【正文】 網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然 的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)信息的保密性完整性可用性可控性可審查性的問題。 (一 )網(wǎng)絡(luò)安全的內(nèi)容 網(wǎng)絡(luò)安全涉及的因素有物理安全、系統(tǒng)安全、信息安全。 物理安全 :保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個計算機(jī)信息系統(tǒng)安全的。 系統(tǒng)安全 :系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。 信息安全 :信息存儲及傳遞中的完整性私密性及不可否認(rèn)機(jī)制。 (二 )網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) 網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)主要包括身 份認(rèn)證技術(shù)、訪問控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防范技術(shù)、安全管理技術(shù)等。 二、課題需解決的問題及設(shè)計思想 1 安全性 a 黑客的非法入侵和攻擊； b 網(wǎng)絡(luò)病毒； c 內(nèi)部人員的攻擊 2 可操作性 為用戶提供親切的交互界面是構(gòu)建安全局域網(wǎng)系統(tǒng)的基本要求。作為一個良好的系統(tǒng)，必須能夠很方便的實(shí)施，并且功能明確、特點(diǎn)鮮明，易于管理和維護(hù)。在設(shè)計時我們要綜合考慮用戶的情況，簡化系統(tǒng)的層次結(jié)構(gòu)和操作環(huán)節(jié)，從最終西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 2 用戶的角度出發(fā)，為其提供良好的可操作性。 3 擴(kuò)展性 由于實(shí)際的實(shí)施情況千差萬別，而且用戶的網(wǎng)絡(luò)拓?fù)湟搽S著 技術(shù)規(guī)模的不斷發(fā)展而變化，所以安全局域網(wǎng)系統(tǒng)應(yīng)該具有良好的擴(kuò)展性，以適應(yīng)用戶不斷變化的需求。 4 經(jīng)濟(jì)性 系統(tǒng)應(yīng)當(dāng)具有良好的性能價格比，在提供高性能服務(wù)的前提下，盡可能地節(jié)省資金投入。同時系統(tǒng)應(yīng)該盡量降低操作和維護(hù)的開銷，便于自動化管理，節(jié)省管理和維護(hù)等后續(xù)費(fèi)用。 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 3 第 二 章 安全風(fēng)險分析 一、 網(wǎng)絡(luò)平臺的安全風(fēng)險分析 網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 公開服務(wù)器面臨的威脅 ： 這個企業(yè)局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（ WWW、 EMAIL 等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運(yùn)行后者 受到攻擊，對企業(yè)的聲譽(yù)影響巨大。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入Inter 節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對 Inter安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 ： 安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，用作與Inter 連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。 二、 系統(tǒng)的安全風(fēng)險分析 所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。 網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性 ， 我們可以這樣講：沒有完全安全的操作系統(tǒng)。但是，我們可以對現(xiàn)有的操作平臺進(jìn)行安全配置、 對操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 4 三、 應(yīng)用的安全風(fēng)險分析 應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完 整性、假冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進(jìn)行保密的（比如領(lǐng)導(dǎo)子網(wǎng)、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進(jìn)行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進(jìn)行加密。 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 5 第 三 章 安全需求與安全目標(biāo) 一、 安全需求分析 通過前面我們對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護(hù)、防黑客和病毒上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做 到： 公開服務(wù)器的安全保護(hù) ； 防止黑客從外部攻擊 ； 入侵檢測與監(jiān)控 ； 病毒防護(hù) ； 數(shù)據(jù)安全保護(hù) ； 數(shù)據(jù)備份與恢復(fù) 。 針對這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求： （重點(diǎn)是可用性和可控性）； ，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置； 、維護(hù)，并便于自動化管理，而不增加或少增加附加操作； ，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； ，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證； 。 二、 系統(tǒng)安全目標(biāo) 建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 。 將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信 。 建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全 。 對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕 。 西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 6 加強(qiáng)合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度 。 全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作 和黑客攻擊行為 。 備份與災(zāi)難恢復(fù) —— 強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù) 。 西安思源學(xué)院本科畢業(yè)論文（設(shè)計） 7 第四章 企業(yè)局域網(wǎng)的安全分析與設(shè)計 一、某企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 圖 41企業(yè)原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 二、網(wǎng)絡(luò)結(jié)構(gòu)說明 這個企業(yè)局域網(wǎng)是一個信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它為企業(yè)的各部門提供了一個快速、方便的信息交流平臺。在分析企業(yè)局域網(wǎng)安全風(fēng)險時，應(yīng)考慮以下該網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)： 網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接，可能通過外網(wǎng)傳播進(jìn)來的病毒，黑客攻擊以及自外網(wǎng)的非授權(quán)訪問等；網(wǎng)絡(luò)中存在公開服務(wù)器，避免公開服務(wù)器的安全風(fēng)險擴(kuò)散到內(nèi)部；該局域網(wǎng)中存在許多不同的 子網(wǎng)，不同的子網(wǎng)有不同的安全性，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分隔開，這可以由交換機(jī)劃分 VLAN 來實(shí)現(xiàn)。 局域網(wǎng)內(nèi)用戶之間以及與外網(wǎng)用戶的敏感信息交流，需要保證信息傳輸過程中的安全性，可以通過增加 VPN 服務(wù)器和 VPN 路由器等來實(shí)現(xiàn)建立安全的通信隧道；在應(yīng)用程序開發(fā)時應(yīng)考慮加強(qiáng)用戶登錄驗(yàn)證，防止非授權(quán)訪問。 三、網(wǎng)絡(luò)安全風(fēng)險分析 目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：非授權(quán)訪問，信息泄露或丟失，破壞數(shù)西安思源學(xué)院本科畢業(yè)論文（設(shè) 計） 8 據(jù)完整性，拒絕服務(wù)攻擊，利用網(wǎng)絡(luò)傳播病毒。因此，應(yīng)該做到：公開服務(wù)器的安全保護(hù)，防止黑客從外部攻擊，用戶的身份認(rèn)證 ，入侵檢測與監(jiān)控，信息審計與記錄，病毒防護(hù)，數(shù)據(jù)安全保護(hù)，數(shù)據(jù)備份與恢復(fù)，網(wǎng)絡(luò)的安全管理。 網(wǎng)絡(luò)安全可以從以下幾個方面來分析： （ 1）物理安全風(fēng)險分析 網(wǎng)絡(luò)的物理安全主要是指環(huán)境事故，電源故障，人為操作失誤，設(shè)備毀壞等。只要制定健全的安全管理制度，做好備份，這些風(fēng)險是可以避免的。 （ 2）網(wǎng)絡(luò)平臺安全風(fēng)險分析 網(wǎng)絡(luò)結(jié)構(gòu)安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等，在該企業(yè)的公開服務(wù)器區(qū)容易遭受黑客攻擊。因此，將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，同時還要對外網(wǎng)的服務(wù)請求加以過濾才能更好的保證局域網(wǎng)的 安全。 （ 3）系統(tǒng)安全風(fēng)險分析 系統(tǒng)安全是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)硬件平臺是否可靠值得信任；網(wǎng)絡(luò)操作系統(tǒng)的可靠性對中國來說恐怕絕對安全的操作系統(tǒng)是沒有的，但是，我們可以通過對現(xiàn)有的操作平臺進(jìn)行安全配置