企业网络安全方案设计

海南经贸职业技术学院信息技术系

︽

网

络

安案

全例

︾设

计

报

告

题目企业网络安全方案的设计

学号 1

班级 11级网络1 班

姓名XXX

指导老师 XXX

目录

摘要： (1)

一、引言 (1)

二、以某公司为例，综合型企业网络简图如下，分析现状并分析需求： (2)

三、设计原则 (3)

四、企业网络安全解决方案的思路 (4)

（一）安全系统架构 (4)

（二）安全防护体系 (4)

（三）企业网络安全结构图 (5)

五、整体网络安全方案 (6)

（一）网络安全认证平台 (6)

（二）VPN系统 (6)

（三）网络防火墙 (7)

（四）病毒防护系统 (7)

（五）对服务器的保护 (8)

（六）日志分析和统计报表能力 (9)

（七）内部网络行为的管理和监控 (10)

（八）身份认证的解决方案 (11)

六、方案的组织与实施方式 (11)

七、总结 (12)

教师评语： (13)

设计企业网络安全方案

摘要：

随着互联网的不断更新与发展，它给我们带来了极大的利益和方便。但是，随着互联网的空前发展以及互联网技术的普及，使我们面临另外提个困境：私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下，伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏，将给使用单位造成重大经济损失，并严重影响正常工作的顺利开展。加强企业网络安全工作，是一些企业建设工作的重要工作内容之一。

关键词：信息安全、企业网络安全、安全防护

一、引言

随着互联网的空前发展以及互联网技术的不断普及，企业的重要数据信息都被暴露在公共网络空间下，很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等，都有可能威胁到重要信息数据，这些危害也越来越受到人们的重视。因此，根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况，如何使企业信息网络系统免受黑客和病毒的入侵，使企业的数据机密信息得以保护，并且可以保证企业的网络顺畅的工作，有助于公司的长远发展。

网络安全技术是指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理的安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，以及其他的安全服务和安全机制策略。

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多

样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会各方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

二、以某公司为例，综合型企业网络简图如下，分析现状并分析

需求：

图说明图一企业网络简图

（一）对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷，具体表现在：

（1）系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

（2）原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

（3）经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

（4）计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

（二）由以上分析可知该公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

（1）某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

（4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

三、设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。具体如下：

1. 技术先进性原则

2. 系统性原则

3. 管理可控性原则

4. 技术与管理相结合原则

5. 多重保护原则

6. 系统可伸缩性原则

7. 测评认证原则

四、企业网络安全解决方案的思路

（一）安全系统架构

一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。

（二）安全防护体系

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。如图二所示：

图说明图二网络与信息安全防范体系模型（三）企业网络安全结构图

通过以上分析可得总体安全结构应实现大致如图三所示的功能:

图说明图三总体安全结构图

五、整体网络安全方案

（一）网络安全认证平台

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用

PKI/CA数字认证服务。PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

1.身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

2.数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

3.数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

4.不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。（二）VPN系统

一个完全私有的网络可以解决许多安全问题，因为很多恶意攻击者根本无法进入网络实施攻击。但是，对于一个普通的地理覆盖范围广的企业或公司，要搭建物理上私有的网络，往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

（三）网络防火墙

采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下：

图说明图四防火墙

安装好专业切功能强劲的防火墙，来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet（外部网）的传输信息或从内部网络发出的信息都必须穿过防火墙。

入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。

（四）病毒防护系统

基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。

3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。

4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。（五）对服务器的保护

服务器的安全对企业来说是至关重要的，近几年来，服务器遭遇“黑手”的风险越来越大，就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先，这些恶意的攻击行为，旨在消耗服务器资源，影响服务器的正常运作，甚至攻击到服务器所在网络瘫痪。还有一方面，就是入侵行为，这种大多与某些利益有关联，有的涉及到企业的敏感信息，有的是同行相煎。

目前广泛应用的电子邮件客户端软件如OUTLOOK 支持S/MIME( Secure Multipurpose Internet Mail Extensions )，它是从PEM(Privacy Enhanced Mail) 和MIME(Internet 邮件的附件标准) 发展而来的。首先，它的认证机制依赖于层次