企业信息化建设安全解决方案

企业信息化建设安全解决方案第页企业信息化建设安全解决方案（天威诚信）(版本：1.0)北京天威诚信电子商务服务有限公司2013年3月目录统进行安全评估，发现新的安全问题，另外也要跟踪最新的安全技术，及时调整自己的安全策略。通常安全设计需要参照如下模式:图安全模式网络安全不单是单点的安全，而是整个系统的安全，需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。安全需求和风险评估是制定安全策略的依据。我们先要对现有的网络的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。然后根据安全策略的要求，选择相应的安全机制和安全技术，实施安全防御系统、进行监控与检测。安全防御系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否，直接决定着整个网络安全程度，无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络中的后门。响应与恢复系统是保障网络安全性的重要手段。根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。本文研究内容本课题源于**集团企业信息化建设这一项目。目前**集团各子公司各自组网，使用各自的以办公系统。为了适应市场的不断发展和激烈竞争，提高福建电信实业公司的服务水平和服务质量，增强对新业务的支撑能力和反应速度，满足客户需求的不断变化和发展，要求建立一个统一的对外平台。现在互联网处于开放的状态，网上充斥着各种信息，病毒、恶意攻击、窃取公司机密等等屡见不鲜，由于**集团与各子公司经过互联网进行以互联，对外提供web服务，同时各公司存在上网的需求，因此保护企业网络，防止信息泄漏更是急切需要解决的问题。本解决方案就是要提供网络互联、网络监测、流量控制、带宽保证、防入侵检测。系统可帮助值班人员随时了解到网络质量以及设备的工作状态;系统对历史信息进行记录并提供查询功能，方便用户对出现的情况原因进行深入分析;系统提供图形化界面管理，方便用户实现人性化管理，同时抗击各种非法攻击和干扰，保证网络安全可靠。**集团企业信息化现状**集团企业信息化现状**集团信息化现状描述……主要系统现状及存在问题描述……门户网站、企业邮箱系统目前**、设计院、邮科公司、工程公司都有公司网站，有公司域名，但是网站内容非常有限，仅用于发布一些企业宣传信息、产品信息、招聘信息等，且信息更新频度较低。除邮科公司网站系统部署在自有服务器上外，其他公司的网站系统都是租用电信的服务器或硬盘空间。各子公司的网站和实业公司的网站系统之间没有进行“超链”。**、设计院、邮科通信公司、工程公司有公司的邮箱系统，采用公司域名作为邮箱系统的域名。除邮科通信公司的邮箱系统是架设在自有服务器上外，其他公司的邮箱系统都是主机托管或租用电信的邮箱服务。人力资源管理系统目前所有子公司都没有单独完整的人力资源管理系统，部分公司目前使用的人力资管理系统主要是80年代原省邮电管理局统一使用的老系统或相关业务管理部门指定的小软件，目前已经难以满足企业的人力资源管理需求。部分公司正在学习金蝶HR系统，但是目前都没有正式使用该软件。这些软件都是单机版或者C/S架构的网络版，无法满足《指导意见》提出的2级架构要求。调研中，各子公司的人力资源部门都强烈希望集团能够尽快提供一套统一的人力资源管理系统。财务管理系统、报表系统所有子公司都统一使用金蝶K/3系统作为财务基础核算系统，该系统为C/S架构的网络版，该架构无法满足《指导意见》提出的2级架构要求。目前所有子公司都购买了金蝶公司的支撑服务。**无法通过远程访问方式了解各子公司的财务数据。目前所有子公司都使用北京久其公司的久其报表软件单机版，报表模板由**统一下发，各子公司财务部负责收集数据，汇总后上报给**。各子公司上报的数据中有一部分人力资源、经营的数据需要财务以外的部门提供，目前通过手工方式提供。**的报表上报也是使用久其单机版，由省电信公司财务部下发模板，收集各子公司上报的数据汇总后报送给省电信公司财务部。目前无需向其他单位提供统计报表(如统计局、省管局等)。目前没有购买久其公司的维护支撑服务。经营分析系统目前包括**在内，都没有专门的IT系统用来支撑经营分析。目前的经营分析主要通过各业务部门手工提取数据进行加工分析后形成经营分析报告。业务运营支撑系统设计院的主要业务:设计业务，系统集成(工程业务)，使用自己开发的一套系统来支撑其业务。该系统技术架构比较先进，功能基本满足该公司的业务需求，由于为自己开发的系统，维护支撑、软件功能升级都比较便利。邮科通信公司的业务类型比较杂:软件开发、系统集成、电信业务支撑服务、生产销售、工程服务、工程设计，目前没有统一的IT系统来支撑，而是由各个专业部门自行开发或引入一些系统来支撑日常业务，存在种类繁多不统一，信息无法共享的问题。工程公司的业务类型:工程施工，部分施工、维护，也是采用自行开发的一套系统来支撑业务。其他问题集团内各子公司网络规模庞大，网络设备种类多，配置复杂，版本参差不齐，对系统资源利用和性能指标缺乏实时的、集中的监控管理机制;在接入Internet方面，部分子公司保留有Internet出口，部分终端可其它方式访问Internet，存在网络安全隐患;网络上运行的诸多服务器和网络设备都有设置有多个用户帐号和口令，但缺乏统一的口令管理机制，认证方式不可靠。网络中连接有为数众多的终端，大多终端安装有防病毒软件。但缺乏病毒防护的统一监控和管理，系统管理员维护工作量较大并且复杂。**集团企业信息化系统需求分析网络需求分析结合**集团的1T现状及本省的06一09年IT总体规划需求，拟在**集团有限公司集团总部建设一中心点，作为中心机房，通过中心点与全市5个上市子公司之间组建办公网。本期建设的IT系统能够省集中部署的全部采用省集中部署模式。如下图:图IT基础设施建设实施关键点明确应用系统的硬件及网络带宽需求评估未来5年**的应用系统的IT环境需求，包括妥种主机设备、网络带宽、电源容量、存储容量等需求，在机房设计施工时预留足够的余量。安全方案设计充分考虑企业信息化的安全需求，特别与工nternet相连的网络、应用系第二章**集团企业信息化现状统，采取各种安全措施、备份措施，包括物理安全和人为操作安全。内外网隔离方案是安全的一个重要基础，现在采用物理隔离方案的安全性最高，但是会给应用系统的部署和使用带来不便。考虑到现有的网络安全设备以及技术方案比较成熟，安全强度足够高，并且应用上需要支持远程办公，本次建设将不采用物理隔离方式。异地备份方案采用在子公司机房部署备份服务器的方式。机房选址选定**机房作为中心机房，该机房具有较大的扩展空间。异地备份机房选用邮科公司智能网机房。机房设计施工，包括电源改造、增加UPS、增加空调设备等现有机房的市电容量不足，没有专用空调，未配备统一的UPS，因此需要在本次建设统一考虑。网络实施包括专线线路、ADSLVPN线路、楼内线路的施工、调测，施工进度依赖线路提供商和综合布线进度，必须做好工程质量监督和进度监督。设备采购、安装本次IT建设对多个应用软件的部署环境进行统筹考虑，数据进行集中存储，数据库软件尽量选用同一种，中间件也尽量选用相同厂家的同一版本，这样便于管理和维护，也可以共享主机平台，但是对设备的可靠性和性能要求较高，并且需要考虑系统间的性能干扰。设备的选型将考虑未来5年的性能需求增长，将以当前需求的200%的性能参数配置主机设备，此外主机设备留有等量的扩展空间。系统需求分析:财务系统**集团与各子公司财务业务统一，软件统一，这是本次的财务系统的集中部署的最有利条件。第二章**集团企业信息化现状新的财务系统最好能够和现有在用系统的操作习惯比较一致。人力资源管理系统**目前在人力资源管理系统上基本处于一片空白，在业务上也处于比较原始的人事管理水平。对未来的系统无法提出有深度的需求，因此本次人力资源管理系统应该具备最核心的功能，兼顾性价比，系统一边建设一边培训，通过成熟系统向现有的人力资源管理人员灌输先进的人力资源管理理念，固化并统一全省的人力资源管理制度。当人力资源管理达到相当水平后，结合我省的实际情况，人力资源管理部门人员必然会提出一些新的需求，这些需求通过对系统进行二次开发来满足。门户、0A系统从现状看，**的以系统建设也是参差不齐的，大部分专业公司对以系统的需求不是非常强烈。但是从管理上看，0A系统覆盖到专业公司的中层干部以及必要的后勤管理部门是必须的。由于大部分专业公司还没有建设以系统，因此考虑本次所有子公司的以系统在选型上和**一致。为了降低系统的推进难度，第一期只在**部署统一的0A系统，在系统中为各专业公司单独配置流程，达到覆盖子公司的目标。当子公司新产生的本地化需求不能在现有系统上进行配置或二次开发来满足时，才考虑在子公司单独部署以系统。以系统在选型时必须考虑良好的接口开放性和二次开发支撑能力。**集团、设计院、邮科公司、工程公司都拥有自己的公司网站，但是功能简单，且连最简单的互相链接都没有。**需要一个统一的门户来有效整合各子公司的品牌资源，做统一的形象推广。第一期通过统一的门户系统、统一门户域名、统一邮箱域名的方式进行门户建设，同时把以、经营分析、报表软件等通过门户系统进行集成，提供单点登录、统一鉴权功能，把系统建设、维护集中在**，这样可以方便将来的维护、升级，同时最大限度降低对各子公司的IT能力的要求。业务管理和运营支撑系统**目前基本没有业务管理和业务运营支撑系统，规划中要建立**数据中心，收集业务统计相关数据的建设需求。我**各专业公司层面则第二章**集团企业信息化现状己经建立了部分业务运营支撑系统。业务管理和业务运营支撑上，实业和主业之间存在显着差异:主业的业务同质性相当高，而实业则是一个复杂的、多业务类型的集团企业。我**未建立统一、独立的业务管理系统，在业务运营支撑系统方面，主要是以专业公司为主进行自行建设。**层面目前对于业务管理和业务运营支撑没有强烈的系统支撑需求，考虑到实业本身多业务、多行业的特征，并且**对专业公司主要是进行投资管控，我省业务运营支撑系统以专业公司为主来进行建设比较合理，一方面能够尽可能的贴近专业公司自身的需求，不是为建系统而建系统:另一方面**公司对专业公司的管理主要是投资类型的管控，而非运营类型管控，因此**没有必要对专业公司的业务运营做过多的管理和干涉，否则容易造成捆住专业公司手脚的局面。**在组织架构等工作陆续完成后，将逐步加强对业务的管理。本期建设完成后，将在**层面建立合同协调服务系统，主要对专业公司的合同信息、合同状态等做实时了解。企业信息化管理**没有专门的IT组织，也没有设置企业信息化岗位;部分专业公司如邮科公司等，有专门的IT组织和IT开发团队，既支撑自身的IT建设，又对外提供1T服务，其他子公司没有专门的IT部门和IT岗位，但有专人负责企业信息化工作，人员分散在财务部、信息中心、综合部等部门。各专业公司根据各自需求自行建设IT系统，导致重复投资问题，如很多专业公司自行建设或准备建设的人力资源管理系统。因此，我们本次企业信息化建设能集中的系统就集中，不能集中的才考虑由专业公司自行建设，但是由**进行指导选型。其次，**将尽快设置工IT相关岗位，同时在各子公司中抽调一部分IT人员组成IT虚拟团队，统一协调整个**范围的企业信息化建设。在系统建设过程中，将同步进行IT系统的运行、维护、管理的各项规范、流程的制定。安全需求分析第二章**集团企业信息化现状物理安全风险分析网络物理安全是整个网络系统安全的前提。安全以人为本，如果管理不善或一些不可抗力的因数的存在，**集团网络的物理环境可能存在如下的风险:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析**集团网络的各个局域网如果采用的是UTP非屏蔽布线方式，则存在网络信息通过电磁辐射泄露的可能。**集团网络的通信链路存在着安装窃听装置，窃取或篡改网上传输的重要数据的可能，从而破坏数据的完整性。以上种种不安全因素都对网络构成严重的安全威胁。网络结构的安全风险分析来自外部网络的安全威胁出于业务的需要，**集团网络与Internet及其他业务单位网络相连接。这种物理网络上互联互通给数据的互联互通带来了事实上的可能性。但是如果Internet与外单位网络可以与**集团网络随意进行互访，容易导致本系统内部机密泄漏等安全威胁;其次，各系统的互联互通会使得跨系统的攻击和病毒传播成为可能，带来极大的安全隐患。**集团网络中的服务器及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染)，就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外部网络的一些不怀好意的入侵者的攻击。如:入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击;入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息;恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪;发送大量包含恶意代码或病毒程序的邮件。内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响;如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗;内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;内部人员在上班时间玩游戏，看视频等。网络设备的安全隐患，网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，第二章**集团企业信息化现状可能由于疏忽或不正确理解而使这些系统可用而安全性不佳。通讯线路故障可能是由于电信提供的远程线路的中断，也可能发生在局域网中。网络设备故障也是应该考虑的安全风险之一。目前计算机在网络中的身份是以IP地址作为自己的标识的。由于TCP/IP协议在安全方面考虑的较少，IP地址很容易被假冒(特别在局域网中);缺乏判断通讯对象是否是恶意的网络身份假冒者的技术手段，是目前网络中存在的安全风险。信息在局域网和广域网中传输，都存在被窃听和篡改的危险。当从一个安全区域(子网)访问另一个安全保护要求不同的区域(子网)时，存在对不应访问的数据、交易与系统服务操作的危险。缺乏对网络入侵行为的探测、报警、取证机制，是网络在安全方面的一个隐患。种种因素都将网络安全构成很大的威胁。系统的安全风险分析所谓系统安全通常是指网络操作系统、应用系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性;因此安装通常都是以缺省选项进行设置。从安全角度考虑，其表现为装了很多用不着的功能模块，开放了很多不必开放的端口，其中可能隐含了安全风险。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。第二章**集团企业信息化现状应用的安全风险分析应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。资源共享的安全风险**集团网络内部有自动化办化系统。而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。系统的安全风险**集团网络提供基于Web的信息发布系统，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。数据库服务器的安全风险**集团网络内部的很多应用是基于数据库的。数据库服务器的安全风险包括:数据库服务器的管理员口令过于简单，非授权用户的访问，通过口令猜测获得系统管理员权限，数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复，也是需要考虑的安全问题。电子邮件系统的安全风险内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。病毒侵害的安全风险网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害第二章**集团企业信息化现状的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。管理的安全分析管理方面的安全隐患包括:内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解;内部管理人员或员工责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密;内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险;机房重地却是任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件;内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。性能需求由于安全控制的原理和特点，加上了安全的防护手段之后，多多少少会对网络和系统带来性能的影响。因此，我们在进行安全设计和选择安全产品时，必须将对网络和系统的性能的影响的考虑放在重要的位置安全管理策略网络安全关键基础之一就是构成企业总体信息安全方案的综合策略。第二章**集团企业信息化现状安全管理策略安全管理贯穿在安全的各个层次实施。从全局管理角度来看，我们制订了全局的安全管理策略;从技术管理角度来看，实现安全的配置和管理;从人员管理角度来看，实现统一的用户角色划分策略，制定一系列的管理规范;从资源管理角度来看，实现资源的统一配置和管理。**集团网络的安全管理策略是保证网络安全的核心。安全管理策略的实施需要工作人员和领导的支持。一个良好的安全管理策略应包括如下内容:计算机技术购买指南:该指南中应指明哪些安全特征是必须的。该指南可作为企业购买产品的参考之一;隐私政策:制定监控电子邮件、记录键盘敲击及访问用户文件的可接受的隐私程度;访问政策:制定用户、操作人员及管理人员的访问权限，用来保护资产不被盗用。该政策应提供外部连接、数据通讯、连接设备到网络、增加新软件到系统等操作指南，同时也应包括通知信息(例如连接后应提示合法使用的说明，而不仅仅显示“欢迎，’);责任政策:指出用户、操作人员及管理人员的职责。该政策应包括审计功能，以及处理安全事件的程序指南(即检测到可疑事件发生后，应找谁负责等问题的处理步骤);认证政策:通过有效的口令政策，在计算机之间建立信任关系。该政策应包括远程访问的认证指南及认证设备(如一次性口令及生成这些口令的设备)的使用说明;可用性声明:使用户对系统的可用性有所了解。如果系统被入侵，用户根据这个声明所述，就可以知道系统在多长时间内可以恢复。声明应提及冗余及恢复的解决方法，列出操作时间及因维护而造成的停机时间，以及网络发生故障时的负责人是谁;信息技术系统及网络维护政策:说明内部及外部的维修人员如何处理访问技术。该政策其中一项重要说明是讲述企业是否允许进行远程操作，以及对这类访问的控制方法；违规报告政策:指明哪类违规行为应该报告(例如个人隐私及安全、内部及外部)以及向谁报告。轻松的气氛或采用匿名报告的方式可以鼓励员工报告违规行为。该政策还应包括企业发生安全事故后应对外界询问的指南，及指明企业信息的保密程度，即哪些信息不应向外界披露。访问控制策略访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据操作权限的限制，主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问，访问控制策略应包括以下内容:每个业务应用系统的安全要求;确认所有与业务应用系统有关的信息;信息发布及授权的策略，例如:安全级别及原则，以及信息分类的需要;不同系统及网络之间的访问控制及信息分类策略的一致性;关于保护访问数据或服务的相关法律或任何合同规定;一般作业类的标准用户访问配置;在分布式及互联的环境中，管理所有类别的连接的访问权限。网络访问控制用于控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。**集团网络应根据信息密级和信息重要性划分安全域，在安全域与非安全域之间用安全保密设备进行隔离和访问控制;在同一安全域中，根据信息的密级和信息重要性进行分割和访问控制。通常将**集团网络重要服务器所在的子网和重要的工作子网分别划分为单独的安全域。当局域与远程网络连接时，通常在局域网与远程网络之间的接口处配置安全保密产品。(如防火墙、保密网关等)进行网络边界安全保护，第二章**集团企业信息化现状并采取数据加密设备(如DDN机密机、PSTN加密机等)保证信息远程传输的安全。网络安全监控与入侵检测策略网络安全监控可以测试企业所实施的安全控制是否有效。同时，安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为，同时，它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦企业系统发生安全事故，管理人员应依据监控系统所提供的警示，采取必要的步骤，在最短的时间恢复系统，以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网络系统受到危害之前拦截和响应入侵。我们通过在**集团网络的关键环节放置入侵检测产品，它监视计算机网络或计算机系统的运行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。漏洞扫描与风险评估策略从信息安全的角度看，漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，从而为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上，安全扫描工具可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。计算机病毒防治策略由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，网络系统中使用的操作系统大多为W工NDOWS系统，比较容易感染病毒。因此计算第二章**集团企业信息化现状机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。我们从预防病毒、检测病毒和杀毒考虑网络的网络安全。安全审计策略安全审计有助于对入侵进行评估，是提高安全性的重要工具。审计信息对于确定是否有网络攻击的情况发生，以及确定问题和攻击源都非常重要。通过对安全事件的不断收集与积累并且加以分析，可以为发现可能的破坏性行为提供有力的证据。备份与恢复策略主要设备、软件、数据、电源等都应有备份，并有技术措施和组织措施能够在较短时间内恢复系统运行。如果日常工作对涉密系统的依赖性特别强，则建立远程的应急处理和灾难恢复中心。我们考虑的备份主要包括数据备份、服务器备份、线路备份等几个方面。实时响应和恢复策略我国的许多企业单位对防范天灾人祸有一套成型的体系，对于网络安全的灾难事件却通常会手足无措。为此，制定一套完整、可行的事件救援及灾难恢复的计划对于企业来说是非常重要的。灾难恢复的步骤应包括测试救援程序的有效性(是否对可疑的通讯及事故作出反应)、在事故发生后，企业如何分析事故的发生过程、程序如何迅速恢复、如何减少企业的损失等。第三章**集团企业信息化及安全整体解决方案**集团企业信息化及安全整体解决方案**企业信息规划总体方案系统设计原则及进度安排**集团的整体网络在设计中遵循以下原则:良好的扩展能力:包括业务网点的扩展、业务量和业务种类的扩展。高度的安全性。能防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄露。使数据具有极高的可靠性。高度的可靠性，网络在连接失败时能有迁回路由，并有效地消除单点失效的隐患。可升级性:改造后的网络在向更新的技术升级时，能保护现有的投资。根据**信息化IT规划总体架构及**目前IT系统现状，**集团网络拓扑图以下为**集团整体网络规划拓扑图:网络拓扑图**集团整体网络概述**集团公司网络整体从安全、稳定、高速和服务质量(QoS)方面考虑，采用CNZ电路与SitetoSiteVPN结合的方式组网。各分公司通过划分VPN来实现与总公司连接。在分公司和省公司都部署相应的PE设备。**集团公司网络采用双线路备份，通过采用CNZMPLSvPN做为与集团公司和地市实业分公司的首选网络连接，采用InternetVPN做为备用线路连接集团公司和地市实业分公司。第三章**集团企业信息化及安全整体解决方案服务器端使用两块网卡桥接，对外使用网络桥连接网络设备，首先通过二层交换机接入到主备用ASA555O防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立D棍区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台cisco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的InternetVPN采用C1scoASA552O防火墙，同时提供拨号VPN接入，外网访问通过灿眼rantenF60O防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在AmarantenF600防火墙DMZ区，对外开启tep80http服务。网络建设中心机房及其配套设施建设因为需要采用两种接入方式，因此我们在**集团中心机房采用以下设备核心路由器。与各分实业公司的连接方面，因为要使用CNZMPLSVPN线路，因此我们建议采用一台思科公司的Cisco28n路由器作为**CE，让各各实业分公司用户可以高速、安全、稳定地访问**集团中心机房的应用服务器及访问集团机房应用服务器。安全网关。与远程移动办公用户连接方面，因为要采用VPN的连接方式，我们建议采用思科公司的ASA5520自适应安全设备让远程移动办公用户可以安全访问实业集团中心机房应用服务器。另一方面，AsA5520自适应安全设备还可作为防火墙功能使用，有效阻止来自Internet及各实业分公司的非法访问行为。中国实业集团与**集团公司的连接采用CNZ将**集团与集团互连。采用CNZ电路的组网方式，能确保提供稳定的线路质量、较高的带宽、良好的安全保密特性，使用户对集团企业信第三章**集团企业信息化及安全整体解决方案息化的应用访问更快，更安全、稳定。CNZ电路有保密性能好，传输速率高，信道利用率高，网络时延小等特点。各实业分公司网络与**集团公司连接**集团与各实业分公司办公用户的连接各实业分公司需要与**集团中心机房建立高速稳定的连接，因此采用一台CISCO28n路由器加上RJ45扩展卡，实现1条CNZ电路连接需求，另外一条接口作备份InternetVPN，满足链路备份使用。**与远程移动办公用户的连接对于互联网用户、远程移动办公人员采用LZtPoyerIpse。VPN结合的方式组网，建设成本比较低，信息安全也得到有效保障。网络用户的安全认证**信息化应用系统涉及多个分公司的应用用户，用户人数较多，为有效管理用户的访问行为，审计用户相关访问信息，在**采用单点登录认证，后期增加以认证。网络建设方案总结兼容性和扩展性该系统具备良好的兼容性和扩展性，具体表现在以下各方面:中心机房采用自适应安全设备作广域网的核心安全设备，能够提供良好的安全性和VPN服务。有4个千兆GE接口，和1个100M以太接口。支持高达500个IPSeeVPN对，可扩展至最大5000个IPSe。vPN对，支持500个WEBVPN对，可扩展至2500个WEBVPN对。完全可以保证**集团公司的广域网安全接入的较长时间内的需求。中心机房采用CNZ电路与中国实业集团总公司和各实业分公司建立连接，满足带宽及时延要求。各实业分公司采用一台CISCO28n路由器加上RJ45扩展卡，可提供1条接口，CNZ电路占用一条，InternetVPN使用一条，做好链路备份工作。第三章**集团企业信息化及安全整体解决方案高可靠性、稳定性**集团公司信息系统是集团公司的信息传送平台和信息处理枢纽，作为关键的财务系统、人力资源等业务系统及网络平台设备，可靠性是最重要的。网络平台、关键业务的服务器和存储设备必须具备7X24小时的连续运转能力。非计划停机将会对业务运行、对外服务形象等造成巨大的影响，对处于激烈竞争环境下的运营企业造成沉重的打击。安全性**集团中心机房网络部分:中心机房采用自适应安全设备作广域网的核心安全设备，能够将最高的安全性和VPN服务与全新的自适应识别和防御(AIM)架构有机地结合在一起。借助融合型防火墙、入侵防御系统(IPS)和网络Anti一X服务，能够提供主动威胁防御功能、，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。从而能确保中心机房能与各地公司建立稳定的VPN连接及保证中心机房的网络安全。**集团中心机房:采用CNZ电路连接，保证网络连接的安全。使用集成多业务路由器产品，提供网络连接的同时提供防火墙、VPN、工PS多种功能，提高连接的安全性及对**集团内部网络的全面安全的保护。各实业分公司接入安全性:采用CNZ电路连接，与**集团中心机房连接通讯，保障数据和应用的安全性。远程移动办公用户的接入安全性:使用**集团中心机房配置的自适应安全设备内置的LZtpoverIpsecVPN功能，为移动用户提供安全的VPN远程接入，有效保障数据和应用在链路层的安全性。**集团、各实业分公司网络用户访问企业信息化应用系统时，都提供了统一CIScoACS4.0安全平台作集中的身份认证、授权、行为审计。易维护性**集团公司信息平台建设完成后，有多个应用系统在平台上运行，并有多种广域网的接入方式，中心机房的网络和设备数量多，本方案提供统一的网络管理系统CIScoworkSVMS对路由器或VPN接入设备和其它网络安全设第三章**集团企业信息化及安全整体解决方案备等作监控和管理，提供信息平台的综合管理的功能。选用国际知名品牌的设备和系统，技术和服务有保证。网络和设备品牌尽量统一，易于维护和管理。采用功能强大的网络管理系统，增强对设备和应用的系统。系统建设财务系统**集团跟各专业子公司统一采用用友ERPNC5.0软件，在功能域上实现如下功能:功能域1、财务基础核算(总帐、应收应付、合并报表等);2、资产管理;3、现金流管理;4、财务状况监控，财务状况分析;5、预算管理(编制、执行、结果);6、资金管理，大额支出管理7、关联交易系统.部署模式集中部署，各子公司远程登录本系统使用。人力资源管理系统功能域1、全省员工基本信息管理;2、人事管理、岗位及工作信息管理;3、薪酬、考核管理;4、合同管理;5、组织管理;6、统计查询报表，人力资源分析;7、招聘管理.部署模式集中部署，各子公司远程登录本系统使用。门户、OA系统功能域.部署模式本次以系统的实施将采用**集中部署的模式进行，通过配置各子公司的以流程来实现子公司的以系统覆盖门户系统建设企业门户功能域包括企业信息展现(内部门户)和企业网站(外部门户)两个功能模块。办公及辅助管理功能域主要包括文件公务流转、企业邮箱、知识管理、资产管理四个功能模块。功能域对外网站企业上市信息披露企业形象宣传企业产品宣传人力招聘信息远程办公支持对内门户:单点登陆整合以系统整合邮箱系统整合久其报表系统实现初步的知识管理资产管理业务管理和运营支撑系统采用其报表系统作为业务统一管理和分析系统。.功能域.部署模式集中部署，各子公司远程登录本系统使用。企业信息化管理根据实业集团公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的CiscoworksVMS网络管理系统。CIScoworksVMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护企业的生产率和降低运营成本。第三章**集团企业信息化及安全整体解决方案安全建设网络边界安全防护网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(AcL)，可以将其用作一个“预过滤器”，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。**集团信息网服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台。1sco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的InternetVPN采用CiscoASA552O防火墙，同时提供拨号VPN接入，外网访问通过AmarantenF60O防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在枷arantenF600防火墙眼Z区，对外开启tep80http服务。通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。我们通过配置AmarantenF600防火墙实现以下功能:可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分用户可以访问外网，而其他用户不能通过防火墙访问Internet。对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议第三章**集团企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。通过三种方式过滤不良内容，包括:URL地址:只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。不良关键字:所有包含**集团网络用户自定义不良关键字(如“法轮功”)的网页将被屏蔽网页分类:腼arantenF600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，**集团网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。通过利用IP地址、邮件地址、实时黑名单/匿名中继代理列表(RBL/ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和内容层为**集团网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高**集团网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DcN网络内网。AmarantenF600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。入侵检测与防御入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，第三章**集团企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报替;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理，并识别用户违反安全策略的行为。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。从而达到对网络实现立体纵深、多层次保护的目的。实时监控或最近的网络数据监控。实时地显示、监控网络数据流量并记入日志。每小时网络数据流量记入日志，显示并提供详细的信息。本地或远程的服务器服务的用户信息。网络负载容量和系统状态的实时显示。实时检测、拦截并跟踪黑客入侵行为检测、拦截并通过各种方式(手机短信息、e朋i1，etc)发布警告信息给系统管理员。支持各种规则配置保证检测和阻止黑客入侵。支持追踪黑客，定位黑客的攻击位置。信息管理，检测并阻止访问非授权的web站点(色情、娱乐等等)通过关键字的搜寻对e一mail和web一mail信息流出进行拦截和记入日志。第三章**集团企业信息化及安全整体解决方案对于千兆网络的完善支持。并联式被动抓包技术(扫描和抓包)不影响网络流量。简便的安装和方便的操作(集成了S/W和H/W)。独立安装的系统保证更好地防御安全入侵。远程监控和集中控制。支持和(IAP)控制中心的通讯交流。检测/保护/警告根据入侵检测规则阻断非法网络流量，发布警告和报告(通过报警、e一mail、移动电话)给网络管理人员。提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、解决办法、黑客攻击的起止时间等等)。提供针对不同的攻击行为的详细信息和对策。提供详尽的黑客文件来定位黑客位置。控制信息。对进出的邮件进行有效的信息管理(发送者和接受者)。检测e一11(信息体和附件)并可以通过关键字的匹配进行阻断(保证保密或机密信息不泄漏)。记录Telnet，FtP和远程登录的详细信息。管理访问未授权的网页(包括色情、娱乐和股票信息等)的信息。控制和管理硬盘共享功能(对于PC机)。控制特定的服务器、客户端和服务(协议)，如果需要可以定义规则阻断非法连接。提供根据字符串匹配检索日志记录。报告功能，实时或定期的网络使用情况的详细信息报告。黑客攻击信息/检测信息/保护信息/阻止信息报告。第三章**集团企业信息化及安全整体解决方案数据交换详细信息报告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和远程登录等等。提供阻断硬盘共享、本地/远程用户不合法信息的报告。提供各种黑客攻击行为的报告。各种不同的打印和输出格式。各种图形和报表报告。基于计算机、服务、时间、单个记录/群体的报告。根据不同时间段(月、天、小时)产生统计报表。设置统一管理权限。设置允许登录IP地址，保证只有合法IP的特定用户才能登录系统。本地客户机管理。根据IP地址管理数据流是否合法。拦截规则设置。根据每台服务器情况和每个服务(端口)情况设置拦截端口。日志设置，网络数据实时监控设置。入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。安全漏洞扫描和评估安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。只需在**集团公司中心机房配置一台机器上安装上漏洞扫描器即可对全网所有网络设备及服务器等进行扫描。设置对昵B服务器、邮柞服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console/Agent结构，首先需要一台Console，在被扫描的机器上安装Agent代理，由Console集中管理所有的Agent的扫描服务。数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有:MSSQLServer、ora。le和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描**集团中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。防病毒系统通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。在**集团网络中部署全面的病毒扫描解决方案，从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。单机病毒防火墙:适用于未联网的单个windows桌面机，支持win98、winNTWorkstation、Win2000/XPProfessional等个人操作系统。服务器病毒防火墙:文件服务器是企业网中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而也