学校代码：
	学    号：

 

 

 

 

  

（专 业 学 位）

 

 

 

 

 

 

 

 

 

 

 

目录

 

摘  要. 1

ABSTRACT 2

第一章 绪  论. 4

第二章  公司环境分析. 5

2.1公司简介. 5

2.2内部网络环境. 5

2.2.1网络概述. 5

2.2.2网络结构. 6

2.2.3网络应用. 7

2.3外部网络环境分析. 7

2.3.1病毒入侵带来的安全隐患. 8

2.3.2系统漏洞带来的安全隐患. 12

2.4安全需求分析. 14

第三章  防范体系分析. 15

3.1安全方案设计原则. 15

3.2安全服务、机制与技术. 16

3.3 网络安全体系结构. 16

3.3.1物理安全. 16

3.3.2网络结构. 17

3.3.3网络系统安全. 17

3.3.4系统安全. 21

3.3.5信息安全. 21

3.3.6应用安全. 21

3.3.7安全管理. 22

3.4 安全解决配置方案. 22

第四章 防范体系实施. 24

4.1采用网络版杀毒软件进行查毒、防毒；. 24

4.2可靠的防火墙技术及配置；. 25

4.3文件备份系统的实施. 27

4.4采用自行开发的内部文件传输系统交流文件。. 28

第五章 结  论. 32

参考文献. 33

致  谢. 34

 

 

 

摘  要

网络安全系统问题直接关乎着企业的切身利益，为保护公司网络资源与技术专利的安全性，本论文针对北京sw公司的网络安全系统问题进行精密细致的研究，通过大量资料、数据对企业所面临的外部和内部网络安全问题进行了分析和判断，以U盘病毒的攻击方法、中毒现象进行了调研，并在理论层面对公司现存网络病毒体系提出了建议，致力于建立一款符合公司本身网络安全系统的病毒防御体系，从而确保商业及技术机密不会被竞争对手盗用的同时员工还可以非常方便的调用、共享资源。

 

关键词：网络安全   病毒   防范体系

 

 

ABSTRACT

This paper  is  important for company. For protecting the security of the company’s network resources and technological patents,  this  paper  aims at studying the network security system of a Beijing-based company, and through the analysis of extensive materials and data, the paper has analyzed and judged the external and internal network security issues faced by companies, has surveyed and analyzed the attack methods and infection symptoms of the USB disk viruses, and has provided recommendations on the existing network virus protection system of the company at the theoretical level.so as to creatan anti-virus system meeting the needs of the company itself and to ensure that the business and technical secrets of the company can not be stolen by competitors but the employees can use and share the resources very conveniently at the same time.

Keywords: Network security; virus; protection system

 

 

第一章 绪  论

 

目前网络发展迅速，经常存在公司网络资源与技术专利被盗用的情况，这不仅给企业带来了不必要的麻烦，而且损害了企业的根本利益。本方案即是针对网络安全可能出现的的安全隐患和问题为sw公司局域网网络安全病毒防御体系的建立方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等,以公司现有病毒防御体系为主体，分别对“网络环境（其中包括外部网络、内部网络）、“现存防范体系的隐患”、“新建网络安全病毒体系”、“实施及支持系统”进行了较为详细的分析论述。

第一章是现有网络环境分析，内部环境通过对本公司现有防范体系进行分析，找出漏洞，外部环境从国内现有的网络病毒入手，着重分析了目前国内最流行的病毒种类，发作机理，中毒的表现特征等。第二章针对现有防范体系的漏洞，做出一套完全适合公司的防范体系，从而可以更好的保护公司资源，防止信息泄漏。第三章介绍了该网络防护系统的实施及支持系统，其保证措施是进行内部网络与外部网络的融合、进一步放大技术优势，并采取一系列措施，其中包括：1.采用网络版杀毒软件进行查毒、防毒；2.可靠的防火墙技术及配置；3.文件备份系统的实施；4.采用自行开发的内部文件传输系统交流文件。

本安全解决方案的目标是在不影响企业局域网当前业务的前提下，实现对他们局域网全面的安全管理。

1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

2.定期进行漏洞扫描，及时发现问题，解决问题。

3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。

第二章  公司环境分析

2.1公司简介

北京sw公司是一个属于冶金行业、新发展起来的大规模的公司。它历经十二年的风风雨雨，从一开始的几台电脑发展到现在庞大的内部网局域系统，走过了艰苦的创业历程。随着市场经济的迅速发展，特别是在中国加入WTO之后，北京sw公司同许多企业一样，面临着国内同行业的激烈竞争，这不仅是产品种类、质量、价格和售后服务的竞争，也是企业对多变市场的适应和应变能力的一场竞争，是一场企业间整体综合实力的较量。而如何为公司提供一个安全、高效的网络安全平台，以确保更好地收集信息、公布信息是目前迫在眉睫需要解决的问题。

从网络安全威胁看，公司网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等。

sw公司的局域网是一个信息点较为密集的千兆局域网络系统，它所连接的现有近千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，它打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有的网络上实施一套完整、可操作的安全解决方案，不仅是可行的，而且是必需的。

2.2内部网络环境

2.2.1网络概述

sw公司目前拥有420余台台式计算机（主要是Dell Optiplex 320台式机）与70余台移动计算机（IBM ThinkPad系列），共分为财务、设计、业务三个分支部门，其中公司的核心——“设计部门”区域有380多台计算机（包括移动计算机），“财务部门”有将近25台计算机，余下大部分的计算机属于平时日常事务处理，而全部计算机中的三分之二没有和Internet及局域网联接，属于独立工作的，从而导致部门间由于业务需求，数据及文件的传递需要依靠U盘来完成，并且大都没有更新微软XP系统的漏洞补丁，极易遭受病毒攻击。

由于公司的局域网物理跨度不大，通过百兆交换机在主干网络上提供100M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供10M的独享带宽。利用与中心交换机连结的Cisco 2600路由器，部分用户还可通过**光纤接口，直接访问Internet。

sw公司在发展过程中，由于对于网络资源利用的随意性，导致接入因特网的情况比较混乱，很多员工开通了因特网，而部分电脑甚至没有安装杀毒软件，这些电脑也成为影响公司网络安全的极大因素。公司计算机目前采用的防病毒软件是大都是江民和瑞星两种，由于众多的计算机是独立办公，没有联接互联网络，无法更新病毒库，防病毒软件形同虚设，这样更是滋生了病毒的成长。在目前电脑化办公的环境中，计算机中了病毒而导致的工作延误是最大的问题。只是系统维护一项，就需要每天重装系统、安装各类办公软件，这是相当繁琐的。

2.2.2网络结构

sw公司的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、设计子网、中心服务器子网、办公子网等。在安全方案设计中，我们基于安全的重要程度和要保护的对象，可以在Catalyst 型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网、设计子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。

通过查询相关资料了解到Cisco 2600是一个外型紧凑的单一设备，足以满足公司分支部门的需求，其通过一个可选的16端口10/100 Ether Switch网络模块，可以在一个设备中集成路由和交换功能，从而获得较高的灵活性和较低的端口密度。这种解决方案可以通过一个第二层设备在各个台式机和其他网络资源之间提供高速的连接，并且可以在路由器的第三层建立WAN连接。见图一所示。

 

 

图一Cisco2600应用

2.2.3网络应用

本企业的局域网可以为用户提供如下主要应用：

²  文件共享、办公自动化、WWW服务、电子邮件服务；

²  文件数据的统一存储；

²  针对特定的应用在数据库服务器上进行二次开发(比如公司内部网络办公软件)；

²  提供与Internet的访问；

²  通过公开服务器对外发布企业信息、发送电子邮件等；

sw公司是一家集设计、制造、施工为一体的高新技术企业，设计研发部门是核心部门，设计已经实现了数字化，全部是电脑出图，绘图软件使用Autodesk公司的二维设计软件AutoCAD 2006，每个项目的出图量折合为电子文档的文件数量约为600个左右，因此，电子文档的管理，备份也希望实现网络自动化。

2.3外部网络环境分析

随着Internet网络的急剧扩大和上网用户的迅速增加，网络安全风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。

针对sw公司局域网中存在的安全隐患，在进行安全方案设计时，病毒入侵的安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。

根据江民反病毒中心公布的《2007年度十大病毒排行及疫情报告》^[1]：排名第一位的ANI病毒病毒采用新的挂马方式，利用Windows系统文件处理漏洞的恶意代码，自我复制，双击盘符即可激活病毒；而利用微软系统自动播放功能传播的U盘寄生虫病毒同样使广大用户苦不堪言，自动播放文件autorun.inf一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，就会优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

资料显示，仅半年时间全国就有一千四百万台计算机感染了病毒，其中木马病毒为祸最广，占感染电脑总数的 67％，而病毒疫情比较严重的地区中，北京地区排名第四位。

因此，利用系统漏洞进行攻击和利用U盘传播病毒成为当前病毒的主流技术。

2.3.1病毒入侵带来的安全隐患

现通过分析U盘病毒的发作机理，中毒的表现特征，来说明一下现在外部网络环境的现状。

1.什么是自动运行及autorun.inf文件的作用

用过类似于“开天辟地”、“新视野大学英语”之类教学光盘的人应该清楚，光盘放进去后会自动执行某个程序，实现这个自动功能的就是autorun.inf，只不过现在一些不法分子利用它来传播病毒。不过U盘插入后不会像光盘一样，不经同意就自动执行程序，而只有你双击打开U盘或者用右键菜单打开U盘才可能会执行。

2.autorun.inf文件内容

autorun.inf文件里面的内容非常灵活，写法不唯一，不同病毒的autorun.inf文件的内容不尽相同。对病毒制造者来说，只要达到100％感染的目的即可。下面是autorun.inf的内幕！

以病毒“唯一的爱”（该病毒几乎具备上述全部邪恶特征，病毒原体“唯一的爱.exe”，伪装为mp3图标）为例，介绍其autorun.inf的内容：

[AutoRun]  \\该标志表示本U盘打开方式发生改变，并按以下内容执行

open=479839E1.exe  \\定义双击打开U盘为执行病毒（此病毒名称是随机生成的）

shell\open=打开(&O)  \\重定义右键菜单中的打开项，替代正常的打开项

shell\open\Command=479839E1.exe  \\将右键菜单中的“打开”项指向病毒体

shell\open\Default=1  \\“打开”为默认项，并显示为粗体（Vista下无效）

shell\explore=资源管理器(&X)  \\重定义右键菜单的“资源管理器”项，替代正常项

shell\explore\Command=479839E1.exe  \\将右键菜单中的“资源管理器”项指向病毒体

注意：对于某些病毒的右键菜单中会有两个“打开”，一个是黑体的，一个是正常字体。一些人认为点击正常字体的“打开”会是安全的。的确，就某些病毒autorun.inf内容来看，这么做是安全，但是一些病毒是狡猾的，绝对不要抱以侥幸的心理，不管怎样这个右键菜单都很危险，不同的autorun.inf语句定义出来的结果是不同的，所以，绝不要认为用右键菜单打开U盘会很安全。

3.那么怎么防御U盘病毒呢？

要防御U盘病毒，就要养成从“文件夹”进入磁盘的好习惯。

点击工具栏上的“文件夹”，单击从左边文件夹栏中的“可移动磁盘”进入U盘，这样便可以绕过autorun.inf，而不会染毒。而从autorun.inf的全部功能来看，它是无法左右“文件夹”栏的，所以这一种方法是安全的。从资源管理器的文件夹栏进入U盘亦可。

4.对于感染病毒的U盘的处理

要处理感染病毒的U盘，就要删除病毒文件。病毒一般伪装为图片和快捷方式文件，区分病毒和非病毒的方法很简单，病毒一般是exe可执行文件，因此只需要在文件夹选项里去掉了 “隐藏已知文件的扩展名”前面的勾，病毒文件就暴露出来了。还有一些病毒喜欢躲在回收站里，例如ctfmon病毒autorun.inf中有两句是

shellexecute=Recycled\ctfmon.exe

shell\Open(0)\command=Recycled\ctfmon.exe

这就证明它躲在回收站（Recycled文件夹）中。

U盘属于Zip/FDD型移动设备，理应没有回收站（Recycled文件夹）和系统还原（System Volume Information文件夹），您删除的任何文件将是完全删除，而不会被放入所谓的“Recycled”中。所以，一旦您在U盘上发现看似回收站图标的文件夹，可以直接认为那是病毒的老巢，请不要进入，而要直接删除该文件夹！

移动硬盘属于HDD型移动设备，属于硬盘系列，对于它而言，操作系统会自动建立回收站（Recycled文件夹）和系统还原（System Volume Information文件夹），并且系统还原文件夹还不能被删除，如果您发现这两个文件夹，不必惊慌，但是如果您还发现本目录下有autorun.inf文件，不论它指向的病毒是否在回收站（Recycled）中，回收站都有被感染过的可能（有的新病毒会把老病毒从autorun.inf中踢出去，但是老病毒可能还呆在回收站中并等候反扑）。如果您确定移动硬盘回收站里没有什么重要文件，请不要进入回收站，而是直接将其删除！当然，您也可以使用最新更新的杀毒软件对可移动设备进行扫描，达到清除病毒的目的。不过之所以介绍那么多手动清除事项和方法，是因为杀毒软件有可能无法查出新病毒和新变种，所以网管必须具备手动杀毒的能力。

杀毒软件删除病毒后，如果没有删掉autorun.inf，再次打开U盘就会出现“打开方式”窗口，因为autorun.inf指向的文件不存在，打开方式窗口便跳了出来。这个时候需要从“文件夹”栏进入U盘，手动删除autorun.inf，然后拔下并重新插入问题就解决了。

对于没有关闭自动播放的电脑，插入U盘或者移动硬盘之后，有一个自动播放的功能列表，其中有一个“打开文件夹以查看文件”的功能，使用这个也可以安全地进入U盘。

如果您的电脑感染过U盘病毒，隐藏文件无论如何也看不到了，可以通过修改注册表解决：

运行注册表编辑器regedit

进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

explorer\Advanced\Folder\Hidden\SHOWALL，找到类型为REG_DWORD的CheckedValue，把它由0改为1。

总的说来，U盘成为计算机病毒传播的主要途径之一，主要原因在于U盘本身不会防毒，病毒很容易就会感染U盘，而当U盘插入电脑时还会自动播放，病毒就会即刻被自动运行。加之大部分电脑用户都通过U盘进行数据互换，U盘的广泛应用也为病毒的传播提供了温床，由于众多电脑用户使用U盘都没有先进行病毒扫描的习惯，病毒开始瞄准了这一空档藏身其中，而病毒写入U盘时悄无声息，悄悄潜伏，危害更大，因此利用U盘传播病毒具有极高的感染率。

利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。目前面临的计算机病毒的攻击事件不但没有减少,反而日益增多,并且,病毒的种类越来越多,破坏方式日趋多样化.每出现一种新病毒,就要有一些用户成为病毒的受害者。面对此种形势,不能坐以待毙,而是要寻找一种解决方案,力争将计算机病毒的危害性降至最低。

一般来说，计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种：

（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；

（2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；

（3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；

（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中。

一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。

由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。

（1）感染速度快

在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

（2）扩散面广

由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

（3）传播的形式复杂多样

计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

（4）难于彻底清除

单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。