02-网络信息安全技术方案.docVIP

目 录 第 1 章 网络安全需求分析 2 1.1 网络安全现状分析 2 1.2 威胁分析 2 1.2.1 来自广域网的威胁 2 1.2.2 网络系统和主机操作系统存在漏洞 2 1.2.3 来自内部网的威胁 3 1.2.4 来自病毒蠕虫的威胁 3 1.3 需求分析 3 第 2 章 网络信息安全方案设计原则 5 第 3 章 详细安全技术方案设计 7 3.1划分VLAN 7 3.2 安全网关设备选择 12 3.3 网络防毒软件选择 13 3.4 无线设备选择 17 第 4 章 方案特点 19 第 5 章 网络拓扑图 20 网络安全需求分析 网络安全现状分析 在任何网络的建设之初都首先要考虑安全问题，以免为日后带来重复投资。 运行于Internet上的网络时，由于 网络中运行的应用系统将会越来越多，各种应用系统的投入运行，信息网络系统安全越来越直接的影响到 正常的工作运作。此外，由于 工作上的特殊性和实时性，信息网络系统的任何间断和失误都可能给 带来不可挽救的损失，可以说， 信息网络系统的安全非常重要。因此如何设计一个好的，高效的，经济的，风险最低的安全网络系统已成为亟待解决的重大问题。不只是简单的网络互联，当前的网络建设都要以安全为起点。 在进行安全体系的设计之前，首先来分析 网络中存在的安全隐患。 威胁分析 来自广域网的威胁 这一方面的威胁主要是来自于数据在广域网传输时被窃听，篡改等，也就是保证数据的正确性和保密性，防篡改，防欺骗。广域网的威胁也包含来自Internet和extranet的威胁。由于目前 网络结构中缺少必要的安全防护措施，整个 网络得不到任何安全防护，从而很容易受到来自于互联网上的攻击，无法确保数据的保密性和应用的连续性，从而会带来不可估量的后果。另外由于 将新增办公自动化系统，经常会有很多网络数据的传输，更需要严密防范广域网的击，否则会影响正常的工作外，还会携带一些病毒和木马软件等，从而导致系统的瘫痪。 网络系统和主机操作系统存在漏洞 网络中现有一定数量的业务主机、服务器、路由器、访问服务器、核心交换机等关键主机网络设备，其上运行着各类不同的操作系统和应用程序，每种操作系统或多或少的存在着不同风险级别的漏洞，随着网络改造和建设工作的深入，会逐步引进更多的设备，会有更新版本的操作系统得到应用，虽然可以利用安装系统补丁预防部分系统漏洞，但是由于缺乏统一的风险评估系统和工具实施集中的评估管理，各类补救措施和程序提供的及时性、准确性和有效性难以保证，无法做到对风险的预测和控制。黑客很有可能利用这些漏洞进入核心业务系统，窃取密码，篡改数据库，窃取重要业务信息，进行非授权的各类恶意的违法操作。这样就需要如终端管理系统的一类产品，随时发现计算机说存在的安全漏洞，并自动为计算机安装相应的补丁。 来自内部网的威胁 跟据权威机构的统计,70%的攻击来自网络内部。内部网络安全主要包括内部网络不同网段、不同应用系统内部和之间的安全，生产业务主机的安全，重要应用系统服务器的安全等。来自系统内部的攻击对系统破坏处于主要位置,因为内部人员对信息的位置、重要性,访问控制策略等情况比较了解,攻击更容易奏效,对网络造成的损失也是巨大的。特别是现在客房里的客人与工作人员共用一个网络上网，也没有采取一定的隔离措施，对办公网络威胁很大。客人上网多是自身携带的笔记本，他们的笔记本经常在外面的不安全网络使用，感染病毒的可能性非常大，再来到酒店使用，对整个网络带来非常在的安全隐痪。 来自病毒蠕虫的威胁 随着网络的发展，病毒和蠕虫的扩散能力和危害程度越来越大。病毒和蠕虫的泛滥可能造成整个网络的瘫痪或者重要数据的丢失，防病毒是必须要考虑的安全问题。 需求分析 根据 网络当前面临的威胁，以及 网络的未来信息安全体系规划，需要对 网络进行规划，充分发挥网络设备的安全功能，并设计一个主动的、立体的、层次化的信息安全保障体系。 客房网络与办公网络隔离 不仅实现客房之间的隔离，还要使客房与办公网络隔离。 访问控制 主要覆盖整个 网络内的重要节点的连接位置。实现对重要节点的防护。 统一安全管理 主要防护外部网络对内部网络，应用服务器区的攻击，同时合理有效的利用带宽资源，对进出流量进行检测，对发现的可疑行为采取相应的措施进行防护。同时可以应用统一安全管理系统当中的防垃圾邮件功能，在一定程度上缓解垃圾邮件对系统的影响。另外通过对BT，电驴，迅雷等P2P,IM软件进行协议控制，管理员可以通过简单的策略就可以阻断或是以一定带宽使用这些软件。而这些功能是防火墙无法实现的。 入侵检测 通过入侵检测系统对网络进行实时检测，及时发现网络上的可疑行为，并采取相应的保护和反入侵措施，如：切断网络连接，记录日志，并向管理员报警等。 终端安全管理 保证全网的终端PC和服务器具备一定的风