公司网络安全方案设计书 网络安全方案设计书 公司网络安全隐患与需求分析 1. 网络现状 公司计算机通过内部网相互连接与外网互联,在内部网络中,各服务部门计算机在同 一网段,通过交换机连接。如下图所示: 1.2 安全隐患分析 1.2.1 应用系统的安全隐患 应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变 化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态 的。需要对不同的 1.2.4 病毒侵害 一旦有主机受病毒感染,病毒程序 就完全可能在极短的时间内迅速扩散,传播到网络上的其他主机,可能造成信息泄漏、 文件丢失、机器不能正常运行等。 2.1 需求分析 公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客 户机。企业分为财务部门和综合部门,需要他们之间相互隔离。同时由于考虑到Intern et 的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下: 1.根据公司现有的网络设备组网规划; 2.保护网络系统的可用性; 3.保护网络系统服务的连续性; 4.防范网络资源的非法访问及非授权访问; 5.防范入侵 者的恶意攻击与破坏; 6.保护企业信息通过网上传输过程中的机密性、完整性; 7.防范病毒的侵害; 8.实现网络的安全管理。 通过了解公司的需求与现状,为实现网络公司的网络安全建设实施网络系统改造,提 高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢 失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机 中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪, 防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服 务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 (1)构建良好的环境确保企业物理设备的安全 (2)划分VLAN控制内网安全 (3)安装防火墙体系 (4)安装防病毒服务器 (5)加强企业对网络资源的管理 如前所述,公司信息系统存在较大的风险,网络信息安全的需求主要体现在如下几点 : (1) 公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的 安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全 防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使公司计算机 网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要 制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好 的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前 、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是公司面临的重要课 题。 网络信息安全策略及整体方案 信息安全的目标是通过系统及网络安全配置,应用防火墙及入侵检测、安全扫描、网 络防病毒等技术,对出入口的信息进行严格的控制;对网络中所有的装置进行检测、分 析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有 效地防止黑客入侵和病毒扩散,监控整个网络的运行状况。 3.1 方案综述 公司整个网络安全系统从物理上划分4个部分,即计算机网络监控中心、财务部、综 合部及服务器区。每个安全区域有一套相对独立的网络安全系统,这些相对独立的网络 安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制,防 止安全事件扩散,将事件控制在最小范围。通过对公司现状的分析与研究以及对当前安 全技术的研究分析,我们制定如下企业信息安全策略。 3.1.1 防火墙实施方案 根据网络整体安全及保证财务部的安全考虑,采用2台cisco pix535防火墙,一防火墙对财务部与企业内网进行隔离,另一防火墙对Internet 与企业内网之间进行隔离,其中内服务器对外服务器连接在防火墙的 DMZ 区与内、外网间进行隔离。 防火墙设置原则如下所示:建立合理有效的安全过滤原则对网络数据包的协议、端口、 源/目的地址、流向进行审核,严格控制外网用户非法访问;防火墙DMZ区访问控制,只 打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务,防范外部来的拒绝服务攻击;定期查看防火墙访问日志;对防火 墙的管理员权限严格控制。 3.1.2 Internet 连接与备份方案 防火墙经外网交换机接入 Internet。此区域当前存在一定的安全隐患:首先,防火墙作为企业接入Internet的出 口,占有及其重要的作用,一旦此防火墙出现故
