XX税务所网络边界安全防护方案.docxVIP

- -可编辑修改 - - -可编辑修改 - XX 税务所网络边界安全防护方案 VER 1.0 2010-3-22 目录 TOC \o 1-5 \h \z 一、 方案概述 4 二、 安全风险分析 5 \o Current Document 三、 安全需求分析 6 \o Current Document 四、 网络边界安全防护解决方案 7 \o Current Document 产品选型及防护策略制定 8 \o Current Document 防护策略 8 \o Current Document 选型产品性能指标 9 \o Current Document 网御神州 UTM 安全网关产品特色 1.0.. \o Current Document 网御神州 UTM 安全网关主要功能 1.1.. \o Current Document 五、 选型产品资质 20 \o Current Document 六、 选型产品成功案例 21 - -可编辑修改 - - -可编辑修改 - 方案概述 XX税务所内部局域网作为服务于全单位日常办公和行政管理的计算机信 息网络，实现了单位内计算机连网、信息资源共享，并与 In ternet互联。 税务所内部局域网络与In ternet之间没有部署任何安全防护设备，整个税 务所内部局域网络完全暴露在外部，流行于互联网的网络病毒、木马及恶意软 件严重威胁着税务所内部网络，因此 XX税务所急需在内部网络和互联网边界 部署安全防护产品，防护来自互联网的各种威胁。 网御神州对XX税务所当前所面临的各种威胁和风险进行了细致的分析和 判断之后，结合网御神州在信息安全领域内多年的丰富经验，为 XX税务所制 定了网络边界安全防护方案。 安全风险分析 在进行安全风险分析前，我们应该注意到网络运行和信息化建设是一个周 而复始、循序渐进的动态过程，在这个动态的发展过程中，信息化建设可能会 不断暴露出新的安全风险，这就要求我们要不断保持高度的警惕性， 睁大双眼， 时刻发现系统中的安全风险，并不断通过各种安全技术手段完善系统，保证系 统的最大安全性。 通过前期与XX税务所网络管理员的多次沟通交流，了解到 XX税务所先 阶段主要存在以下安全风险： 1） 内部局域网与互联网相连，在享受互联网方便快捷的同时，也面临着遭 遇攻击的风险； 2） 各种蠕虫和病毒的威胁，直接会导致网络性能的下降，甚至瘫痪； 3） 各种木马和后门程序造成税务所内部重要数据和个人信息泄密等严重 危害； 4） TCP/IP协议本身的漏洞往往会导致多种的攻击行为； 5） 大量的P2P下载耗尽了网络的带宽； 6） 工作时间无节制的QQ、MSN，导致工作效率下降； 三、安全需求分析 信息安全重在防御，采用技术手段保护网络系统的安全是安全体系的基础。 随着业务系统的不断丰富，采用的技术方法越来越多，这就要求安全系统所要 采用的技术手段也要不断的丰富，只有不断采用最新的安全技术才能保护网络 系统的安全，尽可能的防止攻击的发生，降低攻击发生后所带来的损失，并尽 快恢复到攻击发生前的工作状态。网络边界是非法入侵者进出网络的第一道门 槛，网络边界的防护在整个网络安全技术体系建设中起着十分重要的作用。 通过上述对XX税务所现阶段安全风险的详细分析，我们从网络建设和运 行过程中各个角度出发，得出如下需求。 1） 防护来自互联网的各种蠕虫、病毒、木马和后门程序对税务所内部网络 的破坏； 2） 对大量的P2P下载行为采取带宽控制，防止大量的 P2P下载耗尽了网 络的带宽； 3） 禁止工作时间使用QQ、MSN等实时消息软件，以免导致工作效率下 降。 - -可编辑修改 - - -可编辑修改 - 四、网络边界安全防护解决方案 根据XX税务所网络结构特点及面临的安全风险和安全需求，本方案将重 点考虑从以下几个方面重点考虑：网络带宽控制、网络安全抗攻击、网络病毒 的防范等。 MEHTM汇聚办公区 MEHTM 汇聚 办公区1 4.1 产品选型及防护策略制定 网络边界防护是内部局域网信息安全保障的核心点，它负责内部局域网中 最基本的信息服务系统的安全，一旦被非法进入，存在着内容被窃取、泄密、 篡改、损坏等巨大风险，属于安全等级中最严重的事件。通过在互联网与税务 所内部网之间，部署一台网御神州 Secgate 3600-U4-400A UTM 安全网关， 在两网之间建立一道安全的隔离屏障 4.1.1 防护策略 实现数据的合法合理的流转，使得每个不同的接入点只能访问到需要访问 的资源，严格控制对核心区域和数据的访问，关闭所有不必要的服务和非 法 IP ； 启用抗 DDOS 攻击和抗扫描等安全功能， 进一步保护网络最大限度的不受 攻击的