毕业设计样文.docx

毕业设计样文.docx

《毕业设计样文.docx》由会员分享，可在线阅读，更多相关《毕业设计样文.docx（22页珍藏版）》请在冰豆网上搜索。

毕业设计样文

毕业设计说明书

课题名称：

利用活动目录实现企业网的安全管理

专业系：

信息系网络专业

班级名称：

网络071

学生姓名：

刘邵渝

指导老师：

谢树新

完成日期：

2009年12月

毕业设计任务书

指导老师：

谢树新

一、毕业设计课题名称

利用活动目录实现企业网的安全管理

二、毕业设计任务

1、目的与性质

毕业设计的主要目的是培养学生综合运用所学的知识与技能分析与解决问题的能力，并巩固和扩大学生的课堂知识。

毕业设计要求学生学会查阅、使用各种专业资料、网上资源，并以严肃认真、深入研究的工作作风完成设计任务，促使学生向综合应用型人才转变。

随着信息社会的网络化，网络应用领域不断扩大，提供的服务不断增多，网络安全涉及的领域和技术也越来越复杂。

强大且一致的安全服务对企业网络而言是必不可少的。

管理用户验证和访问控制的工作往往单调乏味且容易出错。

活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。

要求学生学会网络操作系统的配置与使用，掌握运用活动目录对企业网的安全进行分析与设计，并实施行之有效的安全管理。

2、硬件环境：

硬件环境：

企、事业单位，机关、学校等单位具备使用中的计算机网络系统LAN（一般要求在LAN上设计、测试和运行）、VLAN、VPN

运行环境：

WindowXP，Window2K3或以上版本

3、软件环境

操作系统：

WindowsServer2003、Linux

网络协议：

TCP/IP

网络安全相关软、硬件：

杀毒软件、防火墙、入侵检测系统等

4、设计内容：

根据网络安全的不同层次要求，依照模块化的思想，分析企、事业单位，机关、学校等现存信息系统所存在的安全隐患，并提出相应的解决方案。

通过运用活动目录使用以下方法增强企业网的安全性：

改进了密码的安全性和管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。

保证桌面系统的功能性通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。

加速电子商务的部署通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos,公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。

紧密的控制安全性通过对目录对象和构成他们的单独数据元素设置访问控制特权。

5、毕业设计的主要任务：

1网络安全的现状及其应用情况分析

2安全方案目标

3安全需求

4风险分析

5基于AD的企业网安全应用方案的设计

5.1活动目录逻辑结构的设计

 5.1.1域结构的设计

5.1.2OU结构的设计

5.1.3域控制器的规划

5.1.4服务器、客户机的规划

5.2活动目录物理结构的设计

5.2.1站点结构的设计

5.2.2全局编目服务器（GC）的设计

5.2.3活动目录数据库复制的规划

5.3安全规划

5.3.1服务器的安全

5.3.2客户机和用户帐号的安全

5.3.3网络的安全

5.4活动目录的扩展问题

5.5安全技术的研究发展趋势

三、毕业设计要求

完成所有的安全内容的分析与应用，并在指定服务器上现场演示。

编写毕业设计说明书（毕业论文）。

参加毕业答辩

四、毕业设计过程及进度计划

毕业设计课题的制定6月1日～6月5日

布置任务书6月8日～7月4日

熟悉课题7月5日～8月31日

网络安全服务器的安装与调试9月1日～9月20日

网络安全解决方案9月21日～10月5日

网络安全解决方案的应用10月6日～10月20日

运行调试10月21日～11月5日

编写毕业设计说明书11月6日～12月10日

论文答辩（时间统一安排）

五、毕业设计论文格式要求

毕业设计说明书的写作要求

毕业设计说明书是对设计进行解释与说明的书面材料，并主要由指导教师及有关专家、技术人员阅读，应规范、简洁，述说流畅清楚，论据充分。

应在讲述原理后，以原理指导方案，详述方案具体的技术实现方法，对实现过程所遇问题与解决办法应进行解释，对设计过程须引用的资料（资源）应作说明，对方案的最终实现效果进行评估。

设计书的页数应在40页左右（A4纸，标四号字），打印装订成册。

结构

毕业设计说明书应由以下几部分组成：

绪论：

由三个内容组成：

课题名称；设计目的及意义；设计项目技术发展简介；设计的基本原理及各总模型介绍。

目录：

毕业设计说明书各部分内容。

设计介绍：

本方案的数据库结构、数据库表的关联关系、功能模块、程序流程图等。

正文：

毕业设计说明书的核心部分，占据主要篇幅。

结束语：

对设计中所做的工作进行评价，可对设计的不足或问题作出讨论，或对未来技术及改进发表展望。

附录及参考文献：

将篇幅较大的表格、附图等材料附于设计说明书末。

列出使用的主要参考书及网上资源的网址。

六、毕业设计答辩程序及准备要求

1、答辩程序

（1）介绍毕业设计情况及本人主要完成的设计内容，时间为5分钟；

（2）答辩老师提出2-3个问题，由答辩人回答，回答问题时间为10分钟。

2、准备要求

（1）答辩时必须提供光盘、毕业设计论文或报告；

（2）准备好个人讲述提纲，制作PPT。

七、毕业设计评分标准

序号

考核内容

考核比例

1

明确毕业设计课题要求，正确进行功能模块的划分

5%

2

两次分析报告

10%

3

毕业设计期间组织纪律性强，无迟到、早退、缺课现象

5%

4

小组协作精神强，所有的小组成员在规定时间内完成要求的任务。

5%

5

认真书写毕业设计论文，设计方案合理

50%

6

回答问题正确

25%

合计

八、其他

1、参考资料

2、指导教师的联系方式：

E-mail：

xesuxn@

联系电话：

13907338990

QQ：

5688609

前言

在信息化飞速发展的今天，计算机网络得到了广泛应用，但随着网络之间的信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的攻击和破坏。

攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。

更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。

这致使数据的安全性和自身的利益受到了严重的威胁。

无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。

所以，计算机网络必须有足够强的安全措施。

对于中小企业用户的局域网来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。

本文通过介绍活动目录管理方案解决中小型企业网络的安全问题，在活动目录中利用域来实现企业的集中管理以及通过活动目录的一些安全策略来管理企业的人员，服务器，客户端，如：

软件限制策略，强密码策略，组策略等，来保障和解决中小型企业的网络安全问题。

关键字：

中小型企业、活动目录、管理

第一章中小型企业网络现状

1.1中小型企业网络现状

根据有关统计资料，我国中小企业约有1100万家，中小企业占到了企业总数的99％以上。

由于中小企业业务流程大多处于混乱状态，要依靠先进的信息系统在市场竞争中降低运营风险。

可以说，信息化是中小企业迎接新经济的挑战，提高企业运作效率、降低经营管理成本、把握新的商业机会的必由之路。

虽然一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。

另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性

面对严峻的网络安全形势，信息安全防护越来越受到企业的重视，众多企业也在投入大量资金进行网络安全产品的采购和部署。

目前，国内大中型企业由于信息化起步早、资金和技术力量充足、管理制度较为完善，因此信息安全体系成熟度也相对较高，但众多中小企业的信息安全状况却十分令人担忧。

1.2中小型企业网络安全解决方案

目前市场上有很多厂商也提出了众多解决方案，这些方案以硬件防火墙为主体，集成了防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护等领域，能够提供的安全保障较为全面。

但从其应用范围来看，这些方案大多数面向的是银行、证券、电信、政府等行业用户和大型企业用户，相比较而言，针对中小企业的安全解决方案寥寥无几，内容也主要是防病毒软件和软件防火墙。

大多品质过硬的专业级的硬件防火墙，由于价格高昂，在中小企业应用较少。

而本文利用活动目录中的域实现企业的集中管理以及通过活动目录的一些安全策略来管理管理企业的人员，服务器，客户端，如：

利用软件限制策略控制计算机上运行的程序保护计算机环境，利用组策略来实现不同用户的不同管理等技术来保障和解决中小型企业的网络安全问题。

这种管理方式不仅方便安全而且资金消耗小，很适合在中小型企业当中运用。

第二章活动目录的概述

2.1活动目录的概念

活动目录是一个分布式的目录服务。

它存储着网络上各种对象的有关信息，并使该信息易于管理员和用户查找及使用。

Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。

2.2活动目录的特点

●方便的组织资源：

活动目录将目录组织成能够存储大量对象的容器，因此活动目录能够随着组织机构的扩大而增长。

●集中管理和分散管理相结合：

利用活动目录工具能够对活动目录中所有的资源进行统一管理，还可以根据不同用户的需要进行分散管理。

●资源访问的分级管理：

通过登录认证和对目录中对象的访问控制，安全性和活动目录紧密地集成在一起。

2.3活动目录的作用

●信息的安全性大大增强

●引入基于策略的管理，使系统的管理更加明朗

●具有很强的可扩展性和可伸缩性

2.4活动目录的安装

1.活动目录安装前的准备

必须保证已经有一台机器安装了windows2000Server或者windows2003Server，且至少有一个NTFS分区，而且已经为TCP/IP配置了DNS协议，并且DNS服务支持SRV记录和动态更新协议。

其次是要规划好整个系统的域结构

●验证操作系统的版本信息：

选择“开始”菜单或按Ctrl+Alt+Del组合键

●验证用户权限：

要执行活动目录的安装必须对计算机具有管理权限，一般来说都是由管理员组的用户账号来执行活动目录的安装。

按ctrl+Alt+Del组合键可以查看当前登录的用户身份。

●验证计算机的磁盘分区及剩余空间情况：

在“计算机管理”控制台下单击“磁盘管理”

●TCP／IP协议及DNS的配置：

在“Internet协议（TCP／IP）属性”对话框中为计算机设置IP地址、子网掩码及DNS服务器地址，如果该域的DNS服务器不是本机，那么在此应该把DNS服务器的地址指向网络中维护该区域的DNS服务器。

如果网络中没有其他的DNS服务器，想让这台计算机既作为DC又充当DNS服务器，那么此处可以把DNS指向自己或者什么都不做，活动目录安装向导会提示如何来做。

2.下面是一台装有WindowsServer2003的计算机上安装活动目录的过程：

1）在“运行”框中输入dcpromo

2）显示“域控制器类型”对话框，指定该服务器要担当的角色。

选择“新域的域控制器”单选按钮。

3）显示“创建一个新域”对话框，选择要创建的域的类型，选择“在新林中的域”单选按钮。

4）打开“新的域名”对话框，在文本框中输入新建域的DNS全名。

5）显示“数据库和日志文件夹”对话框。

在指定放置ActiveDirectory数据库和日志文件的位置，可以通过单击“浏览”按钮来选择合适的位置（基于最佳性能和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上）。

6）显示“目录服务还原模式的管理密码”对话框，输入还原模式密码。

（还原模式密码是在ActiveDirectory出现故障进行恢复时需要验证的密码）

7）安装后ActiveDirectory需要重新启动计算机才能生效

8）要删除活动目录，在“运行”框中输入dcpromo，然后单击“确定”按钮，打开“ActiveDirectory安装向导”对话框，并根据向导进行删除。

第三章基于AD企业网安全物理结构的设计

3.1站点结构的设计

天一玩具股份有限公司全体员工人数是150人，因为整个公司的资源对象不多，所以采用单站点结构实现了整个公司的IT架构管理。

在DC1上打开“ActiveDirectory站点和服务”可以查看到tianyi的站点。

如图3-1所示

图3-1

3.2全局编目服务器（GC）的设计

当下是单域环境，为了保证用户登录和查找活动目录的速度，除了域控制器作为缺省的GC使用外，额外域控制器DC2也要指定为GC。

3.3活动目录数据库复制的规划

●更改通知的方式:

如果A1上创建了一个帐号test，则它会15秒后通知A2,然后3秒后通知A3、再3秒后通知A4。

如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。

●紧急复制:

如密码修改、帐户锁定策略等。

修改后就马上联系复制伙伴。

没有时间延迟

●每隔1小时复制:

检查是否有数据复制遗漏。

第四章基于AD企业网安全逻辑结构的设计

4.1域结构的设计

1.背景分析

根据网络规模以及集中管理和结构简单,我们采用单域的结构，域名为。

与多域结构相比，实现了网络资源的集中管理。

并保证了管理上的简单性和低成本。

在域内部按照部门名称划分ou，即创建4个组织单元，分别是：

行政部，人事部，工程部，财务部，用与存储和管理各个部门的用户帐户，组，以及打印机。

整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。

为保证可靠性，需要安装2台域控制器。

如图4-1所示：

图4-1

2.创建Windows域

在dc1上执行命令”dcpromo”安装AD，提升为域控制器。

为该公司创建一个新域。

域名为。

在安装AD的过程中安装DNS服务。

保障域名解析服务正常运行。

为了保证域的可靠性，和高效性。

需要安装第二台域控制器。

安装完域控制器之后，分别将其他的计算机加入该域。

4.2OU结构的设计

1.为了匹配公司的管理模型，在域内按照部门名称划分组织单位（ou）,即创建4个组织单位，分别是：

行政部、人事部、工程部、财务部。

将来创建各个部门的用户帐户和组属于各个部门ou。

使用AD活动目录里的【ActiveDirectory用户和计算机】工具创建部门ou。

结果如图4-2所示

图4-2

2.创建用户账户和组

使用【ActiveDirectory用户和计算机】工具在各个部门的ou中分别为该部门员工创建唯一的域用户账户，帐户名为员工的姓名的拼音。

域用户帐户在下次登录时更改密码。

为每个部门创建全局组，将同部门的员工帐户分别加入各个部门的全局组。

4.3域控制器的规划

●域控制器的数量:

在天一架设两台域控制器（假定的名字为tianyi1和tianyi2）

●操作主机的角色:

在tianyi上保留架构操作主机、域命名操作主机、PDC模拟器、RIDMaster、结构操作主机转移到tianyi2上。

4.4客户机的规划

在各部门的OU中分别为该部门员工创建唯一的域用户账户，账户名为员工姓名的拼音，所有客户端计算机都加入到域中。

在一般情况下，所有用户都使用域用户帐号登录，用户以前使用本地帐号时的配置文件要保留。

第五章安全规划

5.1服务器的安全

5.1.1配置文件服务器

1）通过一台专用的文件服务器存储公共文件以及员工的工作文档

2）配置共享权限和NTFS权限

3）权限的配置应遵循AGDLP规则

4）启用磁盘配额

5）制定备份策略，按任务计划自动执行

6）通过一台专用的文件服务器存储公共文件以及员工的文档。

7）文件服务器的c:

盘容量为10G安装操作系统和软件。

D:

盘容量大于1T，并采用ntfs文件系统，在d:

盘的一个文件夹“software“存放公共的文件。

常用的软件和公司的规章制度。

另一个文件夹”share“存放部门和员工的工作文档。

8）在d:

”share”文件夹下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并通过网络映射，映射到每个帐户的机器上，配置共享权限和ntfs权限。

保障文件只被授权的用户访问。

9）权限的设置应该遵循AGDLP（用户加入到安全全局组，再将相应的全局组加入到本地组，然后给本地组赋予权限）。

避免直接给用户授权。

具体：

文件夹名

共享权限

NTFS权限

D:

\software

Everyone读取

Everyone读取

D:

\share

Everyone完全控制

Everyone列出文件夹目录，总经理完全控制

D:

\share\行政部

无

全局组行政读取、本部门经理和总经理完全控制

D:

\share\人事部

无

全局组人事读取、本部门经理和总经理完全控制

D:

\share\工程部

无

全局组工程读取、本部门经理和总经理完全控制

D:

\share\销售部

无

全局组销售读取、本部门经理和总经理完全控制

D:

\share\财务部

无

全局组财务读取、本部门经理和总经理完全控制

D:

\share\行政部\某员工文件夹

无

全局组行政读取、员工自己、本部门经理和总经理完全控制

在文件服务器上，普通员工最大的使用空间为100MB，部门经理最大的使用权限为1000MB，总经理的使用空间不限制。

5.1.2配置打印服务器

●在打印服务器Printsvr1上添加本地打印机a、b、c并共享

●在打印服务器Printsvr2上添加本地打印机a、b并共享

●配置优先级和适当的打印权限

●在其他计算机上完成打印客户端配置（添加网络打印机）

具体：

服务器名

打印机共享名

优先级

打印权限

Printsvr1

a

90

总经理打印

Printsvr1

b

50

财务部经理打印

Printsvr1

c

全局组

财务打印

Printsvr2

a

50

部门经理打印

Printsvr2

b

1

Everyone打印

5.1.3配置代理服务器

代理服务器的专用连接的IP设置为192.168.10.8,公共连接与ADSL线路连通，IP地址从ISP动态获得,在isa上安装代理服务器软件isaserver并激活HTTP代理，端口为默认值80,在其他计算机上的IE浏览器中配置代理服务器客户端.实现共享上网

5.2客户机和用户帐号的安全

1.限制用户能登录的计算机

在域环境下，一个域用户帐户默认是可以登录到域中任意一台计算机的（DC除外），这样为用户提供了方便。

因为假设用户正在使用的计算机出现故障了，需要维修，那么该用户可以用他自己的域用户帐户在其它计算机上登录域，继续完成自己未完成的工作，继续使用域中的资源而不会受到影响，但工作组却没有提供这样的方便。

但是如果要限制用户只能使用某些计算机来登录域，可以通过设置用户帐户的属性来实现。

打开要进行限制的用户帐户的属性，找到“帐户”选项卡，点击“登录到”按钮。

如图5-1所示。

图5-1

在打开的“登录工作站”对话框中，可以看到默认的设置是用户可以登录到“所有计算机”，要进行限制，选择“下列计算机”单选按钮，并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。

如果有必要，可以添加多台计算机。

完成后，该用户只能在指定的计算机上登录，而不能在未指定的计算机上登录到域。

2.公司对员工的帐户需求

●员工一人一个帐户

●所有帐户集中存储管理

●按部门管理帐户

●密码不能为简单密码，如12345678等

●对个别员工试探别人密码的行为要有所防范

●员工的权限级别有3种：

总经理、部门经理、普通员工，他们在访问网络资源时权限不同

3.强密码策略

在这里提供的密码策略和帐户锁定策略对于我们保障帐户的安全性起到了非常大的作用。

密码必须符合复杂性要求，这一项要求一般受到策略影响的主机上创建帐户的时候，或者修改帐户密码的时候就会受到这个策略的限制，它的密码必须满足以下的策略，这样才能加强密码的安全性。

密码策略：

●长度至少有8个字符

●不包含用户名、姓名或公司姓名

●不包含完整字典词汇

●与先前密码大不相同

●包含全部四组类型字符：

a—z、A—Z、0—9、非字母特殊字符

5.3设置漫游配置文件

1.漫游配置文件的优点：

漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中（文件服务器），当用户登录时，系统会自动去寻找该服务器，并找到属于该用户的配置文件，然后加载。

这时，无论用户在什么地方登录，该用户都可以使用同一个配置文件，在任何一台计算机登录所获得的工作环境都是一样的。

同时，由于所有用户的配置文件集中保存在同一台服务器中，所以也方便了管理员进行集中的备份，保证数据的安全。

2.为用户设置漫游配置文件：

首先要找一台专用的文件服务器，在该服务器中建立一个文件夹并共享，共享权限设置everyone写入权限。

然后选择一个用户，打开属性对话框，找到“配置文件”选项卡。

在“配置文件路径”中填入上面建立的共享文件夹的UNC路径，并在该路径后跟该用户的用户名，以便于把该用户的配置文件存放在以用户名命名的子文件夹里。

这时该用户在域中任一台计算机上登录，该用户的工作环境都是一样的。

如图5-4所示。

图5-4

5.4限制用户使用非法软件

1.软件限制策略的管理目的：

●软件限制策略可以控制计算机上运行的程序，以使保护计算机环境不会受到不可信代码的攻击。

●阻止任何文件在本地计算机、组织单元、站点或域中运行。

●在多用户计算机上，仅允许用户运行特定的文件

●确定谁可以向计算机中添加受信任的发布服务器。

●控制软件限制策略是影响计算机上的所有用户，还是只影响一些用户

2.在“组策略编辑器”中依次打开“计算机配置”“Windows设置”“安全设置”，右击“软件限制策略”，选择“创建软件限制策略”命令。

然后选中“软件限制策略”，可以看到如图5-5所示

图5-5

5.5应用组策略部署防火墙软件

1.软件部署阶段、软件维护阶段、软件删除阶段

●软件部署阶段：

软件准备好了以后，就可以利用组策略来设置软件部署点，并指定软件部署的方式，使计算机启动或用户激活应用程序时进行软件安装。

●软件维护阶段：

软件也可能需要经常打补丁或升级。

利用组策略来维护软件可以实现在不通知用户的情况下自动完成软件的升级等操作。

●软件删除阶段：

通过设置组策略可以把那些不需要继续使用的软件删除掉，也不必通知用户。

2.应用组策略部署防火墙

在Windows 2003客户机（具有管理员权限）