酒店网络安全方案.docx
《酒店网络安全方案.docx》由会员分享,可在线阅读,更多相关《酒店网络安全方案.docx(24页珍藏版)》请在冰豆网上搜索。
酒店网络安全方案
XXX职业技术学院
毕业论文(设计)
论文题目:
酒店网络安全
系别:
软件工程系
专业:
计算机网络技术
班级:
学号:
学生姓名:
指导教师:
XX酒店网络安全
摘要
随着社会的不断发展,已经步入数字信息时代,电脑迅速普及,网络飞速发展使得局域网的应用也日益广泛。
各企业和单位也都在建设局域网并连入互联网。
但信息网络安全一直是我们关心的问题,防火墙技术就是在这个前提下发展起来的。
一个组织全局的安全策略应根据安全分析和业务需求分析来决定。
网络安全与防火墙关系紧密,所以需要正确设置网络的安全策略,才能使防火墙发挥最大的作用。
本文首先阐述了当前酒店网络所面临的安全问题以及常见的安全保障措施,并且说明了网络安全技术的现状和发展趋势;并组建了一个酒店网络的安全策略,综合各方面针对当前企业网络中所面临的主要的安全问题开展了大量防护工作,最后以实例提出了相应的解决方法。
关键词:
酒店网络防火墙网络安全
第一章概述
1.1课题背景
随着我国经济不断蓬勃发展,酒店行业在近几年也飞速发展,尤其是2008年奥运会和2010年世博会,更是给酒店业提供了展翅腾飞的巨大空间。
但机遇与挑战同在,面对市场机会,如果不能与时俱进,好好把握,那么,最后很可能在行业的竞争中被淘汰出局。
所以,酒店行业,尤其是不具备很大优势的中小酒店,近几年一直在不断加强自身建设,不断提供服务水平,以谋求在竞争中取得先机。
服务水平的提高,是酒店行业加强自身建设的重中之重,而随着来自世界各地商务客人的增加,以及正常商务往来对网络的依赖不断增强,提供优质的网络服务已经成为酒店经营者的共识,其中网络安全不容忽视。
这样,一方面提升了现代化酒店的服务与管理水平,同时,也为酒店经营者带来了相应的利益。
1.2系统需求
酒店的网络需求可以从2个方面考虑,一方面从入住酒店客人对网络安全的考虑,另一方面从酒店自身对网络安全的考虑。
1、入住酒店的客人的需求
1)良好的客房网络办公环境
根据GRIC商业调查结果显示,经济型酒店客户中主要的成分为"商旅人士",其中70%携带笔记本电脑,并且旅行过程中60%用户需要访问公司内部网络。
因此,需要为这部分用户在酒店客房等地点营造良好的网络办公环境,提高服务质量,是吸引更多的商旅人士入住的关键。
2)酒店大堂、茶歇点的灵活上网接口
许多商务客人常常喜欢在酒店大堂、咖啡厅或茶座里用笔记本电脑工作,或是在这些地方进行一个小型的商务会谈,因此,在这些场所也需要布设灵活快捷的网络接口。
需要建立具有高自由度、高带宽、容纳用户数量具有一定弹性的高性能局域网络,如无线网络。
3)网络应有优秀的安全防范措施,抵御网络病毒攻击
酒店客户来来往往,自带笔记本电脑中可能存在许多病毒,酒店的网络设计,需要将主要精力放在内网安全的控制上,如内网ARP欺骗、内网蠕虫病毒,内外网的DDOS攻击都是需要去防止的。
2、酒店自身对网络的要求
1)网络资源使用效率最大化
酒店客房P2P(点对点在自己下载的同时,自己的电脑还要继续做主机上传)工具软件的频繁使用会造成共享的带宽的不合理占用,降低宽带利用率,我们需要控制P2P软件的带宽占用情况以及每IP地址的连接数限制,来有效的提高酒店带宽利用率。
2)避免网络瘫痪,更快速的解决网络问题
需要给IT工作人员有一个直观的查看酒店网络的平台,能够让IT人员很清楚的看到网络的现状,哪些IP是感染到病毒,哪些IP正在使用P2P下载,路由器的运行状况等等。
出现问题后更能一目了然,查出问题的源头,迅速解决。
3)酒店规模在扩大,需要保证门店与总部之间的实时联系安全快速
连锁酒店之间都是需要与总部实时连接,查看消耗品的库存数量、客房的空余情况、订房情况实时反馈、每日资金结算等等。
则需要门店与总部的网络间有一个安全快捷的通讯链路。
4)部门增多,敏感部门的核心资料需要保证非授权无法访问
酒店内部有划分多个部门,如财务系统、内部办公系统、客户上网线路等,这些系统都是不能够互相访问的,这些就需要有网络设备来帮助解决。
总结起来,经济型酒店对网络的需求可概括为:
稳定,高效,安全,灵活。
第二章 网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全术,分析技网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。
对于这个问题,我们还没有从系统的规划上去考虑它,从技术上产业上,政策上来发展它。
政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
2.1数据加密技术
密码技术是保障网络安全的最基本、最核心的技术措施。
加密技术是将资料加密,以防止信息泄露的技术。
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。
信息在网络传输时被窃取,是个人和公司面临的最大安全风险。
为防止信息被窃取,必须对所有传输的信息进行加密。
现在有几种类型的加密技术,包括硬件的和软件的。
就体制而言,目前的加密体制可分为:
单密钥加密体制和公用密钥体制。
1、单密钥机密体制
单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制,此加密体制的局限性在于:
在发送和接受方传输数据时必须先通过安全渠道交流密钥,保证在他们发送或接收机密信息之前有可供使用的密钥。
这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2、公用密钥加密体制
公用密钥需要两个相关密码,一个密码作为公钥,另一个密码作为私钥。
在公用密钥体制中,信息接受者可以把他的放到INTERNET的任意地方,或者用非密钥的邮件发给信息的发送者,信息的发送者用他的公钥加密信息后发给信息接收者,信息接收者则用他自己的私钥解密信息。
在所有公钥机密算法中,最典型的代表是1978年由R.Rivest、A.Shamir和L.Adlman三人发明的RSA,现在已经有许多应用RSA算法实现的数字签名系统了。
总之,密码技术是网络安全最有效地技术之一。
加密技术不但可以防止非授权用户搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
酒店为了重要信息不被盗取,采用公用密钥体制。
2.2防火墙枝术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。
大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。
此外,现今良好的防火墙还采用了VPN、监视和入侵检测技术。
2.3认证技术
认证技术就是验证一个用户、系统或系统进程的身份,当这种验证发生时,依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。
常用的认证技术如下:
1、身份认证
当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。
常采用用户名和口令等最简单方法进行用户身份的认证识别。
2、报文认证
报文认证主要是通信双方对通信的内容进行验证,以保证报文在传送中没被修改过。
3、访问授权
访问授权主要是确认用户对某资源的访问权限。
4、数字签名
数字签名是一种使用加密认证电子信息的方法,是以电子形式存储的一种消息,可以在通信网络中传输。
由于数字签名是利用密码技术进行的,所以其安全性取决于所采用的密码体制的安全制度。
2.4杀毒软件技术
杀毒软件肯定是最常见的,也是用得最普遍的安全技术方案,因为这种技术实现起来最简单。
但大家都知道杀毒软件的主要功能就是杀毒,功能十分有限,不能完全满足安全的需要。
这种方式对于个人用户或小企业或许还能满足需要,但如果个人或企业有电子商务方面的需求,就不能完全满足了。
可喜的是,随着杀毒软件技术的不断发展,现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。
还有的杀毒软件开发商同时提供了软件防火墙,具有了一定防火墙的功能,在一定程度上能起到硬件防火墙的功效,如卡巴斯基、金山防火墙、NORTON防火墙,360防火墙等。
2.5入侵检测技术
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
这些都通过它执行以下任务来实现:
●监视、分析用户及系统活动;
●系统构造和弱点的审计;
●识别反映已知进攻的活动模式并向相关人士报警;
●异常行为模式的统计分析;
●评估重要系统和数据文件的完整性;
●操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2.6安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。
安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。
商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。
通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
通常该类扫描器限制使用范围(IP地址或路由器跳数)。
网络安全扫描的主要性能应该考虑以下方面:
●速度。
在网络内进行安全扫描非常耗时。
●网络拓扑。
通过GUI的图形界面,可迭择一步或某些区域的设备。
●能够发现的漏洞数量。
●是否支持可定制的攻击方法。
通常提供强大的工具构造特定的攻击方法。
因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
●报告,扫描器应该能够给出清楚的安全漏洞报告。
●更新周期。
提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
●安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
2.7访问控制技术
每个系统都要确保访问用户是有访问权限的,这样才允许他们访问,这种机制叫做访问控制。
访问控制是通过一个参考监视器,在每一次用户对系统目标进行访问时,都由它来进行调节,包括限制合法用户的行为。
每当用户对系统进行访问时,参考监视器就会查看授权数据库,以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。
所有操作系统都支持访问控制。
访问控制是保护服务器的基本机制,必须在服务器上限制哪些用户可以访问服务或守护进程。
第三章 酒店网络安全总体设计
该方案从安全系统建设原则、酒店网络安全拓扑图、所需设备的作用和如何解决酒店网络安全等方面进行设计。
安全系统建设原则遵循这7大原则,分别是系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。
所需设备有核心交换机DGS-3426、接入交换机DES-3026、DES-1228P+DWL-3140AP的产品组合、DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530高解析日夜型网络摄像机。
酒店网络安全方面从常见的病毒攻击与防范、加密技术实施、认证技术实施、设置流量实施、杀毒软件技术实施、入侵检测技术实施、安全扫描技术实施、访问控制技术实施等方面进行设计。
3.1安全系统建设原则
对酒店构建一个网络安全设计方案,有着它需要遵守的原则。
所要遵守的原则有系统性原则、技术先进性原则、管理可控性原则、适度安全性原则、技术与管理相结合原则、测评认证原则、系统可伸缩性原则。
下面对这几种原则进行阐述。
1、系统性原则
酒店网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2、技术先进性原则
酒店网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3、管理可控性原则
酒店系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4、适度安全性原则
酒店系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5、技术与管理相结合原则
酒店网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。
单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6、测评认证原则
酒店网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7、系统可伸缩性原则
酒店网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。
重要和关键的安全设备不因网络变化或更换而废弃。
3.2酒店网络安全拓扑图
酒店网络安全拓扑图的结构由一台核心交换机DGS-3426、5台接入交换机DES-3026、一台DFL-2500防火墙、DCS-N4532红外防暴半球型网络摄像机DCS-N5440、彩色PT半球型网络摄像机、DCS-N3530高解析日夜型网络摄像机组成。
图3-1酒店网络安全拓扑图
3.3设备规划
在酒店网络中,设备的选择是很重要的,根据酒店的需求,选择所需设备构建酒店网络安全是很重要的一个环节。
下面对所需设备的功能进行说明。
3.2.1交换机
1、核心交换机DGS-3426
可网管全千兆准三层交换机,24个固定1000Base-T端口,4个SFPCOMBO端口,两个扩展插槽,可根据需要最多扩充2个万兆端口,能够完成全线速的转发,保证网络稳定运行,并可通过扩展插槽选择堆叠模块,保持了良好的扩充性,以适应将来网络规模有可能扩大的情况。
另外,DGS-3426支持多层的ACL,有效保证网络安全。
2、接入交换机DES-3026
可网管二层交换机,24个百兆电口,两个扩展插槽(DES-3526为可以网管三层交换机),在这个方案里,可以按需要扩充千兆电口,或者千兆光口,然后上连到DGS-3426。
DES-3026支持端口限速功能,利用此功能,酒店可以把不同级别的房间,带宽设置成不同,让VIP客户,在网络速度上也能享受VIP的待遇。
另外,DES-3026的端口隔离功能,能够让联网用户在物理上处于隔离状态,从而保证上网客户在局域网内部的安全。
DES-3526交换机具有24个10/100BASE-TX端口和2个组合式1000BASE-T/SFP千兆端口,这样的设计可以提供更加安全及灵活的连接方式。
另外,DGS-3426和DES-3026/3526都支持D-LinkSIM(单IP管理)功能,利用此功能,能够方便地用一个IP,通过WEB方式来管理所有的相关交换机,以最经济的方式方便管理员对网络进行管理。
3、DES-1228P+DWL-3140AP的产品组合
DES-1228P交换机是支持POE功能的SMART交换机,可以利用双绞线对DWL-3140AP实施远程供电,而不必再单独为DWL-3140AP布放电源;另外,DES-1228P能够利用自己支持网管的特点,实现对网中所有DWL-3140AP实行统一管理;DWL-3140AP是一款和DES-1228P配合使用的瘦AP,有着良好的覆盖效果和高速的传输速率,最高可达108Mbps。
DWL-3140AP采用了烟感外型设计,可以很方便的布放在楼道或房间的天花板上。
3.2.2防火墙
DFL-2500防火墙
高效能整合式的功能,包括防火墙、负载均衡、容错能力、区域联防、内容过滤、IM/P2P应用控管、DoS防护及VPN远端安全连线。
领先的功能整合于单一设备中,提供多机一体的企业安全整合方案,配合「区域联防」的先进的功能,可与D-Link交换机进行无缝整合,无论是执行安全预警的工作或对受感染的电脑进行隔离来防止恶意数据流蔓延,出色的表现实现酒店安全的最佳化投资。
3.2.3摄像机
●DCS-N4532红外防暴半球型网络摄像机
●DCS-N5440彩色PT半球型网络摄像机
●DCS-N3530高解析日夜型网络摄像机
3.4技术设计
根据酒店的需求,酒店的技术设计需从8个方面进行实施,分别是常见的病毒攻击和防范,加密技术实施,认证技术实施,设置流量实施,杀毒软件技术实施,入侵检测技术实施,安全扫描技术实施,访问技术实施等方面进行设计。
根据酒店的网络应有优秀的安全防范措施,抵御网络病毒攻击需进行以下技术实施
●常见的病毒攻击与防范
●杀毒软件技术实施
●安全扫描技术实施
根据网络资源使用效率最大化,需进行以下技术实施
●设置异常流量防护
●设置IP流量限制
●设置网络连接限速
根据部门增多,敏感部门的核心资料需要保证非授权无法访问,需进行以下技术实施
●加密技术实施
●认证技术实施
●入侵检测技术实施
●访问控制技术实施
第四章技术具体实施
酒店客户来来往往,自带笔记本电脑中可能存在许多病毒,酒店的网络设计,需要将主要精力放在内网安全的控制上,如内网ARP欺骗、内网蠕虫病毒,内外网的DDOS攻击都是需要去防止的。
对于酒店自身来说,需要给IT工作人员有一个直观的查看酒店网络的平台,能够让IT人员很清楚的看到网络的现状,哪些IP是感染到病毒,哪些IP正在使用P2P下载,路由器的运行状况等等。
出现问题后更能一目了然,查出问题的源头,迅速解决。
酒店内部有划分多个部门,如财务系统、内部办公系统、客户上网线路等,这些系统都是不能够互相访问的,这些就需要有网络设备来帮助解决。
4.1常见的病毒攻击与防范
冲击波/震荡波病毒、SQL蠕虫、伪造源地址DDoS攻击、ARP欺骗,是在宽带接入的网吧、企业、小区局域网内最常见的蠕虫病毒攻击形式。
这几种病毒发作时,非常消耗局域网和接入设备的资源,造用户上网变得很慢或者不能上网。
下面就来介绍一下,怎样在HiPER安全网关内快速诊断局域网内电脑感染了这些蠕虫病毒,以及怎样设置安全策略防止这些这些病毒对用户上网造成影响。
4.1.1冲击波/震荡波病毒
“冲击波”是一种利用Windows系统的RPC漏洞进行传播、随机发作、破坏力强的蠕虫病毒。
它不需要通过电子邮件(或附件)来传播,更隐蔽,更不易察觉。
它使用IP扫描技术来查找网络上操作系统为Windows2000/XP/2003的计算机,一旦找到有漏洞的计算机,它就会利用DCOM(分布式对象模型,一种协议,能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。
“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。
感染此类病毒的特点
1、不断重新启动计算机或者莫名其妙的死机;
2、大量消耗系统资源,导致windows操作系统速度极慢;
3、中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。
造成局域网内所有人网速变慢直至无法上网。
解决与防范
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关Windows的补丁。
2、以其中的一台主机为例,在这台主机的安全网关上关闭该病毒向外发包的相关端口。
1)组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
高级配置
2)业务策略配置,建立策略“f_445”(可以自定义名称),屏蔽目的端口为TCP业务管理高级配置
3)业务策略列表中,可以查看到上一步建立的“f_445”的策略(“dns”、“dhcp”为系统自动生成的允许dns和dhcp数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许”。
业务管理高级配置
4)在上表中,单击策略名“grp1_other”,在下面的表项中,将动作由“禁止”编辑为“允许”,保存。
5)重复步骤2),将其他冲击波/震荡波端口TCP135/139/445/1025/4444/5554/9996等关闭。
全局配置中,取消“允许其他用户”的选中,选中“启用业务管理”,保存。
业务管理高级配置。
6)启用业务管理并保存。
相关配置界面如下图
图5.1.1-1业务策略配置图
图5.1.1-2业务策略列表图
4.1.2SQL蠕虫病毒
SQL是蠕虫一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQLServerTCP1433或者UDP1434端口,它会试图在SQLServer系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQLService帐号威胁远程系统。
此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。
它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
感染此类病毒的特点:
中毒的主机大量发包阻塞网络,整个网络会迅速被这些攻击所形成的流量影响,形成DoS拒绝服务攻击。
造成局域网内所有人网速变慢直至无法上网。
解决与防范
1、将中病毒的主机从内网断开,杀毒,安装微软提供的相关SQLServer的补丁。
2、在安全网关上关闭该病毒的相关端口。
1)组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有IP地址(192.168.0.1--192.168.0.254)。
à高级配置à
2)业务策略配
升级会员 