网络安全问题及对策说明书本科毕业论文.docx
《网络安全问题及对策说明书本科毕业论文.docx》由会员分享,可在线阅读,更多相关《网络安全问题及对策说明书本科毕业论文.docx(17页珍藏版)》请在冰点文库上搜索。
网络安全问题及对策说明书本科毕业论文
毕业设计(论文)
题目:
网络安全问题及对策
姓名:
指导教师:
专业:
计算机网络技术
层次:
专科
2013年6月15日
成绩评定表
指导教师评语及评分
论文评分
指导教师(签名)年月日
评审教师评语及评分
评审评分
组长(签名)年月日
综合评分
成绩
评定人
签名年月日
业论文(设计)任务书
题目
xxx电子阅览室网络安全问题与对策
学生姓名
专业
计算机网络技术
层次
专科
学号
指导教师
任务书下达时间
2013-5-15
概述:
网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。
我们通过网络获得信息,共享资源。
如今,Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。
随着网络的延伸,安全问题受到人们越来越多的关注。
在网络日益复杂化,多样化的今天,如何保护各类中小企业网络安全和信息安全,成为了本文探讨的重点。
对网络信息安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
要求阅读或检索的参考资料及文献(包括指定给学生阅读的外文资料):
[1]胡道远.网络技术教程.清华大学出版社2005年10月第2次印刷
[2]周继军蔡毅.网络与信息安全基础2008年出版
[3]张仕斌.网络安全技术.清华大学出版社2004年出版
[4]黄河.计算机网络安全:
技术与应用.清华大学出版社2008年出版
摘要
网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。
我们通过网络获得信息,共享资源。
如今,Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。
随着网络的延伸,安全问题受到人们越来越多的关注。
几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。
不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。
网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。
不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。
甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络。
这种情况使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。
本文主要从xx电子企业的网络现状安全分析、并提出和具体阐述自己针对这些问题的对策。
利用防火墙、VPN、流量控制、防病毒、入侵检测等技术来保证企业网络的安全。
减少网络安全给企业带来的损失。
关键字:
网络安全规划互联网
1前言
xx电子网络公司自成立以来,以建立自己的内部网络并接入internet。
目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。
企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。
可以看出保证网络安全不仅仅是使它没有编程错误。
它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。
同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:
保密、鉴别、反拒认以及完整性控制。
保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。
鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。
反拒认主要与签名有关。
保密和完整性通过使用注册过的邮件和文件锁来。
本文从防火墙,VPN技术,流量控制,病毒防护等方面说明了如何保护企业内部的网络安全。
2网络需求分析
2.1企业网络安全现状分析
2.1.1网络安全现状
目前xx电子已布有信息点,并建立了公司内部的局域网;拥有公司网站和服务器,并实现了与Internet的连接。
2.1.2管理方面状况分析
管理方面的安全隐患包括:
内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。
责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。
把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
内部不满的员工有的可能造成极大的安全风险。
2.2企业内网的安全性分析
企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等
2.2.1基本安全需求
企业网络中设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。
针对企业网络的运行环境,主要包括:
网络正常运行、网络管理、网络部署、数据库及其它服务器资料不被窃取、保护用户帐号口令等个人资料不被泄露、对用户帐号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通讯服务、保证拨号用户的上网安全等。
关键业务系统安全需求:
关键业务系统是企业网络应用的核心。
关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:
访问控制,确保业务系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;安全预警,对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪
2.2.2内外网隔离及访问控制系统
在内部网与外部网之间设置防火墙实现内外网的隔离与访问控制,是保护内部网安全的最主要,同时也是最有效、经济的措施之一。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲有两大类较为常用:
包过虑和应用代理。
包过虑防火墙用在网络层和传输层,根据包头源地址、目的地址和端口号、协议类
型等标志确定是否允许数据包通过。
应用代理防火墙,也叫应用网关,作用在应用层,特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
防火墙的5大基本功能;
1.过虑进、出网络的数据;
2.管理进、出网络的访问行为;
3.封堵某些禁止的业务;
4.记录通过防火墙的信息内容和活动;
5.对网络攻击的检测和告警。
应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。
因此,必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
2.2.3内部网不同网络安全域的隔离及访问控制
在这里,防火墙被用来隔离内部网络的一个网段与另一个网段。
这样就能防止影响一个网段的问题在整个网络中传播。
针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。
而在它们之间设置防火墙就可以限制局域网络安全问题对全局网络造成的影响。
2.3网络结构的安全风险分析
网络安全是企业网络正常运行的前提。
网络安全不单是单点的安全,而是整个企业信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。
要知道如何防护,首先需要了解安全风险来自于何处,网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。
无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成业务网络的中断。
根据国内企业网络系统的网络结构和应用情况,从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
2.3.1外部网络的安全威胁
企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息。
假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
2.3.2内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约75%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:
误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
2.3.3网络设备的安全隐患
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,但也存在安全问题,这些可能由于使用者的疏忽或不正确理解而使这些设备可用但安全性不佳,可能对企业带来严重损失。
从而加强设备的安全性尤为重要,是公司面临的严重问题。
3网络安全对策
从以上xx电子企业的网络的的现状分析出所存在网络安全威胁,以及网络安全的需求性,因此我们采取一下措施来解决保证网络的稳定与安全。
3.1防火墙技术
3.1.1防火墙简介
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
网络层防火墙(如图4-1)。
图4-1网络层防火墙
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:
来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。
也能经由通信协议、TTL值、来源的网域名称或网段等属性来进行过滤。
应用层防火墙(如图4-2)
4-2应用层防火墙
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
代理服务(如下图4-3)
4-3代理服务器
代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理由外在网络使窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置)。
相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人然后伪装作为那个系统对其它内部机器。
当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP欺骗试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,依照被定义在[RFC1918]。
管理员经常设置了这样情节在努力(无定论的有效率)假装内部地址或网络。
防火墙的适当的配置要求技巧和智能。
它要求管理员对网络协议和电脑安全有深入的了解。
因小差错可使防火墙不能作为安全工具
3.1.2防火墙的功能和特点
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
防火墙一般有三个特性:
1.所有的通信都经过防火墙;
2.防火墙只放行经过授权的网络流量;
3.防火墙能经受的住对其本身的攻击。
对于企业来说,防火墙将保护以下三个主要方面的风险:
1.机密性的风险;
2.数据完整性的风险;
3.可用性的风险。
防火墙的主要优点如下:
1.防火墙可以通过执行访问控制策略而保护整个网络的安全,并且可以将通信约束
在一个可管理和可靠性高的范围之内;
2.防火墙可以用于限制对某些特殊服务的访问;
3.防火墙功能单一,不需要在安全性,可用性和功能上做取舍;
4.防火墙有审记和报警功能,有足够的日志空间和记录功能,可以延长安全响应的周期。
同样的,防火墙也有许多弱点:
1.不能防御已经授权的访问,以及存在于网络内部系统间的攻击;
2.不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁;
3.不能修复脆弱的管理措施和存在问题的安全策略;
4.不能防御不经过防火墙的攻击和威胁。
3.1.3瑞星防火墙企业版整体解决方案
1.安全的网络边缘防护
瑞星防毒墙可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
2.内部网络行为监控和规范
瑞星网络安全预警系统SDS-1000对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力,企业内部用户上网信息识别粒度达到每一个URL请求和每一个URL请求的回应。
通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。
3.计算机病毒的监控和清除
瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。
4.灵活的控制台和Web管理方式
瑞星的系列安全产品都提供控制台管理和Web管理两种方式,通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行基本信息。
5.强大的日志分析和统计报表能力
瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。
此外,报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
6.模块化的安全组合:
本方案中使用的瑞星网络安全产品分别具有不同的功能,用户可以根据自身企业的实际情选择不同的产品构建不同安全级别的网络,产品选择组合方便、灵活,既有独立性有整体性。
从上面可以看出,只要在网关处安装防毒墙产品;在网络内部安装安全预警系统;在邮件系统上安装瑞星邮件防病毒系统;然后在整个网络中安装网络版杀毒软件,就能彻底解决企业网络的信息安全问题。
3.2VPN技术
3.2.1VPN简介
目前主流的内部网络组网方式较为统一,内部使用私有地址部署,内网出口使用防火墙或路由器做NAT地址转换,在ISP提供的线路帮助下.从而实现中小型企业内部网络与INTERNET的互联。
这种组网方式能大量节约IP地址资源,降低联网成本,同时也能够有效的保护中小企业内部网络上各自信息资源的安全。
随着企业业务的不断扩展,越来越多的工作需要在企业之外完成。
比如在外地出差或者对用户进行上门服务或者在家办公时。
这时,我们需要一种能方便而又安全的联入企业内部网络,从而使用网络中的各种信息和资源,让我们的工作方式更加灵活和有效。
传统的解决方法是在企业内部建立远程访问服务器,远程用户通过电话线路等远程拨号到远程访问服务器.这种解决方法一是速度慢,二是要支付较高的电话费用,成本较高。
而VPN技术就弥补了这些缺陷.它利用廉价的INTERNET或其他公共网络传输数据,在网络出口处提供服务,有需要的客户端通过INTERNET连入VPN服务器,在服务器的帮助下.获得一个事先划分的内网IP地址。
此时,该客户端就虚拟的联人了企业内部局域网,和平常在办公室里一样,可以获得各种内网资源。
3.2.2VPN协议
VPN技术在创建隧道实现虚拟专用网的过程中,隧道两端需使用相同的隧道协议。
根据OSI参考模型划分,隧道技术可以分为2层和3层隧道协议。
第二层隧道协议主要有:
PPTP、L2TP和L2F,第三层协议主要有IPoverIP和IPSee。
通常在LINUX中我们使用PPTP协议实现VPN。
PPTP协议是PPP协议的扩展,并协调使用PPP的身份验证、压缩和加密机制。
PPTP协议是使用一般路由封装(GRE)报头和IP报头封装在PPP帧中的。
3.2.3VPN服务的配置
以REDHATENTERPRISEAS4.0系统为例说明VPN服务的实现方法。
为VPN服务器配置两块网卡.分别为eth0和ehtl。
其中eth0连接到内部网络,假设IP为172.26.1.1;ethl连接到INTERNET.假设IP为218.1.2.3。
首先,需要下载内核补丁、升级自带的PPP程序、安装PPTP以及MPPE软件包以便支持PPTP协议和微软的点对点加密MPPE。
1.dkms-2.0.5—1.noarch.rpm动态内核模块支持的RPM安装包。
2.kemel_PPP_mppe—0.0.5—2dkms.noarch.rpmMPPE加密协议的内核补丁的RPM安装包。
3.PPP—2.4.3—5.rhel4.i386.rpm升级内置PPP到2.4.3版本,以支持MPPE加密协议。
4.pptpd—1.3.0—0.i386.rpmPPTP点对点隧道协议的RPM安装包下载完成后使用以下命令进行安装和升级。
rpm—ivhdkms—2.0.5-1.noarch.rpm
rpm—ivhkernel_ppp_mppe—0.0.5—2dkms.noarch.rpm
rpm—UvhPPP-2.4.3—5.rhel4.i386.rpm
rpm—ivhpptpd-1.3.0-0.i386.rpm
使用如下命令:
Rpm-ivhdkms-2.0.2-1.noarch.rpm
Rpm-ivhkernel_ppp_mppe_0.0.5-2dkms.noarch.rpm
Rpm-Uvhppp-2.4.3-5.rhel4.i386.rpm
Rpm-ivhpptpd-1.3.0-0.i386.rpm
全部安装升级完成后使用vi程序打开PPTP的主配置文件。
Vi/etc/f
在文件中加入以下配置语句:
Localip172.168.1.1//设置网关
Remoteip172.168.1.100-172.168.1.240//设置IP范围
文件/etc/ppp/chap-secrets中保存了VPN客户机拨入时所使用的帐户名、口令、固定分配的IP地址等信息,每个账户在该文件中使用一行。
其格式如下:
用户名口令IP地址
adminadmin172.168.1.240
使用如下命令启动或者停止VPN。
/etc/init.d/pptpdstart//启动VPN服务
/etc/init.d/pptpdstop//停止VPN服务
3.2.4VPN客服端配置
一般的VPN客户端均使用WINDOWS操作系统,以在WINDOSXP系统中创建VPN客户端为例说明操作步骤:
1.网上邻居右键菜单中选择属性:
2.双击“新建连接向导”;
3.在向导对话框中单击“下一步”;
4.在“网络连接类型”中选择“连接到我工作场所的网络”;
5.在“网络连接”中选择“虚拟专用网连接”;
6.在“连接名”中输入您想设定的连接名称;
7.在“VPN服务器选择”中输入VPN服务器的域名或IP,本例中应输人eth1上的IP地址”218.1.2.3”:
8.单击“完成”即可创建VPN客户端连接。
双击创建的VPN连接,输入服务器上创建的帐号”admin”与密码”admin”点击连接即可联入VPN服务器.连接成功后双击该连接,选择“详细信息”,若显示使用PPTP和MPPE128加密则表明VPN服务器配置成功。
在本例的连接中应获得一个同定分配给“admin”用户的IP地址”172.26.1.240”。
此时,该客户端即可像在内部网络里一样直接访问各种资源。
3.3流量控制
对主干网络和各分支网络实施监控,可以发现网络瓶颈,得到用户访问各信息点的量化数据,掌握用户的不安全行为,可以为网络性能分析和故障诊断提供丰富的事实依据,给网络的综合管理带来极大的好处。
网管系统:
可以在各主要网络交换设备上采集到当前设备的工作状态,掌握各虚拟网络之间的数据流量,和交换设备的各端口的负载情况。
网络分析设备:
可以在主干网上监视各网段上的包情况,其中包括:
通讯包总量,丢包率;包成分,及其所占比重,如IP、IPX;各应用包的分配情况:
如IP包中TCP和UDP包的百分比,TCP包中Telnet,Ftp,http等包的比重;各IP发包的情况,可以判断网络负载和故障诊断。
路由器上的流量控制:
限制某些网段或者IP地址的访问权限,与Proxy结合统计用户的出口信息流量。
Proxy服务:
由于路由器的限制,可采用Proxy的办法满足用户对校园网外甚至是国外的访问需求,而且这种访问是受控的,可以根据用户的帐号,清楚地了解用户对外访问的信
3.4防病毒技术
CPU内嵌的防病毒技术是一种硬件防病毒技术,与操作系统相配合,可以防范大部分针对缓冲区溢出(bufferoverrun)漏洞的攻击(大部分是病毒)。
Intel的防病毒技术是EDB(ExcuteDisableBit),AMD的防病毒技术是EVP(EhancedVirusProtection),但不管叫什么,它们的原理都是大同小异的。
严格来说,目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。
首先,无论是Intel的EDB还是AMD的EVP,它们都是采用硬软结合的方式工作的,都必须搭配相关的操作系统和软件才能实现;其次,EDB和EVP都是为了防止因为
升级会员 