xxx规划院信息安全建设方案v

xxx规划院信息安全建设方案v内容摘要：

远程受电，满足 标准。 外形尺寸 (W╳D╳ H) 216mm x 40mm x 117mm 436mm x 42mm x 200mm 436mm x 42mm x 240mm 四川省 XXX 院 信息安全 建设方案 5 成都 XXXX 信息技术有限公司 重量 2kg ≤3kg ≤3kg 电源 采用外置电源供电，外置电源的输入电压及输出电压如下： 输入额定电压范围：100240V . ；50/60Hz 输入最大电压范围：90264V . ； 50/60Hz 输出电压： 12V 输出电流： 1A AC： 额定电压范围： 100240V . ； 50/60Hz 最大电压范围： 90264V . ； 50/60Hz DC： 额定电压范围： 48 60V . 最大电压范围： 36 72V .. 功耗 8W 12W 15W 工作环境温度 0～ 45℃ 工作环境湿度 10%～ 90% (无凝结 ) 在这一 拓扑 结构下，总体带宽已经不能满足现有需求和今后进一步发展的要求，交换设备，特别是接入层设备不支持千兆扩展、安全性及组播能力、 IPV6支持等，均显不足，应考虑升级。 在核心交换机上，划分了多个 VLAN，在一定程度上方便了管理，并能在一定程度上抑制广播风暴。 但网络总体对病毒、攻击等安全威胁的防范能力、措施不足 ，在现有需求和进一步发展的需求上，必须加强。 在基于网络的应用越来越复杂、网络的使用越来越频繁的情况 下，加之使用者的计算机应用能力参差不齐，行为难以规范，我单位网络经常面临 ARP、蠕虫、木马 等病毒、攻击和 众多的威胁 ，我们必须在仔细分析的基础上，部署安全设备和措施、防病毒和来自内外的威胁对网络和信息系统造成威胁、 并且进行用户行为管理、流量控制，同时，必须考虑今后我单位向公众提供资源服务后的应用安全。 四川省 XXX 院 信息安全 建设方案 6 成都 XXXX 信息技术有限公司 2 安全威胁分析 通过对现状的分析，我 单位 网络安全 正遭受着 来自 Inter 以及内 网 的大量威胁，要解决网络安全 、数据及信息安全、流量控制、服务质量保证、病毒及攻击防范等 ，必须针对我 单位 网络安全威胁进行全面分析。 外部威胁分析 我 单位 网 络通过电信 10M出口直接接入 Inter，现在只部署了 1 台路由器，没 有部署 防火墙设备 ，除私有 IP 的应用和 NAT 外，内网基本完全暴露在 Inter上，面临巨大的威胁。 由于 Inter 上资源的多样性、用户的复杂性，存在很多插件、威胁软件、采用密灌技术的网站、流氓 网站、流氓 软件等 ，使得 网 络 用户在不知情情况下便感染 病毒 、 受到 攻击或其它 安全威胁。 因此，必须 采用 相应 技术手段 及设备 防止这类威胁 对我单位网络及信息系统的影响 ； 同时，由于我 单位 网络接入到Inter，给外来黑客攻击 、间谍软件提供了入侵机会，此类威胁 将对今后的业务系统、关键数据造成巨大威胁 ，我们必须严加防范。 内部威胁分析 由于我单位网络用户达 400，由于其安全意识、技术水平等参差不齐，给网络 及信息系统 安全带来了极大的威胁，主要包括以下几点： (1) 不按要求私自使用 U盘等移动存储设备，将病毒等威胁在网 内 进行传播； (2) 擅自访问有威胁的网站，下载插件，给网络造成安全威胁； (3) 擅自访问有病毒、有流氓软件的网站和网络资源，给网络造成安全威胁； (4) 擅自安装聊天、游戏、电影、 P2P 等应用软件，带来病毒等安全威胁； (5) 擅自访问、下载有害资源 ； (6) 擅自使用 P2P 下载软件、在线视频等，大量消耗网络带宽 ； (7) MAC 攻击：占满交换机的 MAC 地址表； (8) DHCP 攻击：使用户无法正常分配到 IP 地址； (9) ARP 攻击：无法正常上网、通讯中断、流量消耗； 四川省 XXX 院 信息安全 建设方案 7 成都 XXXX 信息技术有限公司 (10) STP 攻击：导致网络瘫痪； (11) DOS/DDOS 攻击： 占用网络带宽，占用服务器提供的服务资源 ； 从 分析 看来，内部威胁给我 单位 网络带来的危害 丝毫不比来自外网的小，在一定程度上更 为频繁、破坏 更为 严重，因此，必须 加强管理。 总体威胁分析 序号 来源 内容 原因 风险 级别 1 Inter 病毒、蠕虫、木马 不知情 的情况下 网 络传播 普通 2 Inter 黑客、间谍软件 恶意 普通 3 内部行为 病毒、蠕虫、木马 移动存储设备使用 极高 4 内部行为 黑客、间谍软件 恶意 低 5 内部行为 病毒、蠕虫、木马 收发邮件 极高 6 内部行为 病毒、蠕虫、木马 访问非安全网站 极高 7 内部行为 病毒、蠕虫、木马 私自安装软件 极高 8 内部行为 黑客、间谍软件 使用聊天软件或其它 极高 9 内部行为 带宽资源消耗 P2P、电影或其它 高 10 内 、 外 MAC 攻击 病毒、恶意 高 11 内 、 外 ARP 攻击 病 毒、恶意 极高 12 内 、 外 DHCP 攻击 病毒、恶意 高 13 内 、 外 STP 攻击 病毒、恶意 高 14 内 、 外 DOS/DDOS 攻击 病毒、恶意 高 15 内 、 外 应用数据窃取、破坏 病毒、木马、恶意 极高 通过以上分析， 我单位网络及信息系统所面临的安全威胁很多，影响极大 ，因此，我们在对 外网 威胁因素进行监控、防范的同时，必须对内部行为造成的威胁进行严格控制、管理，必须从源头上遏制住病毒、蠕虫、木马 、恶意使用网络、恶意攻击 等威胁对我 单位 网络 和信息系统 造成的影响。 四川省 XXX 院 信息安全 建设方案 8 成都 XXXX 信息技术有限公司 3 总体需求 及主要内容 根据 以 上的分析和 总结，我们提出以下应用需求：  需要部署防火墙保证内外数据交换安全；  在局域网内布置防病毒攻击 ；  终端计算机管理方案（主要是端口和 IP 地址与机器码绑定管理） ；  流量监控与控制；  未来涉及对公众提供对外资源服务，数据交换量较大， 需要包含对外资源服务建设规划。 通过对应用需求、安全威胁分析，我们提出信息安全体系建设的总体需求及主要内容下如：  改造网络出口，部署防火墙，保证数据交换安全；  对网络主干实施千兆拓展，构建万兆核心、千兆骨干、百兆 (千兆 )桌面的高速网络；  部署 防毒墙、 网络版杀毒软件 ，有效防止病 毒和恶意软件的传播、感染 ；  加强内网行为管理，通过软硬体系，构建全局安全网络和统一威胁管理；  实现内网实名制上网，对上网用户进行身份认证；  实现终端设备 IP 地址、 MAC 地址、交换机端口绑定，有效防范 ARP欺骗、 ARP 病毒及攻击；  实现基于应用的多策略的流量监控与控制；  在提供对外资源服务时，构建服务器 DMZ 区、部署入侵检测系统、 建设数据中心确保数据安全可靠。 四川省 XXX 院 信息安全 建设方案 9 成都 XXXX 信息技术有限公司 4 网络及信息安全体系总体方案 设计原则 本 方案按以下原则设计和实施：  软、硬结合 ，技术手段与管理制度结合 ；  重软硬件的同时，必须强调安全意识的培养和 强化，网络 和信息系统 安全问题必须提高到政治高度 ；  内外兼顾，重 外 来威胁防范的同时，强调内部威胁管理，对内部威胁来源严防死守 ；  立足现状、预见未来，在能解决目前问题的同时，必须有效预见将来会有的安全威胁 ；  事先防范、事后定位 、快速恢复 ，在威胁变为危害前，加以防范，一旦出现危害，应快速找出原因、分析了判断故障，快速恢复。 总体方案 针对我 单位 网络安全所受威胁的分析，我们必须提出一个行之有效的解决方案，包括以下内容： (1) 物理 拓扑 结构 改造及 优化； (2) 科学、合理的 IP 地址规划 及 优化； (3) 实施 出口安全实施 ； (4) 实施防病毒的软 、硬方案； (5) 构建全局安全网络体系； (6) 确保 服务器与数据库安全 ，建设数据中心，部署容灾容错备份系统 ； (7) 实施 运行 保障体系。 四川省 XXX 院 信息安全 建设方案 10 成都 XXXX 信息技术有限公司 5 详细设计 拓扑结构调整 光 纤 接 入出 口 路 由 器1000M安 全 接 入 交 换 机核 心 交 换 机100M防 火 墙 / 应 用 控 制 引 擎数 据 中 心入 侵 检 测 系 统服 务 器 D M Z 区安 全 网 关 ( 防 毒 墙 ) 出口安全设计 应部署专业防火墙设备。 出口 防火墙 应具备扩展的状态检测功能、防范入侵及其它（如 URL 过滤、HTTP 透明代理、 SMTP 代理、分离 DNS、 NAT 功能和审计 /报告等）附加功能。 处理能力应可达 1000Mbps。 应支持支持扩展的状态检测技术，具备高性能的网络传输功能；同时在启用动态端口应用程序 (如 VoIP、 H323 等 )时，可提供强有力的安全信道。 应支持安全协议栈、具备强大的处理功能，在防范外网病毒和攻击的同时，应具备完整的内网安全管理，能对用户使用网络的情况进行实时监控，并可及时隔离异常客户端。 四川省 XXX 院 信息安全 建设方案 11 成都 XXXX 信息技术有限公司 网络防病毒 内容安全网关 (防毒墙 ) 硬件安全网关透明接入防火墙和核心交换机之间，位于网络咽喉，一台设备可防护全网，同时在党政网中任何一台计算机可以进行管理和配置。 开启防毒墙的 HTTP、 FTP、 SMTP、 POP3 等协议的扫描，可以防止浏览网页、上传下载和收发电子邮件带来的病毒，同时阻断进出 Mail 服 务器的垃圾邮件，保证邮件服务器的安全和高效，还可以启用内容过滤模块，对进出服务器的内容进行过滤。 防毒墙通过输入激活码后，便可以每隔一小时自动到网上更新。 同时自带的冗余系统，可以保证系统自身的稳定运行，是网关防毒的首选产品。 企业级网络版防病毒软件 在网络防病毒方面，可采用网络版杀毒软件。 应 方便对网络中所有计算机的保护配置和更新，这些计算机包括：工作站 、文件服务器 、 邮件服务器 、 SMTP 网关和边界服务器。 它不仅 应 抵御病毒，蠕虫和特洛依木马，还防护新的 Inter 攻击，如垃圾邮件 、 间谍程序 、 拨号器 、 黑客工具和恶作剧 等 ，以及针对系统漏洞，并提供保护阻止安全冒险。 应 具有不间断保护功能，至少每天一次将已作的更新自动分发到网络中。 这是由于采用了向用户透明的新机制，其结果是提高了产品的质量，使管理员可以集中精力到其它工作中。 应具备以下功能特性：  应能 保护所有电子邮件通讯，保护 所有接收和发送的电子邮件通讯安全而免受病毒感染；  可 保护整个网络的边界，保护了 内 网和 Inter 之间的所有连接；  可 抵挡所有类型的 Inter 攻击，它包括客户端桌面保护；  可 通过中央管理工具 ，从一台计算机进行整个网络的集中管理； 四川省 XXX 院 信息安全 建设方案 12 成都 XXXX 信息技术有限公司  对于预计将大量传播和感染的攻击信息， 可 通过预先提示信息系统，发布最新详细的相关信息 ；  可 每日自动更新将抵挡新病毒。 构建全局安全网络体系 概述 根据现有需求，并考虑到未来的发展趋势，需要建立一个统一的信息传输网络， 以 满足数据、语音、视频、图像、多媒体等相关信息的传输， 并 可实现办公、财务各部门等正常地访问网络，同时满足内部网络之间的高速转发。 网络的总体设计思路是，采用星型 高速 以太网的网络主体架构。 这样架构可以充分提高网络的可扩展性、易维护性以及稳定性。 采用千兆主干，百兆到桌面的设计思路。 采用“核心 — 汇 聚 — 接入”的三层网络架构，核心到汇聚、汇聚到接入交换 机均应 采用千兆连接，同时通过汇聚层的安全功能，大大减轻核心层的路由、安全处理的压力，提高整体网络的性能。 (1)网络出口采用防火墙 设备 ，提供 抵 抗外网攻击等功能，有效地防止蠕虫等病毒的攻击，同时还可以有效地防止 BT/电驴等对网络带宽的占用。 (2)核心层 可 沿用原有核心交换机。 (3)接入层 可升级为 安全智能交换机， 应支持 丰富的 ACL 策略，防 ARP 欺骗功能等，提供丰富的安全策略，防止病毒对网络的攻击与危害 ， 并 能 提供千兆扩展接口。 (4)部署一套 综合 网络 及安全 管理 软件负责整个网络设备、服务器及用户 PC的拓扑发现和设备的管理，并做到实时的网络流量监控及预警功能，通过这套软件可以让网管人员足不出户就可以管理到网络中的每一台设备和每。