企業(yè)網(wǎng)絡(luò)安全系統(tǒng)方案設(shè)計

1、實用標(biāo)準(zhǔn)文檔 企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 摘 要：在這個信息技術(shù)飛速發(fā)展的時代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到很有必要依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺來極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過安全體系建設(shè)原則、實例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實施等方面的闡述，為企業(yè)提供一個可靠地、完整的方案。 關(guān)鍵詞： 信息安全、企業(yè)網(wǎng)絡(luò)安全 、安全防護 一、引言 隨著國計算機和網(wǎng)絡(luò)技

2、術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。 一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜，應(yīng)用系統(tǒng)也會越來越多。但從整個網(wǎng)絡(luò)系

3、統(tǒng)的管理上來看，通常包括部用戶，也有外部用戶，以及外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安全問題： （1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近 文案大全實用標(biāo)準(zhǔn)文檔 年來，計算機病毒傳播、蠕蟲攻擊、垃圾泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。 （2）企業(yè)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜

4、，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。所以企業(yè)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防技術(shù)手段、缺乏有效的手段來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。 （3）部網(wǎng)絡(luò)之間、外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構(gòu)

5、與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作。 二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡圖如下，分析現(xiàn)狀并分析需求： 文案大全實用標(biāo)準(zhǔn)文檔 圖說明 圖一 企業(yè)網(wǎng)絡(luò)簡圖 對該公司的信息安全系統(tǒng)無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在： （1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。 （2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。 （3）經(jīng)營管理對計算機應(yīng)用系統(tǒng)的依賴性增強，計算機應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強。計算機網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機網(wǎng)絡(luò)和計算機應(yīng)用系統(tǒng)的正常運

6、行對網(wǎng)絡(luò)安全提出了更高的要求。 （4）計算機應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強對數(shù)據(jù)的備份，并運用技術(shù)手段，提高數(shù)據(jù)的性、完整性和可用性。 由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險，信息安全的需求主要體現(xiàn) 文案大全實用標(biāo)準(zhǔn)文檔 在如下幾點： （1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。 （2）網(wǎng)絡(luò)規(guī)模的擴大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡(luò)安全面

7、臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。 （3）信息安全工作日益增強的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)的建設(shè)，使安全防的各項工作都能夠有序、規(guī)地進行。 （4）信息安全防是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項防工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。 三、設(shè)計原則 安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下： 1. 標(biāo)準(zhǔn)化原則 2. 系統(tǒng)化原則 3. 規(guī)避風(fēng)險原則 4. 保護投資原則 5. 多重保護原則 6. 分

8、步實施原則 四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路 1.安全系統(tǒng)架構(gòu) 安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因為安全架構(gòu)是安全方案設(shè)計和分析的基礎(chǔ)。 文案大全 實用標(biāo)準(zhǔn)文檔隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾等應(yīng)用層攻擊的防護措施，將應(yīng)用層的防護放在網(wǎng)絡(luò)邊緣，這種主動防護可將攻擊容完全阻擋在企業(yè)部網(wǎng)之外。 2.安全

9、防護體系 信息安全防應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防。信息安全防體系模型顯示安全防是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防活動的始終。如圖 二所示： 圖說明 圖二 網(wǎng)絡(luò)與信息安全防體系模型 文案大全 實用標(biāo)準(zhǔn)文檔 3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖 :通過以上分析可得總體安全結(jié)構(gòu)應(yīng)實現(xiàn)大致如圖三所示的功能 總體安全結(jié)構(gòu)圖圖說明 圖三 五、整體網(wǎng)絡(luò)安全方案 1.網(wǎng)絡(luò)安全認(rèn)證平臺都必須建立在部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，證書認(rèn)證系統(tǒng)無論是 企業(yè) PKI/CA問題，解決這些安全的最佳方案當(dāng)數(shù)應(yīng)用一個安全可信的網(wǎng)絡(luò)之上。目前是利用公

10、開密鑰，公鑰基礎(chǔ)設(shè)施)PKI(Public Key Infrastructure數(shù)字認(rèn)證服務(wù)。它從技術(shù)上解決了網(wǎng)上身和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，理論向信息完整性和抗抵賴等安全問題，份認(rèn)證、為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個數(shù)字認(rèn)證服務(wù)。PKI/CA用戶提供完整的 完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以下目標(biāo)： 文案大全 實用標(biāo)準(zhǔn)文檔 ：確認(rèn)通信雙方的身份，要求通信雙方的身(Authentication) 1）身份認(rèn)證 份不能被假冒或偽裝，在此體系過數(shù)字證書來確認(rèn)對方的身份。：對敏感信息進行加密，確保信息不被泄露，(Confidentia

11、lity) 2）數(shù)據(jù)的性 在此體系中利用數(shù)字證書加密來完成。，通過哈截斷或篡改)(Integrity)：確保通信信息不被破壞(數(shù)據(jù)的完整性 3） 希函數(shù)和數(shù)字簽名來完成。確保通防止通信對方否認(rèn)自己的行為，）不可抵賴性(Non-Repudiation)：4 證據(jù)。通過數(shù)字簽名來完成，數(shù)字簽名可作為法律信方對自己的行為承認(rèn)和負(fù)責(zé)， 系統(tǒng)2. VPN是將物理分布在不同地點的網(wǎng) VPN(Virtual Private Network)虛擬專用網(wǎng)， 連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理Internet)(如絡(luò)通過公用骨干網(wǎng) 方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩?。系統(tǒng)，可以

12、為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全通過安裝部署VPN 的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以使得合法的用戶可以安全的訪問企業(yè)的及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道， 的安全連接。私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN網(wǎng)絡(luò)的安全策略進行集中管理和配集中的安全策略管理可以對整個 VPN 置。 3. 網(wǎng)絡(luò)防火墻對部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)采用防火墻系統(tǒng)實現(xiàn)對部網(wǎng)和廣域網(wǎng)進行隔離保護。 通過單獨的防火墻設(shè)備進行防護。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下： 文案大全 實用標(biāo)準(zhǔn)文檔 防火墻圖四 圖說明 提供對監(jiān)控此外在實際中可以增加入侵檢測系統(tǒng)，作為防火墻的功能互補， 網(wǎng)段的攻擊的實

13、時報警和積極響應(yīng)等功能。 4. 病毒防護系統(tǒng)增強勤業(yè)網(wǎng)絡(luò)的病毒防護功應(yīng)強化病毒防護系統(tǒng)的應(yīng)用策略和管理策略，瑞星網(wǎng)絡(luò)殺毒軟件是一個專能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)門針對網(wǎng)絡(luò)病毒傳播特點開發(fā)的網(wǎng)絡(luò)防病毒軟件，集中管并且可以實現(xiàn)防病毒體系的統(tǒng)一、絡(luò)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并實現(xiàn)對網(wǎng)絡(luò)的所有計算機遠(yuǎn)程了解當(dāng)前網(wǎng)絡(luò)計算機病毒事件，理，實時掌握、 反病毒策略設(shè)置和安全操作。 對服務(wù)器的保護5. 在這里我們選擇電子為例來在一個企業(yè)中對服務(wù)器的保護也是至關(guān)重要的。說明對服務(wù)器保護的重要性。 電子是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子

14、的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和協(xié)議自身的缺點，電子存在著很大的安全隱患。 文案大全 實用標(biāo)準(zhǔn)文檔目前廣泛應(yīng)用的電子客戶端軟件如 OUTLOOK 支持S/MIME( Secure Multipurpose Internet Mail Extensions )，它是從 PEM(Privacy Enhanced Mail) 和 MIME(Internet 的附件標(biāo)準(zhǔn) ) 發(fā)展而來的。首先，它的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織 ( 根證書 ) 之間相互認(rèn)證，整個信任

15、關(guān)系基本是樹狀的。其次，S/MIME 將信件容加密簽名后作為特殊的附件傳送。保證了信件容的安全性。下圖五是系統(tǒng)保護的簡圖（透明方式）: 圖說明 圖五 系統(tǒng)保護 6. 關(guān)鍵網(wǎng)段保護 企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對外應(yīng)是的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護。簡圖如下圖六所示。 文案大全 實用標(biāo)準(zhǔn)文檔 圖六 關(guān)鍵網(wǎng)段的防護 圖說明 日志分析和統(tǒng)計報表能力7.對網(wǎng)絡(luò)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名地址等相關(guān)信息。此外，報表系統(tǒng)還應(yīng)自動生成各種IP稱、描述和相應(yīng)的主機形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目清晰的方式從總體上

16、分析網(wǎng)絡(luò)上發(fā)類別分析等多種分析方式，標(biāo)分析，以直觀、 生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。 8. 部網(wǎng)絡(luò)行為的管理和監(jiān)控過濾對網(wǎng)絡(luò)的上網(wǎng)行為也應(yīng)該進行規(guī)，并監(jiān)控上網(wǎng)行為， 除對外的防護外，網(wǎng)頁訪問，過濾，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。企業(yè)部用戶上網(wǎng)請求和每一個URLURL信息識別度應(yīng)達(dá)到每一個請求的回應(yīng)。通過對網(wǎng)絡(luò)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)網(wǎng)絡(luò)部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除部威脅的有效手段。 文案大全 實用標(biāo)準(zhǔn)文檔 桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管 分別有是針對客戶端安全的整

17、體解決方案。理工具集成到一起，形成一個整體， 以下幾種系統(tǒng)： 電子簽章系統(tǒng) 1)利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可 或是打開文系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，OFFICE以無縫嵌入 檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統(tǒng) 安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定 只需拔用戶如果需要離開計算機，智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。 出智能密碼鑰匙，即可鎖定計算機。 3)文件加密系統(tǒng) 由于密鑰保存在智能密碼鑰匙中，文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。從而保證了加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)

18、指定安全算法， 存儲數(shù)據(jù)的安全性。 則網(wǎng)綜合保護簡圖如下圖七所示： 文案大全 實用標(biāo)準(zhǔn)文檔 網(wǎng)綜合保護圖七 圖說明 9. 移動用戶管理系統(tǒng)對于企業(yè)部的筆記本電腦在外工作，當(dāng)要接入部網(wǎng)也應(yīng)進行安全控制，確 保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進網(wǎng)。 身份認(rèn)證的解決方案10. 的身份認(rèn)基于身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。PKI它采用軟硬件相結(jié)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。接口的硬件設(shè)備，它置單片機或智能卡芯片，可以存儲用USB是一種USB Key 置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。戶的密鑰或數(shù)字證書，利用USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建的USB Key 基于PKI客戶端安全組件和證書管理系統(tǒng)通過應(yīng)用安全組件、用戶集中管理與認(rèn)證系統(tǒng)、授權(quán)與一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系