计算机网络安全设计方案教材.docVIP

客户背景 　集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团广域网采用MPLS-VPN技术，用来为各个分公司提供骨干网络平台和VPN接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。 二、安全威胁 某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部采用无纸化办公，OA系统成熟。每个局域网连接着该所有部门，所有的数据都从局域网中传递。同时，各分公司采用VPN技术连接公司总部。该单位为了方便，将相当一部分业务放在了对外开放的网站上，网站也成为了既是对外形象窗口又是内部办公窗口。 由于网络设计部署上的缺陷，该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况，同时有些个别机器上的杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间都持续几十分钟，网管简直成了救火队员，忙着清除病毒，重装系统。对外WEB网站同样也遭到黑客攻击，网页遭到非法篡改，有些网页甚至成了传播不良信息的平台，不仅影响到网站的正常运行，而且还对政府形象也造成不良影响。（安全威胁根据拓扑图分析）从网络安全威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等信息安全现状：经过分析发现该公司信息安全基本上是空白，主要有以下问题： 公司没有制定信息安全政策，信息管理不健全。 公司在建内网时与internet的连接没有防火墙。 内部网络（同一城市的各分公司）之间没有任何安全保障为了让网络正常运行。 根据我国《信息安全等级保护管理办法》的信息安全要求，近期公司决定对该网络加强安全防护，解决目前网络出现的安全问题。 三、安全需求 从安全性和实用性角度考虑，安全需求主要包括以下几个方面: 1、安全管理咨询 安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。 2、集团骨干网络边界安全 主要考虑骨干网络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。 3、集团骨干网络服务器安全 主要考虑骨干网络中网关服务器和集团内部的服务器，包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。 4、集团内联网统一的病毒防护 主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。 5、统一的增强口令认证系统 由于系统管理员需要管理大量的主机和网络设备，如何确保口令安全称为一个重要的问题。 6、统一的安全管理平台 通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。 7、专业安全服务 过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。 四、方案设计 骨干网边界安全 集团骨干网共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。 在Internet出口处部署一台LinkTrust Network Defender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrust Network Defender可以实时监控网络中的异常流量，防止恶意入侵。 在各个分公司中添加一个DMZ区，保证各公司的信息安全，内部网络（同一城市的各分公司）之间没有任何安全保障 具体部署如下图所示： 骨干网服务器安全 　　集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。 　　主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。 漏洞扫描 　　了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。 　　内联网病毒防护 　　病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理