企业级网络安全防护与策略研究.doc

《企业级网络安全防护与策略研究.doc》由会员分享，可在线阅读，更多相关《企业级网络安全防护与策略研究.doc（53页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、企业级网络安全防护与策略研究（说 明 书） 题 目： 姓 名： 编 号： XXXX学院 年 月 日XXX学院毕 业 设 计 （论文） 任 务 书姓名 专业 任 务 下 达 日 期 年 月 日设计（论文）开始日期 年 月 日设计（论文）完成日期 年 月 日设计（论文）题目： A编制设计 B设计专题（毕业论文） 指 导 教 师 系（部）主 任 年 月 日XXXX学院毕业设计（论文）答辩委员会记录 系 专业，学生 于 年 月 日进行了毕业设计（论文）答辩。设计题目： 专题（论文）题目： 指导老师： 答辩委员会依照学生提交的毕业设计（论文）材料，依照学生答辩情形，经答辩委员会讨论评定，给予学生 毕业设

2、计（论文）成绩为 。答辩委员会 人，出席 人答辩委员会主任（签字）： 答辩委员会副主任（签字）： 答辩委员会委员： ， ， 。XXXX学院毕业设计（论文）评语第 页共 页学生姓名： 专业 年级 毕业设计（论文）题目： 评 阅 人： 指导教师： （签字） 年 月 日成 绩： 系（科）主任： （签字） 年 月 日毕业设计（论文）及答辩评语： 摘 要随着运算机应用范畴的扩大和互联网技术的迅速进展，运算机信息技术差不多渗透到人们生活的方方面面，网上购物、商业贸易、金融财务等经济行为都差不多实现网络运行，“数字化经济”(DigitalEconomy)引领世界进入一个全新的进展时期。然而，越来越开放的信息

3、系统也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈。在网络安全越来越受到人们重视和关注的今天，网络安全技术作为一个专门的领域越来越受到人们关注。 本文网络安全要紧指的是指网络系统的硬件、软件及其系统中的数据受到爱护,不受偶然的因素或者恶意的攻击而遭到破坏、更换、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的阻碍网络安全的问题要紧有病毒、黑客攻击、系统漏洞、数据篡改等,这就需要我们建立一套完整的网络安全体系来保证网络安全可靠地运行。同时本文着重阐述了如何对网络的安全进行加固防备其中包括网络架构的安全性，运算机物理环境的安全性，运算机软件环境的安全性，其中包括运算机

4、系统安全漏洞，注册表漏洞，网络连接性的安全性，文件系统的安全性和数据加密的安全性以及黑客可能会采取的入侵措施进行了相对系统的介绍。通过对这些安全漏洞的了解以及加固，能够充分的在网络环境中进一步保证网络的安全，保证企业公司的利益。总的来讲随着Internet时代的不断进步，能够说从各个方面加强运算机网络安全爱护的相关问题研究差不多成为当务之急,专门是当今企业类型的网络安全，差不多成为网络安全中的重中之重。关键词：企业网，网络安全，防护策略，研究，黑客，反黑客名目摘要I名目II第1章 绪论11.1课题背景11.2课题研究内容及要求11.3课题预期成效11.4课题研究的意义2第2章 企业网络安全框架

5、结构32.1物理环境的安全42.2操作系统的安全性42.3网络的安全性42.4应用的安全性42.5治理的安全性5第3章 企业网络安全措施63.1电源治理及监控软件63.2操纵湿度的措施63.3操作系统安全的实现63.3.1 关于系统漏洞63.3.2 注册表安全性73.3.3 禁止和删除不必要的服务83.3.4 爱护网络连接安全性83.3.5 其他的配置93.4文件系统安全的实现93.4.1 所支持的文件系统93.4.2 NTFS权限93.4.3 EFS93.4.4 磁盘限额103.4.5共享安全性113.4.6联合NTFS安全性和共享安全性113.5身份系统的实现和安全133.6防火墙技术15

6、3.7数据加密173.8入侵检测203.8.1入侵检测系统通常包括以下功能203.8.2入侵检测的算法目前完成的要紧有两类203.8.3这种基于移动代理分布式入侵检测与传统的代理相比的优点213.8.4 DIDS系统的两大类五种代理223.9邮件安全防范25第4章 综合实例演示企业网络安全差不多防护264.1 实例演示配置防火墙策略274.2实例演示网站入侵294.3实例演示远程入侵服务器33参考文献44致谢45第1章 绪论1.1课题背景随着国家网络信息化建设的飞速进展，有越来越多的企业建立起自己的局域网络，应用于文件共享，办公自动化，电子邮件等功能，随着运算机的广泛应用，企业网络的建立，网络

7、安全越来越受到人们的重视，网络安全也成为企业网络建立所必须解决的要紧难题，企业网络安全已成为一门具体专业的课程供大学生学习，研究。同时，Internet的开放性和自由性为社会的进步提供了庞大的动力，然而也正是由于互联网的这一特性，导致了网络上的诸多不安全因素。在我国，网络安全目前要紧存在以下几个问题：运算机系统感染病毒的情形相当严峻；黑客形成的重大威逼；网络安全在信息基础设施方面所面临的挑战。网络环境是多变的、复杂的，其信息系统也是比较脆弱的，这些差不多上网络安全受到威逼的客观存在。近年来，随着信息化社会的来临，网络安全的建设就需要加大力度进行。1.2课题研究内容及要求在基于各种网络操作系统的

8、前提下，实现企业网络中运算机，打印机、硬件设备的正常运行，还要以爱护系统安全为要紧任务。依照企业网络这一个体实例，课题研究的要求具体包括：网络的正常运行，网络治理具体日常事务，网络部署公司打算，进展方向，数据库安全与共享，服务器资料不被窃取，公司各级人员的限制访问权，职员私人资料不被泄露，治理数据库访问权限，分配个人操作等级，用户身份认证，服务器，运算机，网关的防毒，提高内外通信的高效，灵活，职员上网安全等。同时演示如何通过漏洞进行入侵操作，以提高企业警觉性，要求对网络的安全性提高小心。1.3课题预期成效提高企业网络安全治理人员的网络安全技术，了解网络攻击手段，从而做好相应防备措施，还要灵活处

9、理突发状况，降低网络攻击对企业的缺失，加强企业职员的网络安全意识，从企业内部降低网络安全风险，从全然上幸免降低运算机黑客的病毒攻击，保证网络的正常运行，网络治理具体事务的正常进行，网络部署公司打算，进展方向，数据库及其他服务器资料的隐秘性，幸免企业职员的越级操作从而导致的各级人员的权限纷乱，保证服务器，运算机，网关的防毒安全，通畅企业内外通信的高效，保证职员上网的安全等。1.4课题研究的意义对今后从事的网络工作有一定的体会，对企业网络系统有一定的了解，提高了网络安全意识。往大了来说网络安全是一个关系国家安全和主权、社会的稳固、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快

10、而变到越来越重要。“家门确实是国门”，安全问题刻不容缓。网络安全是一门涉及运算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到爱护，不受偶然的或者恶意的缘故而遭到破坏、更换、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲确实是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论差不多上网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们期望涉及个人隐私或商业利益

11、的信息在网络上传输时受到隐秘性、完整性和真实性的爱护，幸免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私， 访问和破坏。从网络运行和治理者角度说，他们期望对本地网络信息的访问、读写等操作受到爱护和操纵，幸免显现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法操纵等威逼，禁止和防备网络黑客的攻击。对安全保密部门来说，他们期望对非法的、有害的或涉及国家隐秘的信息进行过滤和防堵，幸免机要信息泄露，幸免对社会产生危害，对国家造成庞大缺失。从社会教育和意识形状角度来讲，网络上不健康的内容，会对社会的稳固和人类的进展造成阻碍，必须对其进行操纵。 第2章 企业网络安全框架结构为了

12、能够有效的了解企业和职员的网络安全需求，在选择各种硬件软件的安全行上 有必要建立系统的方法进行网络安全防范。使网络安全防范体系的科学性，可行性顺利实施的保证图2-1 三维安全防范技术体系框架结构图2-1为三维安全防范技术体系框架结构。第一维是安全服务，给出了8种安全属性；第二维是系统单元，给出了信息网络的组成；第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问操纵，应用平台需要有针对用户的认证、访问操纵，需要保证数据传输的完整性、

13、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，假如在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。当我们依照以上给出的三维安全防范框架结构，做到企业网络安全体系中的每一个层次，每一个面及面与面之间相接的部分安全，我们就能够做到整个企业局域网络的安全。2.1物理环境的安全这层次的安全是整个网络安全的基础，只有当我们企业的运算机，打印机，投影机一系列的硬件设施能过正常的工作，我们才能够考虑其他方面的安全，因此要格外重视 物理环境安全包括通信线路安全，设备软硬件安全，运行环境安全。通信线路安全：线路备份，网管软件，传输介质设

14、备硬件安全：替换设备、拆卸设备、增加设备设备软件安全：设备的备份，防灾难能力、防干扰能力运行环境安全：温度、湿度、烟尘)，不间断电源保证2.2操作系统的安全性该层次的安全问题来自网络内使用的操作系统的安全，如Windows NT，Windows 2000等。要紧表现在三方面：是操作系统本身的缺陷带来的不安全因素，要紧包括身份认证、访问操纵、系统漏洞等。是对操作系统的安全配置问题。是病毒对操作系统的威逼。2.3网络的安全性该层次的安全问题要紧表达在网络方面的安全性，包括网络层身份认证，网络资源的访问操纵，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络

15、设施防病毒等。2.4应用的安全性该层次的安全问题要紧由提供服务所采纳的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威逼。2.5治理的安全性安全治理包括安全技术和设备的治理、安全治理制度、部门与人员的组织规则等。治理的制度化极大程度地阻碍着整个网络的安全，严格的安全治理制度、明确的部门安全职责划分、合理的人员角色配置都能够在专门大程度上降低其它层次的安全漏洞本章要紧讲述企业网络安全隐患，只有找出网络，硬件，环境，操作人员等一系列复杂因素对企业网络安全的阻碍，才能解决问题，建立一个安全的企业网络环境。第3章 企业网络安全措施3.1电源治理及监控软件电

16、源治理软件能够对UPS发送的信息进行反应，向用户播放警告讯息，然后等待一定的时刻，再进行一个有次序的关机过程。有的电源治理软件还能在关闭整个系统前先关闭正在运行的程序。监控软件则是一种不是必需但专门有用的工具。它一样通过图形方式显示出电池电量、主输入电压、剩余供电时刻以及UPS状态及其他信息。监控信息一样通过SNMP协议在网络上传输，而不像关机软件使用当地的串口连接以防在断电情形下集线器或路由器失效。当UPS显现专门情形时，它就会在SNMP监测工作站上显示出来。3.2操纵湿度的措施为了防止机房内湿度的过高或过低以及急剧变化对运算机设备及附属设备的阻碍，必须采取以下措施，以保证机房内的湿度操纵在

17、一个稳固的范畴内。1)使用恒温、恒湿装置来调剂机房内的湿度； 2)在机房内安装除湿机和加湿机；当机房内湿度超过规定值时，使用除湿机使机房内湿度降低；当机房内湿度低于规定值时，使用加湿机对机房内空气进行加湿，提高机房内湿度。 3)机房内外为了进行空气交换和坚持机房正压值所使用的新风机系统，必须具有加湿和去湿功能。在对送入机房内的新奇空气湿度过高（大于机房湿度规定的范畴）时要进行除湿；过低时要加湿，以保证机房内的空气湿度符合运算机设备及工作人员的要求。3.3操作系统安全的实现3.3.1 关于系统漏洞定期的添加services pack和hot fixes，假如系统没有相关服务，不要随意的安装补丁3

18、.3.2 注册表安全性注册表的结构：相当于win.ini，集中储备了系统的配置信息。5个配置单元（hive key），4个存放于winntsystem32config名目下：SAM, SYSTEM, SECURITY, SOFTWARE，对此4个文件设置权限，仅承诺system账号访问。HARDWARE又称易失关键字，每次系统启动时由ntdetect 进行硬件检测，将检测的结果只与此关键字中，储存在内存中。H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系统及硬件相关信息(例如运算机总线类型，系统可用内存，当前装载了哪些设备驱动程序以及启

19、动操纵数据等)的配置单元。实际上，H K L M储存着注册表中的大部分信息，因为另外四个配置单元差不多上其子项的别名。不同的用户登录时，此配置单元保持不变。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置单元包含着当前登录到由那个注册表服务的运算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows 2000中被用来承诺脚本、注册表条目，以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息)，储备于用户配置文件的ntuser.dat中。优先于H K L M中相同关键字。

20、这些信息是HKEY_USERS 配置单元当前登录用户的Security ID(SID)子项的映射。H K E Y _ U S E R S ( H K U )配置单元包含的子项含有当前运算机上所有的用户配置文件。其中一个子项总是映射为H K E Y _ C U R R E N T _ U SE R (通过用户的S I D值)。另一个子项H K E Y _U S E R S D E FA U LT包含用户登录前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置单元包含的子项列出了当前已在运算机上注册的所有C O M服务器和与应用程序相关联的所

21、有文件扩展名。这些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子项的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置单元包含的子项列出了运算机当前会话的所有硬件配置信息。硬件配置文件显现于Windows NT版本4，它承诺你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子项的映

22、射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子树：HARDWARE：在系统启动时建立，包含了系统的硬件的信息SAM：包含了用户帐号和密码信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含应用程序的配置信息SYSTEM：包含了服务和设备的配置信息设置注册表的权限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用组策略审核注册表：3.3.3 禁止和删除不必要的服务删除OS/2和POSIX在web服务器上禁止server services在firewall上过滤相应的数据包3.

23、3.4 爱护网络连接安全性SMB connection processEstablish a TCP connection negotiate dialect set up SMB session access resourcePc network program 1.0Microsoft networks 1.03Lanman 1.0LM 1.2X002LanMan 2.1Windows NTLM 禁止匿名连接：HKLM SYSTEMCCScontrollsarestrictanonymous=1服务器操纵验证方法：lmcompatibilitylevel 0 任何差不多上可用的。由服务器决

24、定使用哪种方法。不使用LM验证激活SMB签名：HKLMSYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1HKLMSYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/13.3.5 其他的配置禁止除治理员和打印操作员以外的用户安装打印驱动程序：HKLMSYSTEMCCScontrolprintproviderslanmanprintservicesaddprintdrivers=1隐藏上一次登录的系统名限制对打印机和串口的使用：HKLMSYSTEMCCS

25、controlsession managerprotectionmode=1禁止缓存登录证书限制对scheduler服务的使用限制对可移动介质的访问3.4文件系统安全的实现3.4.1 所支持的文件系统FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS3.4.2 NTFS权限标准的权限权限单元权限的继承：ACL列表的拷贝权限的迁移：移动和拷贝磁盘的分区：系统，程序和数据注意： erveryone和authenticated users的区别缺省，新建的文件权限为everyone full control新添加用户的权限位read only3.4.3 EFS作用：利用公钥技术

26、，对磁盘上储备的静态数据进行加密爱护的措施。原理：依照用户的身份为每个用户构建一对密钥图3-1 EPS实现的原理复原代理：为了防止显现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。注意事项：（1）只有被授权的用户或复原代理才能访问加密的文件（2）加密和压缩是相斥的（3）对文件的重命名，移动可不能阻碍加密属性（4）至少需要一个复原代理（5）仅能对静态储备的数据进行加密，若需要网络中传输的数据提供安全性，可使用IPSec和PPTP对一个文件夹加密，则此文件夹内所有新创建的文件均会被加密。若将一个加密后的文件移动一个非NTFS文件系统上，则加密属性丢失，除Backup外,因此应该分别分配备份

27、和复原的权益并慎重分配复原的权益3.4.4 磁盘限额基于文件和文件夹的所有权来统计用户所使用的磁盘空间，关于压缩状态的文件按非压缩状态统计磁盘空间的使用量。基于分区水平上的，剩余空间是指可供用户使用的磁盘限额内剩余空间的大小，能够设置当用户超出限额时是仅仅提出警告依旧拒绝提供空间。能够针对所有用户也可针对个别用户设置，设置限额后，对已有的用户储备不进行限额，但可对老用户添加限额。治理员组的成员不受限额的阻碍仅治理员组的成员有权益设置限额3.4.5共享安全性仅对网络访问生效仅能对文件夹设置共享，不能针对文件设置缺省。Administrators、Server Operators、Power Us

28、ers group有权益设置共享新建共享后，Everyone group是FC所能同意的最大用户数：Win 2k Professional 10 Win 2k Serve CAL Permission：Read、Change、FC Deny优先于Allow的权限若用户属于多个组，则share security取并集，能够在FAT、FAT32、NTFS上设置共享。3.4.6联合NTFS安全性和共享安全性网络访问取交集本地访问仅考虑NTFS安全性隐藏文件： attrib +H directoryNTFS文件分流：不需要重新共建文件系统就能够给一个文件添加属性和信息的机制，Macintosh的文件兼

29、容特性。需使用NTRK中POSIX的工具cp cp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小没有变化，但修改日期可能会有变化分流后不能直截了当执行：start oso001.009:nc.exe删除：需把文件拷贝到FAT分区，在拷贝会NTFS分区搜索：唯独可靠的工具是ISS的Streamfinder。关于文件系统的安全：一、加密文件或文件夹 步骤一：打开Windows资源治理器。 步骤二：右键单击要加密的文件或文件夹，然后单击“属性”。 步骤三：在“常规”选项卡上，单击“高级”。选中“加密内容以

30、便爱护数据”复选框 二、解密文件或文件夹 步骤一：打开Windows资源治理器。 步骤二：右键单击加密文件或文件夹，然后单击“属性”。 步骤三：在“常规”选项卡上，单击“高级”。 步骤四：清除“加密内容以便爱护数据”复选框。 同样，我们在使用解密过程中要注意以下问题 步骤一：要打开“Windows资源治理器”，请单击“开始程序附件”，然后单击“Windows资源治理器”。 步骤二：在对文件夹解密时，系统将询问是否要同时将文件夹内的所有文件和子文件夹解密。假如选择仅解密文件夹，则在要解密文件夹中的加密文件和子文件夹仍保持加密。然而，在已解密文件夹内创立的新文件和文件夹将可不能被自动加密。 以上确

31、实是使用文件加、解密的方法！而在使用过程中我们也许会遇到以下一些问题，在此作以下说明： 1.高级按钮不能用 缘故：加密文件系统(EFS)只能处理NTFS文件系统卷上的文件和文件夹。假如试图加密的文件或文件夹在FAT或FAT32卷上，则高级按钮可不能显现在该文件或文件夹的属性中。 解决方案： 将卷转换成带转换有用程序的NTFS卷。 打开命令提示符键入：Convert drive/fs:ntfs (drive 是目标驱动器的驱动器号) 2.当打开加密文件时，显示“拒绝访问”消息 缘故：加密文件系统(EFS)使用公钥证书对文件加密，与该证书相关的私钥在本运算机上不可用。 解决方案： 查找合适的证书的

32、私钥，并使用证书治理单元将私钥导入运算机并在本机上使用。 3.用户基于NTFS对文件加密，重装系统后加密文件无法被访问的问题的解决方(注意：重装Win2000/XP前一定要备份加密用户的证书)： 步骤一：以加密用户登录运算机。 步骤二：单击“开始运行”，键入“mmc”，然后单击“确定”。 步骤三：在“操纵台”菜单上，单击“添加/删除治理单元”，然后单击“添加”。 步骤四：在“单独治理单元”下，单击“证书”，然后单击“添加”。 步骤五：单击“我的用户账户”，然后单击“完成”(如图2，假如你加密用户不是治理员就可不能显现那个窗口，直截了当到下一步) 。 步骤六：单击“关闭”，然后单击“确定”。 步

33、骤七：双击“证书当前用户”，双击“个人”，然后双击“证书”。 步骤八：单击“预期目的”栏中显示“加密文件”字样的证书。 步骤九：右键单击该证书，指向“所有任务”，然后单击“导出”。 步骤十：按照证书导出向导的指示将证书及相关的私钥以PFX文件格式导出(注意：举荐使用“导出私钥”方式导出，如此能够保证证书受密码爱护，以防别人盗用。另外，证书只能储存到你有读写权限的名目下)。 4.储存好证书 注意将PFX文件储存好。以后重装系统之后不管在哪个用户下只要双击那个证书文件，导入那个私人证书就能够访问NTFS系统下由该证书的原用户加密的文件夹(注意：使用备份复原功能备份的NTFS分区上的加密文件夹是不能

34、复原到非NTFS分区的)。 最后要提一下，那个证书还能够实现下述用途： (1)给予不同用户访问加密文件夹的权限 将我的证书按“导出私钥”方式导出，将该证书发给需要访问那个文件夹的本机其他用户。然后由他登录，导入该证书，实现对那个文件夹的访问。 (2)在其也WinXP机器上对用“备份复原”程序备份的往常的加密文件夹的复原访问权限 将加密文件夹用“备份复原”程序备份，然后把生成的Backup.bkf连同那个证书拷贝到另外一台WinXP机器上，用“备份复原”程序将它复原出来(注意：只能复原到NTFS分区)。然后导入证书，即可访问复原出来的文件了。 3.5身份系统的实现和安全用户认证系统采纳各种认证方

35、式实现用户的安全登陆和认证，独立于运算机原有的登陆系统，安全可靠性更高。一样由认证服务器和认证代理组成，有些产品提供认证令牌。认证服务器是网络中的认证引擎，由安全治理员或者网络治理员进行治理，要紧用于令牌签发，安全策略的设置与实施，日志创建等；认证代理是一种专用代理软件，实施认证服务器建立的各种安全策略；认证令牌以硬件、软件或智能卡等多种形式向用户提供，用以确认用户身份，假如某个用户提供了一个正确的令牌码，就能够高度确信该用户是合法用户。依照需求和建设目标，我们将以身份认证系统、应用安全支撑平台为用户构建基于数字证书的统一身份认证、统一用户治理和应用安全支撑系统。 全局范畴内，将建立统一的名目

36、服务体系，以完善的数据复制策略实现对应用系统的全面支撑。身份认证系统(PKI基础设施)1(CA系统)为所有的实体(设备、人员等)治理身份证书。2用户治理系统(UMS系统)在身份认证系统之上，以数字证书为用户标识实现统一的用户治理、组织机构治理，为相关业务系统提供全局统一的用户属性信息。3密钥治理系统(KMC系统)对用户的密钥进行治理和备份，能够通过严格的流程实现密钥的复原。4名目服务系统(LDAP系统)实现证书的公布和CRL的公布，并能够实现和AD之间的用户同步。应用安全支撑平台以身份认证系统、用户治理系统为基础，采纳应用安全支撑平台的各产品组件实现应用系统的安全接入，使得身份认证、用户治理、

37、数字签名等技术能够方边的整合到原有的业务系统中。在安全支撑平台的支持下，能够为用户构建操作系统层和应用层的统一身份认证和单点登录。标准规范体系依照实际业务特点，针对系统的运行爱护、使用流程、应用接入标准等制订一系列标准和规范，以利于业务的有序开展。如上所述，身份认证系统为内部人员、设备等应用安全域内的物理或逻辑实体提供了统一的数字实体标识，统一的用户治理系统则依照具体的组织机构、用户属性、用户级别等实际情形，对数字实体标识进行可定制的统一治理和授权，最后再通过应用安全支撑平台为业务系统提供服务，实现了独立于各应用系统的安全的、统一的身份认证和治理体系。总体设计思路示意图3-2所示：图3-2 总

38、体物理部署设计依照总体设计思路，基于性能和投资相平稳的原则，系统物理部署设计如图3-3所示：图3-3 系统物理部署设计如图3-3所示，依照系统的不同功能，从网络上以VLAN方式划分不同区域，包括核心区、服务区和应用区。身份认证核心区包括CA、KMC、UMS等证书、用户治理系统，是整个系统的核心功能区。身份认证服务区包括IAS和从名目服务器，实现对外的身份验证支持。应用系统区中部署身份认证网关，使应用系统与外界实现安全隔离。3.6防火墙技术防火墙是一种网络安全保证手段，是网络通信时执行的一种访问操纵尺度,其要紧目标确实是通过操纵入、出一个网络的权限,并迫使所有的连接都通过如此的检查,防止一个需要爱护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间的任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络专门位置地以组硬件设备路由器、运算机或其他特制地硬件设备。防火墙能够是独立地系统，也