1、绪 论 . 2 第一章:企业网络安全分析 . 3 一、现状分析 . 3 1.1 Internet 的安全性 . 3 1.2企业内网的安全性 . 4 1.3 项目背景 . 4 1.4 项目分析 . 6 1.4.1 安全设备分布 . 6 1.4.2 网络设备安全现状 . 7 1.4.3 服务器部署现状 . 7 1.4.4 客户端计算机 . 8 1.4.5 无线局域网安全现状 . 8 1.4.6 网络隐患、风险分析 . 9 1.5 项目需求 . 11 1.5.1 网络安全需求 . 11 1.5.2 网络访问安全需求 .12 1.6 项目规划 .12 1.6.1 服务器安全规划 .13 1.6.2 客
2、户端安全规划 .14 1.6.3 网络设备安全规划 .15 1.6.4 无线准备安全规划 .16 1.6.5 防火墙、 IDS、 IPS 规划 .17 1.6.6 局域网接入安全规划 .18 1.6.7Internet 接入安全规划 .18 1.6.8 远程接入安全规划 .19 1.6.9 网络可靠性 规划 .20 第二章:企业网络安全的实际应用 .20 2.1 企业网络安全实施 .20 2.2 网络传输的实施 .21 2.3 访问控制 .24 2.4 入侵检测 .24 2.5 漏洞扫描 .25 2.6 其它 .26 2.6.1 应用系统安全 .26 2.6.2 系统平台安全 .26 2.6.
3、3 应用平台安全 .26 2.7 病毒防护 .26 2.8 产品应用 .27 2.9 数据备份 .30 2.10 安全审计 .31 2.11 认证、鉴别、数字签名、抗抵赖 .31 2.12 物理安全 .32 2.13 两套网络的相互转换 .32 2.14 应用 .32 2.15 防电磁辐射 .32 2.16 网络防雷 .33 2.17 重要信息点的物理保护 .33 新疆农业职业技术学院 摘 要 网络安全的本质是网络信息的安全性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程体现。网络安全管理是 在防病毒软件、防火墙或智能网关等构成的防御体系下,
4、对于防止来自网外的攻击 。 防火墙, 则是 内外网之间一道牢固的安全屏障 。 安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。 绪 论 随着网络的高速发展,网络的安全问题日益突出 , 近年 来 ,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在 企业 网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在 “ 重技术、轻安全、轻管理 ” 的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入, 企业 网在 企业 的信息化建设中已经在扮演了至关重要的角色,作 为数字化信息
5、的最重要传输载体,如何保证 企业网络能正常的运行不受各种网络黑客的侵害就成为各个 企业 不可回避的一个紧迫问题 。 新疆农业职业技术学院 第一章:企业网络安全分析 随着 企业 信息化的不断推进,各 企业 都相继建成了自己的 企业 网络并连入互联网, 企业 网在 企业 的信息化建设中扮演了至关重要的角色。但必须看到,随着 企业 网络规模的急剧膨胀 ,网络用户的快速增长,尤其是 企业 网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证 企业 网络能正常的运行不受各种网络黑客的侵害就成为各个 企业 不可回避的一个紧迫问题,解决网络安全问题刻
6、不容缓。 现状分析 随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于 Internet/Intranet 环境中。但是, Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 大型企业不断发展的同时其网络规模也在不 断的扩大,由于其自身业务的需要,在不同的地区建有分公司或分支机构,本地庞大的 Intranet 和分布在全国各地的 Intr
7、anet 之间互相连接形成一个更加庞大的网络。这样一个网网相连的企业网为企业提高了效率、增加企业竞争力,同样,这样复杂的网络面临更多的安全问题。首先本地网络的安全需要保证,同时总部与分支机构、分支机构之间的机密信息传输问题,以及集团的设备管理问题,这样的网络使用环境一般存在下列安全隐患和需求: 1.1 Internet的安全性 目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet 的可靠性和安全性,保护 Internet、加强网络安全建设已经迫在眉捷。 新疆农业职业技术学院 1.2企业内网的安全性 企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据
8、完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。具体表现如下: 计算机病毒在企业内部网络传播。 内部网络可能被外部黑客攻击。 对外的服务器(如: www、 ftp、邮件服务器等)没有安全防护, 容易被黑客攻击。 内部某些重要的服务器或网络被非法访问,造成信息泄密。 内部网络用户上网行为没有有效监控管理,影响日常工作效率,容易形成内部网络的安全隐患。 分支机构网络安全问题。 大量的垃圾邮件占用网络和系统资源,影响正常的工作。 分支机构网络和总部网络连接安全和之间数据交换的安
9、全问题。 远程、移动用户对公司内部网络的安全访问。 1.3项目背景 假设某 企业拥有员工 2000 余人,公司总部坐落在省会城市高新技术开发区,包括 4 个生产 车间和两栋职工宿舍楼,产品展示、技术开发与企 业办公均在总公司 进行。该企业在外地另开设有两家分公司,由总公司进行统一管理和部署。目前,该企业的拓扑结构图如图 1-1 所示,基本情况如下。 1、 公司局域网已经基本覆盖整个厂区,中心机房位于 总公司, 职工宿舍楼新疆农业职业技术学院 和生产车间均有网络覆盖。 2、 网络拓扑结构为“星型 +树型”,接入层交换机为 Cisco Catalyst 2960,汇聚层交换机为 Cisco Cat
10、alyst 3560,核心层交换机为 Cisco Catalyst 3560 3、 现有接入用户数量为 500 个,客户端均使用私有 IP 地址,通过防火墙或代理服务器接入 Internet。部分服务器 IP 地址为公有 IP 地址。 4、 Internet 接入区的防火墙主要提供 VPN 接入功能,用于远程移动用户或子公司网络提供远程安全访问。 5、 会议室、员工宿舍等 场所部署无线接入点,实现随时随地无线漫游接入。 6、 服务器操作系统平台多为 Windows Server 2003 和 Windows Server 2008系统。客户端系统为 Windows XP Professiona
11、l 和 Windows 7 7、 网络中部署有 Web 服务器,为企业网站运行平台。 8、 企业网络办公平台为 WSS,文件 服务器可以为智能大厦的办公用户提供文件共享、存储于访问。 9、 E-mail、 RTX 为 用户员工之间的彼此交流,以及企业与外界的通信网络。 10、 打印服务和传真服务主要满足 企业 用户网络办公的应用。 11、 企业分支结构通过 VPN 方式远程接入总部局域网,并且可以访问网络中的共享资源。 图 1-1 项目背景 新疆农业职业技术学院 1.4项目分析 在普通小型局域网中,最常见的安全防护手段就是在路由器后部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在路
12、由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。但是,在 较大的 企业网 络中,许多重要应用都要依赖网络,势必对网络的安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访问控制与安全配置措施,加固网络安全。 1.4.1 安全设备分布 1. 防火墙 由于企业局域网采用以太网接入方式,所以直接使用防火墙充当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问列表和静态路由信息。另外,在会议室、产品展示厅等公共环境中的汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。 2. IPS IPS( Intrusion Preven
13、tion System,入侵防御系统)部署在 Internet 接入区的路由器和核心交换机之间,用于扫描所有来自 Internet 的信息,以便及时发现网络攻击和制定解决方案。 3. IDS IDS( Internet Detection System,入侵检测系统 ) 本身是一个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需要在网络上被动地、无声息地收集相应的报文即可。 IDS 无法跨越物理网段收集信息,只能收集所在交换机的某个端口上的所有数据信息。该网络中的 IDS 部署在安全需求最高的服务区,用于实时侦测服务器区交换机转发的所 有信息,对收集来的报文, IDS 将提取相应的流
14、量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据默认的阀值,匹配耦合度较高的报文流量将被认为是进攻,IDS 将根据相应的配置进行报警或进行有限度的反击。 4. Cisco Security MARS Cisco Security MARS(Monitoring Analysis Response System)是基于设备的全方位解决方案,是网络管理的关键组成部分。 MARS 可以自动识别、管理并新疆农业职业技术学院 抵御安全威胁,它能与现有网络和安全部署协作,自动识别 并隔离网络威胁,同时提出准确的清除建议。在本例企业网络中, MARS 直接连接在核心交换机上,用
15、于收集经过核心交换机的所有数据信息,自动生成状态日志,供管理员调阅。 1.4.2 网络设备安全现状 当网络中的交换机、路由器等网络设备都是可网管的智能设备,并且提供Web 管理方式,同时配置了基本的安全防御措施,如登陆密码、用户账户权限等。 1. 交换机和路由器安全设置 交换机的主要功能就是提供网络所需的接入接口。目前,该网络中基于交换机的安全管理仅限于 VLAN 划分、 Enable 密码和 Telnet 密码等基本安全措施,并未进行任 何高级安全配置,如流量控制,远程监控、 IEEE802.1x 安全认证等,存在较大的安全隐患。 企业网络采用以太网接入 Internet,而网络中部署的网络
16、防火墙已具备接入功能,所以该网络中的路由器上只配置简单的静态路由、访问控制列表和网络地址转换,可以满足基本的安全要求。 2. 办公设备安全配置 企业网络中的集中办公设备包括打印机和传真机,均支持网络接入功能,部署在楼层的集中办公区。由于缺乏访问权限控制措施,致使网络打印机和传真机被滥用,造成不必要的资源浪费。另外,用户计算机到打印机之间的数据传输是未经加密的明文,存 在一定的安全隐患。 1.4.3 服务器部署现状 网络中应用服务器包括域控制器、 DHCP 服务器、文件服务器、传真服务器、网络办公平台、数据库服务器等,其中有许多网络服务合用一台服务器,网络中共有服务器 10 台,通过单独的交换机
17、高速连接至核心交换机,完全采用链路冗余结束双线连接,确保连接的可靠性。 所有服务器均已加入域中,接受域控制器的统一管理,并且已开启远程终端功能,用户可以使用有效的管理员账户凭据远程登录服务器,实现相应的配置与管理任务。 新疆农业职业技术学院 1.4.4 客户端计算机 客户端计算机主要以 Windows 操作系统为主,极 少数用户是运行 Linux 和Mac OS 操作系统。客户端计算机的安全防御比较薄弱,仅限于用户账户登录密码、个人防火墙、杀毒软件等。因此,由于个别客户端感染病毒而导致网络瘫痪的问题时有发生。对于 Windows 系统而言,应用最多的 Windows XP Profession
18、al和 Windows Vista 系统已经集成了比较完善的安全防御功能,如 Internet 防火墙、 Windows 防火墙、 Windows Defender、 Windows Update 等,客户端用户只需对这些功能简单配置,即可增强系统安全性。 另外, 对于中型规模的企业网络而言,统一的网络管理才是最重要的。例如,统一配置客户端计算机安全功能、增强网络访问控制、部署 NAP 系统、部署 WSUS服务器等。 1.4.5 无线局域网安全现状 在企业网络中部署无线局域网,延伸了有线局域网的覆盖范围,避免网络布线对现有整体布局和装修的破坏,既是环境需求,也是企业发展和生存的需要。用户在无线
19、网络覆盖范围内可以自由访问网络,充分享受无线畅游的便利。但是,由于无线网络传输的特殊性,无线局域网的安全问题也是不容忽视的。该企业网络中的无线网络安全问题,主要表现在以下几个方面 。 1. WEP 密钥发布问题 802.11 本身并未规定密钥如何分发。所有安全性考虑的前提是假定密钥已通过与 802.11 无关的安全渠道送到了工作站点上,而在实际应用中,一般都是手工设置,并长期固定使用 4 个可选密钥之一。因此,当工作站点增多时,手工方法的配置和管理将十分繁琐且效率低下,而且密钥一旦丢失, WLAN 将无安全性可言。 2.WEP 用户身份认证方法的缺陷 802.11 标准规定了两种认证方式:开放
20、系统认证和共享密钥认证。 开发系统认证是默认的认证方法,任何移动站点都可加入 BSS( Basic Service Set,基本服务集),并可以跟 AP( Access Point,接入点)通信,能“听到”所有未加密的数据,可见,这种方法根本密钥提供认证,也就不存在安全性。 新疆农业职业技术学院 共享密钥认证是一种请求响应认证机制: AP 在收到工作站点 STA( Static Timing Analysis,静态时序分析)的请求接入消息时发送询问消息, STA 对询问消息使用共享密钥进行加密并送回 AP, AP 解密并校验消息的完整性,若成功,则允许 STA 接入 WLAN。攻击者只需抓住加
21、密前后的询问消息,加以简单的数字运算就可以得到共享密钥生成的伪随机密码流,然 后伪造合法的响应消息通过AP 认证后接入 WLAN。 3.SSID 和 MAC 地址过滤 WEP 服务集标识 SSID 由 Lucent 公司提出,用于对封闭网络进行访问控制。只有与 AP 有相同的 SSID 的客户站点才允许访问 WLAN。 MAC 地址过滤的想法是AP 中存有合法客户站点 MAC 地址列表,拒绝 MAC 地址不在列表中的站点接入被保护的网络。但由于 SSID 和 MAC 地址很容易被窃取,因此安全性较低。 4 WEP 加密机制的天生脆弱性 WEP 加密机制的天生脆弱性是受网络攻击的最主要原因, W
22、EP2 算法作为802.11i 的安全标准, 对现有系统改进相对较小并易于实现。 1.4.6 网络隐患、风险分析 企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面: 1 内部窃密和破坏 企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员 (或外部非法人员利用其它部门的计算机 )通过网络进入内部网络,并进一步窃取和破坏其中的重要信息 (如领导的网络帐号和口令、重要文件等 ),因此这种风险是必须采取措施进行防范的。 2 搭线 (网络 )窃听 这种威胁是网络最容易发生的。 攻击者可以采用如 Sni
23、ffer 等网络协议分析工具,在 INTERNET 网络安全的薄弱处进入 INTERNET,并非常容易地在信息传输过程中获取所有信息 (尤其是敏感信息 )的内容。企业网络系统来讲,由于存在跨越 INTERNET 的内部通信 (与上级、下级 )这种威胁等级是相当高的,因此也是本方案考虑的重点。 新疆农业职业技术学院 3 假冒 这种威胁既可能来自企业网内部用户,也可能来自 INTERNET 内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名 /口令等敏感信 息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方
24、式获取其不能阅读的秘密信息。 4 完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息 /数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于 XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。 5 其它网络的攻击 企业网络系统是接入到 INTERNET 上的,这样就有可能会遭到 INTERNET上黑客、恶意用 户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措
25、施进行防范。 6 管理及操作人员缺乏安全知识 由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备 /系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。 由于网络安全产品的技术含量大,因此, 对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。 7 雷击 由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等
