【正文】 企業(yè)安全解決方案模板北 京 天 融 信 科 技 有 限 公 司2022年 6月I / 34目 錄第一章 前言 .........................................................3 背景 ..........................................................3 項(xiàng)目概述 ......................................................3第二章 XX 企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì) ............................5 信息安全體系設(shè)計(jì)原則 ..........................................5 信息安全體系結(jié)構(gòu)分析 ..........................................6 安全服務(wù)模型 ..............................................7 協(xié)議層次安全模型 ..........................................7 安全實(shí)體單元 ..............................................8第三章 XX 企業(yè)信息網(wǎng)絡(luò)的安全現(xiàn)狀和需求分析 .........................10 XX 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及威脅分析 .................................10 內(nèi)部網(wǎng)絡(luò)與 Inter 互聯(lián)的安全威脅 ........................11 來自內(nèi)部網(wǎng)絡(luò)的安全威脅 ...................................11 系統(tǒng)的安全風(fēng)險分析 .......................................13 病毒對 XX 企業(yè)網(wǎng)絡(luò)安全運(yùn)營的安全威脅 ......................14 安全服務(wù)體系不健全的威脅 .................................14 XX 企業(yè)安全需求 ...............................................14 防病毒體系需求 ...........................................14 強(qiáng)制性網(wǎng)管軟件需求 .......................................15 防火墻需求 ...............................................15 過濾網(wǎng)關(guān)需求 .............................................16 入侵檢測需求 .............................................16 漏洞掃描需求 .............................................16 安裝需求 .................................................16第四章 信息網(wǎng)絡(luò)的安全方案設(shè)計(jì) ......................................17 安全管理 .....................................................17 安全防護(hù) .....................................................17 安全監(jiān)測 .....................................................17 病毒防護(hù) .....................................................18 安全服務(wù) .....................................................18第五章 XX 企業(yè)網(wǎng)絡(luò)安全項(xiàng)目解決方案 .................................19 XX 企業(yè)防火墻解決方案 .........................................19 XX 企業(yè)防火墻的部署 .......................................19 XX 企業(yè)防火墻的作用 .......................................23 XX 企業(yè)入侵檢測方案 ...........................................24 XX 企業(yè)漏洞掃描解決方案 .......................................26 XX 企業(yè)防病毒解決方案 .........................................27 網(wǎng)絡(luò)版防病毒解決方案 .....................................27 網(wǎng)關(guān)防病毒解決方案 .......................................28II / 34 XX 企業(yè)安全管理系統(tǒng)解決方案 ...................................293 / 34第一章 前言 背景隨著近年來網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問題也已成為 IT 業(yè)的一個熱點(diǎn)，安全問題對于 XX 企業(yè)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響 XX 企業(yè)業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個問題，所以提升我們 XX 企業(yè)自身的安全性也已經(jīng)成為 XX 企業(yè)增強(qiáng)企業(yè)競爭力的重要方面之一。XX 企業(yè)集團(tuán)是國家重點(diǎn)支持的 520 家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團(tuán)之一。隨著信息技術(shù)的迅猛發(fā)展，XX 企業(yè)集團(tuán)領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展生產(chǎn)、科研工作，決定對現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。 項(xiàng)目概述本次信息安全項(xiàng)目包括 XX 企業(yè)集團(tuán)下屬企業(yè)、附屬機(jī)構(gòu)和分支機(jī)構(gòu)的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)所需的相關(guān)設(shè)備、軟件以及方案詳細(xì)設(shè)計(jì)、系統(tǒng)集成、管理制度的建立、培訓(xùn)、技術(shù)支持與服務(wù)等內(nèi)容。實(shí)施是在網(wǎng)絡(luò)現(xiàn)有應(yīng)用基礎(chǔ)上的改造，對網(wǎng)絡(luò)整體的安全加固，所以在上新的系統(tǒng)時不能影響原有系統(tǒng)應(yīng)用的整體性能。建立整體網(wǎng)絡(luò)安全體系；建設(shè)整體的防病毒體系，保證網(wǎng)絡(luò)病毒不會由公司主干網(wǎng)傳入專網(wǎng)，保證遠(yuǎn)程 VPN 網(wǎng)絡(luò)或用戶的病毒不會傳入公司主干網(wǎng)；對于 INTERNET 上新病毒的反應(yīng)、處理速度，比如當(dāng)時“震蕩波”病毒，要在“黃金響應(yīng)”時間內(nèi)通知如何防范和相應(yīng)補(bǔ)丁，在沒有擴(kuò)散到大范圍及時發(fā)現(xiàn)病毒；如果內(nèi)網(wǎng)存在病毒，能夠?qū)ζ涠ㄎ?，知道在哪個機(jī)器上，是哪種病毒，能夠清除并有相應(yīng)的日志；保證系統(tǒng)服務(wù)器、生產(chǎn)專網(wǎng)、電話站專網(wǎng)的高可用性、抗攻擊性；能夠查詢誰在什么時間、什么地點(diǎn)、用什么方式訪問了什么網(wǎng)絡(luò)資源，上了什么網(wǎng)站，要有分用戶、分時間段、分服務(wù)類別的詳細(xì)清單及統(tǒng)計(jì)報表；強(qiáng)制性管理終端用戶設(shè)備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設(shè)備或終端用戶設(shè)備組；能夠及時覺知誰在攻擊或在探測網(wǎng)絡(luò)，并及時阻斷攻擊以及非法探測并有詳細(xì)的日志，在發(fā)生外部入侵進(jìn)來時，必須及時報警并發(fā)郵件到管理人員郵箱，4 / 34并提供相應(yīng)的策略；對公司內(nèi)網(wǎng)的安全能夠做到：誰在用非法手段掃描、攻擊服務(wù)器或別人的機(jī)器，誰私自改 IP 地址，新的機(jī)器接入內(nèi)網(wǎng)或非法上外網(wǎng)，不能隨便安裝、卸載軟件等等。對這些違反規(guī)定的機(jī)器要有相應(yīng)的日志，并可以進(jìn)行阻斷；對本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡(luò)通訊，其他端口必須屏蔽掉。評估網(wǎng)絡(luò)及主要的服務(wù)器、明確應(yīng)用存在哪些漏洞及其補(bǔ)救措施，當(dāng)前發(fā)現(xiàn)的所有漏洞得到彌補(bǔ)，不能彌補(bǔ)的要有應(yīng)急措施預(yù)案；各種系統(tǒng)具備完善的日志及審計(jì)功能，可以追溯安全事件，可以按照不同的方式出具各種報表；5 / 34第二章 XX 企業(yè)信息網(wǎng)絡(luò)的整體安全體系設(shè)計(jì) 信息安全體系設(shè)計(jì)原則XX 企業(yè)信息安全保障系統(tǒng)涉及到整個工程的各個層次，網(wǎng)絡(luò)和信息安全方案的設(shè)計(jì)遵循以下原則：● 整體安全XX 企業(yè)信息安全保障系統(tǒng)的是一個復(fù)雜的安全系統(tǒng)工程，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位安全服務(wù)?！?有效管理沒有有效的安全管理（如防火墻監(jiān)控、審計(jì)日志的分析等等） ，各種安全機(jī)制的有效性很難保證。XX 企業(yè)信息安全保障系統(tǒng)所提供的各種安全服務(wù)，涉及到各個層次、多個實(shí)體和各種安全技術(shù)，只有有效的安全管理才能保證這些安全控制機(jī)制真正有效地發(fā)揮作用；● 合理折衷在 XX 企業(yè)信息安全保障系統(tǒng)的建設(shè)過程中，單純考慮安全而不惜一切代價是不合理的。安全與花費(fèi)、系統(tǒng)性能、易用性、管理的復(fù)雜性都是矛盾的，安全保障體系的設(shè)計(jì)應(yīng)該在以上四個方面找到一個合理的折衷點(diǎn)，在可接受的風(fēng)險范圍內(nèi)，以最小的投資換取最大的安全性，同時不因性能開銷和使用、管理的復(fù)雜而影響整個系統(tǒng)高效運(yùn)行的總體目標(biāo)?！?責(zé)權(quán)分明采用分層、分級管理的模式：一方面，XX 企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)；另一方面，網(wǎng)絡(luò)和應(yīng)用系統(tǒng)都有中心、下屬等的分級結(jié)構(gòu)。各級網(wǎng)絡(luò)管理中心負(fù)責(zé)網(wǎng)絡(luò)的安全可靠運(yùn)行，為應(yīng)用信息系統(tǒng)提供安全可靠的網(wǎng)絡(luò)服務(wù)，各級信息中心負(fù)責(zé)計(jì)算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的安全管理。6 / 34● 綜合治理XX 企業(yè)信息系統(tǒng)的安全建設(shè)是一個系統(tǒng)工程，信息網(wǎng)絡(luò)的安全同樣也絕不僅僅是一個技術(shù)問題，各種安全技術(shù)應(yīng)該與運(yùn)行管理。機(jī)制、人員的思想教育與技術(shù)培訓(xùn)、安全法律法規(guī)建設(shè)相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。 信息安全體系結(jié)構(gòu)分析XX 企業(yè)信息系統(tǒng)對安全的需求是任何一種單元安全技術(shù)都無法解決的。安全方案的設(shè)計(jì)必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù)，才能保障整個安全體系的完備性、合理性。在信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)的研究表明，想要從一個角度得出整個信息系統(tǒng)完整的安全模型是很困難的。借鑒美國國防部 DISSP 計(jì)劃中的安全框架，我們提出了適合 XX 企業(yè)信息系統(tǒng)的安全體系結(jié)構(gòu)模型。該模型由安全服務(wù)、協(xié)議層次和系統(tǒng)單元三個層面描述，且在每個層面上，都包含安全管理的內(nèi)容。該模型在整體上表現(xiàn)為一