公司网络安全

二○一一届学生毕业论文（设计）存档编号：毕业论文(设计)论文题目企业网络安全英文networksecurityforSMEs学院数学与计算机科学学院专业计算机网络与技术系姓名梅启浩学号016507202589指导教师汤惟2011年5月20日企业网络安全梅启浩（江汉大学数计学院计算机科学系学号：016507202589）【摘要】企业网络安全是一个企业的命脉，只有创造优秀的网络安全环境才能有利于企业的发展，企业网络安全隐患来源于计算机各个系统单元，同样分为内外两个因素，只有抓住网络安全隐患的核心，才能清楚，明确的创造安全的网络环境。论文通过检测软件的安装，操作系统的设置，防火墙的建立，数据加密等一系列具体的措施来防止企业网络安全隐患。【关键词】企业命脉安全隐患核心监测系统设置操作系统数据加密【Abstract】Enterprisenetworksecurityisthelifebloodofabusiness,onlytocreategoodnetworksecurityenvironmentconducivetothedevelopmentofenterprises,enterprisenetworksecurityrisksfromthevariouscomputersystemunit,isalsodividedintotwofactorsbothinsideandoutside,onlytoseizethecoreofthenetworksecurityrisksInordertoclear,cleartocreateasecurenetworkenvironment.Articlesbydetectingtheinstallationofsoftware,operatingsystemsettings,theestablishmentoffirewalls,dataencryptionandaseriesofspecificmeasurestopreventtheenterprisenetworksecurityrisks.【Keywords】EnterpriselifelineThecoreofsecurityrisksMonitoringSystemSettheoperatingsystemDataEncryption第一章．绪论一、课题背景随着国家网络信息化建设的飞速发展，有越来越多的企业建立起自己的局域网络，应用于文件共享，办公自动化，电子邮件等功能，随着计算机的广泛应用，企业网络的建立，网络安全越来越受到人们的重视，网络安全也成为企业网络建立所必须解决的主要难题，企业网络安全已成为一门具体专业的课程供大学生学习，研究。二、课题研究内容及要求在基于各种网络操作系统的前提下，实现企业网络中计算机，打印机……硬件设备的正常运行，还要以维护系统安全为主要任务。根据企业网络这一具体实例，课题研究的要求具体包括：网络的正常运行，网络管理具体日常事务，网络部署公司计划，发展方向，数据库安全与共享，服务器资料不被窃取，公司各级人员的限制访问权，员工私人资料不被泄露，管理数据库访问权限，分配个人操作等级，用户身份认证，服务器，计算机，网关的防毒，提高内外通信的高效，灵活，员工上网安全等。三、课题预期效果提高企业网络安全管理人员的网络安全技术，了解网络攻击手段，从而做好相应防御措施，还要灵活处理突发状况，降低网络攻击对企业的损失，加强企业员工的网络安全意识，从企业内部降低网络安全风险，从根本上避免降低计算机黑客的病毒攻击，保证网络的正常运行，网络管理具体事务的正常进行，网络部署公司计划，发展方向，数据库及其他服务器资料的秘密性，避免企业员工的越级操作从而导致的各级人员的权限混乱，保证服务器，计算机，网关的防毒安全，通畅企业内外通信的高效，保证员工上网的安全等。四、课题研究的意义对将来从事的网络工作有一定的经验，对企业网络系统有一定的了解，提高了网络安全意识。第二章、企业网络安全框架结构为了能够有效的了解企业和员工的网络安全需求，在选择各种硬件软件的安全行上有必要建立系统的方法进行网络安全防范。使网络安全防范体系的科学性，可行性顺利实施的保障图2-1三维安全防范技术体系框架结构图为三维安全防范技术体系框架结构，第一维是安全服务，给出了8种安全属性，第二维是系统单元，给出了信息网络的组成。第三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联(OSI)模型。框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。第三章、企业网络安全隐患当我们根据以上给出的三维安全防范框架结构，做到企业网络安全体系中的每一个层次，每一个面及面与面之间相接的部分安全，我们就能够做到整个企业局域网络的安全。（一）.物理环境的安全这层次的安全是整个网络安全的基础，只有当我们企业的计算机，打印机，投影机…一系列的硬件设施能过正常的工作，我们才能够考虑其他方面的安全，所以要格外重视物理环境安全包括通信线路安全，设备软硬件安全，运行环境安全。1通信线路安全：线路备份，网管软件，传输介质2设备硬件安全：替换设备、拆卸设备、增加设备3设备软件安全：设备的备份，防灾害能力、防干扰能力4运行环境安全：温度、湿度、烟尘)，不间断电源保障（二）.操作系统的安全性该层次的安全问题来自网络内使用的操作系统的安全，如WindowsNT，Windows2000等。主要表现在三方面：1是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。2是对操作系统的安全配置问题。3是病毒对操作系统的威胁。（三）.网络的安全性该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等。(四).应用的安全性该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。（五）.管理的安全性安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞本章主要讲述企业网络安全隐患，只有找出网络，硬件，环境，操作人员等一系列复杂因素对企业网络安全的影响，才能解决问题，建立一个安全的企业网络环境。第四章企业网络安全措施1.电源管理及监控软件电源管理软件能够对UPS发送的信息进行反应，向用户播放警告讯息，然后等待一定的时间，再进行一个有次序的关机过程。有的电源管理软件还能在关闭整个系统前先关闭正在运行的程序。监控软件则是一种不是必需但很有用的工具。它一般通过图形方式显示出电池电量、主输入电压、剩余供电时间以及UPS状态及其他信息。监控信息一般通过SNMP协议在网络上传输，而不像关机软件使用当地的串口连接以防在断电情况下集线器或路由器失效。当UPS出现异常情况时，它就会在SNMP监测工作站上显示出来。2.控制湿度的措施为了防止机房内湿度的过高或过低以及急剧变化对计算机设备及附属设备的影响，必须采取以下措施，以保证机房内的湿度控制在一个稳定的范围内。1)使用恒温、恒湿装置来调节机房内的湿度；2)在机房内安装除湿机和加湿机；当机房内湿度超过规定值时，使用除湿机使机房内湿度降低；当机房内湿度低于规定值时，使用加湿机对机房内空气进行加湿，提高机房内湿度。3)机房内外为了进行空气交换和维持机房正压值所使用的新风机系统，必须具有加湿和去湿功能。在对送入机房内的新鲜空气湿度过高（大于机房湿度规定的范围）时要进行除湿；过低时要加湿，以保证机房内的空气湿度符合计算机设备及工作人员的要求。3.操作系统安全的实现1、对于系统漏洞：定期的添加servicespack和hotfixes，如果系统没有相关服务，不要随意的安装补丁2、注册表安全性：注册表的结构：相当于win.ini，集中存储了系统的配置信息5个配置单元（hivekey），4个存放于winnt\system32\config目录下：SAM,SYSTEM,SECURITY,SOFTWARE，对此4个文件设置权限，仅允许system账号访问。HARDWARE又称易失关键字，每次系统启动时由ntdetect.com进行硬件检测，将检测的结果只与此关键字中，保存在内存中HKEY_LOCAL_MACHINE(HKLM)是包含操作系统及硬件相关信息(例如计算机总线类型，系统可用内存，当前装载了哪些设备驱动程序以及启动控制数据等)的配置单元。实际上，HKLM保存着注册表中的大部分信息，因为另外四个配置单元都是其子项的别名。不同的用户登录时，此配置单元保持不变。HKEY_CURRENT_USER(HKCU)配置单元包含着当前登录到由这个注册表服务的计算机上的用户的配置文件。其子项包含着环境变量、个人程序组、桌面设置、网络连接、打印机和应用程序首选项(环境变量在Windows2000中被用来允许脚本、注册表条目，以及其它应用程序使用通配符来代替可能会发生改变的重要的系统信息)，存储于用户配置文件的ntuser.dat中。优先于HKLM中相同关键字。这些信息是HKEY_USERS配置单元当前登录用户的SecurityID(SID)子项的映射。HKEY_USERS(HKU)配置单元包含的子项含有当前计算机上所有的用户配置文件。其中一个子项总是映射为HKEY_CURRENT_USER(通过用户的SID值)。另一个子项HKEY_USERS\DEFAULT包含用户登录前使用的信息。HKEY_CLASSES_ROOT(HKCR)配置单元包含的子项列出了当前已在计算机上注册的所有COM服务器和与应用程序相关联的所有文件扩展名。这些信息是HKEY_LOCAL_MACHINE\SOFTWARE\Classes子项的映射。HKEY_CURRENT_CONFIG(HKCC)配置单元包含的子项列出了计算机当前会话的所有硬件配置信息。硬件配置文件出现于WindowsNT版本4，它允许你选择在机器某个指定的会话中支持哪些设备驱动程序。这些信息是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet子项的映射。HKEY_LOCAL_MACHINE(HKLM)的子树：HARDWARE：在系统启动时建立，包含了系统的硬件的信息SAM：包含了用户帐号和密码信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含应用程序的配置信息SYSTEM：包含了服务和设备的配置信息以上这些HKEY项在哪里？如何管理和设置？设置注册表的权限：WindowsNT：使用C2Config和C2regacl.infWindows2000：使用组策略审核注册表：3、禁止和删除不必要的服务删除OS/2和POSIX在web服务器上禁止serverservices在firewall上过滤相应的数据包4、保护网络连接安全性：SMBconnectionprocessEstablishaTCPconnectionnegotiatedialectsetupSMBsessionaccessresourcePcnetworkprogram1.0Microsoftnetworks1.03Lanman1.0LM1.2X002LanMan2.1WindowsNTLM禁止匿名连接：HKLM\SYSTEM\CCS\control\lsa\restrictanonymous=1服务器控