重庆工业职业技术学院《信息安全》课程实训报告题目:企业网络安全综合设计方案班级:11信安301姓名:陈巧2011206301111何月2011206301110指导老师:何静责任系部:信息工程学院xx企业网络安全综合设计方案1、企业网络分析xx科技有限公司是一家以信息安全产品销售为主营业务的小型企业,公司网络通过中国联通光纤接入Internet。该公司拥有子公司若干,并与其它信息安全产品销售公司建立了兄弟公司关系。为了适应业务的发展的需要,实现信息的共享,协作和通讯,并和各个部门互连,对该信息网络系统的建设与实施提出了方案。INTERNETF重要部门或工作组部门或工作组业务数据服务器网络管理中心Vpn出差员工Vpn子公司兄弟公司VpnFF2、网络威胁、风险分析2.1黑客攻击“黑客”(Hack)对于大家来说可能并不陌生,他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户,由于黑客技术逐渐被越来越多的人掌握和发展,目前世界上约有20多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而任何网络系统、站点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁。而就目前网络技术的发展趋势来看,黑客攻击的方式也越来越多的采用了病毒进行破坏,它们采用的攻击和破坏方式多种多样,对没有网络安全防护设备(防火墙)的网站和系统(或防护级别较低)进行攻击和破坏,这给网络的安全防护带来了严峻的挑战。2.2网络自身和管理存在欠缺网络的共享性和开放性使网上信息安全存在先天不足,网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理,没有制定严格的管理制度。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃。2.3软件设计的漏洞或“后门”而产生的问题随着软件系统规模的不断增大,新的软件产品开发出来,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,不可能完美无缺。2.5恶意网站设置的陷阱互联网世界的各类网站,有些网站恶意编制一些盗取他人信息的软件,并且可能隐藏在下载的信息中,只要登录或者下载网络的信息就会被其控制和感染病毒,计算机中的所有信息都会被自动盗走,该软件会长期存在你的计算机中,操作者并不知情,如“木马”病毒。因此,不良网站和不安全网站万不可登录,否则后果不堪设想。2.6用户网络内部工作人员的不良行为引起的安全问题网络内部用户的误操作,资源滥用和恶意行为也有可能对网络的安全造成巨大的威胁。由于各行业,各单位现在都在建局域网,计算机使用频繁,但是由于单位管理制度不严,不能严格遵守行业内部关于信息安全的相关规定,都容易引起一系列安全问题。2.7竞争对手的恶意窃取、破坏以及攻击xx企业是以销售为主的it行业,所以用户信息异常珍贵和重要,如果遭到竞争对手的恶意窃取、破坏以及攻击,后果不堪设想。3、安全系统建设原则(1)整体性原则:“木桶原理”,单纯一种安全手段不可能解决全部安全问题;(2)多重保护原则:不把整个系统的安全寄托在单一安全措施或安全产品上;(3)性能保障原则:安全产品的性能不能成为影响整个网络传输的瓶颈;(4)平衡性原则:制定规范措施,实现保护成本与被保护信息的价值平衡;(5)可管理、易操作原则:尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负担,同时减小因为管理上的疏漏而对系统安全造成的威胁;(6)适应性、灵活性原则:充分考虑今后业务和网络安全协调发展的需求,避免因只满足了系统安全要求,而给业务发展带来障碍的情况发生;(7)高可用原则:安全方案、安全产品也要遵循网络高可用性原则;(8)技术与管理并重原则:“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性(9)投资保护原则:要充分发挥现有设备的潜能,避免投资的浪费。4、网络安全总体设计4.1需求分析根据xx企业满足内部网络机构,根据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业系统的特点,本方案主要从以下几个方面进行安全设计:1、数据安全保护,使用加密技术,保护重要数据的保密性.2、网络系统安全,防火墙的设置3、物理安全,应用硬件等安装配置.4、应用系统安全,局域网内数据传输的安全保证.4.2方案综述1、首先设置VPN,方便内网与外网的连接,虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.2、设置防火墙,防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以如果过滤器对传入的信息数据包进行标记,则不允许该数据包通过。能够保证使用的网站的安全性,以及防止恶意攻击以及破坏企业网络正常运行和软硬件,数据的安全。防止服务器拒绝服务攻击.3、网络病毒防护,采用网络防病毒系统.在网络中部署被动防御体系(防病毒系统),采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系。4、设置DMZ,数据冗余存储系统.将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。5、设置数据备份管理系统,专门备份企业重要数据。为避免客观原因、自然灾害等原因造成的数据损坏、丢失,可采用异地备份方式。6、双重数据信息保护,在重要部门以及工作组前设置交换机,可以在必要时候断开网络连接,防止网络攻击,并且设置双重防火墙,进出的数据都将受到保护。7、设置备份服务器,用于因客观原因、自然灾害等原因造成的服务器崩溃。8、广域网接入部分,采用入侵检测系统(IDS)。对外界入侵和内部人员的越界行为进行报警。在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点保护网段的局域网交换机上装上IDS。9、系统漏洞分析。采用漏洞分析设备。5、安全设备要求5.1硬件设备1、pc机若干台,包括网络管理机,员工工作用机;干台,包括网络管理机,员工工作用机;2、交换机2台;3、服务器4台;4、防火墙5台;5、内外网隔离卡6、AMTTinnFORIDS。5.2软件设备1、病毒防御系统;2、查杀病毒软件;3、访问控制设置。6、技术支持与服务6.1虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器.由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。但是,采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。6.2防火墙技术网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.6.2.1包过滤型包过滤型技术是防火墙技术的一种,其技术依据是网络中的分包传输技术.网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.6.3病毒防护技术病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。我们将病毒的途径分为:(1)通过FTP,电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播,主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下:(1)阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新,并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。6.4入侵检测技术入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类:√基于主机√基于网络基于主机及网络的入侵监控系统通常均可配置为分布式模式:(1)在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。6,5安全扫描技术安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。6.6认证和数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面:(1)路由器认证,路由器和交换机之间的认证。(2)操作系统认证。操作系统对用户的认证。(3)网管系统对网管设备之间的认证。(4)VPN网关设备之间的认证。(5)拨号访问服务器与客户间的认证。(6)应用服务器(如WebServer)与客户的认证。(7)电子邮件通讯双方的认证。数字签名技术主要用于:(1)基于PKI认证体系的认证过程。(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。6.7VPN技术完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。企业网络的全面安全要求保证:保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。6.8应用系统的安全技术Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。1、Server经常成为Internet用户访问公司内部资源的通道之一