信息化安全方案.docVIP

企业信息化管理解决方案 为解决成都新朝阳生物化学有限公司网络无序话， 根据成都新朝阳生物化学有限公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的Ciscoworks VMS网络管理系统。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护公司信息化资料安全实现提高生产率和降低运营成本。 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案 1．1、安全建设 1．2、网络边界安全防护 网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL)，可以将其用作一个“预过滤器，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。 公司服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载oA、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。 在内网防火墙之外采用两台cisco 3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的Internet VPN采用Cisco ASA5520防火墙，同时提供拨号VPN接入，外网访问通过Amaranten F600防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在Amaranten F600防火墙DMZ区，对外开启tcp 80 http服务。 通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。 我们通过配置Amaranten F600防火墙实现以下功能： ●可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分 用户可以访问外网，而其他用户不能通过防火墙访问Internet。 _对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。 ●通过三种方式过滤不良内容，包括：URL地址：只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。不良关键字：所有包含实业网络用户自定义不良关键字(如“法轮功)的网页将被屏蔽网页分类：Amaranten F600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，实业网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。_通过利用IP地址、邮件地址、实时黑名单／匿名中继代理列表(RBL／ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和，内容层为实业网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高实业网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DCN网络内网。_Amaranten F600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。 3．4．2入侵检测与防御 入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵， 成都新朝阳生物化学有限企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现： ·监视、分析用户及系统活动； ●系统构造和弱点的审计； _识别反映已知进攻的活动模式并向相关人士报警；_异常行为模式的统计分析；_评估重要系统和数据文件的完整性；_操作系统的审计跟踪管理，并识别用户违反安全策略的行 为。 对一个成功的入侵检测系统来讲，它