企業網路安全綜合設計方案

***企業網路安全

綜合設計方案

四川川大能士資訊保安****

2023年3月

目錄1 ***企業網路分析 4

2 網路威脅、風險分析 5

2.1內部竊密和破壞 5

2.2 搭線（網路）竊聽 5

2.3 假冒 5

2.4 完整性破壞 5

2.5 其它網路的攻擊 5

2.6 管理及操作人員缺乏安全知識 6

2.7 雷擊 6

3 安全系統建設原則 7

4 網路安全總體設計 9

4.1 安全設計總體考慮 9

4.2 網路安全 10

4.2.1 網路傳輸 10

4.2.2 訪問控制 12

4.2.3 入侵檢測 13

4.2.4 漏洞掃瞄 14

4.2.5 其它 14

4.3 應用系統安全 14

4.3.1 系統平台安全 14

4.3.2 應用平台安全 14

4.3.3 病毒防護 15

4.3.4 資料備份 17

4.3.5 安全審計 17

4.3.6 認證、鑑別、數字簽名、抗抵賴 18

4.4 物理安全 18

4.4.1 兩套網路的相互轉換 18

4.4.2 防電磁輻射 18

4.4.3 網路防雷 19

4.4.4 重要資訊點的物理保護 19

4.5 安全管理 20

4.6 安全特性 21

5 安全裝置要求 23

5.1 安全裝置選型原則 23

5.1.1 安全性要求 23

5.1.2 可用性要求 23

5.1.3 可靠性要求 24

5.2 安全裝置的可擴充套件性 24

5.3 安全裝置的公升級 24

6 技術支援與服務 25

6.1 保障機制 25

6.2 諮詢服務 25

6.3 故障響應 25

6.4 備件倉庫 26

6.5 系統公升級 26

6.6 效能分析 26

6.7 保修服務 26

6.8 保修期後的技術支援服務 26

6.9 網路安全培訓 26

6.9.1網路安全管理培訓 26

6.9.2 現場操作培訓 27

此處請根據使用者實際情況做簡要分析

針對***企業現階段網路系統的網路結構和業務流程，結合***企業今後進行的網路化應用範圍的拓展考慮，***企業網主要的安全威脅和安全漏洞包括以下幾方面：

由於***企業網路上同時接入了其它部門的網路系統，因此容易出現其它部門不懷好意的人員（或外部非法人員利用其它部門的計算機）通過網路進入內部網路，並進一步竊取和破壞其中的重要資訊（如領導的網路帳號和口令、重要檔案等），因此這種風險是必須採取措施進行防範的。

這種威脅是網路最容易發生的。攻擊者可以採用如sniffer等網路協議分析工具，在inter***網路安全的薄弱處進入inter***，並非常容易地在資訊傳輸過程中獲取所有資訊（尤其是敏感資訊）的內容。對***企業網路系統來講，由於存在跨越inter***的內部通訊（與上級、下級）這種威脅等級是相當高的，因此也是本方案考慮的重點。

這種威脅既可能來自***企業網內部使用者，也可能來自inter***內的其它使用者。如系統內部攻擊者偽裝成系統內部的其他正確使用者。攻擊者可能通過冒充合法系統使用者，誘騙其他使用者或系統管理員，從而獲得使用者名稱/口令等敏感資訊，進一步竊取使用者網路內的重要資訊。

或者內部使用者通過假冒的方式獲取其不能閱讀的秘密資訊。

這種威脅主要指資訊在傳輸過程中或者儲存期間被篡改或修改，使得資訊/資料失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由於***企業網內有許多重要資訊，，從而影響工作的正常進行。

***企業網路系統是接入到inter***上的，這樣就有可能會遭到inter***上黑客、惡意使用者等的網路攻擊，如試圖進入網路系統、竊取敏感資訊、破壞系統資料、設定惡意**、使系統服務嚴重降低或癱瘓等。因此這也是需要採取相應的安全措施進行防範。

由於資訊和網路技術發展迅猛，資訊的應用和安全技術相對滯後，使用者在引入和採用安全裝置和系統時，缺乏全面和深入的培訓和學習，對資訊保安的重要性與技術認識不足，很容易使安全裝置/系統成為擺設，不能使其發揮正確的作用。如本來對某些通訊和操作需要限制，為了方便，設定成全開放狀態等等，從而出現網路漏洞。

由於網路安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全裝置能夠盡量發揮其作用，避免使用上的漏洞。

由於網路系統中涉及很多的網路裝置、終端、線路等，而這些都是通過通訊電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網路癱瘓，裝置損壞，造成嚴重後果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪湧電壓的損壞，有必要對整個網路系統採取相應的防雷措施。

注：部分描述地方需要進行調整，請根據使用者實際情況敘述。

***企業網路系統安全建設原則為：

1)系統性原則

***企業網路系統整個安全系統的建設要有系統性和適應性，不因網路和應用技術的發展、資訊系統攻防技術的深化和演變、系統公升級和配置的變化，而導致在系統的整個生命期內的安全保護能力和抗禦風險的能力降低。

2）技術先進性原則

***企業網路系統整個安全系統的設計採用先進的安全體系進行結構性設計，選用先進、成熟的安全技術和裝置，實施中採用先進可靠的工藝和技術，提高系統執行的可靠性和穩定性。

3）管理可控性原則

系統的所有安全裝置（管理、維護和配置）都應自主可控；系統安全裝置的採購必須有嚴格的手續；安全裝置必須有相應機構的認證或許可標記；安全裝置**商應具備相應資質並可信。

安全系統實施方案的設計和施工單位應具備相應資質並可信。

4）適度安全性原則

系統安全方案應充分考慮保護物件的價值與保護成本之間的平衡性，在允許的風險範圍內儘量減少安全服務的規模和複雜性，使之具有可操作性，避免超出使用者所能理解的範圍，變得很難執行或無法執行。

5）技術與管理相結合原則

***企業網路系統安全建設是乙個複雜的系統工程，它包括產品、過程和人的因素，因此它的安全解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題的，必須堅持技術和管理相結合的原則。

6）測評認證原則

***企業網路系統作為重要的政務系統，其系統的安全方案和工程設計必須通過國家有關部門的評審，採用的安全產品和保密裝置需經過國家主管理部門的認可。

7）系統可伸縮性原則

***企業網路系統將隨著網路和應用技術的發展而發生變化，同時資訊保安技術也在發展，因此安全系統的建設必須考慮系統可公升級性和可伸縮性。重要和關鍵的安全裝置不因網路變化或更換而廢棄。

乙個網路系統的安全建設通常包括許多方面，包括物理安全、資料安全、網路安全、系統安全、安全管理等，而乙個安全系統的安全等級，又是按照木桶原理來實現的。根據***企業各級內部網路機構、廣域網結構、和**網路管理、應用業務系統的特點，本方案主要從以下幾個方面進行安全設計：

● 網路系統安全；

● 應用系統安全；

● 物理安全；

● 安全管理；

企業網路安全綜合設計方案

小型企業網路安全方案設計

小型企業網路安全方案設計

網路安全設計方案

企業網路安全綜合設計方案

小型企業網路安全方案設計

小型企業網路安全方案設計

網路安全設計方案

相關推薦