第六章 某企業集團網絡安全解決方案

1、項目背景

xxx集團計算機網絡是一個局域網互連的龐大而複雜的網絡結構，網絡連接複雜而多樣，網絡應用相當豐富，應該說是一個成功的網絡設計與應用樣板。然而在網絡設計和開發初期，受當時軟硬件技術、經濟投資、政策引導等環境影響，對網絡係統的安全和保密措施及實現的技術手段沒有作係統的考慮，從而使網絡安全受到了極大的威脅。隨著國家有關部門相繼出台了一係列關於加強計算機網絡信息係統安全的法規，以及xxx集團計算機係統的建設發展和普及應用，使得加強網絡安全和信息保密工作變得越來越重要，在這種背景下，海信數碼公司根據xxx集團的需求，提出了xxx集團計算機網絡安全解決方案。

2、網絡概況

xxx集團暴露在公網上的主機是WWW服務器、Mail服務器、代理服務器（MSProxy），有自己內部的DNS服務器和內部WWW服務器。家庭用戶通過撥號和閉路電視網絡登錄內部網，訪問Internet和收發Email。

各xxx局域網通過微波、光纖與總部連接。整個網絡有唯一出口連接Internet。公司網絡係統的出口方式是，以2兆專線接入方式與xxx電信局聯接，並接入國際互聯網。

通過幾年來的網絡係統建設和應用開發，目前已經形成了xxx區企業局域網絡聯接/應用服務、國際互聯網（Internet）接入/應用服務和電子郵件服務業務體係。

xxx區計算機網絡係統（以下簡稱網絡）硬件平台選用BAY公司的交換機設備、CISCO公司的路由器設備、HP公司的服務器；軟件平台采用Windows-NT為網絡操作係統和ORACLE數據庫，構成帶有虛擬功能的快速交換（10M/100M）以太網。

公司機關網絡中心由各樓宇內的綜合布線係統、網絡設備平台和軟件平台等構成高速交換以太網。公司機關的主樓、經營樓和信息樓均設置一間交換機房及交換設備，三個樓宇之間以光纖做環形連接，以實現樓宇之間的數據交換和係統的資源共享，並以此構成網絡係統的彙結中心。

公司和各xxx區之間的網絡連接結構采用星型拓撲結構。對內通過微波2兆數據傳輸口和10兆光纖與公司各xxx區聯接，對外統一通過網絡中心至xxx的2兆專線與國際互聯網聯接。

3、係統分析

隨著企業信息化的深入發展和電子商務應用與xxx區寬帶網的起步建設，xxx區聯網單位飛速增長，依賴於計算機管理和借助於xxx區計算機網絡係統運行環境的單位部門和業務體係會越來越多。因此，xxx區計算機網絡係統勢必需要進一步發展建設和完善健壯。同時，xxx區計算機網絡係統將會勢必擔負更為廣泛的、更為重要的、更為繁重的任務和職責。所以，該係統就越發需要一套完備高效可靠的技術措施和技術手段，確保係統的安全正常運行。

xxx區計算機網絡係統在設計和初期開發建設時期，其安全防範還沒有提到議事日程上來，沒有相應的安全防護技術和手段，係統是一個對內對外不加任何防衛侵入攻擊破壞的裸網。到中期，業務技術管理部門根據社會和企業網絡應用實際情況，意識到這一問題的重要，購買了一套防病毒放火牆軟件。但是，限於當時的技術和設備以及應用衝突的影響，無法投入正常使用。而切，從當前實際情況和技術進步趨勢來看，僅僅靠該軟件和用戶端的查殺病毒軟件，是無法滿足係統安全防範需要的。

目前係統存在的主要安全隱患有：

係統範圍比較龐大、路由結構比較複雜、xxx區聯接方式較多，容易產生技術漏洞和薄弱環節；

沒有設置防止外部黑客攻擊（對服務器、網站、網頁等）的物理和技術隔離；

沒有設置防止內外部病毒侵入、傳播的動態檢測、實時監控、殺滅報告等軟硬件技術措施；

係統的信息傳輸通道沒有加密措施，容易被截獲，造成信息泄密；

係統的交換機、服務器等網絡核心設備，由於資金投入所限，均無應急備用考慮，數據庫、數據信息、軟件、用戶注冊信息、訪問日誌等尚未建立自動備份體係，一旦發生設備損壞或軟件數據損壞，很難及時恢複係統正常工作；