新星企业网络安全综合设计方案(2)

由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。

三. 安全系统建设原则

新星企业网络系统安全建设原则为：

1)系统性原则

新星企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。

2)技术先进性原则

新星企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。

3)管理可控性原则

系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。

安全系统实施方案的设计和施工单位应具备相应资质并可信。

4)适度安全性原则

系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。

3

5)技术与管理相结合原则

新星企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。

6)测评认证原则

新星企业网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。

7)系统可伸缩性原则

新星企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。

四. 网络安全总体设计

一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据新星新星新星企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：

◆ 网络系统安全;

◆ 应用系统安全;

◆ 物理安全;

◆ 安全管理;

4.1 安全设计总体考虑

4

根据新星企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑：

网络传输保护：主要是数据加密保护

主要网络安全隔离：通用措施是采用防火墙

网络病毒防护：采用网络防病毒系统

广域网接入部分的入侵检测：采用入侵检测系统

系统漏洞分析：采用漏洞分析设备

定期安全审计:主要包括两部分：内容审计和网络通信审计

重要数据的备份

网络安全结构的可伸缩性：包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展

网络防雷

4.2 网络安全

作为新星新星新星企业应用业务系统的承载平台，网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换，

4.2.1 网络传输

由于新星新星新星企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等;另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。

5

由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据新星新星新星企业三级网络结构，VPN设置如下图所示：

图4-1三级 VPN设置拓扑图

每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器(VPN-CA)，在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：

★网络传输数据保护

6

由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输

★网络隔离保护

与INTERNET进行隔离，控制内网与INTERNET的相互访问

集中统一管理，提高网络安全性;

降低成本(设备成本和维护成本)

其中，在各级中心网络的VPN设备设置如下图：

图4-2 中心网络VPN设置图

由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。

下级单位的VPN设备放置如下图所示：

7