XX公司网络安全解决实施方案

XX公司网络安全解决方案

————————————————————————————————作者：————————————————————————————————日期：

XX公司网络安全解决方案

目录

1.公司网络安全现状及需求 (1)

2.目前重点需要解决的问题 (1)

3.解决方案 (3)

3.1.SSL VPN安全解决方案 (3)

3.2.文档安全管理系统安全解决方案 (5)

3.3.终端管理系统安全解决方案 (7)

1.公司网络安全现状及需求

XX公司是面向XX领域的公司，公司与下属各个单位有很深的业务关系，公司自主的软件也应用在XX集团各个下属单位。因此，公司的一些文档，资料，产品代码属于涉密安全信息，需要加强进行管理。但目前并没有对安全文档进行涉密分级及加密管理，具有安全隐患。此外，随着公司集团化，规模化的发展，公司办公网络已经变成由总分公司，办事处等组成的多地协同办公体系。公司的OA办公，网络报销，项目审批等均需要在网络进行，但目前的内网OA系统无法满足面向公网及远程接入办公。而且由于目前网络办公环境中，对于接入的外来终端计算机没有采取严格的授权接入方式，这些由于公司规模扩大引起的需求变化及需要统筹解决，针对安全电子文档，外网协同办公，内网接入控制，安全终端管理等方面需要提供总体的网络安全解决方案。

2.目前重点需要解决的问题

针对公司的网络安全现状以及未来发展的需求，目前我们重点需要解决的安全问题有三个方面：

（1）内部涉及企业秘密的电子文档安全管理

作为商业企业的XX来说，可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题，企业人员在被解职或辞职时，他们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业，企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑，就可以轻松将企业的重要机密电子文档从企业里窃取出来，更何况企业员工进入企业内部网络和打开存在有机密电子文档的电脑是何等的轻而易举!面对这些触目惊心的现实存在，一套严密而完整的企业级电子文档保护解决方案就可能成为企业最后赖以生存的“救命稻草”。

事实上，由于目前高度普及的企业信息化建设与相对比较薄弱的企业网络安全管理一直存在矛盾，企业内部员工对重要机密信息的存放地和相关使用权限都非常熟悉，可只要会操作电脑就有可能会主动或非主动(如误操作)的盗取机密文

档和机密信息，所以说内网安全和加强对企业内部员工的监管是有效保障企业电子文档安全和终端数据安全最重要的一道环节。

（2）通过安全方式由外网访问公司OA等系统进行远程办公

公司办公OA的现状是内网办公网络并没有与外部网络完全隔离，内部人员可以通过IE同时登录内网办公及外网网络，内外网邮件系统可以同时使用，内网OA无法通过公网安全登录进行办公操作。对于内网办公而言，主要的安全需求除去上面对文档安全要求，禁止文档通过usb，邮件等方式传出公司，同时对于OA系统同样有基本安全需求：

访问控制安全需求：将公司网络的主机、服务器与相关管理业务部门网络进行隔离控制，限制外网非法用户服务请求，使非法访问在到达主机前被拒绝；对外网合法用户对内部不同子网访问进行适当的限制；内部不同业务子网访问实行部分开放原则；记录各种进出访问行为。

通信保密需求：一些重要通信要通过公网进行信息传输，存在信息被窃取、篡改、伪造、删除的危险，必须加强传输中的信息加密，而且因领导、单位、部门相应的职权范围不同，因此要按密级要求建立相应的身份认证、密钥和密码的管理、密文信息传输系统，保障机密信息不被无关人员窃取。

数据保护安全需求：移动公司网络的应用服务器系统多、应用复杂，对服务器的数据保护成为首要问题，防止病毒侵袭、服务器数据的篡改、机密信息的泄露成为数据安全的三大需求。

内外网及子网安全访问: OA系统一直都是必须的一项业务。随着企业的发展，开设分公司、新办事处、在家办公、移动办公等都成了一种新的需求。因此，OA系统的应用不仅仅局限于某个公司总部或单位总局小型局域网了，现在总部都需要实现和分支机构的互联，使OA系统中的个人办公、公文系统、综合业务、行政管理、综合信息等资源共享，让公司管理更加统一规范，保证物流、信息流的实时更新，确保公司市场信息的及时传递，营销方案的及时执行，提高工作效率等等。

（3）内网安全接入控制

安全管理中存在的巨大缺陷，集中表现在安全管理存在两个被割裂的客体：企业中每一个真实的员工和企业网中的用户。由于两个客体之间不存在确定的对

应关系，致使病毒有了可乘之机，也纵容那些存在恶意企图的员工进行非授权访问，同时对于外来接入的非法机器也无法进行有效控制。而且更为严重的是，由于网络中的身份不可靠，即使发生了安全事故，也无法找出隐藏在背后的“真凶”，安全管理制度和条例也形同虚设。

企业网络安全接入控制，就是要借助最新的安全技术和产品，建立起安全管理中两个客体之间的确定对应关系，从而保证实现安全技术和安全管理的无缝结合，通过建立企业网络中确定用户的身份标识，将网络用户与自然人建立起一一对应的关系，确保员工依据自己在企业中的真实角色，在网络中从事与本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情，企业仍可以通过网络用户与自然人的一一对应关系，找到为这件事情负责的人。

3.解决方案

3.1.S SL VPN安全解决方案

OA系统的基于局域网的内部安全需求及身份认证由其他解决方案，这里主要讨论基于远程办公需求的解决办法。对于有多个异地分支的OA办公及需要通过公网访问OA办公的需求，主要需要通过SSL VPN 构造整个办公安全体系。

OA办公VPN组网原理和远程ERP系统组网原理相同，都属于应用系统远程组网。下面以一种VPN产品为例，简单描述解决方案。只需要在客户的总部以及各个分支机构分别放一台SSL VPN系列服务器，各点通过ADSL或其它方式接入公网INTERNET，就可以为客户构建廉价，稳定的VPN网络。因公司或企业领导需要在家或出差在外时仍能方便办公，故可采用PPTP拨号方式接入，实现与总部的互联。

网络架构

总部：总部一般来讲是企业信息存放、处理的中心，网络内部主机数量多，数据流量大，安全性和实时性要求高；因此推荐采用高性能的VPN产品作为接入服务器。对于实时要求很高的企业用户，可以在总部采用两台作双机备份，保证稳定数据传输

分支机构：企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等规模的局域网，同时通过当地ISP提供的宽带接入方式接入因特网。