通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安 全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性:授权实体有权访问数据
机密性:信息不暴露给未授权实体或进程 完整性:保证数据不被未授权修改 可控性:控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:
(1)内部窃密和破坏
由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
(2)搭线(网络窃听)
这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
(3)假冒
这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱
骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
(4)完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/3 数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
(5) 其它网络的攻击
企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
(6) 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。 由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
(7)雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施
第七章 网络物理设计
7.1网络传输介质的选择
无屏蔽双绞线 UTP ( Unshield Twisted Pair )可用于所有配线子系统,可传输 70V 以下几乎所有的弱电信号,包括数据、语音、控制和图像信号等,是结构
化布线的基础介质。UTP 采用先进的平衡式传输方式,利用差值传送,减少了外界的干扰,与以往的同轴电缆和屏蔽双绞线相比大大提高了抗干扰能力。UTP 分 3类和 5类两种。3类 UTP 支持 10M bps数据传输和语音、低频控制信号,5类 UTP 支持 155M bps ATM 数据传输,目前最高支持 622M bps ATM 数据传输。
光缆( Optical Fiber )主要用于建筑群间和主干子系统。与UTP相比,光缆传输信号的特点是:
? 高带宽(最高可达 Multi-Gigabit 几十亿位每秒); ?
适用范围广(支持各种网络包括 10Base-F、
令牌
网、 FDDI、 100Base-FX、100VG-AnyLan、 ATM、1000Base-FX);
? 超长传输距离;
? 高可靠性、保密性、抗干扰能力强; ? 易于安装、维护、管理; ? 使用周期长,可通过更换光纤复用设备可不断提高光纤的使用周期
电缆配线架∶分多种系列和型号,设计完善,使用颜色编码,容易追踪和跳线,体积小,比传统配线箱节省50%空间;快接式跳线易于管理、维修。配线板系列使用模块化接口,可直接端接各种网络设备。
光缆配线箱∶模块式结构,易于扩充插接耦合装置,接续容易。
分埋入型、表面型、双孔、单孔等多种型号,适应于墙面、家具表面或地面安装。 标准RJ45的8芯接线符合ISDN标准。
7.2网络综合布线设计
八十年代以来,有线电视、消防报警、安保监控、计算机网络、 X.25、DDN 、无线通讯等技术在大型建筑工程中被广泛使用,现代建筑早已超出了传统“挡风遮雨”的范畴,成为人们日常生活、工作的中心。弱电系统象神经网络一样遍布每个角落,在带来便利的同时,也产生了诸多问题:
一、线路繁多,检修困难。电话系统使用传统音频线,闭路电视使用同轴电缆,不同的电脑系统使用不同的网络电缆,这些线路标准不一,施工动作重复,建筑物内线路繁杂,检修、维护十分不便。
二、互不兼容,缺乏灵活性。电脑和电话的线路互不相关,网络电缆各不相同,如果办公室改变用途,只能重新拉线,这对已完成装修的大楼是无法接受的,不但消耗人力物力,更加剧了线路混乱,造成故障隐患。
三、设计封闭,缺乏扩展性和统一标准。由于各类系统独立设计,无法统筹,应用新技术只有另起炉灶。当代科技日新月异,新技术不断涌现,百年大计和保持领先不可兼得实在是建筑艺术重大的遗憾。
四、故障繁多,缺乏可靠性。各系统无统一标准,导致互相干扰。据统计,大型楼宇 70% 的日常故障因线路而起,“三日一小修,半月一大修”,给工作和生活带来很大的困扰,何况损失惊人。
北方电讯 IBDN 改变以往不同系统线缆的不一致性,统一采用62.5 / 125 多模光缆、 8.3 / 125 单模光缆以及专门设计的无屏蔽双绞线( UTP )作为传输介质,仅 UTP 在传输带宽及抗干扰性能方面就比传统的双绞线和细缆有了极大的提高,它可以支持高达100M bps 的数据传输,五类线缆更全面支持 155M bps ATM 与622M bps ATM 数据传输。由于 IBDN 将不同系统的传输介质统一起来,从而提供了真正面向未来、技术先进的模块化、灵活及完整的布线系统。
第八章 课程设计总结与体会
课程设计是每一个大学生在大学生涯中都不可或缺的,它使我们在实践中了巩固了所学的知识、在实践中锻炼自己的动手能力;实习又是对每一位大学生所学专业知识的一种拓展手段,它让我们学到了很多在课堂上根本就学不到的知识,不仅开阔了自己的视野,增战了自己的见识,也为我们以后进一步走向社会打下了坚实的基础,是我们走向以后走向工作岗位的奠基石。
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。 针对于此,在经过相应的课程如《计算机网络》、《计算机基础知识》、《操作系统》等课程的系统学习之后,可以说对计算机网络已经是耳目能熟了,所有的有关计算机网络的基础知识、基本理论、基本方法和结构体系我都基本掌握了,但这些似乎只是纸上谈兵,倘若将这些理论性极强的东西搬上实际上应用,那我想我肯定会是无从下手,一窍不通。自认为已经掌握了一定的计算机网络理论知识在这里只能成为空谈。于是在坚信“实践是检验真理的唯一标准”下,认为只有把从书本上学到的理论应用于实际的网络设计操作中去,才能真正掌握这门知识。
参考文献
[1]【美】Darren L. Spohn,Tina L. Brown,Scott Grau著. 丁宏毅,王文同,李恒丁等译.《数
据网络设计》第三版. 北京:人民邮电出版社,2005
[2]【美】Priscilla Oppenh著. 胡捷,毛拥华译.《自顶向下网络设计》第二版. 北京:人民邮
电出版社,2005
[3] 【美】特美鲍姆著. 胡捷,毛拥华译.《计算机网络 第5版》第二版. 北京:清华大学出版社,
2012
[4]【美】布莱恩特著. 范建华译.《TCP/IP详解卷》第二版. 北京:机械工业出版社,2005 [5] 高利通著. 《计算机网络基础教程》第三版. 北京:电子工业出版社,2011
说明:页数不能少于15页