恒运公司网络安全解决方案

1、恒源公司网络信息系统安全节目建议书摘褥子随着信息技术的快速发展，许多愿景中的公司认识到，基于高级IT技术构建企业自身的业务和运营平台将大大提高企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性提高，计算机应用系统对网络的依赖性提高。计算机网络的规模越来越大，网络结构越来越复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全预防需要全面考虑信息系统的所有级别，包括网络、系统、应用程序和数据的端到端对比。信息安全系统模型表明，安全预防是动态过程，主动、事件和事后技术手段完整，安全管理必须始终通过安全预防活动进行。关键词信息安全；PKI；C

2、A第一章引言随着计算机网络的出现和互联网的快速发展，企业基于网络的计算机应用程序也在迅速增加，基于网络信息系统给企业经营带来了更大的经济效益，但随之而来的安全问题也困扰着用户，2003年以来木马、蠕虫的普及，企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。信息技术的快速发展，许多远见的企业认识到，以高级IT技术为基础构建企业自身的业务和运营平台将大大提高企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对快速变化的市场，企业在如何提高其核心竞争力、内部管理问题、效率问题、评估问题、信息传递问题、信息安全问题等方面不断限制自己，企业使用PKI技术解决这些问题已成为许多企业提

3、高竞争力的重要手段。第二章横云公司网络安全风险与需求分析2.1网络状态公司现有电脑500多台，通过内部网相互连接。在内部网络中，每个服务部门计算机位于同一网段，并通过交换机连接。如下图所示。图2-12.2安全风险分析2.2.1网络通信协议IP层协议安全缺陷，IP地址软件设置是伪造IP地址和欺骗IP地址的安全风险。应用层协议telnet、FTP、SMTP等协议缺乏安全身份验证和保密措施，为攻击者提供了截取秘密的通道。2.2.2资源共享网络应用程序共享网络资源，如信息共享、设备共享等。没有必要的访问控制策略，存储设备上的各种重要信息将被泄露。2.2.3电子邮件协议电子邮件为网络用户提供电子邮件应用

4、程序服务。内部网用户可以通过拨号或其他方式发送和接收电子邮件，这允许黑客跟踪或接收部分木马、病毒程序等，如果用户安全意识薄弱，为入侵者提供机会，系统可能会发生不安全因素。2.2.4操作系统的安全漏洞计算机操作系统，尤其是服务器系统是攻击的焦点，如果操作系统本身受到攻击，不仅会消耗计算机本身，还会消耗大量网络资源，导致整个网络瘫痪。2.2.5病毒侵害网络是病毒传播的最快、最快的方法之一。一旦某个主机感染了病毒，病毒程序就可以在很短的时间内完全迅速扩散，传播到网络中的所有主机，并导致信息泄露、文件丢失和机器停机。2.2.6网络系统安全策略不完善，配置错误，导致网络系统安全漏洞。2.3需求分析恒源公

5、司根据业务开发需要构建具有web、邮件等服务器和办公室客户端的小型企业网络。企业分为财务部门和业务部门，他们之间需要相互隔离。因为考虑到网络安全和网络安全等几个因素。因此，企业的网络安全体系结构要求如下：1.根据公司现有的网络设备联网计划；保护网络系统的可用性。保护网络系统服务的连续性。4.防止非法访问和未经授权访问网络资源。防止入侵者的恶意攻击和破坏。6.通过在线传输保护企业信息的机密性、完整性；防止病毒侵害；8.实现网络安全管理。通过了解抗原公司的需求和现状，实现抗原网络公司网络安全建设的网络系统转换，提高企业网络系统运行的稳定性，确保企业的各种设计信息安全，防止绘图、文档丢失和泄露。通过

6、软件或安全手段保护客户端计算机，记录用户对客户端计算机重要目录和文件的活动，从而跟踪客户端计算机的用户使用情况，为企业提供防止外部计算机入侵所造成的损坏的手段。网络转换使管理员能够全面监视和管理网络中的服务器、客户端、登录用户的权限和应用程序软件安装。所以需要(1)构建确保企业物理设备安全的良好环境(2) VLAN控制的内部网安全分区(3)安装防火墙系统(4)安装防病毒服务器(5)加强企业的网络资源管理如上所述，横源的企业信息系统风险很大，对网络信息安全的要求主要体现在以下几个方面：(1)恒源公司信息系统不仅要保护安全可靠的计算机网络，还要保护系统、应用程序和数据的所有方面。为此，必须加强安全

7、保护的整体布局，扩大安全保护的适用范围，增加新的安全保护手段。(2)随着网络规模的扩大、复杂性的增加和新的攻击手段的出现，港口公司的计算机网络安全面临更大的困难，可以升级或重新部署现有产品。(3)随着信息安全工作的重要性和复杂性日益提高，对安全管理的要求也越来越高，为此，必须加快规则和技术规范的建设，确保安全预防的所有工作都有序、规范地进行。(4)信息安全防范是利用专业企业的安全服务，做好主动、主动、主动的工作，应对不断出现的各种安全威胁的动态循环过程，也是企业一直面临的重要挑战。第三章网络信息安全战略和总体方案信息安全的目标是通过系统和网络安全配置应用防火墙和入侵检测、安全检查、网络防病毒等

8、技术，严格控制出入口中的信息。检测、分析和评估网络上的所有设备，如web服务器、路由器和内部网络；发现和报告系统内存存在的弱点和漏洞；评估安全风险；提出补救建议；有效防止黑客入侵和病毒扩散；监控整个网络的运行状况。3.1计划摘要横源的整个网络安全系统被物理地分为四个部分：计算机网络中心、财务部门、分部和网络开发中心。从而在结构上围绕计算机网络中心对其他部分进行综合网络规划和管理。每个安全区域都有相对独立的网络安全系统，可以由计算机网络中心管理。同时，每个安全区域必须进行有效的安全控制，以防止安全事件扩散，并以最小范围控制事件。通过对恒云公司现状的分析和研究，以及对当前安全技术的研究分析，我们制

9、定了以下企业信息安全战略，重新构建了网络安全方案的拓扑结构图，然后参阅图3-1。图3-1网络安全方案拓扑3.2实施网络信息安全方案3.2.1防火墙实施方案根据总体网络安全，外部服务器连接(例如两个Cisco pix535防火墙、一个将业务网络与企业内部网隔离的防火墙、将企业内部网与internet隔离的防火墙、DNS、邮件等)与防火墙的DMZ区域以及内部和外部网络隔离。防火墙设置原则如下：建立合理有效的安全过滤原则，严格控制网络数据包的协议、端口、源/目标地址、流向审核和外部网络用户的非法访问。从防火墙DMZ区域访问控制、拒绝外部服务攻击中，仅打开服务所需的HTTP、FTP、SMTP、POP3

10、和其他服务：定期查看防火墙访问日志。防火墙的管理员权限受到严格控制。防火墙可以显着提高一个内部网络的安全性，通过过滤不安全的服务降低风险。仅使用仔细选择的应用协议(允许通过防火墙)，从而进一步保护网络环境。如果防火墙可以禁止众所周知的不安全NFS协议进入保护网络，那么外部攻击者就不可能利用这些脆弱的协议攻击内部网络。防火墙还可以保护网络免受基于路由的攻击，例如IP选项的源路由攻击和ICMP重定向的重定向路径。3.2.2入侵检测程序在核心交换机监控端口上放置CA入侵检测系统，在其他网段(本地或远程)上安装中央工作站控制的网络入侵检测代理，以检测和响应网络入侵。入侵检测系统实时捕获内部和外部网络之

11、间传输的所有数据，并以动态图形方式显示这些数据，使管理员始终能够了解当前内部和外部网络之间正在进行的连接和访问情况。使用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击、未授权访问尝试、主动攻击检测等。发生攻击时，根据管理员的配置，可以通过多种方式发出实时警报。对于严重的网络入侵事件，入侵检测引擎可以直接发送阻挡信号，切断发生攻击的连接，或者动态调整防火墙的保护策略，使防火墙成为动态、智能的保护系统。3.2.3网络安全漏洞企业网络中有WWW、邮件、域、视频等服务器和关键数据库服务器，管理员无法准确地识别和解决每个服务器系统和整个网络的安全缺陷和安全漏洞。因此，应使用

12、漏洞扫描工具定期发现、分析和评估系统内存中的漏洞和漏洞，评估安全风险，并建议加强网络安全的改进方案。3.2.4防病毒程序使用Symantec网络防病毒软件构建整个企业的防病毒系统，并对网络中的服务器和所有计算机设备执行全面的病毒保护。此外，您必须在网络中心安装防病毒管理中心，并通过防病毒管理中心在同一防病毒管理域内创建LAN中的所有计算机。通过防病毒管理域的主服务器对整个域执行防病毒管理，制定统一防病毒策略，设置域扫描任务，并安排系统自动识别和杀死病毒。集中监控病毒入侵、特定于系统的防病毒、防病毒软件活动等。允许集中管理所有防病毒软件、集中设置和集中维护。集中反映整个系统的病毒入侵情况，设置各

13、种消息传递方法，并发出病毒发生警报。集中获取防病毒系统的日志信息。管理员可以轻松地概括和分析系统状况。根据公司内部通知或官方网站上发布的流行或主要恶意病毒，及时下载系统补丁程序和防病毒工具以采取预防措施。3.2.5访问控制管理实施有效的用户密码和访问控制，以仅允许合法用户访问合法资源。在intranet上，系统管理员必须管理所有设备密码，并且不要在其他系统上使用相同的密码。密码最好是大写字母、字母和数字。定期更改自己的密码。3.2.6管理重要文档和内部数据定期备份重要数据，以防止系统因各种硬件和软件故障、病毒入侵、黑客破坏等原因而中断。使用灵活的备份软件和多种灾难恢复软件，完全保护您的数据。系

14、统软件、应用程序软件和信息数据将保持机密，文件分类时要小心保护系统文件和重要的可执行文件的写入。对于关键服务器，请利用数据存储技术(如RAID5)加强数据备份和恢复措施。制定关键设备和数据所需的物理或逻辑隔离措施。3.3网络信息管理战略计算机网络中心设计公司网络安全管理战略的构建包括：(1)认证中心建设。身份验证是计算机和网络系统验证操作员身份的过程。基于PKI的身份验证方法是近年来开发的一种方便、安全的身份验证技术。硬件和软件相结合的强大双因素身份验证模式，可以很好地解决安全性和易用性之间的矛盾。USB密钥是嵌入了单片机或智能卡芯片的USB接口硬件设备，它存储用户的密钥或数字证书，并使用US

15、B密钥内置的密码算法启用用户身份验证。基于PKI的USB密钥解决方案不仅提供了身份验证的功能，还使用户能够集中管理和身份验证系统、安全组件应用、客户端安全组件和证书管理系统构建具有一定分层关系和逻辑关联的全面安全技术系统，以满足上述身份验证、授权和访问控制、安全审核、数据机密性、完整性和可拒绝性的总体要求。(2)安全登录系统。与公司网络部署和财务状况相关的网络开发中心和财务部门必须确保高度保密，只有公司的网络安全负责人、财务负责人和公司法人员才能登录该网络。安全登录系统提供系统和网络登录的验证，使用后，只有具有指定智能加密密钥的人员才能登录计算机和网络。如果用户需要离开计算机，只需拔出智能加密

16、密钥即可锁定计算机。(3)文件加密系统。与一般网络应用程序不同，业务系统是企业应用程序的核心。文件加密应用系统确保了业务系统中需要采取最高网络安全措施的数据的安全存储。密钥存储在智能密码密钥中，因此加密算法使用国际标准安全算法或国家密码管理机构指定安全算法，以确保存储数据的安全。(4)防毒中心建设。对公司网络的病毒攻击对公司的整体运营构成威胁，公司各部门必须使用企业版防病毒系统的分层管理功能，建立将网络划分为管理单元的完善防病毒中心。网络中心和防病毒服务器，负责所有辅助防病毒服务器的统一管理。负责管理该部门防病毒客户端的第二个防病毒服务器部署在不同的子系统上。第六章结论本文以恒源公司为例，分析了网络安全状况，指出了当前存在的风险，然后提出了一套涵盖从改进技术手段到完善规章制度各方面的完整解决方案。从加强独立系统的安全性到整个网络的安全管理。该计划在技术手段、操作方面易于实施和部署，为众多行业提供了网络安全解决方案。此外，实施该计划还将建立更完善的信息安全系统，有效地防止信息系统各个方面发生的攻击和威胁，并将风险降至最低。随着互联网的迅速发展网络安全逐渐成为一个潜在的大