网安方案Word文档格式.docx
- 文档编号:6035290
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:21
- 大小:314.02KB
网安方案Word文档格式.docx
《网安方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《网安方案Word文档格式.docx(21页珍藏版)》请在冰点文库上搜索。
网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专为安全通讯而设计,物理连通通过集线器及TCP/IP协议,所以,网络系统可能存在的安全威胁。
就贵公司而论,当您享受着PC大规模的企业网络(Intranet)为您带来的强大的资源共享,并通过Internet建立起良好的商业环境时,您是否意识到,您同时必然要面对的还有百倍于以往单机环境的可能遭受计算机病毒侵害的危险。
因为,一旦企业网络中的任何一台电脑感染上病毒,它就很可能在短短几分钟中内使这些病毒蔓延到您的整个网络。
如果这是一台服务器的话,那造成的危害将更加严重。
在这种情况下,任何单机模式的防毒措施,都无法有效的在短时间内抑制住病毒在网络中的蔓延趋势,而只能眼睁睁的等到自己的计算机被感染以后,再进行补救。
病毒的发展趋势表明,防止病毒,最重要的是如何使企业网络快速响应突发性的恶意病毒,通过分析所有可能的病毒侵入点,根据各自的特点进行层层防护,建立全方位的企业网络防病毒体系,真正作到使这些猖獗计算机病毒在您的企业网络中无所遁形。
对企业数据安全也日益成为企业关注的焦点,因此网络必须有足够强的安全措施,无论是在局域网还是在广域网中,网络的安全措施应是能在全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2、企业网络环境分析
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUA),而这些网络协议并非专为安全通讯而设计,所以,网络系统可能存在的安全威胁。
建立行之有效的全方位安全体系,下面是贵公司现有企业网络模型:
设备类型
数量
InternetGateway
1
Applicationserver
2
FileServer
PC(Clients)
20
网络状况分析图:
防毒体系的建立并不单纯只是几种防毒产品的堆积,它的重点在于要针对企业现有的网络环境,对网络中所有可能存在的病毒侵入点进行详细的分析,针对每一个可能的入侵点进行层层防护,对症下药,真正使之成为“安全的”企业网络。
其原因在于,企业网络中不允许有任何漏洞。
企业网络中的任何一个漏洞,都将成为网络安全的致命弱点,最终造成满盘皆输。
可能的病毒侵入点:
●客户端(20)
任何一台客户端都有可能通过软盘、Internet登陆或下载、接收e-mail或访问以受病毒感染的服务器等途径遭到病毒的侵害。
如果此客户机再去访问企业网络内的其他资源,它就会把这些病毒继续传播下去。
●文件/应用服务器(共3)
一旦文件/应用服务器遭到病毒的侵害,任何访问此服务器上以受病毒感染的资源的客户机,都将难逃厄运。
●网关
(1)
网关是一个企业网络的门户,任何防火墙无法杀除的来自Internet上的计算机病毒,都将通过网关渗入到企业网络中来。
根据上面所描述的企业网络的具体环境和相应的受病毒侵害的可能性分析,介于贵公司客户端与服务器端没有使用任何安全系统,我们提出如下安全体系需求报告:
(一)、网络防病毒需求:
1、必须对整个网络实行全方位、多层次的病毒防护,也就是说应该在网络的每一个层次都要进行有效的病毒防护。
针对企业网络的具体情况,我们建议在网络中设置以下级别的病毒防护:
✧客户端级防护:
提供基于服务器端,可集中控管的PC病毒防护体系。
✧文件服务器级防护:
对服务器进行实时监护,避免使服务器成为病毒的集散地。
2、必须在主要服务器上具备24小时自动防护功能。
3、必须能够在各条可能感染病毒的途径上防止病毒。
尤其必须能够扫描预防电子邮件附带的病毒和未知宏病毒。
4、必须具备最先进的检测清除病毒的功能。
当感染传播性很强的病毒时,要能够快速从整个网络上把这一病毒清除,不让病毒残留在某台机器上。
5、对已感染的病毒文件,能够通过先进的修复工具保证文件免受损害。
对于感染无法处理的未知病毒,必须提供一种方法,不让其在网络上传播,同时,能够快速获得解决方案。
6、对总体网络性能的影响应该非常小。
7、病毒定义码和扫描病毒引擎的更新必须快速方便。
8、必须能够实现对整个防病毒体系的集中管理(基于LAN/WAN),对某些重要功能实行强制性管理。
9、建立网关防病毒理念,从而在源头上阻止病毒的进入。
(二)、网络防火墙需求方案
1、防火墙提供具有线速性能。
2、必须要求高性能的带宽设置,以满足网络转输的速度;
3、允许管理员实时监控、分析和分配不同类型网络通信使用的网络带宽监控;
4、便利的VPN功能,确保特定局域网之间在公网上以密文交互信息;
5、DMZ端口提供一个单独、隔离的网络来部署连接公网的服务器如Web、E-Mail、FTP等;
6、健全的管理支持,允许管理员简单安全的管理设备。
一、企业网络安全方案考虑的几个重要因素:
完善的企业网络防毒解决方案,除了防毒软件的强大功能之外,尚有下列几项重要的问题,需要非常严谨的考虑:
1、内部网络的连接,有可能把机密数据泄露在外。
2、防毒软件每台机器都要安装,很麻烦,费力费时。
3、防毒软件装完,防毒工作才真正开始,面对上百台机器的病毒码更新,这些由谁来做?
需要多少专人管理。
4、一般行政人员或不太了解计算机的人员是否可以轻松使用、简捷更新和升级。
5、在单机上功能强大的防毒软件,若无法在网络上有效地管理则可能弊多于利,因为不是每个使用者都知道如何对防病毒软件的一些功能选项进行设置。
是否可以透过某种的轻松方式一次性设定,也就是说,能否使软件的安装、防病毒策略的定义、实施以及病毒码和扫描引擎的更新和升级变得非常简单,甚至完全自动化?
6、标准预设的防毒选项设置不一定适用所有的客户端。
7、很难分析统计病毒及不良攻击事件的次数、原因以及来源。
8、用户都违反MISPolicy,如:
用户随意更改防病毒策略和选项设置或忘记更新最新的病毒码和扫描引擎,甚至卸载防病毒软件,这样即使装了防毒软件,MIS仍然要到处救火,甚至达不到防病毒的效果。
9、移动用户太多,无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。
10、否能够很方便地在多种平台下进行安装、维护升级等工作。
11、是否可以对网络进行全方位、多层次地预防和过滤病毒。
针对上述问题,我们在为您制定的此项防毒体系方案中,尽可能的兼顾了以下所有因素:
Ø
多层次、全方位的防病毒保护工作环境--
跨平台的技术及强大功能
先进的防火墙技术及快速的网络安全及维护
先进的防病毒技术
简易快速的网络防病毒软件安装和维护
集中和方便地进行病毒定义码和扫描引擎的更新
方便、全面、友好的病毒警报和报表系统管理机制
病毒防护自动化服务机制
客户端防病毒策略的强制定义和执行
快速、有效地处理未知病毒
合理的预算规划和低廉的总拥有成本
良好的服务与强大支持
二、网络防火墙整体解决方案
网关级防护产品:
针对贵公司的网络规模及网络安全需要、性价比以及网络拓展,推荐使用上海广电集团的硬件一体化的SVA2000-Ⅲ防火墙。
SVA2000-Ⅲ系列(提供100M带宽,无用户数限制)产品概述:
SVA2000-Ⅲ防火墙是一台集防火墙、流量统计、网络计费等功能于一体的网络安全设备。
它安装非常容易,SVA2000-Ⅲ能按需求来自动配置,能有效的保护中小型企业、分公司或办事处远程办公室的安全。
和所有的SVA2000其他系列产品一样,它能通过SVA-Web浏览器直观设置。
SVA2000-Ⅲ防火墙是具有最佳性能和适用小型商业环境的集成网络安全产品。
产品功能:
防火墙
SVA2000-Ⅲ提供保护单一的用户或一个小型企业的局域网与外部网络隔离的安全产品解决方案,它有实时的状态检查功能,它基于JAVA高级语言设计结构,其速度高于同类其他的软件产品,它能进行远程的管理。
真正实现硬件一体化设计
系统与硬件紧密结合,发挥硬件最高效能,提高系统自身安全性,比任何传统的软件防火墙都更加高效,安全,而且更加实时化。
而一般软件型的防火墙需要昂贵的高档工作站支持,同时系统安全与网络效率受操作系统的影响。
负载平衡功能
在提供相同服务的多个应用服务器之间实现负载分担。
全自动智能配置DMZ
管理系统自动建立DMZ(DemilitarizedZone)设置。
为在其中放置公共应用服务器,提供对外的各种信息服务,如MAIL服务器、HTTP服务器、FTP服务器等,使其与内部网隔离,最可靠的保证内部网络和关键数据的安全。
同时,连接在DMZ口上的公用服务器也得到防火墙的保护,阻止黑客的攻击和破坏。
双向NAT(网络地址转换)
系统支持动态、静态、双向的NAT。
当用户需要从内部IP访问Internet时,NAT系统会从IP池里取出一个合法的InternetIP建立映射。
如果需要在Intranet提供让外部访问的服务(如WWW、FTP等),NAT系统可以为Intranet里的服务器建立静态映射,外部用户可以直接访问该服务器。
NAT在IP层上通过地址转换提供IP复用功能,解决IP地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。
流量统计
所有通过防火墙交换的数据包都将记录到流量数据库,并提供系统计费模块。
管理员可以通过这个模块,察看公司内部员工对网络的应用情况,并对此进行管理。
记费系统
防火墙提供根据流量计费功能,用户可以从流量数据库中获得流量数据,并自己设定每月记费的单价,生成记费账单。
具有年表、月表、综合等多种查询方式。
考虑到用户财务记账的使用,我们还制作了EXCEL的接口,报表都可以转换为EXCEL表单,供用户打印或保存。
高性能
SVA2000系列防火墙,提供了业界领先的性能。
支持128,000并发会话连接数,每秒可建立20,000个新的并发会话连接;
防火墙和VPN加密在ASIC芯片上执行。
提供非常低的延迟,并且可轻松地保护和连接大的VPN网络。
产品特性:
易于安装和配置
SVA2000-Ⅲ防火墙提供了直观的安装界面,一个非专业人士就可以安装。
对于策略或服务的配置,比软件安装快。
对于高级用户,SVA2000-Ⅲ防火墙基于Web界面的配置能够灵活的配置用户的各种需求。
性能
先进防火墙策略和VPN加密(IPSec),在100用户数下能达到170M防火墙的性能
VPN
100个并发的VPN通道,符合IPSec标准,56位DES,3倍DES加密,密钥管理,手工的或自动的IKE(ISAKMP),认证:
MD5,SHA-1
网络地址转换,透明模式,实时状态的监测,实时报警,日志
流量控制
用户带宽最大用量限制用户带宽用量保障八级用户优先级设置
系统管理
基于SVA-Webemanagement界面配置,多点可设20个管理员
支持的标准
ARP,TCP/IP,UDP,ICMP,DHCP,HTTP,RADIUS,IPSec(IPESP,IPAH),MD5,SHA-1,DES,TripleDES,IKE(ISAKMP),TFTP(Client),SNMP,NTP
接口
4-6个自适应10BaseT以太网口:
信任端口(Trusted),非信任端口(Untrusted),RS-232诊断端口
软件、硬件升级
通过浏览器或TFTP服务器,或由专业服务人员进行软件与硬件的升级
产品应用环境:
适合与小型办公室、移动拨号用户及中型网络环境的使用。
计算机病毒与反病毒技术的发展,致使企业不能再依靠单一的防毒体系来保全资源,面对日益复杂的病毒技术的出现,必须出现一种全新的企业防毒模式。
基于企业防毒的需求,(Rising)瑞星科技所提供的企业全线防毒体系,无疑给了我们一个更加安全的防护模式。
1、瑞星杀毒软件【网络版】体系结构
瑞星杀毒软件【网络版】整个防病毒体系是由四个相互关联的子系统组成。
每一个子系统均包括若干不同的模块,除承担各自的任务外,还与另外子系统通讯,协同工作,共同完成对网络的病毒防护工作。
一、系统中心
系统中心是整个瑞星网络防病毒系统的信息管理和病毒防护的自动控制核心。
它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息。
同时,根据控制台的设置,实现对整个防护系统的自动控制。
其他子系统只有在系统中心工作后,才可实现各自的网络防护功能。
它必须先于其它子系统安装到符合条件的服务器上。
二、服务器端
服务器端是专门为网络服务器设计的防病毒子系统。
它承担着对当前服务器上病毒的实时监控、检测和清除任务,同时自动向系统中心报告病毒监测情况。
三、客户端
客户端是专门为网络工作站(客户机)设计的防病毒子系统。
它承担着对当前工作站上病毒的实时监控、检测和清除任务,同时自动向瑞星系统中心报告病毒监测情况。
四、控制台
控制台是为网络管理员专门设计,是整个瑞星网络防病毒系统设置、使用和控制的操作平台。
它集中管理网络上所有已安装过瑞星网络版客户端的计算机,保障每个纳入瑞星防护网络的计算机时刻处于最佳的防病毒状态。
同时实现对系统中心的管理。
它既可以安装到服务器上也可以安装到客户机上,视网络管理员的需要,可自由安装。
所以,它又被称为“移动控制台”。
2、如何进行防病毒管理
当一个计算机网络安装瑞星杀毒软件【网络版】后,必须将防病毒管理纳入日常工作。
只有通过网络系统管理员,瑞星杀毒软件【网络版】和瑞星公司的技术支持三方努力下才能真正实现整个网络安全的目的。
针对瑞星杀毒软件【网络版】提供的功能和特点,建议网络系统管理员进行如下的管理:
确立病毒防护原则
在通过瑞星杀毒软件【网络版】、企业自身技术人员(多指网络管理员)和瑞星技术支持工程师建立起网络的防病毒体系后,还必须确立该体系运转的工作原则。
视每个企业的网络状况、技术人员状况和其他实际情况,瑞星提出以下建议:
所有计算机均应安装瑞星杀毒软件,避免形成防护体系的薄弱环节。
在购买产品时,【网络版】授权安装的服务器和客户机数量应大于或等于实际的数量。
强制每台计算机开启瑞星实时监控功能。
在每台服务器和客户机上设定合理的定时扫描频率。
每次手动查杀病毒时,选择扫描所有文件。
在重要服务器或客户机上选定“清除之前备份带毒文件”功能。
系统管理员通过控制台获得某台服务器或客户机染毒信息后,应针对该计算机进行专门处理。
病毒防护信息管理
系统中心对防护体系内所有计算机的病毒监控、检测,以及处理情况均有记录。
对这些信息的有效监控、利用和管理会使整个防病毒工作更加有效。
网络管理员应根据网络的实际运行状况和工作需要制定切实可行的管理方案。
监控、检测和清除病毒
该项管理是网络防病毒管理的核心,利用瑞星杀毒软件【网络版】提供的各项功能可实现对所有计算机设计具体的管理方案。
如,对实时监控、扫描、清除时间、周期等设置。
未知病毒侦测管理
由于新病毒的不断出现,反病毒软件也要随之更新。
只有建立一套完整可行的新病毒侦测和捕获方案才能实现这一过程的良性循环和周期的缩短。
这也是维护整个网络安全必不可少的环节。
一旦发现异常现象,及时与反病毒公司联系。
版本升级更新管理
彻底解决新病毒的办法是保证杀毒软件的不断升级更新。
为此,网络管理员应充分利用瑞星公司提供的各种升级方式,结合自身具体情况,制定合理的升级管理办法,并组织实施。
与瑞星公司的信息交流
与瑞星公司的信息交流是保证病毒防护体系不断完善的最佳途径。
3、瑞星杀毒软件【网络版】的特点
■国际领先的杀毒技术
瑞星杀毒软件采用了瑞星新一代病毒扫描引擎(VST)技术,继承并发扬瑞星十年的反病毒经验,可全面处理各种DOS病毒、Windows9.X病毒、宏病毒、互联网病毒、黑客程序等。
■远程化管理
远程杀毒:
网络管理员只需通过一台计算机,就可以对全网的所有计算机同时进行病毒检测和清除。
远程报警:
局域网中任何一台计算机上发现病毒时,瑞星杀毒软件自动将病毒信息传递给网络管理员。
远程操作:
网络管理员只需通过一台计算机,就可以对全网所有瑞星杀毒软件进行统一或个性化设置。
■自动化管理
自动安装:
整个局域网只需在一台计算机上安装瑞星杀毒软件,即可实现对所有计算机的自动安装。
自动升级:
系统自动从瑞星网站下载最新升级版本,并自动分发到各节点计算机,实现全网统一升级。
■功能强大,操作简便
针对以往网络版杀毒软件设置复杂,操作繁琐的弊病,瑞星采用智能化的底层优化技术,在保持功能强大的前提下,实现了界面简洁、操作便利的目标,最大限度地减少了用户操作难度和工作量。
■集中式管理、分布式杀毒
中央系统中心结合移动控制台实现全网方便管理
局域网内任意一台计算机均可设置为移动控制台。
网络管理员通过帐号和口令使用移动控制台,即可清楚地掌握整个网络环境中各个节点的病毒监测状态,对局域网进行远程集中式安全管理。
先进的分布式管理技术
瑞星杀毒软件采用先进的分布式管理技术,调用每个节点各自的杀毒软件对该计算机上所有文件进行全面查杀病毒,解决了以往网络版杀毒软件只能查杀共享文件的缺陷。
由于不在网络上传输文件,既保障了每个节点使用者的隐私,又大大提高了全网查杀病毒的效率。
■完备的服务与技术支持
瑞星公司拥有完备的病毒跟踪系统,能够及时发现各种流行和新生病毒并提供解决方案。
同时,通过互联网站和BBS系统提供24小时不间断升级服务。
网络管理员可自行设置升级方式,通过瑞星杀毒软件网络版与网络的无缝连接,以及瑞星公司自行开发的断点续传技术,使得升级既迅速及时,又安全可靠。
瑞星技术支持部为用户提供全天候技术咨询和支持,并利用遍布全国各地的服务网开展救助服务,满足用户各种需求。
四、网络安全整体解决方案
网络安全整体解决方案示意图
1、MAPICSCHINALTD.局域网应具备的基本要求:
1)应具备专业网络管理员;
2)应有正规的网络管理、操作制度;
3)应有必需的数据备份措施;
2、服务范围:
双方认定本协议服务范围及对象是位于在:
地点:
mapicschinaltd.公司
办公范围:
内部局域网3台服务器20台客户端
网络规模:
23台计算机,其中服务器3个,客户机20个。
1、安全支持服务项目:
可分为收费支持服务和免费支持服务两种项目。
2、安全支持服务内容:
A标准安全服务:
1以年为计算单位实施服务内容;
2定期上门调试、检测、维护合法使用的安全产品,保证产品各项功能正常实现;
3检测、清除产品所使用范围内的计算机或局域网中的已知病毒,保证一次维护结束时,该环境所属存储磁介质中不存在已知病毒;
4根据需要,对整体安全解决方案中防病毒、防火墙系统和的软件及硬件采取相应的升级;
B紧急救援服务:
①在服务范围内,计算机网络受到新病毒干扰、特殊网络黑客攻击,导致网络运行出现异常时,根据现场实际情况提供紧急解决方案,并实施现场紧急救援服务;
②如系统虽无异常,但根据自身工作的需要,要求提供协助或软件维护服务,服务内容同“标准安全服务”。
C免费服务
1第一次上门安装、调试、检测信息安全整体解决方案中涉及到的每一产品;
2提供信息安全整体解决方案中涉及到的每一产品的功能进行网络内部扫描与外部扫描
3组织专职专业人员,提供针对专门安全产品的安装培训、技术讲座及安全咨询;
4提供5×
8小时的技术支持电话、传真、E-mail服务;
5提供相关各种产品的技术资料;
6针对各种产品及相关涉及的安全问题,提供相关适合的安全建议;
本项目中,涉及到的服务为:
A标准安全服务和B紧急救援服务以及C免费服务。
3、安全支持服务响应时间:
A标准维护服务时间:
每个季度的第一个月提供本季度服务,具体日期届时双方商定。
每年度提供总计四次的上门服务。
B紧急救援服务时间:
5×
8小时(或7×
24小时任选),在接到服务申请后,如在2个小时内不能通过电话、传真、email等方式指导、解决问题,则在双方商定的时间到现场了解情况并及时分析解决。
4、服务费用计算方式:
每年服务费用为产品价款的30%。
5、费用结算方式:
A标准维护服务费:
在项目协议签署中一次性支付。
B紧急救援服务费:
在每次紧急救援服务结束后一次性支付。
(一)、项目实施方案
为保证整个项目能有条理、按计划、分步骤地顺利进行,进行周密的项目计划、实施严格的项目管理是十分必要的。
我公司将与mapics公司共同成立项目实施小组。
双方密切配合、能力合作,完成整个系统的设备安装、测试调试和人员培训工作,保证整个项目各个阶段工作的顺利进行。
(二)、项目实施计划
实施目标:
在尽量不影响网络系统正常运转的前提下,完成网络系统调整、防病毒、防火墙等系统的安装以及其他合同中确定进行的工作。
实施内容:
1、网络调研和安全策略制定
充分调研,了解相关网络系统的基本架构、设计细节和安全现状,据此制订出初步的网络调整方案、安全策略和安全规则设置。
2、安装前准备工作
组织专家和技术人员认真完成对防病毒、防火墙、入侵检测系统、网站数据恢复等软硬件产品和相关文档的验收工作。
并进行功能、性能、连通性等检查。
3、项目安装和调试
主要包括防病毒、防火墙等内容
4、安全管理制度制定和人员培训
收集现在安全管理制度、与相关领导沟通、结合公司经验、对用户网络现状的理解、相关安全产品的要求等制定适合的用户的安全管理制度。
对本项目相关的网络(安全)管理人员进行培训
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 方案