xx企業(yè)網絡安全綜合設計方案

重慶工業(yè)職業(yè)技術學院《信息平安》課程實訓報告題目：企業(yè)網絡平安綜合設計方案

班級：11信安301姓名：指導老師：何靜責任系部：信息工程學院

xx企業(yè)網絡平安綜合設計方案企業(yè)網絡分析xx科技有限公司是一家以信息平安產品銷售為主營業(yè)務的小型企業(yè)，公司網絡通過中國聯通光纖接入

Internet。

該公司擁有子公司若干，并與其它信息平安產品銷售公司建立了兄弟公司關系。為了適應業(yè)務的發(fā)展的須要，實現信息的共享，協作和通訊，并和各個部門互連，對該信息網絡系統的建設與實施提出了方案。

2、網絡威逼、風險分析

2.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不生疏，他們是一群利用自己的技術專長特地攻擊網站和計算機而不暴露身份的計算機用戶，由于黑客技術漸漸被越來越多的人駕馭和發(fā)展，目前世界上約有20多萬個黑客網站，這些站點都介紹一些攻擊方法和攻擊軟件的運用以及系統的一些漏洞，因而任何網絡系統、站點都有遭遇黑客攻擊的可能。尤其是現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，使得黑客們擅長隱藏，攻擊“殺傷力”強，這是網絡平安的主要威逼。而就目前網絡技術的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采納了病毒進行破壞，它們采納的攻擊和破壞方式多種多樣，對沒有網絡平安防護設備（防火墻）的網站和系統（或防護級別較低）進行攻擊和破壞，這給網絡的平安防護帶來了嚴峻的挑戰(zhàn)。2.2網絡自身和管理存在欠缺

網絡的共享性和開放性使網上信息平安存在先天不足，網絡系統的嚴格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實上，許多企業(yè)、機構及用戶的網站或系統都疏于這方面的管理，沒有制定嚴格的管理制度。據IT界企業(yè)團體ITAA的調查顯示，美國90％的IT企業(yè)對黑客攻擊打算不足。目前美國75％－85％的網站都抵抗不住黑客的攻擊，約有75％的企業(yè)網上信息失竊。

2.3軟件設計的漏洞或“后門”而產生的問題隨著軟件系統規(guī)模的不斷增大，新的軟件產品開發(fā)出來，系統中的平安漏洞或“后門”也不行避開的存在，比如我們常用的操作系統，無論是Windows還是UNIX幾乎都存在或多或少的平安漏洞，眾多的各類服務器、閱讀器、一些桌面軟件等等都被發(fā)覺過存在平安隱患。大家熟識的一些病毒都是利用微軟系統的漏洞給用戶造成巨大損失,可以說任何一個軟件系統都可能會因為程序員的一個疏忽、設計中的一個缺陷等緣由而存在漏洞，不行能完備無缺。

2.5惡意網站設置的陷阱

互聯網世界的各類網站，有些網站惡意編制一些盜取他人信息的軟件，并且可能隱藏在下載的信息中，只要登錄或者下載網絡的信息就會被其限制和感染病毒，計算機中的全部信息都會被自動盜走，該軟件會長期存在你的計算機中，操作者并不知情，如“木馬”病毒。因此，不良網站和擔心全網站萬不行登錄，否則后果不行思議。2.6用戶網絡內部工作人員的不良行為引起的平安問題網絡內部用戶的誤操作，資源濫用和惡意行為也有可能對網絡的平安造成巨大的威逼。由于各行業(yè)，各單位現在都在建局域網，計算機運用頻繁，但是由于單位管理制度不嚴，不能嚴格遵守行業(yè)內部關于信息平安的相關規(guī)定，都簡單引起一系列平安問題。2.7競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以銷售為主的it行業(yè)，所以用戶信息異樣寶貴和重要，假如遭到競爭對手的惡意竊取、破壞以及攻擊，后果不行思議。3、平安系統建設原則（1）整體性原則：“木桶原理”，單純一種平安手段不行能解決全部平安問題;

（2）多重愛護原則：不把整個系統的平安寄予在單一平安措施或平安產品上;

（3）性能保障原則：平安產品的性能不能成為影響整個網絡傳輸的瓶頸;

（4）平衡性原則：制定規(guī)范措施，實現愛護成本與被愛護信息的價值平衡

;

（5）可管理、易操作原則：盡量采納最新的平安技術，實現平安管理的自動化，以減輕平安管理的負擔，同時減小因為管理上的疏漏而對系統平安造成的威逼;

（6）適應性、敏捷性原則：充分考慮今后業(yè)務和網絡平安協調發(fā)展的需求，避開因只滿意了系統平安要求，而給業(yè)務發(fā)展帶來障礙的狀況發(fā)生;

（7）高可用原則：平安方案、平安產品也要遵循網絡高可用性原則;

（8）技術與管理并重原則：“三分技術，七分管理”，從技術角度動身的平安方案的設計必需有與之相適應的管理制度同步制定，并從管理的角度評估平安設計方案的可操作性

（9）投資愛護原則：要充分發(fā)揮現有設備的潛能，避開投資的奢侈。4、網絡平安總體設計4.1需求分析依據xx企業(yè)滿意內部網絡機構，依據XXX企業(yè)各級內部網絡機構、廣域網結構、和三級網絡管理、應用業(yè)系統的特點，本方案主要從以下幾個方面進行平安設計：1、數據平安愛護,運用加密技術,愛護重要數據的保密性.2、網絡系統平安,防火墻的設置3、物理平安,應用硬件等安裝配置.4、應用系統平安,局域網內數據傳輸的平安保證.4.2方案綜述1、首先設置VPN,便利內網與外網的連接,虛擬專用網是對企業(yè)內部網的擴展.可以幫助遠程用戶,公司分支機構,商業(yè)伙伴及供應商同公司的內部網建立可信的平安連接，并保證數據(Data)的平安傳輸.虛擬專用網可以用于不斷增長的移動用戶的全球因特網接入，以實現平安連接；可以用于實現企業(yè)網站之間平安通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的平安外聯網虛擬專用網.2、設置防火墻，防火墻是對通過互聯網連接進入專用網絡或計算機系統的信息進行過濾的程序或硬件設備。所以假如過濾器對傳入的信息數據包進行標記，則不允許該數據包通過。能夠保證運用的網站的平安性，以及防止惡意攻擊以及破壞企業(yè)網絡正常運行和軟硬件，數據的平安。防止服務器拒絕服務攻擊.3、網絡病毒防護，采納網絡防病毒系統.在網絡中部署被動防衛(wèi)體系（防病毒系統）,采納主動防衛(wèi)機制（防火墻、平安策略、漏洞修復等），將病毒隔離在網絡大門之外。從總部到分支機構，由上到下，各個局域網的防病毒系統相結合，最終形成一個立體的、完整的企業(yè)網病毒防護體系。4、設置DMZ，數據冗余存儲系統.將須要愛護的Web應用程序服務器和數據庫系統放在內網中，把沒有包含敏感數據、擔當代理數據訪問職責的主機放置于DMZ中，這樣就為應用系統平安供應了保障。DMZ使包含重要數據的內部系統免于干脆暴露給外部網絡而受到攻擊，攻擊者即使初步入侵勝利，還要面臨DMZ設置的新的障礙。5、設置數據備份管理系統，特地備份企業(yè)重要數據。為避開客觀緣由、自然災難等緣由造成的數據損壞、丟失，可采納異地備份方式。6、雙重數據信息愛護，在重要部門以及工作組前設置交換機，可以在必要時候斷開網絡連接，防止網絡攻擊，并且設置雙重防火墻，進出的數據都將受到愛護。7、設置備份服務器，用于因客觀緣由、自然災難等緣由造成的服務器崩潰。8、廣域網接入部分,采納入侵檢測系統（IDS）。對外界入侵和內部人員的越界行為進行報警。在服務器區(qū)域的交換機上、Internet接入路由器之后的第一臺交換機上和重點愛護網段的局域網交換機上裝上IDS。9、系統漏洞分析。采納漏洞分析設備。5、平安設備要求5.1硬件設備1、pc機若干臺,包括網絡管理機,員工工作用機；干臺,包括網絡管理機,員工工作用機；2、交換機2臺；3、服務器4臺；4、防火墻5臺；5、內外網隔離卡6、AMTTinnFORIDS。5.2軟件設備

1、病毒防衛(wèi)系統；2、查殺病毒軟件；3、訪問限制設置。技術支持與服務6.1虛擬網技術虛擬網技術主要基于近年發(fā)展的局域網交換技術(ATM和以太網交換）。交換技術將傳統的基于廣播的局域網技術發(fā)展為面對連接的技術。因此，網管系統有實力限制局域網通訊的范圍而無需通過開銷很大的路由器.由以上運行機制帶來的網絡平安的好處是自不待言的：信息只到達應當到達的地點。因此、防止了大部分基于網絡監(jiān)聽的入侵手段。通過虛擬網設置的訪問限制，使在虛擬網外的網絡節(jié)點不能干脆訪問虛擬網內節(jié)點。以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，事實上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（變更）問題。但是，采納基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面運用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。6.2防火墻技術網絡防火墻技術是一種用來加強網絡之間訪問限制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,愛護內部網絡操作環(huán)境的特別網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式依據肯定的平安策略來實施檢查,以確定網絡之間的通信是否被允許,并監(jiān)視網絡運行狀態(tài).6.2.1包過濾型包過濾型技術是防火墻技術的一種,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為肯定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來推斷這些"包"是否來自可信任的平安站點,一旦發(fā)覺來自危急站點的數據包,防火墻便會將這些數據拒之門外.系統管理員也可以依據實際狀況敏捷制訂推斷規(guī)則.6.3病毒防護技術病毒歷來是信息系統平安的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web巡游傳播，主要是惡意的Java控件網站。(4)通過群件系統傳播。病毒防護的主要技術如下：(1)阻擋病毒的傳播。在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。運用防病毒軟件檢查和清除病毒。(3)病毒數據庫的升級。病毒數據庫應不斷更新，并下發(fā)到桌面系統。(4)在防火墻、代理服務器及PC上安裝Java及ActiveX限制掃描軟件，禁止未經許可的控件下載和安裝。6.4入侵檢測技術入侵檢測系統是近年出現的新型網絡平安技術，目的是供應實時的入侵檢測及實行相應的防護手段，如記錄證據用于跟蹤和復原、斷開網絡連接等。實時入侵檢測實力之所以重要首先它能夠應付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統可分為兩類：√基于主機√基于網絡基于主機及網絡的入侵監(jiān)控系統通常均可配置為分布式模式：(1)在須要監(jiān)視的服務器上安裝監(jiān)視模塊(agent)，分別向管理服務器報告及上傳證據，供應跨平臺的入侵監(jiān)視解決方案。(2)在須要監(jiān)視的網絡路徑上，放置監(jiān)視模塊(sensor),分別向管理服務器報告及上傳證據，供應跨網絡的入侵監(jiān)視解決方案。6,5平安掃描技術平安掃描技術與防火墻、平安監(jiān)控系統相互協作能夠供應很高平安性的網絡。6.6認證和數字簽名技術認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種詳細技術，同時數字簽名還可用于通信過程中的不行抵賴要求的實現。認證技術將應用到企業(yè)網絡中的以下方面：(1)路由器認證，路由器和交換機之間的認證。(2)操作系統認證。操作系統對用戶的認證。(3)網管系統對網管設備之間的認證。(4)VPN網關設備之間的認證。(5)撥號訪問服務器與客戶間的認證。(6)應用服務器(如WebServer)與客戶的認證。(7)電子郵件通訊雙方的認證。數字簽名技術主要用于：(1)基于PKI認證體系的認證過程。(2)基于PKI的電子郵件及交易(通過Web進行的交易)的不行抵賴記錄。6.7VPN技術完整的集成化的企業(yè)范圍的VPN平安解決方案，供應在INTERNET上平安的雙向通訊，以及透亮的加密方案以保證數據的完整性和保密性。企業(yè)網絡的全面平安要求保證：保密-通訊過程不被竊聽。通訊主體真實性確認-網絡上的計算機不被假冒。6.8應用系統的平安技術Internet域名服務為Internet/Intranet應用供應了極大的敏捷性。幾乎全部的網絡應用均利用域名服務。1、Server常常成為Internet用戶訪問公司內部資源的通道之一，如Webserver通過中間件訪問主機系統，通過數據庫連接部件訪問數據庫，利用CGI訪問本地文件系統或網絡系統中其它資源