中小型公司网络安全方案1(31200字)

来源:m.fanwen118.com时间:2021.5.8

某中小型企业网络安全实现

陕西邮电职业技术学院

计算机系毕业论文

某中小型企业网络安全实现

姓 名: 王丹

学 号: 0301093216

专 业: 计算机通信

班 级:计算机通信0932

指导教师: 王文英

提交日期: 20xx年5月

中小型公司网络安全方案1

1

某中小型企业网络安全实现

中小型公司网络安全方案1

2

某中小型企业网络安全实现

陕西邮电职业技术学院毕业论文成绩评定表

中小型公司网络安全方案1

注:此表和论文定稿一起装订,存入档案。 3

某中小型企业网络安全实现

摘 要

本文建设了一种中小型网络的安全方案,重点研究在物理隔离的情况下计算机网络的安全问题。在对中小型网络系统有了确切的了解之后,将局域网总体划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。依照各个安全等级的安全需求,设计了中小型网络的安全方案。在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。

关键词:网络安全 扫描系统 防火墙

4

某中小型企业网络安全实现

Abstract

This paper builds a small network security solutions, focus on the physical separation of the cases of computer network security issues. In the small and medium-sized network system have a precise understanding of the local area network, generally divided into three security levels, each level includes several sub network, all kinds of network to set up their security strategy. According to the design of computer network security goal and security of

computer network system planning, the computer network security problem to undertake comprehensive analysis. According to different security level

security needs, design of network security plan. In meet the subnet system under the premise of the construction, put forward including virus protection, dynamic password identity authentication, security audit management, access control, information encryption, intrusion detection system deployment,

vulnerability scanning system management and security technology, the whole solution. Purpose is to build a complete, three-dimensional network security defense system, so the network security system to obtain better results.

Key words: network security scanning

system firewall

5

某中小型企业网络安全实现

引言 随着电子信息和计算机技术的发展,计算机网络已逐步成为当今社会发展的一个主题,网络已渗透到经济和生活的各个领域,众多的企业、组织、政府部门与机构都在组建和发展自己的网络。并连接到互联网上,以充分共享、利用网络的信息和资源。

1.1本课题的研究意义

本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法,是整个企业网络安全设计的指南,是为公司做出一套正确有效的网络安全方案的重点。本文的阅读者是公司企业网络管理方面的决策人或操作应用人员。

1.2本论文的目的、内容

本论文的目的是为企业提出一个有效的网络安全方案,使企业在网络上的安全威胁降到最低。根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统解决方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,并

探讨了今后网络安全系统的发展方向。

6

某中小型企业网络安全实现

目录

摘 要 ................................................................................................ 4

引言 .................................................................................................... 6

1.1本课题的研究意义 .............................................................. 6

1.2本论文的目的、内容 ............................................................ 6

第一章 绪论 ................................................................................... 10

1.1 网络安全背景知识 ........................................................... 10

1.2 网络安全的概念和目标 ...................................................... 10

1.3 网络安全策略 ......................................................................11

1.4 本论文的主要工作简介 ...................................................... 12

第二章 中小型公司网络安全的威胁及需求 .................................... 13

2.1中小型企业网络系统安全分析 ............................................ 13

2.2物理层安全风险 .................................................................. 14

2.3网络层安全风险 .................................................................. 14

2.4系统层安全风险 .................................................................. 14

2.5 病毒的安全风险.................................................................. 15

2.6 数据传输的安全风险 .......................................................... 15

2.7 管理的安全风险 ................................................................. 15

第三章 网络安全的方案设计 ........................................................... 17

3.1总体设计方案 ...................................................................... 17 7

某中小型企业网络安全实现

3.2中小型公司网络安全系统设计 ............................................ 17

3.2.1安全体系结构网络 .................................................... 17

3.2.2安全体系层次模型 .................................................... 17

3.2.3安全体系设计 ............................................................ 18

第四章 安全产品的配置与应用 ....................................................... 20

4.1防病毒及特洛伊木马软件.................................................... 20

4.2动态口令身份认证方案 ....................................................... 20

4.3访问控制:防火墙系统 ....................................................... 22

4.4入侵检测系统 ...................................................................... 24

4.5漏洞扫描系统 ...................................................................... 25

第五章 安全方案测试 ...................................................................... 28

5.1 安全管理机构的建设原则................................................... 28

5.2 企业网络安全方案测试 ...................................................... 28

5.2.1 中小型企业网络病毒的防范 .................................... 29

5.2.2 操作系统和应用服务器的安全体系构建.................. 29

5.2.3 合理配置中小型企业网络的防火墙系统.................. 30

5.2.4 采用漏洞扫描技术 ................................................... 30

5.2.5 选用入侵检测系统 ................................................... 30

第六章 网络安全技术的发展趋势 ............................................... 32

6.1 加强病毒监控 ................................................................... 32

6.2 建立安全可靠的虚拟专用网 ............................................. 32

6.3 IDS向IMD过渡 .............................................................. 32 8

某中小型企业网络安全实现

6.4 UTM技术的出现 ............................................................. 33

6.5 从管理角度加强网络安全................................................. 33

第七章 结束语 ........................................................................ 34

致谢 ........................................................................................... 35

参考文献........................................................................................... 36

9

某中小型企业网络安全实现

第一章 绪论

1.1 网络安全背景知识

以Internet为代表的信息网络技术应用正日益普及和广泛,应用领域从传统小型业务系统逐渐向大型关键业务系统扩展,典型的例如党政部门信息系统、金融业务系统、企业商务系统等。网络安全已经成为影响网络效能重要的问题,而Internet所具有的开放性、自由性和国际性在增加应用自由度的时候,对安全提出了更高级的要求。一般来说,网络安全由信息安全和控制安全两部分组成。信息安全指信息的完整性、可用性、保密性和可靠性;控制安全则指身份认证、不可否认性、授权和访问控制。互联网的开放性、分散性和交互性特征为信息交流、信息共享、信息服务创造了理想空间,网络技术迅速的发展和广泛的应用,为人类社会进步提供了巨大推动力。然而,正是由于互联网的特性,产生了信息污染、信息泄漏、信息不易受控等诸多安全问题。目前,我国网络安全存在的主要问题有:1.计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心数据看,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。2.电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。3.信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节[1]。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。网络环境的多变性、复杂性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并且走向世界,建立保护屏障和加强安全监管不可缺少。近年来,随着网络安全事件的发生,人们越来越清楚的意识到,信息时代所引发的信息安全问题涉及到人们生活的方方面面。因此可以说,在信息化社会里,信息安全的重要性再怎么强调也不过分。

1.2 网络安全的概念和目标

国际标准化组织(IS0)对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全基本上是一个实践性的技术领域,它涉及到多种技术领域,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在 10

某中小型企业网络安全实现

系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。网络安全的意义,就在于资料、信赖关系和网络的传输能力与端系统的处理能力三个要素的保护,保证这三者能为所适合的用户服务。而且,只为合适的用户服务。与此同时,由于计算机网络自身存在的局限性和信息系统的脆弱性,使得计算机网络系统上的硬件资源,通信资源,软件及信息资源等因可预见或不可预见的甚至是恶意的原因而遭到破坏,更改、泄露或功能失效,使信息系统处于异常状态,甚至引起系统的崩溃瘫痪,造成巨大的经济损失。在这样的形势下,以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。计算机网络改变着人们赖以行动的社会信息结构,改变着人们获取利用信息的方式,从而引起人类生活方式的全面改观。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不正当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务,后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响[2]。一个安全的计算机网络应该具有以下几个特点:(1)可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软件无故障运行的性能。(2)可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。(3) 保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。(4)完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。

从技术角度看,网络安全的内容大体包括4个方面:

1.网络实体安全

2.软件安全

3.网络数据安全

4.网络安全管理

由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。

1.3 网络安全策略

网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息,一般来说,安全策略包括两个部分:一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想,而具体的规则用于说明什么活动 11

某中小型企业网络安全实现

是被允许的,什么活动是被禁止的。1.网络安全策略的等级网络安全策略可分为以下4个等级:(1)不把内部网络和外部网络相连,因此一切都被禁止。(2)除那些被明确允许之外,一切都被禁止。(3)除那些被明确禁止之外,一切都被允许。

(4)一切都被允许,当然也包括那些本来被禁止的。可以根据实际情况,在这4个等级之间找出符合自己的安全策略[3]。当系统自身的情况发生变化时,必须注意及时修改相应的安全策略。

1.4 本论文的主要工作简介

本文结合中小型网络安全系统建设的实例,重点研究计算机网络的安全问题,对不同的网络安全方案进行优化、集中和协同,从而尽可能的使本网络安全系统保持可扩展性、健壮性,使网络安全系统真正获得较好的结果。主要研究工作有:

1. 查找和收集网络安全相关的资料,剖析网络攻击的手段,分析影响网络安全的因素。

2.详细阐述网络安全系统设计的目标和总体规划。

3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险,提出了具体的需求和设计依据。

4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统解决方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,探讨了今后网络安全系统的发展方向。

12

某中小型企业网络安全实现

第二章 中小型公司网络安全的威胁及需求

2.1中小型企业网络系统安全分析

早在20世纪90年代,如果企业和政府机构希望能具有竞争力,他们就必须对市场需求作出强有力的响应。这就引发了依靠互联网来获取和共享信息的趋势。然而,随着经济状况在近年来所发生的转变,市场的焦点又返回到了基本的原则。目前,企业和政府领导者们都认识到,对未来增长和生产效率产生最大约束的因素就是网络安全性和可用性。

生产效率为什么如此重要呢?生产效率的提高与营业收入的增长是直接相关的:如果生产效率增长率为2.5%,那么营业收入每隔三十年就能翻一番。 如果生产效率增长率为10%,那么营业收入每隔七年就能翻一番。

近年来的经济挑战强调的是进一步提高生产效率进而推动未来增长,而基于互联网的生产效率工具则取决于网络安全性和可用性。

网络的转型

在过去,网络大多是封闭式的,因此比较容易确保其安全性。那时的安全性是取决于周边环境的,因为网络本身是一个静态的环境。周边环境是很容易定义的,网络智能是不需要的,而简单的安全性设备足以承担封堵安全性漏洞的任务。

然而,网络已经发生了变化,时至今日,确保网络安全性和可用性已经成为更加复杂的任务。市场对于网络支持居家办公方式、分支机构连通性、无线移动性和新的企业到企业战略的需求不断增加,现代的网络周边环境的封闭性已经被打破。在今天的情况下,用户每一次连接到网络之后,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品,因为他们的业务不断增长,目前所使用的针对早期、不很复杂的网络而设计的安全设备都已经无能为力了。

目前市场中所部署的多数安全解决方案都要求客户将安全功能与联网战略分离开来,这样才能应用不能识别网络的、不是针对与网络服务合作而设计的工具。这就使得此类网络极其脆弱,在现代黑客所发起的狡猾的攻击面前不堪一击。

泛滥成灾的互联网攻击

发动毁灭性网络攻击并不困难。有很多种攻击工具都可以很容易地从互联网上找到和下载。网络攻击的次数在迅速增多。据联邦调查局(FBI)统计,70%的安全犯罪都是由内部人员实施的。(然而,近期证据还表明,外部攻击的次数也在增多。)

考虑到业务的损失和生产效率的下降, 以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可以是毁灭性的。此外,严重的安全性攻击还可导致企业的公众形象的破坏、法律上的责任、乃至客户信心的丧失,并进而造成无法估量的成本损失。

隐私权与安全性立法对行业的影响

目前(美国)在医疗保健(HIPAA)、金融服务(GLBA)和零售(在线隐私权法案)等某些行业中,强制实施隐私权和安全性的联邦法案和相关规定已经作为法律颁布实行。HIPAA就是"医疗保险可移植性与可信度法案",到20xx年4月,该法案中所规定的机构都必须遵守隐私权法规。该法案中所包括的机构应该以下列方 13

某中小型企业网络安全实现

式开始自己的HIPAA规划过程:进行网络安全性分析并进行隐私权与商业策略差距分析。

正确的风险分析是保证网络环境安全的非常重要的一环,一个性能优良的安全系统结构和安全系统平台,能够以低的安全代价换得高的安全强度。下面对中小型公司的具体状况从物理层安全、网络层安全、系统层安全、数据传输安全、病毒的安全威胁[4]及管理安全进行分类描述网络系统的安全风险。

2.2物理层安全风险

因为网络物理层安全是整个网络系统安全的前提。一般的物理安全风险主要有:1.电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。2.地震、水灾、火灾等环境事故造成整个系统毁灭。3.电磁辐射可能造成数据信息被窃取或偷阅。4.不能保证几个不同机密程度网络的物理隔离。针对中小型公司物理层安全是指由于网络系统中大量地使用了网络设备如移动设备、服务器如PC服务器、交换机,那么这些设备的自身安全性也会直接影响信息系统和各种网络应用的正常运转。物理安全的威胁可以直接造成设备的损坏,系统和网络的不可用,数据的直接损坏或丢失等等[5]。为了保证中小型公司系统的物理安全,首先要保证系统满足相应的国家标准,同时对重要的网络设备采用UPS不间断稳压电源,对重要的设备如数据库服务器、中心交换机等采用双机热备份,对安全计算机电磁泄漏发射距离不符合安全距离的应采取电磁泄漏发射防护措施,对重要的通讯线路采用备份等等。

2.3网络层安全风险

1、网络边界的安全风险分析:该中小型公司校园网络由教学区网络、计算机机房网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制[6]。2、由于中小型公司中小型公司校园网络中大量使用了网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。3、网络传输的安全风险分析:中小型公司中小型公司校园网络与其他院校的远程传输安全的威胁来自如下两个方面:内部业务数据明文传送带来的威胁;线路窃听。

2.4系统层安全风险

所谓系统安全通常是指网络操作系统、应用系统的安全。系统级的安全风险分析主要针对中小型公司、校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。中小型公司、校园网络采用的操作系统[7] (主要为Windows2000server/professional,WindowsNT/Workstation,Windows ME,Windows95/98、UNIX)本身在安全方面考虑的较少,服务器、数据库的安全级别 14

某中小型企业网络安全实现

较低,存在若干安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。在中小型公司的网络系统中,包含的设备有:交换机,服务器,工作站等。在服务器上主要有操作系统、软件系统和数据库系统,交换机上也有相应的操作系统。所有的这些设备、软件系统都多多少少地存在着各种各样的漏洞,这些都是重大安全隐患。一旦被利用并攻击,将带来不可估量的损失。

2.5 病毒的安全风险

计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。它在所有破坏性设备中最具危险性,可以导致服务拒绝、破坏数据,甚至使计算机系统完全瘫痪[8]。当病毒被释放到网络环境时,其无法预测的扩散能力使它极具危险性。在中小型公司的网络系统中,传统的计算机病毒传播手段是通过存储介质进行的,师生在交换存储着数据的介质时,隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。而现代的病毒传播手段主要是通过网络实现的,一台客户机被病毒感染,迅速通过网络传染到同一网络的成百上千台机器。师生上网浏览网页、收发电子邮件,下载资料的时候,都有可能被病毒传染,这种互联网和校园内联网通讯模式下的传播方式构成了中小型公司病毒传播途径的主流。

2.6 数据传输的安全风险

由于在中小型公司内部网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录密码和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的。造成泄密或者做一些篡改来破坏数据的完整性。因此,数据在线路中传输时必须加密,同时通过认证技术及数字签名来保证数据在网上传输[9]的保密性、真实性、可靠性及完整性,以保护系统的重要信息数据的传输安全。

2.7 管理的安全风险

管理混乱、安全管理制度不健全,责权不明及缺乏可操作性等都可能引起管理安全的风险。因此,最可行的做法是管理制度和管理解决方案相结合。管理方面的安全隐患包括:内部管理人员或师生为了方便省事,设置的口令过短和过于简单,甚至不设置用户口令,导致很容易破解。责任不清,使用相同的口令、用户名,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的人员有的可能造成极大的安全风险[10]。网络安全管理是防止来自内部网络入侵的必须部分, 15

某中小型企业网络安全实现

管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的风险。即除了从技术上功夫外,还得靠安全管理来实现。随着中小型公司整个网络安全系统的建设,必须建立严格的、完整的、健全的安全管理制度。网络的安全管理制度策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。通过制度的约束,确定不同学员的网络访问权限,提高管理人员的安全防范意识,做到实时监控检测网络的活动,并在危害发生时,做到及时报警。

16

某中小型企业网络安全实现

第三章 网络安全的方案设计

3.1总体设计方案

中小型网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套“的原则进行,采用先进的”平台化“建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想:宏观上统一规划,同步开展,相互配套;在实现上分步实施,渐进获取;在具体设计中结构上一体化,标准化,平台化;安全保密功能上多级化,对信道适应多元化。针对中小型公司系统在实际运行中所面临的各种威胁,采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保中小型公司系统安全可靠的运行[11]。

3.2中小型公司网络安全系统设计

3.2.1安全体系结构网络

安全体系结构主要考虑安全机制和安全对象,安全对象主要有网络安全、信息安全、设备安全、系统安全、数据库安全、信息介质安全和计算机病毒防治等。

3.2.2安全体系层次模型

按照网络OSI[12]的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。

1.物理层。物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。

2.链路层。链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通讯等手段。

3.网络层。网络层的安全要保证网络只给授权的人员使用授权的服务,保证网络路由正确,避免被监听或拦截。

4.操作系统。操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行安全审计。

5.应用平台。应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术来增强应用平台的安全性。

6.应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯双方的认证,通讯内容安全,审计等手段。

17

某中小型企业网络安全实现

3.2.3安全体系设计

安全体系设计原则在进行计算机网络安全设计和规划时,应遵循以下原则

[13]:1.需求、风险、代价平衡分析的原则对任一网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本与被保护信息的价值必须平衡,价值仅2万元的信息如果用6万元的技术和设备去保护是一种不适当的保护。2.综合性、整体性原则运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。3.一致性原则这主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就应考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少很多。第3章网络安全系统设计4.安全、可靠性原则最大保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性;对项目实施过程实现严格的技术管理和设备的冗余配置,保证产品质量,保证系统运行的可靠性。5.先进、标准、兼容性原则先进的技术体系,标准化的技术实现。6.易操作性原则安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不会影响系统正常运行。7.适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易修改、容易适应。8.多重保护原则任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,还有其它层保护信息的安全。

网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和0S及各种应用软件等各方面、各层次的良好运行。因此,网络系统的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在当前计算机网络环境中,相对于主机环境、单机环境,安全问题变得越来越复杂和突出,所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的重要依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。

网络安全策略安全策略分为安全管理策略和安全技术实施策略两个方面:(l)管理策略第3章网络安全系统设计安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。(2)技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。

安全管理原则计算机信息系统的安全管理主要基于三个原则。1.多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。2.任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。3.职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了 18

某中小型企业网络安全实现

解或参与职责以外、与安全有关的任何事情。

安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:1、确定该系统的安全等级。根据确定的安全等级,确定安全管理的范围。2、制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。3、制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。4、制订完备的系统维护制度。维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。5、制订应急措施。要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。6、建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授第3章网络安全系统设计权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施[14]。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。

网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同[15]。物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可通过对路由器的路由表控制和对不同子网的定义来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括外网与内网等,其中Internet外网的接口要采用专用防火墙,各网络级别的接口利用物理隔离设备、防火墙、安全邮件服务器、路由器的可控路由表、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。3.3设计依据经过确切了解中小型公司信息系统需要解决哪些安全问题后,校园网网络信息系统需要解决如下安全问题:1.局域网内部的安全问题,包括网段的划分以及Vlan的实现。2.在连接Internet时,如何在网络层实现安全性。第3章网络安全系统设计3.应用系统如何保证安全性。4.如何防止黑客对主机、网络、服务器等的入侵。5.如何实现广域网信息传输的安全保密性。6.如何实现远程访问的安全性。7.如何评价网络系统的整体安全性。8.加密系统如何布置,包括建立证书管理中心、应用系统集成加密等。基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、加密通信、安全检测、攻击监控、认证、隐藏网络内部信息等。

19

某中小型企业网络安全实现

第四章 安全产品的配置与应用

4.1防病毒及特洛伊木马软件

为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络采用上机机房与办公区相分离的结构。

1.在学校机房的 WindowS2000服务器上安装瑞星杀毒软件网络版的系统中心,负责管理2000多个学生主机网点。2.在各办公室分别安装瑞星杀毒软件网络版的客户端。3.安装完瑞星杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4、网络中心负责整个校园网的升级工作。为了安全和管理的方便,由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他2000多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。在安全级别较高的子网采用的防病毒措施为:

1.客户端防毒:采用趋势科技的Officescan[16]。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受WindowS域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯W己b的部署方式。2.邮件防毒:采用趋势科技的 SacllMailforNoteS。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNoteS的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。3.服务器防毒:采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新,另一方面减少了整个防毒系统对原系统的影响,Serve少rotect产品支持WindowsNT/2000、NovellNetware,同时ServerProtect是业界第一款支持Lin吧平台的防病毒产品。

4.2动态口令身份认证方案

动态口令身份认证具有随机性、动态性、一次性、不可逆等特点,不仅保留了静态口令方便性的优点,而且很好地弥补了静态口令存在的各种缺陷。动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过数十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性[17]。特点如下:1、动态口令系统的抗截获攻击能力在动态口 20

某中小型企业网络安全实现

令认证系统的设计中,每个正确的动态口令只能使用一次。因此,不用担心口令在传输认证期间被第三方监听到。因为正确的口令在认证服务器上被认证之后,在数据库中会有相应的日志记录,这时即使再有使用这个正确口令的用户提交认证,也不能通过。动态口令系统的这个特点使得截获攻击无法实现。2、动态口令系统的抗实物解剖能力动态口令卡采用了带加密位的数据处理器,防止有人企图解算法程序从其中读出,具有很高的抗实物解剖能力。另外,由于每个用户的密钥都不相同(在初始化时随时生成),并且密钥与同口令计算有关的信息存贮在动态RAM中,当有人对其进行分析时,数据处理一旦掉电,这些密钥将消失。即使有人破译了其中的程序,由于不知道用户的密钥,以及初始化时间等相关信息,也无法正确地计算出用户实时的口令。3、动态口令系统的抗穷举攻击能力穷举攻击是破解口令时常用的攻击手段之一。这种攻击手段的特点就是大量频繁地对一个用户的口令进行反复认证。针对这一特点,在动态口令认证系统中对每一个用户在一个时段内的认证结果设计了日志记录,当发现一个用户的认证记录为多次失败时,系统将锁住这个用户的认证行为。这样也就杜绝了穷举攻击的可能性。4、系统的密钥管理和安全数据库的加密。系统安全数据库保存用户信息、用户密钥等等,这些敏感数据如果泄露,将使第三者获得合法用户的身份,因此是绝对需要保密的。我们对安全数据库均进行加密后存放在服务器上,绝对不以明码的形式出现。系统主密钥存放在系统维护员的IC卡上,只有掌握系统维护员的IC卡的人才能对这些敏感数据库进行操作。因此不掌握系统密钥的话,即使有机会接触到服务器,也无法取得各用户密钥。

本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统主要由以下几个主要模块组成[18]:认证系统管理员界面、帐号管理服务器(UAM)、RADIUS认证服务器、NAS(网络接入服务器采用带VPN功能的防火墙,例如:NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如:NOKIA防火墙软件CheekPointExpress)。VPN用户从顶temet远程访问内部网络,需要对用户身份进行认证,允许合法的用户访问网络,不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险,而采用动态口令作为密码,真正做到一次一密,即每次用户通过身份认证后本次密码立即失效。用户下次登录时,通过VPN客户端获得新的密码,并通过手机短信将新密码发送给用户。

中小型公司网络安全方案1

图4.1 动态口令身份认证系统部署方案图

21

某中小型企业网络安全实现

采用该方案后,在中小型公司的认证系统中能够实现:

1、密钥/时间双因素的身份认证机制;

2、登录口令随时间变化;

3、口令使用次数和时效自由控制,有效抵御重播攻击行为;

4、开放的应用程序接口,与应用系统方便集成;

5、使用经过国家认可的自主密码算法,具有优秀的安全性;

6、提供客户端设备与认证服务器之间的时间补偿机制,提高系和可用性

7、用户端设备设计小巧,性能稳定,使用方便;

8、提供完善灵活的安全事件日志审计和查询功能。

避免了静态口令中的不足,譬如:

1.网络数据流窃听(Sniffer)

2.认证信息截取/重放(Reeord/Rplay)

3.字典攻击

4.穷举尝试(BruteForee)

4.3访问控制:防火墙系统

防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙主要用来执行两个网络之间的访问控制策略,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术,可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。通过在网络入口点检查网络通讯数据,根据预先设定的安全规则,提供一种安全的网间网数据通讯。防火墙主要有三种类型:包过滤型、代理服务器型、全状态包过滤型。防火墙的使用是非常灵活的,可以在以太网络的任意部位进行链路上分割,构成安全的网络范围。可以用于在单位内网同外界的广域网出口上,实现对单位内网的保护;可以在内部网络上进行划分,建立局部的安全区;可以单独设置在某一台或几台重要的服务器前,对这些服务器进行安全保护。中小型公司安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本方案中,采用防火墙设备确保如科研部、财务部、教学部等重要安全域的相对独立。选购防火墙主要应从安全角度考虑,在这里效率不应成瓶颈问题,应该选购业界大公司或资深信息安全研制单位的成熟产品。在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多。防火墙是近年发展起来的重要安全技术,在中小型公司系统中其主要作用是在网络边界处检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。

边界防火墙的配置:根据网络具体流量情况,采用型号为东软NeteyeFW4120一H一XE6型上联网通线路,下联外网交换机华为6506快速以太网交换机。标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接 22

某中小型企业网络安全实现

外网和内网两个网段,第三个口可以作为预留。内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,分别与两个核心交换机相连。

核心交换机华为6505处配备一台高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处采用型号为NGFW4000一S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP即enview、Ciscoworks等,方便管理和维护。提供面向对象的服务模板功能,可以方便的定制过滤规则。支持双向地址路由功能,带宽管理功能,流量控制功能确保只允许符合网络安全策略的网络访问和网络服务,进出北京城市中小型公司系统,或进入相应安全域隔离带。防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。有效地反映网络攻击,保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口规范、带宽要求,防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和规范。防火墙要具有很高的可靠性,不会降低网络系统现有的可靠性。深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,能够实现与入侵检测设备的通讯。采用独创的最新最先进核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能[19]。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了中小型公司服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自校园网内部其它部门的网络的攻击。如果有人闯进一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。

防火墙根据系统管理者设定的安全规则保护内部网络,提供完善的安全性设置,通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理,用户身份认证等功能

23

某中小型企业网络安全实现

图4.2 防火墙系统部署方案

4.4入侵检测系统

入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。一般而言,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务,恶意使用六种类型。概括的说,入侵表示系统发生了违反系统安全策略的事件。

入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危机系统安全的行为或活动,从而保护系统的资源不受攻击、防止系统数据的泄漏、篡改和破坏。入侵检测系统是指能够通过分析与系统安全相关的数据来检测入侵活动的系统,包括入侵检测的软件和硬件的组合[20]。

从系统所执行的功能上来考虑,入侵检测系统必须包括如下三个功能部件:提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生的响应部件。“入侵检测”是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息,对这些信息加以分析,查看网络安全体系结构是否存在漏洞,主机系统和网络上是否有入侵事件发生,如果发现有入侵事件,自动对这些事件响应,同时给出相应提示。中小型公司办公部门比较多,内部网根据部门划分不同的子网网段。每个部门或子网都有一个交换机,设置网络中心,有专门的网络管理员。各个子网汇总到网络中,自连接到高性能服务器群,高性能服务器群放置在防火墙的DMZ区。根据网络流量和保护数据的重要程度,选择IDS探测器配置在内部关键子网的交换机处放置,核心交换

中小型公司网络安全方案1

24

某中小型企业网络安全实现

机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。

中小型公司网络安全方案1

图4.5 IDS部署方案图

在中小型公司安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其它部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它网络违规活动。当发现网络攻击或未授权访问时,入侵检测可以进行如下反应:

(l)控制台报警。

(2)记录网络攻击事件。

(3)实时阻断网络连接。

(4)入侵检测可以过滤和监视TCP/工P协议。系统管理员通过配置入侵检测,可以按协议,源端口,目的端口,源工P/目的工P地址过滤。

(5)入侵检测还支持用户自定义的网络安全事件监视。

(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为网络安全提供有效的保障。

4.5漏洞扫描系统

网络设备和软件在设计开发过程中不可避免存在缺陷和漏洞,漏洞随着时间推移越来越多;攻击者也从传统上的黑客高手,变成初学者用自动程序来完成攻击,这些都导致黑客攻击越来越容易实现,威胁程度越来越高。

由于网络本身及应用系统的复杂性,网络管理员失去了对网络资源的精确控制。采用网络漏洞扫描器对存在的安全隐患进行检查,帮助管理员找出解决的方法。中小型公司内网网络的安全性决定了整个系统的安全性。在中小型公司内网 25

某中小型企业网络安全实现

高性能服务器处配置网络隐患扫描联动型产品。联动型适用于中小型公司内网这样的高端用户,联动型扫描系统包括扫描服务器和移动扫描仪。扫描服务器部署于网络中心,高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活,可以跨越网段、穿透防火墙、主流IDS产品,多种主流联动协议Topsee、Opensec联动,与多种安全管理平台兼容,统一安全策略配置,保障全网安全。通过部署多级联动型产品实现榕基分布式整体安全扫描,网络管理人员可以方便的通过控制扫描器就可以实现对多级管辖区域的服务器进行统一和及时管理,实现对管辖区域服务器,网络设备等的安全性,以保证整体网络的安全性,整体可控性、整体安全资源共享。

网络人员使用联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。通过部署漏洞扫描的联动设备,保障中小型公司内网重要部门的网络安全的同时,提高每个部门的安全性就显得尤其重要。只有部门的安全得到保证的前提下,中小型公司内网才能够安全。我们对这些部门进行合理的规划,可以将这些部门根据统一的配置策略,给下属部门、网络管理应用服务系统配置网络联动扫描系统来保证各个部门的安全性。这样就可以很方便的管理信息点多、网络环境较固定、与中小型公司的业务应用紧密相关的内网中。联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络移动式扫描仪。移动式扫描仪手持式设计,使用简单、灵活,携带方便。随着网络规模的逐步庞大、复杂,各个网络之间存在着防火墙、交换机等过滤机制的存在,隐患扫描发送的数据包大部分将被这些设备过滤,降低了扫描的时效性和准确性。针对这种分布式的复杂网络,移动式扫描仪能够充分发挥自身可移动的优势,能够很好的适应这种分布式网络扫描,移动扫描,随时随处保护网络安全。

26

某中小型企业网络安全实现

图4.6 漏洞扫描系统部署方案

在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现防火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。

中小型公司网络安全方案1

27

某中小型企业网络安全实现

第五章 安全方案测试

5.1 安全管理机构的建设原则

单位安全网内网系统安全具有高度的敏感性和特殊性,通过设立专门的主管机关强制性执行上述国家相关法规来进行管理。信息安全管理机构的职能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。

能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。

5.2 企业网络安全方案测试

随着企业信息化建设的不断发展,来自网络内外的威胁也随之增加,现有防护工作频遭挑战,中小型企业网络安全处境堪忧。千里之堤毁于蚁穴,防护再严密的网络,如果有一个漏洞就会使整个网络安全防护系统崩溃。

中小型企业网络系统可能存在的安全威胁主要来自以下方面:

(1)操作系统安全漏洞的威胁。对于中小型企业,主要采用目前比较流行的操作系统,如Unix、Linux、windows server以及windows XP等,而这些操作系统均存在网络安全漏洞。

(2)应用服务系统缺乏安全考虑及设置。许多应用服务系统在访问控制及安全通讯方面考虑较少,而且如果系统设置错误,就很容易造成损失。

(3)防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。

(4)中小型企业内部网用户的安全威胁。缺乏有效的手段监视网络,评估网络系统的安全性。

(5)对来自互联网的电子邮件携带的木马、病毒或网站浏览可能存在的恶意控件缺乏有效控制

从以上网络安全隐患可以看出,制定中小型企业网络及信息安全方案,对于保持企业网络的正常运转起着至关重要的作用。

方案目标

本方案主要从技术角度探讨中小型企业的网络安全综合解决方案设计。构建安全的中小型企业的网络需要最前沿的网络安全技术。网络安全技术是一门涉及 28

某中小型企业网络安全实现

计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多学科的综合性学科,对于构建安全的中小型企业网络需要具备密码技术、访问控制与防火墙技术、入侵检测与安全审计技术、黑客与病毒防范技术、操作系统安全技术、数据库系统安全技术、数据安全技术和web安全技术等多种技术,应用这些技术,将中小型企业的网络系统设计成一个支持多部门、多级别的安全网络。

企业的网络在保证本系统内部网络安全的同时,还应该实现企业网络、行业网络或其他网络以及互联网的安全互联。本方案的目标是满足企业各级用户对网络安全的需求,包括企业内部以及企业客户的通话保密性,企业客户的计算机系统的安全保障,防止非法访问和破坏数据库,系统不被病毒和木马攻击,防止反动、淫秽等有害信息在网上传播等。

中小型企业的网络安全综合解决方案并不能杜绝所有的网络安全问题,它的作用仅在于面对日益增加的网络安全问题做到尽可能地防范,以及在受到攻击破坏后将损失降到最低。具体地说,简历中小型企业的网络安全综合解决方案主要作用有以下几点:

(1)采用多种防御技术和多层防卫手段,将受到攻击舍侵入的概率降到最低;

(2)能够迅速检测出非法用户和恶意攻击者非法初始进入网络的手段,能够记录入侵者的记录;

(3)能够提供数据备份和灾难恢复的手段,将受到攻击后的损失降到最低;

(4)对非法用户和入侵者提供查获的手段。

5.2.1 中小型企业网络病毒的防范

随着网络安全问题的日益严重,企业单纯的依靠硬件被动式杀毒的方式已经一去不复返了,在网络环境下,病毒传播扩散快,仅用简单的病毒防护产品已经很难彻底清除网络病毒。中小型企业网络是内部局域网,服务器和客户端需要不同的防病毒软件,服务器上需要一个基于服务器操作系统平台的防病毒软件,客户端需要针对单机操作系统的防病毒软件。如果企业网络与行业或Internet连接,还需要在网关上安装防病毒软件,防范来自互联网的安全问题。如果在企业网络内部使用电子邮件系统实现信息传递,还需要在邮件服务器上安装邮件防病毒软件,用来识别隐藏在电子邮件和附件中的病毒。所以中小型企业必须有适合于自身网络的全方位防病毒产品。除此之外,还要采用主动式病毒防御服务,才能建立起更为完善的病毒防护体系,全面有效控制病毒的破坏。而全方位防病毒产品与主动式病毒防御服务相结合的病毒防护体系也将成为中小型企业网络系统安全发展的必然方向。针对中小型企业网络中所有可能的病毒攻击点配置的全方位防病毒产品与主动式病毒防御服务,通过定期或不定期的自动升级,使中小型企业网络免受病毒的侵袭。

5.2.2 操作系统和应用服务器的安全体系构建

对于中小型企业,主要采用目前比较流行的操作系统,而目前流行的许多操作系统都存在网络安全漏洞,需要及时加固操作系统,建立WWW、邮件服务器、 29

某中小型企业网络安全实现

数据服务器等应用服务器的安全监测系统。在中小型企业网络的WWW服务器、邮件服务器、数据服务器等应用服务器中使用网络安全监测系统,实时跟踪、监测网络,建立保存相应记录的数据库,及时发现网络上传输的非法内容和不安全隐患,及时采取措施。

5.2.3 合理配置中小型企业网络的防火墙系统

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。对于中小型企业网络,防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可以将防火墙配置成许多不同的保护级别。允许同意访问的企业网络的人通过防火墙与数据进入自己的内部网络,同时将不允许的用户与数据拒绝在企业网络大门之外,最大限度地阻止入侵者和黑客来访问自己的网络,防止他们随意修改、移动,甚至删除企业内部网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,能防止Internet上的不安全因素蔓延到局域网内部,所以合理配置防火墙是中小型网络系统安全的重要环节。

5.2.4 采用漏洞扫描技术

解决中小型网络的安全问题,还要清楚网络中存在哪些安全隐患和脆弱点。漏洞扫描是对中小型企业的网络进行全方位的扫描,检查网络系统是否存在漏洞,如果存在,则需要马上进行修复,否则系统很容易受到伤害甚至被黑客借助漏洞进行远程控制,后果将不堪设想,所以漏洞扫描对于保护中小型企业网络安全是必不可少的。面对网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞,评估并提出写该建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能的逆补最新的安全漏洞,清楚安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络进行模拟攻击,从而暴露出网络的漏洞。

5.2.5 选用入侵检测系统

入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,入侵检测技术是一种积极主动的安全防护技术,是一种用于检测计算机网络中违反安全策略行为的技术,是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。在中小型企业网络的入侵检测系统中记录相关记录,入侵检测系统能够检测并且按照规则识别出任何不符合规则的活动,能够限制这些活动,保护网络系统的安全。入侵检测系统分为基于网络和基于主机的入侵检测系统两种类型,最好采用两种类型结合的混合型入侵检测系统,建立一套完整的主动防御体系。

总之,中小型企业的网络安全系统构建是一个系统的工程,需要综合多个方面的音色和利用防火墙技术、网络加密技术、身份证认证技术、防病毒技术、入侵检测技术等网络安全技术,而且需要仔细考虑中小型企业自身的安全需求,认 30

某中小型企业网络安全实现

真部署和严格管理,才能建立中小型企业网络安全的防御系统。

31

某中小型企业网络安全实现

第六章 网络安全技术的发展趋势

6.1 加强病毒监控

随着病毒技术的发展,病毒的宿主也越来越多,在上世纪90年代初的海湾战争中,美国中情局获悉伊拉克从法国购买了供防空系统使用的新型打印机,准备通过约旦首都安曼偷运到巴格达,美方即派特工在安曼机场用一块固化病毒芯片与打印机中的同类芯片作了调包,美军在战略空袭发起前,以遥控手段激活病毒,使其从打印机窜人主机。造成伊拉克防空指挥系统程序错乱,工作失灵,致使整个防空系统中的预警和C41系统瘫痪,为美军的空袭创造了有利的态势。在宿 主 增 多的同时,传播途径也越来越广,目前较受关注的一项病毒注人技术是利用电磁波注人病毒技术。这种技术的基本思想是把计算机病毒调制在电磁信号并向敌方计算机网络系统所在方向辐射,电磁信号通过网络中某些适当的节点进人网络,计算机病毒开始在网络中传播,产生破坏作用。所以,加强病毒监控成为网络安全的一项重要内容。

6.2 建立安全可靠的虚拟专用网

虚拟专用网(VPN)系统采用复杂的算法来加密传输的信息,使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。其工作流程大致如下:① 要保护的主机发送不加密信息到连接公共网络的虚拟专网设备;② 虚拟专网设备根据网络管理员设置的规则,确认是否需要对数据进行加密或让数据直接通过;③ 对需要加密的数据,虚拟专网设备对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密和附上数字签名;④ 虚拟专网设备加上新的数据包头,其中包括目的地虚拟专网设备需要的安全信韩立宁等网络安全现状及发展趋势息和一些初始化参数;⑤ 虚拟专网设备对加密后数据、鉴别包以及源IP地址、目标虚拟专网设备IP地址进行重新封装,重新封装后数据包通过虚拟通道在公网上传输;⑥ 当数据包到达目标虚拟专网设备时,数字签名被核对无误后数据包被解密。在 VP N 上实施了三种数据安全措施:加密,即对数据进行扰码操作,以便只有预期的接收者才能获得真实数据;鉴别,即接收者与发送者间的识别;集成,即确保数据在传输过程中不被改变。

6.3 IDS向IMD过渡

随着 黑 客 技术不断的发展,IDS的一些缺点开始暴露:误报漏报率高、没有主动防御能力,缺乏准确定位和处理机制等,人侵检测技术必将从简单的事件报警逐步向趋势预测和深人的行为分析方向过渡,有人提出了人侵防御系统(IPS,IntrusionPrevention System),在IDS监测的功能上增加了主动响应的功能,力求做到一旦发现有攻击行为,立即响应,主动切断连接。而随着人侵检测技术的进一步发展,具有大规模部署、人侵预警、精确定位以及监管结合四大典型特征的人侵管理系统(IMS,In trusionM anagementS ystem)将逐步成为安全检测技术的发展方向。IM S体 系 的一个核心技术就是对漏洞生命周期和机理的研究, 32

某中小型企业网络安全实现

在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的人侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。

6.4 UTM技术的出现

在攻击向混合化、多元化发展的今天,单一功能的防火墙或病毒防护已不能满足网络安全的要求,而基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,集防火墙,VPN、网关防病毒、IDS等多种防护手段于一体的统一威胁管理(UTM,U nifiedT hreatM anagement,)技术,对协议栈的防护,防火墙只能简单的防护第二到第四层,主要针对像IP,端口等静态的信息进行防护和控制,而UTM 的目标是除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客入侵等外部威胁起到综合检测和治理的作用,把防护上升到应用层,实现七层协议的保护。

6.5 从管理角度加强网络安全

网络安全不只是一个单纯的技术间题,而且也是一个十分重要的管理问题。安全 审 计 是对计算机系统的安全事件进行收集、记录、分析、判断,并采取相应的安全措施进行处理的过程。其基本功能是:审计对象(如用户、文件操作、操作命令等)的选择:对文件系统完整性的定期检测;审计信息的格式和输出媒体;逐出系统及报警闭值的设置与选择;审计日志及数据的安全保护等。行政 管 理 即成立专门负责计算机网络信息安全的行政管理机构,以制订和审查计算机网络的信息安全措施。确定安全措施实施的方针、政策和原则;具体组织、协调、监督、检查信息安全措施的执行。在人为造成的对信息安全的危害当中,很多是来自计算机网络信息系统内部。由于思想的懈怠和安全意识不强,给了敌方可乘之机,加强单位人员的思想教育,培养责任感也是网络安全不可或缺的一个环节。

33

某中小型企业网络安全实现

第七章 结束语

终于,几个月的毕业设计结束了。在这次的设计学习中,不仅巩固了以前学校学到的很多知识,还学到了许多新的知识。对自己所学的专业已经有了较深的认识。在设计方案中,吸取了大量书本以及网络上的知识,在大大扩展了自己知识面的同时,还认识了自己学习的专业在社会上的应用,初次把大量的知识应用到实践中去,发现了许许多多的问题,体会到了书本上学不到的东西,从实践中成长许多。真正认识到单单的理论学习是不够的,只有理论结合实践,遇到问题及时解决,吸取大量的实践经验,才对自己有莫大的帮助。计算机网络是一门很有用的学科。

通过此次的设计,使我对网络安全方面有了更深层次的了解,设计一个全方位的安全方案是非常不容易的,涉及的方面也很多,要考虑到的东西方方面面,还需要认识到各种软件和设备的配合使用与兼容性。由于在完成论文的过程中增加了自己对这方面知识的了解,使我对网络的安全方面更感兴趣了,也坚信它未来的优势,安全无止境!由于自己目前知识水平的有限,方案很多方面考虑的还不够周全,恳请老师多多指教!

34

某中小型企业网络安全实现

致 谢

这次的毕业设计已经结束了,想想设计过程中出现的问题,同学老师给予自己的帮助,都觉的很开心,再大的困难也难不倒我。这使我有了一个很大的进步。在此,我表示由衷的感谢,没有他们的帮助,我将无法顺利完成这次设计。

首先,当然要特别感谢我的指导老师,在设计期间帮我理清了思路,解答了我的许多疑问,对我的课题提出了许多改进的方案,给了我很大的帮助。使我得到很大的提高,相信这都会对自己以后的学习工作有很大的帮助,所以我真的很感谢她。还有,我要感谢和我同组的同学以及朋友,都给我提了不少的建议,帮助和提醒我。

最后,我要感谢培养我的母校-陕西邮电职业技术学院,是她培养了我们,又用合理的方法了教育了我们,使我们在理论与实践中能够合理的应用,学到了很多。

35

某中小型企业网络安全实现

参考文献

[1] 孙立民, 韩慧莲. 入侵检测技术综述[J]. 机械管理开发, 2007,(01)

[2] 薛开平, 洪佩琳, 李津生. 防火墙与入侵检测系统的自动协同[J]. 安徽电子信息职业技术学院学报, 2005,(02)

[3] 鹿建银. 认识入侵检测系统IDS[J]. 消费导刊, 2008,(09)

[4] 冯景林. 网络防火墙的安全技术[J]. 科技信息(科学教研), 2007,(13)

[5] 张徐娟, 李建民. 防火墙与入侵检测系统结合的安全模型设计[J]. 计算机与现代化, 2006,(07)

[6] 那罡. 入侵检测系统未“死”[J]. 中国计算机用户, 2006,(36)

[7] 金雪花. 浅析网络安全技术[J]. 中国科技信息, 2007,(05)

[8] 科技辞典[J]. 天津科技, 2005,(03)

[9] 梁羽. 基于NIDS的立体防御系统方案设计与探讨[J]. 民营科技, 2008,(05)

[10] 张琳, 黄仙姣. 浅谈网络安全技术[J]. 电脑知识与技术(学术交流), 2006,(11)

导师:陈永锋 导师单位:西安建筑科技大学 学位授予单位:西安建筑科技大学

[11] 刘佳.基于GPS技术的矿山排土调度系统研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[12] 延秀娟.基于面部特征的矿山井下人员身份验证技术研究[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[13] 杨桦.矿业权评估系统的研究与开发[D]. 中国优秀硕士学位论文全文数据库,2009,(10)

[14] 王明虎.基于信息网格的决策支持系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[15] 刘文芳.供应链管理中合作伙伴关系的研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[16] 王文东.陆上管线失效概率评估与软件系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[17] 吴云峰.基于Web Services的离散型企业订单管理系统的研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[18] 桑国珍.基于数据仓库技术的客户关系管理系统研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)

[19] 刘艳昌.基于协议分析的网络入侵检测技术研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)

[20] 刘琦.基于GIS技术的供应链管理模式研究[D]. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)

36

某中小型企业网络安全实现

37

某中小型企业网络安全实现

38

更多类似范文
┣ 小贷公司简介 4000字
┣ 柏奇公司简介中文 1800字
┣ 1 中国南方电网公司简介 6000字
┣ 中小型货代公司战略转型途径探讨 2700字
┣ 更多中小型公司简介范文
┗ 搜索类似范文