公司网络安全方案设计书.doc

1、网络安全方案设计书公司网络安全隐患与需求分析1.1 网络现状公司计算机通过内部网相互连接与外网互联，在内部网络中，各服务部门计算机在同一网段，通过交换机连接。如下图所示： 1.2 安全隐患分析 1.2.1 应用系统的安全隐患 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 。1.2.2 管理的安全隐患 管理方面的安全隐患包括：

2、内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大、开放不必要的服务端口，或者一般用户因为疏忽，丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。 1.2.3 操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。 1.2.4 病毒侵害 一旦有主机受病毒感染，病毒程序 就完全可

3、能在极短的时间内迅速扩散，传播到网络上的其他主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1 需求分析 公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和综合部门，需要他们之间相互隔离。同时由于考虑到Internet 的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求如下： 1.根据公司现有的网络设备组网规划；2.保护网络系统的可用性；3.保护网络系统服务的连续性； 4.防范网络资源的非法访问及非授权访问；5.防范入侵 者的恶意攻击与破坏；6.保护企业信息通过网上传输过程中的机密性、完整性； 7.防范病毒的侵害；8

4、.实现网络的安全管理。 通过了解公司的需求与现状，为实现网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 （1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全 （3）安装防火墙体系（4）安装防病毒服务器（5

5、）加强企业对网络资源的管理 如前所述，公司信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点： (1) 公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络

6、便成为了首要任务。 (4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是公司面临的重要课题。 网络信息安全策略及整体方案信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。 3.1 方案综述公司整个网络安全系统从物理上划分4个部分，即计算机网络监控中心、财务部、综合部及服务器区。每个安全区

7、域有一套相对独立的网络安全系统，这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。通过对公司现状的分析与研究以及对当前安全技术的研究分析，我们制定如下企业信息安全策略。 3.1.1 防火墙实施方案 根据网络整体安全及保证财务部的安全考虑，采用2台cisco pix535防火墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对Internet 与企业内网之间进行隔离，其中内服务器对外服务器连接在防火墙的 DMZ 区与内、外网间进行隔离。 防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源

8、/目的地址、流向进行审核，严格控制外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。 3.1.2 Internet 连接与备份方案 防火墙经外网交换机接入 Internet。此区域当前存在一定的安全隐患：首先，防火墙作为企业接入Internet的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与 Internet 失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。为此，新增加一台防火墙和一台

9、防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安全性。防火墙连接只在主核心交换机上，并且采用两台防火墙进行热备配置，分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。根据改企业未来的应用需求，可考虑网络改造后，将Internet 连接带宽升级为100M。 3.1.3 入侵检测方案在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection)，并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。 3.1.4 VPN 系统 考虑到本公司和其子

10、公司的通信，通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程 LAN 的安全连接。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。 3.1.5 网络安全漏洞 企业网络拥有 WWW、邮件、域、视频等服务器，还有重要的数据库服务器，对于管理人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估，发现并报告系统内存在

11、的弱点和漏洞，评估安全风险，建议补救措施，达到增强网络安全性的目的。 3.1.6 防病毒方案采用 Symantec网络防病毒软件，建立企业整体防病毒体系，对网络内的服务器和所有计算机设备采取全面病毒防护。 并且需要在网络中心设置病毒防护管 理中心，通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域内。通过防病毒管理域的主服务器，对整个域进行防病毒管理，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒。可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控；可实现对所有防毒软件的集中管理、集中设置、集中维护；可集中反映整个系统内的病毒入侵情况,设置各种消息通报方

12、式，对病毒的爆发进行报警；可集中获得防毒系统的日志信息；管理人员可方便地对系统情况进行汇总和分析。根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具，采取相关措施，防范于未然。 3.1.7 访问控制管理 实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源。在内网中系统管理员必须管理好所有的设备口令，不要在不同系统上使用同一口令；口令中最好要有大小写字母、字符、数字；定期改变自己的口令。由于企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使

13、系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，本方案中选择带防火墙功能的VPN设备来实现网络安全隔离。3.1.8 重要文件及内部资料管理 定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件，全面地保护数据的安全。系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理，注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器， 利用 RAID5等数据存储技术加强数据备份和恢复措施；对敏感的设备和数

14、据要建立必要的物理或逻辑隔离措施。 3.2 网络信息管理策略计算机网络中心设计即公司网络安全管理策略的建设如下： （1）USB Key 是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key 内置的密 码算法实现对用户身份的认证。基于PKI的USB Key 的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 （2）安全登录系统。由于网络开发中心

15、以及财务部门涉及公司的网络部署 以及财务状况，需要高度保密，只有公司网络安全主管、财务主管以及公司法人才可以登录相应的网络， 而安全登录系统正是提供了对系统和网络登录的身份认证，使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。（3）文件加密系统。与普通网络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施，文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。（4）防毒中心建设。病毒对公司网络的攻击对公司的整体运转造成威胁，因此公司各部门均需要建设完善的防毒中心，使用企业版的防病毒系统的分级管 理功能，对网络进行管理单元划分。在网络中心建立以及防病毒服务器，负责所有二级防病毒服务器的统一管理。在不同的子系统建立二级防病毒服务器，负责本部的防病毒客户端管理