企业网络安全方案设计

企业网络平安方案设计班级：12级财务管理审计本二班学号：1213132208设计人：王建红目录一、网络平安概述1.网络平安的概念2.网络平安模型二、网络系统平安风险分析1.主要风险2.网络平安系统的脆弱性3.网络攻击手段三、设计原则1.网络信息平安的木桶原则2．网络信息平安的整体性原则3．平安性评价与平衡原则4．标准化与一致性原则5．技术与管理相结合原则6．统筹规划，分步实施原则7．等级性原则8．动态开展原则9．易操作性原则四、网络平安设计方案1.网络拓扑构造图2.设备选型3.平安系统架构4.企业网络平安构造图五、平安产品1.网络平安认证平台2.VPN系统3.网络防火墙4.病毒防护系统5.对效劳器的保护6.关键网段保护7.日志分析和统计报表能力8.内部网络行为的管理和监控9.移动用户管理系统六、风险评估七、平安效劳摘要：计算机网络的开展和技术的提高给网络的平安带来了很大的冲击，Internet的平安成了新信息平安的热点。网络平安，是计算机信息系统平安的一个重要方面。如同翻开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的平安和信息传输平安的问题，就是我们所谓的计算机网络平安。本文针对计算机网络系统存在的平安性和可靠性问题，从网络平安的提出及定义、网络系统平安风险分析，网络攻击的一般手段，企业局域网平安设计的原则及其配置方案提出一些见解，并且进展了总结，就当前网络上普遍的平安威胁，提出了网络平安设计的重要理念和平安管理标准并针对常见网络故障进展分析及解决，实现企业局域网的网络平安。关键词：信息平安、企业网络平安、平安防护一、网络平安概述网络平安是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络效劳不中断。网络平安从其本质上来讲就是网络上的信息平安。从广义来说，但凡涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络平安的研究领域。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，防止出现病毒、非法存取、拒绝效劳和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲，网络上不是安康的内容，会对社会的稳定和人类的开展造成阻碍，必须对其进展控制。2.网络平安模型信息平安防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息平安防范体系模型显示平安防范是一个动态的过程，事前、事中和事后的技术手段应当完备，平安管理应贯穿平安防范活动的始终。如下图：网络与信息平安防范体系模型二、网络系统平安风险分析一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的开展，网络体系构造也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。因此，一般整个企业的网络系统存在三个方面的平安问题：〔1〕Internet的平安性：随着互联网的开展，网络平安事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的平安威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。〔2〕企业内网的平安性：最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。所以企业内部的网络平安同样需要重视，存在的平安隐患主要有未授权访问、破坏数据完整性、拒绝效劳攻击、计算机病毒传播、缺乏完整的平安策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的平安性、缺乏自动化的集中数据备份及灾难恢复措施等。〔3〕内部网络之间、内外网络之间的连接平安：随着企业的开展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享平安，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。分部与总部之间的网络连接平安直接影响企业的高效运作。〔1〕操作系统的平安脆弱性：操作系统不平安，是计算机系统不平安的根本原因。〔2〕网络平安的脆弱性：使用TCP/IP协议的网络所提供的、RPC和NFS都包含许多不平安的因素。计算机硬件的故障：由于生产工艺和制造商的原因，计算机硬件系统本身有故障。软件本身的“后门〞：软件本身的“后门〞是软件公司为了方便自己进入而在开发时预留设置的，一方面为软件调试进一步开发或远程维护提供了方便，但同时也为非法入侵提供了通道，入侵者可以利用“后门〞屡次进入系统。常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。软件的漏洞：软件中不可防止的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操作系统中的BUGS。〔3〕数据库管理系统的平安脆弱性：大量信息存储在数据库中，然而对这些数据库系统在平安方面的考虑却很少。数据库管理系统平安必须与操作系统的平安相配套，例如，DBMS的平安级别是B2级，操作系统的平安级别也应是B2级，但实践中往往不是这样。〔4〕防火墙的局限性：防火墙依然存在着一些不能防范的威胁，例如不能防范不经过防火墙的攻击，及很难防范网络内部攻击及病毒威胁等。〔5〕天灾人祸〔6〕其他方面的原因：如计算机领域中任何重大的技术进步，都对平安性构成新的威胁等。一般认为，目前对网络的攻击手段主要表现在：非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进展非正常使用，或擅自扩大权限，越权访问信息。信息泄漏或丧失：指敏感数据有意或无意中被泄漏出去或丧失，通常包括信息在传输中或者存储介质中丧失、泄漏，或通过建立隐蔽隧道窃取敏感信息等。破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应：恶意修改数据，以干扰用户的正常使用。拒绝效劳攻击：它不断对网络效劳系统进展干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的效劳。利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。三、设计原则根据防范平安攻击的平安需求、需要到达的平安目标、对应平安机制所需的平安效劳等因素，参照SSE-CMM〔“系统平安工程能力成熟模型〞〕和ISO17799〔信息平安管理标准〕等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络平安防范体系在整体设计过程中应遵循以下9项原则：网络信息平安的木桶原则是指对信息均衡、全面的进展保护。“木桶的最大容积取决于最短的一块木板〞。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的平安脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则〞，必然在系统中最薄弱的地方进展攻击。因此，充分、全面、完整地对系统的平安漏洞和平安威胁进展分析，评估和检测〔包括模拟攻击〕是设计信息平安系统的必要前提条件。平安机制和平安效劳设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"平安最低点"的平安性能。2．网络信息平安的整体性原则要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的效劳，减少损失。因此，信息平安系统应该包括平安防护机制、平安检测机制和平安恢复机制。平安防护机制是根据具体系统存在的各种平安威胁采取的相应的防护措施，防止非法攻击的进展。平安检测机制是检测系统的运行情况，及时发现和制止对系统进展的各种攻击。平安恢复机制是在平安防护机制失效的情况下，进展应急处理和尽量、及时地恢复信息，减少供应的破坏程度。3．平安性评价与平衡原则对任何网络，绝对平安难以到达，也不一定是必要的，所以需要建立合理的实用平安性与用户需求评价与平衡体系。平安体系设计要正确处理需求、风险与代价的关系，做到平安性与可用性相容，做到组织上可执行。评价信息是否平安，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。4．标准化与一致性原则系统是一个庞大的系统工程，其平安体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统平安地互联互通、信息共享。5．技术与管理相结合原则平安体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种平安技术与运行管理机制、人员思想教育与技术培训、平安规章制度建立相结合。6．统筹规划，分步实施原则由于政策规定、效劳需求的不明朗，环境、条件、时间的变化，攻击手段的进步，平安防护不可能一步到位，可在一个比拟全面的平安规划下，根据网络的实际需要，先建立根本的平安体系，保证根本的、必须的平安性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强平安防护力度，保证整个网络最根本的平安需求。7．等级性原则等级性原则是指平安层次和平安级别。良好的信息平安系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络平安程度分级〔平安子网和平安区域〕，对系统实现构造的分级〔应用层、网络层、链路层等〕，从而针对不同级别的平安对象，提供全面、可选的平安算法和平安体制，以满足网络中不同层次的各种实际需求。8．动态开展原则要根据网络平安的变化不断调整平安措施，适应新的网络环境，满足新的网络平安需求。9．易操作性原则首先，平安措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了平安性。其次，措施的采用不能影响系统的正常运行。四、网络平安设计方案1.网络拓扑构造图2.设备选型传统的组网已经不能满足现在网络应用的变化了，在组网的初期必须考虑到平安和网络的问题，考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。免疫网络——免疫网络是企业信息网络的一种平安形式。“免疫〞是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视〞的特定功能。就像我们耳熟能详的电脑病毒一样，在电脑行业，“病毒〞就是对医学名词形象的借用。同样，“免疫〞也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视〞的功能。这样的网络就称之为免疫网络。免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有平安功能，在面临攻击时调各种平安资源进展应对。它具有平安和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。1.平安和网络功能的融合---①网络架构的融合，主要包括网关和终端的融合网关方面：ARP先天免疫原理—NAT表中添加源MAC地址滤窗防火墙—封包检测，IP分片检查，UDP洪水终端方面：驱动局部—免疫标记②网络协议的融合—行为特征和网络行为的融合2.全网设备的联动—a:驱动与运营中心的联动(分收策略)b:驱动与驱动的联动〔IP地址冲突〕c:网关和驱动的联动〔群防群控〕d:运营中心和网关的联动〔外网攻击，上下线〕3.可信接入—1〕MAC地址的可信〔类似于DNA〕，生物身份2〕传输的可信〔免疫标记〕4.深度防御和控制—1〕深入到每个终端的网卡2〕深入到协议的最低层3〕深入到二级路由，多级路由器下5.精细带宽管理—1〕身份精细—IP/MAC的准确2〕位置准确—终端驱动3〕路径细分〔特殊的IP〕4〕流量去向〔内，公网〕5〕应用流控〔QQ,MSN〕6.业务感知---协议区分和应用感知它与防火墙〔FW〕、入侵检测系统〔IDS〕、防病毒等老三样组成的平安网络相比，突破了被动防御、边界防护的局限，着重从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。同时，平安和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制，以及对全网平安问题和工作效能的监测、分析、统计、评估，保证了企业网络的可管可控，大大提高了通信效率和可靠性。3.平安系统架构平安方案必须架构在科学网络平安系统架构之上，因为平安架构是平安方案设计和分析的根底。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的平安解决方案已经缺乏以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN平安体系所无法对付的。因此我们建议企业采用立体多层次的平安系统架构。这种多层次的平安体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。网络平安构造图通过以上分析可得总体平安构造应实现大致如下图的功能:五、平安产品1.网络平安认证平台证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个平安可信的网络之上。目前，解决这些平安问题的最正确方案当数应用PKI/CA数字认证效劳。PKI(PublicKeyInfrastructure，公钥根底设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的平安体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等平安问题，为网络应用提供可靠的平安保障，向用户提供完整的PKI/CA数字认证效劳。通过建立证书认证中心系统，建立一个完善的网络平安认证平台，能够通过这个平安平台实现以下目标：

1〕身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

2〕数据的机密性(Confidentiality)：对敏感信息进展加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

3〕数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。4〕不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为成认和负责，通过数字签名来完成，数字签名可作为法律证据。2.VPN系统VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低本钱及维护费用、易于扩展、数据传输的高平安性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套平安的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以平安的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的平安连接。

集中的平安策略管理可以对整个VPN网络的平安策略进展集中管理和配置。3.网络防火墙采用防火墙系统实现对内部网和广域网进展隔离保护。对内部网络中效劳器子网通过单独的防火墙设备进展防护。其网络构造一般如下：

防火墙此外在实际中可以增参加侵检测系统，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应等功能。4.病毒防护系统应强化病毒防护系统的应用策略和管理策略，增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和效劳器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和平安操作。5.对效劳器的保护在一个企业中对效劳器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对效劳器保护的重要性。电子邮件是Internet上出现最早的应用之一。随着网络的快速开展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的平安隐患。目前广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)开展而来的。首先，它的认证机制依赖于层次构造的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系根本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的平安性。下列图是邮件系统保护的简图〔透明方式〕:邮件系统保护6.关键网段保护企业中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下列图所示。关键网段的防护7.日志分析和统计报表能力对网络内的平安事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的平安管理。8.内部网络行为的管理和监控除对外的防护外，对网络内的上网行为也应该进展标准，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。企业内部用户上网信息识别度应到达每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以标准网络内部的上网行为，提高工作效率，同时防止企业内部产生网络平安隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面平安系统把电子签章、文件加密应用和平安登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端平安的整体解决方案。分别有以下几种系统：

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进展签章，或是翻开文档时验证文档的完整性和查看文档的作者。

2)平安登录系统

平安登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统文件加密应用系统保证了数据的平安存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准平安算法或国家密码管理机构指定平安算法，从而保证了存储数据的平安性。则内网综合保护简图如下列图所示：内网综合保护9.移动用户管理系统对于企业内部的笔记本电脑在外工作，当要接入内部网也应进展平安控制，确保笔记本设备的平安性。有效防止病毒或黑客程序被携带进内网。身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年开展起来的一种方便、平安的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了平安性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用平安组件