企业网络安全毕业设计

云南工商学院学生毕业作业（设计）山东香山装饰工程公司网络安全布署设计（硬件方向） 设计小组二级学院机电信息学院专业计算机网络技术专业年级11级班级网络技术一班学号1101301姓名郭台指导教师何斌颖职称讲师1山东香山装饰工程公司网络安全布署设计（硬件方向）［摘要］于这几年由信息化技术的飞速发展，许多有远见的公司都认识到计算机网络信息安全在国民生活中受到越来越多的关注，因素在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法预计的损失。之因此网络信息会泄露出去，首先有许多入侵者千方百计想“看”到某些关心的数据或者信息；另首先网络本身存在安全隐患才使得入侵者得逞。针对这些问题，该文归纳并提出了某些网络信息安全防护的办法和方略。重点研究在物理隔离的状况下计算机网络的安全问题。在对网络系统有了确切的理解之后，将局域网总体划分为三个安全等级，每个等级中包含若干子网，各类子网设立了各自的安全方略。按照计算机网络安全设计的目的及其计算机网络安全系统的总体规划，对计算机网络安全问题进行了全方面的分析。根据各个安全等级的安全需求，设计了网络的安全方案。在满足各子网系统建设的前提下，提出了涉及病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密方略、入侵检测系统的布署、漏洞扫描系统等管理方法和安全技术在内的整套解决方案。目的是建立一种完整的、立体的网络安全防御体系，使网络安全系统真正获得较好的效果。［核心词］网络安全扫描系统防火墙病毒入侵网络威胁安全防备方法。ShandongXiangshandecorationengineeringenterprisenetworksecuritydeploymentdesign(hardware)［Abstract］Becauseoftherapiddevelopmentofinformationtechnologyinthepastfewyears,manyforward-lookingcompaniesrecognizethatthecomputernetworkinformationsecurityispaidmoreandmoreattention,inthenationallifereason:manyimportantinformationinthenetwork,iftheinformationleakedwouldcauseimmeasurablelosses.Thenetworkinformationwillleakout,ononehandmanyinvadersmakeeveryattemptto"look"tosomeconcerneddataorinformation;ontheotherhand,thenetwork'sownexistencesafetyhiddendangermakestheintruder.Aimingattheseproblems,thispapersummarizesandputsforwardsomemethodsandStrategiesofnetworkinformationsecurityprotection.Safetyissuesfocusonthephysicalseparationofthecasesofcomputernetwork.Tohaveapreciseunderstandingofthenetworksystem,theLANisgenerallydividedintothreesecuritylevels,eachlevelincludesseveralsubnetwork,allkindsofnetworktosetuptheirsecuritystrategy.Inaccordancewiththeoverallplanninganddesignofcomputernetworksecuritygoalandsecurityofcomputernetworksystem,thesecurityofcomputernetworkareanalyzed.Accordingtodifferentsecuritylevelsecurityneeds,designthesecurityschemeofnetwork.Inordertomeetthesystemconstructionofeachsubnetwork,includingtheproposedvirusprotection,dynamicpasswordauthentication,secureauditmanagement,accesscontrol,informationencryption,intrusiondetectionsystemdeployment,vulnerabilityscanningsystemandothermanagementmeasuresandsafetytechnology,setofsolutions.Thepurposeistoestablishacomplete,thethree-dimensionalnetworksecuritydefensesystem,sothatthenetworksecuritysystemtrulyachievebettereffect.［Keywords］networksecurityfirewallvirusscanningsystemnetworkthreatsecuritymeasures.［目录］TOC\o"1-2"\h\z\u第1章绪论 11.1引言 11.2网络安全背景知识 11.3网络安全的概念和目的 2第2章公司网络安全的威胁及需求 32.1物理层安全风险 32.2系统层安全风险 32.3病毒的安全风险 32.4管理的安全风险 4第3章安全产品的配备与应用 53.1安全产品 53.2访问控制：防火墙系统 53.3入侵检测系统 63.4漏洞扫描系统 7第4章公司网络安全设计 94.1网络设计原则 94.2公司需求 94.3项目规定 104.4公司设计前网络拓扑图 114.5公司项目设计图 124.6实施方案 12第5章安全方案测试 145.1测试管理方案 145.2测试安全方案 14第6章结论 15致谢 16参考文献 17第1章绪论1.1引言近年来，随着着互联网技术在全球迅猛发展，人们在提供了极大的方便，然而，信息化在给人们带来种种物质和文化享有的同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒公布者，甚至系统内部的泄密者。尽管我们正在广泛地使用多个复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不停增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对多个来自网上的安全威胁，如何才干确保网络信息的安全性，特别是网络上重要的数据的安全性。本文通过对几起典型的网络安全事件的分析，以及对威胁网络安全的几个典型办法研究的成果，提出实现防护网络安全的具体方略。1.2网络安全背景知识1.计算机系统遭受病毒感染和破坏的状况相称严重。据国家计算机病毒应急解决中心数据看，从国家计算机病毒应急解决中心日常监测成果看来，计算机病毒呈现出异常活跃的态势。2.电脑黑客活动己形成重要威胁。网络信息系统含有致命的脆弱性、易受攻击性和开放性，从国内状况来看，现在我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入。3.信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反映、防备和恢复能力方面存在许多单薄环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评定，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，并且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。网络环境的多变性、复杂性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并且走向世界，建立保护屏障和加强安全监管不可缺少。近年来，随着网络安全事件的发生，人们越来越清晰的意识到，信息时代所引发的信息安全问题涉及到人们生活的方方面面。因此能够说，在信息化社会里，信息安全的重要性再怎么强调也但是分。

1.3网络安全的概念和目的一种安全的计算机网络应当含有下列几个特点：(1)可靠性是网络系统安全最基本的规定。可靠性重要是指网络系统硬件和软件无端障运行的性能。(2)可用性是指网络信息可被授权顾客访问的特性，即网络信息服务在需要时，能够确保授权顾客使用。(3)保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上确保网络信息安全的非常重要的手段。保密性能够确保信息即使泄露，非授权顾客在有限的时间内也不能识别真正的信息内容。(4)完整性是指网络信息未经授权不能进行变化的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，重要用于网络信息的交换过程，确保信息交换的参加者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。从技术角度看，网络安全的内容大致涉及4个方面：1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全等。其特性是针对计算机网络本身可能存在的安全问题，实施网络安全保护方案，以确保算机网络本身的安全性为目的。

第2章公司网络安全的威胁及需求2.1物理层安全风险物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及多个计算机犯罪行为造成的破坏过程。为确保信息网络系统的物理安全，还要避免系统信息在空间的扩散。普通是在物理上采用一定的防护方法，来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设立的条件。为确保网络的正常运行，在物理安全方面应采用以下方法：1．产品保障方面：重要指产品采购、运输、安装等方面的安全方法。2．运行安全方面：网络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到快速的技术支持服务。对某些核心设备和系统，应设立备份系统。3．防电磁辐射方面：全部重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4．保安方面：重要是防盗、防火等，还涉及网络系统全部网络设备、计算机、安全设备的安全防护。2.2系统层安全风险所谓系统安全普通是指网络操作系统、应用系统的安全。系统级的安全风险分析重要针对公司公司校园采用的操作系统、数据库、及有关商用产品的安全漏洞和病毒威胁进行分析。公司公司校园网络采用的操作系统[7](重要为Windowsserver/professional，Windows.NET/Workstation，WindowsME，Windows95/98、UNIX)本身在安全方面考虑的较少，服务器、数据库的安全级别较低，存在若干安全隐患。同时病毒也是系统安全的重要威胁，全部这些都造成了系统安全的脆弱性。在公司的网络系统中，包含的设备有：交换机，服务器，工作站等。在服务器上重要有操作系统、软件系统和数据库系统，交换机上也有对应的操作系统。全部的这些设备、软件系统都多多少少地存在着多个各样的漏洞，这些都是重大安全隐患。一旦被运用并攻击，将带来不可预计的损失。2.3病毒的安全风险计算机病毒是指一种能使自己附加到目的机系统的文献上的程序。它在全部破坏性设备中最具危险性，能够造成服务回绝、破坏数据，甚至使计算机系统完全瘫痪。当病毒被释放到网络环境时，其无法预测的扩散能力使它极具危险性。在公司的网络系统中，传统的计算机病毒传输手段是通过存储介质进行的，师生在交换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。而当代的病毒传输手段重要是通过网络实现的，一台客户机被病毒感染，快速通过网络传染到同一网络的成百上千台机器。师生上网浏览网页、收发电子邮件，下载资料的时候，都有可能被病毒传染，这种互联网和校园内联网通讯模式下的传输方式构成了公司病毒传输途径的主流。2.4管理的安全风险管理混乱、安全管理制度不健全，责权不明及缺少可操作性等都可能引发管理安全的风险。因此，最可行的做法是管理制度和管理解决方案相结合。管理方面的安全隐患涉及：内部管理人员或师生为了方便省事，设立的口令过短和过于简朴，甚至不设立顾客口令，造成很容易破解。责任不清，使用相似的口令、顾客名，造成权限管理混乱，信息泄密。把内部网络构造、管理员顾客名及口令以及系统的某些重要信息传输给外人带来信息泄漏风险。内部不满的人员有的可能造成极大的安全风险。网络安全管理是避免来自内部网络入侵的必须部分，管理上混乱、责权不明、安全管理制度缺少可操作性及不健全等都可能引发管理安全的风险。即除了从技术上功夫外，还得靠安全管理来实现。随着公司整个网络安全系统的建设，必须建立严格的、完整的、健全的安全管理制度。网络的安全管理制度方略涉及：拟定安全管理等级和安全管理范畴;制订有关网络操作使用规程和出入机房管理制度;制订网络系统的维护制度和应急方法等。通过制度的约束，拟定不同窗员的网络访问权限，提高管理人员的安全防备意识，做到实时监控检测网络的活动，并在危害发生时，做到及时报警。2.5操作系统的安全风险分析所谓系统安全普通是指操作系统的安全。操作系统的安装以正常工作为目的，普通极少考虑其安全性，因此安装普通都是以缺省选项进行设立。从安全角度考虑，其体现为装了诸多用不着的服务模块，开放了诸多不必开放的端口，其中可能隐含了安全风险。

现在的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。并且系统本身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配备及系统的应用有很大关系，操作系统如果没有采用对应的安全配备，则其是漏洞百出，掌握普通攻击技术的人都可能入侵得手。如果进行安全配备，弥补安全漏洞，关闭某些不惯用的服务，严禁开放某些不惯用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相称高的技术水平及相称长时间。

第3章安全产品的配备与应用3.1安全产品惯用的安全产品有5种：防火墙、防病毒、身份认证、传输加密的入侵检测。结合顾客的网络、系统和应用的实际状况，对安全产品和安全技术作比较和分析，分析要客观、成果要中肯，协助顾客选择最能解决他们所碰到的问题的产品，不规定新、求好和求大（1）防火墙：对包过滤技术、代理技术和状态检测技术的防火墙，都做一种概括和比较，结合顾客网络系统的特点，协助顾客选择一种安全产品，对于选择的产品，一定要从中立的角度来阐明。（2）防病毒：针对顾客的系统和应用的特点，对桌面防病毒、服务器防病毒和网关防病毒做一种概括和比较，具体指出顾客必须如何做，否则就会带来什么样的安全危险，一定要中肯、适宜，不要夸张和缩小。(3)身份认证：从顾客的系统和顾客的认证的状况进行具体的分析，指出网络和应用本身的认证法会出现哪些风险，结合有关的产品和技术，通过布署这些产品和采用有关的安全技术，能够协助顾客解决所带来的危害和风险。(4)传输加密：要顾客加密技术来分析，指出明文传输的巨大危害，通过结合有关的加密产品的技术，能够指出顾客的现有状况存在哪些危害和风险。(5)入侵检测：对入侵检测技术要有一种具体的解释，指出在顾客的网络和系统布署了有关的产品之后，对现有的安全状况会产生一种如何的影响要有一种具体的分析。结合有关的产品和技术，指出对顾客的系统和网络会带来哪些好处，指出为什么必须要这样做，不这样做怎么样，会带来什么样的后果。防病毒及特洛伊木马软件3.2访问控制：防火墙系统防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其重要目的就是通过控制入、出一种网络的权限,并迫使全部的连接都通过这样的检查,避免一种需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一种分离器，一种限制器，也是一种分析器，有效地监视了内部网络和Internet之间地任何活动，确保了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其它特制地硬件设备。防火墙能够是独立地系统，也能够在一种进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑构造：（1）屏蔽路由器：又称包过滤防火墙。（2）双穴主机：双穴主机是包过滤网关的一种替代。（3）主机过滤构造：这种构造事实上是包过滤和代理的结合。（4）屏蔽子网构造：这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们能够将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。包过滤型包过滤型产品是防火墙的初级产品,其技术根据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一种数据包中都会包含某些特定信息,如数据的源地址、目的地址、TCP/UDP源端口和目的端口等。防火墙通过读取数据包中的地址信息来判断这些“包”与否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也能够根据实际状况灵活制订判断规则。包过滤技术的优点是简朴实用,实现成本较低,在应用环境比较简朴的状况下,能够以较小的代价在一定程度上确保系统的安全。但包过滤技术的缺点也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目的和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。3.3入侵检测系统入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。普通而言，入侵涉及尝试性闯进、伪装攻击、安全控制系统渗入、泄漏、回绝服务，恶意使用六种类型。概括的说，入侵表达系统发生了违反系统安全方略的事件。入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违反安全方略或危机系统安全的行为或活动，从而保护系统的资源不受攻击、避免系统数据的泄漏、篡改和破坏。入侵检测系统是指能够通过分析与系统安全有关的数据来检测入侵活动的系统，涉及入侵检测的软件和硬件的组合[20]。从系统所执行的功效上来考虑，入侵检测系统必须涉及以下三个功效部件：提供事件统计流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的成果产生的响应部件。“入侵检测”是一种网络实时自动攻击识别和响应系统它通过多个途径收集单位内部网的主机和网络信息，对这些信息加以分析，查看网络安全体系构造与否存在漏洞，主机系统和网络上与否有入侵事件发生，如果发现有入侵事件，自动对这些事件响应，同时给出对应提示。公司办公部门比较多，内部网根据部门划分不同的子网网段。每个部门或子网都有一种交换机，设立网络中心，有专门的网络管理员。各个子网汇总到网络中，自连接到高性能服务器群，高性能服务器群放置在防火墙的DMZ区。根据网络流量和保护数据的重要程度，选择IDS探测器配备在内部核心子网的交换机处放置，核心交换机放置控制台，监控和管理全部的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。IDS布署方案图在公司安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其它部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其它网络违规活动。当发现网络攻击或未授权访问时，入侵检测能够进行以下反映：(l)控制台报警。(2)统计网络攻击事件。(3)实时阻断网络连接。(4)入侵检测能够过滤和监视TCP/工P合同。系统管理员通过配备入侵检测，能够按合同，源端口，目的端口，源工P/目的工P地址过滤。(5)入侵检测还支持顾客自定义的网络安全事件监视。(6)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统，从而为网络安全提供有效的保障。3.4漏洞扫描系统网络设备和软件在设计开发过程中不可避免存在缺点和漏洞，漏洞随着时间推移越来越多;攻击者也从传统上的黑客高手，变成初学者用自动程序来完毕攻击，这些都造成黑客攻击越来越容易实现，威胁程度越来越高。由于网络本身及应用系统的复杂性，网络管理员失去了对网络资源的精确控制。采用网络漏洞扫描器对存在的安全隐患进行检查，协助管理员找出解决的办法。公司内网网络的安全性决定了整个系统的安全性。在公司内网高性能服务器处配备网络隐患扫描联动型产品。联动型合用于公司内网这样的高端顾客，联动型扫描系统涉及扫描服务器和移动扫描仪。扫描服务器布署于网络中心，高速高效且稳定的扫描防护整体网络;移动扫描仪使用灵活，能够跨越网段、穿透防火墙、主流IDS产品，多个主流联动合同Topsee、Opensec联动，与多个安全管理平台兼容，统一安全方略配备，保障全网安全。通过布署多级联动型产品实现榕基分布式整体安全扫描，网络管理人员能够方便的通过控制扫描器就能够实现对多级管辖区域的服务器进行统一和及时管理，实现对管辖区域服务器，网络设备等的安全性，以确保整体网络的安全性，整体可控性、整体安全资源共享。网络人员使用联动型产品，就能够很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，能够实现和IDS、防火墙联动，特别适合于制订全网统一的安全方略。同时移动式扫描仪能够跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员能够很轻松的就能够进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。通过布署漏洞扫描的联动设备，保障公司内网重要部门的网络安全的同时，提高每个部门的安全性就显得特别重要。只有部门的安全得到确保的前提下，公司内网才干够安全。我们对这些部门进行合理的规划，能够将这些部门根据统一的配备方略，给下属部门、网络管理应用服务系统配备网络联动扫描系统来确保各个部门的安全性。这样就能够很方便的管理信息点多、网络环境较固定、与公司的业务应用紧密有关的内网中。联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员能够很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要变化如何的网络拓扑构造和添加其它的应用程序就能够轻轻松松的确保了网络的安全性。另外对于信息点少、网络环境变化大的内网配备网络移动式扫描仪。移动式扫描仪手持式设计，使用简朴、灵活，携带方便。随着网络规模的逐步庞大、复杂，各个网络之间存在着防火墙、交换机等过滤机制的存在，隐患扫描发送的数据包大部分将被这些设备过滤，减少了扫描的时效性和精确性。针对这种分布式的复杂网络，移动式扫描仪能够充足发挥本身可移动的优势，能够较好的适应这种分布式网络扫描，移动扫描，随时随处保护网络安全。在防火墙处布署联动扫描系统，在部门交换机处布署移动式扫描仪，实现防火墙、联动扫描系统和移动式扫描仪之间的联动，确保了网络安全隐患扫描仪和其它网络安全产品的合作和协调性，最大可能的消除安全隐患，尽量早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

第4章公司网络安全设计4.1网络设计原则对于我们学网络技术的人来说，网络必须有一种整体。整体的意思就是说在整个项目中，有一种总体把握的能力，不能中关注自己熟悉的某一种领域，从而对别的领域不关心，甚至不理解，否则就写不出一份好的安全方案。网络设计安全原则体现5个方面：动态性、唯一性、整体性、专业性和严密性。（1）动态性：不要把安全静态化，动态性是安全的一种重要的原则。网络、系统和应用会不停出现新的风险和危险，这决定了安全动态性的重要性。（2）唯一性：安全的动态性决定了安全的唯一性，针对每个网络系统安全的解决，都应当是独一无二的。（3）整体性：对于网络系统所碰到的风险和危险，要从整体来分析和把握，不能哪里有问题就补哪里，要全方面地保护和评定。（4）专业性：对于顾客的网络、系统和应用，要从专业的角度来分析和把握不能是大概的做法。（5）严密性：整个解决方案，要有一种很强的严密性，不要给人一种虚假的感觉，在设计方案的时候，需要从多方面对方案进行论证。4.2公司需求山东香山装饰工程有限公司根据业务发展需求，建设一种小型的公司网，有Web、Mail等服务器和办公区客户机。公司已经完毕了综合布线工程的施工与网络设备的架设。公司分为财务部门和业务部门，需要他们之间互相隔离。网络管理员在实际维护公司网络的过程中，常碰到多个网络安全问题，例如：网络黑客攻击、网络蠕虫病毒泛滥、多个木马程序等等。由于考虑到Inteneter的安全性，以及网络安全等某些因素，如DDoS、ARP等。需要在防火墙设立有关的方略和其它某些安全方略。网络管理员需要随时排除公司网络在日常运转中出现的多个网络安全问题，确保公司网络的稳定工作。构造图根据山东香山装饰工程有限公司的整体网络状况网络安全需求分析我们针对山东香山装饰工程有限公司的网络安全状况和网络构造来进行需求分析。山东香山装饰工程有限公司的第一种网络安全需求是根据部门需要划分VLAN，使用VPN技术。山东香山装饰工程有限公司的第二个网络安全需求是要安装一种基于安全的操作系统平台的高级通信保护控制系统网络防火墙，保护公司内部网络的计算机免遭来自国际互联网的黑客攻击、病毒侵扰。山东香山装饰工程有限公司的第三个网络安全需求是公司内部的计算机网络安全问题。山东香山装饰工程有限公司网内有诸多计算机都有上网需求，这就造成常出现网络黑客攻击、网络蠕虫病毒泛滥、多个木马程序盗取密码等网络安全问题。因此，根据公司内计算机的使用状况，分别安装软件防火墙、杀毒软件、网络安全软件。4.3项目规定山东香山装饰工程有限公司在网络安全方面提出下述5方面的规定。（1）安全性：全方面有效地保护公司网络系统的安全，保护计算机硬件、软件、数据、网络不因偶然的或恶意破坏的因素遭到更改、泄露和丢失，确保数据的完整性。（2）可控性和可管理性：可自动和手动分析网络安全状况，适时检测并及时发现危险，制订安全方略，及时报警、阻断不良行为，含有很强的可控性和可管理性。（3）系统的可用性在某部分系统出现问题时，不影响公司信息系统的正常运行，含有很强的可用性和及时恢复性。（4）可持续发展性：满足山东香山装饰工程有限公司业务需求和公司可持续发展的规定，含有很强的可开展性和柔韧性。（5）正当性：所采用的安全设备和技术含有我国安全产品管理部门的正当认证。4.4公司设计前网络拓扑图图4-1山东香山装饰工程有限公司网络拓扑图4.5公司项目设计图图4-2山东香山装饰工程有限公司网络设计图公司项目设计图公司VLAN划分公司重要分两个部门，因此只要划分两个VLAN，分别为：财务部门VLAN10交换机S1接入交换机（神州数码DCS-5526）业务部门VLAN20交换机S2接入交换机（神州数码DCS-5526）核心交换机S3核心交换机（神州数码DCRS-5526）客户机的地址范畴：-54山东香山装饰工程有限公司内网中管理远东网安防火墙主机的计算机地址：：外网的网关：54防火墙的LAN（eth0）口的IP：（默认）直接管理远东网安防火墙的计算机地址：14.6实施方案(1)按照项目规定、项目设计图实施，并确保项目顺利实施。（2）按照写出的管理制度，重要是确保项目实施的质量，项目管理重要涉及人的管理、产品的管理和技术的管理。（3）按照项目进度图查看项目实施进度表，作为项目实施的时间原则，要全方面考虑完毕项目所需要的物质条件，计划出一种比较适宜的时间进度表（4）执行人员要确保质量职责、项目质量的确保方法和项目验收。执行人员如项目经理、技术负责人、技术工程师、后勤人员等，以确保整个安全项目的顺利实施。（5）项目质量确保严格质量确保，重要的内容涉及参加项目的有关人员、项目中所涉及的安全产品和技术、顾客派出支持该项目的有关人员管理。（6）根据项目具体状况，与顾客拟定项目验收的具体事项，涉及安全产品、技术、完毕状况、达成的安全目的等验收。

第5章安全方案测试5.1测试管理方案记得大二上课的时候赵祖应老师说过信息安全管理机构的职能建设遵照从上至下的垂直管理原则，即：上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则：下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全方略;信息系统的安全管理机构，不附属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员构成。能建设遵照从上至下的垂直管理原则，即：上级机关信息安全管理机构指导下一级机关信息系统安全管理机构的工作原则：下一级机关信息系统的安全管理机构接受并执行上一级机关信息系统安全管理机构的安全方略;信息系统的安全管理机构，不附属于同级信息系统管理和业务机构。信息系统安全管理机构由系统管理、系统分析、软件硬件、安全保卫、系统稽核、人事、通信等有关方面的人员构成。5.2测试安全方案随着网络应用的进一步普及，网络安