*** 酒店
网络安全建议书
目录
第一部分简述 (2)
第一章概述 (2)
第二部分技术方案 (3)
第一章信息安全风险分析 (3)
第二章安全需求与目标 (4)
第三章全面的信息络安全体系设计 (4)
第四章 ***酒店安全网络设计 (7)
第五章防病毒产品设计方案 (12)
1.1.网络防病毒产品推荐........................................................................................ - 14 -
第六章内网管理产品设计方案
2.整体方案建议 .............................................................................................. - 16 -
2.1.整体防病毒体系建议........................................................................................ - 16 -
2.1.1.防病毒体系设计思路................................................................................ - 16 -
2.1.2.产品部署建议............................................................................................ - 16 -
2.1.
3.服务器防护................................................................................................ - 16 -
2.1.4.客户机防护................................................................................................ - 18 -
2.1.5.网络层防病毒............................................................................................ - 20 - 2、部署实施方案 .................................................................................................. - 22 -
(一)控制功能:细致的访问控制功能,有效管理用户上网 .................................... - 26 - (二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏 ................ - 27 - (三)报表功能:强大的数据报表中心,提供直观的上网数据统计 ........................ - 27 - (四)带宽及流量管理功能:强大的QOS功能及流量分析 ...................................... - 28 - (五)负载均衡和高可用性............................................................................................ - 28 - (六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等- 28 - (一)深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件....... - 29 - (二)流量控制管理........................................................................................................ - 29 - (三)邮件的延迟审计(专利技术)............................................................................ - 30 - (四)独有的网络访问准入规则(专利技术)............................................................ - 30 - (五)WEB认证技术...................................................................................................... - 30 - (六)高度集成,部署灵活............................................................................................ - 31 - 第七章整体网络应用拓扑图. (32)
第八章 ***酒店安全服务........................................................................- 33 第九章产品报价.. (36)
第一部分简述
第一章概述
在当今的信息时代,互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息,对于那些经常出门在外的人,如果在暂住的酒店中能够随时访问互联网,对他们无疑将有着巨大的吸引力。为此,在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势,这也是酒店提高自身服务水平的重要标志。
通常酒店的网络有两部分:办公网络和客房网络,为节约成本往往两个网络通过一条Internet出口连接互联网,酒店网络管理员希望充分保障办公网络的安全,不受外部网络攻击及客房网络可能出现的病毒影响;客房用户上网随意性较大,需要带宽管理措施来限制占用带宽过高的用户,并保障办公网络的网速正常。
酒店用户流动性很大,随身携带的移动电脑中经常带有病毒,一旦爆发将影响整个网络的正常,例如常见的ARP地址欺骗病毒,当中毒电脑冒充网关地址时,整个网络的客户端都将受此影响而无法访问互联网,因此急需有效的防内部攻击措施来保障网络正常。
针对***酒店计算机网络系统网络现状,我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对***酒店计算机网络系统络系统进行风险分析。基于以上的需求分析,我们将重点考虑:保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范入侵者的恶意攻击与破坏,保护信息通过网上传输过程中的机密性、完整性,防范计算机病毒的侵害,实现系统快速恢复,实现网络的安全管理,建立相应的远程安全管理通道和管理平台,建立一套完整可行的网络安全与网络管理策略。
我们相信本建议书中的设计能较好地满足贵单位网络系统的需求,并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目,有信心圆满完成贵单位的网络安全建设工程。
第二部分技术方案
第一章信息安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
下面列出部分这类新风险因素:信息安全可以从以下几个方面来理解:1)网络物理是否安全;2)网络结构是否安全;3)系统是否安全;4)应用是否安全;5)管理是否安全。
1.网络物理安全:地震、火灾、雷电等
2.网络安全:线路故障,路由、交换机设备损坏等
3.系统安全:应用服务器、操作系统、数据库故障等
4.应用安全:黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、
数据丢失泄密、帐号密码丢失、软件漏洞等
5.管理安全:内部攻击、误操作、设备的破坏、恶意行为等
第二章安全需求与安全目标
针对信息系统所面临的安全分析,通过可能造系统安全的五个部分,如何进行有效的防范,需从五方面进行:
1.针对管理级安全:须建立一套完整可行的信息安全管理制度,通过有
效的系统管理工具,实现系统的安全运行管理与维护;
2.针对应用级安全:须加强网络防病毒、防攻击、漏洞管理、数据备份、
数据加密、身份认证等,通过一系列信息安全软硬件设备建设安全防
护体系;
3.针对系统级安全:须加强对服务器、操作系统、数据库的运行监测,
加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统
运行,当发生故障时,能及时的提供备用系统和恢复;
4.针对网络级安全:须保证网络设备、网络线路的运行稳定,对核心层
的网络设备和线路提供双路的冗余;
5.针对物理级安全:须保证数据的安全和系统的及时恢复,加强数据的
远程异地备份和系统的异地容灾。
第三章全面的信息络安全体系设计
要建立一套全面的信息安全系统,就要从自身的应用状况分析,分析可能存在安全漏洞,从重要性、紧迫性出发,逐一提供建设参考。
首先:区分内外网,加强内部网络的安全防护:
找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。
通过防火墙实现访问控制,控制内部用户的上网行为;
通过防火墙验证访问内部的用户身份、访问权限等;
通过入侵防护检测访问者的访问行为;
因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。
目前,大部分防火墙的功能差异并不太大,性能成为选择防火墙的主要指标,市场上的防火墙根据架构的不同,可分为三大类:ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部分处理通过芯片来完成,不再占用CPU资源,具有更好的处理性能。
第二:建立多层次、全方面的防病毒系统
1、根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统
2、根据病毒传播的途径,在网关处安装网关防毒网关,在浏览网页、下载
资料、收发邮件时进行有效的病毒防护
3、在内部交换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有
效的进行网络层病毒、蠕虫、恶意攻击行为的防护,保护内部网络的稳
定与畅通。
单机的问题并不能对网络造成严重的问题,网络中断或瘫痪造成的损失是巨大的
第三:加强核心网络、核心应用的安全防护
核心网络、服务器群是一个网络的中心部分,应更加注重安全的防范,为了防止来自外部和内部的攻击,应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护;
对操作系统及应用系统的漏洞及时的安装补丁
为防止核心系统的运行出现固障,应对核心系统所在的网络线路进行冗余设计,并对交换机、路由器设备进行双路冗余。
同时,把安装重要应用系统的服务器进行双机热备
所有数据通过磁盘阵列或磁带机进行存储、备份
对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护
第四:加强数据备份
数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成,但是,磁盘阵列的稳定性是不能保证的。
一般情况,可以通过磁带机对磁盘阵列的数据进行再次备份
也可以通过另一台磁盘阵列进行数据的相互备份
通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份,并提供相应用恢复方案
为防止地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,如果系统的运行不能中断,就需要在异地进行系统的容灾
第五:加强应用系统的安全防护
对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤
对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。
第六:加强网络管理
信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。
网络管理系统应该具备和实现
1、获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行
状况
2、监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流
量,及时提供报警,并能方便的对网络设备进行系统配置和管理,
3、监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及
时提供报警,并能方便的对主机设备进行配置和管理
4、监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志
5、管理网络中的所有终端设资源,方便进行远程的管理和操作控制
6、监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网
行为等操作行为
7、实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁
更新
8、限制不安全的设备的接入
以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。
第七:漏洞扫描、安全评估
仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。
漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端
进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。
第八:安全管理及培训
1、制定并实施信息安全制度
2、加强网络安全意识的教育和培养
3、加强网络安全知识的培训
4、定期进行终端安全产品的应用操作指导
第四章***酒店安全网络设计
一、***酒店需求分析
自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一,短时间内星级宾馆酒店客房宽带上网服
务将基本普及,不同档次的宾馆酒店的流动人口可以在网络上进行各种
各样的网络活动,因此一系列的网络安全问题随即出现:宾馆酒店缺乏
单位网络信息备案;缺乏对房客互联网的访问管理;缺乏对出现问题的
信息源定位,导致线索跟踪的中断;缺乏对各类站点的分类管理;缺乏
对上网信息的收集、统计与分析,导致这部分的公共网络信息管理处于
真空状态。
根据国家规定,提供上网服务场所必须将上网日志保存,并以一定的技术手段进行管理;目前许多宾馆酒店都未有这种技术手段,在网络管理上存在着漏洞,达不到国家的要求。
主要网络安全威胁
由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与Internet的连接,网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。
具体分析,对网络安全构成威胁的主要因素有:
(1)黑客的攻击、入侵
?内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内
部的网络服务器,这样,由于内部和外部没有隔离措施,
内部系统较容易遭到攻击。
?入侵服务器后,在服务器中增加黄色、反动站点
?把服务器当作攻击其它网络(政府、金融)的跳板,攻击其它服务器
?把服务器当作检测扫描其它网络及数据处理的工具,造成大量网络流量
(2)病毒的侵害
?通过网络传送的病毒和Internet的电子邮件夹带的病毒。来自Internet 的Web浏览可能存在的恶意
Java/ActiveX控件。
?病毒、木马发送大量数据包,造成系统资源的消耗,以至系统停止服务
?造成数据丢失,机器、网络系统瘫痪
?必须断开网络逐一进行杀毒,增加网络工作量,影响正常工作
(3)内部的无限制访问
?内部用户的恶意攻击、误操作
?访问不健康的站点,获取有害信息
?工作学习时间无限制上网,游戏、聊天等
(4)系统存在的漏洞
缺乏一套完整的安全策略、政策,缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
1、可能带来的严重后果
?系统瘫痪或服务器停止工作造成重大损失
?由于病毒的侵害,造成文件丢失/损坏、硬件设备损坏造成重大损失
?由于病毒原因,造成系统修复、病毒清理等巨大的工作量
?无限增加流量,造成重大经济损失
?因服务器危害其它网络,而涉及相关责任
?数据泄密、数据丢失
2、当前网络问题分析
?虽然网络中部署了单机防病毒系统,但仍有很多客户机、移动笔记本由于没有安装防病毒系统,这些机器感染病毒后,对网
络中发出大量病毒攻击包,造成网络速度下降,甚至网络瘫痪;
?网络中大多数客户机都是WIN2000\WINXP系统,由于WIN2000 \WINXP系统存在大量的系统漏洞,没有能及时升级系统补丁,
使得病毒、黑客有了可乘之机;
?作为网络管理人员,无法及时的了解网络的运行情况,服务器、交换机等网络设备的工作情况,终端系统的操作应用情况等?
3、网络目前需求分析
通过我们对***酒店结构、应用及安全威胁分析,可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
?加强病毒的防护,建立全面的防毒体系,防止病毒的攻击
?实现计算机网络系统的网络安全管理
针对***酒店系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
?大幅度地提高系统的安全性(重点是可用性和可控性);
?保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
?易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
?尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
?安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
二、安全系统整体设计方案
(一)系统设计原则
本方案的设计遵循并体现了如下设计原则:
?先进性:
所采用的设备和技术应属世界、国内主流产品,在相关计算机、
通信网络及数字视频技术方面处于国际或国内领先或领导地位。
?一体系化设计原则
本方案从物理层安全、系统层安全、网络层安全、应用层安全、
安全管理等层面充分分析信息网络的层次关系,提出科学的安全
体系和安全框架,并根据安全体系分析存在的各种安全风险,从
而最大限度地解决可能存在的安全问题。
?可控性原则
本次方案采取的技术手段达到安全可控的目的,技术解决方案涉
及的工程实施应具有可控性;
?系统性、均衡性、综合性设计原则
从全系统出发,综合考虑各种安全风险,采取相应的安全措施,
并根据风险的大小,采取不同强度的安全措施,提供具有最优的
性能价格比的安全解决方案。
?可靠性、稳定性原则
设备及技术均已进入成熟期,应有类似的实际应用,系统运行稳
定,在国内应用领域中占主导地位。采用安全系统之后,不会对
南京中央商场的现有网络和应用系统有大的影响。在保证网络和
应用系统正常运转的前提下,提供最优安全保障。
?标准性原则
方案的设计、实施以及产品的选择以相关国际安全管理、安全控
制、安全规程为参考依据。
?投资保护原则
本次方案的设计和已经存在的设备具有兼容性,可以对已有设备
进行有效的利用,保护已有投资
(二)安全应对策略及建议
在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应
的安全策略,以求实现有效的平衡,即一方面需要保持可靠的信息安全,另
一方面则要建立和易操作的有效安
全系统。一个系统的安全强度实际
等于它最薄弱环节的安全强度。即
当一个网络系统存在一点薄弱环节
时,其就有可能危及到整个网络系
统的整体安全。
电子业务安全关键基础之一就
是构成企业总体信息安全方案的综
合策略。我公司根据贵单位网络现
状分析,及工作业务的需求分析,
从保护投资的角度考虑,提出了保
证网络系统的高性能正常运行的建
设建议:
1、建立多层次、全方面的防病毒系统
?首先,根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统,通过趋势科技的Serverprotect加强服务器系统中的病毒防
护,通过趋势科技的Officescan加强对网络中所有客户机的病毒防护。?其次,在内部交换层,通过硬件的网络防毒墙NVW对网络中的数据包
进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,及
时的清除和隔离网络层的病毒包,保护内部网络的稳定与畅通,防止
ARP病毒的侵害。
?另外,根据病毒传播的途径,可以在网关处安装趋势防毒网关IWSA、IMSA,在浏览网页、下载资料、收发邮件时进行有效的病毒防护。
?最后,通过趋势统一集中控制管理平台TMCM实现对所有系统的集中病毒防护、策略的实施和管理
2、加强网络管理
信息系统的安全只靠安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。
酒店客户的移动接入支持和安全的管理。需要酒店网络移动服务的大多是商务人士,他们需要酒店提供移动的支持、更主要的是安全性。
酒店是一个流动性很强的场所,所以这对网络的安全和管理是有很高的要求。例如:防止客户对一些非法网站的访问而带给网络中其它用户的伤害,还有客户用BT等软件会对其他网络用户的网速有非常大的影响,同时一网双用,内部办公网络和客户使用网络并用一个网络,而又互相隔离。
通过深信服AC设备实现:
(一)控制功能:细致的访问控制功能,有效管理用户上网
(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏
(三)报表功能:强大的数据报表中心,提供直观的上网数据统计
(四)带宽及流量管理功能:强大的QOS功能及流量分析
(五)负载均衡和高可用性
(六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 .
第五章防病毒产品设计方案
----南京联成科技为***酒店构建的整体防病毒安全体系的建立简述如下:
1、区分内外网,加强内部网络的安全防护:找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。
通过防火墙实现访问控制,控制内部用户的上网行为;
通过防火墙验证访问内部的用户身份、访问权限等;
通过入侵防护检测访问者的访问行为;
因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。
2、防病毒产品的全面性,领先性:采用全方位,多层次防毒的方式,部署多层次病
毒防线,具体来说就是在网关利用趋势科技的IMSS以及SPS, 实现在进行病毒过
滤的同时,也防范垃圾邮件对企业网络资源的消耗与破坏。对整个***酒店网络中
的客户端采用趋势科技防毒墙网络版Officescan,对整个***酒店网络中的服务器
部署趋势科技防病毒墙服务器版Serverprotect。对于整个***酒店整体的防病毒
系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。
3、厂商和代理商全面的服务:趋势科技授权服务商和趋势科技,***酒店相关人员组
成专门的防病毒以及安全小组,负责对***酒店的防病毒体系部署,防病毒安全规
范的制定。趋势科技授权服务商相关人员将对***酒店的防病毒体系定期进行巡
检,在***酒店的病毒爆发造成业务影响的紧急时刻,趋势科技授权服务商工程师
将至***酒店现场服务。
趋势科技防病毒体系显著优势:
1.厂商优势:趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商,相对其他的防病毒厂商,趋势科技的产品更具有技术的领先性。其设在菲律宾的,业界唯一获得ISO9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业服务,包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。
2.高扩展性:由于专注于防病毒安全产品和解决方案,趋势科技有能力为***酒店提供全方位,多层次,具可扩展性的防病毒安全体系。除了提供用于客户机防病毒的officescan 产品,用于服务器的ServerProtect产品,用于网关防病毒的IMSS产品和网关垃圾邮件防范的SPS,还可以在将来***酒店需要时提供专注于LotusNotes/Exchange的病毒防范软件Scanmail,专注于Web防病毒的IWSS软件和提供所有在线用户的在线杀毒工具――DCS等。全方位的产品和解决方案支持使得趋势科技的防病毒安全体系的提供是具备高扩展性的。
3.防范和查杀病毒的自动化:针对像***酒店比较大型的网络,单纯的依靠***酒店的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范,查杀技术。
●扫描在线用户是否已经安装趋势客户端软件,并且可以有选择性的强制用户进行安装;
●扫描在线用户是否安装了微软操作系统的补丁,并且可以有选择性的强制用户进行安装;
中央控管软件定期自动进行全网络的病毒查杀,自动的更新病毒码和扫描引擎,自动的生成全网络的病毒日志,分析报表,并且通过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。
4.业界独一无二的病毒预防范:针对目前病毒出现――影响用户――病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”,趋势科技提供业界独一无二的“企业保护战略技术”EPS,其中央控管软件能够在防病毒代码出现之前,就自动的关闭客户端可能引起病毒蔓延的端口,并自动的隔离已经感染病毒的PC,文件夹等。第一时间的做到了病毒的预防范。
本方案详尽描述了采用趋势科技公司的全线产品为***酒店构建的整体防病毒系统,该方案贯彻了如下整体防毒的基本思想:
1.防毒一定要实现全方位、多层次防毒。在***酒店的方案中,我们部署了多层次病毒防线,分别是网关防毒、应用服务器防毒和客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范;
2.网关防毒和防垃圾邮件是整体防毒的首要防线。在***酒店的方案中,我们将网关防毒和防垃圾邮件作为最重要的一道防线来部署,全面消除外来病毒的威胁,使得病毒,垃圾邮件不能再从外网传播进来,对内部网络资源和系统资源造成消耗。同时,全面防范垃圾邮件的侵扰以及内部机密数据的外泄,在整个防毒系统中起到事半功倍的效果。
3.网络层病毒直接清除:利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过程中就能够直接被清除,以避免对整个网络造成冲击。
4.没有集中管理的防毒系统是无效的防毒系统。在***酒店的方案中,趋势科技构建了跨子网,跨分支机构的集中管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
5.服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商,可以全面满足***酒店多层次的服务要求。
***酒店整体防毒系统所达到的效果
***酒店希望部署趋势科技防病毒整体解决方案后,能够达到以下效果:
●对***酒店通过防火墙实现内外网的隔离,保证内部网络的安全
●对***酒店网络内的应用服务器进行全面防护,斩断病毒在服务器内的寄生及传播;
●对所有的客户机进行全面防护,彻底消除病毒对客户机的破坏,保证所有员工都有一个干净、安全的平台;
●建立及时、快速的病毒响应机制,能够迅速抑制病毒在企业网中传播。
1.1.网络防病毒产品推荐
基于上述原则及对该领域技术发展前景、产品的性价比等综合因素,联成科技建议***酒店计算机网络采用如下产品配置:
趋势公司 Trend Micro AntiVirus Total Solution
包括:
●趋势科技防毒墙服务器版:ServerProtect;
●趋势科技防毒墙网络版:OfficeScan
●网络病毒墙:Trend MicroTM Network VirusWallTM-NVWE
●**防火墙:
●
自己添加…………………….
产品简要说明:
产品功能及用途产品名称功能和部署建议
桌面机的病毒防护OfficeScan
Officescan服务器端安装在***酒店的防病毒专用服务器
上,Officescan客户端可自动安装在所有客户机上,透过
Web接口的管理主控台,管理人员可以从网络上的任何地
点,来管理和设置整个网络客户机防毒策略,并且也能迅
速响应各种紧急事件。
NT/Novell/Linux服务器病
毒防护ServerProtect
ServerProtect远程安装在所有服务器上对Windows?
2000/NT、Novell? NertWare或Linux Redhat网络上的服
务器,提供全面性的病毒防护。它提供病毒疫情管理、集
中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
网络层防病毒NVWE 针对企业网络内网安全管理的设备。可协助公司企业防止ARP病毒攻击,在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防御策略,并能在缺乏防毒保护的设备等潜在感染源连接网络时,予以隔离和清除。
网络防护防火墙Asic 内容处理器
行为特征扫描
VPN加密处理 (DES,3DES,MD5,SHA1)
状态检测防火墙会话处理
流量管理
每个芯片200-400 Mbps 的吞吐量
EsOS专用的, 高度安全的,基于需求定制的操作系统
2.整体方案建议
2.1.整体防病毒体系建议
2.1.1.防病毒体系设计思路
为了构建一个强壮、有效的防病毒体系,在分析了***酒店网络架构及相关应用之后,针对潜在的病毒传播威胁,趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。
由于***酒店防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便管理员实时掌控全市防病毒状况。同时还要求按分支机构进行权限分派管理,不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。
联成科技在为***酒店设计的防病毒体系中,充分考虑到集中及分权管理的需求,构建逻辑结构为三层的防病毒体系:
2.1.2.产品部署建议
根据***酒店计算机网络潜在的病毒威胁分析,结合趋势科技全系列防毒产品的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。
2.1.
3.服务器防护
趋势科技防毒墙服务器版– ServerProtect
趋势科技的ServerProtect可以对Windows? 2000/NT、Novell? Ne rtWare或Linux Redhat网络上的档案服务器,提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作,它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
策略:
●防毒软件可通过单一的主控台来管理。
●安装时可以依照网域分组,同时替多部服务器进行安装。
●利用集中式报表,管理人员可以监看整个网络的状态。
●通过Task Manager,管理人员可以轻松地完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告,以及设定实时扫描的参数等
●反复扫描经过多层压缩的档案,支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress,以及UUENCODE和MIME等邮件附件格式。
●自动下载和分发病毒码、扫毒引擎和程序文件。
●支持MPLS VPN和IPSec等VPN
竞争优势:
●IDC统计数据:连续多年占据全球市场份额第一位
●病毒代码到来之前具备网络控制功能,有效控制病毒扩散
●可集中分发病毒清除工具,免除手动清除烦恼
●跨网段安装与管理
●有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器
●有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机器
●可以实现远程集中安装、扫描、更新、管理
●软件安装时可对病毒进行预处理,安装后不需要重新启动
●强大、完善的日志管理功能
●安装简单、产品成熟、运行稳定、高效防毒
部署建议:
在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统,提供以上系统的实时病毒防护能力。
●为了满足大型企业的要求,ServerProtect本身被设计成一个多层结构的软件。它共有三个模块:Information Server (IS),Normal Server (NS),Management Console (MC)。NS是安装在每台文件服务器上的防毒模块,IS是所有NS的集中管理模块,可安装在某一台服务器上;MC是给管理员使用的管理界面模块,可安装在任何一台机器上。
●因此部署时,可以将IS和MC安装在防毒专用服务器上,NS安装在真正的文件及Proxy、邮件服务器上。
在***酒店总部及下属各分支机构分公司中,建议各增设一台病毒防护专用服务器(系统配置需求请见产品布署列表)安装ServerProtect信息服务器及管理控制台(SP Information Server & Managemnet Console),作为Serverprotect的管理中心。在管理中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台NT或2000服务器上安装ServerProtect的普通服务器(SP Normal Server)。
产品部署架构:
同时,通过安装TMCM代理程序,Serverprotect就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹。从而保护网络中的服务器群,在最新的病毒码没做出来之前不被新病毒攻击。
2.1.4.客户机防护
趋势科技防毒墙网络版– OfficeScan Corporate Edition
趋势科技的OfficeScan Corporate Edition将管理与部署的功能集中到服务器端。透过Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略,并且也能迅速响应各种紧急事件。
竞争优势:
●支持防护策略的自动/手动配置,有效控制病毒扩散
●支持多种客户端的安装方式
●HTTP Base具有Web管理功能,可以跨WAN进行管理
●方便而简单的配置管理与实时报告
●先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动
●增量式、队列式更新防毒组件,节省网络带宽,提高网络性能
●主动关闭用户共享,阻绝病毒通过网络共享传播
●客户端POP3扫描功能
●支持客户端自行上互联网更新防毒组件
●支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞
●支持将纪录数据导入SQL服务器方便数据分析与管理
●支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装
●无论是域模式网络还是对等网络OfficeScan都完全支持
●软件安装时可对病毒进行预处理
●强大、完善的日志管理功能
●病毒、客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导
●安装简单快捷、产品成熟、运行稳定、高效防毒
部署建议:
对桌面系统的病毒防护:在***酒店的32位操作系统的客户端上可统一采用OfficeScan。它的统一管理、升级和高效的实时防护,能有效的保证服务应用者的应用安全。
通过使用NT域的Login Script方式、或是使用Web页面方式、安装程序打包方式、SMS方式、文件共享方式(最多提供9种安装方式),可以迅速、方便地将OSCE客户端软件部署到每个客户机上。
在部署时,可将OfficeScan管理服务器安装在***酒店总部及各分支机构分公司的专用防病毒服务器上。这样就可在同一台服务器上实现服务器和桌面系统统一的防病毒策略部署和病毒代码、引擎升级。
产品部署架构:
《计算机网络安全》期末考核 项目名称:星河科技公司网络安全设计 学院:电气工程学院 班级:**级电子信息工程(1)班 姓名:** 学号:******** 指导老师:****** 普瑞网络安全公司(公司名为虚构)通过招标,以100万人民币工程造价的到项目实施,在解决方案设计中需要包含8个方面的内容:公司背景简介、星河科技公司安全风险分析、完整网络安全实施方案设计、实施方案计划、技术支持和服务承诺、产品报价、产品介绍和
安全技术培训。 1、公司背景简介 1.1公司背景简介 普瑞网络安全公司成立于1996年,同年,通过ISO9001认证。是一个独立软件公司,并致力于提供网络信息安全和管理的专业厂商,利用最新的加速处理和智能识别技术全面更新了其防病毒产品引擎。同时提供咨询(Consulting Service)、教育(Total Education Service)、产品支持(World Wide Product Support)等全面服务方案。 24X7 防病毒监测——普瑞永久在线的防病毒专家可以随时处理与病毒相关的各种情况。普瑞的全方位解决方案涵盖了回答询问、扫描特征文件分析、清除工具以及病毒爆发预防策略(OPP)。 Virus Lab ——普瑞接收和复制的所有病毒都存储在这里,并且能够在45分钟内全面检测病毒特征库文件,从而确保普瑞客户能得到最新的防病毒技术和更新。 病毒研究及分析实验室—— TrendLabs的研究工程师们在这里从事病毒行为的深入分析和其它安全研究来改善现有防病毒技术或保护。 病毒清除及模拟实验室——最新的损害清除模板发布之前在这里进行测试,以确保在多平台、多语言环境中的兼容性。 防垃圾邮件实验室——研究、创建并维护诸如智能反垃圾产品等普瑞内容过滤产品所使用的防垃圾邮件规则。
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
海南经贸职业技术学院信息技术系 ︽ 网 络 安课 全程 ︾设 计 报 告 题目 XX网络安全方案的设计 学号 310609040104 班级网络工程06-1班 姓名王某某 指导老师王天明
设计企业网络安全方案 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国内计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题: (1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。 (2)企业内网的安全性:最新调查显示,在受调查的企业中60%以上的员
网络安全建设方案 2016年7月
1. 前言 (3) 1.1. 方案涉及范围 (3) 1.2. 方案参考标准 (3) 1.3. 方案设计原则 (4) 2. 安全需求分析 (5) 2.1. 符合等级保护的安全需求 (6) 2.1.1. 等级保护框架设计 (6) 2.1.2. 相应等级的安全技术要求 (6) 2.2. 自身安全防护的安全需求 (7) 2.2.1. 物理层安全需求 (7) 2.2.2. 网络层安全需求 (7) 2.2.3. 系统层安全需求 (9) 2.2.4. 应用层安全需求 (9) 3. 网络安全建设内容 (10) 3.1. 边界隔离措施 (11) 3.1.1. 下一代防火墙 (11) 3.1.2. 入侵防御系统 (13) 3.1.3. 流量控制系统 (14) 3.1.4. 流量清洗系统 (15) 3.2. 应用安全措施 (16) 3.2.1. WEB应用防火墙 (16) 3.2.2. 上网行为管理系统 (16) 3.2.3. 内网安全准入控制系统 (17) 3.3. 安全运维措施 (18) 3.3.1. 堡垒机 (18) 3.3.2. 漏洞扫描系统 (19) 3.3.3. 网站监控预警平台 (19) 3.3.4. 网络防病毒系统 (21) 3.3.5. 网络审计系统 (22)
1.前言 1.1. 方案涉及范围 方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统,因此是需要重点防护的信息资产。 学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中,因此必须对中心机房服务器区域进行重点防护。 方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内。 1.2. 方案参考标准 本方案的主要规划的重点内容是网络安全防护体系,规划的防护对象以学校数据中心为主,规划的参考标准是等级保护,该方案的设计要点就是定级和保障技术的规划,针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划: 方案的建设思想方面,将严格按照湘教发【2011】33号文件关于印发《湖南省教育信息系统安全等级保护工作实施方案》的通知,该文件对计算机信息系统的等级化保护提出了建设要求,是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路。 系统定级方面:参考《信息系统安全等级保护定级指南》,该指南适用于党政机关网络于信息系统,其中涉及国家秘密的网络与信息系统,按照国家有关保密规定执行,其他网络与信息系统定级工作参考本指南进行,本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述,并对网络与信息系统提出了最低安全等级要求,高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。 本方案参考的指南和标准具体见下表:
网络安全方案设计书 公司网络安全隐患与需求分析 1.1 网络现状公司计算机通过内部网相互连接与外网互联,在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2 安全隐患分析 1.2.1 应用系统的安全隐患应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。 1.2.2 管理的安全隐患管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大、开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。 1.2.3 操作系统的安全漏洞计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。 1.2.4 病毒侵害 一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。
2.1 需求分析 公司根据业务发展需求,建设一个小型的企业网,有Web、Mail 等服务器和办公区客 户机。企业分为财务部门和综合部门,需要他们之间相互隔离。同时由于考虑到Internet 的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1. 根据公司现有的网络设备组网规划; 2. 保护网络系统的可用性; 3. 保护网络系统服务的连续性; 4. 防范网络资源的非法访问及非授权访问; 5. 防范入侵者的恶意攻击与破坏; 6. 保护企业信息通过网上传输过程中的机密性、完整性; 7. 防范病毒的侵害; 8. 实现网络的安全管理。 通过了解公司的需求与现状,为实现网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1)构建良好的环境确保企业物理设备的安全 (2)划分VLAN 控制内网安全 (3)安装防火墙体系 (4)安装防病毒服务器 (5)加强企业对网络资源的管理 如前所述,公司信息系统存在较大的风险,网络信息安全的需求主要体现在如下几点: (1)公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是公司面临的重要课题。
耐火材料有限公司网络系统集成 设 计 方 案 2009年5月
目录 1.项目概述 (2) 1.1项目背景 (3) 1.2设计原则 (3) 1.3设计内容 (3) 1.5设计标准与规范 (4) 2.网络设计 (4) 2.1网络设计 (4) 2.2网络拓扑 (5) 3、设备介绍: (5) 3.1、Cisco Catalyst 3750-E系列交换机 (5) 3.2、Cisco? Catalyst? 2960系列智能以太网交换机 (9) 3.3、Cisco? 2800系列集成多业务路由器 (10) 4、鞍钢维苏威耐火材料有限公司网络系统产品清单 (15) 1.项目概述
1.1项目背景 根据鞍钢维苏威耐火材料有限公司的实际网络需求,在整个网络的建设中,应采用先进的技术和设备,建成一个高效、实用、可靠、安全,能够实现企业内部、与INTERNET之间的数据、音频、VOD信息传输,具备虚拟局域网管理、高扩展性和完善管理功能的厂区办公网络。智能化系统按国家《智能建筑设计标准》甲级标准设计,根据厂区内的各个楼使用的行业特点、房间用途、管理模式和设备使用环境等因素进行规划。 1.2设计原则 在整个设计过程中,我们严格遵守以下设计原则: ?先进性:总体方案设计的设计充分参照了国际规范和标准,采用国际上成熟的模式、 先进的技术和成功的经验。 ?高性能:总体设计确保了系统具有足够的数据传输带宽,并为可预计的业务提供足 够的系统容量和提供QOS、COS服务品质。 ?可靠性、可用性、可维护性:我们在设计中将设备的可靠性、可用性、可维护性放 在了重要位置,从结构设计、设备选型、系统建设、网络管理上对整个网络运行系 统必须具备的可靠性、可用性、可维护性作出了保证,确保网络成为了一个不间断 的系统。 ?安全性:选择的设备能提供系统级的、灵活的多种安全控制机制,以支持用户建立 完善的安全管理体系。 ?扩展性:网络系统设计具有良好的可扩展性和最大的灵活性,以适应网络发展的需 要,满足当前及未来网络间数据交换的需求,又能保护原来的投资。 ?管理性:作为鞍钢维苏威耐火材料有限公司网络建设的重要的基础工程,建立完善 的运行、管理和维护手段。 1.3设计内容 我们在设计鞍钢维苏威耐火材料有限公司的网络系统的总目标是建设一个高性能、高带宽、稳定、安全的网络。 网络方案总体遵循以下原则:应用为主、保护投资、适度先进。 方案特点: ?网络采用千兆到接入层,千兆到桌面. ?主干实现三层的交换功能,网络具有组播、QoS等功能、核心双机热备等;
网络系统安全加固方案北京*****有限公司 2018年3月
目录 1.1项目背景 ..................................... 1.2项目目标 ..................................... 1.3参考标准 ..................................... 1.4方案设计原则 ................................. 1.5网络系统现状 ................................. 2网络系统升级改造方案............................... 2.1网络系统建设要求 ............................. 2.2网络系统升级改造方案 ......................... 2.3网络设备部署及用途 ........................... 2.4核心交换及安全设备UPS电源保证 ............... 2.5网络系统升级改造方案总结 ..................... 3网络系统安全加固技术方案........................... 3.1网络系统安全加固建设要求 ..................... 3.2网络系统安全加固技术方案 ..................... 3.3安全设备部署及用途 ........................... 3.4安全加固方案总结 ............................. 4产品清单...........................................
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性:授权实体有权访问数据 机密性:信息不暴露给未授权实体或进程 完整性:保证数据不被未授权修改 可控性:控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。 (2)搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。 (3)假冒 这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 (4)完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/
网络安全设计方案 2009-03-27 23:02:39 标签: IDC网络系统安全实施方案 1 吉通上海 IDC网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设想 (1)网络要求有充分的安全措施,以保障网络服务的可用性和网络信息的完整性。要把网络安全层,信息服务器安全层,数据库安全层,信息传输安全层作为一个系统工程来考虑。 网络系统可靠性:为减少单点失效,要分析交换机和路由器应采用负荷或流量分担方式,对服务器、计费服务器和DB服务器,WWW服务器,分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可靠性,要求满足实现对硬件的冗余设计和对软件可靠性的分析。网络安全应包含:数据安全; 预防病毒; 网络安全层; 操作系统安全; 安全系统等; (2)要求卖方提出完善的系统安全政策及其实施方案,其中至少覆盖以下几个方面: l 对路由器、服务器等的配置要求充分考虑安全因素 l 制定妥善的安全管理政策,例如口令管理、用户帐号管理等。l 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 l 制定对黑客入侵的防范策略。 l 对不同的业务设立不同的安全级别。 (3)卖方可提出自己建议的网络安全方案。 1.2 整体需求 l 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 l 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 l 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级,培训,入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 l 安全产品应能与集成商方案的网管产品,路由,交换等网络设备功能兼容并有效整合。 l 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
小型企业网络安全管理
目录 第一章计算机网络安全概述 (3) 1.1计算机网络的概念 (3) 1.2计算机网络安全的概念 (3) 1.3计算机网络安全的特征 (3) 第二章方案设计原则 (3) 2.1先进性与成熟性 (3) 2.2 实用性与经济性 (3) 2.3扩展性与兼容性 (4) 2.4标准化与开放性 (4) 2.5安全性与可维护性 (4) 2.6 整合型好 (4) 第三章企业网络信息安全需求分析 (4) 3.1 企业信息网络安全需求 (5) 3.2 企业信息网络安全内容 (5) 3.3网络拓扑图 (6) 第四章企业信息网络安全架构 (6) 4.1企业信息网络安全系统设计 (6) 4.2 企业信息网络安全系统组建 (6) 第五章企业信息网络安全工程的部署 (6) 5.1 工程环节 (7) 5.1.1安全的互联网接入 (7) 5.1.2防火墙访问控制 (7) 5.1.3用户认证系统 (7) 5.1.4入侵检测系统 (7) 5.1.5网络防病毒系统 (7) 5.1.6 VPN加密系统 (8) 5.1.7网络设备及服务器加固 (8) 5.1.8办公电脑安全管理系统 (8) 5.1.9数据备份系统 (8) 5.2 持续性计划 (8)
第一章计算机网络安全概述 1.1计算机网络的概念 是由计算机为主的资源子网和通信设备及传输介质为主的通信子网两部分组成。因此,计算机网络的安全就是指这两部分的安全。 1.2计算机网络安全的概念 是指通过采用各种安全技术和管理上的安全措施,确保网络数据的可用性完整性和保密性,其目的是确保经过网络传输和交换的数据不会被增加、修改、丢失和泄露等。 1.3计算机网络安全的特征 网络安全的基本定义是:确保网络服务的可用性和网络信息的完整性。 (1)保密性 (2)完整性:数据具有未经授权不能改变的特性。 (3)可用性:通常是指网络中主机存放的静态信息具有可用性和可操作的特性。 (4)实用性:即保证信息具有实用的特性; (5)真实性:是指信息的可信度; (6)占有性:是指存储信息的主机、磁盘和信息载体等不被盗用,并具有该信息的占有权。即保证不丧失对信息的所有权和控制权。 第二章方案设计原则 2.1先进性与成熟性 采用当今国内、国际上先进和成熟的计算机应用技术,使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看,系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构,当系统应用量发生变化时具备良好的可伸缩性,避免瓶颈的出现。 2.2 实用性与经济性 实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立,
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
XX公司网络信息系统的安全方案设计书 XX公司网络安全隐患与需求分析 1.1网络现状 公司现有计算机500余台,通过内部网相互连接与外网互联。在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2安全隐患分析 1.2.1应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 1.2.2管理的安全隐患 管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,
或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。用户权限设置过大﹑开放不必要的服务端口,或者一般用户因为疏忽,丢失帐号和口令,从而造成非授权访问,以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。 1.2.3操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击,则不仅影响机器本身而且会消耗大量的网络资源,致使整个网络陷入瘫痪。 1.2.4病毒侵害 网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器不能正常运行等。 2.1需求分析 XX公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Internet的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划; 2.保护网络系统的可用性; 3.保护网络系统服务的连续性; 4.防范网络资源的非法访问及非授权访问; 5.防范入侵者的恶意攻击与破坏; 6.保护企业信息通过网上传输过程中的机密性、完整性; 7.防范病毒的侵害;8.实现网络的安全管理。 通过了解XX公司的虚求与现状,为实现XX网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1)构建良好的环境确保企业物理设备的安全 (2)划分VLAN控制内网安全
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括部用户,也有外部用户,以及外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近
年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。 (2)企业网的安全性:最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业,从而导致企业数千万美金的损失。所以企业部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 (3)部网络之间、外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例,综合型企业网络简图如下,分析现状并分析 需求:
电信IDC网络解决方案-网络需求和拓扑设计 一、IDC的业务发展和对网络的需求 IDC,Internet Data Center,互联网数据中心,是电信运营商运营的核心业务之一。IDC机房建设要求和维护要求很高,许多行业用户无法承担其高额费用,即便有能力建设,也需要向运营商申请高出口带宽,因此国内外的IDC机房大都由运营商来出资建设和维护运营。行业用户则通过租赁运营商机房资源,部署自己的服务业务,并由运营商为其提供设备维护等服务。 当前中国电信在全国各省均建有多个IDC机房,主要运营资源的租赁业务,例如VIP机房租赁、机架或服务器租赁、带宽租赁等,同时也提供例如流量清洗、DDOS防攻击、CDN内容加速等增值服务业务。从IDC的运营情况来看,目前限制IDC业务发展的主要瓶颈在于不断上升的电费以及越来越紧张的空间资源。随着云计算技术的兴起,特别是虚拟化技术的引入,不仅有效缓解了当前的瓶颈,同时也带来新的业务增长点。在许多IDC机房开始逐步建设云资源池,运营例如云主机、云存储、云网络等云业务。开展云计算业务对IDC网络建设提出了新的要求,总的来说就是IDC网络云化建设,主要有以下四点: l 服务器虚拟化要求建设大二层网络 云计算业务的主要技术特点是虚拟化,目前来看,主要是指服务器的虚拟化。服务器虚拟化的重要特点之一是可以根据物理资源等使用情况,在不同物理机之间进行虚拟机迁移和扩展。这种迁移和扩展要求不改变虚拟机的IP地址和MAC 地址,因此只能在二层网络中实现,当资源池规模较大时,二层网络的规模随之
增大。当前IDC机房大力开展云计算资源池建设,对于网络而言,大二层网络的建设是重要的基础。
珠海市网佳科技有限公司 网络安全整体解决方案
目录 第 1 章总体分析及需求 (33) 第 2 章总体设计 (44) 第 3 章防火墙方案 (44) 3.1 本方案的网络拓扑结构 (55) 3.2 本方案的优势: (66) 3.3本方案的产品特色 (77) 第 4 章内网行为管理方案 (88) 4.1 内网安全管理系统介绍 (88) 4.2内网管理系统主要功能 (99) 第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。
第 1 章总体分析及需求 珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC 数量估计在200左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部-各地分支机构-移动办公人员的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如: 第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定; 第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失; 第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件;网管员无法对网络内的流量进行控制,造成网络资源的使用浪费; 第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。 综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。