版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、<p><b> 畢 業(yè) 論 文</b></p><p> 論文題目: 企業(yè)局域網(wǎng)的組建與應(yīng)用 </p><p><b> 內(nèi) 容 摘 要</b></p><p> 本文結(jié)合當(dāng)今企業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢,通過對當(dāng)前中小企業(yè)存在的一些安全隱患和安全建設(shè)的需求分析,提出了一種針對企業(yè)網(wǎng)絡(luò)安全的解決方案。該解
2、決方案在遵照網(wǎng)絡(luò)安全通用設(shè)計原則的情況下,融合了當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品,如:防火墻/防水墻、網(wǎng)絡(luò)反病毒軟件、IDS/IPS、容災(zāi)和數(shù)據(jù)備份等,并強調(diào)了加強安全管理措施、制定科學(xué)的管理策略的必要性。網(wǎng)絡(luò)安全體系的建設(shè)是一個長期的、動態(tài)變化的過程,在新的網(wǎng)絡(luò)安全和防御技術(shù)不斷出現(xiàn)的同時,新的入侵和攻擊手段也不斷變化。任何一個安全體系的設(shè)計方案都不能完全解決所有的安全問題。但隨著企業(yè)網(wǎng)絡(luò)化和信息化進(jìn)程的推進(jìn),對網(wǎng)絡(luò)安全問題的認(rèn)識也會在管
3、理體制上、理論研究上、技術(shù)儲備上不斷地深化和改進(jìn),為提出解決網(wǎng)絡(luò)安全問題的更加有效的可行性方案提供思路和途徑。 </p><p> [關(guān)鍵詞] 網(wǎng)絡(luò)安全 安全需求 管理策略 解決方案</p><p><b> Abstract</b></p><p> In this paper, combining with the developme
4、nt trend of the enterprise network security, through the analysis of some security hidden danger and safety construction on the existing small and medium-sized enterprises demand, presents a solution for the enterprise n
5、etwork security. The solution in accordance with the general design principles of network security situation, the fusion of the advanced network security technologies and products, such as: firewall / waterproof wall, ne
6、twork anti-virus </p><p><b> 目 錄</b></p><p><b> 1、緒論1</b></p><p> 2、企業(yè)網(wǎng)絡(luò)安全綜述1</p><p> 2.1企業(yè)網(wǎng)絡(luò)安全及存在的問題1</p><p> 2.1.1|企業(yè)網(wǎng)
7、絡(luò)安全的概念1</p><p> 2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問題1</p><p> 2.2網(wǎng)絡(luò)安全建設(shè)的必要性1</p><p> 2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)1</p><p> 2.2.2網(wǎng)絡(luò)安全建設(shè)中存在的誤區(qū)2</p><p> 2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀3</p>&l
8、t;p> 2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入3</p><p> 2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足3</p><p> 2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全3</p><p> 3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析3</p><p> 3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)4</p><p>
9、3.1.1網(wǎng)絡(luò)安全問題的產(chǎn)生及影響4</p><p> 3.1.2網(wǎng)絡(luò)安全體系的層次劃分4</p><p> 3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全4</p><p> 3.2.1網(wǎng)絡(luò)操作系統(tǒng)的概念4</p><p> 3.2.2.網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)4</p><p> 3.3用戶層和應(yīng)用層安全5<
10、/p><p> 3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅5</p><p> 3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)5</p><p> 3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全5</p><p> 3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析5</p><p> 3.4.2傳輸層安全防護(hù)需求分析6</p>&
11、lt;p> 3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析6</p><p> 4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案7</p><p> 4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃7</p><p> 4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計規(guī)劃7</p><p> 4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計方案8</p><p> 4.2.1網(wǎng)絡(luò)
12、拓?fù)浣Y(jié)構(gòu)設(shè)計方案8</p><p> 4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案9</p><p> 4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計10</p><p> 4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計11</p><p> 4.3.1企業(yè)安全管理制度建設(shè)分析11</p><p> 4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動分
13、析12</p><p><b> 結(jié)論13</b></p><p><b> 致謝14</b></p><p><b> 參考文獻(xiàn)15</b></p><p><b> 1、緒論</b></p><p> 當(dāng)前,隨
14、著全球信息化步伐的不斷加快和計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,經(jīng)濟(jì)全球化已經(jīng)成為必然趨勢,網(wǎng)絡(luò)作為信息交互的主要手段,正引領(lǐng)企業(yè)信息化建設(shè)的巨大變革。企業(yè)網(wǎng)絡(luò)已經(jīng)由簡單的單機互聯(lián)和文件處理,發(fā)展為集辦公自動化、業(yè)務(wù)流程處理、員工績效管理等為一體的復(fù)雜的企業(yè)內(nèi)部網(wǎng),并與企業(yè)外部的國際互聯(lián)網(wǎng)相融合,發(fā)展為計算機信息交互和協(xié)同處理的網(wǎng)絡(luò)系統(tǒng),已由傳統(tǒng)的C/S模式向B/S模式再到企業(yè)網(wǎng)格進(jìn)行轉(zhuǎn)變。</p><p> 企業(yè)網(wǎng)絡(luò)作
15、為一種復(fù)雜而集成的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的同時,傳統(tǒng)的網(wǎng)絡(luò)安全威脅依舊存在,病毒、木馬、蠕蟲等肆虐,網(wǎng)絡(luò)攻擊手段日趨多樣化,破壞力巨大并具有隱蔽性,時刻威脅著企業(yè)的網(wǎng)絡(luò)安全。</p><p> 本文針對企業(yè)網(wǎng)絡(luò)的安全建設(shè)問題,重點分析了如何構(gòu)建一個可靠的網(wǎng)絡(luò)安全防御體系。面向當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀,提出了一種具有典型意義的企業(yè)網(wǎng)網(wǎng)絡(luò)安全的解決方案。</p><p> 2、企業(yè)網(wǎng)絡(luò)安全綜述
16、</p><p> 2.1企業(yè)網(wǎng)絡(luò)安全及存在的問題</p><p> 2.1.1企業(yè)網(wǎng)絡(luò)安全的概念</p><p> 當(dāng)前企業(yè)信息化的普及,使得企業(yè)的生產(chǎn)經(jīng)營相關(guān)的業(yè)務(wù)體系,都立足于Internet/Intranet環(huán)境?;诖耍髽I(yè)網(wǎng)絡(luò)安全也要從內(nèi)部和外部,也就是Intranet和Internet兩個方面來考量。企業(yè)網(wǎng)絡(luò)安全建設(shè)方案,也包括內(nèi)部的安全系統(tǒng)建設(shè)
17、和外部入侵的防御檢測系統(tǒng)建設(shè)兩個方面。</p><p> 一般來說,企業(yè)網(wǎng)絡(luò)安全是指企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)(Intranet環(huán)境)的所有軟硬件設(shè)施及網(wǎng)絡(luò)系統(tǒng)中所存儲的數(shù)據(jù)受到全方位的保護(hù),不因來自內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)(Internet環(huán)境)的偶然的或惡意原因而遭到破壞、更改和泄露。即使在突發(fā)情況下,網(wǎng)絡(luò)系統(tǒng)依舊能夠可靠運行,系統(tǒng)內(nèi)部的重要數(shù)據(jù)得以保護(hù)和備份并使得網(wǎng)絡(luò)服務(wù)不被中斷。</p><p&g
18、t; 2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問題</p><p> 企業(yè)網(wǎng)絡(luò)一般都是接入Internet的,其網(wǎng)絡(luò)環(huán)境的開放性,可以增強網(wǎng)絡(luò)系統(tǒng)的應(yīng)用性,但也對企業(yè)網(wǎng)絡(luò)信息安全提出了更多更高的要求。一般企業(yè)網(wǎng)絡(luò)的都是基于Windows平臺的應(yīng)用系統(tǒng),主要有WEB服務(wù)、E-mail系統(tǒng)、MIS、進(jìn)貨和銷售系統(tǒng)、財務(wù)統(tǒng)計系統(tǒng)、人事管理系統(tǒng)等。這些系統(tǒng)往往自成體系,沒有統(tǒng)一的資源管理與訪問控制策略。而且隨著企業(yè)的發(fā)展系統(tǒng)的
19、安全層次也會愈發(fā)多樣。整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在兩個方面的安全問題:</p><p> ?。?)企業(yè)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全性。對接入互聯(lián)網(wǎng)的子網(wǎng),要采取嚴(yán)格的訪問控制策略和入侵檢測措施。</p><p> (2)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。企業(yè)內(nèi)部的網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)最為注重的方面。最常見的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和
20、防范技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。</p><p> 2.2網(wǎng)絡(luò)安全建設(shè)的必要性</p><p> 2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)</p><p> 計算機和電子技術(shù)的發(fā)展使得計算機網(wǎng)絡(luò)技術(shù)不斷融合新的技術(shù),企業(yè)網(wǎng)絡(luò)也因此發(fā)展和進(jìn)步,具備了許多新特性,這給網(wǎng)絡(luò)建設(shè)帶來了更大難度。</p
21、><p> 網(wǎng)格概念的提出和互聯(lián)網(wǎng)的建設(shè),在使得網(wǎng)絡(luò)極大的發(fā)揮其效能的同時,也使得企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜性和多樣行凸顯。這表現(xiàn)在以下幾個方面:</p><p> 首先,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有復(fù)雜性。網(wǎng)絡(luò)互聯(lián)是個拓?fù)浣Y(jié)構(gòu),除掉各個計算機終端節(jié)點之外,還需要各種互連設(shè)備,比如交換機、路由器等。各式各樣的設(shè)備互連設(shè)備,又同時將整個企業(yè)網(wǎng)絡(luò)劃分為幾個小局域網(wǎng),組成了網(wǎng)絡(luò)互連結(jié)構(gòu)。</p><
22、;p> 其次,網(wǎng)絡(luò)軟硬件設(shè)備的復(fù)雜性。網(wǎng)絡(luò)設(shè)備一方面是指網(wǎng)絡(luò)互聯(lián)的硬件設(shè)備以及運行其上的網(wǎng)絡(luò)管理軟件。另一方面,是指各個網(wǎng)絡(luò)終端結(jié)點設(shè)備以及搭載其上的軟件系統(tǒng)。網(wǎng)絡(luò)軟件在鏈路層、傳輸層和應(yīng)用層都可以發(fā)揮數(shù)據(jù)檢測作用,單機操作系統(tǒng)可以選擇服務(wù)器版本,并安裝防火墻軟件和殺毒軟件,同時根據(jù)網(wǎng)絡(luò)特性配置過濾規(guī)則。</p><p> 最后,網(wǎng)絡(luò)管理和網(wǎng)絡(luò)用戶的復(fù)雜性。網(wǎng)絡(luò)管理,一方面是針對網(wǎng)絡(luò)用戶的訪問管理,一方
23、面是針對網(wǎng)絡(luò)設(shè)備和運行其上的網(wǎng)絡(luò)軟件的管理。網(wǎng)絡(luò)管理一般由專人負(fù)責(zé),稱為網(wǎng)絡(luò)管理員。他一方面要負(fù)責(zé)通過各種網(wǎng)絡(luò)管理軟件,對網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)訪問和存儲的用戶行為進(jìn)行監(jiān)控,另一方面要制定各種網(wǎng)絡(luò)訪問策略和監(jiān)控策略,比如過濾規(guī)則,路由規(guī)則等。</p><p> 總之,網(wǎng)絡(luò)的多樣性和復(fù)雜性,使得網(wǎng)絡(luò)自身和網(wǎng)絡(luò)的管理存在諸多問題,需要專人負(fù)責(zé)網(wǎng)絡(luò)安全建設(shè)。</p><p> 2.2.2網(wǎng)絡(luò)安全建設(shè)
24、中存在的誤區(qū)</p><p> 通過調(diào)查發(fā)現(xiàn),無論是網(wǎng)絡(luò)用戶還是網(wǎng)絡(luò)管理者,都對網(wǎng)絡(luò)安全存在一些認(rèn)識上的誤區(qū),主要表現(xiàn)在:</p><p> ?。?)網(wǎng)絡(luò)建設(shè)無需太多投入。</p><p> 出于成本的壓力,中小企業(yè)一般在網(wǎng)絡(luò)建設(shè)的投入上不足。中小企業(yè)網(wǎng)絡(luò)一般只有十幾到幾十臺客戶端,網(wǎng)絡(luò)互聯(lián)產(chǎn)品一般選用24口交換機,帶動其他的交換機,選用家用級別的路由器接入互聯(lián)
25、網(wǎng),從而組成一個小型辦公網(wǎng)絡(luò)環(huán)境,事實上,這種接入方式和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),會導(dǎo)致網(wǎng)速非常慢,堵塞嚴(yán)重,掉包頻繁。</p><p> ?。?)網(wǎng)絡(luò)管理無需專人負(fù)責(zé)。</p><p> 沒有網(wǎng)絡(luò)管理人員對企業(yè)網(wǎng)絡(luò)進(jìn)行維護(hù)的原因在于,大多數(shù)中小企業(yè)網(wǎng)絡(luò)安全需求沒有得到管理者的足夠重視,大部分中小企業(yè)沒有設(shè)置專職網(wǎng)絡(luò)管理員,而采用兼職管理方式,沒有針對企業(yè)網(wǎng)絡(luò)配置網(wǎng)絡(luò)環(huán)境,選用管理和安全軟件,并對過
26、濾規(guī)則進(jìn)行設(shè)計。這必然會導(dǎo)致技術(shù)基礎(chǔ)和技術(shù)儲備的匱乏,使得網(wǎng)絡(luò)管理在軟硬件方面上都有先天缺陷,在網(wǎng)絡(luò)穩(wěn)定性和安全性方面存在嚴(yán)重隱患。這種情況下,即使有網(wǎng)絡(luò)攻擊或者病毒的入侵,網(wǎng)絡(luò)使用者也很難及時發(fā)現(xiàn)以阻止入侵,更不用說挽回?fù)p失了。</p><p> (3)網(wǎng)絡(luò)安全軟件無需專業(yè)化。</p><p> 很多中小企業(yè)網(wǎng)絡(luò)安全,都是依靠桌面殺毒軟件解決的。桌面殺毒軟件并不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。
27、一旦有惡性病毒大規(guī)模爆發(fā)時,網(wǎng)絡(luò)病毒在內(nèi)部局域網(wǎng)瘋狂流竄,一方面病毒的肆虐傳播造成網(wǎng)絡(luò)堵塞,破壞系統(tǒng)文件使電腦不能正常工作,另一方面,會導(dǎo)致病毒感染網(wǎng)絡(luò)內(nèi)部主機,潛伏下來,借助網(wǎng)絡(luò)漏洞,伺機在網(wǎng)絡(luò)內(nèi)部傳輸,普通的殺毒軟件并不能消滅干凈。</p><p> 網(wǎng)絡(luò)管理中,需要一種具備全局控制能力的殺毒軟件,在局域網(wǎng)中任何一臺機器感染病毒時,都可以檢測到,并阻止其傳播,否則局域網(wǎng)病毒嚴(yán)重的導(dǎo)致局域網(wǎng)癱瘓,更甚至可能使
28、整個系統(tǒng)崩潰。</p><p> 2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀</p><p> 網(wǎng)絡(luò)安全建設(shè)普遍存在著如下問題:網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),缺乏宏觀的了解;對于網(wǎng)絡(luò)的構(gòu)成,缺乏清晰的認(rèn)識;對于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,關(guān)鍵節(jié)點缺乏有效管理;對于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全軟件缺乏深入的原理理解和足夠的應(yīng)用經(jīng)驗等等。</p><p> 2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入</p>
29、<p> 企業(yè)網(wǎng)絡(luò)中,用戶主要來自于內(nèi)部,由受信任的內(nèi)部用戶發(fā)起的攻擊是最危險的一種形式。因此內(nèi)部安全威脅已經(jīng)上升為主要矛盾。</p><p> 一方面,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)一般是針對內(nèi)部網(wǎng)絡(luò)設(shè)計的,互連設(shè)備的部署也主要是針對內(nèi)部網(wǎng)絡(luò)。如何針對內(nèi)部網(wǎng)絡(luò)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),選用互連設(shè)備,構(gòu)建內(nèi)部局域網(wǎng)中的局域網(wǎng),杜絕網(wǎng)絡(luò)擁塞的出現(xiàn),是當(dāng)前研究領(lǐng)域的熱點問題。這需要針對企業(yè)網(wǎng)絡(luò)的性能,需要特定的優(yōu)化設(shè)計。&
30、lt;/p><p> 另一方面,對于網(wǎng)絡(luò)安全,更需要一體化的管理和安全防御體系建設(shè),在防御軟件上,要針對特定的網(wǎng)絡(luò)應(yīng)用,部署專門的網(wǎng)絡(luò)防火墻和殺毒軟件。通過制定特定的防御規(guī)劃,設(shè)計或者修改軟件過濾規(guī)則,過濾網(wǎng)絡(luò)環(huán)境中的不良信息,這些都需要企業(yè)管理者投入人力物力進(jìn)行設(shè)計和研發(fā)。</p><p> 2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足</p><p> 每一種網(wǎng)絡(luò)拓
31、撲結(jié)構(gòu),對應(yīng)一種網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計,在相應(yīng)的網(wǎng)絡(luò)安全體系建設(shè)中,安全軟件的部署也要有其特點,適應(yīng)網(wǎng)絡(luò)信息流動和安全檢測工作。然而,企業(yè)特別是中小型企業(yè),在網(wǎng)絡(luò)安全體系的建設(shè)中還存在以下不足:</p><p> 傳統(tǒng)防護(hù)體系在系統(tǒng)化設(shè)計上存在欠缺。</p><p> 企業(yè)對外部互聯(lián)網(wǎng)的接入,應(yīng)該設(shè)計系統(tǒng)化的防護(hù)體系,這并非是簡簡單單的防火墻就可以完成的,應(yīng)由專業(yè)認(rèn)識進(jìn)行設(shè)計。一般可采取防火
32、墻與入侵檢測系統(tǒng)(IDS)聯(lián)動的方式,對網(wǎng)絡(luò)進(jìn)行動靜結(jié)合的保護(hù)。網(wǎng)絡(luò)管理軟件和安全軟件的協(xié)作,對網(wǎng)絡(luò)內(nèi)外兩個部分都進(jìn)行可靠管理。</p><p> 2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全</p><p> 在網(wǎng)絡(luò)的管理上,國家有關(guān)部門也頒布了一些法律法規(guī),比如《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》。各個企業(yè)也有自己的一套管理辦法,具體到不同的網(wǎng)絡(luò)部門,也應(yīng)該有自己的一套經(jīng)過實踐檢
33、驗并行之有效的網(wǎng)絡(luò)安全設(shè)計規(guī)程。 </p><p> 作為企業(yè)網(wǎng)絡(luò)安全保證的網(wǎng)絡(luò)安全管理制度,一方面,它是一個企業(yè)針對網(wǎng)絡(luò)使用和網(wǎng)絡(luò)信息安全,所采取的切實有效的規(guī)章制度,是規(guī)范網(wǎng)絡(luò)用戶行為的準(zhǔn)則。另一方面,安全管理制度也是網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)用戶行為進(jìn)行審核的標(biāo)準(zhǔn),任何違反網(wǎng)絡(luò)安全規(guī)章制度的行為,都應(yīng)該被網(wǎng)絡(luò)管理系統(tǒng)發(fā)現(xiàn),網(wǎng)絡(luò)用戶不安全的操作行為,也應(yīng)該由網(wǎng)絡(luò)管理軟件或者網(wǎng)絡(luò)管理員發(fā)出警告。</p>
34、<p> 構(gòu)建一套合理的網(wǎng)絡(luò)安全管理規(guī)章和制度,是一個企業(yè)在制度上落實網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié),也是經(jīng)過許多企業(yè)網(wǎng)絡(luò)建設(shè)的成功和失敗的經(jīng)驗教訓(xùn)檢測之后的行之有效的舉措之一。</p><p> 3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析</p><p> 通過第二章中對網(wǎng)絡(luò)安全和企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀分析,可知構(gòu)建一個合理有效的企業(yè)網(wǎng)絡(luò)安全體系和規(guī)則,對于解決網(wǎng)絡(luò)安全建設(shè)中所暴露出來的諸多
35、問題是大有必要的。本章將對網(wǎng)絡(luò)安全建設(shè)進(jìn)行需求分析,在網(wǎng)絡(luò)安全的系統(tǒng)層次設(shè)計和應(yīng)用軟件設(shè)計方面,對網(wǎng)絡(luò)安全建設(shè)的需求情況進(jìn)行詳盡的論述。</p><p> 3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)</p><p> 3.1.1網(wǎng)絡(luò)安全問題的產(chǎn)生及影響</p><p> 網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)體系結(jié)構(gòu)的各個方面,網(wǎng)絡(luò)安全問題的出現(xiàn)一般是由以下三個原因造成的:一是操作網(wǎng)絡(luò)的內(nèi)部人員的
36、操作失誤;二是企業(yè)外部有目的的攻擊和竊取信息的行為;三是某些網(wǎng)絡(luò)設(shè)備和軟件系統(tǒng)制造商在網(wǎng)絡(luò)設(shè)備的軟、硬件中放置危害網(wǎng)絡(luò)、盜竊信息的程序。</p><p> 3.1.2網(wǎng)絡(luò)安全體系的層次劃分</p><p> 網(wǎng)絡(luò)安全中安全措施劃分,主要有如下幾個方面:</p><p> ?。?)數(shù)據(jù)源鑒別。在連接和傳送數(shù)據(jù)時鑒別相應(yīng)的協(xié)議實體,而后決定提供或者拒絕服務(wù)。<
37、/p><p> ?。?)訪問控制。限制用戶訪問網(wǎng)絡(luò)資源的授權(quán),可以防止未經(jīng)許可暴露所傳輸數(shù)據(jù)的內(nèi)容。</p><p> ?。?)完整性服務(wù)。包含網(wǎng)絡(luò)協(xié)議不受篡改,確保服務(wù)順利完成。主要用于防止他人利用網(wǎng)絡(luò)修改傳輸數(shù)據(jù),以保證發(fā)送和接收的數(shù)據(jù)一致。</p><p> 3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全</p><p> 3.2.1.網(wǎng)絡(luò)操作系統(tǒng)的概念&
38、lt;/p><p> 計算機網(wǎng)絡(luò)是由多個相互獨立的計算機系統(tǒng)通過通信媒體連接起來的?各計算機都具有一個完整獨立的操作系統(tǒng),網(wǎng)絡(luò)操作系統(tǒng)(NOS)是建立在這些獨立的操作系統(tǒng)基礎(chǔ)上用以擴(kuò)充網(wǎng)絡(luò)功能的系統(tǒng)(系統(tǒng)平臺)?</p><p> 3.2.2網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)</p><p> 網(wǎng)絡(luò)設(shè)備中主流操作系統(tǒng)有類UNIX和Windows系列,LINUX作為開源系統(tǒng),兼
39、具UNIX強大的網(wǎng)絡(luò)功能。而Windows平臺更是推出了Windows Server系列,滿足網(wǎng)絡(luò)服務(wù)的需求。用戶的應(yīng)用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運行,操作系統(tǒng)為各工具軟件提供支持,因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡(luò)系統(tǒng)的安全。</p><p> 網(wǎng)絡(luò)操作系統(tǒng)的安全問題。企業(yè)接入互聯(lián)網(wǎng)以及B/S模式的管理系統(tǒng)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,難免會帶來源源不斷的軟件安全問題,一般的操作系統(tǒng)都會提供以下的安全防護(hù)措施:
40、</p><p> ?。?)過濾保護(hù)。分析所有針對受保護(hù)對象的訪問,過濾惡意攻擊以及可能帶來不安全因素的非法訪問。</p><p> (2)安全檢測保護(hù)。對所有用戶的操作進(jìn)行分析,阻止那些超越權(quán)限的用戶操作以及可能給操作系統(tǒng)帶來不安全因素的用戶操作。</p><p> ?。?)隔離保護(hù)。保證同時運行的多個進(jìn)程和線程之間是相互隔離的,即各個進(jìn)程和線程分別調(diào)用不同的系
41、統(tǒng)資源。</p><p> 3.3用戶層和應(yīng)用層安全</p><p> 作為終端使用者的用戶,直接面對應(yīng)用層,應(yīng)該確切落實網(wǎng)絡(luò)管理規(guī)章制度的要求,杜絕安全隱患。用戶層安全的防范措施,主要包含對用戶的識別、認(rèn)證、數(shù)字簽名等。</p><p> 3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅</p><p> 來自企業(yè)內(nèi)部和外部的動態(tài)變化的安全威脅隨
42、時會給企業(yè)運營帶來巨大的災(zāi)難。常見的危害應(yīng)用層安全的的因素如下:</p><p> (1)網(wǎng)絡(luò)蠕蟲、病毒等危害網(wǎng)絡(luò)信息安全。 </p><p> ?。?)信息竊取和網(wǎng)絡(luò)攻擊危害網(wǎng)絡(luò)數(shù)據(jù)安全。</p><p> 信息竊取是黑客和網(wǎng)絡(luò)攻擊的常見目標(biāo)。信息竊取會對中小型企業(yè)的發(fā)展造成嚴(yán)重影響,會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關(guān)系。</p><
43、;p> (3)垃圾郵件成為傳播病毒的主要手段。</p><p> 收到垃圾郵件的用戶往往由于對郵件缺乏了解而不幸激活病毒卻不知情,網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。 </p><p> 3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)</p><p> 應(yīng)用系統(tǒng)層的安全需求需要保證應(yīng)用軟件和數(shù)據(jù)庫軟件的安全性,如:WWW服務(wù)、應(yīng)用網(wǎng)關(guān)系統(tǒng)、DNS系統(tǒng)、防火墻
44、軟件、業(yè)務(wù)應(yīng)用軟件等。應(yīng)用軟件必須保證以下要求:</p><p> ?。?)購買的應(yīng)用軟件應(yīng)通過安全測試并要求銷售商確認(rèn)其無后門或漏洞。</p><p> ?。?)能夠?qū)τ脩羯矸葸M(jìn)行鑒別與認(rèn)證。</p><p> (3)保證存儲或存檔的所有數(shù)據(jù)的完整性、真實性和可用性。</p><p> ?。?)對已使用的應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描,及時修補
45、存在的漏洞。</p><p> 3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全</p><p> 數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層,在OSI參考模型中,都是負(fù)責(zé)數(shù)據(jù)流傳輸?shù)?,企業(yè)對于數(shù)據(jù)訪問和存取的控制,一般都是針對這三個層次制定網(wǎng)絡(luò)協(xié)議,監(jiān)控和過濾數(shù)據(jù)流。</p><p> 3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析 </p><p> 數(shù)據(jù)鏈路層位于物
46、理硬件層網(wǎng)絡(luò)層之間,擔(dān)負(fù)起第一道數(shù)據(jù)監(jiān)控和過濾的重任。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容:一是涉及到數(shù)據(jù)傳輸過程中的加密和數(shù)據(jù)的修改,也就是影響到數(shù)據(jù)的完整性;另一個是涉及到物理地址的盜用問題,影響到網(wǎng)絡(luò)管理。</p><p> 針對數(shù)據(jù)鏈路層的攻擊主要有:</p><p> ?。?)局域網(wǎng)ARP欺騙攻擊。</p><p> 數(shù)據(jù)鏈路層的協(xié)議ARP協(xié)議,具有完成IP
47、地址到MAC地址的轉(zhuǎn)換的功能。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。</p><p> ?。?)針對MAC地址的泛洪攻擊。</p><p> 網(wǎng)絡(luò)互連設(shè)備路由器和交換機具有主動學(xué)習(xí)客戶端的MAC地址,然后建立和維護(hù)端口和MAC地址的對應(yīng)表。MAC地址泛洪攻擊利用工具產(chǎn)生欺騙MAC,快速填滿MAC地址表,交換機此后一直廣播信息,會造成負(fù)載
48、過大,網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。</p><p> 3.4.2傳輸層安全防護(hù)需求分析</p><p> 傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間,起著承上啟下的作用。無論是局域網(wǎng)還是廣域網(wǎng),目前最為流行的傳輸層協(xié)議主要有TCP和UDP協(xié)議族許多安全協(xié)議也運行于TCP之上,為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ?,使得?shù)據(jù)避免被竊聽、篡改或假冒。</p><p> 基于傳
49、輸層的網(wǎng)絡(luò)安全協(xié)議眾多。傳輸層支持的安全服務(wù)有:1) 對等實體認(rèn)證服務(wù);2)訪問控制服務(wù);3)數(shù)據(jù)保密服務(wù);4)數(shù)據(jù)完整性服務(wù);5)數(shù)據(jù)源點認(rèn)證服務(wù)。傳輸層主要有兩個安全協(xié)議:SSL(Secure Sockets Layer)和PCT(Private Communications Technology)。</p><p> 企業(yè)網(wǎng)絡(luò)對于傳輸層的需求一般有:</p><p> (1)文件
50、傳輸?shù)陌踩枨蟆?lt;/p><p> 企業(yè)的一些管理者為了方便,通過一些通訊工具來收發(fā)一些有保密級別的文件的或者重要信息,而網(wǎng)絡(luò)本身都存在著較多的缺陷,為此,保證重要文件的秘密性、完整性、和可靠性,建議在傳輸之前對文件進(jìn)行加密。</p><p> (2)網(wǎng)絡(luò)邊界通信的安全需求。</p><p> 網(wǎng)絡(luò)交換設(shè)備主要包括路由器和ATM。由于路由器普遍采用無連接存儲轉(zhuǎn)
51、發(fā)技術(shù),一旦某一個路由器發(fā)生故障或出現(xiàn)問題,將迅速波及到與該路由器聯(lián)系的網(wǎng)絡(luò)區(qū)域。</p><p> 網(wǎng)絡(luò)層邊界安全需求包括整個局域網(wǎng)通過防火墻接入互聯(lián)網(wǎng)時邊界的安全需求、服務(wù)器群組成的服務(wù)子網(wǎng)和主交換機與通過防火墻與外網(wǎng)接入層之間不同安全等級而使用不同訪問控制策略的安全需求。</p><p> ?。?)內(nèi)網(wǎng)訪問及網(wǎng)絡(luò)權(quán)限控制需求。</p><p> 內(nèi)網(wǎng)的訪問
52、控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它對用戶進(jìn)行權(quán)限的分配,控制不同用戶對網(wǎng)絡(luò)資源的訪問或者服務(wù)器訪問的權(quán)限,為用戶指定能夠訪問的對象和獲取的資源。一般可分為三步:用戶名驗證、用戶口令驗證和用戶賬號的缺省限制檢查。只要用戶在這三個環(huán)節(jié)中的任何一個環(huán)節(jié)中沒有通過,該用戶將不被允許接入網(wǎng)絡(luò)。</p><p> 3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析 </p><p> 網(wǎng)絡(luò)層主要是指IP協(xié)議
53、簇。IP地址是在網(wǎng)絡(luò)層標(biāo)識一臺計算機的唯一身份識別碼,無論是企業(yè)內(nèi)網(wǎng)還是外部互聯(lián)網(wǎng),都需要有獨立的IP地址??梢酝ㄟ^網(wǎng)絡(luò)交換的監(jiān)控,對網(wǎng)絡(luò)狀況動態(tài)的檢測和控制。網(wǎng)絡(luò)層安全協(xié)議的最大特點是其透明性,即不過問高層協(xié)議數(shù)據(jù)包的內(nèi)容,可以提供認(rèn)證、保密性、完整性等服務(wù)。</p><p> 一般而言,設(shè)計網(wǎng)絡(luò)時,內(nèi)部網(wǎng)絡(luò)自成體系,有自己的子網(wǎng)網(wǎng)段,各子網(wǎng)必須通過中間設(shè)備進(jìn)行連接,利用這些中間設(shè)備的安全機制來控制各子網(wǎng)之間
54、的訪問。</p><p> 對于網(wǎng)絡(luò)層的防護(hù),主要包含以下幾個方面:</p><p> ?。?)WEB網(wǎng)站安全防護(hù)需求。</p><p> 目前企業(yè)內(nèi)部網(wǎng)絡(luò)各種應(yīng)用系統(tǒng),一般都是采用B/S模式的WEB網(wǎng)站形式,WEB系統(tǒng)防護(hù)是一個復(fù)雜的問題,包括應(yīng)對網(wǎng)頁篡改、DDoS攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問題的攻擊等各種形式,WEB系統(tǒng)需要專人管理。</p>
55、<p> ?。?)DNS服務(wù)器系統(tǒng)的安全防護(hù)需求。</p><p> 域名服務(wù)器DNS系統(tǒng),作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng),關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問題。針對DNS系統(tǒng)的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等,DNS系統(tǒng)的安全防護(hù)需要部署流量清洗設(shè)備,保障DNS業(yè)務(wù)系統(tǒng)的正常運行。</p><p> 4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案</p>&
56、lt;p> 4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃</p><p> 根據(jù)第二章對企業(yè)網(wǎng)絡(luò)安全的論述以及第三章企業(yè)網(wǎng)絡(luò)安全需求分析的基礎(chǔ)上,遵守通用的設(shè)計原則,本章研究制定了一個可滿足企業(yè)網(wǎng)絡(luò)對可靠性、保密性、可管理性及可擴(kuò)展性等方面需求的企業(yè)網(wǎng)絡(luò)安全建設(shè)的總體設(shè)計規(guī)劃方案。</p><p> 4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計規(guī)劃</p><p> 一般來說,企業(yè)
57、網(wǎng)絡(luò)的建設(shè),通常會首先考慮建設(shè)內(nèi)部 MIS 系統(tǒng),而后展開其他業(yè)務(wù)系統(tǒng)的建設(shè),構(gòu)造企業(yè)信息網(wǎng)絡(luò)的局域網(wǎng),通過添加各種網(wǎng)絡(luò)互連設(shè)備,逐步形成網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)中心、數(shù)據(jù)庫服務(wù)中心、 OA 辦公系統(tǒng)、ERP 人力管理系統(tǒng)等子系統(tǒng)同時運行的網(wǎng)絡(luò)系統(tǒng)。</p><p> 內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群,包括WEB、Mail、FTP等服務(wù),以及提供數(shù)據(jù)存儲和備份服務(wù)的數(shù)據(jù)庫服務(wù)器集群,數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩
58、種功能,控制和監(jiān)控整個網(wǎng)絡(luò)的運行情況并采取相應(yīng)的措施,各網(wǎng)絡(luò)模塊之間通過交換機、路由器等互連設(shè)備聯(lián)系在一起。企業(yè)網(wǎng)絡(luò)總體規(guī)劃如圖4-1所示:</p><p> 對于企業(yè)來說,網(wǎng)絡(luò)管理已經(jīng)從最初的單一網(wǎng)管需求發(fā)展到IT綜合管理需求,這些管理都是緊密關(guān)聯(lián)、不可分割的整體.企業(yè)網(wǎng)絡(luò)一般是建立以業(yè)務(wù)為核心管理系統(tǒng),如圖4-2所示:</p><p> 2.企業(yè)網(wǎng)絡(luò)安全建設(shè)的設(shè)計目標(biāo)</p&
59、gt;<p> ?。?)合理規(guī)劃的拓?fù)浣Y(jié)構(gòu)。易于部署強化,保證物理安全。</p><p> ?。?)強大的協(xié)同工作和自我防護(hù)能力。</p><p> ①把入侵檢測系統(tǒng)IDS與入侵防御系統(tǒng)IPS結(jié)合起來部署在關(guān)鍵節(jié)點;</p><p> ?、诎逊阑饓εc防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng);</p><p> ?、郯惭b漏洞掃描工具對應(yīng)用層和系
60、統(tǒng)層進(jìn)行定期的漏洞掃描;</p><p> (3)完善的網(wǎng)絡(luò)管理能力。</p><p> ①引入先進(jìn)的防病毒軟件,加強網(wǎng)絡(luò)安全;</p><p> ?、谑褂镁W(wǎng)絡(luò)系統(tǒng)管理軟件對服務(wù)器和終端系統(tǒng)進(jìn)行統(tǒng)一的管理;</p><p> ?、叟渲肰PN以提供統(tǒng)一的外部入口,達(dá)到隔離內(nèi)網(wǎng)與外網(wǎng)的效果;</p><p> ④以關(guān)
61、鍵業(yè)務(wù)為中心的網(wǎng)絡(luò)管理模型,保證關(guān)鍵業(yè)務(wù)持續(xù)性;</p><p> ⑤單一網(wǎng)絡(luò)設(shè)備管理到融合式應(yīng)用網(wǎng)絡(luò)管理;</p><p> ?。?)完善的數(shù)據(jù)安全保障機制。</p><p> ?、倬W(wǎng)絡(luò)管理員保障關(guān)鍵數(shù)據(jù)的安全;</p><p> ?、谑褂萌轂?zāi)備份系統(tǒng)對關(guān)鍵業(yè)務(wù)進(jìn)行實時備份;</p><p> ?、壑贫ò踩芾硐嚓P(guān)
62、策略,加強對網(wǎng)絡(luò)使用人員的管理;</p><p> 4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計方案</p><p> 4.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計方案</p><p> (1)企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計。</p><p> 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式,網(wǎng)絡(luò)中各站點相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)?。拓?fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站
63、的網(wǎng)絡(luò)配置和相互間的連接。圖4-3就是典型的中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。企業(yè)通過一邊界路由器和因特網(wǎng)相連,在局域網(wǎng)內(nèi)部,主要有4個區(qū)域:辦公區(qū),服務(wù)器,生產(chǎn)子網(wǎng)和安全管理區(qū)。如圖4-3所示:</p><p> ?。?)企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計。</p><p> 本系統(tǒng)在設(shè)計中,融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等,構(gòu)
64、建出企業(yè)安全網(wǎng)絡(luò)架構(gòu),其架構(gòu)如圖4-4所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu):</p><p> 圖4.3企業(yè)安全架構(gòu)</p><p> ?。?)企業(yè)安全層次模型設(shè)計。</p><p> 由于網(wǎng)絡(luò)安全實際是在不同的安全模型和網(wǎng)絡(luò)層次實現(xiàn)的,因此,針對開放系統(tǒng)互聯(lián)參考模型(OSI)網(wǎng)絡(luò)安全特性,可以可以分別在分層參考模型協(xié)議棧的不同協(xié)議層中實現(xiàn)。</p><
65、;p> 一般來說,物理層不處理網(wǎng)絡(luò)安全問題,主要負(fù)責(zé)信號傳輸。數(shù)據(jù)鏈路層的主要任務(wù)是加強物理層傳輸原始比特的功能,數(shù)據(jù)鏈路層有一些適用于有線、無線網(wǎng)絡(luò)的MAC層安全協(xié)議,網(wǎng)絡(luò)層建立端到端的路由,利用IPSec(互聯(lián)網(wǎng)安全協(xié)議)增強其安全性能;第五層以上(含第五層)的安全機制根據(jù)不同應(yīng)用的安全性需求,需要系統(tǒng)設(shè)計者根據(jù)自身需求量身定做。針對特定的安全應(yīng)用,設(shè)計合理的防護(hù)措施并部署到環(huán)境中。</p><p>
66、 4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案</p><p> ?。?)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署整體設(shè)計。</p><p> 在對網(wǎng)絡(luò)拓?fù)渚托蟹治龊驮O(shè)計之后,就要選擇適用的安全防護(hù)技術(shù)和方案就行部署。經(jīng)過對企業(yè)的網(wǎng)絡(luò)特點和存在的問題進(jìn)行認(rèn)真細(xì)致的分析后,考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力,設(shè)計了一個網(wǎng)絡(luò)安全體系建設(shè)的整體方案,</p><p> ?。?
67、)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點。</p><p> ?、倬W(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理能力強。各種應(yīng)用要求實時性強,對系統(tǒng)的處理能力及穩(wěn)定性要求很高;</p><p> ?、跀?shù)據(jù)存儲的安全性強。應(yīng)用系統(tǒng)數(shù)據(jù)量龐大適宜數(shù)據(jù)集中存儲;</p><p> ③網(wǎng)絡(luò)結(jié)構(gòu)健壯性強。根據(jù)應(yīng)用系統(tǒng)的廣泛性,業(yè)務(wù)運算及傳輸對系統(tǒng)的處理能力以及網(wǎng)絡(luò)的負(fù)載能力提出了非常高的要求;</p>&
68、lt;p> 4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計</p><p> ?。?)企業(yè)級防火墻的概念。</p><p> 防火墻(firewall)是一項協(xié)助確保信息安全的設(shè)備或者軟件,會依照特定的規(guī)則,允許在具體應(yīng)用中,一方面,從硬件層級上講, 防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組硬件設(shè)備,位于路由器和各個計算機之間,一般是由系統(tǒng)管理員控制防火墻的規(guī)則,確保在能夠提供訪問的同時,保護(hù)
69、內(nèi)部網(wǎng)絡(luò)。</p><p> 或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻用來控制各種網(wǎng)絡(luò)之間所有的數(shù)據(jù)流量,也可以控制企業(yè)內(nèi)部對某些關(guān)鍵數(shù)據(jù)的存儲或者數(shù)據(jù)服務(wù)器的訪問。如下圖4.4所示:</p><p> 圖4.4 防火墻在企業(yè)網(wǎng)絡(luò)中的位置</p><p> (2)企業(yè)級防火墻的功能。</p><p> ?、贁?shù)據(jù)流量監(jiān)控和數(shù)據(jù)安全防護(hù);</p
70、><p> 防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界,屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處,防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。 </p><p> ②被保護(hù)子網(wǎng)和信息的隱藏;</p><p> 由于所有進(jìn)出網(wǎng)絡(luò)的信息,都要經(jīng)過防火
71、墻的審核,因此防火墻為網(wǎng)絡(luò)安全起到了看門人的作用。結(jié)合授權(quán)訪問,防火墻可以有效的屏蔽內(nèi)部信息不為外部可見,防火墻可以限制被保護(hù)子網(wǎng)的暴露。因此,防火期可以限制局部網(wǎng)絡(luò)安全問題對整個網(wǎng)絡(luò)的影響。</p><p> ?、鄯阑饓哂袕姶蟮淖晕覍W(xué)習(xí)和抗攻擊免疫力; 防火墻通過對事件的處理和知識學(xué)習(xí),可以將本網(wǎng)絡(luò)安全等級進(jìn)行劃分,對本網(wǎng)絡(luò)的安全事件就行分類,并根據(jù)網(wǎng)絡(luò)管理員的選項,自主的決定如何處理某些網(wǎng)絡(luò)時間。防
72、火墻技術(shù)作為網(wǎng)絡(luò)出入的守衛(wèi),基于操作系統(tǒng)發(fā)揮其防護(hù)作用。當(dāng)然,嵌入式防火墻系統(tǒng),也是一種專用的防火墻設(shè)備。</p><p> 本系統(tǒng)設(shè)計中,企業(yè)內(nèi)網(wǎng)通過網(wǎng)通的公共網(wǎng)絡(luò)線路與Internet互聯(lián),網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器,實現(xiàn)郵件的收發(fā),內(nèi)部的WWW服務(wù)器,對外提供網(wǎng)頁訪問服務(wù)??紤]到企業(yè)與外網(wǎng)的信息交換量的大小以及企業(yè)網(wǎng)絡(luò)安全的需要,可選擇了硬件防火墻作為網(wǎng)絡(luò)邊界的安全設(shè)備。典型的硬件防火墻如Cisco PIX 52
73、5等。Cisco PIX 525使用思科的專用自適應(yīng)算法ASA與狀態(tài)表進(jìn)行會話以及進(jìn)行其他事務(wù)的處理。它以專門的硬件化的操作系統(tǒng)為中心,以命令的方式實現(xiàn)配置和管理。它還具備故障時的無縫切換功能、URL過濾、冗余以及檢測病毒的功能。</p><p> ?。?)基于iptables的企業(yè)網(wǎng)絡(luò)防火墻設(shè)計。</p><p><b> ?、贁?shù)據(jù)包過濾技術(shù);</b></p&
74、gt;<p> 數(shù)據(jù)包過濾是一種訪問控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。包過濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的根據(jù):將包的目的地址作為判斷依據(jù);將包的源地址作為判斷依據(jù);將包的傳送協(xié)議作為判斷依據(jù)。路由器通過實現(xiàn)設(shè)定的過濾規(guī)則,對流入流出數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢查,確定是否要發(fā)送。不符合規(guī)則的包會被路由器丟棄。</p><p> ②iptables防火墻設(shè)計; </p
75、><p> iptables防火墻是LINUX下的免費防火墻,它是LINUX內(nèi)核中netfilter架構(gòu)的一種策略管理工具,隨著LINUX發(fā)行版的推廣而流行開來。它可以代替昂貴的商業(yè)防火墻解決方案,完成封包過濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 iptables允許建立狀態(tài)(stateful)防火墻,,這對于有效地配置FTP和DNS以及其它網(wǎng)絡(luò)服務(wù)是必要的。iptables能夠過濾TCP標(biāo)志任意組合報文,還
76、能夠過濾MAC地址。iptable能夠阻止某些DOS攻擊,例如SYS洪泛攻擊。iptables提供多種命令和參數(shù),可以通過腳本文件使用命令行針對不同的網(wǎng)絡(luò)環(huán)境,比如NAT、ADSL撥號等,對防火墻的策略規(guī)則進(jìn)行配置,有效管理網(wǎng)絡(luò)數(shù)據(jù)的流入和流出。</p><p> 4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計</p><p> 4.3.1企業(yè)安全管理制度建設(shè)分析</p><
77、;p> 通過參考大量的管理策略和實施辦法,企業(yè)的安全管理制度的健全可以從以下幾個方面著手:</p><p><b> ?。?)職責(zé)分離</b></p><p> 在信息處理系統(tǒng)工作的員工,不允許參與職責(zé)以外的與安全相關(guān)的事情。有些信息處理工作不能由一個人負(fù)責(zé),比如:系統(tǒng)軟件與應(yīng)用軟件的開發(fā)、機密文件的傳送與接收、信息處理系統(tǒng)相關(guān)媒介的保管與電腦操作、電腦操作
78、與編程、系統(tǒng)管理與安全管理、管理訪問證件與其它工作等等。</p><p><b> (2)責(zé)任原則</b></p><p> 每項與安全相關(guān)的活動,須多人在場(兩人及兩人以上)。由主管人指派一些忠誠可靠,可以勝任此項工作的人參加。并填寫工作情況記錄本,證明安全工作已經(jīng)得到保障。</p><p> ?。?)按屆選舉相關(guān)人員</p>
79、<p> 一般來說,一個人不能長期擔(dān)任安全相關(guān)職務(wù)。工作人員要不定期換崗,強制休假,為保證工作效率還要對工作人員進(jìn)行輪流培訓(xùn)。</p><p> 4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動分析</p><p> 相關(guān)安全的具體活動如下:</p><p> ?。?)訪問控制權(quán)限的管理;</p><p> ?。?)保密信息處理;</
80、p><p> (3)相關(guān)媒介的使用;</p><p> ?。?)刪除重要數(shù)據(jù);</p><p> ?。?)系統(tǒng)軟件的開發(fā)與修改;</p><p> ?。?)軟硬件維護(hù)等;</p><p> 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題,不僅是設(shè)備,技術(shù)的問題,更是管理的問題。對于企業(yè)網(wǎng)絡(luò)的管理人員來講,一定要提高網(wǎng)絡(luò)安全意識,加強網(wǎng)絡(luò)安全技
81、術(shù)的掌握,注重對領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全知識培訓(xùn),而且更需要制定一套完整的規(guī)章制度來規(guī)范上網(wǎng)人員的行為。</p><p> 綜上所述,企業(yè)管理策略和管理方案是確保人員素質(zhì)和網(wǎng)絡(luò)可靠運行的有力保障。良好的管理策略對于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進(jìn)意義。</p><p><b> 5結(jié)論</b></p><p> 本文深入分析了當(dāng)前中小企業(yè)
82、的網(wǎng)絡(luò)安全建設(shè)存在的問題,從網(wǎng)絡(luò)的復(fù)雜性以及網(wǎng)絡(luò)安全意識欠缺給企業(yè)帶來安全風(fēng)險的角度,探討了網(wǎng)絡(luò)安全建設(shè)的必要性。針對當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全的現(xiàn)實需求進(jìn)行了細(xì)致分析。首先,本論文從網(wǎng)絡(luò)總體規(guī)劃、安全層次模型設(shè)計和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署三個方面,宏觀上構(gòu)建了一個網(wǎng)絡(luò)安全模型。然后,從企業(yè)級防火墻體系建設(shè)、企業(yè)級防病毒軟件體系建設(shè)、入侵檢測系統(tǒng)的聯(lián)動機制設(shè)計以及企業(yè)數(shù)據(jù)存儲和備份等幾個主要方面,細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案
83、。最后,針對網(wǎng)絡(luò)安全解決方案的落實問題,強調(diào)了在企業(yè)中加強安全管理制度和安全策略建設(shè)的重要性。</p><p> 總之,本文結(jié)合網(wǎng)絡(luò)安全實際,以現(xiàn)實需求為出發(fā)點,不僅從技術(shù)實現(xiàn)的角度,而且從管理策略的角度,詳細(xì)論述了如何構(gòu)建一個安全的企業(yè)網(wǎng)絡(luò),最終提出了一種科學(xué)的可行的網(wǎng)絡(luò)安全建設(shè)的解決方案。因此,本文對企業(yè)網(wǎng)絡(luò)的構(gòu)建和企業(yè)網(wǎng)絡(luò)安全建設(shè)具有一定的參考價值。</p><p><b&g
84、t; 注釋</b></p><p> [1]段水福:《無線局域網(wǎng)(WLAN)設(shè)計與實踐》,杭州浙江大學(xué)出版社,2007年,第3頁。</p><p> [2]麻信洛:《無線局域網(wǎng)構(gòu)建及應(yīng)用》,北京國防工業(yè)出版社,2009年,第3頁。</p><p> ?。?]、[4]同上,第3頁。</p><p> ?。?]陳慶章:《局域網(wǎng)的
85、新形勢-無線局域網(wǎng)》,計算機世界,1995年,第3頁。</p><p> ?。?]Cisco Systems 公司:《無線局域網(wǎng)基礎(chǔ)》,人民郵電出版社,2005年,第3頁。</p><p> ?。?]、[8]同上,第3頁。</p><p> ?。?]李志球:《計算機網(wǎng)絡(luò)基礎(chǔ)》,北京電子工業(yè)出出版社,2006年,第4頁。</p><p> ?。?/p>
86、10]楊義先、鈕心忻:《網(wǎng)絡(luò)安全理論與技術(shù)》,北京人民郵電出版社,2007年,第24頁。</p><p> ?。?1]賀雪晨:信息對抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第2版),2010,5。 </p><p> [12]赫爾利、楊青:無線網(wǎng)安全 科學(xué)出版社,2009,4,1。</p><p> [13]趙力強、張海林:IEEE 802.11無線局域網(wǎng)的TCP性能分析
87、和改進(jìn) [期刊論文] -計算機學(xué)報2010(11)。</p><p> [14]楊峰、張浩軍:無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用,2009,25(1):2。</p><p> [15]黃勁榮:無線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2009(15):1。</p><p><b> 參考文獻(xiàn)</b></p>
88、<p> ① 胡增才.重慶鋼鐵集團(tuán)信息網(wǎng)絡(luò)安全解決方案設(shè)計:[碩士學(xué)位論文].重慶:重慶大學(xué),2006</p><p> ?、?蔡皖東.基于等級保護(hù)的網(wǎng)絡(luò)容災(zāi)系統(tǒng)模型.計算機科學(xué),2005,32(3):47-49</p><p> ?、?劉洪發(fā)、唐宏.網(wǎng)絡(luò)存儲與災(zāi)難恢復(fù)技術(shù).北京:電子工業(yè)出版社,2008,82-89</p><p> ④ 趙俊閣.信息
89、安全概論.北京:國防工業(yè)出版社,2009,7-15</p><p> ?、?陳尚義、劉勝平、趙泰.基于防水墻系統(tǒng)的信息安全與保密解決方案.信息安全與通信保密,2006</p><p> ?、?周亞建、鄭康鋒、楊義先.網(wǎng)絡(luò)安全加固技術(shù).北京:電子工業(yè)出版社,2007,102-107</p><p> ⑧ 數(shù)據(jù)庫基礎(chǔ)與應(yīng)用 作者:王利 中央廣播電視大學(xué)出版社 1997
90、年⑨ SQL Server2000系統(tǒng)管理 飛思科技產(chǎn)品研發(fā)中心 電子工業(yè)出版社 2001年⑩ 軟件工程 作者:陳明 中央廣播電視大學(xué)出版社 2001年致 謝</p><p> 三年的學(xué)習(xí)生活即將結(jié)束,驀然回首這三年的時光,心里充滿了許多的感激和驕傲。感激的是大學(xué)能夠給我提供這樣一個良好的學(xué)習(xí)生活環(huán)境;感謝我身邊那些一直給予我支持、幫助和關(guān)心的親人、教員、同學(xué)和朋友。我會在以后的工作、學(xué)習(xí)和生活中取得更加
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 畢業(yè)論文-企業(yè)局域網(wǎng)的組建
- 企業(yè)局域網(wǎng)組建畢業(yè)論文設(shè)計
- 關(guān)于企業(yè)局域網(wǎng)組建的畢業(yè)論文
- 企業(yè)局域網(wǎng)組建
- 畢業(yè)論文-簡述企業(yè)局域網(wǎng)組建相關(guān)技術(shù)
- 畢業(yè)論文-企業(yè)局域網(wǎng)的組建及相關(guān)技術(shù)
- 企業(yè)局域網(wǎng)畢業(yè)論文
- 畢業(yè)論文企業(yè)局域網(wǎng)的組建及相關(guān)技術(shù)
- 畢業(yè)論文---中小型企業(yè)局域網(wǎng)組建
- 畢業(yè)論文---中小型企業(yè)局域網(wǎng)組建
- 企業(yè)局域網(wǎng)設(shè)計畢業(yè)論文
- 畢業(yè)論文---企業(yè)局域網(wǎng)規(guī)劃與設(shè)計
- 局域網(wǎng)小型局域網(wǎng)組建畢業(yè)論文
- 畢業(yè)論文--局域網(wǎng)(小型局域網(wǎng))組建
- 局域網(wǎng)組建畢業(yè)論文
- 企業(yè)無線局域網(wǎng)組建畢業(yè)論文
- 畢業(yè)論文--無線局域網(wǎng)的組建與應(yīng)用
- 企業(yè)辦公局域網(wǎng)的組建畢業(yè)論文
- 中小型企業(yè)局域網(wǎng)組建論文
- 局域網(wǎng)組建畢業(yè)論文
評論
0/150
提交評論