新疆交通职业技术学院毕 业 设 计设计课题：网络安全与管理 班 级： 网 络 D071 专 业： 计算机网络技术 姓 名： 王 富 国 指导教师： 丁 朝 阳 2010 年 6 月1日摘 要随着计算机在工作生活中应用的普及，人们对网络的依赖也不断上升，各种组织机构的运行也架构在网络环境中，并且由于企业不断扩大规模，网络的规模也越来越大，随之而来的网络管理也带来了越来越多的隐患。有些人利用网络和系统的各种漏洞，非法获得未授权的访问信息，修改破坏各种信息，加以各种病毒黑客的趁机泛滥，给网络造成巨大的威胁，给企业造成重大损失，所以做好企业网络安全与管理的问题是十分重要的，应该充分利用公司现有的资源，通过防火墙、路由器等的合理配置以及VPN等技术的应用，确保企业网络的安全稳定。关键词安全；管理；防火墙；VPN目 录摘 要关键词1、企业网络分析71.1企业网络建设目标分析71.2企业网络建设目标分析81.2.1网络设备配置81.2.2网管系统设计81.2.3内、外网隔离81.3企业网络的需求分析82、企业网络存在的安全隐患92.1内部窃密和破坏92.2网络窃听92.3 非法入侵92.4 完整性破坏102.5 其它网络的攻击102.6 管理及操作人员缺乏安全知识102.7 其它113、安全系统建设原则113.1系统性113.2技术先进性113.3管理可控性113.4可靠性123.5可管理性123.6兼容性133.7系统可伸缩性134、网络安全总体设计134.1 安全设计总体考虑134.2 网络安全144.2.1 网络传输144.2.2 访问控制174.2.3 入侵检测184.2.4 漏洞扫描194.2.5 其它204.3 应用系统安全204.3.1 系统平台安全204.3.2 应用平台安全204.3.3 病毒防护214.4 物理安全254.5 安全管理284.6 安全特性315、安全设备要求325.1 安全设备选型原则 385.2 安全设备的可扩展性395.3 安全设备的升级405.4 设备列表406、技术支持与服务406.1 保障机制416.2 咨询服务416.3 故障响应416.6 性能分析426.7 保修服务错误！未定义书签。6.8 保修期后的技术支持服务错误！未定义书签。6.9 网络安全培训42结束语致 谢参考文献附 录1、企业网络分析1.1企业网络建设目标分析企业主要建设一个管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向企业日常业务、立足生产、面向社会，辅助领导决策的企业网络。本企业网络的目标是建立如下功能：1构造一个既能服务本网络又能与外界进行网络互通、共享信息、资源共享、展示企业信息的企业网络。2选用先进的技术、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法。网络设计完全符合开放性规范，考虑将当前高端品牌的网络产品融于该网络平台之中。该网络具有较好的可扩展性，为今后的网络扩容作好准备。 3采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本。4整个公司计划采用100M光纤接入到运营商提供的Internet。企业统一一个出口，便于控制网络安全。5设备选型上必须在技术上具有先进性，通用性，且必须便于管理、维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务。 1.2企业网络建设目标分析1.2.1网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。1.2.2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。1.2.3内、外网隔离过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。1.3企业网络的需求分析整个企业综合布线系统共包括200个高速信息点，其中数据点70个，无线点130个，企业网络需求信息表1-1如下：单 位网络节点无线点有线点办 公 室90900生产车间30030库 房40400维修车间20020中心机房20020合 计 2001307企业网络总体原则要求如下：1.中心机房设在办公楼，集中办公室所有的信息点以及其他建筑物配线间的上联主干。2.企业网共设3个建筑物配线间，分别为生产车间，库房、维修车间均通过光缆主干连接到中心机房。3.各建筑配物线间之间、数据主干采用多模光纤。4.130个无线点要求提供中程或短程的高速率传输或者远程的低速率传输支持。5.各个代理商通过Internet连接到企业网。2、企业网络存在的安全隐患针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业安全隐患包括以下几方面：2.1内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员和黑客利用其它部门的计算机)通过网络进入企业内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等等)，因此这种风险是必须采取措施进行防范的。2.2网络窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在Internet网络安全的薄弱处进入Internet，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越Internet的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。2.3 非法入侵这种威胁既可能来自企业网内部用户，也可能来自Internet内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。2.4 完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户以及黑客通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。2.5 其它网络的攻击企业网络系统是接入到Internet上的，这样就有可能会遭到Internet上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。2.6 管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训、学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。2.7 其它黑客攻击、内网病毒的防范。蠕虫、冲击波木马等恶性病毒造成网络资源迅速减少；盗用 IP等非法手段访问Internet，分散精力影响工作效率及影响带宽等。3、安全系统建设原则企业网络系统安全建设原则为：3.1系统性企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。 3.2技术先进性企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。3.3管理可控性系统的所有安全设备(管理、维护和配置)都应自主可控；安全系统实施方案的设计和施工单位应具备相应资质并可信。网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。 3.4可靠性本企业网络是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性：系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器）；支持双机或多机高可用结构；配备不间断电源等。软件可靠性：充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性：当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。网络具有较强的容灾容错能力，具有完善的系统恢复和安全机制；网络安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。3.5可管理性企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。3.6兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。3.7系统可伸缩性企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。4、网络安全总体设计一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：1网络系统安全；2应用系统安全；3物理安全；4安全管理；4.1 安全设计总体考虑根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑：1、网络传输保护：主要是数据加密保护2、主要网络安全隔离：通用措施是采用防火墙3、网络病毒防护：采用网络防病毒系统