企业网络安全系统设计建议书.docVIP

企业网络安全系统 设计建议书 思威普科技 目录 1 概述 4 1.1 企业建立网络安全系统的必要性 4 1.2 安全建议书的设计原则 4 1.3 安全技术体系分析模型介绍 5 1.3.1 安全服务维 5 1.3.2 协议层次维 6 1.3.3 系统单元维 6 1.4 安全技术体系的理解及实践 6 1.4.1 安全体系的理解 6 1.4.2 构建安全系统的基本目标 7 1.4.3 网络安全系统的技术实施 7 2 应用需求分析 9 2.1 网络基础层安全需求分析 9 2.1.1 Internet连接安全保护 9 2.1.2 广域网连接的安全保护 9 2.1.3 虚拟连接广域网的安全保护 11 2.1.4 其他安全保护辅助措施 11 2.2 系统安全需求分析 12 2.3 应用安全管理需求分析 12 2.3.1 主机系统 12 2.3.2 网络设备安全管理 13 2.3.3 移动用户的访问控制访问 13 2.3.4 VPN上的认证 13 2.3.5 应用层安全保护 14 2.4 应用对安全系统的要求分析 14 2.4.1 网络应用系统的现状及发展说明 14 2.4.2 面向应用系统的防火墙系统设计要求 15 3 安全系统实现目标 16 3.1 网络基础层安全系统建设目标 16 3.1.1 Internet及Extranet进出口控制 16 3.1.2 VPN应用 16 3.1.3 防火墙系统的功能实现要求总结 17 3.2 应用辅助安全系统的建设目标 17 4 网络安全系统的实施建议 19 4.1 系统设计的基本原则 19 4.2 安全系统实施步骤建议 19 4.3 防火墙系统实施建议 20 4.3.1 Internet进出口控制 20 4.3.2 广域网进出口控制 23 4.3.3 虚拟连接广域网出入口控制 26 4.4 VPN系统设计 26 4.4.1 广域网链路加密 27 4.4.2 虚拟连接组网建议 27 4.4.3 虚拟连接通信加密 29 4.5 防火墙系统集中管理 29 4.6 防火墙选型设计说明 30 4.6.1 评价防火墙产品的基本要素 31 4.6.2 评价防火墙的一般方法 31 4.6.3 几种流行防火墙产品的比较 32 概述 建设功能强大和安全可靠的网络化信息管理系统是企业实现现代化管理的必要手段。如何构建企业安全可靠的网络系统是本建议书的目的。 本建议书是本公司为企业提出的“网络安全系统设计建议书”，建议书只针对网络基础设施安全系统向企业提交网络安全的设计及实施建议，将不涉及其他部分的内容，如“数据安全系统”等。 企业建立网络安全系统的必要性 毫无疑问，不需要任何形式的“说教”，在信息和网络被广泛应用的今天，任何一个网络管理或使用者都非常清楚，所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。 企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说，成功地侵入一企业特别是著名企业的网络系统，具有证明和炫耀其“能耐”的价值，尽管这种行为的初衷也许并不具有恶意的目的；窃取企业的网络数据，甚至破坏其网络系统，更加具有现实和长远的商业价值。 因此，企业网络建立完善的安全系统，其必要性不言而喻。 安全建议书的设计原则 网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。 在设计企业的网络安全系统时，我们将遵循以下原则： 体系化设计原则 通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。 全局性、均衡性、综合性设计原则 安全建议书将从企业网络整体建设角度出发，提供一个具有相当高度、可扩展性强的安全解决方案；从企业的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。本建议书将考虑到各种安全措施的使用。 本安全建议书将均衡考虑各种安全措施的效果，提供具有最优的性能价格比的安全解决方案。安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全建议书都是不切实际的。建议书同时提供了可操作的分步实施计划。 可行性、可靠性、安全性 作为一个工程项目，可行性是设计企业安全方案的根本，它将直接影响到网络通信平台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安全系统的最终目的。 安全技术体系分析模型介绍 安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。 为了系统、科学地分析网络安全系统涉及的各种安全问题，网络安全技术专家们提出了三维安全体系结构，并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系（见图1-1），它反映了信息系统安全需求和体系