中小企业信息网络安全解决方案

　　国内中小企业信息化已经得到了迅速的发展，而且发挥着越来越重要的作用，由于受资金、安全意识方面的限制，信息安全建设相对严重滞后。

　　以上三种方案可以满足绝大多数中小企业用户现阶段信息网络安全建设的需要。

　　下面我们通过一个简单的案例来了解一下信息网络安全建设的实例：

　　国内一知名电子设备制造企业，有员工1000人左右，内部主机总数约400台。整个网络采用分层的单出口结构，接入层采用一台CISCO设备，通过一条至电信部门的10M专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、财务办公、部分电子商务以及客户关系管理系统、人事管理系统等。

　　企业总部设在广州，在南京有一分支机构。网络曾经过多次改造扩建，目前初具规模，设备主要采用CISCO设备，服务器系统大多数采用Windows系列，提供服务的服务器目前有5台，正打算扩展部分服务系统；此外还有内部服务器系统，主要做用户文件管理与共享；内部网络各子网分布在不同的楼层，在交换设备上作了VLAN的划分，各子网间不允许互访。财务网络采用独立网段，与其它子网逻辑隔离；不允许进行外部访问，只可以通过电话线路拨号上网。分支机构和部分出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。(如上图所示)

　　该企业由于内部网上病毒危害较大，采购了一套国外网络防病毒系统；网络管理人员对服务器系统大约2个月左右进行升级一次，此外在路由设备上作了基本的地址转换等访问控制规则设置。

　　实际情况是仅采取以上措施仍然没有达到预期效果，发生了多起严重的安全事件：蠕虫爆发造成了网络阻塞；垃圾邮件占用了邮件服务器过多的空间；web服务时常中断，在采用监听工具查找时，发现了经常被外部扫描窥探的痕迹；内部员工在上班时间利用网络做大流量文件传输，严重占用了网络带宽资源，经常会影响到正常的业务信息查询等工作；此外还有内部员工出于好奇作一些尝试性的攻击破坏，使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此，该公司信息管理人员深感安全防护已经成为迫在眉睫的工作。绿盟科技在对网络实际情况进行了详细的分析之后决定为其选择“增强型方案”，在方案设计时主要遵循以下几个重要原则：

　　统一性与整体性原则

　　一个完整网络系统的各个环节，包括设备、软件、数据、人员等，在网络安全中的地位和影响作用，只有从系统整体的角度去看待、分析，才可能得到有效、可行的安全措施。因此，整体安全保障体系建设应遵循统一性、整体性原则，便于今后系统的扩展。

　　技术与管理相结合原则

　　信息网络系统是一个相对复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

　　动态防护原则

　　要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

　　积极防御原则

　　消极防御只能是被动挨打，所以应在技术和管理上创建一个灵活机动、适应性强的安全保障体系，做到积极防御。

　　多重保护原则

　　任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层被攻破时，其他层仍可保护系统的安全。

　　分阶段实施原则

　　要根据实际安全需求情况，以及建设内容的重要程度和建设成本等，实行分阶段建设的原则，做到安全体系的建设既能够满足现阶段相当一段时间内安全的需要，又能够充分利用有限的资金和资源。

　　在经过整体分析后，整体安全需求及解决方法描述如下表：

　　边界安全

　　服务器以及内部网络和外部网络连接处的入口，保证服务器区以及内部资源不被非法访问；

　　在防火墙系统中设VPN模块，防止各种非授权访问，也满足了分支机构的访问和移动办公的安全访问需要；对于财务网络还设置了代理服务器多重保护；

　　抗拒绝服务

　　不仅仅能对内部各服务器系统进行抗拒绝服务保护，还能够对防火墙系统进行防护；

　　设置专业防拒绝服务的专用黑洞系统、；

　　入侵检测

　　对于分布环境下重要网段的攻击检测，发现来源于内部或外部的攻击，进行记录和阻断；也便于发现网络内部的异常信息流，如访问非法网站、内部异常扫描、非主流业务的大流量传输等；对于蠕虫大规模爆发时即可以查出源地址，便于及时进行处理；

　　利用基于网络的分布式入侵检测技术，在服务器区以及在内部网络各子网接入部分部署入侵检测系统；在后期建设中随着网络规模的扩大，在各子网中也可以部署入侵检测系统，并且采用同一控制台进行集中统一管理；

　　安全检查

　　保证动态网络在变化时的风险检测，同时评估安全风险变化和安全工程的作用；

　　部署专业级风险评估系统，周期性对网络内部进行评估检测，提供专家级补救建议；

　　安全服务

　　保证网络遇到各种突发安全事件时能得到妥善处理；在日常维护中提供专家级咨询服务；并有利于提高整体安全意识等，满足动态性安全需要；

　　在进行安全项目实施前作一次脆弱性安全评估，确定整体安全策略；提供一年内安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善；

　　其建设后的示意图如下：

　　项目所采取的安全系统考虑到了现阶段的需求，并充分考虑到今后的扩展性，整个安全系统的投入仅占信息网络整体建设的8%。此项目的设计与实施得到了该信息中心的高度认可，网络至今运行稳定可靠，过去所遇到的问题和未发现的严重安全隐患均得到了有效的解决。网络管理人员和各类业务人员参加培训之后对安全体系的认识有了显著的提高，出台了各种安全制度，完善了安全策略措施，该企业的领导对信息化的进一步建设也表示出了从未有过的信心。

　　绿盟科技做为国内最为专业的安全服务公司和安全产品提供商，在成功为金融、电信、政府等领域提供了大量的专业安全产品和服务解决方案后，在众多的中小型企业信息安全建设中也同样得到了用户的高度认可。绿盟科技还将继续不断的探索，为更多的中小型企业提供更为先进的产品和更为优质的服务。