网络信息安全解决方案.doc

项目：XXXX网络整体优化设计方案XXXX信息系统安全施工计划第63页内容第1章项目概述51.1项目背景51.2项目目的6第二章信息系统现状及需求分析72.1信息系统的状态72.1.1网络结构7的状态2.1.2信息系统状态72.2信息系统安全形势分析8第3章总体安全目标11第4章安全解决方案的一般框架124.1网络安全124.2系统安全134.3应用安全144.4数据安全14第5章安全解决方案的详细设计155.1网络安全建设165.1.1防火墙系统设计16防火墙系统部署的重要性16防火墙系统部署模式17防火墙系统部署的效果195.1.2网络入侵防御系统设计21网络入侵防御系统部署的意义21网络入侵防御系统部署模式22部署网络入侵防御系统23后取得的成果5.1.3病毒过滤网关系统设计25病毒过滤网关系统部署的重要性25病毒过滤网关系统部署模式27病毒过滤网关系统部署的效果285.1.4网络入侵检测系统设计30入侵检测系统部署的重要性30入侵检测系统部署模式315 . 1 . 5虚拟专用网系统设计33虚拟专用网系统部署意义33虚拟专用网系统部署模式345.2系统安全结构375.2.1集中安全审计系统的设计37集中安全审计系统部署的重要性37集中式安全审计系统部署模式38集中安全审计系统部署的效果395.2.2网络防病毒软件系统设计405.2.3终端管理系统设计42终端安全管理系统部署42终端管理系统部署的效果445.2.4信息安全管理平台设计47信息安全管理平台部署的重要性47信息安全管理平台部署模式48信息安全管理平台部署的效果485 . 2 . 5企业资源规划系统服务器冗余备份机制的设计505.3应用安全构造525.4数据安全结构52第六章XXXX信息系统安全建设管理体系建议556.1政策系列文件结构图556.2政策系列文件清单57第七章搬迁后的网络拓扑规划61第八章安全解决方案的整体实施效果63第九章一期安全实施的效果64缩写为了阅读方便，本文中提到的术语和缩写如下：缩写说明XXXX第1章项目概述1.1项目背景一、化学工业面临的挑战信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式，改变着国家和企业之间的生存和竞争环境。中国加入世贸组织后，中国企业正以诚信面对国际市场的全面竞争。形势要求我们加快采用现代信息技术、网络技术和现代管理方法改造和提升传统产业，促进产业优化升级。信息化是一个大战略。推进化工企业信息化不是政府想让我们做的事情，也不是政府出钱支持我们做的事情。提高竞争力、适应新经济、实现现代化是化学工业的内在要求。适应国际环境，融入全球经济，是化工企业的战略选择。企业信息化建设的新浪潮正在给中国化工企业的管理带来深刻的变化。众所周知，作为一个发展中国家，中国的工业化是一个不可逾越的过程。在这个快速发展的过程中，社会财富的快速积累必然导致资源大量消耗的矛盾。中国应该走新型工业化道路，减少资源消耗和环境污染是核心。由于国内需求的拉动和世界经济的影响，在新世纪初，化学工业进入了快速发展时期。在产能快速增长的同时，资源消耗过度、环境污染严重的化工行业势必面临各种资源、能源短缺和环境保护的双重压力。为了引导化学工业的可持续健康发展和循环经济的发展方向，化学工业必须采用工程科学技术，提高资源和能源的综合利用，减少环境污染，化挑战为机遇，使化学工业在新型工业化道路上健康稳步前进，坚持以信息化促工业化，以工业化促信息化，走出一条科技含量高的新型工业化道路。 经济效益好，资源消耗低，环境污染少，充分发挥人力资源优势，实现跨越式发展和可持续发展。第二，信息化是化工行业合理利用资源、实现可持续发展的重要途径。为了提高产品质量，减少废品和次品，降低成本，合理组织生产，综合利用能源，清洁生产，优化管理流程，最大限度地满足客户的个性化需求，中国化工需要以信息技术为手段，以管理创新、技术创新、制度创新为动力，改造落后设备，实现生产过程自动化和管理信息化。信息化为中国化工走新型工业化道路提供了重要机遇。特别是在资源的开发和利用中，利用先进的信息技术可以实现优化设计、制造和管理。通过对各种生产和消费过程的数字化和智能化实时监控，可以大大降低各种资源的消耗。对于中国化工企业来说，信息化是合理利用资源、降低资源消耗的重要途径。信息技术的应用也可以在化工企业生产管理的许多方面起到促进作用。例如，信息化可以为企业提供现代化手段，实现对水、电、煤、气、油、原料等各种资源的全面、实时、动态的监控和管理，确保企业的安全运行。能源信息管理系统和环境污染监测系统已在化工企业得到应用。数据库技术可以分析和预测这些资源的消耗并做出预警。网络和通信技术可以将远程数据采集点的资源消耗数据实时采集到信息系统中进行统计分析。通过产销系统和制造执行系统的运行，保证了产品质量，减少了废品和次品，生产由销售决定，材料由生产决定，库存压缩，资源配置合理，避免了能源和资源的浪费，提高了资源/能源的综合利用率；设备管理系统可以对设备检测点的维护状态进行动态管理，防止因设备维护不及时而造成的资源泄漏。智能仪器准确记录各种资源的使用情况等。信息技术已经广泛应用于化工企业的各个方面，并将发挥更大的作用。化工企业应积极利用信息技术在资源和环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。这是我们在缺乏资源和能源的情况下推进化学工业化进程的一个好办法。1.2项目目的根据与XXXX工程师的沟通XXXX网络系统目前由城市工厂网络和开发区工厂网络组成。这两个工厂由2M的专用线路连接起来。在开发区的工厂网络中，连接了一条10M带宽的互联网链路。链路信任80防火墙部署在互联网边界。局域网采用星形接入方式，以惠普5308XL交换机为核心交换节点。不同的虚拟局域网在核心交换机上按照办公楼、综合大楼、中央控制大楼等进行划分。还有一台单卡服务器直接连接到核心交换机。在城市工厂网络中，连接了带宽为100米的互联网链路。链接信任100防火墙部署在互联网的边界。局域网采用星形接入和华为6503交换机作为核心交换节点。目前，该网络包括一个财务系统服务器、一个企业资源规划系统(负责单位的购买、销售和存储)、一个企业资源规划系统数据备份服务器、一个文件服务器(共享方法)和一个用于外部分发的文件传输协议服务器。XXXX总共有300多台电脑。两家工厂采用星型网络模式和Vlan来防止网络间的恶意攻击和破坏。通过划分VLAN子网，减少了广播域，通过交换机将关键部门和其他部门或所有部门划分为不同的虚拟局域网，实现了部门间的逻辑隔离，避免了广播风暴的发生，防止了网络间的恶意攻击和破坏。提高交换网络的交换效率，保证网络的稳定性，提高网络的安全性。2.2信息系统安全形势分析XXXX信息化建设经历了从无到有、快速建立、逐步完善的过程。在团队建设、信息技术基础设施建设和应用系统开发方面取得了显著成绩。随着网络技术的不断发展，信息量的增加，网络规模的扩大，数据量和业务量的增加，网络安全建设已经滞后。并且随着业务和网络威胁的不断增长，XXXX的网络已经无法满足现代高威胁网络环境下的安全需求。现有的系统网络缺乏完整的安全保护系统。目前，该设备难以有效控制用户的上网，导致网络极易受到病毒感染。大部分网络带宽被与工作无关的应用程序长期占用，严重影响了机组的正常运行。互联网接入的内容无法得到有效控制和审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、虚拟专用网系统等系统的应用还比较少，网络安全管理系统还没有形成。此外，在合理有效地配置和使用已部署的产品和系统以充分发挥其安全保护功能方面，以及在快速有效地应对突发的内外恶意攻击和其他非常规安全事件所需的技术和管理措施方面，还需要做进一步的工作。根据充分的调查研究，XXXX的信息系统安全需求包括以下四个方面：1.网络安全性1城市工厂区和开发区工厂区分别使用各自的互联网链接，在每个互联网边界部署一个防火墙系统。这两个防火墙分别为XXXX两家工厂的用户提供在线和外部应用服务。随着在线用户和应用服务的增加，防火墙的负载将越来越大，现有的防火墙可能成为网络瓶颈。在开发区厂区的一卡通服务器和客户端之间没有安全保护措施，客户端可以在服务器上执行任何操作。因为许多客户端可以访问互联网，所以它们极易受到特洛伊木马和病毒的攻击。客户端还可能感染或攻击服务器，影响服务器应用程序的正常使用，并造成不可估量的损失。因此，有必要加强用户对服务器的访问控制。同时，城市工厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户端也缺乏安全措施。对于向外部世界发布给用户的应用程序，如FTP服务器，也缺乏必要的安全措施。3缺乏异常流量、恶意流量监控、审计和防御机制。如今，网络上有大量的非法黑客和异常流量。监控异常流量可以帮助我们知道谁通过非法手段或渠道访问了我们的系统或网络，并及时了解网络的健康状况。通过这些信息，我们可以采取一些相应的措施来解决这个问题。我们无法在采取法律措施时提供依据和证据。4XXXX的海外办事处、商务旅行和其他移动用户需要与总部共享数据。目前，他们只能通过设置地址映射来访问公共网络的IP地址。由于海外办事处与移动用户和服务器之间的数据通信是通过公共网络进行的，因此在数据传输过程中无法实现数据加密，通过公共网络传输的业务数据和敏感信息也不会被非法窃取或篡改，通信双方身份的真实性也无法得到保证，从而保证了数据传输的安全性。2.系统安全性1随着XXXX网络系统的快速扩展，对终端管理系统的需求也在增加。一方面，随着XXXX网络应用规模的不断扩大，个人电脑、服务器和移动设备的数量迅速增加；另一方面，各种应用软件和补丁更新速度加快，企业内外的网络攻击日益猖獗。最终用户会遇到一些问题，如非法软件的未经授权安装、未经授权的IP地址更改、未经授权的硬件配置更改、非法访问互联网、非法互连等。然而，目前还没有有效的辅助管理工具，传统的手工操作模式仍在使用。没有发布和实施统一策略的机制。通过桌面安全监控、行为监控、系统监控和安全状态检测，实现局域网内桌面系统的管理和维护，有效保护用户系统安全和机密数据安全。2XXXX网络系统配备了大量的网络设备、安全设备、服务器、应用系统和数据库系统。这些系统将在工作过程中有针对性地记录各种网络操作日志。这些日志对于监控用户网络安全状况、分析安全发展趋势具有重要意义，是用户网络安全管理的重要依据。然而，由于每个网络安全产品一般都是独立工作、独立作战，生成的安全事件信息格式不同、内容不同、数量大，使得安全管理员很难对信息进行全面分析，无法准确识别和及时响应网络中的各种安全事件，从而直接影响整个安全防御系统的有效性能。3 ERP系统作为XXXX购销存应用系统，其数据关系到整个XXXX业务的运行，为了最大限度地保证业务的连续性，ERP系统服务器主机应采用可靠的冗余备份机制，以确保在线业务处理和数据访问过程不会因服务器系统故障而中断。在内网系统中，还没有一套完整的防病毒系统，这无疑为当前网络环境下的病毒入侵埋下了巨大的隐患。5 .缺乏信息安全管理平台，通过信息安全平台重点实时了解设备、服务器运行状态和系统资源使用情况，大大提高运行维护效率，防止因管理人员不及时的疏漏而造成的问题。网络中的产品之间没有关联，给管理带来一些困难，也难以充分发挥整体效果。此外，在使用网络审计、入侵检测和病毒监控等网络管理工具的过程中，现有的管理方法无法快速准确地定位被发现非法运行或感染病毒的计算机，也无法及时阻止有害攻击，快速发现入侵的设备和人员。3.应用安全目前，XXXX文件服务器是通过共享网络邻居来访问的。公司的所有用户都可以查看、下载、编辑和删除文件服务器共享的资源。文件服务器缺乏用户认证机制，文件服务器的数据缺乏安全性和保密性。此外，在使用网络邻居共享方法时，经常会出现客户端系统无法访问文件服务器的问题。通过网络邻居传输文件时使用netbios协议。然而，许多蠕虫利用netbios协议的端口扫描网络主机漏洞并传输病毒文件，导致病毒扩散到整个网络，最终导致系统崩溃、网络瘫痪和业务失败。4.数据安全1ERP系统作为XXXX购销存应用系统，其数据关系到整个XXXX业务的运营，其重要性不言而喻，目前企业资源规划系统的数据是通过网络备份到另一台服务器上的，使用硬盘作为数据备份存储介质具有较高的失败率，并且存在很大的数据