文件名称:网络安全解决方案设计.pdf
文件大小:245KB
文件格式:PDF
更新时间:2022-12-25 17:01:57
文档资料
⽹络安全解决⽅案设计 ⽹络安全解决⽅案设计 ⽹络安全中的⼊侵检测系统是近年来出现的新型⽹络安全技术,也是重要的⽹络安全⼯具。下⾯是有⽹络安全解决⽅案设 计,欢迎参阅。 ⽹络安全解决⽅案设计范⽂ ⽹络安全解决⽅案设计范⽂1 ⼀、客户背景 集团内联⽹主要以总部局域⽹为核⼼,采⽤⼴域⽹⽅式与外地⼦公司联⽹。集团⼴域⽹采⽤MPLS-技术,⽤来为各个分 公司提供⾻⼲⽹络平台和接⼊,各个分公司可以在集团的⾻⼲信息⽹络系统上建设各⾃的⼦系统,确保各类系统间的相互独 ⽴。 ⼆、安全威胁 某公司属于⼤型上市公司,在北京,上海、⼴州等地均有分公司。公司内部采⽤⽆纸化办公,OA系统成熟。每个局域⽹ 连接着该所有部门,所有的数据都从局域⽹中传递。同时,各分公司采⽤技术连接公司总部。该单位为了⽅便,将相当⼀部分 业务放在了对外开放的⽹站上,⽹站也成为了既是对外形象窗⼝⼜是内部办公窗⼝。 由于⽹络设计部署上的缺陷,该单位局域⽹在建成后就不断出现⽹络拥堵、⽹速特别慢的情况,同时有些个别机器上的杀 毒软件频频出现病毒报警,⽹络经常瘫痪,每次时间都持续⼏⼗分钟,⽹管简直成了救⽕队员,忙着清除病毒,重装系统。对 外WEB⽹站同样也遭到⿊客攻击,⽹页遭到⾮法篡改,有些⽹页甚⾄成了传播不良信息的平台,不仅影响到⽹站的正常运 ⾏,⽽且还对*形象也造成不良影响。(安全威胁根据拓扑图分析)从⽹络安全威胁看,集团⽹络的威胁主要包括外部的攻击 和⼊侵、内部的攻击或误⽤、企业内的病毒传播,以及安全管理漏洞等信息安全现状:经过分析发现该公司信息安全基本上是 空⽩,主要有以下问题: 公司没有制定信息安全政策,信息管理不健全。 公司在建内⽹时与internet的连接没有防⽕墙。 内部⽹络(同⼀城市的各 分公司)之间没有任何安全保障为了让⽹络正常运⾏。 根据我国《信息安全等级保护管理办法》的信息安全要求,近期公司决定对该⽹络加强安全防护,解决⽬前⽹络出现的安 全问题。 三、安全需求 从安全性和实⽤性⾓度考虑,安全需求主要包括以下⼏个⽅⾯: 1、安全管理咨询 安全建设应该遵照7分管理3分技术的原则,通过本次安全项⽬,可以发现集团现有安全问题,并且协助建⽴起完善的安 全管理和安全组织体系。 2、集团⾻⼲⽹络边界安全 主要考虑⾻⼲⽹络中Internet出⼝处的安全,以及移动⽤户、远程拨号访问⽤户的安全。 3、集团⾻⼲⽹络服务器安全 主要考虑⾻⼲⽹络中⽹关服务器和集团内部的服务器,包括OA、财务、⼈事、内部WEB等内部信息系统服务器区和安全 管理服务器区的安全。 4、集团内联⽹统⼀的病毒防护 主要考虑集团内联⽹中,包括总公司在内的所有公司的病毒防护。 5、统⼀的增强⼝令认证系统 由于系统管理员需要管理⼤量的主机和⽹络设备,如何确保⼝令安全称为⼀个重要的问题。 6、统⼀的安全管理平台 通过在集团内联⽹部署统⼀的安全管理平台,实现集团总部对全⽹安全状况的集中监测、安全策略的统⼀配置管理、统计 分析各类安全事件、以及处理各种安全突发事件。 7、专业安全服务 过专业安全服务建⽴全⾯的安全策略、管理组织体系及相关管理制度,全⾯评估企业⽹络中的信息资产及其⾯临的安全风 险情况,在必要的情况下,进⾏主机加固和⽹络加固。通过专业紧急响应服务保证企业在⾯临紧急事件情况下的处理能⼒,降 低安全风险。 四、⽅案设计 ⾻⼲⽹边界安全 集团⾻⼲⽹共有⼀个Internet出⼝,位置在总部,在Internet出⼝处部署LinkTrust Cyberwall-200F/006防⽕墙⼀台。 在Internet出⼝处部署⼀台LinkTrust Network Defender领信⽹络⼊侵检测系统,通过交换机端⼝镜像的⽅式,将进出 Internet的流量镜像到⼊侵检测的监听端⼝,LinkTrust Network Defender可以实时监控⽹络中的异常流量,防⽌恶意⼊侵。 在各个分公司中添加⼀个DMZ区,保证各公司的信息安全,内部⽹络(同⼀城市的各分公司)之间没有任何安全保障⾻⼲⽹ 服务器安全 集团⾻⼲⽹服务器主要指⽹络中的⽹关服务器和集团内部的应⽤服务器包括OA、财务、⼈事、内部WEB等,以及专为此 次项⽬配置的、⽤于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防⽕墙,实现服务器区与办公区的隔 离,并将内部信息系统服务器区和安全管理服务器区在防⽕墙上实现逻辑隔离。还考虑到在服务器区配置主机⼊侵检测系统, 在⽹络中配置百兆⽹络⼊侵检测系统,实现主机及⽹络层⾯的主动防护。 漏洞扫描 了解⾃⾝安全状况,⽬前⾯临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安