4S企业网络安全问题及对策 毕业论文.doc

南京高等职业技术学校毕业设计（论文）题 目 4s企业网络安全问题及对策 院系名称 计算机管理系 班 级 学生姓名 支行 学号 31 指导教师 评阅老师 时 间 2011年6月15日 154s企业网络安全问题及对策摘要因特网的迅猛发展给人们的生活带来了极大的方便，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、漏洞扫描、入侵检测和反病毒等进行风险评估是很有必要的。因此本文对企业网络安全做除了相对应的策略，针对各种不同的威胁与攻击研究了解决它们的相应安全技术。接下来，在一般意义下制定计算机网络安全系统设计的策略与原则，提出了计算机网络安全的解决方案关键词：网络安全，漏洞，防范策略，发展趋势目录1、 概述12、 全面分析网络安全漏洞22.1 传输信道22.2 操作系统22.3 数据库系统32.4 网络通信协议32.5 web服务器32.6 病毒方面32.7 数据的安全存放32.8桌面pc设置32.10信息的认证和传输33 整体落实网络安全策略43.1内部网络系统防范措施43.2 外联网系统防范措施54 4s企业网络案例分析75 4s企业安全对策85.1 配置防火墙和入侵检测系统85.2 采用vlan技术95.3 配置代理服务器95.4 安装杀毒软件95.5 制定安全策略95.6网络的安全是靠安全管理9结论10致谢101、 概述互联网的各种安全威胁时刻影响着企业网的运行和管理，加强企业网的安全管理是当前重要任务。企业网是企业信息系统的核心，必须建立有效的网络安全防范体系保证网络应用的安全。 企业网面临着一系列的安全问题，受到来自外部和内部的攻击(如病毒困扰，非授权访问等)。目前国内许多企业存在校区分散的状况，各校区间通信的安全连接还存在问题。但一般的企业网安全方案存在安全手段单一的问题，大多只是简单地采用防火墙等有限措施来保护网络安全。而这些措施往往存在很大的局限性，它们不能覆盖实现整个企业网安全的各个层次、各个方位，这样的网络系统就存在很多的安全隐患。比如缺乏强健的认证、授权和访问控制等，往往使攻击者有机可乘；管理员无法了解网络的漏洞和可能发生的攻击。传统的被动式抵御方式只能等待入侵者的攻击，而缺乏主动防范的功能：对于已经或正在发生的攻击缺乏有效的追查手段；对从网络进入的病毒等无法控制等，除此以外大多用户安全意识都很淡薄，这些都是我们需要注意和解决的安全问题。本文以“实事求是”的指导思想为原则，从计算机网络面临的各种安全威胁，系统地介绍网络安全技术。并针对4s企业网络的安全问题进行研究，首先分析了企业网络系统安全的隐患，然后从构建安全防御体系和加强安全管理两方面设计了企业网络的安全问题及对策。本次论文研究中，我首先了解了网络安全问题的主要威胁因素，并利用网络安全知识对安全问题进行剖析。其次，通过对网络技术的研究，得出企业网也会面临着安全上的威胁。最后，确立了用p2dr模型的思想来建立企业网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。2、 全面分析网络安全漏洞企业网系统的安全隐患除了来自外联网络系统之外，还有企业网络系统本身的，包括操作系统、数据库系统、网络通信协议等。具体来讲，企业网络系统存在以下几项安全隐患。 2.1 传输信道：不管是内部网络系统，还是外联系统，子网之间的连接总得通过相关传输信道。一般来讲，目前的网络传输主要通过宽带ip、ddn、x.25和pstn信道。就其传输信道本身来看，存在诸如电磁泄露、信号泄露、监听/干扰、假冒通信和信息假冒等问题。而这些现象又无一例外地要对企业网络构成安全威胁。它们或是因为传输距离太远，或者传输线路质量较差，引起数据传输中的“丢包”现象，从而降低网络传输速度，甚至使远程子网间无法通信。 2.2 操作系统：毫不夸张地说，大多数网络入侵是因为操作系统的漏洞。像主数据库服务器上运行的unix、web和oa等辅助服务器上运行的windows nt或novell等，无一例外都有漏洞。另外，在大部分网络操作系统中，为用户提供的方便的通信功能和共享设置，也为黑客攻击和病毒感染留下了“可乘之机”，如unix系统的远程用户登录、nt系统中基于netbios的文件共享和打印机共享等功能等。 2.3 数据库系统：任何企业网络的数据库中都存放着企业的关键数据和重要资料，一旦因管理员管理不善而造成数据库口令被盗用，就会使貌似安全稳定的企业网络核心机构变得相当脆弱。 2.4 网络通信协议：目前大多数企业网络系统所采用的网络通信协议是tcp/ip、http、ftp、smtp、telnet等，这些协议大多先天不足和带有安全漏洞。例如，在tcp/ip协议的近期版本中，最大的安全问题是缺乏有效的身份认证和鉴别机制，通信的双方很难确定对方的确切身份及通信时的物理位置等，网络攻击者们往往利用这些安全漏洞来对企业网络进行频繁攻击。 2.5 web服务器：www服务器是内外部网络连接的纽带和堡垒，因而最容易成为黑客主动攻击的对象。 2.6 病毒方面：成千上万的网络病毒肆虐在网络环境中，其危害程度甚至高于黑客的恶意攻击。 2.7 数据的安全存放：由于网络中心，特别是主数据库存放着企业网络全局的所有重要数据，这些数据和信息甚至就是企业的生命，像电信、移动、寻呼等通信企业的数据中心系统所保存的就是所有通信用户的基本信息资料和通信计费数据，如果这样的数据中心遭到毁坏，其后果将使企业遭到灭顶之灾。 2.8桌面pc设置：网管员通常都将安全防范的重点集中在服务器上，忽略了客户机和桌面pc的相关设置。特别是某些网管员在安装软件时，为了方便而将客户机或桌面pc设置为完全共享。而某些工作人员又习惯于将一些自己处理过的企业机密文件存放在自己的文档中，或在自己的硬盘上留有备份，这就有可能使得某些重要文件在内部网上随意地流传，为网络系统留下了安全隐患。2.9关注后院起火：网络内部人员，由于对自己的网络非常熟悉，又位于防火墙后端，也就有可能给网络安全带来威胁。网络中可能存在一些绕过网络出口的通道，例如某些子网擅自和一些外部单位连接、某些pc采用拨号方式上网、某些非内部人员外部拨号进入等等，这些都是极大的安全隐患。 2.10信息的认证和传输：大型企业在组建网络时，典型的方式是企业各部门所建的子网和计算中心子网建立在同一个局域网内，尤其是管理机构位于同一栋大楼中时。这种建制虽然方便了网络的建设与管理，但也使得从网上窃取信息变得更容易。而像电信、移动、银行、税务等单位，是上有省公司（局），下有区、县分公司的大中型企业网络，内部用户较多，可阅览的机密要件的权限也各不相同，这就需要建立一个安全的身份认证和存取控制机制。尤其值得注意的是，传统的印章制度在一定范围内无法发挥作用，这就要求安全系统能提供这方面的保障，使得信息在传输、存储、共享过程中，既不被非法篡改，也无法进行抵赖。 因此，一个网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意造成的。所以，网络安全是一个系统的、多层面的和全方位的系统工程。 3 整体落实网络安全策略3.1内部网络系统防范措施 病毒防护：有针对性地选择性能优秀的专业网络防病毒软件，是网络系统免遭病毒侵扰的重要保证。如kill网络防毒软件系统，具有较好的网络病毒防范功能，用户可以根据本企业网络的拓扑结构来选择合适的产品。需要注意的是，一个完善、全面、可靠、实用的网络病毒防御系统，不能仅仅使用一种品牌产品，还应同时结合其他防病毒软件，如瑞星、kv300等一起使用，这样才能有较好病毒防范能力。因为，不同品牌的网络防病毒软件，在病毒防范机制上有完全不同的个性，而当前的网络病毒不但种类繁多，而且病毒破坏原理和方式千差万别，要想彻底剿杀网络中可能存在的病毒，非得采用这种“大兵团”的作战方式不可。 信道传输的安全：有些可以要求信道提供商通过改造线路质量来完善，另外一些则可以由网络系统自己完善。例如，在大中型企业中，技术力量相对较强，大部分数据库信息的采集和处理都需要自已二次开发，这样，就可以注入信道传输方面的安全措施。比如可采用对应用程序加密、对通信线路（主要是ddn）加密，或采用vpn虚拟专用网络等较好的数据安全传输方案，完善网络安全防范体系。 内部网络安全审计：如果说防火墙是一道保卫内部网络的重要关卡，那么网络安全审计则是一支在网络内部值勤的网上巡警。网络安全审计能够帮助对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，它是评判一个系统是否真正安全的重要尺度。例如，复旦光华s-audit审计系统，只要安置在大中型企业网络中心数据库服务器所在的网段上，就可保证信息的收集、分析、统计、存储、报警等顺利进行。 内网ip地址与mac地址绑定：为了从物理上保证网络的安全性，特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料，完全可以将企业内部网络中所分配的ip地址与电脑网卡上的mac地址绑定起来，使网络安全系统在侦别内部信息节点时具有物理上的惟一性。显然，对于诸如电信、移动、银行、证券、税务等单位，因其网络系统完善、信息点广泛、人手一台pc、每人的口令各自保管，为mac地址与ip地址捆绑创造了条件。 操作系统和数据库管理：在安装操作系统和数据库后，需要打的补丁一定要打，就是系统运行了一段时间后，厂家再次推出的补丁也最好补上。而该关闭的协议一定要关闭，尽可能踢除一切可能存在的安全隐患。对于数据库，不管是sybase 还是lotus notes，它们都有一套安全机制，可以充分利用，减少内部网络用户利用应用系统漏洞进行的攻击。 主要数据库服务器采用小型机：计算机病毒一般都是针对具有统一、标准、广泛应用的网络环境，所以，现代网络病毒大都是针对windows系列和应用广泛的数据库系统的。有许多事关用户权益的企业，像电信、移动、银行、证券、税务等单位组建的网络系统，其主要数据库服务器不仅硬件必须采用小型机，操作系统也要采用由小型机厂商自己开发的专用产品，数据库也必须是专门为这类小型机开发的。这种专用系统，因其硬件和软件的专用性而无法普及，因而也就不为一般病毒制造者所看好，更谈不上去为此系统专门制造病毒了。 数据备份及恢复系统：大中型企业网络系统，其系统各子网不可能都在同一座大楼内，有许多子网分布在离网络中心几公里甚至几十公里之外的下属单位。一般来讲，可将网络系统的重要数据集中在企业网络中心管理，但有的企业因其业务发展的需要，下面的子网系统也有自己独立的数据库系统，像电信系统，不仅省公司有计费业务系统，地市公司也有计费业务系统，就是县公司也有计费业务系统，这些系统既有上下级之间的关联控制，又有相对的独立性，所以必须建立数据异地备份中心。如采用以太网方式的磁带库备份系统来处理数据的备份等。 其他网络防护手段：网络的安全防范并非仅仅针对黑客和病毒，还应包括系统自身的物理安全防范，除了采用应有的如双电源双风扇、磁盘镜像、服务器主备结构等设备冗余外，还应采用必要的防雷、防静电、防电磁干扰以及磁盘消磁等安全防护手段。 3.2 外联网系统防范措施 安装防火墙：在企业内部网络与外部网络之间安装防火墙，隔离内外部网络，并将防火墙设置为使所有进出内部网络的信息全部经由防火墙，而外部用户通过网络防火墙时，只能访问事先设置的由内部网数据库系统所指定的端口，并指出www服务器的http协议以及匿名ftp协议，其他权利一概禁止。 安装隔离服务器：像电信、移动等行业系统，从提高生产效率、方便客户以及自身业务发展的需要出发，开办了许多由个人代办或由银行代收的营销与收费系统。虽然这些代办系统中只有几台终端，但这些终端在收取话费或办理客户入网手续时，必须访问本企业网络的数据中心。为了企业网络的安全，一般的方法是专门安装一台前置隔离服务器，使这台隔离服务器作为内部数据与外部数据交换的中间环节，从而达到确保中心数据库安全的目的。 安装电子申报服务器：必须接入internet的企业网，为了保证企业网络中心的数据安全，可安装www数据传输的电子申报服务器，并对www信息进行角色身份的分级管理，保证信息的真实、完整和加密，这同样是非常必要的安全手段之一。例如在青鸟网关防火墙jb-fw上，直接增加角色认证就是一种比较方便的电子申报服务器方式，该套系统主要由防火墙、安全客户端和密钥管理中心三个部分组成，具有较强的安全防护作用。 外部用户访问内部信息安全措施：根据传统网络管理经验，外部用户访问内部信息比较安全的方法主要有两种: 一是可以对政府部门或公众开放的相关信息，如上报报表、企业黄页和产品简介等信息，放在防火墙之外的专用服务器上; 二是在外部用户有必要访问内部信息时，如与电信和移动签订了收费或营销代办协议的代办站点或企业，可专门为其设置数据库访问专用端口，或授予仅仅支持www服务的http协议和匿名的ftp协议的权限，使外部用户在访问内部信息时，必须通过地址转换才能访问，其他则一律禁止。 访问internet的其他安全措施：除了以上安全防范措施之外，还需要考虑对相关用户个人访问互联网的安全设防问题，具体做法主要有： 对于通过isdn或pstn方式访问internet的笔记本电脑用户，要求其笔记本电脑除了操作系统和相关应用软件之外，一概不许存储涉及机密的数据和内容，包括备份文件； 下级部门若需要上internet，最好单独配备一台不与企业网连接的专用pc机，使这台专用pc通过拨号访问internet，其他企业网上的pc机一律不许采用拨号方式上网。或者采用在公用网站（如政府网站或isp等）上租用服务器对外发布信息，使各个部门通过专门配置的pc机定期向服务器传送信息； 需要频繁访问internet，又必须工作于企业网上的某些特殊个人用户，可以采用安装网络隔离卡或双硬盘的办法来完成； 为了有效防止网上用户私自利用单位电话线上网，除需要可以访问internet的专用电话线路外，其他电话线则通过电话局直接屏蔽连接isp或icp的电话号码（如163、990、169、165等)，杜绝个人私下通过电话线路访问internet的可能； 对于大中型企业网络系统的安全架构设计，还可以采用将各个子网的网段相互独立和相互隔离的方法，根据具体需求将各子网处以不同级别的安全保护策略。如中心机房是最高安全级别，可安全地访问其他公开的资源、传输数据，并防止外部对内部计算机的非法使用，对内网实现功能强大的网络审计。其他各部门子网则可以在允许的范围内访问资源。 总之，建立一套完整、完善的网络安全防御系统，达到既可方便地对外提供各种服务，又能有效地保护内部网络安全的目的，是非常重要的建网策略。当然，网络安全的建设并不是一劳永逸的事情，各企业还应随技术的发展，不断完善自己的网络系统。4 4s企业网络案例分析4.1问题描述企业基本状况n台mac，n台电脑，1台服务器；防火墙一台， 两台d-link 24口交换机，一台tp-link24口交换机。电脑联网总是不稳定，连连出现断网的现象。存在vpn搭建的人保网系统。4.2解决方案 检查每台电脑发现我们的机器都正常，没有问题。网络设备也正常。于是认为是单位的某台电脑可能中了“arp”的病毒，这种病毒有些杀毒软件很难根除，于是便在局域网内展开了arp 病毒捕杀过程。 找出病毒的根源首先打开局域网内所有电脑，随后下载了一款名为“antiarpsniffer”的工具，这是一款arp 防火墙软件，该软件通过在系统内核层拦截虚假arp 数据包来获取中毒电脑的ip 地址和mac 地址。此外，该软件能有效拦截arp 病毒的攻击，保障该电脑数据流向正确。如图:使用“antiarpsniffer ”查找感染毒电脑时，启动该程序，随后在右侧的“网关地址”项中输入该局域网内的网关ip，随后单击“枚取mac ”，这时该软件会自动获取到网关电脑网卡的mac 地址。mac 获取后单击“自动保护”按钮，这样“antiarpsniffer ”便开始监视通过该网关上网的所有电脑了。片刻工夫，便看到系统的任务栏中的“anti arpsniffer ”图标上弹出一个“arp 欺骗数据包”提示信息。这就说明该软件已经侦测到arp 病毒。于是打开“antiarsniffer ”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息，这就是“antiarpsniffer ”程序捕获的arp病毒信息。其中“网关ip地址”和“网关mac地址”两项中是网关电脑的真实地址，后面的欺骗机mac地址就是中arp病毒的mac地址。arp病毒将该局域网的网关指向了这个ip地址，导致其他电脑无法上网。小提示：arp 病毒病毒发作时的特征中该病毒的电脑会伪造某台电脑的mac 地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。获取欺骗机ip“antiarpsniffer ”虽然能拦截arp 病毒，但是不能有效地根除病毒。要想清除病毒，还要找到感染arp 病毒的电脑才行。通过“antiarpsniffer ”程序，就获取了欺骗机的mac ，这样只要找到该mac 对应的ip 地址即可。2点击按钮查找攻击源1点击相应的记录获取ip 地址，用网管工具“网络执法官”，运行该软件后，在“指定监控范围”中输入单位局域网ip 地址段，随后单击“添加/修改”按钮，这样，刚刚添加的ip 地址段将被添加到下面的ip 列表中。如果局域网内有多段ip，还可以进行多次添加。添加后，单击“确定”按钮，进入到程序主界面。“网络执法官”开始对局域网内的所有电脑进行扫描，随后显示出所有在线电脑信息，其中包括网卡mac 地址、内网ip 地址、用户名、上线时间以及下线时间等。在这样我就可以非常方便地通过mac 查找对应的i p 地址了。清除arp 病毒，通过ip 地址又找到了感染病毒的电脑，首先就是将这台电脑断网，随后在该电脑上运行“arp 病毒专杀”包中的“tsc.exe ”程序，该程序运行后，自动扫描电脑中的arp 病毒，片刻就将该电脑上的arp 病毒清除了。 总结 arp 病毒导致局域网不稳定，根除arp 病毒就可以使每台机器正常上网。5 4s企业安全对策4s企业网络的需求不同于其他一般的企业，他需要一个特殊的网络安全模型，多企业重视提高企业网的边界安全，暂且不提它们在这方面的投资多少，但是大多数企业网络的核心内网还是非常脆弱的。企业也对内部网络实施了相应保护措施，如:安装动辄数万甚至数十万的网络防火墙、入侵检测软件等，并希望以此实现内网与internet的安全隔离，然而，情况并非如此!企业中经常会有人私自以modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁，从某种意义来讲，企业耗费巨资配备的防火墙已失去意义。这种接入方式的存在，极有可能使得黑客绕过防火墙而在企业毫不知情的情况下侵入内部网络，从而造成敏感数据泄密、传播病毒等严重后果。实践证明，很多成功防范企业网边界安全的技术对保护企业内网却没有效用。于是网络维护者开始大规模致力于增强内网的防卫能力。安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容，4s网络安全防范体系构建是以安全策略为核心,防护，检测和响应为实施方法,并通过安全培训加强所有人员的安全意识，完善安全体系安全单元环境。安全体系的示意图如图所示。上图 安全防范体系针对以上4s企业网网络安全体系应用以下安全技术来实现： 5.1 配置防火墙和入侵检测系统在4s企业网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种将内外网隔离的技术， 普遍运用于4s企业网安全建设中。防火墙可以有效地隔离内部网与外部网， 保护4s企业内部网络免遭非法的侵入。网络安全检测工具是一个网络安全性评估分析软件，不时的扫描分析网络系统， 网络管理员根据检测的报告系统分析存在的弱点和漏洞，及时采取补救措施，以达到增强网络安全性的目的。基于网络的入侵检测系统，对监视网段中的各种数据包进行特征分析，会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。5.2 采用vlan技术按4s企业部门拥有不同的应用业务以及不同的安全级别，有限制非法访问可以运用 v l a n技术。如使用三层交换机基于端口划分技术将网络分段并进行隔离，实现访问控制。 5.3 配置代理服务器在计算机中心机房配置访问控制列表，使用二级防火墙，并利用代理软件配置代理服务器，在代理服务器上安装双网卡，连接外网的网卡使用公网i p地址，连接内网的网卡使用私有地址客户机 i p地址与代理服务器内网 i p地址在同一网段，网关ip为代理服务器内网ip地址。机房机器通过代理服务器连接互联网，可以控制前往internet的所有用户的流量。5.4 安装杀毒软件在整个4s企业网中只要有可能感染和传播病毒的地方都采取相应的防病毒手段，安装相适应的防杀毒软件，有效地防止病毒在4s企业网上感染、传播和发作。对防病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安全管理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题，比如说防止网络攻击方面， 尽管使用了入侵检测系统和防火墙的联动技术，但是，目前的入侵检测系统对未知的攻击检测能力较弱，且存在误报率太高的缺点。这些问题有待我们作进一步的探讨和改进，不断的分阶段完善安全防范体系。5.5 制定安全策略安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行的准则的正规陈述它是一个成功的网络安全体系的基础与核心。业务需求和风险分析是安全策略的主要制定依据。校园网络的安全策略是依据校园网的业务需求描述了校园网近期安全目标和长期安全目标，以及安全风险评估分析，不同安全评估标准中保护对象的安全等级方面的内容5.6网络的安全是靠安全管理安全管理贯穿整个安全防范体系，是安全防范体系的核心，代表了安全防范体系中人的因素。网络系统的安全性不只是技术方面的问题，如果日常管理上没有相应规章制度来管理约束，再先进的软件技术, 硬件设备对网络系统的安全来说也是不安全的。一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实,安全管理主要是对安全技术和安全策略的管理， 安全策略为安全管理提供管理方向，安全技术是辅助安全管理的措施。当网络出现攻击行为或其它一些安全威胁时，无法进行实时的检测、