本篇論文目錄導航：

【題目】企業辦公網絡安全管理問題研究
【第一章】企業辦公網絡安全防護探析緒論
【2.1 - 2.4】防火墻技術與文檔安全保護技術
【2.5 - 2.7】網絡防病毒技術與雙機熱備技術
【第三章】辦公網絡安全系統分析與設計
【4.1 4.2】網絡出入口監控管理策略
【4.3 - 4.5】網絡安全防護措施設計與實現
【總結/參考文獻】企業辦公網安全升級方案研究總結與參考文獻

4.3 安全防護措施設計與實現

4.3.1 文檔安全保護。

企業的人事調動、人員流動等都容易引起資料的泄密，比如：員工通過單位的網絡，單位的e-mail發走單位的重要文檔，U盤軟盤拷貝走單位的重要資料，用單位的打印機打印敏感的文件，顯而易見這會給單位造成很大的損失。

如今的網絡環境，病毒肆虐、木馬橫行，各種入侵方式不勝枚舉。而作為一家企業，在如今快速的辦公環境壓力下，辦公文檔被感染或者竊取，嚴重妨礙辦公效率，造成損失難以估算。

在這個信息代表金錢的年代，公司文檔所代表的可能不僅僅只是一份文件，它可能會影響到公司接下來幾年甚至十幾年的發展方向。防火墻策略并不能完全保證企業信息安全，我們不能完全依賴防火墻來實現全面防護。因此，針對文檔的保護，我們還需要增加額外的設備來單獨保護。

對于單位來講，必須面對或希望解決這些的安全和管理問題，這也造成了單位對這方面產品的需求。

（1） 圖檔加密文檔保護系統圖檔加密管理幫助單位有效防范和應對各種網絡安全問題。從源頭杜絕文件泄密解決了外賊好治，家賊難防的管理局面。軟件具有健全的管理體系，能實現高效、高性能的全方位監測，加強平臺建設，具備了應急處理能力，對于突發事件能夠做到判斷準確、響應迅速、應對有效，能最大限度避免網絡安全事故對企業的發展影響。

功能摘要：

（a）自動加密：根據用戶需要，啟用策略強制加密指定類型的文件。

（b）手動加解密：根據用戶需要，可以對指定文件進行手動加解密操作。

（c）硬盤全加密：根據用戶需要，實行指定的客戶端全盤加密操作。

（d）硬盤全解密：根據用戶需要，實行指定的客戶端全盤解密操作。

（e）災難數據恢復：根據用戶需要，對客戶端損壞的電腦進行解密，同時恢復數據。

（f）圖檔密級：根據用戶需要，自行指定客戶端文檔類型和查閱級別。

（g）移動外發：根據用戶需要，啟用非安全環境文件執行策略，支持離線模式。

（h）外發審核日志：根據用戶需要，外發文件需要進行審批。

（2） 圖檔管控文檔保護系統圖檔管控功能，主要針對大型用戶文件庫服務器設計，部署簡單，更加易于控制管理。這是一套成熟完善的圖檔集中管理和冗余抗災方案，庫內的文檔進行分級管理和分權管理。

功能摘要：

（a）文檔權限管控：根據用戶需要，可以對客戶端文件進行自定義，授權一些基礎操作。

（b）圖檔備份：根據用戶需要，可以設定客戶端備份重要文件，分兩種方式，一種是定時，一種是手工。

（c）備份日志查詢：根據用戶需要，可以查看文件服務器中客戶端文檔備份信息。

4.3.2Web 應用防護。

隨著網絡發展，Web應用程序越來越多，這些應用面臨著來自網路的惡意攻擊威脅，Web主頁被篡改，用戶信息被竊取等，時有發生。據不完全統計，網絡攻擊目前超過75%是針對Web應用服務的。這是基于應用層的攻擊，通過一些社交工具和P2P協議進入企業網絡。這種進入方式不像是攻擊行為，就像是正常的數據訪問，防火墻策略對其毫無辦法。等它在本地網絡上肆意破壞后，用戶才會發現。

因此，單是傳統的防火墻是無法進行Web應用防護的。防火墻工作在網絡層，通過地址轉換、訪問控制及狀態檢測等功能，對單位網絡進行保護。為了便于外部訪問Web應用，防火墻是完全開放8080端口的，這就意味著防火墻對Web應用幾乎沒有半點防護措施。防火墻無法防護上述應用層的攻擊，所以，這里我們選擇了針對Web應用服務的防攻擊設備。

Web應用防護系統，可以"實時"切斷應用的攻擊，包括檢測、防御、響應這三個部分。檢測，建立掃描檢查機制，實時掃描Web服務器，保證第一時間確認入侵情況，同時記錄漏洞并提出安全修改建議；防御，結合當今主流入侵防御產品，聯合掃描漏洞和安全威脅，完善自身的防護能力；響應，由專業支撐人員組成外援團隊，及時有效的處理問題，做到人工確認漏洞，并加強防護代碼審核。

主要采用兩種解決技術手段，見圖4.9:

（1） 基于自動學習功能，能形成機制，自主防御攻擊。首先會建立一個模型，所有訪問會進行流量抽取，并根據模型進行校對，若匹配，則被判定為攻擊行為，進行阻斷隔離。

（2） 基于對入侵行為的檢測分析，增加了對數據的實時控制。

（a）事前檢測階段，通過實施掃描，來查找Web應用系統可能存在的系統漏洞，在掃描過程中，檢查是不是有木馬等攻擊行為存在，或者是否已經感染木馬。

（b）事中防御階段，明確針對Web應用系統的幾大惡意行為，對這類行為加強防御，同時保護Web應用運行所在的操作系統。

（c）事后響應階段，對掃描出的漏洞等進行處理，修補漏洞、補全Web頁面的代碼，清理殘留的木馬程序和惡意代碼，必要情況下，對原有Web應用進行數據恢復，保證其不會復發感染。

4.3.3 網絡防病毒。

網絡防病毒并不是簡單的掃描網絡環境，清除已經潛伏并感染服務器系統的病毒。而是要先建立防御體系，部署好足夠的安全防御硬件設備，如防火墻、Web應用防護設備等。然后通過服務器平臺，部署一套防病毒系統，用來抵御病毒入侵。這套系統要求便于管理，可遠程訪問，統一防病毒策略。

本辦公網絡是跨區域的，若要確保整個網絡內無病毒，就得先保證主干核心網絡無毒。

本防病毒軟件平臺安裝在核心網絡的一臺服務器上，實現實時更新和定時掃描。同時生產訪問鏈接，對內網用戶開放客戶端下載。保證內網的每一臺主機都可以享受到防病毒的保護。打造成一個完全無毒的辦公網絡環境。

如果選擇安裝策略服務器for Cisco NAC.

"策略服務器安裝"窗口上顯示的設置和選項與在防毒墻網絡版服務器安裝期間指定的大多數設置類似。

許可協議：接受許可協議的條款以繼續。

安裝路徑：接受缺省安裝路徑或者指定將在本地計算機上安裝策略服務器的位置。

Web服務器：指定是否使用IIS或Apache Web服務器。

Web服務器配置：為選定的Web服務器指定設置。

Web控制臺密碼：指定用于訪問策略服務器控制臺的密碼。雖然可以從防毒墻網絡版啟動該控制臺，但是該控制臺獨立于防毒墻網絡版服務器控制臺。

ACS服務器認證：

ACS服務器通過網絡訪問設備從客戶端接收防毒墻網絡版客戶端防病毒數據，并將其傳遞到外部用戶數據庫以用于評估。在稍后的過程中，ACS服務器還會將評估的結果（其中可能包括防毒墻網絡版客戶端的說明）傳遞到網絡訪問設備。

安裝信息：查看安裝信息。

4.4 數據安全保護措施。

4.4.1 數據安全備份軟件的選擇與功能要求。

如今越來越多的應用伴隨著信息化發展大量涌現，流通在網絡上的數據量也越來越大。信息是當今最珍貴的資源，數據是信息的表現形式和存儲載體。數據作為網絡辦公行為一項重要資源，其重要程度不言而喻。如何能保證數據的完整性、準確性、安全性，已經是當前需要研究的一大課題。

數據遭到破壞的因素多種多樣，小到人為失誤，大到自然災害，主要包括以下幾個方面：

硬件故障：計算機是數據運作的載體，是一臺電子硬件。是硬件就會發生故障，無論是正常情況下的設備老化，還是產品問題導致的設備故障，計算機"報錯"后，保存的數據就會存在極大風險。

軟件故障：軟件是數據的使用載體，從操作系統到文檔報表，都是以軟件的形式呈現。

但由于軟件BUG、漏洞等，很可能造成軟件崩潰，進而導致數據保存錯誤、丟失。

人為誤操作：人為事故，無法避免。通常一個不小心，就有可能將正在使用的重要數據給刪除，或者，一個不留神的操作導致數據庫報錯，進而丟失了大部分重要的數據。

破壞性木馬與病毒：這個一個不可回避的風險，也是數據最大的安全威脅。木馬和病毒，都可能突破防護系統潛伏進數據庫中，隨著數據使用自我復制，到處傳播。很可能一個誘因激發，病毒就能將所有數據毀于一旦。木馬則可能將數據神不知鬼不覺地竊取走，這對于企業來說，很可能就是一大損失。

自然災害：不可抗力因素，無論是火災、水災、地震等，通常發生時都是聲勢浩大，這是人力不可抗拒的。

丟失數據，通常不能以金錢來衡量，而是要看這數據對企業的重要性，以及其丟失后的影響有多大。假如丟的只是幾天的工作郵件，可能對于企業來說，并沒有什么損失，但是會加強安全保護措施。倘若丟失的是可口可樂的配方，可能數據量很小，但它的價值可能會讓可口可樂公司失去全球一半的市場份額。

在這種情況下，數據備份的需求就被提出來，同時是針對應用服務的實時備份。

要保證業主遇到故障不會中斷，我們現在提出的就是雙機熱備技術。利用一臺服務器，與客戶原有服務器業務數據同步保存，當原服務器因故障停止工作時，新的備用服務器就會接替它繼續運行Web應用服務。這個切換過程非常迅速，通常只需要一分鐘左右?？紤]到熱備服務器和原主服務器在同一數據中心，若是發生火災等導致兩臺設備都損壞的情況，故在異地再準備一臺備份服務器，通關過內部網絡連接，保證數據絕對不會丟失，一直保持最新的時效。

4.4.2 雙機熱備及異地備份策略部署備份方案部署。

（1） 本地雙機作業說明Double-Take Availability安裝在主數據庫和本地雙機備份數據庫服務器上（建議采用一臺性能高的服務器，安裝VMWARE虛擬軟件將服務器物理上虛擬為三臺，對應三臺生產數據庫服務器實現雙機），可以實現全操作系統的容災切換，當主服務器出現故障，系統可以自動（或手工確認）切換到雙機數據服務器上。

Double-Take Availability實現全操作系統的容災服務，不要求有相同的硬件環境，可在物理服務器和虛擬服務器之間實現容災，不需要對服務器上的具體應用進行專門的復雜的設置。

Double-Take Availability軟件的部署和管理非常簡單，全窗口化，不需要對數據庫等軟件做有過多的了解就可以輕松管理容災系統。

（2） 異地容災備份作業說明對于Windows服務器中操作系統及應用的保護，采用Double-Take Backup實時備份解決方案，將Double-Take Backup客戶端軟件安裝在每臺Windows應用服務器，對服務器實現系統、應用及數據實時備份至Double-Take Backup系統備份服務器中。

Double-Take Backup支持各種Windows平臺的應用，且不需針對應用的專屬模塊就能對整個操作系統及應用系統進行全面的保護。

Double-Take Backup能逐條校對主服務器中的數據，對不同的部分進行同步，通過記錄的快照實現系統恢復，當系統中毒或者數據丟失時，可以選擇任意還原點進行恢復。

第一次完成服務器的全操作系統備份鏡像后對服務器及網絡資源占用很少，對主業務系統的影響也最小。

可以將備份的全操作系統鏡像在物理機和虛擬機上無縫的遷移和恢復，這樣降低了對硬件的要求。

4.5 本章小結。

每層辦公樓的網絡按照區域規劃到不同的VLAN進行管理，網絡出口有防火墻進行策略管控。所有的上網行為得到監視和限制，避免了帶寬占用和浪費。重要文檔、網站服務應用得到策略化的保護，內網環境因為防病毒系統而更加安全穩定。服務器數據進行冗余備份，在突發事件下，本地、異地服務器也能迅速后備起用，維持原有服務功能。

經過實際使用測試，在部署完新安全系統后，防火墻受到的攻擊警告逐日減少，上網訪問操作規范化也得以實現。根據企業用戶使用反饋，上網速率明顯提高。實現了第三章預期的設計要求。