信息安全技術論文3000「網絡安全分析報告論文」

摘要：隨着計算機和網絡技術的廣泛應用，信息網絡安全問題逐漸得到重視。在初期，部分企業就已經開始構建了自己的信息網絡安全系統，但隨着研究的深入、技術的發展，部分企業初期建立的信息網絡安全系統已經不能滿足企業的需求，並且存在諸多的安全隱患。在此背景下，越來越多的企業開始重新考慮企業信息網絡系統的安全性。論文正是基於目前這種狀況，以某企業為例，對該企業的信息網絡安全進行分析，提出相應的信息網絡安全解決設計方案，以期為其它企業提高信息網絡安全提供參考範例。

關鍵字：信息網絡安全； 信息網絡安全系統； 安全管理；

第一章簡介

第一節：某企業概況

某企業是一家生產型企業，創建於20世紀70年代，總公司位於南京，經過多年發展，分支機構已遍布全國，下轄省級分公司、地市支公司和營業部。在建立初期，某公司的信息網絡安全系統安全性極高，並且能滿足公司業務的需求。但隨着相關研究的深入、技術的發展以及公司業務模式、管理模式的變化，如今的信息網路安全系統已經出現較多的安全漏洞和安全隱患，並對公司業務的正常開展產生一定的負面影響。因此，現在急需根據某企業實際業務需求以及現有的技術、設備對信息網絡安全系統進行重新設計、部署。

第二章現狀分析

第一節：網絡安全的定義及特點

2.1.1網絡安全定義

網絡安全是指通過各種技術和管理使網絡系統正常運行，免受各種侵害的保護措施。

2.1.2網絡安全的特點

保密性信息小泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數據未經授權小能進行改變的特性。可用性：可被授權實體訪問並按需求使用的特性。可控性：對信息的傳播及內容具有控制能力。可審查性：出現安全問題時提供依據與手段。

第二節某企業網絡安全現狀分析

2.2.1企業制度小健全

管理制度小健全、責權小明、缺乏可操作性都可能引起網絡安全的少風險。當網絡出現攻擊行為時，無法提供黑客攻擊行為的追蹤線索及破案依據；當有內部人員出現違規操作時，無法進行實時的檢測、監控、報告與預警。

2.2.2安全意識淡薄

在具有嚴格訪問權限的系統中，使用弱密碼的用戶有可能成為安全系統中的缺陷，甚至有些人隨意改動系統註冊表，使得整個網絡安全系統失效。

2.2.3企業內部網絡局限性。據調查，在己有的網絡安全攻擊事件中，大多數是來自內部網絡的侵犯，來自掃L構內部局域網的威脅包括：誤用和濫用關鍵、敏感數據；隨意設置IP地址；內部人員無意泄露內部網絡的網絡結構；企業內部員工網絡隱患防範意識差。

2.2.4受到外部攻擊。我們就曾經遭受過衝擊波、震蕩波、ARP病毒的攻擊，導致系統莫名重啟，無法聯網的情況；現在操作系統的漏洞層出不窮，我們應該防範於未然，充分利用現有的桌而安全管理系統和Norton防病毒系統，將問題消火在萌芽狀態。

第三節企業網絡安全需求分析

鑒於以上計算機網絡所而臨的安全性威脅、以及企業口前的購置能力和需求，我們本着以局域網信息安全保護為重點的總體設想，提出構造安全網絡結構和加強計算機病毒防範，從而建立起一套適用於企業信息網的最基本的安全體系結構。

2.3.1網絡正常運行。即使有非法訪問企圖，能夠被阻擋在內部網外，保證網絡系統繼續正常運行。滿足基本的安全要求，是該網絡成功運行的必要條件，在此基礎上提供強有力的安全保障，是建設企業網絡系統安全的重要原則。

2.3.2網絡管理。網絡部署，數據庫及其他服務器的資料不被竊取。企業網絡內部部署了眾多的網絡設備、服務器，保護這些設備的正常運行，維護主要業務系統的安全，是企業網絡的基本安全需求。

2.3.3服務器、PC和Internet/Intranet網關的防病毒保障。對於各種各樣的網絡非法訪問和攻擊，以及日益猖獗的病毒襲擊，阻擋非法訪問並抵禦網絡攻擊和清除病毒危害，以保證正常的靈活高效的網絡通訊及信息服務，是需要解決的首要問題。

2.3.4提供靈活高效且安全的內外通訊服務。

第三章網絡安全構架分析與解決方案及實施

3.1.1微軟域用戶策略部署方案設計

1、簡化管理，提供對用戶、應用程序和設備的單一性、一致性的管理點。

2、加強安全性，向用戶提供單一的網絡資源登錄，為管理員提供有效監管

理工具，以便有效地管理集團局域網和廣域網上各類計算機用戶。

3、安全策略統一部署，向所有活動目錄用戶提供統一的安全策略部署機制，

所有用戶在加入域並登錄域後可以自動執行集團統一的安全策略，保證客戶端系

統的安全性，避免由於客戶端用戶自身水平和安全意識的差異而產生安全隱患。

3.1.2防火牆部署及VLAN規劃設計

ULAN技術己經成為提高網絡運轉效率、提供最大程度的可配置性而普遍采

用非常成熟的技術，因此集團內部整個局域網絡採用ULAN劃分技術，將局域網絡劃分成不同的子網，各子網之間的訪問受到限制，避免病毒的傳播及信息泄露。

所有交換機採用VTP技術，把CISCO 6513和CISCO 4507設為VTPSERVER，所有CISCO 3550-48-SMI交換機設為VTP CLIENT， VTP DOMAIN均設為LANGCHAO} CISCO 6513和CISCO 4507與所有CISCO 3550-48-SMI之間分別做TRUNK，封裝類型選擇ISL。

3.1.3信息傳輸加密系統設計

在集團內部許多員工都是通過郵件傳輸各種工作信息和商業信息，因此郵件信息傳輸的安全性至關重要。集團郵件加密系統採用公鑰加密體系和對稱密鑰加密體系相結合的方式，公鑰加密體系主要採用RSA算法，對稱密鑰加密體系主要採用ides加密算法，公鑰簽名算法主要採用SHA-1算法。由於RSA進行的都是大數計算，使得RSA最快的情況也比DES慢上100倍，無論是軟件還是硬件實現。速度一直是RSA的缺陷，一般來說只用於少量數據加密。

第二節用戶權限管理系統設計

3.2.1用戶與角色管理設計

用戶管理主要實現在系統中根據業務需要對用戶進行管理，包括增加用戶，

修改用戶和刪除用戶等；在整個系統設立一個隸屬於集團公司的集團公用賬號授予該賬號的權限被集團內的所有用戶自然繼承；進行安全級別管理，對於賦予該用戶的數據資源進行過濾，如果該用戶的安全級別低於賦予的數據資源的級別，則用戶不能訪問該資源；每次創建一個法人組織機構，就自動創建一個該法人組織機構下的公司級公用賬號，授予該賬號的權限被法人內部的所有用戶自然繼承。除集團公共用戶和公司級公共用戶之外的用戶必須自動代理集團公共賬號和公司級公共用戶。角色管理主要實現根據業務需要對系統中的角色進行管理，包括對角色的增加、修改和刪除。

3.2.2資源管理設計

數據資源管理主要實現定義可訪問的數據資源，根據業務需要對數據資源進行查詢和維護等工作，一般情況下，該功能由超級管理員或系統管理員進行操作。

3.2.3審計管理設計

審計管理主要包括在線用戶管理，在線用戶歷史記錄管理，安全日誌管理等功能，通過審計管理系統的實施，增強了系統的安全性。 在線用戶管理主要實現根據業務需要對在線用戶進行查詢，可以查看在線用戶的詳細信息，必要時還可以終止特定用戶的會話。在線用戶歷史記錄管理的主要功能是根據業務需要查詢出用戶的在線歷史記錄，此功能主要由超級管理員和系統管理員進行操作。

第三節防病毒系統設計

3.3.1集團整體防病毒系統規劃設計

首先進行全方位，多層次防病毒部署部署多層次病毒防線，分別是服務器防病毒、郵件防毒、客戶端防毒；其次郵件病毒的防範作為防病毒的重點目前集團許多辦公信息通過郵件進行傳輸。再次防毒不完全依靠病毒代碼，而是對病毒發作整個生命周期進行管理當一個惡性病毒入侵時，整個防毒系統要有完善的預警機制、清除機制、修復機制來保障病毒的高效處理。

3.3.2域策略及複雜密碼策略的實施

為了加強整個集團網絡系統的安全性，在整個集團內部實施了微軟地域用戶管理策略，每一位員工進入公司後都需要登錄域才能夠訪問公司資源，以保證公司網絡系統資源的安全，採用微軟域登錄策略後，用戶登錄系統必須進行域用戶密碼驗證，這樣增強了系統的安全性，同時防止了非法用戶入侵網絡系統。為了進一部增強系統的安全性，對於用戶密碼全部實施複雜密碼策略，所有用戶密碼要求至少8位以上，包括數字、大寫字母、小寫字母和特殊字符等至少3種以上字符。

第四章 企業網絡設計方案的測試

4.1.1測試平台

OPNET可以提供功能強大的編輯器實現對仿真網絡或協議進行詳細的刻畫。常用的編輯有如下幾個部分：

（1）網絡編輯器（Network Editor ）。

（2）節點編輯器（Node Editor ）。

（3）進程編輯器（Process Editor ）。

（4）表格式編輯器（Packet Format Editor ）。

（5）探針編輯器（Probe Editor ）。

4.1.2測試流程

（1）確定網絡仿真的目的，分析需要處理的問題和對象，對網絡的拓撲結構、網絡設備、網絡協議和網絡鏈路等具體內容做詳盡的了解；（2）根據要處理的問題和對象建立相應的網絡拓撲結構模型；（3）驗證網絡模型，對網絡模型進行修改，將現有網絡數據與優化後的網絡數據進行比較，最後完善模型；（4）定義輸入和輸出，設置仿真參數以及要收集的統計量，如延遲（Delaysec）和負載（Load bits/sec）等；（5）運行仿真；（6）統計結果，得出結論並提交仿真報告，仿真報告既可使用圖像處理的形式，也可使用數據分析的形式。

第三節測試結果

這裡通過闡述網絡仿真和性能測量的步驟和方法，並運用OPNET Modeler對設計完成的局域網進行了部分端點的仿真。本文對企業網絡架構進行研究分析，然後根據中小型企業的資金能力和對網絡的需求進行詳細的分析，再對組建企業網所涉及的多方面技術進行對比，最終得到符合某企業目前形勢的企業網絡設計方案。

第五章總結

。防火牆作為網絡邊界的第一道防線，由最初的路由器設備配置訪問策略進行安全防護，到形成專業獨立的產品，己經充斥了整個網絡世界。在網絡安全領域，隨着黑客應用技術的不斷“傻瓜化”，入侵檢測系統IDS的地位正在逐漸增加。一個網絡中，只有有效實施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患於未然!