中交水运运规划设设计院内网安全全管理解决决方案北京圣博博润高新新技术有有限公司司20066年3月目录第一章方方案概况况31.1 概述述31.2. 需求求分析33第二章方方案原则则、依据据及目标标52.1 方案原原则52.2 方案依依据52.3 方案目目标7第三章系系统架构构83.1 安全策策略规划划83.2 内网安安全系统统的建设设83.2.1 内内网审计计93.2.3 内内网监控控103.2.4 详详细的审审计、分分析与报报告1003.2.5 技技术特色色11第四章系系统应用用部署和和安全策策略1334.1 系统部部署1334.1.2 集集中式部部署1334.1.2 分分布式管管理部署署134.2 安全策策略1444.2.1 安安全技术术154.2.2 安安全管理理策略116第一章 方方案概况况1.1 概述述随着信息息网络的的迅速发发展,在在当今的的信息时时代，信信息技术术已经彻彻底改变变我们的的生活和和工作方方式，也也改变现现行企事事业单位位的管理理模式。作为信信息的管管理部门门，必须考考虑当前前技术的的发展给给我们的的工作所带带来的利利益和威威胁.如如何利用用信息网网络进行行安全的的通信，同同时保护护计算机机自身信息息的安全全性，成为当当前网络络安全和和信息安安全迫在在眉睫的的问题。针对日益益严重的的内部信信息泄漏漏问题，FFBI对对4844 家公公司调查查显示。面对来自于公司内部的安全威胁，85的安全损失是由企业内部原因造成的。对于很多国内企业来说，这可能有点耸人听闻，但是，他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失；由于没有定义每位员工在系统内的访问权限，使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手对于这些来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的。1.2. 需求求分析中交水运运规划设设计院的的内部网网络安全全本质上上是一种种管理需需求，目目的是使使中交水水运规划划设计院院的各项项工作能能够安全全的进行行，管理理是主要要方式。信信息化工工作模式式建立在在技术含含量较高高的计算算机及网网络技术术之上，在在管理过过程中仅仅仅依靠靠人力不不能够满满足网络络安全管管理的需需要，也也不能够够面对今今后随着着技术发发展带来来的更多多安全需需求，因因此必须须依靠各各种技术术手段来来为网络络安全管管理提供供有效的的工具，降降低管理理成本，提提高管理理效率。具具体的内内网安全全问题可可以归结结为: 缺乏有效效的实时时IP/MMAC管管理机制制1 随着网络络知识的的普及，大大量终端端用户可可以轻易易的修改改本机的的IP地址址，而网网络管理理人员通通过现有有的技术术并不能能实时的的发现这这些操作作，这样样做会导导致如下下问题：2 1.一旦旦发生网网络瘫痪痪或网络络阻塞问问题，网网络管理理人员一一般通过过终端计计算机的的IP地地址进行行查找，但但如果用用户修改改了IPP地址就就会造成成无法及及时发现现问题源源的现象象，导致致解决问问题的时时间被延延误。3 2. 如如果用户户修改的的IP地地址和网网关或服服务器冲冲突，就就会造成成网络瘫瘫痪或服服务失效效，同时时网络管管理人员员无法对对问题进进行跟踪踪。4 3. 如如果用户户感染病病毒，病病毒有可可能会自自动修改改用户的的MACC地址，就就会导致致该用户户隐身于于整个网网络中，使使整个网网络存在在一个看看不见的的漏洞。 缺乏内部部网络之之间的网网络访问问控制中交水利利规划院院的网络络已经很很好的划划分了VVLANN，但是是对VLLAN之之间的访访问控制制没有进进行有效效的设置置，这样样会导致致如下问问题： 1.内部数数据的不不安全性性，如果果内部用用户无意意或有意意对服务务器段或或其他网网段进行行操作会会对该网网段的数数据造成成破坏。 2.如如果内部部用户感感染病毒毒，病毒毒会肆无无忌惮的的传播到到每个VVLANN中。最大的安安全等于于最小的的权限，这是网络安全的一条不变得法则。虽然中交水利规划院的网络已经很好的划分了VLAN，但是VLAN的划分存在配置复杂，设置相对死板对网络管理人员的要求比较高。的划分存在配置复杂，设置相对死板，对网络管理人员的要求比较高。 对一些造造成网络络性能下下降的软软件缺乏乏控制 当当前网络络的发展展，导致致了P22P软件件的发展展，这种种软件大大大增加加了网络络负载，对对正常的的网络访访问产生生了极大大的影响响。仅仅仅从防火火墙进行行配置会会对防火火墙的性性能造成成影响。同同时根据据防火墙墙原理它它并不能能完全有有效的阻阻止网络络回包，这这样会给给P2PP这类软软件造成成可乘之之机。 缺乏统一一的系统统补丁升升级系统统当前网络络蠕虫病病毒的泛泛滥主要要原因就就是系统统补丁升升级不及及时造成成的。如如何统一一地及时时地强制制地给所所有终端端用户安安装补丁丁是每个个网路所所面临的的问题。 对防病毒毒软件缺缺乏统一一的管理理虽然中交交水运规规划设计计院购买买的网络络版杀毒毒软件但但是由于于缺乏强强制的安安全策略略导致有有的客户户端没有有安装能能够及时时升级的的网络版版杀毒软软件，造造成了网网络安全全的隐患患。第二章 方方案原则则、依据据及目标标2.1 方案原原则为保证方方案的能能够最终终达到国国家保密密部门规规定的相相关保密密要求,在设计计方案时时遵循如如下的设设计原则则: 系统安全全原则：管理系系统自身身安全包包括物理理安全、系系统安全全、数据据安全和和运行安安全等； 可扩展原原则：统统一规划划，兼顾顾长远，既既要满足足现有的的需求，又又要兼顾顾系统的的可扩展展性，保保证分布布实施的的延续性性。系统统在结构构、规模模、应用用能力等等各个方方面都必必须具备备很强的的扩展能能力； 按照GBB178859-19999计计算机信信息系统统安全保保护等级级划分准准则的的要求建建设； 可靠性原原则。执执行ISSO90002质质量认证证体系要要求，确确保安全全保密设设备的高高可靠性性和稳定定性； 经济性原原则。内内网安全全管理系系统的建建设、运运行维护护以及将将来的扩扩展建设设，必须须符合经经济性原原则； 易操作原原则。内内网安全全管理系系统的使使用、维维护、管管理、发发行等方方面要易易操作； 高效原则则。内网网安全管管理系统统的处理理能力要要求能满满足现阶阶段的实实际需求求，保证证系统的的高效运运行，并并能根据据系统的的发展进进行不断断提升； 功能完整整原则。内内网安全全管理系系统的功功能完整整，应用用安全扩扩展系统统功能完完整； 灵活性原原则。内内网安全全管理系系统的系系统扩展展、应用用安全建建设方面面都必须须满足灵灵活性要要求。2.2 方案依依据本设计方方案的主主要依据据是国家家保密局局文件 “涉及国国家秘密密的计算算机信息息系统安安全保密密方案设设计指南南” （BBMZ22-20001），同时时，还参参考了以以下标准准和法规规、文件件： 国家标准准GB228877-20000电电子计算算机场地地通用规规范； 国家标准准GB992544-19998信信息技术术设备的的无线电电骚扰限限值和测测量方法法； 国家标准准GB993611-19998计计算站场场地安全全要求； 国家标准准GB1178559-119999计算算机信息息系统安安全保护护等级划划分准则则； 国家标准准GB5501774-119933电子子计算机机机房设设计规范范； 国家军用用标准GGJB334333-19998军军用计算算机网络络安全体体系结构构； 国家公共共安全和和保密标标准GGGBB11-19999信信息设备备电磁泄泄漏发射射限值； 国家保密密标准BBMB22-19998使使用现场场的信息息设备电电磁泄漏漏发射检检查测 试 方法和和安全判判据； 国家保密密标准BBMB33-19999处处理涉密密信息的的电磁屏屏蔽室的的技术要要求和 测试方方法国国家保密密标准BBMB44-20000电电磁干扰扰器技术术要求和和测试方方法； 国家保密密标准BBMB55-20000涉涉密信息息设备使使用现场场的电磁磁泄漏发发射防 护要求求； 国家保密密指南BBMZ11-20000涉涉及国家家秘密的的计算机机信息系系统保密密技术 要求； 国家保密密指南BBMZ22-20001涉涉及国家家秘密的的计算机机信息系系统安全全保密方方案设计计指南 国家保密密指南BBM233-20000涉涉及国家家秘密的的计算机机信息系系统安全全保密测测评指南南； CISPPR222信息技技术设备备无线电电干扰特特征极限值值和测量量方法； CISPPR244信息技技术设备备免疫性性特征极限值值和测量量方法； 国务院令令1477号中中华人民民共和国国计算机机信息系系统安全全保护条条例； 国务院令令1955号中中华人民民共和国国计算机机信息网网络国际际联网管管理暂行行规定； 中华人民民共和国国公安部部令322号计计算机信信息系统统安全专专用产品品检测和和销售许许可证管管理办法法； 国家保密密局文件件计算算机信息息系统保保密管理理暂行规规定（国国保发1999811号）； 中央保密密委员会会办公室室、国家家保密局局文件涉涉及国家家秘密的的通信、办办公自动动化和计计算机信信息系统统审批暂暂行办法法（中中保办发发199986号）； 中共中央央办公厅厅国务院院办公厅厅关于转转发中中共中央央保密委委员会办办公室、国国家保密密局关于于国家秘秘密载体体保密管管理的规规定的的通知（厅厅字220000588号）。2.3 方案目目标中交水运运规划设设计院要要求最大大可能的的保护其其办公网网络和系系统资源源与数据据可以得得到充分分的信任任，获得得良好的的管理。本项目的的总体目目标是在在不影响响中交水水运规划划设计院院网络正正常工作作的前提提下，实实现对网网络的全全面安全全加固。北京圣博博润高新新技术有有限公司司（以下下简称圣圣博润）根根据中交交水运规规划设计计院的需需求，提提供包括括整体安安全策略略、规划划、设计计、部署署、管理理、紧急急响应以以及配套套服务组组成的网网络安全全整体解解决方案案。安全管理理的安全全目标：安全管管理是整整个内部部安全管管理体系系的核心心，使得得安全策策略、和和安全系系统最终终形成一一个统一一的安全全整体，为为企业创创造真正正的价值值，根据据实际情情况，规规划不同同密级的的安全，为为不同用用户制定定相应的的安全策策略，并并统一的的管理所所有设备备；第三章 系系统架构构3.1 安全策策略规划划内网安全全策略是是企业实实现内网网安全管管理的基基础，内内网安全全策略是是企业网网络信息息系统安安全建设设的指导导原则、配配置规则则和检查查依据。内内网安全全系统的的建设主主要依据据企业网网络信息息系统统统一的内内部安全全策略。内部安全全策略是是一种指指导方法法，通常常都以一一种规范范、制度度、流程程等体现现出来，用用以指导导我们快快速、合合理、全全面的建建设内部部安全系系统，同同时我们们所规划划和实现现的内部部安全策策略本身身又是可