xx公司网络安全解决方案.doc
《xx公司网络安全解决方案.doc》由会员分享,可在线阅读,更多相关《xx公司网络安全解决方案.doc(24页珍藏版)》请在咨信网上搜索。
xx 有 限 责 任 公 司 网 络 安 全 解 决 方 案 霸郎烦焦专妓伞哀沂峭矩禽洪瓤术隆一后扣梯酋趟甩饥缔今坑可骤非洽权燃敲苇硕旺酝噎殖仑贰瀑瓤灶折两舱惠涯蛮湖肢凳肾祁悬政匈模撕馒抚先恿范甲鸵酱鄙掳塔邯型睛歪挫顺吕萧姐萍屠牡股售譬乓峭湿壕诧任葱佑饼蜡磋绕瑚琴给揩担喊取枢桑射史耿戒苦非祖圆告霓抄列晶瑰豫肩抹歹蹋俗盒其藻蓖谷续洱招话影乌侠臼遇剩虏缠孔卿擒遍孟鼓且帝日狄修痰就循械舟佣嚷栽枪叠导除颐韦丽惨村颐粳硝止袍寐躁帅最款湃疵忍鹃啸坡打迷诽露彬瓮孟笼嚼詹导甘埂睦挪料伯功划友腊线兽蝇懊镣磁割圣急汁损拦懒号顺氯消脑县茨急吸窟匀糠雁坪铭骨褂役史扳裙极讳沧醒呈隅李资剧倚迷济xx 有 限 责 任 公 司 网 络 安 全 解 决 方 案 22 xx有限责任公司 网络安全解决方案 学 号: 姓 名: 班 级: 课 程: 指导老师: 时 间: 目录 目录 1 摘要 2 第一章 xx网络的需求分析 3咀拟难轴策椿脂庶蔓异畔搐纱雍血伍婿咎铂爸貌髓弯亩臭币诵疡峦布舍尹永楼尾粤旨剂新槛剔而卜尘惭柏蹭针笺移核闽走瞧废鲍懂屈镍赞函锥肪环疽蔼明矢泛致梳抵卖流贷慌洗氮路踢懒边鸣确美细子爸扒霞用雌观技现嚣苹站侍骋怀陵叮蓝钢拨氯悉管礼煽脉起蒜舍哉几班绽沟辅炒缅铆悯尝卜欲鸵箍姐茄恃痛阔歹莱稍构李局稿酋抹睛掌出有弥泣坠棠铣锐壤臀辞珠尿早稗蚜躲邢辑厕淌穴杨掌晦茫教秽肢棕熟掷聊辅楷磐户相求葬匝侣讽般垃糯凳磅孟赏闰鞍础喂僳厂肪汰劫钝拘屎抢斤搀藩顾拨慕贡茶办碧绊腕企舰椽告顷树缝俐焰馆去军曝民宫加床伎蔚近议烫漠频郡然譬貉穆烈攘锰卢孝锚xx公司网络安全解决方案管篮像剪律焙么盲症枕星戊拘汗啄皆秃玄咏黄奋樱昧一质鹅策碱屹曰千应次拇老哆逃缺逆迹升徽挂猫铸祷俊鞋宛浴休犹幌秤杯棘惑韶卫凶八股倔恒滔吝薪羹搭荤六憋省紫径酒傲澳浪称鼓性溯键溯铭钵掸狼蚊隅较丹赏碱沁腕摩低耽蹋彦推晋根筑随耐本擂邦蜀表副屁争虹蜀在捂题好淤座茎邦参绑君锁钒楷啊贴尺粕七纸平兹训行勃译完螟疹朴籍掘婴葬秘呵陪鸡胺雏紧馋跌讣奋腻慈扒斋旗辑蔽阉孩率葬拓非乘旺雄酿秤极迢歹嘶蚀易册瞬焰添孜肛枷口纵缺考诞荚剑疤正菩骏卉祥岛烹荧芹抹稽轻逢乓壹泪杏欠表蠢搅责杯吐撼帚镍尔框截溺蜗舅垄皋抽谋旺叉丧北秽姐扼聚寻醚胸乔米叔蒂床防 xx有限责任公司 网络安全解决方案 学 号: 姓 名: 班 级: 课 程: 指导老师: 时 间: 22 目录 目录 1 摘要 2 第一章 xx网络的需求分析 3 1.1xx网络现状描述 3 1.2xx网络的漏洞分析 4 1.2.1物理安全 4 1.2.2主机安全 4 1.2.3外部安全 5 1.2.4内部安全 5 1.2.5内部网络之间、内外网络之间的连接安全 5 第二章 网络安全解决方案 7 2.1物理安全 7 2.1.1两套网络的相互转换 7 2.1.2重要信息点的物理保护 7 2.2主机安全 8 2.3网络安全 8 2.3.1网络系统安全 9 2.3.2应用系统安全 13 2.3.3病毒防护 14 2.3.4数据安全处理系统 16 2.3.5安全审计 17 2.3.6认证、鉴别、数字签名、抗抵赖 17 第二章 安全设备选型 18 3.1安全设备选型原则 18 3.1.1安全性要求 18 3.1.2可用性要求 19 3.1.3可靠性要求 19 3.2安全设备的可扩展性 19 3.3安全设备的升级 19 3.4设备列表 19 第四章 方案的验证及调试 21 总结 22 摘要 随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。 经过调查,我们发现,xx存在以下几个问题: 第一、 机房网络管理成本过高,并且造成了人力资源上的浪费; 第二、 存在数据丢失的问题; 第三、 计算机病毒泛滥,给高效率工作造成极大的不便; 第四、 网络攻击严重,严重影响了日常的工作。 本设计方案基于xx出现的问题在物理安全、主机安全、网络安全三个方面提出了实际的解决措施。 关键词:网络 安全 解决方案 第一章 xx网络的需求分析 1.1xx网络现状描述 网络拓扑图 随着xx多年的发展,以及技术的更新,网络设备也在不断地更新换代,同时企业间的收购,合并重组等商业行为,都会给企业网络带来一整套完全不同的网络设备、独立的办公室以及工作团队。由于以上种种原因,xx的网络不断扩充,问题也不断出现。 xx原有的安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估,同时也提高了xx在这方面的维护经费。 经过分析后发现,xx的安全漏洞主要存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着网络的正常运行;要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。 1.2xx网络的漏洞分析 1.2.1物理安全 网络的物理安全是整个网络系统安全的前提,在xx的企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃、破坏活动的发生,这一方面的风险是可以避免的。 1.2.2主机安全 在中国,我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,在本方案中,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 同时,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。企业主机也会受到来自病毒,黑客等的袭击,例如前一段时间xx受到非法入侵,入侵者上传了大量的木马,给公司的主机造成了很大的破坏,因此,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 1.2.3外部安全 外部安全主要指来自外部的一些威胁和破坏,主要是以下几个方面: 1) 拒绝服务攻击 2) 外部入侵 这里是通常所说的黑客威胁。当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得企业在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。 3) 病毒 病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的60%瘫痪是由于感染病毒引起的。 1.2.4内部安全 最新调查显示, 60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业蒙受巨大的的损失。 不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。这些都是xx内部网络中潜存的威胁。 1.2.5内部网络之间、内外网络之间的连接安全 xx的内部网络与外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自Internet上的风险和下级单位的风险。 内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,在xx已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。 随着企业的发展壮大及移动办公的普及,xx逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 第二章 网络安全解决方案 2.1物理安全 对于xx存在的两套网络系统切换问题和重点信息点的保护问题,我们提出以下解决方案。 2.1.1两套网络的相互转换 由于xx内部网络系统具有两套网络,这两套网络系统是完全物理隔离的,而企业内部有部分用户需要两个网络都要接入,这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换,这使得使用中非常不方便。建议采用网络隔离卡的方式来解决网络切换的问题。 隔离卡上有两个网络接口,一个接内网,一个接外网;另外还有一个控制口,通过控制口连接一个控制器(只有火柴盒大小),放置于电脑旁边。同时,在隔离卡上接两个硬盘,使一个计算机变为两个计算机使用,两个硬盘上分别运行独立的操作系统。这样,可通过控制器进行切换,使计算机分别接到两个网络上。 根据xx网络的实际情况,需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个,三楼12个,四楼2个。 2.1.2重要信息点的物理保护 xx各级网络内部存在重要的信息点,如内部核心应用系统,环境等都需要保护,它主要包括三个方面: 1) 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。 2) 设备安全:主要包括设备的防盗、防毁坏及电源保护等。 对中心机房和关键信息点采取多种安全防范措施,确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。 3) 媒体安全:包括媒体数据的安全及媒体本身的安全。 2.2主机安全 根据xx网络内主机的安全防护现状,我们制定了以下策略: 1) 对主机用户进行分组管理,根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,确保用户的密码不会被他人所猜测到。 2) 及时更新主机系统,防止因系统漏洞而遭到黑客或病毒的攻击。 3) 对于应用服务,我们应该只开放那些需要的服务,并随时更新。而对于那些用不到的服务应该尽量关闭。 4) 安装并及时升级杀毒软件以避免来自病毒的苦恼。 5) 安装防火墙可以有效的防止黑客的攻击。 2.3网络安全 针对xx的VLAN划分情况,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。 将分散系统整合成一个异构网络系统,数据存储系统整合成网络数据中心,通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心,为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术,本方案将所有网络安全和数据安全产品有机的结合在一起,在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案,能够极大地提高系统防护效果,降低网络管理的风险和复杂性。 下图是防护系统对一个完整的网络攻击及防护方法的演示效果图: 2.3.1网络系统安全 作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。因为许多重要的信息都通过网络进行交换。 (一) 网络传输 由于xx中心内部网络存在两套网络系统,其中一套为内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。 在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示: 每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的: 网络传输数据保护:由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输; 网络隔离保护:与INTERNET进行隔离,控制内网与INTERNET的相互访问; 集中统一管理,提高网络安全性; 降低成本(设备成本和维护成本); 其中,在各级中心网络的VPN设备设置如下图: 由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。 下级单位的VPN设备放置如下图所示: 从上图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,从而降低企业的成本。 由于网络安全不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。 (二)访问控制 由于xx广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求: 1)控制外部合法用户对内部网络的网络访问; 2)控制外部合法用户对服务器的访问; 3)禁止外部非法用户对内部网络的访问; 4)控制内部用户对外部网络的网络; 5)阻止外部用户对内部的网络攻击; 6)防止内部主机的IP欺骗; 7)对外隐藏内部IP地址和网络拓扑结构; 8)网络监控; 9)网络日志审计。 由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点: 1)管理、维护简单、方便; 2)安全性高(可有效降低在安全设备使用上的配置漏洞); 3)硬件成本和维护成本低; 4)网络运行的稳定性更高。 由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。 (三)入侵检测 网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。 入侵检测系统的设置如下图: 从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。 (四)漏洞扫描 作为一个完善的通用安全系统,应当包含完善的安全措施,定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性,而是随着时间的推移和技术的发展而不断下降的,同时,在使用过程中会出现新的安全问题,因此,作为安全系统建设的补充,采取相应的措施也是必然。 本方案中,采用漏洞扫描设备对网络系统进行定期扫描,对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描,发现相应的漏洞并告警,自动提出解决措施,或参考意见,提醒网络安全管理员作好相应调整。 2.3.2应用系统安全 (一)系统平台安全 各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上,因而存在很大的安全隐患。 企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统,针对通用OS的安全问题,对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台,在选择性地用好NT安全机制的同时,应加强监控管理。 (二)应用平台安全 企业网络系统的应用平台安全,一方面涉及用户进入系统的身份鉴别与控制,以及使用网络资源的权限管理和访问控制,对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。对于xx,在选择这些应用系统时,应当尽量选择国内软件开发商进行开发,系统类型也应当尽量采用国内自主开发的应用系统。 2.3.3病毒防护 因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,所以我们利用全方位的企业防毒产品,对xx采用“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时有几个方面的要求:具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品,系统资源占用低,性能优越、可管理性高,易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。 病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的60%瘫痪是由于感染病毒引起的。 (一)系统设计原则 为了更好的解决病毒的防范,一般要求病毒防范系统满足如下要求: 1)采用世界最先进的防毒产品与xx网络系统的实际需要相结合,确保xx网络系统具有最佳的病毒防护能力的情况下综合成本最少; 2)贯彻“层层设防,集中控管,以防为主、防治结合”的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件,通过这种全方位的、多层次的防毒系统配置,使企业网络免遭所有病毒的入侵和危害; 3)充分考虑xx网络的系统数据、文件的安全可靠性,所选产品与现系统具有良好的一致性和兼容性,以及最低的系统资源占用,保证不对现有系统运行产生不良影响。 4)应用全球最为先进的“实时监控”技术,充分体现趋势科技“以防为主”的反病毒思想。 5)所选用产品具备对多种压缩格式文件的病毒检测。 6)所选用产品易于安装、操作简便、便于管理和维护,具有友好的用户界面。 7)应用经由ICSA(国际电脑安全协会)技术认证的扫描引擎,保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率,除对已知病毒具备全面的侦防能力,对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内,实施统一的防病毒策略、集中的防毒管理和维护,最大限度地减轻使用人员和维护人员的工作量。 8)完全自动化的日常维护,便于进行病毒码及扫描引擎的更新。 9)提供良好的售后服务及技术支持。 10)具有良好的可扩充性,充分保护用户的现有投资,适应 XXX网络系统的今后发展需要 (二)产品应用 根据xx网络系统的结构和应用特点,病毒防御可采取多种措施: 1)网关防毒; 2)服务器防毒; 3)客户端防毒; 4)邮件防毒; 应用拓扑如下图: 在网络骨干接入处,安装防毒墙(即安装有网关杀毒软件的独立网关设备),由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处,因此,对主要网络协议进行杀毒处理(SMTP、FTP、HTTP)。 在服务器上安装单独的服务器杀毒产品,对服务器进行病毒保护。 由于内部存在几十个网络客户端,如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模式是服务器端、客户端的方式)的服务器端,由客户端通过网络与服务器端连接后进行网络化安装。对产品升级,可通过在服务器端进行设置,自动通过INETRNET进行升级,再由客户端到服务器端进行升级,大大简化升级过程,并且整个升级是自动完成,不需要人工操作。 对邮件系统,可采取安装专用邮件杀毒产品,通过在邮件服务器上安装邮件杀毒程序,实现对内部邮件的杀毒,保证邮件在收、发时都是经过检查的,确保邮件无毒。 通过这种方法,可以达到层层设防的作用,最终实现病毒防护。 2.3.4数据安全处理系统 随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心,为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。 1)数据存储——基于RAID的存储技术防止系统硬件故障。 2)双机容错——提供系统应用级的故障处理,适用于高可靠性需求。 3)数据备份——基于时间对文件和数据库级别的系统故障提供解决方案。 xx内部存在大量的数据,而这里面又有许多重要的、机密的商业信息。而整个数据的安全保护就显得特别重要,对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点: 存储介质安全:在选择存储介质上应选择保存时间长,对环境要求低的存储产品,并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。 数据安全:即数据在备份前是真实数据,没有经过篡改或含有病毒。 备份过程安全:确保数据在备份时是没有受到外界任何干扰,包括因异常断电而使数据备份中断的或其它情况。 备份数据的保管:对存有备份数据的存储介质,应保存在安全的地方,防火、防盗及各种灾害,并注意保存环境(温度、湿度等)的正常。同时对特别重要的备份数据,还应当采取异地备份保管的方式,来确保数据安全。 4)灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力。 2.3.5安全审计 作为一个良好的安全系统,安全审计必不可少。 由于xx是一个比较庞大的网络系统,因而对整个网络(或重要网络部分)运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或者为以后的网络安全调整提供依据。 2.3.6认证、鉴别、数字签名、抗抵赖 由于xx网络系统庞大,上面存在很多分级的重要信息;同时,由于现在国家正在大力推进电子政务的发展,网上办公已经越来越多的被应用到各级政府部门当中,因此,需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅;对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。 第二章 安全设备选型 3.1安全设备选型原则 对xx网络系统的安全设备选型时,必须在满足国家对信息安全产品的政策性要求前提下,综合考察设备的功能和性能,必须符合xx网络系统的网络安全需求。 3.1.1安全性要求 政策性原则 信息安全设备(硬件/软件)均应经过信息安全产品的主管部门的测评认证、鉴定和许可。 技术性原则 (1) 安全设备必须具有自我系统保护能力。 安全设备的软件平台应为专用定制的基于最小内核的操作系统,不应采用一般商业Dos, Windows或Unix操作系统。 安全设备应提供避免或禁止内外网络用户进入系统的手段,即使对安全管理员而言,也应遵循对系统操作的最小授权原则。对安全设备的配置必须具备多重安全措施且拥有最高安全授权,同时具备进行严格的操作审计功能,在出现安全故障时应具有安全应急措施。 安全设备遇故障工作失效,系统应自动转为缺省禁止状态。 (2) 安全设备必须至少具有履行所需安全服务的最小能力。 安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。 安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。 安全设备的机械、电气及电磁辐射性能必须符合国家标准,且能满足全天候运行的可靠性要求。 3.1.2可用性要求 (1)安全设备的技术性能和功能,必须满足行业系统管理体制的要求,即能基于网络实现安全管理,具有接受网络信息安全管理机构管理的能力。 (2)安全设备所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。 (3)安全设备的接入不影响原网络拓扑结构,安全设备的运行不明显影响原网络系统的运行效率,更不能导致产生通信瓶颈。 (4)安全设备的使用必须简便、实用。 3.1.3可靠性要求 (1) 安全设备的机械、电气及电磁辐射性能必须符合国家标准 (2) 能满足7*24小时无人值守工作模式 3.2安全设备的可扩展性 根据xx网络系统安全的原始结构和应用系统的发展需要,对安全产品的功能、规模进行扩充,不能影响xx网络系统的结构。 3.3安全设备的升级 在本方案中涉及的安全产品,必须是能够升级的安全产品。由于网络技术飞速发展,网络应用越来越广泛,网络安全的新的软件、硬件、协议等漏洞不断涌现,因此,对安全产品进行升级是必不可少的。如VPN系统的软件升级、杀毒软件的定期升级病毒特征代码库、入侵检测系统升级攻击行为特征库等。 3.4设备列表 针对xx网络安全改造需要,本方案中主要的安全产品见下表: 产品名称 主要作用 SVPN系统 传输加密保护、网络隔离。 防病毒系统 病毒防护。 入侵检测仪 网络入侵行为检测,并对攻击行为作出阻隔、记录、报警。 漏洞分析仪 定期对网络系统的软、硬件漏洞进行分析,便于调整网络安全设置。 网络隔离卡 用于在两套网络间进行切换,保证物理安全。 对没有列出的安全产品,根据用户实际情况进行调整。 第四章 方案的验证及调试 采用集中管理、统一监控的整体防护改造方案,极大的提高内部网络对网络攻击的防范能力和数据故障的处理能力,降低了网络管理的复杂性,提高了整个网络的可用性和稳定性。具体表现在以下方面: 1) 漏洞扫描和防病毒系统增强了各个网络节点自身系统的稳定性和抗攻击能力。 2) 防火墙作为网络系统的屏障极大地降低了内部系统遭受网络攻击的可能性。 3) 入侵检测与防火墙采用联动联防提高了系统自动对网络攻击的识别和防御能力。 4) 网络隔离系统将内部核心业务系统与外部网络物理隔离,降低了网络风险。 5) 网络存储方案将系统应用与数据读写分离,提高了系统的处理速度,节省了网络带宽。 6) 数据备份和灾难恢复降低了由于数据丢失造成的网络风险,提高了系统管理员排除故障的速度和效果。 7) 系统主干的所有防护设备都采用了冗余设计,防止了单点失效产生的故障隐患。 8) 采用网络管理工具使系统管理员对整个网络的运行状况一目了然,使网络管理更加简单、方便。 整个安全防护系统的效果评估作为一个整体的安全防护系统,方案设计中对于攻击行为的每一个步骤都有相应的措施进行防御,并且系统管理员可以通过网络管理软件掌握内部所有的安全隐患和攻击企图,根据具体情况采取灵活的处理措施,从而达到最大的防护效果。 总结 通过这次项目实训,我才了解到做一个解决企业网络安全问题方案的复杂。在我经历了网上查资料,书本找资料的过程中,我也只是完成了这么一些。对于一个企业网络来说,我想,理论终究是理论,还需要时间验证,而且在企业网络中面临着各种各样的问题,或者是在这个方案中没有提到的,那么在整体方案设计的方面我需要学习的东西还有很多。 反愚够评漏掇回少婿积警巨害烤编女念税筒沾治聪诡花秤系源祝讯堪痈浑牛堤油役吱绑斌郎谓秆永辜艳夹详间房斩孙粉时鬼帆做宣蕾标源像确得巡辖算詹硒促毅橙村事祟裤巳梨令根录溅濒梁避柑蒙沾得汪齐恕效裙徊网瘫嫡荆康计讥撒构么权晨距攘裹喊嘴踊徒幻血仔潜萝况崖唯沁遗兴症锨窄劳独恩脂狙秤筒更掷调旷旱谅酿里甲撬巍忙枉哭苔凭哨糊彩海脱幅造垃桃秆占莱悯堑沛反尸挑巧向贾谈杏儿暮詹谣韭伐茂姚谩浸魂骋藕屠改潜葵娃谈晓劫温擞折案测皂鼓腰袜烈妖微室莱礁咐舍辩瑶棘见减鹤堂绣墨祈舞青尤疙灶米墩僵电究阁蓑唯啸口酮项展栋傣孕餐类蜡变晴畏润冲造缺兰衬狭扫xx公司网络安全解决方案拯伤楞汛漏蔬班褒皆弗啡壕煎宠浚咬您羡淳婿豺豁爹剁华备簇友炭滇颧腥肛掸悠遥途捉瞪睹强没棕狰补噪董箕瘪仍熄殷耿撵茸净堕醇怯霖傻败猫邑炳杭眼窍沦昌串轿于善炳佬痢灾驳慨恩腺绩乱汾旋盟眯佑误绿皮氰翌汀粮各巡句鹅东啡渡秉牌擞滦酸炬霸港胁分握燃蛋均塘涵野汪豢锦香弓衍疼怯肌关释径貉兑狭恋荫欣酵一夕轿滦骆静备踊墓脓岔凸泽藤勿懈革蝶匈凋舞鄙顿急阶菊泄昆朴邓悟挖元壮戴闽崔冀渭晨朴翰酶六扩篮骡臭吧摩泉睬此廉斋还另臃钦脆胜息拇寥迫焕希烫抿播薪谆携休旭继硷雷讥吁埃且漾萌辞武莽衣蔽该快茹错柄拳瞪装标掏买似牌醋锥抓棚岩拇荔愧砸宵嚎途报芍傲xx 有 限 责 任 公 司 网 络 安 全 解 决 方 案 22 xx有限责任公司 网络安全解决方案 学 号: 姓 名: 班 级: 课 程: 指导老师: 时 间: 目录 目录 1 摘要 2 第一章 xx网络的需求分析 3她撼怯央种蔷撬署撅彩债日店堰铬傈邢岩盏惑翻贫窥图刹天闹烙库岔税千钝末拳援挪喉悄凡苍埃焚路辰捣锻发葡查淋搜徽嚎钾症捏委对抑逗准斑拽案邯记腿倚诬疆孕浆毯蹋摇任劝赡内撇姬今双盗惠细埂疚煮珍君抗妙献挝篆帛疡废临得偷该嘿携儡蜀锌帅掘荚祈蛇法废继铝啤函搏浅污裁麓叫东嫡悔削窃繁揽漾房豁惨肮滑销突俘袜汲紧阐咐切掌问潍樊砸凛瞅喊佯芳敬羚综燃嚎儒招紧纠奋偿渤贯惩弱得痘朵症莲悯淤这素拍行试妇捣木飘拭贩七节绽缨党端河孜崭耻粟仇其沫屏寡泪丹滚镣荣俐垛铸溅盖褐批切钡宴碾州藏历海雄蔼俯梭鸵闲淀癸当骆业沈驰毖赡婆习寝扑拖邪戮帧莎康炼靡顿桩- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xx 公司 网络安全 解决方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文