엔터프라이즈 네트워크 보안 솔루션의 디자인

엔터프라이즈 네트워크 보안 솔루션의 디자인입니다. 정보 기술의 급속 한 발전으로 많은 원시 기업 실현 그것을 고급에 의존 그들의 자신의 사업을 구축 기술 및 운영 플랫폼에 기업, 핵심 경쟁력 향상 시킬 크게 것입니다 기업 잔인 한 경쟁 환경에서 밖으로 서 있도록. 컴퓨터 응용 시스템 운영 관리의 의존을 강화 하 고 컴퓨터 응용 시스템은 네트워크에 의존. 컴퓨터 네트워크의 규모는 확대 되 고 네트워크 구조는 점점 더 복잡 한. 컴퓨터 네트워크 및 컴퓨터 응용 시스템의 정상 작동 네트워크 보안에 대 한 높은 요구를 앞으로 둔다. 정보 보안은 네트워크, 시스템, 응용 프로그램 및 데이터를 방지 하기 위해 정보 시스템의 모든 레벨을 종합적, 취재를 전체적으로 고려 되어야 한다. 정보 보안 경비 시스템의 모델 표시 보안 경고는 동적 프로세스, 문제에 미리 완료 되어야 기술적인 의미와 나중에, 안전 관리 안전 예방 활동을 통해 항상 실행 해야 합니다.

1 소개

컴퓨터 네트워크의 출현 및 인터넷의 급속 한 발전, 기업 컴퓨터 응용 프로그램의 네트워크 기반은 또한 급속 하 게 증가 하 여 네트워크 가져왔다 큰 경제, 경영 정보 시스템에 따라 하지만 뒤이어 보안 문제는 또한 괴 롭 혀 사용자, 2003 년, 트로이 목마, 벌레의 확산은 기업의 정보 보안 상황을 악화 시켰다. 이러한 모든 기업 정보 보안에 더 높은 요청 앞으로 두고 있다.

정보 기술의 급속 한 발전으로 많은 원시 기업 실현 그것을 고급에 의존 그들의 자신의 사업을 구축 기술 및 운영 플랫폼에 기업, 핵심 경쟁력 향상 시킬 크게 것입니다 기업 잔인 한 경쟁 환경에서 밖으로 서 있도록. 이 빠르게 변화 하는 시장에 직면, 기업 핵심 경쟁력, 그리고 그것의 내부 관리 문제, 효율성 문제, 평가 문제, 정보 전송 문제, 정보 보안 문제, 그리고 독자적으, 시간 제약을 개선 하는 방법의 문제에 직면해 있다 이러한 문제를 해결 하기 위해 PKI 기술을 사용 하 여 기업 경쟁력 향상을 위한 중요 한 수단 되고있다.

다음 설명에서 예를 들어 회사를 가져가 라.

2 정보 시스템 상태

2.1 정보 전체 상황

1) 컴퓨터 네트워크

회사의 기존 컴퓨터 회사의 통합 계획에 따라, 방화벽 및 엑스트라넷 연결을 통해 내부 네트워크 연결을 통해 500 단위. 내부 네트워크에서 각 컴퓨터는 동일한 네트워크 세그먼트에 스위치에 의해 연결 된다.

2 응용 시스템

축적의 년 후에 회사의 컴퓨터 응용 프로그램 기본적으로 다양 한 응용 프로그램 시스템 및 office 자동화 시스템을 포함 한 모든 측면의 관리를 덮여 있다. 컴퓨터 네트워크의 추가 개선, 컴퓨터의 응용 프로그램 데이터 농도 데이터 분산 모드에서 변형 이다.

2.2 정보 보안의 상태

컴퓨터 네트워크, 회사 구현된 컴퓨터 네트워크 보안 프로젝트, 정보 보안 기술 및 보안 제품의 상태에 따라의 안전을 보장 하기 위해 정보 보안의 주요 콘텐츠는 네트워크 보안, 방화벽, 안티 바이러스 서버 및 기타 네트워크 보안 제품의 배포, 회사의 컴퓨터 네트워크의 보안을 크게 향상 이 제품 나중에 방지 하기 위해 네트워크 공격, 충격 및 다른 네트워크 바이러스 공격으로 네트워크 및 데스크톱 일상적인 보안 중요 한 역할을.

3 위험 및 수요 분석

3.1 위험 분석

정보 시스템의 현황 분석을 통해 다음과 같은 결론을 내릴 수 있습니다.

(1) 컴퓨터 응용 시스템 운영 관리의 의존을 강화 하 고 컴퓨터 응용 시스템은 네트워크에 의존. 컴퓨터 네트워크의 규모는 확대 되 고 네트워크 구조는 점점 더 복잡 한. 컴퓨터 네트워크 및 컴퓨터 응용 시스템의 정상 작동 네트워크 보안에 대 한 높은 요구를 앞으로 둔다.

(2) 컴퓨터 응용 시스템 더 포함 하 고 더 많은 기업 핵심 데이터를 이러한 데이터는 대부분 회사 본사 데이터 센터에에서 집중 한다, 따라서 그것은 각 컴퓨터 응용 시스템의 사용자 관리 및 신원 인증을 강화, 데이터를 백업을 강화 하 고 기술 수단을 사용 하 여 기밀성, 완전 및 데이터의 가용성을 향상 하는 데 필요한.

기존 정보 보안 시스템의 분석을 통해 컴퓨터 기술의 발전과 보안 위협 유형의 증가 회사의 정보 보안은 몇 가지 결함이 전체 구성에서 구현 되는 정보 보안 제품의 성능과 기능 면에서 볼 수 있습니다.

(1) 시스템은 강한, 보안은 네트워크 보안, 시스템, 응용 프로그램 및 데이터 보안 거기 큰 위험이 있습니다.

현재 보안 프로그램 네트워크 보안 시스템 및 응용 프로그램 보안 기술 및 관리 도구의 부족에 초점을 그 당시에 지식에 근거한 다. 효과적인 id 인증, 서버에 대 한 액세스의 부족 네트워크 장비 및 응용 프로그램 시스템에에서 남아에서 간단한 인증 단계의 사용자 이름/암호, 가장 쉽게 그리고 전체 프로그램 및 시스템 규범, 중요 한 데이터 및 누설 손실 하기 쉬운 데이터 백업 부족 등.

그 당시, 기본 네트워크 보안, 외부 네트워크 보안의 개념 이다 이러한 신뢰 모델에 따라 즉, 네트워크 내에서 사용자가 신뢰할 수 있는. 이 신뢰 모델에서 가정 정보 보안에 위협이 모든 가능한 공격자는 조직 외부에서 하 고 외부에서 내부 네트워크 정보 시스템에 액세스 하는 다양 한 공격을 사용 하 여.

외부 네트워크 보안을 위해 내부 네트워크 보안의 개념 제안 되는 신뢰 모델 기반: 모든 사용자가 신뢰할 수 있는. 이 신뢰 모델에서 모든 사용자가 정보 보안에 위협 가능성이 고 가정 기침 및 바보, 벤젠 국내 재해 패   진 위이 구르 족 , Zhiyan 용 병  적 측면 Ⅲ 개미 콘 게스트  오 꿈의 역사  진 유일한 의 재해 내부 정보 보안의 더 편리한 수단, 예를 들어 다양 한에 의해 손상 될 수 있습니다 약간 刂 패  남성 측 ⒉⒌ 리아) 鋈 ァd 콘  ti 유린  짜증이 옴 파이 원  펜더, 순수한 觥를 통해 p

연방 수사국 (FBI) 등 컴퓨터 보안 기구 (CSI) 당국에 의해 연구는 또한 정보 보안 위험의 80% 이상이 내부 직원에 의해 도난 및 정보의 파괴에 이르게 직접 조직 내에서 온 증명 했다.

정보 시스템 보안은 동적 프로세스, 회사 관련 규칙과 부족 규정, 기술 사양, 또한 관련 보안 서비스를 선택 하지 않았다. 안전 제품의 효과를 발휘를 줄 수 있습니다.

(2) 원래 네트워크 보안 제품 기능 및 성능에서 새로운 상황에 적응 하지 수 있는, 특정 한 네트워크 보안 위험, 제품 업그레이드 해야.

구입한 네트워크 보안 제품의 대부분은 추가 개선 기능과 성능에서 정보 보안의 요구 사항을 충족 수 없습니다. 더 엄격 하 게 인터넷 수출의 시스템을 전체 네트워크의 보안을 개선 하기 위해 제한, 기업 인트라넷 및 공용 네트워크 병목 현상을 원래 방화벽 될 것입니다. 동시에, 바이러스 예방에 새로운 공격 방법 또한 앞으로 방화벽의 기능적 요구 사항을 넣어, 기존 방화벽 이러한 함수는 없습니다.

네트워크 정보 시스템의 보안 건설 정보 건설의 본질적인 요구 위험 평가에 기반 하 고 시스템 관할 부서 및 작업 및 응용 프로그램 단위는이 시스템의 위험 평가 수행 해야 합니다. 건설, 계획 프로세스의 초기 단계에서 서만 위험 평가, 위험 관리 수단, 사용자의 사용 건설 및 투자 낭비의 중복을 피할 수 있다.

3.2 요구 사항 분석

앞에서 설명 했 듯이, 회사 정보 시스템에 더 큰 위험 정보 보안 요구는 주로 반영 다음 포인트:

(1) 회사의 정보 시스템 안전 하 고 신뢰할 수 있는 컴퓨터 네트워크 뿐만 아니라 좋은 시스템, 응용 프로그램 및 데이터 보안 보호를 필요로 한다. 따라서, 우리 한다 안전 보호의 전반적인 레이아웃을 강화, 안전 보호의 범위를 확대 하 고 새로운 안전 보호 수단을 추가.

(2) 확장 네트워크 크기와 복잡성의 증가 공격, 새로운 의미의 출현의 그래서 그 회사의 컴퓨터 네트워크 보안 직면 하 고 더 큰 도전, 업그레이드 또는 다시 원래 제품.

(우리 야 속도를 규정 및 기술 규범의 건설 있도록 안전 예방책의 모든 작업 실시 될 수 있습니다 순서와 표준 방법으로 3)는 증가 중요성 및 정보 보안 업무의 복잡성 앞으로 안전 관리에 대 한 높은 요구 사항을 둔다.

(4) 정보 보안은 어떻게 프로세스의 동적 사이클 전문 회사의 보안 서비스를 사용 하 여 좋은 일을 할 사전, 다양 한 보안 위협을 다루는 다양 한 예방 작업 후 하지만 또한 회사는 중요 한 문제를 직면 하 고.

4 디자인 원칙

안전 시스템의 건설 "통합 계획, 전체 배열, 통합 표준 및 단계별 구현"의 원리에 따라 실행 되어야 한다 반복 입력 및 반복된 건설을 방지 하 고 완벽 하 게 전체 및 지역 관심사를 고려 하기 위하여.

4.1 표준화 원칙

이 프로그램 국가 규정 및 정보 보안의 표준을 참조 하며 회사 구현 하고있다 또는 건설 안전 기술 시스템의 표준화, 표준화, 확장에 대 한 요구 사항에 맞게 업그레이드 하 고 중앙 통합된 누워 좋은 재단 표준 및 규정, 제도 이다.

4.2 체계적인 원리

정보 보안은 복잡 한 시스템 공학, 정보 시스템의 모든 수준에서 포괄적인 고려의 모든 단계에서 보안 기술의 구현에 초점을 뿐만 아니라 또한 체계적인 솔루션 관리의 강도 증가.

4.3 위험 혐오 원리

보안 기술 시스템의 건설 관련 네트워크, 시스템, 응용 프로그램 및 다른 측면, 어떤 변경, 추가 또는 이동, 수 한 시 빨리 벗어나게 하는 기존 네트워크에 영향을 미칠 또는 연속 시스템, 안정적인 운영, 이것은 보안 기술 시스템 구축 가장 큰 위험을 직면해 야 한다. 이 계획은 특별히 운영 위험 문제를 피하기 위해 고려, 계획 하 고 응용 프로그램에서 시스템 결합 기본 보안 조치, 우선 순위 투명성을 보장, 규정 일반 보안 기본 서비스 요청, 디자인에서에서 embarks 보안 시스템 및 응용 프로그램 시스템 부드럽게 연결 하는 것을 깨닫는다.

4.4 투자 보호의 원칙

정보 보안 이론의 역사적인 이유 및 기술과 자체 재정 능력의 개발, 회사는 일부 전체 또는 지역 보안 기술 시스템 구축 있으며 단계 및 일괄 처리에 해당 시설을 갖추고 있습니다. 따라서, 정보 보안,이 프로그램의 투자 이익을 합리적으로 계획, 새로운 보안 하위 시스템을 구축 하거나 새 보안 시설에 투자 하는 동안 보호의 기본 원칙을 바탕으로, 기존 보안 시스템에 대 한 포괄적이 고 통합 된 접근 채택 되었습니다 전반적인 보안 기술 시스템으로 그들을 통합 하 고 성능 보다는 배제 또는 포기 더 달성 하기 위해.

4.5 멀티 체중 보호 원리

모든 보안 조치는 절대적으로 안전 하 고 손상 될 수 있습니다. 그러나, 여러 보호 시스템의 구축, 각 보호 계층을 서로 보완 때 보호 계층을 위반, 보호의 다른 레이어를 여전히 정보의 보안을 보호.

4.6 단계별 구현 원리

네트워크 크기의 확장 및 증가 하는, 응용 프로그램, 회사의 다양 한 응용 프로그램으로 인해 시스템 취약점 증가 계속 됩니다. 한번에 모두 보안 문제를 해결 하기 위해 비현실적 이다. 보안 시스템의 특성에 따라 우리는 안전, 위험 및 비용의 균형을 추구 하 고 "통합 계획 및 단계별 구현"의 원칙을 채택. 회사의 안전의 기본적인 요구를 충족 수 있지만 또한 비용을 저장 합니다.

5 디자인 아이디어 및 안전 제품 선택 및 배포

정보 보안은 네트워크, 시스템, 응용 프로그램 및 데이터를 방지 하기 위해 정보 시스템의 모든 레벨을 종합적, 취재를 전체적으로 고려 되어야 한다. 정보 보안 경비 시스템의 모델 표시 보안 경고는 동적 프로세스, 문제에 미리 완료 되어야 기술적인 의미와 나중에, 안전 관리 안전 예방 활동을 통해 항상 실행 해야 합니다.

정보 보안은 상대적 균형 위험, 보안 및 회사의 정보 보안 및 정보 보안 제품 및 보안 프로젝트의 내용의 예비 결정 컴퓨터 전문 회사와 접촉을 통해 솔루션의 현재 상황의 분석을 통해 투자를 해야 합니다. 통해이 보안 프로젝트, 더 완전 한 정보 보안 시스템의 기본 건설의 구현입니다.

5.1 네트워크 보안 인프라

인증서 인증 시스템, 내부 정보 네트워크 또는 외부 네트워크 플랫폼, 안전 하 고 신뢰할 수 있는 네트워크에 건설 되어야 한다. 현재, 이러한 보안 문제에 최고의 솔루션 PKI/CA 디지털 인증 서비스를 적용 하는. PKI (공개 키 인프라)는 공개 키 이론 및 거부, 안티 및 온라인 id 인증, 정보 무결성 같은 보안 문제를 해결 하 고 네트워크 응용 프로그램에 대 한 신뢰할 수 있는 보안을 제공 합니다 온라인 id 인증을 제공 하는 기술 기반 보안 시스템입니다. 완전 한 PKI/CA 디지털 인증 서비스와 사용자를 제공 하. 인증서 인증 센터 시스템의 건설을 통해 다음과 같은 목표를 달성 하기 위해이 보안 플랫폼을 통해 완벽 한 네트워크 보안 인증 플랫폼 설정:

신원 인증 (인증): 통신의 양쪽 모두의 정체성을 확인, 쌍방의 id 위조 또는 서로의 id를 확인 하는 디지털 인증서를 통해이 시스템에서 위장 될 수 없습니다 필요.

데이터 (기밀성) 기밀성: 정보 손상 되지 하 고이 시스템 디지털 인증서 암호화를 사용 하 여 완료 하는 데 중요 한 정보를 암호화.

데이터 무결성 (무결성): 잘린 (개봉) 통신 정보 손상 되지는 보장 및 해시 함수 및 디지털 서명을 통해 수행 됩니다.

비-부인 (부인): 인식 및 완료 하 고, 디지털 서명을 통해 책임의 그들의 자신의 행위의 통신 되도록 그들의 자신의 행동을 거부 하는 다른 파티의 통신을 방지 하기 위해 디지털 서명을 법적 증거로 사용할 수 있습니다.

5.2 국경 보호 및 네트워크 격리

VPN (가상 사설망)은 인터넷 등 일반적인 중추를 통해 물리적으로 분산 된 네트워크를 연결 하는 논리적 가상 개인 네트워크. 전통적인 물리적 방법과 비교해, 그것은 낮은 비용과 유지 보수 비용, 확장, 쉽게의 장점과 데이터 전송의 높은 보안을 있다.

VPN 시스템을 설치 하 여 가상 개인 네트워크를 구축 하는 기업에 대 한 보안 솔루션을 제공할 수 있습니다. 오픈 네트워크를 사용 하 여 암호화, 인증, 캡슐화와 합법적인 사용자가 모바일 사용자, 원격 LAN 보안 연결을 달성 하기 위해 전용된 라인 모드 대신 엔터프라이즈의 개인 데이터에 대 한 액세스를 보안 할 수 있도록 공용 네트워크에는 터널을 열어 키 교환 기술을 통해 정보 전달의 매체로.

통합된 방화벽 기능 모듈 채택 패킷을 필터링 기술 상태 검출, 효과적으로 액세스 하 고 많은 종류의 네트워크 개체를 모니터링 하 고 수 있는 네트워크에 대 한 효율적이 고 안정적인 보안을 제공 한다.

중앙 집중식된 보안 정책 관리 중앙에서 관리 하 고 전체 VPN 네트워크에 대 한 보안 정책을 구성할 수 있습니다.

5.3 보안 이메일

전자 메일 인터넷에 표시 되는 초기 응용 프로그램 중 하나입니다. 네트워크의 급속 한 발전으로 전자 메일의 사용이 되고있다 점점 더 광범위 하 게는 사람들이 의사 소통 하는 중요 한 도구가 되고있다. 그러나, 네트워크의 개방 및 메일 프로토콜의 단점, 이메일에 보안 위험을 많이 있다.

현재 널리 사용 되는 전자 메일 클라이언트 소프트웨어 S/MIME (보안 다목적 인터넷 메일 확장) 등의 PEM (개인 정보 보호 향상 된 메일) 및 MIME은 OUTLOOK에서 지 원하는 (인터넷 메일에 대 한 표준 첨부) 개발. 우선, 인증 메커니즘의 인증 기관 계층 구조에 의존, 조직 및 개인 인증서의 모든 다음 단계로 인증 조직 최상위 수준과 가장 서로 인증 사이 조직 (루트 인증서)의 수준에 의해 전체 신뢰 관계는 기본적으로 같은 나무. 둘째, S/MIME는 편지의 내용을 암호화 하 고 특별 한 첨부 파일로 전송 합니다. 편지의 내용의 보안을 보장 합니다.

5.4 데스크톱 보안 보호

기업 정보 보안에 위협이 아니라 기업 내부에서 기업 네트워크 외부에서 뿐만 아니라 온다. 초기 보안 세계에서 데이터는 거의 네트워크 보안 사고의 80%에서 나온 기업 내에서 보여주었다. 같은 시간에 내부 직원 때문에 범죄는 종종 이러한 보안 대상, 기업 비밀 및 특허 정보 도용, 금융 사기, 등, 그래서 더 심각한 기업에 위협. 관리 및 데스크톱 컴퓨터의 모니터링 줄이고 내부 위협을 제거 하는 효과적인 수단 이다.

데스크톱 보안 시스템 통합 전자 서명, 파일 암호화 응용 프로그램 및 보안 로그인으로 해당 스마트 카드 관리 도구 클라이언트 쪽 보안에 대 한 전체적인, 전체 론 접근을 형성 합니다.

1) 전자 서명 시스템

비대칭 키 시스템 무결성 및 문서 부인 방지를 보장 하는 데 사용 됩니다. 구성 요소 기술, 오피스 시스템, 사용자가 그들을 편집한 후 문서를 서명할 수 있거나 그들은 문서를 열고 문서의 저자를 볼 때 문서의 무결성을 확인을 완벽 하 게 포함할 수 있습니다.

2 보안 로그인 시스템

보안 로그인 시스템 시스템 및 네트워크 로그인 인증을 제공합니다. 사용 후, 지정 된 스마트 암호 키를 가진 사람만 컴퓨터와 네트워크에 로그온 할 수 있습니다. 사용자는 컴퓨터를 떠날 경우, 그냥 스마트 키를 분리 하 고 컴퓨터를 잠글.

3 파일 암호화 시스템

파일 암호화 응용 프로그램 시스템 데이터의 안전한 저장을 보장합니다. 지능형 암호 키에 키를 저장 하기 때문에 암호화 알고리즘 사용 하 여 국제 표준 보안 알고리즘 또는 국가 암호 관리 조직 이렇게 저장 된 데이터의 보안을 보장 하는 보안 알고리즘을 지정 하려면.

5.5 id 인증

Id 인증 컴퓨터와 네트워크 시스템 운영자의 id를 확인 하는 프로세스를 말합니다. PKI 기반 신원 인증 방법 편리의 일종 이며 보안 id 인증 기술은 최근 몇 년 동안에서 개발. 하드웨어 및 소프트웨어, 강력한 이중 요소 인증 모드, 보안 및 사용 용이성 사이의 모순에 좋은 솔루션의 조합 이다. USB 열쇠는 USB 인터페이스 하드웨어 장치, 그것은 내장 된 단일-칩 또는 스마트 카드 칩, 사용자의 키 또는 디지털 인증서를 사용자 id 인증을 달성 하기 위해 USB 키 내장 암호 알고리즘의 사용을 저장할 수 있습니다.

PKI 기반으로 USB 키의 솔루션 뿐만 아니라 id 인증 기능을 제공할 수 있습니다. 하지만 또한 사용자의 중앙된 관리 및 인증 시스템, 응용 프로그램 보안 구성 요소, Client Security 구성 요소 및 특정 레벨 관계 및 따라서 위의 id 인증을 실현 하는 논리 연결을 통해 인증서 관리 시스템의 구성 된 포괄적인 보안 기술 시스템을 구성할 수 있습니다. 권한 부여 및 액세스 제어, 보안 감사, 기밀성, 무결성 및 부인 방지 데이터의 일반 요구 사항.

6 조직 및 프로그램의 구현

네트워크 및 정보 보안 예방 시스템의 세 부분으로 구성 되어 과정: 공격, 공격 및 공격 후 응답 하는 동안 경고 하기 전에 경고. 보안 관리 전체 과정을 통해 실행 됩니다. 네트워크 및 정보 보안 시스템 모델 흐름 뿐만 아니라 보안 예방의 동적 과정에 설명 하지만 또한이 시스템의 구현에 대 한 참조를 제공 합니다.

따라서, 프로젝트의 구현 이외에 다음과 같은 작업에 급여 받아야 한다 조직 및 프로그램의 구현에 관심:

(초기 위험 분석의 기초 1)에 파티를 구현 하는 프로그램, 요구를 파악을 대상 기술 솔루션 및 투자 수익 되도록 더 위험 평가 수행 한다.

(2) 비상 대응 및 사고 복구 기술 프로그램, 주요 보안 문제에 대응 하는 능력을 향상 시키기 위해 전문 회사의 보안 서비스의 도움으로, 필요한 경우의 일환으로.

(3) 계획 큰 투자와 넓은 범위를, 있으며 실제 상황에 따라 subregional 고 단계적 방식으로 구현 될 수 있습니다.

(4) 동시에 프로그램의 구현에서에서 정보 보안의 일상 업무는 더 제도화 하 고 표준화 규칙 및 규정, 건설, 기술 규범 강화.

7 결론

이 종이 걸립니다 예를 들어 회사, 네트워크 보안의 현재 상황을 분석 하 여, 기존 위험 지적 다음 솔루션, 전반적인 네트워크 보안 관리에 독립 실행형 시스템의 보안에서 규칙 및 규정의 완벽 하 게 기술적인 의미의 개선에서 모든 측면을 다루는의 완전 한 세트를 앞으로 둔다. 계획은 실현 하기 쉽고 쉬운 기술적인 의미와 운용성, 배포 하 고 그것은 많은 산업에 대 한 네트워크 보안 솔루션을 제공 합니다.

우리는 또한이 프로그램의 구현을 통해 우리가 수 있는 더 나은 정보 보안 시스템 구축, 공격 및 위협, 최소 수준에 대 한 위험의 모든 측면에서 정보 시스템을 효과적으로 방지를 바랍니다.