公司网络安全方案设计

1、公司网络安全方案设计网络安全是指网络系统的硬件、软件及其系统中的数据 受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、 泄露，系统连续可靠正常地运行，网络服务不中断下面是 有关公司网络安全的方案设计，供大家参考！公司网络安全方案设计【1】 网络信息系统的安全 技术体系通常是在安全策略指导下合理配置和部署：网络隔 离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据 加密、身份认证、安全监控与审计等技术设备，并且在各个 设备或系统之间，能够实现系统功能互补和协调动作。网络隔离与访问控制。通过对特定网段、服务进行 物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻 止在网络和服务的边界以外

2、。漏洞发现与堵塞.通过对网络和运行系统安全漏洞的 周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从 管理上堵塞漏洞。3入侵检测与响应.通过对特定网络、服务建立的入侵 检测与响应体系，实时检测出攻击倾向和行为，并采取相应 的行动。加密保护。主动的加密通信，可使攻击者不能了解、 修改敏感信息或数据加密通信方式；对保密或敏感数据进行 加密存储,可防止窃取或丢失。备份和恢复。良好的备份和恢复机制，可在攻击造 成损失时，尽快地恢复数据和系统服务。监控与审计。在办公网络和主要业务网络内配置集 中管理、分布式控制的监控与审计系统.一方面以计算机终 端为单元强化桌面计算的内外安全控制与日志记录；另一方 面

3、通过集中管理方式对内部所有计算机终端的安全态势予 以掌控。在利用公共网络与外部进行连接的“内外网络边界处 使用防火墙，为“内部网络与“外部网络划定安全边界. 在网络内部进行各种连接的地方使用带防火墙功能的VPN设 备，在进行“内外网络的隔离的同时建立网络之间的安全 通道。1.防火墙应具备如下功能：使用NAT把DMZ区的服务器和内部端口影射到Firewall 的对外端口；允许Internet公网用户访问到DMZ区的应用服 务：http、ftp、smtp、dns 等；允许DMZ区内的工作站与应用服务器访问Internet公 网；允许内部用户访问DMZ的应用服务：http、ftp、smtp、 dns

4、、 pop3、 https；允许内部网用户通过代理访问Internet公网；禁止Internet公网用户进入内部网络和非法访问DMZ 区应用服务器；禁止DMZ区的公开服务器访问内部网络；防止来自Internet的DOS 一类的攻击；能接受入侵检测的联动要求，可实现对实时入侵的策略 响应；对所保护的主机的常用应用通信协议能够替换服务器 的Banner信息，防止恶意用户信息刺探；提供日志报表的自动生成功能，便于事件的分析；提供实时的网络状态监控功能，能够实时的查看网络通 信行为的连接状态，通信数据流量。提供连接查询和动态图 表显示.防火墙自身必须是有防黑客攻击的保护能力.2.带防火墙功能的VPN设

5、备是在防火墙基本功能基础 上，通过功能扩展，同时具有在IP层构建端到端的具有加 密选项功能的ESP隧道能力,这类设备也有SVPN的，主要用 于通过外部网络将两个或两个以上“内部局域网安全地连 接起来，一般要求SVPN应具有一下功能：防火墙基本功能，主要包括：IP包过虑、应用代理、提 供DMZ端口和NAT功能等；具有对连接两端的实体鉴别认证能力；支持移动用户远程的安全接入；支持IPESP隧道内传输数据的完整性和机密性保护；提供系统内密钥管理功能；SVPN设备自身具有防黑客攻击以及网上设备认证的能 力。在网络边界配置入侵检测设备，不仅是对防火墙功能的 必要补充，而且可与防火墙一起构建网络边界的防御

6、体系。 通过入侵检测设备对网络行为和流量的特征分析，可以检测 出侵害“内部”网络或对外泄漏的网络行为和流量，与防火 墙形成某种协调关系的互动，从而在“内部网与外部网的 边界处形成保护体系。入侵检测系统的基本功能如下：通过检测引擎对各种应用协议，操作系统，网络交换的 数据进行分析，检测出网络入侵事件和可疑操作行为。对自身的数据库进行自动维护，无需人工干预，并且不 对网络的正常运行造成任何干扰。采取多种报警方式实时报警、音响报警，信息记录到数 据库，提供电子邮件报警、SysLog报警、SNMPTrap报警、 Windows日志报警、Windows消息报警信息，并按照预设策略, 根据提供的报警信息切

7、断攻击连接。与防火墙建立协调联动，运行自定义的多种响应方式， 及时阻隔或消除异常行为。全面查看网络中发生的所有应用和连接，完整的显示当 前网络连接状态.可对网络中的攻击事件，访问记录进行适时查询，并可 根据查询结果输出图文报表，能让管理人员方便的提取信 息。入侵检测系统犹如摄像头、监视器，在可疑行为发生前 有预警，在攻击行为发生时有报警，在攻击事件发生后能记 录，做到事前、事中、事后有据可查。除利用入侵检测设备检测对网络的入侵和异常流量外， 还需要针对主机系统的漏洞采取检查和发现措施.目前常用 的方法是配置漏洞扫描设备.主机漏洞扫描可以主动发现主 机系统中存在的系统缺陷和可能的安全漏洞，并提醒

8、系统管 理员对该缺陷和漏洞进行修补或堵塞。对于漏洞扫描的结果，一般可以按扫描提示信息和建议, 属外购标准产品问题的，应及时升级换代或安装补丁程序； 属委托开发的产品问题的，应与开发商协议修改程序或安装 补丁程序；属于系统配置出现的问题，应建议系统管理员修 改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块 或功能模块。漏洞扫描功能是协助安全管理、掌握网络安全态势的必 要辅助，对使用这一工具的安全管理员或系统管理员有较高 的技术素质要求。考虑到漏洞扫描能检测出防火墙策略配置中的问题，能 与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系 统管理员在事前掌握主动地位，在攻击事件发生前找出并关

9、闭安全漏洞；而入侵检测系统则对系统进行监测以期在系统 被破坏之前阻止攻击得逞。因此，漏洞扫描与入侵检测在安 全保护方面不但有共同的安全目标，而且关系密切。本方案 建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成 的产品，不但可以简化管理，而且便于漏洞扫描、入侵检测 和防火墙之间的协调动作。网络防病毒产品较为成熟，且有几种主流产品。本方案 建议，网络防病毒系统应具备下列功能：网络&单机防护-提供个人或家庭用户病毒防护；文件及存储服务器防护-提供服务器病毒防护；邮件服务器防护一提供LotusNotes， MicrosoftExchange 等病毒防护；网关防护一在SMTP，HTTP,和FTPs

10、ervergateway阻挡计 算机病毒；集中管理一为企业网络的防毒策略，提供了强大的集中 控管能力。关于安全设备之间的功能互补与协调运行各种网络安全设备，都有自己独特的安全探测与安全保 护能力，但又有基于自身主要功能的扩展能力和与其它安全 功能的对接能力或延续能力。因此，在安全设备选型和配置 时，尽可能考虑到相关安全设备的功能互补与协调运行，对 于提高网络平台的整体安全性具有重要意义.防火墙是目前广泛用于隔离网络边界并实施进/出信息 流控制的大众型网络安全产品之一。作为不同网络之间的逻 辑隔离设备，防火墙将内部可信区域与外部危险区域有效隔 离,将网络的安全策略制定和信息流动集中管理控制，为网

11、 络边界提供保护，是抵御入侵控制内外非法连接的。但防火墙具有局限性。这种局限性并不说明防火墙功能 有失缺,而且由于本身只应该承担这样的职能。因为防火墙 是配置在网络连接边界的通道处的，这就决定了它的基本职 能只应提供静态防御，其规则都必须事先设置，对于实时的 攻击或异常的行为不能做出实时反应.这些控制规则只能是 粗颗粒的，对一些协议细节无法做到完全解析。而且，防火 墙无法自动调整策略设置以阻断正在进行的攻击，也无法防 范基于协议的攻击。为了弥补防火墙在实际应用中存在的局限，防火墙厂商 主动提出了协调互动思想即联动问题。防火墙联动即将其它 安全设备探测或处理的结果通过接口引入系统内调整防火 墙的

12、安全策略，增强防火墙的访问控制能力和范围，提高整 体安全水平。与入侵检测实现联动目前，实现入侵检测和防火墙之间的联动有两种方式。 一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中， 即入侵检测系统的数据来源不再来源于抓包，而是流经防火 墙的数据流。但由于入侵检测系统本身也是一个很庞大的系 统，从目前的软硬件处理能力来看，这种联动难于达到预期 效果.第二种方式是通过开放接口来实现联动，即防火墙或 者入侵检测系统开放一个接口供对方调用，按照一定的协议 进行通信、警报和传输，这种方式比较灵活，不影响防火墙 和入侵检测系统的性能。防火墙与入侵检测系统联动，可以对网络进行动静结合 的保护，对网络行为进

13、行细颗粒的检查，并对网络内外两个 部分都进行可靠管理。与防病毒实现联动防火墙处于内外网络信息流的必经之地，在网关一级对 病毒进行查杀是网络防病毒的理想措施。目前已有一些厂商 的防火墙可以与病毒防治软件进行联动，通过提供API定义 异步接口，将数据包转发到装载了网关病毒防护软件的服务 器上进行检查，但这种联动由于性能影响，目前并不适宜部 署在网络边界处。与日志处理间实现联动防火墙与日志处理之间的联动，目前国内厂商做的不多。比较有代表性的是Checkpoint的防火墙，它提供两个API： LEA和ELA，允许第三方访问日志数据。报表和事件分 析采用LEAAPI,而安全与事件整合采用ELAAPI.防

14、火墙产品 利用这个接口与其他日志服务器合作，将大量的日志处理工 作由专门的服务设备完成，提高了专业化程度。上面的安全措施配置解决了网络边界的隔离与保护，网 络与主机的健康运行，以及用户访问网络资源的身份认证和 授权问题。然而，县卫生局网络内部各办公网络、业务网络的运行 秩序的维护，网络操作行为的监督，各种违规、违法行为的 取证和责任认定，以及对操作系统漏洞引发的安全事件的监 视和控制等问题，则是必须予以解决的问题。因此有必要在 各种内部办公网络、业务网内部部署集中管理、分布式控制 的监控与审计系统。这种系统通过在局域网内的管理中心安 装管理器，在各台主机中安装的代理软件形成一个监控与审 计系统

15、，通过对代理软件的策略配置，使得每台工作主机按 照办公或业务操作规范进行操作，并对可能经过主机外围接 口引入的非法入侵，或非法外连和外泄的行为予以阻断和记 录；同时管理器通过网络还能及时收集各主机上的安全状态 信息并下达控制命令，形成“事前预警、事中控制和事后审 计”的监控链。监控与审计系统应具有下列功能：管理器自动识别局域网内所有被监控对象之间的网络 拓扑关系，并采用图形化显示，包括被监控主机的状态等;支持对包含有多个子网的局域网进行全面监控；系统对被监控对象的USB移动存储设备、光驱、软驱等 外设的使用以及利用这些设备进行文件操作等非授权行为 进行实时监视、控制和审计；系统对被监控对象的串

16、/并口等接口的活动状态进行实 时监视、控制和审计；系统对进出被监控对象的网络通信(www，ftp,pop,smtp) 数据包进行实时拦截、分析、处理和审计，对telnet通信 数据包进行拦截；系统可根据策略规定，禁止被监控对象进行拨号(普通 modem拨号、ADSL拨号、社区宽带拨号)连接，同时提供审 计；系统对被监控对象运行的所有进程进行实时监视和审 计；系统支持群组管理，管理员可以根据被监控对象的属性 特征，将其划分成不同的安全组，对每个组制定不同的安全 策略，所有组的成员都根据该策略执行监控功能；支持多角色管理，系统将管理员和审计员的角色分离， 各司其职；强审计能力，系统具有管理员操作审

17、计、被监控对象发 送的事件审计等功能；系统自身有极强的安全性，能抗欺骗、篡改、伪造、嗅 探、重放等攻击。公司网络安全方案设计【2】集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团 广域网采用MPLSVPN技术，用来为各个分公司提供骨干网 络平台和VPN接入，各个分公司可以在集团的骨干信息网络 系统上建设各自的子系统，确保各类系统间的相互独立。某公司属于大型上市公司，在北京，上海、广州等地均 有分公司。公司内部采用无纸化办公，OA系统成熟。每个局 域网连接着该所有部门，所有的数据都从局域网中传递.同 时，各分公司采用VPN技术连接公司总部。该单位为了方便， 将相当一部分业务

18、放在了对外开放的网站上，网站也成为了 既是对外形象窗口又是内部办公窗口。由于网络设计部署上的缺陷，该单位局域网在建成后就 不断出现网络拥堵、网速特别慢的情况，同时有些个别机器 上的杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间 都持续几十分钟，网管简直成了救火队员，忙着清除病毒，重 装系统。对外WEB网站同样也遭到黑客攻击，网页遭到非法 篡改，有些网页甚至成了传播不良信息的平台，不仅影响到 网站的正常运行，而且还对政府形象也造成不良影响。从网 络安全威胁看，集团网络的威胁主要包括外部的攻击和入 侵、内部的攻击或误用、企业内的病毒传播，以及安全管理 漏洞等信息安全现状：经过分析发现该公司信息安

19、全基本上是空白，主要有以下问题:公司没有制定信息安全政策，信息管理不健全。公司在 建内网时与internet的连接没有防火墙。内部网络之间没 有任何安全保障为了让网络正常运行。根据我国信息安全等级保护管理办法的信息安全要 求，近期公司决定对该网络加强安全防护，解决目前网络出 现的安全问题.从安全性和实用性角度考虑，安全需求主要包括以下几 个方面：1、安全管理咨询安全建设应该遵照7分管理3分技术的原则，通过本次 安全项目，可以发现集团现有安全问题，并且协助建立起完 善的安全管理和安全组织体系。2、集团骨干网络边界安全主要考虑骨干网络中Internet出口处的安全，以及移 动用户、远程拨号访问用户

20、的安全3、集团骨干网络服务器安全主要考虑骨干网络中网关服务器和集团内部的服务器， 包括OA、财务、人事、内部WEB等内部信息系统服务器区和 安全管理服务器区的安全.4、集团内联网统一的病毒防护主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。5、统一的增强口令认证系统由于系统管理员需要管理大量的主机和网络设备，如何 确保口令安全称为一个重要的问题。6、统一的安全管理平台通过在集团内联网部署统一的安全管理平台，实现集团 总部对全网安全状况的集中监测、安全策略的统一配置管 理、统计分析各类安全事件、以及处理各种安全突发事件.7、专业安全服务过专业安全服务建立全面的安全策略、管理组织体系及

21、相关管理制度，全面评估企业网络中的信息资产及其面临的 安全风险情况，在必要的情况下,进行主机加固和网络加固. 通过专业紧急响应服务保证企业在面临紧急事件情况下的 处理能力，降低安全风险。骨干网边界安全集团骨干网共有一个Internet出口，位置在总部，在 Internet 出口处部署 LinkTrust Cyberwall-200F/006 防火 墙一台。在 Internet 出 口处部署一台 LinkTrust Network Defender领信网络入侵检测系统，通过交换机端口镜像的方 式，将进出Internet的流量镜像到入侵检测的监听端 口，LinkTrustNetwork Defen

22、der可以实时监控网络中的异常流量，防 止恶意入侵。在各个分公司中添加一个DMZ区，保证各公司的信息安 全，内部网络之间没有任何安全保障骨干网服务器安全集团骨干网服务器主要指网络中的网关服务器和集团 内部的应用服务器包括OA、财务、人事、内部WEB等，以及 专为此次项目配置的、用于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防火墙，实现服务器区与办 公区的隔离，并将内部信息系统服务器区和安全管理服务器 区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机 入侵检测系统，在网络中配置百兆网络入侵检测系统，实现 主机及网络层面的主动防护。漏洞扫描了解自身安全状况，目前面临的安全威胁，

23、存在的安全 隐患，以及定期的了解存在那些安全漏洞，新出现的安全问 题等，都要求信息系统自身和用户作好安全评估。安全评估 主要分成网络安全评估、主机安全评估和数据库安全评估三 个层面.内联网病毒防护病毒防范是网络安全的一个基本的、重要部分。通过对 病毒传播、感染的各种方式和途径进行分析，结合集团网络 的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略.病毒防护体系主要由桌面网络防毒、服务器防毒和邮件 防毒三个方面。增强的身份认证系统由于需要管理大量的主机和网络设备，如何确保口令安 全也是一个非常重要的问题。减小口令危险的最为有效的 办法是采用双因素认

24、证方式.双因素认证机制不仅仅需要用 户提供一个类似于口令或者PIN的单一识别要素，而且需要 第二个要素，也即用户拥有的，通常是认证令牌，这种双因 素认证方式提供了比可重用的口令可靠得多的用户认证级 别。用户除了知道他的PIN号码外，还必须拥有一个认证令 牌。而且口令一般是一次性的，这样每次的口令是动态变化 的，大大提高了安全性.统一安全平台的建立通过建立统一的安全管理平台，建立起集团的安全风险 监控体系，利于从全局的角度发现网络中存在的安全问题， 并及时归并相关人员处理。这里的风险监控体系包括安全信 息库、安全事件收集管理系统、安全工单系统等，同时开发 有效的多种手段实时告警系统，定制高效的安

25、全报表系统。故障管理是网络管理中最基本的功能之一.用户都希望 有一个可靠的计算机网络。当网络中某个组成失效时,网络 管理器必须迅速查找到故障并及时排除。通常不大可能迅速 隔离某个故障，因为网络故障的产生原因往往相当复杂，特 别是当故障是由多个网络组成共同引起的。在此情况下，一 般先将网络修复，然后再分析网络故障的原因。分析故障原 因对于防止类似故障的再发生相当重要。网络故障管理包括 故障检测、隔离和纠正三方面，应包括以下典型功能：故障监测：主动探测或被动接收网络上的各种事件 信息，并识别出其中与网络和系统故障相关的内容，对其中 的关键部分保持跟踪，生成网络故障事件记录。故障报警：接收故障监测模

26、块传来的报警信息，根据 报警策略驱动不同的报警程序，以报警窗口/振铃(通知一 线网络管理人员)或电子邮件(通知决策管理人员)发出网 络严重故障警报。故障信息管理：依靠对事件记录的分析，定义网 络故障并生成故障卡片，记录排除故障的步骤和与故障相关 的值班员日志，构造排错行动记录，将事件-故障一日志构 成逻辑上相互关联的整体，以反映故障产生、变化、消除的 整个过程的各个方面.排错支持工具：向管理人员提供一系列的实时检测 工具，对被管设备的状况进行测试并记录下测试结果以供技 术人员分析和排错；根据已有的徘错经验和管理员对故障状 态的描述给出对徘错行动的提示。检索/分析故障信息:浏阅并且以关键字检索查

27、询 故障管理系统中所有的数据库记录，定期收集故障记录数据, 在此基础上给出被管网络系统、被管线路设备的可靠性参 数。对网络故障的检测依据对网络组成部件状态的监测。 不严重的简单故障通常被记录在 错误日志中，并不作特别 处理;而严重一些的故障则需要通知网络管理器，即所谓的 警报.一般网络管理器应根据有关信息对警报进行处理， 排除故障。当故障比较复杂时，网络管理器应能执行一些 诊断测试来辨别故障原因.计费管理记录网络资源的使用，目的是控制和监测网络 操作的费用和代价。它对一些公共商业网络尤为重要。它可 以估算出用户使用网络资源可能需要的费用和代价，以及已 经使用的资源.网络管理员还可规定用户可使用

28、的最大费 用，从而控制用户过多占用和使用网络 资源.这也从另一方 面提高了网络的效率.另外，当用户为了一个通信目的需要 使用多个网络中的资源时，计费管理应可计算总计费用。计费数据采集:计费数据采集是整个计费系统的基 础，但计费数据采集往往受到采集设备硬件与软件的制约， 而且也与进行计费的网络资源有关。数据管理与数据维护：计费管理人工交互性很强， 虽然有很多数据维护系统自动完成，但仍然需要人为管理， 包括交纳费用的输入、联网单位信息维护，以及账单样式决计费政策制定；由于计费政策经常灵活变化，因此 实现用户自由制定输入计费政策尤其重要。这样需要一个制 定计费政策的友好人机界面和完善的实现计费政策的

29、数据 模型。政策比较与决策支持：计费管理应该提供多套计费 政策的数据比较，为政策制订提供决策依据.数据分析与费用计算：利用采集的网络资源使用 数据，联网用户的详细信息以及计费政策计算网络用户资源 的使用情况，并计算出应交纳的费用。数据查询：提供给每个网络用户关于自身使用网络 资源情况的详细信息，网络用户根据这些信息可以计算、核 对自己的收费情况。配置管理同样相当重要。它初始化网络、并配置网络， 以使其提供网络服务。配置管理是一组对辨别、定义、控 制和监视组成一个通信网络的对象所必要的相关功能，目的 是为了实现某个特定功能或使网络性能达到最优。配置信息的自动获取：在一个大型网络中，需要管理 的设

30、备是比较多的，如果每个设备的配置信息都完全依靠管 理人员的手工输入，工作量是相当大的，而且还存在出错的 可能性。对于不熟悉网络结构的人员来说，这项工作甚至无 法完成因此，一个先进的网络管理系统应该具有配置信息 自动获取功能。即使在管理人员不是很熟悉网络结构和配置 状况的情况下，也能通过有关的技术手段来完成对网络的配 置和管理。在网络设备的配置信息中，根据获取手段大致可 以分为三类：一类是网络管理协议标准的MIB中定义的配置 信息（包括SNMP；和CMIP协议）；二类是不在网络管理协议 标准中有定义，但是对设备运行比较重要的配置信息；三类 就是用于管理的一些辅助信息。（2）自动配置、自动备份及相

31、关技术：配置信息自动获 取功能相当于从网络设备中“读”信息，相应的，在网络管 理应用中还有大量“写信息的需求。同样根据设置手段对 网络配置信息进行分类：一类是可以通过网络管理协议标准 中定义的方法（如SNMP中的set服务）进行设置的配置信 息；二类是可以通过自动登录到设备进行配置的信息；三类 就是需要修改的管理性配置信息。（3）配置一致性检查：在一个大型网络中，由于网络设 备众多，而且由于管理的原因，这些设备很可能不是由同一 个管理人员进行配置的。实际上即使是同一个管理员对设 备进行的配置，也会由于各种原因导致配置一致性问题因 此，对整个网络的配置情况进行一致性检查是必需的。在网 络的配置中

32、，对网络正常运行影响最大的主要是路由器端口 配置和路由信息配置，因此，要进行、致性检查的也主要是这 两类信息。（4）用户操作记录功能：配置系统的安全性是整个网络 管理系统安全的核心，因此，必须对用户进行的每一配置操 作进行记录。在配置管理中，需要对用户操作进行记录，并 保存下来。管理人员可以随时查看特定用户在特定时间内进 行的特定配置操作。性能管理估价系统资源的运行状况及通信效率等系统 性能。其能力包括监视和分析被管网络及其所提供服务的性 能机制。性能分析的结果可能会触发某个诊断测试过程或重 新配置网络以维持网络的性能。性能管理收集分析有关被管 网络当前状况的数据信息，并维持和分析性能日志.一些典 型的功能包括：性能监控：由用户定义被管对象及其属性。被管对 象类型包括线路和路由器；被管对象属性包括流量、延迟、 丢包率、CPU利用率、温度、内存余量。对于每个被管对象， 定时采集性能数据，自动生成性能报告.阈值控制：可对每一个被管对象的每一条属性设置 阈值，对于特定被管对象的特定属性，可以针对不同的时间 段和性能指标进行阈值设置。可通过设置阈值检查开关控制 阂值检查和告警，提供相应的阈值管理和溢出告警机制。性能分桥：对历史数据进行分析，统计和整理，计 算性