泉州电信网络安全整体预案.doc

泉州电信公司 网络安全解决方案书 创识科技股份有限公司 信息安全公司 2001年7月 第一章 网络信息安全体系概述 3 一．网络安全的总体目标 3 二．网络系统安全性分析 3 三、需求分析 4 第二章 网络安全系统的总体规划 6 一．安全体系结构 6 二．设计原则 6 三．设计目标 7 四．解决方案 7 1．即时提供网络系统的安全评估 7 2．综合建立多层的病毒防护体系 8 3．使用规程分析仪管理网络与故障分析 9 4．辅助手段，NAI Cybercop Sting 的部署 9 第三章 防火墙的部署解决方案 10 一、重点保护泉州电信关键网段和关键主机 10 二、未安装防火墙之前的泉州电信公司的网络情况。 10 三、防火墙的安装平台要求 12 四、GauntLet防火墙的部署 12 第四章 个人电脑安全与数据加密部署方案 15 一、方案描述 15 二、PGP Desktop功能简介： 15 三．PGP安装平台要求 16 第五章 系统与网络风险评估及漏洞扫描解决方案 18 4.1安全扫描工具的分类 18 4.2网络安全扫描的主要性能 18 4.3网络安全扫描系统具体部署方案 19 4．4 辅助措施――诱捕网络的建设 22 第六章 整体防病毒部署与管理解决方案 24 一、防病毒软件的部署 24 二、防病毒系统的管理 27 1．病毒特征代码和引擎的更新和升级 28 2．配置和集中管理 29 3. 任务调度和执行 29 第七章 网络性能监控及故障排除 31 配置要求： 32 第八章 相关产品介绍 33 一、NAI Gauntlet防火墙 33 1．自适应代理技术 33 2． Gauntlet防火墙的特点 34 二、PGP加密与公用密钥设备管理套件 34 三．CyberCop Scanner安全漏洞扫描器 38 四、Cybercop Monitor 网络入侵监测工具 38 五、McAfee Active Virus Defense防病毒套件 39 系统升级安全保障 40 动态的防病毒系统 40 多平台支持 40 防病毒软件的部署 40 六、管理控制台ePO(ePolicy Orchestrator) 40 七、分布式Sniffer系统 42 分布式Sniffer系统的用途： 43 便携式Sniffer（Portable Sniffer） 43 使用Sniffer网络分析仪的好处 44 NAI 公司简介 47 第一章 网络信息安全体系概述 一．网络安全的总体目标 保密性：保证非授权操作不能获取保护信息或计算机资源。 完整性：保证非授权操作不能修改数据。 有效性：保证数据不受非授权操作的破坏。 总体说来，一个企业网络系统的安全性应包括以下几个方面： 网络的完整性：包括防火墙和通信安全(VPN) 系统的完整性：包括反病毒，风险评估，入侵侦测 用户的完整性：包括用户管理，登录认证 应用的完整性：包括访问控制和授权 应用的保密性：主要是信息的加密 二．网络系统安全性分析 1） 操作系统的安全性 一般操作系统均有用户身份识别与权限访问控制等安全措施，但对网络资源缺乏有效的控制，况且有了安全控制机制与制定了行之有效的安全策略是两回事，如用户的密码是否定期更新了，密码是否容易被攻击，网络服务的权限是否被有效控制等；另外操作系统本身都或多或少存在漏洞，也成为被利用的对象。 2）来自网络病毒的安全威胁 由于Internet的迅快发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染的范围越来越广，据NCSA调查，在1994年中，只有约20%的企业受到过病毒的攻击，但是在1997年中，就有约99.3%的企业受到病毒的攻击，也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或Internet感染。同样据NCSA调查，在1996年只有21%的病毒是通过电子邮件，服务器或Internet下载来感染的，但到1997年，这一比例就达到52%。 3）网络及其所采用的协议族的安全性 由于目前采用的通信协议大都未考虑安全性，对信息的完整性也考虑得不够，通过一定的手段如“窥探”等即可得到通讯的信息内容。 4）应用程序的安全性 许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失；同时对付恶意攻击方面也显得束手无策。 5）管理上引起的安全性 再好的安全产品，再好的安全策略，若无严格的管理制度，则一切形同虚设。 6）网络安全产品自身的安全性 防病毒产品是否能实时、有效地阻止现有各种病毒，病毒特征码库是否能及时地更新，有无网关防病毒产品；防火墙产品的实现本身是否存在安全漏洞，防火墙的安全策略配置是否有问题等都成为网络安全要考虑