《网络安全方案》word版
省公安厅 网络安全方案 北京网新易尚科技有限公司 2003 年 9 月 25 日 序 企业信息安全的实质:保护企业信息化应用! 企业信息安全的目的:提升企业综合竞争力! 网络安全的核心:信息数据安全! 易尚的口号:为企业信息化应用保驾护航! 目目 录录 第一章第一章 前言前言4 第二章第二章 网络安全需求分析和解决方案网络安全需求分析和解决方案6 2.1 省公安厅信息化网络系统现状6 2.2 网络安全区域划分和需求分析7 2.3 省公安厅构建企业广域网 INTRANET的需求分析10 2.4 在企业广域网 INTRANET搭建 VOIP 网络.12 2.5 安全设备选型和整体解决方案13 2.6 易尚 ES903 产品的主要性能指标14 2.6.1 易尚 ES800的内部构造14 2.6.2 易尚的产品优势14 2.6.3 易尚防火墙总结15 第三章第三章 网新易尚公司和介绍网新易尚公司和介绍16 3.1 北京网新易尚科技有限公司简介.16 3.2 易尚网关防火墙系列产品介绍16 第四章第四章 售后技术服务及技术培训售后技术服务及技术培训22 4.1 技术服务.22 4.2 客户服务.22 4.3 系统维护及产品保修.22 4.4 支持服务.23 4.6 技术培训.23 附附 1:“易尚易尚”网关防火墙用户名单(部分)网关防火墙用户名单(部分).24 附附 3:产品报价单:产品报价单.28 第一章第一章 前言前言 在网络技术迅速发展的今天,企业信息化已成为国际性发展趋势,作为国民经济信息化 的基础,企业信息化建设受到国家和企业的广泛重视。 信息化网络在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险, 至今仍有很多企业没有意识到企业网络安全的重要性。同时,网络安全的威胁还会来自于企 业内部,内部员工或恶意分子的网络攻击与入侵同样也会给企业信息化平台带来严重干扰和 影响。随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得 益于网络加快业务运作的同时,其信息平台的数据也遭到了不同程度的破坏,或被删除或被 复制,数据的安全性和自身的利益受到了严重的威胁。在我国,网络急剧发展还是近几年的 事,而在国外企业网领域出现的安全事故已经是数不胜数。我国网络安全存在诸多问题:首 先是防御意识的落后。对网络安全的防护,意识和观念须先行。但现实中无论是网民还是企 业,网络安全的维护意识薄弱得让人痛心。据调查:在我国电脑应用单位 80%未设立相应的 安全管理组织,58%无严格的调存管理制度,59%无应急措施,48%无事故发生后的系统恢复 方案。 在当前复杂的网络应用环境下,信息资源的安全,病毒、黑客攻击、恶意入侵等都已经 成为主要的安全威胁,它们不但可以造成网络阻塞、传输中断,甚至会导致系统瘫痪的后果, 更为严重的是,远程控制、内部泄密等行为可以轻易地破坏关键数据、盗窃机密信息,从而 给企业带来不可估量的损失。 而无论是有意的攻击,还是无意的误操作,都将会给应用系统带来不可估量的损失。攻 击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪 造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释 放计算机病毒等等。另外,在新技术应用的背后隐藏着诸多安全隐患,不管是传统的操作系 统、TCP/IP 协议还是新的应用软件要作到绝对安全是不可能的。 因此,北京网新易尚科技有限公司北京网新易尚科技有限公司在积极进行企业信息网络建设的同时,借鉴国外企业 网建设和管理的经验,建设完善网络安全体系,将企业网中可能出现的危险和漏洞降到最低。 对于顺德省公安厅这样拥有大型企业内部网络(Intranet)的著名企业,在利用网络为公司 关键应用业务提供服务和进行重要数据传输时,网络的安全保障问题凸现了出来。网络安全 的建设越来越突出地成为网络运营体系中的重点,因此,必须建立完备的安全体系,以保证 提供 7*24 小时的业务运营。 网新易尚网新易尚的技术人员在网络安全行业中有着丰富的经验和技术实力,根据我们对顺德省 公安厅有限公司网络情况的了解,结合我们多年在网络安全领域从事安全集成、安全服务和 安全咨询丰富的技术经验,将为省公安厅提供最合适的网络安全解决方案。 第二章第二章 网络安全需求分析和解决方案网络安全需求分析和解决方案 顺德省公安厅有限公司(以下简称省公安厅)是顺德一家著名的大型企业集团公司。省 公安厅拥有雄厚的技术力量、先进的管理体系,是顺德家用电器产业骨干企业之一。为了满 足企业信息化迅速发展的需要,为了满足公司核心业务对信息化的需求,为了提升省公安厅 的企业竞争力,省公安厅有限公司近期准备实施重要的 ERP 项目。 省公安厅总部企业信息网络系统是基于以太网架构的信息化网络,共有 200 多个信息点, 多台核心应用服务器,核心应用服务器上承载着重要的企业 OA 应用和 ERP 应用等重要应用 系统。这些系统能否安全运行、重要企业数据能否得到安全保护以及如何控制企业内部员工 的上网行为都是目前需要迫切解决的问题。 2.1 省公安厅信息化网络系统现状省公安厅信息化网络系统现状 省公安厅目前共有电脑 200 多台,应用服务器若干,并使用两条 ADSL 线路通过代理服 务器连入 Internet,网络拓扑图如下所示: 省公安厅企业信息化网络系统主要分三大部分: 第一部分:企业内部网络用户,包括 200 多台电脑; 第二部分:企业重要服务器,即指 OA 系统和 ERP 系统的服务器; 第三部分:接入 Internet 部分,即通过光纤专线接入 Internet。 2.2 网络安全区域划分和需求分析网络安全区域划分和需求分析 根据网络安全方案的设计原则,我们首先对省公安厅企业网络进行网络安全区 域划分。省公安厅企业网络安全区域划分如下: 安全区域 A:即网络系统第一部分,企业内部网络用户; 安全区域 B:即网络系统第二部分,内部重要的应用服务器; 安全区域 C:即网络系统第三部分,接入 Internet 部分。 各安全区域划分如下图所示: 安全区域 A 是指企业内部网络用户,这些内部网络用户有着基本相同的网络安全级 别,可以统属于一个安全区域;安全区域 B 是重要应用服务器区,这些应用服务器承载 着重要的企业信息应用,比如 OA 系统和 ERP 系统,因此这些服务器的安全级别要比内 部网络用户高许多,可以单独构成一个网络安全区域;安全区域 C 是指 Internet 接入 部分,因此省公安厅将会通过网通光纤专线接入 Internet,众所周知,Internet 在给 我们带来大量有用的信息资源的同时,也潜伏着巨大的网络安全危机,因为 Internet 上存在着不计其数的黑客攻击、系统扫描和漏洞攻击等安全隐患,因此该区域划分为一 个安全区域,并且是三个区域中最不安全的区域。 安全区域 A 的需求分析: A.1A.1 需要防止区域需要防止区域 A A 的网络用户遭受到来自的网络用户遭受到来自 InternetInternet 的攻击与扫描:的攻击与扫描: 内部网络用户的计算机设置上存放着企业内部工作人员重要的信息数据, 因此需要进行安全防护,以防止来自 Internet 的黑客攻击与扫描。 A.2A.2 需要防止区域需要防止区域 A A 的网络用户对重要的区域的网络用户对重要的区域 B B 进行攻击和入侵:进行攻击和入侵: 因为安全区域 B 内集中着重要的企业信息数据,而且区域 A 内有网络用户 也有可能会对其发起攻击和入侵,因此需要设置相应的安全策略防止安全 区域 A 内的网络用户对应用服务器发起攻击和入侵; A.3A.3 对员工上网行为加强管理和控制,防止无用的信息影响员工的正常工作:对员工上网行为加强管理和控制,防止无用的信息影响员工的正常工作: 企业网络系统通过光纤接入 Internet 后,可以共享到 Internet 上的丰 富信息资源和数据资源。但 Internet 上也有着大量的娱乐信息资源,比如 网上聊天室、网上即时聊天工具 QQ、网上广播和网上电影等,若企业工作 人员在上班时间随意访问这些资源是会对工作造成不利影响,而且还占用 了 企业的宝贵的网络带宽资源。因此需要设置相应的安全策略防止内部员工 在 上班时间内访问这些与工作无关的信息资源; A.4A.4 根据实际应用的需求,对重要网络应用进行带宽保证设置:根据实际应用的需求,对重要网络应用进行带宽保证设置: 由于企业内部有着大量的对 Internet 的访问需求,同时 Internet 外部也 会有工作人员或出差人员需要访问企业应用服务器,因此可能会造成 Internet 出口线路的拥塞。造成 Internet 出口线路拥塞的数据流中,既有 重要的应用数据流,也有不重要的应用数据流,因此我们需要根据数据流 的 重要性进行级别划分和带宽分配。比如:重要的 OA 数据流和 ERP 数据流可 以获得最高的带宽级别和最大的带宽分配,次重要的 Email 数据流则获得 中 等带宽级别和中等的带宽分配,其他相对不重要的数据流如 FTP 和 WWW 等 则 是最低的带宽级别和带宽分配。安全区域 B 的需求分析: B.1B.1 需要防止区域需要防止区域 B B 的重要应用服务器遭受到来自的重要应用服务器遭受到来自 InternetInternet 的攻击与扫描:的攻击与扫描: 区域 B 内的应用服务器即承载着企业内最重要的信息化应用系统,即 OA 应 用和 ERP 应用等。而且这些服务器还集中存放有大量的企业信息 数据,这些信息数据是非常重要的,是不允许被 Internet 获取或访问的。 B.2B.2 区域区域 B B 只向区域只向区域 A A 的网络用户开放相应的服务端口:的网络用户开放相应的服务端口: 区域 A 的网络用户需要访问区域 B 内的应用服务器资源,但这些访问应该是 受限制的。比如企业网络用户需要使用应用服务器的 OA 应用、PDM 应用和 ERP 应用,那么在就设置相应的规划和策略只允许区域 A 的用户访问区域 B 的 OA 服务端口和 ERP 服务端口。 安全区域 C 的需求分析: C.1C.1 安全区域安全区域 C C 是潜在着大量安全隐患和威胁的区域,需重点关注:是潜在着大量安全隐患和威胁的区域,需重点关注: 安全区域 C 即是 Internet 区域,Internet 上存在着大量的信息资源,也存 在着大量的无用资源和有害的资源。Internet 上有着大量的“黑客”对接 入 Internet 的网络和系统进行网络攻击或扫描。因此在进行企业信息化建 设的 同时,需要时刻关注着来自该区域的安全隐患和威胁,并进行重点防范。 C.2C.2 安全区域安全区域 C C 有着许多的不良信息,这些资源是不允许网络用户访问的:有着许多的不良信息,这些资源是不允许网络用户访问的: 安全区域 C 有着许多的不良信息,如色情、暴力、种族歧视、吸毒、反党 反动等信息,这些信息不仅与企业信息化无关,而且如果员工访问到这些信 息还会影响到正常的工作和生产,因此需要设置相应的安全策略防止网络用 户访问安全区域 C 内的不良信息资源。 2.3 省公安厅构建企业广域网省公安厅构建企业广域网 Intranet 的需求分析的需求分析 省公安厅是在各地有着多家分厂或分支办事机构,在全国各地有着众多的销售办事机构, 随着省公安厅 ERP 系统应用的开展,各地的分厂和销售办事机构也会需要使用总部的 OA 系 统、ERP 系统等重要的企业应用系统资源。但目前省公安厅各地分厂和办事机构与集团总部 之间并没有直接的网络连接。因此需要构建省公安厅企业广域网 Intranet。 目前构建企业广域网 Intranet 常见的方法有两种: 方法一:专线连接法。通过租用电信运营商(电信或网通等)的价格高昂的 广域网线路,把各分厂或分支办事机构进行直接的网络相连。 方法二:搭建企业 VPN 网络。公司总部和各地分支机构通过本地电