《【企划方案企业安全解决方案模板】(DOC34页)》由会员分享,可在线阅读,更多相关《【企划方案企业安全解决方案模板】(DOC34页)(34页珍藏版)》请在金锄头文库上搜索。
1、企业安全解决方案模板北京天融信科技有限公司2005年6月目 录第一章 前言31.1 背景31.2 项目概述3第二章 XX企业信息网络的整体安全体系设计52.1 信息安全体系设计原则52.2 信息安全体系结构分析62.2.1 安全服务模型72.2.2 协议层次安全模型72.2.3 安全实体单元8第三章 XX企业信息网络的安全现状和需求分析103.1 XX企业网络安全现状及威胁分析103.1.1 内部网络与Internet互联的安全威胁113.1.2 来自内部网络的安全威胁113.1.3 系统的安全风险分析133.1.4 病毒对XX企业网络安全运营的安全威胁143.1.5 安全服务体系不健全的威胁
2、143.2 XX企业安全需求143.2.1 防病毒体系需求143.2.2 强制性网管软件需求153.2.3 防火墙需求153.2.4 过滤网关需求163.2.5 入侵检测需求163.2.6 漏洞扫描需求163.2.7 安装需求16第四章 信息网络的安全方案设计174.1 安全管理174.2 安全防护174.3 安全监测174.4 病毒防护184.5 安全服务18第五章 XX企业网络安全项目解决方案195.1 XX企业防火墙解决方案195.1.1 XX企业防火墙的部署195.1.2 XX企业防火墙的作用235.2 XX企业入侵检测方案245.3 XX企业漏洞扫描解决方案265.4 XX企业防病毒
3、解决方案275.4.1 网络版防病毒解决方案275.4.2 网关防病毒解决方案285.5 XX企业安全管理系统解决方案29编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页第一章 前言1.1 背景随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,安全问题对于XX企业的发展也越来越重要。安全问题已经成为影响XX企业业务平台的稳定性和业务的正常提供的一个问题,所以提升我们XX企业自身的安全性也已经成为XX企业增强企业竞争力的重要方面之一。XX企业集团是国家重点支持的520家工业企业大型支柱产业集团之一。随着信息技术的迅猛发展,XX企业集团领导充分认识
4、到网络安全建设的重要性,为了更好的开展生产、科研工作,决定对现有信息系统进行网络安全技术改造。1.2 项目概述本次信息安全项目包括XX企业集团下属企业、附属机构和分支机构的网络安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造,对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性能。建立整体网络安全体系;建设整体的防病毒体系,保证网络病毒不会由公司主干网传入专网,保证远程VPN网络或用户的病毒不会传入公司主干网;对于INTERNET上新病毒的反应、处理速度,比如当时“震荡波”病毒,要在“黄金响
5、应”时间内通知如何防范和相应补丁,在没有扩散到大范围及时发现病毒;如果内网存在病毒,能够对其定位,知道在哪个机器上,是哪种病毒,能够清除并有相应的日志;保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性;能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源,上了什么网站,要有分用户、分时间段、分服务类别的详细清单及统计报表;强制性管理终端用户设备,并按照统一规划的不同策略管理不同的终端用户设备或终端用户设备组;能够及时觉知谁在攻击或在探测网络,并及时阻断攻击以及非法探测并有详细的日志,在发生外部入侵进来时,必须及时报警并发邮件到管理人员邮箱,并提供相应的策略;对公司内网的安全能够
6、做到:谁在用非法手段扫描、攻击服务器或别人的机器,谁私自改IP地址,新的机器接入内网或非法上外网,不能随便安装、卸载软件等等。对这些违反规定的机器要有相应的日志,并可以进行阻断;对本公司内的生产子网要做好安全隔离,即使XX企业主干网上有病毒在传播但不能传到该子网中去,该子网只保留一些必要的数据通讯端口与主干网络通讯,其他端口必须屏蔽掉。评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施,当前发现的所有漏洞得到弥补,不能弥补的要有应急措施预案;各种系统具备完善的日志及审计功能,可以追溯安全事件,可以按照不同的方式出具各种报表;第二章 XX企业信息网络的整体安全体系设计2.1 信息安全体系设
7、计原则XX企业信息安全保障系统涉及到整个工程的各个层次,网络和信息安全方案的设计遵循以下原则: 整体安全XX企业信息安全保障系统的是一个复杂的安全系统工程,对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位安全服务。 有效管理没有有效的安全管理(如防火墙监控、审计日志的分析等等),各种安全机制的有效性很难保证。XX企业信息安全保障系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用; 合理折衷在X
8、X企业信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个系统高效运行的总体目标。 责权分明采用分层、分级管理的模式:一方面,XX企业信息系统可以分为三层:信息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属等的分级结构。各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理。 综合治理
9、XX企业信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不仅仅是一个技术问题,各种安全技术应该与运行管理。机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。2.2 信息安全体系结构分析XX企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。在信息网络安全体系结构的研究表明,想要从一个角度得出整个信息系统完整的安全模型是很困难的。借鉴美国国防部DISSP计划中的安全框架,我们提出了适合XX企业信息系统的安全体系结构模型。该模型由安全服务、协议层次和系统单元三
10、个层面描述,且在每个层面上,都包含安全管理的内容。该模型在整体上表现为一个三线立体框架结构。信息网络安全体系结构安全服务取自于国际标准化组织制订的安全体系结构模型ISO7498,我们在ISO7498的基础上增加了审计功能和可用性服务。协议层次的划分参照TCPIP协议的分层模型。系统单元给出了信息网络系统的组成。安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。安全管理涉及两方面的内容:各种安全技术的管理和安全管理制度。2.2.1 安全服务模型国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的,而且不同的应用
11、环境有不同的程度的要求,我们在图中给出了主要安全服务之间的逻辑关系。各种安全服务之间的逻辑关系在不同的协议层次,实体都有主体和客体(或资源)之分:在网络层,对主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证,网络层的访问控制主要指防火墙等过滤机制;在应用系统中,主体的识别以用户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证,访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。在开放式应用环境中,主体与客体的双向认证非常重要。从这一模型可以得出如下结论:对资源的访问控制是安全保密的核心,而对实体的(用户、主机、服务)认证是访问控制的前提。2.2.
12、2 协议层次安全模型从网络体系结构的协议层次角度考察安全体系结构,我们得到了网络安全的协议层次模型,如图所示,图中实现上述安全服务的各种安全机制,并给出了它们在协议层次中的位置。该模型与OSI体系结构一致。协议层次模型2.2.3 安全实体单元在工程实施阶段,各种安全服务、各协议的安全机制最终要落实到物理实体单元。如图所示,从实体单元角度来看,安全体系结构可以分成以下层次:物理环境安全。端系统安全,主要保护网络环境下端系统的自身的安全。网络通信安全,一则保障网络自身的安全可靠运行,保证网络的可用性;二则为业务数据提供完整性、保密性的安全服务。应用系统安全,为某种或多种应用提供用户认证、数据保密性
13、、完整性以及授权与访问控制服务等。系统单元安全模型其中,安全政策是制定安全方案和各项管理制度的依据,安全政策是有一定的生命周期的,一般要经历风险分析、安全政策制定、安全方案和管理制度的实施、安全审计和后评估、四个阶段。安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。第三章 XX企业信息网络的安全现状和需求分析随着计算机技术和网络技术的发展,网络成为信息高速公路,人们利用网络来获取和发布信息,处理和共享数据。但是网络协议本身的缺陷、计算机软件的安
14、全漏洞,对网络安全的忽视给计算机网络系统带来极大的风险。实际上,安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。网络安全是一个体系工程,如果把XX企业网络信息系统划一个边界的话,未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。3.1 XX企业网络安全现状及威胁分析XX企业集团现有信息网络覆盖10平方公里之内的各个下属钢铁企业、附属机构和分布在异地的远程分支机构。到目前为止,共有终端用户1000余个,其中包含各种服务器30台。网络设备基本采用CISCO系列产品,主干网络交换机近100台。整个网络拥有100M的因特网出口。InternetE-MAIL转发服务器P
15、roxy AAACisco3640防火墙pix2950-123500G-24小型机 SUNFIRE4800Catalyst6506Catalyst6506Catalyst4006Catalyst40062950G-242950G-242950G-48生产子网12950G-242950-12 2950-12VPN及移动上网卡3550G-12T终端服务器计量服务器E-mail服务器3548G2m数字电路三个分厂生产子网2下面主要针对XX企业的信息系统,列出可能面临的主要安全威胁为:3.1.1 内部网络与Internet互联的安全威胁 与Internet相连,如果没有边界防护将是危险的。 XX企业内部网络与Internet如果不采取安全防护措施,这样内部网络很容易遭到来自于Internet中可能的入侵者的攻击。如:u 入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统
