浅谈企业Intranet 网络安全系统建设.doc

文库下载 免费文档下载/本文档下载自文库下载网，内容可能不完整，您可以点击以下网址继续阅读或下载：/doc/585ce2c48bd63186bcebbc9e.html浅谈企业Intranet网络安全系统建设计算机网络安全中国电力教育2008年研究综述与技术论坛专刊浅谈企业Intranet网络安全系统建设吴永强X(华北电力大学计算机科学与技术学院,河北保定 071003)摘 要:在国民经济信息化进程中,企业为了提高自身的竞争力,都在尽可能的利用InternetPIntranet技术所带来的机遇和挑战,来提高工作效率和管理科学水平。但由于国内网络通信安全建设还存在很多缺陷,所以企业自身的信息及网络的安全就成为了亟待解决的问题。关键词:Intranet;结构设计;安全性;管理企业Intranet内部网系统是一个集计算机技术、网络通1.主干网设计主干网大多采用快速以太网或以上的类型,快速以太网是一个全面支持网络管理和多媒体通讯的全动态交换式网络。整个主干网以企业的计算机中心机房为中心节点,向外辐射。通过各部门或单位等几个节点构成主干网。中心机房配置企业级交换机作为网络中心交换机,如CiscoCatalyst5000。为实现网络动态管理和虚拟局域网,在中心节点交换机上还配置第三层交换模块和网络监控模块。主干各节点及服务器采用100M或以上进行连接,普通工作站采用交换式100M连接。2.部门级局域网设计企业中原有的较小规模的局域网服务器以100M或以上速率连接至主干交换机上,部门局域网采用部门级交换机,应支持网络监管功能,如CiscoCatalyst2950等。讯技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体,连接生产、经营、维护、运营子系统,是一个面向企业日常业务、立足生产、面向社会服务,辅助领导决策的计算机信息网络系统。因此信息技术的安全应用对于企业来说具有很高的重要性。现阶段,网络中的安全隐患主要存在两方面:来自内部人员的各种具有威胁性的操作和来自外部的病毒、后门程序及各种攻击行为。因此网络安全建设的策略应以内部监控外部防范的建设思路,而不是简单建立一套只具有对外防火墙体系或入侵检测体系的防范系统。一、网络拓扑结构设计企业In/doc/585ce2c48bd63186bcebbc9e.htmltranet网络一般由主干网,部门局域网、Internet接入网和远程访问系统组成。图1 企业Intranet网络拓扑3.Internet接入网设计Internet接入系统由快速以太主干网连接部分、防火墙部分、Internet信息服务部分、用户管理组成,如有需要也可添加计费网部分。网络服务器和网管工作站可全部采用HP公司的高档PC服务器和工作站,路由器采用Cisco公司的2800系列通过DDN专线与CHINANET相连。防火墙可采用CiscoASA5500。Web服务器程序可采用微软的IIS4.0等。4.远程访问系统设计(WAN)企业的远程访问系统包括通过公用电话网和通过CHI2NANET构成的企业内部虚拟专用网络(VPN)两部分。适用(,05390浅谈企业Intranet网络安全系统建设件解决方案,适用于NetWare和WindowsNT网络操作系统。它由两台服务器组成,一台服务器称为主服务器,另一台称为备份服务机器(备份机)。在网络正常运行情况下,主服务器响应全部的网络服务请求,负责执行全部的服务器任务,而且所有的工作站都登录到主服务器上。在主服务器发生故障的情况下,备用机能自动启动为主服务器。全面代替主服务器响应全部的网络服务请求,直至主服务器被恢复。由于采用了镜像等机制,备份服务器和主服务器的数据和程序完全一致,不会出现数据丢失的情况。STANDBYSERVER的最大的好处是主服务器和备份机的硬件不必完全一致,它们可以有不同的处理器、不同的总线结构和不同的磁盘设备等。跟SFTIII、DATAWARE等双机热备份相比,STANDBYSERVER具有极高的性能价格比。3.安全备份及灾难恢复企业最重要的资产不是网络硬件,而是网络运行的数据。如果不能保证数据的安全,对网络进行的大量投资就失去了意义。备份方法可以分为硬件备份和软件备份。/doc/585ce2c48bd63186bcebbc9e.htmlRAID技术就是一种实现单机数据备份的硬件解决方案,适用于多种网络操作系统。它在一台服务器上利用多块硬盘进行工作,每块硬盘根据采用RAID技术的级别不同保存数据的方式和内容也不一样。该技术可以实现高可靠性的备份机制。但是,这种备份方式不能防止逻辑错误。据有关资料统计,系统错误有80%以上属于人为误操作。发生逻辑错误时,硬件备份只会将错误复制一遍,而不能保护数据。实际上,硬件备份应称为硬件容错。软件备份指的是把数据保存到其他介质里,当系统出错时,备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误,因为备份介质和系统是分开的,错误不会复制到存储到介质里。这意味着只要保存足够长的历史数据,就可以恢复正确的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统,是网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。为了获得更好的效果,最好使用商业备份软件,而不要使用操作系统集成的简单备份工具。如CA公司的ARC2serveIT备份软件,完全可以满足企业网络系统的备份需求。三、网络管理及监控网络在最初构建时,不管硬件功能如何强大,软件技术如何先进,没有好的网络管理,网络的安全性最终都无法真正得到保证。网络管理的目的就是利用一套对计算机网络进行规划、设计、操作运行、管理、监控、分析等手段,充分利用资源、提供可靠的服务。当前,网络的规模越来越大,用户日益增多,于企业本部以外、市内那些快速以太网无法连接的用户组成。这些部门通过公用电话网和Cisco公司访问服务器直接访问总局的Intranet网络。而对于市区以外的部门和单位,则利用CHINANET和Internet网及数据加密技术构成企业的内部虚拟专用网,拓扑结构如图1所示:二、网络可靠性及安全性设计1.网络安全现在许多系统侵入者都非常隐蔽,他们有来自企业外部的,也有来自企业内部的。另一方面,由于近年来员工计算机使用水平普遍提/doc/585ce2c48bd63186bcebbc9e.html高,加之Internet网络资源种类及获取方式的推陈出新,使企业内部行为对系统安全构成的危害几率不断提升。因此,企业除了关注外部Internet对企业业务的影响之外,同时也要充分考虑到企业内部网络的安全问题。对外若没有合适的防火墙解决方案,企业的系统就会成为网络黑客们的众矢之的。恶意闯入来自四面八方,并进行简单的恶意行为,例如:信息偷窃,甚至故意破坏。给企业系统安全造成潜在的最大损害,而当其所造成的危害被发现时往往已为时已晚。有效的网络安全策略必须包括防火墙的采用,此防火墙应具有管理简单、功能先进等特点,并且能够保证对所有系统实施-防弹.保护。一个优秀的防火墙应具有邮包级保护、灵活的部署、范围广泛的保护、TCP状态提醒邮包过滤技术、TCPPIP堆栈保护、网络地址翻译、入侵检测等功能。企业内部由于网络线路监控实现比较复杂,加之早期观念认为内部攻击几率较小,放松了对内网防范的警惕,使企业内部成为了破坏者青睐的攻击源基地。有效的网络安全策略必须包括可网管交换机的采用。终端接入层是内部恶意行为或干扰进入网络的第一道关卡。如果能从这一层将这些行为或干扰屏蔽掉,不仅可以保证网络的安全,同时还可以变相的提高网络可用带宽。防范这些行为或干扰,我们可以从以下几个方面进行:(1)防止非法用户接入:内部非法人员一般在接入网络时都会使用一个全新的MAC地址;网络干扰或病毒有时也会利用新的MAC地址进行传播,来避免被网络管理人员查到。鉴于此种表现,可以在终端接入接口设置上端口安全控制(如:该接口只允许某个MAC地址的数据进行传送)。(2)防止恶意行为或干扰:恶意行为或干扰在网络通信时的表现都是有规律的,网络管理人员可以借助于接入层和汇聚层交换机的性能监控、MAC地址跟踪、网络监控、流量分析等功能,加上网络中监控主机的报警提示,迅速定位,隔离并清除恶意行为或干扰的源头。2.网络服务容错计算机网络系统是整个企业业务运行的平台,服务器是整个网络运行的心脏,它能否可靠运行直接影响到企业日常业务的运作。为解决服务器的容错问题,可采用性价比很高的STANDBYSERV/doc/585ce2c48bd63186bcebbc9e.htmlER技术。级浅谈企业Intranet网络安全系统建设一个网络管理系统应具有以下功能:(1)应具有同时支持网络监视和控制两方面的功能。(2)能够管理网络各协议层。(3)应具有尽可能大的管理范围。(4)应使用尽可能小的系统开销。(5)可管理不同厂家的网络设备。(6)可容纳不同的网络管理系统。(7)网络管理应符合标准化。网络管理系统构成:一个网络管理系统由多个部件组成。包括:网络管理协议;网络管理工作站;代理;管理信息库。网络管理平台的选择:最常见的网络管理平台有HP的OpenView、IBM的Net2View6000等,不过它们都需要UNIX操作环境。Windows环境的网管软件有Cisco的CiscoWork、3COM的Transcend、BayNetworks的Optiviity、Cabletron的Spectrum,Novell公司的通用网管软件Managewise等。而选择网络管理的平台的一般是根据网络设备的品牌和型号和网络操作系统的类型。建议企业选择那些支持不同操作平台、不同通信设备的管理平参考文献:台,如:Managewise。391作为基于SNMP标准的开放平台,ManageWise可以帮助您从一个单点完成所有的管理任务)包括从Novell目录服务(NDSTM)监视和NetWare、WindowsNT服务器、交换机路由器等网络设备管理到桌面管理和软件分发的一切事情。甚至可以分析网络的流量、执行病毒防护以及网络设备清单和健康报告任务)而完成所有这些事情都不必离开您的桌面。这些功能连同超前的网络计划和优化,在ManageWise缩减网络总拥有成本方面发挥了至关重要的作用。1Anchor,Zydallis,Gunsch&Lamont.ExtendingtheComputerDefenseImmuneSystem:NetworkIntrusionDetectionwithaMultiobjectiveE/doc/585ce2c48bd63186bcebbc9e.htmlvolution2aryProgrammingApproach.Intheproceedingsof1stInternationalConferenceonArtificialImmuneSystems(ICARIS-2002),UniversityofKentatCanter2bury,UK,September9th-11th,2002.2龚俭,陆晟,王倩.计算机网络安全导论M.南京:东南大学出版社,2000.3DBPOL.http:PPPwebPCNPindex.html,2008.(上接第360页)环境建模进行了分析,实现了机器人的图形仿真,有利于对机器人的运动学问题的分析,并且可以通过机器人的动画显示来观察机器人的运动情况,验证运动学分析的正确性,这比操纵实际设备安全、方便、快捷。参考文献:1段新昱.虚拟现实基础与VRML编程M.北京:高等教育出版社,2004.2汪兴谦.VRML与Java编程实例讲解M.北京:中国水利水电出版社,2001.3雷运洪,吴平东.基于VRML的遥操作