企业级网络安全防护与策略研究

1、毕 业 设 计（论文）（说 明明 书） 题 目： 姓 名： 编 号： XXXXX学院 年 月月 日XXX学学院毕 业 设 计 （论文） 任任 务 书姓名 专业 任 务 下 达达 日 期 年 月 日设计（论论文）开始日期期 年 月 日设计（论论文）完完成日期期 年 月 日设计（论论文）题目： A编制制设计 B设计计专题（毕业论论文） 指 导导 教 师 系（部）主 任 年年 月 日XXXXX学院毕业设计计（论文）答答辩委员会记记录 系 专专业，学生 于于 年 月 日进行了毕毕业设计计（论文）答答辩。设计题目目： 专题（论论文）题目： 指导老师师： 答辩委员员会根据据学生提交交的毕业业设计（论文）材

2、材料，根根据学生答辩情况，经答辩委员会讨讨论评定定，给予学生 毕业设设计（论文）成成绩为 。答辩委员员会 人，出席 人答辩委员员会主任任（签字）： 答辩委员员会副主主任（签签字）： 答辩委员员会委员： ， ， 。XXXXX学院毕毕业设计计（论文文）评语语第 页页共 页页学生姓名名： 专业业 年级 毕业设计计（论文）题目： 评 阅 人： 指导教师师： （签字） 年 月月 日成 绩： 系（科）主任： （签签字） 年 月月 日毕业设计计（论文）及及答辩评评语： 摘 要要随着计算算机应用用范围的的扩大和和互联网网技术的的迅速发发展，计计算机信信息技术术已经渗渗透到人人们生活活的方方方面面，网上购购物、

3、商商业贸易易、金融融财务等等经济行行为都已已经实现现网络运运行，“数字化化经济”(DiigittalEEconnomyy)引领领世界进进入一个个全新的的发展阶阶段。然而，越越来越开开放的信信息系统统也带来来了众多多安全隐隐患，黑黑客和反反黑客、破坏和和反破坏坏的斗争争愈演愈愈烈。在在网络安安全越来来越受到到人们重重视和关关注的今今天，网网络安全全技术作作为一个个独特的的领域越越来越受受到人们们关注。 本文网络络安全主主要指的的是指网网络系统统的硬件件、软件件及其系系统中的的数据受受到保护护,不受受偶然的的因素或或者恶意意的攻击击而遭到到破坏、更改、泄漏,确保系系统能连连续、可可靠、正正常地运运

4、行,网网络服务务不中断断。常见见的影响响网络安安全的问问题主要要有病毒毒、黑客客攻击、系统漏漏洞、数数据篡改改等,这这就需要要我们建建立一套套完整的的网络安安全体系系来保障障网络安安全可靠靠地运行行。同时本文文着重阐阐述了如如何对网网络的安安全进行行加固防防御其中中包括网网络架构构的安全全性，计计算机物物理环境境的安全全性，计计算机软软件环境境的安全全性，其其中包括括计算机机系统安安全漏洞洞，注册册表漏洞洞，网络络连接性性的安全全性，文文件系统统的安全全性和数数据加密密的安全全性以及及黑客可可能会采采取的入入侵措施施进行了了相对系系统的介介绍。通过对这这些安全全漏洞的的了解以以及加固固，可以以

5、充分的的在网络络环境中中进一步步保证网网络的安安全，保保证企业业公司的的利益。总的来讲讲随着IInteerneet时代代的不断断进步，可以说说从各个个方面加加强计算算机网络络安全保保护的相相关问题题研究已已经成为为当务之之急,尤尤其是当当今企业业类型的的网络安安全，已已经成为为网络安安全中的的重中之之重。关键词：企业网网，网络络安全，防护策策略，研究，黑黑客，反反黑客目录TOC o 1-3 h z u HYPERLINK l _Toc326145168 摘要 PAGEREF _Toc326145168 h II HYPERLINK l _Toc326145169 目录 PAGEREF _Toc

6、326145169 h III HYPERLINK l _Toc326145170 第1章 绪论 PAGEREF _Toc326145170 h 1 HYPERLINK l _Toc326145171 1.1课课题背景景 PAGEREF _Toc326145171 h 1 HYPERLINK l _Toc326145172 1.2课课题研究究内容及及要求 PAGEREF _Toc326145172 h 1 HYPERLINK l _Toc326145173 1.3课课题预期期效果 PAGEREF _Toc326145173 h 1 HYPERLINK l _Toc326145174 1.4课课

7、题研究的的意义 PAGEREF _Toc326145174 h 2 HYPERLINK l _Toc326145175 第2章 企业网网络安全全框架结结构 PAGEREF _Toc326145175 h 3 HYPERLINK l _Toc326145176 2.1物物理环境境的安全全 PAGEREF _Toc326145176 h 4 HYPERLINK l _Toc326145177 2.2操操作系统统的安全全性 PAGEREF _Toc326145177 h 4 HYPERLINK l _Toc326145178 2.3网网络的安安全性 PAGEREF _Toc326145178 h 4

8、 HYPERLINK l _Toc326145179 2.4应应用的安安全性 PAGEREF _Toc326145179 h 4 HYPERLINK l _Toc326145180 2.5管管理的安安全性 PAGEREF _Toc326145180 h 5 HYPERLINK l _Toc326145181 第3章 企业网网络安全全措施 PAGEREF _Toc326145181 h 6 HYPERLINK l _Toc326145182 3.1电电源管理理及监控控软件 PAGEREF _Toc326145182 h 6 HYPERLINK l _Toc326145183 3.2控控制湿度度的

9、措施施 PAGEREF _Toc326145183 h 6 HYPERLINK l _Toc326145184 3.3操操作系统统安全的的实现 PAGEREF _Toc326145184 h 6 HYPERLINK l _Toc326145185 3.3.1 对对于系统统漏洞 PAGEREF _Toc326145185 h 6 HYPERLINK l _Toc326145186 3.3.2 注注册表安安全性 PAGEREF _Toc326145186 h 7 HYPERLINK l _Toc326145187 3.3.3 禁禁止和删删除不必必要的服服务 PAGEREF _Toc32614518

10、7 h 8 HYPERLINK l _Toc326145188 3.3.4 保保护网络络连接安安全性 PAGEREF _Toc326145188 h 8 HYPERLINK l _Toc326145189 3.3.5 其其他的配配置 PAGEREF _Toc326145189 h 9 HYPERLINK l _Toc326145190 3.4文文件系统统安全的的实现 PAGEREF _Toc326145190 h 9 HYPERLINK l _Toc326145191 3.4.1 所所支持的的文件系系统 PAGEREF _Toc326145191 h 9 HYPERLINK l _Toc326

11、145192 3.4.2 NNTFSS权限 PAGEREF _Toc326145192 h 9 HYPERLINK l _Toc326145193 3.4.3 EEFS PAGEREF _Toc326145193 h 9 HYPERLINK l _Toc326145194 3.4.4 磁磁盘限额额 PAGEREF _Toc326145194 h 10 HYPERLINK l _Toc326145195 3.4.5共享享安全性性 PAGEREF _Toc326145195 h 11 HYPERLINK l _Toc326145196 3.4.6联合合NTFFS安全全性和共共享安全全性 PAGER

12、EF _Toc326145196 h 11 HYPERLINK l _Toc326145197 3.5身身份系统统的实现现和安全全 PAGEREF _Toc326145197 h 13 HYPERLINK l _Toc326145198 3.6防防火墙技技术 PAGEREF _Toc326145198 h 15 HYPERLINK l _Toc326145199 3.7数数据加密密 PAGEREF _Toc326145199 h 17 HYPERLINK l _Toc326145200 3.8入入侵检测测 PAGEREF _Toc326145200 h 20 HYPERLINK l _Toc3

13、26145201 3.8.1入侵侵检测系系统通常常包括以以下功能能 PAGEREF _Toc326145201 h 20 HYPERLINK l _Toc326145202 3.8.2入侵侵检测的的算法目目前完成成的主要要有两类类 PAGEREF _Toc326145202 h 20 HYPERLINK l _Toc326145203 3.8.3这种种基于移移动代理理分布式式入侵检检测与传传统的代代理相比比的优点点 PAGEREF _Toc326145203 h 21 HYPERLINK l _Toc326145204 3.8.4 DDIDSS系统的的两大类类五种代代理 PAGEREF _To

14、c326145204 h 22 HYPERLINK l _Toc326145205 3.9邮邮件安全全防范 PAGEREF _Toc326145205 h 25 HYPERLINK l _Toc326145206 第4章 综合实实例演示示企业网网络安全全基本防防护 PAGEREF _Toc326145206 h 26 HYPERLINK l _Toc326145207 4.1 实例演演示配置置防火墙墙策略 PAGEREF _Toc326145207 h 27 HYPERLINK l _Toc326145208 4.2实实例演示示网站入侵侵 PAGEREF _Toc326145208 h 29

15、HYPERLINK l _Toc326145209 4.3实实例演示示远程入入侵服务务器 PAGEREF _Toc326145209 h 33 HYPERLINK l _Toc326145228 参考文献献 PAGEREF _Toc326145228 h 44 HYPERLINK l _Toc326145229 致谢 PAGEREF _Toc326145229 h 445第1章 绪论1.1课课题背景景随着国家家网络信信息化建建设的飞飞速发展展，有越越来越多多的企业业建立起起自己的的局域网络络，应用用于文件件共享，办公自自动化，电子邮邮件等功功能，随随着计算算机的广广泛应用用，企业业网络的的建立

16、，网络安安全越来来越受到到人们的的重视，网络安安全也成成为企业业网络建建立所必必须解决决的主要要难题，企业网网络安全全已成为为一门具具体专业业的课程程供大学学生学习习，研究究。同时，IInteerneet的开开放性和和自由性性为社会会的进步步提供了了巨大的的动力，但是也也正是由由于互联联网的这这一特性性，导致致了网络络上的诸诸多不安安全因素素。在我我国，网网络安全全目前主主要存在在以下几几个问题题：计算算机系统统感染病病毒的情情况相当当严重；黑客形形成的重重大威胁胁；网络络安全在在信息基基础设施施方面所所面临的的挑战。网络环环境是多多变的、复杂的的，其信信息系统统也是比比较脆弱弱的，这这些都是

17、是网络安安全受到到威胁的的客观存存在。近近年来，随着信信息化社社会的来来临，网网络安全全的建设设就需要要加大力力度进行行。1.2课课题研究究内容及及要求在基于各各种网络络操作系系统的前前提下，实现企企业网络络中计算算机，打打印机、硬件设设备的正正常运行行，还要要以维护护系统安安全为主主要任务务。根据企业业网络这这一具体体实例，课题研研究的要要求具体体包括：网络的的正常运运行，网网络管理理具体日日常事务务，网络络部署公公司计划划，发展展方向，数据库库安全与与共享，服务器器资料不不被窃取取，公司司各级人人员的限限制访问问权，员员工私人人资料不不被泄露露，管理理数据库库访问权权限，分分配个人人操作等

18、等级，用用户身份份认证，服务器器，计算算机，网网关的防防毒，提提高内外外通信的的高效，灵活，员工上上网安全全等。同时演示示如何通通过漏洞洞进行入入侵操作作，以提提高企业业警觉性性，要求求对网络络的安全全性提高高警惕。1.3课课题预期期效果提高企业业网络安安全管理理人员的的网络安安全技术术，了解解网络攻攻击手段段，从而而做好相相应防御御措施，还要灵灵活处理理突发状状况，降降低网络络攻击对对企业的的损失，加强企业员工工的网络络安全意意识，从从企业内内部降低低网络安安全风险险，从根根本上避避免降低低计算机机黑客的的病毒攻攻击，保保证网络络的正常常运行，网络管管理具体体事务的的正常进进行，网网络部署署

19、公司计计划，发发展方向向，数据据库及其其他服务务器资料料的秘密密性，避避免企业业员工的的越级操操作从而而导致的的各级人人员的权权限混乱乱，保证证服务器器，计算算机，网网关的防防毒安全全，通畅畅企业内内外通信信的高效效，保证证员工上上网的安安全等。1.4课课题研究究的意义义对将来从从事的网网络工作作有一定定的经验验，对企企业网络络系统有有一定的的了解，提高了了网络安安全意识识。往大了来来说网络络安全是是一个关关系国家家安全和和主权、社会的的稳定、民族文文化的继继承和发发扬的重重要问题题。其重重要性，正随着着全球信信息化步步伐的加加快而变变到越来来越重要要。“家家门就是是国门”，安全全问题刻刻不容

20、缓缓。网络安全全是一门门涉及计计算机科科学、网网络技术术、通信信技术、密码技技术、信信息安全全技术、应用数数学、数数论、信信息论等等多种学学科的综综合性学学科。网络安全全是指网网络系统统的硬件件、软件件及其系系统中的的数据受受到保护护，不受受偶然的的或者恶恶意的原原因而遭遭到破坏坏、更改改、泄露露，系统统连续可可靠正常常地运行行，网络络服务不不中断。网络安全全从其本本质上来来讲就是是网络上上的信息息安全。从广义义来说，凡是涉涉及到网网络上信信息的保保密性、完整性性、可用用性、真真实性和和可控性性的相关关技术和和理论都都是网络络安全的的研究领领域。网络安全全的具体体含义会会随着“角度”的变化化而

21、变化化。比如如：从用用户（个个人、企企业等）的角度度来说，他们希希望涉及及个人隐隐私或商商业利益益的信息息在网络络上传输输时受到到机密性性、完整整性和真真实性的的保护，避免其其他人或或对手利利用窃听听、冒充充、篡改改、抵赖赖等手段段侵犯用用户的利利益和隐隐私， 访问和和破坏。从网络运运行和管管理者角角度说，他们希希望对本本地网络络信息的的访问、读写等等操作受受到保护护和控制制，避免免出现“陷门”、病毒毒、非法法存取、拒绝服服务和网网络资源源非法占占用和非非法控制制等威胁胁，制止止和防御御网络黑黑客的攻攻击。对安全保保密部门门来说，他们希希望对非非法的、有害的的或涉及及国家机机密的信信息进行行过

22、滤和和防堵，避免机机要信息息泄露，避免对对社会产产生危害害，对国国家造成成巨大损损失。从社会教教育和意意识形态态角度来来讲，网网络上不不健康的的内容，会对社社会的稳稳定和人人类的发发展造成成阻碍，必须对对其进行行控制。 第第2章 企企业网络络安全框框架结构构为了能够够有效的的了解企企业和员员工的网网络安全全需求，在选择择各种硬硬件软件件的安全全行上 有必要要建立系系统的方方法进行行网络安安全防范范。使网网络安全全防范体体系的科科学性，可行性性顺利实实施的保保障图2-11 三维维安全防防范技术术体系框框架结构构图2-11为三维安安全防范范技术体体系框架架结构。第一维是是安全服服务，给给出了88种

23、安全全属性；第二维是是系统单单元，给给出了信信息网络络的组成成；第三维是是结构层层次，给给出并扩扩展了国国际标准准化组织织ISOO的开放放系统互互联(OOSI)模型。框架结构构中的每每一个系系统单元元都对应应于某一一个协议议层次，需要采采取若干干种安全全服务才才能保证证该系统统单元的的安全。网络平平台需要要有网络络节点之之间的认认证、访访问控制制，应用用平台需需要有针针对用户户的认证证、访问问控制，需要保保证数据据传输的的完整性性、保密密性，需需要有抗抗抵赖和和审计的的功能，需要保保证应用用系统的的可用性性和可靠靠性。针针对一个个信息网网络系统统，如果果在各个个系统单单元都有有相应的的安全措措

24、施来满满足其安安全需求求，则我我们认为为该信息息网络是是安全的的。当我们根根据以上上给出的的三维安安全防范范框架结结构，做做到企业业网络安安全体系系中的每每一个层层次，每每一个面面及面与与面之间间相接的的部分安安全，我我们就能能够做到到整个企企业局域域网络的的安全。2.1物物理环境境的安全全这层次的的安全是是整个网网络安全全的基础础，只有有当我们们企业的的计算机机，打印印机，投投影机一系列列的硬件件设施能能过正常常的工作作，我们们才能够够考虑其其他方面面的安全全，所以以要格外外重视 物理环环境安全全包括通通信线路路安全，设备软软硬件安安全，运运行环境境安全。通通信线路路安全：线路备备份，网网管

25、软件件，传输输介质设设备硬件件安全：替换设设备、拆拆卸设备备、增加加设备设设备软件件安全：设备的的备份，防灾害害能力、防干扰扰能力运运行环境境安全：温度、湿度、烟尘)，不间间断电源源保障2.2操操作系统统的安全全性该层次的的安全问问题来自自网络内内使用的的操作系系统的安安全，如如Winndowws NNT，WWinddowss 20000等等。主要要表现在在三方面面：是是操作系系统本身身的缺陷陷带来的的不安全全因素，主要包包括身份份认证、访问控控制、系系统漏洞洞等。是是对操作作系统的的安全配配置问题题。是是病毒对对操作系系统的威威胁。2.3网网络的安安全性该层次的的安全问问题主要要体现在在网络

26、方方面的安安全性，包括网网络层身身份认证证，网络络资源的的访问控控制，数数据传输输的保密密与完整整性，远远程接入入的安全全，域名名系统的的安全，路由系系统的安安全，入入侵检测测的手段段，网络络设施防防病毒等等。2.4应应用的安安全性该层次的的安全问问题主要要由提供供服务所所采用的的应用软软件和数数据的安安全性产产生，包包括Weeb服务务、电子子邮件系系统、DDNS等等。此外外，还包包括病毒毒对系统统的威胁胁。2.5管管理的安安全性安全管理理包括安安全技术术和设备备的管理理、安全全管理制制度、部部门与人人员的组组织规则则等。管管理的制制度化极极大程度度地影响响着整个个网络的的安全，严格的的安全管

27、管理制度度、明确确的部门门安全职职责划分分、合理理的人员员角色配配置都可可以在很很大程度度上降低低其它层层次的安安全漏洞洞本章主要要讲述企企业网络络安全隐隐患，只只有找出出网络，硬件，环境，操作人人员等一一系列复复杂因素素对企业业网络安安全的影影响，才才能解决决问题，建立一一个安全全的企业业网络环环境。第3章 企业网网络安全全措施3.1电电源管理理及监控控软件电源管理理软件能能够对UUPS发发送的信信息进行行反应，向用户户播放警警告讯息息，然后后等待一一定的时时间，再再进行一一个有次次序的关关机过程程。有的的电源管管理软件件还能在在关闭整整个系统统前先关关闭正在在运行的的程序。监控软件件则是一

28、一种不是是必需但但很有用用的工具具。它一一般通过过图形方方式显示示出电池池电量、主输入入电压、剩余供供电时间间以及UUPS状状态及其其他信息息。监控控信息一一般通过过SNMMP协议议在网络络上传输输，而不不像关机机软件使使用当地地的串口口连接以以防在断断电情况况下集线线器或路路由器失失效。当当UPSS出现异异常情况况时，它它就会在在SNMMP监测测工作站站上显示示出来。3.2控控制湿度度的措施施为了防止止机房内内湿度的的过高或或过低以以及急剧剧变化对对计算机机设备及及附属设设备的影影响，必必须采取取以下措措施，以以保证机机房内的的湿度控控制在一一个稳定定的范围围内。1)使用用恒温、恒湿装装置来

29、调调节机房房内的湿湿度； 2)在机机房内安安装除湿湿机和加加湿机；当机房房内湿度度超过规规定值时时，使用用除湿机机使机房房内湿度度降低；当机房房内湿度度低于规规定值时时，使用用加湿机机对机房房内空气气进行加加湿，提提高机房房内湿度度。 3)机房房内外为为了进行行空气交交换和维维持机房房正压值值所使用用的新风风机系统统，必须须具有加加湿和去去湿功能能。在对对送入机机房内的的新鲜空空气湿度度过高（大于机机房湿度度规定的的范围）时要进进行除湿湿；过低低时要加加湿，以以保证机机房内的的空气湿湿度符合合计算机机设备及及工作人人员的要要求。3.3操操作系统统安全的的实现3.3.1 对于于系统漏漏洞定期的添

30、添加seerviicess paack和和hott fiixess，如果果系统没没有相关关服务，不要随随意的安安装补丁丁3.3.2 注册册表安全全性注册表的的结构：相当于于winn.inni，集集中存储储了系统统的配置置信息。5个配配置单元元（hiive keyy），44个存放放于wiinnttsyysteem322coonfiig目录录下：SSAM, SYYSTEEM, SECCURIITY, SOOFTWWAREE，对此此4个文文件设置置权限，仅允许许sysstemm账号访访问。HHARDDWARRE又称称易失关关键字，每次系系统启动动时由nntdeetecct.ccom进进行硬件件检测，

31、将检测测的结果果只与此此关键字字中，保保存在内内存中。H K E YY _ L OO C A LL _ M AA C H II N E ( H K LL M )是包包含操作作系统及及硬件相相关信息息(例如计计算机总总线类型型，系统统可用内内存，当当前装载载了哪些些设备驱驱动程序序以及启启动控制制数据等等)的配置置单元。实际上上，H K LL M保保存着注注册表中中的大部部分信息息，因为为另外四四个配置置单元都都是其子子项的别别名。不不同的用用户登录录时，此此配置单单元保持持不变。H K E YY _ C UU R R EE N T _ U S EE R ( HH K C UU )配配置单元元包

32、含着着当前登登录到由由这个注注册表服服务的计计算机上上的用户户的配置置文件。其子项项包含着着环境变变量、个个人程序序组、桌桌面设置置、网络络连接、打印机机和应用用程序首首选项(环境变变量在WWinddowss 20000中中被用来来允许脚脚本、注注册表条条目，以以及其它它应用程程序使用用通配符符来代替替可能会会发生改改变的重重要的系系统信息息)，存储储于用户户配置文文件的nntusser.datt中。优优先于HH K L MM中相同同关键字字。这些些信息是是HKEEY_UUSERRS 配配置单元元当前登登录用户户的Seecurrityy IDD(SIID)子子项的映映射。H K E YY _

33、U SS E R SS ( H KK U )配置置单元包包含的子子项含有有当前计计算机上上所有的的用户配配置文件件。其中中一个子子项总是是映射为为H KK E Y _ C U RR R E NN T _ UU SE R (通过过用户的的S II D值值)。另一一个子项项H KK E Y _U SS E R SS D EE FAA U LT包包含用户户登录前前使用的的信息。H K E YY _ C LL A S SS E S _ R O OO T ( HH K C RR )配配置单元元包含的的子项列列出了当当前已在在计算机机上注册册的所有有C OO M服服务器和和与应用用程序相相关联的的所有文文

34、件扩展展名。这这些信息息是H K EE Y _ LL O C AA L _M A CC H I NN E SS O F TT WAA R E C l aa s s ee s子子项的映映射。H K E YY _ C UU R R EE N T _ C O NN F I GG ( H KK C C )配置单单元包含含的子项项列出了了计算机机当前会会话的所所有硬件件配置信信息。硬硬件配置置文件出出现于WWinddowss NTT版本4，它允允许你选选择在机机器某个个指定的的会话中中支持哪哪些设备备驱动程程序。这这些信息息是H K EE Y _ LL O C AA L _ MM A C HH I N

35、EE S YY S T EE M CC u r rr e n tt C o nn t r oo l S ee t子子项的映映射。H K E YY _ L OO C A LL _ M AA C H II N E ( H K LL M )的子子树：HARDDWARRE：在在系统启启动时建建立，包包含了系系统的硬硬件的信信息SAM：包含了了用户帐帐号和密密码信息息SECUURITTY：包包含了所所有的安安全配置置信息SOFTTWARRE：包包含应用用程序的的配置信信息SYSTTEM：包含了了服务和和设备的的配置信信息设置注册册表的权权限：Winddowss NTT：使用用C2CConffig和和C2

36、rregaacl.inffWinddowss 20000：使用组组策略审核注册册表：3.3.3 禁止和和删除不不必要的的服务删除OSS/2和和POSSIX在webb服务器器上禁止止serrverr seerviicess在firrewaall上上过滤相相应的数数据包3.3.4 保护护网络连连接安全全性SMB connnecctioon pproccesssEstaabliish a TTCP connnecctioon neggotiiatee diialeect seet uup SSMB sesssioon acccesss reesouurceePc nnetwworkk prrogrr

37、am 1.00Micrrosooft nettworrks 1.003Lanmman 1.00LM 11.2XX0022LanMMan 2.11Winddowss NTTLM 禁止匿名名连接：HKLLM SYSSTEMMCCCScconttrolllssarresttricctannonyymouus=11服务器控控制验证证方法：lmccomppatiibillityylevvel 0 任任何都是是可用的的。由服服务器决决定使用用哪种方方法。不不使用LLM验证证激活SMMB签名名：HKLMMSYYSTEEMCCCSserrvicceslannmannserrverrpaarammeteersr

38、eqquirreseecurrityysiggnatturee 0/1HKLMMSYYSTEEMCCCSserrviccesrdrrpaarammeteersreqquirreseecurrityysiggnatturee 0/13.3.5 其他他的配置置禁止除管管理员和和打印操操作员以以外的用用户安装装打印驱驱动程序序：HKLMMSYYSTEEMCCCSconntroolpprinntpprovvideerslannmannpriintsservviceesaaddpprinntdrriveers=1隐藏上一一次登录录的系统统名限制对打打印机和和串口的的使用：HKLMMSYYSTEEMCCC

39、Sconntroolssesssionn maanaggerprootecctioonmoode=1禁止缓存存登录证证书限制对sscheeduller服服务的使使用限制对可可移动介介质的访访问3.4文文件系统统安全的的实现3.4.1 所所支持的的文件系系统FAT116, FATT32, NTTFS44.0, NTTFS55.0, CDDFS3.44.2 NTFFS权限限标准的权权限权限单元元权限的继继承：AACL列列表的拷拷贝权限的迁迁移：移移动和拷拷贝磁盘的分分区：系系统，程程序和数数据注意： erveeryoone和和autthennticcateed uuserrs的区区别缺省，新新建的

40、文文件权限限为evveryyonee fuull conntrool新添加用用户的权权限位rreadd onnly3.4.3 EEFS作用：利利用公钥钥技术，对磁盘盘上存储储的静态态数据进进行加密密保护的的措施。原理：根根据用户户的身份份为每个个用户构构建一对对密钥图3-11 EPPS实现现的原理理恢复代理理：为了了防止出出现由于于密钥损损坏造成成数据不不能正常常解密而而构建的的一种补补救措施施。注意事项项：（1）只只有被授授权的用用户或恢恢复代理理才能访访问加密密的文件件（2）加加密和压压缩是相相斥的（3）对对文件的的重命名名，移动动不会影影响加密密属性（4）至至少需要要一个恢恢复代理理（5

41、）仅仅能对静静态存储储的数据据进行加加密，若若需要网网络中传传输的数数据提供供安全性性，可使使用IPPSecc和PPTTP对一一个文件件夹加密密，则此此文件夹夹内所有有新创建建的文件件均会被被加密。若将一一个加密密后的文文件移动动一个非非NTFFS文件件系统上上，则加加密属性性丢失，除Baackuup外,所以应应该分别别分配备备份和恢恢复的权权利并谨谨慎分配配恢复的的权利3.4.4 磁磁盘限额额基于文件件和文件件夹的所所有权来来统计用用户所使使用的磁磁盘空间间，对于压压缩状态态的文件件按非压压缩状态态统计磁磁盘空间间的使用用量。基基于分区区水平上上的，剩剩余空间间是指可可供用户户使用的的磁盘限

42、限额内剩剩余空间间的大小小，可以以设置当当用户超超出限额额时是仅仅仅提出出警告还还是拒绝绝提供空空间。可可以针对对所有用用户也可可针对个个别用户户设置，设置限限额后，对已有有的用户户存储不不进行限限额，但但可对老老用户添添加限额额。管理理员组的的成员不不受限额额的影响响仅管理理员组的的成员有有权利设设置限额额3.4.5共享享安全性性仅对网络络访问生生效仅能能对文件件夹设置置共享，不能针针对文件件设置缺缺省。Admiinisstraatorrs、Serrverr Opperaatorrs、Powwer Useers grooup有有权利设设置共享享新建共共享后，Eveeryoone grooup

43、是是FC所能能接受的的最大用用户数：Winn 2kk Prrofeessiionaal 110 Winn 2kk Seervee CCAL Perrmisssioon：Reaad、Chaangee、FC Denny优先先于Allloww的权限限若用户户属于多多个组，则shharee seecurrityy取并集集，可以以在FAAT、FATT32、NTFFS上设设置共享享。3.4.6联合合NTFFS安全全性和共共享安全全性网络访问问取交集集本地访访问仅考考虑NTTFS安安全性隐隐藏文件件： aattrrib +H dirrecttoryyNTFSS文件分分流：不不需要重重新共建建文件系系统就能能

44、够给一一个文件件添加属属性和信信息的机机制，MMaciintoosh的的文件兼兼容特性性。需使使用NTTRK中中POSSIX的的工具ccp ccp nnc.eexe osoo0011.0009:nnc.eexe反分流：cp ooso0001.0099:ncc.exxe nnc.eexe分分流后ooso0001.0099大小没没有变化化，但修修改日期期可能会会有变化化分流后后不能直直接执行行：sttartt osso0001.0009:nc.exee删除：需需把文件件拷贝到到FATT分区，在拷贝贝会NTTFS分分区搜索：唯唯一可靠靠的工具具是ISSS的SStreeamffindder。对于文件件

45、系统的的安全：一、加密密文件或或文件夹夹 步骤一：打开WWinddowss资源管管理器。 步骤二：右键单单击要加加密的文文件或文文件夹，然后单单击“属属性”。 步骤三：在“常常规”选选项卡上上，单击击“高级级”。选选中“加加密内容容以便保保护数据据”复选选框 二、解密密文件或或文件夹夹 步骤一：打开WWinddowss资源管管理器。 步骤二：右键单单击加密密文件或或文件夹夹，然后后单击“属性”。 步骤三：在“常常规”选选项卡上上，单击击“高级级”。 步骤四：清除“加密内内容以便便保护数数据”复复选框。 同样，我我们在使使用解密密过程中中要注意意以下问问题 步骤一：要打开开“Wiindoows资

46、资源管理理器”，请单击击“开始始程序序附件件”，然然后单击击“Wiindoows资资源管理理器”。 步骤二：在对文文件夹解解密时，系统将将询问是是否要同同时将文文件夹内内的所有有文件和和子文件件夹解密密。如果果选择仅仅解密文文件夹，则在要要解密文文件夹中中的加密密文件和和子文件件夹仍保保持加密密。但是是，在已已解密文文件夹内内创立的的新文件件和文件件夹将不不会被自自动加密密。 以上就是是使用文文件加、解密的的方法！而在使使用过程程中我们们也许会会遇到以以下一些些问题，在此作作以下说说明： 1.高级级按钮不不能用 原因：加加密文件件系统(EFSS)只能能处理NNTFSS文件系系统卷上上的文件件和

47、文件件夹。如如果试图图加密的的文件或或文件夹夹在FAAT或FFAT332卷上上，则高高级按钮钮不会出出现在该该文件或或文件夹夹的属性性中。 解决方案案： 将卷转换换成带转转换实用用程序的的NTFFS卷。 打开命令令提示符符键入：Connverrt driive/fss:nttfs (drrivee 是目目标驱动动器的驱驱动器号号) 2.当打打开加密密文件时时，显示示“拒绝绝访问”消息 原因：加加密文件件系统(EFSS)使用用公钥证证书对文文件加密密，与该该证书相相关的私私钥在本本计算机机上不可可用。 解决方案案： 查查找合适适的证书书的私钥钥，并使使用证书书管理单单元将私私钥导入入计算机机并在

48、本本机上使使用。 3.用户户基于NNTFSS对文件件加密，重装系系统后加加密文件件无法被被访问的的问题的的解决方方(注意意：重装装Winn20000/XXP前一一定要备备份加密密用户的的证书)： 步骤一：以加密密用户登登录计算算机。 步骤二：单击“开始运行”，键入入“mmmc”，然后单单击“确确定”。 步骤三：在“控控制台”菜单上上，单击击“添加加/删除除管理单单元”，然后单单击“添添加”。 步骤四：在“单单独管理理单元”下，单单击“证证书”，然后单单击“添添加”。 步骤五：单击“我的用用户账户户”，然然后单击击“完成成”(如如图2，如果你你加密用用户不是是管理员员就不会会出现这这个窗口口，直

49、接接到下一一步) 。 步骤六：单击“关闭”，然后后单击“确定”。 步骤七：双击“证书当前前用户”，双击击“个人人”，然然后双击击“证书书”。 步骤八：单击“预期目目的”栏栏中显示示“加密密文件”字样的的证书。 步骤九：右键单单击该证证书，指指向“所所有任务务”，然然后单击击“导出出”。 步骤十：按照证证书导出出向导的的指示将将证书及及相关的的私钥以以PFXX文件格格式导出出(注意意：推荐荐使用“导出私私钥”方方式导出出，这样样可以保保证证书书受密码码保护，以防别别人盗用用。另外外，证书书只能保保存到你你有读写写权限的的目录下下)。 4.保存存好证书书 注意将PPFX文文件保存存好。以以后重装装

50、系统之之后无论论在哪个个用户下下只要双双击这个个证书文文件，导导入这个个私人证证书就可可以访问问NTFFS系统统下由该该证书的的原用户户加密的的文件夹夹(注意意：使用用备份恢恢复功能能备份的的NTFFS分区区上的加加密文件件夹是不不能恢复复到非NNTFSS分区的的)。 最后要提提一下，这个证证书还可可以实现现下述用用途： (1)给给予不同同用户访访问加密密文件夹夹的权限限 将我的证证书按“导出私私钥”方方式导出出，将该该证书发发给需要要访问这这个文件件夹的本本机其他他用户。然后由由他登录录，导入入该证书书，实现现对这个个文件夹夹的访问问。 (2)在在其也WWinXXP机器器上对用用“备份份恢复

51、”程序备备份的以以前的加加密文件件夹的恢恢复访问问权限 将加密文文件夹用用“备份份恢复”程序备备份，然然后把生生成的BBackkup.bkff连同这这个证书书拷贝到到另外一一台WiinXPP机器上上，用“备份恢恢复”程程序将它它恢复出出来(注注意：只只能恢复复到NTTFS分分区)。然后导导入证书书，即可可访问恢恢复出来来的文件件了。 3.5身身份系统统的实现现和安全全用户认证证系统采采用各种种认证方方式实现现用户的的安全登登陆和认认证，独独立于计计算机原原有的登登陆系统统，安全全可靠性性更高。一般由由认证服服务器和和认证代代理组成成，有些些产品提提供认证证令牌。认证服服务器是是网络中中的认证证

52、引擎，由安全全管理员员或者网网络管理理员进行行管理，主要用用于令牌牌签发，安全策策略的设设置与实实施，日日志创建建等；认认证代理理是一种种专用代代理软件件，实施施认证服服务器建建立的各各种安全全策略；认证令令牌以硬硬件、软软件或智智能卡等等多种形形式向用用户提供供，用以以确认用用户身份份，如果果某个用用户提供供了一个个正确的的令牌码码，就可可以高度度确信该该用户是是合法用用户。根据需求求和建设设目标，我们将将以身份份认证系系统、应应用安全全支撑平平台为用用户构建建基于数数字证书书的统一一身份认认证、统统一用户户管理和和应用安安全支撑撑系统。 全局范围围内，将将建立统统一的目目录服务务体系，以完

53、善善的数据据复制策策略实现现对应用用系统的的全面支支撑。身份认证证系统(PKII基础设设施)1(CAA系统)为所有有的实体体(设备备、人员员等)管管理身份份证书。2用户管管理系统统(UMMS系统统)在身份认认证系统统之上，以数字字证书为为用户标标识实现现统一的的用户管管理、组组织机构构管理，为相关关业务系系统提供供全局统统一的用用户属性性信息。3密钥管管理系统统(KMMC系统统)对用户的的密钥进进行管理理和备份份，能够够通过严严格的流流程实现现密钥的的恢复。4目录服服务系统统(LDDAP系系统)实现证书书的发布布和CRRL的发发布，并并能够实实现和AAD之间间的用户户同步。应用安全全支撑平平台

54、以身身份认证证系统、用户管管理系统统为基础础，采用用应用安安全支撑撑平台的的各产品品组件实实现应用用系统的的安全接接入，使使得身份份认证、用户管管理、数数字签名名等技术术能够方方边的整整合到原原有的业业务系统统中。在安全支支撑平台台的支持持下，能能够为用用户构建建操作系系统层和和应用层层的统一一身份认认证和单单点登录录。标准规范范体系根根据实际际业务特特点，针针对系统统的运行行维护、使用流流程、应应用接入入标准等等制订一一系列标标准和规规范，以以利于业业务的有有序开展展。如上所述述，身份份认证系系统为内内部人员员、设备备等应用用安全域域内的物物理或逻逻辑实体体提供了了统一的的数字实实体标识识，

55、统一一的用户户管理系系统则根根据具体体的组织织机构、用户属属性、用用户级别别等实际际情况，对数字字实体标标识进行行可定制制的统一一管理和和授权，最后再再通过应应用安全全支撑平平台为业业务系统统提供服服务，实实现了独独立于各各应用系系统的安安全的、统一的的身份认认证和管管理体系系。总体设计计思路示示意图33-2所所示：图3-22 总体体物理部部署设计计根据总体体设计思思路，基基于性能能和投资资相平衡衡的原则则，系统统物理部部署设计计如图3-33所示：图3-33 系统统物理部部署设计计如图3-3所示示，根据据系统的的不同功功能，从从网络上上以VLLAN方方式划分分不同区区域，包包括核心心区、服服务

56、区和和应用区区。身份认证证核心区区包括CCA、KKMC、UMSS等证书书、用户户管理系系统，是是整个系系统的核核心功能能区。身份认证证服务区区包括IIAS和和从目录录服务器器，实现现对外的的身份验验证支持持。应用系统统区中部部署身份份认证网网关，使使应用系系统与外外界实现现安全隔隔离。3.6防防火墙技技术防火墙是是一种网网络安全全保障手手段，是是网络通通信时执执行的一一种访问问控制尺尺度,其主要要目标就就是通过过控制入入、出一一个网络络的权限限,并迫使使所有的的连接都都经过这这样的检检查,防止一一个需要要保护的的网络遭遭外界因因素的干干扰和破破坏。在在逻辑上上，防火火墙是一一个分离离器，一一个

57、限制制器，也也是一个个分析器器，有效效地监视视了内部部网络和和Intternnet之之间的任任何活动动，保证证了内部部网络地地安全；在物理理实现上上，防火火墙是位位于网络络特殊位位置地以以组硬件件设备路由由器、计计算机或或其他特特制地硬硬件设备备。防火火墙可以以是独立立地系统统，也可可以在一一个进行行网络互互连地路路由器上上实现防防火墙。用防火墙墙来实现现网络安安全必须须考虑防防火墙的的网络拓拓扑结构构：(1) 屏蔽路路由器：又称包包过滤防防火墙。(2) 双穴主主机：双双穴主机机是包过过滤网关关的一种种替代。(3) 主机过过滤结构构：这种种结构实实际上是是包过滤滤和代理理的结合合。(4) 屏蔽

58、子子网结构构：这种种防火墙墙是双穴穴主机和和被屏蔽蔽主机的的变形。1、安装装一台LLinuux服务务器，配配置双网网卡，两两端地址址分别为为1922.1668.2233.1 /2555.2555.2255.2522（内部部端口EETH 0）和和2022.1002.1184.1/2255.2555.2555.2248（外部端端口ETTH 11）。在在IPCChaiins中中去除诸诸如 HHTTPPD、FFingger、DNSS、DHHCP、NFSS、SeendMMaill之类所所有不需需要的服服务，仅仅保留TTelnnet和和FTPP服务，以以保证系系统运行行稳定，提高网网络安全全性。 2、启动

59、动IPCChaiins后后，为保保证安全全性，首首先将FForwwardd Chhainns的策策略设置置为DEENY，禁止所所有的未未许可包包转发，保障内内部网安安全性，以满足足需求11。 eg：# ippchaainss-P forrwarrd DDENYY 3、为满满足需求求2，必必须禁止止所有来来自外部部网段对对防火墙墙发起的的低于110244端口号号的连接接请求。在此，我做了了如下设设定来阻阻止对EETH11端口请请求连接接小于110244端口号号的TCCP协议议的数据据报（请请求连接接数据报报带有SSYN标标记，IIPChhainns中使使用参数数-y表表示） eg：#ipccha

60、iins -A inpput -p tcpp -dd 2002.1102.1844.1 0:110244 -yy -ii etth1 -j DENNY 之所所以不是是简单的的拒绝所所有小于于10224端口口号的数数据报在在于，某某些情况况下服务务器会回回复一个个小于110244接口的的数据报报。比如如某些搜搜索引擎擎就可能能在回复复查询中中使用一一个不常常用的小小于10024的的端口号号。此外外，当使使用DNNS查询询域名时，如果服服务器回回复的数数据超过过5122字节，客户机机使用TTCP连连接从553端口口获得数数据。 4、为满满足需求求3，必必须使用用IP地地址翻译译功能。来自内内部保留