XX通信公司网络安全系统实施方案书.docVIP

密 级：秘 密 文档编号： 项目代号： XXX通信 网络网管安全系统 整体方案建议书 Ver1.0 2007年10月 目 录 1 XXX通信省网管中心安全需求分析 1 1.1 XXX通信省网管中心及重要节点网络现状 1 1.2 XXX通信省网管中心及重要节点现有安全措施 2 1.3 XXX通信公司威胁来源分析 2 1.4 XXX通信省网管中心及重要节点网络安全需求分析 3 2 XXX通信安全方案设计 5 2.1 设计理念及方法 5 2.1.1 覆盖整个生命周期的完整体系—ADDME 5 2.1.2 100%的风险管理体系 6 2.1.3 安全设计理念 7 2.2 设计原则 7 2.3 XXX通信网络安全架构模型 8 2.4 安全漏洞扫描系统 9 2.4.1 网络安全评估 9 2.4.2 部署建议 10 2.4.3 主机（系统）安全评估 10 2.4.4 部署建议 11 2.4.5 数据库安全评估 11 2.4.6 部署建议 12 2.4.7 漏洞扫描系统部署示意图 13 2.5 入侵检测系统——IDS 15 2.5.1 百兆NIDS网络入侵检测系统的部署建议 17 2.5.2 入侵检测系统部署图 17 2.6 方案总结 18 2.7 安全方案产品配置一览 20 XXX通信省网管中心安全需求分析 本需求分析建立在《XXX通信省网管中心络安全设备配置与投资规模》所提供的XXX通信安全需求资料和XX公司前期调研的基础上，旨在给出构建后文所述安全体系的充分理由。 XXX通信省网管中心及重要节点网络现状 随着XXX通信数据业务的发展，用户数量迅速增长，为了适应市场的竞争、提高整个XXX通信运营和管理效率，XXX通信在今年计划实施网络安全项目以保证省网管中心重要网段和服务器以及各个宽带城域网结点Radius系统的安全。网络现状如下图所示： 图1.1 XXX通信省网管中心网络拓扑示意图 图1.2 XXX通信牡丹江等节点网络拓扑示意图 XXX通信省网管中心及重要节点现有安全措施 XXX通信公司网络中现有网络扫描器（Internet Scanner）100个licence，对分布在网络中的重要服务器、网络设备等实施网络层面的漏洞扫描。 另外，网络中现有2台NetScreen防火墙，1台为城域网工程备件中的NS10，1台为国家163骨干网工程中一台闲置的NS100。但均未具体部署。 采用双机热备措施保护计费和认证等重要服务器。 XXX通信公司威胁来源分析 XXX通信省网管中心及各个宽带城域网节点现阶段面临的主要风险如下： 1.网络与系统漏洞存在风险：由于TCP/IP网络软件缺陷漏洞，漏洞是黑客进行攻击的首选目标 层次一：通讯和服务 该层次的安全问题主要体现在网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等，都是利用了TCP/IP协议本身的漏洞。 层次二：操作系统 这一层次的安全问题来自内部网采用的各种操作系统，如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序（木马）等带来的威胁。 层次三：应用程序 该层次的安全主要考虑重要业务系统应用服务的保护，如DNS等。 在上述三个层面上，结合对XXX通信省网管中心可能受到的安全威胁分析中的需求说明，得出此次XXX通信省网管中心网络安全工程需求主要体现在以下四个方面： 在省网管中心的两个重要网段（认证、网管）及7个宽带城域网节点Radius服务器所在网段提供安全的、基于策略的网络层访问控制措施，部署防火墙系统； 在省网管中心两个重要网段（认证、网管）扩充基于网络的实时入侵检测系统，对黑客攻击实施7x24小时的实时检测、审计、响应和阻断； 增加对重要主机系统、数据库系统和网络设备的漏洞管理措施； 对省IDC中心的托管服务器，在内容层面上提供基于策略的、可调度的病毒防范能力。 XXX通信安全方案设计 设计理念及方法 覆盖整个生命周期的完整体系—ADDME 为了降低风险和减少成本，根据信息安全的生命周期特征，ISS公司提出了一种按阶段实施的可操作的模型ADDME。将信息安全的生命周期描述为下面各个阶段： 图3.1.1、ADDME立体示意图 Policy/Standards/Guidelines Phase策略/标准/指南制订阶段：制订系统的安全目标； Assess Phase评估分析阶段：实现需求分析、风险分析、安全功能分析和评估准则设计等，明确表述现时状态和目标之间的差距； Design Phase方案设计阶段：形成信息安全解决方案，为达到目标给出有效的方法和步骤； Deploy Phase工程实施阶段：根据方案设计的框架，建设、调试并将整个系统投入使用。 Man