1、 XX 企业网络安全建议书 1 XX 企业网络安全建议书 成都天融信网络安全技术有限公司 2017年3月 XX 企业网络安全建议书 2 目 录 总 则 .5 项目背景 .5 公司介绍 .6 第一章网络风险分析 .7 1.1 物理安全分析 .7 1.2 链路分析 .8 1.3 网络结构的分析 .8 1.4 系统的安全分析 .9 1.5 应用系统安全分析 .10 1.5.1 资源共享 .10 1.5.2 电子邮件 .10 1.5.3 病毒侵害 .10 1.5.4 数据信息 .10 1.5.5 应用系统管理的安全风险分析 .11 1.6 网络安全方案设计原则 .11 第二章网络安全需求分析 .12
2、2.1 物理安全需求 .12 2.2 防火墙需求 .12 2.3 入侵检测系统需求 .12 2.4 网络防病毒系统需求 .13 2.5 信息审计需求 .13 2.6 安全管理需求 .13 2.7XX 企业安全总体目标 .13 第三章网络安全方案 .15 3.1 物理安全实施方案 .15 3 1 1 防盗防火放水 .15 3 1 2 机房环境 .15 3 1 3 物理访问控制方面 .15 3 1 4 机房屏蔽 .15 3 1 5 电源系统 .16 3 1 6 传输屏蔽 .16 3 1 7 对终端设备辐射的防范 .16 3.2 防火墙火墙实施方案 .17 3 2 1 防火墙参数要求 .17 3.
3、2. 2 防火墙部署拓扑图 1.19 3 2 3 防火墙部署拓扑图 2.19 3 2 4 部署防火墙的好处 .20 XX 企业网络安全建议书 3 3.3IDS 实施方案 .21 3 3 1IDS 部署拓扑图 .21 3 3 2IDS 部署的好处 .21 3.4 信息审计实施方案 .22 3.5 数据备份实施方案 .25 3.6 安全管理实施方案 .27 3 6 1 工作人员个人安全行为规范 .27 3 6 2 密码安全规范 .28 3 6 3 系统管理规范 .29 3 6 4 物理安全规范 .29 3 6 5 用户访问控制规范 .30 3 6 6 登录策略 .30 3 6 7 安全确认规范 .
4、31 3 6 8 审计规范 .31 3 6 9 服务的可靠性规范 .32 3 6 10 网络安全规范 .33 37 文件加密的实施方案 .34 38 防病毒实施方案 .35 第四章培训计划 .36 41 培训目的 .36 4.2 培训对象 .36 4.2.1 网络管理员 .36 4.2.2 系统管理员 .36 4.3 培训内容 .37 4.4 培训计划 .38 4.4.1 初级培训 .38 4.4.2 高级培训 .39 第五章售后服务、技术支持、软件升级的保障 .40 51 服务项目介绍 .40 5.1.1 北京技术服务中心 .41 5.1.2 成都技术服务中心 .42 52 售后服务承诺 .
5、42 附件 1 产品报价 .43 附件 2 天融信防火墙先进性 .44 附件 3 天融信部分用户名单 .55 一、政府 .55 二、金融行业 .57 三、科研教育 .58 四、电信 .59 XX 企业网络安全建议书 4 五、邮政 .59 六、税务 .59 七、能源 .60 八、交通运输 .61 九、安全部门 .61 十、医疗 .62 十一、其他 .62 XX 企业网络安全建议书 5 总 则 项目背景 以 Internet 为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正 日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐 渐向大型、关键业务系统扩展,典型的如行政部门业务
6、系统、金融业务系统、 企业商务系统等。伴随网络的普及,越来越多的企业、个人通过互联网进行重 要数据的传输、商务活动的实现。因此网络安全问题也更加关键和重要。因为 在开放的 Internet 上有形形色色的人,他们的意图也是多种多样的。如何使网 络信息系统不受黑客和工业间谍的入侵,已成为企事业单位信息化健康发展所 必需考虑和解决的重要问题。 XX 企业的计算机网络是一个覆盖全厂系统的计算机网络。它的一方面作用 是为各科室提供完整、准确、及时的各项数据和结果,加强系统内部信息的交 换,是系统决策科学化的重要工具和手段;另一方面,以网络系统为基础,实 现全厂文件交换提供基本平台保障。但是由于在建设网
7、络的过程中没有过多的 考虑网络的安全因素,随着应用的增加,网络也越来越复杂,所以敏感信息的泄 露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。为保证 XX 企业网络 的安全,有必要对网络安全的部分进行专门的改造。 本建议书的目标是在不影响资阳市机车厂网络当前业务的前提下,实现对 其网络全面的安全防护和安全管理。本建议书构建了包括防火墙、入侵检测系 统(IDS) 、信息审计等多种安全产品协同工作的、有效的防御系统,降低网络 的安全风险,提高网络安全性。 针对对资阳市机车厂网络的网络状况和实际应用情况,我们建议资阳市机 车厂网络安全体系在“统一规划”的前提下,进行“分步实施” 。具体而言,可
8、以先对网络做一个比较全面的安全体系规划,根据网络的实际应用状况,先建 立一个基础的安全防护体系,保证基本的、必需的安全性;随着今后应用的种 类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。 本方案为资阳市机车厂的网络安全解决方案,包括网络状况分析、安全需求分 析、安全产品的选择和建议的完整的安全解决方案。 XX 企业网络安全建议书 6 公司介绍 天融信网络安全技术有限公司是我国最早专业从事因特网(Internet)及 计算机通信网络信息安全研究、产品开发与系统集成的高新技术企业。公司从 创立之初即立足于这样一个信念:信息安全关系到国家的主权和利益,必须走 自强不息的民族产
9、业之路。自 1995 年起,公司便积极致力于信息安全的探索和 研究,并于 1996 年 6 月推出了填补国内空白的中国第一套具有自主版权的防火 墙产品。目前,天融信公司已成功开发出了防火墙系统、加密机(VPN)系统及 信息审计系统等网络安全产品,并分别获得了公安部、国家安全部、国家保密 局、国家密码管理委员会等国家安全主管部门的许可或认证,在国内的政府、 电信、金融、证券、军队、能源、交通、教育、制造等行业及国家政府部门、 企事业单位得到广泛应用,赢得了政府、社会和用户的广泛赞誉,为开创我国 信息安全事业做出了积极贡献。 成都天融信网络安全技术有限公司是天融信网络安全技术有限公司在成都 注册的
10、全资公司,是天融信的三大核心公司、三大研发基地之一,天融信公司 网络安全产品的核心部分许多都由成都公司来完成,在目前成都天融信公司有 员工 21 名,其中网络安全的博士有 3 名,硕士 6 名,其余技术人员都是具有本 科文凭的网络安全专业人士。可以很好的提供本地化安全服务。 天融信网络安全技术有限公司自 95 年成立以来,已经拥有的遍布全国 31 个省市、自治区、直辖市的近万家用户,受到了用户的认可,天融信公司成为 国内安全市场的领导者,具国内调查的权威机构赛迪公布的市场报告指出:连 续五年国内防火墙市场占有量第一名,每年的业绩和利润 100%以上的增长 XX 企业网络安全建议书 7 第一章网
11、络风险分析 网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也 变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他 系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络 安全政策及防护意识的认识不足,这些风险正日益加重。 瞄准网络存在的安全漏洞,黑客们所制造的各类新型的风险将会不断产生, 这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关。 从网络安全的整个过程来看,网络现状分析是必不可少的。只有分析好了 网络现状才有可能针对现有的网络制定定相应的安全方案,从而进行安全实施, 进而达到保护整个网络的目的。 下面从物理安全、链路安全、
12、网络安全、系统安全、应用安全及管理安全 进行分类描述 XX 企业的网络安全。 1.1 物理安全分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线 路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。 XX 企业的物理安全应注意以下几个方面 1) 地震、水灾、火灾等环境事故; 2) 电源故障; 3) 人为操作失误或错误; 4) 设备被盗、被毁; 5) 电磁干扰; 6) 线路截获; XX 企业网络安全建议书 8 7)机房环境及报警系统的设计。 1.2 链路分析 网络安全不仅是入侵者到内部网上进行攻击、窃取或其它破坏,有可能在 传输线路上安装窃听装置,窃取你在网上传输
13、的重要数据,再通过一些技术读 出数据信息,造成泄密或者做一些篡改来破坏数据的完整性。 因此数据在链路上传输必须加密。对于非涉密但属于非公开敏感信息的传 递应通过采用数字签名及认证技术来保证数据传输的机密性、可靠性及完整性 1.3 网络结构的分析 如上图,现在 XX 企业的整个网络是一个庞大复杂的网络,基于对数据重要 的程度划分,我们把整个网络分为 3 个不同的安全区域:互联网,资阳厂内部 服务器群以及 XX 企业内部网络。 其中内部服务器群是整个网络的核心安全部分,对内部网络中的办公人员 XX 企业网络安全建议书 9 用户提供信息浏览、查询或其他应用。由于这些服务器允许大量的办公人员用 户访问
14、,因此从理论上存在个人行为或内部网络入侵的攻击者对服务器攻击的 可能性。如果没有采用相应的安全措施,入侵者攻击服务器后,这样可能导致 一些重要信息或敏感信息可能被非法窃取或修改 由于整个机车厂的内部网络和外部网络边界处已有防火墙做访问控制,故 这次在网络结构分析中我们认为是相对安全的。 1.4 系统的安全分析 谓系统安全通常是 XX 企业的内部网络操作系统、应用系统的安全。目前 的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以及其 它厂商开发的应用系统,其开发厂商必然有其 Back-Door。而且系统本身必定 存在安全漏洞。这些“后门”或安全漏洞都将存在重大安
15、全隐患。但是从实际 应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操 作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的 人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常 用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进 行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价 自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。以下是 侵袭者获取口令字的几种途径: 一是内部的管理人员因安全管理不当而造成泄密; 二是通过在公用网上搭线窃取口令字; 三是通过假冒,植入嗅探程序,截获口令字; 四是采
16、用字典攻击方式,获得口令字。 侵袭者一旦掌握了某一用户口令字,就有可能得到管理员的权限并可造成 不可。 因此填补主机的安全漏洞,关闭主机一些不常用的服务,禁止开放一些 XX 企业网络安全建议书 10 不常用比较敏感的窗口,给关键主机安装上基于主机的入侵检测对重要系统的 安全是非常重要的。 1.5 应用系统安全分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的 安全性也动态。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全 措施,降低应用的安全风险。 1.5.1资源共享 XX 企业网络可能存在着:内部办公人员网络可能有意、无意把硬盘中重要 信息目录共享,长期暴露在网络邻
17、居上,可能被外部人员轻易偷取或被内部其 他人员窃取并传播出去造成泄密,因为缺少必要的访问控制策略。 1.5.2电子邮件 内部网用户可能通过进行电子邮件发送和接收,这就存在被黑客跟踪或收 到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来 历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因至素。 1.5.3病毒侵害 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、 电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病 毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就 完全可能在极短的时间内迅速扩散,传播到网络上的所
18、有主机,可能造成信息 泄漏、文件丢失、机器死机等不安全因素。 1.5.4数据信息 数据安全对涉密企业来说尤其重要,数据在广域网线路上传输,很难保证 在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍 XX 企业网络安全建议书 11 会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就 造成的泄密。这对涉密企业用户来说,是决不允许的。 1.5.5应用系统管理的安全风险分析 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一 些重要信息传播给外人带来信息泄漏风险。机房重地却是任何人都可以进进出 出,来去自由,存有恶意的入侵者便有机会得到入侵的条件。内
19、部不满的员工 有的可能熟悉服务器、小程序、脚本和系统的弱点,利用网络开些小玩笑,甚 至破坏,如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都 将给网络造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必 须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可 能引起管理安全的风险。 1.6 网络安全方案设计原则 网络安全建设是一个系统工程,资阳市机车厂网络系统安全体系建设应按 照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的 “平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益, 坚持近期目标与远期目
20、标相结合。 在进行网络系统安全方案设计、规划时,应遵循以下原则: 1 需求、风险、代价平衡的原则 2 综合性、整体性原则 3 一致性原则 4 易操作性原则 5 适应性、灵活性原则 6 多重保护原则 7 可评价性原则 XX 企业网络安全建议书 12 第二章网络安全需求分析 2.1 物理安全需求 针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息 的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏 机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。配备机 房自动灭火系统,门禁系统,报警系统等等。 2.2 防火墙需求 防火墙是网络安全最基本、最经济、最有效
21、的手段之一。防火墙可以实现 内外网或不同信任域之间的隔离与访问控制。据有关数据统计,防火墙的加设 会使整个网络的安全风险降低 90%。 防火墙可以做到网络间的访问控制需求,过滤一些不安全服务,可以针对 协议、端口号、时间、邮件地址等条件实现安全的访问控制。同时防火墙具有 很强的记录日志的功能,可以对您所要求的策略来记录所有不安全的访问行为。 2.3 入侵检测系统需求 也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这 是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。 防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所 有的访问进行严格控制(
22、允许、禁止、报警) 。但防火墙不可能完全防止有些新 的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵 检测系统,配置防火墙与 IDS 的联动,对透过防火墙的攻击进行检测并做相应 反应(记录、报警、阻断) 。因此入侵检测系统被公认为是继防火墙之后的第二 XX 企业网络安全建议书 13 道屏障。 2.4 网络防病毒系统需求 针对防病毒危害性极大并且传播极为迅速,必须配备从单机到服务器部署 整体防病毒体系,实现全网的病毒安全防护。 2.5 信息审计需求 网络为泄露企业的商业机密、技术资料、传播非法和黄色信息也提供了 便利,甚至有人在使用网络过程中无意或故意地泄露 XX 企业的机密,利用网 络从事非法活动,严重危害社会安全。一套技术先进的信息审计系统将很好 的监测网上信息的交流,能够做到发现问题及时解决 2.6 安全管理需求 “三分技术,七分管理 ”是网络安全领域的一句至理名言, 在安全业界,安 全重在管理的观念已被广泛接受,因此,对用户安全策略、安全制度等问题的 建议也应当作为安全解决方案的重要组成部分。通过加强安全管理,才能保证 由安全产品和安全技术组成的安全防护体系
