企业网络安全毕业设计.docx
《企业网络安全毕业设计.docx》由会员分享,可在线阅读,更多相关《企业网络安全毕业设计.docx(20页珍藏版)》请在冰点文库上搜索。
企业网络安全毕业设计
云南工商学院
学生毕业作业(设计)
山东香山装饰工程企业网络安全部署设计(硬件方向)
设计小组
二级学院 机电信息学院
专 业 计算机网络技术专业
年级11级
班级网络技术一班
学 号 ***********
姓 名 郭台
指导教师 何斌颖
职称讲师
2013年12月2日
山东香山装饰工程企业网络安全部署设计(硬件方向)
[摘要]于这几年由信息化技术的飞速发展,许多有远见的企业都认识到计算机网络信息安全在国民生活中受到越来越多的关注,原因在于:
许多重要的信息存储在网络上,一旦这些信息泄露出去将造成无法估量的损失。
之所以网络信息会泄露出去,一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息;另一方面网络自身存在安全隐患才使得入侵者得逞。
针对这些问题,该文归纳并提出了一些网络信息安全防护的方法和策略。
重点研究在物理隔离的情况下计算机网络的安全问题。
在对网络系统有了确切的了解之后,将局域网总体划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。
按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。
依照各个安全等级的安全需求,设计了网络的安全方案。
在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。
目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。
[关键词]网络安全扫描系统防火墙病毒入侵网络威胁安全防范措施。
ShandongXiangshandecorationengineeringenterprisenetworksecuritydeploymentdesign(hardware)
[Abstract]Becauseoftherapiddevelopmentofinformationtechnologyinthepastfewyears,manyforward-lookingcompaniesrecognizethatthecomputernetworkinformationsecurityispaidmoreandmoreattention,inthenationallifereason:
manyimportantinformationinthenetwork,iftheinformationleakedwouldcauseimmeasurablelosses.Thenetworkinformationwillleakout,ononehandmanyinvadersmakeeveryattemptto"look"tosomeconcerneddataorinformation;ontheotherhand,thenetwork'sownexistencesafetyhiddendangermakestheintruder.Aimingattheseproblems,thispapersummarizesandputsforwardsomemethodsandStrategiesofnetworkinformationsecurityprotection.
重点研究在物理隔离的情况下计算机网络的安全问题。
在对网络系统有了确切的了解之后,将局域网总体划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。
按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。
依照各个安全等级的安全需求,设计了网络的安全方案。
在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。
目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。
Safetyissuesfocusonthephysicalseparationofthecasesofcomputernetwork.Tohaveapreciseunderstandingofthenetworksystem,theLANisgenerallydividedintothreesecuritylevels,eachlevelincludesseveralsubnetwork,allkindsofnetworktosetuptheirsecuritystrategy.Inaccordancewiththeoverallplanninganddesignofcomputernetworksecuritygoalandsecurityofcomputernetworksystem,thesecurityofcomputernetworkareanalyzed.Accordingtodifferentsecuritylevelsecurityneeds,designthesecurityschemeofnetwork.Inordertomeetthesystemconstructionofeachsubnetwork,includingtheproposedvirusprotection,dynamicpasswordauthentication,secureauditmanagement,accesscontrol,informationencryption,intrusiondetectionsystemdeployment,vulnerabilityscanningsystemandothermanagementmeasuresandsafetytechnology,setofsolutions.Thepurposeistoestablishacomplete,thethree-dimensionalnetworksecuritydefensesystem,sothatthenetworksecuritysystemtrulyachievebettereffect.
清空内容
[Keywords]networksecurityfirewallvirusscanningsystemnetworkthreatsecuritymeasures.
[目录]
第1章绪论
1.1引言
近年来,伴随着互联网技术在全球迅猛发展,人们在提供了极大的方便,然而,信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。
尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制,但是,无论在发达国家,还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害。
与此同时,更让人不安的是,互联网上黑客网站还在不断增加,学习黑客技术、获得黑客攻击工具变得轻而易举。
这样,使原本就十分脆弱的互联网越发显得不安全。
针对各种来自网上的安全威胁,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
本文通过对几起典型的网络安全事件的分析,以及对威胁网络安全的几种典型方法研究的结果,提出实现防护网络安全的具体策略。
1.2网络安全背景知识
1.计算机系统遭受病毒感染和破坏的情况相当严重。
据国家计算机病毒应急处理中心数据看,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
2.电脑黑客活动己形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。
3.信息基础设施面临网络安全的挑战。
面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。
据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。
近年来,国内与网络有关的各类违法行为以每年30%的速度递增。
网络环境的多变性、复杂性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。
我国日益开放并且走向世界,建立保护屏障和加强安全监管不可缺少。
近年来,随着网络安全事件的发生,人们越来越清楚的意识到,信息时代所引发的信息安全问题涉及到人们生活的方方面面。
因此可以说,在信息化社会里,信息安全的重要性再怎么强调也不过分。
1.3网络安全的概念和目标
一个安全的计算机网络应该具有以下几个特点:
(1)可靠性是网络系统安全最基本的要求。
可靠性主要是指网络系统硬件和软件无故障运行的性能。
(2)可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。
(3)保密性是指网络信息不被泄露的特性。
保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。
保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。
(4)完整性是指网络信息XX不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。
从技术角度看,网络安全的内容大体包括4个方面:
1.网络实体安全
2.软件安全
3.网络数据安全
4.网络安全管理
由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。
第2章企业网络安全的威胁及需求
2.1物理层安全风险
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。
通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。
为保证网络的正常运行,在物理安全方面应采取如下措施:
1.产品保障方面:
主要指产品采购、运输、安装等方面的安全措施。
2.运行安全方面:
网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。
对一些关键设备和系统,应设置备份系统。
3.防电磁辐射方面:
所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4.保安方面:
主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
2.2系统层安全风险
所谓系统安全通常是指网络操作系统、应用系统的安全。
系统级的安全风险分析主要针对企业企业校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。
企业企业校园网络采用的操作系统[7](主要为Windows2000server/professional,Windows.NET/Workstation,WindowsME,Windows95/98、UNIX)本身在安全方面考虑的较少,服务器、数据库的安全级别较低,存在若干安全隐患。
同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。
在企业的网络系统中,包含的设备有:
交换机,服务器,工作站等。
在服务器上主要有操作系统、软件系统和数据库系统,交换机上也有相应的操作系统。
所有的这些设备、软件系统都多多少少地存在着各种各样的漏洞,这些都是重大安全隐患。
一旦被利用并攻击,将带来不可估量的损失。
2.3病毒的安全风险
计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。
它在所有破坏性设备中最具危险性,可以导致服务拒绝、破坏数据,甚至使计算机系统完全瘫痪。
当病毒被释放到网络环境时,其无法预测的扩散能力使它极具危险性。
在企业的网络系统中,传统的计算机病毒传播手段是通过存储介质进行的,师生在交换存储着数据的介质时,隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。
而现代的病毒传播手段主要是通过网络实现的,一台客户机被病毒感染,迅速通过网络传染到同一网络的成百上千台机器。
师生上网浏览网页、收发电子邮件,下载资料的时候,都有可能被病毒传染,这种互联网和校园内联网通讯模式下的传播方式构成了企业病毒传播途径的主流。
2.4管理的安全风险
管理混乱、安全管理制度不健全,责权不明及缺乏可操作性等都可能引起管理安全的风险。
因此,最可行的做法是管理制度和管理解决方案相结合。
管理方面的安全隐患包括:
内部管理人员或师生为了方便省事,设置的口令过短和过于简单,甚至不设置用户口令,导致很容易破解。
责任不清,使用相同的口令、用户名,导致权限管理混乱,信息泄密。
把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
内部不满的人员有的可能造成极大的安全风险。
网络安全管理是防止来自内部网络入侵的必须部分,管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的风险。
即除了从技术上功夫外,还得靠安全管理来实现。
随着企业整个网络安全系统的建设,必须建立严格的、完整的、健全的安全管理制度。
网络的安全管理制度策略包括:
确定安全管理等级和安全管理范围;制订有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。
通过制度的约束,确定不同学员的网络访问权限,提高管理人员的安全防范意识,做到实时监控检测网络的活动,并在危害发生时,做到及时报警。
2.5操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。
操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。
从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。
而且系统本身必定存在安全漏洞。
这些后门和安全漏洞都将存在重大安全隐患。
系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。
第3章安全产品的配置与应用
3.1安全产品
常用的安全产品有5种:
防火墙、防病毒、身份认证、传输加密的入侵检测。
结合用户的网络、系统和应用的实际情况,对安全产品和安全技术作比较和分析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到的问题的产品,不要求新、求好和求大
(1)防火墙:
对包过滤技术、代理技术和状态检测技术的防火墙,都做一个概括和比较,结合用户网络系统的特点,帮助用户选择一种安全产品,对于选择的产品,一定要从中立的角度来说明。
(2)防病毒:
针对用户的系统和应用的特点,对桌面防病毒、服务器防病毒和网关防病毒做一个概括和比较,详细指出用户必须如何做,否则就会带来什么样的安全危险,一定要中肯、合适,不要夸大和缩小。
(3)身份认证:
从用户的系统和用户的认证的情况进行详细的分析,指出网络和应用本身的认证法会出现哪些风险,结合相关的产品和技术,通过部署这些产品和采用相关的安全技术,能够帮助用户解决所带来的危害和风险。
(4)传输加密:
要用户加密技术来分析,指出明文传输的巨大危害,通过结合相关的加密产品的技术,能够指出用户的现有情况存在哪些危害和风险。
(5)入侵检测:
对入侵检测技术要有一个详细的解释,指出在用户的网络和系统部署了相关的产品之后,对现有的安全情况会产生一个怎样的影响要有一个详细的分析。
结合相关的产品和技术,指出对用户的系统和网络会带来哪些好处,指出为什么必须要这样做,不这样做怎么样,会带来什么样的后果。
防病毒及特洛伊木马软件
3.2访问控制:
防火墙系统
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。
防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。
用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:
又称包过滤防火墙。
(2)双穴主机:
双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:
这种结构实际上是包过滤和代理的结合。
(4)屏蔽子网结构:
这种防火墙是双穴主机和被屏蔽主机的变形。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:
包过滤型、网络地址转换—NAT、代理型和监测型。
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。
防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。
有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
3.3入侵检测系统
入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。
一般而言,入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务,恶意使用六种类型。
概括的说,入侵表示系统发生了违反系统安全策略的事件。
入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危机系统安全的行为或活动,从而保护系统的资源不受攻击、防止系统数据的泄漏、篡改和破坏。
入侵检测系统是指能够通过分析与系统安全相关的数据来检测入侵活动的系统,包括入侵检测的软件和硬件的组合[20]。
从系统所执行的功能上来考虑,入侵检测系统必须包括如下三个功能部件:
提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生的响应部件。
“入侵检测”是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息,对这些信息加以分析,查看网络安全体系结构是否存在漏洞,主机系统和网络上是否有入侵事件发生,如果发现有入侵事件,自动对这些事件响应,同时给出相应提示。
企业办公部门比较多,内部网根据部门划分不同的子网网段。
每个部门或子网都有一个交换机,设置网络中心,有专门的网络管理员。
各个子网汇总到网络中,自连接到高性能服务器群,高性能服务器群放置在防火墙的DMZ区。
根据网络流量和保护数据的重要程度,选择IDS探测器配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
IDS部署方案图
在企业安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其它部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其它网络违规活动。
当发现网络攻击或未授权访问时,入侵检测可以进行如下反应:
(l)控制台报警。
(2)记录网络攻击事件。
(3)实时阻断网络连接。
(4)入侵检测可以过滤和监视TCP/工P协议。
系统管理员通过配置入侵检测,可以按协议,源端口,目的端口,源工P/目的工P地址过滤。
(5)入侵检测还支持用户自定义的网络安全事件监视。
(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为网络安全提供有效的保障。
3.4漏洞扫描系统
网络设备和软件在设计开发过程中不可避免存在缺陷和漏洞,漏洞随着时间推移越来越多;攻击者也从传统上的黑客高手,变成初学者用自动程序来完成攻击,这些都导致黑客攻击越来越容易实现,威胁程度越来越高。
由于网络本身及应用系统的复杂性,网络管理员失去了对网络资源的精确控制。
采用网络漏洞扫描器对存在的安全隐患进行检查,帮助管理员找出解决的方法。
企业内网网络的安全性决定了整个系统的安全性。
在企业内网高性能服务器处配置网络隐患扫描联动型产品。
联动型适用于企业内网这样的高端用户,联动型扫描系统包括扫描服务器和移动扫描仪。
扫描服务器部署于网络中心,高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活,可以跨越网段、穿透防火墙、主流IDS产品,多种主流联动协议Topsee、Opensec联动,与多种安全管理平台兼容,统一安全策略配置,保障全网安全。
通过部署多级联动型产品实现榕基分布式整体安全扫描,网络管理人员可以方便的通过控制扫描器就可以实现对多级管辖区域的服务器进行统一和及时管理,实现对管辖区域服务器,网络设备等的安全性,以保证整体网络的安全性,整体可控性、整体安全资源共享。
网络人员使用联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。
同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
通过部署漏洞扫描的联动设备,保障企业内网重要部门的网络安全的同时,提高每个部门的安全性就显得尤其重要。
只有部门的安全得到保证的前提下,企业内网才能够安全。
我们对这些部门进行合理的规划,可以将这些部门根据统一的配置策略,给下属部门、网络管理应用服务系统配置网络联动扫描系统来保证各个部门的安全性。
这样就可以很方便的管理信息点多、网络环境较固定、与企业的业务应用紧密相关的内网中。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。
同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络
升级会员 