网络安全毕业设计企业网络中信息安全维护.doc

《网络安全毕业设计企业网络中信息安全维护.doc》由会员分享，可在线阅读，更多相关《网络安全毕业设计企业网络中信息安全维护.doc（20页珍藏版）》请在三一办公上搜索。

1、毕业设计题 目： 系部（院）： 专 业： 学 号： 姓 名： 指导教师： 内容摘要现代计算机系统功能日渐负责，网络功能日渐强大，正在对社会的各行各业产生巨大的影响，但同时对于其开放性的特点，使的安全问题越来越突出。然而，随着人们对计算机网络的以来依赖程度日渐加深，网络安全也表现的越来越重要。网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术交替递升，原来网络股固有优越性的开放性和互联性间接变成了信息的安全一环。网络安全已变成越来越棘手的问题，只要是介入到因特网中的主机都有可能被攻击或者入侵，而遭受到安全问题

2、的困扰。我们经常可以听到黑客对莫企业的信息资源进行入侵、篡改和破坏的报道，所以分析和研究增强网络的安全功能，构建一个安全的企业网络系统是非常重要的。关键词：网络安全 信息交流 信息 攻击目 录一、绪论1（一）问题的提出1（二）现阶段网络安全的分析11、黑客的攻击12、管理的欠缺13、网络的缺陷24、软件的漏洞25、企业网络内部2二、网络安全策略3（一）防范的重点和对象31、对外32、对内3（二）企业网络安全方案31、在公司网络中采用VPN技术32、采用防火墙技术（屏蔽子网体系结构）43、入侵检测技术54、使用AAA服务器进行远程用户的验证6（三）实验验证7（四）网络内部维护工作131、限制员工

3、的工作系统权限132、更换管理员账户143、关闭不必要的端口144、隐藏IP地址155、对IE进行安全设置15三、结论16参考文献18企业网络中信息安全维护一、 绪论（一） 问题的提出国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或恶意

4、的原因而遭破坏、更改或泄露，系统能连续可靠、正常地运行，使网络服务不中断。自网络问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出，各种计算机病毒和黑客（Hackers）对网络的攻击越来越激烈，许多企业遭受破坏的事例不胜枚举。（二） 现阶段网络安全的分析当前的网络面临的主要威胁主要来自下面几方面：1、 黑客的攻击黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方

5、面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。2、 管理的欠缺网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据 IT 界企业团体ITAA 的调查显示，美国 90的 IT 企业对黑客攻击准备不足。目前，美国 7585的网站都抵挡不住黑客的攻击，约有 75的企业网上信息失窃，其中 25的企业损失在 25 万美元以上。3、 网络的缺陷因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的 TCP/IP 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因

6、局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。4、 软件的漏洞随着软件系统规模的不断增大，系统中的安全漏洞或“后门 ”也不可避免的存在，比如我们常用的操作系统，无论是 Windows 还是 UNIX 几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的冲击波、震荡波等病毒都是利用微软系统的漏洞给企业造成巨大损失，可以说任何一个软件系统都可能会因为程序员 的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一 。5、 企业网络内部网络内部用户的误操作，资源滥

7、用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。二、 网络安全策略（一） 防范的重点和对象1、 对外防止外部的非法访问，防止黑客的入侵，保证整个企业内部网络的安全，保证企业的网络通信的畅通。2、 对内公司内部可能有一些员工对公司有不满情绪，对企业的网络直接发起攻击，因为他们的计算机直接在企业防火墙的内部，对企业网络内部发起攻击会比外部的黑客入侵有更大的危险性，防火墙无法了解和阻断这些攻击，因此内部网络安全的防范必须给予高度的重视。3、 重点部门的防范企业内部一些重点部门（如财务部）由于这些部门存放有公司的一些重要资料，因此必须重点保护。（二） 企业网络安

8、全方案1、 在公司网络中采用VPN技术虚拟专用网络(Virtual Private Network，VPN)是指将物理上分布在不同地点的局域网，通过公共网络（Internet）构建成一个逻辑上的专用网络，实现安全可靠、方便快捷的通信。图2-1 VPN的作用原理Intranet VPN（简称内部VPN）是企业的总部与分支机构之间通过公网构筑的虚拟网。 Intranet VPN是一种网络到网络以对等方式连接的拓扑结构。Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。图2-2 VPN应用2、 采用防火墙技术（屏蔽子网体系结构）防火墙（Firewall）

9、实际上是一种隔离技术，它将内部网和外网分开，在两者之间设置一道屏障，防止来自不明入侵者的所有通信。同时防火墙也是一种网络安全设备，它自身具有较强的抗攻击能力，它对两个网络之间传输的数据包按照一定的安全策略来实施检查、过滤，以决定网络之间的通信是否被允许，并监视网络运行状态。 防火墙功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。屏蔽子网（Screened Subnet）体系结构使用两个包过滤路由器和一个堡垒主机在内部网络和外部网络之间建立一个“非军事区”（Demilitarized Zone，DMZ）。DMZ

10、又称为屏蔽子网，它将内部网络和外部网络分开，内部网络和外部网络均可访问DMZ，但禁止它们穿过DMZ通信。从而迫使源于内网主机的业务流和源于外网主机的业务流都必须经过堡垒主机。图2-3 屏蔽子网（DMZ）3、 入侵检测技术入侵检测（Intrusion Detection，ID），是指对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测功能：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动

11、。入侵检测系统包括响应单元和时间数据库。响应单元是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警；时间数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。入侵检测基本流程图2-4 入侵检测技术（IDS）工作流程IDS的部署方式：一台IDS连接核心交换机，时时获得网络流量 ，时时监控外网与内网的所有通信流量图2-5 入侵检测系统（IDS）部署4、 使用AAA服务器进行远程用户的验证AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主

12、要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。使用AAA服务器验证功能，可以代替路由器来验证远程用户的登录信息（telnet用户名、密码），这样所有用户的登录信息就全在AAA服务器上而不是在路由器中，这可以防止当路由器受到攻击被攻陷时路由器中的用户信息暴露。AAA服务器工作：图2-6 AAA服务器工作原理（三） 实验验证1、 实验目的：使用路由器 AAA功能提供安全远程登录。2、 需求分析要实现远程登录用户的安全访问，可以利用路由器的 AAA 认证功能。同时出于稳定性的考虑，在 AAA 认证方法列表中配置两种认证方法，RADIU

13、S 服务器认证和本地认证，优先选择 RADIUS 服务器认证，当 RADIUS服务器没有响应时选择本地认证方法。3、 实验拓扑4、 实验过程步骤 1 配置路由器接口地址。 Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown 步骤 2 配置路由器 AAA 认证方法列表。 Router(config)#aaa new-model Router(config)#username tree passwo

14、rd test Router(config)#aaa authentication login test group radius localRouter(config)#radius-server host 192.168.1.222 步骤 3 在线路上应用 AAA认证方法列表。 Router(config)#line vty 0 4 Router(config-line)#login authentication test Router(config-line)#end步骤 4 搭建 AAA 服务器安装AAA服务器确定安装必须的条件完成安装填写客户端（路由器）地址添加用户账户并设置，并设置

15、用户账户等级查看创建的用户账户步骤 5 AAA认证测试配置完成后，从 PC 机上用命令 telnet 192.168.1.1 远程登录到路由器上，同时在路由器上用 debug aaa 命令开启 AAA认证调试信息，在认证通过时，可以看到如下调试信息。从调试信息可以看到，认证通过，认证方法为通过 group RADIUS服务器认证。将 RADIUS服务器从网络上断开，重复上面的测试过程，查看调试信息如下：从调试信息可以看到，在认证过程中，由于方法一 RADIUS服务器认证没有响应，因此超时后，尝试第二钟方法：本地认证，最后认证通过。当使用权限为0的账号登录时，只能进入用户模式当使用权限为15的账

16、号登录时，可以成功进入特权模式（四） 网络内部维护工作除了从硬件设施上对网络进行维护，在内部网络中也要做好相应的对策。1、 限制员工的工作系统权限在企业工作系统中设置各部门员工对企业文件的不同访问权限，根据各部门员工的岗位以及职责对企业工作系统中的文件进行权限设置。如图（图中只为示例，具体可根据实际情况安排）：尽量不要让其他人使用你的电脑系统,因为他们有可能引入有恶意的软件或病毒,感染你的电脑系统.如果必需和他人共用你的电脑系统,你也必须限制第三者对资料夹或硬盘的存取权限.避免使用共享文件夹,若真有此必要,则在共享文件夹设定使用者的名称和密码,这样可限制已被感染的电脑透过共享文件夹感染你的电脑

17、系统.2、 更换管理员账户Administrator账户拥有最高的系统权限，一旦该账户被人利用，后果将会不堪设想。黑客在入侵时的常用手段之一就是试图获得Administrator账户的密码，所以我们要对Administrator账号进行重新配置。首先为Administrator账号设置一个复杂强大的密码，然后重命名Administrator账号，在建立一个没有管理权限的账户并将其命名为Administrator，以此欺骗入侵者。这样一来，入侵者就很难搞清楚哪个账户真正拥有管理员权限，也就在一定程度上减少了威胁。3、 关闭不必要的端口黑客在入侵时常常会扫描计算机端口，如果安装了端口监视程序（如N

18、etwatch），监视程序就会有警告提示，如果遇到这种入侵，可用工具软件关闭用不到的端口，比如用Norton Internet Security 关闭用来提供网页服务的80 和443端口，其他一些不常用的端口也可以关闭。4、 隐藏IP地址黑客经常利用一些网络探测技术来查看主机信息，主要目的就是为了得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以像这个IP地址发动各种攻击，比如DoS拒绝服务攻击、F bop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器，使用后其他用户只能探测到代理服务器的IP地址，之就实现了隐

19、藏用户IP地址的目的，保障了上网安全。5、 对IE进行安全设置ActiveX控件和Java有较强的功能，但也存在被利用的隐患，网页中的恶意代码就往往是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击就要禁止这些恶意代码的运行。设置步骤：工具Internet选项安全自定义级别。另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。三、 结论企业在注重信息化的同时更加应该注重网络信息的安全，企业信息化在各企业带来便捷的同时也带来了更大的风险。随着信息技术的飞速发，网络及网络信息安全技术已经影响到社会的政治、经济、文化和军

20、事等各个领域。以网络方式获取和传播信息已成为现代信息社会的重要特征之一。网络技术的成熟使得网络连接更加容易，人们在享受网络带来便利的同时，网络的安全也日益受到威胁。网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术交替递升，原来网络固有优越性的开放性和互联性变成信息的安全性隐患之便利桥梁。网络安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。 参考文献1 刘化君，网络安全技术，机械工业出版社，2008年9月；2 谢希仁，计算机网络，西安电子工业出版社，2010年2月；3 许志坤，网络渗透技术，西安电子工业出版社，2010年5月；4 徐明 张海平，网络信息安全， 西安电子科技大学出版社，2009年12月；5 王慧强，计算机网络知识要点，哈尔滨工程大学出版社，2009年10月；6 贺雪晨，信息对抗与网络安全，清华大学出版社，2010年5月