新JAC江淮汽车网络安全整体解决方案.doc
- 文档编号:8738647
- 上传时间:2023-05-14
- 格式:DOC
- 页数:50
- 大小:2.49MB
新JAC江淮汽车网络安全整体解决方案.doc
《新JAC江淮汽车网络安全整体解决方案.doc》由会员分享,可在线阅读,更多相关《新JAC江淮汽车网络安全整体解决方案.doc(50页珍藏版)》请在冰点文库上搜索。
JAC安徽江淮汽车股份有限公司投标书合肥中方计算机工程有限责任公司
第一部分:
技术标书
JAC江淮汽车网络安全
解
决
方
案
合肥中方计算机工程有限责任公司
二00四年三月五日
目录
前言……………………………………………………………………………………3
第一章企业介绍………………………………………………………………..…...5
1.1方正数码有限公司…………………………………………………………...5
1.2上海金诺网络安全技术发展股份有限公司………………………………...5
第二章江淮汽车网络中心安全需求分析……………………………...…………...7
2.1网络基本安全需求……………………………………………..…………...7
2.2江淮汽车网络中心安全需求…………………………………..………….…7
第三章江淮汽车网络中心安全解决方案设计……………………..…….………...8
3.1防火墙………………………………………………………………………..9
3.1.1什么是防火墙……………………………………………………….…..9
3.1.2使用防火墙的必要性………………………………………………...…9
3.1.3方正方御千兆防火墙……………………………………………….…11
3.1.3.1方御防火墙简介………………………………………………….11
3.1.3.2多种工作模式…………………………………………………….14
3.1.3.3包过滤防火墙…………………………………………………….15
3.1.3.4防火墙的主要功能说明………………………………………….16
3.2虚拟专用网(VPN)……………………………………………………….20
3.2.1背景介绍………………………………………………………………20
3.2.2产品特点………………………………………………………………21
3.3入侵检测系统(IDS)………………………………………………………22
3.3.1千兆级入侵检测…………………………………………………..….22
3.3.1.1什么是入侵检测………………………………………………....22
3.3.1.2入侵检测的必要性……………………………………………....22
3.3.1.3金诺网安入侵检测系统………………………………………….24
3.3.2强化安全管理水平…………………………………..……………….32
3.3.2.1安全管理原则…………………………………………………….32
3.3.2.2安全管理的实现………………………………………………….33
第四章技术支持及售后服务计划……………………………………...…………34
4.1技术培训计划……………………………………………………………….34
4.1.1培训……………………………………………………………………..34
4.1.1.1标准专业培训…………………………………………...…………34
4.1.2可选专业培训…………………………………………………………..35
4.2售后服务及应急响应……………………………………………………….37
4.2.1产品安装及验收流程…………………………………………………37
4.2.2售后服务………………………………………………………………37
4.2.2..1售后服务综述……………………………………………………37
4.2.2..2售后服务机构……………………………………………………38
4.2.2..3服务内容…………………………………………………………38
4.2.3应急响应和质量保证…………………………………………………39
4.2.3.1服务人员………………………………………………………….39
4.2.3.2响应时间保证…………………………………………………….39
4.2.3.3规范的内部流程………………………………………………….40
4.2.3.4客户档案管理系统……………………………………………….41
4.2.3.5统一的服务文档………………………………………………….42
附件一:
方御8340f防火墙功能列表…………………………………………43
附件二:
方御8340f防火墙参数列表…………………………………………44
附件三:
金诺KIDS特性列表………………………………………………….46
附件四:
金诺KIDS检测攻击类型列表……………………………………….48
前言
概述
随着企业信息化程度的提高,企业对于信息处理的手段日益先进,运作的效率也日益提高,同时,各单位对其电子化的信息系统的依赖程度也越来越高。
但是由于大多数单位都把网络建立在传统的网络架构上,而该架构又缺乏对于诸多安全问题的考虑,加之人们对网络安全认识不足、管理松散、专业安全技术人员匮乏、网络安全设施投资缺乏、安全制度不完善等因素,使得网络信息的安全风险日益加剧。
因此,网络安全基础设施的建设已经成为刻不容缓的重要课题。
方案设计原则
n符合国家有关规定
我国相关部门已经制订了一系列关于信息安全的法律法规,涉及安全策略、密码与安全设备选用、网络互联、安全管理等内容。
安全保密建设必须能够符合这些法律法规,确保国家秘密信息的安全。
n整体安全原则
贵单位信息系统是一个复杂的系统,对安全的需求是任何一种单元技术都无法解决的。
必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和业务系统提供全方位的服务。
n全网统一原则
集中有关各方的力量和资源,使信息系统设计得更加系统、完善、严密;包容现存的和将要改进的信息系统对于安全普遍的、特殊的要求,使体系更趋科学和适用;通盘考虑所有通信分系统的安全互通。
n标准化与一致性原则
网络安全建设是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,才能使整个系统安全地互联互通、信息共享。
n需求、风险、成本折衷原则
任何信息系统都不能做到绝对的安全,而且真正绝对的安全也是不必要的。
鉴于这种情况,在设计信息系统安全时,要在安全需求、安全风险和安全成本之间进行平衡和折中。
过多的安全需求、过低的安全风险追求必将造成安全成本迅速增加和复杂性的增加。
因此,在设计贵单位的安全方案时必须遵守三项要求折衷的原则。
n实用、高效、可扩展原则
安全保障系统所采用的产品,要方便工作、实用高效。
同时,随着IT技术的不断发展,信息系统将会发生各种变化,信息系统安全设计必须能适应这种变化。
在系统实施过程中,系统的结构、配置也会发生一些变化,系统的安全工程要有一定的灵活性来适应这种变化,比如做到层次性、体系性,既有利于系统的安全,又有利于系统的扩展。
n技术与管理相结合原则
网络安全建设工程是一个系统工程,单靠技术或单靠管理都不可能实现。
各种安全技术应该与运行管理机制、人员思想教育和技术培训、安全规章制度建设相结合,从社会系统工程的角度综合考虑。
方案设计参考标准
本方案在设计过程中主要参考了以下信息安全相关标准:
lISO/IECTR13335:
《信息技术安全技术信息产业安全管理的指导方针》
lISO/IEC15408:
《信息技术安全性评估通用准则》
lGB17859:
《计算机信息系统安全保护等级划分准则》
lISO17799/BS7799:
《信息安全管理惯例》
l《信息安全工程质量管理要求》
《系统安全工程能力成熟模型》(SSE-CMM)等
第一章企业介绍
1.1方正数码有限公司—方正数码有限公司(EC-FounderCo.,Ltd.)成立于2000年9月,是方正集团旗下的一家独立上市公司。
除北京方正数码有限公司外,方正数码在香港、台湾设有分公司,并在上海、广州、西安设有办事处。
方正数码的主要业务围绕互联网安全技术应用、企业/政府信息化领域,在技术开发、应用解决方案和运营服务方面为用户提供实用、先进的产品和技术。
方正方御防火墙产品是国内领先的基于边界的网络安全解决方案。
为适应广大用户不断发展的需求,方御产品精益求精,不断创新。
方御防火墙针对目前网络应用日益复杂的趋势,为了弥补传统防火墙控制范围有限的不足,结合用户需求推出独创的智能IP识别技术,具有强大的信息分析能力和高效数据处理能力,密切配合网络应用,实现多种网络对象的高效访问控制。
目前,方御全新推出包括专业级、企业级和电信级三个系列,多个品种的方御防火墙产品,全面扩充方御防火墙产品线。
配合原有1U/2U型防火墙,方御产品从网络适应性、产品核心功能、增值功能和性能方面都有相应的突破。
方御防火墙产品既适合行业用户的专业需求,又能满足中小企业用户的安全接入需要,是一套完整的网络边界安全解决方案。
1.2上海金诺网络安全技术发展股份有限公司--上海金诺网络安全技术发展股份有限公司(www.kingnet.biz)成立于2000年4月,注册资本2518万人民币,由上海精宏投资管理有限公司、上海港机股份有限公司、中油龙昌(集团)股份有限公司等单位共同投资组建,是国内最大的网络安全产品及服务供应商。
公司总部位于上海,北京、广州等地设有分公司或办事处,现有员工近百人,其中一半以上的管理人员拥有硕士以上学位,70%以上是多年专业从事技术管理、市场和人力资源管理的职业经理人。
金诺网安拥有相当完备的产品线体系,涉及入侵检测、漏洞扫描、上网行为管理、防火墙、防病毒等各个安全领域。
公司自主开发的部分产品有:
金诺入侵检测系统KIDS、金诺上网行为管理系统EIM、计费系统(校园版、酒店版)、金诺网安Cyberpro扫描器等。
这些产品多次受到国家有关部门的肯定,达到了国内领先,国际先进的水平,已经在政府、金融、证券、IDC、ISP、保险、教育等各个行业拥有众多用户群。
目前金诺网安国内的代理商数目达到一百多家,在全国范围内拥有了一批金牌、银牌及认证代理,已经形成最具广泛代表性的网络安全产品销售网络。
金诺网安技术力量雄厚,除了已有多名信息安全领域的博士、硕士研究人员和海外归来的信息安全专家加盟外,还与国内信息安全研究领域的多家权威机构建立了长期的战略合作关系,掌握着国际、国内信息安全技术的最新发展趋势。
公司不仅是国家863计划信息安全领域专项课题研究承担单位,也是上海市首批通过软件企业认定的高新技术企业,同时还参与发起和设立建在浦东的国家信息安全产业化基地,已被上海市政府列入了上海市信息产业重点企业,多次接待过国家有关部门领导的视察,受到中央电视台、人民日报等多家国家级媒体及有关专业报刊的专题报道。
受中国国家信息安全测评认证中心的委托,金诺网安全面负责国内规模最大、资料最全、最具权威性的“中国信息安全论坛”()的运营与维护,该网站拥有已知世界上最大的公开漏洞数据库、最大的工具库及内容最丰富的技术资料文档库,已经成为了信息安全领域最具影响力的综合性门户网站。
在公安部十一局、公安部第三研究所及公安部计算机信息系统安全产品质量监督检验中心等有关主管部门的指导与委托下,公司还担负着“中国信息网络安全”(www.china-)网站的运营与维护工作,网站涉及与计算机信息网络安全相关的政策法规、标准规范、产品名单及最新的病毒公告,为信息网络安全的研究与管理提供了一个全面的权威平台。
公司本着“求实、创新、服务社会”的经营理念,以脚踏实地的工作态度、扎实过硬的技术基础,奠定一个高科技企业的立身之本;同时结合现代信息产业的特点,顺应社会信息化发展的潮流,不断研究具有创新思维的新产品、新服务,以最大程度地满足客户的需求。
金诺网安拥有高度专业的员工,致力于持续的创新与开发,立志成为中国最优秀的信息安全企业。
第二章江淮汽车网络中心安全需求分析
2.1网络基本安全需求
满足基本的安全要求,是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则。
针对目前很多黑客往往专注于攻击企业网站,一旦网络中心本身受到攻击而瘫痪,将直接影响企业的正常运转,因此而承受相当大的责任和损失。
因此,需要江淮汽车网络中心对自身网络运行的安全性和稳定性有着极高的重视:
既要求网络高带宽,高效率,又要求网络能抵抗黑客攻击和硬件故障稳定运行,不会因为单节点的故障影响整个系统。
需要尽量的能够对各种异常情况(如黑客入侵、病毒发作等)的发生进行事前的监控和阻止。
当异常情况发生时,需要及时的采取处理手段。
对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。
网络基本安全要求:
n网络正常运行。
在受到攻击的情况下,能够保证网络系统继续运行。
n网络管理/网络部署的资料不被窃取。
n具备先进的入侵检测及跟踪体系。
n提供灵活而高效的内外通讯服务。
2.2江淮汽车网络中心安全需求
为保障江淮汽车网络中心的正常运行,提高防黑反黑手段,构建全面统一的网络安全管理架构。
采取必要有效措施加以保证,江淮汽车网络中心网络安全建设的有关目标有:
接入控制:
l与互联网的接入,采用防火墙隔离,并将服务器群放在受防火墙保护的安全隔离区。
l同时,关键业务需要通过VPN安全通道进行传递。
内部检测:
l内部网络在关键节点部署入侵检测产品,生成有关网络各种状况的报告,便于管理。
l内部网络部署漏洞扫描系统,为消除网络隐患做先期准备。
另外,网络安全的建设,可以一次性规划、分阶段进行,要易于实施、实现业务的无缝割接。
具有良好的可靠性、可扩展性及维护性,进一步规范IP地址。
第三章江淮汽车集团网络中心安全解决方案设计
全方位的安全体系
一个完整的安全体系应包含:
l访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达被攻击目标之前;
l检查安全漏洞,通过对网络和系统安全漏洞的周期检查,即使攻击可到达被攻击目标,也可使绝大多数攻击失效;
l攻击检测,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等);
l多层防御,攻击者在突破第一道防线后,延缓或阻断其到达被攻击目标;
l隐藏内部信息,使攻击者不能了解系统内的基本情况;
l设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况服务。
江淮汽车网络中心安全解决方案
根据江淮汽车网络中心实际网络建设规划,我们公司为江淮汽车网络中心提出了全方位综合网络解决方案,部署图如下:
图表三1江淮汽车网络中心网络安全解决方案部署图
技术安全设备保障
我们在网络中的各个部分采取了多种防范手段,使用了各种安全防范技术。
对应客户计算机网络的所面临的安全问题,我们应用了以下几项技术逐一解决:
l防火墙技术
lVPN技术
l入侵检测技术
通过以上几项技术的运用再加上强化的安全管理水平,我们相信江淮汽车网络中心的计算机网络的安全将获得全面加强。
3.1防火墙
3.1.1什么是防火墙
目前,网络攻击和入侵的手段多种多样,主要可以分为以下几大类:
※欺骗:
通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用,例如盗用拨号帐号。
※窃听:
利用以太网广播的特性,使用监听程序来截获通过网络的数据包,对信息进行过滤和分析后得到有用的信息,例如使用sniffer程序窃听用户密码。
数据窃取:
在信息的共享和传递过程中,对信息进行非法的复制,例如,非法拷贝网站数据库内重要的商业信息,盗取网站用户的个人信息等。
※数据篡改:
在信息的共享和传递过程中,对信息进行非法的修改,例如,删除系统内的重要文件,破坏网站数据库等。
※拒绝服务:
使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力,造成系统瘫痪,无法对外提供服务。
典型的例子就是2000年年初黑客对Yahoo等大型网站的攻击。
黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果,如果是对军用和政府网络的攻击,还会对国家安全造成严重威胁。
防火墙能够根据源地址、目的地址、端口号、时间、用户、URL等控制数据包的通过还是拒绝通过,从而将非法的数据包拒绝在防火墙之外。
防火墙一般布置在可信任网络与不可信任网络之间,以确保需要保护网络的数据安全。
3.1.2使用防火墙的必要性
Internet正在越来越多地融入到社会的各个方面。
一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。
Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。
尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。
2000年二月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo!
、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。
黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。
在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。
国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击。
国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。
客观地说,没有任何一个网络能够免受安全的困扰,依据FinancialTimes曾做过的统计,平均每20秒钟就有一个网络遭到入侵。
仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工内部破坏,还有的是出于好奇或者满足自己的虚荣心。
随着Internet的高速发展,也出现了有明确军事目的的军方黑客组织。
通过上面的现状描述,那么,我们现有网络的安全隐患在哪里呢?
下面我们将从攻击手段、攻击线路等几个方面来分析:
1)从攻击手段来看,因为整个网络目前仅建成了网络层,做到了互联互通。
但在此之上的网络规划和安全防护并未很好的考虑。
实际上是不设防的网络,可以被各种攻击手段(包括病毒、木马、扫描等)攻击。
Ø当前出于政治目的和商业竞争目的的网络攻击日益增多。
网络攻击和入侵对于获取其它目标机构的机密信息是一种非常重要的手段。
对于一个重要的部门,信息的安全尤为重要。
具有优秀功能的防火墙也是网络安全防护体系的非常重要的一部分。
Ø鉴于当今网络安全形势严峻,问题复杂,对于防止网络入侵、非法访问和防病毒来说,动态的防护体系是一个非常优秀的、安全系数最高的安全网路,所以,拥有入侵检测网络狙击手是使网络的安全性达到质的飞跃的必要手段。
2)从攻击线路来看,从外到内可以通过拨号用户通过INTERNET直接进入;在业务网内部是直接互联,未做有效隔离;没有网络控制中心对全网进行有效的监控。
基于以上分析,因此,我们需要从以下几个方面考虑网络安全问题:
Ø如何在网络的网络层实现安全控制?
Ø在连接Internet时,如何控制远程用户访问,保证网络的安全性?
Ø如何保证系统内各网络间的安全?
Ø如何保证系统内重要部门的安全?
Ø如何保证系统软件及其应用系统的安全性?
Ø如何保证系统重要数据资源的完整性?
Ø如何保证网络内重要服务器的安全?
Ø如何保证对外WEB服务器的安全?
Ø如何防止可能来自内部的非法访问或恶意攻击?
Ø如何防止来自外部互联网上可能的恶意攻击?
。
。
。
。
。
。
3.1.3方正方御千兆防火墙
3.1.3.1方御防火墙简介
领先的智能IP识别技术
方御防火墙智能IP识别技术是方正数码针对网络应用不断发展的需求,自行研发的高效网络检测技术,创新性地采用零拷贝流分析、特有快速搜索算法等技术,针对网络流2-7层数据进行高效识别。
方御防火墙可控对象除了传统的IP包相关信息外,还引入时间、用户、应用及其操作等控制对象,大大扩展了防火墙的防护功能,并且在保证针对应用的细致分析和防护的同时,对产品的性能有大幅的提高,解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。
立体安全防护体系
方正方御防火墙秉承立体防护的理念,防火墙功能实现遭遇网络攻击前安全策略的定制,使用入侵检测功能进行攻击过程中的防范与报警,辅以日志系统完成攻击后的分析。
实现事前、事中、事后的全面防护。
再通过虚拟专用网功能进一步将安全保护延伸到数据的传输过程。
更引入安全评估观念,主动对网络进行模拟攻击,检验整个网络的安全性。
良好的升级机制保证了整个安全系统能够随着技术的进步不断增强。
概言之,方御防火墙涵盖了整个网络的空间范围和时间范围,从主动及被动多方面进行立体防护,真正实现全面安全。
杰出的工作效率
方正方御防火墙性能优异,先进的状态检测技术和独特的智能IP识别技术保证了杰出的工作效率。
网络吞吐能力达到线速,支持高达100万并发连接,在多次产品评测中性能领先。
使用方御防火墙可以保证网络的实时畅通,不会像传统防火墙一样成为网络瓶颈。
稳定可靠
作为网络关键设备,方正方御防火墙对自身的稳定性提出了严格的要求。
方御防火墙采用高度集成的工业级硬件设计,适应各种复杂的环境条件。
每台方御防火墙出厂前均在方正独有“网际飓风”高压力网络环境中经过100小时全负荷测试,确保产品万无一失。
灵活适应不同网络环境
方正方御防火墙通过引入交换模式、路由模式和全新推出的混和模式,可以根据用户的网络环境要求,灵活的将防火墙接入用户网络中。
同时方御防火墙支持VLAN功能,支持多种网络路由协议,能适应复杂的网络环境。
超强的增值功能
方正方御防火墙除提供全面的网络安全防护功能外,还提供了包括代理服务器、带宽管理、地址转换等增值功能,使用户在实施和步署安全策略时,获得更多的网络产品功能。
简单实用的使用方式
人性化设计的全中文图形界面,即使非专业人员也能轻松掌握。
支持远程管理和集中管理,支持SNMP管理,降低日常维护成本。
可切换的路由或桥式接入方式以及新加入的混和接入方式可以轻松配合用户原有的网络环境。
在一般情况下,只需不到1个小时就可以完成安全产品的实施,对客户应用的影响更是可以减少到只需几秒。
方正智能IP识别技术:
2到7层的安全防护
随着国内防火墙系统应用的迅速推广普及,用户对防火墙系统有了越来越深入的了解,走出了初期功能堆砌攀比的误区,逐渐明晰了防火墙作为网络边界安全设备的首要位置和关键性作用。
与此同时,在实际应用中,用户也从各种角度发现了当前防火墙的缺憾和不足,对防火墙
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JAC 江淮 汽车 网络安全 整体 解决方案