《企业网络安全问题及对策毕业论文.doc》由会员分享,可在线阅读,更多相关《企业网络安全问题及对策毕业论文.doc(27页珍藏版)》请在金锄头文库上搜索。
1、南京高等职业技术学校毕业设计(论文)题 目 4S企业网络安全问题及对策 院系名称 计算机管理系 班 级 507451 学生姓名 支行 学号 31 指导教师 周 晶 评阅老师 时 间 2011年6月15日 214S企业网络安全问题及对策摘要因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。因此本文对企业网络安全做除了相对应的策略,针对各种不同的威胁与攻
2、击研究了解决它们的相应安全技术。接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的解决方案关键词:网络安全,漏洞,防范策略,发展趋势目录1、 概述12、 全面分析网络安全漏洞22.1 传输信道22.2 操作系统22.3 数据库系统32.4 网络通信协议32.5 Web服务器32.6 病毒方面32.7 数据的安全存放32.8桌面PC设置32.10信息的认证和传输33 整体落实网络安全策略43.1内部网络系统防范措施43.2 外联网系统防范措施54 4S企业网络案例分析75 4S企业安全对策85.1 配置防火墙和入侵检测系统85.2 采用VLAN技术95.3 配置代
3、理服务器95.4 安装杀毒软件95.5 制定安全策略95.6网络的安全是靠安全管理9结论10致谢101、 概述互联网的各种安全威胁时刻影响着企业网的运行和管理,加强企业网的安全管理是当前重要任务。企业网是企业信息系统的核心,必须建立有效的网络安全防范体系保证网络应用的安全。 企业网面临着一系列的安全问题,受到来自外部和内部的攻击(如病毒困扰,非授权访问等)。目前国内许多企业存在校区分散的状况,各校区间通信的安全连接还存在问题。但一般的企业网安全方案存在安全手段单一的问题,大多只是简单地采用防火墙等有限措施来保护网络安全。而这些措施往往存在很大的局限性,它们不能覆盖实现整个企业网安全的各个层次、
4、各个方位,这样的网络系统就存在很多的安全隐患。比如缺乏强健的认证、授权和访问控制等,往往使攻击者有机可乘;管理员无法了解网络的漏洞和可能发生的攻击。传统的被动式抵御方式只能等待入侵者的攻击,而缺乏主动防范的功能:对于已经或正在发生的攻击缺乏有效的追查手段;对从网络进入的病毒等无法控制等,除此以外大多用户安全意识都很淡薄,这些都是我们需要注意和解决的安全问题。本文以“实事求是”的指导思想为原则,从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对4S企业网络的安全问题进行研究,首先分析了企业网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了企业网络的安全问题及对策。本
5、次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出企业网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立企业网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。2、 全面分析网络安全漏洞企业网系统的安全隐患除了来自外联网络系统之外,还有企业网络系统本身的,包括操作系统、数据库系统、网络通信协议等。具体来讲,企业网络系统存在以下几项安全隐患。 2.1 传输信道:不管是内部网络系统,还是外联系统,子网之间的连接总得通过相关传输信道。一般来讲,目前的网络传输主要通过
6、宽带IP、DDN、X.25和PSTN信道。就其传输信道本身来看,存在诸如电磁泄露、信号泄露、监听/干扰、假冒通信和信息假冒等问题。而这些现象又无一例外地要对企业网络构成安全威胁。它们或是因为传输距离太远,或者传输线路质量较差,引起数据传输中的“丢包”现象,从而降低网络传输速度,甚至使远程子网间无法通信。 2.2 操作系统:毫不夸张地说,大多数网络入侵是因为操作系统的漏洞。像主数据库服务器上运行的Unix、Web和OA等辅助服务器上运行的Windows NT或Novell等,无一例外都有漏洞。另外,在大部分网络操作系统中,为用户提供的方便的通信功能和共享设置,也为黑客攻击和病毒感染留下了“可乘之
7、机”,如Unix系统的远程用户登录、NT系统中基于Netbios的文件共享和打印机共享等功能等。 2.3 数据库系统:任何企业网络的数据库中都存放着企业的关键数据和重要资料,一旦因管理员管理不善而造成数据库口令被盗用,就会使貌似安全稳定的企业网络核心机构变得相当脆弱。 2.4 网络通信协议:目前大多数企业网络系统所采用的网络通信协议是TCP/IP、Http、Ftp、Smtp、Telnet等,这些协议大多先天不足和带有安全漏洞。例如,在TCP/IP协议的近期版本中,最大的安全问题是缺乏有效的身份认证和鉴别机制,通信的双方很难确定对方的确切身份及通信时的物理位置等,网络攻击者们往往利用这些安全漏洞
8、来对企业网络进行频繁攻击。 2.5 Web服务器:WWW服务器是内外部网络连接的纽带和堡垒,因而最容易成为黑客主动攻击的对象。 2.6 病毒方面:成千上万的网络病毒肆虐在网络环境中,其危害程度甚至高于黑客的恶意攻击。 2.7 数据的安全存放:由于网络中心,特别是主数据库存放着企业网络全局的所有重要数据,这些数据和信息甚至就是企业的生命,像电信、移动、寻呼等通信企业的数据中心系统所保存的就是所有通信用户的基本信息资料和通信计费数据,如果这样的数据中心遭到毁坏,其后果将使企业遭到灭顶之灾。 2.8桌面PC设置:网管员通常都将安全防范的重点集中在服务器上,忽略了客户机和桌面PC的相关设置。特别是某些
9、网管员在安装软件时,为了方便而将客户机或桌面PC设置为完全共享。而某些工作人员又习惯于将一些自己处理过的企业机密文件存放在自己的文档中,或在自己的硬盘上留有备份,这就有可能使得某些重要文件在内部网上随意地流传,为网络系统留下了安全隐患。2.9关注后院起火:网络内部人员,由于对自己的网络非常熟悉,又位于防火墙后端,也就有可能给网络安全带来威胁。网络中可能存在一些绕过网络出口的通道,例如某些子网擅自和一些外部单位连接、某些PC采用拨号方式上网、某些非内部人员外部拨号进入等等,这些都是极大的安全隐患。 2.10信息的认证和传输:大型企业在组建网络时,典型的方式是企业各部门所建的子网和计算中心子网建立
10、在同一个局域网内,尤其是管理机构位于同一栋大楼中时。这种建制虽然方便了网络的建设与管理,但也使得从网上窃取信息变得更容易。而像电信、移动、银行、税务等单位,是上有省公司(局),下有区、县分公司的大中型企业网络,内部用户较多,可阅览的机密要件的权限也各不相同,这就需要建立一个安全的身份认证和存取控制机制。尤其值得注意的是,传统的印章制度在一定范围内无法发挥作用,这就要求安全系统能提供这方面的保障,使得信息在传输、存储、共享过程中,既不被非法篡改,也无法进行抵赖。 因此,一个网络所受到的安全威胁,既有技术方面的,也有管理方面的;既有来自网络内部的,也有来自网络外部的;既有人为恶意攻击的,也有无意造
11、成的。所以,网络安全是一个系统的、多层面的和全方位的系统工程。 3 整体落实网络安全策略3.1内部网络系统防范措施 病毒防护:有针对性地选择性能优秀的专业网络防病毒软件,是网络系统免遭病毒侵扰的重要保证。如Kill网络防毒软件系统,具有较好的网络病毒防范功能,用户可以根据本企业网络的拓扑结构来选择合适的产品。需要注意的是,一个完善、全面、可靠、实用的网络病毒防御系统,不能仅仅使用一种品牌产品,还应同时结合其他防病毒软件,如瑞星、KV300等一起使用,这样才能有较好病毒防范能力。因为,不同品牌的网络防病毒软件,在病毒防范机制上有完全不同的个性,而当前的网络病毒不但种类繁多,而且病毒破坏原理和方式
12、千差万别,要想彻底剿杀网络中可能存在的病毒,非得采用这种“大兵团”的作战方式不可。 信道传输的安全:有些可以要求信道提供商通过改造线路质量来完善,另外一些则可以由网络系统自己完善。例如,在大中型企业中,技术力量相对较强,大部分数据库信息的采集和处理都需要自已二次开发,这样,就可以注入信道传输方面的安全措施。比如可采用对应用程序加密、对通信线路(主要是DDN)加密,或采用VPN虚拟专用网络等较好的数据安全传输方案,完善网络安全防范体系。 内部网络安全审计:如果说防火墙是一道保卫内部网络的重要关卡,那么网络安全审计则是一支在网络内部值勤的网上巡警。网络安全审计能够帮助对网络进行动态实时监控,可通过
13、寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度。例如,复旦光华S-Audit审计系统,只要安置在大中型企业网络中心数据库服务器所在的网段上,就可保证信息的收集、分析、统计、存储、报警等顺利进行。 内网IP地址与MAC地址绑定:为了从物理上保证网络的安全性,特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料,完全可以将企业内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的惟一性。显然,
14、对于诸如电信、移动、银行、证券、税务等单位,因其网络系统完善、信息点广泛、人手一台PC、每人的口令各自保管,为MAC地址与IP地址捆绑创造了条件。 操作系统和数据库管理:在安装操作系统和数据库后,需要打的补丁一定要打,就是系统运行了一段时间后,厂家再次推出的补丁也最好补上。而该关闭的协议一定要关闭,尽可能踢除一切可能存在的安全隐患。对于数据库,不管是Sybase 还是Lotus Notes,它们都有一套安全机制,可以充分利用,减少内部网络用户利用应用系统漏洞进行的攻击。 主要数据库服务器采用小型机:计算机病毒一般都是针对具有统一、标准、广泛应用的网络环境,所以,现代网络病毒大都是针对Windo
15、ws系列和应用广泛的数据库系统的。有许多事关用户权益的企业,像电信、移动、银行、证券、税务等单位组建的网络系统,其主要数据库服务器不仅硬件必须采用小型机,操作系统也要采用由小型机厂商自己开发的专用产品,数据库也必须是专门为这类小型机开发的。这种专用系统,因其硬件和软件的专用性而无法普及,因而也就不为一般病毒制造者所看好,更谈不上去为此系统专门制造病毒了。 数据备份及恢复系统:大中型企业网络系统,其系统各子网不可能都在同一座大楼内,有许多子网分布在离网络中心几公里甚至几十公里之外的下属单位。一般来讲,可将网络系统的重要数据集中在企业网络中心管理,但有的企业因其业务发展的需要,下面的子网系统也有自己独立的数据库系统,像电信系统,不仅省公司有计费业务系统,地市公司也有计费业务系统,就是县公司也有计费业务系统,这些系统既有上下级之间的关联控制,又有相对的独立性,所以必须建立数据异地备份中心。如采用以太
