企业信息网络安全系统的研究与实施

VIP免费

3.0 李琳琳 2024-10-12 5 4 7.82MB 73 页 15积分

侵权投诉

企业网络信息系统的研发与实施

摘要

近年来计算机技术取得了突飞猛进的发展，互联网的应用也越来越广泛，在网络环境下

运行的各种应用系统越来越多，通过网络传输的各种信息也在不断增加。从目前集团公司计

算机技术的应用情况来看也是如此，目前集团公司已经建立了企业网站，电子邮件等系统，

并且已经实施了 ERP、电子商务、HR 等信息系统，许多重要信息都存储在网络服务器中，因此

网络系统的安全至关重要。这就要求我们对安全问题进行深入分析研究，在整个集团建立多

层次的网络安全体系。

本文从首先介绍了网络信息安全方面的相关技术，然后按照国务院信息化工作办公室提

出了国标草案《信息安全等级保护指南》，给出了等级保护的流程和总体框架，把该指南中

的安全保护设计方案应用到集团公司这样的大型企业网络。本文在要素分析上则采用定性与

定量结合方法，使得结果更加直观、更有说服力。本文把等级保护要素评估的系统机密性影

响、完整性影响、可用性影响三要素有机融合在一起，采用模糊综合评判决策方法，给出了

系统定级量化计算方法。根据安全域划分的定性指标，应用模糊聚类分析模型，给出了安全

域划分的定量分析方法。然后结合某集团公司网络的现状，对其网络风险进行评估，用定量

计算的方法来确定该集团网络的风险，为其网络安全的实施指出方向，最后本文就此风险进

行了安全实施。

关键词：网络安全；等级保护；定量分析；定级量化模型；

企业网络信息系统的研发与实施

Abstract

With the fast development of computer technology and the extensive use of internet, the

application systems involved in the network system are much more popular, information delivered

through the network also increased. This is also proved to be true in the computer technology in our

company with available systems such as enterprise network, e-mail system, ERP, electronic

commerce an HR. Storing all the important information, the network server and its safety are of

much importance. As such, profound analysis of its safety and ensuing setup of mufti-level security

measures are highly recommended.

This dissertation studies the relative technologies of network information safety, follows by” A

Guide to information security of E-government affairs” to put forward the class protection steps and

strut. It uses the security schema to the group network. By contrast many factors are analyzed by

quantitative methods in the proposed model, so the result is more convincing and more intuitive in

this dissertation. Presentation of a Decide Class Computing Method based on Fuzzy Comprehensive

Evaluation (FCE) model. A Decide Class Computing Method is proposed in this paper by the

combination of confidentiality, integrity and usability and using the Fuzzy Comprehensive

Evaluation (FCE) method. The study of Divide Security zone method is based on fuzzy cluster. A

Divide Security zone method is developed in this paper by selecting proper valuation criteria and

designing Quantification Model. Then it bases on the network status of some group, elevates the

network, and uses the model to calculate the network risks and points out security direction. At last,

it enforces the security.

Keywords: Network Security; Class Protect, Quantitative Analysis, Decide Class Quantification

Model,

企业网络信息系统的研发与实施
目录
DEGREE OF MASTER OF ENGINEERING.....................................................................................................................2
HUAZHONG UNIVERSITY OF SCIENCE AND TECHNOLOGY............................................................................2
摘要......................................................................................................................................................................................4
ABSTRACT..............................................................................................................................................................................5
第一章  绪论......................................................................................................................................................................8
1.1 课题研究背景...........................................................................................................................................................8
1.2 国内外研究使用现状...............................................................................................................................................9
1.3 本文的主要研究内容.............................................................................................................................................10
第二章 网络安全技术......................................................................................................................................................11
2.1 防火墙技术.............................................................................................................................................................11
2.1.1 防火墙原理
.....................................................................................................................................................11
2.1.2 防火墙规则
.....................................................................................................................................................12
2.1.3 火墙策略
.........................................................................................................................................................13
2.2VPN 技术...................................................................................................................................................................17
2.2.1 VPN 技术概述
.................................................................................................................................................17
3.2.2  VPN 的应用领域
...........................................................................................................................................18
3.2.3 VPN 技术及在 TCP/IP 协议层的实现
...........................................................................................................18
2.3 802.1X 访问控制技术...........................................................................................................................................19
2.3.1 IEEE802.1X 认证技术起源
...........................................................................................................................19
2.3.2 802.1X体系结构
...........................................................................................................................................20
2.3.3 802.1X应用环境特点
...................................................................................................................................21
2.4 入侵检测系统.........................................................................................................................................................22
第 3 章  企业网络系统安全体系的设计........................................................................................................................24
3 1 网络信息系统安全体系的部署.............................................................................................................................24
3.2 网络安全目标........................................................................................................................................................25
3.3 安全定级.................................................................................................................................................................25

企业网络信息系统的研发与实施
3.4 系统识别与描述.....................................................................................................................................................27
3.5
等级化保护模型定级
..........................................................................................................................................29
3.6
定级量化模型指标体系
......................................................................................................................................34
3.7
电子政务安全规划与设计
..................................................................................................................................46
3.6
安全规划与方案设计
..........................................................................................................................................53
3.7
实施、等级评估与运行
......................................................................................................................................54
第四章 某集团公司网络风险评估及分析......................................................................................................................56
4.1 网络拓扑结构
.....................................................................................................................................................56
4.2 信息资产的定值
.................................................................................................................................................58
4.3 弱点评估
.............................................................................................................................................................60
4.4 威胁评估
.............................................................................................................................................................62
4.5 风险评估
.............................................................................................................................................................63
第五章 公司网络安全系统的构建..................................................................................................................................66
5.1 网络安全改造
.....................................................................................................................................................66
5.2 各地分公司的安全措施
.....................................................................................................................................66
5.2 网管中心和服务器运行安全措施
.....................................................................................................................68
5.3 所局域网信息安全保密措施
.............................................................................................................................69
5.3.1 VLAN 划分
.......................................................................................................................................................69
5.3.2 使用域访问方式
.............................................................................................................................................69
5.3.3 及时发现并弥补安全漏洞
.............................................................................................................................70
5.4 重要涉密部门信息安全保密措施.........................................................................................................................70
5.4
终端防护
..............................................................................................................................................................71
第六章 结论与展望..........................................................................................................................................................73
参考文献............................................................................................................................................................................74

企业网络信息系统的研发与实施

第一章绪论

1.1 课题研究背景

随着计算机技术的飞速发展，通过网络传输的各种信息越来越多，各种计算机应用系统

都在网络环境下运行。目前集团已经建立了企业网站，电子邮件等系统，并且已经实施了

ERP、电子商务、HR 等信息系统，许多重要信息都存储在网络服务器中，因此网络系统的安全

至关重要。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无

序状态，使网络自身安全受到严重威胁。公司在网络安全上同样面临许多问题，例如邮件传

输安全问题，大量垃圾邮件攻击问题，病毒传播问题，信息资源非法访问等问题，这就要求

我们对网络系统安全性进行深入研究和分析，建立一套安全的网络系统架构。

对笔者所在的公司而言，信息化建设已列为以后重点工作之一。在大力开展信息化建设

的过程中，该公司领导已经认识到计算机信息系统安全的重要性，采取了一些防护措施来保

障网络的安全。但是，随着企业网络规模和应用范围的不断扩大，原有的网络安全防护系统

已经不能满足越来越泛滥的病毒、蠕虫、黑客的侵扰与攻击。如何利用当前先进的计算机网络

安全技术，在企业现有的网络安全防护系统基础上进一步加强计算机信息系统的整体防御能

力，保障生产和管理的正常运行，已成为企业信息化建设的一个重点。

1.2 国内外研究使用现状

网络给人们带来巨大便利得同时，也带来了许多的挑战，其中安全问题尤为突出。目前，

计算机犯罪已经成为普遍的国际性问题。在 Internet/Intranet 的大量应用中，Internet/

Intranet 安全面临的问题也越来越严重。据统计，世界上95%以上的网站均存在不同程度的

漏洞，其中有 80%以上的网站存在严重的安全漏洞，包括排名在前十位的门户网站和电子商

务网站；有 40%以上的内部网容易被黑客攻破。另据FBI 的统计调查，美国每年因网络安全

问题所造成的经济损失高达 100 多亿美元。而且还有日益增加的趋势，而全球平均每 20 秒钟

就发生一起 Internet 计算机入侵事件。据美国Security focus 公司统计，Internet 上80%

的机器都存在不同程度的网络安全漏洞。这说明计算机犯罪已经渗入到政府机关、军事部门、

商业、企业等单位，其它的用户网络所受到的威胁由此就可想而知了。如果不加以保护的话，

轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家的安全。所以系统的

安全问题已经引起许多国家，尤其是发达国家的重视，不惜投入大量的人力、物力和财力来

企业网络信息系统的研发与实施

提高计算机网络系统的安全性。

计算机病毒在不断产生和传播，计算机网络不断遭受黑客的攻击，重要清报资料被窃密，

甚至造成网络系统瘫痪，给各个国家以及众多的公司和部门造成了巨大的经济损失，甚至危

害国家和地区的安全，因此计算机网络系统的安全，包括其上的信息数据安全和网络设备服

务的运行安全，日益成为一个关系到国家、政府、企业、个人利益的大事，必须给予充分的重

视并设法加以解决。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的

重要组成部分。网络安全问题解决不好将全方位地危及一个国家的政治、军事、经济、文化、社

会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。

计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点，通常很难留下犯罪证

据，这大大刺激了计算机犯罪案件的发生。而且随着 Internet 的迅速发展，人们可以很方便

地接入它，罪犯们不用千辛万苦地建立接入攻击目标的访问通道，他们可以通过 Internet

轻易的找到以及访问要攻击的目标，这样犯罪更加容易发生。再者系统的安全漏洞和系统的

加密系统已经不再像以前一样仅仅被为数不多的专业人士知道，在国际互联网上，有数以万

计的黑客站点在时时刻刻地发布这些信息，并提供各种工具和技术以利用这些漏洞和破解保

密体系，进行系统攻击。这样使得计算机犯罪案迅速增加，计算机系统特别是网络系统面临

着很大的威胁，并成为严重的社会问题之一。

在我国，网络安全问题还没有得到充分的重视，许多大型的信息港和企业的 Intranet

都没有在安全方面下太大的功夫，结果往往在遭受重大损失后才意识到安全问题的重要性。

许多个人用户也经常为自已的邮箱遭受“邮箱炸弹”的攻击而苦恼，而一些大单位更是为自

已的主页被黑客的任意篡改而感到尴尬，至于那些由于网络安全漏洞造成的大型经济犯罪案

件更是屡见不鲜。

1.3 本文的主要研究内容

本文从首先介绍了网络信息安全方面的相关技术，然后按照国务院信息化工作办公室提

出了国标草案《信息安全等级保护指南》，给出了等级保护的流程和总体框架，把该指南中

的安全保护设计方案应用到集团公司这样的大型企业网络。本文在要素分析上则采用定性与

定量结合方法，使得结果更加直观、更有说服力。本文把等级保护要素评估的系统机密性影

响、完整性影响、可用性影响三要素有机融合在一起，采用模糊综合评判决策方法，给出了

系统定级量化计算方法。根据安全域划分的定性指标，应用模糊聚类分析模型，给出了安全

企业网络信息系统的研发与实施

域划分的定量分析方法。然后结合某集团公司网络的现状，对其网络风险进行评估，用定量

计算的方法来确定该集团网络的风险，为其网络安全的实施指出方向，最后本文就此风险进

行了安全实施。

第二章网络安全技术

2.1 防火墙技术

2.1.1 防火墙原理

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之

间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的

安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提

供信息安全服务，实现网络和信息安全的基础设施。

从技术上看，防火墙有三种基本类型：包过滤型、代理服务器型和复合型。它们各有所

长，具体使用哪一种或是否混合使用，要根据具体需求确定。

1、包过滤型防火墙(Packet Filter Firewall)

通常建立在路由器上，在服务器或计算机上也可以安装包过滤防火墙软件。包过滤型防

火墙工作在网络层，基于单个IP包实施网络控制。它对所收到的 IP 数据包的源地址、目的地

址、TCP 数据分组或 UDP报文的源端口号及目的端口号、包出入接口、协议类型和数据包中的

各种标志位等参数，与网络管理员预先设定的访问控制表进行比较，确定是否符合预定义好

的安全策略并决定数据包的放行或丢弃。这种防火墙的优点是简单、方便、速度快、透明性好

企业网络信息系统的研发与实施

对网络性能影响不大，可以用于禁止外部不合法用户对企业内部网的访问，也可以用来禁止

访问某些服务类型，但是不能识别内容有危险的信息包，无法实施对应用级协议的安全处理。

2、代理服务器型防火墙(Proxy Service Firewall)

通过在计算机或服务器上运行代理的服务程序，直接对特定的应用层进行服务，因此也

称为应用层网关级防火墙。代理服务器型防火墙的核心，是运行于防火墙主机上的代理服务

器进程，实质上是为特定网络应用连接企业内部网与 Internet 的网关。它代理用户完成

TCP/IP 网络的访问功能，实际上是对电子邮件，FTP, Telnet, WWW 等各种不同的应用各提

供一个相应的代理。这种技术使得外部网络与内部网络之间需要建立的连接必须通过代理服

务器的中间转换，实现了安全的网络访问，并可以实现用户认证、详细日志、审计跟踪和数

据加密等功能，实现协议及应用的过滤及会话过程的控制，具有很好的灵活性。代理服务器

型防火墙的缺点是可能影响网络的性能，对用户不透明，且对每一种 TCP/IP 服务都要设计

一个代理模块，建立对应的网关，实现起来比较复杂。

3、复合型防火墙(Hybrid Firewall)

由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形

成复合型防火墙，以提高防火墙的灵活性和安全性。这种结合通常有两种方案：

(1)屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet 相

连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，

使堡垒机成为 Internet 上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外

部用户的攻击。

(2)屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过

滤路由器放在这一子网的两端，使这一子网与 Internet 及内部网络分离。在屏蔽子网防火墙

体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。

2.1.2 防火墙规则

防火墙规则经常与安全规范混淆，是指在设计完安全规范并已决定哪些服务、哪些协议

及何种方向通过防火墙之后，需要决定如何在防火墙上实现这些规范。在设计上，防火墙使

用规则决定哪些数据包或服务允许通过。

设计规则时首先应确定接入规则，可以是以下的任何一条：

1、允许任何接入，除非已被规则指明拒绝。

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

15 积分 4人已下载

立即下载 VIP免费下载

摘要：

企业网络信息系统的研发与实施摘要近年来计算机技术取得了突飞猛进的发展，互联网的应用也越来越广泛，在网络环境下运行的各种应用系统越来越多，通过网络传输的各种信息也在不断增加。从目前集团公司计算机技术的应用情况来看也是如此，目前集团公司已经建立了企业网站，电子邮件等系统，并且已经实施了ERP、电子商务、HR等信息系统，许多重要信息都存储在网络服务器中，因此网络系统的安全至关重要。这就要求我们对安全问题进行深入分析研究，在整个集团建立多层次的网络安全体系。本文从首先介绍了网络信息安全方面的相关技术，然后按照国务院信息化工作办公室提出了国标草案《信息安全等级保护指南》，给出了等级保护的流程和总体框架，...

展开>> 收起<<

企业信息网络安全系统的研究与实施.doc

共73页,预览8页

还剩页未读，继续阅读

企业信息网络安全系统的研究与实施

相关推荐

开通VIP享超值会员特权

作者详情

相关内容

推荐作者

热门标签

举报选择: