论网络安全防护体系

各位亲，警告并敬告：

论文可以参考别人的，但只能借鉴思路，不能完全抄袭。

应该根据自己的思路、自己的项目经验改写，改写客户名、改写项目名。这样完全改写后，已经是你的东西，比较有自信，也容易记。万一其他人也背了同一篇论文，你也不会跟他雷同。 

试题一、论大型企业中计算机网络安全防护体系

随着全球信息化的飞速发展，整个世界正在迅速地融为一体，大量建设的各种信息网络已经成为政府、企业和各种组织的关键基础设施，这些网络互联互通，以充分共享、利用网络的信息和资源，使得社会各界对网络的依赖程度也越来越大，网络已经成为社会和经济发展的强大推动力，其地位越来越重要。但是，当网络及其资源共享广泛用于各个领域的同时，也产生了各种各样的问题，其中安全问题尤为突出，这不仅涉及个人利益、企业生存、金融风险等问题，还直接关系到社会稳定和等诸多方面。因此是信息安全，尤其是网络安全信息具有重大战略意义。对企业来讲，尤其是对大型企业来讲，了解网络面临的各种威胁，防范和消除这些威胁，实现网络安全，为大型企业发展保驾护航，已经成为大型企业发展中最重要的事情之一。

围绕“大型企业中计算机网络安全防护体系”论题，依次从以下三个方面进行论述：

1. 概要叙述你参与网络安全项目以及你所担任的主要工作。

2. 请概述企业网络隔离的典型技术，并分析每种技术的安全性和适用场合。

3. 详细说明在你所参与的大型企业网络安全防护体系项目中，是如何建立安全防护体系的？具体效果如何。 

正文

一、充分调研，全面了解网络隔离技术

在信息网络的安全体系建设中，网络隔离是一项重要的技术手段。

到目前为止，实现网络隔离的技术有：

1. 人工方式。物理隔离，安全性好，适用于内外网小数量数据交换的场合。

2. 数据交换网。物理上连接，但采取完整的安全保障体系的防护，安全程度依赖于使用的安全技术。适用于内外网实时的、大量数据交换、或者多业务平台的场合。

3. 网闸，是实现网络隔离而又安全的交换数据的最为成熟的技术，物理上不连接，但使用的技术应该及时更新。

4. 多重安全网关。该技术提供从网络层到应用层的保护，但不适合涉密网络和非涉密网络之间的交换，适合于内网和外网的隔离，也适合于涉密网络之间的隔离。

5. 防火墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。通常，防火墙用于同安全级别的网络隔离。

二、从企业的安全需求出发，建立系统的信息安全防护体系

对于网络而言，没有绝对保证的信息安全，只有根据网络自身特点，合理运用网络安全技术，建立适应性的安全运行机制，才能从技术上最大限度地保证信息安全。

网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的，每个组件只能完成其中部分功能，需要把它们集成起来，才能建成一个安全防护体系，该体系的构成如下：

（1）路由器。路由器是架构网络的第一层设备，也是网络入侵者的首要攻击目标，因此路由器必须安装必要的过滤规则，滤掉被屏蔽的IP地址和服务。例如，我们首先屏蔽所有的IP地址，然后有选择的放行一些地址进入我们的网络。路由器也可以过滤服务协议，允许需要的协议通过，而屏蔽其他有安全隐患的协议。

（2）入侵监测系统IDS。入侵监测系统是被动的，它监测网络上所有的包packets。其目的就是捕捉危险或有恶意的动作，并及时发出警告信息。它是按指定的规则运行，但它的功能和防火墙有很大的区别，它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的技术，它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统抑制和消除。

（3）防火墙。防火强可防止“黑客”进入网络的防御体系，可以限制外部用户进入内部网，同时过滤掉危及网络的不安全服务，拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN，从而能够更安全地从异地联入内部网络。

（4）网闸，作为物理隔离与信息交换系统。铁路内部网是铁路运输系统的指挥中枢，调度指令必须实时、准确下达。内部网调度服务的实时可用性，成为铁路信息系统最为核心的安全需求。因此不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。网闸是运用物理隔离网络安全技术设计的安全隔离系统，它保证内部网络与不可信网络物理隔断，能够阻止各种已知和未知的网络层和操作系统层攻击，提供比防火墙、入侵检测等技术更好的安全性能，既保证了物理的隔离，又实现了在线实时访问不可信网络所必需的数据交换。

（5）交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分VLAN。

（6）应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台，实现应用系统保护的功能包括以下几个方面：

①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发，在输入级、对话路径级和事务处理三级做到无漏洞；集成的系统要具有良好的恢复能力，这样才能保证内部生产网中的系统避免因受攻击而导致的瘫痪、数据破坏或丢失。

②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证，对文件和数据进行数字签名和认证，保证文件和数据的完整性以及防止源发送者抵赖。

③数据加密。对重要的数据进行加密存储。

（7）操作系统的安全。保证操作系统的安全包括以下内容：

①操作系统的裁剪。不安装或删除不必要使用的系统组件。

②操作系统服务裁剪。关闭所有不使用的服务和端口，并清除不使用的磁盘文件。

③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器，我们在内部网中安装了微软WSUS Server及第三方安全管理软件BES，对网络内所有联网主机的操作系统进行监控，一旦发现存在系统漏洞或者安全隐患，立即强制其安装相应的系统补丁或者组件。

（8）病毒防护。网络病毒网关与网络版的查杀病毒软件（McAfee EPO + Clients）相结合，构成了较为完整的病毒防护体系，能有效地控制病毒的传播，保证网络的安全稳定。