企业网络安全解决方案

1、哈尔滨华德学院计算机应用技术系目 录 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 第1章绪论1 HYPERLINK l bookmark4 o Current Document 课题背景1 HYPERLINK l bookmark6 o Current Document 目的和意义1 HYPERLINK l bookmark8 o Current Document 第2章需求分析2 HYPERLINK l bookmark10 o Current Document 企业网络安全现状和威胁2互联网安全： 2企业内部网安全：2内网与

2、内网、内网与外网之间的连接安全： 2 HYPERLINK l bookmark12 o Current Document 企业网络安全需求分析3网络的可用性：4业务系统的可用性：4数据机密性：4访问的可控性：4网络操作的可管理性：4 HYPERLINK l bookmark14 o Current Document 第3章 设备选型及管理5 HYPERLINK l bookmark16 o Current Document 安全产品选型原则5 HYPERLINK l bookmark18 o Current Document UTM （统一威胁管理） 6 HYPERLINK l bookmar

3、k20 o Current Document 第4章总体设计8 HYPERLINK l bookmark22 o Current Document 整体结构描述8 HYPERLINK l bookmark24 o Current Document 网络安全基础设施8 HYPERLINK l bookmark26 o Current Document 边界防护和网络的隔离 9 HYPERLINK l bookmark28 o Current Document 桌面安全防护10电子签章系统10安全登录系统10文件加密系统 10 HYPERLINK l bookmark30 o Current Do

4、cument 身份认证10 HYPERLINK l bookmark32 o Current Document 安全电子邮件 11 HYPERLINK l bookmark34 o Current Document 第5章总结12 HYPERLINK l bookmark36 o Current Document 参考文献12哈尔滨华德学院计算机应用技术系第1章绪论课题背景Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长，也为企 业的发展带来了重大商机。以Internet为代表的信息技术的发展不仅直接影 响着企业科技的创新能力和生产效率的提高，也逐渐成为提高企业竞争力的重 要力

5、量。随着中小型企业信息化建设的逐步完善，企业业务对于网络的依赖性 也越来越大，但同时也受到互联网络的安全威胁，如黑客和病毒攻击，因此对 于网络安全的需求也越来越强烈。目的和意义一方面，随着计算机技术、信息技术的发展，计算机网络系统必将成为企 业各项业务的关键平台。另一方面，随着计算机网络系统的发展，计算机网络 安全系统必将发挥越来越重要的作用。网络安全系统的建立，必将为企业的业务信息系统、行政管理、信息交流 提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以 从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网 络安全整体解决方案为基础形成一个更加完善的业务系

6、统和办公自动化系统。 利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、 身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制 止经济情报失、泄密现象发生，避免重大经济案件的发生。哈尔滨华德学院计算机应用技术系第2章需求分析企业网络安全现状和威胁当今无论是中小企业还是大企业，都广泛使用信息技术，特别是网络技 术，以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的 同时，也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展，给 企业所造成的损失不可估量。由于计算机网络特有的开放性，网络安全问题日 益严重。企业所面临的安全威胁主要有以下几个方面

7、：互联网安全：企业通过Internet可以把遍布世界各地的资源互联互享，但因为其开放 性，在Internet上传输的信息在安全性上不可避免地会面临很多危险。当越来 越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、 病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露 等已成为影响广泛的安全威胁。企业内部网安全：企业中大量员工利用网络处理私人事务。对网络的不正当使用，降低了生 产效率、消耗了企业的网络资源，并引入病毒和木马程序等。发生在企业网络 上的病毒事件，据调查90%是经由电子邮件或浏览网页，进入企业内部网络 并传播的。垃圾邮件和各种恶意程序，造成企业网络

8、拥塞瘫痪，甚至系统崩 溃，造成难以弥补的巨大损失。内网与内网、内网与外网之间的连接安全：哈尔滨华德学院计算机应用技术系随着企业的不断发展壮大，逐渐形成了企业总部、异地分支机构、移动办 公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的 信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业 成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之 间的有线和无线网络连接安全直接影响着企业的运行效率。企业网络安全需求分析企业希望能具有竞争力并提高生产效率，就必须对市场需求作出及时有效 的响应，从而引发了依赖于互联网来获取、共享信息的趋势，这样才能进一步

9、 提高生产效率进而推动企业的发展。然而，有网络的地方就有安全的问题。过 去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就 足以承担其任务。然而当今的网络已经发生了巨大的变化，确保网络的安全性 和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有 的安全状况就会发生变化。所以很多企业频繁地受到网络的安全威胁甚至损 害。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些问题无 能为力。为了应对网络安全挑战，企业通常会使用多种网络硬件设备，包括防火 墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂，这些网 络需要所有这些设备来确保正确的路由以及

10、提供快速和可靠的网络性能。在这 些硬件的基础上，再结合多种软件解决方案，如病毒防护、入侵检测（IDS）、 入侵防御（IPS）、VPN网关和内容过滤（如URL过滤）等，就构成了一个常规的 网络安全解决方案。但网络安全产品不仅仅需要简单的安装，更重要的是要有哈尔滨华德学院计算机应用技术系针对复杂网络应用的一体化解决方案。归结起来，应充分保证以下几点：网络的可用性：网络是企业业务系统的载体，安全体系必须防止病毒入侵及破坏，建立完 善统一的病毒防范体系，维护网内计算机的运行。业务系统的可用性：中小企业主机、数据库、应用服务器系统的安全运行十分关键，网络安全 体系必须保证这些系统不会遭受来自网络的非法访

11、问、恶意入侵和破坏。数据机密性：对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网 络安全系统应保证机密信息在存储与传输时的保密性。有效拦截黑客程序的破 坏，准确记录和上报攻击信息，保障重要数据安全。访问的可控性：分层次的安全策略，针对不同职能部门确立相应的安全防范标准。对关键 网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问 者的身份，谨慎授权，并对任何访问进行跟踪记录。网络操作的可管理性：简单高效的网络安全管理模式，清晰统一的责任分工与合作。对于网络安 全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维 护功能。专业及时的灾难恢复系统，将

12、受灾后的损失减少到最小。哈尔滨华德学院计算机应用技术系第3章设备选型及管理安全产品选型原则在进行企业网络安全方案的产品选型时，要求安全产品至少应包含以下功 能：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击 阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标， 也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝 大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击 源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复

13、：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复 数据和系统服务。多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息：使攻击者不能了解系统内的基本情况。设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情 况服务。哈尔滨华德学院计算机应用技术系UTM （统一威胁管理）企业用户目前急需的是建立一个规范的安全管理平台，对各种安全产品进 行统一管理。于是，U T M （统一威胁管理）产品应运而生，并且正在逐步得 到市场的认可。U T M安全、管理方便的特点，是安全设备最大的好处，而这 往往也是企业对产品的主要需求。U T M产品灵活、易于管理，使企业能够在

14、一个统一的架构上建立安全基础设施，相对于提供单一专有功能的安全设备， UTM在一个通用的平台上提供多种安全功能。一个典型的U T M产品整合了 防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全 面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更为重 要的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安 全功能都可以很好地协同工作。整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投 入。且由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补 企业在技术力量上的不足。这使得企业可以最大限度地降低对安全供应商的技 术服务要求，

15、网络安全方案可行性更强。哈尔滨华德学院计算机应用技术系图1企业网络安全体系示意图图2 基于UTM的网络安全体系架构哈尔滨华德学院计算机应用技术系第4章总体设计整体结构描述本方案采用立体多层次的安全系统架构。结合企业的网络特征，采用UT M整体安全网络架构方案。（如图1所示）这种多层次的安全体系在网络边界设置防火墙和VPN，用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。VPN为远程办公人员 及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现 用户对企业内部网的受控访问。同时还有针对网络病毒和垃圾邮件等应用层 攻击的防护措施，这种主动防护可将攻击内容完全阻挡在企业内部

16、网之外。 对于内网安全，特别是移动办公，客户端隔离技术将对有安全问题的主机进 行隔离，以免其对整个网络造成更大范围的影响，这给整个企业网络提供了 安全保障。UTM提供高级别的安全性，可以检测到异常操作并立即关闭可疑 的通讯。（详细的网络架构图如图2所示。）网络安全基础设施证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建 立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用 PKI/CA数字认证服务。PKI（Public Key Infrastructure，公钥基础设施）是 利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术 上解决了网上身份认

17、证、信息完整性和抗抵赖等安全问题，为网络应用提供可哈尔滨华德学院计算机应用技术系靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证 中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以 下目标：身份认证：确认通信双方的身份，要求通信双方的身份不能被假冒或伪 装，在此体系中通过数字证书来确认对方的身份。数据的机密性：对敏感信息进行加密，确保信息不被泄露，在此体系中利 用数字证书加密来完成。数据的完整性：确保通信信息不被破坏，通过哈希函数和数字签名来完 成。不可抵赖性：防止通信对方否认自己的行为，确保通信方对自己的行为承 认和负责，通过数字签名来完成，数字签名

18、可作为法律证据。边界防护和网络的隔离VPN虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网（如 Internet）连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有 降低成本及维护费用、易于扩展、数据传输的高安全性。通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用 开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术 在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据， 用以代替专线方式，实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络 对象进行有效地访问监控，为网络提

19、供高效、稳定地安全保护。哈尔滨华德学院计算机应用技术系集中的安全策略管理可以对整个 VPN网络的安全策略进行集中管理和 配置。桌面安全防护桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管 理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。电子签章系统利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术， 可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是 打开文档时验证文档的完整性和查看文档的作者。安全登录系统安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指 定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计

20、算机，只 需拔出智能密码钥匙，即可锁定计算机。文件加密系统文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙 中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而 保证了存储数据的安全性。身份认证身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身 份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬10哈尔滨华德学院计算机应用技术系件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间 的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯 片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对 用户身份的认证。安全电子邮件电子邮件是Internet上出现最早的