海螺集团网络规划方案

海螺集团网络规划方案©2011北京天融信科技有限公司-1-海螺集团网络规划方案V1.0北京天融信科技有限公司2011年5月海螺集团网络规划方案©2011北京天融信科技有限公司-2-目录第一章前言..................................................................................................................31.1设计原则.........................................................................................................31.2设计标准.........................................................................................................4第二章安全需求分析..................................................................................................52.1网络结构分析.................................................................错误!未定义书签。2.2典型安全问题.................................................................................................52.3安全需求分析.................................................................................................62.3.1安全域划分..........................................................................................62.3.2防火墙安全策略优化..........................................................................62.3.3系统安全加固措施..............................................错误!未定义书签。2.3.4入侵检测和防范措施..........................................错误!未定义书签。2.4相关标准要求.................................................................错误!未定义书签。2.4.1访问控制要求......................................................................................82.4.2入侵防范要求......................................................错误!未定义书签。第三章安全方案设计..................................................................................................93.1安全规划设计图.............................................................................................93.2安全措施设计...............................................................................................103.2.1安全域划分........................................................................................103.2.2安全域边界隔离与访问控制............................................................103.2.3服务器安全加固措施..........................................错误!未定义书签。3.2.4终端安全加固......................................................错误!未定义书签。3.2.5入侵检测和防范措施..........................................错误!未定义书签。3.3安全部署规划.................................................................错误!未定义书签。3.3.1防火墙部署设计..................................................错误!未定义书签。3.3.2入侵检测系统部署设计......................................错误!未定义书签。第四章方案建设效果................................................................................................11海螺集团网络规划方案©2011北京天融信科技有限公司-3-第一章前言1.1设计原则适度安全原则任何信息系统都不能做到绝对的安全，需要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。技术管理并重原则信息安全问题从来就不是单纯的技术问题，也不是单纯的管理问题，专网终端管理同样如此，需要通过管理手段，约束终端适用人员的行为，同时配合技术的检测、控制、审计等手段，对于违反安全策略的用户和行为，予以拒绝，这样才能保障各项管理制度能够有效地执行下去，并产生应有的效果；标准性原则标准性原则往往是信息安全建设中重点考虑的因素，在本方案中，将重点参考等级保护对的一些要求，进行设计，解决在实际应用中的问题；动态调整原则信息安全问题不是静态的，它总是随着组织策略、管理制度、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施；保密性原则本方案应当遵循保密性原则，重点保护政务专网中的重要信息，防止信息通过外联、移动介质等途径泄露出去；成熟性原则本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。海螺集团网络规划方案©2011北京天融信科技有限公司-4-1.2设计标准本方案重点参考以下的的政策和标准：指导思想中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）公通字[2007]43号文件（关于印发《信息安全等级保护管理办法》的通知）等级保护GB17859-1999计算机信息系统安全保护等级划分准则GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护实施指南技术方面GA/T671-2006信息安全技术终端计算机系统安全等级技术要求GB/Taaaaa-xxxx信息安全技术信息系统安全等级保护基本要求管理方面ISO/IEC27001信息系统安全管理体系标准方案架构IATF信息保障技术框架海螺集团网络规划方案©2011北京天融信科技有限公司-5-第二章需求分析针对目前的网络现状，以下主要从网络层、应用层、安全策略和管理层面对可能遇到安全风险分别进行分析。2.1典型安全问题问题1：ARP风暴问题整个网络在一个广播域内，随着网络规模的扩大，网络中的广播报文越来越多，当用户感染了ARP病毒以后，不断向外发送广播数据包，占用的网络资源越来越多，严重影响网络性能，引起广播风暴问题。问题2：DOS/DDOS攻击问题DOS/DDOS攻击时一种非常有效的攻击方式，能够利用大量的服务请求占用过多的服务资源，从而使合法用户无法得到正常的服务。常见的DOS/DDOS攻击可分为两类：一类是针对系统或者协议漏洞的攻击，如pingofdeath,teardrop等，另一类是消耗计算机或者网络中有限的资源，占用大量网络宽带，如udpflood，synflood，icmpflood等。问题3终端自身安全带来的安全隐患终端自身的安全问题也将对信息网络造成威胁，比如终端自身已经携带了病毒，终端没有安装防病毒软件，终端的防病毒软件没有及时更新，终端操作系统补丁也没有及时更新等，这些安全问题将对内网其他终端，甚至内网服务器造成很大的麻烦，严重的将导致病毒在网络中的传播，或者终端上携带的蠕虫病毒在网络中大量散播的时候，也将导致交换机的负荷过重，而引起瘫痪。问题4服务器安全问题内网的应用服务和内网终端部署在一个交换机上，之间没有任何访问控制措施，应用服务器采用WIN2003系统，该系统默认配置安全级别较低，漏洞较多，容易被蠕虫病毒、木马和恶意软件攻击，从而影响其他用户的使用。海螺集团网络规划方案©2011北京天融信科技有限公司-6-2.2安全需求分析2.2.1安全域划分在安全防御体系构建中，我们一般所说的安全域是指网络安全域，即同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。建议在省海螺集团网络中根据实际业务需求划分不同的安全域，通过防火墙进行严格访问控制，实行授权的最小化。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。2.2.2防火墙安全策略优化防火墙是互联网和内网之间安全隔离设备，它的作用是通过允许、拒绝或重定向经过防火墙的数据流，防止不希望的、未经授权的通信进出网络，并对网络服务和访问进行审计和控制。实现这些功能的前提是配置良好的安全策略，经过优化后的防火墙具有较强的抗攻击能力。2.2.3VPN互联海螺集团规模庞大，也经常需要与各个下属单位交互信息。同时，集团人员的出差移动办公需求也日益迫切。所有的应用，都离不开一个基本前提：都要先建立一个可以安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络，传统的做法对于大部分企业来讲，无论在建设成本上还是后期维护上，要建立一个物理专网都是比较困难的。随着Internet的迅猛发展及VPN技术的出现，为集团信息化应用提供了良机和更好的选择。VPN是利用公共网络资源来构建的虚拟专用网络，它是通过特殊设计的硬件或软件直接在共享网络中通过隧道、加密技术来保证用户数据的安海螺集团网络规划方案©2011北京天融信科技有限公司-7-全性，提供与专用网络一样的安全和功能保障。使得整个网络在逻辑上成为一个单独的透明内部网络，具有安全性、可靠性和可管理性。今天，VPN虚拟专用网已经具有与专线几乎相近的稳定性和安全性。海螺集团网络规划方案©2011北京天融信科技有限公司-8-第三章访问控制要求a)应在网络边界部署访问控制设备，启用访问控制功能；b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；d)应在会话处于非活跃一定时间或会话结束后终止网络连接；e)应限制网络最大流量数及网络连接数；f)重要