xx企業(yè)網(wǎng)絡安全綜合設計方案

重慶工業(yè)職業(yè)技術(shù)學院《信息平安》課程實訓報告題目：企業(yè)網(wǎng)絡平安綜合設計方案

班級：11信安301姓名：指導老師：何靜責任系部：信息工程學院

xx企業(yè)網(wǎng)絡平安綜合設計方案企業(yè)網(wǎng)絡分析xx科技有限公司是一家以信息平安產(chǎn)品銷售為主營業(yè)務的小型企業(yè)，公司網(wǎng)絡通過中國聯(lián)通光纖接入

Internet。

該公司擁有子公司若干，并與其它信息平安產(chǎn)品銷售公司建立了兄弟公司關(guān)系。為了適應業(yè)務的發(fā)展的須要，實現(xiàn)信息的共享，協(xié)作和通訊，并和各個部門互連，對該信息網(wǎng)絡系統(tǒng)的建設與實施提出了方案。

2、網(wǎng)絡威逼、風險分析

2.1

黑客攻擊“黑客”（Hack）對于大家來說可能并不生疏，他們是一群利用自己的技術(shù)專長特地攻擊網(wǎng)站和計算機而不暴露身份的計算機用戶，由于黑客技術(shù)漸漸被越來越多的人駕馭和發(fā)展，目前世界上約有20多萬個黑客網(wǎng)站，這些站點都介紹一些攻擊方法和攻擊軟件的運用以及系統(tǒng)的一些漏洞，因而任何網(wǎng)絡系統(tǒng)、站點都有遭遇黑客攻擊的可能。尤其是現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客們擅長隱藏，攻擊“殺傷力”強，這是網(wǎng)絡平安的主要威逼。而就目前網(wǎng)絡技術(shù)的發(fā)展趨勢來看，黑客攻擊的方式也越來越多的采納了病毒進行破壞，它們采納的攻擊和破壞方式多種多樣，對沒有網(wǎng)絡平安防護設備（防火墻）的網(wǎng)站和系統(tǒng)（或防護級別較低）進行攻擊和破壞，這給網(wǎng)絡的平安防護帶來了嚴峻的挑戰(zhàn)。2.2網(wǎng)絡自身和管理存在欠缺

網(wǎng)絡的共享性和開放性使網(wǎng)上信息平安存在先天不足，網(wǎng)絡系統(tǒng)的嚴格管理是企業(yè)、組織及政府部門和用戶免受攻擊的重要措施。事實上，許多企業(yè)、機構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理，沒有制定嚴格的管理制度。據(jù)IT界企業(yè)團體ITAA的調(diào)查顯示，美國90％的IT企業(yè)對黑客攻擊打算不足。目前美國75％－85％的網(wǎng)站都抵抗不住黑客的攻擊，約有75％的企業(yè)網(wǎng)上信息失竊。

2.3軟件設計的漏洞或“后門”而產(chǎn)生的問題隨著軟件系統(tǒng)規(guī)模的不斷增大，新的軟件產(chǎn)品開發(fā)出來，系統(tǒng)中的平安漏洞或“后門”也不行避開的存在，比如我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的平安漏洞，眾多的各類服務器、閱讀器、一些桌面軟件等等都被發(fā)覺過存在平安隱患。大家熟識的一些病毒都是利用微軟系統(tǒng)的漏洞給用戶造成巨大損失,可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設計中的一個缺陷等緣由而存在漏洞，不行能完備無缺。

2.5惡意網(wǎng)站設置的陷阱

互聯(lián)網(wǎng)世界的各類網(wǎng)站，有些網(wǎng)站惡意編制一些盜取他人信息的軟件，并且可能隱藏在下載的信息中，只要登錄或者下載網(wǎng)絡的信息就會被其限制和感染病毒，計算機中的全部信息都會被自動盜走，該軟件會長期存在你的計算機中，操作者并不知情，如“木馬”病毒。因此，不良網(wǎng)站和擔心全網(wǎng)站萬不行登錄，否則后果不行思議。2.6用戶網(wǎng)絡內(nèi)部工作人員的不良行為引起的平安問題網(wǎng)絡內(nèi)部用戶的誤操作，資源濫用和惡意行為也有可能對網(wǎng)絡的平安造成巨大的威逼。由于各行業(yè)，各單位現(xiàn)在都在建局域網(wǎng)，計算機運用頻繁，但是由于單位管理制度不嚴，不能嚴格遵守行業(yè)內(nèi)部關(guān)于信息平安的相關(guān)規(guī)定，都簡單引起一系列平安問題。2.7競爭對手的惡意竊取、破壞以及攻擊xx企業(yè)是以銷售為主的it行業(yè)，所以用戶信息異樣寶貴和重要，假如遭到競爭對手的惡意竊取、破壞以及攻擊，后果不行思議。3、平安系統(tǒng)建設原則（1）整體性原則：“木桶原理”，單純一種平安手段不行能解決全部平安問題;

（2）多重愛護原則：不把整個系統(tǒng)的平安寄予在單一平安措施或平安產(chǎn)品上;

（3）性能保障原則：平安產(chǎn)品的性能不能成為影響整個網(wǎng)絡傳輸?shù)钠款i;

（4）平衡性原則：制定規(guī)范措施，實現(xiàn)愛護成本與被愛護信息的價值平衡

;

（5）可管理、易操作原則：盡量采納最新的平安技術(shù)，實現(xiàn)平安管理的自動化，以減輕平安管理的負擔，同時減小因為管理上的疏漏而對系統(tǒng)平安造成的威逼;

（6）適應性、敏捷性原則：充分考慮今后業(yè)務和網(wǎng)絡平安協(xié)調(diào)發(fā)展的需求，避開因只滿意了系統(tǒng)平安要求，而給業(yè)務發(fā)展帶來障礙的狀況發(fā)生;

（7）高可用原則：平安方案、平安產(chǎn)品也要遵循網(wǎng)絡高可用性原則;

（8）技術(shù)與管理并重原則：“三分技術(shù)，七分管理”，從技術(shù)角度動身的平安方案的設計必需有與之相適應的管理制度同步制定，并從管理的角度評估平安設計方案的可操作性

（9）投資愛護原則：要充分發(fā)揮現(xiàn)有設備的潛能，避開投資的奢侈。4、網(wǎng)絡平安總體設計4.1需求分析依據(jù)xx企業(yè)滿意內(nèi)部網(wǎng)絡機構(gòu)，依據(jù)XXX企業(yè)各級內(nèi)部網(wǎng)絡機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡管理、應用業(yè)系統(tǒng)的特點，本方案主要從以下幾個方面進行平安設計：1、數(shù)據(jù)平安愛護,運用加密技術(shù),愛護重要數(shù)據(jù)的保密性.2、網(wǎng)絡系統(tǒng)平安,防火墻的設置3、物理平安,應用硬件等安裝配置.4、應用系統(tǒng)平安,局域網(wǎng)內(nèi)數(shù)據(jù)傳輸?shù)钠桨脖ＷC.4.2方案綜述1、首先設置VPN,便利內(nèi)網(wǎng)與外網(wǎng)的連接,虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展.可以幫助遠程用戶,公司分支機構(gòu),商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)(Data)的平安傳輸.虛擬專用網(wǎng)可以用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)平安連接；可以用于實現(xiàn)企業(yè)網(wǎng)站之間平安通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的平安外聯(lián)網(wǎng)虛擬專用網(wǎng).2、設置防火墻，防火墻是對通過互聯(lián)網(wǎng)連接進入專用網(wǎng)絡或計算機系統(tǒng)的信息進行過濾的程序或硬件設備。所以假如過濾器對傳入的信息數(shù)據(jù)包進行標記，則不允許該數(shù)據(jù)包通過。能夠保證運用的網(wǎng)站的平安性，以及防止惡意攻擊以及破壞企業(yè)網(wǎng)絡正常運行和軟硬件，數(shù)據(jù)的平安。防止服務器拒絕服務攻擊.3、網(wǎng)絡病毒防護，采納網(wǎng)絡防病毒系統(tǒng).在網(wǎng)絡中部署被動防衛(wèi)體系（防病毒系統(tǒng)）,采納主動防衛(wèi)機制（防火墻、平安策略、漏洞修復等），將病毒隔離在網(wǎng)絡大門之外。從總部到分支機構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的企業(yè)網(wǎng)病毒防護體系。4、設置DMZ，數(shù)據(jù)冗余存儲系統(tǒng).將須要愛護的Web應用程序服務器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中，把沒有包含敏感數(shù)據(jù)、擔當代理數(shù)據(jù)訪問職責的主機放置于DMZ中，這樣就為應用系統(tǒng)平安供應了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于干脆暴露給外部網(wǎng)絡而受到攻擊，攻擊者即使初步入侵勝利，還要面臨DMZ設置的新的障礙。5、設置數(shù)據(jù)備份管理系統(tǒng)，特地備份企業(yè)重要數(shù)據(jù)。為避開客觀緣由、自然災難等緣由造成的數(shù)據(jù)損壞、丟失，可采納異地備份方式。6、雙重數(shù)據(jù)信息愛護，在重要部門以及工作組前設置交換機，可以在必要時候斷開網(wǎng)絡連接，防止網(wǎng)絡攻擊，并且設置雙重防火墻，進出的數(shù)據(jù)都將受到愛護。7、設置備份服務器，用于因客觀緣由、自然災難等緣由造成的服務器崩潰。8、廣域網(wǎng)接入部分,采納入侵檢測系統(tǒng)（IDS）。對外界入侵和內(nèi)部人員的越界行為進行報警。在服務器區(qū)域的交換機上、Internet接入路由器之后的第一臺交換機上和重點愛護網(wǎng)段的局域網(wǎng)交換機上裝上IDS。9、系統(tǒng)漏洞分析。采納漏洞分析設備。5、平安設備要求5.1硬件設備1、pc機若干臺,包括網(wǎng)絡管理機,員工工作用機；干臺,包括網(wǎng)絡管理機,員工工作用機；2、交換機2臺；3、服務器4臺；4、防火墻5臺；5、內(nèi)外網(wǎng)隔離卡6、AMTTinnFORIDS。5.2軟件設備

1、病毒防衛(wèi)系統(tǒng)；2、查殺病毒軟件；3、訪問限制設置。技術(shù)支持與服務6.1虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面對連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有實力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器.由以上運行機制帶來的網(wǎng)絡平安的好處是自不待言的：信息只到達應當?shù)竭_的地點。因此、防止了大部分基于網(wǎng)絡監(jiān)聽的入侵手段。通過虛擬網(wǎng)設置的訪問限制，使在虛擬網(wǎng)外的網(wǎng)絡節(jié)點不能干脆訪問虛擬網(wǎng)內(nèi)節(jié)點。以太網(wǎng)從本質(zhì)上基于廣播機制，但應用了交換器和VLAN技術(shù)后，事實上轉(zhuǎn)變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（變更）問題。但是，采納基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡桌面運用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。6.2防火墻技術(shù)網(wǎng)絡防火墻技術(shù)是一種用來加強網(wǎng)絡之間訪問限制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問內(nèi)部網(wǎng)絡資源,愛護內(nèi)部網(wǎng)絡操作環(huán)境的特別網(wǎng)絡互聯(lián)設備.它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式依據(jù)肯定的平安策略來實施檢查,以確定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài).6.2.1包過濾型包過濾型技術(shù)是防火墻技術(shù)的一種,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù).網(wǎng)絡上的數(shù)據(jù)都是以"包"為單位進行傳輸?shù)?數(shù)據(jù)被分割成為肯定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數(shù)據(jù)包中的地址信息來推斷這些"包"是否來自可信任的平安站點,一旦發(fā)覺來自危急站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以依據(jù)實際狀況敏捷制訂推斷規(guī)則.6.3病毒防護技術(shù)病毒歷來是信息系統(tǒng)平安的主要問題之一。由于網(wǎng)絡的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web巡游傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。病毒防護的主要技術(shù)如下：(1)阻擋病毒的傳播。在防火墻、代理服務器、SMTP服務器、網(wǎng)絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。運用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應不斷更新，并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務器及PC上安裝Java及ActiveX限制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。6.4入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡平安技術(shù)，目的是供應實時的入侵檢測及實行相應的防護手段，如記錄證據(jù)用于跟蹤和復原、斷開網(wǎng)絡連接等。實時入侵檢測實力之所以重要首先它能夠應付來自內(nèi)部網(wǎng)絡的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機√基于網(wǎng)絡基于主機及網(wǎng)絡的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在須要監(jiān)視的服務器上安裝監(jiān)視模塊(agent)，分別向管理服務器報告及上傳證據(jù)，供應跨平臺的入侵監(jiān)視解決方案。(2)在須要監(jiān)視的網(wǎng)絡路徑上，放置監(jiān)視模塊(sensor),分別向管理服務器報告及上傳證據(jù)，供應跨網(wǎng)絡的入侵監(jiān)視解決方案。6,5平安掃描技術(shù)平安掃描技術(shù)與防火墻、平安監(jiān)控系統(tǒng)相互協(xié)作能夠供應很高平安性的網(wǎng)絡。6.6認證和數(shù)字簽名技術(shù)認證技術(shù)主要解決網(wǎng)絡通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種詳細技術(shù)，同時數(shù)字簽名還可用于通信過程中的不行抵賴要求的實現(xiàn)。認證技術(shù)將應用到企業(yè)網(wǎng)絡中的以下方面：(1)路由器認證，路由器和交換機之間的認證。(2)操作系統(tǒng)認證。操作系統(tǒng)對用戶的認證。(3)網(wǎng)管系統(tǒng)對網(wǎng)管設備之間的認證。(4)VPN網(wǎng)關(guān)設備之間的認證。(5)撥號訪問服務器與客戶間的認證。(6)應用服務器(如WebServer)與客戶的認證。(7)電子郵件通訊雙方的認證。數(shù)字簽名技術(shù)主要用于：(1)基于PKI認證體系的認證過程。(2)基于PKI的電子郵件及交易(通過Web進行的交易)的不行抵賴記錄。6.7VPN技術(shù)完整的集成化的企業(yè)范圍的VPN平安解決方案，供應在INTERNET上平安的雙向通訊，以及透亮的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡的全面平安要求保證：保密-通訊過程不被竊聽。通訊主體真實性確認-網(wǎng)絡上的計算機不被假冒。6.8應用系統(tǒng)的平安技術(shù)Internet域名服務為Internet/Intranet應用供應了極大的敏捷性。幾乎全部的網(wǎng)絡應用均利用域名服務。1、Server常常成為Internet用戶訪問公司內(nèi)部資源的通道之一，如Webserver通過中間件訪問主機系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡系統(tǒng)中其它資源