精华内容
下载资源
问答
  • 企业网络安全规划方案
    千次阅读
    2021-11-27 20:26:22

    【摘要】随着国内企业信息化的快速发展,存在一部分企业在不同程度上信息化集成的优势没有发挥出来,阻碍了信息化的带给企业的高可用的利用,影响了它的软实力给企业带来的间接或直接的工作效率。 因此,完善企业信息化建设方案,需建立在数据的基础上,以先进科学技术的管理理念,通过IT信息化辅助,打造企业内部可靠、实用性强的信息化。

    【关键词】信息化管理;建设方案;数据安全性
    1 引言 3
    1.1 研究背景及意义 3
    1.2 本课题主要工作 4
    2 某企业信息化现状 4
    2.1 该企业信息化现状 5
    2.2 系统现状及存在的问题 5
    2.3 该企业信息化需求分析 5
    2.3.1网络需求分析 5
    2.3.2系统需求分析 6
    2.3.3安全需求分析 6
    2.3.4安全管理策略 7
    2.3.5系统访问控制策略 8
    2.3.6网络安全监控 8
    2.3.7漏洞扫描与风险评估策略 9
    2.3.8计算机病毒防治策略 9
    2.3.9备份与恢复策略 9
    3 企业信息化整体解决方案 10
    3.1规划整体方案 10
    3.2网络建设方案 10
    3.3系统建设 14
    3.3.1财务会计系统 15
    3.3.2人力资源管理系统 15
    3.3.3企业信息化管理 15
    3.4安全建设 15
    3.4.1网络安全防护 15
    3.4.2入侵检测与防御 16
    3.4.3安全漏洞扫描及评估 17
    3.4.4防病毒系统 17
    3.4.5终端监控与管理 18
    4结束语 18
    5致谢 19
    参考文献 19

    在这里插入图片描述

    资料下载:请点击》》》

    更多相关内容
  • 部分内容列举,包括但不限于: ...奥运场馆网络安全整体规划方案 构建在CISP知识体系下的信息安全规划设计 基于风险管理的IT治理与合规 经典_中石油信息系统总体规划 某公司信息系统安全保障体系规划方案等等
  • 中小型企业网络安全规划与解决方案的研究.pdf
  • 安全系统整体规划 网络及安全现状分析 网络安全整体解决方案 安全方案优劣势分析等
  • 企业网络安全系统规划方案.pdf
  • 企业网络安全系统规划方案.docx
  • XX政务云数据中心等级...商业银行整体网络安全规划方案 思科安全架构 真正可靠,安全运营体系的规划、建设与落地 网络安全系统规划方案投标建议书 如何规划企业整体上云战略 网络安全等级保护安全设计技术要求应用指南
  • 针对中小企业网络规划解决方案模板。 目 录:  一、项目概述  二、需求概述  三、网络需求  1.布线结构需求  2.网络设备需求  3.IP地址规划  四、系统需求  1.系统要求  2.网络和应用服务  五、存储备份...
  • 企业网络安全规划服务方案.pptx
  • 企业网络安全规划拓扑设计全面参考(253份设计拓扑) 大型集团IT安全保障体系建设规范总册、技术分册、管理分册全集 中国证券期货业信息安全工作规划 【精华】企业IT战略规划实战参考案例 【经典】xx集团流程优化及...
  • 大型企业级网络边界安全解决方案,描述了网络安全部署规划,防范措施,日志管理,设备管理等
  • 同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由...

    某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。

    企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。

    企业有一条专线接到运营商用以连接互联网,由于从运营商只获取到一个公网IP地址,所以企业员工访问互联网需要做NAT网络地址转换。

    85fbf608-c415-eb11-8da9-e4434bdf6706.png

    需求分析:

    一、基础配置按照拓扑搭建网络:

    1、为R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。

    2、在Core1/ Core1上设置特权密文密码123456。

    3、配置R1 Core1/ Core1/Internet互联接口。

    4、配置PC1-PC8的IP地址,采用DHCP自动获取方式配置。

    财务部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10

    人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20

    销售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30

    工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40

    5、IP地址规划,本次规划地址:

    自己规划内网的IP地址,但必须用私网IP,可用IP外围如下:

    IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

    R1与Internet之间用:200.1.1.0/24

    PC9:200.200.200.200/24 GW:200.200.200.254/24

    二、交换部分

    1、Core1/ Core2/SW1/SW2/SW3/SW4的连接接口封装为Trunk。

    2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名为Cisco。Core1作为Server;其他交换机作为Client,设置密码。

    3、按规划好的VLAN并创建这几个VLAN,分别给销售部VLAN命名为sales;人事部VLAN命名为hr;财务部VLAN命名为cw;工程部VLAN命名为gcb。并把相应的接口划分到所属vlan中。

    4、Core1/ Core2连接接口做Etherchannel捆绑(聚合)。要求使用Cisco PAGP协议中的主动协商模式。

    5、在Core1上启用DHCP服务, 并建立对应VLAN(根据规划的VLAN及IP地址)的地址池,为财务部、人事部、销售部、工程部电脑提供DHCP服务。其中DNS:202.103.224.68,其他默认配置。

    三、路由部分

    1、在R1上配置默认路由,出口指向运营商。

    2、在Internet路由器上也配置默认路由。

    3、[OSPF]在R1/ Core1/ Core2上配置单区域(area 0)OSPF,使得全网互通[R1与运营商Internet互联的接口不宣告]。

    4、在Core1/ Core2配置HSRP路由冗余功能,使得财务部、人事部数据流量默认走Core1;销售部、工程部数据流量走Core2。

    路由部分必须每完成一步检查现象!

    四、安全部分

    1、在Core1上做ACL访问限制: 除PC5以外,其他用户都可以ping通web server服务器;内网用户都可以访问企业网站(web server服务器),但内部服务器web server不能访问外网。

    2、在SW1/SW3上启用端口安全功能,配置接入PC的端口,允许最大两个不同的MAC地址通过,如果违规,则SW1采用限制(Restrict)模式;SW3采用禁用(shutdown)模式。

    五、广域网部分

    1、在R1上配置PAT,使得企业内部所有PC都能访问互联网(ping通运营商的200.200.200.200),至此:内网PC全部互联,都可以访问内部网站。

    2、在R1上配置静态NAT,把web服务器映射到公网IP:200.1.1.3,使得PC9能够访问到企业的网站。

    实施:

    NAT的地址转换:

    89fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网能访问内网的服务器网站:

    8afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1与服务器连通性:

    90fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1访问内部服务器:

    94fbf608-c415-eb11-8da9-e4434bdf6706.png

    内网通信:

    98fbf608-c415-eb11-8da9-e4434bdf6706.png

    与外网通信:

    9afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5访问不到服务器:

    9dfbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5与外网连通性:

    a2fbf608-c415-eb11-8da9-e4434bdf6706.png

    服务器不能访问外网:

    a4fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网与内网的通信:

    a7fbf608-c415-eb11-8da9-e4434bdf6706.png

    NAT静态地址转换:

    aefbf608-c415-eb11-8da9-e4434bdf6706.png

    OSPF路由:

    b3fbf608-c415-eb11-8da9-e4434bdf6706.png

    DHCP配置:

    b8fbf608-c415-eb11-8da9-e4434bdf6706.png

    HSRP配置:

    bbfbf608-c415-eb11-8da9-e4434bdf6706.png

    路由和ACL配置:

    bcfbf608-c415-eb11-8da9-e4434bdf6706.png

    VTP配置:

    c1fbf608-c415-eb11-8da9-e4434bdf6706.png

    端口安全配置:

    c3fbf608-c415-eb11-8da9-e4434bdf6706.png
    c5fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC自动获取IP地址:

    c7fbf608-c415-eb11-8da9-e4434bdf6706.png

    案例:办公楼的网络建设架构方案(含监控规划)

    办公楼的网络系统设计,既有有线网络系统,也有无线覆盖系统。

    并且安防系统的网络系统有时候会单独设计,有时候和计算机网络系统共用局域网。

    今天的案例重点介绍计算机网络和视频监控组网方式与选择。

    cbfbf608-c415-eb11-8da9-e4434bdf6706.png

    某办公楼拟建总建筑面积约7500㎡;建筑类型为高层建筑,地上1-6层。

    1

    计算机网络系统建设架构

    计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和各种应用搭建一个灵活应用,安全可靠的硬件平台。

    将大楼的网络按部门分为若干个逻辑网段,将大楼的各种PC机、工作站、终端设备和局域网连接起来,并与广域网相连,形成结构合理、内外沟通的计算机网络系统。

    并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环境,开发各类信息库和应用系统,为大楼内的工作人员、访客提供充分、便捷的网络信息服务。

    cffbf608-c415-eb11-8da9-e4434bdf6706.png

    2

    数据交换网络建设架构

    计算机网络系统分内部办公网、外网。

    各个网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、核心层等二层,建立网络主干千兆,百兆到桌面的网络应用。

    1) 物理网络描述

    根据大楼业务网运营数据的特点,内部办公网、外网相互之间逻辑隔离。

    中心网络采用多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采用无线交换机对整个无线网路进行统一的管理。

    终端采用无线或有线方式实现用户网络接入,确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。

    依托物理平台,充分考虑当前各类应用以及网络数据的传输质量,采用虚拟局域网技术依据不同应用方向划分独立子网,有效地防止广播风暴及各类安全隐患在网络中的蔓延,确保各子网数据独立高效运行。

    2) 内网描述

    内部办公网面向中心内部用户,主要用于承载中心内部各类应用,如:OA、多媒体、 网络管理等无须上INTERNET的业务。

    子网内部通过部署防火墙,审计,行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管,确保中心日常办公应用及本地数据交换的高效性,具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。

    OA办公系统应用于内部信息系统,为全中心提供完善的办公自动化服务,实现无纸化办公,提高工作效率。

    功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。

    全面实现全局无纸化网上办公,实现的功能包括行政办公,公共信息。

    3) 外网描述

    办公外网主要为:中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等,为各类中心内部及流动用户提供全面高效的数据访问和交互平台。

    d0fbf608-c415-eb11-8da9-e4434bdf6706.png

    3

    视频监控网络建设架构

    视频监控网络作为数据网络的子网,前端接入层独立于数据网络之外,采用汇聚层专注用于监控数据传输,最后汇入核心层。

    网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、汇聚层、核心层等三层,建立网络主干千兆,百兆到终端的网络应用。

    1) 终端信号采集

    采用终端网络摄像机进行视频信号采集,采集数据为数字信号,无须在终端部署视频服务器等转换设备,降低投入成本。

    且通过网络摄像机可以实现和其他安防监控系统实现联动,进一步提高产品利用率,使应用更高效。且网络摄像机基于IP架构,所有监控设备均通过IP链路连接,管理方便。

    2) 监控数据传输

    终端通过部署基于IP的网络摄像机,将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚。

    考虑到数据传输质量和实时性要求高,因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换。

    3) 监控数据存储

    所有监控终端监控视频数据将通过IP链路汇聚后集中,采用IP-SAN模式实现高速实时存储,同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份,已备后续查询。

    4) 实时监控及管理

    在核心交换处旁路模式部署监控管理服务器,自动扫描发现所有监控中所有设备,并形成对应拓扑,并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。

    同时采用千兆光链路将数据传输至安保监控中心,通过电视墙实时显示。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    4

    数据交换网络建设部署

    1) 核心交换部署

    终端节点约500个,部署千兆核心交换机,设置在2层信息中心主机房网络设备柜。

    采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余,所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上,保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。

    采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN;同一部门可以跨楼层进行相互访问,不同的部门间未经允许不能进行访问,不同VLAN间的通信通过核心交换机实现。负责内网络的转发。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    各核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    3) 无线接入部署

    部署百兆无线接入交换机,设置在1层信息中心机房,支持千兆上行端口,实现无线AP可控可管。无线AP与无线控制器无线交换机配合组网(Fit AP),便于集中管理。

    使用无线网络部分覆盖,填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制,本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。

    各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备,无线AP上行接口采用百兆以太网接口接入,无线路由器支持802.11abgn,双频单模,集成天线,支持工作在2.4Ghz与5.8Ghz频段,能提供20M/40M信道技术。

    d4fbf608-c415-eb11-8da9-e4434bdf6706.png

    视频监控局域网:

    1) 汇聚交换部署

    终端节点约60个,部署千兆核心交换机,设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    5

    服务器及存储部署

    内网网络设置2台业务信息化数据库服务器 (一主一备),采用X86机型,设置2个光纤网卡作为存储端口;其他服务器根据应用需求具体另行配置。

    针对业务信息化数据设置2套光纤磁盘阵列,同时部署数据镜像系统,保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络,配置2台8口SAN交换机(考虑冗余),连接前端档案信息化数据库服务器。

    考虑到公司信息化相关数据的重要性和实时性,对业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件,对应用系统所依赖的重要数据实时的备份到存储设备上。

    内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群;外网配置网络边缘WEB服务器、防病毒服务器和邮件服务器等;监控网配置视频存储服务器等。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    6

    网络安全部署

    考虑到整个网络后续的运行稳定性和数据安全性,将在中心网络中部署防火墙,入侵防御、防毒墙等安全产品,以有效的对进出网络以及DMZ区域数据访问进行有效的控制管理和授权。

    1) 网络管理系统部署

    内、外、监控网分别部署网络管理平台,及时地发现问题、跟踪定位和阻止泛滥,为网络操作人员提供监控和阻止网络攻击所必需的信息。

    实现各网络运行情况告警并产生报表;集中管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。

    d8fbf608-c415-eb11-8da9-e4434bdf6706.png

    2) 防火墙系统部署

    在网络接入边界处,部署千兆高性能防火墙作为安全边界,对进出外网的数据进行有效的过滤和防护。

    防火墙要求支持至少2个左右千兆电口,同时至少2个千兆光口,要求设备支持bypass功能,防治单点故障造成网络中断。

    设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式,要求支持基于域、接口、Alias别名等信息建立安全策略,能够基于文件大小,内容,url实现对HTTP服务的控制和过滤,同时要求支持邮件过滤,支持贝叶斯过滤方式,支持自主学习,能实现RBL实时黑名单地址管理。

    能够对各类应用进行有效过滤和控制,如游戏,聊天,下载等。

    3) 防病毒系统部署

    在互联网接入区部署1台防毒墙系统,支持500的用户数。实现互联网访问网络时的安全策略,对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀,支持脱壳技术。

    外网配置1套支持500用户的网络版防病毒软件。

    4) 入侵防御系统部署

    在互联网接入区部署1台入侵防御系统,入侵防御系统从3个方面进行有效防御及保障:

    主动防护:对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;

    系统漏洞遮断:为网络中的主机提供有效的系统漏洞防护方案,弥补由于补丁不能及时更新而造成的系统脆弱性;

    应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;

    关键业务系统保障:通过智能的安全防御,最大限度降低各种恶意行为对关键业务服务及设备的威胁。

    大厦网络建设方案

    01

    建设原则

    网络系统建设遵循统一规划、分步实施的指导思想,工程的设计必须在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和长期需要。

    设计及实施充分遵循以下原则:

    1、分层原则

    整个网络采用层次化结构分为:核心层、接入层,将整个网络功能细化到各层,实现方便管理和规范网络结构。

    2、网络技术先进性和实用性

    网建设采用的交换和传输技术,具有一定的前瞻性,符合一定时期内网络通信技术发展的趋势,并在今后一定的时期内处于主流地位。

    3、采用标准化、开放的网络技术

    整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。

    开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。

    网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,保证系统运行的安全可靠,并具有较长的使用生命周期,以适应其业务不断发展的需要,有效地保护用户投资的长期效益。

    4、网络高可靠性原则

    由于企业的业务发展语音、视频会议、OA、ERP系统等应用对网络的稳定可靠运行要求特别高,对数据传输的实时性的要求也很高。

    因而要求,一方面选用的网络设备具有相当高的可靠性,另一方面,在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施,以保障网络的高可靠性和安全性。

    5、网络可扩充性

    随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;

    随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。

    能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。

    6、安全性和保密性

    在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离。

    因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。

    要有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d 、802.1w 等。

    另外,未来保护系统内部的网络安全性,整网设备支持ACL功能,将病毒包及非法包都限制在二层设备上,避免向上层网络扩散,保护网络整体的安全性设计。

    7. 网络实现的高性价格比原则

    在满足基本需求的条件下,如网络的可靠性、安全性、性能和一定的可扩展性等,尽可能降低网投资改造的费用。

    网络技术和设备的选择以满足需要为原则,不一味追求高档次设备。

    8、网络的可管理性

    建议网络系统中的所有设备均应是可管理的,支持远程监控和故障的过程诊断和恢复,并可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。

    02

    建设目标

    网络建设目标是:建设一个支持数字化、网络化、自动化的先进的基础网络平台,满足内部信息共享、0A 系统的需要,也满足企业信息化建设的长期要求。

    网络平台具有良好的服务质量、较高安全性、便于管理和维护,能够支持企业的各种办公和科研应用,信息发布。

    骨干速率采用1000M速率。

    网络关键节点建议使用能够冗余热备保障系统连续稳定运行。

    具有高带宽、高可靠、高性能、高安全的特性。

    03

    组网结构

    基于以上要求分析,大厦网络解决方案总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。

    我们提出采用如下拓扑结构方式进行网络建设:

    dbfbf608-c415-eb11-8da9-e4434bdf6706.png

    具体网络详细情况描述

    机房分布:在1 层、2 层、3 层、5 层、8 层、10 层、13 层各设置弱电配电间,在1层设置大楼总机房。

    无线 AP 接入点分布:1 层 X 个点、3-14 层每层个 X 个点。

    楼层信息点汇聚情况:

    1 层、1、3 层墙插、电话到各层层配电间,4-5 层到 5 层配电间。

    6-8 层墙插、电话到8 层配电间。

    9-11 层墙插、电话到10 层配电间。

    12-14 层墙插、电话到14 层配电间。

    如上图所示,采用层次化结构设计原则,分为核心层、接入层。

    本局域网组网模型将网络结构分为核心层和接入层:

    核心层 :核心层要承担各业务应用服务器与底下接入交换机的千兆连接,所以要配置一台高性能多业务交换机,要具备分布式业务处理体系结构,实现业务的 全分布式处理,并能提供稳定、可靠、安全的高性能L2/L3 层交换服务,以及电信级、自适应的可靠性设计。

    接入层 :接入层交换机要可以提供48 端口或者24 端口,并能通过千兆链路连接到核心交换机,可以使用堆叠的方式扩展端口密度,同时能支持ARP防控,以及多业务的融合能力,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。

    路由器部分 :采用 H3C 的 MSR66002X1 新一代路由器将内网与外网分离,基本保护了内网的安全。

    并能实现内部网络与广域网互联支持静态路由、RIP、OSPF 等常见路由协议,支持NAT 功能。

    无线 AP:未知产品

    IP 地址规划

    defbf608-c415-eb11-8da9-e4434bdf6706.png
    e0fbf608-c415-eb11-8da9-e4434bdf6706.png

    04

    方案特点

    1、对内部各个不同的楼层,根据不同的业务,划分不同的虚拟网VLAN,一来保证数据系统的安全,阻截无权限用户对关键数据系统的访问。

    另一方面,通过VLAN的划分,缩小每种业务的广播域,减小因数据的过度广播造成对带宽资源的浪费,保 证网络系统的资源有效的利用于必须的业务,提高业务处理能力,提高办公效率。

    2、通过合理的 DHCP IP地址分配,保证系统具有良好的结构化和合理的可扩展性。

    对于每个部门分配相应的IP地址段,并预留足够的扩展空间,从而在一些部门用户 数量急剧增加时,不因地址空间不够用而造成地址管理的混乱,影响系统的正常运行。

    3、本网络方案支持多种ACL访问控制策略,在整个网络系统划分不同虚拟网络的同时,在不同的网络间配置合理的路由和访问控制策略ACL,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。

    使路由表项不重复、不遗漏,以使数据在 合理的方向传递,保证路由资源的高效利用。

    4、提供联通专线、二级运营商两项网络接入,双网互备,方便移动用户接入 internet。

    05

    配置步骤

    1、创建 VLAN 10-140 [Switch]vlan 10

    2、将 E1/0/2口加入 VLAN10

    [Switch-vlan2]port Ethernet1/0/2

    3、进入 VLAN 接口 10 [Switch-vlan10]int vlan 10

    4、为 VLAN10配置 IP 地址

    [Switch-vlan10-interface10]ip address 166.111.1.1 255.255.255.0

    5、全局时能DHCP功能

    [Switch]dhcp enable

    6、创建 DHCP地址池

    [Switch]dhcp server ip-pool h3c

    7、配置动态分配的IP 地址范围、有效期、网关地址、DNS地址 [Switch-dhcp -pool-h3c]network 166.111.1.0 mask 255.255.255.0 [Switch-dhcp -pool-h3c] expired day 3

    [Switch-dhcp -pool-h3c]gateway-list 166.11.1.1 [Switch-dhcp -pool-h3c]dns-list 202.106.0.20

    8、配置某个地址为不可分配地址

    [Switch]dhcp server forbidden-ip 166.11.1.1

    9、指定 VLAN10虚接口工作在全局地址池模式下

    [Switch]dhcp select global interface vlan-interface 10

    VLAN20 VLAN30相应的楼层配置如同上述命令

    10、开启远程 Telnet 功能

    user-interface aux 0

    user-interface vty 0 4

    user privilege level 3

    set authentication password simple h3c

    银行网络建设方案

    本次分享的银行网络模型参考了国内外同行业的组网模型,按照标准化、模块化、结构的原则对生产中心进行升级,将生产中心过于扁平化、安全性低的现状改变,所以可以将生产中心规划成:

    核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

    在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。

    • 核心交换区:为生产网络的各功能子区提供核心路由交换。
    • 生产核心区:部署天津商行生产服务和生产小机。
    • 前置机服务器区:连接各种业务前置机专用区域
    • 楼层接入区(迁移):负责本地办公用户的接入。
    • 网银区(迁移):部署网上银行业务的服务器。
    • DWDM 区:连接生产中心和灾备中心的广域传输系统区域。
    • 广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
    • 中间业务外联区: 通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
    • 运行维护区:部署网络和系统管理及维护的业务系统。

    01

    设计概述

    1 东丽数据中心整体结构

    东丽数据中心主要需要建立IP网络和存储网络。在IP网络中,按业务功能和安全需要分 为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等) 连接相应的主机、服务器、 pc机等设备, 每个网络区域的汇聚/ 接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。

    IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、 网银区、 DWDM 区、广域网接入区、中间业务外联区、运行维护区, 如图:

    e3fbf608-c415-eb11-8da9-e4434bdf6706.png

    2 VLAN规划

    在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求, 再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。

    3 路由设计

    在数据内部, 交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0,其他区域内部分别运行OSPF和静态路由。

    02

    核心交换区设计

    1 具体设计

    在东丽数据中心中,核心交换区连接了其他不同的分区。它也作为数据中心连接灾备 中心和广域网络的连接点。核心区在数据中心架构中的作用是,尽可能快速地在网络之间实 现数据传输的路由和数据交换。

    核心区主要部署两台高端交换机S12508 交换机连接其他功能分区,提供10G 和 GE 链 路的双归属连接。两台核心交换器之间采取Trunk 链路连接,启用IRF技术,将两条核心交换机虚拟成一台。

    核心区交换机连接到所有其他区的边缘设备,有两类连接连接到核心,一 类是来自核心生产业务(比如生产核心区, 前置机区)的连接,对该类应用提供高速访问服务,采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/ 接入交换机都上行连接到Core-SW1和 Core-SW2。每个区交换机将使用单独的VLAN,VLAN 跨越两个交换机,上行链接到核心。

    2 VLAN划分

    与每个子区域的互联接口可划分为同一VLAN,将核心交换区域与各子域的互联链路进行链路聚合。如下图所示:

    e6fbf608-c415-eb11-8da9-e4434bdf6706.png

    3 路由规划

    在 2 台 Core-SW1 和 Core-SW2 核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议,所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。

    采用IRF技术后,可以大大简化网络中的路由设置,减少需要的互联路由网段,其中,除网银与中间业务外联区外,其它区域的汇聚 / 接入交换机与核心之间的互联链路都进行聚合,生产核心区和前置机区在各自区域的核心/ 接入交换机上启用三层功能,采用OSPF和核 心交换区之间进行互通,如下图所示意:

    eafbf608-c415-eb11-8da9-e4434bdf6706.png

    03

    生产核心区规划

    1 拓扑

    eefbf608-c415-eb11-8da9-e4434bdf6706.png

    生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机;在该区域采用三层架构,采用全千兆智能接入交换机S5500EI 系列交换机提供小机及服务器的光口、电口接入,每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上,两条S9508E 交换机互相之间采用双万兆链路聚合捆绑,启用IRF功能,将两台汇聚交换机虚拟成一台交换机,每个S9508E 各出一个万兆接口上联到数据中心核心交换机 S12508 上,上行的两条万兆链路启用链路捆绑功能,聚合成一条20G 的物理链路。

    2 VLAN规划

    上联到核心交换区的VLAN 采用链路聚合, 合并为一个VLAN,在分区内部根据不同级别 的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将汇聚层 95 的相关接口划分在一个OSPF-STUB区域中,以免数据中心中收到过多的LSA。各个功能区与核心区通讯路径要保证双向一致性和确定性。

    在任何链路状况下,通讯双方的往返路径均相同,并且可预知。 生产核心区外连核心区的2条链路的进行链路捆绑,在路由计算上,只有一条路径,但是该路径包含2个万兆端口,提供物理层面的冗余。

    04

    前置机区规划

    1拓扑

    f0fbf608-c415-eb11-8da9-e4434bdf6706.png

    前置机区连接生产类系统的前置机等;该区使用4台千兆智能交换机S5500-52C-EI交换 机。4台 S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。

    2 VLAN规划

    上联到核心区的链路进行链路捆绑,采用同一个VLAN 进行互联。 在分区内部根据不同级别的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    3路由规划

    接入交换机启用三层功能,前置机网关设置在接入交换机上,接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将接入交换机的相关接口划分在一个 OSPF- STUB区域中,以免数据中心中收到过多的LSA。

    各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下,通讯双方的往返路径均相同,并且可预知。前置区外连核心区的2 条万兆链路的进行链路捆绑, 在路由计算上,只有一条路径,但是该路径包含2 个万兆端口,提供物理层面的冗余。

    05

    广域网接入区规划

    广域网接入区主要连接与各省市分行,天津市内各区县支行,分理处等的上联网络设 备,该区使用两台SR6608 核心路由器作为各分支机构的上联设备,每个SR6608 配置3个CPOS广域接口,2 个主用,一个备用。

    f2fbf608-c415-eb11-8da9-e4434bdf6706.png

    1 路由规划

    广域网接入区与整个数据中心采用统一的策略和部署方案,在核心区作为OSPF骨干区 的前提下,广域网接入区内部路由协议采用OSPF,在区域内路由详细规划上,建议如下:

    广域网路由器与核心交换机互联的端口,划分为OSPF骨干域0域

    广域网路由器下联接口,按照原有的路由规划,划分为1、 2、 3、 4 和 10、 20 、30 、40 等几个路由子域。路由器到核心交换机上的链路采用Trunk 链路进行连接。

    06

    IRF虚拟化技术

    IRF 2交换机虚拟化实现多台设备虚拟化成一台设备,即多台设备当做一台设备来运行、管理。 大大简化数据中心日益复杂的组网和管理维护,相比于传统的MSTP、VRRP和多路径 的路由协议,IRF 可以免除这些协议的部署,简化设备并成倍的提升网络性能与可靠性。

    1 技术优点

    IRF堆叠具有以下主要优点:

    简化管理。IRF堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录 IRF堆叠系统, 这相当于直接登录IRF 系统中的Master设备, 通过对Master设备的配置达到管理整个IRF堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。

    简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行 的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。IRF 技术的这一特性是常见的集群技术所不具 备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。

    低成本。 IRF 技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。

    强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。

    保护用户投资。由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。很好的保护了用户投资。

    高可靠性。堆叠的高可靠性体现在多个方面,比如: 成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护, Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master ,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。IRF 是网络可靠性保障的最优解决方案。

    高性能。 由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容 量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的堆叠, 轻易的将设备的核心交换能力、用户端口的密度扩大数倍, 从而大幅度提高了设备的性能。

    丰富的功能。IRF支持包括IPv4、 IPv6、 MPLS、安全特性、OAA 插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。

    广泛的产品支持。IRF 技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的 实现,使用同一技术,同时支持盒式设备的堆叠,以及框式分布式设备的堆叠。

    2 典型组网应用

    使用 IRF 扩展端口数量

    使用 IRF扩展端口数量如下图所示。当接入的用户数增加到原交换机端口密度不能满足 接入需求时,可以通过在原有的堆叠系统中增加新的交换机而得到满足。

    f6fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展系统处理能力

    使用 IRF扩展系统处理能力如下图所示。当中心的交换机转发能力不能满足需求时,可 以增加新交换机与原交换机组成堆叠系统来实现。若一台交换机转发能力为64M PPS,则通过增加一台交换机进行扩展后,整个堆叠设备的转发能力为128MPPS。需要强调的是,是整个堆叠设备的转发能力整体提高,而不是单个交换机的转发能力提高。

    f8fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展带宽

    使用 IRF扩展带宽如下图所示,当边缘交换机上行带宽增加时,可以增加新交换机与原 交换机组成堆叠系统来实现。将成员设备的多条物理链路配置成一个聚合组,可以增加到中心交换机的带宽。而对中心交换机的而言,边缘交换机的数量并没有变化,物理上的两台交 换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。因此,这种变化对网络规划和配置影响很小。

    fafbf608-c415-eb11-8da9-e4434bdf6706.png

    跨越空间使用IRF

    IRF2.0 可以通过光纤将相距遥远的设备连接形成堆叠设备,如下图所示,每个楼层的用 户通过楼道交换机接入外部网络,现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设备,这样, 相当于每个楼只有一个接入设备,网络结构变得更加简单;每个楼层有多条链路到达核心网络,网络变得更加健壮、可靠; 对多台楼道交换机的配置简化成对对堆叠系统的配置,降低了管理和维护的成本。

    fbfbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 简化组网

    常见的网络组网使用MSTP、VRRP等协议来支持链路冗余、网关备份。 这种组网在各种场合均会使用,这里仅以汇聚层与接入层之间的组网为例。

    使用 IRF2.0后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨 设备的链路聚合,在成员出现故障时不再依赖MSTP、 VRRP等协议的收敛,提高了可靠性。

    fefbf608-c415-eb11-8da9-e4434bdf6706.png
    展开全文
  • 公司、企业、单位网络安全建设方案,对整个网络进行安全规划,使其达到纵深防御的效果,减少给单位企业带来的损失。
  • 网络安全现状及需求分析 信息安全规划思路 第一阶段-迫切阶段建设方案 第二阶段信息安全建设方案 第三阶段信息安全建设方案 第四阶段信息安全建设方案
  • 网络安全解决方案

    千次阅读 2022-01-19 14:28:50
    一,网络安全体系结构 网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护,检测,响应和恢复等手段构成。 1,网络信息安全的基本问题 研究信息安全的困难在于: 边界模糊 数据安全与平台...

    一,网络安全体系结构

    • 网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护检测响应恢复等手段构成。

    1,网络信息安全的基本问题

    • 研究信息安全的困难在于:
      • 边界模糊
        • 数据安全与平台安全相交叉;存储安全与传输安全相制约;网络安全,应用安全与系统安全共存;集中的安全模式与分权制约安全模式相互竞争等。
      • 评估困难
        • 安全结构非常复杂,网络层,系统层,应用层的安全设备,安全协议和安全程序构成一个有机的整体,加上安全机制与人的互动性,网络的动态运行带来的易变性,使得评价网络安全性成为极其困难的事。
      • 安全技术滞后
        • 安全技术是一种在对抗中发展的技术。不断出现的应用安全问题是安全技术发展的促进剂。在这个意义上,安全技术总是滞后的。
      • 管理滞后
        • 传统的安全管理是制度管理,法规管理,其在今天高度分散,高度复杂的网络化信息操作环境中变得力不从心。需要构建一种技术管理与制度法规管理相平衡的新的管理模式。
    • 保护检测响应恢复覆盖了对现代网络信息系统保护的各个方面,构成一个完整的体系,使网络信息安全建筑在更坚实的基础之上。
      • 保护Protect):
        • 保护包括传统安全概念的继承,用加解密技术,访问控制技术,数字签名技术,从信息动态流动,数据静态存储和经授权方可使用,以及可验证的信息交换过程等多方面对数据及其网上操作加以保护。
      • 检测Detect):
        • 检测是对信息传输的内容的可控性的检测,对信息平台访问过程的检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等。
      • 响应React):
        • 要求安全体系提供有力的响应机制。包括在遇到攻击和紧急事件时能及时采取措施。
      • 恢复Restore):
        • 狭义的恢复指灾难恢复,在系统受到攻击的时候,评估系统受到的危害和损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
        • 广义的恢复还包括灾难生存等现代新兴学科的研究。保证信息系统在恶劣的条件下,甚至在遭到恶意攻击的条件下,仍能有效地发挥效能。

    2,网络安全设计的基本原则

    • 惊醒计算机网络安全设计,规划时,应遵守以下原则:

    1,需求,风险,代价平衡分析的原则

    • 对一个具体网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制订规范和措施,确定本系统的安全策略,保护成本及被保护信息的价值必须平衡。

    2,综合性,整体性原则

    • 一个较好的安全措施往往是多种方法综合的应用结果。
    • 只有从系统综合的整体角度区看待和分析,才可能获得有效可行的措施。

    3,一致性原则

    • 指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。

    4,易操作性原则

    • 安全措施要由人来完成,如果措施过于复杂,则对人的要求过高,反而降低了安全性。

    5,适应性,灵活性原则

    • 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应,容易修改。

    6,多重保护原则

    • 任何安全保护措施都不是绝对安全的,都可能被攻破,但是建立一个多重保护系统,各层之间相互补充,当一层保护被攻破时,其他保护层任可以保护信息安全。
    • 全方位的安全体系主要包括:
      • 访问控制
        • 通过对特定网段,服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
      • 检查安全漏洞
        • 通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
      • 攻击监控
        • 通过对特定网段,服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动。
      • 加密通信
        • 主动的加密通信,可使攻击者不能了解,修改敏感信息。
      • 认证
        • 良好的认证体系可防止攻击者假冒合法用户。
      • 备份和恢复
        • 良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。

    二,网络安全解决方案

    1,网络安全解决方案的基本概念

    • 网络安全解决方案涉及安全操作系统技术,防火墙技术,病毒防护技术,入侵检测技术,安全扫描技术,认证和数字签名技术和VPN技术等多方面的安全技术。
    • 好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。在三者的关系中,技术是关键,策略是核心,管理是保证。
    • 动态性是网络安全的一个非常重要的概念,网络安全的动态性就是随着环境的变化和时间的推移,安全性会发生变化,因此在进行网络安全解决方案设计时,不仅要考虑当前的情况,也要考虑未来可能出现的新情况。
    • 完整的网络安全解决方案,应该根据目标网络系统的具体特征和应用特点,有针对性的解决可能面临的安全问题。需要考虑的问题主要包括:
      • 关于物理安全的考虑。
      • 关于数据安全的考虑。
      • 数据备份的考虑。
      • 防病毒的考虑。
      • 关系操作系统/数据库/应用程序的安全考虑。
      • 网络系统安全结构的考虑。
      • 通信系统安全的考虑。
      • 关于口令安全的考虑。
      • 关于软件研发安全的考虑。
      • 关于人员安全因素的考虑。
      • 网络相关设施的设置和改造。
      • 安全设备的选型。
      • 安全策略与安全管理保障机制的涉及。
      • 网络安全行政与法律保障体系的建立。
      • 长期安全顾问服务。
      • 服务的价格。
      • 事件处理机制。
      • 安全监控网络和安全监控中心的建立。
      • 安全培训等。

    2,网络安全解决方案的层次划分

    • 网络信息安全包括了建立安全环境的几个重要组成部分:

      • 第一部分:安全的基石是社会法律法规手段

      • 第二部分:增强的用户认证,用户认证在网络管理和信息的安全中属于技术措施的第一道大门,最后的防线为审计和数据备份。可以根据以下三种因素提供用户认证。

        1. 用户持有的证件,如出入证。
        2. 用户知道的信息,如密码。
        3. 用户特有的特征,如指纹。
        • 根据人认证中采用因素的多少,可以分为单因素认证,双因素认证1和多因素认证等方法
      • 第三部分授权,为特许用户提供合适的访问权限,并监视用户的活动,使其不越权使用。

      • 第四部分加密,加密主要满足以下几个需求。

        1. 认证:识别用户身份,提供访问许可。
        2. 一致性:保证数据不被非法篡改。
        3. 隐藏性:保护数据不被非法用户查看。
        4. 不可抵赖:使信息接收者无法否认曾经收到的信息。
      • 第五部分审计和监控,确切地说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出现问题,这部分可以提供问题的再现,责任追查,重要数据复原等保障。

    • 这五个部分使相辅相成的,缺一不可。其中底层使上层保障的基础,如果缺少下面个层次的安全保障,上一层的安全措施则无从说起。

    3,网络安全解决方案的框架

    • 一份完整的网络安全解决方案应该包括以下7个方面,在实际应用中可以根据需要进行适当取舍。

    1,网络安全需求分析

    • 进行安全需求分析时需要确立以下几种意识
      • 风险意识:百分之百的安全是不可能的;明确“干什么”和“怕什么”,做到什么样的“度”。
      • 权衡意识:系统开销,经济承受力等综合权衡;准确定义业务要求。
      • 相对意识:理想的技术不适用,当前技术有缺点;准确定义安全保密要求;合理设置防火墙的等级。
      • 集成意识:集成是我国信息安全设备和技术发展的捷径。

    2,网络安全风险分析

    • 网络的安全风险分析
    • 系统的安全风险分析
    • 应用的安全风险分析
    • 整体安全风险分析

    3,网络安全威胁分析

    • 安全威胁主要来自以下方面:
      • 操作系统的安全性。
      • 防火墙的安全性。
      • 来自内部网用户的安全威胁。
      • 缺乏有效的手段监视,评估网络系统的安全性。
      • 采用TCP/IP协议,本身缺乏安全性。
      • 未能对来自Internet的电子邮件,网页等携带病毒进行有效控制。
      • 应用服务的安全。

    4,网络系统的安全原则

    • 动态性
      • 网路,系统和应用会不断有新的安全威胁和风险出现,制定的网络安全原则必须保持动态性。
    • 唯一性
      • 安全的动态性决定了安全解决方案的唯一性,针对每个网络系统的解决方案都应是独一无二的。
    • 专业性
      • 对于网络,系统和应用等方面的安全风险和解决方案,要从专业的角度来分析和把握,而不能是一种大概的描述。
    • 严密性
      • 整个解决方案要具有很强的严密性和逻辑性。
    • 整体性
      • 对于网络系统所面临的安全风险和威胁,要从整体上把握,进行全面地保护和评估。

    5,网络安全产品

    • 主要包括:防火墙,反病毒系统,身份认证系统,入侵检测系统,VPN设备等。

    6,风险评估

    • 风险评估是工具和技术的结合,其目的是对网络系统面临的安全风险进行详细的分析和评估。

    7,安全服务

    • 安全服务是通过技术支持向目标对象提供持久服务。随着安全风险和安全威胁的快速发展与变化,安全服务的作用变得越来越重要。

    三,网络安全解决方案设计

    1,安全需求分析

    • 依据网络安全分层理论,根据ISO七层网络协议,在不同层次上,相应的安全需求和安全目标的实现手段各不相同,主要是针对在不同层次上安全技术实现而定。
    • 对于基于TCP/IP协议的系统来说,安全层次是与TCP/IP协议层次相对应的,针对该企业网络的实际情况,可以将安全需求层次归纳为网络层安全和应用层安全两个技术层次,同时将在各层都涉及的安全管理部分单独作为一部分进行分析。
      在这里插入图片描述

    1,网络层需求分析

    • 网络层安全需求是保护网络不受攻击,确保网络服务的可用性。
      • 需要保证该企业网络与Internet安全互联,能够实现网络的安全隔离。
      • 保证必要的信息交互的可信任性。
      • 保证企业内部网络不能够被Internet访问。
      • 该企业网络公共资源能够对合法用户提供安全访问能力。
      • 对网络安全事件的审计。
      • 对于网络安全状态的量化评估。
      • 对网络安全状态的实时监控。
    • 能够防范来自Internet的对提供服务的非法利用,包括:
      • 利用HTTP应用,通过Java AppletActiveXJavaScript形式。
      • 利用FTP应用,通过文件传输形式。
      • 利用SMTP应用,通过对邮件分析及利用附件所造成的信息泄露和有害信息对该企业网络的侵害。
    • 能够防范来自Internet的网络入侵和攻击行为的发生,并能够做到:
      • 对网络入侵和攻击的实时鉴别。
      • 对网络入侵和攻击的预警。
      • 对网络入侵和攻击的阻断与记录。

    2,应用层需求分析

    • 应用层安全主要与单位的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全需求。
    • 应用层的安全需求是针对用户和网络应用资源的,主要包括:
      • 合法用户可以以指定的方式访问指定的信息。
      • 合法用户不能以任何方式访问不允许其访问的信息。
      • 非法用户不能访问任何信息。
      • 用户对任何信息的访问都有记录。
    • 要解决的安全问题主要包括:
      • 非法用户利用应用系统的后门或漏洞,强行进入系统。
      • 用户身份假冒:非法用户利用合法用户的用户名,破译用户密码,假冒合法用户身份,访问系统资源。
      • 非授权访问:非法用户或者合法用户访问在其权限之外的系统资源。
      • 数据窃取:攻击者利用网络窃听工具窃取经由网络传输的数据包。
      • 数据篡改:攻击者篡改网络上传输的数据包。
      • 数据重放攻击:攻击者抓获网络上传输的数据包,再发送到目的地。
      • 抵赖:信息发送方或接收方抵赖曾经发送过或接收到了信息。
    • 企业网络应用系统的安全体系应包含:
      • 访问控制:通过对特定网段,服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
      • 检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可达到攻击目标,也可使绝大多数攻击无效。
      • 攻击监控:通过对特定网段,服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动。
      • 加密通信:主动地加密通信,可使攻击者不能了解和修改敏感信息。
      • 认证:良好的认证体系可防止攻击者假冒合法用户。
      • 备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
      • 多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
      • 隐藏内部信息:使攻击者不能了解系统内的基本情况。
      • 设立安全监控中心:为信息系统提供安全体系管理,监控及紧急情况处理服务。

    3,安全管理需求分析

    • 安全管理主要包括三个方面;
      • 内部安全管理:内部安全管理主要采取行政手段和技术手段相结合的方法。
      • 网络安全管理:网络层的安全管理可以通过网管,防火墙,安全检测等一些网络层的管理工具来实现。
      • 应用安全管理:包括建立统一的用户库,统一维护资源目录和统一授权等。
    展开全文
  • 采用满足这些要求并与其云提供商无缝集成的云网络安全解决方案将帮助企业在威胁日益增加的环境中保持安全。

    随着企业扩展其云采用和关键业务用例,其云基础架构的安全性通常变得更加复杂。出于这个原因,专家会建议企业采用统一的多层方法来保护其云部署并确保稳健的云安全态势。

    Forrester 最近的一项研究指出,云安全信心是采用更多云服务的主要驱动力,刚才提到的方法可以缓解安全问题。

     图 1:统一云原生安全平台的多层结构

    基于责任共担模型,在基础设施层 (IaaS),云提供商负责保护其计算网络存储基础设施资源。云用户负责保护部署在基础设施上的数据、应用程序和其他资产。云提供商提供了许多工具和服务来帮助用户维护他们的责任共担模型,它们是所有云网络安全解决方案的重要组成部分。

    但是,云提供商不是安全专家,他们也不解决多云基础架构的问题,因此需要这些工具和服务之外的其他安全解决方案来实现企业级网络安全。

    云网络安全是一个关键的基础层。在这里,企业经常部署虚拟安全网关来提供高级威胁预防、流量检查和微分段。这些解决方案包括多层安全技术,例如防火墙、入侵防御系统 (IPS)、应用程序控制、数据丢失防护等。

    本文将介绍在为云部署检查和选择云网络安全平台时必不可少的 10 个标准。它解释了企业管理者如何确保供应商解决方案可以提供对企业的成功和安全至关重要的功能。

    1、它是否提供高级威胁防御和深度安全?

    在当今复杂的网络安全环境中,威胁检测不足以有效保护云资产。这是因为在威胁入侵企业网络后才检测到该威胁,会使企业的资产暴露在无法接受的网络安全风险水平之下。

    企业需要针对已知和未知(零日)漏洞进行多层实时威胁防护。该解决方案必须通过细粒度和深度流量检查、增强威胁情报和沙盒等功能提供深度安全性,以隔离可疑流量,直到它被验证或阻止。

    这将允许企业在渗透网络之前捕获并消除威胁。此外,这些高级功能必须部署在南北(传入/传出)和东西(横向)流量上。

    2、解决方案是否无边界?

    安全团队无法使用由特定于供应商或特定于环境的安全工具组成的零散堆栈来提供企业级保护。即使是最复杂的多云和混合(公共/私有/本地)环境,该解决方案也必须透明且一致地运行。

    统一的管理界面,有时称为“单一管理平台”,应该提供单一的云网络安全信息来源,以及一个集中的命令和控制台。

    3、是否有细化的流量检查和控制?

    如果没有深度流量检查,企业很容易成为规避技术的牺牲品,这些技术试图通过看似合法的接入点执行未经授权的操作。寻找下一代防火墙 (NGFW)功能,例如超越基本白名单的精细匹配粒度、深度检查以确保流量与允许端口的用途相匹配、基于 URL 地址的高级过滤以及不仅仅在端口级别的控制,应用级别也是如此。

    4、是否有自动化?

    任何不能实现高度自动化的云解决方案都将无法得到客户的支持。为了与 DevOps 的速度和可扩展性相匹配,该解决方案必须支持高水平的自动化,包括安全网关的程序化命令和控制、与 CI/CD 流程的无缝集成、自动化威胁响应和修复工作流,以及不需要人工干预的动态策略更新。

    5、集成体验如何,是否易用?

    集成对于此处描述的许多其他考虑因素至关重要,例如实现无边界操作和提高可见性。它在创建跨功能的云安全平台方面发挥着重要作用,该平台不仅可以解决基础设施安全问题,还可以解决应用程序安全、云安全态势管理等问题。

    因此,该解决方案必须与企业的配置管理堆栈(包括对基础设施即代码部署的支持)协同工作。此外,该解决方案必须与云提供商的产品深度集成。一般来说,企业的目标应该是通过最大限度地减少必须单独部署和管理的单点安全解决方案的数量来简化操作并提高易用性。

    6、是否有足够的可见性和可观察性?

    企业管理者无法保护看不到的东西。解决方案的仪表板、日志和报告应在事件发生时提供端到端和可操作的可见性。例如,日志和报告应该使用易于解析的云对象名称,而不是模糊的 IP 地址。如果发生违规行为,这种可见性对于增强取证分析也很重要。

    7、解决方案是否可扩展并具有安全远程访问?

    在高度分散的世界中,远程访问既安全又高效的企业网络是必不可少的。该解决方案必须保护对公司云环境的远程访问,具有多因素身份验证、端点合规性扫描和传输中数据加密等功能。

    远程访问还必须能够快速扩展,以便在中断期间(例如疫情大流行),任何数量的远程员工都可以高效且安全地工作。

    8、是否有上下文感知的安全管理?

    随着资产、变更和配置管理框架在漏洞修复工作中发挥核心作用,企业的安全平台必须能够无缝发布变更并实时适应所有相关的安全策略。

    云网络安全解决方案必须能够在整个环境(公共云和私有云以及本地网络)中聚合和关联信息,以便安全策略能够感知上下文并保持一致。对网络、资产或安全组配置的更改应自动反映在其相关的安全策略中。

    9、提供哪些供应商支持和行业认可?

    除了解决方案本身的特性和功能之外,密切了解供应商也很重要。寻求公正的建议,以寻找能够推动云安全战略向前发展的供应商,以适应和扩展不断变化的业务需求。

    企业还需考虑以下问题:

    • 是否受到独立行业分析师和第三方安全测试公司的高度评价?

    • 可以满足企业的 SLA要求吗?

    • 是否有可靠的记录?

    • 能否提供附加价值,例如网络安全咨询服务?是否可以支持企业的全球运营?

    • 是否致力于创新,以使其解决方案经得起未来考验?

    • 其软件是否成熟,漏洞很少,是否提供及时的修复?

    10、总拥有成本是多少?

    企业必然希望其云安全平台能够简化运营、优化工作流程并降低成本,同时增强安全态势。

    通过查看许可模式的灵活性、云安全平台与现有 IT 系统集成并利用现有 IT 系统的程度、管理系统所需的人员水平和范围、供应商的 MTTR 和可用性 SLA 来确定总拥有成本。

    企业最不想看到的就是隐藏的基础设施、人员和其他在系统启动并运行后才会出现的成本。

    11、结论

    迁移到云端的企业需要能够控制自己的数据并将其保密,保护自己免受网络威胁,并安全地将云与传统的本地网络连接起来——同时保持对监管要求的合规性。

    采用满足这些要求并与其云提供商无缝集成的云网络安全解决方案将帮助企业在威胁日益增加的环境中保持安全。

    GItHub:GitHub - yunionio/cloudpods: A cloud-native open-source unified multi-cloud and hybrid-cloud platform. 开源、云原生的多云管理及混合云融合平台

    展开全文
  • 稳步提升公司在上海信息安全行业的市场份额、品牌形象,同时积极开拓国内市场,致力于将公司打造成为在全国范围内、提供网络安全等级保护建设咨询以及解决方案的最受用户信赖的信息安全公司之一。
  • 关于电商行业网络安全解决方案

    千次阅读 2021-12-08 13:53:03
    那边雄安边将根据根据电商行业业务特点,大致阐述下电商行业网络安全安全解决方案。 应用场景 场景一:保障平台稳定性 平台稳定是电商根本。在Tb级DDoS攻击已成常态的今天,电商行业需要面临更为严峻的安全...
  • XX 公司网络安全隐患与需求分析 1.1 网络现状 公司现有计算机500余台,通过内部网相互连接与外网互联。在内部网络中,各服务部门计算机在同一网段,通过交换机连接。如下图所示: 1.2 安全隐患分析 1.2.1应用系统的...
  • 计算机网络课设--小型企业网络规划与设计

    千次阅读 多人点赞 2021-07-13 22:16:58
    题目 网络设计的规划与实现 学年学期 20Xx-20Xx学年第一学期 课程名称 计算机网络实践 院 系 XXX学院 专 业 计算机科学与技术 学 号 ...
  • 网络课程设计】校园网规划方案

    万次阅读 多人点赞 2022-01-05 15:06:27
    无锡科技职业学院校园网规划方案 1 需求分析 1.1 校园网总体概述 无锡科技职业学院位于无锡市新吴区新锡路8号,其学习内部划分多个楼层。共有三个局域网站组成一个大型的校园网,分别为宿舍区域,教学区域,以及实训...
  • n推动生产、销售、新业务领域的自 动化、数字化、网络化、信息化、 集成化,为今后打造智能制造、智 慧农业奠定坚实基础; n推进IT基础设施建设与提升,采用 全新的架构设计理念,建成组件 化、集中化、服务化、...
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 基于eNSP的千人校园/企业网络设计与规划,运用的管家技术如DHCP、SVIP、OSPF、RIP、NAT、Telnet、ACL、SNMP等关键技术,但是在本综合实验中简单网络管理协议SNMP就没有配置了
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 企业网络安全设计方案
  • 网络安全方案集锦

    2007-08-24 10:07:30
    网络安全方案集锦,汇聚几个著名企业规划方案,包括华为,美国安泰。。。
  • 这是一份我暑假实训的时候按要求出的一份安全防护方案的设计,大家不要抄好吗! 一、 背景概述 4 二、 工控系统信息安全需求 5 2.1工业控制系统和传统IT系统差异化分析 5 2.2工业控制系统所面临威胁分析 7 ...
  • 山石网科 互联网企业安全 SD-WAN解决方案 从新挑战新思路到解决方案到应用场景
  • 企业弱口令治理方案

    千次阅读 2022-03-25 00:22:23
    弱口令问题一直是企业安全管理的痛点,一旦企业用户的账号密码泄露或被破解,将导致大量的内部信息泄露。假设一个场景:一家大型企业使用AD域架构实现用户账号管理。...网络接入:准入、VPN、虚拟桌面等...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 231,195
精华内容 92,478
热门标签
关键字:

企业网络安全规划方案