企业网络安全解决方案.docx

第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页第 PAGE \* Arabic 1 页 企业网络安全解决方案 5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对 网络 、系统、 应用 、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图 2 所示。图 2 网络与信息安全防范体系模型 信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析 ，对现有的信息安全产品和解决方案的调查，通过与 计算 机专业公司接触，初步确定了本次安全项目的 内容 。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。5.1 网络安全基础设施 证书认证系统无论是 企业 内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。 目前 ，解决这些安全 问题 的最佳方案当数应用 PKI/CA 数字认证服务。PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥 理论 和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的 PKI/CA 数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标： 身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。 数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。 数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。 不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为 法律 证据。5.2 边界防护和网络的隔离 VPN(Virtual Private Network)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如 Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署 VPN 系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程 LAN 的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳 定地安全保护。 集中的安全策略管理可以对整个 VPN 网络的安全策略进行集中管理和配置。5.3 安全 电子 邮件 电子邮件是 Internet 上出现最早的应用之一。随着网络的快速 发展 ，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持的 S/MIME( Secure Multipurpose Internet Mail Extensions )，它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组 ( 根证书 ) 之间相互认证，整个信任关系基本是树状的。其次， S/MIME 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近 80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入 OFFICE 系统，用户可以在编辑文档