隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷擴(kuò)展，特別是基于internet的應(yīng)用日益豐富，信息安全形式趨于復(fù)雜化，威脅形式更為豐富，安全事故帶來的危害及影響也越來越大。目前公司已有的防護(hù)體系在防護(hù)結(jié)構(gòu)和防護(hù)手段方面需要針對新情況進(jìn)行重新評估和設(shè)計(jì)，以滿足公司內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案信息化發(fā)展的要求，為公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案的業(yè)務(wù)應(yīng)用提供全面的安全保障。

　　一、需求分析

　　通過對公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)地檢查和分析后，目前存在的問題如下：

　　1)Server1托管著轄區(qū)內(nèi)所有單位的門戶網(wǎng)站，Server2是教育資源服務(wù)器，兩臺(tái)服務(wù)器都需要是對外進(jìn)行數(shù)據(jù)交互，從現(xiàn)有網(wǎng)絡(luò)拓?fù)淇梢钥闯觯捎媚壳斑@種部署方式使防火墻失去作用，整個(gè)網(wǎng)絡(luò)拓?fù)浯嬖诤艽蟀踩[患，需要對網(wǎng)絡(luò)拓?fù)溥M(jìn)行優(yōu)化;

　　2)網(wǎng)絡(luò)的出口采用一臺(tái)DCFW1800S-L防火墻，該設(shè)備無VPN功能，無法提供遠(yuǎn)程功能，且該設(shè)備老化嚴(yán)重，在性能及可靠性等方面均無法滿足公司現(xiàn)有網(wǎng)絡(luò)應(yīng)用，急需要更換;

　　3)沒有上網(wǎng)信息審計(jì)措施，不能滿足國家對于政府機(jī)關(guān)接入互聯(lián)網(wǎng)的要求;

　　4)由于黑客、木馬、等網(wǎng)絡(luò)入侵越來越隱蔽，破壞性越來越大，防火墻承擔(dān)著地址轉(zhuǎn)換(NAT)、網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)邊界隔離防護(hù)等工作，再加上對網(wǎng)絡(luò)入侵行為的鑒別需要消耗大量的性能，這將會(huì)使防火墻成為網(wǎng)絡(luò)瓶頸。同時(shí)防火墻對了來自內(nèi)網(wǎng)的攻擊無能無力，因此需要部署專業(yè)的網(wǎng)絡(luò)入侵檢測系統(tǒng);

　　5)網(wǎng)絡(luò)核心采用一臺(tái)DlirkDGS1024D交換機(jī)，該交換機(jī)為非智能型交換機(jī)，不支持Vlan劃分、端口鏡像及網(wǎng)絡(luò)管理功能，隨著網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)展，該型交換機(jī)已經(jīng)不能滿足實(shí)際使用的需要;

　　二、建設(shè)原則

　　網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案安全體系建設(shè)應(yīng)按照統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套的原則進(jìn)行，采用先進(jìn)的平臺(tái)化建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的效益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。

　　在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：

　　完整性：網(wǎng)絡(luò)安全建設(shè)必須保證整個(gè)防御體系的完整性。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

　　經(jīng)濟(jì)性：根據(jù)保護(hù)對象的價(jià)值、威脅以及存在的風(fēng)險(xiǎn)，制定保護(hù)策略，使得系統(tǒng)的安全和投資達(dá)到均衡，避免低價(jià)值對象采用高成本的保護(hù)，反之亦然。

　　動(dòng)態(tài)性：隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個(gè)動(dòng)態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時(shí)地、不斷地改進(jìn)和完善，及時(shí)進(jìn)行技術(shù)和設(shè)備的升級(jí)換代，只有這樣才能保證系統(tǒng)的安全性。

　　專業(yè)性：攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認(rèn)識(shí)，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有專業(yè)技術(shù)人才，并能長期的進(jìn)行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。

　　可管理性：安全管理定義為在一個(gè)包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT環(huán)境中，提供高可靠性、私有性和安全。集中的安全管理包括了技術(shù)實(shí)現(xiàn)和管理兩方面。

　　標(biāo)準(zhǔn)性：遵守國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及國際相關(guān)的安全標(biāo)準(zhǔn)，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

　　可控性：系統(tǒng)安全的任何一個(gè)環(huán)節(jié)都應(yīng)有很好的可控性，他可以有效的保證系統(tǒng)安全在可以控制的范圍，而這一點(diǎn)也是安全的核心。這就要求對安全產(chǎn)品本身的安全性和產(chǎn)品的可客戶化。

　　易用性：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。

　　對于公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后根據(jù)實(shí)際情況建立一個(gè)從防護(hù)--檢測--響應(yīng)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)的安全性，保證應(yīng)用系統(tǒng)的安全性。