企业网络安全方案设计-最新版本

('海南经贸职业技术学院信息技术系︽网络安案全例︾设计报告题目企业网络平安方案的设计学号班级11级网络1班姓名XXX指导教师XXX页脚下载后可删除，如有侵权请告知删除！目录摘要：.......................................................................................................2一、引言....................................................................................................2二、以某公司为例，综合型企业网络简图如下，分析现状并分析需求：............................................................................................................3三、设计原那么........................................................................................5四、企业网络平安解决方案的思路........................................................5〔一〕平安系统架构..........................................................................5〔二〕平安防护体系..........................................................................6〔三〕企业网络平安构造图..............................................................6五、整体网络平安方案............................................................................7〔一〕网络平安认证平台..................................................................7〔二〕VPN系统................................................................................8〔三〕网络防火墙..............................................................................8〔四〕病毒防护系统..........................................................................9〔五〕对效劳器的保护....................................................................10〔六〕日志分析和统计报表能力....................................................11〔七〕内部网络行为的管理和监控...............................................11〔八〕身份认证的解决方案............................................................13六、方案的组织与实施方式..................................................................13七、总结..................................................................................................14教师评语：..............................................................................................15设计企业网络平安方案摘要：随着互联网的不断更新与开展，它给我们带来了极大的利益和方便。但是，随着互联网的空前开展以及互联网技术的普及，使我们面临另外提个困境：私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下，伴随而来的网络平安问题越来越引起人们的关注。计算机系统一旦遭受破坏，将给使用单位造成重大经济损失，并严重影响正常工作的顺利开展。加强企业网络平安工作，是一些企业建立工作的重要工作内容之一。关键词：信息平安、企业网络平安、平安防护一、引言随着互联网的空前开展以及互联网技术的不断普及，企业的重要数据信息页脚下载后可删除，如有侵权请告知删除！都被暴露在公共网络空间下，很容易丧失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等，都有可能威胁到重要信息数据，这些危害也越来越受到人们的重视。因此，根据企业的实际情况建立一套切实可行的平安网络方案来改善这个情况，如何使企业信息网络系统免受黑客和病毒的入侵，使企业的数据机密信息得以保护，并且可以保证企业的网络顺畅的工作，有助于公司的长远开展。网络平安技术是指致力于解决诸如如何有效进展介入控制，以及如何保证数据传输的平安性的技术手段，主要包括物理的平安分析技术，网络构造平安分析技术，系统平安分析技术，管理平安分析技术，以及其他的平安效劳和平安机制策略。21世纪全世界的计算机都将通过Internet联到一起，信息平安的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候，我国将建立起一套完整的网络平安体系，特别是从政策上和法律上建立起有中国自己特色的网络平安体系。网络平安产品有以下几大特点：第一，网络平安来源于平安策略与技术的多样化，如果采用一种统一的技术和策略也就不平安了；第二，网络的平安机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络平安技术是一个十分复杂的系统工程。为此建立有中国特色的网络平安体系，需要国家政策和法规的支持及集团联合研究开发。平安与反平安就像矛盾的两个方面，总是不断地向上攀升，所以平安产业将来也是一个随着新技术开展而不断开展的产业。信息平安是国家开展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来开展它。政府不仅应该看见信息平安的开展是我国高科技产业的一局部，而且应该看到，开展平安产业的政策是信息平安保障系统的一个重要组成局部，甚至应该看到它对我国未来电子化、信息化的开展将起到非常重要的作用。二、以某公司为例，综合型企业网络简图如下，分析现状并分析需求：页脚下载后可删除，如有侵权请告知删除！图说明图一企业网络简图〔一〕对该公司的信息平安系统无论在总体构成、信息平安产品的功能和性能上也都可能存在一定的缺陷，具体表现在：〔1〕系统性不强，平安防护仅限于网络平安，系统、应用和数据的平安存在较大的风险。〔2〕原有的网络平安产品在功能和性能上都不能适应新的形势，存在一定的网络平安隐患，产品亟待升级。〔3〕经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络构造日益复杂。计算机网络和计算机应用系统的正常运行对网络平安提出了更高的要求。〔4〕计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。〔二〕由以上分析可知该公司信息系统存在较大的风险，信息平安的需求主要表达在如下几点：〔1〕某公司信息系统不仅需要平安可靠的计算机网络，也需要做好系统、应用、数据各方面的平安防护。为此，要加强平安防护的整体布局，扩大平安防护的覆盖面，增加新的平安防护手段。〔2〕网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络平安面临更大的挑战，原有的产品进展升级或重新部署。〔3〕信息平安工作日益增强的重要性和复杂性对平安管理提出了更高的要求，为此要加快规章制度和技术标准的建立，使平安防范的各项工作都能够有序、标准地进展。〔4〕信息平安防范是一个动态循环的过程，如何利用专业公司的平安效劳，做好事前、事中和事后的各项防范工作，应对不断出现的各种平安威胁，也是页脚下载后可删除，如有侵权请告知删除！某公司面临的重要课题。三、设计原那么平安体系建立应按照“统一规划、统筹安排、统一标准、分步实施〞的原那么进展，防止重复投入、重复建立，充分考虑整体和局部的利益。具体如下：1.技术先进性原那么2.系统性原那么3.管理可控性原那么4.技术与管理相结合原那么5.多重保护原那么6.系统可伸缩性原那么7.测评认证原那么四、企业网络平安解决方案的思路〔一〕平安系统架构一个网络系统的平安建立通常包括许多方面，包括物理平安、数据平安、网络平安、系统平安、平安管理等，而一个平安系统的平安等级，又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网构造、和三级网络管理、应用业务系统的特点，平安方案必须架构在科学网络平安系统架构之上，因为平安架构是平安方案设计和分析的根底。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的平安解决方案已经缺乏以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN平安体系所无法对付的。因此我们建议企业采用立体多层次的平安系统架构。这种多层次的平安体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。〔二〕平安防护体系信息平安防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息平安防范体系模型显示平安防范是一个动态的过程，事前、事中和事后的技术手段应当完备，平安管理应贯穿平安防范活动的始终。如图二所示：页脚下载后可删除，如有侵权请告知删除！图说明图二网络与信息平安防范体系模型〔三〕企业网络平安构造图通过以上分析可得总体平安构造应实现大致如图三所示的功能:页脚下载后可删除，如有侵权请告知删除！图说明图三总体平安构造图五、整体网络平安方案〔一〕网络平安认证平台证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个平安可信的网络之上。目前，解决这些平安问题的最正确方案当数应用PKI/CA数字认证效劳。PKI(PublicKeyInfrastructure，公钥根底设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的平安体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等平安问题，为网络应用提供可靠的平安保障，向用户提供完整的PKI/CA数字认证效劳。通过建立证书认证中心系统，建立一个完善的网络平安认证平台，能够通过这个平安平台实现以下目标：1.身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。2.数据的机密性(Confidentiality)：对敏感信息进展加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。3.数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。4.不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为成认和负责，通过数字签名来完成，数字签名可作为法律证据。〔二〕VPN系统一个完全私有的网络可以解决许多平安问题，因为很多恶意攻击者根本无法进入网络实施攻击。但是，对于一个普通的地理覆盖范围广的企业或公司，要搭建物理上私有的网络，往往在财政预算上是不合理的。VPN技术就是为了解决这样一种平安需求的技术。VPN的英文全称是“VirtualPrivateNetwork〞，翻译过来就是“虚拟专用网络〞。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了页脚下载后可删除，如有侵权请告知删除！一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购置路由器等硬件设备。集中的平安策略管理可以对整个VPN网络的平安策略进展集中管理和配置。〔三〕网络防火墙采用防火墙系统实现对内部网和广域网进展隔离保护。其网络构造一般如下：图说明图四防火墙安装好专业切功能强劲的防火墙，来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络之间的平页脚下载后可删除，如有侵权请告知删除！安防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet〔外部网〕的传输信息或从内部网络发出的信息都必须穿过防火墙。入侵行为的觉察。它通过对计算机网络或计算机系统中假设干关键点收集信息，并对其进展分析，从中发现网络或系统中是否有违反平安策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他平安产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进展分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络平安的运行。〔四〕病毒防护系统基于单位目前网络的现状，在网络中添加一台效劳器，用于安装IMSS。1.邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件效劳器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并去除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。2.效劳器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有效劳器的防毒系统可以从单点进展部署，管理和更新。3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进展更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。页脚下载后可删除，如有侵权请告知删除！4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进展配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于效劳器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。〔五〕对效劳器的保护效劳器的平安对企业来说是至关重要的，近几年来，效劳器遭遇“黑手〞的风险越来越大，就最近效劳器遭遇病毒、黑客攻击的新闻不绝于耳。首先，这些恶意的攻击行为，旨在消耗效劳器资源，影响效劳器的正常运作，甚至攻击到效劳器所在网络瘫痪。还有一方面，就是入侵行为，这种大多与某些利益有关联，有的涉及到企业的敏感信息，有的是同行相煎。目前广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)开展而来的。首先，它的认证机制依赖于层次构造的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系根本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的平安性。下列图五是邮件系统保护的简图〔透明方式〕:页脚下载后可删除，如有侵权请告知删除！图说明图五邮件系统保护〔六〕日志分析和统计报表能力所有的网站统计报告都是一样的么？日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息，所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和准确的页面浏览量统计。如果很清楚的理解这些工具是怎样进展统计的，您将能更好的理解两种报告的差异，并协调使用不同的数据，从而帮助您在营销和市场活动中做出更有效的决定。对网络内的平安事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的平安管理。〔七〕内部网络行为的管理和监控页脚下载后可删除，如有侵权请告知删除！内部网络行为监管审计系统是在网络整体平安解决方案的根底上，综合了党政机关内部网络的平安需求，采取多层架构、分布式设计，可满足党政机关以及企事业单位对保障数据、信息的平安性及完整性的迫切要求。对内部网络行为的管理监控结果有效，审计结果取证完整、记录可信。以下是几种系统：1.监控中心控制台运行在Windows2000各种版本/WindowsXP下，对系统平安策略进展统一管理与发布，对系统的平安设备及配置进展统一管理，对系统的日志进展审计、分析、报告，对平安事件进展应急响应和处理，可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别效劳器运行在Windows2000Server版本下，采用一次一变的动态口令，有效的解决了一般静态口令易截取、易窃听、易猜想等平安隐患，用于内部网使用人员的身份管理和网络平安管理员身份的认证控制。3.受控主机代理运行在Windows2000各种版本/WindowsXP下，根据监控中心控制台设置的策略规那么〔包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等〕，实时进展信息采集，阻止违规操作，将违规操作报警到控制台。4.邮件监控器代理运行在Windows2000各种版本下，安装在邮件效劳器中，根据监控中心控制台设置的邮件策略规那么，根据时间段、计算机的IP地址、Email地址进展阻止、报警，将违规操作报警到控制台。5.网络感应器代理运行在Windows2000各种版本/WindowsXP下，采集网络中的信息流量，根据控制台的要求，将采集的网络信息流量上传到控制台，进展审计统计。并可实时检测出网络内非法接入的其它设备。那么内网综合保护简图如下列图七所示：页脚下载后可删除，如有侵权请告知删除！图说明图七内网综合保护〔八〕身份认证的解决方案身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年开展起来的一种方便、平安的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了平安性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用平安组件、客户端平安组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性平安技术体系，从而实现上述身份证、授权与访问控制、平安审计、数据的机密性、完整性、抗抵赖性的总体要求。六、方案的组织与实施方式由以上的分析及设计，可知网络与信息平安防范体系流程主要由三大局部组成：攻击前的防范、攻击过程中的防范和攻击后的应对。具体的平安管理贯页脚下载后可删除，如有侵权请告知删除！穿全流程图，如图八所示。平安管理贯穿全流程图不仅描述了平安防范的动态过程，也为本方案的实施提供了借鉴。图说明图八平安管理贯穿全流程图因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：(1)在初步进展风险分析根底上，方案实施方应进展进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。(2)把应急响应和事故恢复作为技术方案的一局部，必要时可借助专业公司的平安效劳，提高应对重大平安事件的能力。(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。〔4〕在方案实施的同时，加强规章制度、技术标准的建立，使信息平安的日常工作进一步制度化、标准化。七、总结本课程设计以某公司为例，分析了网络平安现状，重点提出了管理技术和维护技术。随着现在的开展，网络的不平安因素很多，网络管理和维护尤其重要，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方页脚下载后可删除，如有侵权请告知删除！面，从技术手段的改良，到规章制度的完善；从单机系统的平安加固，到整体网络的平安管理。也希望通过本方案的实施，可以建立较完善的信息平安体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。教师评语：【本文档内容可以自由复制内容或自由编辑修改内容期待你的好评和关注，我们将会做得更好】页脚下载后可删除，如有侵权请告知删除！',)