网络工程规划与设计案例教程项目二_任务二_企业网络安全方案设计.doc

企业网络安全方案设计目 录 1. 引言 1 2. 根据综合型企业网络图分析现状并分析需求 2 2.1 信息安全系统存在的缺陷 2 2.2 信息安全的需求 2 3. 设计原则 3 3.1 标准化原则 3 3.2 系统化原则 3 3.3 规避风险原则 3 3.4 保护投资原则 3 3.5 多重保护原则 3 3.6 分步实施原则 3 4. 企业网络安全解决方案的思路 3 4.1 安全系统架构 3 4.2 安全防护体系 3 4.3 企业网络安全结构图 4 5. 整体网络安全方案 4 5.1 网络安全认证平台 4 5.2 VPN系统 4 5.3 网络防火墙 5 5.4 病毒防护系统 5 5.5 对服务器的保护 5 5.6 关键网段保护 6 5.7 日志分析和统计报表能力 6 5.8 内部网络行为的管理和监控 7 5.8.1 电子签章系统 7 5.8.2 安全登录系统 7 5.8.3 文件加密系统 7 5.9 移动用户管理系统 8 5.10 身份认证的解决方案 8 6. 方案的组织与实施方式 8 7. 总结 9 引言 随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。因此，一般整个企业的网络系统存在三个方面的安全问题： （1）Internet的安全性：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。 最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。内部网络之间、内外网络之间的连接安全随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。综合型企业网络 图1 企业网络企业网络安全解决方案安全系统架构安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。安全防护体系信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终图网络与信息安全防范体系模型 网络安全总体安全结构总体安全结构整体网络安全方案网络安全证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI（Public Key Infrastructure，公钥基础设施）是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标身份认证（Authentication）：确认通信双方的身份，要求通信双方