广西东风汽车厂网络安全解决方案.ppt

广西东风汽车厂网络安全解决方案 第一章 项目概况 广西东风汽车厂创建于1995年，面积覆盖1500亩，建筑面积达40万m2。厂区建筑主要包括：1栋办公楼、1栋综合楼、8个车间、1个仓库区、1个食堂、1个体育馆和8栋家属楼。广西东风汽车厂自投入生产以来，生产规模不断扩大，创造的社会经济效益不断增长，带动了其他行业的发展，为广西经济的发展做出了巨大的贡献。本企业投入巨资力争建成广西规模最大、技术最先进、智能化管理最先进和信息管理最安全的现代化企业。 第二章 需要分析 广西东风汽车厂网络的安全建设目前还比较简单，存在着严重的信息安全隐患，根据本企业的网络应用特点，从信息安全的角度并结合本期安全项目建设目标，广西东风汽车厂主要有以下的安全需求： 在网络出口处部署访问控制设备，防止外网非授权数据进入企业内网，实现内网和广域网的逻辑隔离。 实现对访问控制设备的集中管理，实现策略统一下发，日志集中存储。 建立统一安全管理平台，对全网设备进行有效监控，并对整体安全态势进行感知，实时准确定位安全事件发生源，对信息系统所面临的蠕虫病毒及黑客入侵等网络攻击形成一套监控、预警、发现、响应的机制。 防火墙为独立硬件，防火墙运行在安全操作系统之上 根据IP地址、协议类型、端口进行过滤。通过IP地址与MAC地址对应防止IP欺骗。内外网络采用两套IP地址，需要网络地址转换NAT功能 建立系统、有效的安全管理制度。 企业对网络存储备份管理的要求：确保服务器系统及关键业务数据--数据库数据的可管理性、高安全性、完整性及易恢复性；存储备份系统应能很好地支持异构平台系统的应用环境；存储备份要求在不中断数据库应用的前提下实施，易于管理；在满足性能的条件下进行无人值守在线存储备份，一旦发生灾难时，应能以最快速度恢复到距灾难点尽可能近的数据。 双机容错技术：通过磁盘阵列实现双机容错 第三章 设计原则 1.综合性、整体性原则 2.需求、风险、代价平衡的原则 3.一致性原则 4.易操作性原则 5.多重保护原则 6.可兼容及可扩展性原则 7.先进性原则 第四章 设计方案 4.1 安全风险分析 物理安全风险分析 网络平台的安全风险分析 系统的安全风险分析 应用的安全风险分析 管理的安全风险分析 黑客攻击 通用网关接口（CGI）漏洞 恶意代码 病毒的攻击 网络的攻击手段 4.2?安全策略 1．采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。 2．采用各种安全技术，构筑防御系统，主要有： 防火墙技术：在网络的对外接口，采用防火墙技术， 在网络层进行访问控制。 NAT技术：隐藏内部网络信息。 VPN 技术 网络加密技术 身份的认证 高级的防病毒系统 存储备份策略 网络的实时监测 4.3防火墙技术 防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检 查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和 Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备路由器、计算机或其他特制地硬件设备。 4.4入侵检测执行任务 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 4.5安全服务 通信伙伴认证 访问控制 数据保密 业务流分析保护 数据完整性保护 数据备份 入侵检测 第五章 实施方案 5.1 项目管理 5.1.1项目流程 设备的选购 工程实施准备工作 设备安装与调试 项目最终验收 5.1.2 项目管理制度 5.1.3 项目进度 时间安排 施工工具 5.2 项目质量保证 执行人员的质量职责 项目质量的措施 项目验收 第六章 产品报价 第七章 产品介绍 西部数据硬盘 聚生网管 瑞星杀毒软件 思科防火墙 第八章 测试与验收 8.1 防火墙测试 1．流量控制：设计规则：只允许下载速度为60kb/s，上传速度为40kb/s。 2．入侵检测：测试能否对非授权使用做出判断、记录和报警。 3．访问控制：定义一条规则允许内网允许访问Internet，再定义一条规则允许外部地址访问企业内部web服务器。 4．网站的过滤和阻拦：定义一条规则，不允许内网访问网易网。 5．防止垃圾邮件：通过网络向邮件服务器连续发送邮件，检测防火墙是否能自动阻拦。 6．恶意代码攻击：向服务器发送恶意代码，检测防火墙拦截功