企业网络安全管理案例论文Word下载.docx
《企业网络安全管理案例论文Word下载.docx》由会员分享,可在线阅读,更多相关《企业网络安全管理案例论文Word下载.docx(21页珍藏版)》请在冰豆网上搜索。
二、企业网络安全现状分析3
(一)公司背景3
(二)企业网络安全设计要求3
(三)需求分析3
(四)企业网络结构4
三、企业网络安全解决实施5
(一)宏锦网络企业物理安全5
(二)宏锦企业网络VLAN划分5
(三)宏锦企业网络防火墙配置6
(四)宏锦企业网络基于Snort的IDS配置8
(五)宏锦企业网络防病毒措施14
四、宏锦企业的网络管理16
(一)宏锦企业网络管理的问题16
(二)宏锦企业网络管理实施17
五、网络安全系统验收18
(一)网络系统的初步验收18
(二)网络系统的试运行18
(三)交接和维护18
总结20
参考文献21
绪论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。
经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。
计算机网络规模不断扩大,网络结构日益复杂。
计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。
信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。
像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。
除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。
网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:
轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。
但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。
因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。
因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
一、企业网络安全概述
(一)企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括:
1.病毒、木马和恶意软件的入侵。
2.网络黑客的攻击。
3.重要文件或邮件的非法窃取、访问与操作。
4.关键部门的非法访问和敏感信息外泄。
5.外网的非法入侵。
6.备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;
加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;
同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;
根据企业实际需要配置好相应的数据策略,并按策略认真执行。
(二)企业网络的安全需求
根据风险分析,应该采取以下防范措施:
1.安装杀毒软件
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,要在电脑上安装最新版的杀毒软件,并经常更新病毒库,防止计算机感染病毒。
2.安装防火墙
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。
3.安装入侵检测系统
入侵检测系统(IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。
4.进行数据备份
在工作生活学习中,只要发生数据传输、数据存储和数据交换,就有可能产生数据故障。
这时,如果没有采取数据备份和数据恢复手段与措施,就会导致数据的丢失。
有时造成的损失是无法弥补与估量的,所以做好数据备份是十分重要的。
二、企业网络安全现状分析
(一)公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。
公司有一个局域网,约100台计算机,服务器的操作系统是WindowsServer2003,客户机的操作系统是WindowsXP,在工作组的模式下一人一机办公。
公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。
随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
(二)企业网络安全设计要求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。
企业分为财务部门和业务部门,需要他们之间相互隔离。
同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。
因此本企业的网络安全构架要求如下:
1.根据公司现有的网络设备组网规划
2.保护网络系统的可用性
3.保护网络系统服务的连续性
4.防范网络资源的非法访问及非授权访问
5.防范入侵者的恶意攻击与破坏
6.保护企业信息通过网上传输过程中的机密性、完整性
7.防范病毒的侵害
8.实现网络的安全管理。
(三)需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
因此需要:
1.构建良好的环境确保企业物理设备的安全
2.划分VLAN控制内网安全
3.安装防火墙体系
4.组建入侵检测系统
5.安装防病毒服务器
6.加强企业对网络资源的管理
(四)企业网络结构
宏锦网络公司网络拓扑图,如图1所示:
图1企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。
防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0255.255.255.0。
防火墙接客户区端口地址为10.1.1.1255.255.255.0。
DMZ内主要有各类的服务器,地址分配为10.1.2.0255.255.255.0。
防火墙DMZ区的接口地址为10.1.2.1255.255.255.0。
内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
三、企业网络安全解决实施
(一)宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。
物理安全在整个计算机网络信息系统安全中占有重要地位。
它主要包括以下几个方面:
1.保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。
要从一下三个方面考虑:
a.自然灾害、物理损坏和设备故障
b.电磁辐射、乘机而入、痕迹泄漏等
c.操作失误、意外疏漏等
2.选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。
与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。
3.保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。
机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
(二)宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门VLAN10 交换机S1接入交换机(神州数码DCS-3950)
业务部门VLAN20 交换机S2接入交换机(神州数码DCS-3950)
核心交换机VLAN间路由核心交换机S3(神州数码DCRS-5526)
(三)宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800SUTM,里面包含了防火墙和VPN等功能。
以下为配置过程:
在防火墙NAT策略下面,新增NAT。
如图2:
图2新增企业防火墙策略示意图
源域:
untrust;
源地址对象:
any;
目的域:
trust;
目的地址对象:
在全局安全策略设置里面如图3和图4所示:
图3企业防火墙策略配置示意图
图4企业防火墙策略配置示意图
图5企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。
这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。
动作包括permit允许,拒绝deny,以及其他的特定的服务。
这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。
但是处于中间位置的DMZ可以允许Inteneter的访问。
所以要添加好几条NAT策略。
在网络接口处如图6所示:
图6网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:
l2-trust,eth0:
l2-untrust,eth2:
l2-DMZ。
其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。
如图7所示:
图7以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:
10.1.1.1,eth210.1.2.1。
(四)宏锦企业网络基于Snort的IDS配置
基于宏锦企业的情况,我们选用Snort软件组建一个轻量级的入侵检测系统(IDS)。
首先安装Snort,默认安装到c:
\snort;
安装配置Mysql数据库,默认安装到c:
\mysql。
1.配置Snort
编辑c:
\snort\etc\snort.conf,需要修改的地方包括:
includeclassification.config和includereference.config。
改为绝对路径:
includec:
\snort\etc\classification.config和includec:
\snort\etc\reference.config。
设置snort输出alert到mysqlserver:
outputdatabase:
alert,mysql,host=localhostuser=snortpassword=snortdbname=snort
测试Snort是否正常工作:
c:
\snort\bin>
snort-c"
\snort\etc\snort.conf"
-l"
\snort\log"
-vdeX
2.测试Snort
启动Apache和mysql服务。
netstartapache2netstartmysql
运行ACID:
打开浏览器,地址为http:
//127.0.0.1/acid。
如图8所示,则表示ACID安装成功。
图8ACID设置成功
3.运行Snort:
在运行中输入命令c:
\snort\bin\snort-c"
-de,如果有图9所示,说明Snort可以正常运行。
图9Snort正常运行
4.完善配置文件
1)打开c:
/snort/etc/snort.conf文件,查看现有配置。
2)设置snort的内、外网检测范围。
将snort.conf文件中varHOME_NETany语句中的any改为自己所在的子网地址,即将snort监测的内网设置为本机所在局域网。
如本地IP为192.168.1.10,则将any改为192.168.1.0/24。
并将varEXTERNAL_NETany语句中的any改为!
192.168.1.0/24,即将snort监测的外网改为本机所在局域网以外的网络。
3)设置监测包含的规则。
找到snort.conf文件中描述规则的部分,如图10所示:
图10snort.conf文件中包含的检测规则文件
前面加#表示该规则没有启用,将local.rules之前的#号去掉,其余规则保持不变。
5.使用控制台查看检测结果
1)启动snort并打开acid检测控制台主界面,如图11所示:
图11ACID检测控制台主界面
2)点击右侧图示中TCP后的数字“80%”,将显示所有检测到的TCP协议日志详细情况,如图12所示:
图12TCP协议日志网页
TCP协议日志网页中的选项依次为:
流量类型、时间戳、源地址、目标地址以及协议。
由于snort主机所在的内网为202.112.108.0,可以看出,日志中只记录了外网IP对内网的连接(即目标地址均为内网)。
3)选择控制条中的“home”返回控制台主界面,在主界面的下部有流量分析及归类选项,如图13所示:
图13acid检测控制台主界面
4)选择“last24hours:
alertsunique”,可以看到24小时内特殊流量的分类记录和分析,如图14所示:
图1424小时内特殊流量的分类记录和分析
可以看到,表中详细记录了各类型流量的种类、在总日志中所占的比例、出现该类流量的起始和终止时间等详细分析。
6.配置snort规则
下面我们练习添加一条规则,以对符合此规则的数据包进行检测。
\snort\rules\local.rules文件,如图15所示:
图15local.rules文件
2)在规则中添加一条语句,实现对内网的UDP协议相关流量进行检测,并报警:
udpids/dns-version-query。
语句如下:
alertudpanyany<
>
$HOME_NETany(msg:
"
udpids/dns-version-query"
;
content:
version"
)
保存文件后,退出。
3)重启Snort和acid检测控制台,使规则生效。
7.利用Snort检测ping攻击。
Snort主要是利用模式匹配的方法检测攻击。
其特征值保存在Rules文件夹中。
其中icmp-info.rules文件中的规则alerticmp$EXTERNAL_NETany->
ICMPLargeICMPPacket"
dsize:
800;
reference:
arachnids,246;
classtype:
bad-unknown;
sid:
499;
rev:
4;
)用于检测大的ping包,长度超过800的包即被认为是大包。
运行Snort,并且用长度超过800的大包去ping靶机。
Ping192.168.1.10-l801-t(IP地址为靶机地址)
同时打开ACID,看是否有ICMP类报警产生。
如图16所示:
图.16使用ACID查看检测结果
8.利用Snort检测Superscan扫描。
Superscan是一款功能强大的扫描器,可以对搜集各网段主机信息。
Snort对Superscan设计了专门的规则,可以实现对Superscan的过滤。
运行Snort,打开Superscan对目标网段进行扫描。
如图17所示:
图17使用Superscan扫描网段
打开ACID,看是否有Superscan报警产生。
如图18所示:
图18使用ACID检查Superscan报警
(五)宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图19所示:
图19主控制中心部署图
子控制中心与主控制中心关系:
控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。
除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。
在1个网段内仅允许安装1台控制中心。
根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。
这里的“主”和“子”是一个相对的概念:
每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。
对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。
在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。
在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图20所示。
图20“策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。
宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。
可以下发以下命令到节点计算机:
扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。
其中扫描目标的设置界面如图21所示。
四、宏锦企业的网络管理
(一)宏锦企业网络管理的问题
1.计算机软、硬件数量无法确实掌握,盘点困难;
2.单位的计算机数量越来越多,无法集中管理;
3.无法有效防止员工私装软件,造成非法版权使用威胁;
4.硬件设备私下挪用、窃取,造成财产损失;
5.使用者计算机IP随易变更,造成故障频传;
6.软件单机安装浪费人力,应用软件版本不易控制;
7.重要资料遭非法拷贝,资料外泄,无法监督;
8.设备故障或资源不足,无法事先得到预警;
9.应用软件购买后,员工真正使用状况如何,无从分析;
10.居高不下的信息化资源成本,不知如何改善。
(二)宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。
实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图21。
图21添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。
对宏锦企业网络内部设备的管理如下图22所示。
图22添加网络设备
如图12添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
五、网络安全系统验收
(一)网络系统的初步验收
对于网络设备,测试成功的标准为:
能够从网络中任一机器和设备(具有PING和Telnet能力)Ping及Telnet通网络中的其它网络中的任何一台机器和设备。
由于网内设备较多,不可能一对一对的测试,故可采用如下方式进行:
对每一个子网中随机选取两台机器或设备,进行上述测试。
对每一对子网测试连通性,即从两个子网中任选一台机器进行上述测试。
测试中,Ping测试每次发送数据包不应少于300个,Telnet连通即可。
Ping测试的成功率在局域网内应达到100%。
测试所得具体数据填入《初步验收报告》以便今后网络维护。
(二)网络系统的试运行
从初验结束时刻起,整体网络系统进入为期三个月的试运行阶段。
整体网络系统在试运行期间不断地连续运行时间不少于两个月。
试运行期间要完成以下任务:
1.监视系统运行
2.网络的基本应用测试
3.可靠性测试
4.下电-重启测试
5.冗余模块测试
6.安全性测试
7.系统最忙时访问能力测试
升级会员 