题 目 易城企业网络安全规划与设计专 业 司 法信 息安全
目 录
第1章易城企业网络安全概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
1 .1 目前企业网络的主要安全隐患. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
1 .2企业网络的安全误区. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
第2章易城网络安全问题需求分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
2.1 公司背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
2.2 公司网络安全需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
2.3 需求分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
第3章案列展示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
3.1建设需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11
3.2公司网络结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
3.3系统结构功能说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
3.4网络构建设计原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
第4章 构建全方位的数据泄漏防护系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
4.1 企业U盘认证系统实现功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
4.2文档安全管理系统实现功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
4.3建立一体化的本地/异地备份与容灾体系. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
第5章安全设备选型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
5.1 设备选型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
5.2 明细表. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
总结. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
致谢. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
易城企业网络安全规划与设计
作者孙经纬指导老师江波
[摘 要]随着信息化进程的提速越来越多的企业信息披露于企业内外部网络环境中如何保护企业的机密。保障企业信息安全成为现今信息化企业发展过程中不然需要面的和解决的问题。网络安全的本质是网络信息的安全性 包括信息的保密性、完整性、可用性、真实性、可控性等几个方面 它通过网络信息的存储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下对于防止来自网外的攻击。防火墙 则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础安全技术是配合安全管理的辅助措施。建立了一套网络安全系统是必要的。
对于企业网络安全管理需要部署的内容 首先要明确企业的那些资产需要保护确定相关业务和关键数据支持技术资产的价值 然后在此基础上 制定并实施安全策略 完成安全策略中的部署设立安全标准。
[关键词]企业网络安全信息管理部署
第1章易城企业网络安全概述
1 .1 目前企业网络的主要安全隐患
企业网络安全现状和威胁
现今无论是中小企业还是大企业都广泛使用信息技术特别是网络技术以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展给企业所造
成的损失不可估量。由于计算机网络特有的开放性网络安全问题日益严重。企业所面临的安全威胁主要有以下几个方面:
1 .1 .1互联网安全
企业通过Internet可以把遍布世界各地的资源互联互享但因为其开放性在Internet上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后针对网络系统的各种非法入侵、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为影响广泛的安全威胁。
1 .1 .2企业内部网安全
企业中大量员工利用网络处理私人事务。对网络的不正当使用以及操作方法不当降低了生产效率、消耗了企业的网络资源并引入病毒和木马程序等。发生在企业网络上的病毒事件据调查80以上是经由电子邮件或网页浏览进入企业内部网络并传播的。垃圾邮件和各种恶意程序造成企业网络拥塞瘫痪甚至系统崩溃造成难以弥补的巨大损失。
1 .1 .3内网与内网、 内网与外网之间的连接安全
随着企业的不断发展壮大逐渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的信息共享安全既要保证信息的及时共享又要防止机密的泄漏已经成为企业成长
过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。
现在网络安全系统所要防范的不再仅是病毒感染更多的是基于网络的非法入侵、攻击和访问同时企业网络安全隐患的来源有内、外网之分很多情况下内部网络安全威胁要远远大于外部网络因为内部中实施入侵和攻击更加容易企业网络安全威胁的主要来源主要包括
1 、病毒、木马和恶意软件程序的入侵。
2、 网络黑客的攻击。
3、重要文件或邮件的非法窃取、访问与篡改。
4、关键部门的非法访问和敏感信息外泄。
5、外网的非法入侵。
6、备份数据和存储媒体的损坏、丢失。
7、通过软盘、 U盘或移动硬盘从电脑中拷出带走或盘内病毒感染。
针对这些安全隐患所采取的安全策略可以通过安装专业的网络版病毒防护系统同时也要加强内部网络的安全管理配置好防火墙过滤策略和系统本身的各项安全措施及时安装系统安全补丁有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、 IDS、 IPS系统甚至配置网络安全隔离系统对内、外网络进行安全隔离加强内部网络的安全管理严格实行“最小权限”原则为各个用户配置好恰当的用户权限同时对一些敏感数据进行加密保护对数据还可以进行数字签名措施根据企业实际需要配置好相应的数据策略并按策略认真执行。
1 .2企业网络的安全误区
一安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效可以提供网络周边的安全防护。但如果攻击行为不经过防火墙或是将应用层的攻击程序隐藏在正常的封包内便力不从心了许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内” 对内部网络的访问不进行任何阻挠而事实上企业网络安全事件绝大部分还是源于企业内部。
二安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒但这并不能保证就没有病毒入侵了因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络管理非常方便对于单机版是不可能做到的。
三只要不上网就不会中毒
虽然不少病毒是通过网页传播的但像QQ聊天接发邮件同样是病毒传播的主要途径而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着就要防范病毒。
四文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令而病毒或黑客程序也可以做到这一点设置只读并不能有效防毒不过在局域网中为了共享安全放置误删除还是比较有用的。
五网络安全主要来自外部
基于内部的网络攻击更加容易不需要借助于其他的网络连接方式就可以直接在内部网络中实施攻击。所以加强内部网络安全管理特别是用户帐户管理如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
第2章易城网络安全问题需求分析
2.1 公司背景
易城网络有限公司是一家有100多名员工的中小型网络公司主要以手机应用开发为主营项目的软件企业。公司有一个局域网越100台计算机服务器操作系统是Windows Server 2003,客户机操作系统是Wimdows XP在工作组的模式下一人一机办公。该公司对网络的依赖性较强主要的业务都要涉及到互联网以及内部的局域网。随着公司发展现有的网络安全已不能满足因此构建新的健全的网络安全体系是当前的重中之重。
2.2 公司网络安全需求
易城网络有限公司根据自身业务的发展需求建设一个小型的企业网有
Web、Mai l等服务器和办公区客户机。企业分为财务部和业务部门需要他们之间相互隔离。同时由于考虑到Internet的安全性以及其他的一些网络安全因素如DDoS、ARP等。 因此本企业的网络安全构架有以下要求
1 、根据公司现有的网络设备组建网络规划
2、保证网络系统的可用性和连续性
3、防范网络资源的非法入侵与非法访问
4、保护企业信息通过网上传输过程中的机密性及完整性
5、防范病毒和黑客侵害
6、实现网络的集中安全管理
2.3 需求分析
通过对易城网路现状及其发展需求为实现易城网络公司安全建设的系统改造。提高企业网络系统运行的稳定性保证企业各种信息设计安全性避免信息资源的丢失和外泄。通过软件和安全手段对客户端的计算机加以保护记录用户对客户端计算机中关键目录和文件的操作防范外来计算机的入侵造成的破坏。通过网络改造是管理者更加便于对网络中服务器、客户端、登入用户的权限以及应用软件的安装惊醒全面的监控与管理。 因此需要
1 、构建良好的环境确保企业物理设备的安全
2、划分VLAN控制内的网络安全
3、安装防火墙体系
4、建立VPN虚拟专用网络确保数据安全
需要提前声明的是有网友反馈到,PacificRack 商家是不支持DD安装Windows系统的,他有安装后导致服务器被封的问题。确实有一些服务商是不允许的,我们尽可能的在服务商选择可以直接安装Windows系统套餐,毕竟DD安装的Win系统在使用上实际上也不够体验好。在前面有提到夏季促销的"PacificRack夏季促销PR-M系列和多IP站群VPS主机 年付低至19美元"有提到年付12美元的洛杉...
Tudcloud是一家新开的主机商,提供VPS和独立服务器租用,数据中心在中国香港(VPS和独立服务器)和美国洛杉矶(独立服务器),商家VPS基于KVM架构,开设在香港机房,可以选择限制流量大带宽或者限制带宽不限流量套餐。目前提供8折优惠码,优惠后最低每月7.2美元起。虽然主机商网站为英文界面,但是支付方式仅支付宝和Stripe,可能是国人商家。下面列出部分VPS主机套餐配置信息。CPU:1cor...
在上个月的时候也有记录到 NameCheap 域名注册商有发布域名转入促销活动的,那时候我也有帮助自己和公司的客户通过域名转入到NC服务商这样可以实现省钱续费的目的。上个月续费转入的时候是选择9月和10月份到期的域名,这不还有几个域名年底到期的,正好看到NameCheap商家再次发布转入优惠,所以打算把剩下的还有几个看看一并转入进来。活动截止到9月20日,如果我们需要转入域名的话可以准备起来。 N...