中小企业网络安全方案报告.doc

一、中小企业网络的现状 　　当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面： 　　1．外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。 　　2．内网安全——最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密。 　　3．内部网络之间、内外网络之间的连接安全——随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 　　二、中小企业网络安全需求分析 　　目前的中小企业由于人力和资金上的限制，网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。归结起来，应充分保证以下几点： 　　1． 网络可用性：网络是业务系统的载体，防止如DOS/DDOS这样的网络攻击破坏网络的可用性。 　　2．业务系统的可用性：中小企业主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。 　　3．数据机密性：对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。 　　4．访问的可控性：对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。 5．网络操作的可管理性：对于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。 三、实际安全风险分析 现今的网络安全存在的威胁主要表现在以下几个方面。 1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。 3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。 4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。 5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。 6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。 安全措施和解决方案 访问控制策略 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。 1) 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 网络管理员应该可以控制和限制普通用户的帐号