中小型企业网络安全规划设计与实施Word格式.docx
《中小型企业网络安全规划设计与实施Word格式.docx》由会员分享,可在线阅读,更多相关《中小型企业网络安全规划设计与实施Word格式.docx(20页珍藏版)》请在冰豆网上搜索。
目录II
第1章绪论2
研究的背景2
研究的意义2
研究内容2
第2章中小型企业网络安全问题及规划设计2
中小型企业网络安全存在的问题2
网络系统平台安全系统设计2
微软域用户策略部署方案设计2
防火墙部署及VLAN规划设计2
用户权限管理系统设计2
用户与角色管理设计2
资源管理设计2
审计管理设计2
防病毒系统设计2
第3章网络安全方案实施2
域策略及复杂密码策略的实施2
网络VLAN划分及防火墙实施2
补丁自动更新策略的实施2
杀毒软件的下载及使用2
结束语2
参考文献2
致谢2
第1章绪论
研究的背景
随着计算机技术的飞速发展,通过网络传输的各种信息越来越多,各种计算机应用系统都在网络环境下运行。
目前中小型企业许多重要信息都存储在网络服务器中,因此网络系统的安全至关重要。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无序状态,使网络自身安全受到严重威胁。
中小型企业在网络安全上同样面临许多问题,例如邮件传输安全问题,大量垃圾邮件攻击问题,病毒传播问题,信息资源非法访问等问题,这就要求我们对网络系统安全性进行深入研究和分析,建立一套安全的网络系统架构。
本文主要针对中小型企业目前存在的典型网络安全问题进行分析研究,规划相应的安全设计,找出相应的解决措施。
通过一系列安全设计和安全措施的实施,有效地提高了中小型企业网络系统的安全性,保证企业网络信息系统的安全运行。
研究的意义
目前我们许多数据的存储和传输以及许多业务的交易都是通过网络进行的,因此网络系统的安全非常重要。
许多地区都出现了基于网络的犯罪行为,黑客攻击,数据资料泄密,病毒破坏等已经成为制约网络发展的重要因素。
国内外都开展了许多基于网络安全的研究工作,如防火墙技术、防病毒技术、入侵检测技术等,并推出了许多基于网络安全的产品。
随着网络应用的不断深入,对网络安全的要求不断提高,同时许多破坏网络安全的手段也越来越高明,这就要求我们不断深入研究各项网络安全新技术,并将其应用到网络中,进一步提高网络的安全性,才能满足快速发展的基于网络的各项应用的要求
研究内容
本文对中小型企业网络信息安全的规划设计和实施进行了全面系统的论述,主要内容如下:
第一章介绍了本项目的实施的背景与意义。
第二章论述了网络安全问题和规划设计,主要从网络系统平台安全设计、用户权限设计、防病毒系统规划设计等几个方面进行了详细论述。
第三章论述了网络平台安全系统的实施,包括域用户策略、VLAN和防火墙、复杂密码策略、补丁更新策略及传输加密系统的实施。
最后主要对网络系统安全规划设计和实施过程进行总结。
虚拟局域网(VLAN)在企业中的应用
网络VLAN技术近年来已经发展成为由具有交换功能的局域网解决方案的整合主要功能之一。
随着网络硬件性能的不断提高、成本的不断降低,目前新建立的局域网基本上都采用了性能先进的快速以太网或千兆网技术,其核心交换机采用三层交换机,它能很好地支持VLAN技术,从而使网络工作组的划分突破了地理位置的限制,而完全可以依据管理功能来划分[7]。
对以前很多企业网而言一般都采用的是交换技术的网络模式,它们往往采用物理网络的手段进行网络结构的划分,这种划分可能导致网络安全和运行效率方面存在缺陷,在一定程度上也限制了网络的灵活性。
VLAN的出现则解决了这个问题,一个VLAN可以根据不同部门职能、对象或者应用将不同地理位置的网络用户进行划,并分为个逻辑网络。
一个端口只能标记一个VLAN,—个VLAN中的所有端丨只能拥有一个广播域,而处于不同VLAN的端口则可以共享不同的广播域,所以说对企业网老说,VLAN技术提供了一个网段和机构的弹性及合机制,从而避免了广播W暴的产生。
一般而言,一个大型集团企业往往有若干个二级单位,可以釆用VLAN的划分技术,进行虚拟局域网的设置来保证集团整体网络的运行稳定性以及不同职能部门管理的安全性和方便性。
第2章中小型企业网络安全问题及规划设计
中小型企业网络安全存在的问题
现有的企业网络主要存在下面的问题:
1、弱口令造成信息泄露的威胁
由于中小型企业应用系统较多,部分员工安全意识淡薄,许多应用系统登陆密码非常简单,复杂度不够,使系统密码容易被破译。
中小型企业目前使用的各类系统较多,包括邮件、ERP、内部办公网,电子商务系统等,面对众多的系统,员工要设置各类账户的密码,非常繁琐,而且不便于记忆,因此许多员工将密码设置为简单密码,并且长期不对密码进行更改。
这样容易产生信息泄露问题,一些攻击者会窃取密码,非法进入系统获取系统资料。
如果重要资料被窃取,将会产生严重后果。
2、网络病毒的威胁
中小型企业员工数量较多,绝大多数员工都配有单独使用的计算机,并且所有计算机都可以访问互联网。
员工根据自己的情况自行安装防病毒系统,由于员工对病毒预防知识和防病毒软件的使用方法掌握情况不同,部分员工不能够正确使用防病毒系统,不能够保证防病毒代码和病毒库的及时更新,因此容易造成计算机感染病毒。
当感染病毒的机器增多后,会引起部分网络或者整个网络速度急剧下降甚至瘫痪,造成许多员工无法正常上网。
部分员工的计算机由于感染病毒
而无法正常工作,有些计算机还出现计算机数据丢失等问题,严重影响公司员工正常工作。
另外感染病毒的员工因重装系统而占用许多工作时间,影响工作的正常进行。
3、企业主干网没有划分VLAN
中小型企业网络系统庞大,众多计算机都在同一网段上,系统没有划分VLAN,使网络中某一点出现故障就会影响一片。
而且因为没有划分VLAN,计算机可以随意访问。
出现网络事故,很难追查,出现网络故障也不方便定位。
4、安全漏洞
只要有程序,就可能存在漏洞,现行的各种操作系统及应用软件都不同程度地的存在漏洞,几乎每天都会有新的漏洞被发现并公布出来,另外,操作系统本身存在一些隐蔽通道,这些都有可能成为黑客的通道。
同时,操作系统都包含了一些常见的通用。
同时,操作系统都包含了一些常见的通用服务,如果安装时没有关闭不相关的服务,就有可能成为黑客入侵的途径。
只要拥有一定技术心怀不轨的人,都可能利用这些漏洞进行攻击,从而使某些程序或整个网络丧失功能,或者窃取数据,直接威胁到企业的网络安全。
5、没有保障的信息安全
由于管理、资金和技术等方面的原因,中小企业的安全问题一直隐患重重。
中小企业的信息安全管理在安全性方面普遍存没有严格的规范和制度,存在着严重漏洞,人员的素质和技术水平与大型企业相比,有较大的差距,所有在企业信息安全的内部脆弱性比大型企业存在更多的漏洞和不足。
因为企业内部威胁也外部威胁提供了可能。
由于网络维护、运行、升级等事务性工作繁重而且成本较高,这也使得善于精打细算的中小型企业在信息安全管理上进退两难。
中小型企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。
这样的网络通常很少甚至没有专门的管理员来维护网络的安全,这就给黑客和非法访问提供了可乘之机。
6、计算机命名不规范
中小型企业网络中计算机数量非常多,但由于中小型企业没有制定统一的命名规范,许多计算机用户根据自己的喜好随意命名,一旦计算机出现问题,如感染病毒,影响网络正常运行时,无法定位具体的计算机并确定计算机的使用人员,因此不能够及时排除故障,影响问题解决的时间。
7、用户权限混乱
随着信息化建设的深入,越来越多的重要信息存放在网络信息系统中,对于信息的安全管理越来越重要。
但由于系统设计之初,信息量较少,缺乏对权限控制的有效管理,许多用户可以存取或更改与用户本身的权限不相符的信息。
同时,由于权限管理不严格,部分重要信息被非法用户窃取,造成信息系统安全隐患。
网络系统平台安全系统设计
网络系统平台主要是指中小型企业员工使用的网络系统设施,以及数据传输等应用,通过对网络平台实施各项安全措施,将有效提高网路系统的安全性和稳定性,保证网络系统的安全稳定地运行。
微软域用户策略部署方案设计
随着互联网的不断发展、中小型企业局域网和广域网规模和复杂性的不断提高以及各种应用系统的开发和投入使用,基于目录服务的需求也不断增多。
中小型企业网络由局域网和广域网构成,中小型企业总部局域网通过防火墙接入互联网,中小型企业与各地平台通过VPN进行连接。
如图2-1所示:
图2-1中小型企业网络拓扑
根据中小型企业网络系统结构,考虑整个中小型企业局域网内部员工及各地平台员工都能方便快捷地加入并登陆域,获取域中的各项信息,同时又能够保证域控制器系统稳定运行,在域架构设计中采用以下模式:
中小型企业总部采用3台域控制器,将域的各项角色分配在不同的服务器上,同时3台域控制器在域账号等信息上互相同步,在每一个分支机构平台上部署2台域控制器,两台域控制器互为备份,同时每隔一段时间和中小型企业总部进行信息同步。
中小型企业每位员工都要求登录域,登陆域后可以访问中小型企业的相关资源,同时可以通过域控制器来部署相关的安全策略。
复杂密码策略是其中一项重要策略。
复杂密码是指密码长度8位以上,使用大写、小写、数字和特殊字符其中3种以上字符。
由于复杂密码使用字符种类较多,扩大了密码空间,同时对最小密码长度进行了限制,因此有效地增加了密码的安全性,防止不法分子利用密码破译工具进行破译,保证了系统的安全性。
目前中小型企业网络规模庞大,计算机数量较多,由于计算机使用人员技术水平和安全意识参差不齐,导致一些计算机出现安全漏洞和感染病毒等问题,影响整个网络系统的稳定运行,因此需要在整个网络中建立计算机快速定位系统,一旦在网络上监测到计算机出现问题,能够快速准确地查找到计算机和相关使用人员,尽快解决问题。
防火墙部署及VLAN规划设计
为了提高进一步提高网络系统的安全性,在中小型企业内部实施了防火墙部署和VLAN的划分。
在中小型企业广域网的主要互联网出口都配置防火墙,在防火墙的DMZ区域主要放置公司需要对外发布的服务器,员工使用的计算机和对内发布的应用系统全部位于内部安全区域内,员工通过防火墙NAT,转换形式访问互联网。
VLAN技术己经成为提高网络运转效率、提供最大程度的可配置性而普遍采用非常成熟的技术,因此中小型企业内部整个局域网络采用VLAN划分技术,将局域网络划分成不同的子网,各子网之间的访问受到限制,避免病毒的传播及信息泄露。
另外VPN技术已经成为在广域网和互联网上进行安全、可靠、保密信息传输和应用操作的首选技术,中小型企业信息系统要满足移动办公、异地办公、Extranet等当前和未来的需求,相应的网络技术必须支持VPN技术。
中小型企业采用CISCO6513和CISCO4507作为整个网络的主交换系统,利用两台交换形成双机热备,每台交换机上默认的VLAN1作为管理VLAN,配置相应的IP地址,并在CISCO6513和CISCO4507上划分十五个VLAN,用作管理VLAN的VLAN1是默认的,不用划。
VLAN间做路由,使各个VLAN间可以互相访问。
所有交换机采用VTP技术,把CISCO6513和CISCO4507设为VTPSERVER,所有CISCO3550-48-SMI交换机设为VTPCLIENT,VTPDOMAIN均设为LANGCHAO,CISCO6513和CISCO4507与所有CISCO3550-48-SMI之间分别做TRUNK,封装类型选择ISL。
使用这项技术,只需要在CISCO6513上划分好所有的VLAN,CISCO4507和CISCO3550-48-SMI交换机就会自己学到所有的VLAN,不需要再额外划分,不仅可以大大减少工作量,而且还可以大大提高网络的易维护性。
网络VLAN划分情况如图2-2所示:
图2-2网络VLAN划分示意图
VLAN不受楼和交换机的限制,即VLAN可以跨楼和跨交换机。
各个楼和各个交换机上的同名称VLAN属于同一个VLAN,例如VLANXINXIGUANLI,无论哪栋楼上的和哪个交换机上的,只要名称是VLANXINXIGUANLI上的数据,CISCO6513和CISCO4507交换机就知道是来自同一VLAN的数据。
用户权限管理系统设计
随着各项应用系统的实施,越来越多的信息资源存放在网络服务器中,对于各类资源访问的权限控制就显得越来越重要,本项目通过实施权限管理系统,对访问信息资源的权限进行有效管理。
权限管理系统将用户、角色权限、能够访问的数据资源进行了清晰的界定。
用户同角色关联,角色同功能权限关联,从而有效的实现了权限管理的控制。
权限管理系统包括用户/角色管理、自助服务、资源管理、审计管理四个部分。
用户/角色管理是针对用户、角色、角色模板以及不相容角色集等进行管理;
自助服务主要完成切换机构、重置密码、修改个人信息等操作;
资源管理主要是定义系统可访问的资源;
审计管理则是针对系统管理人员来完成在线用户的查询、在线用户历史记录的查询以及系统的安全日志管理等。
用户与角色管理设计
用户管理主要实现在系统中根据业务需要对用户进行管理,包括增加用户,修改用户和删除用户等;
在整个系统设立一个隶属于中小型企业的中小型企业公用账号,授予该账号的权限被中小型企业内的所有用户自然继承;
进行安全级别管理,对于赋予该用户的数据资源进行过滤,如果该用户的安全级别低于赋予的数据资源的级别,则用户不能访问该资源;
每次创建一个法人组织机构,就自动创建一个该法人组织机构下的公司级公用账号,授予该账号的权限被法人内部的所有用户自然继承。
除中小型企业公共用户和公司级公共用户之外的用户必须自动代理中小型企业公共账号和公司级公共用户。
角色管理主要实现根据业务需要对系统中的角色进行管理,包括对角色的增加、修改和删除。
不相容角色之间不能建立继承关系。
不相容角色集建立后,在赋予用户角色时,可以检查赋予的角色是否冲突,如果角色不相容,系统会自动提示。
系统管理员操作功能用例图见图2-5:
图2-5系统管理员操作功能用例图
用户与角色管理数据库主要用于用户数据登陆验证,存储用户信息,角色信息以及用户信息与角色信息之间的关联信息等,部分数据库列表如下:
表2-1用户信息数据库表
字段名称
数据类型
字段长度
字段含义
Userid
Bigint
8
用户编号
Username
Varchar
15
用户姓名
Password
10
口令
Email
80
邮件地址
Permissions
Tinyint
1
权限
RegTime
Datetime
注册时间
LastLogin
最后登录时间
LoginAccount
smallint
2
登录计数
表2-2角色信息数据库表
Roleid
角色编号
Roleenname
角色英文名称
Rolecnname
角色中文名称
Roleadmin
Tinvint
管理员权限
表2-3角色资源数据库表
Resourceid
资源编号
Ruletypeid
char
规则类型编号
资源管理设计
数据资源管理主要实现定义可访问的数据资源,根据业务需要对数据资源进行查询和维护等工作,一般情况下,该功能由超级管理员或系统管理员进行操作。
数据资源管理主要用于可访问资源的定义和管理等,部分数据库列表如表2-4:
表2-4数据资源数据库表
Consulttype
4
参考类型
Typename
Char
类型名称
Dataresource
数据对象来源
Selectfield
选择的字段
Fielddescrip
选择字段描述
Dispfield
显示字段
Dispfielddescrip
显示字段描述
Filtercondition
过滤条件
Remark
20
备注
审计管理设计
审计管理主要包括在线用户管理,在线用户历史记录管理,安全日志管理等功能,通过审计管理系统的实施,增强了系统的安全性。
在线用户管理主要实现根据业务需要对在线用户进行查询,可以查看在线用户的详细信息,必要时还可以终止特定用户的会话。
在线用户历史记录管理的主要功能是根据业务需要查询出用户的在线历史记录,此功能主要由超级管理员和系统管理员进行操作。
安全日志管理主要实现根据业务需要对时间段内用户的操作进行查询审计,可以查询时间段内所有用户做的操作,并可以批量删除某时间段的内容。
安全日志管理还可以选择某一账户来查看该账户的明细,并对某一账户在某一时间段进行会话追踪。
系统管理员操作功能用例图见图2-6:
图2-6系统管理员操作用例图
审计管理主要实现对用户的访问记录进行管理的功能,部分数据库列表设计如表2-5:
表2-5用户访问记录表
用户帐号
12
用户名称
Ipaddress
16
用户IP地址
Indatatime
18
访问时间
Recordtype
Int
日志类型
Operationtype
操作类型
Outdatatime
Datatime
退出时间
防病毒系统设计
由于中小型企业员工较多,而且每人一台计算机,另外中小型企业应用服务器也比较多,网络规模较大,因此在防病毒部署上需要全面考虑。
(l)进行全方位,多层次防病毒部署
部署多层次病毒防线,分别是服务器防病毒、邮件防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范;
(