网络安全方案`.doc

津 南 国 土 资 源 规 划 局 网 络 安 全 解 决 方 案 天津七所信息技术有限公司 2006年 6 月 目 录 第一章 津南国土资源规划局网络状况描述 3 1.1 网络结构 3 1.2 网络应用描述 4 第二章 网络安全风险分析 5 2.1 物理安全风险分析 5 2.2 网络结构的安全风险分析 6 2.3 系统的安全风险分析 7 2.4 应用的安全风险分析 7 2.4.1资源共享 7 2.4.2电子邮件系统 7 2.4.3病毒侵害 8 2.4.4数据信息 8 2.5 管理的安全风险分析 8 第三章 网络安全需求及保障体系 10 3.1 总体目标 10 3.2 设计原则 10 3.3 安全保障体系 12 3.3.1 安全防护体系：纵深防御，等级化保护 12 3.3.2 安全检测与响应体系：实时监测、积极响应 12 3.3.3 安全审计体系：事后检查、主动追踪 12 3.4 安全需求 12 第四章 安全技术解决方案 14 4.1 防火墙子系统 14 4.1.1 安全区域的划分 14 4.1.2 防火墙的部署 15 4.1.3 防火墙的选型 15 4.1.4 中软防火墙应具有的功能 15 4.2 IDS 入 侵 检 测 子 系 统 16 4.2.1 入侵检测系统的部署 16 4.2.2 入侵检测系统与防火墙的联动 17 4.2.3 入侵检测系统的选型 17 4.3 KILL过滤网关子系统 18 4.3.1 KSG过滤网关的部署 18 4.4 防病毒子系统 20 4.4.1防毒系统的构成 20 4.4.2 防病毒系统的部署 20  第一章 津南国土资源规划局 网络状况描述 1.1 网络结构 津南国土资源规划局网络将来规划主要由两部分组成：内网（办公网）、外网（Internet）。目前外网分为中国电信一个出口。为了更好的控制整个网络的安全，将来网络可以按照功能和安全级别的不同将整个网络划分为三个区域：Internet网络、 办公网络、服务器子网。其中办公网络与服务器子网同属内部网络，但需要服务器子网对外提供服务，而内部网里的主机除在一定范围内访问外部网络外，一般不对外提供服务。 1.2 网络应用描述 将来津南国土资源规划局通过网络的应用可能有 内部办公业务系统，通过局域网络，用户间可以共享网络资源（文件服务器、网络打印机、快速传递交互信息等）； 通过网络，可以在内网上发布信息，并提供广大内网用户浏览、查寻信息数据等服务 通过局域网络内部不同用户间实现网络资源共享（内部应用服务器、打印机、扫描仪等）； 通过与办公系统等实现津南国土资源规划局的管理； 通过网络访问公网，浏览、查寻、下载资料以及对外部用户进行收发电子邮件等应用； 第二章 网络安全风险分析 网络应用给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。 瞄准网络系统可能存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。 完整的网络安全风险评估是对网络内的信息资产进行价值评估、对网络存在的威胁进行评估、对整体安全策略和制度的有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。它是一项综合系统的工程，是风险管理的重要组成部分，也是整体网络安全解决方案的重要参考依据。我们所理解的风险关系如下图所示： 下面从物理安全、网络安全、系统安全、应用安全及管理安全进行分类描述： 2.1 物理安全风险分析 网络物理安全是整个网络系统安全的前提。物理安全的风险主要有： 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏； 电磁辐射可能造成数据信息被窃取或偷阅。 2.2 网络结构的安全风险分析 因为津南国土资源规划局网络与Internet公网相连，而Internet公网是基于开放性、国际性与自由性的，所以津南国土资源规划局内部网络受到攻击的可能性将增大。每天黑客都在试图闯入Internet节点，并寻找一些目标试图进行攻击。假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。假如内部网络的一台机器安全受损，就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络；影响所及，还可能涉及法律、经济等安全敏感领域。因此，对有特殊要求的网络系统必须做相应的安全防范措施。 津南国土资源规划局有对外连接的出口，电信城域网出口。目前，没有在