1、XX 咨询公司内网加固方案指 导 教 师:黎银环所 学 专 业:计算机网络技术班 别: 网络 01 班组 名: 306 卫士成 员: 崔超志、李振东、查敏 完成日期:2011 年 10 月 10 日- 1 -目录一、公司现况与发展: .- 2 -1.1 公司现况 .- 2 -1.2 三个发展阶段 .- 3 -1.3 公司组织架构 .- 4 -二、内网安全加固技术实现方案 .- 5 -2.2 网络加固 .- 5 -2.3 数据备份与恢复 .- 7 -三、网络拓扑图 .- 8 -四、公司平面图 .- 9 -五、IP 分配 .- 10 -七、材料清单 .- 12 -八、关键技术 .- 13 - 2
2、-一、公司现况与发展:1.1 公司现况本公司为小型咨询公司,现有 80 名员工,分 5 个部门,公司内有 30 台计算机,并组成了局域网。但原来员工都不精通计算机维护,部分机器经常中毒;偶尔出现部分重要资料被员工随意复制或删除等混乱现象。作为为客户提供资料和信息的公司,数据的管理直接关系到公司的发展,所以我们计划分三个阶段将公司的网络安全搞好,并且利用好网络的便利使公司得到更好的发展和壮大。1.2 三个发展阶段1、首先解决公司内部网络安全:根据每个员工的职权以及所在部门给所有人的账号设置相应的权限。根据各部门情况通过划分 VLAN 的方法限制员工间的访问。防止重要资料被随意复制或删除。在公司电
3、脑上安装收费杀毒软件,如卡巴斯基,提高安全性,并培训员工基本的电脑安全知识。在公司内网安装个人行为管理器,约束和规范员工上网。- 3 -2、加强网络通信安全,开展网络业务,建立 WEB 立足点,使用好公网 IP,无线网络漫游等:为维护公司员工或客户通信安全,让公司员工或客户申请个人数字证书,并对电子邮件进行签名或加密。在购买服务器空间,建立公司对外业务的可 SSL 保护的 WEB 站点,并聘请技术人员作维护。利用 VALN 间路由让公司内部的资源共享及相互间的通信。使用 NAT 技术,只需要申请一个公网 IP 就能让公司内部网连接到 Internet。因为拓展网络业务,公司聘请了一些新的技术和
4、业务员工,并给精英员工配备了笔记本电脑。为了让笔记本电脑能方便地在公司范围内上网,并能实现无线网络漫游。通过 Wi-Fi 保护访问 (WPA) ,802.1X 身份验证来保证无线网络安全。3、随着公司的发展,员工已经有 100 个,而公司的计算机也增加到 70 台了,这样每天都有大量的业务数据。为了能保证公司资料的安全性和公司业务的正常运作,我们将公司的数据和资料作容灾备份。- 4 -1.3 公司组织架构二、内网安全加固技术实现方案2.1 物理加固保证计算机信息系统各种设备的物理安全是保障整个某机密企业内网网络系统安全的前提,所以物理加固是很重要的,内网的物理加固主要是以下 3 部分: 资料部
5、的所以电脑的主机的光驱跟 USB 接口拆除,防止有非法人员通过光驱跟 USB 接口对公司重要资料进行拷贝。 公司的摄像头对资料部进行监控,可以监视资料部的内部情况。 禁止所以员工带 U 盘或者其他存储设备进入公司,这样可以降低公司资料外泄的几率。总经理财务部(5 人)业务拓展部(20 人)客户服务部(20 人)人力资源部(20 人)资料管理处(5 人)- 5 -2.2 网络加固在网络结构的安全方面,主要考虑权限设置、优化网络结构、路由的优化和可扩展性。1) 权限设置根据每个员工的职权以及所在部门给所有人的账号设置相应的权限,而管理员拥有最大权限,这样可以方便管理公司网络。2) 优化网络结构 内
6、网划分 VLANVLAN 是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主流应用于三层交换机。所以公司配置一台思科 WS-C2960-24TT-L 三层交换机和 2台 TP-LINK TL-SF1048S 二层交换机,根据端口来划分 VLAN,将资料管理处、财务部、业务拓展部 3 个部门同一台二层交换机连接,人力资源部跟客户服务部用另一台二层交换机连接,用这样可以大大节约公司资源。 路由的优化NAT 协议网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法 IP 地址
7、的转换技术,它被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了 lP 地址- 6 -不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 无线路由安全WPA 安全WPA 标准中包含以下安全功能: WPA 身份验证 WPA 密钥管理 临时密钥完整性协议 Michael3) 访问控制网络系统的访问控制可以通过配备防火墙实现。对于内部网络,根据用户实际的业务数据流向和我们对网络安全的理解与经验,我们重新划分了不同强度的网络安全域。要实现不同安全域之间的访问控制,在实现高效的访问控制的同时,又要保证内网中关键的业务数据
8、可以正常通过防火墙设备。通过配置安全的访问控制策略可以过滤进、出防火墙的数据包;管理进、出网络的访问行为;封堵某些禁止的访问;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。2.3 数据备份与恢复作为一个咨询公司,公司的客户资料是十分重要的,所以必须对公司所以的资料进行保护才能更安全地工作,这样就要求- 7 -公司的系统具有容灾和备份的功能,考虑到公司的状况跟以后的发展,可以用磁带机来进行备份,备份方法用完全备份跟差量备份组合。完全备份和差异备份组合在星期一进行完全备份,在星期二至星期五进行差异备份。如果在星期五数据被破坏了,则你只需要还原星期一完全的备份和星期四的差异备份。这种策略备份数据需要较多的时间,但还原数据使用较少的时间。备份系统为一个目的而存在:存档备份;当需要时,尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。- 8 -三、网络拓扑图- 9 -四、公司平面图
