企业信息安全整体方案设计

企业信息安全整体方案设计

、企业安全背景与现状

全球信息网的出现和信息化社会的来临，使得社会的生产方式发生深刻的变化。面对着激烈的市场竞争，公司对信息的收集、传输、加工、存贮、查询以及预测决策等工作量越来越大，原来的电脑只是停留在单机工作的模式，各科室间的数据不能实现共享，致使工作效率大大下降，纯粹手工管理方式和手段已不能适应需求，这将严重妨碍公司的生存和发展。

1.企业组织机构和信息系统简介

该企业包括生产，市场，财务，资源等部门

该企业的的信息系统包括公司内部员工信息交流，部门之间的消息公

告，还有企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信

息传输和资源共享等。

2.用户安全需求分析

在日常的企业办公中，企业总部和各地的分公司、办事处以及出差的员工需要实时地进行信息传输和资源共享等，企业之间的业务来往越来越多地依赖于网络。但是由于互联网的开放性和通信协议原始设计的局限性影响，所有信息采用明文传输，导致互联网的安全性问题日益严重，非法访问、网络攻击、信息窃取等频频发生，给公司的正常运行带来安全隐患，甚至造成不可估量的损失。

3.信息安全威胁类型

目前企业信息化的安全威胁主要来自以下几个方面:

(1)、来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。

(2)、来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。

(3)、来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成

网络瘫痪。

(4)、管理及操作人员缺乏安全知识。由于信息和网络技

术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备系统成为摆设, 不能使其发挥正确的作用。如本来对某些通信和操作需要限制, 为了方便，设置成全开放状态等等，从而出现网络漏洞。

(5)、雷击。由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击, 造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。

二.企业安全需求分析

1、对信息的保护方式进行安全需求分析

该企业目前已建成覆盖整个企业的网络平台，网络设备以

Cisco为主。在数据通信方面，以企业所在地为中心与数个城市通过1M帧中继专线实现点对点连接，其他城市和移动用户使用

ADSLCDM登录互联网后通过VPh连接到企业内网，或者通过PSTN

拨号连接。在公司的网络平台上运行着办公自动化系统、SA P的ERP系统、电子邮件系统、网络视频会议系统、VoIP语音系统、

企业Web网站，以及FHS自动加油系统接口、互联网接入、网上银行等数字化应用，对企业的日常办公和经营管理起到重要的支撑作用。

根据企业网络现状及发展趋势，对信息的保护方式进行安

全需求分析主要从以下几个方面进行考虑:

1、网络传输保护：主要是数据加密，防窃听保护。

2、密码账户信息保护：对网络银行和客户信息进行保护，防止泄露

3、网络病毒防护：采用网络防病毒系统，并对巨晕网内的一

些可能携带病毒的设备进行防护与查杀。

4、广域网接入部分的入侵检测：采用入侵检测系统

5、系统漏洞分析：采用漏洞分析设备，并及时对已知漏洞修补。（2）与风险的对抗方式进行安全需求分析

1、定期安全审计：主要包括两部分：内容审计和网络通信审

2、重要数据的备份：对一些重要交易，客户信息备份

3、网络安全结构的可伸缩性：包括安全设备的可伸缩性，即

能根据用户的需要随时进行规模、功能扩展。

4、网络设备防雷

5、重要信息点的防电磁泄露

三、安全解决方案

1、物理安全和运行安全

企业网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。

企业的运行安全即计算机与网络设备运行过程中的系统安全，是指对网络与信息系统的运行过程和运行状态的保护。主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。

2、选择和购买安全硬件和软件产品

（1）、硬件产品主要是防火墙的选购。对于防火墙的选购要

具备明确防火墙的保护对象和需求的安全等级、根据安全级别确定防火墙的安全标准、选用功能适中且能扩展和安全有保障的防火墙、能满足不同平台需求，并可集成于网络设备中、应能

提供良好地售后服务的产品等要求。

2）、软件产品主要是杀毒软件的选择，本方案中在选择

杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。

(3)、产品推荐

3、网络规划与子网划分

组网规则，规划网络要规划到未来的三到五年。并且在未来, 企业的电脑会不断增加。比较环形、星形、总线形三种基本拓扑结构，星形连接在将用户接入网络时具有更大的灵活性。当系统不断发展或系统发生重大变化时，这种优点将变得更加突出，所以选择星形网络最好。

(1)、实际的具体的设计拓扑图如下

(2)、子网的划分和地址的分配

1) 、每一级的设置及管理方法相同。 即在每一级的中心网

络安装一台VPN 设备和一台VPr 认证服务器(VPN-CA),在所属的直 属单位的网络接入处安装一台vph 设备，由上级的vpr 认证服务器 通过网络对下一级的VPN 设备进行集中统一的网络化管理。

下属机构的VPN 设备放置于内部网络与路由器之间，其配置、 管理由上

级机构通过网络实现,下属机构不需要做任何的管理, 仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，

其维护、管理需要相应的专业人员，而采取这种管理方式以后， 就可以降低下属机构的维护成本和对专业技术人员的要求，这对 有着庞大下属、分支机构的单位来讲将是一笔不小的费用。

由于网络安全的是一个综合的系统工程，是由许多因素决定 的，而不是

仅仅采用高档的安全产品就能解决，因此对安全设备 的管理就显得尤为重要。由于一般的安全产品在管理上是各自管 理，因而很容易因为某个设备的设置不当，而使整个网络出现重 大的安全隐患。 而用户的技术人员往往不可能都是专业的， 因此， 容易出现上述现象 ; 同时，每个维护人员的水平也有差异， 容易出

现相互配置上的错误使网络中断。所以，在安全设备的选择上应 当选择可以进行网络化集中管理的设备，这样，由少量的专业人 员对主要安全设备进行管理、配置，提高整体网络的安全性和稳 定性。

2）、访问权限控制策略

A 、经理办VLAN2可以访问其余所有 VLAN

B 、财务 VLAN5可以访问生产 VLAN3市场VLAN4资源VLAN6不可以访

经理办子网 (vlan2) ： 网关：

生产子网 (vlan3) ： 网关：

市场子网 (vlan4) ：

网关：

财务子网 (vlan5) ： 网关：

资源子网 (vlan6): 网关：

4、网络隔离与访问控制 子网掩码 : 子网掩码 : 子网掩码 : 子网掩码 :

子网掩码: