第一篇：企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)安全已成為當(dāng)今值得關(guān)注的問(wèn)題，它的重要性是不言而喻的，對(duì)于大多數(shù)網(wǎng)絡(luò)黑客來(lái)說(shuō)，成功地入侵一個(gè)企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其能耐的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值。因此，如何保障企業(yè)網(wǎng)絡(luò)的安全變得重要起來(lái)。

網(wǎng)絡(luò)安全性包括信息安全性，網(wǎng)絡(luò)本身的安全性，保證系統(tǒng)的安全性。要從管理和技術(shù)角度制定不同的安全策略。安全設(shè)備的技術(shù)性能和功能，必須滿足行業(yè)系統(tǒng)管理體制的要求，即能基于網(wǎng)絡(luò)實(shí)現(xiàn)安全管理，具有接受網(wǎng)絡(luò)信息安全管理機(jī)構(gòu)管理的能力，還要不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

在對(duì)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，也應(yīng)遵循一定的原則。首先需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（包括初步或詳細(xì)設(shè)計(jì)）及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施，實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也小得多。適度安全性原則：系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性，在允許的風(fēng)險(xiǎn)范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無(wú)法執(zhí)行。易操作性原則：安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。多重保護(hù)原則：任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

局域網(wǎng)絡(luò)系統(tǒng)建成之后，應(yīng)該達(dá)到如下的目標(biāo)：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略；將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信；建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全；對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問(wèn)在到達(dá)主機(jī)前被拒絕；加強(qiáng)合法用戶的訪問(wèn)認(rèn)證，同時(shí)將用戶的訪問(wèn)權(quán)限控制在最低限度；全面監(jiān)視對(duì)公開服務(wù)器的訪問(wèn)，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；加強(qiáng)對(duì)各種訪問(wèn)的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開服務(wù)器的訪問(wèn)行為，形成完整的系統(tǒng)日志；備份與災(zāi)難恢復(fù)——強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)；加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。

通常網(wǎng)絡(luò)中的安全隱患，會(huì)涉及這樣一些內(nèi)容：網(wǎng)絡(luò)的物理安全，主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。主要包括：設(shè)備安全，設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；媒體安全，媒體數(shù)據(jù)的安全及媒體本身的安全。

還有其他的安全隱患，黑客們利用系統(tǒng)和管理上的漏洞，進(jìn)入企業(yè)網(wǎng)的內(nèi)部，篡改一些數(shù)據(jù)，例如將自己變?yōu)楦呒?jí)用戶，或者監(jiān)聽登錄會(huì)話，竊取他人的賬戶和口令；還有包括病毒、蠕蟲、特洛伊木馬等惡意代碼；能夠通過(guò)mail、internet傳播的病毒；還有一些對(duì)網(wǎng)絡(luò)的攻擊手段，沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息，例如，假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作；破壞數(shù)據(jù)的完整性，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響；以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)，惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。搭線(網(wǎng)絡(luò))竊聽攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在internet網(wǎng)絡(luò)安全的薄弱處進(jìn)入internet，并非常容易地在信息傳輸過(guò)程中獲取所有信息(尤其是敏感信息)的內(nèi)容。

網(wǎng)絡(luò)安全技術(shù)可以分為如下幾大類，即：身份認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防治技術(shù)、網(wǎng)絡(luò)數(shù)據(jù)完整性技術(shù)和網(wǎng)絡(luò)活動(dòng)審計(jì)技術(shù)。他們應(yīng)用于網(wǎng)絡(luò)活動(dòng)的不同階段，來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源。

整個(gè)企業(yè)的局域網(wǎng)按訪問(wèn)區(qū)域可以劃分為三個(gè)主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)。企業(yè)局域網(wǎng)一般都進(jìn)行文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)，文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)，提供與Internet的訪問(wèn)，通過(guò)公開服務(wù)器對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等。網(wǎng)絡(luò)運(yùn)行環(huán)境下，系統(tǒng)與系統(tǒng)、系統(tǒng)與用戶、用戶與用戶之間頻繁交換各種數(shù)據(jù)、信息，如電子文件、文檔、報(bào)文甚至數(shù)據(jù)或代碼。在網(wǎng)絡(luò)通信環(huán)境下，也經(jīng)常有假冒源點(diǎn)身份將報(bào)文插入網(wǎng)絡(luò)中，或者假的報(bào)文接收者發(fā)回假確認(rèn)，或不予接收；還有篡改報(bào)文內(nèi)容、報(bào)文序號(hào)；報(bào)文延遲或回收；否認(rèn)收到報(bào)文或否認(rèn)發(fā)送報(bào)文等。在企業(yè)網(wǎng)絡(luò)中，企業(yè)的賬務(wù)、人事、新產(chǎn)品等重要的數(shù)據(jù)，不得隨意修改。因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測(cè)設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。數(shù)字簽名可以防止否認(rèn)收到報(bào)文或否認(rèn)發(fā)送報(bào)文這類問(wèn)題，所以解決的方法就是，對(duì)這些數(shù)據(jù)庫(kù)的錄入與修改的操作者的身份進(jìn)行認(rèn)證，也可用數(shù)字簽名、證書技術(shù)保證數(shù)據(jù)交換過(guò)程中用戶和信息的有效性，用于標(biāo)明信息分發(fā)者的身份和對(duì)交換信息的認(rèn)可，接收方也可以通過(guò)驗(yàn)證數(shù)字簽名以判斷信息是否來(lái)源于指定用戶，以及交換信息的完整性。存取控制規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)利，也是內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、控制類型和風(fēng)險(xiǎn)分析。

在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層上，有選擇的讓數(shù)據(jù)包在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間進(jìn)行交換。一般利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過(guò)濾，能根據(jù)企業(yè)的安全政策來(lái)控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流。同時(shí)可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。代理服務(wù)防火墻也有一定功效，是一種增加了安全功能的應(yīng)用層網(wǎng)關(guān)，位于internet和intranet之間，自動(dòng)截取內(nèi)部用戶訪問(wèn)internet的請(qǐng)求，驗(yàn)證其有效性，代表用戶建立訪問(wèn)外部網(wǎng)絡(luò)的連接。代理服務(wù)器在很大程度上對(duì)用戶是透明的，如果外部網(wǎng)絡(luò)個(gè)站點(diǎn)之間的連接被切斷了，必須通過(guò)代理服務(wù)器方可相互連通。

網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，所以要及時(shí)發(fā)現(xiàn)并修正網(wǎng)絡(luò)中存在的弱點(diǎn)和漏洞。網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。這樣，防火墻將得到合理配置，內(nèi)外WEB站點(diǎn)的安全漏洞減為

最低，網(wǎng)絡(luò)體系達(dá)到強(qiáng)壯的耐攻擊性，對(duì)網(wǎng)絡(luò)訪問(wèn)做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)，一般包括控制臺(tái)和探測(cè)器，也不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。

由于企業(yè)需要的是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過(guò)對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問(wèn)題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。審計(jì)可以記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)，還能看出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于去定問(wèn)題和攻擊源很重要。

由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，因此計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向MAIL、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對(duì)網(wǎng)絡(luò)、服務(wù)器和工作站的實(shí)時(shí)病毒監(jiān)控；能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個(gè)目標(biāo)的病毒防治情況；支持多種平臺(tái)的病毒防范；能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒；支持對(duì)Internet/ Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對(duì)電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對(duì)壓縮文件的病毒檢測(cè)；支持廣泛的病毒處理選項(xiàng)，如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接；提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù)；支持日志記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。

除此之外，也要進(jìn)行系統(tǒng)備份，備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問(wèn)或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。在確定備份的指導(dǎo)思想和備份方案之后，就要選擇安全的存儲(chǔ)媒介和技術(shù)進(jìn)行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放?！袄鋫浞荨笔侵浮安辉诰€”的備份，下載的備份存放到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝，有一部分原始的數(shù)據(jù)長(zhǎng)期保存并作為查詢使用。熱備份的優(yōu)點(diǎn)是投資大，但調(diào)用快，使用方便，在系統(tǒng)恢復(fù)中需要反復(fù)調(diào)試時(shí)更顯優(yōu)勢(shì)。

為了保護(hù)網(wǎng)絡(luò)的安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必須的。安全管理策略一方面從純粹的管理上即安全管理規(guī)范來(lái)實(shí)現(xiàn)，另一方面從技術(shù)上建立高效的管理平臺(tái)（包括網(wǎng)絡(luò)管理和安全管理）。安全管理策略主要有：定義完善的安全管理模型；建立長(zhǎng)遠(yuǎn)的并且可實(shí)施的安全策略；徹底貫徹規(guī)范的安全防范措施；建立恰當(dāng)?shù)陌踩u(píng)估尺度，并且進(jìn)行經(jīng)常性的規(guī)則審核。當(dāng)然，還需要建立高效的管理平臺(tái)。管理員可以在管理機(jī)器上對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)上的防病毒軟件、入侵檢測(cè)探測(cè)器進(jìn)行綜合管理，同時(shí)利用安全分析軟件可以從不同角度對(duì)所有的設(shè)備、服務(wù)器、工作站進(jìn)行安全掃描，分析他們的安全漏洞，并采取相應(yīng)的措施。

第二篇：企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)

海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系

︽ 網(wǎng) 絡(luò)

安

課 全

程 ︾

設(shè)

計(jì)

報(bào)

告

題 目 XX網(wǎng)絡(luò)安全方案的設(shè)計(jì)

學(xué) 號(hào) 310609040104

班 級(jí) 網(wǎng)絡(luò)工程06-1班

姓 名 王某某

指導(dǎo)老師 王天明

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案

摘 要：在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)來(lái)極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過(guò)安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述，為企業(yè)提供一個(gè)可靠地、完整的方案。

關(guān)鍵詞： 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來(lái)的安全問(wèn)題也在困擾著用戶。Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來(lái)越多。但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。因此，一般整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全問(wèn)題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員 信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬(wàn)美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

（3）內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖

對(duì)該公司的信息安全系統(tǒng)無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

（2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

（3）經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

（4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。（3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

（4）信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下： 1.標(biāo)準(zhǔn)化原則

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路

1.安全系統(tǒng)架構(gòu)

安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示：

圖說(shuō)明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖

通過(guò)以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:

圖說(shuō)明 圖三

總體安全結(jié)構(gòu)圖

五、整體網(wǎng)絡(luò)安全方案

1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

1）身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)

2）數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

4）不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

3.網(wǎng)絡(luò)防火墻

采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下：

圖說(shuō)明 圖四 防火墻

此外在實(shí)際中可以增加入侵檢測(cè)系統(tǒng)，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控 信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)

應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過(guò)瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對(duì)服務(wù)器的保護(hù)

在一個(gè)企業(yè)中對(duì)服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來(lái)說(shuō)明對(duì)服務(wù)器保護(hù)的重要性。

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖（透明方式）:

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖五

郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對(duì)外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡(jiǎn)圖如下圖六所示。

圖說(shuō)明

圖六

關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力

對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過(guò)來(lái)源分析，目 信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

除對(duì)外的防護(hù)外，對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別度應(yīng)達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示：

信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖七

內(nèi)網(wǎng)綜合保護(hù) 9.移動(dòng)用戶管理系統(tǒng)

對(duì)于企業(yè)內(nèi)部的筆記本電腦在外工作，當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實(shí)施方式

由以上的分析及設(shè)計(jì)，可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全 信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

圖說(shuō)明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

（4）在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

七、總結(jié)

本課程設(shè)計(jì)以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。也希望通過(guò)本方 信息安全課程設(shè)計(jì)

xx網(wǎng)絡(luò)安全方案的設(shè)計(jì)案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

本次課程設(shè)計(jì)的完成，首先應(yīng)感謝劉老師的指導(dǎo)。由于剛開始選題不恰當(dāng)，所以完成的不理想，后來(lái)和劉老師交流后決定用這個(gè)項(xiàng)目來(lái)做。此外，也感謝同學(xué)的幫助。特別是在課程設(shè)計(jì)中需要繪制圖形時(shí)，給我推薦了“億圖”繪圖工具，使得本課程設(shè)計(jì)中所需的圖形都得以順利繪制出來(lái)，能較好的展示出整個(gè)設(shè)計(jì)的過(guò)程。

教師評(píng)語(yǔ)：

第三篇：企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

河 南 理 工 大 學(xué) 計(jì) 算 機(jī) 學(xué) 院

︽ 信 息

安

課 全

程 ︾

設(shè)

計(jì)

報(bào)

告

題 目 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

學(xué) 號(hào) 310609040104

班 級(jí) 網(wǎng)絡(luò)工程06-1班

姓 名 嚴(yán)茵茵

指導(dǎo)老師 劉 琨

信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案

摘 要：在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)來(lái)極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過(guò)安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述，為企業(yè)提供一個(gè)可靠地、完整的方案。

關(guān)鍵詞： 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來(lái)的安全問(wèn)題也在困擾著用戶。Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來(lái)越多。但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。因此，一般整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全問(wèn)題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬(wàn)美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

（3）內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖

對(duì)該公司的信息安全系統(tǒng)無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

（2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

（3）經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

（4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。（3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

（4）信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下： 1.標(biāo)準(zhǔn)化原則 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路

1.安全系統(tǒng)架構(gòu)

安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示：

圖說(shuō)明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖

通過(guò)以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:

圖說(shuō)明 圖三

總體安全結(jié)構(gòu)圖

五、整體網(wǎng)絡(luò)安全方案

1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

1）身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

2）數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

4）不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

3.網(wǎng)絡(luò)防火墻

采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下：

圖說(shuō)明 圖四 防火墻

此外在實(shí)際中可以增加入侵檢測(cè)系統(tǒng)，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)

應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過(guò)瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對(duì)服務(wù)器的保護(hù)

在一個(gè)企業(yè)中對(duì)服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來(lái)說(shuō)明對(duì)服務(wù)器保護(hù)的重要性。

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖（透明方式）: 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖五

郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對(duì)外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡(jiǎn)圖如下圖六所示。

圖說(shuō)明

圖六

關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力

對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過(guò)來(lái)源分析，目信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

除對(duì)外的防護(hù)外，對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別度應(yīng)達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示： 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖七

內(nèi)網(wǎng)綜合保護(hù) 9.移動(dòng)用戶管理系統(tǒng)

對(duì)于企業(yè)內(nèi)部的筆記本電腦在外工作，當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實(shí)施方式

由以上的分析及設(shè)計(jì)，可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

圖說(shuō)明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

（4）在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

七、總結(jié)

本課程設(shè)計(jì)以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。也希望通過(guò)本方信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

本次課程設(shè)計(jì)的完成，首先應(yīng)感謝劉老師的指導(dǎo)。由于剛開始選題不恰當(dāng)，所以完成的不理想，后來(lái)和劉老師交流后決定用這個(gè)項(xiàng)目來(lái)做。此外，也感謝同學(xué)的幫助。特別是在課程設(shè)計(jì)中需要繪制圖形時(shí)，給我推薦了“億圖”繪圖工具，使得本課程設(shè)計(jì)中所需的圖形都得以順利繪制出來(lái)，能較好的展示出整個(gè)設(shè)計(jì)的過(guò)程。

教師評(píng)語(yǔ)：

第四篇：企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)

信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)

摘 要：在這個(gè)信息技術(shù)飛速發(fā)展的時(shí)代，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到很有必要依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)來(lái)極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。本文主要通過(guò)安全體系建設(shè)原則、實(shí)例化的企業(yè)整體網(wǎng)絡(luò)安全方案以及該方案的組織和實(shí)施等方面的闡述，為企業(yè)提供一個(gè)可靠地、完整的方案。

關(guān)鍵詞： 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

隨著國(guó)內(nèi)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營(yíng)活動(dòng)的各種業(yè)務(wù)系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來(lái)的安全問(wèn)題也在困擾著用戶。Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。一旦網(wǎng)絡(luò)系統(tǒng)安全受到嚴(yán)重威脅，甚至處于癱瘓狀態(tài)，將會(huì)給企業(yè)、社會(huì)、乃至整個(gè)國(guó)家?guī)?lái)巨大的經(jīng)濟(jì)損失。應(yīng)此如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財(cái)務(wù)系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡(luò)體系結(jié)構(gòu)也會(huì)變得越來(lái)越復(fù)雜，應(yīng)用系統(tǒng)也會(huì)越來(lái)越多。但從整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理上來(lái)看，通常包括內(nèi)部用戶，也有外部用戶，以及內(nèi)外網(wǎng)之間。因此，一般整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)存在三個(gè)方面的安全問(wèn)題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。

（2）企業(yè)內(nèi)網(wǎng)的安全性：最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬(wàn)美金的損失。所以企業(yè)內(nèi)部的網(wǎng)絡(luò)安全同樣需要重視，存在的安全隱患主要有未授權(quán)訪問(wèn)、破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、計(jì)算機(jī)病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術(shù)手段、缺乏有效的手段來(lái)評(píng)估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動(dòng)化的集中數(shù)據(jù)備份及災(zāi)難恢復(fù)措施等。

（3）內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖

對(duì)該公司的信息安全系統(tǒng)無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

（2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

（3）經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

（4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。（3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

（4）信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下： 1.標(biāo)準(zhǔn)化原則 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)2.系統(tǒng)化原則 3.規(guī)避風(fēng)險(xiǎn)原則 4.保護(hù)投資原則 5.多重保護(hù)原則 6.分步實(shí)施原則

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路

1.安全系統(tǒng)架構(gòu)

安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。2.安全防護(hù)體系

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示：

圖說(shuō)明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)3.企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖

通過(guò)以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:

圖說(shuō)明 圖三

總體安全結(jié)構(gòu)圖

五、整體網(wǎng)絡(luò)安全方案

1.網(wǎng)絡(luò)安全認(rèn)證平臺(tái)

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

1）身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

2）數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

4）不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

3.網(wǎng)絡(luò)防火墻

采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行防護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下：

圖說(shuō)明 圖四 防火墻

此外在實(shí)際中可以增加入侵檢測(cè)系統(tǒng)，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)等功能。4.病毒防護(hù)系統(tǒng)

應(yīng)強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)勤業(yè)網(wǎng)絡(luò)的病毒防護(hù)功能。這里我們可以選擇瑞星網(wǎng)絡(luò)版殺毒軟件企業(yè)版。瑞星網(wǎng)絡(luò)殺毒軟件是一個(gè)專門針對(duì)網(wǎng)絡(luò)病毒傳播特點(diǎn)開發(fā)的網(wǎng)絡(luò)防病毒軟件，通過(guò)瑞星網(wǎng)絡(luò)防病毒體系在網(wǎng)絡(luò)內(nèi)客戶端和服務(wù)器上建立反病毒系統(tǒng)，并且可以實(shí)現(xiàn)防病毒體系的統(tǒng)一、集中管理，實(shí)時(shí)掌握、了解當(dāng)前網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)病毒事件，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)遠(yuǎn)程反病毒策略設(shè)置和安全操作。5.對(duì)服務(wù)器的保護(hù)

在一個(gè)企業(yè)中對(duì)服務(wù)器的保護(hù)也是至關(guān)重要的。在這里我們選擇電子郵件為例來(lái)說(shuō)明對(duì)服務(wù)器保護(hù)的重要性。

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖（透明方式）: 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖五

郵件系統(tǒng)保護(hù) 6.關(guān)鍵網(wǎng)段保護(hù)

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應(yīng)此對(duì)外應(yīng)是保密的。所以這些網(wǎng)段我們也應(yīng)給予特別的防護(hù)。簡(jiǎn)圖如下圖六所示。

圖說(shuō)明

圖六

關(guān)鍵網(wǎng)段的防護(hù) 7.日志分析和統(tǒng)計(jì)報(bào)表能力

對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過(guò)來(lái)源分析，目信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。8.內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

除對(duì)外的防護(hù)外，對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為也應(yīng)該進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。企業(yè)內(nèi)部用戶上網(wǎng)信息識(shí)別度應(yīng)達(dá)到每一個(gè)URL請(qǐng)求和每一個(gè)URL請(qǐng)求的回應(yīng)。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范網(wǎng)絡(luò)內(nèi)部的上網(wǎng)行為，提高工作效率，同時(shí)避免企業(yè)內(nèi)部產(chǎn)生網(wǎng)絡(luò)安全隱患。因此對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示： 信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

圖說(shuō)明

圖七

內(nèi)網(wǎng)綜合保護(hù) 9.移動(dòng)用戶管理系統(tǒng)

對(duì)于企業(yè)內(nèi)部的筆記本電腦在外工作，當(dāng)要接入內(nèi)部網(wǎng)也應(yīng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。10.身份認(rèn)證的解決方案

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實(shí)施方式

由以上的分析及設(shè)計(jì)，可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

圖說(shuō)明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

（4）在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

七、總結(jié)

本設(shè)計(jì)以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。也希望通過(guò)本方案的信息安全課程設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

第五篇：企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)---

海南經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院信息技術(shù)系

︽ 網(wǎng) 絡(luò)

安

案 全

例 ︾

設(shè)

計(jì)

報(bào)

告

題 目 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

學(xué) 號(hào) 1***

班 級(jí) 11級(jí)網(wǎng)絡(luò)1 班

姓 名 XXX

指導(dǎo)老師 XXX

要解決的幾個(gè)關(guān)鍵問(wèn)題

目錄

摘 要：.......................................................................................................2

一、引言....................................................................................................2

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析需求：.....................................................................................................................3

三、設(shè)計(jì)原則............................................................................................4

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路........................................................5

（一）安全系統(tǒng)架構(gòu)..........................................................................5

（二）安全防護(hù)體系..........................................................................5

（三）企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖..............................................................6

五、整體網(wǎng)絡(luò)安全方案............................................................................7

（一）網(wǎng)絡(luò)安全認(rèn)證平臺(tái)..................................................................7

（二）VPN系統(tǒng)................................................................................7

（三）網(wǎng)絡(luò)防火墻..............................................................................8

（四）病毒防護(hù)系統(tǒng)..........................................................................8

（五）對(duì)服務(wù)器的保護(hù)......................................................................9

（六）日志分析和統(tǒng)計(jì)報(bào)表能力....................................................10

（七）內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控..............................................11

（八）身份認(rèn)證的解決方案............................................................12

六、方案的組織與實(shí)施方式..................................................................12

七、總結(jié)..................................................................................................13 教師評(píng)語(yǔ)：..............................................................................................14

要解決的幾個(gè)關(guān)鍵問(wèn)題

設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案

摘 要：

隨著互聯(lián)網(wǎng)的不斷更新與發(fā)展，它給我們帶來(lái)了極大的利益和方便。但是，隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的普及，使我們面臨另外提個(gè)困境：私人數(shù)據(jù)、重要的企業(yè)資源以及政府機(jī)密等信息被暴露在公共網(wǎng)絡(luò)空間之下，伴隨而來(lái)的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞，將給使用單位造成重大經(jīng)濟(jì)損失，并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作，是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。

關(guān)鍵詞： 信息安全、企業(yè)網(wǎng)絡(luò)安全、安全防護(hù)

一、引言

隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及，企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡(luò)空間下，很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)?，都有可能威脅到重要信息數(shù)據(jù)，這些危害也越來(lái)越受到人們的重視。因此，根據(jù)企業(yè)的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來(lái)改善這個(gè)情況，如何使企業(yè)信息網(wǎng)絡(luò)系統(tǒng)免受黑客和病毒的入侵，使企業(yè)的數(shù)據(jù)機(jī)密信息得以保護(hù)，并且可以保證企業(yè)的網(wǎng)絡(luò)順暢的工作，有助于公司的長(zhǎng)遠(yuǎn)發(fā)展。

網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機(jī)制策略。

21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無(wú)處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì),網(wǎng)絡(luò)社會(huì)的時(shí)候，我國(guó)將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多 2

要解決的幾個(gè)關(guān)鍵問(wèn)題

樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子 化、信息化的發(fā)展將起到非常重要的作用。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖如下，分析現(xiàn)狀并分析需求：

圖說(shuō)明 圖一 企業(yè)網(wǎng)絡(luò)簡(jiǎn)圖

要解決的幾個(gè)關(guān)鍵問(wèn)題

（一）對(duì)該公司的信息安全系統(tǒng)無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

（2）原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。

（3）經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。

（4）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

（二）由以上分析可知該公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

（2）網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。（3）信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

（4）信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。具體如下： 1.技術(shù)先進(jìn)性原則 2.系統(tǒng)性原則

要解決的幾個(gè)關(guān)鍵問(wèn)題

3.管理可控性原則 4.技術(shù)與管理相結(jié)合原則 5.多重保護(hù)原則 6.系統(tǒng)可伸縮性原則 7.測(cè)評(píng)認(rèn)證原則

四、企業(yè)網(wǎng)絡(luò)安全解決方案的思路

（一）安全系統(tǒng)架構(gòu)

一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又是按照木桶原理來(lái)實(shí)現(xiàn)的。根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門程序的蠕蟲病毒是簡(jiǎn)單的防火墻VPN安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻VPN，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。

（二）安全防護(hù)體系

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。如圖二所示：

要解決的幾個(gè)關(guān)鍵問(wèn)題

圖說(shuō)明 圖二 網(wǎng)絡(luò)與信息安全防范體系模型

（三）企業(yè)網(wǎng)絡(luò)安全結(jié)構(gòu)圖

通過(guò)以上分析可得總體安全結(jié)構(gòu)應(yīng)實(shí)現(xiàn)大致如圖三所示的功能:

圖說(shuō)明 圖三

總體安全結(jié)構(gòu)圖

要解決的幾個(gè)關(guān)鍵問(wèn)題

五、整體網(wǎng)絡(luò)安全方案

（一）網(wǎng)絡(luò)安全認(rèn)證平臺(tái)

證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：

1.身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。

2.數(shù)據(jù)的機(jī)密性(Confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。

3.數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。

4.不可抵賴性(Non-Repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。

（二）VPN系統(tǒng)一個(gè)完全私有的網(wǎng)絡(luò)可以解決許多安全問(wèn)題，因?yàn)楹芏鄲阂夤粽吒緹o(wú)法進(jìn)入網(wǎng)絡(luò)實(shí)施攻擊。但是，對(duì)于一個(gè)普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡(luò)，往往在財(cái)政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。

VPN的英文全稱是“Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。

要解決的幾個(gè)關(guān)鍵問(wèn)題

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

（三）網(wǎng)絡(luò)防火墻

采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。其網(wǎng)絡(luò)結(jié)構(gòu)一般如下：

圖說(shuō)明 圖四 防火墻

安裝好專業(yè)切功能強(qiáng)勁的防火墻，來(lái)有效防御外來(lái)黑客病毒等方面的攻擊。在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問(wèn)控制的一整套裝置，是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點(diǎn)上。所有來(lái)自internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過(guò)防火墻。

入侵行為的發(fā)覺(jué)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測(cè)的軟件與硬件的組合便是入侵監(jiān)測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。

（四）病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝IMSS。

要解決的幾個(gè)關(guān)鍵問(wèn)題

1.郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒?？赏ㄟ^(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

2.服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。

3.客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

4.集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無(wú)論運(yùn)行于何種平臺(tái)和位置，TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。

（五）對(duì)服務(wù)器的保護(hù)

服務(wù)器的安全對(duì)企業(yè)來(lái)說(shuō)是至關(guān)重要的，近幾年來(lái)，服務(wù)器遭遇“黑手”的風(fēng)險(xiǎn)越來(lái)越大，就最近服務(wù)器遭遇病毒、黑客攻擊的新聞不絕于耳。首先，這些惡意的攻擊行為，旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至攻擊到服務(wù)器所在網(wǎng)絡(luò)癱瘓。還有一方面，就是入侵行為，這種大多與某些利益有關(guān)聯(lián)，有的涉及到企業(yè)的敏感信息，有的是同行相煎。

目前廣泛應(yīng)用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次 9

要解決的幾個(gè)關(guān)鍵問(wèn)題

結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。下圖五是郵件系統(tǒng)保護(hù)的簡(jiǎn)圖（透明方式）:

圖說(shuō)明

圖五

郵件系統(tǒng)保護(hù)

（六）日志分析和統(tǒng)計(jì)報(bào)表能力

所有的網(wǎng)站統(tǒng)計(jì)報(bào)告都是相同的么？日志分析與實(shí)時(shí)統(tǒng)計(jì)分析工具報(bào)告和追蹤網(wǎng)站的活動(dòng)都有著很大的區(qū)別。因?yàn)樗麄兪占煌男畔?，所以提供的?bào)告也許并不一致。實(shí)時(shí)統(tǒng)計(jì)工具的優(yōu)勢(shì)在于跟蹤訪問(wèn)者行為和精確的頁(yè)面瀏覽量統(tǒng)計(jì)。

如果很清楚的理解這些工具是怎樣進(jìn)行統(tǒng)計(jì)的，您將能更好的理解兩種報(bào)告的差異，并協(xié)調(diào)使用不同的數(shù)據(jù)，從而幫助您在營(yíng)銷和市場(chǎng)活動(dòng)中做出更有效的決定。

對(duì)網(wǎng)絡(luò)內(nèi)的安全事件也應(yīng)都作出詳細(xì)的日志記錄，這些日志記錄包括事件名稱、描述和相應(yīng)的主機(jī)IP地址等相關(guān)信息。此外，報(bào)表系統(tǒng)還應(yīng)自動(dòng)生成各種 10

要解決的幾個(gè)關(guān)鍵問(wèn)題

形式的攻擊統(tǒng)計(jì)報(bào)表，形式包括日?qǐng)?bào)表，月報(bào)表，年報(bào)表等，通過(guò)來(lái)源分析，目標(biāo)分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡(luò)上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡(luò)的安全管理。

（七）內(nèi)部網(wǎng)絡(luò)行為的管理和監(jiān)控

內(nèi)部網(wǎng)絡(luò)行為監(jiān)管審計(jì)系統(tǒng)是在網(wǎng)絡(luò)整體安全解決方案的基礎(chǔ)上，綜合了黨政機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)的安全需求，采取多層架構(gòu)、分布式設(shè)計(jì)，可滿足黨政機(jī)關(guān)以及企事業(yè)單位對(duì)保障數(shù)據(jù)、信息的安全性及完整性的迫切要求。對(duì)內(nèi)部網(wǎng)絡(luò)行為的管理監(jiān)控結(jié)果有效，審計(jì)結(jié)果取證完整、記錄可信。以下是幾種系統(tǒng)：

1.監(jiān)控中心控制臺(tái)

運(yùn)行在Windows2000各種版本/Windows XP下，對(duì)系統(tǒng)安全策略進(jìn)行統(tǒng)一管理與發(fā)布，對(duì)系統(tǒng)的安全設(shè)備及配置進(jìn)行統(tǒng)一管理，對(duì)系統(tǒng)的日志進(jìn)行審計(jì)、分析、報(bào)告，對(duì)安全事件進(jìn)行應(yīng)急響應(yīng)和處理，可隨機(jī)抽查網(wǎng)絡(luò)內(nèi)受控主機(jī)的屏幕信息并可記錄和回放。2.身份認(rèn)證識(shí)別服務(wù)器

運(yùn)行在Windows2000 Server版本下，采用一次一變的動(dòng)態(tài)口令，有效的解決了一般靜態(tài)口令易截取、易竊聽、易猜測(cè)等安全隱患，用于內(nèi)部網(wǎng)使用人員的身份管理和網(wǎng)絡(luò)安全管理員身份的認(rèn)證控制。3.受控主機(jī)代理

運(yùn)行在Windows2000各種版本/Windows XP下，根據(jù)監(jiān)控中心控制臺(tái)設(shè)置的策略規(guī)則（包括登錄策略、文件策略、一機(jī)兩用策略、屏幕監(jiān)控策略、輸入輸出策略等），實(shí)時(shí)進(jìn)行信息采集，阻止違規(guī)操作，將違規(guī)操作報(bào)警到控制臺(tái)。4.郵件監(jiān)控器代理

運(yùn)行在Windows2000各種版本下，安裝在郵件服務(wù)器中，根據(jù)監(jiān)控中心控制臺(tái)設(shè)置的郵件策略規(guī)則，根據(jù)時(shí)間段、計(jì)算機(jī)的IP地址、Email地址進(jìn)行阻止、報(bào)警，將違規(guī)操作報(bào)警到控制臺(tái)。5.網(wǎng)絡(luò)感應(yīng)器代理

運(yùn)行在Windows2000各種版本/Windows XP下，采集網(wǎng)絡(luò)中的信息流量，根據(jù)控制臺(tái)的要求，將采集的網(wǎng)絡(luò)信息流量上傳到控制臺(tái)，進(jìn)行審計(jì)統(tǒng)計(jì)。并可實(shí)時(shí)檢測(cè)出網(wǎng)絡(luò)內(nèi)非法接入的其它設(shè)備。

要解決的幾個(gè)關(guān)鍵問(wèn)題

則內(nèi)網(wǎng)綜合保護(hù)簡(jiǎn)圖如下圖七所示：

圖說(shuō)明

圖七

內(nèi)網(wǎng)綜合保護(hù)

（八）身份認(rèn)證的解決方案

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實(shí)施方式

由以上的分析及設(shè)計(jì)，可知網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。具體的安全管理貫穿全 12

要解決的幾個(gè)關(guān)鍵問(wèn)題

流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。

圖說(shuō)明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

（4）在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

七、總結(jié)

本課程設(shè)計(jì)以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，重點(diǎn)提出了管理技術(shù)和維護(hù)技術(shù)。隨著現(xiàn)在的發(fā)展，網(wǎng)絡(luò)的不安全因素很多，網(wǎng)絡(luò)管理和維護(hù)尤其重要，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從

要解決的幾個(gè)關(guān)鍵問(wèn)題

技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。也希望通過(guò)本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

教師評(píng)語(yǔ)：