山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計(jì)（硬件方向） 畢業(yè)設(shè)計(jì)

1、云南工商學(xué)院云南工商學(xué)院 學(xué)生畢業(yè)作業(yè)（設(shè)計(jì)）學(xué)生畢業(yè)作業(yè)（設(shè)計(jì)） 山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計(jì)山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計(jì) （硬件方向）（硬件方向） 設(shè)計(jì)小組設(shè)計(jì)小組 二級(jí)學(xué)院二級(jí)學(xué)院 機(jī)電信息學(xué)院機(jī)電信息學(xué)院 專(zhuān)專(zhuān)業(yè)業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè) 年年 級(jí)級(jí) 1111 級(jí)級(jí) 班班 級(jí)級(jí) 網(wǎng)絡(luò)技術(shù)一班網(wǎng)絡(luò)技術(shù)一班 學(xué)學(xué)號(hào)號(hào)1101320000111013200001 姓姓名名 指導(dǎo)教師指導(dǎo)教師 職職 稱(chēng)稱(chēng) 20132013 年年 1212 月月 2 2 日日 山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計(jì)（硬件方向）山東香山裝飾工程企業(yè)網(wǎng)絡(luò)安全部署設(shè)計(jì)（硬件方向） 摘要 于這

2、幾年由信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到計(jì)算機(jī)網(wǎng) 絡(luò)信息安全在國(guó)民生活中受到越來(lái)越多的關(guān)注，原因在于：許多重要的信息存儲(chǔ)在網(wǎng) 絡(luò)上，一旦這些信息泄露出去將造成無(wú)法估量的損失。之所以網(wǎng)絡(luò)信息會(huì)泄露出去， 一方面有許多入侵者千方百計(jì)想“看”到一些關(guān)心的數(shù)據(jù)或者信息；另一方面網(wǎng)絡(luò)自 身存在安全隱患才使得入侵者得逞。針對(duì)這些問(wèn)題，該文歸納并提出了一些網(wǎng)絡(luò)信息 安全防護(hù)的方法和策略。 重點(diǎn)研究在物理隔離的情況下計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題。在對(duì)網(wǎng)絡(luò)系統(tǒng)有了確切的 了解之后，將局域網(wǎng)總體劃分為三個(gè)安全等級(jí)，每個(gè)等級(jí)中包含若干子網(wǎng)，各類(lèi)子網(wǎng) 設(shè)置了各自的安全策略。按照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)及其計(jì)算機(jī)網(wǎng)

3、絡(luò)安全系統(tǒng)的 總體規(guī)劃，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了全面的分析。依照各個(gè)安全等級(jí)的安全需求， 設(shè)計(jì)了網(wǎng)絡(luò)的安全方案。在滿(mǎn)足各子網(wǎng)系統(tǒng)建設(shè)的前提下，提出了包括病毒防護(hù)、動(dòng) 態(tài)口令身份認(rèn)證、安全審計(jì)管理、訪(fǎng)問(wèn)控制、信息加密策略、入侵檢測(cè)系統(tǒng)的部署、 漏洞掃描系統(tǒng)等管理措施和安全技術(shù)在內(nèi)的整套解決方案。目的是建立一個(gè)完整的、 立體的網(wǎng)絡(luò)安全防御體系，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。 關(guān)鍵詞 網(wǎng)絡(luò)安全 掃描系統(tǒng) 防火墻 病毒入侵 網(wǎng)絡(luò)威脅 安全防范措施。 Shandong Xiangshan decoration engineering enterprise network security depl

4、oyment design (hardware) Abstract Because of the rapid development of information technology in the past few years, many forward-looking companies recognize that the computer network information security is paid more and more attention, in the national life reason: many important information in the

5、network, if the information leaked would cause immeasurable losses. The network information will leak out, on one hand many invaders make every attempt to look to some concerned data or information; on the other hand, the networks own existence safety hidden danger makes the intruder. Aiming at thes

6、e problems, this paper summarizes and puts forward some methods and Strategies of network information security protection. Safety issues focus on the physical separation of the cases of computer network. To have a precise understanding of the network system, the LAN is generally divided into three s

7、ecurity levels, each level includes several sub network, all kinds of network to set up their security strategy. In accordance with the overall planning and design of computer network security goal and security of computer network system, the security of computer network are analyzed. According to d

8、ifferent security level security needs, design the security scheme of network. In order to meet the system construction of each sub network, including the proposed virus protection, dynamic password authentication, secure audit management, access control, information encryption, intrusion detection

9、system deployment, vulnerability scanning system and other management measures and safety technology, set of solutions. The purpose is to establish a complete, the three-dimensional network security defense system, so that the network security system truly achieve better effect. Keywords network sec

10、urity firewall virus scanning system network threat security measures. 目錄 第 1 章 緒論.1 1.1 引言 .1 1.2 網(wǎng)絡(luò)安全背景知識(shí) .1 1.3 網(wǎng)絡(luò)安全的概念和目標(biāo) .2 第 2 章 企業(yè)網(wǎng)絡(luò)安全的威脅及需求.3 2.1 物理層安全風(fēng)險(xiǎn) .3 2.2 系統(tǒng)層安全風(fēng)險(xiǎn) .3 2.3 病毒的安全風(fēng)險(xiǎn) .3 2.4 管理的安全風(fēng)險(xiǎn) .4 第 3 章 安全產(chǎn)品的配置與應(yīng)用.5 3.1 安全產(chǎn)品 .5 3.2 訪(fǎng)問(wèn)控制：防火墻系統(tǒng) .5 3.3 入侵檢測(cè)系統(tǒng) .6 3.4 漏洞掃描系統(tǒng) .7 第 4 章 公司網(wǎng)絡(luò)安全設(shè)

11、計(jì).9 4.1 網(wǎng)絡(luò)設(shè)計(jì)原則 .9 4.2 公司需求 .9 4.3 項(xiàng)目要求 .10 4.4 企業(yè)設(shè)計(jì)前網(wǎng)絡(luò)拓?fù)鋱D .11 4.5 企業(yè)項(xiàng)目設(shè)計(jì)圖 .12 4.6 實(shí)施方案 .12 第 5 章 安全方案測(cè)試.14 5.1 測(cè)試管理方案 .14 5.2 測(cè)試安全方案 .14 第 6 章 結(jié)論.15 致謝.16 參考文獻(xiàn).17 云南工商學(xué)院畢業(yè)設(shè)計(jì) 1 第第 1 1 章章 緒論緒論 1.1 引言 近年來(lái)，伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，人們?cè)谔峁┝藰O大的方便，然而，信息化在給人 們帶來(lái)種種物質(zhì)和文化享受的同時(shí)，我們也正受到日益嚴(yán)重的來(lái)自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù) 據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，

12、甚至系統(tǒng)內(nèi)部的泄密者。盡管我們正在廣泛地使用各種復(fù)雜的 軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測(cè)器、通道控制機(jī)制，但是，無(wú)論在發(fā)達(dá)國(guó)家，還是在 發(fā)展中國(guó)家，黑客活動(dòng)越來(lái)越猖狂，他們無(wú)孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。與此同時(shí)，更讓人 不安的是，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。這 樣，使原本就十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。針對(duì)各種來(lái)自網(wǎng)上的安全威脅，怎樣才能確保網(wǎng) 絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。本文通過(guò)對(duì)幾起典型的網(wǎng)絡(luò)安全事件的分析， 以及對(duì)威脅網(wǎng)絡(luò)安全的幾種典型方法研究的結(jié)果，提出實(shí)現(xiàn)防護(hù)網(wǎng)絡(luò)安全的具體策略。 1.2 網(wǎng)絡(luò)安全背景知識(shí)

13、 1.計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心數(shù)據(jù)看， 從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來(lái)，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。 2.電腦黑客活動(dòng)己形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開(kāi)放性，從 國(guó)內(nèi)情況來(lái)看，目前我國(guó) 95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過(guò)境內(nèi)外黑客的攻擊或侵入。 3.信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。面對(duì)信息安全的嚴(yán)峻形勢(shì)，我國(guó)的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、 反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國(guó)簡(jiǎn)氏戰(zhàn)略報(bào)告和其它網(wǎng)絡(luò)組織對(duì)各國(guó)信 息防護(hù)能力的評(píng)估，我國(guó)被列入防護(hù)能力最低的國(guó)家之一，不僅大大低于美國(guó)、俄羅斯和以色列

14、等 信息安全強(qiáng)國(guó)，而且排在印度、韓國(guó)之后。近年來(lái)，國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類(lèi)違法行為以每年 30%的 速度遞增。網(wǎng)絡(luò)環(huán)境的多變性、復(fù)雜性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。 我國(guó)日益開(kāi)放并且走向世界，建立保護(hù)屏障和加強(qiáng)安全監(jiān)管不可缺少。近年來(lái)，隨著網(wǎng)絡(luò)安全事件 的發(fā)生，人們?cè)絹?lái)越清楚的意識(shí)到，信息時(shí)代所引發(fā)的信息安全問(wèn)題涉及到人們生活的方方面面。 因此可以說(shuō)，在信息化社會(huì)里，信息安全的重要性再怎么強(qiáng)調(diào)也不過(guò)分。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 2 1.3 網(wǎng)絡(luò)安全的概念和目標(biāo) 一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個(gè)特點(diǎn)： (1)可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件

15、無(wú)故障運(yùn)行的性能。 (2)可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶(hù)訪(fǎng)問(wèn)的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶(hù) 使用。(3) 保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信 息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶(hù)在有限的時(shí)間內(nèi)也不能識(shí)別 真正的信息內(nèi)容。(4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳 輸過(guò)程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱(chēng)做不可否認(rèn)性，主要用于網(wǎng)絡(luò) 信息的交換過(guò)程，保證信息交換的參與者都不可能否認(rèn)或抵賴(lài)曾進(jìn)行的操作，類(lèi)似于在發(fā)文或收文 過(guò)程中的簽名和簽收的過(guò)程。 從技術(shù)角度看，網(wǎng)

16、絡(luò)安全的內(nèi)容大體包括 4 個(gè)方面： 1.網(wǎng)絡(luò)實(shí)體安全 2.軟件安全 3.網(wǎng)絡(luò)數(shù)據(jù)安全 4.網(wǎng)絡(luò)安全管理 由此可見(jiàn)，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。其特征是 針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案，以保證算機(jī)網(wǎng)絡(luò)自身的安全性 為目標(biāo)。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 3 第第 2 2 章章 企業(yè)網(wǎng)絡(luò)安全的威脅及需求企業(yè)網(wǎng)絡(luò)安全的威脅及需求 2.1 物理層安全風(fēng)險(xiǎn) 物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人 為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。 為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)

17、散。通常是在物理上采取一定 的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首 要的設(shè)置的條件。 為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施： 1產(chǎn)品保障方面：主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。 2運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類(lèi)產(chǎn)品在使用過(guò)程中，必須能夠從生成廠(chǎng)家或 供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。 3防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。 4保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安 全防護(hù)。 2.2 系統(tǒng)層安全風(fēng)險(xiǎn) 所謂

18、系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)分析主要針對(duì)企業(yè) 企業(yè)校園采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。企業(yè)企業(yè)校 園網(wǎng)絡(luò)采用的操作系統(tǒng)7 (主要為 Windows2000server/professional，Windows.NET/Workstation，Windows ME，Windows95/98、UNIX)本身在安全方面考慮的較少，服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在若 干安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。在企業(yè)的 網(wǎng)絡(luò)系統(tǒng)中，包含的設(shè)備有：交換機(jī)，服務(wù)器，工作站等。在服務(wù)器上主要有操作系統(tǒng)、

19、軟件系統(tǒng) 和數(shù)據(jù)庫(kù)系統(tǒng)，交換機(jī)上也有相應(yīng)的操作系統(tǒng)。所有的這些設(shè)備、軟件系統(tǒng)都多多少少地存在著各 種各樣的漏洞，這些都是重大安全隱患。一旦被利用并攻擊，將帶來(lái)不可估量的損失。 2.3 病毒的安全風(fēng)險(xiǎn) 計(jì)算機(jī)病毒是指一種能使自己附加到目標(biāo)機(jī)系統(tǒng)的文件上的程序。它在所有破壞性設(shè)備中最具 危險(xiǎn)性，可以導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)，甚至使計(jì)算機(jī)系統(tǒng)完全癱瘓。當(dāng)病毒被釋放到網(wǎng)絡(luò)環(huán)境時(shí)， 云南工商學(xué)院畢業(yè)設(shè)計(jì) 4 其無(wú)法預(yù)測(cè)的擴(kuò)散能力使它極具危險(xiǎn)性。在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中，傳統(tǒng)的計(jì)算機(jī)病毒傳播手段是通過(guò) 存儲(chǔ)介質(zhì)進(jìn)行的，師生在交換存儲(chǔ)著數(shù)據(jù)的介質(zhì)時(shí)，隱藏在其中的計(jì)算機(jī)病毒就從一臺(tái)計(jì)算機(jī)轉(zhuǎn)移 到另外的計(jì)算機(jī)中。而現(xiàn)代

20、的病毒傳播手段主要是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)的，一臺(tái)客戶(hù)機(jī)被病毒感染，迅速 通過(guò)網(wǎng)絡(luò)傳染到同一網(wǎng)絡(luò)的成百上千臺(tái)機(jī)器。師生上網(wǎng)瀏覽網(wǎng)頁(yè)、收發(fā)電子郵件，下載資料的時(shí)候， 都有可能被病毒傳染，這種互聯(lián)網(wǎng)和校園內(nèi)聯(lián)網(wǎng)通訊模式下的傳播方式構(gòu)成了企業(yè)病毒傳播途徑的 主流。 2.4 管理的安全風(fēng)險(xiǎn) 管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。因 此，最可行的做法是管理制度和管理解決方案相結(jié)合。管理方面的安全隱患包括：內(nèi)部管理人員或 師生為了方便省事，設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，甚至不設(shè)置用戶(hù)口令，導(dǎo)致很容易破解。責(zé)任不 清，使用相同的口令、用戶(hù)名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)

21、結(jié)構(gòu)、管理員用戶(hù)名及 口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿(mǎn)的人員有的可能造成極大的 安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全管理是防止來(lái)自?xún)?nèi)部網(wǎng)絡(luò)入侵的必須部分，管理上混亂、責(zé)權(quán)不明、安全管理 制度缺乏可操作性及不健全等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上功夫外，還得靠安全管 理來(lái)實(shí)現(xiàn)。隨著企業(yè)整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，必須建立嚴(yán)格的、完整的、健全的安全管理制度。 網(wǎng)絡(luò)的安全管理制度策略包括：確定安全管理等級(jí)和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和 出入機(jī)房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。通過(guò)制度的約束，確定不同學(xué)員的網(wǎng) 絡(luò)訪(fǎng)問(wèn)權(quán)限，提高管理人員的安全防范意識(shí)，做到實(shí)時(shí)監(jiān)

22、控檢測(cè)網(wǎng)絡(luò)的活動(dòng)，并在危害發(fā)生時(shí)，做 到及時(shí)報(bào)警。 2.5 操作系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其 安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的服 務(wù)模塊，開(kāi)放了很多不必開(kāi)放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。 目前的操作系統(tǒng)無(wú)論是 Windows 還是 UNIX 操作系統(tǒng)以及其它廠(chǎng)商開(kāi)發(fā)的應(yīng)用系統(tǒng)，其開(kāi)發(fā)廠(chǎng) 商必然有其 Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些后門(mén)和安全漏洞都將存在重大安全 隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配

23、 置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進(jìn)行安全配置，填補(bǔ)安全漏洞， 關(guān)閉一些不常用的服務(wù)，禁止開(kāi)放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部 網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 5 第第 3 3 章章 安全產(chǎn)品的配置與應(yīng)用安全產(chǎn)品的配置與應(yīng)用 3.1 安全產(chǎn)品 常用的安全產(chǎn)品有 5 種：防火墻、防病毒、身份認(rèn)證、傳輸加密的入侵檢測(cè)。結(jié)合用戶(hù)的網(wǎng)絡(luò)、 系統(tǒng)和應(yīng)用的實(shí)際情況，對(duì)安全產(chǎn)品和安全技術(shù)作比較和分析，分析要客觀、結(jié)果要中肯，幫助用 戶(hù)選擇最能解決他們所遇到的問(wèn)題的產(chǎn)品，不要求新、求好和求大 （1）防火墻：對(duì)包過(guò)濾技

24、術(shù)、代理技術(shù)和狀態(tài)檢測(cè)技術(shù)的防火墻，都做一個(gè)概括和比較，結(jié) 合用戶(hù)網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，幫助用戶(hù)選擇一種安全產(chǎn)品，對(duì)于選擇的產(chǎn)品，一定要從中立的角度來(lái)說(shuō) 明。 （2）防病毒：針對(duì)用戶(hù)的系統(tǒng)和應(yīng)用的特點(diǎn)，對(duì)桌面防病毒、服務(wù)器防病毒和網(wǎng)關(guān)防病毒做 一個(gè)概括和比較，詳細(xì)指出用戶(hù)必須如何做，否則就會(huì)帶來(lái)什么樣的安全危險(xiǎn)，一定要中肯、合適， 不要夸大和縮小。 (3)身份認(rèn)證：從用戶(hù)的系統(tǒng)和用戶(hù)的認(rèn)證的情況進(jìn)行詳細(xì)的分析，指出網(wǎng)絡(luò)和應(yīng)用本身的認(rèn) 證法會(huì)出現(xiàn)哪些風(fēng)險(xiǎn)，結(jié)合相關(guān)的產(chǎn)品和技術(shù)，通過(guò)部署這些產(chǎn)品和采用相關(guān)的安全技術(shù)，能夠幫 助用戶(hù)解決所帶來(lái)的危害和風(fēng)險(xiǎn)。 (4)傳輸加密：要用戶(hù)加密技術(shù)來(lái)分析，指出明文傳

25、輸?shù)木薮笪：Γㄟ^(guò)結(jié)合相關(guān)的加密產(chǎn)品 的技術(shù)，能夠指出用戶(hù)的現(xiàn)有情況存在哪些危害和風(fēng)險(xiǎn)。 (5)入侵檢測(cè)：對(duì)入侵檢測(cè)技術(shù)要有一個(gè)詳細(xì)的解釋?zhuān)赋鲈谟脩?hù)的網(wǎng)絡(luò)和系統(tǒng)部署了相關(guān)的 產(chǎn)品之后，對(duì)現(xiàn)有的安全情況會(huì)產(chǎn)生一個(gè)怎樣的影響要有一個(gè)詳細(xì)的分析。結(jié)合相關(guān)的產(chǎn)品和技術(shù)， 指出對(duì)用戶(hù)的系統(tǒng)和網(wǎng)絡(luò)會(huì)帶來(lái)哪些好處，指出為什么必須要這樣做，不這樣做怎么樣，會(huì)帶來(lái)什 么樣的后果。 防病毒及特洛伊木馬軟件 3.2 訪(fǎng)問(wèn)控制：防火墻系統(tǒng) 防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪(fǎng)問(wèn)控制尺度,其主要目標(biāo)就是通過(guò) 控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界 因

26、素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視 了內(nèi)部網(wǎng)絡(luò)和 Internet 之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于 網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系 統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻 云南工商學(xué)院畢業(yè)設(shè)計(jì) 6 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： （1）屏蔽路由器：又稱(chēng)包過(guò)濾防火墻。 （2）雙穴主機(jī)：雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。 （3）主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和代理的結(jié)合。 （4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的

27、變形。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT、代理型和監(jiān)測(cè)型。 包過(guò)濾型 包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是 以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定 信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP 源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地 址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便 會(huì)將這些數(shù)據(jù)拒之門(mén)外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是 簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在

28、應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng) 的安全。但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根 據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的 Java 小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造 IP 地址,騙過(guò)包過(guò)濾型防火墻。 3.3 入侵檢測(cè)系統(tǒng) 入侵是指任何企圖破壞資源的完整性、機(jī)密性及可用性的活動(dòng)集合。一般而言，入侵包括嘗試 性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)，惡意使用六種類(lèi)型。概括的說(shuō)，入侵表 示系統(tǒng)發(fā)生了違反系統(tǒng)安全策略的事件。 入侵檢測(cè)是指通過(guò)檢查操作系統(tǒng)的

29、審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包信息來(lái)檢測(cè)系統(tǒng)中違背安全策略或危 機(jī)系統(tǒng)安全的行為或活動(dòng)，從而保護(hù)系統(tǒng)的資源不受攻擊、防止系統(tǒng)數(shù)據(jù)的泄漏、篡改和破壞。入 侵檢測(cè)系統(tǒng)是指能夠通過(guò)分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來(lái)檢測(cè)入侵活動(dòng)的系統(tǒng)，包括入侵檢測(cè)的軟件 和硬件的組合20。 從系統(tǒng)所執(zhí)行的功能上來(lái)考慮，入侵檢測(cè)系統(tǒng)必須包括如下三個(gè)功能部件：提供事件記錄流的 數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。 “入侵檢測(cè)”是 一種網(wǎng)絡(luò)實(shí)時(shí)自動(dòng)攻擊識(shí)別和響應(yīng)系統(tǒng)它通過(guò)多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息，對(duì)這些 信息加以分析，查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞，主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生，如

30、果發(fā)現(xiàn)有入侵事件，自動(dòng)對(duì)這些事件響應(yīng)，同時(shí)給出相應(yīng)提示。企業(yè)辦公部門(mén)比較多，內(nèi)部網(wǎng)根據(jù) 部門(mén)劃分不同的子網(wǎng)網(wǎng)段。每個(gè)部門(mén)或子網(wǎng)都有一個(gè)交換機(jī)，設(shè)置網(wǎng)絡(luò)中心，有專(zhuān)門(mén)的網(wǎng)絡(luò)管理員。 各個(gè)子網(wǎng)匯總到網(wǎng)絡(luò)中，自連接到高性能服務(wù)器群，高性能服務(wù)器群放置在防火墻的 DMZ 區(qū)。根據(jù) 網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇 IDS 探測(cè)器配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置，核心交換 云南工商學(xué)院畢業(yè)設(shè)計(jì) 7 機(jī)放置控制臺(tái)，監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng) 受到危害之前攔截和響應(yīng)入侵。 IDS 部署方案圖 在企業(yè)安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門(mén)子網(wǎng)和其它

31、部門(mén)子網(wǎng)之間， 通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話(huà)軌跡，尋找網(wǎng)絡(luò)攻擊模式和其它網(wǎng)絡(luò)違規(guī)活動(dòng)。 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪(fǎng)問(wèn)時(shí)，入侵檢測(cè)可以進(jìn)行如下反應(yīng)： (l)控制臺(tái)報(bào)警。 (2)記錄網(wǎng)絡(luò)攻擊事件。 (3)實(shí)時(shí)阻斷網(wǎng)絡(luò)連接。 (4)入侵檢測(cè)可以過(guò)濾和監(jiān)視 TCP/工 P 協(xié)議。系統(tǒng)管理員通過(guò)配置入侵檢測(cè)，可以按協(xié)議，源 端口，目的端口，源工 P/目的工 P 地址過(guò)濾。 (5)入侵檢測(cè)還支持用戶(hù)自定義的網(wǎng)絡(luò)安全事件監(jiān)視。 (6)入侵檢測(cè)能生成系統(tǒng)安全日志以利于系統(tǒng)安全審計(jì)并以開(kāi)放數(shù)據(jù)庫(kù)方式支持安全分析決策 系統(tǒng)，從而為網(wǎng)絡(luò)安全提供有效的保障。 3.4 漏洞掃描系統(tǒng) 網(wǎng)絡(luò)設(shè)備和軟件在設(shè)計(jì)

32、開(kāi)發(fā)過(guò)程中不可避免存在缺陷和漏洞，漏洞隨著時(shí)間推移越來(lái)越多;攻 擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動(dòng)程序來(lái)完成攻擊，這些都導(dǎo)致黑客攻擊越來(lái)越容易 實(shí)現(xiàn)，威脅程度越來(lái)越高。 由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，網(wǎng)絡(luò)管理員失去了對(duì)網(wǎng)絡(luò)資源的精確控制。采用網(wǎng)絡(luò)漏洞 掃描器對(duì)存在的安全隱患進(jìn)行檢查，幫助管理員找出解決的方法。企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整 個(gè)系統(tǒng)的安全性。在企業(yè)內(nèi)網(wǎng)高性能服務(wù)器處配置網(wǎng)絡(luò)隱患掃描聯(lián)動(dòng)型產(chǎn)品。聯(lián)動(dòng)型適用于企業(yè)內(nèi) 網(wǎng)這樣的高端用戶(hù)，聯(lián)動(dòng)型掃描系統(tǒng)包括掃描服務(wù)器和移動(dòng)掃描儀。掃描服務(wù)器部署于網(wǎng)絡(luò)中心， 高速高效且穩(wěn)定的掃描防護(hù)整體網(wǎng)絡(luò);移動(dòng)掃描儀使用靈活，可以跨越網(wǎng)段、穿透防

33、火墻、主流 IDS 產(chǎn)品，多種主流聯(lián)動(dòng)協(xié)議 Topsee、Opensec 聯(lián)動(dòng)，與多種安全管理平臺(tái)兼容，統(tǒng)一安全策略配 置，保障全網(wǎng)安全。通過(guò)部署多級(jí)聯(lián)動(dòng)型產(chǎn)品實(shí)現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方 便的通過(guò)控制掃描器就可以實(shí)現(xiàn)對(duì)多級(jí)管轄區(qū)域的服務(wù)器進(jìn)行統(tǒng)一和及時(shí)管理，實(shí)現(xiàn)對(duì)管轄區(qū)域服 務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。 網(wǎng)絡(luò)人員使用聯(lián)動(dòng)型產(chǎn)品，就可以很方便的對(duì) 200 信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線(xiàn)程較高的掃 描速度的掃描，可以實(shí)現(xiàn)和 IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式 掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布

34、式掃描，服務(wù)器和掃描儀都支持定時(shí)和多 IP 地址的 自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我 們提供的三級(jí)服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。通過(guò)部署漏洞掃描的聯(lián) 動(dòng)設(shè)備，保障企業(yè)內(nèi)網(wǎng)重要部門(mén)的網(wǎng)絡(luò)安全的同時(shí)，提高每個(gè)部門(mén)的安全性就顯得尤其重要。只有 部門(mén)的安全得到保證的前提下，企業(yè)內(nèi)網(wǎng)才能夠安全。我們對(duì)這些部門(mén)進(jìn)行合理的規(guī)劃，可以將這 云南工商學(xué)院畢業(yè)設(shè)計(jì) 8 些部門(mén)根據(jù)統(tǒng)一的配置策略，給下屬部門(mén)、網(wǎng)絡(luò)管理應(yīng)用服務(wù)系統(tǒng)配置網(wǎng)絡(luò)聯(lián)動(dòng)掃描系統(tǒng)來(lái)保證各 個(gè)部門(mén)的安全性。這樣就可以很方便的管理信息點(diǎn)多、網(wǎng)絡(luò)環(huán)境較固定、與企業(yè)的業(yè)務(wù)應(yīng)用緊

35、密相 關(guān)的內(nèi)網(wǎng)中。聯(lián)動(dòng)掃描系統(tǒng)支持多線(xiàn)程掃描，有較高的掃描速度，支持定時(shí)和多 IP 地址的自動(dòng)掃 描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了 Web 方式的遠(yuǎn)程管理， 網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。 另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)移動(dòng)式掃描儀。移動(dòng)式掃描儀手持式設(shè)計(jì)，使 用簡(jiǎn)單、靈活，攜帶方便。隨著網(wǎng)絡(luò)規(guī)模的逐步龐大、復(fù)雜，各個(gè)網(wǎng)絡(luò)之間存在著防火墻、交換機(jī) 等過(guò)濾機(jī)制的存在，隱患掃描發(fā)送的數(shù)據(jù)包大部分將被這些設(shè)備過(guò)濾，降低了掃描的時(shí)效性和準(zhǔn)確 性。針對(duì)這種分布式的復(fù)雜網(wǎng)絡(luò)，移動(dòng)式掃描儀能夠充分發(fā)

36、揮自身可移動(dòng)的優(yōu)勢(shì)，能夠很好的適應(yīng) 這種分布式網(wǎng)絡(luò)掃描，移動(dòng)掃描，隨時(shí)隨處保護(hù)網(wǎng)絡(luò)安全。 在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移動(dòng)式掃描儀，實(shí)現(xiàn)防火墻、聯(lián)動(dòng)掃描系 統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性， 最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率 和安全性。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 9 第第 4 4 章章 公司網(wǎng)絡(luò)安全設(shè)計(jì)公司網(wǎng)絡(luò)安全設(shè)計(jì) 4.1 網(wǎng)絡(luò)設(shè)計(jì)原則 對(duì)于我們學(xué)網(wǎng)絡(luò)技術(shù)的人來(lái)說(shuō)，網(wǎng)絡(luò)必須有一個(gè)整體。整體的意思就是說(shuō)在整個(gè)項(xiàng)目中，有一 種總體把握的能力，不能中關(guān)注自己熟悉的某一個(gè)領(lǐng)域，從

37、而對(duì)別的領(lǐng)域不關(guān)心，甚至不理解，否 則就寫(xiě)不出一份好的安全方案。 網(wǎng)絡(luò)設(shè)計(jì)安全原則體現(xiàn) 5 個(gè)方面：動(dòng)態(tài)性、唯一性、整體性、專(zhuān)業(yè)性和嚴(yán)密性。 （1）動(dòng)態(tài)性：不要把安全靜態(tài)化，動(dòng)態(tài)性是安全的一個(gè)重要的原則。網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用會(huì)不 斷出現(xiàn)新的風(fēng)險(xiǎn)和危險(xiǎn)，這決定了安全動(dòng)態(tài)性的重要性。 （2）唯一性：安全的動(dòng)態(tài)性決定了安全的唯一性，針對(duì)每個(gè)網(wǎng)絡(luò)系統(tǒng)安全的解決，都應(yīng)該是 獨(dú)一無(wú)二的。 （3）整體性：對(duì)于網(wǎng)絡(luò)系統(tǒng)所遇到的風(fēng)險(xiǎn)和危險(xiǎn)，要從整體來(lái)分析和把握，不能哪里有問(wèn)題 就補(bǔ)哪里，要全面地保護(hù)和評(píng)估。 （4）專(zhuān)業(yè)性：對(duì)于用戶(hù)的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用，要從專(zhuān)業(yè)的角度來(lái)分析和把握不能是大概的做 法。 （5）嚴(yán)密性：整個(gè)

38、解決方案，要有一種很強(qiáng)的嚴(yán)密性，不要給人一種虛假的感覺(jué)，在設(shè)計(jì)方 案的時(shí)候，需要從多方面對(duì)方案進(jìn)行論證。 4.2 公司需求 山東香山裝飾工程有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有 Web、Mail 等服務(wù) 器和辦公區(qū)客戶(hù)機(jī)。公司已經(jīng)完成了綜合布線(xiàn)工程的施工與網(wǎng)絡(luò)設(shè)備的架設(shè)。企業(yè)分為財(cái)務(wù)部門(mén)和 業(yè)務(wù)部門(mén)，需要他們之間相互隔離。 網(wǎng)絡(luò)管理員在實(shí)際維護(hù)公司網(wǎng)絡(luò)的過(guò)程中，常遇到各種網(wǎng)絡(luò)安全問(wèn)題，例如：網(wǎng)絡(luò)黑客攻擊、 網(wǎng)絡(luò)蠕蟲(chóng)病毒泛濫、各種木馬程序等等。由于考慮到 Inteneter 的安全性，以及網(wǎng)絡(luò)安全等一些因 素，如 DDoS、ARP 等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。

39、 網(wǎng)絡(luò)管理員需要隨時(shí)排除企業(yè)網(wǎng)絡(luò)在日常運(yùn)轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn) 定工作。 結(jié)構(gòu)圖 根據(jù)山東香山裝飾工程有限公司的整體網(wǎng)絡(luò)情況 網(wǎng)絡(luò)安全需求分析 云南工商學(xué)院畢業(yè)設(shè)計(jì) 10 我們針對(duì)山東香山裝飾工程有限公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來(lái)進(jìn)行需求分析。 山東香山裝飾工程有限公司的第一個(gè)網(wǎng)絡(luò)安全需求是根據(jù)部門(mén)需要?jiǎng)澐?VLAN，使用 VPN 技術(shù)。 山東香山裝飾工程有限公司的第二個(gè)網(wǎng)絡(luò)安全需求是要安裝一個(gè)基于安全的操作系統(tǒng)平臺(tái)的高 級(jí)通信保護(hù)控制系統(tǒng)-網(wǎng)絡(luò)防火墻，保護(hù)公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊、 病毒侵?jǐn)_。 山東香山裝飾工程有限公司的第三個(gè)網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)

40、部的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。山東香 山裝飾工程有限公司網(wǎng)內(nèi)有很多計(jì)算機(jī)均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病 毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問(wèn)題。因此，依據(jù)公司內(nèi)計(jì)算機(jī)的使用狀況，分別安裝 軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。 4.3 項(xiàng)目要求 山東香山裝飾工程有限公司在網(wǎng)絡(luò)安全方面提出下述 5 方面的要求。 （1）安全性：全面有效地保護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)不因偶 然的或惡意破壞的原因遭到更改、泄露和丟失，確保數(shù)據(jù)的完整性。 （2）可控性和可管理性：可自動(dòng)和手動(dòng)分析網(wǎng)絡(luò)安全狀況，適時(shí)檢測(cè)并及時(shí)發(fā)現(xiàn)危險(xiǎn)，制定安全 策略，及時(shí)報(bào)警、阻斷不良行為，具

41、有很強(qiáng)的可控性和可管理性。 （3）系統(tǒng)的可用性 在某部分系統(tǒng)出現(xiàn)問(wèn)題時(shí)，不影響企業(yè)信息系統(tǒng)的正常運(yùn)行，具有很強(qiáng)的可用性和及時(shí)恢復(fù)性。 （4）可持續(xù)發(fā)展性：滿(mǎn)足山東香山裝飾工程有限公司業(yè)務(wù)需求和企業(yè)可持續(xù)發(fā)展的要求，具有很 強(qiáng)的可開(kāi)展性和柔韌性。 （5）合法性：所采用的安全設(shè)備和技術(shù)具有我國(guó)安全產(chǎn)品管理部門(mén)的合法認(rèn)證。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 11 4.4 企業(yè)設(shè)計(jì)前網(wǎng)絡(luò)拓?fù)鋱D 圖 4-1 山東香山裝飾工程有限公司網(wǎng)絡(luò)拓?fù)鋱D 云南工商學(xué)院畢業(yè)設(shè)計(jì) 12 4.5 企業(yè)項(xiàng)目設(shè)計(jì)圖 圖 4-2 山東香山裝飾工程有限公司網(wǎng)絡(luò)設(shè)計(jì)圖 企業(yè)項(xiàng)目設(shè)計(jì)圖 企業(yè) VLAN 劃分 企業(yè)主要分兩個(gè)部門(mén)，所以只要?jiǎng)澐謨蓚€(gè)

42、 VLAN，分別為： 財(cái)務(wù)部門(mén) VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS-5526） 業(yè)務(wù)部門(mén) VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS-5526） 核心交換機(jī) S3 核心交換機(jī)（神州數(shù)碼 DCRS-5526） 客戶(hù)機(jī)的地址范圍： - 54 山東香山裝飾工程有限公司內(nèi)網(wǎng)中管理遠(yuǎn)東網(wǎng)安防火墻主機(jī)的計(jì)算機(jī)地址： 外網(wǎng)的網(wǎng)關(guān)：54 防火墻的 LAN（eth0）口的 IP：（默認(rèn)） 直接管理遠(yuǎn)東網(wǎng)安防火墻的計(jì)算機(jī)地址：1 4.6 實(shí)施方

43、案 (1)按照項(xiàng)目要求、項(xiàng)目設(shè)計(jì)圖實(shí)施，并保證項(xiàng)目順利實(shí)施。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 13 （2）按照寫(xiě)出的管理制度，主要是保證項(xiàng)目實(shí)施的質(zhì)量，項(xiàng)目管理主要包括人的管理、產(chǎn)品的管 理和技術(shù)的管理。 （3）按照項(xiàng)目進(jìn)度圖查看項(xiàng)目實(shí)施進(jìn)度表，作為項(xiàng)目實(shí)施的時(shí)間標(biāo)準(zhǔn)，要全面考慮完成項(xiàng)目所需 要的物質(zhì)條件，計(jì)劃出一個(gè)比較合適的時(shí)間進(jìn)度表 （4）執(zhí)行人員要保證質(zhì)量職責(zé)、項(xiàng)目質(zhì)量的保證措施和項(xiàng)目驗(yàn)收。執(zhí)行人員如項(xiàng)目經(jīng)理、技術(shù)負(fù) 責(zé)人、技術(shù)工程師、后勤人員等，以保證整個(gè)安全項(xiàng)目的順利實(shí)施。 （5）項(xiàng)目質(zhì)量保證嚴(yán)格質(zhì)量保證，主要的內(nèi)容涉及參與項(xiàng)目的相關(guān)人員、項(xiàng)目中所涉及的安全產(chǎn) 品和技術(shù)、用戶(hù)派出支持該項(xiàng)目的相

44、關(guān)人員管理。 （6）根據(jù)項(xiàng)目具體情況，與用戶(hù)確定項(xiàng)目驗(yàn)收的詳細(xì)事項(xiàng)，包括安全產(chǎn)品、技術(shù)、完成情況、達(dá) 到的安全目的等驗(yàn)收。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 14 第第 5 5 章章 安全方案測(cè)試安全方案測(cè)試 5.1 測(cè)試管理方案 記得大二上課的時(shí)候趙祖應(yīng)老師說(shuō)過(guò)信息安全管理機(jī)構(gòu)的職能建設(shè)遵照從上至下的垂直管理原 則，即：上級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)指導(dǎo)下一級(jí)機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的工作原則：下一級(jí)機(jī) 關(guān)信息系統(tǒng)的安全管理機(jī)構(gòu)接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的安全策略;信息系統(tǒng)的 安全管理機(jī)構(gòu)，不隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信息系統(tǒng)安全管理機(jī)構(gòu)由系統(tǒng)管理、系統(tǒng) 分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽

45、核、人事、通信等有關(guān)方面的人員組成。 能建設(shè)遵照從上至下的垂直管理原則，即：上級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)指導(dǎo)下一級(jí)機(jī)關(guān)信息系 統(tǒng)安全管理機(jī)構(gòu)的工作原則：下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理機(jī)構(gòu)接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng) 安全管理機(jī)構(gòu)的安全策略;信息系統(tǒng)的安全管理機(jī)構(gòu)，不隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。信 息系統(tǒng)安全管理機(jī)構(gòu)由系統(tǒng)管理、系統(tǒng)分析、軟件硬件、安全保衛(wèi)、系統(tǒng)稽核、人事、通信等有關(guān) 方面的人員組成。 5.2 測(cè)試安全方案 隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來(lái)越重要，國(guó)家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)有了更 高的要求。鑒于國(guó)家和各單位領(lǐng)導(dǎo)的重視，涉及信息安全的經(jīng)費(fèi)逐年增加，但是信息安全并不是在 市

46、場(chǎng)上所有安全產(chǎn)品的堆疊，因?yàn)檫@種堆疊不僅會(huì)在經(jīng)濟(jì)造成極大的浪費(fèi)、在人力上造成非常大浪 費(fèi)，更重要的是它沒(méi)有達(dá)到防護(hù)的效果，因此完善的計(jì)算機(jī)網(wǎng)絡(luò)安全方案就顯得十分重要。一個(gè)特 定的系統(tǒng)網(wǎng)絡(luò)安全方案，應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上，結(jié)合系統(tǒng)實(shí)際的應(yīng)用而做。由于各個(gè) 系統(tǒng)的應(yīng)用不同，不能簡(jiǎn)單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固定為一個(gè)模式，用這個(gè)模式去套所有的 網(wǎng)絡(luò)系統(tǒng)。 本系統(tǒng)通過(guò)網(wǎng)絡(luò)的連通性測(cè)試、各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)測(cè)試、網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)測(cè)試、實(shí)際 數(shù)據(jù)傳輸?shù)臏y(cè)試均達(dá)到網(wǎng)絡(luò)管理的需求 云南工商學(xué)院畢業(yè)設(shè)計(jì) 15 第第 6 6 章章 結(jié)論結(jié)論 學(xué)了三年的大學(xué)，三年的計(jì)算機(jī)現(xiàn)在知道網(wǎng)絡(luò)安全存在巨大大的問(wèn)題

47、，在網(wǎng)絡(luò)設(shè)計(jì)中，沒(méi)有一 種設(shè)計(jì)方案可以適合所以的網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情 況具體分析。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。 在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信 息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被 截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。 通過(guò)這次畢業(yè)設(shè)計(jì)讓我更加熟悉了從理論到實(shí)踐的跨越，也發(fā)現(xiàn)在課本中學(xué)習(xí)到是不足以應(yīng)付 實(shí)際發(fā)生的問(wèn)題，這也要我們樹(shù)立起不斷學(xué)習(xí)，終身學(xué)習(xí)的概念。 本論文從企業(yè)角度描述了

48、網(wǎng)絡(luò)安全的解決方案，目的在于為用戶(hù)提供信息的保密，認(rèn)證和完整 性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都 是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者 有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。 云南工商學(xué)院畢業(yè)設(shè)計(jì) 16 致謝致謝 在這幾個(gè)星期的畢業(yè)設(shè)計(jì)中，我真心的感謝我的指導(dǎo)老師何斌穎，她熱情關(guān)懷和悉心指導(dǎo)，在 她沒(méi)教我們?cè)趺醋鲋?，我們什么都不?huì)，怎么開(kāi)頭都不會(huì)，是她抽了她寶貴的時(shí)間給我們上了一 課，講了一課怎么寫(xiě)，怎么開(kāi)頭寫(xiě)，要寫(xiě)些什么。這節(jié)課是我最用心聽(tīng)的一課，前面大二的時(shí)候一 直以為她很兇，很男人，就沒(méi)不怎

49、么想聽(tīng)她講課?？傻浇o我們指導(dǎo)怎么寫(xiě)畢業(yè)論文的時(shí)候，一進(jìn)來(lái) 我就被她吸引了，她今天化了談?wù)劦膴y，感覺(jué)很清秀。這就是要感謝的蕙質(zhì)蘭心和顏悅色和藹可親、 菩薩低眉的何斌穎老師。 最后，我還要感謝所有所有幫助過(guò)我和關(guān)心我的老師和朋友，表示我真摯的感謝！ 云南工商學(xué)院畢業(yè)設(shè)計(jì) 17 參考文獻(xiàn) （1）計(jì)算機(jī)網(wǎng)絡(luò)安全教材（第 2 版） （2）網(wǎng)絡(luò)管理員考試全程指導(dǎo) (3)微軟公司， 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 。背京：高等教育出版社。 (4) 高冬梅， 網(wǎng)絡(luò)時(shí)代計(jì)算機(jī)病毒的防范 。 考試周刊 2006,(07) (5) 那罡. 入侵檢測(cè)系統(tǒng)未“死”J. 中國(guó)計(jì)算機(jī)用戶(hù), 2006,(36) (6) 金雪花. 淺析

50、網(wǎng)絡(luò)安全技術(shù)J. 中國(guó)科技信息, 2007,(05) (7) 科技辭典J. 天津科技, 2005,(03) (8) 梁羽. 基于 NIDS 的立體防御系統(tǒng)方案設(shè)計(jì)與探討J. 民營(yíng)科技, 2008,(05) (9) 張琳, 黃仙姣. 淺談網(wǎng)絡(luò)安全技術(shù)J. 電腦知識(shí)與技術(shù)(學(xué)術(shù)交流), 2006,(11) (10) 楊樺.礦業(yè)權(quán)評(píng)估系統(tǒng)的研究與開(kāi)發(fā)D. 中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù),2009,(10) (11) 王明虎.基于信息網(wǎng)格的決策支持系統(tǒng)研究D. 中國(guó)優(yōu)秀博碩士學(xué)位論文全文數(shù)據(jù)庫(kù) (碩士),2005,(05) 內(nèi)部資料， 請(qǐng)勿外傳！ 050100150200250300350400450

51、500 -60 -40 -20 0 20 40 60 9JWKffwvG#tYM*Jg&6a*CZ7H$dq8KqqfHVZFedswSyXTy#&QA9wkxFyeQ!djs#XuyUP2kNXpRWXmA&UE9aQGn8xp$R#͑GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#

52、&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmUE9aQGn8xp$R#͑GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vS

53、TT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#Qc

54、UE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z8vG#tYM*Jg&6a*CZ7H$dq8KqqfHVZFedswSyXTy#&QA9wkxFyeQ!djs#XuyUP2kNXpRWXmA&UE9aQGn8xp$R#͑GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxG89AmUE9aQGn8xp$R#͑GxGjqv$UE9wE

55、wZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6

56、YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z8vG#tYM*Jg&6a*CZ7H$dq8KqqfHVZFedswSyXTy#&QA9wkxFyeQ!djs#XuyUP2kNXpRWXmA&UE9aQGn8xp$R#͑GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz

57、849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmUE9aQGn8xp$R

58、#͑GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu

59、#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwc vR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNuGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWR

60、rWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!z89AmYWpazadNu#KN&MuWFA5uxY7JnD6YWRrWwcvR9CpbK!zn%Mz849GxGjqv$UE9wEwZ#QcUE%&qYpEh5pDx2zVkum&gTXRm6X4NGpP$vSTT#&ksv*3tnGK8!