資源描述:
《企業(yè)網(wǎng)絡信息安全整體解決方案報告書》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在應用文檔-天天文庫�����。
1��、企業(yè)網(wǎng)絡信息安全整體解決方案目錄一、完善、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構(gòu)41、域結(jié)構(gòu)管理模式42����、網(wǎng)絡拓撲結(jié)構(gòu)設計43�����、三層交換與VLAN結(jié)合54、企業(yè)網(wǎng)管軟件6二��、構(gòu)建全方位的數(shù)據(jù)泄漏防護系統(tǒng)121����、文檔安全管理系統(tǒng)132��、企業(yè)U盤認證系統(tǒng)143、打印監(jiān)控系統(tǒng)15三�、建立一體化的本地/異地備份與容災體系17四、建立防火墻��、防入侵及一體化安全網(wǎng)關(guān)解決方案201�����、趨勢科技防毒墻-服務器版(SP):212����、Juniper防火墻:22隨著計算機技術(shù)的飛速發(fā)展,在計算機上處理的業(yè)務也由基于單機的數(shù)學運算���、文件處理�,基于簡單連接的內(nèi)部網(wǎng)絡
2�����、的內(nèi)部業(yè)務處理�����、辦公自動化等��,發(fā)展到基于復雜的內(nèi)部網(wǎng)企業(yè)外部網(wǎng)和全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享。在計算機連接能力連接范圍大幅度提高的同時���,基于網(wǎng)絡連接的內(nèi)部網(wǎng)絡安全�、數(shù)據(jù)信息安全�、資源分配以及員工工作效率低下等問題也日益突出。為了解決企業(yè)面臨的這些問題�,我們可以從幾方面入手:首先,完善��、優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構(gòu)��;其次�,構(gòu)建全方位的數(shù)據(jù)泄漏防護系統(tǒng);再次�����,建立一體化的本地/異地備份與容災體系�����;最后���,建立防火墻����、防入侵及一體化安全網(wǎng)關(guān)解決方案�,達到凈化企業(yè)內(nèi)部網(wǎng)絡環(huán)境提升員工工作效率的目的。一�、完善、優(yōu)
3�����、化企業(yè)內(nèi)部網(wǎng)絡架構(gòu)在規(guī)劃和設計企業(yè)總體網(wǎng)絡架構(gòu)時�,應從企業(yè)應用為最基本出發(fā)點,將企業(yè)當前和各類應用和將來會上的應用都必需全部考慮進來�,特別是要為企業(yè)業(yè)務的擴展留下足夠的帶寬和可擴展的空間。這些方面直接關(guān)系到企業(yè)網(wǎng)絡架構(gòu)中各類網(wǎng)絡設備(如路由器����、交換機、安全網(wǎng)關(guān)���、服務器等)的采購決策�,以及決定企業(yè)互聯(lián)網(wǎng)總出口帶寬的大小和企業(yè)網(wǎng)絡的最終拓撲及規(guī)模�。同時網(wǎng)絡架構(gòu)應當具有很高的靈活性和可擴展性,可以隨意增加或縮減單元�。另外還應當考慮企業(yè)當前的技術(shù)條件是否滿足對網(wǎng)絡進行可控和可管理的要求�����。下面我們就分幾方面來優(yōu)化企業(yè)內(nèi)部網(wǎng)絡架構(gòu)
4�、��。1�、域結(jié)構(gòu)管理模式在很多小型企業(yè)公司內(nèi)部的網(wǎng)絡還是采用對等網(wǎng)模式(工作組),在這種工作模式下任何一臺電腦只要接入網(wǎng)絡����,其他機器就都可以訪問共享資源,如共享上網(wǎng)等���。盡管對等網(wǎng)絡上的共享文件可以加訪問密碼�����,但是非常容易被破解��。在由Windows9x構(gòu)成的對等網(wǎng)中���,數(shù)據(jù)的傳輸是非常不安全的。同時也無法對網(wǎng)絡內(nèi)部的計算機進行集中化的管理,導致數(shù)據(jù)泄漏����。這時候我們就需要在公司內(nèi)至少配置一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作,相當于一個單位的門衛(wèi)一樣��,稱為“域控制器(DomainController��,簡寫為DC)”����。
5�、域控制器中包含了由這個域的賬戶、密碼��、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫����。當電腦聯(lián)入網(wǎng)絡時,域控制器首先要鑒別這臺電腦是否是屬于這個域的�����,用戶使用的登錄賬號是否存在�����、密碼是否正確。如果以上信息有一樣不正確�����,那么域控制器就會拒絕這個用戶從這臺電腦登錄��。不能登錄��,用戶就不能訪問服務器上有權(quán)限保護的資源����,他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網(wǎng)絡上的資源�。域控制器的功能除了上面說到的可以做身份驗證之外,還可以對屬于域的所有計算機的操作權(quán)限(安裝/卸載軟件����、更改IP地址、更改計算機
6��、設置等)進行有效的控制�,以達到集中化管理的目的。2�、網(wǎng)絡拓撲結(jié)構(gòu)設計組網(wǎng)方式:樹形組網(wǎng)方案該方案引入二級聯(lián)網(wǎng)方式,骨干層交換機采用了高性能的千兆級二層交換機,連接服務器�、路由器與網(wǎng)絡打印機。二級交換機采用24+2口交換機�,其中的兩個端口為1000M,用于接入骨干交換機���,其余10/100M端口連接相對分散的桌面用戶���。方案特點:二級聯(lián)網(wǎng)方式更好的將數(shù)據(jù)通過骨干交換機分散處理,它與服務器之間通過1000M高速交換端口連接���,以滿足大容量數(shù)據(jù)傳輸?shù)囊蟆9歉山粨Q機和二級分交換機的連接則采用了快速以太網(wǎng)通道(FEC)技術(shù)��,有效的擴
7���、展了網(wǎng)絡的帶寬����。這項技術(shù)能夠把2-4個物理鏈路聚合在一起���,在全雙工工作模式下達到400-800M的帶寬����,F(xiàn)EC技術(shù)能夠充分利用現(xiàn)有設備實現(xiàn)高速數(shù)據(jù)傳遞。同時該方案具有結(jié)構(gòu)簡單靈活����,非常便于擴充。而且所需電纜長度很短�,減少了安裝費用,易于布線和維護工作����。3、三層交換與VLAN結(jié)合很多企業(yè)在網(wǎng)絡設計初期采用二層交換技術(shù)的網(wǎng)絡架構(gòu)�����,核心交換機采用二層交換技術(shù)����,在原先只有幾十到100多臺工作站的情況下,網(wǎng)絡性能較理想����。但是隨著網(wǎng)絡規(guī)模在不斷擴大,工作站增加到200臺左右時�,網(wǎng)絡性能明顯下降�。另外��,對于這種網(wǎng)絡�,很容易發(fā)生諸如網(wǎng)
8、卡故障等原因引起的網(wǎng)絡廣播風暴��,而且一旦發(fā)生廣播風暴���,很難查找故障點����,甚至導致網(wǎng)絡癱瘓��,網(wǎng)絡維護工作量很大��。如果我們采用三層交換技術(shù)的網(wǎng)絡架構(gòu),同時在局域網(wǎng)內(nèi)劃分若干VLAN(虛擬網(wǎng))后��,網(wǎng)絡性能將大為改善�����。這是因為三層交換技術(shù)就是“二層交換技術(shù)+路由轉(zhuǎn)發(fā)”����。它解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點,又解決了傳
