计算机信息管理专业论文20625.docx
《计算机信息管理专业论文20625.docx》由会员分享,可在线阅读,更多相关《计算机信息管理专业论文20625.docx(30页珍藏版)》请在三一文库上搜索。
1、毕业设计题 目: 企业网络安全规划摘 要网络安全的本质是网络信息的安全性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自网外的攻击。防火墙,则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。本文从对网络的现状分析了可能面临的威胁,从计算机的安全策略找出解决方案既用网络安全管理加防火墙加设计的网络安全系统。通过以下三个步骤来完成网络安全系统:1、 建设规划;2、 技术支持;3、 组建方案
2、。关键词:网络; 安全; 设计 ABSTRACTNetwork security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. network security managemen
3、t is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside . A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety managem
4、ent. Has established a set of network security system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the network security management is designed with the network firewall security system. Through three step
5、s to complete the campus network security system: 1, the construction plan. 2 and technical support. 3 and construction scheme.Keyword: Network, Safe ;Design绪 论随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用
6、户的快速增长,关键性应用的普及和深入,企业网在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。随着企业信息化的不断推进,各企业都相继建成了自己的企业网络并连入互联网,企业网在企业的信息化建设中扮演了至关重要的角色。但必须看到,随着企业网络规模的急剧膨胀,网络用户的快速增长,尤其是企业网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络
7、安全问题刻不容缓。 企业网络安全网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因此,在现有的技术条件下,如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一个重要课题。网络的发展极大地改变了人们的生活和工作方式,Internet更是给人们带来了无尽的便捷。我们的企业也正朝着信息化、网络化发展,随着“企业通”工程的深入开展,许多企业都投资建设了企业网络并投入使用。企业网络在我们的企业管理、日常管理等方面正扮演着越来越重要的角色。但是,在我们惊叹于网络的强大功能时,还应当清醒地看到,网络世界
8、并不是一方净土。“网络天空(Worm.Netsky)”、“高波(Worm.Agobot)”、“爱情后门(Worm.Lovgate)”及“震荡波(Worm.Sasser)”等病毒,使人们更加深刻的认识到了网络安全的重要性。因此,在现有的技术条件下,如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一个重要课题。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。企业安全网络规
9、划随着计算机应用的日益普及,网络已经成为大多数企业的重要组成部分,许多常用办公应用已经开始转向网络,例如企业办公、视频会议、合作伙伴沟通等。随之而来的网络安全问题,也就成为制约企业生存与发展的命脉。网络安全建设的总体思路是:以信息资产为核心,以安全战略为指导,根据安全需求逐步完善安全基础措施,为网络应用提供安全能力支持。1.1 项目背景某高新产品研发企业拥有员工2000余人,公司总部坐落在省会城市高新技术开发区,包括4个生产车间和两栋职工宿舍楼,产品展示、技术开发与企业办公均在智能大厦中进行。该企业在外地另开设有两家分公司,由总公司进行统一管理和部署。目前,该企业的拓扑结构图如图1-1所示,基
10、本情况如下。(1) 公司局域网已经基本覆盖整个厂区,中心机房位于智能大厦的第3层(共15层),职工宿舍楼和生产车间均有网络覆盖。(2) 网络拓扑结构为“星型+树型”,接入层交换机为Cisco Catalyst 2960,汇聚层交换机为Cisco Catalyst 3750,核心层交换机为Cisco Catalyst 6509。(3) 现有接入用户数量为500个,客户端均使用私有IP地址,通过防火墙或代理服务器接入Internet。部分服务器IP地址为公有IP地址。(4) Internet接入区的防火墙主要提供VPN接入功能,用于远程移动用户或子公司网络提供远程安全访问。(5) 会议室、产品展示
11、大厅等公共场所部署无线接入点,实现随时随地无线漫游接入。(6) 服务器操作系统平台多为Windows Server 2003 和 Windows Server 2008系统。客户端系统为Windows XP Professional 和 Windows Vista。(7) 网络中部署有Web服务器,为企业网站运行平台。(8) 企业网络办公平台为WSS,文件服务器可以为智能大厦的办公用户提供文件共享、存储于访问。(9) E-mail用户员工之间的彼此交流,以及企业与外界的通信网络。(10) 打印服务和传真服务主要满足智能大厦用户网络办公的应用。(11) 企业分支结构通过VPN方式远程接入总部局域
12、网,并且可以访问网络中的共享资源。图1-1 项目背景1.2 项目分析在普通小型局域网中,最常见的安全防护手段就是在路由器后部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。但是,在该企业网络中,许多重要应用都要依赖网络,势必对网络的安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访问控制与安全配置措施,加固网络安全。1.2.1 安全设备分布1. 防火墙由于企业局域网采用以太网接入方式,所以直接使用防火墙充当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问列表和静态路由信息。另外,在会议室、产品展示厅等公共
13、环境中的汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。2. IPSIPS(Intrusion Prevention System,入侵防御系统)部署在Internet 接入区的路由器和核心交换机之间,用于扫描所有来自Internet的信息,以便及时发现网络攻击和制定解决方案。3. IDSIDS(Internet Detection System,入侵检测系统)本身是一个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需要在网络上被动地、无声息地收集相应的报文即可。IDS无法跨越物理网段收集信息,只能收集所在交换机的某个端口上的所有
14、数据信息。该网络中的IDS部署在安全需求最高的服务区,用于实时侦测服务器区交换机转发的所有信息,对收集来的报文,IDS将提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据默认的阀值,匹配耦合度较高的报文流量将被认为是进攻,IDS将根据相应的配置进行报警或进行有限度的反击。4. Cisco Security MARSCisco Security MARS(Monitoring Analysis Response System)是基于设备的全方位解决方案,是网络管理的关键组成部分。MARS可以自动识别、管理并抵御安全威胁,它能与现有网络和安全部署协作,自动识
15、别并隔离网络威胁,同时提出准确的清除建议。在本例企业网络中,MARS直接连接在核心交换机上,用于收集经过核心交换机的所有数据信息,自动生成状态日志,供管理员调阅。1.2.2 网络设备安全现状当网络中的交换机、路由器等网络设备都是可网管的智能设备,并且提供Web管理方式,同时配置了基本的安全防御措施,如登陆密码、用户账户权限等。1. 交换机和路由器安全设置交换机的主要功能就是提供网络所需的接入接口。目前,该网络中基于交换机的安全管理仅限于VLAN划分、Enable密码和Telnet密码等基本安全措施,并未进行任何高级安全配置,如流量控制,远程监控、IEEE802.1x安全认证等,存在较大的安全隐
16、患。企业网络采用以太网接入Internet,而网络中部署的网络防火墙已具备接入功能,所以该网络中的路由器上只配置简单的静态路由、访问控制列表和网络地址转换,可以满足基本的安全要求。2. 办公设备安全配置企业网络中的集中办公设备包括打印机和传真机,均支持网络接入功能,部署在楼层的集中办公区。由于缺乏访问权限控制措施,致使网络打印机和传真机被滥用,造成不必要的资源浪费。另外,用户计算机到打印机之间的数据传输是未经加密的明文,存在一定的安全隐患。1.2.3 服务器部署现状网络中应用服务器包括域控制器、DHCP服务器、文件服务器、传真服务器、网络办公平台、数据库服务器等,其中有许多网络服务合用一台服务
17、器,网络中共有服务器10台,通过单独的交换机高速连接至核心交换机,完全采用链路冗余结束双线连接,确保连接的可靠性。所有服务器均已加入域中,接受域控制器的统一管理,并且已开启远程终端功能,用户可以使用有效的管理员账户凭据远程登录服务器,实现相应的配置与管理任务。1.2.4 客户端计算机 客户端计算机主要以Windows操作系统为主,极少数用户是运行Linux和Mac OS操作系统。客户端计算机的安全防御比较薄弱,仅限于用户账户登录密码、个人防火墙、杀毒软件等。因此,由于个别客户端感染病毒而导致网络瘫痪的问题时有发生。对于Windows系统而言,应用最多的Windows XP Profession
18、al和Windows Vista系统已经集成了比较完善的安全防御功能,如Internet防火墙、Windows防火墙、Windows Defender、Windows Update等,客户端用户只需对这些功能简单配置,即可增强系统安全性。另外,对于中型规模的企业网络而言,统一的网络管理才是最重要的。例如,统一配置客户端计算机安全功能、增强网络访问控制、部署NAP系统、部署WSUS服务器等。1.2.5 无线局域网安全现状 在企业网络中部署无线局域网,延伸了有线局域网的覆盖范围,避免网络布线对现有整体布局和装修的破坏,既是环境需求,也是企业发展和生存的需要。用户在无线网络覆盖范围内可以自由访问网络
19、,充分享受无线畅游的便利。但是,由于无线网络传输的特殊性,无线局域网的安全问题也是不容忽视的。该企业网络中的无线网络安全问题,主要表现在以下几个方面。1. WEP密钥发布问题802.11本身并未规定密钥如何分发。所有安全性考虑的前提是假定密钥已通过与802.11无关的安全渠道送到了工作站点上,而在实际应用中,一般都是手工设置,并长期固定使用4个可选密钥之一。因此,当工作站点增多时,手工方法的配置和管理将十分繁琐且效率低下,而且密钥一旦丢失,WLAN将无安全性可言。2.WEP用户身份认证方法的缺陷 802.11标准规定了两种认证方式:开放系统认证和共享密钥认证。开发系统认证是默认的认证方法,任何
20、移动站点都可加入BSS(Basic Service Set,基本服务集),并可以跟AP(Access Point,接入点)通信,能“听到”所有未加密的数据,可见,这种方法根本密钥提供认证,也就不存在安全性。共享密钥认证是一种请求响应认证机制:AP在收到工作站点STA(Static Timing Analysis,静态时序分析)的请求接入消息时发送询问消息,STA对询问消息使用共享密钥进行加密并送回AP,AP解密并校验消息的完整性,若成功,则允许STA接入WLAN。攻击者只需抓住加密前后的询问消息,加以简单的数字运算就可以得到共享密钥生成的伪随机密码流,然后伪造合法的响应消息通过AP认证后接入W
21、LAN。3.SSID和MAC地址过滤WEP服务集标识SSID由Lucent公司提出,用于对封闭网络进行访问控制。只有与AP有相同的SSID的客户站点才允许访问WLAN。MAC地址过滤的想法是AP中存有合法客户站点MAC地址列表,拒绝MAC地址不在列表中的站点接入被保护的网络。但由于SSID和MAC地址很容易被窃取,因此安全性较低。4WEP加密机制的天生脆弱性 WEP加密机制的天生脆弱性是受网络攻击的最主要原因,WEP2算法作为802.11i的安全标准,对现有系统改进相对较小并易于实现。1.3 项目需求 由于该公司的主要业务为高新产品的开发和生产,掌握众多机密信息,并且下设多个部门,所以对网络安
22、全性和稳定性要求比较高。无论是基础网络还是客户端都必须严格做好安全防御工作。1.3.1 网络安全需求综合项目成本和实际应用等多方面因素,可以从如下几个方面满足用户需求。(1) 将防火墙部署在网络边缘,用于隔离来自Internet的所有网络风险。(2) 在路由器和核心交换机之间部署IPS,对全网的所有Internet通信进行检测,以便可以自动阻止、调整或隔离非正常网络请求和危险信息的传输。(3) 生产区和办公区分别通过汇聚交换机连接至核心交换机,在相应的汇聚交换机上分别进行适当的安全设置,将可能存在的安全风险因素隔离在网络局部。(4) 在办公区网络中,将安全需求和应用需求不同的用户指定到不同的V
23、LAN中,充分确保部门内部和部门间的信息安全。(5) 在会议室和展示厅等移动用户比较集中的场所,部署无线接入系统,在无线接入点以及无线接入点连接的交换机上,分别部署相应的安全防御措施,如IEEE802.1x认证、禁止广播SSID、WEP加密等。(6) 网络管理区和服务器区直接连接至核心交换机,以确保网络传输的可靠性。网络管理区中部署有MARS系统,用于监控、分析和处理网络中所有通过核心交换机的数据通信,以便及时发现网络中存在的恶意攻击、非正常访问等情况,并协助管理员制定相应的解决方案。(7) 为了确保服务器的安全,在服务器集中区部署IDS,可以对服务区网络以及系统的运行状况进行监视,尽可能发现
24、各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。1.3.2 网络访问安全需求由于公司大部分用户信息安全意识较差,因此必须对安全需求较高的部门的用户进行集中管理,防止机密信息外泄。另外,本公司在外地设有分公司,只能通过远程接入方式访问内部网络资源,可以借助VPN技术实现加密传输,充分确保信息安全。目前,该网络中网络访问安全需求如下。(1) 客户端更新需要集中管理。大多数用户都已启用Windows Update功能,但是每个用户都从微软官方站点下载更新程序,会占用大量的网络带宽。另外,还有部分用户并未开启Windows Update功能,存在可能招致网络攻击的安全漏
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机信息 管理 专业 论文 20625
链接地址:https://www.31doc.com/p-3967617.html