《企业网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《企业网络安全解决方案.docx(13页珍藏版)》请在三一办公上搜索。
1、哈尔滨华德学院计算机应用技术系目 录第1章 绪论11.1 课题背景11.2 目的和意义1第2章 需求分析22.1 企业网络安全现状和威胁22.1.1互联网安全:22.1.2企业内部网安全:22.1.3内网与内网、内网与外网之间的连接安全:22.2 企业网络安全需求分析22.2.1网络的可用性:32.2.2业务系统的可用性:32.2.3数据机密性:32.2.4访问的可控性:32.2.5网络操作的可管理性:3第3章 设备选型及管理43.1 安全产品选型原则43.2 UTM(统一威胁管理)4第4章 总体设计64.1 整体结构描述64.2 网络安全基础设施64.3 边界防护和网络的隔离74.4 桌面安
2、全防护74.4.1电子签章系统74.4.2安全登录系统74.4.3文件加密系统84.5 身份认证84.6 安全电子邮件8第5章 总结9参考文献912第1章 绪论1.1 课题背景Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长,也为企业的发展带来了重大商机。以Internet 为代表的信息技术的发展不仅直接影响着企业科技的创新能力和生产效率的提高,也逐渐成为提高企业竞争力的重要力量。随着中小型企业信息化建设的逐步完善,企业业务对于网络的依赖性也越来越大,但同时也受到互联网络的安全威胁,如黑客和病毒攻击,因此对于网络安全的需求也越来越强烈。1.2 目的和意义一方面,随着计算机技术、
3、信息技术的发展,计算机网络系统必将成为企业各项业务的关键平台。另一方面,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。 网络安全系统的建立,必将为企业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地制止经济情报失、泄密现象发生,避免重大经济案件的发生。
4、第2章 需求分析2.1 企业网络安全现状和威胁当今无论是中小企业还是大企业,都广泛使用信息技术,特别是网络技术,以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时,也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展,给企业所造成的损失不可估量。由于计算机网络特有的开放性,网络安全问题日益严重。企业所面临的安全威胁主要有以下几个方面:2.1.1 互联网安全:企业通过Internet可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、
5、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为影响广泛的安全威胁。2.1.2 企业内部网安全:企业中大量员工利用网络处理私人事务。对网络的不正当使用,降低了生产效率、消耗了企业的网络资源,并引入病毒和木马程序等。发生在企业网络上的病毒事件,据调查 90是经由电子邮件或浏览网页,进入企业内部网络并传播的。垃圾邮件和各种恶意程序,造成企业网络拥塞瘫痪,甚至系统崩溃,造成难以弥补的巨大损失。2.1.3 内网与内网、内网与外网之间的连接安全:随着企业的不断发展壮大,逐渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的
6、信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。2.2 企业网络安全需求分析企业希望能具有竞争力并提高生产效率,就必须对市场需求作出及时有效的响应,从而引发了依赖于互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而推动企业的发展。然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而当今的网络已经发生了巨大的变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一
7、次连接到网络上,原有的安全状况就会发生变化。所以很多企业频繁地受到网络的安全威胁甚至损害。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些问题无能为力。为了应对网络安全挑战,企业通常会使用多种网络硬件设备,包括防火墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂,这些网络需要所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的基础上,再结合多种软件解决方案,如病毒防护、入侵检测(IDS)、入侵防御(IPS)、VPN 网关和内容过滤(如URL 过滤)等,就构成了一个常规的网络安全解决方案。但网络安全产品不仅仅需要简单的安装,更重要的是要有针对复杂网络应用的
8、一体化解决方案。归结起来,应充分保证以下几点:2.2.1 网络的可用性:网络是企业业务系统的载体,安全体系必须防止病毒入侵及破坏,建立完善统一的病毒防范体系,维护网内计算机的运行。2.2.2 业务系统的可用性:中小企业主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。2.2.3 数据机密性: 对于中小企业网络,保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。有效拦截黑客程序的破坏,准确记录和上报攻击信息,保障重要数据安全 。2.2.4 访问的可控性: 分层次的安全策略,针对不同职
9、能部门确立相应的安全防范标准。对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。2.2.5 网络操作的可管理性:简单高效的网络安全管理模式,清晰统一的责任分工与合作。对于网络安全系统应具备审计和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。专业及时的灾难恢复系统,将受灾后的损失减少到最小。第3章 设备选型及管理3.1 安全产品选型原则在进行企业网络安全方案的产品选型时,要求安全产品至少应包含以下功能: 访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞:通过对安
10、全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。 攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。 加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。 认证:良好的认证体系可防止攻击者假冒合法用户。 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。 隐藏内部信息:使攻击者不能了解系统内的基本情况。 设立安全监控中心:为信息系统提供安全体系管理、监控,保护及紧急情况服务。3.2 UT
11、M(统一威胁管理)企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。于是,U T M (统一威胁管理)产品应运而生,并且正在逐步得到市场的认可。U T M 安全、管理方便的特点,是安全设备最大的好处,而这往往也是企业对产品的主要需求。U T M产品灵活、易于管理,使企业能够在一个统一的架构上建立安全基础设施,相对于提供单一专有功能的安全设备,UTM 在一个通用的平台上提供多种安全功能。一个典型的 U T M 产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的 UTM 设备,也可以根据自己的需要选择某几个方面的功能。更为重要的是,用户
12、可以随时在这个平台上增加或调整安全功能,而任何时候这些安全功能都可以很好地协同工作。整合式的 UTM 产品相对于单独购置各种功能,可以有效地降低成本投入。且由于UTM 的管理比较统一,能够大大降低在技术管理方面的要求,弥补企业在技术力量上的不足。这使得企业可以最大限度地降低对安全供应商的技术服务要求,网络安全方案可行性更强。图1 企业网络安全体系示意图图2 基于UTM 的网络安全体系架构第4章 总体设计4.1 整体结构描述本方案采用立体多层次的安全系统架构。结合企业的网络特征,采用U T M 整体安全网络架构方案。(如图1所示)这种多层次的安全体系在网络边界设置防火墙和 VPN ,用基于状态检
13、测的防火墙系统实现对内部网和广域网进行隔离保护。VPN 为远程办公人员及分支机构提供方便的VPN 高速接入,保护数据传输过程中的安全,实现用户对企业内部网的受控访问。同时还有针对网络病毒和垃圾邮件等应用层攻击的防护措施,这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全,特别是移动办公,客户端隔离技术将对有安全问题的主机进行隔离,以免其对整个网络造成更大范围的影响,这给整个企业网络提供了安全保障。UTM 提供高级别的安全性,可以检测到异常操作并立即关闭可疑的通讯。(详细的网络架构图如图 2 所示。)4.2 网络安全基础设施证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必
14、须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用 PKI/CA 数字认证服务。PKI(Public Key Infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA 数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证:确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。数据的机密性:对敏感信息进行加
15、密,确保信息不被泄露,在此体系中利用数字证书加密来完成。数据的完整性:确保通信信息不被破坏,通过哈希函数和数字签名来完成。不可抵赖性:防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。4.3 边界防护和网络的隔离VPN虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如 Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。通过安装部署 VPN 系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及
16、密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程 LAN 的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个 VPN 网络的安全策略进行集中管理和配置。4.4 桌面安全防护桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。4.4.1 电子签章系统利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入 OFFICE 系统,用户
17、可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。4.4.2 安全登录系统安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。4.4.3 文件加密系统文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。4.5 身份认证身份认证是指计算机及网络系统确认操作者身份的过程。基于 PKI 的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用
18、软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key 是一种 USB 接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用 USB Key 内置的密码算法实现对用户身份的认证。4.6 安全电子邮件电子邮件是 Internet 上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。 然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持的 S/MIME( Secure Multipurpos
19、e Internet Mail Extensions ),它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。第5章 总结随着互联网的迅速发展,网络攻击也在迅速增多,病毒邮件攻击的影响日益激烈,病毒、蠕虫和毫无必要的大量垃圾电子邮件利用互联网资源来传播,使企业网络的传输速度缓慢甚至瘫痪。本文提出的企业网络安全解决方案能够为企业提供安全的网络保护,并缩减了企业在网络安全方面的投资。解决了企业的安全隐患,使能够合理利用网络并从网络中获取丰厚的效益,提高了企业的竞争力。参考文献1. 杜向文.中小企业的网络安全.计算机安全.2006(08)2. 李彦军.基于中小企业网络安全的防火墙配置策略.太原大学学报.20063. 王绍卜.我国中小企业网络安全研究与应用.集体经济研究.2004(12)
