中交水运规划设计院网络安全建设方案

BeijingSBRInformationTechnologyCo.LTD北京圣博润高新技术有限公司地址：北京市海淀区知春路56号中航科技大厦三层1页电话:010-82133805/06/07/08网址：北京圣博润高新技术有限公司地址：北京市海淀区知春路56号中航科技大厦三层2页电话:010-82133805/06/07/08网址：第二章方案原则、依据及目标.............................................................................................................52.1方案原则............................................................................................................................................52.2方案依据............................................................................................................................................62.3方案目标............................................................................................................................................7第三章系统架构.....................................................................................................................................83.1安全策略规划....................................................................................................................................83.2内网安全系统的建设........................................................................................................................83.2.1内网审计.....................................................................................................................................93.2.3内网监控...................................................................................................................................103.2.4详细的审计、分析与报告.......................................................................................................103.2.5技术特色...................................................................................................................................11第四章系统应用部署和安全策略.......................................................................................................134.1系统部署..........................................................................................................................................134.1.2集中式部署...............................................................................................................................134.1.2分布式管理部署.......................................................................................................................134.2安全策略..........................................................................................................................................144.2.1安全技术...................................................................................................................................154.2.2安全管理策略...........................................................................................................................16BeijingSBRInformationTechnologyCo.LTD北京圣博润高新技术有限公司地址：北京市海淀区知春路56号中航科技大厦三层3页电话:010-82133805/06/07/08网址：概述随着信息网络的迅速发展,在当今的信息时代，信息技术已经彻底改变我们的生活和工作方式，也改变现行企事业单位的管理模式。作为信息的管理部门，必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络进行安全的通信，同时保护计算机自身信息的安全性，成为当前网络安全和信息安全迫在眉睫的问题。针对日益严重的内部信息泄漏问题，FBI对484家公司调查显示。面对来自于公司内部的安全威胁，85％的安全损失是由企业内部原因造成的。对于很多国内企业来说，这可能有点耸人听闻，但是，他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失；由于没有定义每位员工在系统内的访问权限，使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手……对于这些来自公司内部的安全问题，不是靠单纯安装杀毒软件或防火墙就能解决的。1.2.需求分析中交水运规划设计院的内部网络安全本质上是一种管理需求，目的是使中交水运规划设计院的各项工作能够安全的进行，管理是主要方式。信息化工作模式建立在技术含量较高的计算机及网络技术之上，在管理过程中仅仅依靠人力不能够满足网络安全管理的需要，也不能够面对今后随着技术发展带来的更多安全需求，因此必须依靠各种技术手段来为网络安全管理提供有效的工具，降低管理成本，提高管理效率。具体的内网安全问题可以归结为:缺乏有效的实时IP/MAC管理机制1随着网络知识的普及，大量终端用户可以轻易的修改本机的IP地址，而网络管理人员通过现有的技术并不能实时的发现这些操作，这样做会导致如下问题：21.一旦发生网络瘫痪或网络阻塞问题，网络管理人员一般通过终端计算机的IP地址进行查找，但如果用户修改了IP地址就会造成无法及时发现问题源的现象，导致解决问题的时间被延误。BeijingSBRInformationTechnologyCo.LTD北京圣博润高新技术有限公司地址：北京市海淀区知春路56号中航科技大厦三层4页电话:010-82133805/06/07/08网址：地址和网关或服务器冲突，就会造成网络瘫痪或服务失效，同时网络管理人员无法对问题进行跟踪。43.如果用户感染病毒，病毒有可能会自动修改用户的MAC地址，就会导致该用户隐身于整个网络中，使整个网络存在一个看不见的漏洞。缺乏内部网络之间的网络访问控制中交水利规划院的网络已经很好的划分了VLAN，但是对VLAN之间的访问控制没有进行有效的设置，这样会导致如下问题：1.内部数据的不安全性，如果内部用户无意或有意对服务器段或其他网段进行操作会对该网段的数据造成破坏。2.如果内部用户感染病毒，病毒会肆无忌惮的传播到每个VLAN中。最大的安全等于最小的权限，这是网络安全的一条不变得法则。虽然中交水利规划院的网络已经很好的划分了VLAN，但是VLAN的划分存在配置复杂，设置相对死板对网络管理人员的要求比较高。的划分存在配置复杂，设置相对死板，对网络管理人员的要求比较高。对一些造成网络性能下降的软件缺乏控制当前网络的发展，导致了P2P软件的发展，这种软件大大增加了网络负载，对正常的网络访问产生了极大的影响。仅仅从防火墙进行配置会对防火墙的性能造成影响。同时根据防火墙原理它并不能完全有效的阻止网络回包，这样会给P2P这类软件造成可乘之机。缺乏统一的系统补丁升级系统当前网络蠕虫病毒的泛滥主要原因就是系统补丁升级不及时造成的。如何统一地及时地强制地给所有终端用户安装补丁是每个网路所面临的问题。对防病毒软件缺乏统一的管理虽然中交水运规划设计院购买的网络版杀毒软件但是由于缺乏强制的安全策略导致有的客户端没有安装能够及时升级的网络版杀毒软件，造成了网络安全的隐患。BeijingSBRInformationTechnologyCo.LTD北京圣博润高新技术有限公司地址：北京市海淀区知春路56号中航科技大厦三层5页电话:010-82133805/06/07/08网址：