【正文】 XX 企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)： ● 網(wǎng)絡(luò)系統(tǒng)安全 。 ● 應(yīng)用系統(tǒng)安全 。 ● 物理安全 。 ● 安全管理 。 安全設(shè)計(jì)總體考慮 根據(jù) XXX 企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行考慮： ● 網(wǎng)絡(luò)傳輸保護(hù) 主要是數(shù)據(jù)加密保護(hù) ● 主要網(wǎng)絡(luò)安全隔離 通用措施是采用防火墻 ● 網(wǎng)絡(luò)病毒防護(hù) 采用網(wǎng)絡(luò)防病毒系統(tǒng) ● 廣域網(wǎng)接入部分的入侵檢測(cè) 采用入侵檢測(cè)系統(tǒng) ● 系統(tǒng)漏洞分析 采用漏洞分析設(shè)備 ● 定期安全審計(jì) 主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì) ● 重要數(shù)據(jù)的備份 ● 重要信息點(diǎn)的防電磁泄露 ● 網(wǎng)絡(luò)安全 結(jié)構(gòu)的可伸縮性 包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展 ● 網(wǎng)絡(luò)防雷 網(wǎng)絡(luò)安全 作為 XXX 企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換， 網(wǎng)絡(luò)傳輸 由于 XXX 企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等 。另一套是與INTERNET 相連，通過(guò) ADSL 接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過(guò)公共線路建立跨越 INTERNET 的企業(yè)集團(tuán)內(nèi)部局域 網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而 INTERNET 本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。 由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用 VPN 技術(shù)來(lái)構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用 VPN 設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套 VPN設(shè)備，由 VPN 設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù) XXX 企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)， VPN 設(shè)置如下圖所示： 圖 41 三級(jí) VPN 設(shè)置拓?fù)鋱D 每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN 設(shè)備和一臺(tái) VPN 認(rèn)證服務(wù)器 (VPNCA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái) VPN 設(shè)備，由上級(jí)的 VPN 認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的 VPN 設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？蛇_(dá)到以下幾個(gè)目的： ● 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù) 。 由安裝在網(wǎng)絡(luò)上的 VPN 設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸 ● 網(wǎng)絡(luò)隔離保護(hù) 。 與 INTERNET 進(jìn)行隔離，控制內(nèi)網(wǎng)與 INTERNET 的相互訪問(wèn) ● 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性 。 ● 降低成本 (設(shè)備成本和維護(hù)成本 )。 其中，在各級(jí)中心網(wǎng)絡(luò)的 VPN 設(shè)備設(shè)置如下圖： 圖 42 中心網(wǎng)絡(luò) VPN 設(shè)置圖 由一臺(tái) VPN 管理機(jī)對(duì) CA、中心 VPN設(shè)備、分支機(jī)構(gòu) VPN 設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于 VPN 設(shè)備的 DMZ 口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。 下級(jí)單位的 VPN 設(shè)備放置如下圖所示： 圖 43 下級(jí)單位 VPN 設(shè)置圖 從圖 44 可知，下屬機(jī)構(gòu)的 VPN 設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來(lái)講將是一筆不小的費(fèi)用。 由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素 決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象 。同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。 訪問(wèn)控制 由于 XXX 企業(yè)廣域 網(wǎng)網(wǎng)絡(luò)部分通過(guò)公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來(lái)自 INTERNET 上許多非法用戶的攻擊和訪問(wèn)，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的 VPN 設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求： ● 控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn) 。 ● 控制外部合法用戶對(duì)服務(wù)器的訪問(wèn) 。 ● 禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn) 。 ● 控制內(nèi) 部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò) 。 ● 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊 。 ● 防止內(nèi)部主機(jī)的 IP 欺騙 。 ● 對(duì)外隱藏內(nèi)部 IP 地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 。 ● 網(wǎng)絡(luò)監(jiān)控 。 ● 網(wǎng)絡(luò)日志審計(jì) 。 詳細(xì)配置拓?fù)鋱D見(jiàn)圖 4圖 4圖 43。 由于采用防火墻、 VPN 技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)： ● 管理、維護(hù)簡(jiǎn)單、方便 。 ● 安全性高 (可有效降低在安全設(shè)備使用上的配置漏洞 )。 ● 硬件成本和維護(hù)成本低 。 ● 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高 由于是采 用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。 入侵檢測(cè) 網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng) (IDS)可與安全 VPN 系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見(jiàn)的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng) (阻斷、報(bào)警、發(fā)送 Email)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器 (網(wǎng)絡(luò)引擎 )?？?制臺(tái)用作制定及管理所有探測(cè)器 (網(wǎng)絡(luò)引擎 )。探測(cè)器 (網(wǎng)絡(luò)引擎 )用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)而不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。 入侵檢測(cè)系統(tǒng)的設(shè)置如下圖： 從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與 VPN 設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò) VPN 設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽(tīng)，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知 VPN 設(shè)備中斷網(wǎng)絡(luò) (即 IDS 與 VPN 聯(lián)動(dòng)功能 )等方式進(jìn)行控制 (即安全設(shè)備自適應(yīng)機(jī)制 )，最后將攻擊行為進(jìn)行日志記錄以供以后審查。 漏洞掃描 作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使 用過(guò)程中會(huì)出現(xiàn)新的安全問(wèn)題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。 本方案中，采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)