《网络安全解决方案设计》

《《网络安全解决方案设计》》由会员分享，可在线阅读，更多相关《《网络安全解决方案设计》（14页珍藏版）》请在金锄头文库上搜索。

1、网络安全解决方案设计网络安全解决方案设计范文1一、客户背景集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团广域网采用MPLS技术，用来为各个分公司提供骨干网络平台和接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。二、安全威胁某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部采用无纸化办公，OA系统成熟。每个局域网连接着该所有部门，所有的数据都从局域网中传递。同时，各分公司采用技术连接公司总部。该单位为了方便，将相当一部分业务放在了对外开放的网站上，网站也成为了既是对外形象窗口乂是内部办公窗口。（安由于网络设计部署上

2、的缺陷，该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况，同时有些个别机器上的杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间都持续几十分钟，网管简直成了救火队员，忙着清除病毒，重装系统。对外WE酮站同样也遭到黑客攻击，网页遭到非法篡改，有些网页甚至成了传播不良信息的平台，不仅影响到网站的正常运行，而且还对政府形象也造成不良影响全威胁根据拓扑图分析）从网络安全威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等信息安全现状：经过分析发现该公司信息安全基本上是空白，主要有以下问题：公司没有制定信息安全政策，信息管理不健全。公司在建内网时与

3、internet的连接没有防火墙。内部网络（同一城市的各分公司）之间没有任何安全保障为了让网络正常运行。根据我国信息安全等级保护管理办法的信息安全要求，近期公司决定对该网络加强安全防护，解决目前网络出现的安全问题。三、安全需求从安全性和实用性角度考虑，安全需求主要包括以下几个方面：1、安全管理咨询安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。2、集团骨干网络边界安全主要考虑骨干网络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。3、集团骨干网络服务器安全主要考虑骨干网络中网关服务器和集团内部

4、的服务器，包括OA财务、人事、内部WE澹内部信息系统服务器区和安全管理服务器区的安全。4、集团内联网统一的病毒防护主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。5、统一的增强口令认证系统由于系统管理员需要管理大虽的主机和网络设备，如何确保口令安全称为一个重要的问题。6、统一的安全管理平台通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。7、专业安全服务过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行

5、主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。四、方案设计骨干网边界安全集团骨干网共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrustCyberwall-200F/006防火墙台O在Internet出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流H镜像到入侵检测的监听端口，LinkTrustNetworkDefender可以实时监控网络中的异常流防止恶意入侵。在各个分公司中添加一个DMZE,保证各公司的信息安全，内部网络（同

6、一城市的各分公司）之间没有任何安全保障骨干网服务器安全集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA财务、人事、内部WE暗，以及专为此次项目配置的、用于安全产品管理的服务器的安全。主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统，在网络中配置白兆网络入侵检测系统，实现主机及网络层面的主动防护。漏洞扫描了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。安全评估主

7、要分成网络安全评估、主机安全评估和数据库安全评估三个层面。内联网病毒防护病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络安全的病毒防护方面应该采用多级防范，集中管理，以防为主、防治结合的动态防毒策略。病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。增强的身份认证系统由于需要管理大虽的主机和网络设备，如何确保口令安全也是一个非常重要的问题。减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素，而且需要第二个要素，也即用户拥有的，通常是认证令牌，这种双

8、因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外，还必须拥有一个认证令牌。而且口令一般是一次性的，这样每次的口令是动态变化的，大大提高了安全性。统一安全平台的建立通过建立统一的安全管理平台（安全运行管理中）L、SOC）,建立起集团的安全风险监控体系，利于从全局的角度发现网络中存在的安全问题，并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。网络安全解决方案设计范文21.1安全系统建设目标本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全

9、管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。1）将安全策略、硕件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险；2）通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；3）使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制；其次，对于通过对网络的流虽进行实时监控，对重要服务

10、器的运行状况进行全面监控。1.1.1防火墙系统设计方案1.1.1.1防火墙对服务器的安全保护网络中应用的服务器，信息虽大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为黑客攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着黑客各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防

11、止了绝大部分外界攻击。1.1.1.2防火墙对内部非法用户的防范网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的

12、威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOSS件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用黑客工具造成严重破坏。1.1.2入侵检测系统利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网

13、络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方，如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域，可以单独各部署一套网络监控系统（管理器+探测引擎），也可以在每个需要保护的地方单独部署一个探测引擎，在全网使用一个管理器，这种

14、方式便于进行集中管理。在内部应用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的所有操作，在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时，网络监视器还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。需要说明的是，不仅仅是简单的补充IDS是对防火墙的非常有必要的附加而按照现阶段的网络及系统环境划分不同的网络安全风险区域，xxx市政府本期网络安全系统项目的需求为：区域部署安全产品内网连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型白兆防火墙；在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器；在主干交换机上安装NetHaw

15、k网络安全监控与审计系统；在内部工作站上安装趋势防毒墙网络版防病毒软件；在各服务器上安装趋势防毒墙服务器版防病毒软件。DMZ区在服务器上安装趋势防毒墙服务器版防病毒软件；安装一台InterScanVirusWall防病毒网关；安装白兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。安全监控与备份中心安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系统控制台和白兆探测器；安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。网络安全解决方案设计范文3网络信息系统的安全技术体系通常是在安全策略指导

16、下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。网络系统安全具备的功能及配置原则1. 网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。2. 漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。3. 入侵检测与响应。通过对特定网络（段）、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动（如断开网络连接和服务、记录攻击过程、加强审计等）O4. 加密保护。主动的加密通信，可使攻击者不能了解、修改敏感信息（如方式）或数