企业网络安全规划本科毕业生论文Word文档格式.docx
- 文档编号:17455322
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:15
- 大小:122.44KB
企业网络安全规划本科毕业生论文Word文档格式.docx
《企业网络安全规划本科毕业生论文Word文档格式.docx》由会员分享,可在线阅读,更多相关《企业网络安全规划本科毕业生论文Word文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
2、技术支持;
3、组建方案。
关键词:
网络;
安全;
设计
ABSTRACT
Networksecurityistheessenceofthesafetyofnetworkinformation,includinginformationofconfidentiality,integrity,andavailability,authenticityandcontrollableetc,itisthroughthenetworkinformationstorage,transportanduseprocess.networksecuritymanagementisinanti-virussoftware,afirewallorintelligencegateway,etc,thedefensesystemtopreventfromoutside.Afirewallisafirmbetweeninnerandouternetsecuritybarrier.Safetymanagementisthebasisofnetworksecurityandsafetytechnologyistheauxiliarymeasureswithsafetymanagement.Hasestablishedasetofnetworksecuritysystemisnecessary.
Basedontheanalysisofthestatusofthenetworkcouldfacethreats,fromthecomputersecuritystrategytofindsolutionsinthenetworksecuritymanagementisdesignedwiththenetworkfirewallsecuritysystem.Throughthreestepstocompletethecampusnetworksecuritysystem:
1,theconstructionplan.2andtechnicalsupport.3andconstructionscheme.
Keyword:
Network,Safe;
Design
绪论
随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。
但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。
随着企业信息化的不断推进,各企业都相继建成了自己的企业网络并连入互联网,企业网在企业的信息化建设中扮演了至关重要的角色。
但必须看到,随着企业网络规模的急剧膨胀,网络用户的快速增长,尤其是企业网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
企业网络安全
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络的生命在于其安全性。
因此,在现有的技术条件下,如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一个重要课题。
网络的发展极大地改变了人们的生活和工作方式,Internet更是给人们带来了无尽的便捷。
我们的企业也正朝着信息化、网络化发展,随着“企业通”工程的深入开展,许多企业都投资建设了企业网络并投入使用。
企业网络在我们的企业管理、日常管理等方面正扮演着越来越重要的角色。
但是,在我们惊叹于网络的强大功能时,还应当清醒地看到,网络世界并不是一方净土。
“网络天空(Worm.Netsky)”、“高波(Worm.Agobot)”、“爱情后门(Worm.Lovgate)”及“震荡波(Worm.Sasser)”等病毒,使人们更加深刻的认识到了网络安全的重要性。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
企业安全网络规划
随着计算机应用的日益普及,网络已经成为大多数企业的重要组成部分,许多常用办公应用已经开始转向网络,例如企业办公、视频会议、合作伙伴沟通等。
随之而来的网络安全问题,也就成为制约企业生存与发展的命脉。
网络安全建设的总体思路是:
以信息资产为核心,以安全战略为指导,根据安全需求逐步完善安全基础措施,为网络应用提供安全能力支持。
1.1项目背景
某高新产品研发企业拥有员工2000余人,公司总部坐落在省会城市高新技术开发区,包括4个生产车间和两栋职工宿舍楼,产品展示、技术开发与企业办公均在智能大厦中进行。
该企业在外地另开设有两家分公司,由总公司进行统一管理和部署。
目前,该企业的拓扑结构图如图1-1所示,基本情况如下。
(1)公司局域网已经基本覆盖整个厂区,中心机房位于智能大厦的第3层(共15层),职工宿舍楼和生产车间均有网络覆盖。
(2)网络拓扑结构为“星型+树型”,接入层交换机为CiscoCatalyst2960,汇聚层交换机为CiscoCatalyst3750,核心层交换机为CiscoCatalyst6509。
(3)现有接入用户数量为500个,客户端均使用私有IP地址,通过防火墙或代理服务器接入Internet。
部分服务器IP地址为公有IP地址。
(4)Internet接入区的防火墙主要提供VPN接入功能,用于远程移动用户或子公司网络提供远程安全访问。
(5)会议室、产品展示大厅等公共场所部署无线接入点,实现随时随地无线漫游接入。
(6)服务器操作系统平台多为WindowsServer2003和WindowsServer2008系统。
客户端系统为WindowsXPProfessional和WindowsVista。
(7)网络中部署有Web服务器,为企业网站运行平台。
(8)企业网络办公平台为WSS,文件服务器可以为智能大厦的办公用户提供文件共享、存储于访问。
(9)E-mail用户员工之间的彼此交流,以及企业与外界的通信网络。
(10)打印服务和传真服务主要满足智能大厦用户网络办公的应用。
(11)企业分支结构通过VPN方式远程接入总部局域网,并且可以访问网络中的共享资源。
图1-1项目背景
1.2项目分析
在普通小型局域网中,最常见的安全防护手段就是在路由器后部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。
但是,在该企业网络中,许多重要应用都要依赖网络,势必对网络的安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访问控制与安全配置措施,加固网络安全。
1.2.1安全设备分布
1.防火墙
由于企业局域网采用以太网接入方式,所以直接使用防火墙充当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问列表和静态路由信息。
另外,在会议室、产品展示厅等公共环境中的汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。
2.IPS
IPS(IntrusionPreventionSystem,入侵防御系统)部署在Internet接入区的路由器和核心交换机之间,用于扫描所有来自Internet的信息,以便及时发现网络攻击和制定解决方案。
3.IDS
IDS(InternetDetectionSystem,入侵检测系统)本身是一个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需要在网络上被动地、无声息地收集相应的报文即可。
IDS无法跨越物理网段收集信息,只能收集所在交换机的某个端口上的所有数据信息。
该网络中的IDS部署在安全需求最高的服务区,用于实时侦测服务器区交换机转发的所有信息,对收集来的报文,IDS将提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。
根据默认的阀值,匹配耦合度较高的报文流量将被认为是进攻,IDS将根据相应的配置进行报警或进行有限度的反击。
4.CiscoSecurityMARS
CiscoSecurityMARS(MonitoringAnalysisResponseSystem)是基于设备的全方位解决方案,是网络管理的关键组成部分。
MARS可以自动识别、管理并抵御安全威胁,它能与现有网络和安全部署协作,自动识别并隔离网络威胁,同时提出准确的清除建议。
在本例企业网络中,MARS直接连接在核心交换机上,用于收集经过核心交换机的所有数据信息,自动生成状态日志,供管理员调阅。
1.2.2网络设备安全现状
当网络中的交换机、路由器等网络设备都是可网管的智能设备,并且提供Web管理方式,同时配置了基本的安全防御措施,如登陆密码、用户账户权限等。
1.交换机和路由器安全设置
交换机的主要功能就是提供网络所需的接入接口。
目前,该网络中基于交换机的安全管理仅限于VLAN划分、Enable密码和Telnet密码等基本安全措施,并未进行任何高级安全配置,如流量控制,远程监控、IEEE802.1x安全认证等,存在较大的安全隐患。
企业网络采用以太网接入Internet,而网络中部署的网络防火墙已具备接入功能,所以该网络中的路由器上只配置简单的静态路由、访问控制列表和网络地址转换,可以满足基本的安全要求。
2.办公设备安全配置
企业网络中的集中办公设备包括打印机和传真机,均支持网络接入功能,部署在楼层的集中办公区。
由于缺乏访问权限控制措施,致使网络打印机和传真机被滥用,造成不必要的资源浪费。
另外,用户计算机到打印机之间的数据传输是未经加密的明文,存在一定的安全隐患。
1.2.3服务器部署现状
网络中应用服务器包括域控制器、DHCP服务器、文件服务器、传真服务器、网络办公平台、数据库服务器等,其中有许多网络服务合用一台服务器,网络中共有服务器10台,通过单独的交换机高速连接至核心交换机,完全采用链路冗余结束双线连接,确保连接的可靠性。
所有服务器均已加入域中,接受域控制器的统一管理,并且已开启远程终端功能,用户可以使用有效的管理员账户凭据远程登录服务器,实现相应的配置与管理任务。
1.2.4客户端计算机
客户端计算机主要以Windows操作系统为主,极少数用户是运行Linux和MacOS操作系统。
客户端计算机的安全防御比较薄弱,仅限于用户账户登录密码、个人防火墙、杀毒软件等。
因此,由于个别客户端感染病毒而导致网络瘫痪的问题时有发生。
对于Windows系统而言,应用最多的WindowsXPProfessional和WindowsVista系统已经集成了比较完善的安全防御功能,如Internet防火墙、Windows防火墙、WindowsDefender、WindowsUpdate等,客户端用户只需对这些功能简单配置,即可增强系统安全性。
另外,对于中型规模的企业网络而言,统一的网络管理才是最重要的。
例如,统一配置客户端计算机安全功能、增强网络访问控制、部署NAP系统、部署WSUS服务器等。
1.2.5无线局域网安全现状
在企业网络中部署无线局域网,延伸了有线局域网的覆盖范围,避免网络布线对现有整体布局和装修的破坏,既是环境需求,也是企业发展和生存的需要。
用户在无线网络覆盖范围内可以自由访问网络,充分享受无线畅游的便利。
但是,由于无线网络传输的特殊性,无线局域网的安全问题也是不容忽视的。
该企业网络中的无线网络安全问题,主要表现在以下几个方面。
1.WEP密钥发布问题
802.11本身并未规定密钥如何分发。
所有安全性考虑的前提是假定密钥已通过与802.11无关的安全渠道送到了工作站点上,而在实际应用中,一般都是手工设置,并长期固定使用4个可选密钥之一。
因此,当工作站点增多时,手工方法的配置和管理将十分繁琐且效率低下,而且密钥一旦丢失,WLAN将无安全性可言。
2.WEP用户身份认证方法的缺陷
802.11标准规定了两种认证方式:
开放系统认证和共享密钥认证。
开发系统认证是默认的认证方法,任何移动站点都可加入BSS(BasicServiceSet,基本服务集),并可以跟AP(AccessPoint,接入点)通信,能“听到”所有未加密的数据,可见,这种方法根本密钥提供认证,也就不存在安全性。
共享密钥认证是一种请求响应认证机制:
AP在收到工作站点STA(StaticTimingAnalysis,静态时序分析)的请求接入消息时发送询问消息,STA对询问消息使用共享密钥进行加密并送回AP,AP解密并校验消息的完整性,若成功,则允许STA接入WLAN。
攻击者只需抓住加密前后的询问消息,加以简单的数字运算就可以得到共享密钥生成的伪随机密码流,然后伪造合法的响应消息通过AP认证后接入WLAN。
3.SSID和MAC地址过滤
WEP服务集标识SSID由Lucent公司提出,用于对封闭网络进行访问控制。
只有与AP有相同的SSID的客户站点才允许访问WLAN。
MAC地址过滤的想法是AP中存有合法客户站点MAC地址列表,拒绝MAC地址不在列表中的站点接入被保护的网络。
但由于SSID和MAC地址很容易被窃取,因此安全性较低。
4.WEP加密机制的天生脆弱性
WEP加密机制的天生脆弱性是受网络攻击的最主要原因,WEP2算法作为802.11i的安全标准,对现有系统改进相对较小并易于实现。
1.3项目需求
由于该公司的主要业务为高新产品的开发和生产,掌握众多机密信息,并且下设多个部门,所以对网络安全性和稳定性要求比较高。
无论是基础网络还是客户端都必须严格做好安全防御工作。
1.3.1网络安全需求
综合项目成本和实际应用等多方面因素,可以从如下几个方面满足用户需求。
(1)将防火墙部署在网络边缘,用于隔离来自Internet的所有网络风险。
(2)在路由器和核心交换机之间部署IPS,对全网的所有Internet通信进行检测,以便可以自动阻止、调整或隔离非正常网络请求和危险信息的传输。
(3)生产区和办公区分别通过汇聚交换机连接至核心交换机,在相应的汇聚交换机上分别进行适当的安全设置,将可能存在的安全风险因素隔离在网络局部。
(4)在办公区网络中,将安全需求和应用需求不同的用户指定到不同的VLAN中,充分确保部门内部和部门间的信息安全。
(5)在会议室和展示厅等移动用户比较集中的场所,部署无线接入系统,在无线接入点以及无线接入点连接的交换机上,分别部署相应的安全防御措施,如IEEE802.1x认证、禁止广播SSID、WEP加密等。
(6)网络管理区和服务器区直接连接至核心交换机,以确保网络传输的可靠性。
网络管理区中部署有MARS系统,用于监控、分析和处理网络中所有通过核心交换机的数据通信,以便及时发现网络中存在的恶意攻击、非正常访问等情况,并协助管理员制定相应的解决方案。
(7)为了确保服务器的安全,在服务器集中区部署IDS,可以对服务区网络以及系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
1.3.2网络访问安全需求
由于公司大部分用户信息安全意识较差,因此必须对安全需求较高的部门的用户进行集中管理,防止机密信息外泄。
另外,本公司在外地设有分公司,只能通过远程接入方式访问内部网络资源,可以借助VPN技术实现加密传输,充分确保信息安全。
目前,该网络中网络访问安全需求如下。
(1)客户端更新需要集中管理。
大多数用户都已启用WindowsUpdate功能,但是每个用户都从微软官方站点下载更新程序,会占用大量的网络带宽。
另外,还有部分用户并未开启WindowsUpdate功能,存在可能招致网络攻击的安全漏洞。
(2)网络病毒不得不防。
网络病毒和攻击是目前最主要的信息安全威胁因素。
网络病毒的防御工作绝非一蹴而就,必须从各方面严格防范。
通常情况下,大部分用户都安装了杀毒软件和个人防火墙软件,可以起到一定的安全防护作用,但是未能升级病毒库同样可能感染病毒。
更严重的是,部分用户不安装任何杀毒软件和防火墙就开始使用,这是非常危险的。
(3)网络访问控制需求。
网络中缺乏严格的访问控制措施,用户只需使用相应的用户账户和密码即可接入网络和访问共享资源,而对客户端系统健康程度没有任何要求和限制。
如果接入用户的计算机已经感染病毒,则病毒可能通过网络快速蔓延至整个网络的所有分支。
(4)远程访问安全的保护。
远程接入是该网络中的重要应用之一,用于实现分公司网络到总公司网络的互联。
远程访问VPN技术本身就是具有一定的安全性,同时采用隧道和加密等多种技术,但是为了确保远程访问的安全,应加强远程访问的保护与控制。
1.4项目规划
网络安全与网络应用是相互制约和影响的。
网络应用需要安全措施的保护,但是安全措施过于严格,就会影响到应用的易用性。
因此,部署网络安全措施之前,必须经过严格的规划。
另外,网络安全的管理遍布网络的所有分支,包括设备安全、访问安全、服务器安全。
客户端安全等。
1.4.1服务器安全规划
服务器是企业网络的重要基础,其安全性将直接影响到企业网站以及网络应用的安全,甚至会影响到企业的生存与发展。
服务器的大部分应用都是基于网络操作系统等软件实现的,因此,无论是应用程序出错,还是硬件故障都可能导致服务器瘫痪。
若想做好服务器安全防护工作,必须从多方面入手。
1.服务器硬件安全
服务器硬件设备的维护主要包括增加和卸载设备、更换设备、工作环境维护等。
因为服务器的运行是不间断的,因此这些维护工作必须在确保服务器正常运行的状态下进行。
(1)增加内存和硬盘容量。
服务器的内存和硬盘都是支持热插拔的,建议增加与原设备同厂商、同型号、同容量的内存或硬盘,避免由于兼容性问题而导致服务器死机。
(2)定期为服务器除尘。
很多服务器故障都是由于内部灰尘导致的,因此建议管理员每个月定期拆机打扫一次。
(3)控制机房温度和湿度。
虽然服务器对工作环境的要求比较宽泛,但是当服务器周边环境比较恶劣时同样会降低其处理速度和稳定性。
2.操作系统的安全
服务器操作系统的安全是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。
对于操作系统的安全防范可以采取如下策略。
(1)对操作系统进行安全配置,提高系统的安全性。
系统内部调用不对Internet公开,关键性信息不直接公开,尽可能采用安全性高的操作系统。
(2)应用系统在开发时,采用规范化的开发过程,尽可能地减少应用系统的漏洞。
(3)网络上的服务器和网络设备尽可能不采取同一家的产品。
(4)通过专业的安全工具(安全监测系统)定期对网络系统进行安全评估。
3.网络应用服务安全
局域网中常用的网络服务包括WWW服务、FTP服务、DNS服务、DHCP服务、ActiveDirectory服务等,随着服务器提供的服务越来越多,系统也容易混乱、安全性也降低,因此就需要对网络服务的相关参数进行设置,以增强其安全性和稳定性。
通常情况下,网络应用服务安全可以分为如下4层。
(1)网络与应用平台安全:
主要包括网络的可靠性与生存性。
信息系统的可靠性和可用性。
网络的可靠性与生存性依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。
信息系统的可靠性和可用性主要由计算机系统安全性决定。
(2)应用服务提供安全:
主要包括应用服务的可用性与可控性。
服务可控性依靠服务接入安全以及服务防否认、服务防攻击、国家对应用服务的管制等方面来保障。
服务可用性与承载业务网络可靠性以及维护能力等先关。
(3)信息存储于传输安全:
主要包括信息在网络传输和信息系统存储时的完整性、机密性和不可否认性。
信息的完整性可以依靠报文鉴别机制;
信息机密性可以依靠加密机制以及密钥分发来保障;
信息不可否认性可以依靠数字签名等技术来保障。
(4)信息内容安全:
主要指通过网络应用服务所传递的信息内容不涉及危害国家安全,泄露国家机密或商业秘密,侵犯国家利益、公共利益或公民合法权益,从事违法犯罪活动。
1.4.2客户端安全规划
目前,WindowsXP和WindowsVista是首选客户端操作系统,为了便于统一管理,应将相对固定的客户端计算机加入域,接受域控制器的统一管理。
通常情况下,可以从如下5个方面做好客户端计算机的安全防御工作。
(1)对于加入域的计算机可以通过组策略等工具统一部署安全策略,例如用户账户策略、密码策略、硬件设备安装限制策略等,确保客户端的安全。
(2)对于未加入域的计算机,应提高用户网络安全的意识,通过设置登录密码、计算机锁定、防火墙等方式,确保系统安全。
(3)在网络中部署WSUS服务器,负责为所有客户端计算机和服务器提供系统更新,避免系统漏洞的产生。
(4)在所有客户端上部署Symantec网络防病毒客户端软件,并接受服务器端的统一管理,开启自动更新病毒库功能。
(5)灵活部署和运用Windows防火墙、WindowsDefender等系统集成安全防护程序。
1.4.3网络设备安全规划
局域网中的网络设备主要包括路由器、交换机和防火墙,分别用于提供不同的网络功能和应用。
网络设备的部署方式、工作环境、配置管理等,都可能影响其安全性。
1.网络设备的脆弱性
通常情况下,当用户按照组网规划方案购入并部署好网络设备之后,设备中的主要组成系统即可在一段时间内保持相对稳定地运行。
但是,网络设备本身就有一定的脆弱性,这也往往会成为入侵者攻击的目标。
网络设备的安全脆弱性主要表现在如下5个方面。
(1)提供不必要的网络服务,提高了攻击者的攻击机会。
(2)存在不安全的配置,带来不必要的安全隐患。
(3)不适当的访问控制。
(4)存在系统软件上的安全漏洞。
(5)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络安全 规划 本科毕业生 论文