网络信息安全解决方案

XXXX信息系统 安全建设方案

第1页

项目：XXXX网络整体优化设计方案

目 录

第1章

1.1

项目概述 ....................................................................................................... 5 项目背景 ....................................................................................................... 5

1。2 项目目的 ....................................................................................................... 6 第2章

信息系统现状及需求分析 .............................................................................. 6

2。1 信息系统现状 ................................................................................................ 6

2。1。1网

6

络结构现状2。1.2 信息系统现状 .......................................................................................... 7 2.2 第3章 第4章

信息系统安全现状分析 .................................................................................. 7 总体安全目标 .............................................................................................. 10 安全解决方案总体框架 ................................................................................ 11

4。1 网络安全 ..................................................................................................... 11 4.2 4.3 4.4 第5章

5.1

系统安全 ..................................................................................................... 12 应用安全 ..................................................................................................... 13 数据安全 ..................................................................................................... 13 安全解决方案详细设计 ................................................................................ 13 网络安全建设 .............................................................................................. 14 5.1。1 防火墙系统设计 .................................................................................... 14 防火墙系统部署意义 ........................................................................................ 14 防火墙系统部署方式 ........................................................................................ 15 防火墙系统部署后达到的效果 .......................................................................... 16 5.1。2 网络入侵防御系统设计 .......................................................................... 18 网络入侵防御系统部署意义 ............................................................................. 18 网络入侵防御系统部署方式 ............................................................................. 19 网络入侵防御系统部署后所达到的效果 ........................................................... 20 5。1.3 病毒过滤网关系统设计 .......................................................................... 21 病毒过滤网关系统部署意义 ............................................................................. 21 病毒过滤网关系统部署方式 ............................................................................. 23

第2页

项目：XXXX网络整体优化设计方案

病毒过滤网关系统部署后达到的效果 ............................................................... 24 5.1。4 网络入侵检测系统设计 .......................................................................... 25 入侵检测系统部署意义 .................................................................................... 25 入侵检测系统部署方式 .................................................................................... 26 5.1.5 VPN系统设计 ....................................................................................... 28 VPN系统部署意义 .......................................................................................... 28 VPN系统部署方式 .......................................................................................... 29 5。2 系统安全建设 .............................................................................................. 31

5.2.1 集中安全审计系统设计 .......................................................................... 31 集中安全审计系统部署意义 ............................................................................. 31 集中安全审计系统部署方式 ............................................................................. 31 集中安全审计系统部署后达到的效果 ............................................................... 32 5.2.2 网络防病毒软件系统设计 ...................................................................... 34 5.2。3 终端管理系统设计 ................................................................................. 35 终端安全管理系统部署 .................................................................................... 35 终端管理系统部署后达到的效果 ...................................................................... 37 5.2.4 信息安全管理平台设计 .......................................................................... 39 信息安全管理平台部署意义 ............................................................................. 39 信息安全管理平台部署方式 ............................................................................. 40 信息安全管理平台部署后的效果 ...................................................................... 41 5。2。5ERP 5.3 5.4 第6章

6.1

42

应用安全建设 .............................................................................................. 44 数据安全建设 .............................................................................................. 44 XXXX信息系统安全建设管理制度建议 ....................................................... 47 策略系列文档结构图 ................................................................................... 47

系

统

服

务

器

冗

余

备

份

机

制

设

计

6。2 策略系列文档清单 ....................................................................................... 49 第7章 第8章

搬迁后网络拓扑规划 ................................................................................... 52 安全解决方案整体实施效果 ......................................................................... 52

第3页

项目：XXXX网络整体优化设计方案

第9章 第一期安全实施效果 ...................................................................................

缩写

为了方便阅读，特将文中提及的术语及缩写列示如下：

缩写 XXXX 解释 第4页

项目：XXXX网络整体优化设计方案

第1章

1.1

项目背景

项目概述

一、化工行业面临的挑战

信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式,改变着国与国之间、企业与企业之间的生存和竞争环境。加入WTO之后，我国企业正直接地、全面地面对国际市场的全方位竞争.形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业,推动产业的优化和升级.信息化是个大战略。推进化工企业信息化，不是要我们做或者出钱支持我们做我们才做的事情，它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要，是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。

众所周知，中国作为发展中国家，工业化进程是不可逾越的一个过程。在这个高速发展的过程中,快速的积累社会财富则必然带来资源大量消耗的矛盾。中国要走新型工业化道路，降低资源消耗、减少环境污染是核心。由于国内需求的拉动和世界经济的影响，新世纪伊始，化工工业进入了高速发展时期，在产能快速增长的同时,资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展，化工工业走循环经济的发展方向,必须采用工程科学技术，提高资源、能源综合利用，减少环境污染,把挑战转化为机遇,使化工工业在新型工业化道路上健康稳步迈进， \"坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子\"，实现跨越式发展和可持续发展。

二、信息化是化工工业合理利用资源，实现可持续发展的重要途径

中国化工工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求，需要以信息技术为手段、以管理创新、技术创新、制度创新为动力，改造落后装备,实现生产过程自动化、管理信息化。

信息化为中国化工工业走新型工业化道路提供了重要机遇.特别是在资源开发和利用

第5页

项目：XXXX网络整体优化设计方案

中，使用先进的信息技术能够实现优化设计、制造和管理，通过对各种生产和消费过程进行数字化、智能化的实时监控，大大降低各种资源的消耗。对于中国化工企业来说，信息化是企业合理利用资源、降低资源消耗的重要途径。

应用信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如：信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段，这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料，能源信息管理系统、环保污染监控系统已经在化工企业得到应用；数据库技术可以对这些资源消耗量进行分析预测并作出预报预警，网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中，进行统计分析；通过产销系统和制造执行系统的运行，保证产品质量，减少废次品，以销定产，以产定料,压缩库存，合理资源调配，避免能源和资源的浪费，提高资源／能源的综合利用率；设备管理系统能够对设备的检点维修状况进行动态管理，防止设备未及时检修造成资源的跑冒滴漏现象发生;智能化仪表将各种资源使用情况准确记录下来等等，信息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径.

1.2 项目目的

本方案依据与XXXX工程师的交流沟通，将对XXXX网络做出系统的全面优化设计.其目的在于构建XXXX整体网络安全体系架构,部署网络安全策略，保证XXXX的网络安全、系统管理都能有机整合。

第2章

2.1

信息系统现状

信息系统现状及需求分析

2.1.1 网络结构现状

XXXX信息系统现有网络拓扑图如图1。1所示：

第6页

项目：XXXX网络整体优化设计方案

图1。1XXXX信息现有系统网络拓扑图

2.1.2 信息系统现状

XXXX网络系统目前市区厂区网络和开发区厂区网络组成，两个厂区使用2M专线进行互联。在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台Link Trust80防火墙，局域网网络使用星形接入方式，使用HP 5308XL交换机作为核心交换节点,根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN，还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中，接入一条100M带宽的互联网链路,互联网边界部署了一台Link Trust100防火墙,局域网网络使用星形接入方式,使用华为6503交换机作为核心交换节点，目前网络中有财务系统服务器、ERP系统（负责单位进销存)服务器、ERP系统数据备份服务器、文件服务器(采用共享方式）以及作为对外发布的FTP服务器。

XXXX共有三百多台电脑，两个厂区分别采用星形组网方式,使用Vlan来防范网络间恶意攻击与破坏。通过划分VLAN子网，缩小了广播域，通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内，实现部门间的逻辑隔离,避免了避免了广播风暴的产生,也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率，保证网络稳定,提高网络安全性。

2.2 信息系统安全现状分析

XXXX信息化建设从无到有，经历了迅速建立与逐步改善的过程，在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩，随着网络技术的不断发展,信息量的增加，网络规模的扩大，数据量，业务量的增加，网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多,XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。

现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制,导致网络极易感染病毒，网络大部分带宽被与工作无关的应用长期占用，严重影响单位的正常业务的运行.对互联网访问的内容无法实现有效的控制及审计.网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少,网络安

第7页

项目：XXXX网络整体优化设计方案

全管理体系还未形成。

另外针对已经部署的产品和系统合理有效的配置使用，使其充分发挥其安全防护作用方面，以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面，都还需要做进一步的工作.

根据充分的调查研究,XXXX的信息系统安全建设的需求有以下四个方面： 1、网络安全

<1>市区厂区和开发区厂区分别使用各自的互联网链路，每条互联网边界均部署了一台防火墙系统。这两台防火墙作分别提供XXXX两个厂区的用户上网和对外发布应用服务，随着上网用户和发布应用服务的增多，防火墙的负载将越来越来大，现有防火墙可能成为网络瓶颈。

<2>开发区厂区的一卡通服务器和客户机间没有安全防护措施，客户机对服务器可以进行任何操作.因为很多客户机可以上网，极易感染木马、病毒，客户机也可能会感染或攻击服务器，影响服务器应用的正常使用，造成难以估计的损失.因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。对外发布供用户使用的FTP服务器等应用也缺乏必要的安全保护措施.

〈3〉缺乏异常流量、恶意流量监控、审计和防御机制，现如今网络上存在着大量的不法黑客以及许多异常流量，对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络，及时了解网络的健康状态，通过这些信息可以采取一些相应的手段去解决问题,我们在采取法律手段时也无法提供了依据和证据。

<4〉XXXX驻外办事处、出差等移动用户需要和总部实现数据共享，目前只能通过设置地址映射访问公网IP地址,由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的，数据传输时无法做到数据的加密，无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改,无法确保通信双方身份的真实性无法保证数据的传输安全。 2、系统安全

<1〉随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加。一方面，个人电脑、服务器和移动设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加；另一方面，各种应用软件和补丁更新换代速度加快,来自企业内、外部的网络攻击也日益猖獗；终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非

第8页

项目：XXXX网络整体优化设计方案

法内联等问题的存在，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式,缺乏采用统一策略下发并强制策略执行的机制，进行桌面安全监管、行为监管、系统监管和安全状态检测，实现对局域网内部桌面系统的管理和维护,能有效保护用户系统安全和机密数据安全。

〈2>XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析安全发展趋势,有着重要的意义，是用户网络安全管理的重要依据。但是，由于各网络安全产品一般工作、各自为战，产生的安全事件信息也是格式不一，内容不同,且数量巨大，导致安全管理员难于对这些信息进行综合分析,对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。

〈3〉 ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行,为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断.

<4>在内网系统中，还没有配置一套整体的防病毒体系,对于现的网络环境来说无疑是给病毒的入侵埋下了极大的隐患。

<5>缺乏信息安全管理平台,通过信息安全平台集中同时实时的了解设备，服务器的运行状态和系统资源使用情况，大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时.网络中的各产品之间没有联系,给管理工作带来了一定的难度，难以发挥应有的整体效果.另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中,对发现的违规操作或感染病毒的计算机，不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员。 3、应用安全

〈1>目前XXXX文件服务器采用网上邻居共享访问的方式，文件服务器共享的资源可以

被公司所有用户进行查看、下载、编辑、删除等动作，文件服务器缺乏用户认证机制,文件服务器数据缺乏安全性、私密性。另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题，通过网上邻居传输文件时使用netbios协议,然而现在有很多蠕虫病毒利用netbios协议的端口扫描网络主机漏洞、传输病毒文件，使病毒扩散到整个网络，最终导致系统崩溃、网络瘫痪，业务无法正常开展。 4、数据安全

第9页

项目：XXXX网络整体优化设计方案

〈1>ERP系统作为XXXX进销存应用系统,其数据关系到整个XXXX业务的运行，其重要性不言而喻，目前ERP系统数据通过网络备份到另一台服务器上，使用硬盘作为数据备份存储介质故障率很高,存在很大的数据安全风险。另外财务系统也存在数据备份的问题。

第3章 总体安全目标

为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对XXXX信息系统造成影响,我们将采用一系列安全措施来对XXXX信息系统提供必要的安全保护，使包含网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力.根据业务系统的特点和需要，我们制订了如下的总体安全目标:

1、完整性目标

防止存放在服务器和远程业务终端系统中的信息数据被非授权篡改，保证在远程通信过程中信息数据从真实的信源无失真地到达真实的信宿。

2、可用性目标

确保网络和信息系统连续有效地运转，保证合法用户对系统资源和信息数据的使用不会被不正当地拒绝。

3、保密性目标

确保在公网上传输的业务数据和敏感信息不会泄漏给任何未经授权的人和实体,或供其使用。

4、真实性目标

应能对通信中的对等实体所宣称的身份的真实性进行鉴别。 5、可控性目标

保证系统资源不被非法访问及非授权访问，并能够控制信息系统用户对系统资源的使用方式。

6、可审查性目标

能记录系统中发生的全部访问行为,为出现的安全问题进行及时的告警响应并为调查取证提供依据和手段。

第10页

项目：XXXX网络整体优化设计方案

第4章 安全解决方案总体框架

随着信息安全研究的深入发展，各种新的威胁层出不穷,要解决这些新的安全威胁，就需要更完善的安全技术。技术保障体系注重信息系统执行的安全控制。技术控制针对未授权的访问或误用提供自动保护，发现违背安全策略的行为，并满足应用程序和数据的安全需求。

对于XXXX信息系统，主要的安全威胁来自互联网，包括非法访问、黑客攻击、网络窃听和病毒入侵等，根据信息系统的总体安全目标，我们将有针对性地采用适当的安全保障机制来确保信息资产的价值不受侵犯,保证信息资产拥有者面临最小的安全风险和获取最大的安全利益，提高整体网络信息系统抵御各种安全威胁的能力。

整体安全解决方案包括以下几个方面的内容：

4.1

✓

网络安全

边界隔离和访问控制

在互联网边界采取有效的安全隔离和访问控制手段,确保进出的信息和数据都能得到严格的控制和检测，既要阻止来自公网上外部非法用户的访问，也要防止合法用户的越权访问. ✓

网络边界入侵防御

针对来自公网上的各种复杂的安全威胁，如非法入侵、DoS/DDoS攻击、蠕虫、恶意代码等，我们将采用专门的安全机制来对其进行有效的检测和防御,避免服务器因遭受外界网络的恶意攻击而导致正常的网络通讯和业务服务中断、计算机系统崩溃、数据泄密或丢失等等,影响业务服务和信息交互的正常进行。 ✓

网络边界病毒防护

为了保护信息系统免受来自公网上的病毒、蠕虫、木马及其他恶意代码的侵害,我们在互联网出口边界位置不属实时在线的病毒检测和过滤机制，对进出的各种可能携带病毒和恶意代码的网络数据流进行实时检测,确保只有干净的数据才能进入，同时也防止互联网病毒向各远程业务终端系统的传播扩散. ✓

网络通信流量监控和异常流量检测

网络资源滥用、拒绝服务攻击、病毒和蠕虫的爆发等，都会造成网络通信流量的异常，

第11页

项目：XXXX网络整体优化设计方案

因此我们将在互联网边界采用有效的通信流量检测机制，以便能够预先发现进出的流量异常情况并进行分析，及时制止安全事故的发生，或在局部安全事故发生后防止其进一步的扩散. ✓

数据通讯过程中的对等实体认证、数据传输加密和完整性保护

由于移动用户和驻外办事处与服务器之间的数据通讯都是通过公网进行的，因此数据通讯安全需求尤为重要。我们将采用适当的加密技术对数据进行加密传输，保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改,确保通信双方身份的真实性。

4.2

✓

系统安全

系统脆弱性检测和安全加固

为防止攻击者利用网络设备、服务器主机操作系统、数据库系统、通用软件的安全弱点或配置上的漏洞对系统进行非法操作或对数据进行非法访问，我们将定期对系统进行安全性检查和系统加固,包括打补丁、配置优化等。 ✓

系统审计

网络设备、安全设备、操作系统和数据库系统等均开启日志和报警功能,实时记录用户的访问行为和所访问的资源对象以及所执行的操作，并提供有效的分析、统计、告警机制,一方面可以及时发现非法的网络和系统访问行为并通知管理人员进行处理,另一方面也为发生安全事故后的追查和举证提供重要依据，此外还可对潜在的用户非法访问企图起到一定的震慑作用。审计记录数据将采用可靠的方式进行存储，保证其可用性、完整性。 ✓

信息安全管理平台

部署信息安全管理平台，通过信息安全管理平台实时查看重要设备，网络设备、主机，服务器的运行情况和系统资源情况。通过管理平台集中同时实时的了解网络设备、服务器、的运行状态，使用情况,大大提高了运维的效率,防止由于管理人员的遗漏造成问题解决的不及时. ✓

服务器的冗余备份

为最大化保证业务的连续性，我们将对ERP系统服务器主机采取可靠的冗余备份机制,确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。

第12页

项目：XXXX网络整体优化设计方案

4.3

✓

应用安全

文件服务器建设

替换原有以网上邻居网络共享文件的部署方式，建设以FTP服务器做为XXXX的文件服务器，加强用户资源共享的管控。

4.4

✓

数据安全

数据存储备份

我们将逐步健全信息系统的数据备份/恢复和应急处理机制,确保网络信息系统的各种数据实时备份，当数据资源在受到侵害破坏损失时,及时的启动备份恢复机制，可以保证系统的快速恢复,而不影响整个网络信息系统的正常运转。

第5章 安全解决方案详细设计

前面我们从不同层面分别阐述了在XXXX信息系统中需要采用的各种安全技术措施，其中部分措施可以通过在现有网络设备、主机系统中进行适当的安全设置、安全加固来实现,而有一些措施则需要通过采购一定的专业安全产品来实现.我们将在充分利用已有投资的基础上，结合当前国内外最先进的安全技术，适当地增加一些专业的安全设备和软件,从而为XXXX信息系统构建一套由多种安全技术和多层防护措施构成的整体安全防护体系，以确保XXXX信息系统安全可靠地运行。具体包括：

✓ 防火墙系统（市区厂区和开发区厂区互联网边界） ✓ 入侵防御系统（市区互联网边界） ✓ 入侵检测系统(市区核心交换机节点）

✓ 病毒过滤网关（市区厂区和开发区厂区互联网边界) ✓ 网络防病毒系统（提供终端病毒防护）

✓ IPSEC+SSL VPN（驻外办事处和移动用户与市区互联网边界之间通信认证和加

密）

✓ 终端管理系统（提供终端集中管理、策略部署、补丁分发等) ✓ 安全审计系统（提供集中的安全日志审计）

第13页

项目：XXXX网络整体优化设计方案

✓ ERP系统服务器冗余

✓ ERP系统、财务系统等重要数据备份系统 ✓ 文件服务器建设 ✓ 信息安全管理平台建设 以下是对各个部分的详细设计。

上面我们描述了XXXX网络信息安全建设内容，考虑到网络安全管理的特殊性和系统的

延续性，因此在系统的规划、设计、建设和管理中，我们围绕XXXX的管理需求,配合开展相关工作。考虑到系统建设的工作量、技术复杂程度和投资成本,在时间许可和考虑各功能要求轻重缓急的前提下，我们建议项目分两期完成.

一期在开发区厂区部署病毒过滤网关系统、防火墙系统,在市区厂区部署病毒过滤网关

系统、多合一网关系统（包括防火墙、SSL VPN、IPSEC VPN功能）、入侵检测系统，并部署网络版防病毒系统、终端管理系统、安全审计系统、数据安全系统、ERP系统冗余服务器、文件服务器系统.二期在市区厂区部署入侵防御系统，对现有网络中的接入层交换机进行改造，并建立信息安全管理平台。

XXXX信息系统改造后系统网络拓扑图如图1.2所示：

图1.2XXXX信息改造后系统网络拓扑图

5.1 网络安全建设

5.1.1 防火墙系统设计

防火墙系统部署意义

防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通信，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内络通信。通过使用Firewall过滤不安全的服务器，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；阻止攻击者获得攻击网络系统的有用信息，记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具.

设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击，防火墙的主要功能包括以下几个方面：

第14页

项目：XXXX网络整体优化设计方案

（1)防火墙提供安全边界控制的基本屏障.设置防火墙可提高内部网络安全性，降低受攻击的风险。

（2）防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等）,比分散管理更经济。

（3）防火墙强化安全认证和监控审计.因为所有进出网络的通信流都通过防火墙，使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。

(4）防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外，又能防止内部未经授权用户对互联网的访问。

防火墙系统部署方式

在互联网边界设置防火墙系统，负责审核进出网络的访问请求，确保只有合法的访问才能通过,从而为服务器系统建立安全的防御屏障,防范互联网黑客攻击和非法用户的访问。

目前在市区厂区网络中,接入一条100M带宽的互联网链路，互联网边界部署了一台Link Trust100防火墙,在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台Link Trust80防火墙，现有的两台防火墙均为百兆低端设备,其功能和性能均已无法满足网络规模和对外应用的的不断发展，这两台防火墙是否正常运行将关系到XXXX所有用户的上网服务，以及包括Web、FTP、MAIL等系统对外发布的应用服务的正常运行。故建议在互联网出口重新部署一台防火墙,避免出现网络瓶颈提高网络的处理性能，使应用快速稳定的运行.

由于防火墙隔离的是不同的安全区域。防火墙采用将内部区域、互联网区域、DMZ区域分开的方法，在开发区厂区把一卡通服务器部署到DMZ区域，在市区厂区把财务服务器、ERP系统服务器、文件服务器、FTP服务器等部署到DMZ区域,防火墙可以作为不同网络或网络安全域之间信息的出入口，根据安全策略控制出入网络的信息流.再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网、服务器区域和Internet之间的任何活动，从而为互联网边界安全提供了有力的保证. 防火墙部署后系统网络拓扑图如图1。3所示：

图1.3防火墙部署后系统网络拓扑图

具体防火墙部署建议如下：

第15页

项目：XXXX网络整体优化设计方案

1．正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说，访问全部是来自于防火墙转换后的地址，并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。

反向目的地址转换可使对外提供信息发布服务的WEB服务器、FTP服务器、Mail服务器起等系统采用私有IP 地址作为真实地址，外界用户所访问到的是被防火墙转换过的目的地址，这样也能够有效的隐藏内部服务器信息,对服务器进行保护.

2．网上服务请求内容，使非法访问在到达主机前被拒绝。

3．加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。

4.为了避免不同区域的机器冒用IP地址进行越权访问，防火墙的所有端口上还应启用IP地址与MAC地址绑定功能。

5．全面监视网络的访问，及时发现和拒绝不安全的操作和黑客攻击行为,并可以和IDS 实现联动。这不但提高了安全性，而且保证了高性能。

6．加强对各种访问的审计工作，详细记录对网络与主机的访问行为，形成完整的系统日志,使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。。

7。 利用应用层访问特征码对占用过多网络资源的常见P2P软件的流量进行，同时支持对单机或主机组配置并发连接数，以及支持对单机或主机组配置QOS带宽，从而能更有效利用网络资源

8、随着访问量的不断增加，只要增加相同的应用服务器,防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，满足将来应用需求。

防火墙还具有实施监控、身份验证、高可用性、线路备份、深度过滤等众多功能。

防火墙系统部署后达到的效果

防火墙系统部署后达到的效果：  隔离安全区域

防火墙采用多安全区域体系,每个物理接口对应一个的安全区域，在不同网络区域之间进行互联时，全部通信都受到防火墙的监控，通过防火墙的安全策略可以将所联区域设置成相应的保护级别,以保证关键系统的安全.每个区域的安全策略只对该区域有效。每

第16页

项目：XXXX网络整体优化设计方案

个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略.

 地址转换，对外隐藏内部网络信息

正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说，访问全部是来自于防火墙转换后的地址,并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。

反向目的地址转换可使对外提供信息发布服务的WEB服务器等采用私有IP 地址作为真实地址，外界用户所访问到的是被防火墙转换过的目的地址，这样也能够有效的隐藏内部服务器信息，对服务器进行保护。

 2到7层的访问控制

防火墙实现了多级过滤体系，在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制，这对于提高基于通用Internet服务的应用服务器的安全性非常有意义；同时,防火墙还支持第三方认证,提供用户级的认证和授权控制。从而形成了立体的、全面的访问控制机制,实现了全方位的安全控制。

 防御外界黑客攻击

防火墙自身提供了一定的入侵检测和防护功能，能抵御一些常见的网络攻击和DoS/DDoS攻击，并可以和IDS 实现联动。这不但提高了安全性,而且保证了高性能。

 负载均衡

防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。负载均衡方式包括轮询（顺序选择地址）、根据权重轮询、最少连接（将连接分配到当前连接最少的服务器）、加权最少连接(最少连接和权重相结合）。

 日志记录与审计

一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多

第17页

项目：XXXX网络整体优化设计方案

的日志信息.

当防火墙系统被配置为工作在不同安全域之间的关键节点时，防火墙系统就能够对不同安全域之间的访问请求做出日志记录。防火墙系统提供了强大的日志功能，可对重要关键资源的使用情况进行有效的监控，实现日志的分级管理、自动报表、自动报警功能，用户可以根据需要对不同的通讯内容记录不同的日志，包括会话日志（主要描述通讯的时间、源目地址、源目端口、通信流量、通讯协议等）和命令日志（主要描述使用了那些命令，执行了那些操作）。用户可以根据需要记录不同的日志，从而为日志分析、事后追踪提供更多的依据.另外，防火墙系统也能够对正常的网络使用情况做出统计.这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络.同时，产生的日志能够以多种方式导出，可通过第三方日志管理软件进行统一的管理。

5.1.2 网络入侵防御系统设计

网络入侵防御系统部署意义

随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游)等极大地困扰着用户，尤其是混合威胁的风险，给企业的信息网络造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行已经成为各个企业所面临的问题.

面对这些问题，传统的安全产品已经无法应对。传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。入侵检测系统IDS旁路部署在网络上，当它检测出黑客入侵攻击时，攻击可能已到达目标造成损失，无法有效阻断各种攻击;入侵检测系统IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解。

而入侵防御系统是在线部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的恶意代码、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。

入侵防御系统通过加载不同的攻击规则库对流经它的网络流量进行分析过滤,来判断

第18页

项目：XXXX网络整体优化设计方案

是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护.入侵防御系统能够完全阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源.

入侵防御系统可以提供网络架构防护、网络性能保护、核心应用防护，通过使用入侵防御系统可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：蠕虫、拒绝服务攻击、恶意代码以及非法的入侵和访问，为企业网络提供“虚拟补丁”的保护作用.

网络入侵防御系统部署方式

建议在市区厂区互联网出口处部署一套网络入侵防御系统，通过设置检测与阻断策略对流经入侵防御系统的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。入侵防御系统能够在第一时间阻断各种非法攻击行为,比如利用网络系统薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

网络入侵防御系统作为一个网关设备，可透明嵌入到网络出口，即使用两个网络端口,串接在互联网边界与本地局域网交换机之间，通过一个外部网络端口接收来自外部网络的数据包,进行实时检测和过滤,再通过另外一个内部网络端口将它传送到内部系统中；只要发现了有害流量，网络入侵防御系统都能立即将其清除，而不会任其进入内部网络造成侵害。由于在网络出口还要进行防火墙的部署，可将入侵防御系统串接在防火墙的前端，即互联网边界与防火墙之间，这样可以在第一时间发现恶意的网络攻击行为并进行实时阻断,不管攻击是来非法用户还是合法用户.

在部署入侵防御系统IPS时,建议先启用所有过滤策略，动作设置为记录日志，运行一个星期左右时间，由设备厂家技术人员对一周时间的日志进行审计，检查是否存在误报或错报问题,对误报和错报日志进行仔细测试，如该应用为正常应用，应关闭该过滤策略，避免影响正常应用的使用，对恶意流量设置阻断、带宽、记录等动作.通过调整和细化过滤策略，使网络能够安全稳定的运行。

此外，为了避免因入侵防御设备的单点故障导致内络通讯中断，可启用入侵防御接口的失效开放机制，当出现软硬件故障和电源故障时，系统能够自动切换到旁路模式以保障网络的畅通。

第19页

项目：XXXX网络整体优化设计方案

入侵防御系统部署后系统网络拓扑图如图1。4所示:

图1。4入侵防御系统部署后系统网络拓扑图

网络入侵防御系统部署后所达到的效果

网络入侵防御系统在分析/跟踪流量信息的基础上，在线对流经的数据报文进行4～7层信息的深度检测，其部署后的效果为：  入侵检测和防御能力

✓ 强大的蠕虫、木马、后门、间谍软件、 Web攻击、拒绝服务、广告软件防御能力，

根据用户需求自行设置攻击规则,对其他有害攻击行为做检测和阻断

✓ 繁多的垃圾应用、流行P2P/IM、热门游戏、在线视频、网络流媒体的过滤控制能

力，对异常流量进行分析、阻断

✓ 原始包分析功能，对原始包文进行捕获、分析、存储

✓ 使用网络定位工具如nslookup，traceroute,ping等，方便进行网络事件诊断  主动防御机制

✓ 网络入侵防御系统可以根据管理员预先制定的安全策略对流经系统的数据包进行

检测及阻断，包括：

 根据检测和阻断策略对于满足条件的数据报文对包头和负载内容进行过滤，检

测和阻断网络攻击和恶意代码。

 根据异常流量检测及阻断策略，对通过系统每个物理接口的流量、

TCP/UDP/ICMP协议在一定时间内的流量设定阀值，并设定处理措施（检测、限流或阻断）。当设定的时间段内通过系统的整体流量超过阀值时进行限流或阻断。

✓ 丰富的响应方式，实现主动防御和安全预警,包括：

 允许异常流量阀值范围内的数据通过  阻断异常流量阀值范围外的数据通过  检测到策略中设置的数据后，进行报警  超出规则设定范围的数据  记录被检测到攻击的相关数据

 记录系统中相关的操作（登录、修改等）

第20页

项目：XXXX网络整体优化设计方案

 VIDP实现精细化防御

✓ 智能的VIDP功能，针对不同的网络环境和安全需求，制定不同的防御规则和响应

方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防御。

 高可用性

✓ 所有接口都支持FOD失效开放机制，当出现软硬件故障和电源故障时,系统能够自

动切换到旁路模式以保障网络的畅通，而且丝毫不影响数据传输速率；

 报表分析统计功能

✓ 完善的日志功能，分类记录了访问入侵防御系统的所有操作以及与其相关的一切安

全活动,方便用户及时通过分析日志记录的资料来预防入侵和追踪非法行为； ✓ 多种攻击检测、阻断、报警等信息的报表统计功能，根据用户需求生成不同的统计

报表，并可以利用存储日志和事件数据库，做出基于入侵/受攻击主机、攻击类型、期间等各种不同条件类别的报表，并可以以多种不同格式输出，给管理者在管理网络方面提供了决策依据.

5.1.3 病毒过滤网关系统设计

病毒过滤网关系统部署意义

计算机病毒（Computer Virus)在 《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。随着业务应用和数据交换越来越依赖于网络，病毒的危害也越来越普遍。往往是整个网络中只要有一台机器（哪怕是远程的）感染了某种可怕的病毒，很快抱怨声就会从网络的各个角落传出来,文件被破坏，系统被摧毁,数据丢失，结果所带来的侵害不仅对于个人,而且对于整个机构都可能是致命的。对几乎每个企业来说,电子邮件均是企业沟通的重要工具，电子邮件病毒也已变成企业宕机的最大原因之一.蠕虫病毒和特洛伊木马是邮件病毒的主要传播方式。

蠕虫病毒是一种程序，可将自己进行复制到其它系统中。蠕虫病毒的唯一目的是

第21页

项目：XXXX网络整体优化设计方案

复制并扩散至新的区域，通常同时会造成一些损害。蠕虫病毒通常以邮件附件的方式进行传播.

电子邮件是恶意蠕虫病毒的最理想传播工具，因为所有的邮件都有同等地位。邮件作为信息传播工具是平等的，它们使用同样的协议，而不论来自于最卑微的企业还是世界上最大的公司。

特洛伊木马通常被认为是恶意蠕虫病毒进行扩散的工具 — 但更准确的定义应该是：特洛伊木马仅仅是一个隐蔽的程序,它执行发起人计划的行为,而此行为不是接收人所希望的。

在当今环境中，更实际的定义应该是：特洛伊木马是一种有吸引力的内容，可吸引人将它打开。邮件的最终接收者通常是互联网的头号安全威胁：个人。

打开这一内容是释放蠕虫病毒的第一步。一旦打开这一可执行的附件,蠕虫病毒就与一个本地应用程序进行互动，剩下的就都成为历史。

一旦蠕虫病毒进入系统，蠕虫病毒的应用程序接口（API)即与微软Outlook接口（MAPI）互动，以打开地址簿并将自己发送给其中的所有地址，循环再次开始。

如蠕虫病毒或病毒进入系统中,则它们可造成的损坏就没有。阻断这一循环并预防其传播的最现实解决方法是大家经常听到的“不要打开来自不明地址的邮件附件”。只有在严格遵守这一规定时，此方法才有效。因为是人在接收电子邮件，所以特洛伊木马的吸引力有时无法拒绝。

很明显，不允许病毒达到最终接收者是一个重要的战略，而使用边缘病毒防御便是针对该目标的一个可异常轻松执行的方式。

网关防毒系统所达到的效果：  阻止99％以上的病毒传播

据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99％的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机.

病毒过滤网关作为一个专门的硬件防病毒设备，安装在因特网网关处，实时检查进入网络的数据流，保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰.病毒过滤网关可处理以下协议：SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤,对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。

第22页

项目：XXXX网络整体优化设计方案

 弥补网络版防病毒产品的不足

网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer）,而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。

病毒过滤网关作为一个专门的硬件防病毒设备，只要安装在网络的入口处，就可以保护内部局域网免受各类病毒,木马的和垃圾邮件的干扰.病毒过滤网关实时检查进入内部网络的数据流,当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件，保护内部的服务器和工作站设备,同时对用户是完全透明的.

 自动在线升级

病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器,升级最新的病毒库,保证网络得到最有效的防病毒保护。

病毒过滤网关系统部署方式

建议分别在市区厂区和开发区厂区互联网边界部署专门的病毒过滤网关系统，防止来自互联网的病毒和恶意代码进入网络，同时也防止互联网病毒以服务器为途径向各远程业务终端系统的传播扩散。

建议在互联网出口边界部署专门的病毒过滤网关系统，串接在互联网边界防火墙和本地局域网交换机之间,一方面可以适当减少需要过滤网关处理的数据量，另一方面也可以保护过滤网关系统自身不受外界的恶意攻击.还可以部署在每个需要保护的网段中（如重要服务器区域）,实时检查进入内部网络的数据流，当网关检测到病毒时,它会自动根据相应的策略来处理病毒和染毒文件,保护内部网络中的服务器和工作站设备，同时对用户是完全透明的。部署后可防止来自互联网的病毒和恶意代码进入服务器系统，同时也防止互联网病毒传播扩散占用互联网出口带宽。另外防病毒网关需要内置硬件BYPASS功能,当设备出现软件、硬件及电源故障时快速、自动切换到直通状态，保障网络可用性。 病毒过滤网关部署后系统网络拓扑图如图1.5所示:

图1。5病毒过滤网关系统部署后系统网络拓扑图

第23页

项目：XXXX网络整体优化设计方案

病毒过滤网关系统部署后达到的效果

网关防毒系统部署后达到的效果：  阻止99％以上的病毒传播

据ICSA病毒流行性调查结果，电子邮件和Internet互联网已成为病毒传播的绝对主要途径。99%的病毒都是通过SMTP、HTTP和FTP协议进入用户的计算机。

病毒过滤网关作为一个专门的硬件防病毒设备，安装在因特网网关处，实时检查进入网络的数据流,保护网络内部的服务器和工作站设备免受各类病毒，蠕虫，木马和垃圾邮件的干扰.病毒过滤网关可处理以下协议:SMTP、POP3、HTTP、FTP和IMAP，及时清除进出网关的邮件病毒、蠕虫攻击包，对进出网关的垃圾邮件、关键字进行过滤，对进出网关的Web访问、FTP访问行全面防毒扫描，彻底阻断因特网病毒的传播途径。  弥补网络版防病毒产品的不足

网络版防毒软件无法拦截攻击操作系统和应用软件安全漏洞的新型蠕虫（如SQLSlammer），而且需要投入较多的管理精力，往往会因为用户防病毒意识薄弱或对防毒产品配置不当而极大地影响防病毒能力。

病毒过滤网关作为一个专门的硬件防病毒设备,只要安装在网络的入口处，就可以保护内部局域网免受各类病毒，木马的和垃圾邮件的干扰。病毒过滤网关实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件,保护内部的服务器和工作站设备,同时对用户是完全透明的.  自动在线升级

病毒过滤网关可以按照管理员设定的更新策略自动连接到厂商的升级服务器，升级最新的病毒库,保证网络得到最有效的防病毒保护。  统计报表功能

防病毒网关提供了详细的报告，能够按照用户配置的参数查询相关的数据生成多种格式的图形化统计报表，形象直观，方便管理员的管理工作.报表中可以记录病毒的数目，主要病毒所占比例等信息，并且可以记录所有的网络活动情况。这些数据可以帮助管理员更好的规划网络需求和对防病毒网关进行配置.同时，这些用户需要的报表可以发送到管理员预先配置的邮箱，以供进一步的信息查询。  强大的监控功能

防病毒网关提供强大的监控功能,可以监控过滤网关系统资源、网络流量、当前会话数、

第24页

项目：XXXX网络整体优化设计方案

当前病毒扫描信息等，极大地方便管理员对过滤网关进行监控.  报警功能

报警配置用于当某个病毒突然爆发时，防病毒网关可向网络管理员发送报警信息。  内置Bypass功能

利用防病毒网关内置的硬件BYPASS功能，当设备出现软件、硬件及电源故障时快速、自动切换到直通状态的功能，保障网络可用性。

通过部署网关防病毒设备，以解决桌面杀毒软件无法解决的防病毒难题：

 检测阻断SQLSlammer等的新型蠕虫的功击,这是传统的防病毒软件所做不到的。

 防病毒软件部署率不高，有漏装

 防病毒软件病毒特征码没有及时更新或者禁用  防病毒软件配置不当影响了防病毒的能力  客户机及服务器没有及时安装系统补丁

使用网关防病毒设备和网络版防病毒软件配合工作形成整体的防病毒体

5.1.4 网络入侵检测系统设计

入侵检测系统部署意义

网络入侵检测技术也叫网络实时监控技术，它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接,或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉等.

网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析,及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接收受监控网络旁路过来的数据流.为了更有效地发现网络受攻击的迹象，网络入侵检测部件应能够分析网络上使用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别能力.

第25页

项目：XXXX网络整体优化设计方案

利用网络入侵检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案，其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面，而网络入侵检测技术除了减小网络系统的安全风险之外，还能对一些非预期的攻击进行识别并做出反应，切断攻击连接或通知防火墙系统修改控制准则，将下一次的类似攻击阻挡于网络外部.

入侵检测系统部署方式

已经建议在互联网出口部署IPS，但是IPS只是在网络的出口，针对流入流出该设备的数据进行数据检测的，如果是内网核心交换机和汇聚交换机上有蠕虫病毒,ARP病毒或者攻击等恶意行为发生，因为IPS部署在Internet接口处,只可以抵御来至外部的攻击,但对于内部的攻击就没有效果了，因为攻击的流量是不经过IPS设备的,但据IDC统计目前有很多攻击都来源于企业的内部，如对企业不满的员工，商业间谍等，所以必须在内网也要部署相应的IDS，通过IDS的日志,我们可以方便的追溯至攻击者，同时也为我们采取法律手段提供了依据和证据.建议在市区厂区核心交换机节点部署入侵检测系统，对内网异常流量进行监控审计.

另外现如今网络上存在着大量的不法黑客以及许多异常流量,一旦受到黑客攻击或入侵，将直接影响系统的运行,因此需要了解攻击的频率和特征，有助于选择保护网络免受相应攻击的安全手段。通过收集攻击的可信的详细信息进行事件处理和恢复，这些信息在某些情况下还可以作为犯罪的佐证.

入侵检测是防火墙,入侵防御等其它安全措施的补充,帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象.入侵检测被认为是XXXX网络中IPS之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。

传统的防火墙防御都是静态的被动防御，对于XXXX对信息安全要求比较高的的网络,形成动态的主动的防御体系是非常重要的，防火墙和入侵检测系统可以形成互动的动态防

第26页

项目：XXXX网络整体优化设计方案

御体系，实时的检测、抵御各种网络入侵活动.当入侵检测发现异常的攻击行为的时，产生报警并根据策略进行适当的干预（例如发送reset包），同时将报警信息发送到控制台以通知网络管理员并记录日志，同步的,还可以将报警信息传递给防火墙，防火墙根据报警信息调整安全策略，对攻击源采取进一步的更强有力的干预和控制行为（例如或切断攻击源的连接等）.

除了入侵检测技术能够保障系统安全之外,下面几点也是使用入侵检测的原因: （1） 计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题

的困扰。入侵检测系统可以发现已有的威胁，并对攻击者进行惩罚,有助于上述目标的实现，并对那些试图违反安全策略的人造成威慑。

（2） 入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的

攻击技术,能够对大量系统进行非授权的访问，尤其是连接到XXXX的系统，而当这些系统具有已知漏洞的时候这种攻击更容易发生.尽管开发商和管理员试图将漏洞带来的威胁降到最低程度,但是很多情况下这是不能避免的:

 很多系统的操作系统不能得到及时的更新

 有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者资源进行系统更新,这

个问题很普遍，特别是在那些具有大量主机或多种类型的软硬件的环境中。  正常工作可能需要开启网络服务，而这些协议是具有漏洞,容易被攻击的。  用户和管理员在配置和使用系统时可能犯错误。

 在进行系统访问控制机制设置时可能产生矛盾，而这将造成合法用户逾越他们权限的

错误操作。

（3） 当黑客攻击一个系统时，他们总是按照一定的步骤进行。首先是对系统或网络的

探测和分析，如果一个系统没有配置入侵检测，攻击者可以自由的进行探测而不被发现，这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测,则会对攻击者的行动带来一定难度，它可以识别可疑探测行为，阻止攻击者对目标系统的访问，或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。

（4） 入侵检测证实并且详细记录内部和外部的威胁,在制定网络安全管理方案时,通常

需要证实网络很可能或者正在受到攻击。此外,攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段.

（5） 在入侵检测运行了一段时间后，系统使用模式和检测问题变得明显，这会使系统

的安全设计与管理的问题暴露出来，在还没有造成损失的时候进行纠正。

第27页

项目：XXXX网络整体优化设计方案

（6） 即使当入侵检测不能阻止攻击时，它仍可以收集该攻击的可信的详细信息进行事

件处理和恢复，此外，这些信息在某些情况下可以作为犯罪的佐证。

总之，入侵检测的根本意义在于发现网络中的异常.管理人员需要了解网络中正在发生的各种活动，需要在攻击到来之前发现攻击行为，需要识别异常行为,需要有效的工具进行针对攻击行为以及异常的实时和事后分析.“知情权是网络安全的关键”，这使得入侵检测成为其它许多安全手段，如安全网管系统的基础。 入侵检测系统部署后系统网络拓扑图如图1。6所示:

图1.6入侵检测系统部署后系统网络拓扑图

5.1.5 VPN系统设计

VPN系统部署意义

对企业来说，从外部对内部资源的访问已经达到强烈的需求。早些时候，主要是通过DDN/帧中继等租赁线路来实现，其高昂的价格和扩充方面的缺陷是主要的问题.随着Internet的发展，虚拟专用网（VPN）成为一种新的选择。VPN借用成熟的IPSec技术提供在公网上实现的更加便宜，更加灵活的服务。IPSec VPN在固定的site-to—site方面的方案更高效,但是对于远程接入的移动用户，从很多方面（从购买到维护)，仍然是价格高昂，而且很多时候是无法实施的。SSL VPN技术就是在这种情况下引起重视，它可以提供移动用户安全而且简单的接入方案.

相对于传统的VPN技术，SSL VPN是用另外一种不同的方法在公用网络上传输私有数据。它不是依靠终端用户在公司笔记本上配置客户端，SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有，不用额外的软件实现。

使用SSL VPN，在移动用户和内部资源之间的连接通过应用层的Web连接实现,而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术，因为：

 SSL无需被加载到终端设备上  SSL无需终端用户配置

 SSL无需被限于公司笔记本，只要有标准浏览器即可使用

SSL对大部分用户来讲是熟悉的，即便是没有技术背景的用户。它已经被安装到任

第28页

项目：XXXX网络整体优化设计方案

何一台可以通过标准Web浏览器访问Internet的设备上，于任何操作系统，所以操作系统的变化并不需要对SSL进行更新。而且因为SSL VPN在应用层实现，对应用的更进一步的细化控制也成为可能，使它对移动员工和来自非安全点的用户来说尤为理想。

如果管理员需要允许来自非“信任\"（即在公司的控制之下）点的移动员工和其他用户访问公司的特定资源，那么SSL VPN可以很好的做到这一点。它被设计用来解决怎样使远程/移动员工和伙伴/客户从任何地方安全地访问管理员限定的特定公司资源.SSL VPN允许管理员实现很细化的访问控制，指定URL,文件或主机层次这样的应用。这种功能减少了从无保护点、非信任网络或非授权用户访问公司资源带来的风险。其结果,SSL VPN给用户带来能够从任何地方通过Web方式访问公司资源的便利.

VPN系统部署方式

目前ERP系统、以及将来的OA系统等应用无法适应移动用户和驻外办事处的访问需要，如果使用防火墙配置映射，对外发布ERP等系统，很可能成为网络黑客直接攻击的对象.由于公司出差用户需要通过互联网访问ERP等系统，其应用如销部门员工需要访问经销系统，为了防止在公网上传输的业务数据和敏感信息（如网页URL地址、用户ID等)不被外界人员非法窃取或篡改。我们建议部署VPN系统，VPN部署建议使用IPSEC+SSL VPN结合的方式，驻外办事处和总部建立IPSEC VPN，移动用户采用基于SSL的加密通讯方式,通过互联网，利用通用的网页浏览器（https方式），使用户能够安全、方便地访问应用系统，有利于ERP等系统扩展，资源权限管理。 具体的部署建议如下(以ERP系统部署为例）：

1. 在实施过程用多合一网关替换市区厂区现有的防火墙。把需要验证访问的服务器（ERP系统服务器)创建为资源，供验证访问。

2. 根据访问权限和访问资源分别建立用户组，如访问ERP系统为一组,网络管理员为一组，并根据用户组定义不同的访问权限.网络管理员可以远程应急解决系统故障、网络故障、应用故障等，大大的提高了工作效率。

3. 当公司员工需要登录ERP系统时,使用https：//域名或者https://IP地址，或者在公司网站设置链接,用户点击页面链接即跳转到SSL VPN登录界面，方便用户登录SSL VPN系统，用户登录验证成功后自动跳转到ERP登录系统。

4. 根据用户的访问权限设置不同的认证级别，VPN网关除支持简单的用户名/口令认证

第29页

项目：XXXX网络整体优化设计方案

机制外,还支持双向数字证书认证、动态口令认证和双因素认证等更可靠的认证机制，建议用户使用令牌Key+用户名/口令双因素认证方式，有效避免用户名口令被窥探和窃取后导致严重损失,同时可以解决目前ERP系统、销售系统只使用静态口令的缺陷,降低公司外用户未授权登录系统的机率.

5. 使用VPN安全网关强大的日志审计功能,详细记录登录用户信息，登录时间，访问资源进行审计，形成完整的系统日志,对那些试图违反公司规定的人造成威慑。

6. VPN网关支持基于IP、端口、时间以及URL等访问控制方式,建议登录用户的访问权限（https：//IP地址或域名）。

7. 通过VPN网关连接后台资源，病毒、蠕虫等难以侦测后台网络，所以后使得后台资源更为安全。

8. 通过VPN的客户端安全检查功能，对访问ERP系统的客户端进行安全检查，检查终端具有相关程序、进程、文件、系统补丁等（如检查登录用户是否安全趋势、symantec等防病毒软件，若有安装，可以正常访问，若没有安装，提示无法访问，可设置跳转到安装杀毒软件的web页面)。用户访问完成后，推出页面可设置自动清除cookie、临时文件、历史记录等,防止用户登录信息的泄露.

9。利用VPN安全网关可以实现单点登录功能,除了在防火墙上设置只允许VPN安全网关访问服务器，也可以在应用程序中登录源地址，最大限度的保证了应用系统安全性。

10.考虑到将来可能部署CA系统,VPN支持第三方CA系统，一个U—key可以实现用户登录多个系统时的身份认证。

11。配置VPN系统的防火墙功能,为内网用户提供上网服务及对外发布应用设置。 12。配置VPN系统的IPSEC设置，和驻外办事处建立IPSEC VPN，实现资源共享. VPN系统部署后系统网络拓扑图如图1.7所示：

图1.7VPN系统部署后系统网络拓扑图

第30页

项目：XXXX网络整体优化设计方案

5.2 系统安全建设

5.2.1 集中安全审计系统设计

集中安全审计系统部署意义

XXXX网络中部署了众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析安全发展趋势，有着重要的意义，是用户网络安全管理的重要依据。但是,由于各网络安全产品一般工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应,以致直接影响整个安全防御体系效能的有效发挥。

要对各类系统产生的安全日志实现全面、有效的综合分析，就必须为安全管理员建立一个能够集中收集、管理、分析各种安全日志和访问行为的安全管理系统，使网络管理员不用像以前那样从庞杂的日志信息和访问事件信息中手工搜寻网络入侵的行为,为管理员提供一个方便、高效、直观的管理平台，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。

集中安全审计系统为不同的网络设备提供了统一的事件管理分析平台,打破了不同网络设备存在的信息鸿沟，系统提供了强大监控能力，从网络到设备直至应用系统的监控.在对事件的监控信息的集中及关联分析的基础上，有效的实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应，通过于其它安全设备的联动来真正实现动态防御。

图 集中安全审计系统组成

集中安全审计系统部署方式

我们将在XXXX网络中建立一套集中的安全审计系统，负责采集网络中各台重要服务器以及网络设备、安全设备的日志信息，定时进行分析，并生成统计报告和安全预警报告.

安全审计系统通过记录、分析网络中的各类设备的日志信息，并实时监视网络中的各种设备状态，及时、有效分析出网络中发生的安全事件及入侵行为。并可以根据设置的策略及规则，对违规行为进行记录、报警和阻断。

第31页

项目：XXXX网络整体优化设计方案

安全审计系统主要由安全审计中心、日志数据库、审计系统管理器、日志代理四个部分组成：

1.安全审计中心（Audit Center)

接收日志代理和各种安全设备、系统转发的日志信息，集中保存在日志数据库，分析后通过审计系统管理器将分析前、后的结果呈现给用户.

2。日志数据库（Data Base）

采用关系型数据库，保存各种日志信息、系统配置信息。 3。审计系统管理器（System Manager）

提供给用户一个方便、直观的管理接口。通过管理器用户可以查看日志、报表等各种信息结果。

4。日志代理（Agent）

收集各种操作系统、网络安全设备、应用程序的日志信息，过滤后发送给安全审计中心处理。日志代理是安全审计系统的触角。审计系统主要通过日志代理收集各类系统无法远程收集的信息.

日志代理有两种存在形式，一种是作为网络日志收集引擎的方式直接安装在审计中心服务器上,以通用方式如SYSLOG、SNMP等方式进行被动的日志收集;另一种是作为代理软件的形式安装在需要进行日志采集的目标计算机系统（如Windows NT/2K/2003、Linux等）中，主动采集服务器上无法通过SYSLOG等通用方式发送的日志数据. 需要在网络中增加一台服务器，作为集中安全审计数据中心服务器和管理中心服务器，通过主动采集或被动接收的方式获取网络中各台重要的服务器主机、网络设备、安全设备的日志信息和告警信息，定时进行分析，并生成统计报告和安全预警报告。同时，对重要服务器进行实时安全监控，并对审计数据进行集中、可靠的存储和有效的访问控制。

集中安全审计系统部署后达到的效果

集中安全审计系统部署后达到的效果：  跨平台的日志信息采集

通过本地或远程信息收集等方式收集来自网络中不同设备、系统及应用的日志及实时监视信息(系统提供对不同设备、系统、应用及服务的监视)，同时将收集到的信息根据统一的信息格式进行标准化处理.

第32页

项目：XXXX网络整体优化设计方案

系统支持各类安全设备（如防火墙,IDS、AV等)、网络设备（如router、switch）、应用系统（如Web、Mail、ftp、Database）、操作系统（如Windows、Linux、 Unix）等多种产品及系统的日志数据的采集和分析。

 事件的处理

对接收到的已格式化的事件信息进行处理，首先按审计策略进行事件的过滤，然后对大量的同类事件进行归并处理，避免产生事件风暴。事件的归并能简化后续的分析及方便用户的查看。处理后的事件分别发送至智能实时检测引擎及数据库系统。同时，根据制定的响应策略对不同事件进行不同方式的并作出统一响应。

 事件的可视化分析

通过对系统数据库中历史数据的分析，从不同角度（按网络设备、系统、事件类型等)，按系统预设的不同模板生成分析结果，并根据用户的要求通过丰富的图表来显示分析的结果。分析涵盖了对事件的归类统计及事件的变化发展趋势。

 多层次的实时入侵检测及预警

采用不同的方式针对不同层次日志的特点进行实时检测,网络层的防火墙日志采用了人工智能技术进行检测，可以有效的发现大量常见攻击行为,更能有效的发现未知的攻击行为。

采用IDS技术实时检测来自应用层的日志，从中发现入侵行为，系统提供了一个可配置及升级的攻击规则库.

多层次的实时检测技术有效提高了全网的入侵发现及入侵早期预警能力。  监视功能

集中安全审计系统不仅支持对网络设备及主机的全面监视（在线情况及设备基本性能信息等)，也支持对系统应用的监视。系统同时还提供了对多种网络服务(SMTP、POP3、WEB、FTP、DHCP等)的监视，强大全面的监视功能使得对于大型复杂网络中设备的监管变得易如反掌。

 多样的响应方式及联动

根据定义的事件的危险级别采用EMAIL、铃声、手机短信等多种响应方式，同时系统支持TOPSEC标准协议,能够和其它支持该协议的网络产品进行有效联动，提高审计系统和其他产品的互操作性，实现真正的动态防御。

第33页

项目：XXXX网络整体优化设计方案

5.2.2 网络防病毒软件系统设计

感染病毒后的危害：

1．感染病毒的电脑是受害的直接对象，病毒文件实施自我复制，直至感染所有可感染的文件，感染病毒可能导致系统无法正常工作或数据破坏等直接损失，影响办公效率是病毒破坏的最直接表现，这些损失都是不可估量的。

2．病毒攻击服务器，网络病毒的传播主要通过一些应用服务器如文件服务器、打印服务器、邮件服务器等，可能导致服务器瘫痪或数据破坏,服务器无法工作会影响正常数据传输、交换和资源共享，而数据遭到破坏常会影响系统的运转.

3．高速传播和具有网络攻击能力的病毒，能拥挤了有限的网络带宽，让网络交换机、路由器、服务器严重过载瘫痪。

4．病毒在网络中大面积的传播破坏，给网络运行造成极大危险,严重影响办公和商务运行。建立有效的病毒防护体系相当重要，病毒造成的间接损失可能更大.

XXXX用户在使用移动存储设备（如U盘、移动硬盘）、Internet上网或者外来人员接入网络时感染病毒。XXXX网络中没有部署防病毒产品，对病毒没有任何防御能力.感染病毒后将大量占用系统资源,严重影响了正常业务的使用。

根据XXXX网络结构和办公系统计算机分布情况，病毒防范系统的安装实施要求为:

  

具备实时防护、计划扫描和手动扫描的功能;

具备对各种常用格式的压缩文件、包括多重压缩文件的扫描功能；

感染源和感染文件的隔离功能，提供对病毒感染源的网络连接阻断和隔离功能，并且记录感染源的用户信息.对无法清除病毒的感染文件进行隔离；



查病毒的效率。在性能要求比较高的服务器上能够实现增量方式的查病毒方式,也就是仅仅扫描那些上次扫描过以后有变动的文件;

 

应急恢复功能,提供应急措施，对系统引导区进行应急恢复；

集中监控、重点管理的能力，防病毒管理软件对运行在Windows XP/NT/2000以及其他平台防病毒软件的集中监控管理功能.对于关键的服务器具有实时的病毒活动参数监控方法；



防病毒策略的配置管理，防病毒策略的统一配置管理，能根据不同的防病毒需求分别制定和实施不同的防病毒策略。防病毒管理软件具有分组（域）管理客户端防病

第34页

项目：XXXX网络整体优化设计方案

毒策略和调度相关任务执行的能力；



能够从多层次进行病毒防范，从服务器到客户机都能有相应的防毒软件提供完整的、全面的防病毒保护。

网络防病毒产品是一个比较基础而且成熟的安全产品,在本方案没有对网络版防病毒进行过多描述，我们建议使用网络版防病毒系统，覆盖所有计算机节点和服务器。

防病毒系统是一个很大的概念,把杀毒软件安装到网络的每一台主机上（如客户端PC机、服务器等）,防毒功能的具体实现是落实在网络的每一个点上.但是内网用户可以随意的浏览Internet，操作上的不当可能将一些带有病毒类的软件资料下载到了本机，使得整个网络引起大规模的病毒爆发甚至瘫痪。因此，管理员需要大量的时间和精力来维护,但是依然频繁的感染病毒，严重影响单位的正常业务的运行。

整个网络环境仅仅使用网络版杀毒软件无法满足防病毒需要，高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。CodeRed，冲击波，ARP型病毒以及Mydoom就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。因此，利用病毒过滤网关系统拒绝病毒通过Internet 感染，不让病毒从网络上传输进来才是最好的方法。利用网络防病毒系统解决病毒内部感染传播,内外结合才能真正防止感染病毒，形成整体病毒防御体系。

5.2.3 终端管理系统设计

终端安全管理系统部署

XXXX目前拥有三百多台连网的电脑，它们运行着各种前端企业应用，其稳定性、可靠性、安全性及性能不仅直接影响员工的工作效率，也对整个企业的业务效率和管理成本有着重要影响.

随着XXXXIT系统规模的迅速扩张，企业对IT管理系统的需求也随之增加。一方面，个人电脑、服务器和移动设备的数量正在随着企业IT应用规模的不断扩大而快速增加；另一方面，各种应用软件和补丁更新换代速度加快,来自企业内、外部的网络攻击也日益猖獗,“IT管理”成为确保企业IT系统正常、稳定和可靠运行不可缺少的一环。

第35页

项目：XXXX网络整体优化设计方案

IT管理人员面对数量众多的计算机，有限的人手，重复琐碎的工作,不仅要保证这么多计算机的正常运行，还要随时洞察系统可能出现的变化和不安全因素，这是IT管理者不得不面临的严峻挑战.

根据Gartner Group及Forrester Research的研究调查,信息系统管理部门接近一半工作时间用于为计算机安装及升级软件，占计算机的总拥有成本极大比重.IT人员为PC做简单的日常维护工作所花的时间占其总工作量的70—80%.这些工作对MIS人员来讲是“没有营养\"的，但对使用者却又是“十万火急\"的，如果没有得到及时有效的处理, MIS不仅会遭到抱怨，甚至会影响企业的生产力。

长期以来,计算机应用迅速普及，XXXX内部PC拥有量不断增加，面对这几百台PC，现有大量终端，终端的软、硬件、应用系统、安全防护、Internet访问基本上是分散管理方式，却没有一套有效的辅助性管理工具，我们建议部署桌面网络管理软件，该类软件具有补丁管理、资产管理、进程管理、远程维护、网络端口管理、外设管理、桌面设置管理、网络预警等功能，通过该软件能够满足桌面安全和提高管理效率的管理要求. 综合来讲，目前XXXX终端管理面临的如下典型问题:  计算机网络规模大并且较为分散，无法集中管理  计算机软硬件数量无法准确掌握，盘点困难  计算机硬件设备私下挪用窃取,造成损失  软件安装浪费人力,应用软件版本不易控制  应用软件购买后员工真正使用状况如何，无从分析

 无法控制网络中非法软件的运行,计算机内部运行情况成为管理的黑匣子或盲点  疲于应付各种帮助请求，不管问题大小、距离多远都需要到现场解决  重要档案遭非法拷贝，资料外泄却无法监督  居高不下的综合拥有成本(TCO)，不知如何改善

正是IT系统的这种复杂性，使得它的管理、控制与维护仅靠几个技术人员根本无法胜任.而需要专门针对以上各种管理困难而设计专门的计算机综合管理系统，它通过资源信息的准确及时反映和相应IT管理策略的制订，使计算机应用环境最大程度地保持稳定性，同时提高计算机资源管理的主动性，不要让计算机内部运行环境成为管理的黑匣子或盲点，尽可能避免由于系统故障给企业生产活动带来不利影响.

第36页

项目：XXXX网络整体优化设计方案

同时作为一个专门为企事业IT管理者设计的计算机系统管理系统，主要针对企事业PC管理工作中日常维护频率高、工作量大、重复性高的工作内容，为IT管理人员提供可批量化作业、自动化应用程序及网络行为管理策略、远程管理及自动化资产统计等多种管理手段,提高管理效率和管理质量。

终端管理系统部署后达到的效果

终端管理系统部署后达到的效果：  IT资产管理  应用程序管理  设备管理  软件分发  远程管理  安全管理  报表打印  补丁管理  非法内联、外联 IT资产管理

资产管理包括以下的一些特征

 自动侦测计算机的软、硬件资产状况，记录详细的硬件配置和软件安装信息  自动反馈计算机的硬件、IP、计算机名变化和软件的安装、卸载情况，建立资产变动

记录

 用户自定义的数据查询条件,可按照自己的方式安排资产信息的显示顺序和分组,所有

查询结果信息都可以生成报表 应用程序运行管理

 记录网络内所有曾经运行过的应用程序

 可以制定应用程序执行许可策略,禁止某些软件或应用程序的执行，加强PC应用程序

管理，减少与工作无关程序可能导致的系统故障与安全隐患

 记录网络内各计算机中应用程序的执行使用状况，掌握应用程序的使用记录  可以查询任意时段的应用程序的历史运行信息，并能够提供报表输出

第37页

项目：XXXX网络整体优化设计方案

设备管理

 可以禁止计算机的USB接口、光驱、软驱、并口、串口等外部存储设备的访问使用，

减少泄密途径，强化内部安全控制机制 软件分发

 可以向计算机批量自动分发及安装应用软件包，让耗时耗力的软件安装和升级工作自

动化，大大减轻了管理员系统安装维护工作量

 支持多种文件格式软件的分发，并且支持多文件安装程序的打包分发功能

 可以设定软件分发任务，指定软件分发的时间和分发范围,从而在下班时间或非工作高

峰时间进行分发，提高效率 远程管理

 提高计算机维护响应速度，通过远程桌面进行计算机管理和维护工作  远程管理提供远程查看、远程控制、远程重启和远程关机  可以设置远程查看和远程控制时是否需要客户端同意 安全管理

 针对网络内计算机的任意指定端口进行扫描,获悉端口的开放使用情况  记录每台计算机的登录注销日志信息，跟踪计算机的使用情况

 能够搜索出网络内所有未被管理的计算机,防范管理上的“盲区”与隐患

 远程管理操作日志记录远程管理的时间、管理员的账号/IP地址以及被管理计算机的IP

地址 报表打印

 提供灵活的查询条件并能够根据这些查询条件生成各式报表输出  报表内容可以直接打印，也可以导出到文档予以保存或处理 补丁管理

对于补丁管理，目前XXXX采用用户端自行下载，自行安装，很多用户可能不能及时安装系统补丁,还有很多很多用户无法连接互联网。因此需要加强对补丁的分发.  自动评估系统，确保完全和准确的评估系统的脆弱性  补丁包自动下载和快速分发

 预测试补丁包安装并保证对目前应用程序有无影响

 分发结束,监视和安装审核,帮助IT运维确保补丁被成功的安装

第38页

项目：XXXX网络整体优化设计方案

 基于策略的管理能够自动鉴别，下载和基于定制策略的安装。

利用安全管理系统的补丁分发功能，可以实现如下目标：

• •

自动检测终端存在的漏洞,可以直接修复漏洞。

自动检测终端的补丁状态.并给出补丁安装状态的报表.自动检测已经安装

和未安装的补丁。

•

补丁分发。支持推和拉的两种分发方式。补丁分发支持流量控制，避免对

网络造成影响.

•

补丁安装前提供补丁测试和验证。使安装的补丁不对业务系统造成影响。

补丁必须先验证才能被分发;没有验证的补丁对目标主机和应用可能带来影响,甚至系统崩溃。 非法内联、外联

目前XXXX存在非法外联和非法接入等行为，很容易对物理隔离或逻辑隔离的内部网络造成安全威胁。客户端程序定周期检测计算机的网络连接情况，及时发现终端连接其他外部网络的行为

 记录下其违规外联的信息并向控制器发送违规记录和报警

 对于发生非法外联行为的计算机，客户端可自动断开其各种网络连接，包括网卡连接、

拨号连接、无线连接等。

5.2.4 信息安全管理平台设计

信息安全管理平台部署意义

随着信息化技术在XXXX各应用的不断深入，XXXX将网络和信息系统作为其赖以生存的生产力。因此如何构建一个安全的信息管理系统、如何确保现有信息系统的安全运行已经成为一个非常迫切的问题，信息安全的发展也呈现出一个新的趋势：

1. 信息安全不再是一个从属、附加的需要，而是组织保持竞争优势、提高组织生产力的

重要因素。

2. 随着信息安全环境的不断恶化,信息安全已经不再是单一安全产品逞英雄的时候，而是

一个系统化的工程。

3. 信息安全从单一的重视安全建设逐步发展到安全建设和安全管理并重,越来越多的组

第39页

项目：XXXX网络整体优化设计方案

织意识到如何确保系统长期、动态的安全显得更为重要，因此对信息安全管理平台解决方案的需求变得日趋迫切。

4. 社会化大分工和主营业务发展的需要，越来越多的组织意识到信息安全是一个非常专

业的领域;他们更加青睐可信的安全服务商、而不是自己去解决可能面临的安全问题.因此安全外包服务在一些涉密要求不是非常高的组织中越来越受到重视和欢迎。 5. 安全产品的重叠和简单堆砌已经让越来越多的客户感到厌倦，如何量化系统的安全程

度?如何动态掌握系统的安全状况？如何系统的解决安全事件问题?已经成为客户目前最为迫切的需求。

6. 多家厂商产品的堆砌给集中控制管理和售后维护，技术培训等等后续工作带来很大难

度,尽可能地将安全产品进行同一品牌的整合，并纳入一套综合安全管理平台，维护人员的劳动力，提高全网安全运行的可监控程度迫在眉睫！

7. 多种安全产品集中在XXXX的网络当中，是否能够给出一套整体的高效的解决手段出现

一个疑难问题的时候，是各厂家互相推诿还是集中在一起快速排除故障。

建立信息安全管理平台在XXXX信息安全管理中具有十分重要的作用，它位于管理层次模型中人与各安全设备之间，主要由安全信息采集平台和安全风险管理平台两大部分组成,分别为技术层面、管理层面和决策层面提供相应的用户接口。

在技术层面，信息安全管理平台集中管理不同类型的安全设备，帮助操作者综合分析各个设备产生的报警信息，对重要资产实施完善的管理和等级保护。

在运营层面，信息安全管理平台帮助管理者准确分析现有系统面临的威胁，并排列有限顺序，理顺安全事件的管理流程，制定合理的应急响应流程和规范。

在决策层面信息主管可以从政务风险层面理解安全事件,通过对风险进行量化，实现对政务系统的风险监控和管理，同时帮助信息主管计算和跟踪安全投资回报率，便于在后期优化信息安全投资。

信息安全管理平台部署方式

通过与XXXX信息管理人员交流、探讨，我们建议部署信息安全管理平台,,针XXXX信息安全管理平台需求进行分析,以下是我们建议部署信息安全管理平台的建设目标：

 系统跨平台全面监控 所有关心的监控都在掌握之中，跨平台成就和谐网络  直观的拓扑视图 网络设备连接和性能状态一目了然

第40页

项目：XXXX网络整体优化设计方案

 实时预警和定位 有效避免意料之外的突发故障发生，7＊24小时监控  完善的分析报告 根据需要自定义报告的内容与形式  网络信息资产管理 合理、有效的统计设备、软件、终端资产  安全事件日志分析 收集海量日志,进行关联、归并分析

通过以上六点目标的建设可以为XXXX提高整体系统管理能力，进一步提高IT部门的工作效率；为XXXX降低业务风险，提高服务满意度；为控管人员变被动响应为主动掌控，提高网络可用性，最终优化了XXXX信息化管理流程，使复杂的工作简单化.

信息安全管理平台部署后的效果

 建立以业务风险为核心的管理体系

在BS7799中将所有与信息相关能够体现价值的资产都称为信息资产，实际应用中考虑资产风险对业务的影响,换句话说，也就是单个或多个资产所产生的风险对我的业务系统会造成什么影响,也就是业务系统的风险.安全管理平台以业务系统为核心，对业务系统进行定义，包括业务系统所包含的全部资产，业务系统类型、业务系统架构、重要程度、业务流程等,然后在结合单个资产的风险计算，从多个维度综合分析出业务系统的风险。  综合持续的分析风险态势

结合业务特点，从资产价值、威胁和脆弱性三方面综合考虑为客户选择合适的风险计算模型，对信息系统中的业务风险进行持续性的计算,并通过直观的方式显示风险等级，并根据策略向安全管理人员提供警示信息。  无缝整合多厂商安全设备

信息系统中存在多种类型不同厂商的设备，信息安全管理平台可以整合多厂商、跨平台的安全设备，可以海量安全事件、进行统一的风险管理和响应.  搭建主动安全防御平台

通过信息安全管理平台多种方式对安全事件进行相应,如:某些以确定的安全事件的脚本自动处理、与相关控制类安全设备的联动、动派发多级工单、系统安全专家库、多种报警方式等，协调各层次安全管里人员的工作,实现主动防御的效果。  度多角度深层次分析

在目前安全管理平台的使用过程中，如何对各类海量的安全事件进行实时的智能化处理,进行度多角度的分析是降低整个安全管理平台的信噪比,帮助用户定位潜在的业务

第41页

项目：XXXX网络整体优化设计方案

信息系统问题，提高和保证客户业务信息系统的服务质量（QoS）的首要前提。体现在以下几个方面：

1、 底层智能处理：通过数据过滤、标准化、数据合并、实时数据关联来实现底层的智

能事件处理，特别是实时数据关联实现了基于规则的关联，发现实时数据之间的潜在联系，可以改变和调整级别.

2、 基于资产的关联：就是根据威胁对目标资产造成损害来计算风险，当事件被归结到

资产之后，系统会根据事件利用的漏洞或者访问的端口号比对这个资产上是否存在该端口或漏洞，来确定攻击事件对目标资产的影响，如果攻击和漏洞一致，则该攻击产生了最高级别的风险，如果攻击的目标没有打开被攻击的服务,则风险将到最低，这样可以将减少大量误报，保证告警有更高的可用性和有效性。

3、 知识库和辅助决策系统智能搜索:在进行响应的时候，通过将事件、漏洞等数据与

知识库进行关联，进行攻击场景的回放，给系统管理员充分的信息、参考和解决方案。或者能够借助辅助决策系统进行主动防御。

5.2.5 ERP系统服务器冗余备份机制设计

ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制， ERP系统原来使用两台搭建服务器集群，建议恢复原有服务器集群方式，实现双机冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断.

近年来，随着计算机技术的飞速发展，服务器的性能有了大幅度的提升，服务器作为

处理关键性事物的业务主机已随处可见。对于要求有高可用性和高安全性的系统，比如金融、邮电、交通、石油、电力、保险证券等行业，用户提出了系统容错的要求。计算系统与信息网络不停顿的运行与连接即高可用性已成为各行业特别是要求实时行业业务运行的基本要求.

高可用性系统的概念

高可用性系统是指在系统运行过程中，可以将数据丢失及服务中断的可能性减小到最低程度的系统。在这种系统中，所有引起服务中断的故障都会激活相应软件去进行错误检测、故障隔离及在线恢复等工作，此时，在系统中指定的备份系统会取代故障系统,接管故

第42页

项目：XXXX网络整体优化设计方案

障服务,并使其正常运行。此过程对用户来说，只需在等待很短的时间后,便可继续访问该项服务了。

Cluster集群技术可如下定义:一组相互的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。此单一系统为客户工作站提供高可靠性的服务。

Cluster大多数模式下,集群中所有的计算机拥有一个共同的名称,集群内任一系统上运行的服务可被所有的网络客户所使用.Cluster必须可以协调管理各分离的组件的错误和失败,并可透明的向Cluster中加入组件.

一个Cluster包含多台(至少二台）拥有共享数据储存空间的服务器。任何一台服务器运行一个应用时，应用数据被存储在共享的数据空间内。每台服务器的操作系统和应用程序文件存储在其各自的本地储存空间上。

Cluster内各节点服务器通过一内部局域网相互通讯。当一台节点服务器发生故障时,这台服务器上所运行的应用程序将在另一节点服务器上被自动接管。当一个应用服务发生故障时，应用服务将被重新启动或被另一台服务器接管.当以上任一故障发生时，客户将能很快连接到新的应用服务上。

Cluster集群可由N台服务器组成，当我们取Cluster要求的最小值N=2时，就成为一个双机系统。

集群常用的实现方式: 1.镜像服务器双机

集群中镜像服务器双机系统是硬件配置最简单和价格最低廉的解决方案，通常镜像服务的硬件配置需要两台服务器，在每台服务器有操作系统硬盘和数据存贮硬盘，每台服务器有与客户端相连的网卡，另有一对镜像卡或完成镜像功能的网卡。

镜像服务器具有配置简单，使用方便,价格低廉诸多优点,但由于镜像服务器需要采用网络方式镜像数据,通过镜像软件实现数据的同步，因此需要占用网络服务器的CPU及内存资源,镜像服务器的性能比单一服务器的性能要低一些。

2。双机与磁盘阵列

主要由两台节点和存储磁盘柜来实现，节点各有自己的系统,一台处于活动中,但是配置文件和数据都存在于磁盘柜中,一台节点宕机后另一台会接替继续工作，两台节点减的通讯一般通过信号线来实现.双机与磁盘阵列柜互联结构不采用内存镜像技术，因此需要有一定的切换时间（通常为60——180秒），它可以有郊的避免由于应用程序自身的缺陷导致

第43页

项目：XXXX网络整体优化设计方案

系统全部宕机，同时由于所有的数据全部存贮在中置的磁盘阵列柜中，当工作机出现故障时，备份机接替工作机,从磁盘阵列中读取数据，所以不会产生数据不同步的问题,由于这种方案不需要网络镜像同步,因此这种集群方案服务器的性能要比镜像服务器结构高出很多.

5.3 应用安全建设

将原有的文件服务器设置成FTP 服务器,用户使用FTP 协议通过在同一网络上的任何一台PC可以与FTP 服务器连接，进行文件或目录的复制，移动，创建，和删除等.这里提到的FTP 协议是专门被用来规定计算机之间进行文件传输的标准和规则，通过FTP 这样的专门协议,用户能够通过不同类型的计算机，使用不同类型的操作系统,对不同类型的文件进行相互传递。 文件服务器部署方式:

1、设置匿名文件夹,供所有员工访问。在匿名文件夹,访问的类型，例如:只允许下载文件,不允许匿名用户上传资料、修改资料、删除资料.

2、为需要使用文件服务器的用户分别设置用户名、口令、访问权限（包括下载、上传、删除、修改等），并按部门建立用户组，把创建的用户划分到相应的用户组。

3、在目录和文件层次设置安全防范措施。为不同用户、用户组、基于IP 对用户授予或拒绝访问权限.

4、利用FTP协议可以实现文件上传和下载的断点续传，保证大文件的传输速度和质量。 5、设置上传和下载的比率，硬盘空间配额，网络使用带宽等，从而能够保证用户有限的资源不被大量的FTP 访问用户所消耗.

6、利用FTP系统日志审计功能，记录用户登录时间、访问内容等信息，方便管理员了解服务器使用情况,及时解决故障。

5.4 数据安全建设

随着信息技术的不断发展，近年来在世界范围内掀起了兴建网络环境、传播数据信息的热潮。随着计算机存储信息量的不断增长，数据备份和灾难恢复就成为引人关注的话题。

XXXX网络信息系统最为宝贵的财富就是数据，要保证业务持续的运做和成功，就要保护基于计算机的信息.人为的错误,硬盘的损毁、电脑病毒、自然灾难等等都有可能造成数

第44页

项目：XXXX网络整体优化设计方案

据的丢失,给用户造成无可估量的损失.对于财务系统、ERP系统,计算机系统业务数据丢失更是一场大灾难，会导致系统文件、企业信息、业务数据的丢失，业务将难以正常进行,造成极大损失.这时,最关键的问题在于如何尽快恢复计算机系统,使其能正常运行.

由于数据备份所占有的重要地位，它已经成为计算机领域里相对的分支机构.一般来说,各种操作系统所附带的备份程序都有着这样或那样的缺陷,所以若想对数据进行可靠的备份，必须选择专门的备份软、硬件，并制定相应的备份及恢复方案。在发达国家,几乎每一个网络都会配置专用的外部存储设备，而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。计算机界往往会用服务器和数据备份设备(如磁带机）的连接率，即一百台服务器中有多少配置了数据备份设备，来作为评价备份普及程度和对网络数据安全程度的一个重要衡量指标。如果每一台服务器或每一个局域网络都配置了数据备份设备以及相应的备份软件，那么无论网络硬件还是软件出了问题，都能够很轻松地恢复。

XXXX网络应用的核心组成部分包括ERP系统、财务系统等，关系到XXXX的业务能否正常运行，所以对系统的数据做好数据保护是至关重要的。

对数据的保护，有多种方法，包括备份和数据容灾。目前用得最多、最有效的手段是数据备份。而备份的方法也很多，有手工备份、自动备份、LAN备份、LAN—Free备份等。不同的备份方法，其效果不同，主要表现在性能、自动化程度、对现有系统应用的影响程度、管理、可扩展性等方面。

随着系统数据量的不断增大,数据维护的复杂程度不断提高，备份对业务系统的影响越来越大，同时，由于其自动化程度低，出错的可能性也越来越大，所以现有的备份手段已经不能保证快速、有效的保护数据，并且直接影响到业务系统的正常运行。

随着网络的不断扩大，网络的应用也越来越多，保存在网络上的数据也就越来越重要，数据和信息将是整个网络系统中最重要的部分。但在网络上会存在各种危险的因素，时刻威胁着网络和信息的安全。为了确保网络信息的安全，应建立相应的网络数据保护和备份系统，实现对网络重要数据的定时在线备份和恢复功能，保证在备份进行过程中关键应用软件处理不会间断。

网络信息平台中所有的数据都必须备份并且可随时用于恢复，主要实现对网络重要数据的定时在线的备份和恢复功能，保证在备份进行过程中关键应用软件处理不会间断。

在数据量的发展速度超过大多数IT预算增长速度,而存储管理成本高于数据存储解决方案的其它所有方面成本的情况下，存储自动化是极为必须的。存储管理解决方案可自动

第45页

项目：XXXX网络整体优化设计方案

执行日常备份，并恢复任务和进程，达到新的管理和工作效率水平,从而大大节约了数据存储的总体成本.

手动备份方式只适用于数据量很小的非关键应用领域。随着数据量的增大，系统管理人员很难管理备份介质。同时，当对同一个数据库的容量超过一盘磁带的容量时，手动备份工作就变成了一个极其复杂，效率极低、风险很大的工作了。并且随着各个地方的备份系统的实施，集中式管理的重要性就显得更为明显.

根据需求分析分析，我们设计使用自动备份方式： 1。 采用磁带库来改进相关的备份设备  备份速度更快  在线、自动化数据备份

2. 采用相关的备份策略，使备份更简单和方便 3。 采用集中式的管理模式来对各个地方的备份进行管理 我们建议XXXX信息系统通过备份软件软件实现集中、统一备份.  进行整个系统的全局备份和保护;  保障系统的所有文件都得到保护;

第46页

项目：XXXX网络整体优化设计方案

第6章 XXXX信息系统安全建设管理制度建议

XXXX信息系统安全建设过程中需要组织并建设安全运维管理体系,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和日常运维管理几个方面，全面提升系统的安全防护能力，建议在安全管理方面应建设以下几方面的内容：

6.1 策略系列文档结构图

主策略 策略结

子策略 组织机构和人员职责 构描述

技术标准和规范 操作流程 管理规定和办法 用户协议 主策略

A B 表示B从A引申而出，将A作为依据，遵照A，不与之发生违背和冲突。 培训资料和用户手册 主策略，纲

领性的安全策略主文档,陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，网络安全各个方面所应遵守的原则方法和指导性策略。 与其它部分的关系：

所有其它部分都从主策略引申出来，并遵照主策略，不与之发生违背和抵触。 子策略

子策略，对于网络安全一些重点方面，详细陈述所应遵守的原则方法和指导性策略，

第47页

项目：XXXX网络整体优化设计方案

是指导性、原则性和策略性的，仍属于策略范畴。 与其它部分的关系：

从主策略中延伸出来，其具体执行和实施由管理规定、技术标准规范、操作流程、培训资料和用户手册来落实。

技术标准和规范

技术标准和规范，包括各个网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突. 与其它部分的关系:

向上遵照主策略和子策略，向下延伸到安全操作流程，作为安全操作流程的依据.

组织机构和人员职责

安全管理组织机构和人员的安全职责,包括的安全管理机构组织形式和运作方式，机构和人员的一般责任和具体责任.作为机构和员工具体工作时的具体职责依照,此部分必须具有可操作性，而且必须得到有效推行和实施的。 与其它部分的关系：

从主策略中延伸出来，其具体执行和实施由管理规定、技术标准规范、操作流程、培训资料和用户手册来落实。 安全操作流程

操作流程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项.作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。 与其它部分的关系：

向上遵照技术标准和规范、主策略、子策略。 管理规定和办法

各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。此部分文档较多。 与其它部分的关系：

向上遵照主策略、子策略。向下延伸到用户签署的文档和协议。用户协议必须遵照管

第48页

项目：XXXX网络整体优化设计方案

理规定和管理办法，不与之发生违背. 用户协议

用户签署的文档和协议。包括安全管理人员、网络和系统管理员的安全责任书、保密协议、安全使用承诺等等。作为员工或用户对日常工作中的遵守安全规定的承诺，也作为安全违背时处罚的依据。 与其它部分的关系:

向上遵照管理规定和办法、主策略、子策略。

培训资料和用户手册

培训教材、资料和用户手册。关于安全培训和教育方面的培训教材、资料和各类文档;安全管理人员、网络和系统管理员培训和认证的各类技术手册.作为员工或用户安全培训和安全教育时的培训教材、资料和手册。 与其它部分的关系：

向上遵照所有其它部分。必须遵照其它部分，不与之发生违背。

6.2

主策略

策略系列文档清单

《企业网络安全主策略》 子策略

《internet浏览策略》 《病毒防治策略》 《电子邮件管理策略》 《防火墙管理策略》 《权限分配与口令管理策略》 《日志安全策略》 《特权访问策略》 《网络设备物理安全策略》 《系统与数据备份策略》 技术标准和规范

《ORACLE安全配置标准》

第49页

项目：XXXX网络整体优化设计方案

《WINDOWS 2000安全配置标准》 《Windows NT4安全配置标准》 《Windows域用户管理规范》 《存储介质安全管理标准》 《防火墙标准》

《计算机设备物理安全标准》 《数据保密策略和标准》 《网络连接策略和标准》 《网络设备安全标准》

《信息系统用户ID和口令标准》 组织机构和人员职责

《普通用户安全职责》 《网络安全管理员职责》

《网络安全管理组织体系与安全机构职责》 《系统管理员安全职责》 安全操作流程

《Microsoft Proxy Server 设置流程》 《SGI IRIX安全配置操作流程》 《Solaris安全配置操作流程》 《HP-UX安全配置操作流程》

《Windows 2000服务器建议配置步骤》 《安全事件处理过程》 《拨号网络的安全设置流程》

《防止并纠正大型通讯组邮件风暴操作流程》 《建议的纪律执行过程》 管理规定和办法

《办公环境安全管理规定》 《便携机管理规定》 《病毒防治管理规定》

第50页

项目：XXXX网络整体优化设计方案

《非临时来访的供应商-合作商接待管理规定》 《非企业人员使用网络资源管理办法》 《供应商—合作商接待管理办法》 《机房管理机制》

《计算机物理设备管理规定》 《数据保密管理规定》 《数据备份机制》 《网络安全问题汇报制度》 《网络管理人员安全守则》 《网络连接管理规定》 《网络设备安全管理规定》 《网络拓扑设计原则与更改办法》 《网络项目安全评审要素》 《文件保密管理暂行规定》 《信息交流安全规定》 《信息系统帐号管理规定》 用户协议

《计算机使用声明》 《特殊访问协议》

《信息资产维护责任的授权表格》 《用户使用协议》 《用户账号申请表》 培训资料和用户手册

《网络安全用户手册》

由于制度建设需要依托设施、人员配备的基本因素，所以建议在本项目需要部署的安全设施到位后，在安装实施的过程中，由安全服务提供商和XXXX各方面领导，技术人员共同拟定，本方案中考虑了需要协商出台的制度,并在附件中提供一些样本以供参考.

第51页

项目：XXXX网络整体优化设计方案

第7章 搬迁后网络拓扑规划

搬迁后网络规划拓扑图如图1.8所示：

图1。8搬迁后网络规划拓扑图

市区厂区搬迁到开发区后，我们规划使用华为6503交换机作为核心，所有服务器集中部署在DMZ区域，使用多合一网关作为互联网边界接入设备，充分使用原有病毒过滤网关系统、入侵防御系统部署在互联网边界，保证新网络互联网边界通信的安全。因为原有的HP 5308XL交换机无法和华为6503交换机配置双击热备，规划把HP 5308XL交换机作为华为6503交换机的冷备设备，华为6503交换机每次修改配置后修改HP 5308XL交换机相应的配置,在华为6503交换机出现故障时,用备份设备替换故障设备即可恢复网络的正常运行，以保证各项服务的正常运行。原有市区病毒过滤网关部署在DMZ区域，保护DMZ区域的服务器，实时检查进入内部网络的数据流，当网关检测到病毒时，它会自动根据相应的策略来处理病毒和染毒文件。另外一台防火墙可作为多合一网关系统的备份设备使用,或者部署到有重要应用的区域，或者给将来公司分支机构使用。

第8章 安全解决方案整体实施效果

我们通过采用当前国内外最先进的安全技术和专业的安全产品，为XXXX信息系统设计了一套由多层防护措施构成的整体安全防护体系。其中主要安全机制的部署方式如下图所示：

该体系可实现以下安全功能： 1. 提高网络抵御外部攻击的能力

通过部署边界防火墙、网络入侵防御系统和病毒过滤网关系统,采用适当的安全检测和

过滤策略，能够为网络站服务器系统实现2~7层的全方位安全防护，有效抵御各种常见网络攻击和恶意代码的侵袭,并对大流量的DoS/DDoS攻击具有较好的防御效果，保证业务系统即使在较大攻击程度的情况下仍能正常提供服务。 2. 实现主动防御与预警

通过部署防火墙、入侵防御系统等在线防护设备，能够在不需要人为干预的情况下，

第52页

项目：XXXX网络整体优化设计方案

主动的检测并隔离外界的非法访问和恶意攻击,并通过集中的安全审计平台，有效提高了全网的入侵发现及入侵早期预警能力。 3. 实现远程通讯安全和身份认证

对于通过公众互联网与服务器系统进行远程通信的办公用户等，利用多和一安全网关（支持IPSEC +SSL VPN功能）提供的可靠的身份认证、权限控制和数据传输加密机制,确保授权用户能够使用通用浏览器以https方式安全地访问相应的业务数据。 4。 实现多级安全防护

我们通过网络入侵防御系统、防火墙系统、病毒过滤网关系统、VPN系统、网络防病

毒系统的综合部署,实现对系统的多级安全防护，以提供更高级别的安全保障，即便攻击者成功渗透了外层安全机制，但仍然无法轻松对内部的服务器系统进行非法侵入,充分保证了对关键应用系统的有效的安全保障. 5。 实现可扩展的灵活的安全构架

入侵防御系统、病毒过滤网关系统等采用透明方式接入网络，为了避免因设备的单点故障导致内络通讯中断，均可启用入侵防御接口的失效开放机制，当出现软硬件故障和电源故障时，系统能够自动切换到旁路模式以保障网络的畅通。 6。 实现网络安全事件集中管理

通过部署集中的安全审计系统,负责采集网络中网络设备、服务器系统、应用系统以及安全设备的日志信息（包括合法访问行为和非法安全事件信息），定时进行分析，并生成统计报告和安全预警报告，帮助管理人员对整个网络的安全状态和发展趋势有一个全局的了解。

7. 实现终端设备集中管理

随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加.一方面，个人电脑、服务器和终端设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加;另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗；终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在，使得终端管理系统成为保证XXXX信息系统正常、稳定和可靠运行不可缺少的一环。

8. 实现跨平台设备的集中管理

部署综合管理平台，通过综合管理平台实时查看重要设备，网络设备、主机,服务器的

第53页

项目：XXXX网络整体优化设计方案

运行情况和系统资源情况。通过管理平台集中同时实时的了解网络设备、服务器、的运行状态，使用情况,大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时。 9. 实现服务器冗余及数据备份机制

对ERP系统、财务系统等重要数据进行备份并且可随时用于恢复，主要实现对网络重要数据的定时在线的备份和恢复功能,保证在备份进行过程中关键应用软件处理不会间断。为最大化保证业务的连续性，ERP系统服务器主机采取可靠的冗余备份机制， ERP系统恢复原有服务器集群方式，实现双机冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。

第9章 第一期安全实施效果

考虑到整个安全系统改造所需的磨合期,以及预算等诸多因素，经过多方讨论，最终确定本次网络安全改造一期实施以下内容：

1. 在开发区部署一套带VPN功能的千兆防火墙进行严格的访问控制。

2. 在老厂区部署一台带VPN功能的百兆防火墙进行访问控制，两个厂区直接通过互联网线路,采用VPN加密方式建立隧道通信.

3. 在开发区部署一台千兆病毒过滤系统进行病毒防护，考虑到需要针对内网用户访问服务器区域也要进行病毒防护，所以，将该千兆病毒过滤设备配置成两条线路同时监控的模式.

4. 在内网部署一套专业版的内网安全审计系统,对管辖的服务器,交换机和防火墙等重要网络设备进行日志审计并定期提供安全分析报表。 第一期网络安全改造后的拓扑图如下所示：

第页