企业网络安全建议书

业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 业 网络安全建议书 成都天融信网络安全技术有限公司 2004年 3月 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 目 录 总 则 . 5 项目背景 . 5 公司介绍 . 5 第一章网络风险分析 . 7 理安全分析 . 7 路分析 . 8 络结构的分析 . 8 统的安全分析 . 9 用系统安全分析 . 10 源共享 . 10 子邮件 . 10 毒侵害 . 10 据信息 . 10 用系统管理的安全风险分析 . 11 络安全方案设计原则 . 11 第二章网络安全需求分析 . 12 理安全需求 . 12 火墙需求 . 12 侵检测系统需求 . 12 络防病毒系统需求 . 13 息审计需求 . 13 全管理需求 . 13 业 安全总体目标 . 13 第三章网络安全方案 . 15 理安全实施方案 . 15 3 1 1 防盗防火放水 . 15 3 1 2 机房环境 . 15 3 1 3 物理访问控制方面 . 15 3 1 4 机房屏蔽 . 15 3 1 5 电源系统 . 16 3 1 6 传输屏蔽 . 16 3 1 7 对终端设备辐射的防范 . 16 火墙火墙实施方案 . 17 3 2 1 防火墙参数要求 . 17 3. 2. 2 防火墙部署拓扑图 1 . 19 3 2 3 防火墙部署拓扑图 2 . 19 3 2 4 部署防火墙的好处 . 20 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 施方案 . 21 3 3 1署拓扑图 . 21 3 3 2署的 好处 . 21 息审计实施方案 . 22 据备份实施方案 . 25 全管理实施方案 . 27 3 6 1工作人员个人安全行为规范 . 27 3 6 2密码安全规范 . 28 3 6 3系统管理规范 . 29 3 6 4物理安全规范 . 29 3 6 5用户访问控制规范 . 30 3 6 6登录策略 . 30 3 6 7安全确认规范 . 31 3 6 8审计规范 . 31 3 6 9服务的可靠性规范 . 32 3 6 10 网络安全规范 . 33 3 7 文件加密的实施方案 . 34 3 8 防病毒实施方案 . 35 第四章培训计划 . 36 4 1 培训目的 . 36 训对象 . 36 络管理员 . 36 统管理员 . 36 训内容 . 37 训计划 . 38 级培训 . 38 级培训 . 39 第五章售后服务、技术支持、软件升级的保障 . 40 5 1 服务项目介绍 . 40 京技术服务中心 . 41 都技术服务中心 . 42 5 2 售后服务承诺 . 42 附件 1 产品报价 . 43 附件 2 天融信防火墙先进性 . 44 附件 3 天融信部分用户名单 . 55 一、政府 . 55 二、金融行业 . 57 三、科研教育 . 58 四、电信 . 59 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 五、邮政 . 59 六、税务 . 59 七、能源 . 60 八、交通运输 . 61 九、安全部门 . 61 十、医疗 . 62 十一、其他 . 62 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 总 则 项目背景 以 息网络技术的应用正日益普及和广泛，应用层次 正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，越来越多的企业、个人通过互联网进行重要数据的传输、商务活动的实现。因此网络安全问题也更加关键和重要。因为在开放的 们的意图也是多种多样的。如何使网络信息系统不受黑客和工业间谍的入侵，已成为企事业单位信息化健康发展所必需考虑和解决的重要问题。 计算机网络是一个覆盖全厂系统的计算机网络。它的一方面作用是为各科室提供完整、准确、 及时的各项数据和结果，加强系统内部信息的交换，是系统决策科学化的重要工具和手段；另一方面，以网络系统为基础，实现全厂文件交换提供基本平台保障。但是由于在建设网络的过程中没有过多的考虑网络的安全因素 ,随着应用的增加 ,网络也越来越复杂，所以敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。为保证 业 网络的安全，有必要对网络安全的部分进行专门的改造。 本建议书的目标是在不影响资阳市机车厂网络当前业务的前提下，实现对其网络全面的安全防护和安全管理。本建议书构建了包括防火墙、入侵检测系统（ 信息审计等多种安全产品协同工作的、有效的防御系统，降低网络的安全风险，提高网络安全性。 针对对资阳市机车厂网络的网络状况和实际应用情况，我们建议资阳市机车厂网络安全体系在“统一规划”的前提下，进行“分步实施”。具体而言，可以先对网络做一个比较全面的安全体系规划，根据网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、必需的安全性；随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。本方案为资阳市机车厂的网络安全解决方案，包括网络状况分析、安全需求分析、安全产品的选 择和建议的完整的安全解决方案。 公司介绍 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 天融信网络安全技术有限公司是我国最早专业从事因特网（ 计算机通信网络信息安全研究、产品开发与系统集成的高新技术企业。公司从创立之初即立足于这样一个信念：信息安全关系到国家的主权和利益，必须走自强不息的民族产业之路。自 1995年起，公司便积极致力于信息安全的探索和研究，并于 1996年 6月推出了填补国内空白的中国第一套具有自主版权的防火墙产品。目前，天融信公司已成功开发出了防火墙系统、加密机（ 统及信息审计系统等网络安全产品，并分别获得了公安部 、国家安全部、国家保密局、国家密码管理委员会等国家安全主管部门的许可或认证，在国内的政府、电信、金融、证券、军队、能源、交通、教育、制造等行业及国家政府部门、企事业单位得到广泛应用，赢得了政府、社会和用户的广泛赞誉，为开创我国信息安全事业做出了积极贡献。 成都天融信网络安全技术有限公司 是天融信网络安全技术有限公司在成都注册的全资公司，是天融信的三大核心公司、三大研发基地之一，天融信公司网络安全产品的核心部分许多都由成都公司来完成，在目前成都天融信公司有员工 21 名 ,其中网络安全的博士有 3名，硕士 6 名， 其余技术 人员都是具有本科文凭的网络安全专业人士。可以很好的提供本地化安全服务。 天融信网络安全技术有限公司自 95年成立以来，已经拥有的遍布全国 31个省市、自治区、直辖市的近万家用户，受到了用户的认可，天融信公司成为国内安全市场的领导者，具国内调查的权威机构赛迪公布的市场报告指出：连续五年国内防火墙市场占有量第一名，每年的业绩和利润 100%以上的增长 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 第一章网络风险分析 网络应用给人们带来了无尽的好处，但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引 起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。 瞄准网络存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。 从网络安全的整个过程来看，网络现状分析是必不可少的。只有分析好了网络现状才有可能针对现有的网络制定定相应的安全方案，从而进行安全实施，进而达到保护整个网络的目的。 下面从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述 业 的网络安全。 理 安全分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用 ,而造成网络系统的不可用。它是整个网络系统安全的前提。 业 的物理安全应注意以下几个方面 1) 地震、水灾、火灾等环境事故； 2) 电源故障； 3) 人为操作失误或错误； 4) 设备被盗、被毁； 5) 电磁干扰； 6) 线路截获； 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 7）机房环境及报警系统的设计。 路分析 网络安全不仅是入侵者到内部网上进行攻击、窃取或其它破坏，有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完 整性。 因此数据在链路上传输必须加密。对于非涉密但属于非公开敏感信息的传递应通过采用数字签名及认证技术来保证数据传输的机密性、可靠性及完整性 络结构的分析 如上图，现在 整个网络是一个庞大复杂的网络，基于对数据重要的程度划分，我们把整个网络分为 3 个不同的安全区域：互联网，资阳厂内部服务器群以及部网络。 其中内部服务器群是整个网络的核心安全部分，对内部网络中的办公人员用户提 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 028 供信息浏览、查询或其他应用。由于这些服务器允许大量的办公人员用户访问，因此从理论上存在个人行为或内部网络入侵 的攻击者对服务器攻击的可能性。如果没有采用相应的安全措施，入侵者攻击服务器后，这样可能导致一些重要信息或敏感信息可能被非法窃取或修改 由于整个机车厂的内部网络和外部网络边界处已有防火墙做访问控制，故这次在网络结构分析中我们认为是相对安全的。 统的安全分析 谓系统安全通常是 业 的内部网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是 开发厂商必然有其 且系统本身必定存在安全漏洞。这些“后门”或安 全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。以下是侵袭者获取口令字的几种途径： 一是内部的管理人员因安全管理不当而造 成泄密； 二是通过在公用网上搭线窃取口令字； 三是通过假冒，植入嗅探程序，截获口令字； 四是采用字典攻击方式，获得口令字。 侵袭者一旦掌握了某一用户口令字，就有可能得到管理员的权限并可造成不可。 因此填补主机的安全漏洞，关闭主机一些不常用的服务，禁止开放一些不常用比较敏感的窗口，给关键主机安装上基于主机的入侵检测对重要系统的安全是非常重要的。 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 0280 用系统安全分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也动态。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降 低应用的安全风险。 络可能存在着：内部办公人员网络可能有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他人员窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 内部网用户可能通过进行电子邮件发送和接收，这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。 网络是病毒传播的最好、最快的途径之一 。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。 数据安全对涉密企业来说尤其重要，数据在广域网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对涉密 企业用户来说，是决不允许的。 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 0281 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房重地却是任何人都可以进进出出，来去自由，存有恶意的入侵者便有机会得到入侵的条件。内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点，利用网络开些小玩笑，甚至破坏，如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权 不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 络安全方案设计原则 网络安全建设是一个系统工程，资阳市机车厂网络系统安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。 在进行网络系统安全方案设计、规划时，应遵循以下原则： 1 需求、风险、代价平衡的原则 2 综合性、整体性原则 3 一致性原则 4 易操作性原则 5 适应性、灵活性原 则 6 多重保护原则 7 可评价性原则 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 0282 第二章网络安全需求分析 理安全需求 针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行备份；对重要系统进行备份等安全保护。配备机房自动灭火系统，门禁系统，报警系统等等。 火墙需求 防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。据有关数据统计，防火墙的加设会使整个网络的安全风险降低 90%。 防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。 侵检测系统需求 也许有人认为，网络配了防火墙就安全了，就可以高枕无忧了。其实，这是一种错误的认识，网络安全是整体的，动态的，不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。但防火墙不可能完全防止有些新的攻 击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统，配置防火墙与 联动，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。因此入侵检测系统被公认为是继防火墙之后的第二道屏障。 业 网络安全建议书 成都天融信网络安全技术有限公司 网址 :地址：成都市高新区创业中心 304 室 电话： 028传真： 0283 络防病毒系统需求 针对防病毒危害性极大并且传播极为迅速，必须配备从单机到服务器部署整体防病毒体系，实现全网的病毒安全防护。 息