重庆工业职业技术学院 《信息安全》课程实训报告
题目：企业网络安全综合设计方案 班级：11信安301 姓名：陈巧2011206301111 何月2011206301110 指导老师：何静 责任系部：信息工程学院
摘要
当今世界信息化建设飞速发展,尤其以通信、计算 机、网络为代表的互联网技术更是日新月异,令人 眼花燎乱，目不睱接。由于互联网络的发展，计 算机网络在政治、经济和生活的各个领域正在迅 速普及，全社会对网络的依赖程度也变越来越高。 但伴随着网络技术的发展和进步，网络信息安全 问题已变得日益突出和重要。因此，了解网络面 临的各种威胁，采取有力措施，防范和消除这些 隐患，已成为保证网络信息安全的重点。 本文主 要通过对 的安全体系建设、企业整体网络安全方 案以及该方案的组织和实施等方面的阐述，为企 业提供一个可靠地、完整的安全综合设计方案。
2.6 用户网络内部工作人员的不良行为引 起的安全问题
网络内部用户的误操作，资源滥用和恶意 行为也有可能对网络的安全造成巨大的威 胁。由于各行业，各单位现在都在建局域 网，计算机使用频繁，但是由于单位管理 制度不严，不能严格遵守行业内部关于信 息安全的相关规定，都容易引起一系列安 全问题。
2.7 竞争对手的恶意窃取、破坏以及攻击
6.2防火墙技术
网络防火墙技术是一种用来加强网络之间 访问控制,防止外部网络用户以非法手段通 过外部网络进入内部网络,访问内部网络资 源,保护内部网络操作环境的特殊网络互联 设备.它对两个或多个网络之间传输的数据 包如链接方式按照一定的安全策略来实施 检查,以决定网络之间的通信是否被允许,并 监视网络运行状态.
4.2 方案综述
设置备份服务器，用于因客观原因、自然 灾害等原因造成的服务器崩溃。
4.2 方案综述
广域网接入部分, 采用入侵检测系统 （IDS） 。对外界入侵和内部人员的越界行 为进行报警。在服务器区域的交换机上、 Internet接入路由器之后的第一台交换机上 和重点保护网段的局域网交换机上装上IDS。
四、网络安全总体设计
4.1 需求分析
根据xx企业满足内部网络机构，根据XXX企业 各级内部网络机构、广域网结构、和三级网络管 理、应用业系统的特点，本方案主要从以下几个 方面进行安全设计： 数据安全保护,使用加密技术,保护重要数据的保密 性； 网络系统安全,防火墙的设置 ； 物理安全,应用硬件等安装配置 ； 应用系统安全,局域网内数据传输的安全保证 。
设置DMZ，数据冗余存储系统。将需要保 护的Web应用程序服务器和数据库系统放 在内网中，把没有包含敏感数据、担当代 理数据访问职责的主机放置于DMZ中，这 样就为应用系统安全提供了保障。DMZ使 包含重要数据的内部系统免于直接暴露给 外部网络而受到攻击，攻击者即使初步入 侵成功，还要面临DMZ设置的新的障碍。
企业网络拓扑构建图
二、网络威胁、风险分析
2.1 黑客攻击
“黑客”（Hack）对于大家来说可能并不陌生，他们是一 群利用自己的技术专长专门攻击网站和计算机而不暴露身 份的计算机用户，由于黑客技术逐渐被越来越多的人掌握 和发展，目前世界上约有20多万个黑客网站，这些站点都 介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞， 因而任何网络系统、站点都有遭受黑客攻击的可能。尤其 是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段， 使得黑客们善于隐蔽，攻击“杀伤力”强，这是网络安全 的主要威胁[1]。而就目前网络技术的发展趋势来看，黑客 攻击的方式也越来越多的采用了病毒进行破坏，它们采用 的攻击和破坏方式多种多样，对没有网络安全防护设备 （防火墙）的网站和系统（或防护级别较低）进行攻击和 破坏，这给网络的安全防护带来了严峻的挑战。
六、技术支持与服务
6.1虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。 交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因 此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路 由器。 由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应 该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过 虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟 网内节点。 以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实 际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监 听和插入（改变）问题。 但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此， VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换 端口或每个交换端口所在的网段机器均属于相同的VLAN。
4.2 方案综述
首先设置vpn,方便内网与外网的连接。虚拟 专用网是对企业内部网的扩展.可以帮助远 程用户,公司分支机构,商业伙伴及供应商同 公司的内部网建立可信的安全连接，并保 证数据(Data)的安全传输.虚拟专用网可以 用于不断增长的移动用户的全球因特网接 入，以实现安全连接；可以用于实现企业 网站之间安全通信的虚拟专用线路，用于 经济有效地连接到商业伙伴和用户的安全 外联网虚拟专用网.
4.2 方案综述
设置防火墙，防火墙是对通过互联网连接 进入专用网络或计算机系统的信息进行过 滤的程序或硬件设备。所以如果过滤器对 传入的信息数据包进行标记，则不允许该 数据包通过。能够保证使用的网站的安全 性，以及防止恶意攻击以及破坏企业网络 正常运行和软硬件，数据的安全。防止服 务器拒绝服务攻击.
4.2 方案综述
系统漏洞分析。采用漏洞分析设备
五、安全设备要求
5.1 硬件设备
pc机若干台,包括网络管理机,员工工作用机； 交换机2台； 服务器4台； 防火墙5台； 内外网隔离卡 ； 漏洞扫描器； AMT御系统； 查杀病毒软件； 访问控制设置。
xx企业网络安全综合设计方案
一、企业网络分析
xx科技有限公司是一家以信息安全产品销 售为主营业务的小型企业，公司网络通过 中国联通光纤接入 Internet。 该公司拥有子 公司若干，并与其它信息安全产品销售公 司建立了兄弟公司关系。为了适应业务的 发展的需要，实现信息的共享，协作和通 讯，并和各个部门互连，对该信息网络系 统的建设与实施提出了方案。
2.2 网络自身和管理存在欠缺
因特网的共享性和开放性使网上信息安全存在先 天不足，因为其赖以生存的TCP/IP协议，缺乏相 应的安全机制，而且因特网最初的设计考虑是该 网不会因局部故障而影响信息的传输，基本没有 考虑安全问题，因此它在安全防范、服务质量、 带宽和方便性等方面存在滞后和不适应性。网络 系统的严格管理是企业、组织及政府部门和用户 免受攻击的重要措施。事实上，很多企业、机构 及用户的网站或系统都疏于这方面的管理，没有 制定严格的管理制度。据IT界企业团体ITAA的调 查显示，美国90％的IT企业对黑客攻击准备不足。 目前美国75％－85％的网站都抵挡不住黑客的攻 击，约有75％的企业网上信息失窃。
三、安全系统建设原则
适应性、灵活性原则：充分考虑今后业务和网络 安全协调发展的需求，避免因只满足了系统安全 要求，而给业务发展带来障碍的情况发生; 高可用原则：安全方案、安全产品也要遵循网络 高可用性原则; 技术与管理并重原则：“三分技术，七分管理”， 从技术角度出发的安全方案的设计必须有与之相 适应的管理制度同步制定，并从管理的角度评估 安全设计方案的可操作性； 投资保护原则：要充分发挥现有设备的潜能，避 免投资的浪费;
4.2 方案综述
网络病毒防护，采用网络防病毒系统。在 网络中部署被动防御体系（防病毒系统）, 采用主动防御机制（防火墙、安全策略、 漏洞修复等），将病毒隔离在网络大门之 外。从总部到分支机构，由上到下，各个 局域网的防病毒系统相结合，最终形成一 个立体的、完整的企业网病毒防护体系。
4.2 方案综述
2.4 恶意网站设置的陷阱
互联网世界的各类网站，有些网站恶意编 制一些盗取他人信息的软件，并且可能隐 藏在下载的信息中，只要登录或者下载网 络的信息就会被其控制和感染病毒，计算 机中的所有信息都会被自动盗走，该软件 会长期存在你的计算机中，操作者并不知 情，如 “木马”病毒。因此，不良网站和 不安全网站万不可登录，否则后果不堪设 想。
6.3病毒防护技术
病毒防护的主要技术如下： (1) 阻止病毒的传播。 在防火墙、代理服务器、SMTP服务器、网络服务器、群 件服务器上安装病毒过滤软件。在桌面PC安装病毒监控 软件。 (2) 检查和清除病毒。 使用防病毒软件检查和清除病毒。 (3) 病毒数据库的升级。 病毒数据库应不断更新，并下发到桌面系统。 (4) 在防火墙、代理服务器及PC上安装Java及ActiveX控 制扫描软件，禁止未经许可的控件下载和安装。
6.2防火墙技术
防火墙技术又有三种类型 包过滤型 网络地址转换(NAT) 代理型 监测型
6.3病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于 网络的广泛互联，病毒的传播途径和速度大大加 快。 我们将病毒的途径分为： (1 ) 通过FTP，电子邮件传播。 (2) 通过软盘、光盘、磁带传播。 (3) 通过Web游览传播，主要是恶意的Java控件 网站。 (4) 通过群件系统传播。
关键词
信息安全
企业网络安全 安全防护
引言
20世纪80年代以来，全球信息技术飞速发展，信息技术的应用迅速渗 透到社会经济的各个领域，人们的工作和生活越来越依赖与计算机和 网络技术，信息安全问题成了个人、企业和国家面临的最基本的问题。 提到信息安全，人们首先想到的就是病毒、黑客入侵。在媒体的宣传 下，病 毒、黑客已经成为危害信息安全的罪魁祸首。然而，人们却忽 视了组织内部人员有意或无意对信息的窥探或窃取。从常理角度出发， 内部人员更易获取信息，因为内部人员可以很容易地辨识信息存储地， 另外也不需要他们拥有精深的IT知识，只要是从事过计算机专业操作 的人士，就可以轻易的获取公司机密文件及技术文件；还有一种状态， 就是内网环境的安全状态。因内网层次的不明确，网络划分及安全的 不到位，通过网络及USB等一些外部设备的病毒携带会对整个网络带 来危害，也对企业所有局域化办公人员的资料及技术上的一些重要信 息、信件、工作报告等，将会通过网络赤裸裸的呈现给公司以外的不 法人员。如果企业的外网和内网一样松懈、腐烂。那局外的黑客、和 对立企业的间谍要想辨别哪些是他们想要的信息，就更加轻而易举了。 因为他们的技能远远超过了企业内部的计算机崇业者的技术要求。