企业网络安全方案设计

公司网络安全方案设计摘要：在这个信息技术飞速发展的时代，许多有远见的公司都认识到很有必要依靠先进的IT技术构建公司本身的业务和运行平台来极大地提高公司的核心竞争力，使公司在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不停扩大，网络构造日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的规定。本文重要通过安全体系建设原则、实例化的公司整体网络安全方案以及该方案的组织和实施等方面的叙述，为公司提供一种可靠地、完整的方案。核心词：信息安全、公司网络安全、安全防护一、引言随着国内计算机和网络技术的迅猛发展和广泛普及，公司经营活动的多个业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着顾客。Internet所含有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的规定。一旦网络系统安全受到严重威胁，甚至处在瘫痪状态，将会给公司、社会、乃至整个国家带来巨大的经济损失。应此如何使公司信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。普通公司网络的应用系统，重要有WEB、E-mail、OA、MIS、财务系统、人事系统等。并且随着公司的发展，网络体系构造也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，普通涉及内部顾客，也有外部顾客，以及内外网之间。因此，普通整个公司的网络系统存在三个方面的安全问题：（1）Internet的安全性：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传输、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于公司级顾客，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。（2）公司内网的安全性：最新调查显示，在受调查的公司中60%以上的员工运用网络解决私人事务。对网络的不正当使用，减少了生产率、妨碍电脑网络、消耗公司网络资源、并引入病毒和间谍，或者使得不法员工能够通过网络泄漏公司机密，从而造成公司数千万美金的损失。因此公司内部的网络安全同样需要重视，存在的安全隐患重要有未授权访问、破坏数据完整性、回绝服务攻击、计算机病毒传输、缺少完整的安全方略、缺少监控和防备技术手段、缺少有效的手段来评定网络系统和操作系统的安全性、缺少自动化的集中数据备份及灾难恢复方法等。（3）内部网络之间、内外网络之间的连接安全：随着公司的发展壮大及移动办公的普及，逐步形成了公司总部、各地分支机构、移动办公人员这样的新型互动运行模式。怎么解决总部与分支机构、移动办公人员的信息共享安全，既要确保信息的及时共享，又要避免机密的泄漏已经成为公司成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响公司的高效运作。二、以某公司为例，综合型公司网络简图以下，分析现状并分析需求：图阐明图一公司网络简图对该公司的信息安全系统无论在总体构成、信息安全产品的功效和性能上也都可能存在一定的缺点，具体体现在：（1）系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。（2）原有的网络安全产品在功效和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。（3）经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不停扩大，网络构造日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的规定。（4）计算机应用系统涉及越来越多的公司核心数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的顾客管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。由以上分析可知该公司信息系统存在较大的风险，信息安全的需求重要体现在以下几点：（1）某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不停出现，使某公司计算机网络安全方面临更大的挑战，原有的产品进行升级或重新布署。（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的规定，为此要加紧规章制度和技术规范的建设，使安全防备的各项工作都能够有序、规范地进行。（4）信息安全防备是一种动态循环的过程，如何运用专业公司的安全服务，做好事前、事中和事后的各项防备工作，应对不停出现的多个安全威胁，也是某公司面临的重要课题。三、设计原则安全体系建设应按照“统一规划、统筹安排、统一原则、分步实施”的原则进行，避免重复投入、重复建设，充足考虑整体和局部的利益。具体以下：1.原则化原则2.系统化原则3.规避风险原则4.保护投资原则5.多重保护原则6.分步实施原则四、公司网络安全解决方案的思路1.安全系统架构安全方案必须架构在科学网络安全系统架构之上，由于安全架构是安全方案设计和分析的基础。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层下列的安全解决方案已经局限性以应付来自应用层的攻击了。举个简朴的例子，那些携带着后门程序的蠕虫病毒是简朴的防火墙VPN安全体系所无法对付的。因此我们建议公司采用立体多层次的安全系统架构。这种多层次的安全体系不仅规定在网络边界设立防火墙VPN，还要设立针对网络病毒和垃圾邮件等应用层攻击的防护方法，将应用层的防护放在网络边沿，这种主动防护可将攻击内容完全阻挡在公司内部网之外。2.安全防护体系信息安全防备应做整体的考虑，全方面覆盖信息系统的各层次，针对网络、系统、应用、数据做全方面的防备。信息安全防备体系模型显示安全防备是一种动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防备活动的始终。如图二所示：图阐明图二

网络与信息安全防备体系模型3.公司网络安全构造图通过以上分析可得总体安全构造应实现大致如图三所示的功效:图阐明图三总体安全构造图五、整体网络安全方案1.网络安全认证平台证书认证系统无论是公司内部的信息网络还是外部的网络平台，都必须建立在一种安全可信的网络之上。现在，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是运用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向顾客提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一种完善的网络安全认证平台，能够通过这个安全平台实现下列目的：

1）身份认证(Authentication)：确认通信双方的身份，规定通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

2）数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中运用数字证书加密来完毕。

3）数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完毕。4）不可抵赖性(Non-Repudiation)：避免通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完毕，数字签名可作为法律证据。2.VPN系统VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，含有减少成本及维护费用、易于扩展、数据传输的高安全性。

通过安装布署VPN系统，可觉得公司构建虚拟专用网络提供了一整套安全的解决方案。它运用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得正当的顾客能够安全的访问公司的私有数据，用以替代专线方式，实现移动顾客、远程LAN的安全连接。

集中的安全方略管理能够对整个VPN网络的安全方略进行集中管理和配备。3.网络防火墙采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络构造普通以下：

图阐明图四防火墙另外在实际中能够增加入侵检测系统，作为防火墙的功效互补，提供对监控网段的攻击的实时报警和主动响应等功效。4.病毒防护系统应强化病毒防护系统的应用方略和管理方略，增强勤业网络的病毒防护功效。这里我们能够选择瑞星网络版杀毒软件公司版。瑞星网络杀毒软件是一种专门针对网络病毒传输特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且能够实现防病毒体系的统一、集中管理，实时掌握、理解现在网络内计算机病毒事件，并实现对网络内的全部计算机远程反病毒方略设立和安全操作。5.对服务器的保护在一种公司中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来阐明对服务器保护的重要性。电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传输。然而由于网络的开放性和邮件合同本身的缺点，电子邮件存在着很大的安全隐患。现在广泛应用的电子邮件客户端软件如OUTLOOK支持S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件原则)发展而来的。首先，它的认证机制依赖于层次构造的证书认证机构，全部下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间互相认证，整个信任关系基本是树状的。另首先，S/MIME将信件内容加密签名后作为特殊的附件传送。确保了信件内容的安全性。下图五是邮件系统保护的简图（透明方式）:图阐明图五邮件系统保护6.核心网段保护公司中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。因此这些网段我们也应予以特别的防护。简图以下图六所示。图阐明图六核心网段的防护7.日志分析和统计报表能力对网络内的安全事件也应都作出具体的日志统计，这些日志统计涉及事件名称、描述和对应的主机IP地址等有关信息。另外，报表系统还应自动生成多个形式的攻击统计报表，形式涉及日报表，月报表，年报表等，通过来源分析，目的分析，类别分析等多个分析方式，以直观、清晰的方式从总体上分析网络上发生的多个事件，有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控除对外的防护外，对网络内的上网行为也应当进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，制止不正当文献的下载。公司内部顾客上网信息识别度应达成每一种URL请求和每一种URL请求的回应。通过对网络内部网络行为的监控能够规范网络内部的上网行为，提高工作效率，同时避免公司内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文献加密应用和安全登录以及对应的智能卡管理工具集成到一起，形成一种整体，是针对客户端安全的整体解决方案。分别有下列几个系统：

1)电子签章系统

运用非对称密钥体系确保了文档的完整性和不可抵赖性。采用组件技术，能够无缝嵌入OFFICE系统，顾客能够在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有含有指定智能密码钥匙的人才能够登录计算机和网络。顾客如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文献加密系统文献加密应用系统确保了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际原则安全算法或国家密码管理机构指定安全算法，从而确保了存储数据的安全性。则内网综合保护简图以下图七所示：图阐明图七内网综合保护9.移动顾客管理系统对于公司内部的笔记本电脑在外工作，当要接入内部网也应进行安全控制，确保笔记本设备的安全性。有效避免病毒或黑客程序被携带进内网。10.身份认证的解决方案身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，较好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，能够存储顾客的密钥或数字证书，运用USBKey内置的密码算法实现对顾客身份的认证。

基于PKI的USBKey的解决方案不仅能够提供身份认证的功效，还可构建顾客集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑