xxx审计局网络安全解决方案

xxx审计局网络安全解决方案xxx审计局网络安全解决方案2016-2-25 - 6 -目 录1 网络现状22 需求分析33 解决方案4 1 网络现状XXX审计局，位于海南省XXX市辖区麒麟巷43号，交通方便，作为主管全市审计工作的市政府工作部门。贯彻执行国家关于审计工作方面的法律、法规、规章和政策；负责对市本级财政收支和法律法规规定属于审计监督范围的财务收支的真实、合法和效益进行审计监督；对审计、专项审计调查和核查社会审计机构相关审计报告的结果承担责任，并负有督促被审计单位整改的责任。制定并组织实施全市审计工作发展规划，制定并组织实施年度审计计划；参与起草财政经济及其相关的法律法规草案；对直接审计、调查和核查的事项依法进行审计评价，做出审计决定或提出审计建议。根据上述职责，市审计局内设9个科级职能机构：（一）办公室（二）行政事业审计科（三）财政审计科（四）企业审计科（五）农业与资源环保审计科（六）经济责任审计室（七）法规科（八）固定资产投资审计科（九）派出审计室随着计算机和网络技术的飞速发展，信息产业已成为人们生产和生活中的重要组成部分。XXX审计局现有组网简单，安全性能低，网络出口带宽小如下图：2 需求分析XXX审计局现有组网简单，安全性能低，网络出口带宽小、网络地域隔离导致其分部无法安全地访问本部服务器资料等因素已经制约了该局日常的办公需求。急需对其网络进行升级改造。随着互联网建设的快速发展，企业对网络的依赖性越来越强，网络应用也是日新月异。同时，越来越多的节点连入了internet，这就给企业发展提出了网络的安全和可运营性提出了新的要求，在网络安全方面如何能检测预防病毒，网络攻击，实现网络的安全？在运营方面，如何实现灵活运营，如何防止不法用户享用网络资源？这些都是摆在我们面前不可忽视的安全问题，如何保证企业内部网络不被攻击和破坏，已经成为企业需要解决的重大问题，也是当代网络管理的重要任务。为了更好的保护企业内部网络的运行，我们必须清楚地认识网络运营中存在的各种安全风险，以保证我们能够对网络系统的安全不断的完善。经过细致的分析，我们觉得在企业网中经常存在如下安全风险：1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁；2) TCP/IP协议本身的漏洞往往会导致多种的攻击行为；3) Internet网络用户对企业网存在非法访问或恶意入侵的威胁；4) 来自企业网络内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网。5) 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫（震荡波和冲击波等）、病毒等程序带入校园内网；6) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；由上面的风险分析，我们可以注意到网络中存在着多种多样的安全风险，这些风险最终有可能就成为了安全威胁，造成更大的损失。XXX审计局目前在出口上尚未部署任何安全网络设备；对内网进行访问控制和过滤非法访问。3 解决方案根据对XX审计局网络的结构和安全需求分析：一、建议采用防火墙设备进行边界隔离和访问控制，制定严格的访问策略，限制未经过许可的访问，建立VPN隧道让外网合法用户安全访问内网资源。 二、采用移动互联网专线，增加网络出口带宽，提高办公效率。通常我们在设计防火墙部署方案的时候，主要根据网络的主体结构，和网络中不同的应用系统，将网络从逻辑上划分为多个安全域，每个安全域都承担不同的工作，完成不同的任务。防火墙则被部署在安全域之间，根据预先制定的安全策略，控制哪些数据流可以穿越防火墙，而哪些数据流被阻挡在防火墙之外。这里体现出两个关键因素，一是安全域的划分，利用防火墙形成安全域之间的逻辑隔离，二是安全策略的指定，利用防火墙进行有效的访问控制。根据XX审计局网络的特点，我们从结构上，将其内网划分为：服务器区跟办公区； 设备选型：方案中我们推荐使用网康的下一代NF-1000-10防火墙，1U硬件，可支持板载6个GE（含1个MGT和1个HA），标配4个GE工作网口、IPS吞吐量：50Mbps，应用吞吐量：100Mbps，IPSec吞吐量：80Mbps；支持IPSecVPN、流量管理、应用控制、用户管理。主要参数：设备类型下一代防火墙并发连接数200000网络吞吐量400Mbps用户数限制400网络端口4电千兆+1管理口+1HA口控制端口2USB接口1RJ45VPN支持IPsecVPN，支持AH、ESP、IKE、DES、3DES、AES、MD5、SHA算法，NAT穿越、数字证书入侵检测端口扫描防护、SynFlood、ICMPFlood、UDPFlood攻击防护、TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等攻击防护管理流量管理：支持多级通道、虚拟线路、基于时间段的流量控制和保障用户管理：支持触发式WEB认证、LDAP、Radius、POP3、IP/MAC绑定认证；支持AD、CAMS、SAM，PPoE单点登录、多点登陆、用户有效期、页面跳转、用户导入、组织结构、终端类型、用户状态一般参数电源100W外形设计1U产品尺寸44033044mm其他性能网络路由：静态ARP、ARP代理、域名解析、PPoE、D