oa系統(tǒng)用到的技術(shù)

申請免費試用、咨詢電話：400-8352-114

　　隨著業(yè)務(wù)應(yīng)用系統(tǒng)的不斷擴展，特別是基于internet的應(yīng)用日益豐富，信息安全形式趨于復(fù)雜化，威脅形式更為豐富，安全事故帶來的危害及影響也越來越大。目前公司已有的防護體系在防護結(jié)構(gòu)和防護手段方面需要針對新情況進行重新評估和設(shè)計，以滿足公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案信息化發(fā)展的要求，為公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案的業(yè)務(wù)應(yīng)用提供全面的安全保障。

　　一、需求分析

　　通過對公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案網(wǎng)絡(luò)系統(tǒng)進行實地檢查和分析后，目前存在的問題如下：

　　1)Server1 托管著轄區(qū)內(nèi)所有單位的門戶網(wǎng)站，Server2是教育資源服務(wù)器，兩臺服務(wù)器都需要是對外進行數(shù)據(jù)交互，從現(xiàn)有網(wǎng)絡(luò)拓?fù)淇梢钥闯?，采用目前這種部署方式使防火墻失去作用，整個網(wǎng)絡(luò)拓?fù)浯嬖诤艽蟀踩[患，需要對網(wǎng)絡(luò)拓?fù)溥M行優(yōu)化;

　　2)網(wǎng)絡(luò)的出口采用一臺DCFW1800S-L防火墻，該設(shè)備無VPN功能，無法提供遠(yuǎn)程移動辦公功能，且該設(shè)備老化嚴(yán)重，在性能及可靠性等方面均無法滿足公司現(xiàn)有網(wǎng)絡(luò)應(yīng)用，急需要更換;

　　3)沒有上網(wǎng)信息審計措施，不能滿足國家對于政府機關(guān)接入互聯(lián)網(wǎng)的要求;

　　4)由于黑客、木馬、等網(wǎng)絡(luò)入侵越來越隱蔽，破壞性越來越大，防火墻承擔(dān)著地址轉(zhuǎn)換(NAT)、網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)邊界隔離防護等工作，再加上對網(wǎng)絡(luò)入侵行為的鑒別需要消耗大量的性能，這將會使防火墻成為網(wǎng)絡(luò)瓶頸。同時防火墻對了來自內(nèi)網(wǎng)的攻擊無能無力，因此需要部署專業(yè)的網(wǎng)絡(luò)入侵檢測系統(tǒng);

　　5)網(wǎng)絡(luò)核心采用一臺DlirkDGS1024D交換機，該交換機為非智能型交換機，不支持Vlan劃分、端口鏡像及網(wǎng)絡(luò)管理功能，隨著網(wǎng)絡(luò)應(yīng)用的不斷擴展，該型交換機已經(jīng)不能滿足實際使用的需要;

　　二、建設(shè)原則

　　網(wǎng)絡(luò)安全建設(shè)是一個系統(tǒng)工程，公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進行，采用先進的“平臺化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的效益，堅持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。

　　在進行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：

　　·完整性：網(wǎng)絡(luò)安全建設(shè)必須保證整個防御體系的完整性。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

　　·經(jīng)濟性：根據(jù)保護對象的價值、威脅以及存在的風(fēng)險，制定保護策略，使得系統(tǒng)的安全和投資達到均衡，避免低價值對象采用高成本的保護，反之亦然。

　　·動態(tài)性：隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時地、不斷地改進和完善，及時進行技術(shù)和設(shè)備的升級換代，只有這樣才能保證系統(tǒng)的安全性。

　　·專業(yè)性：攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認(rèn)識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有專業(yè)技術(shù)人才，并能長期的進行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。

　　·可管理性：安全管理定義為在一個包含的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)架構(gòu)的IT環(huán)境中，提供高可靠性、私有性和安全。集中的安全管理包括了技術(shù)實現(xiàn)和管理兩方面。

　　·標(biāo)準(zhǔn)性：遵守國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及國際相關(guān)的安全標(biāo)準(zhǔn)，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

　　·可控性：系統(tǒng)安全的任何一個環(huán)節(jié)都應(yīng)有很好的可控性，他可以有效的保證系統(tǒng)安全在可以控制的范圍，而這一點也是安全的核心。這就要求對安全產(chǎn)品本身的安全性和產(chǎn)品的可客戶化。

　　·易用性：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。

　　對于公司內(nèi)網(wǎng)辦公系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對整個網(wǎng)絡(luò)進行整體的安全規(guī)劃，然后根據(jù)實際情況建立一個從防護--檢測--響應(yīng)的安全防護體系，提高整個網(wǎng)絡(luò)的安全性，保證應(yīng)用系統(tǒng)的安全性。