公司网络安全设计方案.doc
《公司网络安全设计方案.doc》由会员分享,可在线阅读,更多相关《公司网络安全设计方案.doc(13页珍藏版)》请在咨信网上搜索。
公司网络安全设计方案 13 2020年4月19日 文档仅供参考 XX公司网络信息系统的安全方案设计书 XX公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机500余台,经过内部网相互连接与外网互联。在内部网络中,各服务部门计算机在同一网段,经过交换机连接。如下图所示: 1.2安全隐患分析 1.2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 1.2.2管理的安全隐患 管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大﹑开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。 1.2.3操作系统的安全漏洞 计算机操作系统特别服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不但影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。 1.2.4病毒侵害 网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1需求分析 XX公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要她们之间相互隔离。同时由于考虑到Internet的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划;2.保护网络系统的可用性;3.保护网络系统服务的连续性;4.防范网络资源的非法访问及非授权访问;5.防范入侵者的恶意攻击与破坏;6.保护企业信息经过网上传输过程中的机密性、完整性;7.防范病毒的侵害;8.实现网络的安全管理。 经过了解XX公司的虚求与现状,为实现XX网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。经过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。经过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1) 构建良好的环境确保企业物理设备的安全 (2) 划分VLAN控制内网安全 (3) 安装防火墙体系 (4) 安装防病毒服务器 (5) 加强企业对网络资源的管理 如前所述,XX公司信息系统存在较大的风险,网络信息安全的需求主要体现在如下几点: (1)XX公司信息系统不但需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使XX公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是XX公司面临的重要课题。 网络信息安全策略及整体方案 信息安全的目标是经过系统及网络安全配置,应用防火墙及入侵检测、安全扫描、网络防病毒等技术,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,监控整个网络的运行状况。 3.1 方案综述 XX公司整个网络安全系统从物理上划分4个部分,即计算机网络中心、财务部、业务部及网络开发中心。从而在结构上形成以计算机网络中心为中心,对其它部分进行统一的网络规划和管理。每个安全区域有一套相对独立的网络安全系统,这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制,防止安全事件扩散,将事件控制在最小范围。经过对XX公司现状的分析与研究以及对当前安全技术的研究分析,我们制定如下企业信息安全策略。 3.1.1防火墙实施方案 根据网络整体安全及保证财务部的安全考虑,采用两台cisco pix535防火墙,一防火墙对财务部与企业内网进行隔离,另一防火墙对Internet与企业内网之间进行隔离,其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。 防火墙设置原则如下所示:建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问;防火墙DMZ区访问控制,只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其它服务,防范外部来的拒绝服务攻击;定期查看防火墙访问日志;对防火墙的管理员权限严格控制。 3.1.2 Internet连接与备份方案 防火墙经外网交换机接入Internet。此区域当前存在一定的安全隐患:首先,防火墙作为企业接入Internet的出口,占有及其重要的作用,一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题,都会造成全台与Internet失去连接;其次,当前的防火墙无法对进入网络的病毒进行有效的拦截。 为此,新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤,使病毒数据包无法进入网络,提高内网的安全性。防火墙连接只在主核心交换机上,而且采用两台防火墙进行热备配置,分别连接两台核心交换机。设备及链路都进行了冗余配置,提高了网络的健壮性。 根据改企业未来的应用需求,可考虑网络改造后,将Internet连接带宽升级为100M。 3.1.3入侵检测方案 在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection) ,并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测代理,对网络入侵进行检测和响应。 3.1.4 VPN系统 考虑到改公司和其子公司与其它兄弟公司的通信,经过安装部署VPN系统,能够为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,经过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户能够安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。 集中的安全策略管理能够对整个VPN网络的安全策略进行集中管理和配置。 3.1.5网络安全漏洞 企业网络拥有WWW、邮件、域、视频等服务器,还有重要的数据库服务器,对于管理人员来说,无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,达到增强网络安全性的目的。 3.1.6防病毒方案 采用Symantec网络防病毒软件,建立企业整体防病毒体系,对网络内的服务器和所有计算机设备采取全面病毒防护。而且需要在网络中心设置病毒防护管理中心,经过防病毒管理中心将局域网内所有计算机创立在同一防病毒管理域内。经过防病毒管理域的主服务器,对整个域进行防病毒管理,制定统一的防毒策略,设定域扫描作业,安排系统自动查、杀病毒。 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控;可实现对所有防毒软件的集中管理、集中设置、集中维护;可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式,对病毒的爆发进行报警;可集中获得防毒系统的日志信息;管理人员可方便地对系统情况进行汇总和分析。 根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具,采取相关措施,防范于未然。 3.1.7访问控制管理 实施有效的用户口令和访问控制,确保只有合法用户才能访问合法资源。在内网中系统管理员必须管理好所有的设备口令,不要在不同系统上使用同一口令;口令中最好要有大小写字母、字符、数字;定期改变自己的口令。 3.1.8重要文件及内部资料管理 定期对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件,全面地保护数据的安全。 系统软件、应用软件及信息数据要实施保密,并自觉对文件进行分级管理,注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器,利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施。 3.2网络信息管理策略 计算机网络中心设计即公司网络安全管理策略的建设如下: (1)身份认证中心建设。身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,能够存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。 基于PKI的USB Key的解决方案不但能够提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统经过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 (2)安全登录系统。由于网络开发中心以及财务部门涉及公司的网络部署以及财务状况,需要高度保密,只有公司网络安全主管、财务主管以及公司法人才能够登录相应的网络,而安全登录系统正是提供了对系统和网络登录的身份认证,使用后,只有具有指定智能密码钥匙的人才能够登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 (3)文件加密系统。与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施,文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 (4)防毒中心建设。病毒对公司网络的攻击对公司的整体运转造成威胁,因此公司各部门均需要建设完善的防毒中心,使用企业版的防病毒系统的分级管理功能,对网络进行管理单元划分。在网络中心建立以及防病毒服务器,负责所有二级防病毒服务器的统一管理。在不同的子系统建立二级防病毒服务器,负责本部的防病毒客户端管理。- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公司 网络安全 设计方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文