信息系统安全整体解决方案报告书
企业网络信息安全整体解决方案报告书模板
企业网络信息安全整体解决方案目录一、完善、优化企业内部网络架构 (4)1、域结构管理模式 (4)2、网络拓扑结构设计 (5)3、三层交换与VLAN结合 (6)4、企业网管软件 (7)二、构建全方位的数据泄漏防护系统 (14)1、文档安全管理系统 (15)2、企业U盘认证系统 (17)3、打印监控系统 (18)三、建立一体化的本地/异地备份与容灾体系 (20)四、建立防火墙、防入侵及一体化安全网关解决方案 (24)1、趋势科技防毒墙-服务器版(SP): (25)2、Juniper 防火墙: (27)随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。
在计算机连接能力连接范围大幅度提高的同时,基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。
为了解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。
一、完善、优化企业内部网络架构在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。
这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。
同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。
另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。
下面我们就分几方面来优化企业内部网络架构。
教育信息系统整体安全解决方案
第一部分教育网络安全解决方案一、校园网结构特点及信息安全需求分析校园网结构特点随着CERNET在中国教育科研领域的深入发展,校园网信息化建设也日趋完善。
总结校园网信息结构的特点,主要有以下几个方面:1.校园信息网具备完善、层次化的网络汇结结构,有统一的教育网出口。
它是全国高校网的信息互通平台,同时也是通向国际互联网的传输纽带。
2.校园信息网内建立了一系列重要的应用系统,负责高校日常的信息管理工作,如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。
此外,相当多的校园网还启用了学生一卡通系统,用于学生在校区内的购物消费、借书等。
数字图书馆是高校的另一个重要系统,它包括门户系统、网上借阅、音像资料管理、TRS 检索,期刊管理等等。
3.校园网的另一个重要网络是学校科研及中重点试验室网络。
尤其是在国家一些重点院校,这部分网络往往都承担了国家级的课题项目,里面涉及到的信息级别较高。
4.随着信息化程度的深入,校园内学生宿舍区的终端数量日益膨胀。
与此同时,教工家属区的PC 也通过校园网的网络资源连入CERNET。
对于这两类终端,他们的特点是数量庞大,占用带宽较高且不易管理。
图1:校园信息网示意图综合以上校园网结构特点,其存在以下安全风险和其脆弱性:1.校园信息网平台比较开放,终端数量庞大,非常容易受到来自CERNET本身的安全威胁,例如网络蠕虫传播、安全攻击,垃圾邮件泛滥等等。
此外,校园网终端没有统一的管理,每台机器上的操作系统安全漏洞补丁不能及时更新。
这些威胁都会严重影响校园网络的正常使用。
2.学生是CERNET 上重要使用者,对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用,例如:攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。
这些行为除了会影响校园信息管理系统的正常运行,同时还对那些重要服务器的安全造成了威胁。
3.学校的重点科研试验室承担了大量的学术研究和试验项目,在研究过程中的数据需要采取严格的安全保护措施。
信息系统安全整体解决方案
信息系统安全整体解决方案精品管理制度、管理方案、合同、协议、一起学习进步《安全系统整体解决方案设计》第一章企业网络的现状描述 (4)1.1企业网络的现状描述 (4)第二章企业网络的漏洞分析 (5)2.1物理安全 (5)2.2主机安全 (5)2.3外部安全 (5)2.4内部安全 (6)2.5内部网络之间、内外网络之间的连接安全 (6)第三章企业网络安全整体解决方案设计 (7)3.1企业网络的设计目标 (7)3.2企业网络的设计原则 (7)3.3物理安全解决方案 (8)3.4主机安全解决方案 (8)3.5网络安全解决方案 (8)第四章方案的验证及调试 (10)第五章总结 (11)企业网络整体解决方案设计第一章企业网络的现状描述1.1企业网络的现状描述网络拓扑图以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。
以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。
这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。
人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。
安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。
因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。
信息系统安全设计方案和对策
信息系统安全设计方案和对策概述在当今数字化时代,信息系统的安全性显得尤为重要。
一个良好的信息系统安全设计方案和对策能够保护组织的敏感信息免遭未经授权的访问、损坏或泄露。
本文将提供一套详细的信息系统安全设计方案和对策,以确保系统运行的稳定性和数据的安全性。
1.资费合理的安全硬件和软件选择安全硬件和软件时,必须考虑价格和性能的平衡。
高质量的防火墙、入侵检测系统和恶意软件防护软件等安全设备是必不可少的。
此外,还应定期更新和升级安全软件,以确保其与最新的威胁保持同步。
2.强化身份验证采用多层身份验证机制,确保只有授权的用户能够访问系统。
例如,使用密码、Token、生物特征识别等多种验证方式进行身份验证。
此外,还要定期更改密码,并使用复杂的密码策略。
3.定期进行漏洞扫描和安全评估通过定期进行漏洞扫描和安全评估,可以及时发现和修复系统中的安全漏洞。
漏洞扫描可以帮助发现已知的漏洞,而安全评估则可以测试系统的强度和弱点,并提供改进建议。
4.数据备份和恢复定期备份系统数据,并将其存储在安全的地方,确保系统遭受数据丢失或损坏时能够及时恢复。
备份数据也应加密存储以保护其机密性。
5.加密通信通过使用加密技术,如SSL/TLS协议,保护敏感数据在传输过程中的安全性。
确保所有敏感数据在传输过程中都经过加密处理,以防止被未经授权的人员拦截和窃取。
6.安全意识培训为所有员工提供信息安全意识培训,以提高他们的识别和应对各种安全威胁的能力。
培训应涵盖密码安全、电子邮件安全、社工攻击和恶意软件等多个方面。
7.强化访问控制根据用户的角色和权限,实施严格的访问控制策略。
只允许经过授权的用户访问敏感数据和系统资源,并及时撤销离职员工的访问权限。
8.实施安全审计建立安全审计机制,记录并监控系统的各项操作。
通过审计数据可以追踪和分析异常行为,并识别潜在的安全威胁。
9.策略和流程管理建立系统安全策略和流程,确保组织各级人员对安全工作有清晰的认识,并能按照相关流程进行操作。
信息系统安全事件报告及处理办法
信息系统安全事件报告及处理办法
一、安全事件的处理
1.当发现主机(服务器)或网络系统故障时, 监控人员要立即报告技术科负责人, 并会同有关人员对故障进行分析处理。
2.如果主机(服务器)系统故障影响到本单位业务系统和其他应用软件的正常运行, 或网络故障影响到系统业务的正常运行, 应及时报告信息中心领导。
同时将故障设备关闭或与网络系统隔离, 并启用备用设备。
3.凡故障涉及网络线路或网络信道, 并影响到网络应用项目的运行, 应立即报告信息中心领导, 并启用备用线路或信道。
4.如果发现设备受到计算机病毒感染或黑客入侵, 应立即与网络系统隔离, 并立即报告相关职能科负责人, 如果重要设备或多台设备受到感染或入侵, 应及时报告信息中心领导, 同时采取措施清除所有病毒和黑客程序, 未确认病毒和黑客程序已彻底清除前, 不得将该设备连入单位网络。
5.信息中心负责人要及时组织相关技术人员对安全事件进行分析处理, 并将事故分析、处理情况记入《值班日志》中。
6、如果主机(服务器)或网络出现严重故障, 一时难以查明原因时, 由信息中心组织维修并协调。
7、当故障处理完毕后, 应及时写出故障报告, 并存入设备维护档案。
二、安全事件的报告
1.安全事件报告的内容应包含安全事件发生的时间、地点、
值班人或当事人、事故现象、事故分析、处理情况、参与人员、和恢复时间等, 因事故造成损失或影响的, 应写明损失或影响程度。
2、安全事件的报告应在事件发生后两周内递交信息中心领导, 并记入安全事件汇总表。
3、涉及较大损失或造成一定影响的安全事件, 应及时向关领导汇报。
信息系统安全方案
信息系统安全方案概述随着信息技术的快速发展,信息系统已成为组织和企业日常运营的关键支撑。
然而,信息系统也面临着来自外部和内部的安全威胁。
为了保护机密信息和确保业务连续性,制定一个全面的信息系统安全方案至关重要。
本文将介绍一个高质量的信息系统安全方案,旨在帮助组织保护其信息资产并降低风险。
1. 威胁评估和漏洞分析在制定安全方案之前,首先需要进行威胁评估和漏洞分析,以确定潜在的威胁和系统中存在的漏洞。
这些评估和分析可以通过安全专家的帮助或使用专业的安全评估工具进行。
评估结果应该包括以下内容:- 确定潜在的外部威胁,如网络攻击、恶意软件、身份盗窃等;- 分析组织内部的安全漏洞和风险,如弱密码、未经授权的访问、员工失职等。
2. 访问控制和身份验证访问控制是信息系统安全的核心,其目的是确保只有经过授权的用户才能访问系统和敏感信息。
以下是一些重要的访问控制措施:- 强密码策略:制定并执行密码复杂性要求,包括密码长度、特殊字符要求等。
- 双因素身份验证:通过结合密码和其他身份验证因素(如指纹、智能卡等)来提高身份验证的安全性。
- 角色基础的访问控制:根据用户的职责和权限,将其分配到特定的角色,并限制其访问权限。
3. 安全培训和意识提升安全培训和意识提升是保护信息系统安全的关键因素。
员工需要充分了解安全政策和最佳实践,并具备正确的行为习惯。
以下是一些有效的安全培训和意识提升方法:- 定期的安全培训活动,包括线上课程、面对面培训、模拟演练等;- 发放宣传物资,如海报、小册子,以强调安全意识和最佳实践;- 建立一个报告系统,鼓励员工积极报告有关安全漏洞和威胁的情况。
4. 安全漏洞修复和更新管理及时修复系统中的安全漏洞和应用程序的软件漏洞是确保信息系统安全的重要步骤。
以下是一些关键的修复和更新管理措施:- 订阅厂商和第三方漏洞通告,及时获取最新的安全更新;- 自动化漏洞扫描和弱点检测工具,定期对系统进行扫描;- 维护一个严密的漏洞修复计划,确保及时修复已发现的漏洞。
信息系统网络安全整改方案
第1章项目概述1.1 项目目标本方案将通过对公司网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动XX 企业公司网络信息系统安全整改工作的进行。
根据XX 企业公司信息系统目前实际情况,综合考虑XX 企业公司信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高XX 企业公司信息系统的安全防护水平,完善安全管理制度体系。
在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。
威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。
这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
1.2 项目范围本文档适用于指导XX 企业信息系统安全整改加固建设工作。
1.3 信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
1.4 等级保护建设依据1.4.1 国内标准《中华人民共和国网络安全法》《信息系统安全等级保护基本要求》GB/T 22239-2008《信息安全风险评估规范》GB/T 20984-2007《信息安全管理实用规划》GB/T 22081-20081.4.2 国际标准ISO27001ISO27002ISO/IEC 13335ISO90011.4.3 行业要求《关于印发< 信息安全等级保护管理办法> 的通知》(公信安[2007]43 号)《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号)《信息安全等级保护管理办法》(公通字[2007]43 号)《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861 号)《公安机关信息安全等级保护检查工作规范》(公信安[2008]736 号)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429 号)第2章安全现状分析2.1 网络现状描述1.XX 企业公司网络信息系统内网架构为三层架构2.核心交换机直连各楼栋汇聚交换机3.用户接入交换机,通过VLAN 划分用户区域3.网络出口上有两条链路:一条为500M 的互联网线路;一条为20M 专线的的集团线路。
企业信息系统整体安全解决方案
企业信息系统整体安全解决方案企业信息系统整体安全解决方案北京赛门铁克信息技术有限公司第一部分信息系统网络安全解决方案一、行业结构特点及信息安全需求分析制造业网络架构特点:从“信息化高速公路”到“数字地球”,信息化浪潮席卷全球。
Internet的迅猛发展不仅带动了信息产业和国民经济地快速增长,也为企业的发展带来了勃勃生机。
企业通过Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多风险。
当越来越多的企业把自己的业务系统放到网络上后,针对网络的各种非法入侵、病毒等活动也随之增多。
其信息系统主要有以下几个特点:1.企业内部网日益完善,具备层次化的网络结构,成为企业通向Internet 的传输纽带。
2.一系列重要的应用系统建立在内部网中,负责企业日常的生产管理,如ERP、CRM、PLM、PDM、OA等。
3.随着信息化程度的深入、企业的不断发展与壮大。
企业内的终端数量日益膨胀。
与此同时,企业的分公司、供货商、销售商通过Internet联入总部,时时查询或者上报数据。
对于这两类终端,他们的特点是数量庞大,不易管理。
图1:制造业信息系统的典型网络拓扑针对其特点,我们来分析一下制造业信息系统所面临的威胁与风险。
1.大多数的企业信息网比较开放,终端数量庞大,非常容易受到来自Internet本身的安全威胁,例如网络蠕虫、安全攻击,垃圾邮件等等。
此外,企业网终端没有统一的管理,每台终端上的操作系统安全漏洞补丁不能得到及时更新。
这些威胁都会严重影响企业内部网络的正常使用。
2.对企业自身来说,其研发机构承担了大量的产品研制与开发任务,在开发过程中的数据需要采取严格的保护措施。
这部分网络还会提供相关的外单位科研人员的访问。
如果安全性缺失会造成自有知识产权的泄露。
3.企业网的管理结构相对复杂,没有系统的安全管理和安全事件监控机制。
一旦遇到网络蠕虫传播、垃圾邮件拥塞、恶意攻击等紧急情况,没有相应的对策。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《安全系统整体解决方案设计》第一章企业网络的现状描述 (3)1.1企业网络的现状描述 (3)第二章企业网络的漏洞分析 (4)2.1物理安全 (4)2.2主机安全 (4)2.3外部安全 (4)2.4部安全 (5)2.5部网络之间、外网络之间的连接安全 (5)第三章企业网络安全整体解决方案设计 (5)3.1企业网络的设计目标 (5)3.2企业网络的设计原则 (6)3.3物理安全解决方案 (6)3.4主机安全解决方案 (7)3.5网络安全解决方案 (7)第四章方案的验证及调试 (8)第五章总结 (9)参考资料 ....................................................... 错误!未定义书签。
企业网络整体解决方案设计第一章企业网络的现状描述1.1企业网络的现状描述网络拓扑图以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。
以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。
这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。
人力资源浪费很大,而且往往是在系统破坏造成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。
安全的漏洞往往存在于系统中最薄弱的环节,系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。
因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。
第二章企业网络的漏洞分析2.1 物理安全网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。
以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。
它是整个网络系统安全的前提,在这个企业区局域网,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。
2.2 主机安全对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
我们可以这样讲:没有完全安全的操作系统。
但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的围。
与日常生活当中一样,企业主机也存在着各种各样的安全问题。
使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用围。
同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。
在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。
2.3外部安全拒绝服务攻击。
值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。
对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。
对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。
外部入侵。
这里是通常所说的黑客威胁。
从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。
这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。
病毒。
病毒时时刻刻威胁着整个互联网。
前段时间美国国防部和全年北京某部部网遭受的大规模病毒爆发都使得整个部办公和业务瘫痪数个小时,而MS Blaster及Nimda和Code Red的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。
对病毒的彻底防御重要性毋庸置疑。
2.4部安全最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。
对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。
不满的部员工可能在WWW站点上开些小玩笑,甚至破坏。
不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。
对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。
但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
2.5部网络之间、外网络之间的连接安全部网络与外部网络间如果在没有采取一定的安全防护措施,部网络容易遭到来自外网的攻击。
包括来自internet上的风险和下级单位的风险。
部局网不同部门或用户之间如果没有采用相应一些访问控制,也可能造成信息泄漏或非法攻击。
据调查统计,已发生的网络安全事件中,70%的攻击是来自部。
因此部网的安全风险更严重。
部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。
怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接安全直接影响企业的高效运作第三章企业网络安全整体解决方案设计3.1 企业网络的设计目标企业网络安全的设计目标与其他网络安全的设计目标一致,包括:保密性,完整性等面向数据的安全及可用性,可控性,可审查性等面向用户的安全。
面向用户的安全即网络安全又包含:鉴别,授权,访问控制,抗否认性和可服务性,以及在于容的个人隐私,知识产权等的保护。
企业网络的安全即指该网络系统的硬件,软件及其系统中的数据的安全。
网络信息的传输,存储,处理和使用都要求处于安全的状态。
保密性:指信息不泄露给非授权的个人,实体和过程,或供其使用的特性。
完整性:指信息未经授权不能被修改,不被破坏,不被插入,不延迟,不乱序和不丢失的特性。
对网络信息安全进行攻击其最终目的就是破坏信息的完整性。
可用性:指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资产。
可控性:指授权机构对信息的容及传播具有控制能力的特性,可以控制授权围的信息流向以及方式。
可审查性:指在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
3.2 企业网络的设计原则在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一个计算机网络,包括个人、设备、软件、数据等。
这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络进行实际、额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决网络安全问题是不现实的。
同时由于实施信息安全措施需相当的费用支出。
因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
3.3 物理安全解决方案环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
媒体安全:包括媒体数据的安全及媒体本身的安全。
3.4 主机安全解决方案1.对主机用户进行分组管理,根据不同的安全级别将用户分为若干等级,每一等级的用户只能访问与其等级相对应的系统资源和数据。
其次应该考虑的是强有力的身份认证,确保用户的密码不会被他人所猜测到。
2.及时更新主机系统,防止因系统漏洞而遭到黑客或病毒的攻击。
3.对于应用服务,我们应该只开放那些需要的服务,并随时更新。
而对于那些用不到的服务应该尽量关闭。
4.安装并及时升级杀毒软件以避免来自病毒的苦恼5.安装防火墙可以有效的防止黑客的攻击3.5 网络安全解决方案在部网络中,主要利用VLAN技术来实现对部子网的物理隔离。
通过在交换机上划分VLAN 可以将整个网络划分为几个不同的广播域,实现部一个网段与另一个网段的物理隔离。