企业内网的安全与管理知识讲解.doc
《企业内网的安全与管理知识讲解.doc》由会员分享,可在线阅读,更多相关《企业内网的安全与管理知识讲解.doc(23页珍藏版)》请在咨信网上搜索。
1、企业内网的安全与管理企业内网的安全与管理摘要一直以来,安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。关键字:安全,风险,控制 ,防御目录第一章、 背景分析41、信息:内部机密文档安全52
2、、用户:用户桌面行为规范53、系统:系统维护、资产管理6第二章、需求分析62.1 企业的设计目标72.2构建企业内网总体介绍7第三章、网络接入选择7第四章、企业的四个子网8第五章、企业拓扑结构图96.1 WEB服务器的配置116.2.1DNS服务器安装与配置126.3 FTP服务器安装与配置136.4 安装配置邮件服务器146.5 DHCP服务器安装与配置14第七章、防范内部人员16参考文献19致谢19第一章、 背景分析内网安全的首要任务:全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来
3、自网络外部的安全。现代计算机及通信技术飞跃发展,企业内部管理的网络化及信息化成为一种必然的发展趋势,网络技术己经广泛地应用到各个技术领域和整个社会的各个方面。许多企业都已建成或正在组建自己的企业网络。本设计就企业网络的总体规划进行了可行性的论证,并可作为将来真正实现企业网建设的一个方案。另外,基于企业网络的开发是将先进技术应用到企业内部,通过简单的浏览界面,方便地集成了各类已有的服务,极大改变了传统的信息系统的结构设计,开发环境和应用环境,打破了信息共享的障碍。企业内网对于一个企业网络安全面临的风险,并充分评估这些风险可能带来的危险,将是实施安全建设中必须首要解决的问题,也是制定安全策略的基础
4、和依据。那么,究竟企业在那些方面存在安全风险?企业内网安全产品又能给企业带来什么样的价值?对此,溢信科技研发总监黄凯从内网安全涉及到的信息、用户、系统三方面做了解读。1、信息:内部机密文档安全企业中与业务相关的信息有九成左右都会以电子文档的形式存在,这些内部信息往往涉及商业机密,甚至是企业的核心关键技术,保密性要求甚高,一旦泄密,极有可能给企业带来巨大的经济损失。1.1企业内部可能存在专门的文档服务器,用以存储各类文档。如果缺乏有效的管理,任何内网用户都可以接触到文档,即可随意把企业内部文件甚至机密信息传播出去,造成企业重大的损失。因此,企业需要对文档进行高强度的加密并设置基于角色的用户权限管
5、理。IP-guard采用高强度的透明加密技术,对机密信息进行安全保护,使文件在用户新建后就自动被加密保护。加密后的文件即使被非法传输到企业外部也无法解密和应用。另外,还能够根据不同的部门和级别,设置不同的内部文档访问控制权限,从而建立完整的保密体系。1.2企业内部或许缺乏对移动存储设备进行有效的管控,任何人都可以使用自己的U盘、MP3、移动硬盘等设备复制转移电子文档,文档泄露的隐患大大增加。如果彻底禁止U盘的移动设备的使用,又会为企业内部正常的文档传输带来不便。因此,企业需要在享受移动存储设备带来的便捷性的同时最大限度保障信息安全。IP-guard能够解决组织内部移动存储设备应用矛盾,其核心是
6、在总体控制计算机外部设备包括USB、蓝牙、光存储设备使用权限的基础上,分类规范网内的移动存储设备使用行为并进行加密,辅之以全面的移动存储审计,最终达到移动存储设备便携性与安全性兼得的目的。1.3企业员工因工作需要经常使用qq、飞信、MSN、电子邮件等基于网络的程序运用,这些程序都有文件传输功能,如果不对其进行限制,文件被有意或者无意泄露的风险性很大。所以,企业应该对电子邮件、即时通讯工具进行有效的管理和控制。IP-guard能够对外发文档的权限进行管理。限制外发超过指定大小或包含指定关键字的文档,甚至彻底禁止外发文档,保护重要的文档不会通过即时通讯工具泄露出去。同时完整记录用户的聊天内容、发送
7、的邮件内容,方便管理者了解用户在进行对话时是否有意或无意地泄露公司重要信息。2、用户:用户桌面行为规范除了企业内部的机密信息,对企业发展起到至关重要作用的就是员工的工作效率。网络的普及,无疑改善了员工的工作条件,提高了企业的整体效率。但是,企业内部可能存在部分员工沉迷于网络或者桌面游戏,忽视专职工作,严重影响企业发展。1.2.1部分用户可能存在不规范的桌面行为,比如上班时间炒股、浏览无关新闻、网上游戏、看在线电影、听音乐等,工作效率十分低下,同时还存在BT下载、在线视频、迅雷应用等P2P行为,导致公司带宽经常被堵,正常的网络业务无法开展。企业必须对上网行为进行适当的管控和审计。IP-guard
8、能够过滤一切与工作无关的应用程序,分时段或全天候阻止游戏、炒股、媒体播放、即时通讯、BT等程序的运行。同时,还可限制P2P软件的使用,帮助企业合理分配带宽资源,力保网络平稳。另外,IP-guard还提供用户应用程序和网页浏览情况的统计表,让管理者对用户的桌面行为一清二楚。1.2.2丰富的网站资源除了带来有用的信息,还包含一些色情、反动类型的网站及其应用,员工的不良上网行为可能导致病毒、木马被非法下载进入企业内部。IP-guard可过滤黄色、暴力和恶意传播病毒的网站,保证用户在合规、合法范围内使用网页,既不能访问下载也不能上传散播任何含色情暴力成分的内容。3、系统:系统维护、资产管理企业要健康发
9、展,还离不开IT系统的正常运作。由于企业规模的扩大、实力的增强,企业的办公地点可能分布在不同楼层甚至不同地区,由此造成大量计算机系统分布分散、企业内部的资产统计工作非常繁琐。计算机系统,是企业内部必不可少的一个重要组成部分。维护系统的正常运转是IT管理员的日常工作,由于缺少适合的管理工具,企业内部动辄几百上千台计算机系统维护,也使得有限的IT管理人员对系统的日常维护变得不再灵活,系统漏洞风险不断升高。针对此情况,系统管理员可以通过IP-guard控制台实时查看客户端计算机的应用程序、网络连接、进程、系统信息等基本资料和运行情况,在单一控制台上就可以实现对整个网络内计算机运行信息的掌握。同时它还
10、可以协助管理员对系统运行情况做分析,在系统发生异样时及时解决,预防系统故障的发生。另外,系统管理员可以在IP-guard控制台直接远程控制和操作任一计算机,可在控制台对需要帮助的远程计算机进行操作,实现远程桌面访问、双向文件传输。多数企业内部存在着大量的软、硬资产和非IT资产。如果使用传统的资产维护和管理方法,既繁琐而又耗费时间,人手统计完毕后还得手工录入信息。当资料统计或录入到一半时,系统新增了资产,工作往往因此而被打断。如此重复多次,IT管理者也难免变得糊涂,繁琐手续就变得如此简单。因此,企业亟需一种简单的方法统计内部资产。IP-guard自动搜索和整合企业网络内客户端计算机的IT资产信息
11、,并集中记录硬件型号,节省人手统计的时间,同时也可自动统计软硬件资产的变更,提供一目了然的软硬件资产变更列表,让系统管理员通过控制台的数据便可对资产变动了如指掌,时刻掌握最新最准确的资产信息。既可减轻系统管理员的工作负担,又可避免资产的遗失与侵占。第二章、需求分析2.1 企业的设计目标企业为了与时俱进,满足市场供求,充分利用网络上的信息资源是必然,来满足不断出现的对环境的要求。企业网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,来提高企业的办公质量和效率。2.2构建企业内网总体介绍本着办公自动化和资源共享的
12、原则将企业的500台计算机组织成为一个小型的办公局域网。本方案主要采用星形与树型相结合的混合型拓扑结构对网络进行构建,划分四个子网,采用交换机将四组计算机连接起来组成内部局域网。并使用拨号上网的方式进行网络连接。2.3用户需求近年来企业设备共享和信息资源的管理越来越重要,因此公司需要一个实时、安全、高速、稳定的信息交换平台,来保证公司那频繁且庞大的信息传输量,从而提高工作效率,达到设备共享,缩小巨大的设备开资,好充分利用有限的资金来提高企业的发展,适应高速发展的信息化社会。同时借助Internet来打破地域的限制,涉取多样的市场需求信息及选进的科学技术。2.4功能需求企业网络涉及四个子系统:生
13、产用电脑,管理用电脑,财务用电脑,劳资系统电脑系统同时要满足OA及业务系统数据流为主的应用,网络的体系结构要能支持以OA/业务数据流的应用,系统能够实现资源共享和信息流的无阻塞通畅流转,包括文件传输、WEB访问、邮件传输、信息查询、以及内部Intranet/Extranet应用等。同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。因此,所采用的设备必须支持TCP/IP以及SPX/IPX、FTP协议,支持各路路由协议,同时支持IP Multicast,Qos,RSVP等局域网和广域网多媒体应用技术。提供足够的带宽,从而实现OA、业务数据流与多媒体应用的实现。所以,网络设备选择要能
14、够满足企业级的应用,同时主干交换机不但能够满足目前的应用,还要能够对将来系统扩充保持一定的扩容能力,以及适当的灵活性,以便网络扩充和增加新的功能。第三章、网络接入选择企业组建网络的目标是以信息技术为手段,把分布在不同地点的现有资源迅速地组合成为一个没有(或几乎没有)时间和空间约束、靠电子手段联系的统一指挥的经营实体,从而达到企业生存和发展的高效性、稳定性和长期性。在企业中,由于布线在企业中,由于布线系统费用与实现上的限制,对于零散的远程用户接入,利用PSTM市话网络进行远程拨号访问几乎是唯一的经济、简便的选择。远程拨号访问需要规划远程访问服务器和Modem设备,并申请一组中继线(企业内部有PA
15、BX电话交换机则最好)。由于整个网络中惟一的窄宽设备,这一部分在未来的网络中可能会逐步减少使用。远程访问服务器(RAS)和Modem组的端口数目一一对应,一般按一个端口支持20个用户计算来配置。远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。由于上述原因,远程访问技术长期以来一直使用一种最为普通、随处可得的传输媒介PSTN(公用电话网)。利用Modem模拟拨号技术来实现远程连接。
16、利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem(调制解调器),对于用户来说,一次性投入很小。当然如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个信道。而企业需在局域网边缘设置远程访问接入设备并配备一定数量的语音中继线路供远程访问用户拨入。 图3-1第四章、企业的四个子网我按公司各单位的部门划分,公司电脑可分为以下四种四个子网:一是生产用电脑,二是管理用电脑,三是财务用电脑,四是劳资系统电脑。经过分析,我们将企业局域网按应用类型分为对应的四个子网:生产子网(LAN1);管理子网(LAN2);劳资子网(L
17、AN3);财务子网(LAN4)。这四者连接起来构成了企业的主干网。如下图: 图4-1企业主干网3IP规划首先,要考虑选用哪一段专用IP地址。小型企业可以选择“192.168.0.0”地址段,大中型企业则可以选择“172.16.0.0”地址段。如果我们根据网络中计算机的数量来决定需采用的IP地址,这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制,假如不久后企业决定又要购进一批计算机,整个网络就可能因为选取的IP地址不合适而导致重新设计。其实网络的划分并不是很复杂,只要考虑到在可预见的将来的网络情况就可以了,同时要注重它的通用性及其稳定性。在这里,因为N公司需要划分4个子网 :子网1
18、网络地址:172.16.1. 1/24 1-254可用 255广播地址子网2网络地址:172.16.2. 1/24 1-254可用 255广播地址子网3网络地址:172.16.3. 1/24 1-254可用 255广播地址子网4网络地址:172.16.4. 1/24 1-254可用 255广播地址划分了4个子网,每个子网254台主机,为以后添加主机作好准备。远程数据库上客户端或本地数据库客户端通过Internet或局域网与中转服务器建立连接(中转服务器IP地址/互联网域名为固定的),中转服务器保存各客户端的动态IP地址;远程数据库要求与本地数据库交换数据,中转服务器在两者之间建立一条暂时的通道
19、;通过远程数据库与本地数据库通道完成数据交换。第五章、企业拓扑结构图图5-1企业网络拓扑结构图第六章、网络服务器的配置与安装安装需求根据公司需求选择性的配置一些服务器(WWW服务器、FTP服务器、DNS、DHCP、E-MAIL等)。6.1 WEB服务器的配置万维网(World Wide Web)是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web服务器、浏览器及通信协议等3部分组成。www中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言来编写,HTML对Web页的内容、格式及Web页中的超链进行描述。Web页间采用超级文本(H
20、yperText)的格式互相链接。在Windows 2000中推出了Internet Information Server 5.0(简称IIS5.0)提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。IIS是基于TCP/IP的Web应用系统,使用IIS可使运行Windows 2000的计算机成为大容量、功能强大的Web服务器。IIS不但可以通过使用HTTP协议传输信息,还可以提供FTP和Gopher服务,这样,IIS可以轻松地将信息发送给整个Internet上的用户。IIS5.0的具体安装步骤如下:一、控制面板-添加或
21、删除程序,点击“添加/删除Windows组件”按钮。二、选择“Internet信息服务(IIS)”,单击“下一步”开始安装,单击“完成”结束。选择“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务” 管理窗口,窗口显示计算机上已经安装好的Internet服务,而且都已经自动启动运行,其中Web站点有两个,分别是默认Web站点及管理Web站点。1使用IIS的默认站点一、将制作好的主页文件(html文件)复制到Inetpubwwwroot目录。二、将主页文件的名称改为Default.htm。现在进行的都是IIS默认动作。完成这两个步骤后,打开本机或客户
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 安全 管理知识 讲解
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。