企业网络安全解决方案

1.网络分域保护方案网络分域保护的原则是实施安全域保护策略.制定访问控制策略.检查网络边界.分级保护等。从企业网络安全的需要和特点出发，网络组织结构从逻辑上分为互联网域.服务区域.外联域和内网核心区，如图1所示。互联网域接入互联网服务，服务区是企业服务器放置区，外部域接入分公司区，内部网络核心区是指企业内部网络互联的核心设备区。这种划分的目的是确保具有相同保护要求的网络和系统位于同一安全子域内，方便各安全子域内部署相应等级的保护策略。2.2.2部署安全网关方案，在外网与内网之间设置安全网关(如图1所示)，作为企业网络系统的物理屏障，保护内网安全。安全网关不是单一的防火墙，而是防病毒的综合.防火墙入侵检测与一体化安全设备。设备采用统一威胁管理（unifiedthreatmanagement,UTM）概念是将各种安全特性的保护策略整合到统一的管理平台上，按需开启各种功能。硬件由硬件组成.软件.由网络技术组成。UTM可用于硬件X86.ASIC.NP一种架构，X86架构适用于百兆网络，若千兆网络应采用ASIC架构或NP架构。在升级.在维护和开发周期方面，NP架构比ASIC架构更具优势。UTM防病毒软件可集成在软件上.入侵检测.内容过滤.防垃圾邮件.通过模式匹配，实现特征库的统一和效率提升。UTM管理结构基于管理层.功能分级思想包括集中管理和单机管理的双重管理机制，实现功能设置管理和数据分析能力。

2.部署IPS与IDS方案IPS入侵防御系统（intrusionpreventionsystem）英文缩写，用于监控网络或网络设备上的数据传输，发现异常数据可立即中断传输或隔离，先于攻击实现保护，补充防火墙功能，支持串行接入模式，采用基于策略的保护，用户可以选择最合适的策略，达到最佳的保护效果。IPS部署在服务区与内部网络核心区之间，或核心开关与内部服务器之间（如图1所示），可实时监控外部数据传输到内部服务器，发现入侵即报警.阻断，还能准确阻断，SQL注入攻击。IDS入侵检测系统（intrusiondetectionsystem）英文缩写，可实时监控网络数据传输，发现可疑报警或采取其他主动反应措施，属于监控设备，其安全策略包括异常入侵检测.误用入侵检测可部署在核心交换机上，监控进出内网和内服务器的数据，如图1所示。

3.部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库，通过扫描检测远程系统或本地系统漏洞行为，以及防火墙.IDS为了提高网络安全，扫描对象包括网络.主机和数据库。漏洞扫描技术包括主机在线扫描。.端口扫描.操作系统识别.采集漏洞监测数据.智能端口识别.多服务检测.系统渗透扫描等。漏洞扫描系统的部署包括独立部署和分布式部署。前者适用于相对简单的网络结构，如电子商务.中小企业等；后者适合复杂；.分布点多.数据相对分散的网络结构，如政府.电力行业.金融行业.电信运营商等。图1为独立部署的漏洞扫描系统方案。

4.部署网络安全审计系统网络安全审计是指基于设定的安全策略，实时跟踪记录网络动态，查找被保护资源的入侵和非法访问，为网络安全管理提供入侵或非法访问的证据。根据审计对象，网络安全审计分为主机审计.设备审计.网络审计.数据库审计.审计用户行为.终端审计等类型。网络安全审计系统的功能包括信息采集.信息分析.信息存储.信息展示.自身安全性.可审计性等。安全审计系统根据部署模式分为集中部署和分布式部署。集中部署模式与漏洞扫描系统相同，可布置在核心开关上。

5.网络安全管理计划网络安全管理的原则是职责分离和责任关系。职责分离是指参与信息处理系统的人不能从事与自己工作以外的安全相关的工作，如系统开发.秘密文件传输等。责任关联是指与安全相关的活动需要多人参加，一个人不能长期担任与安全相关的职务，需要强制轮换和轮流培训。最重要的环节是建立和完善包括设备安全管理系统在内的安全管理体系.软件安全管理系统.数据安全管理系统.网络信息安全管理系统.病毒防护管理制度.下载安全管理系统等。二是加强人员安全管理，包括加强网络安全教育.开展网络安全技能培训.不断更新升级安全技术等。