企業(yè)網(wǎng)絡安全綜合設計方案.doc

企業(yè)網(wǎng)絡安全綜合設計方案1 企業(yè)網(wǎng)絡分析此處請根據(jù)用戶實際情況做簡要分析2 網(wǎng)絡威脅、風險分析針對xxx企業(yè)現(xiàn)階段網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和業(yè)務流程，結(jié)合xxx企業(yè)今后進行的網(wǎng)絡化應用范圍的拓展考慮，xxx企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：2.1內(nèi)部竊密和破壞由于xxx企業(yè)網(wǎng)絡上同時接入了其它部門的網(wǎng)絡系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網(wǎng)絡進入內(nèi)部網(wǎng)絡，并進一步竊取和破壞其中的重要信息(如領(lǐng)導的網(wǎng)絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。2.2 搭線(網(wǎng)絡)竊聽這種威脅是網(wǎng)絡最容易發(fā)生的。攻擊者可以采用如sniffer等網(wǎng)絡協(xié)議分析工具，在internet網(wǎng)絡安全的薄弱處進入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內(nèi)容。對xxx企業(yè)網(wǎng)絡系統(tǒng)來講，由于存在跨越internet的內(nèi)部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。2.3 假冒這種威脅既可能來自xxx企業(yè)網(wǎng)內(nèi)部用戶，也可能來自internet內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡內(nèi)的重要信息。或者內(nèi)部用戶通過假冒的方式獲取其不能閱讀的秘密信息。2.4 完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于xxx企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。2.5 其它網(wǎng)絡的攻擊xxx企業(yè)網(wǎng)絡系統(tǒng)是接入到internet上的，這樣就有可能會遭到internet上黑客、惡意用戶等的網(wǎng)絡攻擊，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。2.6 管理及操作人員缺乏安全知識由于信息和網(wǎng)絡技術(shù)發(fā)展迅猛，信息的應用和安全技術(shù)相對滯后，用戶在引入和采用安全設備和系統(tǒng)時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術(shù)認識不足，很容易使安全設備/系統(tǒng)成為擺設，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡漏洞。由于網(wǎng)絡安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發(fā)揮其作用，避免使用上的漏洞。2.7 雷擊由于網(wǎng)絡系統(tǒng)中涉及很多的網(wǎng)絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網(wǎng)絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。注：部分描述地方需要進行調(diào)整，請根據(jù)用戶實際情況敘述。3 安全系統(tǒng)建設原則xxx企業(yè)網(wǎng)絡系統(tǒng)安全建設原則為：1)系統(tǒng)性原則xxx企業(yè)網(wǎng)絡系統(tǒng)整個安全系統(tǒng)的建設要有系統(tǒng)性和適應性，不因網(wǎng)絡和應用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級和配置的變化，而導致在系統(tǒng)的整個生命期內(nèi)的安全保護能力和抗御風險的能力降低。2)技術(shù)先進性原則xxx企業(yè)網(wǎng)絡系統(tǒng)整個安全系統(tǒng)的設計采用先進的安全體系進行結(jié)構(gòu)性設計，選用先進、成熟的安全技術(shù)和設備，實施中采用先進可靠的工藝和技術(shù)，提高系統(tǒng)運行的可靠性和穩(wěn)定性。3)管理可控性原則系統(tǒng)的所有安全設備(管理、維護和配置)都應自主可控;系統(tǒng)安全設備的采購必須有嚴格的手續(xù);安全設備必須有相應機構(gòu)的認證或許可標記;安全設備供應商應具備相應資質(zhì)并可信。安全系統(tǒng)實施方案的設計和施工單位應具備相應資質(zhì)并可信。4)適度安全性原則系統(tǒng)安全方案應充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風險范圍內(nèi)盡量減少安全服務的規(guī)模和復雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。5)技術(shù)與管理相結(jié)合原則xxx企業(yè)網(wǎng)絡系統(tǒng)安全建設是一個復雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問題的，必須堅持技術(shù)和管理相結(jié)合的原則。6)測評認證原則xxx企業(yè)網(wǎng)絡系統(tǒng)作為重要的政務系統(tǒng)，其系統(tǒng)的安全方案和工程設計必須通過國家有關(guān)部門的評審，采用的安全產(chǎn)品和保密設備需經(jīng)過國家主管理部門的認可。7)系統(tǒng)可伸縮性原則xxx企業(yè)網(wǎng)絡系統(tǒng)將隨著網(wǎng)絡和應用技術(shù)的發(fā)展而發(fā)生變化，同時信息安全技術(shù)也在發(fā)展，因此安全系統(tǒng)的建設必須考慮系統(tǒng)可升級性和可伸縮性。重要和關(guān)鍵的安全設備不因網(wǎng)絡變化或更換而廢棄。4 網(wǎng)絡安全總體設計一個網(wǎng)絡系統(tǒng)的安全建設通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)xxx企業(yè)各級內(nèi)部網(wǎng)絡機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點，本方案主要從以下幾個方面進行安全設計：l 網(wǎng)絡系統(tǒng)安全;l 應用系統(tǒng)安全;l 物理安全;l 安全管理;4.1 安全設計總體考慮根據(jù)xxx企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮：l 網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護l 主要網(wǎng)絡安全隔離通用措施是采用防火墻l 網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設備l 定期安全審計主要包括兩部分：內(nèi)容審計和網(wǎng)絡通信審計l 重要數(shù)據(jù)的備份l 重要信息點的防電磁泄露l 網(wǎng)絡安全結(jié)構(gòu)的可伸縮性包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展l 網(wǎng)絡防雷4.2 網(wǎng)絡安全作為xxx企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網(wǎng)絡系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過網(wǎng)絡進行交換，4.2.1 網(wǎng)絡傳輸由于xxx企業(yè)中心內(nèi)部網(wǎng)絡存在兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡，主要運行的是內(nèi)部辦公、業(yè)務系統(tǒng)等;另一套是與internet相連，通過adsl接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡相連。通過公共線路建立跨越internet的企業(yè)集團內(nèi)部局域網(wǎng)，并通過網(wǎng)絡進行數(shù)據(jù)交換、信息共享。而internet本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴重的后果。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用vpn技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡傳輸安全部分推薦采用vpn設備來構(gòu)建內(nèi)聯(lián)網(wǎng)。可在每級管理域內(nèi)設置一套vpn設備，由vpn設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)xxx企業(yè)三級網(wǎng)絡結(jié)構(gòu)，vpn設置如下圖所示：圖4-1三級 vpn設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺vpn設備和一臺vpn認證服務器(vpn-ca)，在所屬的直屬單位的網(wǎng)絡接入處安裝一臺vpn設備，由上級的vpn認證服務器通過網(wǎng)絡對下一級的vpn設備進行集中統(tǒng)一的網(wǎng)絡化管理?？蛇_到以下幾個目的：l 網(wǎng)絡傳輸數(shù)據(jù)保護;由安裝在網(wǎng)絡上的vpn設備實現(xiàn)各內(nèi)部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸l 網(wǎng)絡隔離保護;與internet進行隔離，控制內(nèi)網(wǎng)與internet的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡安全性;l 降低成本(設備成本和維護成本);其中，在各級中心網(wǎng)絡的vpn設備設置如下圖：圖4-2 中心網(wǎng)絡vpn設置圖由一臺vpn管理機對ca、中心vpn設備、分支機構(gòu)vpn設備進行統(tǒng)一網(wǎng)絡管理。將對外服務器放置于vpn設備的dmz口與內(nèi)部網(wǎng)絡進行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。這樣即使服務器被攻破，內(nèi)部網(wǎng)絡仍然安全。下級單位的vpn設備放置如下圖所示：圖4-3 下級單位vpn設置圖從圖4-4可知，下屬機構(gòu)的vpn設備放置于內(nèi)部網(wǎng)絡與路由器之間，其配置、管理由上級機構(gòu)通過網(wǎng)絡實現(xiàn)，下屬機構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。由于網(wǎng)絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在安全設備的選擇上應當選擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。4.2.2 訪問控制由于xxx企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自internet上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的vpn設備來實現(xiàn)網(wǎng)絡安全隔離，可滿足以下幾個方面的要求：l 控制外部合法用戶對內(nèi)部網(wǎng)絡的網(wǎng)絡訪問;l 控制外部合法用戶對服務器的訪問;l 禁止外部非法用戶對內(nèi)部網(wǎng)絡的訪問;l 控制內(nèi)部用戶對外部網(wǎng)絡的網(wǎng)絡;l 阻止外部用戶對內(nèi)部的網(wǎng)絡攻擊;l 防止內(nèi)部主機的ip欺騙;l 對外隱藏內(nèi)部ip地址和網(wǎng)絡拓撲結(jié)構(gòu);l 網(wǎng)絡監(jiān)控;l 網(wǎng)絡日志審計;詳細配置拓撲圖見圖4-1、圖4-2、圖4-3。由于采用防火墻、vpn技術(shù)融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：l 管理、維護簡單、方便;l 安全性高(可有效降低在安全設備使用上的配置漏洞);l 硬件成本和維護成本低;l 網(wǎng)絡運行的穩(wěn)定性更高由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。4.2.3 入侵檢測網(wǎng)絡安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整體的，必須配相應的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)(ids)可與安全vpn系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預見的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應(阻斷、報警、發(fā)送e-mail)。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡引擎)?？刂婆_用作制定及管理所有探測器(網(wǎng)絡引擎)。探測器(網(wǎng)絡引擎)用作監(jiān)聽進出網(wǎng)絡的訪問行為