中小企业信息网络安全解决方案

《中小企业信息网络安全解决方案》由会员分享，可在线阅读，更多相关《中小企业信息网络安全解决方案（3页珍藏版）》请在金锄头文库上搜索。

1、 中小企业信息网络安全解决方案中小企业信息网络安全解决方案 中小企业的信息安全 建设可以根据各自的条件采用不同的策略。绿盟科技针对中小企业信 息安全的特点制定出三种中小企业安全方案。见下表：分类防护措施说明访问控制系统+防病毒最基本的安全措施：防 火墙系 统与网络防病毒系统，通常可 以抵挡住 70%的攻击行为；入侵检测系统网络入侵检测系统可以 帮助用 户动态发现内部和外部的入侵 企图，及时阻断，也便于查找 攻击破坏源，缩短响应时间， 降低攻击损失程度；经济型（适用于主机数100 用 户以下）定期脆弱性评估、维护 服务简单而有必要的的安全 服务内 容能发现更多的安全隐患；做 到提前预知与防护；访

2、问控制系统+防病毒（含垃圾 邮件防护模块）最基本的安全措施，通 常已经 建设但需要增加必要的模块； 如防垃圾邮件模块；入侵检测系统+风险评估系统 （64 地址用户即可）根据实际情况可进行分 布式部 署入侵检测系统与中心节点的 风险评估系统，建立动态、实 时、周期性防护体系；标准型（适用于主机数100-300 用 户）日常咨询服务+紧急响应必要的安全咨询服务于 紧急响 应来解决日常安全问题和突发 安全事件，是中小企业中对实 时性要求较高的企业不可缺少 的一部分；咨询服务+整体风险评估便于进行全方位的安全 架构设 计；发现更多的未知安全隐患；访问控制系统（含 VPN 模块）+ 防病毒（含垃圾邮件防

3、护模块）充分考虑系统的可扩展 性，保 护用户投资；分布式入侵检测系统 （或多网 段检测）+ 风险评估系统（一个 C 类 地址即可）可进行分布式部署发现 多个网 段的异常信息流与内部关键字 信息定制；建立定期严格的安 全评估策略；专用抗拒绝服务系统保护用户实时发布系统 和对外 网站系统的电子商务平台等， 便于提升服务质量；增强型（适用于主机数300-800 用 户）日常咨询+紧急响应便于处理日常问题或突 发事件 的产生；安全制度+安全培训必要的安全管理措施与 安全基 础培训能增强整体安全水准， 提高安全意识；以上三种方案可以满 足绝大多数中小企业用户现阶段信息网络安全建设的需要。下面我们通过一个

4、简 单的案例来了解一下信息网络安全建设的实例：国内一知名电子设备制 造企业，有员工 1000 人左右，内部主机总数约 400 台。 整个网络采用分层的单出口结构，接入层采用一台 CISCO 设备，通过一条至电 信部门的 10M 专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、 财务办公、部分电子商务以及客户关系管理系统、人事管理系 统等。企业总部设在广州，在南京有一分支机构。网络曾经过多次改造扩建，目前初具规模，设备主要采用 CISCO 设备，服务器系统大多数采用 Windows 系列，提供服务的服务器目前有 5 台，正打算扩展部分服务系统；此外还有内部服务器系统，主要做用户文件管理

5、与共享；内部网络各子网分布在不同的楼层，在交 换设备上作了 VLAN 的划分，各子网间不允许互访。财务网络采用独立网段，与其它子网逻辑隔离；不允许进行外部访问，只可以通过电话线路拨号上网。分支机 构和部分出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。（如上图所示）该企业由于内部网上 病毒危害较大，采购了一套国外网络防病毒系统；网络管理人员对服务器系统大约 2 个月左右进行升级一次，此外在路由设备上作了基本的地址转换等访问控制规则 设置。实际情况是仅采取以 上措施仍然没有达到预期效果，发生了多起严重的安全事件：蠕虫爆发造成了网络阻塞；垃圾邮件占用了邮件服务器过多的空间；web

6、服务时常中断，在采用监听 工具查找时，发现了经常被外部扫描窥探的痕迹；内部员工在上班时间利用网络做大流量文件传输，严重占用了网络带宽资源，经常会影响到正常的业务信息查询等 工作；此外还有内部员工出于好奇作一些尝试性的攻击破坏，使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此，该公司信息管理人员深感安全 防护已经成为迫在眉睫的工作。在对网络实际情况进行了详细的分析之后决定为其选择“增强型方案”.在经过整体分析后，整体 安全需求及解决方法描述如下表：安全需求需求说明解决方法边界安全服务器以及内部网络和 外 部网络连接处的入口，保证 服务器区以及内部资源不被 非法访问；在防火墙系统中设

7、 VPN 模块，防止各种 非授权访问，也满足了分支机构的访问 和移动办公的安全访问需 要；对于财务 网络还设置了代理服务器多重保护；抗拒绝服务不仅仅能对内部各服务器系 统进行抗拒绝服务保护，还 能够对防火墙系统进行防护；设置专业防拒绝服务的 专用黑洞系统、 ；入侵检测对于分布环境下重要网 段 的攻击检测，发现来源于内 部或外部的攻击，进行记录 和阻断；也便于发现网络内 部的异常信息流，如访问非 法网站、内部异常扫描、非 主流业务的大流量传输 等； 对于蠕虫大规模爆发时即可 以查出源地址，便于及时进 行处理；利用基于网络的分布式 入侵检测技术， 在服务器区以及在内部网络各子网接入 部分部署入侵检

8、测系统；在后期建设中 随着网络规模的扩大，在各子网中也可 以部署入侵检测系统，并且采用 同一控 制台进行集中统一管理；安全检查保证动态网络在变化时 的 风险检测，同时评估安全风 险变化和安全工程的作用；部署专业级风险评估系 统，周期性对网 络内部进行评估检测，提供专家级补救 建议；安全服务保证网络遇到各种突发 安 全事件时能得到妥善处理； 在日常维护中提供专家级咨 询服务；并有利于提高整体 安全意识等，满足动态性安 全需要；在进行安全项目实施前 作一次脆弱性安 全评估，确定整体安全策略；提供一年 内安全咨询、紧急响应、安全通告、专 业安全培训、安全制度的更新完善；项目所采取的安全系统考虑到了现阶段的需求，并充分考虑到今后的扩展性，整个安全系统的投入仅占信息网络整体建设的 8%。此项目的设计与实施得到了该信息 中心的高度认可，网络至今运行稳定可靠，过去所遇到的问题和未发现的严重安全隐患均得到了有效的解决。网络管理人员和各类业务人员参加培训之后对安全体系 的认识有了显著的提高，出台了各种安全制度，完善了安全策略措施，该企业的领导对信息化的进一步建设也表示出了从未有过的信心。