企业网络信息安全整体解决方案.pdf
《企业网络信息安全整体解决方案.pdf》由会员分享,可在线阅读,更多相关《企业网络信息安全整体解决方案.pdf(24页珍藏版)》请在三一文库上搜索。
1、. 企业网络信息安全整体解决方案 目录 一、完善、优化企业内部网络架构 3 1、域结构管理模式. 3 2、网络拓扑结构设计. 4 3、三层交换与VLAN结合 5 4、企业网管软件. 6 二、构建全方位的数据泄漏防护系统 12 . 1、文档安全管理系统 13 2、企业 U盘认证系统 14 3、打印监控系统 15 三、建立一体化的本地/ 异地备份与容灾体系. 16 四、建立防火墙、防入侵及一体化安全网关解决方案 20 1、趋势科技防毒墙-服务器版( SP): 21 2、Juniper 防火墙: 22 随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简 单连接的内
2、部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网 的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基 于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了 解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建 全方位的数据泄漏防护系统;再次,建立一体化的本地/ 异地备份与容灾体系;最后,建立防火墙、防入 侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。 . 一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时,
3、应从企业应用为最基本出发点,将企业当前和各类应用和将来 会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方 面直接关系到企业网络架构中各类网络设备( 如路由器、交换机、安全网关、服务器等) 的采购决策,以 及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活 性和可扩展性,可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可 控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只
4、 要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问 . 密码,但是非常容易被破解。 在由 Windows 9x 构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进 行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络 的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为 DC)” 。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联 入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账
5、号是否存在、密码是 否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用 户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows 共享出来的资源, 这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外,还可 以对属于域的所有计算机的操作权限(安装/ 卸载软件、更改IP 地址、更改计算机设置等)进行有效的 控制,以达到集中化管理的目的。 2、网络拓扑结构设计 组网方式:树形组网方案 该方案引入二级联网方式,骨干层交换机采用了高性能的千兆级二层交换机,连接服务器、路由器与网 络打印机。 二级交换机采用2
6、4+2 口交换机, 其中的两个端口为1000M , 用于接入骨干交换机,其余 10/100M 端口连接相对分散的桌面用户。 方案特点:二级联网方式更好的将数据通过骨干交换机分散处理,它与服务器之间通过1000M 高速交换 端口连接,以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则采用了快速以太网通道 (FEC )技术,有效的扩展了网络的带宽。这项技术能够把2-4 个物理链路聚合在一起,在全双工工作模 式下达到400-800M 的带宽, FEC技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简 单灵活,非常便于扩充。而且所需电缆长度很短,减少了安装费用,易于布线和维护工作
7、。 . 3、三层交换与VLAN结合 很多企业在网络设计初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在原先只有几 十到 100 多台工作站的情况下,网络性能较理想。但是随着网络规模在不断扩大,工作站增加到200 台 左右时,网络性能明显下降。另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风 暴,而且一旦发生广播风暴,很难查找故障点,甚至导致网络瘫痪,网络维护工作量很大。如果我们采 用三层交换技术的网络架构,同时在局域网内划分若干VLAN (虚拟网)后,网络性能将大为改善。这是 因为三层交换技术就是“二层交换技术 + 路由转发” 。它解决了二层交换技术不能处理不同I
8、P 子网之间 的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。再配合VLAN技术将将局域 网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。这样有三个好 处:一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度 上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。二是隔离广播信息,划分VLAN后,广 播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。三 是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所 连交换机的限制
9、,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境 没有任何改变。 注:骨干交换机应该采用高带宽的千兆以上交换机。因为它是网络的枢纽中心,重要性突出。在大中型 . 企业中核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。即 两台核心交换机正常情况下都参与工作,当其中的任何一台发生故障时,另外一台可以自动、无缝地接 管它的工作,无需人工干预故障切换。全面提高网络对突发事故的自动容错能力,最小化网络的失效时 间。 4、企业网管软件 企业网络架构在经过以上三个步骤的部署以后比较完善了,但是还缺乏有效的企业网络管理软件来对网 络设备进行管理,针
10、对这种情况我们可以配置一套“方正网略网络架构管理系统”,它在整合了传统网 管软件功能的同时,重点突出了方便、实用的特点,帮助企业管理人员维护好自身的网络。通过对网络 设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复,为企业提供一个 稳定可靠的网络环境。 方正网略 NetInWay Pro 充分考虑了当前企业级网管软件的用户需求,将系统分为以下四大功能模块, 每个模块的功能如下: IP 管理(网络 IP资源保护、非法IP接入阻断、定期统计 IP 使用情况,回收长期不使用 IP ) 设备管理(网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况) 性能分析(
11、网络流量的图形化显示、实时监控设备端口的PPS 、对内网有害流量进行阻断) 故障管理(检测IP故障、设备故障、流量故障、蠕虫故障) NetInWay Pro 版本采用了简单明了的用户界面,如下图所示。在此用户界面中,把主要功能(IP 管理、 设备管理、性能分析、故障管理)包含在同一界面中,方便用户使用。 . 现在对方正网略 NetInWay Pro做个简单介绍: 1、IP 管理 全面了解整个网络的设备运行情况、IP 地址资源使用情况,对 IP 地址资源进行有效的管理。对接入网 络的计算机进行认证和管理, 禁止未认证的计算机私自接入网络, 保障网络的安全运行。 方便的 IP 地址资源分配管理、实
12、时的 IP 故障监测与报警、有效的故障响应策略,使企业真正感受和 掌握网络资源的运动脉搏! 对于新入网的设备,在入网申请到IP 地址的时候,系统将记录并根据此设备的使用情况。如果此设备想 占用网络中已经被使用的IP,系统将产生报警,如下图所示: . 2、设备管理 NetInWay Pro 提供了对网络重要设备的系统信息、流量信息进行监控和管理的功能, 设备管理的主要功能如下: 支持网络视图功能,自动搜索网络拓扑结构,并生成网络拓扑结构图; 网络设备(路由器、交换机、服务器、打印机等)进行实时状态监控; 远程查询服务器的CPU 、内存以及硬盘的利用率和内存中的运行进程信息; 远程查询网络设备的连
13、接状态、Hop数目、连接路径情况等信息; 监控网络设备端口的PPS ,及时检测和阻断蠕虫或内网异常流量猛增设备。 在设备管理中,网络拓扑结构采用图示方式表示,拓扑结构自动发现,企业网络架构一目了然;同时可 以迅速的看出网络的状态(正常或故障等)。对于超过临界值或请求PPS 无应答时,节点颜色将变红, 并被隔离。及时把握网络拓扑和节点的改变;图形化的网络统计数据显示, 有助于规划长期网络发展。 . 同时, NetInWay Pro 还可以全天候24 小时监控数千个网络设备的运行状态,如应答时间、损失率、生 存时间等,如检测到故障,将实时报警并通知管理者。 . 3、性能分析 NetInWay Pr
14、o 性能分析是以SNMP 为基础,执行网络监控。监控信息是以日、周、月、年为周期记录日 志。性能分析包括:网络流量监控和实时网络利用率查询。 性能分析模块对网络设备和链路情况进行实时监测,及时发现和处理网络故障;对出现故障的节点进行 隔离,引导管理员快速定位、排除网络故障;自动生成带宽使用情况的图表,用于长期趋势分析和制定 带宽使用计划,并可优化自身的网络应用,根据所提供的精确而及时的数据作出软硬件升级计划的决定。 4、故障管理 NetInWay Pro 故障管理完成网络故障(IP 故障、设备故障、流量故障、WDI 故障)的及时发现和报警, 具体功能如下: 故障浏览及定期刷新 故障分类、排序、
15、统计 故障报警,并通知管理员 浏览故障的用户权限管理 条件查询历史故障功能 . NetInWay Pro 提供了各种详细报告(IP 状态报告书、设备状态报告书、流量分析报告书、故障情况报 告书)的多种模板。 在完成了上述四个步骤的部署之后就完成了企业网络架构的完整设计方案,接下来将对企业网络信息安 全整体解决方案的其他部分进行阐述。 . 二、构建全方位的数据泄漏防护系统 近年来,泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈,不仅给企业带来严重 的直接经济损失,而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。为防止数据外泄, 企业往往不惜花巨资购进防火墙、入侵检测、防病毒
16、、漏洞扫描等网络安全产品,以为可以高枕无忧了。 其实,这种想法是错误而且极其危险的。 FBI 和CSI对484家公司进行了网络安全专项调查,调查结果显示:超过85% 的安全威胁来自公司内部。 在损失金额上,由于内部人员泄密导致了 6056.5 万美元的损失,是黑客造成损失的16倍,是病毒造成 损失的 12倍。 因此,企业在加强网络安全建设和信息安全管理的基础上,必须采用先进的数据泄露防护(DLP) 体系 防止企业敏感资料泄密。 在经过之前几个月时间对各种防泄密产品的了解、测试,建议采用巨石数据泄露防护系统。它基于 “事前防范,事中控制,事后审计”的基本思路,以密码技术为支撑、以身份认证为基础、
17、以数据安全 为核心、以监控审计为依据,通过对数据的创建、流转、销毁的全过程监控,从数据存储、网络传输等 层面着手,覆盖数据安全的各个方面,构建全方位的数据泄漏防护系统。 各子系统功能简介: 数据存储安全 文档安全管理系统HS-Key 采用透明加解密技术,在不知不觉中自动完成文件加密。 科学、完善的解密审批流程,防止机密文件非法外泄。 精确控制外发出去的文件的使用权限,不再“覆水难收” 精细的文件权限控制,确保加密文件的合法使用 企业 U盘认证系统 HS-UCS 完善的 U 盘认证体系,防止未认证的U盘在企业内部使用。 文件打印安全 打印监控系统 HS-PrtMon 支持打印内容监控,提供全方位
18、的打印监控和打印管理功能 十几种报表类型从费用、负荷等全方面反映打印情况。 . 文档安全管理系统实现功能 HS-Key 是 HS-DLP体系的基础核心软件,用于对企业的机密文件资料进行加密保护,有效防止员工主 动泄密或无意间的数据泄露。 HS-Key 通过文件加密、权限管理、流程管理,以及与AD 域和企业现有的管理系统的紧密结合,来 达到企业对文件安全性和管理人性化的双重要求。 文档安全管理系统功能特点: 功能特点说明 文件自动加密,无需人工干预 HS-Key 采用透明加解密技术,可以在用户没有感觉的情况下,完成 文件的自动加密。 精细权限控制,控制文件流转 既可控制文件内容复制、拖拽、打印、
19、截屏等操作。也可对文件(本 地磁盘网络磁盘移动磁盘文件等)和文件夹的操作进行分权限/ 分 级/ 分用户控制。 集成管理系统,完美融合流程 可与 Windows 域用户完美结合。同时可以和企业的OA/PDM/ERP 等管 理系统进行紧密的集成,进行组织架构的导入同步,工作流程融合 等。 开放策略管理,轻松扩展需求 用户可根据需求,任意添加需加密监控的应用程序和文件类型,无 需二次开发即可适应未来环境,为用户节约投资成本。 解密审批流程,贴合企业管理 加密文件或邮件附件,必须经过解密审批流程或者邮件解密流程方 能正常完成解密外发。 外发文件控制,覆水亦可收回 可以对外发离开企业的文件的读写权限、打
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 网络 信息 安全 整体 解决方案
链接地址:https://www.31doc.com/p-5214004.html