企业内部网络安全设计

1、企业内部网络安全方案设计一、一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。一般来说，计算机网络系统的安全威胁主要来自以下几个方面： 1) 计算机病毒的侵袭。计算机病毒侵入网络，对网络资源进 行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。 2) 黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐 蔽通道进行非法活动；采用匿名用户访问进行攻击；通过网络监 听获取网上用户账号和密码；非法获取网上传输的数

2、据等。 3) 拒绝服务攻击。例如“邮件炸弹”，使用户在很短的时间 内收到大量无用的电子邮件，从而影响正常业务的运行。严重时 会使系统关机，网络瘫痪。 4) 通用网关接口（CGI）漏洞。搜索引擎是通过CGI 脚本执 行的方式实现的，黑客可以修改这些CGI 脚本以执行他们的非法 任务。 5) 恶意代码。恶意代码不限于病毒，还包括蠕虫、特洛伊木 马、逻辑炸弹等。二、企业网络安全目标 1）建立一套完整可行的网络安全与管理策略，将内部网络、公开服务器网络和外网进行有效隔离； 2）建立网站各主机和服务器的安全保护措施，保证系统安全； 3）对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝； 4）加强

3、合法用户的访问认证，同时将用户的访问权限控制在最低限度 全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和 黑客攻击行为； 5）加强对各种访问的审计工作，详细记录对网络、公开服务器的访 问行为，形成完整的系统日志备份与灾难恢复； 6）提高系统全体人员的网络安全意识和防范技术。 三、安全方案设计原则对企业局域网网络安全方案设计、规划时，应遵循以下原则： 1) 综合性、整体性原则：应用系统工程的观点、方法，分析 网络的安全措施。即计算机网络安全应遵循整体安全性原则，根 据规定的安全策略制定出合理的网络安全体系结构。 2) 需求、风险、代价平衡的原则：对任一网络，绝对安全难 以达到，也不一定必

4、要。对网络面临的威胁及可能承担的风险进 行定性与定量相结合的分析，然后制定规范和措施，确定本系统 的安全策略，是比较经济的方法。 3) 一致性原则：网络安全问题贯穿整个网络的生命周期，因此制定的安全 体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络 安全对策，比在网络建设好后再考虑安全措施，要有效得多。4) 易操作性原则：安全措施需要人为去完成，如果措施过于 复杂，对人的要求过高，本身就降低了安全性。 5) 分步实施原则：由于网络规模的扩展及应用的增加。一劳永逸地 解决网络安全问题是不现实的，费用支出也较大。因此可以分步实施， 即可满足网络系统及信息安全的基本需求，亦可节省费用开支

5、。 6）多重保护原则：任何安全措施都不是绝对安全的，都可能 被攻破。因此需要建立一个多重保护系统，各层保护相互补充， 当一层保护被攻破时，其它保护仍可保护信息安全。 四、主要防范措施 1）依据互联网信息服务管理办法、互联网站从事登载新 闻业务管理暂行规定和中国互联网络域名注册暂行管理办法 建立健全各种安全机制和安全制度，加强网络安全教育和培训。 2）网络病毒的防范。作为企业应用网络，同时需要基于服务 器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病 毒软件。所以最好使用全方位的防病毒产品，通过全方位、多层 次的防病毒系统的配置，使网络免受病毒的侵袭。 3）配置防火墙。防火墙是一种行之有

6、效且应用广泛的网络安 全机制。利用防火墙执行一种访问控制尺度，将不允许的用户与 数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络， 同时防止Internet 上的不安全因素蔓延到局域网内部。防火墙设置如下图：图示说明 配置防火墙4）采用入侵检测系统。入侵检测技术是为保证计算机系统的 安全而设计与配置的一种能够及时发现并报告系统中未授权或异 常现象的技术，用于检测计算机网络中违反安全策略行为。利用 审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。最好采用混合入侵检测， 同时采用基于网络和基于主机的入侵检测系统，构架成一套完整 立体的主动防御体系

7、。入侵检测系统的设置如下图： 图示说明 入侵检测系统5）漏洞扫描系统。解决网络安全问题，要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患，提醒网络安全管理员做好相应调整。 6）IP 盗用问题的解决。在路由器上捆绑IP 和MAC 地址。当某个IP 通过路由器访问Internet时，路由器要检查发出这个IP 广播包的工作站的MAC是否与路由器上的MAC 地址表相符，否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。 7）利用网络监听维护子网系统安全。对于网络外部的入侵可 以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，可以采用对各个子网做一个具有一定功能的审计 文件，为管理人员分析自己的网络运作状态提供依据。设计一个 子网专用的监听程序，长期监听子网络内计算机间相互联系的情 况，为系统中各个服务器的审计文件提供备份。文件加密系统五、结论 网络安全是一个系统的工程，不能仅依靠杀毒软件、防火墙、 漏洞检测等