网络信息安全解决方案报告Word格式文档下载.docx

1、一、化工行业面临的挑战 信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式，改变着国与国之间、企业与企业之间的生存和竞争环境。加入WTO之后，我国企业正直接地、全面地面对国际市场的全方位竞争。形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业，推动产业的优化和升级。信息化是个大战略。推进化工企业信息化，不是政府要我们做或者政府出钱支持我们做我们才做的事情，它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要，是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。众所周知，中国作为发

2、展中国家，工业化进程是不可逾越的一个过程。在这个高速发展的过程中，快速的积累社会财富则必然带来资源大量消耗的矛盾。中国要走新型工业化道路，降低资源消耗、减少环境污染是核心。由于国内需求的拉动和世界经济的影响，新世纪伊始，化工工业进入了高速发展时期，在产能快速增长的同时，资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展，化工工业走循环经济的发展方向，必须采用工程科学技术，提高资源、能源综合利用，减少环境污染，把挑战转化为机遇，使化工工业在新型工业化道路上健康稳步迈进， 坚持以信息化带动工业化，以工业化促进信息化，走出一条科技含量高

3、、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子，实现跨越式发展和可持续发展。二、信息化是化工工业合理利用资源，实现可持续发展的重要途径中国化工工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求，需要以信息技术为手段、以管理创新、技术创新、制度创新为动力，改造落后装备，实现生产过程自动化、管理信息化。信息化为中国化工工业走新型工业化道路提供了重要机遇。特别是在资源开发和利用中，使用先进的信息技术能够实现优化设计、制造和管理，通过对各种生产和消费过程进行数字化、智能化的实时监控，大大降低各

4、种资源的消耗。对于中国化工企业来说，信息化是企业合理利用资源、降低资源消耗的重要途径。应用信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如：信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段，这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料，能源信息管理系统、环保污染监控系统已经在化工企业得到应用；数据库技术可以对这些资源消耗量进行分析预测并作出预报预警，网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中，进行统计分析；通过产销系统和制造执行系统的运行，保证产品质量，减少废次品，以销定产，以产定料，压缩库存，合理资源调配，

5、避免能源和资源的浪费，提高资源能源的综合利用率；设备管理系统能够对设备的检点维修状况进行动态管理，防止设备未及时检修造成资源的跑冒滴漏现象发生；智能化仪表将各种资源使用情况准确记录下来等等，信息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用，推进绿色制造和清洁生产，合理利用资源，保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径。1.2 项目目的本方案依据与XXXX工程师的交流沟通，将对XXXX网络做出系统的全面优化设计。其目的在于构建XXXX整体网络安全体系架构，部署网络安全策略，保证XXXX的网络安全、系

6、统管理都能有机整合。第2章 信息系统现状及需求分析2.1 信息系统现状2.1.1 网络结构现状XXXX信息系统现有网络拓扑图如图1.1所示：图1.1XXXX信息现有系统网络拓扑图2.1.2 信息系统现状XXXX网络系统目前市区厂区网络和开发区厂区网络组成，两个厂区使用2M专线进行互联。在开发区厂区网络中，接入一条10M带宽的互联网链路，互联网边界部署了一台Link Trust80防火墙，局域网网络使用星形接入方式，使用HP 5308XL交换机作为核心交换节点，根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN，还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中，接入一条100M带

7、宽的互联网链路，互联网边界部署了一台Link Trust100防火墙，局域网网络使用星形接入方式，使用华为6503交换机作为核心交换节点，目前网络中有财务系统服务器、ERP系统（负责单位进销存）服务器、ERP系统数据备份服务器、文件服务器（采用共享方式）以及作为对外发布的FTP服务器。XXXX共有三百多台电脑，两个厂区分别采用星形组网方式，使用Vlan来防范网络间恶意攻击与破坏。通过划分VLAN子网，缩小了广播域，通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内，实现部门间的逻辑隔离，避免了避免了广播风暴的产生，也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率，保证网

8、络稳定，提高网络安全性。2.2 信息系统安全现状分析XXXX信息化建设从无到有，经历了迅速建立与逐步改善的过程，在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩，随着网络技术的不断发展，信息量的增加，网络规模的扩大，数据量，业务量的增加，网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多，XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制，导致网络极易感染病毒，网络大部分带宽被与工作无关的应用长期占用，严重影响单位的正常业务的运行。对互联网访问的内容无法

9、实现有效的控制及审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少，网络安全管理体系还未形成。另外针对已经部署的产品和系统合理有效的配置使用，使其充分发挥其安全防护作用方面，以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面，都还需要做进一步的工作。根据充分的调查研究，XXXX的信息系统安全建设的需求有以下四个方面：1、网络安全市区厂区和开发区厂区分别使用各自的互联网链路，每条互联网边界均部署了一台防火墙系统。这两台防火墙作分别提供XXXX两个厂区的用户上网和对外发布应用服务，随着上网用户和发布应用服务的增多，防火墙的

10、负载将越来越来大，现有防火墙可能成为网络瓶颈。2开发区厂区的一卡通服务器和客户机间没有安全防护措施，客户机对服务器可以进行任何操作。因为很多客户机可以上网，极易感染木马、病毒，客户机也可能会感染或攻击服务器，影响服务器应用的正常使用，造成难以估计的损失。因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。对外发布供外网用户使用的FTP服务器等应用也缺乏必要的安全保护措施。3缺乏异常流量、恶意流量监控、审计和防御机制，现如今网络上存在着大量的不法黑客以及许多异常流量，对异常流量监测可以了解当前有哪些人通过非法的手段或

11、途径访问了我们的系统或网络，及时了解网络的健康状态，通过这些信息可以采取一些相应的手段去解决问题，我们在采取法律手段时也无法提供了依据和证据。4XXXX驻外办事处、出差等移动用户需要和总部实现数据共享，目前只能通过设置地址映射访问公网IP地址，由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的，数据传输时无法做到数据的加密，无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改，无法确保通信双方身份的真实性无法保证数据的传输安全。2、系统安全随着XXXX网络系统规模的迅速扩张，对终端管理系统的需求也随之增加。一方面，个人电脑、服务器和移动设备的数量正在随着XXXX网络应用

12、规模的不断扩大而快速增加；另一方面，各种应用软件和补丁更新换代速度加快，来自企业内、外部的网络攻击也日益猖獗；终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式，缺乏采用统一策略下发并强制策略执行的机制，进行桌面安全监管、行为监管、系统监管和安全状态检测，实现对局域网内部桌面系统的管理和维护，能有效保护用户系统安全和机密数据安全。XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状

13、态，分析安全发展趋势，有着重要的意义，是用户网络安全管理的重要依据。但是，由于各网络安全产品一般独立工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。 ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，为最大化保证业务的连续性，ERP系统服务器主机应采取可靠的冗余备份机制，确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。在内网系统中，还没有配置一套整体的防病毒体系，对于现的网络环境来说无疑是给病毒的入侵埋下

14、了极大的隐患。5缺乏信息安全管理平台，通过信息安全平台集中同时实时的了解设备，服务器的运行状态和系统资源使用情况，大大提高了运维的效率，防止由于管理人员的遗漏造成问题解决的不及时。网络中的各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中，对发现的违规操作或感染病毒的计算机，不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员。3、应用安全 目前XXXX文件服务器采用网上邻居共享访问的方式，文件服务器共享的资源可以被公司所有用户进行查看、下载、编辑、删除等动作，文件服务器缺乏用户认

15、证机制，文件服务器数据缺乏安全性、私密性。另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题，通过网上邻居传输文件时使用netbios协议，然而现在有很多蠕虫病毒利用netbios协议的端口扫描网络主机漏洞、传输病毒文件，使病毒扩散到整个网络，最终导致系统崩溃、网络瘫痪，业务无法正常开展。 4、数据安全ERP系统作为XXXX进销存应用系统，其数据关系到整个XXXX业务的运行，其重要性不言而喻，目前ERP系统数据通过网络备份到另一台服务器上，使用硬盘作为数据备份存储介质故障率很高，存在很大的数据安全风险。另外财务系统也存在数据备份的问题。第3章 总体安全目标为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对XXXX信息系统造成影响，我们将采用一系列安全措施来对XXXX信息系统提供必要的安全保护，使包含网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力。根据业务系统的特点和需要，我们制订了如下的总体安全目标：1、完整性目标防止存放在服务器和远程业务终端系统中的信息数据被非授权篡改，保证在远程通信过程中信息数据从真实的信源无失真地到达真实的信宿。2、可用性目标确保网络和信息系统连续有效地运转，保证合法用户对系统资源和信息数据的使用不会被不正当地拒绝