企業(yè)網(wǎng)絡(luò)安全系統(tǒng)方案設(shè)計(jì)

千里之行，始于足下。第2頁(yè)/共2頁(yè)精品文檔推薦企業(yè)網(wǎng)絡(luò)安全系統(tǒng)方案設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)

摘要：在那個(gè)信息技術(shù)飛快進(jìn)展的時(shí)代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到非常有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)來極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)治理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依靠性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依靠性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模別斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文要緊經(jīng)過安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述，為企業(yè)提供一具可靠地、完整的方案。

關(guān)鍵詞：信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

隨著國(guó)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛進(jìn)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立腳于Internet/Intranet環(huán)境中。但隨之而來的安全咨詢題也在困擾著用戶。Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的并且，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)峻威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)砭薮蟮慕?jīng)濟(jì)損失。應(yīng)此怎么使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康進(jìn)展所要思考的重要情況之一。

普通企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，要緊有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的進(jìn)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來越多。但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的治理上來看，通常包括部用戶，也有外部用戶，以及外網(wǎng)之間。所以，普通整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全咨詢題：（1）Internet的安全性：隨著互聯(lián)網(wǎng)的進(jìn)展，網(wǎng)絡(luò)安全事件層出別窮。近

年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾泛濫、敏感信息泄露等已成為妨礙最為廣泛的安全威脅。關(guān)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下落，直截了當(dāng)或間接的經(jīng)濟(jì)損失也非常大。

（2）企業(yè)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的職員利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的別正當(dāng)使用，落低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得別法職員能夠經(jīng)過網(wǎng)絡(luò)泄漏企業(yè)，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。因此企業(yè)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患要緊有未授權(quán)拜訪、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防技術(shù)手段、缺乏有效的手段來評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)害恢復(fù)措施等。

（3）部網(wǎng)絡(luò)之間、外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的進(jìn)展壯大及挪移辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、挪移辦公人員如此的新型互動(dòng)運(yùn)營(yíng)模式。如何處理總部與分支機(jī)構(gòu)、挪移辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止的泄漏差不多成為企業(yè)成長(zhǎng)過程中別得別思考的咨詢題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直截了當(dāng)妨礙企業(yè)的高效運(yùn)作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析

需求：

圖講明圖一企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖

對(duì)該公司的信息安全系統(tǒng)不管在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都也許存在一定的缺陷，具體表如今：

（1）系統(tǒng)性別強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

（2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都別能習(xí)慣新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

（3）經(jīng)營(yíng)治理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依靠性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依靠性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模別斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

（4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，所以有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶治理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求要緊體現(xiàn)

在如下幾點(diǎn)：

（1）某公司信息系統(tǒng)別僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的別斷浮現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品舉行升級(jí)或重新部署。

（3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全治理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)的建設(shè)，使安全防的各項(xiàng)工作都可以有序、規(guī)地舉行。

（4）信息安全防是一具動(dòng)態(tài)循環(huán)的過程，怎么利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防工作，應(yīng)對(duì)別斷浮現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則舉行，幸免重復(fù)投入、重復(fù)建設(shè)，充分思考整體和局部的利益。具體如下：

1.標(biāo)準(zhǔn)化原則

2.系統(tǒng)化原則

3.規(guī)避風(fēng)險(xiǎn)原則

4.愛護(hù)投資原則

5.多重愛護(hù)原則

6.分步實(shí)施原則

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路

1.安全系統(tǒng)架構(gòu)

安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

隨著針對(duì)應(yīng)用層的攻擊越來越多、威脅越來越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案差不多別腳以對(duì)付來自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無法應(yīng)付的。所以我們建議企業(yè)采納立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系別僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊容徹底阻擋在企業(yè)部網(wǎng)之外。

2.安全防護(hù)體系

信息安全防應(yīng)做整體的思考，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防。信息安全防體系模型顯示安全防是一具動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全治理應(yīng)貫通安全防活動(dòng)的始終。如圖二所示：

圖講明圖二網(wǎng)絡(luò)與信息安全防體系模型

3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖

經(jīng)過以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:

圖講明圖三總體安全結(jié)構(gòu)圖

五、整體網(wǎng)絡(luò)安全方案

1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)

證書認(rèn)證系統(tǒng)不管是企業(yè)部的信息網(wǎng)絡(luò)依然外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一具安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全咨詢題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全咨詢題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。經(jīng)過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一具完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，可以經(jīng)過那個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

1）身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份別能被假冒或偽裝，在此體系過數(shù)字證書來確認(rèn)對(duì)方的身份。

2）數(shù)據(jù)的性(Confidentiality)：對(duì)敏感信息舉行加密，確保信息別被泄露，在此體系中利用數(shù)字證書加密來完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息別被破壞(截?cái)嗷虼鄹?，經(jīng)過哈希函數(shù)和數(shù)字簽名來完成。

4）別可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自個(gè)兒的行為，確保通信方對(duì)自個(gè)兒的行為承認(rèn)和負(fù)責(zé)，經(jīng)過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

2.VPN系統(tǒng)

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在別同地方的網(wǎng)絡(luò)經(jīng)過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有落低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

經(jīng)過安裝部署VPN系統(tǒng)，能夠?yàn)槠髽I(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，經(jīng)過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開發(fā)一條隧道，使得合法的用戶能夠安全的拜訪企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)挪移用戶、遠(yuǎn)程LAN的安全連接。

集中的安全策略治理能夠?qū)φ麄€(gè)VPN網(wǎng)絡(luò)的安全策略舉行集中治理和配置。

3.網(wǎng)絡(luò)防火墻

采納防火墻系統(tǒng)實(shí)現(xiàn)對(duì)部網(wǎng)和廣域網(wǎng)舉行隔離愛護(hù)。對(duì)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)經(jīng)過單獨(dú)的防火墻設(shè)備舉行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)普通如下：

圖講明圖四防火墻

此外在實(shí)際中能夠增加入侵檢測(cè)系統(tǒng)，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。

4.病毒防護(hù)系統(tǒng)

應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和治理策略，增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這個(gè)地方我們能夠挑選瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一具特意針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開辟的網(wǎng)絡(luò)防病毒軟件，經(jīng)過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)客戶端和服務(wù)器上建立反病毒系統(tǒng)，同時(shí)能夠?qū)崿F(xiàn)防病毒體系的統(tǒng)一、集中治理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。

5.對(duì)服務(wù)器的愛護(hù)

在一具企業(yè)中對(duì)服務(wù)器的愛護(hù)也是至關(guān)重要的。在這個(gè)地方我們挑選電子為例來講明對(duì)服務(wù)器愛護(hù)的重要性。

電子是Internet上浮現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速進(jìn)展，電子的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。但是由于網(wǎng)絡(luò)的開放性和協(xié)議自身的缺點(diǎn)，電子存在著非常大的安全隱患。

目前廣泛應(yīng)用的電子客戶端軟件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet的附件標(biāo)準(zhǔn))進(jìn)展而來的。首先，它的認(rèn)證機(jī)制依靠于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件容加密簽名后作為特別的附件傳送。保證了信件容的安全性。下圖五是系統(tǒng)愛護(hù)的簡(jiǎn)圖（透明方式）:

圖講明圖五系統(tǒng)愛護(hù)

6.關(guān)鍵網(wǎng)段愛護(hù)

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是很重要的，應(yīng)此對(duì)外應(yīng)是的。因此這些網(wǎng)段我們也應(yīng)賦予特殊的防護(hù)。簡(jiǎn)圖如下圖六所示。

圖講明圖六關(guān)鍵網(wǎng)段的防護(hù)

7.日志分析和統(tǒng)計(jì)報(bào)表能力

對(duì)網(wǎng)絡(luò)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，經(jīng)過來源分析，目標(biāo)分析，類不分析等多種分析方式，以直觀、清楚的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于治理人員提高網(wǎng)絡(luò)的安全治理。

8.部網(wǎng)絡(luò)行為的治理和監(jiān)控

除對(duì)外的防護(hù)外，對(duì)網(wǎng)絡(luò)的上網(wǎng)行為也應(yīng)該舉行規(guī)，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁(yè)拜訪，過濾，限制上網(wǎng)談天行為，阻撓別正當(dāng)文件的下載。企業(yè)部用戶上網(wǎng)信息識(shí)不度應(yīng)達(dá)到每一具URL請(qǐng)求和每一具URL請(qǐng)求的回應(yīng)。經(jīng)過對(duì)網(wǎng)絡(luò)部網(wǎng)絡(luò)行為的監(jiān)控能夠規(guī)網(wǎng)絡(luò)部的上網(wǎng)行為，提高工作效率，并且幸免企業(yè)部產(chǎn)生網(wǎng)絡(luò)安全隱患。所以關(guān)于桌面微機(jī)的治理和監(jiān)控是減少和消除部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡治理工具集成到一起，形成一具整體，是針對(duì)客戶端安全的整體解決方案。分不有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和別可抵賴性。采納組件技術(shù)，能夠無縫嵌入OFFICE