1、项目:XXXX 网络整体优化设计方案第 1 页 XXXX 信息系统安全建设方案项目:XXXX 网络整体优化设计方案第 2 页 目 录第 1 章 项目概述 .51.1 项目背景 .51.2 项目目的 .6第 2 章 信息系统现状及需求分析 .72.1 信息系统现状 .72.1.1 网络结构现状 .72.1.2 信息系统现状 .72.2 信息系统安全现状分析 .8第 3 章 总体安全目标 .11第 4 章 安全解决方案总体框架 .124.1 网络安全 .124.2 系统安全 .134.3 应用安全 .144.4 数据安全 .14第 5 章 安全解决方案详细设计 .155.1 网络安全建设 .165
2、.1.1 防火墙系统设计 .16防火墙系统部署意义 .16防火墙系统部署方式 .17防火墙系统部署后达到的效果 .195.1.2 网络入侵防御系统设计 .21网络入侵防御系统部署意义 .21网络入侵防御系统部署方式 .22网络入侵防御系统部署后所达到的效果 .235.1.3 病毒过滤网关系统设计 .25病毒过滤网关系统部署意义 .25病毒过滤网关系统部署方式 .27病毒过滤网关系统部署后达到的效果 .28项目:XXXX 网络整体优化设计方案第 3 页 5.1.4 网络入侵检测系统设计 .30入侵检测系统部署意义 .30入侵检测系统部署方式 .315.1.5 VPN 系统设计 .33VPN 系统
3、部署意义 .33VPN 系统部署方式 .345.2 系统安全建设 .375.2.1 集中安全审计系统设计 .37集中安全审计系统部署意义 .37集中安全审计系统部署方式 .38集中安全审计系统部署后达到的效果 .395.2.2 网络防病毒软件系统设计 .405.2.3 终端管理系统设计 .42终端安全管理系统部署 .42终端管理系统部署后达到的效果 .445.2.4 信息安全管理平台设计 .47信息安全管理平台部署意义 .47信息安全管理平台部署方式 .48信息安全管理平台部署后的效果 .485.2.5 ERP 系统服务器冗余备份机制设计 .505.3 应用安全建设 .525.4 数据安全建设
4、 .52第 6 章 XXXX 信息系统安全建设管理制度建议 .556.1 策略系列文档结构图 .556.2 策略系列文档清单 .57第 7 章 搬迁后网络拓扑规划 .61第 8 章 安全解决方案整体实施效果 .63第 9 章 第一期安全实施效果 .64项目:XXXX 网络整体优化设计方案第 4 页 缩写为了方便阅读,特将文中提及的术语及缩写列示如下:缩写 解释XXXX项目:XXXX 网络整体优化设计方案第 5 页 第 1 章 项目概述1.1 项目背景一、化工行业面临的挑战 信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式,改变着国与国之间、企业与企业之间的生存和竞争环境。加入 WT
5、O 之后,我国企业正直接地、全面地面对国际市场的全方位竞争。形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业,推动产业的优化和升级。信息化是个大战略。推进化工企业信息化,不是政府要我们做或者政府出钱支持我们做我们才做的事情,它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要,是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。众所周知,中国作为发展中国家,工业化进程是不可逾越的一个过程。在这个高速发展的过程中,快速的积累社会财富则必然带来资源大量消耗的矛盾。中国要走新型工业化道路,降低
6、资源消耗、减少环境污染是核心。由于国内需求的拉动和世界经济的影响,新世纪伊始,化工工业进入了高速发展时期,在产能快速增长的同时,资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展,化工工业走循环经济的发展方向,必须采用工程科学技术,提高资源、能源综合利用,减少环境污染,把挑战转化为机遇,使化工工业在新型工业化道路上健康稳步迈进, “坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子“,实现跨越式发展和可持续发展。二、信息化是化工工业合理利用资
7、源,实现可持续发展的重要途径中国化工工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求,需要以信息技术为手段、以管理创新、技术创新、制度创新为动力,改造落后装备,实现生产过程自动化、管理信息化。信息化为中国化工工业走新型工业化道路提供了重要机遇。特别是在资源开发和利用项目:XXXX 网络整体优化设计方案第 6 页 中,使用先进的信息技术能够实现优化设计、制造和管理,通过对各种生产和消费过程进行数字化、智能化的实时监控,大大降低各种资源的消耗。对于中国化工企业来说,信息化是企业合理利用资源、降低资源消耗的重要途径。应用
8、信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如:信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段,这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料,能源信息管理系统、环保污染监控系统已经在化工企业得到应用;数据库技术可以对这些资源消耗量进行分析预测并作出预报预警,网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中,进行统计分析;通过产销系统和制造执行系统的运行,保证产品质量,减少废次品,以销定产,以产定料,压缩库存,合理资源调配,避免能源和资源的浪费,提高资源能源的综合利用率;设备管理系统能够对设备的检点维修状况进行动
9、态管理,防止设备未及时检修造成资源的跑冒滴漏现象发生;智能化仪表将各种资源使用情况准确记录下来等等,信息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用,推进绿色制造和清洁生产,合理利用资源,保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径。1.2 项目目的本方案依据与 XXXX 工程师的交流沟通,将对 XXXX 网络做出系统的全面优化设计。其目的在于构建 XXXX 整体网络安全体系架构,部署网络安全策略,保证 XXXX 的网络安全、系统管理都能有机整合。第 2 章 信息系统现状及需求分析2.1 信息系统现状
10、2.1.1 网络结构现状XXXX 信息系统现有网络拓扑图如图 1.1 所示:项目:XXXX 网络整体优化设计方案第 7 页 图 1.1XXXX 信息现有系统网络拓扑图2.1.2 信息系统现状XXXX 网络系统目前市区厂区网络和开发区厂区网络组成,两个厂区使用 2M 专线进行互联。在开发区厂区网络中,接入一条 10M 带宽的互联网链路,互联网边界部署了一台Link Trust80 防火墙,局域网网络使用星形接入方式,使用 HP 5308XL 交换机作为核心交换节点,根据办公楼、综合楼、中控楼等在核心交换机上划分不同 VLAN,还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中,接入一条 1
11、00M 带宽的互联网链路,互联网边界部署了一台 Link Trust100 防火墙,局域网网络使用星形接入方式,使用华为6503 交换机作为核心交换节点,目前网络中有财务系统服务器、ERP 系统(负责单位进销存)服务器、ERP 系统数据备份服务器、文件服务器(采用共享方式)以及作为对外发布的 FTP 服务器。XXXX 共有三百多台电脑,两个厂区分别采用星形组网方式,使用 Vlan 来防范网络间恶意攻击与破坏。通过划分 VLAN 子网,缩小了广播域,通过交换机把关键部门和其他部门或者把所有的部门划分到不同的 VLAN 内,实现部门间的逻辑隔离,避免了避免了广播项目:XXXX 网络整体优化设计方案
12、第 8 页 风暴的产生,也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率,保证网络稳定,提高网络安全性。2.2 信息系统安全现状分析XXXX 信息化建设从无到有,经历了迅速建立与逐步改善的过程,在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩,随着网络技术的不断发展,信息量的增加,网络规模的扩大,数据量,业务量的增加,网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多,XXXX 的网络已经不能满足在现代高威胁网络环境下的安全需求。现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制,导致网络极易感染病毒,网络
13、大部分带宽被与工作无关的应用长期占用,严重影响单位的正常业务的运行。对互联网访问的内容无法实现有效的控制及审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN 系统等系统应用得还比较少,网络安全管理体系还未形成。另外针对已经部署的产品和系统合理有效的配置使用,使其充分发挥其安全防护作用方面,以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面,都还需要做进一步的工作。根据充分的调查研究,XXXX 的信息系统安全建设的需求有以下四个方面:1、网络安全市区厂区和开发区厂区分别使用各自的互联网链路,每条互联网边界均部署了一台防火墙系统。这两台防火墙作分
14、别提供XXXX两个厂区的用户上网和对外发布应用服务,随着上网用户和发布应用服务的增多,防火墙的负载将越来越来大,现有防火墙可能成为网络瓶颈。开发区厂区的一卡通服务器和客户机间没有安全防护措施,客户机对服务器可以进行任何操作。因为很多客户机可以上网,极易感染木马、病毒,客户机也可能会感染或攻击服务器,影响服务器应用的正常使用,造成难以估计的损失。因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP 系统服务器、文件服务器等应用项目:XXXX 网络整体优化设计方案第 9 页 和客户机之间也缺乏安全防护措施。对外发布供外网用户使用的 FTP 服务器等应用也缺乏必要的安全保护措施。
15、缺乏异常流量、恶意流量监控、审计和防御机制,现如今网络上存在着大量的不法黑客以及许多异常流量,对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络,及时了解网络的健康状态,通过这些信息可以采取一些相应的手段去解决问题,我们在采取法律手段时也无法提供了依据和证据。XXXX 驻外办事处、出差等移动用户需要和总部实现数据共享,目前只能通过设置地址映射访问公网 IP 地址,由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的,数据传输时无法做到数据的加密,无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改,无法确保通信双方身份的真实性无法保证数据的传输安
16、全。2、系统安全随着 XXXX 网络系统规模的迅速扩张,对终端管理系统的需求也随之增加。一方面,个人电脑、服务器和移动设备的数量正在随着 XXXX 网络应用规模的不断扩大而快速增加;另一方面,各种应用软件和补丁更新换代速度加快,来自企业内、外部的网络攻击也日益猖獗;终端用户擅装非法软件、擅自更改 IP 地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在,却没有一套有效的辅助性管理工具,依然沿用传统的手工作业模式,缺乏采用统一策略下发并强制策略执行的机制,进行桌面安全监管、行为监管、系统监管和安全状态检测,实现对局域网内部桌面系统的管理和维护,能有效保护用户系统安全和机密数据安全。XX
17、XX 网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统,这些系统在工作过程中将有针对性地记录各种网络运行日志,这些日志对于监控用户的网络安全状态,分析安全发展趋势,有着重要的意义,是用户网络安全管理的重要依据。但是,由于各网络安全产品一般独立工作、各自为战,产生的安全事件信息也是格式不一,内容不同,且数量巨大,导致安全管理员难于对这些信息进行综合分析,对网络中各种安全事件也就无法准确识别、及时响应,以致直接影响整个安全防御体系效能的有效发挥。ERP 系统作为 XXXX 进销存应用系统,其数据关系到整个 XXXX 业务的运行,为最大化保证业务的连续性,ERP 系统服务器主机应
18、采取可靠的冗余备份机制,确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。在内网系统中,还没有配置一套整体的防病毒体系,对于现的网络环境来说无疑项目:XXXX 网络整体优化设计方案第 10 页 是给病毒的入侵埋下了极大的隐患。缺乏信息安全管理平台,通过信息安全平台集中同时实时的了解设备,服务器的运行状态和系统资源使用情况,大大提高了运维的效率,防止由于管理人员的遗漏造成问题解决的不及时。网络中的各产品之间没有联系,给管理工作带来了一定的难度,难以发挥应有的整体效果。另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中,对发现的违规操作或感染病毒的计算机,不能
19、快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备和人员。3、应用安全目前 XXXX 文件服务器采用网上邻居共享访问的方式,文件服务器共享的资源可以被公司所有用户进行查看、下载、编辑、删除等动作,文件服务器缺乏用户认证机制,文件服务器数据缺乏安全性、私密性。另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题,通过网上邻居传输文件时使用 netbios 协议,然而现在有很多蠕虫病毒利用 netbios 协议的端口扫描网络主机漏洞、传输病毒文件,使病毒扩散到整个网络,最终导致系统崩溃、网络瘫痪,业务无法正常开展。4、数据安全ERP 系统作为 XXXX 进销存应用系统,其数据关系
20、到整个 XXXX 业务的运行,其重要性不言而喻,目前 ERP 系统数据通过网络备份到另一台服务器上,使用硬盘作为数据备份存储介质故障率很高,存在很大的数据安全风险。另外财务系统也存在数据备份的问题。第 3 章 总体安全目标为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对 XXXX 信息系统造成影响,我们将采用一系列安全措施来对 XXXX 信息系统提供必要的安全保护,使包含网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力。根据业务系统的特点和需要,我们制订了如下的总体安全目标:1、完整性目标防止存放在服务器和远程业务终端系统中的信息数据被非授权篡改,保证在远程通信过程中信息数据从真实的信源无失真地到达真实的信宿。
