網絡安全畢業(yè)設計--企業(yè)網絡中信息安全維護

1、<p><b>　　畢業(yè)設計</b></p><p>　　題 目：　 </p><p>　　系部（院）：　 </p><p>　　專 業(yè)：　

2、 </p><p>　　學 號：　 　　 </p><p>　　姓 名：　　 </p><p>　　指導教師：　 　 　　　　

3、 </p><p><b>　　內容摘要</b></p><p>　　現代計算機系統(tǒng)功能日漸負責，網絡功能日漸強大，正在對社會的各行各業(yè)產生巨大的影響，但同時對于其開放性的特點，使的安全問題越來越突出。然而，隨著人們對計算機網絡的以來依賴程度日漸加深，網絡安全也表現的越來越重要。網絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限，這樣，

4、伴隨計算機與通信技術的迅猛發(fā)展，網絡攻擊與防御技術交替遞升，原來網絡股固有優(yōu)越性的開放性和互聯性間接變成了信息的安全一環(huán)。網絡安全已變成越來越棘手的問題，只要是介入到因特網中的主機都有可能被攻擊或者入侵，而遭受到安全問題的困擾。我們經?？梢月牭胶诳蛯δ髽I(yè)的信息資源進行入侵、篡改和破壞的報道，所以分析和研究增強網絡的安全功能，構建一個安全的企業(yè)網絡系統(tǒng)是非常重要的。</p><p>　　關鍵詞：網絡安全 信息交流

5、 信息 攻擊</p><p><b>　　目 錄</b></p><p><b>　　一、緒論1</b></p><p>　　（一）問題的提出1</p><p>　?。ǘ┈F階段網絡安全的分析1</p><p>　　1、黑客的攻擊1</p>&

6、lt;p>　　2、管理的欠缺1</p><p>　　3、網絡的缺陷2</p><p>　　4、軟件的漏洞2</p><p>　　5、企業(yè)網絡內部2</p><p>　　二、網絡安全策略3</p><p>　?。ㄒ唬┓婪兜闹攸c和對象3</p><p><b>

7、;　　1、對外3</b></p><p><b>　　2、對內3</b></p><p>　?。ǘ┢髽I(yè)網絡安全方案3</p><p>　　1、在公司網絡中采用VPN技術3</p><p>　　2、采用防火墻技術（屏蔽子網體系結構）4</p><p>　　3、入侵

8、檢測技術5</p><p>　　4、使用AAA服務器進行遠程用戶的驗證6</p><p>　?。ㄈ嶒烌炞C7</p><p>　　（四）網絡內部維護工作13</p><p>　　1、限制員工的工作系統(tǒng)權限13</p><p>　　2、更換管理員賬戶14</p><p>　

9、　3、關閉不必要的端口14</p><p>　　4、隱藏IP地址15</p><p>　　5、對IE進行安全設置15</p><p><b>　　三、結論16</b></p><p><b>　　參考文獻18</b></p><p>　　企業(yè)網絡中信息安全維

10、護</p><p><b>　　緒論</b></p><p><b>　　問題的提出</b></p><p>　　國際標準化組織（ISO）將“計算機安全”定義為：“為數據處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全

11、兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即計算機、網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不因偶然或惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)可靠、正常地運行，使網絡服務不中斷。自網絡問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計算機網絡資源共享的進一步加強隨之而來的信息安全問題也日益突出，各種計算機病毒和黑客（Hacker

12、s）對網絡的攻擊越來越激烈，許多企業(yè)遭受破壞的事例不勝枚舉。</p><p>　　現階段網絡安全的分析</p><p>　　當前的網絡面臨的主要威脅主要來自下面幾方面：</p><p><b>　　黑客的攻擊</b></p><p>　　黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現。然而安全工具的更新速度

13、太慢，絕大多數情況需要人為的參與才能發(fā)現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發(fā)現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。</p><p><b>　　管理的欠缺</b></p><p>　　網絡系統(tǒng)的嚴格管理是企業(yè)、機構及用戶免受攻擊的重要措施。事實上，很

14、多企業(yè)、機構及用戶的網站或系統(tǒng)都疏于這方面的管理。據 IT 界企業(yè)團體ITAA 的調查顯示，美國 90％的 IT 企業(yè)對黑客攻擊準備不足。目前，美國 75％－85％的網站都抵擋不住黑客的攻擊，約有 75％的企業(yè)網上信息失竊，其中 25％的企業(yè)損失在 25 萬美元以上。</p><p><b>　　網絡的缺陷</b></p><p>　　因特網的共享性和開放性使網上信息

15、安全存在先天不足，因為其賴以生存的 TCP/IP 協議族，缺乏相應的安全機制，而且因特網最初的設計考慮是該網不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。</p><p><b>　　軟件的漏洞</b></p><p>　　隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門 ”也不可避免的存在，比

16、如我們常用的操作系統(tǒng)，無論是 Windows 還是 UNIX 幾乎都存在或多或少的安全漏洞，眾多的各類服務器、瀏覽器、一些桌面軟件、等等都被發(fā)現過存在安全隱患。大家熟悉的沖擊波、震蕩波等病毒都是利用微軟系統(tǒng)的漏洞給企業(yè)造成巨大損失，可以說任何一個軟件系統(tǒng)都可能會因為程序員 的一個疏忽、設計中的一個缺陷等原因而存在漏洞，這也是網絡安全的主要威脅之一 。</p><p

17、><b>　　企業(yè)網絡內部</b></p><p>　　網絡內部用戶的誤操作，資源濫用和惡意行為再完善的防火墻也無法抵御來自網絡內部的攻擊，也無法對網絡內部的濫用做出反應。</p><p><b>　　網絡安全策略</b></p><p><b>　　防范的重點和對象</b></p>

18、<p><b>　　對外</b></p><p>　　防止外部的非法訪問，防止黑客的入侵，保證整個企業(yè)內部網絡的安全，保證企業(yè)的網絡通信的暢通。</p><p><b>　　對內</b></p><p>　　公司內部可能有一些員工對公司有不滿情緒，對企業(yè)的網絡直接發(fā)起攻擊，因為他們的計算機直接在企業(yè)防火墻的內

19、部，對企業(yè)網絡內部發(fā)起攻擊會比外部的黑客入侵有更大的危險性，防火墻無法了解和阻斷這些攻擊，因此內部網絡安全的防范必須給予高度的重視。</p><p><b>　　重點部門的防范</b></p><p>　　企業(yè)內部一些重點部門（如財務部）由于這些部門存放有公司的一些重要資料，因此必須重點保護。</p><p><b>　　企業(yè)網絡安全

20、方案</b></p><p>　　在公司網絡中采用VPN技術</p><p>　　虛擬專用網絡(Virtual Private Network，VPN)是指將物理上分布在不同地點的局域網，通過公共網絡（Internet）構建成一個邏輯上的專用網絡，實現安全可靠、方便快捷的通信。</p><p>　　圖2-1 VPN的作用原理</p><

21、;p>　　Intranet VPN（簡稱內部VPN）是企業(yè)的總部與分支機構之間通過公網構筑的虛擬網。 </p><p>　　Intranet VPN是一種網絡到網絡以對等方式連接的拓撲結構。Intranet VPN通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。</p><p>　　圖2-2 VPN應用</p><p>　　采用防火墻技

22、術（屏蔽子網體系結構）</p><p>　　防火墻（Firewall）實際上是一種隔離技術，它將內部網和外網分開，在兩者之間設置一道屏障，防止來自不明入侵者的所有通信。同時防火墻也是一種網絡安全設備，它自身具有較強的抗攻擊能力，它對兩個網絡之間傳輸的數據包按照一定的安全策略來實施檢查、過濾，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。 </p><p>　　防火墻功能：過濾進出網絡

23、的數據包；管理進出網絡的訪問行為；封堵某些禁止的訪問行為；記錄通過防火墻的信息內容和活動；對網絡攻擊進行檢測和告警。</p><p>　　屏蔽子網（Screened Subnet）體系結構使用兩個包過濾路由器和一個堡壘主機在內部網絡和外部網絡之間建立一個“非軍事區(qū)”（Demilitarized Zone，DMZ）。DMZ又稱為屏蔽子網，它將內部網絡和外部網絡分開，內部網絡和外部網絡均可訪問DMZ，但禁止它們穿過D

24、MZ通信。從而迫使源于內網主機的業(yè)務流和源于外網主機的業(yè)務流都必須經過堡壘主機。</p><p>　　圖2-3 屏蔽子網（DMZ）</p><p><b>　　入侵檢測技術</b></p><p>　　入侵檢測（Intrusion Detection，ID），是指對入侵行為的檢測。它通過收集和分析計算機網絡或計算機系統(tǒng)中若干關鍵點的信息，檢查網

25、絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。 </p><p>　　入侵檢測功能：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關鍵資源和數據文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。</p><p>　　入侵檢測系統(tǒng)包括響應單元和時間數據庫。響應單元是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性

26、等強烈反應，也可以只是簡單的報警；時間數據庫是存放各種中間和最終數據的地方的統(tǒng)稱，它可以是復雜的數據庫，也可以是簡單的文本文件。</p><p><b>　　入侵檢測基本流程</b></p><p>　　圖2-4 入侵檢測技術（IDS）工作流程</p><p>　　IDS的部署方式：一臺IDS連接核心交換機，時時獲得網絡流量 ，時時監(jiān)控外網與內

27、網的所有通信流量</p><p>　　圖2-5 入侵檢測系統(tǒng)（IDS）部署</p><p>　　使用AAA服務器進行遠程用戶的驗證</p><p>　　AAA是驗證、授權和記賬（Authentication、Authorization、Accounting ）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在

28、使用網絡資源的用戶進行記賬。</p><p>　　使用AAA服務器驗證功能，可以代替路由器來驗證遠程用戶的登錄信息（telnet用戶名、密碼），這樣所有用戶的登錄信息就全在AAA服務器上而不是在路由器中，這可以防止當路由器受到攻擊被攻陷時路由器中的用戶信息暴露。</p><p><b>　　AAA服務器工作：</b></p><p>　　圖2-

29、6 AAA服務器工作原理</p><p><b>　　實驗驗證</b></p><p>　　實驗目的：使用路由器 AAA功能提供安全遠程登錄。</p><p><b>　　需求分析</b></p><p>　　要實現遠程登錄用戶的安全訪問，可以利用路由器的 AAA 認證功能。同時出于穩(wěn)定性的考慮，在

30、 AAA 認證方法列表中配置兩種認證方法，RADIUS 服務器認證和本地認證，優(yōu)先選擇 RADIUS 服務器認證，當 RADIUS服務器沒有響應時選擇本地認證方法。</p><p><b>　　實驗拓撲</b></p><p><b>　　實驗過程</b></p><p>　　步驟 1 配置路由器接口地址。 </

31、p><p>　　Router(config)#interface FastEthernet 0/0 </p><p>　　Router(config-if)#ip address 192.168.1.1 255.255.255.0 </p><p>　　Router(config-if)#no shutdown </p><p>　　步驟 2

32、 配置路由器 AAA 認證方法列表。 </p><p>　　Router(config)#aaa new-model </p><p>　　Router(config)#username tree password test </p><p>　　Router(config)#aaa authentication login test group radius l

33、ocal</p><p>　　Router(config)#radius-server host 192.168.1.222 </p><p>　　步驟 3 在線路上應用 AAA認證方法列表。 </p><p>　　Router(config)#line vty 0 4 </p><p>　　Router(config-line)#lo

34、gin authentication test </p><p>　　Router(config-line)#end</p><p>　　步驟 4 搭建 AAA 服務器</p><p><b>　　安裝AAA服務器</b></p><p><b>　　確定安裝必須的條件</b></p>

35、;<p><b>　　完成安裝</b></p><p>　　填寫客戶端（路由器）地址</p><p>　　添加用戶賬戶并設置，并設置用戶賬戶等級</p><p><b>　　查看創(chuàng)建的用戶賬戶</b></p><p>　　步驟 5 AAA認證測試</p><p&g

36、t;　　配置完成后，從 PC 機上用命令 telnet 192.168.1.1 遠程登錄到路由器上，同時在路由器上用 debug aaa 命令開啟 AAA認證調試信息，在認證通過時，可以看到如下調試信息。</p><p>　　從調試信息可以看到，認證通過，認證方法為通過 group RADIUS服務器認證。</p><p>　　將 RADIUS服務器從網絡上斷開，重復上面的測試過程，查看調

37、試信息如下：</p><p>　　從調試信息可以看到，在認證過程中，由于方法一 RADIUS服務器認證沒有響應，因此超時后，嘗試第二鐘方法：本地認證，最后認證通過。</p><p>　　當使用權限為0的賬號登錄時，只能進入用戶模式</p><p>　　當使用權限為15的賬號登錄時，可以成功進入特權模式</p><p><b>　　網

38、絡內部維護工作</b></p><p>　　除了從硬件設施上對網絡進行維護，在內部網絡中也要做好相應的對策。</p><p>　　限制員工的工作系統(tǒng)權限</p><p>　　在企業(yè)工作系統(tǒng)中設置各部門員工對企業(yè)文件的不同訪問權限，根據各部門員工的崗位以及職責對企業(yè)工作系統(tǒng)中的文件進行權限設置。如圖（圖中只為示例，具體可根據實際情況安排）：</p&g

39、t;<p>　　盡量不要讓其他人使用你的電腦系統(tǒng),因為他們有可能引入有惡意的軟件或病毒,感染你的電腦系統(tǒng).如果必需和他人共用你的電腦系統(tǒng),你也必須限制第三者對資料夾或硬盤的存取權限.</p><p>　　避免使用共享文件夾,若真有此必要,則在共享文件夾設定使用者的名稱和密碼,這樣可限制已被感染的電腦透過共享文件夾感染你的電腦系統(tǒng).</p><p><b>　　更換管

40、理員賬戶</b></p><p>　　Administrator賬戶擁有最高的系統(tǒng)權限，一旦該賬戶被人利用，后果將會不堪設想。黑客在入侵時的常用手段之一就是試圖獲得Administrator賬戶的密碼，所以我們要對Administrator賬號進行重新配置。首先為Administrator賬號設置一個復雜強大的密碼，然后重命名Administrator賬號，在建立一個沒有管理權限的賬戶并將其命名為Ad

41、ministrator，以此欺騙入侵者。這樣一來，入侵者就很難搞清楚哪個賬戶真正擁有管理員權限，也就在一定程度上減少了威脅。</p><p><b>　　關閉不必要的端口</b></p><p>　　黑客在入侵時常常會掃描計算機端口，如果安裝了端口監(jiān)視程序（如Netwatch），監(jiān)視程序就會有警告提示，如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如用Norton

42、 Internet Security 關閉用來提供網頁服務的80 和443端口，其他一些不常用的端口也可以關閉。</p><p><b>　　隱藏IP地址</b></p><p>　　黑客經常利用一些網絡探測技術來查看主機信息，主要目的就是為了得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他

43、可以像這個IP地址發(fā)動各種攻擊，比如DoS拒絕服務攻擊、F bop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器，使用后其他用戶只能探測到代理服務器的IP地址，之就實現了隱藏用戶IP地址的目的，保障了上網安全。</p><p><b>　　對IE進行安全設置</b></p><p>　　ActiveX控件和Java有較強的功能，但也存在被利用的隱患，網頁中的惡意代

44、碼就往往是利用這些控件編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊就要禁止這些惡意代碼的運行。設置步驟：工具→Internet選項→安全→自定義級別。另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。</p><p><b>　　結論</b></p><p>　　企業(yè)在注重信息化的同時更加應該注

45、重網絡信息的安全，企業(yè)信息化在各企業(yè)帶來便捷的同時也帶來了更大的風險。隨著信息技術的飛速發(fā)，網絡及網絡信息安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域。以網絡方式獲取和傳播信息已成為現代信息社會的重要特征之一。網絡技術的成熟使得網絡連接更加容易，人們在享受網絡帶來便利的同時，網絡的安全也日益受到威脅。網絡設計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限，這樣，伴隨計算機與通信技術的迅猛發(fā)展，網絡攻

46、擊與防御技術交替遞升，原來網絡固有優(yōu)越性的開放性和互聯性變成信息的安全性隱患之便利橋梁。網絡安全已變成越來越棘手的問題，只要是接入到因特網中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。</p><p><b>　　參考文獻</b></p><p>　　[1] 劉化君，網絡安全技術，機械工業(yè)出版社，2008年9月；</p><p>　　[

47、2] 謝希仁，計算機網絡，西安電子工業(yè)出版社，2010年2月；</p><p>　　[3] 許志坤，網絡滲透技術，西安電子工業(yè)出版社，2010年5月；</p><p>　　[4] 徐明 張海平，網絡信息安全， 西安電子科技大學出版社，2009年12月；</p><p>　　[5] 王慧強，計算機網絡知識要點，哈爾濱工程大學出版社，2009年10月；</p&g