《网络安全实训报告--闫泽顺》由会员分享,可在线阅读,更多相关《网络安全实训报告--闫泽顺(25页珍藏版)》请在金锄头文库上搜索。
1、新 疆 农 业 职 业 技 术 学 院信 息 技 术 分 院网络系统集成项目课程实训报告专 业: 计算机网络技术班 级: 09高网(1)班姓 名: 勾靖指导教师: 傅 峰目 录第一章 前 言4第二章 网络系统分析52.1 基本网络结构52.2 网络应用6第三章 网络安全风险分析73.1 物理安全风险分析73.2 链路传输风险分析73.3 网络结构的安全风险分析83.3.1 来自与公网互联的安全危胁83.3.2 内部网络与系统外部网互联安全威胁83.3.3 内部局域网的安全威胁83.4 系统的安全风险分析93.5 应用的安全风险分析93.5.1 资源共享93.5.2 电子邮件系统93.5.3 病
2、毒侵害103.5.4 数据信息103.6 管理的安全风险分析10第四章 网络安全需求及安全目标114.1 安全需求114.1.1 物理上安全需求114.1.2 访问控制需求114.1.3 加密机需求124.1.4 入侵检测系统需求124.1.5 安全风险评估系统需求124.1.6 防病毒系统需求134.1.7 安全管理体制134.1.8 构建CA系统134.2 安全目标13第五章 网络安全实现策略及产品选型原则145.1 满足国家管理部门的政策性方面要求145.2 安全产品的选型原则14第六章 网络安全方案设计原则156.1 需求、风险、代价平衡分析的原则156.2 综合性、整体性原则156.
3、3 一致性原则156.4 易操作性原则166.5 适应性及灵活性原则166.6 多重保护原则166.7 可评价性原则16第七章 网络安全体系结构187.1 物理安全187.1.1 环境安全187.1.2 设备安全187.1.3 媒体安全187.2 系统安全197.2.1 网络结构安全197.2.2 操作系统安全197.2.3 应用系统安全207.3 网络安全207.3.1 隔离与访问控制207.3.2 通信保密217.3.3 入侵检测227.3.4 扫描系统237.3.5 病毒防护237.4 应用安全247.4.1 内部OA系统中资源共享247.4.2 信息存储247.5 构建CA体系247.
4、6 安全管理257.6.1 制定健全的安全管理体制257.6.2 构建安全管理平台257.6.3增强人员的安全防范意识25第一章 前 言以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的
5、重要事情之一。政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。FortiNet公司是一家从事网络信息安全研究、产品开发的高科技术企业之一。是一家致力于国际信息安全产业发展的专业安全公司。FortiNet公司已成功开发出具有自主版权的安全产品:FortiGate系列防火墙。该产品是基于ASIC芯片的硬件防火墙,集成了网关级病毒检测和内容过滤功能。该安全产品已获得公安部许可,同时获得了ICSA的Ant
6、iVirus、IPSec和FireWall认证。目前,这些安全产品都已广泛应用于金融、电信、教育等行业。并赢得用户的广泛赞誉。 第二章 网络系统分析2.1 基本网络结构如今随着网络发展及普及,政府行业单位也从原来单机到局域网并扩展到广域网,把分布在全国各地的系统内单位通过网络互连起来,从整体上提高了办事效率。以下是某个政府机关单一个全国网络系统结构示意图: 由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资;而另一方面,更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络,VPN设备可以使网络在升
7、级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。如图2-1示,国家局网络一方面通过宽带网与国家局直属单位互连,另一方面国家局网络经电信公司的专网与各省局单位网络互连;而各省局单位又通过专网与其各自的下属地市局单位互连。本行业系统各局域网经广域线路互连构成一个全国性的企业网(Intranet)。2.2 网络应用对于各级网络系统通过本地局域网,用户间可以共享网络资源(如:文件服务器、打印机等)对于各级用户之间,根据用户应用需要,通过广域网络,各级用户之间可以利用电子邮件互相进行信息交流。而单位间通过网络互相提供浏览
8、器访问方式对外部用户发布信息,提供游览、查询等服务。如发布一些政策、规划;网上报税等。各级用户间还有行业数据需要通过网络进行交换。而这些数据大多都可能涉及到秘密信息。各级单位通过网络召开电视电话会议,比如计论有关一些国家政策性的内容,因此其内容在网上传输也需要保密。通过网络使用单位系统内部的IP电话。第三章 网络安全风险分析网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构
9、和系统的应用等因素密切相关。下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述: 3.1 物理安全风险分析 网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:(1) 地震、水灾、火灾等环境事故造成整个系统毁灭; (2) 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; (3) 设备被盗、被毁造成数据丢失或信息泄漏; (4) 电磁辐射可能造成数据信息被窃取或偷阅; (5) 报警系统的设计不足可能造成原本可以防止但实际发生了的事故。 3.2 链路传输风险分析网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装
10、置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。3.3 网络结构的安全风险分析3.3.1 来自与公网互联的安全危胁如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成
11、为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。3.3.2 内部网络与系统外部网互联安全威胁如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应
12、用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。3.3.3 内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传
13、播出去。种种因素都将网络安全构成很的威胁。3.4 系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些后门或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入
14、侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。3.5 应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。 3.5.1 资源共享政府网络系统内部必有自动化办鹟系统。而办公网络应用通常是共享网络资源,比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必
15、要的访问控制策略。3.5.2 电子邮件系统电子邮件为网系统用户提供电子邮件应用。内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。3.5.3 病毒侵害网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因些,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。3.5.4 数据信息数据安全对对政府行业来说尤其重要,数据在广域网线
