XX企业信息安全综合解决方案设计

千里之行，始于足下。第2页/共2页精品文档推荐XX企业信息安全综合解决方案设计要求有具体的咨询题，比如，信息系统安全（硬件，场地，软件，病毒，木马，），网络安全（网络入侵，服务器/客户端的连通性，vpn的安全咨询题），人员安全（身份识不，分权访

咨询，人员治理），电子商务安全（密钥，PKI），或者其它！

【为爱护隐私，公司原名用XX代替。

内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】

XX企业信息安全综合解决方案设计

一．引言

随着全球信息化及宽带网络建设的飞快进展，具有跨区域远程办公及内部信息平台远程共享的企业越来越多，同时这种企业运营模式也逐渐成为现代企业的主流需求。企业总部和各地的分公司、办事处以及出差的职员需要实时地举行信息传输和资源共享等，企业之间的业务来往越来越多地依靠于网络。然而由于互联网的开放性和通信协议原始设计的局限性妨碍，所有信息采纳明文传输，导致互联网的安全性咨询题日益严峻，非法拜访、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成别可估量的损失。所以必须利用信息安全技术来确保网络的安全咨询题，这就使得网络安全成了企业信息化建设中一具永恒的话题。

目前企业信息化的安全威胁要紧来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法拜访，破坏传输信息的完整性或者被直截了当假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。如前段时刻在互联网上流行的“熊猫烧香”、“灰鸽子”等病毒就造成了如此的后果。这么怎么构建一具全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，幸免由于安全事故给企业造成别必要的损失呢？

二．XX企业需求分析

该企业目前已建成覆盖整个企业的网络平台，网络设备以Cisco为主。在数据通信方面，以企业所在地为中心与数个都市经过1M帧中继专线实现点对点连接，其他都市和挪移用户使用ADSL、CDMA登录互联网后经过VPN连接到企业内网，或者经过PSTN拨号连接。在公司的网络平台上运行着办公自动化系统、SAP的ERP系统、XXX系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营治理起到重要的支撑作用。

1.外部网络的安全威胁

企业网络与外网有互连。基于网络系统的范围大、函盖面广，内部网络将面临更加严峻的安全威胁，入侵者每天都在试图闯入网络节点。网络系统中办公系统及职员主机上都有涉密信息。如果内部网络的一台电脑安全受损（被攻击或者被病毒感染），就会并且妨碍在同一网络上的许多其他系统。透过网络传播，还会妨碍到与本系统网络有连接的外单位网络。

假如系统内部局域网与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外网一些别怀好意的入侵者的攻击。

2.内部局域网的安全威胁

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：误用和滥用关键、敏感数据；内部人员有意泄漏内部网络的网络结构；内部别怀好意的职员经过各种方式盗取他人涉密信息传播出去。

3.网络设备的安全隐患

网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，也许由于疏忽或别正确明白而使这些设备可用但安全性别佳。

二、操作系统的安全风险分析

所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，普通非常少思考其安全性，所以安装通常基本上以缺省选项举行设置。从安全角度思考，其表现为装了非常多用别着的服务模块，开放了非常多别必开放的端口，其中也许隐含了安全风险。

目前的操作系统不管是Windows依然UNIX操作系统以及其它厂商开辟的应用系统，其开辟厂商必定有其Back-Door。而且系统本身必然存在安全漏洞。这些后门和安全漏洞都将存在重大安全隐患。系统的安全程度跟安全配置及系统的应用有非常大关系，操作系统假如没有采纳相应的安全配置，则其是漏洞百出，掌握普通攻击技术的人都也许入侵得手。假如举行安全配置，填补安全漏洞，关闭一些别常用的服务，禁止开放一些别常用而又比较敏感的端口等，这么入侵者要成功进入内部网是别容易的，这需要相当高的技术水平及相当长时刻。

三、应用的安全风险分析

应用系统的安全涉及非常多方面。应用系统是动态的、别断变化的。应用的安全性也是动态的。这就需要我们对别同的应用，检测安全漏洞，采取相应的安全措施，落低应用的安全风险。

文件服务器的安全风险：办公网络应用通常是共享网络资源。也许存在着职员故意、无意把硬盘中重要信息名目共享，长期暴露在网络邻居上，也许被外部人员轻易偷取或被内部其他职员窃取并传播出去造成泄密，因为缺少必要的拜访操纵策略。

数据库服务器的安全风险：内网服务区部署着大量的服务器作为数据库服务器，在其上运行数据库系统软件，要紧提供数据存储服务。数据库服务器的安全风险包括：非授权用户的拜访、经过口令推测获得系统治理员权限、数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外（硬件咨询题或软件崩溃）而导致别可恢复，也是需要思考的安全咨询题。

病毒侵害的安全风险：网络是病毒传播的最好、最快的途径之一。病毒程序能够经过网上下载、XXX、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。所以，病毒的危害的别能够藐视的。网络中一旦有一台主机受病毒感染，则病毒程序就彻底也许在极短的时刻内迅速扩散，传播到网络上的所有主机，也许造成信息泄漏、文件丢失、机器死机等别安全因素。

数据信息的安全风险：数据安全对企业来讲尤其重要，数据在公网线路上传输，非常难保证在传输过程中别被非法窃取、篡改。现今非常多先进技术，黑客或一些企业间谍会经过一些手段，设法在线路上做些手足，获得在网上传输的数据信息，也就造成的泄密。

四、治理的安全分析

治理方面的安全隐患包括：内部治理人员或职员图方便省事，别设置用户口令，或者设置的口令过短和过于简单，导致非常容易破解。责任别清，使用相同的用户名、口令，导致权限治理混乱，信息泄密。把内部网络结构、治理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部别满的职员有的也许造成极大的安全风险。

治理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权别明，治理混上乱、安全治理制度别健全及缺乏可操作性等都也许引起治理安全的风险。即除了从技术下功夫外，还得依赖安全治理来实现。

三．XX企业方案设计

该企业信息安全防护方案和策略要紧由以下各部分组成:

1.Internet安全接入

采纳PIX515作为外部边缘防火墙，其内部用户登录互联网时通过NetEye防火墙，再由PIX映射到互联网。PIX与NetEye之间形成了DMZ区，需要提供互联网服务的邮件服务器、Web服务器等防止在该DMZ区内。该防火墙安全策略如下:

(1)从Internet上只能拜访到DMZ内Web服务器的80端口和邮件服务器的25端口;

(2)从Internet和DMZ区别能拜访内部网任何资源;

(3)从Internet拜访内部网资源只能经过VPN系统举行。

为了防止病毒从Internet进入内部网，该企业在DMZ区部署了网关防病毒系统。采纳SymantecWebSecurity3.0防病毒系统，对来自互联网的网页内容和附件等信息设定了合理的过滤规则，阻断来自互联网的各种病毒。

2.防火墙拜访操纵;

PIX防火墙提供PAT服务，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并经过扩展ACL对进出防火墙的流量举行严格的端口服务操纵。

NetEye防火墙处于内部网络与DMZ区之间，它允许内网所有主机可以拜访DMZ区，但DMZ区进入内网的流量则举行严格的过滤

3.用户认证系统;

用户认证系统要紧用于解决电话拨号和VPN接入的安全咨询题，它是从完善系统用户认证、拜访操纵和使用审计方面的功能来增强系统的安全性。

采纳思科的ACS用户认证系统。在主域服务器上安装Radius服务器，在Cisco拨号路由器和PIX防火墙上配置了Radius客户端。拨号用户和VPN用户身份认证在Radius服务器上举行，用户账号集中在主域服务器上开设。系统中设置了严格的用户拜访策略和口令策略，强制用户定期更改口令。并且配置了一台VPN日志服务器，记录所有VPN用户的拜访，而拨号用户的拜访则记录在Radius服务器中，作为系统审计的依据。系统治理员能够依照需要制定用户身份认证策略。

4.入侵检测系统;

在系统中关键的部位安装基于网络的入侵检测系统，能够使得系统治理员可以实时监控网络中发生的安全事件，并能及时做出响应。

依照该企业网络应用的事情，可在互联网流量汇聚的交换机处部署一套CAeTrustIntrusionDetection，它可实时监控内部网中发生的安全事件，使得治理员及时做出反应，并可记录内部用户对Internet的拜访，治理者可审计Internet接入平台是否被滥用。当冲击波病毒爆发时，该系统可以显示出哪些主机感染了病毒而别停地向其他网络主机发出广播包。

企业的网络治理员能够依照实际应用环境对IDS举行详细配置，并在实践中依照需要随时调整配置参数。

5，网络防病毒系统;

该企业全面地布置防病毒系统，包括客户机、文件服务器、邮件服务器和OA服务器。该企业采纳McAfeeTVD防病毒系统爱护客户机和文件服务器的安全，客户机每天定时从McAfee服务器经过FTP方式下载并安装最新的病毒代码库。

该企业XXX系统运行在Domino平台上，采纳了McAfee针对Domino数据库的病毒过滤模块，对发送和接手的邮件附件举行病毒扫描和隔离。

6.VPN加密系统;

该企业经过PIX防火墙建立了基于IPSec国际标准协议的虚拟专网VPN，采纳3DEC加密算法实现了信息在互联网上的安全传输。

VPN系统要紧用于该企业挪移办公的职员提供互联网拜访企业内网OA系统，并且为企业内网ERP用户拜访大股东集团公司的SAP系统提供VPN加密连接。

7.网络设备及服务器加固;

该企业网络治理员定期对各种网络设备和主机举行安全性扫描和渗透测试，及时发觉漏洞并采取补救措施。

安全性扫描要紧是利用一些扫描工具，包括Retina、X-Scan、SuperScan、LanGuard等，模拟黑客的办法和手段，以匿名身份接入网络，对网络设备和主机举行扫描并举行分析，目的是发觉系统存在的各种漏洞。

举行渗透测试时，网络治理员预先假设攻击者来自用户内部网，该攻击者在内部网以匿名身份接入网络，起初别具备进入任何系统的权限。经过利用扫描时期发觉的系统中的安全漏洞，以黑客使用的手段对系统举行模拟攻击，最大限度地得到系统的操纵权。例如，利用Unix系统的/bin/login,无需任何身份验证即可远程非法登录漏洞以及priocntl系统调用漏洞，经过缓冲溢出进入系统后举行权限提升，即可获得Root权限。

依照安全扫描和渗透测试的结果，网络治理员即可有针对性地举行系统加固，具体加固措施包括:

(1)关闭别必要的网络端口;

(2)视网络应用事情禁用ICMP、SNMP等协议;

(3)安装最新系统安全补丁;

(4)采纳SSH而别是Telnet举行远程登录;

(5)调整本地安全策略，禁用别需要的系统缺省服务;

(6)启用系统安全审计日志。

以上措施要紧用于防范系统中的非法扫描、利用系统漏洞举行缓冲区溢出攻击、拒绝服务攻击、非法远程登录等黑客攻击行为。

8.桌面电脑安全治理系统;

该企业采纳LANDesk安全治理套件系统来加强对桌面电脑的安全治理。该系统要紧具有如下功能:

补丁治理是LAN-Desk系统的要紧功能之一，要紧用于修复桌面电脑系统漏洞，幸免蠕虫病毒、黑客攻击和木马程序等。

LANDesk补丁治理器可以高效地实现安全补丁治理。补丁程序可以从全球统一的补丁治理服务器自动下载，并自动分发到每台桌面电脑，无需IT人员干预。补丁程序在分发安装前，都通过本地服务器的测试，从而确保补丁自身的安全性，幸免损坏用户系统。

由于LANDesk采纳全自动补丁分发方式，大大减轻了治理员的负荷，而更重要的是可以及时发觉操作系统的漏洞并第一时刻自动举行修补，从而有效地爱护OA用户的电脑免受破坏。

间谍软件检测基于LAN-Desk随时更新的集中化安全治理核心数据库，该系统可以自动检测和清除来自间谍软件、广告软件、键盘记录程序、特洛伊木马和其他恶意程序的已知威胁。

安全威胁分析LANDesk提供自动的威胁分析功能，它可以自动检测桌面电脑的配置风险，包括共享、口令、扫瞄器等安全咨询题，并自动举行修补或提出修改建议。

应用程序阻挠用户随意安装的游戏等应用程序也许导致系统紊乱、冲突，妨碍正常办公。LANDesk提供的应用程序治理功能能够经过远程执行指令，阻挠有关应用程序的