网御神州网络安全建设实施方案书.docVIP

密密　　级：商业机密文档编号： 项目代号： 网络安全方案建议书 网御神州科技（北京）有限公司 目 录 1前 言 2 2网络现状与安全需求 3 2.1 网络现状 3 2.2 安全威胁分析 4 2.2.1 恶意攻击 4 2.2.2 误操作 4 2.2.3 越权和滥用 5 2.3安全需求 5 3安全解决方案 7 3.1深度检测防火墙技术与解决方案 7 3.2入侵检测技术与解决方案 10 3.3物理隔离技术与解决方案 13 3.4 内网安全管理需求与解决方案 17 4安全服务描述 21 5安全建设预算表 24 1前 言 随着全球政治经济一体化的日益明显，以电子政务为代表的政府管理服务职能的电子化、自动化、无纸化，目前正在一些国家尤其是发达国家中快速发展。在世界各国积极倡导的“信息高速公路”的五个应用领域中，“电子政务”被列为第一位，因此可以说政府信息化是社会信息化的先导，电子政务是信息化社会发展的必然。 电子政务涉及对国家秘密信息和高敏感度核心政务的保护，而在广域网中采用的传输协议存在许多的安全问题，这就使基于广域网技术的电子政务应用面临着严峻的挑战。对电子政务的安全威胁，包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等，应引起足够警惕，采取安全措施，应对这种挑战。 2网络现状与安全需求 2.1 网络现状 目前XX单位整个网络结构包括内部局域网与社区接入网两大部分。内部局域网包含了普通办公网、终端子网、和服务器子网三个部分，采用双核心交换机做为冗余；此外还与总部的网络进行了连接。目前的安全措施主要是在两个网络出口（总部出口、社区出口）的网络边界上部署了NETEYE防火墙作为安全隔离。具体的网络拓扑图如下： 图一：XX单位网络现状图 2.2 安全威胁分析 2.2.1 恶意攻击 恶意攻击是指利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵。XX单位目前的访问Internet的方式是通过ADSL拨号，没有部署边界防护设备，有可能会遭受外部黑客发起的恶意攻击，如DDOS攻击；另一方面第三方人员（产品供应商、软件开发商、服务提供商等合作伙伴）和内部人员也有可能从内部发起攻击。而且内部职工可能在下载软件的过程中，不慎将携带有病毒或木马、恶意攻击代码的文件下载到本地，从而引发多种入侵行为。恶意攻击的威胁是XX单位需要防范的主要的安全威胁。 2.2.2 误操作 误操作是指由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响。由于管理人员没有足够的安全培训、没有制定详细的操作流程，没有建立完善的安全管理体系，导致误操作的发生。误操作可能会导致设备故障、数据丢失、业务中断、不能及时或错误地响应和恢复等安全问题。对安全造成威胁的误操作行为包括： 对网络设备、安全设备的访问口令管理不善，造成外泄；对服务器的配置管理不到位，没有关闭无用的服务； 应用所承载的操作系统没有及时进行补丁升级，造成安全防护的“短板”； 用户不慎下载了含有攻击代码的软件； 病毒软件没有及时升级病毒库，或者发生未知类型的网络病毒后，造成大量无用的数据包，对网络形成拥塞，甚至造成数据的丢失； 针对因误操作而引起的安全威胁，通过防火墙及防病毒的部署，从一定的程度上可以进行防范，但是针对操作系统自身弱点，下载含攻击代码的软件，没有及时升级病毒库等误操作行为还是不足的，必须通过其他的产品进行补充，例如内网管理系统。 2.2.3 越权和滥用 越权和滥用是指通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏信息系统的行为。越权行为可能导致机密信息的泄漏，滥用导致资源的浪费和工作效率的降低。员工更改IP地址，外来机器随意接入网络也对网络的稳定运行和管理带来了严重影响。XX单位需要防止滥用互联网资源的情况，需要对员工上班时访问互联网的行为进行监控。 2.3安全需求 1、边界防护的需求：通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对电子政务平台的影响，防火墙是实现网络逻辑隔离的首选技术，防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据用户的安全政策来控制（允许、拒绝、监测）出入网络的信息流。新一代的防火墙更是将功能扩展到攻击防范、安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能。 2、 深度入侵检测与分析的需求：利用防火墙技术， 3、 物理隔离的需求：由于服务器区承载着XX单位的核心数据，根据国家的相关政策，必须与互联网之间进行物理隔离。因此需要一种安全隔离