《公司信息网络安全集成方案》由会员分享,可在线阅读,更多相关《公司信息网络安全集成方案(48页珍藏版)》请在金锄头文库上搜索。
1、XXX 公司信息安全方案目 录第一部分 XXX 公司安全方案 .3第一章 网络安全需求分析 .3一. 当前网络状况 .3二、安全需求分析 .3第二章 安全解决方案 .7一. 设计方案总目标 .7二设计方案指导思想 .7三方案部署结构设计 .9四网络安全改造设计 .10五防火墙子系统设计 .11六网关安全子系统设计 .14七. 网络行为管理解决方案 .16八内网 ARP防护解决方案 .19九网络运维管理系统解决方案 .21十网站防篡改、防攻击解决方案 .30十一. 反垃圾邮件方案 .34十二. 内网桌面行为管理方案 .36十三. 主机加固方案设计说明 .40十四. 信息安全评估方案设计说明 .4
2、2第三章 项目资金预算分析 .46附件 .48XX公司简介 .48第二部分 网络安全概述 .49第一章 网络安全体系的基本认识 .49第二章 网络安全技术概述 .54一. 虚拟网技术 .54二. 防火墙枝术 .55三. 病毒防护技术 .60四. 入侵检测技术 .61五. 安全扫描技术 .63六. 认证和数宇签名技术 .64七. VPN技术 .65八. 应用系统的安全技术 .67第一部分 XXX 公司安全方案第一章 网络安全需求分析一. 当前网络状况网络拓扑示意图二、安全需求分析网络安全总体安全需求是建立在,对网络安全层次分析基础上确定的。依据网络安全分层理论,根据 OSI七层网络协议,在不同层
3、次上,相应的安全需求和安全目标的实现手段各不相同,主要是针对在不同层次上安全技术实现而定。对于以 TCP / IP为主的 XXX公司网来说,安全层次是与 TCP/IP网络层次相对应的,针对 XXX公司网的实际情况,我们将安全需求层次归纳为网络层和应用层安全两个技术层次,同时将在每层涉及的安全管理部分单独作为分析内容,具体描述如下:网络层需求分析网络层安全需求是保护网络不受攻击,确保网络服务的可用性。首先,作为 XXX公司网络同 Internet的互联的边界安全应作为网络层的主要安全需求: 需要保证 XXX公司网络与 Internet安全互联,能够实现网络的安全隔离; 必要的信息交互的可信任性;
4、 要保证 XXX公司网络不能够被 Internet访问; 同时 XXX公司网络公共资源能够对开放用户提供安全访问能力; 能够防范来自 Internet的包括: 利用 Http应用,通过 Java Applet、ActiveX 以及 Java Script形式; 利用 Ftp应用,通过文件传输形式; 利用 SMTP应用,通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于 XXX公司网络的侵害; 对网络安全事件的审计; 对于网络安全状态的量化评估; 对网络安全状态的实时监控; 防范来自 Internet的网络入侵和攻击行为的发生,并能够做到: 对网络入侵和攻击的实时鉴别; 对网络入侵和攻击的预
5、警; 对网络入侵和攻击的阻断与记录;其次,对于 XXX公司网络内部同样存在网络层的安全需求,包括: XXX公司网络与下级分支机构网络之间建立连接控制手段,对集团网络网提供高于网络边界更高的安全保护。应用层需求分析建设 XXX公司网的目的是实现信息共享、资源共享。因此,必须解决 XXX公司网在应用层的安全。应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全需求。因此,在这里主要针对各局域网内的应用的安全进行讨论,并就建设全网范围内的应用系统提出我们的一些建议。应用层的安全需求是针对用户和网络应用资源的,主要包括: 合法用户可以以指定的方式访问指定的
6、信息; 合法用户不能以任何方式访问不允许其访问的信息; 非法用户不能访问任何信息; 用户对任何信息的访问都有记录。要解决的安全问题主要包括: 非法用户利用应用系统的后门或漏洞,强行进入系统。 用户身份假冒:非法用户利用合法用户的用户名,破译用户密码,然后假冒合法用户身份,访问系统资源。 非授权访问:非法用户或者合法用户访问在其权限之外的系统资源。 数据窃取:攻击者利用网络窃听工具窃取经由网络传输的数据包。 数据篡改:攻击者篡改网络上传输的数据包。 数据重放攻击:攻击者抓获网络上传输的数据包,再发送到目的地。 抵赖:信息发送方或接收方抵赖曾经发送过或接收到了信息。一般来说,各应用系统,如 数据库
7、、Web Server自身也都有一些安全机制,传统的应用系统安全性也主要依靠系统自身的安全机制来保证。其主要优点是与系统结合紧密,但也存在很明显的缺点: 开发量大:据统计,传统的应用系统开发中,安全体系的设计和开发约占开发量的三分之一。当应用系统需要在广域网运行时,随着安全需求的增加,其开发量占的比重会更大。 安全强度参差不齐:有些应用系统的安全机制很弱,如数据库系统,只提供根据用户名/口令的认证,而且用户名/口令是在网络上明文传输的,很容易被窃听到。有些应用系统有很强的安全机制,如 Notes,但由于设计、开发人员对其安全体系的理解程度以及投入的工作量,也可能使不同的应用系统的安全强度会相去
8、甚远。 安全没有保障:目前很多应用系统设计、开发人员的第一概念是系统能够运行,而不是系统能够安全运行,因此在系统设计、开发时对安全考虑很少,甚至为了简单或赶进度而有意削弱安全机制。 维护复杂:每个应用系统的安全机制各不相同,导致很多重复性工作(如建立用户帐号等) ;系统管理员必须熟悉每个应用系统独特的安全机制,工作量成倍增加。 用户使用不方便:用户使用不同的应用系统时,都必须做相应的身份认证,且有些系统需要在访问不同资源时分别做授权(如 IIS Web Server是在用户访问不同的页面时输入不同的口令,口令正确才允许访问) 。当用户需要访问多个应用系统时,会有很多用户名、口令需要记忆,有可能
9、就取几个相同的简单口令,从而降低了系统的安全性。综上,我们建议在建设 XXX公司网应用系统时,采用具有以下功能的商品化的应用层安全产品作为安全应用平台。 安全应用平台自身的安全机制必须是系统的、健壮的,以免因为各种应用系统安全机制参差不齐而导致系统不安全的现象出现。 安全应用平台可以集中对各种第三方应用系统进行安全管理,包括用户注册、用户身份认证、资源目录管理、访问授权以及审计记录,以减少重复劳动,减轻系统管理人员的工作负担。 安全应用平台具有可伸缩性,并且安全可靠。安全管理需求分析如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于 XXX公司网来说就至关重要了。安全管
10、理主要包括三个方面: 内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的 ACL设置正确,其配置不允许被随便修改。网络层的安全管理可以通过网管、防火墙、安全检测等一些网络层的管理工具来实现。 应用安全管理:应用系统的安全管理是一件很复杂的事情。由于各个应用系统的安全机制不一样,因此需要通过建立统一的应用安全平台来管理,包括建立建立统一
11、的用户库、统一维护资源目录、统一授权等。第二章 安全解决方案一. 设计方案总目标 实现xxx公司网内办公环境的稳定运行; 实现xxx公司会主动式的,整体的计算机病毒防御体系; 实现xxx公司整体网络内部安全体系的构建; 实现xxx公司整体网络行为审计与监控; 实现网络结构安全性改造,以使之增强网络内部病毒攻击的抵抗能力和优化性能; 实现对网络中所有设备进行统一的配置、管理和维护二设计方案指导思想2.1 总体建设推进原则xxx公司信息安全工程建设采用当前分步建设完成的方式。2.2 方案细节设计原则 有效性方案的设计坚持有效性原则,保障按照方案进行安全项目实施后,可以按照设计的原有目标有效的实现。
12、能够通过方案中的设备、软件、服务有效的、有针对性的解决问题,保障方案的实施效果; 连续性方案的设计要重点强调连续性设计原则,安全问题的变化是快速的,目前,没有任何领域的知识和状态要比信息安全领域变化的更加快速,因此,方案的设计必需保障连续性的根本原则。无论是信息安全评估还是计算机病毒防御系统,都需要在动态中寻求解决办法和不断地增强用户网络的安全能力。安全隐患是随着时间的变化而不断的增加的,必须按照月、季度、年为单位,采用不同等级的安全性检测和安全管理、安全制度的调整,才可以达到预计的目标,才是切实有效的满足用户单位信息安全需求; 合理性根据信息安全评估的结论,根据用户的实际情况,编录出用户急需解决的安全隐患和用户可以暂时接受的安全风险。尽量利用用户单位
