XX 公司 络信息系统的安全方案设计书

XX 公司 络安全隐患与需求分析

1.1 络现状

公司现有计算机500余台，通过内部 相互连接与外 互联。在内部 络中，各服务部门计算机在同一 段，通过交换机连接。如下图所示：

3．1．2 Internet 连接与备份方案

防火墙经外 交换机接入 Internet 。

此区域当前存在一定的安全隐患：

首先，防火墙作为企业接入 Internet 的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与 Internet失去连接；

其次，当前的防火墙无法对进入 络的病毒进行有效的拦截。

为此，新增加一台防火墙和一台防病毒过滤 关与核心交换机。 防病毒 关可对进入 络的流量进行有效过滤， 使病毒数据包无法进入 络，提高内 的安全性。防火墙连接只在主核心交换机上， 并且采用两台防火墙进行热备配置， 分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了 络的健壮性。根据改企业未来的应用需求，可考虑 络改造后，将 Internet 连接带宽升级为100M。

3．1．3入侵检测方案

在核心交换机监控端口部署 CA入侵检测系统(eTrust IntrusionDetection) ，并在不同 段(本地或远程)上安装由中央工作站控制的 络入侵检测代理，对 络入侵进行检测和响应。

3．1．5 络安全漏洞

企业 络拥有WWW 、邮件、域、视频等服务器，还有重要的数据库服务器，对于管理人员来说，无法确切了解和解决每个服务器系统和整个 络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估，发现并 告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，达到增强 络安全性的目的。

3．1．6防病毒方案

采用Symantec 络防病毒软件，建立企业整体防病毒体系，对 络内的服务器和所有计算机设备采取全面病毒防护。 并且需要在 络中心设置病毒防护管理中心，通过防病毒管理中心将局域 内所有计算机创建在同一防病毒管理域内。通过防病毒管理域的主服务器， 对整个域进行防病毒管理，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒。

可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控；可实现对所有防毒软件的集中管理、集中设置、集中维护；可集中反映整个系统内的病毒入侵情况 ,设置各种消息通 方式，对病毒的爆发进行 警；可集中获得防毒系统的日志信息；管理人员可方便地对系统情况进行汇总和分析。根据企业内部通知或官方 站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具，采取相关措施，防范于未然。

3．1．7访问控制管理

实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源。

在内 中系统管理员必须管理好所有的设备口令， 不要在不同系统上使用同一口令；口令中最好要有大小写字母、字符、数字；定期改变自己的口令。

3．1．8重要文件及内部资料管理

定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃， 进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件，全面地保护数据的安全。

系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理，注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器，利用RAID5等数据存储技术加强数据备份和恢复措施； 对敏感的设备和数据要建立必要的物理或逻辑隔离措施。

3．2 络信息管理策略

计算机 络中心设计即公司 络安全管理策略的建设如下：

基于PKI的USB Key的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

（2）安全登录系统。由于 络开发中心以及财务部门涉及公司的 络部署以及财务状况，需要高度保密，只有公司 络安全主管、财务主管以及公司法人才可以登录相应的 络，而安全登录系统正是提供了对系统和 络登录的身份认证，使用后，只有具有指定智能密码钥匙的人才可以登录计算机和 络。 用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

（3）文件加密系统。与普通 络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的 络安全措施， 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中， 加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

（4）防毒中心建设。病毒对公司 络的攻击对公司的整体运转造成威胁，因此公司各部门均需要建设完善的防毒中心， 使用企业版的防病毒系统的分级管理功能，对 络进行管理单元划分。在 络中心建立以及防病毒服务器， 负责所有二级防病毒服务器的统一管理。 在不同的子系统建立二级防病毒服务器， 负责本部的防病毒客户端管理。