xx企业网络安全综合设计方案

1、重庆工业职业技术学院重庆工业职业技术学院 信息安全课程实训报告信息安全课程实训报告 题目：企业网络安全综合设计方案题目：企业网络安全综合设计方案 班级：班级：11信安信安301 姓名：陈巧姓名：陈巧2011206301111 何月何月2011206301110 指导老师：何静指导老师：何静 责任系部：信息工程学院责任系部：信息工程学院 关键词 ?信息安全 ?企业网络安全 ?安全防护 xx企业网络安全综合设计方案 一、企业网络分析 ?xx科技有限公司是一家以信息安全产品销 售为主营业务的小型企业，公司网络通过 中国联通光纤接入 Internet。 该公司拥有子 公司若干，并与其它信息安全产品销售

2、公 司建立了兄弟公司关系。为了适应业务的 发展的需要，实现信息的共享，协作和通 讯，并和各个部门互连，对该信息网络系 统的建设与实施提出了方案。 企业网络拓扑构建图 二、网络威胁、风险分析 2.1 黑客攻击 ? “ 黑客”（Hack）对于大家来说可能并不陌生，他们是一 群利用自己的技术专长专门攻击网站和计算机而不暴露身 份的计算机用户，由于黑客技术逐渐被越来越多的人掌握 和发展，目前世界上约有20多万个黑客网站，这些站点都 介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞， 因而任何网络系统、站点都有遭受黑客攻击的可能。尤其 是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段， 使得黑客们善于

3、隐蔽，攻击“杀伤力”强，这是网络安全 的主要威胁1。而就目前网络技术的发展趋势来看，黑客 攻击的方式也越来越多的采用了病毒进行破坏，它们采用 的攻击和破坏方式多种多样，对没有网络安全防护设备 （防火墙）的网站和系统（或防护级别较低）进行攻击和 破坏，这给网络的安全防护带来了严峻的挑战。 2.2 网络自身和管理存在欠缺 ?因特网的共享性和开放性使网上信息安全存在先 天不足，因为其赖以生存的 TCP/IP协议，缺乏相 应的安全机制，而且因特网最初的设计考虑是该 网不会因局部故障而影响信息的传输，基本没有 考虑安全问题，因此它在安全防范、服务质量、 带宽和方便性等方面存在滞后和不适应性。网络 系统的

4、严格管理是企业、组织及政府部门和用户 免受攻击的重要措施。事实上，很多企业、机构 及用户的网站或系统都疏于这方面的管理，没有 制定严格的管理制度。据 IT界企业团体ITAA的调 查显示，美国90的IT企业对黑客攻击准备不足。 目前美国7585的网站都抵挡不住黑客的攻 击，约有75的企业网上信息失窃。 2.3 软件设计的漏洞或“后门”而产生的 问题 ?随着软件系统规模的不断增大，新的软件产品开 发出来，系统中的安全漏洞或“后门”也不可避 免的存在，比如我们常用的操作系统，无论是 Windows还是UNIX几乎都存在或多或少的安全漏 洞，众多的各类服务器、浏览器、一些桌面软件 等等都被发现过存在安

5、全隐患。大家熟悉的一些 病毒都是利用微软系统的漏洞给用户造成巨大损 失,可以说任何一个软件系统都可能会因为程序员 的一个疏忽、设计中的一个缺陷等原因而存在漏 洞，不可能完美无缺。这也是网络安全的主要威 胁之一。 2.4 恶意网站设置的陷阱 ?互联网世界的各类网站，有些网站恶意编 制一些盗取他人信息的软件，并且可能隐 藏在下载的信息中，只要登录或者下载网 络的信息就会被其控制和感染病毒，计算 机中的所有信息都会被自动盗走，该软件 会长期存在你的计算机中，操作者并不知 情，如 “木马”病毒。因此，不良网站和 不安全网站万不可登录，否则后果不堪设 想。 2.6 用户网络内部工作人员的不良行为引 起的

6、安全问题 ?网络内部用户的误操作，资源滥用和恶意 行为也有可能对网络的安全造成巨大的威 胁。由于各行业，各单位现在都在建局域 网，计算机使用频繁，但是由于单位管理 制度不严，不能严格遵守行业内部关于信 息安全的相关规定，都容易引起一系列安 全问题。 2.7 竞争对手的恶意窃取、破坏以及攻击 ?xx企业是以销售为主的IT行业，所以用户信 息异常珍贵和重要，如果遭到竞争对手的 恶意窃取、破坏以及攻击，后果不堪设想。 三、安全系统建设原则 ?整体性原则：“木桶原理”，单纯一种安全手段 不可能解决全部安全问题 ; ?多重保护原则：不把整个系统的安全寄托在单一 安全措施或安全产品上 ; ?性能保障原则：

7、安全产品的性能不能成为影响整 个网络传输的瓶颈; ?平衡性原则：制定规范措施，实现保护成本与被 保护信息的价值平衡 ; ?可管理、易操作原则：尽量采用最新的安全技术， 实现安全管理的自动化，以减轻安全管理的负担， 同时减小因为管理上的疏漏而对系统安全造成的 威胁; 三、安全系统建设原则 ?适应性、灵活性原则：充分考虑今后业务和网络 安全协调发展的需求，避免因只满足了系统安全 要求，而给业务发展带来障碍的情况发生 ; ?高可用原则：安全方案、安全产品也要遵循网络 高可用性原则; ?技术与管理并重原则：“三分技术，七分管理”， 从技术角度出发的安全方案的设计必须有与之相 适应的管理制度同步制定，并

8、从管理的角度评估 安全设计方案的可操作性； ?投资保护原则：要充分发挥现有设备的潜能，避 免投资的浪费; 四、网络安全总体设计 4.1 需求分析 根据xx企业满足内部网络机构，根据 XXX企业 各级内部网络机构、广域网结构、和三级网络管 理、应用业系统的特点，本方案主要从以下几个 方面进行安全设计： ?数据安全保护,使用加密技术,保护重要数据的保密 性； ?网络系统安全,防火墙的设置 ； ?物理安全,应用硬件等安装配置 ； ?应用系统安全,局域网内数据传输的安全保证 。 4.2 方案综述 ?首先设置vpn,方便内网与外网的连接。虚拟 专用网是对企业内部网的扩展.可以帮助远 程用户,公司分支机构

9、,商业伙伴及供应商同 公司的内部网建立可信的安全连接，并保 证数据(Data)的安全传输.虚拟专用网可以 用于不断增长的移动用户的全球因特网接 入，以实现安全连接；可以用于实现企业 网站之间安全通信的虚拟专用线路，用于 经济有效地连接到商业伙伴和用户的安全 外联网虚拟专用网. 4.2 方案综述 ?设置防火墙，防火墙是对通过互联网连接 进入专用网络或计算机系统的信息进行过 滤的程序或硬件设备。所以如果过滤器对 传入的信息数据包进行标记，则不允许该 数据包通过。能够保证使用的网站的安全 性，以及防止恶意攻击以及破坏企业网络 正常运行和软硬件，数据的安全。防止服 务器拒绝服务攻击. 4.2 方案综述

10、 ?网络病毒防护，采用网络防病毒系统。在 网络中部署被动防御体系（防病毒系统）, 采用主动防御机制（防火墙、安全策略、 漏洞修复等），将病毒隔离在网络大门之 外。从总部到分支机构，由上到下，各个 局域网的防病毒系统相结合，最终形成一 个立体的、完整的企业网病毒防护体系。 4.2 方案综述 ?设置DMZ，数据冗余存储系统。将需要保 护的Web应用程序服务器和数据库系统放 在内网中，把没有包含敏感数据、担当代 理数据访问职责的主机放置于DMZ中，这 样就为应用系统安全提供了保障。DMZ使 包含重要数据的内部系统免于直接暴露给 外部网络而受到攻击，攻击者即使初步入 侵成功，还要面临DMZ设置的新的障

11、碍。 4.2 方案综述 ?设置数据备份管理系统，专门备份企业重 要数据。为避免客观原因、自然灾害等原 因造成的数据损坏、丢失，可采用异地备 份方式。 4.2 方案综述 ?双重数据信息保护，在重要部门以及工作 组前设置交换机，可以在必要时候断开网 络连接，防止网络攻击，并且设置双重防 火墙，进出的数据都将受到保护。 4.2 方案综述 ?设置备份服务器，用于因客观原因、自然 灾害等原因造成的服务器崩溃。 4.2 方案综述 ?广域网接入部分, 采用入侵检测系统 （IDS） 。对外界入侵和内部人员的越界行 为进行报警。在服务器区域的交换机上、 Internet接入路由器之后的第一台交换机上 和重点保护

12、网段的局域网交换机上装上IDS。 4.2 方案综述 ?系统漏洞分析。采用漏洞分析设备 五、安全设备要求 5.1 硬件设备 ?pc机若干台,包括网络管理机,员工工作用机； ?交换机2台； ?服务器4台； ?防火墙5台； ?内外网隔离卡内外网隔离卡 ； ?漏洞扫描器； ?AMTT innFOR IDS 。 5.2软件设备 ?病毒防御系统； ?查杀病毒软件； ?访问控制设置。 六、技术支持与服务 ? 6.1虚拟网技术虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。 交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因 此，网管系统有能力限制局域网通讯的范围而无需

13、通过开销很大的路 由器。 ? 由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应 该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过 虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟 网内节点。 ? 以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实 际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监 听和插入（改变）问题。 ? 但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此， VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换 端口或每个交换端口所在的网段机器均属于相同的VLAN。 6.2防火墙技术防火墙技

14、术 ?网络防火墙技术是一种用来加强网络之间 访问控制,防止外部网络用户以非法手段通 过外部网络进入内部网络,访问内部网络资 源,保护内部网络操作环境的特殊网络互联 设备.它对两个或多个网络之间传输的数据 包如链接方式按照一定的安全策略来实施 检查,以决定网络之间的通信是否被允许,并 监视网络运行状态. 6.2防火墙技术防火墙技术 防火墙技术又有三种类型 ?包过滤型包过滤型 ?网络地址转换网络地址转换(NAT) ?代理型代理型 ?监测型监测型 6.3病毒防护技术病毒防护技术 ?病毒历来是信息系统安全的主要问题之一。由于 网络的广泛互联，病毒的传播途径和速度大大加 快。 ?我们将病毒的途径分为：

15、?(1 ) 通过FTP，电子邮件传播。 ?(2) 通过软盘、光盘、磁带传播。 ?(3) 通过Web游览传播，主要是恶意的 Java控件 网站。 ?(4) 通过群件系统传播。 6.3病毒防护技术病毒防护技术 ? 病毒防护的主要技术如下： ? (1) 阻止病毒的传播。 ? 在防火墙、代理服务器、SMTP服务器、网络服务器、群 件服务器上安装病毒过滤软件。在桌面PC安装病毒监控 软件。 ? (2) 检查和清除病毒。 ? 使用防病毒软件检查和清除病毒。 ? (3) 病毒数据库的升级。 ? 病毒数据库应不断更新，并下发到桌面系统。 ? (4) 在防火墙、代理服务器及PC上安装Java及ActiveX控

16、制扫描软件，禁止未经许可的控件下载和安装。 6.4入侵检测技术入侵检测技术 ? 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入 侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网 络连接等。 ? 实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击， 其次它能够缩短hacker入侵的时间。 ? 入侵检测系统可分为两类： ? 基于主机 ? 基于网络 ? 基于主机及网络的入侵监控系统通常均可配置为分布式模式： ? (1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器 报告及上传证据，提供跨平台的入侵监视解决方案。 ? (2) 在需要监视的网络路径上

17、，放置监视模块(sensor),分别向管理服 务器报告及上传证据，提供跨网络的入侵监视解决方案。 6.5安全扫描技术安全扫描技术 ?网络安全技术中，另一类重要技术为安全 扫描技术。安全扫描技术与防火墙、安全 监控系统互相配合能够提供很高安全性的 网络。 6.6认证和数字签名技术认证和数字签名技术 ? 认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作 为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程 中的不可抵赖要求的实现。 ? 认证技术将应用到企业网络中的以下方面： ? (1) 路由器认证，路由器和交换机之间的认证。 ? (2) 操作系统认证。操作系统对用户的认证。 ?

18、 (3) 网管系统对网管设备之间的认证。 ? (4) VPN网关设备之间的认证。 ? (5) 拨号访问服务器与客户间的认证。 ? (6) 应用服务器(如Web Server)与客户的认证。 ? (7) 电子邮件通讯双方的认证。 ? 数字签名技术主要用于： ? (1) 基于PKI认证体系的认证过程。 ? (2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。 6.7 VPN技术技术 ?完整的集成化的企业范围的VPN安全解决 方案，提供在INTERNET上安全的双向通 讯，以及透明的加密方案以保证数据的完 整性和保密性。 ?企业网络的全面安全要求保证： ?保密-通讯过程不被窃听。 ?通讯主体真实性确认