XX公司網(wǎng)絡(luò)安全設(shè)計(jì)方案12633

.XX公司網(wǎng)絡(luò)信息系統(tǒng)的安全方案設(shè)計(jì)書XX公司網(wǎng)絡(luò)安全隱患與需求分析1.1網(wǎng)絡(luò)現(xiàn)狀公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各服務(wù)部門計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。如下圖所示：1.2安全隱患分析1.2.1應(yīng)用系統(tǒng)的安全隱患應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。需要對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等 1.2.2管理的安全隱患管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡(jiǎn)單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。用戶權(quán)限設(shè)置過大開放不必要的服務(wù)端口，或者一般用戶因?yàn)槭韬?，丟失帳號(hào)和口令，從而造成非授權(quán)訪問，以及把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。 1.2.3操作系統(tǒng)的安全漏洞計(jì)算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點(diǎn)，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會(huì)消耗大量的網(wǎng)絡(luò)資源，致使整個(gè)網(wǎng)絡(luò)陷入癱瘓。1.2.4病毒侵害網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一。一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運(yùn)行等。2.1需求分析XX公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：1.根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃；2.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；3.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；4.防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；5.防范入侵者的惡意攻擊與破壞；6.保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性；7.防范病毒的侵害；8.實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。通過了解XX公司的虛求與現(xiàn)狀，為實(shí)現(xiàn)XX網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要（1） 構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2） 劃分VLAN控制內(nèi)網(wǎng)安全（3） 安裝防火墻體系（4） 安裝防病毒服務(wù)器（5） 加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理 如前所述，XX公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，網(wǎng)絡(luò)信息安全的需求主要體現(xiàn)在如下幾點(diǎn)： (1)XX公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。 (2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使XX公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。 (3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。 (4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是XX公司面臨的重要課題。網(wǎng)絡(luò)信息安全策略及整體方案信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，應(yīng)用防火墻及入侵檢測(cè)、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù)，對(duì)出入口的信息進(jìn)行嚴(yán)格的控制；對(duì)網(wǎng)絡(luò)中所有的裝置（如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等）進(jìn)行檢測(cè)、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施，并有效地防止黑客入侵和病毒擴(kuò)散，監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。3.1 方案綜述XX公司整個(gè)網(wǎng)絡(luò)安全系統(tǒng)從物理上劃分4個(gè)部分，即計(jì)算機(jī)網(wǎng)絡(luò)中心、財(cái)務(wù)部、業(yè)務(wù)部及網(wǎng)絡(luò)開發(fā)中心。從而在結(jié)構(gòu)上形成以計(jì)算機(jī)網(wǎng)絡(luò)中心為中心，對(duì)其他部分進(jìn)行統(tǒng)一的網(wǎng)絡(luò)規(guī)劃和管理。每個(gè)安全區(qū)域有一套相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)，這些相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)能被計(jì)算機(jī)網(wǎng)絡(luò)中心所管理。同時(shí)每個(gè)安全區(qū)域都要進(jìn)行有效的安全控制，防止安全事件擴(kuò)散，將事件控制在最小范圍。通過對(duì)XX公司現(xiàn)狀的分析與研究以及對(duì)當(dāng)前安全技術(shù)的研究分析，我們制定如下企業(yè)信息安全策略。 311防火墻實(shí)施方案 根據(jù)網(wǎng)絡(luò)整體安全及保證財(cái)務(wù)部的安全考慮，采用兩臺(tái)cisco pix535防火墻，一防火墻對(duì)財(cái)務(wù)部與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對(duì)Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。 防火墻設(shè)置原則如下所示：建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來的拒絕服務(wù)攻擊；定期查看防火墻訪問日志；對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。 312 Internet連接與備份方案防火墻經(jīng)外網(wǎng)交換機(jī)接入Internet。此區(qū)域當(dāng)前存在一定的安全隱患：首先，防火墻作為企業(yè)接入Internet的出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問題，都會(huì)造成全臺(tái)與Internet失去連接；其次，當(dāng)前的防火墻無法對(duì)進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。為此，新增加一臺(tái)防火墻和一臺(tái)防病毒過濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過濾，使病毒數(shù)據(jù)包無法進(jìn)入網(wǎng)絡(luò)，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上，并且采用兩臺(tái)防火墻進(jìn)行熱備配置，分別連接兩臺(tái)核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置，提高了網(wǎng)絡(luò)的健壯性。根據(jù)改企業(yè)未來的應(yīng)用需求，可考慮網(wǎng)絡(luò)改造后，將Internet連接帶寬升級(jí)為100M。313入侵檢測(cè)方案在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)(eTrust Intrusion Detection) ，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)代理，對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。314 VPN系統(tǒng) 考慮到改公司和其子公司與其它兄弟公司的通信，通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。 集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。315網(wǎng)絡(luò)安全漏洞 企業(yè)網(wǎng)絡(luò)擁有WWW、郵件、域、視頻等服務(wù)器，還有重要的數(shù)據(jù)庫(kù)服務(wù)器，對(duì)于管理人員來說，無法確切了解和解決每個(gè)服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。316防病毒方案采用Symantec網(wǎng)絡(luò)防病毒軟件，建立企業(yè)整體防病毒體系，對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計(jì)算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器，對(duì)整個(gè)域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動(dòng)查、殺病毒?？蓪?shí)現(xiàn)對(duì)病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實(shí)現(xiàn)對(duì)所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個(gè)系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報(bào)方式，對(duì)病毒的爆發(fā)進(jìn)行報(bào)警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對(duì)系統(tǒng)情況進(jìn)行匯總和分析。根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時(shí)下載系統(tǒng)補(bǔ)丁和殺毒工具，采取相關(guān)措施，防范于未然。317訪問控制管理實(shí)施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設(shè)備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。318重要文件及內(nèi)部資料管理定期對(duì)重要資料進(jìn)行備份，以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失?？蛇x擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件，全面地保護(hù)數(shù)據(jù)的安全。 系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實(shí)施保密，并自覺對(duì)文件進(jìn)行分級(jí)管理，注意對(duì)系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)。對(duì)于重要的服務(wù)器，利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。32網(wǎng)絡(luò)信息管理策略計(jì)算機(jī)網(wǎng)絡(luò)中心設(shè)計(jì)即公司網(wǎng)絡(luò)安全管理策略的建設(shè)如下：（1）身份認(rèn)證中心建設(shè)。身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赑KI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。（2）安全登錄系統(tǒng)。由于網(wǎng)絡(luò)開發(fā)中心以及財(cái)務(wù)部門涉及公司的網(wǎng)絡(luò)部署以及財(cái)務(wù)狀況，需要高度保密，只有公司網(wǎng)絡(luò)安全主管、財(cái)務(wù)主管以及公司法人才可以登錄相應(yīng)的網(wǎng)絡(luò)，而安全登錄系統(tǒng)正是提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證，使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。（3）文件加密系統(tǒng)。與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，文