙的 DMZ 区 即 非军事区 是为不信任系统提供服务的孤立网段 它阻 止内网和外网直接通信 以保证内网安全 与内 外网间进行隔离 内网口 连接企业网内网交换机 外网口通过路由器与 Internet 连接 这样 通过 Internet 进来的外网用户只能访问到对外公开的一些服务 如 WWW E mail FTP DNS 等 既保护内网资源不被外部非授权用户非法访问或破坏 也可以阻止内部用户对外部不良资源的使用 并能够对发生在网络中的安全事 件进行跟踪和审计 在防火墙设置上我们按照以下原则配置来提高网络安全性 1 根据企业网安全策略和安全目标 规划设置正确的安全过滤规则 规则 审核 IP 数据包的内容 包括协议 端口 源地址 目的地址 流向等项目 严 格禁止来自外网的对企业内网的不必要的 非法的访问 总体上遵从 不被允 许的服务就是被禁止 的原则 2 配置防火墙 过滤掉以内部网络地址进入路由器的 IP 包 这样可以防 范源地址假冒和源路由类型的攻击 过滤掉以非法 IP 地址离开内部网络的 IP 包 防止内部网络发起的对外的攻击 3 在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表 防止 IP 地 址被盗用 4 定期查看防火墙访问日志 及时发现攻击行为和不良的上网记录 5 允许通过配置网卡对防火墙设置 提高防火墙管理的安全性 7 2 27 2 2 入侵检测系统的部署入侵检测系统的部署 第 9 页 共 12 页 入侵检测能力是衡量一个防御体系是否完整有效的重要因素 强大的 完 整的入侵检测体系可以弥补防火墙相对静态防御的不足 将 RG IDS2000 入侵检 测引擎接入中心交换机上 对来自外部网和企业网内部的各种行为进行实时检 测 选用的入侵检测系统集入侵检测 网络管理和网络监视功能于一身 能实 时捕获内外网之间传输的所有数据 利用内置的攻击特征库 使用模式匹配和 智能分析的方法检测网络上发生的入侵行为和异常现象 并在数据库中记录有 关事件 作为网络管理员事后分析的依据 7 2 37 2 3 漏洞扫描系统漏洞扫描系统 采用先进的漏洞扫描系统定期对工作站 服务器 交换机等进行安全检查 并根据检查结果向系统管理员提供周密 可靠的安全分析报告 7 2 47 2 4 流量控制流量控制 锐捷 RG RSR30 44 路由器提供了 QOS 功能 可以顺利实现该企业网的应用 控制流量要求 对于重要运用 如 HTTP 保证其最小带宽使用量 并且借用 剩余带宽 对于占用大量带宽但不重要的应用 如 P2P 对其进行带宽限制 至此基于时间段生效的带宽控制策略 这样就严格控制了企业员工的上网行为 以保证带宽得到有效的应用 7 37 3 系统安全系统安全 系统的安全性主要针对的是操作系统 应用系统的安全性以及网络硬件平 台的可靠性 对于系统的安全防范我主要采取如下策略 对操作系统进行安全配置 提高系统的安全性 系统内部调用不对 Internet 公开 关键性信息不直接公开 尽可能采用安全性高的操作系统 应用系统在开发时 采用规范化的开发过程 尽可能的减少应用系统的漏 洞 通过专业的安全工具 安全检测系统 定期对网络进行安全评估 7 47 4 应用安全应用安全 首先 针对企业员工的使用 我建议使用 802 1X 协议来实现用户的登陆连 接网络 以确认用户的合法性 其次应该严格限制登录者的操作权限 将其完 成的操作限制在最小的范围内 另外 在加强主机的管理上 除了上面谈的访 问控制和系统漏洞检测外 还可以采用访问存取控制 对权限进行分割和管理 应用安全平台要加强资源目录管理和授权管理 传输加密 审计记录和安全管 理 7 57 5 黑客攻击防范黑客攻击防范 有效的防范黑客攻击安全体系的实现需要三方面的努力 1 技术上 黑客攻击的多样性决定了防范技术也必须采取多层次 全方位 的防御体系 包括先进的 不断更新和完善的安全工具 各种软硬件设备 管 理平台和监控系统 主要包括防火墙 安全扫描 评估分析 入侵检测 入侵 取证 陷阱网络 备份恢复和病毒防治等 第 10 页 共 12 页 2 管理上 黑客攻击的技术手段越来越高明 但是不可否认 有些黑客攻 击之所以可以成功在于网络管理上的疏忽和漏洞 所以要建立有效的防范黑客 攻击的安全体系需要严密完善的安全技术规范 管理制度 高水平的安全技术 人才和高度的工作责任心 其中包括建立定期检查制度 建立包机或网络安全 专人负责制 建立安全事故及时上报制度 建立定期备份制度 建立口令定期 修改制度等等 3 规划上 网络技术迅猛发展 也使得黑客攻击技术不断发展 网络管理者要 做好防范工作的同时也要做出正确合理的网络结构设计 规划和组织 做到防 范于未然 对新的技术和产品的研发要早作准备 深入调研国内外电信 IP 网安 全的状况 了解黑客技术的进展 在广泛融合的基础上做出前瞻性的规划 培 养相关领域的人才 7 67 6 恶意代码与网络病毒防范恶意代码与网络病毒防范 由于在网络环境下 计算机病毒有不可估量的威胁性和破坏力 一次计算 机病毒的防范是网络安全性建设中重要的一环 网络反病毒技术包括预防病毒 检测病毒和消毒 网络反病毒技术的具体实现 方法包括对网络服务器中的文件进行频繁地扫描和监测 在工作站上用防病毒 芯片和对网络目录及文件设置访问权限等 所选的防毒软件应该构造全网统一的防病毒体系 主要面向 E mail Web 服务 器 以及办公网段的 PC 服务器和 PC 机等 支持对网络 服务器 和工作站的 实时病毒监控 能够在中心控制台向多个目标分发新版杀毒软件 并监视多个 目标的病毒防治情况 支持多种平台的病毒防范 能够识别广泛的已知和未知 病毒 包括宏病毒 支持 Internet Intranet 服务器的病毒防治 能够阻止恶 意的 Java 或 ActiveX 小程序的破坏 支持对电子邮件附件的病毒防治 包括 WORD EXCEL 中的宏病毒 支持对压缩文件的病毒检测 支持广泛的病毒处理 选项 如对染毒文件进行实时杀毒 移出 重新命名等 支持病毒隔离 当客 户机试