畢業(yè)論文--企業(yè)網絡安全威脅的解決方案

1、<p>　　對中小型企業(yè)網絡安全威脅的解決方案</p><p>　　【摘要】 隨著網絡在生活中的進一步應用，網絡以及個人電腦的安全成為了迫在眉睫的問題。局域網在企業(yè)領域的應用也面臨著各種各樣的問題，涉及局域網安全，計算機安全和漏洞與web安全的防護，Vlan的應用等等。本文簡要介紹對中小企業(yè)網絡安全方面慰藉的解決方案以及每種方案的作用和優(yōu)勢。</p><p>　　【關鍵詞】 網

2、絡安全，Vlan，企業(yè)，防毒</p><p><b>　　網絡安全概述</b></p><p>　　1.1網絡安全的概念</p><p>　　1.2網絡安全的特征</p><p>　　1.3網絡安全的主要隱患</p><p>　　中小型企業(yè)的安全網絡架構</p><p&g

3、t;　　2.1選擇合適的網絡安全產品</p><p>　　2.2對網絡的日常維護</p><p><b>　　如何做到有效的防范</b></p><p><b>　　結論</b></p><p><b>　　參考文獻</b></p><p>　　隨著計算

4、機在生活和工作領域的深入應用，計算機網絡的安全成為不可忽視的問題。一個安全的局域網就必須要求做到完善，不論從物理布局還是軟件應用和防范方面來說，都應該做到沒有瑕疵以確保網絡的暢通和安全。這種安全的防范可以是多方面的，可以分為物理布局和軟件應用，也可以分為主動防御和被動防御等等；總之，安全并不是單一而泛泛的，而是全面覆蓋廣泛的。網絡安全的防御不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。</p&g

5、t;<p><b>　　網絡安全的概述</b></p><p>　　1.1網絡安全的概念</p><p>　　國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡的安全理解為：通過采用各種技術和管理措施，使網絡系統(tǒng)正常運行

6、，從而確保網絡數據的可用性、完整性和保密性。因此，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發(fā)生增加、修改、丟失和泄露等。</p><p>　　1.2 網絡安全的特征</p><p>　　隨著網絡的深入應用，網絡安全不斷惡化的趨勢并沒有得到有效的遏制，并且不論在國內還是國外，這種不斷惡化的趨勢正在給全球經濟的發(fā)展帶來的負面影響越來越大。</p><p&

7、gt;　　計算機網絡安全的威脅是多元化的，除了傳統(tǒng)的病毒、垃圾郵件以外，帶有更大威脅的廣告軟件、間諜軟件、釣魚等等紛紛加入到互聯網安全破壞者的行列。特別是間諜軟件。他的危害更是超越了傳統(tǒng)病毒，成為互聯網上最大的安全威脅。</p><p>　　網絡是把雙刃劍。人們在享受網絡帶來便利的同時，也必然承受著無法回避的網絡安全威脅。網絡本身所具有的應用廣泛性、互聯開放性、互動瞬時性、空間虛擬性、平臺核心性和相對脆弱性等特征

8、，也使這一安全威脅無處不在、無時不有、日益嚴峻、日益緊迫。網絡安全威脅橫跨于軍隊、地方，貫穿于平時、戰(zhàn)時，對國家的政治、經濟、軍事、文化等方方面面都提出了嚴峻的挑戰(zhàn)。</p><p>　　目前網絡安全的特點可以劃分為以下幾點：</p><p>　　入侵者難以追蹤很多有經驗的入侵者都不會采用簡單而單一的攻擊模式，多元化的攻擊</p><p>　　模式和多級跳板成為入

9、侵者難以追蹤的主要原因之一。因此，在搜索入侵者時需要更大更廣的調查和搜索。</p><p>　　攻擊手段靈活，聯合攻擊增多</p><p>　　網絡蠕蟲越來越發(fā)展成為傳統(tǒng)病毒、蠕蟲和黑客攻擊技術的結合體，不僅具有隱蔽性、傳染性和破壞性，還具有不依賴于人為操作的自主攻擊能力。新一代網絡蠕蟲的攻擊能力更強，并且和黑客攻擊、計算機病毒之間的界限越來越模糊，帶來更為嚴重的多方面的危害。</p

10、><p>　　垃圾郵件問題越發(fā)嚴重</p><p>　　電子郵件的安全問題層出不窮，垃圾郵件和病毒的勾結更加重了對網絡安全的威脅。在垃圾郵件中不僅僅有毫無用處的信息，還有病毒和惡意代碼。從傳播的范圍和速度來說，垃圾郵件是蠕蟲病毒的“最佳搭檔”。調查顯示，蠕蟲病毒制造的郵件已經占全球電子郵件通信量的20%至30%，造成了嚴重的網絡擁塞。</p><p>　　無線網絡、移動

11、手機漸成安全重災區(qū)。</p><p>　　在無線網絡中被傳輸的信息沒有加密或者加密很弱，很容易被竊取、修改和插入，存在較嚴重的安全漏洞，因此無線網絡正在成為黑客的理想目標。而無線網絡的安全標準在保護無線網絡安全方面的作用如何，還需要經過時間檢驗。另外，手機病毒利用普通短信、彩信、上網瀏覽、下載軟件與鈴聲等方式傳播，還將攻擊范圍擴大到移動網關、WAP服務器或其他的網絡設備。</p><p>

12、　　1.3 網絡安全的主要隱患</p><p>　　作為一個中小型企業(yè)，網絡的應用也是必不可少的。網絡是一個信息共享的場所，因此在網絡中信息的安全是十分突出的。如果在信息交換的過程中被黑客或者病毒感染，那后果是不堪設想的。據統(tǒng)計，在所發(fā)生的事件中，有32％的事件系內部黑客所為。另外，據美國國家電腦安全協(xié)會（NCSA）的調查表明，近期在各企業(yè)的病毒感染案例中，有近一半來自網絡中的電子郵件。因此，信息交換本身并不是威

13、脅，但是威脅卻存在與這種過程之中，我們要加強防范意識才可以有效的避免。</p><p>　　以上的感染屬于被動感染，即不是主動要求卻被迫感染了。此外還有黑客的主動攻擊，這種攻擊很難防范。黑客的攻擊手法主要包括：獵取訪問線路，偷取密碼口令，強行控制對方電腦，電腦格式化，加載病毒木馬等等。其主要的手法都是采用系統(tǒng)的漏洞進行攻擊，因此系統(tǒng)工程師也在不斷努力完善系統(tǒng)，來避免廣大用戶因為系統(tǒng)漏洞而被攻擊或泄露重要文件。不過

14、所謂道高一尺魔高一丈，隨著系統(tǒng)和工具軟件的豐富和完善，黑客的攻擊手段也在不斷更新。因此黑客的防范是迫在眉睫的。</p><p>　　最近，磁碟機病毒嚴重流行，該病毒會下載大量木馬，瘋狂盜竊網游帳號、QQ號、用戶隱私數據等等，幾乎無所不拿。磁碟機病毒的查殺非常不容易，因為用戶電腦上安裝的殺毒軟件可能已經被病毒破壞，并且，在你嘗試安裝其它殺毒軟件時，很可能安裝失敗。對安全廠商和用戶來說，磁碟機病毒專殺工具是最有效的解

15、決方案。同時，安全廠商對磁碟機病毒的聯合絞殺，促使病毒作者加快了升級頻率，由原來的兩天一個變 種，到每天都有新變種被截獲。我們觀察到越來越多的電腦被磁碟機病毒入侵，更多關于磁碟機病毒的信息被披露。這種最新的病毒爆發(fā)更是一發(fā)不可收拾，這也促使了防毒廠商進行更新，但是再快的更新專殺也是在病毒爆發(fā)之后發(fā)布的，但是在這段還沒發(fā)布解決方案的空白期，如何做到不讓電腦繼續(xù)被破壞便成了最大的課題。</p><p>　　由于大多數

16、企業(yè)擔心公布這些信息會對自身形象造成負面影響，所以我們相信仍舊有大量的信息安全事件沒有為大眾所知曉。而另一方面，因為很多企業(yè)沒有精力處理頻繁發(fā)生的攻擊事件，甚至大部分由于惡意攻擊造成的損失都沒有被正確估算。我們從一個側面可以了解到目前惡意攻擊已經演變到何等劇烈的程度，那就是現在企業(yè)對于駭客攻擊所持的態(tài)度。</p><p>　　僅僅是幾年前這些事件對于我們來說還是那么的遙遠與神秘，而現在當網絡發(fā)生問題時惡意攻擊已經

17、成為一個主要的被懷疑對象了。在中小企業(yè)的信息環(huán)境里，攻擊行為相對來說并不特別猛烈，或者說小型的信息設施相對較少受到有針對性的、強度很大的攻擊。但是，目前的中小企業(yè)所選用的軟件產品存在著大量的安全漏洞，而針對這些漏洞的自動化攻擊工具已經相當的民間化了。</p><p>　　對于沒有受到過濾保護的網絡節(jié)點來說，每時每刻都要承受大量網絡攻擊的考驗。即使這些攻擊是漫無目的的，但仍有很大可能突破那些疏于管理的計算機設施。從

18、某種程度上來講，這些不講究策略的攻擊者對中小企業(yè)的安全威脅要更大一些。</p><p>　　計算機病毒這樣的威脅更能體現這一問題。當下傳播最為廣泛的蠕蟲類病毒和很多攻擊程序一樣，利用系統(tǒng)的安全漏洞進行傳播，而且并沒有特定的感染目標。對于一些蠕蟲病毒來說，在一個小時的時間里就可以輕松的感染數以十萬計的計算機。為了解決網絡攻擊方面的安全隱患，企業(yè)需要進行很多工作。</p><p>　　單純的應

19、用安全防護產品是無法避免這類攻擊行為的，企業(yè)還必須執(zhí)行補丁管理等輔助的安全管理措施。在中小企業(yè)中，進行這些工作有很多先天性的“阻礙”。資源不足、IT設施管理松散、員工行為隨意性較強等問題給信息安全工作提出了很大的挑戰(zhàn)。而作為應對的不僅僅是企業(yè)單方面的意識提高，更適合中小企業(yè)實際情況的安全防御產品目前也存在著很大的空白。雖然近兩年涌現的很多整合式的信息安全設備在總體成本和易用性上提供了很多吸引中小企業(yè)的特性，但是還不足以解決目前中小企業(yè)在

20、信息安全領域所遭受的困境。</p><p><b>　　架設安全的網絡</b></p><p>　　2.1選擇合適的網絡安全產品</p><p>　　一款合適的安全產品是網絡安全的基石，通過在局域網中安裝一定數量的安全設備能夠是網絡的安全性得到增強，并且降低管理的難度，提高管理的有效性。</p><p>　　首先，在局域

21、網中一樣必不可少的安全設備即是防火墻。它的安裝位置為局域網合路由器之間，或者WWW服務器與托管機房局域網之間。局域網內防火墻的作用為：一. 實現單向訪問，允許局域網用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網資源的訪問;二. 通過防火墻，將整個局域網劃分INTERNET，DMZ區(qū)，內網訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網絡進行管理;三. 局域網所有工作站和服務器處于防火墻地整體防護之下，只要通過防火墻設

22、置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網絡管理員只需要關注DMZ區(qū)對外提供服務的相關應用的安全漏洞;四. 通過防火墻的過濾規(guī)則，實現端口級控制，限制局域網用戶對INTERNET的訪問;五. 進行流量控制，確保重要業(yè)務對流量的要求;六. 通過過濾規(guī)則，以時間為控制要素，限制大流量網絡應用在上班時間的使用。因此，一臺功能強大的局域網防火墻勢必能夠有效的管理局域網以避免遭受攻擊。</p><p>

23、　　其次是入侵檢測。它的安裝位置是局域網DMZ區(qū)以及托管機房服務器區(qū)。他的作用為：一. 作為旁路設備，監(jiān)控網絡中的信息，統(tǒng)計并記錄網絡中的異常主機以及異常連接，二. 中斷異常連接。三. 通過聯動機制，向防火墻發(fā)送指令，在限定的時間內對特定的IP地址實施封堵。</p><p>　　第三，網絡防病毒軟件控制中心以及客戶端軟件。它的安裝位置是局域網防病毒服務器以及各個終端。防病毒服務器作用是：一.作為防病毒軟件的控制中

24、心，及時通過INTERNET更新病毒庫，并強制局域網中已開機的終端及時更新病毒庫軟件;二. 記錄各個終端的病毒庫升級情況;三. 記錄局域網中計算機病毒出現的時間、類型以及后續(xù)處理措施。一款強大的企業(yè)級防毒軟件是必不可少的，集中管理的效率也是大大增加的，選擇一款適合自己企業(yè)的產品是必要的。</p><p>　　第四，郵件防病毒服務器合反垃圾郵件系統(tǒng)。兩個功能可以是一個產品也可能是兩個獨立的系統(tǒng)，根據各個企業(yè)的需求而

25、定。這兩個功能的作用都是對來自internet或者局域網的垃圾郵件進行過濾掃描或者轉發(fā)等處理方式，并可以通過電子郵件的方式通知網管處理情況如何。</p><p>　　第五。，網絡管理軟件。他的作用是收集局域網內所有資源的硬件信息，所有終端合服務器造作系統(tǒng)合補丁軟件的相關信息，路由器交換機等網絡設備的工作情況等等，還能顯示網絡的實時狀況。是一個能起到第一時間向網管反應當前問題的軟件。</p><

26、p>　　第六，QOS流量管理系統(tǒng)。其作用就是通過IP地址，為重要用戶分配足夠的帶寬;或者通過端口，為重要的應用分配足夠的帶寬資源;并且限制非業(yè)務流量的帶寬。</p><p>　　第七，終端個人防護軟件。他不同與殺毒軟件，但是又和殺毒軟件有異曲同工之妙。其主要作用是不允許任何主機(包括局域網主機)非授權訪問重要終端資源; 防止局域網感染病毒主機通過攻擊的方式感染重要終端，同時也提供個人終端的保護來防止病毒木馬

27、等。</p><p>　　2.2網絡安全的日常維護</p><p>　　即使在有了安全的設備和網絡拓撲之后，整個網絡也并不是相當完善的，還應當采用一定的安全服務，定期對網絡精心檢測和改進，已達到東帶增進網絡的安全性，在最大限度上發(fā)揮安全設備的作用。網絡安全的日常維護即是安全服務之一，并不是說網絡設備、服務器配置好了就絕對安全了，操作系統(tǒng)和一些軟件的漏洞是不斷被發(fā)現的，比如沖擊波、震蕩波病

28、毒就是利用系統(tǒng)漏洞，同樣利用這些漏洞可以溢出得到系統(tǒng)管理員權限， server-U的提升權限漏洞也可以被利用。在這些漏洞未被發(fā)現前，我們覺得系統(tǒng)是安全的，其實還是不安全的，也許漏洞在未公布前已經被部分hacker 所知，也就是說系統(tǒng)和應用軟件我們不知道還會存在什么漏洞，那么日常性的防護就顯得尤為必要。</p><p>　　那么如何做好日常的網絡安全維護呢？簡單的可以分為五大步驟。</p><p

29、>　　一、做好基礎性的防護工作，服務器安裝干凈的操作系統(tǒng)，不需要的服務一律不裝，多一項就多一種被入侵的可能性，打齊所有補丁，微軟的操作系統(tǒng)當然推薦WIN2K3，性能和安全性比WIN2K都有所增強，選擇一款優(yōu)秀的殺毒軟件，至少能對付大多數木馬和病毒 的，安裝好殺毒軟件，設置好時間段自動上網升級，設置好帳號和權限，設置的用戶盡可能的少，對用戶的權限盡可能的小，密碼設置要足夠強壯。對于MSSQL，也要設置分配好權限，按照最小原則分配。最

30、好禁用xp_cmdshell。有的網絡有硬件防火墻，當 然好，但僅僅依靠硬件防火墻，并不能阻擋hacker的攻擊，利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統(tǒng)自帶的防火墻功能還不夠強大，建議打開，但還需要安裝一款優(yōu)秀的軟件防火墻保護系統(tǒng)，我一般習慣用ZA，論壇有 很多教程了。對于對互聯網提供服務的服務器，軟件防火墻的安全級別設置為最高，然后僅僅開放提供服務的端口，其他一律關閉，對于服務器上所有要訪問網絡

31、的程序，現在防火墻都會給予提示是否允許訪問，根據情況對于系統(tǒng)升級，殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那</p><p>　　二、修補所有已知的漏洞，未知的就沒法修補了，所以要養(yǎng)成良好的習慣，就是要經常去關注。了解自己的系統(tǒng)，知彼知己，百戰(zhàn)百勝。所有補丁是否打齊，比如mssql,server-U，每一個漏洞幾乎都是致命的，系統(tǒng)開了哪些服務，開了哪些端口，目前開的這些服務中有沒有漏洞可以

32、被黑客應用，經常性的了解當前黑客攻擊的手法和可以被利用的漏洞，檢查自己的系統(tǒng)中是否存在這些漏洞。比如SQL注入漏洞，很多網站 都是因為這個服務器被入侵，如果我們作為網站或者服務器的管理者，我們就應該經常去關注這些技術，自己經?？梢杂靡恍┌踩話呙韫ぞ邫z測檢測，比如X- scan，snamp, nbsi，PHP注入檢測工具等，或者是用當前比較流行的hacker入侵工具檢測自己的系統(tǒng)是否存在漏洞，這得針對自己的系統(tǒng)開的服務去檢測，發(fā)現漏洞及

33、時修補。網絡管理人員不可能對每一方面都很精通，可以請精通的人員幫助檢測，</p><p>　　三、服務器的遠程管理，相信很多人都喜歡用server自帶的遠程終端，我也喜歡，簡潔速度快。但對于外網開放的服務器來說，就要謹慎了，要想到自己能用，那么這個端口就對外開放了，黑客也可以用，所以也要做一些防護了。一就是用證書策略來限制訪問者，給 TS配置安全證書，客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP

34、地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件，pcanywhere也不錯。</p><p>　　四、另外一個容易忽視的環(huán)節(jié)是網絡容易被薄弱的環(huán)節(jié)所攻破，服務器配置安全了，但網絡存在其他不安全的機器，還是容易被攻破，“千里之堤，潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板，可以對整個網絡進行滲透攻擊，所以安全的配置網絡中的機器也很必要。說到跳板攻擊，水平稍高一點的h

35、acker攻擊一般都會隱藏其真實IP，所以說如果被入侵了，再去追查的話是很難成功的。Hacker利用控制的 肉雞，肉雞一般都是有漏洞被完全控制的計算機，安裝了一些代理程序或者黑客軟件，比如DDOS攻擊軟件，跳板程序等，這些肉雞就成為黑客的跳板，從而隱藏了真實IP。</p><p>　　五、最后想說的是即使大家經過層層防護，系統(tǒng)也未必就絕對安全了，但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統(tǒng)

36、絕對安全。系統(tǒng)即使只開放80端口， 如果服務方面存在漏洞的話，水平高的hacker還是可以鉆進去，所以最關鍵的一點我認為還是關注最新漏洞，發(fā)現就要及時修補?！肮ゾ褪欠?，防就是攻” ，這個觀點我比較贊同，我說的意思并不是要去攻擊別人的網站，而是要了解別人的攻擊手法，更好的做好防護。比如不知道什么叫克隆管理員賬號，也許你的機器已經被入侵并被克隆了賬號，可能你還不知道呢?如果知道有這種手法，也許就會更注意這方面。</p><

37、;p><b>　　如何做到有效的防范</b></p><p>　　對信息設施的誤用既像惡意攻擊的孿生兄弟又與其存在明顯的因果關系。因為我們探討的信息安全問題并不僅僅包括駭客行為所帶來的經濟及非經濟損失，只要對信息設施的運行造成障礙的行為都能夠被劃歸到信息安全范疇進行管理。</p><p>　　在很多時候，企業(yè)的員工都會因為某些不經意的行為對企業(yè)的信息資產造成破壞

38、。尤其是在中小企業(yè)中，企業(yè)員工的信息安全意識是相對落后的。而企業(yè)管理層在大部分情況下也不能很好的對企業(yè)信息資產做出鑒別。從更高的層次來分析，中小企業(yè)尚無法將信息安全的理念融入到企業(yè)的整體經營理念中，這導致了企業(yè)的信息管理中存在著大量的安全盲點和誤區(qū)。</p><p>　　這類問題使得信息安全廠商不得不頻繁重申服務對于信息安全業(yè)務的重要性。這既可以看作是國內信息安全產業(yè)一種進步的表現，同時又體現出我們在信息安全理念

39、建設方面的巨大差距。好在除了供應商之外，用戶也已經深刻的認識到同樣的問題，相信經過廣泛的培訓和教育，這種現狀可以被很好的改善。</p><p>　　除了對信息設施的錯誤使用之外，濫用的問題在近一段時間表現的更為突出一些，并且由于濫用問題更加模糊和難以界定，使企業(yè)在處理類似問題的時候頗顯捉襟見肘。雖然近年來被廣泛關注的P2P傳輸問題并不是一個典型的信息安全問題，但由于這些傳輸流量常常嚴重干擾企業(yè)的正常通信流量而且也

40、存在著一些泄漏企業(yè)信息的風險，所以這確實是信息設施濫用問題的一個較好的示例。</p><p><b>　　第五章 結論</b></p><p>　　中小企業(yè)的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間的發(fā)展，中小企業(yè)所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業(yè)將自己的智力資產建構在其信息設施基礎之上，對于信息安全的需求也會

41、迅速的成長。</p><p>　　另外，隨著新技術、新產品的不斷涌現，網絡技術的不斷發(fā)展，對于網絡安全的要求不斷提高，在實際實施過程中采取的措施完全可能超越本文中提及的產品、服務、支持，這也是安全建設的最基本原則：不斷改進，不斷增強，安全無止境。</p><p>　　謝詞：通過論文又讓我學到了不少知識，感謝**老師的細心指導。</p><p><b>