企業(yè)網(wǎng)絡(luò)安全解決方案

年5月29日企業(yè)網(wǎng)絡(luò)安全解決方案文檔僅供參考目錄第1章緒論 11.1課題背景 11.2目的和意義 1第2章需求分析 22.1企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀和威脅 22.1.1 互聯(lián)網(wǎng)安全: 22.1.2 企業(yè)內(nèi)部網(wǎng)安全: 22.1.3 內(nèi)網(wǎng)與內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全: 22.2企業(yè)網(wǎng)絡(luò)安全需求分析 22.2.1 網(wǎng)絡(luò)的可用性: 32.2.2 業(yè)務(wù)系統(tǒng)的可用性: 32.2.3 數(shù)據(jù)機(jī)密性: 32.2.4 訪問(wèn)的可控性: 32.2.5 網(wǎng)絡(luò)操作的可管理性: 3第3章設(shè)備選型及管理 43.1安全產(chǎn)品選型原則 43.2UTM(統(tǒng)一威脅管理) 4第4章總體設(shè)計(jì) 64.1整體結(jié)構(gòu)描述 64.2網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施 64.3邊界防護(hù)和網(wǎng)絡(luò)的隔離 74.4桌面安全防護(hù) 74.4.1 電子簽章系統(tǒng) 74.4.2 安全登錄系統(tǒng) 74.4.3 文件加密系統(tǒng) 84.5身份認(rèn)證 84.6安全電子郵件 8第5章總結(jié) 9參考文獻(xiàn) 9緒論課題背景Internet的迅猛發(fā)展不但帶動(dòng)了信息產(chǎn)業(yè)和國(guó)民經(jīng)濟(jì)的快速增長(zhǎng),也為企業(yè)的發(fā)展帶來(lái)了重大商機(jī)。以Internet為代表的信息技術(shù)的發(fā)展不但直接影響著企業(yè)科技的創(chuàng)新能力和生產(chǎn)效率的提高,也逐漸成為提高企業(yè)競(jìng)爭(zhēng)力的重要力量。隨著中小型企業(yè)信息化建設(shè)的逐步完善,企業(yè)業(yè)務(wù)對(duì)于網(wǎng)絡(luò)的依賴(lài)性也越來(lái)越大,但同時(shí)也受到互聯(lián)網(wǎng)絡(luò)的安全威脅,如黑客和病毒攻擊,因此對(duì)于網(wǎng)絡(luò)安全的需求也越來(lái)越強(qiáng)烈。目的和意義一方面,隨著計(jì)算機(jī)技術(shù)、信息技術(shù)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必將成為企業(yè)各項(xiàng)業(yè)務(wù)的關(guān)鍵平臺(tái)。另一方面,隨著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)必將發(fā)揮越來(lái)越重要的作用。網(wǎng)絡(luò)安全系統(tǒng)的建立,必將為企業(yè)的業(yè)務(wù)信息系統(tǒng)、行政管理、信息交流提供一個(gè)安全的環(huán)境和完整平臺(tái)。經(jīng)過(guò)先進(jìn)技術(shù)建立起的網(wǎng)絡(luò)安全系統(tǒng),能夠從根本上解決來(lái)自網(wǎng)絡(luò)外部及內(nèi)部對(duì)網(wǎng)絡(luò)安全造成的各種威脅,以最優(yōu)秀的網(wǎng)絡(luò)安全整體解決方案為基礎(chǔ)形成一個(gè)更加完善的業(yè)務(wù)系統(tǒng)和辦公自動(dòng)化系統(tǒng)。利用高性能的網(wǎng)絡(luò)安全環(huán)境,提供整體防病毒、防火墻、防黑客、數(shù)據(jù)加密、身份驗(yàn)證等于一身的功能,有效地保證秘密、機(jī)密文件的安全傳輸,嚴(yán)格地制止經(jīng)濟(jì)情報(bào)失、泄密現(xiàn)象發(fā)生,避免重大經(jīng)濟(jì)案件的發(fā)生。需求分析企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀和威脅當(dāng)今無(wú)論是中小企業(yè)還是大企業(yè),都廣泛使用信息技術(shù),特別是網(wǎng)絡(luò)技術(shù),以不斷提高企業(yè)競(jìng)爭(zhēng)力。企業(yè)信息設(shè)施在提高企業(yè)效益和方便企業(yè)管理的同時(shí),也給企業(yè)帶來(lái)了安全隱患。網(wǎng)絡(luò)的安全問(wèn)題一直困擾著企業(yè)的發(fā)展,給企業(yè)所造成的損失不可估量。由于計(jì)算機(jī)網(wǎng)絡(luò)特有的開(kāi)放性,網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重。企業(yè)所面臨的安全威脅主要有以下幾個(gè)方面:互聯(lián)網(wǎng)安全:企業(yè)經(jīng)過(guò)Internet能夠把遍布世界各地的資源互聯(lián)互享,但因?yàn)槠溟_(kāi)放性,在Internet上傳輸?shù)男畔⒃诎踩陨喜豢杀苊獾貢?huì)面臨很多危險(xiǎn)。當(dāng)越來(lái)越多的企業(yè)把自己的商務(wù)活動(dòng)放到網(wǎng)絡(luò)上后,針對(duì)網(wǎng)絡(luò)系統(tǒng)的各種非法入侵、病毒等活動(dòng)也隨之增多。例如黑客攻擊、病毒傳播、垃圾郵件泛濫、信息泄露等已成為影響廣泛的安全威脅。企業(yè)內(nèi)部網(wǎng)安全:企業(yè)中大量員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用,降低了生產(chǎn)效率、消耗了企業(yè)的網(wǎng)絡(luò)資源,并引入病毒和木馬程序等。發(fā)生在企業(yè)網(wǎng)絡(luò)上的病毒事件,據(jù)調(diào)查90％是經(jīng)由電子郵件或?yàn)g覽網(wǎng)頁(yè),進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)并傳播的。垃圾郵件和各種惡意程序,造成企業(yè)網(wǎng)絡(luò)擁塞癱瘓,甚至系統(tǒng)崩潰,造成難以彌補(bǔ)的巨大損失。內(nèi)網(wǎng)與內(nèi)網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)之間的連接安全:隨著企業(yè)的不斷發(fā)展壯大,逐漸形成了企業(yè)總部、異地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎樣處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全,既要保證信息的及時(shí)共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中需要及時(shí)解決的問(wèn)題。同時(shí)異地分支機(jī)構(gòu)、移動(dòng)辦公人員與總部之間的有線和無(wú)線網(wǎng)絡(luò)連接安全直接影響著企業(yè)的運(yùn)行效率。企業(yè)網(wǎng)絡(luò)安全需求分析企業(yè)希望能具有競(jìng)爭(zhēng)力并提高生產(chǎn)效率,就必須對(duì)市場(chǎng)需求作出及時(shí)有效的響應(yīng),從而引發(fā)了依賴(lài)于互聯(lián)網(wǎng)來(lái)獲取、共享信息的趨勢(shì),這樣才能進(jìn)一步提高生產(chǎn)效率進(jìn)而推動(dòng)企業(yè)的發(fā)展。然而,有網(wǎng)絡(luò)的地方就有安全的問(wèn)題。過(guò)去的網(wǎng)絡(luò)大多是封閉式的,因而比較容易確保其安全性,簡(jiǎn)單的安全性設(shè)備就足以承擔(dān)其任務(wù)。然而當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了巨大的變化,確保網(wǎng)絡(luò)的安全性和可用性已經(jīng)成為更加復(fù)雜而且必須的任務(wù)。用戶(hù)每一次連接到網(wǎng)絡(luò)上,原有的安全狀況就會(huì)發(fā)生變化。因此很多企業(yè)頻繁地受到網(wǎng)絡(luò)的安全威脅甚至損害。因?yàn)楫?dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性,依靠早期的簡(jiǎn)單安全設(shè)備已經(jīng)對(duì)這些問(wèn)題無(wú)能為力。為了應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn),企業(yè)一般會(huì)使用多種網(wǎng)絡(luò)硬件設(shè)備,包括防火墻、路由器、轉(zhuǎn)接器、遠(yuǎn)程接入設(shè)備等。大多數(shù)公司的網(wǎng)絡(luò)相當(dāng)復(fù)雜,這些網(wǎng)絡(luò)需要所有這些設(shè)備來(lái)確保正確的路由以及提供快速和可靠的網(wǎng)絡(luò)性能。在這些硬件的基礎(chǔ)上,再結(jié)合多種軟件解決方案,如病毒防護(hù)、入侵檢測(cè)(IDS)、入侵防御(IPS)、VPN網(wǎng)關(guān)和內(nèi)容過(guò)濾(如URL過(guò)濾)等,就構(gòu)成了一個(gè)常規(guī)的網(wǎng)絡(luò)安全解決方案。但網(wǎng)絡(luò)安全產(chǎn)品不但僅需要簡(jiǎn)單的安裝,更重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。歸結(jié)起來(lái),應(yīng)充分保證以下幾點(diǎn):網(wǎng)絡(luò)的可用性:網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)系統(tǒng)的載體,安全體系必須防止病毒入侵及破壞,建立完善統(tǒng)一的病毒防范體系,維護(hù)網(wǎng)內(nèi)計(jì)算機(jī)的運(yùn)行。業(yè)務(wù)系統(tǒng)的可用性:中小企業(yè)主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行十分關(guān)鍵,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會(huì)遭受來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)、惡意入侵和破壞。數(shù)據(jù)機(jī)密性:對(duì)于中小企業(yè)網(wǎng)絡(luò),保密數(shù)據(jù)的泄密將直接帶來(lái)企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證機(jī)密信息在存儲(chǔ)與傳輸時(shí)的保密性。有效攔截黑客程序的破壞,準(zhǔn)確記錄和上報(bào)攻擊信息,保障重要數(shù)據(jù)安全。訪問(wèn)的可控性:分層次的安全策略,針對(duì)不同職能部門(mén)確立相應(yīng)的安全防范標(biāo)準(zhǔn)。對(duì)關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問(wèn)必須得到有效的控制,這要求系統(tǒng)能夠可靠確認(rèn)訪問(wèn)者的身份,謹(jǐn)慎授權(quán),并對(duì)任何訪問(wèn)進(jìn)行跟蹤記錄。網(wǎng)絡(luò)操作的可管理性:簡(jiǎn)單高效的網(wǎng)絡(luò)安全管理模式,清晰統(tǒng)一的責(zé)任分工與合作。對(duì)于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審計(jì)和日志功能,對(duì)相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。專(zhuān)業(yè)及時(shí)的災(zāi)難恢復(fù)系統(tǒng),將受災(zāi)后的損失減少到最小。設(shè)備選型及管理安全產(chǎn)品選型原則在進(jìn)行企業(yè)網(wǎng)絡(luò)安全方案的產(chǎn)品選型時(shí),要求安全產(chǎn)品至少應(yīng)包含以下功能:·訪問(wèn)控制:經(jīng)過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。

·檢查安全漏洞:經(jīng)過(guò)對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無(wú)效。

·攻擊監(jiān)控:經(jīng)過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)(如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等)。

·加密通訊:主動(dòng)的加密通訊,可使攻擊者不能了解、修改敏感信息。

·認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶(hù)。

·備份和恢復(fù):良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

·多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo)。

·隱藏內(nèi)部信息:使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。

·設(shè)立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控,保護(hù)及緊急情況服務(wù)。UTM(統(tǒng)一威脅管理)企業(yè)用戶(hù)當(dāng)前急需的是建立一個(gè)規(guī)范的安全管理平臺(tái),對(duì)各種安全產(chǎn)品進(jìn)行統(tǒng)一管理。于是,UTM(統(tǒng)一威脅管理)產(chǎn)品應(yīng)運(yùn)而生,而且正在逐步得到市場(chǎng)的認(rèn)可。UTM安全、管理方便的特點(diǎn),是安全設(shè)備最大的好處,而這往往也是企業(yè)對(duì)產(chǎn)品的主要需求。UTM產(chǎn)品靈活、易于管理,使企業(yè)能夠在一個(gè)統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設(shè)施,相對(duì)于提供單一專(zhuān)有功能的安全設(shè)備,UTM在一個(gè)通用的平臺(tái)上提供多種安全功能。一個(gè)典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測(cè)等很多常見(jiàn)的安全功能,而用戶(hù)既能夠選擇具備全面功能的UTM設(shè)備,也能夠根據(jù)自己的需要選擇某幾個(gè)方面的功能。更為重要的是,用戶(hù)能夠隨時(shí)在這個(gè)平臺(tái)上增加或調(diào)整安全功能,而任何時(shí)候這些安全功能都能夠很好地協(xié)同工作。整合式的UTM產(chǎn)品相對(duì)于單獨(dú)購(gòu)置各種功能,能夠有效地降低成本投入。且由于UTM的管理比較統(tǒng)一,能夠大大降低在技術(shù)管理方面的要求,彌補(bǔ)企業(yè)在技術(shù)力量上的不足。這使得企業(yè)能夠最大限度地降低對(duì)安全供應(yīng)商的技術(shù)服務(wù)要求,網(wǎng)絡(luò)安全方案可行性更強(qiáng)。圖SEQ圖表\*ARABIC1企業(yè)網(wǎng)絡(luò)安全體系示意圖圖SEQ圖表\*ARABIC2基于UTM的網(wǎng)絡(luò)安全體系架構(gòu)總體設(shè)計(jì)整體結(jié)構(gòu)描述本方案采用立體多層次的安全系統(tǒng)架構(gòu)。結(jié)合企業(yè)的網(wǎng)絡(luò)特征,采用UTM整體安全網(wǎng)絡(luò)架構(gòu)方案。(如圖1所示)這種多層次的安全體系在網(wǎng)絡(luò)邊界設(shè)置防火墻和VPN,用基于狀態(tài)檢測(cè)的防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。VPN為遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的VPN高速接入,保護(hù)數(shù)據(jù)傳輸過(guò)程中的安全,實(shí)現(xiàn)用戶(hù)對(duì)企業(yè)內(nèi)部網(wǎng)的受控訪問(wèn)。同時(shí)還有針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施,這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。對(duì)于內(nèi)網(wǎng)安全,特別是移動(dòng)辦公,客戶(hù)端隔離技術(shù)將對(duì)有安全問(wèn)題的主機(jī)進(jìn)行隔離,以免其對(duì)整個(gè)網(wǎng)絡(luò)造成更大范圍的影響,這給整個(gè)企業(yè)網(wǎng)絡(luò)提供了安全保障。UTM提供高級(jí)別的安全性,能夠檢測(cè)到異常操作并立即關(guān)閉可疑的通訊。(詳細(xì)的網(wǎng)絡(luò)架構(gòu)圖如圖2所示。)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施證書(shū)認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái),都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。當(dāng)前,解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開(kāi)密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴(lài)等安全問(wèn)題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶(hù)提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。經(jīng)過(guò)建設(shè)證書(shū)認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái),能夠經(jīng)過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo):身份認(rèn)證:確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中經(jīng)過(guò)數(shù)字證書(shū)來(lái)確認(rèn)對(duì)方的身份。數(shù)據(jù)的機(jī)密性:對(duì)敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書(shū)加密來(lái)完成。數(shù)據(jù)的完整性:確保通信信息不被破壞,經(jīng)過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。不可抵賴(lài)性:防止通信對(duì)方否認(rèn)自己的行為,確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé),經(jīng)過(guò)數(shù)字簽名來(lái)完成,數(shù)字簽名可作為法律證據(jù)。邊界防護(hù)和網(wǎng)絡(luò)的隔離VPN虛擬專(zhuān)用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)經(jīng)過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專(zhuān)用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩?。?jīng)過(guò)安裝部署VPN系統(tǒng),能夠?yàn)槠髽I(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,經(jīng)過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道,使得合法的用戶(hù)能夠安全的訪問(wèn)企業(yè)的私有數(shù)據(jù),用以代替專(zhuān)線方式,實(shí)現(xiàn)移動(dòng)用戶(hù)、遠(yuǎn)程LAN的安全連接。集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù),能夠?qū)Χ喾N網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。集中的安全策略管理能夠?qū)φ麄€(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。桌面安全防護(hù)桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對(duì)客戶(hù)端安全的整體解決方案。電子簽章系統(tǒng)利用非對(duì)稱(chēng)密鑰體系保證了文檔的完整性和不可抵賴(lài)性。采用組件技術(shù),能夠無(wú)縫嵌入OFFICE系統(tǒng),用戶(hù)能夠在編輯文檔后對(duì)文檔進(jìn)行簽章,或是打開(kāi)文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。安全登錄系統(tǒng)安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才能夠登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶(hù)如果需要離開(kāi)計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。文件加密系統(tǒng)文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中,加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲(chǔ)數(shù)據(jù)的安全性。身份認(rèn)證身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,能夠存儲(chǔ)用戶(hù)的密鑰或