课程(实验)设计
课程名称:
信息安全技术
学生姓名: 李晶晶 学 号: 20091831006
系别班级: 信息管理与工程系 09 信息本
专业(方向):
信息与计算科学
题
目:
中小企业网络安全解决方案
教
师:
杜光辉
2012 年 05 月 24 日
河北金融学院 课程(实验)设计
目录
摘要....................................................................................................................................... 2
一、当前中小企业网络现状............................................................................................... 2
1.1 中小企业的网络管理情况..................................................................................... 2
1.2 中小企业网络安全事件情况................................................................................. 3
1.3 中小企业感染病毒的情况和病毒的主要传播途径............................................. 3
二、中小企业主要面临的安全威胁................................................................................... 4
2.1 黑客的恶意攻击..................................................................................................... 4
2.2 企业网络的管理不当.......................................................................................... 4
2.3 软件设计的漏洞导致网络安全问题.................................................................. 5
2.4 恶意网站设置的陷阱.......................................................................................... 5
2.5 由于企业内部员工使用网络的不当造成的问题................................................. 6
三、网络安全解决方案....................................................................................................... 6
3.1 采用网络技术手段防护...................................................................................... 6
3.1.1 网络信息加密技术...................................................................................... 6
3.1.2 安装防病毒软件和防火墙.......................................................................... 7
3.1.3 使用路由器和虚拟专用网技术.................................................................. 8
3.2 构建网络信息安全保密体系.............................................................................. 8
3.2.1 网络信息安全保密的体系框架.................................................................. 8
3.2.2 网络信息安全保密的服务支持体系.......................................................... 8
3.2.3 网络信息安全保密的标准规范体系.......................................................... 9
3.2.4 网络信息安全保密的技术防范体系........................................................ 10
3.2.5 网络信息安全保密的管理保障体系........................................................ 10
3.2.6 网络信息安全保密的工作能力体系........................................................ 11
3.4 加强道德教育和完善相关法律........................................................................... 12
四、总结............................................................................................................................. 12
五、结束语......................................................................................................................... 13
六、参考文献..................................................................................................................... 14
1
河北金融学院 课程(实验)设计
摘要
随着第一台电子计算机的诞生,由于价格昂贵,计算机数量极少,随机出现很
多矛盾。计算机网络就是在这些矛盾中应运而生。随着计算机系统功能的日益完善
和速度的不断提高,系统组成越来越复杂,系统规模越来越大,特别是 Internet 的
迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺
陷、失误都能造成巨大损失。由于网络自身固有的脆弱和中国的网络信息技术起步
比较晚使网络安全存在很多潜在的威胁。随着当今世界信息化建设飞速发展,计算
机网络日益成为重要信息交换手段,认清网络的脆弱性和潜在威胁以及现实客观存
在的各种安全问题,采取强有力的安全策略,保障网络信息的安全,本文针对计算
机网络所面临的信息安全问题和相关对策进行了探讨。
关键词:网络安全 现状 威胁 解决方案
一、当前中小企业网络现状
在我国,中小企业都有相似的特征,在全国经济中发挥着重要的作用。相对大
企业来说,中小企业在管理观念、经营能力、和条件、员工素质、资金、信息、销
售渠道上,都处于相对劣势的地位。
目前,最新调查显示,在受调查的企业中 60%以上的员工利用网络处理私人事
务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并
引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密。
大多数中小企业在网络建设方面的人才缺乏、技术水平低,工作环境差,即使有些
企业较为重视网络建设的工作,水平也是相当有限,基本上还是处于初级阶段。随
着大家对网络的逐步认识,已经有许多企业实施了网络安全化建设,但成功率和利
用率却非常低。
由于计算机网络特有的开放性,网络安全问题日益严重。
1.1 中小企业的网络管理情况
据了解,大多数被中小企业单位设立了专职或兼职安全管理人员,其中小一部
分的单位建立了安全组织。将近一半的企业单位采购了信息安全服务,主要采购的
2
河北金融学院 课程(实验)设计
服务有系统维护,还有安全检测、容灾备份与恢复、应急响应和信息安全咨询等。
在采取安全管理和技术措施方面,许多的单位进行存储备份,还有进行口令加密和
访问控制的单位,将近一半的单位制定了安全管理规章制度。这些情况表明,网络
用户的安全防范意识在不断增强并切实采取了措施。
即使是多数中小企业赶上了时代的步伐,建立起了企业的网络系统,哪怕是企
业的内部网,并在发展企业信息化建设中起到了举足轻重的作用。但是,由于许多
中小企业的决策者对网络的应用和管理,在认识上存有一定的局限,以及受到现有
企业条件和信息技术力量的局限,往往会在用网,尤其是在如何管理好企业的网络、
挖掘和整合企业网络资源优势、为企业发展核心业务服务等诸多方面,还存有许多
不尽如人意的地方,致使不少中小企业的网络系统,从建立网络,到应用网络,直
至管理网络,都缺乏一个科学性、有序化和规范化的发展态势,甚至直接影响乃至
制约着企业核心业务的持续发展。
1.2 中小企业网络安全事件情况
在我国,大多数的中小企业单位发生过信息网络安全事件,而且呈逐渐上身趋
势;其中,大多数单位出现的网络安全情况主要是感染计算机病毒、蠕虫和木马程
序,还有“遭到端口扫描或网络攻击”和“垃圾邮件”等。像较大的金融证券行业
发生网络安全事件的比例最低,商业贸易、制造业、广电和新闻、教育科研、互联
网和信息技术等行业发生网络安全事件的比例较高。
在中小企业发生的安全事件中,攻击或传播源来自外部的占大多数,内外部均
有的也占相当一部分。发现安全事件的途径主要是网络(系统)管理员通过技术监
测发现,其次是通过安全产品报警发现,也有事后分析发现的。未修补或防范软件
漏洞仍然是导致安全事件发生的最主要原因。
1.3 中小企业感染病毒的情况和病毒的主要传播途径
我国中小企业计算机病毒感染率呈下降趋势;多次感染病毒的比率为也逐渐减
小,这说明我国计算机用户的计算机病毒防范意识和防范能力在增强。但是今年中
国开发者技术在线社区 CSDN 出现了密码泄露的状况,还有比较突出的情况是,在
企业单位的网络中出现了“敲诈者”木马等盗取网上用户密码的计算机病毒。计算
机病毒制造、传播者利用病毒盗取 QQ 帐号、网络游戏帐号和网络游戏装备,网上
3
贩卖计算机病毒,非法牟利的活动增多。
河北金融学院 课程(实验)设计
网络浏览或下载仍是感染计算机病毒最多的途径。通过优盘等移动存储介质传
播病毒的比率明显增加。这是由于优盘应用日益广泛,优盘支持程序自动运行,计
算机病毒通过 Autorun.inf 文件自动调用运行病毒程序,从而感染用户计算机系统。
因此,对移动存储介质的管理有待加强。在中小企业中,有些员工管理不当,经常
利用公司的网络玩一些游戏和下载一些资料,经常会导致电脑中毒和网络瘫痪。
二、中小企业主要面临的安全威胁
当今中小企业与大企业一样,都广泛使用信息技术,特别是网络技术,以不断
提高企业的竞争力。企业信息设施在提高企业效益的同时,也给企业增加了风险隐
患。大企业所面临的安全问题也一直困扰着中小企业,关于中小企业网络安全的相
关报导也一直层不穷,给中小企业所造成的损失不可估量。由于涉及企业形象的问
题,所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由
于计算机网络特有的开放性,网络安全问题日益严重,中小企业所面临的安全问题
主要有以下几个方面:
2.1 黑客的恶意攻击
“黑客”对于大家来说可能并不陌生,他们是一群利用自己的技术专长专门攻
击网站和计算机而不暴露身份的计算机用户,由于黑客技术逐渐被越来越多的人掌
握和发展,目前世界上约有 20 多万个黑客网站,这些站点都介绍一些攻击方法和攻
击软件的使用以及系统的一些漏洞,因而任何网络系统、站点都有遭受黑客攻击的
可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客们善
于隐蔽,攻击“杀伤力”强,这是网络安全的主要威胁。而就目前网络技术的发展
趋势来看,黑客攻击的方式也越来越多的采用了病毒进行破坏,它们采用的攻击和
破坏方式多种多样,对没有网络安全防护设备(防火墙)的网站和系统(或防护级
别较低)进行攻击和破坏,这给网络的安全防护带来了严峻的挑战。
2.2 企业网络的管理不当
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的
4
河北金融学院 课程(实验)设计
TCP/IP 协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部
故障而影响信息的传输,基本没有考虑安全问题,因此它在安全防范、服务质量、
带宽和方便性等方面存在滞后和不适应性。网络系统的严格管理是企业、组织及政
府部门和用户免受攻击的重要措施。事实上,很多中小企业单位都疏于这方面的管
理,没有制定严格的管理制度。
2.3 软件设计的漏洞导致网络安全问题
随着软件系统规模的不断增大,新的软件产品开发出来,系统中的安全漏洞或
“后门”也不可避免的存在,比如我们常用的操作系统,无论是 Windows 还是 UNIX
几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等等
都被发现过存在安全隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造
成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一
个缺陷等原因而存在漏洞,不可能完美无缺。这也是网络安全的主要威胁之一。
2.4 恶意网站设置的陷阱
互联网世界的各类网站,有些网站恶意编制一些盗取他人信息的软件,并且可
能隐藏在下载的信息中,只要登录或者下载网络的信息就会被其控制和感染病毒,
计算机中的所有信息都会被自动盗走,该软件会长期存在你的计算机中,操作者并
不知情,例如很可怕的一种病毒--风暴蠕虫。风暴蠕虫是一种木马程序。有些风暴
蠕虫的变种会把电脑变成僵尸或”肉鸡“。一旦电脑受到感染,就很容易受到病毒
传播者的操纵。有些黑客利用风暴蠕虫制造僵尸网络,用来在互联网上发送垃圾邮
件。许多风暴蠕虫的变种会诱导用户去点击一些新闻或者新闻视频的虚假链接。病
毒的制造者经常把病毒邮件的主题改为当前时事新闻。2008 年北京奥运会前夕,一
种新的蠕虫变种通过邮件开始传播,邮件标题一般为“中国发生大灾难”或者“中
国死亡人数最多的地震”等等。邮件里一般有关于相关话题的视频或者新闻链接,
用户点击链接后,会自动下载蠕虫病毒。虽然风暴蠕虫传播很广,但是它并不是最
难清除的病毒。只要用户时刻记得更新杀毒软件和警惕陌生用户发来的邮件或链接,
一般都能防止这种病毒的感染。
因此,上互联网应格外注意,不良网站和不安全网站万不可登录,否则后果不
堪设想。
5
河北金融学院 课程(实验)设计
2.5 由于企业内部员工使用网络的不当造成的问题
网络内部用户的误操作,资源滥用和恶意行为也有可能对网络的安全造成巨大
的威胁。由于各行业,各单位现在都在建局域网,计算机使用频繁,但是由于单位
管理制度不严,不能严格遵守行业内部关于信息安全的相关规定,都容易引起一系
列安全问题。现在随着电子文档的普及,越来越多的人喜欢利用邮件附件来传递电
子文档。而很多电子文档都是 OFFICE 文档、图片格式文件或者 RAR 压缩文件,但
是,这些格式的文件恰巧是病毒很好的载体。若企业在日常管理中,不加以控制的
话,这迟早会影响企业的网络安全。
三、网络安全解决方案
要设计中小型企业的网络安全解决方案,就要了解中小型企业的网络结构特点:
1.网络与 Internet 直接连结,因此在进行安全方案设计时要考虑与 Internet 连结的有
关风险,包括可能通过 Internet 传播进来病毒,黑客攻击,来自 Internet 的非授权访
问等。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进
行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散
到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行
安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机
划分 VLAN 来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,
防止非授权的访问。
3.1 采用网络技术手段防护
3.1.1 网络信息加密技术
网络信息发展的关键问题是其安全性,因此,必须建立一套有效的包括信息加密
技术、安全技术、安全交易议等内容的网络信息安全机制作为保证,来实现电子信
息数据的机密性、完整性、不可否认性和交易者身份认证技术,防止信息被一些怀
有不良用心的人窃取、破坏,甚至出现虚假网络信息。
信息加密技术是保障网络信息安全的核心技术。信息安全的技术主要包括监控、
6
河北金融学院 课程(实验)设计
扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面,其中加密技术是
信息安全的核心技术,已经渗透到大部分安全产品之中,并正向芯片化方向发展。
通过数据加密技术可以在一定程度上提高数据传输的安全性,保证传输数据的完整
性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密
过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统
的密钥管理是一个非常重要的问题。
据了解,美国国防部技术标准把操作系统安个等级分为 Dl, Cl, C2, B1, B2, B3,
A 级,安全等级由低到高。目前主要的操作系统等级为 C2 级,在使用 C2 级系统时,
应尽量使用 C2 级的安个措施及功能,对操作系统进行安个配置。在极端重要的系统
中,应采用 B 级操作系统。对军事涉密信息在网络中的存储和传输可以使用传统的
信息加密技术和新兴的信息隐藏技术来提供安全保证。在传发保存军事涉密信息的
过程中,要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、
接收者甚至信息本身。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹等技术
手段可以将秘密资料先隐藏到一般的文件中,然后再通过网络来传递,提高信息保
密的可靠性。
3.1.2 安装防病毒软件和防火墙
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机
病毒的防范是网络安全性建设中重要一项,所以预防网络体系中病毒至关重要。
所选的防毒软件应该构造全网统一的防病毒体系。主要面向 MAIL 、Web 服务
器,以及办公网段的 PC 服务器和 PC 机等。支持对网络、服务器、和工作站的实时
病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病
毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏
病毒;支持对 Internet/ Intranet 服务器的病毒防治,能够阻止恶意的 Java 或 ActiveX
小程序的破坏;支持对电子邮件附件的病毒防治,包括 WORD、EXCEL 中的宏病
毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实
时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,
服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线
更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子邮件
等)等。
7