天融信企业安全解决方案模板

企业安全解决方案模板目录第一章前言311背景312项目概述3第二章XX企业信息网络的整体安全体系设计521信息安全体系设计原则522信息安全体系结构分析6221安全服务模型7222协议层次安全模型7223安全实体单元8第三章XX企业信息网络的安全现状和需求分析1031XX企业网络安全现状及威胁分析10311内部网络与INTERNET互联的安全威胁11312来自内部网络的安全威胁11313系统的安全风险分析13314病毒对XX企业网络安全运营的安全威胁14315安全服务体系不健全的威胁1432XX企业安全需求14321防病毒体系需求14322强制性网管软件需求15323防火墙需求15324过滤网关需求16325入侵检测需求16326漏洞扫描需求16327安装需求16第四章信息网络的安全方案设计1741安全管理1742安全防护1743安全监测1744病毒防护1845安全服务18第五章XX企业网络安全项目解决方案1951XX企业防火墙解决方案19511XX企业防火墙的部署19512XX企业防火墙的作用2352XX企业入侵检测方案2453XX企业漏洞扫描解决方案2654XX企业防病毒解决方案27541网络版防病毒解决方案27542网关防病毒解决方案2855XX企业安全管理系统解决方案29一一一前言11背景随着近年来网络安全事件不断地发生，安全问题也已成为IT业的一个热点，安全问题对于XX企业的发展也越来越重要。安全问题已经成为影响XX企业业务平台的稳定性和业务的正常提供的一个问题，所以提升我们XX企业自身的安全性也已经成为XX企业增强企业竞争力的重要方面之一。XX企业集团是国家重点支持的520家工业企业大型支柱产业集团之一。随着信息技术的迅猛发展，XX企业集团领导充分认识到网络安全建设的重要性，为了更好的开展生产、科研工作，决定对现有信息系统进行网络安全技术改造。12项目概述本次信息安全项目包括XX企业集团下属企业、附属机构和分支机构的网络安全系统建设所需的相关设备、软件以及方案详细设计、系统集成、管理制度的建立、培训、技术支持与服务等内容。实施是在网络现有应用基础上的改造，对网络整体的安全加固，所以在上新的系统时不能影响原有系统应用的整体性能。建立整体网络安全体系；建设整体的防病毒体系，保证网络病毒不会由公司主干网传入专网，保证远程VPN网络或用户的病毒不会传入公司主干网；对于INTERNET上新病毒的反应、处理速度，比如当时“震荡波”病毒，要在“黄金响应”时间内通知如何防范和相应补丁，在没有扩散到大范围及时发现病毒；如果内网存在病毒，能够对其定位，知道在哪个机器上，是哪种病毒，能够清除并有相应的日志；保证系统服务器、生产专网、电话站专网的高可用性、抗攻击性；能够查询谁在什么时间、什么地点、用什么方式访问了什么网络资源，上了什么网站，要有分用户、分时间段、分服务类别的详细清单及统计报表；强制性管理终端用户设备，并按照统一规划的不同策略管理不同的终端用户设备或终端用户设备组；能够及时觉知谁在攻击或在探测网络，并及时阻断攻击以及非法探测并有详细的日志，在发生外部入侵进来时，必须及时报警并发邮件到管理人员邮箱，并提供相应的策略；对公司内网的安全能够做到谁在用非法手段扫描、攻击服务器或别人的机器，谁私自改IP地址，新的机器接入内网或非法上外网，不能随便安装、卸载软件等等。对这些违反规定的机器要有相应的日志，并可以进行阻断；对本公司内的生产子网要做好安全隔离，即使XX企业主干网上有病毒在传播但不能传到该子网中去，该子网只保留一些必要的数据通讯端口与主干网络通讯，其他端口必须屏蔽掉。评估网络及主要的服务器、明确应用存在哪些漏洞及其补救措施，当前发现的所有漏洞得到弥补，不能弥补的要有应急措施预案；各种系统具备完善的日志及审计功能，可以追溯安全事件，可以按照不同的方式出具各种报表；一一一XX企业信息网络的整体安全体系设计21信息安全体系设计原则XX企业信息安全保障系统涉及到整个工程的各个层次，网络和信息安全方案的设计遵循以下原则整体安全XX企业信息安全保障系统的是一个复杂的安全系统工程，对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和业务系统提供全方位安全服务。有效管理没有有效的安全管理（如防火墙监控、审计日志的分析等等），各种安全机制的有效性很难保证。XX企业信息安全保障系统所提供的各种安全服务，涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用；合理折衷在XX企业信息安全保障系统的建设过程中，单纯考虑安全而不惜一切代价是不合理的。安全与花费、系统性能、易用性、管理的复杂性都是矛盾的，安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最小的投资换取最大的安全性，同时不因性能开销和使用、管理的复杂而影响整个系统高效运行的总体目标。责权分明采用分层、分级管理的模式一方面，XX企业信息系统可以分为三层信息网络、计算机系统和应用系统；另一方面，网络和应用系统都有中心、下属等的分级结构。各级网络管理中心负责网络的安全可靠运行，为应用信息系统提供安全可靠的网络服务，各级信息中心负责计算机系统和应用系统的安全管理。综合治理XX企业信息系统的安全建设是一个系统工程，信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理。机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。22信息安全体系结构分析XX企业信息系统对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须以科学的安全体系结构模型为依据，才能保障整个安全体系的完备性、合理性。在信息网络安全体系结构的研究表明，想要从一个角度得出整个信息系统完整的安全模型是很困难的。借鉴美国国防部DISSP计划中的安全框架，我们提出了适合XX企业信息系统的安全体系结构模型。该模型由安全服务、协议层次和系统单元三个层面描述，且在每个层面上，都包含安全管理的内容。该模型在整体上表现为一个三线立体框架结构。信息网络安全体系结构安全服务取自于国际标准化组织制订的安全体系结构模型ISO7498，我们在ISO7498的基础上增加了审计功能和可用性服务。协议层次的划分参照TCPIP协议的分层模型。系统单元给出了信息网络系统的组成。安全管理涉及到所有协议层次、所有单元的安全服务和安全机制的管理。安全管理涉及两方面的内容各种安全技术的管理和安全管理制度。221安全服务模型国际标准化组织所定义的安全体系结构中包括五组重要的安全服务，这些安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的，而且不同的应用环境有不同的程度的要求，我们在图中给出了主要安全服务之间的逻辑关系。各种安全服务之间的逻辑关系在不同的协议层次，实体都有主体和客体（或资源）之分在网络层，对主体和资源的识别以主机或协议端口为粒度，认证服务主要指主机地址的认证，网络层的访问控制主要指防火墙等过滤机制；在应用系统中，主体的识别以用户为粒度，客体是业务信息资源，认证是指用户身份认证和应用服务的认证，访问控制的粒度可以具体到某种操作，如对数据项的追加、修改和删除。在开放式应用环境中，主体与客体的双向认证非常重要。从这一模型可以得出如下结论对资源的访问控制是安全保密的核心，而对实体的（用户、主机、服务）认证是访问控制的前提。222协议层次安全模型从网络体系结构的协议层次角度考察安全体系结构，我们得到了网络安全的协议层次模型，如图所示，图中实现上述安全服务的各种安全机制，并给出了它们在协议层次中的位置。该模型与OSI体系结构一致。协议层次模型223安全实体单元在工程实施阶段，各种安全服务、各协议的安全机制最终要落实到物理实体单元。如图所示，从实体单元角度来看，安全体系结构可以分成以下层次物理环境安全。端系统安全，主要保护网络环境下端系统的自身的安全。网络通信安全，一则保障网络自身的安全可靠运行，保证网络的可用性；二则为业务数据提供完整性、保密性的安全服务。应用系统安全，为某种或多种应用提供用户认证、数据保密性、完整性以及授权与访问控制服务等。系统单元安全模型其中，安全政策是制定安全方案和各项管理制度的依据，安全政策是有一定的生命周期的，一般要经历风险分析、安全政策制定、安全方案和管理制度的实施、安全审计和后评估、四个阶段。安全管理是各项安全措施能够有效发挥作用的重要保证。安全管理的内容可以分成安全技术管理和安兮管理制度两部分。安全技术的管理包括安全服务的激活和关闭、安全相关参数的分发与更新、安全相关事件的收集与告警等。一一一XX企业信息网络的安全现状和需求分析随着计算机技术和网络技术的发展，网络成为信息高速公路，人们利用网络来获取和发布信息，处理和共享数据。但是网络协议本身的缺陷、计算机软件的安全漏洞，对网络安全的忽视给计算机网络系统带来极大的风险。实际上，安全漏洞广泛存在于网络数据链路、网络设备、主机操作系统和应用系统中。网络安全是一个体系工程，如果把XX企业网络信息系统划一个边界的话，未来在广域网建好之后可能发生的安全威胁会来自各个方向、各个层面。31XX企业网络安全现状及威胁分析XX企业集团现有信息网络覆盖10平方公里之内的各个下属钢铁企业、附属机构和分布在异地的远程分支机构。到目前为止，共有终端用户1000余个，其中包含各种服务器30台。网络设备基本采用CISCO系列产品，主干网络交换机近100台。整个网络拥有100M的因特网出口。INTERNETEMAIL转发服务器PROXYAAACISCO3640防火墙PIX2950123500G24小型机SUNFIRE4800CATALYST6506CATALYST6506CATALYST4006CATALYST40062950G242950G242950G48生产子网12950G24295012295012VPN及移动上网卡3550G12T终端服务器计量服务器EMAIL服务器3548G2M数字电路三个分厂生产子网2下面主要针对XX企业的信息系统，列出可能面临的主要安全威胁为311内部网络与INTERNET互联的安全威胁与INTERNET相连，如果没有边界防护将是危险的。XX企业内部网络与INTERNET如果不采取安全防护措施，这样内部网络很容易遭到来自于INTERNET中可能的入侵者的攻击。如入侵者通过SNIFFER等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。恶意攻击入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪在INTERNET上爆发网络蠕虫病毒的时候，如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离，那么蠕虫的攻击将会对网络造成致命的影响。分支机构通过INTERNET与总公司进行通讯的安全威胁在INTERNET上传输的公司内部数据，会面临被读取，被篡改，被冒名的安全威胁，所以需要对数据的源发性、数据的机密性、数据的完整性进行验证。在分支机构与总部的VPN网关建立隧道以后，如果分支机构的计算机遭到病毒或黑客的入侵，同样将会对XX企业的内网造成安全威胁。312来自内部网络的安全威胁核心交换机如果没有访问控制，就不能抵御日益严重的网络攻击XX企业内部系统基本是一个三层互联的网络，核心交换机的设计如果可以实现内部网络之间的访问控制。即使在交换机上可以通过配置提供一些安全保证，但是其强度是不足的。现在的黑客攻击工具在网络上泛滥成灾，任何一个稍微有点计算机操作能力的人员都可以利用这些工具进行攻击。同时，由于内部人员比较熟悉系统的情况，其攻击行为更容易取得成功。据权威数据表明，有97的攻击是来自内部攻击和内外勾结的攻击，而且内部攻击成功的概率要远远高于来自于外部网络的攻击，造成的后果也严重的多。而且XX企业的网络很庞大，覆盖面积广，内部人员复杂，不同的网络区域对于内网的应用系统都会构成安全威胁。具体表现在首先是XX企业内部任何区域的安全级别都要低于两台重要的ERP服务器，也是就其他的网段和区域都会对两台ERP服务器造成威胁；其次是棒材和炼钢生产子网；炼钢大高炉生产子网；矿业公司和二化子网；电话站专网。这些专网之间都需要进行访问控制。服务器区的安全威胁，缺少入侵监测设备XX企业的内部服务器组存有很多重要的数据，这些数据是不能丢失或损坏的，因此一定要对这些服务器进行重点保护，防止这些数据被篡改和窃取。在该网络结构中，各重要的服务器和主机都将是通过核心交换机直接与其他子网连接的，并且这些服务器区的边界如果没有任何访问控制产品和监控设备，内部人员对这些服务器可以很容易实施攻击。网络节点变化的隐患在XX企业集团网络系统中，预留了一些空节点以备人员扩充时使用，若有非法人员利用这些节点接入后，就可以直接连入XX企业集团的网络中，并且能与网络中的数据库服务器物理连接。此时，该人员就可以非常方便地通过一些非法的工具和手段来随意攻击网络上的数据库服务器和其他客户端主机、盗取网络上的一些关键数据以及获取当前比较详细的XX企业集团整体网络情况为以后更致命的攻击做好准备，然而网络管理员并没有一个有效的方法来实时了解网络中各节点的情况，控制这些网络节点的变化，因此给整个XX企业集团的网络系统造成极大的威胁。非法访问的危害XX企业集团的网络是一个多应用多连接的系统，虽然目前已经存在一些常用的访问控制手段所有用户在访问服务器时都必须输入正确的用户名和口令等，但是这样的网络结构利用传统的网络管理措施难以实现有效的访问控制。对于网络中没有访问其他网段主机权限的用户来说，当要对其他网段上主机发动攻击时，其情况类似于外部网络的攻击。但是与外部网络的攻击者相比，内部攻击者对网络结构了解的更加细致，而且更容易窃取用户登录所需资料，所以非法访问更易成功。如某台非法主机在经过相关的配置后就可以与网络中的数据库服务器和其他客户端主机进行TCP/IP通信。这样就能够通过仿冒合法用户或通过其他黑客工具对客户端甚至关键的数据库服务器进行非法通信和数据访问，这将给XX企业集团带来严重的危害。非法应用的威胁XX企业集团系统中有许多的应用在实时地使用着，尤其是数据库和工业控制的应用。但网络管理员并没有一个有效方法来监控这些应用的使用，然而多数的木马程序都是以注入内存的方式来调用一些非法应用与黑客通信的。若此时有一台开发客户端主机中了木马程序，在正常访问服务器的过程中就可能通过这一非法应用程序将访问服务器的账号、口令以及访问方式都泄露给黑客，黑客就能通过获取的信息堂而皇之地登录到该应用服务器上，并能在该服务器上也启动一些非法的应用服务，帮助黑客完全地控制服务器。313系统的安全风险分析如果没有漏洞扫描和安全评估机制，将不能及时地填补网络漏洞所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是WINDOWS还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其BACKDOOR。而且系统本身必定存在安全漏洞。这些“后门“或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。314病毒对XX企业网络安全运营的安全威胁外部XX企业与INTERNET有直接通道，会受到来自专网以HTTP、SMTP、FTP等数据流为载体的潜在病毒的威胁。内部局域网中的工作站及文件服务器都会受到病毒的感染，病毒的攻击方式多种多样，有通过局域网传播、传统介质光盘、软盘、USB硬盘等传播等等，一旦受到感染，便会迅速传播，会给日常的工作和生产带来极大的威胁。网络带宽高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。CODERED，冲击波以及MYDOOM就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。间接损失病毒造成的间接损失可能更大，病毒造成的事故对企业的影响是直接导致企业信息资产损失，可能影响生产运营。315安全服务体系不健全的威胁一个网络的安全，不是仅靠一种安全产品就能保障的，是需要多种安全产品共同维护的。如今的网络攻击和网络漏洞日益严重，它需要网络管理人员具有快速的响应机制。如果没有一个完善的安全服务体系，将尽可能多的安全产品统一来维护，面对突如其来的网络攻击，XX企业可能将面临巨大的损失。同时，众多品牌的安全产品采购，也将对XX企业的网络的维护带来不便。32XX企业安全需求321防病毒体系需求自动安装客户端软件；自动更新、分发客户端软件及病毒库；网络中布置了多少台机器，还有多少台未安装防病毒软件；客户端软件、病毒库版本是否为最新，病毒防护或发作信息；客户端软件不允许随意卸载；网络中那些病毒在传播；322强制性网管软件需求网络上有哪些交换机，有哪些计算机；网络拓扑结构，交换机如何互联，每台交换机接了那些终端；网络性能管理、流量管理、故障管理、日志管理；资产信息收集与管理；管理制度制订、落实；客户端软件不允许随意卸载；远程管理与控制；软件分发；操作系统补丁分发、安装；管理中心；网络设备的软件升级（IOS升级至最高版本）；323防火墙需求支持双机热备份功能，切换时间不超过3秒；因特网出口（现状100M），支持VPN功能，能够与VPN网关协调一致工作，移动用户能够利用操作系统自带的VPN连接、通过CISCO公司ACS3000验证用户进入公司内网；北京分公司（现状ADSL），利用VPN网关与公司因特网出口防火墙建立VPN连接进入公司内网；北京库房现状华为路由器，128KDDN，利用VPN网关与公司因特网出口防火墙建立VPN连接进入公司内网；两台ERP小型机（每台小型机配置双千兆短波多模光纤网卡，防火墙采用桥接模式）棒材生产子网、炼钢生产子网（百兆）炼钢大高炉生产子网（千兆长波单模光纤）矿业公司2条2M数字电路，连入电话站交换机、二化1条2M数字电路，连入电话站交换机电话站专网324过滤网关需求因特网（现状100M）入口，必须至少支持4种INTERNET协议SMTP、POP3、HTTP、FTP，并具有日志以及日志分析功能；325入侵检测需求内网关键区域及因特网（现状100M）出口，具有安全审计功能；326漏洞扫描需求定期挂接到网络中，对当前网络上的重点服务器（如WEB服务器、邮件服务器、DNS服务器、主域服务器等）以及主机进行一次扫描，得到当前系统中存在的各种安全漏洞，并有针对性地提出补救措施报告；327安装需求所有安全产品布置在项目附带的机柜内，并且在机柜内配置2台32口自动多电脑切换器，配置相应的键盘、光电鼠标、显示器及线缆；安全设备要有管理口，便于管理，降低安全产品本身的安全威胁，要有分权管理，管理与审计权限分开；要保证系统服务器、生产专网的高可用性、抗攻击性；制定详细的实施计划，明确双方责任，专业技术工程师、制度管理师按照实施计划布置实施符合XX企业管理需求的安全策略、制定符合XX企业管理需求的制度体系；各个系统协调一致工作，不能出现软件或硬件冲突；一一一信息网络的安全方案设计41安全管理环节分析主要是指XX企业集团要设备管理、人员管理、策略管理等；目前XX企业集团尚无一套完善的网络安全管理体系，我们要建立通过一定的国际标准来建立建设管理体系。需求建议XX企业集团信息网需要对全网所有设备和终端用户进行管理。负责管理计算机的技术人员和一般计算机使用人员，依靠一定的安全技术和手段和一些好的管理办法，制定一些切实可用的网络安全策略，来建立XX企业集团信息网的安全管理体系。另外建议应用强制性的网管系统对网络设备和客户端进行管理。42安全防护环节分析该环节的包括访问控制、保密性、完整性、可用性、不可否认性。该环节主要依靠一些相关的技术手段来实现。访问控制主要依靠防火墙技术、划分VLAN技术身份认证技术等方式来实现；保密性、可用性、不可抵赖性主要包括一些信息保密手段，例如使用VPN技术、采用加密软件、或者应用CA证书保证数据的安全防护等。防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。需求建议安全保护围很广涉及的技术也较多，对于XX企业集团信息网目前最需要的防护手段是对全网的防护，使用防火墙、防病毒技术和入侵检测，在此基础上建议加强对XX企业集团数据中心信息网的防护体系建设。对分支机构建议采用VPN网关建立隧道。43安全监测环节分析主要是指实时监测、风险评估、系统加固、漏洞修补等；实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件，系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用系统漏洞情况及时采取必要的措施。需求建议对于XX企业集团信息网目前尚无任何网络安全监测措施，对于发生的网络安全问题需要有效的监测手段；对于全网的风险评估需要建立相应的评估制度；对于系统加固和漏洞修补需要固定的工作流程和漏洞发现和加固计划。44病毒防护环节分析主要针对全网1000多台主机和30多台服务器进行病毒防护。对网络的边界及接入点进行病毒的监控。需求建议目前XX企业集团急需一套网络版的防病毒软件覆盖整个网络。在网关处建议配置防病毒网关。45安全服务环节分析一个优秀的网络安全系统的建立不仅仅依靠网络安全设备和相关安全手段，如何去建设网络安全系统如何去使用网络安全系统以及出现安全问题如何去应对是一般网使用者非常关心的问题。究竟解决以上问题呢我们认为专业的事情要交给专业的人来做。需求建议在XX企业集团信息网构建一个良好的安全系统的时候我们要有责任建议XX企业集团不要忽略安全公司所提供的前期、中期、后期所需的各种保障服务。一一一XX企业网络安全项目解决方案51XX企业防火墙解决方案511XX企业防火墙的部署根据XX企业集团系统的安全现状和风险分析，我们在该网中建立防火墙子系统。有关建立防火墙子系统的目标、功能、位置、在下文中进行详细说明。信息化的前提就是建立起完善的信息保障体系，防火墙在信息保障体系中对网络行为进行有效访问控制，对保证网络访问行为的有序性起到了至关重要的作用，防火墙体系的建立直接关系到了系统能否正常运行，体系是否完善；关系到了系统是否能够对非法访问进行有效的防范。在XX企业集团网络系统中我们建立防火墙子系统的主要目标逻辑隔离XX企业集团系统内网与INTERNET；保护两台重要的ERP服务器；对棒材和炼钢生产子网进行防护；对炼钢大高炉生产子网进行防护；对矿业公司和二化子网进行防护；对电话站专网进行防护。以上这些专网和生产子网他们和XX企业集团内网之间都需要进行访问控制。我们建议在XX企业集团内网和INTERNET接入设备之间配置一台天融信网络卫士千兆防火墙NGFW4000UFVPNE，作为访问控制设备。通过此设备除了进行访问控制而且还与远端的分支机构建立隧道，在远端北京分公司和北京库房也配置了天融信的VPN网关。对于XX企业移动的用户建议在单台计算机或笔记本上安装天融信VPN客户端软件，同样可以与总部的NGFW4000UFVPNE建立隧道，实现数据的安全传输。拓扑结构如下图所示由于XX企业集团ERP系统承载着企业大量的重要数据信息，因此必须通过防火墙的访问控制过滤技术对非授权的用户进行严格地控制和防护。若严格地采取物理隔离措施，固然可以做到系统的访问控制绝对安全，但是对于通过间接的物理访问而造成的病毒危害则很难防范（病毒库很难及时升级），而且对整个信息系统的自动化和工作效率不能有效地保证。届时，可以通过防火墙系统开放ERP系统的许可访问权限，其他不相关地访问用户则被严格禁止。目前XX企业在整体网络安全防范的情况下，着重对ERP的服务器进行安全防护。建议在两台SUN服务器和核心交换之间部署防火墙，具体的连接方式如下图所示两台SUN的服务器做CLUSTER，共映射两个浮动IP，分别是应用和数据库，两台SUN的服务器互为备份。我们建议在SUN服务器和核心交换之间加入天融信的千兆防火墙NGFW4000UF，同时设定规则，只允许特定的ERP应用到达SUN服务器。经过在XX企业的测试，天融信的防火墙能够稳定应用在此网络结构下。其中，最重要的技术是目前在国内的防火墙当中只有天融信支持的SPANNINGTREE的算法。如上图所示，XX企业集团的核心网络是典型的二层备份方案，中心两台CATALYST6509核心交换机，之间启用TRUNK和FEC协议，下连的交换机通过双链路分别连接两台核心交换机，通过生成树协议实现备份。SOLARIS服务器也是通过两块网卡连接两台核心交换机，物理上，一块网卡是UP，另一块处于DOWN状态。SOLARIS服务器切换的原理是这样的，每个网卡各有自己的真实IP地址，两个网卡还虚拟出一个IP，此虚拟IP对外提供服务，如果服务器通过PING检测每个网卡的真实IP地址，如果不通，此网卡就变为DOWN，另一网卡为UP状态。如果不支持生成树协议，又要避免环路出现，普通的防火墙会采用如下图所示的连接方法（以一台服务器举例），每两个端口划分一个广播域，一台防火墙要划分两个广播域。如果断掉交换机与防火墙之间的连线，对于防火墙和服务器的连接状态依然正常，所以服务器没有相应的收敛算法能检测到这种状态的变化，不能相应的切换。对于天融信的防火墙由于支持SPANNINGTREE的算法，上图就可以变成下图的连接方法区别表现在支持SPANNINGTREE的算法的防火墙可以把四个端口配置成一个广播域，此时防火墙到交换机之间的切换通过生成树协议来实现，服务器到防火墙之间的切换通过SOLARIS服务器双网卡自身的机制来切换。这也满足了标书中要求的真正桥接的模式。棒材和炼钢生产子网建议配置两台天融信网络卫士百兆防火墙NGFW4000T、矿业公司和二化子网建议配置一台天融信网络卫士百兆防火墙NGFW4000T、电话站专网建议配置一台天融信网络卫士百兆防火墙NGFW4000T。炼钢大高炉生产子网配置天融信单模千兆防火墙NGFW4000UF。512XX企业防火墙的作用防火墙对内网用户一经授权便能够采用任何现有的或新出现的网络技术访问INTERNET获取所需要的信息和服务；防火墙可以防范各种网络攻击，能够查找到攻击的来源和类型，能够对这些攻击进行反应；对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的影响；抗DOS/DDOS攻击拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DOS/DDOS攻击；防止入侵者的扫描大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，并截断这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段；防止源路由攻击源路由攻击是指黑客抓到数据包后改变数据包中的路由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击；防止IP碎片攻击IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包，从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，从而防止了IP碎片攻击；防止ICMP/IGMP攻击许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则，禁止ICMP/IGMP数据包的通过防火墙，保证系统的安全；阻止ACTIVEX、JAVA、JAVASCRIPT等侵入防火墙能够从HTTP页面剥离ACTIVEX、JAVAAPPLET等小程序及从SCRIPT、PHP和ASP等代码检测出危险的代码，也能够过滤用户上载的CGI、ASP等程序；其他阻止的攻击通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击（例如通过配置规则禁止访问/WINNT/SYSTEM32/CMDEXE/可以防止WINDOWNT/2000的UNICODE漏洞以及其他CGI漏洞攻击/CGIBIN/PHF、CGIBIN/COUNTCIG、_VTI_PVT/SERVICEPWD、CFDOCS/EXPEVAL/OPENFILECFM等）、和一些病毒的攻击（例如禁止DEFAULTIDA可以防止红色代码的攻击）；提供实时监控、审计和告警通过防火墙提供对网络的实时监控，当发现攻击和危险代码时，防火墙提供告警功能；52XX企业入侵检测方案保护边界安全的有效的监视机制包括基于网络的入侵检测系统（IDS）、脆弱性扫描（安全服务）、病毒检测等。首先我们建议在网络出口处和重要网段部署天融信千兆入侵检测NGIDSUF。在基于TCP/IP的网络中，普遍存在遭受攻击的风险。除了恶意的攻击外，非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为（如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务）。一旦入侵被检测到，会引发某种响应（如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击）。利用防火墙技术，经过精心的配置，通常能够在内外网之间提供安全的网络保护，降低网络安全风险。但是，存在着一些防火墙等其它安全设备所不能防范的安全威胁，这就需要入侵检测系统提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等，来保护XX企业集团局域网的安全。建议在核心交换机上对INTERNET的接口和未来的应用服务器的接口做流量映射，配置天融信网络卫士的入侵检测NGIDSUF。入侵检测是防火墙等其它安全措施的补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时检测。除了入侵检测技术能够保障系统安全之外，下面几点也是使用入侵检测的原因（1）计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁，并对攻击者进行惩罚，有助于上述目标的实现，并对那些试图违反安全策略的人造成威慑。（2）入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术，能够对大量系统进行非授权的访问，尤其是连接到XX企业集团局域网的系统，而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度，但是很多情况下这是不能避免的很多系统的操作系统不能得到及时的更新有的系统虽然可以及时得到补丁程序，但是管理员没有时间或者资源进行系统更新，这个问题很普遍，特别是在那些具有大量主机或多种类型的软硬件的环境中。正常工作可能需要开启网络服务，而这些协议是具有漏洞，容易被攻击的。用户和管理员在配置和使用系统时可能犯错误。在进行系统访问控制机制设置时可能产生矛盾，而这将造成合法用户逾越他们权限的错误操作。（3）当黑客攻击一个系统时，他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析，如果一个系统没有配置入侵检测，攻击者可以自由的进行探测而不被发现，这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测，则会对攻击者的行动带来一定难度，它可以识别可疑探测行为，阻止攻击者对目标系统的访问，或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。（4）入侵检测证实并且详细记录内部和外部的威胁，在制定网络安全管理方案时，通常需要证实网络很可能或者正在受到攻击。此外，攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。（5）在入侵检测运行了一段时间后，系统使用模式和检测问题变得明显，这会使系统的安全设计与管理的问题暴露出来，在还没有造成损失的时候进行纠正。（6）即使当入侵检测不能阻止攻击时，它仍可以收集该攻击的可信的详细信息进行事件处理和恢复，此外，这些信息在某些情况下可以作为犯罪的佐证。总之，入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中正在发生的各种活动，需要在攻击到来之前发现攻击行为，需要识别异常行为，需要有效的工具进行针对攻击行为以及异常的实时和事后分析。“知情权是网络安全的关键”，这使得入侵检测成为其它许多安全手段，如安全网管系统的基础。53XX企业漏洞扫描解决方案大多数的操作系统和数据库管理系统存在一定的安全漏洞，需要不断安装和升级安全补丁。同时我们也注意到，许多安全侵害并不是由于系统产品本身存在安全弱点，而是由于系统没有正确地安装使用或安全规则没有建立并执行。甚至在一个正确的系统配置中，某些设置也可能被意外或故意的改动。基于以上原因，应安装系统漏洞扫描软件，帮助管理员及时发现系统中的安全漏洞和安全隐患，并提供安全决策分析、安全补救建议和措施，减少系统安全风险。系统漏洞扫描软件应能扫描操作系统、数据库管理系统的安全漏洞。它包括了网络漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等多项功能，全面帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。该系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的扫描系统报告系统，以及方便的在线升级功能。我们在XX企业网络安全的项目中配置一台榕基漏洞扫描系统。54XX企业防病毒解决方案病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系统是XX企业集团安全体系建设的重要任务。目前主要采用病毒防范系统解决病毒查找、清杀问题。541网络版防病毒解决方案根据XX企业集团网络结构和办公系统计算机分布情况，病毒防范系统的安装实施要求为具备实时防护、计划扫描和手动扫描的功能；具备对各种常用格式的压缩文件、包括多重压缩文件的扫描功能；感染源和感染文件的隔离功能，提供对病毒感染源的网络连接阻断和隔离功能，并且记录感染源的用户信息。对无法清除病毒的感染文件进行隔离；查病毒的效率。在性能要求比较高的服务器上能够实现增量方式的查病毒方式，也就是仅仅扫描那些上次扫描过以后有变动的文件；应急恢复功能，提供应急措施，对系统引导区进行应急恢复；集中监控、重点管理的能力，防病毒管理软件对运行在WINDOWSNT/2000/98/95/ME以及其他平台防病毒软件的集中监控管理功能。对于关键的服务器具有实时的病毒活动参数监控方法；防病毒策略的配置管理，防病毒策略的统一配置管理，能根据不同的防病毒需求分别制定和实施不同的防病毒策略。防病毒管理软件具有分组（域）管理客户端防病毒策略和调度相关任务执行的能力；能够从多层次进行病毒防范，从服务器到客户机都能有相应的防毒软件提供完整的、全面的防病毒保护。网络防病毒产品是一个比较基础而且成熟的安全产品，在本方案没有网络版防病毒进行过多描述，我们推荐趋势科技的网络版防病毒系统，覆盖XX企业1000个计算机节点和30多台服务器。542网关防病毒解决方案天融信网络卫士过滤网关作为一个专门的硬件防病毒设备，只要安装在XX企业网络的入口处，就可以保护局域网局域网免受各类病毒，木马的和垃圾邮件的干扰。网络卫士过滤网关实时检查进入企业网络的数据流，当网关检测到病毒时，它会根据相应的策略来处理病毒和染毒文件，保护企业内部的服务器和工作站设备。产品特点实时病毒过滤网络卫士过滤网关对通过网关设备的数据流进行实时检测，过滤数据流中的病毒、蠕虫和垃圾邮件等，阻止它们进入企业网络。即插即用的透明接入方式网络卫士过滤网关采用即插即用的思路设计，以透明网桥方式部署在企业网络中，无需改变企业内部的网络配置，从而使安装工作变得非常简单。一旦部署完成，网络卫士过滤网关就开始对企业网络进行病毒防护，保障网络不受病毒侵害。全面的协议保护网络卫士过滤网关对SMTP、POP3、IMAP4、HTTP和FTP等应用协议进行病毒扫描和过滤，有效地防止可能的病毒威胁。高性能网络卫士过滤网关构建在高性能的硬件平台上，采用高效的扫描算法，最大限度地提高过滤效率，提供优异的处理性能。内嵌的内容过滤功能网络卫士过滤网关支持对数据内容进行检查，可以采用关键字过滤，URL过滤等方式来阻止非法数据进入企业网络，同时也支持对JAVA等小程序进行过滤等，防止可能的恶意代码进入企业网络。防垃圾邮件功能网络卫士过滤网关采用业界领先的黑名单技术实时检测垃圾邮件并阻止其进入企业网络，为企业节省宝贵的带宽。防蠕虫攻击网络卫士过滤网关可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止企业网络因遭受蠕虫攻击而陷于瘫痪。自动在线升级网络卫士过滤网关可以按照管理员设定的更新策略自动连接到天融信公司的升级服务器，升级最新的病毒库，保证企业网络得到最有效的保护。友好的管理界面网络卫士过滤网关采用基于WEB的管理界面，用户只需打开浏览器，就可以方便地通过HTTPS协议对过滤网关进行有效管理。完善的日志统计功能网络卫士过滤网关提供完整的病毒日志、访问日志和系统日志等记录，并可根据日志数据生成多种格式的统计图形化统计报表，形象直观，方便管理员的管理工作。强大的监控功能网络卫士过滤网关提供强大的监控功能，可以监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等，极大地方便管理员对过滤网关进行监控。在本方案中，防病毒部分建议在趋势网络版防病毒的基础上配置防病毒网关。具体在XX企业集团与INTERNET接口处部署天融信防病毒过滤网关NGFGE55XX企业安全管理系统解决方案XX企业集团网络安全管理平台建议采用北信源的内网安全管理系统和北信源网络运行安全保障系统两个产品的模块组合成XX企业的网络安全管理平台。网络安全管理平台由五个子功能模块组成集中报警中心、网络管理系统、关键主机监控系统、数据流分析模块、可扩展模块；各子模块可以互相配合，以维护企业内部网络工程的相关项目正常运行。集中报警中心集中报警中心在同一控制平台实现对各个安全和网络设备及其他设备的集中报警管理，它可以增强企业内部网对相关报警信息的处理效率和快速反应能力，使报警信息可及时、妥善的得到有效处理，使相关损失减少到最低点。通过对各类异常情况进行集中收集和统一报警，并收集、汇总和管理网络中各相关安全和应用设备信息的各类相关信息，并可通过对相关信息的综合分析，及时发现系统运行中的安全问题和隐患，并提出改进措施。事件集中报警处理中心汇总所有安全平台上的组件事件报警并将报警按组件种类、事件报警级别分类，同时支持短信、声音、邮件、图形等报警。同时，报警中心自动把各种报警信息汇总成为3个高、中、低三个等级，显示各类发生事件的名称和发生事件设备名称、IP、MAC等信息，以便第一时间发现报警源头和类型，发现对网络危害最大的报警信息，以最快速度妥善处理事件，从而在最大程度上增强系统管理员对于网络突发事件的快速反应能力。集中报警处理中心还承担上下级报警，从而传递职能实现重要事件及时报警及向上级汇报，为将来的网络扩展做好了准备。安全报警处置中心的报警方式1声音报警2网页发布3电子邮件报警4电话报警5发送广播消息6其它报警安全集中汇总分析模块随着人们对于网络安全的重视，网络中的安全系统复杂程度和数量不断增加，其管理的复杂程度和难度也越来越大。北信源经过多年努力，开发出了独有的技术，可不用第三方厂商提供相关上报数据或接口，直接获取其安全系统报警和统计数据，并对其进行汇总，按照安全策略的需要进行取舍；此技术的使用可大大减少相互间的协调工作，提高工作效率，同时减少工作的复杂程度。网络中具体可能有大量的网络系统应用，以保障网络功能