企业信息安全综合解决方案设计

要求有具体的问题，比方，信息系统安全〔硬件，场地，软件，病毒，木马，〕，网络安全〔网络入侵，效劳器/客户端的连通性，vpn的安全问题〕，人员安全〔身份识别，分权访问，人员治理〕，电子商务安全〔密钥，PKI〕，或者其它！【为保护隐私，公司原名用XX代替。内容涉及企业网络安全防护，入侵检测，VPN加密、数据安全、用户认证等企业信息安全案例，供参考】XX企业信息安全综合解决方案设计一．引言随着全球信息化及宽带网络建设的飞速进展响，全部信息承受明文传输，导致互联网的安全性问题日益严峻，非法访问、网络攻击、信利用信息安全技术来确保网络的安全问题恒的话题。“熊猫烧香”、“灰鸽子”等病毒就造成了这样的后果。由于安全事故给企业造成不必要的损失呢？二．XX企业需求分析该企业目前已建成掩盖整个企业的网络平台Cisco以企业所在地为中心与数个城市通过1M使用ADSL、CDMA登录互联网后通过VPN连接到企业内网，或者通过PSTN拨号连接。在SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营治理起到重要的支撑作用。外部网络的安全威逼密信息。假设内部网络的一台电脑安全受损〔被攻击或者被病毒感染，就会同时影响在同一网络上的很多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。假设系统内部局域网与系统外部网络间没有实行肯定的安全防护措施到来自外网一些不怀好意的入侵者的攻击。内部局域网的安全威逼据调查在已有的网络安全攻击大事中约70%是来自内部网络的侵害。来自机构内部局域部不怀好意的员工通过各种方式盗取他人涉密信息传播出去。网络设备的安全隐患网络设备中包含路由器、交换机、防火墙等，它们的设置比较简单正确理解而使这些设备可用但安全性不佳。二、操作系统的安全风险分析所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少用不着的效劳模块，开放了很多不必开放的端口，其中可能隐含了安全风险。目前的操作系统无论是Windows还是UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必定有其Back-Door间。三、应用的安全风险分析风险。其他员工窃取并传播出去造成泄密，由于缺少必要的访问掌握策略。的访问、通过口令猜测获得系统治理员权限、数据库效劳器本身存在漏洞简洁受到攻击等。〔硬件问题或软件崩溃病毒侵害的安全风险：网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的安全因素。手段，设法在线路上做些手脚，获得在网上传输的数据信息，也就造成的泄密。四、治理的安全分析治理方面的安全隐患包括：内部治理人员或员工图便利省事，不设置用户口令，或者设置的口令过短和过于简洁，导致很简洁破解。责任不清，使用一样的用户名、口令，导致权播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。权不明，治理混上乱、安全治理制度不健全及缺乏可操作性等都可能引起治理安全的风险。即除了从技术下功夫外，还得依靠安全治理来实现。三．XX该企业信息安全防护方案和策略主要由以下各局部组成:1.Internet安全接入承受PIX515作为外部边缘防火墙，其内部用户登录互联网时经过NetEye防火墙，再PIX映射到互联网。PIXNetEye之间形成了DMZ区，需要供给互联网效劳的邮件效劳器、Web效劳器等防止在该DMZ区内。该防火墙安全策略如下:Internet上只能访问到DMZ内Web8025端口;InternetDMZ区不能访问内部网任何资源;Internet访问内部网资源只能通过VPN系统进展。为了防止病毒从Internet进入内部网，该企业在DMZ区部署了网关防病毒系统。承受SymantecWebSecurity3.0防病毒系统，对来自互联网的网页内容和附件等信息设定了合理的过滤规章，阻断来自互联网的各种病毒。防火墙访问掌握;PIX防火墙供给PAT效劳，配置IPSec加密协议实现VPN拨号连接以及端到端VPN连接，并通过扩展ACL对进出防火墙的流量进展严格的端口效劳掌握。NetEye防火墙处于内部网络与DMZDMZDMZ区进入内网的流量则进展严格的过滤用户认证系统;用户认证系统主要用于解决拨号和VPN接入的安全问题，它是从完善系统用户认证、访问掌握和使用审计方面的功能来增加系统的安全性。承受思科的ACS用户认证系统。在主域效劳器上安装Radius效劳器，在Cisco拨号路由器和PIX防火墙上配置了RadiusVPN用户身份认证在Radius效劳器上强制用户定期更改口令。同时配置了一台VPN日志效劳器，记录全部VPN用户的访问，而拨号用户的访问则记录在Radius效劳器中，作为系统审计的依据。系统治理员可以依据需要制定用户身份认证策略。入侵检测系统;在系统中关键的部位安装基于网络的入侵检测系统网络中发生的安全大事，并能准时做出响应。依据该企业网络应用的状况，可在互联网流量会聚的交换机处部署一套CAeTrustIntrusionDetection，它可实时监控内部网中发生的安全大事，使得治理员准时做出反响，并可记录内部用户对Internet的访问，治理者可审计Internet波病毒爆发时，该系统能够显示出哪些主机感染了病毒而不停地向其他网络主机发出播送包。企业的网络治理员可以依据实际应用环境对IDS进展具体配置，并在实践中依据需要随时调整配置参数。5，网络防病毒系统;该企业全面地布置防病毒系统，包括客户机、文件效劳器、邮件效劳器和OA效劳器。该企业承受McAfeeTVD防病毒系统保护客户机和文件效劳器的安全，客户机每天定时McAfee效劳器通过FTP方式下载并安装最的病毒代码库。该企业电子邮件系统运行在DominoMcAfee针对Domino数据库的病毒过滤模块，对发送和接手的邮件附件进展病毒扫描和隔离。VPN加密系统;该企业通过PIX防火墙建立了基于IPSec国际标准协议的虚拟专网VPN，承受3DEC加密算法实现了信息在互联网上的安全传输。VPN系统主要用于该企业移动办公的员工供给互联网访问企业内网OA系统，同时为企业内网ERP用户访问大股东集团公司的SAP系统供给VPN加密连接。网络设备及效劳器加固;该企业网络治理员定期对各种网络设备和主机进展安全性扫描和渗透测试洞并实行补救措施。安全性扫描主要是利用一些扫描工具，包括Retina、X-Scan、SuperScan、LanGuard目的是觉察系统存在的各种漏洞。洞，以黑客使用的手段对系统进展模拟攻击，最大限度地得到系统的掌握权。例如，利用Unix系统的/bin/login无需任何身份验证即可远程非法登录漏洞以及priocntl系统调用漏洞，通过缓冲溢出进入系统后进展权限提升，即可获得Root权限。施包括:关闭不必要的网络端口;视网络应用状况禁用ICMP、SNMP等协议;安装最系统安全补丁;SSH而不是Telnet进展远程登录;调整本地安全策略，禁用不需要的系统缺省效劳;启用系统安全审计日志。攻击、非法远程登录等黑客攻击行为。桌面电脑安全治理系统;该企业承受LANDesk有如下功能:补丁治理是LAN-Desk系统的主要功能之一，主要用于修复桌面电脑系统漏洞，避开蠕虫病毒、黑客攻击和木马程序等。LANDesk补丁治理器能够高效地实现安全补丁治理。补丁程序能够从全球统一的补丁治理效劳器自动下载，并自动分发到每台桌面电脑，无需IT人员干预。补丁程序在分发安装前，都经过本地效劳器的测试，从而确保补丁自身的安全性，避开损坏用户系统。由于LANDesk承受全自动补丁分发方式，大大减轻了治理员的负荷，而更重要的是能够OA用户的电脑免受破坏。间谍软件检测基于LAN-Desk随时更的集中化安全治理核心数据库，该系统能够自动。安全威逼分析LANDesk供给自动的威逼分析功能，它能够自动检测桌面电脑的配置风险，包括共享、口令、扫瞄器等安全问题，并自动进展修补或提出修改建议。LANDesk供给的应用程序治理功能可以通过远程执行指令，阻挡有关应用程序的运行。设备访问掌握LANDesk问掌握策略，限制对网络、驱动器、通信端口、USB和无线频道的访问，防止关键数据丧失和未授权访问。IT资产治理对该企业全部上网电脑进展在线治理。该系统能够自动扫描在线电脑的配置IP地址、操作系统类型、应用程序安装状况等等，并可进展分类、依据需要形成不同报表。数据备份系统该企业承受HP1/8磁带自动装载机对企业数据进展备份，该磁带库可以同时装载9盒磁大存储容量为640GBLegatoNetWorker定，备份和恢