信息化安全方案

企业信息化管理解决方案

为解决成都新朝阳生物化学有限公司网络无序话，

根据成都新朝阳生物化学有限公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的Ciscoworks VMS网络管理系统。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护公司信息化资料安全实现提高生产率和降低运营成本。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

1．1、安全建设

1．2、网络边界安全防护

网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL)，可以将其用作一个“预过滤器"，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。

公司服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载oA、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。

在内网防火墙之外采用两台cisco 3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的Internet VPN采用Cisco ASA5520防火墙，同时提供拨号VPN接入，外网访问通过Amaranten F600防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在Amaranten F600防火墙DMZ区，对外开启tcp 80 http 服务。

通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。

我们通过配置Amaranten F600防火墙实现以下功能：

●可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分

用户可以访问外网，而其他用户不能通过防火墙访问Internet。

_对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占

用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。

●通过三种方式过滤不良内容，包括：>URL地址：只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。>不良关键字：所有包含实业网络用户自定义不良关键字(如“法轮功")的网页将被屏蔽>网页分类：Amaranten F600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，实业网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。_通过利用IP地址、邮件地址、实时黑名单／匿名中继代理列表(RBL／ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和，内容层为实业网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高实业网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DCN网络内网。

_Amaranten F600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。

3．4．2入侵检测与防御

入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，

成都新朝阳生物化学有限企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现：

·监视、分析用户及系统活动；

●系统构造和弱点的审计；

_识别反映已知进攻的活动模式并向相关人士报警；_异常行为模式的统计分析；_评估重要系统和数据文件的完整性；_操作系统的审计跟踪管理，并识别用户违反安全策略的行

为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。从而达到对网络实现立体纵深、多层次保护的目的。

实时监控或最近的网络数据监控

·实时地显示、监控网络数据流量并记入日志。

·每小时网络数据流量记入日志，显示并提供详细的信息。

●本地或远程的服务器服务的用户信息。

●网络负载容量和系统状态的实时显示。

实时检测、拦截并跟踪黑客入侵行为

·检测、拦截并通过各种方式(手机短信息、e—mail，etc)发布警告信息给系统管理员。

·支持各种规则配置保证检测和阻止黑客入侵。

·支持追踪黑客，定位黑客的攻击位置。信息管理

·检测并阻止访问非授权的web站点(色情、娱乐等等)

·通过关键字的搜寻对e-mail和web-mail信息流出进行拦截和记入日志。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

对于千兆网络的完善支持。

·并联式被动抓包技术(扫描和抓包)不影响网络流量。

·简便的安装和方便的操作(集成了S／W和H／w)。独立安装的

系统保证更好地防御安全入侵。

●远程监控和集中控制。

·支持和(IAP)控制中心的通讯交流。

检测／保护／警告

·根据入侵检测规则阻断非法网络流量，发布警告和报告(通

过报警、e-mail、移动电话)给网络管理人员。

●提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、

解决办法、黑客攻击的起止时间等等)。

·提供针对不同的攻击行为的详细信息和对策。

·提供详尽的黑客文件来定位黑客位置。

控制信息

●对进出的邮件进行有效的信息管理(发送者和接受者)

◆检测e-mail(信息体和附件)并可以通过关键字的匹配进行

阻断(保证保密或机密信息不泄漏)。

●记录Telnet，Ftp和远程登录的详细信息。

·管理访问未授权的网页(包括色情、娱乐和股票信息等)的

信息。

·控制和管理硬盘共享功能(对于Pc机)。

●控制特定的服务器、客户端和服务(协议)，如果需要可以

定义规则阻断非法连接。

·提供根据字符串匹配检索日志记录。

报告功能

·实时或定期的网络使用情况的详细信息报告。

·黑客攻击信息／检测信息／保护信息／阻止信息报告。

35

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

●数据交换详细信息报告，包括e-mail(正文／附件)、

web—mai l、Telnet、Ftp和远程登录等等。

●提供阻断硬盘共享、本地／远程用户不合法信息的报告。

·提供各种黑客攻击行为的报告。

·各种不同的打印和输出格式。

·各种图形和报表报告。