企业安全解决方案模板北京天融信科技有限公司2015年6月目录第一章前言.......................................................31.1背景..........................................................31.2项目概述......................................................3第二章XX企业信息网络的整体安全体系设计...........................52.1信息安全体系设计原则..........................................52.2信息安全体系结构分析..........................................62.2.1安全服务模型..............................................72.2.2协议层次安全模型..........................................72.2.3安全实体单元..............................................8第三章XX企业信息网络的安全现状和需求分析........................103.1XX企业网络安全现状及威胁分析................................103.1.1内部网络与Internet互联的安全威胁........................113.1.2来自内部网络的安全威胁...................................113.1.3系统的安全风险分析.......................................133.1.4病毒对XX企业网络安全运营的安全威胁......................143.1.5安全服务体系不健全的威胁.................................143.2XX企业安全需求..............................................143.2.1防病毒体系需求...........................................143.2.2强制性网管软件需求.......................................143.2.3防火墙需求...............................................153.2.4过滤网关需求.............................................153.2.5入侵检测需求.............................................153.2.6漏洞扫描需求.............................................163.2.7安装需求.................................................16第四章信息网络的安全方案设计....................................174.1安全管理.....................................................174.2安全防护.....................................................174.3安全监测.....................................................174.4病毒防护.....................................................184.5安全服务.....................................................18第五章XX企业网络安全项目解决方案................................195.1XX企业防火墙解决方案........................................195.1.1XX企业防火墙的部署.......................................195.1.2XX企业防火墙的作用.......................................235.2XX企业入侵检测方案..........................................245.3XX企业漏洞扫描解决方案......................................265.4XX企业防病毒解决方案........................................275.4.1网络版防病毒解决方案.....................................275.4.2网关防病毒解决方案.......................................285.5XX企业安全管理系统解决方案..................................29地址:北京市海淀区知春路49号希格玛大厦4层3总机:010-82611122网址:背景随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,安全问题对于XX企业的发展也越来越重要。安全问题已经成为影响XX企业业务平台的稳定性和业务的正常提供的一个问题,所以提升我们XX企业自身的安全性也已经成为XX企业增强企业竞争力的重要方面之一。XX企业集团是国家重点支持的520家工业企业大型支柱产业集团之一。随着信息技术的迅猛发展,XX企业集团领导充分认识到网络安全建设的重要性,为了更好的开展生产、科研工作,决定对现有信息系统进行网络安全技术改造。1.2项目概述本次信息安全项目包括XX企业集团下属企业、附属机构和分支机构的网络安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造,对网络整体的安全加固,所以在上新的系统时不能影响原有系统应用的整体性能。建立整体网络安全体系;建设整体的防病毒体系,保证网络病毒不会由公司主干网传入专网,保证远程VPN网络或用户的病毒不会传入公司主干网;对于INTERNET上新病毒的反应、处理速度,比如当时“震荡波”病毒,要在“黄金响应”时间内通知如何防范和相应补丁,在没有扩散到大范围及时发现病毒;如果内网存在病毒,能够对其定位,知道在哪个机器上,是哪种病毒,能够清除并有相应的日志;保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性;能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源,上了什么网站,要有分用户、分时间段、分服务类别的详细清单及统计报表;强制性管理终端用户设备,并按照统一规划的不同策略管理不同的终端用户设备或终端用户设备组;能够及时觉知谁在攻击或在探测网络,并及时阻断攻击以及非法探测并有详细的日志,在发生外部入侵进来时,必须及时报警并发邮件到管理人员邮箱,并提供相应的策略;对公司内网的安全能够做到:谁在用非法手段扫描、攻击服务器或别人的机地址:北京市海淀区知春路49号希格玛大厦4层4总机:010-82611122网址:器,谁私自改IP地址,新的机器接入内网或非法上外网,不能随便安装、卸载软件等等。对这些违反规定的机器要有相应的日志,并可以进行阻断;对本公司内的生产子网要做好安全隔离,即使XX企业主干网上有病毒在传播但不能传到该子网中去,该子网只保留一些必要的数据通讯端口与主干网络通讯,其他端口必须屏蔽掉。评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施,当前发现的所有漏洞得到弥补,不能弥补的要有应急措施预案;各种系统具备完善的日志及审计功能,可以追溯安全事件,可以按照不同的方式出具各种报表;地址:北京市海淀区知春路49号希格玛大厦4层5总机:010-82611122网址:企业信息安全保障系统涉及到整个工程的各个层次,网络和信息安全方案的设计遵循以下原则:●整体安全XX企业信息安全保障系统的是一个复杂的安全系统工程,对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位安全服务。●有效管理没有有效的安全管理(如防火墙监控、审计日志的分析等等),各种安全机制的有效性很难保证。XX企业信息安全保障系统所提供的各种安全服务,涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用;●合理折衷在XX企业信息安全保障系统的建设过程中,单纯考虑安全而不惜一切代价是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个系统高效运行的总体目标。●责权分明采用分层、分级管理的模式:一方面,XX企业信息系统可以分为三层:信息网络、计算机系统和应用系统;另一方面,网络和应用系统都有中心、下属等的分级结构。各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理。地址:北京市海淀区知春路49号希格玛大厦4层6总机:010-82611122网址:●综合治理XX企业信息系统的安全建设是一个系统工程,信息网络的安全同样也绝不仅仅是一个技术问题,各种安全技术应该与运行管理。机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。2.2信息安全体系结构分析XX企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。在信息网络安全体系结构的研究表明,想要从一个角度得出整个信息系统完整的安全模型是很困难的。借鉴美国国防部DISSP计划中的安全框架,我们提出了适合XX企业信息系统的安全体系结构模型。该模型由安全服务、协议层次和系统单元三个层面描述,且在每个层面上,都包含安全管理的内容。该模型在整体上表现为一个三线立体框架结构。信息网络安全体系结构安全服务取自于国际标准化组织制订的安全体系结构模型ISO7498,我们在ISO7498的基础上增加了审计功能和可用性服务。协议层次的划分参照TCP/IP协议的分层模型。地址:北京市海淀区知春路49号希格玛大厦4层7总机:010-82611122网址:系统单元给出了信息网络系统的组成。安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。安全管理涉及两方面的内容:各种安全技术的管理和安全管理制度。2.2.1安全服务模型国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的,而且不同的应用环境有不同的程度的要求,我们在图中给出了主要安全服务之间的逻辑关系。各种安全服务之间的逻辑关系在不同的协议层次,实体都有主体和客体(或资源)之分:在网络层,对主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证,网络层的访问控制主要指防火墙等过滤机制;在应