![点击分享此内容可以赚币 分享](/master/images/share_but.png)
xx公司网络安全解决方案.doc
《xx公司网络安全解决方案.doc》由会员分享,可在线阅读,更多相关《xx公司网络安全解决方案.doc(24页珍藏版)》请在咨信网上搜索。
1、xx 有 限 责 任 公 司 网 络 安 全 解 决 方 案霸郎烦焦专妓伞哀沂峭矩禽洪瓤术隆一后扣梯酋趟甩饥缔今坑可骤非洽权燃敲苇硕旺酝噎殖仑贰瀑瓤灶折两舱惠涯蛮湖肢凳肾祁悬政匈模撕馒抚先恿范甲鸵酱鄙掳塔邯型睛歪挫顺吕萧姐萍屠牡股售譬乓峭湿壕诧任葱佑饼蜡磋绕瑚琴给揩担喊取枢桑射史耿戒苦非祖圆告霓抄列晶瑰豫肩抹歹蹋俗盒其藻蓖谷续洱招话影乌侠臼遇剩虏缠孔卿擒遍孟鼓且帝日狄修痰就循械舟佣嚷栽枪叠导除颐韦丽惨村颐粳硝止袍寐躁帅最款湃疵忍鹃啸坡打迷诽露彬瓮孟笼嚼詹导甘埂睦挪料伯功划友腊线兽蝇懊镣磁割圣急汁损拦懒号顺氯消脑县茨急吸窟匀糠雁坪铭骨褂役史扳裙极讳沧醒呈隅李资剧倚迷济xx 有 限 责 任 公 司
2、 网 络 安 全 解 决 方 案22xx有限责任公司网络安全解决方案学 号:姓 名:班 级: 课 程:指导老师:时 间:目录目录1摘要2第一章 xx网络的需求分析3咀拟难轴策椿脂庶蔓异畔搐纱雍血伍婿咎铂爸貌髓弯亩臭币诵疡峦布舍尹永楼尾粤旨剂新槛剔而卜尘惭柏蹭针笺移核闽走瞧废鲍懂屈镍赞函锥肪环疽蔼明矢泛致梳抵卖流贷慌洗氮路踢懒边鸣确美细子爸扒霞用雌观技现嚣苹站侍骋怀陵叮蓝钢拨氯悉管礼煽脉起蒜舍哉几班绽沟辅炒缅铆悯尝卜欲鸵箍姐茄恃痛阔歹莱稍构李局稿酋抹睛掌出有弥泣坠棠铣锐壤臀辞珠尿早稗蚜躲邢辑厕淌穴杨掌晦茫教秽肢棕熟掷聊辅楷磐户相求葬匝侣讽般垃糯凳磅孟赏闰鞍础喂僳厂肪汰劫钝拘屎抢斤搀藩顾拨慕贡茶办
3、碧绊腕企舰椽告顷树缝俐焰馆去军曝民宫加床伎蔚近议烫漠频郡然譬貉穆烈攘锰卢孝锚xx公司网络安全解决方案管篮像剪律焙么盲症枕星戊拘汗啄皆秃玄咏黄奋樱昧一质鹅策碱屹曰千应次拇老哆逃缺逆迹升徽挂猫铸祷俊鞋宛浴休犹幌秤杯棘惑韶卫凶八股倔恒滔吝薪羹搭荤六憋省紫径酒傲澳浪称鼓性溯键溯铭钵掸狼蚊隅较丹赏碱沁腕摩低耽蹋彦推晋根筑随耐本擂邦蜀表副屁争虹蜀在捂题好淤座茎邦参绑君锁钒楷啊贴尺粕七纸平兹训行勃译完螟疹朴籍掘婴葬秘呵陪鸡胺雏紧馋跌讣奋腻慈扒斋旗辑蔽阉孩率葬拓非乘旺雄酿秤极迢歹嘶蚀易册瞬焰添孜肛枷口纵缺考诞荚剑疤正菩骏卉祥岛烹荧芹抹稽轻逢乓壹泪杏欠表蠢搅责杯吐撼帚镍尔框截溺蜗舅垄皋抽谋旺叉丧北秽姐扼聚寻醚胸
4、乔米叔蒂床防xx有限责任公司网络安全解决方案学 号:姓 名:班 级: 课 程:指导老师:时 间:22目录目录1摘要2第一章 xx网络的需求分析31.1xx网络现状描述31.2xx网络的漏洞分析41.2.1物理安全41.2.2主机安全41.2.3外部安全51.2.4内部安全51.2.5内部网络之间、内外网络之间的连接安全5第二章 网络安全解决方案72.1物理安全72.1.1两套网络的相互转换72.1.2重要信息点的物理保护72.2主机安全82.3网络安全82.3.1网络系统安全92.3.2应用系统安全132.3.3病毒防护142.3.4数据安全处理系统162.3.5安全审计172.3.6认证、鉴
5、别、数字签名、抗抵赖17第二章安全设备选型183.1安全设备选型原则183.1.1安全性要求183.1.2可用性要求193.1.3可靠性要求193.2安全设备的可扩展性193.3安全设备的升级193.4设备列表19第四章 方案的验证及调试21总结22摘要随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。经过调查,我们发现,xx存在以下几个问题:第一、 机房网络管理成本过高,并且造成了人力资源上的浪费;第二、 存在数据丢失的问题;第三、 计算机病毒泛滥,给高效率工作造成极大的不便;第四、 网络攻击严重
6、,严重影响了日常的工作。本设计方案基于xx出现的问题在物理安全、主机安全、网络安全三个方面提出了实际的解决措施。关键词:网络 安全 解决方案第一章 xx网络的需求分析1.1xx网络现状描述网络拓扑图随着xx多年的发展,以及技术的更新,网络设备也在不断地更新换代,同时企业间的收购,合并重组等商业行为,都会给企业网络带来一整套完全不同的网络设备、独立的办公室以及工作团队。由于以上种种原因,xx的网络不断扩充,问题也不断出现。xx原有的安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再
7、根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估,同时也提高了xx在这方面的维护经费。经过分析后发现,xx的安全漏洞主要存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着网络的正常运行;要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。1.2xx网络的漏洞分析1.2.1物理安全网络的物理安全是整个网络系统安全的前提,在xx的企业局域网内
8、,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃、破坏活动的发生,这一方面的风险是可以避免的。1.2.2主机安全在中国,我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,在本方案中,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。同时,企业主机也存在着各种各样的安全问题。使用者的使用权限
9、不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。企业主机也会受到来自病毒,黑客等的袭击,例如前一段时间xx受到非法入侵,入侵者上传了大量的木马,给公司的主机造成了很大的破坏,因此,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。1.2.3外部安全外部安全主要指来自外部的一些威胁和破坏,主要是以下几个方面:1) 拒绝服务攻击2) 外部入侵这里是通常所说的黑客威胁。当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权
10、的巨大威胁,使得企业在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。3) 病毒病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的60%瘫痪是由于感染病毒引起的。1.2.4内部安全最新调查显示, 60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业蒙受巨大的的损失。不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心
11、怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。这些都是xx内部网络中潜存的威胁。1.2.5内部网络之间、内外网络之间的连接安全xx的内部网络与外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外网的攻击。包括来自Internet上的风险和下级单位的风险。 内部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。据调查统计,在xx已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要
12、信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。随着企业的发展壮大及移动办公的普及,xx逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。第二章 网络安全解决方案2.1物理安全对于xx存在的两套网络系统切换问题和重点信息点的保护问题,我们提出以下解决方案。2.1.1两套网络的相互转换由于xx内部网络系统具有两套网络,这两套网络系统是完全物理隔离的,而企业内部有部分用户需要两个网络都要接入,这
13、就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换,这使得使用中非常不方便。建议采用网络隔离卡的方式来解决网络切换的问题。隔离卡上有两个网络接口,一个接内网,一个接外网;另外还有一个控制口,通过控制口连接一个控制器(只有火柴盒大小),放置于电脑旁边。同时,在隔离卡上接两个硬盘,使一个计算机变为两个计算机使用,两个硬盘上分别运行独立的操作系统。这样,可通过控制器进行切换,使计算机分别接到两个网络上。根据xx网络的实际情况,需要在二、三、四楼共20个信息点上安装隔离卡。其中二楼6个,三楼12个,四楼2个。2.1.2重要信息点的物理保护xx各级网络内部存在重要的信息
14、点,如内部核心应用系统,环境等都需要保护,它主要包括三个方面: 1) 环境安全:对系统所在环境的安全保护,如区域保护和灾难保护(参见国家标准GB50173-93电子计算机机房设计规范、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求)。 2) 设备安全:主要包括设备的防盗、防毁坏及电源保护等。对中心机房和关键信息点采取多种安全防范措施,确保非授权人员无法进入。中心机房处理秘密级、机密级信息的系统均采用有效的电子门控系统等。 3) 媒体安全:包括媒体数据的安全及媒体本身的安全。2.2主机安全根据xx网络内主机的安全防护现状,我们制定了以下策略:1) 对主机用户进行分
15、组管理,根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,确保用户的密码不会被他人所猜测到。2) 及时更新主机系统,防止因系统漏洞而遭到黑客或病毒的攻击。3) 对于应用服务,我们应该只开放那些需要的服务,并随时更新。而对于那些用不到的服务应该尽量关闭。4) 安装并及时升级杀毒软件以避免来自病毒的苦恼。5) 安装防火墙可以有效的防止黑客的攻击。2.3网络安全针对xx的VLAN划分情况,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内
16、,就可以限制局部网络安全问题对全局网络造成的影响。将分散系统整合成一个异构网络系统,数据存储系统整合成网络数据中心,通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心,为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术,本方案将所有网络安全和数据安全产品有机的结合在一起,在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案,能够极大地提高系统防护效果,降低网络管理的风险和复杂性。下图是防护系统对一个完整的网络攻击及防
17、护方法的演示效果图:2.3.1网络系统安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。因为许多重要的信息都通过网络进行交换。(一) 网络传输由于xx中心内部网络存在两套网络系统,其中一套为内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。在本解决方案中对网络传
18、输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:网络传输数据保护:由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输;网络隔离保护:与INTERNET进行隔离,控制内网与INTERNET的
19、相互访问;集中统一管理,提高网络安全性;降低成本(设备成本和维护成本);其中,在各级中心网络的VPN设备设置如下图:由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。下级单位的VPN设备放置如下图所示:从上图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这
20、种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,从而降低企业的成本。由于网络安全不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。(二)访问控制由于xx广域网网络部分通过公共网络
21、建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:1)控制外部合法用户对内部网络的网络访问;2)控制外部合法用户对服务器的访问;3)禁止外部非法用户对内部网络的访问;4)控制内部用户对外部网络的网络;5)阻止外部用户对内部的网络攻击;6)防止内部主机的IP欺骗;7)对外隐藏内部IP地址和网络拓扑结构;8)网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xx 公司 网络安全 解决方案
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。