大连新船重工网络安全整体解决实施方案书.doc

大连新船重工责任有限公司 网络安全整体解决方案 Total Technical Solutions 设计单位：大连XX科技发展有限公司 设计日期：二零零三年四月 目 录 第一部分 网络安全概述 ４ 第一章 网络安全体系的基本认识 ４ 第二章 网络安全技术概述 ９ 一. 虚拟网技术 ９ 二. 防火墙枝术 １０ 三. 病毒防护技术 １５ 四. 入侵检测技术 １６ 五. 安全扫描技术 １９ 六. 认证和数宇签名技术 ２０ 七. VPN技术 ２１ 八. 应用系统的安全技术 ２３ ２６ 第一章 网络安全需求分析 ２６ 一． 当前网络状况 ２６ 二、安全需求分析 ２７ 第二章 安全解决方案分析 ３１ 一. 网络配置结构图 ３１ 二. 公司总部安全配置 ３２ 三. 营业网点安全设置 ３３ 四. 产品配置说明 ３４ 第三章 防火墙解决方案－Checkpoint Firewall-1 ３６ 一. 防火墙部署示意图 ３６ 二. 防火墙安全策略配置和管理 ３６ 三． Checkpoit防火墙简介 ３７ 第四章 防病毒解决方案－TrendMicro AntiVirus Total Solution ６５ 1．防病毒中央管理控制系统 ６５ 2．服务器防毒系统设计 ６７ 3．客户机防毒系统设计 ６８ 第五章 NFR入侵监测 ７９ 一、 NFR入侵监测的配置 ７９ 二、 NFR入侵监测产品简介 ８０ 第六章 身份认证安全方案 １０７ 一．Spa产品配置图 １０７ 二．Spa产品简介 １０７ 第七章 内部网络安全管理制度和技术实现 １１３ 第三部分 安全服务及相关培训 １１７ １１７ １１７ 二．网络信息安全培训 １１７ 三、网络安全产品的认证培训 １２１ １２４ 总结 １３２  第一部分 网络安全概述 网络安全体系的基本认识 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1.5万亿美元。 （一）安全威胁 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面： (1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 (2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。 (3) 来自内部网用户的安全威胁。 (4) 缺乏有效的手段监视、评估网络系统的安全性。 (5) 采用的TCP/IP协议族软件，本身缺乏安全性。 (6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。 (7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。 （二）网络安全的需求 1、企业网络的基本安全需求 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设企业网络系统安全的重要原则。 企业网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。 对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。 2、业务系统的安全需求　　　　　　　 与普通网络应用不同的是，业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。 企业网络应保障： 访问控制，确保业务系统不被非法访问。 数据安全，保证数据库软硬件系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。 3、Internet服务网络的安全需求 Internet服务网络分为两个部分：提供网络用户对Internet的访问：提供Internet对网内服务的访问。 网络内客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。 网络安全需求是保护网络不受破坏，确保网络服务的可用性，作为信息网络之间的互联的边界安全应作为主要安全需求： 需要保证信息网络之间安全互联，能够实现网络安全隔离； 对于专有应用的安全服务； 必要的信息交互的可信任性； 能够提供对于主流网络应用（如WWW、Mail、Ftp、Oicq和NetM