兴奇金属企业.PDFVIP

兴奇金属企业 网络安全一体化建议方案 北京天融信公司 二○一五年五月 I 目录 第1 章 综述 3 1.1 建设目标3 1.2 主要建设内容3 1.3 建设原则3 第2 章 需求分析 5 第3 章 建议方案 7 3.1 安全域划分7 3.2 总体拓扑设计8 3.3 方案设计说明9 3.3.1 网络边界及网站防护 9 3.3.2 网络入侵防护 18 3.3.3 网络防病毒 20 3.3.4 终端安全管理 21 3.3.5 上网行为管控/流控 23 3.3.6 网络安全审计 24 3.3.7 数据库审计 25 3.3.8 远程安全传输 27 3.3.9 数据备份及恢复 28 3.3.10 集中安全管理 28 第4 章 方案配置32 4.1 基本型套餐32 4.2 中度型套餐32 4.3 全面型套餐33 II 第1章 综述 1.1 建设目标 建设目标是：构建兴奇金属公司基础防护体系，实现数据安全防 护和网络安全防护，并构建安全管理能力。 1.2 主要建设内容 本项目建设内容：完成兴奇金属公司基础网络安全防护，涉及网 站安全、边界安全、终端安全、数据备份及恢复、安全管理等。 1.3 建设原则 兴奇金属公司安全体系的建设应遵循以下原则：  经济实用性原则： 安全化体系设计时，既要考虑安全风险和需求，又要考虑系统 建设的成本，在保证整体安全的前提下，尽可能的减少投资规模， 压缩开支。优化系统设计，合理进行系统配置，所采用的产品，要 便于操作、实用高效。  适度安全原则： 任何信息系统都不能做到绝对的安全，因此，在网络结构扩建 设计时，要在网络需求、安全风险和运维成本之间进行平衡和折中， 过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。  实用性原则： 以现行需求为基础，充分考虑发展的需要来确定系统规模。  可管理性原则： 系统应能提供网络层的可网管手段以及对整网安全态势的总 览和安全风险分析，以方便工作人员的日常维护及对相关设备的远 程监控。从而对信息化系统的相关设备故障可做快速远程定位及故 3 障排查。  成熟和先进性原则： 系统结构设计、系统配置、系统管理方式等方面采用国际上先 进同时又是成熟、实用的技术。  可扩充和扩展化原则： 所有系统设备不但满足当前需要，并在扩充模块后满足可预见 将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。  可管理性原则： 整个系统的设备应易于管理，易于维护，操作简单，易学，易 用，便于进行系统配置，在设备、安全性、数据流量、性能等方面 得到很好的监视和控制。 4 第2章 需求分析 对于兴奇金属公司而言，存在以下迫切需求：  网络边界保护：是兴奇金属公司网络防护最基本的需求之一， 保护内部网络脆弱的服务，通过过滤不安全的服务，控制对内 部系统的非授权访问，并记录和统计通过网络边界的网络通讯， 便于跟踪以及事后分析；  网站安全防护：兴奇金属公司的门户网站作为企业对外门户， 是兴奇金属公司品牌和形象的展示窗口，一旦遭受重要攻击或 被恶意篡改，会影响公司的社会形象，因此防攻击和防篡改是 迫切的安全防护需求；  移动办公接入：根据兴奇金属公司业务需要，会有大量的