基于丰田企业的网络安全策略.docx
《基于丰田企业的网络安全策略.docx》由会员分享,可在线阅读,更多相关《基于丰田企业的网络安全策略.docx(13页珍藏版)》请在冰豆网上搜索。
基于丰田企业的网络安全策略
网络教育学院
本科生毕业论文(设计)
题目:
基于丰田企业的网络安全策略
学习中心:
层次:
专业:
年级:
学号:
学生:
指导教师:
完成日期:
内容摘要
内容摘要是毕业论文(设计)的内容不加注释和评论的简短陈述,具有独立性和自含性。
包括课题来源,主要设计,实验方法,本人的主要成果,约含200个字符的中文摘要。
因特网的迅猛发展给人们的生活带来了极大的方便,但同时因特网也面临着空前的威胁。
因此,如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。
而如何实施防范策略,首先取决于当前系统的安全性。
所以对网络安全的各独立元素——防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。
因此本文对企业网络安全做除了相对应的策略,针对各种不同的威胁与攻击研究了解决它们的相应安全技术。
接下来,在一般意义下制定计算机网络安全系统设计的策略与原则,提出了计算机网络安全的解决方案。
关键词:
网络安全;漏洞;防范策略;发展趋势
目录
内容摘要I
引言1
1概述2
1.1背景2
2全面分析网络安全漏洞3
2.1传输信道3
2.2操作系统3
2.3数据库系统3
2.4网络通信协议3
2.5Web服务器3
2.6病毒方面4
2.7数据的安全存放4
2.8桌面PC设置4
2.9关注后院起火4
2.10信息的认证和传输4
3整体落实网络安全策略5
3.1内部网络系统防范措施5
3.2外联网系统防范措施6
44S企业安全对策8
4.1配置防火墙和入侵检测系统8
4.2采用VLAN技术9
4.3配置代理服务器9
4.4安装杀毒软件9
4.5制定安全策略9
4.6网络的安全是靠安全管理10
5结论11
参考文献12
引言
近年来,随着互联网的发展以及网民数量的急剧增加,网络安全将投向了21世纪的网络必需品,一个被赋予无限网络数据。
就目前的4S市场而言,博客营销、电子杂志、RSS营销等等,营销模式层出不穷,企业需要通过深入宣传的传播方式来提升企业产品竞争优势。
目前国内许多企业存在校区分散的状况,各校区间通信的安全连接还存在问题。
但一般的企业网安全方案存在安全手段单一的问题,大多只是简单地采用防火墙等有限措施来保护网络安全。
而这些措施往往存在很大的局限性,它们不能覆盖实现整个企业网安全的各个层次、各个方位,这样的网络系统就存在很多的安全隐患。
比如缺乏强健的认证、授权和访问控制等,往往使攻击者有机可乘;管理员无法了解网络的漏洞和可能发生的攻击。
传统的被动式抵御方式只能等待入侵者的攻击,而缺乏主动防范的功能:
对于已经或正在发生的攻击缺乏有效的追查手段;对从网络进入的病毒等无法控制等,除此以外大多用户安全意识都很淡薄,这些都是我们需要注意和解决的安全问题。
1概述
1.1背景
互联网的各种安全威胁时刻影响着企业网的运行和管理,加强企业网的安全管理是当前重要任务。
企业网是企业信息系统的核心,必须建立有效的网络安全防范体系保证网络应用的安全。
企业网面临着一系列的安全问题,受到来自外部和内部的攻击(如病毒困扰,非授权访问等)。
目前国内许多企业存在校区分散的状况,各校区间通信的安全连接还存在问题。
但一般的企业网安全方案存在安全手段单一的问题,大多只是简单地采用防火墙等有限措施来保护网络安全。
而这些措施往往存在很大的局限性,它们不能覆盖实现整个企业网安全的各个层次、各个方位,这样的网络系统就存在很多的安全隐患。
比如缺乏强健的认证、授权和访问控制等,往往使攻击者有机可乘;管理员无法了解网络的漏洞和可能发生的攻击。
传统的被动式抵御方式只能等待入侵者的攻击,而缺乏主动防范的功能:
对于已经或正在发生的攻击缺乏有效的追查手段;对从网络进入的病毒等无法控制等,除此以外大多用户安全意识都很淡薄,这些都是我们需要注意和解决的安全问题。
本文以“实事求是”的指导思想为原则,从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。
并针对4S企业网络的安全问题进行研究,首先分析了企业网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了企业网络的安全问题及对策。
本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。
其次,通过对网络技术的研究,得出企业网也会面临着安全上的威胁。
最后,确立了用P2DR模型的思想来建立企业网的安全防御体系。
并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
2全面分析网络安全漏洞
2.1传输信道
不管是内部网络系统,还是外联系统,子网之间的连接总得通过相关传输信道。
一般来讲,目前的网络传输主要通过宽带IP、DDN、X.25和PSTN信道。
就其传输信道本身来看,存在诸如电磁泄露、信号泄露、监听/干扰、假冒通信和信息假冒等问题。
而这些现象又无一例外地要对企业网络构成安全威胁。
它们或是因为传输距离太远,或者传输线路质量较差,引起数据传输中的“丢包”现象,从而降低网络传输速度,甚至使远程子网间无法通信。
2.2操作系统
毫不夸张地说,大多数网络入侵是因为操作系统的漏洞。
像主数据库服务器上运行的Unix、Web和OA等辅助服务器上运行的WindowsNT或Novell等,无一例外都有漏洞。
另外,在大部分网络操作系统中,为用户提供的方便的通信功能和共享设置,也为黑客攻击和病毒感染留下了“可乘之机”,如Unix系统的远程用户登录、NT系统中基于Netbios的文件共享和打印机共享等功能等。
2.3数据库系统
任何企业网络的数据库中都存放着企业的关键数据和重要资料,一旦因管理员管理不善而造成数据库口令被盗用,就会使貌似安全稳定的企业网络核心机构变得相当脆弱。
2.4网络通信协议
目前大多数企业网络系统所采用的网络通信协议是TCP/IP、Http、Ftp、Smtp、Telnet等,这些协议大多先天不足和带有安全漏洞。
例如,在TCP/IP协议的近期版本中,最大的安全问题是缺乏有效的身份认证和鉴别机制,通信的双方很难确定对方的确切身份及通信时的物理位置等,网络攻击者们往往利用这些安全漏洞来对企业网络进行频繁攻击。
2.5Web服务器
WWW服务器是内外部网络连接的纽带和堡垒,因而最容易成为黑客主动攻击的对象。
2.6病毒方面
成千上万的网络病毒肆虐在网络环境中,其危害程度甚至高于黑客的恶意攻击。
2.7数据的安全存放
由于网络中心,特别是主数据库存放着企业网络全局的所有重要数据,这些数据和信息甚至就是企业的生命,像电信、移动、寻呼等通信企业的数据中心系统所保存的就是所有通信用户的基本信息资料和通信计费数据,如果这样的数据中心遭到毁坏,其后果将使企业遭到灭顶之灾。
既有技术方面的,也有管理方面的;既有来自网络内部的,也有来自网络外部的;既有人为恶意攻击的,也有无意造成的。
所以,网络安全是一个系统的、多层面的和全方位的系统工程。
进口处架设了防火墙和网络入侵检测系统。
防火墙作为一种将内外网隔离的技术,普遍运用于4S企业网安全建设中。
防火墙可以有效地隔离内部网与外部网,保护4S企业内部网络免遭非法的侵入。
2.8桌面PC设置
网管员通常都将安全防范的重点集中在服务器上,忽略了客户机和桌面PC的相关设置。
特别是某些网管员在安装软件时,为了方便而将客户机或桌面PC设置为完全共享。
而某些工作人员又习惯于将一些自己处理过的企业机密文件存放在自己的文档中,或在自己的硬盘上留有备份,这就有可能使得某些重要文件在内部网上随意地流传,为网络系统留下了安全隐患。
一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理,安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。
当网络出现攻击行为或其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索,即缺乏对网络的可控性与可审查性。
既有技术方面的,也有管理方面的;既有来自网络内部的,也有来自网络外部的;既有人为恶意攻击的,也有无意造成的。
所以,网络安全是一个系统的、多层面的和全方位的系统工程。
进口处架设了防火墙和网络入侵检测系统。
防火墙作为一种将内外网隔离的技术,普遍运用于4S企业网安全建设中。
防火墙可以有效地隔离内部网与外部网,保护4S企业内部网络免遭非法的侵入。
网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统,网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。
2.9关注后院起火
网络内部人员,由于对自己的网络非常熟悉,又位于防火墙后端,也就有可能给网络安全带来威胁。
网络中可能存在一些绕过网络出口的通道,例如某些子网擅自和一些外部单位连接、某些PC采用拨号方式上网、某些非内部人员外部拨号进入等等,这些都是极大的安全隐患。
网络系统的安全性不只是技术方面的问题,如果日常管理上没有相应规章制度来管理约束,再先进的软件技术,硬件设备对网络系统的安全来说也是不安全的。
一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理,安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。
当网络出现攻击行为或其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索,即缺乏对网络的可控性与可审查性。
这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵检测系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
2.10信息的认证和传输
大型企业在组建网络时,典型的方式是企业各部门所建的子网和计算中心子网建立在同一个局域网内,尤其是管理机构位于同一栋大楼中时。
这种建制虽然方便了网络的建设与管理,但也使得从网上窃取信息变得更容易。
而像电信、移动、银行、税务等单位,是上有省公司(局),下有区、县分公司的大中型企业网络,内部用户较多,可阅览的机密要件的权限也各不相同,这就需要建立一个安全的身份认证和存取控制机制。
尤其值得注意的是,传统的印章制度在一定范围内无法发挥作用,这就要求安全系统能提供这方面的保障,使得信息在传输、存储、共享过程中,既不被非法篡改,也无法进行抵赖。
因此,一个网络所受到的安全威胁,既有技术方面的,也有管理方面的;既有来自网络内部的,也有来自网络外部的;既有人为恶意攻击的,也有无意造成的。
所以,网络安全是一个系统的、多层面的和全方位的系统工程。
进口处架设了防火墙和网络入侵检测系统。
防火墙作为一种将内外网隔离的技术,普遍运用于4S企业网安全建设中。
防火墙可以有效地隔离内部网与外部网,保护4S企业内部网络免遭非法的侵入。
网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统,网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。
基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析,会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。
检查每台电脑发现我们的机器都正常,没有问题。
网络设备也正常。
于是认为是单位的某台电脑可能中了“ARP”的病毒,这种病毒有些杀毒软件很难根除,于是便在局域网内展开了ARP病毒捕杀过程。
3整体落实网络安全策略
3.1内部网络系统防范措施
①病毒防护:
有针对性地选择性能优秀的专业网络防病毒软件,是网络系统免遭病毒侵扰的重要保证。
如Kill网络防毒软件系统,具有较好的网络病毒防范功能,用户可以根据本企业网络的拓扑结构来选择合适的产品。
需要注意的是,一个完善、全面、可靠、实用的网络病毒防御系统,不能仅仅使用一种品牌产品,还应同时结合其他防病毒软件,如瑞星、KV300等一起使用,这样才能有较好病毒防范能力。
因为,不同品牌的网络防病毒软件,在病毒防范机制上有完全不同的个性,而当前的网络病毒不但种类繁多,而且病毒破坏原理和方式千差万别,要想彻底剿杀网络中可能存在的病毒,非得采用这种“大兵团”的作战方式不可。
②信道传输的安全:
有些可以要求信道提供商通过改造线路质量来完善,另外一些则可以由网络系统自己完善。
例如,在大中型企业中,技术力量相对较强,大部分数据库信息的采集和处理都需要自已二次开发,这样,就可以注入信道传输方面的安全措施。
比如可采用对应用程序加密、对通信线路(主要是DDN)加密,或采用VPN虚拟专用网络等较好的数据安全传输方案,完善网络安全防范体系。
③内部网络安全审计:
如果说防火墙是一道保卫内部网络的重要关卡,那么网络安全审计则是一支在网络内部值勤的网上巡警。
网络安全审计能够帮助对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。
网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度。
例如,复旦光华S-Audit审计系统,只要安置在大中型企业网络中心数据库服务器所在的网段上,就可保证信息的收集、分析、统计、存储、报警等顺利进行。
④内网IP地址与MAC地址绑定:
为了从物理上保证网络的安全性,特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料,完全可以将企业内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的惟一性。
显然,对于诸如电信、移动、银行、证券、税务等单位,因其网络系统完善、信息点广泛、人手一台PC、每人的口令各自保管,为MAC地址与IP地址捆绑创造了条件。
⑤操作系统和数据库管理:
在安装操作系统和数据库后,需要打的补丁一定要打,就是系统运行了一段时间后,厂家再次推出的补丁也最好补上。
而该关闭的协议一定要关闭,尽可能踢除一切可能存在的安全隐患。
对于数据库,不管是Sybase还是LotusNotes,它们都有一套安全机制,可以充分利用,减少内部网络用户利用应用系统漏洞进行的攻击。
⑥主要数据库服务器采用小型机:
计算机病毒一般都是针对具有统一、标准、广泛应用的网络环境,所以,现代网络病毒大都是针对Windows系列和应用广泛的数据库系统的。
有许多事关用户权益的企业,像电信、移动、银行、证券、税务等单位组建的网络系统,其主要数据库服务器不仅硬件必须采用小型机,操作系统也要采用由小型机厂商自己开发的专用产品,数据库也必须是专门为这类小型机开发的。
这种专用系统,因其硬件和软件的专用性而无法普及,因而也就不为一般病毒制造者所看好,更谈不上去为此系统专门制造病毒了。
⑦数据备份及恢复系统:
大中型企业网络系统,其系统各子网不可能都在同一座大楼内,有许多子网分布在离网络中心几公里甚至几十公里之外的下属单位。
一般来讲,可将网络系统的重要数据集中在企业网络中心管理,但有的企业因其业务发展的需要,下面的子网系统也有自己独立的数据库系统,像电信系统,不仅省公司有计费业务系统,地市公司也有计费业务系统,就是县公司也有计费业务系统,这些系统既有上下级之间的关联控制,又有相对的独立性,所以必须建立数据异地备份中心。
如采用以太网方式的磁带库备份系统来处理数据的备份等。
⑧其他网络防护手段:
网络的安全防范并非仅仅针对黑客和病毒,还应包括系统自身的物理安全防范,除了采用应有的如双电源双风扇、磁盘镜像、服务器主备结构等设备冗余外,还应采用必要的防雷、防静电、防电磁干扰以及磁盘消磁等安全防护手段。
3.2外联网系统防范措施
①安装防火墙:
在企业内部网络与外部网络之间安装防火墙,隔离内外部网络,并将防火墙设置为使所有进出内部网络的信息全部经由防火墙,而外部用户通过网络防火墙时,只能访问事先设置的由内部网数据库系统所指定的端口,并指出WWW服务器的Http协议以及匿名Ftp协议,其他权利一概禁止。
②安装隔离服务器:
像电信、移动等行业系统,从提高生产效率、方便客户以及自身业务发展的需要出发,开办了许多由个人代办或由银行代收的营销与收费系统。
虽然这些代办系统中只有几台终端,但这些终端在收取话费或办理客户入网手续时,必须访问本企业网络的数据中心。
为了企业网络的安全,一般的方法是专门安装一台前置隔离服务器,使这台隔离服务器作为内部数据与外部数据交换的中间环节,从而达到确保中心数据库安全的目的。
③安装电子申报服务器:
必须接入Internet的企业网,为了保证企业网络中心的数据安全,可安装WWW数据传输的电子申报服务器,并对WWW信息进行角色身份的分级管理,保证信息的真实、完整和加密,这同样是非常必要的安全手段之一。
例如在青鸟网关防火墙JB-FW上,直接增加角色认证就是一种比较方便的电子申报服务器方式,该套系统主要由防火墙、安全客户端和密钥管理中心三个部分组成,具有较强的安全防护作用。
④外部用户访问内部信息安全措施:
根据传统网络管理经验,外部用户访问内部信息比较安全的方法主要有两种:
一是可以对政府部门或公众开放的相关信息,如上报报表、企业黄页和产品简介等信息,放在防火墙之外的专用服务器上;二是在外部用户有必要访问内部信息时,如与电信和移动签订了收费或营销代办协议的代办站点或企业,可专门为其设置数据库访问专用端口,或授予仅仅支持WWW服务的Http协议和匿名的Ftp协议的权限,使外部用户在访问内部信息时,必须通过地址转换才能访问,其他则一律禁止。
⑤访问Internet的其他安全措施:
除了以上安全防范措施之外,还需要考虑对相关用户个人访问互联网的安全设防问题,具体做法主要有:
对于通过ISDN或PSTN方式访问Internet的笔记本电脑用户,要求其笔记本电脑除了操作系统和相关应用软件之外,一概不许存储涉及机密的数据和内容,包括备份文件;
下级部门若需要上Internet,最好单独配备一台不与企业网连接的专用PC机,使这台专用PC通过拨号访问Internet,其他企业网上的PC机一律不许采用拨号方式上网。
或者采用在公用网站(如政府网站或ISP等)上租用服务器对外发布信息,使各个部门通过专门配置的PC机定期向服务器传送信息;
需要频繁访问Internet,又必须工作于企业网上的某些特殊个人用户,可以采用安装网络隔离卡或双硬盘的办法来完成;
为了有效防止网上用户私自利用单位电话线上网,除需要可以访问Internet的专用电话线路外,其他电话线则通过电话局直接屏蔽连接ISP或ICP的电话号码(如163、990、169、165等),杜绝个人私下通过电话线路访问Internet的可能;
对于大中型企业网络系统的安全架构设计,还可以采用将各个子网的网段相互独立和相互隔离的方法,根据具体需求将各子网处以不同级别的安全保护策略。
如中心机房是最高安全级别,可安全地访问其他公开的资源、传输数据,并防止外部对内部计算机的非法使用,对内网实现功能强大的网络审计。
其他各部门子网则可以在允许的范围内访问资源。
总之,建立一套完整、完善的网络安全防御系统,达到既可方便地对外提供各种服务,又能有效地保护内部网络安全的目的,是非常重要的建网策略。
当然,网络安全的建设并不是一劳永逸的事情,各企业还应随技术的发展,不断完善自己的网络系统。
44S企业安全对策
4.1配置防火墙和入侵检测系统
4S企业网络的需求不同于其他一般的企业,他需要一个特殊的网络安全模型,多企业重视提高企业网的边界安全,暂且不提它们在这方面的投资多少,但是大多数企业网络的核心内网还是非常脆弱的。
企业也对内部网络实施了相应保护措施,如:
安装动辄数万甚至数十万的网络防火墙、入侵检测软件等,并希望以此实现内网与Internet的安全隔离,然而,情况并非如此!
企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。
这种接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。
实践证明,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。
于是网络维护者开始大规模致力于增强内网的防卫能力。
安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容,4S网络安全防范体系构建是以安全策略为核心,防护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善安全体系安全单元环境。
安全体系的示意图如图所示。
上图安全防范体系
在4S企业网的进口处架设了防火墙和网络入侵检测系统。
防火墙作为一种将内外网隔离的技术,普遍运用于4S企业网安全建设中。
防火墙可以有效地隔离内部网与外部网,保护4S企业内部网络免遭非法的侵入。
网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统,网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。
基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析,会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。
检查每台电脑发现我们的机器都正常,没有问题。
网络设备也正常。
于是认为是单位的某台电脑可能中了“ARP”的病毒,这种病毒有些杀毒软件很难根除,于是便在局域网内展开了ARP病毒捕杀过程。
找出病毒的根源首先打开局域网内所有电脑,随后下载了一款名为“AntiArpSniffer”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。
此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。
使用“AntiArpSniffer”查找感染毒电脑时,启动该程序,随后在右侧的“网关地址”项中输入该局域网内的网关IP,随后单击“枚取MAC”,这时该软件会自动获取到网关电脑网卡的MAC地址。
MAC获取后单击“自动保护”按钮,这样“AntiArpSniffer”便开始监视通过该网关上网的所有电脑了。
4.2采用VLAN技术
按4S企业部门拥有不同的应用业务以及不同的安全级别,有限制非法访问可以运用VLAN技术。
如使用三层交换机基于端口划分技术将网络分段并进行隔离,实现访问控制。
手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁,从某种意义来讲,企业耗费巨资配备的防火墙已失去意义。
这种接入方式的存在,极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络,从而造成敏感数据泄密、传播病毒等严重后果。
实践证明,很多成功防范企业网边界安全的技术对保护企业内网却没有效用。
于是网络维护者开始大规模致力于增强内网的防卫能力。
安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容,4S网络安全防范体系构建是以安全策略为核心,防护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善安全体系安全单元环境。
安全体系的示意图如图所示。
4.3配置代理服务器
在计算机中心机房配置访问控制列表,使用二级防火墙,并利用代理软件配置代理服务器,在代理服务器上安装双网卡,连接外网的网卡使用公网IP地址,连接内网的网
升级会员 