企業(yè)網(wǎng)絡(luò)安全解決方案

1、哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系目 錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 第1章緒論1 HYPERLINK l bookmark4 o Current Document 課題背景1 HYPERLINK l bookmark6 o Current Document 目的和意義1 HYPERLINK l bookmark8 o Current Document 第2章需求分析2 HYPERLINK l bookmark10 o Current Document 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀和威脅2互聯(lián)網(wǎng)安全： 2企業(yè)內(nèi)部網(wǎng)安全：2內(nèi)網(wǎng)與

2、內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全： 2 HYPERLINK l bookmark12 o Current Document 企業(yè)網(wǎng)絡(luò)安全需求分析3網(wǎng)絡(luò)的可用性：4業(yè)務(wù)系統(tǒng)的可用性：4數(shù)據(jù)機密性：4訪問的可控性：4網(wǎng)絡(luò)操作的可管理性：4 HYPERLINK l bookmark14 o Current Document 第3章 設(shè)備選型及管理5 HYPERLINK l bookmark16 o Current Document 安全產(chǎn)品選型原則5 HYPERLINK l bookmark18 o Current Document UTM （統(tǒng)一威脅管理） 6 HYPERLINK l bookmar

3、k20 o Current Document 第4章總體設(shè)計8 HYPERLINK l bookmark22 o Current Document 整體結(jié)構(gòu)描述8 HYPERLINK l bookmark24 o Current Document 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施8 HYPERLINK l bookmark26 o Current Document 邊界防護(hù)和網(wǎng)絡(luò)的隔離 9 HYPERLINK l bookmark28 o Current Document 桌面安全防護(hù)10電子簽章系統(tǒng)10安全登錄系統(tǒng)10文件加密系統(tǒng) 10 HYPERLINK l bookmark30 o Current Do

4、cument 身份認(rèn)證10 HYPERLINK l bookmark32 o Current Document 安全電子郵件 11 HYPERLINK l bookmark34 o Current Document 第5章總結(jié)12 HYPERLINK l bookmark36 o Current Document 參考文獻(xiàn)12哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系第1章緒論課題背景Internet的迅猛發(fā)展不僅帶動了信息產(chǎn)業(yè)和國民經(jīng)濟(jì)的快速增長，也為企 業(yè)的發(fā)展帶來了重大商機。以Internet為代表的信息技術(shù)的發(fā)展不僅直接影 響著企業(yè)科技的創(chuàng)新能力和生產(chǎn)效率的提高，也逐漸成為提高企業(yè)競爭力的重 要力

5、量。隨著中小型企業(yè)信息化建設(shè)的逐步完善，企業(yè)業(yè)務(wù)對于網(wǎng)絡(luò)的依賴性 也越來越大，但同時也受到互聯(lián)網(wǎng)絡(luò)的安全威脅，如黑客和病毒攻擊，因此對 于網(wǎng)絡(luò)安全的需求也越來越強烈。目的和意義一方面，隨著計算機技術(shù)、信息技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)系統(tǒng)必將成為企 業(yè)各項業(yè)務(wù)的關(guān)鍵平臺。另一方面，隨著計算機網(wǎng)絡(luò)系統(tǒng)的發(fā)展，計算機網(wǎng)絡(luò) 安全系統(tǒng)必將發(fā)揮越來越重要的作用。網(wǎng)絡(luò)安全系統(tǒng)的建立，必將為企業(yè)的業(yè)務(wù)信息系統(tǒng)、行政管理、信息交流 提供一個安全的環(huán)境和完整平臺。通過先進(jìn)技術(shù)建立起的網(wǎng)絡(luò)安全系統(tǒng)，可以 從根本上解決來自網(wǎng)絡(luò)外部及內(nèi)部對網(wǎng)絡(luò)安全造成的各種威脅，以最優(yōu)秀的網(wǎng) 絡(luò)安全整體解決方案為基礎(chǔ)形成一個更加完善的業(yè)務(wù)系

6、統(tǒng)和辦公自動化系統(tǒng)。 利用高性能的網(wǎng)絡(luò)安全環(huán)境，提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、 身份驗證等于一身的功能，有效地保證秘密、機密文件的安全傳輸，嚴(yán)格地制 止經(jīng)濟(jì)情報失、泄密現(xiàn)象發(fā)生，避免重大經(jīng)濟(jì)案件的發(fā)生。哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系第2章需求分析企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀和威脅當(dāng)今無論是中小企業(yè)還是大企業(yè)，都廣泛使用信息技術(shù)，特別是網(wǎng)絡(luò)技 術(shù)，以不斷提高企業(yè)競爭力。企業(yè)信息設(shè)施在提高企業(yè)效益和方便企業(yè)管理的 同時，也給企業(yè)帶來了安全隱患。網(wǎng)絡(luò)的安全問題一直困擾著企業(yè)的發(fā)展，給 企業(yè)所造成的損失不可估量。由于計算機網(wǎng)絡(luò)特有的開放性，網(wǎng)絡(luò)安全問題日 益嚴(yán)重。企業(yè)所面臨的安全威脅主要有以下幾個方面

7、：互聯(lián)網(wǎng)安全：企業(yè)通過Internet可以把遍布世界各地的資源互聯(lián)互享，但因為其開放 性，在Internet上傳輸?shù)男畔⒃诎踩陨喜豢杀苊獾貢媾R很多危險。當(dāng)越來 越多的企業(yè)把自己的商務(wù)活動放到網(wǎng)絡(luò)上后，針對網(wǎng)絡(luò)系統(tǒng)的各種非法入侵、 病毒等活動也隨之增多。例如黑客攻擊、病毒傳播、垃圾郵件泛濫、信息泄露 等已成為影響廣泛的安全威脅。企業(yè)內(nèi)部網(wǎng)安全：企業(yè)中大量員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生 產(chǎn)效率、消耗了企業(yè)的網(wǎng)絡(luò)資源，并引入病毒和木馬程序等。發(fā)生在企業(yè)網(wǎng)絡(luò) 上的病毒事件，據(jù)調(diào)查90%是經(jīng)由電子郵件或瀏覽網(wǎng)頁，進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò) 并傳播的。垃圾郵件和各種惡意程序，造成企業(yè)網(wǎng)絡(luò)

8、擁塞癱瘓，甚至系統(tǒng)崩 潰，造成難以彌補的巨大損失。內(nèi)網(wǎng)與內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全：哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系隨著企業(yè)的不斷發(fā)展壯大，逐漸形成了企業(yè)總部、異地分支機構(gòu)、移動辦 公人員這樣的新型互動運營模式。怎樣處理總部與分支機構(gòu)、移動辦公人員的 信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè) 成長過程中需要及時解決的問題。同時異地分支機構(gòu)、移動辦公人員與總部之 間的有線和無線網(wǎng)絡(luò)連接安全直接影響著企業(yè)的運行效率。企業(yè)網(wǎng)絡(luò)安全需求分析企業(yè)希望能具有競爭力并提高生產(chǎn)效率，就必須對市場需求作出及時有效 的響應(yīng)，從而引發(fā)了依賴于互聯(lián)網(wǎng)來獲取、共享信息的趨勢，這樣才能進(jìn)一步

9、 提高生產(chǎn)效率進(jìn)而推動企業(yè)的發(fā)展。然而，有網(wǎng)絡(luò)的地方就有安全的問題。過 去的網(wǎng)絡(luò)大多是封閉式的，因而比較容易確保其安全性，簡單的安全性設(shè)備就 足以承擔(dān)其任務(wù)。然而當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了巨大的變化，確保網(wǎng)絡(luò)的安全性 和可用性已經(jīng)成為更加復(fù)雜而且必需的任務(wù)。用戶每一次連接到網(wǎng)絡(luò)上，原有 的安全狀況就會發(fā)生變化。所以很多企業(yè)頻繁地受到網(wǎng)絡(luò)的安全威脅甚至損 害。因為當(dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性，依靠早期的簡單安全設(shè)備已經(jīng)對這些問題無 能為力。為了應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)，企業(yè)通常會使用多種網(wǎng)絡(luò)硬件設(shè)備，包括防火 墻、路由器、轉(zhuǎn)接器、遠(yuǎn)程接入設(shè)備等。大多數(shù)公司的網(wǎng)絡(luò)相當(dāng)復(fù)雜，這些網(wǎng) 絡(luò)需要所有這些設(shè)備來確保正確的路由以及

10、提供快速和可靠的網(wǎng)絡(luò)性能。在這 些硬件的基礎(chǔ)上，再結(jié)合多種軟件解決方案，如病毒防護(hù)、入侵檢測（IDS）、 入侵防御（IPS）、VPN網(wǎng)關(guān)和內(nèi)容過濾（如URL過濾）等，就構(gòu)成了一個常規(guī)的 網(wǎng)絡(luò)安全解決方案。但網(wǎng)絡(luò)安全產(chǎn)品不僅僅需要簡單的安裝，更重要的是要有哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系針對復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。歸結(jié)起來，應(yīng)充分保證以下幾點：網(wǎng)絡(luò)的可用性：網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)系統(tǒng)的載體，安全體系必須防止病毒入侵及破壞，建立完 善統(tǒng)一的病毒防范體系，維護(hù)網(wǎng)內(nèi)計算機的運行。業(yè)務(wù)系統(tǒng)的可用性：中小企業(yè)主機、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵，網(wǎng)絡(luò)安全 體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪

11、問、惡意入侵和破壞。數(shù)據(jù)機密性：對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng) 絡(luò)安全系統(tǒng)應(yīng)保證機密信息在存儲與傳輸時的保密性。有效攔截黑客程序的破 壞，準(zhǔn)確記錄和上報攻擊信息，保障重要數(shù)據(jù)安全。訪問的可控性：分層次的安全策略，針對不同職能部門確立相應(yīng)的安全防范標(biāo)準(zhǔn)。對關(guān)鍵 網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問 者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進(jìn)行跟蹤記錄。網(wǎng)絡(luò)操作的可管理性：簡單高效的網(wǎng)絡(luò)安全管理模式，清晰統(tǒng)一的責(zé)任分工與合作。對于網(wǎng)絡(luò)安 全系統(tǒng)應(yīng)具備審計和日志功能，對相關(guān)重要操作提供可靠而方便的可管理和維 護(hù)功能。專業(yè)及時的災(zāi)難恢復(fù)系統(tǒng)，將

12、受災(zāi)后的損失減少到最小。哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系第3章設(shè)備選型及管理安全產(chǎn)品選型原則在進(jìn)行企業(yè)網(wǎng)絡(luò)安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應(yīng)包含以下功 能：訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊 阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)， 也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕 大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊 源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)

13、：良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù) 數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情 況服務(wù)。哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系UTM （統(tǒng)一威脅管理）企業(yè)用戶目前急需的是建立一個規(guī)范的安全管理平臺，對各種安全產(chǎn)品進(jìn) 行統(tǒng)一管理。于是，U T M （統(tǒng)一威脅管理）產(chǎn)品應(yīng)運而生，并且正在逐步得 到市場的認(rèn)可。U T M安全、管理方便的特點，是安全設(shè)備最大的好處，而這 往往也是企業(yè)對產(chǎn)品的主要需求。U T M產(chǎn)品靈活、易于管理，使企業(yè)能夠在

14、一個統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設(shè)施，相對于提供單一專有功能的安全設(shè)備， UTM在一個通用的平臺上提供多種安全功能。一個典型的U T M產(chǎn)品整合了 防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全 面功能的UTM設(shè)備，也可以根據(jù)自己的需要選擇某幾個方面的功能。更為重 要的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能，而任何時候這些安 全功能都可以很好地協(xié)同工作。整合式的UTM產(chǎn)品相對于單獨購置各種功能，可以有效地降低成本投 入。且由于UTM的管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的要求，彌補 企業(yè)在技術(shù)力量上的不足。這使得企業(yè)可以最大限度地降低對安全供應(yīng)商的技 術(shù)服務(wù)要求，

15、網(wǎng)絡(luò)安全方案可行性更強。哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系圖1企業(yè)網(wǎng)絡(luò)安全體系示意圖圖2 基于UTM的網(wǎng)絡(luò)安全體系架構(gòu)哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系第4章總體設(shè)計整體結(jié)構(gòu)描述本方案采用立體多層次的安全系統(tǒng)架構(gòu)。結(jié)合企業(yè)的網(wǎng)絡(luò)特征，采用UT M整體安全網(wǎng)絡(luò)架構(gòu)方案。（如圖1所示）這種多層次的安全體系在網(wǎng)絡(luò)邊界設(shè)置防火墻和VPN，用基于狀態(tài)檢測的防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。VPN為遠(yuǎn)程辦公人員 及分支機構(gòu)提供方便的VPN高速接入，保護(hù)數(shù)據(jù)傳輸過程中的安全，實現(xiàn) 用戶對企業(yè)內(nèi)部網(wǎng)的受控訪問。同時還有針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層 攻擊的防護(hù)措施，這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部

16、網(wǎng)之外。 對于內(nèi)網(wǎng)安全，特別是移動辦公，客戶端隔離技術(shù)將對有安全問題的主機進(jìn) 行隔離，以免其對整個網(wǎng)絡(luò)造成更大范圍的影響，這給整個企業(yè)網(wǎng)絡(luò)提供了 安全保障。UTM提供高級別的安全性，可以檢測到異常操作并立即關(guān)閉可疑 的通訊。（詳細(xì)的網(wǎng)絡(luò)架構(gòu)圖如圖2所示。）網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建 立在一個安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用 PKI/CA數(shù)字認(rèn)證服務(wù)。PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是 利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù) 上解決了網(wǎng)上身份認(rèn)

17、證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證 中心系統(tǒng)，建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個安全平臺實現(xiàn)以 下目標(biāo)：身份認(rèn)證：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽 裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。數(shù)據(jù)的機密性：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利 用數(shù)字證書加密來完成。數(shù)據(jù)的完整性：確保通信信息不被破壞，通過哈希函數(shù)和數(shù)字簽名來完 成。不可抵賴性：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承 認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名

18、可作為法律證據(jù)。邊界防護(hù)和網(wǎng)絡(luò)的隔離VPN虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)（如 Internet）連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有 降低成本及維護(hù)費用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩?。通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用 開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù) 在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)， 用以代替專線方式，實現(xiàn)移動用戶、遠(yuǎn)程LAN的安全連接。集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò) 對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提

19、供高效、穩(wěn)定地安全保護(hù)。哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系集中的安全策略管理可以對整個 VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和 配置。桌面安全防護(hù)桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管 理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。電子簽章系統(tǒng)利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)， 可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是 打開文檔時驗證文檔的完整性和查看文檔的作者。安全登錄系統(tǒng)安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指 定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡(luò)。用戶如果需要離開計

20、算機，只 需拔出智能密碼鑰匙，即可鎖定計算機。文件加密系統(tǒng)文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙 中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機構(gòu)指定安全算法，從而 保證了存儲數(shù)據(jù)的安全性。身份認(rèn)證身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身 份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬10哈爾濱華德學(xué)院計算機應(yīng)用技術(shù)系件相結(jié)合、一次一密的強雙因子認(rèn)證模式，很好地解決了安全性與易用性之間 的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯 片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實現(xiàn)對 用戶身份的認(rèn)證。安全電子郵件電子郵件是Internet上出現(xiàn)最早的