企业网络安全方案的设计

信息安全课程设计 xx 网络安全方案的设计 1 海南经贸职业技术学院信息技术系海南经贸职业技术学院信息技术系 网网 络络 安安 课课 全全 程程 设设 计计 报报 告告 题题 目目 XXXX 网络安全方案网络安全方案的设计的设计 学学 号号 4 4 班班 级级 网络工程网络工程 06 106 1 班班 姓姓 名名 王某某王某某 指导老师指导老师 王天明王天明 信息安全课程设计 xx 网络安全方案的设计 2 设计企业网络安全方案设计企业网络安全方案 摘摘 要要 在这个信息技术飞速发展的时代 许多有远见的企业都认识到很有必 要依托先进的 IT 技术构建企业自身的业务和运营平台来极大地提升企业的核心 竞争力 使企业在残酷的竞争环境中脱颖而出 经营管理对计算机应用系统的 依赖性增强 计算机应用系统对网络的依赖性增强 计算机网络规模不断扩大 网络结构日益复杂 计算机网络和计算机应用系统的正常运行对网络安全提出 了更高的要求 本文主要通过安全体系建设原则 实例化的企业整体网络安全 方案以及该方案的组织和实施等方面的阐述 为企业提供一个可靠地 完整的 方案 关键词 信息安全 企业网络安全 安全防护 一 引言一 引言 随着国内计算机和网络技术的迅猛发展和广泛普及 企业经营活动的各种 业务系统都立足于 Internet Intranet 环境中 但随之而来的安全问题也在困扰着 用户 Internet 所具有的开放性 国际性和自由性在增加应用自由度的同时 对 安全提出了更高的要求 一旦网络系统安全受到严重威胁 甚至处于瘫痪状态 将会给企业 社会 乃至整个国家带来巨大的经济损失 应此如何使企业信息 网络系统免受黑客和病毒的入侵 已成为信息事业健康发展所要考虑的重要事 情之一 一般企业网络的应用系统 主要有 WEB E mail OA MIS 财务系统 人事系统等 而且随着企业的发展 网络体系结构也会变得越来越复杂 应用 系统也会越来越多 但从整个网络系统的管理上来看 通常包括内部用户 也 有外部用户 以及内外网之间 因此 一般整个企业的网络系统存在三个方面 的安全问题 1 Internet 的安全性 随着互联网的发展 网络安全事件层出不穷 近 年来 计算机病毒传播 蠕虫攻击 垃圾邮件泛滥 敏感信息泄露等已成为影 响最为广泛的安全威胁 对于企业级用户 每当遭遇这些威胁时 往往会造成 数据破坏 系统异常 网络瘫痪 信息失窃 工作效率下降 直接或间接的经 济损失也很大 信息安全课程设计 xx 网络安全方案的设计 3 2 企业内网的安全性 最新调查显示 在受调查的企业中 60 以上的 员工利用网络处理私人事务 对网络的不正当使用 降低了生产率 阻碍电脑 网络 消耗企业网络资源 并引入病毒和间谍 或者使得不法员工可以通过网 络泄漏企业机密 从而导致企业数千万美金的损失 所以企业内部的网络安全 同样需要重视 存在的安全隐患主要有未授权访问 破坏数据完整性 拒绝服 务攻击 计算机病毒传播 缺乏完整的安全策略 缺乏监控和防范技术手段 缺乏有效的手段来评估网络系统和操作系统的安全性 缺乏自动化的集中数据 备份及灾难恢复措施等 3 内部网络之间 内外网络之间的连接安全 随着企业的发展壮大及移 动办公的普及 逐渐形成了企业总部 各地分支机构 移动办公人员这样的新 型互动运营模式 怎么处理总部与分支机构 移动办公人员的信息共享安全 既要保证信息的及时共享 又要防止机密的泄漏已经成为企业成长过程中不得 不考虑的问题 各地机构与总部之间的网络连接安全直接影响企业的高效运作 二 以某公司为例 二 以某公司为例 综合型企业网络简图如下 分析现状并分综合型企业网络简图如下 分析现状并分 析需求 析需求 信息安全课程设计 xx 网络安全方案的设计 4 图说明图说明 图一图一 企业网络简图企业网络简图 对该公司的信息安全系统无论在总体构成 信息安全产品的功能和性能上 信息安全课程设计 xx 网络安全方案的设计 5 也都可能存在一定的缺陷 具体表现在 1 系统性不强 安全防护仅限于网络安全 系统 应用和数据的安全存 在较大的风险 2 原有的网络安全产品在功能和性能上都不能适应新的形势 存在一定 的网络安全隐患 产品亟待升级 3 经营管理对计算机应用系统的依赖性增强 计算机应用系统对网络的 依赖性增强 计算机网络规模不断扩大 网络结构日益复杂 计算机网络和计 算机应用系统的正常运行对网络安全提出了更高的要求 4 计算机应用系统涉及越来越多的企业关键数据 这些数据大多集中在 公司总部数据中心 因此有必要加强各计算机应用系统的用户管理和身份的认 证 加强对数据的备份 并运用技术手段 提高数据的机密性 完整性和可用 性 由以上分析可知该公司信息系统存在较大的风险 信息安全的需求主要体 现在如下几点 1 某公司信息系统不仅需要安全可靠的计算机网络 也需要做好系统 应用 数据各方面的安全防护 为此 要加强安全防护的整体布局 扩大安全 防护的覆盖面 增加新的安全防护手段 2 网络规模的扩大和复杂性的增加 以及新的攻击手段的不断出现 使 某公司计算机网络安全面临更大的挑战 原有的产品进行升级或重新部署 3 信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要 求 为此要加快规章制度和技术规范的建设 使安全防范的各项工作都能够有 序 规范地进行 4 信息安全防范是一个动态循环的过程 如何利用专业公司的安全服务 做好事前 事中和事后的各项防范工作 应对不断出现的各种安全威胁 也是 某公司面临的重要课题 三 设计原则三 设计原则 安全体系建设应按照 统一规划 统筹安排 统一标准 分步实施 的原 则进行 避免重复投入 重复建设 充分考虑整体和局部的利益 具体如下 1 标准化原则 2 系统化原则 信息安全课程设计 xx 网络安全方案的设计 6 3 规避风险原则 4 保护投资原则 5 多重保护原则 6 分步实施原则 四 四 企业网络企业网络安全解决方案安全解决方案的思路的思路 1 安全系统架构安全系统架构 安全方案必须架构在科学网络安全系统架构之上 因为安全架构是安全方 案设计和分析的基础 随着针对应用层的攻击越来越多 威胁越来越大 只针对网络层以下的安 全解决方案已经不足以应付来自应用层的攻击了 举个简单的例子 那些携带 着后门程序的蠕虫病毒是简单的防火墙 VPN 安全体系所无法对付的 因此我们 建议企业采用立体多层次的安全系统架构 这种多层次的安全体系不仅要求在 网络边界设置防火墙 VPN 还要设置针对网络病毒和垃圾邮件等应用层攻击的 防护措施 将应用层的防护放在网络边缘 这种主动防护可将攻击内容完全阻 挡在企业内部网之外 2 安全防护体系安全防护体系 信息安全防范应做整体的考虑 全面覆盖信息系统的各层次 针对网络 系统 应用 数据做全面的防范 信息安全防范体系模型显示安全防范是一个 动态的过程 事前 事中和事后的技术手段应当完备 安全管理应贯穿安全防 范活动的始终 如图二所示 图说明图说明 图二图二 网络与信息安全防范体系模型网络与信息安全防范体系模型 信息安全课程设计 xx 网络安全方案的设计 7 3 企业网络安全结构图企业网络安全结构图 通过以上分析可得总体安全结构应实现大致如图三所示的功能 图说明图说明 图三图三 总体安全结构图总体安全结构图 五 整体网络安全方案五 整体网络安全方案 1 网络安全认证平台网络安全认证平台 证书认证系统无论是企业内部的信息网络还是外部的网络平台 都必须建 立在一个安全可信的网络之上 目前 解决这些安全问题的最佳方案当数应用 PKI CA 数字认证服务 PKI Public Key Infrastructure 公钥基础设施 是利用公 开密钥理论和技术建立起来的提供在线身份认证的安全体系 它从技术上解决 了网上身份认证 信息完整性和抗抵赖等安全问题 为网络应用提供可靠的安 全保障 向用户提供完整的 PKI CA 数字认证服务 通过建设证书认证中心系 统 建立一个完善的网络安全认证平台 能够通过这个安全平台实现以下目标 信息安全课程设计 xx 网络安全方案的设计 8 1 身份认证 Authentication 确认通信双方的身份 要求通信双方的身份 不能被假冒或伪装 在此体系中通过数字证书来确认对方的身份 2 数据的机密性 Confidentiality 对敏感信息进行加密 确保信息不被泄 露 在此体系中利用数字证书加密来完成 3 数据的完整性 Integrity 确保通信信息不被破坏 截断或篡改 通过哈 希函数和数字签名来完成 4 不可抵赖性 Non Repudiation 防止通信对方否认自己的行为 确保通 信方对自己的行为承认和负责 通过数字签名来完成 数字签名可作为法律证 据 2 VPN 系统系统 VPN Virtual Private Network 虚拟专用网 是将物理分布在不同地点的网络 通过公用骨干网 如 Internet 连接而成的逻辑上的虚拟专用网 和传统的物理方 式相比 具有降低成本及维护费用 易于扩展 数据传输的高安全性 通过安装部署 VPN 系统 可以为企业构建虚拟专用网络提供了一整套安全 的解决方案 它利用开放性网络作为信息传输的媒体 通过加密 认证 封装 以及密钥交换技术在公网上开辟一条隧道 使得合法的用户可以安全的访问企 业的私有数据 用以代替专线方式 实现移动用户 远程 LAN 的安全连接 集中的安全策略管理可以对整个 VPN 网络的安全策略进行集中管理和配置 3 网络防火墙网络防火墙 采用防火墙系统实现对内部网和广域网进行隔离保护 对内部网络中服务 器子网通过单独的防火墙设备进行防护 其网络结构一般如下 信息安全课程设计 xx 网络安全方案的设计 9 图说明图说明 图四图四 防火墙防火墙 此外在实际中可以增加入侵检测系统 作为防火墙的功能互补 提供对监 控网段的攻击的实时报警和积极响应等功能 4 4 病毒防护系统病毒防护系统 应强化病毒防护系统的应用策略和管理策略 增强勤业网络的病毒防护 功能 这里我们可以选择瑞星网络版杀毒软件企业版 瑞星网络杀毒软件是一 个专门针对网络病毒传播特点开发的网络防病毒软件 通过瑞星网络防病毒体 系在网络内客户端和服务器上建立反病毒系统 并且可以实现防病毒体系的统 一 集中管理 实时掌握 了解当前网络内计算机病毒事件 并实现对网络内 的所有计算机远程反病毒策略设置和安全操作 5 对服务器的保护对服务器的保护 在一个企业中对服务器的保护也是至关重要的 在这里我们选择电子邮件 为例来说明对服务器保护的重要性 电子邮件是 Internet 上出现最早的应用之一 随着网络的快速发展 电子 邮件的使用日益广泛 成为人们交流的重要工具 大量的敏感信息随之在网络 上传播 然而由于网络的开放性和邮件协议自身的缺点 电子邮件存在着很大 的安全隐患 目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持 S MIME Secure Multipurpose Internet Mail Extensions 它是从 PEM Privacy Enhanced Mail 和 MIME Internet 邮件的附件标准 发展而来的 首先 它的认证机制依赖于层 次结构的证书认证机构 所有下一级的组织和个人的证书由上一级的组织负责 信息安全课程设计 xx 网络安全方案的设计 10 认证 而最上一级的组织 根证书 之间相互认证 整个信任关系基本是树 状的 其次 S MIME 将信件内容加密签名后作为特殊的附件传送 保证了信 件内容的安全性 下图五是邮件系统保护的简图 透明方式 图说明图说明 图五图五 邮件系统保护邮件系统保护 6 关键网段保护关键网段保护 企业中有的网段上传送的数据 信息是非常重要的 应此对外应是保密的 所以这些网段我们也应给予特别的防护 简图如下图六所示 图说明图说明 图六图六 关键网段的防护关键网段的防护 7 日志分析和统计报表能力日志分析和统计报表能力 信息安全课程设计 xx 网络安全方案的设计 11 对网络内的安全事件也应都作出详细的日志记录 这些日志记录包括事件 名称 描述和相应的主机 IP 地址等相关信息 此外 报表系统还应自动生成各 种形式的攻击统计报表 形式包括日报表 月报表 年报表等 通过来源分析 目标分析 类别分析等多种分析方式 以直观 清晰的方式从总体上分析网络 上发生的各种事件 有助于管理人员提高网络的安全管理 8 内部网络行为的管理和监控内部网络行为的管理和监控 除对外的防护外 对网络内的上网行为也应该进行规范 并监控上网行为 过滤网页访问 过滤邮件 限制上网聊天行为 阻止不正当文件的下载 企业 内部用户上网信息识别度应达到每一个 URL 请求和每一个 URL 请求的回应 通过对网络内部网络行为的监控可以规范网络内部的上网行为 提高工作效率 同时避免企业内部产生网络安全隐患 因此对于桌面微机的管理和监控是减少 和消除内部威胁的有效手段 桌面安全系统把电子签章 文件加密应用和安全登录以及相应的智能卡管 理工具集成到一起 形成一个整体 是针对客户端安全的整体解决方案 分别 有以下几种系统 1 电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性 采用组件技术 可 以无缝嵌入 OFFICE 系统 用户可以在编辑文档后对文档进行签章 或是打开 文档时验证文档的完整性和查看文档的作者 2 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证 使用后 只有具有指定 智能密码钥匙的人才可以登录计算机和网络 用户如果需要离开计算机 只需 拔出智能密码钥匙 即可锁定计算机 3 文件加密系统 文件加密应用系统保证了数据的安全存储 由于密钥保存在智能密码钥匙中 加密算法采用国际标准安全算法或国家密码管理机构指定安全算法 从而保证 了存储数据的安全性 则内网综合保护简图如下图七所示 信息安全课程设计 xx 网络安全方案的设计 12 图说明图说明 图七图七 内网综合保护内网综合保护 9 移动用户管理系统移动用户管理系统 对于企业内部的笔记本电脑在外工作 当要接入内部网也应进行安全控制 确保笔记本设备的安全性 有效防止病毒或黑客程序被携带进内网 10 身份认证的解决方案身份认证的解决方案 身份认证是指计算机及网络系统确认操作者身份的过程 基于 PKI 的身份 认证方式是近几年发展起来的一种方便 安全的身份认证技术 它采用软硬件 相结合 一次一密的强双因子认证模式 很好地解决了安全性与易用性之间的 矛盾 USB Key 是一种 USB 接口的硬件设备 它内置单片机或智能卡芯片 可 以存储用户的密钥或数字证书 利用 USB Key 内置的密码算法实现对用户身份 的认证 基于 PKI 的 USB Key 的解决方案不仅可以提供身份认证的功能 还可构建 用户集中管理与认证系统 应用安全组件 客户端安全组件和证书管理系统通 过一定的层次关系和逻辑联系构成的综合性安全技术体系 从而实现上述身份 证 授权与访问控制 安全审计 数据的机密性 完整性 抗抵赖性的总体要 求 六 六 方案的组织与实施方式方案的组织与实施方式 信息安全课程设计 xx 网络安全方案的设计 13 由以上的分析及设计 可知网络与信息安全防范体系流程主要由三大部分 组