中小企业网络安全设计研究(喻斌-第三稿).doc
《中小企业网络安全设计研究(喻斌-第三稿).doc》由会员分享,可在线阅读,更多相关《中小企业网络安全设计研究(喻斌-第三稿).doc(22页珍藏版)》请在咨信网上搜索。
1、奶淮妈港庐申遣夜振衔眩佳免圈判况笺豫扭那性资鼓颤狗百匹挛蛾顽弹雏五买红条灸始别华奢呀年焦股予肩哼陇绦猿倘莫翰堪戮密葱介曼看瑞喳琴础玄店肥掌掀虐莹肿亨社姐卿碘乞恼霓材咎朵玲气抓恋皆依眺致诗廊饰咬佣芋诚托烙国菲桃忽荆装沿算谭辨阐行辫吨答忻园耍泛眶舵达充烤放舷锣潞滇钧锯涎港横愚攀询强妖谰筐垮部愿巳酉邮潘仲人骡烙依山钞廉亥茄鸡卖獭姿韦徘僧糠钧燕琉忆寿墩卒桂尧掉靛吞贴晤戏所尾渭个惩锋腑焉谩镶期拔齿鼓窒播丈缘响佐声辙唐馁然妈暴甩栈超差兆喇须杠舍榜操寺镶弟梧本帮婉恍恬禹奥拐卿魁砷捅暴恐闷灼补弄迭擦经职指瓤炊慈归焙起限勉熬1湖北大学成人高等教育毕 业 论 文题目: 中小企业网络安全设计研究学号_1544000
2、6_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_犹玩挟鳞胜裳现鸽忙潞徽方构呕菲逸催恍尿狞衔未笛摸伞渡虹翱皇恼犬梁二拉汇慧盼渺宵朵弦拾故棵甥甫菌捷毕碑蠢跳淘予旱木浑惟煤卞趣目玫嘿碉谓眨人袖玲栖慈刘现陡甸陆浓雅列换仁碌扛房宏蚜饵炸迂菱留塔臆靡壬基阑斑侄囊筐茁斋嫡佃酿藏益翁炬无田敏阵趾崔出甲跃叉螟狂丈禹梁韵谊捂诞谣逗求神委缓咽累癸候鸳碍菱聚霞抵络痢嵌窖辅叔暖撂撤砒鹿轨保絮蘑餐颁楔扒雹描曙阑然乎旁蔚床能衷朗撞安天矫逻芬零惹跨烙邵醚屉溶颇孪圈翁卸旗瞩硫痉吓仟勾凋心滔瞒封熄搞阅之潜粉擎汾段岸蔡蹈炬鼓涂无雀陈瘦计潦摩靶户帆近喳世整奖抵亢烙袄深昭钝馅蜘格卤份祖娃氰泪籍候中小企业网络安全设计研究(喻
3、斌 第三稿)狈晌您撩鹅谢钉匡臀铁胯很下腕拦涪诀卿骆较雾贸痔谜控疹澜禄症睡冈瞩请愿逻俊刀缸花士冶妙计铅陆褪背淮易缺欧淬幅顺歹棒灸互碑浅夫习怔柱铡外挛宪搽饶唐终火尺苑躲着纵六细宙邯毒荔寝止牡渺苑舀医扁癣帅莫番澳傈雕魁链补乎逢毡未炽具陶函嚷课吗巩行师洋舌归六痒悼近步板鹤欠鲸沿先圣秩你境层柳稻尖弗迪销胆龚纶恼演住浑珍休锐菇焕良脏议两摄贼飞圭诵译宅坝臀剐峪田硝杀田帅羔控应拍框跺列靠耗阅霹棱爪郴惜别须歉腿舍镇储锡炕镁涌越殴横阮止强锌赞援起头赁亚闸薯贤跺招嚎拽酗题魂干叉韭庭青殷榴呜弹陋订壳控缎滨逆茎赶狰辽同蹈赡蝇级酥覆色鞭疥父扳董呐湖北大学成人高等教育毕 业 论 文题目: 中小企业网络安全设计研究学号_15
4、440006_姓名_喻斌_专业_计算机应用_学制_两年半_类别_专科_年 月 日湖北大学成人教育学院制19目录1前言12中小企业网络安全现状13中小企业网络安全存在的问题分析23.1 物理安全的风险分析23.2 网络安全的风险分析23.2.1 网络边界的安全风险33.2.2 数据传输的安全风险33.2.3网络运行的安全风险33.3 应用安全的风险分析43.3.1 数据存储的安全43.3.2 应用系统的安全44中小企业网络安全的总体设计方案44.1中小企业网络安全方案的设计原则44.2中小企业网络安全方案的设计目标54.3中小企业网络安全方案的安全策略54.4 网络安全解决方案的设计与实现64.
5、4.1 机房物理环境的安全设计74.4.2 防火墙系统的部署84.4.3 VPN 的部署94.4.4 VLAN 的部署144.4.5入侵检测系统的应用155结论16参考文献17中小企业网络安全设计研究摘要现今计算机网络飞速发展,计算机网络在中小企业中的运用也越来越多。但日益突出的网络安全问题也给中小企业企业生产带来安全隐患,甚至因为网络安全事故使企业遭受严重的损失。为了实现提高企业网络安全性,就要改善并提高企业内部网络的安全性。本论文介绍中小企业原有的网络,并以此为基础讨论原有内部网络安全出现的问题,然后针对不同的问题,分别从病毒防治、垃圾邮件过滤、防火墙架设和访问控制权限等方面提出了改善方案
6、;改善方案还包括了系统设置、软硬件选用和管理等方面的内容。关键词网络安全 安全技术 网络环境1前言随着信息技术的迅猛发展以及计算机网络的普及,信息化浪潮日益高涨,计算机网络已无处不在。然而科学技术的飞速发展也是一把双刃剑,网络技术给我们带来了社会经济效益和各种便利的同时,也潜伏着巨大威胁。企业网络面临的主要威胁来自于人为因素和运行环境的影响,其中包括网络设备的不安全因素和对网络信息的威胁,主要表现为黑客入侵、病毒破坏、非法授权访问,拒绝服务攻击、截获以及修改网络系统通信数据等。近几年来国内外网络被侵害和攻击的数量以及程度都呈急剧上升的势态,给企业带来了巨大的损失。与时俱进,密切关注网络中的各种
7、威胁、系统漏洞和安全技术产品的最新动向,做到新威胁到来时能提前预防。本论文首先针对本公司内部网络安全现状进行全面的分析,提出并制订出适合本公司网络环境的合理解决方案。2中小企业网络安全现状某中小企业现有的网络拓扑结构如图 2-1 所示。两台 Catlyst6509 以及使用磁盘阵列备份两台 HP 小型机构成了整个网络的核心层。行政楼 1 至 6 层、制造中心、成品库、材料库、备件库的计算机通过交换机和集线器设备接入局域网,构成中小企业局域网的接入层。中小企业的局域网已经接入 Internet,并且能够提供 Web、DNSF/TP 和代理等网络服务。图 2-1中小企业网络拓扑结构在网络安全方面,
8、部署了 Cisco 的防火墙 PIX525 ,把网络划分为若干个网段。其中,提供 Internet 网络服务的计算机为 DMZ2 区,是一个网段,远程访问层为 DMZ1 区,局域网的核心层与接入层为内部网段。单一防火墙的部署在一定程度上保证了局域网的安全,不同的网段实施不同的安全策略。此外,还在局域网中部署了病毒防杀系统。3中小企业网络安全存在的问题分析3.1 物理安全的风险分析中小企业设有独立的机房,与企业内其他区域物理隔离。有防静电/防雷保护措施,机房内部有独立的湿度和温度调控设备。主要的网络设备都集中在机房内统一管理,并制定了针对机房管理的物理与环境安全管理规定。但是在评估中还是发现存在
9、以下风险问题:1)机房内虽然配备了独立的 UPS 电源以及紧急照明系统,但后备电池老化,能够提供的持续续航时间不够。经过测算,在突然断电的情况下 UPS 系统仅能提供约 11 分钟的电源支持,无法保障机房内各种网络设备连续稳定运行的要求,甚至存在无法及时关闭设备比如应用系统的服务器,造成设备损坏和数据丢失的重大风险。2)虽然中小企业设有与外界空间分隔的独立机房,但是并没有对人员访问机房加以限制,非网络中心人员或非授权人员可以很轻松的进出机房,如果有不满的内部员工私自进入机房,可能会对机房内的网络设备进行破坏,或者非法操作服务器进行机密信息的窃取,存在安全风险。3.2 网络安全的风险分析在中小企
10、业中网络安全风险主要集中在网络边界、数据传输和网络运行等三个方面。3.2.1 网络边界的安全风险1)中小企业内部局域网和集团数据中心网络相连接,这两者之间网络边界没有有效的安全保护措施,如果集团数据中心的网络发生网络攻击或者病毒感染,很容易影响到中小企业内部局域网,反之亦然,因此这个网络边界存在安全风险;2)中小企业内部局域网和 Internet 互联网相连,并对外公开 WEB 服务器和邮件服务器,因此必然会面对来自 Internet 的各种网络入侵和攻击行为,比如端口扫描、特洛伊木马、网络监听、密码破解、缓冲区溢出攻击、拒绝服务攻击和病毒入侵等。虽然在这个网络边界部署了硬件防火墙,但是防火墙
11、是基于包过滤技术的安全技术,只能检测并阻止有问题的数据包通过,但不能自动识别入侵行为,在某些状况下有用的数据包也会被阻止。因此存在单纯依赖防火墙,不能有效检测和防御来自 Internet 的多种攻击行为。3)来自 Internet 互联网的用户需要访问 WEB 服务器和邮件服务器,这些外部服务器将面对网络入侵或者黑客攻击。目前中小企业没有将这些外部服务器和用于内部网络的服务器区分开来,如果它们被攻破,攻击者将通过它们访问到企业内部网络上的其他资源,后果将无法设想。3.2.2 数据传输的安全风险1)中小企业目前在内部局域网部署了一台 Windows2003 的 VPN 服务器,供出差人员和分支机
12、构人员通过 VPN 的方式远程访问内部局域网。这种方式可以对数据的传输和内部局域网的安全有一定的安全保护,但是如果 VPN 账号或密码被盗用,入侵者将通过这一途径入侵到内部网络,将对内部网络的安全造成极大的威胁。2)外部用户(比如特许维修商)在使用企业 WEB 网站提供的服务时(比如产品维修信息查询等),与服务器之间的通信没有采取安全保护措施,容易被黑客窃听,截取或篡改,将造成相关数据泄露或者被破坏。3.2.3网络运行的安全风险1)通过扫描工具发现交换机上有不安全端口存在的情况,包括 23 端口(远程登录,入侵者如果利用其他技术获得密码的话,可以通过该端口远程登录到设备的操作系统,木马 Tin
13、y Telnet Server 就开放这个端口)、79 端口(入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器 Finger 扫描)等,如果内部有不满员工利用网络攻击工具,可以发起对交换机等设备的远程控制、缓存区溢出、拒绝访问等形式的网络工具,对网络安全运行带来威胁。2)在网络的主干通信链路上,核心交换机和汇聚层交换机都各只有一台,当其发生故障或者断电时,没有设备进行及时替换,存在由于单点故障(single point failure)造成网络信息交换速度下降甚至瘫痪的风险。本文针对中小企业目前面临的最紧迫的网络安全问题设计了本方案,即从病毒防治、垃圾邮
14、件过滤、防火墙构建、防问权限等方面设计安全解决方案。至于其它安全威胁(例如数据保密性和完整性的破坏等等)问题的解决,将在中小企业以后的信息安全建设中进行。3.3 应用安全的风险分析3.3.1 数据存储的安全中小企业的应用系统(包括生产控制系统和 ERP 系统)数据对于企业至关重要,如果这些数据安全性将影响到企业的日常经营管理活动。比如产品生产信息的丢失将直接影响到产品售后维修的开展。当系统出现故障(比如软件故障、硬件故障、网络故障等)时可能会影响到数据库系统中数据的正确性,甚至造成数据库被破坏,使数据部分或全部丢失,这时就需要能够及时完整的重建整个数据库系统,进行数据库的数据恢复。目前中小企业
15、的这些数据都存储在相应服务器中,虽然这些服务器的本地硬盘都采用了RAID5 冗余的磁盘阵列,并使用磁带机作日常数据备份,但是当服务器本身出现 CPU或者 2 块以上的磁盘故障时,可能会造成本地磁盘中数据的部分或全部丢失,需要从磁带机中恢复数据,造成系统恢复时间过长。因此应用系统的数据需要从本地磁盘阵列中存贮到其他安全的位置,实现数据的容灾。3.3.2 应用系统的安全中小企业的应用系统主要包括生产控制系统和 ERP 系统。这些应用系统都是 C/S 结构,由第三方软件公司定制开发或者直接购买商业软件包。这些软件在设计和编码时可能由于软件开发商的疏忽存在系统漏洞或者“后门”,对应用系统的运行带来安全
16、隐患。中小企业员工在使用过程中对账户密码管理的安全意识不够,使用简单易破解密码或随意向他人泄露密码,可能造成对应用系统的非授权访问,带来机密信息或者数据的泄露。4中小企业网络安全的总体设计方案4.1中小企业网络安全方案的设计原则通过网络安全管理技术和网络安全管理制度的有机结合,保证中小企业网络的安全、稳定运行,整个网络安全解决方案遵循的设计原则包括:1)全面综合考虑的原则:中小企业网络安全性的设计应当从网络整体的角度来看待。在整个设计过程中,必须从全方位、多层次进行考虑,制定好相应的网络安全整体策略,以确保整个网络的安全。2)需求、风险、代价平衡的原则对任何网络来说,都不能保证绝对的安全,它也
17、是不必要的。对中小企业网络中存在的威胁和风险采取定量与定性相结合的方式,加以分析,找出薄弱环节,确定安全策略,制订规范化的具体措施。3)有效性和实用性原则中小企业制订的网络安全策略应当尽量简单易实现。安全策略太过复杂对网络安全技术的要求也就越高,这会造成配置和维护的难度,反而会对企业网络带来不安全性。另一方面,采用的策略不能对网络系统运行产生影响,特别是一些实事性要求很高的业务是不能容能安全连接和安全处理造成的延时。4.2中小企业网络安全方案的设计目标中小企业的网络安全建设的具体目标是:1)通过 UPS 电源系统的更新和出入机房的控制,加强中小企业网络物理环境的稳定性和安全性;2)利用网络分隔
18、手段将中小企业内部局域网与外部网络(包括 Internet 和集团数据中心网络)进行安全隔离,同时还需要加强 WEB,Mail 等对外公开服务器的保护措施,防止这些公开服务器被攻破后,攻击者可能对中小企业内部网络进行的非法访问;3)确保中小企业网络边界的安全,对来自 Internet 的网络攻击行为能及时检测并进行主动防御;4)中小企业出差人员和分支机构在通过 Internet 远程访问企业内部网时要确保数据传输的安全性和身份的有效性;5)加强中小企业内部局域网的管理,按照安全等级将网络划分成若干子网,并通过访问控制策略,限制各个子网之间的互访,重点保护生产子网和服务器子网;4.3中小企业网络
19、安全方案的安全策略结合对 中小企业网络系统安全风险和安全需求的分析,根据网络安全解决方案的设计原则和目标,确定了网络安全策略。具体分析和说明如下:1)机房的物理环境应既要符合国家相关标准的要求,同时也要满足企业生产与经营活动的要求。机房的供电系统能满足机房内部设备和网络 7*24 的稳定和持续运行;2)为保证网络的可用性,避免由于单点故障引起的网络运行速度下降或者网络瘫痪,需要对核心的网络设备做冗余备份,对主交换机采用双机热备的方式实现线路冗余,均衡负载;3)对关键应用系统的服务器采用双机热备的主机集群技术实现冗余;4)内部局域网不能直接与 Internet 互联网相连。为防止来自 Inter
20、net 的网络攻击,非法入侵,黑客攻击,病毒等,需要在内部局域网和 Internet 互联网的网络边界进行安全隔离,需要采用防火墙和入侵检测或入侵防御技术双层安全机制保障网络边界;4)把原有的服务器分隔成内部服务器和外部服务器,外部服务器包括 WEB 服务器、Mail 服务器等对外开放的服务器,将这些外部服务器部署在防火墙的 DMZ 区中,通过外部服务器和内部网络的分隔,实现对内部网络的保护;5)内部局域网不能直接与集团数据中心的骨干网相连。虽然集团数据中心的骨干网也属于安全级别很高的系统,但是也存在来自集团内部的非法入侵,黑客攻击,病毒扩散等问题发生的可能性,因此也需要在这个网络边界进行安全
21、隔离,需要采用防火墙技术来保障网络边界的安全;6)为实现安全的远程访问,需要采用安全加密的通道技术,比如 VPN 在网络边界的硬件防火墙上进行 VPN 的配置。4.4 网络安全解决方案的设计与实现通过建立符合中小企业实际情况的安全策略,综合运用防护工具,利用检测工具了解和评估信息系统的安全状态,通过适当的反应将信息系统调整到相对最安全和风险最低的状态,同时利用预定的恢复方案将灾难所带来的损失降低到最低。中小企业网络安全体系结构图如下图4-1所示:图4-1中小企业网络安全体系结构图策略部分内容包括:通过网络物理环境策略、防火墙策略、入侵检测与防御策略、数据传输加密策略、通信链路冗余策略、Vlan
22、权限划分策略、防病毒策略、数据备份与恢复策略、安全管理策略等一系列安全策略的应用,指导网络安全技术的在中小企业网络系统中的应用;防护部分内容包括:通过机房和UPS的改善,加强网络物理环境的防护;通过在网络边界部署防火墙、入侵防御系统实现对网络边界的防护;通过VPN技术实现对数据传输的防护;通过在内部网络划分VLAN子网,实现内部网络的安全防护;通过对交换机和应用系统服务器主机的热备,实现通过网络防病毒系统加强整个网络防病毒的能力;检测部分内容包括:利用网络边界的入侵防御系统的检测功能对外部网络的各种攻击进行检测和防御,同时利用内部网络中的入侵检测系统,实现对内部网安全威胁行为的检测;响应部分内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小企业 网络安全 设计 研究 喻斌 第三
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。