市财政局安全解决方案(doc15页).doc

市财政局安全解决方案提供商深圳市伊登软件有限公司 2008年5月 Powered by Eden Information Service目录一、市财政局网络现状11、市财政局网络安全的需要1二、市财政局网络安全整体规划41、网络安全目标42、安全方案设计原则4三、市财政局网络安全方案51、产品简介52、产品主要优势73、策略管理服务器9四、SEP终端安全解决方案硬件需求121、SEP运行要求（单独安装最小配置要求）12五、伊登公司的服务资质证明13六、结束语13一、市财政局网络现状1、市财政局网络安全的需要随着信息科技的迅速发展，Internet已成为全球重要的信息传播工具。全球化的网络结构已经打破了传统的地域限制和办公方式。今天，跨区域工作、共享网络资源、电子商务、远程教育等已经是企业、教育行业和个人都不可避免的选择。但是，它们的本质都是建立在Internet基础上的，因此在为我们带来巨大经济和社会效益的同时，Internet的负面效应也日益显现出来，那就是Internet的安全性问题。Internet的复杂性给网络安全保护带来巨大的挑战，政府、企业、教育等行业必须解决如何安全的连接Internet，如何保护重要信息免受病毒、黑客、竞争者和内部不满人员的破坏，如何安全的连接其他组织和分支机构，如何确保仅通过单点认证就能够进行信息访问等问题。只有构建一个安全的网络平台，政府、企业、教育等行业才能够顺利的开展活动，才具有旺盛的生命力。从政府、企业、教育的整体安全性考虑，无论是有意的攻击，还是无意的误操作，都将给政府、企业、教育网络带来不可估量的损失，因此部署一个政府、企业、教育范围的整体安全框架比单一的边界防护和Internet防御更加有效和全面。这种安全框架必须既能保护重要信息资源，也能满足开展网络活动的需要。市财政局网络安全现状市财政局内部网络内部网络由多个网络组成，设置了客户机和服务器，内部网络均为100M带宽，这样高性能的内部局域网络在进行数据交换，相互访问，以及向外部INTERNET进行访问时，都有受到病毒感染和外部攻击的可能，给市财政局带来了严重的安全隐患。市财政局当前网络结构如下：市财政局网络目前并没有做任何相关的安全保护措施，存在很大安全隐患，这些安全隐患主要包括网络病毒泛滥、来自网络内部的黑客攻击、信息丢失、服务被拒绝等等，一旦发生网络病毒或攻击事件对整个市财政局网络而言都是致命性的。针对市财政局网络的结构及特点我们确定了以下几个必须考虑的安全防护要点：1、 网络病毒的防范在网络中，病毒已从传统的存储介质（软、硬、光盘）感染方式发展为以网络为主要传播途径、以电子邮件为主要传播载体的病毒感染方式。这种病毒感染方式其传播速度极快、破坏力更强，据统计一个新病毒从一台计算机发出仅六个小时就能感染全球互联网机器，而且每天都有十几种新病毒出现，全世界每个月有将近四百五十种新的病毒出现。网络一旦被病毒侵入并发作，将会对重要数据的保密性、完整性、可用性以及网络环境的正常运行带来严重的危害。病毒防范是计算机网络安全工作的重要环节之一。2、 设备的访问控制现代企业只有保护其最重要的资产才能维持和提高公司的收入和核心竞争力。企业信息的数字化科技给企业带来了很大的便利，企业的信息资产、产品设计资料、企业策略、价格、成本、交易秘密以及其它各种企业机密信息都能很方便地被雇员使用，但同时也带来了企业机密外泄的危险。目前企业防范机密外泄的主要办法通过应用防火墙、加密、密码保护、保密协议以及员工行为规范来实现，但调查资料表明超过70%的企业机密外泄是由内部员工造成的，而以上这些方法都无法真正地保证企业信息的安全。通过限制移动存储设备和应用程序的使用防止内部文档被拷贝出去，可以有效地防范企业信息资产被盗用二、市财政局网络安全整体规划1、网络安全目标l安全性，防止病毒、黑客对网络系统的破坏；l可靠性，保证网络数据的安全性，将网络系统风险降到最低；l稳定性，在异常访问情况下，保证系统正常运行；l保密性，在网络管理传输时数据不被修改和不被窃取；l实时监控，规范网络访问行为，正确确定安全策略及科学的安全风险评估；l良好的可扩展性，保证系统满足提供其他增值服务的需要。l优质服务，为客户不间断（7*24）全天候、多方位的满意服务。2、安全方案设计原则综合性、整体性从市财政局网络系统的整体角度考虑安全项目，制定有效、可行的安全措施，建立完整的网络安全防范体系。一致性提供的安全解决方案应与市财政局网络的安全需求相一致，并适当提出有利于市财政局网络发展的安全建设建议。易用性市财政局网络安全解决方案应该避免造成网络结构的复杂，避免操作与维护的复杂。提供的安全管理工具具有友好的图形化(GUI)管理界面。可行性、可靠性、安全性采用安全系统以后，不会对原有的网络和应用系统有大的影响。在网络和应用系统正常运行的前提下，提高市财政局网络系统的安全性。三、市财政局网络安全方案根据市财政局的需求：建议在服务器部署sep服务端，并在研发部的工作站上安装sep客户端。网络架构初步订制成功，之后只需要制定一些简单的策略便能实现防病毒与网络设备的访问控制。如防止存储设备将内部文档被拷贝出去，且允许鼠标，摄像头，键盘，办公使用的usb-key等usb接口的设备正常使用。使企业的安全性得到了进一步的提高。1、产品简介Symantec Endpoint Protection 将 Symantec AntiVirus与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。2、产品主要优势安全全面的防护 集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。主动防护 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。简单单一代理，单一控制台 通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加 SymantecNetwork Access Control 支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用 Symantec Network Access Control 功能。易于部署 由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和 IT 投资进行操作，因此，Symantec Endpoint Protection 易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。降低总拥有成本Symantec Endpoint Protection 在一个产品中提供多种基本端点安全技术的优势，可以降低总体拥有成本，让企业能够减少管理开销以及管理多个端点安全产品引发的成本。该产品还可以利用现有 IT 投资。 减少管理开销 减少管理多点解决方案需要的人手和工作量 降低成本 减少管理端点安全、用户和网络停机时间以及补救工作的相关工作量 利用现有 IT 投资 可与领先的软件部署工具、补丁程序管理工具、SIM 工具、数据库和操作系统一起工作最全面的端点安全Symantec Endpoint Protection 将一流的防护机制无缝结合到一个代理中，可提供最全面的端点安全： 防病毒软件/反间谍软件 网络威胁防护 主动威胁防护此外，Symantec Endpoint Protection 支持进行网络准入控制。可以启用该代理的网络准入控制功能，让企业能够确保各个端点符合公司的安全策略，然后为其授予网络访问权限。通过使用 Symantec Endpoint Protection，将无需在企业的端点设备上部署其它网络准入控制软件。防病毒和反间谍软件： 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。网络威胁防护：提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护：针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。单个代理和单个管理控制台：在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证） 通过单个管理控制台即可进行全面管理。统一、有效的安全策略管理统一、有效的安全策略管理是Symantec Endpoint Protection从企业安全管理角度提供的增强企业网络安全的解决方案。在Symantec Endpoint Protection中为了克服企业网络管理中存在的问题，如整个企业范围内安全策略不统一、企业任何安全管理策略的实施不得不牵涉到几乎整个员工队伍混乱状态、企业安全策略由于种种原因而无法真正的落实、企业对某一突发安全事件的响应无法满足企业紧急事件响应的时效要求等，将企业网络安全管理技术与企业网络端点防护技术有效结合，针对企业网络管理中各种现实的、紧迫的问题进行总体设计，引入多种独特的安全管理技术，实现满足企业网络安全管理要求的全面解决方案。通过Symantec Endpoint Protection提供的灵活的用户分组和策略设置功能，管理员可以有效管理企业内网不同用户身份的网络访问策略。管理员可以按照不同部门的不同网络应用需求配置相应规则，使得不同部门的用户只能在内网访问与其业务相关的应用和服务器，阻止所有的越权访问行为。3、策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务： 终端分组与权限管理 根据地理位置、业务属性等条件对终端进行分组管理 对于不同的组可以制定专门的组管理员，并进行权限控制策略管理与发布 自动防护策略 手动扫描的策略 病毒、木马防护策略、恶意脚本防护策略 电子邮件防护策略（包括outlook、lotus以及internet邮件） 广告软件防护策略 前瞻性威胁防护策略 防火墙策略 入侵防护策略 硬件保护策略 软件保护策略 升级策略策略配置界面四、SEP终端安全解决方案硬件需求1、SEP运行要求（单独安装最小配置要求）Sep Policy Manager硬件需求 Pentium III 900 MHz 或更高 512 MB RAM (或更高) 500 MB 可用硬盘空间 一张10/100M(或更高)以太网卡(安装有TCP/IP 协议)软件需求 Windows 2000 Server, Advanced Server 或 Data Center (SP1 或更高，推荐SP4) Windows 2003 Server (SP1 或更高) Internet Information Services 5.0/6.0 (安装有Web服务) Microsoft SQL 2000 client (可选)SQL Server数据库 (如不使用SPM内置数据库)硬件需求 Pentium III 900 MHz 或更高 512 MB 内存 安装SQL Server或后有500MB以上硬盘空间软件需求 Microsoft SQL 2000 + SP3或更高五、伊登公司的服务资质证明深圳市伊登软件有限公司，作为华南地区著名的软件销售、技术服务供