企業(yè)網(wǎng)絡安全解決方案

企業(yè)網(wǎng)絡安全解決方案TOC\o"1-5"\h\z\o"CurrentDocument"第1章緒論 1\o"CurrentDocument"課題背景 1\o"CurrentDocument"目的和意義 1\o"CurrentDocument"第2章需求分析 2\o"CurrentDocument"企業(yè)網(wǎng)絡安全現(xiàn)狀和威逼 2互聯(lián)網(wǎng)安全： 2企業(yè)內(nèi)部網(wǎng)安全： 2內(nèi)網(wǎng)與內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全： 2\o"CurrentDocument"企業(yè)網(wǎng)絡安全需求分析 3網(wǎng)絡的可用性： 4業(yè)務系統(tǒng)的可用性： 4數(shù)據(jù)隱秘性： 4訪問的可控性： 4網(wǎng)絡操作的可治理性： 4\o"CurrentDocument"第3章設備選型及治理 5\o"CurrentDocument"安全產(chǎn)品選型原則 5\o"CurrentDocument"UTM（統(tǒng)一威逼治理） 6\o"CurrentDocument"第4章總體設計 8\o"CurrentDocument"整體結(jié)構(gòu)描述 8\o"CurrentDocument"網(wǎng)絡安全基礎(chǔ)設施 8\o"CurrentDocument"邊界防護和網(wǎng)絡的隔離 9\o"CurrentDocument"桌面安全防護 10電子簽章系統(tǒng) 10安全登錄系統(tǒng) 10文件加密系統(tǒng) 10\o"CurrentDocument"身份認證 10\o"CurrentDocument"安全電子郵件 11\o"CurrentDocument"第5章總結(jié) 12\o"CurrentDocument"參考文獻 12第1章緒論課題背景Internet的迅猛進展不僅帶動了信息產(chǎn)業(yè)和國民經(jīng)濟的快速增長，也為企業(yè)的進展帶來了重大商機。以Internet為代表的信息技術(shù)的進展不僅直截了當阻礙著企業(yè)科技的創(chuàng)新能力和生產(chǎn)效率的提高，也逐步成為提高企業(yè)競爭力的重要力量。隨著中小型企業(yè)信息化建設的逐步完善，企業(yè)業(yè)務關(guān)于網(wǎng)絡的依靠性也越來越大，但同時也受到互聯(lián)網(wǎng)絡的安全威逼，如黑客和病毒攻擊，因此關(guān)于網(wǎng)絡安全的需求也越來越強烈。目的和意義一方面，隨著運算機技術(shù)、信息技術(shù)的進展，運算機網(wǎng)絡系統(tǒng)必將成為企業(yè)各項業(yè)務的關(guān)鍵平臺。另一方面，隨著運算機網(wǎng)絡系統(tǒng)的進展，運算機網(wǎng)絡安全系統(tǒng)必將發(fā)揮越來越重要的作用。網(wǎng)絡安全系統(tǒng)的建立，必將為企業(yè)的業(yè)務信息系統(tǒng)、行政治理、信息交流提供一個安全的環(huán)境和完整平臺。通過先進技術(shù)建立起的網(wǎng)絡安全系統(tǒng)，能夠從全然上解決來自網(wǎng)絡外部及內(nèi)部對網(wǎng)絡安全造成的各種威逼，以最優(yōu)秀的網(wǎng)絡安全整體解決方案為基礎(chǔ)形成一個更加完善的業(yè)務系統(tǒng)和辦公自動化系統(tǒng)。利用高性能的網(wǎng)絡安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗證等于一身的功能，有效地保證隱秘、隱秘文件的安全傳輸，嚴格地禁止經(jīng)濟情報失、泄密現(xiàn)象發(fā)生，幸免重大經(jīng)濟案件的發(fā)生。第2章需求分析企業(yè)網(wǎng)絡安全現(xiàn)狀和威逼當今不管是中小企業(yè)依舊大企業(yè)，都廣泛使用信息技術(shù)，專門是網(wǎng)絡技術(shù)，以不斷提高企業(yè)競爭力。企業(yè)信息設施在提高企業(yè)效益和方便企業(yè)治理的同時，也給企業(yè)帶來了安全隱患。網(wǎng)絡的安全問題一直困擾著企業(yè)的進展，給企業(yè)所造成的缺失不可估量。由于運算機網(wǎng)絡特有的開放性，網(wǎng)絡安全問題日益嚴峻。企業(yè)所面臨的安全威逼要緊有以下幾個方面：互聯(lián)網(wǎng)安全：企業(yè)通過Internet能夠把遍布世界各地的資源互聯(lián)互享，但因為其開放性，在Internet上傳輸?shù)男畔⒃诎踩陨喜豢尚颐獾貢媾R專門多危險。當越來越多的企業(yè)把自己的商務活動放到網(wǎng)絡上后，針對網(wǎng)絡系統(tǒng)的各種非法入侵、病毒等活動也隨之增多。例如黑客攻擊、病毒傳播、垃圾郵件泛濫、信息泄露等已成為阻礙廣泛的安全威逼。企業(yè)內(nèi)部網(wǎng)安全：企業(yè)中大量職員利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)效率、消耗了企業(yè)的網(wǎng)絡資源，并引入病毒和木馬程序等。發(fā)生在企業(yè)網(wǎng)絡上的病毒事件，據(jù)調(diào)查90%是經(jīng)由電子郵件或掃瞄網(wǎng)頁，進入企業(yè)內(nèi)部網(wǎng)絡并傳播的。垃圾郵件和各種惡意程序，造成企業(yè)網(wǎng)絡擁塞癱瘓，甚至系統(tǒng)崩潰，造成難以補償?shù)凝嫶笕笔А?nèi)網(wǎng)與內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全：隨著企業(yè)的不斷進展壯大，逐步形成了企業(yè)總部、異地分支機構(gòu)、移動辦公人員如此的新型互動運營模式。如何樣處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止隱秘的泄漏差不多成為企業(yè)成長過程中需要及時解決的問題。同時異地分支機構(gòu)、移動辦公人員與總部之間的有線和無線網(wǎng)絡連接安全直截了當阻礙著企業(yè)的運行效率。企業(yè)網(wǎng)絡安全需求分析企業(yè)期望能具有競爭力并提高生產(chǎn)效率，就必須對市場需求作出及時有效的響應，從而引發(fā)了依靠于互聯(lián)網(wǎng)來獵取、共享信息的趨勢，如此才能進一步提高生產(chǎn)效率進而推動企業(yè)的進展。然而，有網(wǎng)絡的地點就有安全的問題。過去的網(wǎng)絡大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設備就足以承擔其任務。然而當今的網(wǎng)絡差不多發(fā)生了龐大的變化，確保網(wǎng)絡的安全性和可用性差不多成為更加復雜而且必需的任務。用戶每一次連接到網(wǎng)絡上，原有的安全狀況就會發(fā)生變化。因此專門多企業(yè)頻繁地受到網(wǎng)絡的安全威逼甚至損害。因為當今網(wǎng)絡業(yè)務的復雜性，依靠早期的簡單安全設備差不多對這些問題無能為力。為了應對網(wǎng)絡安全挑戰(zhàn)，企業(yè)通常會使用多種網(wǎng)絡硬件設備，包括防火墻、路由器、轉(zhuǎn)接器、遠程接入設備等。大多數(shù)公司的網(wǎng)絡相當復雜，這些網(wǎng)絡需要所有這些設備來確保正確的路由以及提供快速和可靠的網(wǎng)絡性能。在這些硬件的基礎(chǔ)上，再結(jié)合多種軟件解決方案，如病毒防護、入侵檢測（IDS）、入侵防備（IPS）、VPN網(wǎng)關(guān)和內(nèi)容過濾（如URL過濾）等，就構(gòu)成了一個常規(guī)的網(wǎng)絡安全解決方案。但網(wǎng)絡安全產(chǎn)品不僅僅需要簡單的安裝，更重要的是要有針對復雜網(wǎng)絡應用的一體化解決方案。歸結(jié)起來，應充分保證以下幾點：網(wǎng)絡的可用性：網(wǎng)絡是企業(yè)業(yè)務系統(tǒng)的載體，安全體系必須防止病毒入侵及破壞，建立完善統(tǒng)一的病毒防范體系，愛護網(wǎng)內(nèi)運算機的運行。業(yè)務系統(tǒng)的可用性：中小企業(yè)主機、數(shù)據(jù)庫、應用服務器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡安全體系必須保證這些系統(tǒng)可不能遭受來自網(wǎng)絡的非法訪問、惡意入侵和破壞。數(shù)據(jù)隱秘性：關(guān)于中小企業(yè)網(wǎng)絡，保密數(shù)據(jù)的泄密將直截了當帶來企業(yè)商業(yè)利益的缺失。網(wǎng)絡安全系統(tǒng)應保證隱秘信息在儲備與傳輸時的保密性。有效攔截黑客程序的破壞，準確記錄和上報攻擊信息，保證重要數(shù)據(jù)安全。訪問的可控性：分層次的安全策略，針對不同職能部門確立相應的安全防范標準。對關(guān)鍵網(wǎng)絡、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的操縱，這要求系統(tǒng)能夠可靠確認訪問者的身份，慎重授權(quán)，并對任何訪問進行跟蹤記錄。網(wǎng)絡操作的可治理性：簡單高效的網(wǎng)絡安全治理模式，清晰統(tǒng)一的責任分工與合作。關(guān)于網(wǎng)絡安全系統(tǒng)應具備審計和日志功能，對相關(guān)重要操作提供可靠而方便的可治理和愛護功能。專業(yè)及時的災難復原系統(tǒng)，將受災后的缺失減少到最小。第3章設備選型及治理安全產(chǎn)品選型原則在進行企業(yè)網(wǎng)絡安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應包含以下功能：訪問操縱：通過對特定網(wǎng)段、服務建立的訪問操縱體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏銳信息。認證：良好的認證體系可防止攻擊者假冒合法用戶。備份和復原：良好的備份和復原機制，可在攻擊造成缺失時，盡快地復原數(shù)據(jù)和系統(tǒng)服務。多層防備：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的差不多情形。設立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系治理、監(jiān)控，愛護及緊急情形服務。UTM（統(tǒng)一威逼治理）企業(yè)用戶目前急需的是建立一個規(guī)范的安全治理平臺，對各種安全產(chǎn)品進行統(tǒng)一治理。因此，UTM（統(tǒng)一威逼治理）產(chǎn)品應運而生，同時正在逐步得到市場的認可。UTM安全、治理方便的特點，是安全設備最大的好處，而這往往也是企業(yè)對產(chǎn)品的要緊需求。UTM產(chǎn)品靈活、易于治理，使企業(yè)能夠在一個統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設施，相關(guān)于提供單一專有功能的安全設備，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等專門多常用的安全功能，而用戶既能夠選擇具備全面功能的UTM設備，也能夠依照自己的需要選擇某幾個方面的功能。更為重要的是，用戶能夠隨時在那個平臺上增加或調(diào)整安全功能，而任何時候這些安全功能都能夠?qū)ｉT好地協(xié)同工作。整合式的UTM產(chǎn)品相關(guān)于單獨購置各種功能，能夠有效地降低成本投入。且由于UTM的治理比較統(tǒng)一，能夠大大降低在技術(shù)治理方面的要求，補償企業(yè)在技術(shù)力量上的不足。這使得企業(yè)能夠最大限度地降低對安全供應商的技術(shù)服務要求，網(wǎng)絡安全方案可行性更強。圖1 企業(yè)網(wǎng)絡安全體系示意圖圖2基于UTM的網(wǎng)絡安全體系架構(gòu)第4章總體設計整體結(jié)構(gòu)描述本方案采納立體多層次的安全系統(tǒng)架構(gòu)。結(jié)合企業(yè)的網(wǎng)絡特點，采納 UTM整體安全網(wǎng)絡架構(gòu)方案。（如圖1所示）這種多層次的安全體系在網(wǎng)絡邊界設置防火墻和 VPN，用基于狀態(tài)檢測的防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離愛護。VPN為遠程辦公人員及分支機構(gòu)提供方便的VPN高速接入，愛護數(shù)據(jù)傳輸過程中的安全，實現(xiàn)用戶對企業(yè)內(nèi)部網(wǎng)的受控訪問。同時還有針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。關(guān)于內(nèi)網(wǎng)安全，專門是移動辦公，客戶端隔離技術(shù)將對有安全問題的主機進行隔離，以免其對整個網(wǎng)絡造成更大范疇的阻礙，這給整個企業(yè)網(wǎng)絡提供了安全保證。UTM提供高級別的安全性，能夠檢測到專門操作并趕忙關(guān)閉可疑的通訊。（詳細的網(wǎng)絡架構(gòu)圖如圖2所示。）網(wǎng)絡安全基礎(chǔ)設施證書認證系統(tǒng)不管是企業(yè)內(nèi)部的信息網(wǎng)絡依舊外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設施）是利用公布密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保證，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過那個安全平臺實現(xiàn)以下目標：身份認證：確認通信雙方的身份，要求通信雙方的身份不能被假冒或假裝，在此體系中通過數(shù)字證書來確認對方的身份。數(shù)據(jù)的隱秘性：對敏銳信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。數(shù)據(jù)的完整性：確保通信信息不被破壞，通過哈希函數(shù)和數(shù)字簽名來完成。不可抵賴性：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。邊界防護和網(wǎng)絡的隔離VPN虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)（如Internet）連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及愛護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴Ｍㄟ^安裝部署 VPN系統(tǒng)，能夠為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開創(chuàng)一條隧道，使得合法的用戶能夠安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。集成的防火墻功能模塊采納了狀態(tài)檢測的包過濾技術(shù)，能夠?qū)Χ喾N網(wǎng)絡對象進行有效地訪問監(jiān)控，為網(wǎng)絡提供高效、穩(wěn)固地安全愛護。集中的安全策略治理能夠?qū)φ麄€VPN網(wǎng)絡的安全策略進行集中治理和配置。桌面安全防護桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡治理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。電子簽章系統(tǒng)利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采納組件技術(shù)，能夠無縫嵌入OFFICE系統(tǒng)，用戶能夠在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。安全登錄系統(tǒng)安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才能夠登錄運算機和網(wǎng)絡。用戶假如需要離開運算機，只需拔出智能密碼鑰匙，即可鎖定運算機。文件加密系統(tǒng)文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全儲備。由于密鑰儲存在智能密碼鑰匙中，加密算法采納國際標準安全算法或國家密碼治理機構(gòu)指定安全算法，從而保證了儲備數(shù)據(jù)的安全性。身份認證身份認證是指運算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年進展起來的一種方便、安全的身份認證技術(shù)。它采納軟硬件相結(jié)合、一次一密的強雙因子認證模式，專門好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，能夠儲備用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。安全電子郵件電子郵件是I