XX企业网络安全互连解决方案汇.doc

XX企业 网络安全互联解决方案 目　录 1 前言 3 1.1 方案概述 3 1.2 参照标准 3 1.3 缩略语 3 2 网络安全现状 4 2.1 网络现状 4 2.2 安全现状 4 3 网络风险现状分析 5 3.1 网络风险概述 5 3.2 威胁及风险分析 6 3.2.1 风险分析的层次 6 3.2.2 风险区域与风险等级划分 7 3.2.3 XX企业网络风险分析 8 与外部网络互联的安全威胁 8 网络病毒威胁 8 数据泄露的风险 9 内部局域网的安全威胁 9 数据可用性风险 9 安全的动态性风险 10 综合风险 10 3.3 安全风险分析汇总 11 4 防护策略 12 4.1 安全建设原则 12 4.2 安全建设策略 13 5 安全产品选型原则 14 6 安全解决方案 15 6.1 部署说明 15 6.2 总部核心防火墙保护核心资源 15 6.3 分支机构防火墙保护 17 6.4 总部与分支机构的VPN连接 18 6.5 移动办公的实现 19 7 华赛防火墙特色 20 7.1 防火墙主要功能列表 20 7.2 独立的安全协议栈 25 7.3 全面的连接状态监控和实时阻断 25 7.4 智能便捷的配置向导和管理方式 25 8 产品清单 26 前言 随着Internet、Intranet的飞速发展，网络安全问题日益严重。由于信息泄漏、信息遭受破坏等带来的损失令人触目惊心。近几年来，信息化走过了不断发展、完善的历程，现在已经拥有大量的技术先进、种类繁多的网络设备和系统，构成了一个配置复杂的综合性网络。高速信息化网络系统为经济建设和社会发展带来了巨大的影响。人们在享受着信息化的成果时，同时面临着信息安全的风险。 方案概述 本方案包括安全风险与需求分析、安全体系结构的设计、安全目标与策略的确立、安全子系统配置、安全产品选型、安全保障服务、安全系统建设、售后服务、培训。本安全解决方案的目标是在不影响XX企业正常使用的前提下，实现对XX企业全面的安全防护。 参照标准 本方案制作过程中主要参考了以下标准： GB17859：《计算机信息系统安全保护等级划分准则》 ISO17799/BS7799：《信息安全管理惯例》 缩略语 为方便描述，在下文中将对以下专有名称进行简化，此后不再另行注明： 防火墙系统 简称 FW 网络安全现状 网络现状 目前XX企业信息中心（以下简称总部）网络建设也已初步完成，目前有一个互联网出口，总部办公网络有一台防火墙，用于连接办公网内与外网。 内网有应用服务器多台，目前通过防火墙将内网服务器IP地址映射到公网。以供分支机构访问。 目前XX企业分支机构共有数十个，各分支目前内网PC数量不超过10台，均通过ADSL拨号等方式连入互联网。 安全现状 XX企业总部目前已部署有防火墙一台，但是由于该防火墙购买时间较早，加之企业发展速度，该防火墙目前基本上处于全负荷工作。一遇突发性的攻击事件，很有可能会造成全网瘫痪。 总部与分支机构的安全互联目前还没有很好的解决，分支机构如何安全的接入到总部，并且对于外出人员进行有效的身份认证与权限控制，这都是我们目前急需解决的问题。 对于内网的应用服务器目前所采用的直接映射的方式，基本上没有相关的保护措施。  网络风险现状分析 网络风险概述 XX企业网络主要分为办公网，服务器区，分支机构区。 根据前面我们对XX企业整个网络风险的现状的了解与分析，发现问题也主要聚集在上述三个区域： 办公网区 缺乏对内网的实时监控，不能及时发现网络中存在异常访问和攻击； 没有建立针对全网网络、主机、应用系统的监控和管理平台，不能及时发现网络、主机及应用的异常情况，严重地威胁到网络运行的可靠性和稳定性； 没有完整的信息安全防御体系； 需要对内部人员进行充分的安全培训； 服务器区 没有对内网中的重要服务器采取有效的保护措施； 服务器区域与办公网区在同一个区域内，办公网也有可能对服务器区造成危害； 分支机构区 安全接入方案暂时没有； 数据的传输为明文传输，存在被监听的风险； 数据传输完全走公网，用户信息容易被泄漏； 威胁及风险分析 风险分析的层次 风险分析务必要做到对网络系统的全面分析，才能准确地把握网络现状，并进一步指导系统的安全策略制定和安全防护工作。在XX企业网络的风险分析过程中，我们依照了安全体系的层次将之划分为五层：物理层安全、系统层安全、网络层安全、应用层安全、安全管理。如图所示： 层次一：物理环境的安全性（物理层安全） 包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）；软硬件设备安全性（替换设备；拆卸设备；增加设备）；设备的备份；防灾害能力、防干扰能力；设备的运行环境（温度、湿度、烟尘）；不间断电源保障，