2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩22頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p><b>  畢 業(yè) 論 文</b></p><p>  論文題目: 企業(yè)局域網(wǎng)的組建與應(yīng)用 </p><p><b>  內(nèi) 容 摘 要</b></p><p>  本文結(jié)合當(dāng)今企業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì),通過(guò)對(duì)當(dāng)前中小企業(yè)存在的一些安全隱患和安全建設(shè)的需求分析,提出了一種針對(duì)企業(yè)網(wǎng)絡(luò)安全的解決方案。該解

2、決方案在遵照網(wǎng)絡(luò)安全通用設(shè)計(jì)原則的情況下,融合了當(dāng)前先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品,如:防火墻/防水墻、網(wǎng)絡(luò)反病毒軟件、IDS/IPS、容災(zāi)和數(shù)據(jù)備份等,并強(qiáng)調(diào)了加強(qiáng)安全管理措施、制定科學(xué)的管理策略的必要性。網(wǎng)絡(luò)安全體系的建設(shè)是一個(gè)長(zhǎng)期的、動(dòng)態(tài)變化的過(guò)程,在新的網(wǎng)絡(luò)安全和防御技術(shù)不斷出現(xiàn)的同時(shí),新的入侵和攻擊手段也不斷變化。任何一個(gè)安全體系的設(shè)計(jì)方案都不能完全解決所有的安全問(wèn)題。但隨著企業(yè)網(wǎng)絡(luò)化和信息化進(jìn)程的推進(jìn),對(duì)網(wǎng)絡(luò)安全問(wèn)題的認(rèn)識(shí)也會(huì)在管

3、理體制上、理論研究上、技術(shù)儲(chǔ)備上不斷地深化和改進(jìn),為提出解決網(wǎng)絡(luò)安全問(wèn)題的更加有效的可行性方案提供思路和途徑。 </p><p>  [關(guān)鍵詞] 網(wǎng)絡(luò)安全 安全需求 管理策略 解決方案</p><p><b>  Abstract</b></p><p>  In this paper, combining with the developme

4、nt trend of the enterprise network security, through the analysis of some security hidden danger and safety construction on the existing small and medium-sized enterprises demand, presents a solution for the enterprise n

5、etwork security. The solution in accordance with the general design principles of network security situation, the fusion of the advanced network security technologies and products, such as: firewall / waterproof wall, ne

6、twork anti-virus </p><p><b>  目 錄</b></p><p><b>  1、緒論1</b></p><p>  2、企業(yè)網(wǎng)絡(luò)安全綜述1</p><p>  2.1企業(yè)網(wǎng)絡(luò)安全及存在的問(wèn)題1</p><p>  2.1.1|企業(yè)網(wǎng)

7、絡(luò)安全的概念1</p><p>  2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問(wèn)題1</p><p>  2.2網(wǎng)絡(luò)安全建設(shè)的必要性1</p><p>  2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)1</p><p>  2.2.2網(wǎng)絡(luò)安全建設(shè)中存在的誤區(qū)2</p><p>  2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀3</p>&l

8、t;p>  2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入3</p><p>  2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足3</p><p>  2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全3</p><p>  3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析3</p><p>  3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)4</p><p>  

9、3.1.1網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生及影響4</p><p>  3.1.2網(wǎng)絡(luò)安全體系的層次劃分4</p><p>  3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全4</p><p>  3.2.1網(wǎng)絡(luò)操作系統(tǒng)的概念4</p><p>  3.2.2.網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)4</p><p>  3.3用戶層和應(yīng)用層安全5<

10、/p><p>  3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅5</p><p>  3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)5</p><p>  3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全5</p><p>  3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析5</p><p>  3.4.2傳輸層安全防護(hù)需求分析6</p>&

11、lt;p>  3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析6</p><p>  4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案7</p><p>  4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃7</p><p>  4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)規(guī)劃7</p><p>  4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計(jì)方案8</p><p>  4.2.1網(wǎng)絡(luò)

12、拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案8</p><p>  4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案9</p><p>  4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)10</p><p>  4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計(jì)11</p><p>  4.3.1企業(yè)安全管理制度建設(shè)分析11</p><p>  4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動(dòng)分

13、析12</p><p><b>  結(jié)論13</b></p><p><b>  致謝14</b></p><p><b>  參考文獻(xiàn)15</b></p><p><b>  1、緒論</b></p><p>  當(dāng)前,隨

14、著全球信息化步伐的不斷加快和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,經(jīng)濟(jì)全球化已經(jīng)成為必然趨勢(shì),網(wǎng)絡(luò)作為信息交互的主要手段,正引領(lǐng)企業(yè)信息化建設(shè)的巨大變革。企業(yè)網(wǎng)絡(luò)已經(jīng)由簡(jiǎn)單的單機(jī)互聯(lián)和文件處理,發(fā)展為集辦公自動(dòng)化、業(yè)務(wù)流程處理、員工績(jī)效管理等為一體的復(fù)雜的企業(yè)內(nèi)部網(wǎng),并與企業(yè)外部的國(guó)際互聯(lián)網(wǎng)相融合,發(fā)展為計(jì)算機(jī)信息交互和協(xié)同處理的網(wǎng)絡(luò)系統(tǒng),已由傳統(tǒng)的C/S模式向B/S模式再到企業(yè)網(wǎng)格進(jìn)行轉(zhuǎn)變。</p><p>  企業(yè)網(wǎng)絡(luò)作

15、為一種復(fù)雜而集成的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的同時(shí),傳統(tǒng)的網(wǎng)絡(luò)安全威脅依舊存在,病毒、木馬、蠕蟲等肆虐,網(wǎng)絡(luò)攻擊手段日趨多樣化,破壞力巨大并具有隱蔽性,時(shí)刻威脅著企業(yè)的網(wǎng)絡(luò)安全。</p><p>  本文針對(duì)企業(yè)網(wǎng)絡(luò)的安全建設(shè)問(wèn)題,重點(diǎn)分析了如何構(gòu)建一個(gè)可靠的網(wǎng)絡(luò)安全防御體系。面向當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀,提出了一種具有典型意義的企業(yè)網(wǎng)網(wǎng)絡(luò)安全的解決方案。</p><p>  2、企業(yè)網(wǎng)絡(luò)安全綜述

16、</p><p>  2.1企業(yè)網(wǎng)絡(luò)安全及存在的問(wèn)題</p><p>  2.1.1企業(yè)網(wǎng)絡(luò)安全的概念</p><p>  當(dāng)前企業(yè)信息化的普及,使得企業(yè)的生產(chǎn)經(jīng)營(yíng)相關(guān)的業(yè)務(wù)體系,都立足于Internet/Intranet環(huán)境?;诖?,企業(yè)網(wǎng)絡(luò)安全也要從內(nèi)部和外部,也就是Intranet和Internet兩個(gè)方面來(lái)考量。企業(yè)網(wǎng)絡(luò)安全建設(shè)方案,也包括內(nèi)部的安全系統(tǒng)建設(shè)

17、和外部入侵的防御檢測(cè)系統(tǒng)建設(shè)兩個(gè)方面。</p><p>  一般來(lái)說(shuō),企業(yè)網(wǎng)絡(luò)安全是指企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)(Intranet環(huán)境)的所有軟硬件設(shè)施及網(wǎng)絡(luò)系統(tǒng)中所存儲(chǔ)的數(shù)據(jù)受到全方位的保護(hù),不因來(lái)自內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)(Internet環(huán)境)的偶然的或惡意原因而遭到破壞、更改和泄露。即使在突發(fā)情況下,網(wǎng)絡(luò)系統(tǒng)依舊能夠可靠運(yùn)行,系統(tǒng)內(nèi)部的重要數(shù)據(jù)得以保護(hù)和備份并使得網(wǎng)絡(luò)服務(wù)不被中斷。</p><p&g

18、t;  2.1.2企業(yè)網(wǎng)絡(luò)安全所面臨的問(wèn)題</p><p>  企業(yè)網(wǎng)絡(luò)一般都是接入Internet的,其網(wǎng)絡(luò)環(huán)境的開放性,可以增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用性,但也對(duì)企業(yè)網(wǎng)絡(luò)信息安全提出了更多更高的要求。一般企業(yè)網(wǎng)絡(luò)的都是基于Windows平臺(tái)的應(yīng)用系統(tǒng),主要有WEB服務(wù)、E-mail系統(tǒng)、MIS、進(jìn)貨和銷售系統(tǒng)、財(cái)務(wù)統(tǒng)計(jì)系統(tǒng)、人事管理系統(tǒng)等。這些系統(tǒng)往往自成體系,沒有統(tǒng)一的資源管理與訪問(wèn)控制策略。而且隨著企業(yè)的發(fā)展系統(tǒng)的

19、安全層次也會(huì)愈發(fā)多樣。整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在兩個(gè)方面的安全問(wèn)題:</p><p>  (1)企業(yè)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全性。對(duì)接入互聯(lián)網(wǎng)的子網(wǎng),要采取嚴(yán)格的訪問(wèn)控制策略和入侵檢測(cè)措施。</p><p> ?。?)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。企業(yè)內(nèi)部的網(wǎng)絡(luò)安全是傳統(tǒng)網(wǎng)絡(luò)安全建設(shè)最為注重的方面。最常見的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和

20、防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。</p><p>  2.2網(wǎng)絡(luò)安全建設(shè)的必要性</p><p>  2.2.1網(wǎng)絡(luò)的復(fù)雜型及其表現(xiàn)</p><p>  計(jì)算機(jī)和電子技術(shù)的發(fā)展使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷融合新的技術(shù),企業(yè)網(wǎng)絡(luò)也因此發(fā)展和進(jìn)步,具備了許多新特性,這給網(wǎng)絡(luò)建設(shè)帶來(lái)了更大難度。</p

21、><p>  網(wǎng)格概念的提出和互聯(lián)網(wǎng)的建設(shè),在使得網(wǎng)絡(luò)極大的發(fā)揮其效能的同時(shí),也使得企業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜性和多樣行凸顯。這表現(xiàn)在以下幾個(gè)方面:</p><p>  首先,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有復(fù)雜性。網(wǎng)絡(luò)互聯(lián)是個(gè)拓?fù)浣Y(jié)構(gòu),除掉各個(gè)計(jì)算機(jī)終端節(jié)點(diǎn)之外,還需要各種互連設(shè)備,比如交換機(jī)、路由器等。各式各樣的設(shè)備互連設(shè)備,又同時(shí)將整個(gè)企業(yè)網(wǎng)絡(luò)劃分為幾個(gè)小局域網(wǎng),組成了網(wǎng)絡(luò)互連結(jié)構(gòu)。</p><

22、;p>  其次,網(wǎng)絡(luò)軟硬件設(shè)備的復(fù)雜性。網(wǎng)絡(luò)設(shè)備一方面是指網(wǎng)絡(luò)互聯(lián)的硬件設(shè)備以及運(yùn)行其上的網(wǎng)絡(luò)管理軟件。另一方面,是指各個(gè)網(wǎng)絡(luò)終端結(jié)點(diǎn)設(shè)備以及搭載其上的軟件系統(tǒng)。網(wǎng)絡(luò)軟件在鏈路層、傳輸層和應(yīng)用層都可以發(fā)揮數(shù)據(jù)檢測(cè)作用,單機(jī)操作系統(tǒng)可以選擇服務(wù)器版本,并安裝防火墻軟件和殺毒軟件,同時(shí)根據(jù)網(wǎng)絡(luò)特性配置過(guò)濾規(guī)則。</p><p>  最后,網(wǎng)絡(luò)管理和網(wǎng)絡(luò)用戶的復(fù)雜性。網(wǎng)絡(luò)管理,一方面是針對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)管理,一方

23、面是針對(duì)網(wǎng)絡(luò)設(shè)備和運(yùn)行其上的網(wǎng)絡(luò)軟件的管理。網(wǎng)絡(luò)管理一般由專人負(fù)責(zé),稱為網(wǎng)絡(luò)管理員。他一方面要負(fù)責(zé)通過(guò)各種網(wǎng)絡(luò)管理軟件,對(duì)網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)訪問(wèn)和存儲(chǔ)的用戶行為進(jìn)行監(jiān)控,另一方面要制定各種網(wǎng)絡(luò)訪問(wèn)策略和監(jiān)控策略,比如過(guò)濾規(guī)則,路由規(guī)則等。</p><p>  總之,網(wǎng)絡(luò)的多樣性和復(fù)雜性,使得網(wǎng)絡(luò)自身和網(wǎng)絡(luò)的管理存在諸多問(wèn)題,需要專人負(fù)責(zé)網(wǎng)絡(luò)安全建設(shè)。</p><p>  2.2.2網(wǎng)絡(luò)安全建設(shè)

24、中存在的誤區(qū)</p><p>  通過(guò)調(diào)查發(fā)現(xiàn),無(wú)論是網(wǎng)絡(luò)用戶還是網(wǎng)絡(luò)管理者,都對(duì)網(wǎng)絡(luò)安全存在一些認(rèn)識(shí)上的誤區(qū),主要表現(xiàn)在:</p><p> ?。?)網(wǎng)絡(luò)建設(shè)無(wú)需太多投入。</p><p>  出于成本的壓力,中小企業(yè)一般在網(wǎng)絡(luò)建設(shè)的投入上不足。中小企業(yè)網(wǎng)絡(luò)一般只有十幾到幾十臺(tái)客戶端,網(wǎng)絡(luò)互聯(lián)產(chǎn)品一般選用24口交換機(jī),帶動(dòng)其他的交換機(jī),選用家用級(jí)別的路由器接入互聯(lián)

25、網(wǎng),從而組成一個(gè)小型辦公網(wǎng)絡(luò)環(huán)境,事實(shí)上,這種接入方式和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),會(huì)導(dǎo)致網(wǎng)速非常慢,堵塞嚴(yán)重,掉包頻繁。</p><p> ?。?)網(wǎng)絡(luò)管理無(wú)需專人負(fù)責(zé)。</p><p>  沒有網(wǎng)絡(luò)管理人員對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行維護(hù)的原因在于,大多數(shù)中小企業(yè)網(wǎng)絡(luò)安全需求沒有得到管理者的足夠重視,大部分中小企業(yè)沒有設(shè)置專職網(wǎng)絡(luò)管理員,而采用兼職管理方式,沒有針對(duì)企業(yè)網(wǎng)絡(luò)配置網(wǎng)絡(luò)環(huán)境,選用管理和安全軟件,并對(duì)過(guò)

26、濾規(guī)則進(jìn)行設(shè)計(jì)。這必然會(huì)導(dǎo)致技術(shù)基礎(chǔ)和技術(shù)儲(chǔ)備的匱乏,使得網(wǎng)絡(luò)管理在軟硬件方面上都有先天缺陷,在網(wǎng)絡(luò)穩(wěn)定性和安全性方面存在嚴(yán)重隱患。這種情況下,即使有網(wǎng)絡(luò)攻擊或者病毒的入侵,網(wǎng)絡(luò)使用者也很難及時(shí)發(fā)現(xiàn)以阻止入侵,更不用說(shuō)挽回?fù)p失了。</p><p>  (3)網(wǎng)絡(luò)安全軟件無(wú)需專業(yè)化。</p><p>  很多中小企業(yè)網(wǎng)絡(luò)安全,都是依靠桌面殺毒軟件解決的。桌面殺毒軟件并不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境。

27、一旦有惡性病毒大規(guī)模爆發(fā)時(shí),網(wǎng)絡(luò)病毒在內(nèi)部局域網(wǎng)瘋狂流竄,一方面病毒的肆虐傳播造成網(wǎng)絡(luò)堵塞,破壞系統(tǒng)文件使電腦不能正常工作,另一方面,會(huì)導(dǎo)致病毒感染網(wǎng)絡(luò)內(nèi)部主機(jī),潛伏下來(lái),借助網(wǎng)絡(luò)漏洞,伺機(jī)在網(wǎng)絡(luò)內(nèi)部傳輸,普通的殺毒軟件并不能消滅干凈。</p><p>  網(wǎng)絡(luò)管理中,需要一種具備全局控制能力的殺毒軟件,在局域網(wǎng)中任何一臺(tái)機(jī)器感染病毒時(shí),都可以檢測(cè)到,并阻止其傳播,否則局域網(wǎng)病毒嚴(yán)重的導(dǎo)致局域網(wǎng)癱瘓,更甚至可能使

28、整個(gè)系統(tǒng)崩潰。</p><p>  2.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀</p><p>  網(wǎng)絡(luò)安全建設(shè)普遍存在著如下問(wèn)題:網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),缺乏宏觀的了解;對(duì)于網(wǎng)絡(luò)的構(gòu)成,缺乏清晰的認(rèn)識(shí);對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,關(guān)鍵節(jié)點(diǎn)缺乏有效管理;對(duì)于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全軟件缺乏深入的原理理解和足夠的應(yīng)用經(jīng)驗(yàn)等等。</p><p>  2.3.1網(wǎng)絡(luò)防護(hù)體系建設(shè)缺乏有效重視和投入</p>

29、<p>  企業(yè)網(wǎng)絡(luò)中,用戶主要來(lái)自于內(nèi)部,由受信任的內(nèi)部用戶發(fā)起的攻擊是最危險(xiǎn)的一種形式。因此內(nèi)部安全威脅已經(jīng)上升為主要矛盾。</p><p>  一方面,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)一般是針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)的,互連設(shè)備的部署也主要是針對(duì)內(nèi)部網(wǎng)絡(luò)。如何針對(duì)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),選用互連設(shè)備,構(gòu)建內(nèi)部局域網(wǎng)中的局域網(wǎng),杜絕網(wǎng)絡(luò)擁塞的出現(xiàn),是當(dāng)前研究領(lǐng)域的熱點(diǎn)問(wèn)題。這需要針對(duì)企業(yè)網(wǎng)絡(luò)的性能,需要特定的優(yōu)化設(shè)計(jì)。&

30、lt;/p><p>  另一方面,對(duì)于網(wǎng)絡(luò)安全,更需要一體化的管理和安全防御體系建設(shè),在防御軟件上,要針對(duì)特定的網(wǎng)絡(luò)應(yīng)用,部署專門的網(wǎng)絡(luò)防火墻和殺毒軟件。通過(guò)制定特定的防御規(guī)劃,設(shè)計(jì)或者修改軟件過(guò)濾規(guī)則,過(guò)濾網(wǎng)絡(luò)環(huán)境中的不良信息,這些都需要企業(yè)管理者投入人力物力進(jìn)行設(shè)計(jì)和研發(fā)。</p><p>  2.3.2網(wǎng)絡(luò)安全防護(hù)體系建設(shè)存在不足</p><p>  每一種網(wǎng)絡(luò)拓

31、撲結(jié)構(gòu),對(duì)應(yīng)一種網(wǎng)絡(luò)體系結(jié)構(gòu)設(shè)計(jì),在相應(yīng)的網(wǎng)絡(luò)安全體系建設(shè)中,安全軟件的部署也要有其特點(diǎn),適應(yīng)網(wǎng)絡(luò)信息流動(dòng)和安全檢測(cè)工作。然而,企業(yè)特別是中小型企業(yè),在網(wǎng)絡(luò)安全體系的建設(shè)中還存在以下不足:</p><p>  傳統(tǒng)防護(hù)體系在系統(tǒng)化設(shè)計(jì)上存在欠缺。</p><p>  企業(yè)對(duì)外部互聯(lián)網(wǎng)的接入,應(yīng)該設(shè)計(jì)系統(tǒng)化的防護(hù)體系,這并非是簡(jiǎn)簡(jiǎn)單單的防火墻就可以完成的,應(yīng)由專業(yè)認(rèn)識(shí)進(jìn)行設(shè)計(jì)。一般可采取防火

32、墻與入侵檢測(cè)系統(tǒng)(IDS)聯(lián)動(dòng)的方式,對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù)。網(wǎng)絡(luò)管理軟件和安全軟件的協(xié)作,對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。</p><p>  2.3.3網(wǎng)絡(luò)安全管理制度和措施不健全</p><p>  在網(wǎng)絡(luò)的管理上,國(guó)家有關(guān)部門也頒布了一些法律法規(guī),比如《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》。各個(gè)企業(yè)也有自己的一套管理辦法,具體到不同的網(wǎng)絡(luò)部門,也應(yīng)該有自己的一套經(jīng)過(guò)實(shí)踐檢

33、驗(yàn)并行之有效的網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)程。 </p><p>  作為企業(yè)網(wǎng)絡(luò)安全保證的網(wǎng)絡(luò)安全管理制度,一方面,它是一個(gè)企業(yè)針對(duì)網(wǎng)絡(luò)使用和網(wǎng)絡(luò)信息安全,所采取的切實(shí)有效的規(guī)章制度,是規(guī)范網(wǎng)絡(luò)用戶行為的準(zhǔn)則。另一方面,安全管理制度也是網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)用戶行為進(jìn)行審核的標(biāo)準(zhǔn),任何違反網(wǎng)絡(luò)安全規(guī)章制度的行為,都應(yīng)該被網(wǎng)絡(luò)管理系統(tǒng)發(fā)現(xiàn),網(wǎng)絡(luò)用戶不安全的操作行為,也應(yīng)該由網(wǎng)絡(luò)管理軟件或者網(wǎng)絡(luò)管理員發(fā)出警告。</p>

34、<p>  構(gòu)建一套合理的網(wǎng)絡(luò)安全管理規(guī)章和制度,是一個(gè)企業(yè)在制度上落實(shí)網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié),也是經(jīng)過(guò)許多企業(yè)網(wǎng)絡(luò)建設(shè)的成功和失敗的經(jīng)驗(yàn)教訓(xùn)檢測(cè)之后的行之有效的舉措之一。</p><p>  3、企業(yè)網(wǎng)絡(luò)安全建設(shè)需求分析</p><p>  通過(guò)第二章中對(duì)網(wǎng)絡(luò)安全和企業(yè)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀分析,可知構(gòu)建一個(gè)合理有效的企業(yè)網(wǎng)絡(luò)安全體系和規(guī)則,對(duì)于解決網(wǎng)絡(luò)安全建設(shè)中所暴露出來(lái)的諸多

35、問(wèn)題是大有必要的。本章將對(duì)網(wǎng)絡(luò)安全建設(shè)進(jìn)行需求分析,在網(wǎng)絡(luò)安全的系統(tǒng)層次設(shè)計(jì)和應(yīng)用軟件設(shè)計(jì)方面,對(duì)網(wǎng)絡(luò)安全建設(shè)的需求情況進(jìn)行詳盡的論述。</p><p>  3.1網(wǎng)絡(luò)安全的層次結(jié)構(gòu)</p><p>  3.1.1網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生及影響</p><p>  網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)方面,網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)一般是由以下三個(gè)原因造成的:一是操作網(wǎng)絡(luò)的內(nèi)部人員的

36、操作失誤;二是企業(yè)外部有目的的攻擊和竊取信息的行為;三是某些網(wǎng)絡(luò)設(shè)備和軟件系統(tǒng)制造商在網(wǎng)絡(luò)設(shè)備的軟、硬件中放置危害網(wǎng)絡(luò)、盜竊信息的程序。</p><p>  3.1.2網(wǎng)絡(luò)安全體系的層次劃分</p><p>  網(wǎng)絡(luò)安全中安全措施劃分,主要有如下幾個(gè)方面:</p><p> ?。?)數(shù)據(jù)源鑒別。在連接和傳送數(shù)據(jù)時(shí)鑒別相應(yīng)的協(xié)議實(shí)體,而后決定提供或者拒絕服務(wù)。<

37、/p><p> ?。?)訪問(wèn)控制。限制用戶訪問(wèn)網(wǎng)絡(luò)資源的授權(quán),可以防止未經(jīng)許可暴露所傳輸數(shù)據(jù)的內(nèi)容。</p><p> ?。?)完整性服務(wù)。包含網(wǎng)絡(luò)協(xié)議不受篡改,確保服務(wù)順利完成。主要用于防止他人利用網(wǎng)絡(luò)修改傳輸數(shù)據(jù),以保證發(fā)送和接收的數(shù)據(jù)一致。</p><p>  3.2網(wǎng)絡(luò)操作系統(tǒng)層的安全</p><p>  3.2.1.網(wǎng)絡(luò)操作系統(tǒng)的概念&

38、lt;/p><p>  計(jì)算機(jī)網(wǎng)絡(luò)是由多個(gè)相互獨(dú)立的計(jì)算機(jī)系統(tǒng)通過(guò)通信媒體連接起來(lái)的?各計(jì)算機(jī)都具有一個(gè)完整獨(dú)立的操作系統(tǒng),網(wǎng)絡(luò)操作系統(tǒng)(NOS)是建立在這些獨(dú)立的操作系統(tǒng)基礎(chǔ)上用以擴(kuò)充網(wǎng)絡(luò)功能的系統(tǒng)(系統(tǒng)平臺(tái))?</p><p>  3.2.2網(wǎng)絡(luò)操作系統(tǒng)的安全防護(hù)</p><p>  網(wǎng)絡(luò)設(shè)備中主流操作系統(tǒng)有類UNIX和Windows系列,LINUX作為開源系統(tǒng),兼

39、具UNIX強(qiáng)大的網(wǎng)絡(luò)功能。而Windows平臺(tái)更是推出了Windows Server系列,滿足網(wǎng)絡(luò)服務(wù)的需求。用戶的應(yīng)用系統(tǒng)和安全工具軟件都在操作系統(tǒng)上運(yùn)行,操作系統(tǒng)為各工具軟件提供支持,因此操作系統(tǒng)的安全與否直接影響到網(wǎng)絡(luò)系統(tǒng)的安全。</p><p>  網(wǎng)絡(luò)操作系統(tǒng)的安全問(wèn)題。企業(yè)接入互聯(lián)網(wǎng)以及B/S模式的管理系統(tǒng)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用,難免會(huì)帶來(lái)源源不斷的軟件安全問(wèn)題,一般的操作系統(tǒng)都會(huì)提供以下的安全防護(hù)措施:

40、</p><p> ?。?)過(guò)濾保護(hù)。分析所有針對(duì)受保護(hù)對(duì)象的訪問(wèn),過(guò)濾惡意攻擊以及可能帶來(lái)不安全因素的非法訪問(wèn)。</p><p>  (2)安全檢測(cè)保護(hù)。對(duì)所有用戶的操作進(jìn)行分析,阻止那些超越權(quán)限的用戶操作以及可能給操作系統(tǒng)帶來(lái)不安全因素的用戶操作。</p><p> ?。?)隔離保護(hù)。保證同時(shí)運(yùn)行的多個(gè)進(jìn)程和線程之間是相互隔離的,即各個(gè)進(jìn)程和線程分別調(diào)用不同的系

41、統(tǒng)資源。</p><p>  3.3用戶層和應(yīng)用層安全</p><p>  作為終端使用者的用戶,直接面對(duì)應(yīng)用層,應(yīng)該確切落實(shí)網(wǎng)絡(luò)管理規(guī)章制度的要求,杜絕安全隱患。用戶層安全的防范措施,主要包含對(duì)用戶的識(shí)別、認(rèn)證、數(shù)字簽名等。</p><p>  3.3.1企業(yè)網(wǎng)絡(luò)應(yīng)用層的安全威脅</p><p>  來(lái)自企業(yè)內(nèi)部和外部的動(dòng)態(tài)變化的安全威脅隨

42、時(shí)會(huì)給企業(yè)運(yùn)營(yíng)帶來(lái)巨大的災(zāi)難。常見的危害應(yīng)用層安全的的因素如下:</p><p>  (1)網(wǎng)絡(luò)蠕蟲、病毒等危害網(wǎng)絡(luò)信息安全。 </p><p>  (2)信息竊取和網(wǎng)絡(luò)攻擊危害網(wǎng)絡(luò)數(shù)據(jù)安全。</p><p>  信息竊取是黑客和網(wǎng)絡(luò)攻擊的常見目標(biāo)。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響,會(huì)破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。</p><

43、;p> ?。?)垃圾郵件成為傳播病毒的主要手段。</p><p>  收到垃圾郵件的用戶往往由于對(duì)郵件缺乏了解而不幸激活病毒卻不知情,網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。 </p><p>  3.3.2網(wǎng)絡(luò)應(yīng)用軟件的安全性防護(hù)</p><p>  應(yīng)用系統(tǒng)層的安全需求需要保證應(yīng)用軟件和數(shù)據(jù)庫(kù)軟件的安全性,如:WWW服務(wù)、應(yīng)用網(wǎng)關(guān)系統(tǒng)、DNS系統(tǒng)、防火墻

44、軟件、業(yè)務(wù)應(yīng)用軟件等。應(yīng)用軟件必須保證以下要求:</p><p> ?。?)購(gòu)買的應(yīng)用軟件應(yīng)通過(guò)安全測(cè)試并要求銷售商確認(rèn)其無(wú)后門或漏洞。</p><p> ?。?)能夠?qū)τ脩羯矸葸M(jìn)行鑒別與認(rèn)證。</p><p> ?。?)保證存儲(chǔ)或存檔的所有數(shù)據(jù)的完整性、真實(shí)性和可用性。</p><p>  (4)對(duì)已使用的應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描,及時(shí)修補(bǔ)

45、存在的漏洞。</p><p>  3.4數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層安全</p><p>  數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層,在OSI參考模型中,都是負(fù)責(zé)數(shù)據(jù)流傳輸?shù)模髽I(yè)對(duì)于數(shù)據(jù)訪問(wèn)和存取的控制,一般都是針對(duì)這三個(gè)層次制定網(wǎng)絡(luò)協(xié)議,監(jiān)控和過(guò)濾數(shù)據(jù)流。</p><p>  3.4.1數(shù)據(jù)鏈路層安全防護(hù)需求分析 </p><p>  數(shù)據(jù)鏈路層位于物

46、理硬件層網(wǎng)絡(luò)層之間,擔(dān)負(fù)起第一道數(shù)據(jù)監(jiān)控和過(guò)濾的重任。與數(shù)據(jù)鏈路層的安全有兩方面內(nèi)容:一是涉及到數(shù)據(jù)傳輸過(guò)程中的加密和數(shù)據(jù)的修改,也就是影響到數(shù)據(jù)的完整性;另一個(gè)是涉及到物理地址的盜用問(wèn)題,影響到網(wǎng)絡(luò)管理。</p><p>  針對(duì)數(shù)據(jù)鏈路層的攻擊主要有:</p><p> ?。?)局域網(wǎng)ARP欺騙攻擊。</p><p>  數(shù)據(jù)鏈路層的協(xié)議ARP協(xié)議,具有完成IP

47、地址到MAC地址的轉(zhuǎn)換的功能。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。</p><p> ?。?)針對(duì)MAC地址的泛洪攻擊。</p><p>  網(wǎng)絡(luò)互連設(shè)備路由器和交換機(jī)具有主動(dòng)學(xué)習(xí)客戶端的MAC地址,然后建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表。MAC地址泛洪攻擊利用工具產(chǎn)生欺騙MAC,快速填滿MAC地址表,交換機(jī)此后一直廣播信息,會(huì)造成負(fù)載

48、過(guò)大,網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。</p><p>  3.4.2傳輸層安全防護(hù)需求分析</p><p>  傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間,起著承上啟下的作用。無(wú)論是局域網(wǎng)還是廣域網(wǎng),目前最為流行的傳輸層協(xié)議主要有TCP和UDP協(xié)議族許多安全協(xié)議也運(yùn)行于TCP之上,為不安全的通信雙方建立數(shù)據(jù)傳輸?shù)目煽客ǖ溃沟脭?shù)據(jù)避免被竊聽、篡改或假冒。</p><p>  基于傳

49、輸層的網(wǎng)絡(luò)安全協(xié)議眾多。傳輸層支持的安全服務(wù)有:1) 對(duì)等實(shí)體認(rèn)證服務(wù);2)訪問(wèn)控制服務(wù);3)數(shù)據(jù)保密服務(wù);4)數(shù)據(jù)完整性服務(wù);5)數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)。傳輸層主要有兩個(gè)安全協(xié)議:SSL(Secure Sockets Layer)和PCT(Private Communications Technology)。</p><p>  企業(yè)網(wǎng)絡(luò)對(duì)于傳輸層的需求一般有:</p><p> ?。?)文件

50、傳輸?shù)陌踩枨蟆?lt;/p><p>  企業(yè)的一些管理者為了方便,通過(guò)一些通訊工具來(lái)收發(fā)一些有保密級(jí)別的文件的或者重要信息,而網(wǎng)絡(luò)本身都存在著較多的缺陷,為此,保證重要文件的秘密性、完整性、和可靠性,建議在傳輸之前對(duì)文件進(jìn)行加密。</p><p> ?。?)網(wǎng)絡(luò)邊界通信的安全需求。</p><p>  網(wǎng)絡(luò)交換設(shè)備主要包括路由器和ATM。由于路由器普遍采用無(wú)連接存儲(chǔ)轉(zhuǎn)

51、發(fā)技術(shù),一旦某一個(gè)路由器發(fā)生故障或出現(xiàn)問(wèn)題,將迅速波及到與該路由器聯(lián)系的網(wǎng)絡(luò)區(qū)域。</p><p>  網(wǎng)絡(luò)層邊界安全需求包括整個(gè)局域網(wǎng)通過(guò)防火墻接入互聯(lián)網(wǎng)時(shí)邊界的安全需求、服務(wù)器群組成的服務(wù)子網(wǎng)和主交換機(jī)與通過(guò)防火墻與外網(wǎng)接入層之間不同安全等級(jí)而使用不同訪問(wèn)控制策略的安全需求。</p><p> ?。?)內(nèi)網(wǎng)訪問(wèn)及網(wǎng)絡(luò)權(quán)限控制需求。</p><p>  內(nèi)網(wǎng)的訪問(wèn)

52、控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它對(duì)用戶進(jìn)行權(quán)限的分配,控制不同用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)或者服務(wù)器訪問(wèn)的權(quán)限,為用戶指定能夠訪問(wèn)的對(duì)象和獲取的資源。一般可分為三步:用戶名驗(yàn)證、用戶口令驗(yàn)證和用戶賬號(hào)的缺省限制檢查。只要用戶在這三個(gè)環(huán)節(jié)中的任何一個(gè)環(huán)節(jié)中沒有通過(guò),該用戶將不被允許接入網(wǎng)絡(luò)。</p><p>  3.4.3網(wǎng)絡(luò)層安全防護(hù)需求分析 </p><p>  網(wǎng)絡(luò)層主要是指IP協(xié)議

53、簇。IP地址是在網(wǎng)絡(luò)層標(biāo)識(shí)一臺(tái)計(jì)算機(jī)的唯一身份識(shí)別碼,無(wú)論是企業(yè)內(nèi)網(wǎng)還是外部互聯(lián)網(wǎng),都需要有獨(dú)立的IP地址??梢酝ㄟ^(guò)網(wǎng)絡(luò)交換的監(jiān)控,對(duì)網(wǎng)絡(luò)狀況動(dòng)態(tài)的檢測(cè)和控制。網(wǎng)絡(luò)層安全協(xié)議的最大特點(diǎn)是其透明性,即不過(guò)問(wèn)高層協(xié)議數(shù)據(jù)包的內(nèi)容,可以提供認(rèn)證、保密性、完整性等服務(wù)。</p><p>  一般而言,設(shè)計(jì)網(wǎng)絡(luò)時(shí),內(nèi)部網(wǎng)絡(luò)自成體系,有自己的子網(wǎng)網(wǎng)段,各子網(wǎng)必須通過(guò)中間設(shè)備進(jìn)行連接,利用這些中間設(shè)備的安全機(jī)制來(lái)控制各子網(wǎng)之間

54、的訪問(wèn)。</p><p>  對(duì)于網(wǎng)絡(luò)層的防護(hù),主要包含以下幾個(gè)方面:</p><p> ?。?)WEB網(wǎng)站安全防護(hù)需求。</p><p>  目前企業(yè)內(nèi)部網(wǎng)絡(luò)各種應(yīng)用系統(tǒng),一般都是采用B/S模式的WEB網(wǎng)站形式,WEB系統(tǒng)防護(hù)是一個(gè)復(fù)雜的問(wèn)題,包括應(yīng)對(duì)網(wǎng)頁(yè)篡改、DDoS攻擊、信息泄漏、導(dǎo)致系統(tǒng)可用性問(wèn)題的攻擊等各種形式,WEB系統(tǒng)需要專人管理。</p>

55、<p> ?。?)DNS服務(wù)器系統(tǒng)的安全防護(hù)需求。</p><p>  域名服務(wù)器DNS系統(tǒng),作為互聯(lián)網(wǎng)的神經(jīng)系統(tǒng),關(guān)乎網(wǎng)絡(luò)層服務(wù)數(shù)據(jù)能否成功到達(dá)的問(wèn)題。針對(duì)DNS系統(tǒng)的攻擊比較突出的為DoS攻擊、DNS投毒、域名劫持及重定向等,DNS系統(tǒng)的安全防護(hù)需要部署流量清洗設(shè)備,保障DNS業(yè)務(wù)系統(tǒng)的正常運(yùn)行。</p><p>  4、企業(yè)網(wǎng)絡(luò)安全建設(shè)解決方案</p>&

56、lt;p>  4.1企業(yè)網(wǎng)絡(luò)安全建設(shè)總體規(guī)劃</p><p>  根據(jù)第二章對(duì)企業(yè)網(wǎng)絡(luò)安全的論述以及第三章企業(yè)網(wǎng)絡(luò)安全需求分析的基礎(chǔ)上,遵守通用的設(shè)計(jì)原則,本章研究制定了一個(gè)可滿足企業(yè)網(wǎng)絡(luò)對(duì)可靠性、保密性、可管理性及可擴(kuò)展性等方面需求的企業(yè)網(wǎng)絡(luò)安全建設(shè)的總體設(shè)計(jì)規(guī)劃方案。</p><p>  4.1.1企業(yè)網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)規(guī)劃</p><p>  一般來(lái)說(shuō),企業(yè)

57、網(wǎng)絡(luò)的建設(shè),通常會(huì)首先考慮建設(shè)內(nèi)部 MIS 系統(tǒng),而后展開其他業(yè)務(wù)系統(tǒng)的建設(shè),構(gòu)造企業(yè)信息網(wǎng)絡(luò)的局域網(wǎng),通過(guò)添加各種網(wǎng)絡(luò)互連設(shè)備,逐步形成網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)中心、數(shù)據(jù)庫(kù)服務(wù)中心、 OA 辦公系統(tǒng)、ERP 人力管理系統(tǒng)等子系統(tǒng)同時(shí)運(yùn)行的網(wǎng)絡(luò)系統(tǒng)。</p><p>  內(nèi)部網(wǎng)絡(luò)建設(shè)以搭建各種應(yīng)用服務(wù)器集群,包括WEB、Mail、FTP等服務(wù),以及提供數(shù)據(jù)存儲(chǔ)和備份服務(wù)的數(shù)據(jù)庫(kù)服務(wù)器集群,數(shù)據(jù)服務(wù)中心包括業(yè)務(wù)管理和網(wǎng)絡(luò)管理兩

58、種功能,控制和監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況并采取相應(yīng)的措施,各網(wǎng)絡(luò)模塊之間通過(guò)交換機(jī)、路由器等互連設(shè)備聯(lián)系在一起。企業(yè)網(wǎng)絡(luò)總體規(guī)劃如圖4-1所示:</p><p>  對(duì)于企業(yè)來(lái)說(shuō),網(wǎng)絡(luò)管理已經(jīng)從最初的單一網(wǎng)管需求發(fā)展到IT綜合管理需求,這些管理都是緊密關(guān)聯(lián)、不可分割的整體.企業(yè)網(wǎng)絡(luò)一般是建立以業(yè)務(wù)為核心管理系統(tǒng),如圖4-2所示:</p><p>  2.企業(yè)網(wǎng)絡(luò)安全建設(shè)的設(shè)計(jì)目標(biāo)</p&

59、gt;<p>  (1)合理規(guī)劃的拓?fù)浣Y(jié)構(gòu)。易于部署強(qiáng)化,保證物理安全。</p><p> ?。?)強(qiáng)大的協(xié)同工作和自我防護(hù)能力。</p><p> ?、侔讶肭謾z測(cè)系統(tǒng)IDS與入侵防御系統(tǒng)IPS結(jié)合起來(lái)部署在關(guān)鍵節(jié)點(diǎn);</p><p> ?、诎逊阑饓εc防水墻相結(jié)合保護(hù)關(guān)鍵子網(wǎng);</p><p>  ③安裝漏洞掃描工具對(duì)應(yīng)用層和系

60、統(tǒng)層進(jìn)行定期的漏洞掃描;</p><p> ?。?)完善的網(wǎng)絡(luò)管理能力。</p><p>  ①引入先進(jìn)的防病毒軟件,加強(qiáng)網(wǎng)絡(luò)安全;</p><p> ?、谑褂镁W(wǎng)絡(luò)系統(tǒng)管理軟件對(duì)服務(wù)器和終端系統(tǒng)進(jìn)行統(tǒng)一的管理;</p><p> ?、叟渲肰PN以提供統(tǒng)一的外部入口,達(dá)到隔離內(nèi)網(wǎng)與外網(wǎng)的效果;</p><p> ?、芤躁P(guān)

61、鍵業(yè)務(wù)為中心的網(wǎng)絡(luò)管理模型,保證關(guān)鍵業(yè)務(wù)持續(xù)性;</p><p>  ⑤單一網(wǎng)絡(luò)設(shè)備管理到融合式應(yīng)用網(wǎng)絡(luò)管理;</p><p> ?。?)完善的數(shù)據(jù)安全保障機(jī)制。</p><p>  ①網(wǎng)絡(luò)管理員保障關(guān)鍵數(shù)據(jù)的安全;</p><p> ?、谑褂萌轂?zāi)備份系統(tǒng)對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行實(shí)時(shí)備份;</p><p> ?、壑贫ò踩芾硐嚓P(guān)

62、策略,加強(qiáng)對(duì)網(wǎng)絡(luò)使用人員的管理;</p><p>  4.2企業(yè)網(wǎng)絡(luò)安全建設(shè)詳細(xì)設(shè)計(jì)方案</p><p>  4.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)方案</p><p> ?。?)企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)。</p><p>  網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式,網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)洹M負(fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站

63、的網(wǎng)絡(luò)配置和相互間的連接。圖4-3就是典型的中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。企業(yè)通過(guò)一邊界路由器和因特網(wǎng)相連,在局域網(wǎng)內(nèi)部,主要有4個(gè)區(qū)域:辦公區(qū),服務(wù)器,生產(chǎn)子網(wǎng)和安全管理區(qū)。如圖4-3所示:</p><p> ?。?)企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)。</p><p>  本系統(tǒng)在設(shè)計(jì)中,融合網(wǎng)絡(luò)拓?fù)浼夹g(shù)、防火墻技術(shù)、反病毒技術(shù)、VPN 技術(shù)、數(shù)字簽名、認(rèn)證和授權(quán)技術(shù)、加密傳輸技術(shù)、VLAN 技術(shù)等等,構(gòu)

64、建出企業(yè)安全網(wǎng)絡(luò)架構(gòu),其架構(gòu)如圖4-4所示的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu):</p><p>  圖4.3企業(yè)安全架構(gòu)</p><p> ?。?)企業(yè)安全層次模型設(shè)計(jì)。</p><p>  由于網(wǎng)絡(luò)安全實(shí)際是在不同的安全模型和網(wǎng)絡(luò)層次實(shí)現(xiàn)的,因此,針對(duì)開放系統(tǒng)互聯(lián)參考模型(OSI)網(wǎng)絡(luò)安全特性,可以可以分別在分層參考模型協(xié)議棧的不同協(xié)議層中實(shí)現(xiàn)。</p><

65、;p>  一般來(lái)說(shuō),物理層不處理網(wǎng)絡(luò)安全問(wèn)題,主要負(fù)責(zé)信號(hào)傳輸。數(shù)據(jù)鏈路層的主要任務(wù)是加強(qiáng)物理層傳輸原始比特的功能,數(shù)據(jù)鏈路層有一些適用于有線、無(wú)線網(wǎng)絡(luò)的MAC層安全協(xié)議,網(wǎng)絡(luò)層建立端到端的路由,利用IPSec(互聯(lián)網(wǎng)安全協(xié)議)增強(qiáng)其安全性能;第五層以上(含第五層)的安全機(jī)制根據(jù)不同應(yīng)用的安全性需求,需要系統(tǒng)設(shè)計(jì)者根據(jù)自身需求量身定做。針對(duì)特定的安全應(yīng)用,設(shè)計(jì)合理的防護(hù)措施并部署到環(huán)境中。</p><p>

66、  4.2.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的部署方案</p><p> ?。?)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署整體設(shè)計(jì)。</p><p>  在對(duì)網(wǎng)絡(luò)拓?fù)渚托蟹治龊驮O(shè)計(jì)之后,就要選擇適用的安全防護(hù)技術(shù)和方案就行部署。經(jīng)過(guò)對(duì)企業(yè)的網(wǎng)絡(luò)特點(diǎn)和存在的問(wèn)題進(jìn)行認(rèn)真細(xì)致的分析后,考慮到不同層次的安全需求以及整體安全的需求以及企業(yè)的可承載能力,設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全體系建設(shè)的整體方案,</p><p> ?。?

67、)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署的要點(diǎn)。</p><p>  ①網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)處理能力強(qiáng)。各種應(yīng)用要求實(shí)時(shí)性強(qiáng),對(duì)系統(tǒng)的處理能力及穩(wěn)定性要求很高;</p><p> ?、跀?shù)據(jù)存儲(chǔ)的安全性強(qiáng)。應(yīng)用系統(tǒng)數(shù)據(jù)量龐大適宜數(shù)據(jù)集中存儲(chǔ);</p><p> ?、劬W(wǎng)絡(luò)結(jié)構(gòu)健壯性強(qiáng)。根據(jù)應(yīng)用系統(tǒng)的廣泛性,業(yè)務(wù)運(yùn)算及傳輸對(duì)系統(tǒng)的處理能力以及網(wǎng)絡(luò)的負(fù)載能力提出了非常高的要求;</p>&

68、lt;p>  4.2.3企業(yè)網(wǎng)絡(luò)的防火墻防護(hù)設(shè)計(jì)</p><p>  (1)企業(yè)級(jí)防火墻的概念。</p><p>  防火墻(firewall)是一項(xiàng)協(xié)助確保信息安全的設(shè)備或者軟件,會(huì)依照特定的規(guī)則,允許在具體應(yīng)用中,一方面,從硬件層級(jí)上講, 防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組硬件設(shè)備,位于路由器和各個(gè)計(jì)算機(jī)之間,一般是由系統(tǒng)管理員控制防火墻的規(guī)則,確保在能夠提供訪問(wèn)的同時(shí),保護(hù)

69、內(nèi)部網(wǎng)絡(luò)。</p><p>  或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。防火墻用來(lái)控制各種網(wǎng)絡(luò)之間所有的數(shù)據(jù)流量,也可以控制企業(yè)內(nèi)部對(duì)某些關(guān)鍵數(shù)據(jù)的存儲(chǔ)或者數(shù)據(jù)服務(wù)器的訪問(wèn)。如下圖4.4所示:</p><p>  圖4.4 防火墻在企業(yè)網(wǎng)絡(luò)中的位置</p><p> ?。?)企業(yè)級(jí)防火墻的功能。</p><p> ?、贁?shù)據(jù)流量監(jiān)控和數(shù)據(jù)安全防護(hù);</p

70、><p>  防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界,屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處,防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn),通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。 </p><p> ?、诒槐Wo(hù)子網(wǎng)和信息的隱藏;</p><p>  由于所有進(jìn)出網(wǎng)絡(luò)的信息,都要經(jīng)過(guò)防火

71、墻的審核,因此防火墻為網(wǎng)絡(luò)安全起到了看門人的作用。結(jié)合授權(quán)訪問(wèn),防火墻可以有效的屏蔽內(nèi)部信息不為外部可見,防火墻可以限制被保護(hù)子網(wǎng)的暴露。因此,防火期可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)整個(gè)網(wǎng)絡(luò)的影響。</p><p> ?、鄯阑饓哂袕?qiáng)大的自我學(xué)習(xí)和抗攻擊免疫力; 防火墻通過(guò)對(duì)事件的處理和知識(shí)學(xué)習(xí),可以將本網(wǎng)絡(luò)安全等級(jí)進(jìn)行劃分,對(duì)本網(wǎng)絡(luò)的安全事件就行分類,并根據(jù)網(wǎng)絡(luò)管理員的選項(xiàng),自主的決定如何處理某些網(wǎng)絡(luò)時(shí)間。防

72、火墻技術(shù)作為網(wǎng)絡(luò)出入的守衛(wèi),基于操作系統(tǒng)發(fā)揮其防護(hù)作用。當(dāng)然,嵌入式防火墻系統(tǒng),也是一種專用的防火墻設(shè)備。</p><p>  本系統(tǒng)設(shè)計(jì)中,企業(yè)內(nèi)網(wǎng)通過(guò)網(wǎng)通的公共網(wǎng)絡(luò)線路與Internet互聯(lián),網(wǎng)絡(luò)內(nèi)部郵件服務(wù)器,實(shí)現(xiàn)郵件的收發(fā),內(nèi)部的WWW服務(wù)器,對(duì)外提供網(wǎng)頁(yè)訪問(wèn)服務(wù)??紤]到企業(yè)與外網(wǎng)的信息交換量的大小以及企業(yè)網(wǎng)絡(luò)安全的需要,可選擇了硬件防火墻作為網(wǎng)絡(luò)邊界的安全設(shè)備。典型的硬件防火墻如Cisco PIX 52

73、5等。Cisco PIX 525使用思科的專用自適應(yīng)算法ASA與狀態(tài)表進(jìn)行會(huì)話以及進(jìn)行其他事務(wù)的處理。它以專門的硬件化的操作系統(tǒng)為中心,以命令的方式實(shí)現(xiàn)配置和管理。它還具備故障時(shí)的無(wú)縫切換功能、URL過(guò)濾、冗余以及檢測(cè)病毒的功能。</p><p> ?。?)基于iptables的企業(yè)網(wǎng)絡(luò)防火墻設(shè)計(jì)。</p><p><b> ?、贁?shù)據(jù)包過(guò)濾技術(shù);</b></p&

74、gt;<p>  數(shù)據(jù)包過(guò)濾是一種訪問(wèn)控制技術(shù), 用于控制流入流出網(wǎng)絡(luò)的數(shù)據(jù)。包過(guò)濾技術(shù)可以允許或不允許某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)以下的根據(jù):將包的目的地址作為判斷依據(jù);將包的源地址作為判斷依據(jù);將包的傳送協(xié)議作為判斷依據(jù)。路由器通過(guò)實(shí)現(xiàn)設(shè)定的過(guò)濾規(guī)則,對(duì)流入流出數(shù)據(jù)流中的數(shù)據(jù)包進(jìn)行檢查,確定是否要發(fā)送。不符合規(guī)則的包會(huì)被路由器丟棄。</p><p> ?、趇ptables防火墻設(shè)計(jì); </p

75、><p>  iptables防火墻是LINUX下的免費(fèi)防火墻,它是LINUX內(nèi)核中netfilter架構(gòu)的一種策略管理工具,隨著LINUX發(fā)行版的推廣而流行開來(lái)。它可以代替昂貴的商業(yè)防火墻解決方案,完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等功能。 iptables允許建立狀態(tài)(stateful)防火墻,,這對(duì)于有效地配置FTP和DNS以及其它網(wǎng)絡(luò)服務(wù)是必要的。iptables能夠過(guò)濾TCP標(biāo)志任意組合報(bào)文,還

76、能夠過(guò)濾MAC地址。iptable能夠阻止某些DOS攻擊,例如SYS洪泛攻擊。iptables提供多種命令和參數(shù),可以通過(guò)腳本文件使用命令行針對(duì)不同的網(wǎng)絡(luò)環(huán)境,比如NAT、ADSL撥號(hào)等,對(duì)防火墻的策略規(guī)則進(jìn)行配置,有效管理網(wǎng)絡(luò)數(shù)據(jù)的流入和流出。</p><p>  4.3企業(yè)網(wǎng)絡(luò)安全管理策略分析與設(shè)計(jì)</p><p>  4.3.1企業(yè)安全管理制度建設(shè)分析</p><

77、;p>  通過(guò)參考大量的管理策略和實(shí)施辦法,企業(yè)的安全管理制度的健全可以從以下幾個(gè)方面著手:</p><p><b> ?。?)職責(zé)分離</b></p><p>  在信息處理系統(tǒng)工作的員工,不允許參與職責(zé)以外的與安全相關(guān)的事情。有些信息處理工作不能由一個(gè)人負(fù)責(zé),比如:系統(tǒng)軟件與應(yīng)用軟件的開發(fā)、機(jī)密文件的傳送與接收、信息處理系統(tǒng)相關(guān)媒介的保管與電腦操作、電腦操作

78、與編程、系統(tǒng)管理與安全管理、管理訪問(wèn)證件與其它工作等等。</p><p><b> ?。?)責(zé)任原則</b></p><p>  每項(xiàng)與安全相關(guān)的活動(dòng),須多人在場(chǎng)(兩人及兩人以上)。由主管人指派一些忠誠(chéng)可靠,可以勝任此項(xiàng)工作的人參加。并填寫工作情況記錄本,證明安全工作已經(jīng)得到保障。</p><p> ?。?)按屆選舉相關(guān)人員</p>

79、<p>  一般來(lái)說(shuō),一個(gè)人不能長(zhǎng)期擔(dān)任安全相關(guān)職務(wù)。工作人員要不定期換崗,強(qiáng)制休假,為保證工作效率還要對(duì)工作人員進(jìn)行輪流培訓(xùn)。</p><p>  4.3.2企業(yè)網(wǎng)絡(luò)管理管理活動(dòng)分析</p><p>  相關(guān)安全的具體活動(dòng)如下:</p><p>  (1)訪問(wèn)控制權(quán)限的管理;</p><p>  (2)保密信息處理;</

80、p><p>  (3)相關(guān)媒介的使用;</p><p> ?。?)刪除重要數(shù)據(jù);</p><p> ?。?)系統(tǒng)軟件的開發(fā)與修改;</p><p> ?。?)軟硬件維護(hù)等;</p><p>  企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題,不僅是設(shè)備,技術(shù)的問(wèn)題,更是管理的問(wèn)題。對(duì)于企業(yè)網(wǎng)絡(luò)的管理人員來(lái)講,一定要提高網(wǎng)絡(luò)安全意識(shí),加強(qiáng)網(wǎng)絡(luò)安全技

81、術(shù)的掌握,注重對(duì)領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)安全知識(shí)培訓(xùn),而且更需要制定一套完整的規(guī)章制度來(lái)規(guī)范上網(wǎng)人員的行為。</p><p>  綜上所述,企業(yè)管理策略和管理方案是確保人員素質(zhì)和網(wǎng)絡(luò)可靠運(yùn)行的有力保障。良好的管理策略對(duì)于企業(yè)網(wǎng)絡(luò)安全狀況的提升具有積極的促進(jìn)意義。</p><p><b>  5結(jié)論</b></p><p>  本文深入分析了當(dāng)前中小企業(yè)

82、的網(wǎng)絡(luò)安全建設(shè)存在的問(wèn)題,從網(wǎng)絡(luò)的復(fù)雜性以及網(wǎng)絡(luò)安全意識(shí)欠缺給企業(yè)帶來(lái)安全風(fēng)險(xiǎn)的角度,探討了網(wǎng)絡(luò)安全建設(shè)的必要性。針對(duì)當(dāng)前中小企業(yè)網(wǎng)絡(luò)安全的現(xiàn)實(shí)需求進(jìn)行了細(xì)致分析。首先,本論文從網(wǎng)絡(luò)總體規(guī)劃、安全層次模型設(shè)計(jì)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署三個(gè)方面,宏觀上構(gòu)建了一個(gè)網(wǎng)絡(luò)安全模型。然后,從企業(yè)級(jí)防火墻體系建設(shè)、企業(yè)級(jí)防病毒軟件體系建設(shè)、入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)機(jī)制設(shè)計(jì)以及企業(yè)數(shù)據(jù)存儲(chǔ)和備份等幾個(gè)主要方面,細(xì)致論述了一種企業(yè)網(wǎng)絡(luò)安全建設(shè)中技術(shù)上可行的解決方案

83、。最后,針對(duì)網(wǎng)絡(luò)安全解決方案的落實(shí)問(wèn)題,強(qiáng)調(diào)了在企業(yè)中加強(qiáng)安全管理制度和安全策略建設(shè)的重要性。</p><p>  總之,本文結(jié)合網(wǎng)絡(luò)安全實(shí)際,以現(xiàn)實(shí)需求為出發(fā)點(diǎn),不僅從技術(shù)實(shí)現(xiàn)的角度,而且從管理策略的角度,詳細(xì)論述了如何構(gòu)建一個(gè)安全的企業(yè)網(wǎng)絡(luò),最終提出了一種科學(xué)的可行的網(wǎng)絡(luò)安全建設(shè)的解決方案。因此,本文對(duì)企業(yè)網(wǎng)絡(luò)的構(gòu)建和企業(yè)網(wǎng)絡(luò)安全建設(shè)具有一定的參考價(jià)值。</p><p><b&g

84、t;  注釋</b></p><p> ?。?]段水福:《無(wú)線局域網(wǎng)(WLAN)設(shè)計(jì)與實(shí)踐》,杭州浙江大學(xué)出版社,2007年,第3頁(yè)。</p><p> ?。?]麻信洛:《無(wú)線局域網(wǎng)構(gòu)建及應(yīng)用》,北京國(guó)防工業(yè)出版社,2009年,第3頁(yè)。</p><p> ?。?]、[4]同上,第3頁(yè)。</p><p> ?。?]陳慶章:《局域網(wǎng)的

85、新形勢(shì)-無(wú)線局域網(wǎng)》,計(jì)算機(jī)世界,1995年,第3頁(yè)。</p><p>  [6]Cisco Systems 公司:《無(wú)線局域網(wǎng)基礎(chǔ)》,人民郵電出版社,2005年,第3頁(yè)。</p><p>  [7]、[8]同上,第3頁(yè)。</p><p> ?。?]李志球:《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》,北京電子工業(yè)出出版社,2006年,第4頁(yè)。</p><p> ?。?/p>

86、10]楊義先、鈕心忻:《網(wǎng)絡(luò)安全理論與技術(shù)》,北京人民郵電出版社,2007年,第24頁(yè)。</p><p> ?。?1]賀雪晨:信息對(duì)抗與網(wǎng)絡(luò)安全 清華大學(xué)出版社(第2版),2010,5。 </p><p>  [12]赫爾利、楊青:無(wú)線網(wǎng)安全 科學(xué)出版社,2009,4,1。</p><p>  [13]趙力強(qiáng)、張海林:IEEE 802.11無(wú)線局域網(wǎng)的TCP性能分析

87、和改進(jìn) [期刊論文] -計(jì)算機(jī)學(xué)報(bào)2010(11)。</p><p>  [14]楊峰、張浩軍:無(wú)線局域網(wǎng)安全協(xié)議的研究和實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用,2009,25(1):2。</p><p>  [15]黃勁榮:無(wú)線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2009(15):1。</p><p><b>  參考文獻(xiàn)</b></p>

88、<p> ?、?胡增才.重慶鋼鐵集團(tuán)信息網(wǎng)絡(luò)安全解決方案設(shè)計(jì):[碩士學(xué)位論文].重慶:重慶大學(xué),2006</p><p> ?、?蔡皖東.基于等級(jí)保護(hù)的網(wǎng)絡(luò)容災(zāi)系統(tǒng)模型.計(jì)算機(jī)科學(xué),2005,32(3):47-49</p><p>  ③ 劉洪發(fā)、唐宏.網(wǎng)絡(luò)存儲(chǔ)與災(zāi)難恢復(fù)技術(shù).北京:電子工業(yè)出版社,2008,82-89</p><p>  ④ 趙俊閣.信息

89、安全概論.北京:國(guó)防工業(yè)出版社,2009,7-15</p><p> ?、?陳尚義、劉勝平、趙泰.基于防水墻系統(tǒng)的信息安全與保密解決方案.信息安全與通信保密,2006</p><p>  ⑦ 周亞建、鄭康鋒、楊義先.網(wǎng)絡(luò)安全加固技術(shù).北京:電子工業(yè)出版社,2007,102-107</p><p> ?、?數(shù)據(jù)庫(kù)基礎(chǔ)與應(yīng)用 作者:王利 中央廣播電視大學(xué)出版社 1997

90、年⑨ SQL Server2000系統(tǒng)管理 飛思科技產(chǎn)品研發(fā)中心 電子工業(yè)出版社 2001年⑩ 軟件工程 作者:陳明 中央廣播電視大學(xué)出版社 2001年致 謝</p><p>  三年的學(xué)習(xí)生活即將結(jié)束,驀然回首這三年的時(shí)光,心里充滿了許多的感激和驕傲。感激的是大學(xué)能夠給我提供這樣一個(gè)良好的學(xué)習(xí)生活環(huán)境;感謝我身邊那些一直給予我支持、幫助和關(guān)心的親人、教員、同學(xué)和朋友。我會(huì)在以后的工作、學(xué)習(xí)和生活中取得更加

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論