企業(yè)內(nèi)部網(wǎng)絡安全設(shè)計

1、企業(yè)內(nèi)部網(wǎng)絡安全方案設(shè)計一、一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結(jié)構(gòu)也會變得越來越復雜，應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。一般來說，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自以下幾個方面： 1) 計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡，對網(wǎng)絡資源進 行破壞，使網(wǎng)絡不能正常工作，甚至造成整個網(wǎng)絡的癱瘓。 2) 黑客侵襲。黑客非法進入網(wǎng)絡使用網(wǎng)絡資源。例如通過隱 蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡監(jiān) 聽獲取網(wǎng)上用戶賬號和密碼；非法獲取網(wǎng)上傳輸?shù)臄?shù)

2、據(jù)等。 3) 拒絕服務攻擊。例如“郵件炸彈”，使用戶在很短的時間 內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務的運行。嚴重時 會使系統(tǒng)關(guān)機，網(wǎng)絡癱瘓。 4) 通用網(wǎng)關(guān)接口（CGI）漏洞。搜索引擎是通過CGI 腳本執(zhí) 行的方式實現(xiàn)的，黑客可以修改這些CGI 腳本以執(zhí)行他們的非法 任務。 5) 惡意代碼。惡意代碼不限于病毒，還包括蠕蟲、特洛伊木 馬、邏輯炸彈等。二、企業(yè)網(wǎng)絡安全目標 1）建立一套完整可行的網(wǎng)絡安全與管理策略，將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離； 2）建立網(wǎng)站各主機和服務器的安全保護措施，保證系統(tǒng)安全； 3）對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕； 4）加強

3、合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度 全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和 黑客攻擊行為； 5）加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡、公開服務器的訪 問行為，形成完整的系統(tǒng)日志備份與災難恢復； 6）提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術(shù)。 三、安全方案設(shè)計原則對企業(yè)局域網(wǎng)網(wǎng)絡安全方案設(shè)計、規(guī)劃時，應遵循以下原則： 1) 綜合性、整體性原則：應用系統(tǒng)工程的觀點、方法，分析 網(wǎng)絡的安全措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根 據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。 2) 需求、風險、代價平衡的原則：對任一網(wǎng)絡，絕對安全難 以達到，也不一定必

4、要。對網(wǎng)絡面臨的威脅及可能承擔的風險進 行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng) 的安全策略，是比較經(jīng)濟的方法。 3) 一致性原則：網(wǎng)絡安全問題貫穿整個網(wǎng)絡的生命周期，因此制定的安全 體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。在網(wǎng)絡建設(shè)開始就考慮網(wǎng)絡 安全對策，比在網(wǎng)絡建設(shè)好后再考慮安全措施，要有效得多。4) 易操作性原則：安全措施需要人為去完成，如果措施過于 復雜，對人的要求過高，本身就降低了安全性。 5) 分步實施原則：由于網(wǎng)絡規(guī)模的擴展及應用的增加。一勞永逸地 解決網(wǎng)絡安全問題是不現(xiàn)實的，費用支出也較大。因此可以分步實施， 即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支

5、。 6）多重保護原則：任何安全措施都不是絕對安全的，都可能 被攻破。因此需要建立一個多重保護系統(tǒng)，各層保護相互補充， 當一層保護被攻破時，其它保護仍可保護信息安全。 四、主要防范措施 1）依據(jù)互聯(lián)網(wǎng)信息服務管理辦法、互聯(lián)網(wǎng)站從事登載新 聞業(yè)務管理暫行規(guī)定和中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法 建立健全各種安全機制和安全制度，加強網(wǎng)絡安全教育和培訓。 2）網(wǎng)絡病毒的防范。作為企業(yè)應用網(wǎng)絡，同時需要基于服務 器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務器平臺的防病 毒軟件。所以最好使用全方位的防病毒產(chǎn)品，通過全方位、多層 次的防病毒系統(tǒng)的配置，使網(wǎng)絡免受病毒的侵襲。 3）配置防火墻。防火墻是一種行之有

6、效且應用廣泛的網(wǎng)絡安 全機制。利用防火墻執(zhí)行一種訪問控制尺度，將不允許的用戶與 數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡， 同時防止Internet 上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻設(shè)置如下圖：圖示說明 配置防火墻4）采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的 安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異 ?，F(xiàn)象的技術(shù)，用于檢測計算機網(wǎng)絡中違反安全策略行為。利用 審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。最好采用混合入侵檢測， 同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，構(gòu)架成一套完整 立體的主動防御體系

7、。入侵檢測系統(tǒng)的設(shè)置如下圖： 圖示說明 入侵檢測系統(tǒng)5）漏洞掃描系統(tǒng)。解決網(wǎng)絡安全問題，要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具是較好的解決方案，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患，提醒網(wǎng)絡安全管理員做好相應調(diào)整。 6）IP 盜用問題的解決。在路由器上捆綁IP 和MAC 地址。當某個IP 通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP 廣播包的工作站的MAC是否與路由器上的MAC 地址表相符，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。 7）利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可 以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，可以采用對各個子網(wǎng)做一個具有一定功能的審計 文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設(shè)計一個 子網(wǎng)專用的監(jiān)聽程序，長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情 況，為系統(tǒng)中各個服務器的審計文件提供備份。文件加密系統(tǒng)五、結(jié)論 網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅依靠殺毒軟件、防火墻、 漏洞檢測等