企业安全解决方案模板.doc

《企业安全解决方案模板.doc》由会员分享，可在线阅读，更多相关《企业安全解决方案模板.doc（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业安全解决方案模企业安全解决方案模 板板 北北京京天天融融信信科科技技有有限限公公司司 2 20 01 15 5年年6 6月月 目目 录录 第一章第一章 前言前言.3 3 1.1 背景 .3 1.2 项目概述 .3 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 .5 5 2.1 信息安全体系设计原则 .5 2.2 信息安全体系结构分析 .6 2.2.1 安全服务模型 .7 2.2.2 协议层次安全模型 .7 2.2.3 安全实体单元 .8 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 .1010 3.1 XX

2、 企业网络安全现状及威胁分析.10 3.1.1 内部网络与 Internet 互联的安全威胁 .11 3.1.2 来自内部网络的安全威胁 .11 3.1.3 系统的安全风险分析 .13 3.1.4 病毒对 XX 企业网络安全运营的安全威胁 .14 3.1.5 安全服务体系不健全的威胁 .14 3.2 XX 企业安全需求.14 3.2.1 防病毒体系需求 .14 3.2.2 强制性网管软件需求 .15 3.2.3 防火墙需求 .15 3.2.4 过滤网关需求 .16 3.2.5 入侵检测需求 .16 3.2.6 漏洞扫描需求 .16 3.2.7 安装需求 .16 第四章第四章 信息网络的安全方案

3、设计信息网络的安全方案设计.1717 4.1 安全管理 .17 4.2 安全防护 .17 4.3 安全监测 .17 4.4 病毒防护 .18 4.5 安全服务 .18 第五章第五章 XXXX 企业网络安全项目解决方案企业网络安全项目解决方案 .1919 5.1 XX 企业防火墙解决方案.19 5.1.1 XX 企业防火墙的部署.19 5.1.2 XX 企业防火墙的作用.23 5.2 XX 企业入侵检测方案.24 5.3 XX 企业漏洞扫描解决方案.26 5.4 XX 企业防病毒解决方案.27 5.4.1 网络版防病毒解决方案 .27 5.4.2 网关防病毒解决方案 .28 5.5 XX 企业安

4、全管理系统解决方案.29 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 3 总机：010-82611122 网址： 第一章第一章 前言前言 1.11.1 背景背景 随着近年来网络安全事件不断地发生，安全问题也已成为 IT 业的一个热点， 安全问题对于 XX 企业的发展也越来越重要。安全问题已经成为影响 XX 企业业 务平台的稳定性和业务的正常提供的一个问题，所以提升我们 XX 企业自身的安 全性也已经成为 XX 企业增强企业竞争力的重要方面之一。 XX 企业集团是国家重点支持的 520 家工业企业大型支柱产业集团之一。随 着信息技术的迅猛发展，XX 企业集团领导充分认识到网络安全建设的

5、重要性， 为了更好的开展生产、科研工作，决定对现有信息系统进行网络安全技术改造。 1.21.2 项目概述项目概述 本次信息安全项目包括 XX 企业集团下属企业、附属机构和分支机构的网络 安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度 的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造， 对网络整体的安全加固，所以在上新的系统时不能影响原有系统应用的整体性 能。 建立整体网络安全体系； 建设整体的防病毒体系，保证网络病毒不会由公司主干网传入专网，保证 远程 VPN 网络或用户的病毒不会传入公司主干网； 对于 INTERNET 上新病毒的反应、处理速度，比如

6、当时“震荡波”病毒，要 在“黄金响应”时间内通知如何防范和相应补丁，在没有扩散到大范围及时发 现病毒；如果内网存在病毒，能够对其定位，知道在哪个机器上，是哪种病毒， 能够清除并有相应的日志； 保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性； 能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源，上 了什么网站，要有分用户、分时间段、分服务类别的详细清单及统计报表； 强制性管理终端用户设备，并按照统一规划的不同策略管理不同的终端用 户设备或终端用户设备组； 能够及时觉知谁在攻击或在探测网络，并及时阻断攻击以及非法探测并有 详细的日志，在发生外部入侵进来时，必须及时报警并发邮件到

7、管理人员邮箱， 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 4 总机：010-82611122 网址： 并提供相应的策略； 对公司内网的安全能够做到：谁在用非法手段扫描、攻击服务器或别人的 机器，谁私自改 IP 地址，新的机器接入内网或非法上外网，不能随便安装、卸 载软件等等。对这些违反规定的机器要有相应的日志，并可以进行阻断； 对本公司内的生产子网要做好安全隔离，即使 XX 企业主干网上有病毒在传 播但不能传到该子网中去，该子网只保留一些必要的数据通讯端口与主干网络 通讯，其他端口必须屏蔽掉。 评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施，当前发 现的所有漏洞得到弥补，

8、不能弥补的要有应急措施预案； 各种系统具备完善的日志及审计功能，可以追溯安全事件，可以按照不同 的方式出具各种报表； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 5 总机：010-82611122 网址： 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 2.12.1 信息安全体系设计原则信息安全体系设计原则 XX 企业信息安全保障系统涉及到整个工程的各个层次，网络和信息安全方 案的设计遵循以下原则： 整体安全 XX 企业信息安全保障系统的是一个复杂的安全系统工程，对安全的需求是 任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综合

9、 考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信 息网络和业务系统提供全方位安全服务。 有效管理 没有有效的安全管理（如防火墙监控、审计日志的分析等等） ，各种安全机 制的有效性很难保证。XX 企业信息安全保障系统所提供的各种安全服务，涉及 到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些安 全控制机制真正有效地发挥作用； 合理折衷 在 XX 企业信息安全保障系统的建设过程中，单纯考虑安全而不惜一切代价 是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的，安 全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的风 险范围内，以

10、最小的投资换取最大的安全性，同时不因性能开销和使用、管理 的复杂而影响整个系统高效运行的总体目标。 责权分明 采用分层、分级管理的模式：一方面，XX 企业信息系统可以分为三层：信 息网络、计算机系统和应用系统；另一方面，网络和应用系统都有中心、下属 等的分级结构。各级网络管理中心负责网络的安全可靠运行，为应用信息系统 提供安全可靠的网络服务，各级信息中心负责计算机系统和应用系统的安全管 理。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 6 总机：010-82611122 网址： 综合治理 XX 企业信息系统的安全建设是一个系统工程，信息网络的安全同样也绝不 仅仅是一个技术问题，各种安

11、全技术应该与运行管理。机制、人员的思想教育 与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。 2.22.2 信息安全体系结构分析信息安全体系结构分析 XX 企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安 全方案的设计必须以科学的安全体系结构模型为依据，才能保障整个安全体系 的完备性、合理性。 在信息网络安全体系结构的研究表明，想要从一个角度得出整个信息系统 完整的安全模型是很困难的。借鉴美国国防部 DISSP 计划中的安全框架，我们 提出了适合 XX 企业信息系统的安全体系结构模型。该模型由安全服务、协议层 次和系统单元三个层面描述，且在每个层面上，都包含安全

12、管理的内容。该模 型在整体上表现为一个三线立体框架结构。 信息网络安全体系结构 安全服务取自于国际标准化组织制订的安全体系结构模型 ISO7498，我们 在 ISO7498 的基础上增加了审计功能和可用性服务。 协议层次的划分参照 TCPIP 协议的分层模型。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 7 总机：010-82611122 网址： 系统单元给出了信息网络系统的组成。 安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。 安全管理涉及两方面的内容：各种安全技术的管理和安全管理制度。 2.2.12.2.1 安全服务模型安全服务模型 国际标准化组织所定义的安全体

13、系结构中包括五组重要的安全服务，这些 安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的，而且不 同的应用环境有不同的程度的要求，我们在图中给出了主要安全服务之间的逻 辑关系。 各种安全服务之间的逻辑关系 在不同的协议层次，实体都有主体和客体（或资源）之分：在网络层，对 主体和资源的识别以主机或协议端口为粒度，认证服务主要指主机地址的认证， 网络层的访问控制主要指防火墙等过滤机制；在应用系统中，主体的识别以用 户为粒度，客体是业务信息资源，认证是指用户身份认证和应用服务的认证， 访问控制的粒度可以具体到某种操作，如对数据项的追加、修改和删除。在开 放式应用环境中，主体与客体的双向认证

14、非常重要。 从这一模型可以得出如下结论：对资源的访问控制是安全保密的核心，而 对实体的（用户、主机、服务）认证是访问控制的前提。 2.2.22.2.2 协议层次安全模型协议层次安全模型 从网络体系结构的协议层次角度考察安全体系结构，我们得到了网络安全 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 8 总机：010-82611122 网址： 的协议层次模型，如图所示，图中实现上述安全服务的各种安全机制，并给出 了它们在协议层次中的位置。该模型与 OSI 体系结构一致。 协议层次模型 2.2.32.2.3 安全实体单元安全实体单元 在工程实施阶段，各种安全服务、各协议的安全机制最终要落实到

15、物理实 体单元。如图所示，从实体单元角度来看，安全体系结构可以分成以下层次： 物理环境安全。 端系统安全，主要保护网络环境下端系统的自身的安全。 网络通信安全，一则保障网络自身的安全可靠运行，保证网络的可用性； 二则为业务数据提供完整性、保密性的安全服务。 应用系统安全，为某种或多种应用提供用户认证、数据保密性、完整性 以及授权与访问控制服务等。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 9 总机：010-82611122 网址： 系统单元安全模型 其中，安全政策是制定安全方案和各项管理制度的依据，安全政策是有一 定的生命周期的，一般要经历风险分析、安全政策制定、安全方案和管理制度

16、 的实施、安全审计和后评估、四个阶段。 安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容 可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务 的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 10 总机：010-82611122 网址： 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网 络来获取和发布信息，处理和共享数据。但是网络协议本身的缺陷、计算机软 件的安全漏洞，对网络安全的忽

17、视给计算机网络系统带来极大的风险。实际上， 安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。 网络安全是一个体系工程，如果把 XX 企业网络信息系统划一个边界的话， 未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。 3.13.1 XXXX 企业网络安全现状及威胁分析企业网络安全现状及威胁分析 XX 企业集团现有信息网络覆盖 10 平方公里之内的各个下属钢铁企业、附 属机构和分布在异地的远程分支机构。到目前为止，共有终端用户 1000 余个， 其中包含各种服务器 30 台。网络设备基本采用 CISCO 系列产品，主干网络交换 机近 100 台。整个网络拥有 1

18、00M 的因特网出口。 Interne t E-MAIL转发服务器转发服务器 Proxy AAACisco364 0 防火墙防火墙pix 2950- 12 3500G- 24 小型机小型机 SUNFIRE4800 Catalyst650 6 Catalyst650 6 Catalyst400 6 Catalyst400 6 2950G-24 2950G- 24 2950G-48 生产子网生产子网1 2950G- 24 2950- 12 2950- 12 VPN及移动上网卡及移动上网卡 3550G-12T 终端服务器终端服务器 计量服务器计量服务器 E-mail服务器服务器 3548G 2m数字

19、电路数字电路 三个分厂三个分厂 生产子网生产子网2 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 11 总机：010-82611122 网址： 下面主要针对 XX 企业的信息系统，列出可能面临的主要安全威胁为： 3.1.13.1.1 内部网络与内部网络与 InternetInternet 互联的安全威胁互联的安全威胁 与 Internet 相连，如果没有边界防护将是危险的。 XX 企业内部网络与 Internet 如果不采取安全防护措施，这样内部网络 很容易遭到来自于 Internet 中可能的入侵者的攻击。如： 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存 在的安

20、全漏洞，如网络 IP 地址、应用操作系统的类型、开放哪 些 TCP 端口号、系统保存用户名和口令等安全信息的关键文件 等，并通过相应攻击程序对内网进行攻击。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口 令等信息，进而假冒内部合法身份进行非法登录，窃取内部网 重要信息。 恶意攻击：入侵者通过发送大量 PING 包对内部网重要服务器进 行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪 在 Internet 上爆发网络蠕虫病毒的时候，如果内网的边界处没 有访问控制设备对蠕虫病毒在第一时间进行隔离，那么蠕虫的 攻击将会对网络造成致命的影响。 分支机构通过 Internet 与总公司进行

21、通讯的安全威胁 在 Internet 上传输的公司内部数据，会面临被读取，被篡改， 被冒名的安全威胁，所以需要对数据的源发性、数据的机密性、 数据的完整性进行验证。 在分支机构与总部的 VPN 网关建立隧道以后，如果分支机构的 计算机遭到病毒或黑客的入侵，同样将会对 XX 企业的内网造成 安全威胁。 3.1.23.1.2 来自内部网络的安全威胁来自内部网络的安全威胁 核心交换机如果没有访问控制，就不能抵御日益严重的网络攻击 XX 企业内部系统基本是一个三层互联的网络，核心交换机的设计如 果可以实现内部网络之间的访问控制。即使在交换机上可以通过配置提 供一些安全保证，但是其强度是不足的。现在的黑

22、客攻击工具在网络上 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 12 总机：010-82611122 网址： 泛滥成灾，任何一个稍微有点计算机操作能力的人员都可以利用这些工 具进行攻击。同时，由于内部人员比较熟悉系统的情况，其攻击行为更 容易取得成功。据权威数据表明，有 97的攻击是来自内部攻击和内 外勾结的攻击，而且内部攻击成功的概率要远远高于来自于外部网络的 攻击，造成的后果也严重的多。 而且 XX 企业的网络很庞大，覆盖面积广，内部人员复杂，不同的 网络区域对于内网的应用系统都会构成安全威胁。具体表现在：首先是 XX 企业内部任何区域的安全级别都要低于两台重要的 ERP 服务器

23、，也 是就其他的网段和区域都会对两台 ERP 服务器造成威胁；其次是棒材和 炼钢生产子网；炼钢大高炉生产子网；矿业公司和二化子网；电话站专 网。这些专网之间都需要进行访问控制。 服务器区的安全威胁，缺少入侵监测设备 XX 企业的内部服务器组存有很多重要的数据，这些数据是不能丢 失或损坏的，因此一定要对这些服务器进行重点保护，防止这些数据被 篡改和窃取。在该网络结构中，各重要的服务器和主机都将是通过核心 交换机直接与其他子网连接的，并且这些服务器区的边界如果没有任何 访问控制产品和监控设备，内部人员对这些服务器可以很容易实施攻击。 网络节点变化的隐患 在 XX 企业集团网络系统中，预留了一些空节

24、点以备人员扩充时使 用，若有非法人员利用这些节点接入后，就可以直接连入 XX 企业集团 的网络中，并且能与网络中的数据库服务器物理连接。此时，该人员 就可以非常方便地通过一些非法的工具和手段来随意攻击网络上的数 据库服务器和其他客户端主机、盗取网络上的一些关键数据以及获取 当前比较详细的 XX 企业集团整体网络情况为以后更致命的攻击做好准 备，然而网络管理员并没有一个有效的方法来实时了解网络中各节点 的情况，控制这些网络节点的变化，因此给整个 XX 企业集团的网络系 统造成极大的威胁。 非法访问的危害 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 13 总机：010-82611122

25、网址： XX 企业集团的网络是一个多应用多连接的系统，虽然目前已经存在 一些常用的访问控制手段：所有用户在访问服务器时都必须输入正确 的用户名和口令等，但是这样的网络结构利用传统的网络管理措施难 以实现有效的访问控制。对于网络中没有访问其他网段主机权限的用 户来说，当要对其他网段上主机发动攻击时，其情况类似于外部网络 的攻击。但是与外部网络的攻击者相比，内部攻击者对网络结构了解 的更加细致，而且更容易窃取用户登录所需资料，所以非法访问更易 成功。如某台非法主机在经过相关的配置后就可以与网络中的数据库 服务器和其他客户端主机进行 TCP/IP 通信。这样就能够通过仿冒合法 用户或通过其他黑客工具

26、对客户端甚至关键的数据库服务器进行非法 通信和数据访问，这将给 XX 企业集团带来严重的危害。 非法应用的威胁 XX 企业集团系统中有许多的应用在实时地使用着，尤其是数据库和 工业控制的应用。但网络管理员并没有一个有效方法来监控这些应用 的使用，然而多数的木马程序都是以注入内存的方式来调用一些非法 应用与黑客通信的。若此时有一台开发客户端主机中了木马程序，在 正常访问服务器的过程中就可能通过这一非法应用程序将访问服务器 的账号、口令以及访问方式都泄露给黑客，黑客就能通过获取的信息 堂而皇之地登录到该应用服务器上，并能在该服务器上也启动一些非 法的应用服务，帮助黑客完全地控制服务器。 3.1.3

27、3.1.3 系统的安全风险分析系统的安全风险分析 如果没有漏洞扫描和安全评估机制，将不能及时地填补网络漏洞 所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操 作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以 及其它厂商开发的应用系统，其开发厂商必然有其 Back-Door。而且系 统本身必定存在安全漏洞。这些后门或安全漏洞都将存在重大安全隐 患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的 应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏 洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置， 比如，填补安全漏洞，关闭

28、一些不常用的服务，禁止开放一些不常用而 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 14 总机：010-82611122 网址： 又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要 相当高的技术水平及相当长时间。 3.1.43.1.4 病毒对病毒对 XXXX 企业网络安全运营的安全威胁企业网络安全运营的安全威胁 外部外部 XX 企业与 Internet 有直接通道，会受到来自专网以 HTTP、SMTP、FTP 等数据流为载体的潜在病毒的威胁。 内部内部 局域网中的工作站及文件服务器都会受到病毒的感染，病毒的 攻击方式多种多样，有通过局域网传播、传统介质(光盘、软盘、USB

29、 硬盘等)传播等等，一旦受到感染，便会迅速传播，会给日常的工作和 生产带来极大的威胁。 网络带宽网络带宽 高速传播和具有网络攻击能力的病毒，能占用有限的网络 带宽，导致网络瘫痪。CodeRed，冲击波以及 Mydoom 就是典型导致网络 瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。 间接损失间接损失 病毒造成的间接损失可能更大，病毒造成的事故对企业的 影响是直接导致企业信息资产损失，可能影响生产运营。 3.1.53.1.5 安全服务体系不健全的威胁安全服务体系不健全的威胁 一个网络的安全，不是仅靠一种安全产品就能保障的，是需要多种安全产 品共同维护的。如今的网络攻击和网络漏洞日益

30、严重，它需要网络管理人员具 有快速的响应机制。如果没有一个完善的安全服务体系，将尽可能多的安全产 品统一来维护，面对突如其来的网络攻击，XX 企业可能将面临巨大的损失。同 时，众多品牌的安全产品采购，也将对 XX 企业的网络的维护带来不便。 3.23.2 XXXX 企业安全需求企业安全需求 3.2.13.2.1 防病毒体系需求防病毒体系需求 自动安装客户端软件； 自动更新、分发客户端软件及病毒库； 网络中布置了多少台机器，还有多少台未安装防病毒软件； 客户端软件、病毒库版本是否为最新，病毒防护或发作信息； 客户端软件不允许随意卸载； 网络中那些病毒在传播； 地址：北京市海淀区知春路 49 号希

31、格玛大厦 4 层 15 总机：010-82611122 网址： 3.2.23.2.2 强制性网管软件需求强制性网管软件需求 网络上有哪些交换机，有哪些计算机； 网络拓扑结构，交换机如何互联，每台交换机接了那些终端； 网络性能管理、流量管理、故障管理、日志管理； 资产信息收集与管理； 管理制度制订、落实； 客户端软件不允许随意卸载； 远程管理与控制； 软件分发； 操作系统补丁分发、安装； 管理中心； 网络设备的软件升级（IOS 升级至最高版本） ； 3.2.33.2.3 防火墙需求防火墙需求 支持双机热备份功能，切换时间不超过 3 秒； 因特网出口（现状：100M） ，支持 VPN 功能，能够与

32、 VPN 网关协调一致 工作，移动用户能够利用操作系统自带的 VPN 连接、通过 cisco 公司 ACS 3000 验证用户进入公司内网； 北京分公司（现状：Adsl） ，利用 VPN 网关与公司因特网出口防火墙建 立 VPN 连接进入公司内网； 北京库房(现状：华为路由器，128K DDN) ，利用 VPN 网关与公司因特 网出口防火墙建立 VPN 连接进入公司内网； 两台 ERP 小型机（每台小型机配置：双千兆短波多模光纤网卡，防火 墙采用桥接模式） 棒材生产子网、炼钢生产子网（百兆） 炼钢大高炉生产子网（千兆长波单模光纤） 矿业公司(2 条 2M 数字电路，连入电话站交换机)、二化(1

33、 条 2M 数字 电路，连入电话站交换机) 电话站专网 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 16 总机：010-82611122 网址： 3.2.43.2.4 过滤网关需求过滤网关需求 因特网（现状：100M）入口，必须至少支持 4 种 Internet 协议： SMTP、POP3、HTTP、FTP，并具有日志以及日志分析功能； 3.2.53.2.5 入侵检测需求入侵检测需求 内网关键区域及因特网（现状：100M）出口，具有安全审计功能； 3.2.63.2.6 漏洞扫描需求漏洞扫描需求 定期挂接到网络中，对当前网络上的重点服务器（如 WEB 服务器、邮件服 务器、DNS 服务

34、器、主域服务器等）以及主机进行一次扫描，得到当前系统中 存在的各种安全漏洞，并有针对性地提出补救措施报告； 3.2.73.2.7 安装需求安装需求 所有安全产品布置在项目附带的机柜内，并且在机柜内配置 2 台 32 口自动 多电脑切换器，配置相应的键盘、光电鼠标、显示器及线缆； 安全设备要有管理口，便于管理，降低安全产品本身的安全威胁，要有分 权管理，管理与审计权限分开； 要保证系统服务器、生产专网的高可用性、抗攻击性； 制定详细的实施计划，明确双方责任，专业技术工程师、制度管理师按照 实施计划布置实施符合 XX 企业管理需求的安全策略、制定符合 XX 企业管理需 求的制度体系； 各个系统协调

35、一致工作，不能出现软件或硬件冲突； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 17 总机：010-82611122 网址： 第四章第四章 信息网络的安全方案设计信息网络的安全方案设计 4.14.1 安全管理安全管理 环节分析：环节分析： 主要是指 XX 企业集团要设备管理、人员管理、策略管理等； 目前 XX 企业集团尚无一套完善的网络安全管理体系，我们要建立通过 一定的国际标准来建立建设管理体系。 需求建议需求建议： XX 企业集团信息网需要对全网所有设备和终端用户进行管理。负责管理计 算机的技术人员和一般计算机使用人员，依靠一定的安全技术和手段和一些好 的管理办法，制定一些切实可

36、用的网络安全策略，来建立 XX 企业集团信息网的 安全管理体系。另外建议应用强制性的网管系统对网络设备和客户端进行管理。 4.24.2 安全防护安全防护 环节分析环节分析: : 该环节的包括访问控制、保密性、完整性、可用性、不可否认性。该环 节主要依靠一些相关的技术手段来实现。访问控制主要依靠防火墙技术、 划分 Vlan 技术身份认证技术等方式来实现； 保密性、可用性、不可抵赖性：主要包括一些信息保密手段，例如使用 VPN 技术、采用加密软件、或者应用 CA 证书保证数据的安全防护等。 防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。 需求建议需求建议: : 安全保护围很广涉及的技

37、术也较多，对于 XX 企业集团信息网目前最需要的 防护手段是对全网的防护，使用防火墙、防病毒技术和入侵检测，在此基础上 建议加强对 XX 企业集团数据中心信息网的防护体系建设。对分支机构建议采用 VPN 网关建立隧道。 4.34.3 安全监测安全监测 环节分析环节分析: : 主要是指实时监测、风险评估、系统加固、漏洞修补等； 实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件，系 统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 18 总机：010-82611122 网址： 系统漏洞情况及时采取必要的措施。 需求建议需

38、求建议： 对于 XX 企业集团信息网目前尚无任何网络安全监测措施，对于发生的网络 安全问题需要有效的监测手段；对于全网的风险评估需要建立相应的评估制度； 对于系统加固和漏洞修补需要固定的工作流程和漏洞发现和加固计划。 4.44.4 病毒防护病毒防护 环节分析：环节分析： 主要针对全网 1000 多台主机和 30 多台服务器进行病毒防护。对网络的 边界及接入点进行病毒的监控。 需求建议需求建议： 目前 XX 企业集团急需一套网络版的防病毒软件覆盖整个网络。在网关处建 议配置防病毒网关。 4.54.5 安全服务安全服务 环节分析：环节分析： 一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关

39、安全手 段，如何去建设网络安全系统？如何去使用网络安全系统？以及出现安 全问题如何去应对？是一般网使用者非常关心的问题。究竟解决以上问 题呢？我们认为专业的事情要交给专业的人来做。 需求建议需求建议： 在 XX 企业集团信息网构建一个良好的安全系统的时候我们要有责任建议 XX 企业集团不要忽略安全公司所提供的前期、中期、后期所需的各种保障服务。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 19 总机：010-82611122 网址： 第五章第五章 XXXX 企业网络安全项目解决方案企业网络安全项目解决方案 5.15.1 XXXX 企业防火墙解决方案企业防火墙解决方案 5.1.15.1

40、.1 XXXX 企业防火墙的部署企业防火墙的部署 根据 XX 企业集团系统的安全现状和风险分析，我们在该网中建立防火墙子 系统。有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。 信息化的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中 对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要 的作用，防火墙体系的建立直接关系到了系统能否正常运行，体系是否完善； 关系到了系统是否能够对非法访问进行有效的防范。 在 XX 企业集团网络系统中我们建立防火墙子系统的主要目标:逻辑隔离 XX 企业集团系统内网与 Internet；保护两台重要的 ERP 服务器；对棒材和

41、炼钢生 产子网进行防护；对炼钢大高炉生产子网进行防护；对矿业公司和二化子网进 行防护；对电话站专网进行防护。以上这些专网和生产子网他们和 XX 企业集团 内网之间都需要进行访问控制。我们建议在 XX 企业集团内网和 Internet 接入 设备之间配置一台天融信网络卫士千兆防火墙 NGFW4000-UF-VPN(E)，作为访问 控制设备。通过此设备除了进行访问控制而且还与远端的分支机构建立隧道， 在远端北京分公司和北京库房也配置了天融信的 VPN 网关。对于 XX 企业移动的 用户建议在单台计算机或笔记本上安装天融信 VPN 客户端软件，同样可以与总 部的 NGFW4000-UF-VPN(E)

42、建立隧道，实现数据的安全传输。拓扑结构如下图所 示： 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 20 总机：010-82611122 网址： 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 21 总机：010-82611122 网址： 由于 XX 企业集团 ERP 系统承载着企业大量的重要数据信息，因此必须通过 防火墙的访问控制过滤技术对非授权的用户进行严格地控制和防护。若严格地 采取物理隔离措施，固然可以做到系统的访问控制绝对安全，但是对于通过间 接的物理访问而造成的病毒危害则很难防范（病毒库很难及时升级） ，而且对整 个信息系统的自动化和工作效率不能有效地保证。届时，可以

43、通过防火墙系统 开放 ERP 系统的许可访问权限，其他不相关地访问用户则被严格禁止。目前 XX 企业在整体网络安全防范的情况下，着重对 ERP 的服务器进行安全防护。建议 在两台 SUN 服务器和核心交换之间部署防火墙，具体的连接方式如下图所示： 两台 SUN 的服务器做 CLUSTER，共映射两个浮动 IP，分别是应用和数据库， 两台 SUN 的服务器互为备份。我们建议在 SUN 服务器和核心交换之间加入天融 信的千兆防火墙 NGFW4000-UF，同时设定规则，只允许特定的 ERP 应用到达 SUN 服务器。经过在 XX 企业的测试，天融信的防火墙能够稳定应用在此网络结构下。 其中，最重要的技术是目前在国内的防火墙当中只有天融信支持的 Spanning Tree 的算法。如上图所示，XX 企业集团的核心网络是典型的二层备份方案，中 心两台 Catalyst6509 核心交换机，之间启用 Trunk 和 FEC 协议，下连的交换机 通过双链路分别连接两台核心交换机，通过生成树协议实现备份。Solaris 服 务器也