企业信息安全整体方案设计

1、企业信息安全的总体设计一、企业安全背景和现状随着全球信息网络的出现和信息社会的到来，社会的生产方式发生了重大变化。市场竞争日趋激烈，企业对信息收集、传输、处理、存储、查询和预测决策的负担越来越大，原始计算机不能停留在单独的工作方式上，跨部门共享数据，导致工作效率大幅下降，纯粹的手动管理方式和手段不适合需求，严重阻碍了公司的生存和发展。1.企业组织和信息系统简介企业包括生产、市场、财务、资源等。该公司的信息系统需要企业内部员工信息交换、部门间消息发布、企业总部和各地分支办公室、分支办公室以及出差的员工进行实时信息传输和资源共享2.分析用户安全要求在日常企业工作中，企业总部和各地分公司、分公司、出

2、差的员工需要实时传输信息和共享资源，企业之间的业务往来越来越依赖网络。但是，由于互联网的开放性和通信协议原始设计的局限性，所有信息都进行了明文传输，网络的安全问题日益严重，非法访问、网络攻击、信息盗用等频繁发生，给公司的运行带来了安全风险，甚至造成了不可估量的损失。3.信息安全威胁类型当前企业信息的安全威胁主要来自以下几个方面：(1)网络攻击的威胁可能导致服务器或工作站瘫痪。(2)信息盗用的威胁可能会泄露商业秘密，内部服务器可能非法访问，传输信息的完整性受损，或者直接伪造。(3)公共网络上计算机病毒的威胁可能会使服务器或工作站感染计算机病毒，导致系统崩溃、瘫痪，甚至网络瘫痪。(4)、管理和操作

3、员缺乏安全知识。由于信息和网络技术的快速发展，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面深入的教育和学习，对信息安全的重要性和技术的认识不足，安全设备系统的操作不正常的装饰，很容易使其成为可能。如果某些通信和操作需要限制，则会发生网络漏洞，例如，为了方便而设置开放状态。(5)，闪电。网络系统包含很多通过通信电缆传输的网络设备、终端、线路等，因此非常容易受到雷击，连锁反应会导致整个网络瘫痪，设备损坏，造成严重后果。二.企业安全需求分析1、信息保护方法的安全要求分析该公司目前以Cisco为主的网络设备构建了一个涵盖整个企业的网络平台。在数据通信方面，以企业所在地为中心

4、，通过多个城市和1M帧中继线路进行点对点连接，其他城市和移动用户可以使用ADSL、CDMA登录到internet，然后通过VPN连接到企业内部网，或者通过PSTN拨号连接。在公司网络平台上运行办公自动化系统、SAP的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、企业网站、FHS自动加油系统界面、internet访问、网络银行等数字应用程序，对企业日常办公和经营管理起着重要的支持作用。根据企业网络的现状和发展趋势，对信息保护方式的安全要求分析主要从以下几个方面考虑：1、网络传输保护：主要是数据加密、防窃听保护。2、保护密码账户信息：保护网络银行和客户信息，防止泄露3、网络病毒保护

5、：使用网络防病毒系统，保护和杀死可在宏网络中携带病毒的某些设备。4、广域网络接入部分的入侵检测：使用入侵检测系统5、系统漏洞分析：使用漏洞分析设备，及时修补已知漏洞。(2)风险的对策安全要求分析1、定期安全审计：主要包括内容审计和网络通信审计两部分2、备份重要数据：备份某些重要交易的客户信息3、网络安全结构的可扩展性：包括安全设备的可扩展性，即根据用户需求随时扩展法规和功能。4、网络设备防雷5、防止重要信息点的电磁泄漏三、安全解决方案1、物理安全和操作安全企业网络系统的物理安全要求是保护计算机网络设备、设施和其他媒体，使其免受地震、洪水、火灾、闪电等环境事故、人为错误或错误，以及各种计算机犯罪

6、行为的损害。企业运营安全是计算机和网络设备运行时的系统安全，是保护网络和信息系统的运行过程和运行状态。主要保护方法包括防火墙和物理隔离、风险分析和漏洞扫描、紧急响应、病毒预防、访问控制、安全审核、入侵检测、源路由过滤、降级使用和数据备份。2、选择和购买安全硬件和软件产品(1)硬件产品主要是防火墙选项。防火墙可以满足以下要求：保护对象和要求的安全级别；根据安全级别确定防火墙的安全标准；选择具有适当功能、扩展和安全功能的防火墙；符合多种平台要求并集成到网络设备中；提供售后服务的产品。(2)软件产品主要是杀毒软件的选择，在选择杀毒软件时要注意几个要求。具备优秀的病毒预防和控制技术、程序核心安全、国内

7、外病毒处理能力、中国产品、低系统资源、良好性能、高可管理性、高易用性、高产品集成、高可靠性、可调配系统资源利用、轻松网络自动升级等优点。(3)，产品推荐产品型号布局数量关键参数和注释天空网络控制防火墙SNS-FW-1500TC总公司与分公司1机架/4FE/40万并行连接/150M吞吐量天空网络控制防火墙SNS-FW-4500TC网络总出口1机架/4GE/120万并行连接/800M吞吐量天网防毒墙SNS-VW-250服务器地球办公室1机架/4FE/提供相应的客户端软件天空网络流量优化系统TS-TC-100互联网出口1机架/4FESkynet行为管理系统SNS-NAM-500T办公空间1机架/4F

8、E天网SSL VPNSNS-SSL-100T服务器区域1机架/4FE/AC POWER/100并发用户3、网络计划和子网网络规则，网络需要计划未来3-5年。未来，企业的计算机将继续增长。比较环形、星形和总线形状的三个基本拓扑，星形连接在访问网络时提供了更多的灵活性。当系统持续发展或系统发生重大变化时，这些优点更加明显，因此最好选择星形网络。(1)，实际的特定设计拓扑图如下(2)，子网和地址分配管理员子网(VLAN 2): 子网掩码3360 网关：生产子网(VLAN 3): 子网掩码3360 255.25

9、5.255.0网关：市场子网(vlan4): 子网掩码3360 网关：财务子网(VLAN 5): 子网掩码3360 网关：资源子网(vlan6): 子网掩码3360 网关：4、网络隔离和访问控制(1)，每个级别的设置和管理方法都相同。各级中央网络安装一台VPN设备和一台VPN认证服务器(VPN-CA)，直属单位的网络访问安装VPN设备，上层VPN认证服务器通过网络对

10、下一级VPN设备进行集中集成网络管理。部署在内部网络和路由器之间的VPN设备由父组织通过网络进行配置和管理，子组织无需执行管理任务，只需确保电源已接通即可。安全设备属于特殊的网络设备，因此必须由相应的专家进行维护和管理，采用这种管理方法，可以减少下属组织的维护成本和专业技术人员的要求，因此在很多下属组织、分支机构的单位中需要花费不少费用。网络安全是复杂的系统工程，安全设备管理尤其重要，因为它不是仅通过高级安全产品就能解决的，而是由多个因素决定的。典型的安全产品在管理方面是自行管理的，因此设备设置不正确，会给整个网络带来严重的安全风险。用户技术人员往往都不专业，因此很容易出现上述现象。与此同时，

11、每个维护人员的级别也存在差异，因此相互配置中的错误很容易导致网络中断。因此，选择能够让少数专家管理、配置关键安全设备、提高整个网络的安全性和可靠性的网络中央可管理设备非常重要。(2)，访问权限控制策略a，管理员运行VLAN2后，所有其馀VLAN均可访问。b，财务VLAN5可以访问生产VLAN3、市场VLAN4、资源VLAN6，管理员不能执行VLAN2。c、市场VLAN4、生产VLAN3、资源VLAN6不能由管理员访问执行VLAN2、财务VLAN5。d、生产VLAN4和销售VLAN3可以交叉访问。5、加强操作系统安全企业中所有级别的网络系统平台安全主要是指操作系统的安全。当前主要操作系统平台是基

12、于外国产品构建的，具有较大的安全风险，因此，必须加强系统后门程序管理，对于一些可利用的后门程序，必须及时对系统进行补丁升级。企业网络系统在主要应用服务平台上采用了自主开发的安全操作系统，针对常见操作系统的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审核、加密算法、算法替代支持和完整性保护等进行了安全转换，提高了性能。最终用户必须在PC上运行NT平台，有选择地使用NT安全机制，同时加强监视管理。6、应用程序系统安全企业网络系统的应用平台安全，包括用户身份验证和控制进入系统、网络资源的权限管理和访问控制的使用，以及安全相关任务的审计。用户必须包含所有级别的管理员用户和各种业务用

13、户。另一方面，我们将讨论服务器系统本身的安全性和服务提供的安全性，以及各种数据库系统、WWW服务、电子邮件服务、FTP和TELNET应用程序。选择这种应用程序的时候，要选择国内软件开发企业进行开发，系统种类也要尽量采用国内自行开发的应用程序。作为一个完整的通用安全系统，必须包括与定期安全评估和安全分析一样精密的安全措施。网络安全系统不是在实施后长期保持高安全，而是随着时间的推移和技术的发展而不断减少，同时在使用过程中出现新的安全问题，因此采取适当的措施作为安全系统建设的补充也是必然的。在此方案中，您将使用漏洞扫描设备定期扫描网络系统，检测和扫描存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏

14、洞等，查找相应漏洞并发出警报，自动提出解决方案，或参考意见提醒网络安全管理员进行适当的调整。7、保护主要主机为主力主机巴里软件手机构建主机防御系统，又名HIPS。HIPS监视计算机上的文件运行情况，以及文件是否使用其他文件和注册表中的文件修改，并报告允许的软件。主机入侵防护系统的program access control list(PACL)功能，使同一用户可以访问同一资源时使用不同的应用程序访问权限，从而获得不同的权限。这意味着，对于某些重要资源，可以使用主机入侵防护系统功能限制对不同应用程序的访问，只允许已知的法律应用程序访问这些资源。因此，即使入侵者在攻击目标服务器上运行木马程序，木马

15、程序也必须在需要窃取重要信息的时候接受主机入侵防护系统的安全验证。没有访问PACL中定义的木马程序的权限，无法根据默认权限访问，从而防止木马信息被盗。8、连接和传输安全企业中心内部网络有两个网络系统，其中一个是企业内部网络，主要运行内部办公室、业务系统等。另一组连接到internet，通过ADSL访问，并连接到企业系统内部的上下机构网络。通过公共线构建跨internet的企业组的内部LAN，通过网络交换数据，共享信息。internet本身没有有效的安全功能，如果不采取适当的安全措施，将容易泄漏或非法篡改从网络上任何主机接收的重要信息，从而导致严重后果。因此，各级中央网络将安装一台VPN设备和一

16、台VPN认证服务器(VPN-CA)，直属单位的网络访问将安装VPN设备，上层VPN认证服务器将通过网络对下一级VPN设备进行集中统一网络管理。这样可以实现以下目的：1、网络传输数据保护；安装在网络上的VPN设备可以加密和保护内部网络之间的数据传输，同时进行加密或隧道处理2、网络隔离保护与internet隔离以控制intranet和internet之间的相互访问3、集中统一管理，提高网络安全性4、降低成本(设备成本和维护成本9、安全集成管理和控制程序设计为了保护网络的安全，除了在网络设计中添加安全服务功能，提高系统的安全机密性外，安全管理规范也是网络安全所必需的。安全管理策略构建了从纯粹的管理到

17、技术高效的管理平台。安全管理战略主要是定义完善的安全管理模式。制定长期可行的安全战略，彻底实施规范的安全预防措施。构建适当的安全评估指标，执行定期规则审核。当然，您还需要构建高效的管理平台。A.安全管理安全管理的主要功能是安全设备管理。监视网络风险情况，隔离风险，将风险控制在最小范围内。认证、权限设置；管理对资源的访问权限自动为资源或用户的动态或静态审计违规事件生成警报或生成事件消息。对于操作员密码验证等密码管理、未授权操作员的控制：密钥管理：与密钥相关的服务器，必须设置密钥寿命、密钥备份等管理功能。冗馀备份：需要对关键服务器进行冗馀备份，以提高网络的安全系数。安全管理必须从管理系统和管理平台技术两