某单位网络安全解决方案

****单位网络安全解决方案单位网络安全解决方案 1 1****单位通信有限公司网络现状单位通信有限公司网络现状 网络拥挤、办公效率下降；病毒木马猖狂，系统瘫痪无法办公；误用和滥用关键、敏感 数据和计算资源，无迹可寻；外出办公无法安全方便访问公司内部资源，安全风险过高；不 同业务部门无区域隔离。 1 / 31 1.11.1 网络拓扑网络拓扑 1.21.2 安全风险分析安全风险分析 1.2.11.2.1 来自公网的安全威胁来自公网的安全威胁 由于内部网络中其办公系统及各人主机上都有涉密信息。 假如内部网络的一台机器安全 受损（被攻击或者被病毒感染） ，就会同时影响在同一网络上的许多其他系统。透过网络传 播，还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施， 内部网络容易 造到来自外网一些不怀好意的入侵者的攻击。如： 入侵者通过漏洞扫描、Sniffer 嗅探等工具来探测扫描网络及操作系统存在的安全漏 2 / 31 洞，如网络 IP 地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口 令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击； 入侵者通过网络监听等先进手段获得内部网用户的用户名、 口令等信息， 进而假冒内部 合法身份进行非法登录，窃取内部网重要信息； 恶意攻击:入侵者通过发送大量 PING 包对内部网重要服务器进行攻击， 使得服务器超负 荷工作以至拒绝服务甚至系统瘫痪； 发送大量包含恶意代码或病毒程序的邮件。 1.2.21.2.2 来自内部人员及分部的安全威胁来自内部人员及分部的安全威胁 据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。 来自机构内部局域 网的威胁包括： 误用和滥用关键、敏感数据和计算资源。 无论是有不满情绪的员工的故意破坏， 还是没 有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、 损坏或删除将给企业带来很大的负面影响。 因不当使用 Internet 接入而降低生产率。 不当使用 Internet 资源不但会浪费工人的时 间，还能增加计算机网络的负担，降低了人员与网络的工作效率。 如果工作人员发送、接收和查看攻击性材料， 可能会形成敌意的工作环境， 从而增大内 耗。 内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令； 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人 涉密信息传播出去； 内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站； 内部人员访问不良网站时，无意中执行了网页上的恶意代码或病毒程序； 内部人员使用移动存储设备，不小心涉带有关病毒，导致网络瘫痪； 内部人员使用 BT、P2P 下载，严重影响网络使用 1.2.31.2.3 应用的安全风险分析应用的安全风险分析 应用系统的安全涉及很多方面。 应用系统是动态的、不断变化的。应用的安全性也是动 3 / 31 态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施， 降低应用的安全 风险。 A.A.资源共享的安全风险资源共享的安全风险 办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着： 员工有意、无意把硬盘中重要信息目录共享， 长期暴露在网络邻居上， 可能被外部人员轻易 偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 B.B.WebWeb 系统的安全风险系统的安全风险 如果提供 Web 服务，也存在安全的风险，例如Web 服务器本身存在漏洞容易受到攻击， 网页被篡改，Web 服务器容易受到网络病毒的感染。Web 是电子业务的发布板，与其他服务 器连接在一起，对 Web 服务器的攻击容易波及其他的网络服务器和设备。 C.C.数据库服务器的安全风险数据库服务器的安全风险 数据库服务器上运行数据库系统软件， 主要提供数据存储服务。 数据库服务器也存在安 全风险，风险包括： 非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器 本身存在漏洞容易受到攻击（例如SQL Slammer）等。 数据库中数据由于意外（硬件问题或软件崩溃） 而导致不可恢复，也是需要考虑的安全 问题。 D.D.电子邮件系统的安全风险电子邮件系统的安全风险 电子邮件为网系统用户提供电子邮件应用。 内部网用户可够通过拔号或其它方式进行电 子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、 病毒程序等， 由于许多用户 安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来 不安全因至素。 E.E.病毒侵害的安全风险病毒侵害的安全风险 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使 用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。 网络中一旦有一台主机受病毒感染， 则病毒程序就完全可能在极短的时间内迅速扩散， 传播 到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。 F.F.数据信息的安全风险数据信息的安全风险 数据安全对**单位通信来说尤其重要， 数据在公网线路上传输， 很难保证在传输过程中 4 / 31 不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段， 设法在线 路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对贵单位网络用户来说， 是决不允许的。 2 2需求分析需求分析 依据轻重缓急、 分步实施的原则， 系统信息安全可以划分为近阶段需求近阶段需求和远期需求远期需求两个 阶段，并最终达到以下总体目标： ➢建立具备完善的防黑及防毒能力的安全体系； ➢建立完善安全管理制度，为网络和系统的正常运行提供充分的安全保障，最大程度上 保证网络系统的信息安全、可靠。 近阶段需求集中表现在服务器的安全访问、防黑、流量优化的建设近阶段需求集中表现在服务器的安全访问、防黑、流量优化的建设 在内部网络不同的安全区域间部署防火墙，实现内网、Internet 和业务系统的安全访 问控制，保护内部局域网上的各种信息和网络资源。 同时部署入侵检测系统， 实时监视分析 网络中所有的数据报文，防范入侵行为，通过对网络流量、网络安全情况的审计， 帮助管理 人员了解网络的运行情况， 以便及早发现网络瓶颈并调整安全策略设置。 再与网络流量优化 系统相结合，分析网络现状，对P2P 流量及与工作无关的协议过滤，增加员工工作效率。对 防病毒控制系统，能够对所有节点的防病毒软件进行集中控制， 包括集中下发、集中版本升 级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警等。 远期信息安全需求集中表现在建立网络管理中心，实行对全网安全的集中控制。远期信息安全需求集中表现在建立网络管理中心，实行对全网安全的集中控制。 建立网络管理中心，可以实现先进的网络管理功能， 实现动态监控管理网络， 实时查看 全网的状态，检测网络性能可能出现的瓶颈，并进行自动处理或告警显示，保证网络高效、 可靠地运转，提高网络的使用效率，减轻网管人员的工作强度，提高工作效率。 2.12.1 服务器区需求分析