網絡安全方案怎么寫

網絡安全方案怎么寫

　　網絡安全解決方案，不是狹義的病毒防護，而是一套立體、整體、綜合網絡措施。那么網絡安全方案怎么寫呢？今天和大家分享一篇網絡安全方案，一起來看看吧！

　　網絡安全方案：

　　一、客戶背景

　　集團內聯網主要以總部局域網為核心，采用廣域網方式與外地子公司聯網。

　　集團廣域網采用MPLS-VPN技術，用來為各個分公司提供骨干網絡平臺和VPN接入，各個分公司可以在集團的骨干信息網絡系統上建設各自的子系統，確保各類系統間的相互獨立。

　　二、安全威脅

　　某公司屬于大型上市公司，在北京，上海、廣州等地均有分公司。

　　公司內部采用無紙化辦公，OA系統成熟。

　　每個局域網連接著該所有部門，所有的數據都從局域網中傳遞。

　　同時，各分公司采用VPN技術連接公司總部。

　　該單位為了方便，將相當一部分業務放在了對外開放的網站上，網站也成為了既是對外形象窗口又是內部辦公窗口。

　　由于網絡設計部署上的缺陷，該單位局域網在建成后就不斷出現網絡擁堵、網速特別慢的情況，同時有些個別機器上的殺毒軟件頻頻出現病毒報警，網絡經常癱瘓，每次時間都持續幾十分鐘，網管簡直成了救火隊員，忙著清除病毒，重裝系統。

　　對外WEB網站同樣也遭到黑客攻擊，網頁遭到非法篡改，有些網頁甚至成了傳播不良信息的平臺，不僅影響到網站的正常運行，而且還對政府形象也造成不良影響。

　　(安全威脅根據拓撲圖分析)從網絡安全威脅看，集團網絡的威脅主要包括外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播，以及安全管理漏洞等信息安全現狀：經過分析發現該公司信息安全基本上是空白，主要有以下問題：

　　網絡安全方案分享 網絡安全方案怎么寫

　　公司沒有制定信息安全政策，信息管理不健全。

　　公司在建內網時與internet的連接沒有防火墻。

　　內部網絡(同一城市的各分公司)之間沒有任何安全保障為了讓網絡正常運行。

　　根據我國《信息安全等級保護管理辦法》的信息安全要求，近期公司決定對該網絡加強安全防護，解決目前網絡出現的安全問題。

　　三、安全需求

　　從安全性和實用性角度考慮，安全需求主要包括以下幾個方面：

　　1、安全管理咨詢

　　安全建設應該遵照7分管理3分技術的原則，通過本次安全項目，可以發現集團現有安全問題，并且協助建立起完善的安全管理和安全組織體系。

　　2、集團骨干網絡邊界安全

　　主要考慮骨干網絡中Internet出口處的安全，以及移動用戶、遠程撥號訪問用戶的安全。

　　3、集團骨干網絡服務器安全

　　主要考慮骨干網絡中網關服務器和集團內部的服務器，包括OA、財務、人事、內部WEB等內部信息系統服務器區和安全管理服務器區的安全。

　　4、集團內聯網統一的病毒防護

　　主要考慮集團內聯網中，包括總公司在內的所有公司的病毒防護。

　　5、統一的增強口令認證系統

　　由于系統管理員需要管理大量的主機和網絡設備，如何確保口令安全稱為一個重要的問題。

　　6、統一的安全管理平臺

　　通過在集團內聯網部署統一的安全管理平臺，實現集團總部對全網安全狀況的集中監測、安全策略的統一配置管理、統計分析各類安全事件、以及處理各種安全突發事件。

　　7、專業安全服務

　　過專業安全服務建立全面的安全策略、管理組織體系及相關管理制度，全面評估企業網絡中的信息資產及其面臨的安全風險情況，在必要的情況下，進行主機加固和網絡加固。

　　通過專業緊急響應服務保證企業在面臨緊急事件情況下的處理能力，降低安全風險。

　　四、方案設計

　　骨干網邊界安全

　　集團骨干網共有一個Internet出口，位置在總部，在Internet出口處部署LinkTrust Cyberwall-200F/006防火墻一臺。

　　在Internet出口處部署一臺LinkTrust Network Defender領信網絡入侵檢測系統，通過交換機端口鏡像的方式，將進出Internet的流量鏡像到入侵檢測的監聽端口，LinkTrust

　　Network Defender可以實時監控網絡中的異常流量，防止惡意入侵。

　　在各個分公司中添加一個DMZ區，保證各公司的信息安全，內部網絡(同一城市的各分公司)之間沒有任何安全保障骨干網服務器安全

　　集團骨干網服務器主要指網絡中的網關服務器和集團內部的應用服務器包括OA、財務、人事、內部WEB等，以及專為此次項目配置的、用于安全產品管理的服務器的安全。

　　主要考慮為在服務器區配置千兆防火墻，實現服務器區與辦公區的隔離，并將內部信息系統服務器區和安全管理服務器區在防火墻上實現邏輯隔離。

　　還考慮到在服務器區配置主機入侵檢測系統，在網絡中配置百兆網絡入侵檢測系統，實現主機及網絡層面的主動防護。

　　漏洞掃描

　　了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現的安全問題等，都要求信息系統自身和用戶作好安全評估。

　　安全評估主要分成網絡安全評估、主機安全評估和數據庫安全評估三個層面。

　　內聯網病毒防護

　　病毒防范是網絡安全的一個基本的、重要部分。

　　通過對病毒傳播、感染的各種方式和途徑進行分析，結合集團網絡的特點，在網絡安全的病毒防護方面應該采用“多級防范，集中管理，以防為主、防治結合”的動態防毒策略。

　　病毒防護體系主要由桌面網絡防毒、服務器防毒和郵件防毒三個方面。

　　增強的身份認證系統

　　由于需要管理大量的主機和網絡設備，如何確保口令安全也是一個非常重要的問題。

　　減小口令危險的最為有效的辦法是采用雙因素認證方式。

　　雙因素認證機制不僅僅需要用戶提供一個類似于口令或者PIN的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。

　　用戶除了知道他的PIN號碼外，還必須擁有一個認證令牌。

　　而且口令一般是一次性的，這樣每次的口令是動態變化的，大大提高了安全性。

　　統一安全平臺的建立

　　通過建立統一的安全管理平臺(安全運行管理中心—SOC)，建立起集團的安全風險監控體系，利于從全局的角度發現網絡中存在的安全問題，并及時歸并相關人員處理。

　　這里的風險監控體系包括安全信息庫、安全事件收集管理系統、安全工單系統等，同時開發有效的多種手段實時告警系統，定制高效的安全報表系統。

　　五、網絡管理：

　　(1)故障管理

　　故障管理是網絡管理中最基本的功能之一。

　　用戶都希望有一個可靠的計算機網絡。

　　當網絡中某個組成失效時,網絡管理器必須迅速查找到故障并及時排除。

　　通常不大可能迅速隔離某個故障,因為網絡故障的產生原因往往相當復雜,特別是當故障是由多個網絡組成共同引起的。

　　在此情況下,一般先將網絡修復,然后再分析網絡故障的原因。

　　分析故障原因對于防止類似故障的再發生相當重要。

　　網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:

　　(1)故障監測：主動探測或被動接收網絡上的各種事件信息，并識別出其中與網絡和系統故障相關的內容，對其中的關鍵部分保持跟蹤，生成網絡故障事件記錄。

　　(2)故障報警：接收故障監測模塊傳來的報警信息，根據報警策略驅動不同的報警程序，以報警窗口/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發出網絡嚴重故障警報。

　　(3)故障信息管理：依靠對事件記錄的分析，定義網絡故障并生成故障卡片，記錄排除故障的步驟和與故障相關的值班員日志，構造排錯行動記錄，將事件-故障-日志構成邏輯上相互關聯的整體，以反映故障產生、變化、消除的整個過程的各個方面。

　　(4)排錯支持工具：向管理人員提供一系列的實時檢測工具，對被管設備的狀況進行測試并記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態的描述給出對徘錯行動的提示。

　　(5)檢索/分析故障信息：瀏閱并且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄，定期收集故障記錄數據，在此基礎上給出被管網絡系統、被管線路設備的可靠性參數。

　　對網絡故障的檢測依據對網絡組成部件狀態的監測。

　　不嚴重的簡單故障通常被記錄在 錯誤日志中,并不作特別處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。

　　一般網絡管理器應根據有關信息對警報進行處理,排除故障。

　　當故障比較復雜時,網絡管理 器應能執行一些診斷測試來辨別故障原因。

　　(2)計費管理

　　活動方案計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。

　　它對一些公共商業網絡尤為重要。

　　它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。

　　網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。

　　這也從另一方面提高了網絡的效率。

　　另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。

　　(1)計費數據采集：計費數據采集是整個計費系統的基礎，但計費數據采集往往受到采集設備硬件與軟件的制約，而且也與進行計費的網絡資源有關。

　　(2)數據管理與數據維護：計費管理人工交互性很強，雖然有很多數據維護系統自動完成，但仍然需要人為管理，包括交納費用的輸入、聯網單位信息維護，以及賬單樣式決定等。

　　(3)計費政策制定;由于計費政策經常靈活變化，因此實現用戶自由制定輸入計費政策尤其重要。

　　這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。

　　(4)政策比較與決策支持：計費管理應該提供多套計費政策的數據比較，為政策制訂提供決策依據。

　　(5)數據分析與費用計算：利用采集的網絡資源使用數據，聯網用戶的詳細信息以及計費政策計算網絡用戶資源的使用情況，并計算出應交納的費用。

　　(6)數據查詢：提供給每個網絡用戶關于自身使用網絡資源情況的詳細信息，網絡用戶根據這些信息可以計算、核對自己的收費情況。

　　(3)配置管理

　　配置管理同樣相當重要。

　　它初始化網絡、并配置網絡,以使其提供網絡服務。

　　配置管理 是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了實現某個特定功能或使網絡性能達到最優。

　　(1)配置信息的自動獲取：在一個大型網絡中，需要管理的設備是比較多的，如果每個設備的配置信息都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。

　　對于不熟悉網絡結構的人員來說，這項工作甚至無法完成‘因此，一個先進的網絡管理系統應該具有配置信息自動獲取功能。

　　即使在管理人員不是很熟悉網絡結構和配置狀況的情況下，也能通過有關的技術手段來完成對網絡的配置和管理。

　　在網絡設備的配置信息中，根據獲取手段大致可以分為三類：一類是網絡管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網絡管理協議標準中有定義，但是對設備運行比較重要的配置信息;三類就是用于管理的一些輔助信息。

　　(2)自動配置、自動備份及相關技術：配置信息自動獲取功能相當于從網絡設備中“讀”信息，相應的，在網絡管理應用中還有大量“寫”信息的需求。

　　同樣根據設置手段對網絡配置信息進行分類：一類是可以通過網絡管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。

　　(3)配置一致性檢查：在一個大型網絡中，由于網絡設備眾多，而且由于管理的原因，這些設備很可能不是由同一個管理人員進行配置的。

　　實際上‘即使是同一個管理員對設備進行的配置，也會由于各種原因導致配置一致性問題。

　　因此，對整個網絡的配置情況進行一致性檢查是必需的。

　　在網絡的配置中，對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置，因此，要進行、致性檢查的也主要是這兩類信息。

　　(4)用戶操作記錄功能：配置系統的安全性是整個網絡管理系統安全的核心，因此，必須對用戶進行的每一配置操作進行記錄。

　　在配置管理中，需要對用戶操作進行記錄，并保存下來。

　　管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。

　　(4)性能管理(performance management)

　　性能管理估價系統資源的運行狀況及通信效率等系統性能。

　　其能力包括監視和分析被管網絡及其所提供服務的性能機制。

　　性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。

　　性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。

　　一些典型的功能包括:

　　(1)性能監控：由用戶定義被管對象及其屬性。

　　被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存余量。

　　對于每個被管對象，定時采集性能數據，自動生成性能報告。

　　(2)閾值控制：可對每一個被管對象的每一條屬性設置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設置。

　　可通過設置閾值檢查開關控制閡值檢查和告警，提供相應的閾值管理和溢出告警機制。

　　(3)性能分橋：對歷史數據進行分析，統計和整理，計算性能指標，對性能狀況作出判斷，為網絡規劃提供參考。

　　(4)可視化的性能報告：對數據進行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結果。

　　(5)實時性能監控：提供了一系列實時數據采集;分析和可視化工具，用以對流量、負載、丟包、溫度、內存、延遲等網絡設備和線路的性能指標進行實時檢測，可任意設置數據采集間隔。

　　(6)網絡對象性能查詢：可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。

　　(5)安全管理

　　安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。

　　網絡中主要有以下幾大安全問題:

　　網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),

　　授權(authentication)(防止侵入者在網絡上發送錯誤信息),

　　訪問控制(控制訪問控制(控制對網絡資源的訪問)。

　　相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。

　　包括:

　　網絡管理過程中，存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要，一旦泄密、被篡改和偽造，將給網絡造成災難性的破壞。

　　網絡管理本身的安全由以下機制來保證：

　　(1)管理員身份認證，采用基于公開密鑰的證書認證機制;為提高系統效率，對于信任域內(如局域網)的用戶，可以使用簡單口令認證。

　　(2)管理信息存儲和傳輸的加密與完整性，Web瀏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協議，對管理信息加密傳輸并保證其完整性;內部存儲的機密信息，如登錄口令等，也是經過加密的。

　　(3)網絡管理用戶分組管理與訪問控制，網絡管理系統的用戶(即管理員)按任務的不同分成若干用戶組，不同的用戶組中有不同的權限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權使用網絡管理系統。

　　(4)系統日志分析，記錄用戶所有的操作，使系統的操作和對網絡對象的修改有據可查，同時也有助于故障的跟蹤與恢復。

　　網絡對象的安全管理有以下功能：

　　(1)網絡資源的訪問控制，通過管理路由器的訪問控制鏈表，完成防火墻的管理功能，即從網絡層(1P)和傳輸層(TCP)控制對網絡資源的訪問，保護網絡內部的設備和應用服務，防止外來的攻擊。

　　(2)告警事件分析，接收網絡對象所發出的告警事件，分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息)，實時地向管理員告警，并提供歷史安全事件的檢索與分析機制，及時地發現正在進行的攻擊或可疑的攻擊跡象。

　　(3)主機系統的安全漏洞檢測，實時的監測主機系統的重要服務(如WWW，DNS等)的狀態，提供安全監測工具，以搜索系統可能存在的安全漏洞或安全隱患，并給出彌補的措施。

【網絡安全方案怎么寫】相關文章：

方案怎么寫?10-02

銷售方案怎么寫10-02

營銷方案怎么寫10-02

項目方案怎么寫10-02

策劃方案怎么寫10-02

招商方案怎么寫10-02

方案結尾怎么寫10-02

活動方案怎么寫10-02

創業方案怎么寫10-02