企業(yè)網(wǎng)絡(luò)安全方案設(shè)計

班級：12級財務(wù)管理審計本二班

學(xué)號：

設(shè)計人：王建紅

目錄

一、網(wǎng)絡(luò)安全概述

1.網(wǎng)絡(luò)安全的概念

2.網(wǎng)絡(luò)安全模型

二、網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析

1.重要風(fēng)險

2.網(wǎng)絡(luò)安全系統(tǒng)的脆弱性

3.網(wǎng)絡(luò)襲擊手段

三、設(shè)計原則

1.網(wǎng)絡(luò)信息安全的木桶原則

2.網(wǎng)絡(luò)信息安全的整體性原則

3.安全性評價與平衡原則

4.原則化與一致性原則

5.技術(shù)與管理相結(jié)合原則

6.統(tǒng)籌規(guī)劃，分步實行原則

7.等級性原則

8.動態(tài)發(fā)展原則

9.易操作性原則

四、網(wǎng)絡(luò)安全設(shè)計方案

1.網(wǎng)絡(luò)拓撲構(gòu)造圖

2.設(shè)備選型

3.安全系統(tǒng)架溝

4.企業(yè)網(wǎng)絡(luò)安全構(gòu)造圖

五、安全產(chǎn)品

1.網(wǎng)絡(luò)安全認證平臺

2.VPN系統(tǒng)

3.網(wǎng)絡(luò)防火墻

4.病毒防護系統(tǒng)

5.對服務(wù)器的保護

6.關(guān)鍵網(wǎng)段保批

7.日志分析和記錄報表能力

8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

9.移動顧客管理系統(tǒng)

10.身份認證的處理方案

六、風(fēng)險評估

網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，但凡波及

到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的有關(guān)技術(shù)和理論都

是網(wǎng)絡(luò)安全的研究領(lǐng)域。

從網(wǎng)絡(luò)運行和管理者角度說，他們但愿對當?shù)鼐W(wǎng)絡(luò)信息的訪問、讀寫等操

作受到保護和控制，防止出現(xiàn)病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和

非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的襲擊。

從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不是健康的內(nèi)容，會對社會的穩(wěn)

定和人類的發(fā)展導(dǎo)致阻礙，必須對其進行控制。

2.網(wǎng)絡(luò)安全模型

信息安全防備應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系

統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防備。信息安全防備體系模型顯示安全防備是一種動態(tài)

的過程，事前、事中和事后的技術(shù)手段應(yīng)當完備，安全管理應(yīng)貫穿安全防備活動

的一直。如圖所示：

網(wǎng)絡(luò)與信息安全防備體系模型

二、網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析

1.重要風(fēng)險

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，重要有WEB、E-mail.OA、MIS.財務(wù)系統(tǒng)、人

事系統(tǒng)等。并且伴隨企業(yè)的發(fā)展，網(wǎng)絡(luò)體系構(gòu)造也會變得越來越復(fù)雜，應(yīng)用系統(tǒng)

也會越來越多。但從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看，一般包括內(nèi)部顧客，也有外部

顧客，以及內(nèi)外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個方面的安全問

題：

(1)Internet的安全性：伴隨互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年

來，計算機病毒傳播、蠕蟲襲擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最

為廣泛的安全威脅。對于企業(yè)級顧客，每當遭遇這些威脅時，往往會導(dǎo)致數(shù)據(jù)破

壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也

很大。

(2)企業(yè)內(nèi)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工

運用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不合法使用，減少了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、

消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企

'業(yè)機密，從而導(dǎo)致企、也數(shù)千萬美金的損失。因此企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重

視，存在的安全隱患重要有未授權(quán)訪問、破壞數(shù)據(jù)完整性、拒絕服務(wù)襲擊、計算

機病毒傳播、缺乏完整的安全方略、缺乏監(jiān)控和防備技術(shù)手段、缺乏有效的手段

來評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及劫難恢復(fù)措

施等。

（3）內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：伴隨企業(yè)的發(fā)展壯大及移動

辦公的普及，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互

動運行模式。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保

證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的

問題。分部與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作。

2.網(wǎng)絡(luò)安全系統(tǒng)的脆弱性

（1）操作系統(tǒng)的安全脆弱性：操作系統(tǒng)不安全，是計算機系統(tǒng)不安全的主

線原因。

（2）網(wǎng)絡(luò)安全的脆弱性：使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的FTP、E-mail.

RPC和NFS都包括許多不安全的原因。

計算機硬件的故障：由于生產(chǎn)工藝和制造商的原因，計算機硬件系統(tǒng)

自身有故障。

軟件自身的“后門”：軟件自身的“后門”是軟件企業(yè)為了以便自己進

入而在開發(fā)時預(yù)留設(shè)置的，首先為軟件調(diào)試深入開發(fā)或遠程維護提供了以便，但

同步也為非法入侵提供了通道，入侵者可以運用“后門”多次進入系統(tǒng)。常見的

后門有修改配置文獻、建立系統(tǒng)木馬程序和修改系統(tǒng)內(nèi)核等。

軟件的漏洞：軟件中不可防止的漏洞和缺陷，成了黑客襲擊的首選目

的，經(jīng)典的如操作系統(tǒng)中的BUGS。

（3）數(shù)據(jù)庫管理系統(tǒng)的安全脆弱性：大量信息存儲在數(shù)據(jù)庫中，然而對?這

些數(shù)據(jù)庫系統(tǒng)在安全面的考慮卻很少。數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安

全相配套，例如，DBMS的安全級別是B2級，操作系統(tǒng)的安全級別也應(yīng)是B2級,

但實踐中往往不是這樣。

（4）防火墻的局限性：防火墻仍然存在著某些不能防備的威脅，例如不能

防備不通過防火墻的襲擊，及很難防備網(wǎng)絡(luò)內(nèi)部襲擊及病毒威脅等。

（5）天災(zāi)人禍

（6）其他方面的原因：如計算機領(lǐng)域中任何重大的技術(shù)進步，都對安全性

構(gòu)成新的威脅等。

3.網(wǎng)絡(luò)襲擊手段

一般認為，目前走網(wǎng)絡(luò)的襲擊手段重要表目前：

非授權(quán)訪問：沒有預(yù)先通過同意，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪

問，如故意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或私自

擴大權(quán)限，越權(quán)訪問信息。

信息泄漏或丟失：指敏感數(shù)據(jù)故意或無意中被泄漏出去或丟失，一般包括信

息在傳播中或者存儲介質(zhì)中丟失、泄漏，或通過建立隱蔽隧道竊取敏感信息等。

破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重

發(fā)某些重要信息，以獲得有益于襲擊者的響應(yīng)：惡意修改數(shù)據(jù)，以干擾顧客的正

常使用。

拒絕服務(wù)襲擊：它不停對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，變化其正常的作業(yè)流程，

執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常顧客的使用，甚至使合法頑客

被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到對應(yīng)的服務(wù)。

運用網(wǎng)絡(luò)傳播病毒:通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng),

并且顧客很難防備。

三、設(shè)計原則

根據(jù)防備安全襲擊的安全需求、需要到達的安全目的、對應(yīng)安全機制所需的

安全服務(wù)等原因,參照SSE-CMM（"系統(tǒng)安全工程能力成熟模型”）和IS017799

（信息安全管理原則）等國際原則，綜合考慮可實行性、可管理性、可擴展性、

綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防備體系在整體設(shè)計過程中應(yīng)遵照如

下9項原則：

1.網(wǎng)絡(luò)信息安全的木桶原則

網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進行保護?！澳就暗淖畲?/p>

容積取決于最短的一塊木板二網(wǎng)絡(luò)信息系統(tǒng)是一種復(fù)雜的計算機系統(tǒng)，它自身

在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多顧客

網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護防不勝防。襲擊者使用的

“最易滲透原則”，必然在系統(tǒng)中最微弱的地方進行襲擊。因此，充足、全面、

完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬襲擊）是

設(shè)計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務(wù)設(shè)計的首要目的是防止

最常用的襲擊手段，主線目的是提高整個系統(tǒng)的"安全最低點〃的安全性能。

2.網(wǎng)絡(luò)信息安全的整體性原則

規(guī)定在網(wǎng)絡(luò)發(fā)生被襲擊、破壞事件的狀況下，必須盡量地迅速恢復(fù)網(wǎng)絡(luò)信息

中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)當包括安全防護機制、安全檢測

機制和安全恢復(fù)機制。安全防護機制是根據(jù)詳細系統(tǒng)存在的多種安全威脅采用的

對應(yīng)的防護措施，防止非法襲擊的進行。安全檢測機制是檢測系統(tǒng)的運行狀況，

及時發(fā)現(xiàn)和制止對系統(tǒng)進行的多種襲擊。安全恢復(fù)機制是在安全防護機制失效的

狀況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少供應(yīng)的破壞程度。

3.安全性評價與平衡原則

對任何網(wǎng)絡(luò)，絕對安全難以到達，也不一定是必要的，因此需要建立合理的

實用安全性與顧客需求評價與平衡體系。安全體系設(shè)計要對的處理需求、風(fēng)險與

代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息與否安全,

沒有絕對的評判原則和衡量指標，只能決定于系統(tǒng)的顧客需求和詳細的應(yīng)用環(huán)

境，詳細取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。

4.原則化與一致性原則

系統(tǒng)是一種龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵照一系列的原則，這

樣才能保證各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。

5.技術(shù)與管理相結(jié)合原則

安全體系是一種復(fù)雜的系統(tǒng)工程，波及人、技術(shù)、操作等要素，單靠技術(shù)或

單靠管理都不也許實現(xiàn)。因此，必須將多種安全技術(shù)與運行管理機制、人員思想

教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

6.統(tǒng)籌規(guī)劃，分步實行原則

由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時間的變化，襲擊手段的

進步，安全防護不也許一步到位，可在一種比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的

實際需要，先建立基本的安全體系，保證基本的、必須的安全性。伴隨此后伴隨

網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增長，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會不

停增長，調(diào)整或增強安全防護力度，保證整個網(wǎng)絡(luò)最主線的安全需求.

7.等級性原則

等級性原則是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不一

樣等級的，包括對信息保密程度分級，對顧客操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分

級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)構(gòu)造的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層

等），從而針對不一樣級別的安全對象，提供全面、可選的安全算法和安全體制,

以滿足網(wǎng)絡(luò)中不一樣層次的多種實際需求。

8.動態(tài)發(fā)展原則

要根據(jù)網(wǎng)絡(luò)安全的變化不停調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)

絡(luò)安全需求。

9.易操作性原則

首先，安全措施需要人為去完畢，假如措施過于復(fù)雜，對人的規(guī)定過高，自

身就減少了安全性。另一方面，措施的采用不能影響系統(tǒng)的正常運行。

四、網(wǎng)絡(luò)安全設(shè)計方案

1.網(wǎng)絡(luò)拓撲構(gòu)造圖

MainVPNtunnel????

StandbyVPNtunnel：Partners

LANLine

—WANLineBranch

■

Internet?

Mobileoffice

users

UBiGate3026?UBiGate3026OfUBiGate2016

iircwall/IDS/1PS

Exterior

hServer

OfficeInside

Server

Headquarters

2.設(shè)備選型

老式的組網(wǎng)已經(jīng)不能滿足目前網(wǎng)絡(luò)應(yīng)用的變叱了，在組網(wǎng)的初期必須考慮到

安全和網(wǎng)絡(luò)的問題，考慮到這個問題我們就不能不考慮免疫網(wǎng)絡(luò)的作用以及前景

怎樣。

免疫網(wǎng)絡(luò)一一免疫網(wǎng)絡(luò)是企業(yè)信息網(wǎng)絡(luò)的一種安全形式。“免疫”是生物

醫(yī)學(xué)的名詞，它指的是人體所具有的“生理防御、自身穩(wěn)定與免疫監(jiān)視”的特定

功能。

就像我們耳熟能詳?shù)碾娔X病毒同樣，在電腦行業(yè)，“病毒”就是對醫(yī)學(xué)名詞

形象的借用。同樣，“免疫”也被借用于闡明計算機網(wǎng)絡(luò)的一種能力和作用。免

疫就是讓企業(yè)的內(nèi)部網(wǎng)絡(luò)也像人體同樣具有“防御、穩(wěn)定、監(jiān)視”的功能。這樣

的網(wǎng)絡(luò)就稱之為免疫網(wǎng)絡(luò)。

免疫網(wǎng)絡(luò)的重要理念是自主防御和管理，它通過源頭克制、群防群控、全網(wǎng)

聯(lián)動使網(wǎng)絡(luò)內(nèi)每一種節(jié)點都具有安全功能，在面臨襲擊時調(diào)多種安全資源進行應(yīng)

對。

它具有安全和網(wǎng)絡(luò)功能融合、全網(wǎng)設(shè)備聯(lián)動、可信接入、深度防御和控制、

精細帶寬管理、業(yè)務(wù)感知、全網(wǎng)監(jiān)測評估等重要恃性。

1.安全和網(wǎng)絡(luò)功能的斛合一-

①網(wǎng)絡(luò)架構(gòu)的融合，重要包括網(wǎng)關(guān)和終端的融合

網(wǎng)關(guān)方面：ARP先天免疫原理一NAT表中添加源\1AC地址

濾窗防火墻一封包檢測，IP分片檢查，UDP洪水

終端方面：驅(qū)動部分一免疫標識

②網(wǎng)絡(luò)協(xié)議的融合一行為特性和網(wǎng)絡(luò)行為的融合

2.全網(wǎng)設(shè)備的哂一a:驅(qū)動與運行中心的聯(lián)動（分收方略）

b:驅(qū)動與驅(qū)動的聯(lián)動（IP地址沖突）

c：網(wǎng)關(guān)和驅(qū)動的聯(lián)動（群防群控）

d:運行中心和網(wǎng)關(guān)的聯(lián)動（外網(wǎng)襲擊，上下線）

3.可信接入|—1）MAC地址的可信（類似于DNA）,生物身份

2）傳播的可信（免疫標識）

4.深度防御和控制卜1）深入到每個終端的網(wǎng)卡

2）深入到協(xié)議的最低層

3）深入到二級路由，多級路由器下

5.精細帶寬演1）身份精細一IP/MAC的精確

2）位置精確一終端驅(qū)動

3）途徑細分（特殊的IP）

4）流量去向（內(nèi)，公網(wǎng)）

5）應(yīng)用流控（QQ,MSN）

6.業(yè)務(wù)感知-一協(xié)議辨別利應(yīng)用感知

它與防火墻（FW）、入侵檢測系統(tǒng)（IDS）、防病毒等老三樣構(gòu)成的安全網(wǎng)絡(luò)

相比，突破了被動防御、邊界防護的局限，著重從內(nèi)網(wǎng)的角度處理襲擊問題，應(yīng)

對目前網(wǎng)絡(luò)襲擊復(fù)雜性、多樣性、更多從內(nèi)網(wǎng)發(fā)起的趨勢，更有效地處理網(wǎng)絡(luò)威

脅。

同步，安全和管理密不可分。免疫網(wǎng)絡(luò)對基于可信身份的帶寬管理、業(yè)務(wù)感

知和控制，以及對全網(wǎng)安全問題和工作效能的監(jiān)測，分析，記錄、評估，保證了

企業(yè)網(wǎng)絡(luò)的可管可控，大大提高了通信效率利可靠性。

3.安全系統(tǒng)架構(gòu)

安全方案必須架溝在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，由于安全架構(gòu)是安全方

案設(shè)計和分析的基礎(chǔ)。

伴隨針對應(yīng)用層的襲擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層如下的安全

處理方案己經(jīng)局限性以應(yīng)付來自應(yīng)用層的襲擊了。舉個簡樸的例子，那些攜帶著

后門程序的蠕蟲病毒是簡樸的防火墻VPN安全體系所無法對付的。因此我們提

議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅規(guī)定在網(wǎng)絡(luò)

邊界設(shè)置防火墻VPN,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層襲擊的防護

措施，將應(yīng)用層的防護放在網(wǎng)絡(luò)邊緣，這種積極防護可將襲擊內(nèi)容完全阻擋在企

業(yè)內(nèi)部網(wǎng)之外。

4.企業(yè)網(wǎng)絡(luò)安全構(gòu)造圖

通過以上分析可得總體安全構(gòu)造應(yīng)實現(xiàn)大體如圖所示的功能：

五、安全產(chǎn)品

1.網(wǎng)絡(luò)安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立

在一種安全可信的網(wǎng)絡(luò)之上。目前，處理這些安全問題的最佳方案當數(shù)應(yīng)用

PKI/CA數(shù)字認證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是運用公開

密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系，它從技術(shù)上處理了網(wǎng)

上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,

向顧客提供完整的PKI/CA數(shù)字認證服務(wù)。通過建設(shè)證書認證中心系統(tǒng)，建立一

種完善的網(wǎng)絡(luò)安全認證平臺，可以通過這個安全平臺實現(xiàn)如下目的：

1)身份認證(Authentication)：確認通信雙方的身份，規(guī)定通信雙方的身份

不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

2)數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，保證信息不被泄

露，在此體系中運用數(shù)字證書加密來完畢。

3)數(shù)據(jù)的完整性(Integrity)：保證通信信息不被破壞(截斷或篡改)，通過哈

希函數(shù)和數(shù)字簽名來完畢。

4)不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，保證通信

方對自己的行為承認和負責(zé)，通過數(shù)字簽名來完畢，數(shù)字簽名可作為法律證據(jù)。

2.VPN系統(tǒng)

VPN(Virtua)PrivaleNetwork)虛擬專用網(wǎng)，是將物理分布在不一樣地點的網(wǎng)

絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和老式的物理方

式相比，具有減少成本及維護費用、易于擴展、數(shù)據(jù)傳播的高安全性。

通過安裝布署VPN系統(tǒng)，可認為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全

的處理方案。它運用開放性網(wǎng)絡(luò)作為信息傳播的媒體，通過加密、認證、封裝以

及密鑰互換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的顧客可以安全的訪問企業(yè)的

私有數(shù)據(jù)，用以替代專線方式，實現(xiàn)移動顧客、遠程LAN的安全連接。

集中的安全方略管理可以對整個VPN網(wǎng)絡(luò)的安全方略進行集中管理和配

置。

3.網(wǎng)絡(luò)防火墻

采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器

子網(wǎng)通過單獨的防火墻設(shè)備進行防護。其網(wǎng)絡(luò)構(gòu)造一般如下:

分支機構(gòu)防火墻/VPN

防火墻

此外在實際中可以增長入侵檢測系統(tǒng)，作為防火墻的功能互補，提供對監(jiān)控

網(wǎng)段的襲擊的實時報警和積極響應(yīng)等功能。

4.病毒防護系統(tǒng)

應(yīng)強化病毒防護系統(tǒng)的應(yīng)用方略和管理方略，增強勤業(yè)網(wǎng)絡(luò)的病毒防護功

能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一種專

門針對網(wǎng)絡(luò)病毒傳播特點開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)

絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中

管理，實時掌握、理解目前網(wǎng)絡(luò)內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡(luò)內(nèi)的所有計算

機遠程反病毒方略設(shè)置和安全操作。

5.對服務(wù)器的保護

在一種企業(yè)中對服務(wù)器的保護也是至關(guān)重要的。在這里我們選擇電子郵件為

例來闡明對服務(wù)器保護的重要性。

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。伴隨網(wǎng)絡(luò)的迅速發(fā)展，電子郵

件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳

播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺陷，電子郵件存在著很大的安全

隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持S/MIME（Secure

MultipuiposeInternetMailExtensions）,它是從PEM（PrivacyEnhancedMail）和

MIME（Intcrnet郵件的附件原則）發(fā)展而來的。首先，它的認證機制依賴于層次

構(gòu)造的證書認證機構(gòu)，所有下一級的組織和個人的證書由上一級的組織負責(zé)認

證，而最上一級的組織（根證書）之間互相認證，整個信任關(guān)系基本是樹狀的。

另一方面，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)

容的安全性。下圖是郵件系統(tǒng)保護的簡圖（透明方式）：

郵件系統(tǒng)保護

6.關(guān)鍵網(wǎng)段保護

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對外應(yīng)是保密的。

因此這些網(wǎng)段我們也應(yīng)予以尤其的防護。簡圖如下圖所示。

關(guān)鍵網(wǎng)段的防護

7.日志分析和記錄報表能力

對網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細的日志記錄，這些日志記錄包括事件名

稱、描述和對應(yīng)的主機IP地址等有關(guān)信息。此外，報表系統(tǒng)還應(yīng)自動生成多種

形式的襲擊記錄報表，形式包括日報表，月報表，年報表等，通過來源分析，目

的分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)

生的多種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。

8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

除對外的防護外，對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)當進行規(guī)范，并監(jiān)控上網(wǎng)行為,

過濾網(wǎng)頁訪問，過濾觸件，限制上網(wǎng)聊天行為，制止不合法文獻的下載。企業(yè)內(nèi)

部顧客上網(wǎng)信息識別度應(yīng)到達每一種URL祈求和每一種URL祈求的回應(yīng)。通過

對網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同步

防止企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除

內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文獻加密應(yīng)用和安全登錄以及對應(yīng)的智能卡管

理工具集成到一起，形成一種整體，是針對客戶端安全的整體處理方案。分別有

如下幾種系統(tǒng)：

1）電子簽章系統(tǒng)

運用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可

以無縫嵌入OFFICE系統(tǒng)，顧客可以在編輯文檔后對文檔進行簽章，或是打開文

檔時驗證文檔的完整性和查看文檔的作者。

2）安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認證。使用后，只有具有指定

智能密碼鑰匙的人才兀以登錄計算機和網(wǎng)絡(luò)。顧客假如需要離開計算機，只需拔

出智能密碼鑰匙，即互鎖定計算機。

3）文獻加密系統(tǒng)

文獻加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保留在智能密碼鑰匙中,

加密算法采用國際原則安全算法或國家密碼管理機構(gòu)指定安全算法，從而保證了

存儲數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護簡圖如下圖所示:

內(nèi)部網(wǎng)絡(luò)

內(nèi)網(wǎng)綜合保護

9.移動顧客管理系統(tǒng)

對于企業(yè)內(nèi)部的筆記本電腦在外工作，當要接入內(nèi)部網(wǎng)也應(yīng)進行安全控制,

保證筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。

10.身份認證的處理方案

身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。基于PKI的身份認

證方式是近幾年發(fā)展起來的一種以便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)

合、一次一密的強雙因子認證模式，很好地處理了安全性與易用性之間的矛盾-

USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲

顧客的密鑰或數(shù)字證書，運