企业网络安全方案设计规范企业网络安全方案设计模板( 三 ) _生活百科

3. 网络防火墙
采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下：

文章插图
图说明图四防火墙
此外在实际中可以增加入侵检测系统，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应等功能。
4. 病毒防护系统
应强化病毒防护系统的应用策略和管理策略，增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。
5. 对服务器的保护
在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME( Secure Multipurpose Internet Mail Extensions )，它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织 ( 根证书 ) 之间相互认证，整个信任关系基本是树状的。其次，S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图（透明方式）:

文章插图
图说明图五邮件系统保护
6. 关键网段保护
企业中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。

文章插图
图说明图六关键网段的防护
7.日志分析和统计报表能力
对网络内的安全事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。
8. 内部网络行为的管理和监控
除对外的防护外，对网络内的上网行为也应该进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。分别有以下几种系统：
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和文档的。
2) 安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。
则内网综合保护简图如下图七所示：