企业信息网络安全解决方案模板

企业信息网络安全解决方案模板内容摘要：

01082611122 网址： 营。 安全服务体系不健全的威胁 一个网络的安全，不是仅靠一种安全产品就能保障的，是需要多种安全产品共同维护的。 如今的网络攻击和网络漏洞日益严重，它需要网络管理人员具有快速的响应机制。 如果没有一个完善的安全服务体系，将尽可能多的安全产品统一来维护，面对突如其来的网络攻击，XX 企业可能将面临巨大的损失。 同时，众多品牌的安全产品采购，也将对 XX 企业的网络的维护带来不便。 XX 企业安全需求 防病毒体系需求  自动安装客户端软件；  自动更新、分发客户端软件及病毒库；  网络中布置了多少台机器，还有多少台未安装防病毒软件；  客户端软件、病毒库版本是否为最新，病毒防护或发作信息；  客户端软件不允许随意卸载；  网络中那些病毒在传播； 强制性网管软件需求  网络上有哪些交换机，有哪些计算机；  网络拓扑结构，交换机如何互联，每台交换机接了那些终端；  网络性能管理、流量管理、故障管理、日志管理；  资 产信息收集与管理 ； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 21 总机： 01082611122 网址：  管理制度制订、落实；  客户端软件不允许随意卸载；  远程管理与控制；  软件分发；  操作系统补丁分发、安装；  管理中心；  网络设备的软件升级（ IOS升级至最高版本）； 防火墙需求  支持双机热备份功能，切换时间不超过 3 秒；  因特网出口（现状： 100M），支持 VPN 功能，能够与 VPN 网关协调一致工作，移动用户能够利用操作系统自带的 VPN 连接、通过 cisco 公司 ACS 3000 验证用户进入公司内网；  北京分公司（现状： Adsl），利用 VPN 网关与公司因特网出口防火墙建立 VPN 连接进入公司内网；  北京库房 (现状：华为路由器， 128K DDN) ，利用 VPN 网关与公司因特网出口防火墙建立 VPN连接进入公司内网；  两台 ERP 小型机（每台小型机配置：双千兆短波多模光纤网卡，防火墙采用桥接模式）  棒材生产子网、炼钢生产子网（百兆）  炼钢大高炉生产子网（千兆长波单模光纤）  矿业公司 (2 条 2M 数字电路，连入电话站交换机 )、二化 (1 条2M 数字电路，连入电话站交换机 )  电话站专网 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 22 总机： 01082611122 网址： 过滤网关需求 因特网（现状： 100M）入口，必须至少支持 4 种 Inter 协议：SMTP、 POP HTTP、 FTP，并具有日志以及日 志分析功能； 入侵检测需求 内网关键区域及因特网（现状： 100M）出口，具有安全审计功能； 漏洞扫描需求 定期挂接到网络中，对当前网络上的重点服务器（如 WEB 服务器、邮件服务器、 DNS服务器、主域服务器等）以及主机进行一次扫描，得到当前系统中存在的各种安全漏洞，并 有 针对性地提出补救措施 报告； 安装需求 所有安全产品布置在项目附带的机柜内，并且在机柜内配置 2 台32口 自动多电脑切换器 ，配置相应的键盘、光电鼠标、显示器及线缆； 安全设备要有管理口，便于管理，降低安全产品本身的安全威胁，要有分权管理，管理与审计权限 分开； 要保证系统服务器、 生产专网的 高可用性、抗攻击性； 制定详细的实施计划，明确双方责任，专业技术工程师、制度管理师按照实施计划布置实施符合 XX企业管理需求的安全策略、制定符合 XX 企业管理需求的制度体系； 各个系统协调一致工作，不能出现软件或硬件冲突； 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 23 总机： 01082611122 网址： 第四章 信息网络的安全方案设计 安全管理 环节分析：  主要是指 XX企业集团要设备管理、人员管理、策略管理等；  目前 XX企业集团尚无一套完善的网络安全管理体系，我们要建立通过一定的国际标准来建立建设管理体系。 需求建议： XX 企业集团信息网需要对全网所有设备和终端用 户进行管理。 负责管理计算机的技术人员和一般计算机使用人员，依靠一定的安全技术和手段和一些好的管理办法，制定一些切实可用的网络安全策略，来建立 XX企业集团信息网的安全管理体系。 另外建议应用强制性的网管系统对网络设备和客户端进行管理。 安全防护 环节分析 :  该环节的包括访问控制、保密性、完整性、可用性、不可否认性。 该环节主要依靠一些相关的技术手段来实现。 访问控制主要依靠防火墙技术、划分 Vlan技术身份认证技术等方式来实现；  保密性、可用性、不可抵赖性：主要包括一些信息保密手段，例如使用 VPN 技术、采用加密软件、或者应用 CA 证书保证数据的安全防护等。 防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。 需求建议 : 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 24 总机： 01082611122 网址： 安全保护围很广涉及的技术也较多，对于 XX企业集团信息网目前最需要的防护手段是对全网的防护，使用防火墙、防病毒技术和入侵检测，在此基础上建议加强对 XX 企业集团数据中心信息网的防护体系建设。 对分支机构建议采用 VPN 网关建立隧道。 安全监测 环节分析 :  主要是指实时监测、风险评估、系统加固、漏洞修补等；  实时检测主要 依靠入侵检测系统、风险评估依靠于脆弱性分析软件，系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用系统漏洞情况及时采取必要的措施。 需求建议： 对于 XX企业集团信息网目前尚无任何网络安全监测措施，对于发生的网络安全问题需要有效的监测手段；对于全网的风险评估需要建立相应的评估制度；对于系统加固和漏洞修补需要固定的工作流程和漏洞发现和加固计划。 病毒防护 环节分析：  主要针对全网 1000 多台主机和 30 多台服务器进行病毒防护。 对网络的边界及接入点进行病毒的监控。 需求建议： 目前 XX企业集团急需一套 网络版的防病毒软件覆盖整个网络。 在网关处建议配置防病毒网关。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 25 总机： 01082611122 网址： 安全服务 环节分析：  一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关安全手段，如何去建设网络安全系统。 如何去使用网络安全系统。 以及出现安全问题如何去应对。 是一般网使用者非常关心的问题。 究竟解决以上问题呢。 我们认为专业的事情要交给专业的人来做。 需求建议： 在 XX企业集团信息网构建一个良好的安全系统的时候我们要有责任建议 XX企业集团不要忽略安全公司所提供的前期、中期、后期所需的各种保障服务。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 26 总机： 01082611122 网址： 第五章 XX 企业网络安全项目解决方案 XX 企业防火墙 解决方案 XX 企业防火墙的部署 根据 XX企业集团系统的安全现状和风险分析，我们在该网中建立防火墙子系统。 有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。 信息化 的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要的作用，防火墙体系的建立直接关系到了系统能否正常运行，体系是否完善；关系到了系统是否能够对非法访问进行有效的防范。 在 XX 企业集团网络系统中我们建立防火墙子系统的主要目标 :逻辑隔离 XX企业集团系统内网与 Inter；保护两台重要的 ERP服务器；对棒材和炼钢生产子网进行防护；对炼钢大高炉生产子网进行防护；对矿业公司和二化子网进行防护；对电话站专网进行防护。 以上这些专网和生产子网他们和 XX 企业集团内网之间都需要进行访问控制。 我们建议在 XX 企业集团内网和 Inter 接入设备之间配置一台天融信网络卫士千兆防火墙 NGFW4000UFVPN(E)，作为访问控制设备。 通过此设备除了进行访问控制而且还与远端的分支机构建立隧道，在远端北京分公司和北京库房也配置了天融信的 VPN 网关。 对于 XX 企业移动的用户建议在单台计算机或 笔记本上安装天融信 VPN 客户端软件，同地址：北京市海淀区知春路 49 号希格玛大厦 4 层 27 总机： 01082611122 网址： 样可以与总部的 NGFW4000UFVPN(E)建立隧道，实现数据的安全传输。 拓扑结构如下图所示： 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 28 总机： 01082611122 网址： 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 29 总机： 01082611122 网址： 由于 XX企业集团 ERP系统承载着企业大量的重要数据信息，因此必须通过防火墙的访问控制过滤技术对非授权的用户进行严格地控制和防护。 若严格地采取物理隔离措施，固然可以做到系统的访问控制绝对安全，但是对于通过间接的物理访问而造成的病毒危害则很难防范（病毒库很难及时升级），而且对整个信息系统的自动化和工作效率不能有效地保证。 届时，可以通过防火墙系统开放 ERP 系统的许可访问权 限，其他不相关地访问用户则被严格禁止。 目前 XX 企业在整体网络安全防范的情况下，着重对 ERP 的服务器进行安全防护。 建议在两台 SUN 服务器和核心交换之间部署防火墙，具体的连接方式如下图所示： 两台 SUN 的服务器做 CLUSTER，共映射两个浮动 IP，分别是应用和数据库，两台 SUN 的服务器互为备份。 我们建议在 SUN 服务器和核地址：北京市海淀区知春路 49 号希格玛大厦 4 层 30 总机： 01082611122 网址： 心交换之间加入天融信的千兆防火墙 NGFW4000UF，同时设定规则，只允许特定的 ERP 应用到达 SUN 服务器。 经过在 XX企业的测试，天融信的防火墙能够稳定应用在此网络结构下。 其中，最重要的技 术是目前在国内的防火墙当中只有天融信支持的 Spanning Tree 的算法。 如上图所示， XX 企业集团的核心网络是典型的二层备份方案，中心两台Catalyst6509 核心交换机，之间启用 Trunk 和 FEC协议，下连的交换机通过双链路分别连接两台核心交换机，通过生成树协议实现备份。 Solaris 服务器也是通过两块网卡连接两台核心交换机，物理上，一块网卡是 up，另一块处于 down 状态。 Solaris 服务器切换的原理是这样的，每个网卡各有自己的真实IP 地址，两个网卡还虚拟出一个 ip，此虚拟 IP 对外提供服务，如果服 务器通过 PING 检测每个网卡的真实 ip 地址，如果不通，此网卡就变为 down，另一网卡为 up状态。 如果不支持生成树协议，又要避免环路出现，普通的防火墙会采用如下图所示的连接方法（以一台服务器举例），每两个端口划分一个广播域，一台防火墙要划分两个广播域。 地址：北京市海淀区知春路 49 号希格玛大厦 4 层 31 总机： 01082611122 网址： 如果断掉交换机与防火墙之间的连线，对于防火墙和服。