《网络安全解决方案》由会员分享,可在线阅读,更多相关《网络安全解决方案(9页珍藏版)》请在金锄头文库上搜索。
1、网络安全系统设计规划书第 1 页 *信信息息中中心心网网络络安安全全 系系统统方方案案书网络安全系统设计规划书第 2 页 由于贵单位的网络系统比较宠大,硬件设施不太完善,我们经过深思熟虑后,帮助介绍南京的网络安全公司来和你们磋商,考虑到以下几个问题:1、整个网络系统(服务器,客户机)中毒或还有其它问题尚未明确,如果是服务器需要对数据方面进行操作,我们需要专业技术人员进行诊断并排除。2、为了不影响交警系统的整体运作,我们采用局部断网的原则来操作。3、为了使病毒能够得到有效的控制,我们需要在原有的设备基础上采用加载新设备,使我们的工作一劳永逸。4、希望贵单位干警把自己电脑里的数据备份,提供我们所需
2、要的信息。5、因为没有看到贵单位的网络拓扑和硬件设备产品,我们需要进一步的确认,以下我们给贵单位的一份大概的可行性方案。具体的实际情况,还需沟通和协商。一、中心网络安全方案设计 1、安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险;通过部署不同类型的安全产品,实现对不同层次、不同类别
3、网络安全问题的防护;使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制;其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 2、防火墙系统设计方案 网络安全系统设计规划书第 3 页 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客“攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供
4、对外服务,就会面临着“黑客“各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性
5、和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果
6、内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于 NETBIOS 文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客“工具造成严重破坏。 3、入侵检测系统 网络安全系统设计规划书第 4 页 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做
7、出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。 在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。 需要说明的是,IDS 是对防火墙的非常有
8、必要的附加而不仅仅是简单的补充。 二、政府安全系统技术方案 1、防火墙安全系统技术方案 政府局域网是应用的中心,存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。 所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁,尤其是可能通过广域网上的工作站直接攻击服务器。因此,必须将中心与广域网进行隔离防护。考虑到效率,数据主要在主干交换机上流网络安全系统设计规划书第 5 页 通,通过防火墙流入流出的流量不会超过百兆,因此使用百兆防火墙就完全可以
9、满足要求。对外网安装硬防火墙,对内安装免疫防火墙。通过安装防火墙,实现下列的安全目标: 利用防火墙将内部网络、Internet 外部网络、DMZ 服务区、安全监控与备份中心进行有效隔离,避免与外部网络直接通信; 利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全; 利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝; 利用防火墙使用 IP 与 MAC 地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内; 利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作; 利用防火墙及服务器上的审计记录,形成一个完善的审计体
10、系,建立第二条防线; 根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。 解决网络安全问题,不要亡羊补牢,更应该重视未雨绸缪。免疫网络解决方案是目前唯一能管内网,是融合了内网安全和管理功能的全新内网基础安全方案。通过免疫网络解决方案进行免疫网络部署,可以将普通网络升级为免疫网络,填补以太网协议漏洞,加固网络底层安全,组建一个具有自主防御和管理功能的网络,彻底杜绝网络掉线、卡滞、内网病毒攻击等问题的。从而让你的网络像人体一样具有免疫能力。网络安全系统设计规划书第 6 页 2、入侵检测系统技术通过使用入侵检测系统,可以做到: 对网络边界点的数据进行检测,防止黑客的入侵; 对服
11、务器的数据流量进行检测,防止入侵者的蓄意破坏和篡改; 监视内部用户和系统的运行状况,查找非法用户和合法用户的越权操作; 对用户的非正常活动进行统计分析,发现入侵行为的规律; 实时对检测到的入侵行为进行报警、阻断,能够与防火墙/系统联动; 对关键正常事件及异常行为记录日志,进行审计跟踪管理。 完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos 攻击、缓冲区溢出攻击、Web 攻击、后门攻击等。 网络带来巨大便利的同时,也带来了许多挑战,其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险会日益加重。引起这些风险的原因有多种,其中网络系统
12、结构和系统的应网络安全系统设计规划书第 7 页 用等因素尤为重要。主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施,所有安全隐患就得到了良好的改善。三、现有系统杀毒方案建议使用瑞星杀毒软件网络版功能特点“云安全”系统通过互联网,将所有“云安全”客户端(瑞星用户)与“云安全”服务器实时连接,组成庞大的木马病毒、挂马网站监测网络,监测到这些安全威胁后,在最短时间内将解决方案瞬时送达所有用户。使得杀毒软件网络版用户,也可享受到上亿瑞星用户的 “云安全”成果。使用全网智能管理功能,依据“云安全”系统提供的数据,网络管理员可以轻松掌握每台客户端的木马病毒
13、感染情况、漏洞等安全信息,彻底查杀局域网内的盗号木马、木马下载器等。智能主动防御采用全新的“木马入侵拦截”技术(网站拦截+U 盘拦截),全网防范网页挂马、U 盘等木马入侵途径;全面加固系统脆弱点,把挂马网站、木马病毒阻挡在电脑之外。使用全网智能管理功能,网络管理员可以快速制定每台 PC 的主动防御规则,部署针对性的防挂马网站、防木马策略,从而在最大程度上阻止木马病毒、挂马网站的侵袭。智能全网漏洞管理作为微软 MAPP 合作伙伴,瑞星可以提前获取漏洞信息,结合全新的漏洞扫描引擎,全网打补丁更快更权威。网络安全系统设计规划书第 8 页 结合强大的全网管理功能,即时分类统计、汇总、备份,让网络管理员
14、全面掌握、即时修补网络系统内所有漏洞。强大的网络管理能力是网络安全的基础部署:针对国内复杂网络环境设计,轻松实现覆盖每台服务器和客户端的全网部署,支持 Web 安装、定制客户端安装包,提高全网安装效率。管理:管理员可以智能、快速、全面、直观的对全网电脑配置木马查杀、主动防御、升级等功能,实时远程获取客户端安全信息、客户端按规则自动分组管理、管理员权限分级。执行:在木马查杀、漏洞扫描、升级更新等日常工作中,共享“云安全”系统的安全成果,利用智能全网管理中心,一个网管轻松承担所有安全管理工作。升级:针对国内低带宽网络状况,拥有极高升级成功率,减少升级时间,支持客户端伪 BT 升级,支持锁定客户端升
15、级代理。报警和日志:针对企业特点,全面优化报警中心,更加稳定、节省网络带宽。可定制报警插件、报表内容,并制作详细病毒排行、客户端染毒排行和疫情趋势图。二次开发:针对国内网络及应用环境进行优化,提供全面的第三方二次开发接口,保证全网反病毒系统和其它管理、应用、安全软件的兼容和联动。兼容多种平台支持微软 64 位 Windows 平台,支持 Vista 等各种主流Windows、Unix、Linux 平台,适应国内多操作系统的复杂网络环境。携手华为3Com、思科、迈普等硬件厂商,率先推出软、硬件结合的安全解决方案。一体化智能服务体系百余名技术服务工程师为企业客户提供产品咨询、安装部署、技术支持及数据修复等服务。依靠强大的呼叫服务中心和客户服务平台,配合 7X24 小时新网络安全系统设计规划书第 9 页 病毒应急响应部门,在短时间内为企业提供新病毒处理方案,解决各种网络安全问题。四、工程清单1、大约报价清单 (具体情况堪测现场为定)序号产品型号规格数量单位单价总价备注1外网防火墙天融信1台169000169000用户无限制2内网防火墙1台1860001860003网络探测器1台0可选4其它沟通和协商事项5总价3550002、质量保证,调试安装期 10 天
