企业网络安全解决方案

企业网络安全解决方案TOC\o"1-5"\h\z\o"CurrentDocument"第1章绪论 1\o"CurrentDocument"课题背景 1\o"CurrentDocument"目的和意义 1\o"CurrentDocument"第2章需求分析 2\o"CurrentDocument"企业网络安全现状和威逼 2互联网安全： 2企业内部网安全： 2内网与内网、内网与外网之间的连接安全： 2\o"CurrentDocument"企业网络安全需求分析 3网络的可用性： 4业务系统的可用性： 4数据隐秘性： 4访问的可控性： 4网络操作的可治理性： 4\o"CurrentDocument"第3章设备选型及治理 5\o"CurrentDocument"安全产品选型原则 5\o"CurrentDocument"UTM（统一威逼治理） 6\o"CurrentDocument"第4章总体设计 8\o"CurrentDocument"整体结构描述 8\o"CurrentDocument"网络安全基础设施 8\o"CurrentDocument"边界防护和网络的隔离 9\o"CurrentDocument"桌面安全防护 10电子签章系统 10安全登录系统 10文件加密系统 10\o"CurrentDocument"身份认证 10\o"CurrentDocument"安全电子邮件 11\o"CurrentDocument"第5章总结 12\o"CurrentDocument"参考文献 12第1章绪论课题背景Internet的迅猛进展不仅带动了信息产业和国民经济的快速增长，也为企业的进展带来了重大商机。以Internet为代表的信息技术的进展不仅直截了当阻碍着企业科技的创新能力和生产效率的提高，也逐步成为提高企业竞争力的重要力量。随着中小型企业信息化建设的逐步完善，企业业务关于网络的依靠性也越来越大，但同时也受到互联网络的安全威逼，如黑客和病毒攻击，因此关于网络安全的需求也越来越强烈。目的和意义一方面，随着运算机技术、信息技术的进展，运算机网络系统必将成为企业各项业务的关键平台。另一方面，随着运算机网络系统的进展，运算机网络安全系统必将发挥越来越重要的作用。网络安全系统的建立，必将为企业的业务信息系统、行政治理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，能够从全然上解决来自网络外部及内部对网络安全造成的各种威逼，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证隐秘、隐秘文件的安全传输，严格地禁止经济情报失、泄密现象发生，幸免重大经济案件的发生。第2章需求分析企业网络安全现状和威逼当今不管是中小企业依旧大企业，都广泛使用信息技术，专门是网络技术，以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业治理的同时，也给企业带来了安全隐患。网络的安全问题一直困扰着企业的进展，给企业所造成的缺失不可估量。由于运算机网络特有的开放性，网络安全问题日益严峻。企业所面临的安全威逼要紧有以下几个方面：互联网安全：企业通过Internet能够把遍布世界各地的资源互联互享，但因为其开放性，在Internet上传输的信息在安全性上不可幸免地会面临专门多危险。当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为阻碍广泛的安全威逼。企业内部网安全：企业中大量职员利用网络处理私人事务。对网络的不正当使用，降低了生产效率、消耗了企业的网络资源，并引入病毒和木马程序等。发生在企业网络上的病毒事件，据调查90%是经由电子邮件或扫瞄网页，进入企业内部网络并传播的。垃圾邮件和各种恶意程序，造成企业网络拥塞瘫痪，甚至系统崩溃，造成难以补偿的庞大缺失。内网与内网、内网与外网之间的连接安全：随着企业的不断进展壮大，逐步形成了企业总部、异地分支机构、移动办公人员如此的新型互动运营模式。如何样处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止隐秘的泄漏差不多成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直截了当阻碍着企业的运行效率。企业网络安全需求分析企业期望能具有竞争力并提高生产效率，就必须对市场需求作出及时有效的响应，从而引发了依靠于互联网来猎取、共享信息的趋势，如此才能进一步提高生产效率进而推动企业的进展。然而，有网络的地点就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而当今的网络差不多发生了庞大的变化，确保网络的安全性和可用性差不多成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。因此专门多企业频繁地受到网络的安全威逼甚至损害。因为当今网络业务的复杂性，依靠早期的简单安全设备差不多对这些问题无能为力。为了应对网络安全挑战，企业通常会使用多种网络硬件设备，包括防火墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂，这些网络需要所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的基础上，再结合多种软件解决方案，如病毒防护、入侵检测（IDS）、入侵防备（IPS）、VPN网关和内容过滤（如URL过滤）等，就构成了一个常规的网络安全解决方案。但网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。归结起来，应充分保证以下几点：网络的可用性：网络是企业业务系统的载体，安全体系必须防止病毒入侵及破坏，建立完善统一的病毒防范体系，爱护网内运算机的运行。业务系统的可用性：中小企业主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统可不能遭受来自网络的非法访问、恶意入侵和破坏。数据隐秘性：关于中小企业网络，保密数据的泄密将直截了当带来企业商业利益的缺失。网络安全系统应保证隐秘信息在储备与传输时的保密性。有效拦截黑客程序的破坏，准确记录和上报攻击信息，保证重要数据安全。访问的可控性：分层次的安全策略，针对不同职能部门确立相应的安全防范标准。对关键网络、系统和数据的访问必须得到有效的操纵，这要求系统能够可靠确认访问者的身份，慎重授权，并对任何访问进行跟踪记录。网络操作的可治理性：简单高效的网络安全治理模式，清晰统一的责任分工与合作。关于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可治理和爱护功能。专业及时的灾难复原系统，将受灾后的缺失减少到最小。第3章设备选型及治理安全产品选型原则在进行企业网络安全方案的产品选型时，要求安全产品至少应包含以下功能：访问操纵：通过对特定网段、服务建立的访问操纵体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏锐信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和复原：良好的备份和复原机制，可在攻击造成缺失时，尽快地复原数据和系统服务。多层防备：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息：使攻击者不能了解系统内的差不多情形。设立安全监控中心：为信息系统提供安全体系治理、监控，爱护及紧急情形服务。UTM（统一威逼治理）企业用户目前急需的是建立一个规范的安全治理平台，对各种安全产品进行统一治理。因此，UTM（统一威逼治理）产品应运而生，同时正在逐步得到市场的认可。UTM安全、治理方便的特点，是安全设备最大的好处，而这往往也是企业对产品的要紧需求。UTM产品灵活、易于治理，使企业能够在一个统一的架构上建立安全基础设施，相关于提供单一专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等专门多常用的安全功能，而用户既能够选择具备全面功能的UTM设备，也能够依照自己的需要选择某几个方面的功能。更为重要的是，用户能够随时在那个平台上增加或调整安全功能，而任何时候这些安全功能都能够专门好地协同工作。整合式的UTM产品相关于单独购置各种功能，能够有效地降低成本投入。且由于UTM的治理比较统一，能够大大降低在技术治理方面的要求，补偿企业在技术力量上的不足。这使得企业能够最大限度地降低对安全供应商的技术服务要求，网络安全方案可行性更强。图1 企业网络安全体系示意图图2基于UTM的网络安全体系架构第4章总体设计整体结构描述本方案采纳立体多层次的安全系统架构。结合企业的网络特点，采纳 UTM整体安全网络架构方案。（如图1所示）这种多层次的安全体系在网络边界设置防火墙和 VPN，用基于状态检测的防火墙系统实现对内部网和广域网进行隔离爱护。VPN为远程办公人员及分支机构提供方便的VPN高速接入，爱护数据传输过程中的安全，实现用户对企业内部网的受控访问。同时还有针对网络病毒和垃圾邮件等应用层攻击的防护措施，这种主动防护可将攻击内容完全阻挡在企业内部网之外。关于内网安全，专门是移动办公，客户端隔离技术将对有安全问题的主机进行隔离，以免其对整个网络造成更大范畴的阻碍，这给整个企业网络提供了安全保证。UTM提供高级别的安全性，能够检测到专门操作并赶忙关闭可疑的通讯。（详细的网络架构图如图2所示。）网络安全基础设施证书认证系统不管是企业内部的信息网络依旧外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI（PublicKeyInfrastructure，公钥基础设施）是利用公布密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保证，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过那个安全平台实现以下目标：身份认证：确认通信双方的身份，要求通信双方的身份不能被假冒或假装，在此体系中通过数字证书来确认对方的身份。数据的隐秘性：对敏锐信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。数据的完整性：确保通信信息不被破坏，通过哈希函数和数字签名来完成。不可抵赖性：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。边界防护和网络的隔离VPN虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网（如Internet）连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及爱护费用、易于扩展、数据传输的高安全性。通过安装部署 VPN系统，能够为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开创一条隧道，使得合法的用户能够安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采纳了状态检测的包过滤技术，能够对多种网络对象进行有效地访问监控，为网络提供高效、稳固地安全爱护。集中的安全策略治理能够对整个VPN网络的安全策略进行集中治理和配置。桌面安全防护桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡治理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。电子签章系统利用非对称密钥体系保证了文档的完整性和不可抵赖性。采纳组件技术，能够无缝嵌入OFFICE系统，用户能够在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。安全登录系统安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才能够登录运算机和网络。用户假如需要离开运算机，只需拔出智能密码钥匙，即可锁定运算机。文件加密系统文件加密应用系统保证了数据的安全储备。由于密钥储存在智能密码钥匙中，加密算法采纳国际标准安全算法或国家密码治理机构指定安全算法，从而保证了储备数据的安全性。身份认证身份认证是指运算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年进展起来的一种方便、安全的身份认证技术。它采纳软硬件相结合、一次一密的强双因子认证模式，专门好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，能够储备用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。安全电子邮件电子邮件是I