【正文】 ..... 14 XX企業(yè)安全需求 ...................................................................................................................................... 14 防病毒體系需求 ............................................................................................................................... 14 強制性網(wǎng)管軟件需求 ...................................................................................................................... 15 防火墻需求 ........................................................................................................................................ 15 過濾網(wǎng)關需求 .................................................................................................................................... 16 入侵檢測需求 .................................................................................................................................... 16 漏洞掃描需求 .................................................................................................................................... 16 安裝需求 ............................................................................................................................................ 16 第四章 信息網(wǎng)絡的安全方案設計 .................................................................................................................. 17 安全管理 ...................................................................................................................................................... 17 安全防護 ...................................................................................................................................................... 17 安全監(jiān)測 ...................................................................................................................................................... 17 病毒防護 ...................................................................................................................................................... 18 安全服務 ...................................................................................................................................................... 18 第五章 XX 企業(yè)網(wǎng)絡安全項目解決方案 ...................................................................................................... 19 XX企業(yè)防火墻解決方案 ......................................................................................................................... 19 XX 企業(yè)防火墻的部署 ..................................................................................................................... 19 XX 企業(yè)防火墻的作用 ..................................................................................................................... 23 XX企業(yè)入侵檢測方案 ............................................................................................................................. 24 XX企業(yè)漏洞掃描解決方案 ..................................................................................................................... 26 XX企業(yè) 防病毒解決方案 ......................................................................................................................... 27 網(wǎng)絡版防病毒解決方案 .................................................................................................................. 27 網(wǎng)關防病毒解決方案 ...................................................................................................................... 28 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 II 總機： 01082611122 網(wǎng)址： XX企業(yè)安全管理系統(tǒng)解決方案 ............................................................................................................ 29 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 3 總機： 01082611122 網(wǎng)址： 第一章 前言 背景 隨著近年來網(wǎng)絡安全事件不斷地發(fā)生，安全問題也已成為 IT 業(yè)的一個熱點，安全問題對于 XX 企業(yè)的發(fā)展也越來越重要 。對這些違反規(guī)定的機器要有相應的日志，并可以進行阻斷； 對本公司內(nèi)的生產(chǎn)子網(wǎng)要做好安全隔離，即使 XX 企業(yè)主干網(wǎng)上有病毒在傳播但不能傳到該子網(wǎng)中去，該子網(wǎng)只保留一些必要的數(shù)據(jù)通訊端口與主干網(wǎng)絡通訊，其他端口必須屏蔽掉。 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 6 總機： 01082611122 網(wǎng)址： ● 綜合治理 XX 企業(yè)信息系統(tǒng)的安全建設是一個系統(tǒng)工程，信息網(wǎng)絡的安全同樣也絕不僅僅是一個技術(shù)問題，各 種安全技術(shù)應該與運行管理。 信息網(wǎng)絡安全體系結(jié)構(gòu) 安全服務取自于國際標準化組織制訂的安全體系結(jié)構(gòu)模型 ISO7498，我們在 ISO7498 的基礎上增加了審計功能和可用性服務。在開放式應用環(huán)境中，主體與客體的雙向認證非常重要。 ● 應用系統(tǒng)安全，為某種或多種應用提供用戶認證、數(shù)據(jù)保密性、完整性以及授權(quán)與訪問控制服務等。 網(wǎng)絡安全是一個體系工程，如果把 XX 企業(yè) 網(wǎng)絡信息系統(tǒng)劃一個邊界的話，未來在廣域網(wǎng)建好之后 可能發(fā)生的安全威脅會來自各個方向、各個層面。 ? 入侵者通過網(wǎng)絡監(jiān) 聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息。據(jù)權(quán)威數(shù)據(jù)表明，有 97％的攻擊是來自內(nèi)部攻擊和內(nèi)外勾結(jié)的攻擊，而且內(nèi)部攻擊成功的概率要遠遠高于來自于 外部網(wǎng)絡 的攻擊，造成的后果也嚴重的多。 ? 非法訪問的危害 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 13 總機： 01082611122 網(wǎng)址： XX 企業(yè) 集團 的網(wǎng)絡是 一個多應用多連接的系統(tǒng)，雖然目前已經(jīng)存在一些常用的訪問控制手段：所有用戶 在訪問服務器時都必須輸入正確的用戶名和口令等， 但是這樣的網(wǎng)絡結(jié)構(gòu)利用傳統(tǒng)的網(wǎng)絡管理措施難以實現(xiàn)有效的訪問控制。 系統(tǒng)的安全風險分析 ? 如果沒有漏洞掃描和安全評估機制，將不能及時地填補網(wǎng)絡漏洞 所謂系統(tǒng)安全通常是指網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全。 ? 網(wǎng)絡帶寬 – 高速傳播和具有網(wǎng)絡攻擊能力的病毒，能占用有限的網(wǎng)絡帶寬，導致網(wǎng)絡癱瘓。 需求建議： XX 企業(yè)集團信息網(wǎng)需要對全網(wǎng)所有設備和終端用戶進行管理。對分支機構(gòu)建議采用 VPN網(wǎng)關建立隧道。究竟解決以上問題呢？我們認為專業(yè)的事情要交給專業(yè)的人來做。通過此設備除了進行訪問控制而且還與遠端的分支機構(gòu)建立隧道，在遠端北京分公司和北京庫房也配置了天融信的 VPN 網(wǎng)關。經(jīng)過在 XX 企業(yè) 的測試，天融信的防火墻能夠穩(wěn)定應用在 此網(wǎng)絡結(jié)構(gòu)下。 這也滿足了標書中要求的真正橋接的模式。通過在防火墻上配置規(guī)則，禁止 TCP/IP 數(shù)據(jù)包中的源路由選項，防止源路由攻擊 ； 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 24 總機： 01082611122 網(wǎng)址： ? 防止 IP 碎片攻擊： IP 碎片攻擊是指黑客把一個攻擊數(shù)據(jù)包分成多個數(shù)據(jù)據(jù)包，從而隱藏了該數(shù)據(jù)包的攻擊特征。一旦入侵被檢測到，會引發(fā)某種響應（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來源或適當?shù)胤垂簦Ｈ肭謾z測系統(tǒng)可以發(fā)現(xiàn)已有的威脅，并對攻擊者進行懲罰，有助于上述目標的實現(xiàn)，并對那些試圖違反安全策略的人造成威懾。首先是對系統(tǒng)或網(wǎng)絡的探測和分析，如果一個系統(tǒng)沒有配置入侵檢測，攻擊者可以自由的進行探測而不被發(fā)現(xiàn)，這 樣很容易找到最佳攻入點?！?知情權(quán)是網(wǎng)絡安全的關鍵 ”，這使得入侵檢測成為其它許多安全手段，如 安全網(wǎng)管系統(tǒng)的基礎。我們在 XX 企業(yè)網(wǎng)絡安全的項目中配置一臺榕基漏洞掃描系統(tǒng)。 網(wǎng)絡防病毒產(chǎn)品是一個比較基礎而且成熟的安全產(chǎn)品，在本方案沒有網(wǎng)絡版防病毒進行過多描述，我們推薦 趨勢科技的網(wǎng)絡版防病毒系統(tǒng)， 覆蓋 XX 企業(yè)1000 個計算機節(jié)點和 30 多臺服務器 。 內(nèi)嵌的內(nèi)容過濾功能 ? 網(wǎng)絡衛(wèi)士過濾網(wǎng)關支持 對數(shù)據(jù)內(nèi)容進行檢查，可以采用關鍵字過濾， URL 過濾等方式來阻止非法數(shù)據(jù)進入企業(yè)網(wǎng)絡，同時也支持對 Java 等小程序進行 地址：北京市海淀區(qū)知春路 49 號希格瑪大廈 4 層 29 總機： 01082611122 網(wǎng)址： 過濾等，防止可能的惡意代碼進入企業(yè)網(wǎng)絡。具體在XX 企業(yè)集團與 Inter 接口處部署天融信防病毒過濾網(wǎng)關 NGFGE XX 企業(yè)安全管理系統(tǒng)解決方案 XX企業(yè)集團網(wǎng)絡安全管理平臺建議采用北信源的內(nèi)網(wǎng)安全管理系統(tǒng)和北信源網(wǎng)絡運行安全保障系統(tǒng)兩個產(chǎn)品的模塊組合成 XX 企業(yè)的網(wǎng)絡安全管理平臺。北信源經(jīng)過多年努力，開發(fā)出了獨有的技術(shù)，可不用第三方廠商提供相關上報數(shù)據(jù)或接口，直接獲取其安全系統(tǒng)報警和統(tǒng)計數(shù)據(jù)，并對其進行匯總，按照安全策略的需要進行取舍；此技術(shù)的使用可大大減少相互間的協(xié)調(diào)工作，提高工作效率，同時減少工作的復雜程度。 關鍵終端管理系統(tǒng) 網(wǎng)絡終端包括個人主機，數(shù)據(jù)庫服務器，郵件服務器等，是網(wǎng)絡中的最基本的節(jié)點，支撐著網(wǎng)絡各項功能的正常運行。 ? 路由器管理 ：對路由器的 CPU、內(nèi)存使用情況、接口流量情況進行記錄匯總和