《企业网络安全设计方案.docx》由会员分享,可在线阅读,更多相关《企业网络安全设计方案.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业网络安全设计方案.doc 企业网络安全设计方案11 题目:大连理工大学网络高等教育毕业论文网络安全设计 学习中心:XXX 层次:高中起点专科 专业:网络计算机 年级:200X年秋季 学号:200X106329XX 学生:XX 指导教师:孙晰锐 完成日期:20XX年0X月1X 日目录 1、网络安全问题(3) 2、设计的安全性(3) 可用性(3) 机密性(3) 完整性(3) 可控性(3) 可审查性(3) 访问控制(3) 数据加密(3) 安全审计(3) 3、安全设计方案(5) 设备选型(5) 网络安全(7) 访问控制(9) 入侵检测(10) 4、总结(11) 1、网络安全问题 随着互联网的飞速发
2、展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破
3、坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性:授权实体有权访问数据 机密性:信息不暴露给未授权实体或进程 完整性:保证数据不被未授权修改
4、可控性:控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻
5、断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络 化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。 (2)搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer 等网络协议分析工具,在INTERNET网络安
6、全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。 (3)假冒 这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 (4)完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或
7、修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX 企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。 (5)其它网络的攻击 企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系 统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。 (6)管理及操作人员缺乏安全知识 由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞
8、后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。 由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。 (7)雷击 由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压
9、浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。 3、网络安全设计方案 (1)网络拓扑结构图 设备选型 传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何。 免疫网络 免疫网络是企业信息网络的一种安全形式。 “免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。 就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。
10、这样的网络就称之为免疫网络。 免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。 企业网络安全综合设计方案1 XXX企业网络安全综合设计方案 四川川大能士信息安全有限公司 2022年3月 目录 1 XXX企业网络分析(4) 2 网络威胁、风险分析(5) 2.1内部窃密和破坏(5) 2.2 搭线(网络)窃听(5) 2.3 假冒(5) 2.4 完整性破坏(5) 2.5 其它网络的攻击(5) 2.6 管理及操作人员缺乏安全知识(6) 2.7 雷击(6) 3 安全系统建设原则(7) 4 网络安全总体设计(9)
11、4.1 安全设计总体考虑(9) 4.2 网络安全(10) 4.2.1 网络传输(10) 4.2.2 访问控制(12) 4.2.3 入侵检测(13) 4.2.4 漏洞扫描(14) 4.2.5 其它(14) 4.3 应用系统安全(14) 4.3.1 系统平台安全(14) 4.3.2 应用平台安全(14) 4.3.3 病毒防护(15) 4.3.4 数据备份(17) 4.3.5 安全审计(17) 4.3.6 认证、鉴别、数字签名、抗抵赖(18) 4.4 物理安全(18) 4.4.1 两套网络的相互转换(18) 4.4.2 防电磁辐射(18) 4.4.3 网络防雷(19) 4.4.4 重要信息点的物理保
12、护(19) 4.5 安全管理(20) 4.6 安全特性(21) 5 安全设备要求(23) 5.1 安全设备选型原则(23) 5.1.1 安全性要求(23) 5.1.2 可用性要求(23) 5.1.3 可靠性要求(24) 5.2 安全设备的可扩展性(24) 5.3 安全设备的升级(24) 6 技术支持与服务(25) 6.1 保障机制(25) 6.2 咨询服务(25) 6.3 故障响应(25) 6.4 备件仓库(26) 6.5 系统升级(26) 6.6 性能分析(26) 6.7 保修服务(26) 6.8 保修期后的技术支持服务(26) 6.9 网络安全培训(26) 6.9.1网络安全管理培训(26
13、) 6.9.2 现场操作培训(27) 1 XXX企业网络分析 此处请根据用户实际情况做简要分析 2 网络威胁、风险分析 针对XXX企业现阶段网络系统的网络结构和业务流程,结合XXX企业今后进行的网络化应用范围的拓展考虑,XXX企业网主要的安全威胁和安全漏洞包括以下几方面: 2.1内部窃密和破坏 由于XXX企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。 2.2 搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer 等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对XXX企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。