《毕业设计(论文)基于网络设备的企业内网安全设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)基于网络设备的企业内网安全设计.doc(17页珍藏版)》请在三一办公上搜索。
1、学生毕业论文论文题目:基于网络设备的企 业内网安全设计 作者姓名: 班级学号: 专业届别:08届计算机应用技术 导师姓名: 导师职称: 讲 师 2011年 3 月 2 日摘 要随着现代信息技术的迅猛发展,网络技术在企业中日益广泛和深入,网络安全问题成了企业关注的事情。企事业单位为防止内部机密信息的泄露为了有效的避免由于泄密而带来的巨大损失,都在急切的寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具,这也是做内网安全的一个必要性所在。现代企业建立在开放的计算机坏境中,这种开放环境使企业面临种种风险。例如:病毒、蠕虫入侵;软件漏洞隐患;系统安全配置薄弱;脆弱的网络接入安全防护;企业网络
2、入侵;终端用户计算机安全完整性缺失等。为了解决这些风险我们应该设计必要的基于网络设备的企业内网安全方案。首先,了解企业内网现状及需求;其次,进行网络设备安全配置及防御;再次,实施解决方案并推广。基于网络设备的企业内网安全设计方案将为企业内网安全带来更好防御性。关键词:网络技术;内网安全;设备危险;解决方案 AbstractAlong with the rapid development of modern information technology, network technology in the enterprise increasingly wide and deep, the pr
3、oblem of network security became enterprises pay attention to things. Enterprises and institutions to prevent leakage of internal confidential information in order to effectively avoid the leak and brings huge loss, in frantically searching for a can help them very good guarantee these messages are
4、not leak out powerful tools, this also is a necessity to do a network security lies. Modern enterprise built on open computer bad border, such open environment makes enterprise confronted with various risks. For example: viruses, worms, Software vulnerabilities hidden trouble, System security config
5、uration weak, Vulnerable network access security protection, Enterprise network intrusion, End user computer safety integrity defects. In order to solve these risks we should design the necessary based on network equipment of enterprise internal network security solutions. First, understand enterpri
6、se connection status and demand; secondly, network equipment safety configuration and defense; again, implement solutions and promotion. Based on the network equipment of enterprise internal network security design scheme for the enterprise internal network security will bring better defensively.Key
7、 words: Network technology; Network security; Equipment dangerous; Solutions目 录一、企业内网现状描述3(一)、网络硬件建设差异性3(二)、网络发展不平衡3二、企业内网安全需求分析4三、企业内网安全分析6(一)、物理安全分析6(二)、结构安全分析6四、企业网络安全配置8五、网络安全防御10(一)、计算机网络安全面临的威胁10(二)、计算机防御对策11六、企业网络安全的解决方案12(一)、企业的网络基本情况及网络设备的应用12(二)、整体解决方案13参考文献- 15 -致 谢- 15 -一、企业内网现状描述为了满足与时促
8、进的商务拓展需求,企业必须迅速提高生产力,更多的IT设备及应用被投入到企业状况中,使得企业IT基础架构管理变的日趋复杂。研究表明,超越50%的IT预算都花费在持续不断的部署,设备,更新,移植和管理IT资产。如何保证企业IT基础设备和架构正常工作就显得特别重要,IT部门也为此绞尽脑汁,从网关安全到内网安全,从主动防御到审查与修补,以下是我对基于网络设备的企业内网安全的分析与解决方案。(一)、网络硬件建设差异性为了解决接入Internet可能会带来的搜集滥用、非法接见、内部信息损失等问题,企业引入了网关型的安全设备,包括防火墙、IPS、UTM等。而普遍取得认同的一个观念认为,企业搜集80%的安全问
9、题是由于内网特殊用户终端惹起,而触及到内网首要有以下问题:移动设备(笔记本电脑等)和新增设备未经安全过滤和搜检违规接入内部搜集。未经容许擅自接入电脑设备会给搜集带来病毒传播、黑客入侵等不安全要素;内部搜集用户经由调制解调器、双网卡、无线网卡等搜集设备中止在线违规拨号上网、违规离线上网等行为;违犯划定规矩将专网专用的比赛争论带出搜集进入到其它搜集;搜集呈现病毒、蠕虫进击等安全问题后,不能做到安全工作源的实时、快速、精确定位、远程阻断隔离操作。安全工作发生发火后,网管通俗经由交流机、路由器或防火墙中止封堵,但设置复杂,操作风险大,而且绝大多半浅显交流机并没有被设置成SNMP可管理方式,因此便当地中
10、止隔离操作;大局限病毒(安全)工作发生发火后,网管无法一定病毒黑客工作来源、无法找到搜集中的薄弱环节,无法做到事后分析、加强安全预警;静态IP地址的搜集由于用户启事构成运用管理杂乱、网管人员无法知道IP地址的运用、IP同MAC地址的绑定情况以及搜集中IP分配情况;针对搜集内部安全隐患,自动检测搜集中主机的安全防范等级,中止补丁大面积分发,彻底处置搜集中的不安全要素。(二)、网络发展不平衡随着经济的发展和科技的进步,网络的应用更加广泛,特别是局域网的使用。大部分企业选择建立公司内网来对其进行管理,但由于网络设备的差异性导致了网络安全的不稳定。企业的内部资源安全也可能随时遭受威胁,病毒的入侵和系统
11、漏洞等。计算机网络系统是非常复杂的系统,计算机之间相互通信涉及到许多复杂的技术问题,为实现计算机网络通信,计算机网络采用的是分层解决网络技术问题的方法。但是,由于存在不同的分层网络系统体系结构,它们的产品之间很难实现互联。计算机网络的主要用途之一是允许共享资源。这种共享是通过相呼应的两个独立程序来完成的。每个程序在相应的计算机上运行。一个程序在服务器中,提供特定资源;另一个程序在客户机中,它使客户机能够使用服务器上的资源。大部分计算机网络(包括所有的Internet服务)都使用这种客户机服务器关系。要懂得怎样使用计算机网络(尤其是Internet),事实上就意味着要懂得怎样使用每个客户机程序。
12、你的任务是启动客户机,并叫它执行程序。客户机的任务是连接上相对应的服务器,并确保你的指令正确执行。正是由于网络发展的不平衡,我们应当为企业内网安全建立坚固的壁垒,来保证网络使用的安全性更高。1内网安全的现状一边是随着办公信息化建设的发展,企业对网络的依赖性越来越大,一边是公司内网问题一直得不到彻底解决:网络不稳定、内网安全防护差强人意,内网管理手段有待完善。当前企业网络的现状为:没有一套针对内网安全和管理的方案,对公司网络运行情况一无所知,出了问题更是很难以定位与排除。谈到内网安全,一般来说安全事故分为两个方面:一是网络边界,即网络外部的入侵攻击,如恶意攻击、远程入侵、病毒蠕虫等,二是网络内部
13、的出现的安全问题。调查表明,如今网络边界和网络内部出现的安全事故的比例达到了3:7。针对这些层出不穷的安全威胁,目前国内的单位和企业在边界管理防范措施做得比较完全,大部分单位和企业都部署了防火墙、入侵检测、漏洞扫描、内容的监控等多方面出击,对来自网络外部进行了非常完善的防护。但是对于网络内部终端的管理来说,目前还存在很多的空白,例如,在防病毒方面,也许已经成为必备的安全措施,但是相对于其他的几个方面,如计算机系统的补丁安装;各个终端的个人行为控制得不到有效的管理从而导致了带宽滥用的问题;内网的防护不够规范导致敏感信息泄露以及泄露之后无法追踪查询的问题。2内网安全的趋势近几年来,从不断出现的安全
14、问题来看,已经出现了几个新的趋势:(1)、内网安全管理重心继续向终端计算机转移,以前的管理主要集中在核心服务器区以及应用系统区,当这些区域的安全管理逐渐完善以后,网络管理员会发现,对于数量繁多的计算机终端所形成的安全威胁其实更可怕,因为任何一台计算机终端出现故障,例如中毒,木马等,将会对整个内网造成威胁。(2)、倾向于功能高度集成的终端安全产品,因为作为安全产品都有兼容问题,假如某个产品不兼容,将会影响整个安全架构,所以,用户更希望由一个集成的安全产品解决安全问题。(3)、终端安全加固与运行维护并重,也许以前的内网安全只是简单的终端加固,但是内网安全管理系统作为为网管提供方便的工具,维护方面应
15、该得到更高的重视,而获得到方便的同时,也是维护负担的减轻。最后,终端管理与网络管理应该有机结合在一起,才能获得更高限度的安全保障。二、企业内网安全需求分析企业信息化建设逐步完善,内网安全建设如火如荼,到今天为止,内网仍然是企业网络安全建设的重点,集中的内网安全管理是当前热点,而纳入应用系统、网络设备和终端安全状况的集中监控建设方案将是企业内网安全管理的趋势。企业内网安全需求其实可以归到两个基本需求:安全与管理。安全方面,需要保证在终端方面可以提供正常工作的基础IT设施即计算机是可用的;而管理方面,则保证企业或都说组织的计算机是用来工作的,规范计算机在企业网络里边的行为。对于这些问题,主机防病毒
16、及主机防火墙的出现解决了其中比较矛盾突出的问题,也是最基本的问题,就是关于基础安全;而近几年日趋完善的桌面或终端内网安全管理类产品的出现实现了集中的内网计算机安全管理,提供了对于内网两方面需求的满足即安全与管理,同时也整合了对于主机防病毒的监测,使管理员可以集中的考虑内网的安全管理,提升管理效率与管理效果。集中的内网安全管理可以实现了,企业内网还需要如何完善安全性或者会有什么需求呢?集中呈现的内网全面监控与管理方案与服务将是内网建设的趋势。第一,终端安全管理是基础,她解决了终端计算机经常为病毒、木马困扰的问题,帮助管理员智能安装系统与应用补丁,提供一系列的终端维护工具与管理工具,使管理员做到对
17、于终端的“中央集权管理与控制”;第二,日益复杂的网络使得企业有必要部署或应用一套网络管理方案,而且基础网络管理与终端密不可分,终端用户对于网络的使用将直接反映在网络资源占用上,网络管理之于终端或基础业务处理是相当必要的; 第三,业务的扩展令企业内部存在了太多的应用系统以及支撑这些应用系统的服务器、数据库、中间件和WEB服务等,这些应用的健康状况将直接影响企业业务正常运转;第四,对于终端、网络及应用系统的监控有必要进行统一的整合,令管理员可以通过统一的呈现平台,发现问题,及时解决问题。 内网安全管理图综上所述,到目前为止,我们为企业内网安全设计了终端管理、网络管理、应用监管等部分集中的管理方案,
18、并落地了一大批相关的厂商与产品,在终端与网络管理上,也有部分厂商或产品开始做部分功能与数据的整合。而企业内网安全管理的终端、网络、应用全面整合将是趋势,再附加以工作流程以及运维理念,某种意义上讲就是将终端管理、网络管理和应用监管作为触角然后配以大脑来支配这些肢体共同完成全面的内网安全管理,这个大脑就是配备了工作流引擎的集中呈现与运维管理系统。三、企业内网安全分析(一)、物理安全分析1. 以太网交换机难担安全重任以太网交换机是组建内网的主要设备,其安全性比较弱;虽然划分VLAN、ACL访问控制可以在一定程度上控制内网安全,但这种控制是比较粗的方式,难以做到比较精细的安全控制,同时也会影响到VLA
19、N间用户的访问,从而影响网络的使用效率。另外在内网安全事件中,攻击对象也从攻击主机、网络设备而改为对网络资源进行攻击为主要特征,而以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。2. 单一安全技术难以实现有效防控病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段,尤其是对以网络资源为攻击对象的攻击手段进行防范。防火墙没有办法实现对内部用户安全攻击的控制;IDS不能实现对所有业务的监测和控制;防病毒软件没有办法控制病毒在网络内的传播;可以看出分别部署这些设备的网络在安全措施上缺乏系统性,防火墙、I
20、DS、防病毒各自为政,难以对整网形成有效防控。3. 安全发展面临硬件平台的挑战由于全部工作在OSI参考模型的传输层之上,防火墙、IDS、防病毒等设备都要求复杂的算法、丰富的功能、不断的升级,这些特点注定防火墙、IDS、防病毒设备出生在x86平台上。而网络设备已经经历了翻天覆地的变化,采用专有的ASIC芯片,核心交换机已经具备近千个G的交换处理能力。基于x86平台的安全设备,性能通常不到这些网络设备的1%,会成为整网性能的瓶颈。(二)、结构安全分析1网络结构计算机的网络结构可以从网络体系结构,网络组织和网络配置三个方面来描述,网络组织是从网络的物理结构和网络的实现两方面来描述计算机网络;网络配置
21、是从网络应用方面来描述计算机网络的布局,硬件,软件和和通信线路来描述计算机网络;网络体系结构是从功能让来描述计算机网络结构。计算机网络体系结构2网络结构的安全(1)外部网络的安全威胁 企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息。假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的
22、入侵者的攻击。(2)内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。(3)网络设备的安全隐患 网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。四、企业网络安全配置 企业内网网络安全设备配置1.交换机英文名称:switch 定义:网络节点上话务承载装置、交换级、控制和信令设备以及其他功能单元的集合体。交换机能把用户线路、电信电路和(或)其他要互连的功
23、能单元根据单个用户的请求连接起来。 赫斯曼交换机基本功能:(1)像集线器一样,交换机提供了大量可供线缆连接的端口,这样可以采用星型拓扑布线。 (2)像中继器、集线器和网桥那样,当它转发帧时,交换机会重新产生一个不失真的方形电信号。 (3)像网桥那样,交换机在每个端口上都使用相同的转发或过滤逻辑。 (4)像网桥那样,交换机将局域网分为多个冲突域,每个冲突域都是有独立的宽带,因此大大提高了局域网的带宽。 (5) 除了具有网桥、集线器和中继器的功能以外,交换机还提供了更先进的功能,如虚拟局域网(VLAN)和更高的性能。2.路由器英文名称:router 定义:为信息流或数据分组选择路由的设备。 路由器
24、原理图功能:路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。3.集线器英文名称:hub 定义:作为网络中枢连接各类节点,以形成星状结构的一种网络设备。集线器工作方式示意图4.网关英文名称:Gateway定义:在采用不同体系结构或协议的网络之间进行互通时,用于提供协议转换、路由选择、数据交换等网络兼容功能的设施。 网关图例5.其他设备服务器:网络上,储存了所有必要信息的计算机或其它网络设备,专用于提供特定的服务。例如,数据库服务器中储存了与某些数
25、据库相关的所有数据和软件,允许其它网络设备对其进行访问,并处理对数据库的访问。文档服务器就是计算机和储存设备的组合,专用于供该网络上的任何用户将文档储存到服务器中。打印服务器就是对一台或多台打印机进行管理的设备,而网络服务器就是对网络传输进行管理的计算机。 网卡:网络接口卡(NIC)是计算机或其它网络设备所附带的适配器,用于计算机和网络间的连接。每一种类型的网络接口卡都是分别针对特定类型的网络设计的,例如以太网、令牌网、FDDI或者无线局域网。网络接口卡(NIC)使用物理层(第一层)和数据链路层(第二层)的协议标准进行运作。网络接口卡(NIC)主要定义了与网络线进行连接的物理方式和在网络上传输
26、二进制数据流的组帧方式。它还定义了控制信号,为数据在网络上进行传输提供时间选择的方法。 集线器:集线器是最简单的网络设备。计算机通过一段双绞线连接到集线器。在集线器中,数据被转送到所有端口,无论与端口相连的系统是否安计划好要接收这些数据。除了与计算机相连的端口之外,即使在一个非常廉价的集线器中,也会有一个端口被指定为上行端口,用来将该集线器连接到其它的集线器以便形成更大的网络。 调制解调器:调制解调器是一种接入设备,将计算机的数字信号转译成能够在常规电话线中传输的模拟信号。调制解调器在发送端调制信号并在接收端解调信号。许多接入方式都离不开调制解调器,如56k的调制解调器、ISDN、DSL等。它
27、们可以为内部设备,插在系统的扩展槽中;或外部设备,插在串口或USB端口中;或膝上电脑所用的PCMCIA板;或专为诸如手提电脑等系统中使用而设计的设备。另外,许多膝上电脑都配备了集成调制解调器。还提供了机架式调制解调器供大范围地使用调制解调器,如ISP。五、网络安全防御(一)、计算机网络安全面临的威胁影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对网络安全的威胁主要有4个方面:(1)实体摧毁 实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。 (2)无意失误 如操作员安全配置不当造成的安全漏洞,
28、用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。 (3)黑客攻击 这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。 (4)网络软件的漏洞和“后门” 网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。(二)、计算机防御对策根据网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的
29、计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。六、企业网络安全的解决方案(一)、企业的网络基本情况及网络设备的应用1、企业的网络基本情况以数据安全管理为核心的内网安全思想已逐步得到市场的认可。除了传统的军队、军工等涉密单位之外,因为全球化竞争的加剧和企业知识产权保护意识的增强,数据保密工作在更广泛的领域正得到普及和重视。大量的企业、设计院所近年来基于运营管理的需要,尝试选择部署了一些内网安全产品,已期实现对敏感数据的全程风险管理。然而,从系统
30、部署过程中反馈的问题和最终应用的效果分析,大量的项目并没有达到管理者预期的目标,个别项目甚至沦为了企业信息化的负面“典型”。(1)、从管理的角度重新审视现存的问题克服上述内网安全项目实施过程中存在的问题,需要系统的规划项目的全过程。内网安全专家基于长期的项目实施经验,向笔者谈了几点体会。(2)、从管理的角度重视内网安全内网安全与传统的网络安全很大的差异性在于更多的关注内容的安全风险管理,可以理解为更多侧重于内容安全领域。项目实施过程中会不可避免涉及到组织管理流程的变更、岗位职能的重新定义。因此需要从管理咨询的角度重新梳理企业现有的组织结构设计和业务流程,使得信息安全风险管理融入组织业务流程中。
31、“更多的将其作为管理的内容对待,而非单纯视为技术性问题”,技术顾问特别重申了内网安全项目的管理属性。2、网络设备的应用组建计算机网络,特别是LAN范畴的网络, 正确选择网络设备是重要的任务一。这里所谈的网络设备的选择有两种含义:一种是从应用需要出发所进行的选择;另一种是从众多厂商的产品中选择性能价格比高的产品。在LAN环境下, 通常涉及的网络设备有下述一些:用于连接到LAN的网卡;构成LAN的集线器;用于进行LAN互连的网桥和路由器;服务器;工作站;硬盘驱动器;磁盘控制器;网络打印机;网络拓扑结构;电缆类型等。 网络设备应用图(二)、整体解决方案内网安全已经成为信息安全的新热点,其技术和标准也
32、在成熟和演进过程中,我们有理由相信,随着用户对内网安全认识的加深,用户内网安全管理制度的完善,整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。以下是几种确保企业网络安全的主要技术:1.防火墙技术网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。2.入侵检测技术入侵检测技术主要通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现
33、网络或系统中是否有违反安全策略的行为和被攻击的迹象。3. 网络防毒、防蠕虫技术目前,从计算机病毒的发展趋势来看,蠕虫类的病毒越来越多。与普通感染可执行文件的文件型病毒不同,此类程序通常不感染正常的系统文件,而是将自身作为系统的一部分安装到系统中。相对来说,此类病毒的隐蔽性更强一些,更不容易被使用者发觉。4. 加密技术5. PKI技术PKI(Public Key Infrastructure)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。6. 虚拟专用网技术虚拟专用网(Virtual Private Network,VPN)
34、是近年来随着Internet的发展而迅速发展起来的一种技术。现代企业越来越多地利用Internet资源来进行促销、销售、售后服务,乃至培训、合作等活动。许多企业趋向于利用Internet来替代它们私有数据网络。这种利用Internet来传输私有信息而形成的逻辑网络就称为虚拟专用网。7. 安全隔离面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念-安全隔离技术应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网间信息的安全交换。目前,安全领域进入了全方位、专业化的发展道路。网络安全市场开始多样化,中国的网络安全体系正逐渐形成。
35、单一的网络安全产品已经不足以满足企业网络安全的需求,从系统需求分析提出的整体解决方案开始成为最受青睐的选择。参考文献1.内网安全管理 2.内网安全技术分析与标准探讨 3.内网安全产品技术发展趋势 4.浅谈内网安全的现状和趋势 5.企业内网安全管理需求分析 6. 企业网络物理安全策略分析 7网络设备 8.全面分析网络安全防御对策 9.企业网络安全风险与防范 致 谢在本次论文设计过程中,王嫱老师对该论文从选题,构思到最后定稿的各个环节给予细心指引与教导,使我得以最终完成毕业论文设计。在学习中,老师严谨的治学态度、丰富渊博的知识、敏锐的学术思维、精益求精的工作态度以及侮人不倦的师者风范是我终生学习的楷模,导师们的高深精湛的造诣与严谨求实的治学精神,将永远激励着我。这三年中还得到众多老师的关心支持和帮助。在此,谨向老师们致以衷心的感谢和崇高的敬意!毕业论文鉴定表指导教师评语及建议成绩指导教师签名: 年 月 日答辩小组综合评价组长签名: 年 月 日院教学工作委员会意见负责人签名: 年 月 日
