公司网络安全方案设计word版本.pdf

公司网络安全方案设计 网络安全是指网络系统的硬件、软件及其系统中的数据 受到保护， 不因偶然的或者恶意的原因而遭受到破坏、 更改、 泄露，系统连续可靠正常地运行，网络服务不中断。下面是 有关公司网络安全的方案设计，供大家参考！ 公司网络安全方案设计【 1】 网络信息系统的安全 技术体系通常是在安全策略指导下合理配置和部署：网络隔 离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据 加密、身份认证、安全监控与审计等技术设备，并且在各个 设备或系统之间，能够实现系统功能互补和协调动作。 1．网络隔离与访问控制。通过对特定网段、服务进行 物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻 止在网络和服务的边界以外。 2 ．漏洞发现与堵塞。通过对网络和运行系统安全漏洞 的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或 从管理上堵塞漏洞。 3 ．入侵检测与响应。通过对特定网络、服务建立的入 侵检测与响应体系，实时检测出攻击倾向和行为，并采取相 应的行动。 4 ．加密保护。主动的加密通信，可使攻击者不能了解、 修改敏感信息或数据加密通信方式；对保密或敏感数据进行 加密存储，可防止窃取或丢失。 5 ．备份和恢复。良好的备份和恢复机制，可在攻击造 成损失时，尽快地恢复数据和系统服务。 6 ．监控与审计。在办公网络和主要业务网络内配置集 中管理、分布式控制的监控与审计系统。一方面以计算机终 端为单元强化桌面计算的内外安全控制与日志记录；另一方 面通过集中管理方式对内部所有计算机终端的安全态势予 以掌控。 在利用公共网络与外部进行连接的“内”外网络边界处 使用防火墙，为“内部”网络与“外部”网络划定安全边界。 在网络内部进行各种连接的地方使用带防火墙功能的 VPN设 备，在进行“内”外网络的隔离的同时建立网络之间的安全 通道。 1．防火墙应具备如下功能： 使用 NAT把 DMZ区的服务器和内部端口影射到 Firewall 的对外端口； 允许 Internet 公网用户访问到 DMZ 区的应用服务： http 、ftp 、smtp 、dns 等； 允许 DMZ区内的工作站与应用服务器访问 Internet 公 网； 允许内部用户访问 DMZ的应用服务： http 、ftp 、smtp 、 dns 、pop3、https ； 允许内部网用户通过代理访问 Internet 公网； 禁止 Internet 公网用户进入内部网络和非法访问 DMZ 区应用服务器； 禁止 DMZ区的公开服务器访问内部网络； 防止来自 Internet 的 DOS一类的攻击； 能接受入侵检测的联动要求，可实现对实时入侵的策略 响应； 对所保护的主机的常用应用通信协议能够替换服务器 的 Banner 信息，防止恶意用户信息刺探； 提供日志报表的自动生成功能，便于事件的分析； 提供实时的网络状态监控功能，能够实时的查看网络通 信行为的连接状态，通信数据流量。提供连接查询和动态图 表显示。 防火墙自身必须是有防黑客攻击的保护能力。 2 ．带防火墙功能的 VPN 设备是在防火墙基本功能基础 上，通过功能扩展，同时具有在 IP 层构建端到端的具有加 密选项功能的 ESP 隧道能力，这类设备也有 SVPN的，主要 用于通过外部网络