中小企业网络安全体系构建Word文件下载.docx

1、前 言随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说

2、，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工

3、程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。第1章 AB公司网络安全的概述1.1 公司网络的主要安全隐患现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时公司网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，公司网络安全威胁的主要来源主要包括1。（1）病毒、木马和恶意软件的入侵。（2）网络黑客的

4、攻击。（3）重要文件或邮件的非法窃取、访问与操作。（4）关键部门的非法访问和敏感信息外泄。（5）外网的非法入侵。（6）备份数据和存储媒体的损坏、丢失。针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据

5、企业实际需要配置好相应的数据策略，并按策略认真执行。1.2 公司网络的安全误区许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序似乎可以松口气了,但果真如此吗?以下是有关安全的六大误解。（1）安装防火墙就安全了防火墙主要用来执行 两个网络之间的访问控制策略，它能限制被保护的网络与互联网络之间，或者 与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术，可 以作为不同网络或网络安全域之间信息的出入口。防火墙主要工作都是控制存取与过滤封包，所以对DoS

6、攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，企业网络安全事件绝大部分还是源于企业内部。（2）安装了最新的杀毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。（3）在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件核心就是集中的网络防毒系统管理

7、。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。（4）只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。（5）文件设置只读就可以避免感染病毒设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。（6）网络安全主要来自外部基于内部的网络攻击更加容易，不需要借助于其他的网络连

8、接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。第2章 AB公司网络安全的需求分析2.1 公司背景AB网络有限公司是一家有100名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是

9、当前的重中之重。2.2 公司网络安全需求AB网络有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。因此本企业的网络安全构架要求如下：（1）根据公司现有的网络设备组网规划（2）保护网络系统的可用性（3）保护网络系统服务的连续性（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏（6）保护企业信息通过网上传输过程中的机密性、完整性（7）防范病毒的侵害（8）实现网络的安全管理。2.3 需求分析通过了解AB

10、网络公司的需求与现状，为实现AB网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要（1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全（3）安装防火墙体系（4）建立VPN（虚拟专用网络）确保数据安全（5）安装

11、防病毒服务器（6）加强企业对网络资源的管理2.4 企业网络结构AB公司网络拓扑图，如图2.1所示。图2.1公司网络结构由于AB网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0，直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换，分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器，地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机

12、，下面有两台2层交换机做接入。第3章 AB公司网络安全的设计3.1AB公司网络功能设计（1）资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。（2）通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。（3）多媒体功能。支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能。系统支持远程PPTP接入，外地员工可利用INTERNET访问。3.2AB公司网络设计原则 （1）实用性和经济性。系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 （2）先进性和成熟性

13、。系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 （3）可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。（4）安全性和保密性。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统

14、安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。（5）可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。3.3AB公司网络的设计3.3.1公司物理设备安全的设计（1）物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满足设计要求；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强

15、噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。（2）电力供应机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如UPS设备）；应建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。（3）电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰。3.3.2公司内部网的设计内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制2。1、vlan的划

16、分和地址的分配经理办子网（vlan2）:192.168.1.0 子网掩码: 255.255.255.0 网关：192.168.1.1生产子网（vlan3）：192.168.2.0192.168.2.1市场子网（vlan4）：192.168.3.0192.168.3.1 财务子网（vlan5）：192.168.4.0192.168.4.1 资源子网（vlan6）:192.168.5.0192.168.5.12、访问权限控制策略（1）经理办VLAN2可以访问其余所有VLAN。（2）财务VLAN5可以访问生产VLAN3、市场VLAN4、资源VLAN6，不可以访问经理办VLAN2。（3）市场VLAN4

17、、生产VLAN3、资源VLAN6都不能访问经理办VLAN2、财务VLAN5。（4）生产VLAN4和销售VLAN3可以互访。3.3.3通信保密数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式：（1）链路层加密对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据，如图3.1所示。图3.1链路密码机配备示意图 链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在有相互访问需求并且

18、要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。（2）网络层加密鉴于网络分布较广，网点较多，而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备（VPN），VPN是网络加密机，是实现端至端的加密，即一个网点只需配备一台VPN加密机。根据具体策略，来保护内部敏感信息和企业秘密的机密性、真实性及完整性3。IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设

19、备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准。如图3.2所示。图3.2VPN设备配置示意图由于VPN设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设

20、施和可选的虚拟专用网服务平台。对政府行业网络系统这样一种大型的网络，VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。3.3.4病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，公司网络系统中使用的操作系统一般均为WINDOWS系统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术4：（1）预防病毒技术预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存

21、在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。（2）检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。（3）杀毒技术杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。3.3.5应用安全应用安全，顾名思义

22、就是保障应用程序使用过程和结果的安全。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。（1）内部OA系统中资源享 严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。（2）信息存储 对有涉及企业秘密信息的用户主机，使用

23、者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。3.3.6配备防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。AB公司网络中使用的是神州数码的DCFW-1800S UTM，里面包含了防火墙和VPN等功能。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：（1） 管理、维护简单、方便;（2）

24、 安全性高（可有效降低在安全设备使用上的配置漏洞）;（3） 硬件成本和维护成本低;（4） 网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。第4章 AB公司网络安全方案的实现4.1公司网络企业物理安全AB公司网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。针对AB网络公司的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有

25、重要地位。它主要包括以下几个方面：（1）保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等（2）选用合适的传输介质屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性

26、好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。（3）保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。4.2AB公司网络VLAN划分VLAN技术能有效隔离局域网，防止网内的攻击，所以AB网络公司网络中按部门进行了VLAN划分，划分为以下五个VLAN：经理办子网（vlan2）： 网关： 子网掩码:192.168.4.1子网掩码:192.168.5.1步骤一：在三层交换机S1上划分vlan，并向vlan中添加端口。S1# configure terminalS1（config）#vlan 2S1（config-vlan）#name vlan2S1（config-vlan）#exitS1（config