安全与管理.docx

1、安全与管理目录第一章 诺基亚企业分析 2背景简介 2第二章 网络集成 2网络系统集成方案： 2网络系统集成的主要任务和作用： 3第三章 安全系统建设原则 3第四章 网络安全总体设计 44.1 网络安全 44.2 网络传输 44.3 访问控制 54.4 入侵检测 54.5 漏洞扫描 64.6应用系统安全 64.6.1 系统平台安全 64.6.2 应用平台安全 74.6.3 病毒防护 74.6.4 数据备份 7第五章 安全设备要求 85.1 安全设备选型原则 85.1.1 安全性要求 85.1.2 可用性要求 95.1.3 可靠性要求 95.2 安全设备的可扩展性 95.3 安全设备的升级 95.

2、4 设备列表 9第六章 综合布线系统 101 概述： 102 应用范围： 10实训小结 11参考文献： 12第一章 诺基亚企业分析背景简介：诺基亚致力于在中国的长期发展并成为最佳的合作伙伴。凭借创新科技，诺基亚作为中国移动通信系统和终端、宽带网络设备领先供应商的地位不断加强。诺基亚是中国移动通信行业最大的出口企业。中国也是诺基亚全球重要的生产和研发基地之一，诺基亚在中国建有五个研发机构和四个生产基地，办公机构遍布全国，员工逾4500人。 诺基亚是移动通信的全球领先者，推动着更广阔的移动性行业持续发展。诺基亚致力于提供易用和创新的产品，包括移动电话、图像、游戏、媒体以及面向移动网络运营商和企业用

3、户的解决方案，从而丰富人们的生活，提升其工作效率。诺基亚股票在全球五个主要证券市场上市，股东遍布世界各地。作为全球最大的移动电话生产商，诺基亚全球移动电话销量连续五年超过市场平均增长，2003年诺基亚手机销量占全球市场的38%，并继续朝着40%的目标迈进。 诺基亚是中国领先的移动电话生产商和首选的移动电话品牌。诺基亚移动电话的战略思想是让具有品牌的移动解决方案丰富人们的生活。第二章 网络集成网络系统集成方案： 随着各行各业现代化建设的需要，越来越多的单位要求建立起一个先进的计算机信息系统。由于各个单位都有着自己的行业特点， 因此所需的计算机系统千变万化。从工厂的生产管理系统到证券市场的证券管理

4、系统，从政府的办公系统到医疗单位的管理系统，不同的系统之间区别很大。对不同单位不同应用的计算机系统都要作出一个详细的系统设计方案,这就是计算机系统集成方案。一般来说，计算机系统集成分成以下三个部分来进行。 1调查分析 2设计目标 3设计原则网络系统集成的主要任务和作用： 技术集成：根据用户需求的特点，结合网络技术发展的变化，合理选择所采用的各项技术，为用户提供解决方案和网络系统设计方案。 软硬件产品集成：根据用户需求和费用的承受能力，为用户的软硬件产品进行选型和配套，完成工程施工和软硬件产品集成。 应用集成：面向不同行业，为用户的各种应用需求提供一体化的解决方案，并付诸实施第三章 安全系统建设

5、原则诺基亚企业网络系统安全建设原则为：1)系统性原则诺基亚企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。2)技术先进性原则诺基亚企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。3)管理可控性原则系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应

6、资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。4)适度安全性原则系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。5)技术与管理相结合原则诺基亚企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。6)测评认证原则诺基亚企业网络系统作为重要的政务系统，其系统的

7、安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。7)系统可伸缩性原则诺基亚企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。第四章 网络安全总体设计一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。4.1 网络安全作为诺基亚企业应用业务系统的承载平台，网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换，4.2 网络

8、传输由于诺基亚企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等;另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。根据诺基亚企业三级网络结构，VPN设置如下图所示：图4-1三级 VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA)，在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务

9、器通过网络对下一级的VPN设备进行集中统一的网络化管理。4.3 访问控制由于诺基亚企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。4.4 入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响

10、应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图：从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功

11、能)等方式进行控制(即安全设备自适应机制)，最后将攻击行为进行日志记录以供以后审查。4.5 漏洞扫描作为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。4.6应用系统安

12、全4.6.1 系统平台安全XXX企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。XXX企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。4.6.2 应用平台安全诺基亚企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对

13、安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。4.6.3 病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络

14、没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。4.6.4 数据备份作为国家机关，诺基亚企业内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点：l 存储介质安

15、全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。l 数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。l 备份过程安全确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。l 备份数据的保管对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境(温度、湿度等)的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份(避免类似美国911事件为各公司产生的影响)第五章 安全设备要求5.1 安全设备选型原则对诺基亚

16、企业网络系统的安全设备选型时，必须在满足国家对信息安全产品的政策性要求前提下，综合考察设备的功能和性能，必须符合诺基亚企业网络系统的网络安全需求。5.1.1 安全性要求政策性原则信息安全设备(硬件/软件)均应经过信息安全产品的主管部门的测评认证、鉴定和许可。技术性原则(1) 安全设备必须具有自我系统保护能力。l 安全设备的软件平台应为专用定制的基于最小内核的操作系统，不应采用一般商业Dos, Windows或Unix操作系统。l 安全设备应提供避免或禁止内外网络用户进入系统的手段，即使对安全管理员而言，也应遵循对系统操作的最小授权原则。对安全设备的配置必须具备多重安全措施且拥有最高安全授权，同

17、时具备进行严格的操作审计功能，在出现安全故障时应具有安全应急措施。l 安全设备遇故障工作失效，系统应自动转为缺省禁止状态。(2) 安全设备必须至少具有履行所需安全服务的最小能力。l 安全设备所采用的技术，不单纯追求先进、完善，而必须保证实用和成熟性，相关技术标准应采用、引用和接近国家标准。l 安全设备的接入不影响原网络拓扑结构，安全设备的运行不明显影响原网络系统的运行效率，更不能导致产生通信瓶颈。l 安全设备的机械、电气及电磁辐射性能必须符合国家标准，且能满足全天候运行的可靠性要求。5.1.2 可用性要求(1)安全设备的技术性能和功能，必须满足行业系统管理体制的要求，即能基于网络实现安全管理，

18、具有接受网络信息安全管理机构管理的能力。(2)安全设备所采用的技术，不单纯追求先进、完善，而必须保证实用和成熟性，相关技术标准应采用、引用和接近国家标准。(3)安全设备的接入不影响原网络拓扑结构，安全设备的运行不明显影响原网络系统的运行效率，更不能导致产生通信瓶颈。(4)安全设备的使用必须简便、实用。5.1.3 可靠性要求(1) 安全设备的机械、电气及电磁辐射性能必须符合国家标准(2) 能满足7*24小时无人值守工作模式5.2 安全设备的可扩展性作为一个安全系统建设项目，其安全系统的建设周期往往存在几个阶段，跨越很长时间，少则几个月，因此，对安全设备要求能够满足高扩展性要求。根据XXX企业网络

19、系统安全建设的建设和应用系统的发展需要，能够随时对安全产品的功能、规模进行扩充，而且不能影响XXX企业网络系统的结构。5.3 安全设备的升级在安全方案中涉及的安全产品，必须是能够升级的安全产品。由于网络技术飞速发展，网络应用越来越广泛，网络安全的新的软件、硬件、协议等漏洞不断涌现，因此，对安全产品进行升级是必不可少的。如VPN系统的软件升级、杀毒软件的定期升级病毒特征代码库、入侵检测系统升级攻击行为特征库等。5.4 设备列表针对XXX企业网络安全建设需要，本方案中主要的安全产品见下表：产品名称主要作用SVPN系统传输加密保护、网络隔离。防病毒系统病毒防护。入侵检测仪网络入侵行为检测，并对攻击行

20、为作出阻隔、记录、报警。漏洞分析仪定期对网络系统的软、硬件漏洞进行分析，便于调整网络安全设置。网络隔离卡用于在两套网络见进行切换。保证物理安全。信号避雷器用于网络防雷。对没有列出的安全产品，根据用户实际情况进行调整。第六章 综合布线系统1 概述： 综合布线也叫结构化布线，一般分为集中式网络配置和分散式网络配置两种；前者即把全部网络设备(包括 HUB、服务器、UPS等)都集中放置在中心机房，各子系统的综台布线线缆最后都集中到中心机房的主配线间，这也是标准的综合布线方法。它具有以下优点： 1系统网络整齐美观，易于管理和维护； 2系统网络易于调整； 3网络设备可实现零冗余，充分发挥系统设备的速度；

21、4系统安全性好。 分散式网络配置只把服务器、 UPS和部分 HUB放置在中心机房，把各子系统的线口引到各子系统所在的楼层。它的优点是系统可扩充性好，系统配置比较灵活，节省材料和费用。以上两种方法有时是同时使用的，这样能充分发挥各自的优点。2 应用范围： 由于综合布线系统主要是针对建筑物内部及建筑物群之间的计算机、通信设备和自动化设备的布线而设计的，所以布线系统的应用范围是满足于各类不同的计算机、通信设备、建筑物自动化设备传输弱电信号的要求。实训小结这次实训对于我们即将走上工作岗位的大三学生来讲是非常有必要的，尤其是对于我们电子商务的学生来讲更是一次不可缺少的实践课程，它让我们更进一步的体会了网

22、络世界的迅速发展和强大功能。这次主要的实训目的有：理解局域网的拓扑结构，掌握局域网的布线方法，学生能自己动手组建局域网；能够清晰地知道计算机网络中的一些硬件设备的作用；可以组建、调试对等网络和客户端/服务器网络；掌握服务器/客户端模式中的管理用户和组的功能，配置Web服务器、FTP服务器；网络安全构建及接入Internet技术；实现不同网段之间网络互联；掌握路由器、交换机的配置；了解校园局域网、网吧局域网和公司局域网的拓扑结构及控制方法；掌握网络操作系统及网络通信协议的设置和组建网络的知识。这样一看真的是受益不浅呀。在实训过程中，我们了解了组网所需设备的基本功能，并且学习制作双绞线。在构建计算

23、机网络时，要用到一些基本的网络组件，如网卡、网线、网络设备等。只有对这些网络组件的功能、特性有一定的了解，才能合理地选择和使用这些组件，从而构建成本低廉、性能优良的计算机网络。还了解了资源共享的相关知识：知道共享资源是计算机网络组建的最大目的。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。总之这次的实训真的是我受益匪浅，让我实实在在的学会了不少的东西，对以后的工作肯定会启着不小的帮助的，就算自己以后不从事这方面的工作，这次的实训也会成为我人生中一笔很好的财富。参考文献：1. 韩希义. 计算机网络基础. 第一

24、版. 北京：高等教育出版社，2004 2. 徐敬东等. 计算机网络. 第一版. 北京：清华大学出版社，2002 3. 沈辉等. 计算机网络工程与实训. 第一版. 北京：清华大学出版社，2002 4. 褚建立等. 计算机网络技术实用教程. 第二版. 北京：电子工业出版社，2003 5. 刘化君. 计算机网络原理与技术. 第一版. 北京：电子工业出版社，20056. 谢希仁. 计算机网络. 第二版. 北京：电子工业出版社，19997. 陆姚远. 计算机网络技术. 第二版. 北京：高等教育出版社，20008. 刘习华等. 网络工程. 第一版. 重庆：重庆大学出版社，20049. 彭澎. 计算机网络实用教程. 第一版. 北京：电子工业出版社，200010. 陈月波. 使用组网技术实训教程. 第一版. 北京：科学出版社，2003