网络安全毕业设计企业网络中信息安全维护

1、毕业设计毕业设计毕业设计 题 目： 系部（院）： 专 业： 学 号： 姓 名： 指导教师： 内容摘要内容摘要 现代计算机系统功能日渐负责，网络功能日渐强大，正在对社会的各行各 业产生巨大的影响，但同时对于其开放性的特点，使的安全问题越来越突出。 然而，随着人们对计算机网络的以来依赖程度日渐加深，网络安全也表现的越 来越重要。网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安 全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻 击与防御技术交替递升，原来网络股固有优越性的开放性和互联性间接变成了 信息的安全一环。网络安全已变成越来越棘手的问题，只要是介入到因特网中 的主

2、机都有可能被攻击或者入侵，而遭受到安全问题的困扰。我们经常可以听 到黑客对莫企业的信息资源进行入侵、篡改和破坏的报道，所以分析和研究增 强网络的安全功能，构建一个安全的企业网络系统是非常重要的。 关键词：网络安全关键词：网络安全 信息交流信息交流 信息信息 攻击攻击 目目 录录 一、 绪论 .1 （一） 问题的提出.1 （二） 现阶段网络安全的分析.1 1、黑客的攻击.1 2、管理的欠缺.1 3、网络的缺陷.2 4、软件的漏洞.2 5、企业网络内部.2 二、 网络安全策略 .3 （一） 防范的重点和对象.3 1、对外.3 2、对内.3 （二） 企业网络安全方案.3 1、在公司网络中采用 vpn

3、 技术.3 2、采用防火墙技术（屏蔽子网体系结构）.4 3、入侵检测技术.5 4、使用 aaa 服务器进行远程用户的验证.6 （三） 实验验证.7 （四） 网络内部维护工作.13 1、限制员工的工作系统权限.13 2、更换管理员账户.14 3、关闭不必要的端口.14 4、隐藏 ip 地址.15 5、对 ie 进行安全设置.15 三、 结论 .16 参考文献.18 企业网络中信息安全维护企业网络中信息安全维护 一、一、绪论绪论 （一）（一） 问题的提出问题的提出 国际标准化组织（iso）将“计算机安全”定义为：“为数据处理系统建立 和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和

4、恶意 的原因而遭到破坏、更改和泄漏” 。上述计算机安全的定义包含物理安全和逻辑 安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对 信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引 申，即计算机、网络系统的硬件、软件及其系统中的数据受到保护，不因偶然 或恶意的原因而遭破坏、更改或泄露，系统能连续可靠、正常地运行，使网络 服务不中断。自网络问世以来，资源共享和信息安全一直作为一对矛盾体而存 在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出， 各种计算机病毒和黑客（hackers）对网络的攻击越来越激烈，许多企业遭受破 坏的事例不胜枚举。

5、（二）（二） 现阶段网络安全的分析现阶段网络安全的分析 当前的网络面临的主要威胁主要来自下面几方面： 1、黑客的攻击 黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然 而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知 的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚 发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客 总是可以使用先进的、安全工具不知道的手段进行攻击。 2、管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上， 很多企业、机构及用户的网站或系统都疏于这方面的管理。据 it 界企业团体

6、 itaa 的调查显示，美国 90的 it 企业对黑客攻击准备不足。目前，美国 7585的网站都抵挡不住黑客的攻击，约有 75的企业网上信息失窃，其 中 25的企业损失在 25 万美元以上。 3、网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存 的 tcp/ip 协议族，缺乏相应的安全机制，而且因特网最初的设计考虑是该网 不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可 靠、服务质量、带宽和方便性等方面存在着不适应性。 4、软件的漏洞 随着软件系统规模的不断增大，系统中的安全漏洞或“后门 ”也不可避免 的存在，比如我们常用的操作系统，无论是 wi

7、ndows 还是 unix 几乎都存在 或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件、等等都被 发现过存在安全隐患。大家熟悉的冲击波、震荡波等病毒都是利用微软系统的 漏洞给企业造成巨大损失，可以说任何一个软件系统都可能会因为程序员 的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威 胁之一 。 5、企业网络内部 网络内部用户的误操作，资源滥用和恶意行为再完善的防火墙也无法抵御 来自网络内部的攻击，也无法对网络内部的滥用做出反应。 二、二、网络安全策略网络安全策略 （一）（一）防范的重点和对象防范的重点和对象 1、对外 防止外部的非法访问，防止黑客的入侵，保证整个

8、企业内部网络的安全， 保证企业的网络通信的畅通。 2、对内 公司内部可能有一些员工对公司有不满情绪，对企业的网络直接发起攻击， 因为他们的计算机直接在企业防火墙的内部，对企业网络内部发起攻击会比外 部的黑客入侵有更大的危险性，防火墙无法了解和阻断这些攻击，因此内部网 络安全的防范必须给予高度的重视。 3、重点部门的防范 企业内部一些重点部门（如财务部）由于这些部门存放有公司的一些重要 资料，因此必须重点保护。 （二）（二）企业网络安全方案企业网络安全方案 1、 在公司网络中采用 vpn 技术 虚拟专用网络(virtual private network，vpn)是指将物理上分布在不同地点 的局

9、域网，通过公共网络（internet）构建成一个逻辑上的专用网络，实现安全 可靠、方便快捷的通信。 隧隧道道 vpn服务器 vpn服务器 internet 局域网局域网 图 2-1 vpn 的作用原理 intranet vpn（简称内部 vpn）是企业的总部与分支机构之间通过公网构筑 的虚拟网。 intranet vpn 是一种网络到网络以对等方式连接的拓扑结构。intranet vpn 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机 构。 vpn服务器 vpn服务器 总公司分公司 internet 加密信道vpn服务器应为子公司的 不同用户设置不同权限 图 2-2 vp

10、n 应用 2、采用防火墙技术（屏蔽子网体系结构） 防火墙（firewall）实际上是一种隔离技术，它将内部网和外网分开，在两 者之间设置一道屏障，防止来自不明入侵者的所有通信。同时防火墙也是一种 网络安全设备，它自身具有较强的抗攻击能力，它对两个网络之间传输的数据 包按照一定的安全策略来实施检查、过滤，以决定网络之间的通信是否被允许， 并监视网络运行状态。 防火墙功能：过滤进出网络的数据包；管理进出网络的访问行为；封堵某 些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测 和告警。 屏蔽子网（screened subnet）体系结构使用两个包过滤路由器和一个堡垒 主机在内部网

11、络和外部网络之间建立一个“非军事区” （demilitarized zone，dmz） 。dmz 又称为屏蔽子网，它将内部网络和外部网络分开，内部网 络和外部网络均可访问 dmz，但禁止它们穿过 dmz 通信。从而迫使源于内网 主机的业务流和源于外网主机的业务流都必须经过堡垒主机。 internet 信息服务器 包过滤路由器 包过滤路由器 dmz 图 2-3 屏蔽子网（dmz） 3、入侵检测技术 入侵检测（intrusion detection，id） ，是指对入侵行为的检测。它通过收集 和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否 存在违反安全策略的行为和被攻击的迹象

12、。 入侵检测功能：监测并分析用户和系统的活动；核查系统配置和漏洞；评 估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行 为；操作系统日志管理，并识别违反安全策略的用户活动。 入侵检测系统包括响应单元和时间数据库。响应单元是对分析结果作出反 应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是 简单的报警；时间数据库是存放各种中间和最终数据的地方的统称，它可以是 复杂的数据库，也可以是简单的文本文件。 入侵检测基本流程 网网络络接接口口 探探测测器器 分分析析引引擎擎 安安全全配配置置构构造造 分分析析结结果果 网网络络安安全全数数 据据库库 图 2-4 入侵

13、检测技术（ids）工作流程 ids 的部署方式：一台 ids 连接核心交换机，时时获得网络流量 ，时时监 控外网与内网的所有通信流量 i in nt te er rn ne et t 防防火火墙墙 路路由由器器 核核心心交交换换 机机 内内部部网网络络 i id ds s检检测测核核心心交交换换机机流流量量 检检测测外外网网针针对对内内网网攻攻击击 检检测测带带宽宽滥滥用用 图 2-5 入侵检测系统（ids）部署 4、使用 aaa 服务器进行远程用户的验证 aaa 是验证、授权和记账（authentication、authorization、accounting ） 三个英文单词的简称。其主要

14、目的是管理哪些用户可以访问网络服务器，具有 访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。 使用 aaa 服务器验证功能，可以代替路由器来验证远程用户的登录信息 （telnet 用户名、密码） ，这样所有用户的登录信息就全在 aaa 服务器上而不是 在路由器中，这可以防止当路由器受到攻击被攻陷时路由器中的用户信息暴露。 aaa 服务器工作： i in nt te er rn ne et t 路路由由器器 核核心心交交换换 机机 内内部部网网络络 使使用用一一台台单单独独的的计计 算算机机作作为为a aa aa a服服务务器器 远远程程用用户户 当当远远程程用用户户向向路路

15、由由发发送送t te el ln ne et t包包 时时，路路由由器器会会将将包包转转给给a aa aa a服服务务 器器，由由a aa aa a服服务务器器来来对对包包进进行行验验 证证工工作作，若若用用户户名名密密码码正正确确， a aa aa a服服务务器器会会将将此此信信息息转转给给路路 由由，允允许许此此数数据据包包登登录录路路由由器器 发发送送t te el ln ne et t包包请请求求登登录录 路路由由器器接接到到数数据据包包时时将将包包转转给给a aa aa a服服务务器器验验证证 图 2-6 aaa 服务器工作原理 （三）（三）实验验证实验验证 1、实验目的：使用路由器

16、 aaa 功能提供安全远程登录。 2、需求分析 要实现远程登录用户的安全访问，可以利用路由器的 aaa 认证功能。同 时出于稳定性的考虑，在 aaa 认证方法列表中配置两种认证方法，radius 服 务器认证和本地认证，优先选择 radius 服务器认证，当 radius 服务器没有 响应时选择本地认证方法。 3、实验拓扑 路路由由器器 a aa aa a s se er rv ve er r p pc c i ip p：1 19 92 2. .1 16 68 8. .1 1. .1 18 8/ /2 24 4 e e 0 0/ /0 0: :1 19 92 2. .1 16 68 8. .1

17、 1. .1 1/ /2 24 4 4、实验过程 步骤 1 配置路由器接口地址。 router(config)#interface fastethernet 0/0 router(config-if)#ip address 192.168.1.1 255.255.255.0 router(config-if)#no shutdown 步骤 2 配置路由器 aaa 认证方法列表。 router(config)#aaa new-model router(config)#username tree password test router(config)#aaa authentication log

18、in test group radius local router(config)#radius-server host 192.168.1.222 步骤 3 在线路上应用 aaa 认证方法列表。 router(config)#line vty 0 4 router(config-line)#login authentication test router(config-line)#end 步骤 4 搭建 aaa 服务器 安装 aaa 服务器 确定安装必须的条件 完成安装 填写客户端（路由器）地址 添加用户账户并设置，并设置用户账户等级 查看创建的用户账户 步骤 5 aaa 认证测试 配置完成

19、后，从 pc 机上用命令 telnet 192.168.1.1 远程登录到路由器上， 同时在路由器上用 debug aaa 命令开启 aaa 认证调试信息，在认证通过时， 可以看到如下调试信息。 从调试信息可以看到，认证通过，认证方法为通过 group radius 服务器认 证。 将 radius 服务器从网络上断开，重复上面的测试过程，查看调试信息如 下： 从调试信息可以看到，在认证过程中，由于方法一 radius 服务器认证没 有响应，因此超时后，尝试第二钟方法：本地认证，最后认证通过。 当使用权限为 0 的账号登录时，只能进入用户模式 当使用权限为 15 的账号登录时，可以成功进入特权

20、模式 （四）（四）网络内部维护工作网络内部维护工作 除了从硬件设施上对网络进行维护，在内部网络中也要做好相应的对策。 1、限制员工的工作系统权限 在企业工作系统中设置各部门员工对企业文件的不同访问权限，根据各部 门员工的岗位以及职责对企业工作系统中的文件进行权限设置。如图（图中只 为示例，具体可根据实际情况安排）： 卷卷 分分区区d d 安安全全部部文文 件件 财财务务部部文文 件件 人人事事部部文文 件件 安安全全部部财财务务部部人人事事部部 安安全全部部财财务务部部人人事事部部 安安全全部部财财务务部部人人事事部部 安安全全部部权权限限: :1 1：读读取取、创创建建 2 2：读读取取 财

21、财务务部部权权限限: :无无 人人事事部部权权限限: :无无 决决策策机机构构：完完全全控控制制 安安全全部部权权限限: :无无 财财务务部部权权限限: :1 1：读读取取、创创建建 2 2：读读取取 人人事事部部权权限限: :无无 决决策策机机构构：完完全全控控制制 安安全全部部权权限限: :无无 财财务务部部权权限限: :无无 人人事事部部权权限限: :1 1：读读取取、创创建建 2 2：读读取取 决决策策机机构构：完完全全控控制制 建建议议文文件件 夹夹 决决策策部部 决决策策部部 决决策策部部 决决策策部部安安全全部部财财务务部部人人事事部部 安安全全部部权权限限: :创创建建 财财务

22、务部部权权限限: :创创建建 人人事事部部权权限限: :创创建建 决决策策机机构构：完完全全控控制制 尽量不要让其他人使用你的电脑系统,因为他们有可能引入有恶意的软件或 病毒,感染你的电脑系统.如果必需和他人共用你的电脑系统,你也必须限制第三 者对资料夹或硬盘的存取权限. 避免使用共享文件夹,若真有此必要,则在共享文件夹设定使用者的名称和密 码,这样可限制已被感染的电脑透过共享文件夹感染你的电脑系统. 2、 更换管理员账户 administrator 账户拥有最高的系统权限，一旦该账户被人利用，后果将会 不堪设想。黑客在入侵时的常用手段之一就是试图获得 administrator 账户的密 码

23、，所以我们要对 administrator 账号进行重新配置。首先为 administrator 账号 设置一个复杂强大的密码，然后重命名 administrator 账号，在建立一个没有管 理权限的账户并将其命名为 administrator，以此欺骗入侵者。这样一来，入侵 者就很难搞清楚哪个账户真正拥有管理员权限，也就在一定程度上减少了威胁。 3、关闭不必要的端口 黑客在入侵时常常会扫描计算机端口，如果安装了端口监视程序（如 netwatch） ，监视程序就会有警告提示，如果遇到这种入侵，可用工具软件关闭 用不到的端口，比如用 norton internet security 关闭用来提供网页服务的 80 和 443 端口，其他一些不常用的端口也可以关闭。 4、隐藏 ip 地址 黑客经常利用一些网络探测技术来查看主机信息，主要目的就是为了得到 网络中主机的 ip 地址。ip 地址在网络安全上是一个很重要的概念，如果攻击者 知道了你的 ip 地址，等于为他的攻击准备好了目标，他可以像这个 ip 地址发动 各种攻击，比如 dos 拒绝服务攻击、f bop 溢出攻击等。隐藏 ip 地址的主要方 法是使用代理服务器，使用后其他用户只能探测到代理服务器的 ip 地址，之就 实现了隐藏用户