《企业网络安全方案的设计说明》由会员分享,可在线阅读,更多相关《企业网络安全方案的设计说明(15页珍藏版)》请在金锄头文库上搜索。
1、海南经贸职业技术学院信息技术系网络安课全程设计报告题目XX网络安全方案的设计学号班 级网络工程06-1班姓 名王某某指导老师王天明设计企业网络安全方案摘 要:在这个信息技术飞速发展的时代, 许多有远见的企业都认识到很有必要 依托先进的 IT 技术构建企业自身的业务和运营平台来极大地提升企业的核心竞 争力,使企业在残酷的竞争环境中脱颖而出。 经营管理对计算机应用系统的依赖 性增强,计算机应用系统对网络的依赖性增强。 计算机网络规模不断扩大, 网络 结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高 的要求。本文主要通过安全体系建设原则、 实例化的企业整体网络安全方案以及 该方
2、案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。关键词: 信息安全、企业网络安全 、安全防护一、引言 随着国内计算机和网络技术的迅猛发展和广泛普及, 企业经营活动的各种业 务系统都立足于 Internet/Intranet 环境中。但随之而来的安全问题也在困扰着 用户。 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时, 对安全提出了更高的要求。 一旦网络系统安全受到严重威胁, 甚至处于瘫痪状态, 将会给企业、 社会、 乃至整个国家带来巨大的经济损失。 应此如何使企业信息网 络系统免受黑客和病毒的入侵, 已成为信息事业健康发展所要考虑的重要事情之 一。一般企
3、业网络的应用系统,主要有 WEB E-mail、OA MIS、财务系统、人 事系统等。 而且随着企业的发展, 网络体系结构也会变得越来越复杂, 应用系统 也会越来越多。 但从整个网络系统的管理上来看, 通常包括内部用户, 也有外部 用户,以及内外网之间。 因此, 一般整个企业的网络系统存在三个方面的安全问 题:(1)Internet 的安全性:随着互联网的发展,网络安全事件层出不穷。近 年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响 最为广泛的安全威胁。 对于企业级用户, 每当遭遇这些威胁时, 往往会造成数据 破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接
4、的经济损失 也很大。2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员 工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、 消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企 业机密,从而导致企业数千万美金的损失。 所以企业内部的网络安全同样需要重 视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算 机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段 来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措 施等。(3)内部网络之间、内外网络之间的连接安全:随着企业的发展壮大及移动
5、办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互 动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保 证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的 问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。、以某公司为例,综合型企业网络简图如下, 分析现状并分析 需求:千网二图说明 图一 企业网络简图对该公司的信息安全系统无论在总体构成、 信息安全产品的功能和性能上也 都可能存在一定的缺陷,具体表现在:(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在 较大的风险。( 2)原有的网络安全产品在功能和性能上
6、都不能适应新的形势, 存在一定的 网络安全隐患,产品亟待升级。( 3)经营管理对计算机应用系统的依赖性增强, 计算机应用系统对网络的依 赖性增强。 计算机网络规模不断扩大, 网络结构日益复杂。 计算机网络和计算机 应用系统的正常运行对网络安全提出了更高的要求。( 4)计算机应用系统涉及越来越多的企业关键数据, 这些数据大多集中在公 司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证, 加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。由以上分析可知该公司信息系统存在较大的风险, 信息安全的需求主要体现 在如下几点:( 1)某公司信息系统不仅需要安全可靠的计算
7、机网络, 也需要做好系统、 应 用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护 的覆盖面,增加新的安全防护手段。( 2)网络规模的扩大和复杂性的增加, 以及新的攻击手段的不断出现, 使某 公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要 求,为此要加快规章制度和技术规范的建设, 使安全防范的各项工作都能够有序、 规范地进行。(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务, 做好事前、 事中和事后的各项防范工作, 应对不断出现的各种安全威胁, 也是某 公司面临的重要课题。
8、三、设计原则安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下:1. 标准化原则2. 系统化原则3. 规避风险原则4. 保护投资原则5. 多重保护原则6. 分步实施原则四、企业网络安全解决方案的思路1. 安全系统架构安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方 案设计和分析的基础。随着针对应用层的攻击越来越多、 威胁越来越大,只针对网络层以下的安全 解决方案已经不足以应付来自应用层的攻击了。 举个简单的例子,那些携带着后 门程序的蠕虫病毒是简单的防火墙 VPN安全体系所无法对付的。因此我们建议企
9、 业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界 设置防火墙vpn还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施, 将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部 网之外。2. 安全防护体系信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态 的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动3. 企业网络安全结构图通过以上分析可得总体安全结构应实现大致如图三所示的功能图说明图三总体安全结构图五、整体网络安全方案1. 网络安全认证平台证书
10、认证系统无论是 企业内部的信息网络还是外部的网络平台, 都必须建立 在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用 PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安 全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统, 建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:1 )身份认证(Authentication):确认通信双方的身份,要求通
11、信双方 的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。2 )数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。3)数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改), 通过哈希函数和数字签名来完成。4)不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通 信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。2. VPN系统VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网 络通过公用骨干网(如In
12、 ternet)连接而成的逻辑上的虚拟专用网。和传统的物 理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安 全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、圭寸装 以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集中的安全策略管理可以对整个 VPN网络的安全策略进行集中管理 和配置。3. 网络防火墙采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器 子网通过单独的防火墙设备进行防护。其网络结构
13、一般如下:分支机构防火堵/YPN图说明图四防火墙此外在实际中可以增加入侵检测系统, 作为防火墙的功能互补,提供对监控 网段的攻击的实时报警和积极响应等功能。4. 病毒防护系统应强化病毒防护系统的应用策略和管理策略,增强勤业网络的病毒防护功 能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网络防病毒体系在网 络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统一、集中管理,实时掌握、了解当前网络内计算机病毒事件, 并实现对网络内的所有计算 机远程反病毒策略设置和安全操作。5. 对服务器的保护在一个企业中对服务器的
14、保护也是至关重要的。在这里我们选择电子邮件为 例来说明对服务器保护的重要性。电子邮件是In ternet上出现最早的应用之一。随着网络的快速 发展,电子 邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上 传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。目前广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME( SecureMultipurpose In ternet Mail Exte nsio ns ),它是从 PEM(Privacy En ha need Mail) 和MIME(Internet 邮件的附件标准)发展而来的。首先,
15、它的认证机制依赖于 层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责 认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状 的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内 容的安全性。下图五是邮件系统保护的简图(透明方式):图说明图五邮件系统保护6. 关键网段保护企业中有的网段上传送的数据、 信息是非常重要的,应此对外应是保密的 所以这些网段我们也应给予特别的防护。简图如下图六所示。內部网络图说明图六关键网段的防护7. 日志分析和统计报表能力对网络内的安全事件也应都作出详细的日志记录, 这些日志记录包括事件名 称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发 生的各种事件,有助于管理人员提高网络的安全管理。8. 内部网络行为的管理和监控除对外的防护外,对网络内的上网行为也应该进行规范,并监控上网行为, 过滤网页访问,过滤邮件,限制上网聊天行为,阻止不正当文件的下载。企业内 部用户上网信息识别度应达到每一个 URL请求和每一个URL请求的回应。通过对 网络内部网络行
