公司信息网络安全集成方案参考.docVIP

XXX公司信息安全方案  目 录 第一部分 XXX公司安全方案 3 第一章 网络安全需求分析 3 一. 当前网络状况 3 二、安全需求分析 3 第二章 安全解决方案 7 一. 设计方案总目标 7 二．设计方案指导思想 7 三．方案部署结构设计 9 四．网络安全改造设计 10 五．防火墙子系统设计 11 六．网关安全子系统设计 14 七. 网络行为管理解决方案 16 八．内网ARP防护解决方案 19 九．网络运维管理系统解决方案 21 十．网站防篡改、防攻击解决方案 30 十一. 反垃圾邮件方案 34 十二. 内网桌面行为管理方案 36 十三. 主机加固方案设计说明 40 十四. 信息安全评估方案设计说明 42 第三章 项目资金预算分析 46 附件 48 XX公司简介 48 第二部分 网络安全概述 49 第一章 网络安全体系的基本认识 49 第二章 网络安全技术概述 54 一. 虚拟网技术 54 二. 防火墙枝术 55 三. 病毒防护技术 60 四. 入侵检测技术 61 五. 安全扫描技术 63 六. 认证和数宇签名技术 64 七. VPN技术 65 八. 应用系统的安全技术 67 第一部分 XXX公司安全方案 网络安全需求分析 一. 当前网络状况 二、安全需求分析 网络安全总体安全需求是建立在，对网络安全层次分析基础上确定的。依据网络安全分层理论，根据OSI七层网络协议，在不同层次上，相应的安全需求和安全目标的实现手段各不相同，主要是针对在不同层次上安全技术实现而定。 对于以TCP / IP为主的XXX公司网来说，安全层次是与TCP/IP网络层次相对应的，针对XXX公司网的实际情况，我们将安全需求层次归纳为网络层和应用层安全两个技术层次，同时将在每层涉及的安全管理部分单独作为分析内容，具体描述如下： 网络层需求分析 网络层安全需求是保护网络不受攻击，确保网络服务的可用性。 首先，作为XXX公司网络同Internet的互联的边界安全应作为网络层的主要安全需求： 需要保证XXX公司网络与Internet安全互联，能够实现网络的安全隔离； 必要的信息交互的可信任性； 要保证XXX公司网络不能够被Internet访问； 同时XXX公司网络公共资源能够对开放用户提供安全访问能力； 能够防范来自Internet的包括： 利用Http应用，通过Java Applet、ActiveX以及Java Script形式； 利用Ftp应用，通过文件传输形式； 利用SMTP应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于XXX公司网络的侵害； 对网络安全事件的审计； 对于网络安全状态的量化评估； 对网络安全状态的实时监控； 防范来自Internet的网络入侵和攻击行为的发生，并能够做到： 对网络入侵和攻击的实时鉴别； 对网络入侵和攻击的预警； 对网络入侵和攻击的阻断与记录； 其次，对于XXX公司网络内部同样存在网络层的安全需求，包括： XXX公司网络与下级分支机构网络之间建立连接控制手段，对集团网络网提供高于网络边界更高的安全保护。 应用层需求分析 建设XXX公司网的目的是实现信息共享、资源共享。因此，必须解决XXX公司网在应用层的安全。 应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式，应用模式决定了安全需求。 因此，在这里主要针对各局域网内的应用的安全进行讨论，并就建设全网范围内的应用系统提出我们的一些建议。 应用层的安全需求是针对用户和网络应用资源的，主要包括： 合法用户可以以指定的方式访问指定的信息； 合法用户不能以任何方式访问不允许其访问的信息； 非法用户不能访问任何信息； 用户对任何信息的访问都有记录。 要解决的安全问题主要包括： 非法用户利用应用系统的后门或漏洞，强行进入系统。 用户身份假冒：非法用户利用合法用户的用户名，破译用户密码，然后假冒合法用户身份，访问系统资源。 非授权访问：非法用户或者合法用户访问在其权限之外的系统资源。 数据窃取：攻击者利用网络窃听工具窃取经由网络传输的数据包。 数据篡改：攻击者篡改网络上传输的数据包。 数据重放攻击：攻击者抓获网络上传输的数据包，再发送到目的地。 抵赖：信息发送方或接收方抵赖曾经发送过或接收到了信息。 一般来说，各应用系统，如 数据库、Web Server自身也都有一些安全机制，传统的应用系统安全性也主要依靠系统自身的安全机制来保证。其主要优点是与系统结合紧密，但也存在很明显的缺点： 开发量大：据统计，传统的应用系统开发中，安全体系的设计和开发约占开发量的三分之一。当应用系统需要在广域网运行时，随着安全需求的增加，其开发量占的比重会更大。 安全强度参差不齐：有些应用系统的安全机制很弱，如数据库系统，只提供根据用户名/口令的认证，而且用户名/口令是