企业网络安全综合设计实施方案Word文档下载推荐.docx

1、FVpn兄弟公司重要部门或工作组VpnVpnINTERNET出差职工子公司2、网络威迫、风险剖析 黑客攻击“黑客”（Hack）对于大家来说可能其实不陌生，他们是一群利用自己的技术专长特意攻击网站和计算机而不裸露身份的计算机用户，因为黑客技术渐渐被愈来愈多的人掌握和发展，当前生界上约有 20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些破绽，因此任何网络系统、站Windows还点都有遭到黑客攻击的可能。特别是此刻还缺少针对网络犯法卓有收效的还击和追踪手段，使得黑客们擅长隐蔽，攻击“杀伤力”强，这是网络安全的主要威迫。而就当前网络技术的发展趋向来看，黑客攻击的方式也愈来愈

2、多的采纳了病毒进行破坏，它们采纳的攻击和破坏方式多种多样，对没有网络安全防备设施（防火墙）的网站和系统（或防备级别较低）进行攻击和破坏，这给网络的安全防备带来了严重的挑战。网络自己和管理存在短缺网络的共享性和开放性使网上信息安全存在天生不足，网络系统的严格管理是公司、组织及政府部门和用户免受攻击的重要举措。事实上，好多公司、机构及用户的网站或系统都疏于这方面的管理，没有拟订严格的管理制度。据IT界公司集体ITAA的检查显示，美国90的IT公司对黑客攻击准备不足。当前美国7585的网站都抵抗不住黑客的攻击，约有75的公司网上信息失窃。软件设计的破绽或“后门”而产生的问题跟着软件系统规模的不停增大

3、，新的软件产品开发出来，系统中的安全破绽或“后门”也不行防止的存在，比方我们常用的操作系统，不论是是UNIX几乎都存在或多或少的安全破绽，众多的各种服务器、阅读器、一些桌面软件等等都被发现过存在安全隐患。大家熟习的一些病毒都是利用微软系统的破绽给用户造成巨大损失,能够说任何一个软件系统都可能会因为程序员的一个大意、设计中的一个缺点等原由此存在破绽，不行能十全十美。歹意网站设置的圈套互联网世界的各种网站，有些网站歹意编制一些偷取别人信息的软件，而且可能隐蔽在下载的信息中，只需登录或许下载网络的信息就会被其控制和感得病毒，计算机中的所有信息都会被自动盗走，该软件会长久存在你的计算机中，操作者其实不

4、知情，如“木马”病毒。所以，不良网站和不安全网站万不行登录，不然结果不行思议。用户网络内部工作人员的不良行为惹起的安全问题网络内部用户的误操作，资源滥用和歹意行为也有可能对网络的安全造成巨大的威迫。因为各行业，各单位此刻都在建局域网，计算机使用屡次，可是因为单位管理制度不严，不可以严格恪守行业内部对于信息安全的有关规定，都简单惹起一系列安全问题。竞争敌手的歹意盗取、破坏以及攻击公司是以销售为主的it行业，所以用户信息异样宝贵和重要，假如遇到竞争敌手的歹意盗取、破坏以及攻击，结果不行思议。3、安全系统建设原则1）整体性原则：“木桶原理”，纯真一种安全手段不行能解决所有安全问题;2）多重保护原则：

5、不把整个系统的安全寄望在单调安全举措或安全产品上;3）性能保障原则：安全产品的性能不可以成为影响整个网络传输的瓶颈;4）均衡性原则：拟订规范举措，实现保护成本与被保护信息的价值均衡;（5）可管理、易操作原则：尽量采纳最新的安全技术，实现安全管理的自动化，以减少安全管理的负担，同时减小因为管理上的疏忽而对系统安全造成的威迫;6）适应性、灵巧性原则：充足考虑此后业务和网络安全协调发展的需求，防止因只知足了系统安全要求，而给业务发展带来阻碍的状况发生;7）高可用原则：安全方案、安全产品也要依照网络高可用性原则;8）技术与管理并重原则：“三分技术，七分管理”，从技术角度出发的安全方案的设计一定有与之相

6、适应的管理制度同步拟订，并从管理的角度评估安全设计方案的可操作性9）投资保护原则：要充足发挥现有设施的潜能，防止投资的浪费。4、网络安全整体设计需求剖析依据xx公司知足内部网络机构，依据 XXX公司各级内部网络机构、广域网构造、和三级网络管理、应用业系统的特色，本方案主要从以下几个方面进行安全设计：1、数据安全保护,使用加密技术,保护重要数据的保密性.2、网络系统安全,防火墙的设置3、物理安全,应用硬件等安装置置.4、应用系统安全,局域网内数据传输的安全保证 .方案综述1、第一设置VPN,方便内网与外网的连结,虚构专用网是对公司内部网的扩展.能够帮助远程用户,公司分支机构,商业伙伴及供给商同公

7、司的内部网成立可信的安全连结，并保证数据（Data）的安全传输.虚构专用网能够用于不停增添的挪动用户的全世界因特网接入，以实现安全连结；能够用于实现公司网站之间安全通信的虚构专用线路，用于经济有效地连结到商业伙伴和用户的安全外联网虚构专用网.2、设置防火墙，防火墙是对经过互联网连结进入专用网络或计算机系统的信息进行过滤的程序或硬件设施。所以假如过滤器对传入的信息数据包进行标志，则不同意该数据包经过。能够保证使用的网站的安全性，以及防备歹意攻击以及破坏公司网络正常运转和软硬件，数据的安全。防备服务器拒绝服务攻击.3、网络病毒防备，采纳网络防病毒系统 .在网络中部署被动防守系统（防病毒系统）,采纳

8、主动防守体制（防火墙、安全策略、破绽修复等），将病毒隔绝在网络大门以外。从总部到分支机构，由上到下，各个局域网的防病毒系统相联合，最后形成一个立体的、完好的公司网病毒防备系统。4、设置DMZ，数据冗存余储系统.将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担今世理数据接见职责的主机搁置于DMZ中，这样就为应用系统安全供给了保障。DMZ使包含重要数据的内部系统免于直接裸露给外面网络而受到攻击，攻击者即便初步入侵成功，还要面对 DMZ设置的新的阻碍。5、设置数据备份管理系统，特意备份公司重要数据。为防止客观原由、自然灾祸等原由造成的数据破坏、丢掉，可采纳异地备份方式。

9、6、两重数据信息保护，在重要部门以及工作组前设置互换机，能够在必需时候断开网络连结，防备网络攻击，而且设置两重防火墙，出入的数据都将遇到保护。7、设置备份服务器，用于因客观原由、自然灾祸等原由造成的服务器崩溃。8、广域网接入部分,采纳入侵检测系统（IDS）。对外界入侵和内部人员的越界行为进行报警。在服务器地区的互换机上、Internet接入路由器以后的第一台互换机上和要点保护网段的局域网互换机上装上IDS。9、系统破绽剖析。采纳破绽剖析设施。、安全设施要求硬件设施1、pc机若干台,包含网络管理机,职工工作用机；干台,包含网络管理机,职工工作用机；2、互换机2台；3、服务器4台；4、防火墙5台；

10、5、内外网隔绝卡6、AMTTinnFORIDS。软件设施1、病毒防守系统；2、查杀病毒软件；3、接见控制设置。6、技术支持与服务虚构网技术虚构网技术主要鉴于最近几年发展的局域网互换技术（ATM和以太网互换）。互换技术将传统的鉴于广播的局域网技术发展为面向连结的技术。所以，网管系统有能力限制局域网通信的范围而无需经过开支很大的路由器.由以上运转体制带来的网络安全的利处是显而易见的：信息只抵达应当抵达的地址。所以、防备了大多数鉴于网络监听的入侵手段。经过虚构网设置的接见控制，使在虚构网外的网络节点不可以直接接见虚构网内节点。以太网从实质上鉴于广播体制，但应用了互换器和 VLAN技术后，实质上转变成

11、点到点通讯，除非设置了监听口，信息互换也不会存在监听和插入（改变）问题。可是，采纳鉴于 MAC的VLAN区分将面对冒充MAC地址的攻击。所以，VLAN的区分最好鉴于互换机端口。但这要求整个网络桌面使用互换端口或每个互换端口所在的网段机器均属于同样的VLAN。防火墙技术网络防火墙技术是一种用来增强网络之间接见控制,防备外面网络用户以非法手段经过外面网络进入内部网络,接见内部网络资源,保护内部网络操作环境的特别网络互联设施.它对两个或多个网络之间传输的数据包如链接方式依照必定的安全策略来实行检查,以决定网络之间的通信能否被同意,并监督网络运转状态.包过滤型包过滤型技术是防火墙技术的一种,其技术依照

12、是网络中的分包传输技术.网络上的数据都是以包为单位进行传输的,数据被切割成为必定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙经过读取数据包中的地址信息来判断这些能否来自可相信的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也能够依据实质状况灵巧制定判断规则 .病毒防备技术病毒向来是信息系统安全的主要问题之一。因为网络的宽泛互联，病毒的流传门路和速度大大加速。我们将病毒的门路分为：（1） 经过FTP，电子邮件流传。经过软盘、光盘、磁带流传。经过Web旅行流传，主假如歹意的Java控件网站。经

13、过群件系统流传。病毒防备的主要技术以下：阻挡病毒的流传。在防火墙、代理服务器、 SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。检查和消除病毒。使用防病毒软件检查和消除病毒。病毒数据库的升级。病毒数据库应不停更新，并下发到桌面系统。（4） 在防火墙、代理服务器及 PC上安装 Java及ActiveX 控制扫描软件，严禁未经同意的控件下载和安装。入侵检测技术入侵检测系统是最近几年出现的新式网络安全技术， 目的是供给及时的入侵检测及采纳相应的防备手段，如记录凭证用于追踪和恢复、断开网络连结等。及时入侵检测能力之所以重要第一它能够应付来自内部网络的攻击，其次它能

14、够缩短 hacker入侵的时间。（1）入侵检测系统可分为两类：鉴于主机鉴于网络鉴于主机及网络的入侵监控系统往常均可配置为散布式模式：在需要监督的服务器上安装监督模块（agent），分别向管理服务器报告及上传凭证，供给跨平台的入侵监督解决方案。在需要监督的网络路径上，搁置监督模块（sensor）, 分别向管理服务器报告及上传凭证，供给跨网络的入侵监督解决方案。6,5安全扫描技术安全扫描技术与防火墙、安全监控系统相互当合能够供给很高安全性的网络。认证和数字署名技术认证技术主要解决网络通信过程中通信两方的身份认同，数字署名作为身份认证技术中的一种详细技术，同时数字署名还可用于通信过程中的不行狡辩要求

15、的实现。认证技术将应用到公司网络中的以下方面：路由器认证，路由器和互换机之间的认证。操作系统认证。操作系统对用户的认证。网管系统对网管设施之间的认证。VPN网关设施之间的认证。拨号接见服务器与客户间的认证。应用服务器（如WebServer）与客户的认证。（1）电子邮件通信两方的认证。数字署名技术主要用于：鉴于PKI认证系统的认证过程。鉴于PKI的电子邮件及交易（经过Web进行的交易）的不行狡辩记录。VPN技术完好的集成化的公司范围的 VPN安全解决方案，供给在INTERNET上安全的双向通信，以及透明的加密方案以保证数据的完好性和保密性。公司网络的全面安全要求保证：保密-通信过程不被窃听。通信

16、主体真切性确认-网络上的计算机不被冒充。应用系统的安全技术Internet 域名服务为Internet/Intranet 应用提供了极大的灵巧性。几乎所有的网络应用均利用域名服务。1、Server 常常成为Internet 用户接见公司内部资源的通道之一，如Webserver经过中间件接见主机系统，经过数据库连结零件接见数据库，利用 CGI接见当地文件系统或网络系统中其余资源。2、操作系统安全市场上几乎所有的操作系统均已发现有安全破绽，并且越流行的操作系统发现的问题越多。对操作系统的（1）安全，除了不停地增添安全补丁外，还需要：检查系统设置（敏感数据的寄存方式，接见控制，口令选择/更新）。鉴于系统的安全监控系统。计算机网络安全举措计算机网络安全举措主要包含保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要联合考虑安全防备的物理安全、防火墙、信息安全、Web安全、媒体安全等等。（一）保护网络安全。（二）保护应用安全。（三）保护系统安全。公司网络安全综合设计方及时监控系统部门或工作组 鉴于主机的入侵检测系统 网络管理中心F 入侵检测系统鉴于网络的入侵检测系统DMZ区