企业内网的安全与管理.docx
- 文档编号:11496251
- 上传时间:2023-03-02
- 格式:DOCX
- 页数:22
- 大小:263.07KB
企业内网的安全与管理.docx
《企业内网的安全与管理.docx》由会员分享,可在线阅读,更多相关《企业内网的安全与管理.docx(22页珍藏版)》请在冰豆网上搜索。
企业内网的安全与管理
企业内网的安全与管理
摘要
一直以来,安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御,重要的安全设施大致集中于机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。
在所有的网络安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。
因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
关键字:
安全,风险,控制,防御
目录
第一章、背景分析4
1、信息:
内部机密文档安全5
2、用户:
用户桌面行为规范5
3、系统:
系统维护、资产管理6
第二章、需求分析6
2.1企业的设计目标7
2.2构建企业内网总体介绍7
第三章、网络接入选择7
第四章、企业的四个子网8
第五章、企业拓扑结构图9
6.1WEB服务器的配置11
6.2.1DNS服务器安装与配置12
6.3FTP服务器安装与配置13
6.4安装配置邮件服务器14
6.5DHCP服务器安装与配置14
第七章、防范内部人员16
参考文献19
致谢19
第一章、背景分析
内网安全的首要任务:
全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全。
现代计算机及通信技术飞跃发展,企业内部管理的网络化及信息化成为一种必然的发展趋势,网络技术己经广泛地应用到各个技术领域和整个社会的各个方面。
许多企业都已建成或正在组建自己的企业网络。
本设计就企业网络的总体规划进行了可行性的论证,并可作为将来真正实现企业网建设的一个方案。
另外,基于企业网络的开发是将先进技术应用到企业内部,通过简单的浏览界面,方便地集成了各类已有的服务,极大改变了传统的信息系统的结构设计,开发环境和应用环境,打破了信息共享的障碍。
企业内网对于一个企业网络安全面临的风险,并充分评估这些风险可能带来的危险,将是实施安全建设中必须首要解决的问题,也是制定安全策略的基础和依据。
那么,究竟企业在那些方面存在安全风险?
企业内网安全产品又能给企业带来什么样的价值?
对此,溢信科技研发总监黄凯从内网安全涉及到的信息、用户、系统三方面做了解读。
1、信息:
内部机密文档安全
企业中与业务相关的信息有九成左右都会以电子文档的形式存在,这些内部信息往往涉及商业机密,甚至是企业的核心关键技术,保密性要求甚高,一旦泄密,极有可能给企业带来巨大的经济损失。
1.1企业内部可能存在专门的文档服务器,用以存储各类文档。
如果缺乏有效的管理,任何内网用户都可以接触到文档,即可随意把企业内部文件甚至机密信息传播出去,造成企业重大的损失。
因此,企业需要对文档进行高强度的加密并设置基于角色的用户权限管理。
IP-guard采用高强度的透明加密技术,对机密信息进行安全保护,使文件在用户新建后就自动被加密保护。
加密后的文件即使被非法传输到企业外部也无法解密和应用。
另外,还能够根据不同的部门和级别,设置不同的内部文档访问控制权限,从而建立完整的保密体系。
1.2企业内部或许缺乏对移动存储设备进行有效的管控,任何人都可以使用自己的U盘、MP3、移动硬盘等设备复制转移电子文档,文档泄露的隐患大大增加。
如果彻底禁止U盘的移动设备的使用,又会为企业内部正常的文档传输带来不便。
因此,企业需要在享受移动存储设备带来的便捷性的同时最大限度保障信息安全。
IP-guard能够解决组织内部移动存储设备应用矛盾,其核心是在总体控制计算机外部设备包括USB、蓝牙、光存储设备使用权限的基础上,分类规范网内的移动存储设备使用行为并进行加密,辅之以全面的移动存储审计,最终达到移动存储设备便携性与安全性兼得的目的。
1.3企业员工因工作需要经常使用qq、飞信、MSN、电子邮件等基于网络的程序运用,这些程序都有文件传输功能,如果不对其进行限制,文件被有意或者无意泄露的风险性很大。
所以,企业应该对电子邮件、即时通讯工具进行有效的管理和控制。
IP-guard能够对外发文档的权限进行管理。
限制外发超过指定大小或包含指定关键字的文档,甚至彻底禁止外发文档,保护重要的文档不会通过即时通讯工具泄露出去。
同时完整记录用户的聊天内容、发送的邮件内容,方便管理者了解用户在进行对话时是否有意或无意地泄露公司重要信息。
2、用户:
用户桌面行为规范
除了企业内部的机密信息,对企业发展起到至关重要作用的就是员工的工作效率。
网络的普及,无疑改善了员工的工作条件,提高了企业的整体效率。
但是,企业内部可能存在部分员工沉迷于网络或者桌面游戏,忽视专职工作,严重影响企业发展。
1.2.1部分用户可能存在不规范的桌面行为,比如上班时间炒股、浏览无关新闻、网上游戏、看在线电影、听音乐等,工作效率十分低下,同时还存在BT下载、在线视频、迅雷应用等P2P行为,导致公司带宽经常被堵,正常的网络业务无法开展。
企业必须对上网行为进行适当的管控和审计。
IP-guard能够过滤一切与工作无关的应用程序,分时段或全天候阻止游戏、炒股、媒体播放、即时通讯、BT等程序的运行。
同时,还可限制P2P软件的使用,帮助企业合理分配带宽资源,力保网络平稳。
另外,IP-guard还提供用户应用程序和网页浏览情况的统计表,让管理者对用户的桌面行为一清二楚。
1.2.2丰富的网站资源除了带来有用的信息,还包含一些色情、反动类型的网站及其应用,员工的不良上网行为可能导致病毒、木马被非法下载进入企业内部。
IP-guard可过滤黄色、暴力和恶意传播病毒的网站,保证用户在合规、合法范围内使用网页,既不能访问下载也不能上传散播任何含色情暴力成分的内容。
3、系统:
系统维护、资产管理
企业要健康发展,还离不开IT系统的正常运作。
由于企业规模的扩大、实力的增强,企业的办公地点可能分布在不同楼层甚至不同地区,由此造成大量计算机系统分布分散、企业内部的资产统计工作非常繁琐。
计算机系统,是企业内部必不可少的一个重要组成部分。
维护系统的正常运转是IT管理员的日常工作,由于缺少适合的管理工具,企业内部动辄几百上千台计算机系统维护,也使得有限的IT管理人员对系统的日常维护变得不再灵活,系统漏洞风险不断升高。
针对此情况,系统管理员可以通过IP-guard控制台实时查看客户端计算机的应用程序、网络连接、进程、系统信息等基本资料和运行情况,在单一控制台上就可以实现对整个网络内计算机运行信息的掌握。
同时它还可以协助管理员对系统运行情况做分析,在系统发生异样时及时解决,预防系统故障的发生。
另外,系统管理员可以在IP-guard控制台直接远程控制和操作任一计算机,可在控制台对需要帮助的远程计算机进行操作,实现远程桌面访问、双向文件传输。
多数企业内部存在着大量的软、硬资产和非IT资产。
如果使用传统的资产维护和管理方法,既繁琐而又耗费时间,人手统计完毕后还得手工录入信息。
当资料统计或录入到一半时,系统新增了资产,工作往往因此而被打断。
如此重复多次,IT管理者也难免变得糊涂,繁琐手续就变得如此简单。
因此,企业亟需一种简单的方法统计内部资产。
IP-guard自动搜索和整合企业网络内客户端计算机的IT资产信息,并集中记录硬件型号,节省人手统计的时间,同时也可自动统计软硬件资产的变更,提供一目了然的软硬件资产变更列表,让系统管理员通过控制台的数据便可对资产变动了如指掌,时刻掌握最新最准确的资产信息。
既可减轻系统管理员的工作负担,又可避免资产的遗失与侵占。
第二章、需求分析
2.1企业的设计目标
企业为了与时俱进,满足市场供求,充分利用网络上的信息资源是必然,来满足不断出现的对环境的要求。
企业网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,来提高企业的办公质量和效率。
2.2构建企业内网总体介绍
本着办公自动化和资源共享的原则将企业的500台计算机组织成为一个小型的办公局域网。
本方案主要采用星形与树型相结合的混合型拓扑结构对网络进行构建,划分四个子网,采用交换机将四组计算机连接起来组成内部局域网。
并使用拨号上网的方式进行网络连接。
2.3用户需求
近年来企业设备共享和信息资源的管理越来越重要,因此公司需要一个实时、安全、高速、稳定的信息交换平台,来保证公司那频繁且庞大的信息传输量,从而提高工作效率,达到设备共享,缩小巨大的设备开资,好充分利用有限的资金来提高企业的发展,适应高速发展的信息化社会。
同时借助Internet来打破地域的限制,涉取多样的市场需求信息及选进的科学技术。
2.4功能需求
企业网络涉及四个子系统:
生产用电脑,管理用电脑,财务用电脑,劳资系统电脑
系统同时要满足OA及业务系统数据流为主的应用,网络的体系结构要能支持以OA/业务数据流的应用,系统能够实现资源共享和信息流的无阻塞通畅流转,包括文件传输、WEB访问、邮件传输、信息查询、以及内部Intranet/Extranet应用等。
同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。
因此,所采用的设备必须支持TCP/IP以及SPX/IPX、FTP协议,支持各路路由协议,同时支持IPMulticast,Qos,RSVP等局域网和广域网多媒体应用技术。
提供足够的带宽,从而实现OA、业务数据流与多媒体应用的实现。
所以,网络设备选择要能够满足企业级的应用,同时主干交换机不但能够满足目前的应用,还要能够对将来系统扩充保持一定的扩容能力,以及适当的灵活性,以便网络扩充和增加新的功能。
第三章、网络接入选择
企业组建网络的目标是以信息技术为手段,把分布在不同地点的现有资源迅速地组合成为一个没有(或几乎没有)时间和空间约束、靠电子手段联系的统一指挥的经营实体,从而达到企业生存和发展的高效性、稳定性和长期性。
在企业中,由于布线在企业中,由于布线系统费用与实现上的限制,对于零散的远程用户接入,利用PSTM市话网络进行远程拨号访问几乎是唯一的经济、简便的选择。
远程拨号访问需要规划远程访问服务器和Modem设备,并申请一组中继线(企业内部有PABX电话交换机则最好)。
由于整个网络中惟一的窄宽设备,这一部分在未来的网络中可能会逐步减少使用。
远程访问服务器(RAS)和Modem组的端口数目一一对应,一般按一个端口支持20个用户计算来配置。
远程访问技术首先解决的问题就是地域的局限。
用户不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。
此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。
由于上述原因,远程访问技术长期以来一直使用一种最为普通、随处可得的传输媒介——PSTN(公用电话网)。
利用Modem模拟拨号技术来实现远程连接。
利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem(调制解调器),对于用户来说,一次性投入很小。
当然如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个信道。
而企业需在局域网边缘设置远程访问接入设备并配备一定数量的语音中继线路供远程访问用户拨入。
图3-1
第四章、企业的四个子网
我按公司各单位的部门划分,公司电脑可分为以下四种四个子网:
一是生产用电脑,二是管理用电脑,三是财务用电脑,四是劳资系统电脑。
经过分析,我们将企业局域网按应用类型分为对应的四个子网:
生产子网(LAN1);管理子网(LAN2);劳资子网(LAN3);财务子网(LAN4)。
这四者连接起来构成了企业的主干网。
如下图:
图4-1企业主干网
3IP规划
首先,要考虑选用哪一段专用IP地址。
小型企业可以选择“192.168.0.0”地址段,大中型企业则可以选择“172.16.0.0”地址段。
如果我们根据网络中计算机的数量来决定需采用的IP地址,这个方案肯定是行不通的。
因为这样做会受到将来网络状况变化的限制,假如不久后企业决定又要购进一批计算机,整个网络就可能因为选取的IP地址不合适而导致重新设计。
其实网络的划分并不是很复杂,只要考虑到在可预见的将来的网络情况就可以了,同时要注重它的通用性及其稳定性。
在这里,因为N公司需要划分4个子网:
子网1网络地址:
172.16.1.1/241-254可用255广播地址
子网2网络地址:
172.16.2.1/241-254可用255广播地址
子网3网络地址:
172.16.3.1/241-254可用255广播地址
子网4网络地址:
172.16.4.1/241-254可用255广播地址
划分了4个子网,每个子网254台主机,为以后添加主机作好准备。
远程数据库上客户端或本地数据库客户端通过Internet或局域网与中转服务器建立连接(中转服务器IP地址/互联网域名为固定的),中转服务器保存各客户端的动态IP地址;远程数据库要求与本地数据库交换数据,中转服务器在两者之间建立一条暂时的通道;通过远程数据库与本地数据库通道完成数据交换。
第五章、企业拓扑结构图
图5-1企业网络拓扑结构图
第六章、网络服务器的配置与安装
安装需求
根据公司需求选择性的配置一些服务器(WWW服务器、FTP服务器、DNS、DHCP、E-MAIL等)。
6.1WEB服务器的配置
万维网(WorldWideWeb)是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统,整个系统由Web服务器、浏览器及通信协议等3部分组成。
www中的信息资源主要由一篇篇的网页为基本元素构成,所有网页采用超文本标记语言来编写,HTML对Web页的内容、格式及Web页中的超链进行描述。
Web页间采用超级文本(HyperText)的格式互相链接。
在Windows2000中推出了InternetInformationServer5.0(简称IIS5.0)提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。
IIS是基于TCP/IP的Web应用系统,使用IIS可使运行Windows2000的计算机成为大容量、功能强大的Web服务器。
IIS不但可以通过使用HTTP协议传输信息,还可以提供FTP和Gopher服务,这样,IIS可以轻松地将信息发送给整个Internet上的用户。
IIS5.0的具体安装步骤如下:
一、控制面板---添加或删除程序,点击“添加/删除Windows组件”按钮。
二、选择“Internet信息服务(IIS)”,单击“下一步”开始安装,单击“完成”结束。
选择“开始”/“程序”/“管理工具”/“Internet服务管理器”,打开“Internet信息服务”管理窗口,窗口显示计算机上已经安装好的Internet服务,而且都已经自动启动运行,其中Web站点有两个,分别是默认Web站点及管理Web站点。
1.使用IIS的默认站点
一、将制作好的主页文件(html文件)复制到\Inetpub\wwwroot目录。
二、将主页文件的名称改为Default.htm。
现在进行的都是IIS默认动作。
完成这两个步骤后,打开本机或客户机浏览器,来浏览站点,测试Web服务器是否安装成功,WWW服务是否运行正常。
站点开始运行后,如果要维护系统或更新网站数据,可以暂停或停止站点的运行,完成上述工作后,再重新启动站点。
2.添加新的Web站点
步骤一、打开“Internet信息服务窗口”,右键单击要创建新站点的计算机,在弹出菜单中选择“新建”/“Web站点”,出现“Web站点创建向导”,单击“下一步”继续。
步骤二、然后输入说明文字,单击“下一步”,输入新建Web站点的IP地址和TCP端口地址。
如果通过主机头文件将其它站点添加到单一IP地址,必须指定主机头文件名称。
Web站点建立好之后,可以通过“Microsoft管理控制台”进一步来管理及设置Web站点,站点管理工作既可以在本地进行,也可以远程管理。
3.测试过程
首先在客户机的IE浏览器中输入Web服务器的IP地址,如果配置结果正确的话,客户机将会显示Web服务器上所建立的网页,如果不能够访问,则可以用以下命令进行测试:
Ping及Tracert。
用法如下:
ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS]
[-rcount][-scount][[-jhost-list]|[-khost-list]]
[-wtimeout]destination-list
tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name
Options:
-dDonotresolveaddressestohostnames.
-hmaximum_hopsMaximumnumberofhopstosearchfortarget.
-jhost-listLoosesourceroutealonghost-list.
-wtimeoutWaittimeoutmillisecondsforeachreply.
Ping命令用于测试网络的连通性,Tracert命令用于测试路由的走向。
在客户机上PingWeb服务器,如果通的话则可以正常访问。
如果不通可按以下步骤进行测试:
1.在客户机上Ping其它四台计算机,测试是否连通。
在实验过程中发现一个问题:
PingDNS服务器,测试其连通性。
如果正常,则可暂时确定问题出在DNS服务器与Web服务器之间。
2.如果计算机之间通信正常但还不能正确访问Web服务器则可用TracertWeb服务器IP命令查看其路由走向。
从而确定问题的所在。
6.2.1DNS服务器安装与配置
一、配置IP地址
打开“本地连接”属性对话框,双击“Internet协议(TCP/IP)”,填上IP地址、子网掩码、默认网关和DNS服务器地址。
2、DNS服务程序的安装
1、打开“网络和拨号连接”,或者打开控制面板(“开始”-“设置”-“控制面板”-“添加/删除程序”-“添加/删除Windows组件”-“网络服务”)。
2、单击“添加网络组件”,选中“网络服务”,打开“详细信息”。
网络服务详细信息
3、选中“域名系统DNS”,单击“确定”,单击“下一步”。
4、插入“Windows2000Server”光盘,安装DNS系统文件。
5、安装完后,在“管理工具”下增加了“DNS”菜单项。
三、DNS服务程序的配置
在域中,有这样几台计算机需要加到DNS服务器中。
的邮件服务器名为,IP地址为192.168.0.41
的WWW服务器名为,IP地址为192.168.0.31
W的FTP服务器名为FTP,IP地址也为192.168.0.31,即和WWW服务器同一台。
中的主DNS服务器名为,IP地址为192.168.0.21
因为要建自己的域名服务,将自己的机器作为域名服务器,所以要修改自己机器的名称为NS,域名修改为“”,现在这台服务器名称为。
配置步骤:
1、创建区域。
(1)打开“开始”-“程序”-“管理工具”-“DNS”
(2)添加“正向搜索区域”。
右键单击“正向搜索区域”,单击“新建区域”-“新建区域向导”。
(3)单击“下一步”,输入区域名称“”。
(4)单击“下一步”,创建新文件,文件名采用默认名,为“.dns”。
(5)单击“下一步”,完成“新建区域向导”。
2、创建反向搜索区域
反向搜索区域不一定非要创建,但是加上它,可以使用NSLOOKUP工具来诊断你的DNS服务器故障。
(1)右键单击“反向搜索区域”,单击“新建区域”,按“新建区域向导”单击“下一步”-“下一步”。
(2)填入IP地址网络号192.168.0。
(3)单击“下一步”,创建区域文件“0.168.192.in-addr.arpa.dns”
(4)单击“下一步”,单击“完成”,完成“反向搜索区域”的安装。
这样你就拥有了两个区域,正向搜索区域和反向搜索区域,如所示。
3、域的属性设置
右键单击“”,单击“属性”,就弹出带有五个页签的属性窗口。
第一个页签是“常规”,区域文件名“.dns”在“C:
\WINNT\SYSTEM32”下,可以先备份下来,以便发生灾难时的修复。
默认情况下,“允许动态更新(w)”为“否”,如果你想让这台DNS服务器为Windows2000的域提供服务的话,会引起问题的,因此将“否”改为“是”。
同样,右键单击“192.168.0.xSubnet”,单击“属性”,修改“允许动态更新”为“是”。
4、创建记录
(1)创建主机记录即A记录
(2)置反向查询记录
6.3FTP服务器安装与配置
一、FTP服务器的配置及使用
打开“Internet信息服务”窗口,右键单击“默认FTP站点”,选择“属性”选项。
出现2对话框。
有五个选项卡。
1、FTP站点
TCP端口号默认是21,设置其他端口号,如24。
在连接栏,根据系统的容量和带宽,限制连接的数量。
一个下载窗口就是一个连接。
启用日志记录与WWW属性类似。
单击当前会话按钮,这里列出了连接到FTP服务器的所有用户、它们的IP地址和已经连接的次数。
2、安全帐号
在FTP服务器上,通常有两种用户连接:
匿名登录和用户登录。
匿名登录在Internet下非常普遍,使用的用户名是“anonymous”。
如果你的FTP公开,通过允许匿名登录。
否则用户登录方式,需要用合法的用户名和密码才能登录进去。
FTP站点安全帐号消息FTP的客户界面比较单一,但是我们可以设置个性化的界面。
当用户登录进来后,我们发送欢迎消息,当用户退出后,给出退出信息。
如果你的服务器已达到限制的最大连接数目,就会发送一条最大连接数的消息给用户,并立刻断开连接。
3、主目录
FTP站点的内容位置可以来自于本机或共享目录。
此处与WWW属性页中的设置类似。
但权限只有三项:
读取、写入和日志访问。
4、目录安全性
这个页面中,可以限制访问站点的IP地址。
比如,拒绝访问的IP地址是一个C类地址210.45.160.0。
5、虚拟目录
建立FTP虚拟目录,方法同WWW虚拟目录创建的方法。
6.4安装配置邮件服务器
邮件服务器的安装其实就是PO3、SMTP服务相关组件的安装,本文主要为大家介绍如何利用“配置您的服务器向导”进行安装邮件服务器。
(1)执行【开始】→【管理工具】→【配置您的服务器向导】菜单操作,打开如下图所示对话框。
(2)单击“下一步”按钮,打开如下图所示对话框。
这是一个预备步骤,在其中提示了在进行以下步骤前需要做好的准备工作。
(3)单击“下一步”按钮,打开如图所示对话框。
在其中选择“邮件服务器(POP3,SMTP)选项。
(4)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 安全 管理