中型企业网络安全一体化建议方案

I中型企业网络安全一体化建议方案二○一三年九月目录II第1章综述...................................................................................................................................................31.1建设目标...........................................................................................................................................31.2主要建设内容...................................................................................................................................31.3建设原则...........................................................................................................................................3第2章需求分析............................................................................................................................................5第3章建议方案............................................................................................................................................73.1安全域划分......................................................................................................................................73.2总体拓扑设计..................................................................................................................................83.3方案设计说明..................................................................................................................................93.3.1网络边界及网站防护............................................................93.3.2网络入侵防护.................................................................183.3.3网络防病毒...................................................................203.3.4终端安全管理.................................................................213.3.5网络安全审计.................................................................233.3.6数据库审计...................................................................253.3.7远程安全传输.................................................................273.3.8数据备份及恢复...............................................................283.3.9集中安全管理.................................................................28第4章方案配置...........................................................................................................................................324.1基本型套餐....................................................................................................................................324.2中度型套餐....................................................................................................................................324.3全面型套餐....................................................................................................................................333第1章综述1.1建设目标建设目标是：构建XX公司基础防护体系，实现数据安全防护和网络安全防护，并构建安全管理能力。1.2主要建设内容本项目建设内容：完成XX公司基础网络安全防护，涉及网站安全、边界安全、终端安全、数据备份及恢复、安全管理等。1.3建设原则XX公司安全体系的建设应遵循以下原则：经济实用性原则：安全化体系设计时，既要考虑安全风险和需求，又要考虑系统建设的成本，在保证整体安全的前提下，尽可能的减少投资规模，压缩开支。优化系统设计，合理进行系统配置，所采用的产品，要便于操作、实用高效。适度安全原则：任何信息系统都不能做到绝对的安全，因此，在网络结构扩建设计时，要在网络需求、安全风险和运维成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。可管理性原则：系统应能提供网络层的可网管手段以及对整网安全态势的总览和安全风险分析，以方便工作人员的日常维护及对相关设备的远程监控。从而对信息化系统的相关设备故障可做快速远程定位及故4障排查。成熟和先进性原则：系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制。5第2章需求分析对于XX公司而言，存在以下迫切需求：网络边界保护：是XX公司网络防护最基本的需求之一，保护内部网络脆弱的服务，通过过滤不安全的服务，控制对内部系统的非授权访问，并记录和统计通过网络边界的网络通讯，便于跟踪以及事后分析；网站安全防护：XX公司的门户网站作为企业对外门户，是XX公司品牌和形象的展示窗口，一旦遭受重要攻击或被恶意篡改，会影响公司的社会形象，因此防攻击和防篡改是迫切的安全防护需求；移动办公接入：根据XX公司业务需要，会有大量的员工采用移动办公方式从互联网访问公司内网相关业务系统，需要为其提供安全可靠的认证和接入防护措施。内网终端安全管控：虽然XX公司会部署防火墙等网络边界安全设备，但是由于边界防御产品无法对员工的个人行为进行管制，网络中的终端PC的安全运行无法得到保障，使得单位内部网络想日常运营存在重大的安全隐患，内部网络中的大量敏感信息也受到严重威胁。因此有必要对XX公司内网终端PC进行安全管控；上网行为管控/流量控制：互联网访问是XX公司业务办公的必须手段之一，但是在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重，包括：P2P下载对公司宝贵带宽的消耗，通过Email、Webmail、MSN等途径的泄密行为，恶意发帖、发表反动言论等带来的法律问题，以及上班时间QQ聊天、在线游戏、在线炒股等非工作网络行为等，XX公司6迫切需要对这些行为进行有效的统一管理；网络攻击防护：互联网是XX公司必不可少的工作支撑环境，带来高效和快捷的同时，也给XX公司带来了很大的被攻击风险，特别是以政治或经济利益为主的攻击。而攻击手段也是层出不群，很容易绕过传统的防火墙设备进入内部网络，给服务器或重要的办公终端（如领导电脑）造成破坏，或者使之成为肉鸡，带来更为严重的后果。同时，内部网络也是攻击行为的重要来源，合法或非法内网用户发起的攻击更能发现和抵御；网络病毒过滤：终端和互联网是病毒的最大来源，在XX公司未部署网络版杀毒软件的情况下，病毒防护的关键是防止“毒从口入”，在病毒侵入网络之前从网络上实时的阻止它们。数据备份恢复：随着XX公司业务系统的不断建设和使用，越来越多的重要数据不断出现、增多，使得重要数据量日益庞大，因此，如何保护好计算机系统里的数据，保障数据的完整性，并且完整的保存各阶段的数据、信息内容，将是XX公司所面临的新的挑战；7第3章建议方案3.1安全域划分安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。对庞大复杂的信息系统，从业务相似性、信息资产相似性、安全需求相似性、地域环境相似性等特点，进行安全域的划分，并以此为基础进行安全系统的设计，是被证实非常有效的安全建设方法。基于域进行安全设计的总体思想是：将原本复杂的系统，根据支撑业务、信息资产、地理位置、使用单位等要素划分为多个相对独立的安全区域，然后根据各个安全区域的特点来选择不同的防护措施。针对XX公司网络及业务，可按照两级的方式进行安全域的划分，具体划分结果如下：第一级安全域划分根据安全域划分原则，重点考虑业务访问关系，可将XX公司网络划分为六个一级安全域，具体划分结果如下：核心区域、互联网接入区域、网络管理与安全区域、业务区域、数据存储区域。安全域划分如下图所示：8发布(DMZ)区XX公司网络安全域划分互联网接入区业务区数据区核心区网络管理与安全区内部业务区外部访问区图XX公司网络安全域划分第二级安全区域划分以第一级安全域为基础，根据各保护区域内信息资产类型及业务流程关系，可以将一级安全区域进一步划分为多个二级安全子域，并通过VLAN技术实现子域间的隔离控制。3.2总体拓扑设计9网络管理与安全区核心区互联网接入区发布（DMZ）区数据区业务区WEB防火墙IPS存储交换机存储及备份服务器负载均衡负载均衡防火墙防火墙IDS防火墙网络审计数据库审计VPN网管安全管理安全审计病毒网关分公司分公司互联