企业网络安全的实现毕业论文
目录
一 前 言 „„„„„„„„„„„„„„„„„„„„„„ 3
二 公司环境分析 „„„„„„„„„„„„„„„„„„ 3 1内部网络环境 „„„„„„„„„„„„„„„„„„ 3 2外部网络环境分析 „„„„„„„„„„„„„„„„ 4 3系统漏洞带来的安全隐患 „„„„„„„„„„„„„ 5 4安全需求分析 „„„„„„„„„„„„„„„„„„ 6
三 防范体系分析 „„„„„„„„„„„„„„„„„„ 7 1安全方案设计原则 „„„„„„„„„„„„„„„„ 7 2网络安全体系结构 „„„„„„„„„„„„„„„„ 9 3安全解决配置方案 „„„„„„„„„„„„„„„„ 15
四 防范体系实施 „„„„„„„„„„„„„„„„„„ 17 1采用网络版杀毒软件进行查毒、防毒 „„„„„„„„ 17 2可靠的防火墙技术及配置 „„„„„„„„„„„„„ 18 3文件备份系统的实施 „„„„„„„„„„„„„„„ 20
五 结 论 „„„„„„„„„„„„„„„„„„„„„ 21 致 谢 „„„„„„„„„„„„„„„„„„„„„„„ 22 参考文献 „„„„„„„„„„„„„„„„„„„„„„ 22
北京s w企业网络安全的实现
摘 要
网络安全系统问题直接关乎着企业的切身利益,为保护公司网络资源与技术专利的安全性,本论文针对北京s w公司的网络安全系统问题进行精密细致的研究,通过大量资料、数据对企业所面临的外部和内部网络安全问题进行了分析和判断,并在理论层面对公司现存网络病毒体系提出了建议,致力于建立一款符合公司本身网络安全系统的病毒防御体系,从而确保商业及技术机密不会被竞争对手盗用. 关键词:网络安全 病毒 防范体系
一 前言
目前网络发展迅速,经常存在公司网络资源与技术专利被盗用的情况,这不仅给企业带来了不必要的麻烦,而且损害了企业的根本利益。本方案即是针对网络安全可能出现的的安全隐患和问题为sw公司局域网网络安全病毒防御体系的建立方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等,以公司现有病毒防御体系为主体,分别对“网络环境(其中包括外部网络、内部网络)、“现存防范体系的隐患”、“新建网络安全病毒体系”、“实施及支持系统”进行了较为详细的分析论述。第二章是现有网络环境分析,内部环境通过对本公司现有防范体系进行分析,找出漏洞,外部环境从国内现有的网络病毒入手,着重分析了目前国内最流行的病毒种类,发作机理,中毒的表现特征等。第三章针对现有防范体系的漏洞,做出一套完全适合公司的防范体系,从而可以更好的保护公司资源,防止信息泄漏。第四章介绍了该网络防护系统的实施及支持系统,其保证措施是进行内部网络与外部网络的融合、进一步放大技术优势,并采取一系列措施,其中包括:1.采用网络版杀毒软件进行查毒、防毒;2.可靠的防火墙技术及配置;3.文件备份系统的实施;本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。
二 网络环境分析
1.内部网络环境
s w公司的局域网按访问区域可以划分为三个主要的区域:
Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、设计子网、中心服务器子网、办公子网等。s w公司是一家集设计、制造、施工为一体的高新技术企业。
2.外部网络环境分析
随着Internet网络的急剧扩大和上网用户的迅速增加,网络安全风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对s w公司局域网中存在的安全隐患,在进行安全方案设计时,病毒入侵的安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。
病毒传播具体有以下几种:
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中。
一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个
计算机上。由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
1)感染速度快 2)扩散面广 3)传播的形式复杂多样
4)难于彻底清除 5)破坏性大 6)可激发性 7)潜在性
3.系统漏洞带来的安全隐患
系统漏洞并不是病毒,但是它往往为病毒所利用,成为入侵系统影响安全的“快速路”。
下面谈谈我对系统漏洞的一些了解。
1)什么是系统漏洞?
漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:
如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。对用户操作造成不便,如不明原因的死机和丢失文件等。综上所述,仅有堵住系统漏洞,用户才会有一个安全和稳定的工作环境。
2)如何处理系统中的漏洞
Windows操作系统的漏洞,某些由于软件设计失误而产生,另一些则由于用户设置不当所引发,均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决,如下所述:
(1)针对设计错误,微软公司会及时推出补丁程序,用户只需及时下
载并安装即可,因此建仪户经常浏览微软的安全公告,并及时下载补丁,官方网址为:
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?
(2)对于设置错误,则应及时修改配置,使系统更加安全可靠。 总而言之,随着网络的不断发展,全球信息化已成为人类发展的大趋势.尽管网络也会受到病毒、黑客、怪客、恶意软件和其他不轨行为的攻击,但我们不能不用电脑,我们也不能不用网络,只是我们今天更需要安全的电脑网络.
4 .安全需求分析
通过前面我们对这个企业内外部网络环境分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒以及系统漏洞的维护上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到: 防止黑客从外部攻击,入侵检测与监控,病毒防护,数据安全保护,数据备份与恢复,修补系统漏洞。针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用。 基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:建立一套完整可行的网络安全与网络管理策略,将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信,建立网站各主机和服务器的安全保护措施,保证他们的系统安全,对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝,加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志,备份与灾难恢复,强化系统备份,实现系统快速恢复,加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
三 防范体系分析
尽管多年来全球无数网络安全专家都在着力开发病毒防范系统的解决办法,但到目前为止收效不大,这是因为病毒攻击通常利用了系统刚暴露出来的系统漏洞进行攻击,并且各种变种层出不穷,令杀毒软件疲于应付。 病毒攻击使目标系统完全瘫痪,甚至破坏整个网络。因此只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置。
1安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以
下原则:
整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,
对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。想一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。 2网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理。
(1)物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括环境安全、设备安全、
媒体安全。
环境安全,是对系统所在环境的安全保护。
设备安全,主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全,包括媒体数据的安全及媒体本身的安全。
(2)网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,有利于维护管理,有利于更高的安全控制和业务发展。网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
(3)网络系统安全
A.访问控制及内外网的隔离
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度
2.配备相应的安全设备
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出
网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。本公司全部电脑均安装瑞星防火墙,他使用简单,功能强大,配置方便,适合各种用户使用。
B.内部网不同网络安全域的隔离及访问控制
在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
C.网络安全检测
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能: 具备网络监控、分析和自动响应功能 ;找出经常发生问题的根源所在;建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险;漏洞分析和响应;配置分析和响应;漏洞形势分析和响应;认证和趋势分析;
具体体现在以下方面: 防火墙得到合理配置。内外WEB站点的安全漏洞减为最低,网络体系达到强壮的耐攻击性
D.审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以对发现或可能产生的破坏性行为提供有力的证据。因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
E.网络防病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:
1.预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术,有加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。
2.检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
3.清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒
程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
F.网络备份系统
备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求,可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
(4)系统安全
系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略: 对操作系统进行安全配置,提高系统的安全性;系统内部调用不对Internet公开;关键性信息不直接公开,尽可能采用安全性高的操作系统,如服务器都采用windows 2003版。
应用系统在开发时,采用规范化的开发过程,尽可能地减少应用系统的漏洞;
通过专业的安全工具(安全检测系统)定期对网络进行安全评估。
(5)信息安全
在s w公司企业的局域网内,信息主要在内部传递,因此信息被
窃听、篡改的可能性很小,相对来说,是比较安全的。
(6)应用安全
在应用安全上,主要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的认证(特别使在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上面谈的访问控制和系统漏洞检测外,还可以采用访问存取控制,对权限进行分割和管理。应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。
(7)安全管理
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面从技术上建立高效的管理平台(包括网络管理和安全管理)。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需要建立高效的管理平台。
A.安全管理规范
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络
应用部门领导的重视。
B.网络管理
管理员可以在管理机器上对整个内部网络上的网络设备、安全设备、网络上的防病毒软件、入侵检测探测器进行综合管理,同时利用安全分析软件可以从不同角度对所有的设备、服务器、工作站进行安全扫描,分析他们的安全漏洞,并采取相应的措施。
C.安全管理
安全管理是指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如操作员的口令鉴权),对无权操作人员进行控制;密钥管理:对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术实现两个方面来实现。安全管理产品尽可能的支持统一的中心控制平台。
3 安全解决配置方案
当前常见的网络安全防护系统包括防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防护系统、非法外联系统、漏洞扫描系统和综合网络安全管理平台等。入侵检测的出现,很大程度地弥补了防火墙防外不防内的特性。同时,对网络内部的信息做到了实时的监控和预警,入侵检测系统与防火墙的联动,给内网中重要的安全域
打造了一个动态的实时防护屏障。利用安全审计系统的记录功能,对网络中所出现的操作和数据等做详细的记录,为事后攻击事件的分析提供了有力的原始依据。利用网关防病毒系统将病毒尽最大可能地拦截在网络外部,同时在网络内部采用全方位的网络防病毒客户端进行全网的病毒防护,针对服务器采用专有的服务器防病毒客户端,同时保证全网病毒防护系统做到统一管理和病毒防护策略的统一。非法外联系统能有效地保证内网中接入节点的合法性,同时对于通过非正常链路连入非安全域的节点做实时预警和阻断。针对内网中重要的服务器部分,为保证访问人员身份的合法性,采用身份认证系统对访问人员身份的合法性加以确认,对访问服务器的人员做详细的访问控制。综合网络安全管理平台网络中各安全设备协同工作,各自提供相应的安全数据,综合网络安全管理平台对各数据的统一并进行综合分析,得出整个网络的安全分析报告,为后续的网络安全设备的策略制定和网络安全制度的管理提供指导性的建议。
当企业建设一个相对封闭的内部网络时,一定要保证对该网络做到完全控制。所谓完全控制,在这里包含以下几层含义:
1.连入网络的节点的监控。内部网络是相对封闭的环境,对于网络中的节点信息和与连入内部网络的节点,要做详细的监控和及时的防范。
2.非法对外访问的监控。内部网络中的节点通过非正当渠道对外访问,如通过Modem拨号的方式连入外部网络的方式,及时发现并做到安全防范。
3.网络数据实时监控和审计。针对内部网络中的传输数据,通过网络设备做到实时监控,实时发现可疑信息并报警,同时做相应的安全审计,从而为事后的电子取证提供有力的依据。
4.实时病毒监控。对内部网络进行实时的病毒防范,对网络中病毒的防护状况做实时监控,包括重要的服务器、工作站和工作PC等网络安全系统。
5.全网的统一监控。对全网的安全数据做到统一管理,统一下发安全策略,统一分析安全数据,得出全网安全状况和风险级别。
四 防范体系实施
1、采用网络版杀毒软件进行查毒、防毒
本公司根据自身特点,于全部电脑上安装瑞星网络版杀毒软件,该软件的特点就是查杀彻底,界面友好、方便,能实现远程控制、集中管理。瑞星网络版杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。管理控制台是在网络上集中管理所有安装有瑞星杀毒软件网络版客户端软件的计算机的管理工具。通过管理控制台,可以远程管理网络中的任何一台计算机中的瑞星杀毒软件网络版。网络上任何一台计算机的病毒警告信息都能在管理控制台得到汇总,通过管理控制台也能直观地查看网络上所有计算机当前的实时监控状态、病毒查杀情况和当前版本信息等。管理控制
台能对远程计算机安装瑞星杀毒软件和移动管理控制台,让管理控制台自由移动到管理员认为合适的计算机上去。管理员通过对管理控制台的操作就能对网络上所有计算机进行定期、实时地查杀病毒和全网统一升级管理,真正做到在整个网络中建立一面坚实的网络病毒防护系统。远程控制使您可以对当前系统中心及其任意客户端进行查杀病毒、漏洞扫描、开启/关闭实时监控等操作。需要注意在操作前先选定操作对象。在管理控制台上可以任选一台或多台计算机进行远程查杀病毒。在计算机列表栏中选择需要查杀的计算机,单击右键,在右键菜单中选择【查杀病毒】先在下拉列表中选择查杀路径,然后单击
【开始扫描】即按照默认设置开始远程查杀毒。
2、可靠的防火墙技术及配置
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。在不同网络或网络安全域之间的一系列部件的组合。不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙的功能
(1) 防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
(2) 防火墙可以强化网络安全策略。通过以防火墙为中心的安全
方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
(3) 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
(4) 防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节服务。防火墙阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。防火墙通常被用来进行网络安全边界的防护,事实证明,在内网中不同安全级别的安全域之间采用防火墙进行安全防护,不但能保证各安全域之间相对安全,而且在网络日常运行中,为各安全域中访问权限的调整提供了便利条件。内网防火墙选择了瑞星个人版防火
墙,其设置简单,适合一般用户使用。简单介绍一下本公司电脑的设置,安全级别定义为中级,系统在局域网中,默认允许共享,主要禁止了一些较危险的端口。并启用未登录保护,在系统未登录状态下开启防火墙保护功能。启动防火墙时进行木马病毒扫描。启用应用程序防篡改保护功能。当有程序进行网络活动的时候,对该进程调用未知木马病毒进行扫描,如果该进程为可疑的木马病毒,则对用户进行告警。设置了管理员帐户密码,防止普通用户在未经允许的情况下修改防火墙配置或关闭防火墙。
3、文件备份系统的实施
根据这些特点,对于操作系统部分采用“热备份”,使用“一键还原”技术,于硬盘最后一个分区处开辟一个隐藏分区,来存放操作系统备份文件,该技术安装非常方便,直接运行即可,操作简单,电脑若被病毒木马感染或系统崩溃甚至C盘被格式化,启动电脑后按下F11键,操作系统即可快速恢复到健康状态。同时备份文件位于隐藏分区内,不受病毒感染。针对重装系统、安装各类办公软件没有什么技术含量,十分繁琐。我采取的是利用最新的操作系统封装技术(自由天空技术论坛),并根据企业自身特点,集成了全部办公软件,防病毒、防火墙等软件,制作了一个快速装机光盘,取得了不错的效果。系统本身没有一个可执行文件。当你在资源管理器里右击一个文件夹时,在弹出来的菜单中就会多了一项“文件备份精灵”。如果你点击的文件夹以前曾经备份过,菜单中还会自动加上“更新到[你以前的备份目录]”。他能根据用户需求,提供各种行为:
1)直接拷贝:跟平时的拷贝一样,不管源文件与目标文件哪个新哪个旧,直接覆盖过去。
2) 文件更新:只要当源文件的最后修改时间大于(少于、不等于)目标文件时,才覆盖原文件,否则忽略。
3) 文件同步:除了进行文件更新行,还保持双方的文件一致,也就是说,如果源文件夹中新增(更新)了文件,则目标文件夹也跟着新增(更新)文件,如果源文件夹中删除了某些文件,则目标文件夹也跟着删除同名的文件。
4) 删除文件:删除源文件夹中指定格式的文件,一般用于清除垃圾文件或临时文件。
并于设计子网,财务子网分别开辟了备份专用服务器,并为每个用户开辟了专属备份分区,方便用户随时备份重要数据。
五 结 论
根据这个策略制定了详细的流程、规章制度、标准、用户手册等规范,通过实施这一系列策略规范,为整个公司范围内的安全管理搭建了坚实的平台。利用本防范系统,现在基本上可以防范各类病毒攻击,发现和防范各种黑客的入侵。通过使用防火墙对关键网段的控制,保证了只有许可的人员才能访问关键服务器。通过入侵检测,对许可访问人员的行为进行审计和检测。通过安全管理中心对这些日志进行保存和审核,这一系列的手段保障了对来自内部攻击和误用的限制。通过安全管理咨询和加固服务,邮件防毒、服务器防毒、工作站防毒系统,全面减少了网络受病毒感染的风险,将这些风险控一个可以控
制的范围。由于Internet发展的强劲势头,要预测一下未来网络安全可能出现的安全隐患和问题几乎是不可能的,未来企业与电子商务的紧密结合已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,使企业安全系统面临新的威胁和攻击的考验。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展 致 谢
在软件学院的学业就要结束了,我要感谢学院教师带给我的丰富的知识;感谢我的指导老师在非常紧张的教学与研究之余,对我的论文修改与指导;感谢在我撰写论文的过程中提供帮助的人; 参考文献
[1]江民官方网站:http://www.jiangmin.com/
[2] http://baike.baidu.com/view/20936.htm
[3]http://www.xfocus.net/articles/200409/739.html
[4]http://www.soft6.com/tech/4/45848.html
[5]http://www.net130.com/2004/8-31/85849-3.html