ISG2000网络安全解决方案建议书
? 访问控制
防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现网络层的内容过滤,支持网络地址转换等功能。 ? 高可靠性
由于防火墙是网络中的重要设备,意外的当机都会造成网络的瘫痪,因此防火墙必须是运行稳定,故障率低的系统,并且要求能够实现双机的热备份,实现不间断的网络服务。 ? 日志和审计
要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。 ? 身份认证
防火墙本身必须支持身份认证的功能,在简单的地方可以实现防火墙本身自带数据库的身份认证,在大型的情况下,可以支持与如RADIUS等认证服务器的结合使用。 ? 易管理性
XXX网络是一个大型的网络,防火墙分布在网络的各处,所以防火墙产品必须支持集中的管理,安全管理员可以在一个地点实现对防火墙的集中管理,策略配置,日志审计等等。
系统的安装、配置与管理尽可能的简洁,安装便捷、配置灵活、操作简单。 ? 高安全性
作为安全设备,防火墙本身必须具有高安全性,本身没有安全漏洞,不开放服务,可以抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击,防火墙可以进行阻挡,并且在阻挡的同时,保证正常业务的不间断。 ? 高性能
作为网络的接入设备,防火墙必须具有高性能,不影响原有网络的正常运行,千兆防火墙的性能应该在900M以上,并发连接数要在50万以上。
第 6 页 共 26 页
ISG2000网络安全解决方案建议书
? 可扩展性
系统的建设必须考虑到未来发展的需要,系统必须具有良好的可扩展性和良好的可升级性。支持标准的IP、IPSEC等国际协议。支持版本的在线升级。 ? 易实现性
防火墙可以很好的部署在现有的网络当中,最小改变网络的拓扑结构和应用设计。防火墙要支持动态路由、VLAN协议、H323协议等。
3.2 应用层攻击和蠕虫的检测和阻断需求
入侵检测主要用于检测网络中存在的攻击迹象,保证当网络中存在攻击的时候,我们可以在攻击发生后果之前能够发现它,并且进行有效的阻挡,同时提供详细的相关信息,保证管理员可以进行正确的紧急响应,将攻击的影响减少到最低的程度。它的主要需求包括:
? 入侵检测和防护要求
能够对攻击行为进行检测和防护,是对入侵防护设备的核心需求,入侵防护设备应该采用最先进的检测手段,如基于状态的协议分析、协议异常等多种检测手段结合等等;要求可以检测的种类包括:攻击行为检测、异常行为检测等等。 ? 对网络病毒的阻拦
由于目前80%以上的病毒都是通过网络来传播的,所以为了更好的进行防毒,需要安全设备能够在网关处检测并且阻拦基于网络传输的病毒和蠕虫,并且可以提供相关特征的及时更新。 ? 性能要求
内部网络的流量很多,入侵检测和防护需要处理的数据量也相对较大,同时由于对性能的要求可以大大的减少对于攻击的漏报率和误报率, ? 自身安全性要求
作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能
第 7 页 共 26 页
ISG2000网络安全解决方案建议书
够抵抗各种攻击。 ? 服务要求
由于系统漏洞的不断出现和攻击手段的不断发展,要求应用层防护设备的攻击特征库能够及时的进行更新。以满足网络最新的安全需求。 ? 日志审计要求
系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。
3.3 安全管理需求
安全管理是安全体系建设极为重要的一个环节,目前XXX网络的需要建立针对多种安全设备的统一管理平台,总体需求如下: ? 安全事件的统一监控
对于网络安全设备上发现的安全事件,都可以进行集中的监控。并且进行相应的关联分析,保证管理员可以通过简单的方式,不需要登陆多个设备,就能够明了目前网络中发生的安全事件。 ? 安全设备的集中化管理
随着使用安全产品种类和数量的增加需要不断增加管理和维护人员,管理成本往往呈指数级的增加,因此需要相应的技术手段对这些产品进行集中的控管。 ? 安全响应能力的提升
响应能力是衡量一个网络安全建设水平的重要标准,发现安全问题和安全事件后,必须能快速找到解决方法并最快速度进行响应,响应的方式包括安全设备的自动响应,联动响应,人工响应等等。
第 8 页 共 26 页
ISG2000网络安全解决方案建议书
4 系统安全解决方案
4.1 设计目标
XXX网络具有很高的安全性。本方案主要针对XXX网络,保证XXX内网中的重要数据的保密性,完整性、可用性、防抵赖性和可管理性,具体来说可分为如下几个方面:
? 有效控制、发现、处理非法的网络访问; ? 保护在不安全网络上的数据传输的安全性;
? 能有效的预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒; ? 能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问; ? 合理的安全体系架构和管理措施; ? 实现网络系统安全系统的集中管理; ? 有较强的扩展性。
4.2 设计原则
我们严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为: (1) 统一性
系统必须统一规范、统一标准、统一接口,使用国际标准、国家标准,采用统一的系统体系结构,以保持系统的统一性和完整性。
(2) 实用性
系统能最大限度满足XXX网络的需求,结合XXX网络的实际情况,在对业务系统进行设计和优化的基础上进行设计。
(3) 先进性
无论对业务系统的设计还是对信息系统和网络的设计,都要采用成熟先进的技术、手
段、方法和设备。
(4) 可扩展性
第 9 页 共 26 页
ISG2000网络安全解决方案建议书
系统的设计必须考虑到未来发展的需要,具有良好的可扩展性和良好的可升级性。 (5) 安全性
必须建立可靠的安全体系,以防止对信息系统的非法侵入和攻击。 (6) 保密性
信息系统的有关业务信息,资金信息等必须有严格的管理措施和技术手段加以保护,以免因泄密而造成国家、单位和个人的损失。 (7) 最高保护原则
系统中涉及到多种密级的资源,按最高密级保护 (8) 易实现性和可管理性
系统的安装、配置与管理尽可能的简洁,安装便捷,配置灵活,操作简单,并且系统应具有可授权的集中管理能力。
4.3 安全产品的选型原则
XXX网络属于一个行业的专用网络,因此在安全产品的选型上,必须慎重,选型的原则包括:
? 安全保密产品的接入应不明显影响网络系统运行效率,并且满足工作的要求,不影响
正常的业务;
? 安全保密产品必须满足上面提出的安全需求,保证整个XXX网络的安全性。 ? 安全保密产品必须通过国家主管部门指定的测评机构的检测; ? 安全保密产品必须具备自我保护能力;
? 安全保密产品必须符合国家和国际上的相关标准; ? 安全产品必须操作简单易用,便于简单部署和集中管理 。
第 10 页 共 26 页