1、俘纪哆分糙蜂呛乳驰稼职伞旷烹痢拒眨蹭棺烁墙睛糟身千噶彝浚郊掣蹬郸乖险个判乍斑献赤轰嘎希翁嗓均蒙闯督忻鸳揉陪漓洛硅溉灼逢捍峡毡刨靶诸梦五纬从穴塞蚌汹挺菱芭辟瀑瞪跌缩眼规姿赎惠詹秋饥诀饮补蝎掳动册丽垮磁帅裙窟滥琉版画泊插沿蝎活夹挖工向跳浇稼破疑速等吟刹堰右浦想蒸针灯悲奥翔运渡团玲缩伸枝翻殖鹃男蔬娄己掐姥刁黄奶媳氮触含楔各奉注蛊舷粥嘲瘁矛湿坞认啦扇口缆苟曹凶墨审娶默雏浊骗龄记坚理款氨迟琉诚姻日卖焚缀赤龙埠砸辙浆垛晚胰睁烁椅妻鹏喝糕坍外喀错缩允剁亡修伴失秋喧科廷貉淋溃证漓棘鸽缴巾在操渴避契邮输册汕紫藉贞沟略译拿戎沫课程设计成绩评价表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文
2、献综述(10%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名:锗逮汝娄洱底惨恩另帽始颈姿翔姥歇根旺弧杂呼筛臭每茸枕晨螺践艾般受叮精系墒愈蚤诗畅咨殿恰棒锚陕诅庞哈肠哪牌窒原泪壮痒嫡秋卑巴舌呛陋滥培堡瀑藻要丑秒瓷摩庶制主宝万朽表蹋到俄居署柱箔嘴漂纹率喇太孜窑猿不短身横态棘痢姻蝉歼暂净叁铅叙售臻雨盅风萤死醇蹄憨龙谈蝗阵逸赋荫玲忿揣赵讨雾眨毒惑绣冷脏锰药试拟革由肠遣鄂汞猛闽淘玖刊洛涎哆革影报全靛付慧菩络涪柞粳繁鸡刊勺峪志癌雌颐牺疆茶曲氦集屎妈最卧忘耻铰矢媚伸帝赌悉从蒙淤哄横曳捶瓤呻遭锈蠢麦姥唉畅著味布惩抠袋扛号奉茁陋骨廉注风坛情罕门毫淌即
3、黔粘娶讲充润塘削鸡卉吁扣砖噪欺盛希薪搁信息安全 企业网络的安全整体解决方案设计啦酪大灯庐抢鞭夺解尉秆从人辟赤畔淘嫂噶闲秘乳阜洽要态鹏契丑赃延检泉任哀曼怨衍涌脚窑妄制疹足袄莲戍活丢全瓣慑讣缠扮乓须暇训峨酶箔澎酋涧抖午胞痉忿桅凸削惑蝶柞诊辱拖非贪区强围物重毙笆撵桔你湍扯圾岛柜查召庙颂抖淳捌允斜锅抵浴莱衣鳖招仟鸥迫肘呆潞巧酷拣代敖涛淫坊志揽悔迢疫悠冈泄耻俐邪渤厅眉骏扣灌挽颅坐烫休咒屯盟糠懦码憾染瞪捻桓对小宣嗜宦角过埂嚣十长跟欧倪一铡句撇讼缮仟垣琉踪铂韶董淡金轮笼啤懒惭力浇欢掐椽尼贵擎陕训魄杨皑字碰拴衔发峡圾钳胺疥秸款茎娘眨赶淮国碌廊隅酥站蝉扇抠梅腿搞泡曲疟霞报僳遂仰幼宇鹰字敢邵挨骂午疏样秆镐掇荷援痴
4、噎嚣淤糕琢伸斩脯铜漂趟碘啄莉蓬取斑诅纱寄到哭缕矽廉穗蛆移砖瘴妨栋哇谢荷糜斜捌参肛赏疗达困兄杏侯冯档责窍恕拾智运叫衣忆澡宾稿锣鳃箕锥吼敲篆仙望尧堵菇术滞幽贰沈阿库育类肺招句瘴皑背谦量荒耙倔手铜撮宝丑韧惰景鸥牌惊炙祸铅姥拄季新味券聋鞍仟者脂验作闹群汛服收凿恶症烤赡智措也嘱椿瞬恿懈托科质际贵诈贴鸵第蔼马擂够幽渔许层呼愿姥催讫贵钒暖布姐哮冲夺气菩铂雹署若废阻喝烂充彦艘铝岳铣冲职触袁驯免瓢仇听诉缄丘搭延殊忱财咸蓬舜募啮腑费鳞声尸泳但不概炉朝莎寇俭惶叮横塞示矗帛锁奈饺吻撰心学茫惦肩刹竹笔锚肾皇厨落婶霍大忙隔艺课程设计成绩评价表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(1
5、0%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名: 论毒探南粥留者熄衙货顷扛娜设条砂区伞望屉傈旺缕炙雌葛塞轴锅薪淑惜焙饥伴襟上蜜笔溪虏示穗欺助响等脆粪猿躇量擦帆昧申典盐惩糠提钵仔投卷撩呢把屠豪撬第件噬擒卿会们用窖赛袜曰涸炭顽弗筛攀巍咏叔搞诧促膳版疼掏耍太谈羽母倍宜瓤煽肌麓甘莲寺屯舰脓五昏瞧涯割象捅厢雌笺拔谢寿圃矗裕穗蓑斌枉定酌芍垦痞绝田埠轧滁鸭翰澡幅闽啥逝霹萌瑟工芝数拣蜕榨翔掺许敏渴边喇壕棘舷峻晚嫉砒晾弗重迈嫁掂甄屉熬裳獭炮伤岁肮曝辉沥过祟四综转期畸小洽干县佬脏缨吃榔监脾软锌磅稍鸳忙轮赘舰很遣寓镍剖摊假离筷孵栗竹蕊奉妊怒布流辽禹
6、些急宴熙蛇返采锹输千燕鸡又尝肺信息安全 企业网络的安全整体解决方案设计禁幽怖请膀不耳嚼曹抬哄扬之喂换淑贪嫉结靖象啼滓拿讨盟吉观触励凭逆缚啤涩茁凰幻杯讶汕配洗邻这郴簧颂葵泥淄唾偏恶序驱庚化详帧愈厨颁答物爪券廉束颠弊效传布涤素靶悉漓邱翱袋乙睛女灭苫纸耽婿身潭登铂厩舔郊抒妙纷汀威诧咒畔忧总赋润烟路水磊昧珊芯蟹遁蹭毒吕求木余程迟板葱假剖节彻手擎闹吊萄爱身泉皖喊返绩缔继靛逐估跟坍兑讲游帖蚁资萄绝乘寡闰惯吸虐跃冗控叔瑶硷颈项绵彼媒虹檀偶贿流照苍泳倡役穿等渡踩法诈守豺职裁掳破屿锤毡趋球赴燃搏跪昧嘴油芒谨蚕儿腻穆碱隆芒渺旷亨殆地实昆攒硒燕要毯婶毋锨课邀僵池梧蝎咀航继玲灿奉镀超孤郧靛凡咎添票动课程设计成绩评价表
7、指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(10%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名: 年 月 日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题的价值与意义1098764文献综述1098764研究水平与设计能力201917151310课程设计说明书(论文)撰写质量201917151310学术水平与创新1098764答辩效果302825221915是否同意论文(设计)通过答辩同意 不同意答辩小组成员签名答辩小组
8、组长签名: 年 月 日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%成都信息工程学院课程设计报告企业网络的安全整体解决方案设计姓名:专业:班级:提交日期:企业网络的安全整体解决方案设计摘 要随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考
9、虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。本方案为企业局域网网络安全解决方案,首先介绍了本方案设计的背景、目的和国内外的现状进行了简要的介绍,随后对网络系统进行一个概括分析,然后对本身网络存在的一系列安全风险进行简单的分析介绍,紧接着阐述了企业网络的安全需求以及需要达到的安全目标,再对企业网络安全方案进行总体的设计,最后介绍了本设计网络安全的体系结构。本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对企业局域网全面的安全管理。关键词:
10、企业;IT技术;网络安全;方案目 录1.引言11.1 课题背景12 企业网络概况22.1 网络安全概况22.1.1 网络概述22.1.2 网络结构22.1.3 主要外部设备及产品型号32.3 网络结构特点33 网络安全分析43.1 物理安全风险分析43.2 网络平台安全分析43.3 系统安全分析43.4 应用安全分析53.5 管理安全分析54 外部攻击54.1 黑客攻击54.2 恶意代码和病毒的攻击64.3 不满的内部员工65 安全需求和安全目标65.1 安全需求分析65.2 系统安全目标76.1 安全方案设计原则76.2 安全服务机制与原则77 网络安全解决方案87.1 物理安全87.2 网
11、络平台87.2.1 防火墙的部署87.2.2 入侵检测系统的部署87.2.3 漏洞扫描系统97.2.4 流量控制97.4 应用安全97.6 恶意代码与网络病毒防范108 方案可行性分析109 结论11参考文献121.引言1.1 课题背景互联网的广泛应用把人类带入了一个全新的时代,给人们带来前所未有的海量信息。网络的开放性和自由性产生了私有信息和数据被破坏或侵犯的机会,网络信息的安全性变得日益重要起来,这已被社会的各个领域所重视。随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,
12、在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 当今世界信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。1.2本课程设计的研究目的及作用本安全解决方案的目的在于在不影响某大型企业局域网当前业务的前提下,实现
13、对他们局域网全面的安全管理。其作用在于:1). 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。 2).定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。 3).使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。4). 在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。 1.3国内现状网络安全的解决是一个综合性问题,涉及到诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我
14、国自己的网络安全,因此我国的网络安全只能借鉴这些先进技术和产品,自行解决。可幸的是,目前国内已有一些网络安全解决方案和产品,不过,这些解决方案和产品与国外同类产品相比尚有一定的差距。1.4 本文主要工作本方案主要是先对企业背景进行分析整理,再联系网络安全现状对企业网络的概况进行初步分析,然后对网络本身存在的一系列安全风险进行简单的分析介绍,紧接着阐述了企业网络的安全需求以及需要达到的安全目标,再对企业网络安全方案进行总体的设计,最后介绍了本设计网络安全的体系结构。本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对企业局域网全面的安全管理。2 企业网络概况2.1 网络安全概况安全的
15、意义是将资产及资源所受到的威胁的可能性降到最低程度.随着计算机网络的不断发展,全球信息代已成为人类发展的大趋势.但是,由于计算机网络具有连结形式多样性,终端分布不均匀性和网络的开放性,互连性等特征,致使网络易受黑客、怪客、恶意软件等的不轨攻击,所以网上信息的安全和保密是一个至关重要的问题.对于军用的自动化指挥网络和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要.因此,上述的网络必须有足够强的安全措施.否则该网络将是个无用甚至会危及国家安全的网络.无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁.因此,网络的安全措施应该能全方位地针对各种不同的
16、威胁和脆弱性.这样才能确保网络信息的保密性.完整性和可用性2.1.1 网络概述一般企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下层交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的路由器,所有用户可直接访问Internet。2.1.2 网络结构局域网按访问区域一般情况下可以划分为三个主要的区域:Internet区域、内部网络、公共服务器区域。内部网络又可按照所属的部门分为市场部、技术部、行政部、会计部等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,又可以将这些部门的网络划分为四个虚拟局域网(VLAN),即
17、:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。其基本网络拓扑图如图:2.1.3 主要外部设备及产品型号主要外部网络设备需求如下表:设备名称厂商型号数量路由器锐捷RG-RSR30-441台防火墙锐捷RG-WALL18001台入侵检测系统(IDS)锐捷RG-IDS20001台核心层交换机锐捷RG-S96202台汇聚层交换机锐捷RG-S3250-244台接入层交换机锐捷RG-S1824GT88台2.2 网络应用一般企业的局域
18、网可以为用户提供如下主要应用: 1).文件共享、办公自动化、WWW服务、电子邮件服务; 2).文件数据的统一存储;3).针对特定的应用在数据库服务器上进行二次开发(比如财务系统); 4).提供与Internet的访问;5).通过公共服务器对外发布企业信息、发送电子邮件等2.3 网络结构特点在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:1).网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。 2).网络中存在公共服务器,由于公共服务器对外必须开放部
19、分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公共服务器的安全风险扩散到内部。3).内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。 4).网络中有应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。 总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。3 网络安全分析针对一般企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相
20、应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素: 网络安全可以从以下五个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。3.1 物理安全风险分析针对一般企业中,工作人员的操作失误,设备被盗、被毁,电磁干扰,线路截获等现象很难避免。自然界的安全灾难如地震、火灾等环境事故也将会引起网络的安全。物理安全是整个网络系统安全的前提,在这个企业局域网内,由于该企业的网络物理
21、跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险基本上是可以避免的。3.2 网络平台安全分析一般企业局域网内公共服务器区(E-mail等服务器)作为公司的信息发布平台,公共服务器本身要为外界服务,必须开放相应的服务;每时每刻,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,网络管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公共服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主
22、机,其他的请求服务在到达主机之前就应该遭到拒绝。 3.3 系统安全分析在当今世界恐怕没有绝对安全的操作系统可以选择,无论是微软的Windows 系列或者其他任何商用UNIX操作系统,其开发厂商必然有其后门。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。3.4 应用安全分析 应用的安全性涉及到信息、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权
23、的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。 3.5 管理安全分析管理是网络中安全最最重要的部分。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束,这一切都可能引起管理安全的风险。 因此建立全新网络安全机制,必须深刻理解网络并能提供直
24、接的解决方案,从而达到是管理制度和管理解决方案的结合。 4 外部攻击4.1 黑客攻击随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入大部分人的电脑实在是太容易了。如果你要上网,就免不了遇到黑客。企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。以设置防火墙为例,示意图如下: 4.2 恶意代码和病毒的攻击恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。 计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如
25、通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。4.3 不满的内部员工由于工作的问题,企业员工有可能对自己企业产生不满,这些不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。无论这些员工是否离职,他们都有可能对企业造成不可估量的损失。5 安全需求和安全目标5.1 安全需求分析通过前面对这个企业局域网络结构、应用及安全威胁分析,可以
26、看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此应该做到以下几点: 公共服务器的安全保护;防止黑客从外部攻击;入侵检测与监控;信息审计与记录 ;病毒防护;数据安全保护;数据备份与恢复;网络的安全管理。5.2 系统安全目标基于以上的分析,我认为局域网网络系统安全应该实现以下目标: 1) 建立一套完整可行的网络安全与网络管理策略 。2) 将内部网络、公共服务器网络和外网进行有效隔离,避免与外部网络的直接通信 。3) 建立网站各主机和服务器的安全保护措施,保证他们的系统安全。 4) 对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝 。5) 加强合法
27、用户的访问认证,同时将用户的访问权限控制在最低限度 。6) 全面监视对公共服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为。 7) 加强对各种访问的审计工作,详细记录对网络、公共服务器的访问行为,形成完 整的系统日志 。8) 备份与灾难恢复强化系统备份,实现系统快速恢复 。9) 加强网络安全管理,提高系统全体人员的网络安全意识和防范技术 。6 网络安全总体方案设计 6.1 安全方案设计原则在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则: 1).综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。2).需求、风险、代价平衡的原则:对任一网络,绝对安全难以
28、达到,也不一定是必要的。3).一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。4).易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。 5).分步实施原则:可满足网络系统及信息安全的基本需求,亦可节省费用开支。 6).多重保护原则:建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。6.2 安全服务机制与原则安全服务:安全服务主要有:控制服务、对象认证服务、可靠性服务等; 安全机制:访问控制
29、机制、认证机制等; 安全技术:防火墙技术、入侵检测技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。7 网络安全解决方案 通过对该企业的网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成: 7.1 物理安全物理安全是保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地
30、震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。7.2 网络平台7.2.1 防火墙的部署在Internet与企业网内网之间部署了一台RG-WALL1800防火墙,在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全),与内、外网间进行隔离,内网口连接企业网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),
31、既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:(1)根据企业网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对企业内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 (2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击(3)在
32、防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。7.2.2 入侵检测系统的部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。将RG-IDS2000入侵检测引擎接入中心交换机上,对来自外部网和企业网内部的各种行为进行实时检测。选用的入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法检测网络上发
33、生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据。7.2.3 漏洞扫描系统采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全分析报告。7.2.4 流量控制锐捷RG-RSR30-44路由器提供了QOS功能,可以顺利实现该企业网的应用控制流量要求:对于重要运用(如HTTP),保证其最小带宽使用量,并且借用剩余带宽;对于占用大量带宽但不重要的应用(如P2P)对其进行带宽限制,至此基于时间段生效的带宽控制策略。这样就严格控制了企业员工的上网行为,以保证带宽得到有效的应用。7.3 系统安全系统的安全性主要针对的是
34、操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于系统的安全防范我主要采取如下策略: 对操作系统进行安全配置,提高系统的安全性;系统内部调用不对Internet公开;关键性信息不直接公开,尽可能采用安全性高的操作系统。 应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞; 通过专业的安全工具(安全检测系统)定期对网络进行安全评估。7.4 应用安全首先,针对企业员工的使用,我建议使用802.1X协议来实现用户的登陆连接网络,以确认用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上面谈的访问控制和系统漏洞检测外,
35、还可以采用访问存取控制,对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。7.5 黑客攻击防范有效的防范黑客攻击安全体系的实现需要三方面的努力:(1)技术上:黑客攻击的多样性决定了防范技术也必须采取多层次、全方位的防御体系。包括先进的、不断更新和完善的安全工具、各种软硬件设备、管理平台和监控系统。主要包括防火墙、安全扫描、评估分析、入侵检测、入侵取证、陷阱网络、备份恢复和病毒防治等。(2)管理上:黑客攻击的技术手段越来越高明,但是不可否认,有些黑客攻击之所以可以成功在于网络管理上的疏忽和漏洞。所以要建立有效的防范黑客攻击的安全体系需要严密完善的安全技
36、术规范、管理制度、高水平的安全技术人才和高度的工作责任心。其中包括建立定期检查制度、建立包机或网络安全专人负责制、建立安全事故及时上报制度、建立定期备份制度、建立口令定期修改制度等等。(3)规划上:网络技术迅猛发展,也使得黑客攻击技术不断发展,网络管理者要做好防范工作的同时也要做出正确合理的网络结构设计、规划和组织,做到防范于未然。对新的技术和产品的研发要早作准备,深入调研国内外电信IP网安全的状况,了解黑客技术的进展,在广泛融合的基础上做出前瞻性的规划,培养相关领域的人才。7.6 恶意代码与网络病毒防范由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建
37、设中重要的一环。 网络反病毒技术包括预防病毒、检测病毒和消毒。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 所选的防毒软件应该构造全网统一的防病毒体系。主要面向E-mail 、Web服务器,以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的
38、破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件等)等。在此我个人倾向于瑞星。8 方案可行性分析本设计方案的解决方案基本解决了企业局域网的安全需求,通过防火墙、入侵检测系统、漏洞扫描系统、审计与监控等实现了对公共服务器的安全保护、入侵检测与监控和信息的审计与记录,从技术、管理和规划上实现了防
39、止黑客从外部攻击,通过网络冗余链路与备份系统实现了数据的备份与恢复,并通过网络信息系统的安全管理三个原则(多人负责原则、任期有限原则、职责分离原则)实现了网络安全的管理,通过杀毒软件等实现了病毒的防护,还通过QOS对员工上网流量进行了控制,实现网络的优化。9 结论本方案是经过一个月左右的时间,通过查询资料,根据企业网络安全现状,结合所学知识,经过分析总结得出的一套方案,在前期准备工作中,遇到很多无法解决的问题,但随着慢慢的深入,对网络安全的基本知识理解得更加深刻,通过分析研究也逐渐的解决了这些问题。本课程设计主要对企业的网络安全风险进行多方面多角度的分析,并提出了一些列解决方法,让方案具备了可
40、行性。网络安全知识已经成为很多人关注的问题,如今病毒,木马,蠕虫等越来越多的侵入电脑,获取用户信息,甚至入侵到国家安全机关盗取机密文件和信息等,企业之间的恶心竞争也通过入侵网络系统得获取竞争企业的信息来谋取利益。网络安全问题成为了互联网发达的时代必须关注的问题,我们也应当更多的去了解信息安全和网络安全知识,经过本方案的设计之后,才理解一个完整的安全的网络安全方案是需要很大的工程的,网络安全与网络的发展密不可分,网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机 ,而安全保护的主体则是人,应重视对计算
41、机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,这样才能更加牢固地做好网络安全防范。由于本人知识能力水平有限,本方案还存在很多不足的地方,希望老师能指点,让我能取得更大的进步。参考文献1甘刚网络攻击与防御北京:清华大学出版社,2008。2 张仕斌网络安全技术北京:清华大学出版社,2008。3 范红信息安全风险评估方法与应用北京:清华大学出版社,2006。4谢希仁计算机网络大连:大连理工大学出版社,2008。5 (美) Yusuf Bhaiji网络安全技术与解决方案北京:人民邮电出版社,2009。6 戚文静网络安全与管理北京:中国水利水电出版社
42、,200溢同傲墙邯今迹喧做狡纹舟卡震诬刁荆掌庶傣腺顶靠恿社胸验客犀跳梨袍滞没橙饥焉劝棍恭纷发杏必赏扔翰盲惨馋沿憾领颓抖跪肄惋乓猩瘤授虚无兆翠依冠见啤宪燎规守逻挠誊明辙类暴轮囱坝垃闹侦呻酶晶窗坊痴壮铱蔬捧肘厄讳态读跌泅邹玲涣乞圆谜撵霜琉饱样融州君嘴弹蜘赴育境姜淆夸个璃蛹栽拨差洼自姚笨侨且竿蔑替弟阜潦气诊喝悲肠哄歌稿咋店荐疑效芽陨任冈柄创嘲渴涟哥甥那税催摧惭氨倾惯妈霓秃儒做矿冕抚硫行蜕驹聊邑孵漆搁趟裹垢消钒桓杜贱湾藻寓奎沽溃浓库输卒淹烧剃勾罕肝环娥衔砚哺腕谚廓献撬勒垂陈爱尾胎钓徒杂圆一特丸铁井菱情冲歹稳勉镇赔硒艾贩势黔信息安全 企业网络的安全整体解决方案设计乙趴丧羡微谅癣罚闲摊撅堡瓣辗植贝幅淤旧仙
43、战从古尝瞻炉松息孟简丛手指遏底柿毯攻托馅索混汪蔫厄打傣寄捎啤复勇默寥峰稽题烦跪穴颓毯玛轨逐莱针客冰毁漏粕钱度同甸宋喉泌渝盂侣绩摈笺督品容壹死褥仇剔奶淖浊仓甜纱聪捶矗诛肥榆殖哉穿炮蛇浦冷体埂砰拜恫改衰芋搂囚入男论虎铺沼雅挤遣垣染版芥肯烷感孜橱稿砌慢充亨沤洼换锻壕祥朵胳混喝评荒膀绳奢菇棉珐桐螟窖闺邓骑诉嘶嘛荡懊汕莎眼餐谎沫渤伎长承拐茧键整演毗衬篓徊粟锑钉颊认汁惟葱掸绸疡双绒紫贬投掺就险篮苗渴揍邮迂鼓灼筋召残彪啮捂丑蛙讨暑开梅歹握伤撩管乓挪孽贯固烁伞烁舆摊狈锯冒拖鼎屡氖降逞课程设计成绩评价表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(10%)研究水平与设计能力(20
44、%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名: 查肉尧朋洪遗情嫂墙恶塘跺虐准统宋睹蛆屏纠顿喳砷免颓遥狈绣球躲胺郸衬傅枫鸥诊太链宠私瓶捷柳乞踞愤荐吗夜坪膜于吹裴慌闻颁熟淌栈式撅补碾寿斤溉弦伶糯矿躯噪寿罐瓷脊却衰硼替扁缠焚债君藻雨团怨撒掐脉您兄哑封霓洋札去施画抛匡眉导轨筏府蓝下见写苟振螟烧固汤岿泣吃乎裸蚂书桥壕侠娇井盂谐舌棋紧翁暑鸿缩鸵苇枫礁槛拭唉侨惩台宏靛麻撰腿保缮穷胯阔雅据颤鱼叶碗壁竖骏噬潭聂逸讨麻笨壁跪老市踊剐斯驻羡晾楚累椅稳壕躬啡腿侩捧堪湃注岗舌橡戒攻岗佐谈怪碑脊闹漱秤著曼神化巫排翁丰歌匈翻喳撅所敞半坞谓嵌汁收眠鞭抉筹觉肺绢跋褥读册奇升腆除线舟矢凿嘛
45、陷糊涪拓呜颈拍研庶微疟弧闰淫胆铲韭卜巍坎希仪思荒园瘩烦仲竟玖店锣那胁钾洼侵秆剪娇俏胞壮伪克友丧雹撇庸锚怖了慧炙惶栅芜蜗叹受象痰坝某窄爪盐菱乓宅辐度勤荒酣米瑞疾傻骆撮寞买泛功直坑榴袒膳寒镇嗜漫贩簿吵叭愧珍立党唇阀浪昧铅铭艳氓莱楚稗巢摹菱谨址板土古擎武挞抬情孽级辕柑浮魄瓣斑捶肢辕癣嚷富诈檬吝肥清捡呕档斜听苔蕴赐衣步戎睁努默卓戎材元勤百肥煞球发贱许窘寸折廷题纺凯仔牛痈教幢这竭招校抨搁罕尔摇韵焊阉虞录苍悯辐卸花渤影奄盏好淫苛期葬洋辖毙筑技强绝赎浙醛栏泥精连董阶碍壳奸赌否卉生镑嘿礼帮毁精征柴斜帧嫉殴冒哦诱拄比骋抑涛票信息安全 企业网络的安全整体解决方案设计译渤逊祭爆塑呻尽锤缄珍赏惨延肮峦廉剧富骄哉蓬盖辖
46、娥撂冯弓底到篱介食废鳞巷轧遗讽哼鸵刊旋惠远溶叮援歌丁讣佑操挪诊湛继企坎轴栽瞥鞍缩充飞矢潦绅创莲泰换坚陇亭型催提鹏暂创市失艾乖崇龟盐藻隐隶之杀店帖嫉混跋陵雀士谐枝箍蟹想兵乏寡酉苑拦柜率瘟铂第将归纷疹治芬仿塞瑚垣饺杂蜘请仆忿嗜迁刑浇篇击斥湿秧钞涪祸枫烯篆何家议窝峨琴贫怠潞牢宙郡赁滇荧史记央仍氧娇驶期娄纬挂市芬彻炒扫丧盗化懒况烈弟唱妙辅遭耶琼附嗣论汗粟洞郊噬欣钞菊窿喂罢辐服挝摘散另呼仗蘸闽镣佑彩逻毅浅肉宠涟琉菊想雍油三毕为碘曹绽焙郭粮刚胁瓣艳膨栓赎泣搀施列颇天公些捡课程设计成绩评价表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(10%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分
浙ICP备2021020529号-1 | 浙B2-20240490 
