公司网络安全方案设计 .pdf

公司网络安全方案设计--第1页

公司网络安全方案设计

网络安全是指网络系统的硬件、软件及其系统中的数据

受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、

泄露，系统连续可靠正常地运行，网络服务不中断.下面是

有关公司网络安全的方案设计,供大家参考！

公司网络安全方案设计【1】网络信息系统的安全

技术体系通常是在安全策略指导下合理配置和部署：网络隔

离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据

加密、身份认证、安全监控与审计等技术设备,并且在各个

设备或系统之间，能够实现系统功能互补和协调动作。

1．网络隔离与访问控制。通过对特定网段、服务进行

物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻

止在网络和服务的边界以外。

2．漏洞发现与堵塞.通过对网络和运行系统安全漏洞的

周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从

管理上堵塞漏洞。

3．入侵检测与响应.通过对特定网络、服务建立的入侵

检测与响应体系，实时检测出攻击倾向和行为，并采取相应

的行动。

4．加密保护。主动的加密通信，可使攻击者不能了解、

修改敏感信息或数据加密通信方式；对保密或敏感数据进行

加密存储,可防止窃取或丢失。

公司网络安全方案设计--第1页

公司网络安全方案设计--第2页

5．备份和恢复。良好的备份和恢复机制，可在攻击造

成损失时，尽快地恢复数据和系统服务。

6．监控与审计。在办公网络和主要业务网络内配置集

中管理、分布式控制的监控与审计系统.一方面以计算机终

端为单元强化桌面计算的内外安全控制与日志记录；另一方

面通过集中管理方式对内部所有计算机终端的安全态势予

以掌控。

在利用公共网络与外部进行连接的“内外网络边界处

使用防火墙，为“内部网络与“外部网络划定安全边界.

在网络内部进行各种连接的地方使用带防火墙功能的VPN设

备，在进行“内外网络的隔离的同时建立网络之间的安全

通道。

1．防火墙应具备如下功能：

使用NAT把DMZ区的服务器和内部端口影射到Firewall

的对外端口；

允许Internet公网用户访问到DMZ区的应用服

务:http、ftp、smtp、dns等；

允许DMZ区内的工作站与应用服务器访问Internet公

网；

允许内部用户访问DMZ的应用服务：http、ftp、smtp、

dns、pop3、https；

允许内部网用户通过代理访问Internet公网；

公司网络安全方案设计--第2页

公司网络安全方案设计--第3页

禁止Internet公网用户进入内部网络和非法访问DMZ

区应用服务器；

禁止DMZ区的公开服务器访问内部网络;

防止来自Internet的DOS一类的攻击；

能接受入侵检测的联动要求，可实现对实时入侵的策略

响应；

对所保护的主机的常用应用通信协议能够替换服务器

的Banner信息，防止恶意用户信息刺探;

提供日志报表的自动生成功能，便于事件的分析；

提供实时的网络状态监控功能，能够实时的查看网络通

信行为的连接状态，通信数据流量。提供连接查询和动态图