公司一段時間後,基本實現了公司的辦公信息化,但由於當初的投資力度及意識不夠,以及公司領導未重視網路安全方面,導致公司的網路出現重大漏洞。在XX年10月份被人潛入公司內部網路,導致信息部中一項重要的招標檔案泄露,被競爭公司知曉,以1萬元的差距落選了該項目,導致公司的利益受到相當大的損害。為此,公司開始重視網路安全。在對公司的網路安全進行全面檢查後,發現以下問題。
1.3.1 主要安全隱患
(1)病毒的入侵在之前的規劃中,只提到了加大公司信息化管理的投資力度、採用計算機處理數據、進行網路建設,而對於網路安全方面的建設力度較小,這樣就使的黑客很容易就能在公司電腦植入病毒,從而引發重大災情。(2)內部人員操作缺乏安全意識如今網路發展迅速,但是網路安全技術和信息的套用普及相對滯後,內部人員缺乏安全方面的的培訓和學習,很容易忽略安全設備和系統,不能使其發揮相對的作用,這使的公司的網路存在較大的安全隱患。(3)設備物理安全由於網路中大部分的設備都是通過通信電纜通信的,為了布局合理性,往往核心設備都是放置在一個機房的,公司的機房只有簡單的上鎖沒有專人巡查看守,這使得公司的網路物理設備存在較大的安全隱患。
1.3.2 具體的網路安全問題
(1)公司網路拓撲不合理問題,沒有硬體防火牆公司網路中,沒有做到內部網路與外部網路的安全隔離,在公司網路拓撲設計上只採用伺服器經過路由器上網,而沒有配置防火牆,內外網互聯存在著很大的漏洞。(2)用戶身份認證問題在公司網路系統中,對具有遠程訪問許可權的用戶連線沒有採用加密與身份認證手段。(3)沒有入侵檢測技術和網路監控技術,對於入侵的目標無跡可尋,區域網路安全存在嚴重漏洞,沒有辦法有效的保護公司的信息安全。
第二章 網路安全架構需求分析
針對有限公司將再開設一個公司的情況,結合有限公司現在的網路狀況和現有條件,對網路安全設計方面提出一下幾點構思。
2.1 保證區域網路安全
針對有限公司招標檔案泄密的情況,保證區域網路安全是首要任務。主機防火牆的出現解決了其中比較矛盾突出的問題,也是最基本的問題,就是關於基礎安全;而近幾年日趨完善的桌面或終端區域網路安全管理類產品的出現實現了集中的區域網路計算機安全管理,提供了對於區域網路兩方面需求的滿足即安全與管理。
2.2保證廣域網的接入安全
internet是一個高度開放的大環境,用戶接入internet就意味著完全將自己暴露在危機四伏的處境。通過網路防火牆可以過濾來自internet的大部分攻擊, 防火牆能強化安全策略。 防火牆能有效地記錄internet上的活動、限制暴露用戶點、隔開網路中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網路傳播。 防火牆是一個安全策略的檢查站,所有進出的信息都必須通過防火牆,防火牆便成為安全問題的檢查點,使可疑的訪問被拒絕於門外。
2.3 保證遠程訪問的安全
遠程訪問是通過公眾網來傳輸私有數據,因此保證數據安全性是遠程訪問的關鍵環節。遠程訪問由於使用internet作為承載介質,vpn必須有足夠的安全保障功能,通過高強度的加密算法保證數據不被偵聽或篡改,確保接入用戶身份的唯一性。另外,還可以控制用戶對區域網路資源的訪問許可權,做的指定人訪問指定資源,訪問均在控制之中。
第三章 網路安全架構實現具體方案
3.1 設備連結拓撲圖與網路劃分
通過對有限公司的現有網路情況進行分析後,硬體方面決定在現有網路上部署一台防火牆以及nids設備,軟體方面決定採用趨勢科技的防毒牆,設備連結拓撲圖如圖所示:
1、wan口接入一台pc作為外部主機(開啟22連線埠和21連線埠即ssh服務和ftp服務),地址10.0.0.100/24,網關指向10.0.0.1;
2、dmz口接入一個web伺服器提供web服務和一個檔案伺服器提供檔案服務,web伺服器地址172.16.0.2/29網關指向172.16.0.1;檔案伺服器地址為172.16.0.3/29網關指向172.16.0.1;
3、lan區域接入一個192.168.1.0/24的子網,網關指向192.168.1.1。
4、ip網段是連續的ip地址,為: 192.168.0.1-192.168.0.168
5、防火牆管理pc機的ip為:192.168.0.1
6、nids管理pc機的ip為:192.168.0.2
7、信息安全管理審計系統管理pc機的ip為:192.168.0.3
8、區域網路保密安全系統的管理終端ip為:192.168.0.4
9、web伺服器ip地址為:172.16.0.2
10、檔案伺服器ip地址為:172.16.0.3
11、區域網路保密安全系統的總控中心伺服器ip為:172.16.0.4