恒运公司网络安全解决方案

恒远公司网络信息系统的安全方案建议书摘要随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。关键词信息安全；PKI；CA第一章引言计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。第二章恒运公司网络安全隐患与需求分析2.1网络现状公司现有计算机500余台，通过内部网相互连接与外网互联。在内部网络中，各服务部门计算机在同一网段，通过交换机连接。如下图所示：图2-12.2安全隐患分析2.2．1网络通信协议IP层协议安全缺陷，IP地址软件设置是IP地址假冒和IP地址欺骗的安全隐患；应用层协议TELNET、FTP、SMTP等协议缺乏安全认证和保密措施，为攻击者提供了截获秘密的通道。2.2.2资源共享网络应用共享了网络资源，包括信息共享、设备共享等。缺少必要的访问控制策略，造成存储设备中各种重要信息泄密。2.2.3电子邮件协议电子邮件为网络用户提供电子邮件应用服务。内部网用户可以通过拔号或其它方式发送和接收电子邮件，这就会被黑客跟踪或收到一些特洛伊木马、病毒程序等，如果用户安全意识比较淡薄，给入侵者提供机会，会给系统带来不安全因素。2.2.4操作系统的安全漏洞计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。2.2.5病毒侵害网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。2.2.6网络系统安全策略不健全，配置失当，产生网络系统安全漏洞。2.3需求分析恒远公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Internet的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求如下：1.根据公司现有的网络设备组网规划；2.保护网络系统的可用性；3.保护网络系统服务的连续性；4.防范网络资源的非法访问及非授权访问；5.防范入侵者的恶意攻击与破坏；6.保护企业信息通过网上传输过程中的机密性、完整性；7.防范病毒的侵害；8.实现网络的安全管理。通过了解恒远公司的需求与现状，为实现恒远网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要（1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全（3）安装防火墙体系（4）安装防病毒服务器（5）加强企业对网络资源的管理如前所述，恒远公司信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点：(1)恒远公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使恒远公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是恒远公司面临的重要课题。第三章网络信息安全策略及整体方案信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置（如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。3.1方案综述恒远公司整个网络安全系统从物理上划分4个部分，即计算机网络中心、财务部、业务部及网络开发中心。从而在结构上形成以计算机网络中心为中心，对其他部分进行统一的网络规划和管理。每个安全区域有一套相对独立的网络安全系统，这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围。通过对恒运公司现状的分析与研究以及对当前安全技术的研究分析，我们制定如下企业信息安全策略，附改造后网络安全方案拓扑图，见图3－1。图3－1网络安全方案拓扑图3．2网络信息安全方案实施3．2．1防火墙实施方案根据网络整体安全考虑，采用两台ciscopix535防火墙，一防火墙对业务网与企业内网进行隔离，另一防火墙对Internet与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。3．2．2入侵检测方案在核心交换机监控端口部署CA入侵检测系统(eTrustIntrusionDetection)，并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。入侵检测系统实时捕获内外网之间传输的所有数据，以动态图形方式展现出来，使管理员能够时刻掌握当前内外网之间正在进行的连接和访问情况；运用协议分析和模式匹配方法，可以有效地识别各种网络攻击和异常现象，如拒绝服务攻击，非授权访问尝试，预攻击探测等；当攻击发生时，可根据管理员的配置以多种方式发出实时报警;对于严重的网络入侵事件，也可由入侵检测引擎直接发出阻断信号切断发生攻击的连接，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。3．2．3网络安全漏洞企业网络拥有、邮件、域、视频等服务器，还有重要的数据库服务器，对于管理人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，达到增强网络安全性的目的。3．2．4防病毒方案采用Symantec网络防病毒软件，建立企业整体防病毒体系，对网络内的服务器和所有计算机设备采取全面病毒防护。并且需要在网络中心设置病毒防护管理中心，通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域内。通过防病毒管理域的主服务器，对整个域进行防病毒管理，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒。可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控；可实现对所有防毒软件的集中管理、集中设置、集中维护；可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式，对病毒的爆发进行报警；可集中获得防毒系统的日志信息；管理人员可方便地对系统情况进行汇总和分析。根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具，采取相关措施，防范于未然。3．2．5访问控制管理实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源。在内网中系统管理员必须管理好所有的设备口令，不要在不同系统上使用同一口令；口令中最好要有大小写字母、字符、数字；定期改变自己的口令。3．2．6重要文件及内部资料管理定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件，全面地保护数据的安全。系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理，注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器，利用RAID5等数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施。3．3网络信息管理策略计算机网络中心设计即公司网络安全管理策略的建设如下：（1）身份认证中心建设。身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。（2）安全登录系统。由于网络开发中心以及财务部门涉及公司的网络部署以及财务状况，需要高度保密，只有公司网络安全主管、财务主管以及公司法人才可以登录相应的网络，而安全登录系统正是提供了对系统和网络登录的身份认证，使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。（3）文件加密系统。与普通网络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施，文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。（4）防毒中心建设。病毒对公司网络的攻击对公司的整体运转造成威胁，因此公司各部门均需要建设完善的防毒中心，使用企业版的防病毒系统的分级管理功能，对网络进行管理单元划分。在网络中心建立以及防病毒服务器，负责所有二级防病毒服务器的统一