网络毕业论文-企业内网的安全性研究36701

绪 论. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

第一章企业网络安全分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

一、现状分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.1 Internet的安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.2企业内网的安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.3项目背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.4项目分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1.4.1安全设备分布. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

1.4.2网络设备安全现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1.4.3服务器部署现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

1.4.4客户端计算机. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

1.4.5无线局域网安全现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

1.4.6网络隐患、风险分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

1.5项目需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1.5.1网络安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1.5.2网络访问安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.6项目规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.6.1服务器安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

1.6.2客户端安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

1.6.3网络设备安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

1.6.4无线准备安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

1.6.5防火墙、 IDS、 IPS规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

1.6.6局域网接入安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

1.6.7Internet接入安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

1.6.8远程接入安全规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1.6.9网络可靠性规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

第二章企业网络安全的实际应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

2.1企业网络安全实施. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

2.2网络传输的实施. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

2.3访问控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

2.4入侵检测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

2.5漏洞扫描. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

2.6其它. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2.6.1应用系统安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2.6.2系统平台安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2.6.3应用平台安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2.7病毒防护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

2.8产品应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

2.9数据备份. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

2.10安全审计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

2.11认证、鉴别、数字签名、抗抵赖. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

2.12物理安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

2.13两套网络的相互转换. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

2.14应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

2.15防电磁辐射. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

2.16网络防雷. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

2.17重要信息点的物理保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

新疆农业职业技术学院

摘 要

网络安全的本质是网络信息的安全性包括信息的保密性、完整性、可用性、真实性、可控性等几个方面它通过网络信息的存储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下对于防止来自网外的攻击。防火墙则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。

新疆农业职业技术学院

绪 论

随着网络的高速发展网络的安全问题日益突出近年来黑客攻击、网络病毒等屡屡曝光国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在企业网络建设的过程中 由于对技术的偏好和运营意识的不足普遍都存在“重技术、轻安全、轻管理”的倾向随着网络规模的急剧膨胀 网络用户的快速增长关键性应用的普及和深入企业网在企业的信息化建设中已经在扮演了至关重要的角色作为数字化信息的最重要传输载体如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。

新疆农业职业技术学院

第一章企业网络安全分析

随着企业信息化的不断推进各企业都相继建成了自己的企业网络并连入互联网企业网在企业的信息化建设中扮演了至关重要的角色。但必须看到随着企业网络规模的急剧膨胀,网络用户的快速增长尤其是企业网络所面对的使用群体的特殊性拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠 如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题解决网络安全问题刻不容缓。现状分析

随着国内计算机和网络技术的迅猛发展和广泛普及企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但是 Internet所具有的开放性、国际性和自由性在增加应用自由度的同时对安全提出了更高的要求。一旦网络系统安全受到严重威胁甚至处于瘫痪状态将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵已成为信息事业健康发展所要考虑的重要事情之一。

大型企业不断发展的同时其网络规模也在不断的扩大由于其自身业务的需要在不同的地区建有分公司或分支机构本地庞大的Intranet和分布在全国各地的Intranet之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网为企业提高了效率、增加企业竞争力同样这样复杂的网络面临更多的安全问题。首先本地网络的安全需要保证同时总部与分支机构、分支机构之间的机密信息传输问题以及集团的设备管理问题这样的网络使用环境一般存在下列安全隐患和需求

1.1 Internet的安全性

目前互联网应用越来越广泛黑客与病毒无孔不入这极大地影响了Internet的可靠性和安全性保护Internet、加强网络安全建设已经迫在眉捷。

新疆农业职业技术学院

1.2企业内网的安全性

企业内部的网络安全同样需要重视存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。具体表现如下

• 计算机病毒在企业内部网络传播。

• 内部网络可能被外部黑客攻击。

• 对外的服务器如 www、 f t p、邮件服务器等没有安全防护容易被黑客攻击。

• 内部某些重要的服务器或网络被非法访问造成信息泄密。

• 内部网络用户上网行为没有有效监控管理影响日常工作效率容易形成内部网络的安全隐患。

• 分支机构网络安全问题。

• 大量的垃圾邮件占用网络和系统资源影响正常的工作。

• 分支机构网络和总部网络连接安全和之间数据交换的安全问题。

• 远程、移动用户对公司内部网络的安全访问。

1.3项目背景

假设某企业拥有员工2000余人公司总部坐落在省会城市高新技术开发

区包括4个生产车间和两栋职工宿舍楼产品展示、技术开发与企业办公

均在总公司进行。该企业在外地另开设有两家分公司 由总公司进行统一管

理和部署。 目前该企业的拓扑结构图如图1-1所示基本情况如下。

1、公司局域网已经基本覆盖整个厂区 中心机房位于总公司职工宿舍楼

新疆农业职业技术学院

和生产车间均有网络覆盖。

2、 网络拓扑结构为“星型+树型”接入层交换机为Cisco Catalyst 2960汇聚层交换机为Cisco Catalyst 3560核心层交换机为Cisco Catalyst 3560

3、现有接入用户数量为500个客户端均使用私有IP地址通过防火墙或代理服务器接入Internet。部分服务器IP地址为公有IP地址。

4、 Internet接入区的防火墙主要提供VPN接入功能用于远程移动用户或子公司网络提供远程安全访问。

5、会议室、员工宿舍等场所部署无线接入点实现随时随地无线漫游接入。

6、服务器操作系统平台多为Windows Server 2003和Windows Server 2008系统。客户端系统为Windows XP Professional和Windows 7

7、 网络中部署有Web服务器为企业网站运行平台。

8、企业网络办公平台为WSS文件服务器可以为智能大厦的办公用户提供文件共享、存储于访问。

9、 E-mai l、 RTX为用户员工之间的彼此交流 以及企业与外界的通信网络。

10、打印服务和传真服务主要满足企业用户网络办公的应用。

11、企业分支结构通过VPN方式远程接入总部局域网并且可以访问网络中的共享资源。

图1-1项目背景

新疆农业职业技术学院

1.4项目分析

在普通小型局域网中最常见的安全防护手段就是在路由器后部署一道防火墙甚至安全需求较低的网络并无硬件防火墙只是在路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。但是在较大的企业网络中许多重要应用都要依赖网络势必对网络的安全性的要求高一些在部署网络安全设备的同时必须辅助多种访问控制与安全配置措施加固网络安全。

1.4.1安全设备分布

1. 防火墙

由于企业局域网采用以太网接入方式所以直接使用防火墙充当接入设备部署在网络边缘防火墙连接的内网路由器上配置访问列表和静态路由信息。另外在会议室、产品展示厅等公共环境中的汇聚交换机和核心交换机之间部署硬件防火墙防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。

2. IPS

IPS Intrusion Prevention System入侵防御系统部署在Internet接入区的路由器和核心交换机之间用于扫描所有来自Internet的信息 以便及时发现网络攻击和制定解决方案。

3. IDS

IDS Internet Detection System入侵检测系统本身是一个典型的探测设备类似于网络嗅探器无需转发任何流量而只需要在网络上被动地、无声息地收集相应的报文即可。 IDS无法跨越物理网段收集信息只能收集所在交换机的某个端口上的所有数据信息。该网络中的IDS部署在安全需求最高的服务区用于实时侦测服务器区交换机转发的所有信息对收集来的报文 IDS将提取相应的流量统计特征值并利用内置的入侵知识库与这些流量特征进行智能分析比较匹配。根据默认的阀值匹配耦合度较高的报文流量将被认为是进攻IDS将根据相应的配置进行报警或进行有限度的反击。

4. Cisco Security MARS

Cisco Security MARS(Monitoring Analysis Response System)是基于设备的全方位解决方案是网络管理的关键组成部分。 MARS可以自动识别、管理并

新疆农业职业技术学院

抵御安全威胁它能与现有网络和安全部署协作 自动识别并隔离网络威胁同时提出准确的清除建议。在本例企业网络中 MARS直接连接在核心交换机上用于收集经过核心交换机的所有数据信息 自动生成状态日志供管理员调阅。

1.4.2网络设备安全现状

当网络中的交换机、路由器等网络设备都是可网管的智能设备并且提供Web管理方式同时配置了基本的安全防御措施如登陆密码、用户账户权限等。

1. 交换机和路由器安全设置

交换机的主要功能就是提供网络所需的接入接口。 目前该网络中基于交换机的安全管理仅限于VLAN划分、 Enable密码和Telnet密码等基本安全措施并未进行任何高级安全配置如流量控制远程监控、 IEEE802. 1x安全认证等存在较大的安全隐患。

企业网络采用以太网接入Internet,而网络中部署的网络防火墙已具备接入功能所以该网络中的路由器上只配置简单的静态路由、访问控制列表和网络地址转换可以满足基本的安全要求。

2. 办公设备安全配置

企业网络中的集中办公设备包括打印机和传真机均支持网络接入功能部署在楼层的集中办公区。由于缺乏访问权限控制措施致使网络打印机和传真机被滥用造成不必要的资源浪费。另外用户计算机到打印机之间的数据传输是未经加密的明文存在一定的安全隐患。

1.4.3服务器部署现状

网络中应用服务器包括域控制器、 DHCP服务器、文件服务器、传真服务器、网络办公平台、数据库服务器等其中有许多网络服务合用一台服务器网络中共有服务器10台通过单独的交换机高速连接至核心交换机完全采用链路冗余结束双线连接确保连接的可靠性。

所有服务器均已加入域中接受域控制器的统一管理并且已开启远程终端功能用户可以使用有效的管理员账户凭据远程登录服务器实现相应的配置与管理任务。

新疆农业职业技术学院

1.4.4客户端计算机

客户端计算机主要以Windows操作系统为主极少数用户是运行Linux和Mac OS操作系统。客户端计算机的安全防御比较薄弱仅限于用户账户登录密码、个人防火墙、杀毒软件等。因此 由于个别客户端感染病毒而导致网络瘫痪的问题时有发生。对于Windows系统而言应用最多的Windows XP Professional和Windows Vista系统已经集成了比较完善的安全防御功能如Internet防火墙、 Windows防火墙、 Windows Defender、 Windows Update等客户端用户只需对这些功能简单配置 即可增强系统安全性。

另外对于中型规模的企业网络而言统一的网络管理才是最重要的。例如统一配置客户端计算机安全功能、增强网络访问控制、部署NAP系统、部署WSUS服务器等。

1.4.5无线局域网安全现状

在企业网络中部署无线局域网延伸了有线局域网的覆盖范围避免网络布线对现有整体布局和装修的破坏既是环境需求也是企业发展和生存的需要。用户在无线网络覆盖范围内可以自由访问网络充分享受无线畅游的便利。但是 由于无线网络传输的特殊性无线局域网的安全问题也是不容忽视的。该企业网络中的无线网络安全问题主要表现在以下几个方面。

1. WEP密钥发布问题

802. 11本身并未规定密钥如何分发。所有安全性考虑的前提是假定密钥已通过与802. 11无关的安全渠道送到了工作站点上而在实际应用中一般都是手工设置并长期固定使用4个可选密钥之一。因此当工作站点增多时手工方法的配置和管理将十分繁琐且效率低下而且密钥一旦丢失 WLAN将无安全性可言。

2.WEP用户身份认证方法的缺陷

802. 11标准规定了两种认证方式开放系统认证和共享密钥认证。

开发系统认证是默认的认证方法任何移动站点都可加入BSS BasicServiceSet,基本服务集并可以跟AP AccessPoint,接入点通信能“听到”所有未加密的数据可见这种方法根本密钥提供认证也就不存在安全性。