长 治 市 潞 盈 科 贸 有 限 公 司
网络安全解决方案
建立日期:
修改日期:
文控编号:
作
日
者:
期:
____________________________________________________________________________________________
第 1 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
目 录
摘要..................................................................................................................................................... 3
1. 网络的需求分析.............................................................................................................................3
1.1 网络现状描述 ................................................................................................................................ 4
1.2 网络的漏同分析 ............................................................................................................................ 4
1.2.1 物理安全 .................................................................................................................................4
1.2.2 主机安全 .................................................................................................................................4
1.2.3 外部安全 .................................................................................................................................5
1.2.4 内部安全 .................................................................................................................................5
2. 网络安全解决方案.........................................................................................................................6
2.1 物理安全 ........................................................................................................................................ 6
2.2 主机安全 ........................................................................................................................................ 6
2.3 网络安全 ........................................................................................................................................ 7
2.3.1 网络系统安全 .........................................................................................................................7
2.3.2 应用系统安全 .......................................................................................................................12
2.3.3 病毒防护 ...............................................................................................................................12
2.4 数据安全 ...................................................................................................................................... 14
2.5 病毒之后的解决办法 .................................................................................................................. 15
3. 安全设各选型 ...............................................................................................................................16
3.1 安全设备选型原则 ...................................................................................................................... 16
3.1.1 安全性要求 ...........................................................................................................................16
3.1.2 可用性要求 ...........................................................................................................................17
3.1.3 可靠性要求 ...........................................................................................................................17
3.2 安全设备的可扩展性 .................................................................................................................. 17
3.3 安全设备的升级 .......................................................................................................................... 17
3.4 设备列表 ...................................................................................................................................... 18
____________________________________________________________________________________________
第 2 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
摘要
随着网络的高速发展,网络的安全问题日益突出,近两年间黑客攻击、网络病毒等屡
屡曝光, 很多企业及相关部门也一再三令五申要求切实做好网络安全建设和管理工作 。
经过调査, 我们发现, 公司的网络安全也存在以下几个问题:
第一、机房网络设施不齐全;
第二、存在数据安全的问题,
第三、计算机病毒泛滥,给高数率工作造成极大的不便,
第四、网络攻击严重,严重影响了日常的工作。
基于公司网络安全出现的上述问题,本设计方案将在物理安全、主机安全、网络安
全三个方面提出了实际的解决措施。
1. 网络的需求分析
____________________________________________________________________________________________
第 3 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
1.1 网络现状描述
随者公司多年的发展,以及技术的更新,网络设各也在不断地更新換代,同时企业间的
收购, 合并重组等商业行为, 都会给企业网络带来一整套完全不同的网络设备、独立的办
公室以及工作团队。由于以上种种原因, 公司的网络不断扩充问题也不断出现。
公司原有的安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相
应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞, 使系统在实际运
行中遭受攻击, 系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的
安全防护方案使系统管理人员忙于处理不同系统产生的各种故障 。 人力资源浪费很大,
而且往往是在系统破坏造成以后进行处理, 防护效果不理想, 也很难对网络的整体防护
做出规划和评估, 同时也提高了公司在这方面的维护经费 。
经过分析后发现,公司的安全漏洞主要存在于系统中最薄弱的环节各种系统、 网关
无一不直接威胁着网络的正常运行; 要防止网络系统遭到非法入侵、 未经授权的存取或
破坏可能造成的数据丢失、系统崩溃等同题, 而这些都不是单一 的防病毒软件外加服务
器就能够解决的。
1.2 网络的漏同分析
1.2.1 物理安全
网络的物理安全是整个网络系统安全的前提,在公司的企业局域网内,由于网络的物
理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,
防止非法进入计算机控制室和各种盜窃、 破坏活动的发生, 这一方面的风险是可以避免
的 。
1.2.2 主机安全
在中国我们可以这样讲没有完全安全的操作系统。但是,我们可以对现有的操作平合
进行安全配置、 对操作和访问权限进行严格控制, 提高系统的安全性。因此,在本方案中,
____________________________________________________________________________________________
第 4 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
不但要选用尽可能可靠的操作系统和硬件平台。而且, 必须加强登录过程的认证, 特别是
在到达服务器主机之前的认证, 确保用户的合法性, 其次应该严格限制登录者的操作权
限, 将其完成的操作限制在最小的范国内。同时, 企业主机也存在者各种各样的安全问
题。 使用者的使用权限不同, 企业主机所付与的管理权限也不一样, 同一合主机对不同
的人有者不同的使用范围。企业主机也会受到来自病毒,黑客等的袭击,例如前一段时间
公司受到非法入侵,入侵者上传了大量的本马,给公司的主机造成了很大的破坏,因此,企业
主机对此也必须做好预防 。在安装应用程序的时候, 还得注意它的合法权限, 以防止它
所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机
密。
1.2.3 外部安全
外部安全主要指来自外部的一些威胁和破坏, 主要是以下几个方面:
1)、拒绝服务攻击
2)、外部入侵
这里是通常所说的黑客威胁 。当前大多数电信网络设备和服务都存在着被入侵的
痕迹, 甚至各种后门 。这些是对网络自主运行的控制权的巨大威胁, 使得企业在重要和
关键应用场合没有信心, 损失业务, 甚至造成灾难性后果 。
3)、病毒
病毒对信息系统的正常工作違行产生很大影响, 据统计, 信息系统的 60%瘫痪是由
于感染病毒引起的。
1.2.4 内部安全
调査显示, 有的员工利用网络处理某些事务。对网络的不正当使用,间接降低了生
产率、阻碍电脑网络、消耗企业网络资源、并很可能引入病毒和间谍,使得不法员工可以
通过网络泄漏企业机密, 从而导致企业蒙受巨大的的损失。
员工在连接外网的同时可能在 WWW 站点上不小心下载或感染病毒或木马。逐渐的
病毒或木马会在整个网络中传播开来,甚至也会不小心的影响到重要的文件和数据。还
____________________________________________________________________________________________
第 5 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
有员工的误操作,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入
数据库、删除数据等等。这些都是公司内部网络中潜存的威胁。
2. 网络安全解决方案
2.1 物理安全
公司各级网络内部存在重要的信息点, 如内部核心应用系统, 环境等都需要保护,它
主要包括三个方面:
l)环境安全:对系统所在环境的安全保护,确保网络设备有一个良好的电磁兼容环境,
物理位置选择、物理访问控制、防雷击、防火、防水、防潮湿、防静电、电力保障、电
磁防护抑制和防止电磁泄露等;
2)设备安全:主要包括设各的防盗、防毁坏及电源保护等。对中心机房和关键信息点
采取多种安全防范措施, 确保非授权人员无法进入 。 中心机房处理秘密级、 机密级信
息的系统均采用有效的电子门控系统等。
3) 媒体安全: 包括媒体数据的安全及媒体本身的安全。
2.2 主机安全
根据 公司网络内主机的安全防护现状,可以制定了以下策略.
1) 所有本地服务器进行统一管理,都转移到杨暴粉煤灰机房。并对服务器用户进
行分组管理, 根据不同的安全级别将用户分为若干等级, 每一等级的用户只能访问与其
等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证, 确保用户的密码
不会被他人所猜测到,建议密码设置尽量使用数字、字母和符号。
2) 及时更新主机系统, 防止因系统漏洞而遭到黑客或病毒的攻击。
3) 对子应用服务,我们应该只开放那些需要的服务,并随时更新。而对于那些用不到
的服务应该尽量关闭。
4) 安装并及时升级杀毒软件以避免来自病毒的苦恼 。
____________________________________________________________________________________________
第 6 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
5) 安装防火墙可以有效的防止黑客的攻击 。
6)所有本地服务器只开启指定端口,其它不适用的端口一律关闭。
2.3 网络安全
2.3.1 网络系统安全
作为企业应用业务系统的承裁平台, 网络系统的安全显得尤为重要 。 因为许多重
要的信息都通过网络进行交換。
(一) 网络传输
由于 公司中心内部网络存在两套网络系统,其中一套为内部网络,主要适行的是内
部办公、业务系统等;另一套是与 INTERNET 相连,通过 ADSL 接入,并与企业系统内部的
上、 下级机构网络相连。 通过公共线路建立跨越 INTERNET 的企业集团内部局域网,
并通过网络进行数据交换、信息共享。而 INTERNET 本身就缺乏有效的安全保护, 如果
不采取相应的安全措施, 易受到来自网络上任意主机的监听而造成重要信息的泄密或非
法簒改, 产生严重的后果。
在该解決方案中对网络传输安全部分推荐采用 VPN 设备来构建内联网。可在每级
管理域内设置一套 VPN 设备,由 VPN 设各实现网络传输的加密保护。根据企业三级网
络结构, VPN 设置如下图所示:
____________________________________________________________________________________________
第 7 页 / 共 18 页
长 治 市 潞 盈 科 贸 有 限 公 司
每一级的设置及管理方法相同 。即在每一级的中心网络安装一台 VPN 设备和一台
VPN 认证服务器(VPN-CA) ,在所属的直属单位的网络接入处安装一台 VPN 设备, 由上
级的 VPN 认证服务器通过网络对下一级的 VPN 设各进行集中统一的网络化管理. 可达
到以下几个目的:
网络传输数据保护: 由安装在网络上的 VPN 设备实现各内部网络之间的数据传输
加密保护, 并可同时采取加密或隧道的方式进行传输,
网络隔离保护:与 INTERNET 进行隔离,控制内网与 INTERNET 的相互访问;
集中统一管理, 提高网络安全性,
降低成本(设各成本和维护成本) ,
其中,在各级中心网络的 VPN 设备设置如下图:
____________________________________________________________________________________________
第 8 页 / 共 18 页