xx企业网络安全综合设计方案

重庆工业职业技术学院《信息平安》课程实训报告题目：企业网络平安综合设计方案

班级：11信安301姓名：指导老师：何静责任系部：信息工程学院

xx企业网络平安综合设计方案企业网络分析xx科技有限公司是一家以信息平安产品销售为主营业务的小型企业，公司网络通过中国联通光纤接入

Internet。

该公司拥有子公司若干，并与其它信息平安产品销售公司建立了兄弟公司关系。为了适应业务的发展的须要，实现信息的共享，协作和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。

2、网络威逼、风险分析

2.1

黑客攻击“黑客”（Hack）对于大家来说可能并不生疏，他们是一群利用自己的技术专长特地攻击网站和计算机而不暴露身份的计算机用户，由于黑客技术渐渐被越来越多的人驾驭和发展，目前世界上约有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的运用以及系统的一些漏洞，因而任何网络系统、站点都有遭遇黑客攻击的可能。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客们擅长隐藏，攻击“杀伤力”强，这是网络平安的主要威逼。而就目前网络技术的发展趋势来看，黑客攻击的方式也越来越多的采纳了病毒进行破坏，它们采纳的攻击和破坏方式多种多样，对没有网络平安防护设备（防火墙）的网站和系统（或防护级别较低）进行攻击和破坏，这给网络的平安防护带来了严峻的挑战。2.2网络自身和管理存在欠缺

网络的共享性和开放性使网上信息平安存在先天不足，网络系统的严格管理是企业、组织及政府部门和用户免受攻击的重要措施。事实上，许多企业、机构及用户的网站或系统都疏于这方面的管理，没有制定严格的管理制度。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击打算不足。目前美国75％－85％的网站都抵抗不住黑客的攻击，约有75％的企业网上信息失窃。

2.3软件设计的漏洞或“后门”而产生的问题随着软件系统规模的不断增大，新的软件产品开发出来，系统中的平安漏洞或“后门”也不行避开的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的平安漏洞，众多的各类服务器、阅读器、一些桌面软件等等都被发觉过存在平安隐患。大家熟识的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等缘由而存在漏洞，不行能完备无缺。

2.5恶意网站设置的陷阱

互联网世界的各类网站，有些网站恶意编制一些盗取他人信息的软件，并且可能隐藏在下载的信息中，只要登录或者下载网络的信息就会被其限制和感染病毒，计算机中的全部信息都会被自动盗走，该软件会长期存在你的计算机中，操作者并不知情，如“木马”病毒。因此，不良网站和担心全网站万不行登录，否则后果不行思议。2.6用户网络内部工作人员的不良行为引起的平安问题网络内部用户的误操作，资源滥用和恶意行为也有可能对网络的平安造成巨大的威逼。由于各行业，各单位现在都在建局域网，计算机运用频繁，但是由于单位管理制度不严，不能严格遵守行业内部关于信息平安的相关规定，都简单引起一系列平安问题。2.7竞争对手的恶意窃取、破坏以及攻击xx企业是以销售为主的it行业，所以用户信息异样宝贵和重要，假如遭到竞争对手的恶意窃取、破坏以及攻击，后果不行思议。3、平安系统建设原则（1）整体性原则：“木桶原理”，单纯一种平安手段不行能解决全部平安问题;

（2）多重爱护原则：不把整个系统的平安寄予在单一平安措施或平安产品上;

（3）性能保障原则：平安产品的性能不能成为影响整个网络传输的瓶颈;

（4）平衡性原则：制定规范措施，实现爱护成本与被爱护信息的价值平衡

;

（5）可管理、易操作原则：尽量采纳最新的平安技术，实现平安管理的自动化，以减轻平安管理的负担，同时减小因为管理上的疏漏而对系统平安造成的威逼;

（6）适应性、敏捷性原则：充分考虑今后业务和网络平安协调发展的需求，避开因只满意了系统平安要求，而给业务发展带来障碍的状况发生;

（7）高可用原则：平安方案、平安产品也要遵循网络高可用性原则;

（8）技术与管理并重原则：“三分技术，七分管理”，从技术角度动身的平安方案的设计必需有与之相适应的管理制度同步制定，并从管理的角度评估平安设计方案的可操作性

（9）投资爱护原则：要充分发挥现有设备的潜能，避开投资的奢侈。4、网络平安总体设计4.1需求分析依据xx企业满意内部网络机构，依据XXX企业各级内部网络机构、广域网结构、和三级网络管理、应用业系统的特点，本方案主要从以下几个方面进行平安设计：1、数据平安爱护,运用加密技术,爱护重要数据的保密性.2、网络系统平安,防火墙的设置3、物理平安,应用硬件等安装配置.4、应用系统平安,局域网内数据传输的平安保证.4.2方案综述1、首先设置VPN,便利内网与外网的连接,虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的平安连接，并保证数据(Data)的平安传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现平安连接；可以用于实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网.2、设置防火墙，防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以假如过滤器对传入的信息数据包进行标记，则不允许该数据包通过。能够保证运用的网站的平安性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数据的平安。防止服务器拒绝服务攻击.3、网络病毒防护，采纳网络防病毒系统.在网络中部署被动防卫体系（防病毒系统）,采纳主动防卫机制（防火墙、平安策略、漏洞修复等），将病毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。4、设置DMZ，数据冗余存储系统.将须要爱护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统平安供应了保障。DMZ使包含重要数据的内部系统免于干脆暴露给外部网络而受到攻击，攻击者即使初步入侵胜利，还要面临DMZ设置的新的障碍。5、设置数据备份管理系统，特地备份企业重要数据。为避开客观缘由、自然灾难等缘由造成的数据损坏、丢失，可采纳异地备份方式。6、双重数据信息爱护，在重要部门以及工作组前设置交换机，可以在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进出的数据都将受到爱护。7、设置备份服务器，用于因客观缘由、自然灾难等缘由造成的服务器崩溃。8、广域网接入部分,采纳入侵检测系统（IDS）。对外界入侵和内部人员的越界行为进行报警。在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点爱护网段的局域网交换机上装上IDS。9、系统漏洞分析。采纳漏洞分析设备。5、平安设备要求5.1硬件设备1、pc机若干台,包括网络管理机,员工工作用机；干台,包括网络管理机,员工工作用机；2、交换机2台；3、服务器4台；4、防火墙5台；5、内外网隔离卡6、AMTTinnFORIDS。5.2软件设备

1、病毒防卫系统；2、查杀病毒软件；3、访问限制设置。技术支持与服务6.1虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面对连接的技术。因此，网管系统有实力限制局域网通讯的范围而无需通过开销很大的路由器.由以上运行机制带来的网络平安的好处是自不待言的：信息只到达应当到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问限制，使在虚拟网外的网络节点不能干脆访问虚拟网内节点。以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，事实上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（变更）问题。但是，采纳基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面运用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。6.2防火墙技术网络防火墙技术是一种用来加强网络之间访问限制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的特别网络互联设备.它对两个或多个网络之间传输的数据包如链接方式依据肯定的平安策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态.6.2.1包过滤型包过滤型技术是防火墙技术的一种,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为肯定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来推断这些"包"是否来自可信任的平安站点,一旦发觉来自危急站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以依据实际状况敏捷制订推断规则.6.3病毒防护技术病毒历来是信息系统平安的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒的途径分为：(1)通过FTP，电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web巡游传播，主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下：(1)阻挡病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和清除病毒。运用防病毒软件检查和清除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理服务器及PC上安装Java及ActiveX限制扫描软件，禁止未经许可的控件下载和安装。6.4入侵检测技术入侵检测系统是近年出现的新型网络平安技术，目的是供应实时的入侵检测及实行相应的防护手段，如记录证据用于跟踪和复原、断开网络连接等。实时入侵检测实力之所以重要首先它能够应付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类：√基于主机√基于网络基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1)在须要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，供应跨平台的入侵监视解决方案。(2)在须要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，供应跨网络的入侵监视解决方案。6,5平安扫描技术平安扫描技术与防火墙、平安监控系统相互协作能够供应很高平安性的网络。6.6认证和数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种详细技术，同时数字签名还可用于通信过程中的不行抵赖要求的实现。认证技术将应用到企业网络中的以下方面：(1)路由器认证，路由器和交换机之间的认证。(2)操作系统认证。操作系统对用户的认证。(3)网管系统对网管设备之间的认证。(4)VPN网关设备之间的认证。(5)拨号访问服务器与客户间的认证。(6)应用服务器(如WebServer)与客户的认证。(7)电子邮件通讯双方的认证。数字签名技术主要用于：(1)基于PKI认证体系的认证过程。(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不行抵赖记录。6.7VPN技术完整的集成化的企业范围的VPN平安解决方案，供应在INTERNET上平安的双向通讯，以及透亮的加密方案以保证数据的完整性和保密性。企业网络的全面平安要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒。6.8应用系统的平安技术Internet域名服务为Internet/Intranet应用供应了极大的敏捷性。几乎全部的网络应用均利用域名服务。1、Server常常成为Internet用户访问公司内部资源的通道之一，如Webserver通过中间件访问主机系统，通过数据库连接部件访问数据库，利用CGI访问本地文件系统或网络系统中其它资源