XX公司網(wǎng)絡(luò)安全設(shè)計方案10235

1、XX公司網(wǎng)絡(luò)安全設(shè)計方案10235XX公司網(wǎng)絡(luò)信息系統(tǒng)的安全方案設(shè)計書XX公司網(wǎng)絡(luò)安全隱患與需求分析1.1網(wǎng)絡(luò)現(xiàn)狀公司現(xiàn)有計算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各服務(wù)部門計算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。如下圖所示：1.2安全隱患分析1.2.1應(yīng)用系統(tǒng)的安全隱患應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動態(tài)的。需要對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。主要有文件服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息的安全風(fēng)

2、險等 1.2.2管理的安全隱患管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。用戶權(quán)限設(shè)置過大開放不必要的服務(wù)端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權(quán)訪問，以及把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險。 1.2.3操作系統(tǒng)的安全漏洞計算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會消耗大量的網(wǎng)絡(luò)資源，致使整個網(wǎng)絡(luò)陷入癱瘓

3、。1.2.4病毒侵害網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一。一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運行等。2.1需求分析XX公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：1.根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃；2.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；3.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；4.防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；5.防范入侵者的惡意攻擊

4、與破壞；6.保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性；7.防范病毒的侵害；8.實現(xiàn)網(wǎng)絡(luò)的安全管理。通過了解XX公司的虛求與現(xiàn)狀，為實現(xiàn)XX網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機(jī)加以保護(hù)，記錄用戶對客戶端計算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機(jī)的使用情況進(jìn)行追蹤，防范外來計算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要（1） 構(gòu)建良好的環(huán)境確保企業(yè)物理

5、設(shè)備的安全（2） 劃分VLAN控制內(nèi)網(wǎng)安全（3） 安裝防火墻體系（4） 安裝防病毒服務(wù)器（5） 加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理 如前所述，XX公司信息系統(tǒng)存在較大的風(fēng)險，網(wǎng)絡(luò)信息安全的需求主要體現(xiàn)在如下幾點： (1)XX公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。 (2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使XX公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。 (3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要制定健全的

6、管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。 (4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是XX公司面臨的重要課題。網(wǎng)絡(luò)信息安全策略及整體方案信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，應(yīng)用防火墻及入侵檢測、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù)，對出入口的信息進(jìn)行嚴(yán)格的控制；對網(wǎng)絡(luò)中所有的裝置（如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等）進(jìn)行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補(bǔ)救措施，并有效地防止黑客入侵和病毒擴(kuò)散

7、，監(jiān)控整個網(wǎng)絡(luò)的運行狀況。3.1 方案綜述XX公司整個網(wǎng)絡(luò)安全系統(tǒng)從物理上劃分4個部分，即計算機(jī)網(wǎng)絡(luò)中心、財務(wù)部、業(yè)務(wù)部及網(wǎng)絡(luò)開發(fā)中心。從而在結(jié)構(gòu)上形成以計算機(jī)網(wǎng)絡(luò)中心為中心，對其他部分進(jìn)行統(tǒng)一的網(wǎng)絡(luò)規(guī)劃和管理。每個安全區(qū)域有一套相對獨立的網(wǎng)絡(luò)安全系統(tǒng)，這些相對獨立的網(wǎng)絡(luò)安全系統(tǒng)能被計算機(jī)網(wǎng)絡(luò)中心所管理。同時每個安全區(qū)域都要進(jìn)行有效的安全控制，防止安全事件擴(kuò)散，將事件控制在最小范圍。通過對XX公司現(xiàn)狀的分析與研究以及對當(dāng)前安全技術(shù)的研究分析，我們制定如下企業(yè)信息安全策略。 311防火墻實施方案 根據(jù)網(wǎng)絡(luò)整體安全及保證財務(wù)部的安全考慮，采用兩臺cisco pix535防火墻，一防火墻對財務(wù)部與企

8、業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。 防火墻設(shè)置原則如下所示：建立合理有效的安全過濾原則對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來的拒絕服務(wù)攻擊；定期查看防火墻訪問日志；對防火墻的管理員權(quán)限嚴(yán)格控制。 312 Internet連接與備份方案防火墻經(jīng)外網(wǎng)交換機(jī)接入Internet。此區(qū)域當(dāng)前存在一定的安全隱患：首先，防火墻作為企業(yè)接入Internet的

9、出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問題，都會造成全臺與Internet失去連接；其次，當(dāng)前的防火墻無法對進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過濾，使病毒數(shù)據(jù)包無法進(jìn)入網(wǎng)絡(luò)，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上，并且采用兩臺防火墻進(jìn)行熱備配置，分別連接兩臺核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置，提高了網(wǎng)絡(luò)的健壯性。根據(jù)改企業(yè)未來的應(yīng)用需求，可考慮網(wǎng)絡(luò)改造后，將Internet連接帶寬升級為100M。313入侵檢測方案在核心交換機(jī)監(jiān)控端口部署CA入侵檢測系統(tǒng)(e

10、Trust Intrusion Detection) ，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測代理，對網(wǎng)絡(luò)入侵進(jìn)行檢測和響應(yīng)。314 VPN系統(tǒng) 考慮到改公司和其子公司與其它兄弟公司的通信，通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。 集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。315網(wǎng)絡(luò)安全漏洞 企業(yè)網(wǎng)絡(luò)擁有WWW、郵件、

11、域、視頻等服務(wù)器，還有重要的數(shù)據(jù)庫服務(wù)器，對于管理人員來說，無法確切了解和解決每個服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風(fēng)險，建議補(bǔ)救措施，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。316防病毒方案采用Symantec網(wǎng)絡(luò)防病毒軟件，建立企業(yè)整體防病毒體系，對網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器，對整個域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動查、殺病毒。

12、可實現(xiàn)對病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實現(xiàn)對所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報方式，對病毒的爆發(fā)進(jìn)行報警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對系統(tǒng)情況進(jìn)行匯總和分析。根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時下載系統(tǒng)補(bǔ)丁和殺毒工具，采取相關(guān)措施，防范于未然。317訪問控制管理實施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設(shè)備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。318

13、重要文件及內(nèi)部資料管理定期對重要資料進(jìn)行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失?？蛇x擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件，全面地保護(hù)數(shù)據(jù)的安全。 系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實施保密，并自覺對文件進(jìn)行分級管理，注意對系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)。對于重要的服務(wù)器，利用RAID5等數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。32網(wǎng)絡(luò)信息管理策略計算機(jī)網(wǎng)絡(luò)中心設(shè)計即公司網(wǎng)絡(luò)安全管理策略的建設(shè)如下：（1）身份認(rèn)證中心建設(shè)。身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的

14、身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。（2）安全登錄系統(tǒng)。由于網(wǎng)絡(luò)開發(fā)中心以及財務(wù)部門涉及公司的網(wǎng)絡(luò)部署以及財務(wù)狀況，需要高度保密，只有公司網(wǎng)絡(luò)安全主管、財務(wù)主管以及公司法人才可以登錄相應(yīng)的網(wǎng)絡(luò)，而安全登錄系統(tǒng)正是提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證，使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計算機(jī)。（3）文件加密系統(tǒng)。與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，文件加密應(yīng)用