.XX公司網絡信息系統的安全方案設計書XX公司網絡安全隱患與需求分析1.1網絡現狀公司現有計算機500余臺，通過內部網相互連接與外網互聯。在內部網絡中，各服務部門計算機在同一網段，通過交換機連接。如下圖所示：1.2安全隱患分析1.2.1應用系統的安全隱患應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用的安全性也是動態的。需要對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等 1.2.2管理的安全隱患管理方面的安全隱患包括：內部管理人員或員工圖方便省事，不設置用戶口令，或者設置的口令過短和過于簡單，導致很容易破解。責任不清，使用相同的用戶名、口令，導致權限管理混亂，信息泄密。用戶權限設置過大開放不必要的服務端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權訪問，以及把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。 1.2.3操作系統的安全漏洞計算機操作系統尤其服務器系統是被攻擊的重點，如果操作系統因本身遭到攻擊，則不僅影響機器本身而且會消耗大量的網絡資源，致使整個網絡陷入癱瘓。1.2.4病毒侵害網絡是病毒傳播最好、最快的途徑之一。一旦有主機受病毒感染，病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器不能正常運行等。2.1需求分析XX公司根據業務發展需求，建設一個小型的企業網，有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和業務部門，需要他們之間相互隔離。同時由于考慮到Internet的安全性，以及網絡安全等一些因素。因此本企業的網絡安全構架要求如下：1.根據公司現有的網絡設備組網規劃；2.保護網絡系統的可用性；3.保護網絡系統服務的連續性；4.防范網絡資源的非法訪問及非授權訪問；5.防范入侵者的惡意攻擊與破壞；6.保護企業信息通過網上傳輸過程中的機密性、完整性；7.防范病毒的侵害；8.實現網絡的安全管理。通過了解XX公司的虛求與現狀，為實現XX網絡公司的網絡安全建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要（1） 構建良好的環境確保企業物理設備的安全（2） 劃分VLAN控制內網安全（3） 安裝防火墻體系（4） 安裝防病毒服務器（5） 加強企業對網絡資源的管理 如前所述，XX公司信息系統存在較大的風險，網絡信息安全的需求主要體現在如下幾點： (1)XX公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。 (2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使XX公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。 (4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是XX公司面臨的重要課題。網絡信息安全策略及整體方案信息安全的目標是通過系統及網絡安全配置，應用防火墻及入侵檢測、安全掃描、網絡防病毒等技術，對出入口的信息進行嚴格的控制；對網絡中所有的裝置（如Web服務器、路由器和內部網絡等）進行檢測、分析和評估，發現并報告系統內存在的弱點和漏洞，評估安全風險，建議補救措施，并有效地防止黑客入侵和病毒擴散，監控整個網絡的運行狀況。3.1 方案綜述XX公司整個網絡安全系統從物理上劃分4個部分，即計算機網絡中心、財務部、業務部及網絡開發中心。從而在結構上形成以計算機網絡中心為中心，對其他部分進行統一的網絡規劃和管理。每個安全區域有一套相對獨立的網絡安全系統，這些相對獨立的網絡安全系統能被計算機網絡中心所管理。同時每個安全區域都要進行有效的安全控制，防止安全事件擴散，將事件控制在最小范圍。通過對XX公司現狀的分析與研究以及對當前安全技術的研究分析，我們制定如下企業信息安全策略。 311防火墻實施方案 根據網絡整體安全及保證財務部的安全考慮，采用兩臺cisco pix535防火墻，一防火墻對財務部與企業內網進行隔離，另一防火墻對Internet與企業內網之間進行隔離，其中DNS、郵件等對外服務器連接在防火墻的DMZ區與內、外網間進行隔離。 防火墻設置原則如下所示：建立合理有效的安全過濾原則對網絡數據包的協議、端口、源/目的地址、流向進行審核，嚴格控制外網用戶非法訪問；防火墻DMZ區訪問控制，只打開服務必須的HTTP、FTP、SMTP、POP3以及所需的其他服務，防范外部來的拒絕服務攻擊；定期查看防火墻訪問日志；對防火墻的管理員權限嚴格控制。 312 Internet連接與備份方案防火墻經外網交換機接入Internet。此區域當前存在一定的安全隱患：首先，防火墻作為企業接入Internet的出口，占有及其重要的作用，一旦此防火墻出現故障或防火墻與主交換機連接鏈路出現問題，都會造成全臺與Internet失去連接；其次，當前的防火墻無法對進入網絡的病毒進行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網關與核心交換機。防病毒網關可對進入網絡的流量進行有效過濾，使病毒數據包無法進入網絡，提高內網的安全性。防火墻連接只在主核心交換機上，并且采用兩臺防火墻進行熱備配置，分別連接兩臺核心交換機。設備及鏈路都進行了冗余配置，提高了網絡的健壯性。根據改企業未來的應用需求，可考慮網絡改造后，將Internet連接帶寬升級為100M。313入侵檢測方案在核心交換機監控端口部署CA入侵檢測系統(eTrust Intrusion Detection) ，并在不同網段(本地或遠程)上安裝由中央工作站控制的網絡入侵檢測代理，對網絡入侵進行檢測和響應。314 VPN系統 考慮到改公司和其子公司與其它兄弟公司的通信，通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。 集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。315網絡安全漏洞 企業網絡擁有WWW、郵件、域、視頻等服務器，還有重要的數據庫服務器，對于管理人員來說，無法確切了解和解決每個服務器系統和整個網絡的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發現并報告系統內存在的弱點和漏洞，評估安全風險，建議補救措施，達到增強網絡安全性的目的。316防病毒方案采用Symantec網絡防病毒軟件，建立企業整體防病毒體系，對網絡內的服務器和所有計算機設備采取全面病毒防護。并且需要在網絡中心設置病毒防護管理中心，通過防病毒管理中心將局域網內所有計算機創建在同一防病毒管理域內。通過防病毒管理域的主服務器，對整個域進行防病毒管理，制定統一的防毒策略，設定域掃描作業，安排系統自動查、殺病毒。可實現對病毒侵入情況、各系統防毒情況、防毒軟件的工作情況等的集中監控；可實現對所有防毒軟件的集中管理、集中設置、集中維護；可集中反映整個系統內的病毒入侵情況,設置各種消息通報方式，對病毒的爆發進行報警；可集中獲得防毒系統的日志信息；管理人員可方便地對系統情況進行匯總和分析。根據企業內部通知或官方網站公布的流行性或重大惡性病毒及時下載系統補丁和殺毒工具，采取相關措施，防范于未然。317訪問控制管理實施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內網中系統管理員必須管理好所有的設備口令，不要在不同系統上使用同一口令；口令中最好要有大小寫字母、字符、數字；定期改變自己的口令。318重要文件及內部資料管理定期對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰，進而蒙受重大損失。可選擇功能完善、使用靈活的備份軟件配合各種災難恢復軟件，全面地保護數據的安全。 系統軟件、應用軟件及信息數據要實施保密，并自覺對文件進行分級管理，注意對系統文件、重要的可執行文件進行寫保護。對于重要的服務器，利用RAID5等數據存儲技術加強數據備份和恢復措施；對敏感的設備和數據要建立必要的物理或邏輯隔離措施。32網絡信息管理策略計算機網絡中心設計即公司網絡安全管理策略的建設如下：（1）身份認證中心建設。身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用USB Key內置的密碼算法實現對用戶身份的認證。基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。（2）安全登錄系統。由于網絡開發中心以及財務部門涉及公司的網絡部署以及財務狀況，需要高度保密，只有公司網絡安全主管、財務主管以及公司法人才可以登錄相應的網絡，而安全登錄系統正是提供了對系統和網絡登錄的身份認證，使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。（3）文件加密系統。與普通網絡應用不同的是，業務系統是企業應用的核心。對于業務系統應該具有最高的網絡安全措施，文