论文摘要
网络终端安全管理系统是临沂供电公司为实现网络终端安全管理自动化、提高网络安全控制能力而设计开发的管理信息系统。本系统的主要目标是加强公司对网络终端的监管力度,解决终端IP地址的真实性和资产管理的粗放性问题,实现灵活方便的网络准入和权限控制,自动高效的终端网络配置和补丁更新管理,提高网络管理的自动化程度,增强网络运行的安全水平。本文以LAMP开放源码软件为开发平台架构,使用了Linux操作系统、Apache网络服务器、MySQL数据库、PHP编程语言开发环境,对临沂供电公司的网络终端安全管理系统进行了需求分析和设计,具体分析设计了网络终端安全管理的集中管理器、联动防火墙、交换机控制模块、终端管理客户端程序等功能模块。本文分析了系统开发的背景和国内外集团企业网络终端安全管理信息系统的发展现状,简要描述了系统需要解决的主要问题;概要描述了系统的整体情况;对系统的需求分析和架构设计进行了详细描述;并对部分有代表性实例的详细设计和实现进行了描述;对于系统中的难点——联动防火墙的编程实现和网络交换机的控制接口进行了详细的分析和论述。本文解决的关键问题有以下几方面:第一,解决了终端IP地址的真实性问题。目前的IP网络架构缺少成熟、有效的终端IP地址分配的控制能力,终端用户可以随意更改IP地址,ip地址的不确定性为网络管理增加了难度。本系统通过在网络交换机中绑定终端微机的网卡MAC地址与IP地址,进一步结合客户端程序的入网认证,解决了终端微机IP地址的唯一性和真实性问题。第二,提高网络管理的自动化程度,降低了重复劳动。目前对于终端的上网配置管理多采用人工方式或DHCP自动分配模式,前者费时费力后者终端IP不固定,不利于管理。本系统通过将终端管理数据库与DHCP服务相结合,使得终端微机的上网配置能够随管理数据库内容的变化自动调整,便于全网IP地址的维护和管理,避免了重复劳动。第三,提供了灵活方便的终端上网权限控制。传统的防火墙虽然可以限制单个用户的访问权限,但需要编辑复杂的访问策略,难于针对每个用户设置不同的上网权限。本系统在解决了IP真实性与唯一性的前提下,通过结合网络出口联动防火墙、终端管理数据库和友好的图形界面,可以针对单独用户设置不同的上网权限,做到灵活高效,提高管理效率。第四,实现了终端资产管理的精细化,通过网络访问认证确保入网微机的真实性和准确性,通过客户端程序自动采集终端的软硬件配置信息,为公司资产管理提供准确的数据,加强对基层计算机资产的具体监管。第五,提高终端微机的安全保障,通过安装在终端的客户程序可以提供操作系统补丁的自动更新,及时弥补系统漏洞;客户端程序提供的终端防火墙和ARP欺骗免疫程序可以防止病毒和黑客的网络攻击,最大程度上保障终端的安全。