《企业网络安全解决方案》由会员分享,可在线阅读,更多相关《企业网络安全解决方案(14页珍藏版)》请在金锄头文库上搜索。
1、哈尔滨华德学院计算机应用技术系目 录第1章 绪论111.1 课题背背景11.2 目的和和意义11第2章 需求分分析22.1 企业网网络安全全现状和和威胁222.1.1互联联网安全全:22.1.2企业业内部网网安全:22.1.3内网网与内网网、内网网与外网网之间的的连接安安全:222.2 企业网网络安全全需求分分析22.2.1网络络的可用用性:32.2.2业务务系统的的可用性性:32.2.3数据据机密性性:32.2.4访问的的可控性性:32.2.5网络络操作的的可管理理性:3第3章 设备选选型及管管理43.1 安全产产品选型型原则443.2 UTMM(统一一威胁管管理)44第4章 总体设设计64
2、.1 整体结结构描述述64.2 网络安安全基础础设施664.3 边界防防护和网网络的隔隔离74.4 桌面安安全防护护74.4.1电子子签章系系统74.4.2安全全登录系系统74.4.3文件件加密系系统84.5 身份认认证84.6 安全电电子邮件件8第5章 总结99参考文献献911第1章 绪论1.1 课题背景景Inteerneet的迅迅猛发展展不仅带带动了信信息产业业和国民民经济的的快速增增长,也也为企业业的发展展带来了了重大商商机。以以Intternnet 为代表表的信息息技术的的发展不不仅直接接影响着着企业科科技的创创新能力力和生产产效率的的提高,也也逐渐成成为提高高企业竞竞争力的的重要力力
3、量。随随着中小小型企业业信息化化建设的的逐步完完善,企企业业务务对于网网络的依依赖性也也越来越越大,但但同时也也受到互互联网络络的安全全威胁,如如黑客和和病毒攻攻击,因因此对于于网络安安全的需需求也越越来越强强烈。1.2 目的和意意义一方面,随随着计算算机技术术、信息息技术的的发展,计计算机网网络系统统必将成成为企业业各项业业务的关关键平台台。另一一方面,随随着计算算机网络络系统的的发展,计计算机网网络安全全系统必必将发挥挥越来越越重要的的作用。 网络安全全系统的的建立,必必将为企企业的业业务信息息系统、行行政管理理、信息息交流提提供一个个安全的的环境和和完整平平台。通通过先进进技术建建立起的
4、的网络安安全系统统,可以以从根本本上解决决来自网网络外部部及内部部对网络络安全造造成的各各种威胁胁,以最最优秀的的网络安安全整体体解决方方案为基基础形成成一个更更加完善善的业务务系统和和办公自自动化系系统。利利用高性性能的网网络安全全环境,提提供整体体防病毒毒、防火火墙、防防黑客、数数据加密密、身份份验证等等于一身身的功能能,有效效地保证证秘密、机机密文件件的安全全传输,严严格地制制止经济济情报失失、泄密密现象发发生,避避免重大大经济案案件的发发生。第2章 需求分析析2.1 企业网络络安全现现状和威威胁当今无论论是中小小企业还还是大企企业,都都广泛使使用信息息技术,特特别是网网络技术术,以不不
5、断提高高企业竞竞争力。企企业信息息设施在在提高企企业效益益和方便便企业管管理的同同时,也也给企业业带来了了安全隐隐患。网网络的安安全问题题一直困困扰着企企业的发发展,给给企业所所造成的的损失不不可估量量。由于于计算机机网络特特有的开开放性,网网络安全全问题日日益严重重。企业业所面临临的安全全威胁主主要有以以下几个个方面:2.1.1 互联网安安全:企业通过过Intternnet可可以把遍遍布世界界各地的的资源互互联互享享,但因因为其开开放性,在在Intternnet 上传输输的信息息在安全全性上不不可避免免地会面面临很多多危险。当当越来越越多的企企业把自自己的商商务活动动放到网网络上后后,针对对
6、网络系系统的各各种非法法入侵、病病毒等活活动也随随之增多多。例如如黑客攻攻击、病病毒传播播、垃圾圾邮件泛泛滥、信信息泄露露等已成成为影响响广泛的的安全威威胁。2.1.2 企业内部部网安全全:企业中大大量员工工利用网网络处理理私人事事务。对对网络的的不正当当使用,降降低了生生产效率率、消耗耗了企业业的网络络资源,并并引入病病毒和木木马程序序等。发发生在企企业网络络上的病病毒事件件,据调调查 990是是经由电电子邮件件或浏览览网页,进进入企业业内部网网络并传传播的。垃垃圾邮件件和各种种恶意程程序,造造成企业业网络拥拥塞瘫痪痪,甚至至系统崩崩溃,造造成难以以弥补的的巨大损损失。2.1.3 内网与内内
7、网、内内网与外外网之间间的连接接安全:随着企业业的不断断发展壮壮大,逐逐渐形成成了企业业总部、异异地分支支机构、移移动办公公人员这这样的新新型互动动运营模模式。怎怎样处理理总部与与分支机机构、移移动办公公人员的的信息共共享安全全,既要要保证信信息的及及时共享享,又要要防止机机密的泄泄漏已经经成为企企业成长长过程中中需要及及时解决决的问题题。同时时异地分分支机构构、移动动办公人人员与总总部之间间的有线线和无线线网络连连接安全全直接影影响着企企业的运运行效率率。2.2 企业网络络安全需需求分析析企业希望望能具有有竞争力力并提高高生产效效率,就就必须对对市场需需求作出出及时有有效的响响应,从从而引发
8、发了依赖赖于互联联网来获获取、共共享信息息的趋势势,这样样才能进进一步提提高生产产效率进进而推动动企业的的发展。然然而,有有网络的的地方就就有安全全的问题题。过去去的网络络大多是是封闭式式的,因因而比较较容易确确保其安安全性,简简单的安安全性设设备就足足以承担担其任务务。然而而当今的的网络已已经发生生了巨大大的变化化,确保保网络的的安全性性和可用用性已经经成为更更加复杂杂而且必必需的任任务。用用户每一一次连接接到网络络上,原原有的安安全状况况就会发发生变化化。所以以很多企企业频繁繁地受到到网络的的安全威威胁甚至至损害。因因为当今今网络业业务的复复杂性,依依靠早期期的简单单安全设设备已经经对这些
9、些问题无无能为力力。为了应对对网络安安全挑战战,企业业通常会会使用多多种网络络硬件设设备,包包括防火火墙、路路由器、转转接器、远远程接入入设备等等。大多多数公司司的网络络相当复复杂,这这些网络络需要所所有这些些设备来来确保正正确的路路由以及及提供快快速和可可靠的网网络性能能。在这这些硬件件的基础础上,再再结合多多种软件件解决方方案,如如病毒防防护、入入侵检测测(IDDS)、入入侵防御御(IPPS)、VVPN 网关和和内容过过滤(如如URLL 过滤滤)等,就就构成了了一个常常规的网网络安全全解决方方案。但但网络安安全产品品不仅仅仅需要简简单的安安装,更更重要的的是要有有针对复复杂网络络应用的的一
10、体化化解决方方案。归归结起来来,应充充分保证证以下几几点:2.2.1 网络的可可用性:网络是企企业业务务系统的的载体,安安全体系系必须防防止病毒毒入侵及及破坏,建建立完善善统一的的病毒防防范体系系,维护护网内计计算机的的运行。2.2.2 业务系统统的可用用性:中小企业业主机、数数据库、应应用服务务器系统统的安全全运行十十分关键键,网络络安全体体系必须须保证这这些系统统不会遭遭受来自自网络的的非法访访问、恶恶意入侵侵和破坏坏。2.2.3 数据机密密性:对于中小小企业网网络,保保密数据据的泄密密将直接接带来企企业商业业利益的的损失。网网络安全全系统应应保证机机密信息息在存储储与传输输时的保保密性。
11、有有效拦截截黑客程程序的破破坏,准准确记录录和上报报攻击信信息,保保障重要要数据安安全 。2.2.4 访问的可可控性:分层次的的安全策策略,针针对不同同职能部部门确立立相应的的安全防防范标准准。对关关键网络络、系统统和数据据的访问问必须得得到有效效的控制制,这要要求系统统能够可可靠确认认访问者者的身份份,谨慎慎授权,并并对任何何访问进进行跟踪踪记录。2.2.5 网络操作作的可管管理性:简单高效效的网络络安全管管理模式式,清晰晰统一的的责任分分工与合合作。对对于网络络安全系系统应具具备审计计和日志志功能,对对相关重重要操作作提供可可靠而方方便的可可管理和和维护功功能。专专业及时时的灾难难恢复系系
12、统,将将受灾后后的损失失减少到到最小。第3章 设备选型型及管理理3.1 安全产品品选型原原则在进行企企业网络络安全方方案的产产品选型型时,要要求安全全产品至至少应包包含以下下功能: 访问问控制:通过对对特定网网段、服服务建立立的访问问控制体体系,将将绝大多多数攻击击阻止在在到达攻攻击目标标之前。 检检查安全全漏洞:通过对对安全漏漏洞的周周期检查查,即使使攻击可可到达攻攻击目标标,也可可使绝大大多数攻攻击无效效。 攻击击监控:通过对对特定网网段、服服务建立立的攻击击监控体体系,可可实时检检测出绝绝大多数数攻击,并并采取相相应的行行动(如如断开网网络连接接、记录录攻击过过程、跟跟踪攻击击源等)。
13、加加密通讯讯:主动动的加密密通讯,可可使攻击击者不能能了解、修修改敏感感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息:使攻击者不能了解系统内的基本情况。 设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。3.2 UTM(统统一威胁胁管理)企业用户户目前急急需的是是建立一一个规范范的安全全管理平平台,对对各种安安全产品品进行统统一管理理。于是是,U T MM (统统一威胁胁管理)产产品应运运而生,并并且正在
14、在逐步得得到市场场的认可可。U T MM 安全全、管理理方便的的特点,是是安全设设备最大大的好处处,而这这往往也也是企业业对产品品的主要要需求。U T M产品灵活、易于管理,使企业能够在一个统一的架构上建立安全基础设施,相对于提供单一专有功能的安全设备,UTM 在一个通用的平台上提供多种安全功能。一个典型的 U T M 产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的 UTM 设备,也可以根据自己的需要选择某几个方面的功能。更为重要的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全功能都可以很好地协同工作。整合式的的 UTTM 产产品相对
15、对于单独独购置各各种功能能,可以以有效地地降低成成本投入入。且由由于UTTM 的的管理比比较统一一,能够够大大降降低在技技术管理理方面的的要求,弥弥补企业业在技术术力量上上的不足足。这使使得企业业可以最最大限度度地降低低对安全全供应商商的技术术服务要要求,网网络安全全方案可可行性更更强。图1企业业网络安安全体系系示意图图图2基于于UTMM 的网网络安全全体系架架构第4章 总体设计计4.1 整体结构构描述本方案采采用立体体多层次次的安全全系统架架构。结结合企业业的网络络特征,采采用U T MM 整体体安全网网络架构构方案。(如如图1所所示)这种多层层次的安安全体系系在网络络边界设设置防火火墙和 VPNN ,用用基于状状态检测测的防火火墙系统统实现对对内部网网和广域域网进行行隔离保保护。VVPN 为远程程办公人人员及分分支机构构提供方方便的VVPN 高速接接入,保保护数据据传输过过程中的的安全,实实现用户户对企业业内部网网的受控控访问。同同时还有有针对网网络病毒毒和垃圾圾邮件等等应用层层攻击的的防护措措施,这这种主动动防护可可将攻击击内容完完全阻挡挡在企业业内部网网之外。对对于内网网安全,特特别是移移动办公公,客户户端隔离离技术将将对有安安全问题题的主机机进行隔隔离,以以免其对对整个网网络造成成更
