渝安集团网络安全问题及对策.docx
《渝安集团网络安全问题及对策.docx》由会员分享,可在线阅读,更多相关《渝安集团网络安全问题及对策.docx(27页珍藏版)》请在冰豆网上搜索。
摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
Internet日益普及,网络安全问题也日益突出,如何在开放网络环境中保证企业数据和系统的安全性已经成为大家关心的问题,并越来越迫切和重要。
虽然目前对安全技术的研究也越来越深入,但目前的技术研究重点都放在了某一个单独的安全技术上,却很少考虑如何对各种安全技术加以整合,构建一个完整的网络安全防御系统。
渝安集团网络安全防御系统重点论述了构建一个网络安全防御系统的方案设计和实现过程。
本文对渝安集团网络存在的安全隐患进行了分析,并探讨了针对这些网络安全问题的防范策略。
本文介绍了计算机网络和网络安全的概念,对渝安集团的网络安全需求进行了深入调查和分析,对该公司互联网的安全问题提出了解决方案,认为实现网络安全措施的一种重要手段就是防火墙技术,因而重点介绍了防火墙种类和防火墙技术的实现。
关键词:
网络安全;安全策略;防火墙
引言 1
第1章企业网络安全需求分析 2
1.1渝安集团简介 2
1.2网络安全概念 2
1.3网络安全需求 2
1.4建设内容 3
第2章企业网络安全问题分析 4
2.1渝安集团网络安全问题 4
2.2网络攻击分析 5
2.2.1网络监听 5
2.2.2拒绝服务攻击 6
2.2.3远程攻击 7
2.2.4系统攻击 8
第3章企业网络安全技术 9
3.1密码学技术 9
3.2访问控制技术 9
3.3安全通信协议 9
3.4入侵检测 10
3.5网络防御体系 10
第4章 网络安全解决方案 19
4.1方案总体设计 19
4.2具体方案实施 19
4.2.1入侵检测系统 19
4.2.2防病毒系统 21
4.2.3防火墙技术 24
结束语 28
参考文献 29
30
引言
计算机网络安全问题造成的影响将是灾难性的。
计算机网络的安全与网络设备、网络软件(尤其是防病毒软件和网络管理软件)、备份措施,以及相关的网络管理措施等都有关系。
一个完善、安全的网络系统应该包括以下几个功能:
1.病毒防范,减少病毒造成的危害;2.访问控制3.监控、审计功能;4.安全漏洞检查。
本文主要介绍渝安集团网络安全问题的分析及其对策,针对常见的网络攻击提出以下解决方案:
密码学技术,访问控制技术,安全通信协议,入侵检测,网络防御体系以及防火墙技术。
防火墙是网络安全的关键技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。
本文讨论了实现防火墙的主要技术手段,重点阐述了现行防火墙的功能、类型、安全措施以及防火墙技术的发展。
第1章企业网络安全需求分析
1.1渝安集团简介
重庆渝安创新科技(集团)有限公司地处重庆市沙坪坝区上桥工业园,是一家集研发、生产、销售摩托车、汽车及发动机、减震器为一体的高科技大型民营企业,2004年3月,渝安集团被评为“国家级守合同重信用”企业;集团被重庆市经委连续六年确立为重庆市66户重点增长企业;被重庆市工商局确定为企业年检免检企业;连续四年被重庆市政府评为重庆市民营企业50强。
同时,集团还连年被重庆市沙坪坝区国税、地税局联合上报为诚信纳税先进单位。
集团董事张兴海先后荣获国家农业部颁发的第四届、第五届“国家乡镇企业企业家”称号和获得重庆市五一创新劳动奖章,2006年又被市政府评为优秀社会主义建设者。
集团创始于1986年9月。
经过19年的发展,到2005年底,拥有资产6.1亿元,生产厂房面积80000余平方米,占地700余亩的渝安科技工业园(在重庆井口工业园区内)也已动工建设,一期工程已全部建成投产。
集团现有在册员工4000余人,其中各类专业技术管理人员600余人,技术工人3000余人。
集团依靠强大的技术研发能力和生产能力,实施多元化配套体系发展战略,时至今日,已具备年生产摩托车减震器400万套/台、汽车减震器30万套/台、汽车发动机5万台、摩托车30万辆的能力。
集团拥有嘉陵、力帆、宗申、隆鑫、大长江集团等固定的减震器客户和遍及全国主要大中城市的摩托车、微型汽车营销网点。
渝安集团进出口公司在世界各地设有办事处,产品已销往东南亚、中东、非洲、欧洲、美洲等地区。
1.2网络安全概念
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
1.3网络安全需求
对于渝安集团来讲,必须面对或解决存在的网络安全和管理问题,根据网络安全调查分析,目前渝安集团的安全需求包括:
•保护涉密数据,防止泄密;
•终端用户应用程序管理;
•终端用户设备和资产管理;
•终端用户网络访问资源管理;
•操作系统补丁统一升级;
•日志审计。
1.4建设内容
1.网络安全系统的架构
进一步完善公司内部网络系统,实现信息中心与下属单位及相关单位的高速互联互通,建立完善、安全的内部网络系统。
2.数据安全传送系统
渝安集团的安全系统将建立在总部的网络通讯基础及网络应用平台之上,把总部数据安全系统建设成一个安全、可靠、开放、高效的信息网络,为总部以下的全国各地信息终端提供现代化的日常数据传送条件及丰富的综合信息服务,提供整个系统范围内的文件、数据及通讯服务,实现通用办公、领导办公、公用信息、个人信息、信息汇总等处理自动化、安全化,以提高办公效率和安全管理水平。
第2章企业网络安全问题分析
如今已到了商业时代,随着金钱利益的驱动,行行色色的各类人进入了互联网。
而商场如战场,不同的企业之间,就可能为了自己的利益,用尽手段,以达到他们的目的,而网络企业就更出在浪尖上,因为互联网,本身就有许多的缺陷,不良企图的人就有机可乘了。
他们被金钱利益驱动,他们也有着不错的技术,却被金钱物欲所俘获,将自己的技术和灵魂出卖给金钱一只要为了经济利益,可以不择手段地进行破坏。
使用着前几类人所开发者的工具,对网络上的机器——不管是终端用户还是服务器进行扫描;看到有漏洞的系统就又使用他人的教程、工具尝试进入,并在进入之后大肆进行破坏,所以要提高企业网络安全保护。
2.1渝安集团网络安全问题
随着渝安集团信息化逐步深化,在此过程中也出现了很多相关问题,
1.现代管理方式的变革及带来的问题
互联网时代,世界每天都在发生变化。
对于渝安集团来说,渝安集团现有的管理体制也在逐渐吸取新的管理方式,采取新的手段来适应时代的发展,现在渝安集团有很多个分厂,分厂之间、分厂与总厂之间的沟通与交流越来越密切,除了传统的电话、传真、邮件之外,电子邮件也逐渐成为了一种主要的交流工具。
但是,在传统的管理方式中,并没有一种好的工具来提高管理水平,例如:
传统金字塔式的管理体制使不同部门之间的员工几乎无法交流,而处于金字塔顶端的公司领导层也很难了解普通员工的行为,特别是随着渝安集团规模的扩大,总经理通常只能接收到身边人的信息,而这些信息又是不尽相同,信息量越来越大,渝安集团的领导层如何在这些纷杂的信息中发掘对自己有用的内容,是很多领导人头痛的问题。
2.管理的透明化与扁平化
阶梯式的管理结构是一种传统的管理模式,这样处于金字塔顶端的总经理通常只能接收到处于中层的部门经理的反馈,而无法根据普通员工的表现对中层干部的工作进行评价。
而对于处于底层普通员工的接触就很少,他们很少能够进行越级的信息反馈。
并且这也是传统管理模式中比较忌讳的一种方式。
怎样实现管理的扁平化与透明化
3.信息管理的可控性
互联网给渝安集团带来的好处很多,然而开放的网络中充斥着各种与业务无关的信息,色情、暴力、反动等不健康内容随处可见,这些内容常常不请自来,通过邮件,BBS等,简直到了无孔不入的地步。
有的员工视单位电脑如免费网吧,浏览不相干的网站、下载游戏、QQ聊天、收发个人EMAIL、看电影,甚至逐渐演变成为打发上班时间的主要活动。
但是,渝安集团的工作效率因而大大降低,不少管理者为此忧心忡忡。
4.信息的保密
随着现在企业与人才之间双向选择的推广,在渝安集团规模的不断扩大的过程中,渝安集团会经历不只一次大的人事变动,以及数量频繁的小的人事流动,而在流动的人员里不可能每个人都很正直,比如:
销售人员带走客户资源等。
也不可能保证每个员工对集团都是忠诚的,过去渝安集团的网络、渝安集团的email发走本集团的机密信息,U盘软盘copy走本集团的秘密资料,用该集团的打印机打印敏感的文件,显而易见这会给集团造成什么样的损失。
怎样才能保证这些在你面前的而又不可知的事情不会发生。
5.信息资源的集中化管理
随着渝安集团规模的不断扩大,人员不断增加,信息网络方面的办公器材也不断增多,以往的管理方式是该集团的设备职能部门一个或者几个人对这些器材进行管理、记录。
但是当人员和设备增多的时候,管理人员缺乏,记录就会出现偏差,那么就需要相应的增加人手,这样又增加了人员成本。
这就是一些每年都有大量资产流失的原因之一。
怎样解决又是摆在管理者面前的一个问题。
6.管理的可靠性和安全性
现今网络里的病毒,木马和各种攻击,入侵方式多得不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要网络被病毒或者攻击等方式而导致瘫痪,那真可以说集团也就瘫痪了。
现在对于安全的考虑大多是事后解决,防火墙只能执行事先设定好的规则,而ids的误报率很高,杀病毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。
2.2网络攻击分析
下面将对渝安集团存在的网络攻击归纳分析,对网络监听、拒绝服务攻击、基于网络边界而言的远程攻击和内部未授权用户对系统的攻击进行分析。
2.2.1网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理信道上传输的所有信息,而不管信息的发送方和接受方是谁。
所以进行通信的信息必须进行加密,否则只要使用一些网络监听工具就可以截获包括口令和账号在内的信息资料。
大部分的传输介质如Ethernet、FDDI、Token-ring、模拟电话线、无线接入网上都可实施网络监听,其中尤以Ethernet与无线接入网最为容易,因为这两者都是典型的广播型网络。
2.2.2拒绝服务攻击
一般来说,拒绝服务攻击有些是用来消耗带宽,有些是消耗网络设备的CPU和内存。
例如对UDP的攻击,原理就是使用大量的伪造的报文攻击网络端口,造成服务器的资源耗尽,使系统停止响应甚至崩溃。
也可以使用大量的IP地址向网络发出大量真实的连接,来抢占带宽,造成网络服务的终止。
拒绝服务一般分两种:
一是试图破坏资源,使目标无人可以使用此资源。
如破坏或摧毁信息:
删除文件、格式化磁盘、切断电源等。
二是过载一些系统服务或者消耗一些资源,通过这样的方式可以造成其它用户不能使用这个服务。
这两种情况大半是因用户错误或程序错误造成的,并非针对性的攻击。
针对网络的拒绝服务攻击主要包括服务过载攻击、消息流攻击、Paste式攻击、SYNFlooding攻击、过载攻击、Mailbomb攻击。
图2-1SYNFlooding攻击
SYNFlooding攻击主要是在一个主机接收到大量不完全连接请求而超出其所能处理的范围时,就会发生SYNflooding攻击。
在通常情况下,希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。
SYNFlooding攻击就是基于阻止3次握手的完成来实现的。
SYNFlooding的攻击原理是:
首先,攻击者向目标主机发送大量的SYN请求,用被挂起
升级会员 