XX公司網(wǎng)絡信息系統(tǒng)的安全方案設計書XX公司網(wǎng)絡安全隱患與需求分析網(wǎng)絡現(xiàn)狀公司現(xiàn)有計算機500余臺，通過內(nèi)部網(wǎng)相互連接與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中，各服務部門計算機在同一網(wǎng)段，通過交換機連接。如下圖所示：安全隱患分析應用系統(tǒng)的安全隱患應用系統(tǒng)的安全跟具體的應用有關，它涉及面廣。應用系統(tǒng)的安全是動態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用的安全性也是動態(tài)的。需要對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。主要有文件服務器的安全風險、數(shù)據(jù)庫服務器的安全風險、病毒侵害的安全風險、數(shù)據(jù)信息的安全風險等管理的安全隱患管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設置用戶口令，或者設置的口令過短和過于簡單，導致很容易破解。責任不清，使用相同的用戶名、口令，導致權限管理混亂，信息泄密。用戶權限設置過大、開放不必要的服務端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權訪問，以及把內(nèi)部網(wǎng)絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險。內(nèi)部不滿的員工有的可能造成極大的安全風險。操作系統(tǒng)的安全漏洞計算機操作系統(tǒng)尤其服務器系統(tǒng)是被攻擊的重點，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機器本身而且會消耗大量的網(wǎng)絡資源，致使整個網(wǎng)絡陷入癱瘓。1.2.4病毒侵害網(wǎng)絡是病毒傳播最好、最快的途徑之一。一旦有主機受病毒感染，病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡上的所有主機，可能造成信息泄漏、文件丟失、機器不能正常運行等。需求分析XX公司根據(jù)業(yè)務發(fā)展需求，建設一個小型的企業(yè)網(wǎng)，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Internet的安全性，以及網(wǎng)絡安全等一些因素。因此本企業(yè)的網(wǎng)絡安全構架要求如下：.根據(jù)公司現(xiàn)有的網(wǎng)絡設備組網(wǎng)規(guī)劃；2.保護網(wǎng)絡系統(tǒng)的可用性；3.保護網(wǎng)絡系統(tǒng)服務的連續(xù)性；4.防范網(wǎng)絡資源的非法訪問及非授權訪問；5.防范入侵者的惡意攻擊與破壞；6.保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性；7.防范病毒的侵害；8.實現(xiàn)網(wǎng)絡的安全管理。通過了解XX公司的虛求與現(xiàn)狀，為實現(xiàn)XX網(wǎng)絡公司的網(wǎng)絡安全建設實施網(wǎng)絡系統(tǒng)改造，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要構建良好的環(huán)境確保企業(yè)物理設備的安全劃分VLAN控制內(nèi)網(wǎng)安全安裝防火墻體系安裝防病毒服務器加強企業(yè)對網(wǎng)絡資源的管理如前所述，XX公司信息系統(tǒng)存在較大的風險，網(wǎng)絡信息安全的需求主要體現(xiàn)在如下幾點：(1)XX公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使XX公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要制定健全的管理制度和嚴格管理相結合。保障網(wǎng)絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡便成為了首要任務。(4)信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是XX公司面臨的重要課題。網(wǎng)絡信息安全策略及整體方案信息安全的目標是通過系統(tǒng)及網(wǎng)絡安全配置，應用防火墻及入侵檢測、安全掃描、網(wǎng)絡防病毒等技術，對出入口的信息進行嚴格的控制；對網(wǎng)絡中所有的裝置(如Web服務器、路由器和內(nèi)部網(wǎng)絡等)進行檢測、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風險，建議補救措施，并有效地防止黑客入侵和病毒擴散，監(jiān)控整個網(wǎng)絡的運行狀況。方案綜述XX公司整個網(wǎng)絡安全系統(tǒng)從物理上劃分4個部分，即計算機網(wǎng)絡中心、財務部、業(yè)務部及網(wǎng)絡開發(fā)中心。從而在結構上形成以計算機網(wǎng)絡中心為中心，對其他部分進行統(tǒng)一的網(wǎng)絡規(guī)劃和管理。每個安全區(qū)域有一套相對獨立的網(wǎng)絡安全系統(tǒng)，這些相對獨立的網(wǎng)絡安全系統(tǒng)能被計算機網(wǎng)絡中心所管理。同時每個安全區(qū)域都要進行有效的安全控制，防止安全事件擴散，將事件控制在最小范圍。通過對XX公司現(xiàn)狀的分析與研究以及對當前安全技術的研究分析，我們制定如下企業(yè)信息安全策略。1防火墻實施方案根據(jù)網(wǎng)絡整體安全及保證財務部的安全考慮，采用兩臺ciscopix535防火墻，一防火墻對財務部與企業(yè)內(nèi)網(wǎng)進行隔離，另一防火墻對Internet與企業(yè)內(nèi)網(wǎng)之間進行隔離，其中DNS、郵件等對外服務器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進行隔離。防火墻設置原則如下所示：建立合理有效的安全過濾原則對網(wǎng)絡數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進行審核，嚴格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務必須的HTTP、FTP、SMTP、POP3以及所需的其他服務，防范外部來的拒絕服務攻擊；定期查看防火墻訪問日志；對防火墻的管理員權限嚴格控制。1.2Internet連接與備份方案防火墻經(jīng)外網(wǎng)交換機接入Internet。此區(qū)域當前存在一定的安全隱患：首

先，防火墻作為企業(yè)接入Internet的出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機連接鏈路出現(xiàn)問題，都會造成全臺與Internet失去連接；其次，當前的防火墻無法對進入網(wǎng)絡的病毒進行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網(wǎng)關與核心交換機。防病毒網(wǎng)關可對進入網(wǎng)絡的流量進行有效過濾，使病毒數(shù)據(jù)包無法進入網(wǎng)絡，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機上，并且采用兩臺防火墻進行熱備配置，分別連接兩臺核心交換機。設備及鏈路都進行了冗余配置，提高了網(wǎng)絡的健壯性。根據(jù)改企業(yè)未來的應用需求，可考慮網(wǎng)絡改造后，將Internet連接帶寬升級為100M。入侵檢測方案在核心交換機監(jiān)控端口部署CA入侵檢測系統(tǒng)(eTrustIntrusionDetection),并在不同網(wǎng)段(本地或遠程)上安裝由中央工作站控制的網(wǎng)絡入侵檢測代理，對網(wǎng)絡入侵進行檢測和響應。防潴毒過濾網(wǎng)關Cloud-FT Hub-PTInterneit HubDpi；t536防火塔入顯檢則系統(tǒng) R防潴毒過濾網(wǎng)關Cloud-FT Hub-PTInterneit HubDpi；t536防火塔入顯檢則系統(tǒng) R金、RepeatsriJ fLaptop-PT /正》535防火墻IHauler-PT~Router?S<itll-PTJ'JPC-PT pr-PTFCI:財務部pci為E□；：?；、uterO7 \pi：：E35防火啃嚴》 r>=^znIDutAr-r'T Routi-PT 1Server-FTRouSr8 P.aut|M Email1 \ Server-PT;計篁機碉中心\ "X二好 ?如— —癡1sI?一］找，n文爽機心文&河之Ser,-tr-^TierV5--F1Pt：? Pl-^ r"'I-5業(yè)篤卻 網(wǎng)絡開面中心3.1.4VPN系統(tǒng)考慮到改公司和其子公司與其它兄弟公司的通信，通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。Cloud-PTVInternet、,Huh-PT

HubDM癡E防火箱20LiteroR'3Ut^-PTrSoud-Pl兄弟公PI入侵檢則耒藐Repeater-PTIRrpeatcrO計篁機班中心pTRou,RoiJCloud-FTSerer-PTEmailServer-PT□MSCloud-PTVInternet、,Huh-PT

HubDM癡E防火箱20LiteroR'3Ut^-PTrSoud-Pl兄弟公PI入侵檢則耒藐Repeater-PTIRrpeatcrO計篁機班中心pTRou,RoiJCloud-FTSerer-PTEmailServer-PT□MSLaptop-PT

移劭辦之fi6a-24PS

彼心空橫加Pr門茨y?"hrp近535電火感B^uter-PT/RautsrtPC-PTPC-PTP-J時密■印PCIitlh-PTSers'er-PTScrver-PTWeb356fl-24PS小心支接機2P--PTP"---p"4笛二酸s開加中hF---PTP-P二二e"業(yè)箔毛網(wǎng)絡安全漏洞企業(yè)網(wǎng)絡擁有WWW、郵件、企業(yè)網(wǎng)絡擁有WWW、郵件、域、視頻等服務器，還有重要的數(shù)據(jù)庫服務器，對于管理人員來說，無法確切了解和解決每個服務器系統(tǒng)和整個網(wǎng)絡的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)內(nèi)存在的弱點和漏洞，評估安全風險，建議補救措施，達到增強網(wǎng)絡安全性的目的。防病毒方案采用Symantec網(wǎng)絡防病毒軟件，建立企業(yè)整體防病毒體系，對網(wǎng)絡內(nèi)的服務器和所有計算機設備采取全面病毒防護。并且需要在網(wǎng)絡中心設置病毒防護管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計算機創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務器，對整個域進行防病毒管理，制定統(tǒng)一的防毒策略，設定域掃描作業(yè)，安排系統(tǒng)自動查、殺病毒?？蓪崿F(xiàn)對病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實現(xiàn)對所有防毒軟件的集中管理、集中設置、集中維護；可集中反映整個系統(tǒng)內(nèi)的病毒入侵情況，設置各種消息通報方式，對病毒的爆發(fā)進行報警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對系統(tǒng)情況進行匯總和分析。根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時下載系統(tǒng)補丁和殺毒工具，采取相關措施，防范于未然。訪問控制管理實施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。重要文件及內(nèi)部資料管理定期對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進而蒙受重大損失?？蛇x擇功能完善、使用靈活的備份軟件配合各種災難恢復軟件，全面地保護數(shù)據(jù)的安全。系統(tǒng)軟件、應用軟件及信息數(shù)據(jù)要實施保密，并自覺對文件進行分級管理，注意對系統(tǒng)文件、重要的可執(zhí)行文件進行寫保護。對于重要的服務器，利用RAID5等數(shù)據(jù)存儲技術加強數(shù)據(jù)備份和恢復措施；對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。網(wǎng)絡信息管理策略計算機網(wǎng)絡中心設計即公司網(wǎng)絡安全管理策略的建設如下：(1)身份認證中心建設。身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用/r