某某某规划院信息安全建设方案V16.docVIP

XXXXXX调查规划院 信 息 安 全 建 设 方 案 (V1.6) 成都XXX有限公司 Chengdu XXXX Information Technoloy Co., Ltd. 二OO八年十一月  文 档 状 态 文件状态 ［ ］草稿文件 ［ ］正式文件 ［√］更改正式文件 文　件标　识 LGY-ITS 当　前 版　本 V1.6 作　者 完　成 日　期 2008-12-22 修订历史记录 日期 版本 说明 作者 2008-11-3 V1.0 根据实际需求及进一步发展描述完成方案草案 2008-11-4 V1.1 对方案中的问题进行修订、完善 2008-11-5 V1.3 对方案中的问题进行修订 提出三套不同档次解决方案 对DMZ区设计进行修订 2008-11-6 V1.4 对三套方案的产品及预算进行调整 2008-11-6 V1.5 对第一套方案一、二阶段进行调整 完善对现在设备的分析 2008-11-20 V1.6 完成产品介绍内容 目 录 1 信息系统安全体系现状概述 1 1.1 现状概述 1 1.2 现状分析 1 1.3 拓扑结构说明 2 2 安全威胁分析 6 2.1 外部威胁分析 6 2.2 内部威胁分析 6 2.3 总体威胁分析 7 3 总体需求及主要内容 8 4 网络及信息安全体系总体方案 9 4.1 设计原则 9 4.2 总体方案 9 5 详细设计 10 5.1 拓扑结构调整 10 5.2 出口安全设计 10 5.3 网络防病毒 11 5.3.1 内容安全网关(防毒墙) 11 5.3.2 企业级网络版防病毒软件 11 5.4 构建全局安全网络体系 12 5.4.1 概述 12 5.4.2 IP地址规划 13 5.4.3 VLAN规划 14 5.4.4 常见网络危害病毒防范设计 15 5.4.5 常见网络攻击防范设计 18 MAC攻击 18 DHCP攻击 18 ARP攻击 19 IP/MAC攻击 20 STP攻击 20 Dos/Ddos攻击 21 IP扫描攻击 21 网络设备管理安全 21 5.4.6 全局安全网络(GSN)方案设计 22 安全挑战 22 管理挑战 22 方案详细介绍 22 安全特性 23 管理特性 24 详细功能 24 交换设备升级 26 5.5 应用扩展后的安全体系建设 26 5.5.1 总体方案 26 5.5.2 服务器DMZ区 27 5.5.3 入侵检测系统(IDS) 27 5.5.4 应用控制引擎 28 5.5.5 数据中心构建 31 6 方案特色 37 7 建设计划及资金预算 38 7.1 方案1—中低配置方案 38 7.2 方案2—中档配置方案 40 7.3 方案3—中高配置方案 42 8 主要设备选型 44 8.1 防火墙-RG-WALL-160M 44 8.1.1 产品特性 44 8.1.2 技术参数 45 8.2 防火墙-RG-WALL-1600S 48 8.2.1 产品概述 48 8.2.2 产品特性 49 8.2.3 技术参数 51 8.2.4 扩展模块 54 8.3 RG-S2126G安全智能交换机 55 8.3.1 产品概述 55 8.3.2 产品特性 55 8.3.3 技术参数 58 8.4 防病毒安全套装 PESA4.0 59 8.4.1 PESA特性 60 8.4.2 模块介绍 60 8.5 入侵检测系统RG-IDS-500 61 8.5.1 产品概述 61 8.5.2 产品特性 62 8.5.3 技术参数 64 8.6 RG-SMP安全网络管理平台 64 8.6.1 产品概述 64 8.6.2 产品特征 65 身份认证功能 65 主机端点防护功能 65 网络通信保护功能 66 信息系统安全体系现状概述 现状概述 我单位计算机网络、信息系统在建设之初，经过了仔细规划，结构合理、运行可靠、维护方便。但是在建设初期，网络系统及应用系统均相对简单，信息系统安全的重要性并未体现出来，主要应用仍限于内部局域当中，对外网的访问主要是普通上网和信息服务，信息系统安全措施及技术手段相对较少。 随着IT技术的飞速发展，各种应用的不断丰富，国家几大“金”字号工程的建设，电子商务、电子政务的不断深入，我单位网络规模的不断扩大、应用不断增加，陆续或即将扩大网络规模、增加多种业务系统，网络和信息系统的使用频率巨增，并将提供对外的资源服务，因此，大大增加了病毒感染、网络入侵等危险。原有设计和实施的网络及信息系统安全技术手段、相关设备、措施，已经远远不能满足现在我单位网络和信息系统安全的需要，因此，迫切需要解决信息系统安全问题，构建一个全局安全网络和立体的信