企业网络安全综合设计方案人力资源企业文化_人力资源-企业文化.pdf

《企业网络安全综合设计方案人力资源企业文化_人力资源-企业文化.pdf》由会员分享，可在线阅读，更多相关《企业网络安全综合设计方案人力资源企业文化_人力资源-企业文化.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX 企业网络安全综合设计方案 1、企业网络分析 xx科技有限公司是一家以信息安全产品销售为主营业务的 小型企业，公司网络通过中国联通光纤接入 In ter net。该公 司拥有子公司若干，并与其它信息安全产品销售公司建立了兄弟 公司关系。为了适应业务的发展的需要，实现信息的共享，协作 和通讯，并和各个部门互连，对该信息网络系统的建设与实施提 出了方案。2、网络威胁、风险分析 2.1 黑客攻击 引门或工作组 F 作组 Vpn 务数据服务器 重要部门或 网络管理中心厂 INTERNET 子公司 兄弟公司 出差员工“黑客”（Hack）对于大家来说可能并不陌生，他们是一群利用 自己的技术专长专门攻击

2、网站和计算机而不暴露身份的计算机用户，由于黑客技术逐渐被越来越多的人掌握和发展，目前世界上约有 20 多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以 及系统的一些漏洞，因而任何网络系统、站点都有遭受黑客攻击的可 能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使 得黑客们善于隐蔽，攻击“杀伤力”强，这是网络安全的主要威胁。而就目前网络技术的发展趋势来看，黑客攻击的方式也越来越多的采 用了病毒进行破坏，它们采用的攻击和破坏方式多种多样，对没有网 络安全防护设备（防火墙）的网站和系统（或防护级别较低）进行攻 击和破坏，这给网络的安全防护带来了严峻的挑战。2.2 网络自身和管

3、理存在欠缺 网络的共享性和开放性使网上信息安全存在先天不足，网络系统 的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事 实上，很多企业、机构及用户的网站或系统都疏于这方面的管理，没 有制定严格的管理制度。据 IT 界企业团体 ITAA 的调查显示，美国 90的 IT 企业对黑客攻击准备不足。目前美国 75 85的网站都 抵挡不住黑客的攻击，约有 75的企业网上信息失窃。2.3 软件设计的漏洞或“后门”而产生的问题 随着软件系统规模的不断增大，新的软件产品开发出来，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常 用的操作系统，无论是Windows还是UNIX几乎都存在或多或少

4、 的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等 都被发现过存在安全隐患。大家熟悉的一些病毒络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻

5、击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和都是利用微软 系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都 可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存 在漏洞，不可能完美无缺。2.5恶意网站设置的陷阱 互联网世界的各类网站，有些网站恶意编制一些盗取他人 信息的软件，并且可能隐藏在下载的信息中，只要登录或者下 载网络的信息就会被其控制和感染病毒，计算机中的所有信息 都会被自动盗走，该软件会长期存在你的计算机中，操作者并 不知情，如“木马”病毒。因此，不良网站和不安全网站万不 可登录，否则后果不堪设想。2.6用户网络内

6、部工作人员的不良行为引起的安全问题 网络内部用户的误操作，资源滥用和恶意行为也有可能对网 络的安全造成巨大的威胁。由于各行业，各单位现在都在建局域 网，计算机使用频繁，但是由于单位管理制度不严，不能严格遵 守行业内部关于信息安全的相关规定，都容易引起一系列安全问 题。2.7竞争对手的恶意窃取、破坏以及攻击 xx 企业是以销售为主的 it 行业，所以用户信息异常珍贵和重 要，如果遭到竞争对手的恶意窃取、破坏以及攻击，后果不堪设想。3、安全系统建设原则（1）整体性原则：“木桶原理”，单纯一种安全手段不可能解决全部 安全问题;络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关

7、系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和（2）多重保护原则：不把整个系统的安全寄托在单一安全措施或安全 产品

8、上;（3）性能保障原则：安全产品的性能不能成为影响整个网络传输的瓶 颈;（4）平衡性原则：制定规范措施，实现保护成本与被保护信息的价值 平衡;（5）可管理、易操作原则：尽量采用最新的安全技术，实现安全管理的 自动化，以减轻安全管理的负担，同时减小因为管理上的疏漏而对系 统安全造成的威胁;（6）适应性、灵活性原则：充分考虑今后业务和网络安全协调发展的需 求，避免因只满足了系统安全要求，而给业务发展带来障碍的情况发 生;7）高可用原则：安全方案、安全产品也要遵循网络高可用性原则（8）技术与管理并重原则：“三分技术，七分管理”，从技术角度出发 的安全方案的设计必须有与之相适应的管理制度同步制定，并从

9、管理 的角度评估安全设计方案的可操作性（9）投资保护原则：要充分发挥现有设备的潜能，避免投资的浪费。4、网络安全总体设计 4.1需求分析 根据XX企业满足内部网络机构，根据 XXX企业各级内部 网络机构、广域网结构、和三级网络管理、应用业系统的特点，本方案主要从以下几个方面进行安全设计：络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来

10、越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和1、数据安全保护,使用加密技术,保护重要数据的保密性.2、网络系统安全,防火墙的设置 3、物理安全,应用硬件等安装配置.4、应用系统安全,局域网内数据传输的安全保证.4.2 方案综述 1、首先设置 VPN,方便内网与外网的连接,虚拟专用网是对企业内部 网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供

11、应商同公 司的内部网建立可信的安全连接，并保证数据（Data）的安全传输.虚 拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安 全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于 经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网 2、设置 防火墙，防火墙是对通过互联网连接进入专用网络或计算机 系统的信息进行过滤的程序或硬件设备。所以如果过滤器对传入的信 息数据包进行标记，则不允许该数据包通过。能够保证使用的网站的 安全性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数 据的安全。防止服务器拒绝服务攻击.3、网络病毒防护，采用网络防病毒系统.在网络中部署被动防御体

12、系（防病毒系统）,采用主动防御机制（防火墙、安全策略、漏洞修复 等），将病毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业 网病毒防护体系。4、设置DMZ数据冗余存储系统将需要保护的Web应用程序服务 器和数据络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发

13、展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和库系统放在内网中，把没有包含敏感数据、担当代理数据访 问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。DMZ 使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻 击者即使初步入侵成功，还要面临 DMZ设置的新的障碍。5、设置数据备份 管理系统，专门备份企业重要数据。为避免客观原 因、自然灾害等原因造

14、成的数据损坏、丢失，可采用异地备份方式。6、双重数据 信息保护，在重要部门以及工作组前设置交换机，可以 在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进 出的数据都将受到保护。7、设置备份服务器，用于因客观原因、自然灾害等原因造成的服务 器崩溃。8、广域网接入部分,采用入侵检测系统（IDS）。对外界入侵和内部 人员的越界行为进行报警。在服务器区域的交换机上、Internet 接 入路由器之后的第一台交换机上和重点保护网段的局域网交换机上 装上 IDS。9、系统 漏洞分析。采用漏洞分析设备。5、安全设备要求 5.1硬件设备 1、pc机若干台，包括网络管理机，员工工作用机；干台,包括网

15、络管理机,员工工作用机；2、交换机 2 台；3、服务器 4 台；络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破

16、坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和4、防火墙 5 台；5、内外网隔离卡 6、AMTT innFOR IDS。5.2软件设备 1、病毒防御系统；2、查杀病毒软件；3、访问控制设置。6、技术支持与服务 6.1虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交 换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技 术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很 大的路由器.由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入 侵手段。通过虚拟网设置的访问控制，使在虚

17、拟网外的网络节点不能 直接访问虚拟网内节点。以太网从本质上基于广播机制，但应用了交 换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。但是，采用基于 MAC 的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基 于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口 所在的网段机器均属于相同的 VLAN。6.2防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制,防止外部 网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之 间传输的数据包如链

18、接方式按照一定的安全策略来实施检查,以决定 网络之间的通信是否被允许,并监视网络运行状态.络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也

19、越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和6.2.1包过滤型 包过滤型技术是防火墙技术的一种,其技术依据是网络中的分包 传输技术.网络上的数据都是以 包为单位进行传输的,数据被分割 成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如 数据的源地址，目标地址,TCP/UDP源端口和目标端口等.防火墙 通过读取数据包中的地址信息来判断这些 包 是否来自可信任 的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这 些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断 规则.6.3 病毒防护技术 病毒历来是信息系统安全的主要问题之

20、一。由于网络的广泛互联，病 毒的传播途径和速度大大加快。我们将病毒的途径分为：(1)通过FTP,电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播，主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理服务器、SMTF服艮务器、网络服务器、群件服务器上 安装病毒过滤软件。在桌面 PC安装病毒监控软件。(2)检查和清除病毒。使用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软 件，禁络通过中国联通光纤接入

21、公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和止未经许可的控件

22、下载和安装。6.4入侵检测技术 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入 侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网 络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短 hacker 入侵的时间。入侵检测系统可分为两类：V基于主机 V基于网络 基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1)在需要监视的服务器上安装监视模块(agent)，分别向管理服务 器报告及上传证据，提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径上，放置监视模块(sensor),分别向管理 服务器报告及上传证据，提供跨网络的入侵监

23、视解决方案。6,5安全扫描技术 安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安 全性的网络。6.6认证和数字签名技术 认证技术 主要解决网络通讯过程中通讯双方的身份认可，数字签名作 为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程 中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面：络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算

24、机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和(1)路由器认证，路由器和交换机之间的认证。(2)操作系统认证。操作系统对用户的认证。(3)网管系统对网管设备之间的认证。(4)VPN 网关设备之间的认证。(5)拨号访问服务器与客户间的认证。(6)应用服务器(如Web Server)与客户的认证。(7)电子邮件通讯双方的认证。

25、数字签名技术主要用于：(1)基于 PKI 认证体系的认证过程。基于PKI的电子邮件及交易(通过Wei进行的交易)的不可抵赖记 录。6.7 VPN技术 完整的集成化的企业范围的 VPN安全解决方案，提供在 INTERNE上安全的双向通讯，以及透明的加密方案以保证数据 的完整性和保密性。企业网络的全面安全要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。6.8应用系统的安全技术 Internet 域名服务为 Internet/Intranet 应用提供了极大 的灵活性。几乎所有的网络应用均利用域名服务。1、Server 经常成为 Internet 用户访问公司内部资源的

26、通道之一，如 Web server 通过中间件访问主机系统，通过数据库连接部件访问 数据库，利用 络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击

27、的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和CGI 访问本地文件系统或网络系统中其它资源。2、操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作 系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁 外，还需要：（1）检查系统设置（敏感数据的存放方式，访问控制，口令选择/更 新）。（2）基于系统的安全监控系统。6.9计算机网络安全措施 计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保 护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。（一

28、）保护网络安全。（二）保护应用安全。（三）保护系统安全。企业网络 安全综合设计方络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的

29、采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和 最新文件.仅供参考.已改成 word 文本 .改 口 管理中心 入侵检测系统 F 基于网络的入侵检测系统 Vpn Vpn I INTERNET I 岀差员工 部门或工作组 I、重要部门或工作组 务数据服 实时监控 基于主机的入侵检测系统历 Q DMZ 区 兄弟公司 子公司 方便更 络通过中国联通光纤接入公司若干并与其它信息安全产品销售公司建立了兄弟公司关系为了适应业务的发展的需要实现信息的共享协作和通讯并和各个部门互连对该公司拥有子该信息网络系统的建设与实施提出了方案网络威胁风险来说可能并不陌生他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户由于黑客技术逐渐被越来越多的人掌握和发展目前世界上约有多万个黑客网站这些站点都介绍一些攻击方法和攻击软件的使用以及和跟踪手段使得黑客们善于隐蔽攻击杀伤力强这是网络安全的主要威胁而就目前网络技术的发展趋来看黑客攻击的方式也越来越多的采用了病毒进行破坏它们采用的攻击和破坏方式多种多样对没有网络安全防护设备防火墙的网站和