网络安全建设实施方案.docVIP

京唐港股份有限公司 网络安全建设实施方案 二OO七年二月 目录 1 概述 3 2 网络系统安全建设 3 2.1 安全现状分析 3 2.2 安全风险分析 4 2.2.1 物理安全 4 2.2.2 网络安全与系统安全 4 2.2.3 应用安全 5 2.2.4 安全管理 5 2.3 安全需求分析 6 2.3.1 物理安全需求分析 6 2.3.2 网络安全与系统安全 7 2.3.3 应用安全 7 2.3.4 安全管理 8 2.4 安全实施方案 8 2.4.1 物理安全防护 8 2.4.2 备份与恢复 9 2.4.3 访问控制 9 2.4.4 系统安全 9 2.4.5 网段划分与虚拟局域网 11 2.4.6 办公网整体安全建议 11 2.4.7 防火墙实施方案 13 2.4.8 入侵检测系统实施方案 20 2.4.9 漏洞扫描系统实施方案 29 2.4.10 身份认证系统实施方案 33 2.4.11 安全审计系统实施方案 39 2.4.12 防病毒系统实施方案 43 3 异地网接入安全建设 55 3.1 接入方式选择 56 3.2 安全性分析 57 3.3 两种方式优势特点 57 3.4 VPN原理介绍 58 3.5 VPN的选型 63 3.6 财务系统安全防护 66 4 机房设备集中监控管理 66 4.1.1 设备及应用系统管理现状 66 4.1.2 建立机房集中控制管理系统需求 66 4.1.3 集中控制管理系统方案实现 67 4.1.4 功能特点 68 4.2 监控显示系统 68 4.2.1 投影显示系统 68 4.2.2 等离子显示系统 68 5 网络管理中心 69 5.1.1 建立网络管理中心需求 69 5.1.2 网络管理功能实现 69 6 桌面管理及补丁分发中心 72 6.1.1 建立桌面管理中心需求 72 6.1.2 桌面管理功能实现 74 7 网络设备升级 81概述 京唐港股份有限公司办公大楼网络信息系统目前刚刚投入使用，主要包括新建大厦、旧办公区办公网络以及部分省市办事处专网，该套网络与Internet互联，将要实现整个业务系统的办公自动化，包括业务系统使用、数据存储备份、文件共享、对外宣传等，同时还要为员工相关业务应用及学习提供便利的上网条件；所以该网络既是办公系统的承载体，也是威胁风险的承受体，在公司规模日渐壮大的今天，网络规模也相应的在不断的扩大，相关的配套网络及安全设备虽然具有较新的技术和功能，但还不足以抵御纷繁复杂的互联网的威胁，整个网络的安全也需要做相应的增强防护，另外从设备及应用的管理角度来看，可以采取一些智能和高效的管理手段及措施，在保障业务正常运行了同时，保证系统的安全可靠，减少和简化安全管理，提高系统工作效率。 本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分析，并提出可行性的实施方案，把目前在使用过程中遇到的一些问题解决并防患于未然，同时为用户提供一整套安全及网络管理措施，把公司网络建设成为一个符合业务需求、安全可靠、容易管理操作的高质量的办公网络。 网络系统安全建设 安全现状分析 京唐港股份有限公司依托于京唐港整体规划建设和发展，将承载着越来越多的港口业务等工作，特别是随着信息化办公的进一步深入，自动化办公的便利和效率可以说是公司发展壮大的必要手段；但是京唐港股份有限公司办公大楼是整个公司信息的核心地带，不但为本地员工及另外一个园区的业务人员提供各种办公应用服务，而且在各地已经或是将要成立办事处，实现远程办公，并且各个位置和部门的业务需求又不尽相同，在这种网络结构较为庞大，多层次、多应用的网络中，安全是一项很重要的任务和保证措施。 目前，该网络已经建设完成，安全手段主要在网络边界处采取了防火墙，在整个网络中部署了网络版杀毒软件和网管软件，其他安全措施主要是依靠个人的安全意识和行为；现阶段，全网已经爆发了多次病毒感染等问题，一定程度上影响了办公的效率，所以有必要进一步从技术角度完善安全系统。 安全风险分析 物理安全 物理安全层面存在下述威胁和风险形式： 机房毁坏：由于战争、自然灾害、意外事故造成机房毁坏，大部分设备损坏。 线路中断：因线路中断，造成系统不能正常工作。 电力中断：因电力检修、线路或设备故障造成电力中断。 设备非正常毁坏：因盗窃、人为故意破坏造成设备毁坏。 设备正常损坏：设备软 、硬件故障，造成设备不能正常工作。 存贮媒体损坏：因温度 、湿度或其他原因，各种数据存储媒体不能正常使用。 网络安全与系统安全 互联网安全隐患：互联网会带来的越权访问、恶意攻击、病毒入侵等安全隐患； 搭线窃取的隐患：黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息； 病毒侵袭的隐患：病毒在系统内感染、传播和发作； 操作系统安全隐患：操作系统