海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系

網(wǎng)

絡(luò)

安課

全程

設(shè)

計

報

告

題目XX網(wǎng)絡(luò)安全方案的設(shè)計

學(xué)號____________

班級網(wǎng)絡(luò)工程06T班

姓名王某某

指導(dǎo)老師王天明____________

設(shè)計企業(yè)網(wǎng)絡(luò)安全方案

摘要：在這個信息技術(shù)飛速發(fā)展的時代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識

到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)行平臺來極

大地提高企業(yè)的關(guān)鍵競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。

經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)

的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不停擴(kuò)大，網(wǎng)絡(luò)構(gòu)造日益復(fù)雜。計算

機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的|正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的規(guī)定。

本文重要通過安全體系建設(shè)原則、實例化的企業(yè)整體網(wǎng)絡(luò)安全方案以

及該方案的組織和實行等方面的論述，為企業(yè)提供一種可靠地、完整

的方案。

關(guān)鍵詞：信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

伴隨國內(nèi)計算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及.企業(yè)經(jīng)營活動的多種

業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來H勺安全問題也在困擾著顧

客。Internet所具有的開放性、國際性和自由性在增長應(yīng)用自由度的同步，對安

全提出了更高日勺規(guī)定。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處在癱瘓狀態(tài)，將

會給企業(yè)、社會、乃至整個國家?guī)砭薮笕丈捉?jīng)濟(jì)損失。應(yīng)此怎樣使企業(yè)信息網(wǎng)絡(luò)

系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮日勺重要事情之

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，重要有WEB.E-mail、OA.MIS、財務(wù)系統(tǒng)、人事

系統(tǒng)等。并且伴隨企業(yè)的發(fā)展，網(wǎng)絡(luò)體系構(gòu)造也會變得越來越復(fù)雜，應(yīng)用系統(tǒng)也

會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看，一般包括內(nèi)部顧客，也有外部顧

客，以及內(nèi)外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面口勺安全問題:

（1internetH勺安全性：伴隨互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來,

計算機(jī)病毒傳播、蠕蟲襲擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最

為廣泛的安全威朧。對于企業(yè)級顧客，每當(dāng)遭遇這些威脅時，往往會導(dǎo)致數(shù)

據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)

濟(jì)損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上日勺員工運(yùn)

用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不合法使用，減少了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消

耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)

機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。因此企業(yè)內(nèi)部口勺網(wǎng)絡(luò)安全同樣需要重視,

存在的安全隱患重要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)襲擊、計算機(jī)病

毒傳播、缺乏完整H勺安全方略、缺乏監(jiān)控和防備技術(shù)手段、缺乏有效的手段來評

估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)日勺安全性、缺乏自動化的集中數(shù)據(jù)備份及劫難恢第措施

等。

（3）內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：伴隨企業(yè)的發(fā)展壯大及移動辦

公口勺普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這樣的新型互動

運(yùn)行模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全，既要保證

信息H勺及時共享，又要防止機(jī)密日勺泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮H勺

問題。各地機(jī)構(gòu)與總部之間日勺網(wǎng)絡(luò)連接安全直接影響企業(yè)日勺高效運(yùn)作。

機(jī)應(yīng)用系統(tǒng)日勺正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的規(guī)定。

（4）計算機(jī)應(yīng)用系統(tǒng)波及越來越多日勺企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中

在企業(yè)總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計算機(jī)應(yīng)用系統(tǒng)的J顧客管理和身份日勺

認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)H勺機(jī)密性、完整性和可用

性。

由以上分析可知該企業(yè)信息系統(tǒng)存在較大日勺風(fēng)險，信息安全日勺需求重要體目

前如下幾點(diǎn)：

（1）某企業(yè)信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)

用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)

時覆蓋面，增長新日勺安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模日勺擴(kuò)大和復(fù)雜性的增長，以及新日勺襲擊手段日勺不停出現(xiàn)，使某

企業(yè)計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有日勺產(chǎn)品進(jìn)行升級或重新布署。

（3）信息安全工作日益增強(qiáng)日勺重要性和復(fù)雜性對安全管理提出了更高日勺規(guī)定,

為此要加緊規(guī)章制度和技術(shù)規(guī)范日勺建設(shè)，使安全防備的各項工作都可以有序、規(guī)

范地進(jìn)行。

（4）信息安全防備是一種動態(tài)循環(huán)的過程，怎樣運(yùn)用專業(yè)企業(yè)的安全服務(wù)，做好

事前、事中和事后的各項防備工作，應(yīng)對不停出現(xiàn)口勺多種安全威脅，也是某企業(yè)

面臨的重要課題。

三、設(shè)計原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一原則、分步實行”日勺原則

進(jìn)行，防止反復(fù)投入、反復(fù)建設(shè)，充足考慮整體和局部日勺利益。詳細(xì)如下：

1.原則化原則

2.系統(tǒng)化原則

3.規(guī)避風(fēng)險原則

4.保護(hù)投資原則

5.多重保護(hù)原則

6.分步實行原則

四、企業(yè)網(wǎng)絡(luò)安全處理方案的思緒

L安全系統(tǒng)架構(gòu)

安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，由于安全架構(gòu)是安全方案設(shè)

計和分析的基礎(chǔ)。

伴隨針對應(yīng)用層日勺襲擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層如下的安全處理

方案己經(jīng)局限性以應(yīng)付來自應(yīng)用層的襲擊了。舉個簡樸日勺例子，那些攜帶著后門

程序的蠕蟲病毒是簡樸H勺防火墻VPN安全體系所無法對付H勺。因此我們提議企

業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅規(guī)定在網(wǎng)絡(luò)邊界

設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層襲擊的防護(hù)措施,

將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種積極防護(hù)可將襲擊內(nèi)容完全阻擋在企業(yè)內(nèi)

部網(wǎng)之外。

2.安全防護(hù)體系

信息安全防備應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)H勺各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)

做全面的防備。信息安全防備體系模型顯示安全防備是一種動態(tài)H勺過程，事前、事中和事后

的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防備活動的一直。如圖二所示:

圖闡明圖二網(wǎng)絡(luò)與信息安全防備體系模型

3.企業(yè)網(wǎng)絡(luò)安全構(gòu)造圖

通過以上分析可得總體安全構(gòu)造應(yīng)實現(xiàn)大體如圖三所示的功能:

圖闡明圖三總體安全構(gòu)造圖

五、整體網(wǎng)絡(luò)安全方案

L網(wǎng)絡(luò)安全認(rèn)證平臺

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的I信息網(wǎng)絡(luò)還是外部的I網(wǎng)絡(luò)平臺，都必須建

立在一種安全可信的網(wǎng)絡(luò)之上。目前，處理這些安全問題時最佳方案當(dāng)數(shù)應(yīng)用

PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是運(yùn)用公開

密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上處理了

網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠H勺安全保

障，向顧客提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建

立一種完善口勺網(wǎng)絡(luò)安全認(rèn)證平臺，可以通過這個安全平臺實現(xiàn)如下目的：

1)身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份，規(guī)定通信雙方的身

份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

2)數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密，保證信息不被泄露,

在此體系中運(yùn)用數(shù)字證書加密來完畢。

3)數(shù)據(jù)的完整性(Integrity)：保證通信信息不被破壞(截斷或篡改)，通過哈

希函數(shù)和數(shù)字簽名來完畢。

4)不可抵賴性(Non?Repudiation):防止通信對方否認(rèn)自己的行為，保證通信方

對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完畢，數(shù)字簽名可作為法律證據(jù)。

2.VPN系統(tǒng)

VPN(VirtualPrivaleNetwork)虛擬專用網(wǎng)，是將物理分布在不一樣地點(diǎn)日勺網(wǎng)

絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成日勺邏輯上的虛擬專用網(wǎng)。和老式日勺物理方

式相比，具有減少成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳播的高安全性。

通過安裝布署VPN系統(tǒng)，可認(rèn)為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全

的處理方案。它運(yùn)用開放性網(wǎng)絡(luò)作為信息傳播的媒體，通過加密、認(rèn)證、封裝以

及密鑰互換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的顧客可以安全的訪問企業(yè)

的私有數(shù)據(jù)，用以替代專線方式，實現(xiàn)移動顧客、遠(yuǎn)程LAN的安全連接。

集中的安全方略管理可以對整個VPN網(wǎng)絡(luò)的安全方略進(jìn)行集中管理和配

置。

3.網(wǎng)絡(luò)防火.

采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對

內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)日勺防火墻設(shè)備進(jìn)嚀防護(hù)。其網(wǎng)絡(luò)構(gòu)造一般如下：

□

圖闡明圖四防火墻

此外在實際中可以增長入侵檢測系統(tǒng)，作為防火墻日勺功能互補(bǔ)，提供對監(jiān)控網(wǎng)

段的襲擊的實時報警和積極響應(yīng)等功能。

4.病毒防護(hù)系統(tǒng)

應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用方略和管理方略，增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這

里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一種專門針對

網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)日勺網(wǎng)絡(luò)防病毒軟件，通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)

客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系歐J統(tǒng)一、集中管理,

實時掌握、理解目前網(wǎng)絡(luò)內(nèi)計算機(jī)病毒事件，并實現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計算機(jī)遠(yuǎn)程

反病毒方略設(shè)置和安全操作。

5.對服務(wù)器的保護(hù)

在一種企業(yè)中對服務(wù)器H勺保護(hù)也是至關(guān)重要H勺。在這里我們選擇電子郵件為

例來闡明對服務(wù)器保護(hù)H勺重要性。

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。伴隨網(wǎng)絡(luò)的迅速發(fā)展，電子郵

件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳

播。然而由于網(wǎng)絡(luò)H勺開放性和郵件協(xié)議自身的缺陷，電子郵件存在著很大的安全

隱患。

目前廣泛應(yīng)用日勺電子郵件客戶端軟件如OUTLOOK支持S/MIME（Secure

MultipurposeInternetMailExtensions）,它是從PEM（PrivacyEnhancedMail）和

MIME（Internet郵件的附件原則）發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次

構(gòu)造口勺證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個人的I證書由上一級日勺組織負(fù)責(zé)認(rèn)

證，而最上一級的組織（根證書）之間互相認(rèn)證，整個信任關(guān)系基本是樹狀

日勺。另一方面,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信

件內(nèi)容H勺安全性。下圖五是郵件系統(tǒng)保護(hù)的簡圖（透明方式）：

圖闡明圖五郵件系統(tǒng)保護(hù)

6.關(guān)鍵網(wǎng)段保護(hù)

企業(yè)中有時網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對外應(yīng)

是保密時。因此這些網(wǎng)段我們也應(yīng)予以尤其的防護(hù)。簡圖如下圖六所

Zj\o

內(nèi)部網(wǎng)絡(luò)

圖闡明圖六關(guān)鍵網(wǎng)段的防護(hù)

7.日志分析和記錄報表能力

對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)日勺日志記錄，這些日志記錄包括事件名稱、

描述和對應(yīng)的主機(jī)IP地址等有關(guān)信息。此外，報表系統(tǒng)還應(yīng)自動生成多種形式

的襲擊記錄報表，形式包括日報表，月報表，年報表等，通過來源分析，目的

分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生

的多種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。

8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

除對外的防護(hù)外，對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)當(dāng)進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，

過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，制止不合法文獻(xiàn)時下載。企業(yè)內(nèi)

部顧客上網(wǎng)信息識別度應(yīng)到達(dá)每一種URL祈求和每一種URL祈求時回應(yīng)。通

過對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，

同步防止企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機(jī)的管理和監(jiān)控是減少

和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文獻(xiàn)加密應(yīng)用和安全登錄以及對應(yīng)的智能卡管

理工具集成到一起，形成一種整體，是針對客戶端安全的整體處理方案。分別有

如下幾種系統(tǒng)：

1）電子簽章系統(tǒng)

運(yùn)用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可

以無縫嵌入OFFICE系統(tǒng)，顧客可以在編輯文檔后對文檔進(jìn)行簽章，或是打開

文檔時驗證文檔的完整性和查看文檔的作者。

2）安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定

智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)。顧客假如需要離開計算機(jī)，只需拔

出智能密碼鑰匙，即可鎖定計算機(jī)。

3）文獻(xiàn)加密系統(tǒng)

文獻(xiàn)加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)口勺安全存儲。由于密鑰保留在智能密碼鑰匙中,

加密算法采用國際原則安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證

了存儲數(shù)據(jù)口勺安全性。

則內(nèi)網(wǎng)綜合保護(hù)簡圖如下圖七所示：

內(nèi)部網(wǎng)絡(luò)

圖闡明圖七內(nèi)網(wǎng)綜合保護(hù)

9.移動顧客管理系統(tǒng)

對于企業(yè)內(nèi)部的筆記本電腦在外工作，當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制，保

證筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。

10.身份認(rèn)證的處理方案

身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于

PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種以便、安全的身份認(rèn)證

技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地

處理了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬

件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲顧客的密鑰或數(shù)字證

書，運(yùn)用USBKey內(nèi)置的密碼算法實現(xiàn)對顧客身份的認(rèn)證。

基于PKI的USBKey的處理方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建

顧客集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通

過一定的層次關(guān)系和邏輯聯(lián)絡(luò)構(gòu)成的綜合性安全技術(shù)體系，從而實現(xiàn)上述身份

證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體規(guī)

定。

六、方