企业网络安全系统方案设计.docx
《企业网络安全系统方案设计.docx》由会员分享,可在线阅读,更多相关《企业网络安全系统方案设计.docx(10页珍藏版)》请在冰豆网上搜索。
企业网络安全系统方案设计
实用标准文档
企业网络安全方案设计
摘要:
在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。
经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。
计算机网络规模不断扩大,网络结构日益复杂。
计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。
关键词:
信息安全、企业网络安全、安全防护
一、引言
随着国计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。
但随之而来的安全问题也在困扰着用户。
Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。
应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。
而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。
但从整个网络系统的管理上来看,通常包括部用户,也有外部用户,以及外网之间。
因此,一般整个企业的网络系统存在三个方面的安全问题:
(1)Internet的安全性:
随着互联网的发展,网络安全事件层出不穷。
近文案大全.
实用标准文档
年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
(2)企业网的安全性:
最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。
对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业,从而导致企业数千万美金的损失。
所以企业部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
(3)部网络之间、外网络之间的连接安全:
随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。
怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接安全直接影响企业的高效运作。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
文案大全.
实用标准文档
图说明图一企业网络简图
对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。
计算机网络规模不断扩大,网络结构日益复杂。
计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的性、完整性和可用性。
由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现文案大全.
实用标准文档
在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。
为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规的建设,使安全防的各项工作都能够有序、规地进行。
(4)信息安全防是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
具体如下:
1.标准化原则
2.系统化原则
3.规避风险原则
4.保护投资原则
5.多重保护原则
6.分步实施原则
四、企业网络安全解决方案的思路
1.安全系统架构
安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
文案大全.
实用标准文档随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。
举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。
因此我们建议企业采用立体多层次的安全系统架构。
这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击容完全阻挡在企业部网之外。
2.安全防护体系
信息安全防应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防。
信息安全防体系模型显示安全防是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防活动的始终。
如图
二所示:
图说明图二网络与信息安全防体系模型
文案大全.
实用标准文档3.企业网络安全结构图:
通过以上分析可得总体安全结构应实现大致如图三所示的功能
总体安全结构图图说明图三五、整体网络安全方案1.网络安全认证平台都必须建立在部的信息网络还是外部的网络平台,证书认证系统无论是企业
PKI/CA问题,解决这些安全的最佳方案当数应用一个安全可信的网络之上。
目前是利用公开密钥,公钥基础设施)PKI(PublicKeyInfrastructure数字认证服务。
它从技术上解决了网上身和技术建立起来的提供在线身份认证的安全体系,理论向信息完整性和抗抵赖等安全问题,份认证、为网络应用提供可靠的安全保障,通过建设证书认证中心系统,建立一个数字认证服务。
PKI/CA用户提供完整的完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
文案大全.
实用标准文档
:
确认通信双方的身份,要求通信双方的身(Authentication)1)身份认证份不能被假冒或伪装,在此体系过数字证书来确认对方的身份。
:
对敏感信息进行加密,确保信息不被泄露,(Confidentiality)2)数据的性在此体系中利用数字证书加密来完成。
,通过哈截断或篡改)(Integrity):
确保通信信息不被破坏(数据的完整性3)希函数和数字签名来完成。
确保通防止通信对方否认自己的行为,)不可抵赖性(Non-Repudiation):
4证据。
通过数字签名来完成,数字签名可作为法律信方对自己的行为承认和负责,系统2.VPN是将物理分布在不同地点的网VPN(VirtualPrivateNetwork)虚拟专用网,
连接而成的逻辑上的虚拟专用网。
和传统的物理Internet)(如络通过公用骨干网方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
系统,可以为企业构建虚拟专用网络提供了一整套安全通过安装部署VPN
的解决方案。
它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以使得合法的用户可以安全的访问企业的及密钥交换技术在公网上开辟一条隧道,的安全连接。
私有数据,用以代替专线方式,实现移动用户、远程LAN网络的安全策略进行集中管理和配集中的安全策略管理可以对整个VPN
置。
3.网络防火墙对部网络中服务器子网采用防火墙系统实现对部网和广域网进行隔离保护。
通过单独的防火墙设备进行防护。
其网络结构一般如下:
文案大全.
实用标准文档
防火墙图四图说明
提供对监控此外在实际中可以增加入侵检测系统,作为防火墙的功能互补,网段的攻击的实时报警和积极响应等功能。
4.病毒防护系统增强勤业网络的病毒防护功应强化病毒防护系统的应用策略和管理策略,瑞星网络杀毒软件是一个专能。
这里我们可以选择瑞星网络版杀毒软件企业版。
通过瑞星网络防病毒体系在网门针对网络病毒传播特点开发的网络防病毒软件,集中管并且可以实现防病毒体系的统一、络客户端和服务器上建立反病毒系统,并实现对网络的所有计算机远程了解当前网络计算机病毒事件,理,实时掌握、反病毒策略设置和安全操作。
对服务器的保护5.
在这里我们选择电子为例来在一个企业中对服务器的保护也是至关重要的。
说明对服务器保护的重要性。
电子是Internet上出现最早的应用之一。
随着网络的快速发展,电子的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。
然而由于网络的开放性和协议自身的缺点,电子存在着很大的安全隐患。
文案大全.
实用标准文档目前广泛应用的电子客户端软件如OUTLOOK支持S/MIME(Secure
MultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhanced
Mail)和MIME(Internet的附件标准)发展而来的。
首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。
其次,S/MIME将信件容加密签名后作为特殊的附件传送。
保证了信件容的安全性。
下图五是系统保护的简图(透明方式):
图说明图五系统保护
6.关键网段保护
企业中有的网段上传送的数据、信息是非常重要的,应此对外应是的。
所以这些网段我们也应给予特别的防护。
简图如下图六所示。
文案大全.
实用标准文档
图六关键网段的防护图说明
日志分析和统计报表能力7.对网络的安全事件也应都作出详细的日志记录,这些日志记录包括事件名地址等相关信息。
此外,报表系统还应自动生成各种IP称、描述和相应的主机形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目清晰的方式从总体上分析网络上发类别分析等多种分析方式,标分析,以直观、生的各种事件,有助于管理人员提高网络的安全管理。
8.部网络行为的管理和监控过滤对网络的上网行为也应该进行规,并监控上网行为,除对外的防护外,网页访问,过滤,限制上网聊天行为,阻止不正当文件的下载。
企业部用户上网请求和每一个URLURL信息识别度应达到每一个请求的回应。
通过对网络部网络行为的监控可以规网络部的上网行为,提高工作效率,同时避免企业部产生网络安全隐患。
因此对于桌面微机的管理和监控是减少和消除部威胁的有效手段。
文案大全.
实用标准文档
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管
分别有是针对客户端安全的整体解决方案。
理工具集成到一起,形成一个整体,以下几种系统:
电子签章系统1)利用非对称密钥体系保证了文档的完整性和不可抵赖性。
采用组件技术,可
或是打开文系统,用户可以在编辑文档后对文档进行签章,OFFICE以无缝嵌入档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。
使用后,只有具有指定
只需拔用户如果需要离开计算机,智能密码钥匙的人才可以登录计算机和网络。
出智能密码钥匙,即可锁定计算机。
3)文件加密系统
由于密钥保存在智能密码钥匙中,文件加密应用系统保证了数据的安全存储。
从而保证了加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,存储数据的安全性。
则网综合保护简图如下图七所示:
文案大全.
实用标准文档
网综合保护图七图说明
9.移动用户管理系统对于企业部的笔记本电脑在外工作,当要接入部网也应进行安全控制,确保笔记本设备的安全性。
有效防止病毒或黑客程序被携带进网。
身份认证的解决方案10.的身份认基于身份认证是指计算机及网络系统确认操作者身份的过程。
PKI它采用软硬件相结证方式是近几年发展起来的一种方便、安全的身份认证技术。
合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。
接口的硬件设备,它置单片机或智能卡芯片,可以存储用USB是一种USBKey置的密码算法实现对用户身份的认证。
户的密钥或数字证书,利用USBKey的解决方案不仅可以提供身份认证的功能,还可构建的USBKey基于PKI客户端安全组件和证书管理系统通过应用安全组件、用户集中管理与认证系统、授权与一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述、访问控制、安全审计、数据的性、完整性、抗抵赖性的总体要求。
文案大全.
实用标准文档六、方案的组织与实施方式由以上的分析及设计,可知网络与信息安全防体系流程主要由三大部分组具体的安全管理贯穿全流程攻击过程中的防和攻击后的应对。
成:
攻击前的防、也为本安全管理贯穿全流程图不仅描述了安全防的动态过程,图,如图八所示。
方案的实施提供了借鉴。
图八图说明安全管理贯穿全流程图还应重视以下各项工作:
因此在本方案的组织和实施中,除了工程的实施外,在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明
(1)
确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司
(2)
的安全服务,提高应对重大安全事件的能力。
该方案投资大,覆盖围广,根据实际情况,可采取分地区、分阶段实施(3)
的方式。
文案大全.
实用标准文档
)在方案实施的同时,加强规章制度、技术规的建设,使信息安全的日常(4工作进一步制度化、规化。
七、总结随后提指出目前存在的风险,本设计以某公司为例,分析了网络安全现状,到规章制度涵盖了各个方面,从技术手段的改进,出了一整套完整的解决方案,也希望通过本方案的到整体网络的安全管理。
的完善;从单机系统的安全加固,有效地防信息系统来自各方面的攻击和实施,可以建立较完善的信息安全体系,威胁,把风险降到最低水平。
文案大全.
升级会员 