【參考借鑒】網(wǎng)絡(luò)信息安全解決方案

優(yōu)質(zhì)參考文檔RRRR信息系統(tǒng)安全建設(shè)方案優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔目錄TOC\o"1-5"\h\z第1章 項(xiàng)目概述 5\o"CurrentDocument"項(xiàng)目背景 5\o"CurrentDocument"項(xiàng)目目的 6\o"CurrentDocument"信息系統(tǒng)現(xiàn)狀及需求分析 7\o"CurrentDocument"信息系統(tǒng)現(xiàn)狀 7網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀 7信息系統(tǒng)現(xiàn)狀 7\o"CurrentDocument"信息系統(tǒng)安全現(xiàn)狀分析 8第3章 總體安全目標(biāo) 11第4章 安全解決方案總體框架 12網(wǎng)絡(luò)安全 12系統(tǒng)安全 13應(yīng)用安全 14數(shù)據(jù)安全 14第5章 安全解決方案詳細(xì)設(shè)計(jì) 15網(wǎng)絡(luò)安全建設(shè) 165.1.1防火墻系統(tǒng)設(shè)計(jì) 16防火墻系統(tǒng)部署意義 16防火墻系統(tǒng)部署方式 17防火墻系統(tǒng)部署后達(dá)到的效果 195.1.2網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計(jì) 21網(wǎng)絡(luò)入侵防御系統(tǒng)部署意義 21網(wǎng)絡(luò)入侵防御系統(tǒng)部署方式 22網(wǎng)絡(luò)入侵防御系統(tǒng)部署后所達(dá)到的效果 235.1.3病毒過濾網(wǎng)關(guān)系統(tǒng)設(shè)計(jì) 25病毒過濾網(wǎng)關(guān)系統(tǒng)部署意義 25病毒過濾網(wǎng)關(guān)系統(tǒng)部署方式 27病毒過濾網(wǎng)關(guān)系統(tǒng)部署后達(dá)到的效果 28優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔TOC\o"1-5"\h\z5.1.4網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì) 30入侵檢測系統(tǒng)部署意義 30入侵檢測系統(tǒng)部署方式 315.1.5VPN系統(tǒng)設(shè)計(jì) 33VPN系統(tǒng)部署意義 33VPN系統(tǒng)部署方式 34系統(tǒng)安全建設(shè) 375.2.1集中安全審計(jì)系統(tǒng)設(shè)計(jì) 37集中安全審計(jì)系統(tǒng)部署意義 37集中安全審計(jì)系統(tǒng)部署方式 38集中安全審計(jì)系統(tǒng)部署后達(dá)到的效果 395.2.2網(wǎng)絡(luò)防病毒軟件系統(tǒng)設(shè)計(jì) 405.2.3終端管理系統(tǒng)設(shè)計(jì) 42終端安全管理系統(tǒng)部署 42終端管理系統(tǒng)部署后達(dá)到的效果 445.2.4信息安全管理平臺設(shè)計(jì) 47信息安全管理平臺部署意義 47信息安全管理平臺部署方式 48信息安全管理平臺部署后的效果 485.2.5ERP系統(tǒng)服務(wù)器冗余備份機(jī)制設(shè)計(jì) 50應(yīng)用安全建設(shè) 52數(shù)據(jù)安全建設(shè) 52第6章 RRRR信息系統(tǒng)安全建設(shè)管理制度建議 55策略系列文檔結(jié)構(gòu)圖 55策略系列文檔清單 57第7章 搬遷后網(wǎng)絡(luò)拓?fù)湟?guī)劃 61第8章 安全解決方案整體實(shí)施效果 63第9章 第一期安全實(shí)施效果 64縮寫優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔第1第1章項(xiàng)目概述項(xiàng)目背景一、化工行業(yè)面臨的挑戰(zhàn)信息化和經(jīng)濟(jì)全球化正在迅速而深刻地改變著人類的生產(chǎn)和生活方式，改變著國與國之間、企業(yè)與企業(yè)之間的生存和競爭環(huán)境。加入WTO之后，我國企業(yè)正直接地、全面地面對國際市場的全方位競爭。形勢要求我們加快采用現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)技術(shù)及與之相適應(yīng)的現(xiàn)代管理方式來改造和提升傳統(tǒng)產(chǎn)業(yè)，推動產(chǎn)業(yè)的優(yōu)化和升級。信息化是個大戰(zhàn)略。推進(jìn)化工企業(yè)信息化，不是政府要我們做或者政府出錢支持我們做我們才做的事情，它是化工行業(yè)自身提高競爭力、適應(yīng)新經(jīng)濟(jì)、實(shí)現(xiàn)現(xiàn)代化的內(nèi)在需要，是化工企業(yè)適應(yīng)國際環(huán)境、融入全球經(jīng)濟(jì)的戰(zhàn)略選擇。企業(yè)信息化建設(shè)的新浪潮正在給中國化工企業(yè)的經(jīng)營管理帶來深刻變革。眾所周知，中國作為發(fā)展中國家，工業(yè)化進(jìn)程是不可逾越的一個過程。在這個高速發(fā)展的過程中，快速的積累社會財(cái)富則必然帶來資源大量消耗的矛盾。中國要走新型工業(yè)化道路，降低資源消耗、減少環(huán)境污染是核心。由于國內(nèi)需求的拉動和世界經(jīng)濟(jì)的影響，新世紀(jì)伊始，化工工業(yè)進(jìn)入了高速發(fā)展時(shí)期，在產(chǎn)能快速增長的同時(shí)，資源消耗過大、環(huán)境污染嚴(yán)重的化工工業(yè)必然面臨各種資源、能源緊缺和環(huán)境保護(hù)的雙重壓力。為了引導(dǎo)化工工業(yè)可持續(xù)健康發(fā)展，化工工業(yè)走循環(huán)經(jīng)濟(jì)的發(fā)展方向，必須采用工程科學(xué)技術(shù)，提高資源、能源綜合利用，減少環(huán)境污染，把挑戰(zhàn)轉(zhuǎn)化為機(jī)遇，使化工工業(yè)在新型工業(yè)化道路上健康穩(wěn)步邁進(jìn)，〃堅(jiān)持以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化，走出一條科技含量高、經(jīng)濟(jì)效益好、資源消耗低、環(huán)境污染少、人力資源優(yōu)勢得到充分發(fā)揮的新型工業(yè)化路子〃，實(shí)現(xiàn)跨越式發(fā)展和可持續(xù)發(fā)展。二、信息化是化工工業(yè)合理利用資源，實(shí)現(xiàn)可持續(xù)發(fā)展的重要途徑中國化工工業(yè)為了提高產(chǎn)品質(zhì)量、減少廢次品、降低成本、合理組織生產(chǎn)、能源綜合利用、清潔化生產(chǎn)、管理流程優(yōu)化、最大限度地滿足客戶個性化的需求，需要以信息技術(shù)為手段、以管理創(chuàng)新、技術(shù)創(chuàng)新、制度創(chuàng)新為動力，改造落后裝備，實(shí)現(xiàn)生產(chǎn)過程自動化、管理信息化。優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔信息化為中國化工工業(yè)走新型工業(yè)化道路提供了重要機(jī)遇。特別是在資源開發(fā)和利用中，使用先進(jìn)的信息技術(shù)能夠?qū)崿F(xiàn)優(yōu)化設(shè)計(jì)、制造和管理，通過對各種生產(chǎn)和消費(fèi)過程進(jìn)行數(shù)字化、智能化的實(shí)時(shí)監(jiān)控，大大降低各種資源的消耗。對于中國化工企業(yè)來說，信息化是企業(yè)合理利用資源、降低資源消耗的重要途徑。應(yīng)用信息技術(shù)還可以在化工企業(yè)生產(chǎn)管理諸多方面發(fā)揮促進(jìn)作用。例如：信息化能夠?yàn)槠髽I(yè)實(shí)現(xiàn)全面的、實(shí)時(shí)的、動態(tài)的監(jiān)測和管理各種資源提供現(xiàn)代化手段，這些資源包括保證企業(yè)生產(chǎn)安全運(yùn)營的水、電、煤、氣、油以及原材料，能源信息管理系統(tǒng)、環(huán)保污染監(jiān)控系統(tǒng)已經(jīng)在化工企業(yè)得到應(yīng)用；數(shù)據(jù)庫技術(shù)可以對這些資源消耗量進(jìn)行分析預(yù)測并作出預(yù)報(bào)預(yù)警，網(wǎng)絡(luò)和通信技術(shù)可以將位于遠(yuǎn)程數(shù)據(jù)采集點(diǎn)的資源消耗的數(shù)據(jù)實(shí)時(shí)采集到信息系統(tǒng)中，進(jìn)行統(tǒng)計(jì)分析；通過產(chǎn)銷系統(tǒng)和制造執(zhí)行系統(tǒng)的運(yùn)行，保證產(chǎn)品質(zhì)量，減少廢次品，以銷定產(chǎn)，以產(chǎn)定料，壓縮庫存，合理資源調(diào)配，避免能源和資源的浪費(fèi)，提高資源/能源的綜合利用率；設(shè)備管理系統(tǒng)能夠?qū)υO(shè)備的檢點(diǎn)維修狀況進(jìn)行動態(tài)管理，防止設(shè)備未及時(shí)檢修造成資源的跑冒滴漏現(xiàn)象發(fā)生；智能化儀表將各種資源使用情況準(zhǔn)確記錄下來等等，信息技術(shù)已經(jīng)被廣泛地應(yīng)用于化工企業(yè)的各個環(huán)節(jié)并將發(fā)揮更大的作用?；て髽I(yè)要積極利用信息技術(shù)在資源、環(huán)境領(lǐng)域的應(yīng)用，推進(jìn)綠色制造和清潔生產(chǎn)，合理利用資源，保護(hù)生態(tài)環(huán)境。這是我們在資源、能源缺乏的情況下推動化工工業(yè)化進(jìn)程的良好途徑。項(xiàng)目目的本方案依據(jù)與RRRR工程師的交流溝通，將對RRRR網(wǎng)絡(luò)做出系統(tǒng)的全面優(yōu)化設(shè)計(jì)。其目的在于構(gòu)建RRRR整體網(wǎng)絡(luò)安全體系架構(gòu)，部署網(wǎng)絡(luò)安全策略，保證RRRR的網(wǎng)絡(luò)安全、系統(tǒng)管理都能有機(jī)整合。優(yōu)質(zhì)參考文檔

優(yōu)質(zhì)參考文檔信息系統(tǒng)現(xiàn)狀及需求分析信息系統(tǒng)現(xiàn)狀網(wǎng)絡(luò)結(jié)構(gòu)現(xiàn)狀RRRR信息系統(tǒng)現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D如圖1.1所示：*科科V-隆

接入層網(wǎng)絡(luò)接入層網(wǎng)絡(luò)區(qū)網(wǎng)絡(luò)*科科V-隆

接入層網(wǎng)絡(luò)接入層網(wǎng)絡(luò)區(qū)網(wǎng)絡(luò)圖1.1RRRR信息現(xiàn)有系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D信息系統(tǒng)現(xiàn)狀RRRR網(wǎng)絡(luò)系統(tǒng)目前市區(qū)廠區(qū)網(wǎng)絡(luò)和開發(fā)區(qū)廠區(qū)網(wǎng)絡(luò)組成，兩個廠區(qū)使用2M專線進(jìn)行互聯(lián)。在開發(fā)區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條10M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust80防火墻，局域網(wǎng)網(wǎng)絡(luò)使用星形接入方式，使用HP5308RL交換機(jī)作為核心交換優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔節(jié)點(diǎn)，根據(jù)辦公樓、綜合樓、中控樓等在核心交換機(jī)上劃分不同VLAN,還有一臺一卡通服務(wù)器直接接入核心交換機(jī)。在市區(qū)廠區(qū)網(wǎng)絡(luò)中，接入一條100M帶寬的互聯(lián)網(wǎng)鏈路，互聯(lián)網(wǎng)邊界部署了一臺LinkTrust100防火墻，局域網(wǎng)網(wǎng)絡(luò)使用星形接入方式，使用華為6503交換機(jī)作為核心交換節(jié)點(diǎn)，目前網(wǎng)絡(luò)中有財(cái)務(wù)系統(tǒng)服務(wù)器、ERP系統(tǒng)（負(fù)責(zé)單位進(jìn)銷存）服務(wù)器、ERP系統(tǒng)數(shù)據(jù)備份服務(wù)器、文件服務(wù)器（采用共享方式）以及作為對外發(fā)布的FTP服務(wù)器。RRRR共有三百多臺電腦，兩個廠區(qū)分別采用星形組網(wǎng)方式，使用Vlan來防范網(wǎng)絡(luò)間惡意攻擊與破壞。通過劃分VLAN子網(wǎng)，縮小了廣播域，通過交換機(jī)把關(guān)鍵部門和其他部門或者把所有的部門劃分到不同的VLAN內(nèi)，實(shí)現(xiàn)部門間的邏輯隔離，避免了避免了廣播風(fēng)暴的產(chǎn)生，也可以防范網(wǎng)絡(luò)間惡意攻擊與破壞。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定，提高網(wǎng)絡(luò)安全性。信息系統(tǒng)安全現(xiàn)狀分析RRRR信息化建設(shè)從無到有，經(jīng)歷了迅速建立與逐步改善的過程，在隊(duì)伍建設(shè)、信息技術(shù)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)的開發(fā)完善等方面取得了顯著成績，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息量的增加，網(wǎng)絡(luò)規(guī)模的擴(kuò)大，數(shù)據(jù)量，業(yè)務(wù)量的增加，網(wǎng)絡(luò)安全方面的建設(shè)卻顯得滯后了。并且隨著業(yè)務(wù)的不斷增長和網(wǎng)絡(luò)威脅的不斷增多，RRRR的網(wǎng)絡(luò)已經(jīng)不能滿足在現(xiàn)代高威脅網(wǎng)絡(luò)環(huán)境下的安全需求?，F(xiàn)有的系統(tǒng)網(wǎng)絡(luò)缺乏完整的安全防護(hù)體系。目前的設(shè)備很難對用戶的互聯(lián)網(wǎng)訪問進(jìn)行有效的控制，導(dǎo)致網(wǎng)絡(luò)極易感染病毒，網(wǎng)絡(luò)大部分帶寬被與工作無關(guān)的應(yīng)用長期占用，嚴(yán)重影響單位的正常業(yè)務(wù)的運(yùn)行。對互聯(lián)網(wǎng)訪問的內(nèi)容無法實(shí)現(xiàn)有效的控制及審計(jì)。網(wǎng)絡(luò)安全產(chǎn)品如防火墻、入侵檢測、防病毒系統(tǒng)、終端管理、VPN系統(tǒng)等系統(tǒng)應(yīng)用得還比較少，網(wǎng)絡(luò)安全管理體系還未形成。另外針對已經(jīng)部署的產(chǎn)品和系統(tǒng)合理有效的配置使用，使其充分發(fā)揮其安全防護(hù)作用方面，以及在對于突發(fā)性內(nèi)外部惡意攻擊等非常規(guī)的安全事件的快速有效響應(yīng)所需的技術(shù)和管理措施方面，都還需要做進(jìn)一步的工作。根據(jù)充分的調(diào)查研究，RRRR的信息系統(tǒng)安全建設(shè)的需求有以下四個方面：1、網(wǎng)絡(luò)安全優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔<1>市區(qū)廠區(qū)和開發(fā)區(qū)廠區(qū)分別使用各自的互聯(lián)網(wǎng)鏈路，每條互聯(lián)網(wǎng)邊界均部署了一臺防火墻系統(tǒng)。這兩臺防火墻作分別提供RRRR兩個廠區(qū)的用戶上網(wǎng)和對外發(fā)布應(yīng)用服務(wù)，隨著上網(wǎng)用戶和發(fā)布應(yīng)用服務(wù)的增多，防火墻的負(fù)載將越來越來大，現(xiàn)有防火墻可能成為網(wǎng)絡(luò)瓶頸。<2>開發(fā)區(qū)廠區(qū)的一卡通服務(wù)器和客戶機(jī)間沒有安全防護(hù)措施，客戶機(jī)對服務(wù)器可以進(jìn)行任何操作。因?yàn)楹芏嗫蛻魴C(jī)可以上網(wǎng)，極易感染木馬、病毒，客戶機(jī)也可能會感染或攻擊服務(wù)器，影響服務(wù)器應(yīng)用的正常使用，造成難以估計(jì)的損失。因此需要加強(qiáng)用戶對服務(wù)器的訪問控制。同時(shí)市區(qū)廠區(qū)的財(cái)務(wù)系統(tǒng)服務(wù)器、ERP系統(tǒng)服務(wù)器、文件服務(wù)器等應(yīng)用和客戶機(jī)之間也缺乏安全防護(hù)措施。對外發(fā)布供外網(wǎng)用戶使用的FTP服務(wù)器等應(yīng)用也缺乏必要的安全保護(hù)措施。3>缺乏異常流量、惡意流量監(jiān)控、審計(jì)和防御機(jī)制，現(xiàn)如今網(wǎng)絡(luò)上存在著大量的不法黑客以及許多異常流量，對異常流量監(jiān)測可以了解當(dāng)前有哪些人通過非法的手段或途徑訪問了我們的系統(tǒng)或網(wǎng)絡(luò)，及時(shí)了解網(wǎng)絡(luò)的健康狀態(tài)，通過這些信息可以采取一些相應(yīng)的手段去解決問題，我們在采取法律手段時(shí)也無法提供了依據(jù)和證據(jù)。4>RRRR駐外辦事處、出差等移動用戶需要和總部實(shí)現(xiàn)數(shù)據(jù)共享，目前只能通過設(shè)置地址映射訪問公網(wǎng)IP地址，由于駐外辦事處和移動用戶與服務(wù)器之間的數(shù)據(jù)通訊都是通過公網(wǎng)進(jìn)行的，數(shù)據(jù)傳輸時(shí)無法做到數(shù)據(jù)的加密，無法保證通過公網(wǎng)進(jìn)行傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)和敏感信息不被非法竊取、篡改，無法確保通信雙方身份的真實(shí)性無法保證數(shù)據(jù)的傳輸安全。2、系統(tǒng)安全1>隨著RRRR網(wǎng)絡(luò)系統(tǒng)規(guī)模的迅速擴(kuò)張，對終端管理系統(tǒng)的需求也隨之增加。一方面，個人電腦、服務(wù)器和移動設(shè)備的數(shù)量正在隨著RRRR網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大而快速增加;另一方面，各種應(yīng)用軟件和補(bǔ)丁更新?lián)Q代速度加快，來自企業(yè)內(nèi)、外部的網(wǎng)絡(luò)攻擊也日益猖獗；終端用戶擅裝非法軟件、擅自更改IP地址、擅自變更硬件配置、非法訪問互聯(lián)網(wǎng)、非法內(nèi)聯(lián)等問題的存在，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式，缺乏采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，進(jìn)行桌面安全監(jiān)管、行為監(jiān)管、系統(tǒng)監(jiān)管和安全狀態(tài)檢測，實(shí)現(xiàn)對局域網(wǎng)內(nèi)部桌面系統(tǒng)的管理和維護(hù)，能有效保護(hù)用戶系統(tǒng)安全和機(jī)密數(shù)據(jù)安全。2>RRRR網(wǎng)絡(luò)系統(tǒng)中部署眾多的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，這些系統(tǒng)在工作過程中將有針對性地記錄各種網(wǎng)絡(luò)運(yùn)行日志，這些日志對于監(jiān)控用戶優(yōu)質(zhì)參考文檔優(yōu)質(zhì)參考文檔的網(wǎng)絡(luò)安全狀態(tài)，分析安全發(fā)展趨勢，有著重要的意義，是用戶網(wǎng)絡(luò)安全管理的重要依據(jù)。但是，由于各網(wǎng)絡(luò)安全產(chǎn)品一般獨(dú)立工作、各自為戰(zhàn)，產(chǎn)生的安全事件信息也是格式不一，內(nèi)容不同，且數(shù)量巨大，導(dǎo)致安全管理員難于對這些信息進(jìn)行綜合分析，對網(wǎng)絡(luò)中各種安全事件也就無法準(zhǔn)確識別、及時(shí)響應(yīng)，以致直接影響整個安全防御體系效能的有效發(fā)揮。3>ERP系統(tǒng)作為RRRR進(jìn)銷存應(yīng)用系統(tǒng)，其數(shù)據(jù)關(guān)系到整個RRRR業(yè)務(wù)的運(yùn)行，為最大化保證業(yè)務(wù)的連續(xù)性，ERP系統(tǒng)服務(wù)器主機(jī)應(yīng)采取可靠的冗余備份機(jī)制，確保在線業(yè)務(wù)處理和數(shù)據(jù)訪問過程不會因?yàn)榉?wù)器系統(tǒng)故障而中斷。4>在內(nèi)網(wǎng)系統(tǒng)中，還沒有配置一套整體的防病毒體系，對于現(xiàn)的網(wǎng)絡(luò)環(huán)境來說無疑是給病毒的入侵埋下了極大的隱患。5>缺乏信息安全管理平臺，通過信息安全平臺集中同時(shí)實(shí)時(shí)的了解設(shè)備，服務(wù)器的運(yùn)行狀態(tài)和系統(tǒng)資源使用情況，大大提高了運(yùn)維的效率，防止由于管理人員的遺漏造成問題解決的不及時(shí)。網(wǎng)絡(luò)中的各產(chǎn)品之間沒有聯(lián)系，給管理工作帶來了一定的難度，難以發(fā)揮應(yīng)有的整體效果。另外利用目前的管理手段在網(wǎng)絡(luò)審計(jì)、入侵檢測和病毒監(jiān)測等網(wǎng)絡(luò)管理工具的使用過程中，對發(fā)現(xiàn)的違規(guī)操作或感染病毒的計(jì)算機(jī)，不能快速、準(zhǔn)確定位，不能及時(shí)阻斷有害侵襲并快速查出侵襲的設(shè)備和人員。3、應(yīng)用安全<1>目前RRRR文件服務(wù)器采用網(wǎng)上鄰居共享訪問的方式，文件服務(wù)器共享的資源可以被公司所有用戶進(jìn)行查看、下載、編輯、刪除等動作，文件服務(wù)器缺乏用戶認(rèn)證機(jī)