网络安全实训报告.docx

网络安全实训报告.docx

《网络安全实训报告.docx》由会员分享，可在线阅读，更多相关《网络安全实训报告.docx（20页珍藏版）》请在冰豆网上搜索。

网络安全实训报告

网络安全实训报告

xx公司

网络安全解决方案目录

摘

要...........................................................................

.......................................................................3

第一章引

言...........................................................................

..........................................................4

第二章信息系统现

状...........................................................................

..........................................5

2.1信息化整体状

况...........................................................................

..................................5

1）计算机网

络...........................................................................

........................................5

2）应用系

统...........................................................................

............................................5

2.2信息安全现

状

...........................................................................

......................................5

第三章风险与需求分

析

...........................................................................

......................................6

3.1风险分

析

...........................................................................

..............................................6

3.2需求分

析

...........................................................................

..............................................7

第四章设计原

则

...........................................................................

..................................................8

4.1标准化原

则

...........................................................................

..........................................8

4.2系统化原

则

...........................................................................

..........................................8

4.3规避风险原

则

...........................................................................

......................................8

4.4保护投资原

则

...........................................................................

......................................8

4.5多重保护原

则

...........................................................................

......................................9

4.6分步实施原

则

...........................................................................

......................................9

第五章设计思路及安全产品的选择和部

署...........................................................................

....10

5.1网络安全基础设

施...........................................................................

..............................10

5.2边界防护和网络的隔

离

...........................................................................

....................11

5.3安全电子邮

件

...........................................................................

....................................11

5.4桌面安全防

护

...........................................................................

....................................11

5.5身份认

证

...........................................................................

............................................12

第六章方案的组织与实施方

式

...........................................................................

........................13

第七章结

论

...........................................................................

........................................................14

摘要

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企

业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱

颖而出。

经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。

计算机网络规模不断扩大，网络结构日益复杂。

计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。

信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

第一章引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2019年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。

这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企

业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱

颖而出。

面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着

自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以xx公司为例进行说明。

第二章信息系统现状

2.1信息化整体状况

1）计算机网络

xx公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。

在内部网络中，各计算机在同一网段，通过交换机连接。

2）应用系统

经过多年的积累，xx公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。

随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，xx公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

第二章信息系统现状

2.1信息化整体状况

1）计算机网络

xx公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。

在内部网络中，各计算机在同一网段，通过交换机连接。

2）应用系统

经过多年的积累，xx公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。

随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，xx公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务

器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

第三章风险与需求分析

3.1风险分析

通过对我们信息系统现状的分析，可得出如下结论：

（1）经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。

计算机网络规模不断扩大，网络结构日益复杂。

计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

（2）计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：

随着计算机技术的发展、安全威胁种类的增加，xx公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

（1）系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系

统和应用的安全防范缺乏技术和管理手段。

如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。

在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：

所有的用户都是不可信的。

在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。

内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局（FBI）和计算机安全机构（CSI）等权威机构的研究也证明了这一点：

超

过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，xx公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。

不能充分发挥安全产品的效能。

（2）原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。

为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。

同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。

只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述，xx公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

（1）xx公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据

各方面的安全防护。

为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使xx公司计算

机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

（4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、

事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是xx公司面临的重要课

题。

第四章设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。

本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，xx公司分期、分批建设

了一些整体的或区域的安全技术系统，配置了相应的设施。

因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。

但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6分步实施原则

由于xx公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。

一劳永逸地解决安全问题是不现实的。

针对安全体系的特性，寻求安全、风

险、开销的平衡，采取“统一规划、分步实施”的原则。

即可满足xx公司安全的基本需求，亦可节省费用开支。

第五章设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。

信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对xx公司信息

化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。

通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安

全可信的网络之上。

目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。

PKI（PublicKeyInfrastructure，公钥基础设施）是利用公开密钥理论和技术建立起来的

提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等

安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。

通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台

实现以下目标：

身份认证（Authentication）：

确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性（Confidentiality）：

对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性（Integrity）：

确保通信信息不被破坏（截断或篡改），通过哈希函数和数字签名来完成。

不可抵赖性（Non-Repudiation）：

防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN（VirtualPrivateNetwork）虚拟专用网，是将物理分布在不同地点的网络通过公

用骨干网（如Internet）连接而成的逻辑上的虚拟专用网。

和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。

它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网

上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。

随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。

然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME（Secure

MultipurposeInternetMailExtensions），它是从PEM（PrivacyEnhancedMail）

和MIME（Internet邮件的附件标准）发展而来的。

首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级

的组织（根证书）之间相互认证，整个信任关系基本是树状的。

其次，S/MIME将信件

内容加密签名后作为特殊的附件传送。

保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。

很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。

同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，

因此，对于企业的威胁更为严重。

对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1）电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。

采用组件技术，可以无缝嵌

入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2）安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。

使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。

用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3）文件加密系统

文件加密应用系统保证了数据的安全存储。

由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。

基于PKI的身份认证方式是

近几年发展起来的一种方便、安全的身份认证技术。

它采用软硬件相