發(fā)布時間:2023-09-28 09:27:55
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們?yōu)槟鷾蕚淞瞬煌L格的5篇ccnp安全培訓,期待它們能激發(fā)您的靈感。
本畢業(yè)設計(論文)、學位論文作者愿意遵守浙江科技學院 關于保留、使用學位論文的管理辦法及規(guī)定,允許畢業(yè)設計(論文)、學位論文被查閱。本人授權 浙江科技學院 可以將畢業(yè)設計(論文)、學位論文的全部或部分內(nèi)容編入有關數(shù)據(jù)庫在校園網(wǎng)內(nèi)傳播,可以采用影印、縮印或掃描等復制手段保存、匯編畢業(yè)設計(論文)、學位論文。
(保密的學位論文在解密后適用本授權書)
論文作者簽名: 導師簽名:
簽字日期: 年 月 日 簽字日期: 年 月 日
內(nèi) 容 摘 要
本文針對浙江廣播電視集團網(wǎng)絡,以及集團網(wǎng)絡安全的建設、改造提出了相應的解決方案,并且從網(wǎng)絡和網(wǎng)絡安全兩個主要方面進行了相關的闡述。首先,對在本方案中可能使用到的計算機網(wǎng)絡、及網(wǎng)絡安全的相關技術進行了闡述、分析和比較。然后,對集團中的計算機網(wǎng)絡、以及網(wǎng)絡安全的現(xiàn)狀進行調(diào)查研究。其次,針對浙江廣播電視集團的網(wǎng)絡現(xiàn)狀進行了詳細的需求分析。最后,提出了一套針對浙江廣播電視集團計算機網(wǎng)絡、以及網(wǎng)絡安全實際情況的網(wǎng)絡、及網(wǎng)絡安全的詳細設計方案。實施本方案之后,有助于提高其計算機網(wǎng)絡系統(tǒng)的可靠性、以及網(wǎng)絡的安全性。
關鍵詞:網(wǎng)絡系統(tǒng),數(shù)據(jù)安全,網(wǎng)絡安全,局域網(wǎng)
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 錄
第一章 引言 1
第一節(jié) 選題背景與意義 1
第二節(jié) 集團網(wǎng)絡安全發(fā)展與現(xiàn)狀 1
第三節(jié) 網(wǎng)絡安全相關技術介紹 2
第二章 集團網(wǎng)絡安全系統(tǒng)概況及風險分析 4
第一節(jié) 集團網(wǎng)絡機房環(huán)境 4
第二節(jié) 網(wǎng)絡應用數(shù)據(jù)備份 4
第三節(jié) 網(wǎng)絡安全弱點分析 5
第四節(jié) 網(wǎng)絡安全風險分析 6
第三章 集團網(wǎng)絡安全需求與安全目標 7
第一節(jié) 網(wǎng)絡安全需求分析 7
第二節(jié) 網(wǎng)絡安全目標 7
第四章 集團網(wǎng)絡安全解決方案設計 9
第一節(jié) 網(wǎng)絡監(jiān)控管理系統(tǒng) 9
第二節(jié) 電子郵件安全解決方案 9
第三節(jié) 遠程數(shù)據(jù)傳輸?shù)募用?nbsp;10
第四節(jié) 服務器的安全防護 11
第五節(jié) 計算機病毒防護的加強 14
第六節(jié) 網(wǎng)絡攻擊及防護演示效果圖 15
第五章 結(jié)束語 17
參考文獻 18
致 謝 19
第一章 引言
第一節(jié) 選題背景與意義
隨著互聯(lián)網(wǎng)的普及度越來越高,全世界的計算機都能通過互聯(lián)網(wǎng)連接到一起。各種網(wǎng)上活動的日益頻繁,使得網(wǎng)絡安全問題日益突出,信息安全成為了一個重要的課題。各種各樣的網(wǎng)絡攻擊層出不窮,如何防止網(wǎng)絡攻擊,保障各項業(yè)務的順利進行,為廣大用戶提供一個安全的網(wǎng)絡環(huán)境變得尤為重要。
本論文針對浙江廣播電視集團的計算機網(wǎng)絡、以及網(wǎng)絡安全的實際解決方案。在實施了本方案之后,有助于提高集團計算機網(wǎng)絡系統(tǒng)的可靠性、以及網(wǎng)絡的安全性。認真分析網(wǎng)絡面臨的威脅,計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程,是一個安全管理和技術防范相結(jié)合的工程。首先是各計算機網(wǎng)絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執(zhí)行各項安全制度,在此基礎之上,再采用先進的技術和產(chǎn)品,構造全方位的防御機制,使系統(tǒng)在最理想的狀態(tài)下運行。
第二節(jié) 集團網(wǎng)絡安全發(fā)展與現(xiàn)狀
圖1-1網(wǎng)絡拓撲圖
浙江廣播電視集團作為省級廣電傳媒集團,現(xiàn)有計算機網(wǎng)絡于2002年10月建成,在集團的運作和管理中發(fā)揮著重要的作用。近年來隨著集團業(yè)務的發(fā)展,網(wǎng)絡應用的不斷深入,應用領域較以前傳統(tǒng)的、小型的業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)方向擴展。大部分子系統(tǒng)已接入網(wǎng)絡,遠程數(shù)據(jù)傳輸、集團資料共享、動態(tài)數(shù)據(jù)查詢、流媒體數(shù)據(jù)業(yè)務、集團網(wǎng)站運營等都在該網(wǎng)絡上傳輸,整個網(wǎng)絡的用戶規(guī)模是原計算機網(wǎng)絡規(guī)模的數(shù)十倍。隨著網(wǎng)絡規(guī)模的不斷擴大、接入點數(shù)量的增多、內(nèi)部網(wǎng)絡中存在的安全隱患問題就會愈加突出,安全日益成為影響網(wǎng)絡效能的重要問題,而互聯(lián)網(wǎng)所具有的開放性、國際性和自由性在增加應用自由度的同時,對自身網(wǎng)絡的安全性提出了更高的要求。雖然廣電集團前期的網(wǎng)絡建設有一定的安全措施,但因為網(wǎng)絡復雜性的逐步提高,網(wǎng)絡中存在隱患的可能性以及由此產(chǎn)生的危害性也大大提高,因此在網(wǎng)絡系統(tǒng)的進一步建設過程中,及時查清網(wǎng)絡隱患的必要性就體現(xiàn)了出來。
第三節(jié) 網(wǎng)絡安全相關技術介紹
要保證計算機網(wǎng)絡系統(tǒng)的安全性,還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種。
一、防火墻技術
為保證網(wǎng)絡安全,防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵,在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng),該系統(tǒng)可以設定哪些內(nèi)部服務可已被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務,以及哪些外部服務可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,確認其來源及去處, 檢查數(shù)據(jù)的格式及內(nèi)容,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有:數(shù)據(jù)包過濾、監(jiān)測型、服務器等幾大類型。
二、數(shù)據(jù)加密技術
與防火墻配合使用的安全技術還有數(shù)據(jù)加密技術,是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之 一。隨著信息技術的發(fā)展,網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。
三、認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個:第一,驗證信息的發(fā)送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數(shù)字簽名。
四、虛擬專用網(wǎng)絡(VPN)技術
虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來,構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在,仿佛所有的機器都處于一個網(wǎng)絡之中。公共網(wǎng)絡似乎只由本網(wǎng)絡在獨占使用,而事實上并非如此。
VPN技術主要提供在公網(wǎng)上的安全的雙向通訊,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。
VPN技術的工作原理:VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上實現(xiàn)安全通信,它采用復雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。
五、計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
(一)較強的查毒、殺毒能力。在當前全球計算機網(wǎng)絡上流行的計算機病毒有4萬多種,在各種操作系統(tǒng)中包括Windows、 UNIX和Netware系統(tǒng)都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒,具有查毒、殺毒范圍廣、能力強的特點。
(二)完善的升級服務。與其它軟件相比,防病毒軟件更需要不斷地更新升級,以查殺層出不窮的計算機病毒。
第二章 集團網(wǎng)絡安全系統(tǒng)概況及風險分析
第一節(jié) 集團網(wǎng)絡機房環(huán)境
目前,浙江廣播電視集團計算機網(wǎng)絡絕大多數(shù)的設備都是安放在新大樓13樓機房內(nèi)的,只有樓層交換機是分布在各樓層的設備機柜中。根據(jù)本文的現(xiàn)場勘察和了解,目前大多數(shù)信息機房在機房的裝修、溫度和濕度控制、消防、照明、防靜電、防雷等方面已經(jīng)作了很多的考慮,主要有如下方面:
一、網(wǎng)絡機房都作了可靠的防雷措施,建設有防雷接地網(wǎng),其接地電阻小于1歐姆;大樓頂部建設有避雷針。
二、所有從網(wǎng)絡機房大樓外接入網(wǎng)絡機房的數(shù)據(jù)信號,全部采用光纖接入。
三、網(wǎng)絡機房內(nèi)大多配備UPS電源系統(tǒng)。
四、機房內(nèi)鋪設防靜電地板、吊頂,對墻面進行了無塵處理。
五、安裝機房防盜監(jiān)控系統(tǒng)。
六、配備機房消防系統(tǒng)和應急照明系統(tǒng)。
七、所有樓層交換機的供電都是由機房內(nèi) UPS 通過專用的線路直接供電,與樓層內(nèi)的其它電源系統(tǒng)沒有任何連接。
第二節(jié) 網(wǎng)絡應用數(shù)據(jù)備份
在廣電集團的計算機網(wǎng)絡中大多己經(jīng)有功能數(shù)據(jù)備份與恢復系統(tǒng),它是一套基于磁帶介質(zhì)的備份與恢復系統(tǒng),有2套文件備份的License和1套Oracle數(shù)據(jù)庫備份的License,進行服務器的文件備份和Oracle數(shù)據(jù)庫的實時備份和恢復。
浙江廣電集團網(wǎng)絡中已經(jīng)有了以下幾個網(wǎng)絡安全方面的考慮:
一、病毒防護
網(wǎng)絡中使用了諾頓病毒防護系統(tǒng),該病毒防御系統(tǒng)是基于網(wǎng)絡的病毒防護系統(tǒng),在網(wǎng)絡內(nèi)能夠遠程的安裝網(wǎng)絡客戶端的病毒防護軟件,進行病毒特征庫的自動更新,集中控制和管理。但是,網(wǎng)絡中的病毒防護系統(tǒng)沒有集中控制和管理的控制臺,不能實時了解網(wǎng)絡中防病毒客戶端程序的安裝情況、病毒感染和爆發(fā)的情況。
二、外網(wǎng)接入安全防護
網(wǎng)絡目前大多沒有單獨的外網(wǎng)接入點,沒有自己的外網(wǎng)接入安全防護,使用統(tǒng)一的出口和安全策略。
三、入侵檢測系統(tǒng)
在集團總部局域網(wǎng)與其他網(wǎng)絡連接處采用的一套入侵檢測系統(tǒng)具體部署如圖2-1
圖2-1 廣電集團入侵檢測系統(tǒng)示意圖
第三節(jié) 網(wǎng)絡安全弱點分析
浙江廣電集團網(wǎng)絡系統(tǒng)安全弱點主要包括:
一、硬件弱點: 硬件隱患存在于服務器、終瑞、路由器、交換機和安全設備等設備中,一旦發(fā)生硬件的安全問題,將給主機和網(wǎng)絡系統(tǒng)的可靠性、可控性、可用性和安全性等造成嚴重損害。
二、操作系統(tǒng)弱點: 由于操作系統(tǒng)自身的漏洞和缺陷可能構成安全隱患。操作系統(tǒng)是計算機應用程序執(zhí)行的基本平臺,一旦操作系統(tǒng)被滲透,就能夠破壞所有安全措施。靠打補丁開發(fā)的操作系統(tǒng)不能夠從根本上解決安全問題,動態(tài)連接給廠商提供開發(fā)空間的同時為黑客開啟了方便之門。
三、數(shù)據(jù)庫系統(tǒng)弱點: 由于數(shù)據(jù)庫系統(tǒng)本身的漏洞和缺陷可能構成的安全隱患。
四、網(wǎng)絡系統(tǒng)弱點: TCP/IP協(xié)議本身的開放性導致網(wǎng)絡存在安全隱患。如:TCP/IP 數(shù)據(jù)通信協(xié)議集本身就存在著安全缺點,如:大多數(shù)底層協(xié)議采用廣播方式,網(wǎng)上任何設備均可能竊聽到情報; 協(xié)議規(guī)程中缺乏可靠的對通信雙方身份認證手段,無法確定信息包地址真?zhèn)螌е律矸?ldquo;假冒”可能;由于TCP 連接建立時服務器初始序號的可推測性,使得黑客可以由“后門”進入系統(tǒng)漏洞。
五、通用軟件系統(tǒng)弱點:如Web服務器等常用應用軟件本身可能存在的安全弱點。
六、業(yè)務系統(tǒng)弱點: 節(jié)目視頻業(yè)務系統(tǒng)等本身的“Bug”或缺陷可能構成弱點。
七、安全設計的弱點: 安全設計不周全可能構成系統(tǒng)防護的弱點,由于安全漏洞的動態(tài)性和安全威脅的增長性要求以及安全需求本身的限制,安全體系設計要求具有良好的可擴展性和動態(tài)自適應性。
八、管理弱點: 工具不多,技術水平不高,意識淡薄,人員不到位。
第四節(jié) 網(wǎng)絡安全風險分析
網(wǎng)絡本身所固有的結(jié)構復雜、高度開放、邊界脆弱和管理困難等特點,增加了廣電集團網(wǎng)絡系統(tǒng)的安全風險。
由于網(wǎng)絡自身的開放性和廣電集團網(wǎng)絡系統(tǒng)的特殊性使網(wǎng)絡系統(tǒng)存在很大的安全風險性,主要有:
一、人為因素:
未經(jīng)授權訪問重要信息
惡意破壞重要數(shù)據(jù)
數(shù)據(jù)竊取、數(shù)據(jù)篡改
利用網(wǎng)絡設計和協(xié)議漏洞進行網(wǎng)絡攻擊
假冒、偽造、欺騙、敲詐、勒索
內(nèi)部人員惡意泄露重要的信息
管理員失職
二、自然因素:
設備的老化
火災、水災 (包括供水故障)
爆炸、煙霧、灰塵
通風
供電中斷
電磁輻射、靜電
以上都可能引起設備的失效、損壞,造成線路擁塞和系統(tǒng)癱瘓等。
第三章 集團網(wǎng)絡安全需求與安全目標
第一節(jié) 網(wǎng)絡安全需求分析
為了確保廣電集團網(wǎng)絡系統(tǒng)的安全,其安全需求可以從安全管理層面、物理安全層面、系統(tǒng)安全層面、網(wǎng)絡安全層面、應用安全層面等方面來分析。
從安全管理要求來分析,要考慮政策、法規(guī)、制度、管理權限和級別劃分、安全培訓等,特別要考慮基層人員計算機水平不高,系統(tǒng)設計和培訓等方面要周密考慮,制定切實有效的管理制度和運行維護機制。
從物理安全要求來分析,要根據(jù)浙江廣電集團實際情況,確定各物理實體的安全級別,建立相應的安全防護機制。
從系統(tǒng)安全需求來分析,需要解決操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全、TCP/IP 等協(xié)議的安全、系統(tǒng)缺陷、病毒防范等問題。
從網(wǎng)絡安全需求來分析,要考慮系統(tǒng)掃描、入侵檢測、設備監(jiān)控和安全審計等,要防范黑客入侵、身份冒充、非法訪問。要保證信息在公共傳輸通道上的機密性,撥號線路的保密性和身份鑒別。
從應用安全和信息安全需求來分析,要解決重要終端用戶數(shù)據(jù)的加密、數(shù)據(jù)的完整性、數(shù)據(jù)的訪問控制和授權以及數(shù)據(jù)承載終端設備 (各種計算機、筆記本電腦、無線WAP終端及其它終端設備) 以及其中運行的操作系統(tǒng)的安全可靠。
因此,廣電集團網(wǎng)絡系統(tǒng)安全要重點做好以下幾方面的工作,同時也是本安全方案的設計需要解決的問題:
一、解決內(nèi)部外部系統(tǒng)間的入侵檢測、信息過濾 (防止有害信息的傳播)、網(wǎng)絡隔離問題;
二、解決內(nèi)部外部黑客針對網(wǎng)絡基礎設施、主機系統(tǒng)和應用服務的各種攻擊所造成的網(wǎng)絡或系統(tǒng)不可用、信息泄密、數(shù)據(jù)篡改 等所帶來的問題;
三、解決重要信息的備份和系統(tǒng)的病毒防范等問題;
四、建立系統(tǒng)安全運行所匹配的管理制度和各種規(guī)范條例;
五、建立健全浙江廣電集團網(wǎng)絡系統(tǒng)安全培訓制度及程序等方面的問題;
六、解決浙江廣電集團和其它相關單位部門網(wǎng)絡信息交流帶來的安全問題。
第二節(jié) 網(wǎng)絡安全目標
計算機網(wǎng)絡的安全問題與單臺計算機的安全在實際中存在著非常大的差別。網(wǎng)絡不是分裝在一個機箱內(nèi),存在著傳輸系統(tǒng)的地域分布問題。這些傳輸通信系統(tǒng)可以是有線的,也可以是無線的。這類傳輸可以在中途被截獲,存在著“中間攻擊”的問題。從攻擊的手段來看,攻擊種類和機制非常多。訪問控制和鑒別也比單臺計算機困難,網(wǎng)絡安全要特別重視防截獲,防泄露和信息加密的實施。
目前所采用的網(wǎng)絡防護方法也就是在進入計算機操作系統(tǒng)控制中的網(wǎng)絡訪問和網(wǎng)絡協(xié)議上實施的。
網(wǎng)絡防護的基本服務: 網(wǎng)絡訪問控制(MAC)、鑒別、數(shù)據(jù)保密性、數(shù)據(jù)完整性、行為的完整性、抗抵賴性、可用性等。
網(wǎng)絡安全的目的是保護在網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息的安全,概括為確保信息的完整性、保密性、可用性和不可抵賴性。
信息的保密性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息不被非授權的查看;
信息的完整性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息不被非授權的改變;
信息的可用性和可靠性指的是在計算機網(wǎng)絡系統(tǒng)中存儲、傳輸和處理的信息為授權用戶提供及時、方便、有效的服務;
信息的不可抵賴性指的是內(nèi)部人員對信息的操作不可抵賴。
為了更加完整的執(zhí)行上述網(wǎng)絡信息安全的思想,防止來自集團內(nèi)部局域網(wǎng)上的攻擊,又由于浙江廣電集團網(wǎng)絡連接關系復雜、網(wǎng)絡設備多,使用租用的國內(nèi)的通信線路,存在著傳輸線搭接竊聽或輻射接收竊聽等環(huán)節(jié)。因此要做到以下幾個要求:
1) 防止計算機病毒的蔓延
集團網(wǎng)絡眾多的用戶,可能由于內(nèi)部管理上疏忽,裝入未經(jīng)殺毒處理的軟
件或是從因特網(wǎng)上下載了帶病毒的文件。還可能來自外部黑客釋放病毒、邏輯炸彈的攻擊等,這些都對計算機網(wǎng)絡系統(tǒng)安全構成嚴重威脅。病毒廣泛地傳播,將造成網(wǎng)絡軟硬件設備的損害以至于整個網(wǎng)絡系統(tǒng)癱瘓。
2) 加強網(wǎng)絡安全的動態(tài)防護
網(wǎng)絡黑客攻擊手段、計算機病毒等都處于不斷的發(fā)展和變化中,使用目前的安全保密技術和產(chǎn)品是難以構造一種絕對安全、無縫隙和一勞永逸的網(wǎng)絡系統(tǒng)的。因此,安全的網(wǎng)絡系統(tǒng)必須具有網(wǎng)絡安全漏洞的檢測和監(jiān)控功能。通過安全檢測、監(jiān)控手段,及時發(fā)現(xiàn)網(wǎng)絡安全漏洞和各種惡意的攻擊手段,及時提供修補系統(tǒng)漏洞的建議并阻斷來自內(nèi)外的非法使用和攻擊。
3) 保障集團內(nèi)部業(yè)務系統(tǒng)的安全穩(wěn)定
由于涉及省臺與各地方臺的視頻傳輸,不可避免的會遇上各種各樣的問題,因此,在網(wǎng)絡層對業(yè)務的安全要保障得力,并且要確認信息傳輸?shù)陌踩€(wěn)定。
第四章 集團網(wǎng)絡安全解決方案設計
第一節(jié) 網(wǎng)絡監(jiān)控管理系統(tǒng)
由于浙江廣電集團的網(wǎng)絡建設已有很多年的時間了,其很多網(wǎng)絡設備都自帶了監(jiān)控及管理軟件或工具,但是這些工具在問題發(fā)生之后很難解決問題。而網(wǎng)絡監(jiān)控管理系統(tǒng)的實時映射、網(wǎng)絡瓶頸通知和設備失敗通知卻可以幫助用戶快速隔離問題,并且在員工抱怨之前解決問題。
這里對推薦的美國 CA 公司的網(wǎng)絡監(jiān)控管理系統(tǒng) (Unicenter Network & System Management)所能夠達到的功能簡單地說明一下:通過 TCP/IP 協(xié)議,不需要專門的培訓,用戶就可以配置該網(wǎng)絡監(jiān)控管理系統(tǒng),啟動網(wǎng)絡監(jiān)視管理功能后,能夠監(jiān)控的網(wǎng)絡設備包括工作站、服務器、主機、網(wǎng)橋、路由器、集線器、打印機等在內(nèi)的幾乎所有網(wǎng)絡元件。當用戶決定使用該網(wǎng)絡監(jiān)控管理系統(tǒng)軟件時,首先可以通過該軟件的網(wǎng)絡探查功能,能夠全面查看用戶網(wǎng)絡的底層構件,確認整個網(wǎng)絡的體系結(jié)構,并以一種可描述可管理的模式定位所有的網(wǎng)絡設備,并將這些設備存儲起來,迅速繪出網(wǎng)絡結(jié)構圖,同時啟動設備的監(jiān)控,而這些過程都是自動生成的,非常簡單易用,可操作性強,這對于網(wǎng)絡設備非常多、而專業(yè)網(wǎng)絡管理人員較少的企業(yè)來說就顯得非常重要。
在這個過程中,首先通過該網(wǎng)絡監(jiān)控管理系統(tǒng) 24X7 的全時設備輪詢網(wǎng)絡監(jiān)視功能,迅速識別網(wǎng)絡元件的任何問題,當監(jiān)測到問題時,可以不同的顏色顯示出來,并以通過手機、e-mail、聲音警報通知管理人員,同時根據(jù)各網(wǎng)絡元件相互之間的依賴關系,自動關閉與 有問題網(wǎng)絡元件之后的所有網(wǎng)絡元件的連接,減少冗余數(shù)據(jù)數(shù)量,避免冗余通知。此外,還能對網(wǎng)絡元件的潛在問題、網(wǎng)頁的正確性、可用性、網(wǎng)絡的性能以及系統(tǒng)資源進行有效的監(jiān)控管理。
當網(wǎng)絡監(jiān)控管理系統(tǒng)識別網(wǎng)絡失效時,在向相關人員發(fā)送警報及通知時,該軟件還可啟動一個程序來定位網(wǎng)絡失效。因此,當狀況被隔離之后,一個特定的應用程序或者腳本程序就會被執(zhí)行,或許是重啟這個服務或許是重啟計算機。這個進程是自動的,因此當相關人員收到設備失效的通知時,相應的措施已經(jīng)采取了,管理人員不用回到辦公室,因為當管理人員在收到通知時已經(jīng)知道問題己經(jīng)解決了。
在這一系列監(jiān)控與管理過程中,網(wǎng)絡監(jiān)控管理系統(tǒng)都能自動生成監(jiān)控及管理日志,并對系統(tǒng)的使用情況與趨勢形成報告,以便用戶形成較為完善的系統(tǒng)化管理,提升工作效率。
第二節(jié) 電子郵件安全解決方案
解決電子郵件安全問題,我們需要從三個方面來考慮如何應對:
1) 對帶病毒郵件、垃圾郵件等惡意郵件的過濾和封堵;
2) 對進出郵件系統(tǒng)的所有郵件進行備份,用于監(jiān)控和備查;
3) 對敏感的郵件內(nèi)容進行加密傳輸,防備在傳遞路徑上的惡意窺伺。
對集團來講,現(xiàn)實的方法是結(jié)合現(xiàn)有的成熟技術,組合出一個在經(jīng)濟上和技術上合理的解決方案,同時要保證長期的維保成本。郵件系統(tǒng)的安全解決方案包括如下三個部分:
1、電子郵件安全網(wǎng)關技術方案
通過郵件安全網(wǎng)關的部署,在病毒程序、垃圾郵件等不良信息進入集團郵件系統(tǒng)之前,便對其進行遏制、阻截,從而保證集團電子郵件系統(tǒng)的安全穩(wěn)定運行,節(jié)省郵件系統(tǒng)存儲空間,避免機密的泄漏。
在郵件網(wǎng)關硬件系統(tǒng)上整合郵件反病毒引擎,對進入集團郵件系統(tǒng)的電子郵件進行病毒檢測,采取郵件隔離、刪除以及清除病毒等操作,減少病毒對郵件服務器的攻擊。應根據(jù)互聯(lián)網(wǎng)最新病毒發(fā)展趨勢,定時升級郵件網(wǎng)關病毒庫。
2、郵件備份系統(tǒng)技術方案
在集團現(xiàn)有郵件系統(tǒng)的基礎上,實現(xiàn)對指定時間內(nèi)(如最近一年)所有收發(fā)郵件的備份,并且管理員根據(jù)郵件信息摘要(例如:發(fā)件人、收件人、主題、日期、附件名稱等)進行檢索和查看郵件全部內(nèi)容。
3、郵件加密系統(tǒng)技術方案
保護重要電子郵件不被泄密,防止內(nèi)部人員未經(jīng)許可將重要電子文檔以郵件的方式泄密,防止電子郵件被截取而引起的泄密。保證工作效率,在盡量不改變使用者收發(fā)郵件操作習慣的基礎上,保證電子郵件正常暢通使用。
考慮到文件安全擴展的需求,除電子郵件之外,信息泄密還有多種途徑。在保護郵件安全的基礎上,要考慮到日后系統(tǒng)的擴展性。
郵件安全管理系統(tǒng)綜合動態(tài)加解密技術、訪問權限控制技術、使用權限控制技術、期限控制技術、身份認證技術、操作日志管理技術、硬件綁定技術等多種技術對電子郵件進行保護。
第三節(jié) 遠程數(shù)據(jù)傳輸?shù)募用?/p>
建立基于SSL VPN技術加密訪問系統(tǒng),使得從Internet到內(nèi)部網(wǎng)絡的訪問使用SSL VPN數(shù)據(jù)加密通道,保證數(shù)據(jù)在傳輸過程中保密性。
目前能夠提供 SSL VPN 加密產(chǎn)品的廠家很多,但是本文認為在SSL VPN技術的先進性、加密傳輸?shù)乃俾省⒁约皬S家的技術服務等方面,Juniper的Netscreen SA 1000具有相對的優(yōu)勢,是其它廠家無法比的。
Juniper 網(wǎng)絡公司SSL VPN產(chǎn)品家族的Netscreen-SA 1000系列,使企業(yè)可以部署經(jīng)濟高效的遠程接入、外聯(lián)網(wǎng)及內(nèi)聯(lián)網(wǎng)安全性。用戶可從任何標準 Web瀏覽器接入企業(yè)網(wǎng)絡和應用。NetScreen-SA 1000系列使用SSL作為安全接入傳輸機制,SSL是所有標準Web瀏覽器中使用的安全協(xié)議。使用SSL使客戶無需部署客戶端軟件、無需更改內(nèi)部服務器,也無需進行成本高昂的長期維護。NetScreen-SA 1000產(chǎn)品提供先進的合作伙伴喀戶外聯(lián)網(wǎng)特性,以控制用戶或用戶組的網(wǎng)絡訪問,無需更改基礎設施、無需部署DMZ 、也無需軟件。這項功能還允許公司安全接入企業(yè)內(nèi)聯(lián)網(wǎng),使管理員可以根據(jù)不同員工、承包商和訪問者所需的資源來限制他們的接入權限。
NetScreen-SA 1000系列解決方案的主要特性與優(yōu)勢如下:
一、端到端分層安全性
端點客戶端、設備、數(shù)據(jù)和服務器的分層安全性控制,Juniper網(wǎng)絡公司 Endpoint Defense Initiative(端點防御計劃),用于提供最高的端點安全性可以根據(jù)用戶組或角色、網(wǎng)絡、設備及會話屬性來規(guī)定基于用戶身份的接入降低總擁有成本。不需要部署客戶端軟件或更改服務器,幾乎不需要長期維護。從單一平臺安全地遠程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)安全的外聯(lián)網(wǎng)接入,無需構建 DMZ、無需加固服務器、無需復制資源、或無需增加部署來添加應用或用戶簡化
二、可管理性
(一)集中管理選項提供統(tǒng)一管理
(二)用戶自助服務功能,可降低技術支持服務窗口的支持成本
(三)細粒度的審計和日志記錄
(四)3 種不同的接入方法,允許管理員根據(jù)具體目的來設置接入權限
(五)基于角色分配管理任務
三、高可用性
群集對部署選項,可為整個LAN和WAN提供高可用性。
第四節(jié) 服務器的安全防護
一、業(yè)務服務器的安全防護
(一)防火墻的安裝
這里將在Catalyst 4506交換機與服務器群的交換機之間安裝一臺高性能的防火墻,并根據(jù)服務器群中的每臺服務器的應用系統(tǒng)的情況,在該防火墻上進行一對一的安全策略配置的工作。
(二)入侵檢測系統(tǒng)的安裝
這里將在服務器群的交換機上配置一個偵聽端口,將流經(jīng)該交換機所有端口的數(shù)據(jù)包都復制一份傳送到偵聽端口上;再把入侵檢測系統(tǒng)連接到該偵聽端口,接收該端口輸出的所有數(shù)據(jù)包,并對這些數(shù)據(jù)包進行入侵分析、判斷和記錄。本文將負責完成入侵檢測安裝配置工作。
二、涉及到的設備選擇
(一)防火墻的選擇
防火墻的類型主要有:數(shù)據(jù)包過濾、監(jiān)測型、服務器等幾大類型。
1)包過濾型
包過濾型防火墻是防火墻的較初級產(chǎn)品,其技術基于網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。如圖4-1所示:
圖4-1包過濾型防火 墻的工作原理
包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2)型
型防火墻也能夠被稱為服務器,它的安全性要高過包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務器,服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到集團內(nèi)部網(wǎng)絡系統(tǒng)。如圖4-2所示
圖4-2型防火墻的工作原理
型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。它的缺點是對系統(tǒng)的整體性能有較大的影響,而且服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
本文將選用業(yè)界性能較好的、可靠性較高的Juniper 的NetScreen 5200防火墻,該防火墻的技術參數(shù)如表4-1
表 4-1 NetScreen 5200 防火墻技術參數(shù)表
物性/功能 NetScreen-5200
接口數(shù) 2個XFE 1OGigE,或8個Mini-GBIC, 或2個Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墻
5G 3DES/AFS VPN
最多會話數(shù) 1,000,000
最多VPN 隧道數(shù) 30,000
最多策略數(shù) 4000,000
最多虛擬系統(tǒng)數(shù) 5
最多虛擬LAN 數(shù) 4000
最多安全區(qū)域數(shù) 默認設置為16個,最多增加1000個
最多虛擬路由器數(shù) 默認設置為3個,最多增加500個
支持的高可用性模式 主用/備用
支持的路由協(xié)議 OSPF, BGP, RIRV1/V2
深層檢測 是
集成/重新定向,Web過濾 是/否
(二)入侵檢測系統(tǒng)的選擇
這里選用國內(nèi)擁有領先安全技術水平的天融信千兆級入侵檢測系統(tǒng)NGIDS-UF。其主要的技術指標如表4-2
表4-2 NGIDS-UF 入侵檢測系統(tǒng)技術指標表
型號 NGIDS-UF
類別 千兆IDS
規(guī)格 2U 機架式
網(wǎng)絡接口 1個10/100Base-TX: 2個千兆光纖
2wh 10/100/1000Base-TX
串口 1個RS-232C
第五節(jié) 計算機病毒防護的加強
一、在原有的病毒防護系統(tǒng)增加集中管理控制臺
新增一臺服務器,在上面安裝一套諾頓的病毒防護的集中管理控制臺。這里將安裝該服務器系統(tǒng)和諾頓的集中管理控制的軟件系統(tǒng)。
二、增加網(wǎng)絡病毒防火墻
在每個樓層交換機的上聯(lián)端接入一臺網(wǎng)絡病毒防火墻,對局域網(wǎng)內(nèi)的病毒進行區(qū)域控制:在二級單位廣域網(wǎng)入口處安裝一臺網(wǎng)絡病毒防火墻,保障二級單位的廣域網(wǎng)線路不會受到病毒數(shù)據(jù)包的影響。
涉及到的設備選擇:
(一)諾頓的防病毒集中管理控制臺
只有選用諾頓的集中管理控制軟件才能控制和管理諾頓的網(wǎng)絡防病毒系統(tǒng)的客戶端軟件。
(二)網(wǎng)絡病毒防火墻
目前有趨勢相關的硬件產(chǎn)品出售,并且該產(chǎn)品還能夠與諾頓的網(wǎng)絡防病毒客戶端軟件進行聯(lián)動。所以本文選擇部署趨勢的NVW1200網(wǎng)路病毒防火墻。該網(wǎng)絡病毒防火墻的主要功能如下:
1.執(zhí)行免的安全策略
網(wǎng)絡病毒墻對非兼容設備進行隔離修正,以確保所有設備在進入網(wǎng)絡前都安裝有最新的防病毒及關鍵的操作系統(tǒng)補丁。執(zhí)行免的安全策略可減少管理負荷,并可同時降低被合作伙伴或VPN用戶的非兼容設備感染的風險。
2.漏洞隔離
網(wǎng)絡病毒墻根據(jù)Trend Micro的漏洞評估功能,隔離網(wǎng)絡蠕蟲可利用的潛在環(huán)節(jié),使管理者有選擇地隔離薄弱(未安裝不定程序)的網(wǎng)絡段或設施,避免病毒的爆發(fā)。網(wǎng)絡病毒墻提供漏洞評估服務,并將該功能作為一個可選項。
3.靈活的、集中式管理
網(wǎng)絡病毒墻包括趨勢科技企業(yè)安全管控中心、及一個集中式、基于網(wǎng)絡的管理控制臺,它根據(jù)主機安裝永久的需要實施安全更新部署。該服務可以自動部署、或點擊管理控制臺的選項進行手工部署。
4.網(wǎng)絡掃描及偵測
網(wǎng)絡病毒墻通過掃描網(wǎng)絡流量查找蠕蟲及漏洞利用,并基于趨勢實驗室提供的最新病毒碼來自動清除感染的網(wǎng)絡數(shù)據(jù)包。另外,網(wǎng)絡病毒墻利用趨勢科技先進的啟發(fā)式技術對您的網(wǎng)絡實施監(jiān)控,并提供威脅的早期預警。
5.網(wǎng)絡病毒爆發(fā)監(jiān)控
網(wǎng)絡病毒墻通過實時監(jiān)控網(wǎng)絡流量或可疑活動來提供早期的威脅預警。并在中心控制臺上發(fā)出病毒爆發(fā)通知,立即提示管理者蠕蟲攻擊目標、受感染的主機、或具體的受攻擊的漏洞。
6.網(wǎng)絡病毒爆發(fā)防御
網(wǎng)絡病毒墻部署了Trend Micro病毒爆發(fā)防御服務,通過阻絕任何蠕蟲傳播組合,包括8地址或地址范圍、端口及協(xié)議、即時通訊渠道、文件類型擴展名、及文件傳遞。
7.自動清除損害
網(wǎng)絡病毒墻通過隔離感染的網(wǎng)絡段、主機、或客戶,進行清除及修正,阻止了再次感染。憑借自動、免清除蠕蟲(木馬)痕跡、及系統(tǒng)文件配置(system.ini)修復功能,Trend Micro的清除損害服務可以防止再次感染,降低清除成本。
第六節(jié) 網(wǎng)絡攻擊及防護演示效果圖
圖4-3網(wǎng)絡攻擊及防護演示效果圖
針對浙江廣電集團的網(wǎng)絡結(jié)構,當出現(xiàn)如下各類情況時解決方案如圖4-3所示:
1、 漏洞掃描-識別攻擊行為
2、 上傳病毒/木馬-修復系統(tǒng)漏洞
3、 啟用后臺服務監(jiān)聽-防病毒軟件
4、 遠程控制服務器-防火墻入侵檢測
5、 攻擊業(yè)務系統(tǒng)-防火墻、雙機容錯
6、 破壞系統(tǒng)數(shù)據(jù)-備份、災難恢復
7、 客戶端中毒-防病毒軟件
第五章 結(jié)束語
計算機網(wǎng)絡的可靠性和安全性是在不斷地變化的,不同的時期或者階段對網(wǎng)絡的可靠性和安全性方面的要求是不一樣的。在網(wǎng)絡的建設之初,集團網(wǎng)絡關心最多的是網(wǎng)絡的連通性,只需要網(wǎng)絡能夠傳送數(shù)據(jù)即可,對于網(wǎng)絡數(shù)據(jù)的延遲lunwen .1 kejian .com 一以及網(wǎng)絡短時間的中斷都沒有過多的要求:當網(wǎng)絡中存在著涉及到集團的關鍵性應用系統(tǒng)時,就對網(wǎng)絡數(shù)據(jù)的延遲時間、以及網(wǎng)絡的中斷時間上就有了很高的要求,在一般情況下,為了保障集團應用系統(tǒng)的連續(xù)運行,集團網(wǎng)絡系統(tǒng)是不允許發(fā)生網(wǎng)絡中斷的。因此,本文在方案的設計中就已經(jīng)考慮到要符合目前的、以 及將來的網(wǎng)絡應用系統(tǒng)的需要,同時本文設計的網(wǎng)絡系統(tǒng)的可靠性和安全性可以根據(jù)集團網(wǎng)絡業(yè)務系統(tǒng)的需要進行相關的調(diào)整,滿足變化之后的網(wǎng)絡業(yè)務系統(tǒng)的要求。
本方案是一個針對浙江廣電集團目前計算機網(wǎng)絡現(xiàn)狀的網(wǎng)絡、及網(wǎng)絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于集團網(wǎng)絡環(huán)境、以及網(wǎng)絡應用系統(tǒng)的變化,會在細節(jié)上根據(jù)實際情況進行相應的調(diào)整,如:安裝設備數(shù)量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。同時,本方案在設計、以及設備的選型上,己經(jīng)做了今后擴展的考慮。
本方案并沒有解決浙江廣電集團計算機網(wǎng)絡、以及網(wǎng)絡安全方面的所有問題,隨著計算機網(wǎng)絡、及網(wǎng)絡安全的技術不斷地發(fā)展,以及集團網(wǎng)絡應用系統(tǒng)不斷地新增,集團業(yè)務系統(tǒng)也會對集團的計算機網(wǎng)絡系統(tǒng)的結(jié)構和網(wǎng)絡安全方面提出更高的要求,實現(xiàn)后滿足集團實際的需要。
【參考文獻】
[1] 張國清.ccnp BSCI詳解.北京:電子工業(yè)出版社,2006.
[2] 拉斯特.網(wǎng)絡安全基礎[M].北京:中國郵電出版社,2006.
[3] 常曉波.CISCO網(wǎng)絡安全.北京:清華大學出版社,2004.
[4] 王達.網(wǎng)管員必讀——網(wǎng)絡安全.電子工業(yè)出版社. 2007.
[5] 《非常掌上寶系列》編委會.數(shù)據(jù)備份恢復與系統(tǒng)重裝一條龍.北京:科學出版社,2005.
[6] 張公忠.現(xiàn)代網(wǎng)絡技術教程北京:電子工業(yè)出版社,2004.
[7] 飛科研發(fā)中心.電腦防毒防黑急救.北京:電子工業(yè)出版社,2002
[8] 黃志暉.計算機網(wǎng)絡管理與維護全攻略.西安:西安電子科技大學出版社,2004.
[9] 歐陽江林.計算機網(wǎng)絡實訓教程,北京:電子工業(yè)出版社,2004.
[10] 金純.IEEE802.11無線局域網(wǎng)北京:電子工業(yè)出版社,2004
[11] 施裕琴.網(wǎng)絡安全的入侵檢測系統(tǒng)及發(fā)展研究.集團經(jīng)濟研究2006,(27):25-26.
[12] 董凱虹.網(wǎng)絡監(jiān)控管理系統(tǒng)的功能.計算機世界周刊.2006.(4):50-51
[13] 胡越明.Internet技術及其實現(xiàn).北京:高等教育出版社,2005.
[14] 陳雪著.Windows XP的完善.上海理工大學出版社,2005.8
[15] 麥肯蘭勃.網(wǎng)絡安全評估.北京:中國電力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 謝
在論文完成之際,謹向所有給予我指導、關心、支持和幫助的老師、領導、同學和親人致以崇高的敬意和深深的感謝!
首先感謝導師顧忠偉老師一直以來對我的學習、工作和生活所給予的無私關心、悉心指導和嚴格要求。尤其在論文的完成階段,得到顧老師的耐心指導和嚴格把關。顧老師嚴謹?shù)闹螌W態(tài)度、求實的工作作風、平易近人的處世風范都深深影響了我。在此謹向顧老師表示最衷心的感謝和最誠摯的敬意!
感謝浙江廣電集團科技管理部計算機科的同事,他們結(jié)合自己多年的計算機系統(tǒng)與網(wǎng)絡安全的相關經(jīng)驗,給我提出了很多寶貴的建lunwen .1 kejian .com 一和對我實習中的幫助。在論文完成之際,在此特向各位同事表示深深的謝意!
在論文的材料收集期間,得到了負責集團網(wǎng)絡工作的蔣老師的大力支持,他根據(jù)自己多年實際工作的經(jīng)驗,為我的論文寫作、改進工作提出了許多有價值的寶貴建議,在此對蔣老師表示感謝!
感謝經(jīng)濟管理學院的各位老師、同學在學習工作等諸方面的支持和幫助,這一切使我在學習期間深受教益。
最后,深深地感謝我的家人旦他們在生活和學業(yè)上給了我無私的關懷,為了支持我的學業(yè),付出了莫大犧牲。惟乞此文能夠回報這些無比的關心和厚愛!