企业网络信息安全问题的分析

1、企业网络信息安全问题的分析企业网络信息安全问题的分析完成日期：指 导 教 师 签字：评阅教师签字：答 辩 小 组 组 长签字：答 辩 小 组 成 员签字：摘 要现如今网络发展的越来越快，也越来越便捷， 此时也出现了很多安全隐患，所以网络信息的安全 就变得尤为重要。企业中的工作便捷也是必须的， 故而网络安全则是重中之重。例如黑客恶意攻击该 如何防御，遭受入侵该如何将损失降低到最小。本课题对青岛市企业网络信息安全问题进行 分析，采用自顶向下、从整体到局部的研究方法构 建整个课题研究思路。在研究的过程中，查阅了一 系列与本课题有关的文献，从中获得了许多与本课 题有关的知识，并加以分析、采用，从而形成

2、了本 课题的理论基础，构建本课题的理论框架。还通过 对比其他地方的企业在网络信息安全的发展案例， 改进和升级了本课题的内容。关键词：网络安全；黑客；攻击；防护；案例iiiabstractnowadays, the development of the network is faster and faster, and more and more convenient. at the same time, there are many security risks, so the safety of network information is becoming more and more im

3、portant. the convenience of enterprises is also necessary, so network security is the top priority. for example, how to prevent malicious attacks by hackers and how to minimize losses when they are attacked.this topic analyzes the network information security problem of qingdao enterprises, and uses

4、 the top-down, from the whole to the local research method to construct the whole research idea. in the course of the study, a series of documents related to the subject have been consulted, and many knowledge related to the subject have been obtained and analyzed and adopted, thus forming the theor

5、etical basis of the subject and constructing the theoretical framework of the subject. it also improved and upgraded the content of the project by comparing the development of network information security in other enterprises.key words: network security; hacker; attack; protection; caseiii目 录1 前言 .1

6、1.1 课题背景与意义 . 11.2国内外研究现状 .21.3本文内容 .52 企业网络安全问题与设计需求 .62.1 常见企业网络安全问题 .62.2企业网络安全设计需求 .83 企业网络安全系统化设计思路 .123.1 设计原则 .123.2 企业网络安全硬件解决方案的思路.123.2.1安全系统架构 . 123.2.2安全防护体系 .133.2.3企业网络安全结构图 .133.4 企业网络安全软件解决方案的思路.143.4.1网络安全认证平台 .143.4.2 vpn 系统 .163.4.3 网络防火墙 .163.4.4 病毒防护系统 .173.4.5 对服务器的保护 .173.4.6

7、关键网段保护 .183.4.7日志分析和统计报表能力 .193.4.8内部网络行为的管理和监控 .193.4.9移动用户管理系统 .21i3.4.10 身份认证的解决方案 .225 总结 . 24ii青岛工学院毕业论文（设计）题目1 前言1.1 课题背景与意义现如今网络发展的越来越快，也越来越便捷，此 时也出现了很多安全隐患，所以网络信息的安全就 变得尤为重要。企业中的工作便捷也是必须的，故 而网络安全则是重中之重。例如黑客恶意攻击该如 何防御，遭受入侵该如何将损失降低到最小，或在 工作中突然断电让一段时间的工作白费该如何恢 复，又或在工作中失误将文件删除该如何找回，这 些也都是需要的。一般来

8、说企业内部都会用专门的 内网以降低黑客的攻击，但是内网有诸多限制容易 影响到工作，这时候就需要制定相应的网络安全防 御方案。其中企业网络所存在的危害大致分为内部 威胁和外部攻击，其中内部威胁有：软件漏洞、恶 意用户、未授权访问、人员错误和软件错误。外部 攻击有 :恶意代码、系统渗透、中间人攻击拒绝服 务、网络嗅探、电磁泄漏和社会工程，需要做的便 是从这些方面分析该如何设计一套企业安全防御1青岛工学院毕业论文（设计）题目的措施，以保证企业信息的安全。通过对企业网络信息安全问题的进行分析，并采 用科学的方法进行分析与评估，对企业网络信息安 全实际情况有客观、准确、清晰的认识；通过分析 与研究，并结

9、合相关国内国际最新理论、理念、最 佳实践，提出一套完整的、实现其目标的、可行的 方法。使其建立适合其自身的、并可以不断自我优 化的信息安全管理体系。本文的研究目的在于，在前人的研究成果上，加 以理解，通过自己的理解和观察，对于企业网络信 息安全方面所存在的问题，提出问题，分析问题， 解决问题。为了企业在网络信息安全在发展中能够 更好的生存下去。1.2 国内外研究现状1.2.1 国外研究现状以美国为例，近几年来，美国采取了强有力的立 法措施，建立了相对完整的信息安全法律体系解决 以网络计算机系统为主的信息系统保护的问题。美2青岛工学院毕业论文（设计）题目国的信息安全立法可以分为四个部分，特别强调

10、了 通信保护这个方面的法律建筑。美国信息安全法绘 制了一个刚性保护系统，第一个部分是保护通信过 程中各种可能的信息漏洞问题，通过了电子通信 保护法、计算机欺诈和滥用法。从理论上讲， 还包括窃听法和存储通信法案，窃听法规 定了任何人违反相应条约所应承担的民事和刑事 法律责任。存储通信法案保护已存储的通信被访问 和擅自披露，一般情况下存储通信法案的惩罚比窃 听法规定的要严重的多。第二个部分着重在保护私 有系统的商业秘密，以保护企业的信息技术系统和 企业的信息本身，通过了数字千年版权法案， 规定了不得人为规避技术措施，有效的控制访问 “版权保护的作品”。第三个部分涉及到国家安全 和关键信息的防护工作

11、。在这个部分，主要在于保 护国家重要的信息技术基础设施的安全，立法者和 监管者经常要面临国际恐怖主义的威胁。据估计， 仅在联邦一级的法规就有 16 个，6 个行政命令，3青岛工学院毕业论文（设计）题目50 多个政策声明，包括计算机安全法。1.2.1 国内研究现状张洁认为企业间通过电子邮件相互传送一些机 密文件，而这些文件一旦被泄露，不仅会给企业造 成直接的损失，也会影响到企业间的合作关系。同 时，她也认为电子邮件作为一种虚拟信息应用，其 用户信息本身就不具备实名基础，因而邮件也不具 备真正的法律效应。河南公安高等专科学院徐向阳的观点是：电子邮 件系统的发展面临机密泄露、信息欺骗、病毒侵扰、 垃

12、圾邮件等诸多安全问题的困扰。王煜指出，在开放的网络环境中，网络支付的风 险有些来自于银行外部的黑客，也有些来自于银行 内部工作人员。有预谋的诈骗，也有无意的失误造 成的危害，有系统遭受破坏的风险，也有交易过程 中人为的损失造成的风险。但目前国家相关法律仍 然不健全，给不法分子以可乘之机。综上所述，已有研究从企业网络信息安全的问题4青岛工学院毕业论文（设计）题目与发展中的各类问题等方面进行了全面分析，取得 了丰硕的成果。1.3 本文内容本课题对青岛市企业网络信息安全问题进行分 析，采用自顶向下、从整体到局部的研究方法构建 整个课题研究思路。在研究的过程中，查阅了一系 列与本课题有关的文献，从中获

13、得了许多与本课题 有关的知识，并加以分析、采用，从而形成了本课 题的理论基础，构建本课题的理论框架。还通过对 比其他地方的企业在网络信息安全的发展案例，改 进和升级了本课题的内容。通过相关已有理论和研究文献、网络信息、行业 数据、案例资料等企业网络信息安全的发展现状， 并从中整理出企业网络信息安全问题的解决对策。52 企业网络安全问题与设计需求2.1 常见企业网络安全问题随着国内计算机和网络技术的迅猛发展和广泛 普及，企业经营活动的各种业务系统都立足于 internet/intranet 环境中。但随之而来的安全问题 也在困扰着用户。 internet 所具有的开放性、国际 性和自由性在增加应

14、用自由度的同时，对安全提出 了更高的要求。一旦网络系统安全受到严重威胁， 甚至处于瘫痪状态，将会给企业、社会、乃至整个 国家带来巨大的经济损失。应此如何使企业信息网 络系统免受黑客和病毒的入侵，已成为信息事业健 康发展所要考虑的重要事情之一。一般企业网络的应用系统，主要有web 、e-mail 、oa、mis 、财务系统、人事系统等。而 且随着企业的发展，网络体系结构也会变得越来越 复杂，应用系统也会越来越多。但从整个网络系统 的管理上来看，通常包括内部用户，也有外部用户， 以及内外网之间。因此，一般整个企业的网络系统6存在三个方面的安全问题：（1） internet 的安全性：随着互联网的发

15、展， 网络安全事件层出不穷。近年来，计算机病毒传播、 蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为 影响最为广泛的安全威胁。对于企业级用户，每当 遭遇这些威胁时，往往会造成数据破坏、系统异常、 网络瘫痪、信息失窃，工作效率下降，直接或间接 的经济损失也很大。（2） 企业内网的安全性：最新调查显示，在受 调查的企业中 60%以上的员工利用网络处理私人 事务。对网络的不正当使用，降低了生产率、阻碍 电脑网络、消耗企业网络资源、并引入病毒和间谍， 或者使得不法员工可以通过网络泄漏企业机密，从 而导致企业数千万美金的损失。所以企业内部的网 络安全同样需要重视，存在的安全隐患主要有未授 权访问、破坏数据

16、完整性、拒绝服务攻击、计算机 病毒传播、缺乏完整的安全策略、缺乏监控和防范 技术手段、缺乏有效的手段来评估网络系统和操作7系统的安全性、缺乏自动化的集中数据备份及灾难 恢复措施等。（3）内部网络之间、内外网络之间的连接安全： 随着企业的发展壮大及移动办公的普及，逐渐形成 了企业总部、各地分支机构、移动办公人员这样的 新型互动运营模式。怎么处理总部与分支机构、移 动办公人员的信息共享安全，既要保证信息的及时 共享，又要防止机密的泄漏已经成为企业成长过程 中不得不考虑的问题。各地机构与总部之间的网络 连接安全直接影响企业的高效运作。2.2 企业网络安全设计需求以某公司为例，综合型企业网络简图如下，

17、分析 现状并分析需求：8图 2.1 企业网络简图对该公司的信息安全系统无论在总体构成、信息 安全产品的功能和性能上也都可能存在一定的缺 陷，具体表现在：（1） 系统性不强，安全防护仅限于网络安全， 系统、应用和数据的安全存在较大的风险。（2） 原有的网络安全产品在功能和性能上都不 能适应新的形势，存在一定的网络安全隐患，产品 亟待升级。（3） 经营管理对计算机应用系统的依赖性增强，9计算机应用系统对网络的依赖性增强。计算机网络 规模不断扩大，网络结构日益复杂。计算机网络和 计算机应用系统的正常运行对网络安全提出了更 高的要求。（4）计算机应用系统涉及越来越多的企业关 键数据，这些数据大多集中在

18、公司总部数据中心， 因此有必要加强各计算机应用系统的用户管理和 身份的认证，加强对数据的备份，并运用技术手段， 提高数据的机密性、完整性和可用性。由以上分析可知该公司信息系统存在较大的风 险，信息安全的需求主要体现在如下几点：（1） 某公司信息系统不仅需要安全可靠的计算 机网络，也需要做好系统、应用、数据各方面的安 全防护。为此，要加强安全防护的整体布局，扩大 安全防护的覆盖面，增加新的安全防护手段。（2） 网络规模的扩大和复杂性的增加，以及新 的攻击手段的不断出现，使某公司计算机网络安全 面临更大的挑战，原有的产品进行升级或重新部10署。（3） 信息安全工作日益增强的重要性和复杂性 对安全管

19、理提出了更高的要求，为此要加快规章制 度和技术规范的建设，使安全防范的各项工作都能 够有序、规范地进行。（4） 信息安全防范是一个动态循环的过程，如 何利用专业公司的安全服务，做好事前、事中和事 后的各项防范工作，应对不断出现的各种安全威 胁，也是某公司面临的重要课题。113 企业网络安全系统化设计思路3.1 设计原则安全体系建设应按照“统一规划、统筹安排、统 一标准、分步实施”的原则进行，避免重复投入、 重复建设，充分考虑整体和局部的利益。具体如下：1. 标准化原则2. 系统化原则3. 规避风险原则4. 保护投资原则5. 多重保护原则6. 分步实施原则3.2 企业网络安全硬件解决方案的思路3

20、.2.1 安全系统架构安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。随着针对应用层的攻击越来越多、威胁越来越 大，只针对网络层以下的安全解决方案已经不足以 应付来自应用层的攻击了。举个简单的例子，那些 携带着后门程序的蠕虫病毒是简单的防火墙 vpn12安全体系所无法对付的。因此我们建议企业采用立 体多层次的安全系统架构。这种多层次的安全体系 不仅要求在网络边界设置防火墙 vpn，还要设置 针对网络病毒和垃圾邮件等应用层攻击的防护措 施，将应用层的防护放在网络边缘，这种主动防护 可将攻击内容完全阻挡在企业内部网之外。3.2.2安全防护体系信息安全防范应做整体

21、的考虑，全面覆盖信息系 统的各层次，针对网络、系统、应用、数据做全面 的防范。信息安全防范体系模型显示安全防范是一 个动态的过程，事前、事中和事后的技术手段应当 完备，安全管理应贯穿安全防范活动的始终。如图 二所示：图 3.1 网络与信息安全防范体系模型 3.2.3 企业网络安全结构图13图 3.2 总体安全结构图通过以上分析可得总体安全结构应实现大致如图三所示的功能 :3.4 企业网络安全软件解决方案的思路3.4.1 网络安全认证平台证书认证系统无论是企业内部的信息网络还是 外部的网络平台，都必须建立在一个安全可信的网 络之上。目前，解决这些安全问题的最佳方案当数 应用 pki/ca 数字认

22、证服务。 pki(public key infrastructure，公钥基础设施 ) 是利用公开密钥理 论和技术建立起来的提供在线身份认证的安全体 系，它从技术上解决了网上身份认证、信息完整性14和抗抵赖等安全问题，为网络应用提供可靠的安全 保障，向用户提供完整的 pki/ca 数字认证服务。 通过建设证书认证中心系统，建立一个完善的网络 安全认证平台，能够通过这个安全平台实现以下目 标：1） 身份认证 (authentication)：确认通信双方的 身份，要求通信双方的身份不能被假冒或伪装，在 此体系中通过数字证书来确认对方的身份。2） 数据的机密性(confidentiality)：对

23、敏感信息 进行加密，确保信息不被泄露，在此体系中利用数 字证书加密来完成。3） 数据的完整性(integrity)：确保通信信息不被 破坏(截断或篡改 )，通过哈希函数和数字签名来完 成。4） 不可抵赖性 (non-repudiation)：防止通信对 方否认自己的行为，确保通信方对自己的行为承认 和负责，通过数字签名来完成，数字签名可作为法 律证据。153.4.2 vpn系统vpn(virtual private network)虚拟专用网，是 将物理分布在不同地点的网络通过公用骨干网 ( 如 internet)连接而成的逻辑上的虚拟专用网。和传统 的物理方式相比，具有降低成本及维护费用、易

24、于 扩展、数据传输的高安全性。通过安装部署 vpn 系统，可以为企业构建虚拟 专用网络提供了一整套安全的解决方案。它利用开 放性网络作为信息传输的媒体，通过加密、认证、 封装以及密钥交换技术在公网上开辟一条隧道，使 得合法的用户可以安全的访问企业的私有数据，用 以代替专线方式，实现移动用户、远程 lan 的安 全连接。集中的安全策略管理可以对整个 vpn 网络的 安全策略进行集中管理和配置。3.4.3网络防火墙采用防火墙系统实现对内部网和广域网进行 隔离保护。对内部网络中服务器子网通过单独的防16火墙设备进行防护。其网络结构一般如下：图 3.3防火墙此外在实际中可以增加入侵检测系统，作为防火墙

25、的功能互补，提供对监控网 段的攻击的实时报警和积极响应等功能。3.4.4病毒防护系统应强化病毒防护系统的应用策略和管理策略，增强勤业网络的病毒防护功能。 这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对 网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户 端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时 掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒 策略设置和安全操作。3.4.5对服务器的保护在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例 来说明对服务器保护的重要性。电子邮件

26、是 internet 上出现最早的应用之一。随着网络的快速 发展，电子邮件 的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。 然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。17目前广泛应用的电子邮件客户端软件如 outlook 支持 s/mime( secure multipurpose internet mail extensions )，它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先，它的认证机制依赖于层次结 构的证书认证机构，所有下一级的组织和个人的证书由

27、上一级的组织负责认证，而 最上一级的组织 ( 根证书 ) 之间相互认证，整个信任关系基本是树状的。其次， s/mime 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。 下图五是邮件系统保护的简图（透明方式）:图 3.4邮件系统保护3.4.6关键网段保护企业中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。所 以这些网段我们也应给予特别的防护。简图如下图六所示。18图 3.53.4.7 日志分析和统计报表能力关键网段的防护对网络内的安全事件也应都作出详细的日志 记录，这些日志记录包括事件名称、描述和相应的 主机 ip 地址等相关信息。此外，报表系统还应自 动生成各种

28、形式的攻击统计报表，形式包括日报 表，月报表，年报表等，通过来源分析，目标分析， 类别分析等多种分析方式，以直观、清晰的方式从 总体上分析网络上发生的各种事件，有助于管理人 员提高网络的安全管理。3.4.8 内部网络行为的管理和监控除对外的防护外，对网络内的上网行为也应该19进行规范，并监控上网行为，过滤网页访问，过滤 邮件，限制上网聊天行为，阻止不正当文件的下载。 企业内部用户上网信息识别度应达到每一个 url 请求和每一个 url 请求的回应。通过对网络内部 网络行为的监控可以规范网络内部的上网行为，提 高工作效率，同时避免企业内部产生网络安全隐 患。因此对于桌面微机的管理和监控是减少和消

29、除 内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安 全登录以及相应的智能卡管理工具集成到一起，形 成一个整体，是针对客户端安全的整体解决方案。 分别有以下几种系统：1)电子签章系统利用非对称密钥体系保证了文档的完整性和 不 可 抵 赖 性 。 采 用 组 件 技 术 ， 可 以 无 缝 嵌 入 office 系统，用户可以在编辑文档后对文档进行 签章，或是打开文档时验证文档的完整性和查看文 档的作者。202) 安全登录系统安全登录系统提供了对系统和网络登录的身 份认证。使用后，只有具有指定智能密码钥匙的人 才可以登录计算机和网络。用户如果需要离开计算 机，只需拔出智能密码钥匙，即

30、可锁定计算机。3)文件加密系统文件加密应用系统保证了数据的安全存储。由 于密钥保存在智能密码钥匙中，加密算法采用国际 标准安全算法或国家密码管理机构指定安全算法， 从而保证了存储数据的安全性。则内网综合保护简图如下图七所示：图 3.6内网综合保护3.4.9 移动用户管理系统21对于企业内部的笔记本电脑在外工作，当要接 入内部网也应进行安全控制，确保笔记本设备的安 全性。有效防止病毒或黑客程序被携带进内网。3.4.10 身份认证的解决方案身份认证是指计算机及网络系统确认操作者 身份的过程。基于 pki 的身份认证方式是近几年 发展起来的一种方便、安全的身份认证技术。它采 用软硬件相结合、一次一密

31、的强双因子认证模式， 很好地解决了安全性与易用性之间的矛盾。 usb key 是一种 usb 接口的硬件设备，它内置单片机 或智能卡芯片，可以存储用户的密钥或数字证书， 利用 usb key 内置的密码算法实现对用户身份的 认证。基于 pki 的 usb key 的解决方案不仅可以提 供身份认证的功能，还可构建用户集中管理与认证 系统、应用安全组件、客户端安全组件和证书管理 系统通过一定的层次关系和逻辑联系构成的综合 性安全技术体系，从而实现上述身份证、授权与访22问控制、安全审计、数据的机密性、完整性、抗抵 赖性的总体要求。235 总结本课程设计以某公司为例，分析了网络安全现状，指出目前存在的风险，随后 提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度 的完善；从单机系统的安全加固，到整体网络的安全管理。也希望通过本方案的实 施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威 胁，把风险降到最低水平。24参考文献1隋正有,佟璐.对新时期计算机网络安全存在 的问题及对策探讨 j.计算机光盘软件与应 用,2012.2孟丽梅.浅述网络信息安全存在的问题及对 策m.建筑工程技术与设计， 2016.3张尧,徐驰,姚永.企业网络信息安全存在的 问题及对策m.中国新通信,2016.4