计算机网络安全方案设计并实现的论文.docVIP

　　计算机网络安全方案设计并实现的论文 作者：石重阳　陈颖峰　齐晓旭 　[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息，在对网络系统详细的需求分析基础上，依照计算机网络安全设计目标和计算机网络安全系统的总体规划，设计了一个完整的、立体的、多层次的网络安全防御体系。 　　[关键词] 网络安全方案设计实现 　　 　　一、计算机网络安全方案设计与实现概述 　　 　　影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 　　 　　二、计算机网络安全方案设计并实现 　　 　　1.桌面安全系统 　　用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。.特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。 　　本设计方案采用清华紫光公司出品的紫光s锁产品，“紫光s锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光s锁的内部集成了包括中央处理器（cpu）、加密运算协处理器（cau）、只读存储器（rom），随机存储器（ram）、电可擦除可编程只读存储器（e2prom）等，以及固化在rom内部的芯片操作系统cos（chip operating system）、硬件id号、各种密钥和加密算法等。紫光s锁采用了通过中国人民银行认证的smartcos，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对s锁进行操作。 　　2.病毒防护系统 　　基于单位目前网络的现状，在网络中添加一台服务器，用于安装imss。 　　（1)邮件防毒。采用趋势科技的scanmail for notes。该产品可以和domino的群件服务器无缝相结合并内嵌到notes的数据库中，可防止病毒入侵到lotuenotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何notes工作站或ail是notes domino server使用率最高的防病毒软件。 　　（2)服务器防毒。采用趋势科技的serverprotect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。 　　（3)客户端防毒。采用趋势科技的officescan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受s，登录域脚本，共享安装以外，还支持纯用户的所有键盘输入，用户实时控制键盘截获的开始和结束。 　　③监测监控ras连接：在用户指定的时间段内，记录所有的ras连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时，系统将自动进行报警或挂断连接的操作。 　　④监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息(包括:tcp， udp，bios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。 　　单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。 　　7.入侵检测系统ids 　　入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。 　　根据网络流量和保护数据的重要程度，选择ids探测器（百兆）配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 　　在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网