中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com内内 容容 摘摘 要要本文针对浙江广播电视集团网络，以及集团网络安全的建设、改造提出了相应的解决方案，并且从网络和网络安全两个主要方面进行了相关的阐述。首先，对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后，对集团中的计算机网络、以及网络安全的现状进行调查研究。其次，针对浙江广播电视集团的网络现状进行了详细的需求分析。最后，提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后，有助于提高其计算机网络系统的可靠性、以及网络的安全性。关键词关键词：网络系统，数据安全，网络安全，局域网中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.comABSTRACTThe thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio 大楼顶部建设有避雷针。二、所有从网络机房大楼外接入网络机房的数据信号，全部采用光纤接入。三、网络机房内大多配备 UPS 电源系统。四、机房内铺设防静电地板、吊顶，对墙面进行了无尘处理。五、安装机房防盗监控系统。六、配备机房消防系统和应急照明系统。七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电，与楼层内的其它电源系统没有任何连接。第二节 网络应用数据备份在广电集团的计算机网络中大多己经有功能数据备份与恢复系统，它是一套基于磁带介质的备份与恢复系统，有 2 套文件备份的 License 和 1 套 Oracle数据库备份的 License，进行服务器的文件备份和 Oracle 数据库的实时备份和恢复。浙江广电集团网络中已经有了以下几个网络安全方面的考虑:一、病毒防护网络中使用了诺顿病毒防护系统，该病毒防御系统是基于网络的病毒防护系统，在网络内能够远程的安装网络客户端的病毒防护软件，进行病毒特征库的自动更新，集中控制和管理。但是，网络中的病毒防护系统没有集中控制和管理的控制台，不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。二、外网接入安全防护网络目前大多没有单独的外网接入点，没有自己的外网接入安全防护，使用统一的出口和安全策略。三、入侵检测系统中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图 2-1访问用户访问用户访问服务器路由器服 务 器路由器交换机交换机交换机交换机入侵检测系统互联网图 2-1 广电集团入侵检测系统示意图第三节 网络安全弱点分析浙江广电集团网络系统安全弱点主要包括:一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中，一旦发生硬件的安全问题，将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台，一旦操作系统被渗透，就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题，动态连接给厂商提供开发空间的同时为黑客开启了方便之门。三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。四、网络系统弱点： TCP/IP 协议本身的开放性导致网络存在安全隐患。如：TCP/IP 数据通信协议集本身就存在着安全缺点，如：大多数底层协议采用广播方式，网上任何设备均可能窃听到情报； 协议规程中缺乏可靠的对通信双方身份认证手段，无法确定信息包地址真伪导致身份“假冒”可能；由于 TCP 连接建立时服务器初始序号的可推测性，使得黑客可以由“后门”进入系统漏洞。五、通用软件系统弱点:如 Web 服务器等常用应用软件本身可能存在的安全弱点。中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点，由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制，安全体系设计要求具有良好的可扩展性和动态自适应性。八、管理弱点: 工具不多，技术水平不高，意识淡薄，人员不到位。第四节 网络安全风险分析网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点，增加了广电集团网络系统的安全风险。由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性，主要有：一、人为因素：未经授权访问重要信息恶意破坏重要数据数据窃取、数据篡改利用网络设计和协议漏洞进行网络攻击假冒、伪造、欺骗、敲诈、勒索内部人员恶意泄露重要的信息管理员失职二、自然因素：设备的老化火灾、水灾 (包括供水故障)爆炸、烟雾、灰尘通风供电中断电磁辐射、静电以上都可能引起设备的失效、损坏，造成线路拥塞和系统瘫痪等。中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com第三章 集团网络安全需求与安全目标第一节 网络安全需求分析为了确保广电集团网络系统的安全，其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。从安全管理要求来分析，要考虑政策、法规、制度、管理权限和级别划分、安全培训等，特别要考虑基层人员计算机水平不高，系统设计和培训等方面要周密考虑，制定切实有效的管理制度和运行维护机制。从物理安全要求来分析，要根据浙江广电集团实际情况，确定各物理实体的安全级别，建立相应的安全防护机制。从系统安全需求来分析，需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。从网络安全需求来分析，要考虑系统扫描、入侵检测、设备监控和安全审计等，要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性，拨号线路的保密性和身份鉴别。从应用安全和信息安全需求来分析，要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线 WAP 终端及其它终端设备) 以及其中运行的操作系统的安全可靠。因此，广电集团网络系统安全要重点做好以下几方面的工作，同时也是本安全方案的设计需要解决的问题：一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题；二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改等所带来的问题；三、解决重要信息的备份和系统的病毒防范等问题；四、建立系统安全运行所匹配的管理制度和各种规范条例；五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题；六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。第二节 网络安全目标计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内，存在着传输系统的地域分布问题。这些传输通信系统可以是有线的，也可以是无线的。这类传输可以在中途被截获，存在着中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com“中间攻击”的问题。从攻击的手段来看，攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难，网络安全要特别重视防截获，防泄露和信息加密的实施。目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全，概括为确保信息的完整性、保密性、可用性和不可抵赖性。信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看；信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变；信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务；信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。为了更加完整的执行上述网络信息安全的思想，防止来自集团内部局域网上的攻击，又由于浙江广电集团网络连接关系复杂、网络设备多，使用租用的国内的通信线路，存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求：1) 防止计算机病毒的蔓延集团网络众多的用户，可能由于内部管理上疏忽，装入未经杀毒处理的软件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等，这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播，将造成网络软硬件设备的损害以至于整个网络系统瘫痪。2) 加强网络安全的动态防护网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中，使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此，安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段，及时发现网络安全漏洞和各种恶意的攻击手段，及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。3) 保障集团内部业务系统的安全稳定由于涉及省台与各地方台的视频传输，不可避免的会遇上各种各样的问题，因此，在网络层对业务的安全要保障得力，并且要确认信息传输的安全稳定。中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com第四章 集团网络安全解决方案设计第一节 网络监控管理系统由于浙江广电集团的网络建设已有很多年的时间了，其很多网络设备都自带了监控及管理软件或工具，但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题，并且在员工抱怨之前解决问题。这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network 而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内中国最大的论文知识平台中国最大的论文知识平台 www.lwxiezuo.com部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到集团内部网络系统。如图 4-2 所示客户机访问服务器访问代理服务器代理服务器服务器客户机图 4-2 代理型防火墙的工作原理代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。本文将选用业界性能较好的、可靠性较高的 Juniper 的 NetScreen 5200防火墙，该防火墙的技术参数如表 4-1表 4-1 NetScreen 5200 防火墙技术参数表物性/功能NetScreen-5200接口数2 个 XFE 1OGigE，或 8 个 Mini-GBIC, 或 2 个 Mini-GBIC+24 10/100最大吞吐量1OG 防火墙5G 3DES/AFS VPN最多会话数1,000,000最多 VPN 隧道数30,000最多策略数4000,000最多虚拟系统数5最多虚拟 LAN 数4000最多安全区域数默认设置为 16 个，最多增加 1000 个最多虚拟路由器数默认设置为 3 个，最多增加 500 个支持的高可用性模式主用/备用支持的路由协议OSPF, BGP, RIRV1/V2深层检测是集成/重新定向，Web 过滤是/否（二）入侵检测系统的选择这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统 NGIDS-UF。其主要的技术指标如表 4-2中国最大的论文知识平台中国最大的