计算机网络安全设计方案.docVIP

客户背景

集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团广域网采用MPLS-VPN技术，用来为各个分公司提供骨干网络平台和VPN接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。

二、平安威胁

某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部采用无纸化办公，OA系统成熟。每个局域网连接着该所有部门，所有的数据都从局域网中传递。同时，各分公司采用VPN技术连接公司总部。该单位为了方便，将相当一局部业务放在了对外开放的网站上，网站也成为了既是对外形象窗口又是内部办公窗口。

由于网络设计部署上的缺陷，该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况，同时有些个别机器上的杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间都持续几十分钟，网管简直成了救火队员，忙着去除病毒，重装系统。对外WEB网站同样也遭到黑客攻击，网页遭到非法篡改，有些网页甚至成了传播不良信息的平台，不仅影响到网站的正常运行，而且还对政府形象也造成不良影响。〔平安威胁根据拓扑图分析〕从网络平安威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及平安管理漏洞等信息平安现状：经过分析发现该公司信息平安根本上是空白，主要有以下问题：

公司没有制定信息平安政策，信息管理不健全。

公司在建内网时与internet的连接没有防火墙。

内部网络〔同一城市的各分公司〕之间没有任何平安保障为了让网络正常运行。

根据我国《信息平安等级保护管理方法》的信息平安要求，近期公司决定对该网络加强平安防护，解决目前网络出现的平安问题。

三、平安需求

从平安性和实用性角度考虑，平安需求主要包括以下几个方面:

1、平安管理咨询

平安建设应该遵照7分管理3分技术的原那么，通过本次平安工程，可以发现集团现有平安问题，并且协助建立起完善的平安管理和平安组织体系。

2、集团骨干网络边界平安

主要考虑骨干网络中Internet出口处的平安，以及移动用户、远程拨号访问用户的平安。

3、集团骨干网络效劳器平安

主要考虑骨干网络中网关效劳器和集团内部的效劳器，包括OA、财务、人事、内部WEB等内部信息系统效劳器区和平安管理效劳器区的平安。

4、集团内联网统一的病毒防护

主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。

5、统一的增强口令认证系统

由于系统管理员需要管理大量的主机和网络设备，如何确保口令平安称为一个重要的问题。

6、统一的平安管理平台

通过在集团内联网部署统一的平安管理平台，实现集团总部对全网平安状况的集中监测、平安策略的统一配置管理、统计分析各类平安事件、以及处理各种平安突发事件。

7、专业平安效劳

过专业平安效劳建立全面的平安策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的平安风险情况，在必要的情况下，进行主机加固和网络加固。通过专业紧急响应效劳保证企业在面临紧急事件情况下的处理能力，降低平安风险。

四、方案设计

骨干网边界平安

集团骨干网共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrustCyberwall-200F/006防火墙一台。

在Internet出口处部署一台LinkTrustNetworkDefender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrustNetworkDefender可以实时监控网络中的异常流量，防止恶意入侵。

在各个分公司中添加一个DMZ区，保证各公司的信息平安，内部网络〔同一城市的各分公司〕之间没有任何平安保障

具体部署如下列图所示：

骨干网效劳器平安

集团骨干网效劳器主要指网络中的网关效劳器和集团内部的应用效劳器包括OA、财务、人事、内部WEB等，以及专为此次工程配置的、用于平安产品管理的效劳器的平安。

主要考虑为在效劳器区配置千兆防火墙，实现效劳器区与办公区的隔离，并将内部信息系统效劳器区和平安管理效劳器区在防火墙上实现逻辑隔离。还考虑到在效劳器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。

漏洞扫描

了解自身平安状况，目前面临的平安威胁，存在的平安隐患，以及定期的了解存在那些平安漏洞，新出现的平安问题等，都要求信息系统自身和用户作好平安评估。平安评估主要分成网络平安评估、主机平安评估和数据库平安评估三个层面。

内联网病毒防护

病毒防范是网络平安的一个根本的、重要局部。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络平安的病毒防护方面应该采用“多级防范，集中