企业oa办公系统设计方案范文.doc
《企业oa办公系统设计方案范文.doc》由会员分享,可在线阅读,更多相关《企业oa办公系统设计方案范文.doc(19页珍藏版)》请在咨信网上搜索。
1、企业oa办公系统设计方案天互数据1. 项目背景伴随业务应用系统不停扩展,尤其是基于internet应用日益丰富,信息安全形式趋于复杂化,威胁形式更为丰富,安全事故带来危害及影响也越来越大。目前企业已经有防护体系在防护构造和防护手段方面需要针对新状况进行重新评估和设计,以满足企业内网办公系统网络安全设计方案信息化发展规定,为企业内网办公系统网络安全设计方案业务应用提供全面安全保障。2. 需求分析通过对企业内网办公系统网络安全设计方案网络系统进行实地检查和分析后,目前存在问题如下:1) Server1托管着辖区内所有单位门户网站,Server2是教育资源服务器,两台服务器都需要是对外进行数据交互,
2、从既有网络拓扑可以看出,采用目前这种布署方式使防火墙失去作用,整个网络拓扑存在很大安全隐患,需要对网络拓扑进行优化;2) 网络出口采用一台神州数码DCFW1800S-L防火墙,该设备无VPN功能,无法提供远程移动办公功能,且该设备老化严重,在性能及可靠性等方面均无法满足企业既有网络应用,急需要更换;3) 没有上网信息审计措施,不能满足国家对于政府机关接入互联网规定;4) 由于黑客、木马、等网络入侵越来越隐蔽,破坏性越来越大,防火墙承担着地址转换(NAT)、网络访问控制和网络边界隔离防护等工作,再加上对网络入侵行为鉴别需要消耗大量性能,这将会使防火墙成为网络瓶颈。同步防火墙对了来自内网袭击无能无
3、力,因此需要布署专业网络入侵检测系统;5) 网络关键采用一台Dlink DGS1024D互换机,该互换机为非智能型互换机,不支持Vlan划分、端口镜像及网络管理功能,伴随网络应用不停扩展,该型互换机已经不能满足实际使用需要;6) 网内没有布署专业网络版杀毒软件,无法做到统一杀毒、统一升级、统一管理,轻易形成管理死角,一旦发生毒害,无法精确定位及查杀。既有网络拓扑如下:3. 网络安全改造方案3.1. 建设原则网络安全建设是一种系统工程,企业内网办公系统网络安全设计方案安全体系建设应按照“统一规划、统筹安排、统一原则、互相配套”原则进行,采用先进“平台化”建设思想,防止反复投入、反复建设,充足考虑
4、整体和局部效益,坚持近期目与远期目相结合。在进行网络系统安全方案设计、规划时,应遵照如下原则:l 完整性:网络安全建设必须保证整个防御体系完整性。一种很好安全措施往往是多种措施合适综合应用成果。 l 经济性:根据保护对象价值、威胁以及存在风险,制定保护方略,使得系统安全和投资到达均衡,防止低价值对象采用高成本保护,反之亦然。l 动态性:伴随网络脆弱性变化和威胁袭击技术发展,使网络安全变成了一种动态过程,静止不变产品主线无法适应网络安全需要。所选用安全产品必须及时地、不停地改善和完善,及时进行技术和设备升级换代,只有这样才能保证系统安全性。l 专业性:袭击技术和防御技术是网络安全一对矛盾体,两种
5、技术从不一样角度不停地对系统安全提出了挑战,只有掌握了这两种技术才能对系统安全有全面认识,才能提供有效安全技术、产品、服务,这就需要从事安全企业拥有专业技术人才,并能长期进行技术研究、积累,从而全面、系统、深入为顾客提供服务。l 可管理性:安全管理定义为在一种包括服务、应用程序和网络架构IT环境中,提供高可靠性、私有性和安全。集中安全管理包括了技术实现和管理两方面。l 原则性:遵守国标、行业原则以及国际有关安全原则,是构建系统安全保障和基础。l 可控性:系统安全任何一种环节都应有很好可控性,他可以有效保证系统安全在可以控制范围,而这一点也是安全关键。这就规定对安全产品自身安全性和产品可客户化。
6、l 易用性:安全措施要由人来完毕,假如措施过于复杂,对人规定过高,一般人员难以胜任,有也许减少系统安全性。对于企业内网办公系统网络安全设计方案网络安全体系建立,我们提议采用以上原则,先对整个网络进行整体安全规划,然后根据实际状况建立一种从防护-检测-响应安全防护体系,提高整个网络安全性,保证应用系统安全性。3.2. 布署方案综合考虑企业内网办公系统网络安全设计方案网络应用现实状况及需求,结合我企业项目经验,本次方案布署如下:1) 优化网络拓扑,将网络划分为外网区、DMZ区、服务器区和内网区,外网区就是互联网;DMZ区为公共服务区,Server1和Server2放入该区;服务器区寄存内网服务器;
7、内网区是内网PC。各区之间数据交互由ACL(访问控制列表)进行控制;2) 将神州数码DCFW1800S-L防火墙更换为捷普F3000-160,该产品配置6*10/100/1000M,支持基于接口安全级别自定义,可满足后来扩展。特有流量控制、应用软件(P2P、IM、网络视频、网友、炒股)识别控制、URL分类库,可在线和离线升级;集成有VPN功能,支持远程移动办公;3) 布署捷普网络信息安全审计系统,该设备具有审计网络风险行为、防止敏感信息外泄、监控网络异常操作、监视异常流量和完善报警报表功能,完全满足国家对于政府机关接入互联网规定;4) 布署捷普网络入侵检测系统,该系统综合使用会话状态检测、应用
8、层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵检测与分析技术,综合虚拟引擎功能,可对包括多种网络数据进行全面监视和分析;5) 将Dlink DGS1024D更换为中兴S3928,该互换机为智能三层互换机,有24个FE+4个GE接口,支持Vlan划分(最大4K个)、支持ACL、支持端口镜像及网络管理功能;6) 布署瑞星网络版杀毒软件,可以做到全网统一杀毒、统一升级、统一管理。网络布署拓扑如下图所示:网络布署拓扑3.3. 产品简介3.3.1. 捷普防火墙功能特点:n 系统安全,全面防护遵照安全关联协议,保障协同防护;与IDS、信息审计等其他安全产品联动,构建立体安全保障体系; 支持多
9、种管理方式,可完毕防火墙方略集中管理,利于企业级顾客布署和管理。n 全面UTM,功能全面精确识别、控制应用层协议和行为,包括P2P下载,P2P视频,IM控制,在线游戏以及炒股软件等;WEB安全包括URL过滤和WEB防袭击功能,全面保证WEB安全;IPS和防病毒有效制止木马、蠕虫等袭击,FTP、SMTP、POP3、HTTP协议全支持;邮件过滤使顾客远离垃圾邮件困扰,实时黑名单和关键字过滤等多种技术保障;各个特性库实时云升级,保证不不小于一周升级时长;n 多重冗余,安全可靠防火墙多重管理,增强设备可靠性; 支持双ISP出口热备,保证链路备份; 多端口集合,实现零成本宽带扩展; 支持会话同步、配置同
10、步双机热备、负载均衡,冗余而不损失安全性;n 扩展功能 支持网络接口扩展,主流千兆最大可扩展至32个千兆网络接口,百兆平台最大可扩展到10个网络接口,充足满足顾客需求; 支持IPSec、动态路由、流量控制、上网行为管理并支持绿色上网升级服务。3.3.2. 捷普入侵检测系统捷普入侵检测系统是一种动态网络信息安全技术,它可以发现入侵者实时袭击行为,并对其进行响应。从网络信息安全防护上讲,防火墙技术给出了一种静态防护概念,而入侵检测技术具有动态防御意义。入侵检测具有监视分析顾客和系统行为、审计系统配置和漏洞、识别袭击行为、对异常行为进行记录,使系统管理员可以较有效地监视、审计、评估自己系统。在入侵检
11、测系统配置中,我们对网络系统进行实时监控与阻断响应,它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、汇报生成等多项功能分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员及时提供网络入侵预警和防备处理方案,还使得对于检查黑客入侵,变得有迹可寻,为顾客采用深入行动提供了强有力技术支持,大大加强了对恶意黑客威慑力量。捷普入侵检测系统特性:l 全面入侵检测入侵检测能力取决于两个方面技术:袭击特性分析技术和入侵检测支撑技术。在入侵检测支撑技术上,技术优势体目前高速捕包、深入协议分析技术、高速树型匹配技术、防规避处理技术以及事件风暴处理技术等多种方面,有效地保证了入侵检
12、测精确性、有效性和高性能。l 以入侵检测为关键动态安全体系伴随网络脆弱性变化和威胁袭击技术发展,使网络信息安全变成了一种动态过程,静止不变产品主线无法适应网络信息安全需要。同步由于单一安全产品对安全问题发现处理控制等能力各有优劣,因此不一样安全产品之间安全互补,可以提高系统对安全事件响应精确性和全面性,使防护体系由静态到动态,由平面到立体,不仅增强了入侵检测系统响应能力,减少了入侵检测误报率,充足发挥了入侵检测作用,同步提高了防火墙机动性和实时反应能力。因此, 以入侵检测系统为关键动态防御体系,可以实现入侵检测和防火墙、入侵检测和漏洞扫描等防护系统联动。l 入侵检测系统可以进行针对TCP连接阻
13、断。不过,对于网络上错综复杂袭击事件,网络入侵检测系统防护效果还是不够全面。防火墙作为网络系统专用安全防护工具,其防护能力与入侵检测产品响应能力可以互相补充。因此,使用入侵检测系统与防火墙联动方式,来实现整体防护。当入侵检测检测到此袭击事件时,会实时传送一种防护方略给防火墙,由防火墙来执行此方略,实现入侵阻断。l 入侵检测系统与漏洞扫描系统联动入侵检测在发现袭击行为同步,发出指令告知漏洞扫描系统,对被袭击目机或袭击源进行扫描,来确认袭击源存在和被袭击机系统存在漏洞,以作到积极防御。同步,通过获得漏洞扫描系统扫描成果,可动态修改入侵检测系统检测方略,使入侵检测系统事件报警愈加精确,提高入侵检测系
14、统运行效率。l 基于入侵检测系统应急响应通过入侵检测系统强大功能为应急响应提供有力技术支撑和充足信息支持,实行应急响应来处理实际网络信息安全问题。入侵检测系统应急响应体系架构如下图示。其中,技术包括4个方面:检测发现、事件分析、事件报警、事件处理,这是一种安全事件发现和处理流程。具有这几项技术支撑是具有庞大知识库,可以进行入侵管理。而应急响应体系组织构造、处理规范、响应流程都是保证应急响应可以正常开展管理要素。l 异常流量分析实时监控网络流量,进行网络流量分类分析和记录;产生例如提供点对点数据流量及流量排名详细图表;定义流量异常阀值,对异常流量进行实时报警。l 内容异常分析基于异常检测技术可以
15、发现可疑网络行为,可以对未知袭击方式发出预警信号,是对其他措施有利补充。同步,采用“多目跟踪锁定”功能,对顾客所设定异常报警内容进行多方位定点跟踪和显示,“凸出”顾客所关怀信息。l 行为关联分析一种真正袭击不是一种单独行为就可以发现,必须分析一系列单独行为,找到其中行为关联关系,才能更好地识别袭击,管理已发生入侵事件,处理垃圾报警信息,精确描述袭击行为。l 网络病毒分析针对目前流行网络蠕虫和病毒进行预警,包括Nimda蠕虫、Sql slammer蠕虫等。强调实现以入侵检测为关键安全防御体系。入侵检测系统与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均可实现联动,这些联动自身就是应急
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 oa 办公 系统 设计方案 范文
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。