企业信息网络安全建设毕业论文.doc

目 录目录I摘要II关键词II一、企业信息网络安全概述1（一）企业信息网络的含义1（二）企业信息网络安全的含义1二、企业信息网络安全分析1（一）信息网络安全风险分析1（二）信息网络安全防御体系分析2（三）信息网络安全应用分析3三、企业信息网络的规划与建设4（一）企业信息网络安全规划原则5（二）企业信息网络的服务器系统建设5（三）企业信息网络优化配置6四、进一步的思考8参考文献9摘要：随着当今世界计算机信息网络技术的高速发展与各种网络应用的广泛普及，计算机信息网络已经切实地融入了我们的社会生活之中，它拥有高度的开放性和自由性，不同的网络之间互相连接进行信息交换、资源的共享等。从信息网络的发展来看，无论是结构还是规模，都已经发生了重大的变化与进化，但是在信息网络如此茁壮成长的同时，网络安全已日益成为影响网络效能的重要问题。在企业中，随着办公信息化、自动化的趋势，计算机信息网络广泛地运用在应用、管理、资产、环境等多个方面，提高办公效率与增强安全防范已经成为企业必不可少的一环。网络安全是一套整体系统，总体思路应以信息资产以为核心，以安全战略为指导，根据安全需求逐步建设与完善信息网络安全措施。因此，信息网络安全的建设关系到企业的信息资产与长期稳定的发展需求，如何做好、实现网络安全对于每个企业来说无疑是一个巨大的挑战。关键词：信息网络；网络安全；企业网络建设 企业信息网络安全建设一、企业信息网络安全概述（一）企业信息网络的含义首先，信息网络对于大家来说已经不是什么新鲜事。其中互联网，也就是Internet则是信息网络极为具有代表性之作。从计算机发展的角度来看，信息网络技术产业已经是从计算机辅助产业逐渐提升为计算机技术的发展核心，在社会各方面开始电子化、智能化、自动化的发展潮流里，工业、农业、商业、教育及科研等领域中信息技术应用得到充分的发挥。而且也提供了社会各行各业的人互相交流和事务信息互通的良好环境，从根本上加强并促进了互联网技术方面的技术手段、资源共享以及经济合作。所以在近年来，随着计算机信息网络技术的不断提高，计算机信息网络技术对于企业的运作与发展来说已经是息息相关、密不可分的了，例如工作人员利用网络进行信息收集、知识学习、工作导向等。企业内部开展的信息网络化，处理智能化，办公自动化等措施大大提升了企业专业化水平以及办事效率。如何组建、设计一个符合企业生存以及未来发展要求的网络和企业自身信息网络化蓝图是每个技术型企业在起步时的核心任务，是对于社会行业发展进步的历程中具有积极意义的。（二）企业信息网络安全的含义在企业信息网络中，信息扮演着极为重要的角色，它关系到企业的业务，内部信息等重要资料，因此我们可以认为信息是一种资产，并称之为信息资产。信息资产包括业务应用软件、硬件、网络、相关的数据信息及管件业务流程和人员，这些资产对于企业来说是无形的，但又是极为重要的，故此，信息资产便是企业网络安全保护的核心目标。如何保证以及保护好企业信息网络中的信息资产就是企业信息网络安全的中心含义。二、企业信息网络安全分析企业要实施信息网络安全就必须要对自身企业进行重要的、全面的、合理的全方位具体分析。（一）信息网络安全风险分析首先，在企业中信息资产作为了保护的核心部分，它包含了大多数极为重要的行业数据、客户的详细信息、商业战略机密等对企业来说至关重要的内容，因此信息资产相对与其他有形资产来说面临着更大的威胁与风险。这些风险包括有意与无意的摧毁、黑客破坏、恶意入侵、木马病毒造成的数据损失、损坏和窃取、内部员工的泄露等。这些风险倘若发生将会对企业本身价值造成重要的损失以及冲击，严重的还会影响社会和公众形象及法律上的问题。这无疑是任何一间企业都不想见到的后果。其中网络攻击是影响企业网络安全最大威胁之一，并且随着信息网络时代迅速发展的潮流之中，网络黑客攻击技术和工具以及病毒也在不断发展，这无疑是对互联网和企业网络来说的一个重大威胁和风险。因为内部员工一些个别的问题引发的，例如一些带有不满情绪的员工或者进行网络操作失误的员工等，因此除了在信息网络设备上做好措施，也要对企业内部人员做好文章才能防止这样意料之外的不测。尽管企业已经做好预防风险的措施，但是在网络安全环境上有一些风险是无法彻底避免的，因此企业必须建立一套完整的信息网络风险管理系统，正确的认识，对待以及评估风险，找出正确对抗风险的技术手段，为求让企业在未来的信息网络化发展当中更具经验与发展潜力，同时将企业的损失降到最低，实现风险管理的最终目标。（二）信息网络安全防御体系分析信息网络安全防御体系主要指的是保护企业网络信息安全的整体系统，这个系统的最终目的就是保护企业信息网络不受威胁、出现危险和发生事故。不过绝对的网络安全环境是不存在的，所以系统需要随着时代的发展不断地升级，提高技术。作为一个完整的信息网络安全防御体系必须具备一下特性：1可靠性。可靠性是指信息网络安全系统能够在预先规定的条件之下，正确无误地完成在规定时间内的功能的特性。可靠性也是系统安全的基本要求之一，是所有网络信息系统建设和运行的重要目标。在企业信息网络防御体系的可靠性上，主要包括3种，即抗毁性、生存性和有效性。2可用性。可用性是指信息网络系统被授予权限的用户又或者是实体访问，根据按照用户需求而作出合适的响应的特性，也就是当信息服务被使用时，允许这些用户能使用或者控制的特性。所以可用性可以用信息网络系统在正常情况下的使用时间和整个工作时间之间比来衡量。可用性还应该满足的要求包括身份的识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪。其中，审计跟踪的信息又包括时间类型、，被管客体等级、事件时间、事件信息、事件回答及事件统计等方面的信息。3保密性。保密性是指网络信息在系统安全体制下不会被透露给非系统授权的用户和实体，也可以说是确保网络信息只能被授权用户使用，而不被透露给非系统授权个人或者尸体。在可靠性基础之上，保密性是所有网络信息安全的重要保障手段。常用的保密技术有侦听防御、辐射防御、加密信息、物理保护等。4完整性。完整性是网络信息在未经系统授权之下无法进行更变的特性。确保信息在传输过程中不被偶然或蓄意地增加、删除、修改、伪造、乱序等损坏和丢失。因此它是一种保障信息的安全，能够保持信息的原始状态，让信息正确生成、正确储存和传输的特性。影响网络信息完整性的主要因素包括有硬件和软件故障、误码（传输，处理和储存过程中产生的错误，合时的稳定度和精度降低造成的错误以及各种干扰源造成的错误）、认为攻击、计算机病毒等。所以在保证网络信完整性方面的方法有：协议、纠错编码方法、密码校验和方法、数字签名、公证。5不可抵赖性。不可抵赖性也称做不可否认性，是指通信双方在信息交换过程中，确信参与者本身及参与者所提供的信息的真实性一致，即所有参与者都不可能否认或者抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。利用信息源证据可以预防通信发送源否认已发送信息，也可以通过递交接收证明防止通信源否认已接收的信息。6可控性。可控性是指对网络信息的发布及内容具有可控制程度的能力，即网络系统中的任何信息要在一定传输范围和存放空间内可控。可控性最重要的体现是全局监控、预警能力和应急响应处理。全局预警就是建立全局性的安全状况收集系统，对新的安全漏铜和攻击方法要及时了解，针对体系内局部发生的安全入侵等时间进行响应。（三）信息网络安全应用分析防火墙技术、入侵检测技术和防病毒技术事故当今网络安全领域的三大主流。在任何一个企业或者用户刚开始面对安全问题的时候，考虑的往往就是这三大主流技术，所以这三种网络安全技术在整个网络安全建设中有着至关重要的作用。1防火墙技术防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段用过外部网络进入到内部网络，并访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。而目前，防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（代理服务器），以及电路层网关、屏蔽主机防火墙、双宿主机等类型。2入侵检测技术分析入侵检测是防火墙功能上的额外补充，主要用于应对潜在的各种网络攻击，提高信息安全基础结构的完整性和扩展系统管理员的安全管理能力。入侵检测系统的主要工作就是从网络系统中的一些关键点中收集信息，并且相惜分析处理这些信息，查看网络中是否有违反安全规则策略的行为和遭受到攻击的行迹。所以入侵检测系统被认为是防火墙之后的第二道安全闸门，它可以有效地对网络信息系统进行检测并且不影响网络运作，从而对信息系统提供对内、外部攻击和误操作防止的实时保护。3防病毒技术分析在所有计算机安全威胁中、计算机病毒是最严重的。它不仅发生的频率高，造成的损失大，而且潜伏性强，波及范围广。如今计算机病毒在形式上越来越狡猾，造成的危害也日益严重。这就要求企业在网络防毒产品在技术上要更加先进，在功能上要更加全名，并且要具有更高的查杀效率才可以。企业信息网络的病毒防御主要分为一下三类：（1）单机防病毒：单机防病毒与专业的防病毒服务器互相配合，定期或自动通过Internrt连接产品官方服务器获取最新病毒定义，以实现动态防御与静态杀毒相结合。单机防病毒最大的缺点就是功能单一，无法实现统一管理，因此要求防病毒产品必须可以更新病毒库和接受官方服务器的技术支持。（2）网络防病毒：网络防病毒技术是目前主流安全防护技术之一，使用于各种规模的局域网。网络防病毒技术中主要包括服务器模块和客户端模块，其中服务器主要为客户端提供统一部署和管理，如病毒库升级、调度扫描、远程部署等，而客户端工作则相对简单，只需接受防病毒服务器的管理即可。（3）网关防病毒：网关防病毒技术主要分为两个部分，一部分是针对那些进出网关的数据进行查杀，另一部分是针对要查杀的数据进行检验检测。网关防毒检测一般来说是使用特征码匹配技术对病毒进行检测的，这种扫描检测技术及病毒库方面与其他网络防病毒产品基本一致的。故此怎么样才能保证网关安全和对进出网关的数据进行病毒的检测与清除，是网关防病毒技术的关键所在。三、企业信息网络的规划与建设（一）企业信息网络安全规划原则首先，在进行企业信息网络的规划与建设时，要准备好相应的工作，在设计、规划企业信息网络系统的方案时，应遵循以下原则。 1综合性、整体性原则 2需求、风险、代价平衡的原则 3一致性原则 4易操作性原则 5分布实施原则 6多重保护原则 7可评价性原则（二）企业信息网络的服务器系统建设 在企业中系统服务器是整个企业的命脉，所以在企业信息网络的安全建设中是属于核心部分。企业网络服务器系统的按去应该是全方面的，不仅仅是指应用过程中实施的各种安全措施，而是必须多多个方面入手，这样才能从根本上做到安全建设的万无一失的地步。 首先，可以根据影响服务器安全方面的四个因素对其下手：1预防系统漏洞 在计算机网络的安全领域中，系统漏洞是指系统中存在的弱点或者缺点，它可能会降低系统对来自外界入侵或者攻击的敏感性，从而影响到系统的安全性。所以企业在信息网络服务器上做好漏洞预防便是基础中的基础，首先硬件设备、操作系统应用程序、网络协议等都可能存在漏洞，因为这些漏洞系统可能会存在被经授权的访问或者破坏系统，对应漏洞最有效的方法就是制定详细的修补策略，及时发现并修复漏洞。2物理环境的建设服务器应该放在安装了监视器的隔离机房内，而且监视器要保留近期的摄像记录。另外，几班，主机，键盘等容易影响服务器的设备要上锁，确保即使有人进入机房也无法使用电脑，从而保护服务器系统和所有数据的安全性。存放服务器的机房的选址也是很重要的，根据企业实力来进行选择，自行建设机房和安全措施等可以让服务器和数据的安全性和稳定性大大提高，不过对于企业来说花费甚高，而现在大多数企业都采用了中间机构进行托管。企业根据中间代理服务器供应商进行对企业信息网络服务器进行托管，可以极大地减少企业在这个方面的支出费用，当时安全性相对与前者来说少了一点，因此根据企业的实际能力和数据的重要程度来选择运营服务器的方式是很重要的。3服务器账户管理 首先服务器的管理员账户拥有最高的操作权限和管理权限，许多网络攻击和病毒入侵都是直接针对管理员账户展开的，不法分子一旦获得管理权限，其他后续的安全措施也变得无济于事了。因此，企业人员必须做好对服务器管理员账户的安全防护工作，比如设置高强度密码并且定期更新、更改账户名称、分散管理员权限、设置陷阱账户等。除此之外，还需要设置好服务账户，一般来说服务器账户可以分为本地系统用户、本地服务器账户和网络服务账户。作为企业服务器的管理员，首先要针对这些不用的用户设定各种不同的权限策略以确保信息网络服务器的账户管理的完整性、可用性与稳定性。4安全策略设置 安全策略一般包括防火墙、组策略、系统更新策略等，这类策略的首要目的就是为了保证服务器系统的安全。（三）企业信息网络优化配置 企业在信息网络的建设上除了规划与设计，还需要逐层优化与提升。因此主要是使用网络的出口设备-路由器对整个企业网络进行优化配置。路由器的安全会影响到整个企业网络，只有通过路由器为企业网络进行优化，选择最佳通信路径，才能保证企业信息资源的合理利用，以及高效快速地访问网络，是强化企业在互联网这个高速信息通道上竞争力与影响力的有效途径。 1路由器的连接策略，由于较多的数据传输都是在局域网内，也就是企业内部整体网络进行的，因此路由器的连接应该遵循以下策略：路由器只在与Internet连接或与其他网络连接时才用得到，所以应该将路由器放置于最频繁访问外网的位置。在保障企业其他服务器（如企业Web服务器，企业内部DNS服务器等）和高层人员使用的计算机特殊需要的同时，要求在网络连接上所有服务器和计算机有同等访问路由器的机会。如果没有特殊要求，路由器应当直接连接在重新交换机上，同时也根绝企业需求对路由器与交换机进行合理的分配。2控制访问列表的设定，控制访问列表（access control list，ACL）是Cisco IOS提供的一种访问控制技术，这项技术被众多企业广泛用于路由器和三层交换机。借助这项技术，可以让企业内部网络有效地控制员工对网络和Internet的访问，从而最大限度地保障整体网络安全。在Cisco路由器中支持以下3种类型的访问列表：标准IP访问控制列表。标准IP访问控制列表只允许过滤源地址，且功能十分有限。扩展IP访问控制列表。扩展IP访问控制列表允许过滤源地址、目的地址和上层应用数据，因此可以适应各种复杂的网络应用。命名访问控制列表。与标准IPS访问列表相比，命名访问控制列表只要一个字母或者数据就可以代替繁琐复杂的地址名称。在修改访问列表的过程有很大的轻便性。 3关于网络地址转换（network address translation，NAT）的配置，网络地址转换被广泛应用于各种类型的Internet接入方式和各种类型的网络。NAT可以完美地解决企业内部IP地址不足的问题，并且可以有效地避免来自网络外部的攻击，同时隐藏并保护网络内部的计算机。因此路由器的NAT功能还经常被用于充当代理服务器，实现跨地区局域网的Internet连接共享。 实现NAT的方法有三种，即静态转换、动态转换和端口多路复用。 4网络攻击安全防范，为了防止黑客利用恶意工具对内部网络和服务器进行恶意攻击，路由器的安全配置十分之重要。路由器本身就具备一定的网络攻击防范能力，只需要进行简单的配置即可用来保护内部网络安全。主要的防范设置有以下这些：P欺骗防范：IP欺骗是一种网络攻击方法，即使主机系统本身没有任何漏洞，但是仍然可以使用各种手段达到攻击的效果，这种欺骗性攻击纯属技术性的，一般都是利用TCP/IP本身存在的一些缺陷加以利用。在这情况之下可以借助过滤非共有IP地址、内部网络使用IP地址、回环地址、微软APIPA自定义地址和全网络地址等等来实现减轻危害的目的。SYN淹没防范：TCP SYN攻击也叫SYN淹没，它是利用大多数主机使用TCP三次握手机制中的漏洞进行攻击的。这种攻击能够使路由器繁忙或者瘫痪，影响企业网络和外部网络之间互相访问的线路通畅。解决这种问题主要设置访问列表防范、TCP截获防范、传输速率限制即可。Ping攻击防范：Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。如果发送信息网络系统无法快处理的数据量过大的包，从而导致系统网络堵塞，则是这种Ping攻击的主要目的。只要禁止内部ICMP流或者限制ICMP占用的宽带便可以迎刃而解。 四、进一步的思考在当前这个事业基本都在互联网信息高速公路奔驰的时代上，企业在对信息网络安全的建设上关系这整个企业的生存以及发展，如何实施好网络建设上的安全和安全的可管理性、可行性是每个企业必须面前的主要课题。只有努力把握好当代企业正确的发展路线与趋势，才能让企业在正确的道路上前进起来，所以在这种信息网络与生活息息相关的社会中，保证了企业安全，安定的发展空间，企业才能够更好的成就创新的事业。参考文献：1史晓红 网络安全完全技术宝典 中国铁道出版社，2010，3：88-100.2梁会亭.网络工程设计与实施  机械工业出版社,2011.3李晋平.局域网组建和安全管理的实用技术J.电脑开发与应用.2002,15(10).4. 王纯滨浅议信息技术化在企业管理中的应用N哈尔滨市委党报，20085. 韩惠敏试论信息技术在企业管理中的应用J科技资讯，20096. 徐 辉信息技术在我国企业管理中应用研究J中国科技信息，20077. 冯昊.交换机/路由器的配置与管理  清华大学出版社,20098. 卫少军.中小企业办公局域网组建方案J.科技情报开发与经济.2004,14(9)：269271.