资源描述
个人收集整理 勿做商业用途
浅谈中小企业网络建设及安全防护
[摘要]网络建设是中小企业发展过程中十分重要的基础设施,企业网络建设应遵循统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性等原则,尤其随着企业内部网络的日益庞大及与外部网络联系的逐渐增多,办公自动化已成为企业内部运作的主流方式,数据通信的实时性、高效性、便捷性,网络资源的共享是计算机网络不断发展的前提,如何确保网络信息的纯净,网络安全如何防护则成为重要的问题。因此,一个安全可信的企业网络安全系统显得十分重要.
[关键词] 企业内部网络; 基础设施;网络安全;防病毒;防火墙;网络入侵
中小企业在发展到一定阶段的时候,通过网络建设能够可以实现企业内部相关部门及下属单位的数据共享、互联互通,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。
一、企业网络建设
1、建设原则
企业内部网络建设应遵循以下原则:统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。
统一规划:明确内部网络在规划期内的规模,确定总体需求,既能满足企业当前需求,又充分考虑将来整个网络系统的投资保护和对新应用的支持。
高可用性:要求关键网络设备具有单点失效保护,能够实现故障预警、报警,以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下,内部网络可以继续工作,不影响业务处理。
高性能:内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
高扩展性:由于内部网络是一个长期使用重要的基础设施.日后随着企业规模扩大和业务量的增长,对内部网络性能的需求可能会超出预期,当内部网络的处理能力不够时,要求可以在原有网络架构的基础上实现灵活扩展.这要求网络设备必须符合国际标准和支持业界统一标准的相关接口,选择广泛应用的网络标准协议,能够与各级下属单位网络、ISP网络以及其他相关网络实现可靠的互联.
高安全性:具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。
高可维护性:维护便捷简单,尽量减少设备死机检修时间,特别是减少进行故障修复、网络扩展和变更时的死机时间,能够提供友好、全面的监控工具,减少网络管理的漏洞风险,增强网络管理维护性能.文档为个人收集整理,来源于网络个人收集整理,勿做商业用途
2、局域网的组建
局域网是计算机网络的一种,它覆盖地理范围是有限的,适用于公司、机关、校园、工厂等有限范围内的计算机、终端与各类信息处理设备连网的需求,它能提供高数据传输速率(10Mbps~10Gbps)、低误码率的高质量数据传输环境,易于建立、维护、扩展。
企业网络应分为内部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络,本文从宏观的方面为我们介绍了中小型企业在组建网络时内部网络、外部网络及实际的应用,在中小型企业组网过程中有很重要的参考作用.
近年来,随着互联网在我国的迅速发展,产生了很多宽带接入技术,其中ADSL在众多宽带技术中脱颖而出,在很多不同的应用环境中出现,ADSL利用原有的电话系统进行高速的数据传输,不需要重新布线,具有很高的灵活性,通过这种技术,我们的企业可以实现各种不同的应用,且费用低廉。企业组网要根据企业要求来选择局域网的构建方法。
对局域网进行分类经常采用以下方法:按拓扑结构分类、按传输介质分类、按访问介质分类和按网络操作系统分类。
(1)按拓扑结构分类
局域网经常采用总线型、环型、星型和混和型拓扑结构,因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。这种分类方法反映的是网络采用的哪种拓扑结构,是最常用的分类方法。
(2)按传输介质分类
局域网上常用的传输介质有同轴电缆、双绞线、光缆等,因此可以氢局域网分为同轴电缆局域网、双绞线局域和光纤局域网。若采用无线电波,微波,则可以称为无线局域网.
(3)按访问传输介质的方法分类
传输介质提供了二台或多台计算机互连并进行信息传输的通道。在局域网上,经常是在一条传输介质上连有多台计算机,如总线型和环型局域网,大家共享使用一条传输介质,而一条传输介质在某一时间内只能被一台计算机所使用,那么在某一时刻到底谁能使用或访问传输介质呢?这就需要有一个共同遵守的方法或原则来控制、协调各计算机对传输介质的同时访问,这种方法,这种方法就是协议或称为介质访问控制方法.目前,在局域网中常用的传输介质访问方法有:以太(Ethernet)方法、令牌(Token Ring)、FDDE方法、异步传输模式(ATM)方法等,因此可以把局域网分为以太网(Ethernet)、令牌网(Token Ring)、FDDE网、ATM网等。
(4)按网络操作系统分类
局域网的工作是局域网操作系统控制之下进行的.正如微机上的DOS、UNIX、WINDOWS、OS/2、等不同操作系统一样,局域网上也有多种网络操作系统。网络操作系统决定网络的功能、服务性能等,因此可以把局域网按其所使用的网络操作系统进行分类,如Novell公司的Netware网,3COM公司的3+OPEN网,Microsoft公司的Windows NT网,IBM公司的LAN Manager网,BANYAN公司的VINES网等.
(5)其他分类方法
按数据的传输速度分类,可分为10Mbps局域网、100Mbps局域网、155Mbps局域网、千兆局域网等,按信息的交换方式分类,可分为交换式局域网、共享式局域网等。
二、网络实际应用
根据企业规模、网络系统的复杂程度、网络应用的程度,用户对于网络的需求各不相同,从简单的文件共享、办公自动化,到复杂的电子商务、ERP等等,在此对中小企业的一般应用做一些探讨.
1、最简配置
对于网络最简单的应用,就是将若干个计算机连接起来,组成对等的网络,计算机之间可以相互之间共享资源,如果其中一台计算机安装了打印机、MODEM等,其余计算机可以通过网络系统,共享打印机和MODEM,进行文件打印、上网查询等,利用相应的软件,可以完成定单管理、信息查询、数据统计等。其网络拓扑结构可以表示为,在PC服务器上,可以安装PROXY、防火墙等网络管理软件,用以防范外部的攻击、对内部员工进行授权等,而用户数量的增加只是体现端口的增加,可以采用堆叠、级联、使用高密度端口网络节点设备来实现。如果在工作中需要大量或者实时的数据通讯,可以用以太网交换机替代集线器,例如在工作中需要处理多媒体或进行图形设计等场合。
2、一般性应用
对于已经上了一定规模,在内部已经有了几个部门的企业,如果所有部门的用户无差别地处于对等网中,不仅使许多敏感数据容易被无关人员获取,而且部门内的大量通讯,也会占用大量的网络资源,使整个网络的效率变低,甚至引起崩溃.为了克服这个问题,需要将经常进行通讯(通常在同一个部门内)的计算机组成一个子网,使大量的内部数据局限在子网内传播,然后将各个子网连接在一起,形成局域网。
对于比较大的应用场合,除了网管服务器外,推荐采用专门的服务器进行数据库管理、文件管理,同时作为网络管理主机,可以进行权限限定、子网划分等,也可以将MIS、ERP,甚至网页等系统放入服务器。如果采用DDN与广域网连接,还可以装载电子邮件服务程序。
在中心使用交换机,以提高整个网络的性能和速度,各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门,例如财务部门,可以考虑使用部门服务器,存放重要数据,并运行防火墙程序,屏蔽非法的访问.而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备,可以根据需要放置在中心或相应部门;而在内部需要大量数据传输的部门,可以采用交换机替代集线器作为部门的网络节点。
3、分支机构
当企业进一步发展,可能需要建立分支机构,在地理上具有一定距离的分公司,依然需要在企业内部进行信息共享,实现办公自动化。分支机构与总部连接有许多方式,但形式基本相似.
在方案中,分支机构通过路由器,与总部的路由器建立点到点的连接,连接方式可以采用DDN,也可以采用ISDN/MODEM通过拨号连接,此时总部的路由器作为拨入端使用.如果分支机构采用DDN与总部连接,虽然两个网在地理上有距离,但在网络中可以看成是一个网络,同时分支机构也可以通过ISDN/MODEM直接访问互联网;如果采用ISDN/MODEM与总部连接,则无法同时通过ISDN/MODEM连接互联网。总部的路由器除使用一个广域网端口或备份接口与分支机构连接外,还可以同时使用另一个广域网接口连接广域网,为整个企业提供对外接口。
如果分支结构与总部在一个城市,则采用ISDN/MODM,甚至DDN,都可以为许多企业所接受;如果分布在两个城市,则分支机构也可以连到互联网上,与总部通过VPN方式进行连接,可以节省许多费用,也能保证安全性,但在实时性上有所降低
三、网络安全个人收集整理,勿做商业用途文档为个人收集整理,来源于网络
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全,通常定义为网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1、网络安全方案的基本设计原则
1。1综合性、整体性原则。
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等).一个较好的安全措施往往是多种方法适当综合的应用结果.一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
1.2需求、风险、代价平衡的原则。
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
1。3分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加.一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需要,亦可节省费用开支。
2、局域网的安全威胁
2。1 局域网安全定义:
局域网安全是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。
2.2局域网病毒特点:
⑴、可传播性:病毒传播速度快,传播方式主要为两种:a:单机模式下主要是通过移动存储设备进行病毒传播。b:网络模式下,由于通过服务器连接电脑,为病毒传播提供较好的传播途径,在网内的每一个计算机只要有一个感染病毒,其他则计算机都会相继感染中毒,网络是病毒繁殖、传播的绝佳环境。
⑵、可执行性:一旦感染了病毒,不用激活,立即运行。
⑶、破坏性:病毒破坏性很大,小则导致终端计算机蓝屏、死机等;大则导致计算机内部数据被破坏甚至整个网络瘫痪。局域网内感染病毒,主要体现在传输速率减慢,计算机操作速度减慢,硬盘空间莫名减小,应用软件被禁用等等。
⑷、隐蔽性:一般病毒不易被发现,也不易彻底清除.
2.3企业内部病毒传播途径分析
⑴、移动存储设备的使用:使用前不能做好病毒查杀的工作就进行数据的读写操作,这就使得木马、蠕虫等病毒广泛传播。
⑵、邮件传播:企业内部数据通讯最好的体现就是邮箱的使用,但由于发邮件的计算机中病毒,不可避免的就可将所发送邮件感染,导致病毒传播。
⑶、一机多网,交替使用:企业内部个别部门存在特殊性,往往存在一机多用的情况,例如,某公司财务部门,其部门内部有单独的财务网、外网而且也包括公司的局域网,根据需要不定时的切换不同网络使用,也是病毒传播的来源之一。
⑷、服务器的病毒防护:企业内部局域网是通过服务器连接进行数据传递的,一台电脑感染病毒,如果服务器没有病毒防护,则一旦这台感染病毒的计算机进行数据传递,则会导致服务器感染病毒,继而就有可能扩散到其他网内通过服务器传递数据的计算机。个人收集整理,勿做商业用途本文为互联网收集,请勿用作商业用途
3、广域网的安全威胁
网路入侵的定义首先是由Anderson在1980年提出的,他认为所谓的网路入侵是指其他未被授权的人对计算机网络内的信息进行修改,复制等处理行为以及故意破坏计算机网络系统安全及可靠性的行为.网络入侵者通常有以下步骤进行入侵:
3。1信息收集,信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集,如用SNWP协议可用来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可到达等。
3。2探测分析系统的安全弱点,在收集到目标的相关信息以后,黑客会探测网络上的每一台主机,以寻求系统的安全漏洞或安全弱点,黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务,其次使用一些公开的工具软件如Internet安全扫描程序ISS、两络安全分析工具SATAN等来对整个网络或子网进行扫描,寻求系统的安全漏洞,获取攻击目标系统的非法访问权。
3.3实施攻击在获得了目标系统的非法访问权以后,黑客一般会实施以下的攻击:试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统:在目标系统安装探测器软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如帐号与口令等敏感数据;进一步发现目标系统的信任等级,以展开对整个系统的攻击;如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以至破坏整个网络系统,那么后果将不堪设想,黑客攻击通常采用以下几种典型的攻击方式:密码破解、IP欺骗(Spoofing)与嗅探(Sniffing),系统漏洞,端口扫描。
四、网络安全防护措施
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的产品,已经充斥了整个网络世界。在网络安全领域,随着黑客应用技术的不断“傻瓜化",入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然。一个安全的计算机网络应该具有可靠性、真实性、完整性、保密性等特点,为了保证网络的信息的纯净度,网络运行的流畅,就要保护计算机设备安全、数据安全。
1局域网安全防护
1。1切断网络病毒传染源及传播途径
由于移动存储设备便于携带,使用方便,成为企业员工辅助工作的好帮手,但是存储设备的使用相对于企业局域网来说是病毒广泛传播的源头之一,经常有刚刚将u盘连接到计算机就出现黑屏、蓝屏等现象,导致计算机无法使用,数据丢失.
企业内部应该合理的限制移动存储设备的使用数量,建议将大部分电脑u口封闭,其余u口开放的用户做好防护措施,安装专杀工具,定期升级。使用移动存储设备前要先查杀病毒,防止病毒入侵。
1.2安装网络杀毒软件
安装杀毒软件是必备的防病毒入侵手段,我公司现阶段使用的是卡巴斯基工作站版杀毒软件及卡巴斯基服务器版杀毒软件,现使用情况表明此款软件更新快,杀毒较为彻底,能实现远程控制、集中管理,做到有效的病毒查杀与防护。
1。3做好网路监控管理
安排专人进行网络监控管理,实时监控网络运行状态,发现异常,应进行干预、中断,查找原因.网络管理人员应具备较高的警觉性,了解网络系统所使用的系统软件、应用软件,以及硬件中可能存在的安全漏洞,做到发现问题及时解决,尽快的时间内还原良好的网络运行状态.
1.4 做好数据备份
主要数据及时备份,建议做好一键还原设置,以备不时之需。
1.5做好相关服务器的权限设置
由于网络连接需要服务器做为数据中转站,而企业内部发布信息资源共享的服务器应设置权限使用,有专门维护人员进行维护,定期检测。
1.6做好网络维护,防止ip盗用
网络监控中常常发现ip冲突,有效解决办法即绑定ip地址,使网内计算机ip地址与其MCA地址唯一对应,将空闲ip地址封闭,防止网络盗用,限制其他非网络用户私自接网,增加病毒传播的可能性。
1。7防火墙的使用
防火墙通常安装在单独的计算机上,将局域网与外部网相互隔离,限制网络互访防止信息资料泄露.局域网通常安装网络防火墙,主要用来防止整个网络出现外来病毒入侵.防火墙提供功能有两个:一个是阻止,另一个是允许,但大多数情况下采用阻止功能。个人收集整理,勿做商业用途个人收集整理,勿做商业用途
2、网络入侵检测分类及技术分析常规而言,计算机网络入侵检测按照检测的方法来分的话,分为两类,其一是误用检测,另一类是异常入侵检测。误用入侵检测实际上是特征检测,旨在按照确定的攻击技巧来建立对应的攻击特征库,然后用户以及系统可将特征库中的攻击模式进行比较,确定有无入侵发生。而异常检测则定义入侵检测行为和正常的行为不同,因此,对正常特征库进行定义以及更新是异常检测的关键技术。
2.1 异常检测
实际上,异常检测实际上是行为检测,必须假定所有入侵行为均为异常。通常要建立系统以及用户正常的行为特征库,然后利用此来比较用户以及系统的行为是否与之不同,如果不同,则判定为入侵.
2。2误用入侵检测
误用入侵检测一般而言,有专家系统、模式匹配与协议分析,基于模型、键盘监控、模型推理、状态转换分析、Petri网状态转换等方法。
1)基于专家系统的误用检测方法
现今很多入侵检测都采用的是此类方法,其原理是将入侵行为进行专门的编码,然后制定成相应的专家系统规则,各个规则均鉴于“ 条件THEN动作”的形式,任何一个条件触发,专家系统立即采取相关动作进行处理。
2)基于状态转换分析的误用检测方法
所谓状态转换分析,系指把攻击行为表征为被监控的状态转移,根据此状态转移条件来判定各种攻击状态,攻击状态以及行为和记录无需对应。
2.3基于人工免疫的入侵检测模型
2。3.1人工免疫的入侵检测模型概述
随着计算机网络技术的不断革新,新型的网络入侵检测技术也应运而生.当前基于免疫学的入侵检测是入侵检测领域研究的重点.在解决病症、问题方面,计算机安全系统与生物免疫系统十分类似,免疫系统旨在保护自身不受病原的侵害,而计算机安全系统旨在不让病毒入侵电脑。正因如此,随着仿生学的发展,学者不断从免疫系统的研究中总结出一套全新的基于人工免疫的入侵检测系统。人工免疫系统处理技术实际上是分析、利用生物免疫系统中的原理,来处理计算机以及各种智能机械问题的核心技术,也是一个跨学科的研究方向,是集生物学、仿生学、计算机应用科学等等各种学科高科技领域.将生物免疫系统应用于计算机入侵检测中,必须三个方面的程序,即定义自身、生成检测器以及检测入侵。所谓定义自身,即将系统的正常行为模式定义成本体,然后建立本体特征库。所谓生成检测器,分为成熟检测器和未成熟检测器,首先生成为成熟检测器,将检测器宇本体模式进行免疫,若不匹配则自动生成成熟检测器,若匹配,则本体免疫,删除检测器。在检测入侵过程中,如果检测器和出现的某些行为发生吻合,则该行为模式为入侵行为,与此同时,系统可自动采取应急措施来处理入侵行为。
2.3.2特点
1)动态性
人工免疫检测模式在定义本体是一个循序渐进的过程,在用户和系统运行的过程中进行不断的更新和完善,所以该模式具备动态能动性,随着协同刺激机制的引入,免疫程序以及成熟免疫程序也会进行不断变化,充分体现系统的动态性。
2)自适应性
对于以前的入侵检测技术而言,都是定义入侵模式而言的,然后将其相应的模式与定义模式进行对比,使得系统的适应性极差,如果病毒进行变种攻击,系统有时候不能进行良好地检测,再加上计算机系统十分动态,使得传统入侵检测技术很难精准地达到高水平检测效果.而人工免疫入侵检测模型具备动态性,能适应病毒的变种以及各种变相的入侵行为,自身适应效果非常强大。
随着经济一体化和全球化的发展,企业越来越多的融入各种各样的网络中。计算机网络中蕴含的丰富资源,无论对企业管理还是经济增长都起着一定的作用。因此,企业网络建设显得极为突出,尤其是网络安全防护,总之,企业网络建设和安全防护是一个系统的工程,不能仅仅依靠某一个单项的防护系统,而应根据企业自身网络系统的安全需求,并将各种安全技术结合在一起,才能保障网络系统安全。
参考文献:
[1] 彭澎 吴震瑞 等编著《计算机网络教程》(第三版) 机械工业出版社 2007.11.9
[2]胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室,电子教材,2005
[3] 卓新建 郑康锋 辛阳编著《计算机病毒原理与防治》 (第二版)水利水电出版社 2004。4。1
[4] 朱卫东著《计算机安全基础教程》 清华大学出版社,北京大学出版社 2009.9
[5]陈家琪.计算机网络安全。上海理工大学,电子教材,2005
[6]赵治国,谭敏生,简晓红,等.基于免疫原理的层次入侵检测模型[J]。计算机工程与设计,2O07,28(4):803—807.
[7]邹小花.基于人工免疫原理的入侵检测模型研究[J].电脑知识与技术,2008,4(28):78—80。
[8]肖人彬,王磊。人工免疫系统:原理、模型、分析及展望[J]。计算机学报,2002,12(25):1281-1291.
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
