[精选]企业网络安全综合设计方案.pptx

《[精选]企业网络安全综合设计方案.pptx》由会员分享，可在线阅读，更多相关《[精选]企业网络安全综合设计方案.pptx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业网络平安综合设计方案企业网络平安综合设计方案关键词l信息平安l企业网络平安l平安防护一、企业网络分析lXx企业是一家以物流为主营业务的小型企业，公司网络通过中国联通光纤接入Internet。该公司拥有子公司假设干，并与其它物流公司建立了兄弟公司关系。为了适应业务的开展的需要，实现信息的共享，协作和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。企业网络拓扑构建图二、网络威胁、风险分析2.1黑客攻击l“黑客Hack对于大家来说可能并不陌生，他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户，由于黑客技术逐渐被越来越多的人掌握和开展，目前世界上约有20多万

2、个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而任何网络系统、站点都有遭受黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的还击和跟踪手段，使得黑客们善于隐蔽，攻击“杀伤力强，这是网络平安的主要威胁1。而就目前网络技术的开展趋势来看，黑客攻击的方式也越来越多的采用了病毒进行破坏，它们采用的攻击和破坏方式多种多样，对没有网络平安防护设备防火墙的网站和系统或防护级别较低进行攻击和破坏，这给网络的平安防护带来了严峻的挑战。2.2网络自身和管理存在欠缺l因特网的共享性和开放性使网上信息平安存在先天缺乏，因为其赖以生存的TCP/IP协议，缺乏相应的平安机制，而且因特网最

3、初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑平安问题，因此它在平安防范、效劳质量、带宽和方便性等方面存在滞后和不适应性。网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理，没有制定严格的管理制度。据IT界企业团体ITAA的调查显示，90的IT企业对黑客攻击准备缺乏。目前7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃。2.3软件设计的漏洞或“后门而产生的问题l随着软件系统规模的不断增大，新的软件产品开发出来，系统中的平安漏洞或“后门也不可防止的存在，比方我们常用的操作系统，无论是Windo

4、ws还是UNIX几乎都存在或多或少的平安漏洞，众多的各类效劳器、浏览器、一些桌面软件等等都被发现过存在平安隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，不可能完美无缺。这也是网络平安的主要威胁之一。2.4恶意网站设置的陷阱l互联网世界的各类网站，有些网站恶意编制一些盗取他人信息的软件，并且可能隐藏在下载的信息中，只要登录或者下载网络的信息就会被其控制和感染病毒，计算机中的所有信息都会被自动盗走，该软件会长期存在你的计算机中，操作者并不知情，如“木马病毒。因此，不良网站和不平安网站万不可登录

5、，否则后果不堪设想。2.6用户网络内部工作人员的不良行为引起的平安问题l网络内部用户的误操作，资源滥用和恶意行为也有可能对网络的平安造成巨大的威胁。由于各行业，各单位现在都在建局域网，计算机使用频繁，但是由于单位管理制度不严，不能严格遵守行业内部关于信息平安的相关规定，都容易引起一系列平安问题。2.7竞争对手的恶意窃取、破坏以及攻击lxx企业是以物流为主的行业，所以用户信息异常珍贵和重要，如果遭到竞争对手的恶意窃取、破坏以及攻击，后果不堪设想。三、平安系统建设原则l整体性原则：“木桶原理，单纯一种平安手段不可能解决全部平安问题;l多重保护原则：不把整个系统的平安寄托在单一平安措施或平安产品上;

6、l性能保障原则：平安产品的性能不能成为影响整个网络传输的瓶颈;l平衡性原则：制定标准措施，实现保护成本与被保护信息的价值平衡;l可管理、易操作原则：尽量采用最新的平安技术，实现平安管理的自动化，以减轻平安管理的负担，同时减小因为管理上的疏漏而对系统平安造成的威胁;三、平安系统建设原则l适应性、灵活性原则：充分考虑今后业务和网络平安协调开展的需求，防止因只满足了系统平安要求，而给业务开展带来障碍的情况发生;l高可用原则：平安方案、平安产品也要遵循网络高可用性原则;l技术与管理并重原则：“三分技术，七分管理，从技术角度出发的平安方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估平安设

7、计方案的可操作性；l投资保护原则：要充分发挥现有设备的潜能，防止投资的浪费;四、网络平安总体设计4.1需求分析根据企业满足内部网络机构，根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业系统的特点，本方案主要从以下几个方面进行平安设计：l数据平安保护,使用加密技术,保护重要数据的保密性；l网络系统平安,防火墙的设置；l物理平安,应用硬件等安装配置；l应用系统平安,局域网内数据传输的平安保证。4.2方案综述l首先设置vpn,方便内网与外网的连接。虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供给商同公司的内部网建立可信的平安连接，并保证数据Data的平安传输

8、.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现平安连接；可以用于实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网.4.2方案综述l设置防火墙，防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以如果过滤器对传入的信息数据包进行标记，则不允许该数据包通过。能够保证使用的网站的平安性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数据的平安。防止效劳器拒绝效劳攻击.4.2方案综述l网络病毒防护，采用网络防病毒系统。在网络中部署被动防御体系防病毒系统,采用主动防御机制防火墙、平安策略、漏洞修复等，将病

9、毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。4.2方案综述l设置DMZ，数据冗余存储系统。将需要保护的Web应用程序效劳器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统平安提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。4.2方案综述l设置数据备份管理系统，专门备份企业重要数据。为防止客观原因、自然灾害等原因造成的数据损坏、丧失，可采用异地备份方式。4.2方案综述l双重数据信息

10、保护，在重要部门以及工作组前设置交换机，可以在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进出的数据都将受到保护。4.2方案综述l设置备份效劳器，用于因客观原因、自然灾害等原因造成的效劳器崩溃。4.2方案综述l广域网接入局部,采用入侵检测系统IDS。对外界入侵和内部人员的越界行为进行报警。在效劳器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点保护网段的局域网交换机上装上IDS。4.2方案综述l系统漏洞分析。采用漏洞分析设备五、平安设备要求5.1硬件设备lpc机假设干台,包括网络管理机,员工工作用机；l交换机2台；l效劳器4台；l防火墙5台；l内外网隔离卡内外网

11、隔离卡；l漏洞扫描器；lAMTTinnFORIDS。5.2软件设备l病毒防御系统；l查杀病毒软件；l访问控制设置。六、技术支持与效劳l6.1虚拟网技术虚拟网技术虚拟网技术主要基于近年开展的局域网交换技术ATM和以太网交换。交换技术将传统的基于播送的局域网技术开展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。l由以上运行机制带来的网络平安的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大局部基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。l以太网从本质上基于播送机制，但应用了交换器和VLAN技术后

12、，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入改变问题。l但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。6.2防火墙技术防火墙技术l网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的平安策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.6.2防火墙技术防火墙

13、技术防火墙技术又有三种类型l包过滤型包过滤型l网络地址转换网络地址转换NATl代理型代理型l监测型监测型6.3病毒防护技术病毒防护技术l病毒历来是信息系统平安的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。l我们将病毒的途径分为：l1通过FTP，电子邮件传播。l2通过软盘、光盘、磁带传播。l3通过Web游览传播，主要是恶意的Java控件网站。l4通过群件系统传播。6.3病毒防护技术病毒防护技术l病毒防护的主要技术如下：l1阻止病毒的传播。l在防火墙、代理效劳器、SMTP效劳器、网络效劳器、群件效劳器上安装病毒过滤软件。在桌面PC安装病毒监控软件。l2检查和去除病毒。l使用防病

14、毒软件检查和去除病毒。l3病毒数据库的升级。l病毒数据库应不断更新，并下发到桌面系统。l4在防火墙、代理效劳器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。6.4入侵检测技术入侵检测技术l入侵检测系统是近年出现的新型网络平安技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。l实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。l入侵检测系统可分为两类：l基于主机l基于网络l基于主机及网络的入侵监控系统通常均可配置为分布式模式：l1在需要监视的效劳器上安装监视模块agent

15、，分别向管理效劳器报告及上传证据，提供跨平台的入侵监视解决方案。l2在需要监视的网络路径上，放置监视模块sensor,分别向管理效劳器报告及上传证据，提供跨网络的入侵监视解决方案。6.5平安扫描技术平安扫描技术l网络平安技术中，另一类重要技术为平安扫描技术。平安扫描技术与防火墙、平安监控系统互相配合能够提供很高平安性的网络。6.6认证和数字签名技术认证和数字签名技术l认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。l认证技术将应用到企业网络中的以下方面：l1路由器认证，路由器和交换机之间的认证。l2

16、操作系统认证。操作系统对用户的认证。l3网管系统对网管设备之间的认证。l4VPN网关设备之间的认证。l5拨号访问效劳器与客户间的认证。l6应用效劳器如WebServer与客户的认证。l7电子邮件通讯双方的认证。l数字签名技术主要用于：l1基于PKI认证体系的认证过程。l2基于PKI的电子邮件及交易通过Web进行的交易的不可抵赖记录。6.7 VPN技术技术l完整的集成化的企业范围的VPN平安解决方案，提供在INTERNET上平安的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。l企业网络的全面平安要求保证：l保密-通讯过程不被窃听。l通讯主体真实性确认-网络上的计算机不被假冒6.8应用系

17、统的平安技术应用系统的平安技术l1、Server经常成为经常成为Internet用户访问公司内部资用户访问公司内部资源的通道之一，如源的通道之一，如Web server通过中间件访问通过中间件访问主主机系统机系统，通过数据库连接部件访问数据库，利用，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源。访问本地文件系统或网络系统中其它资源。l2、操作系统平安、操作系统平安市场上几乎所有的操作系统均已发现有平安漏洞，市场上几乎所有的操作系统均已发现有平安漏洞，并且越流行的操作系统发现的问题越多。对操作并且越流行的操作系统发现的问题越多。对操作系统的平安，除了不断地增加平安

18、补丁外，还需系统的平安，除了不断地增加平安补丁外，还需要：要：1 检查系统设置敏感数据的存放方式，访问检查系统设置敏感数据的存放方式，访问控制，口令选择控制，口令选择/更新。更新。2 基于系统的平安监控系统。基于系统的平安监控系统。6.9 计算机网络平安措施计算机网络平安措施计算机网络平安措施主要包括保护网络平安、保护应用效劳平安和保护系统平安三个方面，各个方面都要结合考虑平安防护的物理平安、防火墙、信息平安、Web平安、媒体平安等等。l一保护网络平安。l二保护应用平安。l三保护系统平安。l9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April17,2023l10、雨中黄叶树

19、，灯下白头人。19:07:4619:07:4619:074/17/20237:07:46PMl11、以我独沈久，愧君相见频。4月-2319:07:4619:07Apr-2317-Apr-23l12、故人江海别，几度隔山川。19:07:4619:07:4619:07Monday,April17,2023l13、乍见翻疑梦，相悲各问年。4月-234月-2319:07:4719:07:47April17,2023l14、他乡生白发，旧国见青山。17四月20237:07:47下午19:07:474月-23l15、比不了得就不比，得不到的就不要。四月237:07下午4月-2319:07April17,2

20、023l16、行动出成果，工作出财富。2023/4/1719:07:4719:07:4717April2023l17、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:07:47下午7:07下午19:07:474月-23l9、没有失败，只有暂时停止成功！。4月-234月-23Monday,April17,2023l10、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:07:4719:07:4719:074/17/20237:07:47PMl11、成功就是日复一日那一点点小小努力的积累。4月-2319:07:4719:07Apr-2317-Apr-23l12、世间

21、成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:07:4719:07:4719:07Monday,April17,2023l13、不知香积寺，数里入云峰。4月-234月-2319:07:4719:07:47April17,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:07:47下午19:07:474月-23l15、楚塞三湘接，荆门九派通。四月237:07下午4月-2319:07April17,2023l16、少年十五二十时，步行夺得胡马骑。2023/4/1719:07:4719:07:4717April2023l17、空山新雨后，天气晚来秋。7:07

22、:47下午7:07下午19:07:474月-23l9、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April17,2023l10、阅读一切好书如同和过去最杰出的人谈话。19:07:4719:07:4719:074/17/20237:07:47PMl11、越是没有本领的就越加自命非凡。4月-2319:07:4719:07Apr-2317-Apr-23l12、越是无能的人，越喜欢挑剔别人的错儿。19:07:4719:07:4719:07Monday,April17,2023l13、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:07:4719:07:47April

23、17,2023l14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:07:47下午19:07:474月-23l15、最具挑战性的挑战莫过于提升自我。四月237:07下午4月-2319:07April17,2023l16、业余生活要有意义，不要越轨。2023/4/1719:07:4719:07:4717April2023l17、一个人即使已登上顶峰，也仍要自强不息。7:07:47下午7:07下午19:07:474月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉