企業網網路安全設計

A. 中小企業如何進行網路信息安全建設(1)

網路是企業信息化的基石，而網路信息安全則成為網路運用的障礙。企業對網路的利用率低，不僅僅是網路帶寬的問題，更多的是考慮到網路安全的問題。因為害怕在網路上會出現這樣或那樣的問題，而不願或不敢在網路上運行可以信息化的業務系統，而繼續使用傳統的或手工的方式來完成繁重的業務工作。
對於網路信息安全有兩個普遍的觀點：其一是「三分技術，七分管理」，說的是網路信息安全主要靠管理手段來保障，技術對網路信息安全的貢獻只佔三成；其二是「木桶原理」，說的是網路信息安全由一些基本的安全因素構成，這些安全因素中最脆弱的哪一部分將成為網路信息安全的最大威脅。
中小企業建設網路信息安全的內容
網路信息安全的實質是：保障系統中的人、設備、設施、軟體、數據以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊，使它們能正常發揮作用，保障系統能夠安全可靠地工作。
網路信息安全大體上可以分為：物理安全問題、方案設計的缺陷、系統的安全漏洞、TCP/IP協議的安全和人的因素等幾個方面。
對網路信息常採用的攻擊手段有：竊取機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰等幾大類。
針對中小企業網路信息安全建設，主要包括以下幾個內容：
（1）物理安全：主要包括機房和配線間的條件、自然災害、人為破壞、信息入侵等，進一步可以分為如下一些方面：
◆ 機房和配線間的電源、接地、防雷、防潮、防盜、防火、防塵、防鼠、溫度調節、通風條件、強電流干擾等。
◆ 地震、火災、洪水、台風等。
◆ 人為誤操作、有意破壞信息系統或通信線路或設備、恐怖活動、戰爭等。
◆ 線路搭聽、從網路入口處侵入網路等。
（2）計算機硬體和軟體的資產安全：主要包括計算機硬體不被替換或者移走，所使用的計算機軟體是否存在版權問題，是否使用了不允許使用的軟體等。
（3）網路體系結構安全：主要包括如下一些內容：
◆ 相對獨立的區域網的拓撲結構不存在環路。
◆ 通信線路通信性能上不存在瓶頸。
◆ 通信線路某一部分故障影響的范圍盡可能小。
◆ 通信網路設備故障影響的范圍盡可能小。

B. 如何才能保障企業內網安全

1、注意內網安全與網路邊界安全的不同

內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。

2、限制VPN的訪問

虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。

3、為合作企業網建立內網型的邊界防護

合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

4、自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。

5、關掉無用的網路伺服器

大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。

6、首先保護重要資源

若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。

7、建立可靠的無線訪問

審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問

對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。

9、創建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。

10、可靠的安全決策

網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。

另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

C. 企業網路安全該怎麼做

★ 您的企業是否總是擔心公司內部的各種技術機密和商務秘密通過計算機的電子文檔泄漏出去？
★ 若泄漏是否會直接影響企業生存和發展？
★ 您的企業是否總有人員流動？
★ 原工作人員是否將工作涉及的文檔都通過U盤或電子郵件拷貝走了？
★ 現在的工作人員是否有可能將各種機密泄漏給競爭對手？
★ 工作人員離職後是否變成了企業的競爭對手？
★ 您的企業把USB埠、光碟機、軟碟機、互聯網、計算機後蓋全都封住了就能保證電子文檔不會泄漏出去嗎？
商場如戰場，波譎雲涌。身處其中的企業在日益激烈的商場競爭中不僅要應對來自競爭對手的挑戰，還要面對企業內部的各種業務，因此承載企業重要商業信息的文件就在交錯紛雜的商場風雲下面臨著各種安全隱患。沒有進行加密防護的文件猶如一個誘人的蘋果，誰都能輕易咬上一口。那麼在這個沒有硝煙的戰場中，讓域之盾加密軟體坐鎮文件安全，才能讓企業放下包袱，輕裝上陣。域之盾系統功能全面，可有效保護企業數據安全
1. 透明加解密
系統根據管理策略對相應文件進行加密，用戶訪問需要連接到伺服器，按許可權訪問，越權訪問會受限，通過共享、離線和外發管理可以實現更多的訪問控制。
2. 泄密控制
對打開加密文檔的應用程序進行列印、內存竊取、拖拽和剪貼板等操作管控，用戶不能主動或被動地泄漏機密數據。
3. 審批管理
支持共享、離線和外發文檔，管理員可以按照實際工作需求，配置是否對這些操作進行強制審批。用戶在執行加密文檔的共享、離線和外發等操作時，將視管理員的許可權許可，可能需要經過審批管理員審批。
4. 離線文檔管理
對於員工外出無法接入網路的情況可採用系統的離線管理功能。通過此功能授權指定用戶可以在一定時間內不接入網路仍可輕松訪問加密數據，而該用戶相應的安全策略仍然生效，相應數據仍然受控，文檔許可權也與聯網使用一樣。
5. 外發文檔管理
本功能主要是解決數據二次泄密的威脅，目的是讓發出的文檔仍然受控。通過此功能對 需要發出的文件進行審批和授權後，使用者不必安裝加密客戶端即可輕松訪問受控文件，且可對文件的操作許可權及生命周期予以管控。

6. 審計管理
對加密文檔的常規操作，進行詳細且有效的審計。對離線用戶，聯網後會自動上傳相關日誌到伺服器。
7. 自我保護
通過在操作系統的驅動層對系統自身進行自我保護，保障客戶端不被非法破壞，並且始終運行在安全可信狀態。即使客戶端被意外破壞，客戶端計算機里的加密文檔也不會丟失或泄漏。

D. 如何設計網路安全

網路安全對沒用的人沒計安全，對求助的人不能現只。

E. 基於安全策略的企業網路設計的探討

目前,網路安全的技術主要包括防火牆技術、加密技術、身份驗證、存取控制、殺毒軟體、數據的完整性控制和安全協議等內容。針對校園網來說,存在較大的成本投入問題,不可能將所有的安全技術應用到網路中,在網路規劃階段可以針對最主要的安全問題進行設計防範。在網路設計階段可以採取防火牆技術、VLAN技術、殺毒軟體、網站過濾技術等。

樓主可以就上述技術在網路規劃設計階段如何進行設計進行探討。

以下參考！！！！！！！！！！！！

引言
信息技術日新月異的今天，網路技術發展迅猛，信息傳輸已經不僅僅局限於單純文本數據，數字數據
的傳輸，隨之而來的是視頻，音頻等多媒體技術的廣泛運用。隨著技術的發展，網路設備性能和傳輸介質容量有了極大的提高，但是由於用戶需求的日益提高，網路環境的日益復雜，使得網路規劃成為一項越發困難的課題，作為校園園區網的規劃成敗與否，將直接影響到學校教育網路系統性能的高低，從而影響教學進程和教學效果，下面主要對校園園區網的規劃思想進行探討。

1． 校園園區網規劃介紹
校園園區網規劃是校園網進行工程組網的前期准備工作，它的內容涉及到整項網路工程的重要步驟，是網路設計的核心與靈魂，校園園區網優良的長遠規劃和最佳的實現選擇是校園網長期高效能運營的基礎。目前，校園園區網中技術應用主要為輔助管理，教學科研，internet信息服務，以及網路技術探索應用四大類，由於總體的規劃所涉及到的技術因數繁多，因而校園園區網規劃應當實地考察，調研，通過反復論證，結合當今技術及發展方向，提出總體規劃設想，規劃既要適應當前的應用，又要反映未來需求，規劃應當考慮經濟，環境，人文，資源等多方面因素，以合理需求為原則。

2． 校園園區網規劃實施計劃
2．1 了解用戶，收集信息
網路規劃的目的在於收集一線信息的基礎上給出合理可行的設計方案，如戰場指揮，運籌帷幄，決
勝千里，其關鍵之處在於廣泛收集信息，全面合理的規劃校園園區網需認真考慮三點因素：
（1）學校歷史網路資源信息，當前網路規劃設計計劃，領先的技術方向，運營機制和管理辦法，滿足未來網路的高度擴展計劃及其特點
（2）了解學校校園網路的使用者分別是誰？他們各自的知識層次如何？以及他們對計算機的使用觀點和使用頻率如何？他們對當前的網路態度和看法如何？這一點將為日後培訓和安排多少人員進行網路的技術支持和維護起導向作用。
（3）明確網路規模：有哪些校區，哪些部門，多少網路用戶，哪些資源需要上網，採用什麼檔次的設備而又在資金預算范圍內，不同部門之間的信息流向問題，不同時刻網路流量及流量峰值問題，確定網路終端數量及位置，共享數據的存儲位置和哪些人要用這些數據等基本狀況等
（4）找出用戶與用戶，用戶與資源，資源與資源之間的內在關系，相關信息，這是校園網設計的前提和依據，是規劃的核心思想，作為一個龐大的校園網，如何使得設計的網路便於教學需求和管理應用，教學網與管理網各自安全運作，相互兼容，而又不矛盾？這一點尤為重要。
2．2 分析需求，提出網路設計原則
2．2．1 需求分析
教育行業有著自身的特殊性，校園園區網對整個網路性能要求相對較高，校園園區網組建需滿足對數字，語音，圖形圖象等多媒體技術的寬泛應用，以及綜合科研信息的傳輸和處理需求的綜合數字網，並能符合多種協議的要求，其體系應當符合國際標准（如TCP/IP協議，Novell IPX協議等），同時能兼容已有的網路環境，因此設計組網前，應對各方面需求總結歸納，做出細致分析：
（1）內部光纜主幹需求：規劃需分析綜合布線系統及其子系統，主配線間MDF與二及配線間IDF的位置，不同類別的伺服器位置等。
（2）應用管理需求：能夠讓管理人員從繁瑣的文字處理中徹底解脫出去，以計算機信息系統交流和日常事物，構建公文系統，日常辦公系統，檔案系統，電子郵件等功能，且需操作簡單，便於使用。滿足視頻點播，語音教學，多媒體課件等教學需求，具備基本的Internet訪問等。
（3）網路流量需求：要求校園園區網有足夠的網路吞吐量來滿足教學任務，保證信息的高質高效率傳輸，校園網流量涉及到，語音教學，多媒體課件，伺服器訪問，Web瀏覽，視頻點播等，對帶寬需求和時延性要求極高。
（4）網路安全需求：校園網路必須有完善的安全管理機制，能夠確保網路內部可靠運行，還要防止來自外部的和來自內部的非法訪問和入侵，保證關鍵資料庫的存儲安全
2．2．2 提出設計原則
（1）網路可靠性原則：
網路設計過程中網路拓撲應採用穩定可靠的形式，如：雙路由網路拓撲，環行網路結構。因為它們即可冗餘備份，安全性又可以得到保障，核心層交換可採用高端交換設備和光纖技術的主幹鏈路（TRUNK）來實現較高的容錯性，這樣就可以避免單點故障的出現，網路結構使用雙鏈路，雙核心交換設備，雙路由備份可靠措施，都可以使校園網可靠性和實用性得到大大的提高
（2）網路可擴展性原則：
校園園區網擴展性包含2層意思（一）：新的教學部門能簡單的接入現有網路 （二）：升級新技術的應用能夠無逢的在現有網路上運行
可見，規劃校園園區網路時不但要分析當前的技術指標，而且要對未來的網路增長情況做出估計和預算，以滿足新的需求，保證網路可靠性，從而保證校園正常的教學秩序
（3）網路實用性和可管理性原則：
校園園區網系統設計在性能價格比方面要體現系統的實用性，可採用先進的設備，但有要在資金允許的條件下實現建網的目標，校園園區網應基於簡單網路管理協議（SNMP），並支持管理信息庫（MIB），利用圖形化，可視化管理界面和操作方式，易於管理，這也正體現出了實用性原則，合理的網路規劃策略，可提供強大的管理
功能，能使管理一體化進行，這就便於日後的校園網更新與維護
（4）網路安全性原則
1.對物理層及網路拓撲結構，操作系統及應用軟體要求具備相應的安全檢測機制，邊界網關應該構築防火牆，安裝殺毒軟體，對網關路由器進行必要的安全性過濾，如訪問控制列表ACL配置，用戶身份認證，數據加密，密鑰等技術來實現校園園區網的安全化
2.採用靜態虛擬區域網技術（靜態VLAN）加強內網的管理，因為VLAN是基於邏輯劃分而非物理地理劃分，這就有效的控制了各個網段的相互訪問，從而保證了內網的安全性，同時VLAN又可抑制不必要的廣播，從而節約了帶寬，又便於管理
3.以TCP/IP四層網際模型為框架建立持續過程的網路安全性措施運行機制，做到維護網路，監測網路，測試網路，改進網路四位一體的網路持續性保衛工作，它是網路安全性管理的核心思想，如圖所示：

應用層

傳輸層

網際層
internet層

網路接入

圖（1）以TCP/IP模型構建持續性網路安全管理方式
3． 總結失敗項目，明確網路規劃的必要性
當前很多學校紛紛建立自己的校園網，但由於組網設計前期規劃工作做的不徹底，不扎實，使得校園
網發揮效益不大，巨大的投資沒有換來實實在在的成效收益。這一點在中小學校園網建設上體現的較為明顯，其原因主要三點：
（1）認識不到為
學校對校園網概念定義缺乏認識，帶有盲目性和自我偏見性，沒有明確建校園網的目的，不曉得校
園網到底起什麼樣的實質性作用。
（2）投資方案不合理
由於對校園園區網建設認識不正確，使得很多學校出現「重硬體，輕軟體」的現象，結果校園園區網建設成了基於硬體設備的校園網組網解決方案，是純粹的設備集合。而對建網後的維護極不重視，後期的管理投入所佔比例微乎其微，所以使得校園網不能很好的服務與教學和管理，甚至還會使整個網路趨於崩潰。
（3）缺乏有效的組織管理和實施手段
校園園區網的建設不僅僅涉及到技術問題，還會引起更深層次的變革，而學校在建設校園園區網時，認識不充分，在新技術，新思想面前不能及時轉變觀念，沒有行之有效的組織管理和實施手段。
基於上述三點指出：盲目的進行校園網建設，不採取合理的規劃，都會導致校園網建設失敗，一個成功的校園網規劃應當是集穩定開放的網路平台，量身定製的應用軟體，有效的組織實施方案三位於一體的的校園園區網建設過程。

4． 總結
校園園區網應順應時代教育思想的革命，在網路技術上具備響應的本質特徵，教育的一個基本特徵是打破時間和地域的限制，面向全體社會成員，這就要求規劃校園園區網路時必須站的高，看的遠，時刻明確思想定位和技術定位，本文主要探討了如何行之有效的規劃一個滿足教學，科研，管理全方面高效新型校園園區網，並指明規劃思想。總之，未來校園園區區域網的規劃目標，規劃方向應該是建成一個集IP服務，寬頻光傳輸且提供服務的運營級多功能網路

參考文獻：[1]王竹林等 . 校園網組網與管理<M> 清華大學出版社 . 2001出版
[2]思科網路技術教程（三. 四）學期 人民郵電出版社 2002出版
[3]http://www.net130.com.cn
[4]方東權 . 楊巋 . 校園網路安全與管理[J]. 網路安全與技術 2005第51期

F. 公司網站安全怎麼做

一、建站初期

建站初期，你的網站是沒有行使價值的，一般網站很安全，當你的網站做大了，有許多用戶訪問的時候，眾多不安全因素就出來了。

1、就是選擇空間的問題上面。如果你想把企業網站做大那麼一定要選一個安全穩定的空間商，就算價格高一點，只要安全穩定就是最值的。假如你是做一個站扔一個站的人就不用考慮這么多了，最便宜的就是適合的。

2、網站的程序。網站的編寫語言一定要選用安全的語言，網站後台一定要安全。

3、網站的資料庫。網站的信息資料都是要存到資料庫裡面的，所以網站的資料庫很重要，網站的用戶信息一定要加密。

二、運行階段

1、定期排查網路情況。網站所放置的伺服器除了要選擇有信譽的機房外，網路連通性和網路狀況需要定期檢查。由於網站受黑客攻擊的情況具有突發性和密集性，所以定期的網站狀態報告就尤為重要。這里所指的網站狀態報告不同於我們常說的網站流量報告等反映用戶流量的report，而是指對於網站的網路連通性和負載狀況的匯報。雖然管理員不一定具備網路工程師對於報告的分析能力，但是直觀的數據報表和對異常情況的檢測報告，還是能夠發現網站是否處於異常狀態。

2、及時備份網站數據。網站的數據也是網站安全的一大重點。每月一次，甚至每周一次的資料庫備份對於網站發生異常後的數據恢復非常有必要。對於電子商務類型的網站，由於用戶數據每天都有更新，資料庫要做到日備份，最大程度的保證寶貴的用戶數據資源不會被丟失。

3、後台管理的許可權分配。由於企業的網站管理員可能有多個，而且人員具有流動性，因此為保證站點內容不會被人為的誤操作，以及保證網站內容的正確性，在網站後台的製作中，應當對後台的管理設置許可權模塊，為網站的內容設立不同的許可權管理角色。這樣的話，網站後期運營過程中，就可以安排不同的工作人員對網站進行合理的管理，且只有超級管理員才擁有最高的許可權，能夠保障網站內容不會輕易被更改，或者誤刪除。

4、企業內部的安全性。公司的電腦一定要安全，公司的內部員工一定要素質高點的，同時保證企業員工所使用電腦的安全性，否則員工在登陸後台時容易造成網站被黑客攻擊。一旦網站的伺服器出現故障導致無法訪問，或者遭到黑客攻擊，那麼，不僅僅妨礙企業用戶對網站的正常訪問，而且還會影響企業網站品牌的形象，甚至流失潛在的客戶資源。

G. 如何給公司網站防護，構建企業網路安全防護

建議樓主可以試試360企業版。360企業版 = 360安全衛士 + 360管理控制中心， 360管理控制中心為企業集中管理內網電腦搭建了一個全能平台， 在統一的平台上滿足了廣大企業對於集中殺毒，體檢，打補丁的迫切需求。

H. 學校或者企業網路安全規劃設計的方案

學校或者企業如果是要對電腦進行集中管理，保證其電腦使用效率的話可以從上網行為方面去著手，也可以通過實時屏幕快照對員工電腦進行實時了解，或者是用域之盾進行屏幕錄像，能夠對員工電腦的各方面上網行為進行管理，比如聊天、看視頻及瀏覽網頁等行為進行具體的設置，這樣就能夠保證學生或者是員工在電腦上的使用效率；額。

I. 畢業設計 企業網網路安全設計的前言

摘要在圖片中打開查開吧