网络安全解调决方案.docVIP

目 录某机密企业内网 1网络安全解决方案 1目 录 2总 则 3第一章 某机密企业内网现状描述 4第二章 某机密企业内网安全需求分析 5第三章 某机密企业内网安全方案设计原则 53.1安全体系结构 53.2安全方案设计原则 63.2.1需求、风险、代价平衡的原则 73.2.2 综合性、整体性原则 73.2.3一致性原则 73.2.4 易操作性原则 73.2.5 适应性及灵活性原则 73.2.6 多重保护原则 7第四章 内网安全技术实现方案 84.1物理安全 84.2网络安全 94.2.1 网络结构安全 104.2.2访问控制 114.2.3入侵检测 144.2.4病毒防护 154.2.5数据备份与恢复 154.3 安全管理 164.3.1.安全管理原则 164.3.2.安全管理的实现 17第五章 安全设备配置 185.1某机密企业内网网络安全拓扑图 195.2某机密企业内网网络安全设备配置列表 19第六章 附件 206.1防火墙产品介绍 206.2天融信安全服务介绍 226.2.1天融信专业的安全服务描述 226.2.2服务范围 246.2.3服务方式 256.2.4服务实现目标 256.2.5服务标准和规范 25总 则本方案书为某机密企业内网网络安全项目方案书，包括网络状况分析、网络风险分析、安全需求分析、安全目标的确立、安全产品的选择和方案的完整的安全解决方案。本方案书的目标是在不影响某机密企业内网网络当前业务的前提下，实现对某机密企业内网网络的全面安全防护和安全管理。1、 本方案书构建了包括防火墙、入侵检测系统（IDS）、病毒防护系统、安全管理系统等多种安全产品协同工作的、有效的防御系统，降低网络的安全风险，提高网络安全性；2、 针对某机密企业内网网络的现状和实际应用情况，我们方案某机密企业内网网络安全体系在“统一规划”的前提下，进行“分步实施”。具体而言，可以先对网络做一个比较全面的安全体系规划，根据网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、必需的安全性；随着今后应用和复杂程度的增加，再在原来基础的防护体系之上，建立增强的安全防护体系。第一章 某机密企业内网现状描述某机密企业内网由于网络建设时间比较早，网络设备比较老，很多现在先进的网络技术支持的不是很好，导致了结构的划分上不是很清晰，但大致可以分为六个组成部分，即：核心骨干区、内网用户区、数据库服务器区、应用服务器区、WEB服务器区和软件服务器区。核心骨干区由两台IBM8265三层交换机组成，其中一台通过千兆光纤下联到各种楼层交换机，形成了内网用户区；另外一台通过155M光纤下联到2810交换机，2810交换机通过100M以太接口与各类软件服务器相联形成了软件服务器区；2810交换机通过一条100M以太线路连接到Catalyst3550交换机，Catalyst3550通过100M以太接口与各类WEB服务器相联形成了WEB服务器区； IBM8265通过一条100M以太线路连接到Catalyst3548交换机，Catalyst3548通过100M以太接口连接各类数据库服务器，形成了数据库服务器区；另外IBM8265通过100M以太接口直接连接各类应用服务器，形成了应用服务器区。所有的内部数据都在核心层进行快速的交换/路由，以保证整个某机密企业内网高效、快捷、安全的运转，大致的网络拓扑结构示意图如下： 第二章 某机密企业内网安全需求分析某机密企业内网为某机密企业内网系统业务的开展带来了极大的方便。但随着网络应用的扩大和网络设备的老化，网络安全风险也变得更加严重和复杂，原来运转正常的网络现在经常发生网络故障，严重影响了内部业务的开展。原来由单个计算机安全事故引起的损害可能传播到其它系统和主机，引起大范围的瘫痪和损失；另外，加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险可谓日益加重。这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。在目前的网络中已经部署了一些安全产品，例如防病毒软件、防火墙系统等。原来清华德实公司的四台防火墙设备，在访问控制方面已经有了基本的防护功能，但设备的部署不是很合理，没有充分发挥防火墙的访问控制功能，只有小部分服务器得到了防火墙的保护，大部分服务器没有任何防护措施，完全暴露在公开网络中，其安全度可想而知。我们根据业务的需求重新划分了新的网络安全域，在核心交换机和数据库安全域之间没有任何的安全防护，而这些数据又是网络中的核心，一旦数据发生问题这个的业务都会受到影响，所以保护这些数据的安全是重中之重。因此为了保证某机密企业内部网络系统的安全、稳定、高效的运转，有必要对其网络安全