【精品】企业局域网的组建与应用_毕业设计

1、毕 业 论 文 论文题目： 企业局域网的组建与应用 内内 容容 摘摘 要要 本文结合当今企业网络安全的发展趋势，通过对当前中小企业存在的一些安全隐患本文结合当今企业网络安全的发展趋势，通过对当前中小企业存在的一些安全隐患 和安全建设的需求分析，提出了一种针对企业网络安全的解决方案。该解决方案在遵照和安全建设的需求分析，提出了一种针对企业网络安全的解决方案。该解决方案在遵照 网络安全通用设计原则的情况下，融合了当前先进的网络安全技术和产品，如：防火墙网络安全通用设计原则的情况下，融合了当前先进的网络安全技术和产品，如：防火墙/ / 防水墙、网络反病毒软件、防水墙、网络反病毒软件、IDS/IPSI

2、DS/IPS、容灾和数据备份等，并强调了加强安全管理措施、容灾和数据备份等，并强调了加强安全管理措施、 制定科学的管理策略的必要性。网络安全体系的建设是一个长期的、动态变化的过程，制定科学的管理策略的必要性。网络安全体系的建设是一个长期的、动态变化的过程， 在新的网络安全和防御技术不断出现的同时，新的入侵和攻击手段也不断变化。任何一在新的网络安全和防御技术不断出现的同时，新的入侵和攻击手段也不断变化。任何一 个安全体系的设计方案都不能完全解决所有的安全问题。但随着企业网络化和信息化进个安全体系的设计方案都不能完全解决所有的安全问题。但随着企业网络化和信息化进 程的推进，对网络安全问题的认识也会

3、在管理体制上、理论研究上、技术储备上不断地程的推进，对网络安全问题的认识也会在管理体制上、理论研究上、技术储备上不断地 深化和改进，为提出解决网络安全问题的更加有效的可行性方案提供思路和途径。深化和改进，为提出解决网络安全问题的更加有效的可行性方案提供思路和途径。 关键词关键词 网络安全网络安全 安全需求安全需求 管理策略管理策略 解决方案解决方案 AbstractAbstract InIn thisthis paper,paper, combiningcombining withwith thethe developmentdevelopment trendtrend ofof thethe

4、 enterpriseenterprise networknetwork security,security, throughthrough thethe analysisanalysis ofof somesome securitysecurity hiddenhidden dangerdanger andand safetysafety constructionconstruction onon thethe existingexisting smallsmall andand medium-sizedmedium-sized enterprisesenterprises demand,d

5、emand, presentspresents a a solutionsolution forfor thethe enterpriseenterprise networknetwork security.security. TheThe solutionsolution inin accordanceaccordance withwith thethe generalgeneral designdesign principlesprinciples ofof networknetwork securitysecurity situation,situation, thethe fusion

6、fusion ofof thethe advancedadvanced networknetwork securitysecurity technologiestechnologies andand products,products, suchsuch as:as: firewallfirewall / / waterproofwaterproof wall,wall, networknetwork anti-virusanti-virus software,software, IDS/IPS,IDS/IPS, disasterdisaster recoveryrecovery andand

7、 datadata backup,backup, andand emphasizesemphasizes thethe necessitynecessity ofof strengtheningstrengthening thethe safetysafety managementmanagement measures,measures, makemake scientificscientific managementmanagement strategy.strategy. TheThe constructionconstruction ofof networknetwork securit

8、ysecurity systemsystem isis a a long-termlong-term process,process, dynamicdynamic change,change, inin thethe newnew networknetwork securitysecurity andand defensedefense technologytechnology constantlyconstantly emergedemerged atat thethe samesame time,time, thethe newnew intrusionintrusion andand

9、attackattack meansmeans changechange rapidly.rapidly. DesignDesign ofof anyany oneone securitysecurity systemsystem cannotcannot addressaddress allall ofof thethe safetysafety concernsconcerns pletely. ButBut alongalong withwith thethe enterpriseenterprise networkingnetworking andand informationizat

10、ion,informationization, understandingunderstanding ofof networknetwork securitysecurity problemproblem alsoalso constantlyconstantly deepeningdeepening andand improvementimprovement inin technicaltechnical reservesreserves managementmanagement system,system, theoreticaltheoretical research,research,

11、 putput forwardforward toto solvesolve thethe problemproblem ofof networknetwork security,security, thethe moremore effectiveeffective thethe feasibilityfeasibility schemescheme toto provideprovide ideasideas andand approaches.approaches. Keywords:Keywords: safetysafety andand securitysecurity requi

12、rementsrequirements ofof thethe managementmanagement strategystrategy ofof networknetwork solutionssolutions 目目 录录 1 1、绪论、绪论.1 1 2 2、企业网络安全综述、企业网络安全综述.1 1 2.12.1 企业网络安全及存在的问题企业网络安全及存在的问题.1 1 2.1.1|2.1.1|企业网络安全的概念企业网络安全的概念 .1 1 1.2 企业网络安全所面临的问题企业网络安全所面临的问题.1 1 2.22.2 网络安全建设的必要性网络安全建设的必要性.1 1 2

13、. 网络的复杂型及其表现网络的复杂型及其表现.1 1 .2 网络安全建设中存在的误区网络安全建设中存在的误区.2 2 2.32.3 网络安全建设现状网络安全建设现状.3 3 .1 网络防护体系建设缺乏有效重视和投入网络防护体系建设缺乏有效重视和投入.3 3 2 .2 网络安全防护体系建设存在不足网络安全防护体系建设存在不足.3 3 .3 网络安全管理制度和措施不健全网络安全管理制度和措施不健全.3 3 3 3、企业网络安全建设需求分析、企业网络安全建设需求分析.3 3 3.13.1 网络安全的层次结构网络安全的层次结

14、构.4 4 .1 网络安全问题的产生及影响网络安全问题的产生及影响.4 4 .2 网络安全体系的层次划分网络安全体系的层次划分.4 4 3.23.2 网络操作系统层的安全网络操作系统层的安全.4 4 .1 网络操作系统的概念网络操作系统的概念.4 4 .2.2.网络操作系统的安全防护网络操作系统的安全防护 .4 4 3.33.3 用户层和应用层安全用户层和应用层安全.5 5 .1 企业网络应用层的安全威胁企业网络应用层的安全威胁.5 5 .2 网络应用软件的安全性防护网络应用软件的安全性防护.5 5

15、3.43.4 数据链路层、传输层和网络层安全数据链路层、传输层和网络层安全.5 5 .1 数据链路层安全防护需求分析数据链路层安全防护需求分析.5 5 .2 传输层安全防护需求分析传输层安全防护需求分析.6 6 .3 网络层安全防护需求分析网络层安全防护需求分析.6 6 4 4、企业网络安全建设解决方案、企业网络安全建设解决方案.7 7 4.14.1 企业网络安全建设总体规划企业网络安全建设总体规划.7 7 .1 企业网络建设的设计规划企业网络建设的设计规划.7 7 4.24.2 企业网络安全建设详细设计方案企业网络安全建设详细设

16、计方案.8 8 .1 网络拓扑结构设计方案网络拓扑结构设计方案.8 8 .2 网络拓扑结构的部署方案网络拓扑结构的部署方案.9 9 .3 企业网络的防火墙防护设计企业网络的防火墙防护设计.1010 4.34.3 企业网络安全管理策略分析与设计企业网络安全管理策略分析与设计.1111 .1 企业安全管理制度建设分析企业安全管理制度建设分析.1111 .2 企业网络管理管理活动分析企业网络管理管理活动分析.1212 结论结论.1313 致谢致谢.1414 参考文献参考文献.1515 1 1、绪论、绪论 当前，随着全球信

17、息化步伐的不断加快和计算机网络技术的迅猛发展，经济全球化当前，随着全球信息化步伐的不断加快和计算机网络技术的迅猛发展，经济全球化 已经成为必然趋势，网络作为信息交互的主要手段已经成为必然趋势，网络作为信息交互的主要手段, ,正引领企业信息化建设的巨大变革。正引领企业信息化建设的巨大变革。 企业网络已经由简单的单机互联和文件处理，发展为集办公自动化、业务流程处理、员企业网络已经由简单的单机互联和文件处理，发展为集办公自动化、业务流程处理、员 工绩效管理等为一体的复杂的企业内部网，并与企业外部的国际互联网相融合，发展为工绩效管理等为一体的复杂的企业内部网，并与企业外部的国际互联网相融合，发展为 计

18、算机信息交互和协同处理的网络系统，已由传统的计算机信息交互和协同处理的网络系统，已由传统的 C/SC/S 模式向模式向 B/SB/S 模式再到企业网格模式再到企业网格 进行转变。进行转变。 企业网络作为一种复杂而集成的网络系统出现的同时，传统的网络安全威胁依旧存企业网络作为一种复杂而集成的网络系统出现的同时，传统的网络安全威胁依旧存 在，病毒、木马、蠕虫等肆虐，网络攻击手段日趋多样化，破坏力巨大并具有隐蔽性，在，病毒、木马、蠕虫等肆虐，网络攻击手段日趋多样化，破坏力巨大并具有隐蔽性， 时刻威胁着企业的网络安全。时刻威胁着企业的网络安全。 本文针对企业网络的安全建设问题，重点分析了如何构建一个可

19、靠的网络安全防御本文针对企业网络的安全建设问题，重点分析了如何构建一个可靠的网络安全防御 体系。面向当前中小企业网络安全建设的现状，提出了一种具有典型意义的企业网网络体系。面向当前中小企业网络安全建设的现状，提出了一种具有典型意义的企业网网络 安全的解决方案。安全的解决方案。 2 2、企业、企业网络安全综述网络安全综述 2.12.1 企业网络安全及存在的问题企业网络安全及存在的问题 .1 企业网络安全的概念企业网络安全的概念 当前企业信息化的普及，使得企业的生产经营相关的业务体系，都立足于当前企业信息化的普及，使得企业的生产经营相关的业务体系，都立足于 Internet/Int

20、ranetInternet/Intranet 环境。基于此，企业网络安全也要从内部和外部，也就是环境。基于此，企业网络安全也要从内部和外部，也就是 IntranetIntranet 和和 InternetInternet 两个方面来考量。企业网络安全建设方案，也包括内部的安全系统建设和外两个方面来考量。企业网络安全建设方案，也包括内部的安全系统建设和外 部入侵的防御检测系统建设两个方面。部入侵的防御检测系统建设两个方面。 一般来说，企业网络安全是指企业内部网络系统（一般来说，企业网络安全是指企业内部网络系统（IntranetIntranet 环境）的所有软硬件设环境）的所有软硬件设 施及网络系

21、统中所存储的数据受到全方位的保护，不因来自内部网络或者外部网络施及网络系统中所存储的数据受到全方位的保护，不因来自内部网络或者外部网络 （InternetInternet 环境）的偶然的或恶意原因而遭到破坏、更改和泄露。即使在突发情况下，环境）的偶然的或恶意原因而遭到破坏、更改和泄露。即使在突发情况下， 网网络系统依旧能够可靠运行，系统内部的重要数据得以保护和备份并使得网络服务不被络系统依旧能够可靠运行，系统内部的重要数据得以保护和备份并使得网络服务不被 中断。中断。 .2 企业网络安全所面临的问题企业网络安全所面临的问题 企业网络一般都是接入企业网络一般都是接入 Intern

22、etInternet 的，其网络环境的开放性，可以增强网络系统的应的，其网络环境的开放性，可以增强网络系统的应 用性，但也对企业网络信息安全提出了更多更高的要求。一般企业网络的都是基于用性，但也对企业网络信息安全提出了更多更高的要求。一般企业网络的都是基于 WindowsWindows 平台的应用系统，主要有平台的应用系统，主要有 WEBWEB 服务、服务、E-mailE-mail 系统、系统、MISMIS、进货和销售系统、财务、进货和销售系统、财务 统计系统、人事管理系统等。这些系统往往自成体系统计系统、人事管理系统等。这些系统往往自成体系, ,没有统一的资源管理与访问控制策没有统一的资源管

23、理与访问控制策 略。而且随着企业的发展系统的安全层次也会愈发多样。整个企业的网络系统存在两个略。而且随着企业的发展系统的安全层次也会愈发多样。整个企业的网络系统存在两个 方面的安全问题：方面的安全问题： （1）企业网络接入互联网的安全性。对接入互联网的子网，要采取严格的访问控制）企业网络接入互联网的安全性。对接入互联网的子网，要采取严格的访问控制 策略和入侵检测措施。策略和入侵检测措施。 （2）企业内部网络的安全性。企业内部的网络安全是传统网络安全建设最为注重的）企业内部网络的安全性。企业内部的网络安全是传统网络安全建设最为注重的 方面。最常见的安全隐患主要有未授权访问、破坏数据完整性、拒绝服

24、务攻击、计算机方面。最常见的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机 病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网 络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 2.22.2 网络安全网络安全建设的必要性建设的必要性 2.2.1 网络的复杂型及其表现网络的复杂型及其表现 计算机和电子技术的发展使得计算机网络技术不断融合新的技术，企业网络也因此计算机和电子技术的发展使得计算机网

25、络技术不断融合新的技术，企业网络也因此 发展和进步，具备了许多新特性，这给网络建设带来了更大难度。发展和进步，具备了许多新特性，这给网络建设带来了更大难度。 网格概念的提出和互联网的建设，在使得网络极大的发挥其效能的同时，也使得企网格概念的提出和互联网的建设，在使得网络极大的发挥其效能的同时，也使得企 业网络环境复杂性和多样行凸显。这表现在以下几个方面：业网络环境复杂性和多样行凸显。这表现在以下几个方面： 首先，网络拓扑结构具有复杂性。网络互联是个拓扑结构，除掉各个计算机终端节首先，网络拓扑结构具有复杂性。网络互联是个拓扑结构，除掉各个计算机终端节 点之外，还需要各种互连设备，比如交换机、路由

26、器等。各式各样的设备互连设备，又点之外，还需要各种互连设备，比如交换机、路由器等。各式各样的设备互连设备，又 同时将整个企业网络划分为几个小局域网，组成了网络互连结构。同时将整个企业网络划分为几个小局域网，组成了网络互连结构。 其次，网络软硬件设备的复杂性。网络设备一方面是指网络互联的硬件设备以及运其次，网络软硬件设备的复杂性。网络设备一方面是指网络互联的硬件设备以及运 行其上的网络管理软件。另一方面，是指各个网络终端结点设备以及搭载其上的软件系行其上的网络管理软件。另一方面，是指各个网络终端结点设备以及搭载其上的软件系 统。网络软件在链路层、传输层和应用层都可以发挥数据检测作用，单机操作系统

27、可以统。网络软件在链路层、传输层和应用层都可以发挥数据检测作用，单机操作系统可以 选择服务器版本，并安装防火墙软件和杀毒软件，同时根据网络特性配置过滤规则。选择服务器版本，并安装防火墙软件和杀毒软件，同时根据网络特性配置过滤规则。 最后，网络管理和网络用户的复杂性。网络管理，一方面是针对网络用户的访问管最后，网络管理和网络用户的复杂性。网络管理，一方面是针对网络用户的访问管 理，一方面是针对网络设备和运行其上的网络软件的管理。网络管理一般由专人负责，理，一方面是针对网络设备和运行其上的网络软件的管理。网络管理一般由专人负责， 称为网络管理员。他一方面要负责通过各种网络管理软件，对网络上进行数据

28、访问和存称为网络管理员。他一方面要负责通过各种网络管理软件，对网络上进行数据访问和存 储的用户行为进行监控，另一方面要制定各种网络访问策略和监控策略，比如过滤规则，储的用户行为进行监控，另一方面要制定各种网络访问策略和监控策略，比如过滤规则， 路由规则等。路由规则等。 总之，网络的多样性和复杂性，使得网络自身和网络的管理存在诸多问题，需要专总之，网络的多样性和复杂性，使得网络自身和网络的管理存在诸多问题，需要专 人负责网络安全建设。人负责网络安全建设。 2.2.2 网络安全建设中存在的误区网络安全建设中存在的误区 通过调查发现，无论是网络用户还是网络管理者，都对网络安全存在一些认识上的通过调查

29、发现，无论是网络用户还是网络管理者，都对网络安全存在一些认识上的 误区，主要表现在：误区，主要表现在： （1）网络建设无需太多投入。）网络建设无需太多投入。 出于成本的压力，中小企业一般在网络建设的投入上不足。中小企业网络一般只有出于成本的压力，中小企业一般在网络建设的投入上不足。中小企业网络一般只有 十几到几十台客户端，网络互联产品一般选用十几到几十台客户端，网络互联产品一般选用 24 口交换机，带动其他的交换机，选用家口交换机，带动其他的交换机，选用家 用级别的路由器接入互联网，从而组成一个小型办公网络环境，事实上，这种接入方式用级别的路由器接入互联网，从而组成一个小型办公网络环境，事实上

30、，这种接入方式 和网络拓扑结构，会导致网速非常慢，堵塞严重，掉包频繁。和网络拓扑结构，会导致网速非常慢，堵塞严重，掉包频繁。 （2）网络管理无需专人负责。）网络管理无需专人负责。 没有网络管理人员对企业网络进行维护的原因在于，大多数中小企业网络安全需求没有网络管理人员对企业网络进行维护的原因在于，大多数中小企业网络安全需求 没有得到管理者的足够重视，大部分中小企业没有设置专职网络管理员，而采用兼职管没有得到管理者的足够重视，大部分中小企业没有设置专职网络管理员，而采用兼职管 理方式，没有针对企业网络配置网络环境，选用管理和安全软件，并对过滤规则进行设理方式，没有针对企业网络配置网络环境，选用管

31、理和安全软件，并对过滤规则进行设 计。这必然会导致技术基础和技术储备的匮乏，使得网络管理在软硬件方面上都有先天计。这必然会导致技术基础和技术储备的匮乏，使得网络管理在软硬件方面上都有先天 缺陷，在网络稳定性和安全性方面存在严重隐患。这种情况下，即使有网络攻击或者病缺陷，在网络稳定性和安全性方面存在严重隐患。这种情况下，即使有网络攻击或者病 毒的入侵，网络使用者也很难及时发现以阻止入侵，更不用说挽回损失了。毒的入侵，网络使用者也很难及时发现以阻止入侵，更不用说挽回损失了。 （3）网络安全软件无需专业化。）网络安全软件无需专业化。 很多中小企业网络安全，都是依靠桌面杀毒软件解决的。桌面杀毒软件并不

32、适用于很多中小企业网络安全，都是依靠桌面杀毒软件解决的。桌面杀毒软件并不适用于 复杂的网络环境。一旦有恶性病毒大规模爆发时，网络病毒在内部局域网疯狂流窜，一复杂的网络环境。一旦有恶性病毒大规模爆发时，网络病毒在内部局域网疯狂流窜，一 方面病毒的肆虐传播造成网络堵塞，破坏系统文件使电脑不能正常工作，另一方面，会方面病毒的肆虐传播造成网络堵塞，破坏系统文件使电脑不能正常工作，另一方面，会 导致病毒感染网络内部主机，潜伏下来，借助网络漏洞，伺机在网络内部传输，普通的导致病毒感染网络内部主机，潜伏下来，借助网络漏洞，伺机在网络内部传输，普通的 杀毒软件并不能消灭干净。杀毒软件并不能消灭干净。 网络管理

33、中，需要一种具备全局控制能力的杀毒软件，在局域网中任何一台机器感网络管理中，需要一种具备全局控制能力的杀毒软件，在局域网中任何一台机器感 染病毒时，都可以检测到，并阻止其传播，否则局域网病毒严重的导致局域网瘫痪，更染病毒时，都可以检测到，并阻止其传播，否则局域网病毒严重的导致局域网瘫痪，更 甚至可能使整个系统崩溃。甚至可能使整个系统崩溃。 2.32.3 网络安全建设现状网络安全建设现状 网络安全建设普遍存在着如下问题：网络拓扑结构，缺乏宏观的了解；对于网络的网络安全建设普遍存在着如下问题：网络拓扑结构，缺乏宏观的了解；对于网络的 构成，缺乏清晰的认识；对于网络拓扑结构中，关键节点缺乏有效管理；

34、对于网络管理构成，缺乏清晰的认识；对于网络拓扑结构中，关键节点缺乏有效管理；对于网络管理 和网络安全软件缺乏深入的原理理解和足够的应用经验等等。和网络安全软件缺乏深入的原理理解和足够的应用经验等等。 2.3.1 网络防护网络防护体系建设缺乏有效重视和投入体系建设缺乏有效重视和投入 企业网络中，用户主要来自于内部，由受信任的内部用户发起的攻击是最危险的一企业网络中，用户主要来自于内部，由受信任的内部用户发起的攻击是最危险的一 种形式。因此内部安全威胁已经上升为主要矛盾。种形式。因此内部安全威胁已经上升为主要矛盾。 一方面，网络的拓扑结构一般是针对内部网络设计的，互连设备的部署也主要是针一方面，网

35、络的拓扑结构一般是针对内部网络设计的，互连设备的部署也主要是针 对内部网络。如何针对内部网络设计网络拓扑结构，选用互连设备，构建内部局域网中对内部网络。如何针对内部网络设计网络拓扑结构，选用互连设备，构建内部局域网中 的局域网，杜绝网络拥塞的出现，是当前研究领域的热点问题。这需要针对企业网络的的局域网，杜绝网络拥塞的出现，是当前研究领域的热点问题。这需要针对企业网络的 性能，需要特定的优化设计。性能，需要特定的优化设计。 另一方面，对于网络安全，更需要一体化的管理和安全防御体系建设，在防御软件另一方面，对于网络安全，更需要一体化的管理和安全防御体系建设，在防御软件 上，要针对特定的网络应用，部

36、署专门的网络防火墙和杀毒软件。通过制定特定的防御上，要针对特定的网络应用，部署专门的网络防火墙和杀毒软件。通过制定特定的防御 规划，设计或者修改软件过滤规则，过滤网络环境中的不良信息，这些都需要企业管理规划，设计或者修改软件过滤规则，过滤网络环境中的不良信息，这些都需要企业管理 者投入人力物力进行设计和研发。者投入人力物力进行设计和研发。 2.3.2 网络安全防护体系网络安全防护体系建设存在不足建设存在不足 每一种网络拓扑结构，对应一种网络体系结构设计，在相应的网络安全体系建设中，每一种网络拓扑结构，对应一种网络体系结构设计，在相应的网络安全体系建设中， 安全软件的部署也要有其特点，适应网络信

37、息流动和安全检测工作。然而，企业特别是安全软件的部署也要有其特点，适应网络信息流动和安全检测工作。然而，企业特别是 中小型企业，在网络安全体系的建设中还存在以下不足：中小型企业，在网络安全体系的建设中还存在以下不足： 传统防护体系在系统化设计上存在欠缺。传统防护体系在系统化设计上存在欠缺。 企业对外部互联网的接入，应该设计系统化的防护体系企业对外部互联网的接入，应该设计系统化的防护体系,这并非是简简单单的防火墙这并非是简简单单的防火墙 就可以完成的，应由专业认识进行设计。一般可采取防火墙与入侵检测系统就可以完成的，应由专业认识进行设计。一般可采取防火墙与入侵检测系统(IDS)联动的联动的 方式

38、，对网络进行动静结合的保护。网络管理软件和安全软件的协作，对网络内外两个方式，对网络进行动静结合的保护。网络管理软件和安全软件的协作，对网络内外两个 部分都进行可靠管理。部分都进行可靠管理。 2.3.3 网络安全管理制度和措施不健全网络安全管理制度和措施不健全 在网络的管理上，国家有关部门也颁布了一些法律法规，比如在网络的管理上，国家有关部门也颁布了一些法律法规，比如计算机信息网络国计算机信息网络国 际互联网安全保护管理办法际互联网安全保护管理办法 。各个企业也有自己的一套管理办法，具体到不同的网络部。各个企业也有自己的一套管理办法，具体到不同的网络部 门，也应该有自己的一套经过实践检验并行之

39、有效的网络安全设计规程。门，也应该有自己的一套经过实践检验并行之有效的网络安全设计规程。 作为企业网络安全保证的网络安全管理制度，一方面，它是一个企业针对网络使用作为企业网络安全保证的网络安全管理制度，一方面，它是一个企业针对网络使用 和网络信息安全，所采取的切实有效的规章制度，是规范网络用户行为的准则。另一方和网络信息安全，所采取的切实有效的规章制度，是规范网络用户行为的准则。另一方 面，安全管理制度也是网络管理人员对网络用户行为进行审核的标准，任何违反网络安面，安全管理制度也是网络管理人员对网络用户行为进行审核的标准，任何违反网络安 全规章制度的行为，都应该被网络管理系统发现，网络用户不安

40、全的操作行为，也应该全规章制度的行为，都应该被网络管理系统发现，网络用户不安全的操作行为，也应该 由网络管理软件或者网络管理员发出警告。由网络管理软件或者网络管理员发出警告。 构建一套合理的网络安全管理规章和制度，是一个企业在制度上落实网络安全建设构建一套合理的网络安全管理规章和制度，是一个企业在制度上落实网络安全建设 的重要环节，也是经过许多企业网络建设的成功和失败的经验教训检测之后的行之有效的重要环节，也是经过许多企业网络建设的成功和失败的经验教训检测之后的行之有效 的举措之一。的举措之一。 3 3、企业网络安全建设需求、企业网络安全建设需求分析分析 通过第二章中对网络安全和企业网络安全建

41、设的现状分析，可知构建一个合理有效通过第二章中对网络安全和企业网络安全建设的现状分析，可知构建一个合理有效 的企业网络安全体系和规则，对于解决网络安全建设中所暴露出来的诸多问题是大有必的企业网络安全体系和规则，对于解决网络安全建设中所暴露出来的诸多问题是大有必 要的。本章将对网络安全建设进行需求分析，在网络安全的系统层次设计和应用软件设要的。本章将对网络安全建设进行需求分析，在网络安全的系统层次设计和应用软件设 计方面，对网络安全建设的需求情况进行详尽的论述。计方面，对网络安全建设的需求情况进行详尽的论述。 3.13.1 网络安全的层次网络安全的层次结构结构 3.1.1 网络安全问题的产生及影

42、响网络安全问题的产生及影响 网络安全涉及到网络体系结构的各个方面网络安全涉及到网络体系结构的各个方面,网络安全问题的出现一般是由以下三个原网络安全问题的出现一般是由以下三个原 因造成的：一是操作网络的内部人员的操作失误；二是企业外部有目的的攻击和窃取信因造成的：一是操作网络的内部人员的操作失误；二是企业外部有目的的攻击和窃取信 息的行为；三是某些网络设备和软件系统制造商在网络设备的软、硬件中放置危害网络、息的行为；三是某些网络设备和软件系统制造商在网络设备的软、硬件中放置危害网络、 盗窃信息的程序。盗窃信息的程序。 3.1.2 网络安全体系的层次划分网络安全体系的层次划分 网络安全中安全措施划

43、分，主要有如下几个方面：网络安全中安全措施划分，主要有如下几个方面： （1）数据源鉴别。在连接和传送数据时鉴别相应的协议实体，而后决定提供或者拒）数据源鉴别。在连接和传送数据时鉴别相应的协议实体，而后决定提供或者拒 绝服务。绝服务。 （2）访问控制。限制用户访问网络资源的授权，可以防止未经许可暴露所传输数据）访问控制。限制用户访问网络资源的授权，可以防止未经许可暴露所传输数据 的内容。的内容。 （3）完整性服务。包含网络协议不受篡改，确保服务顺利完成。主要用于防止他人）完整性服务。包含网络协议不受篡改，确保服务顺利完成。主要用于防止他人 利用网络修改传输数据，以保证发送和接收的数据一致。利用网

44、络修改传输数据，以保证发送和接收的数据一致。 3.23.2 网络操作系统层的安全网络操作系统层的安全 3.2.1. .网络操作系统的概念网络操作系统的概念 计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的 各计算机都具各计算机都具 有一个完整独立的操作系统有一个完整独立的操作系统, ,网络操作系统网络操作系统(NOS)(NOS)是建立在这些独立的操作系统基础上用是建立在这些独立的操作系统基础上用 以扩充网络功能的系统以扩充网络功能的系统( (系统平台系统平台) ) .2 网络操作系统的安全防护网络操作系统的

45、安全防护 网络设备中主流操作系统有类网络设备中主流操作系统有类 UNIX 和和 Windows 系列，系列，LINUX 作为开源系统，兼作为开源系统，兼 具具 UNIX 强大的网络功能。而强大的网络功能。而 Windows 平台更是推出了平台更是推出了 Windows Server 系列，满足网系列，满足网 络服务的需求。用户的应用系统和安全工具软件都在操作系统上运行，操作系统为各工络服务的需求。用户的应用系统和安全工具软件都在操作系统上运行，操作系统为各工 具软件提供支持，因此操作系统的安全与否直接影响到网络系统的安全。具软件提供支持，因此操作系统的安全与否直接影响到网络系统的安全。 网络操

46、作系统的安全问题。企业接入互联网以及网络操作系统的安全问题。企业接入互联网以及 B/S 模式的管理系统在企业网络中模式的管理系统在企业网络中 的应用，难免会带来源源不断的软件安全问题，一般的操作系统都会提供以下的安全防的应用，难免会带来源源不断的软件安全问题，一般的操作系统都会提供以下的安全防 护措施：护措施： （1）过滤保护。分析所有针对受保护对象的访问）过滤保护。分析所有针对受保护对象的访问,过滤恶意攻击以及可能带来不安全过滤恶意攻击以及可能带来不安全 因素的非法访问。因素的非法访问。 （2）安全检测保护。对所有用户的操作进行分析）安全检测保护。对所有用户的操作进行分析,阻止那些超越权限的

47、用户操作以及阻止那些超越权限的用户操作以及 可能给操作系统带来不安全因素的用户操作。可能给操作系统带来不安全因素的用户操作。 （3）隔离保护。保证同时运行的多个进程和线程之间是相互隔离的）隔离保护。保证同时运行的多个进程和线程之间是相互隔离的,即各个进程和线即各个进程和线 程分别调用不同的系统资源。程分别调用不同的系统资源。 3.33.3 用户层和应用层安全用户层和应用层安全 作为终端使用者的用户，直接面对应用层，应该确切落实网络管理规章制度的要求，作为终端使用者的用户，直接面对应用层，应该确切落实网络管理规章制度的要求， 杜绝安全隐患。用户层安全的防范措施，主要包含对用户的识别、认证、数字签

48、名等。杜绝安全隐患。用户层安全的防范措施，主要包含对用户的识别、认证、数字签名等。 3.3.1 企业网络应用层的安全威胁企业网络应用层的安全威胁 来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难。常来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难。常 见的危害应用层安全的的因素如下：见的危害应用层安全的的因素如下： （1）网络蠕虫、病毒等危害网络信息安全。）网络蠕虫、病毒等危害网络信息安全。 （2）信息窃取和网络攻击危害网络数据安全。）信息窃取和网络攻击危害网络数据安全。 信息窃取是黑客和网络攻击的常见目标。信息窃取会对中小型企业的发展造成严重信息窃取是

49、黑客和网络攻击的常见目标。信息窃取会对中小型企业的发展造成严重 影响，会破坏中小型企业赖以生存的企业商誉和客户关系。影响，会破坏中小型企业赖以生存的企业商誉和客户关系。 （3）垃圾邮件成为传播病毒的主要手段。）垃圾邮件成为传播病毒的主要手段。 收到垃圾邮件的用户往往由于对邮件缺乏了解而不幸激活病毒却不知情，网络犯罪收到垃圾邮件的用户往往由于对邮件缺乏了解而不幸激活病毒却不知情，网络犯罪 将更多地采用这种介质发布木马病毒。将更多地采用这种介质发布木马病毒。 3.3.2 网络应用软件的安全性防护网络应用软件的安全性防护 应用系统层的安全需求需要保证应用软件和数据库软件的安全性，如：应用系统层的安全

50、需求需要保证应用软件和数据库软件的安全性，如：WWW 服务、服务、 应用网关系统、应用网关系统、DNS 系统、防火墙软件、业务应用软件等。应用软件必须保证以下要求：系统、防火墙软件、业务应用软件等。应用软件必须保证以下要求： （1）购买的应用软件应通过安全测试并要求销售商确认其无后门或漏洞。）购买的应用软件应通过安全测试并要求销售商确认其无后门或漏洞。 （2）能够对用户身份进行鉴别与认证。）能够对用户身份进行鉴别与认证。 （3）保证存储或存档的所有数据的完整性、真实性和可用性。）保证存储或存档的所有数据的完整性、真实性和可用性。 （4）对已使用的应用系统定期进行漏洞扫描，及时修补存在的漏洞。）

51、对已使用的应用系统定期进行漏洞扫描，及时修补存在的漏洞。 3.43.4 数据链路层、传输层和网络层安全数据链路层、传输层和网络层安全 数据链路层、传输层和网络层，在数据链路层、传输层和网络层，在 OSI 参考模型中，都是负责数据流传输的，企业参考模型中，都是负责数据流传输的，企业 对于数据访问和存取的控制，一般都是针对这三个层次制定网络协议，监控和过滤数据对于数据访问和存取的控制，一般都是针对这三个层次制定网络协议，监控和过滤数据 流。流。 3.4.1 数据链路层安全防护需求分析数据链路层安全防护需求分析 数据链路层位于物理硬件层网络层之间，担负起第一道数据监控和过滤的重任。与数据链路层位于物

52、理硬件层网络层之间，担负起第一道数据监控和过滤的重任。与 数据链路层的安全有两方面内容：一是涉及到数据传输过程中的加密和数据的修改，也数据链路层的安全有两方面内容：一是涉及到数据传输过程中的加密和数据的修改，也 就是影响到数据的完整性；另一个是涉及到物理地址的盗用问题，影响到网络管理。就是影响到数据的完整性；另一个是涉及到物理地址的盗用问题，影响到网络管理。 针对数据链路层的攻击主要有：针对数据链路层的攻击主要有： （1）局域网）局域网 ARP 欺骗攻击。欺骗攻击。 数据链路层的协议数据链路层的协议 ARP 协议，具有完成协议，具有完成 IP 地址到地址到 MAC 地址的转换的功能。通过伪地址

53、的转换的功能。通过伪 造造 IP 地址和地址和 MAC 地址实现地址实现 ARP 欺骗，能够在网络中产生大量的欺骗，能够在网络中产生大量的 ARP 通信量使网络阻通信量使网络阻 塞。塞。 （2）针对）针对 MAC 地址的泛洪攻击。地址的泛洪攻击。 网络互连设备路由器和交换机具有主动学习客户端的网络互连设备路由器和交换机具有主动学习客户端的 MAC 地址，然后建立和维护端地址，然后建立和维护端 口和口和 MAC 地址的对应表。地址的对应表。MAC 地址泛洪攻击利用工具产生欺骗地址泛洪攻击利用工具产生欺骗 MAC，快速填满，快速填满 MAC 地址表，交换机此后一直广播信息，会造成负载过大，网络缓慢

54、和丢包甚至瘫痪。地址表，交换机此后一直广播信息，会造成负载过大，网络缓慢和丢包甚至瘫痪。 3.4.2 传输层安全防护需求分析传输层安全防护需求分析 传输层处于通信子网和资源子网之间，起着承上启下的作用。无论是局域网还是广传输层处于通信子网和资源子网之间，起着承上启下的作用。无论是局域网还是广 域网，目前最为流行的传输层协议主要有域网，目前最为流行的传输层协议主要有 TCP 和和 UDP 协议族许多安全协议也运行于协议族许多安全协议也运行于 TCP 之上，为不安全的通信双方建立数据传输的可靠通道，使得数据避免被窃听、篡改之上，为不安全的通信双方建立数据传输的可靠通道，使得数据避免被窃听、篡改 或

55、假冒。或假冒。 基于传输层的网络安全协议众多。传输层支持的安全服务有：基于传输层的网络安全协议众多。传输层支持的安全服务有：1) 对等实体认证服务；对等实体认证服务； 2)访问控制服务；访问控制服务；3)数据保密服务；数据保密服务；4)数据完整性服务；数据完整性服务；5)数据源点认证服务。传输层主数据源点认证服务。传输层主 要有两个安全协议：要有两个安全协议：SSL（Secure Sockets Layer）和）和 PCT（Private Communications Technology） 。 企业网络对于传输层的需求一般有：企业网络对于传输层的需求一般有： （1）文件传输的安全需求。）文件

56、传输的安全需求。 企业的一些管理者为了方便，通过一些通讯工具来收发一些有保密级别的文件的或企业的一些管理者为了方便，通过一些通讯工具来收发一些有保密级别的文件的或 者重要信息，而网络本身都存在着较多的缺陷，为此，保证重要文件的秘密性、完整性、者重要信息，而网络本身都存在着较多的缺陷，为此，保证重要文件的秘密性、完整性、 和可靠性，建议在传输之前对文件进行加密。和可靠性，建议在传输之前对文件进行加密。 （2）网络边界通信的安全需求。）网络边界通信的安全需求。 网络交换设备主要包括路由器和网络交换设备主要包括路由器和 ATM。由于路由器普遍采用无连接存储转发技术。由于路由器普遍采用无连接存储转发技

57、术,一一 旦某一个路由器发生故障或出现问题，将迅速波及到与该路由器联系的网络区域。旦某一个路由器发生故障或出现问题，将迅速波及到与该路由器联系的网络区域。 网络层边界安全需求包括整个局域网通过防火墙接入互联网时边界的安全需求、服网络层边界安全需求包括整个局域网通过防火墙接入互联网时边界的安全需求、服 务器群组成的服务子网和主交换机与通过防火墙与外网接入层之间不同安全等级而使用务器群组成的服务子网和主交换机与通过防火墙与外网接入层之间不同安全等级而使用 不同访问控制策略的安全需求。不同访问控制策略的安全需求。 （3）内网访问及网络权限控制需求。）内网访问及网络权限控制需求。 内网的访问控制为网络

58、访问提供了第一层访问控制。它对用户进行权限的分配，控内网的访问控制为网络访问提供了第一层访问控制。它对用户进行权限的分配，控 制不同用户对网络资源的访问或者服务器访问的权限，为用户指定能够访问的对象和获制不同用户对网络资源的访问或者服务器访问的权限，为用户指定能够访问的对象和获 取的资源。一般可分为三步：用户名验证、用户口令验证和用户账号的缺省限制检查。取的资源。一般可分为三步：用户名验证、用户口令验证和用户账号的缺省限制检查。 只要用户在这三个环节中的任何一个环节中没有通过，该用户将不被允许接入网络。只要用户在这三个环节中的任何一个环节中没有通过，该用户将不被允许接入网络。 3.4.3 网络

59、层安全防护需求分析网络层安全防护需求分析 网络层主要是指网络层主要是指 IPIP 协议簇。协议簇。IPIP 地址是在网络层标识一台计算机的唯一身份识别码，地址是在网络层标识一台计算机的唯一身份识别码， 无论是企业内网还是外部互联网，都需要有独立的无论是企业内网还是外部互联网，都需要有独立的 IPIP 地址。可以通过网络交换的监控，地址。可以通过网络交换的监控， 对网络状况动态的检测和控制。网络层安全协议的最大特点是其透明性，即不过问高层对网络状况动态的检测和控制。网络层安全协议的最大特点是其透明性，即不过问高层 协议数据包的内容，可以提供认证、保密性、完整性等服务。协议数据包的内容，可以提供认

60、证、保密性、完整性等服务。 一般而言，设计网络时，内部网络自成体系，有自己的子网网段，各子网必须通过一般而言，设计网络时，内部网络自成体系，有自己的子网网段，各子网必须通过 中间设备进行连接，利用这些中间设备的安全机制来控制各子网之间的访问。中间设备进行连接，利用这些中间设备的安全机制来控制各子网之间的访问。 对于网络层的防护，主要包含以下几个方面：对于网络层的防护，主要包含以下几个方面： （1 1）WEBWEB 网站安全防护需求。网站安全防护需求。 目前企业内部网络各种应用系统，一般都是采用目前企业内部网络各种应用系统，一般都是采用 B/SB/S 模式的模式的 WEBWEB 网站形式网站形式