信息系统安全整体解决方案

1、信息系统安全整体解决方案 1安全系统整体解决方案设计第一章企业网络的现状描述 (3)1.1 企业网络的现状描述 (3)第二章企业网络的漏洞分析 (4)2.1 物理安全 (4)2.2 主机安全 (4)2.3 外部安全 (4)2.4 内部安全 (5)(5)2.5 内部网络之间、内外网络之间的连接安全 第三章企业网络安全整体解决方案设计 (5)3.1 企业网络的设计目标 (5)3.2 企业网络的设计原则 (6)3.3 物理安全解决方案 (7)3.4 主机安全解决方案 (7)3.5 网络安全解决方案 (7)第四章方案的验证及调试 (9)第五章总结 (9)参考资料 错 误！未定义书签。企业网络整体解决方

2、案设计第一章企业网络的现状描述1.1企业网络的现状描述网络拓扑图以 Internet 发展为代表的全球性信息化浪潮日益深刻，信息 网络技术的应用正日益普及和广泛， 应用层次正在深入， 应用领 域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中 -高端开放式系统 (Unix 和 NT )部 分迅速融合成为一个异构企业部分。以往安全系统的设计是采用被动防护模式， 针对系统出现的 各种情况采取相应的防护措施，当新的应用系统被采纳以后、 或者发现了新的系统漏洞， 使系统在实际运行中遭受攻击， 系统管理员再根据情况采取相应 的补救措施。 这种以应用处理为核心的安全防护方案

3、使系统管理 人员忙于处理不同系统产生的各种故障。 人力资源浪费很大， 而 且往往是在系统破坏造成以后才进行处理， 防护效果不理想， 也 很难对网络的整体防护做出规划和评估。安全的漏洞往往存在于系统中最薄弱的环节， 邮件系统、 网 关无一不直接威胁着企业网络的正常运行 ;中小企业需要防止网 络系统遭到非法入侵、 未经授权的存取或破坏可能造成的数据丢 失、系统崩溃等问题， 而这些都不是单一的防病毒软件外加服务 器就能够解决的。 因此无论是网络安全的现状， 还是中小企业自 身都向广大安全厂商提出了更高的要求。第二章企业网络的漏洞分析2.1 物理安全网络的物理安全的风险是多种多样的。网络的物理安全主要

4、是指地震、水灾、火灾等环境事故；电 源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线 路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及 报警系统、安全意识等。它是整个网络系统安全的前提，在这个 企业区局域网内， 由于网络的物理跨度不大， 只要制定健全的安 全管理制度，做好备份，并且加强网络设备和机房的管理，防止 非法进入计算机控制室和各种盗窃， 破坏活动的发生， 这些风险 是可以避免的。2.2 主机安全对于中国来说， 恐怕没有绝对安全的操作系统可以选择， 无 论是 Microsoft 的 Windows NT 或者其他任何商用 UNIX 操作系 统，其开发厂商必然有其 Back

5、-Door 。我们可以这样讲：没有完 全安全的操作系统。 但是，我们可以对现有的操作平台进行安全 配置、对操作和访问权限进行严格控制，提高系统的安全性。因 此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须 加强登录过程的认证， 特别是在到达服务器主机之前的认证， 确 保用户的合法性； 其次应该严格限制登录者的操作权限， 将其完 成的操作限制在最小的范围内。与日常生活当中一样， 企业主机也存在着各种各样的安全问 题。使用者的使用权限不同， 企业主机所付与的管理权限也不一 样，同一台主机对不同的人有着不同的使用范围。同时，企业主 机也会受到来自病毒， 黑客等的袭击， 企业主机对此也必须做好

6、 预防。在安装应用程序的时候，还得注意它的合法权限，以防止 它所携带的一些无用的插件或者木马病毒来影响主机的运行和 正常工作，甚至盗取企业机密。2.3 外部安全拒绝服务攻击。 值得注意的是， 当前运行商受到的拒绝服务 攻击的威胁正在变得越来越紧迫。 对拒绝服务攻击的解决方案也 越来越受到国际上先进电信提供商的关注。 对大规模拒绝服务攻 击能够阻止、 减轻、 躲避的能力是标志着一个电信企业可以向客 户承诺更为健壮、 具有更高可用性的服务， 也是真个企业的网络 安全水平进入一个新境界的重要标志。外部入侵。 这里是通常所说的黑客威胁。 从前面几年时间的 网络安全管理经验和渗透测试结果来看， 当前大多

7、数电信网络设 备和服务都存在着被入侵的痕迹， 甚至各种后门。 这些是对网络 自主运行的控制权的巨大威胁， 使得客户在重要和关键应用场合 没有信心，损失业务，甚至造成灾难性后果。病毒。病毒时时刻刻威胁着整个互联网。 前段时间美国国防部和全年北京某部内部网遭受的大规模病毒爆发都使得整个内部办公和业务瘫痪数个小时， 而MS Blaster及Nimda和Code Red 的爆发更是具有深远的影响， 促使人们不得不在网络的各个环节 考虑对于各种病毒的检测防治。 对病毒的彻底防御重要性毋庸置 疑。2.4 内部安全最新调查显示， 在受调查的企业中 60%以上的员工利用网络 处理私人事务。对网络的不正当使用，

8、降低了生产率、阻碍电脑 网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员 工可以通过网络泄漏企业机密，从而导致企业数千万美金的损 失。不满的内部员工可能在 WWW 站点上开些小玩笑，甚至破 坏。不论如何， 他们最熟悉服务器、 小程序、 脚本和系统的弱点。 对于已经离职的不满员工， 可以通过定期改变口令和删除系统记 录以减少这类风险。 但还有心怀不满的在职员工， 这些员工比已 经离开的员工能造成更大的损失， 例如他们可以传出至关重要的 信息、泄露安全重要信息、错误地进入数据库、删除数据等等。2.5 内部网络之间、内外网络之间的连接安全内部网络与外部网络间如果在没有采取一定的安全防护措 施

9、，内部网络容易遭到来自外网的攻击。包括来自 internet 上的 风险和下级单位的风险。内部局网不同部门或用户之间如果没有采用相应一些访问 控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中， 70%的攻击是来自内部。因此内部网的安全风 险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已 攻击或泄露重要信息内外勾结， 都将可能成为导致系统受攻击的 最致命安全威胁。随着企业的发展壮大及移动办公的普及， 逐渐形成了企业总 部、各地分支机构、移动办公人员这样的新型互动运营模式。怎 么处理总部与分支机构、 移动办公人员的信息共享安全， 既要保 证信息的及时共享， 又要防止机密的泄漏已经成为企业成长过程 中不得不考虑的问题。 各地机构与总部之间的网络连接安全直接 影响企业的高效运作第三章企业网络安全整体解决方案设计3.1 企业网络的设计目标企业网络安全的设计目标与其他网络安全