中小企业网络安全项目解决方案.doc

WORD 格式 整理 学习 参考 资料 分享 瑞华中小企业网络安全 解决方案 2009-10-26 WORD 格式 整理 学习 参考 资料 分享 网络现状分析 伴随网络的普及，安全日益成为影响网络效能的重要问题，而 Internet 所具有的开放 性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络 系统不受病毒和黑客的入侵，已成为所有用户信息化健康发展所要考虑的重要事情之一。尤 其是证券行业、企业单位所涉及的信息可以说都带有机密性，所以，其信息安全问题，如敏 感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对用户机构信息 安全构成威胁。为保证网络系统的安全，有必要对其网络进行专门安全防护设计。 网络的发展加剧了病毒的快速传播 企业网络分析 ? 企业网络面临的安全问题 ? 系统漏洞、安全隐患多 ? 可利用资源丰富 ? 病毒扩散速度快 ? 企业用户对网络依赖性强 ? 网络使用人员安全意识薄弱 ? 网络管理漏洞较多 ? 内部网络无法管控 ? 信息保密性难以保证 ? 基础网络应用成为黑客和病毒制造者的攻击目标 ? 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网 ? 可能带来的损失 ? 网络安全/病毒事故导致信息外泄和数据破坏，导致巨大财产损失 ? 网络安全/病毒事故导致内部网络瘫痪，无法正常工作 ? 网络带宽的不断加大，员工的行为无法约束，使工作效率大大下降。 ? 系统漏洞的不断增加，攻击方式多样化发展，通过漏洞辐射全网快速传播，导致网 络堵塞，业务无法正常运行。 ? 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器 连接，将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。 ? 网络行为无法进行严格规划和审计，致使网络安全处于不可预知和控制的状态。 瑞华中小网络安全解决方案华 中小网络安全解决方案 面对以上的问题，瑞华公司根据对典型中小网络的分析，制定整体的网络安全防护体系， 对网络边界和网络内部进行了合理化的方案制定，做到最大限度的保障用户网络安全和内部 业务的正常运行。对所有通过的数据进行检测，包括 HTTP、FTP、SMTP、POP3 等协议传输的 数据，内部网络的规范应用进行管控，而且还提供了对外服务器的保护、防止黑客对这些网 络的攻击等等。下面是部署典型中小网络结构拓扑图： 方案设计思路 ? 划分安全域 控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域，如组织内部的网络 域，和外部网络域，每一个网络域由所定义的安全边界来保护。这种边界的实施可通过在相 连的两个网络或多个网络之间安全网关来控制其间访问和信息流。网关要经过配置，以过滤 两个区域或多个网络之间的通信量和根据组织的访问控制方针来堵塞未授权访问。 ? 边界防护的技术对策 u 从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁 使用防毒墙中的防病毒模块进行病毒、木马的分析和查杀。 u 修改传输中的数据 使用防火墙的状态检测来完成发现对传输中数据的非授权访问，另外也将阻止未授权用 户在一个远程会话过程中的插入。 u 从外部攻击 web 服务器、导致内部服务器瘫痪，业务终止。 网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器 提供的各种服务本身有可能成为黑客攻击的突破口，因此，在实施方案时要对服务器的安 全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服 务，就会面临着黑客各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服 务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规 则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界 只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。 u 非法用户侵入网络和 ARP 攻击等重大威胁 使用防火墙的 IP 和 MAC 地址绑定可以有效的避免 arp 攻击导致网络瘫痪的发生。从而 避免了外部用户非法接入现象的发生。 ? 局域网病毒防护 u 单一的防毒策略，导致局域网病毒无限制蔓延 使用瑞星网络级防病毒体系可以部署多层次病毒防线，截断病毒可能传播的各种渠道， 如服务器、客户端等，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范 u 局域网用户无法在线升级，无法统一管理，导致整个网路没有规范性。 没有集中管理的防病毒系统是不完整的防毒系统。只有构建了统一的防病毒集中管理系 统，才能保证了整个防毒产品可以从病毒监控管理中心及时得到更新，同时又使系统管理人 员可以在任何时间通过管理控制台对整个防毒系统