{安全生产管理}网络安全方案样板.docxVIP

{安全生产管理}网络安全方案样板 概述 计算机和网络技术的飞速发展与普及，各项业务与办公系统越来越依赖计算机系统的安全性。******作为国家通信领域的重要机构，维护其网络系统的安全问题关系十分重大。 病毒破坏和黑客攻击是威胁计算机系统安全的两大方面，不仅病毒和黑客技术的发展提高日新月异，更令人担忧的是来自网络内部的攻击日益成为网络安全防护领域的重要防护对象。据美国相关统计数字，70%的攻击来自网络内部。******内部网络作为全公司办公沟通、文件传送、数据传输的重要渠道，在安全问题十分严峻的形势下，必须及时做好内部网络安全策略的配置和网络安全的全方位防护。在充分了解破坏和攻击技术的同时，构建一个可行的防御系统。 为确保******整个内部办公及数据传输网络的安全性，作为专业的网络安全公司，启明星辰根据******内部网网络安全系统的现状和需求，结合技术和管理，提出了全方位、多层次的网络安全解决方案。 ******内部网络安全需求分析 ******内部网络部署了网络设备、服务器，承载了大量重要的数据信息。保护这些设备的正常运行，维护主要业务系统的安全，是******内部网络的基本安全需求。 ******内部网络系统现状 ******内部网络安全现状 ******内部网络运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，******内部网络可能存在的安全威胁来自以下方面： (1)缺乏有效的手段监视、评估网络系统的安全性。 (2)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 (3)对于网络内部各种设备以及来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。 (4)来自内部网用户的安全威胁。针对内部网络的非法操作和恶意攻击，成为网络安全体系的新触点。 (5)针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控 ******内部网络安全需求 根据******内部网络的实际情况，结合******的具体要求，******内部网网络安全需求总结如下： 对公司网络按功能类别划分子网，实施有效的隔离，防范来自内部和外部的攻击。 需要对内网重要通信的入口点以及内部网络的重要网段的服务器区配置相应的入侵监测系统（IDS）进行实时监控，确保内部网及服务器的安全。 需对全网进行安全扫描（Scan）评估，对内部网的安全水平有一个掌握了解，对所出现的系统与网络问题进行及进的解决与修补。 针对内部网络用户的IP地址修改监控以及各IP网络流量的统计监控。 针对网络系统进行整体的病毒防护。 部署网络安全的管理服务器、安全管理终端、网络管理终端。 提供DHCP服务，实现IP地址动态分配。 需实现内部安全策略的合理规划。 安全策略建议 我们建议******内部网络系统采用以下安全策略： 建议对外防护为主，内部防护为辅。 采用可以提供集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力。 产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观。 建立层次化的防护体系和管理体系 安全措施 ******内部网络的安全问题是一个系统工程，我们在制定安全网络策略时尽可能地考虑到网络中的各个方面，采用TCP/IP协议进行网络通信的网络，在网络层对计算机通信进行安全保护是业界流行的安全解决办法。通常我们采用以下几项措施： 1、ACL策略控制 在对外路由器上设置过滤规则，形成第一道防护网。使用过滤规则设置功能，作过滤防护，形成******内部网络与专网和Internet之间的第一道防护网； 2、采用VLAN技术。 为了更好的保证******内部网络的安全，我们应按照用户群组和系统资源的访问权限进行安全划分。在各节点局域网内部可根据各种业务需要或安全级别的不同，使用三层交换机划分VLAN，从而对不同VLAN中的数据进行保护。 3、动态分配IP 通过代理服务器上设置DHCP来实现IP地址的动态分配。 4入侵检测系统 我们采取入侵检测系统，对******内部网络进行实施监控和核心业务系统服务器的重点保护，从而降低了网络安全风险，防止入侵者的破坏。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。 5、网