【正文】 XX有限公司網(wǎng)絡(luò)安全項目建議書 正本 前 言 隨著計算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會發(fā)展的一個主題。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，特別是 Inter 的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)保險等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問題變得越來越重要。計算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失實(shí)在令人吃驚。僅在美國每年因計算機(jī)犯罪所 造成的直接經(jīng)濟(jì)損失就達(dá) 150 億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶都會遭殃。面對計算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。 目前 互聯(lián)網(wǎng)已經(jīng)成為最大的公共數(shù)據(jù)網(wǎng)絡(luò)，在全球范圍內(nèi)實(shí)現(xiàn)并促進(jìn)了個人通信和商業(yè)通信?；ヂ?lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流量每天都以指數(shù)級的速度迅速增長。越來越多的通信都通過電子郵件進(jìn)行；移動員工、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)都利用互聯(lián)網(wǎng)來從遠(yuǎn)程連接他們的企業(yè)網(wǎng)絡(luò)；而在互聯(lián)網(wǎng)上通過 WWW 方式完成的商業(yè)貿(mào)易現(xiàn)在已經(jīng)成為企業(yè)收入的重要組成部分。 但是這個龐大的網(wǎng)絡(luò)及其相關(guān)的技術(shù)為不斷增長的安全威脅提供了可乘之機(jī)，因而企業(yè)必須學(xué)會保護(hù)自己免受這些威脅的危害。 在捍衛(wèi)網(wǎng)絡(luò)安全的過程中，防火墻受到人們越來越多的青睞。作為一種提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，防火墻采用將內(nèi)部網(wǎng)和公眾網(wǎng)如 Inter 分開的 方法，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強(qiáng)的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和 Inter 之間的任何活動，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。 第一章 用戶現(xiàn)狀及需求分析 用戶現(xiàn)狀分析 XX 有限公司是設(shè)立在 xx 經(jīng)濟(jì)技術(shù)開發(fā)區(qū)的企業(yè)。公司網(wǎng)絡(luò)現(xiàn)狀為：通過 ADSL 接到互聯(lián)網(wǎng)。公司準(zhǔn)備新增一臺服務(wù)器 ,此臺服務(wù)器上將會提供企業(yè)網(wǎng)站 Web 服務(wù)、 Mail 服務(wù)、企業(yè) OA 系統(tǒng)服務(wù)，此部分功能主要面向企業(yè)內(nèi)部用戶和各辦 事處 ,Web 服務(wù)可能會面向客戶提供服務(wù) ,各訪問者均通過 Inter 訪問此服務(wù)器。公司內(nèi)部網(wǎng)絡(luò)辦公電腦均通過這條線路上網(wǎng)。為了加強(qiáng)企業(yè) INTRANET 的安全性，保障各辦事處和市場部的使用，提供客戶訪問WEB網(wǎng)站，所以 xx 公司需要自己的網(wǎng)絡(luò)安全解決方案。 xx 的網(wǎng)絡(luò)現(xiàn)狀中存在如下的缺陷： 1. 來自于外網(wǎng)的訪問，無法做到屏蔽非法的外部連接，非法連接、黑客連接擁有正常的授權(quán)連接的權(quán)限。 2. 內(nèi)網(wǎng)用戶對外的訪問不用經(jīng)過授權(quán)就能訪問外部的 Server，也就是說對所有的用戶不進(jìn)行互聯(lián)網(wǎng)資源的限制。 3. 外網(wǎng)可以直接對內(nèi)網(wǎng)進(jìn)行訪問，互聯(lián)網(wǎng)用戶訪問公司服務(wù)器時未進(jìn)行服務(wù)端口的限定，對內(nèi)網(wǎng)普通用戶也未進(jìn)行訪問限制，存在較大的安全威脅。 4. 企業(yè)用戶對 Inter 的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全問題。如通過電子郵件、 FTP引入病毒、危險的 Java 或 ActiveX 應(yīng)用等。 5. 提供給 Inter 的 WWW 應(yīng)用如： HTTP、 MAIL 服務(wù)沒有保障系統(tǒng)抵抗和檢測攻擊的能力。 綜上所述，在 xx 的網(wǎng)絡(luò)現(xiàn)狀中，其網(wǎng)絡(luò)安全防御的能力是較弱的。在新的服務(wù)器架設(shè)完成后， xx 公司將會面臨到較為嚴(yán)重的網(wǎng)絡(luò)安全問 題。在這種情況下，我們一定要加緊步伐并以嚴(yán)謹(jǐn)?shù)膽B(tài)度來對 XX 的網(wǎng)絡(luò)安全進(jìn)行規(guī)劃處理。 網(wǎng)絡(luò)攻擊和病毒入侵聯(lián)合攻擊，造成網(wǎng)絡(luò)的性能差，網(wǎng)絡(luò)脆弱。網(wǎng)絡(luò)黑客的攻擊如DDOS， DOS， REDCode， SQL SLAMER， BLASTER 等，一旦被攻擊，會給網(wǎng)絡(luò)帶來大量的數(shù)據(jù)包，讓網(wǎng)絡(luò)不堪重負(fù)，嚴(yán)重時候造成網(wǎng)絡(luò)癱瘓。 INTERNET 訪問內(nèi)容和郵件的內(nèi)容沒有進(jìn)行過濾，一些 ACTIVEX， JAVA， SCRIPT等惡意代碼輕松進(jìn)入內(nèi)部網(wǎng)絡(luò)，造成對其他 PC 的安全威脅。 重點(diǎn)服務(wù)器沒有實(shí)施隔離訪 問，服務(wù)器上沒有部署安全解決方案，如網(wǎng)絡(luò)防護(hù)、訪問控制。目前服務(wù)器的內(nèi)容任何人都可以訪問，可以訪問訪問服務(wù)器的任何服務(wù)，服務(wù)器的風(fēng)險非常大。 局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（ WWW、 EMAIL 服務(wù)）作為公司的信息發(fā)布平臺，一旦不能運(yùn)行后者受到攻擊，對企業(yè)的聲譽(yù)影響巨大。同時公開服務(wù)器本身要為外界服務(wù)，必須開放相應(yīng)的服務(wù)；每天， hacker 都在試圖闖入 Inter 節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連hacker 怎么闖入的都不知道，甚至?xí)蔀?hacker 入侵其他站點(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對 Inter 安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 全球 黑客 大戰(zhàn)的余波仍未退卻，各種各樣的網(wǎng)絡(luò)病毒又紛至沓來，而大部分的網(wǎng)絡(luò)病毒都帶有黑客性質(zhì)。黑客和病毒很容易就可以突破公司現(xiàn)在脆弱的防護(hù)體系。黑客和帶黑客性質(zhì)的病毒，不僅會破壞公司的運(yùn)行環(huán)境，破壞機(jī)器上的數(shù)據(jù)，更有可能盜取機(jī)密的數(shù)據(jù)和信息！潛在的風(fēng)險很難估計。 雖然 xx 已經(jīng)部署了防毒體系，但防毒系統(tǒng)僅是內(nèi)部安全的一部分，要實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全，必須采用全方位的防護(hù)系統(tǒng)。防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要保證。 隨著互聯(lián)網(wǎng)飛速發(fā)展，越來越多的企業(yè)都通過網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)，許多企業(yè)甚至發(fā)覺離開網(wǎng)絡(luò)，業(yè)務(wù)就無法正常運(yùn)行，網(wǎng)絡(luò)安全和可用性的重要性由此可見一斑。 據(jù)分析專家估算， 2020 年病毒和攻擊給企業(yè)造成的損失達(dá) 550 億美元； 微軟懸賞 25 萬美元捉拿旨在使微軟網(wǎng)站癱瘓的 MyDoom 病毒的作者； 中國公安部于 2020 年上 半年發(fā)布報告，稱中國 95％的計算機(jī)曾感染過病毒，有 97%連接入互聯(lián)網(wǎng)的計算機(jī)都受到過黑客的掃描或入侵。 由此可見，現(xiàn)在企業(yè)的網(wǎng)絡(luò)并非象想象中那么安全。究其原因，是由于現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施存在缺陷，因?yàn)樗鼈儗π滦偷牟《竞凸魺o法防御。病毒傳播和攻擊的途徑雖然主要是通過電子郵件傳播，但隱藏在復(fù)雜的應(yīng)用層數(shù)據(jù)中進(jìn)行傳播的病毒也越來越多，通過 Web 網(wǎng)頁瀏覽、 WebMail 系統(tǒng)、聊天軟件、 P2P 文件共享應(yīng)用進(jìn)行傳播，但企業(yè)現(xiàn)有的安全設(shè)施還不能對這些傳播渠道進(jìn)行控制。 所以，對于中型企業(yè) 來說防火墻的部署是必須的，加強(qiáng)訪問控制和內(nèi)容過濾是應(yīng)該的。 xx 需求分析