计算机网络安全设计方案8篇计算机网络安全设计方案 网络安全设计方案 网络安全设计方案1 一、培养目标 本专业培养系统掌握信息安全的基础理论与方法,具备系统工程、计算机技术和网络下面是小编为大家整理的计算机网络安全设计方案8篇,供大家参考。
篇一:计算机网络安全设计方案
网络安全设计方案
网络安全设计方案1
一、培养目标
本专业培养系统掌握信息安全的基础理论与方法,具备系统工程、计算机技术和网络技术等方面的专业知识和综合能力,能够从事计算机、通信、电子信息、电子商务、电子金融、电子政务等领域的信息安全研究、应用、开发、管理等方面工作的应用性高级信息安全专门人才。
二、培养规格
(一)毕业生应掌握以下知识:
1.专业必须的基础理论知识,包括高等数学、大学英语、大学物理、线性代数等;
2.计算机科学与技术专业基础知识,包括计算机科学导论、计算机组成原理、离散数学、数据结构、C语言程序设计、面向对象程序设计、数据库原理、计算机网络、网络程序设计等;
3.本专业方向的理论知识,包括网络安全基础、应用密码学、操作系统安全、数据备份与灾难恢复、计算机病毒原理与防范、安全认证技术、安全扫描技术、计算机取证技术等;
4.具有本专业先进的和面向现代人才市场需求所需要的科学知识。
(二)毕业生应具备以下能力:
1.基本能力
(1)具备运用辩证唯物主义的基本观点和方法去认识,分析和解决问题的能力;
(2)具备较强的语言及文字表达能力;
(3)具备运用外语进行简单会话,能够阅读本专业外语期刊,并具有一定的听、说、读、写、译能力;
(4)具备利用计算机常用应用软件进行文字及其他信息处理的能力;
(5)具备撰写专业科技文档和软件文档写作的基本能力;
(6)具有掌握新知识、新技术的自学和继续学习及自主创业的能力;
(7)具有自尊、自爱、自律、自强的优良品格和人际交往及企业管理能力。
2.专业能力
(1)具备根据实际应用需求进行信息安全系统规划设计与开发,信息安全管理,信息安全技术服务的能力;
(2)具有较强的`信息安全系统分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力;
(3)具有信息安全产品性能分析、应用选择、管理维护、故障检测及排除、设计信息安全实验等专业能力;
(4)掌握信息系统安全策略设计及设置、信息系统数据备份及恢复、信息系统数据保护等专业技能能力;
(5)职业技能或岗位资格水平达到国家有关部门规定的相应职业资格认证的要求或通过计算机技术与软件专业技术资格(水平)考试。
3.综合能力
(1)具有从事本专业相关职业活动所需要的方法能力、社会行为能力和创新能力;
(2)具备获取新知识、不断开发自身潜能和适应知识经济、技术进步及岗位要求变更的能力;
(3)具有较强的组织、协调能力;
(4)具备将自身技能与群体技能融合以及积极探索、开拓进取、勇于创新、自主创业的能力;
(5)具有良好的社会公德、职业道德和安心生产第一线,严格认真,求实守纪的敬业精神。
(三)毕业生应具备以下素质:
1.具备良好的思想品德、行为规范以及职业道德;
2.具备大学层次的文化素质和人文素质;
3.具备创新、实践、创业的专业技术开发素质;
4.具备竞争意识、合作精神、坚强毅力;
5.具有健康的体魄、良好的体能和适应本岗位工作的身体素质和心理素质;
6.具有良好的气质和形象,较强的语言与文字表达能力及人际沟通能力。
三、学制与学位
学制:四年
学位:授予工学学士学位
四、主要课程
本专业主要课程包括大学语文、大学英语、汽车驾驶、C语言程序设计、数据通信原理、计算机网络、数据结构、网络安全基础、操作系统安全、数据库原理与应用、网络程序设计、算法设计与分析、应用密码学、软件工程、数据库安全、计算机病毒原理与防范、安全认证技术、数据备份与灾难恢复、计算机取证技术、电子商务安全、安全扫描技术、防火墙原理与技术等。
五、实践教学
(一)校内、校外实训。加大各类课程尤其是专业课程的实践课时比例,注重以提高学生动手能力为重点的操作性实验实训,主干课程中设置综合设计与实践环节。
(二)假期见习或社会调查。时间原则上不少于9周,安排在假期进行。
(三)毕业实习。第八个学期进行,实习时间为3个月。
(四)毕业设计或毕业论文。毕业实习期间收集与毕业设计或毕业论文相关的资料,紧密结合实践,完成毕业设计或毕业论文,时间为4周。
六、考核办法
(一)课程考核包括考试和考查,成绩评定一律采用百分制计分。实训比较多的课程,分理论和操作两个部分进行考核。要不断改革考核方法,丰富考试考查载体和手段,采用开卷、闭卷,笔试、口试、机试、实训操作、综合设计等多种考核形式,加强对学生动手能力、实践能力、分析解决问题能力和综合素质的全面考核。成绩合格者给予学分。
(二)毕业设计或毕业论文成绩评定采用五级制(优、良、中、及格和不及格),由指导老师写出评语,学院组织论文答辩。
(三)每位学生必须选修满选修课14个学分,方可毕业。其中限选课中,《形势与政策》、《当代世界经济与政治》等限选课,要求每个学生必选;《艺术导论》、《音乐鉴赏》、《美术鉴赏》、《影视鉴赏》、《舞蹈鉴赏》、《书法鉴赏》、《戏剧鉴赏》、《戏曲鉴赏》等8门公共艺术教育类限选课,要求每个学生必须选修两门或两门以上。
(四)学生毕业时必须达到大学生体质健康标准。
网络安全设计方案2
为增强校园网络安全意识,提高网络安全防护技能,按照陕西省互联网信息办公室《关于开展陕西省网络安全宣传周活动的通知》精神,以及陕教保办文件关于开展陕西省教育系统网络安全宣传周活动通知要求。特制定出我院校园国家网络安全宣传周活动方案:
一、活动主题
活动主题为“网络安全知识进校园”,旨在提高全体师生网络安全自我保护意识,提升其网络安全问题甄别能力。
二、活动时间
2021年11月24日至30日。
三、活动内容
以“媒体全铺开、校园全覆盖、师生全知晓”为目标,统一使用“国家网络安全宣传周”标识,校园宣传活动内容如下:
1.学习党和国家网络安全战略、方针、政策,了解目前国家在网络安全方面的前沿动态。
2.召开网络安全工作汇报会,展示我院在网络安全维护工作方面所采取的措施和取得的成效。
3.采用线上加线下的方式进行网络安全宣传,开展网络安全知识普及活动。
四、活动形式
本次网络安全宣传活动采取以下形式开展:
(一)举办校园网络安全宣传周启动及签名活动
(二)利用室外LED电子大屏滚动播放网络安全宣传公益短片。同时,将这些宣传视频上传至校园网资源平台,供广大师生学习观看,并推送到移动平台,以方便手机等移动终端用户观看。
(三)在校园网上开辟一个网络安全宣传专栏,对开展宣传活动的方案、计划等相关资料以及宣传活动所取得的成果进行公布,提供电子版全民安全使用网络手册,共广大师生下载学习使用。并链接至“国家网络安全宣传周页面”。
(四)在校园广播台开设专题栏目,宣传相关网络安全知识以及网络安全专家谈的相关内容。
(五)举办网络安全宣传讲座。邀请网络安全方面的专家为师生举办专题讲座。在三个校区分别进行。(六)制作网络安全宣传展板,宣传海报等。(七)开展网络安全知识咨询。(八)悬挂网络安全宣传横幅。
网络安全设计方案3
一、活动宗旨提高同学们的网络安全意识,在加强网络安全知识学习的同时,营造一种浓厚的学习氛围。较好地发挥学生的特长,丰富学生的课余生活和提高同学们学习计算机网络的热忱。二、活动组织1.活动总负责:xxx2.活动策划:xxx3.活动时间:10月25日下午7点4.活动地点:综合楼3085.活动对象:信息工程系08级全体学生三、活动内容1.网络计算机的使用技巧
2.预防网络诈骗3.网络道德4.网络与法律四、注意事项1.每个班级每个同学在本班负责人的组织下不得迟到,须在讲座前10分钟入指定点,迟到5分钟则不得入内。2.讲座过程中不允许大声喧哗,走动,交头接耳,听歌,玩手机。3.学生到场后,依次入座,由本协会成员维持会场纪律。4.讲座结束后,由本协会会员安排下依次退场,每部就本次的讲座各写一份总结。
网络安全设计方案4
为增强我区教育系统网络安全意识,提高网络安全防护技能,根据中央网信办、市区网信办相关要求,我校决定开展网络安全宣传周活动,现制定方案如下。
一、活动主题网络安全为人民,网络安全靠人民二、活动时间21年9月19日――9月25日,其中9月20为主题教育日。三、参加对象全校教职工、学生和家长。四、活动形式(一)氛围营造学校在宣传活动期间,用LED电子显示屏、微信公众号、网站、Q群等多种形式宣传网络安全,营造良好的宣传氛围。(二)电子屏滚动播出
利用学校大门处的LED电子屏,滚动播出网络安全宣传知识,介绍防信息泄露、防网络诈骗等网络安全相关知识。
(三)开展活动
学校以网络安全宣传为主题,通过开展主题队会、举办讲座、国旗下讲话等形式开展网络安全宣传活动。(班主任和德育处提供图片)
(四)网络宣传
学校网站、学校Q群、班级Q群和翼校通多渠道宣传网络安全知识。(班主任提供发家长Q群、发翼校通的图片)
五、活动要求
(一)各部门、每一位教师要高度重视此次宣传活动,按学校方案落实好每一项工作,学校将组织人员对活动情况进行检查。
(二)各班主任务必将活动开展图片于9月23日上午12:00前传余xx,邮箱:xx,联系电话xx。
篇二:计算机网络安全设计方案
校园网网络安全设计方案以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普
及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失.维护校园网网络安全需要从网络的搭建及网络安全设计方面着手.
一、基本网络的搭建。由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:1。网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。二、网络安全设计。1。物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散.计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号.正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导
辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。2。网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术.IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB.这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网.以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用.
第一,防病毒技术.病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快.计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术.这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统.例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现
内部子网的安全.共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全.外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
篇三:计算机网络安全设计方案
网络安全技术与设计
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题
二、计算机网络安全方案设计并实现
网络系统安全网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:
网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。网络系统安全具备的功能及配置原则
1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如VPN方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。边界安全解决方案
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的VPN设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。1.防火墙应具备如下功能:
使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;允许Internet公网用户访问到DMZ区的应用服务:http、ftp、smtp、dns等;
允许DMZ区内的工作站与应用服务器访问Internet公网;允许内部用户访问DMZ的应用服务:http、ftp、smtp、dns、pop3,https;允许内部网用户通过代理访问Internet公网;禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;禁止DMZ区的公开服务器访问内部网络;防止来自Internet的DOS一类的攻击;能接受入侵检测的联动要求,可实现对实时入侵的策略响应;
对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息,防止恶意用户信息刺探;
提供日志报表的自动生成功能,便于事件的分析;提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。防火墙自身必须是有防黑客攻击的保护能力。2.带防火墙功能的VPN设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力,这类设备也有SVPN的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求SVPN应具有一下功能:防火墙基本功能,主要包括:IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);具有对连接两端的实体鉴别认证能力;支持移动用户远程的安全接入;支持IPESP隧道内传输数据的完整性和机密性保护;提供系统内密钥管理功能;SVPN设备自身具有防黑客攻击以及网上设备认证的能力。入侵检测与响应方案在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。入侵检测系统的基本功能如下:通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。漏洞扫描方案除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系
统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作网络防病毒方案
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:
网络&单机防护—提供个人或家庭用户病毒防护;文件及存储服务器防护—提供服务器病毒防护;邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。关于安全设备之间的功能互补与协调运行各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。
目前,防火墙形成联动的主要有以下几种方式:1.与入侵检测实现联动
目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。但由于入侵检测系统本身也是一个很庞大的系统,从目前的软硬件处理能力来看,这种联动难于达到预期效果。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通信、警报和传输,这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
防火墙与入侵检测系统联动,可以对网络进行动静结合的保护,对网络行为进行细颗粒的检查,并对网络内外两个部分都进行可靠管理。2.与防病毒实现联动
防火墙处于内外网络信息流的必经之地,在网关一级对病毒进行查杀是网络防病毒的理想措施。目前已有一些厂商的防火墙可以与病毒防治软件进行联动,通过提供API定义异步接口,将数据包转发到装载了网关病毒防护软件的服务器上进行检查,但这种联动由于性能影响,目前并不适宜部署在网络边界处。3.与日志处理间实现联动
防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是CheckPoint的防火墙,它提供两个API:LEA(LogExportAPI)和ELA(EventLoggingAPI),允许第三方访问日志数据。报表和事件分析采用LEAAPI,而安全与事件整合采用ELAAPI。防火墙产品利用这个接口与其他日志服务器合作,将大量的日志处理工作由专门的服务设备完成,提高了专业化程度。内部网络监控与审计方案
上面的安全措施配置解决了网络边界的隔离与保护,网络与主机的健康(防病毒)运行,以及用户访问网络资源的身份认证和授权问题。
然而,县卫生局网络内部各办公网络、业务网络的运行秩序的维护,网络操作行为的监督,各种违规、违法行为的取证和责任认定,以及对操作系统漏洞引发的安全事件的监视和控制等问题,则是必须予以解决的问题。因此有必要在各种内部办公网络、业务网内部部署集中管理、分布式控制的监控与审计系统。这种系统通过在局域网(子网)内的管理中心安装管理器,在各台主机(PC机)中安装的代理软件形成一个监控与审计(虚拟网络)系统,通过对代理软件的策略配置,使得每台工作主机(PC机)按照办公或业务操作规范进行操作,并对可能经过主机外围接口(USB口、串/并口、软硬盘接口等)引入的非法入侵(包括病毒、木马等),或非法外连和外泄的行为予以阻断和记录;同时管理器通过网络还能及时收集各主机上的安全状态信息并下达控制命令,形成“事前预警、事中控制和事后审计”的监控链。
监控与审计系统应具有下列功能:管理器自动识别局域网内所有被监控对象之间的网络拓扑关系,并采用图形化显示,包括被监控主机的状态(如在线、离线)等;支持对包含有多个子网的局域网进行全面监控;系统对被监控对象的USB移动存储设备、光驱、软驱等外设的使用以及利用这些设备进行文件操作等非授权行为进行实时监视、控制和审计;
系统对被监控对象的串/并口等接口的活动状态进行实时监视、控制和审计;
系统对进出被监控对象的网络通信(www,ftp,pop,smtp)数据包进行实时拦截、分析、处理和审计,对telnet通信数据包进行拦截;
系统可根据策略规定,禁止被监控对象进行拨号(普通modem拨号、ADSL拨号、社区宽带拨号)连接,同时提供审计;
系统对被监控对象运行的所有进程进行实时监视和审计;系统支持群组管理,管理员可以根据被监控对象的属性特征,将其划分成不同的安全组,对每个组制定不同的安全策略,所有组的成员都根据该策略执行监控功能;支持多角色管理,系统将管理员和审计员的角色分离,各司其职;强审计能力,系统具有管理员操作审计、被监控对象发送的事件审计等功能;系统自身有极强的安全性,能抗欺骗、篡改、伪造、嗅探、重放等攻击。
篇四:计算机网络安全设计方案
一、客户背景集团内联网主要以总部局域网为核心,采纳广域网方式与外地子公司联网。集团广域网采纳MPLS-VPN技术,用来为各个分公司供应骨干网络平台和VPN接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。
二、平安威逼某公司属于大型上市公司,在北京,上海、广州等地均有分公司。公司内部采纳无纸化办公,OA系统成熟。每个局域网连接着该全部部门,全部的数据都从局域网中传递。同时,各分公司采纳VPN技术连接公司总部。该单位为了便利,将相当一部分业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口。由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特殊慢的状况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络常常瘫痪,每次时间都持续几特别钟,网管简直成了救火队员,忙着清除病毒,重装系统。对外WEB网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响。(平安威逼依据拓扑图分析)从网络平安威逼看,集团网络的威逼主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及平安管理漏洞等信息平安现状:经过分析发觉该公司信息平安基本上是空白,主要有以下问题:公司没有制定信息平安政策,信息管理不健全。公司在建内网时与internet的连接没有防火墙。内部网络(同一城市的各分公司)之间没有任何平安保障为了让网络正常运行。依据我国《信息平安等级爱护管理方法》的信息平安要求,近期公司确定对该网络加强平安防护,解决目前网络出现的平安问题。
三、平安需求从平安性和好用性角度考虑,平安需求主要包括以下几个方面:1、平安管理询问平安建设应当遵照7分管理3分技术的原则,通过本次平安项目,可以发觉集团现有平
安问题,并且帮助建立起完善的平安管理和平安组织体系。2、集团骨干网络边界平安主要考虑骨干网络中Internet出口处的平安,以及移动用户、远程拨号访问用户的平
安。3、集团骨干网络服务器平安主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB
等内部信息系统服务器区和平安管理服务器区的平安。4、集团内联网统一的病毒防护主要考虑集团内联网中,包括总公司在内的全部公司的病毒防护。5、统一的增加口令认证系统由于系统管理员须要管理大量的主机和网络设备,如何确保口令平安称为一个重要的问
题。6、统一的平安管理平台通过在集团内联网部署统一的平安管理平台,实现集团总部对全网平安状况的集中监
测、平安策略的统一配置管理、统计分析各类平安事务、以及处理各种平安突发事务。7、专业平安服务过专业平安服务建立全面的平安策略、管理组织体系及相关管理制度,全面评估企业网
络中的信息资产及其面临的平安风险状况,在必要的状况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事务状况下的处理实力,降低平安风险。
四、方案设计
骨干网边界平安集团骨干网共有一个Internet出口,位置在总部,在Internet出口处部署LinkTrustCyberwall-200F/006防火墙一台。在Internet出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust
NetworkDefender可以实时监控网络中的异样流量,防止恶意入侵。在各个分公司中添加一个DMZ区,保证各公司的信息平安,内部网络(同一城市的各分公司)之间没有任何平安保障
具体部署如下图所示:
骨干网服务器平安集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于平安产品管理的服务器的平安。主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和平安管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。漏洞扫描了解自身平安状况,目前面临的平安威逼,存在的平安隐患,以及定期的了解存在那些平安漏洞,新出现的平安问题等,都要求信息系统自身和用户作好平安评估。平安评估主要分成网络平安评估、主机平安评估和数据库平安评估三个层面。内联网病毒防护病毒防范是网络平安的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络平安的病毒防护方面应当采纳“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。
病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。增加的身份认证系统由于须要管理大量的主机和网络设备,如何确保口令平安也是一个特别重要的问题。减小口令危急的最为有效的方法是采纳双因素认证方式。双因素认证机制不仅仅须要用户供应一个类似于口令或者PIN的单一识别要素,而且须要其次个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式供应了比可重用的口令牢靠得多的用户认证级别。用户除了知道他的PIN号码外,还必需拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态改变的,大大提高了平安性。统一平安平台的建立通过建立统一的平安管理平台(平安运行管理中心—SOC),建立起集团的平安风险监控体系,利于从全局的角度发觉网络中存在的平安问题,并刚好归并相关人员处理。这里的风险监控体系包括平安信息库、平安事务收集管理系统、平安工单系统等,同时开发有效的多种手段实时告警系统,定制高效的平安报表系统。
五、网络管理:
(1)故障管理故障管理是网络管理中最基本的功能之一。用户都希望有一个牢靠的计算机网络。当网
篇五:计算机网络安全设计方案
瑞星网络杀蠹软件是一个专门针对网络病蠹传播特点开发的网络防病蠹软件通过瑞星网络防病蠹体系在网络内客户端和服务器上建立反病蠹系统并且可以实现防病蠹体系的统一集中管理实时掌握了解当前网络内计算机病蠹事件并实现对网络内的所有计算机远程反病蠹策略设置和安全操作
精选doc最新版
企业网络安全方案设计
班级:12级财务管理审计本二班学号:1213132208设计人:王建红
.
精选doc最新版
目录
一、网络安全概述
1.网络安全的概念2.网络安全模型
二、网络系统安全风险分析
1.主要风险2.网络安全系统的脆弱性3.网络攻击手段
三、设计原则
1.网络信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原则5.技术与管理相结合原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则
四、网络安全设计方案
1.网络拓扑结构图2.设备选型3.安全系统架构4.企业网络安全结构图
五、安全产品
1.网络安全认证平台2.VPN系统3.网络防火墙4.病毒防护系统5.对服务器的保护6.关键网段保护7.日志分析和统计报表能力8.内部网络行为的管理和监控9.移动用户管理系统10.身份认证的解决方案
六、风险评估
七、安全服务
.
精选doc最新版
摘要:计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全,是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输安全的问题,就是我们所谓的计算机网络安全。本文针对计算机网络系统存在的安全性和可靠性问题,从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,并且进行了总结,就当前网络上普遍的安全威胁,提出了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决,实现企业局域网的网络安全。关键词:信息安全、企业网络安全、安全防护
一、网络安全概述
1.网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶
然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源非法占用和
.
精选doc最新版
非法控制等威胁,制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲,网络上不是健康的内容,会对社会的稳
定和人类的发展造成阻碍,必须对其进行控制。2.网络安全模型
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图所示:
网络与信息安全防范体系模型
二、网络系统安全风险分析
1.主要风险一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人
事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:
.
精选doc最新版
(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。分部与总部之间的网络连接安全直接影响企业的高效运作。2.网络安全系统的脆弱性
(1)操作系统的安全脆弱性:操作系统不安全,是计算机系统不安全的根本原因。
(2)网络安全的脆弱性:使用TCP/IP协议的网络所提供的FTP、E-mail、
.
精选doc最新版
RPC和NFS都包含许多不安全的因素。计算机硬件的故障:由于生产工艺和制造商的原因,计算机硬件系统
本身有故障。软件本身的“后门”:软件本身的“后门”是软件公司为了方便自己进
入而在开发时预留设置的,一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统。常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。
软件的漏洞:软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作系统中的BUGS。
(3)数据库管理系统的安全脆弱性:大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样。
(4)防火墙的局限性:防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等。
(5)天灾人祸(6)其他方面的原因:如计算机领域中任何重大的技术进步,都对安全性构成新的威胁等。3.网络攻击手段一般认为,目前对网络的攻击手段主要表现在:非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自
.
精选doc最新版
扩大权限,越权访问信息。信息泄漏或丢失:指敏感数据有意或无意中被泄漏出去或丢失,通常包括信
息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等。破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重
发某些重要信息,以取得有益于攻击者的响应:恶意修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
三、设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(“系统安全工程能力成熟模型”)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户
.
精选doc最新版
网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则
.
精选doc最新版
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。8.动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。9.易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
.
精选doc最新版
四、网络安全设计方案
1.网络拓扑结构图
2.设备选型传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到
安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。
免疫网络——免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
.
精选doc最新版
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。1.安全和网络功能的融合--①网络架构的融合,主要包括网关和终端的融合网关方面:ARP先天免疫原理—NAT表中添加源MAC地址
滤窗防火墙—封包检测,IP分片检查,UDP洪水终端方面:驱动部分—免疫标记②网络协议的融合—行为特征和网络行为的融合2.全网设备的联动—a:驱动与运营中心的联动(分收策略)
b:驱动与驱动的联动(IP地址冲突)c:网关和驱动的联动(群防群控)d:运营中心和网关的联动(外网攻击,上下线)3.可信接入—1)MAC地址的可信(类似于DNA),生物身份2)传输的可信(免疫标记)4.深度防御和控制—1)深入到每个终端的网卡
2)深入到协议的最低层3)深入到二级路由,多级路由器下5.精细带宽管理—1)身份精细—IP/MAC的精确2)位置精确—终端驱动
.
精选doc最新版
3)路径细分(特殊的IP)4)流量去向(内,公网)5)应用流控(QQ,MSN)6.业务感知---协议区分和应用感知它与防火墙(FW)、入侵检测系统(IDS)、防病毒等老三样组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。3.安全系统架构安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。4.企业网络安全结构图
.
精选doc最新版
通过以上分析可得总体安全结构应实现大致如图所示的功能:
五、安全产品
1.网络安全认证平台证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立
在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
.
精选doc最新版
1)身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2)数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2.VPN系统
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。3.网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下:
.
精选doc最新版
防火墙此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,提供对监控网段的攻击的实时报警和积极响应等功能。4.病毒防护系统
应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上
.
精选doc最新版
传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图是邮件系统保护的简图(透明方式):
邮件系统保护6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图所示。
.
精选doc最新版
关键网段的防护7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控
除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为,过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为,提高工作效率,同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
.
精选doc最新版
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。分别有以下几种系统:
1)电子签章系统利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。2)安全登录系统安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。3)文件加密系统文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。则内网综合保护简图如下图所示:
.
精选doc最新版
内网综合保护9.移动用户管理系统
对于企业内部的笔记本电脑在外工作,当要接入内部网也应进行安全控制,确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
.
精选doc最新版
除此之外还有ASM网络安全产品、TDS网络安全产品、南方信息ISI网络安全产品
六、风险评估
在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,企业网络信息安全管理架构的评估应由IT部门、相关责任部门以及终端用户代表来共同参与,确保所有的部门都能纳入安全框架中,确保技术方案的针对性和投资的回报。
七、安全服务
1.把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
2.系统安全运行管理。要保障信息系统安全,就必须维护安全系统充分发挥作用的环境。这种环境
包括安全系统的配置、系统人员的安全职责分工与培训。3.安全系统改造。信息系统安全的对抗性必然导致信息安全系统不断改造。导致安全系统改造
的因素可以归结为4个方面:技术发展因素;系统环境因素;系统需求因素;安全事件因素。
4.网络安全制度建设及人员安全意识教育企业应当采取积极防御措施,主动防止非授权访问操作,从客户端操作平台
实施高等级防范,使不安全因素在源头被控制。这对工作流程相对固定的重要信息系统显得更为重要而可行。
需开展计算机安全意识教育和培训,加强计算机安全检查,以此提高最终用
.
精选doc最新版
户对计算机安全的重视程度。为各级机构的系统管理员提供信息系统安全方面的专业培训,提高处理计算机系统安全问题的能力。5.该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。6.在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
总结
由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切,本方案分析了企业网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,覆盖面极广,希望通过实施建立起比较完善的信息安全体系,有效的防范信息系统来自更多方面的攻击和威胁,把风险降到最低水平。
【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注,我们将会做得更好】
.
篇六:计算机网络安全设计方案
计算机网络及网络安全系统施工方案
一、系统构成
计算机网络平台是计算机应用的基础,本次网络系统对教育基地进行建设,包含各系统有线网络,包括楼层接入交换机、楼层汇聚交换机、核心交换机。项目需要建设一套计算机网络系统,此次在A栋一层信息机房内增加负载均衡、路由器、防火墙、上网行为管理、核心交换机、汇聚交换机、接入交换机。接入分内网及外网,外网包括电话、网络。内网主要是办公网。构建万兆骨干、千兆到桌面的高性能有线网络系统。
1、核心层核心层是网络互联的最高层次,具有如下能力:核心设备之间具有高速链路。完善的网络安全特性丰富的业务支持为网络其他部分提供互联在局域网中,核心层为各个楼层的以及各个部门之间提供互联和对服务器访问的服务。2、接入层接入层是面向最终的设备,主要功能如下:提供高密度的端口提供许可控制,包括:安全控制设备堆叠采用多层网络的设计方法,必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力;所谓扩充性是指根据实际需要,可以在各个不同层次实现升级和扩充,实现对网络可控的、有序的优化。在这种体系结构内,接入访问层为终端提供高速交换端口,并提供到网络分布层的上联链路。并在上行链路采用各种可用的技术,如MSTP(多生成树协议)等实现负载均衡和冗余链路,使得一旦上行链路出现故障,可以有快速的恢复能力。
各个接入的终端设备或局域网络全部通过接入层进入网络系统。在接入层采用第二和第三层交换技术来划分网段(工作组),提供故障或问题的隔离,使得核心网络免于外围故障的影响。
核心层连接各个不同的接入节点,节点之间提供冗余的、高带宽的交换数据通道,形成网络的核心结构。核心网络中同时会有第二和第三层交换技术的存在,但第三层交换应占有主导地位。第三层交换有利于网络的规模调整并为新的多址发送应用提供更好的性能和流量路由。过去第三层的交换部署在分布层,以便提供虚拟网络之间的互通能力。现在将第三层交换设计在核心网络中,更有利于网络的规模(扩充性)控制和安全控制,在核心网络中将选择高度可靠并具有容错能力的高端网络设备来构建。同时,将服务器群连接在高交换性能的核心网络中,结合虚拟网技术,为网络提供更安全、效率更高的应用效果。
二、施工方法
计算机网络系统实施是网络生命周期里的一个重要阶段,需要一个既了解设备又能理解复杂方案的合作伙伴,同时成功的网络实施要求具备高超的项目管理和专家知识。网络实施阶段由二个时期组成:
一、节点和网管工作站的安装和升级网络实施阶段由项目负责人协调。项目负责人和项目工程师协同工作,安装和设置所有硬件。节点安装时期工作包括:拆箱并清查设备;安装设备并上电;连接其它设备;下载软件;配置软件;排除故障并替换失效硬件;安装操作培训;最后项目负责人填写安装核查清单,并获得建设单位的签字确认。二、实施交割和完成项目计算机网络系统调试:1.设备测试测试目的是验证设备质量和配置是否合格。对每一台网络设备,均需进行如下所列的测试项目。(1)设备启动冷启动:对单个设备多次开关电源,观察能否正常启动。
热启动:单个设备正常启动后,用该产品的热启动命令进行热启动测试,观察能否正常启动。
(2)设备状态一般设备都有电源和每个物理端口的指示灯,配合相应产品的说明书,检查设备的指示灯是否正常。一台设备状态正常必须是所有指示灯正常。(3)配置检查用被测产品的相应命令检查网络设备的硬软件配置,特别注意软件版本。如显示的信息符合设备合同的要求及与产品说明一致,即为正常。(4)端口检查用被测产品的相应命令检查网络设备中端口配置,并用网络测试设备对端口进行速率、校验机制等进行测试。如测试结果符合设备合同的要求及与产品说明一致,即为正常。(5)物理检查对设备进行检查,记录网络设备(对模块结构的设备,还包括独立部件)出厂编号、产地、日期等内容,与合同和产品说明一致为正常。2.网络测试(1)网络性能指标测试测试目的是获取网络运行基本指标,以评判网络性能指标是否正常和达到设计要求。应测试带宽、利用率、吞吐量、精确度、延迟等指标。(2)带宽测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行可用带宽测试。测试结果达到良好、一般为合格。在双链路和负载均衡情况下,可用带宽应为单链路的1.8倍以上。(3)利用率测试1)网络带宽利用率测试以24小时为一个周期,分网段采用专用的网络测试设备进行网络带宽利用率测试抽查,每隔一分钟为一个统计点,并作好记录。要求测试最大利用率、最小利用率、平均利用率。网络带宽利用率=实际占用带宽/总带宽。平均利用率指标达到良好、一般为合格。
以太网平均利用率指标:0至20%范围内,网络状况良好;20%至40%范围内,网络状况一般;超过40%,网络状况较差。
2)设备利用率测试以24小时为一个周期,分网段采用专用的网络测试设备和产品管理软件进行设备利用率测试,每隔一分钟为一个统计点,并作好记录。要求测试最大利用率、最小利用率、平均利用率。平均利用率指标达到良好、一般为合格。(4)吞吐量测试在网络利用率最低和最高的时间段,采用FTP工具从网络中心的FTPSERVER下载和上传文件方法进行测试。文件的脚本分两类。一类为单个容量为100MB至1000MB的大文件,另一类为同等容量的一批1KB至10KB左右的小文件。在三种不同的环境下进行测试:第一种、在网络中心的两台工作站上做点到点的FTP测试,测试同一网段内的吞吐量,并记录FTP的时间。第二种、在不同网段的工作站上做同样的FTP测试,测试跨网段的吞吐量,并记录FTP的时间。第三种、在广域网的工作站上做同样的FTP测试,并记录FTP的时间。分析三次的结果是否稳定、正常。并作好记录(着重记录传输时间)。吞吐量=传输文件容量/传输时间。对于以太网,在网络利用率低的情况下,吞吐量指标大于等于可用带宽的98%为合格。对于IP广域网,以专线(物理、虚拟)方式组网,吞吐量指标大于等于专线带宽的80%为合格。(5)数据传输精确度测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等各进行数据传输精确度测试。主要测试以太网冲突率、差错率和丢失率和IP丢包率。冲突率=冲突帧总数/正确帧数*100%,差错率=错误帧数/正确帧数*100%。以24小时为一个周期,分网段采用专用的网络测试设备进行精确度测试,每隔一分钟为一个统计点,并作好记录。对广域网测试IP丢包率,指标为:0至1%范围内,网络状况良好;1%至2%范围内,网络状况一般;超过2%,网络状况较差。(6)负载测试针对每个网络产品采用专用网络测试仪对其进行流量加载,测试其负荷承受
篇七:计算机网络安全设计方案
由于各个系统的应用不同不能简单地把信息系统的网络安全方案固化为一个模式用这个模子去套所有的信息系本文根据网络安全系统设计的总体规划从桌面系统安全病毒防护身份鉴别访问控制信息加密信息完整性校验抗抵赖安全审计入侵检测漏洞扫描等方面安全技术和管理措施设计出一整套解决方案目的是建立一个完整的立体的多层次的网络安全防御体系
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。4.访问控制“防火墙”单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓
延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”“外防”“内审”相结合、、的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。所以应在安全计算机安装主机单位内网中安全审计系统采集的数据来源于安全计算机,传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。7.入侵检测系统IDS入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。8.漏洞扫描系统本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。三、结束语随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
http://www.21ask.com/htmls/v410921.htmlhttp://www.docin.com/p-87334866.html论文参考
篇八:计算机网络安全设计方案
一、客户背景
集团内联网主要以总部局域网为核心,采纳广域网方式和外地子公司联网。集团广域网采纳MPLS-VPN技术,用来为各个分公司供应骨干网络平台和VPN接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。
二、平安威逼某公司属于大型上市公司,在北京,上海、广州等地均有分公司。公司内部采纳无纸化办公,OA系统成熟。每个局域网连接着该全部部门,全部的数据都从局域网中传递。同时,各分公司采纳VPN技术连接公司总部。该单位为了便利,将相当一部分业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口。由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特殊慢的状况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络常常瘫痪,每次时间都持续几特别钟,网管简直成了救火队员,忙着清除病毒,重装系统。对外WEB网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响。(平安威逼依据拓扑图分析)从网络平安威逼看,集团网络的威逼主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及平安管理漏洞等信息平安现状:经过分析发觉该公司信息平安基本上是空白,主要有以下问题:公司没有制定信息平安政策,信息管理不健全。公司在建内网时和internet的连接没有防火墙。内部网络(同一城市的各分公司)之间没有任何平安保障为了让网络正常运行。依据我国《信息平安等级爱护管理方法》的信息平安要求,近期公司确定对该网络加强平安防护,解决目前网络出现的平安问题。
1/81/8
三、平安需求从平安性和好用性角度考虑,平安需求主要包括以下几个方面:1、平安管理询问平安建设应当遵照7分管理3分技术的原则,通过本次平安项目,可以发觉集团现有平
安问题,并且帮助建立起完善的平安管理和平安组织体系。2、集团骨干网络边界平安主要考虑骨干网络中Internet出口处的平安,以及移动用户、远程拨号访问用户的平
安。3、集团骨干网络服务器平安主要考虑骨干网络中网关服务器和集团内部的服务器,包括OA、财务、人事、内部WEB
等内部信息系统服务器区和平安管理服务器区的平安。4、集团内联网统一的病毒防护主要考虑集团内联网中,包括总公司在内的全部公司的病毒防护。5、统一的增加口令认证系统由于系统管理员须要管理大量的主机和网络设备,如何确保口令平安称为一个重要的问
题。6、统一的平安管理平台通过在集团内联网部署统一的平安管理平台,实现集团总部对全网平安状况的集中监
测、平安策略的统一配置管理、统计分析各类平安事务、以及处理各种平安突发事务。7、专业平安服务过专业平安服务建立全面的平安策略、管理组织体系及相关管理制度,全面评估企业网
络中的信息资产及其面临的平安风险状况,在必要的状况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事务状况下的处理实力,降低平安风险。
四、方案设计
骨干网边界平安集团骨干网共有一个Internet出口,位置在总部,在Internet出口处部署LinkTrustCyberwall-200F/006防火墙一台。在Internet出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统,通过交换机端口镜像的方式,将进出Internet的流量镜像到入侵检测的监听端口,LinkTrust
2/82/8
NetworkDefender可以实时监控网络中的异样流量,防止恶意入侵。在各个分公司中添加一个DMZ区,保证各公司的信息平安,内部网络(同一城市的各分公司)之间没有任何平安保障
具体部署如下图所示:
骨干网服务器平安集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等,以及专为此次项目配置的、用于平安产品管理的服务器的平安。主要考虑为在服务器区配置千兆防火墙,实现服务器区和办公区的隔离,并将内部信息系统服务器区和平安管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。漏洞扫描了解自身平安状况,目前面临的平安威逼,存在的平安隐患,以及定期的了解存在那些平安漏洞,新出现的平安问题等,都要求信息系统自身和用户作好平安评估。平安评估主要分成网络平安评估、主机平安评估和数据库平安评估三个层面。内联网病毒防护病毒防范是网络平安的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络平安的病毒防护方面应当采纳“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。
3/83/8
病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。增加的身份认证系统由于须要管理大量的主机和网络设备,如何确保口令平安也是一个特别重要的问题。减小口令危急的最为有效的方法是采纳双因素认证方式。双因素认证机制不仅仅须要用户供应一个类似于口令或者PIN的单一识别要素,而且须要其次个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式供应了比可重用的口令牢靠得多的用户认证级别。用户除了知道他的PIN号码外,还必需拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态改变的,大大提高了平安性。统一平安平台的建立通过建立统一的平安管理平台(平安运行管理中心—SOC),建立起集团的平安风险监控体系,利于从全局的角度发觉网络中存在的平安问题,并刚好归并相关人员处理。这里的风险监控体系包括平安信息库、平安事务收集管理系统、平安工单系统等,同时开发有效的多种手段实时告警系统,定制高效的平安报表系统。
五、网络管理:
推荐访问: 计算机网络安全设计方案 网络安全 设计方案 计算机