文档介绍:1 / 25
澳洋医院办公楼与综合楼
网络方案
目录
第一章.概述3
一般建网需求3
网络安全需求分析和对策4
第二章.总体网络设计和网络特点7
注的头号焦点。
对于本企业网络来说,部信息网络系统的安全涉与到两个方面的问题:
如何有效防止来自外网的非法攻击;
如何有效防止来自于网络部,包括管理人员的误操作以与某些恶意的部攻击;
对于后者往往是信息主管的重视程度往往不足。首先应该鼓励公司网络部的互访,以使资源得到最大限度的共享。但同时安全意识不能丢。一般情况下,部攻击所造成的危外部入侵要大得多,这是因为部入侵者不像外部黑客,很少是因为好奇心趋势他们进络攻击行为,其中隐藏着较复杂的与部有关的动机。他们一般非常熟悉网络部环境
4 / 25
,攻击手段隐秘。如果办公网络部的重要核心资源不加以有效的保护,那么部恶性入侵成的危害比外部非法入侵还要大。
从办公网的网络结构来看,主要存在的危险有以下几点:
数据窃听;
数据窃听是一种软件应用,它可以捕获通过某个冲突域的所有网络数据。通常我们利用数据窃听功能进行网络故障的排除或进行流量分析。但黑客可以利用它获取一些非常有用且敏感的信息,比如用户名和密码等。
IP欺骗;
当位于网络部或外部的黑客主机模仿成为一台可信赖的计算机时,就称其进行了IP欺骗。黑客可通过两种方式达到上述目的:
可以使用一个位于可靠网络IP地址围的IP地址;
可以使用一个既可靠又能够访问网络上特定资源的授权外部IP址;
拒绝服务<DoS>;
拒绝服务攻击<DoS> 的目的通常并不是进入某个网络或获取其中的信息。这种攻击的主要目的是使某种服务不能被正常使用,而且这种攻击通常是通过破坏网络、操作系统或应用程序,来致使某些服务不能被正常使用 。
密码攻击;
黑客可以采用几种不同的方法实施密码攻击,包括***,特洛伊木马方式,IP欺骗与数据窃听方式等。一旦他们拥有了用户的账号和密码,他们就拥有了和该用户完全相同的权利。
中间人攻击;
进行中间人攻击要求黑客能够访问在网上传输的网络数据。黑客通常是通过使用网络数据窃听以与路由和传输协议进行这种攻击的。这种攻击的主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络与其用途的信息、拒绝服务、破坏传输数据以与在网络会话中插入新的信息。
应用层攻击;
黑客可以通过几种不同的方法实施应用层攻击。最常用的一种方法是利用服务器上普通软件的常见弱点,包括发送、超文本传输协议<>以与FTP。利用这些弱点,黑客能够获得合法的,从而得以访问计算机。
5 / 25
与应用层攻击相关的一个主要问题是这些攻击经常使用被允许穿越安全设备的端口。应用层攻击永远不可能被完全消除,因为新的易受攻击点总会不断出现,但可以部署更智能的设备减少非法攻击。
信任关系利用;
指非授权用户利用网络部的某种信任关系进行攻击的行为。典型的一个例子是公司的周边网络连接,另外一个例子是位于安全设备外侧的系统与位于安全设备侧的系统之间有信任关系。当外部系统被破坏时,它可以利用这种信任关系攻击部的系统。
未授权访问;
未授权访问不是指某种具体的攻击,而是指当今网络中发生的多数攻击。
病毒与特洛伊木马;
病毒是指与另一个程序相连的不良软件,专门在用户的工作站上执行某种破坏性功能。特洛伊木马实际上是一种攻击工具,可以获取用户非常有用的信息。
针对上面所述的安全隐患,我们应该采取以下措施:
对网络而言,零风险意味着网络几乎关闭,根本不能提供网络服务,这是不可取的。换句话说,网络安全不可能做到零风险。购买了高性能的网络安全产品并不意味着信息主管可以高枕无忧。信息安全并不仅仅局限于通信,其实网络信息安全牵扯到方方面问题,是一个极其复杂的工程。要实施一个完整的网络与信息安全体系,至少应包括三个方面的措施:一是企业的规章制度与安全教育等外部软环境,在该方面企业的主要领导扮演重要的角色;二是技术方面的措施,如入侵防御技术,防火墙技术、网络防毒、信息加密存储通信,身份验证,授权等,但只有技术措施并不能保证百分之百的安全;三是审计和管理措施,该方面措施同时包含了技术与社会措施。主要措施有:实时监控企业的安全状态、提供应变安全策略的能力,对现有的安全系统实施漏洞检查等,以防患于未然。
总之,要实施安全的系统,应三管齐下。为了确保网络的绝对安全,仅仅在安全技术上采取种种措施还是不够的,还要有一个有效的网络安全管理体制。网络安全管理制度的核心是围绕着用户的账户和口令而展开的。任何一个部门或分系统都应该在该制度下运转,服从统一的安全策略。
6 / 25
第二章.总