一、企業安全背景與現狀
全球資訊網的出現和資訊化社會的來臨,使得社會的生產方式發生深刻的變化。面對著激烈的市場競爭,公司對資訊的收集、傳輸、加工、存貯、查詢以及**決策等工作量越來越大,原來的電腦只是停留在單機工作的模式,各科室間的資料不能實現共享,致使工作效率大大下降,純粹手工管理方式和手段已不能適應需求,這將嚴重妨礙公司的生存和發展。
1.企業組織機構和資訊系統簡介
該企業包括生產,市場,財務,資源等部門.
該企業的的資訊系統包括公司內部員工資訊交流,部門之間的訊息公告,還有企業總部和各地的分公司、辦事處以及出差的員工需要實時地進行資訊傳輸和資源共享等。
2. 使用者安全需求分析
在日常的企業辦公中,企業總部和各地的分公司、辦事處以及出差的員工需要實時地進行資訊傳輸和資源共享等,企業之間的業務來往越來越多地依賴於網路。但是由於網際網路的開放性和通訊協議原始設計的侷限性影響,所有資訊採用明文傳輸,導致網際網路的安全性問題日益嚴重,非法訪問、網路攻擊、資訊竊取等頻頻發生,給公司的正常執行帶來安全隱患,甚至造成不可估量的損失。
3. 資訊保安威脅型別
目前企業資訊化的安全威脅主要來自以下幾個方面:
(1)、來自網路攻擊的威脅,會造成我們的伺服器或者工作站癱瘓。
(2)、來自資訊竊取的威脅,造成我們的商業機密洩漏,內部伺服器被非法訪問,破壞傳輸資訊的完整性或者被直接假冒。
(3)、來自公共網路中計算機病毒的威脅,造成伺服器或者工作站被計算機病毒感染,而使系統崩潰或陷入癱瘓,甚至造成網路癱瘓。
(4)、 管理及操作人員缺乏安全知識。由於資訊和網路技術發展迅猛,資訊的應用和安全技術相對滯後,使用者在引入和採用安全裝置和系統時,缺乏全面和深入的培訓和學習,對資訊保安的重要性與技術認識不足,很容易使安全裝置系統成為擺設,不能使其發揮正確的作用。如本來對某些通訊和操作需要限制,為了方便,設定成全開放狀態等等,從而出現網路漏洞。
(5)、 雷擊。由於網路系統中涉及很多的網路裝置、終端、線路等,而這些都是通過通訊電纜進行傳輸,因此極易受到雷擊,造成連鎖反應,使整個網路癱瘓,裝置損壞,造成嚴重後果。
二.企業安全需求分析
1、對資訊的保護方式進行安全需求分析
該企業目前已建成覆蓋整個企業的網路平台,網路裝置以cisco為主。在資料通訊方面,以企業所在地為中心與數個城市通過1m幀中繼專線實現點對點連線,其他城市和移動使用者使用adsl、cdma登入網際網路後通過vpn連線到企業內網,或者通過pstn撥號連線。在公司的網路平台上執行著辦公自動化系統、sap的erp系統、電子郵件系統、網路**會議系統、voip語音系統、企業web**,以及fhs自動加油系統介面、網際網路接入、網上銀行等數位化應用,對企業的日常辦公和經營管理起到重要的支撐作用。
根據企業網路現狀及發展趨勢,對資訊的保護方式進行安全需求分析主要從以下幾個方面進行考慮:
1、網路傳輸保護:主要是資料加密,防竊聽保護。
2、密碼賬戶資訊保護:對網路銀行和客戶資訊進行保護,防止洩露
3、網路病毒防護:採用網路防病毒系統,並對巨暈網內的一些可能攜帶病毒的裝置進行防護與查殺。
4、廣域網接入部分的入侵檢測:採用入侵檢測系統
5、系統漏洞分析:採用漏洞分析裝置,並及時對已知漏洞修補。
(2)與風險的對抗方式進行安全需求分析
1、定期安全審計:主要包括兩部分:內容審計和網路通訊審計
2、重要資料的備份:對一些重要交易,客戶資訊備份
3、網路安全結構的可伸縮性:包括安全裝置的可伸縮性,即能根據使用者的需要隨時進行規模、功能擴充套件。
4、網路裝置防雷
5、重要資訊點的防電磁洩露
三、安全解決方案
1、物理安全和執行安全
企業網路系統的物理安全要求是保護計算機網路裝置、設施以及其它**免遭**、水災、火災和雷擊等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
企業的執行安全即計算機與網路裝置執行過程中的系統安全,是指對網路與資訊系統的執行過程和執行狀態的保護。主要的保護方式有防火牆與物理隔離、風險分析與漏洞掃瞄、應急響應、病毒防治、訪問控制、安全審計、入侵檢測、源路由過濾、降級使用、資料備份等。
2、選擇和購買安全硬體和軟體產品
(1)、硬體產品主要是防火牆的選購。對於防火牆的選購要具備明確防火牆的保護物件和需求的安全等級、 根據安全級別確定防火牆的安全標準 、 選用功能適中且能擴充套件和安全有保障的防火牆 、 能滿足不同平台需求,並可整合於網路裝置中、應能提供良好地售後服務的產品等要求。
(2)、 軟體產品主要是防毒軟體的選擇,本方案中在選擇防毒軟體時應當注意幾個方面的要求:具有卓越的病毒防治技術、程式核心安全可靠、對付國產和國外病毒能力超群、全中文產品,系統資源占用低,效能優越、可管理性高,易於使用、產品整合度高、高可靠性、可調配系統資源佔用率、便捷的網路化自動公升級等優點。
(3)、產品推薦
3、網路規劃與子網劃分
組網規則,規劃網路要規劃到未來的三到五年。並且在未來,企業的電腦會不斷增加。比較環形、星形、總線形三種基本拓撲結構,星形連線在將使用者接入網路時具有更大的靈活性。
當系統不斷發展或系統發生重大變化時,這種優點將變得更加突出,所以選擇星形網路最好。
(1)、實際的具體的設計拓撲圖如下
(2)、子網的劃分和位址的分配
經理辦子網(vlan2):192.168.1.0 子網掩碼: 255.255.255.0
閘道器:192.168.1.1
生產子網(vlan3):192.168.2.0 子網掩碼: 255.255.255.0
閘道器:192.168.2.1
市場子網(vlan4): 192.168.3.0 子網掩碼: 255.255.255.0
閘道器:192.168.3.1
財務子網(vlan5):192.168.4.0 子網掩碼: 255.255.255.0
閘道器:192.168.4.1
資源子網(vlan6): 192.168.5.0 子網掩碼: 255.255.255.0
閘道器:192.168.5.1
4、網路隔離與訪問控制
(1)、每一級的設定及管理方法相同。即在每一級的中心網路安裝一台vpn裝置和一台vpn認證伺服器(vpn-ca),在所屬的直屬單位的網路接入處安裝一台vpn裝置,由上級的vpn認證伺服器通過網路對下一級的vpn裝置進行集中統一的網路化管理。
下屬機構的vpn裝置放置於內部網路與路由器之間,其配置、管理由上級機構通過網路實現,下屬機構不需要做任何的管理,僅需要檢查是否通電即可。由於安全裝置屬於特殊的網路裝置,其維護、管理需要相應的專業人員,而採取這種管理方式以後,就可以降低下屬機構的維護成本和對專業技術人員的要求,這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。
由於網路安全的是乙個綜合的系統工程,是由許多因素決定的,而不是僅僅採用高檔的安全產品就能解決,因此對安全裝置的管理就顯得尤為重要。由於一般的安全產品在管理上是各自管理,因而很容易因為某個裝置的設定不當,而使整個網路出現重大的安全隱患。而使用者的技術人員往往不可能都是專業的,因此,容易出現上述現象;同時,每個維護人員的水平也有差異,容易出現相互配置上的錯誤使網路中斷。
所以,在安全裝置的選擇上應當選擇可以進行網路化集中管理的裝置,這樣,由少量的專業人員對主要安全裝置進行管理、配置,提高整體網路的安全性和穩定性。
(2)、訪問許可權控制策略
a、經理辦vlan2可以訪問其餘所有vlan。
b、財務vlan5可以訪問生產vlan3、市場vlan4、資源vlan6,不可以訪問經理辦vlan2。
c、市場vlan4、生產vlan3、資源vlan6都不能訪問經理辦vlan2、財務vlan5。
d、生產vlan4和銷售vlan3可以互訪。
5、作業系統安全增強
企業各級網路系統平台安全主要是指作業系統的安全。由於目前主要的作業系統平台是建立在國外產品的基礎上,因而存在很大的安全隱患,因此要加強對系統後門程式的管理,對一些可能被利用的後門程式要及時進行系統的補丁公升級。
企業網路系統在主要的應用服務平台中採用國內自主開發的安全作業系統,針對通用os的安全問題,對作業系統平台的登入方式、檔案系統、網路傳輸、安全日誌審計、加密演算法及演算法替換的支援和完整性保護等方面進行安全改造和效能增強。一般使用者執行在pc機上的nt平台,在選擇性地用好nt安全機制的同時,應加強監控管理。
6、應用系統安全
企業網路系統的應用平台安全,一方面涉及使用者進入系統的身份鑑別與控制,以及使用網路資源的許可權管理和訪問控制,對安全相關操作進行的審計等。其中的使用者應同時包括各級管理員使用者和各類業務使用者。另一方面涉及各種資料庫系統、www服務、e-mail服務、ftp和tel***應用中伺服器系統自身的安全以及提供服務的安全。
在選擇這些應用系統時,應當盡量選擇國內軟體開發商進行開發,系統型別也應當盡量採用國內自主開發的應用系統。作為乙個完善的通用安全系統,應當包含完善的安全措施,定期的安全評估及安全分析同樣相當重要。由於網路安全系統在建立後並不是長期保持很高的安全性,而是隨著時間的推移和技術的發展而不斷下降的,同時,在使用過程中會出現新的安全問題,因此,作為安全系統建設的補充,採取相應的措施也是必然。
本方案中,採用漏洞掃瞄裝置對網路系統進行定期掃瞄,對存在的系統漏洞、網路漏洞、應用程式漏洞、作業系統漏洞等進行探測、掃瞄,發現相應的漏洞並告警,自動提出解決措施,或參考意見,提醒網路安全管理員作好相應調整。
企業資訊整合整體解決方案
目錄1.前言 2 2.資訊整合的意義 2 3.基本原則 2 4.核心功能 3 4.1 儲存中心 3 4.2 資訊交換中心 3 4.3 資料中心 4 4.4 資訊分析中心 4 4.5 整合業務中心 4 4.6 資訊展現中心 4 5.技術架構 4 5.1 訪問接入層 5 5.2 資訊門戶層 5 5.3 ...
企業資訊整合整體解決方案 實用
目錄1.前言 2 2.資訊整合的意義 2 3.基本原則 2 4.核心功能 3 4.1 儲存中心 3 4.2 資訊交換中心 3 4.3 資料中心 4 4.4 資訊分析中心 4 4.5 整合業務中心 4 4.6 資訊展現中心 4 5.技術架構 4 5.1 訪問接入層 5 5.2 資訊門戶層 5 5.3 ...
整體防雷方案設計初探
摘要 本文通過對廣東省佛山市三水區的建築物的整體防雷的方案,綜合性防雷方案設計流程和綜合性防雷方案設計時需要考慮及設計的具體內容,有效的解決了某個區域 建築群 的防雷技術設計問題,為下一步的科學施工奠定基礎,為防雷減災提供保障。關鍵詞 整體防雷方案設計 三水區,地處廣東省中部,市境西北部,珠江三角洲...