计算机网络安全设计方案.docx

一、 客户背景 集团内联网主要以总部局域网为核心，接受广域网方式与外地子公司联网。集团广域网接受 MPLS-VPN 技术，用来为各个分公司供应骨干网络平台和 VPN 接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。 二、平安威逼 某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部接受无纸化办公，OA 系统成熟。每个局域网连接着该全部部门，全部的数据都从局域网中传递。同时， 各分公司接受 VPN 技术连接公司总部。该单位为了便利，将相当一部分业务放在了对外开放的网站上，网站也成为了既是对外形象窗口又是内部办公窗口。 由于网络设计部署上的缺陷，该单位局域网在建成后就不断消灭网络拥堵、网速特殊慢的情 况，同时有些个别机器上的杀毒软件频频消灭病毒报警，网络经常瘫痪，每次时间都持续几格外钟，网管简直成了救火队员，忙着清除病毒，重装系统。对外 WEB 网站同样也遭到黑客攻击，网页遭到非法篡改，有些网页甚至成了传播不良信息的平台，不仅影响到网站的正常运行，而且还对政府形象也造成不良影响。（平安威逼依据拓扑图分析）从网络平安威逼看， 集团网络的威逼主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及平安管理漏洞等信息平安现状：经过分析发觉该公司信息平安基本上是空白，主要有以下问 题： 公司没有制定信息平安政策，信息管理不健全。 公司在建内网时与 internet 的连接没有防火墙。 内部网络（同一城市的各分公司）之间没有任何平安保障为了让网络正常运行。 依据我国《信息平安等级爱护管理方法》的信息平安要求，近期公司打算对该网络加强平安防护，解决目前网络消灭的平安问题。 三、平安需求 从平安性和有用性角度考虑，平安需求主要包括以下几个方面: 1、平安管理询问 平安建设应当遵照 7 分管理 3 分技术的原则，通过本次平安项目，可以发觉集团现有平安问题，并且帮忙建立起完善的平安管理和平安组织体系。 2、集团骨干网络边界平安 主要考虑骨干网络中 Internet 出口处的平安，以及移动用户、远程拨号访问用户的安 全。 3、集团骨干网络服务器平安 主要考虑骨干网络中网关服务器和集团内部的服务器，包括 OA、财务、人事、内部 WEB 等内部信息系统服务器区和平安管理服务器区的平安。 4、集团内联网统一的病毒防护 主要考虑集团内联网中，包括总公司在内的全部公司的病毒防护。 5、统一的增加口令认证系统 由于系统管理员需要管理大量的主机和网络设备，如何确保口令平安称为一个重要的问 题。 6、统一的平安管理平台 通过在集团内联网部署统一的平安管理平台，实现集团总部对全网平安状况的集中监测、平安策略的统一配置管理、统计分析各类平安大事、以及处理各种平安突发大事。 7、专业平安服务 过专业平安服务建立全面的平安策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的平安风险状况，在必要的状况下，进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急大事状况下的处理力量，降低平安风险。 四、方案设计 骨干网边界平安 集团骨干网共有一个 Internet 出口，位置在总部，在 Internet 出口处部署 LinkTrust Cyberwall-200F/006 防火墙一台。 在 Internet 出口处部署一台LinkTrust Network Defender 领信网络入侵检测系统，通过 交换机端口镜像的方式，将进出 Internet 的流量镜像到入侵检测的监听端口， LinkTrust Network Defender 可以实时监控网络中的特别流量，防止恶意入侵。 在各个分公司中添加一个 DMZ 区，保证各公司的信息平安，内部网络（同一城市的各分公司）之间没有任何平安保障 具体部署如下图所示： 骨干网服务器平安 集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括 OA、财务、人事、内部 WEB 等，以及专为此次项目配置的、用于平安产品管理的服务器的平安。主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息 系统服务器区和平安管理服务器区在防火墙上实现规律隔离。还考虑到在服务器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。 漏洞扫描 了解自身平安状况，目前面临的平安威逼，存在的平安隐患，以及定期的了解存在那些平安漏洞，新消灭的平安问题等，都要求信息系统自身和用户作好平安评估。平安评估主要分成网络平安评估、主机平安评估和数据库平安评估三个层面。 内联网病毒防护 病毒防范是网络平安的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络平安的病毒防护方面应当