网安设备选型规范V1.0.docx

编号阶段标记版本V1.0网络安全设备选型框架XXXX科技有限责任公司2016年5月文档更新记录日期更新人版本备注2016/3/21V0.5创建文档及主干框架2016/3/31V0.6进行二次修改，填充内容2016/4/4V0.8填充UTM等设备内容2016/4/5V0.9补充信息并完善2016/4/8V1.0重新修改，排版引言因设备参考选型工作之因，需对硬件有较为深入的知识体系架构了解，为本部门与相关项目设备选型提供相对专业技术支持。因此通过查询资料及询问相关厂家设备信息，完成以下文档。按照网络从外到内：从光纤----电脑客户端，设备依次有：路由器（可做端口屏蔽，带宽管理Qos，防泛洪flood攻击等）----防火墙（有普通防火墙和UTM等，可以做网络三层端口管理、IPS（入侵检测）、IDS（入侵防御）、IDP（入侵检测防御）、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控（QOS）等）----行为管理器（可做UTM的所有功能、还有一些完全审计，网络记录等等功能，这个比较强大）----核心交换机（可以划分vlan、屏蔽广播、以及基本的acl列表），而安全的网络连接方式：现在流行的有 MPLS VPN ，SDH专线、VPN等，其中VPN常见的包括（SSL VPN \ipsec VPN\ PPTP VPN等）。在这些设备中所涉及的内容主要包括参数、功能、接口、技术类型、厂商等的框架信息。由于资料原因，目前信息仍然不够健全，且由于技术更新太快已无法跟上网安设备的更新变化速度，因此造成了信息的迟滞性甚至不准确。这些问题留待日后更新解决。网络安全设备1.1信息安全与网络安全产品（1）信息安全模型国际标准化组织定义：信息安全是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意原因而遭到破坏，更改和泄露。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。图1.1信息安全模型（2）网络安全网络安全不仅包括网络信息的存储安全，还涉及信息的产生、传输和使用过程中的安全。网络安全从其本质上来说就是网络上的信息安全。（3）网络安全防护产品：? 防火墙、防水墙? WEB防火墙、网页防篡改? 入侵检测、入侵防御、防病毒?统一威胁管理UTM? 身份鉴别、虚拟专网? 加解密、文档加密、数据签名? 物理隔离网闸、终端安全与上网行为管理? 内网安全、审计与取证、漏洞扫描、补丁分发? 安全管理平台? 灾难备份产品1.2信息安全技术规范图1.2信息安全国标1.3网安总体选型原则（1）中国网络安全产品概览　　中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。　　从功能上，常用的一些信息安全产品有：加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品，此外，还有身份鉴别产品、证书机关、物理安全产品。加密产品是非常传统的信息安全产品，主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。　　防火墙是用于实施网络访问控制的产品，是最常见也是中国国内技术非常成熟的信息安全产品之一。　　防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家很多，目前能够在国内获得一定市场的都是不错的产品。　　入侵检测产品是近一两年发展起来的，主要用于检测网络攻击事件的发生。国内外供货厂家也较多。　　身份鉴别产品也属于非常传统的产品，目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数（如：指纹、眼纹）的技术和产品发展很快，已经有成熟产品推出。　　虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备，该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体，是用户以非常低的成本构建专用网络的一种非常重要的产品。　　证书机关是一类非常基础的产品，任何基于证书体制实现安全的信息系统都需要该产品。　　物理安全产品是非常特殊的信息安全产品，如干扰器、隔离计算机、隔离卡等，其主要功能是确保信息处理设备的物理安全，提供诸如防电磁辐射、物理隔离等功能。（