采购中心网络安全设计方案

运筹帷幄，持续安全

xxx项目安全方案

网神信息技术（北京）股份有限公司

2015年4月

目录

一、背景 (3)

二、目标 (3)

三、安全现状分析 (4)

四、整体安全需求分析 (4)

整体安全需求分析 (5)

1.网络边界的访问控制需求（防火墙） (5)

2.内网安全接入需求（SSL VPN） (6)

3.防病毒需求（终端病毒预警管理系统） (6)

4.Web应用防护（Web应用防火墙） (7)

五、安全解决方案设计 (8)

1.概述 (8)

2.边界安全解决方案 (8)

3.安全接入解决方案 (10)

4.防病毒系统方案 (11)

5.Web应用防火墙系统部署方案 (12)

一、背景

计算机资源的共享性和通信网络的开放性是信息系统的重要特征，而信息系统的开放性和信息的安全性是一对矛盾，如何保证合法用户对系统资源的合法访问，以及如何保障业务信息系统安全稳定运行，成为计算机网络信息安全必须解决的首要任务和重大课题。

为了满足xxxx对网络安全建设的需要，保障信息化基础设施安全、稳定运行，为xxxx办公、对外交流提供良好、健康的网络环境，提供安全防御的整体解决方案。

二、目标

根据xxxx网络项目的需求，本方案应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性能价格比，系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。

本安全整体解决方案是我们在了解并分析了xxxxx网络项目的网络结构和应用的基础之上，提出的切实可行的解决方案。

xxxx的网络安全防御体系构成，整体的安全体系设计在全网安全规划的基础上，需要达到以下项目目标：

➢保障xxx的网络能够抵御来自外部的网络攻击；

➢能够提供安全的内网接入方式；

➢能够保障xxxx的网站安全稳定运行，不被非法篡改；

➢保障个人终端和服务器的安全，能够抵御各种已知和未知的病毒、木马、蠕虫等的攻击；

三、安全现状分析

◆内网缺少访问控制手段

整个网络对于服务器无访问控制措施，无法开展合理的访问控制策略。单位迫切的需要控制接入者对内部网络的访问权限；单位内部网络接入层采用开放式的网络架构，随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫以及黑客等等不断威胁并入侵单位内部网络资源，使得单位网络的安全边界迅速缩小，开放的内部网络访问已经严重影响到单位IT基础设施的稳定运行和数据安全，而且内部终端的管理不到位，不能进行标准化、统一化的运维管控，因此需要构建新一代的内部网络安全防御和管理体系，从准入控制、运维管理、审计三位一体去进行严格管理和控制。

◆门户网站易受攻击

传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对Web应用攻击完善的防御能力。xxxx针对web应用，采用的还是防火墙只映射80端口的端口隔离手段，无法应对当前面临的Web应用安全问题。

◆病毒问题

内网终端和服务器缺少企业级的安全防病毒软件，不能有效抵御恶意代码的攻击。

◆运维审计问题

各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。无法记录操作人员、操作时间、操作结果等。

四、整体安全需求分析

整体的系统安全是可靠运行和进行安全防范的基石，整体系统的安全设计需要在统一设计的原则下，在不同的安全层次，在预防、检测和管理等各个阶段，

确保业务系统持续稳定的运行，防止信息的损坏、泄露或被非法修改，并保证业务系统平台的安全。

整体安全需求分析

本方案作为一个完整的安全解决方案涵盖了现阶段xxxxx单位的安全需求，并结合我们的安全方案和成功经验，从而最终为用户建立一个高效、可靠的网络安全环境。

通过对用户现状的理解，我们认为目前xxxxx单位存在以下安全需求，下面将对这些具体的安全需求进行进一步的分析，从而为下一步技术方案的细致设计打下良好的基础。

以下从4个需求进行分析。

1.网络边界的访问控制需求（防火墙）

边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域，不同的安全域之间形成了网络边界，通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对信息系统的影响。利用边界防护手段，严格规范信息系统的数据传输及应用，防范不同网络区域之间的非法访问和攻击，从而确保信息系统各个区域的有序访问。访问控制需求主要通过部署防火墙来实现。

防火墙是指设置在不同网络（如可信任的组织内部网和不可信任的公共网）或网络安全域之间的一系列部件组合。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定、防病毒、抗DDOS 攻击、流量控制等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。防火墙本身必需具有很强的抗攻击能力，以确保其自身的安全性。

2.内网安全接入需求（SSL VPN）

内网安全接入是为单位在互联网上创建一个专属的接入内网环境的通道，给予合法用户通过正规渠道接入内网，阻止非授权用户接入内容环境，从而保障内网业务信息系统的数据的安全访问。

SSL VPN为一款安全远程接入的网络设备。它在允许远程访问的同时，还包括：对用户身份进行认证、根据管理员定义的安全策略和客户端的安全状况，对用户进行授权、检测远端用户接入设备的安全状态、保证远端用户同内部网络的通信安全、实时监控远程接入的连接。

3.防病毒需求（终端病毒预警管理系统）

随着计算机网络及信息化系统的建设，*xxxx集团建设了全面覆盖的网络信息化系统，成为xxxx系统办公、管理的数字中枢，促进了xxxx集团的现代化办公管理、提高了工作效率。xxxx集团办公内网现共有各类PC终端数百多台，具有客户端点数目多、分布距离远（有连接广域网病毒防范系统的要求）、内部安全性要求高等特点。

从信息化系统终端安全与管理的角度出发，以终端安全为核心，以终端桌面管理为重点，提供以终端为基础的桌面安全与管理整体解决方案，具体内容包括终端安全、桌面管理、统一运维三个方面：

●终端安全

提供针对终端安全的防护措施，为终端提供安全的上网办公环境，具体包括如下几方面内容：

✓终端病毒与恶意代码防范

✓终端安全性检查

✓XP安全加固

✓企业软件管家

●桌面管理

✓终端流量管理