《網(wǎng)絡(luò)安全建設(shè)實施方案》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全建設(shè)實施方案（87頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1 京唐港股份有限公司 網(wǎng)絡(luò)安全建設(shè)實施方案 二 2 目錄 1 概述 .................................................................................................................................................. 4 2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè) .......................................................................................................................... 4 全現(xiàn)狀分析 ......................................................................................................................... 4 全風險分析 ......................................................................................................................... 5 理安全 ......................................................................................................................... 5 絡(luò)安全與系統(tǒng)安全 ..................................................................................................... 5 用安全 ......................................................................................................................... 6 全管理 ......................................................................................................................... 6 全需求分析 ......................................................................................................................... 7 理安全需求分析 ......................................................................................................... 7 絡(luò)安全與系統(tǒng)安全 ..................................................................................................... 7 用安全 ......................................................................................................................... 8 全管理 ......................................................................................................................... 8 全實施方案 ......................................................................................................................... 9 理安全防護 ................................................................................................................. 9 份與恢復(fù) ..................................................................................................................... 9 問控制 ....................................................................................................................... 10 統(tǒng)安全 ....................................................................................................................... 10 段劃分與虛擬局域網(wǎng) ............................................................................................... 11 公網(wǎng)整體安全建議 ................................................................................................... 12 火墻實施方案 ........................................................................................................... 14 侵檢測系統(tǒng)實施方案 ............................................................................................... 21 洞掃描系統(tǒng)實施方案 ............................................................................................... 30 份認證系統(tǒng)實施方案 ............................................................................................... 34 全審計系統(tǒng)實施方案 ............................................................................................... 40 病毒系統(tǒng)實施方案 ................................................................................................... 44 3 異地網(wǎng)接入安全建設(shè) .................................................................................................................... 56 入方式選擇 ....................................................................................................................... 57 全性分析 ........................................................................................................................... 58 種方式優(yōu)勢特點 ............................................................................................................... 58 理介紹 ...................................................................................................................... 59 選型 .......................................................................................................................... 64 務(wù)系統(tǒng)安全防護 ............................................................................................................... 67 4 機房設(shè)備集中監(jiān)控管理 ................................................................................................................ 67 備及 應(yīng)用系統(tǒng)管理現(xiàn)狀 ........................................................................................... 67 立機房集中控制管理系統(tǒng)需求 ............................................................................... 67 中控制管理系統(tǒng)方案實現(xiàn) ....................................................................................... 68 能特點 ....................................................................................................................... 69 控顯示系統(tǒng) ....................................................................................................................... 69 影顯示系統(tǒng) ............................................................................................................... 69 3 離子顯示系統(tǒng) ........................................................................................................... 69 5 網(wǎng)絡(luò)管理中心 ................................................................................................................................ 70 立網(wǎng)絡(luò)管理中心需求 ............................................................................................... 70 絡(luò)管理功能實現(xiàn) ....................................................................................................... 70 6 桌面管理及補丁分發(fā)中心 ............................................................................................................ 73 立桌面管理中心需求 ............................................................................................... 73 面管理功能實現(xiàn) ....................................................................................................... 75 7 網(wǎng)絡(luò)設(shè)備升級 ................................................................................................................................ 824 1 概述 京唐港 股份有限公司 辦公大樓 網(wǎng)絡(luò) 信息系統(tǒng) 目前剛剛投入使用， 主要包括新建大廈、舊辦公區(qū)辦公網(wǎng)絡(luò)以及部分省市辦事處專網(wǎng)，該套網(wǎng)絡(luò)與 聯(lián)， 將要實現(xiàn)整個業(yè)務(wù)系統(tǒng)的辦公自動化，包括業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)存儲備份、文件共享、對外宣傳等，同時還要為員工相關(guān)業(yè)務(wù)應(yīng)用及學(xué)習提供便利的上網(wǎng)條件；所以該網(wǎng)絡(luò) 既是辦公系統(tǒng)的承載體， 也是威脅風險的承受體，在 公司 規(guī)模日漸 壯大的今天 ，網(wǎng)絡(luò)規(guī)模也相應(yīng)的 在 不斷的擴大， 相關(guān)的配套 網(wǎng)絡(luò)及安全 設(shè)備 雖然 具有較新的技術(shù)和功能， 但 還不足以抵御紛繁復(fù)雜的互聯(lián)網(wǎng)的威脅，整個網(wǎng)絡(luò)的安全 也 需要做 相應(yīng)的增強防護， 另外 從設(shè)備及應(yīng)用的管理角度來看，可以 采取一些智能 和高效 的管理手段 及措施，在 保障業(yè)務(wù)正常運行了同時， 保證系統(tǒng)的安全可靠， 減少和 簡化安全管理， 提高 系統(tǒng) 工作 效率。 本方案將著重從安全系統(tǒng)的整體建設(shè)及相應(yīng)的一些網(wǎng)絡(luò)管理手段上具體分析，并提出可行性的實施方案，把目前在使用過程中遇到的一些問題解決并防患于未然，同時為用戶提供一整套安全及網(wǎng)絡(luò)管理措施，把公 司網(wǎng)絡(luò)建設(shè)成為一個符合業(yè)務(wù)需求、安全可靠、容易管理操作的 高質(zhì)量的辦公網(wǎng)絡(luò)。 2 網(wǎng)絡(luò) 系統(tǒng)安全建設(shè) 全現(xiàn)狀分析 京唐港股份有限公司依托于京唐港整體規(guī)劃建設(shè) 和發(fā)展 ， 將承載著越來越多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進一步深入， 自動化辦公的便利和效率可以說是公司發(fā)展壯大的必要手段 ； 但是 京唐港股份有限公司 辦公大樓是整個公司信息的核心地帶，不但為本地員工及另外 一個 園區(qū)的業(yè)務(wù)人員 提供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實現(xiàn)遠程辦公，并且各個位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層 次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項很重要的任務(wù)和保證措施。 目前，該網(wǎng)絡(luò)已經(jīng)建設(shè)完成，安全手段主要 在網(wǎng)絡(luò)邊界處 采取了 防火墻，在 5 整個網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)版殺毒軟件和網(wǎng)管軟件， 其他安全措施主要是依靠個人的安全意識和行為；現(xiàn)階段，全網(wǎng)已經(jīng)爆發(fā)了多次病毒感染等問題，一定程度上影響了辦公的效率，所以有必要進一步從技術(shù)角度完善安全系統(tǒng)。 全風險分析 理安全 物理安全層面存在下述威脅和風險形式： ? 機房毀壞：由于 戰(zhàn)爭、自然災(zāi)害、意外事故造成機房毀壞，大部分設(shè)備損壞 。 ? 線路中斷：因線路中斷，造成系統(tǒng)不能正常工作。 ? 電力中斷：因電 力檢修、線路或設(shè)備故障造成電力中斷。 ? 設(shè)備非正常毀壞：因盜竊、人為故意破壞造成設(shè)備毀壞。 ? 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。 ? 存貯媒體損壞：因溫度 、濕度或其他原因，各種數(shù)據(jù)存儲媒體不能正常使用。 絡(luò)安全與系統(tǒng)安全 ? 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權(quán)訪問、惡意攻擊、病毒入侵等安全隱患 ； ? 搭線竊取的隱患：黑客或犯罪團體通過搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息 ； ? 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作 ； ? 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當、安全級 別低 等，缺乏文件系統(tǒng)的保護和對操作的控制，讓各種攻擊有可乘之機； ? 數(shù)據(jù)庫系統(tǒng)安全隱患：不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況，數(shù)據(jù)庫數(shù)據(jù)丟失、被非法訪問或竊取 ； ? 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等， 6 可能出現(xiàn)非法訪問 ； ? 惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁篡改，下載不懷好意的惡意小程序，對系統(tǒng)進行惡意攻擊，對系統(tǒng)進行非法訪問等。 用 安全 ? 身份假冒：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被假冒身份者闖入 ； ? 非授權(quán)訪問：缺少強制認證和加密措施的涉密信息系統(tǒng)，關(guān)鍵業(yè)務(wù)系統(tǒng)被越權(quán)訪問 ； ? 數(shù)據(jù)失、泄密：涉密數(shù)據(jù)在處理、傳輸、存儲過程中，被竊取或非授權(quán)訪問 ； ? 數(shù)據(jù)被修改：數(shù)據(jù)在處理、傳輸、存儲過程中被非正常修改和刪除 ； ? 否認操作：數(shù)據(jù)操作者為逃避責任而否認其操作行為。 全管理 ? 安全管理組織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，沒有建立應(yīng)急響應(yīng)支援體系等。 ? 缺乏安全管理手段：不能實時監(jiān)控機房工作、網(wǎng)絡(luò)連接和系統(tǒng)運行狀態(tài)，不能及時發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，不能追蹤安全事件等。 ? 人員安全意識淡?。簾o意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 ，私自接入外網(wǎng)，私自拷貝竊 取信息，私自安裝程序，不按操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會造成安全隱患。 ? 管理制度不完善：缺乏相應(yīng)的管理制度，人員分工和職責不明，沒有監(jiān)督、約束和獎懲機制，存在潛在的管理風險。 ? 缺少標準規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標準規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴展性不強。 ? 缺乏安全服務(wù)：人員缺少安全培訓(xùn)，系統(tǒng)從不進行安全評估和安全加固，系統(tǒng)故障不能及時恢復(fù)等。 7 全需求分析 基于上述的安全風險分析， 京唐港股份有限公司 信息系統(tǒng)必須采取相應(yīng)的應(yīng)對措施與手段， 形成有效的安全防護能力 、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，為 整個 信息系統(tǒng)建立可靠的安全運行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實保障 全公司 信息系統(tǒng)正常、有序、可靠地運行。 理安全 需求分析 ? 異地容災(zāi)：異地容災(zāi)主要是預(yù)防場地問題帶來的數(shù)據(jù)不可用等突發(fā)情況。這些場地問題包括：電力中斷 —— 供電部門因各種原因長時間的中斷；電信中斷 —— 各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火災(zāi)、水災(zāi)等造成機房毀壞或不可用等。這些災(zāi)難性事件會直接造成業(yè)務(wù)的中斷，甚至造成數(shù)據(jù)丟失等，會造成相當程度的社會影響和經(jīng)濟影響。通過容災(zāi)系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最小。要求災(zāi)難發(fā)生時，異地容災(zāi)系統(tǒng)保證：①數(shù)據(jù)在遠程場地存有一致、可用的拷貝，保證數(shù)據(jù)的安全；②應(yīng)用立即在遠程現(xiàn)場運行，保證業(yè)務(wù)的連續(xù)性 。 ? 機房監(jiān)控：機房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。 ? 設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。 網(wǎng)絡(luò)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計。 ? 線路備份：線路備份主要是預(yù)防通信線路意外中斷。 ? 電源備份：電源備份用于預(yù)防電源故障引起的短時電力中斷。 絡(luò)安全與系統(tǒng)安全 ? 深層防御：深層防御就是采用層次化保護 策略，預(yù)防能攻破一層 或一類保護的攻擊行為，使之無法破壞整個辦公 網(wǎng)絡(luò)。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問，根據(jù)需要采用適當?shù)挠行ПＷo。 8 ? 邊界防護：邊界防護用于預(yù)防來自本安全域以外的各種惡意攻擊和 遠程訪問控制。邊界防護機制有防火墻、入侵檢測、隔離網(wǎng)閘等，實現(xiàn)網(wǎng)絡(luò)的安全隔離 。 ? 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。 ? 備份恢復(fù)：備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。 ? 漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安 全隱患。 ? 主機保護：對關(guān)鍵的主機，例如數(shù)據(jù)庫服務(wù)器安裝主機保護軟件，對操作系統(tǒng)進行安全加固。 ? 安全審計：用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。 用安全 ? 身份認證：身份認證用于保證身份的真實性。公司 網(wǎng)絡(luò)中身份認證包括用戶身份認 證、管理人員身份認證、操作員身份認證服務(wù)器身份認證。鑒于辦公 網(wǎng) 與互聯(lián)網(wǎng)相連 ， 用戶數(shù)量較大的，基于數(shù)字證書（ 認證體制將是理想的選擇。 ? 權(quán)限管理：權(quán)限管理指對 公司辦公 網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)應(yīng)用、主機系統(tǒng)的所有操作和訪 問權(quán)限進行管理，防止非授權(quán)訪問和操作。 ? 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公 網(wǎng)絡(luò)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù)完整性保護。 ? 抗抵賴：抗抵賴就是通過采用數(shù)字 簽名方法保證當事人行為的不可否認性，建立有效的責任機制，為京唐港公司 網(wǎng)絡(luò)創(chuàng)造可信的應(yīng)用環(huán)境。 ? 安全審計：各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應(yīng)的審計工具。 全管理 ? 組織建設(shè)：安全管理組織建設(shè)包括：組織機構(gòu)、人才隊伍、應(yīng)急響應(yīng)支援體系等的建設(shè)。 9 ? 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機房管理制度、卡機具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理 制度等的建設(shè)。 ? 標準建設(shè)：安全標準規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、密碼服務(wù)接口等標準規(guī)范的建立。 ? 安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護、安全評估、安全加固、緊急響應(yīng)等。 ? 技術(shù)建設(shè)：安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)，利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動化、智能化水平 。 全實施方案 理安全防護 物理安全是整個系統(tǒng)安全的基礎(chǔ)，要把 公司內(nèi)部局域 網(wǎng)系統(tǒng)的安全風險減至最低限度，需要選擇適當?shù)募夹g(shù)和產(chǎn)品，保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及 人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。 機房建設(shè)必須嚴格按照國家標準 子計算機機房設(shè)計規(guī)范》、國標 算站場地技術(shù)條件》、 算站場地安全要求》進行建設(shè)。 通過防盜措施，如裝備報警裝置防止設(shè)備被盜；通過對重要設(shè)備電源采用電防止電源意外斷電中斷服務(wù)；通過對重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。 份與恢復(fù) 對于網(wǎng)絡(luò)應(yīng)用實時性要求很高的系統(tǒng)，數(shù)據(jù)備份措施往往采用服務(wù)器的雙機備份。即兩臺服務(wù)器同時安裝備份系統(tǒng)，同時在線，互為備份 。正常情況下，由主服務(wù)器提供服務(wù)，備份服務(wù)器處于帶電但不提供服務(wù)狀態(tài)，一旦主服務(wù)器出現(xiàn)故障，備份服務(wù)器自動接管主服務(wù)器來提供服務(wù)。保證應(yīng)用服務(wù)器能夠提供不間 10 斷的服務(wù)。 京唐港股份公司 應(yīng)用服務(wù)可靠要求較 高，而且業(yè)務(wù)數(shù)據(jù)存儲容量 會隨著業(yè)務(wù)的擴展而增 大，并 非常重要。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理，或者在數(shù)據(jù)出現(xiàn)意外事 故時無法恢復(fù)，必須對數(shù)據(jù)庫進行備份。根據(jù)實際情況可采用 構(gòu)存儲系統(tǒng)， 采用磁帶庫進行備份并實現(xiàn)災(zāi)難恢復(fù)。 問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護最有效手段之一，據(jù)統(tǒng)計分析，完善的訪問控 制策略可把網(wǎng)絡(luò)安全風險降低 90%。網(wǎng) 絡(luò)的訪問控制技術(shù)可以針對網(wǎng)絡(luò)協(xié)議 、目標對象以及通訊端口等進行過濾和檢驗，符合條件才通過，不符合條件的則被丟棄。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時，需要驗證身份、判別權(quán)限后才能進行訪問。訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。訪問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 訪問控制策略可以采用三層交換設(shè)備 術(shù)、 術(shù)、綁定技術(shù)等，使得不同部門、不同組別、不同用戶之間的網(wǎng)絡(luò)訪問達到有效的 控制；也可以通過在不同網(wǎng)絡(luò)安全域之間加裝防火墻等安全設(shè)備，利用防火墻的控制策略達到網(wǎng)絡(luò)訪問控制的目的。 統(tǒng)安全 系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。 ? 數(shù)據(jù)庫安全 數(shù)據(jù)庫存放了整個網(wǎng)絡(luò)中的重要數(shù)據(jù)，為此需要建立一套有效的安全機制。加強數(shù)據(jù)庫系統(tǒng)登陸權(quán)限管理，加強管理員登陸口令的管理以及數(shù)據(jù)庫遠程訪問權(quán)限的管理，對數(shù)據(jù)庫采用備份與恢復(fù)機制。同時對重要的涉密系統(tǒng)應(yīng)選用經(jīng)國家主管部門批準使用的安全數(shù)據(jù)庫，或者對數(shù)據(jù)庫進行安全增強改造、加固。數(shù)據(jù)庫具體安全要求： 11 1、用戶角色的管理 這是保護數(shù)據(jù)庫系 統(tǒng)安全的重要手段之一。把網(wǎng)絡(luò)中使用數(shù)據(jù)庫的用戶設(shè)置為不同的用戶組并對用戶組的安全屬性進行驗證，有效地防止非法的用戶進入數(shù)據(jù)庫系統(tǒng)；在數(shù)據(jù)庫中，可以通過授權(quán)對用戶的操作進行限制，即允許一些用戶對數(shù)據(jù)庫服務(wù)器進行訪問，具有讀寫整個數(shù)據(jù)庫的權(quán)利，而大多數(shù)用戶只能在同組內(nèi)進行讀寫或?qū)φ麄€數(shù)據(jù)庫只具有讀的權(quán)利。在此，特別強調(diào)對系統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。 2、數(shù)據(jù)保護 數(shù)據(jù)庫的數(shù)據(jù)保護主要是數(shù)據(jù)庫的備份，當計算機的軟硬件發(fā)生故障時，利用備份進行數(shù)據(jù)庫恢復(fù)，以恢復(fù)破壞的數(shù)據(jù)庫文件、控制文件或其他文件。 另一種數(shù)據(jù)保護是日志，數(shù)據(jù)庫實例都提供日志，用以記錄數(shù)據(jù)庫中所進行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫內(nèi)部建立一個所有作業(yè)的完整記錄。再一個就是控制文件的備份，一般用于存儲數(shù)據(jù)庫物理結(jié)構(gòu)的狀態(tài)，控制文件中的某些狀態(tài)信息在實例恢復(fù)和介質(zhì)恢復(fù)期間用于引導(dǎo)數(shù)據(jù)庫，在實際操作時，需要為網(wǎng)絡(luò)的數(shù)據(jù)庫分別指定相應(yīng)的備份策略。 ? 操作系統(tǒng)安全 目前用戶辦公計算機采用操作系統(tǒng)還主要基于 臺。其自身安全需要得到關(guān)注，即在日常工作中必須注意對操作系統(tǒng)進行必要的防護。如： 1、定期維護：及時安裝漏洞補丁，定 期進行完整性檢查、配置檢查、病毒檢查和漏洞掃描。 2、使用權(quán)限控制：用戶權(quán)限、口令安全。 3、遠程訪問安全：進行基本的安全配置。 段劃分 與虛擬局域網(wǎng) 網(wǎng)段劃分主要是對 址進行合理的規(guī)劃和分配。為確保 辦公網(wǎng) 中各子網(wǎng)以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全運 12 行，需要合理規(guī)劃、分配外網(wǎng)各部門的 址。網(wǎng)段劃分的方法可以采用各個部門或機構(gòu)劃分 網(wǎng)段，重要的服務(wù)器設(shè)備劃分單獨的網(wǎng)段，以便監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全。 虛擬局域網(wǎng)可有效地解決廣播風暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。結(jié)合訪問 控制列表功能，可以極大地增強 辦公網(wǎng) 的安全性，防止 網(wǎng) 絡(luò)內(nèi)用戶對系統(tǒng)相關(guān)信息的非授權(quán)訪問。辦公 網(wǎng)可按各個職能來劃分 將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨作為一個 ，技術(shù)人員劃分為一個 作人員劃分為一個 其它機構(gòu)分別劃作一個 共享服務(wù)器（如 務(wù)器、 務(wù)器等）單獨劃作一個 其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 公網(wǎng) 整體安全建議 根據(jù)以上的安全風險分析、需求分析和 京唐港公司 的具體情況， 建議 從以下方面考慮進行安全方面的部署： ? 終端防護 A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的 企業(yè)級防病毒系統(tǒng) 。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機癱瘓、網(wǎng)絡(luò)阻塞等安全問題。 B. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的 終端安全防護系統(tǒng)。 通過終端安全防護系統(tǒng)的統(tǒng)一部署，可以 京唐港公司 安全管理制度提供有利的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。 C. 在中心部署 身份認證登陸系統(tǒng) ，終端必須通過身份認證才能進入，避免非法進入 。 ? 邊界的防護 A. 通過 防火墻 系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安 全區(qū)域， 來限制不同信任度區(qū)域之間的相 互訪問，保護各關(guān)鍵應(yīng)用服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的前端增 13 加一臺防火墻設(shè)備。 B. 通過 入侵檢測 系統(tǒng)的部署， 幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 ? 服務(wù)器的防護 A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的 企業(yè)級防病毒系統(tǒng) 。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問題，為服務(wù)器病毒防護提供有效的安全保障。 B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器 部署統(tǒng)一管理的 終端安全防護系統(tǒng) 。通過終端安全防護系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、系統(tǒng)的安全、補丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。 C. 服務(wù)器安全加固 ，對關(guān)鍵服務(wù)器進行安全加固，保證服務(wù)器的安全使用和穩(wěn)固 。 ? 系統(tǒng)安全防護 A. 在辦公網(wǎng)系統(tǒng)上部署 漏洞掃描系統(tǒng) ，可以隨時的對網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫系統(tǒng)進行掃描，以發(fā)現(xiàn)安全隱患。 B. 在系統(tǒng)當中 部署 安全強審計系統(tǒng) 。根據(jù)用戶的安全策略制定詳細的審計保護規(guī)則，對 整個網(wǎng)絡(luò)和主機中 違反安全策略的行為進行阻斷，并向管理中心報警。 系統(tǒng)整體安全 體系結(jié)構(gòu) 圖見 圖 1： 14 W E B 服 務(wù) 器郵 件 服 務(wù) 器病 毒 服 務(wù) 器I N T E R N E 檢 測 系 統(tǒng)安 全 審 計 系 統(tǒng)K V 服 務(wù) 器網(wǎng) 管 工 作 站舊辦公區(qū)各個樓層交換入 侵 檢 測 系 統(tǒng)入 侵 檢 測 系 統(tǒng)公共系統(tǒng)區(qū)入 侵 檢 測 系 統(tǒng)網(wǎng)絡(luò)管理區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu) 示意 圖 火墻實施方案 施原則 （ 1） 整體性 ? 安全防范體系的建立和多層保護的相互配合； ? 實現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。 （ 2） 先進性 ? 安全技術(shù)先進； ? 安全產(chǎn)品成熟； ? 安全系統(tǒng)技術(shù)生命的周期適度。 （ 3） 可用性 ? 安全系統(tǒng)本身的可用性； ? 安全管理友好，并于其他系統(tǒng)管理的有效集成； ? 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜； 15 ? 盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。 （ 4） 擴充性 ? 安全系統(tǒng)能適 應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化； ? 安全系統(tǒng)遵循標準，系統(tǒng)的變化易實現(xiàn)、易修改、易擴充。 施策略 ? 采取核心保護策略，盡可能的以最小的投資達到最大的安全防護。 ? 采用可以提供集中管理控制的產(chǎn)品，同時要求考慮產(chǎn)品適應(yīng)性可擴展性，以適應(yīng)網(wǎng)絡(luò)擴展的需要。 ? 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護上盡量簡單、直觀。 ? 建立層次化的防護體系和管理體系。 火墻系統(tǒng)部署 從 京唐港公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公 網(wǎng) 中 的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著 整個公司 全部網(wǎng)絡(luò)功能的需求，對網(wǎng) 絡(luò)安全系數(shù)的要求很高 ，一旦重要服務(wù)器遭到攻擊破壞，將對整個公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以 在服務(wù)器交換機與核心交換機的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施。 ? 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進行，而其他未經(jīng)過允許的行為全部被禁止； ? 限制安全服務(wù)區(qū)對非安全服務(wù)區(qū)的直接訪問； ? 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資料； 具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺防火墻 作為網(wǎng) 絡(luò)系統(tǒng)與接的第一道安全防護，通過防火墻提供的功能來達到訪問控制的目的 ；另外，在各個系統(tǒng) 區(qū)的出口處也部署一臺防火墻，用來保證 各個區(qū)域 的安全，制定不同的安全策略，實現(xiàn)對重要服務(wù)器 系統(tǒng) 的防護和訪問控制。 16 火墻安全策略 針對 公司辦公局域網(wǎng) 的具體情況，我們 建議制定以下的安全策略： ? 安全區(qū)域隔離策略 由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達到一定的安全水平，必須保證對 網(wǎng)絡(luò)中各部分都采取了均衡的保護措施， 但對于公司整個辦公網(wǎng)來說都采用相同的手段是不可能也沒有必要的， 本辦公網(wǎng)可以采 用的方法 是根據(jù)網(wǎng)絡(luò)不同部分的重要 性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進行隔離和保護。 建議采用防 火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點是各服務(wù)器區(qū)域與辦公 網(wǎng) 內(nèi) 用戶區(qū)域之間的連接。 ? 訪問控制策略 防火墻被部署后 ，將根據(jù)實際應(yīng)用需要定義適當?shù)陌踩呗裕槍υ吹刂?、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實現(xiàn)訪問控制，確保不同網(wǎng)絡(luò)區(qū)域之間的授權(quán)、有序訪問 ，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡意的攻擊 。 例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： - 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機訪問本區(qū)域服務(wù)器的特定端口，拒絕其他任何訪問請求，這樣可以保護服務(wù)器系統(tǒng)不受非法入侵和攻擊； - 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項目我們將在實施的過程中，根據(jù)網(wǎng)絡(luò) 的真實環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實際需要，來制定詳細的訪問控制策略。基本原則是開放最少端口。作為區(qū)域邊界保護的準則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問控制策略是否得到實施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整是區(qū)域邊界保護中要注意的問題。 ? 用戶認證和授權(quán)策略 選擇一種既方便實用又具備足夠安全性的用戶認證機制，通過防火墻實現(xiàn)對網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管 理，防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時也便于針對實際用戶進行行為審計。 ? 帶寬管理策略 17 我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用 。 可以在防火墻中直接加載控制策略，為比 較重要的訪問 定義可用的最大帶寬和優(yōu)先級，確保為重要的應(yīng)用預(yù)留足夠的帶寬進行數(shù)據(jù)交換。 我們還可以 定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬。 例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進行網(wǎng)絡(luò)通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后 是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。 ? 日志和審計策略 一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。 防火墻系統(tǒng)提供了強大的日志功能，可對重要關(guān)鍵資源的使用情況進行有效的監(jiān)控，實現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時 間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作）。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。同時，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進行統(tǒng)一的管理。 火墻選型 由于將各個系統(tǒng)按照區(qū)域化分進行分別防護，在總出口處已經(jīng)部署一臺 高性能 千兆防火墻，根 據(jù)流量及應(yīng)用實際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺千 兆防火墻，考慮到部分有可能系統(tǒng)采用 備，所以可以選擇帶 產(chǎn)品功能： 功能類別 功能項 功能細項 網(wǎng)絡(luò)安全性 工作模式 路由、透明、混合 內(nèi)容過濾 支持基于流、數(shù)據(jù)包、透明代理的過濾方式。 支持對 協(xié)議的深度內(nèi)容過濾。 18 支持 濾 支持對移動代碼如 支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾 支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾 動態(tài)端口支持協(xié)議： 防病毒 對通過的數(shù)據(jù)進行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包含的病毒， 病毒庫更新 提供快速掃描及完全掃描兩種掃描方式 系統(tǒng)狀態(tài)實時監(jiān)控 包過濾 基于狀態(tài)檢測的動態(tài)包過濾 實現(xiàn)基于源 /目的 址、源 /目的 址、源 /目的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 可實現(xiàn) 定 防御攻擊 非法報文攻擊： 計型報文攻擊： 動：可與支持 議的 備聯(lián)動，以提高入侵檢測效率。 端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進行阻斷設(shè)置 理：對來自定義區(qū)域的 擊行為進行阻斷過濾 務(wù) 支持使用一次性口令認證（ 本地認證、 雙因子認證（ 及數(shù)字證書（ 常用的安全認證方式 支持使用第三方認證如 認證等安全認證方式 支持 證、 話認證 支持認證?；罟δ? 可將認證用戶信息加密存放在本地數(shù)據(jù)庫 持雙向 持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換 支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換 支持虛擬服務(wù)器功能 網(wǎng)絡(luò)適應(yīng)性 路由 支持靜態(tài)路由、動態(tài)路由 支持基于源 /目的地址、接口 、 策略路由 支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。 支持 由，能夠在不同的 接口間實現(xiàn)路由功能。 19 支持 路由協(xié)議。 組播 支持 播協(xié)議 支持 有效地實現(xiàn)視頻會議等多媒體應(yīng)用 持與交換機的 口對接，并且能夠?qū)崿F(xiàn) 通過安全設(shè)備傳播路由 支持 進行 封裝和解封 支持 進行 封裝和解封 在同 一個 能進行二層交換 生成樹 支持 成樹協(xié)議，包括 協(xié)議。 持 理、 習 可設(shè)置靜態(tài) 議 支持對非 議 傳輸與控制。 持 入 支持 入功能，可滿足中小企業(yè)的多種接入需求。 支持 號接入 其它 支持網(wǎng)絡(luò)時鐘協(xié)議 以自動根據(jù) 務(wù)器的時鐘調(diào)整本機時間 支 持 非 議。 持基于標準 商的 信隧道 支持多種 證方式，如預(yù)共享密鑰，數(shù)字證書等 支持 展認證，如 證等。 解決方案 支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠程移動用戶到網(wǎng)關(guān)的 道 在具有 解決方案中，支持靈活的移動用戶到移動用戶的隧道。 可以和密碼機產(chǎn)品，遠程客戶端產(chǎn)品及 全管理系統(tǒng)（ 同組成完整的 決方案。 算法 支持 3密辦等加密算法 支持標準 證算法 支持加密卡提供的 證算法 工作模式 支持 式 支持網(wǎng)狀連接方式 支持分級的樹狀連接方式 其它功能 支持網(wǎng)絡(luò)鄰居（利用 支持隧道的 越 支持對隧道內(nèi)明文的訪問控制 可同時支持明密傳輸 安全管理 日志 支持 多種日志格式的輸出 支持通過第三方軟件來查看日志 支持日志分級 支持對接收到的日志進行緩沖存儲 20 通過安全審計系統(tǒng)（ 可獲得更詳盡的日志分 析和審計功能 ,并能提供員工上網(wǎng)行為管理功能。 可選高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進行聯(lián)合分析。 監(jiān)控 支持網(wǎng)絡(luò)接口監(jiān)測、 用率監(jiān)測、內(nèi)存使用率監(jiān)測、操作系統(tǒng)狀況監(jiān)測、網(wǎng)絡(luò)狀況監(jiān)測、硬件系統(tǒng)監(jiān)測、進程監(jiān)測、進程內(nèi)存監(jiān)測、加密卡狀況監(jiān)測。 可根據(jù)配置文件進行錯誤恢復(fù) 報警 報警事件：內(nèi)置了 “管理 ”、 “系統(tǒng) ”、 “安全 ”、 “策略 ”、 “通信 ”、 “硬件 ”、“容錯 ”、 “測試 ”等多種觸發(fā)報警的事件類 報警方式：采用郵件、 音、 制臺等多種報警方式，報警方式可以組合使用。 帶寬管理 寬管理 根據(jù) 議、網(wǎng)絡(luò)接口、時間定義帶寬分配策略 支持最小保證帶寬和最大限制帶寬 支持分層的帶寬管理 優(yōu)先級 支持 8 級優(yōu)先級控制 雙機熱備 支持雙機熱備 支持系統(tǒng)故障切換 負載均衡 支持服務(wù)器的負載均衡，提供輪詢、加權(quán)輪叫、最少連接、加權(quán)最少鏈接等多種負載均衡方式供用戶選擇。 支持生成樹協(xié)議，可實現(xiàn)鏈路負載均衡。 其它功能 支持鏈路備份功能 支持 雙系統(tǒng)引導(dǎo)，當主系統(tǒng)損壞時，可以啟用備用系統(tǒng)，不影響設(shè)備的正常使用 支持 能 配置管理 配置方式 支持 形配置、命令行配置 支持本地配置、遠程配置 支持基于 安全配置 命令行 支持配置命令分級保護 支持中英文 支持命令超時、歷史命令、命令補齊、命令幫助、命令錯誤提示等功能 持 本 與當前通用的網(wǎng)絡(luò)管理平臺兼容，如 。 系統(tǒng)升級 支持雙系統(tǒng)升級 支持遠程維護和系統(tǒng)升級 支持 級 報文調(diào)試 提供強大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。 支持發(fā)送虛擬報文 21 配置恢復(fù) 可以進行配置文件的備份、下載、刪除、恢復(fù)和上載。 其它 擴展能力 開放式的架構(gòu)支持未來方便擴展防病毒、防垃圾郵件、 功能以及各種 速卡 術(shù)參數(shù) 1. 1000M 光纖接口≥ 2； 2. 并發(fā)連接數(shù)≥ 50 萬 ； 3. 持：支持 4. 流量管理：支持帶寬管理和優(yōu)先級控制 ； 5. 支持 址綁定 ； 6. 支持 理 ； 7. 支持抗 口掃描、特洛伊木馬等攻擊 ； 8. 支持基于 視頻會議和 音系統(tǒng) 。 侵檢測系統(tǒng)實施方案 侵檢測系統(tǒng) 概述 入侵檢測系統(tǒng)是屬于主動防御 ， 它識別大量的攻擊模式、并根據(jù)用戶策略 做出響應(yīng)。入侵檢測系統(tǒng)以實時性、動態(tài)檢測和主動防御為特點，有效彌補了其它靜態(tài)防御工具的不足，完善我們的防御系統(tǒng) ， 已經(jīng)成為網(wǎng)絡(luò)安全系統(tǒng)的必備設(shè)施。 網(wǎng)絡(luò) 入侵檢測系統(tǒng) 可以對整個網(wǎng)絡(luò)進行檢測和防御， 通常由控制中心和探測引擎兩部分組成。探測引擎一般采用 專用硬件設(shè)備通過旁路方式接入檢測網(wǎng)絡(luò)。探測引擎全面?zhèn)陕牼W(wǎng)絡(luò)信息流，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，進行檢測和實時分析，從而實時甚至提前發(fā)現(xiàn)非法或異常行為，并且執(zhí)行告警、阻斷等功能，并記錄相應(yīng)的事件日志?？刂浦行氖敲嫦蛴脩簦峁┕芾砼渲檬褂?。它支持控制多個位于本地或遠程的探測引擎，集中制定和配置監(jiān)控策略，提供統(tǒng)一的數(shù)據(jù)管理。 對發(fā)現(xiàn)入侵或異常行為，入侵檢測系統(tǒng)控制中心能記錄、顯示詳細的入侵告警信息，如入侵主機的 址、攻擊特征等。通過對所記錄的歷史報警信息進 22 行分類統(tǒng)計，可形成用戶所需要的管理報表。 侵檢測 技術(shù) 高性能報文捕獲 ? 零拷貝技術(shù) 為保障信息安全的重要環(huán)節(jié)，一直發(fā)揮著重要作用。目前，由于網(wǎng)絡(luò)自身的發(fā)展非常迅速，一般的網(wǎng)絡(luò)局域網(wǎng)主干交換帶寬速度由 10/100M 的網(wǎng)絡(luò)發(fā)展到 1000M，給 來了巨大的挑戰(zhàn)。由于傳統(tǒng)的入侵檢測系統(tǒng)一般基于簡單的模式匹配實現(xiàn)，在百兆滿負荷的網(wǎng)絡(luò)環(huán)境中工作已經(jīng)相當吃力，而網(wǎng)絡(luò)帶寬成 10 倍的增加，如果不考慮其它條件，意味著要求 加 10 倍的處理能力，因此網(wǎng)絡(luò)的發(fā)展，提出了千兆或更高性能 需求。而高性能入侵檢測的一個重要瓶頸就在于高速的報文捕獲和批量處 理分析。 為了提高報文捕獲的效率，通過修改網(wǎng)卡驅(qū)動程序，使用 數(shù)據(jù)零拷