第三章 网络与系统安全实施方案.pdf

吉通上海公司IDC 方案建议书 第三章 网络与系统安全实施方案 1 吉通上海 IDC 网络安全功能需求 1.1 吉通上海公司对于网络安全和系统可靠性的总体设想 （1）网络要求有充分的安全措施，以保障网络服务的可用性和网络信息的 完整性。要把网络安全层，信息服务器安全层，数据库安全层，信息传输安全 层作为一个系统工程来考虑。 网络系统可靠性：为减少单点失效，要分析交换机和路由器应采用负荷或 流量分担方式，对服务器、计费服务器和DB服务器，WWW服务器，分别采用的 策略。说明对服务器硬件、操作系统及应用软件的安全运行保障、故障自动检 测/报警/排除的措施。 对业务系统可靠性，要求满足实现对硬件的冗余设计和对软件可靠性的分 析。 网络安全应包含：数据安全； 预防病毒； 网络安全层； 操作系统安全； 安全系统等； （2）要求卖方提出完善的系统安全政策及其实施方案，其中至少覆盖以下 几个方面：  对路由器、服务器等的配置要求充分考虑安全因素  制定妥善的安全管理政策，例如口令管理、用户帐号管理等。  在系统中安装、设置安全工具。要求卖方详细列出所提供的安全工具 清单及说明。  制定对黑客入侵的防范策略。 3-1 吉通上海公司IDC 方案建议书  对不同的业务设立不同的安全级别。 （3）卖方可提出自己建议的网络安全方案。 1.2 整体需求  安全解决方案应具有防火墙,入侵检测,安全扫描三项基本功能。  针对IDC网络管理部分和IDC服务部分应提出不同的安全级别解决方 案。  所有的IDC安全产品要求厂家稳定的服务保障和技术支持队伍。服务 包括产品的定时升级，培训，入侵检测,安全扫描系统报告分析以及对 安全事故的快速响应。  安全产品应能与集成商方案的网管产品，路由，交换等网络设备功能 兼容并有效整合。  所有的安全产品应具有公安部的销售许可和国家信息化办公室的安全 认证。  所有安全产品要求界面友好，易于安装，配置和管理，并有详尽的技 术文档。  所有安全产品要求自身高度安全性和稳定性。  安全产品要求功能模块配置灵活，并具有良好的可扩展性。 1.3 防火墙部分的功能需求  网络特性：防火墙所能保护的网络类型应包括以太网、快速以太网、 (千兆以太 网、ATM、令牌环及FDDI可选)。支持的最大LAN接口数： 软、硬件防火墙应能提供至少4个端口。  服务器平台：软件防火墙所运行的操作系统平台应包括 Solaris2.5/2.6、Linux、Win NT4.0(HP-UX、IBM-AIX、Win 2000可 选)。  加密特性：应提供加密功能，最好为基于硬件的加密。 3-2 吉通上海公司IDC 方案建议书  认证类型：应具有一个或多个认证方案，如RADIUS、Kerberos、 TACACS/TACACS＋、 口令方式、数字证书等。  访问控制：包过滤防火墙应支持基于协议、端口、日期、源/目的IP 和MAC地址过滤；过滤规则应易于理解，易于编辑修改；同时应具备 一致性检测机制，防止冲突；在传输层、应用层(HTTP、FTP、 TELNET、SNMP、STMP、POP)提供代理支持；支持网络地址转换(NAT)。  防御功能：支持病毒扫描，提供内容过滤，能防御Ping of Death,TCP SYN Floods及其它类型DoS攻击。  安全特性：支持转发和跟踪ICMP协议（ICMP 代理）；提供入侵实时