本篇論文目錄導航：

【題目】企業辦公網絡安全管理問題研究
【第一章】企業辦公網絡安全防護探析緒論
【2.1 - 2.4】防火墻技術與文檔安全保護技術
【2.5 - 2.7】網絡防病毒技術與雙機熱備技術
【第三章】辦公網絡安全系統分析與設計
【4.1 4.2】網絡出入口監控管理策略
【4.3 - 4.5】網絡安全防護措施設計與實現
【總結/參考文獻】企業辦公網安全升級方案研究總結與參考文獻

第二章 網絡安全相關技術

本章詳細講解了本次課題研究所需用到的網絡安全技術理論，主要設計網絡規劃、防火墻、上網行為管理、文檔安全保護、Web應用防護、網絡防病毒、雙機熱備機制等。

保護方式包括硬件和軟件、字段過濾策略和保護協議。

2.1 虛擬局域網技術。

2.1.1 虛擬局域網定義。

虛擬局域網，即VLAN（Virtual Local Area Network），指通過在LAN交換裝置上使用網絡管理軟件，實現跨網段、跨終端構建邏輯網絡的技術。多個網絡設備的不同用戶，可以通過覆蓋該網絡設備的VLAN進行通訊。

2.1.2 VLAN 的優點及安全優勢。

VLAN提供了防火墻機制，有效限制了網絡廣播，通過劃分VLAN,將網絡設備分割到多個邏輯域中，極大減少了可能受到廣播風暴影響的設備數量。特定VLAN可以跨越多個交換機端口和交換網絡，且廣播不會發送到VLAN外。這樣就釋放了足夠的網絡流量給使用者，減少了網絡負擔。

VLAN加強局域網的安全，剔除包含敏感數據的用戶組，以減少了泄密幾率。在傳輸過程中，不同VLAN內的報文是隔離的，也就是用戶VLAN不能直接與其他VLAN用戶的直接通信。如果需要跨VLAN通信，就必須利用三層交換設備。減少昂貴的網絡升級費用，更高地利用現有的帶寬和上行鏈路，節約成本。通過將第二層平面網絡劃分成多個邏輯工作組（廣播域）來減少不必要的網絡流量，提高性能。

VLAN便于網絡管理，共有需求的使用者都在同一VLAN中。

依靠VLAN技術，可以在任意位置、任意網絡和任意用戶溝通，組成了一個大型虛擬網，使用便利如同本地LAN,明顯降低了管理費用和升級費用。

2.1.3 VLAN 劃分方法。

（1） 按端口劃分VLAN最初通常在一臺交換機上按照端口來劃分VLAN的成員，但也將VLAN只存在單臺交換機上。所有VLAN下的成員屬于同一廣播域，可以直接通訊。

最新的硬件技術，可以將多臺交換機的不同端口集合到一起，劃分為一個VLAN,使得VLAN得以跨越硬件。這種方式是當前VLAN劃分方式中最常見也最實用。

（2） 按MAC地址劃分VLAN通過每個設備自帶的唯一識別MAC地址來劃分VLAN.優點是當一個移動用戶的物理位置發生變化，都可以直接與VLAN通信，不需要再進行配置。這種方式有個缺點，就是首次配置會非常麻煩，需要把所有用戶MAC地址進行添加，如果用戶數有成百上千，將是非常龐大的工作量。同時，這種劃分方式還影響了交換效率，無法限制廣播包。另外，對于經常更換上網設備的用戶來說，每次換新設備都必須進行一次初始配置，影響工作效率。

（3） 按網絡層劃分這種劃分方式雖然依據IP地址或者通訊協議，卻與路由沒有絲毫聯系。

優點是便于管理，因為使用者不管在什么位置，都能直接入網，無需重新配置。且不用校對幀標簽，減少網絡流量占用比。

缺點是相較于VLAN和MAC這兩種劃分方式，這種方式效率較低，檢查網絡層地址消耗的時間會更多。要讓普通交換機芯片可以檢查IP報頭，需要較高的技術，也更加消耗時間。當然，這也與每個廠家的設計方法有關。

（4） 按IP組播劃分IP組播即認為一個組播組就是一個VLAN,這種廣域網的劃分方式具有更大的靈活性。但因為效率低，這種方式并不太適用于辦公局域網。

以上劃分VLAN的方式中，第一種建立在物理層上；第二種建立在數據鏈路層上；最后兩種建立在網絡層上。

2.2 防火墻技術。

2.2.1 防火墻的隔離技術。

所謂"防火墻"技術，是指一種將內部網和互聯網隔離的技術。防火墻是在兩個網絡通訊時參照的一種訪問控制標準，防火墻"同意"后互聯網數據才能進入內網，若是"不同意"則將拒之門外，極大地防范了來自黑客的惡意訪問。通俗點說，防火墻就是一扇大門，不得到看門人的認可，門兩邊的人無法進行對話，也就是內部網和互聯網無法進行通訊。

2.2.2 防火墻的分類。

（1） 個人防火墻個人防火墻是一項安全防護技術，防止外部攻擊侵入內網的電腦，原理是監控、阻止任何未經授權允許的數據進入或發出到其他網絡。個人防火墻產品如著名Symantec公司的諾頓、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的freeZoneAlarm等。作用是對系統進行監控及管理，防止木馬、病毒程序通過網絡入侵電腦和向外擴散。這些軟件實用度很高，而且方便于操作和管理，能夠獨立運行。

（2） 網絡層防火墻網絡層防火墻通過制定規則來限制封包的通行，可以將之視為一種IP封包過濾器。

常見的網絡層防火墻，管理員可以自行定義和修改規則。

（3） 應用層防火墻應用層防火墻顧名思義，是在OSI參考模型應用層上工作的安全設備，通常用來防護Web應用產生的數據流。這類防火墻可以攔截出入應用程序的所有封包，對于不符合規則的封包采用封鎖或者丟棄的操作。

2.2.3 目前防火墻中的最新技術及發展情況。

所謂的"邊界防火墻（Perimeter Firewall）",是指部署在內外網之間的防火墻設備。

隨著科技發展，網絡安全威脅不只存在于外部，來自內部的攻擊危害更大，也更加難以防范。比如針對DNS的內部攻擊，通常會導致防火墻工作中斷，而防火墻卻沒有對應防御措施。所以，僅憑邊界防火墻已經無法適應用戶的全方位安全防護需求。如果要讓邊界防火墻對內不實現保護功能，就必須給每臺主機都安裝防火墻，但這代價太大，明顯不切實際?；诖诵枨?，分布式防火墻（Distributed Firewalls）技術誕生了。其擁有卓越的安全防護策略，代表著未來的發展趨勢，這項技術剛一出現，就得到廣大認可，具有很好的發展前景。

分布式防火墻的特點：主機駐留、嵌入操作系統內核、適用于服務器托管。

分布式防火墻的功能：互聯網訪問控制、應用訪問控制、網絡狀態監控、抵御黑客攻擊。

分布式防火墻的優勢：

（1） 安全性增強：采取了全面安全防護機制，有效抵御內部攻擊，防止惡意程序攻擊主機。

（2） 系統性能提高：消除了結構性的瓶頸問題，性能得到顯著提升。

（3） 可擴展性：基于安全結構，理論上可以實現防護機制無限擴展。

（4） 實施主機策略：可以保護到網絡中的各個節點。

（5） 應用更為廣泛：支持VPN通信。

2.3 上網行為管理技術。

2.3.1 上網行為管理的描述。

隨著計算機網絡技術的飛速發展，網絡辦公的日益普及，互聯網已經成為人們的工作環節中方便快捷、不可或缺的一個重要組成部分。然而，并不是所有員工都能100%利用辦公網絡的便捷來辦公，濫用辦公網絡資源來網上購物、聊天、下載電影等行為，不但占用了原本辦公的網絡帶寬，更影響了應有的工作效率，亦帶來了安全隱患。

上網行為管理，通過實時監控網絡上的數據流量和訪問記錄，避免商業機密泄露，阻止不良信息傳播，提高了企業辦公網絡的使用效率。其審計功能和行為監控功能，特別適用于信息化保密程度高的企業。

早期互聯網行為管理產品幾乎可以理解為URL過濾系統，上網瀏覽的所有地址將被系統監視和跟蹤記錄，如果按照設定是合法地址則開放限制，反之則采取警告和禁行措施，最終形成的就是黑白名單。此外，也有監測郵件收發的行為管理系統。

行為管理采取網絡監測與控制技術，實現對所有管轄區內用戶的上網行為監管。對瀏覽過的網頁地址和時間進行記錄，對不良信息進行控制，對敏感話題進行管理，對多重協議的聊天軟件進行監聽，有效保證企業辦公網絡使用效率和安全。

與傳統的URL地址數據庫管理控制系統不同，上網行為管理系統化被動為主動，突破技術瓶頸，從功能，性能，效率，安全性等各個方面完全超越了前者，達到了當今安全行為管理的使用要求。

2.3.2 管理功能。

（1） 上網人員管理（a）身份驗證管理：通過校對用戶庫，核對上網人員信息，確保使用者的合法性。

（b）終端接入管理：校驗主機的運行文件和注冊信息，確保接入網絡的終端PC的合法性。

（c）訪問地理管理：通過檢查上網主機的物理接入點，識別物理地址，確保該地點的合法性。

（2） 上網瀏覽管理（a）搜索引擎：屏蔽不當關鍵詞，采用甄別技術，確保搜索內容合法。

（b）網址URL:提前記錄非法網址，阻斷對這類網址的訪問。

（c）網頁正文：采用關鍵字甄別技術，確保瀏覽正文的合法性。

（d）文件下載：校對文件來源信息，確保下載的文件合法。

（3） 上網應用管理（a）應用阻斷：對不符合策略要求的應用進行阻斷。

（b）時長限額：限定上網時長，超時自動斷開訪問。

（c）流量限額：限定上網流量，固定時間內超出則斷開訪問。

（4） 上網流量管理（a）帶寬控制：設置通道帶寬上限，防止流量超出。

（b）帶寬保障：設置通道帶寬下限，保證最低限度的必要帶寬。

（c）帶寬借用：允許滿負荷的用戶借用其他限制的網絡通道。

（d）帶寬均分：帶寬平均分配，避免被個人用戶占用，影響他們辦公。

（5） 上網行為分析（a）行為實時監控：實時反饋當前的帶寬速率、分配占比、應用情況。

（b）行為日志查詢：所有上網記錄進行精確查找，追溯到人。

（c）行為統計分析：統計一段時期的日志結果，分析數據發展趨勢，用來發現潛在威脅。

（6） 設備容錯管理（a）死機保護：設備可自動切換透明模式，故障情況下不妨礙網絡辦公。

（b）雙系統冗余：雙系統備份，單系統發生故障，主機保持正常工作，不影響功能啟用。

（7） 風險集中告警（a）告警中心：有獨立頁面顯示全部告警信息。

（b）分級告警：告警按自定義進行區分排列，高等級的告警優先顯示，防止錯過處理時機。

（c）告警通知：可以和短信機聯動，或者內網郵件形式通知管理員，快捷迅速。

2.4 文檔安全保護技術。

2.4.1 文檔保護的意義。

隨著信息化大發展，人們對信息的依賴性越來越大，伴隨著的信息安全、保密問題接踵而至。黑客攻擊、商業間諜活動，員工無意泄露，都會導致公司信息資料外泄。假如重要的商業機密被竊取，對企業來講就是一場災難。所以，信息文檔的存在意義重大，對文檔安全的保護至關重要。

2.4.2 防護手段分類。

傳統的防護手段三件套：防火墻、入侵檢測、防病毒軟件，早已不能勝任當今的安全防護要求。全新的信息安全防護技術已經逐漸嶄露頭腳，例如主機監控、文檔加密、UniBDP防泄露等，這些新興技術即將壯大為信息化系統安全建設的主力軍。

這里要介紹的文檔加密技術，采用透明加解密技術，強制加密所有指定類型的數據。

此技術對數據本身加密，無論是否在安全網絡環境內，都是無法被破解的，降低了環境依賴性，提高了使用效率。

下面分別介紹一下磁盤加密和驅動級加密這兩種文檔防護技術：

（1） 磁盤加密技術全盤加密主機磁盤，保證一個安全的運行環境，但并未對數據本身加密，導致系統啟動驗證完畢后，數據完全以明文形式呈現，只能依靠防火墻等進行保護。

磁盤加密技術加密時間長到使用者難以忍受，且一旦操作系統出現問題，對數據進行恢復通常要花費4小時解密一次硬盤，也是一件讓人頭痛不已的事。

磁盤加密技術一般不加密系統盤，靠外設進行安全防護，所以并不能算是一項完整的安全防護技術。隨著操作系統的版本不斷升級，人們對系統的控制力度將會越來越低，而后黑客技術節節攀高，一旦防護體系被打破，硬盤上一切數據將暴露無疑。

另外，磁盤加密技術對系統文件也進行了安全控制，這會大大影響系統的使用性能。

（2） 驅動級加密技術該技術采用進程+后綴的方式進行安全防護，方便管理員根據需求靈活部署，強制加密主要數據，對系統運行效率影響微乎其微。

驅動級加密技術是對數據本身進行保護，采用透明加解密技術，不影響用戶使用感官，受保護數據脫離安全環境后，將無法啟用，極大的做到了數據隱秘防護。

驅動級加密技術可以全程管理數據使用，控制文件的使用時長、打印等操作，還能做到指定授權。不僅保護數據不被竊取，還能保證數據的正常使用。

驅動級加密技術給用戶數據帶來了足夠的安全防護，卻也造成了一些便利性問題。這項技術在加密時只針對這類型文件全部加密，不能分辨不需要安全防護的文件。這給個人用戶的私人文件使用，帶來了一些困擾。

2.4.3 實現的文檔保護結果。

（1） 加密指定程序生成的文檔。

強制加密管理員指定的文檔類型，該過程透明化，后臺處理，用戶不會察覺，也不會受到影響。但是，用戶需聯網（即能連接到文檔加密服務器）才能訪問這些加密文件，同時還需要管理員的授權。

（2） 泄密控制。

可以限制會造成泄密的操作，比如：打印和復制等，對該類操作進行警告提醒，防止無意或有意竊取機密。

（3） 審批管理管理員可以有審批權限，指定某加密文檔可以被離線外發。用戶在進行該類操作時，需要向管理員提交申請，管理員可以根據實際情況進行同意和拒絕操作。

（4） 離線文檔管理。

加密文檔可以制作成離線格式，即不在安全環境下也可以查看。這需要管理員權限操作，限制離線時間和離線時可以進行操作類型，如打印、修改、截圖等。用戶申請離線文件時，需要注明使用要求和使用期限，方能將文件拷貝走。

（5） 外發文檔管理。

外發文檔需要經過管理員審核制作，與安全環境下閱讀的文檔一樣，受加密保護和操作限制。只有內部人員可以閱讀該外發文檔加密的內容，且不需要安裝客戶端。這類文檔可以增加口令或者驗證碼來提高安全級別。

（6） 用戶/鑒權。

采用多重驗證管理方式，用戶可以使用USB-KEY進行身份認證，或者使用個人密碼進行身份認證，兩種模式視前期安全信息登記情況決定。

（7） 審計管理。

客戶端和Web瀏覽器都可以對加密文檔進行常規操作，管理員可以輕松對所有文檔進行審計管理。

（8） 自我保護。

系統自帶保護系統，保護客戶端不會被攻擊破解，保持在安全工作狀態。即便客戶端被破解，加密文件也無法被讀取或者破壞。