企业安全解决方案模板(编辑修改稿)

企业安全解决方案模板(编辑修改稿)内容摘要：

台 ERP 服务器造成威胁；其次是棒材和炼钢生产子网；炼钢大高炉生产子网；矿业公司和二化子网；电 话站专网。 这些专网之间都需要进行访问控制。  服务器区的安全威胁，缺少入侵监测设备 XX 企业 的内部服务器组存有很多重要的数据，这些数据是 不能丢失或损坏的 ，因此一定要对这些服务器进行重点保护，防止这些数据被篡改和窃取。 在该网络结构中，各重要的服务器和主机都 将 是通过核心交换机直接与其他子网连接的，并且这些服务器区的边界 如果 没有任何访问控制产品和监控设备， 内部人员对 这些服务器可以很容易实施攻击。  网络节点变化的隐患 在 XX 企业 集团网络系统中，预留了一些空节点以备人员扩充时使用，若有非法人员利用这些节点接入后，就可以 直接连入 XX 企业 集团的网络中，并且能与网络中的数据库服务器物理连接。 此时，该人员就可以非常方便地通过一些非法的工具和手段来随意攻击网络上的数据库服务器和其他客户端主机、盗取网络上的一些关键数据以及获取当前比较详细的 XX企业 集团整体网络情况为以后更致命的攻击做好准备，然而网络管理员并没有一个有效的方法来实时了解网络中各节点的情况，控制这些网络节点的变化，因此给整个 XX 企业 集团的网络系统造成极大的威胁。  非法访问的危害 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 13 总机： 01082611122 网址： XX 企业 集团 的网络是 一个多应用多连接的系统，虽然目前已经存在一些常用的访问控制手段：所有用户 在访问服务器时都必须输入正确的用户名和口令等， 但是这样的网络结构利用传统的网络管理措施难以实现有效的访问控制。 对于网络中没有访问其他网段主机权限的用户来说，当要对其他网段上主机发动攻击时， 其 情况类似于外部网络的攻击。 但是与外部网络的攻击者相比，内部攻击者对网络结构了解的更加细致，而且更容易窃取用户登录所需资料，所以非法访问更易成功。 如 某台非法主机在经过相关的配置后就可以与网络中的数据库服务器和其他客户端主机进行 TCP/IP 通信。 这样就能够通过仿冒合法用户或通过其他黑客工具对客户端甚至关键的数据库服务器进行非 法通信和数据访问，这将给 XX 企业 集团带来严重的危害。  非法应用的威胁 XX 企业 集团系统中有许多的应用在实时地使用着，尤其是数据库和工业控制的应用。 但网络管理员并没有一个有效方法来监控这些应用的使用，然而多数的木马程序都是以注入内存的方式来调用一些非法应用与黑客通信的。 若此时有一台开发客户端主机中了木马程序，在正常访问服务器的过程中就可能通过这一非法应用程序将访问服务器的账号、口令以及访问方式都泄露给黑客，黑客就能通过获取的信息堂而皇之地登录到该应用服务器上，并能在该服务器上也启动一些非法的应用服务，帮助黑客 完全地控制服务器。 系统的安全风险分析  如果没有漏洞扫描和安全评估机制，将不能及时地填补网络漏洞 所谓系统安全通常是指网络操作系统、应用系统的安全。 目前的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以及其它厂商开发的应用系统，其开发厂商必然有其 BackDoor。 而且系统本身必定存在安全漏洞。 这些 后门 或安全漏洞都将存在重大安全隐患。 但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人 都可能入侵得手。 如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 14 总机： 01082611122 网址： 又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。 病毒对 XX 企业网络安全运营的安全威胁  外部 – XX企业 与 Inter有直接通道，会受到来自 专 网以 HTTP、 SMTP、FTP 等数据流为载体的潜在病毒的威胁。  内部 – 局域网中的工作站及文件服务器都会受到病毒的感染，病毒的攻击方式多种多样，有通过局域网传播、传统介质 (光盘、软盘 、 USB硬盘 等 )传播等等，一旦受到感染，便 会迅速传播，会给日常的工作和生产带来极大的威胁。  网络带宽 – 高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。 CodeRed，冲击波以及 Mydoom 就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。  间接损失 – 病毒造成的间接损失可能更大，病毒造成的事故对企业的影响是直接导致企业信息资产损失，可能影响生产运营。 安全服务体系不健全的威胁 一个网络的安全，不是仅靠一种安全产品就能保障的，是需要多种安全产品共同维护的。 如今的网络攻击和网络漏洞日益严重，它需要网络 管理人员具有快速的响应机制。 如果没有一个完善的安全服务体系，将尽可能多的安全产品统一来维护，面对突如其来的网络攻击， XX 企业 可能将面临巨大的损失。 同时，众多品牌的安全产品采购，也将对 XX 企业 的网络的维护带来不便。 XX 企业安全需求 防病毒体系需求  自动安装客户端软件；  自动更新、分发客户端软件及病毒库；  网络中布置了多少台机器，还有多少台未安装防病毒软件；  客户端软件、病毒库版本是否为最新，病毒防护或发作信息；  客户端软件不允许随意卸载；  网络中那些病毒在传播； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 15 总机： 01082611122 网址： 强制性网管软件需求  网络上有哪些交换机，有 哪些计算机；  网络拓扑结构，交换机如何互联，每台交换机接了那些终端；  网络性能管理、流量管理、故障管理、日志管理；  资产信息收集与管理 ；  管理制度制订、落实；  客户端软件不允许随意卸载；  远程管理与控制；  软件分发；  操作系统补丁分发、安装；  管理中心；  网络设备的软件升级（ IOS 升级至最高版本）； 防火墙需求  支持双机热备份功能，切换时间不超过 3 秒；  因特网出口（现状： 100M），支持 VPN 功能，能够与 VPN 网关协调一致工作，移动用户能够利用操作系统自带的 VPN 连接、通过 cisco 公司ACS 3000 验 证用户进入公司内网；  北京分公司（现状： Adsl），利用 VPN 网关与公司因特网出口防火墙建立 VPN 连接进入公司内网；  北京库房 (现状：华为路由器， 128K DDN) ，利用 VPN 网关与公司因特网出口防火墙建立 VPN 连接进入公司内网；  两台 ERP 小型机（每台小型机配置：双千兆短波多模光纤网卡，防火墙采用桥接模式）  棒材生产子网、炼钢生产子网（百兆）  炼钢大高炉生产子网（千兆长波单模光纤）  矿业公司 (2 条 2M 数字电路，连入电话站交换机 )、二化 (1 条 2M 数字电路，连入电话站交换机 )  电话站专网 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 16 总机： 01082611122 网址： 过滤网关需求 因特 网（现状： 100M）入口，必须至少支持 4 种 Inter 协议： SMTP、POP HTTP、 FTP，并具有日志以及日志分析功能； 入侵检测需求 内网关键区域及因特网（现状： 100M）出口，具有安全审计功能； 漏洞扫描需求 定期挂接到网络中，对当前网络上的重点服务器（如 WEB 服务器、邮件服务器、 DNS 服务器、主域服务器等）以及主机进行一次扫描，得到当前系统中存在的各种安全漏洞，并 有 针对性地提出补救措施 报告； 安装需求 所有安全产品布置在项目附带的机柜内，并且在机柜内配置 2 台 32 口 自动多电脑切换器 ，配置相应的 键盘、光电鼠标、显示器及线缆； 安全设备要有管理口，便于管理，降低安全产品本身的安全威胁，要有分权管理，管理与审计权限分开； 要保证系统服务器、 生产专网的 高可用性、抗攻击性； 制定详细的实施计划，明确双方责任，专业技术工程师、制度管理师按照实施计划布置实施符合 XX 企业管理需求的安全策略、制定符合 XX 企业管理需求的制度体系； 各个系统协调一致工作，不能出现软件或硬件冲突； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 17 总机： 01082611122 网址： 第四章 信息网络的安全方案设计 安全管理 环节分析：  主要是指 XX 企业集团 要设备管理、人员管理、策略管理等；  目前 XX 企业集团 尚无一套完善的网络安 全管理体系， 我们要建立 通过一定的国际标准来建立建设管理体系。 需求建议： XX 企业集团信息网需要对全网所有设备和终端用户进行管理。 负责管理计算机的技术人员和一般计算机使用人员，依靠一定的安全技术和手段和一些好的管理办法，制定一些切实可用的网络安全策略，来建立 XX 企业集团信息网的安全管理体系。 另外建议应用强制性的网管系统对网络设备和客户端进行管理。 安全防护 环节分析 :  该环节的包括访问控制、保密性、完整性、可用性、不可否认性。 该环节主要依靠一些相关的技术手段来实现。 访问控制主要依靠防火墙技术、划分 Vlan 技 术身份认证技术等方式来实现；  保密性、可用性、不可抵赖性：主要包括一些信息保密手段，例如使用VPN 技术、采用加密软件、或者应用 CA 证书保证数据的安全防护等。 防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。 需求建议 : 安全保护围很广涉及的技术也较多，对于 XX 企业集团信息网目前最需要的防护手段是对全网的防护，使用防火墙、防病毒技术和入侵检测，在此基础上建议加强对 XX企业集团数据中心信息网的防护体系建设。 对分支机构建议采用 VPN网关建立隧道。 安全监测 环节分析 :  主要是指实时监测、风险评估、系统加 固、漏洞修补等；  实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件，系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 18 总机： 01082611122 网址： 用系统漏洞情况及时采取必要的措施。 需求建议： 对于 XX 企业集团 信息网 目前 尚无任何网络安全监测措施，对于发生的网络安全问题 需要有效 的监测手段；对于全网的风险评估 需要 建立相应的评估制度；对于系统加固和漏洞修补 需要 固定的工作流程和漏洞发现和加固计划。 病毒防护 环节分析：  主要 针对全网 1000 多台主机和 30 多台服务器进行病毒防护。 对网络的边界及接入点进行病毒的监控。 需求建 议： 目前 XX 企业集团急需一套网络版的防病毒软件覆盖整个网络。 在网关处建议配置防病毒网关。 安全服务 环节分析：  一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关安全手段，如何去建设网络安全系统。 如何去使用网络安全系统。 以及出现安全问题如何去应对。 是一般网使用者非常关心的问题。 究竟解决以上问题呢。 我们认为专业的事情要交给专业的人来做。 需求建议： 在 XX 企业集团 信息网构建一个良好的安全系统的时候我们要有责任 建议XX 企业集团 不要 忽略 安全公司所提供的前期、中期、后期所需的各种保障服务。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 19 总机： 01082611122 网址： 第五章 XX 企业网络安 全项目解决方案 XX 企业防火墙解决方案 XX企业防火墙的部署 根据 XX 企业集团 系统的 安全现状和风险分析 ，我们在该网中建立防火墙子系统。 有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。 信息化 的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要的作用，防火墙体系的建立直接关系到了系统能否正常运行，体系是否完善 ；关系到了系统是否能够 对非法访问进行有效的防范。 在 XX企业集团网络 系统中我们建立防火墙子系统的主要目标 :逻辑隔离 XX企业集团 系统 内网与 Inter；保护两台重要的 ERP 服务器；对棒材和炼钢生产子网进行防护；对炼钢大高炉生产子网进行防护；对矿业公司和二化子网进行防护；对电话站专网进行防护。 以上这些专网和生产子网他们和 XX 企业集团内网之间都需要进行访问控制。 我们建议在 XX 企业集团内网和 Inter 接入设备之间配置一台天融信网络卫士千兆防火墙 NGFW4000UFVPN(E)，作为访问控制设备。 通过此设备除了进行访问控制而且还与远端的分支机构建立隧道，在远端北京分公司和北京库房也配置了天融信的 VPN 网关。 对于 XX 企 业移动的用户建议在单台计算机或笔记本上安装天融信 VPN 客户端软件，同样可以与总部的 NGFW4000UF。