XX市工商局网络完整安全方案.docVIP

XX市工商局网络安全改造方案 北京安盟信息技术有限公司 2009年1月 目 录 1 前言 4 2项目定义 4 3 环境描述 4 4 安全需求及分析 5 4.1 需要保护的资源 5 4.2 面临的风险 5 4.3安全需求分析 9 4.4 安全建设目标 12 4.5 建设原则 12 5 解决方案 13 5.1部署说明 18 5.2安全产品 20 5.2.1网络管理 20 拓扑自动生成 25 网络事件报警 26 网络管理系统的事件关联系统 26 定制事件 27 5.2.2入侵检测/防御 28 结构与工作方式 29 实时监控预警与自动响应 30 数据包解析能力 31 识别的攻击类型 31 系统的策略配置 33 日志与审计 34 5.2.3 安全评估 35 扫描范围 36 可检测的漏洞种类 36 策略配置 41 生成报告 41 速度、误报率及网络影响 42 5.2.4 防火墙 42 5.2.5安全隔离 44 安全隔离技术原理 44 交易分析 45 交易重构 46 安全通道传输 46 安全隔离技术与管理制度的结合 47 5.2.6防病毒 47 5.2.7容灾容错 49 5.2.8综合审计 50 4.8.1审计范围 51 4.8.2综合审计功能目标 51 5.2.9上网行为管理 52 规范员工上网行为（比如禁止员工上班时间聊天/打游戏）、提高互联网效率 52 内网安全，保护内部数据安全、防止机密信息泄漏 52 流量控制、带宽管理，提升带宽利用率 52 降低法律责任 52 整合式UTM设备，可提供内网和外网的安全联动 53 5.2.10网页防篡改 53 安全传输 54 身份鉴别 54 安全发布 54 网页上传与备份 55 更加人性的多种发布模式 55 不同的管理权限设置 55 支持多虚拟目录 55 支持多终端 56 支持日志导出查询 56 5.3安全策略制订 56 5.4制度建设 57 5.5方案总结 58 6 实施 59 1 前言 XX市工商局计算机网络已运行多年，部分网络结构、性能、安全性已不能满足日常办公需要，以及未来应用系统扩展的需要。为此，改造XX市工商局的计算机网络已势在必行。XX市工商局从事的行业性质是跟国家紧密联系的，所涉及信息均带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对XX市工商局信息安全构成威胁。为保证网络系统的安全，有必要对其网络进行专门安全设计。 2项目定义 项目名称：XX市工商局网络安全建设 本项目的提出者： XX市工商局信息中心 规划范围： XX市工商局局域网 建设安全管理体系，结合网络管理提出基础安全保护方法与未来扩展框架 整体考虑应用扩展，建设综合数据交换平台网络是随着网络急剧扩大和用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对安全政策的认识不足，这些风险正日益严重。 针对局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素： 网络安全可以从以下三个方面来理解：1 网络物理是否安全；2 网络平台是否安全；3 系统是否安全；4 应用是否安全；5 管理是否安全。针对每一类安全风险，结合这个局域网的实际情况，我们将具体的分析网络的安全风险。 （1）物理安全风险分析 网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在局域网内，由于网络的物理跨度，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 （2）网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 这个局域网内公开服务器区（WWW、EMAIL等服务器）作为平台，一旦不能运行受到攻击，对的影响巨大。公开服务器本身为外界服务，。因此，网络的管理人员对安全事故做出有效反应变得十分重要。我们有必要将服务器、内部网络与进行隔离，避免网络结构信息外泄；同时还要对的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 （3）系统的安全风险分析 所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。 网络操作系统、网络硬件平台的可靠