最新中小型企业网络安全整体解决方案.docx

1、最新中小型企业网络安全整体解决方案中小型企业网络安全整体解决方案 摘 要 网络安全整体解决方案是一个具体问题，根据不同的企业的实际情况，网络建设的规模，应用层次，以及经济因素，设备档次也不完全相同，就如何来确定企业网络建设的总体方案，需求有一个统一的指导思想，或者说一般性的原则和方法。根据企业的具体情况提出需求分析和可行性分析的具体策略，指定经济型分步实际计划和方案的基本方法，有计划，有步骤的开展经济安全的网络建设工作的基本步骤。详细分析网络安全的内部和外部因素，物理安全和系统安全，从宏观角度探讨网络安全的基本策略。最后提出系统安全分析与实现策略研究，针对不同级别，不同层次的，不同类型的安全问

2、题，从微观角度分析和探讨网络安全存在的隐患遗迹相应的解决对策，概括常用的安全技术方法和实施措施。在研究网络数据包捕获、 TCP/IP原理的基础上，采用面向对象的方法进行了需求分析与功能设计,利用多方软件支持，有效地进行企业网络中的流量大小的监控与管理，不尽能及时的发现威胁，而且能尽快的组织威胁的蔓延，保证网络中的数据信息和重要文件等得到了有效的保护，是的企业的利益最大程度的优化。利用现有和最新安全检查技术，如网络扫描。流量监控等，通过扫描报告或流量记录分析判断网络是否正常，及时发现网络存在的入侵或安全漏洞。安全扫描时对网络安全防御中的一项重要技术，其原理是采用仿真黑客入侵的手法测试系统上有没有

3、安全上的漏洞，对目标可能存在的已知安全漏洞进行逐项检测。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密的可靠的安全性分析报告。关键字：网络安全，密码加密，流量监控，网络扫描第一章 引言第一节 课题研究背景 黑客攻击平均每年为美国大型机构带来的经济损失高达3000万美元，折合为其总营业额的2.2%。另据普华永道受英国贸易与工业部委托而进行的一项调查的结果显示，英国去年由于安全问题而导致的损失达到了180亿美元，这一水平与两年前相比增长了50%左右。而最近中国一个网络犯罪案例更是让通信公司对安全问题有了进一步的重视，某高科技公司的工程师利用互联网多次侵

4、入某移动通信公司充值中心数据库，窃取充值卡密码并向他人销售，造成该公司370多万元人民币的损失。据预测，安全问题所造成的损失还将继续增长，越来越多的企业、用户已经意识到安全问题的严重性。从这方面，可以看到移动泛在网络下的安全问题值得我们去研究和探讨。由于我国网络安全和技术的发展时间相对较短，在核心技术方面与国外先进水平存在一定的差距。就更要加强网络信息保密性、完整性和可用性的保护。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。第二节 目前发展现状 近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信

5、息安全问题日益突出。据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网

6、络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。 当然，除了人为因素，网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定，他们主要表现在：每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序，就可能存在BUG。而这一系列的缺陷，更加给想要进行攻击的人以方便。因此，网络安全问题可以说是由人所引起的第三节 本课题的的研究意义和你做的工作本方案主要从网络层次考虑，将网络系统设计成一个支持各级别用户或用户群的安全网络，该网在保证系统内部网络安

7、全的同时，还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求，比如：可以满足个人的通话保密性，也可以满足企业客户的计算机系统的安全保障，数据库不被非法访问和破坏，系统不被病毒侵犯，同时也可以防止诸如反动等有害信息在网上传播等。 需要明确的是，安全技术并不能杜绝所有的对网络的侵扰和破坏，它的作用仅在于最大限度地防范，以及在受到侵扰的破坏后将损失尽旦降低。本课题主要设计的内容有：网络流量的监控和管理，这是对网络最最直观的控制，能利用流量的变化，更具经验判断是否是对网络有威胁。其次是安全性登陆等级限制，这是由网络管理员给每一个内部人员设定的代号密码，利用登陆

8、界面输入账号密码，来实现登录网络的方法。方法如下： 划分安全区域。制订安全策略，包括用户访问控制，定义访问级别，确定服务类型。审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其他访问请求。根据对用户需求的分析，企业内部网络可以划分为以下几个安全区域：1 外部网段 低级 无。提供网络连接。2 公共网段 中级 外部可访问符合安全策略的网络资源；内部可以更新和维护。3 内部网段 高级 可自由访问外部网络资源；对外不可见。分属三个安全区域的网段通过天网防火墙进行互连。在后，对密码加密做了简单的模拟加密，对密码加密的流程进行了研究，并且了解了密码是如何完成加密解密，是如何对有效信息的安全隐藏。第

9、二章 中小企业网络系统安全分析第一节 中小企业网络安全分析 计算机网络所面临的威胁大体上可分为两种：一是对网络中信息的威胁；二是对网络种设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的。也可能是无意的，可能是人为的，也可能是非人为的。可能是外来黑客对网络系统资源的非法使用，也可能是内部不法分子的恶意行为。归结起来，针对网络安全的威胁主要有以下几方面：一、人为地无意失误 如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。二、人为地恶意攻击 这是计算机网络所面临的最大威胁，敌手的动机和计算机犯罪就属于

10、这一类。此类攻击又可以分为以下两种：一种是主动攻击。它以各种方式选择的破坏信息的有效性和完整性；另一类是被动攻击，他是在不影响网络正常工作的情况下，进行截获窃取、破译已获得中药寂寞信息。这两种攻击均可对计算机网络造成极大地危害，并导致机密数据的泄露。三、网络软件的漏洞和“后门” 网络软件不可能百分之百无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，软件“后门”，都是软件公司的设计人员为了自便而设置的，或黑客闯入计算机为方便在此入侵而设置。软件编程人员设置的后门一般不为外人所知，但一旦“后门”洞开，就为入侵者提供了方便。四、网络病毒 网络病毒大都市系统漏洞给病毒制造者提

11、供可乘之机。第二节 网络入侵手段 网络防范的最大敌人是入侵者，为了更好的保护好网络安全，网络通常用以下的步骤和方式达到入侵的目的。一、信息收集 信息收集是为了了解所要攻击咪表的详细信息，通常黑客利用相关的网络协议或实用程序来收集，如用SNMP协议可用来查看路由器的路由表，了解咪表主机内部拓扑结构的细节，用Trace Route程序可获得达到目标主机所要经过的网络企业网络安全的规划设计与实践数和路由数，用Ping程序可以检测一个制定主机的位置并确定是否达可达到等二、探测分析系统的安全弱点 在收集到咪表的相关信息后，黑客回探测网络上的每一台主机，以寻求系统安全漏洞或安全弱点，黑客一般会实用Teln

12、et.FTP等软件向目标主机申请服务，如果目标主机有应答就说明开放了这些端口的服务。其次使用一些公开的工具软件和Internet安全扫描程序ISS（Internet Security Scanner）、网络安全分析工具SATAN等对整个网络或子网进行扫描，寻求系统的安全漏洞，获取攻击目标的非法访问权。三、实施攻击 在获得了目标系统的非法访问权以后，黑客一般会实施以下攻击：（一）试图毁掉入侵痕迹，并在收到攻击的目标系统中建立新的安全漏洞或后门，一边在先前的攻击点被发现后能继续访问搞系统。（二）在目标系统安装探测软件，如特洛伊木马程序，用来窥探目标系统的活动，继续收集黑客感兴趣的一切信息，如账号与

13、口令等铭感数据。（三）进一步发现目标系统的信任等级，以展开对整个系统的攻击。（四）如果黑客在被攻击目标系统上获得了特权访问权，那么他就可以读取邮件，搜索和盗取私人文件，毁坏重要数据一致破坏整个网络系统，那么后果不堪设想。（五）密码破解，通常采用的攻击方式有字典攻击，假登陆程序，密码探测程序等来获取系统或用户的口令文件。（六）IP欺骗（Spoofing）与嗅探（Snifing） 欺骗是一种主动的攻击，即将网络上的某台计算机伪装成另一台不同主机，目的是欺骗网络中的其他计算机误将冒名顶替者当做原始的计算机而向其发送数据或容许他修改数据。（七）系统漏洞 漏洞是指程序在设计、实现和操作上存在错误。由于程

14、序或软件的功能一般都比较复杂，程序员再设计和调试过程中总有考虑欠缺的地方，绝大部分软件在使用过程中都需要不断地改进与完善。（八）端口扫描 由于计算机与外界通信都必须通过端口才能进行，黑客可以利用一些端口扫描软件如SATAN。或Hacker等对被攻击者的目标计算机端口扫描，查看该机器的那些端口是开放的，由此可以知道与目标计算机能进行那些通信服务。第三节 网络安全防范体系设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM（系统安全工程能力成熟模型）和ISO17799（信息安全管理标准）等国家标准，综合考虑可实施性、可管理性、可扩展性、综合

15、完备性、系统均衡行等方面，网络完全防范体系在整体设计过程中应遵循以下7项原则：一、网络安全的木桶原则 网络信息安全的木桶原则是指对信息均衡。全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟进攻）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常见的攻击手

16、段，根本的是提高整个系统的“安全最低点”的安全性能。二、网络信息安全的整体性原则要求在网络发生被攻击、破坏时间的情况下，必须尽可能的快速回复网络信息中心的服务，减少损失。因此信息安全系统应高包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体存在的各种安全威胁采用的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止队系统进行各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地回复信息，减少供给的破坏程度。三、安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的使用安全性与用户需求评价与

17、评衡体系。安全体系要正确处理需求、风险与代价的关系。做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户、需求和具体的应用环境，具体取决于系统的规模和范围，系统的性能和西西的重要程度。四、标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的实际必须遵循一系列的标准，这样才能确保各分系统的一致性，是整个系统安全地互联互通、信息共享。五、技术与管理相结合原则 安全体系是一个复杂的工程，涉及人，技术，操作等要素。单靠技术或单靠管理都不可能实现。因此必须将各种安全技术与隐性管理机制，人员思想教育与技术培训、安全规章制度建设相结合。六、统筹

18、规划，分步实施原则由于政策规定、服务需求的不明朗，环境，条件，时间变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需求，县建设基本的安全体系，保证基本的，必须的安全性。随这今后随着网络规模的扩大应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防范力度，保证整个网络最根本的安全需求。第三章 中小企业网络安全策略分析 网络拓扑结构对整个网络的运行效率、技术性能发挥、可靠性等方面都有着重要的影响，确立网络的拓扑结构是整个网络方案规划设计的基础。其主要包括结构的选择、地理环境分布、传输介质、访问控制等。根据贵公司的实际地理环境，传输

19、距离等因素，也考虑到费用的投入，本方案主要采用倒树型分层拓扑结构。拓扑图设计，见图 31图 31网络拓补结构DNS 53, tcp/udp 域名服务WWW 80, tcp WWW服务SMTP/POP3 25/110, tcp 电子邮件FTP 21/20, tcp 文件传输服务根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略， 防火墙采取以下配置方案：类别 项目 IP地址/掩码 说明Networks Pubic_Network 202.96.151.206/30Internal_Network 10.232.0.0/20 10.43.10.0/24外部网络 202.96.151.20

20、7/30202.103.64.58/30内部网络 192.168.0.0/2410.0.0.0/242511路由器广域网接口2511路由器局域网接口192.168.0.2/24公共服务器 Web192.168.0.3/24DNSMailFtp192.168.0.4/24192.168.0.5/24内部工作站 CONSOLE 10.0.0.1/24 网管工作站路由设置 目的网络/掩码 网关地址 0.0.0.0/0.0.0.0 202.96.151.206DNS设置 202.96.128.68 系统纪绿输出地址 CONSOLE 第一节 入网访问控制策略入网访问控制策略为网络访问提供了第一层访问控制

21、。它控制那些用户能够登录打服务器并获取网络资源，控制准许用户入网时间和准许他们在哪台工作站入网。用户的入网访问控制科分为三步骤：（一）用户名的识别与验证:如图32图32登录用户名（二）用户口令的识别与验证:如图33图33登录密码第二节 网络的权限控制 网络的权限控制是针对网络非法操作所提供的一种安全保护措施。用户和用户被赋予一定的权限。网络控制用户和用户可以访问哪些目录。子目录文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备、继承权限屏蔽相当于一个过滤器。可

22、以限制子目录从父目录那里继承哪些权限。 我们可以根据访问权限将用户分为以下几种类：特权用户（即系统管理员）一般用户。系统管理员根据他们的实际需求为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审核。第三节 目录级安全控制网络应允控制用户对目录、文件、设备的访问。用户在目录一级制定的权限对所有文件和子目录有效，用户还可以一步制定对目录下的子目录和文件权限。对目录和文件的访问权限一般分为8种：系统管理员权限（supervisor）读权限（read）写权限（write）创建权限（create）删除权限（erase）修改权限（modify）文件查找权限（file scan）存储控制权限

23、（access control）用户对文件或目标有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户制定适当的访问权限，这些访问权限控制着用户对服务器的访问。8中访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制对服务器资源的访问。从而加强了网络和服务器的安全性。第四节 属性安全控制当用文件、目录和网络设备是，网络系统管理员应给文件目录制定访问属性。属性安全控制可以将给定的属性与网络服务器的分拣、目录和网络设备联系起来、属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都预先标出一组安全属性、用户对

24、网络资源的访问对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以制定的任何受托者指派和有效权限。属性往往能控制一下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享。系统属性等。网络的属性可以保护重要的目录和文件。防止用户对目录和文件的误删除、执行修改。显示等。（一）进入选项设置右击“我的电脑”管理本地用户和组用户新建一个用户比如shareuser，给他设置密码，这个密码就使我们准备给共享用户的密码，默认情况下此用户是隶属于users组的，不需要修改所属组1.删除不再使用的账户，禁用guest账户 检查和删除不必要的账户右键

25、单击“开始”按钮，、打开“资源管理器”，选择“控制面板”中的“用户和密码”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。如图35所示图35用户账户管理 禁用guest账户为了便于观察实验结果，确保实验用机在实验前可以使用guest账户登陆。打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击guest账户，对话框中“帐户已停用”一栏前打勾。确定后，观察guest前的图标变化，并再次试用guest用户登陆，记录显示的信息。如图36所示图36账户禁用（二）进行权限设置启用账户策略 设置密码策略打开“控制面板”中的“

26、管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据你选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。 设置账户锁定策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如3次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如20 min）。如图37图37用

27、户选型设置重启计算机，进行无效的登陆（如密码错误），当次数超过3次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。开机时设置为“不自动显示上次登陆账户”右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。如图38所示。图38登录显示修改禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地

28、策略”中的“安全选项”， 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。如图：39所示图：39密码限制属性第五节 网络监测和锁定控制网络管理员对应网络实时监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的主意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。（一）监控网络流量大小 实时监视网络中流量的变化，流量过大时视为危险信号。在企业中进行这样的管理能够对网络进行监控，对点对点流量过大

29、，或是一点对多点流量过大，进行实施的检测，并且可以认为流量过大是对整个网络环境，进行有威胁的广播扫描，这时网络管理员可以对此端点进行限制或者关闭此端口。有效的保证了网络中的非法广播的蔓延。如下图：310所示图：310网络中流量监控图（二）流量大小 数字的形式，表现所有连接到本网络中的流量，ip地址，数据包大小等等，观测点对点的流量大小，利用数字能够比线条更直观，有利于对整个网络的健康状况进行准确的分析，对一些流量大的ip地址能够有效的判断出是哪个部门，那个楼什么位置，能够对网络中的威胁迅速做出拦截和阻止。网络管理员不需要做很繁琐的操作就能知道整个网络是否运行良好。如图311所示图311ip地址

30、列表（三）网络端口和节点的安全控制网络中服务器的端口往往实用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器拥挤防范黑客的自动拨号程序对计算机的进攻。网络还常对服务器端和用户端采取控制，用户必须己带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户和服务器端在进行相互验证。如图312所示图312端口和节点（四）协议控制 记录各个协议的流量大小，协议对于网络来说至关重要的，他不仅包含了双方的承诺，还具有连同条件等重要信息，协议的监控能够帮助网络管理员，详细的知道是否

31、有黑客对本网络进行什么样的攻击，是否对网络协议进行频繁的攻击，如果一点不能阻止黑客的进攻，还可以对协议进行禁用，这样能够更减少外来威胁给网络环境，用户利益带来的损失。如图313所示图313控制列表协议（五）Tcp/ip和物理地址的监控物理地址是唯一的，不可变的，一但对里地址进行监控，也就是说锁定了网段的中的真正的用户地址，这样一旦物理地址被禁用，不管是在网络正的任何接口都不能连接网络，更不能对网络进行攻击，大大提高了网络的安全性。如图314所示图314 TCP/IP（六）安全日志安全日志登记使网络管理基本手段，定期登记安全检查记录，对发现不安全因素应及时登记，为后续的安全工作提供方便。在方便的同时，网络管理员可以对各个不同网段的记录进行分析，对于威胁高发生的网段进行调整或者强制限制，对用户的权限进行限制等操作。对日志的要定期查询，定期更新和队能够登录日志的权限惊醒定期的更改和设置更高的权限，老保证不被恶意篡改。如图315所示图315安全日志第四章 信息加密 信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护