计算机毕业论文：浙江广播电视集团网络安全解决方案

　　浙江广播电视集团网络安全解决方案

　　第一章 引言

　　第一节 选题背景与意义

　　随着互联网的普及度越来越高，全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁，使得网络安全问题日益突出，信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷，如何防止网络攻击，保障各项业务的顺利进行，为广大用户提供一个安全的网络环境变得尤为重要。

　　本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后，有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础之上，再采用先进的技术和产品，构造全方位的防御机制，使系统在最理想的状态下运行。第二节 集团网络安全发展与现状

　　图1-1网络拓扑图

　　浙江广播电视集团作为省级广电传媒集团，现有计算机网络于2002年10月建成，在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展，网络应用的不断深入，应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络，远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输，整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出，安全日益成为影响网络效能的重要问题，而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时，对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施，但因为网络复杂性的逐步提高，网络中存在隐患的可能性以及由此产生的危害性也大大提高，因此在网络系统的进一步建设过程中，及时查清网络隐患的必要性就体现了出来。第三节 网络安全相关技术介绍

　　要保证计算机网络系统的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。

　　一、防火墙技术

　　为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部服务可已被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：数据包过滤、监测型、代理服务器等几大类型。

　　二、数据加密技术

　　与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

　　三、认证技术

　　认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别;第二，验证信息的完整性，保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。

　　四、虚拟专用网络(VPN)技术

　　虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。

　　VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。

　　VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。

　　五、计算机病毒的防范

　　首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：

　　(一)较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀毒范围广、能力强的特点。

　　(二)完善的升级服务。与其它软件相比，防病毒软件更需要不断地更新升级，以查杀层出不穷的计算机病毒。

　　第二章 集团网络安全系统概况及风险分析

　　第一节 集团网络机房环境

　　目前，浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的，只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解，目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑，主要有如下方面:

　　一、网络机房都作了可靠的防雷措施，建设有防雷接地网，其接地电阻小于1欧姆;大楼顶部建设有避雷针。

　　二、所有从网络机房大楼外接入网络机房的数据信号，全部采用光纤接入。

　　三、网络机房内大多配备UPS电源系统。

　　四、机房内铺设防静电地板、吊顶，对墙面进行了无尘处理。

　　五、安装机房防盗监控系统。

　　六、配备机房消防系统和应急照明系统。

　　七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电，与楼层内的其它电源系统没有任何连接。

　　第二节 网络应用数据备份

　　在广电集团的计算机网络中大多己经有功能数据备份与恢复系统，它是一套基于磁带介质的备份与恢复系统，有2套文件备份的License和1套Oracle数据库备份的License，进行服务器的文件备份和Oracle数据库的实时备份和恢复。

　　浙江广电集团网络中已经有了以下几个网络安全方面的考虑:

　　一、病毒防护

　　网络中使用了诺顿病毒防护系统，该病毒防御系统是基于网络的病毒防护系统，在网络内能够远程的安装网络客户端的病毒防护软件，进行病毒特征库的自动更新，集中控制和管理。但是，网络中的病毒防护系统没有集中控制和管理的控制台，不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。

　　二、外网接入安全防护

　　网络目前大多没有单独的外网接入点，没有自己的外网接入安全防护，使用统一的出口和安全策略。

　　三、入侵检测系统

　　在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1

　　图2-1 广电集团入侵检测系统示意图第三节 网络安全弱点分析

　　浙江广电集团网络系统安全弱点主要包括:

　　一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中，一旦发生硬件的安全问题，将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。

　　二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台，一旦操作系统被渗透，就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题，动态连接给厂商提供开发空间的同时为黑客开启了方便之门。

　　三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。

　　四、网络系统弱点： TCP/IP协议本身的开放性导致网络存在安全隐患。如：TCP/IP 数据通信协议集本身就存在着安全缺点，如：大多数底层协议采用广播方式，网上任何设备均可能窃听到情报; 协议规程中缺乏可靠的对通信双方身份认证手段，无法确定信息包地址真伪导致身份“假冒”可能;由于TCP 连接建立时服务器初始序号的可推测性，使得黑客可以由“后门”进入系统漏洞。

　　五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。

　　六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。

　　七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点，由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制，安全体系设计要求具有良好的可扩展性和动态自适应性。

　　八、管理弱点: 工具不多，技术水平不高，意识淡薄，人员不到位。第四节 网络安全风险分析

　　网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点，增加了广电集团网络系统的安全风险。

　　由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性，主要有：

　　一、人为因素：

　　未经授权访问重要信息

　　恶意破坏重要数据

　　数据窃取、数据篡改

　　利用网络设计和协议漏洞进行网络攻击

　　假冒、伪造、欺骗、敲诈、勒索

　　内部人员恶意泄露重要的信息

　　管理员失职

　　二、自然因素：

　　设备的老化

　　火灾、水灾 (包括供水故障)

　　爆炸、烟雾、灰尘

　　通风

　　供电中断

　　电磁辐射、静电

　　以上都可能引起设备的失效、损坏，造成线路拥塞和系统瘫痪等。

　　第三章 集团网络安全需求与安全目标第一节 网络安全需求分析

　　为了确保广电集团网络系统的安全，其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。

　　从安全管理要求来分析，要考虑政策、法规、制度、管理权限和级别划分、安全培训等，特别要考虑基层人员计算机水平不高，系统设计和培训等方面要周密考虑，制定切实有效的管理制度和运行维护机制。

　　从物理安全要求来分析，要根据浙江广电集团实际情况，确定各物理实体的安全级别，建立相应的安全防护机制。

　　从系统安全需求来分析，需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。

　　从网络安全需求来分析，要考虑系统扫描、入侵检测、设备监控和安全审计等，要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性，拨号线路的保密性和身份鉴别。

　　从应用安全和信息安全需求来分析，要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。

　　因此，广电集团网络系统安全要重点做好以下几方面的工作，同时也是本安全方案的设计需要解决的问题;

　　一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题;

　　二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改等所带来的问题;

　　三、解决重要信息的备份和系统的病毒防范等问题;

　　四、建立系统安全运行所匹配的管理制度和各种规范条例;

　　五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题;

　　六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。

　　第二节 网络安全目标

　　计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内，存在着传输系统的地域分布问题。这些传输通信系统可以是有线的，也可以是无线的。这类传输可以在中途被截获，存在着“中间攻击”的问题。从攻击的手段来看，攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难，网络安全要特别重视防截获，防泄露和信息加密的实施。

　　目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。

　　网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。

　　网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全，概括为确保信息的完整性、保密性、可用性和不可抵赖性。

　　信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看;

　　信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变;

　　信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务;

　　信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。