《XX企业网络安全建议书(DOC 75页)5663.docx》由会员分享,可在线阅读,更多相关《XX企业网络安全建议书(DOC 75页)5663.docx(81页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX企业业网络安安全建议议书 成都天融信网络安全技术有限公司2004年3月目 录总则5项目背景景5公司介绍绍6第一章网网络风险险分析771.1物物理安全全分析771.2链链路分析析81.3网网络结构构的分析析81.4系系统的安安全分析析91.5应应用系统统安全分分析1001.5.1资源源共享1101.5.2电子子邮件1101.5.3病毒毒侵害1101.5.4数据据信息1101.5.5应用用系统管管理的安安全风险险分析1111.6网网络安全全方案设设计原则则11第二章网网络安全全需求分分析1222.1物物理安全全需求1122.2防防火墙需需求1222.3入入侵检测测系统需需求1222.4网网络防
2、病病毒系统统需求1132.5信信息审计计需求1132.6安安全管理理需求1132.7XXX企业业安全总总体目标标13第三章网网络安全全方案1153.1物物理安全全实施方方案155311防盗防防火放水水15312机房环环境155313物理访访问控制制方面115314机房屏屏蔽155315电源系系统166316传输屏屏蔽166317对终端端设备辐辐射的防防范1663.2防防火墙火火墙实施施方案117321防火墙墙参数要要求1773. 22. 22防火墙墙部署拓拓扑图1119323防火墙墙部署拓拓扑图2219324部署防防火墙的的好处2203.3IIDS实实施方案案21331IDDS部署署拓扑图图2
3、1332IDDS部署署的好处处213.4信信息审计计实施方方案2223.5数数据备份份实施方方案2553.6安安全管理理实施方方案277361工作人人员个人人安全行行为规范范27362密码安安全规范范28363系统管管理规范范29364物理安安全规范范29365用户访访问控制制规范330366登录策策略300367安全确确认规范范31368审计规规范311369服务的的可靠性性规范3323610网络络安全规规范33337文文件加密密的实施施方案33438防防病毒实实施方案案35第四章培培训计划划3641培培训目的的364.2培培训对象象364.2.1网络络管理员员364.2.2系统统管理员员3
4、64.3培培训内容容374.4培培训计划划384.4.1初级级培训3384.4.2高级级培训339第五章售售后服务务、技术术支持、软软件升级级的保障障4051服服务项目目介绍4405.1.1北京京技术服服务中心心415.1.2成都都技术服服务中心心4252售售后服务务承诺442附件1产产品报价价43附件2天天融信防防火墙先先进性444附件3天天融信部部分用户户名单555一、政府府55二、金融融行业557三、科研研教育558四、电信信59五、邮政政59六、税务务59七、能源源60八、交通通运输661九、安全全部门661十、医疗疗62十一、其其他622总 则则项目背景景以Intternnet为为代
5、表的的全球性性信息化化浪潮迅迅猛发展展,信息息网络技技术的应应用正日日益普及及和广泛泛,应用用层次正正在深入入,应用用领域也也从传统统的、小小型业务务系统逐逐渐向大大型、关关键业务务系统扩扩展,典典型的如如行政部部门业务务系统、金金融业务务系统、企企业商务务系统等等。伴随随网络的的普及,越越来越多多的企业业、个人人通过互互联网进进行重要要数据的的传输、商商务活动动的实现现。因此此网络安安全问题题也更加加关键和和重要。因因为在开开放的IInteerneet上有有形形色色色的人人,他们们的意图图也是多多种多样样的。如如何使网网络信息息系统不不受黑客客和工业业间谍的的入侵,已已成为企企事业单单位信息
6、息化健康康发展所所必需考考虑和解解决的重重要问题题。XX企业业的计算算机网络络是一个个覆盖全全厂系统统的计算算机网络络。它的的一方面面作用是是为各科科室提供供完整、准准确、及及时的各各项数据据和结果果,加强强系统内内部信息息的交换换,是系系统决策策科学化化的重要要工具和和手段;另一方方面,以以网络系系统为基基础,实实现全厂厂文件交交换提供供基本平平台保障障。但是是由于在在建设网网络的过过程中没没有过多多的考虑虑网络的的安全因因素,随随着应用用的增加加,网络络也越来来越复杂杂,所以以敏感信信息的泄泄露、黑黑客的侵侵扰、网网络资源源的非法法使用以以及计算算机病毒毒等。为为保证XXX企业业网络的的安
7、全,有有必要对对网络安安全的部部分进行行专门的的改造。本建议书书的目标标是在不不影响资资阳市机机车厂网网络当前前业务的的前提下下,实现现对其网网络全面面的安全全防护和和安全管管理。本本建议书书构建了了包括防防火墙、入入侵检测测系统(IIDS)、信信息审计计等多种种安全产产品协同同工作的的、有效效的防御御系统,降降低网络络的安全全风险,提提高网络络安全性性。针对对资资阳市机机车厂网网络的网网络状况况和实际际应用情情况,我我们建议议资阳市市机车厂厂网络安安全体系系在“统一规规划”的前提提下,进进行“分步实实施”。具体体而言,可可以先对对网络做做一个比比较全面面的安全全体系规规划,根根据网络络的实际
8、际应用状状况,先先建立一一个基础础的安全全防护体体系,保保证基本本的、必必需的安安全性;随着今今后应用用的种类类和复杂杂程度的的增加,再再在原来来基础防防护体系系之上,建建立增强强的安全全防护体体系。本本方案为为资阳市市机车厂厂的网络络安全解解决方案案,包括括网络状状况分析析、安全全需求分分析、安安全产品品的选择择和建议议的完整整的安全全解决方方案。公司介绍绍天融信网网络安全全技术有有限公司司是我国国最早专专业从事事因特网网(Innterrnett)及计计算机通通信网络络信息安安全研究究、产品品开发与与系统集集成的高高新技术术企业。公公司从创创立之初初即立足足于这样样一个信信念:信信息安全全关
9、系到到国家的的主权和和利益,必必须走自自强不息息的民族族产业之之路。自自19995年起起,公司司便积极极致力于于信息安安全的探探索和研研究,并并于19996年年6月推出出了填补补国内空空白的中中国第一一套具有有自主版版权的防防火墙产产品。目目前,天天融信公公司已成成功开发发出了防防火墙系系统、加加密机(VVPN)系系统及信信息审计计系统等等网络安安全产品品,并分分别获得得了公安安部、国国家安全全部、国国家保密密局、国国家密码码管理委委员会等等国家安安全主管管部门的的许可或或认证,在在国内的的政府、电电信、金金融、证证券、军军队、能能源、交交通、教教育、制制造等行行业及国国家政府府部门、企企事业
10、单单位得到到广泛应应用,赢赢得了政政府、社社会和用用户的广广泛赞誉誉,为开开创我国国信息安安全事业业做出了了积极贡贡献。成都天融融信网络络安全技技术有限限公司是是天融信信网络安安全技术术有限公公司在成成都注册册的全资资公司,是是天融信信的三大大核心公公司、三三大研发发基地之之一,天天融信公公司网络络安全产产品的核核心部分分许多都都由成都都公司来来完成,在在目前成成都天融融信公司司有员工工21名名,其中中网络安安全的博博士有33名,硕硕士6名名,其余余技术人人员都是是具有本本科文凭凭的网络络安全专专业人士士。可以以很好的的提供本本地化安安全服务务。天融信网网络安全全技术有有限公司司自955年成立
11、立以来,已已经拥有有的遍布布全国331个省省市、自自治区、直直辖市的的近万家家用户,受受到了用用户的认认可,天天融信公公司成为为国内安安全市场场的领导导者,具具国内调调查的权权威机构构赛迪公公布的市市场报告告指出:连续五五年国内内防火墙墙市场占占有量第第一名,每每年的业业绩和利利润1000%以以上的增增长第一章网网络风险险分析网络应用用给人们们带来了了无尽的的好处,但但随着网网络应用用扩大网网络安全全风险也也变得更更加严重重和复杂杂。原来来由单个个计算机机安全事事故引起起的损害害可能传传播到其其他系统统和主机机,引起起大范围围的瘫痪痪和损失失;另外外加上缺缺乏安全全控制机机制和对对网络安安全政
12、策策及防护护意识的的认识不不足,这这些风险险正日益益加重。瞄准网络络存在的的安全漏漏洞,黑黑客们所所制造的的各类新新型的风风险将会会不断产产生,这这些风险险由多种种因素引引起,与与网络系系统结构构和系统统的应用用等因素素密切相相关。从网络安安全的整整个过程程来看,网网络现状状分析是是必不可可少的。只只有分析析好了网网络现状状才有可可能针对对现有的的网络制制定定相相应的安安全方案案,从而而进行安安全实施施,进而而达到保保护整个个网络的的目的。下面从物物理安全全、链路路安全、网网络安全全、系统统安全、应应用安全全及管理理安全进进行分类类描述XXX企业业的网络络安全。1.1物物理安全全分析网络的物物
13、理安全全风险主主要指网网络周边边环境和和物理特特性引起起的网络络设备和和线路的的不可用用,而造造成网络络系统的的不可用用。它是是整个网网络系统统安全的的前提。XX企业业的物理理安全应应注意以以下几个个方面1) 地震、水水灾、火火灾等环环境事故故;2) 电源故障障;3) 人为操作作失误或或错误;4) 设备被盗盗、被毁毁;5) 电磁干扰扰;6) 线路截获获;7)机房房环境及及报警系系统的设设计。1.2链链路分析析网络安全全不仅是是入侵者者到内部部网上进进行攻击击、窃取取或其它它破坏,有有可能在在传输线线路上安安装窃听听装置,窃窃取你在在网上传传输的重重要数据据,再通通过一些些技术读读出数据据信息,
14、造造成泄密密或者做做一些篡篡改来破破坏数据据的完整整性。因此数据据在链路路上传输输必须加加密。对对于非涉涉密但属属于非公公开敏感感信息的的传递应应通过采采用数字字签名及及认证技技术来保保证数据据传输的的机密性性、可靠靠性及完完整性1.3网网络结构构的分析析如上图,现现在XXX企业的的整个网网络是一一个庞大大复杂的的网络,基基于对数数据重要要的程度度划分,我我们把整整个网络络分为33个不同同的安全全区域:互联网网,资阳阳厂内部部服务器器群以及及XX企企业内部部网络。其中内部部服务器器群是整整个网络络的核心心安全部部分,对对内部网网络中的的办公人人员用户户提供信信息浏览览、查询询或其他他应用。由由
15、于这些些服务器器允许大大量的办办公人员员用户访访问,因因此从理理论上存存在个人人行为或或内部网网络入侵侵的攻击击者对服服务器攻攻击的可可能性。如如果没有有采用相相应的安安全措施施,入侵侵者攻击击服务器器后,这这样可能能导致一一些重要要信息或或敏感信信息可能能被非法法窃取或或修改由于整个个机车厂厂的内部部网络和和外部网网络边界界处已有有防火墙墙做访问问控制,故故这次在在网络结结构分析析中我们们认为是是相对安安全的。1.4系系统的安安全分析析谓系统安安全通常常是XXX企业的的内部网网络操作作系统、应应用系统统的安全全。目前前的操作作系统或或应用系系统无论论是Wiindoows还还是其它它任何商商用
16、UNNIX操操作系统统以及其其它厂商商开发的的应用系系统,其其开发厂厂商必然然有其BBackk-Dooor。而而且系统统本身必必定存在在安全漏漏洞。这这些“后门”或安全全漏洞都都将存在在重大安安全隐患患。但是是从实际际应用上上,系统统的安全全程度跟跟对其进进行安全全配置及及系统的的应用面面有很大大关系,操操作系统统如果没没有采用用相应的的安全配配置,则则其是漏漏洞百出出,掌握握一般攻攻击技术术的人都都可能入入侵得手手。如果果进行安安全配置置,比如如,填补补安全漏漏洞,关关闭一些些不常用用的服务务,禁止止开放一一些不常常用而又又比较敏敏感的端端口等,那那么入侵侵者要成成功进行行内部网网是不容容易
17、,这这需要相相当高的的技术水水平及相相当长时时间。因因此应正正确估价价自己的的网络风风险并根根据自己己的网络络风险大大小作出出相应的的安全解解决方案案。以下下是侵袭袭者获取取口令字字的几种种途径:一是内部部的管理理人员因因安全管管理不当当而造成成泄密;二是通过过在公用用网上搭搭线窃取取口令字字;三是通过过假冒,植植入嗅探探程序,截截获口令令字;四是采用用字典攻攻击方式式,获得得口令字字。侵袭者一一旦掌握握了某一一用户口口令字,就就有可能能得到管管理员的的权限并并可造成成不可。 因此填填补主机机的安全全漏洞,关关闭主机机一些不不常用的的服务,禁禁止开放放一些不不常用比比较敏感感的窗口口,给关关键
18、主机机安装上上基于主主机的入入侵检测测对重要要系统的的安全是是非常重重要的。1.5应应用系统统安全分分析应用系统统的安全全涉及很很多方面面。应用用系统是是动态的的、不断断变化的的。应用用的安全全性也动动态。这这就需要要我们对对不同的的应用,检检测安全全漏洞,采采取相应应的安全全措施,降降低应用用的安全全风险。1.5.1资源源共享XX企业业网络可可能存在在着:内内部办公公人员网网络可能能有意、无无意把硬硬盘中重重要信息息目录共共享,长长期暴露露在网络络邻居上上,可能能被外部部人员轻轻易偷取取或被内内部其他他人员窃窃取并传传播出去去造成泄泄密,因因为缺少少必要的的访问控控制策略略。1.5.2电子子
19、邮件内部网用用户可能能通过进进行电子子邮件发发送和接接收,这这就存在在被黑客客跟踪或或收到一一些特洛洛伊木马马、病毒毒程序等等,由于于许多用用户安全全意识比比较淡薄薄,对一一些来历历不明的的邮件,没没有警惕惕性,给给入侵者者提供机机会,给给系统带带来不安安全因至至素。1.5.3病毒毒侵害网络是病病毒传播播的最好好、最快快的途径径之一。病病毒程序序可以通通过网上上下载、电电子邮件件、使用用盗版光光盘或软软盘、人人为投放放等传播播途径潜潜入内部部网。因因此,病病毒的危危害的不不可以轻轻视的。网网络中一一旦有一一台主机机受病毒毒感染,则则病毒程程序就完完全可能能在极短短的时间间内迅速速扩散,传传播到
20、网网络上的的所有主主机,可可能造成成信息泄泄漏、文文件丢失失、机器器死机等等不安全全因素。1.5.4数据据信息数据安全全对涉密密企业来来说尤其其重要,数数据在广广域网线线路上传传输,很很难保证证在传输输过程中中不被非非法窃取取,篡改改。现今今很多先先进技术术,黑客客或一些些工业间间谍会通通过一些些手段,设设法在线线路上做做些手脚脚,获得得在网上上传输的的数据信信息。也也就造成成的泄密密。这对对涉密企企业用户户来说,是是决不允允许的。1.5.5应用用系统管管理的安安全风险险分析内部管理理人员或或员工把把内部网网络结构构、管理理员用户户名及口口令以及及系统的的一些重重要信息息传播给给外人带带来信息
21、息泄漏风风险。机机房重地地却是任任何人都都可以进进进出出出,来去去自由,存存有恶意意的入侵侵者便有有机会得得到入侵侵的条件件。内部部不满的的员工有有的可能能熟悉服服务器、小小程序、脚脚本和系系统的弱弱点,利利用网络络开些小小玩笑,甚甚至破坏坏,如传传出至关关重要的的信息、错错误地进进入数据据库、删删除数据据等等。这这些都将将给网络络造成极极大的安安全风险险。管理是网网络中安安全得到到保证的的重要组组成部分分,是防防止来自自内部网网络入侵侵必须的的部分。责责权不明明,管理理混乱、安安全管理理制度不不健全及及缺乏可可操作性性等都可可能引起起管理安安全的风风险。1.6网网络安全全方案设设计原则则网络
22、安全全建设是是一个系系统工程程,资阳阳市机车车厂网络络系统安安全体系系建设应应按照“统一规规划、统统筹安排排,统一一标准、相相互配套套”的原则则进行,采采用先进进的“平台化化”建设思思想,避避免重复复投入、重重复建设设,充分分考虑整整体和局局部的利利益,坚坚持近期期目标与与远期目目标相结结合。在进行网网络系统统安全方方案设计计、规划划时,应应遵循以以下原则则:1 需需求、风风险、代代价平衡衡的原则则2 综综合性、整整体性原原则3 一一致性原原则4 易易操作性性原则5 适适应性、灵灵活性原原则6 多多重保护护原则7 可可评价性性原则第二章网网络安全全需求分分析2.1物物理安全全需求针对重要要信息
23、可可能通过过电磁辐辐射或线线路干扰扰等泄漏漏。需要要对存放放机密信信息的机机房进行行必要的的设计,如如构建屏屏蔽室。采采用辐射射干扰机机,防止止电磁辐辐射泄漏漏机密信信息。对对重要的的设备进进行备份份;对重重要系统统进行备备份等安安全保护护。配备备机房自自动灭火火系统,门门禁系统统,报警警系统等等等。 2.2防防火墙需需求防火墙是是网络安安全最基基本、最最经济、最最有效的的手段之之一。防防火墙可可以实现现内外网网或不同同信任域域之间的的隔离与与访问控控制。据据有关数数据统计计,防火火墙的加加设会使使整个网网络的安安全风险险降低990%。防火墙可可以做到到网络间间的访问问控制需需求,过过滤一些些
24、不安全全服务,可可以针对对协议、端端口号、时时间、邮邮件地址址等条件件实现安安全的访访问控制制。同时时防火墙墙具有很很强的记记录日志志的功能能,可以以对您所所要求的的策略来来记录所所有不安安全的访访问行为为。2.3入入侵检测测系统需需求也许有人人认为,网网络配了了防火墙墙就安全全了,就就可以高高枕无忧忧了。其其实,这这是一种种错误的的认识,网网络安全全是整体体的,动动态的,不不是单一一产品能能够完全全实现。防防火墙是是实现网网络安全全最基本本、最经经济、最最有效的的措施之之一。防防火墙可可以对所所有的访访问进行行严格控控制(允允许、禁禁止、报报警)。但但防火墙墙不可能能完全防防止有些些新的攻攻
25、击或那那些不经经过防火火墙的其其它攻击击。所以以确保网网络更加加安全必必须配备备入侵检检测系统统,配置置防火墙墙与IDDS的联联动,对对透过防防火墙的的攻击进进行检测测并做相相应反应应(记录录、报警警、阻断断)。因因此入侵侵检测系系统被公公认为是是继防火火墙之后后的第二二道屏障障。 2.4网网络防病病毒系统统需求针对防病病毒危害害性极大大并且传传播极为为迅速,必必须配备备从单机机到服务务器部署署整体防防病毒体体系,实实现全网网的病毒毒安全防防护。2.5信信息审计计需求网络为泄泄露企业业的商业业机密、技技术资料料、传播播非法和和黄色信信息也提提供了便便利,甚甚至有人人在使用用网络过过程中无无意或
26、故故意地泄泄露XXX企业的的机密,利利用网络络从事非非法活动动,严重重危害社社会安全全。一套套技术先先进的信信息审计计系统将将很好的的监测网网上信息息的交流流,能够够做到发发现问题题及时解解决2.6安安全管理理需求“三分技技术,七七分管理理”是网网络安全全领域的的一句至至理名言言, 在在安全业业界,安安全重在在管理的的观念已已被广泛泛接受,因因此,对对用户安安全策略略、安全全制度等等问题的的建议也也应当作作为安全全解决方方案的重重要组成成部分。通通过加强强安全管管理,才才能保证证由安全全产品和和安全技技术组成成的安全全防护体体系能够够被有效效的使用用。2.7安安全总体体目标基于以上上的需求求分
27、析,我我们认为为XX企企业的安安全网络络系统可可以实现现以下安安全目标标:1建立一一套完整整可行的的网络安安全与网网络管理理策略并并加强培培训,提提高全体体人员的的安全意意识及反反黑技术术。2加强物物理安全全防护,特特别是采采取措施施防止涉涉密的信信息通过过电磁辐辐射的方方式泄露露。3利用防防火墙实实现内外外网及不不信任域域之间的的隔离与与访问控控制。4通过入入侵检测测系统全全面监视视进出网网络的所所有访问问行为,及及时发现现和拒绝绝不安全全的操作作和黑客客攻击行行为并对对攻击行行为作日日志。5各节点点应采用用网络防防病毒系系统,并并与客户户端防病病毒软件件相结合合,构建建起一套套完整的的全网
28、防防病毒体体系,保保证网络络不被病病毒的侵侵害。6通过主主机防火火墙、防防病毒、安安全存储储、防辐辐射来保保证个人人主机或或重要服服务器的的网络安安全防护护。第三章网网络安全全方案3.1物物理安全全实施方方案针对XXX企业的的物理安安全设施施情况我我们特提提出以下下几点:311防盗盗防火放放水网络核心心设备放放在专用用的机房房有防盗盗设备,报报警设备备,消防防设备,禁禁止任何何液体在在任何时时间进入入机房,7724小小时有人人值班312机房房环境机房要通通风,干干燥,温温度保持持在0度度以上220度以以下。313物理理访问控控制方面面对主机房房及重要要信息存存储、收收发部门门来说:首先要要保证
29、重重要地点点的安全全防范工工作,如如:非工工莫入;出入记记录;录录像监控控;门磁磁、窗磁磁、红外外报警等等。以上上非工莫莫入、出出入记录录可以采采用目前前先进的的IC卡卡技术、指指纹技术术、虹膜膜技术、面面纹技术术等来实实现,可可以做到到实时记记录,方方便查询询等优点点。另外外,在机机房内外外安装摄摄像机实实时记录录机房内内外的各各种情况况,便于于今后查查询。门门磁、窗窗磁、红红外报警警等作为为安全技技术防范范的辅助助手段加加以使用用,可以以获得优优异的效效果,可可以通过过门窗、通通道放置置磁性、红红外报警警装置,当当报警装装置被触触动后,激激发摄像像机定位位,以便便实时记记录并触触发警报报;
30、也可可以当报报警装置置被触动动后,激激发摄像像机定位位,启动动实时记记录并触触发警报报。314机房房屏蔽对主机房房及重要要信息存存储、收收发部门门进行屏屏蔽处理理 即建建设一个个具有高高效屏蔽蔽效能的的屏蔽室室,用它它来安装装运行主主要设备备,以防防止磁鼓鼓,磁带带与高辐辐射设备备等的信信号外泄泄。为提提高屏蔽蔽室的效效能,在在屏蔽室室与外界界的各项项联系、连连接中均均要采取取相应的的隔离措措施和设设计,如如信号线线、电话话线、空空调、消消防控制制线,以以及通风风波导,门门的关起起等。315电源源系统对主机房房及重要要信息存存储、收收发等重重要部门门来说:一旦电电源发生生故障,就就会造成成信息
31、的的丢失,正正常工作作无法进进行,给给不法分分子造成成可乘之之机。故故电源系系统应加加以改造造和优化化。可以以采用多多路供电电的方法法,市电电、动力力电、专专有电网网、UPPS供电电等多路路电源同同时接入入XX企企业主机机房及重重要信息息存储、收收发等重重要部门门,当市市电故障障后自动动切换至至动力电电,动力力电故障障后自动动切换至至专有电电网,专专有电网网故障后后自动切切换至UUPS供供电。并并且,当当下级电电源恢复复后,应应立即自自动切换换回去。这这样,既既保证了了安全性性,又降降低了运运行费用用。另外,电电源质量量对用电电设备的的使用寿寿命、安安全等有有重大影影响。在在电源系系统中,存存
32、在尖峰峰、浪涌涌等不洁洁净的情情况,一一旦发生生会使用用电设备备处于危危险境地地,轻则则使用电电设备断断电重启启,总则则使用电电设备烧烧毁无法法使用,甚甚至造成成火灾。在在这种情情况下,即即便是有有UPSS也无济济于事。为为避免因因电源质质量而造造成不安安全因素素,可以以采用电电源净化化系统。电电源净化化系统不不但可以以净化电电源,保保证良好好的电源源质量除除去尖峰峰、浪涌涌等,而而且可以以一定程程度上减减少电磁磁污染,另另外,也也避免了了用电设设备的信信息随电电源电缆缆外泄的的可能。316传输输屏蔽对本地网网、局域域网传输输线路传传导辐射射的抑制制,由于于电缆传传输辐射射信息的的不可避避免性
33、,现现均采用用了屏蔽蔽布线和和光缆传传输的方方式。该该部分的的设计可可在布线线中综合合考虑。317对终终端设备备辐射的的防范计算机作作为电子子设备在在工作时时会产生生电磁泄泄露和传传导泄露露,将计计算机的的显示信信息携带带出去。采采用相应应的接受受设备即即可在一一定范围围内获取取该计算算机的显显示信息息。这是是造成计计算机信信息泄露露的一个个危险隐隐患。终端机尤尤其是CCRT显显示器,由由于上万万伏高压压电子流流的作用用,辐射射有极强强的信号号外泄,但但又因终终端分散散使用不不宜集中中采用屏屏蔽室的的办法来来防止,故故现在的的要求除除在订购购设备上上尽量选选取低辐辐射产品品外,目目前主要要采取
34、主主动式的的干扰设设备如干干扰机来来破坏对对应信息息的窃复复。 当前对付付计算机机信息泄泄露的办办法有两两种:一一是采用用屏蔽措措施,将将涉密计计算机置置于屏蔽蔽室内,隔隔断电磁磁辐射泄泄露;二二是采取取电磁加加扰措施施以干扰扰信号遮遮掩计算算机辐射射信息,以以防窃收收。但由由于屏蔽蔽方式投投资大,灵灵活性小小一般很很少使用用。电磁磁加扰方方式具有有较高的的性价比比。干扰技术术的发展展是随着着计算机机技术和和窃收手手段的发发展而不不断深化化的。以前有些些干扰设设备采用用自噪声声干扰,但但随着相相关检测测解调技技术的发发展和手手段实施施,已经经被认为为是不安安全的了了。随后后采用的的点相关关加扰
35、技技术,因因不能适适用粗线线条,简简单图形形的干扰扰防护也也只有一一定的适适用范围围。目前前采用同同步仿真真干扰技技术,以以计算机机场同步步信号调调制经一一定算法法产生的的干扰信信号,至至在相应应的干扰扰频域上上与计算算机电磁磁辐射相相仿真,即即可以保保证有效效的干扰扰防护,又又可以保保证较好好的电磁磁兼容指指标。3.2防防火墙火火墙实施施方案321防火火墙参数数要求1) 防防火墙应应支持多多种工作作模式:透明、路路由以及及透明加加路由的的混合模模式。2) 防防火墙访访问控制制策略能能够基于于源、目目IP地地址,源源、目端端口号和和时间进行设置置。3)支支持IPP与MAAC地址址的绑定定,可以
36、以扩展iip+mmac+用户名名密码同同时绑定定彻底防止ipp盗用4)身份份认证协协议支持持,具有有多个认认证方案案,如OOTP 、RAADIUUS 、S/KEEY 、SSECUUREIID 、TTACAACS/TACCACSS+、口口令方式式、数字字证书(CCA )等。5)防防火墙应应采用先先进的状状态检测测技术或或其它最最新的防防火墙技技术。6)可可支持动动态、静静态、双双向的网网络地址址转换(NNAT)。7)具备备完善的的日志功功能,能能够提供供日志自自动导出出功能,支支持向日日志服务务器导出日志志。8)能能够与第第三方安安全产品品进行联联动,尤尤其是与与IDSS产品的的联动,注注明联动
37、动协议,举举例说明明。9)支支持分级级带宽管管理,可可以利用用防火墙墙对带宽宽进行精精细的控控制。10) 应支持持常见的的动态路路由协议议,如OOSPFF、RIIP、RRIPIII,支支持生成成树协议议并能参与生生成树算算法计算算。11) 防火墙墙应支持持SNMMP协议议,同时时提供相相应的MMIB库库文件,能能通过第第三方网网管软件件对防火火墙进行行监测和和控制。12)可可扩展支支持VPPN功能能。13)要要求能够够提供基基于源地地址和目目的地址址的路由由功能。14)应应支持8802.1Q、CCiscco IISL等等VLAAN协议议,不仅仅能够识识别协议议而且可可以给VLaan做路路由。1
38、5)支支持WAATCHH DOOG电路路,能够够实现防防火墙的的自动检检测和恢恢复16)支支持基于于服务器器的负载载均衡技技术,支支持基于于网络的的负载均均衡技术术。17)支支持基于于数据库库的长连连接应用用千兆防火火墙技术术性能要要求:1)要求求提供22个100/1000/110000Basse-TTX自适适应千兆兆接口和和一个110/1100BBasee-TXX自适应应百兆端端口。2)、最最大并发发连接数数在1,00万万条以上上。3)、吞吞吐量不不低于9950MM4)、平平均无故故障时间间MTBBF:不不低于6600000小时时。5)、防防火墙千千兆口应应可以扩展展不少于于4个防火墙技技术
39、服务务要求:1)、提提供防火火墙产品品的售后后安装、升升级、培培训服务务。2)、提提供本地地化的日日常维护护和技术术支持服服务。防火墙技技术性能能鉴定资资质:(至至少具备备)1)、公公安部颁颁发的计计算机信信息系统统安全专专用产口口销售许许可证2)、国国家信息息安全测测评认证证中心颁颁发的国国家信息息安全认认证产品品型号证证书3. 22. 22防火墙墙部署拓扑扑图1之所以这这样部署署防火墙墙是应为为把服务务器统一一在一起起便于管管理,把把服务器器群与其其他PCC机完全全通过防防火墙隔隔离开,减减少了服服务器被被攻击的的可能行行,增加加了网络络安全性性,而且且相对于于第二套套部署方方案而言言减少
40、了了防火墙墙的千兆兆端口数数,IDDS也只只需要一一套,降降低了成成本。而而且不用用再从计计算中心心机房铺铺设光纤纤到技术术中心。323防火火墙部署署拓扑图图2这样部署署相对第第一套部部署方案案而言唯唯一的好好处就是是不用搬搬动技术术中心的的服务器器,保持持原有网网络结构构,但是是需要增增加防火火墙的端端口数,增增加IDDS设备备,以及及铺设光光纤,最最主要的的是不便便于统一一管理,而而且网络络安全性性不如第第一套方方案。324部署署防火墙墙的好处处1将服务务器区和和办公网网进行有有效的安安全隔离离,防止止来自办办公网的的攻击和和非法访访问。2防火墙墙可以和和IDSS联动,防防止来自自内部的的
41、攻击。3保证了了数据核核心层的的相对安安全。4对服务务器的访访问做到到日志审审计。5千兆防防火墙的的高处理理性,保保证了对对服务器器访问的的吞吐量量,使得得网络性性能不会会因为防防火墙成成为瓶颈颈。6同时防防火墙必必须要做做到对VVLANN的支持持,能够够做到客客户端对对服务器器的访问问控制。7鉴防火火墙可以以做到对对应用层层的控制制,屏蔽蔽掉应用用层的攻攻击。8防火墙墙具有良良好的抗抗攻击的的性能,能能够对常常见的端端口扫描描,PIING of deaath,DDOS,SSYNffloood攻击击有效防防范。9可以采采用多种种用户认认证的方方式,保保证用户户的合法法性。10防火火墙可以以做到
42、对对文件的的控制,保保证了关关键文件件的安全全。3.3IIDS实实施方案案331IDDS部署署拓扑图图332IDDS部署署的好处处1. 入侵检测测系统能能够对网网络流量量进行实实时监控控,能够够准确有有效地识识别所有有网络活活动中的的已知攻攻击、未未知攻击击行为,一一旦发现现攻击,立立即报警警,并采采取响应应措施。要要求报警警准确,避避免漏报报和误报报。2. 入侵监测测系统具具备分析析采用躲躲避入侵侵检测技技术的通通信数据据的能力力,能够够有效的的检测针针对IDDS进行行的躲避避行为。3. 入侵检测测能够通通过分析析网络中中的数据据,记录录入侵的的完整过过程,为为安全事事件的调调查提供供证据。
43、4. 入侵检测测能够实实时分析析网络中中活动,发发现入侵侵行为可可以采取取预先设设定的动动作响应应(报警警、切断断网络连连接、记记录日志志等等)。5. 能够依据据定制的的过滤条条件获取取某一特特定网络络协议、端端口的原原始报文文数据;并对HHTTPP、FTTP、SSMTPP、POOP3、TTelnnet等等主要的的网络协协议通信信进行内内容恢复复、事件件回放。6. 入侵检测测产品能能够提供供缺省策策略,可可以灵活活通过自自定义制制定新的的符合用用户特征征的策略略,便于于管理、维维护,并并且可依依据事件件报警的的概率分分析对事事件策略略集进行行动态调调整。7. 能够提供供与其他他网络嗅嗅探器和和
44、扫描器器等辅助助工具的的集成,可可与防火火墙、漏漏洞扫描描、验证证系统、IIP定位位系统、网网管系统统进行联联动。便便于查看看当前网网络状况况,分析析网络问问题。8. 能够提供供完整的的网络事事件记录录,对网网络中发发生的所所有事件件进行记记录,生生成完整整的网络络审计日日志。并并支持对对大量审审计日志志的数据据库存储储和对日日志的多多种查询询方式。9 能能够实现现背景流流量过滤滤。对用用户指定定的端口口、协议议、地址址和应用用相关的的高数据据流自动动免检。3.4信信息审计计实施方方案审计系统统的部署署主要涉涉及两个个方面一一个是基基于网络络出口敏敏感、有有害、机机密、黑黑客信息息的审查查,一
45、方方面是对对于行为为的审计计主要指指,对重重要的服服务器、应应用系统统、交换换机、路路由器日日志系统统的审计计和分析析。XXX企业的的信息审审计主要要位于:1审计系系统在互互联网出出口2网络中中心的应应用服务务核心数数据层。天融信日日志审计计系统能能采集多多种日志志类型,包包括:1)各种种操作系系统日志志,如UUNIXX/LIINUXX 系统统的SYYSLOOG,WWINDDOWSS 系统统的系统统日志2)应用用程序日日志、安安全事件件日志、目目录服务务日志(WWINDDOWSS20000)、文文件复制制日志(WWINDDOWSS 20000)等等。3)防火火墙系统统日志,如如天融信信的NGG
46、FW 系列产产品、NNETSSCREEEN 的系列列防火墙墙产品、CCISCCO 的的PIXX 系列列防火墙墙、NEETFIILTEER 和和IPCCHAIINS 免费防防火墙等等。4)入侵侵检测系系统日志志,如SSNORRT 产产生的日日志。5)网络络交换及及路由设设备的日日志,如如 CIISCOO 的系系列交换换机及路路由器产产品。 6)各种种服务和和应用系系统日志志,如IIIS 服务器器日志、AAPACCHE 服务器器日志等等WEBB 服务务器日志志,各种种EMAAIL 服务器器日志,FFTP 服务器器日志,DDNS 器服务务日志等等。 7)任何何支持SSYSLLOG、SSNMPP 或T
47、TOPSSEC 协议的的日志。对对于任何何新的设设备和系系统,只只要它能能支持SSYSLLOG、SSNMPP 和TTOPSSEC 协议,日日志审计计系统都都可以收收集这种种设备的的日志信信息。支支持WEEBTRRENDDS 日日志格式式, WWebttrennds 是广泛泛采用的的防火墙墙日志格格信息系统统还具有有以下功功能1. 日志管理理日志审计计系统的的日志管管理包括括内容:1)多种种日志格格式的统统一管理理。日志志审计系系统可以以自动将将其收集集到的各各种日志志格式转转换为统统一的TTFL 日志格格式,便便于对各各种复杂杂日志信信息的统统一管理理与处理理2)基于于一定策策略对日日志数据据进行分分类、筛筛选,最最大效率率保存日日志数据据到数据据库3)支持持日志数数据从数数据库的的自动导导出、导导入存储储日志记记录到日日志数据据库、删删除日志志、备份份日志、恢恢复日志志、转发发日志给给上级审审计中心心。2. 日志查询询日志审计计