IDC安全设计模板.doc

网络与系统安全实施方案 1.1网络安全和系统可靠性的总体设想 （1）网络要求有充分的安全措施，以保障网络服务的可用性和网络信息的完整性。要把网络安全层，信息服务器安全层，数据库安全层，信息传输安全层作为一个系统工程来考虑。 网络系统可靠性：为减少单点失效，要分析交换机和路由器应采用负荷或流量分担方式，对服务器、计费服务器和DB服务器，WWW服务器，分别采用的策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检测/报警/排除的措施。 对业务系统可靠性，要求满足实现对硬件的冗余设计和对软件可靠性的分析。 网络安全应包含：数据安全； 预防病毒； 网络安全层； 操作系统安全； 安全系统等； （2）要求卖方提出完善的系统安全政策及其实施方案，其中至少覆盖以下几个方面： 对路由器、服务器等的配置要求充分考虑安全因素 制定妥善的安全管理政策，例如口令管理、用户帐号管理等。 在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具清单及说明。 制定对黑客入侵的防范策略。 对不同的业务设立不同的安全级别。 （3）卖方可提出自己建议的网络安全方案。 1.2 整体需求 安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。 针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方案。 所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务包括产品的定时升级，培训，入侵检测,安全扫描系统报告分析以及对安全事故的快速响应。 安全产品应能与集成商方案的网管产品，路由，交换等网络设备功能兼容并有效整合。 所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全认证。 所有安全产品要求界面友好，易于安装，配置和管理，并有详尽的技术文档。 所有安全产品要求自身高度安全性和稳定性。 安全产品要求功能模块配置灵活，并具有良好的可扩展性。 1.3 防火墙部分的功能需求 网络特性：防火墙所能保护的网络类型应包括以太网、快速以太网、(千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数：软、硬件防火墙应能提供至少4个端口。 服务器平台：软件防火墙所运行的操作系统平台应包括Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可选)。 加密特性：应提供加密功能，最好为基于硬件的加密。 认证类型：应具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、 口令方式、数字证书等。 访问控制：包过滤防火墙应支持基于协议、端口、日期、源/目的IP和MAC地址过滤；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突；在传输层、应用层(HTTP、FTP、TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。 防御功能：支持病毒扫描，提供内容过滤，能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。 安全特性：支持转发和跟踪ICMP协议（ICMP 代理）；提供入侵实时警告；提供实时入侵防范；识别/记录/防止企图进行IP地址欺骗。 管理功能：支持本地管理、远程管理和集中管理；支持SNMP监视和配置；负载均衡特性；支持容错技术，如双机热备份、故障恢复，双电源备份等。 记录和报表功能：防火墙应该提供日志信息管理和存储方法；防火墙应具有日志的自动分析和扫描功能；防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括E－mail、呼机、手机等；提供简要报表（按照用户ID或IP 地址提供报表分类打印）； 提供实时统计。 2网络安全管理的设计思想 2.1 网络信息安全设计宗旨 依据最新、最先进的国际信息安全标准 采用国际上最先进的安全技术和安全产品 参照国际标准ISO9000系列质量保证体系来规范公司提供的信息安全产品和服务 严格遵守中华人民共和国相关的法律和法规 2.2 网络信息安全的目标 网络安全的最终目标是保护网络上信息资源的安全，信息安全具有以下特征： 保密性：确保只有经过授权的人才能访问信息； 完整性：保护信息和信息的处理方法准确而完整； 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。--安全策略、管理和技术。 安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信 息安全的最核心问题，是整个信息安全建设的依据； 安全管理--主要是人员、组织和流程的管理，是实现信息安全的落实手段； 安全技术--包含工具、产品和服务等，是实现信息安全的有力保证。