2020年(安全生产)网络安全解决方案建议书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(安全生产)网络安全解决方案建议书
JuniperISG2000网络安全解决方案建议书
美国Juniper网络XX公司
目录
1前言3
1.1范围定义3
1.2参考标准3
2系统脆弱性和风险分析4
2.1网络边界脆弱性和风险分析4
2.2网络内部脆弱性和风险分析4
3系统安全需求分析5
3.1边界访问控制安全需求5
3.2应用层攻击和蠕虫的检测和阻断需求7
3.3安全管理需求8
4系统安全解决方案9
4.1设计目标9
4.2设计原则9
4.3安全产品的选型原则10
4.4整体安全解决方案11
4.4.1访问控制解决方案11
4.4.2防拒绝服务攻击解决方案13
4.4.3应用层防护解决方案18
4.4.4安全管理解决方案21
5方案中配置安全产品简介22
5.1J UNIPER XX公司介绍22
5.2J UNIPER ISG2000系列安全网关25
1前言
1.1范围定义
本文针对的是XXX网络的信息安全问题,从对象层次上讲,它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上和信息安全风险有关的因素均应于考虑范围内,但为了抓住重点,体现主要矛盾,于本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲,本文覆盖了管理和技术俩大方面,其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要,本次方案将分别从管理和技术俩个环节分别给出相应的解决方案。
1.2参考标准
XXX属于壹个典型的行业网络,必须遵循行业关联的保密标准,同时,为了保证各种网络设备的兼容性和业务的不断发展需要,也必须遵循国际上的关联的统壹标准,我们于设计XXX的网络安全解决方案的时候,主要参考的标准如下:
✓NASIATF3.1美国国防部信息保障技术框架v3.1
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第壹
部分简介和壹般模型
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第二
部分安全功能要求
✓ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则,第三
部分安全保证要求
✓加拿大信息安全技术指南,1997
✓ISO17799第壹部分,信息安全管理CodeofPracticeforInformationSecurityManagement
✓GB/T18019-1999包过滤防火墙安全技术要求;
✓GB/T18020-1999应用级防火墙安全技术要求;
✓国家973信息和网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》。
2系统脆弱性和风险分析
2.1网络边界脆弱性和风险分析
网络的边界隔离着不同功能或地域的多个网络区域,由于职责和功能的不同,
相连网络的密级也不同,这样的网络直接相连,必然存于着安全风险,下面我
们将对XXX网络就网络边界问题做脆弱性和风险的分析。
XXX的网络主要存于的边界安全风险包括:
✓XXX网络和各级单位的连接,可能遭到来自各地的越权访问、恶意攻
击和计算机病毒的入侵;例如壹个不满的内部用户,利用盗版软件或从Internet 下载的黑客程序恶意攻击内部站点,致使网络局部或整体瘫痪;
✓内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等,可是它们的后果均将导致重要信息的泄漏或者是网络的瘫痪。
2.2网络内部脆弱性和风险分析
XXX内部网络的风险分析主要针对XXX的整个内网的安全风险,主要表现为以下几个方面:
✓内部用户的非授权访问;XXX内部的资源也不是对任何的员工均开放的,也需要有相应的访问权限。内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
✓内部用户的误操作;由于内部用户的计算机造作的水平参差不齐,对于应用软件的理解也各不相同,如果壹部分软件没有相应的对误操作的防范措施,极容易给服务系统和其他主机造成危害。
✓内部用户的恶意攻击;就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对内部用户攻击的防范也很重要。
✓设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转。例如,路由设备存于路由信息泄漏、交换机和路由器设备配置风险等。
✓重要服务器或操作系统自身存于安全的漏洞,如果管理员没有及时
的发现且且进行修复,将会为网络的安全带来很多不安定的因素。
✓重要服务器的当机或者重要数据的意外丢失,均将会造成XXX内部的业务无法正常运行。
✓安全管理的困难,对于众多的网络设备和网络安全设备,安全策略的配置和安全事件管理的难度很大。
3系统安全需求分析
通过对上面XXX网络的脆弱性和风险的分析,我们认为整个XXX网络的安全建设目前仍比较简单,存于着壹定的安全隐患,主要的安全需求体现为以下几个方面:边界访问控制安全需求,网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等,下面我们将继续上几章的方法,分别于边界安全需求,内网安全需求环节就这几个关键技术进行描述。
3.1边界访问控制安全需求
防火墙是实现网络逻辑隔离的首选技术,于XXX的网络中,既要保证于整个网络的连通性,又要实现不同网络的逻辑隔离。针对XXX网络的具体情况,得到的防火墙的需求包括以下几个方面:
✓先进的安全理念
支持基于安全域的策略设定,让用户能够更好的理解防火墙的应用目的。
✓访问控制
防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功
能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽
等的访问控制,能够实现网络层的内容过滤,支持网络地址转换等功