大型企业网络安全解决方案毕业论文(精选6篇)
篇1:大型企业网络安全解决方案毕业论文
XXXXXXXXXXXXXXX 毕 业 论 文
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。关键词: 网络,安全,VPN,防火墙,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
摘
要............................................................................................................................................................I 第一章 绪
论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章 企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章
企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章 企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章 企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章 项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总
结...........................................................................................................................................................45 致
谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1)根据公司需求组建网络(2)保证网络的连通性(3)保护网络信息的安全性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业本部与分部之间通信信息的完整与安全性(7)防范病毒的侵害(8)实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)IP地址域的划分与管理(3)划分VLAN控制内网安全(4)安装防火墙体系
(5)建立VPN(虚拟专用网络)确保数据安全(6)安装防病毒服务器(7)加强企业对网络资源的管理(8)做好访问控制权限配置(9)做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1.按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2.按VPN的应用分类
1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3.按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H)。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、认证(Authentication): 验证用户是否可以获得访问权限;
2、授权(Authorization): 授权用户可以使用哪些服务;
3、审计(Accounting): 记录用户使用网络资源的情况。
4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 hostname SWc!enable password cisco!ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等!username beijiangong password 0 cisco 设置远程登录时用户名与密码!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless!access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255(扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段)access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到!!
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH!end 5.3.2 路由器与防火墙
R1: hostname r1!enable password cisco!username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6!ip classless!access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local!!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!
aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池!
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
XXXXXXXXXX计算机专业毕业设计
!access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议!radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End
5.3.3 服务器
AAA服务器配置:
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。如图6-3-1所示,一台PC需要console核心交换机
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。
篇2:大型企业网络安全解决方案毕业论文
第 1 章 项目概述
XX 大型制造型企业是国内一家大型从事制造型出口贸易的大型综合企业集团,为了落实国家及集团的信息安全等级保护制度,提高信息系统的安全防护水平,细化各项信息网络安全工作措施,提升网络与信息系统工作的效率,增强信息系统的应急处置能力,确保信息系统安全稳定运行,集团参照国家等级保护标准的要求,找出系统现有安全措施的差距,为安全整改建设提供依据。
本方案针对 XX 大型制造型企业网络信息系统的安全问题,进行安全整改加固建议。
1.1 项目目标 本方案将通过对集团网络信息系统的安全现状进行分析工作,参照国家信息系统等级保护要求,找出信息系统与安全等级保护要求之间的差距,给出相应的整改意见,推动网络信息系统安全整改工作的进行。
根据 XX 大型制造型企业集团信息系统目前实际情况,综合考虑信息系统现有的安全防护措施,存在的问题和薄弱环节,提供完善的安全整改方案,提高信息系统的安全防护水平,完善安全管理制度体系。
资产是企业网络安全的最终评估对象。在一个全面的企业网络安全中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产
而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
因此资产的评估是企业网络安全的一个重要的步骤,它被确定和估价的准确性将影响着后面所有因素的评估。本项目中资产评估的主要工作就是对信息系统企业网络安全范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用为资产进行估价。
根据整个资产评估报告的结果可以清晰的分析出信息系统中各主要业务的重要性比较,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,明确各业务系统的关键资产,确定安全评估和保护的重点对象。
1.2 项目范围 本文档适用于指导 XX 大型制造型企业集团网络信息系统安全整改加固建设工作。
1.3 整改依据 主要依据:
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T25070-2010)
《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)
《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)
《信息安全技术 信息系统物理安全技术要求》(GB/T21052-2007)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 信息系统安全等级保护体系框架》(GA/T708-2007)
《信息安全技术 信息系统安全等级保护基本模型》(GA/T709-2007)
《信息安全技术 信息系统安全等级保护基本配置》(GA/T710-2007)
GBT 20984 信息安全风险评估规范
GBT 22239 信息安全技术信息系统安全等级保护基本要求
GBZ 20985 信息技术安全技术信息安全事件管理指南
第 2 章 安全整改原则
保密性原则:对安全服务的实施过程和结果将严格保密,在未经授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
标准性原则:服务设计和实施的全过程均依据国内或国际的相关标准进行;根据等级保护基本要求,进行分等级分安全域进行安全设计和安全建设。
规范性原则:在各项安全服务工作中的过程和文档,都具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:服务所使用的工具、方法和过程都会与集团双方认可的范围之内,服务进度遵守进度表的安排,保证双方对服务工作的可控性;
整体性原则:服务的范围和内容整体全面,涉及的 IT 运行的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:服务工作尽可能小的影响信息系统的正常运行,不会对现有业务造成显著影响。
体系化原则:在体系设计、建设中,需要 充分考虑到各个层面的安全风险,构建完整的立体安全防护体系。
先进性原则:为满足后续不断增长的业务需求、对安全产品、安全技术都充分考虑前瞻性要求,采用先进、成熟的安全产品、技术和先进的管理方法。
服务细致化原则:在项目咨询、建设过程中将充分结合自身的专业技术经验与行业经验相结合,结合现网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
第 3 章 系统现状分析
3.1 系统定级情况说明 综合考虑信息系统的业务信息和系统服务类型,以及其受到破坏时可能受到侵害的客体以及受侵害的程度,已将系统等级定为等级保护第三级、根据就高不就低的原则,整体网络信息化平台按照三级进行建设。
3.2 业务系统说明 本次参加整改的共有 3 个信息系统,分别是 OA 系统、物流查询系统、智能制造系统,其中比较重要的是物流查询系统,具体情况介绍如下:
物流查询电子化管理系统(网络版)历经系统开发、模拟测试、网络、硬件设备安装部署,已经正式启动试运行工作,在试点和实施过程当中发现系统仍有不足之处,需要对系统进行深入完善和改进,其具有应用面广、用户规模大,并涉及到财政性资金的重要数据信息,以及基于公众网上部署的特性,因此系统自身和运行环境均存在一定的安全风险,在数据传输、安全加密、网络监控、防入侵等方面的必须要建立一套更有效更完善的安全保护体系和措施。
3.3 安全定级情况 信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。根据《信息安全等级保护管理办法》,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。具体如下:
第 4 章 现网安全风险分析
4.1 网络安全风险 4.1.1 互联网出口未采用冗余架构
通过网络架构分析,我们发现现网出口网络:互联网出口的入侵防御检测系统、下一代防火墙、上网行为管理等未采用冗余架构,存在单点故障风险。
4.1.2 缺少安全防护功能
通过网络架构分析和安全基线核查,我们发现现有的网络:互联网出口的下一代防火墙,入侵防御、web 应用防护、防病毒模块授权已经过期,安全防护特征库已无法升级更新,失去安全防护功能。
4.1.3 弱资源控制
通过网络架构分析和安全基线核查,我们发现现网网络:链路负载、下一防火墙未设置网络的最大链接数,存在资源耗尽的风险。
4.1.4 弱设备安全
通过网络架构分析和安全基线核查,我们发现现网网络:网络设备和安全设备存在共享账号,无法实现有效的身份鉴别,未实现双因素鉴别,存在弱口令,未周期修改密码,部分网络设备未启用登录设备失败功能和密码复杂度要求,存在口令爆破的风险;未对网络设备和安全设备可管理地址进行限制,交换机使用 telnet 进行管理存在鉴别信息被窃取的风险。
4.1.5 弱安全审计
通过网络架构分析和安全基线核查,我们发现现网网络:未配置专业日志审计设备,无法对审计记录进行有效的保护,无法定期日志长期保存和有效审计。
4.1.6 缺少安全管理中心
通过网络架构分析和安全基线核查,我们发现现网网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
4.2 主机安全风险 4.2.1 存在高风险安全漏洞
通过漏洞扫描,我们发现 OA 系统主机上存在高风险安全漏洞:OpenSSH < 7.0 存在多个漏洞等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.2 弱身份鉴别能力
通过安全基线核查,我们发现物流查询系统主机上:操作系统的密码策略、账户锁定策略没有配置启用。数据库系统的密码策略和锁定策略没有配置启用、系统未采用两种或以上的认证方式进行身份鉴别,无法实现有效的身份鉴别。
通过利用弱身份鉴别能力,攻击者可以对业务系统主机进行口令爆破,获得主机的控制权限。同时,在拿到主机的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.2.3 弱访问控制能力
通过安全基线核查,我们发现系统主机上:操作系统管理使用 root 账户,数据库和主机是同一人管理,未能实现操作系统和数据库系统特权用户的权限分离;数据库系统开启 XDB 危险服务;存在数据库系统的应用账户 INVTOA3 拥有 DBA 权限。未对重要信息资源设置敏感标记;未限制登录终端的操作超时锁定时间;未设定终端接入方式、网络地址范围等条件限制终端登录。
通过利用弱访问控制能力,在攻击者拿到一部分系统访问权限后可实现越权。
4.2.4 弱安全审计能力
通过安全基线核查和网络架构分析,我们发现 OA 系统未部署专业的日志审计设备或软件,审计日志仅保存在主机本地,无法生成审计报表和自动告警。
这类弱安全审计能力,会导致系统安全事件时无法有效的记录和保存日志,影响安全事件的溯源。
4.2.5 缺少入侵防范能力
通过安全基线核查和漏洞扫描,我们发现现网系统未能够对重要程序的完整性进行检测,数据库系统和操作系统软件和补丁未及时更新,主机扫描存在漏洞。
缺少入侵防范能力,攻击者会较容易利用漏洞进行入侵攻击,系统容易遭到破坏。
4.2.6 缺少恶意代码防范能力
通过安全基线核查,我们发现物流查询系统操作系统未安装防恶意代码软件。缺少恶意代码防范能力容易是系统受到恶意代码的侵害。
4.2.7 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统没有限制单用户对系统资源的最大或最小使用限度;未有措施对服务器进行监视,包括监视服务器的 CPU、硬盘、内存、网络等资源的使用情况;未能够对系统的服务水平降低到预先规定的最小值进行检测和报警。缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.3 应用安全风险 4.3.1 存在高风险安全漏洞
通过漏洞扫描和渗透测试,我们发现相关应用系统存在高风险安全漏洞:SQL 盲注、URL 重定向、跨站脚本攻击等,极易引发安全事件。
通过这些漏洞,攻击者可以对业务系统主机进行攻击,获得 web 应用的权限和数据,甚至获取到主机权限。
4.3.2 弱身份鉴别能力
通过安全基线核查,我们发现 OA 系统上:应用系统没有登录失败处理;没有用户身份鉴别信息复杂度检查;应用系统仅使用用户名加口令的单因素认证方式;系统未设置超时自动退出功能。
通过利用弱身份鉴别能力,攻击者可以对业务系统进行口令爆破,获得业务系统的控制权限。同时,在拿到业务系统的控制权限后,攻击者还可以此为跳板,对网络中的其他主机、设备进行监听和攻击。
4.3.3 未进行传输加密
通过安全基线核查,我们发现仓储系统上:应用系统未采用 hash 技术或者 HTTPS 协议,未能保证通信过程中数据的完整性与保密性、应用系统鉴别信息明文传输。
通过利用未进行传输加密,攻击者可嗅探网络数据窃取到应用传输消息,甚至是用户鉴别信息、个人信息等敏感信息。
4.3.4 缺少资源控制能力
通过安全基线核查,我们发现 OA 系统:系统未对单个账户的多重并发会话进行限制;未能够对系统服务水平降低到预先规定的最小值进行检测和报警。
缺少资源控制能力容易导致系统资源被耗尽,容易遭受 DDoS(分布式拒绝攻击)的侵害。
4.4 数据安全和备份恢复风险
4.4.1 缺少数据完整性和数据保密性能力
通过安全基线核查,我们发现三个系统:未采取有效措施对数据完整性进行检查;鉴别信息明文传输,未能保证鉴别信息的通信和存储的保密性。
缺少数据完整性和数据保密性能力,容易导致数据被篡改和数据泄露的风险。
4.5 管理安全风险 4.5.1 缺少维护手册和用户操作规程
通过管理体系检查,我们发现现网的管理体系缺少网络设备、安全设备、主机系统、应用系统、数据库的维护手册和用户操作规程等。
4.5.2 缺少执行记录和审批记录文件
通过管理体系检查,我们发现现网管理体系缺少各项信息安全关键事项的执行记录和审批记录文件,如:备份恢复执行记录和审批记录、变更执行记录和审批记录、防恶意代码检查记录执行记录和审批记录文、漏洞检查执行记录和报告、日志审计执行记录和报告、补丁升级执行记录和审批记录文、安全事件处理记录和审批记录文、培训记录和考核记录、应急演练执行记录和报告等。
4.5.3 缺少管理体系评审和修订
通过管理体系检查,我们发现管理体系缺少未定期对 ISMS 管理体系的合理性和适用性进行评审和修订,以及 ISMS 执行和落实情况进行检查和审核。
4.5.4 缺少总体建设规划和详细设计方案
通过管理体系检查,我们发现 ISMS 管理体系 未根据企业的安全需求和安全目标,统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略设计总体建设规划和详细设计方案,并形成配套文件。
4.5.5 工程验收和交付缺少部分环节
通过对管理体系检查,我们发现 ISMS 管理体系 未在工程的测试验收缺少必要安全性测试和安全报告,在工程交付中未未进行运维手册的定制。
4.5.6 未定期进行应急演练
通过管理体系检查,我们发现 ISMS 管理体系 未在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容,并定期进行应急演练及事后教育和培训。
4.5.7 未定期进行安全评估和安全加固
通过管理体系检查,我们发现 ISMS 管理体系未定期进行恶意代码检查扫描、漏洞扫描及漏洞加固、未定期进行整体的安全评估及风险整改。
4.5.8 缺少安全管理中心
通过网络架构分析、安全基线核查和管理体系检查,我们发现整体网络:缺少安全管理中心,无法有效的组织相关人员定期对检测和报警的记录进行分析、评审和报告,无法对设备状态、恶意代码、补丁审计、安全审计等相关事项进行集中管理,且系统中存在主机和 web 的高危漏洞。
第 5 章 安全需求分析
5.1 安全计算环境需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全计算环境的要求,还需要满足以下需求:
主机防病毒:该信息系统缺少主机防病毒的相关安全策略,需要配置网络版主机防病毒系统,从而实现对全网主机的恶意代码防范。
数据库审计:该信息系统缺少针对数据的审计设备,不能很好的满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒主机:该信息系统无法实现管理员对网络设备和服务器进行管理时的双因素认证,需要部署堡垒机来实现。
备份与恢复:该信息系统没有完善的数据备份与恢复方案,需要制定相关策略。同时,该信息系统没有实现对关键网络设备的冗余,建议部署双链路确保设备冗余。
5.2 安全区域边界需求分析
根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全区域边界的要求,还需要满足以下需求:
边界访问控制:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界入侵防范:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
边界恶意代码过滤:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
防 web 攻击:该信息系统无法实现对边界的访问控制,需要部署防火墙等安全设备来实现。
安全域边界安全审计:该信息系统无法实现对边界的访问控制,需要部署署网络安全审计等安全设备来实现。
互联网出口安全审计:该信息系统无法实现对边界的访问控制,需要部署行为管理等设备来实现。
5.3 安全通信网络需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全通信网络的要求,还需要满足以下需求:
通信完整性和保密性:该信息系统无法实现对边界的访问控制,需要部署 SSL VPN 等安全设备来实现。
流量管理:该信息系统无法实现对边界的访问控制,需要部署流量管理系统等安全设备来实现。
5.4 安全管理中心需求分析 根据前期差距分析结果,该信息系统如果想达到等级保护三级关于安全管理中心的要求,还需要满足以下需求:
统一日志平台:该信息系统无法实现对相关网络及安全设备的日志审计功能,需要部署日志审计系统来实现。
统一监控平台:该信息系统无法统一展示边界的安全威胁情况,需要部署安全感知平台等来实现。
统一管理平台:该信息系统无法实现对边界的访问控制,需要部署运维堡垒主机来实现。
第 6 章 总体安全设计
6.1 总体设计目标 本次安全等级保护整改方案设计的总体目标是依据国家等级保护的有关标准和规范,结合现网信息系统的现状,对其进行重新规划和合规性整改,为其建
立一个完整的安全保障体系,有效保障其系统业务的正常开展,保护敏感数据信息的安全,保证信息系统的安全防护能力达到《信息安全技术 信息系统安全等级保护基本要求》中第三级的相关技术和管理要求。
6.2 总体安全体系设计 本项目提出的等级保护体系模型,必须依照国家等级保护的相关要求,利用密码、代码验证、可信接入控制等核心技术,在“一个中心三重防御”的框架下实现对信息系统的全面防护。
安全管理中心
安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台,是信息系统做到可测、可控、可管理的必要手段和措施。依照信息系统等级保护安全设计技术要求中对安全管理中心的要求,一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下三个部分:
系统管理
实现对系统资源和运行的配置。控制和管理,并对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
安全管理
实现对系统中的主体、客体进行统一标记,对主体进行授权,配置一致的安全策略,确保标记、授权和安全策略的数据完整性,并对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并进行审计。
审计管理
实现对系统各个组成部分的安全审计机制进行集中管理,包括根据安全审计策略对审计记录进行分类;提供按时间段开启和关闭相应类型的安全审计机制;对各类审计记录进行存储、管理和查询等;对审计记录应进行分析,根据分析结果进行处理。此外,对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。
此外,安全管理中心应做到技术与管理并重,加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度,规范安全管理操作规程,建立完善的安全管理制度集。
安全计算环境
参照基于可信计算和主动防御的等级保护模型,安全计算环境可划分成节点和典型应用两个子系统。在解决方案中,这两个子系统都将通过终端安全保护体系的建立来实现。
信息安全事故的源头主要集中在用户终端,要实现一个可信的、安全的计算环境,就必须从终端安全抓起。因此,依照等级保护在身份鉴别,访问控制(包括强制访问控制)、网络行为控制(包括上网控制、违规外联的控制)、应用
安全、数据安全、安全审计等方面的技术要求,可充分结合可信计算技术和主动防御技术的先进性和安全性,提出一个基于可信计算和主动防御的终端安全保护体系模型,以实现从应用层、系统层、核心层三个方面对计算环境的全面防护。
安全区域边界
为保护边界安全,本解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能:信息层的自主和强制访问控制、防范 SQL 注入攻击和跨站攻击、抗 DoS/DDoS 攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟,因此,在本次系统整改总体设计中更多的是考虑如何将防火墙、防病毒网关、网络安全审计系统、IDS、IPS 等有机地结合在一起,实现协同防护和联动处理。
此外,对于不同安全等级信息系统之间的互连边界,可根据依照信息流向的高低,部署防火墙或安全隔离与信息交换系统,并配置相应的安全策略以实现对信息流向的控制。
安全通信网络
目前,在通信网络安全方面,采用密码等核心技术实现的各类 VPN 都可以很有效的解决这类问题,达到在满足等级保护相关要求的同时,可灵活提高通信网络安全性的效果。
6.3 安全域划分说明 安全域的划分是网络防护的基础,事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命,具有不同的功能,分域保护的框架为明确各个域的安全等级奠定了基础,保证了信息流在交换过程中的安全性。
在本项目中,将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域,将划分如下几个区域:
互联网接入域,该区域说明如下:
在网络出口需提供流量清洗设备实现对 DDOS 等异常流量的清洗,链路负载自动匹配最优线路,保障网络可用性的同时实现快速接入;需在互联网出口边界利用防火墙进行隔离和访问控制,保护内部网络,利用 IPS 从 2-7 层对攻击进行防护,实现对入侵事件的监控、阻断,保护整体网络各个安全域免受外网常见恶意攻击;需对互联网出口流量进行识别并对流量进行管控,提高带宽利用率的同时保障用户上网体验。
办公网区域,该区域说明如下:
安全域内的终端上需具备防恶意代码的能力,并对接入内网的用户终端进行访问控制,明确访问权限以及可访问的网络范围。
DMZ 区,该区域说明如下:
该安全域内主要承载对外提供服务的服务器等,包括门户网站前端服务器、Web 业务服务器等。需在 DMZ 区域边界设置访问控制策略,并具备应用层攻击检测与防护能力、防篡改能力,同时也需要保证访问量较大的服务能够保持健康、稳定的运行。
服务器区域,该区域说明如下:
该安全域内主要承载内网核心业务信息系统,包含本次需过等级保护测评的 3 大信息系统,需对这些业务信息系统提供 2-7 层安全威胁识别及阻断攻击行为的能力,如 SQL 注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)、cookie 篡改等;需对存储业务信息系统产生的数据访问权限进行划分,并对数据的相关操作进行审计;需对敏感或重要数据进行备份。
综合安全管理区域,该区域说明如下:
该安全域对业务环境下的网络操作行为进行集中管理与细粒度审计;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现 ;对资产及其可能存在的漏洞进行扫描。
第 7 章 详细方案技术设计
7.1 物理和环境安全保障
“物理和环境安全保障体系”是支撑整个信息网应用系统的基石。其作为网信息安全管理体系建设的重要组成部分,必须依据《信息系统安全等级保护基本要求》对物理安全的有关要求,并结合信息化大集中、大整合、高共享的建设实际,不断扩展和变化,以满足信息化建设对基础设施保障和设备、数据安全的需求。
物理安全保障体系建设规划与应用的发展有着紧密的联系,其设计方向必须紧贴应用发展的实际需求,以机房的基础设施和安保系统的完善建立物理层面的保障和安全管控。在基础设施方面扩容机房的综合布线、电气配线、动力系统、制冷系统,使应用部署不再受到机房、功能区域的限制,消除物理空间上的限制,让系统的建设更加灵活且具有高度的可扩展性。在物理安保方面进一步加强对人员的管控,通过整合现有安保资源,形成多元化的安保防控一体化构件,达到对资产的全面管理和安全防护。
1、供配电系统
各级网络机房的供配电系统要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断,做到无单点失效和平稳可靠,这就要求两路以上的市电供应,足够后备时间供电的 N+1 冗余的 UPS 系统,还有与机房供电系统匹配的自备发电机系统。
2、防雷接地
要求机房设有四种接地形式,即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。
3、消防报警及自动灭火
为实现火灾自动灭火功能,应该设计火灾自动监测及报警系统,以便能自动监测火灾的发生,并且启动自动灭火系统和报警系统。
4、门禁
各级网络机房应建立实用、高效的门禁系统,门禁系统需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合,形成统一授权,分区管理的集中监控模式。
5、保安监控
各级网络机房的保安监控包括几个系统的监控:闭路监视系统、通道报警系统和人工监控系统,必要情况要求记录集中存储。
6、一体化的安保系统集成
机房应将门禁管理、视频监控、人员身份鉴别、人员行为管控、资产管控等多个基本安保元素进行一体化集成,遵循安全可靠、简单易维、分级授权、多种识别、全程跟踪的方式形成完善的安保防控体系。
7.2 网络边界安全管控 网络边界安全管控体系从网络整体结构、网络层边界管控措施、网络安全防护及监测、主机边界管理等几个方面来设计。
7.2.1 网络安全域设计
在信息系统中,遵守相同的信息安全策略的集合(包括人员,软硬件设备)称为安全域。它的目的是对信息系统中的不同安全等级区域分别进行保护,应进行安全域的划分、结构安全、边界整合以及防护策略设计。
在理顺了信息系统访问控制关系的基础上,结合信息安全体系框架安全域划分部分的内容,以及信息系统本身的业务特点和安全要求,建立 XX 企业客户的安全域模型,从交换域、计算域和用户域划分安全域模型,提出具体解决方案及实施建议。
7.2.2 制定访问控制策略
根据信息系统网络访问关系梳理得到的相关结果,以及对于安全域划分结果进行分析,从大的方面制定各个安全级别之间的访问控制策略和安全防护措施(各种安全产品的部署),从小的方面制定同一个安全级别各个系统之间以及各个具体的安全域之间的访问控制策略。
7.2.3 网络安全防护管理
网络访问控制是防止对网络服务的未授权访问,根据安全域划分和访问控制策略在信息网络接入边界、核心边界实施访问控制;网络入侵检测(NIDS)是对信息系统的安全保障和运行状况进行监视,以发现各种攻击企图、攻击行为或者攻击结果。在现网内部署网络入侵检测系统,监控所有进出服务器网段的流量,并对核心信息系统中的安全事件进行实时监控,发现和对各种攻击企图、攻击行为或者攻击结果进行告警,从而使整个信息系统的网络入侵防范更为完善;终端准入控制机制从终端层到网络层,再到应用层和边界层,提供了
客户端准入、网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检查的办公终端才能接入内网并进行受控访问,对非法的或存在安全隐患的办公终端进行隔离和修复,构建出完善的 “ 内网安检系统 ”,从源头上有效减少内网安全漏洞。
边界出口处采用防火墙技术进行严格的链路访问控制,并能承载高会话数转发和会话状态控制。
核心计算域的访问控制通过核心交换机进行区域划分,然后通过防火墙或 ACL 机制进行对进出的数据流进行严格的访问管控,细化到 IP+ 端口细粒度的级别。
在出口增加防火墙加网络病毒检测防护,提升网络边界的恶意代码的防护。
7.3 终端主机安全管理 相关的安全接入基线要求为日常管理提供必要的安全底线,避免祼机运行或带“病”运行。应用系统主机安全在其相关的章节中描述。
应监控办公终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果办公终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的 安全基线 不能满足要求的情况,该办公终端的网络访问将被禁止。此时启动自动修复机制,或提示终端用户手工进行修复。待修复完成后,办公终端将自动得到重新访问网络的授权。
终端安全加固
通过禁用系统 Autorun(自动播放)、禁用终端的账号和共享的匿名枚举、禁用终端的可匿名的共享、禁用 Windows 系统的“发送到”菜单选项、禁用系统安全模式的功能、禁用 Windows 远程桌面、禁用启用系统自带的 DEP 功能(数据执行保护)、并可禁止对终端网卡属性进行修改,避免用户违规修改网卡的 IP、MAC、网关地址等属性,对终端操作系统进行安全加固,防止终端用户误操作,并有效预防蠕虫病毒和木马对办公终端带来的攻击。
除此之外,还提供丰富多样的自定义安全策略,可以用于对终端进行安全加固。例如可以通过检测特定文件或指定程序是否存,来检查终端是否有隐藏的木马或病毒;通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶意对其进行修改,从而达到控制终端的可能。
还可以根据公司内网要求,检查终端是否按照要求加入或登录指定的 AD 域,如果没有按照要求加入或登录域,还可以将其进行安全隔离,使其无法访问网络,保证单位域管理的有效实施。
进程红白黑名单管理
在现网网络环境中,办公终端软件环境的标准化能为桌面运维管理带来多方面的效益:能够降低桌面维护的复杂程度,确保关键软件在办公终端的强制安装与使用,同时通过禁止运行某些软件来提高工作效率。
进程管理通过定义办公终端进程运行的红、白、黑名单,实现自动、高效的进程管理功能,完全覆盖用户对进程管理的要求。进程管理,无论是进程红名单、黑名单还是白名单,都可以通过设置 MD5 码校验的方式检查进程名,防止用户对程序改名逃避安全检查。
在进程管理中所定义的红名单、白名单和黑名单的详细定义如下:
进程红名单:
办公终端必须运行的进程清单,是 “ 进程白名单 ” 的子集;
进程白名单:
办公终端能够运行的进程清单;
进程黑名单:
办公终端禁止运行的进程清单。
7.4 核心应用系统安全保护 核心应用系统的安全应从安全预警、安全管控和安全溯源三个方面来的保障,具体来说应做到事前的安全漏洞的检查、安全配置基线核查的安全风险预警,事中的严格边界访问控制、事后的网络业务审计、综合日志审计在内的业务溯源。
漏洞扫描及配置核查
据“全球信息安全调查”的数据,当前面临的最大安全挑战是“预防安全漏洞的出现”,在日益复杂的网络环境和层出不穷的安全威胁面前,手工的漏洞管理工作几乎是不可想象的,尤其是对于有一定规模的信息系统。信息系统管理员通常要借助漏洞管理工具来识别和修补漏洞。
应根据“发现—扫描—定性—修复—审核”的安全体系构建法则,综合运用多种国际最新的漏洞扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。
由于服务和软件的不正确部署和配置造成安全配置漏洞,入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和各种安全威胁事件的不断发生,越来越多的安全管理人员已经意识到正确进行安全配置的重要性。但是随着业务系统网络结构越来越复杂,重要应用和服务器数量及种类繁多,很容易发生安全管理人员的配置操作失误造成极大的影响。基于安全配置最低标准的安全配置基线检查就应运而生。
通过安全配置核查管理系统对于设备入网、工程验收、日常维护、合规检查等方面展开合规安全检查,找出不符合的项并选择和实施安全措施来控制安全风险。检查范围包括主流的网络设备、安全设备、数据库、操作系统和应用系统等,检查项包括:账号、口令、授权、日志、IP 协议和设备专有配置等内容。
核心边界业务访问控制
在核心的网络边界部署访问控制设备启用访问控制功能,根据会话状态信息为数据流提供明确的允许 / 拒绝访问的能力,控制粒度为端口级,应对进出网络的信息内容进行过滤,实现对应用层 HTTP、FTP、TELNET 等协议命令级的控制;在会话处于非活跃一定时间或会话结束后终止网络连接,限制网
络最大流量数及网络连接数,对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要应用系统主机。
运维审计
因为种种历史遗留问题,并不是所有的信息系统都有严格的身份认证和权限划分,权限划分混乱,高权限账号(比如 root 账号)共用等问题一直困扰着网络管理人员,高权限账号往往掌握着数据库和业务系统的命脉,任何一个操作都可能导致数据的修改和泄露,最高权限的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。
无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统账号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统账号之间的交叉关系越来越复杂,一个账号多个人同时使用,是多对一的关系,账号不具有唯一性,系统账号的密码策略很难执行,密码修改要通知所有知道这个账号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。
业务数据审计
信息网络的急速发展使得数据信息的价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战。数据库的安全威胁主要来自两个方面,一方面来自外部的非法入侵,黑客针对业务系统或者数据库漏洞,采取各种攻击手段,篡改或者盗取数据。这部分威胁可以通过在业务网络入口部署防火墙、入侵防护等产品得到有效预防。而另一方面的威胁来自内部,内部员工的恶意
破坏、违规操作和越权访问,往往会带来数据的大量外泄和严重损坏,甚至导致数据库系统崩溃。而且,这些操作往往不具备攻击特征,很难被普通的信息安全防护系统识别出来,就更加防不胜防,迫切需要一种行之有效的手段来进行防护。
围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是 IT 治理人员和 DBA 们关注的焦点:
管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。
技术层面:除了在业务网络部署相关的信息安全防护产品(如 FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。
不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高事务处理率,还必须满足苛刻的服务水平要求。商业数据库软件内建的审计能力不能满足独立性的基本要求,还会降低数据库性能并增加管理费用。
网络安全审计系统(业务网审计)是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。在网络层通过对业务人员访问系统的访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
7.5 数据安全建设 健全现有数据备份平台系统,并着手建立异地备份平台。
数据安全及备份恢复建设目标
根据等级保护前期调研结果,结合 对三级系统数据安全及备份的要求,从数据完整性、数据保密性和备份与恢复等几个方面提出相应的整改方案,进行数据安全和备份安全等级保护建设与改造。
数据完整性、数据保密性
三级系统数据完整性和保密性现状与等级保护要求存在一定的差距,应完善以下几点:
系统管理数据、鉴别信息和重要业务数据在传输过程中需进行加密,确保信息在传输过程中的完整性和保密性;
系统管理数据、鉴别信息和重要业务数据在存储过程中需进行加密,保证信息在存储过程中的完整性和保密性,存储过程中检测到完整性错误时需采取必要的恢复措施。
建设方案:
采用加密措施、数字签名与电子证书等保证系统管理数据、鉴别信息和重要业务数据在传输过程中完整性不受到破坏,检测到完整性错误时,根据采用的完整性防护措施对信息进行恢复。加密技术需满足以下要求:
o 密钥的安全管理:需要在密钥生成、存储、分配、销毁的整个生命周期中对其实施保护,确保密钥明文不能被其他进程和程序非相关组件访问到。
o 证书验证:数据传输和存储过程中必须确保能够对系统中使用的证书进行正确鉴别,且不接受或继续使用非法的或者无效的证书。
备份和恢复
三级系统数据备份和恢复与等级保护要求存在一定的差距,应完善以下几点:需提供本地数据备份与恢复功能,完全数据备份需每天一次,备份介质场外存放;必须提供异地数据备份功能,关键数据需定时批量传送至备用场地。
建设方案:
健全现有数据备份平台系统,完善《备份系统运行管理制度》内容,在现有内容上,需增加对三级系统备份周期要求(本地备份需每天一次)。备份介质场外存放,本地备份数据需提供恢复功能,并定期进行恢复测试。
建立异地备份中心,定期对各业务系统数据进行异地备份,对于重要的业务系统应进行实时备份。在数据异地备份传输过程中应进行加密传输以保证数据的完整性、可用性和保密性,加密方案使用数据完整性和保密性相关措施。
第 8 章 详细方案管理设计
安全管理体系的作用是通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证技术措施真正发挥效用,与技术体系共同保障安全策略的有效贯彻和落实。信息安全管理体系主要包括组织机构、规章制度、人员安全、安全教育和培训等四个方面内容。
8.1 总体安全方针与安全策略 总体安全方针与安全策略是指导集团所有信息安全工作的纲领性文件,是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识,规定信息安全的基本架构,明确信息安全的根本目标和原则。本次项目中将协助集团确定安全管理体系的层次及建立方式,明确各层次在安全管理体系中的职责以及安全策略,建立具有高可操作性的考核体系,以加强安全策略及各项管理制度的可落实性。
本次设计的 总体安全方针与安全策略 将具备以下特性:
o 安全策略紧紧围绕行业的发展战略,符合实际的信息安全需求,能保障与促进信息化建设的顺利进行,避免理想化与不可操作性。
o 总体安全方针与安全策略 中将明确阐述所有信息化建设项目在规划设计、开发建设、运行维护和变更废弃等各阶段,应遵循的总体原则和要求。
o 安全策略在经过信息安全决策机构批准之后,将具备指导和规范信息安全工作的效力。
o 安全策略中将规定其自身的时效性,当信息系统运行环境发生重大变化时,我方将协助及时对总体安全策略进行必要的调整,并将调整后的策略提交信息安全决策机构批准。
8.2 安全策略和管理制度 根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
制定严格的制定与发布流程,方式,范围等,制度需要统一格式并进行有效版本控制;发布方式需要正式、有效并注明发布范围,对收发文进行登记。
8.3 安全管理机构和人员 根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
建立授权与审批制度;
建立内外部沟通合作渠道;
定期进行全面安全检查,特别是系统日常运行、系统漏洞和数据备份等。
人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。
一般单位都有统一的人事管理部门负责人员管理,这里的人员安全管理主要指对关键岗位人员进行的以安全为核心的管理,例如对关键岗位的人员采取在录用或上岗前进行全面、严格的安全审查和技能考核,与关键岗位人员签署保密协议,对离岗人员撤销系统帐户和相关权限等措施。
只有注重对安全管理人员的培养,提高其安全防范意识,才能做到安全有效的防范,因此需要对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。培训的内容包括单位的信息安全方针、信息安全方面的基础知识、安全技术、安全标准、岗位操作规程、最新的工作流程、相关的安全责任要求、法律责任和惩戒措施等。
8.4 安全建设管理 系统建设管理的重点是与系统建设活动相关的过程管理,由于主要的建设活动是由服务方,如集成方、开发方、测评方、安全服务方等完成,运营使用单位人员的主要工作是对之进行管理,应制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等活动的管理责任部门、具体的管理内容和控制方法,并按照管理制度落实各项管理措施,完整保存相关的管理记录和过程文档。
8.5 安全运维管理、环境和资产安全管理制度
环境包括计算机、网络机房环境以及设置有网络终端的办公环境,明确环境安全管理的责任部门或责任人,加强对人员出入、来访人员的控制,对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段,或使用视频监控等措施。
资产包括介质、设备、设施、数据、软件、文档等,资产管理不等同于设备物资管理,而是从安全和信息系统角度对资产进行管理,将资产作为信息系统的组成部分,按其在信息系统中的作用进行管理。应明确资产安全管理的责任部门或责任人,对资产进行分类、标识,编制与信息系统相关的软件资产、硬件资产等资产清单。
具体依据标准《基本要求》中系统运维管理,同时可以参照《信息系统安全管理要求》等。、设备和介质安全管理制度
明确配套设施、软硬件设备管理、维护的责任部门或责任人,对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制,对介质的存放、使用、维护和销毁等方面作出规定,加强对涉外维修、敏感数据销毁等过程的监督控制。、日常运行维护制度
篇3:大型企业网络安全解决方案毕业论文
核电运营网络是大型核电集团网络的重要组成部分之一,全面支撑着公司电厂生产系统和信息化管理系统的稳定运行,其地位非常重要。因此,提前深入分析并全面消除网络运行风险,保障公司核心网络安全稳定运行是网络运维的首要任务。
1 问题分析
近年来,公司业务快速扩张,随之信息系统规模快速增大,信息业务种类迅速增多,网络流量增长显著,而公司核心网络自投运以来未进行架构调整和性能升级,公司核心网络已不能为公司各类信息系统运行提供稳健的支撑。具体表现为以下7个方面。
1)核心网络设备使用均超过5年,最长使用近10年,设备老化现象严重且故障率高,设备性能低,业务处理能力弱。
2)核心网络设备安全防护能力弱,易受网络病毒、木马、蠕虫等安全威胁攻击,且各区域之间没有清晰明确的网络安全边界,无法有效隔离阻断网络攻击。
3)核心网络设备缺乏精细化的网络流量监控功能,不能清晰透视网络流量具体明细,无法快速定位网络异常流量,不能有效地保障重要业务服务质量。
4)专项数据中心网络核心设备存在设备单点故障,各类服务器都混接到单台核心设备上,一旦此设备故障,将会造成整个服务器网络的瘫痪。
5)专项数据中心网络可扩展能力弱,各服务器跨机房混接在数据中心网络核心设备上,无法满足数据中心规模快速扩展要求。
6)专项数据中心核心网络设备安全防护能力弱,既无法有效主动监控并阻断外部网络攻击,又无法实现服务器之间互访精细化控制。
7)专项数据中心网络核心设备缺乏精细化的网络流量监控功能,无法提供有效手段快速支持服务器故障定位和性能调优。
因此,公司核心网络需要改造,以求全面彻底消除以上7个方面的风险隐患,保障核电生产和信息化办公。
2 核心网络改造总体方案
公司各区域核心网络多投产于各生产电厂发电前,现有核心光缆链路大部分铺设在各核电生产厂区内,重新铺设难度非常大,时间周期长。考虑到现用光缆链路质量正常,因此,公司核心网络改造立足于在现有光缆链路连接资源和现有网络架构基础上进行提升优化,网络架构全新调整空间有限。
2.1 用户网络解决方案
1)通过将核心设备升级为电信级高性能核心设备,同时将网络主干链路从千兆升级为万兆链路,全面消除设备老化隐患,解决设备及链路性能局限问题。
2)核心设备增加防火墙业务板卡,同时实施严格的网络病毒检测阻断策略,为各区域之间构建清晰明确的病毒防护与安全隔离边界,有效实施安全隔离防护。
3)核心设备增加网络流量检测硬件板卡,通过硬件实现网络流量精细化监控,全面实现用户网络异常流量检测,为重要业务服务质量保障提供强有力的技术支持。
2.2 专项数据中心解决方案
1)数据中心网络核心设备升级为电信级高性能核心设备且双机热备,全面消除设备单点故障。
2)数据中心网络增加网络接入层设备,构建核心/接入2层网络架构,各服务器就近机房直接接入,提升服务器网络快速规范接入能力,满足数据中心规模扩展要求。
3)数据中心在入口处增加单体高性能防火墙以检测并阻断数据中心外部网络攻击,从进口关键位置保护数据中心。同时数据中心内部核心交换机增加防火墙业务板卡,从内部保障服务器间安全正确互访,实现服务器之间内部精细化互访控制。
4)数据中心网络核心设备增加网络流量检测硬件板卡,在实现网络流量精细化查看监控的基础上,提供有效技术手段快速进行服务器流量方面的故障定位和性能调优。
3 核心网络改造方案实施要点
3.1 用户局域网络核心架构调整实施
3.1.1 按高可靠性原则升级公司各区域核心网络设备
公司生产厂区网络涉及到核电生产,网络可靠性需放在第一位进行保障。为保障各区域核心网络的高可靠性,网络可靠性从设备器件数量、器件安装分布、设备主备双机配置、设备互联链路冗余等4个方面进行综合设计考虑,设计原则如表1所示。
按此设计原则采购设备,将原有网络核心升级为电信级核心网络设备,并且每台区域核心设备标配1块防火墙业务板和1块网络流量检测硬件板卡。
3.1.2 构建运营企业MPLS VPN网络
改造前,运营企业网络与集团各子公司网络一起全部在一个公共的MPLS VPN网络中,没有运营企业独立的VPN网络[1]。通过改造将运营企业用户局域网部分独立划到规划的运营企业VPN中(见图1),为规划的未来广核集团各子公司网络单独形成VPN网络实施打好基础。目前运营企业与现网中所有VPN连通所有路由,可以访问集团其他公司网络区域。
运营企业VPN建立后,具有如下2方面优势。
1)便于公司业务系统逻辑安全隔离,实现公司业务系统逻辑网络的相对独立,可以满足公司业务系统对安全保护、服务质量、安全管理等方面的要求。
2)便于实施公司间业务访问控制管理,实现各公司业务系统间按需访问并保证业务互访安全合法。
3.1.3 优化各区域网络路由发布和交换机生成树协议配置
核心设备与汇聚交换机运行开放式最短路径优先协议(OSPF,Open Shortest Path First Protocol),业务网段进行路由聚合后再发布到OSPF进程中,减少路由发布数量。
部分2层接入交换机需要直接上行接入核心交换机,要求如下。
1)2台核心交换机启用虚拟路由器冗余协议(VRRP,Virtual Router Redundancy Protocol),实现VRRP业务负载分担。
2)接入交换机启用快速生成树协议(RSTP,Rapid Spaning Tree Protocol),防止网络产生环路。除接入交换机上联端口以外,其余端口设置为边缘端口,并开启STP BPDU保护功能。
3.2 用户局域网络安全管理边界实施
通过交换机配置的防火墙业务板卡来构建各区域间的安全管理边界[2](见图2)。
防火墙业务板卡采用2层透明工作模式,通过10G的内部接口与交换机交互数据,通过外部接口与另一个防火墙业务板卡相连,实现高可靠性(HA,High Availability)会话同步。
防火墙业务板卡划分Trust和Untrust 2个安全区域区域,防火墙业务板卡下联公司各区域局域网内部接口,属于Trust区域,上联接口属于Untrust区域,配置相应的安全策略,控制业务流的互访互通,检测并阻断公司各区域局域网用户的病毒入侵,保护各区域网络安全稳定。
3.2.1 攻击防范安全策略
网络中各种攻击经常来自外部,因此,通过对防火墙安全区域启用攻击防范功能,阻断各种常见的攻击。攻击防范安全策略包括但不限于以下12个方面:发现攻击丢包、启动Fraggle攻击检测、启动Land攻击检测、启动WinNuke攻击检测、启动TCP Flag攻击检测、启动ICMP不可达报文攻击检测、启动ICMP重定向报文攻击检测、启动Tracert报文攻击检测、启动Smurf攻击检测、启动带源路由选项IP报文攻击检测、启动带路由记录选项IP报文攻击检测、启动超大ICMP报文攻击检测。
3.2.2 业务访问异常检测安全策略
通过检测防火墙各安全区域流量和设置合理阀值,当某种业务访问流量异常(通常是大量ICMP、UDP、SYN报文),超过阀值后相应报文丢弃,实现对后台数据中心服务器的保护。例如设置ICMP Flood、UDP Flood连接数为每秒1 000个,SYN Flood连接数为每秒10 000个,半连接数为每秒1 000个。
3.3 用户局域网络异常流量检测实施
公司用户局域网络异常流量检测功能通过网络流量检测硬件板卡进行实施[3]。方案原理如图3所示,实施要点如下。
1)交换机和网络流量检测硬件板卡通过内部的10G接口连接,交换机使用VLAN虚接口进行三层转发。
2)在交换机的内外网接口上配置流镜像,把从上行链路进入交换机的数据流,镜像到和网络流量检测硬件板卡连接的内部10 G接口上。
3)网络流量检测硬件板卡插卡对10 G端口收到的流进行统计,定期向网络流量监控中心(通过板卡外部接口回绕至交换机端口,使路由与流量监控中心服务器可达)发送流信息。
4)镜像报文经过统计以后,通过内部10 G端口Inline(黑洞模式)丢弃。
实施运行效果如图4所示。
3.4 专项数据中心核心网络架构调整实施
为方便实施不同服务器间的互访精细化控制,各服务器间的网关设置在数据中心核心交换机的内部防火墙,并实现VRRP负载均衡,核心交换机之间互联捆绑链路透传各服务器业务网段。
接入交换机启用快速生成树协议(RSTP),除上联端口外,其余端口设置为边缘端口,开启STP BPDU保护功能。同时各接入交换机启用虚拟化功能,将2台设备虚拟化为1台逻辑设备,并且为虚拟化交换机配置多活体检测和冲突处理(MAD,Multi-Active Detection),以保障交换机稳定运行。对于部分可靠性要求高的服务器,将服务器多个网卡捆绑上连到虚拟化接入交换机,以实现网络高可靠性和负载均衡。
3.5 专项数据中心外部防火墙方案实施
公司数据中心核心交换机与集团核心路由器之间的单体防火墙设备的工作模式为2层透明模式,划分Trust与Untrust 2个区域,公司专项数据中心属于Trust区域,其他区域属于Untrust区域,配置严格的域间策略,保护数据中心访问的合法性与安全性。
3.6 专项数据中心内部防火墙方案实施
数据中心内部防火墙板卡负责完成公司数据中心内部不同等级服务器之间的访问控制,以实现服务器间的合法安全访问,保护重要服务器安全运行。
数据中心内部防火墙业务板卡通过10G的内部接口与交换机交互数据,通过外部接口与另一数据中心核心设备的内部防火墙业务板卡相连,做HA会话同步备份(见图5)。
数据中心内部防火墙业务板卡采用3层路由模式,将服务器网关设置在防火墙业务板卡上,以求减少同网段服务器之间互访所经过防火墙业务板卡的业务流次数。板卡上联与集团核心路由器建立OSPF邻居,数据中心业务网段发布到OSPF进程。
数据中心内部防火墙业务板卡防火墙划分Trust和Untrust 2个安全区域,防火墙业务板卡下联服务器的内部接口划分到Trust区域,上联接口属于Untrust区域,配置严格的域间访问策略,控制业务流的互访互通,阻断各等级服务器之间的非法访问。
4 结语
本文所述网络改造方案于2011年在某大型核电运营企业核心网络改造工程中成功实施。实践证明,通过核心网络改造,公司核心网络升级为主干万兆互联,服务器千兆接入,各区域间构建了清晰明确的网络安全隔离边界、全面的网络流量监控系统和高效的网络安全访问防护体系,彻底解决了原有旧网中存在的7类安全隐患,全面提升了公司核心网络的整体性能和安全防护能力,有力地保障了公司各类电厂生产系统和信息管理系统的稳健运行。下步工作是在此基础上充分挖掘并优化各设备功能实现,进行网络精细化管理与运维。
参考文献
[1]Guichard J.MPLS和VPN体系结构(第2卷)[M].北京:人民邮电出版社,2010.
[2]Convery S.网络安全体系结构[M].北京:人民邮电出版社,2010.
篇4:大型ICP网站网络安全解决方案
天网防火墙ICP型,就是面对ICP开发的一代全新的防火墙产品,它的高安全性令服务器高枕无忧,可以媲美100M以太网交换机网络效率令数据畅通无阻,而且天网防火墙系统拥有构造双机热备份结构的功能,从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关,是连接内部网络、外部网络、DMZ区的交通枢纽,具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。
1.产品特性说明
·软硬件一体化的结构
防火墙对于用户来说,只是一个安全网关。整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。
·针对ICP的特性,提供高效畅通的网络通道:
针对为ICP特点:需要保护的主机数量少,但并发连数量大设计的执行执照,天网防火墙ICP型并不象其他产品,只是笼统地按照并发数量作为价格依据,而是采用保护的主机数量作为防火墙的执行执照。
作为一个ICP节点,网络系统将承受大量的并发用户访问,天网防火墙的网络核心可支持超大量的并发连接,远超任何基于通用操作系统的防火墙。
作为一台防火墙,其最基本功能是保护网络不受非法入侵者所破坏的同时,还要保证网络的畅通无阻,天网防火墙的网络核心专门为TCP/IP及Firewall而设计,同时还针对CPU的计算核心进行了优化处理,能大大提升系统性能。网络底层的多个部分由汇编语言编写,比同类系统性能提高20%-60%。
·快速安装功能
传统的防火墙在安装时极为麻烦,首先需要安装操作系统,调整网络参数,安装防火墙软件,然后进行网络参数设置,系统管理员如果没有经过专门的培训,在短时间内装好防火墙几乎是不可能的事情。天网防火墙具有快速安装特性,可以实现从上架安装、连接网线、上电、参数设置完毕整个过程不超过15分钟。
·基于浏览器的Web管理界面
通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作,天网防火墙具有多语言支持简单易用的Web设置界面,令管理员熟练地掌握系统的时间大大减少,操作简单、管理方便,只要具有一定网络相关知识的人即可胜任。
·完善的访问控制功能
天网防火墙灵活完善的网络访问控制,不仅包括现有的所有网络服务,同时可以兼顾将来各种新的网络服务,在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。
·MAC地址绑定
天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当内部主机设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的主机上使用,既可以防止IP地址冒用,而且大大方便了日常网络的IP地址管理。
·双机热备份(选件)
采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器,备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作,防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时,备份服务器会在十秒钟内自动启动,负责保护网络安全,并发出警告通知网络管理员。
智能的负载分担模块(选件)降低了ICP网站建设的成本
随着出色的Internet应用服务的使用人数不断增加,服务器变得不胜负荷,如果无法及时处理大量的用户服务请求,将出现服务中断的情况。以往在解决这些问题的时候,只能采用更强计算能力的服务器来替换原来的服务器,旧的服务器只能淘汰掉。并且,单台服务器的负载能力也是有限的,不可能无限扩展,同时,高档服务器的价格是随着服务器的性能呈现指数型上升,因此,采用多台廉价服务器组成负载分担的系统模型日渐成为主流。
负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。
在负载分担方式出现的初期,有不少网络的设计采用域名轮转的方式,即是一个域名对应多台服务器,作为一种廉价的方案,域名轮转的方式可以在解决一些服务器的负载问题,但是,由于这种负载分担的方式有很大的局限性:无法根据各台服务器的负载情况,将用户服务请求发送到不同的服务器上;在其中一台服务器出现问题无法工作的时候,系统仍然会将用户访问请求发送到出现故障的服务器上,造成一部分服务的中斷;由于域名解释一般在各地的服务器上都会有Cache存在,因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上,采用域名轮转的方式来做系统负载分担,其效果并不明显,而且存在着一定的弊端。
使用天网防火墙的分布式方案,可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。系统具体功能如下:
1) 动态负载均衡
天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU 占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。
2) 容错处理
天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到改機器上,保证了系统的正常运作。 在实际应用中,由于服务器端常常存在着CGI程序,这些程序会将用户的信息保存在服务器的内存中,如果负载分担系统不能识别用户来源,就会将同一个用户的请求分布到不同的服务器上,就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR(智能身份识别)算法,能够保证同一个用户的CGI请求可以保留在同一台服务器上,保证服务的正常运作。
采用分布式结构建造大规模的Internet应用,可以容纳大量的用户,然而在用户量增大到一定的情况下,负载分担服务器处于整个网络中心的位置,有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法,保证系统即使在处理巨大的用户量(每秒同时连接数大于30000用户)下,网络效率仍然可以达到80%以上。
2.网络安全解决方案
2.1 用户需求分析
网站准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进行服务,估计将有23-25M的流入数据量和12-14M的外流数据量 : 1、 公共网络。提供网站的Web界面访问,收发电子邮件服务。2、 外部网络。提供到Internet连接。
主要应用类型包括:1、 Web应用 2、POP3及Smtp电子邮件应用 3、DNS服务 4、FTP服务
安全策略为先关闭全部服务和端口,在开放部分服务和端口。
2.2 网络结构
根据网站当前的网络需求,我们建议使用基于天网防火墙ICP型的安全解决方案。下图为本建议方案的网络拓扑示意图。
为了保证站点的稳定性、容错性,本方案使用天网防火墙ICP型,通过防火墙划分为物理上相互独立的两个网段:1、 公共网段(Public Network) 2、私有网段(Private Network)。 其中,公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持;私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器,提供Web和电子邮件应用服务。
3.防火墙配置方案
根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略,防火墙采取以下配置方案:
3.1网络设置
3.3网络地址转换规则设定
4.技术服务
网络安全特性检测
网络安全检测(包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测)是指使用网络安全检测工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策略,达到增强网络安全性的目的。
原则上,在一些关键业务网络系统,应该具备功能较强的网络安全检测或分析软件,通过定期对整个网络系统的扫描分析,即时对网络安全状况进行评估,并根据分析结果,来合理制定或调整网络安全策略。
·培训
包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。
·售后技术支持
篇5:毕业十年大型同学聚会活动方案
各位同学:
大家好,在同学们的热情情绪下,我们班的毕业十周年聚会活动定于2011年8月20、27日、9月3在南宁举行(具体时间待定),请同学们安排好自己的休假时间,尽量统一,方便聚会活动能顺利进行。
经过班委会研究,确定了以下三个方案(如下)给同学们选择。当然,如果有哪位同学有不同意见或更好的线路也可以提出来,如有不同意见的同学请在8月1之前提出来,这样也好能有时间来安排和调整。以下的活动还没有最终确定下来,请大家在8月15前选择自己认为最好的方案出来,到时根据得哪个方案得票最多的我们就按哪个方案来进行活动。
请大家选择完成的同时在群内发表自己的选择,同时也可以电话、短信、QQ等方式告知陶雄新,那卵仔的电话是:***
一、300元/人,隆安漂流:跟团出发,其中跟团费165/人,包来回车费和中餐,其余费用做为晚上回南宁活动费用。
二、200元/人,南宁动物园水上世界一日游,其中门票100元/人,其余费用做为晚上在南宁活动费用。
三、300元/人,东兴一天一夜游,包含车票费、露营租
设备或住宿费、餐费等。
计应98(1)班班委会
2011-7-
21备注:
罗祖献27号、梁国煊
篇6:大型企业年会策划方案
大型企业年会策划方案(一)
一、活动目的
举办年会是每一个企业用来激励士气和拓展市场的机会。这次年会主要是为了宣传并树立公司的形象,同时表彰优秀的销售人员,充分发挥年会的激励和引领作用。
二、年会主题
团结合作,开拓未来
三、年会时间
20xx年x月x日下午14:00-18:00年终总结大会;
18:00-21:30晚宴
四、年会地点
xx大酒店宴会厅
五、年会组织形式
由公司年会工作项目小组统一组织、执行。
六、参与人员
集团精英以及销售人员
20xx年会主题活动分为4大部分:
1、欢迎宴会:员工之间的情感交流,营造氛围,为后期的年会活动热场。
2、店长会:总结公司今年市场上面的经验以及不足方面,同时探讨明年的企业品牌规划及相关发展道路。
3、表彰大会:员工表彰颁奖大会向公司的多有员工展示公司好的信息,凝聚团队,为以后的快速发展做贡献。
4、酒会晚会:整个酒会以慈善酒会完美落幕,给来宾留下美好回忆的同时也能帮助同胞贡献公司的一份力量。
七、20xx年企业年会流程与安排
13:50全体参会员工提前到达指定酒店,按指定排座就位,等待年会开始;
14:00-14:05年会正式开始,主持人致年会开场辞。
14:05-14:20xx做总结性发言。年会演出正式开始。
14:20-14:40文艺节目(x-x个节目)。
14:40-14:50先进员工表彰,职能处室每处室x人,工区每工区x人。由领导颁奖。
14:50-15:10文艺节目(x-x个节目)。
15:10-15:25抽奖1,抽3等奖10名。
15:25-15:40游戏1。
15:40-16:00文艺节目(2-3个节目)。
16:00-16:15欢送退休员工。
16:15-16:30抽奖2,抽2等奖5名。
16:30-16:50游戏2。
16:50-17:10文艺节目(x-x个节目)。
17:10-17:25抽奖3,抽1等奖3名。
17:25-17:45文艺节目(x-x个节目)。
17:45-17:55抽奖4,特等奖1名。
17:55-18:00文艺节目(收尾节目),主持人致年会结束辞。
18:00-18:15全体员工合影留念。
18:15-21:30晚宴。
21:30晚宴结束。
年会准备及相关注意事项
(一)年会的通知与宣传:综合处于年会前一周将年会通知发往各处室,做好宣传工作,达到全员知悉。
(二)条幅的制作:红底白字字幅,具体文字内容:“20xx年xx年会”
(三)物品的采购:抽奖礼品、生肖礼品、游戏奖品、年会席位人、笔、纸;游戏所用道具;抽奖箱;会议所需矿泉水、晚宴所需酒水、各类干果小食品。
大型企业年会策划方案(二)
一、活动背景
品牌致力于对钻石文化的建立和传播,代表爱,引领潮流,已处于中国钻石行业的领航地位。爱是人类最珍贵的情感,是珍贵情感的代言,它是有关于“真爱”的信仰。它不仅仅钻石,更是同生命一样长久的承诺。就如同它的品牌主张一样——“用珍稀的,为珍惜的”。
二、年会主题
追求完美,创造卓越(公司年终总结会以及公司新年的发展方向)
三、活动目的
1、增强区域员工的内部凝聚力,提升的竞争力;
2、对xx年区域营销工作进行总结,对区域市场业绩进行分析。制订新区域营销工作总体规划,明确新工作方向和目标。
3、表彰业绩优秀的公司内部优秀员工,通过激励作用,将全体员工的主观能动性充分调动起来,投入到未来的工作之中。
四、参加人员
客户群,领导;
邀请业界领导;
公司工作人员;
五、公司年会策划方案之年会时间
20xx年x月x日下午14点30分至22点00分
会议时间:14:30——18:00
晚宴时间:18:30——22:00
六、年会地点
xx酒店宴会厅
七、主办单位
公司
八、年终大会议程安排
1、年会流程
13:50 全体参会员工提前到达指定会堂,按指定排座就位,等待员工大会开始
14:00—15:30 大会进行第一项,各部门及各项目负责人上台分别做年终述职报告。
15:30—15:45 大会进行第二项,由行政人事部负责人上台宣读公司各部门及项目,主要负责人人事任命决定书。
15:45—16:00 大会进行第三项,副总经理宣读20xx优秀员工获得者名单;优秀员工上台领奖,总经理为优秀员工颁发荣誉证书及奖金;优秀员工与总经理合影留念;优秀员工代表发表获奖感言。
16:00—17:30 大会进行第四项,总经理做总结性发言。
17:30 大会结束,员工散会休息,酒店布置晚宴会场。
2、晚宴安排
18:00 晚宴正式开始,晚宴主持人引导大家共同举杯,祝福大家新年快乐,祝愿公司的明天更加美好。
18:00—19:00 用餐时段:公司领导及员工到各桌敬酒,同事间交流沟通,拉近彼此距离。
19:00—21:00 娱乐时段:表演节目。
九、活动内容
1、文艺节目(x—x个节目)
要求:年会节目要求:
1、歌曲类:
(1)喜庆、祥和、热烈的歌曲;
(2)青春、阳光、健康、向上;
(3)与以上主题相关的原创歌曲。
2、舞蹈类:
(1)积极向上、寓意深刻的艺术性舞蹈;
(3)喜闻乐见的街舞。
3、游戏:
游戏1:坐气球比赛,用具:x把椅子、各装x支气球的x个箱子;
游戏规则:x人一组,共x组,一个人递球,一个人坐球,限定时间为3分钟,3分钟后,箱子内省的球最少的胜出;
游戏2:抢凳子;用具:x把椅子,围成一圈;
游戏规则:将椅子围成一圈,响音乐,x个人转圈围着椅子走,音乐停,x个人抢坐,没有抢着的输;
文艺节目(x—x个节目)
游戏3:筷子运钥匙链;用具:x支筷子、x个钥匙链;
游戏规则:x个人一组,分为两组,每个人嘴里叼一只筷子,将钥匙链挂在第一个人的筷子上,第一个人将钥匙链传给第二个人,必须用筷子传,不能用手,哪个组最先将筷子传到最后一个人的筷子上,为赢。
游戏4:呼啦圈传区别针;用具:呼啦圈x个、曲别针x个;
游戏规则:x个人,每人一个呼啦圈,手里x个曲别针,每个人在转呼啦圈的同时,要将手里的x个曲别针连在一起,谁先将x个曲别针连在一起,谁就胜出;
游戏5:踩气球;用具:x个气球
游戏规则:分为两组,一组x个人,每个人球上绑x个气球,主持人限定时间3分钟,互相踩对方队员腿上的气球,3分钟后,看哪个组队员总署气球省的多,就胜出。
幸运抽奖活动:用具:抽奖箱、卡片x张、乒乓球x个
每个人手里有一张带数字的卡片,将乒乓球上写上相应的数字,放进抽奖箱,指派专人分别来抽一至四等奖。
最后主持人邀请全体职工上台合影留念。
十、年会准备及相关注意事项
(一)年会的通知与宣传:公司办公室于今天向机关各部门及各项目部发出书面的《关于20xx年终总结会的通知》,对本次年会活动进行公示和宣传,达到全员知悉。
(二)条幅的制作:红底黄字字幅,具体文字内容:“公司年终总结会”(条幅规格:xx)
(三)物品的采购:抽奖礼品、生肖礼品、游戏奖品、大会席位人名牌(会议用)、笔、纸、员工席位卡(晚宴用)、会场布置所需气球、拉花、花篮;游戏所用乒乓球拍、乒乓球;抽奖箱;会议所需矿泉水、晚宴所需酒水、各类干果小食品。
(四)现场拍照:提前安排好相关人员携带数码相机,做好大会及晚宴活动现场的拍照工作。
大型企业年会策划方案(三)
一、年会的意义
1、年会的纲领:为了父母的微笑,我在努力的路上!
2、操办原则:怎么让员工有感觉就怎么来!
3、企业的灵魂:经营好员工的动力,帮助员工实现梦想,顺便实现老板的远大梦想!
4、年会的核心:让员工明年在公司拼命做事!
二、年会的目的
①拉动员工
a、是为了减少员工流失,用活动来留住员工;让员工兴奋采取行动,让更多的员工看到跟我们公司干的希望;展示公司辉煌,让员工家庭更支持自己在公司干;所以年会一定要与往年不一样,一定要让员工有感觉;让员工明年赚到更多的钱!
b、是为了激发员工的动力、调动员工的积极性,让员工在新年伊始就对工作产生高度热情,迅速进入工作状态。
②拉动顾客
a、一定要邀请一些我们的大客户来参加我们的年会,在年会的现场让我们客户感到神圣,感恩我们的客户,并且向客户展示我们的团队及公司文化,借此向客户传递一个印象!
b、可以邀请一些意向客户来参加我们的年会,在年会的现场让老客户做一个分享,以此来打动新客户,让新客户对我们公司产生一个良好的印象。
③拉动其他力量
a、邀请几位商家合作伙伴,向他们展示我们的规划及团队,以此来增加他们对我们的信心及依赖度。
b、邀请几位地方相关部门的(或者行业)领导,向他们展示我们的文化及对地方(或者行业)的拉动性和贡献度(如:我们要成为某地区的纳税大户等)。
三、会场的布置
1、有好的音响和好的环境,能让大家一起就餐。
2、地场两边挂着关于公司理念的一些条幅(如:公司文化的展示,愿景,使命,口号,以展架的形式展示在年会现场,并通过员工展示体现)。
3、座位安排结合天、地、师、君、亲的理念,如:第一排的人员为业绩前十名及其父母。第二排的人员为客户和嘉宾,其他座位按各部门划分。
4、会场后方主要悬挂业绩前十名巨幅照片。
5、公司优秀员工和元老员工,总经理的照片做成展架放在公司会场的两侧。
6、老板年会期间不用上台说话,而是坐在最后一排看所有员工展示、表演。
(我们的会场布置主要以天、地、师、君、亲的原则,以此来激发员工的动力,当业绩前十名在现场看到自己的个人照片,心里一定会发出一股强烈的神圣感,内心也会升起一股冲劲,正如我们说的“一念升起,所向披靡”。)
四、拟邀嘉宾
1、员工:要求全员必须出席参加,不能请假。
2、我们公司的各部门领导。
3、客户:尽量邀请重要的大客户,或者对公司有恩的客户。
4、表现优秀的员工及主管父母:提倡孝文化。
5、重量嘉宾:地方领导或者行业内知名人士等(可提前说为神秘嘉宾)。
五、岗位安排
1、成立专门会务组:
公司大会最重要的参与者是员工不是领导,所有的领导必须为员工服务,每位领导各自申请会务组职位,定好有效的机制,如果不全身心付出怎么办!
1)会务总监:
2)场外:签到组二人(同时负责茶歇)
3)场内:
4)主持人:
5)男女DJ:
6)负责在场后给所有前十名包括优秀员工颁奖时戴红花的:
7)灯光摄影:
8)物资:
9)白板组:
10)迎宾组:
11)礼炮手:
2、围绕流程进行采购。
所需要所需物资:红地毯,追光灯,花环,奖杯,奖牌,嘉宾胸花,礼炮,奖品,元老条幅,水,茶点等!必先提前两天配齐!
六、具体流程
1、全员到签到处点名,安排岗位(要求会务组的所有成员必须着统一服装,特殊岗位除外,例摄影)。
2、客户签到,(客户要佩戴胸花)走红地毯,签名(场外由主持人引导,红地毯两侧主管们热烈欢迎伙伴们、嘉宾入场,由主持人引导进会场,会场门口宣布客户进场,聚光灯引导客户座位上(注:大屏幕和这期间场内必须放非常非常动感的音乐)(门口要有三位礼仪的人引位)。
4、主持人上场,做自我介绍和热场,同时介绍到场的各位嘉宾。
5、主持人带动全员先来一或两支开场舞(由所有的领导上前领舞!)。
6、播放视频(全年回顾)。
7、颁发奖励,主持人逐次邀请受奖人上台来领奖、分享、合影、(中间可穿插一些文艺节目)。
A、业绩前十名(从十到一的顺序邀请前十名逐次走上讲台领奖)。
B、状态奖(公司里状态最持续的,并且可以感染周围的人,带动周围人的状态)。
C、无私奉献奖(公司里平时默默无闻,但却默默的为公司奉献着,无怨无悔)。
D、狼性团队奖(公司所有的部门参选,评选标准由公司商讨决定)。
E、最上进员工奖(在公司最努力,最有动力,最有上进心的,是新员工,或是工龄一年以内的员工)。
F、天使奖(此奖的人选应该是对公司员工关心最多,大家有什么事都愿意和她去说,像天使一样关爱身边的人)。
G、贡献奖(在过去的一年里,对公司有着某一方面的巨大贡献的)。
H、状态奖(公司里状态最持续的,并且可以感染周围的人,带动周围人的状态)。
I、晋升任命书。
J、给客户颁奖。
8、下半场入场两场热场舞。
9、团队展示,向在场所有的人展示我们的团队,展示我们的文化,展示我们的状态,展示我们决心,展示我们的优势,势气,状态,礼仪。
10、让各部门定明年业绩目标。
11、地方领导发言或者相关领导发言(主持人一定要把领导塑造到位,让领导高兴。可以提前与其沟通,也可以突然袭击,视领导的脾气来决定,核心是让其乐。
12、行业内重量嘉宾(神秘嘉宾)发言(同样主持人要提前准备,拟好塑造词,向当下师学习,向行业里的精英学习,更利于员工的进步和对此行业的理解。
13、颁布新一年里公司的各项政策(可由副总颁布,要有书面文件,是红头文件)。
14、颁布20xx年的各项奖励机制(要清晰要透明,要让人一目了然,不可含糊不清)。
15、老板做总结激励性发言!将全场所有人推向顶点。(话不用太多,重在激励,塑造公司发展方向和发展前景,将现场所有的人点燃就可以了!)。
16、主持人宣布大会正式结束;
17、晚餐(中间可穿插一些文艺节目)。
七、重点备注
1、主持人要在每个版块之前要塑造本版块的给企业带来什么!
2、每一位上台的领奖者礼仪小姐必须给带花环;
3、每一个上台者都必要求走上红地毯;
4、每一位上台者聚光灯必须配合;
5、会务必须严谨每个一个环节,物资,人员的调配;
6、DJ师、礼仪小姐和主持人对接每个环节;
7、颁奖此过程乃重中之重,乃大会的核心部分,公司想要达到哪些结果,就针对此类事件举行重大而隆重的仪式,所有获奖的人都有一到三分钟(做一个“时间到”的提示牌)的获奖感言,主持人提醒感谢的话要少说!(每个领奖的人挑自己喜欢的人用自己最喜欢的方式给自己颁奖)。
8、感恩文化:
①感谢父母养育之恩。
②感谢客户帮助自己实现梦想。
③感谢公司给我平台。
大型企业年会策划方案(四)
一、年会前言
走过往昔,奋斗的汗水刚刚拭去。回首旅途,胜利的笑容正在蔓延。携手今宵,高歌这一路荣耀感动。展望明朝,伙伴们,让我们携手同行,一曲歌唱出心中挚爱,一段舞跳出热血豪迈。执着、梦想、追求、团结、我们共同燃心为香,巅峰领跃!
二、年会主题
放飞梦想 超越无限
三、操办原则
造场,借势,深入人心
四、年会的准备
会场的布置:
(1)有好的会场音响舞台灯光效果和好的年会环境,能让大家一起就餐。
(2)为公司第一名(业绩和各岗位优秀员工)准备奖杯,大红花,奖金(优秀员工和优秀父母奖金),最好也准备一些特等奖和安慰奖。
(3)参加人员:公司全体员工
公司各部门领导
优秀员工父母及领导父母
公司大客户
五、座位安排
嘉宾及领导由专门人员引导入坐
六、会场展架
会场后方悬挂业绩前十名巨幅照片(展架)
七、照片展示
公司优秀员工和元老,总经理的照片做成展架放在会场两侧
八、年会流程安排
(开场先放一段公司员工平时活动或者日常的一些照片集锦)
1、业绩前十名分享(主持人从十到一顺序)
DJ:上场颁奖时要放震撼人心的音乐和舞蹈音乐
主持人宣读他们的业绩并对每个人做简短的介绍
(前十名最后上场走红地毯到台上,全程聚光灯聚焦,掌声和呐喊声不断)
2、颁奖仪式:奖励旅游的优秀员工,现场颁奖
3、颁发伟大的父母养育奖(此奖由对公司有帮助的人或会员颁发)
4、分享
①业绩前十名每人分享三到五分钟(最好控制在5分钟以内),对大家有帮助的业务经验或心路历程(前三天让分享的员工就开始准备)
②客户或企业的分享,可分享自己的成功故事或站在客户的角度给员工提意见!
(分享完后可以设置一个10分钟的抽奖活动,在整场年会中分3次抽奖,先从小奖开始)
5、晚会节目
①每个部门或小组出几个指定的节目,节目前三名有丰厚的.奖励,拉动员工积极参加
②一个好的年会创意节目需要结合今年比较流行趣未事件,搞笑片断
③也可以从公司今年发生的大事件入手创意年会节目。
7、互动游戏
互动不宜久:游戏环节x~x个最为适宜,每个互动游戏不宜超过x分钟,小品表演类不宜超过x分钟,否则会造成晚会杂乱与观众审美疲劳。
8、节目完事后,老板上场宣布明天机制调整(最好提几个预选领导)明年员工干多少营业额有多少提成目的是员工听完了就兴奋,想做事,老板私下一定要规划好,盖好章后每个部门一份,明年年底兑现承诺。
9、让各部门定明年业绩目标,以团队风采展示的形式在年会上承诺。
10、颁发年货(年货最过年能用上的,在过年的时候时时刻刻忘不了公司老板)
如果发奖金:本来今年这个员工xx元,拿给他分成几块:
买年货xx元(越实用越多越便宜)
xx元给员工
xx元给孩子
xx元给媳妇儿
xx元给员工父母(以上人员来年来必须签字收到,目的怕独吞,达不到家庭支持的效果)
九、年会会务的组安排
年会最重要的参与者是员工而非领导,所以所有领导必须为员工服务,每位领导各自申请会务组职位,定好机制,如果不全身心付出怎么办!
1、会务总监一人:xx
2、场外:xx
签到组二人(同时负责茶歇):
(优秀员工和他的父母先入场,坐在最前排)
3、场内:
主持人:男女
DJ:xx
负责在场后给所有前十名包括优秀员工颁奖时拿红花的:
灯光
摄影
物资
白板组
迎宾组
详细时间安排当面碰
4、年会期间,老板可以适当的和一些高层做一场boss秀,或者在场内看员工展示,表演,最后在台上吹风(明年怎么分钱和员工有关系的话)!
5、年会后的人员安排(年会上难免会有人喝多的,一定要安排好后续的事情,不然容易出问题)。
九、年会会务流程
头一天下午先到会场把会场布置好,会务组全权出马就行!
十、年会当天
1、上午
7:00所有会务组人员在会场准时集合。
(要求会务组的所有成员必须着统一服装,特殊岗位除外,例摄影)。
7:10由会务总监统一点名,安排岗位。
7:40会场外各就各位,准备迎接所有员工到来。
8:00所有员工统一进场,前十名及父母和企业的天先进,然后按照签到的先后顺序进场!(这期间场内必须放非常非常感动的音乐)
8:30场内一切准备就绪,主持人做准备。(这时可以放一段公司员工平时活动或者日常的一些照片集锦)
8:40准时开始,主持人上场,开场词之后,先跳两曲疯狂的舞蹈。(由所有领导上前领舞)!
9:00前十名分享(每人3-5分钟)做一个(时间到)的提示牌。
9:50第一个抽奖环节。
10:00中场休息,要有茶歇。
10:10中场休息结束回到场内。
10:15主持人上场,跳一曲舞蹈。
(1)颁奖仪式(每个领奖的人挑自己喜欢的人给自己颁奖,拿到奖后用一句话表达自己的心声,多一句不让说,时间有限)。
(2)颁发最伟大养育奖(此奖由公司的老板或对公司帮助最大的人颁)。
(3)客户或企业的分享,可分享自己的成功故事或站在顾客的角度给员工提意见!(每人五分钟,3到5个人即可)。
12:00中午休息(聚餐安排在晚上比较好,大家可以放开点吃)。
2、下午
13:00下午进场,优秀员工和父母和公司的贵人先入场。
13:20节目表演(节目控制在三个小时左右)期间有打分环节,所以不要让人员先走动。
16:20分第二个抽奖环节。
16:30中场休息。
16:50下半场开始上场宣布明年机制调整(最好提几个预选领导)明年员工干多少营业额有多少提成(命脉是员工听完了就兴奋,想做事,老板私下一定要规划好,盖好章后每个部门一份,明年年底兑现承诺。
17:30各部门定目标,(以团队风采展示的形式表现)。
18:30公布并颁发节目前三名或前两名的奖项(一定要当场兑现)。
19:00颁发年货!。
3、晚上
19:30所有人员聚餐!
相关文章:
网络安全防范论文02-18
安全网络论文02-18
校园网络安全论文02-18
网络安全探析论文02-18
网络安全毕业设计论文02-18
网络安全论文范文02-18
金融网络安全论文02-18
工程论文题目02-18
安全系统工程论文题目02-18
工程建材毕业论文题目02-18
