企业网络安全解决方案

哈尔滨华德学院计算机应用技术系I目录第1章绪论.....................................................11.1课题背景..................................................11.2目的和意义................................................1第2章需求分析.................................................22.1企业网络安全现状和威胁....................................22.1.1互联网安全：..........................................22.1.2企业内部网安全：......................................22.1.3内网与内网、内网与外网之间的连接安全：................22.2企业网络安全需求分析......................................32.2.1网络的可用性:.........................................42.2.2业务系统的可用性:.....................................42.2.3数据机密性:...........................................42.2.4访问的可控性:.........................................42.2.5网络操作的可管理性:...................................4第3章设备选型及管理...........................................53.1安全产品选型原则..........................................53.2UTM（统一威胁管理）.......................................6第4章总体设计.................................................84.1整体结构描述..............................................84.2网络安全基础设施..........................................84.3边界防护和网络的隔离......................................94.4桌面安全防护.............................................104.4.1电子签章系统.........................................104.4.2安全登录系统.........................................104.4.3文件加密系统.........................................104.5身份认证.................................................104.6安全电子邮件.............................................11第5章总结....................................................12参考文献.................................................12哈尔滨华德学院计算机应用技术系1第1章绪论1.1课题背景Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长，也为企业的发展带来了重大商机。以Internet为代表的信息技术的发展不仅直接影响着企业科技的创新能力和生产效率的提高，也逐渐成为提高企业竞争力的重要力量。随着中小型企业信息化建设的逐步完善，企业业务对于网络的依赖性也越来越大，但同时也受到互联网络的安全威胁，如黑客和病毒攻击，因此对于网络安全的需求也越来越强烈。1.2目的和意义一方面，随着计算机技术、信息技术的发展，计算机网络系统必将成为企业各项业务的关键平台。另一方面，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。网络安全系统的建立，必将为企业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。哈尔滨华德学院计算机应用技术系2第2章需求分析2.1企业网络安全现状和威胁当今无论是中小企业还是大企业，都广泛使用信息技术，特别是网络技术，以不断提高企业竞争力。企业信息设施在提高企业效益和方便企业管理的同时，也给企业带来了安全隐患。网络的安全问题一直困扰着企业的发展，给企业所造成的损失不可估量。由于计算机网络特有的开放性，网络安全问题日益严重。企业所面临的安全威胁主要有以下几个方面:2.1.1互联网安全：企业通过Internet可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。例如黑客攻击、病毒传播、垃圾邮件泛滥、信息泄露等已成为影响广泛的安全威胁。2.1.2企业内部网安全：企业中大量员工利用网络处理私人事务。对网络的不正当使用，降低了生产效率、消耗了企业的网络资源，并引入病毒和木马程序等。发生在企业网络上的病毒事件，据调查90％是经由电子邮件或浏览网页，进入企业内部网络并传播的。垃圾邮件和各种恶意程序，造成企业网络拥塞瘫痪，甚至系统崩溃，造成难以弥补的巨大损失。2.1.3内网与内网、内网与外网之间的连接安全：哈尔滨华德学院计算机应用技术系3随着企业的不断发展壮大，逐渐形成了企业总部、异地分支机构、移动办公人员这样的新型互动运营模式。怎样处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中需要及时解决的问题。同时异地分支机构、移动办公人员与总部之间的有线和无线网络连接安全直接影响着企业的运行效率。2.2企业网络安全需求分析企业希望能具有竞争力并提高生产效率，就必须对市场需求作出及时有效的响应，从而引发了依赖于互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动企业的发展。然而，有网络的地方就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而当今的网络已经发生了巨大的变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以很多企业频繁地受到网络的安全威胁甚至损害。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些问题无能为力。为了应对网络安全挑战，企业通常会使用多种网络硬件设备，包括防火墙、路由器、转接器、远程接入设备等。大多数公司的网络相当复杂，这些网络需要所有这些设备来确保正确的路由以及提供快速和可靠的网络性能。在这些硬件的基础上，再结合多种软件解决方案，如病毒防护、入侵检测(IDS)、入侵防御(IPS)、VPN网关和内容过滤(如URL过滤)等，就构成了一个常规的网络安全解决方案。但网络安全产品不仅仅需要简单的安装，更重要的是要有哈尔滨华德学院计算机应用技术系4针对复杂网络应用的一体化解决方案。归结起来，应充分保证以下几点:2.2.1网络的可用性:网络是企业业务系统的载体，安全体系必须防止病毒入侵及破坏，建立完善统一的病毒防范体系，维护网内计算机的运行。2.2.2业务系统的可用性:中小企业主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。2.2.3数据机密性:对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。有效拦截黑客程序的破坏，准确记录和上报攻击信息，保障重要数据安全。2.2.4访问的可控性:分层次的安全策略，针对不同职能部门确立相应的安全防范标准。对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。2.2.5网络操作的可管理性:简单高效的网络安全管理模式，清晰统一的责任分工与合作。对于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。专业及时的灾难恢复系统，将受灾后的损失减少到最小。哈尔滨华德学院计算机应用技术系5第3章设备选型及管理3.1安全产品选型原则在进行企业网络安全方案的产品选型时，要求安全产品至少应包含以下功能：·访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。·检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。·攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。·加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。·认证：良好的认证体系可防止攻击者假冒合法用户。·备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。·多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。·隐藏内部信息：使攻击者不能了解系统内的基本情况。·设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。哈尔滨华德学院计算机应用技术系63.2UTM（统一威胁管理）企业用户目前急需的是建立一个规范的安全管理平台，对各种安全产品进行统一管理。于是，UTM（统一威胁管理）产品应运而生，并且正在逐步得到市场的认可。UTM安全、管理方便的特点，是安全设备最大的好处，而这往往也是企业对产品的主要需求。UTM产品灵活、易于管理，使企业能够在一个统一的架构上建立安全基础设施，相对于提供单一专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更为重要的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好地协同工作。整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投入。且由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补企业在技术力量上的不足。这使得企业可以最大限度地降低对安全供应商的技术服务要求，网络安全方案可行性更强。哈尔滨华德学院计算机应用技术系7图1企业网络安全体系示意图图2基于UTM的网络安全体系架构哈尔滨华德学院计算机应用技术系8第4章总体设计4.1整体结构描述本方案采用立体多层次的安全系统架构。结合企业的网络特征，采用UTM整体安全网络架构方案。（如图1所示）这种多层次的安全体系在网络边界设置防火墙和VPN，用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。VPN为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现用户对企业内部网的受控访问。同时还有针对网络病毒和垃圾邮件等应用层攻击的防护措施