旭日信息安全整体规划OK

1、旭日信息安全系统整体规划2011年03月第一章 环境及需求1.1 环境现状描述旭日目前的应用环境为：1台域控服务器和Exchange集成、1台文件服务器。域控系统为windows server 2003。文件服务器为windows server 2008.1.2 安全分析内网是网络应用中的一个主要组成部分，其安全性也受到越来越多的重视。要提高内网的安全，就要做到，采用安全交换机由于内网的信息传输采用广播技术，数据包在广播域中很容易受到监听和截获，因此需要使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源，以加强内网的安全性。操作系统的安全从终端用户的程序到服务器应用服务、

2、以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外，还需要建立一套对系统的监控系统，并建立和实施有效的用户口令和访问控制等制度。对重要资料进行备份在内网系统中数据对用户的重要性越来越大，实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击，用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。对数据的保护来说，

3、选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。使用代理网关使用代理网关的好处在于，网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关，进而才能访问到Internet ，这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。在代理服务器两端采用不同协议标准，也可以阻止外界非法访问的入侵。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。设置防火墙防火墙的选择应该适当，对于几乎所有的路由器产品而言，都可以通过内置的防火墙防范部分的攻击，而硬件防火墙的应

4、用，可以使安全性得到进一步加强。信息保密防范为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应行

5、加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等，也可以采取相应的保密措施。从攻击角度入手目前，计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)攻击和计算机病毒攻击。为了保护网络安全，也可以从这几个方面进行。对付“拒绝服务”攻击有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。通过安装非法入侵侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时可以立刻有效终止服务，以便有效地预防企业机密

6、信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。防范计算机病毒从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点：与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播;所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强;因为其扩散极快，不再追求隐藏性，而更加

7、注重欺骗性;利用系统漏洞将成为病毒有力的传播方式。安全不应再仅仅停留于“堵”、“杀”或者“防”，应该以动态的方式积极主动应用来自安全的挑战，因而健全的内网安全管理制度及措施是保障内网安全必不可少的措施。第二章 整体解决方案规划2.1 整体规划拓扑结构图2.2 整体解决方案概述1、设计原则1.安全性和可靠性 整个系统必须具有高度的安全性、可靠性和稳定性；2.成熟性和先进性 应采用被实践证明为技术成熟且领先的技术设备，最大限度地满足现在业务和未来发展的需求；3.开放性和可扩展性 考虑未来发展的需要，使系统与未来扩展的设备具有互联性和互操作性，便于升级、换代、使整个系统可以随着科学技术的发展与进步，

8、不断得到充实、完善、改进和提高。2、设计目标为旭日办公网络提供了一个稳定、可靠、安全、有效的工作平台。3、方案分析1.域管理环境，并做好辅助域。从终端做到数据安全。域环境优点：（1）权限管理比较集中，管理成本大大下降。                                            &#

9、160;      （2）域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。（3）防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。（4）安全性加强。（5）方便用户使用各种资源。2.ISA 2006企业版代理上网，多台服务器负载均衡，减少服务器故障。(1)、对正在发生的网络通信和过去10分钟内的网络访问进行监视。(2)、能够统计一定时期内部门和个人的互联网访问请求量、数据流量和访问时间。(3)、融合AD域管理功能，用户可以从AD域服务器直接提取SAM Account帐号、OU和Group部门数据，在AD树上定义部门以及部门用户。 (4)、能够分析部门、用户、用户IP、网站、网站IP、网络文件、文件类别、查询串、网站端口、HTTP状态码、ISA缓存信息、日期、星期、时间段等多达25个分析方面的5项上网数据指标（访问请求、发出流量、接收流量、通信时间、浏览时间）及其百分比；能够深入挖掘活跃用户访问过的活