内网安全设计方案.pdfVIP

内网安全设计方案（一） 内网的安全问题 内网因为和外网是物理上隔离的，所以内网不存在遭受外部攻击的危险。内网的 危险来自于内部成员的攻击。对于内网的远程拨号链路，它可能是遭受外来攻击的一 个弱点。这是必须考虑的一个安全隐患。 单位内安全问题 (1) 单位内部工作人员的安全要求 必须要求单位内部的工作人员具有良好的安全意识。 单位内部员工利用自己的帐号、密码可以访问本单位内部的服务器、单位内部公文、 业务处理系统的服务器。 通过访问列表技术或者域帐号信任关系，单位内部员工可以访问公共系统的服务 器。 1. 其他单位的员工因为在不同的网络上，不能访问外单位的服务器。 2. 严格实现一人一个帐号，不共享帐号、密码。 3. 不把帐号、密码写在纸上。 4. 密码必须定期更改。 5. 不打听别人的密码。 6. 共享资源时设置保护措施。 7. 用户账号管理 单位内的用户必须实现统一管理的目录服务。每个用户拥有一个唯一的用户识别 码，并根据用户的性质、职务归到相应的用户组里。每个用户组再给予分配适当的权 限。不对单独用户分配权限。对于机要用户，也同样如此处理，创建一个机要用户组 来处理。这样可以避免对用户权限的错误分配。 对于用户账户的名称，可以采用“姓＋名＋数字” 的组合。这样的组合易于对用户 的识别，也减少了账号重复的可能性，同时增强了账号保密性的要求。 用户密码的管理 设置用户密码管理策略，规定用户密码的组合必须是大小写字母、数字、符号的组合， 密码的长度不少于规定的长大，密码的使用期限不得超过规定的期限，错误登陆超过 规定的次数锁定账户等等。这样就大大增强了用户账号的安全性，也提高了整个系统 的安全性。 内网安全设计方案（二） 系统内部（包括系统内/部门间应用）服务器的安全要求： 所有的服务器都设在相应的服务器网络，同一系统内的不同单位，我们可以在分布 层允许它们互相通信。 通过账号、密码机制我们可以允许本单位和本系统内其他单位的授权用户访问，再 通过在路由器上设置 ACCESS-LIST ，可以加强这种安全性。 同样我们通过帐号、密码以及ACCESS-LIST 安全特性，不允许其他用户访问。 服务器的安全管理非常重要。可以从两个级别来对它进行保护，第一级别服务器网 段的保护和第二级别服务器本身的保护。我们先说服务器本身的保护。 服务器本身的操作系统必须保持最新的更新，要必须密切注意操作系统的补丁程 序，减少操作系统本身的安全漏洞问题。 关闭不必要的 TCP/UDP 端口。 关闭不必要的服务。 关闭不必要的共享文件夹。 认真审核各个文件夹的用户权限。 对文件夹进行安全审核，记录文件夹的被访问情况。 公共网段的安全要求 认证、授权及记帐（AAA ）、安全服务器协议、流量过滤和防火墙、IP 安全和加 密技术可以对网段提供高安全保护。认证提供了识别用户的方法，它在允许用户访问网 络以及网络资源之前确认用户的身份；授权提供了访问控制的方法，它包括一次性授权 和对每个服务进行授权；记帐提供了收集和发送帐单信息、审计信息以及报告信息的手 段。安全服务器协议提供配置 RADIUS 、Kerberos 、TACACS+、TACACS 和扩展 TACACS 的方法、命令和过程。流量过滤和防火墙提供了网络设备进行流量过滤以及如何把网络 设备配置成精细入微的防火墙。IP 安全与加密部分提供 Cisco 加密技术、配置 IPSec 、 配置证书认证机构（CA ）的互操作能力以及配置Internet 密钥交换的方法。 内网安全设计方案（三） 网络设备本身的安全性管理 Cisco 的设备具有良好的内置安全性。Cisco 网络设备配置 Cisco IOS 安全特性。通 过 Cisco IOS 安全特性的配置，使我们的网络能够避免有意和无意的攻击，避免由于合 法用户的误操作造成的数据丢失或泄露，从而保护网络系统的安全。口令保护，口令的 级别，口令加密，移除不安全的 SNMP 字符串。可以保证设备本身的高安全性。