计算机网络安全解决方案天津专业网络安全解决.docx

计算机网络安全解决方案天津专业网络安全解决.docx

《计算机网络安全解决方案天津专业网络安全解决.docx》由会员分享，可在线阅读，更多相关《计算机网络安全解决方案天津专业网络安全解决.docx（9页珍藏版）》请在冰点文库上搜索。

计算机网络安全解决方案天津专业网络安全解决

内网实施

TianjinDagangDistrictofwater-savinginformationmanagementsystem

安全解决方案

SecuritySolutions

一、需求分析

1.1、网络管理现状及问题

现有网络基本对等网络，结构为星形拓扑，没有服务器及网络安全相关设备及软件，现有网络管理体系存在的问题主要有：

Ø没有有效的防病毒软件，客户端使用的防病毒软件良莠不齐，甚至没有安装，遇到病毒的威胁对客户端的操作系统、文档数据等造成严重威胁，甚至造成网络的瘫痪；

Ø没有硬件防火墙保护网络内部边界安全，无疑对黑客、木马等恶意软件和行为敞开大门，对内部资料的保密造成了严重的威胁；

Ø无法对客户端集中管理，上级经常需要了解下级计算机运行状况，但在仅依靠现有的网络系统，很难对下级计算机的运行状态进行有效监视；缺乏对下级计算机管理实施监督、指导、协作的手段；

Ø对U盘等移动存储缺乏有效的管制，对于内部敏感资料的保护是个很大的威胁；

ØIP地址使用没有绑定，对出现客户端问题定位比较困难，也不易于客户端的管理。

1.2、网络安全管理的基本功能需求

网络安全管理从总体来讲应具备如下基本功能：

对网络边界安全进行管理和防御减少边界安全事件发生；对病毒进行有效的防治和控制，防治病毒的大面积爆发，保护内网安全；监测网络通信数据，预期可能发生的网络问题；提供对历史数据的统计分析；具有对监视策略、网络事件的定义和管理能力等。

二、方案介绍

2.1、边界网关

我们已经认知这样的事实：

电子邮件、互联网已经成为恶意网站、病毒、蠕虫等威胁的主要传播途径，网络边界是引入威胁的最薄弱环节，对于网络传输的数据内容，可以采用网络过滤技术进行有效控制，御敌于外。

我们选用全球知名网络设备厂商美国飞塔公司的Fortigate60B网络防火墙作为本方案的网络边界网关设备。

Fortigate60系列的产品适合于小型办公室、家庭办公室、中小企业、分公司办公室等等客户。

产品管理界面简单易操作，为客户降低了使用成本和超额的价值。

本产品具有多种安全功能：

包括防病毒、防火墙、VPN、入侵检测/防御、内容过滤和流量控制等。

现在我们的企业客户能够在不降低网络性能和不增加成本的基础上，享受网络安全服务。

设备的吞吐量从30Mbps到200Mbps。

FortiGate能够保护企业的网络，使其免受网络的攻击与威胁。

2.2、活动目录集成

　　MicrosoftActiveDirectory服务是Windows平台的核心组件，使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。

ActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。

因为ActiveDirectory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限。

例如，在用户登录到网络上的时候，安全系统首先利用存储在ActiveDirectory中的信息验证用户的身份。

然后，在用户试图访问网络服务的时候，系统会检查在服务的自由访问控制列表（DCAL）中所定义的属性。

另外，使用活动目录还可以通过组策略对客户端和用户实行统一的管理和配置。

ActiveDirectory允许管理员创建组帐户，管理员得以更加有效地管理系统的安全性。

例如，通过调整文件的属性，管理员能够允许某个组中的所有用户读取该文件。

通过这种办法，系统将根据用户的组成员身份控制其对ActiveDirectory中对象的访问操作。

2.3、防病毒系统

根据目前对安全风险的统计分析，主机和桌面计算机系统面临的最主要威胁就是计算机病毒。

病毒虽小，危害却极大。

对于企业用户，应通过网络防病毒系统实现企业范围内各种系统的防病毒保护，进行统一的安全策略管理和集中的防病毒监控。

我们选用瑞星杀毒软件网络版2008（中小企业版）来防御计算机病毒的威胁。

瑞星杀毒软件网络版2011——中小企业版是瑞星公司特别为中小型企业量身定做的一款企业级反病毒产品。

在开发、研制、推广产品的过程中，瑞星公司充分考虑了中小型企业信息化建设现状及其对于网络安全的实际需要，瑞星杀毒软件网络版2011——中小企业版产品整体设计不仅包含了企业级反病毒产品的主要管理功能，且灵活、快捷，反应迅速，易于操作，更适用于中小型的网络环境，让中小型企业能够以最小的投资给予网络环境最安全的保障。

2.4、客户端管理

现在有许多公司已经在网络网关装有防火墙及防毒软件，但是有的时候仍然会受到病毒在公司内部网络传播的侵扰，导致这类问题出现的原因在哪里呢？

这是因为有时公司内部的员工访问了带有病毒的网站，使用了带有病毒的光盘、软盘等介质而被感染。

虽然只是该员工自己的被感染，但由于员工的计算机上没有配备可以阻止病毒向外传播的工具，同时又由于这些传入的病毒带有木马程序等，所以该员工有时即使不经过网络的存取，从其电脑上扩散的病毒仍令其他同事仍是防不胜防。

那么，针对使用者在个人计算机上的各种档案传输及存取管道，如软盘存取、光盘读取、PDA记忆卡、USB盘等与外界联系造成的网络内部客户端的病毒传染，甚至来自企业内部客户端的攻击威胁等。

我们选用AnyView（网络警）网络监控软件来实现对客户端的管控。

AnyView（网络警）网络监控软件是一款国内目前最专业的企业级的网络监控软件产品。

包含局域网上网监控和内网监控功能；上网监控、网页浏览监控、邮件监控、Webmail发送监视、聊天监控、BT禁止、流量监视、上下行分离流量带宽限制、并发连接数限制、FTP命令监视、TELNET命令监视、网络行为审计、操作员审计、软网关功能、端口映射和PPPOE拨号支持等；内网监控、屏幕监视和录象、软硬件资产管理、光驱和USB等硬件禁止、应用软件限制、打印监控、ARP火墙、消息发布、日志报警、远程文件自动备份功能、禁止修改本地连接属性、禁止聊天工具传输文件、通过网页发送文件监视、远程文件资源管理、支持远程关机注销等、支持MSN/MSNshell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/googletalk/淘宝旺旺/飞信/UUCALL/飞鸽传书/TM/QQ聊天记录等功能，并能方便的对历史记录进行查询。

2.5、U盘管理

根据美国FBI和CSI调查结果表明,造成信息外泄的事件中,80%以上来自单位内部。

由于网络技术发展迅猛，网络行为种类又是非常之多，如何主动防止内部信息泄漏？

过程如何监控？

事件发生后如何能够调查取证？

这些都成为各个单位的严重隐患，随时都可能造成不可预估的损失和其它严重的连带后果。

我们选用《国迈科技USB移动存储介质使用管理系统》来实现U盘的管理。

国迈科技作为国内最专注内网安全的专业性公司，针对以上情况，凭借自身强大的技术力量，综合利用Windows底层驱动、强加密、隐藏、认证、鉴别、访问控制、审计等技术手段,研究开发出国迈科技USB移动存储介质使用管理系统，该产品荣获国家保密局和公安部的权威认证，并广泛为军工企业、政府机构、科研机构、企事业单位提供军工安全级别的内网安全整体解决方案，做到事前防范、事中监控、事后审计，同时，它也是网络运维管理不可缺少的得力助手。

系统优势如下：

优势

说明

安全强度

业界超前

1.可对安全模式进行监管,国内领先.

2.无论关闭进程、禁用/启用设备、停用服务、清除注册表、删除相关文件等非法操作,都无法破坏系统监管能力.

3.系统自我加密后完全隐藏,试图对系统进行攻击的人失去攻击目标.

4.即使系统模块被破坏,系统能自我修复.

软件兼容

业界领先

1.系统补丁兼容:

Windows2003,WindowsXP、Windows2003的各种补丁版,支持简体/繁体中文、英文版.

2.杀毒软件的兼容:

诺顿、趋势、瑞星、卡巴斯基等.

稳定方便

业界优秀

1.客户端登陆之后无任何软件界面,免维护.

2.严谨的角色配置规则,将计算机、资源、用户完善的统一管理

3.移动存储介质通过注册认证,授权高、中、低安全级别使用,同时特制的安全U盘也可注册使用,方便管理.

三、实施前后网络安全性对比

3.1、网络安全性增强概述

通过以上方案的实施，我们实现了对内网出口（即网络边界）安全的加强，网络防病毒的加强，对客户端行为、U盘使用、用户权限、网络访问、流量监控等功能，解决了需求分析中所列出的问题，基本实现了网络安全管理的功能需求。

3.2、详细对比列表

项目

实现功能

实施前

实施后

边界网关

对内到外网络访问管控

×

√

对外到内网络访问管控

×

√

SSLVPN远程安全访问

×

√

活动目录集成

客户端操作系统统一管理

×

√

客户端组策略统一管理

×

√

用户账户统一管理

×

√

IP地址与客户端绑定

×

√

共享目录的统一授权

×

√

防病毒

防病毒软件的统一管理

×

√

防病毒软件的统一查杀

×

√

防病毒软件的统一升级

×

√

病毒情况周报

×

√

病毒情况月报

×

√

客户端管理

实时日志

×

√

实时流量

×

√

屏幕快照

×

√

屏幕追踪

×

√

进程管理

×

√

资源查看

×

√

（基于时间控制的）上网限制

×

√

（基于时间控制的）常见聊天软件查看、限制

×

√

（基于时间控制的）常见游戏查看、限制

×

√

客户端网页查看日志

×

√

客户端操作查看、回放

×

√

客户端窗口标题日志

×

√

客户端程序开关日志

×

√

客户端文件操作日志

×

√

客户端文件备份记录

×

√

客户端网页标题日志

×

√

网站浏览统计

×

√

流量统计

×

√

程序使用统计

×

√

资产信息查询

×

√

打印机使用日志

×

√

（基于时间控制的）应用程序限制

×

√

USB、光驱、打印机使用限制

×

√

U盘管理

对注册和非注册U盘的管控

×

√

四、安全管理

网络安全环境是一个由人员与网络安全软件及设备共建的一个网络使用环境需要人员的努力与设备的合理设置才能发挥其真正的作用，人员是主体，设备是辅助。

4.1、制定健全的安全管理体制

　　制定健全的安全管理体制将是网络安全得以实现的重要保证。

各政府机关单位可以根据自身的实际情况，制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。

4.2、增强人员的安全防范意识

政府机关单位应该经常对单位员工进行网络安全防范意识的培训，全面提高员工的整体网络安全防范意识。

产品名称

数量

价格

总价

防火墙思科高端

1

11000

11000

防火墙华为

1

8000

8000

VPN路由器思科

1

3000

3000

实施费用

1

3000

3000

日常维护

月服务费

500元/月

次服务费

300元/次

服务内容：

包含电脑端以及服务器端