網(wǎng)絡安全解決方案設計范本

網(wǎng)絡安全解決方案設計Clearobjectives,matters,methodsandrecordprogress,soastomakeplanningdirectionconsistent,actioncoordinatedandorderly.姓名：___________________單位：___________________時間：___________________FS實用范本|DOCUMENTTEMPLATE編號：FS-DY-52159網(wǎng)絡安全解決方案設計使用備注：該資料可用于明確實施目標、 工作事項、實施方法和記錄實施進度， 最終使得總體規(guī)劃方向一致， 行動協(xié)調(diào)，進行有序。文檔可直接下載或修改， 使用時請詳細閱讀內(nèi)容。一、客戶背景集團內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心，采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團廣域網(wǎng)采用 MPLS-技術(shù)，用來為各個分公司提供骨干網(wǎng)絡平臺和接入，各個分公司可以在集團的骨干信息網(wǎng)絡系統(tǒng)上建設各自的子系統(tǒng)，確保各類系統(tǒng)間的相互獨立。二、安全威脅某公司屬于大型上市公司，在北京，上海、廣州等地均有分公司。公司內(nèi)部采用無紙化辦公， OA系統(tǒng)成熟。每個局域網(wǎng)連接著該所有部門，所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時，各分公司采用技術(shù)連接公司總部。該單位為了方便，將相當一部分業(yè)務放在了對外開放的網(wǎng)站上，網(wǎng)站也成為了既是對外形象窗口又是內(nèi)部辦公窗口。由于網(wǎng)絡設計部署上的缺陷，該單位局域網(wǎng)在建成后就第2頁/總8頁FS實用范本|DOCUMENTTEMPLATE不斷出現(xiàn)網(wǎng)絡擁堵、網(wǎng)速特別慢的情況，同時有些個別機器上的殺毒軟件頻頻出現(xiàn)病毒報警，網(wǎng)絡經(jīng)常癱瘓，每次時間都持續(xù)幾十分鐘，網(wǎng)管簡直成了救火隊員，忙著清除病毒，重裝系統(tǒng)。對外WEB網(wǎng)站同樣也遭到黑客攻擊， 網(wǎng)頁遭到非法篡改，有些網(wǎng)頁甚至成了傳播不良信息的平臺，不僅影響到網(wǎng)站的正常運行， 而且還對政府形象也造成不良影響。 (安全威脅根據(jù)拓撲圖分析 )從網(wǎng)絡安全威脅看，集團網(wǎng)絡的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播，以及安全管理漏洞等信息安全現(xiàn)狀：經(jīng)過分析發(fā)現(xiàn)該公司信息安全基本上是空白，主要有以下問題：公司沒有制定信息安全政策， 信息管理不健全。 公司在建內(nèi)網(wǎng)時與 internet 的連接沒有防火墻。 內(nèi)部網(wǎng)絡(同一城市的各分公司)之間沒有任何安全保障為了讓網(wǎng)絡正常運行。根據(jù)我國《信息安全等級保護管理辦法》的信息安全要求，近期公司決定對該網(wǎng)絡加強安全防護，解決目前網(wǎng)絡出現(xiàn)的安全問題。三、安全需求從安全性和實用性角度考慮，安全需求主要包括以下幾第3頁/總8頁FS實用范本|DOCUMENTTEMPLATE個方面：1、安全管理咨詢安全建設應該遵照 7分管理3分技術(shù)的原則，通過本次安全項目，可以發(fā)現(xiàn)集團現(xiàn)有安全問題，并且協(xié)助建立起完善的安全管理和安全組織體系。2、集團骨干網(wǎng)絡邊界安全主要考慮骨干網(wǎng)絡中 Internet出口處的安全，以及移動用戶、遠程撥號訪問用戶的安全。3、集團骨干網(wǎng)絡服務器安全主要考慮骨干網(wǎng)絡中網(wǎng)關(guān)服務器和集團內(nèi)部的服務器，包括OA、財務、人事、內(nèi)部 WEB等內(nèi)部信息系統(tǒng)服務器區(qū)和安全管理服務器區(qū)的安全。4、集團內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護主要考慮集團內(nèi)聯(lián)網(wǎng)中，包括總公司在內(nèi)的所有公司的病毒防護。5、統(tǒng)一的增強口令認證系統(tǒng)由于系統(tǒng)管理員需要管理大量的主機和網(wǎng)絡設備，如何確?？诹畎踩Q為一個重要的問題。第4頁/總8頁FS實用范本|DOCUMENTTEMPLATE6、統(tǒng)一的安全管理平臺通過在集團內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺，實現(xiàn)集團總部對全網(wǎng)安全狀況的集中監(jiān)測、安全策略的統(tǒng)一配置管理、統(tǒng)計分析各類安全事件、以及處理各種安全突發(fā)事件。7、專業(yè)安全服務過專業(yè)安全服務建立全面的安全策略、管理組織體系及相關(guān)管理制度，全面評估企業(yè)網(wǎng)絡中的信息資產(chǎn)及其面臨的安全風險情況，在必要的情況下，進行主機加固和網(wǎng)絡加固。通過專業(yè)緊急響應服務保證企業(yè)在面臨緊急事件情況下的處理能力，降低安全風險。四、方案設計骨干網(wǎng)邊界安全集團骨干網(wǎng)共有一個 Internet 出口，位置在總部，在Internet出口處部署 LinkTrustCyberwall-200F/006防火墻一臺。在Internet出口處部署一臺LinkTrustNetworkDefender領(lǐng)信網(wǎng)絡入侵檢測系統(tǒng)，通過交換機端口鏡像的方式，將進出Internet的流量鏡像到入侵檢測的監(jiān)聽端口，LinkTrustNetworkDefender可以實時監(jiān)控網(wǎng)絡中的異常流量，防第5頁/總8頁FS實用范本|DOCUMENTTEMPLATE止惡意入侵。在各個分公司中添加一個 DMZ區(qū)，保證各公司的信息安全，內(nèi)部網(wǎng)絡 (同一城市的各分公司 )之間沒有任何安全保障骨干網(wǎng)服務器安全集團骨干網(wǎng)服務器主要指網(wǎng)絡中的網(wǎng)關(guān)服務器和集團內(nèi)部的應用服務器包括 OA、財務、人事、內(nèi)部 WEB等，以及專為此次項目配置的、用于安全產(chǎn)品管理的服務器的安全。主要考慮為在服務器區(qū)配置千兆防火墻，實現(xiàn)服務器區(qū)與辦公區(qū)的隔離，并將內(nèi)部信息系統(tǒng)服務器區(qū)和安全管理服務器區(qū)在防火墻上實現(xiàn)邏輯隔離。還考慮到在服務器區(qū)配置主機入侵檢測系統(tǒng)，在網(wǎng)絡中配置百兆網(wǎng)絡入侵檢測系統(tǒng)，實現(xiàn)主機及網(wǎng)絡層面的主動防護。漏洞掃描了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現(xiàn)的安全問題等，都要求信息系統(tǒng)自身和用戶作好安全評估。安全評估主要分成網(wǎng)絡安全評估、主機安全評估和數(shù)據(jù)庫安全評估三個層面。第6頁/總8頁FS實用范本|DOCUMENTTEMPLATE內(nèi)聯(lián)網(wǎng)病毒防護病毒防范是網(wǎng)絡安全的一個基本的、重要部分。通過對病毒傳播、感染的各種方式和途徑進行分析，結(jié)合集團網(wǎng)絡的特點，在網(wǎng)絡安全的病毒防護方面應該采用 “多級防范，集中管理，以防為主、防治結(jié)合 ”的動態(tài)防毒策略。病毒防護體系主要由桌面網(wǎng)絡防毒、服務器防毒和郵件防毒三個方面。增強的身份認證系統(tǒng)由于需要管理大量的主機和網(wǎng)絡設備，如何確保口令安全也是一個非常重要的問題。 減小口令危險的最為有效的辦法是采用雙因素認證方式。雙因素認證機制不僅僅需要用戶提供一個類似于口令或者 PIN的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌，這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的 PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態(tài)變化的，大大提高了安全性。統(tǒng)一安全平臺的建立第7頁/總8頁FS實用范本|DOCUMENTTEMPLATE通過建立統(tǒng)一的安全管理平臺 (安全運行管理中心 —SOC)，建立起集團的安全風險監(jiān)控體系，利于從全局的角