政企網路安全技術部署參考架構

『壹』 [公司網路系統安全架構設計與實施] web系統安全架構

以Internet為代表的信息網路技術應用正日益普及和廣泛，應用領域從傳統小型業務系統逐漸向大型關鍵業兆則務系統擴展，網路安全已經成為影響網路效能重要的問題，而Internet所具有的開放性、自由性和國際性在增加應用自由度的時候，對安全提出了更高級的要求，隨著互聯網技術的發展，通過網路傳輸的各種信息越來越多，各種計算機應用系統都在網路環境下運行。目前我公司已經建立了企業網站，電子郵件等系統，並且己經應用了OA、財務、人事等信息化系統軟體，許多重要信息都存儲在網路伺服器中，因此網路系統的安全至關重要。但是，由於在早期網路協議設計上對安全問題的忽視，以及在管理和使用上的無序狀態，使網路自身安全受到嚴重威脅。公司在網路安全上同樣面臨許多問題，例如郵件傳輸安全問題，大量垃圾郵件攻擊問題，病毒傳播問題，信息資源非法訪問等問題，這就要求我們對網路系統安全性進行深入研究和分析，建立一套安全的網路系統架構。
本文主要針對公司目前存在的典型網路安全問題進行分析研究，實施相應的安全策略，找出相應的解決措施。由於目前企業規模不斷擴大，員工全部採用網上辦公，每位員工都有自己獨立的計算機，因此在考慮安全措施時必須考慮到網路規模並能管理到每個節點。通過一系列安全策略和安全措施的實施，有效提高公司網路系統的安全性，保證企業網路信息系統的安全運行。
一、網路發展與安全現狀
目前我們許多數據的存儲和傳輸以及許多業務的交易都是通過網路進行的，因此網路系統的安全非常重要。許多地區都出現了基於網路的犯罪行為，黑客攻擊，數據資料泄密，病毒破壞等己經成為制約網路發展的重要因素。國內外都開展了許多基於網路安全的研究工作，如防火牆技術、防病毒技術、入侵檢測技術等，並推出了許多基於網路安全的產品。
隨著網路應用的不斷深入，對網路安全的要求不斷提高，同時許多破壞網路安全的手段也越來越高明，這就要求我們不斷應用新的網路安全技術，進一步提高網路的安全性。
我公司網路系統規模較大，各類應用伺服器集中存放在中央機房中。公司應用系統主要包括網站系統、辦公自動化、電子郵件系統、各類WEB應用軟體、視頻會議等。公司每位員工基本都配有計算機，所有工作基本搜猜李都通過網路進行，因此公司網路具有使用人數多，網路流量大等特點，這也對網路的安全性提出世遲了較高的要求。
1.網路系統存在的安全威脅和隱患問題
現有的系統主要存在下面的問題:
①弱口令造成信息泄露的威脅
由於公司應用系統較多，員工要設置各類賬戶的密碼，非常繁瑣，而且不便於記憶，因此許多員工將密碼設置為簡單密碼，並且長期不對密碼進行更改。這樣容易產生信息泄露問題，一些攻擊者會竊取密碼，非法進入系統獲取系統資料。如果重要資料被竊取，將會產生嚴重後果。
②病毒傳播造成網路和系統癱瘓
公司員工數量較多，絕大多數員工都配有單獨使用的計算機，並且大多數計算機都可以訪問互聯網。員工根據自己的情況自行安裝防病毒系統，由於員工對病毒預防知識和防病毒軟體的使用方法掌握情況不同，部分員工不能夠正確使用防病毒系統，不能夠保證防病毒代碼和病毒庫的及時更新，因此容易造成計算機感染病毒。由於整個網路系統非常龐大，缺乏對網路的統一監控，計算機感染病毒後，不能夠及時有效地處理，因此造成病毒在網路中傳播，當感染病毒的機器增多後，會引起部分網路或者整個網路速度急劇下降甚至癱瘓，造成許多員工無法正常上網。部分員工的計算機由於感染病毒而無法正常工作，有些計算機還出現計算機數據丟失等問題，嚴重影響公司員工正常工作。另外感染病毒的員工因重裝系統而佔用許多工作時間，影響工作的正常進行。
③沒有劃分VLAN，缺乏抵禦網路風暴的能力
公司網路系統龐大，眾多計算機都在同一網段上，系統沒有劃分VLAN，使網路中某一點出現故障就會影響一片，甚至「席捲」整個網路，產生廣播風暴，使網路癱瘓。另外整個龐大的網路由於沒有劃分VLAN，所有計算機之間都可以互相訪問，因此計算機容易受到其他計算機的攻擊，並且容易泄露系統中的重要信息。如果重要的商業信息被泄露，將會對公司造成損失，產生嚴重後果。
④信息傳輸安全性無法保障
隨著企業信息化的發展，電子郵件已經成為公司業務洽談必不可少的信息交流溝通手段。但是隨著電子郵件的應用日益廣泛，隨之帶來的安全問題也日益嚴重。由於電子郵件傳輸協議(SMTP)是建立在TCP協議基礎上的，沒有任何安全性的保證;電子郵件以明文的形式在網路中傳輸，所以極易被心懷叵測的人截取、查看。這些問題對於公司的核心部門的人員尤其突出，由於他們之間往來的電子郵件往往涉及到公司的機密信息，如果造成失密事件，後果不堪設想。公司許多商務往來和市場運作等信息都通過網站向外發布，但網站信息以明文的方式傳輸，在傳輸過程中容易被第三方截獲。公司重要信息如果被泄漏，將會對公司業務造成嚴重損失。
⑤客戶端用戶操作系統存在漏洞等安全隱患
許多用戶在安裝操作系統後，不能夠及時安裝操作系統和各類軟體的補丁程序，造成系統存在各種漏洞，引發各類網路安全問題。微軟每月都會發布安全漏洞補丁程序，公司內員工數量較多，部分員工安全意識薄弱，對系統安全知識欠缺，不能夠及時安裝微軟操作系統的補丁程序，造成客戶端操作系統存在許多安全漏洞，系統易受到攻擊或感染病毒，導致網路中斷。
⑥計算機命名不規范
公司網路中計算機數量非常多，但由於公司沒有制定統一的命名規范，許多計算機用戶根據自己的喜好隨意命名，一旦計算機出現問題，如感染病毒，影響網路正常運行時，無法定位具體的計算機並確定計算機的使用人員，因此不能夠及時排除故障，影響問題解決的時間。
⑦用戶許可權混亂
隨著信息化建設的深入，越來越多的重要信息存放在網路信息系統中，對於信息的安全管理越來越重要。但由於系統設計之初，信息量較少，缺乏對許可權控制的有效管理，許多用戶可以存取或更改與用戶本身的許可權不相符的信息。同時，由於許可權管理不嚴格，部分重要信息被非法用戶竊取，造成信息系統安全隱患。

『貳』 為保證政府政務網安全,採取了哪些防範措施

電子政務網建設原則

為達到電子政務網路的目標要求，華為公司建議在電子政務建設過程中堅持以下建網原則：從政府的需求出發，建設高安全、高可靠、可管理的電子政務體系!

統一的網路規劃

建議電於政務的建設按照國家信息化領導小組的統一部署，制定總體的網路規劃，分層推進，分步實施，避免重復建設。

完善的安全體系

網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准－ISO17799，安全管理是信息安全的關鍵，人員管理是安全管理的核心，安全策略是安全管理的依據，安全工具是安全管理的保證。

嚴格的設備選型

在電子政務網建設的過程中，網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外，同時為了杜絕網路後門的出現，在滿足功能、性能要求的前提下，建議優先選用具備自主知識產權的國內民族廠商產品，從設備選型上保證電子政務網路的安全性。

集成的信息管理

信息管理的核心理念是統一管理，分散控制。制定IT的年度規劃，提供IT的運作支持和問題管理，管理用戶服務水平，管理用戶滿意度，配置管理，可用性管理，支持IT設施的管理，安全性管理，管理IT的庫存和資產，性能和容量管理，備份和恢復管理。提高系統的利用價值，降低管理成本。

電子政務網體系架構

《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息，所以為保證黨政核心機密的安全性，內網必須與外網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務，外網與互聯網之間邏輯隔離。而從網路規模來說，政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設；從網路層次來說，內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。

圖1：電子政務網路的體系架構

根據電子政務設計思想及應用需求，鑒於政府各部門的特殊安全性要求，嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》，在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則，在邏輯層次及業務上，網路的構建實施如下分配：

圖2：電子政務內、外網邏輯層次

互聯支撐層是電子政務網路的基礎，由網路中心統一規劃、構建及管理，支撐層利用寬頻IP技術，保證網路的互聯互通性，提供具有一定QOS的帶寬保證，並提供各部門、系統網路間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統，它與互聯支撐層相對獨立，由網路中心與各部門單位共同規劃，分布構建。

業務應用層就是在安全互聯的基礎上實施政務網的各種應用，由網路中心與各系統單位統一規劃，分別實施。

華為公司電子政務解決方案的核心理念

全面的網路安全

建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面，華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證；在設備層面，華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。

針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構，在該架構中，除了可以從熟悉的網路層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實施安全防護的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構

（1）華為公司i3安全三維度端到端集成安全體系架構

i－intelligence(智能)，integrated(集成)，indiviality(個性化)；
3－時間、空間及網路層次三個維度的端到端( End to End)；
安全－所有IP信息網路的安全架構。

（2）網路層次(網路層、用戶層、業務層)端到端安全理念

網路的各層次均存在安全威脅的可能，華為的集成安全架構充分體現了網路安全防範的分層思想，根據不同網路層次的特點進行有針對性的防範。

網路層：保障網路路由、網路設備等基礎網路的安全；
用戶接入層：確保合法的用戶接入，訪問合法的網路范圍，並保障用戶信息的隔離等用戶接入網路的安全；
業務層：保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統網路在用戶層防範比較薄弱的缺陷，採取了大量的增強措施，如用戶接入認證、地址防盜用、訪問控制等能力。

（3）時間(事前、事後)端到端安全理念

以前政府行業更關注網路的事前防範能力，往往在網路的用戶認證、入侵檢測、防DOS攻擊、防火牆等方面投入力量較多，對事後跟蹤能力實施的有效措施不多。而在安全事件發生前後，要求網路所能提供的支持也是不同的，其花費的代價與技術實現難度有非常大的差別：

事前防範：主要通過數據隔離、加密、過濾、管理等技術，加強整個網路的健壯性；
事後跟蹤：華為公司的「i3安全」架構提供在網路級做日誌記錄的能力，通過對用戶上網埠、時間、訪問地的記錄，全面提供用戶上網的追溯能力，從而為後期的分析提供第一手的資料。
（4）空間(外網、內網)端到端安全理念

外網：通過VPN、加密等保證信息安全，通過網路防火牆、病毒防火牆等防範網路攻擊，側重的是防範；
內網：通過對用戶的識別，保證合法的用戶訪問合法的網路范圍，並做好訪問記錄，側重的是監控。
目前政府內網即涉秘網、政府外網即辦公專網，兩張網按照17號文件要求嚴格的物理隔離分別進行建設，保證政府網路的安全。

華為公司三緯度集成安全架構提供端到端集成安全服務：

圖4：華為公司i3安全三維度端到端集成安全體系架構

隨著政府網路網上應用的進一步增多，隨著網路進一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網路的安全防護作為一個系統工程，只有從網路管理、用戶管理、業務管理及管理制度等多層次、多方位地多管齊下才能做到「天網恢恢，疏而不漏」。

完善的端到端的可靠性

網路可靠性主要是指當設備或網路出現故障時，網路提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現。包括以下內容：

（1）設備可靠性

華為公司的全系列數據產品均採用電信級的可靠性設計。華為公司高端路由器和交換機產品採用分布式體系結構，不存在單點故障；採用無源背板，支持真正熱插拔、熱備份，同時設備的交換網路、路由處理系統等所有關鍵部件採用冗餘熱備份設計，能充分滿足電子政務網路對設備高可靠性的要求。

（2）組網設計的可靠性

在控制投資的前提下，在電子政務網路的部分省地骨幹節點，可採取VRRP雙機備份方式或採取RPR方式進行環網自愈保護，接入骨幹傳輸網的鏈路可採取雙歸鏈路設計或採取RPR方式進行環網自愈保護，從組網角度避免單點故障。

另外，可採用備份中心技術，為路由器上的任意介面提供備份介面；路由器上的任一介面可以作為其它介面(或邏輯鏈路)的備份介面；可對介面上的某條邏輯鏈路提供備份。

通過靈活的備份機制及完善的技術，可以充分利用備份資源，確保網路互聯互通的可靠性。

簡單高效的維護和管理

政府網路信息點數量眾多，而且較為稠密，所以網路設備數量眾多，特別是接入最終用戶的樓層交換機。華為公司的網路管理系統在支持全網設備統一管理、實現拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統的同時，利用華為組管理協議HGMP可以實現對數量龐大的樓層交換機的動態發現、動態拓撲生成、自動配置的功能，降低網路管理人員的工作量，提高效率。

豐富的業務承載能力

政府信息化的一個重要特點是以業務牽引網路需求，應用不斷更新，對網路設備的需求不斷提高，在這樣的一個動態網路中，網路設備本身的業務承載能力就顯得非常重要。因此，華為公司提出了第5代基於網路處理器技術，可以保證在後續新增業務對網路平台有特殊要求時，實現快速定製、快速支持，保證對網路設備投資的連續性。

利用MPLS VPN表現出強大的擴展性和前所未見的高性能，電子政務網可任由業務的增長和變化，網路可以平滑地擴充和升級，可最大程度的減少對網路架構和設備的調整。作為少數能提供整網MPLS技術的廠家，華為公司致力於為政府提供基於先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。

『叄』 網路安全方案框架編寫時需要注意什麼

總體上說，一份安全解決方案的框架涉及6大方面：
1、概要安全風險分析；
2、實際安全風險分析；
3、網路系統的安全原則；
4、安全產品；
5、風險評估；
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性，由於安全的復雜性和特殊性，唯一性是評估安全方案最重要的一個標准。實際中，每一個特定網路都是唯一的，需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解，包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅，結合現有的安全技術和安全風險，要有一個合適、中肯的評估，不能誇大，也不能縮小。
4、對症下葯，用相應的安全產品、安全技術和管理手段，降低用戶的網路系統當前可能遇到的風險和威脅，消除風險和威脅的根源，增強整個網路系統抵抗風險和威脅的能力，增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候，要明白網路系統安全是一個動態的、整體的、專業的工程，不能一步到位解決用戶所有的問題。
7、方案出來後，要不斷的和用戶進行溝通，能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術，都要經得起驗證、推敲和實施，要有理論根據，也要有實際基礎。

『肆』 什麼是網路安全架構

網路架構（Network Architecture）是為設計、構建和管理一個通信網路提供一個構架和技術基礎的藍圖。網路構架定義了數據網路通信系統的每個方面，包括但不限於用戶使用的介面類型、使用的網路協議和可能使用的網路布線的類型。網路架構典型地有一個分層結構。分層是一種現代的網路設計原理，它將通信任務劃分成很多更小的部分，每個部分完成一個特定的子任務和用小數量良好定義的方式與其它部分相結合。

『伍』 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等，便於有效地預防、保護、響應和恢復，確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心，其中的風險分為信用風險、市場風險和操作風險，包括網路信息安全風險。實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

1) 網路安全策略。屬於整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個層面，各層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整並相互適應，反之，安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

摘自-拓展：網路安全技術及應用（第3版）賈鐵軍主編，機械工業出版社，2017

『陸』 如何搭建企業的網路架構

企業網路的架構主要有傳統的三層網路架構和無源PON網路二層網路架構。同時考慮的還有網路安全體系、網路存儲設備等。下文具體說一說。

傳統的三層網路架構

一個中大型的網路由核心層、匯聚層、接入層組成；

核心層：核心層主要完成網路的高速交換，通常使用雙機冗餘備份、鏈路備份等方式增加網路的可靠性，使用負載均衡等方式提高網路的性能。華為的S9700系列交換機常用於搭建企業網路的核心層；

匯聚層：匯聚層提供基於策略帶胡枝的連接，具有實時策略、安全做孫、工作組的接入，不同VLAN之間的數據轉發，源地址或目的地址的過濾等功能。匯聚層的網路設備大多採用三層交換機，可以參考華為S5700系列的交換機；

接入層：接入層主要實現工作站的接入，允許終端連接到網路，同時負責一些用戶的管理功能，比如802.1x接入認證等功能。可以參考華為的S2700系列的交換機。

企業PON網路（POL）

隨著光纖通信技術的發展，光纖通信向全光網推進，企業網路有了另一種選擇「PassiveOpticalLAN」解決方案，即無源的光纖區域網；

POL網路，主要使用了單模光纖，在20公里的范圍內，可以提供語音、數據、視頻的傳輸服務，可以根據業務情況，承載不同的業務，實現業務的差異性服務；

POL組網方式後端的核心交換機、核心業務伺服器等設備，連接到OLT設備，經過分光器，連接到用戶端的ONU設備；

POL組網方式，將三層網路更加扁平化，樓層的接入交換機被分光器代替，無需電源、空調、UPS等設備，節約了大量的有源設備和附屬設備。

其他考慮

一個企業網路不僅僅是通信網路的搭建，還有網路安全、網路存儲的設計等問題；

網路安全：網路安全的傳統三大件，防火牆、入侵檢測設備、漏洞掃描設備，負責外網、外網和內網之間、內網的安全；

網路存儲：對於一個企業來說，數據是最重要的，需要搭建一個穩定的存儲網路，可以根據企業的規模和需求，使用NAS存儲、IP-SAN存儲、FC-SAC存儲。

搭建企業網路是一個比較復雜的過程，需要經過需求分析、概要設計、邏輯設計、物理設計等幾個階段，不僅僅要考慮通信系統、網路安全、網路存儲的設計，還需要考慮機房建設、機房環境監控等。

對於大家企業網路大蠢敏家有什麼看法呢，歡迎在評論區，留言討論。

如需更多幫助，請私信關注。謝謝