本文是安全管理论文,本论文从 C 企业的实际情况出发,根据其当前的整体网络安全体系,通过分析它的现状以及新的安全需要,总结了其目前存在的诸多问题。经过理论与实际相融合的方式,对 C 企业目前的网络安全体系进行了升级与改造,使 C 企业的网络安全现状得到了改善,推动了 C 企业在经营、管理、业务等方面的拓展和壮大。其中,此次研究取得的结论如下:通过实地考察和分析,发现 C 企业的网络安全体系不管是在网络部署、硬件环境搭建,还是在相关安全软件安装方面都存在一些安全隐患;该公司的业务区域划分,不管是从企业整体网络安全体系,还是从技术层面来看,都有安漏洞,不是很安全,网络的物理安全没有得到保障,尤其是内网电脑与 internet 连接时,如果公司内部有计算机中了电脑病毒,很大可能会感染到公司内部的其他所有网络设备;公司的管理层在网络安全的政策制定方面,以及普通员工的网络安全意识都有很大的提升空间;经过对 C 企业原有的网络安全结构进行改进,对其原来的网络区域的进行了适当调整,一系列措施都提高了企业网络的安全性。
........
第一章 绪论
在信息高度发展的今天,C 企业紧跟时代,通过电信百兆光纤接入,建立了自己的网络系统,将下属的分公司网络联系到一起,实现了文件传输、财务核算的网络化(网络化核算与网络化监督),全区域网络化、管理集中、数据集中。并将在网络上建立起内部的 WEB 服务系统等。尽管目前网络使用状况比较正常,尚无重大事故发生,但由于网络承担任务越发重要,网络安全的重要性逐渐凸显。本文通过分析企业内部网络中普遍存在的安全问题、企业网络安全体系建设方案及相关技术,针对 C 企业的网络特点,在对 C 企业网络拓扑分析的基础上,研究和制定了 C 企业网络安全改进整体的、多层次的、全方位的解决方案,使得该企业在各种网络威胁下能够满足企业对稳定性、可靠性和安全性的需求,保障了企业可持续生产经营。同时,本文通过对 C 企业进行了网络体系结构和网络风险的研究,并通过将提出的解决方案应用于该企业,验证了方案的可行性,并取得了预期的效果,从而为解决 C 企业网络安全提供了可实施的解决方案,并提高了网络安全管理及风险预警的能力。
.......
第二章 网络安全相关理论技术研究
2.1 网络安全体系
如图 2.1 所示,从安全体系实现的动态性角度来看,网络动态安全管理的设计模式充分考虑了风险评估、监控与检测、防御系统、安全策略的制定、响应与恢复等各方面,并且结合了每个部分之间的动态关系与依赖性。安全需求和风险评估是制定网络安全策略的依据。风险分析是指确定网络资产的安全威胁和脆弱性、并评估可能由此导致损失或影响的过程。风险分析有两种方法:定性分析和定量分析。制订网络安全策略的时候应从全局进行考虑,在风险分析结果的基础上进行决策,思考究竟是加大投入,采取更强有力的保护措施,还是容忍一些小的风险存在而不采取相应措施。根据安全策略的要求,我们应选择相应的安全机制和安全技术,实施安全防御系统、进行监控与检测。网络安全防御系统必须包括技术和管理两方面,涵盖OSI 各个层面上的诸多风险类。安全防御系统搭建得完善与否,直接决定了网络的安全程度,不管哪个层面上的安全措施做不位,都可能是很大的安全隐患,很有可能变成业务网络中的后门。
2.2 网络边界理论
信息泄密,网上的资源可以共同分享,但是没有经过授权的人员获得了他不应该获得的资源,信息就泄露了。通常信息泄露有两种方式:攻击者(未经授权的人)进入了网络并获取信息,这是来自网络内部的泄露,当合法用户进行正常业务时,局外人获得了信息,这是信息从网络外部泄露。入侵者的攻击,互联网是全球性的网络,网络中存在各种力量与团体。入侵是指有人通过互联网进入用户的网络(或其他渠道),篡改数据或进行破坏,导致用户的网络业务瘫痪,这种攻击是主动的、有目的、甚至可能是有组织的。网络病毒,与非安全网络业务相互联系,不可避免地将病毒带入通信中,一旦遭到网络中的攻击,业务受到很大影响,病毒的传播和攻击一般都具有不确定的随机特征。 这是一场“无对手”或“无意识”的攻击。
......
第三章 C 企业网络安全风险分析............11
3.1 C 企业网络结构现状..............12
3.2 C 企业网络系统中存在的安全问题............12
3.3 本章小结......13
第四章 C 企业网络安全需求及设计要求......................13
4.1 C 企业网络安全需求概述.................13
4.2 网络安全方案的设计原则..............17
第五章 C 企业网络安全改进方案....................19
5.1 划分安全区域.....................19
5.2 部署一体化安全网关.......................21
5.3 将部分服务器调整到 DMZ 区域...........................27
5.4 部署入侵防御系统.....................29
......
第五章 C 企业网络安全改进方案
5.1 划分安全区域
根据组织架构可以从逻辑上将网络大体看作两部分,一是内部生产办公网络部分(核心业务系统);二是组织外部机构部分。为了便于说明,逻辑上清晰,我们分别对上述两个网络运用安全域的方法分别进行阐述。根据安全域划分方法,将 C 企业的生产公网络和组织外部网络分别划分成互联网区域、外联区域、服务器区域、以及内网核心区域。划分的安全域如下图所示:划分安全域最主要是为了安全策略的落实,因为安全域边界一是根据网络来划分的,所以最常见的方式是,管理层面主要基于安全策略来制订各项制度和要求,在技术层面采用部署安全设备、使用相应安全技术等方法实现划分安全域后的安全要求。(1)落实安全策略通过制定安全策略、完善管理制度、明确安全域关系等方法来明确安全域内的实体安全域和客体安全域的安全策略。(2)制定访问控制实施规安全域之间的连接方式分为物理隔离、逻辑隔离和相互信任,主要依据安全策略来确定,并可通过安全策略来决定采取何种访问控制的方式。物理隔离可考虑在物理层断开连接或部署网闸;逻辑隔离可以考虑部署防火墙,或采用访问控制列表等访问控制手段;相互信任则可以考虑直接进行网络连接。
5.2 部署一体化安全网关
相比之下,ASIC 架构通过专门设计的芯片逻辑进行硬件加速处理。通过把指令或计算逻辑固化进芯片中从而获得高处理能力, ASIC 大大提升了安全网关的性能。目前,新一代的高可编程 ASIC 因为采用了更加灵活的设计,其应用逻辑可以由软件改变,因而获得了更广泛的适应能力。但是,ASIC 的缺点也同样明显,其灵活性和扩展性不够,研发经费较高,开发周期太长,一旦定型系统无法对功能性升级。故而 ASIC 构架仅仅适合于防范特征明显的网络层攻击。入侵者侧重将攻击隐藏在应用数据中,通过ASIC 构架的安全产品则不能做到快速更新或者对复杂的应用层数据展开完整的分析与检测,对新型攻击的防御能力差足。特别是对多功能集成的UTM 网关来说,杀毒、垃圾邮件过滤、网络监控等比较复杂的功能无法在芯片一级完成。
........
第六章 总结与展望
6.1 总结
本论文从 C 企业的实际情况出发,根据其当前的整体网络安全体系,通过分析它的现状以及新的安全需要,总结了其目前存在的诸多问题。经过理论与实际相融合的方式,对 C 企业目前的网络安全体系进行了升级与改造,使 C 企业的网络安全现状得到了改善,推动了 C 企业在经营、管理、业务等方面的拓展和壮大。其中,此次研究取得的结论如下: 通过实地考察和分析,发现 C 企业的网络安全体系不管是在网络部署、硬件环境搭建,还是在相关安全软件安装方面都存在一些安全隐患; 该公司的业务区域划分,不管是从企业整体网络安全体系,还是从技术层面来看,都有安全漏洞,不是很安全,
6.2 未来展望
本论文通过理论和技术两者相结合的方式,分析了 C 企业网络安全的现状,研究现在 C 企业网络安全中存在的一系列问题,同时提出了改进方案与实施计划,与 C 企业以前的网络安全方案对比,针对性和实用性得到了加强。然而,网络安全是一个不断发展、永无止境的过程,虽然旧问题解决了,但是新技术、新病毒会随着时间的发展不断涌现,在将来,入侵手段的将更加隐蔽,相应的破坏力也会比现在更加的巨大,所以,企业网络安全防护体系不是一个一劳永逸的事情,需要不断的发展去解决新问题。同时,企业网络安全涉及到了企业网络系统、数据库系统、主机系统、管理等各个方面,因此本论文中的有些地方还需要进一步的深入和细化。
参考文献(略)
