大型企业网络安全解决方案

千里之行，始于足下。第2页/共2页精品文档推荐大型企业网络安全解决方案大型企业网络安全解决方案

第一章

本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在别妨碍某大型企业局域网当前业务的前提下，实现对他们局域网全面的安全治理。

1.将安全策略、硬件及软件等办法结合起来，构成一具统一的防备系统，有效阻挠非法用户进入网络，减少网络的安全风险。

2.定期举行漏洞扫描，及时发觉咨询题，解决咨询题。

3.经过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，并且具备非常好的安全取证措施。

4.使网络治理者可以非常快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件，由中央操纵台统一操纵和治理，实现全网统一防病毒。

第二章网络系统概况

2.1网络概况

那个企业的局域网是一具信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一具快速、方便的信息交流平台。别仅这样，经过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门能够直截了当与互联网用户举行交流、查询资料等。经过公开服务器，企业能够直截了当对外公布信息或者发送XXX。高速交换技术的采纳、灵便的网络互连方案设计为用户提供快速、方便、灵便通信平台的并且，也为网络的安全带来了更大的风险。所以，在原有网络上实施一套完整、可操作的安全解决方案别仅是可行的，而且是必需的。

2.2网络结构的特点

在分析那个企业局域网的安全风险时，应思考到网络的如下几个特点：

1.网络与Internet直截了当连结，所以在举行安全方案设计时要思考与Internet连结的有关风险，包括也许经过Internet传播进来病毒，黑客攻击，来自Internet的非授权拜访等。

2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，所以在举行安全方案设计时应该思考采纳安全服务器网络，幸免公开服务器的安全风险扩散到内部。

3.内部网络中存在许多别同的子网，别同的子网有别同的安全性，所以在举行安全方案设计时，应思考将别同功能和安全级不的网络分割开，这能够经过交换机划分VLAN来实现。

4.网络中有二台应用服务器，在应用程序开辟时就应思考加强用户登录验证，防止非授

权的拜访。

第三章网络系统安全风险分析

随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严峻和复杂。原来由单个计算机安全事故引起的伤害也许传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全操纵机制和对Internet安全政策的认识别脚，这些风险正日益严峻。

网络安全能够从以下三个方面来明白：1网络平台是否安全；2系统是否安全；3应用是否安全；。针对每一类安全风险，结合那个企业局域网的实际事情，我们将具体的分析网络的安全风险。

3.1网络平台的安全风险分析

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

公开服务器面临的威胁

那个企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息公布平台，一旦别能运行后者受到攻击，对企业的声誉妨碍巨大。并且公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入Internet节点，这些节点假如别保持警惕，也许连黑客如何闯入的都别懂，甚至会成为黑客入侵其他站点的跳板。所以，规模比较大网络的治理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络举行隔离，幸免网络结构信息外泄；并且还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

整个网络结构和路由状况

安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直截了当妨碍安全系统成功的建设。在那个企业局域网络系统中，只使用了一台路由器，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时能够思考使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。

3.2系统的安全风险分析

所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。

网络操作系统、网络硬件平台的可靠性，我们能够如此说：没有彻底安全的操作系统。然而，我们能够对现有的操作平台举行安全配置、对操作和拜访权限举行严格操纵，提高系统的安全性。所以，别但要选用尽量可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特殊是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

3.3应用的安全风险分析

应用系统的安全跟具体的应用有关，它涉及非常多方面。应用系统的安全是动态的、别断变化的。应用的安全性也涉及到信息的安全性，它包括非常多方面。

应用的安全性涉及到信息、数据的安全性：信息的安全性涉及到：机密信息泄露、未经授权的拜访、破坏信息完整性、假冒、破坏系统的可用性等。由于那个企业局域网跨度别大，绝大部分重要信息都在内部传递，所以信息的机密性和完整性是能够保证的。关于有点特殊重要的信息需要对内部举行保密的（比如领导子网、财务系统传递的重要信息）能够思考在应用级举行加密，针对具体的应用直截了当在应用系统开辟时举行加密。

第四章安全需求与安全目标

4.1安全需求分析

经过前面我们对那个企业局域网络结构、应用及安全威胁分析，能够看出其安全咨询题要紧集中在对服务器的安全爱护、防黑客和病毒上。所以，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：

公开服务器的安全爱护

防止黑客从外部攻击

入侵检测与监控

病毒防护

数据安全爱护

数据备份与恢复

针对那个企业局域网络系统的实际事情，在系统思考怎么解决上述安全咨询题的设计时应满脚如下要求：

1.大幅度地提高系统的安全性（重点是可用性和可控性）；

2.保持网络原有的能特点，即对网络的协议和传输具有非常好的透明性，能透明接入，无需更改网络设置；

3.易于操作、维护，并便于自动化治理，而别增加或少增加附加操作；

4.尽可能别妨碍原网络拓扑结构，并且便于系统及系统功能的扩展；

5.安全保密系统具有较好的性能价格比，一次性投资，能够长期使用；

6.安全产品具有合法性，及通过国家有关治理部门的认可或认证；

7.分布实施。

4.2系统安全目标

建立一套完整可行的网络安全与网络治理策略

将内部网络、公开服务器网络和外网举行有效隔离，幸免与外部网络的直截了当通信

建立网站各主机和服务器的安全爱护措施，保证他们的系统安全

对网上服务请求内容举行操纵，使非法拜访在到达主机前被拒绝

加强合法用户的拜访认证，并且将用户的拜访权限操纵在最低限度

全面监视对公开服务器的拜访，及时发觉和拒绝别安全的操作和黑客攻击行为

备份与灾害恢复——强化系统备份，实现系统快速恢复

第五章网络安全方案总体设计

5.1安全方案设计原则

在对那个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：

综合性、整体性原则：应用系统工程的观点、办法，分析网络的安全及具体措施。安全措施要紧包括：专业措施（识不技术、存取操纵、密码、低辐射、容错、防病毒、采纳高安全产品等）。一具较好的安全措施往往是多种办法适当综合的应用结果。一具计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和妨碍作用，也惟独从系统综合整体的角度去看待、分析，才干取得有效、可行的措施。

需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也别一定是必要的。对一具网络举行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及也许承担的风险举行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

一致性原则：一致性原则要紧是指网络安全咨询题应与整个网络的工作周期（或生命周期）并且存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施打算、网络验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在网络建设的开始就思考网络安全对策，比在网络建设好后再思考安全措施，别但容易，且花费也小得多。

分步实施原则：由于网络系统及其应用扩展范围广大，随着网络规模的扩大及应用的增加，网络脆弱性也会别断增加。一劳永逸地解决网络安全咨询题是别现实的。并且由于实施信息安全措施需相当的费用支出。所以分步实施，即可满脚网络系统及信息安全的基本需求，亦可节约费用开支。

多重爱护原则：任何安全措施都别是绝对安全的，都也许被攻破。然而建立一具多重爱护系统，各层爱护相互补充，当一层爱护被攻破时，其它层爱护仍可爱护信息的安全。

5.2安全服务、机制与技术

安全服务：安全服务要紧有：操纵服务、对象认证服务、可靠性服务等；

安全机制：拜访操纵机制、认证机制等；

安全技术：防火墙技术、鉴不技术、审计监控技术、病毒防治技术等；在安全的开放环境中，用户能够使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也能够用于实现别同的安全服务。

第六章网络安全体系结构

经过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全操纵系统由以下几个方面组成：物理安全、网络安全、系统安全、信息安全、应用安全

6.1网络结构

安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，要紧思考网络结构、系统和路由的优化。

网络结构的建立要思考环境、设备配置与应用事情、远程联网方式、通信量的估算、网络维护治理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和有用性，同时应该有结构化的设计，充分利用现有资源，具有运营治理的简便性，完善的安全保障体系。网络结构采纳分层的体系结构，利于维护治理，利于更高的安全操纵和业务进展。

网络结构的优化，在网络拓扑上要紧思考到冗余链路；防火墙的设置和入侵检测的实时监控等。

6.2网络系统安全

6.2.1网络安全检测

网络安全检测工具通常是一具网络安全性评估分析软件，其功能是用实践性的办法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。检测工具应具备以下功能：

具备网络监控、分析和自动响应功能

找出经常发生咨询题的根源所在；

建立必要的循环过程确保隐患时间被纠正；操纵各种网络安全惊险。

漏洞分析和响应

配置分析和响应

漏洞形势分析和响应

认证和趋势分析

6.2.2网络防病毒

由于在网络环境下，计算机病毒有别可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。

所选的防毒软件应该构造全网统一的防病毒体系。要紧面向MAIL、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控；能

够在中心操纵台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治事情；支持多种平台的病毒防范；可以识不广泛的已知和未知病毒，包括宏病毒；支持对Internet/Intranet服务器的病毒防治，可以阻挠恶意的Java或ActiveX小程序的破坏；支持对XXX附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件举行实时杀毒，移出，重新命名等；支持病毒隔离，当客户机试图上载一具染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、XXX等）等。

6.2.3网络备份系统

备份系统为一具目的而存在：尽量快地全盘恢复运行计算机系统所需的数据和系统信息。依照系统安全需求可挑选的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；