1、旭日信息安全系統整體規劃2011年03月第一章 環境及需求1.1 環境現狀描述旭日目前的應用環境為：1臺域控服務器和Exchange集成、1臺文件服務器。域控系統為windows server 2003。文件服務器為windows server 2008.1.2 安全分析內網是網絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。要提高內網的安全，就要做到，采用安全交換機由于內網的信息傳輸采用廣播技術，數據包在廣播域中很容易受到監聽和截獲，因此需要使用安全交換機，利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源，以加強內網的安全性。操作系統的安全從終端用戶的程序到服務器應用服務、

2、以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外，還需要建立一套對系統的監控系統，并建立和實施有效的用戶口令和訪問控制等制度。對重要資料進行備份在內網系統中數據對用戶的重要性越來越大，實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護企業內網的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。對數據的保護來說，

3、選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數據的安全。使用代理網關使用代理網關的好處在于，網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。在代理服務器兩端采用不同協議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。設置防火墻防火墻的選擇應該適當，對于幾乎所有的路由器產品而言，都可以通過內置的防火墻防范部分的攻擊，而硬件防火墻的應

4、用，可以使安全性得到進一步加強。信息保密防范為了保障網絡的安全，也可以利用網絡操作系統所提供的保密措施。以Windows為例，進行用戶名登錄注冊，設置登錄密碼，設置目錄和文件訪問權限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設置用戶級訪問控制，以及通過主機訪問Internet等。同時，可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由于文件組織形式的數據缺乏共享性，數據庫現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施，而數據庫的數據以可讀的形式存儲其中，所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑，電子郵件的傳遞應行

5、加密處理。針對計算機及其外部設備和網絡部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等，也可以采取相應的保密措施。從攻擊角度入手目前，計算機網絡系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網絡安全，也可以從這幾個方面進行。對付“拒絕服務”攻擊有效的方法，是只允許跟整個Web站臺有關的網絡流量進入，就可以預防此類的黑客攻擊，尤其對于ICMP封包，包括ping指令等，應當進行阻絕處理。通過安裝非法入侵偵測系統，可以提升防火墻的性能，達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作，當竊取者入侵時可以立刻有效終止服務，以便有效地預防企業機密

6、信息被竊取。同時應限制非法用戶對網絡的訪問，規定具有IP地址的工作站對本地網絡設備的訪問權限，以防止從外界對網絡設備配置的非法修改。防范計算機病毒從病毒發展趨勢來看，現在的病毒已經由單一傳播、單種行為，變成依賴互聯網傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點：與Internet和Intranet更加緊密地結合，利用一切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播;所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強;因為其擴散極快，不再追求隱藏性，而更加

7、注重欺騙性;利用系統漏洞將成為病毒有力的傳播方式。安全不應再僅僅停留于“堵”、“殺”或者“防”，應該以動態的方式積極主動應用來自安全的挑戰，因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。第二章 整體解決方案規劃2.1 整體規劃拓撲結構圖2.2 整體解決方案概述1、設計原則1.安全性和可靠性 整個系統必須具有高度的安全性、可靠性和穩定性；2.成熟性和先進性 應采用被實踐證明為技術成熟且領先的技術設備，最大限度地滿足現在業務和未來發展的需求；3.開放性和可擴展性 考慮未來發展的需要，使系統與未來擴展的設備具有互聯性和互操作性，便于升級、換代、使整個系統可以隨著科學技術的發展與進步，

8、不斷得到充實、完善、改進和提高。2、設計目標為旭日辦公網絡提供了一個穩定、可靠、安全、有效的工作平臺。3、方案分析1.域管理環境，并做好輔助域。從終端做到數據安全。域環境優點：（1）權限管理比較集中，管理成本大大下降。                                            &#

9、160;      （2）域環境，所有網絡資源，包括用戶，均是在域控制器上維護，便于集中管理。所有用戶只要登入到域，在域內均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網絡的成本大大降低。（3）防止公司員工在客戶端亂裝軟件, 能夠增強客戶端安全性、減少客戶端故障，降低維護成本。（4）安全性加強。（5）方便用戶使用各種資源。2.ISA 2006企業版代理上網，多臺服務器負載均衡，減少服務器故障。(1)、對正在發生的網絡通信和過去10分鐘內的網絡訪問進行監視。(2)、能夠統計一定時期內部門和個人的互聯網訪問請求量、數據流量和訪問時間。(3)、融合AD域管理功能，用戶可以從AD域服務器直接提取SAM Account帳號、OU和Group部門數據，在AD樹上定義部門以及部門用戶。 (4)、能夠分析部門、用戶、用戶IP、網站、網站IP、網絡文件、文件類別、查詢串、網站端口、HTTP狀態碼、ISA緩存信息、日期、星期、時間段等多達25個分析方面的5項上網數據指標（訪問請求、發出流量、接收流量、通信時間、瀏覽時間）及其百分比；能夠深入挖掘活躍用戶訪問過的活