大型企業網絡平安解決方案第一章引言錯誤!未指定書簽。其次章網絡系統概況錯誤!未指定書簽。1網絡概況錯誤!未指定書簽。2網絡結構的特點錯誤!未指定書簽。第三章網絡系統平安風險分析錯誤!未指定書簽。1網絡平臺的平安風險分析錯誤!未指定書簽。2系統的平安風險分析錯誤!未指定書簽。3應用的平安風險分析錯誤!未指定書簽。第四章平安需求及平安H標錯誤!未指定書簽。1平安需求分析錯誤!未指定書簽。4.2系統平安目標錯誤!未指定書簽。第五章網絡平安方案總體設計錯誤!未指定書簽。1平安方案設計原則錯誤!未指定書簽。2平安服務、機制及技術錯誤!未指定書簽。第六章網絡平安體系結構錯誤!未指定書簽。1網絡結構錯誤!未指定書簽。6.2網絡系統平安錯誤!未指定書簽。2.1網絡平安檢測錯誤!未指定書簽。2.2網絡防病毒錯誤!未指定書簽。2.3網絡備份系統錯誤!未指定書簽。6.3系統平安錯誤!未指定書簽。綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的平安及具體措施。平安措施主要包括：專業措施（識別技術、存取限制、密碼、低輻射、容錯、防病毒、采納高平安產品等）。一個較好的平安措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。需求、風險、代價平衡的原則：對任一網絡，肯定平安難以達到,也不肯定是必要的。對一個網絡進行實際額探討（包括任務、性能、結構、牢靠性、可維護性等），并對網絡面臨的威逼及可能擔當的風險進行定性及定量相結合的分析，然后制定規范和措施，確定本系統的平安策略。一樣性原則：一樣性原則主要是指網絡平安問題應及整個網絡的工作周期（或生命周期）同時存在，制定的平安體系結構必需及網絡的平安需求相一樣。平安的網絡系統設計（包括初步或具體設計）及實施安排、網絡驗證、驗收、運行等，都要有平安的內容光煥發及措施，事實上，在網絡建設的起先就考慮網絡平安對策，比在網絡建設好后再考慮平安措施，不但簡潔，且花費也小得多。分步實施原則：由于網絡系統及其應用擴展范圍廣袤，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡平安問題是不現實的。同時由于實施信息平安措施需相當的費用支出。因此分步實施，即可滿意網絡系統及信息平安的基本需求，亦可節約費用開支。多重愛護原則：任何平安措施都不是肯定平安的，都可能被攻破。但是建立一個多重愛護系統，各層愛護相互補充，當一層愛護被攻破時，其它層愛護仍可愛護信息的平安。5.2平安服務、機制及技術平安服務：平安服務主要有：限制服務、對象認證服務、牢靠性服務等；平安機制：訪問限制機制、認證機制等；平安技術：防火墻技術、鑒別技術、審計監控技術、病毒防治技術等；在平安的開放環境中，用戶可以運用各種平安應用。平安應用由一些平安服務來實現；而平安服務又是由各種平安機制或平安技術來實現的。應當指出，同一平安機制有時也可以用于實現不同的平安服務。第六章網絡平安體系結構通過對網絡的全面了解，依據平安策略的要求、風險分析的結果及整個網絡的平安目標，整個網絡措施應按系統體系建立。具體的平安限制系統由以下幾個方面組成：物理平安、網絡平安、系統平安、信息平安、應用平安6.1網絡結構平安系統是建立在網絡系統之上的，網絡結構的平安是平安系統勝利建立的基礎。在整個網絡結構的平安方面，主要考慮網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置及應用狀況、遠程聯網方式、通信量的估算、網絡維護管理、網絡應用及業務定位等因素。成熟的網絡結構應具有開放性、標準化、牢靠性、先進性和好用性，并且應當有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完善的平安保障體系。網絡結構采納分層的體系結構，利于維護管理，利于更高的平安限制和業務發展。網絡結構的優化，在網絡拓撲上主要考慮到冗余鏈路；防火墻的設置和入侵檢測的實時監控等。6.2網絡系統平安6.2.1網絡平安檢測網絡平安檢測工具通常是一個網絡平安性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施和平安策略，達到增加網絡平安性的目的。檢測工具應具備以下功能：具備網絡監控、分析和自動響應功能找出常常發生問題的根源所在；建立必要的循環過程確保隱患時刻被訂正；限制各種網絡平安危急。漏洞分析和響應配置分析和響應漏洞形勢分析和響應認證和趨勢分析6.2.2網絡防病毒由于在網絡環境下，計算機病毒有不行估量的威逼性和破壞力，一次計算機病毒的防范是網絡平安性建設中重要的一環。所選的防毒軟件應當構造全網統一的防病毒體系。主要面對、服務器，以及辦公網段的服務器和機等。支持對網絡、服務器、和工作站的實時病毒監控；能夠在中心限制臺向多個目標分發新版殺毒軟件，并監視多個目標的病毒防治狀況；支持多種平臺的病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對服務器的病毒防治，能夠阻擋惡意的或小程序的破壞；支持對電子郵件附件的病毒防治，包括、中的宏病毒;支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，重新命名等；支持病毒隔離，當客戶機試圖上載一個染毒文件時，服務器可自動關閉對該工作站的連接；供應對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。6.2.3網絡備份系統備份系統為一個目的而存在：盡可能快地全盤復原運行計算機系統所需的數據和系統信息。依據系統平安需求可選擇的備份機制有：場點內高速度、大容量自動的數據存儲、備份及復原；場點外的數據存儲、備份及復原；對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到愛護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到愛護作用，同時亦是系統災難復原的前提之一。6.3系統平安系統的平安主要是指操作系統、應用系統的平安性以及網絡硬件平臺的牢靠性。對于操作系統的平安防范可以實行如下策略：對操作系統進行平安配置，提高系統的平安性；系統內部調用不對公開；關鍵性信息不干脆公開，盡可能采納平安性高的操作系統。應用系統在開發時，采納規范化的開發過程，盡可能的削減應用系統的漏洞；網絡上的服務器和網絡設備盡可能不實行同一家的產品；通過專業的平安工具（平安檢測系統）定期對網絡進行平安評估。6.4應用平安在應用平安上，主要考慮通信的授權，傳輸的加密和審計記錄。這必需加強登錄過程的認證（特殊使在到達服務器主機之前的認證），確保用戶的合法性；其次應當嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。另外，在加強主機的管理上，除了上面談的訪問限制和系統漏洞檢測外，還可以采納訪問存取限制，對權限進行分割和管理。應用平安平臺要加強資源書目管理和授權管理、傳輸加密、審計記錄和平安管理。對應用平安，主要考慮確定不同服務的應用軟件并緊密凝視其；對掃描軟件不斷升級。4應用平安錯誤!未指定書簽。第一章引言本方案為某大型局域網網絡平安解決方案，包括原有網絡系統分析、平安需求分析、平安目標的確立、平安體系結構的設計等。本平安解決方案的目標是在不影響某大型企業局域網當前業務的前提下，實現對他們局域網全面的平安管理。.將平安策略、硬件及軟件等方法結合起來，構成一個統一的防衛系統，有效阻擋非法用戶進入網絡，削減網絡的平安風險。.定期進行漏洞掃描，剛好發覺問題，解決問題。.通過入侵檢測等方式實現實時平安監控，供應快速響應故障的手段，同時具備很好的平安取證措施。4,使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新復原到破壞前的狀態，最大限度地削減損失。.在工作站、服務器上安裝相應的防病毒軟件，由中心限制臺統一限制和管理，實現全網統一防病毒。其次章網絡系統概況1網絡概況這個企業的局域網是一個信息點較為密集的千兆局域網絡系統，它所聯接的現有上千個信息點為在整個企業內辦公的各部門供應了一個快速、便利的信息溝通平臺。不僅如此，通過專線及的連接，打通了一扇通向外部世界的窗戶，各個部門可以干脆及互聯網用戶進行溝通、查詢資料等。通過公開服務器，企業可以干脆對外發布信息或者發送電子郵件。高速交換技術的采納、敏捷的網絡互連方案設計為用戶供應快速、便利、敏捷通信平臺的同時，也為網絡的平安帶來了更大的風險。因此，在原有網絡上實施一套完整、可操作的平安解決方案不僅是可行的，而且是必需的。2.2網絡結構的特點在分析這個企業局域網的平安風險時，應考慮到網絡的如下幾個特點：.網絡及干脆連結，因此在進行平安方案設計時要考慮及連結的有關風險，包括可能通過傳播進來病毒，黑客攻擊，來自的非授權訪問等。.網絡中存在公開服務器，由于公開服務器對外必需開放部分業務，因此在進行平安方案設計時應當考慮采納平安服務器網絡，避開公開服務器的平安風險擴散到內部。.內部網絡中存在很多不同的子網，不同的子網有不同的平安性,因此在進行平安方案設計時，應考慮將不同功能和平安級別的網絡分割開，這可以通過交換機劃分來實現。.網絡中有二臺應用服務器，在應用程序開發時就應考慮加強用戶登錄驗證，防止非授權的訪問。第三章網絡系統平安風險分析隨著網絡急劇擴大和上網用戶快速增加，風險變得更加嚴峻和困難。原來由單個計算機平安事故引起的損害可能傳播到其他系統，引起大范圍的癱瘓和損失；另外加上缺乏平安限制機制和對平安政策的相識不足，這些風險正日益嚴峻。網絡平安可以從以下三個方面來理解：1網絡平臺是否平安；2系統是否平安；3應用是否平安；。針對每一類平安風險，結合這個企業局域網的實際狀況，我們將具體的分析網絡的平安風險。.1網絡平臺的平安風險分析網絡結構的平安涉及到網絡拓撲結構、網絡路由狀況及網絡的環境等。公開服務器面臨的威逼這個企業局域網內公開服務器區（、等服務器）作為公司的信息發布平臺，一旦不能運行后者受到攻擊，對企業的聲譽影響巨大。同時公開服務器本身要為外界服務，必需開放相應的服務；每天，黑客都在試圖闖入節點，這些節點假如不保持警惕，可能連黑客怎么闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規模比較大網絡的管理人員對平安事故做出有效反應變得非常重要。我們有必要將公開服務器、內部網絡及外部網絡進行隔離，避開網絡結構信息外泄；同時還要對外網的服務懇求加以過濾，只允許正常通信的數據包到達相應主機，其他的懇求服務在到達主機之前就應當遭到拒絕。整個網絡結構和路由狀況平安的應用往往是建立在網絡系統之上的。網絡系統的成熟及否干脆影響平安系統勝利的建設。在這個企業局域網絡系統中，只運用了一臺路由器，用作及連結的邊界路由器，網絡結構相對簡潔，具體配置時可以考慮運用靜態路由，這就大大削減了因網絡結構和網絡路由造成的平安風險。2系統的平安風險分析所謂系統的平安自不待言是指整個局域網網絡操作系統、網絡硬件平臺是否牢靠且值得信任。網絡操作系統、網絡硬件平臺的牢靠性，我們可以這樣講：沒有完全平安的操作系統。但是，我們可以對現有的操作平臺進行平安配置、對操作和訪問權限進行嚴格限制，提高系統的平安性。因此，不但要選用完可能牢靠的操作系統和硬件平臺。而且，必需加強登錄過程的認證（特殊是在到達服務器主機之前的認證），確保用戶的合法性；其次應當嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。3.3應用的平安風險分析應用系統的平安跟具體的應用有關，它涉及很多方面。應用系統的平安是動態的、不斷改變的。應用的平安性也涉及到信息的平安性，它包括很多方面。應用的平安性涉及到信息、數據的平安性：信息的平安性涉及到:機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由于這個企業局域網跨度不大，絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對于有些特殊重要的信息須要對內部進行保密的（比如領導子網、財務系統傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用干脆在應用系統開發時進行加密。第四章平安需求及平安目標4.1平安需求分析通過前面我們對這個企業局域網絡結構、應用及平安威逼分析,可以看出其平安問題主要集中在對服務器的平安愛護、防黑客和病毒上。因此，我們必需實行相應的平安措施杜絕平安隱患，其中應當做到：公開服務器的平安愛護防止黑客從外部攻擊入侵檢測及監控病毒防護數據平安愛護數據備份及復原針對這個企業局域網絡系統的實際狀況，在系統考慮如何解決上述平安問題的設計時應滿意如下要求：.大幅度地提高系統的平安性（重點是可用性和可控性）；.保持網絡原有的能特點，即對網絡的協議和傳輸具有很好的透亮性，能透亮接入，無需更改網絡設置；.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；.盡量不影響原網絡拓撲結構，同時便于系統及系統功能的擴展;.平安保密系統具有較好的性能價格比，一次性投資，可以長期運用；.平安產品具有合法性，及經過國家有