某企業(yè)網絡安全綜合設計方案

某企業(yè)網絡安全綜合設計方案目 錄1 XXX企業(yè)網絡分析. 42 網絡威脅、風險分析. 52.1內部竊密和破壞. 52.2 搭線(網絡)竊聽. 52.3 假冒. 52.4 完整性破壞. 52.5 其它網絡的攻擊. 52.6 管理及操作人員缺乏安全知識. 62.7 雷擊. 63 安全系統(tǒng)建設原則. 74 網絡安全總體設計. 94.1 安全設計總體考慮. 94.2 網絡安全. 104.2.1 網絡傳輸. 104.2.2 訪問控制. 124.2.3 入侵檢測. 134.2.4 漏洞掃描. 144.2.5 其它. 144.3 應用系統(tǒng)安全. 144.3.1 系統(tǒng)平臺安全. 144.3.2 應用平臺安全. 144.3.3 病毒防護. 154.3.4 數(shù)據備份. 174.3.5 安全審計. 174.3.6 認證、鑒別、數(shù)字簽名、抗抵賴. 184.4 物理安全. 184.4.1 兩套網絡的相互轉換. 184.4.2 防電磁輻射. 184.4.3 網絡防雷. 194.4.4 重要信息點的物理保護. 194.5 安全管理. 204.6 安全特性. 215 安全設備要求. 235.1 安全設備選型原則. 235.1.1 安全性要求. 235.1.2 可用性要求. 235.1.3 可靠性要求. 245.2 安全設備的可擴展性. 245.3 安全設備的 . 246 . 256.1 保 制. 256.2 . 256.3 應. 256.4 備 . 266.5 系統(tǒng) . 266.6 性 分析. 266.7 保 . 266.8 保 的 . 266.9 網絡安全 . 266.9.1網絡安全管理 . 266.9.2 操作 . 271 XXX企業(yè)網絡分析據用 要分析2 網絡威脅、風險分析XXX企業(yè) currency1網絡系統(tǒng)的網絡“和業(yè) 合XXX企業(yè)fifl 的網絡應用的展考慮XXX企業(yè)網 要的安全威脅和安全漏洞”方2.1內部竊密和破壞 XXX企業(yè)網絡 入其它部的網絡系統(tǒng) 其它部 的人員(部人員 用其它部的計 ) 網絡fl入內部網絡 fl 竊 和破壞其 的重要信息( 的網絡 和 、重要 ) 風險 fl 防的2.2 搭線(網絡)竊聽 威脅 網絡 的攻擊 可用 Sniffer 網絡 分析 INTERNET網絡安全的 fl入INTERNET 信息傳輸 信息( 其 信息)的內XXX企業(yè)網絡系統(tǒng) 講 存 跨越INTERNET的內部 信( 、 ) 威脅 相當高的 也 本方案考慮的重點2.3 假冒 威脅既可 自XXX企業(yè)網內部用 也可 自INTERNET內的其它用 系統(tǒng)內部攻擊 偽裝成系統(tǒng)內部的其他正確用 攻擊 可 冒充合系統(tǒng)用 誘騙其他用 系統(tǒng)管理員從而得用 名/ 信息fl 竊 用 網絡內的重要信息 內部用 假冒的方式 其閱讀的秘密信息2.4 完整性破壞 威脅 要指信息 傳輸 存儲 間被篡改 改使得信息/數(shù)據失去原的真 性從而變得 可用造成廣泛的負影 XXX企業(yè)網內許多重要信息 那些 的用 和用 就會 網絡沒 安全的 器的重要 fl 改傳達 些虛假信息從而影 作的正 fl 2.5 其它網絡的攻擊XXX企業(yè)網絡系統(tǒng) 入到INTERNET的樣就可 會遭到INTERNET黑客、惡 用 的網絡攻擊 試圖fl入網絡系統(tǒng)、竊 信息、破壞系統(tǒng)數(shù)據、設置惡 代碼、使系統(tǒng) 嚴重降低癱瘓 也 需要 相應的安全fl 防2.6 管理及操作人員缺乏安全知識 信息和網絡 展迅猛信息的應用和安全 相滯 用 引入和用安全設備和系統(tǒng)缺乏全和深入的 和學習信息安全的重要性 認識 足很使安全設備/系統(tǒng)成為擺設 使其 揮正確的作用 本 某些 信和操作需要限制為方便設置成全開放狀態(tài) 從而 網絡漏洞 網絡安全產品的 含量大 操作管理人員的 顯得 為重要樣使安全設備 夠盡量 揮其作用避免使用的漏洞2.7 雷擊 網絡系統(tǒng) 涉及很多的網絡設備、終端、線路 而些都 信電纜fl 傳輸 極受到雷擊造成連鎖反應使整個網絡癱瘓設備損壞造成嚴重 果 為避免遭受 應雷擊的危害和靜電干擾、電磁輻射干擾 引起的瞬間電壓浪涌電壓的損壞 要整個網絡系統(tǒng) 相應的防雷注部分描述方需要fl 調整 據用 敘述3 安全系統(tǒng)建設原則XXX企業(yè)網絡系統(tǒng)安全建設原則為1)系統(tǒng)性原則XXX企業(yè)網絡系統(tǒng)整個安全系統(tǒng)的建設要系統(tǒng)性和適應性 網絡和應用 的 展、信息系統(tǒng)攻防 的深和演變、系統(tǒng) 和 置的變而系統(tǒng)的整個 內的安全保護 和抗 風險的 降低2) fl性原則XXX企業(yè)網絡系統(tǒng)整個安全系統(tǒng)的設計用 fl的安全體系fl “性設計選用 fl、成 的安全 和設備 用 fl可靠的 和 高系統(tǒng) 的可靠性和 性3)管理可控性原則系統(tǒng)的安全設備(管理、 護和 置)都應自 可控；系統(tǒng)安全設備的 嚴 的 ；安全設備 相應 “的認證許可 ；安全設備 應 應 備相應 可信安全系統(tǒng) 方案的設計和 應 備相應 可信4)適 安全性原則系統(tǒng)安全方案應充分考慮保護 的 保護成本 間的平 性 許的風險內盡量 安全 的和性使 可操作性避免用 理的變得很currency1 “ 5) 管理相合原則XXX企業(yè)網絡系統(tǒng)安全建設 個的系統(tǒng) 它產品、 和人的 它的安全方案 考慮 方案的 充分考慮管理、方的制fi和調控作用 靠 靠管理都 可 真正安全問fl的 和管理相合的原則6)測認證原則XXX企業(yè)網絡系統(tǒng)作為重要的 系統(tǒng)其系統(tǒng)的安全方案和 設計 部的審用的安全產品和保密設備需 管理部的認可7)系統(tǒng)可性原則XXX企業(yè)網絡系統(tǒng)”網絡和應用 的 展而 變 信息安全 也 展 安全系統(tǒng)的建設 考慮系統(tǒng)可 性和可性重要和 的安全設備 網絡變換而 4 網絡安全總體設計個網絡系統(tǒng)的安全建設 許多方物理安全、數(shù)據安全、網絡安全、系統(tǒng)安全、安全管理 而 個安全系統(tǒng)的安全 原理 的 據XXX企業(yè) 內部網絡 “、廣網“、和 網絡管理、應用業(yè) 系統(tǒng)的特點本方案 要從”個方fl 安全設計 網絡系統(tǒng)安全； 應用系統(tǒng)安全； 物理安全； 安全管理；4.1 安全設計總體考慮據XXX企業(yè)網絡 狀及 展 要安全從”個方fl 考慮 網絡傳輸保護要 數(shù)據密保護 要網絡安全 用 用防 網絡病毒防護用網絡防病毒系統(tǒng) 廣網入部分的入侵檢測用入侵檢測系統(tǒng) 系統(tǒng)漏洞分析用漏洞分析設備 安全審計要兩部分內審計和網絡 信審計 重要數(shù)據的備份 重要信息點的防電磁 網絡安全“的可性安全設備的可性 據用 的需要”fl 、 擴展 網絡防雷4.2 網絡安全作為XXX企業(yè)應用業(yè) 系統(tǒng)的 平臺網絡系統(tǒng)的安全顯得 為重要 許多重要的信息都 網絡fl 換4.2.1 網絡傳輸 XXX企業(yè) 內部網絡存 兩套網絡系統(tǒng)其 套為企業(yè)內部網絡要 的 內部 、業(yè) 系統(tǒng) ； 套 INTERNET相連 ADSL入 企業(yè)系統(tǒng)內部的、 “網絡相連 線路建 跨越INTERNET的企業(yè) 內部 網 網絡fl 數(shù)據 換、信息 而INTERNET本就缺乏 的安全保護 果 相應的安全受到自網絡 的 聽而造成重要信息的密篡改產 嚴重的 果 越 越多的 、 “、企業(yè) 用 用VPN “建它的跨越 網絡的內網系統(tǒng) 本方案 網絡傳輸安全部分用VPN設備 “建內網可 管理內設置 套VPN設備VPN設備 網絡傳輸?shù)拿鼙Ｗo 據XXX企業(yè) 網絡“VPN設置 圖 圖4-1 VPN設置 圖的設置及管理方相 的 網絡安裝 臺VPN設備和 臺VPN認證 器(VPN-CA) 的 的網絡入 安裝 臺VPN設備 的VPN認證 器 網絡 的VPN設備fl 統(tǒng) 的網絡管理可達到”個目的 網絡傳輸數(shù)據保護；安裝 網絡的VPN設備 內部網絡 間的數(shù)據傳輸密保護 可 密 的方式fl 傳輸 網絡 保護；INTERNETfl 控制內網 INTERNET的相互訪問 統(tǒng) 管理 高網絡安全性； 降低成本(設備成本和 護成本)；其 網絡的VPN設備設置 圖圖4-2 網絡VPN設置圖 臺VPN管理 CA、 VPN設備、分 “VPN設備fl 統(tǒng) 網絡管理 器放置 VPN設備的DMZ 內部網絡fl 網 訪問內網控制內網的訪問、 錄 樣 使 器被攻破內部網絡 安全 的VPN設備放置 圖 圖4-3 VPN設置圖從圖4-4可知 “的VPN設備放置 內部網絡 路器 間其 置、管理 “ 網絡 “ 需要的管理需要檢電 可 安全設備 特 的網絡設備其 護、管理需要相應的 業(yè)人員而 管理方式 就可降低 “的 護成本和 業(yè)人員的要求 大 、分 “的 講 筆 小的費用 網絡安全的 個綜合的系統(tǒng) 許多 的而 用高檔的安全產品就 安全設備的管理就顯得 為重要 般的安全產品 管理 自管理而很為某個設備的設置 當而使整個網絡 重大的安全隱患而用 的 人員往往 可 都 業(yè)的 述 ； 個 護人員的水平也差異 相互置的錯誤使網絡 斷 安全設備的選擇應當選擇可fl 網絡 管理的設備樣量的 業(yè)人員 要安全設備fl 管理、 置 高整體網絡的安全性和 性4.2.2 訪問控制 XXX企業(yè)廣網網絡部分 網絡建 其 網絡 會受到自INTERNET許多用 的攻擊和訪問 試圖fl入網絡系統(tǒng)、竊 信息、破壞系統(tǒng)數(shù)據、設置惡 代碼、使系統(tǒng) 嚴重降低癱瘓 相應的安全 可的 網絡的訪問控制 成 的 用防 的本方案 選擇帶防 的VPN設備 網絡安全 可滿足”個方的要求 控制部合用 內部網絡的網絡訪問； 控制部合用 器的訪問； 部用 內部網絡的訪問； 控制內部用 部網絡的網絡； 阻 部用 內部的網絡攻擊； 防 內部 的IP欺騙； 隱藏內部IP址和網絡 “； 網絡 控； 網絡 審計；詳細 置 圖見圖4-1、圖4-2、圖4-3 用防、VPN 為 體的安全設備 網絡的統(tǒng) 管理 ”個方的優(yōu)點 管理、 護 、方便； 安全性高(可 降低 安全設備使用的 置漏洞)； 硬 成本和 護成本低； 網絡 的 性高 用 體設備比 傳統(tǒng)方案 用防和密 兩個設備而言其 性高 率低4.2.3 入侵檢測網絡安全 可 完全依靠 產品 網絡安全 個整體的 相應的安全產品作為 要的補充入侵檢測系統(tǒng)(IDS)可 安全VPN系統(tǒng)形成互補入侵檢測系統(tǒng) 據已的、 新的和可預見的攻擊 currency1的信息代碼fl網絡的操作 為fl 控、 錄 制 的策略 應(阻斷、報警、 送E-mail)從而防 網絡的攻擊 犯罪 為入侵檢測系統(tǒng) 般控制臺和探測器(網絡引擎)控制臺用作制 及管理探測器(網絡引擎)探測器(網絡引擎)用作 聽fl網絡的訪問 為 據控制臺的指 相應 為 探測器 的 聽而 濾數(shù)據 入侵檢測系統(tǒng)的應用 會網絡系統(tǒng)性 造成多大影 入侵檢測系統(tǒng)的設置 圖從圖可知入侵檢測儀 網絡 VPN設備 使用入侵檢測儀使用 獨 網絡使用的網絡數(shù)據全部 VPN設備而入侵檢測設備 網絡fl 疹聽 控網絡狀 旦 攻擊 為 報警、 知VPN設備 斷網絡( IDS VPN動 ) 方式fl 控制( 安全設備自適應 制)攻擊 為fl 錄 審4.2.4 漏洞掃描作為 個完善的 用安全系統(tǒng)應當含完善的安全 的安全估及安全分析 樣相當重要 網絡安全系統(tǒng) 建 長 保 很高的安全性而 ”間的移和 的 展而 斷降的 使用 會 新的安全問fl 作為安全系統(tǒng)建設的補充 相應的也本方案 用漏洞掃描設備網絡系統(tǒng)fl 掃描存 的系統(tǒng)漏洞、網絡漏洞、應用序漏洞、操作系統(tǒng)漏洞 fl 探測、掃描 相應的漏洞告警自動 參考 見 醒網絡安全管理員作相應調整4.2.5 其它特 要求的網絡環(huán)境 安全應當特 考慮增新的安全4.3 應用系統(tǒng)安全4.3.1 系統(tǒng)平臺安全XXX企業(yè) 網絡系統(tǒng)平臺安全 要 指操作系統(tǒng)的安全 目前 要的操作系統(tǒng)平臺 建 產品的基礎而存 很大的安全隱患XXX企業(yè)網絡系統(tǒng) 要的應用 平臺 用內自 開 的安全操作系統(tǒng) 用OS的安全問fl操作系統(tǒng)平臺的登錄方式、 系統(tǒng)、網絡傳輸、安全 審計、密 及 替換的 和完整性保護 方fl 安全改造和性 增強 般用 PC 的NT平臺 選擇性用NT安全制的 應強 控管理4.3.2 應用平臺安全XXX企業(yè)網絡系統(tǒng)的應用平臺安全 方涉及用 fl入系統(tǒng)的份鑒別控制及使用網絡 源的權限管理和訪問控制安全相 操作fl 的審計 其 的用 應 管理員用 和類業(yè) 用 方涉及數(shù)據 系統(tǒng)、WWW 、E-MAIL 、FTP和TELNET應用 器系統(tǒng)自的安全及 的安全 選擇些應用系統(tǒng)應當盡量選擇內軟 開 fl 開 系統(tǒng)類型也應當盡量用內自 開 的應用系統(tǒng)4.3.3 病毒防護為病毒 網絡 存儲、傳播、 染的方式異且途徑多 多樣相應企業(yè) “建網絡防病毒系統(tǒng)應 用全方 的企業(yè)防毒產品 “層層設防、控制、防為 、防殺合”的策略 體而言就 網絡 可 的病毒攻擊設置應的防毒軟 全方 、多層次的防毒系統(tǒng) 置使網絡沒 環(huán)節(jié)成為病毒入侵的缺 本方案 選擇殺毒軟 應當注 ”個方的要求 卓越的病毒防治 、序內核安全可靠、付產和病毒 群、全 產品系統(tǒng) 源占用低性 優(yōu)越、可管理性高 使用、產品成 高、高可靠性、可調 系統(tǒng) 源占用率、便捷的網絡自動 優(yōu)點病毒信息系統(tǒng)的正 作 產 很大影 據統(tǒng)計信息系統(tǒng)的60%癱瘓 染病毒引起的 系統(tǒng)設計原則為的病毒的防 般要求病毒防系統(tǒng)滿足 要求 用世界 fl的防毒產品 XXX網絡網絡系統(tǒng)的 需要相合確保XXX網絡系統(tǒng) 佳的病毒防護 的綜合成本 貫徹川大 士“層層設防 控管防為 、防治合”的企業(yè)防毒策略 XXX網絡 可 的病毒攻擊點 設置應的防病毒軟 全方 的、多層次的防毒系統(tǒng) 置使企業(yè)網絡免遭病毒的入侵和危害 充分考慮XXX網絡的系統(tǒng)數(shù)據、 的安全可靠性選產品 系統(tǒng)良的 性和兼性及 低的系統(tǒng) 源占用保證 系統(tǒng) 產 良影 應用全球 為 fl的“ 控” 充分體 科 “防為”的反病毒思想 選用產品 備多 壓 式 的病毒檢測 選用產品 安裝、操作便、便 管理和 護 友的用 界 應用ICSA( 電腦安全 會) 認證的掃描引擎保證 千人病毒、變 病毒和黑客序 佳的病毒偵測率除已知病毒備全的偵防 未知病毒亦良的偵測 強調 XXX網絡防毒系統(tǒng)內 統(tǒng) 的防病毒策略、 的防毒管理和 護 大限 輕使用人員和 護人員的 作量 完全自動的 護便 fl 病毒碼及掃描引擎的新 良的售 及 良的可擴充性充分保護用 的 投 適應 XXX網絡系統(tǒng)的fi 展需要 產品應用據XXX企業(yè)網絡系統(tǒng)的“和應用特點病毒防 可 多 網 防毒； 器防毒； 客 端防毒； 郵 防毒；應用 圖圖4-4病毒應用 圖網絡骨干入 安裝防毒( 安裝網 殺毒軟 的獨 網 設備)防毒 網絡入 的病毒防護 安裝 網絡入 要網絡 fl 殺毒 理(SMTP、FTP、HTTP)器安裝 獨的 器殺毒產品 器fl 病毒保護 內部存 ”十個網絡客 端 用普 殺毒軟 會造成 麻煩、使用 便 問fl可 器安裝客 端防病毒產品(客 端殺毒軟 的 作式 器端、客 端的方式)的 器端客 端 網絡 器端連fl 網絡安裝產品 可 器端fl 設置自動 INETRNETfl 再客 端到 器端fl 大大 且整個 自動完成 需要人 操作郵 系統(tǒng)可 安裝 用郵 殺毒產品 郵 器安裝郵殺毒序 內部郵 的殺毒保證郵 收、 都 檢的確保郵 “毒 方可達到層層設防的作用 終 病毒防護4.3.4 數(shù)據備份作為 XXX企業(yè)內部存 大量的數(shù)據而里 許多重要的、密的信息而整個數(shù)據的安全保護就顯得特別重要數(shù)據fl 備份 可的安全 數(shù)據備份應該注 ”點 存儲介 安全選擇存儲介 應選擇保存間長環(huán)境要求低的存儲產品 多 存儲介 備份 用硬盤、光盤備份的方式 數(shù)據安全數(shù)據 備份前 真 數(shù)據沒 篡改含病毒 備份 安全確保數(shù)據 備份 沒受到界干擾異 斷電而使數(shù)據備份 斷的其它 備份數(shù)據的保管存?zhèn)浞輸?shù)據的存儲介 應保存 安全的方防、防盜及 災害注 保存環(huán)境( 、 )的正 特別重要的備份數(shù)據 應當異備份保管的方式 確保數(shù)據安全重要備份數(shù)據的異、多 備份(避免類 911 為 產 的影 )4.3.5 安全審計作為 個良的安全系統(tǒng)安全審計 可 XXX企業(yè) 個 大的網絡系統(tǒng)而整個網絡(重要網絡部分) fl 錄、分析 重要的它可 用 錄的 數(shù)據fl 分析、比 的網絡安全問fl的原 可作為 的證據為 的網絡安全調整 依據4.3.6 認證、鑒別、數(shù)字簽名、抗抵賴 XXX企業(yè)網絡系統(tǒng) 大存 很多分 的重要信息； 正 大 fl電 的 展網 已越 越多的被應用到 部當 需要網用 的份、操作權限 fl 控制和 權 、類型的信息 許相應 別的人fl 審閱；網 的 理 數(shù)字簽名、抗抵賴 相應的安全4.4 物理安全XXX企業(yè)網絡系統(tǒng)的物理安全要求 保護計 網絡設備、設及其它體免遭 、水災、災和雷擊 環(huán)境 及人為操作失誤錯誤及 計犯罪 為 的破壞 4.4.1 兩套網絡的相互轉換 XXX企業(yè)內部網絡系統(tǒng) 兩套網絡兩套網絡系統(tǒng) 完全物理 的而企業(yè)內部部分用 需要兩個網絡都要入就涉及到兩個網絡 間的相互 換問fl而 的 使用 用 網線的方式fl 換使得使用 方便 本方案建用網絡 的方式 網絡 換的問fl 作方式 兩個網絡 個內網 個網； 個控制 控制 連 個控制器( 大小)放置 電腦 兩個硬盤使 個計 變?yōu)閮蓚€計 使用兩個硬盤分別 獨的操作系統(tǒng)樣可 控制器fl 換( 的開 類 電源開 )使計 分別到兩個網絡 應用據XXX企業(yè)網絡的 需要 、 20個信息點安裝 其 6個 12個 2個4.4.2 防電磁輻射普 的綜合 線系統(tǒng) 都用5類UTP的方式 電信 傳輸存電磁 ”信 的改變而改變磁 的強 而UTP本沒的 被間 “ 分 電磁 原的方竊 重要 密信息造成嚴重 果而重要信息點的數(shù)據傳輸介 應 相應的安全 使用 線 終端設備 其 CRT顯 器 的電磁輻射問fl 終端分使用 用 的 防 除要求 設備盡量選 低輻射產品 應 據保護 分別 動式的干擾設備( 干擾 破壞信息的偵竊)用裝帶 的 4.4.3 網絡防雷 XXX企業(yè)網絡系統(tǒng)的物理 要 currency1大 內而大 本已相應的防雷 本方案 要網絡系統(tǒng)防雷fl 設計 電源防雷( 般 大 防雷的部分)用 為防 計 及其 網廣網遭雷擊便 部線路連的調制調器安裝避雷器 靜電 應雷、防電磁 應雷 要 電線路破壞設備的 計 信息系統(tǒng)的防雷保護 合理裝電源避雷器其次 裝信 線路和“線避雷器 果大 信息系統(tǒng)的設備 置 計 、控 換 及 要設備 那 總電源 要裝電源避雷器 fi要求 0fl、1fl、2fl分別裝避雷器(0fl、1fl、2fl 雷電 的強 分的) 設備前端分別要裝型電源避雷器(多 成型) 大限 制雷電 應的 量 計 的MODEM、路器、HUB 都線路 些 的線路都應 為雷電引入 都應裝信 避雷器 內計 電 設備fl 防護的 建(“)物再安裝防雷設就安全據XXX企業(yè)網絡“、物理“、電源“分析防雷系統(tǒng)可 兩 防雷 骨干網絡防雷； 終端防雷；兩 避雷可使用信 避雷器 據網絡連線路的類型和帶選擇相應的避雷器4.4.4 重要信息點的物理保護XXX企業(yè) 網絡內部存 重要的信息點 內部核 應用系統(tǒng)環(huán)境 都需要保護它 要個方(1) 環(huán)境安全系統(tǒng) 環(huán)境的安全保護 fl保護和災currency1保護(參見 fiGB50173-93電 計 設計、 GB2887-89計 ” 、GB9361-88計 ” 安全要求)(2) 設備安全 要設備的防盜、防壞及電源保護 和 信息點 多 安全防確保 權人員“fl入 理秘密 、 密 信息的系統(tǒng)用 的電 控系統(tǒng) (3) 體安全 體數(shù)據的安全及 體本的安全4.5 安全管理網絡系統(tǒng)的安全建設 用安全產品而 合相應的安全管理 fl 的XXX企業(yè)及 “ 管理 管理的方式 網絡管理也用 方式 “體系指 XXX企業(yè)網絡系統(tǒng)安全的 保 系統(tǒng) “、 和人 個“成 個體系XXX企業(yè)網絡系統(tǒng)的安全 體系 安全管理體系的 保 個 體系 安全部( 要 、保密 、 安、安全、信息安全 調 “ )的指 相 制 相應的安全管理制 和內部的策 內部人員fl 安全和管理指 、 、考核安全制 的 安全 建 原則XXX企業(yè)網絡系統(tǒng)的安全 體系 網絡系統(tǒng)安全的 保 系統(tǒng)“、 和人 個部分“成 個體系安全 “XXX企業(yè)網絡系統(tǒng)的安全管理 “設置為個層次策層、管理層和層策層 XXX企業(yè)網絡系統(tǒng) 體 系統(tǒng)安全重大 的 “ 管信息 作的負人為 使安全、 安全、 要和保密 的部負人和信息系統(tǒng) 要負人參 成管理層 策層的 管理 據策 “的 全 調方 量 信息系統(tǒng)的安全方案制、 改安全策略 理安全 設置安全相 的 層 管理層 調 體負某 個某”個特 安全 的 個 群體個群體分 信息系統(tǒng)的個操作層 XXX企業(yè)網絡系統(tǒng)安全管理部 據安全需要設 的負某 個某”個安全 的 系統(tǒng)內部可 系的干層次的 個序 個人可負 個”個安全 個人 得 兼安全 應的系統(tǒng)管理 體業(yè) 個 “它管理“設 人 “管理人 “ 據管理 “設 的 和 的 作人員fl 、業(yè) 考核和管理及 作人員fl 管的 “人 “的全部管理 動 安全的、策 內依fl XXX企業(yè) 管部 自而“建層次 、 確的安全 體系安全 XXX企業(yè)網絡系統(tǒng)的 安全 作小 的 XXX企業(yè)網絡系統(tǒng)安全管理 “的 嚴 安全管理 制 fl 的安全保密 作內部人員fl 安全和管理指 、 和考核安全制 的 管理體系管理 XXX企業(yè)網絡系統(tǒng)安全的 網絡信息系統(tǒng)安全的管理體系管理、制 管理和 管理部分 成XXX企業(yè)網絡系統(tǒng)安全管理 據、 的、和策安全 的 制 體的安全管理制 fl 安全管理制 的分類原則XXX企業(yè)網絡系統(tǒng)安全管理 制 的安全管理制 要(1) 人 安全管理制 (2) 操作安全管理制 (3) 設安全管理制 (4) 設備安全管理制 (5) 軟 平臺安全管理制 (6) 計 網絡安全管理制 (7) 應用軟 安全管理制 (8) 檔安全管理制 (9) 數(shù)據安全管理制 (10)密碼安全管理制 (11)應 管理制 4.6 安全特性XXX企業(yè)網絡系統(tǒng)的安全性建設應 滿足當前XXX企業(yè)網絡系統(tǒng)安全的 要需求及 系統(tǒng)建設的 展需要使網絡系統(tǒng) 受到內部和部的攻擊從而達到網絡 夠正 滿足 要業(yè) 安全的需要(1) 確保XXX企業(yè) 網絡系統(tǒng) “ 網絡系統(tǒng)互連的安全防 自部的 形式的攻擊(2) 確保XXX企業(yè) 網絡系統(tǒng) “網絡 間的信息 換 保 完整、真 、可用和 被 的特性信息 換 fi 的層次管理需要和 權管理需要(3) 確保XXX企業(yè) 網絡系統(tǒng) 平 “ 網絡系統(tǒng)的網絡連安全(4) 確保XXX企業(yè) 網絡 系統(tǒng)入 數(shù)據訪問的可 性作到據可 完善的信息安全審計系統(tǒng) (5) 確保XXX企業(yè) 網絡、 “網絡的系統(tǒng)受到病毒的破壞(6) 確保XXX企業(yè) 網絡重要信息的數(shù)據安全防電磁 、數(shù)據備份、防、防盜 (7) 確保網絡系統(tǒng) 受雷擊(8) 確保建 套完善的網絡安全管理制 到 人管理、 護(9) 確保XXX企業(yè)內部移動用 內部網絡系統(tǒng)連的識別確保連安全及信息 換安全(10) 確保網絡系統(tǒng)的長 安全(11) 兩套網絡系統(tǒng) 間的安全轉換到安全、用、方便5 安全設備要求5.1 安全設備選型原則XXX企業(yè)網絡系統(tǒng)的安全設備選型 滿足信息安全產品的策性要求前 綜合考 設備的 和性 合XXX企業(yè)網絡系統(tǒng)的網絡安全需求5.1.1 安全性要求策性原則信息安全設備(硬 /軟 )應 信息安全產品的 管部的測認證、鑒和許可性原則(1) 安全設備 自 系統(tǒng)保護 安全設備的軟 平臺應為 用 制的基 小內核的操作系統(tǒng) 應用 般 業(yè)Dos, WindowsUnix操作系統(tǒng) 安全設備應 避免 內網絡用 fl入系統(tǒng)的 currency1 使安全管理員而言也應系統(tǒng)操作的 小 權原則安全設備的 置 備多重安全且 高安全 權 備fl 嚴 的操作審計 安全 應 安全應 安全設備 作失 系統(tǒng)應自動轉為缺 狀態(tài)(2) 安全設備 需安全 的 小 安全設備用的 求 fl、完善而 保證 用和成性相 fi應用、引用和 fi 安全設備的入 影 原網絡 “安全設備的 顯影 原網絡系統(tǒng)的 率 產 信 安全設備的 、電及電磁輻射性 合 fi且 滿足全“ 的可靠性要求5.1.2 可用性要求(1)安全設備的 性 和 滿足 業(yè)系統(tǒng)管理體制的要求 基 網絡 安全管理 受網絡信息安全管理 “管理的 (2)安全設備用的 求 fl、完善而 保證 用和成性相 fi應用、引用和 fi(3)安全設備的入 影 原網絡 “安全設備的 顯影 原網絡系統(tǒng)的 率 產 信 (4)安全設備的使用 便、 用5.1.3 可靠性要求(1) 安全設備的 、電及電磁輻射性 合 fi(2) 滿足7*24小“人 作式5.2 安全設備的可擴展性作為 個安全系統(tǒng)建設 目其安全系統(tǒng)的建設 往往存 ”個currency1跨越很長間則”個 安全設備要求 夠滿足高擴展性要求 據XXX企業(yè)網絡系統(tǒng)安全建設的建設和應用系統(tǒng)的 展需要 夠”安全產品的 、fl 擴充而且 影 XXX企業(yè)網絡系統(tǒng)的“5.3 安全設備的 安全方案 涉及的安全產品 夠 的安全產品 網絡 展網絡應用越 越廣泛網絡安全的新的軟 、硬 、 漏洞 斷涌 安全產品fl 可的 VPN系統(tǒng)的軟 、殺毒軟 的