OA零碎设计方案.doc

OA办公系统网络安全设计方案 西安交大捷普网络科技有限公司 2014年6月1. 项目背景 3 2. 需求分析 3 3. 网络安全改造方案 4 3.1. 建设原则 4 3.2. 部署方案 5 3.3. 产品简介 7 3.3.1. 捷普防火墙 7 3.3.2. 捷普入侵检测系统 8 3.3.3. 捷普网络信息安全审计系统 13 3.4. 安全管理体系建设 14 3.4.1. 从管理体制上保证网络安全策略切实可行 14 3.4.2. 将安全管理制度化、程序化 15 3.4.3. 从管理成员上保证网络安全策略切实可行 16 3.5. 完善的安全服务支撑 16 3.5.1. 借用安全评估服务做整体性安全规划 16 3.5.2. 采用安全加固来系统 17 3.5.3. 采用应急响应服务及时有效的处理重大安全事件 18 4. 设备清单 20 项目背景 随着业务应用系统的不断扩展，特别是基于internet的应用日益丰富，信息安全形式趋于复杂化，威胁形式更为丰富，安全事故带来的危害及影响也越来越大。目前公司已有的防护体系在防护结构和防护手段方面需要针对新情况进行重新评估和设计，以满足公司内网办公系统网络安全设计方案信息化发展的要求，为公司内网办公系统网络安全设计方案的业务应用提供全面的安全保障。 需求分析 通过对公司内网办公系统网络安全设计方案网络系统进行实地检查和分析后，目前存在的问题如下： Server1托管着辖区内所有单位的门户网站，Server2是教育资源服务器，两台服务器都需要是对外进行数据交互，从现有网络拓扑可以看出，采用目前这种部署方式使防火墙失去作用，整个网络拓扑存在很大安全隐患，需要对网络拓扑进行优化； 网络的出口采用一台神州数码DCFW1800S-L防火墙，该设备无VPN功能，无法提供远程移动办公功能，且该设备老化严重，在性能及可靠性等方面均无法满足公司现有网络应用，急需要更换； 没有上网信息审计措施，不能满足国家对于政府机关接入互联网的要求； 由于黑客、木马、等网络入侵越来越隐蔽，破坏性越来越大，防火墙承担着地址转换（NAT）、网络访问控制和网络边界隔离防护等工作，再加上对网络入侵行为的鉴别需要消耗大量的性能，这将会使防火墙成为网络瓶颈。同时防火墙对了来自内网的攻击无能无力，因此需要部署专业的网络入侵检测系统； 网络核心采用一台Dlink DGS1024D交换机，该交换机为非智能型交换机，不支持Vlan划分、端口镜像及网络管理功能，随着网络应用的不断扩展，该型交换机已经不能满足实际使用的需要； 网内没有部署专业的网络版杀毒软件，无法做到统一杀毒、统一升级、统一管理，容易形成管理死角，一旦发生毒害，无法准确定位及查杀。 现有网络拓扑如下： 网络安全改造方案 建设原则 网络安全建设是一个系统工程，建设应按照“统一规划、统筹安排、统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的，坚持近期目标与远期目标相结合遵守国家、行业标准 部署方案 综合考虑公司内网办公系统网络安全设计方案网络应用现状及需求，结合我公司的项目经验，本次方案部署如下： 优化网络拓扑，将网络划分为外网区、DMZ区、服务器区和内网区，外网区就是互联网；DMZ区为公共服务区，Server1和Server2放入该区；服务器区存放内网服务器；内网区是内网PC。各区之间的数据交互由ACL（访问控制列表）进行控制； 将神州数码DCFW1800S-L防火墙更换为捷普F3000-160，该产品配置6*10/100/1000M,支持基于接口的安全级别自定义，可满足日后扩展。特有的流量控制、应用软件（P2P、IM、网络视频、网友、炒股）识别控制、URL分类库，可在线和离线升级；集成有VPN功能，支持远程移动办公； 部署捷普网络信息安全审计系统，该设备具有审计网络风险行为、防止敏感信息外泄、监控网络异常操作、监视异常流量和完善的报警报表功能，完全满足国家对于政府机关接入互联网的要求； 部署捷普网络入侵检测系统，该系统综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵检测与分析技术，综合虚拟引擎功能，可对包括各种网络数据进行全面监视和分析； 将Dlink DGS1024D更换为中兴S3928，该交换机为智能三层交换机，有24个FE+4个GE接口，支持Vlan划分（最大4K个）、支持ACL、支持端口镜像及网络管理功能； 部署瑞星网络版杀毒软件，可以做到全网统一杀毒、统一升级、统一管理。 网络部署拓扑如下图所示： 网络部署拓扑 产品简介 捷普防火墙 功能特点： 系统安全，全面防护 √遵循安全关联协议，保障协同防护； √与IDS、信息审计等其他安全产品联动，构建立体安全保障体系； √ 支持多种管理方