某企业计算机网络安全系统设计与实现毕业论文(编辑修改稿)

某企业计算机网络安全系统设计与实现毕业论文(编辑修改稿)内容摘要：

高速发展，黑客对网络攻击和入侵的手段和方法也不断更新。 其主要有段见下表： 某企业防火墙技术分析与应用部署设计与实施 13 图 21 黑客攻击手段分类图 1. 口令入侵 : 所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成 这项工作。 对于那些可以解开或屏蔽口令保护的程序通常被称为“ Crack”。 由于这些软件的广为流传，使得入侵电脑网络系统有时变得相 当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。 “后门”入侵 : 前面提到过许多软件系统都有这样那样的安全漏洞 (Bugs)，其中某些是操作系统或应用软件本身具有的。 大多数攻击成功的范例还是利用了系统软件本身的漏洞。 造成软件漏洞的主要原因还是在于编制该软件的程序员缺乏安某企业防火墙技术分析与应用部署设计与实施 14 全意识。 当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。 在这其中利用缓冲区溢出进行的攻击最为普遍，据权威组织统计 80％以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。 3. 网络监听 : 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。 此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如 NetXray for windows 95/98/nt， sniffit for linux 、 solaries 等等就可以轻而易举地截取包括口令和帐号在内的信息资料。 虽然网络监听获得的。 用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 服务攻击 : 拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。 其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。 拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒某企业防火墙技术分析与应用部署设计与实施 15 绝服务攻击也成为了攻击者的终极手法。 攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用 IP 欺骗，迫使服务器把合法用户的连接复位，影响合法 用户的连接。 5. 伪装 IP 攻击 : 指一个非法的主机假冒内部的主机 ip 地址 ,骗取服务器的“信任” ,从而达到对网络的攻击目的。 6. 特洛伊木马 : 特洛伊木马是一个包含在一个合法程序中的非法的程序。 该非法程序被用户在不知情的情况下被执行，一般的木马都有客户端和服务器端两 个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。 攻击者要通过木马攻击你的系统，他所做的第一步是要把木马的服务器端程序植入到你的电脑里面。 木马也可以通过 Script、 ActiveX 及 Asp、 Cgi 交互脚本的方式植入。 木马在被植入攻击主机后，它一般会通过一定的方式把入侵主机的信息，如主机的 IP 地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制攻击主机。 7. 计算机病毒 : 计算机病毒是指一种能使自己附加到目标机系统的文件上的程序。 病毒发作时，能耗尽某企业防火墙技术分析与应用部署设计与实施 16 系统资源，造成系统死机或拒绝服务。 它在所有破坏性设备中最具危险性。 8. 蠕虫程序：也称超级病毒，它是一段独立的程序，能够针对系统漏洞直接发起攻击，通过网络进行大量繁殖和传播，造成通信过载，最终使网络瘫痪。 计算机网络攻击的后果 计算机网络攻击造成的恶劣后果有很多，对企业而言最主要的后果有以下两方面： 1. 技术层面 被攻击主机资源消耗严重； 中间设备在处理时消耗大量资源； 服务器拒绝服务； 网络拒绝服务； 服务器死机； 网络瘫痪； 2. 企业自身利益层面 企业机密信息泄露：一些企业内部核心机密信息一旦被泄露，将对企业造成灾难性后果。 商务运作中断：由于攻击造成的停工会导致生产率降低和收入损失，而与恢复受攻击的网络相关的花费又会增加处理攻击事件的总体财务成本。 一旦受到攻击，某企业防火墙技术分析与应用部署设计与实施 17 企业通常 会部署解决团队来帮助客户、员工以及合作伙伴尽快恢复业务。 在修复之前，不仅业务会停顿，而且解决团队疲于应对，无法进行其日常工作，这些都造成了生产率的损失。 法律责任和潜在诉讼：受到攻击的企业可能需要作为被告或关键证人出庭。 要求遵守隐私和安全性法规的企业（如卫生保健企业和金融机构）可能需要证明其为将网络攻击的威胁降至最小而付出的艰辛努力。 这一过程将极大地消耗员工的工作效率和企业的资金流。 竞争力下降：信息通常被认为是企业最宝贵的资产（ 70% 或更多公司的价值在于其知识产权资产 )1，这部分数据的损失或被窃可能造成严重后果，甚至会威胁企业在市场中的地位。 根据 2020 CSI/FBI 计算机犯罪与安全调查的调查结果，由于安全性被破坏而导致的最为严重的财务损失包括所有权信息的被窃(26 个被访者报告的损失超过 $170,000,000)2。 品牌资产被损害：对企业品牌的损害可能会有多种形式，但每种形式都会降低企业在市场中的地位。 例如，如果企业的客户数据（如信用卡信息）被窃并被公布到其他 Web 站点上，该企业可能会陷入难以使客户对其品牌恢复信任的困境。 某企业防火墙技术分析与应用部署设计与实施 18 企业计算机网络安全体系 企业计算机网络安全原则 未来确保企业计算机网络的安全性，系统安全工程能力成熟模型简称 SSECMM 以及简称为 ISO17799 的信息安全管理系统等都制定了相应的国际标准，都是为了达到防范安全攻击的安全需求，实现安全目标，确保网络安全机制的正常运行，这些标准都是在综合考虑各个方面的因素下制定的，具有一定的可实施性、可管理性、可扩展性，并且具有非常好的综合完备性、系统均衡性， 9 项原则是整体设计过程中格外重视的： 1．网络信息安全的木桶原则 为了确保信息的均衡性，对网络信息的各个方 面进行全面的保护，从而制定了网络信息安全的木桶原则。 木桶原则对系统的安全漏洞和安全威胁的每一个方面都不放过，在防范方面能够确保各个地攻破系统中的最薄弱的之处都能被其发现，设计信息安全系统之前，对任何一个部位的评估和检测都是不容错过的。 杜绝最常用的攻击手段成功攻破系统的安全性是安全机制和安全服务设计的最初动力，但是换个角度来看，实质上是为了确保整个系统的安全性能，将 安全最低点系数增加。 某企业防火墙技术分析与应用部署设计与实施 19 2．网络信息安全的整体性原则 安全系统是为了确保网络信息安全，在这个过程中与系统安全防护、检测、恢复这些操作是 密不可分的。 关于安全防护机制，主要是针对未来要发生的危险性行为进行一定的防护措施来阻止其发生。 关于安全检测机制，主要是是针对系统已经存在的危险性行为，进行各种检查，从而保证系统能够正常运行，能够对系统出现的各种攻击保证及时发现及时制止。 关于安全恢复机制的作用，顾名思义就是对已经出现的攻击行为进行挽救，及时应急处理和尽快、及时对损失破坏的信息进行恢复，以阻止进一步的损害。 3．安全性评价与平衡原则 安全体系设计的过程并不是随便盲目的，这个过程中一定要权衡好需求、风险与代价方面的重要性，要保证在确保安全 性的情况下，还具有很好的可用性，在操作是具有可行性。 评判标准和衡量指标并不能绝对的说明评价信息的安全性，因为系统的安全性与系统的用户需求密切相关，同时与具体的应用环境，系统的规模和范围，系统的性质和信息的重要程度等都有着一些联系，安全性不是单方面决定的。 4．标准化与一致性原则 安全系统之间的各种关系错综复杂，犹如一个庞大的某企业防火墙技术分析与应用部署设计与实施 20 系统工程的操作过程一般，因此，设计的过程中需要一系列的标准来确保安全体系的合理性，只有这样各个分系统之间才能保持一致性的关系，整个系统每个地方的安全性才能都得到确保。 5．技术与管理相结合原则 各种安全技术要与运行管理机制相结合起来，相互促进，同时，还可以开展一些人员思想教育与技术培训的活动，将安全规章制度真正落实。 6．统筹规划，分步实施原则 由于相关法律没有明确的规定，同时政策也没有对其格外的重视，并且攻击手段各种各样等，使得安全防护的工作一直没有取得很好的效果，因此，为了确保网络安全性问题得到真正的解决，政府对其来自统筹规划，分步实施计划是非常有必要的。 7．等级性原则 整个网络中根据不同方面的分层，可以具有不同的安全层次和安全级别，比如，根据信息 保密程度可以进行划分层次，也可以根据用户操作权限来设置一些级别，同时，网络安全程度与系统实现结构这两个方面也是可以进行等级划分的，等等，等级性原则渗透整个网络系统中。 因此，针对不同级别的安全对象提供不同的安全体制是非常具有实际意义的。 某企业防火墙技术分析与应用部署设计与实施 21 8．动态发展原则 采用安全措施就是为了维护网络安全，所以当网络环境发生变动，网络安全需求也会发生变化，为了适应新的网络环境，必须要调整新的安全策略，因此，安全措施并不是保持一成不变的，是处于动态变化中的。 9．易操作性原则 第一个方面，任何一项安全措施都离不开 人的操作，因此，为了提高安全性，在采取措施方面要倾向于操作的简便性。 第二个方面，采用措施的不能干扰系统的程序运行过程。 企业计算机网络安全体系 网络安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。 为了系统、科学地分析网络安全系统涉及的各种安全问题，网络安全技术专家们提出了三维安全体系结构，并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系（见图 11），它反映了信息系统安全需求和体系结构的共性。 具体说明如下： 某企业防火墙技术分析与应用部署设计与实施 22 图 22 安全框架示意图 1. 安全服务维 安全服务维（第一维， X 轴）定义了 7 种主要完全属性。 具体如下： 身份认证：用于确认所声明的身份的有效性； 访问控制：防止非授权使用资源或以非授权的方式使用资源； 数据保密：数据存储和传输时加密，防止数据窃取、窃听； 数据完整：防止数据篡改； 不可抵赖：取两种形式的一种，用于防止发送者企图某企业防火墙技术分析与应用部署设计与实施 23 否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认； 审计管理：设置审计记录措施，分析审计记录； 可用性、可靠性：在系统降级或受到破坏时能使系统继续完 成其功能，使得在不利的条件下尽可能少地受到侵害者的破坏。 2. 协议层次维 协议层次维（ Y 轴）由 ISO/OSI 参考模型的七层构成。 与 TCP/IP 层次对应，可以把会话层、表示、应用层统一为“应用层”。 系统单元维（ Z 轴）描述了信息网络基础构件的各个成分。 通信平台：信息网络的通信平台； 网络平台：信息网络的网络系统； 系统平台：信息网络的操作系统平台； 应用平台：信息网络各种应用的开发、运行平台； 物理环境：信息网络运行的物理环境及人员管理。 企业计算机网络信息系统的安全体系需要从技术和安全管理两个方面来共同实现。 某企业防火墙技术分析与应用部署设计与实施 24 企业计算机网络安全体系实现 1. 技术实现 (l)防火墙：防火墙 (Firewall)是内部网与外部网之间的“门户”， 对防火墙明确定义来自 ATamp。 T 的两位工程师 Willam Cheswick 和 steven Beellovin，他们将防火墙定义为置于两个网络之间的一组构件或一个系统，它具有以下属性： 双向流通信息必须经过它；只有被预定本定安全策略授权的信息流才被允许通过；该系统本身具有很高的抗攻击性能； 防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于 Inter 内部网之间，但在任何网间和企业网内部均可使用防火墙。 不过防火墙也有其缺点： 不能防范恶意的知情者：防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。 如果入侵者已经在防火墙内部，防火墙是无能为力的。 内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。 对于来自知情者的威胁只能要求加强内部。