企业网络安全方案设计(精选十篇)
企业网络安全方案设计 篇1
尽管现在计算机网络技术发展的越来做快, 而且信息全球化也逐渐渗透, 我们都可以切身感受到信息技术为我们带来的便利, 但是在这个过程中却出现了很多的网络安全问题, 如果仍然使用原来的网络安全防范对策是不够的, 因为原来的防范力度较小, 难以适应时代的发展潮流。现在很多的企业都有自己独特的网络系统, 在企业内部的网络系统中存在着很多的企业信息和重要数据等, 如果这些关键信息数据在进行传输或者是使用的过程中被盗就会对企业造成非常严重的影响, 若是企业关键信息被恶意损坏同样也会造成企业的损失。所以为了保证企业的健康发展与持续运行必须要引进相关的网络安全系统, 保护企业的数据信息资料。
1 企业网络安全现状
如今科学技术发展程度不断提高, 信息网络的公开性和共享性也有了进一步的扩大, 企业网络普及率上升, 在这个过程中为企业的发展带来了很大的好处, 不过, 却出现了网络安全问题, 对企业的健康发展与运行造成了威胁, 所以企业相关管理人员必须要重视企业的网络安全问题, 现在企业在发展的过程中除了要合理的利用信息资源, 将资源发挥出最大的效益, 还需要保护好企业的信息资源数据, 这是现阶段困扰企业持续发展的一个难题。
企业的网络安全问题主要来源大体上可以分为两个方面, 其一是企业内部人员的恶意破坏, 其二是外部人员对企业进行攻击破坏等。企业的内部人员可能会发现企业安全软件存在的漏洞, 通过这些漏洞攻击企业的安全软件, 对企业网络安全造成严重的威胁, 企业的外部人员主要是对企业内部网络植入木马病毒, 从而获取企业的机密信息资料, 透露给其竞争企业, 从中得到报酬奖励。除了这些, 还有的恶意攻击人员会对企业的安全网络进行非授权访问, 还会假意冒充企业的合法用户, 进入到企业的内部网络中对其攻击破坏, 威胁企业的网络安全。
2 企业网络安全需求
2.1 办公网设备实体安全需求
企业里的办公设备实体主要包括交换机和企业员工所使用的电脑等, 在对这些设备进行管理的过程中必须要重视安全问题, 如果管控不当的话会造成很严重的损失, 企业的发展也会因此受到威胁, 所以必须要对设备进行严格的安全管理, 保护设备的安全性。在大多数情况下, 企业的办公网络的一些最关键的设备与其他的服务器都放置在一个机房之内, 而且很多企业使用的粗电池并没有很长的使用寿命, 蓄电量不够, 所以如果停电的时间过长的话就会对企业的设备造成严重的影响, 设备的使用将会受到阻碍。不仅如此, 影响企业网络安全的因素还有很多, 比如说, 现在有很多的企业在对企业机房进行管理的过程中并没有完善合理的措施, 没有严格的限制进出入机房的人员, 闲杂人等也会出入机房, 而且交换机机柜的管理也不够完善, 交换机在不使用的时候没有上锁, 所以会有很多的人对其进行随意的使用, 难以保证设备的安全性, 企业的顺利运营都会受到严重的影响, 更严重的是企业的服务器相关数据可能会丢失或者是被损坏, 对企业来说是非常严重的损失。
2.2 个人办公电脑系统安全需求
在实际的运营过程中, 企业的一些关键文件信息或者是报表数据等员工都可以在自己的电脑中看到, 这样做的主要目的是为了方便员工获取资料数据, 更好的工作, 从而提高员工的工作效率, 尽管这样做对员工工作来说是很有帮助作用的, 但是在这个过程中却存在着很大的安全隐患, 可能会对企业的安全造成威胁, 因为, 企业的员工众多, 如果恶意破坏人员攻击了任何一位员工的电脑, 那么企业的重要信息数据都会被泄漏或者是遭到损害, 所以企业的一些非常关键的重要信息应该进行特殊的保护存储, 加强安全保护, 保证企业的信息安全, 可以对储存关键信息的电脑加锁或者是设置好密码, 这样就能够在一定的程度上避免恶意破坏人员窃取破坏企业的重要信息数据。
2.3 病毒防护需求
尽管现在计算机网络技术与之前相比有了很大程度上的进步与发展, 但是, 计算机网络安全问题也越来越严重, 这主要是因为计算机病毒越来越高深莫测, 对计算机的破坏程度越来越高, 所以必须要在企业计算机中加入相关的杀毒软件, 防止病毒侵入电脑。现在科学信息技术更新换代的速度非常快, 网络病毒也在不断的更新, 病毒的植入方式也有了进一步的更新发展, 而且病毒的危害性越来越快, 所以必须要跟上病毒发展的步伐, 不断的更新计算机网络防毒系统, 提高计算机网络的安全。
3 企业网络安全解决方案
3.1 边界防火墙部署
为了进一步保护企业的网络安全, 需要对企业设置边界防火墙, 提高企业的安全性。边界防火墙的设置位置是在网络交换机, 而且能厚借助于路由器实现与外界的连接交流。设置边界防火墙的作用是非常大的, 防火墙存在于企业的内部网络与外部网络之间, 借助于防火墙能够提前查看进入系统的相关信息数据, 通过查看数据资料, 能够避免存在危险的信息数据进入到企业的内部网络中, 从而提高企业网络的安全性。通过建立企业边界防火墙能够将企业的内部网络和外部网络进行有效的隔离, 保证企业内部网络安全, 避免企业内部网络受到外界的强烈攻击与入侵, 还可以自动化的过滤掉系统的访问数据, 拒绝那些存在安全威胁的数据信息, 而且还可以阻止危险的服务项目, 除了这些作用之外还能够监测信息, 确保信息的安全性。
3.2 漏洞扫描
由于企业的内部网络使用频率非常高, 此安全系统占据着重要的地位, 所以必须要选择好合适的方法对其进行保护, 还应该每隔一段时间就要做安全性能检测和评估工作, 对网络进行安全漏洞扫描, 这样可以扫描并且修复网络漏洞, 从而进一步提高企业的网络安全, 保证企业网络不受侵害与攻击。对企业网络进行安全漏洞扫描可以有相关软件的支持, 而这些软件必须要有网络监控功能, 通过软件可以及时的发现企业网络的某些问题, 并发现问题的根源, 仔细的分析企业的网络安全漏洞, 在最大程度上减少漏洞的危害, 还能够增强企业网络抗攻击的能力。
4 结语
现阶段经济发展不断进步, 科学技术也有了很大的提升, 各个企业在这种背景下获得了很大的进步与发展, 但是在企业飞速发展的过程中却面临着企业网络安全问题的威胁, 所以企业管理人员必须要采取措施提高企业的网络安全, 提高企业的网络安全能够促进企业的长远发展和不断进步, 还能够使得企业在飞速发展的过程中站稳脚跟, 不被激烈的市场竞争淘汰, 所以需要对企业的网络安全进行合理的管控, 检测企业网络的运行情况, 有效的管理企业的网络信息系统。如今科学技术仍在处于不断的发展过程中, 在将来发展的道路上, 企业也会借助于科学技术的力量获得更大的发展, 但是会遇到网络安全威胁, 可以说企业网络发展过程既面临着机遇, 又有很大的挑战。
摘要:如今计算机技术发展程度不断加深, 而且经济全球化也有了很大的进步, 带动了信息全球化的发展。最近几年, 我国的企业内部网络都开始了信息资源共享, 不过, 这里面有很多与企业有关的关键信息, 所以网络安全就受到了很大程度上的威胁, 企业应该重视网络安全问题。本文主要介绍的就是解决企业的网络安全主要对策和方法, 希望对大家有所帮助。
关键词:企业网络安全,方案,设计
参考文献
[1]杨旭.乌兰察布市中等职业技术学校校园网络安全解决方案的设计[D].内蒙古大学, 2012.
[2]江超.面向应用层的网络安全方案的设计与实施[D].北京邮电大学, 2013.
[3]高辰.基础电信企业的网络安全防护和风险评估方案设计与实施[D].北京邮电大学, 2012.
[4]陆文伟.重庆气矿企业网络及网络安全方案设计[D].电子科技大学, 2005.
[5]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2011.
企业网络安全方案设计--- 篇2
︽ 网 络
安
案 全
例 ︾
设
计
报
告
题 目 企业网络安全方案的设计
学 号 1***
班 级 11级网络1 班
姓 名 XXX
指导老师 XXX
要解决的几个关键问题
目录
摘 要:.......................................................................................................2
一、引言....................................................................................................2
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:.....................................................................................................................3
三、设计原则............................................................................................4
四、企业网络安全解决方案的思路........................................................5
(一)安全系统架构..........................................................................5
(二)安全防护体系..........................................................................5
(三)企业网络安全结构图..............................................................6
五、整体网络安全方案............................................................................7
(一)网络安全认证平台..................................................................7
(二)VPN系统................................................................................7
(三)网络防火墙..............................................................................8
(四)病毒防护系统..........................................................................8
(五)对服务器的保护......................................................................9
(六)日志分析和统计报表能力....................................................10
(七)内部网络行为的管理和监控..............................................11
(八)身份认证的解决方案............................................................12
六、方案的组织与实施方式..................................................................12
七、总结..................................................................................................13 教师评语:..............................................................................................14
要解决的几个关键问题
设计企业网络安全方案
摘 要:
随着互联网的不断更新与发展,它给我们带来了极大的利益和方便。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。
关键词: 信息安全、企业网络安全、安全防护
一、引言
随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,如何使企业信息网络系统免受黑客和病毒的入侵,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多 2
要解决的几个关键问题
样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子 化、信息化的发展将起到非常重要的作用。
二、以某公司为例,综合型企业网络简图如下,分析现状并分析需求:
图说明 图一 企业网络简图
要解决的几个关键问题
(一)对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
(3)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(4)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
(二)由以上分析可知该公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
三、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。具体如下: 1.技术先进性原则 2.系统性原则
要解决的几个关键问题
3.管理可控性原则 4.技术与管理相结合原则 5.多重保护原则 6.系统可伸缩性原则 7.测评认证原则
四、企业网络安全解决方案的思路
(一)安全系统架构
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,安全方案必须架构在科学网络安全系统架构之上,因为安全架构是安全方案设计和分析的基础。
随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子,那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。
(二)安全防护体系
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。如图二所示:
要解决的几个关键问题
图说明 图二 网络与信息安全防范体系模型
(三)企业网络安全结构图
通过以上分析可得总体安全结构应实现大致如图三所示的功能:
图说明 图三
总体安全结构图
要解决的几个关键问题
五、整体网络安全方案
(一)网络安全认证平台
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
1.身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
2.数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
3.数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
4.不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
(二)VPN系统一个完全私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
要解决的几个关键问题
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。其网络结构一般如下:
图说明 图四 防火墙
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。
(四)病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
要解决的几个关键问题
1.邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
2.服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
3.客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
4.集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
(五)对服务器的保护
服务器的安全对企业来说是至关重要的,近几年来,服务器遭遇“黑手”的风险越来越大,就最近服务器遭遇病毒、黑客攻击的新闻不绝于耳。首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions),它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次 9
要解决的几个关键问题
结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图(透明方式):
图说明
图五
邮件系统保护
(六)日志分析和统计报表能力
所有的网站统计报告都是相同的么?日志分析与实时统计分析工具报告和追踪网站的活动都有着很大的区别。因为他们收集不同的信息,所以提供的报告也许并不一致。实时统计工具的优势在于跟踪访问者行为和精确的页面浏览量统计。
如果很清楚的理解这些工具是怎样进行统计的,您将能更好的理解两种报告的差异,并协调使用不同的数据,从而帮助您在营销和市场活动中做出更有效的决定。
对网络内的安全事件也应都作出详细的日志记录,这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统还应自动生成各种 10
要解决的几个关键问题
形式的攻击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
(七)内部网络行为的管理和监控
内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。以下是几种系统:
1.监控中心控制台
运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。2.身份认证识别服务器
运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。3.受控主机代理
运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。4.邮件监控器代理
运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。5.网络感应器代理
运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。
要解决的几个关键问题
则内网综合保护简图如下图七所示:
图说明
图七
内网综合保护
(八)身份认证的解决方案
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
基于PKI的USB Key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
六、方案的组织与实施方式
由以上的分析及设计,可知网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全 12
要解决的几个关键问题
流程图,如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图说明
图八 安全管理贯穿全流程图
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
七、总结
本课程设计以某公司为例,分析了网络安全现状,重点提出了管理技术和维护技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从
要解决的几个关键问题
技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
企业网络安全解决方案 篇3
关键词:信息安全;网络;VPN
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Enterprise Network Security Solution
Lu Wenshuo
(National Computer Network Emergency Response Technical Team Coordination Centre,Guangdong Sub-center,Guangzhou510665,China)
Abstract:With the rapid development of information technology,management of the computer application system dependent enhancement,computer applications increased dependence on the network.Computer networks and computer application systems running on a higher network security requirements.Information security should be done to prevent the overall consideration of a comprehensive information system covering all levels,for the network,system,application,data do comprehensive prevention.
Keywords:Information security;Network;VPN
一、引言
隨着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
二、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
三、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。
(二)边界防护和网络的隔离。VPN(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
四、方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
五、结论
企业网络安全系统设计 篇4
关键词:企业,网络安全系统,设计
随着科学技术的发展, 特别是计算机技术及网络技术的发展, 现代企业信息化进程加快, 企业网络安全系统的设计日趋重要, 企业网络支撑环境安全应解决以下几个问题:物理链路的安全问题;网络平台的安全问题;系统安全的问题;应用安全的问题和管理安全问题。
一、网络杀毒设计和防火墙
通过在Windows平台服务器及个人PC机上部署集杀毒、防火墙以及入侵检测于一体的桌面防御系统, 结合操作系统相关的补丁, 能确保前端PC机较好的抵御网络的安全威胁, 使安全威胁降低到最低的程度。在中心交换与出口之间采用防火墙, 能阻挡来自于外部的未经授权的访问或入侵。在网络出口应采用防火墙+路由器的方式, 把防火墙设置成透明模式对出口实现防火墙功能, 在路由器上启用集成NAT、策略路由等功能。
二、网络管理
传统网络管理的工作模式是靠维护人员不定期对设备进行检查和用户报修, 这种被动的维护模式难以收到好的效果。网络设备和链路出现的故障不是在短时间内形成的, 若有一套工具能定期地自动对设备进行检查, 自动分析设备和链路的状态并能自动形成报表, 这就会较大地提高运行维护人员的工作效率。
网络管理通常分为以下几部分:1) 故障管理。检测、隔离和修正网络故障;2) 配置管理。根据基准线修改和跟踪网络设备的配置变化;它也提供跟踪网络设备操作系统版本的功能;3) 账号管理。指跟踪网络资源使用, 并以此提供账单服务;4) 性能管理。是测量网络行为和传输的包、帧和网络段的效率。主要包括协议、应用服务和响应时间等;5) 安全管理。是保持和传送论证、授权信息, 如passowrd和密钥等。通过使用、审计等功能增加网络的安全性。网络管理一定要考虑到统一的网管问题。
三、子网隔离与访问控制
虚拟局域网, 通过VLAN用户可方便地在网络中移动和快捷地组建宽带网络, 无需改变其它硬件和通信线路。网络管理员可从逻辑上对用户和网络资源进行分配, 无需考虑物理连接方式。
采用VLAN对企业网络支撑平台进行管理的优点:
1) 控制网络的广播风暴。采用VLAN技术, 能把某个交换端口划到某个VLAN中, 而一个VLAN的广播风暴不影响其他VLAN的性能。
2) 确保网络安全。共享式局域网难以保证网络的安全性, 是由于只要用户插入一个活动端口, 就能访问网络。而VLAN能限制个别用户的访问, 控制广播组的大小和位置, 还能锁定某台设备的MAC地址, 所以VLAN可确保网络的安全性。
3) 简化网络管理。网络管理员可借助VLAN技术轻松管理整个网络。诸如:需要为完成特定项目建立工作组网络, 其成员可遍布全国或世界, 这时, 网络管理员只需设置几条命令, 就可在几分钟内建立该项目的VLAN网络, 其成员使用VLAN网络, 就像在本地使用局域网基本相同。
访问控制列表 (ACL) 是对通过网络接口进入网络内部的数据包进行控制的机制, 分为标准ACI和扩展ACL两种。标准ACL只对数据包的源地址进行检查, 扩展ACI对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路拓器接口的指令列表, ACL已经在一些核心路由交换机和边缘交换机上较广应用, 从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等多层技术, 实现对网络各层面的控制。从网络安全领域来看, ACL的作用一般体现在下列几点:
1) 限制网络流量, 提高网络性能。通过设定端口上、下行流量的带宽, ACL能够定制多种应用的带宽管理, 防止因带宽资源的浪费而影响网络的整体性能。若能够按照带宽大小来制定收费标准, 运营商就能根据客户申请的带宽, 通过启用ACI方式限定访问者的上、下行带宽, 实现更好的管理, 利用现有的网络资源, 保证网络的使用性能。
2) 有效的通信流量控制。ACL可以限定或简化路由选择更新信息的长度, 用来限制通过路由器的某一网段的流量。
3) 提供网络访问的安全手段。ACL允许某一主机访问一个网络, 阻止另一主机访问同样的网络, 此功能能有效避免未经授权用户的非法接入。若在边缘接人层启用二、三层网络访问的基本安全策略, ACL可把用户的MAC、IP地址、端口号与交换机的端口进行绑定, 有效避免其他用户访问同样的网络。
四、VPN设计与管理
虚拟专用网 (VPN) 被定义为通过一个公用网络, 一般为因特网建立一个临时的、安全的连接, 它是一条穿过混乱的公用网络的安全、稳定的“隧道”。虚拟专用网是对企业内部网的扩展。
虚拟专用网能帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网建立可靠的安全连接, 并保证数据的安全传输。通过把数据流转移到低成本的网络上, 一个企业的虚拟专用网解决方案会大幅度减少用户花费在城域网和远程网络连接上的费用。这会简化网络的设计和管理, 加速连接新的用户和网站。虚拟专用网还能保护现有的网络投资。随着用户的商业服务的发展, 企业的虚拟专用网解决方案能使其用户把精力集中到自己的业务上, 而不是网络上。虚拟专用网能用在不断增长的移动用户的全球因特网接入, 以实现安全连接;可用在实现企业网站之间安全通信的虚拟专用线路;可用在经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
虚拟专用网可提供以下主要功能:加密数据, 以保证通过公网传输的信息, 在被他人截获时也不会泄露;信息认证和身份认证, 保证信息的完整性、合法性, 并可鉴别用户的身份;提供访问控制, 不同的用户有不同的访问权限。
企业网络设计方案 篇5
芜湖华航机械电子有限公司是芜湖的一家从事LED研发、生产以及销售的综合型公司,从20__年创立之初至20__年底短短3年的时间公司的规模已经扩展到50人,年销售额200万以上,可以说华航机械电子有限公司是一家发展很不错的公司。但是由于来自公司内部和外部的各方面的原因,致使公司发展一直处于瓶颈状态不能突破从而限制了公司的发展和扩大。 现在公司继续找到一条突破瓶颈的方法,然而发展网络营销就是公司首选的方法,但是由于公司的管理失策从而导致公司网站内容更新滞后而且网站不稳定、留言板及论坛的里有其他企业的广告,影响企业形象;然而三安光电要在芜湖
打造大规模的生产基地以及香港天波灯饰有限公司在芜湖的的生产基地芜湖天波灯饰的威胁使企业的竞争压力大大增加。这些内、外因都是困扰华航机械电子有限公司自身发展的因素,所以更好的发展网络营销、做好企业网站从而为企业带来更大的经济效益是现在企业壮大的必经之路。
二、建设网站的目的及功能定位
(一)根据公司实际情况及行业特点,总结国内外同类网站建设的情况,确定公司网站建设的宗旨也就是目的如下:
利用网络上各种渠道和多媒体手段来更好的展示本公司的形象介绍公司提供的产品和服务,提高企业认知度和公司的知名度 发布本公司的内部新闻以及最新的产品和服务 发布最新的行业信息和行业动态 接受在线订购,拓展销售渠道 接受在线咨询,完善售后服务
进行网上推广,拓展企业广告新途径
建立企业信息平台,提高企业的工作效率,增强与同行间的交流和竞争 完善客户关系管理
管理上下游供应链,降低企业经营成本 进行网上招聘吸引更多优秀的人才加入
(二)通过对已有网站的分析和对国内外同类网站建设经验的总结与归纳,确定公司网站包含如下功能: 全站搜索
信息发布管理系统
功能说明:包括类别管理和发布管理 顾客留言系统
FAQ(常见问题解答)系统 后台管理系统
三、域名和网站名称
域名:______
网站名称:芜湖华航机械电子有限公司
四、网站内容规划
网站内容作出以下规划:
五、网站技术解决方案
根据本公司网站的功能我们确定网站技术解决方案如下:
(一)虽然公司从建成到现在的发展很迅速但是企业发展还是处在发展壮大的时期所以从企业运营成本的角度来看还是租用虚拟主机更好些。
(二)在操作系统的选择上还是用Window_P比较好,虽然现在Window7已经推出了但是其系统的稳定性还是无法与早已经被人们所广泛接受的Window_P相比的,市场上uni_、Linu_的使用者还是大有人在的,但是这些操作系统虽然稳定性好不易受人攻击但是却不易操作,维护也不方便。
(三)电子商务解决方案采用其他大公司自己开发的系统性解决方案,这样既节省了网站的开发时间又为企业节省了开发成本,起到了事半功倍的效果。 (四)网站的安全方面。。。。。。。
六、网页的设计
1、网页设计是与企业整体形象一致的,要符合CI规范。同时又注意网页色彩、图片的应用及版面规划,保持网页的整体一致性。
2、在技术的采用主要考虑目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。
七、网站维护
1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。
2、数据库维护,有效地利用数据是网站维护的重要内容,因此数据库的维护要受到重视。
3、内容的更新、调整等。
4、制定相关网站维护的规定,将网站维护制度化、规范化。
八、网站的测试
网站发布前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容:
1、服务器稳定性、安全性。
2、程序及数据库测试。
3、网页兼容性测试,如浏览器、显示器。
4、根据需要的其他测试。
发布与推广
1、网站测试后进行发布的公关,广告活动。
2、搜索引掣登记等
九、建设日程表
十、小组成员
组长:许世建
企业统一无线网络架构设计 篇6
关键词:无线网络架构;无线控制器;轻量级无线接入点;LWAPP
中图分类号:TN925文献标识码:A文章编号:1007-9599 (2010) 13-0000-02
Enterprise Unified Wireless Network Architecture Design
Liu Xinjun,Yang Junwei,Chen Xiaoyun,Pan Weiping
(Shanghai Television Station,Shanghai200041,China)
Abstract:This dissertation introduces the traditional structure of enterprise wireless network,including its system manageability,security and roaming flexibility,and analyses the existing defects structure,then highlights the competitive edges of unified wireless network structure.That new network structure is equipped with lightweight wireless LAP,WLC and LWAPP,thus strengthening the availability and security of wireless network.
Keywords:WLAN;WLC;LAP;LWAPP
一、引言
隨着无线技术在近年来的飞速发展,无线网络已经迅速成为了企业园区网中所不可或缺的组成部分。无线网络的可扩展性、易获取性等特点让企业的日常工作中效率大大得以提升。然而,无线网络给我们带来便利的同时,也带来了一系列管理难题和安全隐患。
目前,企业所普遍采用的无线网络架构均属于传统方式。在该方式中,无线接入点(Wireless Access Point,下简称AP)相互独立,缺乏统一部署和管理,无线数据流缺少汇聚点,安全策略得不到有效部署。针对上述这些缺点,企业统一无线网络架构做出了诸多方面改进,包括AP的管理模式、无线数据流控制等。企业统一无线网络架构在延续了无线网络优势的同时,更是完善了无线网络的可管理性、安全性和可用性,使其更高效、安全地为企业的各类业务应用提供服务。
二、企业传统无线网络架构
企业传统无线网络架构由四大板块组成,分别是:无线终端层、无线接入层、有线传输层和网络控制层。在该架构中,AP相互独立部署于整个企业的园区内,用户的无线数据终端可通过加密信道将数据发送至AP,由AP再将数据转发至有线传输层,继而访问企业内部资源或是互联网资源,详情可参考图一。
图一:企业传统无线网络架构
(一)企业无线网络传统架构数据流
传统无线网络架构的确扩展了企业园区网络的覆盖范围,实现企业的各类无线业务,使得用户对于应用的获取更为灵活和方便。在传统无线网络架构中,其无线应用的数据流主要以下几个步骤:
1.用户的无线终端设备通过加密信道连接至离自己最近的AP,这也是该架构中唯一可以实施安全性的环节。
2.无线加密数据传输到AP后,由AP负责数据的解密,然后将数据桥接到企业的有线交换网络。
3.桥接至有线交换网络后,无线应用数据流与企业中的有线数据流完全一致。
(二)企业无线网络传统架构缺点
通过上述图一所示以及无线数据流模的描述,可以清楚的知道,在传统无线网络架构中无线数据流缺少统一的汇聚节点,存在着诸多缺点:
1.AP缺乏统一部署和管理。
在企业传统无线网络架构中,各个AP独立运行,企业管理员必须对每个AP进行单独配置,如此分散式的AP部署模式给管理带来很大的不方便性。同时,在网络规划中,一般会将无线用户归入同一个网段,以便在网络中做简单的安全控制。然而,由于AP将部署在企业园区中不同的交换设备,为了满足之前的要求,就不得不将无线网段在所有交换机上互相连通,这样的部署容易造成地址在整个园区网中泛洪,显然这并不符合最佳的网络设计实践的要求。
2.网络安全难以保证。
在企业园区网中,无线网络的出现一方面扩大了网络覆盖范围,但另一方面也带来了更多的安全隐患。由于每个AP独立运行,因此管理无线网络的安全性变得十分困难,每个独立的AP处理其各自的安全策略。无线数据流缺少统一的汇集点,这意味着无法对无线数据流进行集中统一的监控,以实现入侵检测和防范、服务质量、带宽控制等。同时,用户无线终端虽然可以与AP之间通过加密信道进行数据传输,但由于无线通信环境的易获取性和复杂性,黑客可以比较方便地对无线数据进行截取、分析和解密,从而窃取到数据内容。
3.AP间信号重叠,漫游功能欠灵活。
在传统的无线网络架构中,各个AP独立运行,相互之间没有通信机制,因此每个AP都会将功率信号放到最大,这便会使得AP之间的信号重叠区域可能超过20%,而一般合理的信号重叠区域应维持在10%左右。然而在重叠区域的用户无线终端会出现时断时续的现象。此外,由于AP之间相互独立,当用户在从AP1的信号范围移动到AP2时,无线终端需离开AP1范围即造成信号中断后再连接AP2的信号,在整个漫游过程中将造成数据包的大量丢失。
通过上述章节,我们简单回顾了企业传统无线网络架构及数据流,指出该架构的诸多不足之处。那么在接下来的论述中,针对安全和管理的问题,文章引入一种新的架构方式,即企业统一无线网络架构,该架构不但可为企业获取灵活的无线业务应用,同时还能保证其可管理性和安全性。
三、企业统一无线网络架构
与传统无线网络架构一样,统一无线网络架构也可分为四大区域。其中,无线接入层和网络控制层的设备部署与传统架构相比存在较大不同:
1.在网络控制层中,该架构增加了无线控制器(Wireless Lan Controller,下简称WLC)和无线控制系统(Wireless Control System,下简称WCS)。WLC主要对AP进行统一集中管理,以实现网络的安全性和管理的灵活性,是无线网络统一架构的关键设备之一。WCS属于配套管理系统,在该架构中可查看整个无线网络覆盖的信号强度和范围,并能管理连接无线的用户,查看其身份,IP地址和具体的位置等功能,为统一无线架构的更是增加了灵活方便的元素。
2.在无线接入层中,该架构部署的AP为轻量级AP(LAP),俗称“瘦AP”,其意义在于LAP并不需要单独配置,其配置通过WLC处自动下发获取,LAP与WLC之间实现基于LWAPP隧道封装的通信机制,以确保无线网络系统的统一性和安全性,详情可参考图二。
图二:企业统一无线网络架构
(一)企业统一无线网络架构数据流
统一无线网络架构针对传统无线网络架构中的诸多缺点,有了各方面的改进。在论述该架构之前,我们先对该架构中的无线数据流进行必要的描述:
1.用户无线终端设备通过加密的无线信道接入至附近的LAP。
2.LAP接收到用户无线终端的数据,以LWAPP协议在二层通道对数据进行隧道封装(可参考图二中的数据流描述),并通过证书方式對WLC进行认证。合法的WLC在通过认证后,LAP才会将封装后的用户数据发送至WLC。此时,LAP不负责对用户数据进行解密,解密过程由远端WLC完成。
3.WLC接收到LAP发送的数据,先对LWAPP隧道进行解封装,如果数据加密则进行解密,完成后根据原数据包目标地址按路由转发,同时将原数据包源地址更改为自身设备的出口地址。
4.由于WLC在转发数据前将原数据包的源地址更改成自身设备的接口地址,因此回包数据将先被统一转发至WLC,再由WLC进行LWAPP隧道封装发送给相应的LAP,LAP收到数据进行解封装后发送至用户的无线终端设备。其中,加密解密过程分别由WLC和用户无线终端分别进行,LAP并不参与。
(二)企业统一无线网络架构优点
根据对该架构数据流的描述,不难发现企业统一无线网络架构的优势主要有以下几点:
1.统一的AP管理和控制。
在该架构中,LAP并非独立部署于企业园区中,它们的配置策略和运行情况由WLC进行统一管理和协调。接入的LAP会自动同步WLC上的配置文件。在WLC中也能够管理所有已注册的合法LAP,当某个LAP发生故障时,WLC能够及时针对指定LAP进行排障。这使得管理员对于LAP的部署和管理非常的灵活便捷。
于此同时,由于用户无线终端与目标应用间的通信被LAP和WLC用LWAPP协议进行隧道封装传送,因此无线用户可以被设计在同一个网段中而并不需要对整个网络进行二层的贯通,LAP本身的地址可以与归属的二层交换机同一网段。这样的设计并不会对企业园区网造成地址泛洪的影响,是比较优化的网络设计实践。
2.网络安全性有保障。
在传统无线网络架构中,无线数据流缺少集中的汇聚点,这导致安全策略难以集中统一部署。然而在该架构中的无线数据流在WLC处有统一的汇聚点。在该汇聚点上,管理员可统一实施相应的安全策略,如认证授权、防入侵检测、服务质量控制等一系列的管理功能,这将大大提升无线网络的自身的安全性。同时,在此架构中,无线数据的加密解密分别由用户的无线终端与WLC之相互交替进行,并且在整个传输过程中都是被隧道封装在LWAPP隧道中,这使得黑客比较难以从中通过对数据包的监听到而实施破解,也从另一个方面加强了无线数据的安全性。
3.支持灵活漫游机制。
企业网络安全解决方案 篇7
随着信息化技术的飞速发展, 许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力, 使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场, 企业就面临着如何提高自身核心竞争力的问题, 而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等, 又时刻在制约着自己, 企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
一、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行, 避免重复投入、重复建设, 充分考虑整体和局部的利益。
1) 标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定, 使安全技术体系的建设达到标准化、规范化的要求, 为拓展、升级和集中统一打好基础。
2) 系统化原则。信息安全是一个复杂的系统工程, 从信息系统的各层次、安全防范的各阶段全面地进行考虑, 既注重技术的实现, 又要加大管理的力度, 以形成系统化的解决方案。
3) 规避风险原则。安全技术体系的建设涉及网络、系统、应用等方方面面, 任何改造、添加甚至移动, 都可能影响现有网络的畅通或在用系统的连续、稳定运行, 这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题, 在规划与应用系统衔接的基础安全措施时, 优先保证透明化, 从提供通用安全基础服务的要求出发, 设计并实现安全系统与应用系统的平滑连接。
4) 分步实施原则。由于某公司应用扩展范围广阔, 随着网络规模的扩大及应用的增加, 系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性, 寻求安全、风险、开销的平衡, 采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求, 亦可节省费用开支。
二、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑, 全面覆盖信息系统的各层次, 针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程, 事前、事中和事后的技术手段应当完备, 安全管理应贯穿安全防范活动的始终。信息安全又是相对的, 需要在风险、安全和投入之间做出平衡, 通过对某公司信息化和信息安全现状的分析, 对现有的信息安全产品和解决方案的调查, 通过与计算机专业公司接触, 初步确定了本次安全项目的内容。通过本次安全项目的实施, 基本建成较完整的信息安全防范体系。
(一) 网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台, 都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统, 建立一个完善的网络安全认证平台, 能够通过这个安全平台实现以下目标:身份认证 (Authentication) 、数据的机密性 (Confidentiality) 、数据的完整性 (Integrity) 、不可抵赖性 (Non-Repudiation) 。
(二) 边界防护和网络的隔离
VPN (Virtual Private Ne tw ork) 虚拟专用网, 是将物理分布在不同地点的网络通过公用骨干网 (如Internet) 连接而成的逻辑上的虚拟专用网。和传统的物理方式相比, 具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统, 可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体, 通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道, 使得合法的用户可以安全的访问企业的私有数据, 用以代替专线方式, 实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术, 可以对多种网络对象进行有效地访问监控, 为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
(三) 安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展, 电子邮件的使用日益广泛, 成为人们交流的重要工具, 大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点, 电子邮件存在着很大的安全隐患。目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME (Secure Multipurpose Internet Mail Exte ns ions) , 它是从PEM (Privacy Enhance d Mail) 和MIME (Internet邮件的附件标准) 发展而来的。首先, 它的认证机制依赖于层次结构的证书认证机构, 所有下一级的组织和个人的证书由上一级的组织负责认证, 而最上一级的组织 (根证书) 之间相互认证, 整个信任关系基本是树状的。其次, S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
(四) 桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部, 大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起, 形成一个整体, 是针对客户端安全的整体解决方案。
(五) 方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程, 也为本方案的实施提供了借鉴。
三、结论
本文提出了一整套完整的解决方案, 涵盖了各个方面, 从技术手段的改进, 到规章制度的完善;从单机系统的安全加固, 到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署, 为众多行业提供了网络安全解决手段。希望通过本方案的实施, 可以建立较完善的信息安全体系, 有效地防范信息系统来自各方面的攻击和威胁, 把风险降到最低水平。
摘要:随着信息化技术的飞速发展, 经营管理对计算机应用系统的依赖性增强, 计算机应用系统对网络的依赖性增强。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑, 全面覆盖信息系统的各层次, 针对网络、系统、应用、数据做全面的防范。
企业网络安全解决方案 篇8
关键词:网络安全技术,企业网络,解决方案
计算机技术在社会中的广泛推广和使用加快了社会的发展, 使企业和国家机关的工作效率进入到前所未有的阶段, 网络的快速、范围广等优异特点使信息处理更加灵活, 能够在第一时间对变化进行应变和处理。但是同时, 计算机网络的普及使计算机网络的安全问题成为了互联网用户遇到的家常便饭。有计算机网络的地方就能看见计算机网络安全问题的身影。互联网安全问题作为阻碍互联网技术发展的障碍首先在2007年一月份举行的达沃斯世界经济论坛上首次被提出, 针对互联网开放性的这一双面刃, 怎样既保持互联网优异的互联功能, 又能在一定程度上杜绝网络信息安全隐患就成了计算机工作者设计网络安全防护系统的难题。
1 企业网络安全隐患分析
1.1 网络安全问题是一个全球范围的问题, 对网络安全造成威
胁的因素不仅包括本地的互联网使用者, 全球的互联网终端都可以通过网络对企业网络进行攻击。
1.2 网络虽然以互通性广泛推广, 但是同时高度的开放也使得
网络受到的攻击也具有广泛的开放性质, 地域的多元以及攻击方式的多变, 还有攻击部位的复杂使安全管理难度加大。
1.3 用户可以自由地使用和发布各种类型的信息, 自由地访问
网络服务器, 因为网络最初对用户的使用并没有提供任何的技术约束。
2 常用网络安全技术
网络安全技术主要有:加密机制、资料签名机制、访问控制机制、资料完整性机制、认证机制、系统脆弱性检测、构筑防火墙系统、系统审计技术等。
2.1 应用防病毒技术, 建立全面网络防病毒体系
不管是存储在工作站中、服务器里还是流通于Internet上的信息, 都已转变成为一个关系事业成败关键的策略点, 这就使保证信息的安全变得格外重要。系统可能会受到来自与多方面的病毒威胁, 为了免受病毒所造成的损失, 建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系, 是指在每台Internet机上安装单机版反病毒软件, 在服务器上安装基于服务器的反病毒软件, 在网关上安装基于网关的反病毒软件。
2.2 应用防火墙技术控制访问权限
防火墙技术是近年发展起来的重要网络安全技术, 其主要作用是在网络入口处检查网络通讯, 根据客户设定的安全规则, 在保护内部网络安全的前提下, 保障内外网络通讯。在网络出口处安装防火墙后, 内部网络与外部网络进行了有效的隔离, 所有来自外部网络的访问请求都要通过防火墙的检查, 内部网络的安全有了很大的提高。
2.3 应用入侵检测技术保护网络与主机资源
入侵检测系统是近年出现的新型网络安全技术, 目的是提供实时的入侵检测及采取相应的防护手段, 如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击, 其次是因为它能够缩短黑客入侵的时间。
2.4 应用安全扫描技术主动探测网络安全漏洞
安全扫描技术与防火墙、入侵检测系统互相配合, 能够有效提高网络的安全性。通过对网络的扫描, 网络管理员可以了解网络的安全配置和运行的应用服务, 及时发现安全漏洞, 客观评估网络风险等级;根据扫描的结果更正网络安全漏洞和系统中的错误配置, 在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段, 那么安全扫描就是一种主动的防范措施, 可以有效避免黑客攻击行为, 做到防患于未然。
2.5 应用网络安全紧急响应体系
由于网络自身的不断变化, 就使得网络安全系统的有效程度也随之不断变化。今日先进的安全防护系统, 明日可能就会成为漏洞百出的攻击目标。想要保持网络信息安全系统的有效性, 就必须不断的对其进行调整完善, 同时配套相应的应急处理系统, 用以应对不可预知的安全事故。
3 企业网络安全解决方案
3.1 物理隔离方案。
其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征, 如:没有连接、没有命令、没有协议、没有TCP/IP连接, 没有应用连接、没有包转发, 只有文件“摆渡”, 对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。
3.2 网络系统安全解决方案。
对服务器的操作系统的选择很大程度上决定了互联网使用的安全与稳定。网络操作系统的系统软件, 管理并控制着计算机软硬件资源, 并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全: (1) 关闭不必要的服务。 (2) 制定严格的账户策略。 (3) 科学的分配用户账户权限。 (4) 科学的安全配置和分析。
3.3 入侵检测解决方案。
防火墙是目前普遍保护企业网络信息安全的有效措施。且不论计算机网络系统本就存在的众多缺陷, 防火墙自身也有不可避免的漏洞, 有心人依然能够通过防火墙的漏洞对计算机终端进行攻击和破坏, 给信息安全造成很大的困扰。我们通过对企网络的长时间研究得出以下结论, 对外开放的服务器设备是网络安全保护系统重点进行防护监控的核心, 以监测系统的设立达到充分使用IDS的优势的目的, 建立除防火墙之外的另一道网络信息安全屏障。可以考虑以防火墙与IDS的优势互补、强强合作来达到增强网络动态保护的目的。
3.4 安全管理解决方案。
企业用户日常的信息安全都依赖信息安全管理机构的运行, 所以安全管理一定要注重遵守国家相关网络信息安全管理条例法规, 要时刻以相关的法律法规为行动守则, 再具体问题具体分析, 建立适合企业信息安全的防护系统。
企业用户的内网, 也就是所谓的安全网信息安全管理机构在体现自身职能时主要以实现建立系统的安全管理系统为基础目标, 其次要明确员工的职能和责任义务, 使员工之间相互协作相互监督。再次就是建立相应的信息安全教育体系, 对安全信息规划进行审核和讨论, 同时撰写每一年的安全报告书。最后, 就是对已经发生的安全问题进行解决, 例如信息泄密、网络安全违规以及信息安全违纪现象等。
4 结语
黑客攻击手段与安全防范手段此消彼长, 新的防御措施出现后, 新的黑客攻击手段也紧接着出现。网络安全技术是一种横跨多学科的系统, 数学、通信技术、管理、物理等学科皆有所涉猎。而且要求技术人员时刻以自主的心态面对不断更新换代的计算机网络技术, 并能时刻保持一颗上进创新的年轻的心对安全系统进行连续的改进。由此可见, 安全管理系统的建立不是一时一刻就能完成的工作, 它需要工作人员投入大量的人力物力进行接连不断的研究探索才能达到保证计算机网络用户安全的效果, 与此同时, 科技的进一步发展, 也将会使计算机网络安全问题向更深更远的方向前进。
参考文献
[1]陈家琪.计算机网络安全[J].上海理工大学, 电子教材, 2005.[1]陈家琪.计算机网络安全[J].上海理工大学, 电子教材, 2005.
[2]沈苏彬.网络安全原理及应用[J].北京:人民邮电出版社, 2005.[2]沈苏彬.网络安全原理及应用[J].北京:人民邮电出版社, 2005.
企业网络设计与安全管理 篇9
一、企业内网通信模型
当前绝大多数企业内网的接入层网络访问是基于以太网协议规范的, 常见的有10/100BaseT、100BaseFx、1000BaseT等规范。在带宽方面支持从10Mbps到1000Mbps速率集, 从线缆材质上又分为双绞线和光缆。企业内网接入层的通信模式主要有三种:VLAN内部通信、VLAN间通信、外网通信。
VLAN内部通信方式主要是存在于某个VLAN中的主机与本VLAN中的其他主机进行通信的过程。这个通信过程只需要通过第二层交换即可完成。该通信过程经过如下几个步骤完成: (1) 通信发起方在已知接收方IP地址的情况下, 对接收方IP地址及自己的子网掩码进行逻辑与运算, 以检查接收方IP地址是否与自己处于同一网段。 (2) 因为需要对数据报文在第二层数据链路层进行封装, 发送方接下来会发送ARP广播来查询接收方的MAC地址。当发送方发出ARP查询报文后, 由于是广播报文, 于是交换机会将该报文向除了接受该报文的接口之外的其他所有接口发出。 (3) 报文到达数据接受方之后, 接收方会以自己的MAC地址作为回应发送给发送方。这样以来, 发送方在本地ARP缓存表中就有了接收方的IP与MAC地址的对应关系。
缓存表中包含了接收方的IP地址和MAC地址, 发送方主机可以利用这些地址对应关系进行二层和三层封装。PDU封装完成后, 随即被发送给交换设备。本地交换设备通过查询自身的MAC地址表, 然后将数据帧从正确的端口上转发出去。最终接收方收到了数据, 并依据现有信息对数据作出回应。
二、企业内网安全防护体系的设计
企业内网接入层安全防护系统需要满足如下功能需求: (1) 能够及时得知接入交换机的运行状态, 并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取, 需要覆盖多个接入层楼宇, 并且对交换机的日志能够持久存储以备查阅。 (2) 能够确定攻击源在接入交换机中的位置, 并进行隔离使其无法影响其他上网主机, 对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。 (3) 设备的控制需要对网络管理员透明化, 提供对多厂商交换设备的支持, 控制功能需要使用公共标准协议, 能够监控接入设备的服务状态和IP可达状态。并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作, 能够将其转化为交换设备可以识别的指令。 (4) 提供安全的用户登录验证功能, 能够让用户使用除静态用户名密码之外的第三种认证方式, 保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用, 有效防范帐户密码盗取。 (5) 能够提供基本的用户权限功能, 管理员、维护员和普通用户三层管理权限, 分别对应全部操作权限、后期维护权限、日志查看权限。对网络管理员需要提供对接入网络设备日志信息和攻击主机信息的查询, 对管理员权限的用户除提供查询功能之外, 还要提供对攻击主机进行隔离和解除隔离的操作功能。对于维护员来说, 除了提供查询功能外, 只允许其具备对已隔离攻击主机的解除隔离操作。上网用户不具备系统的操作权限, 只具备攻击主机信息的查询功能。
三、安全管理
在用户登录验证方面, 本系统使用了基于双因素用户验证的登录功能。用户验证使用双因素验证, 用户除了使用用户名与密码之外, 还需要使用一个同步码。同步码是由令牌生成, 与服务器上产生的同步码一致。用户登录验证时, 需要在特定时间段内输入同步码, 所以即便是用户的密码被盗了, 也不会导致系统被攻击, 大大增强了系统的安全性。
网络设备日志分析方面, 主要研究通过SYSLOG服务, 将接入层交换机的日志信息捕获, 以便于对接入交换机的运行状况进行动态分析。通过分析对接入层的三大攻击行为进行定位, 为下一步操作做铺垫。日志信息同步数据量极大, 但对细节数据的准确性要求不高, 主要以大量数据宏观分析得出结果。所以, 日志信息同步功能的可靠性要比数据准确性更加重要。它要能够持续的接收分析大量数据。
接入网络设备控制功能是系统同接入层网络设备进行交互的窗口, 对攻击主机进行隔离等操作需要通过它来完成, 所以它需要具备对接入层设备进行控制操作的能力。这种能力是通过TELNET和SNMP协议完成的。本文着重研究了TELNET与SNMP的开发接口以及对设备控制功能的实现。总而言之, 系统对日志分析功能得出的结果, 最后进行隔离操作是通过本功能直接完成的。
日志记录与存储方面, 用户对攻击目标的操作和系统对攻击目标的隔离的记录都通过本功能完成。这个功能在实际使用过程中, 主要用于攻击目标的事后处理。数据存储功能则是将日志分析结果数据、隔离操作记录等数据存入数据库, 由于系统的数据量较大, 没有使用复杂的数据持久化组件, 而是单独实现数据库连接池的功能, 轻量简便。日志分析功能包含了SYSLOG套接字的创建, 数据读取分析两大主要功能。其中SYSLOG套接字的创建主要目的是为了接收交换机发至UDP514端口的日志信息。数据分析的主要目的有两个, 一是判断当前网络运行是否正常, 二是如果不正常, 需要确定攻击源的信息。SYSLOG套接字用于将接入交换机发来的日志信息进行读取, 然后交与日志处理逻辑对日志进行分割。日志处理逻辑使用正则表达式对日志分割完成后, 数据分两部分流向, 日志信息本身交由数据库存储逻辑处理, 另一向交由攻击主机判定逻辑分析攻击主机信息。对于设备控制模块交互逻辑, 当自动隔离攻击主机开关打开时, 向设备控制模块发送控制指令。
参考文献
[1]卢开瑞.随机故障下计算机网络中的病毒传播研究.科技信息, 2012 (03)
[2]蒋叙, 倪峥.计算机病毒的网络传播及自动化防御.重庆文理学院学报 (自然科学版) , 2012 (02)
[3]吴凌云.民航一体化网络的计算机病毒查杀方法.信息与电脑 (理论版) , 2012 (01)
企业网络安全的设计与实践研究 篇10
对企业而言, 其网络安全的威胁主要包括网络病毒、网络攻击和系统漏洞安全三个方面:企业网络病毒的威胁几乎都是基于操作系统的安全漏洞而产生的, 由于网络病毒具有破解力强、传播性强、针对性强、潜伏性和可激发性等特点, 加上网络的互联性和病毒的高扩展性使其破坏力大大增强;网络攻击的本质就是利用目标系统设计或实现上的问题或漏洞, 通过对服务程序中无法正确处理的有问题的状态的报文的内容、出现的时序等方面以获取信息、删除日志等方式进行攻击;系统漏洞的威胁主要是由于软件缓冲的区溢出或者进程设计本身存在逻辑缺陷造成。
二、企业网络安全的设计原则
(1) 网络信息安全的“安全最低点”原则。由于网络信息系统是一个复杂的、系统的计算机系统, 它本身必然会在操作上和管理上的存在漏洞, 这些漏洞往往会吸引网络攻击者的注意并导致了网络信息系统的不安全性, 网络信息安全的“安全最低点”原则要求我们在进行网络安全设计时能够对信息有效进行均衡、全面的保护, 科学严格的分析系统安全漏洞和安全威胁, 综合提高整个系统的“安全最低点”性能。
(2) 网络信息安全的整体性原则。网络信息安全系统包括安全检测机制、安全防护机制和安全恢复机制等方面, 网络安全要求在网络发生被攻击或者破坏的情况下, 系统能尽快恢复网络信息服务。
(3) 网络信息安全等级划分评价与平衡原则。网络信息安全系统设计时绝对安全的网络环境是不可能实现的, 但是要建立一个良好的信息安全系统必然需要划分不同等级的标准, 这要求我们在建立时设立合理实用的安全性标准、与用户需求相关的评价和平衡体系, 从而正确平衡网络安全信息系统在需求和风险、安全性与可用性关系。
(4) 网络信息安全系统建设标准化与一致性原则。网络安全系统的建设是一个庞大的系统工程, 因而其安全体系的设计必须遵循一系列的相关安全和系统标准。
三、企业网络安全分析与实践
(1) 企业需要依据不同的标准分层次制定不同等级的网络安全实施策略。在企业网络安全的建设和实施过程中, 企业可以通过划分安全项目, 确定安全等级, 分层次制定相关安全实施策略, 并细分安全隐患及其相应的解决对策, 企业可以根据自身机构设置条件成立安全小组, 以分工负责制的形式进行实施从而准确、高效的对问题进行定位、分析和解决。
(2) 企业可以依据自身发展成立安全小组, 进行实时网络监控, 加快安全相应速度。在企业网络安全建设中安全扫描是一项重要的网络安全防御技术, 在实际的企业网络建设中可利用诸如网络扫描、流量监控等现有和最新安全检测技术, 通过系统扫描报告或网络流量记录来分析判断网络信息系统是否正常, 并及时发现网络信息系统中是否存在的入侵行为或安全漏洞, 此外, 为了有效的进行网络安全防御, 企业需要设计并进一步完善一系列安全响应的常规措施和紧急处理办法, 从而有效提升安全响应的速度。
(3) 企业需要及时同步最新网络安全技术, 动态快速完善安全策略。通过及时了解网络技术发展动态, 尤其通过国家和权威网站获取最新的网络安全资料和技术解决方案将有助于企业尽快补充和完善网络自己的安全策略、进一步提升网络安全维护能力和管理能力。企业通过自身的建设实现动态完善安全策略, 在网络安全建设中形成“更新完善策略一网络检测一再更新完善一再检测”的机制, 保证网络信息系统处于最新状态, 避免因自身漏洞和系统不完善引起的网络安全威胁。
结束语
从我国企业网络安全发展现状而言, 无论是在网络硬件平台的建设方面还是在网络应用的水平方面, 与发达国家相比在发展规模和发展水平上均较大的差距, 此外, 在企业网络安全人员的建设方面网络管理人员的安全意识和防范观念较较淡薄, 技术管理人员缺乏相关的解决问题的实际经验, 导致目前网络建设好后存在较大的网络威胁, 本文通过对相关研究进行理论和实践分析, 探究企业常见的网络威胁产生原因, 并提出后期建设的原则和实践建设的经验, 以期为相关建设和管理人员提供参照和经验。
参考文献
[1]张得太.企业网络安全的规划设计与实践[D].西安电子科技大学, 2006, 04:10-43.
【企业网络安全方案设计】相关文章:
企业网络设计08-18
大型企业网络设计方案05-17
企业网络设计论文05-11
企业网络安全接入方案04-20
企业网络安全设计研究06-02
企业网络安全系统设计08-02
企业网网络设计方案06-11
企业网络设计论文题目05-04
小型企业网络组建方案04-09
企业网络规划和设计07-01