【正文】 XX有限公司網(wǎng)絡(luò)安全項(xiàng)目建議書(shū) 正本 前 言 隨著計(jì)算機(jī)技術(shù)和通訊技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著人們的工作方式和生活方式，成為當(dāng)今社會(huì)發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開(kāi)放性，互連性，共享性程度的擴(kuò)大，特別是 Inter 的出現(xiàn)，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。隨著網(wǎng)絡(luò)上電子商務(wù)，電子現(xiàn)金，數(shù)字貨幣，網(wǎng)絡(luò)保險(xiǎn)等新興業(yè)務(wù)的興起，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。計(jì)算機(jī)網(wǎng)絡(luò)犯罪所造成的經(jīng)濟(jì)損失實(shí)在令人吃驚。僅在美國(guó)每年因計(jì)算機(jī)犯罪所 造成的直接經(jīng)濟(jì)損失就達(dá) 150 億美元。在全球平均每二十秒就發(fā)生一次網(wǎng)上入侵事件。有近 80%的公司至少每周在網(wǎng)絡(luò)上要被大規(guī)模的入侵一次，并且一旦黑客找到系統(tǒng)的薄弱環(huán)節(jié)，所有用戶(hù)都會(huì)遭殃。面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來(lái)保證安全。 目前 互聯(lián)網(wǎng)已經(jīng)成為最大的公共數(shù)據(jù)網(wǎng)絡(luò)，在全球范圍內(nèi)實(shí)現(xiàn)并促進(jìn)了個(gè)人通信和商業(yè)通信?；ヂ?lián)網(wǎng)和企業(yè)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流量每天都以指數(shù)級(jí)的速度迅速增長(zhǎng)。越來(lái)越多的通信都通過(guò)電子郵件進(jìn)行；移動(dòng)員工、遠(yuǎn)程辦公人員和分支機(jī)構(gòu)都利用互聯(lián)網(wǎng)來(lái)從遠(yuǎn)程連接他們的企業(yè)網(wǎng)絡(luò)；而在互聯(lián)網(wǎng)上通過(guò) WWW 方式完成的商業(yè)貿(mào)易現(xiàn)在已經(jīng)成為企業(yè)收入的重要組成部分。 但是這個(gè)龐大的網(wǎng)絡(luò)及其相關(guān)的技術(shù)為不斷增長(zhǎng)的安全威脅提供了可乘之機(jī)，因而企業(yè)必須學(xué)會(huì)保護(hù)自己免受這些威脅的危害。 在捍衛(wèi)網(wǎng)絡(luò)安全的過(guò)程中，防火墻受到人們?cè)絹?lái)越多的青睞。作為一種提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，防火墻采用將內(nèi)部網(wǎng)和公眾網(wǎng)如 Inter 分開(kāi)的 方法，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強(qiáng)的抗攻擊能力，能有效地監(jiān)控內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的保證。 第一章 用戶(hù)現(xiàn)狀及需求分析 用戶(hù)現(xiàn)狀分析 XX 有限公司是設(shè)立在 xx 經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)的企業(yè)。公司網(wǎng)絡(luò)現(xiàn)狀為：通過(guò) ADSL 接到互聯(lián)網(wǎng)。公司準(zhǔn)備新增一臺(tái)服務(wù)器 ,此臺(tái)服務(wù)器上將會(huì)提供企業(yè)網(wǎng)站 Web 服務(wù)、 Mail 服務(wù)、企業(yè) OA 系統(tǒng)服務(wù)，此部分功能主要面向企業(yè)內(nèi)部用戶(hù)和各辦 事處 ,Web 服務(wù)可能會(huì)面向客戶(hù)提供服務(wù) ,各訪問(wèn)者均通過(guò) Inter 訪問(wèn)此服務(wù)器。公司內(nèi)部網(wǎng)絡(luò)辦公電腦均通過(guò)這條線路上網(wǎng)。為了加強(qiáng)企業(yè) INTRANET 的安全性，保障各辦事處和市場(chǎng)部的使用，提供客戶(hù)訪問(wèn)WEB網(wǎng)站，所以 xx 公司需要自己的網(wǎng)絡(luò)安全解決方案。 xx 的網(wǎng)絡(luò)現(xiàn)狀中存在如下的缺陷： 1. 來(lái)自于外網(wǎng)的訪問(wèn)，無(wú)法做到屏蔽非法的外部連接，非法連接、黑客連接擁有正常的授權(quán)連接的權(quán)限。 2. 內(nèi)網(wǎng)用戶(hù)對(duì)外的訪問(wèn)不用經(jīng)過(guò)授權(quán)就能訪問(wèn)外部的 Server，也就是說(shuō)對(duì)所有的用戶(hù)不進(jìn)行互聯(lián)網(wǎng)資源的限制。 3. 外網(wǎng)可以直接對(duì)內(nèi)網(wǎng)進(jìn)行訪問(wèn)，互聯(lián)網(wǎng)用戶(hù)訪問(wèn)公司服務(wù)器時(shí)未進(jìn)行服務(wù)端口的限定，對(duì)內(nèi)網(wǎng)普通用戶(hù)也未進(jìn)行訪問(wèn)限制，存在較大的安全威脅。 4. 企業(yè)用戶(hù)對(duì) Inter 的訪問(wèn)，有可能帶來(lái)某些類(lèi)型的網(wǎng)絡(luò)安全問(wèn)題。如通過(guò)電子郵件、 FTP引入病毒、危險(xiǎn)的 Java 或 ActiveX 應(yīng)用等。 5. 提供給 Inter 的 WWW 應(yīng)用如： HTTP、 MAIL 服務(wù)沒(méi)有保障系統(tǒng)抵抗和檢測(cè)攻擊的能力。 綜上所述，在 xx 的網(wǎng)絡(luò)現(xiàn)狀中，其網(wǎng)絡(luò)安全防御的能力是較弱的。在新的服務(wù)器架設(shè)完成后， xx 公司將會(huì)面臨到較為嚴(yán)重的網(wǎng)絡(luò)安全問(wèn) 題。在這種情況下，我們一定要加緊步伐并以嚴(yán)謹(jǐn)?shù)膽B(tài)度來(lái)對(duì) XX 的網(wǎng)絡(luò)安全進(jìn)行規(guī)劃處理。 網(wǎng)絡(luò)攻擊和病毒入侵聯(lián)合攻擊，造成網(wǎng)絡(luò)的性能差，網(wǎng)絡(luò)脆弱。網(wǎng)絡(luò)黑客的攻擊如DDOS， DOS， REDCode， SQL SLAMER， BLASTER 等，一旦被攻擊，會(huì)給網(wǎng)絡(luò)帶來(lái)大量的數(shù)據(jù)包，讓網(wǎng)絡(luò)不堪重負(fù)，嚴(yán)重時(shí)候造成網(wǎng)絡(luò)癱瘓。 INTERNET 訪問(wèn)內(nèi)容和郵件的內(nèi)容沒(méi)有進(jìn)行過(guò)濾，一些 ACTIVEX， JAVA， SCRIPT等惡意代碼輕松進(jìn)入內(nèi)部網(wǎng)絡(luò)，造成對(duì)其他 PC 的安全威脅。 重點(diǎn)服務(wù)器沒(méi)有實(shí)施隔離訪 問(wèn)，服務(wù)器上沒(méi)有部署安全解決方案，如網(wǎng)絡(luò)防護(hù)、訪問(wèn)控制。目前服務(wù)器的內(nèi)容任何人都可以訪問(wèn)，可以訪問(wèn)訪問(wèn)服務(wù)器的任何服務(wù)，服務(wù)器的風(fēng)險(xiǎn)非常大。 局域網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū)（ WWW、 EMAIL 服務(wù)）作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù)，必須開(kāi)放相應(yīng)的服務(wù)；每天， hacker 都在試圖闖入 Inter 節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連hacker 怎么闖入的都不知道，甚至?xí)蔀?hacker 入侵其他站點(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì) Inter 安全事故做出有效反應(yīng)變得十分重要。我們有必要將公開(kāi)服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。 全球 黑客 大戰(zhàn)的余波仍未退卻，各種各樣的網(wǎng)絡(luò)病毒又紛至沓來(lái)，而大部分的網(wǎng)絡(luò)病毒都帶有黑客性質(zhì)。黑客和病毒很容易就可以突破公司現(xiàn)在脆弱的防護(hù)體系。黑客和帶黑客性質(zhì)的病毒，不僅會(huì)破壞公司的運(yùn)行環(huán)境，破壞機(jī)器上的數(shù)據(jù)，更有可能盜取機(jī)密的數(shù)據(jù)和信息！潛在的風(fēng)險(xiǎn)很難估計(jì)。 雖然 xx 已經(jīng)部署了防毒體系，但防毒系統(tǒng)僅是內(nèi)部安全的一部分，要實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全，必須采用全方位的防護(hù)系統(tǒng)。防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要保證。 隨著互聯(lián)網(wǎng)飛速發(fā)展，越來(lái)越多的企業(yè)都通過(guò)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)，許多企業(yè)甚至發(fā)覺(jué)離開(kāi)網(wǎng)絡(luò)，業(yè)務(wù)就無(wú)法正常運(yùn)行，網(wǎng)絡(luò)安全和可用性的重要性由此可見(jiàn)一斑。 據(jù)分析專(zhuān)家估算， 2020 年病毒和攻擊給企業(yè)造成的損失達(dá) 550 億美元； 微軟懸賞 25 萬(wàn)美元捉拿旨在使微軟網(wǎng)站癱瘓的 MyDoom 病毒的作者； 中國(guó)公安部于 2020 年上 半年發(fā)布報(bào)告，稱(chēng)中國(guó) 95％的計(jì)算機(jī)曾感染過(guò)病毒，有 97%連接入互聯(lián)網(wǎng)的計(jì)算機(jī)都受到過(guò)黑客的掃描或入侵。 由此可見(jiàn)，現(xiàn)在企業(yè)的網(wǎng)絡(luò)并非象想象中那么安全。究其原因，是由于現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施存在缺陷，因?yàn)樗鼈儗?duì)新型的病毒和攻擊無(wú)法防御。病毒傳播和攻擊的途徑雖然主要是通過(guò)電子郵件傳播，但隱藏在復(fù)雜的應(yīng)用層數(shù)據(jù)中進(jìn)行傳播的病毒也越來(lái)越多，通過(guò) Web 網(wǎng)頁(yè)瀏覽、 WebMail 系統(tǒng)、聊天軟件、 P2P 文件共享應(yīng)用進(jìn)行傳播，但企業(yè)現(xiàn)有的安全設(shè)施還不能對(duì)這些傳播渠道進(jìn)行控制。 所以，對(duì)于中型企業(yè) 來(lái)說(shuō)防火墻的部署是必須的，加強(qiáng)訪問(wèn)控制和內(nèi)容過(guò)濾是應(yīng)該的。 xx 需求分析