-
校园网或企业网网络安全方案设计和实现的文档
摘要
随着计算机技术突飞猛进的发展,
互联网的应用也越来越广泛,
在网络
环境下
运行的各种应用系统越来越多,
通过网络传输的各种信息也在不断增加。
从目前中
小型企业计算机技术的应用情况来看也是如此,
目前中小型企业已经建立了企业网
站,电子邮件等系统,
并且已经实施了
ERP
、电子商务、
IJR
等信息
系统,许多重
要信息都存储在网络服务器中,
因此网络系统的安全至关重要。
这就
要求我们对安
全问题进行深入分析研究,
在整个中小型企业建立多层次的网络安全体系。
本文立足于中小型企业网络安全的规划设计与实施,
对中小型企业网络系统
方面存在的安全问题进行了深入分析,
针对这些问题给出了总体解决方案并在中
小型企
业内进行了实施。
通过中小型企业网络安全的规划设计和实施,
提高了中小型企业网络系统的
安全性和稳定性。
同时随着计算机技术的不断发展,
对
网络系统的安全性提出了
更高的要求,因此中小型企业会根据网络系统不断发展的要求,
进一步规划设计出
更加适合中小型企
业发展的网络安全系统,
满足中小型企业信息化建设不断发展
的
要求。
关键词:网络安全;
VLAN
划分;用户权限;安全策略;病毒防范
Abstract
With the rapid development of the
computer technology, the Internet is more and
more widely, more and more application
systems running in network environment,
through a variety of information
network transmission is also increasing. The
application
of computer technology in
small and medium-sized enterprises at present is
so, the
small and medium-sized
enterprises have established enterprise website,
email system,
and have implemented ERP,
e-commerce, IJR and other information systems,
many
important information are stored
in the network server, so the security of network
system. This requires us to study on
security issues, the establishment of network
security in the multi-level system of
small and medium enterprises.
Planning design and
Implementation Based on the small and medium-sized
enterprise network security, security
problems of the small and medium-sized
enterprise network system are analyzed,
in order to solve these problems are given
the general solution and in the small
and medium-sized enterprises in the
implementation of.
Through the planning design
and implementation of small and medium-sized
enterprise network security, improve
the small and medium-sized enterprise network
system security and stability. At the
same time, with the continuous development of
computer technology, put forward higher
requirements on the security of the network
system, so small and medium-sized
enterprises will be based on the development of
the network system, further planning
and design of network security system is more
suitable for the development of small
and medium enterprises, informatization of small
and medium enterprises to meet the
demand of the development of.
Keywords: network security;
user rights; security policy; virus
prevention
目录
摘要
·
····························
Abstract
···························
I
I I
III
目录
····························
第
1
章绪论
··························
1.1
研究的背景
······················
1.2
研究的意义
······················
1.3
研究内容
·
··········
···················
第
2
章中小型企业网络安全问题及规划设计
············
2.1
中小型企业网络安全存在的问题
·············
2.2
网络系统平台安全系统设计
···············
2.2.1
微软域用户策略部署方案设计···········
2.2.2
防火墙部署及
VLAN
规划设计
············
2.3
用户权限管理系统设计
·················
2.3.1
用户与角色管理设计
···············
2.3.2
资源管理设计
··················
2.3.3
审计管理设计
··········
········
2.4
防病毒系统设计
·········
···········
第
3
章网络安全方案实施
·······
·············
3.1
域策略及复杂密码策略的实施··············
3.2
网络
VLAN
划分及防火墙实施
···············
3.3
补丁自动更新策略的实施
·····
···········
3.4
杀毒软件的下载及使用
······
···········
结束语
····························
参考文献
···························
致谢
·············
················
1
1
1
2
1
1
3
3
4
5
6
8
9
10
1
1
3
5
7
1
2
3
第
1
章绪论
1.1
研究的背景
随着计算机技术的飞速发展,
通过网络传输的各种信息越来越多,
各种计算
机应用系统都在网络环境下运行。
< br>目前中小型企业许多重要信息都存储在网络服务
器中,因此网络系统的安全至关重
要。
但是,由于在早期网络协议设计上对安全问
题的忽视,以及在管理和使用上的无序状态,
使网
络自身安全受到严重威胁。中小
型企业在网络安全上同样面临许多问题,
例如邮件传输安全问题,
大量垃圾邮件
攻击问题,
病毒传播问题,
信息资源非法访问等问题,
这就要求
我们对网络系统
安全性进行深入研究和分析,建立一套安全的网络系统架构。
本文主要针对中小型企业目前存在的典型网络
安全问题进行分析研究,
规划相
应的
安全设计,找出相应的解决措施。
通过一系列安全设计和安全
措施的实施,有
效地提高了中小型企业网络系统的安全性,保证企业网络信息系统的安全
运行。
1.2
研究的意义
目前我们许多数据的存储
和传输以及许多业务的交易都是通过网络进行的,
因此网络系统的安全非常重要。
许多地区都出现了基于网络的犯罪行为,
黑客攻
击,数据资料泄密,
病毒破坏等已经成为制约网络发展的重要因素。
国内外都开
展了许多基于网络安全的研究工作,
如防火墙技术、
防病毒技术、
入侵检测技术
等,并推出了许多基于网络安全的产品。
随着网络应用的不断深入,
对网络安全的要求不断提高,
同时许
多破坏网络
安全的手段也越来越高明,
这就要求我们不断深入研究各项网络安全新技术,
并将
其应用到网络中,
进一步提高网络的安全性,
才能满足
快速发展的基于网络的各项
应用的要求
1.3
研究内容
本文对中小型企业网络信息
安全的规划设计和实施进行了全面系统的论述,
主要内容如下:
第一章介绍了本项目的实施的背景与意义。
第二章论述了网络安全问题和规划设计,
主要从网络系统平台安全设计、
用
户权限设计、防病毒系统规划设计等几个方面进行了详细论述。
第三章论述了网络平台安全系统的实施,包括域用户策略、
VLAN
和防火墙、
复杂密码策略、补丁更新策略及传输加密系统的实施。
最后主要对网络系统安全规划设计和实施过程进行总结。
1.4
虚拟局域网(
VLAN
)在企业中的应用
网络
VLAN
技术近年来已经发展成
为由具有交换功能的局域网解决方案的整
< br>合主要功能之一。随着网络硬件性能的不断提高、成本的不断降低
,
目前新建立
的局域网基本上都采用了性能先进的快速以太网或千兆网技术
,
其核心交换机采用
三层交换机
,
它能很好地支持
VLAN
技术
,
从而使网络工作组
的划分突破了地理位
置的限制
,
而完全可以依据管理功能来划分
[7]
。对以前很多企业网而言一般都采用
的是交换技术的网络模式
,
它们往往采用物理网络的手段进行网络结构的划
分
,
这种划分可能导致网络安全和运行效率方面存在缺陷
,
在一定程度上也限制了网
络的灵活性。
VLAN
的出现则解决了这个问题
,
一个
V
LAN
可以根据不同部门职能、
对象或者应用将不同地理位置的
网络用户进行划
,
并分为
?
个逻辑网络。一个端口只
能标记一个
VLAN,
—个
< br>VLAN
中的所有端丨只能拥有一个广播域
,
而处于不同
VLAN
的端口则可以共享不同的广播域
,
所以说对企业网老说
,VLAN
技术提供了一
个网段和机构的弹性及合
机制
,
从而避免了广播
W
暴的产生。一般而言
,
一个大型集团企业往往有若干个二级单位
,
可以釆用
VLAN
的划分技术
,
进行虚拟局
域网的设置来保证集团整体网络的运行稳定性以及不同职能部门管理的安全性和方
便性。
第
2
章中小型企业网络安全问题及规划设计
2.1
中小型企业网络安全存在的问题
现有的企业网络主要存在下面的问题:
1
、弱口令造成信息泄露的威胁
由于中小型企业应用系统较多,
部分员工安全意识淡薄,
许多应用系统登陆
密码非常简单,
复杂度不够,
使系统密码容易被破译。
中小型企业目前使用的各
类系统较多,
包括邮件、
ERP
、内部办公网,
电子商务系统等,
面对众多的系统,
员工要设置各类账户的密码,
非常繁琐,
而且不便于记忆,
因此许多员工将密码
设置为简单密码,
并且长期不对密码进行更改。
这样容易产生信息泄露问题,
一
些攻击者会窃取密码,
非法进入系统获取系统资料。
如果重要资料被窃取,
将会
产生严重后果。
2
、网络病毒的威胁
中小型企业员工数量较多,
绝大多数员工都配有单独使用的计算机,
并且所
有计算机都可以访问互联网。
员工根据自己的情况自行安装防病毒系统,
< br>由于员
工对病毒预防知识和防病毒软件的使用方法掌握情况不同,
部分员工不能够正确使
用防病毒系统,
不能够保证防病毒代码和病毒库的及时更新,
因此容易造成计算
机感染病毒。
当感染病毒的机器增多后,
会引起部
分网络或者整个网络速度急剧
下降甚至瘫痪,
造成许多员工无法正常上网。
部分员工的计算机由于感染病毒
而无法正常工作,
有些计算机还出现计算机数据丢失等问题,
严重影响公司
员工正常工作。
另外感染病毒的员工因重装系统而占用许多工作时间,
影响工作
的正常进行。
3
、企业主干网没有划分
VLAN
中小型企业网络系统庞大,众多计算机都在同一网段上,系统没有划分
VLAN
,使网络中某一点出现故障就会影响一片。而且因为没有划分
VLAN
,计
算机可以随意访问。出现网络事
故,很难追查,出现网络故障也不方便定位。
4
、安全漏洞
只要有程序,就可能存在漏洞,
<
/p>
现行的各种操作系统及应用软件都不同程度地
的存在漏洞,
几乎每天都会有新的漏洞被发现并公布出来,
另外,操作系统本身
存在一些隐蔽通道,
这些都有可能成为黑客的通道。
同时
,操作系统都包含了一
些常见的通用。
同时,操作系统都包含了一些常见的通用服务,
如果安装时没有
关闭不相关的服务,
就有可能成为黑客入侵的途径。
只要
拥有一定技术心怀不轨
的人,都可能利用这些漏洞进行攻击,从而使某些程序或整个网络
丧失功能,或者
窃取数据,直接威胁到企业的网络安全。
5
、没有保障的信息安全
由于管理、资金和技术等方面的原因,中小企业的安全问题一
直隐患重重。
中小企业的信息安全
管理在安全性方面普遍存没有严格的规范和制度,
存在着严重
漏洞,人员的素质和技术水平与大型企业相比,
有较大的差距,
所有在企业信息
安全的内部脆弱性比大型企业存在更多的漏洞和不足。
因为企业内部威胁也外部威
胁提供了可能。
由于网络维护、运行、升级等事务性工作繁重而且成本较高,这也
使
得善于精打细算的中小型企业在信息安全管理上进退两难。
中
小型企业用户的局
域网一般来说网络结构不太复杂,
主机数量不太多,
服务器提供的服务
相对较少。
这样的网络通常很少甚至没有专门的管理员来维护网络的安全,
这就给黑客和非法
访问提供了可乘之机。
6
、计算机命名不规范
中小型企业网络中计算机数量非常多,
但由于中小型企业没有制定统一的命名
规范,许多计算机用户根据自己的喜好随意命名
,
一旦计算机出现问题,
如感染病
毒,影响网络正常运行时,无法定位具体的计算机并确定计算机
的使用人员,因此不
能够及时排除故障,影响问题解决的时间。
7
、用户权限混乱
随着信息化建设的深入,
越来越多的重要信息存放在网络信息系统中,
对于
信息的安全管理越来越重要。
但由于系统设计之初,
信息量较少,
缺乏对权限控
制的有效管理,许多用户可以存取或更改与用户本身的权限不相符的信息。
同时,
由于权限管理不严格,部分重要信息被非法用户窃取,造成信息系统安全隐患。
2.2
网络系统平台安全系统设计
网络系统平台主要是指中小型企业员工使用的网络系统设施,
以及数据传输
等应用,通过对网络平台实施各项安全措施,
将有效提高网路系统的安全性和稳
定性,保证网络系统的安全稳定地运行。
2.2.1
微软域用户策略部署方案设计
随着互联网的不断发展、
中小型企业局域网和广域网规模和复杂性的不断提
高以及各种应用系统的开发和投入使用,基于目录服务的需求
也不断增多。
中小型企业网络由局域网和广域网构成,
中小型企业总部局域网通过防火墙
接入互联网,中小型企业与各地平台通过
VPN
进行连接。如图
2-1
所示:
图
2-1
中小型企业网络拓扑
根据中小型企业网络系统结构,
考虑整个中小型企业局域网内部员工及各地
平台员工都能方便快捷地加入并登陆域,
获取域中的各项信息,
同时又能够保证
< br>域控制器系统稳定运行,在域架构设计中采用以下模式:中小型企业总部采用
3
台域
控制器,将域的各项角色分配在不同的服务器上,
同时
3
台域控制
器在域账号等信
息上互相同步,
在每一个分支机构平台上部署
2
台域控制器,两台域控制
器互为备份,同时每隔一段时间和中小型企业总部进行信息同步。
中小型企业每位
员工都要求登录域,
登陆域后可以访问中小型企业的相关资源,
< br>同时可以通过域控
制器来部署相关的安全策略。
复杂密码策略是其中一项重要策略。
复杂密码是指密
码长度
8
位以上,使用大写、小写、数字和特殊字符其中
3
种以上字符。由于复杂
密码使用字符种类较多,
扩大了密码空间,
同时对最小密码长
度进行了限制,因此
有效地增加了密码的安全性,
防止不法分子利用密码破译工具进行破译,保证了系
统的安全性。
目前中小型企业网络规模庞大,
计算机数量较多,
由于计算机使用人
员技术
水平和安全意识参差不齐,
导致一些计算机出现安全漏洞和感染病毒等问题,
影响
整个网络系统的稳定运行,因此需要在整个网络中建立计算机快速定位
系统,
一旦在网络上监测到计算机出现问题,
能够快速准确地查找到计算机和相关使用
人员,尽快解决问题。
2.2.2
防火墙部署及
VLAN
规划设计
为了提高进一步提高网络系统的安全性,
在中小型企业内部实施了防火墙部
署和
VLAN
的划分。
在中小型企业广域网的主要互联网出口都配置防火墙,在防火墙的
DMZ
区
域主要放置公司需要对外发布的服务器,
员工使用的计算机和对内发布的应用系
统全部位于内部安全区域内,员工通过防火墙
NAT
,转换形式访问互联网。
VLAN
技术己经成为提高网络运转效率、
提供最大程度的可配置性而普遍采
用非常成熟的技术,因此中小型企业内部整个局域网络采用
VLAN
划分技术,
将局域网络划分成不同的子网,
各子网之间的访问受到限制,
避免病毒的传播及
信息泄露。另外
VPN
技术已经成为在广域网和互联网上进行安全、可靠、保密
信息传输和应用操作的首选技术,
中小型企业信息系统要满足移动办公、
异地办
公、
Extranet
等当前和未来的需求,相应的网络技术必须支持
VPN
技术。
中小型企业采用
CISCO6513
和
CISCO4507
作为整个网络的主交换系统,
利
用两台交换形成双机热备,每台交换机上默认的
VLAN1
作为管理
VLAN
,配置
相应的
IP
地址,并在
CISCO6513
和
CISCO4507
上划分十五个
VLAN
,用作管
理
VLAN
的
VLAN1
是默认的,不用划。
VLAN
间做路由,使各个
VLAN
间可以互
相访问。所有交换机采用
VTP
技术,把
CISCO6513
和
CISCO4507
设为
VTPSERVER
,所有
CISCO3550-48-SMI
交换机设为
VTP
CLIENT
,
VTP DOMAIN
均设为
LANGCHAO
,
CISCO 6513
和
CISCO 4507
与所有
CISCO3550-48-SMI
之
间分别做
TRUNK
,封装类型选择
ISL
。使用这项技术,只需要在
CISCO6513
上划
分好所有的
VLAN
,
CISCO4507
和
CISCO3550-48-SMI
交换机就会自己学到所有
的
VLAN
,不需要再额外划分,
不仅可以大大减少工作量,
而且还可
以大大提高
网络的易维护性。网络
VLAN
划分情况如图
2-2
所示:
图
2-2
网络
VLAN
划分示意图
VLAN
不受楼和交换机的限制,即
VLAN
可以跨楼和跨交换机。各个楼和
各个交换机上的同名称
VLAN
属于同一个
VLAN
,例如
VLAN XINXIGU
ANLI
,
无论哪栋楼上的和哪个交换机上的,只要名称是
VLAN XINXIGU
ANLI
上的数
据,
CISCO6513
和
CISCO4507
交换机就知道是来自同一
VLAN
的数据。
2.3
用户权限管理系统设计
随着各项应用系统的实施,
越来越多的信息资源存放在网络服务器中,
对于
各类资源访问的权限控制就显得越来越重要,
本项目通过实施权限管理系统,
对
访问信息资源的权限进行有效管理。
权限管理系统将用户、
角色权限、能
够访问
的数据资源进行了清晰的界定。
用户同角色关联,
角色同功能权限关联,
从而有
效的实现了权限管理的控制。权限管理系统包括用户
/
角色管理、自助服务、资源管
理、审计管理四个部分。用户
< br> /
角色管理是针对用户、角色、角色模板以及不相容角
色集等进行管理;
自助服务主要完成切换机构、
重置密
码、修改个人信息等操作;
资源管理主要是定义系统可访问的资源;
审计管理则是针对系统管理人员来完成在
线用户的查询、
在线用户历史记录的查询以及系统的安全日志管理等。
2.3.1
用户与角色管理设计
用户管
理主要实现在系统中根据业务需要对用户进行管理,包括增加用户,修
改用户和删除用户
等;
在整个系统设立一个隶属于中小型企业的中小型企业公用
账
号,授予该账号的权限被中小型企业内的所有用户自然继承;
进行安全级别管理,
对于赋予该用户的数据资源进行过滤,
如果该用户的安全级别低于赋予的数据资源
的级别,
则用户不能访问该资源;
每次创建一个法人组织机构,
就自动
创建一个
该法人组织机构下的公司级公用账号,
授予该账号的权限被法人内部的所有用户自
然继承。
除中小型企业公共用户和公司级公共用户之外的用户必须自动代理中小型
企业公共账号和公司级公共用户。
角色管理主要实现
根据业务需要对系统中的角色
进行管理,
包括对角色的增加、
修改和删除。
不相容角色之间不能建立继承关系。
不相容角色集建立后,
在赋予用户角色时,
可以检查赋予的
角色是否冲突,如果
角色不相容,系统会自动提示。
系统管理员操作功能用例图见图
2-5
:
图
2-5
系统管理员操作功能用例图
用户与角色管理数据库主要用于用户数据登陆验证,
存储用户信息,
角色信
息以及用户信息与角色信息之
间的关联信息等,部分数据库列表如下:
表
2-1
用户信息数据库表
字段名称
Userid
Username
Password
Email
Permissions
Reg
Time
Last Login
数据类型
Bigint
Varchar
Varchar
Varchar
Tinyint
Datetime
Datetime
smallint
字段长度
8
15
10
80
1
8
8
2
字段含义
用户编号
用户姓名
口令
邮件地址
权限
注册时间
最后登录时间
登录计数
LoginAccount
表
2-2
角色信息数据库表
字段名称
数据类型
Bigint
字段长度
8
字段含义
角色编号
Roleid
Roleenname
Varchar
15
角色英文名称
Rolecnname
Varchar
15
角色中文名称
Roleadmin
Tinvint
1
管理员权限
表
2-3
角色资源数据库表
字段名称
Roleid
Resourceid
数据类型
Bigint
Bigint
char
字段长度
8
8
1
字段含义
角色编号
资源编号
规则类型编号
Ruletypeid
2.3.2
资源管理设计
数据资源管理主要实现定义可访问的数据资源,
根据业务需要对数据资源进
行查询和维护等工作,一般情况下,该功能由超级
管理员或系统管理员进行操作。
数
据资源管理主要用于可访问资源的定义和管理等,部分数据库列表如表
2-4
:
表
2-4
数据资源数据库表
字段名称
数据类型
Bigint
Char
Varchar
Char
Varchar
Char
Varchar
字段长度
4
8
15
8
15
8
15
字段含义
参考类型
类型名称
数据对象来源
选择的字段
选择字段描述
显示字段
显示字段描述
Consulttype
Typename
Dataresource
Selectfield
Fielddescrip
Dispfield
Dispfielddescrip
-
-
-
-
-
-
-
-
-
上一篇:国内外信息化发展比较研究报告
下一篇:信息管理系统-英文文献完整版.docx