网络工程规划与设计案例教程项目二_任务二_企业网络安全解决方案的设计.doc

企业网络安全解决方案设计目 录 1. 绪论 1 1.1 安全信息管理 1 1.2 网络安全的脆弱性 1 1.2.1 操作系统的安全脆弱性 1 1.2.2 网络安全的脆弱性 1 1.2.3 数据库管理系统的安全脆弱性 2 1.2.4 防火墙的局限性 2 1.2.5 天灾人祸 2 1.2.6 其他方面的原因 2 1.3 网络安全模型 2 1.4 企业局域网的应用 3 2. 网络系统安全风险分析 3 2.1 物理安全风险分析 5 2.2 网络平台的安全风险分析 5 2.2.1 公开服务器面临的威胁 5 2.2.2 整个网络结构和路由状况 5 2.3 系统的安全风险分析 5 2.4 来自局域网内部的威胁 6 2.4.1 应用的安全风险 6 2.4.2 管理的安全风险 6 2.4.3 不满的内部员工 6 2.4.4 来自互联网的威胁 6 3. 企业局域网的安全设计方案 7 3.1 企业局域网安全设计的原则 8 3.1.1 一致性原则 8 3.1.2 易操作性原则 8 3.1.3 分步实施原则 8 3.1.4 多重保护原则 8 3.1.5 可评价性原则 8 3.2 安全服务、机制与技术 9 3.2.1 安全服务 9 3.2.2 安全机制 9 3.2.3 安全技术 9 3.3 企业局域网安全配置方案 9 3.3.1 物理安全技术 9 3.3.2 路由器安全 9 3.3.3 防火墙技术安全配置 10 3.3.4 内部网络隔离 10 3.3.5 企业局域网防病毒设置 11 3.3.6 攻击检测技术及方法 12 3.3.7 审计与监控技术实施 13 3.3.8 系统备份及恢复方案 13 4. 企业局域网安全管理 13 4.1 安全管理规范 13 4.1.1 安全管理原则 13 4.1.2 安全管理的实现 14 绪论 随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全技术来保护知识产权，但它们经常会遇到这些技术所固有的限制因素难题。 无论当今的技术标榜有何种能力，它们通常均不能够集中监控和控制其它第三方异构安全产品。大多数技术都未能证实有至关重要的整合、正常化和关联层，而它们正是有效安全信息管理基础的组成部分。寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合，是当今所有IT安全专业人士面临的最严峻挑战。 安全信息管理有效的安全信息管理主要关键是要求企业管理其企业安全，并同时在风险与性能改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。通过企业解决方案，企业可有效的确保信息资产保密性、完整性和可用性。 网络安全的脆弱性 计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展，但计算机网络系统的安全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗打击力和防护力很弱，其脆弱性主要表现在如下几个方面。 操作系统的安全脆弱性 操作系统不安全，是计算机系统不安全的根本原因。 网络安全的脆弱性 使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。 （1）计算机硬件的故障 由于生产工艺和制造商的原因，计算机硬件系统本身有故障， （2）软件本身的“后门” 软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置的，一方面为软件调试进一步开发或远程维护提供了方便，但同时也为非法入侵提供了通道，入侵者可以利用“后门”多次进入系统。 常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。 （3）软件的漏洞 软件中不可避免的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操作系统中的BUGS。 数据库管理系统的安全脆弱性 大量信息存储在数据库中，然而对这些数据库系统在安全方面的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套，例如，DBMS的安全级别是B2级，操作系统的安全级别也应是B2级，但实践中往往不是这样。 防火墙的局限性 防火墙依然存在着一些不能防范的威胁，例如不能防范不经过防火墙的攻击，及很难防范网络内部攻击及病毒威胁等。 天灾人祸 天灾指不可控制的自然灾害，如地震、雷击等。 人祸是指人为因素对计算机网络系统构成的威胁，人祸可分为有意的和无意的，有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不良后果，如文件的误删除、误输入，安全配置不当，用户口令选择不慎，账号泄露或与别人共享。 其他方面的原因 如环境和灾害的影响，计算机领域中任何重大的技术进步，都对安全性构成 新的威胁等。 总之，系统自身的脆弱和不足，是造成网络安全问题的内部根源，但系统本身的脆弱性，社会对系统的依赖性这一