企业网络安全(版)课件

企业网络(wǎngluò)平安综合设计方案第一页，共三十九页。关键词信息(xìnxī)平安企业网络平安平安防护第二页，共三十九页。一、企业(qǐyè)网络分析Xx企业是一家以物流为主营业务的小型企业，公司网络通过中国联通光纤接入

Internet。

该公司拥有子公司假设干，并与其它物流公司建立了兄弟公司关系。为了适应业务的开展的需要，实现信息的共享，协作(xiézuò)和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。第三页，共三十九页。企业(qǐyè)网络拓扑构建图第四页，共三十九页。二、网络(wǎngluò)威胁、风险分析第五页，共三十九页。2.1

黑客攻击“黑客〞〔Hack〕对于大家来说可能并不陌生，他们是一群利用自己的技术专长专门攻击网站和计算机而不暴露身份的计算机用户，由于黑客技术逐渐被越来越多的人掌握和开展，目前世界上约有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而任何网络系统、站点都有遭受黑客攻击的可能。尤其(yóuqí)是现在还缺乏针对网络犯罪卓有成效的还击和跟踪手段，使得黑客们善于隐蔽，攻击“杀伤力〞强，这是网络平安的主要威胁[1]。而就目前网络技术的开展趋势来看，黑客攻击的方式也越来越多的采用了病毒进行破坏，它们采用的攻击和破坏方式多种多样，对没有网络平安防护设备〔防火墙〕的网站和系统〔或防护级别较低〕进行攻击和破坏，这给网络的平安防护带来了严峻的挑战。第六页，共三十九页。2.2网络自身和管理存在(cúnzài)欠缺因特网的共享性和开放性使网上信息平安存在先天缺乏，因为其赖以生存的TCP/IP协议，缺乏相应的平安机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，根本没有考虑平安问题，因此它在平安防范、效劳质量、带宽和方便性等方面存在滞后和不适应性。网络系统的严格管理(guǎnlǐ)是企业、组织及政府部门和用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理(guǎnlǐ)，没有制定严格的管理(guǎnlǐ)制度。据IT界企业团体ITAA的调查显示，美国90％的IT企业对黑客攻击准备缺乏。目前美国75％－85％的网站都抵挡不住黑客的攻击，约有75％的企业网上信息失窃。第七页，共三十九页。2.3

软件设计的漏洞或“后门〞而产生(chǎnshēng)的问题随着软件系统规模的不断增大，新的软件产品开发出来，系统中的平安漏洞或“后门〞也不可防止的存在，比方我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的平安漏洞，众多的各类效劳器、浏览器、一些桌面(zhuōmiàn)软件等等都被发现过存在平安隐患。大家熟悉的一些病毒都是利用微软系统的漏洞给用户造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，不可能完美无缺。这也是网络平安的主要威胁之一。第八页，共三十九页。2.4恶意(èyì)网站设置的陷阱

互联网世界的各类网站，有些网站恶意编制一些盗取他人信息的软件，并且(bìngqiě)可能隐藏在下载的信息中，只要登录或者下载网络的信息就会被其控制和感染病毒，计算机中的所有信息都会被自动盗走，该软件会长期存在你的计算机中，操作者并不知情，如“木马〞病毒。因此，不良网站和不平安网站万不可登录，否那么后果不堪设想。第九页，共三十九页。2.6

用户网络内部工作人员的不良行为引起(yǐnqǐ)的平安问题网络内部用户的误操作，资源滥用和恶意行为也有可能对网络的平安造成巨大的威胁。由于各行业，各单位现在都在建局域网，计算机使用频繁，但是由于单位管理制度不严，不能严格遵守行业内部关于信息平安的相关规定，都容易(róngyì)引起一系列平安问题。第十页，共三十九页。2.7

竞争对手的恶意(èyì)窃取、破坏以及攻击xx企业是以物流为主的行业，所以用户信息异常珍贵(zhēnguì)和重要，如果遭到竞争对手的恶意窃取、破坏以及攻击，后果不堪设想。第十一页，共三十九页。三、平安系统(xìtǒng)建设原那么整体性原那么：“木桶原理〞，单纯一种平安手段不可能解决全部平安问题;多重保护原那么：不把整个系统的平安寄托在单一平安措施或平安产品上;性能保障原那么：平安产品的性能不能成为影响整个网络传输的瓶颈;平衡(pínghéng)性原那么：制定标准措施，实现保护本钱与被保护信息的价值平衡(pínghéng)

;可管理、易操作原那么：尽量采用最新的平安技术，实现平安管理的自动化，以减轻平安管理的负担，同时减小因为管理上的疏漏而对系统平安造成的威胁;第十二页，共三十九页。三、平安系统建设(jiànshè)原那么适应性、灵活性原那么：充分考虑今后业务和网络平安协调开展的需求，防止因只满足了系统平安要求，而给业务开展带来障碍的情况发生;高可用原那么：平安方案、平安产品也要遵循网络高可用性原那么;技术与管理并重原那么：“三分(sānfēn)技术，七分管理〞，从技术角度出发的平安方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估平安设计方案的可操作性；投资保护原那么：要充分发挥现有设备的潜能，防止投资的浪费;第十三页，共三十九页。四、网络(wǎngluò)平安总体设计第十四页，共三十九页。4.1需求(xūqiú)分析根据企业满足内部网络机构(jīgòu)，根据企业各级内部网络机构(jīgòu)、广域网结构、和三级网络管理、应用业系统的特点，本方案主要从以下几个方面进行平安设计：数据平安保护,使用加密技术,保护重要数据的保密性；网络系统平安,防火墙的设置；物理平安,应用硬件等安装配置；应用系统平安,局域网内数据传输的平安保证。第十五页，共三十九页。4.2方案(fāngàn)综述首先设置vpn,方便内网与外网的连接。虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供给商同公司的内部网建立可信的平安连接，并保证数据(Data)的平安传输(chuánshū).虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现平安连接；可以用于实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网.第十六页，共三十九页。4.2方案(fāngàn)综述设置防火墙，防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以(suǒyǐ)如果过滤器对传入的信息数据包进行标记，那么不允许该数据包通过。能够保证使用的网站的平安性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数据的平安。防止效劳器拒绝效劳攻击.第十七页，共三十九页。4.2方案(fāngàn)综述网络病毒防护，采用网络防病毒系统。在网络中部署被动防御体系〔防病毒系统〕,采用主动防御机制〔防火墙、平安(píngān)策略、漏洞修复等〕，将病毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。第十八页，共三十九页。4.2方案(fāngàn)综述设置DMZ，数据冗余存储系统。将需要保护的Web应用程序效劳器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统平安提供(tígōng)了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。第十九页，共三十九页。4.2方案(fāngàn)综述设置数据备份管理系统，专门(zhuānmén)备份企业重要数据。为防止客观原因、自然灾害等原因造成的数据损坏、丧失，可采用异地备份方式。第二十页，共三十九页。4.2方案(fāngàn)综述双重数据信息保护，在重要部门(bùmén)以及工作组前设置交换机，可以在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进出的数据都将受到保护。第二十一页，共三十九页。4.2方案(fāngàn)综述设置备份效劳器，用于因客观原因、自然灾害(zìránzāihài)等原因造成的效劳器崩溃。第二十二页，共三十九页。4.2方案(fāngàn)综述广域网接入局部,

采用入侵(rùqīn)检测系统〔IDS〕。对外界入侵(rùqīn)和内部人员的越界行为进行报警。在效劳器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点保护网段的局域网交换机上装上IDS。第二十三页，共三十九页。4.2方案(fāngàn)综述系统漏洞分析。采用(cǎiyòng)漏洞分析设备第二十四页，共三十九页。五、平安设备(shèbèi)要求第二十五页，共三十九页。5.1硬件(yìnɡjiàn)设备pc机假设干台,包括网络管理机,员工(yuángōng)工作用机；交换机2台；效劳器4台；防火墙5台；内外网隔离卡；漏洞扫描器；AMTTinnFORIDS。第二十六页，共三十九页。5.2软件(ruǎnjiàn)设备病毒(bìngdú)防御系统；查杀病毒软件；访问控制设置。第二十七页，共三十九页。六、技术支持与效劳(xiàoláo)6.1虚拟网技术虚拟网技术主要基于近年开展的局域网交换技术(ATM和以太网交换〕。交换技术将传统的基于播送的局域网技术开展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络平安的好处是显而易见的：信息只到达应该到达的地点(dìdiǎn)。因此、防止了大局部基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。以太网从本质上基于播送机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入〔改变〕问题。但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。第二十八页，共三十九页。6.2防火墙技术(jìshù)网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式(fāngshì)按照一定的平安策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.第二十九页，共三十九页。6.2防火墙技术(jìshù)防火墙技术又有三种(sānzhǒnɡ)类型包过滤型网络地址转换(NAT)代理型监测型第三十页，共三十九页。6.3病毒防护(fánghù)技术病毒历来是信息系统平安的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快(jiākuài)。我们将病毒的途径分为：(1)通过FTP，电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播，主要是恶意的Java控件网站。(4)通过群件系统传播。第三十一页，共三十九页。6.3病毒(bìngdú)防护技术病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理效劳器、SMTP效劳器、网络效劳器、群件效劳器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和去除病毒。使用防病毒软件检查和去除病毒。(3)病毒数据库的升级(shēngjí)。病毒数据库应不断更新，并下发到桌面系统。(4)在防火墙、代理效劳器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。第三十二页，共三十九页。6.4入侵检测(jiǎncè)技术入侵检测系统是近年出现的新型网络平安技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。入侵检测系统可分为两类：√基于主机√基于网络基于主机及网络的入侵监控系统通常均可配置为分布式模式：(1)在需要监视的效劳器上安装监视模块(agent)，分别向管理效劳器报告及上传证据，提供跨平台的入侵监视解决方案。(2)在需要监视的网络路径(lùjìng)上，放置监视模块(sensor),分别向管理效劳器报告及上传证据，提供跨网络的入侵监视解决方案。第三十三页，共三十九页。6.5平安(píngān)扫描技术网络平安技术(jìshù)中，另一类重要技术(jìshù)为平安扫描技术(jìshù)。平安扫描技术(jìshù)与防火墙、平安监控系统互相配合能够提供很高平安性的网络。第三十四页，共三十九页。6.6认证(rènzhèng)和数字签名技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证技术将应用到企业网络中的以下方面：(1)路由器认证，路由器和交换机之间的认证。(2)操作系统认证。操作系统对用户的认证。(3)网管系统对网管设备之间的认证。(4)VPN网关设备之间的认证。(5)拨号访问效劳(xiàoláo)器与客户间的认证。(6)应用效劳器(如WebServer)与客户的认证。(7)电子邮件通讯双方的认证。数字签名技术主要用于：(1)基于PKI认证体系的认证过程。(2)基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。第三十五页，共三十九页。6.7VPN技术(jìshù)完整的集成化的企业范围的VPN平安解决方案，提供在INTERNET上平安的双向通讯，以及(yǐjí)透明的加密方案以保证数据的完整性和保密性。企业网络的全面平安要求保证：保密-通讯过程不被窃听。通讯主体真实性确认-网络上的计算机不被假冒第三十六页，共三十九页。6.8应用系统的平安