011807405090+魏大健+中百仓储网络安全问题及对策1.docx
《011807405090+魏大健+中百仓储网络安全问题及对策1.docx》由会员分享,可在线阅读,更多相关《011807405090+魏大健+中百仓储网络安全问题及对策1.docx(23页珍藏版)》请在冰豆网上搜索。
011807405090+魏大健+中百仓储网络安全问题及对策1
编号:
审定成绩:
毕业设计(论文)
设计(论文)题目:
中百仓储网络安全问题及对策
单位(学院):
重庆邮电大学
学生姓名:
魏大健
专业:
计算机网络
班级:
2006级
学号:
011807405090
指导教师:
郭玉杰
答辩组负责人:
填表时间:
二○○九年十二月
重庆邮电大学教务处制
摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
国际互联网络迅速发展,网上商机无限。
企业要在上网冲浪,推行电子商务,抓住新的商机却是困难重重。
一般的方案,初期投入在软件硬件,加上应用开发、通讯费用、人员培训、维护费用,一年的开支在数百万元以上,大多数中小企业连承担这笔费用都成问题,更谈不上投资回报了。
本文对目前计算机网络存在的安全隐患进行了分析,并探讨针对计算机安全隐患的防范策略。
本文从企业网络安全的角度出发,全面介绍了企业网络当前面临的各种安全威胁,主要包括网路结构、应用安全、和管理安全等几大部分。
并针针对这些风险提出了相应对策,这些对策主要有物理安全实施方案、VPN实施方案、防火墙实施方案、数据备份实施方案等。
关键词:
计算机,计算机网络,网路安全,对策
ABSTRACT
Summaryasthecomputernetworktechnology,inparticulartherapiddevelopmentofInternetusageisbecomingmorewidelyavailable,hasbroughtaboutunprecedentedmassiveinformationatthesametime,networkopennessandfreedomareprivateinformationanddataisdamagedorthepossibilityofinfringement,networkinformationsecurityhasbecomeincreasinglyimportant,hasbeenaninformationsocietyinallareas.TherapiddevelopmentoftheInternet,e-businessopportunities.EnterpriseswanttosurftheWeb,e-commerce,seizethenewopportunitiesitisfacedwithmanyproblems.Thegeneralschemeoftheearlyinvestmentinsoftware,hardware,applicationdevelopment,communicationcosts,stafftrainingandmaintenancecosts,aone-yearexpenditureinmillionsofdollars,mostSMEsevenbearcostswillbecomeaproblem,letalonetheirreturnoninvestment.Thisarticleonthecurrentcomputernetworkofcounterenasuresrfsc,andforthecomputersecurityimplicationsofpreventionstrategies.
Thisarticleembarksfromtheenterprisenetworksecurityangle,introducedcomprehensivelytheenterprisenetworkcurrentfaceseachkindofsafethreat,mainlyincludesthenetworkstructure,theapplicationsafe,andtheadministrativesecurityandsoonseveralmajorparts.Andtheneedleproposedinviewoftheserisksthecorrespondingcountermeasure,thesecountermeasuresmainlyhavethephysicalsafeimplementationplan,theVPNimplementationplan,thefirewallimplementationplan,thedatabackupimplementationplanandsoon.
Keywords:
computer,computernetwork,networksecurity,countermeasures
目录
摘要I
ABSTRACTII
1绪论1
1.1引言1
1.2本人主要工作1
1.3论文组织与结构1
2需求分析3
2.1企业当前状况简介3
2.2解决方案上的误区3
2.3应用开发上的误区4
2.4系统管理上的误区4
2.5本章小结5
3当前网络风险分析6
3.1网络结构的安全风险分析6
3.1.1外部网络的安全威胁6
3.1.2内部局域网的安全威胁6
3.1.3网络设备的安全隐患6
3.2操作系统的安全风险分析7
3.3应用的安全风险分析7
3.3.1文件服务器的安全风险7
3.3.2数据库服务器的安全风险7
3.3.3病毒侵害的安全风险8
3.3.4数据信息的安全风险8
3.4管理的安全分析8
3.5本章小结8
4网络安全方案设计9
4.1网络系统安全9
4.1.1网络系统安全具备的功能及配置原则9
4.1.2漏洞发现与堵塞9
4.1.3入侵检测与响应9
4.1.4加密保护9
4.1.5备份和恢复9
4.1.6监控与审计9
4.2边界安全解决方案10
4.2.1防火墙应具备如下功能10
4.2.2带防火墙功能的VPN设备10
4.3入侵检测与响应方案11
4.4网络防病毒方案11
4.4.1网络防病毒系统功能11
4.4.2防火墙形成联动几种方式12
4.4.3监控与审计系统功能12
4.5本章小结13
5具体解决方案14
5.1物理安全实施方案14
5.1.1防盗防火放水14
5.1.2机房环境14
5.1.3物理访问控制方面14
5.1.4机房屏蔽14
5.2VPN实施方案15
5.2.1VPN的优点15
5.2.2VPN与专线技术的比较15
5.3防火墙火墙实施方案16
5.3.1防火墙要求16
5.3.2防火墙结构17
5.4数据备份实施方案18
5.4.1企业数据库备份与恢复解决方案18
5.4.2服务器集群系统解决方案19
5.5本章小结20
6安全管理实施方案21
6.1工作人员个人安全行为规范21
6.1.1安全工作环境21
6.1.2上网规定21
6.2审计规范21
6.3本章小结22
7工作总结和心得体会23
7.1工作总结23
7.2心得体会23
致谢24
参考文献25
附录:
英文文献翻译26
网络信息安全概述28
1绪论
1.1引言
计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
目前,全世界的军事、经济、社会、文化各个方面都越来越依赖于计算机网络,人类社会对计算机的依赖程度达到了空前的记录。
由于计算机网络的脆弱性,这种高度的依赖性是国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪整个社会就会陷入危机。
1.2本人主要工作
我在写这篇论文时候,做了以下工作:
1、搜集中百仓储的网络需求
2、需求分析
3、中百仓储当前网络分析
4、中百仓储网络安全方案设计
5、具体的解决方案
6、安全管理实施方案
1.3论文组织与结构
第一部分:
绪论。
本章是全文的概述,主要介绍论文的主要工作和结构;
第一部分:
需求分析。
主要介绍了企业的概况和企业对网络的需求,以及本论文的研究背景和研究工作;
第三部分:
当前的网络风险分析。
对网络的结构、操作系统、应用、管理的风险等进行简单描述;
第四部分:
网络安全方案设计。
介绍了中百仓储网络系统安全、边界安全解决方案、入侵检测、网络防病毒等安全方案;
第五部分:
中百仓储网络具体的解决方案。
通过以上准备,中百仓储网络的具体解决方案设计出来了。
第六部分:
安全管理实施方案。
主要针对工作人员提出的具体管理方案。
2需求分析
2.1企业当前状况简介
中百集团股份有限公司是中国商业上市公司,中国商业名牌企业,是湖北省唯一连续5年(2001年-2005年)进入全国零售连锁经营30强企业。
资产总额27.88亿元,净资产8.43亿元。
公司不断强化流通现代化建设,投资5000余万元,建立了集团商务计算机管理系统,实现了超市连锁经营网点电脑联网和数据实时传输,面对这样一个庞大的网络,系统的安全及日常维护成为中百仓储急需解决的问题,这不仅关系到公司的切身利益和安全,从长远角度来看,更关系到企业的生存与发展,为此,中百仓储高层管理对公司内部网络的安全问题做出探讨。
2.2解决方案上的误区
在解决方案上的误区主要包括:
1、只要肯花钱就万事大吉了。
诚然,投资是企业网络建设的基本,但并非所有的东西都能直接买来,事实上,数据、应用软件、网络系统的管理及网络应用水平等都不是简单买来就了事的,若不根据实际需求,盲目认为购买的硬件、软件产品越贵越好,甚至要求达到10年不落后,这种提法本身就不科学。
信息技术的发展是日新月异的,10年前谁也不知道计算机会发展到如此水平,同样,10年后谁也无法预料。
这一以来,后果是可以想到的:
平台越先进,设备越昂贵,技术越复杂,建设的投入与产出相比一定很高,这当然不是企业需要得到的结果。
2、只要有了网络、服务器、数据库、联通了Interent就能要什么就有什么了。
忽视总体数据体系规划和组织、应用系统开发、数据的采集、传输、加工、存储和查询等具体应用工作,而缺少这些,网络的作用就不能充分发挥出来,这恰恰与企业网络建设的初衷相违。
3、不经调研匆匆上马。
有的企业想到建网站就恨不得几天之内把网站建好,实际上,这是一项长期的工作。
4、只要找到好的供应商、系统集成商就肯定可以把网络建好。
没有想到只有良好的合作才能获得成功,只有建立自己的技术队伍才能保持成功。
2.3应用开发上的误区
应用开发时企业网络系统建设中的重要内容,也是网络建设成功与否的关键。
不少企业网络建设项目中,在应用开发方面也存在一些误区:
1、只要有好的计算机专业人员去干就可以了,其他人员不用操心。
实际上也无人员如果不参与应用开发工作,由于专业计算机人员缺少具体业务知识和经验,无法独立开发出很适合业务部门的应用软件。
2、凡是业务部门、业务人员提出的需求都要进行开发。
在应用开发的范围上,不进行认真的分析,不分主次。
实际上,许多现成的软件已包含了多项功能,例如EXECL,但由于不重视业务人员计算机技能的提高,一切功能都寄希望于开发。
这就造成开发成本的提高和工作重点的分散。
3、开发软件与操作软件一样容易。
所以不重视开发人员的工作,随意提出需求,之后又随意改动,这样的改动,很可能给开发增加许多工作量,更为严重的是,破坏开发的总体规划,导致开发进度延迟。
4、企业高级领导认为开发工作是下面的事。
不参与总体规划,却对开发抱着过高的期望,一位开发结果一定符合自己的想象。
2.4系统管理上的误区
企业网络效果的发挥离不开系统管理,而绝不仅仅只是安装好企业网络设备配置好软件那么简单;同样一个运行良好的企业网离不开人的管理。
系统管理在网络建设和维护中至关重要的。
目前在系统管理上存在的误区主要包括:
1、系统管理只要有计算机人员就可以了。
不建立规范、有效的管理制度,没有笑道系统管理实际上是企业管理中必不可少的一部分。
2、系统管理就是对计算机、网络设备、系统软件的管理。
没考虑到对企业整体资源的管理,不注重对数据信息的规范化、标准换的管理。
3、系统管理简单、投入不高、投入的财力、人力、物力不足。
有许多企业的系统管理员只会“玩”PC而已,网管软件也被当做是可有可无的东西。
殊不知,随着网络技术的发展和信息的增多,系统管理工作是相当复杂和繁重的。
4、系统管理工作只是辅助性的工作,不能为企业创造直接效益,可意不予重视。
结果导致专业计算机人才流失,只好使用非专业人员,使管理效果大打折扣。
5、只有看得见的东西才值钱,没有全局观念,而不愿在服务上花钱。
在系统管理上无法得到专业厂商的支持,导致管理水平业余而落后。
2.5本章小结
本章主要介绍了企业当前的状况,分析了企业网路解决方案、应用开发、系统管理这三方面的误区。
3当前网络风险分析
网络安全是企业网络正常运行的前提。
网络安全不单是单点的安全,而是整个企业信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。
要知道如何防护,首先需要了解安全风险来自于何处。
网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。
无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成业务网络的中断。
根据国内企业网络系统的网络结构和应用情况,从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
3.1网络结构的安全风险分析
3.1.1外部网络的安全威胁
企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息。
假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网一些不怀好意的入侵者的攻击。
3.1.2内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:
误用和滥用关键、敏感数据;内部人员故意泄漏内部网络的网络结构;内部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。
3.1.3网络设备的安全隐患
网络设备中包含路由器、交换机、防火墙等,它们的设置比较复杂,可能由于疏忽或不正确理解而使这些设备可用但安全性不佳。
3.2操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。
操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。
从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。
而且系统本身必定存在安全漏洞。
这些后门和安全漏洞都将存在重大安全隐患。
系统的安全程度跟安全配置及系统的应用有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进入内部网是不容易的,这需要相当高的技术水平及相当长时间。
3.3应用的安全风险分析
应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
3.3.1文件服务器的安全风险
办公网络应用通常是共享网络资源。
可能存在着员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
3.3.2数据库服务器的安全风险
内网服务区部署着大量的服务器作为数据库服务器,在其上运行数据库系统软件,主要提供数据存储服务。
数据库服务器的安全风险包括:
非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。
数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复,也是需要考虑的安全问题。
3.3.3病毒侵害的安全风险
网络是病毒传播的最好、最快的途径之一。
病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。
因此,病毒的危害的不可以轻视的。
网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
3.3.4数据信息的安全风险
数据安全对企业来说尤其重要,数据在公网线路上传输,很难保证在传输过程中不被非法窃取、篡改。
现今很多先进技术,黑客或一些企业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息,也就造成的泄密。
3.4管理的安全分析
管理方面的安全隐患包括:
内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。
责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。
把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
内部不满的员工有的可能造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。
责权不明,管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
即除了从技术下功夫外,还得依靠安全管理来实。
3.5本章小结
本章主要介绍了中百仓储当前的网络分析分析,操作系统安全风险分析,网络管理的按分析,以便为下文的网络安全方案设计做铺垫。
4网络安全方案设计
4.1网络系统安全
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:
网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
4.1.1网络系统安全具备的功能及配置原则
网络隔离与访问控制。
通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
4.1.2漏洞发现与堵塞
通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
4.1.3入侵检测与响应
通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4.1.4加密保护
主动的加密通信,可使攻击者不能了解、修改敏感信息(如VPN方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
4.1.5备份和恢复
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
4.1.6监控与审计
在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。
一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
4.2边界安全解决方案
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。
在网络内部进行各种连接的地方使用带防火墙功能的VPN设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
4.2.1防火墙应具备如下功能
使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;允许Internet公网用户访问到DMZ区的应用服务:
http、ftp、smtp、dns等;允许DMZ区内的工作站与应用服务器访问Internet公网;允许内部用户访问DMZ的应用服务:
http、ftp、smtp、dns、pop3、https;允许内部网用户通过代理访问Internet公网;禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;禁止DMZ区的公开服务器访问内部网络;防止来自Internet的DOS一类的攻击;接受入侵检测的联动要求,可实现对实时入侵的策略响应;对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息,防止恶意用户信息刺探;提供日志报表的自动生成功能,便于事件的分析;提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态当前有那些连接、正在连接的IP、正在关闭的连接等信息),通信数据流量。
提供连接查询和动态图表显示。
防火墙自身必须是有防黑客攻击的保护能力。
4.2.2带防火墙功能的VPN设备
该设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有SVPN的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求SVPN应具有以下功能,防火墙基本功能,主要包括:
IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);具有对连接两端的实体鉴别认证能力;支持移动用户远程的安全接入;支持IPESP隧道内传输数据的完整性和机密性保护;提供系统内密钥管理功能;SVPN设备自身具有防黑客攻击以及网上设备认证的能力。
4.3入侵检测与响应方案
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。
通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案,除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。
目前常用的方法是配置漏洞扫描设备。
主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置
升级会员 