国家电力东北公司计算机网络安全总体方案.doc

国家电力东北公司计算机网络安全总体方案 前 言 以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型应用如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。 新疆兵团监狱管理局（以下简称兵团监管局）的网络是国家金土工程的重要组成部分，该网络为兵团监管局提供准确、及时、完整的各项数据和结果，为新疆兵团监管局资源管理提供了技术上的支持和保障。 然而，由于技术和管理的原因，目前的网络普遍存在严重的安全隐患，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。为保障新疆兵团监管局网络的整体安全，特设计本方案。 本方案依据信息安全保障体系，将从网络安全的发展趋势开始，以新疆兵团监管局网络架构为基础，以信息安全保障体系为思想主线，阐述了新疆兵团监管局信息系统安全建设的思想和方法，最后提出总体的网络安全建议方案。 目 录 1 概述 1 2 系统现状分析 2 3 威胁分析 2 3.1 物理层安全威胁分析 2 3.2 网络层安全威胁分析 3 3.2.1 网络设备安全威胁分析 3 3.2.2 网络结构的合理性 3 3.2.3 TCP/IP 协议的弱点 4 3.3 系统层安全威胁分析 4 3.3.1 windows 系统 5 3.3.2 unix 系统 6 3.4 应用层安全威胁分析 6 3.5 管理层安全威胁分析 6 4 安全核心和安全域界定 7 4.1 核心资产界定 7 4.2 安全等级划分 7 4.3 网络安全域的划分 7 5 新疆兵团监狱管理局信息网安全建议方案 8 5.1 保护网络和基础设施 8 5.2 保卫边界 8 5.3 保卫局域网计算环境 9 5.4 支撑基础设施KMI/PKI 9 6 网络和基础设施安全 10 6.1 网络结构的合理规划 10 6.1.1 划分VLAN 10 6.1.2 网络的隔离 10 6.2 网络基础设施安全 11 7 安全产品的联动 12 7.1联动 22 7.2 备份与灾难恢复 24 7.2.1 安全备份线路设计 24 7.2.2 数据备份与恢复 24 8 支撑基础设施KMI/PKI 24 9 安全管理 26 9.1 安全管理机构 26 9.2 安全人员管理 26 9.2.1 人员审查 26 9.2.2 岗位人选 26 9.2.3 人员培训 26 9.2.4 人员考核 26 9.2.5 签定保密合同 27 9.3 安全技术管理 27 9.3.1 软件管理 27 9.3.2 设备管理 27 9.3.3 介质管理 27 9.3.4 涉密信息管理 28 9.3.5 技术文档管理 28 9.3.6 应急计划 28 10 风险评估建议 30 10.1 风险评估目的 30 10.2 标准 30 10.3 风险评估内容 31 11 黑客入侵检测与预警系统部署设计 32 11.1 入侵检测与预警系统设计要求 32 11.2 入侵检测与预警系统设计 32 11.3 硬件配置 33 11.4 安全配置 33 11.5 入侵检测系统设计特点 33 11.5.1 控制体系 33 11.5.2 检测能力 33 11.5.3 策略响应 34 11.5.4 联动设置 34 11.5.5 界面管理 34 11.5.6 数据库管理 35 11.5.7 报表管理 35 11.5.8 其他功能 35 11.5.9 软件升级 35 11.5.10 用户设置 36 11.6 技术要求响应 36 11.7 产品技术指标 37 11.8 产品自身信息 44 11.9 防火墙联动汇总表 45 11.9.1．监管局网络安全风险分析及安全对策 6 网络安全风险分析 6 兵团监管局局域网网络安全策略 8 11.9.2 监管局网络安全解决方案 9 安全解决方案设计遵循的标准、法规和依据 9 安全方案设计原则 9 针对兵团监管局安全需求提出的安全解决方案 11 针对监管局内外网网络隔离提出的安全解决方案 17 12 网络漏洞扫描系统部署设计 47 12.1 网络漏洞扫描系统设计要求 47 12.2 漏洞扫描系统设计 47 12.3 系统配置 48 12.4 安全配置 48 12.5 漏洞扫描系统设计特点 49 13 金山公司整体网络病毒防治概要 51 14 新疆兵团监管局病毒防护 52 1 新疆兵团监管局潜在病毒威胁分析 52 2 采用金山公司防毒方案的必要