华中企业网络安全方案.docVIP

常州市华中集团 企业网络安全方案 2006年4月 第一章 概述 1.1常州华中集团网络系统简介 常州华中集团网络已经完成企业网络建设，实施防火墙系统，能够初步解决与公共网络及与Internet互联给企业网带来的安全问题，如敏感信息的泄露、恶意侵扰、网络资源的非法使用以及网络攻击等。随着常州华中集团企业信息网络的拓展，为保证安全，需对网络接入点以及内部网进行网络防护，以杜绝漏洞，为此我们进行了专门的设计。 1.2联想集团信息安全业务简介 联想集团从1997年开始逐年加大在信息安全领域的投资。在公司外部，联想与CA公司合资成立了从事数据备份与恢复等安全业务的联想冠群公司，投资金山软件公司从事防病毒软件业务，投资中联绿盟公司从事入侵检测、漏洞扫描和专业安全服务业务，今后还会通过资本运作的方式迅速提升联想在信息安全方面的能力。在公司内部，分别于联想研究院、软件设计中心、板卡设计中心、工业设计中心等公司级研发平台设立信息安全研发板块；在IT服务群组中成立基础平台及信息安全服务事业部，统筹规划和发展公司信息安全业务。目前信息安全从业人员已达到三百余人，其中60%具有硕士以上学位。 联想是国内排名第一的IT厂商，其市值达300多亿港币，是36个恒升指数成份股企业之一。根据公司的信誉度和综合实力可以看出，联想具备长期履行承诺的能力。 信息安全是涉及多种技术的高科技产业，要保持其持续发展，需要大量的人力物力财力投入。去年下半年以来，有许多小公司不断倒闭或转行，就是因为缺少足够的资源投入。联想以中科院计算所和联想研究院等公司级研发平台为依托，以信息安全服务事业部为基础，将信息安全业务当作长期的事业，仅2001年一年，公司就对信息安全业务投入了数千万元，今后每年还将继续加大投入，因此具有持续发展的能力。 信息安全产品与技术将随着网络攻防技术的不断发展而发展，当用户购买的信息安全产品不能抵御新的攻击手段时，用户的信息系统将面临安全风险。凭联想的技术实力和资源投入，将能不断跟踪新技术和及时提供产品升级，因而具备帮助客户规避风险的能力。 由此可以看出，联想（北京）有限公司具备为常州华中集团企业网络安全建设提供完整的解决方案和全面服务的条件。 第二章 安全分析 透彻地对常州华中集团企业网络系统进行安全分析，是制定科学合理的系统安全策略和设计安全方案的前提。因此，本章将根据整体网络结构，将整个信息系统划分为网络架构和应用系统两个部分进行现状分析及安全隐患分析，然后在此基础上讨论安全需求。 2.1安全现状分析 常州华中集团企业网目前使用10兆光纤接入，内外采用星型拓扑结构，利用5类双绞线作为传输通道，与各工作站相连，通过路由接入互联网，集团公司总部局域网络拓扑图示意如下： 集团公司的电子商务系统和公开服务器（WWW、DNS、MAIL等服务器）均托管，不在企业网安全架构设计范围内，办公自动化OA系统服务器架设在本单位，属于本系统重点防护的部分。 2.2安全隐患分析 在对华中集团企业网络系统现状分析的基础上，我们可以按照国际上流行的安全隐患分析方法，从网络和应用两个层次来分析其可能的安全隐患。 2.2.1 网络架构安全隐患分析 根据需求方提供的华中集团企业网络拓扑结构状况，根据网络结构及其中的关键网络设备的基本情况，我们可以确定其中所具有的网络安全隐患包括： 华中集团通过移动宽带接入互联网，可能遭到来自互联网其他用户的渗透访问、恶意攻击、扫描和计算机病毒入侵； 华中集团IP固定，其OA系统信息敏感，存在被网络攻击者窃取、篡改、删除数据的风险； 华中集团内网工作站上网行为难以控制，因BT、电驴等下载方式对网络资源的大量占用，影响网络整体运行； 华中集团内网工作站使用的各种操作系统和数据库系统存在因不能修补系统漏洞而遭到恶意攻击和越权使用的风险。 2.3安全需求分析 根据华中集团企业网络系统的现状和安全隐患分析，我们认为主要有以下几个方面的安全需求： 防止互联网用户对企业内部网进行非授权访问和恶意攻击。 加强对各种网络安全事件的检测与审计，其中包括：检测来自内部和外部的黑客入侵行为，监视网络流量及各种主机设备，监视数据库系统及应用系统的运行情况，并及时告警。 防止网络病毒的危害和传播。 加强对企业网络系统内部用户的身份鉴别、权限控制、角色管理和访问控制管理，防止对应用系统的数据库服务器（OA）、文档服务器的非法存取、删改和破坏。 建立科学的数据库数据备份系统和快速的数据灾难恢复系统，保障数据的安全性。 建立完善的安全管理机制，能够有效地确保安全策略的准确执行，减少人为因素造成的系统安全事故。 定期对进行安全分析和安全评估，及时发现并修正存在的漏洞和弱点，及时调整和完善安全策略，保证的动态安全与持续安全。第三章 安全策略 3.1整体安全策略 建议华中集团