企业网络安全毕业设计

云南工商学院学生毕业作业（设计）山东香山装饰工程企业网络安全布署设计（硬件方向） 设计小组二级学院机电信息学院专业计算机网络技术专业年级11级班级网络技术一班学号1101301姓名郭台指导教师何斌颖职称讲师1山东香山装饰工程企业网络安全布署设计（硬件方向）［摘要］于这几年由信息化技术的飞速发展，许多有远见的企业都认识到计算机网络信息安全在国民生活中受到越来越多的关注，原因在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将导致无法估计的损失。之因此网络信息会泄露出去，首先有许多入侵者千方百计想“看”到某些关怀的数据或者信息；另首先网络自身存在安全隐患才使得入侵者得逞。针对这些问题，该文归纳并提出了某些网络信息安全防护的措施和方略。重点研究在物理隔离的状况下计算机网络的安全问题。在对网络系统有了确切的理解之后，将局域网总体划分为三个安全等级，每个等级中包括若干子网，各类子网设置了各自的安全方略。按照计算机网络安全设计的目的及其计算机网络安全系统的总体规划，对计算机网络安全问题进行了全面的分析。根据各个安全等级的安全需求，设计了网络的安全方案。在满足各子网系统建设的前提下，提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密方略、入侵检测系统的布署、漏洞扫描系统等管理措施和安全技术在内的整套处理方案。目的是建立一种完整的、立体的网络安全防御体系，使网络安全系统真正获得很好的效果。［关键词］网络安全扫描系统防火墙病毒入侵网络威胁安全防备措施。ShandongXiangshandecorationengineeringenterprisenetworksecuritydeploymentdesign(hardware)［Abstract］Becauseoftherapiddevelopmentofinformationtechnologyinthepastfewyears,manyforward-lookingcompaniesrecognizethatthecomputernetworkinformationsecurityispaidmoreandmoreattention,inthenationallifereason:manyimportantinformationinthenetwork,iftheinformationleakedwouldcauseimmeasurablelosses.Thenetworkinformationwillleakout,ononehandmanyinvadersmakeeveryattemptto"look"tosomeconcerneddataorinformation;ontheotherhand,thenetwork'sownexistencesafetyhiddendangermakestheintruder.Aimingattheseproblems,thispapersummarizesandputsforwardsomemethodsandStrategiesofnetworkinformationsecurityprotection.Safetyissuesfocusonthephysicalseparationofthecasesofcomputernetwork.Tohaveapreciseunderstandingofthenetworksystem,theLANisgenerallydividedintothreesecuritylevels,eachlevelincludesseveralsubnetwork,allkindsofnetworktosetuptheirsecuritystrategy.Inaccordancewiththeoverallplanninganddesignofcomputernetworksecuritygoalandsecurityofcomputernetworksystem,thesecurityofcomputernetworkareanalyzed.Accordingtodifferentsecuritylevelsecurityneeds,designthesecurityschemeofnetwork.Inordertomeetthesystemconstructionofeachsubnetwork,includingtheproposedvirusprotection,dynamicpasswordauthentication,secureauditmanagement,accesscontrol,informationencryption,intrusiondetectionsystemdeployment,vulnerabilityscanningsystemandothermanagementmeasuresandsafetytechnology,setofsolutions.Thepurposeistoestablishacomplete,thethree-dimensionalnetworksecuritydefensesystem,sothatthenetworksecuritysystemtrulyachievebettereffect.［Keywords］networksecurityfirewallvirusscanningsystemnetworkthreatsecuritymeasures.［目录］TOC\o"1-2"\h\z\u第1章绪论 11.1引言 11.2网络安全背景知识 11.3网络安全的概念和目的 2第2章企业网络安全的威胁及需求 32.1物理层安全风险 32.2系统层安全风险 32.3病毒的安全风险 32.4管理的安全风险 4第3章安全产品的配置与应用 53.1安全产品 53.2访问控制：防火墙系统 53.3入侵检测系统 63.4漏洞扫描系统 7第4章企业网络安全设计 94.1网络设计原则 94.2企业需求 94.3项目规定 104.4企业设计前网络拓扑图 114.5企业项目设计图 124.6实行方案 12第5章安全方案测试 145.1测试管理方案 145.2测试安全方案 14第6章结论 15道谢 16参照文献 17第1章绪论1.1引言近年来，伴伴随互联网技术在全球迅猛发展，人们在提供了极大的以便，然而，信息化在给人们带来种种物质和文化享有的同步，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒公布者，甚至系统内部的泄密者。尽管我们正在广泛地使用多种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，不过，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会导致了严重的危害。与此同步，更让人不安的是，互联网上黑客网站还在不停增长，学习黑客技术、获得黑客袭击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对多种来自网上的安全威胁，怎样才能保证网络信息的安全性，尤其是网络上重要的数据的安全性。本文通过对几起经典的网络安全事件的分析，以及对威胁网络安全的几种经典措施研究的成果，提出实现防护网络安全的详细方略。1.2网络安全背景知识1.计算机系统遭受病毒感染和破坏的状况相称严重。据国家计算机病毒应急处理中心数据看，从国家计算机病毒应急处理中心平常监测成果看来，计算机病毒展现出异常活跃的态势。2.电脑黑客活动己形成重要威胁。网络信息系统具有致命的脆弱性、易受袭击性和开放性，从国内状况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的袭击或侵入。3.信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防备和恢复能力方面存在许多微弱环节。据英国《简氏战略汇报》和其他网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，并且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。网络环境的多变性、复杂性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并且走向世界，建立保护屏障和加强安全监管不可缺乏。近年来，伴随网络安全事件的发生，人们越来越清晰的意识到，信息时代所引起的信息安全问题波及到人们生活的方方面面。因此可以说，在信息化社会里，信息安全的重要性再怎么强调也不过度。

1.3网络安全的概念和目的一种安全的计算机网络应当具有如下几种特点：(1)可靠性是网络系统安全最基本的规定。可靠性重要是指网络系统硬件和软件无端障运行的性能。(2)可用性是指网络信息可被授权顾客访问的特性，即网络信息服务在需要时，可以保证授权顾客使用。(3)保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息虽然泄露，非授权顾客在有限的时间内也不能识别真正的信息内容。(4)完整性是指网络信息未经授权不能进行变化的特性，即网络信息在存储和传播过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，重要用于网络信息的互换过程，保证信息互换的参与者都不也许否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。从技术角度看，网络安全的内容大体包括4个方面：1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全等。其特性是针对计算机网络自身也许存在的安全问题，实行网络安全保护方案，以保证算机网络自身的安全性为目的。

第2章企业网络安全的威胁及需求2.1物理层安全风险物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及多种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。一般是在物理上采用一定的防护措施，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。为保证网络的正常运行，在物理安全面应采用如下措施：1．产品保障方面：重要指产品采购、运送、安装等方面的安全措施。2．运行安全面：网络中的设备，尤其是安全类产品在使用过程中，必须可以从生成厂家或供货单位得到迅速的技术支持服务。对某些关键设备和系统，应设置备份系统。3．防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4．保安方面：重要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。2.2系统层安全风险所谓系统安全一般是指网络操作系统、应用系统的安全。系统级的安全风险分析重要针对企业企业校园采用的操作系统、数据库、及有关商用产品的安全漏洞和病毒威胁进行分析。企业企业校园网络采用的操作系统[7](重要为Windowsserver/professional，Windows.NET/Workstation，WindowsME，Windows95/98、UNIX)自身在安全面考虑的较少，服务器、数据库的安全级别较低，存在若干安全隐患。同步病毒也是系统安全的重要威胁，所有这些都导致了系统安全的脆弱性。在企业的网络系统中，包括的设备有：互换机，服务器，工作站等。在服务器上重要有操作系统、软件系统和数据库系统，互换机上也有对应的操作系统。所有的这些设备、软件系统都多多少少地存在着多种各样的漏洞，这些都是重大安全隐患。一旦被运用并袭击，将带来不可估计的损失。2.3病毒的安全风险计算机病毒是指一种能使自己附加到目的机系统的文献上的程序。它在所有破坏性设备中最具危险性，可以导致服务拒绝、破坏数据，甚至使计算机系统完全瘫痪。当病毒被释放到网络环境时，其无法预测的扩散能力使它极具危险性。在企业的网络系统中，老式的计算机病毒传播手段是通过存储介质进行的，师生在互换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到此外的计算机中。而现代的病毒传播手段重要是通过网络实现的，一台客户机被病毒感染，迅速通过网络传染到同一网络的成百上千台机器。师生上网浏览网页、收发电子邮件，下载资料的时候，均有也许被病毒传染，这种互联网和校园内联网通讯模式下的传播方式构成了企业病毒传播途径的主流。2.4管理的安全风险管理混乱、安全管理制度不健全，责权不明及缺乏可操作性等都也许引起管理安全的风险。因此，最可行的做法是管理制度和管理处理方案相结合。管理方面的安全隐患包括：内部管理人员或师生为了以便省事，设置的口令过短和过于简朴，甚至不设置顾客口令，导致很轻易破解。责任不清，使用相似的口令、顾客名，导致权限管理混乱，信息泄密。把内部网络构造、管理员顾客名及口令以及系统的某些重要信息传播给外人带来信息泄漏风险。内部不满的人员有的也许导致极大的安全风险。网络安全管理是防止来自内部网络入侵的必须部分，管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都也许引起管理安全的风险。即除了从技术上功夫外，还得靠安全管理来实现。伴随企业整个网络安全系统的建设，必须建立严格的、完整的、健全的安全管理制度。网络的安全管理制度方略包括：确定安全管理等级和安全管理范围;制定有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。通过制度的约束，确定不一样学员的网络访问权限，提高管理人员的安全防备意识，做到实时监控检测网络的活动，并在危害发生时，做到及时报警。2.5操作系统的安全风险分析所谓系统安全一般是指操作系统的安全。操作系统的安装以正常工作为目的，一般很少考虑其安全性，因此安装一般都是以缺省选项进行设置。从安全角度考虑，其体现为装了诸多用不着的服务模块，开放了诸多不必开放的端口，其中也许隐含了安全风险。

目前的操作系统无论是Windows还是UNIX操作系统以及其他厂商开发的应用系统，其开发厂商必然有其Back-Door。并且系统自身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有很大关系，操作系统假如没有采用对应的安全配置，则其是漏洞百出，掌握一般袭击技术的人都也许入侵得手。假如进行安全配置，弥补安全漏洞，关闭某些不常用的服务，严禁开放某些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不轻易的，这需要相称高的技术水平及相称长时间。

第3章安全产品的配置与应用3.1安全产品常用的安全产品有5种：防火墙、防病毒、身份认证、传播加密的入侵检测。结合顾客的网络、系统和应用的实际状况，对安全产品和安全技术作比较和分析，分析要客观、成果要中肯，协助顾客选择最能处理他们所碰到的问题的产品，不规定新、求好和求大（1）防火墙：对包过滤技术、代理技术和状态检测技术的防火墙，都做一种概括和比较，结合顾客网络系统的特点，协助顾客选择一种安全产品，对于选择的产品，一定要从中立的角度来阐明。（2）防病毒：针对顾客的系统和应用的特点，对桌面防病毒、服务器防病毒和网关防病毒做一种概括和比较，详细指出顾客必须怎样做，否则就会带来什么样的安全危险，一定要中肯、合适，不要夸张和缩小。(3)身份认证：从顾客的系统和顾客的认证的状况进行详细的分析，指出网络和应用自身的认证法会出现哪些风险，结合有关的产品和技术，通过布署这些产品和采用有关的安全技术，可以协助顾客处理所带来的危害和风险。(4)传播加密：要顾客加密技术来分析，指出明文传播的巨大危害，通过结合有关的加密产品的技术，可以指出顾客的既有状况存在哪些危害和风险。(5)入侵检测：对入侵检测技术要有一种详细的解释，指出在顾客的网络和系统布署了有关的产品之后，对既有的安全状况会产生一种怎样的影响要有一种详细的分析。结合有关的产品和技术，指出对顾客的系统和网络会带来哪些好处，指出为何须须要这样做，不这样做怎么样，会带来什么样的后果。防病毒及特洛伊木马软件3.2访问控制：防火墙系统防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其重要目的就是通过控制入、出一种网络的权限,并迫使所有的连接都通过这样的检查,防止一种需要保护的网络遭外界原因的干扰和破坏。在逻辑上，防火墙是一种分离器，一种限制器，也是一种分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一种进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑构造：（1）屏蔽路由器：又称包过滤防火墙。（2）双穴主机：双穴主机是包过滤网关的一种替代。（3）主机过滤构造：这种构造实际上是包过滤和代理的结合。（4）屏蔽子网构造：这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不一样,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。包过滤型包过滤型产品是防火墙的初级产品,其技术根据是网络中的分包传播技术。网络上的数据都是以“包”为单位进行传播的,数据被分割成为一定大小的数据包,每一种数据包中都会包括某些特定信息,如数据的源地址、目的地址、TCP/UDP源端口和目的端口等。防火墙通过读取数据包中的地址信息来判断这些“包”与否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际状况灵活制定判断规则。包过滤技术的长处是简朴实用,实现成本较低,在应用环境比较简朴的状况下,可以以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目的和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很轻易伪造IP地址,骗过包过滤型防火墙。3.3入侵检测系统入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。一般而言，入侵包括尝试性闯入、伪装袭击、安全控制系统渗透、泄漏、拒绝服务，恶意使用六种类型。概括的说，入侵表达系统发生了违反系统安全方略的事件。入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违反安全方略或危机系统安全的行为或活动，从而保护系统的资源不受袭击、防止系统数据的泄漏、篡改和破坏。入侵检测系统是指可以通过度析与系统安全有关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合[20]。从系统所执行的功能上来考虑，入侵检测系统必须包括如下三个功能部件：提供事件记录流的数据搜集部件、发现入侵迹象的分析引擎和基于分析引擎的成果产生的响应部件。“入侵检测”是一种网络实时自动袭击识别和响应系统它通过多种途径搜集单位内部网的主机和网络信息，对这些信息加以分析，查看网络安全体系构造与否存在漏洞，主机系统和网络上与否有入侵事件发生，假如发既有入侵事件，自动对这些事件响应，同步给出对应提醒。企业办公部门比较多，内部网根据部门划分不一样的子网网段。每个部门或子网均有一种互换机，设置网络中心，有专门的网络管理员。各个子网汇总到网络中，自连接到高性能服务器群，高性能服务器群放置在防火墙的DMZ区。根据网络流量和保护数据的重要程度，选择IDS探测器配置在内部关键子网的互换机处放置，关键互换机放置控制台，监控和管理所有的探测器因此提供了对内部袭击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。IDS布署方案图在企业安全内网中，入侵检测系统运行于有敏感数据的几种要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络袭击模式和其他网络违规活动。当发现网络袭击或未授权访问时，入侵检测可以进行如下反应：(l)控制台报警。(2)记录网络袭击事件。(3)实时阻断网络连接。(4)入侵检测可以过滤和监视TCP/工P协议。系统管理员通过配置入侵检测，可以按协议，源端口，目的端口，源工P/目的工P地址过滤。(5)入侵检测还支持顾客自定义的网络安全事件监视。(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统，从而为网络安全提供有效的保障。3.4漏洞扫描系统网络设备和软件在设计开发过程中不可防止存在缺陷和漏洞，漏洞伴随时间推移越来越多;袭击者也从老式上的黑客高手，变成初学者用自动程序来完毕袭击，这些都导致黑客袭击越来越轻易实现，威胁程度越来越高。由于网络自身及应用系统的复杂性，网络管理员失去了对网络资源的精确控制。采用网络漏洞扫描器对存在的安全隐患进行检查，协助管理员找出处理的措施。企业内网网络的安全性决定了整个系统的安全性。在企业内网高性能服务器处配置网络隐患扫描联动型产品。联动型合用于企业内网这样的高端顾客，联动型扫描系统包括扫描服务器和移动扫描仪。扫描服务器布署于网络中心，高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活，可以跨越网段、穿透防火墙、主流IDS产品，多种主流联动协议Topsee、Opensec联动，与多种安全管理平台兼容，统一安全方略配置，保障全网安全。通过布署多级联动型产品实现榕基分布式整体安全扫描，网络管理人员可以以便的通过控制扫描器就可以实现对多级管辖区域的服务器进行统一和及时管理，实现对管辖区域服务器，网络设备等的安全性，以保证整体网络的安全性，整体可控性、整体安全资源共享。网络人员使用联动型产品，就可以很以便的对200信息点以上的多种网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全方略。同步移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定期和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描汇报，配合我们提供的三级服务体系，大大的减轻了工作承担，极大的提高了工作效率。通过布署漏洞扫描的联动设备，保障企业内网重要部门的网络安全的同步，提高每个部门的安全性就显得尤其重要。只有部门的安全得到保证的前提下，企业内网才可以安全。我们对这些部门进行合理的规划，可以将这些部门根据统一的配置方略，给下属部门、网络管理应用服务系统配置网络联动扫描系统来保证各个部门的安全性。这样就可以很以便的管理信息点多、网络环境较固定、与企业的业务应用紧密有关的内网中。联动扫描系统支持多线程扫描，有较高的扫描速度，支持定期和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同步提供了Web方式的远程管理，网管不需要变化怎样的网络拓扑构造和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。此外对于信息点少、网络环境变化大的内网配置网络移动式扫描仪。移动式扫描仪手持式设计，使用简朴、灵活，携带以便。伴随网络规模的逐渐庞大、复杂，各个网络之间存在着防火墙、互换机等过滤机制的存在，隐患扫描发送的数据包大部分将被这些设备过滤，减少了扫描的时效性和精确性。针对这种分布式的复杂网络，移动式扫描仪可以充足发挥自身可移动的优势，可以很好的适应这种分布式网络扫描，移动扫描，随时随地保护网络安全。在防火墙处布署联动扫描系统，在部门互换机处布署移动式扫描仪，实现防火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大也许的消除安全隐患，尽量早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

第4章企业网络安全设计4.1网络设计原则对于我们学网络技术的人来说，网络必须有一种整体。整体的意思就是说在整个项目中，有一种总体把握的能力，不能中关注自己熟悉的某一种领域，从而对别的领域不关怀，甚至不理解，否则就写不出一份好的安全方案。网络设计安全原则体现5个方面：动态性、唯一性、整体性、专业性和严密性。（1）动态性：不要把安全静态化，动态性是安全的一种重要的原则。网络、系统和应用会不停出现新的风险和危险，这决定了安全动态性的重要性。（2）唯一性：安全的动态性决定了安全的唯一性，针对每个网络系统安全的处理，都应当是独一无二的。（3）整体性：对于网络系统所碰到的风险和危险，要从整体来分析和把握，不能哪里有问题就补哪里，要全面地保护和评估。（4）专业性：对于顾客的网络、系统和应用，要从专业的角度来分析和把握不能是大概的做法。（5）严密性：整个处理方案，要有一种很强的严密性，不要给人一种虚假的感觉，在设计方案的时候，需要从多方面对方案进行论证。4.2企业需求山东香山装饰工程有限企业根据业务发展需求，建设一种小型的企业网，有Web、Mail等服务器和办公区客户机。企业已经完毕了综合布线工程的施工与网络设备的架设。企业分为财务部门和业务部门，需要他们之间互相隔离。网络管理员在实际维护企业网络的过程中，常碰到多种网络安全问题，例如：网络黑客袭击、网络蠕虫病毒泛滥、多种木马程序等等。由于考虑到Inteneter的安全性，以及网络安全等某些原因，如DDoS、ARP等。需要在防火墙设置有关的方略和其他某些安全方略。网络管理员需要随时排除企业网络在平常运转中出现的多种网络安全问题，保证企业网络的稳定工作。构造图根据山东香山装饰工程有限企业的整体网络状况网络安全需求分析我们针对山东香山装饰工程有限企业的网络安全状况和网络构造来进行需求分析。山东香山装饰工程有限企业的第一种网络安全需求是根据部门需要划分VLAN，使用VPN技术。山东香山装饰工程有限企业的第二个网络安全需求是要安装一种基于安全的操作系统平台的高级通信保护控制系统网络防火墙，保护企业内部网络的计算机免遭来自国际互联网的黑客袭击、病毒侵扰。山东香山装饰工程有限企业的第三个网络安全需求是企业内部的计算机网络安全问题。山东香山装饰工程有限企业网内有诸多计算机均有上网需求，这就导致常出现网络黑客袭击、网络蠕虫病毒泛滥、多种木马程序盗取密码等网络安全问题。因此，根据企业内计算机的使用状况，分别安装软件防火墙、杀毒软件、网络安全软件。4.3项目规定山东香山装饰工程有限企业在网络安全面提出下述5方面的规定。（1）安全性：全面有效地保护企业网络系统的安全，保护计算机硬件、软件、数据、网络不因偶尔的或恶意破坏的原因遭到更改、泄露和丢失，保证数据的完整性。（2）可控性和可管理性：可自动和手动分析网络安全状况，适时检测并及时发现危险，制定安全方略，及时报警、阻断不良行为，具有很强的可控性和可管理性。（3）系统的可用性在某部分系统出现问题时，不影响企业信息系统的正常运行，具有很强的可用性和及时恢复性。（4）可持续发展性：满足山东香山装饰工程有限企业业务需求和企业可持续发展的规定，具有很强的可开展性和柔韧性。（5）合法性：所采用的安全设备和技术具有我国安全产品管理部门的合法认证。4.4企业设计前网络拓扑图图4-1山东香山装饰工程有限企业网络拓扑图4.5企业项目设计图图4-2山东香山装饰工程有限企业网络设计图企业项目设计图企业VLAN划分企业重要分两个部门，因此只要划分两个VLAN，分别为：财务部门VLAN10互换机S1接入互换机（神州数码DCS-5526）业务部门VLAN20互换机S2接入互换机（神州数码DCS-5526）关键互换机S3关键互换机（神州数码DCRS-5526）客户机的地址范围：-54山东香山装饰工程有限企业内网中管理远东网安防火墙主机的计算机地址：：外网的网关：54防火墙的LAN（eth0）口的IP：（默认）直接管理远东网安防火墙的计算机地址：14.6实行方案(1)按照项目规定、项目设计图实行，并保证项目顺利实行。（2）按照写出的管理制度，重要是保证项目实行的质量，项目管理重要包括人的管理、产品的管理和技术的管理。（3）按照项目进度图查看项目实行进度表，作为项目实行的时间原则，要全面考虑完毕项目所需要的物质条件，计划出一种比较合适的时间进度表（4）执行人员要保证质量职责、项目质量的保证措施和项目验收。执行人员如项目经理、技术负责人、技术工程师、后勤人员等，以保证整个安全项目的顺利实行。（5）项目质量保证严格质量保证，重要的内容波及参与项目的有关人员、项目中所波及的安全产品和技术、顾客派出支持该项目的有关人员管理。（6）根据项目详细状况，与顾客确定项目验收的详细事项，包括安全产品、技术、完毕状况、到达的安全目的等验收。

第5章安全方案测试5.1测试管理方案记得大二上课的时候赵祖应老师说过信息安全管理机构的职能建设遵照从上至下的垂直管理原则，即：上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则：下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全方略;信息系统的安全管理机构，不从属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员构成。能建设遵照从上至下的垂直管理原则，即：上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则：下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全方略;信息系统的安全管理机构，不从属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员构成。5.2测试安全方案伴随网络应用的深入普及，网络安