资源预览内容
第1页 / 共34页
第2页 / 共34页
第3页 / 共34页
第4页 / 共34页
第5页 / 共34页
第6页 / 共34页
第7页 / 共34页
第8页 / 共34页
第9页 / 共34页
第10页 / 共34页
亲,该文档总共34页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
企业安全解决方案模企业安全解决方案模 板板 北北京京天天融融信信科科技技有有限限公公司司 2 20 00 05 5年年6 6月月 目目 录录 第一章第一章 前言前言3 3 1.1 背景 3 1.2 项目概述 3 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 5 5 2.1 信息安全体系设计原则 5 2.2 信息安全体系结构分析 6 2.2.1 安全服务模型 7 2.2.2 协议层次安全模型 7 2.2.3 安全实体单元 8 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 1010 3.1 XX 企业网络安全现状及威胁分析.10 3.1.1 内部网络与 Internet 互联的安全威胁 11 3.1.2 来自内部网络的安全威胁 .11 3.1.3 系统的安全风险分析 .13 3.1.4 病毒对 XX 企业网络安全运营的安全威胁 14 3.1.5 安全服务体系不健全的威胁 .14 3.2 XX 企业安全需求.14 3.2.1 防病毒体系需求 .14 3.2.2 强制性网管软件需求 .15 3.2.3 防火墙需求 .15 3.2.4 过滤网关需求 .16 3.2.5 入侵检测需求 .16 3.2.6 漏洞扫描需求 .16 3.2.7 安装需求 .16 第四章第四章 信息网络的安全方案设计信息网络的安全方案设计1717 4.1 安全管理 .17 4.2 安全防护 .17 4.3 安全监测 .17 4.4 病毒防护 .18 4.5 安全服务 .18 第五章第五章 XXXX 企业网络安全项目解决方案企业网络安全项目解决方案 1919 5.1 XX 企业防火墙解决方案.19 5.1.1 XX 企业防火墙的部署.19 5.1.2 XX 企业防火墙的作用.23 5.2 XX 企业入侵检测方案.24 5.3 XX 企业漏洞扫描解决方案.26 5.4 XX 企业防病毒解决方案.27 5.4.1 网络版防病毒解决方案 .27 5.4.2 网关防病毒解决方案 .28 5.5 XX 企业安全管理系统解决方案.29 第一章第一章 前言前言 1.11.1 背景背景 随着近年来网络安全事件不断地发生,安全问题也已成为 IT 业的一个热点, 安全问题对于 XX 企业的发展也越来越重要。安全问题已经成为影响 XX 企业业 务平台的稳定性和业务的正常提供的一个问题,所以提升我们 XX 企业自身的安 全性也已经成为 XX 企业增强企业竞争力的重要方面之一。 XX 企业集团是国家重点支持的 520 家工业企业大型支柱产业集团之一。随 着信息技术的迅猛发展,XX 企业集团领导充分认识到网络安全建设的重要性, 为了更好的开展生产、科研工作,决定对现有信息系统进行网络安全技术改造。 1.21.2 项目概述项目概述 本次信息安全项目包括 XX 企业集团下属企业、附属机构和分支机构的网络 安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度 的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造, 对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性 能。 建立整体网络安全体系; 建设整体的防病毒体系,保证网络病毒不会由公司主干网传入专网,保证 远程 VPN 网络或用户的病毒不会传入公司主干网; 对于 INTERNET 上新病毒的反应、处理速度,比如当时“震荡波”病毒,要 在“黄金响应”时间内通知如何防范和相应补丁,在没有扩散到大范围及时发 现病毒;如果内网存在病毒,能够对其定位,知道在哪个机器上,是哪种病毒, 能够清除并有相应的日志; 保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性; 能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源,上 了什么网站,要有分用户、分时间段、分服务类别的详细清单及统计报表; 强制性管理终端用户设备,并按照统一规划的不同策略管理不同的终端用 户设备或终端用户设备组; 能够及时觉知谁在攻击或在探测网络,并及时阻断攻击以及非法探测并有 详细的日志,在发生外部入侵进来时,必须及时报警并发邮件到管理人员邮箱, 并提供相应的策略; 对公司内网的安全能够做到:谁在用非法手段扫描、攻击服务器或别人的 机器,谁私自改 IP 地址,新的机器接入内网或非法上外网,不能随便安装、卸 载软件等等。对这些违反规定的机器要有相应的日志,并可以进行阻断; 对本公司内的生产子网要做好安全隔离,即使 XX 企业主干网上有病毒在传 播但不能传到该子网中去,该子网只保留一些必要的数据通讯端口与主干网络 通讯,其他端口必须屏蔽掉。 评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施,当前发 现的所有漏洞得到弥补,不能弥补的要有应急措施预案; 各种系统具备完善的日志及审计功能,可以追溯安全事件,可以按照不同 的方式出具各种报表; 第二章第二章 XXXX 企业信息网络的整体安全体系设计企业信息网络的整体安全体系设计 2.12.1 信息安全体系设计原则信息安全体系设计原则 XX 企业信息安全保障系统涉及到整个工程的各个层次,网络和信息安全方 案的设计遵循以下原则: 整体安全 XX 企业信息安全保障系统的是一个复杂的安全系统工程,对安全的需求是 任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合 考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信 息网络和业务系统提供全方位安全服务。 有效管理 没有有效的安全管理(如防火墙监控、审计日志的分析等等) ,各种安全机 制的有效性很难保证。XX 企业信息安全保障系统所提供的各种安全服务,涉及 到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安 全控制机制真正有效地发挥作用; 合理折衷 在 XX 企业信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价 是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的,安 全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风 险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理 的复杂而影响整个系统高效运行的总体目标。 责权分明 采用分层、分级管理的模式:一方面,XX 企业信息系统可以分为三层:信 息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属 等的分级结构。各级网络管理中心负责网络的安全可靠运行,为应用信息系统 提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管 理。 综合治理 XX 企业信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不 仅仅是一个技术问题,各种安全技术应该与运行管理。机制、人员的思想教育 与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。 2.22.2 信息安全体系结构分析信息安全体系结构分析 XX 企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安 全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系 的完备性、合理性。 在信息网络安全体系结构的研究表明,想要从一个角度得出整个信息系统 完整的安全模型是很困难的。借鉴美国国防部 DISSP 计划中的安全框架,我们 提出了适合 XX 企业信息系统的安全体系结构模型。该模型由安全服务、协议层 次和系统单元三个层面描述,且在每个层面上,都包含安全管理的内容。该模 型在整体上表现为一个三线立体框架结构。 信息网络安全体系结构 安全服务取自于国际标准化组织制订的安全体系结构模型 ISO7498,我们 在 ISO7498 的基础上增加了审计功能和可用服务。 协议层次的划分参照 TCPIP 协议的分层模型。 系统单元给出了信息网络系统的组成。 安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。 安全管理涉及两方面的内容:各种安全技术的管理和安全管理制度。 2.2.12.2.1 安全服务模型安全服务模型 国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些 安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的,而且不 同的应用环境有不同的程度的要求,我们在图中给出了主要安全服务之间的逻 辑关系。 各种安全服务之间的逻辑关系 在不同的协议层次,实体都有主体和客体(或资源)之分:在网络层,对 主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证, 网络层的访问控制主要指防火墙等过滤机制;在应用系统中,主体的识别以用 户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证, 访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。在开 放式应用环境中,主体与客体的双向认证非常重要。 从这一模型可以得出如下结论:对资源的访问控制是安全保密的核心,而 对实体的(用户、主机、服务)认证是访问控制的前提。 2.2.22.2.2 协议层次安全模型协议层次安全模型 从网络体系结构的协议层次角度考察安全体系结构,我们得到了网络安全 的协议层次模型,如图所示,图中实现上述安全服务的各种安全机制,并给出 了它们在协议层次中的位置。该模型与 OSI 体系结构一致。 协议层次模型 2.2.32.2.3 安全实体单元安全实体单元 在工程实施阶段,各种安全服务、各协议的安全机制最终要落实到物理实 体单元。如图所示,从实体单元角度来看,安全体系结构可以分成以下层次: 物理环境安全。 端系统安全,主要保护网络环境下端系统的自身的安全。 网络通信安全,一则保障网络自身的安全可靠运行,保证网络的可用性; 二则为业务数据提供完整性、保密性的安全服务。 应用系统安全,为某种或多种应用提供用户认证、数据保密性、完整性 以及授权与访问控制服务等。 系统单元安全模型 其中,安全政策是制定安全方案和各项管理制度的依据,安全政策是有一 定的生命周期的,一般要经历风险分析、安全政策制定、安全方案和管理制度 的实施、安全审计和后评估、四个阶段。 安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容 可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务 的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。 第三章第三章 XXXX 企业信息网络的安全现状和需求分析企业信息网络的安全现状和需求分析 随着计算机技术和网络技术的发展,网络成为信息高速公路,人们利用网 络来获取和发布信息,处理和共享数据。但是网络协议本身的缺陷、计算机软 件的安全漏洞,对网络安全的忽视给计算机网络系统带来极大的风险。实际上, 安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。 网络安全是一个体系工程,如果把 XX 企业网络信息系统划一个边界的话, 未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。 3.13.1 XXXX 企业网络安全现状及威胁分析企业网络安全现状及威胁分析 XX 企业集团现有信息网络覆盖 10 平方公里之内的各个下属钢铁企业、附 属机构和分布在异地的远程分支机构。到目前为止,共有终端用户 1000 余个, 其中包含各种服务器 30 台。网络设备基本采用 CISCO 系列产品,主干网络交换 机近 100 台。整个网络拥有 100M 的因特网出口。 Interne t E-MAIL转发服务器转发服务器 Proxy AAACisco364 0 防火墙防火墙pix 2950- 12 3500G- 24 小型机小型机 SUNFIRE4800 Catalyst650 6 Catalyst650 6 Catalyst400 6 Catalyst400 6 2950G-24 2950G- 24 2950G-48 生产子网生产子网1 2950G- 24 2950- 12 2950- 12 VPN及移动上网卡及移动上网卡 3550G-12T 终端服务器终端服务器 计量服务器计量服务器 E-mail服务器服
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号