第七章  企业网络安全风险的解决方案研究



             接口、流量过滤器、网络隔离，DMZ（非军事区）管理等。
                 服务器的部署，应根据服务器规范确定安全需求，如打印机访问、文件管
             理、数据管理、电子邮件。

                 边界的安全防御系统，入侵检测系统（IDS），如防火墙过滤和规则、电子
             邮件监控、应用程序和数据包监控、签名管理、信任、网络行为规范；访问控制
             如流量过滤器、路由重定向等。
                 用户权限可以分为用户组和用户两种情况。以用户组为对象时，应考虑组

             成员、用户组分配、权限归属几个问题；以用户为对象时，应考虑用户个人的权
             限，还应对用户权限分配进行持续审查；信息系统中的资源包括文件、服务器、
             服务、数据、硬件、打印机、电子邮件等，应合理分配用户和用户组对这些资源
             的访问权限。

                 物理安全设计要考虑如下要素，包括电力供应；物理门禁如锁和钥匙，电
             子门禁，基于人员的安全，生物识别；硬件和系统冗余；备份如数据、配置、影
             像；恢复策略。
                 方案设计分为内网办公区、数据中心区、网络管理区、外联服务区、对外接

             入区、互联网接入区、广域网接入区和专线分支机构。内网办公区的安全设计包
             括 VLAN 划分、在内网办公区边界部署支持 802.1x/portal 认证的以太网设备；
             数据中心区的边界部署了 AFC 异常流量清洗设备，实现防御分布式拒绝服务
             （DDoS）攻击、IPS 和防火墙设备，IPS 设备部署在网络的关键路径上，有效地

             识别并阻断或限制各类网络攻击或网络的滥用等功能；防火墙起到了隔离网段、
             访问控制等功能，切实地保障了企业网络的安全；网络管理区中部署安全管理
             中心设备，对各类网络、安全产品进行统一管理。在其边界部署防火墙/VPN 设
             备，上联到核心交换机；企业核心交换机采取双机热备方式，增强可靠性，并实

             现安全隔离；外联服务区边界，即对外服务区部署 IPS 和防火墙/vpn 设备，保障
             了合作伙伴对外联服务区资源的安全接入和资源的访问；在互联网服务器前端通
             过部署 ASE 设备实现服务器负载均衡和应用加速。同时在互联网接入区同样部
             署了 IPS 和防火墙/vpn 设备，以确保合作伙伴、企业移动办公员工、分支机构的

             安全接入。专线分支机构区中，企业的各个分支机构边界部署防火墙/VPN 设备
             通过广域网接入区安全接入并访问企业资源。





                                                                                 ·209·