网络安全设计方案

可用 。机密 。完整 。可审查 访问控 数据加 安全审 ．３ 设备选 。网络安 访问控制………。入侵检 。４、总 通过对网络系统的风险分析及需要解决的安全问题,我们需要制订合理的安全方略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性.即，可用性 授权实体有权访问数 完整性:确保数据不被未授权修改可控性：控制授权范畴内的信息流向及操作方式访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的ＬAN数据加密:数据加密是在数据传输、存储过程中避免非法窃取、篡改信息的有效手段.(１)内部窃密和破坏ﻫ由于公司网络上同时接入了其它部门的网络系统,因此容易出这种风险是必须采用方法进行防备的.ﻫ（2）搭线(网络）窃听ＩNTERＮETNTＥRNET,并非常容易地在信息传输过程中获取全INTERＮET通信（与上级、下级）这种威胁等级是相称高的，因此也是本方案考虑的重点。ﻫ（3)假这种威胁既可能来自公司网内部顾客，也可能来自ＩNTEＲNET（４）这种威胁重要指信息在传输过程中或者存储期间被篡改或修改,使得信息／数据失去XXX信息，因此那些不怀好意的顾客和非法顾客就会通过网络对没有采用安全方法的服务器上的重要文献进行修改或传达某些虚假信息，从而影响工作的正常进行。(5)其它网络的攻击ﻫ 公司网络系统是接入到ＩNTEＲＮET上的,这样就有可能会 安全设备能够尽量发挥其作用，避免使用上的漏洞。ﻫ（雷击ﻫ由于网络系统中涉及诸多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输，因此极易受到雷击,造成连锁反映,使整个网络瘫痪,设备损坏,造成严重后果。因此，为避免遭受感应雷击的危ﻫ（１）②驱动与驱动的联动ＩPDNＡ④流量去向（（FＷ(IＤＳ重要是数据加密保护ﻫ重要网络安全隔离ﻫ通用方法是采用防火墙ﻫ网络病毒防护ﻫ采用网络防病毒系统ﻫ广域网接入部分的入侵检测ﻫ采用入侵检测系统ﻫ 网络传输ﻫ由于公司中心内部网络存在两套网络系统，其中一套为公司内部网络，INＴERＮEＴ相连，通过AＤSL接入,并INＴEＲＮET由于现在越来越多的政府、金融机构、公司等顾客采用ＶＰN公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用ＶPＮ设备来构ＶPN根据公司三级网络构造,VＰN图为三级VPNCAVＰNＰNVPN网络隔离保护 与ＩNＴＥRＮET进行隔离，控制内网与INTERNET的互相访问 其中，在各级中心网络的VPN设备设立以下图： 图为中心网络ＶPNVPNCAVPNVPN将对外服务器放置于ＶPNDMZ控制内网的对外访问、统计日志。这样即使服务器被攻破，内部网络仍然安全。ﻫ下级单位的VＰN设备放置以下图所示:VPN从图可知,下属机构的VPＮ设备放置于内部网络与路由器之间,其配备、管理由上级机单位来讲将是一笔不小的费用.ﻫ由于网络安全的是一种综合的系统工程,是由许多因素INＴＥRNＥT设立恶意代码、使系统服务严重减少或瘫痪等，因此，采用对应的安全方法是必不可少的.普通,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功效Ｎ设备来实现网络安全隔离，可满足下列几个方面的规定：严禁外部非法顾客对内部网络的访问 控制内部顾客对外部网络的网络 IPIP 由于采用防火墙、VPN技术融为一体的安全设备，并采用 产品。作为必要的补充，入侵检测系统（ＩＤＳ）可与安全ＶPN系统形成互补。入侵检E－mai