XX火电建设公司 网络安全方案
天融信网络安全技术有限公司
2010年3月
目 录
1.
概述 ........................................................................................................................................ 3 1.1. 项目背景及需求 .......................................................................................................... 3 1.2. 项目目标 ...................................................................................................................... 3 2.
用户需求分析 ........................................................................................................................ 5 2.1. 安全需求分析 .............................................................................................................. 5
2.1.1. 2.1.2.
3.
网络安全的需求 .................................................................................................. 5 管理安全的需求 .................................................................................................. 8
安全措施设计 ........................................................................................................................ 8 3.1. 设计目标 ...................................................................................................................... 8 3.2. 设计原则 ...................................................................................................................... 8
4. 应用安全解决方案 .............................................................................................................. 10 4.1. VPN系统设计 ........................................................................................................... 11 4.2. 网络入侵防御系统设计 ............................................................................................ 11 4.3. 内网管理和安全准入设计 ........................................................................................ 12 4.4. 网络防病毒设计 ........................................................................................................ 14 4.5. 病毒过滤网关设计 .................................................................................................... 15 4.6. 安全隔离与信息交换系统的设计 ............................................................................ 17
5. 6.
安全建设效果 ...................................................................................................................... 17 设备配置清单 ...................................................................................................................... 19 6.1. XX火电建设公司安全产品清单 ............................................................................... 19
7. 安全产品说明 ...................................................................................................................... 20 7.1. 天融信TOPVPN 6000网关简介 .............................................................................. 20 7.2. 天融信入侵防御系统产品介绍 ................................................................................ 25 7.3. 7.4.
盈高多维安全准入控制系统简介 ............................................................................ 29 江民网络版杀毒软件产品介绍 ................................................................................ 34
7.5. 天融信防病毒过滤网关简介 .................................................................................... 38 7.6. 国保金泰安全隔离与信息交换系统产品介绍 ........................................................ 39
长沙天融信网络安全技术有限公司 第 2 页 共 42 页
1. 概述
1.1. 项目背景及需求
XX火电建设公司网络系统经过多年建设和运行,虽然目前能基本满足业务系统的安全需求,但网络中存在着自然和人为等诸多因素的脆弱性和潜在威胁。尤其是在开放的网络环境下,信息系统不可避免会受到来自各个方面的各种主动或被动的人为攻击,如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等。XX火电建设公司网络中不时出现的ARP攻击和U盘带有病毒或木马接入网络,也是困扰网络管理者和用户的迫切需要解决的问题。
XX火电建设公司业务系统数据敏感程度高,对数据采集、处理、传输和存储自然提出了更高的要求。随着信息技术的发展,系统的安全性也就成了重中之重,针对现有网络进行安全加固和安全建设迫在眉睫。通过在现有基础上对信息系统进行全面的安全风险评估、需求分析和升级改造,并结合XX火电建设公司业务系统自身特点和等级保护相关要求重新进行信息安全保障体系的整体规划和整改建设,从而增强XX火电建设公司信息系统安全保障能力。
1.2. 项目目标
通过安全升级建设后的XX火电建设公司网络系统必须具备高度的安全性、可靠性和稳定性,为各项业务系统和办公系统的应用搭建好一个高效、安全、稳定的平台。
本方案是在充分调查和了解XX火电建设公司信息网络建设情况,结合国家相关政策和标准而进行的规划和设计,为XX火电建设公司网络安全而提出规划性建议,实现以下的设计目标:
信息网络保密性目标 长沙天融信网络安全技术有限公司 第 3 页 共 42 页
确保XX火电建设公司网络中的信息只能被授权的人员访问,具体防护目标包括:
? 信息系统不会被越权访问,只有授权用户在经过鉴别后,防可发起访问,
获取相关信息;
? 信息系统的合法访问身份具有“唯一性”,并且身份无法被复制,在网络
中无法被假冒;
? 信息系统中存储的数据也需要有防非法拷贝措施,对于信息的合法复制、
拷贝、删除等操作,有相应的日志信息,并且日志信息可以追查到用户的身份。
信息网络可用性目标 XX火电建设公司的可用性目标指要确保已授权用户在需要时,可以正常访问XX火电建设公司中的信息和相关资产。可用性破坏是指XX火电建设公司所提供服务的中断,授权人员无法访问XX火电建设公司和信息。
对于XX火电建设公司来讲,可用性目标是保障XX火电建设公司授权用户能够及时、可靠地访问信息、服务和系统资源。在本方案中重点考虑的可用性保护目标包括两个方面:
? 确保XX火电建设公司所提供服务的可用性;
? 确保XX火电建设公司中存储、传输和处理的信息的可用性。 信息网络完整性目标 XX火电建设公司的完整性目标指要确保XX火电建设公司中信息及信息系统的准确性和完备性。针对XX火电建设公司,完整性破坏是指对XX火电建设公司的信息和信息系统的未授权修改和破坏,导致错误信息被传递或被存储。本方案中重点考虑完整性保护包括以下几个方面:
? 系统能够检测到管理数据、鉴别信息和用户数据在传输过程中完整性受到
破坏,并且在检测出错误时,系统能够采取相应的措施;
? 系统能够检测到管理数据、鉴别信息和用户数据在存储过程中完整性受到
破坏,并且在检测出错误时,系统能够采取相应的措施;
? 系统完整性目标还体现在XX火电建设公司信息系统自身的完整性,从物
长沙天融信网络安全技术有限公司 第 4 页 共 42 页
理环境、基础网络、操作系统、数据库系统、党政内网应用系统等每一个组成部分的完整性。
2. 用户需求分析
2.1. 安全需求分析
2.1.1. 网络安全的需求
网络是信息系统赖以存在的实体,离开了网络平台,信息的传递、业务的开展将无从依托,因此如何保障网络的安全,是构建XX火电建设公司系统安全架构的基础性工作,对于XX火电建设公司来讲,网络安全主要解决运行环境的安全问题,对应网络层安全威胁,网络安全主要的技术手段包括边界防护技术、检测与响应技术等,对照XX火电建设公司的实际情况,我们看到其存在以下的安全需求:
基于XX火电建设公司对访问合理性缺乏控制的风险,为防范对XX火电建设公司系统非授权的访问和越权访问的发生,必须采用强制的访问控制措施,通过访问控制策略,限制信息网络中的访问,确保只有严格执行安全策略的访问才能被转发。
2.1.1.1. VPN升级的需求
XX火电建设公司各项目部、分支机构主要是通过INTERNET和XX火电建设公司进行数据交换共享,这样满足了各部门相关工作可以利用现有的网络设备,花费较少的投资就能实现信息异地传输共享,但由于广域网各节点间是通过公网INTERNET进行信息传输,存在非法访问和信息被窃听、泄漏的风险。我们在广域网上发送和接收信息时要保证:
? 除了发送方和接收方外,其他人是不可知悉的(隐私性); ? 传输过程中不被窜改(真实性);
长沙天融信网络安全技术有限公司 第 5 页 共 42 页