(完整)XX公司网络安全设计方案

XX公司网络信息系统的安全方案设计书

XX公司网络安全隐患与需求分析

1。1网络现状

公司现有计算机500余台，通过内部网相互连接与外网互联.在内部网络中，各服务部门计算机在同一网段，通过交换机连接。如下图所示：

1.2安全隐患分析

1。2.1应用系统的安全隐患

应用系统的安全跟具体的应用有关，它涉及面广.应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施,降低应用的安全风险.主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等

1。2。2管理的安全隐患

管理方面的安全隐患包括:内部管理人员或员工图方便省事，不设置用户口令,或者设置的口

令过短和过于简单，导致很容易破解.责任不清,使用相同的用户名、口令,导致权限管理混乱，信息泄密。用户权限设置过大﹑开放不必要的服务端口，或者一般用户因为疏忽,丢失帐号和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。

1.2。3操作系统的安全漏洞

计算机操作系统尤其服务器系统是被攻击的重点,如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。

1。2。4病毒侵害

网络是病毒传播最好、最快的途径之一。一旦有主机受病毒感染，病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。

2.1需求分析

XX公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Internet的安全性,以及网络安全等一些因素。因此本企业的网络安全构架要求如下：

1.根据公司现有的网络设备组网规划；

2.保护网络系统的可用性；3。保护网络系统服务的连续性;4。防范网络资源的非法访问及非授权访问;5。防范入侵者的恶意攻击与破坏；6。保护企业信息通过网上传输过程中的机密性、完整性；7.防范病毒的侵害；8。实现网络的安全管理.

通过了解XX公司的虚求与现状,为实现XX网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄.通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全

（2）划分VLAN控制内网安全

（3）安装防火墙体系

（4）安装防病毒服务器

（5）加强企业对网络资源的管理

如前所述，XX公司信息系统存在较大的风险,网络信息安全的需求主要体现在如下几点：

（1)XX公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局,扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使XX公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。

(4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是XX公司面临的重要课题。

网络信息安全策略及整体方案

信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞,评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。

3.1 方案综述

XX公司整个网络安全系统从物理上划分4个部分，即计算机网络中心、财务部、业务部及网络开发中心。从而在结构上形成以计算机网络中心为中心，对其他部分进行统一的网络规划

和管理。每个安全区域有一套相对独立的网络安全系统，这些相对独立的网络安全系统能被计算机网络中心所管理。同时每个安全区域都要进行有效的安全控制，防止安全事件扩散，将事件控制在最小范围.通过对XX公司现状的分析与研究以及对当前安全技术的研究分析,我们制定如下企业信息安全策略。

3．1．1防火墙实施方案

根据网络整体安全及保证财务部的安全考虑，采用两台cisco pix535防火墙,一防火墙对财务部与企业内网进行隔离，另一防火墙对Internet与企业内网之间进行隔离，其中DNS、邮件等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。

防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制外网用户非法访问;防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志；对防火墙的管理员权限严格控制。

3．1．2 Internet连接与备份方案

防火墙经外网交换机接入Internet。此区域当前存在一定的安全隐患：首先，防火墙作为企业接入Internet的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与Internet失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截.

为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安全性。防火墙连接只在主核心交换机上,并且采用两台防火墙进行热备配置,分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。

根据改企业未来的应用需求，可考虑网络改造后，将Internet连接带宽升级为100M。3．1．3入侵检测方案

在核心交换机监控端口部署CA入侵检测系统（eTrust Intrusion Detection) ，并在不同网段（本地或远程)上安装由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。

3．1．4 VPN系统