OA办公系统内网络安全设计方案.docx

. .专业.专注. OA办公系统网络安全设计方案 随着业务应用系统的不断扩展，特别是基于 internet 的应用日益丰富，信息安全形式趋于复杂化， 威胁形式更为丰富， 安全事故带来的危害及影响也越来越大。 目前公司已有的防护体系在防护结构和防护手段方面需要针对新情况进行重新评估和设计， 以满足公司网办公系统网络安全设计方案信息化发展的要求， 为公司网办公系统网络安全设计方案的业务应用提供全面的安全保障。 需求分析 通过对公司网办公系统网络安全设计方案网络系统进行实地检查和分析后， 目前存在的问题如下： 托管着辖区所有单位的门户，是教育资源服务器，两台服务器都需要是对外进 行数据交互， 从现有网络拓扑可以看出， 采用目前这种部署方式使防火墙失去作用， 整个网络拓扑存在很大安全隐患，需要对网络拓扑进行优化； 网络的出口采用一台神州数码 DCFW1800S-L防火墙，该设备无 VPN功能，无法 提供远程移动办公功能， 且该设备老化严重， 在性能及可靠性等方面均无法满足公司现有网络应用，急需要更换； 没有上网信息审计措施，不能满足国家对于政府机关接入互联网的要求； 由于黑客、木马、等网络入侵越来越隐蔽，破坏性越来越大，防火墙承担着地 址转换（ NAT）、网络访问控制和网络边界隔离防护等工作，再加上对网络入侵行为的鉴别需要消耗大量的性能， 这将会使防火墙成为网络瓶颈。 同时防火墙对了来自网的攻击无能无力，因此需要部署专业的网络入侵检测系统； 5 5）网络核心采用一台 Dlink DGS1024D交换机，该交换机为非智能型交换机，不支 持 Vlan 划分、端口镜像及网络管理功能，随着网络应用的不断扩展，该型交换机已经 不能满足实际使用的需要； 6）网没有部署专业的网络版杀毒软件， 无法做到统一杀毒、 统一升级、 统一管理， 容易形成管理死角，一旦发生毒害，无法准确定位及查杀。 现有网络拓扑如下： 网络安全改造方案 建设原则 网络安全建设是一个系统工程， 公司网办公系统网络安全设计方案安全体系建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的效益，坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时，应遵循以下原则： 完整性：网络安全建设必须保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。 经济性：根据保护对象的价值、威胁以及存在的风险，制定保护策略，使得系统的 安全和投资达到均衡，避免低价值对象采用高成本的保护，反之亦然。 动态性：随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。 专业性：攻击技术和防御技术是网络安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战， 只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。 可管理性：安全管理定义为在一个包含的服务、应用程序和网络架构的 IT 环境中， 提供高可靠性、私有性和安全。集中的安全管理包括了技术实现和管理两方面。 标准性：遵守国家标准、行业标准以及国际相关的安全标准，是构建系统安全的保障和基础。 可控性：系统安全的任何一个环节都应有很好的可控性，他可以有效的保证系统安全在可以控制的围，而这一点也是安全的核心。这就要求对安全产品本身的安全性和产品的可客户化。 易用性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员 难以胜任，有可能降低系统的安全性。 对于公司网办公系统网络安全设计方案网络安全体系的建立， 我们建议采取以上的原则，先对整个网络进行整体的安全规划， 然后根据实际情况建立一个从防护 -- 检测-- 响应的安全防护体系，提高整个网络的安全性，保证应用系统的安全性。 部署方案 综合考虑公司网办公系统网络安全设计方案网络应用现状及需求， 结合我公司的项目经验，本次方案部署如下： 优化网络拓扑，将网络划分为外网区、 DMZ区、服务器区和网区，外网区就是 互联网； DMZ区为公共服务区， Server1 和 Server2 放入该区； 服务器区存放网服务器； 网区是网 PC。各区之间的数据交互由 ACL（访问控制列表）进行控制； 将神州数码 DCFW1800S-防L 火墙更换为捷普 F3000-160，该产品配置 6*10/100/1000M, 支持基于接口的安全级别自定义， 可满足日后扩展。 特有的流量