XX公司网络安全项目解决方案.pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《XX公司网络安全项目解决方案.pdf》由会员分享,可在线阅读,更多相关《XX公司网络安全项目解决方案.pdf(31页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、.word 可编辑.专业.专注 .xx 有限责任公司 网络安全解决方案 学 号:姓 名:班 级:课 程:指导老师:.word 可编辑.专业.专注 .时 间:.word 可编辑.专业.专注 .目录 目录.1 摘要.3 第一章 xx 网络的需求分析.4 1.1xx 网络现状描述.4 1.2xx 网络的漏洞分析.5 1.2.1 物理安全.5 1.2.2 主机安全.5 1.2.3 外部安全.6 1.2.4 内部安全.7 1.2.5 内部网络之间、内外网络之间的连接安全.7 第二章 网络安全解决方案.9 2.1 物理安全.9 2.1.1 两套网络的相互转换.9 2.1.2 重要信息点的物理保护.9 2.
2、2 主机安全.10 2.3 网络安全.10 2.3.1 网络系统安全.12 2.3.2 应用系统安全.17 2.3.3 病毒防护.18 2.3.4 数据安全处理系统.21.word 可编辑.专业.专注 .2.3.5 安全审计.22 2.3.6 认证、鉴别、数字签名、抗抵赖.22 第二章 安全设备选型.24 3.1 安全设备选型原则.24 3.1.1 安全性要求.24 3.1.2 可用性要求.25 3.1.3 可靠性要求.25 3.2 安全设备的可扩展性.25 3.3 安全设备的升级.26 3.4 设备列表.26 第四章 方案的验证及调试.27 总结.29.word 可编辑.专业.专注 .摘要
3、随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。经过调查,我们发现,xx 存在以下几个问题:第一、机房网络管理成本过高,并且造成了人力资源上的浪费;第二、存在数据丢失的问题;第三、计算机病毒泛滥,给高效率工作造成极大的不便;第四、网络攻击严重,严重影响了日常的工作。本设计方案基于 xx 出现的问题在物理安全、主机安全、网络安全三个方面提出了实际的解决措施。关键词:网络 安全 解决方案.word 可编辑.专业.专注 .第一章 xx 网络的需求分析 1.1xx 网络现状描述 网络拓扑图 随着 xx 多
4、年的发展,以及技术的更新,网络设备也在不断地更新换代,同时企业间的收购,合并重组等商业行为,都会给企业网络带来一整套完全不同的网络设备、独立的办公室以及工作团队。由于以上种种原因,xx 的网络不断扩充,问题也不断出现。.word 可编辑.专业.专注 .xx 原有的安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护
5、效果不理想,也很难对网络的整体防护做出规划和评估,同时也提高了 xx 在这方面的维护经费。经过分析后发现,xx 的安全漏洞主要存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着网络的正常运行;要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。1.2xx 网络的漏洞分析 1.2.1 物理安全 网络的物理安全是整个网络系统安全的前提,在 xx 的企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃、破坏活动的发生,这一方
6、面的风险是可以避免的。1.2.2 主机安全 在中国,我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的.word 可编辑.专业.专注 .安全性。因此,在本方案中,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。同时,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。企业主机也会受到来自病毒,黑客等的
7、袭击,例如前一段时间 xx 受到非法入侵,入侵者上传了大量的木马,给公司的主机造成了很大的破坏,因此,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。1.2.3 外部安全 外部安全主要指来自外部的一些威胁和破坏,主要是以下几个方面:1)拒绝服务攻击 2)外部入侵 这里是通常所说的黑客威胁。当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得企业在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。3)病毒 病毒对信息系统的
8、正常工作运行产生很大影响,据统计,信息系统的 60%瘫痪是由于感染病毒引起的。.word 可编辑.专业.专注 .1.2.4 内部安全 最新调查显示,60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业蒙受巨大的的损失。不满的内部员工可能在 WWW 站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如
9、他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。这些都是 xx 内部网络中潜存的威胁。1.2.5 内部网络之间、内外网络之间的连接安全 xx 的内部网络与外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自 Internet 上的风险和下级单位的风险。内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,在 xx 已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命
10、安全威胁。随着企业的发展壮大及移动办公的普及,xx 逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、.word 可编辑.专业.专注 .移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。.word 可编辑.专业.专注 .第二章 网络安全解决方案 2.1 物理安全 对于 xx 存在的两套网络系统切换问题和重点信息点的保护问题,我们提出以下解决方案。2.1.1 两套网络的相互转换 由于 xx 内部网络系统具有两套网络,这两套网络系统是完全物理隔离的,而企
11、业内部有部分用户需要两个网络都要接入,这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换,这使得使用中非常不方便。建议采用网络隔离卡的方式来解决网络切换的问题。隔离卡上有两个网络接口,一个接内网,一个接外网;另外还有一个控制口,通过控制口连接一个控制器(只有火柴盒大小),放置于电脑旁边。同时,在隔离卡上接两个硬盘,使一个计算机变为两个计算机使用,两个硬盘上分别运行独立的操作系统。这样,可通过控制器进行切换,使计算机分别接到两个网络上。根据 xx 网络的实际情况,需要在二、三、四楼共 20 个信息点上安装隔离卡。其中二楼 6 个,三楼 12 个,四楼 2 个。
12、2.1.2 重要信息点的物理保护 xx 各级网络内部存在重要的信息点,如内部核心应用系统,环境等都需要.word 可编辑.专业.专注 .保护,它主要包括三个方面:1)环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93 电子计算机机房设计规范、国标GB2887-89 计算站场地技术条件、GB9361-88 计算站场地安全要求)。2)设备安全:主要包括设备的防盗、防毁坏及电源保护等。对中心机房和关键信息点采取多种安全防范措施,确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。3)媒体安全:包括媒体数据的安全及媒体本身的安
13、全。2.2 主机安全 根据 xx 网络内主机的安全防护现状,我们制定了以下策略:1)对主机用户进行分组管理,根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,确保用户的密码不会被他人所猜测到。2)及时更新主机系统,防止因系统漏洞而遭到黑客或病毒的攻击。3)对于应用服务,我们应该只开放那些需要的服务,并随时更新。而对于那些用不到的服务应该尽量关闭。4)安装并及时升级杀毒软件以避免来自病毒的苦恼。5)安装防火墙可以有效的防止黑客的攻击。2.3 网络安全 针对 xx 的 VLAN 划分情况,在某些情况下,它的一些局域网的某个
14、网段比.word 可编辑.专业.专注 .另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的 VLAN 段内,就可以限制局部网络安全问题对全局网络造成的影响。将分散系统整合成一个异构网络系统,数据存储系统整合成网络数据中心,通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心,为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术,本方案将所有网络安全和数据安全产品有机的结合在一起,在漏洞预防、攻
15、击处理、破坏修复三方面给用户提供整体的解决方案,能够极大地提高系统防护效果,降低网络管理的风险和复杂性。下图是防护系统对一个完整的网络攻击及防护方法的演示效果图:.word 可编辑.专业.专注 .2.3.1 网络系统安全 作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。因为许多重要的信息都通过网络进行交换。(一)网络传输 由于 xx 中心内部网络存在两套网络系统,其中一套为内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越 INTERNET的企业集团内部局域网,并通过网络进行数据
16、交换、信息共享。而 INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上.word 可编辑.专业.专注 .任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。在本解决方案中对网络传输安全部分推荐采用 VPN 设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN 设置如下图所示:每一级的设置及管理方法相同。即在每一级的中心网络安装一台 VPN 设备和一台 VPN 认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN 设备,由上级的 VPN 认证服务器通过网络对下一级的 V
17、PN 设备进行集中统一的网络化管理。可达到以下几个目的:网络传输数据保护:由安装在网络上的 VPN 设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输;网络隔离保护:与 INTERNET 进行隔离,控制内网与 INTERNET 的相互访问;集中统一管理,提高网络安全性;.word 可编辑.专业.专注 .降低成本(设备成本和维护成本);其中,在各级中心网络的 VPN 设备设置如下图:由一台 VPN 管理机对 CA、中心VPN 设备、分支机构 VPN 设备进行统一网络管理。将对外服务器放置于 VPN 设备的 DMZ 口与内部网络进行隔离,禁止外网直接访问内网,控制内网的
18、对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。下级单位的VPN 设备放置如下图所示:从上图可知,下属机构的 VPN 设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,从而降低企业的成本。.word 可编辑.专业.专注 .由于网络安全不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,
19、而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。(二)访问控制 由于 xx 广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET 上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 公司 网络安全 项目 解决方案
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内