姜旺家企业网络安全与部署毕业设计.doc

jwj安徽机电职业技术学院jwj企业网络系统安全与部署毕业设计说 明 书系 （部）：信息工程系班 级：网络3121姓 名：姜旺家指导教师：方继才 学 号：1101123035 摘要近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业（宏锦企业网络）构架网络安全体系，主要运用vlan划分、防火墙技术、vpn、病毒防护等技术，来实现企业的网络安全。关键词： 网络，安全，VPN，防火墙 ，防病毒32AbstractIn recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-scale use. As we all know, the worlds largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise (Hong Jin corporate network) architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus 目录序言随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。第一章企业网络安全概述1.1网络安全概念中文名称：网络安全 英文名称：network security 定义：网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，网络服务不中断的措施。 应用学科：通信科技（一级学科）；网络安全（二级学科） 本内容由全国科学技术名词审定委员会审定公布 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科1.2企业网络主要危险当今的中小企业与较大型的企业组织一样，都开始广泛的利用信息化手段提升自身的竞争力。信息设施可以有效提高中小企业的运营效率，使中小企业可以更快速的发展壮大。然而在获得这些利益的同时，给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小，但是其面临的安全威胁却并不比大型企业为少。我们下面就来看一看中小企业在信息安全方面的几点主要需求。 防范恶意攻击 对于利用互联网接入来开展业务或者辅助工作的企业来说，骇客的恶意攻击行为无疑是最令人头痛的问题之一。已有大量报道和统计资料显示企业正为形形色色的攻击行为付出高昂的代价，而这些被曝光的案例尚只是冰山一角。 由于大多数企业担心公布这些信息会对自身形象造成负面影响，所以我们相信仍旧有大量的信息安全事件没有为大众所知晓。而另一方面，因为很多企业没有精力处理频繁发生的攻击事件，甚至大部分由于恶意攻击造成的损失都没有被正确估算。我们从一个侧面可以了解到目前恶意攻击已经演变到何等剧烈的程度，那就是现在企业对于骇客攻击所持的态度。 仅仅是几年前这些事件对于我们来说还是那么的遥远与神秘，而现在当网络发生问题时恶意攻击已经成为一个主要的被怀疑对象了。在中小企业的信息环境里，攻击行为相对来说并不特别猛烈，或者说小型的信息设施相对较少受到有针对性的、强度很大的攻击。但是，目前的中小企业所选用的软件产品存在着大量的安全漏洞，而针对这些漏洞的自动化攻击工具已经相当的民间化了。 对于没有受到过滤保护的网络节点来说，每时每刻都要承受大量网络攻击的考验。即使这些攻击是漫无目的的，但仍有很大可能突破那些疏于管理的计算机设施。从某种程度上来讲，这些不讲究策略的攻击者对中小企业的安全威胁要更大一些。 计算机病毒这样的威胁更能体现这一问题。当下传播最为广泛的蠕虫类病毒和很多攻击程序一样，利用系统的安全漏洞进行传播，而且并没有特定的感染目标。对于一些蠕虫病毒来说，在一个小时的时间里就可以轻松的感染数以十万计的计算机。为了解决网络攻击方面的安全隐患，企业需要进行很多工作。 单纯的应用安全防护产品是无法避免这类攻击行为的，企业还必须执行补丁管理等辅助的安全管理措施。在中小企业中，进行这些工作有很多先天性的“阻碍”。资源不足、IT设施管理松散、员工行为随意性较强等问题给信息安全工作提出了很大的挑战。而作为应对的不仅仅是企业单方面的意识提高，更适合中小企业实际情况的安全防御产品目前也存在着很大的空白。虽然近两年涌现的很多整合式的信息安全设备在总体成本和易用性上提供了很多吸引中小企业的特性，但是还不足以解决目前中小企业在信息安全领域所遭受的困境。 误用和滥用 对信息设施的误用既像恶意攻击的孪生兄弟又与其存在明显的因果关系。因为我们探讨的信息安全问题并不仅仅包括骇客行为所带来的经济及非经济损失，只要对信息设施的运行造成障碍的行为都能够被划归到信息安全范畴进行管理。 在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中，企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析，中小企业尚无法将信息安全的理念融入到企业的整体经营理念中，这导致了企业的信息管理中存在着大量的安全盲点和误区。这类问题使得信息安全厂商不得不频繁重申服务对于信息安全业务的重要性。这既可以看作是国内信息安全产业一种进步的表现，同时又体现出我们在信息安全理念建设方面的巨大差距。好在除了供应商之外，用户也已经深刻的认识到同样的问题，相信经过广泛的培训和教育，这种现状可以被很好的改善。 除了对信息设施的错误使用之外，滥用的问题在近一段时间表现的更为突出一些，并且由于滥用问题更加模糊和难以界定，使企业在处理类似问题的时候颇显捉襟见肘。虽然近年来被广泛关注的P2P传输问题并不是一个典型的信息安全问题，但由于这些传输流量常常严重干扰企业的正常通信流量而且也存在着一些泄漏企业信息的风险，所以这确实是信息设施滥用问题的一个较好的示例。 从技术的角度处理P2P传输问题并没有太大的难度，但是面对员工权利和隐私等方面的争论，企业对P2P传输的管理问题已经上升到了道德问题的层次。在中小企业里，由于制度化管理方面的相对弱化，在处理信息设施滥用乃至误用问题的时候会加倍艰难。这也是在中小企业环境中实施信息安全所迫切需要解决的问题。 1.3企业网络的安全误区误区之一：部署了防火墙并不等于绝对安全 防火墙对于企业网络的保护作用是每位企业网管所共知的，可是，企业网络部署了防火墙，并不意味着企业网络就不再有安全威胁。举个最简单的例子，防火墙的功能仅仅能够对来自外部网络的数据进行过滤，如果有人在企业网络内部搞破坏，防火墙是没有任何防范作用的。 另外，防火墙对来自外部数据的过滤检查是按照过滤规则进行的。如果一种网络攻击模式不在防火墙过滤规则之内，防火墙对于这种网络攻击也是没有任何防范能力的。为此，企业网管不要认为网络中部署了防火墙，企业网络就绝对安全，不再有任何安全隐患，部署了防火墙并不等于绝对安全。 误区之二：长期不更新防火墙安全策略 防火墙可以阻挡来自外界的网络攻击，以及过滤一些网络病毒，这都得益于防火墙设备的安全策略。如同杀毒软件一样，凭借防火墙自带默认的安全策略，防火墙设备能够阻挡已知的网络攻击模式，以及一部分网络病毒；对于新的网络攻击模式，以及新的网络病毒，防火墙是没有任何防范能力的。要想让防火墙能够具备非常强大的防范能力，企业网管必须定期的更新防火墙的安全策略。 在网络安全漏洞呈爆炸式增长的今天，如果长期不更新防火墙的安全策略，防火墙无疑会成为一个摆设。每当遇到新的网络安全漏洞，企业网管必须及时的更新防火墙的安全策略，只有这样，防火墙才能真正成为企业网络的安全保护神。 误区之三：安装防火墙设备的所有组件 众所周知，部署防火墙这款网络安全设备时，很多企业网管为了保障企业网络的安全，通常会将防火墙所有的功能组件都安装到防火墙设备中。从表面看，安装了所有组件的防火墙，安全更有保障。可是，安装了一些多余的防火墙组件之后，反而会降低防火墙的安全性能。从技术角度来讲，防火墙的工作过程与普通PC相似。对于一台普通的PC来说，如果安装了过多的功能组件，其系统响应速度会变慢，尤其是PC开机时如果启动了太多的项目，PC可能会因为不堪重负而死机。防火墙亦是如此，防火墙中的组件都是随防火墙启动而启动的，如果网管部署防火墙时安装了所有组件，势必会耗费防火墙太多的资源，在网络数据交换繁忙时，防火墙设备可能会因为系统资源不足而当机。一旦防火墙当机，防火墙将失去了作用，企业网络也将失去防火墙的保护，其后果不难想象。为此，部署防火墙时，不要安装防火墙设备的所有组件。误区之四：把防火墙当成防病毒的武器 从理论上说，防火墙当然可以防病毒，但防火墙只能防范通过网络传播的一部分病毒。道理很简单，防火墙是位于网络通路上的一道关卡，对于一切经过它的数据包，它都可以过滤出禁止传输的数据。可是，大多数病毒在传播过程中是非常隐蔽的，防火墙的过滤规则很难有效的防范病毒入侵，看一下病毒传播的过程就明白了。病毒在隐蔽在网络应用层中的，在通过防火墙时，病毒被分为若干个数据包。不可否认，防火墙虽然可以过滤一些数据包，但分割为多个数据包的病毒，防火墙是很难识别的，除非防火墙能够将若干个数据包重新拼装起来进行检查，否则防火墙是不可能发现病毒的。防火墙对数据包的过滤，仅仅是决定转发还是放弃，为此，防火墙的过滤规则很难防范通过网络传播的病毒。不过，对于一些特征非常明显的病毒，防火墙是可以过滤的。例如震荡波病毒，在传播过程中是占用TCP的某些端口，这时，只要企业网管将防火墙的端口封闭，震荡波病毒将无法进入企业网络中。在实际应用中，能够像震荡波这样有如此明显特征的病毒很少。总的来说，防火墙对于病毒有一定的防范能力，但防范能力是非常有限的，为此，不要把防火墙当成防病毒的有效武器。 误区之五：忽略防火墙日志文件的作用 与任何一款网络设备一样，防火墙工作过程中也会自动生成日志。在企业网络的日常维护中，很多企业网管认识防火墙日志的存在，更没有意识到防火墙工作日志的重要性。对于防火墙的日志，企业网管存在着诸多误区。由于防火墙每天在过滤数百万甚至上千万的报文数据包，其生成的日志也是数量众多。面对密密麻麻的日志文件，企业网管该从何处入手呢？其实，对于正常过滤的数据包记录，企业网管是无需理会的。诸如丢弃、告警、日志等动作，企业网管需要慎重的进行审核，并且进行分析，以确定是否有非法的网络攻击存在，切莫忽视防火墙日志文件的作用。 误区之六：过滤规则中有太多拒绝规则 对于防火墙的过滤规则，每位企业网管都非常熟悉。防火墙工作过程中，对于允许的数据包直接放行，而对于拒绝的规则，将直接抛弃。毫无疑问，如果防火墙的过滤规则中有太多的拒绝规则，将会浪费防火墙的系统资源，因为防火墙需要不断的拒绝不符合规则的数据包，并且禁止其通过。为此，在配置防火墙的过滤规则时，要少用拒绝规则。 总结：防火墙有保护企业网络安全的功能，可是，防火墙并不是万能的，也会有漏洞。加之防火墙是一个机器，其保护功能需要人的设置才能提高。也就是说，要想让防火墙的保护功能更加完善，部署防火墙时必须躲开上述误区。第2章 Jwj企业网络安全系统2.1需求分析jwj网络有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。因此本企业的网络安全构架要求如下：（1） 根据公司现有的网络设备组网规划（2） 保护网络系统的可用性（3） 保护网络系统服务的连续性（4） 防范网络资源的非法访问及非授权访问（5） 防范入侵者的恶意攻击与破坏（6） 保护企业信息通过网上传输过程中的机密性、完整性（7） 防范病毒的侵害（8） 实现网络的安全管理。2.2安全需要通过了解宏锦网络公司的需求与现状，为实现宏锦网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要（1） 构建良好的环境确保企业物理设备的安全（2） 划分VLAN控制内网安全（3） 安装防火墙体系（4） 建立VPN(虚拟专用网络)确保数据安全（5） 安装防病毒服务器（6） 加强企业对网络资源的管理2.3建设目标计算机网络近年来获得了飞速的发展。20年前，在我国很少有人接触过网络。现在，计算机通信网络以及Internet已成为我们社会结构的一个基本组成部分。网络被应用于工商业的各个方面，包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础。从学校远程教育到政府日常办公乃至现在的电子社区，很多方面都离不开网络技术。可以不夸张地说，网络在当今世界无处不在。网络方案，根据具体的需求及应用领域，会呈现多种组网方式。但不管是何种组网方式，网络的稳定性与可靠性，以及网络组建的投入成本等方面都是应该考虑的问题。本文主要针对四五百人左右的大中型企业网，提出一套组网解决方案，第三章 jwj公司企业网络拓扑图和IP地址划分本公司设计采用三次架构的设计方案：（图3-1）公司的IP地址和Vlan分配：部门名称网段网关IP地址范围1楼192.168.10-20.0192.168.10-20.254192.168.10-20.2-2楼192.168.30-40.0192.168.30-40.254192.168.30-40.2-3楼192.168.50-60.0192.168.50-60.254192.168.50-60.2-管理PC54外网地址0.0-20无线ip00-150服务器192.168.21-24.0192.168.21-24.254192.168.21-24.1整个企业网Vlan划分人事部财务部技术部市场部行政部Vlan10Vlan20Vlan30Vlan40Vlan50人力资源服务器Vlan60Vlan21-24图（3-2）第四章 jwj企业网络设备的种类和类型说明3.1 思科路由器：（图4-1）cisco2811 思科路由器产品参数思科路由器端口结构：模块化 局域网接口：2个 传输速率：10/100Mbps 网络管理：协议Cisco ClickStart，SNMP 防火墙：内置防火墙 网络标准：IEEE 802.3x Qos支持：支持 VPN支持：支持 产品内存：DRAM：最大760MB，缺省256MB 电源功率：160W 3.2、思科交换机（二层）（图4-2）产品系列：思科2960系列产品参数应用层级：二层传输速率：10/100Mbps产品内存：64MB交换方式：存储-转发背板带宽：6.8Gbps包转发率：10.1MppsMAC地址表：8K端口结构：非模块化端口数量：50个端口描述：48个以太网10/100Mbps端口，2个两用上行端口传输模式：全双工/半双工自适应网络标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1x，IEEE 802.1Q，IEEE 802.1p，IEEE 802.1D，IEEE 802.1s，IEEE 802.1w，IEEE 802.3ad，IEEE 802.3zVLAN：支持QOS：支持网络管理：Web浏览器，SNMP，CLI状态指示灯：每端口，系统产品尺寸：44445236mm产品重量：3.6kg环境标准：工作温度：0-45工作湿度：10%-85%（非冷凝）存储温度：-25-70存储湿度：10%-85%（非冷凝）3.3、思科交换机（三层）（图4-3）WS-C3750G-48TS-S思科交换机产品参数产品系列：CiscoCatalyst3750系列交换机产品类型：企业级交换机应用层级：三层传输速率：10/100/1000Mbps端口数量：52个背板带宽：32GbpsVLAN：支持网络管理：网管功能SNMP，CLI，Web，管理软包转发率：38.7MppsMAC地址表：12K网络标准：IEEE 802.3，IEEE 802.3u，IEEE 端口结构：非模块化交换方式：存储-转发3.4、无线设备（图3-4）CISCO RV180W 无线路由器企业级无线路由器无线标准：IEEE 802.11n，IEEE 802.11g，IEEE 802.11b，有线标准：IEEE 802.3，IEEE 802.3u，IEEE 802.1D，IEEE 802.1p，IEEE 802.11e，IEEE 802.11w，IEEE 802.1X，IEEE 802.1Q，IEEE 802.11i 频率范围 单频（2.4GHz）信道数 11 北美13 欧洲展频技术 DSSS(直接序列展频)传输功率 802.11b：17dBm+/-1.5dBm802.11g：15dBm+/-1.5dBm802.11n：12.5dBm+/-1.5dBm 网络接口 1个10/100/1000Mbps WAN口4个10/100/1000Mbps LAN口 3.5、服务器（图4-5）UCSC-DBUN-C240-312服务器思科UCSC-DBUN-C240-312产品类别：机架式CPU型号：Intel Xeon E5-2620标配CPU数量：1颗 内存类型：DDR3 硬盘描述：支持8块SAS或SATA2.5英寸热插拔硬盘。第五章 jwj企业网络详细图和分析确定网络连接拓扑，主要考虑所有计算机所处位置。考虑到网络管理的方便，也尽量将局域网控制中心单独放置，不要拿出来公用。因为现在大中型企业有的需要移动办公，所以我们这里采用的是无线加局域网的方式，适应公司的需要。然后就是具体的组网方式，因为要实现局域网到互联网的共享访问，而且考虑到成本问题，所以这里采用“路由器+交换机+客户机+无线”的模式。路由器就相当于一台共享上网服务器，客户机通过这台“共享上网服务器”即可实现互联网共享。如图5-1所示。（图5-1）第六章网络安全解决实施6.1物理安全6.1.1两套网络的相互转换由于内部网络系统具有两套网络，这两套网络系统是完全物理隔离的，而企业内部有部分用户需要两个网络都要接入，这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换，这使得使用中非常不方便。建议采用网络隔离卡的方式来解决网络切换的问题。隔离卡上有两个网络接口，一个接内网，一个接外网；另外还有一个控制口，通过控制口连接一个控制器(只有火柴盒大小)，放置于电脑旁边。同时，在隔离卡上接两个硬盘，使一个计算机变为两个计算机使用，两个硬盘上分别运行独立的操作系统。这样，可通过控制器进行切换，使计算机分别接到两个网络上。根据xx网络的实际情况，需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个，三楼12个，四楼2个。6.1.2重要信息点的物理保护各级网络内部存在重要的信息点，如内部核心应用系统，环境等都需要保护，它主要包括三个方面： 1) 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护(参见国家标准GB50173-93电子计算机机房设计规范、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求)。 2) 设备安全：主要包括设备的防盗、防毁坏及电源保护等。对中心机房和关键信息点采取多种安全防范措施，确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。 3) 媒体安全：包括媒体数据的安全及媒体本身的安全。6.2主机安全根据网络内主机的安全防护现状，我们制定了以下策略：1) 对主机用户进行分组管理，根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证，确保用户的密码不会被他人所猜测到。2) 及时更新主机系统，防止因系统漏洞而遭到黑客或病毒的攻击。3) 对于应用服务，我们应该只开放那些需要的服务，并随时更新。而对于那些用不到的服务应该尽量关闭。4) 安装并及时升级杀毒软件以避免来自病毒的苦恼。5) 安装防火墙可以有效的防止黑客的攻击。、6.3网络安全网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。将分散系统整合成一个异构网络系统，数据存储系统整合成网络数据中心，通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网针对的VLAN划分情况，在某些情况下，它的一些局域网的某个网段比另一个络集中管理、监控技术，本方案将所有网络安全和数据安全产品有机的结合在一起，在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案，能够极大地提高系统防护效果，降低网络管理的风险和复杂性。6.3.1网络系统安全作为企业应用业务系统的承载平台，网络系统的安全显得尤为重要。因为许多重要的信息都通过网络进行交换。（一） 网络传输由于中心内部网络存在两套网络系统，其中一套为内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA)，在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：网络传输数据保护：由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输；网络隔离保护：与INTERNET进行隔离，控制内网与INTERNET的相互访问；集中统一管理，提高网络安全性；降低成本(设备成本和维护成本)；由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。由于网络安全不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。（二）访问控制由于xx广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，本方案中选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求：1)控制外部合法用户对内部网络的网络访问；2)控制外部合法用户对服务器的访问；3)禁止外部非法用户对内部网络的访问；4)控制内部用户对外部网络的网络；5)阻止外部用户对内部的网络攻击；6)防止内部主机的IP欺骗；7)对外隐藏内部IP地址和网络拓扑结构；8)网络监控；9)网络日志审计。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：1)管理、维护简单、方便；2)安全性高(可有效降低在安全设备使用上的配置漏洞)；3)硬件成本和维护成本低；4)网络运行的稳定性更高。由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。（三）入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。（四）漏洞扫描作为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整6.3.2应用系统安全（一）系统平台安全各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。（二）应用平台安全企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。对于xx，在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。6.3.3病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，所以我们利用全方位的企业防毒产品，对xx采用“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时有几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。（一）系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求：1)采用世界最先进的防毒产品与xx网络系统的实际需要相结合，确保xx网络系统具有最佳的病毒防护能力的情况下综合成本最少；2)贯彻“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害；3)充分考虑xx网络的系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。4)应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。5)所选用产品具备对多种压缩格式文件的病毒检测。6)所选用产品易于安装、操作简便、便于管理和维护，具有友好的用户界面。7)应用经由ICSA(国际电脑安全协会)技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率，除对已知病毒具备全面的侦防能力，对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。8)完全自动化的日常维护，便于进行病毒码及扫描引擎的更新。9)提供良好的售后服务及技术支持。10)具有良好的可扩充性，充分保护用户的现有投资，适应 XXX网络系统的今后发展需要（二）产品应用根据xx网络系统的结构和应用特点，病毒防御可采取多种措施：1)网关防毒；2)服务器防毒；3)客户端防毒；4)邮件防毒；在网络骨干接入处，安装防毒墙(即安装有网关杀毒软件的独立网关设备)，由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理(SMTP、FTP、HTTP)。在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端，