大連新船重工网络安全整体解决方案.doc

大连新船重工责任有限公司 网络安全整体解决方案 Total Technical Solutions 设计单位：大连XX科技发展有限公司 设计日期：二零零三年四月 目 录 第一部分 网络安全概述 ４ 网络安全体系的基本认识 ４ 网络安全技术概述 ９ 虚拟网技术 ９ 防火墙枝术 １０ 病毒防护技术 １５ 入侵检测技术 １６ 安全扫描技术 １９ 认证和数宇签名技术 ２０ VPN技术 ２１ 应用系统的安全技术 ２３ ２６ 网络安全需求分析 ２６ 当前网络状况 ２６ ２７ 安全解决方案分析 ３１ . 网络配置结构图 ３１ . 公司总部安全配置 ３２ . 营业网点安全设置 ３３ . 产品配置说明 ３４ 防火墙解决方案－Checkpoint Firewall-1 ３６ 防火墙部署示意图 ３６ 防火墙安全策略配置和管理 ３６ Checkpoit防火墙简介 ３７ 防病毒解决方案－TrendMicro AntiVirus Total Solution ６５ 1 ６５ 2 ６７ 3 ６８ NFR入侵监测 ７９ NFR入侵监测的配置 ７９ NFR入侵监测产品简介 ８０ 身份认证安全方案 １０７ Spa产品配置图 １０７ Spa产品简介 １０７ 内部网络安全管理制度和技术实现 １１３ 安全服务及相关培训 １１７ １１７ １１７ １１７ １２１ １２４ １３２  第一部分 网络安全概述 网络安全体系的基本认识 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元。 （一）安全威胁 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面： (1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 (2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。 (3) 来自内部网用户的安全威胁。 (4) 缺乏有效的手段监视、评估网络系统的安全性。 (5) 采用的TCP/IP协议族软件，本身缺乏安全性。 (6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。 (7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 （二）网络安全的需求 1、企业网络的基本安全需求 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则。 企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。 对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。 2、业务系统的安全需求　　　　　　　 与普通网络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。 企业网络应保障： 访问控制，确保业务系统不被非法访问。 数据安全，保证数据库软硬件系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。 3、Internet服务网络的安全需求 Internet服务网络分为两个部分：提供网络用户对Internet的访问：提供Internet对网内服务的访问。 网络内客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。 网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求： 需要保证信息网络之间安全互联，能够实现网络安全隔离； 对于专有应用的安全服务； 必要的信息交互的可信任性； 能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能够实现安全应用； 同时信息网络公共资源能够对开放用户提供安全访问； 能够防范包括： 利用Http应用，通过Java Applet、ActiveX以及Java Script形式； 利用Ftp应用，