职业技术学院信息安全课程实训报告

重庆工业职业技术学院《信息安全》课程实训报告题目：企业网络安全综合设计方案

班级：11信安301

姓名：陈巧2011206301111

何月2011206301110

指导老师：何静

责任系部：信息工程学院关键词信息安全全企业网络络安全安全防护护xx企业业网络安安全综合合设计方方案一、企业业网络分分析xx科技技有限公公司是一一家以信信息安全全产品销销售为主主营业务务的小型型企业，，公司网网络通过过中国联联通光纤纤接入Internet。。

该公公司拥有有子公司司若干，，并与其其它信息息安全产产品销售售公司建建立了兄兄弟公司司关系。。为了适适应业务务的发展展的需要要，实现现信息的的共享，，协作和和通讯，，并和各各个部门门互连，，对该信信息网络络系统的的建设与与实施提提出了方方案。企业网络络拓扑构构建图二、网络络威胁、、风险分分析2.1黑黑客攻攻击“黑客””（Hack））对于大大家来说说可能并并不陌生生，他们们是一群群利用自自己的技技术专长长专门攻攻击网站站和计算算机而不不暴露身身份的计计算机用用户，由由于黑客客技术逐逐渐被越越来越多多的人掌掌握和发发展，目目前世界界上约有有20多多万个黑黑客网站站，这些些站点都都介绍一一些攻击击方法和和攻击软软件的使使用以及及系统的的一些漏漏洞，因因而任何何网络系系统、站站点都有有遭受黑黑客攻击击的可能能。尤其其是现在在还缺乏乏针对网网络犯罪罪卓有成成效的反反击和跟跟踪手段段，使得得黑客们们善于隐隐蔽，攻攻击“杀杀伤力””强，这这是网络络安全的的主要威威胁[1]。而而就目前前网络技技术的发发展趋势势来看，，黑客攻攻击的方方式也越越来越多多的采用用了病毒毒进行破破坏，它它们采用用的攻击击和破坏坏方式多多种多样样，对没没有网络络安全防防护设备备（防火火墙）的的网站和和系统（（或防护护级别较较低）进进行攻击击和破坏坏，这给给网络的的安全防防护带来来了严峻峻的挑战战。2.2网网络络自身和和管理存存在欠缺缺因特网的的共享性性和开放放性使网网上信息息安全存存在先天天不足，，因为其其赖以生生存的TCP//IP协协议，缺缺乏相应应的安全全机制，，而且因因特网最最初的设设计考虑虑是该网网不会因因局部故故障而影影响信息息的传输输，基本本没有考考虑安全全问题，，因此它它在安全全防范、、服务质质量、带带宽和方方便性等等方面存存在滞后后和不适适应性。。网络系系统的严严格管理理是企业业、组织织及政府府部门和和用户免免受攻击击的重要要措施。。事实上上，很多多企业、、机构及及用户的的网站或或系统都都疏于这这方面的的管理，，没有制制定严格格的管理理制度。。据IT界企业业团体ITAA的调查查显示，，美国90％的的IT企企业对黑黑客攻击击准备不不足。目目前美国国75％％－85％的网网站都抵抵挡不住住黑客的的攻击，，约有75％的的企业网网上信息息失窃。。2.3软软件件设计的的漏洞或或“后门门”而产产生的问问题随着软件件系统规规模的不不断增大大，新的的软件产产品开发发出来，，系统中中的安全全漏洞或或“后门门”也不不可避免免的存在在，比如如我们常常用的操操作系统统，无论论是Windows还还是UNIX几几乎都存存在或多多或少的的安全漏漏洞，众众多的各各类服务务器、浏浏览器、、一些桌桌面软件件等等都都被发现现过存在在安全隐隐患。大大家熟悉悉的一些些病毒都都是利用用微软系系统的漏漏洞给用用户造成成巨大损损失,可可以说任任何一个个软件系系统都可可能会因因为程序序员的一一个疏忽忽、设计计中的一一个缺陷陷等原因因而存在在漏洞，，不可能能完美无无缺。这这也是网网络安全全的主要要威胁之之一。2.4恶恶意意网站设设置的陷陷阱互联网世世界的各各类网站站，有些些网站恶恶意编制制一些盗盗取他人人信息的的软件，，并且可可能隐藏藏在下载载的信息息中，只只要登录录或者下下载网络络的信息息就会被被其控制制和感染染病毒，，计算机机中的所所有信息息都会被被自动盗盗走，该该软件会会长期存存在你的的计算机机中，操操作者并并不知情情，如““木马马”病毒毒。因此此，不良良网站和和不安全全网站万万不可登登录，否否则后果果不堪设设想。2.6用用户网网络内部部工作人人员的不不良行为为引起的的安全问问题网络内部部用户的的误操作作，资源源滥用和和恶意行行为也有有可能对对网络的的安全造造成巨大大的威胁胁。由于于各行业业，各单单位现在在都在建建局域网网，计算算机使用用频繁，，但是由由于单位位管理制制度不严严，不能能严格遵遵守行业业内部关关于信息息安全的的相关规规定，都都容易引引起一系系列安全全问题。。2.7竞竞争对对手的恶恶意窃取取、破坏坏以及攻攻击xx企业业是以销销售为主主的IT行业，，所以用用户信息息异常珍珍贵和重重要，如如果遭到到竞争对对手的恶恶意窃取取、破坏坏以及攻攻击，后后果不堪堪设想。。三、安全全系统建建设原则则整体性原原则：““木桶原原理”，，单纯一一种安全全手段不不可能解解决全部部安全问问题;多重保护护原则：：不把整整个系统统的安全全寄托在在单一安安全措施施或安全全产品上上;性能保障障原则：：安全产产品的性性能不能能成为影影响整个个网络传传输的瓶瓶颈;平衡性原原则：制制定规范范措施，，实现保保护成本本与被保保护信息息的价值值平衡;;可管理、、易操作作原则：：尽量采采用最新新的安全全技术，，实现安安全管理理的自动动化，以以减轻安安全管理理的负担担，同时时减小因因为管理理上的疏疏漏而对对系统安安全造成成的威胁胁;三、安全全系统建建设原则则适应性、、灵活性性原则：：充分考考虑今后后业务和和网络安安全协调调发展的的需求，，避免因因只满足足了系统统安全要要求，而而给业务务发展带带来障碍碍的情况况发生;;高可用原原则：安安全方案案、安全全产品也也要遵循循网络高高可用性性原则;;技术与管管理并重重原则：：“三分分技术，，七分管管理”，，从技术术角度出出发的安安全方案案的设计计必须有有与之相相适应的的管理制制度同步步制定，，并从管管理的角角度评估估安全设设计方案案的可操操作性；；投资保护护原则：：要充分分发挥现现有设备备的潜能能，避免免投资的的浪费;;四、网络络安全总总体设计计4.1需需求求分析根据xx企业满满足内部部网络机机构，根根据XXX企业业各级内内部网络络机构、、广域网网结构、、和三级级网络管管理、应应用业系系统的特特点，本本方案主主要从以以下几个个方面进进行安全全设计：：数据安全全保护,,使用加加密技术术,保护护重要数数据的保保密性；；网络系统统安全,,防火墙墙的设置置；物理安全全,应用用硬件等等安装配配置；；应用系统统安全,,局域网网内数据据传输的的安全保保证。。4.2方方案案综述首先设置置vpn,方便便内网与与外网的的连接。。虚拟专专用网是是对企业业内部网网的扩展展.可以以帮助远远程用户户,公司司分支机机构,商商业伙伴伴及供应应商同公公司的内内部网建建立可信信的安全全连接，，并保证证数据((Data)的的安全传传输.虚虚拟专用用网可以以用于不不断增长长的移动动用户的的全球因因特网接接入，以以实现安安全连接接；可以以用于实实现企业业网站之之间安全全通信的的虚拟专专用线路路，用于于经济有有效地连连接到商商业伙伴伴和用户户的安全全外联网网虚拟专专用网..4.2方方案案综述设置防火火墙，防防火墙是是对通过过互联网网连接进进入专用用网络或或计算机机系统的的信息进进行过滤滤的程序序或硬件件设备。。所以如如果过滤滤器对传传入的信信息数据据包进行行标记，，则不允允许该数数据包通通过。能能够保证证使用的的网站的的安全性性，以及及防止恶恶意攻击击以及破破坏企业业网络正正常运行行和软硬硬件，数数据的安安全。防防止服务务器拒绝绝服务攻攻击.4.2方方案案综述网络病毒毒防护，，采用网网络防病病毒系统统。在网网络中部部署被动动防御体体系（防防病毒系系统）,,采用主主动防御御机制（（防火墙墙、安全全策略、、漏洞修修复等）），将病病毒隔离离在网络络大门之之外。从从总部到到分支机机构，由由上到下下，各个个局域网网的防病病毒系统统相结合合，最终终形成一一个立体体的、完完整的企企业网病病毒防护护体系。。4.2方方案案综述设置DMZ，数数据冗余余存储系系统。将将需要保保护的Web应应用程序序服务器器和数据据库系统统放在内内网中，，把没有有包含敏敏感数据据、担当当代理数数据访问问职责的的主机放放置于DMZ中中，这样样就为应应用系统统安全提提供了保保障。DMZ使使包含重重要数据据的内部部系统免免于直接接暴露给给外部网网络而受受到攻击击，攻击击者即使使初步入入侵成功功，还要要面临DMZ设设置的新新的障碍碍。4.2方方案案综述设置数据据备份管管理系统统，专门门备份企企业重要要数据。。为避免免客观原原因、自自然灾害害等原因因造成的的数据损损坏、丢丢失，可可采用异异地备份份方式。。4.2方方案案综述双重数据据信息保保护，在在重要部部门以及及工作组组前设置置交换机机，可以以在必要要时候断断开网络络连接，，防止网网络攻击击，并且且设置双双重防火火墙，进进出的数数据都将将受到保保护。4.2方方案案综述设置备份份服务器器，用于于因客观观原因、、自然灾灾害等原原因造成成的服务务器崩溃溃。4.2方方案案综述广域网接接入部分分,采采用入侵侵检测系系统（IDS））。对对外界入入侵和内内部人员员的越界界行为进进行报警警。在服服务器区区域的交交换机上上、Internet接入路路由器之之后的第第一台交交换机上上和重点点保护网网段的局局域网交交换机上上装上IDS。。4.2方方案案综述系统漏洞洞分析。。采用漏漏洞分析析设备五、安全全设备要要求5.1硬硬件件设备pc机若若干台,,包括网网络管理理机,员员工工作作用机；；交换机2台；服务器4台；防火墙5台；内外网隔隔离卡；漏洞扫描描器；AMTTinnFORIDS。。5.2软软件设备备病毒防御御系统；；查杀病毒毒软件；；访问控制制设置。。六、技术术支持与与服务6.1虚虚拟网技技术虚拟网技技术主要要基于近近年发展展的局域网交换技术术(ATM和以以太网交交换）。。交换技技术将传传统的基基于广播播的局域网技技术发展为面面向连接接的技术术。因此此，网管管系统有有能力限限制局域网通通讯的范围而而无需通通过开销销很大的的路由器。由以上运运行机制制带来的的网络安安全的好好处是显显而易见见的：信信息只到到达应该该到达的的地点。。因此、、防止了了大部分分基于网络监听听的入侵手手段。通通过虚拟拟网设置置的访问问控制，，使在虚虚拟网外外的网络节点点不能直接接访问虚虚拟网内内节点。。以太网从从本质上上基于广广播机制制，但应应用了交交换器和和VLAN技术后，实际际上转变变为点到到点通讯讯，除非非设置了了监听口口，信息交换换也不会存存在监听听和插入入（改变变）问题题。但是，采采用基于于MAC的VLAN划划分将面面临假冒冒MAC地址的的攻击。。因此，，VLAN的划划分最好好基于交换机端口。但但这要求求整个网网络桌面面使用交交换端口口或每个个交换端端口所在在的网段段机器均均属于相相同的VLAN。6.2防防火墙技技术网络防火墙技术是一一种用来来加强网网络之间间访问控控制,防防止外部部网络用用户以非非法手段段通过外外部网络络进入内内部网络络,访问问内部网络资源源,保护内内部网络络操作环环境的特特殊网络络互联设设备.它它对两个个或多个个网络之之间传输输的数据包如链接方方式按照照一定的的安全策策略来实实施检查查,以决决定网络络之间的的通信是是否被允允许,并并监视网网络运行行状态..6.2防防火墙技技术防火墙技技术又有有三种类类型包过滤型型网络地址址转换(NAT)代理型监测型6.3病病毒防护护技术病毒历来来是信息息系统安安全的主主要问题题之一。。由于网网络的广广泛互联联，病毒毒的传播播途径和和速度大大大加快快。我们将病病毒的途途径分为为：(1))通过过FTP，电子子邮件传传播。(2)通通过软软盘、光盘、磁带传传播。(3)通通过Web游游览传播播，主要要是恶意意的Java控控件网站站。(4)通通过群件系统统传播。6.3病病毒防护护技术病毒防护护的主要要技术如如下：(1)阻阻止病病毒的传传播。在防火墙墙、代理理服务器器、SMTP服服务器、、网络服务务器、群件服服务器上上安装病病毒过滤软件件。在桌面PC安装装病毒监监控软件件。(2)检检查和和清除病病毒。使用防病病毒软件件检查和和清除病病毒。(3)病病毒数数据库的的升级。。病毒数据据库应不不断更新新，并下下发到桌桌面系统统。(4)在在防火火墙、代代理服务务器及PC上安安装Java及及ActiveX控制制扫描软软件，禁禁止未经经许可的的控件下下载和安安装。6.4入入侵检测测技术入侵检测测系统是近年出出现的新新型网络络安全技技术，目目的是提提供实时时的入侵侵检测及及采取相相应的防防护手段段，如记记录证据据用于跟跟踪和恢恢复、断断开网络络连接等等。实时入侵侵检测能能力之所所以重要要首先它它能够对对付来自自内部网网络的攻攻击，其其次它能能够缩短短hacker入侵的的时间。。入侵检测测系统可可分为两两类：√基于于主机√基于于网络基于主机机及网络络的入侵侵监控系系统通常常均可配配置为分分布式模模式：(1)在在需要要监视的的服务器器上安装装监视模模块(agent)，，分别向向管理服服务器报报告及上上传证据据，提供供跨平台台的入侵侵监视解解决方案案。(2)在在需要要监视的的网络路路径上，，放置监监视模块块(sensor),,分别向向管理服服务器报报告及上上传证据据，提供供跨网络络的入侵侵监视解解决方案案。6.5安安全扫描描技术网络安全全技术中中，另一一类重要要技术为为安全扫扫描技术术。安全全扫描技技术与防防火墙、、安全监监控系统统互相配配合能够够提供很很高安全全性的网网络。6.6认认证和数数字签名名技术认证技术术主要解解决网络络通讯过过程中通通讯双方方的身份份认可，，数字签签名作为为身份认证证技术中的一种种具体技技术，同同时数字字签名还还可用于于通信过过程中的的不可抵抵赖要求求的实现现。认证技术术将应用用到企业业网络中中的以下下方面：：(1)路路由器器认证，，路由器器和交换换机之间间的认证证。(2)操操作系系统认证证。操作作系统对对用户的的认证。。(3)网网管系系统对网网管设备备之间的的认证。。(4)VPN网关设备备之间的认认证。(5)拨拨号访访问服务务器与客客户间的的认证。。(6)应应用服服务器((如WebServer))与客户户的认证证。(7)电电子邮邮件通讯讯双方的的认证。。数字签名名技术主要用于于：(1)基基于PKI认