信息安全企业网络的安全整体解决方案设计.doc

该【信息安全企业网络的安全整体解决方案设计 】是由【知识徜徉土豆】上传分享，文档一共【13】页，该文档可以免费在线阅读，需要了解更多关于【信息安全企业网络的安全整体解决方案设计 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。1/131/131/13课程设计成绩评价表指导老师评阅成绩表学习与工作态度(30%)选题的价值与意义(10%)文献综述(10%)研究水平与设计能力(20%)课程设计说明说(论文)撰写质量(20%)学术水平与创新(10%)总分指导老师签名:年月日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题的价值与意义1098764文献综述1098764研究水平与设计能力2课程设计说明书(论文)撰写质量2学术水平与创新1098764答辩效果3是否同意论文(设计)通过答辩□同意□不同意答辩小组成员签名答辩小组组长签名:年月日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%1/151/151/15成都信息工程学院课程设计报告企业网络的安全整体解决方案设计姓名:专业:班级:提交日期:企业网络的安全整体解决方案设计摘要随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。本方案为企业局域网网络安全解决方案,首先介绍了本方案设计的背景、目的和国内外的现状进行了简要的介绍,随后对网络系统进行一个概括分析,然后对本身网络存在的一系列安全风险进行简单的分析介绍,紧接着阐述了企业网络的安全需求以及需要达到的安全目标,再对企业网络安全方案进行总体的设计,最后介绍了本设计网络安全的体系结构。本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对企业局域网全面的安全管理。关键词:企业;IT技术;网络安全;方案1/131/131/ 12企业网络概况 33网络安全分析 54外部攻击 65安全需求和安全目标 77网络安全解决方案 108方案可行性分析 109结论 11参考文献 121/131/131/,给人们带来前所未有的海量信息。网络的开放性和自由性产生了私有信息和数据被破坏或侵犯的机会,网络信息的安全性变得日益重要起来,这已被社会的各个领域所重视。随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。???当今世界信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。,实现对他们局域网全面的安全管理。其作用在于:1).将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。2).定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。3).使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。4).在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。,涉及到诸多因素,包括技术、产品和管理等。目前国际上已有众多的网络安全解决方案和产品,但由于出口政策和自主性等问题,不能直接用于解决我国自己的网络安全,因此我国的网络安全只能借鉴这些先进技术和产品,自行解决。可幸的是,目前国内已有一些网络安全解决方案和产品,不过,这些解决方案和产品与国外同类产品相比尚有一定的差距。,再联系网络安全现状对企业网络的概况进行初步分析,然后对网络本身存在的一系列安全风险进行简单的分析介绍,紧接着阐述了企业网络的安全需求以及需要达到的安全目标,再对企业网络安全方案进行总体的设计,最后介绍了本设计网络安全的体系结构。本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对企业局域网全面的安全管理。,,由于计算机网络具有连结形式多样性,终端分布不均匀性和网络的开放性,互连性等特征,致使网络易受黑客、怪客、恶意软件等的不轨攻击,,,,,,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下层交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的路由器,。:区域、内部网络、公共服务器区域。内部网络又可按照所属的部门分为市场部、技术部、行政部、会计部等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,又可以将这些部门的网络划分为四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。其基本网络拓扑图如图::设备名称厂商型号数量路由器锐捷RG-RSR30-441台防火墙锐捷RG-WALL18001台入侵检测系统(IDS)锐捷RG-IDS20001台核心层交换机锐捷RG-S96202台汇聚层交换机锐捷RG-S3250-244台接入层交换机锐捷RG-:1).文件共享、办公自动化、;2).文件数据的统一存储;3).针对特定的应用在数据库服务器上进行二次开发(比如财务系统);4).的访问;5).通过公共服务器对外发布企业信息、,应考虑到网络的如下几个特点:1).直接连结,连结的有关风险,传播进来病毒,黑客攻击,的非授权访问等。2).网络中存在公共服务器,由于公共服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公共服务器的安全风险扩散到内部。3).内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。4).网络中有应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。总而言之,在进行网络方案设计时,应综合考虑到这个企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。3网络安全分析针对一般企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:网络安全可以从以下五个方面来理解:1网络物理是否安全;2网络平台是否安全;3系统是否安全;4应用是否安全;5管理是否安全。针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。,工作人员的操作失误,设备被盗、被毁,电磁干扰,线路截获等现象很难避免。自然界的安全灾难如地震、火灾等环境事故也将会引起网络的安全。物理安全是整个网络系统安全的前提,在这个企业局域网内,由于该企业的网络物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险基本上是可以避免的。(E-mail等服务器)作为公司的信息发布平台,公共服务器本身要为外界服务,必须开放相应的服务;每时每刻,节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,安全事故做出有效反应变得十分重要。我们有必要将公共服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。,无论是微软的Windows系列或者其他任何商用UNIX操作系统,其开发厂商必然有其后门。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。、数据的安全性:信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束,这一切都可能引起管理安全的风险。因此建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,从而达到是管理制度和管理解决方案的结合。,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入大部分人的电脑实在是太容易了。如果你要上网,就免不了遇到黑客。企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。以设置防火墙为例,示意图如下:,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。计算机病毒一直是计算机安全的主要威胁。上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。,企业员工有可能对自己企业产生不满,这些不满的内部员工可能在坏。无论这些员工是否离职,他们都有可能对企业造成不可估量的损失。、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此应该做到以下几点:公共服务器的安全保护;防止黑客从外部攻击;入侵检测与监控;信息审计与记录;病毒防护;数据安全保护;数据备份与恢复;网络的安全管理。,我认为局域网网络系统安全应该实现以下目标:建立一套完整可行的网络安全与网络管理策略。将内部网络、公共服务器网络和外网进行有效隔离,避免与外部网络的直接通信。建立网站各主机和服务器的安全保护措施,保证他们的系统安全。对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝。加强合法用户的访问认证,同时将用户的访问权限控制在最低限度。全面监视对公共服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为。加强对各种访问的审计工作,详细记录对网络、公共服务器的访问行为,形成完整的系统日志。备份与灾难恢复——强化系统备份,实现系统快速恢复。加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。、规划时,应遵循以下原则:1).综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。2).需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。3).一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。4).易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。5).分步实施原则:可满足网络系统及信息安全的基本需求,亦可节省费用开支。6).多重保护原则:建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。:安全服务主要有:控制服务、对象认证服务、可靠性服务等;安全机制:访问控制机制、认证机制等;安全技术:防火墙技术、入侵检测技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。7网络安全解决方案通过对该企业的网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。-WALL1800防火墙,在内外网之间建立一道牢固的安全屏障。其中、服务器连接在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全),与内、外网间进行隔离,内网口连接企业网内网交换机,连接。这样,进来的外网用户只能访问到对外公开的一些服务(如、等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:(1)根据企业网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对企业内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 (2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。将RG-IDS2000入侵检测引擎接入中心交换机上,对来自外部网和企业网内部的各种行为进行实时检测。选用的入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据。