【正文】 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 1 企業(yè) 網(wǎng)絡(luò)安全系統(tǒng) 設(shè)設(shè) 計計 建建 議議 書書 思思 威威 普普 科科 技技 目錄 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 2 1 概述 ........................................................................................................................... 4 企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性 .................................................................... 4 安全建 議書的設(shè)計原則 .................................................................................... 4 安全技術(shù)體系分析模型介紹 ............................................................................ 5 安全服務(wù)維 ................................................................................................ 5 協(xié)議層次維 ................................................................................................ 6 系統(tǒng)單元維 ................................................................................................ 6 安全技術(shù)體系的理解及實踐 ............................................................................ 6 安全體系的理解 ........................................................................................ 6 構(gòu)建安全系統(tǒng)的基本目標(biāo) ........................................................................ 7 網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實施 ........................................................................ 7 2 應(yīng)用需求分析 .......................................................................................................... 9 網(wǎng)絡(luò)基礎(chǔ)層安全需求分析 ................................................................................ 9 Inter 連接安全保護 .................................................................................. 9 廣域網(wǎng)連接的安全保護 ............................................................................ 9 虛擬連接廣域網(wǎng)的安全保護 .................................................................. 11 其他安全保護輔助措施 .......................................................................... 11 系統(tǒng)安全需求分析 .......................................................................................... 12 應(yīng)用安全管理需求分 析 .................................................................................. 12 主機系統(tǒng) .................................................................................................. 12 網(wǎng)絡(luò)設(shè)備安全管理 .................................................................................. 12 移動用戶的訪問控制訪問 ...................................................................... 13 VPN 上的認證 ............................................................................................. 13 應(yīng)用層安全保護 ...................................................................................... 13 應(yīng)用對安全系統(tǒng)的要求分析 .......................................................................... 14 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明 .......................................................... 14 面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求 .................................................. 15 3 安全系統(tǒng)實現(xiàn)目標(biāo) ................................................................................................ 16 網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) ...................................................................... 16 Inter 及 Extra 進出口控制 ................................................................ 16 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 3 VPN 應(yīng)用 ..................................................................................................... 16 防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié) .......................................................... 17 應(yīng)用輔助安全系統(tǒng)的建設(shè)目標(biāo) ...................................................................... 17 4 網(wǎng)絡(luò)安全系統(tǒng)的實施建議 ................................................................................... 19 系統(tǒng)設(shè)計的基本原則 ...................................................................................... 19 安全系統(tǒng)實施步驟建議 .................................................................................. 19 防火墻系統(tǒng)實施建議 ...................................................................................... 20 Inter 進出口控制 .................................................................................... 20 廣域網(wǎng)進出口控制 .................................................................................. 22 虛擬連接廣域網(wǎng)出入口控制 .................................................................. 24 VPN 系統(tǒng)設(shè)計 ................................................................................................. 25 廣域網(wǎng)鏈路加密 ...................................................................................... 25 虛擬連接組網(wǎng)建議 .................................................................................. 26 虛擬連接通信加密 .................................................................................. 28 防火墻系統(tǒng)集中管理 ...................................................................................... 28 防火墻選型設(shè)計說明 ...................................................................................... 28 評價防火墻產(chǎn)品的基本要素 .................................................................. 29 評價防火墻的一般方法 .......................................................................... 29 幾種流行防火墻產(chǎn)品的比較 .................................................................. 30 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 4 1 概述 建設(shè)功能強大和安全可靠的網(wǎng)絡(luò)化信息管理系 統(tǒng)是企業(yè)實現(xiàn)現(xiàn)代化管理的必要手段。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡(luò)系統(tǒng)是本建 議書的目的。 本建議書是本公司為企業(yè)提出的“ 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書”，建議書只針對網(wǎng) 絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計 及實施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。 企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性 毫無疑問，不需要任何形式的“說教”，在信 息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天，任何一個網(wǎng)絡(luò)管理或使用者都非常清楚，所有被使用 的計算機網(wǎng)絡(luò)都必然存在被有意或無意的攻擊和破壞之風(fēng)險。 企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險問題。對 于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。 因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要 性不言而喻。 安全建議書的設(shè)計原則 網(wǎng)絡(luò)安全體系的核心目標(biāo)是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個基礎(chǔ)之上。 在設(shè)計企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時，我們將遵循以下原則： 體系化設(shè)計原則 通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險，從而最大限度地解決可能存在的安全問題。 全局性、均衡性、綜合性設(shè)計原則 安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個具有相當(dāng)高度、可擴展性強的安全解決方案；從企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。本建議書將考慮到各種安全措施的使用。 本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。安全需要付出代價（資金、性能損失等），但