网络信息安全解决方案.docx

《网络信息安全解决方案.docx》由会员分享，可在线阅读，更多相关《网络信息安全解决方案.docx（64页珍藏版）》请在优知文库上搜索。

1、XXXX信息系统安全建设方案目录第1章项目概述51.1 项目背景51.2 项目目的6第2章信息系统现状及需求分析62.1 信息系统现状62.1.1 网络结构现状62.1.2 信息系统现状72.2 信息系统安全现状分析8第3章总体安全目标10第4章安全解决方案总体框架114.1 网络安全114.2 系统安全124.3 应用安全134.4 数据安全13第5章安全解决方案详细设计145.1 网络安全建设165.1.1防火墙系统设计16防火墙系统部署意义16防火墙系统部署方式16防火墙系统部署后达到的效果185.1.2网络入侵防御系统设计20网络入侵防御系统部署意义20网络入侵防御系统部署方式21网络

2、入侵防御系统部署后所达到的效果225.1.3病毒过滤网关系统设计24病毒过滤网关系统部署意义24病毒过滤网关系统部署方式25病毒过滤网关系统部署后达到的效果27网络入侵检测系统设计28入侵检测系统部署意义28入侵检测系统部署方式29系统设计32VPN系统部署意义32VPN系统部署方式335.2 系统安全建设35集中安全审计系统设计35集中安全审计系统部署意义35集中安全审计系统部署方式36集中安全审计系统部署后达到的效果37网络防病毒软件系统设计39终端管理系统设计40终端安全管理系统部署40终端管理系统部署后达到的效果42信息安全管理平台设计45信息安全管理平台部署意义45信息安全管理平台部

3、署方式46信息安全管理平台部署后的效果46系统服务器冗余备份机制设计475.3 应用安全建设505.4 数据安全建设50第6章XXXX信息系统安全建设管理制度建议536.1 策略系列文档结构图536.2 策略系列文档清单55第7章搬迁后网络拓扑规划58第8章安全解决方案整体实施效果60第9章第一期安全实施效果62缩写为了方便阅读，特将文中提及的术语及缩写列示如下:缩写解释XXXX项目概述1.1 项目背景一、化工行业面临的挑战信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式，改变着国与国之间、企业与企业之间的生存和竞争环境。加入WTCt后，我国企业正直接地、全面地面对国际市场的全方位

4、竞争。形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业，推动产业的优化和升级。信息化是个大战略。推进化工企业信息化，不是政府要我们做或者政府出钱支持我们做我们才做的事情，它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要，是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。众所周知，中国作为发展中国家，工业化进程是不可逾越的一个过程。在这个高速发展的过程中，快速的积累社会财富则必然带来资源大量消耗的矛盾，中国要走新型工业化道路，降低资源消耗、减少环境污染是核心。由于国内需求的拉动和世界

5、经济的影响，新世纪伊始，化工工业进入了高速发展时期，在产能快速增长的同时，资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展，化工工业走循环经济的发展方向，必须采用工程科学技术，提高资源、能源综合利用，减少环境污染，把挑战转化为机遇，使化工工业在新型工业化道路上健康稳步迈进，”坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子”，实现跨越式发展和可持续发展。二、信息化是化工工业合理利用资源，实现可持续发展的重要途径中国化工工业为了提高产品质量

6、、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求，需要以信息技术为手段、以管理创新、技术创新、制度创新为动力，改造落后装备，实现生产过程自动化、管理信息化。信息化为中国化工工业走新型工业化道路提供了重要机遇。特别是在资源开发和利用中，使用先进的信息技术能够实现优化设计、制造和管理，通过对各种生产和消费过程进行数字化、智能化的实时监控，大大降低各种资源的消耗。对于中国化工企业来说，信息化是企业合理利用资源、降低资源消耗的重要途径。应用信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如：信息化能够为企业实现全面的、实时的、动态的监

7、测和管理各种资源提供现代化手段，这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料，能源信息管理系统、环保污染监控系统已经在化工企业得到应用；数据库技术可以对这些资源消耗量进行分析预测并作出预报预警，网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中，进行统计分析；通过产销系统和制造执行系统的运行，保证产品质量，减少废次品，以销定产，以产定料，压缩库存，合理资源调配，避免能源和资源的浪费，提高资源/能源的综合利用率；设备管理系统能够对设备的检点维修状况进行动态管理，防止设备未及时检修造成资源的跑冒滴漏现象发生；智能化仪表将各种资源使用情况准确记录下来等等，信

8、息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径。1.2 项目目的本方案依据与XXXX工程师的交流沟通，将对XXXX网络做出系统的全面优化设计。其目的在于构建XXXX整体网络安全体系架构，部署网络安全策略，保证XXXX的网络安全、系统管理都能有机整合。第2章信息系统现状及需求分析2.1 信息系统现状2.1.1 网络结构现状XXXX信息系统现有网络拓扑图如图1.1所示：市区厂区网络图1.1XXXX信息现有系统网络拓扑图*s

9、2.1.2 信息系统现状XXXX网络系统目前市区厂区网络和开发区厂区网络组成，两个厂区使用2M专线进行互联。在开发区厂区网络中，接入一条IOM带宽的互联网链路，互联网边界部署了一台LinkTrust80防火墙，局域网网络使用星形接入方式，使用HP5308XL交换机作为核心交换节点，根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中，接入一条100M带宽的互联网链路，互联网边界部署了一台LinkTrust100防火墙，局域网网络使用星形接入方式，使用华为6503交换机作为核心交换节点，目前网络中有财务系统服务器、ERP系统（负责单位

10、进销存）服务器、ERP系统数据备份服务器、文件服务器（采用共享方式）以及作为对外发布的FTP服务器。XXXX共有三百多台电脑，两个厂区分别采用星形组网方式，使用Vlan来防范网络间恶意攻击与破坏。通过划分VLAN子网，缩小了广播域，通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内，实现部门间的逻辑隔离，避免了避免了广播风暴的产生，也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率，保证网络稳定，提高网络安全性。2.2 信息系统安全现状分析XXXX信息化建设从无到有，经历了迅速建立与逐步改善的过程，在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩，

11、随着网络技术的不断发展，信息量的增加，网络规模的扩大，数据量，业务量的增加，网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多，XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制，导致网络极易感染病毒，网络大部分带宽被与工作无关的应用长期占用，严重影响单位的正常业务的运行。对互联网访问的内容无法实现有效的控制及审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少，网络安全管理体系还未形成。另外针对已经部署的产品和系统合理有效的配置使用，使其

12、充分发挥其安全防护作用方面，以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面，都还需要做进一步的工作。根据充分的调查研究，XXXX的信息系统安全建设的需求有以下四个方面：1、网络安全v1市区厂区和开发区厂区分别使用各自的互联网链路，每条互联网边界均部署了一台防火墙系统。这两台防火墙作分别提供XXX新个厂区的用户上网和对外发布应用服务，随着上网用户和发布应用服务的增多，防火墙的负载将越来越来大，现有防火墙可能成为网络瓶颈。v2开发区厂区的一卡通服务器和客户机间没有安全防护措施，客户机对服务器可以进行任何操作。因为很多客户机可以上网，极易感染木马、病毒，客户机

13、也可能会感染或攻击服务器，影响服务器应用的正常使用，造成难以估计的损失。因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。对外发布供外网用户使用的FTP服务器等应用也缺乏必要的安全保护措施。v3缺乏异常流量、恶意流量监控、审计和防御机制，现如今网络上存在着大量的不法黑客以及许多异常流量，对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络，及时了解网络的健康状态，通过这些信息可以采取一些相应的手段去解决问题，我们在采取法律手段时也无法提供了依据和证据。v4XXXX驻外办事处、出差等移动用户

14、需要和总部实现数据共享，目前只能通过设置地址映射访问公网IP地址，由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的，数据传输时无法做到数据的加密，无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改，无法确保通信双方身份的真实性无法保证数据的传输安全。2、系统安全v1随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加。一方面,个人电脑、服务器和移动设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加；另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗；终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访

15、问互联网、非法内联等问题的存在，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式，缺乏采用统一策略下发并强制策略执行的机制，进行桌面安全监管、行为监管、系统监管和安全状态检测，实现对局域网内部桌面系统的管理和维护，能有效保护用户系统安全和机密数据安全。v2XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析安全发展趋势，有着重要的意义，是用户网络安全管理的重要依据。但是，由于各网络安全产品一般独立工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。v4在内网系统中，还没有配置一套整体的防病毒体系，对于现的