关于企业网络安全设计方案(精选范文4篇)

设计，是一个汉语词语，指“把一种设想通过合理的规划、周密的计划、通过各种方式表达出来的过程”。人类通过劳动改造世界，创造文明，创造物质财富和精神财富，而最基础、最主要的创造活动是造物。设计便是造物活动进行预先的计划，可以把任何造物活动的计划�， 以下是为大家整理的关于企业网络安全设计方案4篇 , 供大家参考选择。

企业网络安全设计方案4篇

第1篇: 企业网络安全设计方案

企业网络规划与设计方案

姓 名：唐 容

学 号：

班 级：计教201302

院 系：信息工程学院

授课老师：宋 勤

2016年6月14日星期二

1、项目概况 3

工程项目概况 3

信息点分布 4

2需求分析 4

网络环境需求分析 4

公司子网需求 5

交换机路由器的配置以及VLAN的需求划分 6

安全性需求分析 7

业务需求分析 7

3 设备要求 8

客户端计算机的需求分析和定位选购 8

交换机/路由器的需求分析和定位选购 9

服务器的需求分析和定位选购 11

4. 网络布局设计 15

网络拓扑结构介绍 15

布线逻辑方案 15

网络拓扑图 16

骨干核心层网络设计 17

骨干核心层网络设计 17

核心层网络设计 17

汇聚层网络设计 18

接入层网络设计 18

5项目费用 19

设备费用 19

项目费用 21

6总结 21

1、项目概况工程项目概况

XX集团为了加快信息化建设，新的集团网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：

1、采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；

2、在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；

3、在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；

4、在整个企业集团内实现财务电算化；

5、在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；

公司组织结构图1如下：

如图所示是该公司的职能分布图，董事长，总经理，公司分为财务部，经理A，经理B和总监，人事部，经营系统。其中总经理以下职能部分只向总经理进行工作汇报，总经理只向董事长进行工作汇报。

信息点分布

该公司是通过职能部门进行不同的信息点分布，其中按照每个部门的需求，来决定分布的数量，其中有一部分属于备用点。还有各部门距离网络中心的距离。通过这个表格，我们可以清晰的分析整个公司的信息点还有各部门的距离计算预算。一下是对公司信息点的分析，如下表所示：

表1 公司信息点分析表

2需求分析 网络环境需求分析

随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代企业网络在可靠性设计方面主要应从三方面考虑：首先是设备的可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。

公司子网需求

为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2所示，公司子网的划分。

表2 公司子网的划分表

交换机路由器的配置以及VLAN的需求划分

1、交换机的配置

交换机支持Web浏览器的配置方式，设置交换机管理IP地址，设置用户及管理密码；

2、路由器的配置

路由器支持Web浏览器的配置方式，逐一设置接入WAN口设置、用户及管理密码、LAN口设置、安全设置、过滤规则、VPN配置、信息加密配置等等；

3、VLAN的划分

VLAN（Virtual Local Area Network）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。

采用基于MAC地址的VLAN划分。这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都设置他属于哪个组。这种划分VLAN方法的最大好处就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新设置，所以，能认为这种根据MAC地址的划分方法是基于用户的VLAN。如表下所示，该公司内部网络Vlan的划分及IP的分配。

表3 公司vlan的划分及IP的分配表

另外，IP地址分为公网地址和私网地址两类，公有地址（Public address）由Inter NIC（Internet Network Information Center 因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。ISP分配给公司的全局IP地址地址段为:--/24.,私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址

安全性需求分析

传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行

业务需求分析

1）、地下BF1层作为停车场所，并包含变配电设备机房，将设置2个语音信息点和4个数据信息点用于值班中心的信息交换；

2）、1楼作为公司的大堂、演示中心、消防网络控制中心以及办公厅，将集中设置语音信息点和数据信息点，用于语音通讯、专项信号控制及视频点播、公用信息发布等应用；总配线间（DMDF/ VMDF）设在一层网络通讯机房，分接BF1、F1、F2层的线缆；

3）、2楼作为公司的远程服务厅、办公场所，经营系统的售前、售后、咨询、远程协助等都将运作在此楼层；

4）、3楼作为公司的人事系统办公场所，将包括董事长办公室、经理室、人力资源、行政和人事部门；

4）、4楼作为公司的网络中心和财务系统的办公场所，其安全性和保密性将要特别考虑；

5）、5楼作为公司产研系统所在地，其要求不低于4楼；

6）、交换设备置于4楼的网络通讯机房，管理各分配线间引来的所有光纤、数据主干。

3 设备要求

根据集团的网络功能需求和实际的布线系统情况，楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足集团现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性，保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。

客户端计算机的需求分析和定位选购

经过公司内各部门所提交的需求表的反馈，确认公司共需客户端计算机的PC数量是300套；根据业务的需求分析，从硬件划分为三种配置：

1）普通办公PC：适用于财务部、人事、咨询等普通办公部门的应用，无显卡要求，标配主流的CPU、内存、硬盘、网卡、LCD显示器。 总数量270台。

2）产研系统PC：适用于商业机密、设计、研发等办公部门的应用，考虑其业务要求，需选购比现主流标配的性能更优越的硬件性能，需配置2G显存以上的独立显卡。总数量50台。

3）后勤系统PC，适用于特殊、复杂环境的应用，无需独立显卡，需增强的散热系统，良好的工作环境适应能力，标配主流的CPU、内存、硬盘、网卡、显示器。总数量60台。

交换机/路由器的需求分析和定位选购

XX公司交换机需求如下：

1）主交换机支持三层交换技术，智能化，支持WEB可管理，高安全性、可靠性；

2）传输速率> 1000Mbps；

交换机选购需参考的数据如下：端口数量、 端口速率 、机架插槽数和扩展槽数 、背板带宽 、支持的网络类型 、支持的物理地址数量 、最大可堆叠数 、可网管性 、支持的协议和标准。

选购方案如下：

交换机华为Quidway S8512 网络报价为：18万

基本规格 交换机类型 万兆核心路由交换机

传输速率 10/100/1000/10000

应用层级 三层

交换方式 存储-转发

背板带宽 1800Gbps

包转发率 XRCoreEngine I: 428Mpps, XRCoreEngine II: 857Mpps

VLAN功能 支持

网络 网络标准 , IEEE , IEEE

网络协议 STP/RSTP/MSTP

网管功能 支持SNMPv3 网管

端口 接口类型 14个槽位, 12个业务单板槽位

模块化插槽数 26个

其它 其他功能 支持三层MPLS VPN

支持二层MPLS VPN: VLL 和VPLS

支持PE 和P 功能

安全性 用户分级管理和口令保护

支持IP+MAC+PORT 任意组合的绑定

支持IEEE 认证

支持非法帧报文过滤

支持端口隔离

支持深度业务感知

支持SSH

主干路由器 思科12416/32 网络报价：万

基本规格 路由器类型 高端企业级路由器

路由器处理器 交换能力可达320Gbps

网络功能 网络协议 IPv4, MPLS, BGPv4, IS-IS, , RIPv2, IGMP, DVMRP, PIM DX/SX

VPN功能 支持VPN

Qos功能 支持

其他功能 可靠性及可用性:?

系统冗余:

结构卡冗余4:1时钟调度程序卡冗余1:1?

电源冗余(DC 1:1, AC负载平衡)?

通风组件冗余?

路由处理器冗余1:1?

报警卡冗余1:1?

通过线路卡实现双归?

支持APS?

平均故障间隔时间(MTBF)?

时钟调度程序卡＝240,078hr?

交换结构卡=276,062hr

网络端口 扩展插槽 16个

其它 标准/认证 1950?

EN60950/IEC60950?

EN60825/IEC60825?

ACA TS001?

AS/NZS 3260

电源电压 200～240VAC/～75VDC

功耗 4706W(AC)/2400W(DC)

服务器的需求分析和定位选购

XX公司服务器需求如下：

1）WEB服务、FTP、E-mail服务，智能化，高安全性、可靠性；

2）根据公司的应配备不同的服务器，主服务器负责内部机密数据，WEB服务器负责Internet服务，FTP/E-Mail服务放在一起，数据据服务器存放网络数据。

服务器选购需参考的数据如下：CPU、内存、I/O扩展、电源、冷却、操作系统。

选购方案如下：

主服务器 曙光天阔A950r-F(Opteron 8378×8/16GB/2×146GB) 报价：27万

基本参数 服务器级别 企业级

服务器类型 机架式

服务器结构 5U

主要性能 主板芯片组 Nvidia nForce Pro 2200/2050

标配CPU个数 8颗

最大CPU个数 8颗

CPU类型 AMD Opteron 8378

处理器 标称主频

二级缓存 2MB

多核运算 四核?

内存 内存容量 16GB

内存描述 ECC DDR2?

内存扩展 128GB

存储 标配硬盘容量 146GB

标配硬盘类型 SAS?

存储控制 支持SAS控制

RAID阵列模式 256M SASRAID卡

存储扩展位 8个热插拔硬盘

光驱 DVD

网络 网络控制器 集成三个千兆网卡

电源 电源类型 冗余电源

散热系统 每处理器独立风扇;机箱中部3个风扇;电源模块独立风扇

其他 PCI扩展槽 2个PCI-E x16扩展插槽

2个PCI-E x16扩展插槽(x4速率)

1个PCI 32bit 33MHz扩展插槽

I/O接口 1个后部串口

1个后部VGA接口

2个后部接口

2个前置接口

3个后置RJ45网口

1个后置标准PS/2鼠标/键盘接口

显示芯片 XGI GX20图形控制器(16MB显存)

机身尺寸 220×425×680mm

应用服务器 IBM System x3650 M3(7945I75) 报价：64000

基本参数 服务器级别 企业级

服务器类型 机架式

服务器结构 2U

主要性能 标配CPU个数 1颗

最大CPU个数 2颗

CPU类型 Intel Xeon X5670

处理器 标称主频

智能加速主频 ?

二级缓存 6×256KB

三级缓存 12MB

总线规格 s

多核运算 六核心十二线程?

内存 内存容量 8GB(2×4GB)

内存描述 PC3-10600 DDR3 RDIMM?

内存扩展 最高192GB

内存插槽 18个DDR3插槽?

存储 标配硬盘类型 无标配?

存储控制 ServeRAID-M5015

RAID阵列模式 支持RAID 0, 1, 5, 10

存储扩展位 标配:?

16×SFF托架

网络 网络控制器 2×千兆接口

电源 电源功率 675W

电源数量 1

电源类型 热插拔电源

其他 PCI扩展槽 标配:

4×PCI-E

保修服务 三年部件

三年人力

三年现场

外网防火墙 华为赛门铁克USG9120 报价：万

基本规格 防火墙类型 企业级防火墙

网络吞吐量 120Gbps

并发连接数

VPN支持 支持

主要功能 随着" 三网合一", "", "P2P视频"、"高清宽带"等理念的推出, 网络带宽的需求成几何级别增长, "千兆到桌面、万兆做骨干"已经不是概念, 很多交换机和路由器都拥有多万兆大容量端口, 并且金融、教育等大型企事业单位需要提供更多的业务与服务, 传统防火墙不可避免地成为网络瓶颈, 无法真正适用于高速网络中

华为赛门铁克公司凭借丰富的硬件设计经验, 结合专用的多核处理芯片以及分布式硬件平台, 打造出了"多核+ATCA+分布式" 的万兆高端Secospace USG9100系列安全网关

Secospace USG9100提供业界最高的防火墙/VPN性能, 在确保用户对高可靠性和高性能要求的同时, 以较低的投资成本就能满足金融, 大型数据中心、大型WEB网站、大型企业纵向网络等高端应用的安全防护要求

安全性 人数限制 无用户数限制

端口参数 其他端口 12对插槽, 可配置业务板和接口板

以太网接口: 8×GE、1×10G LAN、1×10G WAN等

POS接口: 4×、1×10G等

内部防火墙 华为赛门铁克USG2210 报价：万

4. 网络布局设计 网络拓扑结构介绍

在此次系统设计中，我们采用分层设计方法，将网络的逻辑结构化整为零，分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次，即核心层、汇聚层和接入层。

采用分层设计方法的好处：

1、节约成本

流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时，被发散到低速链接上，因此接入层路由器可以采用较小的设备。在采用分层设计方法之后，各层次负责不同的数据传送，不再需要同时考虑同一个问题。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

2、易于理解

采用分成设计方法设计出来的网络拓扑结构层次结构清楚，结晰，可以在不同层次上实施不同难度的管理，降低了管理的成本。

3、易于扩展

分层设计方法设计出来的层次模块化更有利于系统的扩展。

4、易于排错

层次模块化能够使网络拓扑结构分解成易于理解的子网结构，管理者能够更方便的确定网络故障的范围，从而更快的排出网络故障。

布线逻辑方案

布线只要采取外线进入公司机房然后星形对外布线，如下图所示：

图2 布线逻辑分布方案图

图2示，是公司布线逻辑分布图，电信网络通过防火墙，进入通过公司路由设备，然后由主交换机，分配到各服务器，各领导办公室，无线路由设备，办公区交换机1，办公区交换机2，然后通过办公区交换机1分配到各办公区1，办公区交换机2分配到各办公区2，由此来实现整个公司网络井然有序的工作。

网络拓扑图 骨干核心层网络设计

4.4.1 骨干核心层网络设计

网络核心层的主要工作是交换数据包，核心层的设计应该注意以下两点:

1)不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制的规划。

牢记核心层的任务是交换数据包，应尽量避免增加核心层路由器配置的复杂程度，因为一旦核心层执行策略出错将导致整个网络瘫痪。

2）核心层的所有设备应具有充分的可到大性：可到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。

在具体设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与汇聚层上所有的路由器相连。

在骨干核心层中，我们采用数台BROCADE SilkWorm 300E核心光纤通道交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。

4.4.2 核心层网络设计

大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。BROCADE SilkWorm 300E具有强大的业务和路由处交换理能力，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。

核心层是网络互联的最高层次，应具有如下能力：核心设备之间应该具有最高速的链路；比较粗的QoS控制粒度；最高的路由前缀；为网络其他模块提供互联。在联合公司自动化系统中，核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。

4.4.3 汇聚层网络设计

汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，汇聚层是核心层和接入层的连接模块，主要功能如下：细到粗QoS粒度的转换；提供到核心的路由合并；提供到访问层的路由过滤。联合公司自动化系统的汇聚层，主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。

4.4.4 接入层网络设计

接入层是面向最终用户的设备，主要功能如下：提供高密度的用户端口；提供许可控制，包括：安全控制和QoS控制。

采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。

在这种体系结构内，接入层为终端用户提供10/100M交换端口，并提供到网络汇聚层的上联链路。

各个楼层的终端设备或局域网络全部通过接入层进入网络系统。

网络汇聚层聚集配线间内所有的接入交换机，提供千兆链路连接到核心层网络中，并采用第二和第三层交换技术来划分网段（工作组），提供故障或问题的隔离，使得核心网络免于外围故障的影响。由于汇聚层设备连接的用户数较多，涉及的虚拟网络（VLAN）信息较多，此次网络方案设计将第三层交换设计在汇聚层上，以提升虚拟网络之间的互通能力。

核心网络层连接各个不同的配线间汇聚层交换机以及服务器汇聚交换机，核心网络设备之间提供冗余的、高带宽的交换数据通道，形成网络的核心结构。核心网络中同时会有第二和第三层交换技术的存在，但第三层交换应占有主导地位。第三层交换有利于网络的规模调整并为新的多址发送应用提供更好的性能和流量路由。同时，将服务器群通过服务器汇聚交换机连接在高交换性能的核心网络中，结合虚拟网技术，为网络提供更安全、效率更高的应用效果。

5项目费用设备费用项目费用

合计：万RMB

6总结

通过这次的课程设计，让我了解到了如何完成一个网络系统的构建策划，其中包括项目的需求分析，网络拓扑图的制作以及网络设备的选择。我深深地体会到了知识积累的重要性，在这个过程中，涉及到了多方面的知识，这就要求你对这些知识有些或多或少的了解，这样才能完成一个项目的策划。

另外，在本次撰写中，要了解文本的基本格式，让实验报告整洁，不至于凌乱，要查看资料，理解内容，用自己的话描述出来，不要写些大概内容，应要详细的描述出各技术的应用。

第2篇: 企业网络安全设计方案

中小企业网络安全设计方案

用户特点：

　　有一定数量的网络用户，通常在25—50个用户左右；

　　用户有联网的需求，且有较大的网络数据吞吐流量；

　　通常采用较高速率的专线连接Internet；

　　有清晰的网络分层体系结构；

　　为保障网络安全，除需要布署防火墙产品以外，还有防护网络病毒、限制对互联网带宽的不合理使用等需求；

　　对防火墙产品性能有较高要求。

　　方案示意图：

豪华版

　　方案特点：

　　该方案可以为中型网络提供企业级的一体化网络安全；

　　通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能；

　　可以实现NAT和DHCP功能，保障内部合法用户的联网需求；

　　内置图形化Web管理界面，简单并易于管理；

　　可以和合作伙伴的产品无缝地结合起来，完成深层次的网络安全性管理，如：防止网络病毒的入侵，阻止员工访问非授权的网站等功能。

　　Cisco Secure PIX 506E是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。作为专用的工具，这些防火墙不提供WAN接口，也不支持除RIP之外的任何路由协议。该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪单个连接。分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。

第3篇: 企业网络安全设计方案

企业网络安全解决方案

作者：沈传案 王吉伟

摘 要 随着信息化技术的飞速 发展 ，许多有远见的 企业 都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对 计算 机 应用 系统的依赖性增强，计算机应用系统对 网络 的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

    关键词 信息安全；PKI；CA；VPN

1 引言

    随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的 经济 效益，但随之而来的安全 问题 也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

    随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

    在下面的描述中，以某公司为例进行说明。

2 信息系统现状

2.1 信息化整体状况

    1)计算机网络

    某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

图1

    2)应用系统

    经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2 信息安全现状

    为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要 内容 是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3 风险与需求 分析

3.1 风险分析

    通过对我们信息系统现状的分析，可得出如下结论：

    (1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

    (2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

    通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

    (1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前 实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

    当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

    针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

    美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的 研究 也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

    (2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

    已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

    网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2 需求分析

    如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

    (1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

    (2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

    (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

    (4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4 设计原则

    安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1 标准化原则

    本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2 系统化原则

    信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3 规避风险原则

    安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能 影响 现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4 保护投资原则

    由于信息安全 理论 与技术发展的 历史 原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5 多重保护原则

    任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6 分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5 设计思路及安全产品的选择和部署

    信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对 网络 、系统、 应用 、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

图2 网络与信息安全防范体系模型

    信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的 分析 ，对现有的信息安全产品和解决方案的调查，通过与 计算 机专业公司接触，初步确定了本次安全项目的 内容 。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1 网络安全基础设施

    证书认证系统无论是 企业 内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。 目前 ，解决这些安全 问题 的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥 理论 和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

    身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

    数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

    数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

    不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为 法律 证据。

5.2 边界防护和网络的隔离

    VPN(Virtual Private Network)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

    通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

    集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

    集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3 安全 电子 邮件

    电子邮件是Internet上出现最早的应用之一。随着网络的快速 发展 ，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

    目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持的 S/MIME( Secure Multipurpose Internet Mail Extensions )，它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织 ( 根证书 ) 之间相互认证，整个信任关系基本是树状的。其次， S/MIME 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。

5.4 桌面安全防护

    对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

    桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

    1)电子签章系统

    利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

    2) 安全登录系统

    安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

    3)文件加密系统

    文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5 身份认证

    身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。

    基于PKI的USB Key的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6 方案的组织与实施方式

    网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图3

    因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

    (1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

    (2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

    (3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

    (4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7 结论

    本文以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署，为众多行业提供了网络安全解决手段。

    也希望通过本方案的实施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。

第4篇: 企业网络安全设计方案

企业网络安全管理方案和办法一般分为两个部分:一是通用的,于各企业实施的管理方案;一是对应本企业特有的管理方案.本管理方案和办法,将从这两点出发,进行设计和讨论.
企业通用网络安全管理制度篇1
1.组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。
2.负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。
3.加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
4.一旦发现从事下列危害计算机信息网络安全的活动的：(一未经允许进入计算机信息网络或者使用计算机信息网络资源;(二未经允许对计算机信息网络功能进行删除、修改或者增加;
(三未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
(四故意制作、传播计算机病毒等破坏性程序的;
(五从事其他危害计算机信息网络安全的活动。需要做好记录并立即向当地公安机关报告。5.在信息发布的审核过程中，如发现有以下行为的：(一煽动抗拒、破坏宪法和法律、行政法规实施(二煽动颠覆国家政权，推翻社会主义制度(三煽动分裂国家、破坏国家统一
(四煽动民族仇恨、民族歧视、破坏民族团结(五捏造或者歪曲事实、散布谣言，扰乱社会秩序
(六宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪(七公然侮辱他人或者捏造事实诽谤他人(八损害国家机关信誉
(九其他违反宪法和法律、行政法规将一律不予以发布，并保留有关原始记录，在二十四小时内向当地公安机关报告。
6.接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.
企业通用网络安全管理制度篇2
为加强公司网络系统的安全管理，防止因偶发性事件、网络病毒等造成系统故障，妨碍正常的工作秩序，特制定本管理办法。

一、网络系统的安全运行，是公司网络安全的一个重要内容，有司专人负责网络系统的安全运行工作。
二、网络系统的安全运行包括四个方面：一是网络系统数据资源的安全保护，二是网络硬件设备及机房的安全运行，三是网络病毒的防治管理，四是上网信息的安全。
(一数据资源的安全保护。网络系统中存贮的各种数据信息，是生产和管理所必须的重要数据，数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份，规定如下：
1、办公室要做到数据必须每周一备份。2、财务部要做到数据必须每日一备份3、一般用机部门要做到数据必须每周一备份。4、系统软件和各种应用软件要采用光盘及时备份。
5、数据备份时必须登记以备检查，数据备份必须正确、可靠。6、严格网络用户权限及用户名口令管理。(二硬件设备及机房的安全运行
1、硬件设备的供电电源必须保证电压及频率质量，一般应同时配有不间断供电电源，避免因市电不稳定造成硬件设备损坏。
2、安装有保护接地线，必须保证接地电阻符合技术要求(接地电阻≤2Ω，零地电压≤2V，避免因接地安装不良损坏设备。
3、设备的检修或维护、操作必须严格按要求办理，杜绝因人为因素破坏硬件设备。4、网络机房必须有防盗及防火措施。
5、保证网络运行环境的清洁，避免因集灰影响设备正常运行。(三网络病毒的防治
1、各服务器必须安装防病毒软件，上网电脑必须保证每台电脑要安装防病毒软件。2、定期对网络系统进行病毒检查及清理。
3、所有U盘须检查确认无病毒后，方能上机使用。
4、严格控制外来U盘的使用，各部门使用外来U盘须经检验认可，私自使用造成病毒侵害要追究当事人责任。
5、加强上网人员的职业道德教育，严禁在网上玩游戏，看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。(四上网信息及安全
1、网络管理员必须定期对网信息检查，发现有关泄漏企业机密及不健康信息要及时删除，并记录，随时上报主管领导。
2、要严格执行国家相关法律法规，防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意，任何人不得私自让外来人员使用我公司的网络系统作任何用途。
3、要加强对各网络安全的管理、检查、监督，一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理，对造成事故的责任人要依据情节给予必要的经济及行政处理。

五、未经公司负责人批准,联结在公司网络上的所有用户,严禁在同过其它入口上因太网或公司外单位网络.
企业通用网络安全管理制度篇3
第一条目的
为维护公司网络安全，保障信息安全，保证公司网络系统的畅通，有效防止病毒入侵，特制定本制度。
第二条适用范围
本制度适用于公司网络系统管理。第三条职责
1、技术开发部负责公司网络系统的安全管理和日常系统维护，制定相关制度并参加检查。2、办公室、安质部会同相关部门不定期抽查网络内设备安全状态，发现隐患及时予以纠正。3、各部门负责落实网络安全的各项规定。第四条网络安全管理范围
网络安全管理须从以下几个方面进行规范：物理层、网络层、平台安全，物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。第五条机房安全
1、公司网络机房是网络系统的核心。除技术部管理人员外，其他人员未经允许不得入内。2、技术部的管理人员不准在主机房内会客或带无关人员进入。3、未经许可，不得动用机房内设施。
第六条机房工作人员进入机房必须遵守相关工作制度和条例，不得从事与本职工作无关的事宜，每天上、下班前须检查设备电源情况，在确保安全的情况下，方可离开。
第七条为防止磁化记录的破坏，机房内不准使用磁化杯、收音机等产生磁场的物体。第八条机房工作人员要严格按照设备操作规程进行操作，保证设备处于良好的运行状态。第九条机房温度要保持温度在20±5摄氏度，相对湿度在70%±5%。
第十条做好机房和设备的卫生清扫工作，定期对设备进行除尘，保证机房和设备卫生、整洁。第十一条机房设备必须符合防雷、防静电规定的措施，每年进行一次全面检查处理，计算机及辅助设备的电源须是接地的电源。
第十二条工作人员必须遵守劳动纪律，坚守岗位，认真履行机房值班制度，做好防火、防水、防盗等工作。
第十三条机房电源不可以随意断开，对重要设备必须提供双套电源。并配备UPS电源供电。公司办公楼如长时间停电须通知技术部，制定相应的技术措施，并指明电源恢复时间。设备安全管理
第十四条网络系统的主设备是连续运行的，技术部每天必须安排专职值班人员。
第十五条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等的工作状况，发现问题及时向技术部领导报告，遇有紧急情况，须立即采取措施进行妥善处理。