搜索
1目录一前言…………………………………………………………3二公司环境分析………………………………………………31内部网络环境………………………………………………32外部网络环境分析…………………………………………43系统漏洞带来的安全隐患…………………………………54安全需求分析………………………………………………6三防范体系分析………………………………………………71安全方案设计原则…………………………………………72网络安全体系结构…………………………………………93安全解决配置方案…………………………………………15四防范体系实施………………………………………………171采用网络版杀毒软件进行查毒、防毒……………………172可靠的防火墙技术及配置…………………………………183文件备份系统的实施………………………………………20五结论………………………………………………………21致谢……………………………………………………………22参考文献…………………………………………………………222北京sw企业网络安全的实现摘要网络安全系统问题直接关乎着企业的切身利益,为保护公司网络资源与技术专利的安全性,本论文针对北京sw公司的网络安全系统问题进行精密细致的研究,通过大量资料、数据对企业所面临的外部和内部网络安全问题进行了分析和判断,并在理论层面对公司现存网络病毒体系提出了建议,致力于建立一款符合公司本身网络安全系统的病毒防御体系,从而确保商业及技术机密不会被竞争对手盗用.关键词:网络安全病毒防范体系3一前言目前网络发展迅速,经常存在公司网络资源与技术专利被盗用的情况,这不仅给企业带来了不必要的麻烦,而且损害了企业的根本利益。本方案即是针对网络安全可能出现的的安全隐患和问题为sw公司局域网网络安全病毒防御体系的建立方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等,以公司现有病毒防御体系为主体,分别对“网络环境(其中包括外部网络、内部网络)、“现存防范体系的隐患”、“新建网络安全病毒体系”、“实施及支持系统”进行了较为详细的分析论述。第二章是现有网络环境分析,内部环境通过对本公司现有防范体系进行分析,找出漏洞,外部环境从国内现有的网络病毒入手,着重分析了目前国内最流行的病毒种类,发作机理,中毒的表现特征等。第三章针对现有防范体系的漏洞,做出一套完全适合公司的防范体系,从而可以更好的保护公司资源,防止信息泄漏。第四章介绍了该网络防护系统的实施及支持系统,其保证措施是进行内部网络与外部网络的融合、进一步放大技术优势,并采取一系列措施,其中包括:1.采用网络版杀毒软件进行查毒、防毒;2.可靠的防火墙技术及配置;3.文件备份系统的实施;本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。二网络环境分析1.内部网络环境sw公司的局域网按访问区域可以划分为三个主要的区域:4Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、设计子网、中心服务器子网、办公子网等。sw公司是一家集设计、制造、施工为一体的高新技术企业。2.外部网络环境分析随着Internet网络的急剧扩大和上网用户的迅速增加,网络安全风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。针对sw公司局域网中存在的安全隐患,在进行安全方案设计时,病毒入侵的安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。病毒传播具体有以下几种:(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中。一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个5计算机上。由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。1)感染速度快2)扩散面广3)传播的形式复杂多样4)难于彻底清除5)破坏性大6)可激发性7)潜在性3.系统漏洞带来的安全隐患系统漏洞并不是病毒,但是它往往为病毒所利用,成为入侵系统影响安全的“快速路”。下面谈谈我对系统漏洞的一些了解。1)什么是系统漏洞?漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。对用户操作造成不便,如不明原因的死机和丢失文件等。综上所述,仅有堵住系统漏洞,用户才会有一个安全和稳定的工作环境。2)如何处理系统中的漏洞Windows操作系统的漏洞,某些由于软件设计失误而产生,另一些则由于用户设置不当所引发,均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决,如下所述:(1)针对设计错误,微软公司会及时推出补丁程序,用户只需及时下6载并安装即可,因此建仪户经常浏览微软的安全公告,并及时下载补丁,官方网址为:(2)对于设置错误,则应及时修改配置,使系统更加安全可靠。总而言之,随着网络的不断发展,全球信息化已成为人类发展的大趋势.尽管网络也会受到病毒、黑客、怪客、恶意软件和其他不轨行为的攻击,但我们不能不用电脑,我们也不能不用网络,只是我们今天更需要安全的电脑网络.4.安全需求分析通过前面我们对这个企业内外部网络环境分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒以及系统漏洞的维护上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:防止黑客从外部攻击,入侵检测与监控,病毒防护,数据安全保护,数据备份与恢复,修补系统漏洞。针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:1.大幅度地提高系统的安全性(重点是可用性和可控性);2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;75.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用。基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:建立一套完整可行的网络安全与网络管理策略,将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信,建立网站各主机和服务器的安全保护措施,保证他们的系统安全,对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝,加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志,备份与灾难恢复,强化系统备份,实现系统快速恢复,加强网络安全管理,提高系统全体人员的网络安全意识和防范技术三防范体系分析尽管多年来全球无数网络安全专家都在着力开发病毒防范系统的解决办法,但到目前为止收效不大,这是因为病毒攻击通常利用了系统刚暴露出来的系统漏洞进行攻击,并且各种变种层出不穷,令杀毒软件疲于应付。病毒攻击使目标系统完全瘫痪,甚至破坏整个网络。因此只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置。1安全方案设计原则在对这个企业局域网网络系统安全方案设计、规划时,应遵循以8下原则:整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。易操作性原则:安全措施需要人为去完成,如果措施过于复杂,9对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。想一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。2网络安全体系结构通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理。(1)物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括环境安全、设备安全、10媒体安全。环境安全,是对系统所在环境的安全保护。设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全,包括媒体数据的安全及媒体本身的安全。(2)网络结构安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,有利于维护管理,有利于更高的安全控制和业务发展。网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。(3)网络系统安全A.访问控制及内外网的隔离访问控制可以通过如下几个方面来实现:1.制订严格的管理制度2.配备相应的安全设备防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出11网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;