某企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)的研究

1、本文為網(wǎng)絡(luò)收集精選范文、公文、論文、和其他應(yīng)用文檔，如需本文，請下載某企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 的研究本文從網(wǎng)絡(luò)收集而來，上傳到平臺為了幫到更多的人，如果您需要使用本文檔， 請點(diǎn)擊下載按鈕下載本文檔（有償下載），另外祝您生活愉快，工作順利，萬事 如意！摘要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，信息 網(wǎng)絡(luò)安全問題逐漸得到重視。在初期，部分企業(yè)就已 經(jīng)開始構(gòu)建了自己的信息網(wǎng)絡(luò)安全系統(tǒng)，但隨著研究 的深入、技術(shù)的發(fā)展，部分企業(yè)初期建立的信息網(wǎng)絡(luò) 安全系統(tǒng)已經(jīng)不能滿足企業(yè)的需求，并且存在諸多的 安全隱患。在此背景下，越來越多的企業(yè)開始重新考 慮企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的安全性。論文正是基于目前這 種狀況，

2、以某企業(yè)為例，對該企業(yè)的信息網(wǎng)絡(luò)安全進(jìn) 行分析，提出相應(yīng)的信息網(wǎng)絡(luò)安全解決設(shè)計(jì)方案，以 期為其它企業(yè)提高信息網(wǎng)絡(luò)安全提供參考范例。關(guān)鍵字：信息網(wǎng)絡(luò)安全；信息網(wǎng)絡(luò)安全系統(tǒng)；安 全管理；第一章簡介第一節(jié)：某企業(yè)概況某企業(yè)是一家生產(chǎn)型企業(yè)，創(chuàng)建于 20世紀(jì)70年 代，總公司位于南京，經(jīng)過多年發(fā)展，分支機(jī)構(gòu)已遍 布全國，下轄省級分公司、地市支公司和營業(yè)部。在 建立初期，某公司的信息網(wǎng)絡(luò)安全系統(tǒng)安全性極高， 并且能滿足公司業(yè)務(wù)的需求。但隨著相關(guān)研究的深入、 技術(shù)的發(fā)展以及公司業(yè)務(wù)模式、管理模式的變化，如 今的信息網(wǎng)路安全系統(tǒng)已經(jīng)出現(xiàn)較多的安全漏洞和安 全隱患，并對公司業(yè)務(wù)的正常開展產(chǎn)生一定的負(fù)面影 響。

3、因此，現(xiàn)在急需根據(jù)某企業(yè)實(shí)際業(yè)務(wù)需求以及現(xiàn) 有的技術(shù)、設(shè)備對信息網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行重新設(shè)計(jì)、 部署。第二章現(xiàn)狀分析第一節(jié)：網(wǎng)絡(luò)安全的定義及特點(diǎn)網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是指通過各種技術(shù)和管理使網(wǎng)絡(luò)系統(tǒng)正 常運(yùn)行，免受各種侵害的保護(hù)措施。網(wǎng)絡(luò)安全的特點(diǎn)保密性信息小泄露給非授權(quán)用戶、實(shí)體或過程， 或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)小能進(jìn)行 改變的特性?？捎眯裕嚎杀皇跈?quán)實(shí)體訪問并按需求使 用的特性。可控性：對信息的傳播及內(nèi)容具有控制能 力?？蓪彶樾裕撼霈F(xiàn)安全問題時(shí)提供依據(jù)與手段。第二節(jié)某企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析企業(yè)制度小健全管理制度小健全、責(zé)權(quán)小明、缺乏可操作性都可 能引起網(wǎng)絡(luò)安全的少踐險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行

4、為時(shí)， 無法提供黑客攻擊行為的追蹤線索及破案依據(jù)；當(dāng)有 內(nèi)部人員出現(xiàn)違規(guī)操作時(shí)，無法進(jìn)行實(shí)時(shí)的檢測、監(jiān) 控、報(bào)告與預(yù)警。安全意識淡薄在具有嚴(yán)格訪問權(quán)限的系統(tǒng)中，使用弱密碼的用 戶有可能成為安全系統(tǒng)中的缺陷，甚至有些人隨意改 動系統(tǒng)注冊表，使得整個(gè)網(wǎng)絡(luò)安全系統(tǒng)失效。企業(yè)內(nèi)部網(wǎng)絡(luò)局限性。據(jù)調(diào)查，在己有的網(wǎng)絡(luò)安 全攻擊事件中，大多數(shù)是來自內(nèi)部網(wǎng)絡(luò)的侵犯，來自 掃L構(gòu)內(nèi)部局域網(wǎng)的威脅包括：誤用和濫用關(guān)鍵、敏 感數(shù)據(jù)；隨意設(shè)置IP地址；內(nèi)部人員無意泄露內(nèi)部網(wǎng) 絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；企業(yè)內(nèi)部員上網(wǎng)絡(luò)隱患防范意識差。受到外部攻擊。我們就曾經(jīng)遭受過沖擊波、震蕩 波、ARP病毒的攻擊，導(dǎo)致系統(tǒng)莫名重啟，無法聯(lián)網(wǎng) 的情況

5、；現(xiàn)在操作系統(tǒng)的漏洞層出小窮，我們應(yīng)該防 范于未然，充分利用現(xiàn)有的桌而安全管理系統(tǒng)和 Norton防病毒系統(tǒng)，將問題消火在萌芽狀態(tài)。第三節(jié)企業(yè)網(wǎng)絡(luò)安全需求分析鑒于以上計(jì)算機(jī)網(wǎng)絡(luò)所而臨的安全性威肋、以及 企業(yè)口前的購置能力和需求，我們本著以局域網(wǎng)信息 安全保護(hù)為重點(diǎn)的總體設(shè)想，提出構(gòu)造安全網(wǎng)絡(luò)結(jié)構(gòu)和加強(qiáng)計(jì)算機(jī)病毒防范，從而建立起一套適用于企業(yè) 信息網(wǎng)的最基本的安全體系結(jié)構(gòu)。網(wǎng)絡(luò)正常運(yùn)行。即使有非法訪問企圖，能夠被阻 擋在內(nèi)部網(wǎng)外，保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)正常運(yùn)行。滿足基 本的安全要求，是該網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此 基礎(chǔ)上提供強(qiáng)有力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng) 安全的重要原則。網(wǎng)絡(luò)管理。網(wǎng)絡(luò)部署，數(shù)

6、據(jù)庫及其他服務(wù)器的資 料不被竊取。企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、 服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系 統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。服務(wù)器、PC和Internet/Intranet網(wǎng)關(guān)的防病毒保 障。對于各種各樣的網(wǎng)絡(luò)非法訪問和攻擊，以及日益 猖撅的病毒襲擊，阻擋非法訪問并抵御網(wǎng)絡(luò)攻擊和清 除病毒危害，以保證正常的靈活高效的網(wǎng)絡(luò)通訊及信 息服務(wù)，是需要解決的首要問題。提供靈活高效且安全的內(nèi)外通訊服務(wù)。第三章網(wǎng)絡(luò)安全構(gòu)架分析與解決方案及實(shí)施微軟域用戶策略部署方案設(shè)計(jì)1、簡化管理，提供對用戶、應(yīng)用程序和設(shè)備的單 一性、一致性的管理點(diǎn)。2、加強(qiáng)安全性，向用戶提供單一的網(wǎng)絡(luò)資源登

7、錄，為管理員提供有效的管理工具，以便有效地管理集團(tuán)局域網(wǎng)和廣域網(wǎng)上 各類計(jì)算機(jī)用戶。3、安全策略統(tǒng)一部署，向所有活動目錄用戶提供 統(tǒng)一的安全策略部署機(jī)制，所有用戶在加入域并登錄域后可以自動執(zhí)行集團(tuán) 統(tǒng)一的安全策略，保證客戶端系統(tǒng)的安全性，避免由于客戶端用戶自身水平和安 全意識的差異而產(chǎn)生安全隱患。防火墻部署及VLAN規(guī)劃設(shè)計(jì)ULAN技術(shù)己經(jīng)成為提高網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率、提供最 大程度的可配置性而普遍采用非常成熟的技術(shù)，因此集團(tuán)內(nèi)部整個(gè)局域網(wǎng)絡(luò) 采用ULAN劃分技術(shù)，將局域網(wǎng)絡(luò)劃分成不同的子網(wǎng)， 各子網(wǎng)之間的訪問受到限制，避免病毒的傳播及信息 泄露。所有交換機(jī)采用 VTP技術(shù)，把CISCO 6513和

8、CISCO 4507 設(shè)為 VTPSERVER ,所有 CISCO 3550-48-SMI 交換機(jī)設(shè)為 VTP CLIENT , VTP DOMAIN 均設(shè)為 LANGCHAO CISCO 6513 和 CISCO 4507 與所有 CISCO 3550-48-SMI 之間分別做 TRUNK ,封裝類型選擇ISLo信息傳輸加密系統(tǒng)設(shè)計(jì)在集團(tuán)內(nèi)部許多員工都是通過郵件傳輸各種工作 信息和商業(yè)信息，因此郵件信息傳輸?shù)陌踩灾陵P(guān)重 要。集團(tuán)郵件加密系統(tǒng)采用公鑰加密體系和對稱密鑰 加密體系相結(jié)合的方式，公鑰加密體系主要采用RSA 算法，對稱密鑰加密體系主要采用ides加密算法，公 鑰簽名算法主要采用SH

9、A-1算法。由于RSA進(jìn)行的 都是大數(shù)計(jì)算，使得 RSA最快的情況也比DES慢上 100倍，無論是軟件還是硬件實(shí)現(xiàn)。速度一直是 RSA 的缺陷，一般來說只用于少量數(shù)據(jù)加密。第二節(jié)用戶權(quán)限管理系統(tǒng)設(shè)計(jì)用戶與角色管理設(shè)計(jì)用戶管理主要實(shí)現(xiàn)在系統(tǒng)中根據(jù)業(yè)務(wù)需要對用戶 進(jìn)行管理，包括增加用戶，修改用戶和刪除用戶等；在整個(gè)系統(tǒng)設(shè)立一個(gè)隸 屬于集團(tuán)公司的集團(tuán)公用賬號授予該賬號的權(quán)限被集 團(tuán)內(nèi)的所有用戶自然繼承；進(jìn)行安全級別管理，對于 賦予該用戶的數(shù)據(jù)資源進(jìn)行過濾，如果該用戶的安全 級別低于賦予的數(shù)據(jù)資源的級別，則用戶不能訪問該 資源；每次創(chuàng)建一個(gè)法人組織機(jī)構(gòu)，就自動創(chuàng)建一個(gè) 該法人組織機(jī)構(gòu)下的公司級公用賬號

10、，授予該賬號的 權(quán)限被法人內(nèi)部的所有用戶自然繼承。除集團(tuán)公共用 戶和公司級公共用戶之外的用戶必須自動代理集團(tuán)公 共賬號和公司級公共用戶。角色管理主要實(shí)現(xiàn)根據(jù)業(yè) 務(wù)需要對系統(tǒng)中的角色進(jìn)行管理，包括對角色的增加、 修改和刪除。資源管理設(shè)計(jì)數(shù)據(jù)資源管理主要實(shí)現(xiàn)定義可訪問的數(shù)據(jù)資源， 根據(jù)業(yè)務(wù)需要對數(shù)據(jù)資源進(jìn)行查詢和維護(hù)等工作，一般情況下，該功能由超 級管理員或系統(tǒng)管理員進(jìn)行操作。審計(jì)管理設(shè)計(jì)審計(jì)管理主要包括在線用戶管理，在線用戶歷史 記錄管理，安全日志管理等功能，通過審計(jì)管理系統(tǒng)的實(shí)施，增強(qiáng)了系統(tǒng)的 安全性。在線用戶管理主要實(shí)現(xiàn)根據(jù)業(yè)務(wù)需要對在線用戶 進(jìn)行查詢，可以查看在線用戶的詳細(xì)信息，必要時(shí)還可

11、以終止特定用戶的會 話。在線用戶歷史記錄管理的主要功能是根據(jù)業(yè)務(wù)需要查詢出用戶的在線歷史記 錄，此功能主要由超級管理員和系統(tǒng)管理員進(jìn)行操作。第三節(jié)防病毒系統(tǒng)設(shè)計(jì)集團(tuán)整體防病毒系統(tǒng)規(guī)劃設(shè)計(jì)首先進(jìn)行全方位，多層次防病毒部署部署多層次 病毒防線，分別是服務(wù)器防病毒、郵件防毒、客戶端 防毒；其次郵件病毒的防范作為防病毒的重點(diǎn)目前集 團(tuán)許多辦公信息通過郵件進(jìn)行傳輸。再次防毒不完全 依靠病毒代碼，而是對病毒發(fā)作整個(gè)生命周期進(jìn)行管 理當(dāng)一個(gè)惡性病毒入侵時(shí)，整個(gè)防毒系統(tǒng)要有完善的 預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制來保障病毒的高效處 理。域策略及復(fù)雜密碼策略的實(shí)施為了加強(qiáng)整個(gè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)的安全性，在整個(gè)集 團(tuán)內(nèi)部實(shí)

12、施了微軟的域用戶管理策略，每一位員工進(jìn)入公司后都需要登錄域 才能夠訪問公司資源，以保證公司網(wǎng)絡(luò)系統(tǒng)資源的安全，采用微軟域登錄策略后， 用戶登錄系統(tǒng)必須進(jìn)行域用戶密碼驗(yàn)證，這樣增強(qiáng)了 系統(tǒng)的安全性，同時(shí)防止了非法用戶入侵網(wǎng)絡(luò)系統(tǒng)。 為了進(jìn)一部增強(qiáng)系統(tǒng)的安全性，對于用戶密碼全部實(shí) 施復(fù)雜密碼策略，所有用戶密碼要求至少 8位以上， 包括數(shù)字、大寫字母、小寫字母和特殊字符等至少3種以上字符。第四章企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案的測試測試平臺OPNET可以提供功能強(qiáng)大的編輯器實(shí)現(xiàn)對仿真 網(wǎng)絡(luò)或協(xié)議進(jìn)行詳細(xì)的刻畫。常用的編輯有如下幾個(gè) 部分：(1)網(wǎng)絡(luò)編輯器(Network Editor )。(2)節(jié)點(diǎn)編輯器(Node

13、 Editor )。(3)進(jìn)程編輯器(Process Editor )。(4)包格式編輯器(Packet Format Editor )。(5)探針編輯器(Probe Editor )。測試流程(1)確定網(wǎng)絡(luò)仿真的目的，分析需要處理的問題 和對象，對網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議和 網(wǎng)絡(luò)鏈路等具體內(nèi)容做詳盡的了解；(2)根據(jù)要處理 的問題和對象建立相應(yīng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)模型；(3)驗(yàn)證網(wǎng)絡(luò)模型，對網(wǎng)絡(luò)模型進(jìn)行修改，將現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù) 與優(yōu)化后的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行比較，最后完善模型；(4)定義輸入和輸出，設(shè)置仿真參數(shù)以及要收集的統(tǒng)計(jì)量， 如延遲(Delayse。和負(fù)載(Load b讓s/sec)等；(5) 運(yùn)行仿真；(6)統(tǒng)計(jì)結(jié)果，得出結(jié)論并提交仿真報(bào)告， 仿真報(bào)告既可使用圖像處理的形式，也可使用數(shù)據(jù)分 析的形式。第三節(jié)測試結(jié)果這里通過闡述網(wǎng)絡(luò)仿真和性能測量的步驟和方 法，并運(yùn)用OPNET Modeler對設(shè)計(jì)完成的局域網(wǎng)進(jìn)行 了部分端點(diǎn)的仿真。本文對企業(yè)網(wǎng)絡(luò)架構(gòu)進(jìn)行研究分 析，然后根據(jù)中小型企業(yè)的資金能力和對網(wǎng)絡(luò)的需求 進(jìn)行詳細(xì)的分析，再對組建企業(yè)網(wǎng)所涉及的多方面技 術(shù)進(jìn)行對比，最終得到符合某企業(yè)目前形勢的企業(yè)網(wǎng) 絡(luò)設(shè)計(jì)方案。第五章總結(jié)防火墻作為網(wǎng)絡(luò)邊界的第一道防線，由最初的路 由器設(shè)備配置訪問策略進(jìn)行安全防護(hù)，到形成