【正文】 xx 的網(wǎng)絡管理員已經(jīng)意識到這樣的網(wǎng)絡系統(tǒng)將給公司造成重大的經(jīng)濟損失，以及給自己的工作帶來不便。另外，伴隨著網(wǎng)絡應用服務不斷增多，網(wǎng)絡服務器訪問量也會越來越多，更好的、更有效的、更方便的保護和管理系統(tǒng)資源、網(wǎng)絡資源，是實現(xiàn)網(wǎng)絡安全的目標，已經(jīng)成為了 XX 的迫切需要。實施網(wǎng)絡安全系統(tǒng)項目，整體規(guī)劃網(wǎng)絡安全系統(tǒng)，作好以下幾個方面的規(guī)劃和實施：應用程序加密、應用完整、用戶完整性、系統(tǒng)完整性、網(wǎng)絡完整性等 等工作使企業(yè)網(wǎng)絡在安全的前提下更好、更方便、更有效為企業(yè)服務。 現(xiàn)代計算機網(wǎng)絡系統(tǒng)的安全隱患隱藏在系統(tǒng)的各個角落，系統(tǒng)的總體安全級別就象裝在木筒中的水，木筒裝水的多少決定于最矮的木板，系統(tǒng)安全級別的高低取決于系統(tǒng)安全管理最薄弱的環(huán)節(jié)。要加強系統(tǒng)的總體安全級別，不是安裝一個產(chǎn)品或幾個功能單一的工具就能實現(xiàn)的，必須從網(wǎng)絡、計算機操作系統(tǒng)、應用業(yè)務系統(tǒng)甚至系統(tǒng)安全管理規(guī)范，使用人員安全意識等各個層面統(tǒng)籌考慮。 另外，來自內(nèi)部的攻擊也不容忽視?，F(xiàn)代社會是一個充滿誘惑的社會，僅通過規(guī)章制度或思想教育等工作防止 內(nèi)部人員作案是不夠的。內(nèi)部工作人員的違規(guī)行為的案例也不是沒有的。所以，必須采取一些技術手段，加強對計算機系統(tǒng)的用戶、資源的安全保護，防止無關人員訪問敏感數(shù)據(jù)。 同時， IT 環(huán)境與行政建制相交叉，因此需要進行各個部門與其 IT 系統(tǒng)的使用，維護，管理等環(huán)節(jié)的審核與規(guī)范；規(guī)范人員分類：操作、更改業(yè)務、維護業(yè)務、管理系統(tǒng)、維護系統(tǒng)等；制度系統(tǒng)操作與訪問規(guī)則。奧怡軒認為，要保證信息系統(tǒng)的安全，提升整體安全級別，需要從網(wǎng)絡、服務器操作系統(tǒng)、用戶、各種應用系統(tǒng)、業(yè)務數(shù)據(jù)以及應用模式等各個方面統(tǒng)籌考慮。信息系統(tǒng)的安全防護需 要與實際應用環(huán)境，工作業(yè)務流程以及機構組織形式與機構進行密切結合，從而在信息系統(tǒng)中建立一個完善的安全體系。使 XX 的企業(yè)網(wǎng)絡在安全的前提下更好、更方便、更有效為企業(yè)服務。 防火墻系統(tǒng)設計 xx 網(wǎng)絡安全分析 XX 公司現(xiàn)通過 ADSL 連接到 Inter。即將架設自己的郵件服務器、 WEB 服務器以及提供給 Inter 訪問的 OA 系統(tǒng)。公司有 100 多臺電腦通過這條線路訪問 OA 系統(tǒng)。為了加強企業(yè) INTRANET 的安全性，可以提供 Extra 給企業(yè)的合作伙伴或客戶使用。所以廣州 市 XX 公司需要自己的網(wǎng)絡安全解決方案。 根據(jù)廣州市 XX 公司的網(wǎng)絡情況，我們?yōu)?XX 建立如下網(wǎng)絡安全策略，我們視企業(yè)辦公室局域網(wǎng)內(nèi)網(wǎng)， Inter 為外網(wǎng)，各辦事處為遠程辦公用戶。 * 來自于外網(wǎng)的訪問，除有特定的身份認證外，只能到達指定的訪問目的地，不能訪問內(nèi)部資源。 * 內(nèi)網(wǎng)用戶對外的訪問必須經(jīng)過授權才能訪問外部的 Server。授權由防火墻來完成。 * 外網(wǎng)不能直接對內(nèi)網(wǎng)進行訪問，外網(wǎng)客戶訪問外部 Server 時通過防火墻進行訪問控制，防火墻訪問控制策略起到控制訪問的作用，保證了內(nèi)部關鍵信息 資源的安全。 * Inter 服務平臺分為兩個部分：提供企業(yè)網(wǎng)絡用戶對 Inter 的訪問；提供 Inter 對企業(yè)網(wǎng)上服務的訪問。 * 企業(yè)用戶對 Inter 的訪問，有可能帶來某些類型的網(wǎng)絡安全問題。如通過電子郵件、FTP 引入病毒、危險的 Java 或 ActiveX 應用等。因此，需要在網(wǎng)絡內(nèi)對上述情況提供集成的網(wǎng)絡病毒檢測、消除等操作。 * 提供給 Inter 的 WWW 應用如： HTTP、 FTP、 MAIL 等服務需要保障系統(tǒng)抵抗和檢測攻擊的能力。 XX 網(wǎng)絡安全系統(tǒng)目標 伴隨 著應用的 XX 網(wǎng)絡不斷增強，網(wǎng)絡上應用系統(tǒng)越來越多，更好的、更有效的、更方便的保護和管理系統(tǒng)資源、網(wǎng)絡資源，是實現(xiàn)網(wǎng)絡安全的目標。實施網(wǎng)絡安全系統(tǒng)項目，整體規(guī)劃網(wǎng)絡安全系統(tǒng)，作好以下幾個方面的規(guī)劃和實施： * 應用程序加密 * 應用完整性 * 用戶完整性 * 系統(tǒng)完整性 * 網(wǎng)絡完整性 網(wǎng)絡完整性主要是對網(wǎng)絡系統(tǒng)的保護，通過設置防火墻系統(tǒng)等保證通訊安全；系統(tǒng)的完整性是指對信息系統(tǒng)的保護主要有防病毒、風險評估、入侵檢測、審計分析等方面。應逐步部署整體企業(yè)網(wǎng)絡安全系統(tǒng)，使企業(yè)網(wǎng)絡在安全的前提下更好、更方 便、更有效為企業(yè)服務。 整體結構描述 XX 的網(wǎng)絡有一個 Inter 連接出口，由于 XX 網(wǎng)絡的安全體系包括內(nèi)外二部分，所以目前的安全假設為：企業(yè)總部局域網(wǎng)內(nèi)網(wǎng)。企業(yè)各分支機構、 Inter 為外網(wǎng)，外部服務器為公共區(qū)。將內(nèi)網(wǎng)看作信任網(wǎng)絡，將外網(wǎng)視為不信任網(wǎng)絡，將公共區(qū)看作內(nèi)、外都可信任網(wǎng)絡。其總體結構如下： 1) 內(nèi)網(wǎng)：公司內(nèi)部局域網(wǎng)設 2) 外網(wǎng)： Inter 及各分支機構 3) 公共區(qū)：外部服務器 方案說明 根據(jù)以上，我們建議在 XX 公司計算機網(wǎng)絡系統(tǒng)的網(wǎng)關防火墻采用 SonicWall 做如下解決方案： 采用 SonicWall 將內(nèi)網(wǎng)絡和外網(wǎng)絡隔離開來，不允許內(nèi)外網(wǎng)絡建立直接鏈接，保證了網(wǎng)絡層和數(shù)據(jù)鏈路層的安全性，保證 Inter 對外部服務器的安全訪問。 訪問的安全控制 * 內(nèi)網(wǎng)絡的用戶對 Inter 的訪問 對于內(nèi)部用戶對 Inter 的請求包括 Email 和 HTTP、 FTP 等服務由防火墻作為代理， Firewall在中間也起到過濾、識別、身份驗證的作用。 * 地址轉換（ NAT） 由于目前企業(yè)內(nèi)網(wǎng)采用私有 IP 地址， Firewall 提供內(nèi)、外地址的翻譯 ，即可隱藏內(nèi)部 IP。 5. XX 安全需求與安全目標 根據(jù) XX 的網(wǎng)絡結構和網(wǎng)絡使用情況 ,本方案從下面幾個方面來加強網(wǎng)絡安全的管理 安全需求分析 : 訪問控制及內(nèi)外網(wǎng)的隔離 訪問控制 訪問控制可以通過如下幾個方面來實現(xiàn)： :如《用戶授權實施細則》、《口令字及帳戶管理規(guī)范》、《權限管理制度》。 ：在內(nèi)部網(wǎng)與外部網(wǎng)之間，設置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防火墻設置在不同網(wǎng)絡或網(wǎng)絡安全域 之間信息的唯一出入口。 防火墻主要的種類是狀態(tài)檢測型，狀態(tài)檢測防火墻可利用 IP 和 TCP 包的頭信息對進出被保護網(wǎng)絡的 IP 包信息進行過濾，能根據(jù)企業(yè)的安全政策來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流。同時可實現(xiàn)網(wǎng)絡地址轉換（ NAT）、審記與實時告警等功能。由于這種防火墻安裝在被保護網(wǎng)絡與路由器之間的通道上，因此也對被保護網(wǎng)絡和外部網(wǎng)絡起到隔離作用。 防火墻具有以下五大基本功能：過濾進、出網(wǎng)絡的數(shù)據(jù)；管理進、出網(wǎng)絡的訪問行為；封堵某些禁止的業(yè)務；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡攻擊的檢測和告警 。 網(wǎng)絡安全檢測 網(wǎng)絡系統(tǒng)的安全性取決于網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡系統(tǒng)進行安全性分析，及時發(fā)