以下为《企业网络信息安全整体解决方案》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

企业网络信息安全整体解决方案

目 录

一、完善、优化企业内部网络架构 4

1、域结构管理模式 4

2、网络拓扑结构设计 4

3、三层交换与VLAN结合 5

4、企业网管软件 6

二、构建全方位的数据泄漏防护系统 12

1、文档安全管理系统 13

2、企业U盘认证系统 14

3、打印监控系统 15

三、建立一体化的本地/异地备份与容灾体系 17

四、建立防火墙、防入侵及一体化安全网关解决方案 20

1、趋势科技防毒墙-服务器版（SP）： 21

2、Juniper 防火墙： 22

随着计算机技术的飞速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等，发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时，基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题，我们可以从几方面入手：首先，完善、优化企业内部网络架构；其次，构建全方位的数据泄漏防护系统；再次，建立一体化的本地/异地备份与容灾体系；最后，建立防火墙、防入侵及一体化安全网关解决方案，达到净化企业内部网络环境提升员工工作效率的目的。

一、完善、优化企业内部网络架构

在规划和设计企业总体网络架构时，应从企业应用为最基本出发点，将企业当前和各类应用和将来会上的应用都必需全部考虑进来，特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策，以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性，可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。

1、域结构管理模式

在很多小型***内部的网络还是采用对等网模式（工作组），在这种工作模式下任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理，导致数据泄漏。这时候我们就需***内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外，还可以对属于域的所有计算机的操作权限（安装/卸载软件、更改IP地址、更改计算机设置等）进行有效的控制，以达到集中化管理的目的。

2、网络拓扑结构设计

组网方式：树形组网方案

该方案引入二级联网方式，骨干层交换机采用了高性能的千兆级二层交换机，连接服务器、路由器与网络打印机。二级交换机采用24+2口交换机，其中的两个端口为1000M，用于接入骨干交换机，其余10/100M端口连接相对分散的桌面用户。

方案特点：二级联网方式更好的将数据通过骨干交换机分散处理，它与服务器之间通过1000M高速交换端口连接，以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则采用了快速以太网通道（FEC）技术，有效的扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起，在全双工工作模式下达到400-800M的带宽，FEC技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简单灵活，非常便于扩充。而且所需电缆长度很短，减少了安装费用，易于布线和维护工作。

3、三层交换与VLAN结合

很多企业在网络设计初期采用二层交换技术的网络架构，核心交换机采用二层交换技术，在原先只有几

十到100多台工作站的情况下，网络性能较理想。但是随着网络规模在不断扩大，工作站增加到200台左右时，网络性能明显下降。另外，对于这种网络，很容易发生诸如网卡故障等原因引起的网络广播风暴，而且一旦发生广播风暴，很难查找故障点，甚至导致网络瘫痪，网络维护工作量很大。如果我们采用三层交换技术的网络架构，同时在局域网内划分若干VLAN（虚拟网）后，网络性能将大为改善。这是因为三层交换技术就是“二层交换技术 + 路由转发”。它解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点，又解决了传统路由器低速、复杂所造成的网络瓶颈问题。再配合VLAN技术将将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段，从而实现虚拟工作组的技术。这样有三个好处：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部，同时使网络管理趋于简单。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。

注：骨干交换机应该采用高带宽的千兆以上交换机。因为它是网络的枢纽中心，重要性突出。在大中型企业中核心层设备采用双机冗余热备份是非常必要的，也可以使用负载均衡功能，来改善网络性能。即两台核心交换机正常情况下都参与工作，当其中的任何一台发生故障时，另外一台可以自动、无缝地接管它的工作，无需人工干预故障切换。全面提高网络对突发事故的自动容错能力，最小化网络的失效时间。

4、企业网管软件

企业网络架构在经过以上三个步骤的部署以后比较完善了，但是还缺乏有效的企业网络管理软件来对网络设备进行管理，针对这种情况我们可以配置一套“方正网略网络架构管理系统”，它在整合了传统网管软件功能的同时，重点突出了方便、实用的特点，帮助企业管理人员维护好自身的网络。通过对网络设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复，为企业提供一个稳定可靠的网络环境。

方正网略 NetInWay Pro 充分考虑了当前企业级网管软件的用户需求，将系统分为以下四大功能模块，每个模块的功能如下：

☆ IP 管理（网络IP资源保护、非法IP接入阻断、定期统计 IP 使用情况，回收长期不使用 IP）

☆ 设备管理（网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况）

☆ 性能分析（网络流量的图形化显示、实时监控设备端口的PPS、对内网有害流量进行阻断）

☆ 故障管理（检测IP故障、设备故障、流量故障、蠕虫故障）

NetInWay Pro 版本采用了简单明了的用户界面，如下图所示。在此用户界面中，把主要功能（IP 管理、设备管理、性能分析、故障管理）包含在同一界面中，方便用户使用。

现在对方正网略 NetInWay Pro做个简单介绍：

1、IP 管理

全面了解整个网络的设备运行情况、IP 地址资源使用情况，对 IP 地址资源进行有效的管理。对接入网络的计算机进行认证和管理,禁止未认证的计算机私自接入网络, 保障网络的安全运行。

方便的 IP 地址资源分配管理、实时的 IP 故障监测与报警、有效的故障响应策略，使企业真正感受和掌握网络资源的运动脉搏！

对于新入网的设备，在入网申请到IP 地址的时候，系统将记录并根据此设备的使用情况。如果此设备想占用网络中已经被使用的IP，系统将产生报警，如下图所示：

2、设备管理

NetInWay Pro 提供了对网络重要设备的系统信息、流量信息进行监控和管理的功能，

设备管理的主要功能如下：

☆ 支持网络视图功能，自动搜索网络拓扑结构，并生成网络拓扑结构图；

☆ 网络设备（路由器、交换机、服务器、打印机等）进行实时状态监控；

☆ 远程查询服务器的CPU、内存以及硬盘的利用率和内存中的运行进程信息；

☆ 远程查询网络设备的连接状态、Hop数目、连接路径情况等信息；

☆ 监控网络设备端口的PPS，及时检测和阻断蠕虫或内网异常流量猛增设备。

在设备管理中，网络拓扑结构采用图示方式表示，拓扑结构自动发现，企业网络架构一目了然；同时可以迅速的看出网络的状态（正常或故障等）。对于超过临界值或请求PPS 无应答时，节点颜色将变红，并被隔离。及时把握网络拓扑和节点的改变；图形化的网络统计数据显示, 有助于规划长期网络发展。

同时，NetInWay Pro 还可以全天候24 小时监控数千个网络设备的运行状态，如应答时间、损失率、生存时间等，如检测到故障，将实时报警并通知管理者。

3、性能分析

NetInWay Pro 性能分析是以SNMP 为基础，执行网络监控。监控信息是以日、周、月、年为周期记录日志。性能分析包括：网络流量监控和实时网络利用率查询。

性能分析模块对网络设备和链路情况进行实时监测，及时发现和处理网络故障；对出现故障的节点进行隔离，引导管理员快速定位、排除网络故障；自动生成带宽使用情况的图表，用于长期趋势分析和制定带宽使用计划，并可优化自身的网络应用，根据所提供的精确而及时的数据作出软硬件升级计划的决定。

4、故障管理

NetInWay Pro 故障管理完成网络故障（IP 故障、设备故障、流量故障、WDI 故障）的及时发现和报警，具体功能如下：

☆ 故障浏览及定期刷新

☆ 故障分类、排序、统计

☆ 故障报警，并通知管理员

☆ 浏览故障的用户权限管理

☆ 条件查询历史故障功能

NetInWay Pro 提供了各种详细报告（IP 状态报告书、设备状态报告书、流量分析报告书、故障情况报告书）的多种模板。

在完成了上述四个步骤的部署之后就完成了企业网络架构的完整设计方案，接下来将对企业网络信息安全整体解决方案的其他部分进行阐述。

二、构建全方位的数据泄漏防护系统

近年来，泄密案件日益成为企业管理者的梦魇。各种数据泄露事件越演越烈，不仅给企业带来严重的直接经济损失，而且在品牌价值、投资人关系、社会公众形象等多方面造成损害。为防止数据外泄，企业往往不惜花巨资购进防火墙、入侵检测、防病毒、漏洞扫描等网络安全产品，以为可以高枕无忧了。其实，这种想法是错误而且极其危险的。

FBI和CSI对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁***内部。在损失金额上，由于内部人员泄密导致了 6056.5 万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。

因此，企业在加强网络安全建设和信息安全管理的基础上，必须采用先进的数据泄露防护(DLP)体系防止企业敏感资料泄密。

在经过之前几个月时间对各种防泄密产品的了解、测试，建议采用巨石数据泄露防护系统。它基于“事前防范，事中控制，事后审计”的基本思路，以密码技术为支撑、以身份认证为基础、以数据安全为核心、以监控审计为依据，通过对数据的创建、流转、销毁的全过程监控，从数据存储、网络传输等层面着手，覆盖数据安全的各个方面，构建全方位的数据泄漏防护系统。

各子系统功能简介：

数据存储安全

文档安全管理系统HS-Key

? 采用透明加解密技术，在不知不觉中自动完成文件加密。

? 科学、完善的解密审批流程，防止机密文件非法外泄。

? 精确控制外发出去的文件的使用权限，不再“覆水难收”

? 精细的文件权限控制，确保加密文件的合法使用





企业U盘认证系统 HS-UCS

? 完善的U盘认证体系，防止未认证的U盘在企业内部使用。



文件打印安全

打印监控系统 HS-PrtMon

? 支持打印内容监控，提供全方位的打印监控和打印管理功能

? 十几种报表类型从费用、负荷等全方面反映打印情况。





文档安全管理系统实现功能

HS-Key是HS-DLP体系的基础核心软件，用于对企业的机密文件资料进行加密保护，有效防止员工主动泄密或无意间的数据泄露。

HS-Key通过文件加密、权限管理、流程管理，以及与AD域和企业现有的管理系统的紧密结合，来达到企业对文件安全性和管理人性化的双重要求。

文档安全管理系统功能特点：

功能特点

说明



文件自动加密，无需人工干预

HS-Key采用透明加解密技术，可以在用户没有感觉的情况下，完成文件的自动加密。



精细权限控制，控制文件流转

既可控制文件内容复制、拖拽、打印、截屏等操作。也可对文件（本地磁盘\网络磁盘\移动磁盘文件等）和文件夹的操作进行分权限/分级/分用户控制。



集成管理系统，完美融合流程

可与Windows域用户完美结合。同时可以和企业的OA/PDM/ERP等管理系统进行紧密的集成，进行组织架构的导入\同步，工作流程融合等。



开放策略管理，轻松扩展需求

用户可根据需求，任意添加需加密监控的应用程序和文件类型，无需二次开发即可适应未来环境，为用户节约投资成本。



解密审批流程，贴合企业管理

加密文件或邮件附件，必须经过解密审批流程或者邮件解密流程方能正常完成解密外发。



外发文件控制，覆水亦可收回

可以对外发离开企业的文件的读写权限、打开次数、打开时间、复制截屏等操作权限进行精确控制。



强制或不强制，部门区别对待

可以根据不同部门的加密需求选择是否强制加密，如技术部门可以强制进行全盘加密，销售部门可以有选择的加密。



黑白某某功能，加强安全管理

可对信任的邮箱设置为白某某，加密文件发往白某某邮箱时自动解密，发往黑名单邮件时自动拒绝发送；可对与工作无关的聊天程序、游戏等程序做控制，禁止运行和启动，实现应用程序黑白某某的管理效果。



离网工作控制，外出亦可控制

有效控制离网工作电脑的使用权限，并可配合加密狗来实现指定的管控功能。



日志审计功能，追溯安全责任

提供完善的事后追查和操作日志检索功能，对于所有可能造成文件泄密的途径都可进行追踪和筛查。





文档安全管理系统实施部署图：

企业U盘认证系统实现功能

U盘的安全认证可以有效防止非法U盘在企业（或政府）内部的使用而导致的泄密问题。UCS系统采用了先进的WDM驱动技术、加密技术和磁盘读写权限控制技术，集U盘身份识别、数据加密和权限控制功能为一体，是目前功能最强大、安全性最高的U盘认证系统之一。

企业U盘认证系统功能特点：

功能特点

说明



安全U盘制作

将任何的普通U盘转换为一个具有身份标识，并且具有加密功能的U盘。该U盘插入到普通未授权的计算机中，U盘内容无法读取。



U盘智能识别

可自动识别普通U盘和授权认证U盘，未经授权认证的U盘无法在电脑上使用；



U盘身份识别

经过认证的U盘使用时，必须再次输入密码，验证通过后方能正常使用；



U盘统一管理

所有经过认证的U盘在使用时，都可以通过总控台进行监控和记录；



外网限制使用

当安全U盘带回家中，由于无法进行身份认证，所以无法正常使用。



U盘使用权限控制

控制指定的计算机对于U盘的只读\禁止使用权限。





企业U盘认证系统实施部署图：

打印监控系统实现功能

Web方式的打印监控系统，支持打印内容监控，提供全方位的打印监控和打印管理功能。十几种报表类型从费用、负荷等全方面反映打印情况。完善的设定，可以让企业在发生数据泄密时追溯到源头。

打印监控系统主要功能特点：

功能特点

说明



打印事件记录

记录每次打印的服务器、打印机、文档名、用户、计算机、打印字节数、打印页数、打印时间、纸张大小、色彩、打印费用等信息。



打印内容保存

·完整保存每次打印任务的全部内容为Tiff图像格式；

·可设定某打印机是否需要保存内容及保存的分辨率；

·可设定某些用户的打印内容不要保存，哪怕是打印到设定为需要保存内容的打印机上；

·非PCL和PostScript打印机提供打印内容保存，可在打印机上重新打印还原；



客户端认证

·支持客户端打印时弹窗输入用户名和密码认证；

·支持客户端一机多用户（多人共用一台电脑）的打印监控和计费；

·支持按照打印项目进行认证、监控和计费；



用户配额

·设定固定配额和按照年、季、月、周、日打印配额；

·置透支方案，按照比例或金额设定透支上限；



打印事件提醒

·可设定在打印开始、打印成功和打印失败时提醒打印人；

·提醒方式支持Windows系统消息；



查询与报表

·打印日志查询，可按时间段、文档名、用户名、计算机名和打印机名；

· 汇总统计报表，提供交叉表和主从表分析，提供表格形式的汇总报表，支持导出成Excel格式；

·任务分析报表，具体有文件类型打印统计、打印的页数统计、纸张大小统计、打印色彩统计和打印方式统计；

·负荷分析报表，具体有打印机日志统计、打印服务器日志统计、计算机打印日志统计和用户打印统计；

·时间分析报表，具体有24小时、天、周、季和年度分布分布；



集中管理、认证计费

·任意多台打印机均可纳入管理，实现集中管理、集中认证计费，方便用户对打印资源的集中管理和成本控制；

·多级权限管理，灵活分配不同功能、不同角色的管理帐户；



打印签核

·用户的打印任务必须经过管理员查看打印内容，批准后才送往打印机，适合敏感信息和高成本打印机的全面监控打印内容存储备份（附加模块）。



打印内容存储备份

可以时时将保存的打印内容进行自动存贮备份，便于打印安全存档和防灾。





在企业内部部署了HS-DLP体系套件之后，所有敏感、机密的数据都被透明加密与外部之间设了一道安全屏障。即使数据被员工以打印的方式带出，也可以通过打印监控系统执行倒查机制找出泄密的源头。这样就可以从多方面、最大限度的杜绝敏感、机密数据泄漏事件的发生几率，降低企业的损失。

三、建立一体化的本地/异地备份与容灾体系

随着企业对于数据可用性的依赖性越来越高，数据已成为企业最为宝贵的财富。要保证企业业务持续的运作和成功，就要保护基于计算机的信息。但是由于自然灾难或是人为错误引发的业务宕机给企业造成无可估量的损失，不能被企业所接受。因此，为企业的信息系统建立起有效的备份与容灾体系，在发生各类灾难时快速响应、全力保证业务连续性，成为保证企业连续运营的关键。

美国飞康CDP备份/容灾一体化解决方案，彻底改变了传统的数据备份及灾难恢复方式，全面整合了数据备份、系统恢复、灾难恢复、本地及异地容灾等多项功能。无论企业的应用服务器发生任何意外，例如，恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障，甚至整个机房毁于 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 过安全策略来控制访问权限，为不同等级的用户提供不同的网络访问权限。

以上内容就是企业网络信息安全整体解决方案。就我个人观点，在企业网络安全方面要坚持多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。所以在这套解决方案中有多处保护措施是重叠的，这样可以最大化的保障企业网络安全。

在局域网络系统建成之后，应该达到如下的目标：建立一套完整可行的网络安全与网络管理策略；将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信；建立网站各主机和服务器的安全保护措施，保证他们的系统安全；对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；加强合法用户的访问认证，同时将用户的访问权限控制在最低限度；全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为；加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志；备份与灾难恢复——强化系统备份，实现系统快速恢复；加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。

[文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《企业网络信息安全整体解决方案》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。