《毕业设计公司网络安全设计.doc》由会员分享,可在线阅读,更多相关《毕业设计公司网络安全设计.doc(28页珍藏版)》请在三一办公上搜索。
1、长江证券有限公司网络安全设计摘要当今世界信息化浪潮席卷正全球。以Internet为代表的信息网络技术应用正日益普及和广泛,应用领域从传统小型业务系统逐渐向大型关键业务系统扩展,典型的例如党政部门信息系统、金融业务系统、企业商务系统等。网络安全已经成为影响网络效能重要的问题,而Internet所具有的开放性、自由性和国际性在增加应用自由度的时候,对安全提出了更高级的要求。一般来说,网络安全由信息安全和控制安全两部分组成。信息安全指信息的完整性、可用性、保密性和可靠性;控制安全则指身份认证、不可否认性、授权和访问控制因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长,也为企业的发展带来了勃勃生
2、机。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长,也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。这时网络安全成为信息技术发展的一大障碍同时也是一大机遇与挑战。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构,在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施
3、和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络安全防御体系,使网络安全系统真正获得较好的效果。关键词:网络安全,防火墙技术,病毒目录第1章 绪 论11.1 网络安全产生的背景11.2 网络安全的重要性21.3 网络安全的策略21.4 本论文的主要工作简介3第2章 长江证劵公司的网络安全42.1 公司的背景42.2 公司的现网络拓扑图42.3 增加防火墙后的网络及解决方案62.4 营业网点的网络安全防范7第3章 防火墙93.1 防火墙的含义及作用93.2 防火墙的分类93.3 防火墙的配置与应用113.3.1 防火墙配置基础113.3.2 防火墙的应用13第4章 安全产品的配置与
4、应用154.1 防病毒及特洛伊木马软件154.2 动态口令身份认证17第5章 安全方案测试205.1 安全管理机构的建设原则205.2 网络安全方案测试205.3 展望21第1章 绪 论1.1 网络安全产生的背景随着计算机网络技术的快速发展和电子银行、电子商务、电子政务的广泛应用,计算机网络已经深入到国家的政治、经济、文化和国防建设的各个领域,遍布现代信息化社会工作和生活的各个层面,“数字化经济”和全球电子交易一体化正在形成。计算机网络安全不仅关系到国计民生,还与国家安全密切相关,不仅涉及到国家政治、军事和经济各个方面,而且影响到国家的安全与主权。随着计算机网络的广泛应用和网络数据传输量的急剧
5、增大,网络安全的重要性更为突出。目前,我国网络安全存在的主要问题有:1)计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心数据看,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃 2)电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。3)信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。网络环境的多变性、
6、复杂性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国被列入防护能力最低的国家之一,我国日益开放并且走向世界,建立保护屏障和加强安全监管不可缺少。近年来,随着网络安全事件的发生,人们越来越清楚的意识到,信息时代所引发的信息安全问题涉及到人们生活的方方面面。因此可以说,在信息化社会里,信息安全的重要性再怎么强调也不过分。1.2 网络安全的重要性在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数
7、据库内容,伪造用户身份,否认自己的签名。更有甚者, 攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。为了能更好地适应信息技术的发展,必须做好安全措施,防止数据的侦听和盗取,以免造成不可挽回的经济损失和安全威胁。1.3 网络安全的策略网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息,一般来说,安全策略包括两个部分:一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想,而具体的规则用于说明什么活动是被允许的,什么活动是被禁止的。网络安全策略的等级网络安全策略可分为以下4个等级:1)不把内部网络和外部网络相连,因此一切都被禁止;2)除那些被明确允
8、许之外,一切都被禁止;3)除那些被明确禁止之外,一切都被允许;4)一切都被允许,当然也包括那些本来被禁止的。可以根据实际情况,在这4个等级之间找出符合自己的安全策略。当系统自身的情况发生变化时,必须注意及时修改相应的安全策略。1.4 本论文的主要工作简介本文结合长江证券股份有限公司的实例,重点研究计算机网络的安全问题,对长江证劵现存在的网络问题及相应的一个解决方案,从而尽可能的使本网络安全系统保持可扩展性、健壮性,使网络安全系统真正获得较好的结果。主要研究工作有: 1)长江证劵股份有限公司具体存在的问题及解决方案;2)查找和收集网络安全相关的资料,剖析常见网络攻击的手段,分析影响网络安全的因素
9、。及相应的路由器和营业网点计算机上所做的配置;3)内网安全防范的具体方法,例如安装杀毒软件,口令认证,管理风险等进行具体的分析;4)根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划,设计了中小型网络安全系统方案,运用先进的网络安全技术和网络安全产品对方案进行了实现,探讨了今后网络安全系统的发展方向。第2章 长江证劵公司的网络安全2.1 公司的背景长江证劵股份有限公司,是从事证劵金融行业的企业之一,长江证券股份有限公司前身为湖北证券公司,成立于1991年3月18日,注册地为武汉。2000年2月23日,经中国证监会核准批复,公司增资扩股至10.29亿元,
10、同时更名为“长江证券有限责任公司”。2001年12月,经中国证监会核准批复,公司增资扩股至20亿元。2007年12月19日,经中国证监会批复,公司更名为“长江证券股份有限公司”,并于12月27日正式在深圳证券交易所挂牌上市,股票代码为000783。现有公司员工6176人,经营范围是:证券经纪;证券投资咨询;证券自营;证券资产管理;融资融券;证券投资基金代销;为期货公司提供中间介绍业务;证券(不含股票、上市公司发行的公司债券)承销;中国证监会批准的其他业务。2.2 公司的现网络拓扑图从整个网络的现状来看,省行中心是受防火墙保护的,有效防止了来自地市行的网络入侵,同样地市行的二级中心与营业网点和合
11、作伙伴之间也有防火墙隔离,这样就组成了一个基本安全的网络系统。 但这种模型存在着三个安全隐患: 一是二级分行(假设为A分行和B分行)上联到省行的同一台路由器上,A分行和B分行之间的相互访问不经过任何防火墙隔离; 二是合作伙伴和营业网点在二级分行的同一个下联路由器上,存在着合作伙伴非法侵入营业网点的可能; 三是同一个路由器下联网点之间的相互访问没有防火墙隔离措施。这些安全隐患都是历史原因造成的,其一是二级分行是将省行作为可信任对象接入网络的,没有考虑到其他二级分行这一不可信任对象群存在着非法入侵的可能性; 其二是合作伙伴(比如人民银行、移动公司、联通公司、网通公司、保险公司等)是随着业务的开展逐
12、步接入网络系统的,从一开始就没有也不可能有一个完整的网络规划,没有一台专门用于合作伙伴接入的路由器,在建网模型中将其等同于内部营业网点,只是在路由器的配置上增加了访问列表控制。有上述三个安全隐患的存在,就有可能存在非法入侵或网络攻击。比如某合作伙伴非法入侵到一个营业网点上,利用网点的合法身份就可以取得与营业网点相同的网络权限,可以窃取金融机密、篡改业务数据,从而造成数据混乱直至经济损失。再比如A二级分行非法入侵到B分行,通过使用网络攻击工具,可以直接致使B分行的网络系统拒绝多种服务,从而造成网络瘫痪。高科技网络犯罪以其本身固有的隐蔽性,使侦破、举证非常困难,所以一定要在技术和管理上严加防范,争
13、取做到防患于未然。如图2-1所示,是公司现状的网络图。图2-1 公司现网络图2.3 增加防火墙后的网络及解决方案根据以上分析,我们以为在市分行中心要增加防火墙,建立非军事区,将二级分行的核心服务器、前置机保护起来; 对于合作伙伴要与营业网点区别对待,专门使用一个合作伙伴接入路由器和他们相联结。将分行机关本身的计算机群也视为不可信任对象放在非军事区之外。如图2-2所示:是其增加防火墙后的网络拓扑结构。图2-2 增加防火墙后的网络结构图如图2-2所示,根据现行情况,二级分行有多台上联路由器,同时也有多台下联路由器,所以我们拟采用Cisco的Pix 515ur路由器作为外层防火墙。Pix 515 U
14、R系列防火墙最多可以扩展到5个外网口、1个内网口,其安全级别从100到0任意分配,其中安全级别较高的以太网口相对于安全级别低的以太网口而言都是内网口。根据信息产业部和公安部的有关规定,进口防火墙要和国产防火墙联合使用,所以我们拟选天融信的 FW2000作为内层防火墙。这种选用联合防火墙的优点是:1)利用Pix的低价位、高配置的优势,将所有上联或下联路由器联到同一台防火墙上,使路由器之间的访问必须通过防火墙隔离;2)利用Pix的nat地址映射功能,屏蔽非军事区的地址,使得所有对内网的攻击变成对防火墙的攻击,而防火墙的防护能力非常强;3)内层使用天融信的FW2000,价位比较低,而包过滤功能非常强
15、,即使部分漏网的恶意攻击数据包通过了Pix,也会被FW2000过滤掉,同时也满足了国家的有关规定。如果只选用FW3000防火墙进行一层防火墙隔离措施,就受到了两个制约。一是性能价格比: FW2000的可扩展性比较差,最多可扩展到3个外网口; FW3000与FW2000的价格差就高于一台Pix的价格,尽管FW3000最多可以扩展到11个外网口,但扩一个口就需要2万元; 以需要隔离5台路由器为例,综合计算下来,Cisco Pix+FW2000需要12.5万元,单独使用FW3000需要19.8万元。二是天融信系列防火墙是以数据包过滤见长的,Pix+FW则综合实现了状态型数据包过滤和内网地址屏蔽,其安
16、全性能高于单层FW3000。2.4 营业网点的网络安全防范经过上述网络改造之后,尚有一个安全隐患没有消除: 同一台路由器下联的营业网点之间的相互访问没有防火墙隔离。每个营业网点如果都配置硬件防火墙固然好,但是成本太高。针对金融企业网相对封闭、营业网点操作人员的计算机网络专业水平都相对较低的特点,不妨对常见网络攻击手段逐一分析,从路由器和营业网点计算机上做相映配置,从而做到低成本下的有效防范。第3章 防火墙3.1 防火墙的含义及作用从传统意义讲:用于控制实际的火灾,使火灾被限制在建筑物的某部分,不会蔓延到其他区域。从网络安全意义上讲:用于保护网络免受恶意行为的侵害,并阻止其非法行为的网络设备或系
17、统。作为一个安全网络的边界点,在不同的网络区域之间进行流量的访问控制。防火墙能够做什么、它有什么作用?1)控制和管理网络访问;2)保护网络和系统资源;3)数据流量的深度检测;4)身份验证;5)扮演中间人角色;6)记录和报告事件。3.2 防火墙的分类1)按照操作对象分为:主机防火墙、网络防火墙;2)按照实现方式分为:软件防火墙和硬件防火墙;3)按照过滤和检测方式分为:包过滤防火墙、状态防火墙、应用网关防火墙、地址转换防火墙、透明防火墙、混合防火墙。在状态防火墙中:1)有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作;2)保持对连接状态的跟踪,状态表。(1)无需开放高端口访问权限;(2)作
18、为主要的防御措施;(3)需要更加严格的控制;(4)不属于现有会话的访问将被拒绝。3)检查更高级的信息:(1)TCP Flag、TCP Seq.;(2)更多的Dos防护;(3)特定应用层协议检测。4)不能阻止应用层攻击;5)状态表导致的系统开销;6)部署方式。在防火墙的部署中:防火墙拓扑位置1)专用(内部)和公共(外部)网络之间;2)网络的出口和入口处;3)专用网络内部:关键的网段,如数据中心。防火墙区域1)Trust(内部);2)Untrust(外部,Internet);3)DMZ(Demilitarized Zone,非武装军事区);(1)DMZ中的系统通常为提供对外服务的系统;(2)增强信
19、任区域中设备的安全性;(3)特殊的访问策略;(4)信任区域中的设备也会对DMZ中的系统进行访问。如图3-1所示:是防火墙的部署图。图3-1 防火墙的部署图3.3 防火墙的配置与应用3.3.1 防火墙配置基础1)配置接口Conf tName if ethernet0 outside security0Name if ethernet1 inside security100Name if ethernet2 DMZ security50Interface ethernet0 autoInterface ethernet1 autoInterface ethernet2 autoIp address
20、 outside 192.168.20.1 255.255.255.0Ip address inside 172.16.10.1 255.255.255.0Ip address dmz 10.10.10.10 255.255.255.0Router outside 0.0.0.0 0.0.0.0 192.168.20.1Write memory2)保存和查看配置pix1(config)# ping 192.168.10.10192.168.10.10 response received - 0ms192.168.10.10 response received - 0ms192.168.10.1
21、0 response received - 0mspix1(config)# write memoryBuilding configuration.Cryptochecksum: dfe4a212 2d798b65 c28d5c76 86c2aa92OKpix1(config)#pix1(config)# write terminalpix1(config)# show run3)访问类型:(1)出站连接:从高到低的接口(2)入站连接:从低到高的接口4)配置出站连接:(1)缺省情况下,PIX允许所有出站连接;(2)还要使用NAT和GLOBAL命令完成连接;思科建议尽可能5)在防火墙上启用NAT
22、(1)接口级别相同的网络不会产生连接.pix2(config)# nat (inside) 2 0 0pix2(config)# nat (dmz) 2 0 0pix2(config)# global (outside) 2 192.168.30.2 netmask 255.255.255.0Global 192.168.30.2 will be Port Address Translatedpix2(config)#global (outside) 2 192.168.40.2-192.168.40.100 netmask 255.255.255.06)配置入站访问连接(1)缺省情况下,入站
23、连接是被拒绝的.(2)任何入站连接都需要进行配置.(3)可以使用static和conduit完成任务.(4)如:在DMZ中加了一台WEB服务器,如何发布到互联网中.pix2(config)# static (inside,outside) 202.103.24.111 192.168.40.2 netmask 255.255.255.255 0 0pix2(config)# conduit permit host 202.103.24.111 eq www any3.3.2 防火墙的应用如图3-2所示:是防火墙的应用结构图。图3-2 防火墙的应用第4章 安全产品的配置与应用4.1 防病毒及特洛
24、伊木马软件为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。1)选择防毒软件的标准:(1)“高侦测率”是基本条件;(2)“尽量小影响”是基本要求;(3)“容易管理”是基本要求;(4)未知病毒“隔离政策”是关键;2)病毒处理功能特色指标(高侦测率):(1)未知病毒检测能力、未知病毒清除能力 ;(2)压缩文件查毒(不限层数)、压缩文件清毒(不限层数); (3)打包文件查毒(不限层数)、打包文件清毒(不限层数);
25、 (4)内存查毒、内存清毒、运行文件清毒;常用的防病毒软件:Kv3000、瑞星:Rishing 、NAI公司: McAfee TVD 、TrendMicro(趋势科技)、Symantec公司:Norton AntiVirus。一个完整的木马程序有两个部分组成:服务器端和控制器端1)客户端防毒:采用趋势科技的Officescan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯W己b的部署方式。2)邮件
26、防毒:采用趋势科技的 SacllMailforNoteS。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNoteS的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。3)服务器防毒:采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新,另一方面减少了整个防毒系统对原系统的影响,。Serve少rotect产品支持Wi
27、ndowsNT/2000、NovellNetware,同时ServerProtect是业界第一款支持Linux平台的防病毒产品。防范措施主要有:1)使用正版防毒软件,并及时更新防毒病毒码;2)及时打上系统和软件补丁;3)不要访问色情、黑客等不良网站;4)不要轻易相信“朋友”发来的链接和程序,对于下载的软件应该先查毒,然后才能运行;5)陌生人的邮件勿轻易打开;6)定期更新密码,尤其是银 行账号、游戏账号等的密码 7) 使用防毒软件定期扫描系统。对于企业用户而言还应做好以下几点:1)加强网络管理,关闭不必要的网络端口和应用;2)使用网络版的防毒软件,可以进行全网管理;3)加强用户安全意识教育;4)
28、做好安全监控和病毒事件应急响应;5)监控Web服务器是否挂马,有条件者可以寻求专业防毒机构和专业人士的支持。4.2 动态口令身份认证动态口令身份认证具有随机性、动态性、一次性、不可逆等特点,不仅保留了静态口令方便性的优点,而且很好地弥补了静态口令存在的各种缺陷。动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过数十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。特点如下:1)动态口令系统的抗截获攻击能力在动态口令认证系统的设计中,每个正确的动态口令只能使用一次。
29、因此,不用担心口令在传输认证期间被第三方监听到。因为正确的口令在认证服务器上被认证之后,在数据库中会有相应的日志记录,这时即使再有使用这个正确口令的用户提交认证,也不能通过。动态口令系统的这个特点使得截获攻击无法实现。 2)动态口令系统的抗实物解剖能力动态口令卡采用了带加密位的数据处理器,防止有人企图解算法程序从其中读出,具有很高的抗实物解剖能力。另外,由于每个用户的密钥都不相同(在初始化时随时生成),并且密钥与同口令计算有关的信息存贮在动态RAM中,当有人对其进行分析时,数据处理一旦掉电,这些密钥将消失。即使有人破译了其中的程序,由于不知道用户的密钥,以及初始化时间等相关信息,也无法正确地计
30、算出用户实时的口令。3)动态口令系统的抗穷举攻击能力穷举攻击是破解口令时常用的攻击手段之一。这种攻击手段的特点就是大量频繁地对一个用户的口令进行反复认证。针对这一特点,在动态口令认证系统中对每一个用户在一个时段内的认证结果设计了日志记录,当发现一个用户的认证记录为多次失败时,系统将锁住这个用户的认证行为。这样也就杜绝了穷举攻击的可能性。4)系统的密钥管理和安全数据库的加密。系统安全数据库保存用户信息、用户密钥等等,这些敏感数据如果泄露,将使第三者获得合法用户的身份,因此是绝对需要保密的。我们对安全数据库均进行加密后存放在服务器上,绝对不以明码的形式出现。系统主密钥存放在系统维护员的IC卡上,只
31、有掌握系统维护员的IC卡的人才能对这些敏感数据库进行操作。因此不掌握系统密钥的话,即使有机会接触到服务器,也无法取得各用户密钥。本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统主要由以下几个主要模块组成:认证系统管理员界面、帐号管理服务器(UAM)、RADIUS认证服务器、NAS(网络接入服务器采用带VPN功能的防火墙,例如:NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如:NOKIA防火墙软件CheekPointExpress)。VPN用户从顶temet远程访问内部网络,需要对用户身份进行认证,允许合法的用户
32、访问网络,不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险,而采用动态口令作为密码,即每次用户通过身份认证后本次密码立即失效。用户下次登录时,通过VPN客户端获得新的密码,并通过手机短信将新密码发送给用户。采用该方案后,在中小型公司的认证系统中能够实现:1)密钥/时间双因素的身份认证机制;2)登录口令随时间变化;3)口令使用次数和时效自由控制,有效抵御重播攻击行为;4)开放的应用程序接口,与应用系统方便集成;5)使用经过国家认可的自主密码算法,具有优秀的安全性;6)提供客户端设备与认证服务器之间的时间补偿机制,提高系和可用性;7)用户端设备设计小巧,性能稳定,使用方便;8)提供完
33、善灵活的安全事件日志审计和查询功能。避免了静态口令中的不足,譬如:1)网络数据流窃听(Sniffer);2)认证信息截取/重放(Record/Replay);3)字典攻击;4)穷举尝试(BruteForee)。第5章 安全方案测试5.1 安全管理机构的建设原则单位安全网内网系统安全具有高度的敏感性和特殊性,通过设立专门的主管机关强制性执行上述国家相关法规来进行管理。信息安全管理机构的职能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机
34、构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。能建设遵照从上至下的垂直管理原则,即:上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则:下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全策略;信息系统的安全管理机构,不隶属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员组成。5.2 网络安全方案测试随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络
35、有了更高的要求。鉴于国家和各单位领导的重视,涉及信息安全的经费逐年增加,但是信息安全并不是在市场上所有安全产品的堆叠,因为这种堆叠不仅会在经济造成极大的浪费、在人力上造成非常大浪费,更重要的是它没有达到防护的效果,因此完善的计算机网络安全方案就显得十分重要。一个特定的系统网络安全方案,应建立在对网络风险分析的基础上,结合系统实际的应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固定为一个模式,用这个模式去套所有的网络系统。本系统通过网络的连通性测试、各应用系统功能的实现测试、网络管理功能的实现测试、实际数据传输的测试均达到中小型网络管理的需求5.3 展望本文实际上重点讨论了
36、对非授权用户非法访问网络信息的保护方法,这是和外界物理隔离的保密网络现阶段遇到的最为主要问题。系统管理人员应该清楚在自己的系统上所注册的合法用户究竟都有哪些;他们各自的权限又在哪儿。其次详细讨论了针对计算机操作系统普遍存在的安全漏洞对用户计算机的威胁,以及采取哪些防护手段。由于时间、精力的有限以及技术方面的不足,本文还存在着许多需要进一步加以完善的工作:1)本文做的工作只是对中小型公司网络安全系统中的几个模块进行了详细的分析和设计,而校园网络安全是校园网很重要部分,它包含很多的内容,因此还有大量应用需要开发;2)本文对方案具体实施效果没提及,对于这方面的应用要进行深入研究;3)在该方案开发完成
37、后需要和所有其它的应用系统整合,这样才能满足安全统建设的需求;4)虽然给出了方案的设计,但其合理性和适用性还不够完善。致谢在本论文的写作过程中,我的导师童均老师倾注了大量的心血,从选题到任务书及开题报告,从写作提纲,到一遍又一遍地指出每稿中的具体问题,严格把关,循循善诱,在此我表示衷心感谢。同时我还要感谢在我学习期间给我极大关心和支持的各位老师以及关心我的同学和朋友。写作毕业论文是再一次系统学习的过程,毕业论文的完成,同样也意味着新的学习生活的开始。特别感谢我的导师童老师,在大学三年的时间里他在学习、生活上一直对我悉心指导、严格要求、热情鼓励,为我创造了很多锻炼提高的机会。在论文的写作过程中,
38、每周都按时开论文讨论会,解决在论文中遇到的一些问题,给我们指明论文写作的方向,如果没有童老师严格的要求我们,我想我是不会按时完成论文的。童老师渊博的知识、宽广无私的胸怀、夜以继日的工作态度、对事业的执著追求、诲人不倦的教师风范和对问题的敏锐观察力,都将使我毕生受益。即将挥手告别大学生涯,走向人生另一个起点也是重大的转折点,在这里我不仅获取到了知识,还懂得了做人的基本道理,我相信在这短短的三年里将会是我一生中非常重要的回忆。在此我谨向我的导师以及在毕业设计过汤曼参考文献1 科技辞典J. 天津科技, 2005,(03)2 梁羽. 基于NIDS的立体防御系统方案设计与探讨J. 民营科技, 2008,
39、(05)3 张琳, 黄仙姣. 浅谈网络安全技术J. 电脑知识与技术(学术交流), 2006,(11) 4 导师:陈永锋 导师单位:西安建筑科技大学 学位授予单位:西安建筑科技大学5 刘佳.基于GPS技术的矿山排土调度系统研究D. 中国优秀硕士学位论文全文数据库,2009,(10)6 延秀娟.基于面部特征的矿山井下人员身份验证技术研究D. 中国优秀硕士学位论文全文数据库,2009,(10)7 杨桦.矿业权评估系统的研究与开发D. 中国优秀硕士学位论文全文数据库,2009,(10)8 王明虎.基于信息网格的决策支持系统研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)9 刘文芳.供应链管理中合作伙伴关系的研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)10 吴云峰.基于Web Services的离散型企业订单管理系统的研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)11 桑国珍.基于数据仓库技术的客户关系管理系统研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2005,(05)12 刘艳昌.基于协议分析的网络入侵检测技术研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)13 刘琦.基于GIS技术的供应链管理模式研究D. 中国优秀博硕士学位论文全文数据库 (硕士),2006,(09)
