企业网络安全解决方案的设计与实现.pdf

资源描述

1、论文题目企业网络安全解决方案的设计与实现专业学位类别工程硕士学号 201191070206 作者姓名金启诚指导教师郑文锋副教授分类号密级 UDC注1 学位论文企业网络安全解决方案的设计与实现（题名和副题名）金启诚（作者姓名）指导教师郑文锋副教授电子科技大学成都倪惊涵高工苏州软件园培训中心有限公司苏州（姓名、职称、单位名称）申请学位级别硕士专业学位类别工程硕士工程领域名称软件工程提交论文日期 2014.03 论文答辩日期 2014.05 学位授予单位和日期电子科技大学 2014 年 6 月 2

2、5 日答辩委员会主席评阅人注 1：注明国际十进分类法 UDC的类号。 DESIGN AND IMPLEMENTATION OF ENTERPRISE NETWORK SECURITY SOLUTIONS A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Master of Engineering Author: Jin Qicheng Advisor: Zheng Wenfeng School : School of Automation Enginee

3、ring 独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。作者签名：日期：年月日论文使用授权本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索，可以

4、采用影印、缩印或扫描等复制手段保存、汇编学位论文。（保密的学位论文在解密后应遵守此规定）作者签名：导师签名：日期：年月日摘要 I 摘要随着计算机网络和互联网的快速发展，基于计算机网络的企业应用程序也在迅速增加，同时网络信息系统也为企业带来了巨大的便利和经济效益。企业网络办公系统将成为企业日益重要的资源和平台，但紧随其后的网络安全问题也在开始困扰着用户，这就对企业网络信息安全提出了更高的要求。但是计算机网络系统在给用户带来便捷信息访问和巨大的资源访问的同时，也蕴含着许多危险。经过统计，企业网络系统的威胁主要来自以下几个方面而来： 1. 网络病毒的入侵：自从计算机病毒出现之后，

5、其增长速度非常迅速，对计算机用户造成的损失也是不可估量的，计算机网络一旦感染病毒，轻者计算机系统运行速度降低，重者还有可能导致用户重要资料泄露，甚至是计算机硬件损坏。 2. 网络黑客的攻击：在网络上，黑客们运用各种工具入侵他人计算机系统，窃取他人重要信息或破坏他人网络的正常使用。更加严重的情况则可能会导致计算机系统的崩溃和网络系统的瘫痪。 3. 信息传输过程中的隐患：在传输过程中，源端与目的端进行数据交换不可避免地会有一定数量的数据丢失或者被他人盗取，亦或者被他人修改，这将会对数据的完整性造成破坏。 4. 企业对于计算机网络安全的防范不足：由于网络系统涉及企业日常运行许多环节，整个网络要同时执

6、行很多操作，因此不可避免地会有来自各个方面的攻击。 5. 计算机网络系统自身的缺陷：有部分企业信息系统使用的平台存在一定的安全漏洞，这样就导致非法用户可以未经授权获得部分访问权限或提高其访问权限。 6. 内部攻击：由于企业内部的防范工作出现漏洞，内部的员工可能会进行一些有意或无意的误操作，这样也是企业网络安全的问题隐患之一。通过对以上几个方面的问题分析，企业信息系统的建设需要一整套完整的解决方案，这个方案对现代企业的规模发展有着极其重要的意义。这个解决方案需要涵盖网络系统各个方面，从整个网络系统的安全管理到单机系统的安全加固，从规章制度的完善到技术手段的改进。从业务和技术方面都需要一个易

7、于实施、部署、建立的相对完整的系统，为企业信息安全、信息系统有效地防止来自各个方面攻击和威胁，以尽量减少风险水平。摘要 II 关键词：关键词：企业安全，病毒，攻击，系统自身缺陷 ABSTRACT III ABSTRACT With the rapid development of computer networks and the Internet , enterprise applications based on computer networks is also increasing rapidly , while the network of information systems

8、 for the enterprise has brought great convenience and economic benefits. Enterprise network office systems will become increasingly important resources and platforms, but followed by network security issues are beginning to plague users on the corporate network and information security which put for

9、ward higher requirements. But the computer network system in bringing convenient access to information and access to huge resources to the user , but also contains many dangers. After statistics, threats to enterprise network systems comes from mainly from the following aspects : 1. Network virus in

10、vasion : Since computer viruses , which grew very rapidly , causing damage to the computer user is also immeasurable , once infected computer networks , computer systems running light speed reduction , may also lead to severe users important data leakage, even computer hardware damage . 2. Network h

11、acker attacks : on the network , hackers use a variety of tools hacking computer systems, steal important information to others or disrupt the normal use another network. More severe cases may lead to paralysis of the computer system crashes and network systems. 3. Hidden information transmission pr

12、ocess : during transmission , the source and destination data exchange inevitably there will be a certain amount of data is lost or stolen by others , has or is modified by someone else , this will have on data integrity damage. 4. Companies for lack of computer network security precautions : Due to

13、 the daily operation of the network system is involved in many aspects of business , the entire network to perform many operations simultaneously , so there will inevitably come from all aspects of the attacks. 5. Computer network system s own shortcomings: There platform information systems used by

14、 some companies there is a certain security vulnerabilities, thus leading to unauthorized users can gain unauthorized access to or increase its partial access . 6 .Internal attacks : As preventive work within the enterprise loopholes , internal ABSTRACT IV staff may make some intentional or unintent

15、ional misuse , this is also one of the problems of enterprise network security risks . Through the analysis of the above aspects of the problem , the construction of enterprise information systems requires a complete solution for the development of this program on the scale of the modern enterprise

16、has an extremely important significance. This solution needs to cover all aspects of the network system , from the entire network security management system to secure stand-alone system reinforcement, from the rules and regulations to improve the technical means of improvement. From the business and

17、 technical aspects need an easy to implement , deploy, establish a relatively complete system for enterprise information security , information systems effectively prevent attacks and threats from various aspects , in order to minimize the level of risk . Keywords: enterprise security , virus , atta

18、ck, the system itself defects 目录 1 目录第一章绪论 . 1 1.1 选题依据和意义 . 1 1.2 预期研究的方法 . 1 1.3 国内外研究现状与趋势 . 2 1.3.1 加密技术的发展 . 2 1.3.2 防火墙产品的发展 . 6 1.4 本论文的章节结构安排 . 11 第二章企业网络安全系统的需求分析 . 12 2.1 物理安全需求分析 . 12 2.2 网络平台的安全需求分析 . 12 2.3 系统的安全需求分析 . 12 2.4 来自局域网内部的需求分析 . 13 2.5 来自互联网的需求分析 . 14 2.6 常见的网络攻击手段分析 . 1

19、6 2.7 现阶段企业网络安全面临的主要隐患 . 17 2.8 公司背景 . 17 2.9 企业网络安全需求 . 18 2.9.1 企业网络安全需求分析 . 18 2.9.2 企业网络出口使用分析 . 19 第三章网络安全解决方案的设计 . 21 3.1 企业网络安全设计常见误区 . 21 3.1.1 企业网络设计常见误区 . 21 3.1.2 解决方案的常见误区 . 22 3.1.3 企业应用开发上的误区 . 23 3.1.4 企业系统管理上的误区 . 23 3.2 企业网络结构设计 . 24 3.3 网络安全系统解决方案设计原则 . 25 3.4 网络安全系统设计 . 25 3.4.1

20、系统主框架流程 . 25 3.4.2 安全系统的文件存储机制 . 27 目录 2 3.4.3 安全系统核心功能处理流程 . 27 3.4.4 安全系统模板处理流程 . 28 3.5 网络安全系统文件存储格式 . 30 3.5.1 File header 数据格式 . 30 3.5.2 Stat_record 定义 . 30 3.5.3 BlockData 数据格式 . 31 3.5.4 Extension Map 数据格式 . 32 3.5.5 CommonRecord 数据格式 . 32 3.5.6 Extension 数据格式 . 33 3.6 网络安全系统功能匹配 . 36 3.6.1

21、启动服务 . 36 3.6.2 停止服务 . 36 3.6.3 重启服务 . 36 3.6.4 调用 nfcapd 的命令参数 . 36 3.6.5 以 nfsen start 为入口基本流程 . 37 第四章企业网络安全解决方案的实现 . 41 4.1 物理安全 . 41 4.1.1 物理安全的基本意义 . 41 4.1.2 通过两套网络进行切换 . 41 4.1.3 重要信息点的物理保护 . 42 4.2 网络平台的安全 . 42 4.2.1 网络系统的安全防护 . 43 4.2.2 应用系统安全 . 47 4.2.3 病毒防护 . 48 4.2.4 数据安全处理系统 . 50 4.2.

22、5 安全审计日志记录 . 51 4.2.6 登录认证、身份鉴别、数字签名 . 51 4.3 主机系统的安全 . 52 4.4 使用访问控制对局域网内部威胁进行屏蔽 . 52 4.5 VPN 防御网络攻击 . 54 4.6 用来对确保网络安全的措施 . 63 第五章系统脆弱性的分析与实现 . 65 5.1 系统出口实际性能测试分析 . 65 目录 3 5.1.1 空跑压力测试及分析 . 65 5.2 系统脆弱性的分析的实际运用 . 69 5.2.1 设备安全性分析 . 69 5.2.2 设备可靠性分析 . 70 5.2.3 设备可用性分析 . 70 5.2.4 设备升级功能 . 70 5.2.

23、5 设备可扩展性分析 . 70 5.3 系统脆弱性的分析风险识别与确认 . 70 第六章结论 . 72 致谢 . 73 参考文献 . 74 第一章绪论 1 第一章绪论现阶段，在计算机网络系统的高速发展的时机下，根据现在中国国情，必须设计一个网络安全的一体化解决方案给国内企业使用来保护企业网络系统方面的安全。这个一体化的网络安全的解决方案应该从以下 4 个方面进行着手： 1. 方案必须具备处理突发事件的能力。 2. 方案能够完成实时监控并且易于管理。 3. 方案需要提供安全策略配置。 4. 方案需要对自身安全体系进行完善和自我改进。现在计算机的网络系统中，网络的威胁攻击与网络的

24、安全防护并行存在着，在过去计算机时代，网络多数处于封闭状态，都是单机操作的时候，比较简单的防护设备可以比较轻松地保证其安全性。随时计算机网络的发展和科技的更新换代，越来越开放式的计算机网络系统对于网络系统的安全防护的要求也越来越高，因此原来的那种单一简单的防护设备已经无法满足现在对于网络系统的安全防护需求，所以这样就要求我们需要有一个更加完善复杂的程序来对计算机网络进行全方位多元化的安全防护，从而保障计算机系统网络的安全性与稳定性。 1.1 选题依据和意义现在为了更好地帮助企业更好地保障其计算机网络系统安全防护功能，更加有效地降低了企业在使用计算机网络系统时受到的安全威胁和病毒攻击，我在企

25、业网络安全解决方案中将针对计算机的网络系统安全中各个方面的问题进行分析研究，完成本次的论文。根据现在对网络安全威胁来源的分析，我们计划从企业的系统软件的安全、设备配置安全以及放火墙与网络安全检测等来保障企业的网络安全。我在企业网络安全解决方案中为企业网络安全防护方面设计制定提供一个模板，帮助公司针对自身独特计算机网络系统制定网络安全防护方案，从而更好维护企业的网络系统的安全。 1.2 预期研究的方法电子科技大学硕士学位论文 2 由于施工过程中涉及到的过程不是项目，在设计过程中，详细的施工现场有很大的难度，也不太现实，所以我们将进行科学计算与仿真实验。第一步，通过小的网络测试软件平台。

26、第二步，通过构建多个小型网络来组建一个全局网络环境。第三步，利用小型网络来进行模拟测试构建的干扰源。 1.3 国内外研究现状与趋势改革开放以来，国家电信事业迅猛发展，国家也加大了国家范围内的网络安全防范建设投入，同时也取得了比较喜人的成绩。然而，相对而言，由于我国对于安全检测方面的工作建设的相对落后，因此有许多网络通信方面的设备并不符合相关的安全检测。与此同时，嵌入式操作系统在安全防护方面也达不到要求，存在很大的漏洞隐患。由于通信业务所使用的计算机系统大部分采用的是开放式的操作系统，安全级别原本就很低，再加上也没有附加任何安全措施。因此以上所述的这些系统并不能有效的防御黑客或病毒的攻

27、击。虽然说国家政府部门还是非常重视各项信息系统的安全性，但由于经费、解决方案等方面的问题，系统安全问题还是相当严重的。在国内金融行业的现阶段，所使用的系统绝大多数都是开放式的操作系统。这些开放式的操作系统在安全防护方面较弱，安全问题也十分显著，容易遭受攻击。在一些新闻报导中，也反应了一部分公司的信息系统已经遭受了黑客的攻击，因此说，系统的安全防护问题十分严重。随着政府对网络安全研究的重视程度日益增加，国内随之出现了一大批专业的社会组织和公司，同时也有一些大型互联网公司开始涉足网络系统安全行业，从中国的国情来看，市场优势就是中国人自己开发网络安全产品的一大优势。不可否认，无论是从解决方案还

28、是整体的技术水平，国内的网络安全产品与国外的产品虽然还是存在一定差距，但是从用户切合度和售后服务上来说，国内的企业网络完全产品市场前景巨大。 1.3.1 加密技术的发展随着互联网的普及，人们对互联网的使用越来越多，有关的商业活动，也逐渐发展成为电子商务，并得到广泛的发展。但是，随着电子商务的快速发展，在互联网上也出现了不少安全问题。网络用户在进行电子交易时所面临的网络安全问题：第一章绪论 3 1. 保密性在电子商务中涉及到大量的信息需要保密，因此需要保证这些信息在网络中传输而不被盗取。 2. 完整性在电子商务中大量的交易信息必须完整可靠，因此需要保证交易信息在网络传输中不被篡改和

29、重复发送。 3. 身份认证与授权在电子商务交易中必须保证交易双方的正确身份，所以需要对双方进行身份认证。（如下图 1.1 所示）图 1.1 身份鉴别与授权访问 4. 抗抵赖确保在完成电子商务交易后，双方都不能否认已经发生的交易。电子商务的进一步发展在很大程度上被这些安全问题所限制，因此保证计算机网络信息传输的安全，已成为电子商务发展的一个重要环节。为了解决这些计算机网络安全问题，经过多年的研究，世界各国已经初步形成了一套非常完整的网络安全解决方案，就是现在广泛使用的 Public Key Infrastructure（公钥基础设施）技术，简称 PKI 技术。 PKI 技术主要通过第三方

30、机构-Certificate Authority（如下图 1.2 所示），使用证书来管理公钥，并且把公钥和用户的其他信息（比如电话号码、身份证号码等）绑定在一起，在互联网上验证用户的身份。目前，常用的方法是使用基于数字证书结合 PKI 技术对发送的数据信息进行加密，确保发送的数据信息的机密性和完整性，以及确保双方身份的真实性和不可否认性。电子科技大学硕士学位论文 4 图 1.2 CA 证书的模型现在计算机网络安全被普遍关注，在网络的各个方面都使用 PKI 作为安全技术防护手段。因此 PKI 这技术被普遍看好，在现阶段具有无可比拟的前景和优势。PKI 技术借鉴公共密钥加密技术，使之成为一种

31、行之有效的状态，从而使网络上的数字签名有了安全保障。其中数字证书是应如何利用非对称加密技术而产生的，并已成为 PKI 技术的核心要素。 PKI 的优势有以下几个方面来表示： 1. PKI 技术具有保护机密性这个优势，这个得天独厚的优势是从密码技术中提炼出来。PKI 技术，不仅能够对身份确认的双方提供必要的保密性服务，更强大的是可以对没有确认身份的用户提供通信加密保护。 2. PKI 技术主要使用公钥加密技术，这种情况下将能够支持数字签名的公开验证，因此在支持服务中具有不可替代的优势。（如下图 1.3 所示）这种公开验证的支持服务也更好的担保了原发数据的完整性。以上所述，支持可公开验证，或

32、任何第三方验证，可以更好地保护弱势群体，完善网络信息的管理能力。图 1.3 公钥私钥加密模型图 1.3 公钥私钥加密模型第一章绪论 5 3. PKI 技术为了建立一个复杂的网络信任系统需要结合各种互联技术。使用PKI 的互联技术作为技术保障，以消除网络世界的信息孤岛问题。同时，PKI 技术在互联能力方面也有极强的优势。 PKI 技术能够按照人类世界的信任方式对上下级领导关系或者是平等的第三方关系提供多种形式的互联技术，因此 PKI 技术被使用于各种大型网络信息系统中。 4. PKI 技术由于数字证书并不需要在线查询，可以由用户自己独立验证，并且理论上是可以保证无限制地扩张服务范围

33、，因此成为了一种服务用户的基础设施，并被广泛使用。 PKI 技术突破了以前那些必须在线使用的安全验证服务限制，使用数字证书进行验证服务，也就是通常所说的通过第三方的数字证书进行密钥验证服务。（如下图 1.4 所示）图 1.4 PKI 的数字证书 5. 为了使 PKI 技术的使用更简单便利，更有人性化，需要为用户提供更改信息的功能，因此 PKI 技术提供了数字证书的撤销机制，从而使得在应用方面不受具体使用的限制。撤销机制的出现给用户提供了补救的措施，不管用户身份变或是不变，都不用担心会被作废或被他人盗取，可以更加放心的使用。 6. PKI 技术在实际的企业部署过程中非常的方便。（如下图 1.

34、5）因此 PKI 技术广泛用于各种安全设备的加密解密中。电子科技大学硕士学位论文 6 图 1.5 PKI 技术部署方式图 1.5 PKI 技术部署方式 1.3.2 防火墙产品的发展为了在企业内部网和外部网之间、专用网与公共网之间构造一层保护屏障，企业一般会通过防火墙来实现，企业级常用的防火墙一般为网络层防火墙和应用层防火墙以及入侵检测/防御系统（IDS/IPS）。 1. 网络层防火墙网络层防火墙工作在 TCP/IP 协议的底层堆栈上，可以看做是一种 IP 的数字包过滤器。（如图 1.6 所示）第一章绪论 7 图 1.6 网络层防火墙在 OSI 模型中的位置其工作原理是由系统管

35、理员定义或是修改协议策略，使之通过某些原则过滤数据包，比如设置策略允许符合某些规则的数据包通过，其他的数据包则禁止通过防火墙。我们也可以从另外一个比较宽松的角度来制定防火墙策略，比如只要数据包不符合任何设置的否定策略，就予以通过。但是防火墙并不能防止病毒的入侵，而且有些可能只是用内置的防火墙规则。现在内置防火墙这一功能已经普遍使用在各种操作系统和网络设备上了。现在科技不断更新，防火墙功能也在不断升级，从原来的使用策略过滤数据包，到现在的对数据包的其他属性进行过滤。比如数据包所携带的一些具体参数，MAC地址、IP地址、端口号、数据包类型等，同时现在的防火墙也能通过各种协议，网络域名等参数进行过

36、滤。 2. 应用层防火墙应用层防火墙是通过对应用程序的识别，通过识别后进行控制。应用层防火墙在 OSI 的应用层上运行。应用程序防火墙通过对应用程序的识别，可以达到拦截其进出的所有数据包，所以原则上说应用层防火墙可以保护系统完全隔绝外部的数据包。（如下图 1.7 所示）电子科技大学硕士学位论文 8 图 1.7 应用代理防火墙的示意图综上所述，识别技术是应用层防火墙的核心技术，主要采用 DPI 和 DFI 两种技术来实现 Deep Packet Inspection 技术：深度包检测技术，简称 DPI 技术，是一种流量检测技术。（如图 1.8 所示）图 1.8 深度报文分析与普通报文分析

37、 DPI 技术工作在 OSI 的应用层上，其原理是对通过基于 DPI 技术的带宽管理第一章绪论 9 系统的各种数据包（IP 数据包）、数据流（TCP 数据流、UDP 数据流），并对数据包中的内容进行深入读取，对比 OSI 中的应用层信息，并进行数据的重组，可以反映出整个应用程序的内容，之后，通过管理策略可以对流量进行系统定义的整形操作。带宽管理解决方案基于 DPI 技术能识别的应用程序一定要是系统已经被确认的，这一点与一些常用的防病毒软件的某些特性比较相似。例如现在使用的大多数防病毒软件都有一个庞大的病毒特征数据库在系统后台运行，而带宽管理系统基于 DPI 技术在运行维护时也有一个应用

38、特征数据库。并且新的应用程序出现后，基于 DPI 技术的带宽管理系统的应用数据库也需要更新对新应用程序的识别能力。而当数据包通过时，通过对比解压数据包中的应用信息和应用特征数据库中的信息来确定应用类型。 Deep/Dynamic Flow Inspection 技术：深度/动态流检测，简称 DFI。（如下图1.9 所示）DFI 技术是一种应用识别技术，其原理是不同的应用程序的类型在数据流上所体现的状态不同，是基于数据流的识别技术。图 1.9 DFI 数据模型 3. 入侵检测/防御系统入侵检测系统，简称 IDS，其原理是 IDS 检测是基于服务器系统或网络系统，一般使用规则正常模型和静态异

39、常模型相配合来检测入侵。（如图 1.10 所示）以监测网络系统故障作为检测机制的是基于网络系统的 IDS，而采用服务器操作系统作为检测机制来对输入源做入侵检测的是基于服务器系统的 IDS。电子科技大学硕士学位论文 10 图 1.10 入侵防御系统的部署模式因此资料源、分析引擎和响应模块就是以最规范的形式划分的，以下为这 3个模块的说明： (1)资料源主要为分析引擎提供用于系统监视的分析审计资料。 (2)分析引擎主要对于资料源提供的分析审计资料进行分析，检测入侵或异常行为提交给响应模块。 (3)响应模块主要是做阻止入侵或恢复系统操作，从分析引擎的结果中判断，做出正确的动作。资料源、

40、分析引擎和响应模块这 3 个模块互相作用，其中响应模块是最主要的部分，主要是根据分析引擎的分析结果，做出如阻止入侵或系统恢复等适当的操作动作，同时响应模块也可以调整监视策略和收集资料，为资料源和分析引擎提供更加详细的信息资料。分析引擎主要对于资料源提供的原始资料进行分析，然后提交给响应模块，同时也可以配合响应模块进行一些增加、更改和删除等系统操作，是启中轴的作用。而资料源如数据库一样为分析引擎提供分析审计资料，同时对响应模块提供的信息资料进行存储更新。现在社会网络技术飞速发展，同时计算机网络安全问题也越来越受关注。如何保证在新的拓扑结构中，分布在网络中的各种信息，资源的安全性，是非常值得深

41、入研究的。总体而言，现在主要需要解决的入侵检测系统问题有以下 4 点： (1)改进信息数据流的获取方式来提高网络中的入侵检测效率。 (2)改进检测算法，来提高检测的效率和准确性。第一章绪论 11 (3)IDS 之间或者与其他系统之间的分布协作来提高检测的效率和范围。 (4)创建一种可扩展性的入侵模式库，可以模拟演化攻击模式。孚希门软件（苏州）有限公司的局域网是一个信息点较多的千兆局域网络系统，它通过专线与外网进行连接，各部门可直接进行与互联网用户进行沟通、交流，进行数据传输、资料搜集等工作。通过对服务器的访问，企业可以直接发布信息已经进行邮件收取。与此同时，它所联接的现有内部众多信息

42、点，为在公司内部各部门、各岗位提供一个互动平台。正如前文所分析的，灵活的网络互连方案设计为用户提供方便的同时，也为网络的安全防护提出了更严峻的考研。综上所述，在现有的网络中必须实施一套完整可靠的安全解决方案，这是完全可行的。针对公司的具体情况，企业局域网安全可以从以下几个方面来理解： (1)网络物理环境是否安全。 (2)系统是否安全。 (3)网络平台是否安全。 (4)企业局域网本身是否安全。 (5)与互联网连接是否安全。根据上述分析，我们将针对每一种计算机网络安全隐患进行分析。 1.4 本论文的章节结构安排本文第一章为绪论，主要介绍论文的选题依据和意义，并介绍通过什么研究方法来研究这个

43、课题，并阐述国内外的研究趋势。第二章为系统分析，通过各个角度分析企业网络安全的现状，如物理安全、网络平台的安全、系统的安全、局域网内部攻击的风险、互联网攻击的风险。第三章从各个角度罗列出针对上述问题的设计思路，并在第四章中进行实现。第五章是针对整套系统的检测，看其脆弱性。第六章进行总结。电子科技大学硕士学位论文 12 第二章企业网络安全系统的需求分析 2.1 物理安全需求分析网络物理环境安全隐患主要指的是因自然灾害(例如水灾、火灾、地震、台风等)、人为过失等等原因造成的设备损毁或者丢失，这个是整个网络安全防范的前提。不过，只要加强管理和提前防范，这些风险是虽然不可以完全避免，但是真的

44、灾难来临也会减少损失的。 2.2 网络平台的安全需求分析在企业中，网络环境、网络路由、网络拓扑和网络结构等因素都涉及到企业网络安全。企业局域网开放的服务器如 WWW 等服务器作为公司对外宣传的窗口，一旦系统崩溃无法运行或黑客入侵，将对企业的声誉会造成无法弥补的创伤，因此需要保证服务器的网络安全。公开服务器本身的功能之一就是要为外界提供各种服务，所以必须开放相应的服务节点。而黑客都在试图闯入 Internet 节点，如果这些开放的节点不时刻保持警惕，极有可能都不知道黑客是如何闯入的，更有甚者，黑客会以此为跳板对其它站点进行入侵，对公司造成更大影响。因此，企业系统管理员在互联网相关的安全事

45、件管理上一定要警惕，碰到故障必须及时处理。同时通过隔离外部网络、内部网络和公开服务器来避免网络系统信息的泄漏。并且还需要过滤来自外部的网络服务请求，只允许正常通信的数据包到达相应的指定主机，而其他的服务请求则在需要在到达主机前被否决。现在大多在网络系统上建立安全防护系统，所以想成功的建设安全防护系统也要考虑网络系统的稳定性和成熟度。在孚希门软件（苏州）有限公司的局域网络系统中，如果想减小网络安全的风险，那么考虑相对简单的网络结构，只需要使用一台路由器作为边界路由器去和 Internet 相联接，并考虑使用静态路由配置。 2.3 系统的安全需求分析在这里，整个局域网的操作系统，硬件设施和网

46、络平台的安全可靠就是系统的安全防护。第二章企业网络安全系统的需求分析 13 对于计算机网络系统来说，应该说没有绝对安全的操作系统可以选择，不管是哪家厂商的操作系统，都会有其 Back-Door。现在的操作系统中，没有绝对安全可靠的。所以提高操作系统的安全级别是非常重要的措施，我们可以通过对操作系统进行安全配置，增加安全防护软件来提升操作系统的安全性。因此，我们在考虑操作系统的安全可靠的同时也需要考虑使用其他手段加强安全性，例如加强登录时的认证过程，保证其安全性。再次，我们应该严格限制登录者的操作权限，根据不同情况、不同需求对其权限进行适时的调整。（如图 2.1 所示）图 2.1 操作系统

47、安全的需求分析 2.4 来自局域网内部的需求分析 1. 应用的安全风险现在安全漏洞随着网络的发展而不断增加并隐藏的更深，因此应用程序系统的安全防护也随着网络的发展而不断完善。所以说应用程序系统的安全是动态的。应用程序系统的安全性包括程序中各项参数的安全性。信息的安全性涉及到未经授权的非法访问、各种机密信息泄露、信息完整性遭到破坏等。由于孚希门软件（苏州）有限公司局域网跨度不大，所以在内部传送的绝大电子科技大学硕士学位论文 14 多数信息都可以保证其完整性和机密性。但是这并不是绝对安全可靠，对于一些十分重要的信息，则可以考虑针对其具体的应用进行加密，并设置加密等级，保证重要信息的安全性。

48、2. 管理的安全风险管理的安全风险涉及到很多方面，例如安全管理制度不健全、管理混乱、管理责任不明确和缺乏可操作性等。加强对重要信息的管理，规范管理流程可规避这方面的安全风险。同时，流程的规范有利于保存记录，必备有需要时随时翻阅。 3. 不满的内部员工有一些对公司存在不满的员工会在公司服务器上进行一些非法操作，对公司造成一定影响，这样就要求我们要规范访问权限，针对内部员工加强管理。 2.5 来自互联网的需求分析 1. 黑客攻击在当下的网络世界里，黑客们的攻击是无处不在，跟网络活动如影随形。如果公开服务器存在漏洞，就可能遭受黑客的攻击，黑客通过漏洞可以很容易入侵到公开服务器，从而得到公开服

49、务器的相应密码。然后，黑客通过相应的密码，则有机会得到更高级别的特权，权限的提升带来的危害不可估计。同时黑客可以使用欺骗程序，植入到相应的服务器中，来实施监听会话和盗窃资料，从而可以获取他人的帐户和口令。（如图 2.2 所示）第二章企业网络安全系统的需求分析 15 图 2.2 黑客攻击模型企业需要设置公开服务器，规定其保持在自己的存储空间，来防止黑客的入侵。同时，需要对公开服务器设置相应的权限，例如对使用外部服务器的人设置禁止访问外部网络文件以外的其他文件，来保证服务器的安全性。在孚希门软件（苏州）有限公司的局域网内我们将综合采用入侵检测技术、防火墙技术等技术来保护计算机网络内的信息

50、资源，防止黑客攻击。 2. 恶意代码这里所说的恶意代码包括但不限于病毒，除病毒之外，还有蠕虫、特洛伊木马等有类似功能的未经同意的软件。我们都应该加强对这一类恶意代码的检测，杜绝恶意代码。 3. 病毒的攻击计算机安全一直受到计算机病毒的威胁，所以保护系统防御病毒已经成为了当下迫切需要解决的问题。计算机网络病毒具有潜伏性、传染性和破坏性等性质，通常隐藏在其他可执行程序中而不是独立存在，计算机感染病毒后会严重影响系统的计算能力和运行速度，更加严重的话还会使计算机瘫痪。因为现在用户有太多信息资料在计算机电子科技大学硕士学位论文 16 上，所以计算机瘫痪带来的损失将是不可估计的。（如图 2.3 所

展开阅读全文