企业网络安全系统方案设计

千里之行，始于足下。第2页/共2页精品文档推荐企业网络安全系统方案设计企业网络安全方案设计

摘要：在那个信息技术飞快进展的时代，许多有远见的企业都认识到非常有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营治理对计算机应用系统的依靠性增强，计算机应用系统对网络的依靠性增强。计算机网络规模别断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文要紧经过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述，为企业提供一具可靠地、完整的方案。

关键词：信息安全、企业网络安全、安全防护

一、引言

随着国计算机和网络技术的迅猛进展和广泛普及，企业经营活动的各种业务系统都立脚于Internet/Intranet环境中。但随之而来的安全咨询题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的并且，对安全提出了更高的要求。一旦网络系统安全受到严峻威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此怎么使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康进展所要思考的重要情况之一。

普通企业网络的应用系统，要紧有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的进展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的治理上来看，通常包括部用户，也有外部用户，以及外网之间。所以，普通整个企业的网络系统存在三个方面的安全咨询题：（1）Internet的安全性：随着互联网的进展，网络安全事件层出别穷。近

年来，计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为妨碍最为广泛的安全威胁。关于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下落，直截了当或间接的经济损失也非常大。

（2）企业网的安全性：最新调查显示，在受调查的企业中60%以上的职员利用网络处理私人事务。对网络的别正当使用，落低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得别法职员能够经过网络泄漏企业，从而导致企业数千万美金的损失。因此企业部的网络安全同样需要重视，存在的安全隐患要紧有未授权拜访、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾害恢复措施等。

（3）部网络之间、外网络之间的连接安全：随着企业的进展壮大及挪移办公的普及，逐渐形成了企业总部、各地分支机构、挪移办公人员如此的新型互动运营模式。如何处理总部与分支机构、挪移办公人员的信息共享安全，既要保证信息的及时共享，又要防止的泄漏差不多成为企业成长过程中别得别思考的咨询题。各地机构与总部之间的网络连接安全直截了当妨碍企业的高效运作。

二、以某公司为例，综合型企业网络简图如下，分析现状并分析

需求：

图讲明图一企业网络简图

对该公司的信息安全系统不管在总体构成、信息安全产品的功能和性能上也都也许存在一定的缺陷，具体表如今：

（1）系统性别强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

（2）原有的网络安全产品在功能和性能上都别能习惯新的形势，存在一定的网络安全隐患，产品亟待升级。

（3）经营治理对计算机应用系统的依靠性增强，计算机应用系统对网络的依靠性增强。计算机网络规模别断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

（4）计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，所以有必要加强各计算机应用系统的用户治理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的性、完整性和可用性。

由以上分析可知该公司信息系统存在较大的风险，信息安全的需求要紧体现

在如下几点：

（1）某公司信息系统别仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的别断浮现，使某公司计算机网络安全面临更大的挑战，原有的产品举行升级或重新部署。

（3）信息安全工作日益增强的重要性和复杂性对安全治理提出了更高的要求，为此要加快规章制度和技术规的建设，使安全防的各项工作都可以有序、规地举行。

（4）信息安全防是一具动态循环的过程，怎么利用专业公司的安全服务，做好事前、事中和事后的各项防工作，应对别断浮现的各种安全威胁，也是某公司面临的重要课题。

三、设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则举行，幸免重复投入、重复建设，充分思考整体和局部的利益。具体如下：

1.标准化原则

2.系统化原则

3.规避风险原则

4.爱护投资原则

5.多重爱护原则

6.分步实施原则

四、企业网络安全解决方案的思路

1.安全系统架构

安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案差不多别脚以对付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法应付的。所以我们建议企业采纳立体多层次的安全系统架构。这种多层次的安全体系别仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击容彻底阻挡在企业部网之外。

2.安全防护体系

信息安全防应做整体的思考，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防。信息安全防体系模型显示安全防是一具动态的过程，事前、事中和事后的技术手段应当完备，安全治理应贯通安全防活动的始终。如图二所示：

图讲明图二网络与信息安全防体系模型

3.企业网络安全结构图

经过以上分析可得总体安全结构应实现大致如图三所示的功能:

图讲明图三总体安全结构图

五、整体网络安全方案

1.网络安全认证平台

证书认证系统不管是企业部的信息网络依然外部的网络平台，都必须建立在一具安全可信的网络之上。目前，解决这些安全咨询题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全咨询题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。经过建设证书认证中心系统，建立一具完善的网络安全认证平台，可以经过那个安全平台实现以下目标：

1）身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份别能被假冒或伪装，在此体系过数字证书来确认对方的身份。

2）数据的性(Confidentiality)：对敏感信息举行加密，确保信息别被泄露，在此体系中利用数字证书加密来完成。

3）数据的完整性(Integrity)：确保通信信息别被破坏(截断或篡改)，经过哈希函数和数字签名来完成。

4）别可抵赖性(Non-Repudiation)：防止通信对方否认自个儿的行为，确保通信方对自个儿的行为承认和负责，经过数字签名来完成，数字签名可作为法律证据。

2.VPN系统

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在别同地方的网络经过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有落低成本及维护费用、易于扩展、数据传输的高安全性。

经过安装部署VPN系统，能够为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，经过加密、认证、封装以及密钥交换技术在公网上开发一条隧道，使得合法的用户能够安全的拜访企业的私有数据，用以代替专线方式，实现挪移用户、远程LAN的安全连接。

集中的安全策略治理能够对整个VPN网络的安全策略举行集中治理和配置。

3.网络防火墙

采纳防火墙系统实现对部网和广域网举行隔离爱护。对部网络中服务器子网经过单独的防火墙设备举行防护。其网络结构普通如下：

图讲明图四防火墙

此外在实际中能够增加入侵检测系统，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应等功能。

4.病毒防护系统

应强化病毒防护系统的应用策略和治理策略，增强勤业网络的病毒防护功能。这个地方我们能够挑选瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一具特意针对网络病毒传播特点开辟的网络防病毒软件，经过瑞星网络防病毒体系在网络客户端和服务器上建立反病毒系统，同时能够实现防病毒体系的统一、集中治理，实时掌握、了解当前网络计算机病毒事件，并实现对网络的所有计算机远程反病毒策略设置和安全操作。

5.对服务器的爱护

在一具企业中对服务器的爱护也是至关重要的。在这个地方我们挑选电子为例来讲明对服务器爱护的重要性。

电子是Internet上浮现最早的应用之一。随着网络的快速进展，电子的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。但是由于网络的开放性和协议自身的缺点，电子存在着非常大的安全隐患。

目前广泛应用的电子客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet的附件标准)进展而来的。首先，它的认证机制依靠于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件容加密签名后作为特别的附件传送。保证了信件容的安全性。下图五是系统爱护的简图（透明方式）:

图讲明图五系统爱护

6.关键网段爱护

企业中有的网段上传送的数据、信息是很重要的，应此对外应是的。因此这些网段我们也应赋予特殊的防护。简图如下图六所示。

图讲明图六关键网段的防护

7.日志分析和统计报表能力

对网络的安全事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，经过来源分析，目标分析，类不分析等多种分析方式，以直观、清楚的方式从总体上分析网络上发生的各种事件，有助于治理人员提高网络的安全治理。

8.部网络行为的治理和监控

除对外的防护外，对网络的上网行为也应该举行规，并监控上网行为，过滤网页拜访，过滤，限制上网谈天行为，阻挠别正当文件的下载。企业部用户上网信息识不度应达到每一具URL请求和每一具URL请求的回应。经过对网络部网络行为的监控能够规网络部的上网行为，提高工作效率，并且幸免企业部产生网络安全隐患。所以关于桌面微机的治理和监控是减少和消除部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡治理工具集成到一起，形成一具整体，是针对客户端安全的整体解决方案。分不有以下几种系统：

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和别可抵赖性。采纳组件技术，能够无缝嵌入OFFICE