《计算机网络安全》期末考核项目名称：星河科技公司网络安全设计学院：电气工程学院班级：**级电子信息工程(1)班姓名：**学号：********指导老师：******普瑞网络安全公司(公司名为虚构)通过招标,以100万人民币工程造价的到项目实施,在解决方案设计中需要包含8个方面的内容:公司背景简介、星河科技公司安全风险分析、完整网络安全实施方案设计、实施方案计划、技术支持和服务承诺、产品报价、产品介绍和安全技术培训。

1、公司背景简介1.1公司背景简介普瑞网络安全公司成立于1996年,同年,通过ISO9001认证。

是一个独立软件公司，并致力于提供网络信息安全和管理的专业厂商，利用最新的加速处理和智能识别技术全面更新了其防病毒产品引擎。

同时提供咨询（Consulting Service）、教育（Total Education Service）、产品支持（World Wide Product Support）等全面服务方案。

24X7 防病毒监测——普瑞永久在线的防病毒专家可以随时处理与病毒相关的各种情况。

普瑞的全方位解决方案涵盖了回答询问、扫描特征文件分析、清除工具以及病毒爆发预防策略(OPP)。

Virus Lab ——普瑞接收和复制的所有病毒都存储在这里，并且能够在45分钟内全面检测病毒特征库文件，从而确保普瑞客户能得到最新的防病毒技术和更新。

病毒研究及分析实验室—— TrendLabs的研究工程师们在这里从事病毒行为的深入分析和其它安全研究来改善现有防病毒技术或保护。

病毒清除及模拟实验室——最新的损害清除模板发布之前在这里进行测试，以确保在多平台、多语言环境中的兼容性。

防垃圾邮件实验室——研究、创建并维护诸如智能反垃圾产品等普瑞内容过滤产品所使用的防垃圾邮件规则。

Global ActiveUpdate——测试并上传普瑞最新的产品安装程序、补丁、特征文件和扫描引擎至升级服务器，供世界各地的客户自动或手工下载使用并获得保护。

1.2公司人员结构普瑞网络安全公司现有管理人员45名，技术人员1200名，业务推广人员240名。

具有副高级职称以上的有150人，教授或研究员87人，院士4人，硕士学位及以上人员占有率高达58%。

1.3成功案例在2001年，为卓越信息集团设计的网络安全方案，在技术、性能以及要求上，均满足其要求，客户评价很高。

1.4产品的许可证或服务的认证公司于1996年通过ISO9001质量体系认证，并于2000年通过ISO9002认证。

1.5星河科技有限公司实施网络安全的意义在网络系统中的软件、硬件和系统数据受到保护，不会被偶然或者恶意而遭破坏、泄露、更改，系统可以可靠、连续、正常地运行，网络服务不会被中断的技术称为网络安全。

通过实施网络安全，使得涉及到商业利益及个人隐私的信息在网络上传输时受到真实性、机密性和完整性的保护，避免遭到其他人的篡改、窃听、冒充等各种手段来侵犯用户的利益和隐私。

星河科技有限公司实施网络安全，可以有效的避免公司的机密遭到窃取，也可以防止黑客破坏公司的正常运行，为公司的安全、有序运作，提供了一层保护伞。

2、安全风险分析2.1物理安全问题星河科技公司在设备的配备上，能够避免大部分的物理安全问题，但由于除了设备本身的问题外，还包括设备的地理位置安全、环境安全和地域等因素。

物理设备的位置极为重要，所有基础网络设施都应该放置非技术人员可以进入的地方，以降低出现未经授权访问的可能性。

星河科技公司内部网络通过光纤连接,与外部网是相对独立的,在进行外网连接时,需要通过数据请求,同时在外网连接内网时,也必须通过请求允许。

2.2系统安全问题分析由于软件系统规模的日益增大，系统中的各种安全漏洞与后门也就不可避免的存在，像WINDOWS和LINUX等都存在着一些安全漏洞。

在各类服务器最典型的就是微软的IIS服务器、数据库、WEB浏览器等都发现过存在的安全隐患。

在星河科技公司的的服务器上,采用的是公司独立开发的LINUX系统,而在公司其他个人计算机上,采用的则是微软公司WINDOWS系列操作系统。

Internet内部访问需要得到授权，在官网数据与公司内部数据是独立的。

2.3网络应用的安全分析由于星河科技公司所使用的服务及应用都是市场上常见的，如通过TCP/IP协议应用MAIL SERVER、WWW SERVER、FTP SERVER、DNS等。

由于各种应用都可能隐含安全缺陷，尤其是较早的一些产品和国内一些公司的产品对安全问题很少考虑，更是如此。

比如用TCP／IP的主要协议之一IP协议，我们都知道IP协议是依据IP头中的目的地址来发送IP数据包，通过判断目的地址来确定所要发送的信息是在本地网络还是其他网络。

如果是本地的网络地址，则IP数据包直接发送，如果目的地址是其他网络地址，那么IP数据包就会通过网关来判断所要发送到何处，这就是IP协议路由IP数据包的方法。

IP数据包在通过路由选择时，IP协议并不会对其提供的源地址进行检查，且默认IP头中源地址即为发送的机器地址。

接收主机在回发数据是，也就会默认IP数据包中的源地址。

这种通信方式非常简洁和高效，但同时它也是IP中存在的安全隐患，通常会使得TCP ／IP遭受两类攻击，最常见的是服务拒绝攻击DOS； IP没有进行地址检验会使得TCP／IP遭到另一类常见的攻击——劫持攻击，通过攻击被攻击主机来获得某些特权。

3、解决方案3.1建立星河科技公司系统信息安全体系结构框架由于星河科技公司业务涉及到电子、医疗器械以及机电设备等，许多信息一般都要通过网络来传送，对网络技术要求很高。

公司采用的是内网独立，外网连接请求的两种方式运行。

其操作系统除了服务器采用的是独立设计的外，其他都是市面大众化的操作系统，且日常更新维护不好。

应用也多为较早技术，像FTP, WWW, DNS, News 等服务系统都是早期的。

对星河公司网络安全设计应采用双重网络，在系统上优化服务器系统，及时更新、配置其他计算机上的系统，在一些应用及服务上，应采用更新的技术，提高安全和可靠性。

3.2技术实施策略3.2.1网络结构安全在公司的网络结构上，应采用双重网络，内部网不与外网连接，独立出来，这样就可以避免来自网络上的攻击。

在连接外网时，应该使用更先进的接入路由，可以减少从破解路由器而进入公司网络。

比如可以采用华为AR1220W，具有网管功能：升级管理、设备管理、Web 网管、GTL、SNMP、RMON、RMON2、NTP、CWMP以及内置防火墙。

3.2.2主机安全加固在对公司服务器的保护上，应采用专人看管。

对每个使用服务器的命令请求都要进行严格审查，定时检查主机系统信息，防止被入侵。

再有服务器要放在专门的存放空间内，定时进行设备及线路检查，做到防雷、防火、防暴。

3.2.3防病毒在网络中，各种病毒随处可见，像桌面病毒、服务器病毒、邮件病毒等。

因此，做到防病毒至关重要。

可以采用一些比较成熟的技术：因特网病毒防火墙（ InterScan VirusWall）在网关处实时监控通过SMTP、HTTP和FTP 协议传输的信息内容，检查其是否存在病毒或恶意程序，并根据管理员的设定采取相关的处理方式，以保证通过网关出入企业的信息的安全性。

电子邮件安全管理（InterScan eManager）eManager可以过滤掉垃圾邮件和各种带有推销性质的电子邮件，而且可以扫描由内部寄出的邮件信息，如果带有敏感性质的内容就可以进行拦截；另外，也可以根据自身需要来对邮件进行定时发送，延迟传送比较大的邮件、国际信件或其它自定规则范围内的邮件，以免在网络带宽使用高峰时段形成邮件堵塞。

网站安全管理软件（InterScan WebManager）集web访问的管理限定和防病毒与一身。

除了对传入的web页面进行防毒之外，还可以对访问的内容及带宽进行管理。

3.2.4访问控制在访问时，可以通过路由器设置不允许访问的IP地址段，这样可以有效的减少通过一些域外的IP进行攻击的可能。

防火墙一般作为是网络互连中的第一道屏障。

是近年来网络安全中发展起来的一项重要安全技术。

我们通过在在网络入口点检查网络通讯，防火墙就会根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

防火墙访问控制包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突；在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。

主机自身应当在对管理人员及访客进行更加详细的设置，只允许拥有最高权限的管理员进行修改系统的核心权限，普通管理员可以对主机进行日常维护，访客则需要提供口令，等待管理员进行验证，而且只允许有读取功能。

3.2.5传输加密在非安全的网络中传输加密文档，在传输之前加密整个文档然后传输，可以使用S／MIME。

传输的数据由底层协议加密（SSL）。

此种方式不必改变应用层协议，也不必改变传输层协议，它是在应用层与传输层之间加一层安全加密协议，达到安全传输的目的。

1995年，Netscape公司在其浏览器Netscape1.1中加入了安全套接层协议（SecureSocketLayer），用来保护Web服务器和浏览器之间重要数据的相互传输。

而SSL能够很好地封装应用层数据，使得数据加密与应用层协议的无关，让各种应用层协议都可以通过SSL加密来获得安全特性。

3.2.6身份认证身份认证是在计算机网络中确认操作者身份的过程。

身份认证可分为用户与主机间的认证和主机与主机之间的认证，用户与主机之间的认证可以基于如下一个或几个因素：用户所知道的东西：例如口令、密码等，用户拥有的东西。

对公司重要信息应采用更加严格的认证方式，像虹膜技术。

3.2.7入侵检测技术为了增加服务器的安全，还可以采用系统入侵检测技术。

系统入侵探测技术通过监控服务器的系统进程，从中就可以检测出带有攻击的可疑特征，并进行响应和处理。

可以采用ISS网络入侵检测RealSecure OS Sensor以及Server Sensor 。

ISS实时系统传感器(RealSecure OS Sensor) 就可以对计算机主机操作系统进行自主地、实时地攻击检测与响应。

如果发现对主机的入侵，RealSecure可以立即切断系统用户间的进程通信，并做出合适的安全反应。

ISS (RealSecure OS Sensor)还具有伪装功能，能够将服务器关闭的端口进行伪装，用来迷惑可能的入侵者，提高系统的防御时间。

3.2.8风险评估通过专业风险评估工具，公司在实施网络安全后，其对一些不可预知的灾害抵抗力有着明显的提升，网络威胁也在可控范围内。