企业网络信息安全整体解决资料.doc

企业网络信息安全整体解决方案 技术白皮书 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc322701045 一、完善、优化企业内部网络架构 PAGEREF _Toc322701045 \h 4 HYPERLINK \l _Toc322701046 1、域结构管理模式 PAGEREF _Toc322701046 \h 4 HYPERLINK \l _Toc322701047 2、网络拓扑结构设计 PAGEREF _Toc322701047 \h 4 HYPERLINK \l _Toc322701048 3、三层交换与VLAN结合 PAGEREF _Toc322701048 \h 5 HYPERLINK \l _Toc322701049 4、企业网管软件 PAGEREF _Toc322701049 \h 6 HYPERLINK \l _Toc322701050 二、构建全方位的数据泄漏防护系统 PAGEREF _Toc322701050 \h 12 1、 HYPERLINK \l _Toc322701051 文档安全管理系统 PAGEREF _Toc322701051 \h 13 2、 HYPERLINK \l _Toc322701052 企业U盘认证系统 PAGEREF _Toc322701052 \h 14 3、 HYPERLINK \l _Toc322701053 打印监控系统 PAGEREF _Toc322701053 \h 15 HYPERLINK \l _Toc322701054 三、建立一体化的本地/异地备份与容灾体系 PAGEREF _Toc322701054 \h 17 HYPERLINK \l _Toc322701055 四、建立防火墙、防入侵及一体化安全网关解决方案 PAGEREF _Toc322701055 \h 20 1、 HYPERLINK \l _Toc322701056 趋势科技防毒墙-服务器版（SP）： PAGEREF _Toc322701056 \h 21 2、 HYPERLINK \l _Toc322701057 Juniper 防火墙： PAGEREF _Toc322701057 \h 22 随着计算机技术的飞速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等，发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时，基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题，我们可以从几方面入手：首先，完善、优化企业内部网络架构；其次，构建全方位的数据泄漏防护系统；再次，建立一体化的本地/异地备份与容灾体系；最后，建立防火墙、防入侵及一体化安全网关解决方案，达到净化企业内部网络环境提升员工工作效率的目的。 一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时，应从企业应用为最基本出发点，将企业当前和各类应用和将来会上的应用都必需全部考虑进来，特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策，以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性，可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是采用对等网模式（工作组），在这种工作模式下任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。 在由Windows 9x构成的对等网中，数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理，导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在