《JAC江淮汽车网络安全整体解决方案》由会员分享,可在线阅读,更多相关《JAC江淮汽车网络安全整体解决方案(44页珍藏版)》请在金锄头文库上搜索。
1、第一部分:技术标书JAC江淮汽车网络安全解决方案合肥中方计算机工程有限责任公司二00四年三月五日目录前言3第一章企业介绍1.1方正数码有限公司1.2上海金诺网络安全技术发展股份有限公司.5第二章7工淮汽车网络中心安全需求分析:.72.1网络基本安全需求:.72.2江淮汽车网络中心安全需求.7第三章7工淮汽车网络中心安全解决方案设计:.83.1防火墙3.1.1什么是防火墙3.1.2使用防火墙的必要性3.1.3.1方御防火墙简介.113.1.3.2多种工作模式.143.1.3.3包过滤防火墙.153.1.3.4防火墙的主要功能说明.163.2虚拟专用网(VPN).203.2.1背景介绍23.2.2
2、产品特点23.3入侵检测系统(IDS)223.3.1千兆级入侵检测::.223.3.1.1什么是入侵检测.为?3.3.1.2入侵检测的必要性:223.3.1.3金诺网安入侵检测系统.243.3.2强化安全管理水平.323.3.2.1安全管理原则.323.3.2.2安全管理的实现.33第四章技术支持及售后服务计划;/.344.1技术培训计划.4.1.1培训.34.1.1.1标准专业培训二.344.1.2可选专业培训.34.2售后服务及应急响应.4.2.1产品安装及验收流程34.2.2售后服务1售后服务综述372售后服务机构383服务内容384.2.3应急响应和质量保证34.2.3.1服务人员.3
3、94.2.3.2响应时间保证.394.2.3.3规范的内部流程.404.2.3.4客户档案管理系统.414.2.3.5统一的服务文档.42附件一:方御8340f防火墙功能列表43附件二:方御8340f防火墙参数列表44附件三:金诺KIDS特性列表.46附件四:金诺KIDS检测攻击类型列表.48刖曰概述随着企业信息化程度的提高,企业对于信息处理的手段日益先进,运作的效率也日益提高,同时,各单位对其电子化的信息系统的依赖程度也越来越高。但是由于大多数单位都把网络建立在传统的网络架构上,而该架构乂缺乏对于诸多安全问题的考虑,加之人们对网络安全认识不足、管理松散、专业安全技术人员匮乏、网络安全设施投资
4、缺乏、安全制度不完善等因素,使得网络信息的安全风险日益加剧。因此,网络安全基础设施的建设已经成为刻不容缓的重要课题。方案设计原则符合国家有关规定我国相关部门已经制订了一系列关于信息安全的法律法规,涉及安全策略、密码与安全设备选用、网络互联、安全管理等内容。安全保密建设必须能够符合这些法律法规,确保国家秘密信息的安全。整体安全原则贵单位信息系统是一个复杂的系统,对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位的服务。全网统一原则集中有关各方的力量和资源,使信息系统设计得
5、更加系统、完善、严密;包容现存的和将要改进的信息系统对于安全普遍的、特殊的要求,使体系更趋科学和适用;通盘考虑所有通信分系统的安全互通。标准化与一致性原则网络安全建设是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,才能使整个系统安全地互联互通、信息共享。需求、风险、成本折衷原则任何信息系统都不能做到绝对的安全,而且真正绝对的安全也是不必要的。鉴于这种情况,在设计信息系统安全时,要在安全需求、安全风险和安全成本之间进行平衡和折中。过多的安全需求、过低的安全风险追求必将造成安全成本迅速增加和复杂性的增加。因此,在设计贵单位的安全方案时必须遵守三项要求折衷
6、的原则。实用、高效、可扩展原则安全保障系统所采用的产品,要方便工作、实用高效。同时,随着IT技术的不断发展,信息系统将会发生各种变化,信息系统安全设计必须能适应这种变化。在系统实施过程中,系统的结构、配置也会发生一些变化,系统的安全工程要有一定的灵活性来适应这种变化,比如做到层次性、体系性,既有利于系统的安全,乂有利于系统的扩展。技术与管理相结合原则网络安全建设工程是一个系统工程,单靠技术或单靠管理都不可能实现。各种安全技术应该与运行管理机制、人员思想教育和技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考虑。方案设计参考标准本方案在设计过程中主要参考了以下信息安全相关标准:ISO/
7、IECTR13335:信息技术安全技术信息产业安全管理的指导方针ISO/IEC15408:信息技术安全性评估通用准则GB17859:计算机信息系统安全保护等级划分准则ISO17799/BS7799:信息安全管理惯例信息安全工程质量管理要求系统安全工程能力成熟模型(SSE-CMM)等第一章企业介绍1.1方正数码有限公司一方正数码有限公司(EC-FounderCo.,Ltd.)成立于2000年9月,是方正集团旗下的一家独立上市公司。除北京方正数码有限公司外,方正数码在香港、台湾设有分公司,并在上海、广州、西安设有办事处。方正数码的主要业务围绕互联网安全技术应用、企业/政府信息化领域,在技术开发、应
8、用解决方案和运营服务方面为用户提供实用、先进的产品和技术。方正方御防火墙产品是国内领先的基于边界的网络安全解决方案。为适应广大用户不断发展的需求,方御产品精益求精,不断创新。方御防火墙针对目前网络应用日益复杂的趋势,为了弥补传统防火墙控制范围有限的不足,结合用户需求推出独创的智能IP识别技术,具有强大的信息分析能力和高效数据处理能力,密切配合网络应用,实现多种网络对象的高效访问控制。目前,方御全新推出包括专业级、企业级和电信级三个系列,多个品种的方御防火墙产品,全面扩充方御防火墙产品线。配合原有1U/2U型防火墙,方御产品从网络适应性、产品核心功能、增值功能和性能方面都有相应的突破。方御防火墙
9、产品既适合行业用户的专业需求,乂能满足中小企业用户的安全接入需要,是一套完整的网络边界安全解决方案。1.2上海金诺网络安全技术发展股份有限公司-上海金诺网络安全技术发展股份有限公司(www.kingnet.biz)成立于2000年4月,注册资本2518万人民币,由上海精宏投资管理有限公司、上海港机股份有限公司、中油龙昌(集团)股份有限公司等单位共同投资组建,是国内最大的网络安全产品及服务供应商。公司总部位于上海,北京、广州等地设有分公司或办事处,现有员工近白人,其中一半以上的管理人员拥有硕士以上学位,70%以上是多年专业从事技术管理、市场和人力资源管理的职业经理人。金诺网安拥有相当完备的产品线
10、体系,涉及入侵检测、漏洞扫描、上网行为管理、防火墙、防病蠹等各个安全领域。公司自主开发的部分产品有:金诺入侵检测系统KIDS、金诺上网行为管理系统EIM、计费系统(校园版、洒店版)、金诺网安Cyberpro扫描器等。这些产品多次受到国家有关部门的肯定,达到了国内领先,国际先进的水平,已经在政府、金融、证券、IDC、ISP、保险、教育等各个行业拥有众多用户群。目前金诺网安国内的代理商数目达到一白多家,在全国范围内拥有了一批金牌、银牌及认证代理,已经形成最具广泛代表性的网络安全产品销售网络。金诺网安技术力量雄厚,除了已有多名信息安全领域的博士、硕士研究人员和海外归来的信息安全专家加盟外,还与国内信
11、息安全研究领域的多家权威机构建立了长期的战略合作关系,掌握着国际、国内信息安全技术的最新发展趋势。公司不仅是国家863计划信息安全领域专项课题研究承担单位,也是上海市首批通过软件企业认定的高新技术企业,同时还参与发起和设立建在浦东的国家信息安全产业化基地,已被上海市政府列入了上海市信息产业重点企业,多次接待过国家有关部门领导的视察,受到中央电视台、人民日报等多家国家级媒体及有关专业报刊的专题报道。受中国国家信息安全测评认证中心的委托,金诺网安全面负责国内规模最大、资料最全、最具权威性的“中国信息安全论坛”()的运营与维护,该网站拥有已知世界上最大的公开漏洞数据库、最大的工具库及内容最丰富的技术
12、资料文档库,已经成为了信息安全领域最具影响力的综合性门户网站在公安部十一局、公安部第三研究所及公安部计算机信息系统安全产品质量监督检验中心等有关主管部门的指导与委托下,公司还担负着“中国信息网络安全”(www.china-)网站的运营与维护工作,网站涉及与计算机信息网络安全相关的政策法规、标准规范、产品名单及最新的病蠹公告,为信息网络安全的研究与管理提供了一个全面的权威平台。公司本着“求实、创新、服务社会”的经营理念,以脚踏实地的工作态度、扎实过硬的技术基础,奠定一个高科技企业的立身之本;同时结合现代信息产业的特点,顺应社会信息化发展的潮流,不断研究具有创新思维的新产品、新服务,以最大程度地满
13、足客户的需求。金诺网安拥有高度专业的员工,致力于持续的创新与开发,立志成为中国最优秀的信息安全企业。第二章江淮汽车网络中心安全需求分析2.1网络基本安全需求满足基本的安全要求,是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则。针对目前很多黑客往往专注于攻击企业网站,一旦网络中心本身受到攻击而瘫痪,将直接影响企业的正常运转,因此而承受相当大的责任和损失。因此,需要7工淮汽车网络中心对自身网络运行的安全性和稳定性有着极高的重视:既要求网络高带宽,高效率,乂要求网络能抵抗黑客攻击和硬件故障稳定运行,不会因为单节点的故障影响整个系统。需要尽量的能够对各种异常情况(如黑
14、客入侵、病蠹发作等)的发生进行事前的监控和阻止。当异常情况发生时,需要及时的采取处理手段。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。网络基本安全要求:网络正常运行。在受到攻击的情况下,能够保证网络系统继续运行。网络管理/网络部署的资料不被窃取。具备先进的入侵检测及跟踪体系。提供灵活而高效的内外通讯服务。2.2江淮汽车网络中心安全需求为保障7工淮汽车网络中心的正常运行,提高防黑反黑手段,构建全面统一的网络安全管理架构。采取必要有效措施加以保证,7工淮汽车网络中心网络安全建设的有关目标有:接入控制:与
15、互联网的接入,采用防火墙隔离,并将服务器群放在受防火墙保护的安全隔离区。同时,关键业务需要通过VPN安全通道进行传递。内部检测:内部网络在关键节点部署入侵检测产品,生成有关网络各种状况的报告,便于管理。内部网络部署漏洞扫描系统,为消除网络隐患做先期准备。另外,网络安全的建设,可以一次性规划、分阶段进行,要易于实施、实现业务的无缝割接。具有良好的可靠性、可扩展性及维护性,进一步规范IP地址。第三章江淮汽车集团网络中心安全解决方案设计全方位的安全体系一个完整的安全体系应包含:访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达被攻击目标之前;检查安全漏洞,通过对网络和系统安全漏洞的周期检查,即使攻击可到达被攻击目标,也可使绝大多数攻击失效;攻击检测,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);多层防御,攻击者在突破第一道防线后,延缓或阻断其到达被攻击目标;隐藏内部信息,使攻击者不能了解系统内的基本情况;设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况服务。7工淮汽车网络中心安全解决方案根据江淮汽车网络中心实际网络建设规划,我们公司为7工淮汽车网络中心提出了全
