企业网络信息安全整体解决方案设计.docx

1、企业网络信息安全整体解决方案设计企业网络信息安全整体解决方案随着计算机技术的飞速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的部网络的部业务处理、办公自动化等，发展到基于复杂的部网企业外部网和全球互联网的企业级计算机处理系统和世界围的信息共享。在计算机连接能力连接围大幅度提高的同时，基于网络连接的部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题，我们可以从几方面入手：首先，完善、优化企业部网络架构；其次，构建全方位的数据泄漏防护系统；再次，建立一体化的本地/异地备份与容灾体系；最后，建立防火墙、防入侵及一体化安全网关

2、解决方案，达到净化企业部网络环境提升员工工作效率的目的。一、完善、优化企业部网络架构在规划和设计企业总体网络架构时，应从企业应用为最基本出发点，将企业当前和各类应用和将来会上的应用都必需全部考虑进来，特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策，以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性，可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业部网络架构。1、域结构

3、管理模式在很多小型企业公司部的网络还是采用对等网模式（工作组），在这种工作模式下任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。同时也无法对网络部的计算机进行集中化的管理，导致数据泄漏。这时候我们就需要在公司至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络

4、时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外，还可以对属于域的所有计算机的操作权限（安装/卸载软件、更改IP地址、更改计算机设置等）进行有效的控制，以达到集中化管理的目的。2、网络拓扑结构设计组网方式：树形组网方案该方案引入二级联网方式，骨干层交换机采用了高性能的千兆级二层交换机，连接服务

5、器、路由器与网络打印机。二级交换机采用24+2口交换机，其中的两个端口为1000M，用于接入骨干交换机，其余10/100M端口连接相对分散的桌面用户。方案特点：二级联网方式更好的将数据通过骨干交换机分散处理，它与服务器之间通过1000M高速交换端口连接，以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则采用了快速以太网通道（FEC）技术，有效的扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起，在全双工工作模式下达到400-800M的带宽，FEC技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简单灵活，非常便于扩充。而且所需电缆长度很短，减少了安装费用，易于布线和

6、维护工作。3、三层交换与VLAN结合很多企业在网络设计初期采用二层交换技术的网络架构，核心交换机采用二层交换技术，在原先只有几十到100多台工作站的情况下，网络性能较理想。但是随着网络规模在不断扩大，工作站增加到200台左右时，网络性能明显下降。另外，对于这种网络，很容易发生诸如网卡故障等原因引起的网络广播风暴，而且一旦发生广播风暴，很难查找故障点，甚至导致网络瘫痪，网络维护工作量很大。如果我们采用三层交换技术的网络架构，同时在局域网划分若干VLAN（虚拟网）后，网络性能将大为改善。这是因为三层交换技术就是“二层交换技术 + 路由转发”。它解决了二层交换技术不能处理不同IP子网之间的数据交换的

7、缺点，又解决了传统路由器低速、复杂所造成的网络瓶颈问题。再配合VLAN技术将将局域网的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。这样有三个好处：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上

8、，只要仍属于原来的虚网，则应用环境没有任何改变。注：骨干交换机应该采用高带宽的千兆以上交换机。因为它是网络的枢纽中心，重要性突出。在大中型企业中核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。即两台核心交换机正常情况下都参与工作，当其中的任何一台发生故障时，另外一台可以自动、无缝地接管它的工作，无需人工干预故障切换。全面提高网络对突发事故的自动容错能力，最小化网络的失效时间。4、企业网管软件企业网络架构在经过以上三个步骤的部署以后比较完善了，但是还缺乏有效的企业网络管理软件来对网络设备进行管理，针对这种情况我们可以配置一套“方正网略网络架构管理系统”，它在整合

9、了传统网管软件功能的同时，重点突出了方便、实用的特点，帮助企业管理人员维护好自身的网络。通过对网络设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复，为企业提供一个稳定可靠的网络环境。方正网略 NetInWay Pro 充分考虑了当前企业级网管软件的用户需求，将系统分为以下四大功能模块，每个模块的功能如下： IP 管理（网络IP资源保护、非法IP接入阻断、定期统计 IP 使用情况，回收长期不使用 IP） 设备管理（网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况） 性能分析（网络流量的图形化显示、实时监控设备端口的PPS、对网有害流量进行阻断） 故障管

10、理（检测IP故障、设备故障、流量故障、蠕虫故障）NetInWay Pro 版本采用了简单明了的用户界面，如下图所示。在此用户界面中，把主要功能（IP 管理、设备管理、性能分析、故障管理）包含在同一界面中，方便用户使用。现在对方正网略 NetInWay Pro做个简单介绍：1、IP 管理全面了解整个网络的设备运行情况、IP 地址资源使用情况，对 IP 地址资源进行有效的管理。对接入网络的计算机进行认证和管理,禁止未认证的计算机私自接入网络, 保障网络的安全运行。方便的 IP 地址资源分配管理、实时的 IP 故障监测与报警、有效的故障响应策略，使企业真正感受和掌握网络资源的运动脉搏！对于新入网的设

11、备，在入网申请到IP 地址的时候，系统将记录并根据此设备的使用情况。如果此设备想占用网络中已经被使用的IP，系统将产生报警，如下图所示：2、设备管理NetInWay Pro 提供了对网络重要设备的系统信息、流量信息进行监控和管理的功能，设备管理的主要功能如下： 支持网络视图功能，自动搜索网络拓扑结构，并生成网络拓扑结构图； 网络设备（路由器、交换机、服务器、打印机等）进行实时状态监控； 远程查询服务器的CPU、存以及硬盘的利用率和存中的运行进程信息； 远程查询网络设备的连接状态、Hop数目、连接路径情况等信息； 监控网络设备端口的PPS，及时检测和阻断蠕虫或网异常流量猛增设备。在设备管理中，网

12、络拓扑结构采用图示方式表示，拓扑结构自动发现，企业网络架构一目了然；同时可以迅速的看出网络的状态（正常或故障等）。对于超过临界值或请求PPS 无应答时，节点颜色将变红，并被隔离。及时把握网络拓扑和节点的改变；图形化的网络统计数据显示, 有助于规划长期网络发展。同时，NetInWay Pro 还可以全天候24 小时监控数千个网络设备的运行状态，如应答时间、损失率、生存时间等，如检测到故障，将实时报警并通知管理者。3、性能分析NetInWay Pro 性能分析是以SNMP 为基础，执行网络监控。监控信息是以日、周、月、年为周期记录日志。性能分析包括：网络流量监控和实时网络利用率查询。性能分析模块对

13、网络设备和链路情况进行实时监测，及时发现和处理网络故障；对出现故障的节点进行隔离，引导管理员快速定位、排除网络故障；自动生成带宽使用情况的图表，用于长期趋势分析和制定带宽使用计划，并可优化自身的网络应用，根据所提供的精确而及时的数据作出软硬件升级计划的决定。 4、故障管理NetInWay Pro 故障管理完成网络故障（IP 故障、设备故障、流量故障、WDI 故障）的及时发现和报警，具体功能如下： 故障浏览及定期刷新 故障分类、排序、统计 故障报警，并通知管理员 浏览故障的用户权限管理 条件查询历史故障功能NetInWay Pro 提供了各种详细报告（IP 状态报告书、设备状态报告书、流量分析报

14、告书、故障情况报告书）的多种模板。在完成了上述四个步骤的部署之后就完成了企业网络架构的完整设计方案，接下来将对企业网络信息安全整体解决方案的其他部分进行阐述。二、构建全方位的数据泄漏防护系统近年来，泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈，不仅给企业带来严重的直接经济损失，而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。为防止数据外泄，企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品，以为可以高枕无忧了。其实，这种想法是错误而且极其危险的。FBI和CSI对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司部。在损失金

15、额上，由于部人员泄密导致了 6056.5 万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。因此，企业在加强网络安全建设和信息安全管理的基础上，必须采用先进的数据泄露防护(DLP)体系防止企业敏感资料泄密。在经过之前几个月时间对各种防泄密产品的了解、测试，建议采用巨石数据泄露防护系统。它基于“事前防，事中控制，事后审计”的基本思路，以密码技术为支撑、以身份认证为基础、以数据安全为核心、以监控审计为依据，通过对数据的创建、流转、销毁的全过程监控，从数据存储、网络传输等层面着手，覆盖数据安全的各个方面，构建全方位的数据泄漏防护系统。各子系统功能简介：数据存储安全文档安全管理系统HS-K

16、ey 采用透明加解密技术，在不知不觉中自动完成文件加密。 科学、完善的解密审批流程，防止文件非法外泄。 精确控制外发出去的文件的使用权限，不再“覆水难收” 精细的文件权限控制，确保加密文件的合法使用企业U盘认证系统 HS-UCS 完善的U盘认证体系，防止未认证的U盘在企业部使用。文件打印安全打印监控系统 HS-PrtMon 支持打印容监控，提供全方位的打印监控和打印管理功能 十几种报表类型从费用、负荷等全方面反映打印情况。文档安全管理系统实现功能HS-Key是HS-DLP体系的基础核心软件，用于对企业的文件资料进行加密保护，有效防止员工主动泄密或无意间的数据泄露。HS-Key通过文件加密、权限

17、管理、流程管理，以及与AD域和企业现有的管理系统的紧密结合，来达到企业对文件安全性和管理人性化的双重要求。文档安全管理系统功能特点：功能特点说明文件自动加密，无需人工干预HS-Key采用透明加解密技术，可以在用户没有感觉的情况下，完成文件的自动加密。精细权限控制，控制文件流转既可控制文件容复制、拖拽、打印、截屏等操作。也可对文件（本地磁盘网络磁盘移动磁盘文件等）和文件夹的操作进行分权限/分级/分用户控制。集成管理系统，完美融合流程可与Windows域用户完美结合。同时可以和企业的OA/PDM/ERP等管理系统进行紧密的集成，进行组织架构的导入同步，工作流程融合等。开放策略管理，轻松扩展需求用户

18、可根据需求，任意添加需加密监控的应用程序和文件类型，无需二次开发即可适应未来环境，为用户节约投资成本。解密审批流程，贴合企业管理加密文件或附件，必须经过解密审批流程或者解密流程方能正常完成解密外发。外发文件控制，覆水亦可收回可以对外发离开企业的文件的读写权限、打开次数、打开时间、复制截屏等操作权限进行精确控制。强制或不强制，部门区别对待可以根据不同部门的加密需求选择是否强制加密，如技术部门可以强制进行全盘加密，销售部门可以有选择的加密。黑白功能，加强安全管理可对信任的设置为白，加密文件发往白时自动解密，发往黑时自动拒绝发送；可对与工作无关的聊天程序、游戏等程序做控制，禁止运行和启动，实现应用程

19、序黑白的管理效果。离网工作控制，外出亦可控制有效控制离网工作电脑的使用权限，并可配合加密狗来实现指定的管控功能。日志审计功能，追溯安全责任提供完善的事后追查和操作日志检索功能，对于所有可能造成文件泄密的途径都可进行追踪和筛查。文档安全管理系统实施部署图：企业U盘认证系统实现功能U盘的安全认证可以有效防止非法U盘在企业（或政府）部的使用而导致的泄密问题。UCS系统采用了先进的WDM驱动技术、加密技术和磁盘读写权限控制技术，集U盘身份识别、数据加密和权限控制功能为一体，是目前功能最强大、安全性最高的U盘认证系统之一。企业U盘认证系统功能特点：功能特点说明安全U盘制作将任何的普通U盘转换为一个具有身

20、份标识，并且具有加密功能的U盘。该U盘插入到普通未授权的计算机中，U盘容无法读取。U盘智能识别可自动识别普通U盘和授权认证U盘，XX认证的U盘无法在电脑上使用；U盘身份识别经过认证的U盘使用时，必须再次输入密码，验证通过后方能正常使用；U盘统一管理所有经过认证的U盘在使用时，都可以通过总控台进行监控和记录；外网限制使用当安全U盘带回家中，由于无法进行身份认证，所以无常使用。U盘使用权限控制控制指定的计算机对于U盘的只读禁止使用权限。企业U盘认证系统实施部署图：打印监控系统实现功能Web方式的打印监控系统，支持打印容监控，提供全方位的打印监控和打印管理功能。十几种报表类型从费用、负荷等全方面反映

21、打印情况。完善的设定，可以让企业在发生数据泄密时追溯到源头。打印监控系统主要功能特点：功能特点说明打印事件记录记录每次打印的服务器、打印机、文档名、用户、计算机、打印字节数、打印页数、打印时间、纸大小、色彩、打印费用等信息。打印容保存完整保存每次打印任务的全部容为Tiff图像格式；可设定某打印机是否需要保存容及保存的分辨率；可设定某些用户的打印容不要保存，哪怕是打印到设定为需要保存容的打印机上；非PCL和PostScript打印机提供打印容保存，可在打印机上重新打印还原；客户端认证支持客户端打印时弹窗输入用户名和密码认证；支持客户端一机多用户（多人共用一台电脑）的打印监控和计费；支持按照打印项

22、目进行认证、监控和计费；用户配额设定固定配额和按照年、季、月、周、日打印配额；置透支方案，按照比例或金额设定透支上限；打印事件提醒可设定在打印开始、打印成功和打印失败时提醒打印人；提醒方式支持Windows系统消息；查询与报表打印日志查询，可按时间段、文档名、用户名、计算机名和打印机名； 汇总统计报表，提供交叉表和主从表分析，提供表格形式的汇总报表，支持导出成Excel格式；任务分析报表，具体有文件类型打印统计、打印的页数统计、纸大小统计、打印色彩统计和打印方式统计；负荷分析报表，具体有打印机日志统计、打印服务器日志统计、计算机打印日志统计和用户打印统计；时间分析报表，具体有24小时、天、周、

23、季和年度分布分布；集中管理、认证计费任意多台打印机均可纳入管理，实现集中管理、集中认证计费，方便用户对打印资源的集中管理和成本控制；多级权限管理，灵活分配不同功能、不同角色的管理；打印签核用户的打印任务必须经过管理员查看打印容，批准后才送往打印机，适合敏感信息和高成本打印机的全面监控打印容存储备份（附加模块）。打印容存储备份可以时时将保存的打印容进行自动存贮备份，便于打印安全存档和防灾。在企业部部署了HS-DLP体系套件之后，所有敏感、的数据都被透明加密与外部之间设了一道安全屏障。即使数据被员工以打印的方式带出，也可以通过打印监控系统执行倒查机制找出泄密的源头。这样就可以从多方面、最大限度的杜

24、绝敏感、数据泄漏事件的发生几率，降低企业的损失。三、建立一体化的本地/异地备份与容灾体系随着企业对于数据可用性的依赖性越来越高，数据已成为企业最为宝贵的财富。要保证企业业务持续的运作和成功，就要保护基于计算机的信息。但是由于自然灾难或是人为错误引发的业务宕机给企业造成无可估量的损失，不能被企业所接受。因此，为企业的信息系统建立起有效的备份与容灾体系，在发生各类灾难时快速响应、全力保证业务连续性，成为保证企业连续运营的关键。美国飞康CDP备份/容灾一体化解决方案，彻底改变了传统的数据备份及灾难恢复方式，全面整合了数据备份、系统恢复、灾难恢复、本地及异地容灾等多项功能。无论企业的应用服务器发生任何

25、意外，例如，恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障，甚至整个机房毁于意外，都可以完整保护整个信息系统，彻底解决所有传统备份与容灾难题。帮助企业最大程度的使数据丢失最少(RPO)，业务中断时间最短(RTO)。飞康CDP备份/容灾一体化解决方案的特点： 1分钟立即验证并恢复备份传统备份机制只能从备份纪录中确认备份工作执行成功，却不能保证数据能够用于正确恢复。飞康CDP在主机端就能快速转换为快照磁盘并浏览快照容，通过iSCSI及FC与应用服务器连结，一分钟就能检查快照磁盘里的文件容，并直接加载数据库系统进行数据比对和恢复验证，完全不需要耗时的数据回存过程，或占用服务器本身的磁

26、盘空间，影响系统运行。 5分钟恢复中断的业务系统传统备份机制保护下的服务器，一旦发生黑客/病毒攻击、打补丁造成系统不稳定、系统崩溃，就必须经过繁复且冗长的回存过程，才能让系统恢复正常运行。利用飞康CDP的SAN Boot功能，可以在意外发生后，通过安装在应用服务器上的FC HBA或iSCSI HBA，在应用服务器重新开机后接手本机硬盘，5分钟就能恢复系统正常运行，无需重新安装操作系统和数据恢复过程。 10钟让故障服务器恢复运行当服务器因主板等硬件故障或遭遇自然灾害，导致整台服务器无法运行时,必须送修或更换备机，相当耗时费力。飞康CDP利用虚拟服务器(如VMware)作为恢复平台，采用P2V恢复

27、机制，将CDP管理器的磁盘快照，通过iSCSI直接提供给虚拟机使用，无需冗长的文件系统转换过程，更不用考虑硬件与驱动程序的兼容性，10分钟就能从虚拟机上启动系统，快速恢复服务。四、建立防火墙、防入侵及一体化安全网关解决方案由于在现今的网络环境下，计算机病毒有不可估量的威胁性和破坏力，因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，因此计算机病毒的防是网络安全性建设中重要的一环。企业应该构造全网统一的防病毒体系。除了部署全网统一集中管理的网络版杀毒软件之外，还要在部网与外部网之间，设置防火墙实现外网的隔离与访问控制。两者相辅相成是保护部网安全的最主要、同时也是最有效、最经济的措施。对于

28、为什么在部署了网络版杀毒软件之后还要设置防火墙，可以这么理解：杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别是否是病毒，但是对于未知的病毒或变种的病毒，由于这些病毒木马的特征没有被杀毒软件所掌握，因此杀毒软件对它们既不能报警，也无法剿杀。所以我们就需要设置防火墙来守护企业网络的大门（出入口）。举个直观的例子：企业部网络就好比是座城堡，网络管理员是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。杀毒软件负责对进入城堡的人进行身份鉴别，如果发现可疑人物就隔离或者直接杀除；而防火墙则是门卫，掌管网络的各扇门（端口），对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向

29、网络管理员确认。因此，任何木马或间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录用户和密码，可是由于防火墙把门看得死死的，再多的信息也传不出去，从而保护了企业网络的安全。另外，对于黑客的攻击，杀毒软件是没有任何办法的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙可以把企业部网络的每个端口都隐藏起来，让黑客找不到入口，自然也就保证了企业网络的安全。针对上述情况，我们可以在企业服务器上部署趋势科技防毒墙-服务器版（SP），监控和查杀网络部的病毒、木马。同时在网关处设置瞻博（Juniper SSG-320M-SH）硬件防火墙对进出的信息进行安全过滤，以此构建安全、无毒的局域网络。趋势

30、科技防毒墙-服务器版（SP）的产品架构：ServerProtect 是通过一个3 层的结构为网络提供病毒防护：管理控制台、信息服务器、标准服务器。管理员可以利用管理控制台配置信息服务器（IS），然后利用信息服务器控制IS 域的标准服务器。产品主要功能与特性： 三层式架构执行远程管理 建完整的说明功能 工作管理导向作业 支持趋势EPS企业安全防护策略 智能型处理行动 智能型扫描服务 目录或文件写保护功能 趋势TSC系统病毒清除程序 集中式局域网管理Juniper 防火墙介绍：Juniper提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、中小型企业Internet边界、大型企业的部网络安全

31、域划分和控制，以至电子商务的服务器保护等等。Juniper全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。同时，Juniper与国际各大品牌厂商合作提供多种领先的安全技术的集成，包括深层检测功能（Juniper）、防病毒（卡巴斯基）、垃圾过滤（赛门铁克）、和网页过滤（美讯智）4种，并且可以提供试用的临时许可license，可以让用户在一定时间下载特征库及使用该容安全更新。过了试用期后，用户必须定购年度服务来获得最新的入侵防护攻击库、病毒库、并得到垃圾和网页过滤的定时更新。Juniper 防火墙功能特点：深层检测功能：深层检测功能（Deep Inspection，简称DI）是Juniper的防火墙操作系统ScreenOS里集成的一个专门对网络流量里的应用层攻击（包括网络蠕虫、木马和恶意软件）进行检测的功能，其实就是将Juniper的IPS/IDP的入侵检测和防护的功能集成到Juniper防火墙的ScreenOS里面，对会话实施基于状态的策略的同时进行对应用层攻击特征的匹配，并且作出相应的保护动作。防病