企业网络安全设计论文3篇
以下是学习啦小编为大家带来的企业网络安全设计论文,欢迎大家阅读!!!
企业网络安全设计论文一:
计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,防火墙应用等,重点针对企业网络中出现的网络安全问题,作了个介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分.
一、网络威胁、风险分析
随着通讯技术和计算机技术的飞速发展,网络正逐步成为当今社会发展的一个主题,其改变着人们的工作方式和生活方式。网络的互连性,开放性,共享性程度的扩大,然而网络的重要性和对社会的影响也越来越大主要是Internet的出现。随着数字货币,电子现金,电子商务和政府上网以及网络银行等网络行为的出现,网络安全的问题变得越来越重要。
(一)其他网络的攻击
据数据统计,在美国网络中每400封电子邮件里就有一封可能携带病毒。电脑病毒是如今社会网络业发展的最大危害,它们往往通过电子邮件这个传播途径使用户的整个电脑系统都处于瘫痪状态。据“Security Portal”的报告,计算机病毒事件在1999年计算机安全问题上排名第一位,然而与计算机病毒相关的黑客问题也在其中占有相当大的比例。从科研人员的分析结果科研看出计算机病毒的表现有以下新特点:
当今社会电子邮件已经成为计算机病毒传播的主要媒介,它的比例占所有计算机病毒传播媒介的56%。由于电子邮件可以附带任何类型的文件,所以几乎所有类型的计算机病毒都可通过它来进行快速传播,事实上,有一些电子邮件病毒根本就没有附件,因为它本身就是一个HTML。在不久前出现的许多的计算机病毒就无需用户打开附件就会感染文件,如果用户的邮件可以自动打开HTML格式的邮件,那么该计算机病毒就会立刻感染用户的系统。
近年来由于互联网的快速发展,互联网出现了许多新一代的计算机病毒种类,比如包含蠕虫、木马、电子邮件计算机病毒、以及恶意ActiveX Control和Java Applets的网页等黑客程序。其种类、数量正在迅速激增。同时,根据最新数据统计计算机病毒的数量正在急剧增加,现在每天都有超过40种新计算机病毒出现,因此每年的新型计算机病毒就有就有1.2万种左右出现,这样的数目超过了截至1997年为止世界上计算机病毒的总数。然而最近又出现了很多专门针对掌上电脑和手机的计算机病毒。
计算机病毒造成的破坏日益严重。2000年5月“I Love You”情书病毒的影响,全球的损失预计已经高达100亿美元,而受CIH计算机病毒在全球造成的损失据估计已超过10亿美元。对于行业的用户当系统每死机一小时其损失都在650万美元以上,其包括电视机构、证券公司、国际航运公司、信用卡公司和邮购公司在内,然而对于Internet公司,尚无人能统计其损失的金额。
(二)管理及操作人员缺乏安全知识
我们认为,全面的安全管理体系是由全面的安全产品解决方案、雇员的培训、事后的安全审计、安全策略制定、安全策略架构的实施、企业系统风险评估、安全架构制定等部分有机结合,构成的完善的管理体系。全面的安全产品解决方案是包含在系统的各个方面和层次上部署相应安全产品的工具。
现代计算机网络要加强系统的总体安全级别,必须从应用业务系统、网络、计算机操作系统甚至系统安全管理规范,因为安全隐患会隐藏在系统的各个角落,使用人员应该考虑安全意识等各个层面统筹。木筒装水的多少决定于最矮的木板,然而系统的总体安全级别就象装在木筒中的水,系统安全级别的高低取决于系统安全管理最薄弱的环节。所以我们对系统安全管理应该是多方面的、多层次的,要从网络、应用系统、操作系统各个方面来提高系统的安全级别,还要把原来通过管理规定由使用人员自觉维护的安全规则用系统来自动实现,来加强系统的总体安全性。
二、网络安全总体设计
据统计,在英国50%的用户口令都是宠物名称,而在全世界销售的150,000套防火墙中有85%的防火墙没有正确的配置,60%的防火墙按缺省设置安装。然而对于系统安全的维护和管理需要各种层次的系统和安全专家才能完成。如果没有专业人员的介入,根据实际情况对安全管理产品进行详细地配置,对于企业的策略进行设计和安全管理规范,就算功能再强大的安全产品也会达不到非常好的安全防护作用。
三、安全系统的建设原则
“使入侵者花费不可接受的金钱与时间,并且承受非常高的风险才可以闯入的系统叫做安全系统。我们认为,绝对安全与可靠的信息系统并不存在。然而安全性的增加通常会导致企业费用的增长,这些费用包括系统复杂性增加、系统性能下降、操作与维护成本增加和系统可用性降低等等。安全不是目的而是一个过程。威胁与弱点会随时间变化。然而安全的努力依赖于许多因素,例如新业务应用的实施、职员的调整、安全漏洞和新攻击技术与工具的导入。
企业网络安全设计论文二:
1.网络安全技术架构策略
网络安全建设是一项系统工程,该企业网络安全体系建设按照“统一规划、统筹安排、统一标准、相互配套”的原则组织实施,采用先进的“平台化”建设思想、模块化安全隔离技术,避免重复投入、重复建设,充分考虑整体和局部的关系,坚持近期目标与远期目标相结合。在该企业广域网络架构建设中,为了实现可管理的、可靠的、高性能网络,采用层次化的方法,将网络分为核心层、分布层和接入层3个层次,这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,3个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。
2.局域网络标准化
(1)中心交换区域
局域网的中心交换区域负责网络核心层的高性能交换和传输功能,提供各项数据业务的交换,同时负责连接服务器区域、网络管理区域、楼层区域、广域网路由器和防火墙设备等,此外还要提供分布层的统一控制策略功能。具体到安全防护层面,可通过部署防火墙模块、高性能网络分析模块、入侵探测系统模块实现安全加固。
(2)核心数据服务器区域
因为数据大集中和存储中心已经势在必行,可建设专门的核心数据区域,并采用2台独立的具有安全控制能力的局域网交换机,通过千兆双链路和服务器群连接。在安全防护方面,可在通过防火墙模块实现不同等级安全区域划分的同时,部署DDOS攻击检测模块和保护模块,以保障关键业务系统和服务器的安全不受攻击。
(3)楼层区域
楼层交换区域的交换机既做接入层又做分布层,将直接连接用户终端设备,如PC机等,因此设备需要具有能够实现VLAN的合理划分和基本的VLAN隔离。
(4)合作伙伴和外包区域
提供合作伙伴的开发测试环境、与内部数据中心的安全连接及与Internet区域的连接通路。
(5)外联网区域
企业营销系统需要与银行等外联网连接,建议部署银行外联汇接交换机,通过2条千兆链路分别连接到核心交换机。并通过防火墙模块划分外联系统安全区域。
(6)网络和安全管理区域
为了对整个网络进行更加安全可靠的管理,可使用独立的安全区域来集中管理,通过防火墙或交换机模块来保护该区域,并赋予较高的安全级别,在边界进行严格安全控制。
3.统一互联网出口
对于该企业的广域网络,统一互联网络出口,减少企业广域网络与互联网络接口,能够有效减少来自外网的安全威胁,对统一出口接点的安全防护加固,能够集中实施安全策略。面对企业各个分支机构局域网络都与互联网络连接的局面,将会给企业广域网络安全带来更大的威胁。由于综合业务数据网络作为相对独立的一个大型企业网络,设置如此众多的互联网出口,一方面不利于互联网出口的安全管理,增加了安全威胁的几率;另一方面也势必增加互联网出口的租用费用,提高了运营成本。
由于该企业综合数据网的骨干带宽是622M,在综合数据网络上利用MPLS 开出一个“互联网”,使各分支的互联网访问都通过这个通道建立链接。通过统一互联网络出口,强化互联网接入区域安全控制,可防御来自Internet的安全威胁,DMZ区的安全防护得到进一步加强;通过提供安全可靠的远程接入,互联网出口的负载均衡策略得到加强,对不同业务和不同用户组的访问服务策略控制,有效控制P2P等非工作流量对有限带宽的无限占用,能够对互联网访问的NAT记录进行保存和查询。
4.三层四区规划
提出“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略,并提出了“三层四区”安全防护体系的总体框架。基于这一设计规范,并结合该企业网络的实际情况,未来公司的网络区域可以划分为企业生产系统和企业管理信息系统,其中企业生产系统包括I区和II区的业务;企业管理信息系统包括III区和IV区的业务。I区到IV区的安全级别逐级降低,I区最高,IV区最低。
在上述区域划分的基础上,可在横向和纵向上采用下列技术方式实现不同安全区域间的隔离。
(1)纵向隔离
在未来调度数据网建成后,将安全区I和安全区II运行在独立的调度数据网上,安全区III和安全区IV运行在目前的综合数据网上,达到2网完全分开,实现物理隔离。在调度数据网中,采用MPLS 将安全区I和安全区II的连接分别分隔为实时子网和非实时子网,在综合数据网中,则采用MPLS 将互联网连接和安全区III及安全区IV的连接分开,分为管理信息子网和互联网子网。
(2)横向隔离
考虑到I区和II区对安全性的要求极高,对于I区和II区进行重点防护,采用物理隔离装置与其他区域隔离;而在I区和II区之间可采用防火墙隔离,配合分布式威胁防御机制,防范网络威胁;考虑到III区和IV区之间频繁的数据交换需求,III区和IV区之间视情况采用交换机防火墙模块进行隔离,并在区域内部署IDS等安全监控设备,在骨干网上不再分成2个不同的;由于外部的威胁主要来自于Intern过出口,因此可在全省Internet出口集中的基础上,统一设置安全防护策略,通过防火墙与III区、IV区之间进行隔离。
5.综合数据网安全防护
综合业务数据网,主要承载了0A、95598、营销、财务等应用系统,同时也在进行SCADA/EMS等调度业务的接入试点。
采用网络安全监控响应中心为核心的分布式威胁防御技术,对全网的病毒攻击和病毒传播进行主动防护,通过关联网络和安全设备配置信息、NetFlow、应用日志和安全事件,从中心的控制台实时发现、跟踪、分析、防御、报告和存储整个企业网络中的安全事件和攻击。同时分布式威胁防御手段不但用于对综合数据骨干网进行安全防护,而且通过建立2级安全监控响应中心,对包括综合数据网、企业本部局域网、分支机构局域网在内的全网设备进行监控。
6.总结
局域网、广域网、互联网以及企业网络系统特有的三层四区架构从技术层面形成了一套较为完备的网络安全防护体系,但“三分技术、七分管理”,在进行技术改良的同时,还需要对公司的网络信息安全管理进行相应的优化调整,可将目前分散化的管理模式转变为合乎未来发展趋势的集中式管理模式,并通过设置专门的网络信息安全管理职能部门加强对相关规章制度执行效果的管控,突出安全管理主线,从而真正实现技术与管理的齐头并进,为企业营造一个高效、安全的网络环境。
企业网络安全设计论文三:
一、企业内网通信模型
当前绝大多数企业内网的接入层网络访问是基于以太网协议规范的,常见的有10/100BaseT、100BaseFx、1000BaseT等规范。在带宽方面支持从10Mbps到1000Mbps速率集,从线缆材质上又分为双绞线和光缆。企业内网接入层的通信模式主要有三种:VLAN内部通信、VLAN间通信、外网通信。
VLAN内部通信方式主要是存在于某个VLAN中的主机与本VLAN中的其他主机进行通信的过程。这个通信过程只需要通过第二层交换即可完成。该通信过程经过如下几个步骤完成:(1)通信发起方在已知接收方IP地址的情况下,对接收方IP地址及自己的子网掩码进行逻辑与运算,以检查接收方IP地址是否与自己处于同一网段。(2)因为需要对数据报文在第二层数据链路层进行封装,发送方接下来会发送ARP广播来查询接收方的MAC地址。当发送方发出ARP查询报文后,由于是广播报文,于是交换机会将该报文向除了接受该报文的接口之外的其他所有接口发出。(3)报文到达数据接受方之后,接收方会以自己的MAC地址作为回应发送给发送方。这样以来,发送方在本地ARP缓存表中就有了接收方的IP与MAC地址的对应关系。
缓存表中包含了接收方的IP地址和MAC地址,发送方主机可以利用这些地址对应关系进行二层和三层封装。PDU封装完成后,随即被发送给交换设备。本地交换设备通过查询自身的MAC地址表,然后将数据帧从正确的端口上转发出去。最终接收方收到了数据,并依据现有信息对数据作出回应。
二、企业内网安全防护体系的设计
企业内网接入层安全防护系统需要满足如下功能需求:(1)能够及时得知接入交换机的运行状态,并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取,需要覆盖多个接入层楼宇,并且对交换机的日志能够持久存储以备查阅。(2)能够确定攻击源在接入交换机中的位置,并进行隔离使其无法影响其他上网主机,对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。(3)设备的控制需要对网络管理员透明化,提供对多厂商交换设备的支持,控制功能需要使用公共标准协议,能够监控接入设备的服务状态和IP可达状态。并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作,能够将其转化为交换设备可以识别的指令。(4)提供安全的用户登录验证功能,能够让用户使用除静态用户名密码之外的第三种认证方式,保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用,有效防范帐户密码盗取。(5)能够提供基本的用户权限功能,管理员、维护员和普通用户三层管理权限,分别对应全部操作权限、后期维护权限、日志查看权限。对网络管理员需要提供对接入网络设备日志信息和攻击主机信息的查询,对管理员权限的用户除提供查询功能之外,还要提供对攻击主机进行隔离和解除隔离的操作功能。对于维护员来说,除了提供查询功能外,只允许其具备对已隔离攻击主机的解除隔离操作。上网用户不具备系统的操作权限,只具备攻击主机信息的查询功能。
三、安全管理
在用户登录验证方面,本系统使用了基于双因素用户验证的登录功能。用户验证使用双因素验证,用户除了使用用户名与密码之外,还需要使用一个同步码。同步码是由令牌生成,与服务器上产生的同步码一致。用户登录验证时,需要在特定时间段内输入同步码,所以即便是用户的密码被盗了,也不会导致系统被攻击,大大增强了系统的安全性。
网络设备日志分析方面,主要研究通过SYSLOG服务,将接入层交换机的日志信息捕获,以便于对接入交换机的运行状况进行动态分析。通过分析对接入层的三大攻击行为进行定位,为下一步操作做铺垫。日志信息同步数据量极大,但对细节数据的准确性要求不高,主要以大量数据宏观分析得出结果。所以,日志信息同步功能的可靠性要比数据准确性更加重要。它要能够持续的接收分析大量数据。
接入网络设备控制功能是系统同接入层网络设备进行交互的窗口,对攻击主机进行隔离等操作需要通过它来完成,所以它需要具备对接入层设备进行控制操作的能力。这种能力是通过TELNET和SNMP协议完成的。本文着重研究了TELNET与SNMP的开发接口以及对设备控制功能的实现。总而言之,系统对日志分析功能得出的结果,最后进行隔离操作是通过本功能直接完成的。
日志记录与存储方面,用户对攻击目标的操作和系统对攻击目标的隔离的记录都通过本功能完成。这个功能在实际使用过程中,主要用于攻击目标的事后处理。数据存储功能则是将日志分析结果数据、隔离操作记录等数据存入数据库,由于系统的数据量较大,没有使用复杂的数据持久化组件,而是单独实现数据库连接池的功能,轻量简便。日志分析功能包含了SYSLOG套接字的创建,数据读取分析两大主要功能。其中SYSLOG套接字的创建主要目的是为了接收交换机发至UDP514端口的日志信息。数据分析的主要目的有两个,一是判断当前网络运行是否正常,二是如果不正常,需要确定攻击源的信息。SYSLOG套接字用于将接入交换机发来的日志信息进行读取,然后交与日志处理逻辑对日志进行分割。日志处理逻辑使用正则表达式对日志分割完成后,数据分两部分流向,日志信息本身交由数据库存储逻辑处理,另一向交由攻击主机判定逻辑分析攻击主机信息。对于设备控制模块交互逻辑,当自动隔离攻击主机开关打开时,向设备控制模块发送控制指令。
