中小企业网络安全解决方案Word格式.docx

中小企业网络安全解决方案Word格式.docx

《中小企业网络安全解决方案Word格式.docx》由会员分享，可在线阅读，更多相关《中小企业网络安全解决方案Word格式.docx（11页珍藏版）》请在冰豆网上搜索。

员工上网管理

垃圾邮件防范

企业内部各地区的网络连接

企业移动办公员工使用企业内部网络

方案简单说明

LanGate采用一个连贯的安全平台提供防火墙、内容过滤、边缘杀毒保护和虚拟专用网技术，这一中央管理式安全方法将安全网关放在主要接入点，预防恶意活动对整个网络的侵袭，该方式所提供的全面、按层进行的安全措施可完全防护来自内部以及外部网络各个层面的威胁。

这一整合式安全方法通过在关键接入点安装安全网关（而不是在全网络内各自安装安全服务）来防御恶意活动在网络中扩散。

这一全面的分层安全方法可坚实防御内部威胁、外部威胁和网络所有层的威胁。

LanGate提供了通过在单一设备内实现包括防火墙、虚拟专用网、网络缓存、网址过滤及病毒扫描等多种功能在内的产品方案，使用户不仅拥有了多性能、简单化、高可靠性的安全壁垒，而且有效地控制了成本，降低了实施、管理以及服务等多种潜在的消耗。

方案特点

高效的安全管理：

产品内置高性能的防火墙，因此对外部的侵犯和内部应用有强大的防范和管理功能。

稳定的运行机制：

整个系统采用自主开发操作系统，通过硬件加速，保证了系统长时间的稳定运行。

扩展方便灵活：

增加节点只需再安装相应LanGate产品，几乎不需任何配置，与现行软件实现无缝连接。

操作维护简单：

升级、维护方便，任何一个接入节点不需要专业人员维护，支持所有的操作系统，支持所有在TCP/IP协议上的应用。

其他特点：

每个接入节点可以根据各个本地电信资源、自身情况的不同选择适合自己接入手段组成网络。

“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。

　　----国际标准化组织（ISO）

　　从“信息化高速公路”到“数字地球”，信息化浪潮席卷全球。

Internet的迅猛发展

不仅带动了信息产业和国民经济地快速增长，也为企业的发展带来了勃勃生机。

　　　　以Internet为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高，也逐渐成为提高企业竞争力的重要力量。

　　　　企业通过Internet可以把遍布世界各地的资源互联互享，但因为其开放性，在Internet上传输的信息在安全性上不可避免地会面临很多危险。

当越来越多的企业把自己的商务活动放到网络上后，针对网络系统的各种非法入侵、病毒等活动也随之增多。

　　　　而我们面临的这些信息安全问题的解决，主要还是依赖于现代信息理论与技术手段；

依赖于安全体系结构和网络安全通信协议等技术；

依赖借助于此产生的各种硬件的或软件的安全产品。

这样，这些安全产品就成为大家解决安全问题的现实选择。

　　　　中国网络安全需求分析

　　　　网络现状分析

中国国内企业和政府机构都希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。

　　　　然而，有网络的地方就有安全的问题。

过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。

然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。

用户每一次连接到网络上，原有的安全状况就会发生变化。

所以，很多企业频繁地成为网络犯罪的牺牲品。

因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。

　　　　主要网络安全问题及其危害

　　　　----网络攻击在迅速地增多。

　　　　网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。

　　　　考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外开支等方面，对网络安全的破坏可能是毁灭性的。

此外，严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而造成的成本损失将是无法估量的。

　　----病毒邮件攻击的影响日益激烈

　　　　病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播，引发网络环境中的传输中断。

根据调查，87％以上的病毒通过电子邮件进入企业！

保密数据和交易秘密的丢失、员工对电子邮件系统的不当使用已使许多公司不得不承担法律责任，并损害了许多公司的声誉。

　　　　今天，越来越多的公司都在寻求一种主动解决方案来减少信息服务的中断时间并避免病毒侵入期间造成业务损失。

　　　　----对网络资源的不合理使用

　　　　开放式接入还可以无限制地访问大量恶意、有攻击性的及有争议的内容，以及与工作无关的材料。

据IDC统计，有30%~40%的Internet访问是与工作无关的，甚至有的是去访问色情站点。

人均每天使用两到三个小时工作时间用于收发个人邮件,浏览娱乐网站以及在聊天室打发时间。

因此，许多机构必须确定如何在允许员工无阻碍地访问互联网上大量有用信息的同时限制对不当内容的访问。

　　　　中国中小型企业客户分析

　　　　中国国内目前的中小型单位因为人力和资金上的局限，需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：

网络安全、病毒检测、网站过滤等等。

其着眼点在于：

国内外领先的厂商产品；

具备处理突发事件的能力；

能够实时监控并易于管理；

提供安全策略配置定制；

是用户能够很容易地完善自身安全体系。

　　　　思科安全设计蓝图（SAFE）

　　　　SAFE是思科公司安全解决方案的蓝图，该设计蓝图主要针对企业网络的功能，可为客户安全网络的设计、实施和维护提供端到端的安全性战略。

　　　　该蓝图能够模块化地设计、部署网络安全解决方案，并结合思科合作伙伴产品，为用户提供一体化的全面解决方案。

这样，就可以将市场领先的安全产品、成熟可靠的安全策略和单一平台的管理与客户现有网络基础设施结合起来，提供全面的网络保护：

　　　　提供高效的投资保护，而不必丢弃现有网络设备

　　　　模块化部署，可逐步实现深度分层防御

　　　　与合作伙伴良好的互操作性

　　　　24x7全球技术支持

　　　　安全性市场的领导者

　　　　易于管理

　　思科中小企业网络安全解决方案

　　　　针对中国中小企业客户的实际情况，结合思科先进的SAFE蓝图设计理念，思科公司专门推出了“网络健康应用健康精神健康”中小型企业网络安全解决方案：

　　　精简版：

CiscoSecurePIX501

　　下面是针对SOHO型网络的一种安全解决方案，该方案适用于10人以下的网络应用，通过CiscoSecurePIX501防火墙实现内外网络的安全隔离。

　　　　用户特点：

　　　　网络用户数较少，通常在10人以下

　　　　用户有联网的需求，但网络中数据吞吐流量不大

　　　　由于资金所限，通常采用ISDN或ADSL宽带上网，以降低链路费用

　　　　需要采用性价比较高的防火墙产品保障内部网络的安全

　　　　方案示意图：

　　　方案特点：

　　该方案可以为SOHO型网络提供企业级的网络安全性

　　　　在一台设备内提供丰富的安全服务，包括状态防火墙、入侵检测等

　　　　可以实现NAT和DHCP功能，保障内部合法用户的联网需求

　　　　支持PPPOE，满足小型用户通过宽带按需上网的要求

　　　　内置图形化Web管理界面，简单并易于管理

　　　　可平滑升级，具有良好的扩展性

　　　　CiscoSecurePIX501是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。

作为专用的工具，这些防火墙不提供WAN接口，也不支持除RIP之外的任何路由协议。

该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。

能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。

分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。

这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。

PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。

这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。

　　　　标准版：

CiscoSecurePIX501+TrendMicro25用户+Websense25用户

　　下面是针对小型企业网络的一种安全解决方案，该方案适用于10-25个用户的网络应用，通过CiscoSecurePIX501防火墙实现内外网络的安全隔离，并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。

有一定数量的网络用户，通常在10—25个用户左右

　　　　用户有联网的需求，且有一定的网络数据吞吐流量

　　　　通常采用ADSL宽带或较低速率专线上网，以降低链路费用

　　　　为保障网络安全，降低维护费用，除需要布置防火墙产品以外，还有防护网络病毒、限制对互联网带宽的不合理使用等需求

　　　　在保障上述需求的前提下，尽量节约采购的费用

　　方案示意图：

　　方案特点：

　　该方案可以为小型网络提供企业级的一体化网络安全

　　　　通过一个紧凑的、整合的解决方案提供强大的安全功能

　　　　可以和合作伙伴的产品无缝地结合起来，完成深层次的网络安全性管理，如：

防止网络病毒的入侵，阻止员工访问非授权的网站等功能

　　　　豪华版：

CiscoSecurePIX506E+TrendMicro50用户+Websense50用户

　　　　下面是针对中型企业网络的一种安全解决方案，该方案适用于25--50个用户左右的网络应用，通过CiscoSecurePIX506E防火墙实现内外网络的安全隔离，并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。

　　　　有一定数量的网络用户，通常在25—50个用户左右

　　　　用户有联网的需求，且有较大的网络数据吞吐流量

　　　　通常采用较高速率的专线连接Internet

　　　　有清晰的网络分层体系结构

　　　　为保障网络安全，除需要布署防火墙产品以外，还有防护网络病毒、限制对互联网带宽的不合理使用等需求

　　　　对防火墙产品性能有较高要求

方案特点：

　　该方案可以为中型网络提供企业级的一体化网络安全

　　　　通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能

　　　　CiscoSecurePIX506E是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。

　　　上述三个解决方案是思科公司针对目前最常见的网络安全、病毒检测、网站过滤等安全问题提出的一体化的有效解决方案，通过和合作伙伴的紧密结合，为客户提供一套模块化的捆绑产品，切实解决现有中小型企业用户的实际需求。

　　　　思科CiscoSecurePIX500系列防火墙是网络基础设施内部的实施强化用户安全性策略并限制对网络资源访问的专用硬件产品。

其功能是检查数据包和会话过程，针对各种不同应用、地址或用户类型而设定的具体参数来分析和控制进入或离开的数据包。

通过PIX的部署，可以保护用户公开的Internet服务器，限制外部网络到内部网络的数据流，为内部用户提供网络地址转换（NAT）等各种功能，从而为用户提供针对基于网络的攻击保护，并可预防和消除造成带宽拥挤的分布式拒绝服务攻击（DDOS）。

　　　　趋势科技公司（TrendMicro）开发的产品是一种针对SMTP网关、基于策略的高性能反病毒和内容安全解决方案，它集成了病毒保护的内容过滤功能，这就是说凭借此产品，您可管理电子邮件内容过滤并提供控制，且防止病毒和电子邮件中的其它恶意代码产生影响。

保护企业信息处理系统免遭来自互联网的电子邮件病毒的损害，并防止复制或非业务内容的传输。

　　　　Websense公司开发的WebsenseEnterprise是一种员工互联网管理系统,可以为CiscoPIX防火墙提供集成化互联网过滤，帮助网络管理员有效地监控管理和报告内部网到互联网接入的网络流量。

网络管理员可以指定限制机构内互联网使用的策略。

WebsenseEnterprise随后根据预定义策略过滤网络活动、监控并报告有关活动的信息。

将Websense主URL数据库与CiscoPIX防火墙共用时，可创建灵活、高性能的内容过滤策略。

互联网请求发送至CiscoPIX防火墙，然后是防火墙的Websense进行询问，以确定应该许可还是阻止此请求。

同时，CiscoPIX防火墙将原始请求发至互联网。

因为在收到来自Websense的确认前就将请求发至互联网，故CiscoPIX防火墙不会减缓授权企业接入。

在将站点返回请求用户前需Websense确认，这可以防止未授权接入。

NTERNET的应用愈来愈广泛，已经成为公司、企业进行商务活动不可或缺的工具和平台。

许许多多的公司将自己的局域网连入INTERNET，充分享受着网络的便利和快捷。

但是目前INTERNET网络的基础是脆弱的，由于TCP/IP标准协议本身并不具备任何信息安全保护措施，各种操作系统也存在先天缺陷和由于不断增加新功能带来的漏洞，使基于INTERNET网的攻击犯罪可以毫无阻碍的进行。

同时各种计算机病毒，也让计算机用户都为它付出了沉重的代价。

在飞速发展的互连网上增长的犯罪活动（主要是黑客攻击）以及泛滥的病毒使各国金融、生产/商贸企业承受巨大的压力和现实损失。

目前可将网络的不安全因素大致归为以下三类：

来自公用网络或开放环境的侦测、攻击；

来自内部网络的侦测、攻击；

基于明文传送的网上邮件系统、以及基于明文的信息存储系统的被攻击。

---企业网若不具备先进的网络安全防护措施，会造成多种危害，其中最直接的危害是对企业、个人造成不可弥补的损失，如：

保密文件、财会报表、进货、库存、销售订单及客户名单等机密数据被入侵者查看、修改。

若要避免这种时间的发生，就要加强网络的安全防护。

例如使重要部门的网络在物理上与Internet完全脱离，在局域网和INTERNET之间增加防火墙、路由器等网络隔离设备，都是比较有效的物理防护措施，但网络安全是一个整体的概念，只要能接触重要部门网络的人没有完全与Internet脱离，就不能说该网络与Internet已经完全脱离。

所以人员的管理致为重要。

---网络应用系统的安全体系应包含：

访问控制。

通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞。

通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

攻击监控。

通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取响应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。

加密通讯。

主动的加密通讯，可使攻击者不能了解、修改敏感信息。

认证。

良好的认证体系可防止攻击者假冒合法用户。

备份和恢复。

良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

多层防御。

攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。

设立安全监控中心，为信息系统提供安全体系管理、监控、保护及紧急情况服务

在网络中增加多功能的防火墙，可以实现上述安全体系的大部分功能。

防火墙通过有选择性地决定哪些用户可以接入您的网络而哪些不能，有效地保护您的网络。

防火墙甚至使您可以控制不同应用，如ftp,telnet,www及电子邮件等。

---添加防火墙的网络拓扑如图所示。

防火墙的主要技术措施如下：

设置隔离区（DMZ）,把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便Internet网上用户访问。

严禁Internet网上用户到公司内部网的访问。

允许公司内部网通过地址转换方式（NAT）访问Internet。

允许拨号用户通过拨号访问服务器到公司内部网访问。

网络拓扑图：

中小企业网络安全整体解决方案

一、现状分析

中小企业用户的局域网一般来说网络结构不太复杂，主机数量不太多，服务器提供的服务相对较少。

这样的网络通常很少甚至没有专门的管理员来维护网络的安全。

这就给黑客和非法访问提供了可乘之机。

这样的网络使用环境一般存在下列安全隐患和需求：

1.计算机病毒在企业内部网络传播。

2.内部网络可能被外部黑客的攻击。

3.对外的服务器（如：

www、ftp等）没有安全防护，容易被黑客攻击。

4.内部网络用户上网行为没有有效监控管理，影响日常工作效率，容易形成内部网络的安全隐患。

5.远程、移动用户对公司内部网络的安全访问。

二、瑞星中小企业整体解决方案

瑞星公司针对中小企业的上述特点，利用瑞星公司的系列安全产品为中小企业量身定制一种安全高效的网络安全解决方案。

瑞星防毒墙RSW-1000P是一款多功能、高性能、低价位的产品，它不但提供了对内部网络和对外服务器的保护、防止黑客对这些网络的攻击，为远程、移动用户提供一个安全的远程连接功能，是中小企业网络安全的首选产品。

瑞星网络杀毒软件是瑞星自主开发的企业网络防病毒软件，通过“集中管理、分布处理”在中小企业内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作，为用户的网络系统提供全方位防病毒解决方案。

三、选用产品

∙瑞星防毒墙RSW-1000P

∙瑞星网络版杀毒软件

四、瑞星中小企业整体解决方案实现主要功能

1.安全的网络边缘防护

瑞星防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

2.计算机病毒的监控和清除

瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

3.灵活的控制台和Web管理方式

瑞星的系列安全产品都提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。

4.强大的日志分析和统计报表能力

瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。

此外，报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。

5.模块化的安全组合

本方案中使用的瑞星网络安全产品分别具有不同的功能，用户可以根据自身企业的实际情况选择不同的产品构建不同安全级别的网络，产品选择组合方便、灵活，既有独立性有整体性。

五、方案示意图

通过瑞星防毒墙RSW-1000P和瑞星杀毒软件网络版共同为中小企业建立一个防黑、防毒的安全网络。

设计后的安全网络拓扑方案示意图如下。

抗震救灾---募捐

全国上下正在经历着一场严峻的考验，伸出你的双手捐助灾区，用于帮助地震灾区群众解决生活困难

“昨晚一直在关注央视的直播到凌晨，才知道地震给我们造成的灾害有多么严重，看到震后多方的支援奔向灾区，但是山路的山体滑坡堵住道路，自己也真的着急。

早上起来第一件事情就是打开电视，关注四川。

”

罗格在信中说道：

“我们对于死难者表示最深切的悼念。

在这个尤为困难的时期，我们的