企业网络安全方案.docx
《企业网络安全方案.docx》由会员分享,可在线阅读,更多相关《企业网络安全方案.docx(16页珍藏版)》请在冰点文库上搜索。
企业网络安全方案
企业网络安全方案
构建企业网络安全方案
——设备安全、、、服务器
李燕子
摘要:
互联网给我们带来了极大的便利但是,随着互联网的空前发展以及互联网技术的普
及,使我们面临另外提个困境:
私人数据、重要的企业资源以及*机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展加强企业网络安全工作,是一些企业建设工作的重要工作内容之一
本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,详细设计分析等,重点针对企业网络中出现的网络安全问题,作了个简单介绍对有关安全问题方面模块的划分,解决的方案与具体实现等部分
关键词:
拓扑物理安全技术技术容灾备份服务器安全
引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展
摘要11引言1本课题的研究意义2本论文的目的、内容22企业网络现状及设计目标2概述2实际网络的特点及目前企业网络优缺点分析4设计目标43要解决的几个关键问题5研究设计中要解决的问题5针对现在网络中出现的网络安全问题,本课题所作的改善设计54系统设计关键技术6目标具体实现中采用的关键技术及分析6设计实现的策略和途径描述8设计模型及系统结构95系统实现技术9概述9物理设备安全9技术11访问控制列表与技术14服务器的安全14
本课题的研究意义
本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法,是整个企业网络安全设计的指南,是为公司做出一套正确有效的网络安全方案的重点本需求的阅读者是公司企业网络管理方面的决策人,操作应用人员
本论文的目的、内容
本论文的目的是为企业提出一个有效的网络安全方案,使企业的网络上的安全威胁降到最低从企业的设备配置安全、系统软件的安全、以及放火墙与入侵检测等来保证企业的网络安全
2企业网络现状及设计目标概述
中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:
网络安全、病毒检测、网站过滤等等其着眼点在于:
国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系
然而,有网络的地方就有安全的问题过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务用户每一次连接到网络上,原有的安全状况就会发生变化所以,很多企业频繁地成为网络犯罪的牺牲品因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了
网络攻击在迅速地增多:
网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等
考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的项目概述:
待改企业描述
本文的企业为一个早期玩具制造和销售企业,希望能具有竞争力并提高生产效率,这就必须对市场需求作出及时有力的响应,从而引发了依赖互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而推动未来增长
本方案旨在使公司的网络更安全,以保证企业安全和减少安全问题带来的损失
2
可以快速的对网络攻击做出反应
功能
此方案可让企业保证硬件设备减少安全隐患,公司重要信息不被人获取,应对突发的安全情况能力大大加强
用户特点
本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员
一般约束
这是一个针对企业网络各方面进行调整的方案,不可避免要受于布线地理位置和系统安装的兼容性的限制
假设依据
本方案具有较高的可靠性和安全保密性网络性能稳定,不出差错在具体实施方面,应该由企业网络相关专业人员进行管理,本方案只负责具体的实施方法建议应对用户定义不同的使用权限,技术处负责大部分管理不能由其他人进行查看更改
性能需求
为了保证系统能够长期、安全、稳定、可靠、高效的运行,企业网络安全方案应该满足以下需求:
系统处理的全面性和及时性
方案的全面性和处理事件的及时性是必要的性能从各个方面考虑到可能受到的网络攻击,做好全方面的补救和抵御措施且在发生突发情况下能及时的补救,保证企业网络的正常运行
系统方案的可扩充性
在方案的设计过程中,应该充分考虑系统的可扩充性,为以后企业的发展,网络设备的扩充,提供良好条件系统的易用性和易维护性
在完成这套方案之后,只需要技术人员在硬件上做好管理措施、系统上及时更新升级,以及做好备份工作方案的标准性方案在设计过程中,要涉及很多计算机硬件、软件所有这些都要符合主流国际、国家和行业标准列如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准
3
实际网络的特点及目前企业网络优缺点分析
图2-1公司的原拓扑图
如图,上图为一玩具企业的大概网络拓扑图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络,另两部分为领导决策的主网络以及公司的服务器群其优点是结构简单灵活可靠性高,共享性强适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易缺点是安全行不高,维护不方便,分支节点出现故障会影响整个网络
其网络的交换机路由器已经经过一部分设置与设备技术,使公司内部合理通信访问,工厂办公地点不能上网,员工办公阶段时间性的上网,领导办公没有限制这都有效提高了公司的工作质量与安全性,我们在这基础上,再设置一些安全措施,设计出一套完整的安全解决方案设计目标
根据实际情况,全方面的找出并解决企业存在的各方面安全问题,从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级、以及数据的加密传输、签名认证和远程专用网络,以及合理应用内外防火墙,达到最大限度保证企业信息的安全,以及网络的通信顺畅注:
技术
英文全称是“”,中文意思是“网络地址转换”,它是一个(工程任务组)标准,允许一个整体机构以一个公用IP地址出现在上顾名思义,它是一种把内部私有网络地址翻译成合法网络IP地址的技术
简单的说,就是在局域网内部网络中使用内部地址,而当内部节点要与外部网
4
络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网上正常使用,虽然地址转换技术设计的目的是为了节省IP地址,但是客观上,这种技术对网络外部隐藏了一个网络内部的地址结构,加大了内网的安全技术
的英文全称为"",中文名为"服务质量"是网络的一种安全机制是用来解决网络延迟和阻塞等问题的一种技术用于衡量使用一个服务的满意程度不是创造带宽,而是管理带宽,因此它能应用得更为广泛,能满足更多的应用需求的目标是要提供一些可预测性的质量级别,以及控制超过目前IP网络最大服务能力的服务
3要解决的几个关键问题研究设计中要解决的问题设备、服务器、流量控制
从拓扑图上可知,类似总线型的网络拓扑结构,存在着明显的安全问题,如果其中一台交换机设备出现故障,将严重影响网络的正常运行,这是很大的安全隐患保证物理设备的安全,也没有针对一些突发情况的保护措施,以保证网络的随时通畅,容灾备份
外部访问企业内部网络,共享资源,没有一个好的安全保护措施流量服务控制,保证网络通顺服务器的安全非常重要应用系统软件
系统的安全存在问题,没有好的软件工具防御外来攻击,列如垃圾病毒邮件的防御防火墙
因为本企业对网络安全的不重视,还未安装外部防火墙,不能防御控制外来的攻击针对现在网络中出现的网络安全问题,本课题所作的改善设计改善设计
改善其拓扑结构,把各设备协同工作时的隐患降到最低,对物理设备实施保护措施,拥有少量备用和扩充的设备,建立流量控制措施,达到遇到突发情况从容面对,加以保证网络的正常运行
5
采用现有的最有效安全的虚拟专用网络技术,达到外部访问内部资源时的安全
流量服务和访问控制,保证网络通顺打造服务器安全
系统软件
拥有一些安全的系统和防御、杀毒、筛选检测工具,达到最大限度防御外来攻击采用身份人证和数据加密,保护邮件安全,再及时更新漏洞补丁
随着电子邮件的普及和应用,伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注我们已经认识到电子邮件用户所面临的安全性风险变得日益严重病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为防火墙、入侵检测
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上所有来自的传输信息或从内部网络发出的信息都必须穿过防火墙
入侵行为的发觉它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象行进入侵检测的软件与硬件的组合便是入侵监测系统与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行4系统设计关键技术
目标具体实现中采用的关键技术及分析本文主要用到的2种拓扑结构:
1总线拓扑
总线拓扑结构采用一个信道作为传输媒体,所有站点都通过相应的硬件接口直接连到这一公共传输媒体上,该公共传输媒体即称为总线
总线拓扑结构的优点:
总线结构所需要的电缆数量少
总线结构简单,又是无源工作,有较高的可靠性易于扩充,增加或减少用户比较方便
6
总线拓扑的缺点:
总线的传输距离有限,通信范围受到限制故障诊断和隔离较困难
分布式协议不能保证信息的及时传送,不具有实时功能2星形拓扑
星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成星形拓扑结构具有以下优点:
控制简单
故障诊断和隔离容易方便服务
星形拓扑结构的缺点:
电缆长度和安装工作量可观中央节点的负担较重,形成瓶颈各站点的分布处理能力较低容灾备份技术
首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的这个是整个网络系统安全的前提
容灾备份:
容灾备份是通过特定的容灾机制,在各种灾难损害发生后,仍然能够最大限度地保障提供正常应用服务的信息系统
容灾备份可以分为数据备份和应用备份数据备份需要保证用户数据的完整性、可靠性和一致性而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保证信息系统提供的服务完整、可靠、一致
一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心当然并不是所有的企业都需要这样一个系统,只有对不可中断的关键业务才有必要建立容灾备份中心技术
一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的技术就是为了解决这样一种安全需求的技术
的英文全称是“”,翻译过来就是“虚拟专用网络”顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线它可以通过
7
特殊的加密的通讯协议在连接在上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备
设计实现的策略和途径描述
本方案为局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对他们局域网全面的安全管理:
将安全策略、硬件设备及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题
通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施
使网络管理者能够很快重新组织被破坏了的文件或应用使系统重新恢复到破坏前的状态,最大限度地减少损失
在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒
8
设计模型及系统结构
图4-1改善后的拓扑图
在原拓扑图的基础上,增加了重要的防火墙,并把工厂办公子网的连接换到主交换机上,避免了员工子网交换机如果出现问题故障,导致重要生产线子网不能工作的问题即是完全把企业的拓扑改成主流的星形拓扑结构员工办公子网中间也可多增加一些交换机,减轻负担,对里面的部门分化也比较容易管理,再加上只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,就能达到在现有设备基础上,实现网络安全的目标5系统实现技术概述
确保现有的设备稳定安全的基础上,对交换机路由器等,采用一些安全技术,进行内部网络的设置例如对各种设备都做了哪些修改,这些修改带来的优势,以达到增强网络安全的目的物理设备安全容灾备份
从广义上讲,任何提高系统可用性的努力,都可称之为容灾本地容灾就是主机集群,当某台主机出现故障,不能正常工作时,其他的主机可以替代该
9
主机,继续进行正常的工作当一处系统因灾难而停止工作时,整个应用系统可以切换到另一处,使得该系统可以继续正常工作
在建立容灾备份系统时会涉及到多种技术,如:
远程镜像技术、基于IP的的互连技术、快照技术等远程镜像技术就是远程同步复制技术,指通过远程镜像软件,将本地数据以完全同步的方式复制到异地通过镜像把数据备份到远程存储系统中,再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中基于IP的的远程数据容灾备份技术,是将主数据中心中的信息通过现有的/IP网络,远程复制到备援中心中当备援中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库中防盗和防毁
当计算机系统或设备被盗、被毁时,除了设备本身丢失或毁损带来的损失外,更多的损失则是失去了有价值的程序和数据因此,防盗、防毁是计算机防护的一个重要内容通常采取的防盗、防毁措施主要有:
设置报警器——在机房周围空间放置侵入报警器,侵入报警的形式主要有光电、微波、红外线和超声波;锁定装置——在计算机设备中,特别是在个人计算机中设置锁定装置,以防犯罪盗窃;计算机保险——在计算机系统受到侵犯后,可以得到损失的经济补偿,但是无法补偿失去的程序和数据,为此应设置一定的保险装置防止电磁泄漏发射
计算机主机及其附属电子设备如视频显示终端、打印机等在工作时不可避免地会产生电磁波辐射,这些辐射中携带有计算机正在进行处理的数据信息抑制计算机中信息泄漏的技术途径有两种:
一是电子隐蔽技术,二是物理抑制技术电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息;物理抑制技术则是抑制一切有用信息的外泄物理抑制技术可分为包容法和抑源法包容法主要是对辐射源进行屏蔽,以阻止电磁波的外泄传播抑源法就是从线路和元器件入手,从根本上阻止计算机系统向外辐射电磁波,消除产生较强电磁波的根源防电磁干扰
电磁干扰是指当电子设备辐射出的能量超过一定程度时,就会干扰设备本身以及周围的其他电子设备的现象计算机与各种电子设备和广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号,计算机要在这样复杂的电磁干扰环境中工作,其可靠性、稳定性和安全性将受到严重影响因此,实际使用中需要了解和考虑计算机的抗电磁干扰问题,即电磁兼容性问题媒介安全
包括媒介数据的安全以及媒介本身的安全对于存放重要数据的计算机设备,要有定期数据备份计划,用磁盘、光盘等介质及时备份数据,妥善存档保管也要有数据恢复方案,在系统瘫痪或出现严重故障时,能够进行数据恢复
10
保密技术
计算机系统的保密主要是指存放于磁盘上的文件、数据库等数据存储的保密措施,应用于这方面的技术主要有访问控制、数据加密等可用加密系统有数据加/解密卡、数据加密机、数据采编加密系统、抗辐射干扰器、电子印章系统等
技术
为了远程访问的快捷与安全,我们采用了技术,可按照企业的情况对主路由进行配置实现这是原本企业没采用的方式
(,虚拟专用网络)是专用网络的延伸,包含了类似的共享或公共网络连接通过可以模拟点对点专用连接的方式通过共享或公共网络在两台计算机之间发送数据它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接,因此广泛地受到网络管理员们的关注
配置服务器:
1开始配置:
要想让计算机能接受客户机的拨入,必须对服务器进行配置在左边窗口中选中""(服务器名),在其上单击右键,选"配置
并启用路由和远程访问"
图5-1
2如果以前已经配置过这台服务器,现在需要重新开始,则在""(服务器名)上单击右键,选"禁用路由和远程访问",即可停止此服务,以便重新配置
3当进入配置向导之后,在"公共设置"中,点选中"虚拟专用网络()服务器",以便让用户能通过公共网络(比如)来访问此服务器
4一般来说,在"远程客户协议"的对话框中,至少应该已经有了/IP协议,则只需直接点选"是,所有可用的协议都在列表上",再按"下一步"即可
5之后系统会要求你再选择一个此服务器所使用的连接,在其下的列表中选择所用的连接方式(比如已建立好的拨号连接或通过指定的网卡进行连接等),再按"下一步"
11
6接着在回答"您想如何对远程客户机分配IP地址"的询问时,除非你已在服务器端安装好了服务器,否则请在此处选"来自一个指定的IP地址范围"(推荐)
7然后再根据提示输入你要分配给客户端使用的起始IP地址,"添加"进列表中,比如"~"(请注意,此IP地址范围要同服务器本身的IP地址处在同一个网段中,即前面的""部分一定要相同!
)
8最后再选"不,我现在不想设置此服务器使用"即可完成最后的设置此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口当它消失之后,打开"管理工具"中的"服务",即可以看到""(路由和远程访问)项"自动"处于"已启动"状态了
图5-2
如何赋予用户拨入的权限:
1想要给一个用户赋予拨入到此服务器的权限(默认是任何用户均被拒绝拨入到服务器上),需打开管理工具中的用户管理器(在"计算机管理"项或"用户和计算机"中),选中所需要的用户,在其上单击右键,选"属性"
2在该用户属性窗口中选"拨入"项,然后点击"允许访问"项,再按"确定"即可完成赋予此用户拨入权限的工作
通过局域网进行连接:
1进入98的计算机,要想连接到服务器,则需要先安装"虚拟专用网络"服务在控制面板的"网络"下,进入"通讯"即可找到此项并添加上去安装完成之后再根据提示重启动计算机
2重新启动之后,在控制面板的"网络"中就有了"虚拟私人网络适配器",即说明服务已安装成功!
3还需要建立到服务器的连接首先进入我的电脑的"拨号网络"中,双击"建立新连接",然后在"请键入对方计算机的名称"中输入连接名,比如"局域网内的
12
连接",在"选择设备"选中""项!
再按"下一步"
4接着出现"请输入服务器的名称或IP地址",在其下的文字框中输入2K服务器的名字或IP地址,比如此处为"",再根据提示操作即可建立成功!
5然后在"拨号网络"中双击刚才建立好的"局域网内的连接"图标,再输入相应的用户名(需具有拨入服务器的权限)和密码,再按"连接"按钮
6如果成功连接到了服务器,此时就会像普通拨号上网成功一样,在任务栏右下角会出现两个小电脑的图标,双击它即可出现连接状态小窗口,在其中可以看到
通过进行连接
1首先得确保服务器已经连入了,用测出其在上合法的IP地址
2在98客户机端参照本节上文相关内容建立一个新的连接,在相应处输入服务器在上合法的IP地址,然后将客户机端也拨入,再双击所建立的连接,输入相应用户名和密码,再点"连接"按钮
3连接成功之后可以看到,双方的任务栏右侧均会出现两个拨号网络成功运行的图标,其中一个是到的连接,另一个则是的连接了
图5-3
4当双方建立好了通过的连接后,即相当于又在上建立好了一个双方专用的虚拟通道,而通过此通道,双方可以在网上邻居中进行互访,也就是说相当于又组成了一个局域网络!
这个网络是双方专用的,而且具有非常好的保密性能
建立成功之后,双方便可以通过IP地址或"网上邻居"来达到互访的目的,当
13
然也就可以使用对方所共享出来的资源了!
访问控制列表与技术
在路由器上配置控制访问列表,主要的目的是为了应用防火墙的功能是一个很好的描述数据流的方法,即它定义了区分数据流的规则这些规则不但可以应用在路由器的防火墙功能中,同时在路由的具体实现中,还可以被应用在许多需要描述数据流的场合,如、、策略路由等主要的功效就是在企业中,外部的网络只有特定的用户可以访问内部服务器,而内部网络中只有特定的主机才可以访问外部的网络,控制访问
联网服务质量,是在整个网络连接上应用的各种通信或程序类型优先技术技术的存在是为了获得更好的联网服务质量是一组服务要求,网络必须满足这些要求才能确保适当服务级别的数据传输起到很好避免网络堵塞的目的
企业中,用控制访问列表来限制公司内部对外的访问,再配合上的程序优先级技术,能很好的解决网络宽带的问题,保证企业网络安全顺畅的运行
服务器的安全
近些年来,服务器遭受的风险比以前更大了越来越多的病毒,心怀不轨的黑客都将服务器作为了自己的目标很明显,服务器的安全问题是不容忽视的在这里谈谈企业维护服务器安全的方法
、将磁盘分区转换成格式
当服务器上的资料都存在于一个的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的因为这个原因,你需要从基本做起你需要将服务器上所有包含了敏感资料的磁盘分区都转换成格式的、构建安全的工作站
加强工作站的安全能够提高整个网络的安全性,我们建议初步所有工作站上使用,是一个非常安全的操作系统,如果不这样做,那么至少也要安装NT然后可以锁定站,让没有安全访问权的人不能获得网络配置信息
、建立严格的用户权限
严格控制用户的权限,让用户在访问整个网络上的任何东西的时候都需要密码必须强迫大家使用高强度的由大小写字母,数字和特殊字符
升级会员 