网络安全设计方案

网络安全设计 网络安全设计方案 篇一: 网络安全设计方案 目录 1、网络安全问„„„„„„„„„„„„„„„„„„3 2、设计的安全性„„„„„„„„„„„„„„„„„„3 可用性„„„„„„„„„„„„„„„„„„„„„„..3 机密性„„„„„„„„„„„„„„„„„„„„„„..3 完整性„„„„„„„„„„„„„„„„„„„„„„..3 可控性„„„„„„„„„„„„„„„„„„„„„„..3 可审查性„„„„„„„„„„„„„„„„„„„„„..3 访问控制„„„„„„„„„„„„„„„„„„„„„..3 数据加密„„„„„„„„„„„„„„„„„„„„„..3 安全审计„„„„„„„„„„„„„„„„„„„„„..3 3、安全设计方案„„„„„„„„„„„„„„„„„„5 设备选型„„„„„„„„„„„„„„„„„„„„„..5 网络安全„„„„„„„„„„„„„„„„„„„„„..7 访问控制„„„„„„„„„„„„„„„„„„„„„...9 入侵检测„„„„„„„„„„„„„„„„„„„„„..10 4、总结„„„„„„„„„„„„„„„„„„„„„„11 1、网络安全问题 随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时， 必须清楚地认识到，能够制止偶然实施破坏行为的敌人的对那些惯于作案的老手来说，收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分: 保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即， 可用性: 授权实体有权访问数据 机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改 可控性: 控制授权范围内的信息流向及操作方式 可审查性: 对出现的安全问题提供依据与手段 访问控制: 需要由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。 数据加密: 数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容， 一是采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应(如报警)并进行阻断; 二是对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程，结合企业今后进行的网络化应用范围的拓展考虑，企业网主要的安全威胁和安全漏洞包括以下几方面: (1)内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络，并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)，因此这种风险是必须采取措施进行防范的。 (2)搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲，由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的，因此也是本方案考虑的重点。 (3)假冒 这种威胁既可能来自企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 (4)完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/ 数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。 (5) 其它网络的攻击 企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。 (6) 管理及操作人员缺乏安全知识 由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术 认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。 由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。 (7)雷击 由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。 3、网络安全设计方案 (1)网络拓扑结构图 设备选型 传统的组网已经不能满足现在网络应用的变化了，在组网的初期必须考虑到安全和网络的问题，考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。 免疫网络—— 免疫网络是企业信息网络的一种安全形式。 “免疫”是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。 就像我们耳熟能详的电脑病毒一样，在电脑行业，“病毒”就是对医学名词形象的借用。同样，“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。 免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能，在面临攻击时调动各种安全资源进行应对。 它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。 下面让我们看看这几个特征的距离内容 安全和网络功能的融合 ?网络架构的融合，主要包括网关和终端的融合 网关方面: ARP先天免疫原理—NAT表中添加源MAC地址滤窗防火墙—封包检测，IP分片检查 UDP洪水终端方面: 驱动部分—免疫标记 ?网络协议的融合—行为特征和网络行为的融合 全网设备的联动 ?驱动与运营中心的联动分收策略 ?驱动与驱动的联动IP地址冲突 ?网关和驱动的联动群防群控 ?运营中心和网关的联动(外网攻击，上下线 可信接入 ?MAC地址的可信(类似于DNA)，生物身份 ?传输的可信(免疫标记) 深度防御和控制 ?深入到每个终端的网卡 深入到协议的最低层 深入到二级路由，多级路由器下 精细带宽管理 ?身份精细—IP/MAC的精确 ?位置精确—终端驱动 ?路径细分(特殊的IP) ?流量去向(内，公网) ?应用流控(QQ,MSN) 业务感知 协议区分和应用感知 它与防火墙(F)、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网络相比，突破了被动防御、边界防护的局限，着重从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。 同时，安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制，以及对全网安全问题和工作效能的监测、分析、统计、评估，保证了企业网络的可管可控，大大提高了通信效率和可靠性。 安全架构分析 根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑: 网络传输保护 主要是数据加密保护 主要网络安全隔离 通用措施是采用防火墙 网络病毒防护 篇二: 企业网络安全解决方案的设计 摘 要 计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全，是计算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全和信息传输安全的问题，就是我们所谓的计 算机网络安全。信息安全是指防止信息财产被故意的或偶然的非法授 权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保 密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据 库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设 计一个安全网络系统，必须做到既能有效地防止对网络系统的各种各 样的攻击，保证系统的安全，同时又要有较高的成本效益，操作的简 易性，以及对用户的透明性和界面的友好性。 针对计算机网络系统 存在的安全性和可靠性问题，本文从网络安全的提出及定义、网络系 统安全风险分析，网络攻击的一般手段，企业局域网安全设计的原则 及其配置方案提出一些见解，并且进行了总结，就当前网络上普遍的 安全威胁，提出了网络安全设计的重要理念和安全管理并针对常 见网络故障进行分析及解决,以使企业中的用户在计算机网络方面增 强安全防范意识，实现了企业局域网的网络安全。 关键词: 网络安全; 路由器; 防火墙; 交换机; VLAN Abstract The develpment f puter netrks and technlgies t enhance netrk security is a big bl, Internet security has bee a ne htspt f infrmatin security. Netrk security is the security f puter infrmatin systems in an imprtant aspect. Like pening f the Pandra s Bx, the puter systems f the Internet, greatly expanded infrmatin resurces sharing space at the same time, ill be its n expsure t the mre malicius attacks under. H t ensure that the netrk f infrmatin strage, prcessing and transmissin f infrmatin security security, is the s-called puter netrk security. Infrmatin security is t prevent infrmatin frm the prperty have been deliberately r accidentally leaked authrized illegal, altered, damage r illegal infrmatin system identificatin, cntrl; ensure cnfidentiality, integrity, availability, cntrllable. Infrmatin security, including the safety f the perating system, database security, netrk security, virus prtectin, access cntrl, encryptin and identificatin f seven areas. Design f a netrk security system, hich must be dne t effectively prevent the netrk all f the attacks, guarantee the safety f the system, and als have a higher cst-effectiveness, peratinal simplicity, and transparent t the user interface and friendly. Cmputer netrk system f security and reliability prblems, the paper frm the netrk security and the prpsed definitin, Netrk security risk analysis, netrk attacks generally means Enterprise LAN security design principles and dispsitin prgram sme insights, and it as summed up, n the current netrk-ide security threats the netrk security f the imprtant design cncepts and security management nrms and against mn netrk fault analysis and slutin t enable enterprise custmers in the puter netrk t enhance safety, realizing the enterprise LAN netrk security. Key rds: Netrk Security; Ruter; Fireall; Sitch; VLAN 目 录 摘 要 .................................................................................................................................... I ABSTRACT ........................................................................................................................ II 目 录 ................................................................................................................................. III 绪 论 ....................................................................................................................................... 1 1 网络安全概 述 ................................................................................................................... 2 1.1 网络安全的概 念 ........................................................ ................................................ 2 1.2 网络安全系统的脆弱 性 ............................................................................................ 2 1.3 网络安全模 型 ............................................................................................................ 3 1.4 企业局域网的应 用 .................................................................................................... 4 2 网络系统安 全风险分 析 ................................................................................................... 5 2.1物理安全风险分 析 ..................................................................................................... 5 2.2网络平台的安全风险分 析 ......................................................................................... 5 2.3系统的安全风险分 析 ................................................................................................. 6 2.4来自局域网内部的威 胁 ............................................................................................. 6 2.5来自互联网的威 胁 ..................................................................................................... 7 2.6网络的攻击手 段 ......................................................................................................... 7 3 企业局 域网的安全设计方 案 ........................................................................................... 8 3.1企业局域网安全设计的原 则 ..................................................................................... 8 3.2 安全服务、机制与技 术 ............................................................................................ 9 3.3企业局域网安全配置方 案 ......................................................................................... 9 3. 3.1物理安全技 术 ..................................................................................................... 9 3. 3.2路由器安全配 置 ................................................................................................. 9 3. 3.3防火墙技术安全配 置 ....................................................................................... 12 3. 3.4内部网络隔 离 ................................................................................................... 16 3. 3.5企业局域网防病毒设 置 ........................................................ ........................... 19 3. 3.6攻击检测技术及方 法 ....................................................................................... 22 3. 3.7审计与监控技术实 施 ....................................................................................... 27 3.4信息安 全 ................................................................................................................... 30 4 企业局域网安全管 理 ..................................................................................................... 32 4.1 安全管理规 范 .......................................................................................................... 33 4. 1.1 安全管理原 则 .................................................................................................. 33 4. 1.2 安全管理的实 现 .............................................................................................. 33 4.2 常见网络故障及解 决 .............................................................................................. 33 4. 2.1 IP冲突解 决 ..................................................................................................... 33 4. 2.2 DNS错 误 ........................................................................................................... 34 结束 语 ................................................................................................................................. 36 致 谢 ................................................................................................................................. 37 参考文 献 ............................................................................................................................. 38 绪论 随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全 技术来保护知识产权，但它们经常会遇到这些技术所固有的限制因素 难题。 无论当今的技术标榜有何种能力，它们通常均不能够集中监 控和控制其它第三方异构安全产品。大多数技术都未能证实有至关重 要的整合、正常化和关联层，而它们正是有效安全信息管理基础的组 成部分。寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行 企业安全管理的坚实整合，是当今所有IT安全专业人士面临的最严 峻挑战。 并同时在风险与性能 有效的安全信息管理主要关键是要求 企业管理其企业安全， 改进间做到最佳平衡。拥有良好的主动企业 安全管理不应是我们所有人难以实现的梦想。通过本企业网络安全技 术及解决方案，使企业网络可有效的确保信息资产保密性、完整性和 可用性。 本方案为企业局域网网络安全的解决方案，包括原有网络 系统分析、网络安全风险分析、安全体系结构的设计等。本安全解决 方案是在不影响该企业局域网当前业务的前提下，实现对局域网全面 的安全管理。 (1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防 御系统，有效阻止非法用户进入网络，减少网络的安全风险。 (2) 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 (3) 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。 (4) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。 (5) 在服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 篇三: XX公司网络安全设计方案 XX公司网络信息系统的安全方案设计书 XX公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机500余台，通过内部网相互连接与外网互联。在内部网络中，各服务部门计算机在同一网段，通过交换机连接。如下图所示: 1.2安全隐患分析 1. 2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 1. 2.2管理的安全隐患 管理方面的安全隐患包括: 内部管理人员或员工图方便省事，不设置用户口令， (网络安全设计方案) 或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大)开放不必要的服务端口，或者一般用户因为疏忽，丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理 员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。 1. 2.3操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。 1. 2.4病毒侵害 网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1需求分析 XX公司根据业务发展需求，建设一个小型的企业网，有eb、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Internet的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划; 2.保护网络系统的可用性; 3.保护网络系统服务的连续性; 4.防范网络资源的非法访问及非授权访问; 5.防范入侵者的恶意攻击与破坏; 6.保护企业信息通过网上传输过程中的机密性、完整性; 7.防范病毒的侵害; 8.实现网络的安全管理。 通过了解XX公司的虚求与现状，为实现XX网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因 此需要 (1) 构建良好的环境确保企业物理设备的安全 (2) 划分VLAN控制内网安全 (3) 安装防火墙体系 (4) 安装防病毒服务器 (5) 加强企业对网络资源的管理 如前所述，XX公司信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点: (1)XX公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使XX公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的#管理制度#和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 (4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是XX公司面临的重要课题。 网络信息安全策略及整体方案 信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制;对网络中所有的装置(如eb服务器、路由器和内部网络等)进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。 3.1 方案综述 XX公司整个网络安全系统从物理上划分4个部分，即计算机网络中心、财务部、业务部及网络开发中心。从而在结构上形成以计算机网络中心为中心，对其他部分进行统一的网络规划和管理。每个安全区域有一套相对独立的网络安全系统，这些相对独立的 网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。通过对XX公司现状的分析与研究以及对当前安全技术的研究分析，我们制定如下 企业信息安全策略。 3( 1(1防火墙实施方案 根据网络整体安全及保证财务部的安全考虑，采用两台cisc pix535防火墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对Internet与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。 防火墙设置原则如下所示: 建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问;防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、PP3以及所需的其他服务，防范外部来的拒绝服务攻击;定期查看防火墙访问日志;对防火墙的管理员权限严格控制。 3( 1(2 Internet连接与备份方案 防火墙经外网交换机接入Internet。此区域当前存在一定的安全隐患: 首 先，防火墙作为企业接入Internet的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与Internet失去连接;其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。 为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安全性。防火墙连接只在主核心交换机上，并且采用两台防火墙进行热备配置，分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。 根据改企业未来的应用需求，可考虑网络改造后，将Internet连接带宽升级为100M。 3( 1(3入侵检测方案 在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusin Detectin) ，并在不同网段(本地或远程)上安装 由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。 3( 1(4 VPN系统篇四: 企业网络安全方案的设计 河 南 理 工 大 学 计 算 机 学 院 , 信 息 安 课 全 程 , 设 计 报 告 题 目 企业网络安全方案的设计 学 号 310609040104 班 级 网络工程06-1班 姓 名 严茵茵 指导老师 刘 琨 设计企业网络安全方案 摘 要: 在这个信息技术飞速发展的时代，许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述，为企业提供一个可靠地、完整的方案。 关键词: 信息安全、企业网络安全 、安全防护 一、引言 随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统，主要有EB、E-mail、A、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。因此，一般整个企业的网络系统存在三个方面的安全问题: (1)Internet的安全性: 随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。 (2)企业内网的安全性: 最新调查显示，在受调查的企业中60%以上的员 工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 (3)内部网络之间、内外网络之间的连接安全: 随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例，综合型企业网络简图如下，分析现状并分析 需求: 图说明 图一 企业网络简图 对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷，具体表现在: (1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。 (3)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (4)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。 由以上分析可知该公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。 三、设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。具体如下: 1. 标准化原则 2. 系统化原则 3. 规避风险原则 4. 保护投资原则 5. 多重保护原则 6. 分步实施原则 四、企业网络安全解决方案的思路 1.安全系统架构 安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。 随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。 2.安全防护体系 信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。如图二所示: 图说明 图二 网络与信息安全防范体系模型篇五: 公司网络安全设计方案 天津电子信息职业技术学院 暨国家示范性软件职业技术学院 实 训 报 告 实训题目: 网络安全管理 姓 名: 系 别: 专 业: 班 级: 指导教师: 实训时间: 201X年 6 月 4 日 至 201X年 6 月 15 日 目录 第一章 需求分析„„„„„„„„„„„„„„„„„„„„„„„„ 1.1 公司目标的需 求„„„„„„„„„„„„„„„„„„„„„ 1.2 公司网络安全需 求„„„„„„„„„„„„„„„„„„„„ 1.3 需求分 析„„„„„„„„„„„„„„„„„„„„„„„„ 第二章 网络安全的设计„„„„„„„„„„„„„„„„„„„„„ 2.1 网络设计主要功 能„„„„„„„„„„„„„„„„„„„„ 2.2 网络设计原 则„„„„„„„„„„„„„„„„„„„„„„ 2.3 网络的设 计„„„„„„„„„„„„„„„„„„„„„„„ 2. 3.1 物理设备安全的设 计„„„„„„„„„„„„„„„„„„ 2. 3.2 内部网的设 计„„„„„„„„„„„„„„„„„„„„„ 2. 3.3 通信保 密„„„„„„„„„„„„„„„„„„„„„„„ 2. 3.4 病毒防 护„„„„„„„„„„„„„„„„„„„„„„„ 2. 3.5 应用安 全„„„„„„„„„„„„„„„„„„„„„„„ 2. 3.6 配置防火 墙„„„„„„„„„„„„„„„„„„„„„„ 2. 3.7 网络结 构„„„„„„„„„„„„„„„„„„„„„„„ 第三章 系统安全架构„„„„„„„„„„„„„„„„„„„„„„ 3.1 系统设 计„„„„„„„„„„„„„„„„„„„„„„„„ 3.2 系统组 建„„„„„„„„„„„„„„„„„„„„„„„„ 第四章 数据安全设计„„„„„„„„„„„„„„„„„„„„„„ 4.1 数据层的架 构„„„„„„„„„„„„„„„„„„„„„„ 4.2 数据安全测 试„„„„„„„„„„„„„„„„„„„„„„ 第五章 安全设备选型„„„„„„„„„„„„„„„„„„„„„„ 5.1 设备选 型„„„„„„„„„„„„„„„„„„„„„„„„ 5.2 明细 表„„„„„„„„„„„„„„„„„„„„„„„„„ 总结„„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 致 谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„ 参考文 献„„„„„„„„„„„„„„„„„„„„„„„„„„„ 第一章 需求分析 1.1 公司目标的需求 华城网络有限公司是一家有100名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 inds Server 201X,客户机的操作系统是 inds XP，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。 1.2 公司网络安全需求 华城网络有限公司根据业务发展需求，建设一个小型的企业网，有eb、Mail等服务器和办公区客户机。企业 分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDS、ARP等。因此本企业的网络安全构架要求如下: (1)根据公司现有的网络设备组网规划 (2)保护网络系统的可用性 (3)保护网络系统服务的连续性 (4)防范网络资源的非法访问及非授权访问 (5)防范入侵者的恶意攻击与破坏 (6)保护企业信息通过网上传输过程中的机密性、完整性 (7)防范病毒的侵害 (8)实现网络的安全管理。 1.3 需求分析 通过了解华城网络公司的需求与现状，为实现华城网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机 加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对 用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权 限以及应用软件的安装进行全面的监控和管理。因此需要 第二章 网络安全的设计 2.1 网络设计主要功能 (1)资源共享功能。网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。 (2)通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现eb应用、接入互联网、进行安全的广域网访问。 (3)多媒体功能。支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能。系统支持远程pptP接入，外地员工可利用INTERNET访问。 2.2 网络设计原则 (1)实用性和经济性。系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 (2)先进性和成熟性。系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 (3)可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。 (4)安全性和保密性。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、80 2.1x、80 2.1d等。 (5)可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。 2.3 网络的设计 (1)物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。 (2)电力供应 机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机)，以备常用供电系统停电时启用。 (3)电磁防护要求 应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离，避免互相干扰。 3. 3.2公司内部网的设计 内部办公自动化网络根据不同用户安全级 别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网 (VLAN)，在没有配置路的情况下，不同虚拟子网间是不能够互相访 问。通过虚拟子网的划分,能够实较粗略的访问控制。 1、vlan的划分和地址的分配 经理办子网(vlan2):19 2.16 8. 1.0 子网掩码: 25 5.25 5.25 5.0 网关: 19 2.16 8. 1.1 生产子网(vlan3): 19 2.16 8. 2.0 子网掩码: 25 5.25 5.25 5.0 网关: 19 2.16 8. 2.1 市场子网(vlan4): 19 2.16 8. 3.0 子网掩码: 25 5.25 5.25 5.0 网关: 19 2.16 8. 3.1 财务子网(vlan5): 19 2.16 8. 4.0 子网掩码: 25 5.25 5.25 5.0 网关: 19 2.16 8. 4.1 资源子网(vlan6):19 2.16 8. 5.0 子网掩码: 25 5.25 5.25 5.0 网关: 19 2.16 8. 5.1 2、访问权限控制策略 (1)经理办VLAN2可以访问其余所有VLAN。 [2]