freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

信息安全體系結構課程設計-中小型企業(yè)的網絡解決方案(編輯修改稿)

2024-08-31 14:34 本頁面
 

【文章內容簡介】 因可預見或不可預見的甚至是惡意的原因而遭到破壞,更改、泄露或功能失效,使信息系統處于異常狀態(tài),甚至引起系統的崩潰癱瘓,造成巨大的經濟損失。在這樣的形勢下,以保護網絡中的信息免受各種攻擊為根本目的網絡安全變得越來越重要。計算機網絡改變著人們賴以行動的社會信息結構,改變著人們獲取利用信息的方式,從而引起人類生活方式的全面改觀。網絡安全威脅一般分為外部闖入、內部滲透和不當行為三種類型。外部闖入是指未經授權計算機系統用戶的入侵 。內部突破是指己 授權的計算機系統用戶訪問未經授權的數據 。不正當行為是指用戶雖經授權,但對授權數據和資源的使用不合法或濫用授權。網絡自身的缺陷、開放性以及黑客的攻擊是造成網絡不安全的主要原因。由于計算機網絡最重要的資源是它向用戶提供的服務及所擁有的信息,因而計算機網絡的安全性可以定義為:保障網絡服務的可用性和網絡信息的完整性。前者要求網絡向所有用戶有選擇地隨時提供各自應得到的網絡服務,后者則要求網絡保證信息資源的保密性、完整性、可用性和準確性??梢娊踩木W絡系統要解決的根本問題是如何在保證網絡的連通性、可用性的同時對網絡 服務的種類、范圍等行使適當程度的控制以保障系統的可用性和信息的完整性不受影響 [2]。一個安全的計算機網絡應該具有以下幾個特點: (1)可靠性是網絡系統安全最基本的要求??煽啃灾饕侵妇W絡系統硬件和軟件無故障運行的性能。 (2)可用性是指網絡信息可被授權用戶訪問的特性,即網絡信息服務在需要時,能夠保證授權用戶使用。 (3) 保密性是指網絡信息不被泄露的特性。保密性是在可靠性和可用性的基礎上保證網絡信息安全的非常重要的手段。保密性可以保證信息即使泄露,非授權用戶在有限的時間內也不能識別真正的信息內容。 (4)完整性是指 網絡信息未經授權不能進行改變的特性,即網絡信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作,保也稱做不可否認性,主要用于網絡信息的交換過程,保證信息交換的參與者都不可能否認或抵賴曾進行的操作,類似于在發(fā)文或收文過程中的簽名和簽收的過程。 從技術角度看,網絡安全的內容大體包括 4 個方面: 7 由此可見,計算機網絡安全不僅要保護計算機網絡設備安全,還要保護數據安全等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全保護方案 ,以保證算機網絡自身的安全性為目標。 網絡安全策略 網絡中的所有計算機都應能抵御來自于外部和內部的攻擊。基于以上的安全目標,我們可以制定如下安全策略:利用路由器,防火墻, VPN,實現內部網絡和外部網絡的隔離、審查和過濾。同時在內部不同部門之間,利用 VLAN 技術,劃分虛擬局域網,實現內部各個部門的隔離。 網絡安全策略目的是決定一個計算機網絡的組織結構怎樣來保護自己的網絡及其信息,一般來說,安全策略包括兩個部分:一個總體的策略和具體的規(guī)則??傮w的策略用于闡明公司安全政策的總體思想,而具體的規(guī)則用于說明什么 活動是被允許的,什么活動是被禁止的。 為以下 4 個等級: (1)不把內部網絡和外部網絡相連,因此一切都被禁止。 (2)除那些被明確允許之外,一切都被禁止。 (3)除那些被明確禁止之外,一切都被允許。 (4)一切都被允許,當然也包括那些本來被禁止的??梢愿鶕嶋H情況,在這 4 個等級之間找出符合自己的安全策略。當系統自身的情況發(fā)生變化時,必須注意及時修改相應的安全策略。 2 網絡設計原則 中小型企業(yè)網絡的規(guī)模通常較小,結構相對簡單,對性能的要求則因應用的不同而差別較大。許多中小型企業(yè)的 網絡技術人員較少,因而對網絡的依賴性很高,要求網絡盡可能簡單,可靠,易用,降低網絡的使用和維護成本,提高產品的性價比就顯得尤為重要。 基于以上特點:在進行系統設計時應當遵循以下設計原則: ( 1) 實用性和經濟性 。 方案設計應始終貫徹面向應用,注重實效的方針,堅持實用、經濟的原則,建設企業(yè)的網絡系統。 ( 2) 先進性和成熟性 。 當前計算機網絡技術發(fā)展很快,設備更新淘汰也很快。這就要求網絡建設在系統設計時既要采用先進的概念、技術和方法,又要注意結構、設備、工具的相對成熟。只有采用當前符合國際標準的成熟先進的技術和設備,才能確保網 絡絡能夠適應將來網絡技術發(fā)展的需要,保證在未來幾年內占主導地位。 ( 3) 可靠性和穩(wěn)定性 。 在考慮技術先進性和開放性的同時,還應從系統結構、技術措施、設備性能、系統管理、廠商技術支持及維修能力等方面著手,確保系統運行的可靠性和穩(wěn)定性,達到最大的平均無故障時間。 ( 4) 安全性和保密性 。 在方案設計中,既考慮信息資源的充分共享,更要注意信息的保護和隔離,因此方案應分別針對不同的應用和不同的網絡通信環(huán)境,采取不同的措施,包括系統安全機制、數據存取的權限控制等。 ( 5)可擴展性和易維護性 。 為了適應系統變化的要求,必須充分考 慮以最簡便的方法、最低的投資,實現系統的擴展和維護,采用可網管產品,降低了人力資源的費用,提高網絡的易用性。把當前先進性、 8 未來可擴展性和經濟可行性結合起來,保護以往投資,實現較高的總體性能價格比。 3 網絡安全的方案設計 總體設計方案 企業(yè)網絡建設的基本目標就是在網絡中心和各部門的局域網建設、及其廣域網互聯的基礎上,將互聯網技術引入企業(yè)內部網,從而建立起統一、快捷、高效的內部網絡系統。整個系統在安全、可靠、穩(wěn)定的前提下,實現合理投入,最大產出,即符合最優(yōu)經濟的原則。 中小型網絡安全體系建設應按照“統一 規(guī)劃、統籌安排,統一標準、相互配套“的原則進行,采用先進的”平臺化“建設思想,避免重復投入、重復建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合。在實際建設中遵循以下指導思想:宏觀上統一規(guī)劃,同步開展,相互配套 。在實現上分步實施,漸進獲取 。在具體設計中結構上一體化,標準化,平臺化 。安全保密功能上多級化,對信道適應多元化。針對中小型公司系統在實際運行中所面臨的各種威脅,采用防護、檢測、反應、恢復四方面行之有效的安全措施,建立一個全方位并易于管理的安全體系,確保中小型公司系統安全可靠的運行。 客戶機 /服務器( C/S)網有著突出的優(yōu)點:網絡系統穩(wěn)定,信息管理安全,網絡用戶擴展方便,易于升級。 客戶機服務器網的缺點是:需專用文件服務器和相應的外部連接設備,建設網絡的成本較高,網絡管理上也較復雜。這種網絡結構適用于計算機數量較多,位置相對分散,且傳輸的信息量較大的情況。 對于具有一定規(guī)模,并且在內部已經有了幾個部門的企業(yè),如果所有部門的用戶無差別地處于對等網中,不僅使許多敏感數據容易被無關人員獲取,使網絡數據的安全性下降,而且部門內的大量通信也會占用大量的網絡資源,使整個網絡的效率變低,甚至引起崩潰,降低了 網絡的可用性。為了克服這個缺點,需要將經常進行通信的計算機組成一個子網,使大量的內部數據局限在子網內傳播,然后將各個子網連接在一起,形成局域網。 9 網絡拓撲方案設計 網絡拓撲圖設計 圖 321 IP 地址分配策略 由于本網中局域網的規(guī)模不是很大,因此出于網絡安全的角度考慮,在網絡設計中采用靜態(tài)地址分配的方法。并結合中心交換機的第三層交換功能,進行子網的劃分,一方面可以降低網絡風暴的發(fā)生,另一方面也加強了網絡的安全性。使用靜態(tài) IP 地址分配可以對各部門進行合理的 IP 地址規(guī)劃,能夠在 第三層上方便地跟蹤管理,再加上對網卡 MAC 地址的管理,網絡就會具有更好的可管理性,可通過固定 IP 地址及 MAC 地址直接定位內部的某臺 PC 機,對于內部入侵有著較好的防御力。 內部網絡 IP 地址分配 內部網部分可以使用保留地址。根據 IANA 的規(guī)定,以下地址為保留地址,并可以由用戶自由使用,只需保證企業(yè)范圍內的地址唯一性。 保留地址如下: ~( 256 個 C 類地址)。 內部網絡采用保留 IP 地址 ,子網掩碼 ,則最多可以提 供 254 254=64516 個 10 IP 地址, 254 個子網,在可以預見的將來基本能夠滿足信息點增長的要求。分配原則:把 ( x=1… 254)稱作一個二級子網( VLAN),分別分給財務部、市場部、研發(fā)部等部門的網段可以是其中的任意三個,如: , , ,子網掩碼為 。 根據部門的規(guī)模和信息點的數量,可以按需調整。每個部門需指定專人負責本子網的 IP 地址分配和管理工作,并和網絡管理員協同工作,確保 IP 地址管理的效率。對 于重要的 IP 地址(例如領導使用的 IP 地址和各個服務器使用的 IP 地址),采取 IP 地址和 MAC 地址綁定的方法,來保證 IP 地址不被盜用。 外部網絡 IP 地址分配 Web 服務器、電子郵件服務器都需要與外圍網絡通訊,需要申請一定數量的 Inter IP 地址,并綁定在在防火墻的外部網卡上,然后通過 IP 映射,使發(fā)給其中某一個 IP 地址的包轉發(fā)至 Web 服務器上,然后再將該 Web 服務器響應包偽裝成該合法 IP 發(fā)出的包。 假設以下情況: 分配 Web 服務器的 IP 為:內部 IP: ,真實 IP: . 。 分配給電子郵件服務器的 IP 為:內部 IP: . 200,真實 IP: . 。 PIX 防火墻的 IP 地址分別為:內網接口 e1: ,外網接口 e0: 。 通過設置 PIX 把真實 IP 綁定到防火墻的外網接口,并在 PTX 上定義好 NAT 規(guī)則,這樣,所有目的 IP為 和 的數據包都將分別被轉發(fā)給 和 ;而所有來自 和 的數據包都將分別被偽裝成 202. 和 . ,從而也就實現了 IP 映射。 NAT 地址轉換過程如圖 2: 內部網外部網N A T源 地 址 目 的 地 址1 9 2 . 1 6 8 . 1 . 1 0 0 e x a m p l e . c o m . c n源 地 址 目 的 地 址e x a m p l e . c o m . c n 1 9 2 . 1 6 8 . 1 . 1 0 0源 I P 包源 I P 包 路 由源 地 址 目 的 地 址e x a m p l e . c o m . c n 2 0 2 . 1 1 0 . 1 2 3 . 1源 地 址 目 的 地 址2 0 2 . 1 1 0 . 1 2 3 . 1 e x a m p l e . c o m . c n回 應 I P 包回 應 I P 包 路 由圖 例 : 圖 324 需要申請合法 IP 地址的服務器包括: Inter 接入路由器、 Web 服務器、電子郵件服務器、防火墻。 4 設備選型及配置 防火墻 產品概述 本方案采用 CISCO 公司的防火墻系列產品 PIX 中的 CISCO SECURE PIX 525,它很好的支持了多媒體信息的傳輸,使用與管理更方便。主要起到策略過濾,隔離內外網,根據用戶實際需求設置 DMZ。 CISCO提供防火墻運行自己定制的操作系統,事實證明,它可以有效地防止非法攻擊。該產品經過了美國安全事 11 務處( NSA)的認證,同時通過中國公安部安全檢測中心的認證。 另外,實時嵌入式系統還能進一步提高 Cisco Secure PIX 防火墻系列的安全性。雖然 UNIX 服務器是廣泛采用公開源代碼的理想開放開發(fā)平臺,但通用的操作系統并不能提供最佳的性能和安全性。而專用的 Cisco Secure PIX 防 火墻是為了實現安全、高性能的保護而專門設計。而且考慮到是中小企業(yè)所以我們選擇了 CISCO PIX525URB。無論從安全要求還是價格方面 CISCO PIX525URB 它都符合我們的要求。
點擊復制文檔內容
研究報告相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1