企业网络的安全问题分析与对策及锁相增益放大电路设计（附电路图）

本科毕业论文企业网络的安全问题分析与对策作者学号专业电子商务指导教师

内容摘要随着信息化技术的高速发展，计算机及其网络技术的迅猛发展给人们的生活带来了极大的方便，企业的网络信息化应用水平也在逐步提高。但网络的开放性以及诸多因素的影响，导致了网络环境下的计算机系统存在很多安全问题，诸如系统漏洞、计算机病毒、黑客攻击、系统后门、人为因素以及安全机制薄弱问题，等等。随之而来的是企业网络存在的安全问题越来越严峻，企业对网络的依赖性使得计算机网络本身运行的可靠性变得至关重要，也向企业网络管理运行提出了更高的要求。而企业网络安全与否，则直接关系到企业的正常生产与经营。企业网络环节上的任何一个小漏洞，都有可能会导致企业整个网络的严重安全问题。因此，如何实施网络安全，建立企业网络防火墙安装、漏洞扫描、入侵检测和反病毒等风险评估机制相当重要，而企业网络安全是一个系统的、全局性的技术及管理性问题,必须融合多种计算机网络安全技术以及有效的管理机制才能形成一个高效、安全的企业网络系统。本文试图就企业网络方面存在的安全问题逐一作出分析，并给出相应的对策。关键词：企业网络网络安全分析对策目录引言3一、概述4二、企业网络安全问题全面分析5 （一）数据传输信道5 （二）操作系统5 （三）网络通信协议6 （四）Web服务器6 （五）计算机病毒7 （六）数据库系统7 （七）数据存储安全8 （八）企业网络内部威胁8三、企业网络安全对策9 （一）企业内部网络防范措施9 1.计算机病毒防护9 2.数据传输信道的安全9 3.内部网络安全审计10 4.MAC物理地址绑定11 5.操作系统和数据库系统11 6.数据备份及恢复系统12 7.本地网络安全策略12 （二）外联网系统防范措施13 1.防火墙13 2.隔离服务器13 3.反垃圾邮件系统14 4.代理服务器14四、结论15参考文献16

引言随着计算机网及其网络技术的高速发展，企业办公自动化、ERP及SRM等系统在企业得到了广泛地应用，信息化建设成为企业建设中不可或缺的部分，而企业网络建设作为信息化建设的运行载体和基础,承担着企业对内对外的各种信息的传输任务。来自企业内部(如病毒，非授权访问等行为)及外部互联网(如黑客活动、非法入侵)的各种安全威胁时刻影响着企业网的运行和管理，加强企业网的安全管理是当前重要任务。所以企业网络是企业信息系统的核心，必须建立有效的网络安全防范体系保证网络应用的安全。目前一些在企业网安全管理方面存在安全手段单一，技术力量薄弱及重视度不够等问题，由此造成在企业网络系统上存在诸多的安全隐患。如缺乏强健的认证及授权，系统存在的漏洞不能及时修补，传统的被动式抵御只能消极等待入侵者的攻击等等。计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露。而企业网络安全则基于计算机网络安全技术，最大限度地保护企业网络的安全，以确保其信息的完整性。本文首先分析企业网络系统可能存在的安全隐患问题，了解企业网络安全问题的主要威胁因素；然后从用网络安全知识对安全问题从计算机网络、操作系统、数据库及防火墙等方面进行剖析，构建安全防御体系和加强安全管理两方面给出企业网络的安全对策。PAGE7-企业网络的安全问题分析与对策一、概述来自企业内部及外部的安全威胁时刻影响着企业网络的运行与管理，企业网是企业信息系统的核心,因此建立有效的网络安全防范体系、保障企业网络的安全运行是当前首要的任务。企业网络面临着一系列的安全问题，其来自外部或内部。对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。通常，计算机网络不安全因素主要表现在以下几个方面：（一）计算机网络的本身的脆弱性网络本身的开放性、共享性及国际性等特点就决定了企业网络存在着方方面面的挑战，其来自物理传输线路层的攻击，对网络通信协议的攻击，对管理软件的攻击及窃听、以及对硬件的漏洞实施攻击等。（二）操作系统存在的安全问题操作系统是作为“底层”支撑软件，使得应用系统有一个稳定的运行环境。其管理着软件资源和硬件资源，操作系统软件自身的不安全性、文件在传输、运行、加载及调用等过程中等都有可能因其存在的漏洞或缺陷等受到攻击。（三）数据存储及应用系统存在的安全问题数据库管理系统是一种操纵和管理数据库的大型软件，用于建立、使用和维护数据库，它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性。而非授权访问及存储设备故障等都会造成数据的非法存取及完整性。应用系统（如ERP等）在授权模型的建立，以及角色权限的赋予、文档等数据传输过程中的加密控制方面可能存在的问题会造成数据的非法访问。（四）防火墙的脆弱性所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入。但防火墙只能相对保证网络的绝对安全性，但难以防范网络内部和病毒的攻击。本文基于计算机网络安全技术，对企业网络安全中可能存在的问题进行了一系列剖析并试图给出相应的对策。二、企业网络安全问题全面分析（一）数据传输信道广义的传输信道是指将传输媒体和完成各种形式的信号变换功能的设备包含在内的信道，其包括调制信道和编码信道，按传输介质来分，其网络传输方式通常分为有线介质（如光纤、双绞线等）或无线介质（如IEEE802.11标准无线局域网传输、微波、红外线、激光、卫星线路传输等）两种方式，均存在诸如信号衰减及干扰、电磁信号泄露、监听干扰、假冒通信、信息假冒等问题，而这些因素又无一例外地对企业网络构成安全威胁，从而造成数据可能遭到人为的恶意攻击、非授权访问、信息泄漏或丢失、通信规程和协议以及信息的完整性遭到破坏等严重问题。通常企业所存在的数据传输信道问题为：1.网络布线不规范企业通常在数据主干道上(如单位多栋大楼之间)使用光纤传输,而在相同楼层之间采用双绞线。由于企业网络信息化一般都是逐步实施的，在网络综合布线上的可能会存在严重滞后以及规划不合理的现象，例如，数据线缆与电话线缆、电源线缆之间互相造成干扰；布线施工质量差；网络硬件设备无安全防护等；而对于双线线的连接时常会出现不规范的线序打法，造成“串绕”现象并产生干扰而造成局部网络访问缓慢的问题。2．网络设备参差不齐企业在网络建设中未能及时淘汰一些安全性差的路由设备，造成网络中某一节点出现安全漏洞从而置整个网络于危险之中。3.无线局域网络监控不利一些企业往往只通过简单开启无线网络的WEP、WPA或WPA-PSK等加密方式来进行身份验证而授权用户进入网络，很容易造成因密码泄露而使非授权用户非法访问企业内部网络的问题。（二）操作系统毫不夸张地说，大多数网络入侵是因为操作系统（如Windows,Unix,Linux等）的漏洞。完善安全操作系统的保护策略，以用户控制、进程控制及对象控制为主，使其具备有效的安全体系结构、提供实时的权限访问控制、信息加密保护及完整性鉴定等安全机制实现数据安全，并通过系统配置以确保操作系统尽量避免实现时的缺陷和具体应用环境因素而产生的不安全因素。但无一例外的是，由于漏洞修复的滞后性，使基于操作系统漏洞的入侵、通信端口的恶意扫描，以及利用通信和共享功能设置(如远程登录、文件及设备共享等)而进行的非法访问等，为黑客攻击和病毒感染留下了“可乘之机”。操作系统通常存在的安全隐患为：操作系统结构体系的缺陷无论是哪种操作系统，其本身均有内存管理、CPU管理和外设的管理，这些管理模块的缺陷通常会造成系统崩溃而受到攻击。文件传输及应用程序加载隐患操作系统所支持的网络文件传输、加载或安装程序时出现的漏洞，可能就会造成系统崩溃或被非法监控。3.远程进程调用操作系统支持远程创建、激活进程，并对进程的创建进行继承，使在远端服务器上安装“间谍”软件成为可能。从而使企业网络内数据被非法监控、盗用、以及篡改等严重问题。4.操作系统的后门和漏洞后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。程序员可能会在软件开发阶段利用软件的后门程序得以便利修改程序设计中的不足,但一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。特别是操作系统的无口令的入口，也是信息安全的重大隐患，其极易被黑客利用并进行攻击，造成信息泄密和丢失。（三）网络通信协议通俗地讲，网络通信协议是计算机在网络中实现通信时必须遵守的规则,它为连接不同操作系统和不同硬件体系结构的互联网络引提供通信支持，是一种网络通用语言。目前大多数企业网络系统所采用的网络通信协议是TCP/IP、HTTP、HTTPS、FTP、SMTP及Telnet等，这些协议大多先天不足或带有安全漏洞。例如，目前广泛使用的TCP/IP协议在实现上力求简单高效，缺乏安全因素的考虑,由于它脆弱的TCP/IP服务、缺乏足够的安全策略及配置的复杂性等因素，使其数据容易被实施窃听、劫持、电子欺骗及IP地址欺骗等非法行为，网络攻击者们也往往利用这些安全漏洞或技术来对企业网络行地攻击。（四）Web服务器WEB服务器主要是面向互联网的，是内外部网络连接的纽带和堡垒,它在企业众多信息化应用中最容易受到攻击的。而现在企业的WEB应用越来越多，特别是其也逐渐在成为其他信息化应用的入口，如企业的邮件系统、SCM、SRM或CRM等系统入口通常都捆绑在WEB服务器上，且Web后端连接着。Web面临的威胁主要有信息泄露、拒绝服务(DoS)、系统崩溃及跳板等，故WEB服务安全更是网络安全管理中的重中之重。通常Web服务器会受到的威胁为：

1.拒绝服务攻击

拒绝服务攻击(DoS,DenialofService)即攻击者利用TCP协议缺陷发送大量伪造的TCP连接请求，使被攻击方资源耗尽从而造成系统瘫痪。

2. 命令注入式攻击

命令注入攻击(CommandInjection)往往是因为目标系统存在设计、实现和配置上的缺陷引起的，比如没有对输入参数做有效过滤，缺乏对非法内容的检测手段等。即，

(1)SQL注入（SQLInjection）

Web服务中可能涉及数据库的操作，如果未对参数进行严格匹配检查，则攻击者可通过操作参数中夹带恶意命令，通过操作非法获取信息。

(2)XML注入（XMLInjection）

当用户输入是直接传入到XML文档时，攻击者可能会插入非法XML内容（如未转义标签）来操纵XPATH查询，以获取非授权的XML文档内容。

(3)跨站脚本（Cross-SiteScripting）

基于XML注入或其它手段，可以在合法Web服务中植入跨站脚本，使得对这个合法Web服务的请求透明地转移到攻击者控制的Web服务，以实现执行恶意操作的目的。

3.针对UDDI/WSDL的攻击

UDDI扫描（UDDIScanning）是对Web服务进行攻击的起始点，恶意攻击者通过UDDIRegistry能获得当前Web服务的详细信息，并通过跟踪分析Web服务，抽取出它用于某种目的的必要信息。攻击者可以利用这些信息推测和访问未公开的内部操作，进行WSDL扫描（WSDLScanning)攻击。（五）计算机病毒计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它们通过程序、网络、即时通讯软件以及邮件等多种形式进行传播。由于其繁殖性、传染性、潜伏性、隐蔽性、破坏性及可触发性等特点，由其造成的数据清空、网络连接中断及系统崩溃等，往往会企业造成巨大的损失。尤其是一些通过网络传播的木马及蠕虫类型的流行性病毒，成千上万地肆虐在网络环境中，这些病毒不仅危害性大，而且传播速度非常快，传播形式多样，它们一旦发作便会肆意窃取企业数据并可能造成系统瘫痪，会给企业网络造成巨大的威胁。计算机病毒往往会通过以下方式传播从而进入企业网络，值得引起注意:网页浏览企业员工被诱使或无意中通过企业内部网络浏览了因特网中一些感染了病毒的网站或钓鱼网站，从而感染病毒并危害企业网络。邮件系统黑客通过将病毒放在电子邮件的附件中寄给受害者，诱骗（企业中的员工）受害者打开电子邮件中的附件或恶意链接而传染病毒，如蠕虫类型病毒，从而使企业网络感染。移动存储设备移动存储设备（如U盘、移动硬盘）的广泛使用，使其成为传播病毒的媒介，使一些企业网络外的病毒可能通过网络中的某个用户终端滥用移动设备而进入企业网络。（六）数据库系统随着企业大型软件系统的应用，数据库系统（如Oracle,DB2,Sybase及MicrosoftSQLServer等）所占的地位也越来越重要。数据库的完整性主要包括物理完整性和逻辑完整性，前者是指保证数据库的数据不受物理故障的影响，并有可能在灾难性毁坏时重建和恢复数据库；而后者是指对数据库逻辑结构的保护，包括数据的语义完整性和操作完整性。企业数据库中所存放着关乎企业生产经营及决策的关键性数据，一旦出现问题，后果将不堪设想。数据库所存在的潜在威胁包括：非授权访问、推理访问数据、病毒；以及硬件故障威胁(如磁盘故障等)、人为错误及数据传输所造成的威胁等；而数据库安全旨在指保护数据库以防止非法用户的越权使用、窃取、篡改或破坏。（七）数据存储安全由于网络中心，特别是主数据库存放着企业网络全局的所有重要数据，这些数据和信息甚至就是企业的生命。近年来,网络存储系统正被越来越多地应用在有多层接口的复杂网络拓扑结构中,用户可以通过主机、交换机、LAN/WAN和VPN等设备访问网络存储系统,这些都给网络存储系统的安全带来了很大的安全隐患。目前造成网络存储安全数据破坏的原因主要有以下几个方面：

1.自然灾害，如水灾、火灾、雷击、地震等造成计算机系统的破坏，导致存储数据被破坏或丢失；

2.计算机设备故障，其中包括存储介质的老化、失效;

3.系统管理员及维护人员的误操作;

4.病毒感染造成的数据破坏和网络存储安全上的“黑客”攻击等。

因此，必须保护各个系统上的有价值的数据，防止敏感的业务数据或客户资料泄露、杜绝业务记录被篡改或毁坏或阻断未经授权的非法访问。（八）企业网络内部威胁随着Internet接入的普及和带宽的增加，企业员工的上网件得到改善时，却因为缺乏有效的管理机制，给企业带来更多的安全威胁，互联网滥用的问题日益严重。在IDC对全世界企业网络使用情况的调查中发现，员工在上班工作时间里非法使用邮件、浏览与工作无关的Web网站、进行音乐或电影等BT下载，或者在线收看(如.swf,.asf,.rmvb，.mov等格式)流媒体的情况非常普遍。在办公期间上网时间过长、遭受仿冒诈骗，办公时间玩网络游戏和因网络安全缺口而带来的安全风险等问题尤为严峻！另外，由于企业网络缺乏有效管理，企业员工滥用互联网导致内部网络感染病毒、企业信息泄漏等事件，目前已逐渐成为企业网络安全的最大威胁。三、企业网络安全对策（一）企业内部网络防范措施1.计算机病毒防护针对企业网络计算机病毒防护的需求，有针对性地选择并部署性能优秀的专业网络防病毒软件，如迈克菲(McAfee)、卡巴斯基(Kaspersky)、二版科技（ESETNOD32)及诺顿（Norton）等，并定期自动更新服务器端及用户端病毒特征库，是使网络系统免遭病毒侵扰的重要保证。有效的病毒防治部署是采用基于网络的多层次的病毒防御体系，在整个网络系统的各组成环节处，包括客户端、服务器、Internet网关和防火墙，设置防线，形成多道防线。即使病毒突破了一道防线，还有第二、第三道防线拦截，因此，能够有效地遏制病毒在网络上的扩散。

而在局域网病毒防御的基础上构建广域网总部病毒报警查看系统，监控本地、远程异地局域网病毒防御情况，统计分析整个集团网络的病毒爆发种类、发生频度、易发生源等信息，使企业能在第一时间内检测到企业网络的异常和计算机病毒攻击现象。

对于邮件系统，可以将邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不良邮件（如带有色情、政治反动色彩）等进行过滤，并对邮件附件进行安全扫描，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全,杜绝计算机病毒以电子邮件为媒介进行传播从而感染整个企业网络。

对于企业内部员工，在完善企业网络内部软件安装部署策略的同时，要加强企业内计算机的安全参数配置，提高企业员工的安全意识，并从技术上禁止私自安装软件从而杜绝病毒感染的风险。例如，只允许员工通过操作系统控制面板中的RunAdvertisedPrograms渠道安装企业网络内软件服务器上的软件。

另外，要建立应急响应系统，将计算机病毒危害的风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，因此要在突发情况下，建立一个紧急响应系统是极其必要的，以便在计算机病毒爆发的第一时间即能提供有效的解决方案。2.数据传输信道的安全针对数据信息道的安全，可以通过在硬件与软件两个层面上执行相应的措施来降低企业网络面临的风险。

（1）硬件设备

不同的传输介质或接入方式，其费用、速度、信号衰减、电磁干扰与安全性都有不同。必要时可以通过改造物理线路质量、重新规划综合布线方案、升级网络核心设备，并加强网络硬件设备的安全参数设置等降低数据泄漏的风险。

（2）软件及数据

在软件及数据传输上可通过网络软件的一些安全机制来实现数据传输的安全，如采用对应用程序加密、对通信线路（主要是DDN）加密，或采用VPN虚拟专用网络等数据安全传输方案，以完善网络安全防范体系。设置适当的IE安全级别，对连接到Internet上的企业门户网站关键网页内容强制采用HTTPS协议，并将企业与外部交互的文档数据进行数字签名或密钥加密的方式进行传输以保证企业数据的安全。（3）网络接入身份验证对于企业员工在通过外部Internet访问企业网络内部资源时，要加强身份验证，防止非法接入。

①静态与动态密码认证

对于通过无线连接到企业局域网的用户，开启密码认证是最基本的安全措施。而当用户试图通过VPN（如F5NetworksVPNClient）接入企业内部网络；或用户试图通过Internet访问MicrosoftOutlookWebAccess使用企业邮件系统时，除了需要输入域用户名（DomainUserName）及密码（Password）外，可以采用RSASecurID身份认证解决方案，则用户需要输入由RSASecurID设备生成的动态密码（Passcode），藉此进行双重密码验证，从而减少网络欺诈现象的发生。

②证书认证

对于直接物理连接到企业局域网的用户，除了可以采用MAC地址绑定技术之外，还可以通过CA证书与SSO（单点登录）相结合的方式，用来验证用户身份以，当正确无误后即允许其登录企业的门户网站以及邮件等系统。

③USBKey认证

对于企业内经常需要移动办公或出差的用户，也可以采用USBKey认证的方式，通过其内置的单片机或智能芯片存储用户的密钥或数字证书，达到认证的目的。

④生物特征认证

如硬件设备许可，可以采用生物特征验证的方式。需预先采集并存储用户的指纹、声音、视网膜或虹膜等生物特征数据，并在用户试图登录企业网络时再进行采集验证，以确保合用户的访问。3.内部网络安全审计随着Internet的飞速发展和企业电子商务的日益普及，网络信息安全问题日益突出，各类黑客攻击事件更是层出不穷，而相应发展起来的安全防范措施也日益增多，特别是防火墙以及IDS（入侵检测技术）更是成为大家关注的焦点。但防火墙只是一项协助确保信息安全的软件或设备，它会依照特定的规则，允许或是限制传输的数据通过，它类似于一道保护内部网络的重要关卡；而网络安全审计能够帮助对网络行为及其内容进行动态实时监控，并通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，追踪内部网络中的非法篡改数据、信息的非法外泄，以及越权获取资料等行为。

例如，企业可以通过实施BlueCoatWebFilter系统，设置过滤表禁止员工防止具有潜在威胁的网站，阻止其访问并给出错误信息提示,如：“安全警告：你所试图访问的网站存在安全风险,已被代理服务器禁止访问！”4.MAC物理地址绑定为了从物理上保证网络的安全性，特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料，可以在路由设备上设置白名单列表只允许特定MAC地址的设备接入，或将企业内部网络中所分配的静态IP地址与电脑网卡上的MAC地址绑定起来，使网络安全系统在侦别内部信息节点时具有物理上的惟一性,从而杜绝非法接入。

例如，借助诸如思科网络准入控制（CiscoNAC）软件，可以防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。而通过CiscoNAC，企业可以控制合法的、满足（某些必需软件安装等）准入条件的、值得信赖的端点设备(例如PC、服务器、PDA)接入其网络，并实现认证与授权、扫描与评估、隔离与实施以及更新与修复四项功能。5.操作系统和数据库系统对于操作系统，在充分利用其系统策略设置、权限访问控制、信息加密保护及完整性鉴定等安全机制的同时，并可通过：

（1）操作系统安全取消不必要的服务、关闭非必要的网络端口、保持最新的系统核心、以域服务器推进的方式强制终端用户安装最新系统补丁（ServicePack）以及更新程序（Hotfix）修补系统漏洞（如下图所示）、设定用户帐号的安全等级、增强安全防护工具，以及限制超级用户权限等方式增强系统安全，并可通过系统扫描器（SystemScanner）扫描，找出潜在的权限限设置不当、缓冲区溢出以及不安全服务等安全因素。（2）数据库安全而对于数据库，无论其是Sybase、DB2，还是Oracle，它们都有一套安全机制可以充分利用，以减少内部网络用户利用其应用系统漏洞而进行的数据非法访问及非法篡改等攻击。并利用数据库安全扫描器，如DatabaseScanner对数据库进行系统认证、系统授权及系统完整性方面的扫描，找出潜在漏洞并修复。6.数据备份及恢复系统网络运行和维护过程中，经常会有一些难以预料的因素导致数据的丢失，如自然灾祸、硬件毁损、病毒破坏、人为损坏失误等，而且所丢失的数据通常又对企业业务有着举足轻重的作用。所以必须联系数据的特性对数据及时备份，以便于在灾难发生后能迅速恢复数据。

其中一个例子是，美国911事件导致世贸大厦中800多家公司和机构的数据被毁，包括金融巨头MorganStanley。然而该公司竟奇迹般地宣布全球营业部第二天可以照常工作。其主要原因在于该公司在美国新泽西州的Teaneck市建有一个远程数据备份系统，保护了其最重要的数据。

而专业级的数据备份是系统级的，能够将数据从正在运行的数据库文件中提取出来，实现在线备份。因此，建立灾难备份系统是必要的且必需的。对于数据库和数据系统，可根据实际需要，采用定期备份、多机备份措施，本地备份和远程（异地）备份等多种方式，防止意外灾难下的数据丢失，并可在需要时即时恢复数据到某一个时间点，从而将企业因数据丢失而造成的损失程度杜绝或最小化。7.本地网络安全策略计算机网络安全管理是计算机网络安全的重要环节，也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动，规范组织的各项业务活动，使网络有序地进行，是获取安全的重要条件。根据组织和部门的安全需求和风险评估的结论，制定组织和部门的计算机网络安全策略,规范组织的各项业务活动，使网络活动有序地进行，并根据企业和组织和部门对安全的需求的变化，适时调整其安全策略，规范其在企业内的网络活动。即：（1）物理安全策略保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。（2）访问控制策略保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。（3）信息加密策略保护企业网内的数据、文件、口令和控制信息，保护网上传输的数据。例如，制定及设置用户密码规则以加强密码强度来保证合法用户的密码不被破解及窃取。如相应的密码策略可以制定为：密码长度不能少于8位；密码不能为一个单词；不能包含用户登录名或者用户的姓名；必须是大写字母、小写字母、数字以及特殊字符的组合；最近5次更改的密码不能相同；至少180天更改一次密码（4）网络安全管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。例如，确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

（5）安全审计

定期地对企业网络内的操作系统、应用系统、设备以及网络进行审计，分析系统中的各种事件（如系统事件、安全事件、应用事件以及网络事件等）及日志，可以为已经发生的系统破坏行为提供追究责任的证据，并为及时发现入侵行为或潜在的系统漏洞提供帮助。（二）外联网系统防范措施1.防火墙在企业内部网络与外部网络之间安装硬件或软件防火墙，隔离内外部网络，并将防火墙设置为使所有进出内部网络的信息全部经由防火墙，而外部用户通过网络防火墙时，只能访问事先设置的由内部网数据库系统所指定的端口，并指定如WWW服务器的HTTP或HTTPS协议许可，其他协议（如FTP，MMS、RTSP、PNM及RTMP）一概禁止以加强网络安全。企业级防火墙可选用的品牌很多，如思科(Cisco)、NetGear、Checkpoint以及华为等等。2.隔离服务器目前电子采购等电子商务方面的系统（如SRM、CRM、e-Sourcing）的大量使用，使一些大型企业将自己的内部网络（Intranet）与外部互联网（Internet）连接起来，在加强了与其客户与供应商协用的同时，也相应地增加了其数据泄漏的风险。为了企业网络的安全，一般的方法是专门安装一台前置隔离服务器（如电力系统通常使用的“双网隔离”方案），使这台隔离服务器作为内部数据与外部数据交换的中间环节，从而达到确保中心数据库安全的目的。例如，国网的双网数据隔方案，通过在内外网之间建立一个隔离服务器，使外部数据只能通过隔离服务器中的JDBC服务器与企业网络内部进行数据交换，杜绝外部协作用户直接访问企业内部的数据库系统，从而降低了企业内部遭受外部攻击的可能。3.反垃圾邮件系统反垃圾邮件系统是设置在企业邮件系统服务器之前的阻挡垃圾邮件进入邮件系统对了的一套装置或者设备。该设备接收所有进入到企业内部的邮件，对邮件进行处理，让良性邮件进入企业邮件服务器。反垃圾邮件系统通常建立在基于Linux或者BSD的加固的操作系统之上，也有个别厂商基于其他操作系统制作解决方案。硬件的形式及加固操作系统使垃圾邮件防火墙更加不容易被黑客等攻击。一个良好的反垃圾邮件系统不仅可以阻断垃圾邮件，而且可以保护邮件服务器不受其他形式的攻击。而比较专业的反垃圾邮件系统可以帮助企业和政府的邮件系统抵御最新的垃圾邮件、钓鱼邮件、欺诈性邮件、间谍程序邮件以及病毒邮件等各类邮件威胁，避免企业网络因此则蒙受损失。

例如，可采用Eleven公司的反垃圾邮件系统解决方案（EleveneXpurgateAnti-SpamFiltersolution），它会采用全面的防护与过滤技术，通过基于规则的评分系统，邮件指纹技术、意图分析技术以及贝叶斯过滤技术等方法对邮件进行过滤，然后将过滤后邮件列表发给收件人进行进一步确认，并可适时恢复。4.代理服务器代理服务器是一种重要的安全功能，它的工作主要在开放系统互联模型的对话层，从而起到防火墙的作用，在企业内代理服务器可被用来连接Internet（国际互联网/外网）和Intranet（企业内部局域网），可以实现：

（1）用户验证和记账功能

按用户进行记账，控制授权用户通过代理服务器访问外部网络，并对用户的访问信息，如访问时间、网址以及流量等进行统计。

（2）用户进行分级管理

设置不同用户的访问权限，并对地址进行过滤。

（3）充当防火墙功能

隔离内外网的，从而起到保护企业内部网络的功能。因为所有内部网用户均通过代理服务器访问外部网络，只映射为一个IP地址，所以外界不能直接访问到内部网，从而起到保护企业网络的功能。

同时，利用代理服务器的网络地址转换（NAT）功能，将所有的内部地址进行转换，使外部网络无法了解内部网络的内部结构，使外部网络的连接功能只能由内部网络发起，从而极大地提高内部网络的安全性。在产品采用上，可以采用BlueCoat的ProxySG系列，它是企业的Web代理网关，BlueCoatProxySG设备结合了高性能硬件与基于对象的定制操作系统SGOS，能够对内容、用户、应用程序和协议进行灵活的策略控制，在最大限度保证网络访的安全。四、结论总之，一个网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意行为造成的。所以，网络安全是一个系统的、多层面的和全方位的系统工程。建立一套完整并且完善的网络安全防御系统，达到既可方便地对外提供各种服务，与外部进行协作，又能有效地保护内部网络的安全，是非常重要的网络安全策略。当然，网络安全的建设并不是一劳永逸的，需要跟随计算机及其网络技术的发展，不断完善企业自身的网络系统。本文在从多个角度分析了企业网络安全问题的基础上，针对各种不同的威胁与攻击给出了相应的对策。而计算机网络安全的问题是一个永久的课题，它将随着计算机及其网络技术的发展而一直存在，“道高一尺、魔高一丈”，计算机网络的威胁与安全防护会一直较量下去，而来自外部或内部的网络威胁也促进了网络安全防范技术的发展。所以，计算机网络安全技术乃至企业网络安全是个永无止境的研究课题。

参考文献1．肖遥，《网络渗透攻击与安防修炼》，电子工业出版社，2009年。2．史达，《电子商务与网络经济》，东北财经大学出版社，2006年。3．高波,“浅谈计算机网络安全问题分析及防范对策”，《计算机光盘软件与应用》第23期,2011年。4．贺正求，吴礼发，洪征，王睿，李华波，“Web服务安全问题研究”，《计算机科学》第37卷第8期，2010年。5．张亚涛，魏凯斌，“基于虹膜的网络身份验证系统研究”，《计算机工程与设计》第29卷第9期，2008年。6．张天长，徐伟，《计算机犯罪与防控》,中国地质大学出版社，2008年。7．马传龙，谭建龙，《网络安全实践》，西安电子科技大学出版社，2009年。8．徐畅，《企业无线网络安全防范》，《计算机与信息技术》总第145期，2010年。9．范荣真，《计算机网络安全技术》，清华大学出版社，北京交通大学出版社，2010年。10.穆勇，李培信，《防御！网络攻击内幕剖析》，人民邮电出版社，2010年。11.刘瑞林，《计算机网络技术与应用》，浙江大学出版社，2011年。12.张常有，《网络安全体系结构》，电子科技大学出版社，2006年。摘要随着科学技术的发展，使测量技术得到日趋完善的发展，同时也提出更高要求。尤其是一些极端条件下的测量已成为现代认识自然的主要手段，由于微弱信号检测（weaksignaldetection）能测量传统观念认为不能测量的微弱量，所以才获得迅速的发展和普遍的重视，微弱信号检测已逐渐形成一门边缘学科学。锁相放大器（lock－in.Amplifier简称LIA）就是检测淹没在噪声中的微弱信号的仪器，它可用于测量交流信号的幅度和相位，有极强的抑制干扰和噪声的能力，有极高的灵敏度，可测量毫微伏量级的微弱信号，自1962年美国PARC第一个相干检测的锁相放大器问世以来，锁相放大器有了迅速的发展，性能指标有了很大的提高，现已被广泛应用于科学技术的很多领域。关键字：锁相增益放大器微弱信号AbstractAlongwithscience'sandtechnology'sdevelopment,enablesthemeasuringtechniquetoobtaindaybydaytheconsummationdevelopment,simultaneouslyalsosetsahigherrequest.Especiallyundersomeextremecondition'ssurveyhasbecomethemodernunderstandingnaturalprincipalmeansthatbecausetheweaksignaldetection(weaksignaldetection)cansurveythetraditionalideastothinkcannotsurveyweakquantity,thereforeonlythenobtainstherapiddevelopmentandtheuniversalvalue,theweaksignaldetectionhasformedanedgestudysciencegradually.Phase－lockamplifier(lock－.AmplifieriscalledLIA)isexaminesthesubmergenceinthenoiseweaksignalinstrument,itmayuseinsurveyingtheexchangesignalthescopeandthephase,hasthegreatlystrengthenedbarragejammingandnoiseability,hastheextremelyhighsensitivity,themeasurablequantitymillimicrobendingdownmagnitude'sweaksignal,theAmericanPARCfirstcoherentdetection'sphase－lockamplifierhasbeenpublishedsince1962,thephase－lockamplifierhastherapiddevelopment,theperformanceindexhadtheverybigenhancement,widelywasalreadyappliedinscienceandtechnologymanydomains.Keyword：Thephase－lockenlargesthecurriculumprojectbeauty目录前言 11、锁相增益放大电路技术指标及基本原理 21.1方案技术指标 21.2锁相放大器的基本原理 22、锁相增益放大电路方案设计 22.1锁相增益放大电路 32.2整形电路 32.2.1集成芯片CD4046 42.2.2相敏检波器DG201 42.3信号通道 52.4参考通道 52.5锁相放大器对噪声的抑制 62.5.1等效噪声带宽 62.5.2信噪比改善（SNIR） 82.5.3锁相放大器的噪声 82.6动态范围和动态储备 93、锁相增益放大电路测试 104、总结与体会 115、原器件清单 126、参考文献 13附电路图 14前言长期以来人们一直受到噪声信号的干扰，这使得对于强噪声中的微弱信号检测的研究成为测量技术领域中的综合技术与尖端领域。微弱ixnhao检测技术（WeakSignalDetection）是采用电子学、信息论、计算机及物理学的方法，分析噪声产生的原因和规律，研究被测信号的特点和相关性，检测被噪声淹没的游泳信号。随着科学技术的发展，微弱信号的检测越来越重要，现已逐渐形成为专门的边缘学科。微弱信号检测方法是基于研究噪声的规律（如噪声幅度、频率、相位等）和分析信号特点（如信号频谱、相干性等）的基础上的，然后利用一系列信号处理方法，来提取和测量强噪声背景下的微弱信号。锁相放大电路（Lock-inAmplifier,简写为LIA）利用相关检测技术，从而将深埋在大量的非相关噪声中的微弱有用信号检测出来，起着检测器和窄带滤波的双重作用。它可用于测量微弱交流信号的幅度和位相，有较强的抑制干扰和噪声的能力，有极高的灵敏度，在光谱学和环境学的微弱信号探测与采集中有着广泛的应用前景。比如，在光谱测量中往往需要测量很多通道的信号，在信号测量中采用锁相放大器能够大幅度的提高系统的抗干扰性能，但也存在明显的不足之处；电路变得极其复杂、各通道的一致性难以保证、工艺性差等。1、锁相增益放大电路技术指标及基本原理1.1方案技术指标1、中心频率100KHz，Q=50000BPF。2、动态增益120dB。3、噪声极限0.005370P-P。1.2锁相放大器的基本原理锁相放大器(Lock-inAmplifier简称LIA)是以相关检测技术为基础，利用互相关的原理设计的一种同步相干检测仪。它是一种对检测信号和参考信号进行相关运算的电子设备，利用参考信号频率与输入信号频率相关，与噪声频率不相关，从而从噪声中提取有用信号。它不同于一般的带通放大器，它所输出的信号并不是输入信号的简单放大，而是把交流分量放大并变成相应的直流信号输出。使用锁相放大器是从强噪声中提取弱信号的重要手段。可理解为:把待测信号中与参考信号同步的信号放大并检测出来。一般锁相放大器的组成分为三部分:信号通道、参考通道和相关器（相敏检波器）。其核心部分是相敏检波器（phase-sensitivedetector简称PSD），它实际上是一个乘法器。输入信号和参考信号分别加在相敏检波器的两个输入端。图1-1锁相放大器结构框图锁相放大器的最基本原理是相关接收原理，在相关接收中，可以把两个信号的函数f1(t)和f2(t)的相关函数表示为：其中f2(t)为参考信号，为测量信号，S（t）为需要检测出来的信号，f2（t）与S(t)频率相同。下面详细讨论这一原理是怎么具体应用在锁相放大器的设计上，锁相放大器又是如何通过直接计算相关函数来实现从噪声中检测淹没信号的。2、锁相增益放大电路方案设计2.1锁相增益放大电路锁相环放大器最初用于改善电视接收机的行同步和帧同步，以提高抗干扰能力.而精密量测技术的发展，锁相放大器是基于微弱信号的相关检测原理，具有中心频率稳定，通频带窄，品质因数高等特点。是一种频率变换技术，给信号A乘以不同频率的正弦波B，会产生它们的和与差的正弦波，即令B与A信号相同，则可产生直流和2倍交流信号，如引入相位和频率如B与A信号的相位和频率都相同，直流值变为最大；相差900，直流值为0。因此，用频率相同的参考信号B乘以信号A，通过滤波除去与信号A频率不同的成分即噪声，在原理上可构成具有无限大Q值的滤波器。在现代通信及信号处理中应用于检测淹没在噪声的微弱信号。图2-12.2整形电路输入信号送入LM311进行滞回比较，可较好消除边缘毛刺，实现低频信号整形。图1-3为LM311的滞回比较电路图此电路将输入的信号通过运放及其他电阻、电容元件后，形成方波信号。首先，由第一级运放将输入信号放大再由第二级运放将正弦信号转换为方波信号。图2-22.2.1集成芯片CD4046CD4046是通用的CMOS锁相环集成电路，其特点是电源电压范围宽（为3V－18V），输入阻抗高(约100MΩ)，动态功耗小，在中心频率f0为10kHz下功耗仅为600μW。外部附加电压－电流变换电路可改善VCO特性。图2-32.2.2相敏检波器DG201相敏检波器作为锁相放大技术中的乘法器，它的线性度和动态范围决定了系统的弱信号检测水平。一般的模拟乘法器中，由于直流漂移的影响，不能在很宽的动态范围（120dB）进行精确的乘法运算。高速版模拟开关ICDG201是一个单片模拟开关，它图2-4能够提供高速、低错误的模拟开关效果，并且能够用逻辑电平进行控制。ＤＧ２０１适合高速数据采集的要求。ＤＧ２０１是建立在一个专有高电压硅栅进程。一般模拟开关设计时接通时间比断开时间慢，使得两点间的输入信号不短路。但是用作PSD等用途时，重要的是变换占空比５０％―――ＯＮ或OFF的时间比相等，所以需要使用断开或接通时间都相等的模拟开关。图2-52.3信号通道待检测的微弱信号和噪声混合在一起输入低噪声前置放大器，经放大后进入前置滤波器，前置滤波器可以是低通、高通、带通或带阻滤波器，或者用这些滤波器的两种以上的组合构成宽带或窄带滤波特性，用于防止在严重的噪声或干扰条件下使PSD出现过载，滤波后的信号经过调谐交流放大器放大到PSD所需的电平后输入PSD。2.4参考通道参考通道用于产生相干检测所需的和被测信号同步的参考信号。参考通道首先把和被测信号同频率的的任何一种波形的输入信号转换为占空比为1﹕1的方波信号，其频率和输入移相器的参考信号的频率相同。现代的锁相放大器还可以给出频率为2的方波信号，主要用于微分测量中相移电路可以精确地调节相位，使PSD中混频器的两个输入信号的相位差严格为零，获得最大的检波直流输出。方形信号通过移相器改变其相位，使得PSD输入的参考信号与被测信号同相位，即。锁相放大器的PSD的直流输出信号一般要经过滤波和直流放大，然后输出给测量仪表等。2.5锁相放大器对噪声的抑制2.5.1等效噪声带宽为了定量分析放大器抑制噪声的能力，我们先引入等效噪声带宽（equivalentnoisebandwidth，简称ENBW）的概念。考察如（图2－5－1a）所示的最简单的RC它的模为

（2－5－1）图2-6

简单低通滤波器及其传输特性图2-6b所示为随频率而改变的关系。对于输入信号，滤波器的带宽通常定义为当传输系数随频率改变而下降到0.707（－3dB）时的频率值。由式＃＃可知RC低通滤波器的带宽为。图2-7

低通滤波器的等效噪声带宽对于输入噪声通常用等效噪声带宽（ENBW）来表征滤波器抑制噪声的能力。假定滤波器的输入为白噪声，即到频率范围内，噪声电压的均方值为其中：为一与无关的系数。当噪声通过所讨论的低通滤波器时，可以求得输出噪声电压的均方值。另外，假定有一个理想的低通滤波器，其传输特性如图＃＃＃中b所示。频率在0～B之间传输系数的模等于所讨论的低通滤波器当时传输系数的模，而当时，传输系数的模为零。噪声通过此理想低通滤波器时，也可以求得输出噪声电压的均方值。如果两种情况下输出噪声电压均方值相等，则定义这时的B为所讨论的低通滤波器的等效噪声带宽。按以上定义

（2－5－2）可见RC低通滤波器的等效噪声带宽B和时间常数RC成反比。显然，对于任何传输系数为的低通滤波器（为实数），等效噪声带宽B都等于。128A型锁相放大器所用的低通滤波器也属于这种类型，因此ENBMW值B都等于。该仪器的时间常数RC也可以从1ms改变到100s。当时间常数为100s时，等效噪声带宽B＝0.0025Hz，这个数值相当小，如此小的带宽可以大大地抑制噪声。我们知道一般的调谐放大器或选频放大器想要把带宽做得这么窄是及其困难的，锁相放大器的特点在此就表现得非常突出了。对于PSD，考虑到在基波附近的输出噪声都将在输出端产生噪声分量，故PSD的基波等效噪声带宽应为RC低通滤波器等效噪声带宽的2倍，即

（2－5－3）对于白噪声，相应谐波等效噪声带宽为：,总的等效噪声带宽为（2－5－4）国外仪器一般都用低通滤波器的等效噪声带宽代替仪器总的等效噪声带宽，这是不太严格的。128A型锁相放大器的等效噪声带宽采用的就是这类定义。从抑制噪声的角度来看，时间常数RC越大越好。但是RC越大，放大器反应速度就越慢，幅度变化较快的信号的测量将受到限制。所以在锁相放大器中用减小带宽来抑制噪声是以牺牲响应速度为代价的。在测量中应根据被测信号的情况，选择适当的时间常数，而不能无限度的追求越大越好。2.5.2信噪比改善（SNIR）信噪比改善是指系统输入端信噪比与输出信噪比的比值，锁相放大器的信噪比改善常用输入信号的噪声带宽与PSD的输出噪声带宽之比的平方根表示：

（2－5－5）2.5.3锁相放大器的噪声锁相放大器自身的噪声将直接影响最小可测信号的大小。为了便于研究，通常将它折合为放大器输入端的噪声，决定改噪声的因素有：放大器的前级状况，信号源的内阻以及工作频率。不同的具有不同的热噪声；工作频率较低时，噪声的影响较大。为了在使用中方便考虑锁相放大器的噪声，通常将折合到输入端的噪声绘制成噪声系数等值线图（简称NF图）。噪声系数NF的定义为（2－5－6）根据给定的工作频率与源电阻值，通过查NF图，即可得到锁相放大器最小检测信号的大小。2.6动态范围和动态储备锁相放大器有几个标志其性能的临界电平：（1）最小可分